详解摘要认证

最新推荐文章于 2024-04-29 06:51:43 发布
最新推荐文章于 2024-04-29 06:51:43 发布
阅读量493 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34418883/article/details/85125194
版权

1. 什么是摘要认证


摘要认证与基础认证的工作原理很相似,用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-Authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base 64编码的用户名和密码不同,在摘要认证中服务器让客户端选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(message digest),该摘要是关于用户名、密码、给定的nonce值、HTTP方法,以及所请求的URL。


2. 摘要认证算法


摘要认证规范最早定义在RFC 2069中,RFC 2069定义了由服务器生成随机数来维护安全性的摘要认证架构,认证结果是采用下列方法得出的:

HA1=MD5(username:realm:password)
HA2=MD5(method:digestURI)
response=MD5(HA1:nonce:HA2)


后来,RFC 2617引入一些可选的增强安全的方法代替了RFC 2069,这些增强的方法包括质量保护(QOP),客户端自增加计数器和客户端生成的随机数。这些可选参数提高了摘要认证的安全性,如可防止明文***。


如果算法指令是“MD5”或者未指定,HA1算法如下:

HA1=MD5(username:realm:password)


如果算法指令是“MD5-sess”,HA1算法

HA1=MD5(MD5(username:realm:password):nonce:cnonce)


如果质量保护指令是“auth”或未指定,HA2算法是

HA2=MD5(method:digestURI)


如果质量保护指定是“auth-int”,HA2算法是

HA2=MD5(method:digestURI:MD5(entityBody))


如果质量保护指定是“auth”或者“auth-int”,响应结果算法是

response=MD5(HA1:nonce:nonceCount:cnonce:qop:HA2)


如果质量保护指令未指定,响应结果算法是

response=MD5(HA1:nonce:HA2)


3. MD5安全问题对摘要认证的影响


虽然MD5是可逆的,被认为是不安全的,但是在HTTP摘要认证过程中使用MD5算法中引入了一些随机数,使得数据的可逆性的难度大大提高,所以使用MD5是安全的。但如果用户的密码过于简单,通过字典或排序查找算法破解难度就大大降低了,因此不建议使用过于简单的密码。


RFC2617 的安全增强的主要方式:


发起请求的时候,服务器会生成一个密码随机数(nonce)(而这个随机数只有每次"401"相应后才会更新),为了防止***者可以简单的使用同样的认证信息发起老的请求,于是,在后续的请求中就有一个随机数计数器(cnonce),而且每次请求必须必前一次使用的打.这样,服务器每次生成新的随机数都会记录下来,计数器增加.在RESPONSE 码中我们可以看出计数器的值会导致不同的值,这样就可以拒绝掉任何错误的请求.


4. 摘要认证流程


  • 客户端请求一个需要认证的页面,但是不提供用户名密码

  • 服务器返回401 "Unauthorized" 响应代码,并提供认证域(realm),以及一个随机生成的、只使用一次的数值,称为密码随机数 nonce

  • 浏览器会向用户提示认证域(realm)(通常是所访问的计算机或系统的描述),并且提示用户名和密码。

  • 一旦提供了用户名和密码,客户端会重新发送同样的请求,但是添加了一个认证头包括了响应代码。

  • 服务器接受了认证并且返回了请求页面。如果用户名非法和/或密码不正确,服务器将返回"401"响应代码,然后客户端会再次提示用户输入用户名及密码。


5.一段摘要加密报文示例


有兴趣的用户可以根据摘要加密算法进行计算。

Authorization: 

Digest username="admin",     //用户名

realm="favourite digest realm",   //用户认证提示

nonce="1478047635099:8f32add4b6aaef23649ca330b25c64be",  //随机数

uri="/hello",  //请求地址

response="778110c2b5d0215e0d7640a6baa069a0",   //加密后的值

opaque="B2E49B2542089EE534695CA7742FB588",  

qop=auth,   //质量保护

nc=00000001,   //客户端自增加随机数计数器

cnonce="8664dcaabed7e083" //客户端的随机数


HA1=MD5("admin:favourite digest realm:password");

HA2=MD5("GET:"+uri);

response = MD5(HA1:nonce:nc:cnonce:qop:HA2)



weixin_34418883
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP Digest authentication
Andrea的笔记
05-14 1万+
最近学习了HTTP Digest,并且分别在php和android实现了server端和服务器端逻辑
编写php应用程序实现摘要式身份验证的方法详解
01-20
通基本身份认证一样,也可以使用PHP网页处理HTTP请求报头字段来匹配摘要式身份验证信息。例如下边的代码使用header()函数要求客户端使用Digest验证,它在HTTP消息报头中增加了一个WWW-Authenticate字段:header(...
摘要认证
dawn's Blog
02-19 1120
1.摘要认证的改进 1.1.用摘要保护密码 摘要认证遵循“绝不通过网络发送密码”。客户端发送一个“指纹”或者密码的“摘要”,是密码的不可逆扰码。 1.2.单向摘要 z还要是对信息主体的浓缩。摘要是一个单向函数,主要是将无线个输入值转换为有限的浓缩输出值。 常见的摘要函数MD5,会将任意长度的字节序列转换为一个128位二级制的摘要。2^128种输出值。通常会被写成32位十六进制的字
HTTP的认证方式之DIGEST 认证摘要认证
LZHH_2008的博客
10-12 5694
DIGEST 认证摘要认证
解释一下HTTP协议中的基本认证摘要认证
最新发布
长风破浪会有时的博客
04-29 149
摘要认证则是一种更聪明的保护方式。它不仅仅使用用户名和密码,还会用一种特殊的方法(算法)把这些信息变成一串看起来很复杂的代码,这个代码叫做“摘要”。当我们想要访问一个使用摘要认证的网站时,网站会给我们发送一个挑战,要求我们用我们的用户名和密码,加上一些额外的信息,来生成一个摘要。我们的电脑会用这些信息和一个秘密的算法来计算出摘要,然后发送给服务器。服务器收到摘要后,会用同样的方法和算法来计算出它应该得到的摘要。然后,服务器会比较我们发送的摘要和它自己计算出来的摘要是否一样。
HTTP 摘要认证
心愿许得无限大
04-06 1027
讲解 HTTP 摘要认证,并提供相关的例子
Digest Authentication 摘要认证(转载)
q113380947的博客
03-11 1370
PJSIP 服务器 digest 用户认证 response生成算法
华为认证详解范文.pdf
06-05
华为认证详解范文主要介绍了华为公司推出的系列IT技术认证,这些认证涵盖了广泛的网络技术和领域,旨在提升个人或企业的网络设计、建设和维护能力。华为认证体系包括三个级别:华为认证网络工程师(HA)、华为认证...
http鉴权认证
04-03
- **HTTP摘要认证**:比基本认证更安全,它使用哈希函数对用户名、密码和随机字符串进行计算,然后发送哈希值,服务器端再进行验证。 - **OAuth**:主要用于第三方应用获取用户资源的授权,常见于社交媒体登录。 ...
hmac模块生成加入了密钥的消息摘要详解
01-20
HMAC是一种消息摘要算法,是一种特殊的MAC(消息认证码),内部使用别的摘要算法进行摘要的计算(比如MD5)。相比MAC,HMAC在生成摘要的时候加入了密钥,这使得HMAC码不仅可以用于验证消息完整性,并且保证了其无法...
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
Java安全涉及多个方面,包括加密和解密、安全认证和授权、安全通信和防护,以及安全漏洞扫描。本文将深入探讨这些关键知识点。 首先,加密和解密是信息安全的基础。对称加密,如DES和AES,使用相同的密钥进行加解密...
HTTP 基本认证(basic auth)和摘要认证(digest auth)区别
Dontla的博客
02-07 3828
Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。Digest认证是为了修复基本认证协议的严重缺陷而设计的,秉承“绝不通过明文在网络发送密码”的原则,通过“密码摘要”进行认证,大大提高了安全性。绝不通过明文在网络上发送密码可以有效防止恶意用户进行重放攻击可以有选择的防止对报文内容的篡改。
HTTP认证摘要认证——Digest
u010068160的博客
08-07 1654
一、概述 Digest认证是为了修复基本认证协议的严重缺陷而设计的,秉承“绝不通过明文在网络发送密码”的原则,通过“密码摘要”进行认证,大大提高了安全性。 相对于基本认证,主要有如下改进: 绝不通过明文在网络上发送密码 可以有效防止恶意用户进行重放攻击 可以有选择的防止对报文内容的篡改 需要注意的是,摘要认证除了能够保护密码之外,并不能保护其他内容,与HTTPS配合使用仍是一个良好的选择。以下是摘要认证的具体流程图: 看到上面出现了那么多之前没见过的参数,...
爆破专栏丨Spring Security系列之实现HTTP摘要认证
关注我!带你一路 "狂飙" 到底!
10-25 276
前言 在前面的2个章节中,一一哥带大家认识了Spring Security中的第基本认证与表单认证2种认证方式,其中表单认证是Spring Security默认的认证方式,也是开发时最常用的认证方式。有的小伙伴会问,不是还有第3种认证方式吗?对的,还有第三种摘要认证方式!在本文中,我们来学习了解一下HTTP摘要认证。 但是对于摘要认证,我们仅做了解即可,因为这种认证方式仅比基本认证稍微安全一点,开发时用的也不是很多。抱着技多不压身的心态,我们多了解一点反正也没坏处。 需要更多教程,微信扫码即可 ..
摘要、签名、加密、证书的基本原理和理解
李云龙的意大利面
11-14 2396
加解密,摘要,信息可靠传输
摘要认证和签名认证
bobozai86的博客
10-27 524
1、摘要认证 经由HTTP协议进行通信的数据大都是未经加密的明文,包括请求参数、返回值、cookie、head等数据,因此,外界通过对通信的监听,便可以轻而易举的根据请求头和响应双方的格式,伪造请求与响应,修改和窃取各种信息。 1.1摘要认证原理 对于普通的非敏感数据,我们需要更多关注其真实性和准确性,鉴于使用HTTPS性能上的成本以及额外需要申请CA证书,...
加密、解密、摘要、签名、证书一文搞懂
weixin_39370859的博客
12-17 941
摘要、签名、证书是怎么回事
【读】这一次,让我们再深入一点 - HTTP的摘要认证
Jinmindong
12-21 237
我们了解到了HTTP认证框架中的基本认证. 它是基于质询/响应模型的.这篇中, 我们粗略的了解下另一种认证协议: 摘要认证. 当然摘要认证也不是最安全的认证方式, 并且至今没有广泛运用. 但是其相关概念还是值得学习的.下面进入正文!不会以明文的方式发送密码.可以防止恶意用户捕获和重放认证的握手过程.可以有选择的防止对报文内容的篡改.防范其他几种常见的攻击方式.
摘要, 加密, 数字签名, 数字证书以及加密通信简要介绍
诺尔的博客
03-05 1250
关于摘要, 非对称与对称加密, 数字签名, 数字证书以及加密通信的简要介绍.
路由器配置详解认证与登录方法
这篇摘要主要涉及了路由器的认证方法,包括线(line)认证、AAA(Authentication, Authorization, Accounting)认证以及Enable认证。以下是详细的解释: 首先,如果路由器既没有配置AAA,也没有配置Line,那么对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值