WOW用户认证的方式-SRP

最新推荐文章于 2025-12-30 09:11:37 发布
原创 最新推荐文章于 2025-12-30 09:11:37 发布 · 5.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #算法 #网络

本文介绍了SRP(Secure Remote Password)协议的基本概念及其在World of Warcraft(WOW)认证过程中的应用。SRP协议确保了在网络上传输过程中不会泄露明文密码,并通过高强度算法防止字典攻击。文中还提供了部分实现SRP6协议的模拟代码。

  SRP全称Secure Remote Password(安全远程密码).使用SRP的客户机和服务器不会在网络上传送明文密码,这样可以消除直接密码嗅探行为,另外使用高强度的算法保证了不可能使用字典法攻击嗅探到的数据。

  SRP协议实现的描述见 http://srp.stanford.edu/design.html 

 

  WOW的认证过程使用的是SRP6,最新的标准为SRP-6a,将k由原来的3改为了H(N,g)

 

  WOW认证过程的模拟代码 (部分实现,编译需要openssl和ace)  http://helloqinglan.googlepages.com/srp-wow.rar 

 

参考资料:

MANGOS项目 http://www.mangosproject.org/forum/index.php

Secure Remote Password protocol (SRP)
weixin_38015542的博客
07-23 1510
安全远程密码协议,用于在不安全的环境中进行密钥交换,同时支持零知识进行身份认证。零知识认证指的是客户端向服务器证明自己知道密码,但是不需要向服务器发送密码来验证自己的身份。在完成密钥交换和身份认证过程中,密码永远不会离开客户端,即使有攻击者窃听到交互的信息,也不能反向推导出机密信息。
Wow, Mangos登录时的SRP6认证
weixin_33714884的博客
10-09 372
以Mangos代码为参考, 解析SRP6的原理和实现. (转载请注明来源于金庆的专栏) SRP全称Secure Remote Password(安全远程密码),是一个开源认证协议。 SRP简化后的原理是: 1. 服务器不保存密码或密码的散列值, 防止字典攻击. 而只是保存验证因子(verifier). 2. 客户端和服务器可以各自计算出一个会话秘...
CognitoAuth:Swift Cognito SRP身份验证流程(实验性)
04-03
CognitoAuth 用法示例 import Foundation import CognitoAuth let config = AuthConfig ( endpointURL : URL ( string : " https://cognito-idp.ap-southeast-2.amazonaws.com " ) ! , clientId : " theclientid " , clientSecret : " thelcientsecret " , poolId : " 1Q2Q3Q4Q " ) let username = " ausername " let password = " apassword " let service = AuthService ( config : config, username : username, pa
推荐开源项目:srp——安全远程密码(Secure Remote Password)Go实现
gitblog_00035的博客
06-07 677
推荐开源项目:srp——安全远程密码(Secure Remote Password)Go实现 srpA set of Go functions for Secure Remote Password protocol implementation in 1Password Teams项目地址:https://gitcode.com/gh_mirrors/sr/srp 1、项目介绍 在寻找一种强大而...
SRP-6a:安全远程密码协议(SRP算法的实现
05-12
SRP 6a相互认证算法。 什么是SRP: : 这是和描述的步骤 客户端从密码生成一个和一个。 客户端向服务器发送用户名和A。 服务器生成b和B。B是从b和v生成的(验证程序是从DB生成的) 客户端和服务器都从A和B生成U。 客户端生成客户端机密并将签名发送到服务器(M1)。 服务器生成服务器密钥,并生成自己的M1。 然后与客户的M1比较 服务器生成M2并发送给客户端 客户生成自己的M2并进行比较。 现在,建立了相互身份验证(没有发送密码或秘密)。 SRP登录页面: 用户名:madavadiyana,密码:TEv7puHvIx1234(您可以netwok流量Chrome的开发者工具观看) 常规登录页面:http: (与上述凭据相同) 待办事项:代码文档,单元测试,但是有2个端到端集成测试。 以下是建立相互认证的示例代码。 final String user
安全的基础----学习java安全之前的准备
Zero'Coffee
05-31 1587
email: luopc@edu-edu.com.cn安全的基础知识在高度保证企业应用程序安全的过程中我们不免会考虑到如下的安全需求,然后我们针对这些安全需求提出各种安全技术:1、    完整性验证(Integrity Verification)。也就是以防止我们需要的内容不被篡改,仍然不吃其真实性。2、    机密性保持(Confidentiality Preservation)。通俗的说就是防
Apple 网页 SRP 登录系列文章(二):网页参数提取与会话初始化
Sayid_Des的专栏
06-05 835
本文深入解析了Apple网页SRP登录的第一个关键环节。文章首先指出Apple登录页面采用多层安全架构,包括跨域跳转机制和动态参数生成。重点介绍了四种关键参数(ServiceKey、SCNT、FrameId、ServiceNum)的提取技术,通过正则表达式和JSON路径解析从HTML脚本和HTTP头中获取。最后详细说明了会话初始化流程,包括访问初始页面和构建认证URL。这些技术细节揭示了Apple如何通过复杂机制确保登录过程的安全性。
SRP(远程密码安全)在网游登录服的应用
zxgang_andy的专栏
06-25 6141
<br />1.关于SRP的资源<br />SRP协议是由斯坦福大学计算机科学系的Thomas wu等开发的,英文全称是Security Remote Password(远程密码安全),经过严密的数学论证,SRP被证明是一种非常安全的算法,我们可以在获取到SRP的协议的官方文档 http://srp.stanford.edu/ .当下流行的网络游戏魔兽世界采用的就是SRP6协议.<br /> <br />2.原理,设计<br />原理具体讲解可参看上面的官方文档,设计在http://srp.stanford
魔兽世界注册页面搭建教程
PayneQiao的博客
12-05 1398
一个简单的魔兽世界注册网站搭建
我用php构建了魔兽世界服务器,只为证明php是世界上最好的语言
weixin_40885786的博客
09-25 1095
我用php构建了魔兽世界服务器 --只为证明php是世界上最好的语言 作为一个魔兽老玩家,最近看着暴雪开了怀旧服,早已寂灭的心又开始躁动不安了,我正式入坑是网易接替九城那会,号称万年TBC, 对于那个时代,用一句话表达就是“我站在暴风城的广场上,听着港口涛声,幻想着诺森德天气多么寒冷…”,你懂的~ 那时候刚上大学,对于涉世未深的我来说,魔兽的差点让我变成网瘾少年,直到毕业步入社会,才慢慢淡...
bsrp:SRP-6a协议的PythonJavascript实现
03-18
bsrp bsrp是版本6a的安全远程密码(SRP)协议的Python(后端)和Javascript(前端)实现。 SRP是一种密码验证的密钥交换(PAKE),它具有几个出色的身份验证功能。 1Password,iCloud,AWS Cognito等将其用于登录身份验证。 为什么选择SRP? 1Password的同伴提供了以下使用SRP的理由: 无需通过网络发送密码即可进行身份验证。 进行身份验证时,不会有任何人知道您的任何机密的风险-即使他们拦截了您的通信。 验证客户端和服务器的身份,以确保客户端未与冒名顶替者服务器通信。 不仅使用二进制“是”或“否”进行身份验证。您实际上最终得到了一个加密密钥。 该库提供了使用python / javascript技术堆栈实现SRP的无缝解决方案。跳转至文档。跳转至文档。 B第一个SRP流程 SRP-6a协议的此实现仅需要两个API调用: B
secure-channel-srp6a-applet:用于SRP-6a的经过密码验证的安全通道的Java卡小程序,可保护元素智能卡
05-07
SRP-6a Java卡小程序 此Java Card小程序是Wu [1]对安全远程密码(SRP-6a)密码认证的安全通道协议的实现。 结合使用现成的应用程序(例如使用我们的的Android应用程序)的实现,您可以建立一个使用PIN或密码进行相互身份验证的安全通信通道。 此实现依赖于标准Java Card 2.2 API功能。 尽管Java Card 2.2 API的安全元素通常配备有必要的硬件,以计算SRP中使用的模运算,但是标准Java Card 2.2 API的局限性阻止了对必需密码原语的直接访问。 因此,这给以可接受的性能实施SRP带来了挑战。 但是,通过利用该平台提供的RSA加密API,我们表明可以在密码协处理器的支持下计算乘幂和乘法。 这以及对该协议的少量修改,使得可以在Java卡小程序中以合理的计算时间实现SRP-6a服务器端。 我们在MoMM2014论文[2]中对此进行了介绍
推荐开源项目:Golang 中的独立 SRP-6a 实现
gitblog_00479的博客
08-28 775
推荐开源项目:Golang 中的独立 SRP-6a 实现 项目介绍 在安全认证领域,Secure Remote Password (SRP) 协议以其强大和高效而著称。今天,我们来关注一个特别的实现——位于 GitHub 上的 go-srp,这是一个纯 Golang 编写的无依赖 SRP-6a 独立实现库。该库旨在提供一种客户端与服务器间安全认证的方法,确保密码在网络传输中不被泄露,同时也保护了用...
Bouncy Castle使用(一)【开始】
热门推荐
极客神殿
06-05 1万+
保持Bouncy Castle项目进行 随着各种算法的更改,更新,协议中的安全问题,以及不得不为诸如CERT等组织编写供应商声明,保持Bouncy Castle项目的进行正在变成一个全职工作,我们中的几个人现在已经放弃了稳定的工作,以释放上班时间。如果您正在使用我们的软件,并且有兴趣确保在需要我们时总是在这里,有两种主要的方式可以帮助您。 第一个是通过获得支持合同或通过赞助项目的具体工作。不仅
好气!等一年,这个iCloud 账户漏洞竟只值$1.8万?!说好的$35万呢???
smellycat000的专栏
06-22 768
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士作者详述了自己如何从苹果“忘记密码”端点上找到漏洞从而接管 iCloud 账户的过程。该漏洞已由苹果公司修复且不再起作用。虽然苹果...
AVB协议分析(二) SRP协议介绍
“Struggle”的博客
05-30 2277
SRP协议,流预留协议,英文名Stream Registration Protocol(SRP) ,在2010年SRP标准化成为IEEE802.1Qat,并入IEEE 802.1Q-2011标准中。SRP定义了OSI模型第2层的流概念。简单说,SRP协议通知整个网络路径上的各个节点,让每个节点都知道应该预留多少带宽,以及汇报自身的带宽是否还足够预留。但SRP没有描述各个节点如何来实现带宽预留这个动作,这个事情需要各个节点自行完成。
单一职责原则(SRP)
一个程序员的修炼之路
05-01 6255
什么是单一职责原则 单一职责原则(英文名为Single Responsibility Principle,简称SRP)是Robert C. Martin提出的SOLID软件设计原则中的第一个字母S。 Robert C. Martin给出的定义为, 有且仅有一个原因导致类的变化。 A class should have one, and only one, reason to change. 而本人更偏向于Wiki上对SRP的描述, 其单一职责原则应该运用于模块, 类以及文件。 The single-r
SRP协议】The Secure Remote Password Protocol论文笔记
qq_44249020的博客
02-19 4676
The Secure Remote Password Protocol 作者:Thomas Wu 发表:NDSS 1998 一、非对称密钥交换(AKE) 在介绍本文重点的SRP协议之前,首先先要从宏观的角度上介绍非对称密钥交换这种技术。 特点:AKE不需要加密任何协议数据流。可以抽象地理解为,交换密钥的双方互相共享一部分信息,然后利用共享的信息以及自己本身所具有的秘密可以得到一样的密钥,也就成为了他们之间唯一的会话密钥。具体地细节要通过具体协议和数学公式去理解。 优点: 简化协商加密算法的过程 避
管家婆软件套接字服务器打不开怎么解决
最新发布
herinspace的博客
12-30 207
在新的端口文件夹中,修改port值为新的端口号,修改好后重启套接字服务器。右键点击套接字服务器图标,选择属性,进入兼容性选项卡,勾选“以管理员身份运行”和“以兼容模式运行”。1,检查数据库权限:打开软件安装目录下的Data文件夹,找到对应账套的mdf和ldf文件,右键点击属性,设置Everyone用户的完全控制权限。4,检查杀毒软件:如果上述步骤无效,建议暂时禁用杀毒软件,然后重新启动套接字服务器。5,重装软件:如果问题仍未解决,建议备份数据后,关闭杀毒软件,换路径重装软件。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值