為什么80%的碼農都做不了架構師？>>> ??

?互聯(lián)網工程任務組（IETF）是開發(fā)和推廣互聯(lián)網標準的組織，其在上周批準了三項新標準，旨在提高身份驗證令牌的安全性，防止“重放攻擊”。?

目前，身份驗證令牌被用于所有網絡訪問中。當一個人登錄他的Google或Facebook帳戶時，會生成一個身份驗證令牌并存儲在用戶瀏覽器內的cookie文件中。當用戶訪問Google或Facebook站點時，用戶的瀏覽器不會要求用戶再次輸入憑證，而是向網站提供用戶的身份驗證令牌。?

但身份驗證令牌不僅用于瀏覽器cookie和網站。它們還用于OAuth協(xié)議，JSON Web令牌（JWT）標準以及一系列實現(xiàn)基于令牌的身份驗證的公共庫或私有庫，通常與API和企業(yè)軟件解決方案一起使用。

?黑客很久以前就已經發(fā)現(xiàn)他們無需竊取用戶的密碼，只要竊取這些令牌就可以訪問用戶帳戶而無需知道密碼，這種攻擊被稱為“重放攻擊”。?

上周，IETF正式批準了三項旨在保護基于令牌的身份驗證系統(tǒng)的新標準：

RFC 8471?- 令牌綁定協(xié)議版本1.0

RFC 8472?– 用于協(xié)商令牌綁定協(xié)議的TLS擴展

RFC 8473?- 通過HTTP進行令牌綁定

?這三個標準旨在為新的訪問/身份驗證令牌的生成和協(xié)商過程添加額外的安全層。其主要構思是在用戶設備和令牌之間建立連接，即使攻擊者設法記錄下令牌，他也無法執(zhí)行重放攻擊，除非他使用與創(chuàng)建令牌時相同的設備或設備配置。?

由于現(xiàn)代絕大多數網絡流量都是加密的，因此新的令牌綁定協(xié)議是專門針對在建立TLS加密會話之前發(fā)生的TLS握手過程而設計的。該協(xié)議的作者表示，他們設計了令牌綁定過程，以避免為TLS握手過程增加額外的往返次數，這意味著現(xiàn)有服務器不會受到任何不必要的性能損失。

研究人員還指出，新的令牌綁定協(xié)議不一定僅限于硬件級別的綁定令牌，也可以在軟件級別工作并安全地綁定令牌，這意味著它幾乎可以在任何地方實現(xiàn)。

目前，令牌綁定協(xié)議是圍繞TLS 1.2設計的，但它也將被修改為與更新的TLS 1.3一起使用。

?

了解更多HTTPS相關資訊，關注沃通 SSL證書

官網：www.wosign.com

電話：0755-8600 8688

轉載于:https://my.oschina.net/wossl/blog/2250760

總結

以上是生活随笔為你收集整理的IETF批准新的互联网标准 防止重放攻击——沃通CA业界新闻的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。