為什么80%的碼農(nóng)都做不了架構(gòu)師？>>> ??

?互聯(lián)網(wǎng)工程任務(wù)組（IETF）是開發(fā)和推廣互聯(lián)網(wǎng)標(biāo)準(zhǔn)的組織，其在上周批準(zhǔn)了三項新標(biāo)準(zhǔn)，旨在提高身份驗證令牌的安全性，防止“重放攻擊”。?

目前，身份驗證令牌被用于所有網(wǎng)絡(luò)訪問中。當(dāng)一個人登錄他的Google或Facebook帳戶時，會生成一個身份驗證令牌并存儲在用戶瀏覽器內(nèi)的cookie文件中。當(dāng)用戶訪問Google或Facebook站點時，用戶的瀏覽器不會要求用戶再次輸入憑證，而是向網(wǎng)站提供用戶的身份驗證令牌。?

但身份驗證令牌不僅用于瀏覽器cookie和網(wǎng)站。它們還用于OAuth協(xié)議，JSON Web令牌（JWT）標(biāo)準(zhǔn)以及一系列實現(xiàn)基于令牌的身份驗證的公共庫或私有庫，通常與API和企業(yè)軟件解決方案一起使用。

?黑客很久以前就已經(jīng)發(fā)現(xiàn)他們無需竊取用戶的密碼，只要竊取這些令牌就可以訪問用戶帳戶而無需知道密碼，這種攻擊被稱為“重放攻擊”。?

上周，IETF正式批準(zhǔn)了三項旨在保護(hù)基于令牌的身份驗證系統(tǒng)的新標(biāo)準(zhǔn)：

RFC 8471?- 令牌綁定協(xié)議版本1.0

RFC 8472?– 用于協(xié)商令牌綁定協(xié)議的TLS擴(kuò)展

RFC 8473?- 通過HTTP進(jìn)行令牌綁定

?這三個標(biāo)準(zhǔn)旨在為新的訪問/身份驗證令牌的生成和協(xié)商過程添加額外的安全層。其主要構(gòu)思是在用戶設(shè)備和令牌之間建立連接，即使攻擊者設(shè)法記錄下令牌，他也無法執(zhí)行重放攻擊，除非他使用與創(chuàng)建令牌時相同的設(shè)備或設(shè)備配置。?

由于現(xiàn)代絕大多數(shù)網(wǎng)絡(luò)流量都是加密的，因此新的令牌綁定協(xié)議是專門針對在建立TLS加密會話之前發(fā)生的TLS握手過程而設(shè)計的。該協(xié)議的作者表示，他們設(shè)計了令牌綁定過程，以避免為TLS握手過程增加額外的往返次數(shù)，這意味著現(xiàn)有服務(wù)器不會受到任何不必要的性能損失。

研究人員還指出，新的令牌綁定協(xié)議不一定僅限于硬件級別的綁定令牌，也可以在軟件級別工作并安全地綁定令牌，這意味著它幾乎可以在任何地方實現(xiàn)。

目前，令牌綁定協(xié)議是圍繞TLS 1.2設(shè)計的，但它也將被修改為與更新的TLS 1.3一起使用。

?

了解更多HTTPS相關(guān)資訊，關(guān)注沃通 SSL證書

官網(wǎng)：www.wosign.com

電話：0755-8600 8688

轉(zhuǎn)載于:https://my.oschina.net/wossl/blog/2250760

總結(jié)

以上是生活随笔為你收集整理的IETF批准新的互联网标准 防止重放攻击——沃通CA业界新闻的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。