身份认证和消息合法性验证方案分享

最新推荐文章于 2022-05-01 09:31:30 发布
最新推荐文章于 2022-05-01 09:31:30 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: 后端 文章标签: 安全加密 身份认证 Golang 身份服务和认证解决方案
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcl168/article/details/49050485
版权
        最近要找一种合适的数据加密与身份认证方案,来保证服务的安全。没啥经验,一翻恶补之后,总算整合出一套方案。

并用Go完成了Demo。本人对安全外行,不过自我感觉应当是个比较有安全感的身份认证方案。

        不想写大段文字来说明,看得懂的,依着代码来瞧瞧吧.


首先,协议包应当包含最少下面几个字段:   

type Proto struct {
	//...
	Timestamp int64  `json:"timestamp"`  //当前时间戳
	Nonce     uint32  `json:"nonce"`	//随机数
	Signature string `json:"signature"` //Hash_hmac("sha1",sortAsc(Token,Timestamp,Nonce))		
	BodyCrc   string `json:"bodycrc"` //Hash_hmac("md5",body)
	UserID    string `json:"userid"`
	Body      string `json:"body"`
	//...
}
然后,用户登录时,是能得到其对应的Token的,并且这个Token在服务端是有有效期限管理的.
App端将用户Token保存在加密后的sqlite库中.


当App端要与服务端通讯时,在App端首先用相关参数时进行哈希.
     Signature = Hash_hmac("sha1",sortAsc(Token,Timestamp,Nonce))
      BodyCrc = Hash_hmac("md5",body)
然后再传给服务端,注意协议包中是无须再传用户的Token的。 

用户的Token在这仅作为hash字符串中的一个参数而已。


服务端收到后,就可以依参数做一系列的验证了。
   关于身份部份,可以做如下检验: 

///
		// 身份合法性验证
		///
		u, err := UserDB.Get(msg.UserID)
		if err != nil {
			s.Stop()
			log.Println("[IOLoop] [UserDB.Get] 用户库中没有找到此用户,断开连接.")
			return
		}

		if UserDB.IsBlacklistsUser(msg.UserID) {
			s.Stop()
			log.Println("[IOLoop] [IsBlacklistsUser] 属列入黑名单的用户,断开连接.")
			return
		}

		// Signature =  Hash_hmac("sha1",sortAsc(Token,Timestamp,Nonce)))
		// 检查token是否正确
		// 防止选择明文攻击
		if token, ret := u.CheckSignature(msg.Timestamp, msg.Nonce); ret {
			if !u.IsTokenExpire(token) {
				s.Stop()
				log.Println("[IOLoop] [IsTokenExpire] 为过期的用户Token,断开连接.")
				return
			}
		} else {
			s.Stop()
			log.Println("[IOLoop] [CheckSignature] 签名不符,属非法用户,断开连接.")
			return
		}

     其中关于Signature的部份,服务端是同样依Timestamp+Nonce再加从相关库找出来的用户Token依相同算法来Hash. 对比

其值是否相同.

 这部份主要用于验证消息包的合法性,或者可以用随用户token一起生成用户的aes密钥,然后用aes将其加密后在服务端将消息内容再解密。   

///
		// 消息包合法性验证
		///
		//如BodyCrc值为空,则不进行检查
		if s.CheckBody(msg.BodyCrc, msg.Body) == false {
			s.Stop()
			log.Println("[IOLoop] [CheckBody] 数字签名不符,消息内容有被改过,断开连接.")
			return
		}

		// 是否为重放攻击
		if s.IsReplayAttack(msg.Timestamp, msg.BodyCrc) {
			s.Stop()
			log.Println("[IOLoop] [IsReplayAttack] 碰到重放攻击,断开连接.")
			return
		}
		///

 还有一些就不列了.


相关的一些结构体:  

type MemStore struct {
	users  map[string]User
	mtlock sync.RWMutex
	//...
}

type Session struct {
	//...
	UserID           string
	MsgLastTimestamp int64  //最末消息包Timestamp
	MsgLastBodyCrc   string //最末消息包BodyCrc
	//...
}

type User struct {
	ID        string
	Token     string
	CreatedAt time.Time //Token生成时间
	ExpiresAt time.Time //Token超期时间
	//...
}

           这套方案我认为还算简单可行。不过相关人士表示不太感冒,认为不够安全(似乎分分钟被破的节奏),要用更安全更复杂的方案。  

好吧,这方面不太懂,不过好歹也花了我点功夫。记一下,不然过段时间就不记得了。 反正用的也都是烂大街的东西。

也没被采用,应当无甚关系。  


BLOG: http://blog.csdn.net/xcl168


拙_言
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
02.身份验证
千里IT
08-16 6213
idcardchecking.js/** * 身份证15位编码规则:dddddd yymmdd xx p * dddddd:地区码 * yymmdd: 出生年月日 * xx: 顺序类编码,无法确定 * p: 性别,奇数为男,偶数为女 * * 身份证18位编码规则:dddddd yyyymmdd xxx y * dddddd
计算机消息认证的主要方法,事业单位考试计算机网络知识:网络认证技术之消息认证技术...
weixin_39702400的博客
07-29 1334
【导语】在事业单位考试中,计算机专业知识的复习向来是考生复习备考阶段的一大重点,其中中公为计算机网络知识的复习为考生提供知识点梳理,帮助考生备考!随着网络技术的发展,对网络传输过程中信息的保密性提出了更高的要求,这些要求主要包括:(1)对敏感的文件进行加密,即使别人截取文件也无法得到其内容。(2)保证数据的完整性,防止截获人在文件中加入其他信息。(3)对数据和信息的来源进行验证,以确保发信人的身份...
身份认证的三种方法
热门推荐
MOONCOM的博客
03-15 2万+
身份验证 身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份验证方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。不同的身份验证方法安全性也各有高低。 身份验证的目的是确认当前所声称为某种身份的用户,确实是所声称的用户。在日常生活中,身份验证并不罕见;比如,通过检查对方的证件,我们一般可以确信对方的身
Nonce与Timestamp 解决Replay-Attack问题
bravegogo的专栏
03-08 1080
Nonce是由服务器生成的一个随机数,在客户端第一次求页面时将其发回客户端;客户端拿到这个Nonce,将其与用户密码串联在一起并进行非可逆加密(MD5、SHA1等等),然后将这个加密后的字符串和用户名、Nonce、加密算法名称一起发回服务器;服务器使用接收到的用户名到数据库搜索密码,然后跟客户端使用同样的算法对其进行加密,接着将其与客户端提交上来的加密字符串进行比较,如果两个字符串一致就表示用户
CA证书合法性验证
qq_43402663的博客
05-01 2871
https连接建立 加密的三种方式 1.对称加密:一把密钥,密钥加密,密钥解密 2.非对称加密:两把密钥,一把加密,另一把解密。公开的那个叫公钥,自己留的叫私钥 3.hash加密:通过一种算法,把大量信息压缩映射成唯一的短字符,且通过这段字符不能反解出该大量信息 三个角色 未建立前分别都有什么信息 1.client:CA机构的公钥A,内置在系统中 2.server: 从CA机构申的证书,和该证书对应得私钥B 3.CA机构:产生证书 CA证书有什么信息 1.文件包(公钥B,hash算法,用途,颁发
HID Global提供多层身份验证和手机银行安全解决方案
10-20
HID Global的ActivID身份验证设备和ActivID动态密码身份认证解决方案被部署来满足这一需求。多层身份验证是一种增强安全性的方法,它要求用户提供不止一种证明身份的信息,如密码、智能卡、生物特征等。这种方式大大...
强不可伪造的基于身份服务器辅助验证签名方案
01-14
为了克服已有基于身份签名方案安全性依赖强和计算代价大等缺陷,提出了一个强不可伪造的基于身份服务器辅助验证签名方案,并在标准模型下证明了新方案在合谋攻击、自适应选择身份消息攻击下是安全的。...
基于智能卡的身份验证方案,用于远程用户登录和验证
03-10
提出了一种安全性增强措施,以改进使用智能卡的两种远程用户身份验证方案。 他们声称他们的方法没有Wang等人的方案安全性弱点,例如模拟攻击和并行会话攻击,并保留了重要的标准,合法用户可以通过该标准通过执行...
身份认证系统技术方案共23页.pdf.zip
最新发布
12-03
身份认证系统是网络安全领域中的重要组成部分,它负责验证用户的身份,确保只有合法用户可以访问受保护的资源。在这个23页的技术方案中,我们预计会深入探讨如何设计和实现一个高效、安全身份认证系统。以下是对这...
asp.net中实现身份验证方案
11-28
本篇文章将深入探讨如何在ASP.NET中实现身份验证方案。 一、ASP.NET身份验证概述 在ASP.NET中,有三种主要的身份验证模式:Windows(NTLM或Kerberos)、Forms和OAuth。其中,Forms身份验证是最常用的一种,适用于...
基于UDP协议的语音聊天系统的设计与实现
04-08
论述了一个基于UDP协议的端对端语音聊天系统的设计思想和总体构架, 并结合音频压缩、socket通讯和多线程等技术,着重剖析了其中主要模块,即声 音的采集、声音数据的全双工通讯和声音的播放。
HMAC(基于哈希的消息身份验证代码)教程
cunjiu9486的博客
10-07 1249
Hash-based Authentication Message Code or HMAC is used to authenticate message with hash functions. Message authentication is important mechanism in cyber security and used to check message authentici...
12.UDP实现消息认证
boss2967的博客
10-11 957
目录   1.1 server.go 1.2client.go 1.1 server.go package main import ( "bytes" "crypto/aes" "crypto/cipher" "crypto/rand" "crypto/rsa" "crypto/x509" "encoding/hex" "enco
常用安全问题设计和开发一览
一杯咖啡的渗透记忆
10-30 940
输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等) 格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞), 建议如果可以禁止JVM执行外部命令,未知漏洞的危害会大大降低,可以大大提高JVM的安全性。...
阻止重放攻击(replay attack)
weixin_42002747的博客
12-21 1395
利用口令摘要传输用户名和密码虽然可以避免密码被看到,但是阻止不了重放攻击, 应该增加一些随机性或不可预测性,下面介绍这种方法: 一、用户登录时只发送用户名到服务器; 二、服务器检测用户名,如果存在该用户名则生成一个随机挑战(伪随机数生成)然后以明文发送给客户端; 三、客户端接收随机挑战,输入口令并在本地生成口令摘要,然后用口令摘要加密随机挑战(使用对称加密,密钥即是口令摘要),然后发送用户名和加密...
加解密算法、消息摘要、消息认证技术、数字签名与公钥证书
weixin_34242331的博客
03-07 303
  本文讲解对称加密、非对称加密消息摘要、MAC、数字签名、公钥证书的用途、不足和解决的问题。 0.概述   当发送方A向接收方B发送数据时,需要考虑的问题有:   1.数据的安全性。   2.数据的完整性,即数据不被篡改。   3.数据的真实性,即数据确实来自于发送方,传输过程中没有被替换。   4.数据的不可否认性,即验证发送方确实发送了数据。   本文只是对整套体系做一个整体...
验证登录信息的合法性
大同小后生伟的博客
01-09 2085
一.实例说明: 大多数系统登录模块都会接收用户通过键盘输入的登录信息,这些登录信息将会被登录模块验证,如果使用的是指定的用户名或密码,则允许用户登录;否则将用户拒之门外。本实例通过if……else语句进行多条件判断实现登录信息验证。 二.设计过程: 创建CheckLogin类,在该类的主方法中接收用户输入的登录用户名与登录密码,然后通过if条件语句分别判断用户名与密码,并输出登录验证结果。
React提交前校验检查不通过问题解决步骤
Caby_Dubert的博客
03-24 873
React提交前校验 如果react代码在push时报错,可以执行以下步骤: 检查不通过的 运行命令查看原因 并修改 yarn lint-staged:js 使用以下命令可以自动修改简单问题 yarn lint-staged:js --fix 提交前使用以下命令对代码进行格式化 yarn prettier 如果以上步骤都不能够解决,参看git提交记录报错信息,具体修改。 (最近...
JS身份合法性校验完全版
BlueKitty的博客
11-14 2933
<script> //身份证号合法性验证 //支持18位身份证号 //支持地址编码、出生日期、校验位验证 function IdentityCodeValid(code) { var city = { 11: "北京", 12: "天津", 13: "河北", 14: "山西", 15: "内蒙古", 21: "辽宁&qu
密码协议中的自动化身份验证测试与防重放攻击策略
他提出的解决方案是引入一个近因定义,结合了串空间理论的优势,特别是利用传入和传出身份验证测试的能力,来验证事件的实时性和安全性。 身份验证测试在文中被强调为一个关键工具,它们不仅直观地验证了协议的正确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值