本文關(guān)鍵詞：一種基于兩層在線身份認(rèn)證的安全框架體系設(shè)計(jì)與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

【摘要】：SSO(single sign-on)可以讓用戶從記憶大量密碼的困擾中解脫出來：通過登錄IDP(Identify provider)得到對SP(service provider)網(wǎng)站的授權(quán)后即可登錄SP網(wǎng)站。但是依然采用傳統(tǒng)的密碼驗(yàn)證方式讓登錄IDP的過程容易受到Phishing, MITM(Man In The Middle)等攻擊。兩步驗(yàn)證可以讓安全性得到一定的提升,但是由于驗(yàn)證因子都是在服務(wù)器層進(jìn)行的驗(yàn)證,某些靜態(tài)的驗(yàn)證數(shù)據(jù)(比如密碼)在網(wǎng)絡(luò)傳輸時(shí)可能被攻擊者獲取而引發(fā)威脅。導(dǎo)致這些威脅的根本是所有的驗(yàn)證數(shù)據(jù)都需要通過網(wǎng)絡(luò)傳輸至服務(wù)器驗(yàn)證。 本文提出了FIDOAuth:一種兩層在線身份認(rèn)證安全框架。在提供類似SSO認(rèn)證框架的同時(shí),也通過一種兩層的驗(yàn)證方式保證了對IDP登錄的安全性。在登錄IDP時(shí),用戶需要先在本地驗(yàn)證靜態(tài)驗(yàn)證口令(比如密碼,指紋等),之后將用戶設(shè)備生成的動態(tài)的OTP(One Time Password)提交至服務(wù)器進(jìn)行驗(yàn)證。同時(shí)使用三層賬號關(guān)聯(lián)體系,實(shí)現(xiàn)對設(shè)備、用戶、服務(wù)三個(gè)層面的關(guān)聯(lián),完成從用戶設(shè)備到最后用戶賬號的映射。我們的目的是在提供安全認(rèn)證的基礎(chǔ)上,提供快速便捷的SSO登錄過程。本文詳細(xì)的描述了在固定終端瀏覽器端、服務(wù)器端的部署和設(shè)計(jì),以及在移動終端和固定終端的多屏互動。 首先,本文在討論系統(tǒng)項(xiàng)目開發(fā)背景和對其開發(fā)設(shè)計(jì)所面對問題的基礎(chǔ)上,分析了系統(tǒng)的功能需求和框架的認(rèn)證方式需求,并對系統(tǒng)需求以用例圖的形式來詳細(xì)說明。在非功能性需求中由以安全性最為重要,在安全需求中設(shè)計(jì)威脅模型來模擬可能會帶來的惡意攻擊和預(yù)測系統(tǒng)安全的健壯。 在系統(tǒng)需求分析基礎(chǔ)上,我們進(jìn)行了系統(tǒng)的概要結(jié)構(gòu)設(shè)計(jì)。首先根據(jù)系統(tǒng)需求提出系統(tǒng)設(shè)計(jì)目標(biāo)和原則,然后分別對系統(tǒng)技術(shù)架構(gòu)和功能架構(gòu)進(jìn)行了設(shè)計(jì)。技術(shù)架構(gòu)主要考慮系統(tǒng)的可擴(kuò)展性,可維護(hù)性以及性能問題,并對各層的功能進(jìn)行了設(shè)計(jì)分析。在功能架構(gòu)設(shè)計(jì)中,討論了系統(tǒng)各部分的功能組成,最后給出一個(gè)動態(tài)的系統(tǒng)功能流程。 再一步進(jìn)行系統(tǒng)的詳細(xì)設(shè)計(jì)。該部分按照差異化管理和一體化管理的思路來設(shè)計(jì)系統(tǒng),并對各個(gè)模塊的設(shè)計(jì)進(jìn)行了描述。在系統(tǒng)建模中,為了更加充分的理解系統(tǒng)的設(shè)計(jì),我們簡單介紹了兩層多因子驗(yàn)證與三層賬號體系,并分析了客戶關(guān)系管理系統(tǒng)在其中的作用和位置。然后給出了系統(tǒng)的整體結(jié)構(gòu)圖和多設(shè)備問的互動的交互圖。在了解了整體結(jié)構(gòu)之后,根據(jù)需求分析中提出的差異化管理和一體化管理兩條思路分別討論了各個(gè)模塊的詳細(xì)設(shè)計(jì)。 我們在詳細(xì)設(shè)計(jì)的基礎(chǔ)上,首先對各個(gè)模塊的實(shí)現(xiàn)進(jìn)行了簡單介紹,給出了系統(tǒng)的整體效果圖和各個(gè)部分的實(shí)現(xiàn)。然后著重對隱式的身份認(rèn)證和數(shù)據(jù)結(jié)構(gòu)的實(shí)現(xiàn)進(jìn)行了詳細(xì)分析。在這一部分,首先簡單介紹了系統(tǒng)的建模及安全框架基礎(chǔ)及SHA3-OTP算法的設(shè)計(jì),根據(jù)系統(tǒng)實(shí)際需求,設(shè)計(jì)并實(shí)現(xiàn)了威脅模型的防范,并對預(yù)測結(jié)果進(jìn)行了誤差分析和效果展示。最后,簡單分析了系統(tǒng)測試,并對壓力測試的環(huán)境搭建和測試過程給出了詳細(xì)分析。 最后,本文對系統(tǒng)的應(yīng)用情況作了簡單介紹,并對系統(tǒng)進(jìn)一步改進(jìn)提出了建議。 綜上所述,我們在分析業(yè)務(wù)需求基礎(chǔ)上,設(shè)計(jì)并實(shí)現(xiàn)了針對網(wǎng)絡(luò)安全的安全框架。
【關(guān)鍵詞】：跨域單點(diǎn)登錄 多因子認(rèn)證 一次一密 兩層身份驗(yàn)證 多屏互動
【學(xué)位授予單位】：山東大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP311.52
【目錄】：

• 摘要8-10
• ABSTRACT10-12
• 第1章 緒論12-17
• 1.1 系統(tǒng)開發(fā)背景12
• 1.2 國內(nèi)外研究現(xiàn)狀12-14
• 1.3 解決的主要問題14-15
• 1.4 本文的主要工作15-16
• 1.5 論文的組織結(jié)構(gòu)16-17
• 第2章 系統(tǒng)需求分析17-26
• 2.1 系統(tǒng)概述17-18
• 2.2 系統(tǒng)目標(biāo)和解決的問題18-19
• 2.3 系統(tǒng)需求問題描述19-26
• 2.3.1 系統(tǒng)功能性需求19-21
• 2.3.2 隱式WEB身份認(rèn)證21-22
• 2.3.3 威脅模型22-23
• 2.3.4 系統(tǒng)安全性需求23-26
• 第3章 系統(tǒng)結(jié)構(gòu)概要設(shè)計(jì)26-32
• 3.1 系統(tǒng)設(shè)計(jì)目標(biāo)和原則26-27
• 3.2 系統(tǒng)技術(shù)架構(gòu)設(shè)計(jì)27-28
• 3.3 三層賬號體系28-29
• 3.4 兩層驗(yàn)證29-32
• 第4章 系統(tǒng)詳細(xì)設(shè)計(jì)32-53
• 4.1 系統(tǒng)建模32-36
• 4.2 系統(tǒng)模塊設(shè)計(jì)36-46
• 4.2.1 移動終端注冊36-37
• 4.2.2 用戶賬號注冊37-38
• 4.2.3 用戶賬號與移動終端綁定38-40
• 4.2.4 用戶賬號登錄40-44
• 4.2.5 用戶賬號與SP賬號綁定44-45
• 4.2.6 面向SP的FIDO-SSO登錄過程45-46
• 4.3 數(shù)據(jù)庫設(shè)計(jì)46-48
• 4.4 數(shù)據(jù)結(jié)構(gòu)定義48-51
• 4.5 接口設(shè)計(jì)51-53
• 第5章 系統(tǒng)實(shí)現(xiàn)與測試53-70
• 5.1 系統(tǒng)實(shí)現(xiàn)53-64
• 5.1.1 系統(tǒng)總體實(shí)現(xiàn)53-57
• 5.1.2 SHA3-HMAC算法OTP啟動方法57-58
• 5.1.3 UTC同步窗口的SHA3-OTP58-60
• 5.1.4 隱式增強(qiáng)便捷身份認(rèn)證的實(shí)現(xiàn)方法60-62
• 5.1.5 用戶賬號與移動智能設(shè)備一對多映射綁定的實(shí)現(xiàn)方法62-63
• 5.1.6 多屏多因素認(rèn)證的用戶單點(diǎn)登錄的實(shí)現(xiàn)方法63-64
• 5.2 系統(tǒng)測試64-70
• 5.2.1 整體評估64-66
• 5.2.2 測試環(huán)境66-67
• 5.2.3 性能表現(xiàn)67-69
• 5.2.4 測試結(jié)果及討論69-70
• 第6章 結(jié)論70-71
• 參考文獻(xiàn)71-74
• 致謝74-75
• 學(xué)位論文評閱及答辯情況表75

【共引文獻(xiàn)】

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 Jane Nduta Kiere;[D];湖南大學(xué);2012年

  本文關(guān)鍵詞：一種基于兩層在線身份認(rèn)證的安全框架體系設(shè)計(jì)與實(shí)現(xiàn)，，由筆耕文化傳播整理發(fā)布。

本文編號：364102