对于个人 MMO 游戏项目,我正在 java 中实现一个自制的可靠的基于 UDP 的协议(protocol)。鉴于我当前的设置,我相信窥探者劫持 session 相对简单,因此为了防止这种情况,我借此机会学习一些密码学。非常有趣。
我可以使用 Diffie-Hellman key exchange 在客户端和服务器之间成功创建共享 key (一个非常聪明的概念),但现在我需要用它来保证数据包的真实性。到目前为止,我的初步测试表明,我尝试过的几种不同的密码会使数据量稍微膨胀,但我希望保持数据尽可能小和快。
考虑到我只是想验证数据包,而不是隐藏整个有效负载,我的想法是,我可以将从 key 生成的 8 字节 session ID 放入数据包 header 中,加密整个数据包,然后将其哈希回 8 字节。我获取未加密的数据包并将 8 字节哈希值放入 session ID 的位置,然后将其发送出去。
这安全吗?加密整个数据包然后不加密地发送它感觉有点不雅 - 有没有更好/更快的方法来实现我的目标?请注意,我想自己做这件事,因为它的经验很好,所以我对第 3 方库或其他协议(protocol)选项不太感兴趣。
最佳答案
如果两个对等方都可以访问共享 key (他们应该这样做,因为您正在谈论 Diffie-Hellman),您可以简单地将数据报的哈希值存储在其 header 中。接收者检查是否匹配。
作为一项附加的安全措施,您还可以在数据报中添加一个“挑战”字段,并在哈希过程中的某个位置使用它来防止重播。
所以这个哈希应该涵盖:
- 共享 secret
- 挑战
- 数据报的内容
编辑
“挑战”是一个严格递增的数字。您将其添加到数据报中只是为了在每次发送新消息时更改哈希值。如果有人截获消息,则无法重新发送:接收者确保不接受该消息。
关于udp - 保护 UDP 连接的安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11323592/