应用程序加密1-模拟线上加密商店
在RIA的世界里,flex和air确实已经起飞了,随着财富500强企业逐渐采用flex技术实现ria已经各种企业层次的应用开始出现,应用程序和数据安全问题应该逐渐引起flex/air程序员的注意,保密的级别应该和项目的需求紧密相关。例如如果你想开发的是开源的支持广告的面向大众的应用程序,为了尽可能多的获取用户加密的级别就应该相应的低,同时系统花费在认证用户上的时间要尽可能的小。另一方面如果你是为企业政府开发内部应用的面板程序,那么你可能要采用尽量高的加密级别。
在这一系列的三篇关于如何加密Flex应用程序的文章中,我们首先会讲述如何在Flex应用程序中采用加密存储技术加密一个Flex应用程序。在第二篇文章中我们会尝试使用接口和最小化的加密来对SWC文件进行保护,这个SWC文件正是我们要出售的商业库。在最后的文章中我们会去了解一下NitroLM.com,这是一个商业的API专门从事用户注册认证管理,以及企业级的加密技术
在Adobe最新发布的AIR1.0版本中,他们提供了向磁盘存储加密数据的API, flash.data.EncryptedLocalStore类,该类调用WINDOWS DPAI或者是MAC的KEYCHAIN来通过ByteArray数组来存储数据,很不幸的是,在Flex里面我们享受不到这项便利,在这一片教程里面我们会尝试着模拟这样的一个类来存储加密数据
我们要做的第一件事情就是到网络上去下载一个flex的加密库方便使用,这里使用的是Henri创建的AS3Crypto (http://crypto.hurlant.com),我推荐下载源代码版本,这样你就可以方便的调试并且能够了解整个加密进程是如何进行的。
在这个例子中(可以查看源代码)用户可以在应用程序向WEB SERVICE提请验证过程中,保存自己的用户名和密码,当然这两个数据的保护不是天衣无缝的,因为数据和随机生成的KEY是保存在一起的,至于如何将KEY模糊的放在服务器或者用户端,还是两者协商使得KEY的保护更加安全,在此就留作练习了。
FlexEncryptionExample1 example
下面我大概的讲述一下代码:我们有两个主要的方法,encryptedLoad() 和encryptedSave(). encryptedSave().产生随机的16位KEY然后使用AES-128算法对我们的用户名和密码进行破解,然后将数据保存到BYTE ARRAY
private function encryptedSave():void
{
//创建和获得共享对象
var so:SharedObject = SharedObject.getLocal("encryptedStore");
//产生随机的KEY
var key:ByteArray = new ByteArray();
var random:Random = new Random();
random.nextBytes(key, 16);
//将我们的数据加密后保存到ByteArray
var cleartextBytes:ByteArray = new ByteArray();
cleartextBytes.writeUTF(username.text);
cleartextBytes.writeUTF(password.text);
//使用128位AES算法加密
var aes:ICipher = Crypto.getCipher("