DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

美国高防_高仿衣服哪里的货最好_打不死

06-11 DDOS防御

美国高防_高仿衣服哪里的货最好_打不死

产品与工程2016年11月15日小罗比Duo利用谷歌的SafetyNet加强设备健康评估在这个安全的现代时代,仅仅信任用户是不够的——你还必须在整个生态系统中建立对所有设备的信任。建立对用户设备信任的最佳方法是使用硬件支持的加密属性,但是当攻击者能够通过利用已知漏洞获得根访问权限,并且根检测变得越来越困难时,您如何能够信任您生态系统中的设备?谷歌正通过其SafetyNetAPI为Android上基于软件和硬件的设备认证铺平道路。API确定设备是否处于正常的功能状态。作为一家快节奏的安全公司,我们在可信访问方面投入了大量资金,而可信设备是可信访问的关键支柱。Duo Access允许管理员设置策略,仅允许受信任的设备访问其公司的敏感数据。为了使设备可信,它不能被篡改。Duo的篡改检测不仅包括标准的根/越狱检测,还利用谷歌的safetynetapi来识别被篡改的Android设备。我们最早将于本月晚些时候开始推出增强的篡改检测功能,服务器白名单防御ddos,并希望看到更多的行业领导者也采用基于硬件(甚至更好,硬件支持)的远程认证。如果您已经是Duo-Access的客户,并且正在使用我们现有的根检测,那么您将在默认情况下开始利用SafetyNet。什么是安全网?SafetyNet是一个API,用于建立应用程序(在我们的例子中是Duo-Mobile)上运行的Android设备的可靠性的某些属性。SafetyNet不能确保设备不受漏洞的影响。原因之一是许多最新的Android设备仍然容易受到攻击。简而言之,SafetyNet使用软件支持和基于硬件的信息来验证设备是否处于安全和可识别的状态。API通过为所述设备创建软件支持和基于硬件的配置文件,证明您的设备已被Google识别,并且处于已知、已批准的状态。然后API证明所述配置文件是CTS兼容的——这意味着设备配置文件与通过Android兼容性测试套件(CTS)的设备匹配。你为什么要用它?当一个值得信赖的第三方Google有一个完整的安全团队来关注这个问题的时候,为什么要花费无休止的周期来保持对篡改检测的更新呢?答案很简单——不要!Android安全团队致力于在篡改检测方面保持领先,我们相信Google的本地软件支持和基于硬件的验证。例如,自初始版本发布以来,团队向SafetyNet有效负载添加了无系统根检测以及额外的标志。谷歌对SafetyNet的实现采取了黑盒子的方法。虽然这可能会困扰一些想了解内部工作原理的开发人员,但对于攻击者来说,绕过检查非常困难。另一个好处Google的设计是,他们能够动态地更新有效负载,而不会给使用API的开发人员带来任何负担。在引擎盖下面偷看虽然Google没有透露SafetyNet的内部工作原理,但众所周知,该API与snet通信。Snet是Google在Android设备上一直运行的服务,它收集关于设备完整性的数据并将其发送回Google。使用snet,全网ddos防御,SafetyNet可以检查以下标志,其中包括:这个装置被认为是被扎根的吗?是否识别硬件信息?软件是否正常?设备是否受到监控?设备是否感染了恶意应用程序?设备的配置文件是否被识别?有关snet功能的更深入分析,请访问johnkozyrakis的博客文章。基于安全网的软硬件远程认证远程证明是指授权服务向另一个服务发出关于给定设备的可靠声明。Google的SafetyNet远程认证,结合Duo的初始根检查,在Android设备可以访问你的应用程序之前,ddos攻击防御360,为基于硬件和软件支持的篡改检测提供了可靠的度量。这对Duo和我们的Platform Edition客户来说,是一个强有力的双因素设备安全态势的有力推动。请继续关注本月晚些时候Duo平台版的更多访问控制更新。实施虽然验证和nonce创建可以在客户端实现,但我们强烈鼓励服务器端验证和nonce创建,因为除其他原因外,证明响应可能会被攻击者轻易更改。此外,设备在通过整个工作流之前是不可信的。那么,我们如何安全地实现SafetyNet呢?首先,当用户打开Duo Mobile时,应用程序会调用Duo的服务,请求一次性令牌(nonce)一旦应用程序接收到nonce,Duo-Mobile使用googleplay服务API客户端向safetynetapi发送兼容性检查请求(包括所述nonce)然后,Google用一个包含JSON Web签名或JWS(包含SafetyNet有效负载)的认证结果进行响应如果认证结果中没有错误,Duo Mobile会安全地将JWS(以及其他有用的信息)发送到Duo的服务然后,Duo服务通过验证SSL证书链来验证响应是否来自Google,以及leaf证书是颁发给的android.com认证如果证书链签出,Duo的服务将验证JWS本身的签名现在,该服务确认JWS来自Google,它解析JWS有效负载以确保它与原始请求匹配如果有效负载与预期一致,Duo的服务使用JWS有效负载中的"ctsProfileMatch"来确定SafetyNet结果。最后,如果"ctsProfileMatch"为真,并且设备通过了Duo的基本根检测,它就可以被信任,用户可以进行身份验证有关如何实现SafetyNet验证服务器端的更一般的用例图,请参见Cigital的分解图中的"使用SafetyNet的安全流"插图。如果您不想自己验证证书链和JWS签名,Google提供了一个Android设备验证API来为您完成繁重的工作。关于验证API的一个警告是,它是速率受限的,因此请确保密切关注您的服务正在发送的请求的数量。最后,要记住,API不会验证SafetyNet有效负载,因此您仍然必须自己实现它。我们是如何实现的我们可以说,根据我们的需要正确地实现SafetyNet是微不足道和无痛的,但这并不是100%真实。总的来说,实现是很简单的,但是在这过程中有一些小问题。Github上有一个很好的SafetyNet帮助器示例,它演示了如何完全在客户端实现SafetyNet。Cigital还提供了一个有价值的客户端和相应的服务器端示例,美国高防cdn代理,ddos云防御百科手机版,让开发人员可以了解如何以更安全的方式实现SafetyNet。最后,谷歌的工程师们给予了极大的支持,及时回答了任何问题。虽然现有的开源实现是有益的,但我们无法找到适合我们特定用例的实现。一些示例包括传递有效负载的验证片段、客户端nonce生成、客户端验证以及不手动验证证书链和签名的实现。虽然使用Android设备验证API来验证兼容性检查响应是可以接受的,但是API调用的速率限制对于我们的可伸缩解决方案来说是一个很难解决的问题。最后,这为回馈开源社区和分享我们的发现提供了一个极好的机会。与简单的根检测相比,篡改检测有什么好处?SafetyNet在理论上听起来很棒,但它在实践中的表现如何呢?在Duo所有经过评估的Android设备中,我们发现通过使用SafetyNet认证被标记为被篡改的设备数量增加了5倍多。5x比例因子可能归因于无系统的根设备、来自未识别供应商的设备、更改或受感染的设备,或使设备处于无法识别状态的其他有目的或恶意的操作。虽然SafetyNet是一个强大的工具,但现在不要放弃系统根检测!我们发现了一小部分设备没有通过简单的系统根检测,但通过了SafetyNet认证。另一方面,随着新的Android beta版本和新设备的推出,在Google识别出相应的设备配置文件之前,它们可能无法通过SafetyNet检查。最后,如果设备的Google Play服务不是最新的或者SDK不受支持,您可能无法从该设备获得SafetyNet结果。使用基于硬件和软件支持的属性来进行访问控制决策变得越来越重要,Android安全团队将safetynetapi公开提供给开发人员,这一点非常重要。因为它是Duo的Trusted Access愿景是在允许用户访问应用程序之前,在用户的设备上建立设备信任,将SafetyNet添加到我们的解决方案中是一件轻而易举的事情。如果您是开发人员,并且已经实现了篡改/根检测,我们强烈建议您添加Google的SafetyNet远程设备认证。如果您对这篇文章有任何疑问,或者想了解一下实现细节,请联系robbie@duosecurity.com。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/60517.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8091625访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X