我目前正在开展一个涉及安全认证用户的项目。我一直在阅读有关SRP的内容,但仍然没有设法让我了解核心概念。如果你能用非专业术语来解释这个想法和SRP的实施,我将不胜感激。
注意:请不要发布有关SRP的网站链接,因为我确信我已经用Google搜索并阅读了大部分内容;除非它是用清晰的语言解释SRP的论文。
答案 0 :(得分:11)
从双方已经同意密码开始。
在协议的第一部分,双方都生成一个随机数,并使用一些涉及该密码的简洁数学来同意随机共享密钥。这样做的方式是每次都不同(即使密码是相同的),没有人在线上监听可以确定共享秘密,只有双方都知道密码才有效。 (所涉及的数学基于与Diffie-Hellman密切相关的离散对数问题。)
然后各方继续相互证明他们已经同意相同的共享秘密(即他们都知道密码),同样没有向任何人倾听。这需要更多(不同的)整洁的数学。
如果双方都满意他们拥有相同的共享秘密,那么他们就可以从中获取会话密钥并开始在他们选择的密码下进行通信。