0

カスタム認証付きのサービスを作成したいと思います。ユーザーを認証する方法は次のとおりです。

  1. クライアントはサービスに接続します。

  2. サービスは1234などの乱数を生成し、その番号をクライアントに送信します

  3. 次に、クライアントは数値を追加することになっているため(後で、より適切なハッシュを使用します)、クライアントは10を送信します。

  4. サーバーは同じハッシュアルゴリズムを実行し、10を受信することを期待しています

  5. サーバーは10を受信し、ユーザーを認証すると、ユーザーはサービスの利用を開始できます。

基本的な質問があります。security = "none"を使用すると、メッセージは暗号化されますか?つまり、security = "none"を使用すると、ユーザーを認証する必要がないことはわかっていますが、メッセージはプレーンテキストでサービスに送信されますか?ユーザーを認証せずに接続を強制的に暗号化するにはどうすればよいですか?ユーザーがパッケージを盗聴するのを制限したいと思います。彼らがサービスに接続してもかまいません。彼らがそのサービスに接続する場合、私は彼らに彼らが送信するメッセージだけを見せたいと思いますが、他の人のメッセージは見せたくありません。

4

1 に答える 1

1

ユーザーを認証せずにサーバーと暗号化された通信を行うには、トランスポートまたはメッセージレベルのセキュリティを使用できます。

詳細については、次の記事を参照してください。

  1. パターンとプラクティスWebサービスセキュリティガイドの改善
  2. トランスポートレベルのセキュリティ
  3. HTTPおよびHTTPSの構成
  4. バインディングとセキュリティ

そして、一般的なアドバイス:あなたが世界で最も優れた情報セキュリティ/暗号化の専門家の一人でない限り、あなた自身の承認/認証/暗号化プロトコルを発明しないでください。すでに市場に出回っているプロトコルを使用してください。

あなたが説明したことは、攻撃者があなたのハッシュ関数を実行しないという事実によってのみ保護されているため、ハンドシェイクではありません。このような仮定は、暗号化/認証プロトコルにとって非常に悪い地下室と見なされていました。

于 2012-11-27T14:53:13.883 に答える