Моделювання та дослідження автентифікатора веб-сайтів на основі SRP-протоколу

Abstract

Проведено аналіз моделювання та дослідження автентифікатора веб-сайтів на основі SRP-протоколу. Доведено що запропонований підхід є стійким до атак посередника. Клієнт, за протоколом SRP не відправляє пароль користувача на сервер, а обчислює на його основі ключ. Маючи верифікатор пароля, отриманий при реєстрації, сервер також може обчислити цей ключ. По відкритому каналу передається не сам ключ, а спеціальні перевірочні значення. Розроблено мобільний клієнтський додаток для ОС Adroid та фремворк для серверу на мові PHP. Додаток виконує процедури реєстрації та автентифікації користувача відповідно до протоколу SRP. Оскільки передбачається, що користувач буде працювати із веб-сайтом з іншого пристрою, додаток генерую спеціальне значення ключа доступу на основі ключа сесії. Для доступу до сайту з будь-якого пристрою у формі автентифікації клієнт вводить значення не самого паролю, а ключ доступу, який надсилається на сервер і перевіряється.

Analysis of simulation and research of site authenticator based on SRP-protocol. It is proved that the proposed approach is resistant to mediator attacks. The client, according to the SRP protocol, does not send the user password to the server, but calculates the key based on it. Having a password verifier received at registration, the server can also calculate this key. On the open channel is not the key itself, but the special checking values. Developed a mobile client application for the Android OS and Free make for the server in PHP. The application performs user registration and authentication procedures in accordance with the SRP protocol. Because it is assumed that the user will work with the website from another device, the application generates a special key value based on the session key. To access the site from any device in the form of authentication, the client enters the value of not the password itself, but the access key that is sent to the server and verifies.