尼古拉·卡拉帕诺斯和斯尔詹·卡普昆苏黎世联邦理工大学
在本文中,我们考虑web应用程序环境中的TLS Man-In-The-Middle(MITM)攻击,攻击者能够成功地向用户模拟合法服务器,目的是向服务器模拟用户,从而危害用户的在线帐户和数据。我们详细描述了为什么最近提出的基于TLS通道ID的客户端身份验证协议,以及通常的客户端web身份验证,不能完全防止此类攻击。
然而,我们表明,强客户端身份验证,如基于通道ID的身份验证,可以与服务器不变性的概念相结合,这是一种比服务器身份验证更弱、更容易实现的特性,以抵御所考虑的攻击。我们特别利用基于通道ID的身份验证和服务器不变性来创建一种新的机制,我们称之为SISCA:服务器不变性与强客户端身份验证。SISCA通过TLS MITM攻击抵制用户模拟,无论攻击者如何成功实现服务器模拟。我们分析了我们的提案,并展示了如何将其集成到当今的web基础设施中。
USENIX致力于开放访问我们活动上展示的研究。活动开始后,所有人都可以免费获得论文和会议记录。活动结束后发布的任何视频、音频和/或幻灯片也免费向所有人开放。支持USENIX以及我们对开放存取的承诺。
下载音频