互联网安全(一)摘要认证

原创 2016年05月31日 21:28:23

一、为什么需要认证

  经由HTTP协议进行通信的数据大多都是未经过加密的明文,包括请求参数、返回值、cookiehead等数据,因此,外界通过对通信的监听,便可以轻而易举地根据请求和响应双方的格式,伪造、修改、窃取信息。而且相对TCP来说,HTTP的通信更易于攻击。

 

  所以,为了防止在通信的过程中,数据被中途拦截和修改;或者虚假的客户端冒充正常的客户端发起请求,非法获取数据;再或者是客户端与虚假的服务端进行通信,将个人信息泄露给恶意的攻击者,需要对请求和响应的参数及客户端的身份进行认证,以保住正确信息发送给了合法的接收者。

 

二、原理

  对于普通的非敏感数据,我们更多关注其真实性和准确性。因此,如何在通信过程中保障数据不被篡改,才是考虑的首要问题。

常见的摘要算法包括:MD5SHA等。用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base64编码的用户名和密码不同,在摘要认证中服务器让客户选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(messagedigest),该摘要是关于用户名、密码、给定的nonce值、HTTP方法,以及所请求的URL。消息摘要函数也被成为散列算法,是一种在一个方向上很容易计算,反方向却不可行的加密算法。与基础认证对比,解码基础认证中的Base64是很容易办到的。在服务器口令中,可以指定任意的散列算法。

 

三、实现

HttpURLConnection hc = null; 
        try
        {
            hc = (HttpURLConnection) new URL(url).openConnection();
            hc.setConnectTimeout(10000);
            hc.setReadTimeout(10000);
            hc.setDoInput(true);
            hc.setDoOutput(true);
            hc.setUseCaches(false);
 
                        String content = param;
                DataOutputStream out = new DataOutputStream(hc.getOutputStream());
                 
                out.writeBytes(content);
                out.flush();
                out.close();
                //从hc中取出sessionId
                for (int i = 1; (key = hc.getHeaderFieldKey(i)) != null; i++)
                {
                    if (key.equalsIgnoreCase("Set-Cookie"))
                    {
                        sessionId = hc.getHeaderField(key);
                        sessionId = sessionId.substring(0, sessionId.indexOf(";"));
                        break;
                    }
                }
BufferedReader reader = new BufferedReader(
                        new InputStreamReader(hc.getInputStream()));
                String lines;
                while ((lines = reader.readLine()) != null)
                {
                    break;
                }
                 
                reader.close();
 catch (Exception e)
        {
            //
            //e.printStackTrace();
            return false;
        }
        finally
        {
            // 断开连接
            hc.disconnect();
        }



版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

历经3年封闭研发 新锐互联网安全软件“火绒”正式面世

7月8日,火绒公司(www.huorong.cn)重量级个人安全产品——“火绒安全软件”开始大规模公测。该软件由资深安全专家、瑞星前CTO刘刚领军,经过近3年的封闭开发,其动态防御、杀毒引擎和未知病毒...

Medusa1号互联网安全大师Setup

  • 2011年04月07日 21:40
  • 14.97MB
  • 下载

盘点2017年上半年移动互联网安全事件

毋庸置疑,移动互联网的便利是一把双刃剑——在给人们带来无限便利的同时,也以新的方式威胁着人们的安全。对于用户而言,需要时刻保持警惕心,上网过程中要随时保持警惕,保护好个人信息,不轻易点击陌生链接,不相...

火绒互联网安全软件2.0正式版

  • 2014年08月26日 16:12
  • 8.53MB
  • 下载

2014中国互联网安全大会

详细地址:http://isc.360.cn/2014/index.html

IDCISP互联网安全管理综合解决方案

  • 2015年06月12日 16:15
  • 7.53MB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:互联网安全(一)摘要认证
举报原因:
原因补充:

(最多只允许输入30个字)