一种基于两层在线身份认证的安全框架体系设计与实现

发布时间：2017-05-14 02:08

  本文关键词：一种基于两层在线身份认证的安全框架体系设计与实现，由笔耕文化传播整理发布。

【摘要】：SSO(single sign-on)可以让用户从记忆大量密码的困扰中解脱出来：通过登录IDP(Identify provider)得到对SP(service provider)网站的授权后即可登录SP网站。但是依然采用传统的密码验证方式让登录IDP的过程容易受到Phishing, MITM(Man In The Middle)等攻击。两步验证可以让安全性得到一定的提升,但是由于验证因子都是在服务器层进行的验证,某些静态的验证数据(比如密码)在网络传输时可能被攻击者获取而引发威胁。导致这些威胁的根本是所有的验证数据都需要通过网络传输至服务器验证。 本文提出了FIDOAuth:一种两层在线身份认证安全框架。在提供类似SSO认证框架的同时,也通过一种两层的验证方式保证了对IDP登录的安全性。在登录IDP时,用户需要先在本地验证静态验证口令(比如密码,指纹等),之后将用户设备生成的动态的OTP(One Time Password)提交至服务器进行验证。同时使用三层账号关联体系,实现对设备、用户、服务三个层面的关联,完成从用户设备到最后用户账号的映射。我们的目的是在提供安全认证的基础上,提供快速便捷的SSO登录过程。本文详细的描述了在固定终端浏览器端、服务器端的部署和设计,以及在移动终端和固定终端的多屏互动。 首先,本文在讨论系统项目开发背景和对其开发设计所面对问题的基础上,分析了系统的功能需求和框架的认证方式需求,并对系统需求以用例图的形式来详细说明。在非功能性需求中由以安全性最为重要,在安全需求中设计威胁模型来模拟可能会带来的恶意攻击和预测系统安全的健壮。 在系统需求分析基础上,我们进行了系统的概要结构设计。首先根据系统需求提出系统设计目标和原则,然后分别对系统技术架构和功能架构进行了设计。技术架构主要考虑系统的可扩展性,可维护性以及性能问题,并对各层的功能进行了设计分析。在功能架构设计中,讨论了系统各部分的功能组成,最后给出一个动态的系统功能流程。 再一步进行系统的详细设计。该部分按照差异化管理和一体化管理的思路来设计系统,并对各个模块的设计进行了描述。在系统建模中,为了更加充分的理解系统的设计,我们简单介绍了两层多因子验证与三层账号体系,并分析了客户关系管理系统在其中的作用和位置。然后给出了系统的整体结构图和多设备问的互动的交互图。在了解了整体结构之后,根据需求分析中提出的差异化管理和一体化管理两条思路分别讨论了各个模块的详细设计。 我们在详细设计的基础上,首先对各个模块的实现进行了简单介绍,给出了系统的整体效果图和各个部分的实现。然后着重对隐式的身份认证和数据结构的实现进行了详细分析。在这一部分,首先简单介绍了系统的建模及安全框架基础及SHA3-OTP算法的设计,根据系统实际需求,设计并实现了威胁模型的防范,并对预测结果进行了误差分析和效果展示。最后,简单分析了系统测试,并对压力测试的环境搭建和测试过程给出了详细分析。 最后,本文对系统的应用情况作了简单介绍,并对系统进一步改进提出了建议。 综上所述,我们在分析业务需求基础上,设计并实现了针对网络安全的安全框架。
【关键词】：跨域单点登录 多因子认证 一次一密 两层身份验证 多屏互动
【学位授予单位】：山东大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP311.52
【目录】：

• 摘要8-10
• ABSTRACT10-12
• 第1章 绪论12-17
• 1.1 系统开发背景12
• 1.2 国内外研究现状12-14
• 1.3 解决的主要问题14-15
• 1.4 本文的主要工作15-16
• 1.5 论文的组织结构16-17
• 第2章 系统需求分析17-26
• 2.1 系统概述17-18
• 2.2 系统目标和解决的问题18-19
• 2.3 系统需求问题描述19-26
• 2.3.1 系统功能性需求19-21
• 2.3.2 隐式WEB身份认证21-22
• 2.3.3 威胁模型22-23
• 2.3.4 系统安全性需求23-26
• 第3章 系统结构概要设计26-32
• 3.1 系统设计目标和原则26-27
• 3.2 系统技术架构设计27-28
• 3.3 三层账号体系28-29
• 3.4 两层验证29-32
• 第4章 系统详细设计32-53
• 4.1 系统建模32-36
• 4.2 系统模块设计36-46
• 4.2.1 移动终端注册36-37
• 4.2.2 用户账号注册37-38
• 4.2.3 用户账号与移动终端绑定38-40
• 4.2.4 用户账号登录40-44
• 4.2.5 用户账号与SP账号绑定44-45
• 4.2.6 面向SP的FIDO-SSO登录过程45-46
• 4.3 数据库设计46-48
• 4.4 数据结构定义48-51
• 4.5 接口设计51-53
• 第5章 系统实现与测试53-70
• 5.1 系统实现53-64
• 5.1.1 系统总体实现53-57
• 5.1.2 SHA3-HMAC算法OTP启动方法57-58
• 5.1.3 UTC同步窗口的SHA3-OTP58-60
• 5.1.4 隐式增强便捷身份认证的实现方法60-62
• 5.1.5 用户账号与移动智能设备一对多映射绑定的实现方法62-63
• 5.1.6 多屏多因素认证的用户单点登录的实现方法63-64
• 5.2 系统测试64-70
• 5.2.1 整体评估64-66
• 5.2.2 测试环境66-67
• 5.2.3 性能表现67-69
• 5.2.4 测试结果及讨论69-70
• 第6章 结论70-71
• 参考文献71-74
• 致谢74-75
• 学位论文评阅及答辩情况表75

【共引文献】

中国硕士学位论文全文数据库 前1条

1 Jane Nduta Kiere;[D];湖南大学;2012年

  本文关键词：一种基于两层在线身份认证的安全框架体系设计与实现，，由笔耕文化传播整理发布。

本文编号：364102