3、基于上下文的一次性密码:抵御中间人攻击

最新推荐文章于 2025-12-01 09:40:58 发布
最新推荐文章于 2025-12-01 09:40:58 发布
阅读量10 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 应用密码学前沿探析 文章标签: 一次性密码 OTP XOTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dapp9builder/article/details/154804557

基于上下文的一次性密码:抵御中间人攻击

1. 引言

互联网服务用户时刻面临攻击威胁。每天约有 3 - 6 亿封钓鱼邮件在全球传播,许多钓鱼攻击目标是用户的银行账户和网络服务账户。为减轻此类攻击,机构要求用户采用基于一次性密码(OTP)的双因素认证方案。然而,钓鱼者通过实时中间人(MITM)攻击来应对 OTP 的使用,这类攻击不断加剧。

MITM 攻击有多种形式,一种是攻击者获取用户的用户名、密码和当前 OTP,实时访问用户在真实服务器上的账户;另一种是攻击者破坏“可信”第三方,如证书颁发机构,获取伪造证书,控制和滥用 DNS 基础设施,即使用户使用正确的 HTTPS URL,仍可能与 MITM 攻击者通信。

我们的目标是引入上下文 OTP(XOTP)的概念,在无线通信中增强 OTP 机制,以减轻 MITM 攻击。我们的方法是尽量少改变 OTP 机制和基础设施,通过将 OTP 与会话上下文进行密码学纠缠,打破“用户 - MITM”和“MITM - 服务器”会话之间的对称性。

2. 上下文因素协议
2.1 设置

基本登录场景是客户端 C 希望通过浏览器安全登录服务器 S。假设用户配备了智能设备,该设备包含实现方案的应用程序、与服务器共享的密钥以及与浏览器的通信能力。系统还需要配置过程、建立新的共享密钥和应用程序,以及浏览器扩展。

我们定义了一些符号:
- keyS,C:服务器 S 和客户端 C 共享的密钥。
- ChalS,C:服务器 S 和客户端 C 之间同步的、非秘密的、不重复的挑战。
- PRF(key, data):伪随机函数,应用于给定数据和密钥,输出难以猜

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
2、5G网络安全上下文攻击分析
p4q5r6s7t的博客
07-11 99
本文深入分析了5G网络中安全上下文的存储与使用漏洞,揭示了攻击者如何利用这些漏洞实施冒充攻击、认证绕过攻击以及位置欺骗攻击。通过对多个运营商的测试,发现安全机制存在普遍缺陷,包括USIM卡和基带芯片中的安全漏洞。文章还介绍了使用ProVerif工具对快速注册过程进行形式化建模与安全目标验证,并提出了针对性的应对建议,以提升5G网络的安全性和可靠性。
抵御蓝牙嗅探与重放攻击:加密与序列号机制详解
byte轻骑兵的技术小窝
09-15 4048
本文系统解析蓝牙安全体系中的加密机制与序列号防御策略,结合历年面试真题与实战案例,构建完整的知识框架,轻松应对各类安全考试。​
Qwen3-32B对抗提示注入攻击:安全性加固方案
weixin_33239721的博客
11-29 556
本文针对Qwen3-32B模型在企业应用中面临的提示注入攻击风险,提出系统性安全加固方案。通过锁死系统提示、前置筛查、注意力掩码控制和输出后处理四层防御机制,结合纵深防御架构设计,有效抵御意图劫持威胁,保障AI系统在金融、法律等高敏场景下的安全运行。
大语言模型上下文工程(Context Engineering)详解:一篇搞懂核心概念
大模型研究中心
08-03 2392
大语言模型上下文工程(Context Engineering)详解:一篇搞懂核心概念
实现领域驱动设计(DDD)系列详解:限界上下文
晓风残月淡的博客
09-15 2612
什么是限界上下文(bounded context)?要明确限界上下文的定义,需要从“限界”与“上下文”这两个词的含义来理解。上下文表现了业务流程的场景片段,整个业务流程由诸多具有时序的活动组成,随着流程的进行,不同的活动需要不同的角色参与,并导致上下文因为某个活动的执行发生切换,形成了场景的边界。因而,上下文其实是动态的业务流程被边界静态切分的产物。
Qwen3-VL-30B模型安全机制解析:防止恶意图像攻击策略
weixin_42608299的博客
12-01 678
本文深入解析Qwen3-VL-30B多模态大模型如何抵御恶意图像攻击,涵盖频域检测、稀疏激活机制、上下文一致性校验及多层纵深防御体系,揭示其将安全内置于架构设计中的核心策略。
TIFS2024 | PE攻击: 基于Transformer模型中通用位置嵌入的漏洞
四口鲸鱼爱吃盐的博客
05-16 1625
本文 “PE-Attack: On the Universal Positional Embedding Vulnerability in Transformer-Based Models” 指出 Transformer 模型中位置嵌入(PEs)存在潜在漏洞。
Symfony安全加固实战:抵御OWASP Top 10攻击的12个关键配置(生产环境必备)
CodePulse的博客
10-20 672
掌握Symfony安全加固核心方法,解决企业级应用常见漏洞。针对PHP Symfony 1024 企业级应用开发场景,详解12项关键配置抵御OWASP Top 10攻击,涵盖CSRF防护、安全头设置、输入验证等实战策略,提升系统安全性与稳定性,生产环境必备方案值得收藏。
一个能有效减少基于SSL的中间人攻击的方案
平凡之路
08-08 7331
原文:Mitigating Man in the Middle Attack over SSL 来源:Internet Multimedia Services Architecture and Applications (IMSAA), 2009 IEEE International Conference on , vol., no., pp.1-5, 9-11 Dec. 2009 一个能有效...
双向通信安全加固:在ESP32上实现TLS加密连接,抵御IoT中间人攻击
在物联网(IoT)系统中,设备与服务器间的双向通信常面临窃听、篡改和中间人攻击等安全威胁。明文传输协议如HTTP或MQTT裸连已无法满足现代安全需求。TLS(Transport Layer Security)作为保障通信机密性、完整性和...
【Python通信安全加固】:SSL中间人攻击防护实战指南
SSL中间人攻击(MitM)是一种网络攻击手法,攻击者插入到通信双方之间,拦截和篡改双方传输的数据。攻击者通过截获未加密的握手过程,获取到双方的会话密钥,并以此来解密、修改加密的数据流。 ## 1.2 中间人攻击的...
在 ABAP 平台落地的 TOTP:把一次性口令融入 Credential Validation 流程的工程实践
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
10-31 45
ABAP系统中引入TOTP增强审批流程安全性 本文介绍了在SAP ABAP系统中为审批、复核等高敏感操作引入基于时间的一次性密码(TOTP)的方案。TOTP通过结合知识因子(passphrase)和持有因子(动态口令)的双因素认证,有效提升了关键操作的身份验证安全性。 文章详细说明了TOTP的标准实现原理,包括共享密钥、时间步长等核心参数。针对ABAP环境,提供了设备注册和再认证的具体实施流程,强调了与SAP安全策略的整合方式。同时区分了On-Premise和BTP云环境下的不同实现路径,并给出了RAP动作
CheesyFabric_deepdive_analyst_7984_1764666209192.zip
12-03
CheesyFabric_deepdive_analyst_7984_1764666209192.zip
【卫星抗干扰】一种用于全球导航卫星系统反欺骗的空时融合方法【附MATLAB代码】.rar
12-03
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
遗传算法重新配置配电网络(IEEE 33和69总线系统.zip
最新发布
12-03
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
windows下定期自动清空某个文件夹(比如在公司电脑上定期清空微信的聊天记录)
12-03
windows下定期自动清空某个文件夹(比如在公司电脑上定期清空微信的聊天记录)
网络爬虫基于Python的豆瓣电影Top250数据采集:使用Requests与BeautifulSoup实现网页内容解析
12-03
内容概要:本文通过一个简单的Python爬虫实例,演示了如何使用requests库发送HTTP请求,获取豆瓣电影Top250页面的数据,并利用BeautifulSoup解析HTML内容,提取出中文电影名称。代码实现了基本的网页抓取与数据清洗流程,包括设置请求头模拟浏览器行为以应对简单反爬机制、解析响应文本以及过滤非中文片名,最终输出纯净的电影标题列表。; 适合人群:具备Python基础语法知识,对网络爬虫感兴趣的初学者或刚入门的数据采集学习者;适合学习Web数据获取的基本流程和技术栈。; 使用场景及目标:①学习如何使用requests发起网络请求并携带请求头信息;②掌握BeautifulSoup进行HTML结构化解析的方法;③理解网页内容提取与数据过滤的基本逻辑,为后续深入学习爬虫框架(如Scrapy)打下基础。; 阅读建议:建议读者在本地环境中配置好相关库(requests、BeautifulSoup),动手运行并调试代码,尝试修改选择器或目标网站以加深理解,同时注意遵守网站的robots协议,合理控制请求频率。
基于粒子群优化算法的p-Hub选址优化(Matlab代码实现)
12-03
内容概要:本文介绍了基于粒子群优化算法(PSO)的p-Hub选址优化问题的研究与实现,重点解决在考虑不确定性因素下的集群式物流或交通网络中枢纽节点(Hub)的选址优化问题。通过构建数学模型,结合Matlab编程实现粒子群算法对p-Hub选址问题进行求解,旨在最小化网络总体运输成本并提升系统效率。文章涵盖了问题建模、算法设计、参数设置及仿真结果分析全过程,展示了PSO在复杂组合优化问题中的应用能力。; 适合人群:具备一定运筹学、优化算法基础,熟悉Matlab编程,从事物流网络设计、智能算法研究或交通系统优化等相关领域的研究生、科研人员及工程技术人员。; 使用场景及目标:①掌握p-Hub选址问题的基本理论与建模范式;②学习如何基于粒子群优化算法的p-Hub选址优化(Matlab代码实现)将粒子群优化算法应用于实际网络优化问题;③通过Matlab代码实现理解智能优化算法的编码流程与调参技巧;④为物流、通信、航空等枢纽网络设计提供解决方案参考。; 阅读建议:建议读者结合文中提供的Matlab代码逐行理解算法实现细节,尝试调整参数或引入其他改进策略(如自适应权重、混合算法)以提升优化性能,同时可扩展至带容量约束、多分配或多目标的Hub选址问题进行深入研究。
(41页PPT)某高校智算中心解决方案.pptx
12-03
(41页PPT)某高校智算中心解决方案.pptx
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值