传输安全性:SSL(如果传输的数据已经加密,可无需使用SSL)
服务端安全性:使用加密机
客户端安全性:
类别 | 方法 | 作用 | 实例 |
输入安全 | 安全控件 | 防止输入被人窃取 | 支付宝的aliedit.ocx |
系统安全 | 系统监控服务 | 防止登录钓鱼网站等 | 招商银行的WPService.exe |
数据安全 | 加密,特别是非对称加密 | 保护存放在客户端的数据即使被人盗窃也无法破解 | 微软支付平台的cookie |
数据安全的原则:
- 主要采用RSA加密,客户端存放加密数据和公钥,只有服务端才能解密该数据。
- 服务端不能把解密结果传输给客户端,服务端要根据解密结果调用不同的方法。不能传输的原因是黑客可以利用客户端接收解密结果的方法来使加解密形同虚设。
- 数据在客户端是不能解密的,因为在客户端解密意味着私钥和加解密方案都已暴露。
- 总之,客户端不能处理任何和解密后操作相关的方法,只有服务端有权限处理。