改进的OAuth2．0协议及其安全性分析.pdfVIP

2014年 第 23卷 第 3期 http：／／www．c—S—a．org．cn 计 算 机 系 统 应 用 改进的OAuth2．0协议及其安全性分析① 陈 伟，杨伊彤，牛乐园 (中南民族大学 计算机科学学院，武汉 430074) 摘 要：随着OAuth2．0协议的广泛应用，其安全性受到了人们的重点关注．为了增强OAuth2．0协议的安全性，本 文首先引入数字签名技术，提出一个改进的 OAuth2．0协议．它支持授权服务器对资源拥有者和客户端的身份认 证．并且在计算模型下基于 Blanchet演算，应用一致性对授权服务器认证资源拥有者和客户端进行建模，最后使 用 自动化工具CryptoVerif分析和证明了其认证性． 关键词：认证性；计算模型；自动化验证；安全协议 ImprovedOAuth2．0ProtocolandAnalysisofitsSecurity CHEN Wei，YANGYi—Tong，NIU Le—Yuan (SchoolofComputer,South-CenterUniversityforNationalities，Wuhan430074，China) Abstract：WiththewideapplicaitonsofOAuth2．0protocol，peoplehavepayedaspecialattentiontoitssecurity．In ordertoenhanceitssecurity,inthisstudythedigitialsignaturefirstlyisin~oduced，thenanimprovedOAuth2．0protocol isproposedwhichhastheauthenticationfrom authorizationservertoclientandauthorizationservertoresourceowner~ AtthesametimebasedontheBlanchetcalculusincomputaionalmodel，thecorrespondenceisappliedtomodelthe authentication rfom authorization server to clientand authorization server to resourceowner,and finally the authenticationisprovedbyCryptoVerif． Keywords：authentication；computationalmodel；automaticverification；securityprotocol OAuth(开放授权)协议是一个开放标准 ，它是 出在没有安全机制 (如 SSL协议)支持 的情况下， OpenID的一个补充，允许用户不提供用户名和密码让 OAuth2．0协议不提供认证性． 第三方应用访问自己在某一网站上的资源(如照片、社 目前，对于安全协议6【J的形式化分析存在两种方 交好友信息等1．OAuth2．0[I]是 “用户验证和授权”标准 ． 一 种是符号分析方法 [，该方法将协议中使用的 的最新版本． 密码系统看做是完美的无漏洞的黑盒，并在此基础上 国内的百度开放平台、腾讯开放平台等开放平台 对安全协议进行分析和证 明[91．另--~00是计算方法、 都支持 OAuth2．0协议．国外的Facebook的 Graph 该方法假设协议使用的密码系统是不完美的．相对于 API、Google的GoogleAPI也都支持OAuth2．0．由于 符号方法，计算方法更接近于实际应用的情况，但难 OAuth2．0协议的普遍应用，其安全性受到了人们的重 于实现 自动化验证．2006年，Blanchet提出了一种基于 点关注．Chaff等2【】使用通用可复合安全框架形式化 进程概率演算UOl的计算模型并开发 了 自动化工具 CryptoVerit~… OAuth2．0协议，指出最理想的对第三方授权的方法是