引用格式:鄒立剛,張逸凡,張新躍,等.一種基于DNS的零信任增強(qiáng)認(rèn)證系統(tǒng)設(shè)計(jì)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(7):21-25.
引言
隨著互聯(lián)網(wǎng)電子商務(wù)的快速應(yīng)用和電子支付的蓬勃發(fā)展,越來越多的Web應(yīng)用開始部署支持HTTPS,需要Web應(yīng)用開發(fā)者同步部署HTTPS證書來實(shí)現(xiàn)安全可信的互聯(lián)網(wǎng)應(yīng)用。最初HTTPS證書頒發(fā)與網(wǎng)站域名一一對(duì)應(yīng),然而隨著技術(shù)的發(fā)展,一個(gè)組織需要多個(gè)HTTPS網(wǎng)站應(yīng)用,因此同一個(gè)組織內(nèi)的不同個(gè)體共享證書就成為一種典型的應(yīng)用場景,尤其是同一組織內(nèi)部不同網(wǎng)站共享同一個(gè)證書是常見的典型場景,甚至在使用內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)服務(wù)后,兩個(gè)毫無關(guān)聯(lián)的網(wǎng)站因?yàn)槭褂猛粋€(gè)CDN服務(wù)商而不得不共享同一個(gè)HTTPS證書也很常見。針對(duì)需要共享證書的場景,目前很多公有云服務(wù)商都提供共享型增強(qiáng)證書的解決方案,但共享證書的場景實(shí)際存在很大風(fēng)險(xiǎn),當(dāng)前利用共享證書之間網(wǎng)站的安全脆弱性進(jìn)行中間人攻擊已經(jīng)存在[1]。研究數(shù)據(jù)表明,世界排名前100的HTTPS網(wǎng)站及其子網(wǎng)站,63%存在可能被攻擊的風(fēng)險(xiǎn),可見這類安全風(fēng)險(xiǎn)隱患具有一定的普遍性。中間人攻擊本質(zhì)上是利用了證書共享中客戶端對(duì)證書的信任關(guān)系,雖然部署證書應(yīng)用的服務(wù)器安全配置和防護(hù)級(jí)別很高,但是攻擊者可以通過攻擊另一個(gè)共享同一個(gè)證書的配置相對(duì)薄弱的服務(wù)器,在獲取了服務(wù)器的權(quán)限后,利用共享證書的信任關(guān)系實(shí)現(xiàn)對(duì)其他服務(wù)器的中間人劫持攻擊,甚至可將HTTPS降級(jí)為明文傳輸?shù)腍TTP,從而實(shí)現(xiàn)傳輸內(nèi)容的監(jiān)聽和篡改[1]。
本文詳細(xì)內(nèi)容請(qǐng)下載:
http://www.rjjo.cn/resource/share/2000006087
作者信息:
鄒立剛1,張逸凡1,張新躍2,袁建廷3
(1.北京國科云計(jì)算技術(shù)有限公司,北京100190;
2.中國互聯(lián)網(wǎng)絡(luò)信息中心,北京100190;
3.新疆大學(xué)信息科學(xué)與工程學(xué)院,新疆烏魯木齊,830046)
