第六章 认证与安全之传输安全

最新推荐文章于 2025-12-12 14:04:07 发布
原创 最新推荐文章于 2025-12-12 14:04:07 发布 · 1.2k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #MCP #fastapi

目录

  1. 引言
  2. DNS重绑定攻击防护机制
  3. 客户端认证中间件
  4. 安全配置建议
  5. 测试用例与攻击模拟
  6. 结论

引言

本文档全面解析了MCP服务器的传输层安全机制,重点阐述了如何通过transport_security.py中的DNS重绑定攻击防护实现来保障系统安全。文档详细说明了通过Host头验证、允许的主机列表(allowed_hosts)和客户端源地址检查来阻止恶意请求的技术细节。同时,文档描述了client_auth.py中间件如何与传输安全机制协同工作,确保客户端连接的合法性。此外,还提供了启用HTTPS、设置安全响应头、限制请求大小等安全配置建议,并通过模拟攻击场景的测试用例帮助开发者理解防护机制的有效性。

DNS重绑定攻击防护机制

transport_security.py模块实现了针对DNS重绑定攻击的防护机制,通过TransportSecurityMiddleware中间件对传入的HTTP请求进行严格验证。该机制主要通过验证Host头、Origin头和Content-Type头来确保请求的合法性。

Host头验证

TransportSecurityMiddleware通过_validate_host方法验证请求的Host头。该方法首先检查Host头是否为空,然后检查其值是否在allowed_hosts列表中。支持精确匹配和通配符端口模式(如localhost:*),允许指定主机名的任何端口。如果验证失败,将返回421状态码的错误响应。
开始验证Host头
Host头为空?
记录警告日志
精确匹配allowed_hosts?
返回True
检查通配符模式:*?
提取基础主机名
实际Host以基础主机名开头?
返回False
结束

图源

本节来源

Origin头验证

_validate_origin方法用于验证请求的Origin头。与Host头验证类似,它检查Origin头的值是否在allowed_origins列表中,同样支持精确匹配和通配符端口模式。如果验证失败,将返回403状态码的错误响应。

Content-Type头验证

对于POST请求,_validate_content_type方法会验证Content-Type头。该头必须以application/json开头,否则将返回400状态码的错误响应。此验证在validate_request方法中被调用,确保了数据格式的正确性。

安全设置

TransportSecuritySettings类定义了安全配置,包括enable_dns_rebinding_protection(是否启用DNS重绑定防护)、allowed_hosts(允许的Host头值列表)和allowed_origins(允许的Origin头值列表)。这些设置在TransportSecurityMiddleware初始化时被使用,为防护机制提供了可配置性。

本节来源

客户端认证中间件

client_auth.py模块中的ClientAuthenticator类负责验证客户端应用的请求,确保/token调用的合法性。该中间件与传输安全机制协同工作,共同保障客户端连接的安全性。

认证流程

ClientAuthenticatorauthenticate方法是认证的核心。它首先通过provider查找客户端信息,如果未找到则抛出AuthenticationError。如果客户端在注册时请求了密钥,则必须提供该密钥进行验证。方法会检查提供的密钥是否与存储的密钥匹配,并验证密钥是否已过期。

"客户端" "ClientAuthenticator" "OAuthAuthorizationServerProvider" authenticate(client_id, client_secret) get_client(client_id) 返回客户端信息 检查client_secret是否存在 验证client_secret是否匹配 检查client_secret是否过期 返回OAuthClientInformationFull或抛出AuthenticationError "客户端" "ClientAuthenticator" "OAuthAuthorizationServerProvider"

图源

本节来源

协同工作

ClientAuthenticatorTransportSecurityMiddleware共同构成了多层安全防护。TransportSecurityMiddleware在应用层之前拦截并验证请求头,防止DNS重绑定等网络层攻击。而ClientAuthenticator则在应用层对客户端身份进行验证,确保只有合法的客户端才能访问受保护的资源。这种分层安全模型有效地将网络攻击和身份冒充攻击隔离开来。

安全配置建议

为了最大化系统的安全性,建议采取以下配置措施:

启用HTTPS

生产环境中必须启用HTTPS,以加密客户端与服务器之间的所有通信,防止中间人攻击和数据窃听。

设置安全响应头

配置服务器以发送安全相关的HTTP响应头,如Content-Security-PolicyX-Content-Type-OptionsX-Frame-Options,以增强客户端的安全性。

限制请求大小

在服务器配置中设置合理的请求大小限制,以防止拒绝服务(DoS)攻击。这可以通过Web服务器或应用框架的配置来实现。

配置允许的主机列表

TransportSecuritySettings中明确配置allowed_hostsallowed_origins,只允许来自可信来源的请求。避免使用过于宽松的通配符模式。

启用DNS重绑定防护

确保enable_dns_rebinding_protection设置为True,这是防止DNS重绑定攻击的关键。

本节来源

测试用例与攻击模拟

tests\server\test_sse_security.pytests\server\test_streamable_http_security.py中的测试用例模拟了各种攻击场景,验证了防护机制的有效性。

模拟攻击场景

测试用例模拟了以下攻击场景:

  • 无效Host头攻击:发送带有恶意Host头(如evil.com)的请求,验证服务器是否返回421状态码。
  • 无效Origin头攻击:发送带有恶意Origin头的请求,验证服务器是否返回403状态码。
  • 无效Content-Type攻击:发送Content-Type为text/plain的POST请求,验证服务器是否返回400状态码。
  • 禁用安全防护:测试在禁用DNS重绑定防护时,恶意请求是否能成功。

测试结果

所有测试用例均通过,证明了防护机制的有效性。例如,在test_sse_security_invalid_host_header测试中,当allowed_hosts设置为["example.com"]时,向evil.com发送的请求被正确拦截并返回421状态码。
测试用例
无效Host头攻击
无效Origin头攻击
无效Content-Type攻击
禁用安全防护
预期: 421状态码
预期: 403状态码
预期: 400状态码
预期: 请求成功
测试通过

图源

本节来源

结论

MCP服务器的传输层安全机制通过transport_security.py中的DNS重绑定攻击防护和client_auth.py中的客户端认证中间件,构建了一个坚固的安全防线。通过Host头、Origin头和Content-Type头的验证,有效阻止了恶意请求。结合合理的安全配置建议和全面的测试用例,开发者可以确保其应用在面对各种网络攻击时具有足够的防御能力。建议在生产环境中始终启用这些安全特性,并定期审查和更新安全配置。

第二章-数据传输安全
2401_84301389的博客
04-29 898
是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。IPSec协议的设计目标:保证IP层之上的数据安全IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
【软考】 信息安全工程师教程 第六章 认证技术原理应用
weixin_44982065的博客
02-06 2695
目录6.1 认证概述6.1.1 认证概念6.1.2 认证依据6.1.3 认证原理6.1.4 认证发展6.2 认证类型认证过程6.2.1 单向认证6.2.2 双向认证6.2.3 第三方认证6.3 认证技术方法6.3.1 口令认证技术6.3.2 智能卡技术6.3.3 基于生物特征认证技术6.3.4 Kerberos认证技术6.3.5 公钥基础设施(KPI)技术6.3.6 单点登录6.3.7 基于人机识别认证技术6.3.8 多因素认证技术6.3.9 基于行为的身份鉴别技术6.3.10 快速在线认证(FIDO)6
第六章 认证安全
sfdzhmr的博客
11-07 1284
摘要:本文档详细阐述了SDK的认证安全体系,重点介绍Bearer Token认证流程(包含Token验证和权限检查机制)、OAuth 2.0集成方案(通过OAuthAuthorizationServerProvider协议实现授权码流程),以及自定义认证提供者的扩展方法。通过simple-auth示例展示了完整认证工作流,并涵盖密钥管理、令牌刷新等安全实践。文档还包含DNS重绑定防护等传输安全措施,以及用于验证系统安全性的审计清单。
信安软考总结-第六章 认证技术原理应用
weixin_49727285的博客
09-23 1055
认证:一个实体向另一个实体证明其所声称的身份的过程。认证=标识+鉴别标识:用来代表实体对象的身份标志,确保实体的唯一性和可辨识性,同时实体存在强关联。鉴别:一般是利用口令、电子签名、数字证书、令牌、生物特征、行为表现等相关数字化凭证对实体所生成的属性进行识别验证的过程。
《计算机系统网络安全》第七章 身份认证
猫头虎技术团队:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作+:Libin9iOak ,万粉变现+:优快云WF,猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务!全网搜:猫头虎技术团队,点击文章底部名片或直接私信我一切皆可谈,快找虎哥!
06-28 2221
我们现在生活当中主要通过各种证件口令来验证身份,比如身份证,户口、学生证、暗号等等来验证,这个信息世界里边的身份证又如何来完成?接下来看这里我们通过一张图来看一看这个身份认证在用户使用信息系统的时候处于什么样一个位置。这个身份认证是用户获取系统服务所必须经过的一道关卡,它同时是这个访问控制和审计的一个前提。
第六章 网络安全 软考网络工程师
BirdyZhang的博客
05-12 821
①窃听(被动) ②假冒 ③重放攻击(解决方法:随机数→kerberos 时间戳) ④流量分析 ⑤数据完整性破坏(非法对数据篡改或破坏) ⑥分布式拒绝攻击(攻击类型:SYN-FLOOD(占用内存以及CPU) HTTP-FLOOD CC(真实IP) ⑦恶意软件(种类:木马、流氓软件、间谍软件、勒索软件(防御:打补丁、备份、感染断网、装EDR软件)、僵尸网络软件等) ⑧web攻击 ⑨高级可持续(APT)攻击(特点:有预谋、长时间、高渗透、重要机关、大的影响、组合攻击)
《计算机系统网络安全》第五章 消息认证数字签名
猫头虎技术团队:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作+:Libin9iOak ,万粉变现+:优快云WF,猫头虎承诺每年免费为100名C站创作者做账号流量诊断服务!全网搜:猫头虎技术团队,点击文章底部名片或直接私信我一切皆可谈,快找虎哥!
06-27 3054
消息认证又叫报文认证,是消息的接收者验证消息的真实性和完整性的过程技术。真实性就是验证消息发送者他是真实的而非假冒的。也就是说假如消息的发送者声称是张三,我们要验证一下这个张三他是否是真的张三,这个又叫做信源鉴别,就是信息的源头鉴别它的真伪。另外还要验证消息的完整性,就是验证消息在传送或者存储过程当中没有被篡改,存放、乱序或者延迟等攻击。这个消息认证是防止主动攻击的重要技术,这个主动攻击主要针对真实性和完整性进行攻击,主要包括假冒,假冒某个合法的实体发送一个消息。
第六章 信息安全和网络安全
nihao_miai的博客
10-07 996
信息摘要就是原数据通过某个算法生成的一个固定长度的单向Hash散列值,常用来生成信息摘要的算法有MD5SHA算法。信息摘要的特点:当一大串数据内容中即使很小的一个字符发生变化,都会引起信息摘要发生很大的变化。因此可以通过信息摘要来判断原始数据是否被篡改。
第6章 认证技术原理应用
sinat_34066134的博客
06-17 857
认证是一个实体向另一个实体证明其所声称的身份过程。认证一般由标识(Identification)和鉴别(Authentication)两部分组成常见认证依据有4类:y=sin⁡(x)y=mod   ⁣xy=C(modx) y=\sin(x)\\y=\mod\!x\\y=C\pmod x y=sin(x)y=modxy=C(modx)y=f(x)y=f(x)y=f(x)x=f′(y)x=f'(y)x=f′(y)认证机制由认证对象、认证协议、鉴别实体构成认证分类:单因素认证、多因素认证一次性口令(OTP)持续认
计算机信息安全技术课件 第3章 数字签名认证.ppt
08-16
数字签名认证技术 数字签名是计算机信息安全技术中的一种重要技术,它可以用来防止信息被伪造或篡改。数字签名的主要原理是使用公开密钥体制来设计数字签名方案。 3.1 数字签名概述 数字签名是主要用于对...
第六章 网络安全协议 IPSec协议
06-12
### 第六章 网络安全协议:IPSec协议 #### 一、概述目标 在信息技术领域,网络安全已经成为一个至关重要的议题。随着互联网技术的发展,数据的安全传输变得尤为重要。本章将详细介绍网络安全协议,特别是IPSec...
信息安全概论课件 第六章 密码应用密钥管理.pdf
08-07
信息安全概论课件第六章主要讲述了密码应用密钥管理。本章首先回顾了前几章介绍的加密、认证、签名等密码理论技术,然后探讨了这些技术在信息网络环境中如何应用以保护信息的机密性、完整性和抗否认性。此外,本...
第十一篇:Day31-33 前端安全性能监控——从“能用”到“安全可靠”(对标职场“系统稳定性”需求)
2402_87628679的博客
12-11 1271
对于小型项目或特定业务场景,可通过自定义埋点实现核心指标监控,无需接入复杂工具。// src/utils/monitor.js(自定义监控工具) import axios from 'axios';// 监控数据上报接口(后端提供) const MONITOR_UPLOAD_URL = '/api/monitor/upload';
安全审查--跨站请求伪造--双重提交Cookie模式
petunsecn的专栏
12-12 707
本文详细讲解了双重提交Cookie模式防御CSRF攻击的原理实现。首先通过网上银行转账案例展示了CSRF攻击的危害性,解释了攻击者如何利用浏览器自动携带Cookie的特性发起恶意请求。随后深入剖析了双重提交Cookie的核心理念:利用同源策略,要求请求同时携带Cookie中的token和请求头/体中的token进行双重验证。 文章从零开始演示了实现步骤:1)服务器设置可被JavaScript读取的CSRF Token Cookie;2)前端获取Cookie中的token并添加到请求头;3)服务器验证两个t
DNS协议安全
weixin_61562383的博客
12-12 1009
许多企业的防火墙会拦截内部员工直接访问外部网站的 HTTP/TCP 连接,但通常会放行 DNS 流量,因为员工需要解析域名才能工作。阴影域名:黑客攻破了合法网站(如 example.com)的管理权,创建了恶意的子域名(如 bad.example.com)。DNS 协议在设计之初就像是在“明信片”上写字,任何人都可以拦截、修改(中间人攻击),或者伪造一张新的明信片发给你(欺骗/投毒)。:为了防止命令控制服务器(C&C)的域名被封杀,僵尸程序会内置一套算法,每天自动生成成千上万个随机域名。
App反诈骗:一场面向移动生态的深度安全战争(接上文短信反诈)
最新发布
xixixi7777的博客
12-12 1343
App反诈骗的最终目标是构建一个安全、可信、透明技术支柱:持续创新的检测防御技术制度支柱:完善的法律法规行业标准治理支柱:跨平台、跨行业的协同治理机制教育支柱:提升开发者和用户的安全意识经济支柱:建立正向激励惩罚机制短信反诈相比,App反诈的战场更广、链条更长、对抗更复杂。这是一场技术、法律、经济、社会的综合性战役,其成功不仅需要先进的技术手段,更需要生态系统各方的共同责任和长期投入。真正的App反诈不是简单的"查杀",而是通过纵深防御、主动狩猎、生态治理。
AI安全威胁:对抗样本到数据隐私全解析(13种安全威胁及防护)
m0_62396717的博客
12-11 816
本文系统梳理了大模型面临的安全隐私威胁,包括常规安全威胁(对抗样本攻击、后门攻击、投毒攻击)和新型安全威胁(内容安全问题、恶意使用风险、资源消耗攻击等)。同时分析了数据隐私风险(成员推断、数据提取等)和知识产权威胁(模型萃取、提示词窃取)。针对这些威胁,提出了包括对抗训练、数据清洗、差分隐私等在内的多层次防御体系,强调需要技术、法规等多角度协同应对。随着攻击手段不断演进,防御措施也需持续更新完善。
RSA不属于安全算法吗?
SmallBull的博客
12-11 528
RSA 本身是安全的算法,“不安全” 的情况几乎都是「配置不当、实现漏洞或场景误用」导致的。在实际工作中,只要严格遵循密钥长度、实现库选择、使用场景的规范,RSA 仍是可靠的安全方案。
渗透测试行业术语扫盲(第十篇)—— 利用提权类术语
qq_39241682的博客
12-11 904
发现漏洞只是开始,将其转化为实际的控制权才是关键。本篇聚焦渗透测试中最具技术性的核心环节:**利用****提权**。我们将系统学习攻击者如何将理论上的漏洞(Vulnerability)转化为实际的攻击武器(Exploit),如何获取初步的访问界面(Shell),并最终突破限制,攀登至系统权限的顶峰(Root/提权)。同时,也会涵盖为达成这些目标所需的关键支撑技术。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sfdzhmr

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值