The enormous popularity of the Internet-based services is forcing users to create large number of online accounts to use variety of different services such as online social networking, online banking, online gaming, and blogging. The First step in securing an online service is the establishment of a secure channel between the server and the user. To achieve this, we need an authentication protocol that would verify some user supplied credential and validate the identity of the user. Traditionally, three different schemes "what you know", "what you have" and "what you are" are used individually or in combinations to authenticate a user. The most widely applied scheme among them is the "what you know" scheme.In this thesis, I propose a strong authentication protocol by using the sound channel between a mobile phone and a desktop machine. In this protocol, the mobile phone is used as a hardware token that responds to a challenge issued by the desktop machine. The mobile phone needs to have the correct secret key to respond to the challenge in the expected way. We can use the sound-based authentication provided by the mobile phone as a standalone user authentication mechanism or as a second factor to increase the security of a password-based authentication scheme. One of the features of our sound-based authentication scheme is that it does not require the mobile phone to have a data connection. The only requirement is the shared secret with the authenticating server that needs to be established prior to running the authentication protocol. Another feature is the one-time-password-like structure of the scheme, which makes it harder for an attacker to subvert the authentication scheme. / La grande popularité des services basés sur Internet oblige les utilisateurs à créer de nombreux comptes en ligne pour profiter de différents services, tels que réseaux sociaux en ligne, banques en ligne, jeux de vidéo en ligne et blogs. La première étape a assurer pour un service en ligne est la mise en place d'un canal sécurisé entre le serveur et l'usager. Pour atteindre cet objectif, nous avons besoin d'un protocole d'authentification qui vérifie certaines informations d'identifications fournis par l'usager, en plus de valider son identité. Généralement, nous utilisons trois systèmes différents: « ce que vous savez », « ce que vous avez », ainsi que « ce que vous êtes », individuellement ou en combinaison afin d'authentifier un usager. Le système le plus largement répandu d'entre eux est celui du « ce que vous savez ». Au sein de ce mémoire, je propose un robuste protocole d'authentification en employant le canal sonore entre un téléphone portable et un ordinateur. Dans ce protocole, le téléphone mobile est utilisé en tant que jeton matériel qui répond à un défi lancé par l'ordinateur. Le téléphone doit avoir la bonne clé secrète appropriée pour réussir le défi. Nous pouvons nous servir de ce type d'authentification comme mécanisme unique d'authentification d'usager ou encore en tant que mécanisme additionnel de sécurité au système d'authentification classique de mot de passe. L'une des caractéristiques de notre système d'authentification basé sur le son réside sur le fait qu'il ne demande pas au téléphone mobile d'avoir une connexion à une base de données. La seule exigence est le secret partagé avec le serveur d'authentification qui doit être mis en place avant l'exécution du protocole d'authentification. Une autre caractéristique du système est sa structure ressemblant au mot de passe unique, ce qui rend plus difficile pour un pirate informatique de contourner le mécanisme d'authentification.
Identifer | oai:union.ndltd.org:LACETR/oai:collectionscanada.gc.ca:QMM.119720 |
Date | January 2013 |
Creators | Liu, Shi Tai |
Contributors | Muthucumaru Maheswaran (Internal/Supervisor) |
Publisher | McGill University |
Source Sets | Library and Archives Canada ETDs Repository / Centre d'archives des thèses électroniques de Bibliothèque et Archives Canada |
Language | English |
Detected Language | French |
Type | Electronic Thesis or Dissertation |
Format | application/pdf |
Coverage | Master of Science (School of Computer Science) |
Rights | All items in eScholarship@McGill are protected by copyright with all rights reserved unless otherwise indicated. |
Relation | Electronically-submitted theses. |
Page generated in 0.004 seconds