客户端验证的算法

Algorithm for client validation?

本文关键字:算法 验证 客户端      更新时间:2023-10-16

以下是我要做的。

我有一个游戏和一个服务器可执行文件。客户端连接到服务器进行播放。

我目前担心的是,有人可能会使用telnet或其他东西来模拟客户端。

目前,用户只在连接后发送一个简单的hello字符串,如果正确,我接受他们的数据。

我尝试过使用证书/ssl,但没有成功,所以我正在试图找出一种有效的方法来知道游戏客户端是否真的是客户端。

简单地说,什么是验证客户的有效方法?

我不担心中间人攻击,因为用户既不登录也不提供密码,只提供会话名称。

我考虑过服务器发送一个固定长度的随机字符串的可能性,然后客户端用算法修改这个字符串,然后将其发送回。

我想知道是否还有比这更好更聪明的方法。

我确实有一个服务器的证书,如果有帮助的话,它是一个pfx。

感谢

这是一个本质上很难解决的问题。当然,没有一个软件你可以写,可以在一台foriegn机器上运行,可以证明它是你以未篡改的形式编写的程序

尽管如此,你还是可以做一些简单的挑战反应来改进事情。

让我们假设你的客户端和服务器共享一个秘密(你写的,所以他们可以,尽管作为软件,这不是很秘密。)让我们也假设你有一个andy密码或哈希库(对于SHA-1哈希之类的东西)然后:

  • 服务器发送质询,包括随机数(如时间+随机数)
  • 客户端发送一个响应,其中包括(nonce+secret)的安全哈希
  • 服务器知道随机数和秘密,因此他们可以检查收到的哈希是否正确,从而可以确认"客户端"也知道秘密

这是一个基本的对称验证方案。

相关文章: