網際網路工程任務組（IETF）是開發和推廣網際網路標準的組織，其在上週批准了三項新標準，旨在提高身份驗證令牌的安全性，防止“重放攻擊”。 

目前，身份驗證令牌被用於所有網路訪問中。當一個人登入他的Google或Facebook帳戶時，會生成一個身份驗證令牌並存儲在使用者瀏覽器內的cookie檔案中。當用戶訪問Google或Facebook站點時，使用者的瀏覽器不會要求使用者再次輸入憑證，而是向網站提供使用者的身份驗證令牌。 

但身份驗證令牌不僅用於瀏覽器cookie和網站。它們還用於OAuth協議，JSON Web令牌（JWT）標準以及一系列實現基於令牌的身份驗證的公共庫或私有庫，通常與API和企業軟體解決方案一起使用。

 黑客很久以前就已經發現他們無需竊取使用者的密碼，只要竊取這些令牌就可以訪問使用者帳戶而無需知道密碼，這種攻擊被稱為“重放攻擊”。 

上週，IETF正式批准了三項旨在保護基於令牌的身份驗證系統的新標準：

RFC 8471 - 令牌繫結協議版本1.0

RFC 8472 – 用於協商令牌繫結協議的TLS擴充套件

RFC 8473 - 通過HTTP進行令牌繫結

 這三個標準旨在為新的訪問/身份驗證令牌的生成和協商過程新增額外的安全層。其主要構思是在使用者裝置和令牌之間建立連線，即使攻擊者設法記錄下令牌，他也無法執行重放攻擊，除非他使用與建立令牌時相同的裝置或裝置配置。 

由於現代絕大多數網路流量都是加密的，因此新的令牌繫結協議是專門針對在建立TLS加密會話之前發生的TLS握手過程而設計的。該協議的作者表示，他們設計了令牌繫結過程，以避免為TLS握手過程增加額外的往返次數，這意味著現有伺服器不會受到任何不必要的效能損失。

研究人員還指出，新的令牌繫結協議不一定僅限於硬體級別的繫結令牌，也可以在軟體級別工作並安全地繫結令牌，這意味著它幾乎可以在任何地方實現。

目前，令牌繫結協議是圍繞TLS 1.2設計的，但它也將被修改為與更新的TLS 1.3一起使用。

--------------------- 
作者：南山南麓 
來源：CSDN 
原文：https://blog.csdn.net/liaoxj2046/article/details/83273490 
版權宣告：本文為博主原創文章，轉載請附上博文連結！