数据安全

一.Base64编码

1.概念

Base64编码是一种对二进制数据编码的方式，可以把源数据(文本，图片，视频音频等数据)编码成64个字符表示的文本数据。

2.iOS实现

先看看ios中对数据进行Base64编码解码

    //对字符串"A"Base64编码
    NSData * bdata=[@"A" dataUsingEncoding:NSUTF8StringEncoding];
    NSString *base64data=[bdata base64EncodedStringWithOptions:kNilOptions];
    
    NSLog(@"%@",base64data);//输入结果:QQ==
    //对字符串"A"Base64解码
    NSData * adata=[[NSData alloc]initWithBase64EncodedString:base64data options:kNilOptions];
    NSString * restr=[[NSString alloc]initWithData:adata encoding:NSUTF8StringEncoding];
    NSLog(@"%@",restr);//输入结果:A

3.原理

这64个字符包括字母A-Z、a-z、数字0-9 、+/

1529487684246.jpg

编码的方式简单说就是把源数据的二进制(一个字符8位)变成6位一组，然后对应到编码表相应字符，不够的用0补齐，至少使用6*4=24位4组，如果该组全是空，则对应"="。
所以编码之后的数据大概是源数据8/6倍。
举例说明：
Man---Base64编码--->TWFu
A---Base64编码--->QQ==
BC---Base64编码--->QkM=

WX20180620-174559.png

二.散列函数(Hash算法)

1.特点

属于不可逆加密算法，速度快，效率高
对源文件进行加密，无论源文件大小，加密结果定长
源文相同，密文相同；源文不同，密文不同
具体常见方式：MD5, SHA1, SHA256, SHA512

2.应用

找回密码不是真正找回密码，而是重置密码；
比较两个大文件数据是否一致，可以比较Hash算法之后的散列结果；
文件传输时，防止过程被篡改，可以打一个Hash算法之后的结果，然后拿到之后再进行Hash算法比较。

3.MD5加密方式

1.密码直接MD5加密
特点：可以直接被暴力破解
2.(密码+盐)MD5加密
特点：多组数据比较可能得到盐，而且没有拓展性
3.(密码乱序)MD5加密
特点：相对安全，但没有拓展性
4.密码MD5加密再截取部分
特点：相对安全，但没有拓展性
5.密码MD5+HMAC
特点：两次加密

三.对称加密

1.概念

加密解密使用同样的密钥

2.经典算法

DES 1个密钥
3DES 3个密钥 (密钥1+加密 密钥2+解密 密钥3+加密)
AES 高级加密标准

3.原理

分组加密和流加密，DES,3DES,AES都使用分组加密方式。
分组加密：ECB和CBC方式
ECB(电子密码本)：加密时，把源数据进行分组加密，然后拼接在一起；解密时，把加密数据进行分组解密，然后拼接在一起；相同的源数据进行加密结果都一样，如果源数据中间出现一段修改，那么加密也是中间一部分数据不同。
CBC：同样是分组加密解密，但是下一个分组加密依赖于上一个分组数据；如果源数据中间出现一段修改，那么加密结果从这部分开始都不一样。
流加密

4.缺陷

传输过程中密钥可能被截取；如果写到本地又不够灵活。

四.非对称加密

1.概念

加密解密使用不同的密钥，加密用公钥，解密用私钥。安全但是性能差

2.经典算法

RSA

3.原理

服务器端生成私钥，然后通过私钥生成对应的公钥，把公钥发送给客户端，客户端用该公钥加密数据，然后服务器用私钥解密数据。(之所以能用不同密钥加密解密是数学问题，暂不探讨)
其中有一个安全隐患是，公钥在传输过程中可能被中间黑客捕获，然后仿造公钥和私钥，把仿造的公钥发送给客户端，客户端并不知道，那么用仿造的公钥发出数据，再被中间黑客捕获，用仿造的私钥就可以破解客户端信息。
所以由此而生的就是证书，而不单纯是字符串公钥私钥。
证书=公钥+数字签名，能够保证客户端拿到的公钥是服务器端的证书，而不是篡改的证书。
数字签名可以是CA颁布的(付费)，当然也可以是自己签名的(某宝可买)，区别就在于CA被国际承认，但是自己签名的并不代表不安全(浏览器认为你不安全而已)。

https://github.com/mddios/EncryptionTools

五.HTTPS

1.HTTPS原理

类似于非对称加密的方式；
简单说就是客户端向服务器发送请求，服务器会给客户端一个证书，客户端检验证书合法性，如果合法，则从证书中提取出公钥进行数据加密，然后服务器用私钥进行解密，完成通讯。
具体可参考：
https://www.jianshu.com/p/33feb2fadb15

2.iOS中使用HTTPS注意事项

如果HTTPS证书受信任(权威机构eg:CA颁发)，则不用做任何处理。

如果HTTPS证书不受信任(自签名)，则需要做一些处理。
首先info.plist修改配置信息

WX20180621-164132.png

其次如果是AFN，做安全配置

    //允许无效证书+不做域名验证
    manager.securityPolicy.allowInvalidCertificates=YES;
    manager.securityPolicy.validatesDomainName=NO;

如果是NSURLSession，实现NSURLSessionDelegate代理didReceiveChallenge

-(void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential * _Nullable))completionHandler
{
    /*
     NSURLSessionAuthChallengeUseCredential = 0,  使用证书
     NSURLSessionAuthChallengePerformDefaultHandling = 1, 忽略证书
     NSURLSessionAuthChallengeCancelAuthenticationChallenge = 2, 取消请求
     NSURLSessionAuthChallengeRejectProtectionSpace = 3, 拒绝证书
     */
    NSURLCredential * credential=[[NSURLCredential alloc]initWithTrust:challenge.protectionSpace.serverTrust];
    completionHandler(NSURLSessionAuthChallengeUseCredential,credential);
}