【iOS】MD5加密与网络数据安全
2016-05-26 11:12
573 查看
在做网络应用程序的时候, 时时刻刻要保证用户数据的安全, 因此要加密。
MD5算法在国内用的很多.
MD5算法的特点:
*同样的数据加密结果是一样的.(32个字符)
*不可逆的.(不能逆向解密)
*可用于文件校验/指纹识别.
MD5算法是公开的,iOS中已经包装好了MD5算法。
可以将其写成字符串的分类:
[objc] view
plain copy
- (NSString *)md5String
{
const charchar *string = self.UTF8String;
int length = (int)strlen(string);
unsigned char bytes[CC_MD5_DIGEST_LENGTH];
CC_MD5(string, length, bytes);
return [self stringFromBytes:bytes length:CC_MD5_DIGEST_LENGTH];
}
在iOS程序中对用户的登录数据进行加密存储非常重要。做到,即使数据被劫持,也无法还原出原始数据的地步。
一、普通MD5加密
太简单的MD5加密很容易被破解。一般在进行MD5加密时会使用“加佐料”的方法。
简单的MD5可到这个网站进行破解:www.cmd5.com
下面是进行MD5加密的方法: 其中token即为加的字符串,可以为任意长度的奇形怪状字符串。
[objc] view
plain copy
- (IBAction)login:(UIButton *)sender {
[self postLogin];
}
/**提交用户数据的时候用post相对安全. 同时将用户数据转换成模型最好*/
- (void)postLogin {
//1.URL
NSString *urlStr = [NSString stringWithFormat:@"http://localhost/login.php"];
NSURL *url = [NSURL URLWithString:urlStr];
//2.建立 Mutablerequest
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url];
//3.设置
request.HTTPMethod = @"POST";
//请求体可在firebug中找
NSString *pwd = self.userPwd.text;
//先加盐, 用MD5加密. (服务器简单存储加盐与加密保存过的就行了). 现实中的情况有公钥/私钥, 服务器并不是简单存储密码.
pwd = [pwd stringByAppendingString:token];
pwd = [pwd md5String];
NSLog(@"%@", pwd);
NSString *body = [NSString stringWithFormat:@"username=%@&password=%@", self.userName.text, pwd];
request.HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];
//4.建立连接. (data即为取到的数据, 和get一样)
[NSURLConnection sendAsynchronousRequest:request queue:[[NSOperationQueue alloc] init] completionHandler: ^(NSURLResponse *response, NSData *data, NSError *connectionError) {
NSString *str = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];
NSLog(@"%@, %@", [NSThread currentThread], str);
//更新显示需要在主线程中
[[NSOperationQueue mainQueue] addOperationWithBlock: ^{
self.label.text = str;
NSLog(@"%@, %@", [NSThread currentThread], str);
}];
}];
}
二、更加高级的方法
用公钥和私钥的概念。
一个公钥(都知道),一个私钥(只有服务器自己知道).密码要动态变化才行.
*用户:用token+时间进行加密,传送给服务器
*服务器: 取出用户密码(存储时用私钥加过密),用时间+公钥等与客户端发送的密码进行比较.(服务器还要检查发送密码的时间差,1分钟以内)
详细见注释:摘自老刘。
[objc] view
plain copy
- (IBAction)login:(id)sender
{
NSString *pwd = self.pwdText.text;
// 进行MD5加密
pwd = [pwd stringByAppendingString:token];
// 每次都是一样的!例如:黑客拦截了路由器中的数据
// 就能够获得到加密后的密码!
pwd = [pwd md5String];
// 在服务器后台,保存的是用私有密钥加盐处理的MD5密码串
pwd = [NSString stringWithFormat:@"%@%@%@", pwd, publicKey, @"2014062914:14:30"];
// 利用日期,可以保证加密生成的字符串不一样
pwd = [pwd md5String];
// 提交给服务器的内容:新的密码,生成密码的事件、
/**
服务器的处理:
1. 从服务器取出用户的密码(是用私有密钥加密的)
2. 服务器知道共有密钥,根据给定的时间(动态生成新的密码),与客户端提交的密码进行比较
3. 服务器同时需要检查提交密码的事件差值,跟客户端提交的日期偏差在1分钟之内。
*/
NSLog(@"%@", pwd);
[self postLogonWithUserName:self.userNameText.text password:pwd];
}
#pragma mark - POST登录
- (void)postLogonWithUserName:(NSString *)userName password:(NSString *)password
{
// 1. url
NSString *urlStr = @"http://192.168.25.2/login.php";
NSURL *url = [NSURL URLWithString:urlStr];
// 2. request,POST方法,需要建立一个可变的请求
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url];
// 1> POST 方法,所有涉及用户隐私的数据传递,都需要用POST方式提交!
request.HTTPMethod = @"POST";
// 2> 数据体
NSString *bodyStr = [NSString stringWithFormat:@"username=%@&password=%@", userName, password];
// 将字符串转换成二进制数据
request.HTTPBody = [bodyStr dataUsingEncoding:NSUTF8StringEncoding];
// 3. 发送“异步”请求,在其他线程工作,不阻塞当前线程程序执行
[NSURLConnection sendAsynchronousRequest:request queue:[[NSOperationQueue alloc] init] completionHandler:^(NSURLResponse *response, NSData *data, NSError *connectionError) {
// 1> JSON,格式是和NSDictionary的快速包装格式非常
// 将JSON转换成字典 Serialization
NSDictionary *dict = [NSJSONSerialization JSONObjectWithData:data options:1 error:NULL];
CZUserInfo *userInfo = [CZUserInfo userInfoWithDict:dict];
NSLog(@"%@ %@", userInfo.userId, userInfo.userName);
}];
NSLog(@"=======");
}
1.说明
在开发应用的时候,数据的安全性至关重要,而仅仅用POST请求提交用户的隐私数据,还是不能完全解决安全问题。
如:可以利用软件(比如Charles)设置代理服务器,拦截查看手机的请求数据
“青花瓷”软件
因此:提交用户的隐私数据时,一定不要明文提交,要加密处理后再提交
2.常见的加密算法
MD5 \ SHA \ DES \ 3DES \ RC2和RC4 \ RSA \ IDEA \ DSA \ AES
3.加密算法的选择
一般公司都会有一套自己的加密方案,按照公司接口文档的规定去加密
二、MD5
1.简单说明
MD5:全称是Message Digest Algorithm 5,译为“消息摘要算法第5版”
效果:对输入信息生成唯一的128位散列值(32个字符)
2.MD5的特点
(1)输入两个不同的明文不会得到相同的输出值
(2)根据输出值,不能得到原始的明文,即其过程不可逆
3.MD5的应用
由于MD5加密算法具有较好的安全性,而且免费,因此该加密算法被广泛使用
主要运用在数字签名、文件完整性验证以及口令加密等方面
4.MD5破解
MD5解密网站:http://www.cmd5.com
5.MD5改进
现在的MD5已不再是绝对安全,对此,可以对MD5稍作改进,以增加解密的难度
加盐(Salt):在明文的固定位置插入随机串,然后再进行MD5
先加密,后乱序:先对明文进行MD5,然后对加密得到的MD5串的字符进行乱序
总之宗旨就是:黑客就算攻破了数据库,也无法解密出正确的明文
代码示例:
(1)直接使用MD5加密(去MD5解密网站即可破解)
(2)使用加盐(通过MD5解密之后,很容易发现规律)
(3)多次MD5加密(使用MD5解密之后,发现还是密文,那就接着MD5解密)
(4)先加密,后乱序(破解难度增加)
三、注册和验证的数据处理过程
1.提交隐私数据的安全过程 – 注册
2.提交隐私数据的安全过程 – 登录
MD5算法在国内用的很多.
MD5算法的特点:
*同样的数据加密结果是一样的.(32个字符)
*不可逆的.(不能逆向解密)
*可用于文件校验/指纹识别.
MD5算法是公开的,iOS中已经包装好了MD5算法。
可以将其写成字符串的分类:
[objc] view
plain copy
- (NSString *)md5String
{
const charchar *string = self.UTF8String;
int length = (int)strlen(string);
unsigned char bytes[CC_MD5_DIGEST_LENGTH];
CC_MD5(string, length, bytes);
return [self stringFromBytes:bytes length:CC_MD5_DIGEST_LENGTH];
}
在iOS程序中对用户的登录数据进行加密存储非常重要。做到,即使数据被劫持,也无法还原出原始数据的地步。
一、普通MD5加密
太简单的MD5加密很容易被破解。一般在进行MD5加密时会使用“加佐料”的方法。
简单的MD5可到这个网站进行破解:www.cmd5.com
下面是进行MD5加密的方法: 其中token即为加的字符串,可以为任意长度的奇形怪状字符串。
[objc] view
plain copy
- (IBAction)login:(UIButton *)sender {
[self postLogin];
}
/**提交用户数据的时候用post相对安全. 同时将用户数据转换成模型最好*/
- (void)postLogin {
//1.URL
NSString *urlStr = [NSString stringWithFormat:@"http://localhost/login.php"];
NSURL *url = [NSURL URLWithString:urlStr];
//2.建立 Mutablerequest
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url];
//3.设置
request.HTTPMethod = @"POST";
//请求体可在firebug中找
NSString *pwd = self.userPwd.text;
//先加盐, 用MD5加密. (服务器简单存储加盐与加密保存过的就行了). 现实中的情况有公钥/私钥, 服务器并不是简单存储密码.
pwd = [pwd stringByAppendingString:token];
pwd = [pwd md5String];
NSLog(@"%@", pwd);
NSString *body = [NSString stringWithFormat:@"username=%@&password=%@", self.userName.text, pwd];
request.HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];
//4.建立连接. (data即为取到的数据, 和get一样)
[NSURLConnection sendAsynchronousRequest:request queue:[[NSOperationQueue alloc] init] completionHandler: ^(NSURLResponse *response, NSData *data, NSError *connectionError) {
NSString *str = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];
NSLog(@"%@, %@", [NSThread currentThread], str);
//更新显示需要在主线程中
[[NSOperationQueue mainQueue] addOperationWithBlock: ^{
self.label.text = str;
NSLog(@"%@, %@", [NSThread currentThread], str);
}];
}];
}
二、更加高级的方法
用公钥和私钥的概念。
一个公钥(都知道),一个私钥(只有服务器自己知道).密码要动态变化才行.
*用户:用token+时间进行加密,传送给服务器
*服务器: 取出用户密码(存储时用私钥加过密),用时间+公钥等与客户端发送的密码进行比较.(服务器还要检查发送密码的时间差,1分钟以内)
详细见注释:摘自老刘。
[objc] view
plain copy
- (IBAction)login:(id)sender
{
NSString *pwd = self.pwdText.text;
// 进行MD5加密
pwd = [pwd stringByAppendingString:token];
// 每次都是一样的!例如:黑客拦截了路由器中的数据
// 就能够获得到加密后的密码!
pwd = [pwd md5String];
// 在服务器后台,保存的是用私有密钥加盐处理的MD5密码串
pwd = [NSString stringWithFormat:@"%@%@%@", pwd, publicKey, @"2014062914:14:30"];
// 利用日期,可以保证加密生成的字符串不一样
pwd = [pwd md5String];
// 提交给服务器的内容:新的密码,生成密码的事件、
/**
服务器的处理:
1. 从服务器取出用户的密码(是用私有密钥加密的)
2. 服务器知道共有密钥,根据给定的时间(动态生成新的密码),与客户端提交的密码进行比较
3. 服务器同时需要检查提交密码的事件差值,跟客户端提交的日期偏差在1分钟之内。
*/
NSLog(@"%@", pwd);
[self postLogonWithUserName:self.userNameText.text password:pwd];
}
#pragma mark - POST登录
- (void)postLogonWithUserName:(NSString *)userName password:(NSString *)password
{
// 1. url
NSString *urlStr = @"http://192.168.25.2/login.php";
NSURL *url = [NSURL URLWithString:urlStr];
// 2. request,POST方法,需要建立一个可变的请求
NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url];
// 1> POST 方法,所有涉及用户隐私的数据传递,都需要用POST方式提交!
request.HTTPMethod = @"POST";
// 2> 数据体
NSString *bodyStr = [NSString stringWithFormat:@"username=%@&password=%@", userName, password];
// 将字符串转换成二进制数据
request.HTTPBody = [bodyStr dataUsingEncoding:NSUTF8StringEncoding];
// 3. 发送“异步”请求,在其他线程工作,不阻塞当前线程程序执行
[NSURLConnection sendAsynchronousRequest:request queue:[[NSOperationQueue alloc] init] completionHandler:^(NSURLResponse *response, NSData *data, NSError *connectionError) {
// 1> JSON,格式是和NSDictionary的快速包装格式非常
// 将JSON转换成字典 Serialization
NSDictionary *dict = [NSJSONSerialization JSONObjectWithData:data options:1 error:NULL];
CZUserInfo *userInfo = [CZUserInfo userInfoWithDict:dict];
NSLog(@"%@ %@", userInfo.userId, userInfo.userName);
}];
NSLog(@"=======");
}
1.说明
在开发应用的时候,数据的安全性至关重要,而仅仅用POST请求提交用户的隐私数据,还是不能完全解决安全问题。
如:可以利用软件(比如Charles)设置代理服务器,拦截查看手机的请求数据
“青花瓷”软件
因此:提交用户的隐私数据时,一定不要明文提交,要加密处理后再提交
2.常见的加密算法
MD5 \ SHA \ DES \ 3DES \ RC2和RC4 \ RSA \ IDEA \ DSA \ AES
3.加密算法的选择
一般公司都会有一套自己的加密方案,按照公司接口文档的规定去加密
二、MD5
1.简单说明
MD5:全称是Message Digest Algorithm 5,译为“消息摘要算法第5版”
效果:对输入信息生成唯一的128位散列值(32个字符)
2.MD5的特点
(1)输入两个不同的明文不会得到相同的输出值
(2)根据输出值,不能得到原始的明文,即其过程不可逆
3.MD5的应用
由于MD5加密算法具有较好的安全性,而且免费,因此该加密算法被广泛使用
主要运用在数字签名、文件完整性验证以及口令加密等方面
4.MD5破解
MD5解密网站:http://www.cmd5.com
5.MD5改进
现在的MD5已不再是绝对安全,对此,可以对MD5稍作改进,以增加解密的难度
加盐(Salt):在明文的固定位置插入随机串,然后再进行MD5
先加密,后乱序:先对明文进行MD5,然后对加密得到的MD5串的字符进行乱序
总之宗旨就是:黑客就算攻破了数据库,也无法解密出正确的明文
代码示例:
1 #import "HMViewController.h" 2 #import "NSString+Hash.h" 3 4 #define Salt @"fsdhjkfhjksdhjkfjhkd546783765" 5 6 @interface HMViewController () 7 8 @end 9 10 @implementation HMViewController 11 12 - (void)viewDidLoad 13 { 14 [super viewDidLoad]; 15 16 [self digest:@"123"]; // 17 [self digest:@"abc"]; 18 [self digest:@"456"]; 19 } 20 21 /** 22 * 直接用MD5加密 23 */ 24 - (NSString *)digest:(NSString *)str 25 { 26 NSString *anwen = [str md5String]; 27 NSLog(@"%@ - %@", str, anwen); 28 return anwen; 29 } 30 31 /** 32 * 加盐 33 */ 34 - (NSString *)digest2:(NSString *)str 35 { 36 str = [str stringByAppendingString:Salt]; 37 38 NSString *anwen = [str md5String]; 39 NSLog(@"%@ - %@", str, anwen); 40 return anwen; 41 } 42 43 /** 44 * 多次MD5 45 */ 46 - (NSString *)digest3:(NSString *)str 47 { 48 NSString *anwen = [str md5String]; 49 50 anwen = [anwen md5String]; 51 52 NSLog(@"%@ - %@", str, anwen); 53 return anwen; 54 } 55 56 /** 57 * 先加密, 后乱序 58 */ 59 - (NSString *)digest4:(NSString *)str 60 { 61 NSString *anwen = [str md5String]; 62 63 // 注册: 123 ---- 2CB962AC59075B964B07152D234B7020 64 65 // 登录: 123 --- 202CB962AC59075B964B07152D234B70 66 67 NSString *header = [anwen substringToIndex:2]; 68 NSString *footer = [anwen substringFromIndex:2]; 69 anwen = [footer stringByAppendingString:header]; 70 71 NSLog(@"%@ - %@", str, anwen); 72 return anwen; 73 } 74 @end
(1)直接使用MD5加密(去MD5解密网站即可破解)
(2)使用加盐(通过MD5解密之后,很容易发现规律)
(3)多次MD5加密(使用MD5解密之后,发现还是密文,那就接着MD5解密)
(4)先加密,后乱序(破解难度增加)
三、注册和验证的数据处理过程
1.提交隐私数据的安全过程 – 注册
2.提交隐私数据的安全过程 – 登录
相关文章推荐
- HTTP协议详解
- Windows在dos命令添加静态路由
- 对于TCP沾包解包的困惑找的资料
- HttpServletRequest 转换成MultipartHttpServletRequest
- Java-NIO-系列教程 [http://download.csdn.net/download/shenhonglei1234/9531642]
- TCP/IP
- Volley简单封装--笔记
- 解决方法:android 6.0(api 23) SDK,不再提供org.apache.http.*(只保留几个类)
- 域名更换为https遇到的问题
- 外部程序调用跨数据库的语句时:该事务管理器已经禁止了它对远程/网络事务的支持
- httpd 中常见的状态码
- Linux服务器上监控网络带宽的18个常用命令
- Linux服务器上监控网络带宽的18个常用命令
- TCP协议三次握手连接四次握手断开和DOS攻击
- BP神经网络
- Java+MySQL实现网络爬虫程序
- 网易视频云:HTTP Slow Attack 科普和 Apache DOS 漏洞的修复
- 「理解HTTP」之常见的状态码
- tomcat部署https,用openssl签发证书
- http请求的cookie