香港高防ip_高谨防能挡战士的烈火_快速接入-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 高防CDN > 香港高防ip_高谨防能挡战士的烈火_快速接入

香港高防ip_高谨防能挡战士的烈火_快速接入

小墨安全管家 2021-06-09 00:36 高防CDN 89 ℃
DDoS防御

香港高防ip_高谨防能挡战士的烈火_快速接入

返回2015年1月20日分享保罗·马德森像SAML和OpenID Connect如此的Web SSO协议定义了一方怎么创建对于用户身份验证状态的断言(在SAML和OpenID Connect中称为身份提供者或授权服务器,并经过扫瞄器交付给依靠方(在两个协议中称为服务提供商或客户端)使用和验证。经过向依靠方呈现断言或令牌,用户就能够有效地在那儿举行身份验证,防DDoS,而不是直截了当提供密码或等效密码。websso协议的安全性在特别大程度上取决于能否防止某些恶意参与者获得断言/令牌并将其呈现给依靠方以冒充有效用户。默认事情下,SAML web SSO中的断言和基于Connect的web SSO中的令牌基本上"承载令牌"。这些"承载令牌"可用于任何获得断言/令牌拥有权的参与者,因为RP不举行额外检查以确保它是由发出它的有效用户呈现的。相反,密钥持有者(HoK)令牌要求,除了拥有令牌外,还需要与该令牌相关联的密码密钥的知识,以将令牌呈现给RP。HoK模型(有时称为"拥有证明",因为呈现者必须证明他们拥有一些隐秘)与承载令牌相比,提高了websso模型的整体安全性。HoK能够显著落低攻击者窃取令牌并使用它来模拟向其发出令牌的用户的风险。能够讲,HoK最直截了当的模型是使用包含在其内部的公钥来发行令牌(令牌的签名是为了使公钥不能交换到另一具令牌)。为了使用令牌,呈现方将对某些东西(消息,或者大概是一具质询字符串)举行数字签名,以证明它们真的拥有相关的私钥。理论上,DDoS防御,扫瞄器能够使用已安装的X.509证书(以及相关的私钥)来实现这种HoK机制。可是,在实践中,如此做会给用户呈现一具混乱的证书挑选确认对话框。此外,治理这些扫瞄器证书的生命周期的负担限制了部署的数量(意味着PKI的分量和成本)。另一种挑选是利用SSL密钥来爱护参与者之间传递的消息以及web SSO流中扫瞄器和服务器之间建立的消息。假如令牌本身携带与SSL会话的密钥相关的密钥,DDoS防御,该密钥爱护令牌所在的通道,则该令牌以加密方式绑定到该通道。即使攻击者可以以某种方式获得令牌的所有权,他们也不大概拥有相应的SSL密钥,也无法在RP使用该令牌。很多相关规范正在浮上,它们一起将为基于连接的web SSO启用HoK模型令牌绑定协议1.0版https://tools.ietf.org/html/draft-popov-token-binding-00HTTP令牌绑定 Web令牌(JWTs)的拥有证明语义https://tools.ietf.org/html/draft-ietf-oauth-proof-of-governance-00我的Ping Identity同事约翰·布拉德利(JohnBradley)是我的Ping Identity同事,他积极为上述规范做出贡献,他对这些细节的完整描述能够在那个地点阅读。读者文摘如下:客户端和扫瞄器经过SSL商议建立公钥扫瞄器经过Authz请求将公钥发送到ASAS在Connect id_令牌中包含公钥AS向扫瞄器返回id_令牌扫瞄器使用相同的公钥经过SSL会话向客户端发送id_令牌客户端验证公钥是否匹配这种新兴的HoK机制有望减轻中间人(MITM)和扫瞄器中人(MITB)攻击,DDoS高防,否则基于连接的web SSO特别容易受到攻击。所以,它同意在应用于websso时为openidconnect提供一具值得注意和重要的安全增强。


DDoS防御

当前位置:主页 > 高防CDN > 香港高防ip_高谨防能挡战士的烈火_快速接入

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119