局域网安全通信方案,大家帮忙看看, 这样能防止数据泄漏吗?

2023-03-04 03:34:34 +08:00
 jeesk

我自己做的相册是这样的, 每个相册有个 http 服务,随机生成一个域名(这个域名是假的,没有任何记录),用于设备之间的通信。 并且自签 ca,接口强制 https. 然后设备通信的时候根据自己的算法动态替换 DNS 请求,并且做双向认证,保证通信是安全的。 我只能考虑到手机不会被中间人攻击,并且不允许用户使用个人证书,证书加密后放到 so 包里面加固。 这个方案还有什么改进的吗? 主要是防止局域网数据泄漏,用户主动来破解的,我不想管了 。

1133 次点击
所在节点    互联网
9 条回复
xiadong1994
2023-03-04 03:38:21 +08:00
内网 IP 就无所谓 DNS 有没有记录吧,只是防中间人 https 就够了
jeesk
2023-03-04 03:40:15 +08:00
@xiadong1994 ip 不固定的,都是移动设备,只能动态替换 dns.
jeesk
2023-03-04 03:44:05 +08:00
上个帖子有老哥建议说是用 mdns 的域名,但是考虑到 mdns 的域名是系统分配的,会变。就没有采用这个方案。
fuzzsh
2023-03-04 03:45:44 +08:00
Certificate Pinning
Chad0000
2023-03-04 04:00:44 +08:00
自签怎么保证不被中间人攻击?
opengps
2023-03-04 10:03:43 +08:00
局域网的话,所有路由器交换机等设备你管理起来基本就差不多
jeesk
2023-03-04 10:58:39 +08:00
@Chad0000 首先通信是安全, 然后 ip 是我自己指定的, 即使对方强制修改 ip (这里可以通过让两个设备的 ip 一样), 我这里还会做强制的 auth 认证 ,auth 认证失败,我的逻辑是认为该设备下线了 ,不会再通信了。
jones2000
2023-03-04 12:15:15 +08:00
相册存盘的时候切分成多块并且加密, 查看的时候的时候做一个 WebAssembly 插件合并解密,( http 下载切分好的块,通过 WebAssembly 插件解密合并还原成一张图片)。WebAssembly 插件调用的时候加点验证,动态的可以用人脸,短信等等都可以,静态的就绑定手机硬件设备信息。
jeesk
2023-03-04 14:06:55 +08:00
大概情况就是这样了, 双向认证(强制), 这样没有证书基本无法互相访问。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/920992

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX