首页>安全资讯>IETF批准新的互联网标准 防止重放攻击

IETF批准新的互联网标准 防止重放攻击

互联网工程任务组(IETF)是开发和推广互联网标准的组织,其在上周批准了三项新标准,旨在提高身份验证令牌的安全性,防止“重放攻击”。

目前,身份验证令牌被用于所有网络访问中。当一个人登录他的Google或Facebook帐户时,会生成一个身份验证令牌并存储在用户浏览器内的cookie文件中。当用户访问Google或Facebook站点时,用户的浏览器不会要求用户再次输入凭证,而是向网站提供用户的身份验证令牌。

IETF批准新的互联网标准

但身份验证令牌不仅用于浏览器cookie和网站。它们还用于OAuth协议,JSON Web令牌(JWT)标准以及一系列实现基于令牌的身份验证的公共库或私有库,通常与API和企业软件解决方案一起使用。

黑客很久以前就已经发现他们无需窃取用户的密码,只要窃取这些令牌就可以访问用户帐户而无需知道密码,这种攻击被称为“重放攻击”。

上周,IETF正式批准了三项旨在保护基于令牌的身份验证系统的新标准:

RFC 8471 - 令牌绑定协议版本1.0

RFC 8472 – 用于协商令牌绑定协议的TLS扩展

RFC 8473 - 通过HTTP进行令牌绑定

这三个标准旨在为新的访问/身份验证令牌的生成和协商过程添加额外的安全层。其主要构思是在用户设备和令牌之间建立连接,即使攻击者设法记录下令牌,他也无法执行重放攻击,除非他使用与创建令牌时相同的设备或设备配置。

由于现代绝大多数网络流量都是加密的,因此新的令牌绑定协议是专门针对在建立TLS加密会话之前发生的TLS握手过程而设计的。该协议的作者表示,他们设计了令牌绑定过程,以避免为TLS握手过程增加额外的往返次数,这意味着现有服务器不会受到任何不必要的性能损失。

研究人员还指出,新的令牌绑定协议不一定仅限于硬件级别的绑定令牌,也可以在软件级别工作并安全地绑定令牌,这意味着它几乎可以在任何地方实现。

目前,令牌绑定协议是围绕TLS 1.2设计的,但它也将被修改为与更新的TLS 1.3一起使用。

最新资讯

揭秘web最常见的攻击和防御手段

什么是流量劫持?流量劫持的攻击手段与防御方法

流量劫持通过什么方式控制别人电脑?

ECC加密算法与RSA算法哪个好?

教你如何用HSTS实现http跳转https?

标签推荐:ssl证书过期 | 阿里云ssl证书 | https证书申请| 数字签名技术| 火狐浏览器证书| ssl证书更新| 小程序证书| 驱动数字签名| 微软代码签名