一种改进的OAuth授权机制有效性分析

国内微博、微信、百度等开放平台的出现,使"第三方"认证授权登录广泛应用到各个领域,因此,OAuth(Open Authorization)协议作为开放平台认证授权系统的标准协议而备受关注。众多研究表明这些开放平台中现今广泛使用的OAuth2.0协议在具体的实现过程中,很容易遭受钓鱼攻击、中间人攻击和CSRF攻击。为了抵抗网络中最常见的钓鱼攻击,研究提出通过防止攻击者伪装成授权服务器来改进OAuth2.0授权机制的解决方案,并证明了改进授权机制的安全有效性。为OAuth2.0协议的安全性改进提供了借鉴。     

系统科学视域下基于OAuth2.0的授权登录安全性提升方案研究分析

为了极大限度地给用户提供便利,如今的网络应用供应商都提供了第三方授权登录的方式,目前OAuth2.0为单点登录(SSO)最为广泛的身份认证授权协议.OAuth2.0是开放式标准的第三方授权协议,允许用户授权第三方平台获取在某一平台上存储的个人信息资源,而无需将用户名和密码提供给第三方平台;针对OAuth2.0协议实施过...     

基于OAuth2.0协议的微信公众平台开发研究

随着微信用户的急剧增加以及微信推出的公众平台的开放性,分析了微信公众平台的应用前景,并分析了OAuth2.0协议中第三方应用、普通用户、授权服务器及资源服务相互认证模型。最后以微信公众平台为例,对其接入规范和如何使用OAuth2.0验证进行研究,实现并验证了手机应用与微信公众平台的账号互通功能。     

运用SPIN对开放授权协议OAuth 2.0的分析与验证

OAuth 2.0协议是一种开放授权协议,主要用于解决用户账号关联与资源共享问题。但是,其弱安全性导致各网络公司海量用户信息泄露,且OAuth 2.0传输数据采用的https通道效率低下,成为黑客攻击对象。提出采用http通道传输OAuth 2.0协议数据,基于Promale语言及Dolev-Yao攻击者模型对OAuth 2.0协议建模,运用SPIN进行模型检测。形式化分析结果表明,采用公钥加密体系对OAuth 2.0协议进行加密不安全。上述建模方法对类似的授权协议形式化分析有重要借鉴意义。     

Android平台下基于OAuth2.0协议的三方认证技术研究与实现

三方认证协议OAuth不会让第三方涉及到用户名和密码等用户私密信息,在第三方不需要使用用户名和密码的情况下就可以得到用户的访问授权,具有简单、安全、开放等特点,在实际中得到广泛应用。该协议已经成为开放资源授权的标准。文章以最新的OAuth2.0版本为对象,研究了其认证过程,并在Android平台上以腾讯微博为例实现了相关功能。     

基于OAuth2.0的资源共享机制RSBO

共享资源重要的问题就是安全,本文针对目前主流的资源共享机制存的安全问题,如身份认证授权安全问题、用户信息泄露等问题,同时当资源在不同用户不同平台间进行共享时,用户需对资源进行分散重复存储等,造成冗余存储及空间浪费.本文针这些问题,提出了一种基于OAuth2.0协议的资源共享机制RSBO(Resource Sharing based OAuth2.0)并对其进行阐述,RSBO利用OAuth2.0协议认证授权的访问令牌原理,为共享资源创建资源令牌,该机制解决了用户信息泄露及冗余存储等问题,一次授权,实现多用户跨平台的资源共享.     

基于口令签名和OAuth2.0协议的强身份认证方案

为了解决网络应用身份认证问题, OAuth2.0协议在实际生产环境中得到了非常广泛的应用.但很多系统在设计时不合理使用OAuth2.0标准、产生很多安全漏洞.分析了近年来关于OAuth2.0协议出现的安全问题,包括中间人攻击,授权劫持漏洞和CSRF漏洞,针对这些安全问题提出了一种基于口令的Schnorr数字签名和OAuth2.0的强身份认证方案.最后对该方案进行安全性分析,结果表明该方案具有良好的安全性且易于使用.     

行业应用软件第三方开发平台的研究与实践

为了改进行业应用软件的开发模式和促进行业应用软件的发展,提出了行业应用软件第三方开发平台的基本框架.在该基本框架中,通过分析行业应用软件的特殊性,设计了一种类OAuth授权协议,以保证数据安全,同时引进了新的依赖分析方法,明确组件以及数据关联,量化组件被依赖程度,利于组件分析优化,利于设计和分类API.根据提出的基本框架,以保险行业为背景,设计和实现了一个第三方开发平台.实验测试结果表明,所设计的行业应用软件第三方开发平台安全可行.     

基于OAuth2.0 的认证授权技术

开放平台的核心问题是用户验证和授权问题,OAuth是目前国际通用的授权方式,它的特点是不需要用户在第三方应用输入用户名及密码,就可以申请访问该用户的受保护资源。OAuth最新版本是OAuth2.0,其认证与授权的流程更简单、更安全。研究了OAuth2.0的工作原理,分析了刷新访问令牌的工作流程,并给出了OAuth2.0服务器端的设计方案和具体的应用实例。     

基于OAuth2.0协议的安全授权模型研究

本文在OAuth2.0授权码模型的基础上做出改进,采用HLPSL语言对授权码模型进行形式化建模,建立OAuth2.0协议授权码模型形式化模型,找到授权码模型出现安全漏洞的根本原因是客户端凭证可以被攻击者窃取。结合惰性无限状态方法和惰性攻击者优化方法对形式化模型分析和验证。提出OAuth2.0安全授权码模型,并分析和验证其在理论上无安全漏洞。通过的研究,本文可以提供一套安全的OAuth2.0授权协议模型,对目前安全要求高的开放平台的授权是有指导意义的。     

基于新浪微博开放平台的iPhone地图应用与开发

微博开放平台可在对第三方进行验证与授权后为其提供服务,验证与授权过程是根据OAuth 2.0协议进行的.在使用新浪微博开放平台服务的基础上,结合Xcode开发平台中iPhone地图组件提供的功能,开发出一个展示微博用户活动的地图应用.该应用为分析微博用户所进行的活动提供了重要依据,对研究iPhone地图定位和开放平台有着重要作用.     

改进的OAuth2.0协议及其安全性分析

随着OAuth2．0协议的广泛应用,其安全性受到了人们的重点关注．为了增强OAuth2．0协议的安全性,本文首先引入数字签名技术,提出一个改进的OAuth2．0协议．它支持授权服务器对资源拥有者和客户端的身份认证．并且在计算模型下基于Blanchet演算,应用一致性对授权服务器认证资源拥有者和客户端进行建模,最后使用自动化工具CryptoVerif分析和证明了其认证性．     

基于OAuth的开放授权技术及在云计算中的应用

在云计算中,传统应用系统中使用的基于单一安全域的身份认证和资源授权模式已无法适应复杂环境中的管理要求,需要制定跨域访问的安全控制策略.在重点分析了云计算中数据安全和隐私保护所遇到的挑战的基础上,有针对性地介绍了OAuth2.0协议的原理和功能特点,提出了开放授权技术在云计算中的应用优势,并通过一个工程应用实例讨论了具体的实现方法和思路.     

VOAuth: A solution to protect OAuth against phishing

The OAuth protocol is designed for authorization which enables users to grant third-party applications to access their resources stored at a server. However, OAuth cannot prevent counterfeiting the Authorization Server, thus phishing attacks are usually encountered. Although the version 2.0 of OAuth has been widely used in web authorization services, counterfeiting problem remains unsolved. In this paper, VOAuth (Validation OAuth) is proposed as a novel solution to address this problem, which brings in a Validation System and optimizes the processes of OAuth. The Validation System including Validation Gateway and Validation Client can guarantee the authenticity of Authorization Server by taking tripartite consultation and one-time pad into account, hence users can be protected from phishing due to that passwords will not be stored or submitted for a long time. In order to prove that VOAuth can avoid phishing attacks especially counterfeiting Authorization Server effectively, countermeasures on phishing threat models and formal verification in VOAuth are shown with Alloy Analyzer. Finally, VOAuth is implemented in an actual mobile Internet application and has been on-line for more than two years with over 15 million users. So far, the leakage of user privacy data does not occur and there is no phished account reported, which provides further evidence of the effectiveness of VOAuth.     

Confidentiality Protection in Cloud Computing Systems

Current cloud computing systems pose serious limitation to protecting users'' data confidentiality. Since users'' sensitive data is presented in unencrypted forms to remote machines owned and operated by third party service providers, the risks of unauthorized disclosure of the users'' sensitive data by service providers may be high. Many techniques for protecting users'' data from outside attackers are available, but currently there exists no effective way for protecting users'' sensitive data from service providers in cloud computing. In this paper, an approach is presented to protecting the confidentiality of users'' data from service providers, and ensures that service providers cannot access or disclose users'' confidential data being processed and stored in cloud computing systems. Our approach has three major aspects: 1) separating software service providers and infrastructure service providers in cloud computing, 2) hiding information of the owners of data, and 3) data obfuscation. An example to show how our approach can protect the confidentiality of users'' data from service providers in cloud computing is given. Experimental results are presented to show that our approach has reasonable performance.     

适用于网络内容审计的SSL/TLS保密数据高效明文采集方法

为解决互联网上使用安全套接层/传输层安全(SSL/TLS)协议保密的数据难以审计的问题,提出了一种基于中间人原理的SSL/TLS保密网络数据的明文采集方法,将作为合法中间人的数据采集器串行接入服务端与客户端之间,在SSL/TLS握手阶段通过修改通信双方传输的握手消息,取得通信双方用于数据加密的密钥,达到解密保密数据、采集其明文的目的。该方法比已有的基于代理服务器原理的采集方法传输时延更短,SSL吞吐率更大,占用内存资源更少;比已有的采集器持有服务端私钥的方案应用范围更广,且不受网络丢包的影响。实验结果表明提出的方法与基于代理服务器原理的采集方法相比,传输时延降低了约27.5%;SSL吞吐率提高了约10.4%,且SSL吞吐率已接近理想情况下的上限值。