基于OAuth2.0的认证授权技术研究

doi:10.3969/j.issn.1671-1122.2016.09.002

信息网络安全 ›› 2016, Vol. 16 ›› Issue (9): 6-11.doi: 10.3969/j.issn.1671-1122.2016.09.002

基于OAuth2.0的认证授权技术研究

魏成坤(), 刘向东, 石兆军

中国航天科工集团第二研究院706所,北京 100854

收稿日期:2016-07-25 出版日期:2016-09-20 发布日期:2020-05-13
作者简介:
作者简介：魏成坤（1991—）,男,山东,硕士研究生,主要研究方向为计算机网络安全;刘向东（1974—）,男,河北,研究员,硕士,主要研究方向为计算机网络安全;石兆军（1984—）,男,甘肃,工程师,硕士,主要研究方向为计算机网络安全。

Optimization Method for OAuth2.0 Protocol

Chengkun WEI(), Xiangdong LIU, Zhaojun SHI

Institute 706,The Second Academy of China Aerospace Science and Industry Corporation, Beijing 100854, China

Received:2016-07-25 Online:2016-09-20 Published:2020-05-13

摘要/Abstract

摘要：

为了提高OAuth2.0协议的安全性,文章在深入分析OAuth2.0协议的基础上提出了基于OAuth2.0协议的引入安全节点和同步机制的改进方法,改进了协议的授权流程。OAuth协议为目前较流行的身份认证授权协议,经历了OAuth1.0和OAuth2.0两个版本目前仍在不断的优化中。文章首先研究了OAuth2.0协议的基本原理,针对OAuth2.0协议在实施过程中可能存在的信息泄露方面的安全威胁,提出了基于OAuth2.0的在授权服务器中引入安全节点,同时在授权服务器和资源服务器之间引入同步机制的方法,从而在授权过程前期对授权申请的安全性进行检查并在授权过程中实现授权服务器和资源服务器信息的共享,对OAuth2.0协议进行优化。然后,文章对协议改进的思想和协议的抽象授权流程进行详细描述,对协议的实现架构、具体授权流程进行了详细的介绍。最后,结合工程应用实例给出系统设计方案,对改进的协议进行系统实现,通过协议改进前后的实验效果的对比,验证了改进协议的可行性和有效性。

关键词: 开放授权2.0协议, 安全性, 授权, 安全节点, 授权码

Abstract:

To improve the security of protocol OAuth2.0, we optimize the protocol by introducing a security point and an synchronization mechanism based on the basic OAuth2.0 protocol. OAuth protocol for the current more popular authorization protocol, has experienced two versions of OAuth2.0 and OAuth1.0 is still in constant optimization. We proposed a new authorization process based on authorization code. Firstly, we studied the basic OAuth2.0 protocol. To prevent the security threats in information disclosure, we present a detailed model, in which a security node is introduced in the authorization server to check the security of authorization request, and a synchronization mechanism is introduced between the authorization server and the resource server to synchronize the information between the servers, then, we describes the new authorization model and the framework for realization of this protocol. Finally, we gave an example of system design to fulfill the new protocol model.

Key words: OAuth2.0, security, authorization, security point, authorization code

中图分类号:

TP309

魏成坤, 刘向东, 石兆军. 基于OAuth2.0的认证授权技术研究[J]. 信息网络安全, 2016, 16(9): 6-11.

Chengkun WEI, Xiangdong LIU, Zhaojun SHI. Optimization Method for OAuth2.0 Protocol[J]. Netinfo Security, 2016, 16(9): 6-11.

图/表 12

图1

图2

图3

图4

图5

图6

图7

图8

图9

表1

图10

图11

参考文献 12

[1]	Cloud Security Alliance. The Treacherous Twelve. [EB/OL]. , 2016-04-02.
[2]	HARDT D. The OAuth2.0 Authorization Framework. [EB/OL]. , 2013-2-1.
[3]	YAN Haixing, FANG Huixing, KUKA C, et al.Verification for OAuth Using ASLan++[C]// IEEE.High Assurance Systems Engineering (HASE), 2015 IEEE 16th International Symposium on, January 8-10, 2015, Florida, USA. USA: IEEE, 2015:76-84.
[4]	PAI S, SHARMA Y, KUMAR S, et al.Formal verification of OAuth 2.0 Using Alloy Framework[C]// Communication Systems and Network Technologies (CSNT), June 3-5,2011, Katra, Jammu, India. NewYork: IEEE, 2011: 655-659.
[5]	BANSAL C, BHARGAVAN K, MAFFEIS S.Discovering Concrete Attacks on Website Authorization by Formal Analysis[C] //IEEE.2012 IEEE 25th Computer Security Foundations Symposium ,Cambridge, MA, 2012:247-262.
[6]	BURANASAKSEE U, PORKAEW K, SUPASITTHIMETHEE U.Supasitthimethee. AccAuth: Accounting system for OAuth protocol[C]//IEEE.2014 Fifth International Conference onApplications of Digital Information and Web Technologies (ICADIWT), Bangalore, 2014:8-13.
[7]	E Torroglosa-García, AD Pérez-Morales, P Martinez-Julia, et al. Integration of the OAuth and Web Service Family Security Standards[J].Computer Networks the International Journal of Computer & Telecommunications Networking , 2013, 57(10) : 2233-2249.
[8]	张平,陈长松,胡红钢. 基于分组密码的认证加密工作模式[J]. 信息网络安全,2014(11):8-17.
[9]	ALOTAIBI A, MAHMMOD A.Enhancing OAuth services security by an authentication service with face recognition[C] //IEEE.Systems. Applications and Technology Conference (LISAT), 2015 IEEE Long Island, Farmingdale, NY, 2015: 1-6.
[10]	仇各各,汪学明,张言胜. 基于HECC的WSN身份认证协议研究[J]. 信息网络安全,2015(12):54-58.
[11]	HARDT D. The OAuth2.0 Authorization Framework [EB/OL]. , 2012.
[12]	赵洋,陈阳,熊虎,等. 云环境下一种可撤销授权的数据拥有性证明方案[J]. 信息网络安全,2015(8):1-7.

[1]	张艺, 刘红燕, 咸鹤群, 田呈亮. 基于授权记录的云存储加密数据去重方法[J]. 信息网络安全, 2020, 20(3): 75-82.
[2]	许盛伟, 王飞杰. 多机构授权下可追踪可隐藏的属性基加密方案[J]. 信息网络安全, 2020, 20(1): 33-39.
[3]	王生玉, 汪金苗, 董清风, 朱瑞瑾. 基于属性加密技术研究综述[J]. 信息网络安全, 2019, 19(9): 76-80.
[4]	韩益亮, 王众. 基于多变量和LRPC码的抗量子密码方案研究[J]. 信息网络安全, 2019, 19(8): 36-43.
[5]	亢保元, 颉明明, 司林. 基于生物识别技术的多云服务器认证方案研究[J]. 信息网络安全, 2019, 19(6): 45-52.
[6]	王耀杰, 钮可, 杨晓元. 基于生成对抗网络的图像隐藏方案[J]. 信息网络安全, 2019, 19(5): 54-60.
[7]	李一凡, 李昌婷, 李一鸣, 刘宗斌. 基于NFC智能卡的防伪方案及实现[J]. 信息网络安全, 2018, 18(9): 74-79.
[8]	左黎明, 胡凯雨, 张梦丽, 夏萍萍. 一种具有双向安全性的基于身份的短签名方案[J]. 信息网络安全, 2018, 18(7): 47-54.
[9]	张琦, 林喜军, 曲海鹏. 云计算中支持授权相等测试的基于身份加密方案[J]. 信息网络安全, 2018, 18(6): 52-60.
[10]	魏占祯, 王守融, 李兆斌, 李伟隆. 基于OpenFlow的SDN终端接入控制研究[J]. 信息网络安全, 2018, 18(4): 23-31.
[11]	姜红, 亢保元, 李春青. 改进的保护身份的云共享数据完整性公开审计方案[J]. 信息网络安全, 2018, 18(10): 85-91.
[12]	李梁磊, 邵立嵩, 王传勇, 刘勇. 一种基于FIDO UAF架构的开放授权方案[J]. 信息网络安全, 2017, 17(6): 35-42.
[13]	齐健, 陈小明, 游伟青. 基于fuzzing测试的网络协议安全评估方法研究[J]. 信息网络安全, 2017, 17(3): 59-65.
[14]	黄鹏, 曾贵华. 连续变量量子密钥分发实际安全性研究进展[J]. 信息网络安全, 2017, 17(11): 7-12.
[15]	韩清德, 谢慧, 袁志民, 聂峰. 一种支持访问结构隐藏的MA-CP-ABE方案[J]. 信息网络安全, 2017, 17(1): 48-56.

基于OAuth2.0的认证授权技术研究

Optimization Method for OAuth2.0 Protocol

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 12

参考文献 12

相关文章 15

编辑推荐

Metrics

本文评价