1

我需要在 SilverLight 应用程序之间发送数据。我有要求说应该使用 SSL/TLS 等安全协议传输数据。由于性能原因,使用 TCP 套接字发送数据。不幸的是 SilverLight 不支持SslStream。如果我想通过 SSL/TLS 传输数据,我需要购买第三方库,例如SecureBlackbox。在处理传输层时,我不想依赖第三方库。

但是,SilverLight 具有CryptoStream类。我正在考虑使用 WCF over SSL(SilverLight 支持)交换对称加密的密钥,然后使用 CryptoStream 使用 AES 加密数据。

这个解决方案安全吗?在安全性方面可以与使用 SSL/TLS 相比吗?是否有一些我遗漏的明显安全漏洞?

4

1 回答 1

1

我想 AES 方法的主要问题是密钥管理和密钥验证。我确定您知道 SSL 使用“握手”,它使用 CA 链(证书颁发机构)来验证 SSL 证书的有效性。这一切都发生在为 SSL 会话生成 AES 密钥之前。因此,如果不使用 SSL,您将错过这一重要步骤。

这意味着您有责任验证密钥是否安全并以安全的方式进行交换。

于 2012-07-04T09:14:04.100 回答