我已經詳盡地研究了這個主題,並且被卡住了 - 希望能從有幫助的人那裏得到一些解釋。通過使用哈希和鹽的SSL驗證
背景:我的藍牙發送應答器連接到在我的應用程序中通過付款打開的鎖。用戶支付固定費用,鎖打開,他們抓住他們的物品,並關上門鎖。我試圖防止非付費用戶能夠打開這些鎖的欺騙攻擊。
我現在的解決方案理論上如下:每個轉發器都有一個隨機的32位鹽。一旦應用程序連接,認證請求被髮送到轉發器,該轉發器創建隨機挑戰字符串+其獨特的鹽。應答器然後使用SHA256迭代字符串10,000(以防止蠻力)時間。同時,最初的挑戰字符串+鹽被傳輸到應用程序,然後通過SSL將其發送到安全服務器,共享祕密散列密鑰和應答器鹽位於該服務器中。該字符串使用Sha256迭代10,000次,發送迴應用程序,然後返回應答器,該應答器根據其計算出的散列驗證服務器散列。如果相等,則鎖打開。
我的問題是:這是安全的嗎?我可以忽略一些明顯的安全缺陷,無論是暴力還是其他?我完全錯了嗎?任何幫助或建議將不勝感激
我投票結束這個問題作爲題外話,因爲它是http://security.stackexchange.com/questions/131764/authentication-over-ssl-using-hash-and-salt的交叉帖子。 – SilverlightFox