关于在非安全信道中的用户名-密码方式的验证安全问题

最新推荐文章于 2022-01-08 22:46:25 发布
最新推荐文章于 2022-01-08 22:46:25 发布
阅读量1.4k 收藏
点赞数
分类专栏: Ajax 安全性 文章标签: 加密 服务器 算法

大家都知道FTP的用户密码是明码传输,在公网环境下极不安全。因为考虑过书写一个类似的需要安全验证的协议,研究了一下相关的问题。假设一个非法用户可以嗅弹到会话的所有内容,该协议需要达到以下的要求:

1.非法用户无法得到密码

2.非法用户无法利用嗅探到的信息通过验证

我们可以考虑依靠DES等私钥加密方法加密密码,假如我们写的是一个公共的协议,加密方法和加密密钥就都需要公开,加密就形同虚设,黑客可以轻易的得到原来的密码。

我们再考虑MD5hash算法,当服务器要求密码时,客户端对密码作hash,服务器把客户的密码hash和服务器的密码hash作比较,假如相同就是验证通过,黑客只能得到HASH过的密码,假如原始密码比较复杂的话,黑客是无法在有限时间得到原始密码的,第一点满足了,公钥加密方法也可以达到类似效果。

但是我们发现黑客虽然无法得到原始密码,但是他毕竟得到了hash以后的密码,使用这个密码,也可以正常登录,我们第2点是无法满足的,所以,我们要考虑需要一些客户端的信息,和密码一起做HASH,这个信息必须:

1.服务器和客户端都可以得到这个信息并且内容一致

2.黑客难以伪造这个信息

一个看起来不错的信息是客户的ip地址(我首先想到的也是这个),但是可惜,因为NAT的存在,这个并不是很好用,我一直把精力放在客户可以提供的信息上,最后在Serv-UFtpServer中发现它的一种对密码进行MD5的登录会话是这样的:

220Serv-UFTPServerv5.0forWinSockready...

USERtest

331Responsetootp-md5998lame113requiredforskey.

PASSSLATBEARQUOTOILMARSGORE

230Userloggedin,proceed.

相同的机器,另外一次登录又不一样了:

220Serv-UFTPServerv5.0forWinSockready...

USERtest

331Responsetootp-md5994lame113requiredforskey.

PASSFLEDDOOMOVASAFELESTHALT

230Userloggedin,proceed.

总算茅塞顿开:服务器发送给客户一个KEY,然后客户再把密码和这个KEY一起做Hash。因为每次发送的KEY都不一样,即使黑客可以嗅探到登录会话,也无法得到密码或者伪造信息进行登录了。

写出这个,无非是整理我对这个问题的一些思路,希望对大家有作用,也希望大家提一些看法(俺不是搞这个的,大家点拨点拨)

 (转自Carfield的猫窝)

ThinMichael
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
FTPClient各种replyCode的含义
linjing2587032062的博客
08-18 1万+
FTP服务器: 220 (vsFTPd 2.0.1)                                          |说明:链接成功 FTP客户端: USER useway                                                 |说明:输入用户名 FTP服务器: 331 Please specify the password.  
华三SE-WLAN-342华三SE-WLAN-342华三SE-WLAN-342
03-20
8021X通过用户名密码和证书验证身份合法性。 - D. 8021X采用证书,密钥唯一且动态。 16. **无线网络优势**:无线网络的主要优点: - A. 移动性和灵活性。 - B. 经济性,尤其在特殊环境下的部署。 - C. 提高...
SSH可信信道安全属性的形式化验证 (2012年)
04-25
可信信道是一个与终端的系统平台状态信息安全绑定的安全信道.现有的关于可信信道的研究工作都没有从理论上对所设计的可信信道安全属性进行分析.本文首先提出一个基于SSH安全信道协议的可信信道协议,然后利用形式化模型检测器NuSMV分析该协议的安全属性,最后基于检测器执行轨迹所构成的反例,提出了一个强壮的SSH可信信道协议.本文提出的建模和验证方法具有通用性,可用于分析其他基于安全信道协议的可信信道协议的安全属性.
密码安全与会话安全
IDEAL Garden
08-25 186
对于登录大家并不陌生,访问系统几乎都需要登录。因为系统也不知道是谁在访问,所以需要你告诉系统你是谁,还需要证明你真的是你,如何证明?给系统展示你的密码,因为密码只有你才拥有,你有这个密码,你就能证明你真的是你,这就是一个登录。 看似简单的几个步骤,但里面涉及的安全问题却有很多。 密码存储安全 首先我们看关于密码存储安全问题。系统服务器需要存储用户密码,才能在用户登录时验证密码的正确性,但存储就会有泄露的风险,比如数据库被偷,服务器被入侵,内部员工泄露数据,被撞库等风险。因此我们需要认真地考虑如何安全存储
用FTPClient的来上传下载文件
a1124544556的博客
06-17 1214
ftp上传与下载,这里用到的是org.apache.commons.net.ftp.FTPClient工具类,. 上传的思路:1.创建FTPClient对象,2.建立连接(对应的ip和port)3.登陆(username和password)4.得到返回值(ftp.getReplyCode())5.判断这个返回值是不是有意义的(FTPReply.isPositiveCompletion(reply
电信设备-一种移动端身份认证及安全信道建立的方法.zip
09-19
这份资料“电信设备-一种移动端身份认证及安全信道建立的方法”着重探讨了如何确保用户身份的安全验证以及在无线通信环境创建安全的数据传输通道。 首先,移动端身份认证是为了防止未经授权的用户访问系统或服务...
网络信息系统安全保护等级划分准则.pdf
最新发布
10-20
隐蔽信道是指允许进程以危害系统安全策略的方式传输信息的通信信道。 计算机信息系统安全保护等级划分准则的定义了计算机信息系统安全保护能力的五个等级,并规定了每个等级的安全保护能力和功能,为计算机信息系统...
移动办公安全白皮书V2.docx
11-19
移动办公安全白皮书V2详细探讨了在现代工作环境,如何确保远程和移动工作的安全性。这份文档重点关注了四个关键领域:终端接入安全、传输安全、存储安全以及机制安全,旨在为用户提供一套全面的安全策略来保护敏感...
网络信息安全员(高级)——02网络信息安全技术.pptx
09-22
经典的密码体制,加密密钥与解密密钥是相同的,或者可以简单相互推导。这种密码体制称为对称密码体制。 现代密码学修正了密钥的对称性,提出了公开密钥密码体制(简称公钥体制),它的加密、解密密钥是不同的,也...
FTP无法连接/列表错误
qq263308404的博客
03-08 1万+
最近新开通的腾讯云服务器安装了IIS和FTP服务后,创建FTP站点使用FlashFxp连接不上。网上看了很多办法都不行。提示“列表错误; PASV 模式失败, 尝试 PORT  模式”,切换到被动模式创建文件夹可以成功,但是就是看不到文件也不能上传文件,折腾了2天终于在国外的论坛上看到几个相关词,研究了下终于解决了。如果尝试了以下方法都能解决,那就就用我的方法试试:1、检查防火墙,是否允许20、2...
Ftp 各种命令以及返回状态码说明
热门推荐
Younge的专栏
02-14 3万+
Ftp 各种命令说明以及返回状态码说明
ftp.getReplyCode()返回值是503
KimHiang
05-24 1万+
调用下面这个工具类,当执行到ftp.getReplyCode();返回值是503,登录失败原因:用户名密码错误 提示:如果用户名密码读取自文件,要去掉用户名密码左右两边的空格 public static boolean uploadFile(String host, int port, String username, String password, String basePath
java代码实现文件上传到linux服务器及问题汇总及解决(亲测可行)
为梦想而飞
03-07 2万+
近段时间java代码向服务器上传文件的代码。可是屡试不行。很是郁闷。最终还是完成了。自己也总结了许多上传的错误及解决分析,都是自己自己总结的,若有什么理解错误,欢迎大家留下宝贵意见,还有很多不懂得大家一起深入了解。在此谢过了 部分异常解决 sun.net.ftp.FtpProtocolException: STOR 111.txt:425 Can't build data connection: Connection timed out. at sun.net.ftp.FtpClient.openDat
解决百度地图SDK报错问题 鉴权错误信息 errorcode: 230
Sunxiaolin2016的博客
06-09 7658
1.使用百度地图SDK的应用需要申请应用(AK) 官网网址为:http://lbsyun.baidu.com/apiconsole/key/create 如图下: 需要获取开发版本SHA1和发布版本SHA1,参考文章: https://blog.csdn.net/Sunxiaolin2016/article/details/91042117 将AK加入到AndroidManifest.xml:...
FTP返回值详解
pgmsoul的专栏
05-02 2万+
<br /><br />FTP:屏幕信息举例 <br />1、用户要用FTP和远地主机(网络信息心NIC上的主机)建立连接。 <br />2、本地FTP发出的连接成功信息。 <br />3、从远地服务器返回的信息,220表示“服务就绪”。 <br />4、本地FTP提示用户键入名字。用户键入的名字表示“匿名”。在internet上有许多文件免费向公众提供。用户不需要键入自己的真是名字而只需键入anonymous即可。 <br />5、数字331表示“用户名正确”,需要口令。 <br />6、本地FTP提示
FTP上传问题总结
褚卫国的专栏
03-02 846
java代码实现文件上传到linux服务器及问题汇总及解决(亲测可行) 时间 2014-03-07 17:08:35            CSDN博客                    相似文章 (0)原文                  http://blog.csdn.net/u012540337/article/details/20720785 近段时间java代码
安全协议设计与分析-32学时 考试复习
TFBOYSFANS的博客
01-08 6175
本课程学习目的是安全协议的基本概念、基本原理,了解基础密码协议、高级密码协议及应用密码协议、密钥协商、实体认证、高级签名协议、不经意传输、秘密分享和门限密码等基本知识,为深入开展信息安全专业的相关研究奠定基础。 本课程的前导专业课程密码学基础,本课程是计算机科学与技术专业和物联网工程专业本科生的专业课程。
errorcode: 230 uid: -1 appid -1 msg: APP Scode码校验失败
丿CoolTone的博客
08-10 1508
Authentication Error ============================================= ----------------- 鉴权错误信息 ------------ sha1;package:42:1D:F1:C5:83:C3:69:B1:69:49:AD:FC:65:FD:16:8F:1C:12:CE:6C;com.meihuo.multimedia2 key:zkk08cybjGQisPwRrGiBSA8pLYLNIpG3 errorcode: 23

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值