一键登录在网络身份认证中的风险以及改进.docVIP

一键登录在网络身份认证中的风险以及改进 　　【摘 要】一键登录实现网络统一身份认证，方便用户同时存在网络风险。论文针对重放攻击进行协议应用上的改进。重放攻击中，攻击者通过网络监听或者其他方式盗取认证凭据，再将它重新发给服务器，所以盗取账号所在的本机Mac地址和IP地址必然与合法用户的不同。论文进行如下改进：在用户登录成功后，服务器记录下账号登录所在的Mac地址和IP地址，用户访问第三方应用时，第三方应用若检测到用户的Mac地址和IP地址与登录时的不同，则检测到账号受到重放攻击，拒绝服务。 　　【关键词】身份认证；一键登录；安全风险；OpenID协议；OAuth协议 　　一键登录指采用同一个用户名、密码访问不同的网站，实现网络上统一的身份认证。早在2011年，腾讯QQ登录功能就向第三方网站开放。通过“QQ登录”，用户可以使用已有的QQ账号、密码登录第三方网站，不需要重新注册账号。由于QQ用户的数量庞大，直接给第三方网站带来大量新用户。同时，用户可以将第三方网站分享的信息同步到QQ空间，传播不同网站的内容，提升网站的访问量和用户数[1]。 　　一键登录为不同应用系统提供统一的登录界面，用户不必记住繁杂的账号以及口令，减少了用户登录失败的可能性；通过把认证功能和账号管理功能集成起来，管理员可以很容易对所有系统的访问权限进行操作而不破坏一致性，既降低了维护用户权限的复杂性，也在某种程度上也提升了安全性。然而一键登录用到的协议和认证技术，在身份认证的实现过程中还是存在一些安全风险。 　　1 一键登录的相关协议 　　一键登录主要用到两种开放应用协议：OpenID和OAuth，其作用是为开放平台提供规范、简洁、安全的通信、授权和管理机制。OpenID侧重的是认证，即：“用户是谁”；OAuth关注的是授权，即：“用户能做什么”。一般联合起来使用，OpenID实现某个原有的账号登录新的应用系统，OAuth实现从旧账号系统中导入数据进入新应用系统，或者授权新的应用访问旧系统的某些资料（非用户名、密码等敏感信息）[2]。 　　例如：使用QQ号码登录人人网，需要OpenID 协议；将QQ空间更新同步到人人网、或者授权人人网能够访问QQ好友列表，则用OAuth协议实现。 　　2 一键登录的安全风险 　　一键登录在应用中常见的攻击手段有如下几种[3]： 　　2.1 中间人攻击 　　中间人攻击顾名思义就是发生在通信对象之间的攻击，即通信过程以及通信数据遭到第三方的监视、截取和控制。攻击者通过模仿身份提供者，如使用DNS欺骗、ARP欺?_等，篡改发现过程或者伪造XRDS文档进行中间人攻击。模仿身份提供者，发布其Associations，或自行决定在无状态的模式；篡改发现过程，可以取代模仿，指定任何身份提供者；伪造XRDS文档，就会对发现过程的返回信息造成威胁。 　　2.2 重放攻击 　　重放攻击，是指攻击者发送一个目的主机已经接收过的数据包来达到欺骗系统的目的，破坏身份认证的正确性。攻击者在网络监听或者其他方式盗取认证凭据，再把它重新发给服务器，达到盗取账号的目的。 　　2.3 网络钓鱼 　　OpenID认证流程的关键环节依赖于用户所发送的URL标识，而这又依赖于网络地址映射的域名解析系统，而这种解析系统也存在安全隐患，就是存在修改URL篡改攻击，模仿真正的网站而伪造相似的地址，即网络钓鱼。 　　2.4 网络窃听 　　攻击者可以从没被检查的随机序中截取一个成功的认证声明并重用，即通过截获数据包窃取信息。在两个环节上信息可能被窃取：一是，初始验证时浏览器将OpenID URL与密码发送给服务器途中可能被窃取；二是，Cookie内容可能被窃取。 　　3 针对重放攻击的改进 　　3.1 改进思路 　　重放攻击不能被防止，但从理论上说可以降低其风险，从主机的唯一性入手，即利用MAC地址的唯一性来加强对重放攻击的防范。在数据通信时，IP地址负责表示计算机的网络层地址，网络层设备（如路由器）根据IP地址来进行操作；MAC地址负责表示计算机的数据链路层地址，数据链路层设备（如交换机）根据MAC地址来进行操作。IP和MAC地址这种映射关系由ARP（Address Resolution Protocol，地址解析协议）协议完成。而IP地址与MAC地址是成对出现的，所有访问网络的主机都拥有IP地址，而MAC地址是网卡在出厂的时候就已经设定好的，这样的配置时IP地址与MAC地址形成一种对应关系，它们一起能确定一个唯一的主机。 　　由于攻击者在网络监听或者其他方式盗取认证凭据，再把它重新发给服务器，所以盗取的账号所在的本机Mac地址和IP地址必然与用户本身的不同。从这个角度进行改进：在用户登录成功后，服务器记录下账号登录所在的Mac地址和I