SRP6 java版本 密码验证

最新推荐文章于 2024-06-07 09:32:26 发布
最新推荐文章于 2024-06-07 09:32:26 发布
阅读量789 收藏 1
点赞数 1
分类专栏: 游戏开发 文章标签: 游戏 算法 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/milk_36/article/details/84296080
版权

在游戏账号登陆过程中,我们需要对账号密码做验证的同时,还要防止有可能被黑客截取协议数据,盗取账号密码.通常会要使用一些加密算法和协议防止密码的泄漏.

在这里要推荐的就是SRP6.

SRP全称Secure Remote Password(安全远程密码).使用SRP的客户机和服务器不会在网络上传送明文密码,这样可以消除直接密码嗅探行为,另外使用高强度的算法保证了不可能使用字典法攻击嗅探到的数据.

开源的MaNGOS-Zero也使用的是这个算法做账号密码的校验:

http://www.cnblogs.com/ychellboy/archive/2011/10/30/2229509.html


而在这里要说的就是SRP的java版本

http://www.jordanzimmerman.com/index.php?n=2


首先下载 SRP Library. 得到SRP_1_0.zip,里面有三个目录

+doc

+example

+src


想必大家都知道接下来要干什么了,直接运行里面的example看看到底怎么使用srp

example.java里面很直观的告诉了我们要如何操作srp做加密和验证


运行它的main方法,输入help

 

 

Mode must be one of the following values:

password: outputs a verifier (v and s) for the given password.

server: runs an example server (that repeats all lines sent to it). You will be asked for the server port and the v and s values.

client: runs an example client (that sends lines to the server). You will be asked for the server port and address and the password.

runner server: runs a server that directly uses the runner APIs. This server is not TCP/IP. You must copy/paste values to/from the client.

runner client: runs a client that directly uses the runner APIs. This client is not TCP/IP. You must copy/paste values to/from the client.

manual server: runs a server that uses the low level SRP APIs. This server is not TCP/IP. You must copy/paste values to/from the client.

manual client: runs a client that uses the low level SRP APIs. This client is not TCP/IP. You must copy/paste values to/from the client.
 

password//通过明文获取v和s值

server//建立一个server示例,需要设置端口,v和s值

client//建立一个client示例,通过使用密码连接server

上面这两个是一对,验证密码后,在客户端输入任意字符串,服务器会返回对应的字符串.按我的理解应该是协议加密的使用方式

runner server

runner client

这两个是一对,这里要注意的是运行这对示例的时候,需要两边复制值完成校验.按我的理解其实就是manual的一种版本没有显示A,B,M1,M2而已


manual server

manual client

这两个是要手动输入v和s值,一步一步校验.

下面的协议逻辑也主要根据这个示例来得以实现.


协议设定顺序:

客户端                                                                      服务器


账号 c->s 根据账号从数据库取出v和s值

//这里要注意的是Mangos保存了密码p, 是错误的. 服务器不应该保存密码或其散列值.

//应该在创建用户时, 由客户端取s值, 计算v, 将{I, s, v}传输到服务器并保存.(I==账号名)
//登录时, 特定用户的s, v应该是固定的, 从数据库读取, 而不是每次登录时随机.


客户端得到 s和B值     c<-s                         从数据库取出s,v后把s和公钥B下发


//客户端通过 服务器下发的S值获取到公钥A,通过服务器下发的公钥B得到M1值



客户端发送公钥A和M1   c->s                     服务器用得到的公钥A和M1做校验


//服务器校验M1值


客户端获取登陆结果     c-<s                         服务器下发验证结果




附件包含了上述逻辑的一个测试用例,有兴趣的朋友可以下载看看

 

阿文同学
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
secure-channel-srp6a-applet:用于SRP-6a的经过密码验证的安全通道的Java卡小程序,可保护元素智能卡
05-07
SRP-6a Java卡小程序 此Java Card小程序是Wu [1]对安全远程密码(SRP-6a)密码认证的安全通道协议的实现。 结合使用现成的应用程序(例如使用我们的的Android应用程序)的实现,您可以建立一个使用PIN或密码进行相互身份验证的安全通信通道。 此实现依赖于标准Java Card 2.2 API功能。 尽管Java Card 2.2 API的安全元素通常配备有必要的硬件,以计算SRP中使用的模运算,但是标准Java Card 2.2 API的局限性阻止了对必需密码原语的直接访问。 因此,这给以可接受的性能实施SRP带来了挑战。 但是,通过利用该平台提供的RSA加密API,我们表明可以在密码协处理器的支持下计算乘幂和乘法。 这以及对该协议的少量修改,使得可以在Java卡小程序中以合理的计算时间实现SRP-6a服务器端。 我们在MoMM2014论文[2]中对此进行了介绍
Secure Remote Password protocol (SRP)
最新发布
weixin_38015542的博客
07-23 617
安全远程密码协议,用于在不安全的环境中进行密钥交换,同时支持零知识进行身份认证。零知识认证指的是客户端向服务器证明自己知道密码,但是不需要向服务器发送密码验证自己的身份。在完成密钥交换和身份认证过程中,密码永远不会离开客户端,即使有攻击者窃听到交互的信息,也不能反向推导出机密信息。
java srp6_eDrawings
weixin_35231842的博客
02-24 5331
OzsgSFNGIFYxMy4wNSAKSQAAAABCAGYfK75mHyu+2c63vmYfKz5mHys+vp/aPlp42uy9B1wUybM43stmlpyTZJDMLixhyUgUEAMgKgiSRUCUICqGUVExe4p3embFcOYMgqKeYkLFjILxRM8cMIFpf9XTuxx397337t75+f/f5/Pkjp6ip6emurqqpqqrZkzoxkCoTtFF...
Wow, Mangos登录时的SRP6认证
金庆的专栏
04-10 7743
Wow, Mangos登录时的SRP6认证以Mangos代码为参考, 解析SRP6的原理和实现.(转载请注明来源于金庆的专栏)SRP全称Secure Remote Password(安全远程密码),是一个开源认证协议。SRP简化后的原理是:1. 服务器不保存密码密码的散列值, 防止字典攻击.    而只是保存验证因子(verifier).2. 客户端和服务器可以各自计算出一个会话秘钥(sessi
SRP6 for C# (and a Java implementation):用于 C# 和 JavaSRP6 身份验证库-开源
06-28
适用于 C# 和 JavaSRP6 身份验证库。 我最初在大学时编写了 Java 版本,因此它是 SRP6 实现方式的简单得多的版本Java 版本是一个简单的 BlueJ 项目。 有关 SRP6 的详细说明,请参阅 https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol。 源文件包含在 zip 文件中。
SRP-6a:安全远程密码协议(SRP)算法的实现
05-12
现在,建立了相互身份验证(没有发送密码或秘密)。 SRP登录页面: 用户名:madavadiyana,密码:TEv7puHvIx1234(您可以netwok流量Chrome的开发者工具观看) 常规登录页面:http: (与上述凭据相同) 待办事项...
secure-channel-ec-srp-applet:Java卡小程序,用于SRP的椭圆曲线变体(基于IEEE 1368.2-2008中的SRP-5),以提供经过密码验证的安全通道来保护元素智能卡。 https
05-07
Java Card小程序是IEEE Std 1363.2-2008 [1]认证的安全远程密码(SRP-5)密码认证的安全通道协议的椭圆曲线变体的实现。 结合使用我们的应用程序(例如Android应用程序)的实现,您可以建立一个使用PIN或密码进行...
Java-简单图书管理系统代码压缩包
06-09
2. **Test.java**: 这个文件很可能是测试类,通常在Java项目中用于验证其他类的功能。开发者可能会在这里编写JUnit测试用例,以确保代码的正确性。测试类对于软件质量控制至关重要,它们帮助找出并修复潜在的错误和...
SRP-6:SRP-6 协议实现概念的一个小简介
07-06
SRP-6 SRP-6 协议实现概念的一个小证明。 它是一种协议,可以在不向服务器发送明文密码的情况下通过服务器对用户进行身份验证。 有关更多信息,请查看上的作者论文。 我将 phpseclib 的用于服务器算术实现,以及 Clipperz.io 的用于客户端加密。 警告 这只是概念实现的证明。 请勿在生产环境中使用。
SRP6协议分析
weixin_30770495的博客
12-11 376
SRP6协议介绍 author by 张红亮 最近在公司里面看Mangos服务器,Mangos服务器登陆验证模块使用了SRP6协议,也就研究了一下SRP协议,最后自己总结了一下具体的SRP6协议验证过程。 这个协议算法自己写或许要写上一两个月时间,我自己在想能否用现有的库开发,密码安全库有有名的openssl库,发现新版本的openssl库里面有SRP6的具体实现,自己编译了...
CPlan.SRP:安全远程密码SRP6a)握手的全新实现
05-13
连接星球-SRP实施。 .Net Framework 4.0版中SRP(安全远程密码版本6a的实现。 由MusicDemon为Connection Planet创建。 目的; 在不使用SSL / TLS等的情况下确保服务器-客户端通信的安全。在之后 背后的故事 我想知道如何保护从桌面应用程序到网站应用程序的网络通话。 为此,我想使其与SRP6a一起使用。 但是,由于某种原因,我似乎无法使用WSE实施#3。 因此,毫无疑问,我开始了这个项目,希望能够实现完美! 项目设置 该项目分为三个子项目。 客户端库 服务器库(也称为主机)。 测试控制台应用程序。 服务器库包含客户端库不需要的功能。 但是,大多数使用的函数都在两个库上使用,这就是服务器库引用客户端库的原因。 变更日志 1.4.3.0: 制作库.Net 4.5.2。 较小的C#.Net 6语法更改 XML文档更改 1.1.2.
SRP - The Secure Remote Password Protocol
08-06
The Secure Remote Password Protocol Thomas Wu Computer Science Department Stanford University tjw@cs.Stanford.EDU November 11, 1997 This paper presents a new password authentication and key-exchange protocol suitable for authenticating users and exchanging keys over an untrusted network.
SRP6针对于网游登录服的应用
思月行云
10-26 6328
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/zxgang_andy/archive/2010/06/25/5694125.aspx1.关于SRP的资源SRP协议是由斯坦福大学计算机科学系的Thomas wu等开发的,英文全称是Security Remote Password(远程密码安全),经过严密的数学论证,SRP被证明是一种非常安全的算法,我们可以在获取到SRP的协议的官方文档 http://srp.stanford.edu/ .当下流行的网络游戏魔兽世界采用的就是S
SRP(远程密码安全)在网游登录服的应用
zxgang_andy的专栏
06-25 5843
<br />1.关于SRP的资源<br />SRP协议是由斯坦福大学计算机科学系的Thomas wu等开发的,英文全称是Security Remote Password(远程密码安全),经过严密的数学论证,SRP被证明是一种非常安全的算法,我们可以在获取到SRP的协议的官方文档 http://srp.stanford.edu/ .当下流行的网络游戏魔兽世界采用的就是SRP6协议.<br /> <br />2.原理,设计<br />原理具体讲解可参看上面的官方文档,设计在http://srp.stanford
【SRP协议】The Secure Remote Password Protocol论文笔记
qq_44249020的博客
02-19 4074
The Secure Remote Password Protocol 作者:Thomas Wu 发表:NDSS 1998 一、非对称密钥交换(AKE) 在介绍本文重点的SRP协议之前,首先先要从宏观的角度上介绍非对称密钥交换这种技术。 特点:AKE不需要加密任何协议数据流。可以抽象地理解为,交换密钥的双方互相共享一部分信息,然后利用共享的信息以及自己本身所具有的秘密可以得到一样的密钥,也就成为了他们之间唯一的会话密钥。具体地细节要通过具体协议和数学公式去理解。 优点: 简化协商加密算法的过程 避
Secure Remote Password (SRP)
长夜大雨
06-08 6587
安全远程口令(SRP) SRP是一个基于口令的身份认证和密钥交换协议。SRP的优点在于,认证过程中不会有密钥明文传递的现象,用户只需要持有口令即可,此外,服务端存储的非用户的口令,而是与口令相关的信息,即便服务器被敌手俘获,敌手也无法伪造一个合法的客户端(无法拿到口令) 从而保证了双方的安全。下面介绍SRP协议的内容 使用参数说明NN 一个非常大的素数(N=2q+1N=2q+1,q是一个素数,
推荐开源项目:srp——安全远程密码(Secure Remote Password)Go实现
gitblog_00035的博客
06-07 405
推荐开源项目:srp——安全远程密码(Secure Remote Password)Go实现 srpA set of Go functions for Secure Remote Password protocol implementation in 1Password Teams项目地址:https://gitcode.com/gh_mirrors/sr/srp 1、项目介绍 在寻找一种强大而...
安全远程密码协议(SRP):一种认证与密钥交换协议
安全远程密码协议(SRP)为在线服务提供了一种强大的身份验证解决方案,尤其是在需要保护用户密码和密钥安全的场景下,如网络登录、在线银行和其他敏感通信。其设计思路和实施方法对于理解和改进现有的网络安全机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值