面向Web應(yīng)用的認(rèn)證安全問題及解決方案研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，Web應(yīng)用由于其使用方便已成為網(wǎng)上應(yīng)用的主流。而身份認(rèn)證是Web應(yīng)用的第一條防線，其安全程度直接影響Web應(yīng)用程序的健壯程度。目前的很多黑客攻擊手段，如釣魚攻擊、SQL注入攻擊等各種網(wǎng)絡(luò)攻擊方式都是由身份認(rèn)證開始的。因此，身份認(rèn)證安全研究必將會(huì)成為網(wǎng)絡(luò)安全技術(shù)研究的新重點(diǎn)。 本文從目前流行的針對(duì)Web應(yīng)用的身份認(rèn)證的多種漏洞攻擊出發(fā)，提出了程序級(jí)和應(yīng)用級(jí)兩層解決方案。程序級(jí)解決方案主要面向系統(tǒng)的開發(fā)人員，

2、主要采用數(shù)據(jù)過濾、輸出處理、Session管理、緩存清除等技術(shù)，這些技術(shù)方案均采用跨平臺(tái)的JAVA作為編程語言，具有一定的普遍性；應(yīng)用級(jí)解決方案提出了目前一些比較常用的、安全的認(rèn)證機(jī)制，如：數(shù)字證書、一次性口令、雙因子認(rèn)證、生物識(shí)別技術(shù)等。其中重點(diǎn)介紹了“一次性口令”+“數(shù)字證書”的雙因子認(rèn)證機(jī)制。 本文程序級(jí)解決措施經(jīng)過實(shí)驗(yàn)證明，具有一定的可行性、實(shí)用性，并且其實(shí)現(xiàn)方式簡單、有效，可以從根本上杜絕針對(duì)這些漏洞的認(rèn)證攻擊。此外本