1.數(shù)據(jù)安全

01數(shù)據(jù)安全的原則1）在網(wǎng)絡(luò)上"不允許"傳輸用戶隱私數(shù)據(jù)的"明文"2.）在本地"不允許"保存用戶隱私數(shù)據(jù)的"明文"

1.png

2.Base64

1.Base64簡單說明? ? 描述：Base64可以成為密碼學的基石，非常重要。? ? 特點：可以將任意的二進制數(shù)據(jù)進行Base64編碼? ? 結(jié)果：所有的數(shù)據(jù)都能被編碼為并只用65個字符就能表示的文本文件。65字符：A~Z a~z0~9+ / =? ? 對文件進行base64編碼后文件數(shù)據(jù)的變化：編碼后的數(shù)據(jù)~=編碼前數(shù)據(jù)的4/3，會大1/3左右。2.命令行進行Base64編碼和解碼? ? 編碼：base64123.png -o123.txt? ? 解碼：base64123.txt -o test.png -D2.Base64編碼原理1)將所有字符轉(zhuǎn)化為ASCII碼；2)將ASCII碼轉(zhuǎn)化為8位二進制；3)將二進制3個歸成一組(不足3個在后邊補0)共24位，再拆分成4組，每組6位；4)統(tǒng)一在6位二進制前補兩個0湊足8位；5)將補0后的二進制轉(zhuǎn)為十進制；6)從Base64編碼表獲取十進制對應的Base64編碼；處理過程說明：? ? a.轉(zhuǎn)換的時候，將三個byte的數(shù)據(jù)，先后放入一個24bit的緩沖區(qū)中，先來的byte占高位。? ? b.數(shù)據(jù)不足3byte的話，于緩沖區(qū)中剩下的bit用0補足。然后，每次取出6個bit，按照其值選擇查表選擇對應的字符作為編碼后的輸出。? ? c.不斷進行，直到全部輸入數(shù)據(jù)轉(zhuǎn)換完成。? ? d.如果最后剩下兩個輸入數(shù)據(jù)，在編碼結(jié)果后加1個“=”；? ? e.如果最后剩下一個輸入數(shù)據(jù)，編碼結(jié)果后加2個“=”；? ? f.如果沒有剩下任何數(shù)據(jù)，就什么都不要加，這樣才可以保證資料還原的正確性。3.實現(xiàn)? ? a.說明：1）從iOS7.0開始，蘋果就提供了base64的編碼和解碼支持2)如果是老項目，則還能看到base64編碼和解碼的第三方框架，如果當前不再支持iOS7.0以下版本，則建議替換。? ? b.相關(guān)代碼：//給定一個字符串，對該字符串進行Base64編碼，然后返回編碼后的結(jié)果-(NSString *)base64EncodeString:(NSString *)string{//1.先把字符串轉(zhuǎn)換為二進制數(shù)據(jù)NSData *data = [stringdataUsingEncoding:NSUTF8StringEncoding];//2.對二進制數(shù)據(jù)進行base64編碼，返回編碼后的字符串return[data base64EncodedStringWithOptions:0];? ? }//對base64編碼后的字符串進行解碼-(NSString *)base64DecodeString:(NSString *)string{//1.將base64編碼后的字符串『解碼』為二進制數(shù)據(jù)NSData *data = [[NSData alloc]initWithBase64EncodedString:stringoptions:0];//2.把二進制數(shù)據(jù)轉(zhuǎn)換為字符串返回return[[NSString alloc]initWithData:data encoding:NSUTF8StringEncoding];? ? }? ? c.終端測試命令? ? ? ? $ echo -n A | base64? ? ? ? $ echo -n QQ== |base64 -D

3.常見的加密算法和其它

1.base64 編碼格式2.密碼學演化"秘密本"-->RSA3.常見的加密算法1）消息摘要（單向散列函數(shù)）2）對稱加密3）非對稱加密4）證書等

4.單向散列函數(shù)

1.單向散列函數(shù)的特點：? ? ①加密后密文的長度是定長的? ? ②如果明文不一樣，那么散列后的結(jié)果一定不一樣? ? ③如果明文一樣，那么加密后的密文一定一樣（對相同數(shù)據(jù)加密，加密后的密文一樣）? ? ④所有的加密算法是公開的? ? ⑤不可以逆推反算2.經(jīng)典加密算法1）MD5加密2）SHA13）SHA5123.MD5加密算法簡單說明1）對字符串進行MD5加密可以得到一個32個字符的密文2）加密之后不能根據(jù)密文逆推出明文3）MD5已經(jīng)被破解（暴力破解|碰撞檢測）4.MD5加密進階1）先加鹽，然后再進行MD52）先亂序，再進行MD5加密3）亂序|加鹽，多次MD5加密等4）使用消息認證機制，即HMAC-MD5-先對密鑰進行加密，加密之后進行兩次MD5散列5）加密命令行? ? ? ? MD5加密-字符串? ? $ echo -n"520it"|md5? ? ? ? MD5加密-文件1$ md5 abc.png? ? ? ? SHA1加密：? ? ? ? $ echo -n"520it"|openssl sha -sha1? ? ? ? SHA256? ? ? ? ? ? $ echo -n"520it"|openssl sha -sha256? ? ? ? SHA512? ? ? ? ? ? $ echo -n"520it"|openssl sha -sha512? ? ? ? hmacMD5加密? ? ? $ echo -n"520it"|openssl dgst -md5 -hmac"123"5.散列函數(shù)應用領(lǐng)域1）搜索 多個關(guān)鍵字，先對每個關(guān)鍵字進行散列，然后多個關(guān)鍵字進行或運算，如果值一致則搜索結(jié)果一致2）版權(quán) 對文件進行散列判斷該文件是否是正版或原版的3）文件完整性驗證 對整個文件進行散列，比較散列值判斷文件是否完整或被篡改6.消息認證機制（HMAC）簡單說明1）原理? ? ? ? ①消息的發(fā)送者和接收者有一個共享密鑰? ? ? ? ②發(fā)送者使用共享密鑰對消息加密計算得到MAC值（消息認證碼）? ? ? ? ③消息接收者使用共享密鑰對消息加密計算得到MAC值? ? ? ? ④比較兩個MAC值是否一致2）使用? ? ? ? ①客戶端需要在發(fā)送的時候把（消息）+（消息·HMAC）一起發(fā)送給服務(wù)器? ? ? ? ②服務(wù)器接收到數(shù)據(jù)后，對拿到的消息用共享的KEY進行HMAC，比較是否一致，如果一致則信任

2.png

5.對稱加密

1.對稱加密的特點1）加密/解密使用相同的密鑰2）加密和解密的過程是可逆的（明文-》明文-》明文）

3.png

2.經(jīng)典算法1）DES 數(shù)據(jù)加密標準2）3DES 使用3個密鑰，對消息進行（密鑰1·加密）+（密鑰2·解密）+（密鑰3·加密）3）AES 高級加密標準3.分組密碼簡單說明? ? 密碼算法可以分為分組密碼和流密碼兩種。? ? 分組密碼：每次只能處理特定長度的一zu數(shù)據(jù)的一類密碼算法。一個分組的比特數(shù)量就稱之為分組長度。? ? ex:DES和3DES的分組長度都是64比特。即每次只能加密64比特的明文，并生成64比特的密文。AES的分組長度有128比特、192比特和256比特可以選擇。? ? 流密碼：對數(shù)據(jù)流進行連續(xù)處理的一類算法。流密碼中一般以1比特、8比特或者是32比特等作為單位倆進行加密和解密。4.ECB分組模式? ? ECB模式的全稱為Electronic CodeBook模式。又成為電子密碼本模式。? ? 特點：1）使用ECB模式加密的時候，相同的明文分組會被轉(zhuǎn)換為相同的密文分組。2）類似于一個巨大的明文分組-》密文分組的對照表。

4.png

5.png

終端測試命令：? ? 加密 $ openssl enc -des-ecb -K616263-nosalt -in123.txt -out123.bin? ? 解密 $ openssl enc -des-ecb -K616263-nosalt -in123.bin -out1231.txt -d5.CBC分組模式? ? CBC模式全稱為Cipher Block Chainning模式（密文分組鏈接模式|電子密碼鏈條）? ? 特點：在CBC模式中，首先將明文分組與前一個密文分組進行XOR運算，然后再進行加密。

6.非對稱加密

1.非對稱加密的特點1）使用公鑰加密，使用私鑰解密2）公鑰是公開的，私鑰保密3）加密處理安全，但是性能極差

6.png

2.經(jīng)典算法---RSA1）RSA 原理? ? ? ? （1）求N，準備兩個質(zhì)數(shù)p和q,N = p x q? ? ? ? （2）求L,L是p-1和q-1的最小公倍數(shù)。L = lcm（p-1,q-1）? ? ? ? （3）求E，E和L的最大公約數(shù)為1（E和L互質(zhì)）? ? ? ? （4）求D，E x D mode L =12）RSA加密小實踐? ? ? ? （1）p =17,q =19=>N =323（2）lcm（p-1,q-1）=>lcm（16，18）=>L=144（3）gcd（E,L）=1=>E=5（4）E乘以幾可以mode L =1? D=29可以滿足? ? ? ? （5）得到公鑰為：E=5,N=323（6）得到私鑰為：D=29,N=323（7）加密 明文的E次方 mod N =123的5次方 mod323=225（密文）? ? ? ? （8）解密 密文的D次方 mod N =225的29次方 mod323=123（明文）? ? ? ? ----------------3）openssl生成密鑰命令? ? ? ? 生成強度是512的 RSA 私鑰：$ openssl genrsa -outprivate.pem512以明文輸出私鑰內(nèi)容：$ openssl rsa -inprivate.pem -text -outprivate.txt? ? ? ? 校驗私鑰文件：$ openssl rsa -inprivate.pem -check? ? ? ? 從私鑰中提取公鑰：$ openssl rsa -inprivate.pem -outpublic.pem -outform PEM -pubout? ? ? ? 以明文輸出公鑰內(nèi)容：$ openssl rsa -inpublic.pem -outpublic.txt -pubin -pubout -text? ? ? ? 使用公鑰加密小文件：$ openssl rsautl -encrypt -pubin -inkeypublic.pem -in msg.txt -out msg.bin? ? ? ? 使用私鑰解密小文件：$ openssl rsautl -decrypt -inkeyprivate.pem -in msg.bin -out a.txt? ? ? ? 將私鑰轉(zhuǎn)換成 DER 格式：$ openssl rsa -inprivate.pem -outprivate.der -outform der? ? ? ? 將公鑰轉(zhuǎn)換成 DER 格式：$ openssl rsa -inpublic.pem -outpublic.der -pubin -outform der? ? ? ? -----------------

7.數(shù)字簽名

1.數(shù)字簽名的應用場景? ? 答：需要嚴格驗證發(fā)送方身份信息情況2.數(shù)字簽名原理1）客戶端處理? ? ? ? ①對"消息"進行 HASH 得到"消息摘要"②發(fā)送方使用自己的私鑰對"消息摘要"加密(數(shù)字簽名)? ? ? ? ③把數(shù)字簽名附著在"報文"的末尾一起發(fā)送給接收方2）服務(wù)端處理? ? ? ? ①對"消息"HASH 得到"報文摘要"②使用公鑰對"數(shù)字簽名"解密? ? ? ? ③對結(jié)果進行匹配

7.png

8.數(shù)字證書

1.簡單說明? ? 證書和駕照很相似，里面記有姓名、組織、地址等個人信息，以及屬于此人的公鑰，并有認證機構(gòu)施加數(shù)字簽名,只要看到公鑰證書，我們就可以知道認證機構(gòu)認證該公鑰的確屬于此人2.數(shù)字證書的內(nèi)容1）公鑰2）認證機構(gòu)的數(shù)字簽名3.證書的生成步驟1）生成私鑰 openssl genrsa -outprivate.pem10242）創(chuàng)建證書請求 openssl req -new-keyprivate.pem -out rsacert.csr3）生成證書并簽名，有效期10年 openssl x509 -req -days3650-in rsacert.csr -signkeyprivate.pem -out rsacert.crt4）將 PEM 格式文件轉(zhuǎn)換成 DER 格式 openssl x509 -outform der -in rsacert.crt -out rsacert.der5）導出P12文件 openssl pkcs12 -export-out p.p12 -inkeyprivate.pem -in rsacert.crt4.iOS開發(fā)中的注意點1）在iOS開發(fā)中，不能直接使用 PEM 格式的證書，因為其內(nèi)部進行了Base64編碼，應該使用的是DER的證書，是二進制格式的2）OpenSSL默認生成的都是PEM格式的證書

9.HTTPS的基本使用

1.https簡單說明? ? HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。? ? 即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。? ? https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。2.HTTPS和HTTP的區(qū)別主要為以下四點：? ? ? ? 一、https協(xié)議需要到ca申請證書，一般免費證書很少，需要交費。? ? ? ? 二、http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議。? ? ? ? 三、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。? ? ? ? 四、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。3.簡單說明1）HTTPS的主要思想是在不安全的網(wǎng)絡(luò)上創(chuàng)建一安全信道，并可在使用適當?shù)募用馨头?wù)器證書可被驗證且可被信任時，對竊聽和中間人攻擊提供合理的保護。2）HTTPS的信任繼承基于預先安裝在瀏覽器中的證書頒發(fā)機構(gòu)（如VeriSign、Microsoft等）（意即“我信任證書頒發(fā)機構(gòu)告訴我應該信任的”）。3）因此，一個到某網(wǎng)站的HTTPS連接可被信任，如果服務(wù)器搭建自己的https 也就是說采用自認證的方式來建立https信道，這樣一般在客戶端是不被信任的。4）所以我們一般在瀏覽器訪問一些https站點的時候會有一個提示，問你是否繼續(xù)。4.對開發(fā)的影響。4.1如果是自己使用NSURLSession來封裝網(wǎng)絡(luò)請求，涉及代碼如下。- (void)touchesBegan:(NSSet*)touches withEvent:(UIEvent*)event{NSURLSession*session = [NSURLSessionsessionWithConfiguration:[NSURLSessionConfigurationdefaultSessionConfiguration] delegate:selfdelegateQueue:[NSOperationQueuemainQueue]];NSURLSessionDataTask*task =? [session dataTaskWithURL:[NSURLURLWithString:@"https://www.apple.com"] completionHandler:^(NSData*data,NSURLResponse*response,NSError*error) {NSLog(@"%@", [[NSStringalloc] initWithData:data encoding:NSUTF8StringEncoding]);? ? }];? ? [task resume];}/*

只要請求的地址是HTTPS的, 就會調(diào)用這個代理方法

我們需要在該方法中告訴系統(tǒng), 是否信任服務(wù)器返回的證書

Challenge: 挑戰(zhàn) 質(zhì)問 (包含了受保護的區(qū)域)

protectionSpace : 受保護區(qū)域

NSURLAuthenticationMethodServerTrust : 證書的類型是 服務(wù)器信任

*/- (void)URLSession:(NSURLSession*)session didReceiveChallenge:(NSURLAuthenticationChallenge*)challenge completionHandler:(void(^)(NSURLSessionAuthChallengeDisposition,NSURLCredential*))completionHandler{//? ? NSLog(@"didReceiveChallenge %@", challenge.protectionSpace);NSLog(@"調(diào)用了最外層");// 1.判斷服務(wù)器返回的證書類型, 是否是服務(wù)器信任if([challenge.protectionSpace.authenticationMethodisEqualToString:NSURLAuthenticationMethodServerTrust]) {NSLog(@"調(diào)用了里面這一層是服務(wù)器信任的證書");/*

NSURLSessionAuthChallengeUseCredential = 0,? ? ? ? ? ? ? ? ? ? 使用證書

NSURLSessionAuthChallengePerformDefaultHandling = 1,? ? ? ? ? ? 忽略證書(默認的處理方式)

NSURLSessionAuthChallengeCancelAuthenticationChallenge = 2,? ? 忽略書證, 并取消這次請求

NSURLSessionAuthChallengeRejectProtectionSpace = 3,? ? ? ? ? ? 拒絕當前這一次, 下一次再詢問

*///? ? ? ? NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];NSURLCredential*card = [[NSURLCredentialalloc]initWithTrust:challenge.protectionSpace.serverTrust];? ? ? ? completionHandler(NSURLSessionAuthChallengeUseCredential, card);? ? }}5.ATS1）iOS9中新增App Transport Security（簡稱ATS）特性, 讓原來請求時候用到的HTTP，全部都轉(zhuǎn)向TLS1.2協(xié)議進行傳輸。2）這意味著所有的HTTP協(xié)議都強制使用了HTTPS協(xié)議進行傳輸。3）如果我們在iOS9下直接進行HTTP請求是會報錯。系統(tǒng)會告訴我們不能直接使用HTTP進行請求，需要在Info.plist中控制ATS的配置。"NSAppTransportSecurity"是ATS配置的根節(jié)點，配置了節(jié)點表示告訴系統(tǒng)要走自定義的ATS設(shè)置。"NSAllowsAritraryLoads"節(jié)點控制是否禁用ATS特性，設(shè)置YES就是禁用ATS功能。4）有兩種解決方法，一種是修改配置信息繼續(xù)使用以前的設(shè)置。? ? 另一種解決方法是所有的請求都基于基于"TLS 1.2"版本協(xié)議。（該方法需要嚴格遵守官方的規(guī)定，如選用的加密算法、證書等）/*

ATS默認的條件

1)服務(wù)器TLS版本至少是1.2版本

2)連接加密只允許幾種先進的加密

3)證書必須使用SHA256或者更好的哈希算法進行簽名，要么是2048位或者更長的RSA密鑰，要么就是256位或更長的ECC密鑰。

*/AFSecurityPolicy，內(nèi)部有三個重要的屬性，如下：AFSSLPinningMode SSLPinningMode;//該屬性標明了AFSecurityPolicy是以何種方式來驗證BOOLallowInvalidCertificates;//是否允許不信任的證書通過驗證，默認為NOBOOLvalidatesDomainName;//是否驗證主機名，默認為YES"AFSSLPinningMode"枚舉類型有三個值，分別是AFSSLPinningModeNone、AFSSLPinningModePublicKey、AFSSLPinningModeCertificate。"AFSSLPinningModeNone"代表了AFSecurityPolicy不做更嚴格的驗證，"只要是系統(tǒng)信任的證書"就可以通過驗證，不過，它受到allowInvalidCertificates和validatesDomainName的影響；"AFSSLPinningModePublicKey"是通過"比較證書當中公鑰(PublicKey)部分"來進行驗證，通過SecTrustCopyPublicKey方法獲取本地證書和服務(wù)器證書，然后進行比較，如果有一個相同，則通過驗證，此方式主要適用于自建證書搭建的HTTPS服務(wù)器和需要較高安全要求的驗證；"AFSSLPinningModeCertificate"則是直接將本地的證書設(shè)置為信任的根證書，然后來進行判斷，并且比較本地證書的內(nèi)容和服務(wù)器證書內(nèi)容是否相同，來進行二次判斷，此方式適用于較高安全要求的驗證。如果HTTPS服務(wù)器滿足ATS默認的條件，而且SSL證書是通過權(quán)威的CA機構(gòu)認證過的，那么什么都不用做。如果上面的條件中有任何一個不成立，那么都只能修改ATS配置。

附:HTTP 和HTTPS的區(qū)別

HTTP:當客戶端發(fā)送請求,那么服務(wù)器會直接返回數(shù)據(jù).

HTTP.png

HTTPS：當客戶端第一次發(fā)送請求的時候，服務(wù)器會返回一個包含公鑰的受保護空間（也成為證書），當我們發(fā)送請求的時候，公鑰會將請求加密再發(fā)送給服務(wù)器，服務(wù)器接到請求之后，用自帶的私鑰進行解密，如果正確再返回數(shù)據(jù)。這就是 HTTPS 的安全性所在。

HTTPS.png