即时消息加密方案探讨1 .背景:互联网开发透明,每个人都有可能对你的产品进行解密研究,因此需要良好的软件安全意识。
2 .安全问题分析: 2.1客户端:客户端反编译源代码。 常见的是:安卓apk反编译,获取加密算法和密钥进行解密。 同样使用JavaScript技术也使用跨平台的移动开发框架等。 开发者不注意的话容易被解读。 2.2关于网络传输:一般情况下,API在网络上通过http/https协议传输,被黑客截获,可能修改数据包内容,伪造通信数据获取重要信息。 如果手机连接了非法、免费的wifi,则可能会安装嗅包软件,进行中间人攻击。 以下是https中间人攻击的一例
3 .应对方法3.1客户端:一些客户端无法避免反向编译。 使用常见的anroid和javascript技术(如:reactnative和uniapp )在跨平台上开发的框架。 在这种方案中,最好将加/解密算法、密钥放在朴素程序或动态库中,增加混淆,增加解密难度。
3.2网络传输方面:不使用http等明文通信手段,使用https; 根据自己的业务场景使用适当的加密手段。 一般有对称加密(3DES )和非对称加密(3.2.1对称加密)。 假设客户端无法解密,使用对称加密可以避免中间人攻击。 该手段用于各中号厂家产品:
#例客户端对称加密(3DES )路由器)密文发送)服务器)3DES解密)3.2.2非对称加密RSA数字签名:
参考某个支付平台(可修改),传输参数可以在使用中使用RSA非对称加密传输,MD5 )传输参数盐,以在通信中加密以防止中间人篡改。 考虑到调试的简单性,一个支付平台可能没有加密消息。
3 .总结:采用加密会在一定程度上加大研发投入和维护成本。 具体需要与否取决于业务需求。 e聊天SDK提供即时消息加密方案的设计,我对研究很感兴趣。