A safe IM software developed by C#
#注册与登陆流程: ##注册:
在注册时,客户端在本地生成一对RSA公私钥,其中公钥随其他注册信息发送,私钥经过AES加密后随其他注册信息发送,这里AES加密的秘钥为用户输入的密码. 因为用户的密码是经过hash后发送到服务器的,因此服务器不能解开这个AES加密的用户私钥
##登陆: 还是采用挑战应答方式,但是在验证了用户的密码正确后会将AES加密的用户私钥发送给用户,用户收到后在用登陆的密码解密即可得到自己的私钥,此私钥用于以后的加密与签名.因为登陆时的密码验证发送的也是用户密码的hash值,所以服务器自始至终不会获取到用户的私钥.从而保证了经服务器转发的数据不会被服务器窃取.
#消息发送:
下发在线用户列表时还包括了每个用户的公钥,用户间在发送消息时,首先用自己的私钥对消息签名(签名过程:对消息用SHA1 hash后,再用自己的私钥加密),并将发送的消息与签名信息再用对方的公钥加密.接收方拿到消息后先用自己的私钥解密,然后再验证对方签名.从而保证了通信双方安全通信
#解决的安全问题:
通过公私钥与签名机制能有效实现加密通信,但是对于一般的聊天软件,用户记忆自己私钥的成本太大,实现可能几乎为0(私钥是很长一段无规律字符串).本系统使用用户的密码采用AES加密方式将用户私钥加密存储在服务器端,用户身份验证通过后将加密的私钥发送回用户,再解密从而用于加密与签名.由于发送和存储在服务器端的是用户密码的hash值,这样服务器端不能解密用户的私钥,因而加密的私钥存储在服务器端是安全的. 这种架构机制保证了服务器端不会得到用户的聊天内容,实现了真正的一对一安全通信.
#引用 使用了阿龙的QQ列表控件源码