基于单个 URL 请求对设备/用户进行身份验证

Question

我们目前有一个 J2EE 系统，它实现了 OWASP 前 10 名安全措施的大部分，目前的应用程序允许用户使用存储在数据库中的用户/密码组合登录。

我有一个映射到 /* 的 java 过滤器来检查会话和会话属性是否存在，以确定用户的登录状态。

好吧，最后问题来了：我们正在与一家制造设备的公司集成，当某个事件发生时，通过 GPRS 发送 URL 请求，这个 URL 是我们系统的链接。

我想（在不影响安全性的情况下）验证这个“设备”，不可能向该设备发送任何信息，因此需要验证单个请求，没有人能够“重放”

我不知道 的 URL如果无需某种相互认证就可以做到这一点。我考虑过要检查 IP 地址白名单，但网络不断更改 IP，并且设备仍然“无法识别”。请指教有什么想法吗？

PS：我的临时解决方案是向过滤器添加例外，但这不是长期的，而且完全不安全。 （SSL 也不是一个选项）

Answer 1

您可以让设备使用私钥签署请求（包括唯一的请求标识符）。然后，服务器可以检查签名是否有效，只有在有效时才接受/应答请求。

请求 ID 可用于确保此类请求不会重播。对请求 ID 使用简单的计数器意味着可以很容易地检查给定的标识符是否已被使用（即请求是否正在重播）。

Answer 2

主要问题是，如果第三方获得该设备，则该设备包含的任何身份验证信息都可以供第三方使用。

因此，主要问题是（a）您到底想要验证什么（应该是设备本身还是它的所有者或设备的位置或......）以及（b）设备可以支持哪些功能 - 它是什么类型的设备以及它在运营方面可以做什么。

如果设备可以嵌入旨在保存私钥并阻止提取尝试的智能卡或加密令牌，那么数字签名将会很好地发挥作用。

如果设备可以具有受保护的内存，但无法执行加密操作（并且无法嵌入智能卡），那么我可以想到预先计算的一次性密码列表，每个设备都是唯一的。服务器将拥有全局列表的副本，并在使用该列表后从列表中删除密码。