IETF批准新的網際網路標準 防止重放攻擊
網際網路工程任務組(IETF)是開發和推廣網際網路標準的組織,其在上週批准了三項新標準,旨在提高身份驗證令牌的安全性,防止“重放攻擊”。
目前,身份驗證令牌被用於所有網路訪問中。當一個人登入他的Google或Facebook帳戶時,會生成一個身份驗證令牌並存儲在使用者瀏覽器內的cookie檔案中。當用戶訪問Google或Facebook站點時,使用者的瀏覽器不會要求使用者再次輸入憑證,而是向網站提供使用者的身份驗證令牌。
但身份驗證令牌不僅用於瀏覽器cookie和網站。它們還用於OAuth協議,JSON Web令牌(JWT)標準以及一系列實現基於令牌的身份驗證的公共庫或私有庫,通常與API和企業軟體解決方案一起使用。
黑客很久以前就已經發現他們無需竊取使用者的密碼,只要竊取這些令牌就可以訪問使用者帳戶而無需知道密碼,這種攻擊被稱為“重放攻擊”。
上週,IETF正式批准了三項旨在保護基於令牌的身份驗證系統的新標準:
RFC 8471 - 令牌繫結協議版本1.0
RFC 8472 – 用於協商令牌繫結協議的TLS擴充套件
RFC 8473 - 通過HTTP進行令牌繫結
這三個標準旨在為新的訪問/身份驗證令牌的生成和協商過程新增額外的安全層。其主要構思是在使用者裝置和令牌之間建立連線,即使攻擊者設法記錄下令牌,他也無法執行重放攻擊,除非他使用與建立令牌時相同的裝置或裝置配置。
由於現代絕大多數網路流量都是加密的,因此新的令牌繫結協議是專門針對在建立TLS加密會話之前發生的TLS握手過程而設計的。該協議的作者表示,他們設計了令牌繫結過程,以避免為TLS握手過程增加額外的往返次數,這意味著現有伺服器不會受到任何不必要的效能損失。
研究人員還指出,新的令牌繫結協議不一定僅限於硬體級別的繫結令牌,也可以在軟體級別工作並安全地繫結令牌,這意味著它幾乎可以在任何地方實現。
目前,令牌繫結協議是圍繞TLS 1.2設計的,但它也將被修改為與更新的TLS 1.3一起使用。
---------------------
作者:南山南麓
來源:CSDN
原文:https://blog.csdn.net/liaoxj2046/article/details/83273490
版權宣告:本文為博主原創文章,轉載請附上博文連結!