互联网安全(一)摘要认证
2016-05-31 21:28
176 查看
一、为什么需要认证
经由HTTP协议进行通信的数据大多都是未经过加密的明文,包括请求参数、返回值、cookie、head等数据,因此,外界通过对通信的监听,便可以轻而易举地根据请求和响应双方的格式,伪造、修改、窃取信息。而且相对TCP来说,HTTP的通信更易于攻击。
所以,为了防止在通信的过程中,数据被中途拦截和修改;或者虚假的客户端冒充正常的客户端发起请求,非法获取数据;再或者是客户端与虚假的服务端进行通信,将个人信息泄露给恶意的攻击者,需要对请求和响应的参数及客户端的身份进行认证,以保住正确信息发送给了合法的接收者。
二、原理
对于普通的非敏感数据,我们更多关注其真实性和准确性。因此,如何在通信过程中保障数据不被篡改,才是考虑的首要问题。
常见的摘要算法包括:MD5、SHA等。用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base64编码的用户名和密码不同,在摘要认证中服务器让客户选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(messagedigest),该摘要是关于用户名、密码、给定的nonce值、HTTP方法,以及所请求的URL。消息摘要函数也被成为散列算法,是一种在一个方向上很容易计算,反方向却不可行的加密算法。与基础认证对比,解码基础认证中的Base64是很容易办到的。在服务器口令中,可以指定任意的散列算法。
三、实现
经由HTTP协议进行通信的数据大多都是未经过加密的明文,包括请求参数、返回值、cookie、head等数据,因此,外界通过对通信的监听,便可以轻而易举地根据请求和响应双方的格式,伪造、修改、窃取信息。而且相对TCP来说,HTTP的通信更易于攻击。
所以,为了防止在通信的过程中,数据被中途拦截和修改;或者虚假的客户端冒充正常的客户端发起请求,非法获取数据;再或者是客户端与虚假的服务端进行通信,将个人信息泄露给恶意的攻击者,需要对请求和响应的参数及客户端的身份进行认证,以保住正确信息发送给了合法的接收者。
二、原理
对于普通的非敏感数据,我们更多关注其真实性和准确性。因此,如何在通信过程中保障数据不被篡改,才是考虑的首要问题。
常见的摘要算法包括:MD5、SHA等。用户先发出一个没有认证证书的请求,Web服务器回复一个带有WWW-authenticate头的响应,指明访问所请求的资源需要证书。但是和基础认证发送以Base64编码的用户名和密码不同,在摘要认证中服务器让客户选一个随机数(称作”nonce“),然后浏览器使用一个单向的加密函数生成一个消息摘要(messagedigest),该摘要是关于用户名、密码、给定的nonce值、HTTP方法,以及所请求的URL。消息摘要函数也被成为散列算法,是一种在一个方向上很容易计算,反方向却不可行的加密算法。与基础认证对比,解码基础认证中的Base64是很容易办到的。在服务器口令中,可以指定任意的散列算法。
三、实现
HttpURLConnection hc = null; try { hc = (HttpURLConnection) new URL(url).openConnection(); hc.setConnectTimeout(10000); hc.setReadTimeout(10000); hc.setDoInput(true); hc.setDoOutput(true); hc.setUseCaches(false); String content = param; DataOutputStream out = new DataOutputStream(hc.getOutputStream()); out.writeBytes(content); out.flush(); out.close(); //从hc中取出sessionId for (int i = 1; (key = hc.getHeaderFieldKey(i)) != null; i++) { if (key.equalsIgnoreCase("Set-Cookie")) { sessionId = hc.getHeaderField(key); sessionId = sessionId.substring(0, sessionId.indexOf(";")); break; } } BufferedReader reader = new BufferedReader( new InputStreamReader(hc.getInputStream())); String lines; while ((lines = reader.readLine()) != null) { break; } reader.close(); catch (Exception e) { // //e.printStackTrace(); return false; } finally { // 断开连接 hc.disconnect(); }
相关文章推荐
- Internet of things 译文2
- 怎样铲除传统企业互联网转型中的十种坑
- “高考”机器人横空出世 2017年居然要考“大学”
- P2P再出闹剧? 北京P2P“汇投资”被曝跑路!
- 互联网金融时代的基础设施——征信
- 如何用“互联网+”激活产业潜能
- 【WOT2016】百度郝轶:洞察移动互联网中的云安全
- 网易视频云助力网易新闻直播,凸显内容价值
- 互联网小知识
- 负载均衡的那些算法们
- 17年了,QQ企鹅形象的演变也是一部互联网发展史
- 【管理经验】--P2B互联网金融项目3.0上线小感
- 小米运维—互联网企业级监控系统实践
- 互联网产品灰度发布
- 映射内部SMB/CIFS到互联网
- 2016年5月20日~21日,杨学明老师为北京某著名上市企业提供内训课程服务!
- 揭秘“轻松筹”募捐平台或成诈骗摇篮 谁来监管?
- 通过观影兴趣预测用户画像之年龄属性
- 数据化运营管理_互联网行业(二)(转化篇)
- 通过观影兴趣预测用户画像之性别属性