客户端服务器身份验证

Question

我正在创建一个基于异步套接字的客户端服务器通信，我的客户端会将用户名和密码发送到服务器，然后服务器将重播帐户是否有效，所以我想保护这个步骤，这样没有人可以记录对话并不断发送给我的客户，以实现对秘密数据的非法进入

[The Question {Simplified}] 如何安全地向服务器验证客户端...？

[注意] 我知道 SSL，但我买不起证书，所以我需要一个免费的替代方案来提供我的客户端和服务器之间的安全通信。

Answer 1

与往常一样，最安全的密码是服务器不知道且永远不会传输的密码。所以你可以做的是：

• 在服务器上，存储用户名、随机 salt（“帐户 salt”）和加盐密码的安全哈希（“服务器共享密钥”）。
• 登录时，第一步让客户端只传输用户名（非机密）
• 服务器应回复帐户 salt（非机密）和随机生成的会话 salt（非机密）。 服务器会生成会话盐，这一点很重要。
• 在客户端上，使用帐户 salt 对密码进行加盐并对其进行哈希处理（将此保留为“客户端共享机密”），然后使用会话 salt 对结果进行加盐并再次对其进行哈希处理。将此作为身份验证令牌（非机密）传输

• 在服务器上，从您的数据库中获取加盐哈希，用会话加盐对其进行加盐并对其进行散列 - 如果这与身份验证令牌匹配，则连接已通过身份验证。 （客户端通过服务器认证）

• 如果您想向客户端额外验证服务器，请重复该过程：客户端生成一个 salt，服务器通过对存储的密钥进行加盐/散列处理来创建令牌。

1234563由于在一个有效的登录服务器共享密钥和客户端共享密钥是相同的，双方应该得出相同的结果，从而验证身份验证字段。

Answer 2

我通常会告诉人们，如果他们发现自己在自己进行加密，他们就是在制造安全问题。 :) 你错过边缘情况的可能性很大。我建议依靠已经存在并且得到严格保护的东西。

如果您使用托管套接字，则有一个版本的流类可以为您执行加密 (NegotiateStream)。我建议从那里开始，看看它是否可以满足您的需求，而无需您自己发明。

Answer 3

您可以结合使用公钥和对称密钥来确保身份验证的安全。

首先向客户端发送一个公钥，以发送加密后的身份验证数据。如果数据有效，您可以让客户端生成自己的公钥，并通过彼此的公钥相互发送对称密钥键。

类似的东西应该可以。

Answer 4

我知道这是几年前发布的，但我想我现在应该在此处添加我自己的两美分。在过去的几年里，情况发生了变化。这可能对其他人有所帮助。

我不想从 Eugen 那里拿走任何东西，出色的工作。

加密客户端和服务器之间的流量的最佳方式仍然是使用 SSL/TLS。您现在可以从https://letsencrypt.org/ 获得免费许可证。

听起来您已经了解了 SSL，所以我将使用您从上述链接获得的免费证书插入

祝你好运， - 安德鲁