运用SPIN对开放授权协议OAuth 2.0的分析与验证

OAuth 2.0协议是一种开放授权协议,主要用于解决用户账号关联与资源共享问题。但是,其弱安全性导致各网络公司海量用户信息泄露,且OAuth 2.0传输数据采用的https通道效率低下,成为黑客攻击对象。提出采用http通道传输OAuth 2.0协议数据,基于Promale语言及Dolev-Yao攻击者模型对OAuth 2.0协议建模,运用SPIN进行模型检测。形式化分析结果表明,采用公钥加密体系对OAuth 2.0协议进行加密不安全。上述建模方法对类似的授权协议形式化分析有重要借鉴意义。     

基于OAuth2.0 的认证授权技术

开放平台的核心问题是用户验证和授权问题,OAuth是目前国际通用的授权方式,它的特点是不需要用户在第三方应用输入用户名及密码,就可以申请访问该用户的受保护资源。OAuth最新版本是OAuth2.0,其认证与授权的流程更简单、更安全。研究了OAuth2.0的工作原理,分析了刷新访问令牌的工作流程,并给出了OAuth2.0服务器端的设计方案和具体的应用实例。     

系统科学视域下基于OAuth2.0的授权登录安全性提升方案研究分析

为了极大限度地给用户提供便利,如今的网络应用供应商都提供了第三方授权登录的方式,目前OAuth2.0为单点登录(SSO)最为广泛的身份认证授权协议.OAuth2.0是开放式标准的第三方授权协议,允许用户授权第三方平台获取在某一平台上存储的个人信息资源,而无需将用户名和密码提供给第三方平台;针对OAuth2.0协议实施过...     

基于OAuth2.0,OpenID Connect和UMA的用户认证授权系统架构

用户认证系统的基本功能是用来证明一个用户是他声称的那个用户,并管理该用户相关的基本信息。用户授权系统的基本功能是授予用户或应用权限访问受保护的资源。OAuth2.0是一个用户授权框架,该框架提供了使客户端应用可以请求用户授权该应用访问该用户受保护的资源的功能。Open ID Connect是基于OAuth2.0框架的用户身份认证协议。UMA是基于OAuth2.0框架的用户间授权协议。本文介绍了上述框架和协议的功能与实现,并整合三者尝试搭建完整的用户认证授权系统,使该系统架构具备功能上的完备性,良好的安全性,灵活的连通性,可扩展性,高性能以及高可用性。     

OpenID与OAuth融合认证中令牌安全提升方法

移动互联网、物联网的资源交换共享。需要一种开放的身份认证与授权机制。Open ID与OAuth融合能够满足需求,也被很多互联网公司的业务平台所采用。但令牌存放位置可导致令牌泄露,而融合协议频繁的重定向则增大了令牌泄露风险。本文通过对协议建立形式化表达模型,用软件工具分析了协议安全性,证明了令牌通过Cookie存放是问题所在。通过调整融合认证的体系结构,在认证过程参与的实体上应用本地多级信任缓存,可以减少30%~50%的认证信令,提高了令牌的安全性。针对令牌攻击及相关的安全建议,进行了改进前后的对比验证,实验结果表明该方法可有效抵御针对令牌的网路攻击,提升平台的安全性。     

Android平台下基于OAuth2.0协议的三方认证技术研究与实现

三方认证协议OAuth不会让第三方涉及到用户名和密码等用户私密信息,在第三方不需要使用用户名和密码的情况下就可以得到用户的访问授权,具有简单、安全、开放等特点,在实际中得到广泛应用。该协议已经成为开放资源授权的标准。文章以最新的OAuth2.0版本为对象,研究了其认证过程,并在Android平台上以腾讯微博为例实现了相关功能。     

基于CPN的OAuth协议建模与分析

在云计算环境下,网络安全协议的执行环境变得更为复杂,应用Web安全问题开放授权协议,可以提高信息共享的安全性. 本文采用CPN（Colored Petri Net）对OAuth协议进行建模,使用仿真工具CPNTools分析OAuth协议授权码模式的相关性质,并通过仿真实验表明授权码模式可以基于令牌进行验证与授权,防止针对授权码的CSRF注入攻击.     

一种改进的OAuth授权机制有效性分析

国内微博、微信、百度等开放平台的出现,使"第三方"认证授权登录广泛应用到各个领域,因此,OAuth(Open Authorization)协议作为开放平台认证授权系统的标准协议而备受关注。众多研究表明这些开放平台中现今广泛使用的OAuth2.0协议在具体的实现过程中,很容易遭受钓鱼攻击、中间人攻击和CSRF攻击。为了抵抗网络中最常见的钓鱼攻击,研究提出通过防止攻击者伪装成授权服务器来改进OAuth2.0授权机制的解决方案,并证明了改进授权机制的安全有效性。为OAuth2.0协议的安全性改进提供了借鉴。     

基于口令签名和OAuth2.0协议的强身份认证方案

为了解决网络应用身份认证问题, OAuth2.0协议在实际生产环境中得到了非常广泛的应用.但很多系统在设计时不合理使用OAuth2.0标准、产生很多安全漏洞.分析了近年来关于OAuth2.0协议出现的安全问题,包括中间人攻击,授权劫持漏洞和CSRF漏洞,针对这些安全问题提出了一种基于口令的Schnorr数字签名和OAuth2.0的强身份认证方案.最后对该方案进行安全性分析,结果表明该方案具有良好的安全性且易于使用.     

OAuth2.0协议形式化验证: 使用AVISPA

OAuth协议是一套用于在不同的服务中进行身份认证并且实现资源互访一套协议.由于关系到用户隐私,所以OAuth协议的安全性非常重要.这篇文章的主要贡献是研究OAuth2.0协议文本,对协议进行抽象,并且使用验证工具AVISPA对抽象后的协议进行建模与验证,找到协议中会导致隐私泄露的一种攻击模式.我们在建模过程中提出需将要验证的消息作为双方的对称密码这样一种创新思路.这种对协议的抽象和验证的方法可以推广到其他安全协议上,例如在线支付协议等等.     

基于微信的数据安全自毁服务平台

针对社交软件中数据信息易泄露的现状,展开了社交软件数据安全自毁服务平台的研究.利用微信,结合TLS协议,一种基于网络的数据自毁方法以及微信的第三方网页授权OAuth2.0机制构建了基于微信的数据安全自毁服务平台,以微信作为基础推广平台,用TLS协议保障客户端和服务器之间的数据传输的安全,核心为改进后的一种基于网络的数据自毁方法作为服务器端的数据安全自毁方案,最后使用微信的第三方网页授权OAuth2.0机制为基础完成对用户身份的识别.通过结合实例与理论分析,验证了设计方案的可行性和安全性.     

基于OAuth 2.0的委托授权架构

认证与授权是保障网络资源安全授权访问的重要技术,而委托可增强授权机制的动态性、灵活性和规模性。OAuth 2.0规范给出了一个开放的委托授权架构,并得到广泛应用,但不适用于需要更强安全特性的场合。通过对OAuth 2.0进行扩展,提出一种Web应用环境下的安全委托授权架构。基于所有权证明（Proof-of-Possession, PoP）安全机制,提出客户端认证到资源服务器的方案,描述PoP密钥绑定到PoP令牌的方法,并详细讨论架构的总体结构和实施流程以及委托的撤销等相关问题。     

基于OAuth2.0协议的安全授权模型研究

本文在OAuth2.0授权码模型的基础上做出改进,采用HLPSL语言对授权码模型进行形式化建模,建立OAuth2.0协议授权码模型形式化模型,找到授权码模型出现安全漏洞的根本原因是客户端凭证可以被攻击者窃取。结合惰性无限状态方法和惰性攻击者优化方法对形式化模型分析和验证。提出OAuth2.0安全授权码模型,并分析和验证其在理论上无安全漏洞。通过的研究,本文可以提供一套安全的OAuth2.0授权协议模型,对目前安全要求高的开放平台的授权是有指导意义的。     

OAuth2.O协议认证授权实现方案研究

分析了OAuth2.0“授权码”认证授权模式的详细流程,给出了Java编程实现认证授权服务的关键代码,并对使用中需注意的安全问题进行了分析.     

基于OAuth2.0协议的微信公众平台开发研究

随着微信用户的急剧增加以及微信推出的公众平台的开放性,分析了微信公众平台的应用前景,并分析了OAuth2.0协议中第三方应用、普通用户、授权服务器及资源服务相互认证模型。最后以微信公众平台为例,对其接入规范和如何使用OAuth2.0验证进行研究,实现并验证了手机应用与微信公众平台的账号互通功能。     

数据摆渡在安全移动存储中的应用研究

当前针对移动存储设备的信息安全防护需求非常迫切,防止移动设备中的隐秘信息泄露问题尤其突出。采用可信网络接入（TNC）架构,基于数据摆渡技术实现对移动存储设备的可信域接入认证和数据文件在移动存储设备中的无协议摆渡,同时加入基于指纹识别的身份认证和用户对单个文件的操作授权机制来进一步提高移动存储的整体安全性。     

改进的OAuth2.0协议及其安全性分析

随着OAuth2．0协议的广泛应用,其安全性受到了人们的重点关注．为了增强OAuth2．0协议的安全性,本文首先引入数字签名技术,提出一个改进的OAuth2．0协议．它支持授权服务器对资源拥有者和客户端的身份认证．并且在计算模型下基于Blanchet演算,应用一致性对授权服务器认证资源拥有者和客户端进行建模,最后使用自动化工具CryptoVerif分析和证明了其认证性．     

基于数字证书与OAuth2.0的IDP改进模型

随着云计算技术的快速发展和各种云端应用的开展,云环境中用户身份认证和授权管理成为云安全的关键问题之一。OAuth 2.0规范草案较好解决了云环境下的用户授权问题,提出了四种授权类型。本文在OAuth 2.0规范基础上,针对应用比较广泛的Authorization Code模式提出了基于数字证书的IDP改进模型。论文最后讨论了改进模型的优势。     

云计算身份认证模型研究

云计算是在继承和融合众多技术基础上的一个突破性创新,已成为当前应用和研究的重点与热点。其中,云用户与云服务之间以及云平台中不同系统之间的身份认证与资源授权是确保云计算安全性的前提。在简要介绍云计算信息基础架构的基础上,针对云计算统一身份认证的特点和要求,综合分析了SAML2.0、OAuth2.0和Open ID2.0等技术规范的功能特点,提出了一种开放标准的云计算身份认证模型,为云计算中逻辑安全域的形成与管理提供了参考。     

基于令牌认证方案的改进研究与实践

就前后端分离的软件开发模式而言,保护后端数据接口不被非法调用是十分重要的。令牌作为获取保护资源的凭证,需要提供过期时间,否则认证功能就失去了意义。针对活跃用户,需要在有效时间内提供自动登录功能,可以提升使用体验。本文研究了OAuth(Open Authorization,一种开放的授权标准)的认证机制,并在ASP.NET Web API框架基础上,实现身份认证方案,当访问令牌过期后,增加令牌刷新机制,既能够改善用户体验,也能够有效保护数据接口。该方案具有通用性,适用于前后端分离的软件开发。通过测试,表明了该方案具有有效性和可行性。