我正在尝试在android上实现一个与(注册)客户端安全通信的服务器。该协议是专有的。
我的问题是:以下通信安全吗?
- 添加用户:
- 客户请求注册
- 客户端使用公钥加密用户名+密码并将其发送到服务器。
- 服务器接受连接,哈希盐渍密码,将其存储在密钥库中
通知客户接受报名。 (决定,如果客户将是
接受或拒绝将由电话用户提出
- 注册用户的沟通:
- 客户请求服务
- 客户端向服务器发送用户名+密码+对称通信密钥。
- 服务器使用存储的哈希和salt验证用户名和密码。服务器启动
与客户进行对称加密通信。
RSA将用于非对称,AES将用于对称加密/解密。