基于OAuth单点登录系统的安全性分析和评估

›› 2017, Vol. 30 ›› Issue (9): 165-.

基于OAuth单点登录系统的安全性分析和评估

陈君，张生

(上海理工大学光电信息与计算机工程学院，上海200093)

出版日期:2017-09-15 发布日期:2017-11-03
作者简介:陈君（1992-），男，硕士研究生。研究方向：基于OAuth2.0系统的单点登录。

Security Evaluations and Countermeasures of Single Sign-on Systems Based on OAuth Protocol

CHEN Jun，ZHANG Sheng

(School of Optical-Electrical and Computer Engineering, University of Shanghai for Science and Technology, Shanghai 200093, China)

Online:2017-09-15 Published:2017-11-03

摘要/Abstract

摘要：

现今，不少用户使用QQ、微信、微博帐号登录第三方网站，其中大多数服务器供应商都采用了OAuth 2.0安全协议，但该协议是基于单点登录的，因此存在不少安全隐患。为了进一步提高系统安全性，文中通过测试第三方网站帐号登录、登出的HTTP流量状况，模拟了网站被攻击过程，从中提取日志并分析结果，对基于OAuth 2.0安全协议的资源提供方和第三方网站的安全性进行了评估。文中针对不同的问题提出了相应的对策。

关键词: 安全隐患, OAuth 2.0协议, SSO系统, 资源提供方

Abstract:

Nowadays, many users use QQ, WeChat, micro-blog to register and login in third party sites, the majority of server providers are using a sso(single-sign-on) system based OAuth2.0 security protocol, so there are many security problems. In order to improve the security of systems, In this paper, we test HTTP flow of log-in/out of the third party websites, and simulate the attacked process of the websites. Then we evalute the security of the resource and the third party websites by analyzing results from obtaining logs. Finally, this paper proposes countermeasures to deal with different safe problems.

Key words: sercuity problems, OAuth2.0；SSO systems, resource providers

中图分类号:

TN915.08

陈君，张生. 基于OAuth单点登录系统的安全性分析和评估[J]. , 2017, 30(9): 165-.

CHEN Jun，ZHANG Sheng. Security Evaluations and Countermeasures of Single Sign-on Systems Based on OAuth Protocol[J]. , 2017, 30(9): 165-.

[1]	张冰冰. 用于感知局域网攻击的离散事件系统研究[J]. , 2017, 30(9): 169-.
[2]	徐晓峰, 郑连清, 李庆朋. 战场一体化无线异构网络安全研究[J]. , 2012, 25(4): 115-.
[3]	沈雷. 基于EAP-TTLS的3G-WLAN融合网络认证方法[J]. , 2011, 24(3): 108-.