这是2017年3月份有关移动市场的统计数据,移动app的数量已经突破10亿。移动安全也成为了一个全民关注的问题。从最初的app只针对功能实现,爆出来了一系列的高危漏洞之后,应运而生了包括移动app检测、app加固保护等工作来保护开发者以及使用者权益。同时,http的明文数据传输问题也得到了有效解决。我们本篇文章的讨论内容还是从数据传输过程中所引发的一系列安全问题。
1. 数据裸奔时代
=========
使用http协议的数据传输方式
- HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80
最初的移动app开发过程中,使用的大部分http协议来进行客户端跟服务端的通信。这个过程中传输的信息都是明文,继而引发了一系列的信息泄露等漏洞。
wireshark简单捕获就能看到明文隐私数据
当然上述极为不安全的数据传输,在2015年被大量爆出来之后,立即引起了app的开发人员以及使用着的重视。后续的数据传输使用了相对安全的基于SSL/TLS加密的安全的超文本传输协议https。
2. 你所使用的加密数据传输真的有保证你的数据不被窃取吗?
=============================
2.1. https加密传输
- Hyper Text Transfer Protocol over Secure Socket Layer,安全的超文本传输协议,网景公式设计了SSL(Secure Sockets Layer)协议用于对Http协议传输的数据进行加密,保证会话过程中的安全性。 使用TCP端口默认为443
- SSL协议即用到了对称加密也用到了非对称加密(公钥加密),在建立传输链路时,SSL首先对对称加密的密钥使用公钥进行非对称加密,链路建立好之后,SSL对传输内容使用对称加密。
2.1.1. 对称加密和非对称加密
对称加密:采用单钥密码系统的加密算法,同⼀个密钥可以同时用作信息的加密和解密,这种加密方法叫做对称加密。如DES、3DES、AES、RC2、RC4等。
非对称加密:⾮非对称加密算法需要两个秘钥,公钥和私钥。如RSA算法。
- 对称加密算法与非对称加密算法对比:
对称加密:加解密效率高,算法简单,适合加密大量数据。缺点是对称加密的通信双方使用同一密钥,如果一方密钥泄露,则整个通信信息就会被破解,不安全,且密钥维护复杂。
非对称加密:公钥推不出私钥,每个用户一个非对称密钥对,一个用来加密,一个用来解密,公钥公开,私钥自己保存,不需要像对称加密那样在通信前要先同步密钥,故与对称加密相比,其安全性更好,更适合网络通信中的保密通信要求,如应用于数字签名技术。但是加密效率低。
2.1.2.HTTPs单向认证机制
单向认证主要是客户端保存有服务端的公钥证书,自己本身是没有私钥证书的。
(1)给服务器生成密钥方式:
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
