1. 首頁
  2. 問答
  3. 將硬件設備安全連接到網絡的最簡單協議是什麼?

將硬件設備安全連接到網絡的最簡單協議是什麼?

2011-08-08 18 views
0

索尼PSN崩潰後,我試圖找到網絡安全硬件綁定的例子。有兩種用例:將硬件設備安全連接到網絡的最簡單協議是什麼?

1-計算機下載一個軟件,然後將其唯一且安全地標記爲雲服務 2-硬件製造商唯一標記一個硬件設備,然後在網絡上協商成員資格。

鑑於硬件設備可能不得不改變(撤銷或服務增強)的事實,感覺就像#2變成了#1。

梗概是這樣的: - 通過HTTPS連接到服務,以防止中間人 - 設備生成一個GUID,並通過HTTPS呈現出它的服務 - GUID對帳戶 服務記錄 - 上的成功,服務'啓用'設備

但是,如何保護GUID以便它不會被盜?

來源

2011-08-08 Ravenwater

回答

2

我只是想在這裏評論:開始用關於自己的QA環境可怕的做法

索尼的PSN的問題。

首先,他們默認信任使用其開發人員工具包發送給這些服務器的任何內容。他們這樣做的原因是,開發套件過去花費高達1萬美元,因此他們認爲支付這筆款項的任何人都會持續上漲。然而,當他們從根本上降低價格時,外在變化的東西並沒有考慮到它。

PSN的第二個問題是質量保證和生活之間的安全性最好很弱,很容易繞過。我的理解是,您可以使用QA憑證發送命令來生活。由於使用了質量保證憑證,因此所有收費操作都得到批准,但沒有錢換手,這些操作已應用於實時賬戶。當幾個人告訴索尼這件事時,他們什麼都沒做。

第三個問題是對基於硬件的加密密鑰的依賴。甚至可以計算出設備上安裝的硬件加密密鑰。

問題是,索尼挖了他們自己的墳墓,所以我不會使用他們做的任何事情作爲模板來處理事情。哎呀,他們的很多網站都對SQL注入開放,在今天這個時代應該讓你被解僱。

另一個例子是iPhone。每個iPhone都有一個唯一的標識符,安裝的應用程序可以通過網絡抓取併發回;類似於一個序列號。有些應用程序使用此ID來嘗試將特定設備綁定到某個人。但是,it's trivial to create ID's並播放它們,所以這對合作夥伴來說效果不佳。此外,Apple並未公開確保給定ID(UUID)對應用程序製作者有效的方法。

第三個例子是移動電話運營商。他們在您的SIM卡中使用一個特定的ID來識別您的賬戶,以便在打電話時知道誰要付賬。只要手機檢入網絡,此ID就會被驗證。但是,我們正在處理無線電信號,任何可以廣播正確ID的設備都可以訪問。要點是,老實說,人們認爲只有T認可的設備才能獲得T網絡。現實是,任何東西都可以,但他們要爲特定ID的所有者開賬單...

也就是說,您在遠程設備上運行的任何軟件都不受您的直接控制,可能會被黑客入侵。該設備的普及將增加它發生的可能性,而不是晚些時候。

我們從哪裏出發?

在基本級別上,您將ID與服務中的帳戶相關聯。 PSN,Apple和其他人已經這樣做了。廣播ID時,您需要驗證它是否存在,並確認它與活動帳戶綁定。如果兩者都通過,那麼您有兩種選擇:執行請求的操作或請求額外的驗證。

對於任何需要花錢的行爲,請執行附加驗證(通常是某種形式的用戶名/密碼),獲取資金,然後執行操作。更進一步,每次輸入錯誤的登錄信息時,都會將文件發送給用戶。此外,自動發送收據。這些通常是爲了讓您的誠實用戶可以知道什麼時候發生。

其他任何只是讓通過。

記住,當然,質量檢查證書不應該在您的Live環境中工作。在任何情況下,這些系統都不應該彼此綁定,坦率地說,它們甚至應該生活在不同的硬件上。換句話說,QA和Live不應共享登錄數據庫。

這裏的事情是,你不應該在意設備本身;只是帳戶。您無法控制設備,因爲它已經不在您的手中;你甚至不能確定它沒有被物理篡改過。 (XBox一直在與加入電阻器或燒燬某些組件以獲得物理安全功能的人打交道)。

因此,恕我直言,做一些保持誠實的人誠實,但總體不擔心它。現在,您應該通過SSL或設備與您的雲之間的其他加密連接來傳輸所有內容,這樣您就不會將ID泄漏給任何想要抓取它們的人。這將有助於保護那些誠實的人。

此外,您不應該有直接的方式來查詢外部ID是否有效。這會讓黑客找到現有的有效ID並接管帳戶更困難。如果你想變得有趣,你可以將它們封存起來並跟蹤黑客,以便將它們置於遺忘之中,但這需要時間和資源,這些公司通常都沒有。您也可以記錄所有包含錯誤ID的請求,並使用它來跟蹤黑客。

請注意,即使設備已被「啓用」,我仍然建議您有兩個級別的身份驗證。首先是簡單的動作,如下載免費內容;在任何時候第二個踢有關聯的費用。再次,我們正在努力保護您的誠實用戶。

對於不誠實的人,你將不得不對一些交易進行統計分析。事務處理速度等事情可以幫助識別正在運行的殭屍程序,並允許您殺死它們的ID。還有其他的,但它們對你的應用程序來說是唯一的。

這是一個很長的囉嗦。但我的觀點是:

  1. 你不能確保身份證或其他任何你傳遞出來的東西。
  2. 您無法確保請求來自您的設備或您自己的已批准設備。
  3. 您最好採取措施,保​​持使用您的服務爲這些設備構建軟件的質量保證和生產。
  4. 您最好採取措施保護您的正常用戶。
  5. 相信任何東西。
  6. 由於上述原因,您應評估您的商業模式,以便您不在乎使用了哪種設備,而是專注於個人帳戶;你可以控制它。

來源

2011-08-08 17:06:02 NotMe

1

我不確定我完全理解這個問題,但我想你想要某種設備來保存由Web服務分配給它的GUID,並且你不希望有人發現那個GUID是什麼,對嗎?

如果是這樣,那麼你可以做的事情並不多。您已經提到了一個選項...在分配ID時使用HTTPS。這是一個好的開始,但請記住,任何有權訪問設備的人都可以通過許多操作來查找此ID。

總之,不可能完全隱藏。有人總是可以對其進行逆向工程。有人在那裏用硬件讀取數據。

來源

2011-08-08 16:37:17 Brad

相關問題

 相關問題