如何提高客户端 - 服务器系统的安全性?

时间:2010-03-01 23:38:05

标签: security login client protocols

我构建了一个客户端 - 服务器系统,客户端登录后通过服务器与其他客户端进行安全通信。

以下是我系统的属性:

- 客户端 - 服务器通信是SSL加密的

- 客户端登录详细信息将安全地存储为哈希值,并将其存储在本地存储在服务器上的数据库中

- 登录时,每个客户端都会发送一个会话公钥,以便存储在服务器上,其他客户端使用该公钥来加密对称密钥。对称密钥用于以后的消息加密以防止服务器窃听

- 在聊天启动时,指纹用户认证用于确保用户是他/她假装的人。它通常是通过电话读取指纹来完成的,这是一个分为两个公钥的SHA256哈希,为了方便而进行异或。

-MAC与每条消息一起发送

你有什么建议来改善这个?我的服务器会遭受哪些可能的攻击?

由于

2 个答案:

答案 0 :(得分:2)

您似乎仍然可能遭受特洛伊木马客户端应用程序的困扰,但您真正需要做的是从各种安全技术中退一步。所有这些安全保护措施是什么?谁想打破它?如果他们可以破坏它们会怎么做?这些问题的答案将帮助您确定系统可能受到的攻击,并提出有用的对策。

答案 1 :(得分:0)

看起来你正在随意地看待这个问题 - 建立你设计的威胁模型;和缓解会来找你!从这里开始:http://www.microsoft.com/security/sdl/getstarted/threatmodeling.aspx