广西新闻网-广西日报杭州电（特派记者 钟文昌 玉智威）9月24日晚，由张博恒、邹敬园、肖若腾、林超攀、兰星宇组成的中国体操男队以262.025分的总成绩夺得杭州亚运会体操男子团体金牌，蝉联该项目冠军，广西籍运动员兰星宇因此拿到自己的第一块亚运金牌，也为广西健儿在杭州亚运会上获得首枚金牌。

9月24日，杭州亚运会竞技体操男子团体冠军中国队选手兰星宇、林超攀、张博恒、肖若腾、邹敬园（从左至右）在颁奖仪式上。新华社记者 程婷婷 摄

24日亚运会首个体操比赛日进行的是男子资格赛和团体决赛，资格赛成绩直接决定了团体赛成绩。中国队在第三场资格赛中亮相，第一个项目鞍马比赛中，张博恒、肖若腾都拿到了14分以上的成绩。

中国队在男子吊环上占据绝对优势，兰星宇、邹敬园、张博恒三人出战，成绩包揽前三。其中，兰星宇以全场最高难度分6.4分的成套动作，位列这个项目第一。在吊环项目上，中国队拿到44.466分，比排在第二的日本队高出2.967分。

中国队最后一个项目为自由体操，林超攀、肖若腾、张博恒先后上场。当张博恒以一套漂亮的动作完成比赛后，中国队队员们振臂欢呼，14.933分！团体总分262.025分已经超越日本队来到了得分榜榜首。队员们甚至已经拿出国旗开始庆祝胜利。在欢呼声中，兰星宇完成了个人最后一套动作，尽管有些瑕疵，但得分已不重要，中国队已将冠军收入囊中，成功卫冕！

“兰星宇助力国家队夺得男子体操团体金牌，为参加杭州亚运会比赛的广西健儿开了个好头。”当晚，在杭州黄龙体育中心体操馆，分管竞技体育的自治区体育局副局长魏鹤，观看了中国体操男队团体赛夺冠的全过程，并肯定了广西籍运动员兰星宇在此次比赛中的表现。

赛后，在评价自己的表现时，兰星宇的神情开始有些凝重，他直言不讳地说：“第一次参加综合性运动会，还是有压力的，我今天还是紧张了，在一些项目的表现上有瑕疵。”

9月28日，兰星宇将出战吊环决赛。作为近年来中国男子体操的吊环担当，他立志要拿出比这个夜晚更好的表现，“我会调整好心态，这几天把动作的细节跟规格再提升一下，相信会取得好成绩的”。

广西新闻网-广西日报杭州电（特派记者 钟文昌 玉智威）9月24日晚，由张博恒、邹敬园、肖若腾、林超攀、兰星宇组成的中国体操男队以262.025分的总成绩夺得杭州亚运会体操男子团体金牌，蝉联该项目冠军，广西籍运动员兰星宇因此拿到自己的第一块亚运金牌，也为广西健儿在杭州亚运会上获得首枚金牌。

9月24日，杭州亚运会竞技体操男子团体冠军中国队选手兰星宇、林超攀、张博恒、肖若腾、邹敬园（从左至右）在颁奖仪式上。新华社记者 程婷婷 摄

24日亚运会首个体操比赛日进行的是男子资格赛和团体决赛，资格赛成绩直接决定了团体赛成绩。中国队在第三场资格赛中亮相，第一个项目鞍马比赛中，张博恒、肖若腾都拿到了14分以上的成绩。

中国队在男子吊环上占据绝对优势，兰星宇、邹敬园、张博恒三人出战，成绩包揽前三。其中，兰星宇以全场最高难度分6.4分的成套动作，位列这个项目第一。在吊环项目上，中国队拿到44.466分，比排在第二的日本队高出2.967分。

中国队最后一个项目为自由体操，林超攀、肖若腾、张博恒先后上场。当张博恒以一套漂亮的动作完成比赛后，中国队队员们振臂欢呼，14.933分！团体总分262.025分已经超越日本队来到了得分榜榜首。队员们甚至已经拿出国旗开始庆祝胜利。在欢呼声中，兰星宇完成了个人最后一套动作，尽管有些瑕疵，但得分已不重要，中国队已将冠军收入囊中，成功卫冕！

“兰星宇助力国家队夺得男子体操团体金牌，为参加杭州亚运会比赛的广西健儿开了个好头。”当晚，在杭州黄龙体育中心体操馆，分管竞技体育的自治区体育局副局长魏鹤，观看了中国体操男队团体赛夺冠的全过程，并肯定了广西籍运动员兰星宇在此次比赛中的表现。

赛后，在评价自己的表现时，兰星宇的神情开始有些凝重，他直言不讳地说：“第一次参加综合性运动会，还是有压力的，我今天还是紧张了，在一些项目的表现上有瑕疵。”

9月28日，兰星宇将出战吊环决赛。作为近年来中国男子体操的吊环担当，他立志要拿出比这个夜晚更好的表现，“我会调整好心态，这几天把动作的细节跟规格再提升一下，相信会取得好成绩的”。

401 Unauthorized.

摘要访问认证是一种协议规定的Web服务器用来同网页浏览器进行认证信息协商的方法。它在密码发出前，先对其应用哈希函数，这相对于HTTP基本认证发送明文而言，更安全。 从技术上讲，摘要认证是使用随机数来阻止进行密码分析的MD5加密哈希函数应用。它使用HTTP协议。 概述 摘要访问认证最初由 RFC 2069 (HTTP的一个扩展：摘要访问认证)中被定义。RFC 2069 大致定义了一个传统的由服务器生成随机数来维护安全性的摘要认证架构。认证响应由下列组成（HA1、HA2、A1、及A2为字符串变量的名称）： RFC 2069 随后被 RFC 2617 (HTTP 认证：基本及摘要访问认证)取代。RFC 2617 引入了一系列安全增强的选项；“保护质量”(qop)、随机数计数器由客户端增加、以及客户生成的随机数。这些增强为了防止如选择明文攻击的密码分析。 如果 qop 值为“auth”或未指定，那么 HA2 为 如果 qop 值为“auth-int”，那么 HA2 为 如果 qop 值为“auth”或“auth-int”，那么如下计算 response： 如果 qop 未指定，那么如下计算 response： 上面所述的这种当 qop 未指定的情况，也就是遵循简化的 RFC 2069 标准。 MD5 安全问题对摘要认证的影响 在 HTTP 摘要认证中使用 MD5 加密是为了达成"不可逆的"，也就是说，当输出已知的时候，确定原始的输入应该是相当困难的。如果密码本身太过简单，也许可以通过尝试所有可能的输入来找到对应的输出（穷举攻击），甚至可以通过字典或者适当的查找表加快查找速度。 HTTP 构架由Phillip Hallam-Baker于1993年在CERN设计成的，并且没有吸收后续认证系统的改进，如基于密钥的雜湊訊息驗證碼HMAC的发展。虽然所使用的密码结构是基于MD5雜湊函數的，在2004年，通常认为冲突攻击不会影响明文（如密码）未被得知的应用。 但是，在2006年的声明 (Kim, Biryukov2, Preneel, Hong, "On the Security of HMAC and NMAC Based on HAVAL MD4 MD5 SHA-0 and SHA-1") 导致了一些包括关于 MD5 应用的疑虑。不过，至今为止，MD5 冲突攻击没有被视为对摘要认证的威胁，并且 RFC 2617 允许服务器实现一些机制来检测冲突以及重放攻击。 HTTP摘要认证的考虑 优势 HTTP摘要认证目的在于比传统摘要认证构架更安全；例如，“明显强于（如）CRAM-MD5……”。 （RFC 2617） 一些HTTP摘要认证的安全性增强如下： 密码并非直接在摘要中使用，而是 HA1 = MD5(username:realm:password)。这就允许一些实现（如，JBoss DIGESTAuth)仅存储 HA1 而不是明文密码。 在 RFC 2617 中引入了客户端随机数nonce（cnonce），这将使客户端能够防止选择明文攻击，否则像彩虹表（Rainbow table）这类东西就会成为摘要认证构架的威胁。 服务器随机数 nonce 允许包含时间戳。因此服务器可以检查客户端提交的随机数 nonce，以防止重放攻击。 服务器也可以维护一个最近发出或使用过的服务器随机数nonce的列表以防止重用。 劣势 摘要访问认证有意成为一个安全性的折衷。它意图代替非加密的HTTP基本认证。但是，它没有被设计为替换强认证协议，例如公钥密码学或Kerberos认证。 在安全性方面，摘要访问认证有几个缺点： RFC 2617 中的许多安全选项都是可选的。如果服务器没有指定保护质量(qop)，客户端将以降低安全性的早期的 RFC 2069 的模式操作。 摘要访问认证容易受到中间人攻击。举例而言，一个中间人攻击者可以告知客户端使用基本访问认证或早期的RFC 2069摘要访问认证模式。进一步而言，摘要访问认证没有提供任何机制帮助客户端验证服务器的身份。 一些服务器要求密码以可逆加密算法存储。但是，仅存储用户名、realm、和密码的摘要是可能的。 它阻止了使用强密码哈希函数（如bcrypt）保存密码（因为无论是密码、或者用户名、realm、密码的摘要都要求是可恢复的）。 可替代的认证协议 一些可以用于Web应用程序的强认证协议包括： 公钥密码学认证（通常随 HTTPS / SSL客户端整数一起实现）。 Kerberos或SPNEGO认证，主要是在配置为Integrated Windows Authentication (IWA)的微软的IIS使用。 Secure Remote Password protocol (适用于HTTPS / TLS层)。 常用的弱明文协议： HTTP基本认证构架 HTTP+HTML表单认证 使用HTTPS网络加密同时使用这些弱明文协议解决了许多摘要访问认证试图要防止的许多威胁。 示例及说明 下面的例子出自 RFC 2617，在这里进行了扩展，对每一个请求和响应显示出完整的文本。注意，这里仅仅涵盖了“auth”保护质量的代码，因为在撰写期间，所知道的只有Opera和Konqueror网页浏览器支持“auth-int”（带完整性保护的认证）。虽然定义中提到了HTTP 1.1，但是该构架可以像下面所描述的这样添加到1.0的服务器中去。 典型的认证过程包括如下步骤。 客户端请求一个需要认证的页面，但是不提供用户名和密码。通常这是由于用户简单的输入了一个地址或者在页面中点击了某个超链接。 服务器返回401 "Unauthorized" 响应代码，并提供认证域(realm)，以及一个随机生成的、只使用一次的数值，称为密码随机数 nonce。 此时，浏览器会向用户提示认证域(realm)（通常是所访问的计算机或系统的描述），并且提示用户名和密码。用户此时可以选择取消。 一旦提供了用户名和密码，客户端会重新发送同样的请求，但是添加了一个认证头包括了响应代码。 在这个例子中，服务器接受了认证并且返回了请求页面。如果用户名非法和/或密码不正确，服务器将返回"401"响应代码，然后客户端会再次提示用户输入用户名及密码。 注意：客户端可能已经拥有了用户名和密码，因此不需要提示用户，比如以前存储在浏览器里的。 客户端请求 (无认证) GET /dir/index.html HTTP/1.0 Host: localhost (跟随一个新行，形式为一个回车再跟一个換行） 服务器响应 HTTP/1.0 401 Unauthorized Server: HTTPd/0.9 Date: Sun, 10 Apr 2005 20:26:47 GMT WWW-Authenticate: Digest realm="testrealm@host.com", qop="auth,auth-int", nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093", opaque="5ccc069c403ebaf9f0171e9517f40e41" Content-Type: text/html Content-Length: 311 Error

401 Unauthorized.