所以我的服务器和客户端之间有这个 TCP 连接,任何人都可以连接到我的服务器。但我想确保客户端真的在使用我的客户端应用程序,而不仅仅是伪造来自假 TCP 客户端的消息。有什么方法可以做到这一点,检查连接是否真的来自我的游戏客户端?
谢谢!
编辑 如果我要使用 TLS,我能解决这个问题吗?
【问题讨论】:
标签: security tcp network-programming
您的问题可能不会有一个完整的解决方案,因为无论您做什么,对方都可能总是拿走您的程序,在受监控的环境中运行它,操纵运行时数据并让它使用其“安全”网络协议.由于客户端应用程序在无法控制的手中,您永远无法确定它是您自己的程序。
小例子:我的应用程序运行您的应用程序并将数据回放到您的服务器,并将您的响应转发回应用程序。你怎么知道?
也就是说,使用 SSL 并将客户端的私钥硬编码到应用程序中可能是一种非常有前途的“99%”方法——你可以尝试一些技巧使其难以找到(例如,看看 Skype 是如何做到的) )。如果您随后还在您的程序中构建完整性检查,以确定是否有人在操纵内存或调试您的程序,您可以尝试让潜在对手更加困难。 (但请注意,您将始终必须将私钥与您的应用程序一起发送,因此发现它并不安全。)
【讨论】:
其他人对您的问题提出了有用的答案,但我将建议另一种方法。重新检查您的要求。
问问自己为什么你想知道客户端程序的身份。是不是让您对自己的客户端程序的信任度比对第三方客户端程序的信任度更高?
如果您需要信任已交付给客户的软件的身份或完整性,我声称您的安全模型已损坏。一旦软件在客户的 PC 上运行,您就应该认为它是邪恶的,即使是您最初编写的。
来自网络的任何状态、任何命令、任何数据都必须在被依赖之前进行检查。
【讨论】:
我的默认响应是使用质询/响应身份验证。
连接后,从服务器向客户端发送一个随机数
然后客户端使用哈希/密钥/....计算响应消息并将其返回给服务器
如果响应与服务器的计算相匹配,那么您的真实性机会就更大。请注意,您的客户的逆向工程师会使这种方法容易被欺诈。
【讨论】:
您可以使用公钥/私钥对来验证您的身份。
【讨论】: