0

我有一个 Windows 客户端(桌面)应用程序,第一次运行时会访问服务器并请求客户端 ID。不久之后,该客户端将通过其他请求回叫服务器。服务器可以整天分发客户端 ID,但重要的是服务器能够知道任何未来的请求都来自有效的客户端。

这意味着验证发出请求的是客户端应用程序,而不是假装是客户端应用程序的某人/其他人。理想情况下,它还涉及验证客户端应用程序的客户端 ID 是否未更改。

我曾考虑在未来的请求中包含加盐客户端 ID 的哈希值,但对于一个有决心的人来说,分解客户端以找出加盐值似乎并不难。

在此先感谢您提供任何解决方案、提示或指示!

4

1 回答 1

0

如果没有大量的密码学,就无法明智地完成。只要对方有完全的控制权,他们就不可能伪造答案。Kerberos 所做的事情有点类似,协议非常复杂。罗斯安德森的“安全工程”将是我了解如何做到这一点的第一站。

于 2013-02-10T00:19:28.580 回答