OenID协议在云计算身份认证中的风险和改进.doc

OpenID协议在云计算身份认证中的风险和改进 摘要：该文探讨OpenID协议在云计算身份认证中可能存在的各种风险，针对网络窃听的风险，提出一种采用流密码加密URL的改进方案。 关键词：云计算；网络安全；OpenID协议 中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）29-0021-02 The Risks and Improvement of OpenID Protocol in Identity Authentication based on Cloud Computing HUANG Hong-tao， CHEN Xiao-hang （Guangdong University of Foreign Studies， Guangzhou 510006， China） Abstract： This paper discusses the possible risks of OpenID protocol in identity authentication based on cloud computing， and presents an improved scheme for URL encryption based on stream cipher in order to prevent network eavesdropping. Key words： cloud computing； network security； OpenID protocol 随着云计算概念的普及，一些大型的门户网站开始使用云计算为用户提供更便利的服务，最基本的协议之一就是OpenID。随着该协议被广泛应用，其安全性问题也受到了关注，成为影响云计算大范围应用的一个因素。 1 OpenID协议的基本原理 1.1 OpenID的概念 OpenID是一个分布式身份认证系统。对于用户来说，只需要在一个中心网站上面注册过后，凭借注册后获得的OpenID URL，就可以不必在其他同样支持OpenID协议的网站上再次注册，免去用户在不同网站上面频繁的注册活动和省去了对不同帐号密码的记忆，达到凭一个账号可以在多个网站登录的效果。而对于服务提供者来说，利用中心网站提供的OpenID，不仅可以省去对用户账号的添加、删除、修改等管理工作，还可以快速沿用中心网站的庞大用户群。 使用 OpenID时，URL就是用户的OpenID身份认证，可在多个网站上进行登录。URL的构成有两部分：账号名和提供OpenID身份的网址。例如：在中心网站上的账号是：user，对应的URL就是：http：//1。 1.2 OpenID的工作原理 1.2.1 角色定义 用户User （通常指用户浏览器） 服务提供者RP（ Relying Party， 又称为Service Provider） 身份提供者OP（ OpenID Provider， 又称为OpenID Server） 1.2.2 OpenID的工作流程 1）用户需要使用服务提供者RP的某项服务，首先提供自己的身份，即上面所述OpenID URL。 2）RP根据用户的OpenID URL 与身份提供者OP进行通信。有两种通信模式：一种是不提示用户在后台进行；更常见的是第二种：RP在同一个浏览器窗口将用户引导到OP的身份认证页面。 3）用户在认证页面输入在OP之前设定的密码，向OP表明身份，完成认证。 4）认证结束，OP将用户引导回到RP，同时返回的信息包含认证用户的结果判断，以及RP需要的一些其他信息。 5）RP判断返回信息的有效性，如果认证成功，用户即可使用相应的服务2。 2 OpenID可能存在的风险 2.1 拒绝服务攻击 对于RP的连接请求，OpenID协议本身并没有设置检查机制，无法判断一个请求是否原始请求。恶意的RP可以重复请求连接， 认证或签名验证，并且在每个消息上指定系数与生成器，导致OP疲于运行每个消息，无法响应其他正常请求3。 2.2 网络钓鱼 RP将用户引导到OP的身份认证页面时，存在网络钓鱼攻击的风险。例如：恶意的RP事先构建某些提供OP服务的钓鱼网站，当用户输入其URL后，将用户重定向到伪造的页面，等用户输入密码后再跳转回RP网站。表面看来用户以为自己认证成功，但此时用户的OpenID和密码已被恶意RP窃取。 2.3 网络窃听 从OpenID的认证流程来看，当认证成功时会返回认证结果给服务提供者RP，同时伴随传送的还有用户的一些信息，例如OpenID URL，这个URL很容易被人截获并加以利用，攻击者可以从中截取一个成功的认证并重用4。 3 改进方案 3.1 选中的改进点 针对网络窃听，在OpenID身份提供者和服务提供者之间通过共享密钥的方法来应对。这里采用一个固定长度的随机字符串来加密URL，考虑采用RC4流密码算法，加密后再把这个随机字符串放到密文的前面。因为之前已经协商好，服务提供者就能知道提取前面多少位的字符串来做为解密用的密钥，从而进行解密，得到正确的OpenID