手把手教你做PPC竞价排名 (2)

客户端拿到了第二步中的两个票据后,首先用自己的密码解开票据,得到Kc、s,然后生成一个Authenticator,其中主要包括当前时间和Ts,c的校验码,并且用SessionKey Kc,s加密。之后客户端向tgs发起请求,内容包括:

1.Authenticator

2.给tgs的票据同时发给服务器

3.server_principal

TGS首先用自己的密码解开票据,拿到SessionKey Kc,s,然后用Kc,s解开Authenticator,并做如下检查

1.检查Authenticator中的时间戳是不是在当前时间上下5分钟以内,并且检查该时间戳是否首次出现。如果该时间戳不是第一次出现,那说明有人截获了之前客户端发送的内容,进行Replay攻击。

2.检查checksum是否正确

3.如果都正确,客户端就通过了认证

tgs生成一个session key组装两个票据给客户端

1.用客户端和tgs的session key加密的票据,包含新生成的session key和server_principal

2.用服务器的密码加密的票据,包括新生成的session key和client principal

客户端收到两个票据后,解开自己的,然后生成一个Authenticator,发请求给服务器,内容包括

1.Authenticator

2.给服务器的票据

服务器收到请求后,用自己的密码解开票据,得到session key,然后用session key解开authenticator对可无端进行验证

服务器可以选择返回一个用session key加密的之前的是时间戳来完成双向验证

客户端通过解开消息,比较发回的时间戳和自己发送的时间戳是否一致,来验证服务器

SAML

7.4.1. 简介

SAML (Security Assertion Markup Language) 译为安全断言标记语言,是一种xXML格式的语言,使用XML格式交互,来完成SSO的功能。 SAML存在1.1和2.0两个版本,这两个版本不兼容,不过在逻辑概念或者对象结构上大致相当,只是在一些细节上有所差异。

7.4.2. 认证过程

SAML的认证涉及到三个角色,分别为服务提供者(SP)、认证服务(IDP)、用户(Client)。一个比较典型认证过程如下:

Client访问受保护的资源

SP生成认证请求SAML返回给Client

Client提交请求到IDP

IDP返回认证请求

Client登陆IDP

认证成功后,IDP生成私钥签名标识了权限的SAML,返回给Client

Client提交SAML给SP

SP读取SAML,确定请求合法,返回资源

7.4.3. 安全问题

源于ssl模式下的认证可选性,可以删除签名方式标签绕过认证,如果SAML中缺少了expiration,并且断言ID不是唯一的,那么就可能被重放攻击影响,越来越多的网站安全问题日益出现,如果想要对网站或平台进行全面的安全检测以及渗透测试,可以咨询下专业的网站安全公司来进行安全加固渗透测试,国内做的比较好的推荐Sinesafe,绿盟,启明星辰,深信服等等都是比较大的安全公司。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/b3d7a1beaf9d306c6227a9af888a93ef.html