移动网关统一认证技术结构.docVIP

移动网关统一认证技术结构 2014-11-05 服务化转型不可避免的依赖服务帐号。如果企业每个对外的服务都建立各自的帐号体系，用户体验将非常混乱。因此我们需要统一的帐号认证体系。 是一个统一认证的实践项目。目前已经连接移动网关。随后快递101也将于此连接。本文讲述、以及他们之间的连接方法。希望技术同好可以互相借鉴。同时也希望公司内更多的项目与统一认证连接。 技术关键词目录 （统一认证网站） 传输层安全 交叉认证DV证书 TLS 1.2 SPDY / Nginx 1.6 反攻击 反跨站攻击 反点击劫持攻击 其他没有实现的反攻击手段 （移动网关）- （统一认证网站）的连接 OAuth2 / 授权码 Covert Redirect隐蔽重定向(漏洞) OpenID or ID 基于OAuth2状态码的反跨站攻击 （移动网关） Web程序需要认证中间件 基于OWin的OAuth认证中间件 （统一认证网站） 传输层安全 传输层安全测试结果 在OSI网络分层结构中，HTTP居于第七层。故它不负责数据传输安全，即它不负责保证数据在传输过程中不被窃听和篡改。此责任由居于OSI Layer 6 表示层负责。在现实TCP网络中由TLS（传输层安全协议）保证数据传输安全。目前除IE6之外的所有浏览器和主流Web服务器均支持TLS。 图1：在网站提供的测试结果 作为比照。其他网站的测试结果为： G GitHub A+ Google A P 支付宝帐号认证页 B A 新浪微博帐号认证页 B G QQ帐号帐号认证页 F 没有修改注册表直接使用的IIS 7.5 F K 火车订票网 T/ B* * 12306网站评级为T。它采用了自签名证书，即自己证明自己。这是显然的认证谬误，属于安全常识上的错误，所以Certificate分数为0。排除此因素评级为B。 交叉认证DV证书 作为传输层安全的一部分，要保证通信过程不被监听和篡改。首先要确定和自己通信的网站身份，否则后续的各种加密将失去意义。TLS通信都需要配置相关的证书来标记自己的身份。本文不搬运证书认证原理标准相关文献，只是简单介绍一下。 从证书的认证范围分。证书分DV，OV，EV三种。分别代表域名认证、组织认证和企业认证。OV和EV认证周期长，费用高。一般只有网银采用这种证书。DV证书大多廉价甚至免费。 大多数证书都是单链认证结构。但由于历史沉淀，难以找到所有[操作系统*所有版本]都直接认可的信任根。采用了具有交叉签名根的证书，解决全操作系统支持问题。所谓交叉签名证书，可以简单的理解为证书不再是单链结构，而是网状结构。具有多个证书根。 的TLS实现 实现的TLS相关算法： 通信算法（3DEC_EDE_CBC、ASE_128_CBC、ASE_256_GCM、AES_256_CBC） 身份验证算法（SHA、SHA384） 秘钥交换机制（RSA、DHE_RSA、ECDHE_RSA） 图2：与主要操作系统、函数库、浏览器的TLS握手结果 SPDY TLS可保证通信过程不被篡改和监听，但TLS通信的成本也比TCP高很多。今天的CPU都具有加密加速指令，加密计算不构成主要成本，真正的成本来自于连接建立过程。TCP只需要三次握手，而TLS需要9次握手。统一认证网站为此引入SPDY解决TLS通信成本较高的问题。SPDY协议通过强制压缩、多路复用和优先级来减少传输成本。 如左图，在传统基于TCP或者TLS的HTTP请求中。必须一个请求处理完毕，浏览器才能再发送下一个请求。当Web页面上嵌入很多图片，样式和JavaScript脚本后，需要很多次通信。 在SPDY通信过程中，浏览器不等待前一个请求返回。直接一次组团发出多个请求。服务器根据数据的优先级返回数据。通常.css文件会比.png文件优先传递。因为浏览器排版过程首先需要.css，然后才需要.png文件。所以这种做法有利于提高浏览器排版效率。 在7层网络划分方法中。SPDY工作在HTTP（Layer 7）之下，TLS（Layer 5/6)之上。未来SPDY可能取代TLS，成为新的传送层标准；也可能被进一步改造后成为HTTP 2.0标准。 图4：HTTP，SPDY，TLS所在协议层次（5层网络划分方法） 当浏览器为FireFox 13+，IE11，Chrome时。浏览器与采用SPDY通信。否则使用TLS通信。这一过程由TLS握手（协议协商）实现，无需最终使用者进行任何配置。 这里顺便说一下，有人质疑Google SPDY强制加密的举动。但从与现有网络结构兼容的角度看，由于只有TLS具有传送层协议协商过程。这是唯一可行的解决方案。 反攻击 反跨站攻击 在业界目前防御 CSRF 攻击主要