基于OAuth2.0,OpenID Connect和UMA的用户认证授权系统架构

用户认证系统的基本功能是用来证明一个用户是他声称的那个用户,并管理该用户相关的基本信息。用户授权系统的基本功能是授予用户或应用权限访问受保护的资源。OAuth2.0是一个用户授权框架,该框架提供了使客户端应用可以请求用户授权该应用访问该用户受保护的资源的功能。Open ID Connect是基于OAuth2.0框架的用户身份认证协议。UMA是基于OAuth2.0框架的用户间授权协议。本文介绍了上述框架和协议的功能与实现,并整合三者尝试搭建完整的用户认证授权系统,使该系统架构具备功能上的完备性,良好的安全性,灵活的连通性,可扩展性,高性能以及高可用性。     

基于OAuth2.0的资源共享机制RSBO

共享资源重要的问题就是安全,本文针对目前主流的资源共享机制存的安全问题,如身份认证授权安全问题、用户信息泄露等问题,同时当资源在不同用户不同平台间进行共享时,用户需对资源进行分散重复存储等,造成冗余存储及空间浪费.本文针这些问题,提出了一种基于OAuth2.0协议的资源共享机制RSBO(Resource Sharing based OAuth2.0)并对其进行阐述,RSBO利用OAuth2.0协议认证授权的访问令牌原理,为共享资源创建资源令牌,该机制解决了用户信息泄露及冗余存储等问题,一次授权,实现多用户跨平台的资源共享.     

基于数字证书与OAuth2.0的IDP改进模型

随着云计算技术的快速发展和各种云端应用的开展,云环境中用户身份认证和授权管理成为云安全的关键问题之一。OAuth 2.0规范草案较好解决了云环境下的用户授权问题,提出了四种授权类型。本文在OAuth 2.0规范基础上,针对应用比较广泛的Authorization Code模式提出了基于数字证书的IDP改进模型。论文最后讨论了改进模型的优势。     

系统科学视域下基于OAuth2.0的授权登录安全性提升方案研究分析

为了极大限度地给用户提供便利,如今的网络应用供应商都提供了第三方授权登录的方式,目前OAuth2.0为单点登录（SSO）最为广泛的身份认证授权协议。OAuth2.0是开放式标准的第三方授权协议,允许用户授权第三方平台获取在某一平台上存储的个人信息资源,而无需将用户名和密码提供给第三方平台;针对OAuth2.0协议实施过程中可能存在的信息泄露等的安全威胁,在现有的关于提升OAuth2.0安全性的研究中,本文分析了两种目前相对新颖且可靠的模式,分别是匿名化与区块链智能合约与OAuth2.0协议结合的尝试,以系统科学视域分析两种针对OAuth2.0安全性的改进方案。     

运用SPIN对开放授权协议OAuth 2.0的分析与验证

OAuth 2.0协议是一种开放授权协议,主要用于解决用户账号关联与资源共享问题。但是,其弱安全性导致各网络公司海量用户信息泄露,且OAuth 2.0传输数据采用的https通道效率低下,成为黑客攻击对象。提出采用http通道传输OAuth 2.0协议数据,基于Promale语言及Dolev-Yao攻击者模型对OAuth 2.0协议建模,运用SPIN进行模型检测。形式化分析结果表明,采用公钥加密体系对OAuth 2.0协议进行加密不安全。上述建模方法对类似的授权协议形式化分析有重要借鉴意义。     

Android平台下基于OAuth2.0协议的三方认证技术研究与实现

三方认证协议OAuth不会让第三方涉及到用户名和密码等用户私密信息,在第三方不需要使用用户名和密码的情况下就可以得到用户的访问授权,具有简单、安全、开放等特点,在实际中得到广泛应用。该协议已经成为开放资源授权的标准。文章以最新的OAuth2.0版本为对象,研究了其认证过程,并在Android平台上以腾讯微博为例实现了相关功能。     

一种云计算中的多重身份认证与授权方案

OpenID是一种广泛应用于云计算中的去中心化的身份认证技术。OpenID为用户以一个身份在多个云服务中通行提供了一种方式,也解决了因遗失在云提供商处注册的云身份凭证而不能登录的问题。但用户以OpenID身份登录云服务后,却不能访问该用户的云身份拥有的资源,且OpenID技术也没有对请求身份信息的云服务进行认证与细粒度授权。因此文章在OpenID技术和OAuth技术的基础上,设计了一种多重身份认证与授权方案来解决上述同一用户不同身份的资源不可访问问题,以及身份信息等资源访问流程中的细粒度授权问题。     

基于口令签名和OAuth2.0协议的强身份认证方案

为了解决网络应用身份认证问题, OAuth2.0协议在实际生产环境中得到了非常广泛的应用.但很多系统在设计时不合理使用OAuth2.0标准、产生很多安全漏洞.分析了近年来关于OAuth2.0协议出现的安全问题,包括中间人攻击,授权劫持漏洞和CSRF漏洞,针对这些安全问题提出了一种基于口令的Schnorr数字签名和OAuth2.0的强身份认证方案.最后对该方案进行安全性分析,结果表明该方案具有良好的安全性且易于使用.     

基于OAuth2.0协议的微信公众平台开发研究

随着微信用户的急剧增加以及微信推出的公众平台的开放性,分析了微信公众平台的应用前景,并分析了OAuth2.0协议中第三方应用、普通用户、授权服务器及资源服务相互认证模型。最后以微信公众平台为例,对其接入规范和如何使用OAuth2.0验证进行研究,实现并验证了手机应用与微信公众平台的账号互通功能。     

OAuth2.O协议认证授权实现方案研究

分析了OAuth2.0“授权码”认证授权模式的详细流程,给出了Java编程实现认证授权服务的关键代码,并对使用中需注意的安全问题进行了分析.     

VOAuth: A solution to protect OAuth against phishing

The OAuth protocol is designed for authorization which enables users to grant third-party applications to access their resources stored at a server. However, OAuth cannot prevent counterfeiting the Authorization Server, thus phishing attacks are usually encountered. Although the version 2.0 of OAuth has been widely used in web authorization services, counterfeiting problem remains unsolved. In this paper, VOAuth (Validation OAuth) is proposed as a novel solution to address this problem, which brings in a Validation System and optimizes the processes of OAuth. The Validation System including Validation Gateway and Validation Client can guarantee the authenticity of Authorization Server by taking tripartite consultation and one-time pad into account, hence users can be protected from phishing due to that passwords will not be stored or submitted for a long time. In order to prove that VOAuth can avoid phishing attacks especially counterfeiting Authorization Server effectively, countermeasures on phishing threat models and formal verification in VOAuth are shown with Alloy Analyzer. Finally, VOAuth is implemented in an actual mobile Internet application and has been on-line for more than two years with over 15 million users. So far, the leakage of user privacy data does not occur and there is no phished account reported, which provides further evidence of the effectiveness of VOAuth.     

基于新浪微博开放平台的iPhone地图应用与开发

微博开放平台可在对第三方进行验证与授权后为其提供服务,验证与授权过程是根据OAuth 2.0协议进行的.在使用新浪微博开放平台服务的基础上,结合Xcode开发平台中iPhone地图组件提供的功能,开发出一个展示微博用户活动的地图应用.该应用为分析微博用户所进行的活动提供了重要依据,对研究iPhone地图定位和开放平台有着重要作用.     

基于OAuth的开放授权技术及在云计算中的应用

在云计算中,传统应用系统中使用的基于单一安全域的身份认证和资源授权模式已无法适应复杂环境中的管理要求,需要制定跨域访问的安全控制策略.在重点分析了云计算中数据安全和隐私保护所遇到的挑战的基础上,有针对性地介绍了OAuth2.0协议的原理和功能特点,提出了开放授权技术在云计算中的应用优势,并通过一个工程应用实例讨论了具体的实现方法和思路.     

Integration of the OAuth and Web Service family security standards

There are more and more scenarios requiring the transparent integration of heterogeneous security services in order to facilitate application development, simplify deployment and provide a seamless user experience. One of the most common use cases occurs when resources make use of OAuth to provide a simple and flexible way to authorize clients in order to access protected resources. But different OAuth implementations normally use distinct types of authorization grant and access tokens. This heterogeneity can be tackled by leveraging on WS-Trust, which is especially intended to offer integration mechanisms among services that implement WS-^∗ specifications. By integrating these mechanisms it is possible to reduce the complexity supported by the OAuth Authorization Server (AS), so easing the interoperability through the delegation of the issuance and validation processes. This work also proposes a solution to cover the needs of WS-Trust clients which intend to use OAuth resources.     

基于CPN的OAuth协议建模与分析

在云计算环境下,网络安全协议的执行环境变得更为复杂,应用Web安全问题开放授权协议,可以提高信息共享的安全性. 本文采用CPN（Colored Petri Net）对OAuth协议进行建模,使用仿真工具CPNTools分析OAuth协议授权码模式的相关性质,并通过仿真实验表明授权码模式可以基于令牌进行验证与授权,防止针对授权码的CSRF注入攻击.