Необходимо зарегистрироваться, чтобы получить доступ к полным текстам статей и выпусков журналов!
- Название статьи
- Реализация усиленной аутентификации по стандарту OpenID Connect
- Авторы
- Капгер Игорь Владимирович kapger@mail.ru, канд. техн. наук, доцент кафедры "Безопасность и информационные технологии", доцент кафедры "Автоматика и телемеханика", ФГБОУ ВО «Национальный исследовательский университет «МЭИ»; ФГБОУ ВО «Пермский национальный исследовательский политехнический университет», Москва, Россия
Иванов Павел Алексеевич 218666@edu.fa.ru, аспирант Департамента информационной безопасности, ФГБОУ ВО «Финансовый университет при Правительстве Российской Федерации», Москва, Россия
- В разделе
- ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ. Доверенная среда
- Ключевые слова
- информационная безопасность / аутентификация / авторизация / OpenID Connect / Oauth2.0 / усиленная аутентификация / двухфакторная аутентификация
- Год
- 2024 номер журнала 1 Страницы 23 - 31
- Индекс УДК
- 004.056
- Код EDN
- QXUACU
- Код DOI
- 10.52190/2073-2600_2024_1_23
- Финансирование
- Тип статьи
- Научная статья
- Аннотация
- Рассмотрены вопросы безопасности процессов аутентификации и авторизации пользователей информационных систем, реализованных на основе протокола авторизации Oauth2.0 в паре с протоколом идентификации и аутентификации OpenID Connect. Целью исследования является разработка схемы усиленной аутентификации на базе протокола OpenID Connect, связанной с последующей авторизацией на базе протокола Oauth2.0. Особенностью предложенного решения является обеспечение более высокой степени безопасности за счет использования второго фактора аутентификации. Решение также учитывает распространенные проблемы безопасности реализации аутентификации на базе протокола OpenID Connect.
- Полный текст статьи
- Для прочтения полного текста необходимо купить статью
- Список цитируемой литературы
-
Уязвимости и угрозы веб-приложений в 2020-2021 гг. [Электронный ресурс]. Positive Technologies. URL: https://www.ptsecurity.com/ru-ru/research/analytics/web-vulnerabilities-2020-2021/#id12 (дата доступа: 16.10.2023).
Уязвимости веб-приложений. [Электронный ресурс]. URL: https://trust-space.ru/blog/uyazvimost-veb-prilozhenij/ (дата доступа: 16.10.2023).
Кибербезопасность в 2022-2023. Тренды и прогнозы. [Электронный ресурс]. Positive Technologies. URL: https://www.ptsecurity.com/ru-ru/research/analytics/ogo-kakaya-ib/#id5 (дата доступа: 16.10.2023).
IETF RFC 6749-2012 - The OAuth 2.0 Authorization Framework. [Электронный ресурс]. URL: https://datatracker.ietf.org/doc/html/rfc6749 (дата доступа: 24.10.2023).
IETF RFC 6750-2012 - The OAuth 2.0 Authorization Framework: Bearer Token Usage. [Электронный ресурс]. URL: https://datatracker.ietf.org/doc/html/rfc6750 (дата доступа: 24.10.2023).
What is OpenID Connect. [Электронный ресурс]. OpenID Foundation. URL: https://openid.net/developers/how-connect-works/ (дата доступа: 24.10.2023).
IETF RFC 5849-2010 - The OAuth 1.0 Protocol. [Электронный ресурс]. URL: https://datatracker.ietf.org/doc/html/rfc5849 (дата доступа: 24.10.2023).
Что такое Топ-10 OWASP и какие уязвимости веб-приложений наиболее опасны? [Электронный ресурс]. URL: https://rcngroup.ru/blog/chto-takoe-top-10-owasp-i-kakie-ujazvimosti-veb-prilozhenij-naibolee-opasny/ (дата доступа: 16.10.2023).
OWASP Top 10 vulnerabilities 2022: what we learned. [Электронный ресурс]. URL: https://vulcan.io/blog/owasp-top-10-vulnerabilities-2022-what-we-learned/ (дата доступа: 17.10.2023).
OWASP Top Ten 2023 - The Complete Guide. [Электронный ресурс]. URL: https://www.reflectiz.com/blog/owasp-top-ten-2023/ (дата доступа: 17.10.2023).
OWASP Top 10 API Security Risks - 2023. [Электронный ресурс]: OWASP. URL: https://owasp.org/API-Security/editions/2023/en/0x11-t10/ (дата доступа: 17.10.2023).
OIDC: the open authentication protocol. [Электронный ресурс]. URL: https://cqr.company/wiki/protocols/oidc-the-open-authentication-protocol/ (дата доступа: 18.10.2023).
Яворски П. Ловушка для багов. - М.: Питер, 2020. - 272 с.
Уязвимости протокола OAuth 2.0: опасно ли аутентифицироваться через профиль в соцсетях. [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Threats_Analysis/ OAuth20-flaws (дата доступа: 20.10.2023).
OAuth 2.0 authentication vulnerabilities. [Электронный ресурс]. URL: https://portswigger.net/web-security/oauth (дата доступа: 20.10.2023).
Сабанов А. Г. Об оценке рисков удалённой аутентификации как процесса / Электросвязь. 2013. № 4. С. 27-32.
Шрамко В. Комбинированные системы идентификации и аутентификации. [Электронный ресурс]. URL: https://www.itweek.ru/infrastructure/article/detail.php?ID=69114 (дата доступа: 01.11.2023).
OpenID Connect Core 1.0 incorporating errata set 2. [Электронный ресурс]. URL: https://openid.net/specs/openid-connect-core-1_0.html (дата доступа: 12.11.2023).
Prevent Attacks and Redirect Users with OAuth 2.0 State Parameters. [Электронный ресурс]. URL: https://auth0.com/docs/secure/attack-protection/state-parameters (дата доступа: 15.11.2023).
How to Generate and Validate an OAuth 2.0 State Parameter with Node.js. [Электронный ресурс]. URL: https://stateful.com/blog/oauth-state-parameters-nodejs (дата доступа: 15.11.2023).
Обзор систем аутентификации на основе одноразовых паролей (one-time password). [Электронный ресурс]. URL: https://www.anti-malware.ru/analytics/Market_Analysis/One-time-password-authentication-systems (дата доступа: 20.11.2023).
IETF RFC 6238-2011 - TOTP: Time-Based One-Time Password Algorithm. [Электронный ресурс]. URL: https://datatracker.ietf.org/doc/htht/rfc6238 (дата доступа: 03.12.2023).
IETF RFC 4226-2005 - HOTP: An HMAC-Based One-Time Password Algorithm. [Электронный ресурс]. URL: https://www.ietf.org/rfc/rfc4226.txt (дата доступа: 03.12.2023).
- Купить
- 500.00 руб
