作者:郭丞乾; 蔡权伟; 林璟锵; 刘丽敏身份鉴别单点登录oauthsaml安全假设
摘要:身份鉴别是保证信息系统安全性和用户隐私的必要前提,单点登录协议和系统使得专业的身份服务提供商能够在确保用户隐私得到有效保护的前提下,为用户提供良好的体验(无需记忆多个口令,1次登录即可使用多个应用等),同时又避免了网络服务提供商重复开发用户身份鉴别功能.然而,已有研究成果表明单点登录协议在实现时存在诸多安全问题,本次安全分析针对当前主流的单点登录协议,如OAuth 2.0,OpenID-Connect以及SAML,抽象出单点登录协议的基本流程和攻击者目标;针对协议参与方的能力形成不同的攻击场景,在此基础上形成了单点登录系统必须满足的7条安全假设.针对现有单点登录系统漏洞的分析,表明实际系统中的漏洞均是由于违背了7条安全假设中的1条或多条.对单点登录系统面临的安全问题进行了系统研究,为单点登录系统的设计、实现和分析奠定了基础.
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
