一:什么是nonce
维基百科:安全工程中,Nonce是一个在加密通信只能使用一次的数字。在认证协议中,它往往是一个随机或伪随机数,以避免重放攻击。
二:举例说明
一个典型的基于 nonce 的验证协议如下:
这里的 cnonce 为 client nonce(后面将讨论为什么需要 cnonce)。Client 并不直接发送密码(或...
分类:
其他好文 时间:
2015-01-21 15:13:43
阅读次数:
196
1前言1.1背景前端为手机APP应用,采用HTTPS+RESTful协议通过互联网与后端API服务器集群进行通信,接口认证基于OAuth2协议。简单的架构图如下所示:1.2痛点虽然API接口传输采用了HTTPS进行加密传输,但是一部分接口仍旧存在重放攻击(ReplayAttack)的风险,下文分析了多种不同..
1.S/KEY协议的作用。
身份认证,是任何网络安全方案的一个基础。如在大部分情况下,需要认证的实体是通信的发送者,即需要确定访问者的合法性问题。 S/KEY协议主要是用于身份认证。
2.S/KEY协议的安全性分析。
S/KEY身份认证解决方案,可以有效解决重放攻击。重放攻击是指攻击者通过某种方式在网络连接中获取他人的登陆账户与口令,然后利用它多某个网络资源的访问权限。而现在S/Ke...
分类:
其他好文 时间:
2014-04-27 21:23:59
阅读次数:
340
