OpenID认证过程的防钓鱼技术研究.docVIP

  OpenID 认证过程的防钓鱼技术研究 马红素，郭燕慧** （北京邮电大学信息安全中心，北京 100876） 5 10 15 20 25 30 35 摘要：OpenID 是一种基于 URI/URL 标识的数字身份验证框架，能实现单点登录、统一身份 管理功能，具有分布式、以用户为中心、跨站登录特点。本文深入研究 OpenID 认证原理， 分析其认证过程中的潜在的网络钓鱼风险，提出了一种基于个人动态标识符的防钓鱼方法， 并结合此方法，构建本地 OpenID 认证服务器和 OpenID 应用网站，实现了 Web 应用的单点 登录功能，为 Java Web 应用提供了一个安全、可信的身份认证平台。 关键词：OpenID；钓鱼；单点登录；身份认证 中图分类号：TP393 The Research of Anti-phishing Method in OpenID authentication process Ma Hongsu, Guo Yanhui (Information Security Center,Beijing University of Posts and Telecommunications,Beijing 100876) Abstract: OpenID is a URI/URL-based digital authentication framework which can provide the single sign on mechanism and unified identity management.Tt is distributed,user-centered and can achieve cross-site login.This paper deeply analyzes the principle of OpenID authentication and its potential risk:phishing attack.A new anti-phishing method using personal dynamic identifier is proposed.With this method,this paper builds a local OpenID Provider and OpenID Relying Party based on OpenID4Java,achieving the single sign-on function,which provides a safe,trusty authentication platform. Key words: OpenID; Phishing;Single Sign-On;Authentication 0 引言 随着互联网进入 Web2.0 时代，购物、社交、旅游等众多 web 应用的涌现给人们的实际 生活带来了极大的便利。但是由于用户的信息分布在不同的网站上，每个网站都有一套独立 的身份认证体系，导致用户不得不面对繁琐的注册、登录过程。这种封闭独立的认证体系不 仅不友好，而且也存在安全隐患。2011 年 12 月，国内最大的开发者社区 CSDN 安全系统遭 到黑客攻击，CSDN 数据库中 600 万用户的登录名及密码遭到泄露，很多网民习惯为邮箱、 微博、游戏、购物、交友网站等账号设置相同的密码，这一泄露事件无疑对网民的隐私甚至 财产造成了极大威胁[1]。 基于以上需求，我们需要一种统一可信的第三方身份认证体系来实现单点登录。单点登 录 SSO(Single Sign-On)[2]思想是指用户只需进行一次身份认证，便可以凭借该身份访问所有 相互信任的网站应用。这种一处登录，到处通行的体系结构加强了互联网的信息互通的关联 性。目前 SSO 的实现技术有 OpenID、Google Acount、SAML、CardSpace 等。OpenID 是一 40 作者简介：马红素（1987-），女，硕士研究生，主要研究方向：软件安全 通信联系人：郭燕慧（1974-），女，副教授，主要研究方向：内容安全、信息安全管理. E-mail: yhguo@ -1-   套以用户为中心的分散式身份验证系统[3]，采用 URI 标识用户信息，而用户密码存储在 OpenID 服务提供网站上，相比其他 SSO 技术，其具有开放、分散、自由等特性。 虽然 OpenID 是一种轻量且高效的身份标识框架，但还是有其自身的安全风险：OpenID 对于钓鱼网站的攻击防御非常脆弱。本文主要通过研究 OpenID 的认证原理，分析认证流程  45 50 中的网络钓鱼行为，结合信息安全加密技术，提出一种基于个人动态标识符的 OpenID 防钓 鱼方法，