我构建了一个客户端 - 服务器系统,客户端登录后通过服务器与其他客户端进行安全通信。
以下是我系统的属性:
- 客户端 - 服务器通信是SSL加密的
- 客户端登录详细信息将安全地存储为哈希值,并将其存储在本地存储在服务器上的数据库中
- 登录时,每个客户端都会发送一个会话公钥,以便存储在服务器上,其他客户端使用该公钥来加密对称密钥。对称密钥用于以后的消息加密以防止服务器窃听
- 在聊天启动时,指纹用户认证用于确保用户是他/她假装的人。它通常是通过电话读取指纹来完成的,这是一个分为两个公钥的SHA256哈希,为了方便而进行异或。
-MAC与每条消息一起发送
你有什么建议来改善这个?我的服务器会遭受哪些可能的攻击?
由于
答案 0 :(得分:2)
您似乎仍然可能遭受特洛伊木马客户端应用程序的困扰,但您真正需要做的是从各种安全技术中退一步。所有这些安全保护措施是什么?谁想打破它?如果他们可以破坏它们会怎么做?这些问题的答案将帮助您确定系统可能受到的攻击,并提出有用的对策。
答案 1 :(得分:0)
看起来你正在随意地看待这个问题 - 建立你设计的威胁模型;和缓解会来找你!从这里开始:http://www.microsoft.com/security/sdl/getstarted/threatmodeling.aspx