基于消息摘要的身份验证及其实现

最新推荐文章于 2022-03-28 00:01:31 发布
最新推荐文章于 2022-03-28 00:01:31 发布
阅读量836 收藏
点赞数
分类专栏: 网络开发 文章标签: 密码校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackson_xp/article/details/9285275
版权

   在传统的C/S软件开发中, 通常都是客户端将用户名、密码以一定的形式加密后发往服务端验证.服务端根据客户端传送上来的用户名、密码到数据库上查询是否有相应的记录来判断该用户是否合法.

 这样做的缺点很明显,一旦网络中有类似于sniffer一类的监测器该用户信息就很容易被伪造. 根本原因在于直接传输用户名/密码, 跟加不加密没有太多关系.

 举个例子来说,如果用户名是Jackson,密码不知道. 监测后得知加密后的用户名是#I$UU#U(Q!@#$@,加密后的密码是@$)*^&^&%@!@&&#$@#@#$#&$. 那么仅需发送那两个字符串就可以伪造Jackson.

那样无疑是很不安全的. 下面给出一个基于消息摘要的身份验证及其实现.

先看图


由上图可知密码不再网络上传输,  取而代之的是服务器发送给客户端的Nonce及包含用户名/密码/nonce在内的加密串.  Nonce只能用一次,并且会超时. 这样可以有效地对抗抓包/重放包等尝试性的猜测攻击.


事实上这是RFC2609摘要认证的一个实现例子.

RFC2609大致定义了一个传统的由服务器生成随机数来维护安全性的摘要认证架构。认证响应由下列组成(HA1、HA2、A1、及A2为字符串变量的名称):

HA1 = MD5(A1) = MD5(username:realm:password)
HA2 = MD5(A2) = MD5(method:digestURI)
response = MD5(HA1:nonce:HA2)

因为MD5是不可逆的,所以想从加密串中推导出用户名/密码也是不可能的. 并且在这个公式中,其实并没有直接用到用户名/密码.因此允许数据库存放md5之后的数值HA1.这样可以有效防止数据库被攻破后照成的密码泄露问题.

实现代码见http://download.csdn.net/detail/jackson_xp/5625287
事实上这是RFC2609 摘要认证的一个实现例子.
Jackson-zhou
关注
专栏目录
消息摘要与身份认证
qq_54580973的博客
05-05 411
一、消息摘要 消息摘要算法密码算法中非常重要的一个分支,它用于生成数据的"指纹",具有不可逆性。消息摘要算法也被称为哈希(Hash)算法或散列算法消息摘要算法的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密。著名的摘要算法有MD5算法和SHA-1算法。 (一)、MD5算法 中文名为:消息摘要算法第五版 由MD2、MD3、MD4发展而来; 是最常用的一种散列函数,用以提供消息完整性保护; 无法从结果还原出原始信息。 算法的输入输出 输入:任何长度的字节流 输出.
详解摘要认证
weixin_34418883的博客
12-01 505
1. 什么是摘要认证摘要认证与基础认证的工作原理很相似,用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-Authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base 64编码的用户名和密码不同,在摘要认证中服务器让客户端选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(message digest),该摘要是关于...
Java安全学习笔记(六)-使用消息摘要验证口令
上官云霆的博客
08-24 928
使用消息摘要验证口令 本实例介绍如何使用所保存的消息摘要严恒用户输入的口令是否正确。若账号和口令都与保存在user_pass.txt中的相同,则提示“账号和口令都正确”,否则提示"错误的账号或口令"。不过这代码的逻辑总是有点奇葩哈哈。 使用消息摘要验证口令的技术要点如下: 1.读取文件中对应账号,口令的消息摘要 2.生成用户输入的口令的消息 3.将用户输入的口令的摘要和文件中保存的口令摘
访问axis2 身份验证_了解HTTP摘要访问身份验证
culi3182的博客
08-13 500
访问axis2 身份验证Digest Access Authentication is one method that a client and server can use to exchange credentials over HTTP. This method uses a combination of the password and other bits of information ...
数据完整性验证之数字摘要算法
虎哥LoveDroid
10-27 3671
消息摘要算法包含MD、SHA和MAC共3大系列,常用于验证数据的完整性,是数字签名算法的核心算法。数字签名算法常用函数为散列函数,用于数据完整性校验。任何消息经过散列函数处理后,都会获得唯一的散列值。这一过程称为“消息摘要”, 其散列值成为“数字指纹”,自然其算法就是“消息摘要算法”了。如果其数字指纹唯一,就说明其消息是一致的。 消息摘要算法一直是非对称加密算法中一项举足轻重的关键算法消息摘要算法主要分为三大类:MD(Message Digest, 消息摘要算法)、SHA(Secure Hash Alg
"轻量级三因素身份验证框架及其在基于物联网的应用中的应用
沙特国王大学学报一个轻量级的三因素身份验证框架,用于基于物联网的关键应用程序Manasha Saqib,Bhat Jasra,Ayaz Hassan Moon工程技术学院,伊斯兰科学技术大学,印度,J·阿提奇莱因福奥文章历史记录:2021年4月...
基于ASP.NET MVC3的身份验证及权限控制方案设计
12-17
基于ASP.NET MVC3的身份验证及权限控制方案的具体实现步骤如下: ##### 3.1 身份验证实现 在ASP.NET MVC3中,可以使用`FormsAuthentication`类来实现表单身份验证。该类提供了多种方法来处理用户认证过程,例如: ...
基于仲裁的线性代码的多发送方身份验证代码的两种构造
04-07
### 基于仲裁的线性代码的多发送方身份验证代码的两种构造 #### 摘要与介绍 本文提出了一种利用线性代码构建多发送方身份验证代码的方法。在通信网络或群组通信场景中,信息安全主要包括保密性和认证两大部分。...
"传感器网络中基于环签名的身份验证与隐私保护
Journalof King Saud University沙特国王大学沙特国王大学学报...此验证需要源节点的身份验证认证过程还必须保护隐私,使得节点和感测对象不受危害。在这项工作中,提出了一个环签名认证的源节
摘要算法
qq_29684215的博客
12-07 501
摘要算法又称哈希算法、散列算法。 原理及作用: 它可以把任意长度的数据转换为一个长度固定且唯一(不同数据的加密结果重复概率极低,有兴趣请阅读https://blog.csdn.net/skyMountain/article/details/532819)的数据串(通常用16进制的字符串表示),从而到达验证数据是否被人篡改的作用。(简单来说就是验证数据的完整性) 分类: 消息摘要算法分为三类...
使用OSPF路由协议配置的身份验证
weixin_34232617的博客
01-12 208
OSPF 配置    Router ospf 进程号    Redistribute 其它路由协议    Network 端口网络 反掩码 area 区域号    Area 区域号 range 网络号 掩码    Area 区域号 default-cost 花销值    Ip ospf priority number    Ip ospf cost 花销值 <BR&gt...
摘要验证浅析
abc的旅途
03-11 392
摘要验证说白了就是客户端使用用户名和密码用特定的算法计算请求信息的hash值并传到服务器,服务器也用保存在服务器的用户名和密码用同样的算法计算hash进行比较验证,hash值一致则代表客户端的用户和密码正确。 摘要验证的原理就是用计算出的摘要来代替密码进行网络传输,避免了基本验证的安全问题。 本于不重复造轮子的原则,详细资料可查阅文章结尾处的链接。 对于摘要验证我画了个图:
消息摘要、MAC(消息认证码)、数字签名扫盲贴
zxh2075的专栏
06-11 2925
本文主要是对维基百科的翻译,原文Message authentication code。   In cryptography(密码学), a message authentication code (MAC) is a short piece of information used to authenticate(鉴定) a message—in other words, to confirm...
发现了一篇让人分清MAC、消息摘要、数字签名的文章
q2972112的博客
01-01 3222
发现了一篇让人分清MAC、消息摘要、数字签名的文章 安全体系(零)—— 加解密算法消息摘要消息认证技术、数字签名与公钥证书 https://blog.csdn.net/xjhhjx/article/details/81603107 抓自己想看的重点如下: 1.数据传输的安全 1.1 对称加密 又称共享加密,加解密使用相同的密钥。常见算法:DES 问题:如何保证密钥的安全性? 1.2 非对称加密...
摘要认证和签名认证
loongshawn的博客
03-05 3882
常见的安全算法-整理 文章中介绍了各种安全算法,这一节整理下算法的使用场景。 为什么需要认证 摘要认证原理 摘要认证实现 签名认证原理 签名认证实现 ...
Java8流式编程入门
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
03-28 796
声明性:流式编程的所有操作都是语义化的,我们完全可以通过方法名大致猜出操作目的。可复合:流式编程无需像jdk8之前的版本为了实现组合操作而取创建各种临时集合,取而代之的是基于一段连续的流自顶而下的实现组合操作。可并行:当我们需要提高计算密集型任务的性能时,只需将stream改为,就可以开启并行流开启多个线程一起工作(默认情况下,线程数和计算机的CPU核心数是一样的)。//找出低于400卡的菜肴//按照升序排列//得到这些菜肴的名称//组成list。
消息摘要消息认证码(MAC),数字签名
qq_33148269的博客
03-31 2683
1.消息摘要消息摘要算法只接受一个消息作为输入,并生成一个“消息摘要”(也称为散列),它允许验证消息的完整性:对消息的任何更改都将(理想地)生成不同的哈希。 比如客户端A想给服务端B发送一条消息,A需要把消息内容和对应的消息摘要都发给B;B通过同样的摘要算法,自然可以知道消息是否被篡改。比如攻击者C将A发送的原始消息摘要,都篡改成新的消息摘要,那么这个消息对B来说也是完整的...
跟着川川学爬虫day03--requests高阶
AngeloZhang
11-14 9146
Request 高阶 一、SSL验证 我们已12306网站为例子进行讲解。 首先我们请求以下12306的官网 import requests response = requests.get('https://www.12306.cn/index/') print(response.status_code) 神奇的是能返回200,按道理是应该失败的,不过也好,如果你有报错SSLError,表示证书验证错误,把 verify 参数设置为 False 即可。 可以看到报错有个警告,让我们添加证书,我们可以
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值