unxmu
发表于 2012-8-30 09:30:01
基于二次身份认证的双链路登录保护方案
一段时间内保持不变,l静态账户是指一组由用户名和固态密码组成的账户。固态密码是指与用户名协同进行身份认证的密码。http://www.919yao.com 海马多鞭丸,有较长的生命周期,只有在人工干预的情况下才可能发生变化,业界有时也称之为静态密码。二次身份认证是指用户的静态账户通过认证后,再对用户的合法性进行一次有效性检查。本文将静态账户认证称为第一次认证,后者称之为二次认证。第一次身份认证与第二次身份认证通过不同的网络进行,称为双链路。比如登录一个社区,使用静态账户在PC端通过其门户进行第一次认证,再通过移动终端进行第二次身份认证,这就是一个双链路的认证过程。但是如果将移动终端生成的密码在同一PC端通过社区的门户进行二次认证,则是单链路的认证过程。本文将口令、密码统称为密码。OTPOne-TimePassword一种具有时效性与使用一次性的密码,通常情况下,由于其生命周期小于一分钟,与固态密码相对应,称之为动态密码,有时也称为动态口令,本文统一为动态密码或使用英文简称OTP1背景与现状 20世纪末期,随着信息技术的飞速发展,大量以手工方式处理的传统业务被信息系统代替,工作方式的转变也影响到以部门或岗位来确定工作内容和职责的物理世界。信息系统为了一一映射现实世界的责任和分工,便建立了一套以用户、角色、权限为一体的完整的权限体系,静态账户由此应运而生。一段时间内,静态账户解决了信息系统孤立环境下的权限分配问题,有效的保护了虚拟环境下的业务作和数据。但是随着互联网的兴起,以共享、分享为理念的互联互通精神拆除了信息系统彼此之间的高墙篱笆,特别是一些社区(SNS电子商务、网络游戏等互联网应用。与此同时,开放环境下的信息共享与信息保护的冲突愈演愈烈,形形色色的黑客使用各种手段窃取或劫持用户的身份认证信息,以获得系统相关功能及数据的访问权限,进行非法作。由于静态账户的固态密码通常使用诸如MD5SHA -1等杂凑函数多次或组合生成,完全可以通过字典攻击的密码猜测等手段获得固态密码,如网站http://www.cmd5.com/可以将多种杂凑函数生成的密码进行解密,获得明文。因此,以静态账户为手段的保护业务作和数据的模式受到极大的挑战。最近,始于CSDN泄密门”事件已经波及到数家从事互联网应用的企业,包括人人网、天涯、多玩、7k7k等公司的静态账户被泄露。因此,基于静态账户的方式已不能满足互联网安全形式日益恶化的要求。2身份认证安全问题分析 为了确保信息系统中的数据不被泄露、篡改和非授权访问,身份认证的安全问题至关重要。认证窃取和劫持是最常见的一种安全威胁。认证窃取与劫持是指攻击者通过各种手段窃取或劫持用户的身份认证信息,并因此获得系统的相应功能及数据的访问权限。典型的认证窃取与劫持包括如下几种。2.1密码猜测 字典攻击是最常用的密码猜测方法。字典攻击的一种策略是已知用户名的前提下,基于字典内容按一定策略猜测密码内容,直到猜测成功。对于拥有大量用户的应用系统,另一种反向字典攻击往往也会奏效,即假定系统中会有人使用某一简单密码,如“123456然后按字典序猜测用户名。这类攻击通常发生在需要认证的Web前端。2.2会话劫持 会话劫持是指用户在系统成功认证后所获得的会话标识(SessionID被攻击者窃取或劫持利用,从而得以扮演该用户身份与系统交互。应用层会话劫持实现的主要原因有:Session猜测。若WebSession生成算法被攻击者获知,则有可能通过Session猜测得到某登陆用户的SessionID从而劫持该会话。Session不充分超时。若用户没有显式点击“退出登陆”而直接关闭浏览器,则用户SessionID通常会被保留一段时间后超时删除。若超时时间设置过长,则可能会在这段时间内被攻击者利用。会话Cooki信息窃取。很多情况下系统使用Cooki浏览器端记录用户认证信息,因此在某些攻击手段的支持下(如跨站脚本)Cooki会被攻击者方便的窃取从而仿冒并劫持用户认证会话信息。2.3基于SQL注入的认证攻击 考虑应用系统基于用户填入的用户名及密码执行如下SQL查询认证用户身份信息:如果用户输入用户名为'OR''='并且密码为'OR''='则将最终产生如下的SQL查询语句,旁路掉认证逻辑从而使认证失效。2.4基于密码恢复的密码获取 很多互联网应用为用户提供忘记密码后的密码恢复功能,比如通过输入用户邮件、电话号码来恢复密码,或通过Email恢复密码。若密码恢复方法或过程过于简单,则很容易被攻击者利用而成为重置密码的途径。该种方法多发生在Web前端。3基于二次身份认证的双链路登录保护方案 基于静态账户的安全问题一般发生在单链路上,这里采用双链路的方式通过二次身份验证实现登录保护,以保障用户身份的合法性。当然,www.bc301.com 博彩网单链路上也有一些行之有效的方法来解决很多登录认证的问题。比如,淘宝在静态账户一次认证的基础上使用时代亿宝(北京)科技有限公司的手机密令产品进行二次认证,就是一种很好的解决方案。要特别说明的仅仅依靠改进静态账户的固态密码生成算法进行一次认证实现登录保护往往是不够的目前普遍的做法是安全等级不高的应用在静态账户的基础上辅助以图形验证码的方式防止系统被DOS攻击,但这实质上不是一种登录保护的措施。532170236,3.1基本原理。,。
怎么怎么地
发表于 2012-8-30 10:10:52
真是汗啊 我的帖子好少啊 加油
冯程程
发表于 2012-8-31 04:13:28
知道了 不错~~~
老顽童
发表于 2012-8-31 04:13:28
呵呵,支持一下哈
夜帝
发表于 2012-8-31 08:28:23
支持你加分
找前孙里
发表于 2012-8-31 08:28:23
我在努力中
未来
发表于 2012-9-1 06:15:48
看看..
叫花子
发表于 2012-9-1 06:15:48
支持一下
笑迷糊
发表于 2012-9-2 01:06:43
有空一起交流一下
曾被破孩
发表于 2012-9-2 14:18:10
好啊,,不错、、、、
页:
[1]
2
3
4
5
6
7
8
9
10