通讯安全

1、前言

信息通信(包括浏览网站和IM即时消息等),是构建互联网通讯的地基,安全性一直是开发者所需要考虑的问题,然而一款成功的应用到底要加密什么东西、怎么加密等都是需要在性能、体验和真正的安全性上做好权衡和规划。

2、零级通信安全:信息裸传


正如上图所示,很多即时通讯的初级开发者都很少注意到需要为他们的IM或推送服务进行通信加密——直接使用明文在socket中进行收发。
此阶段的通信安全特点:
主要特点:在网络上传递明文;
安全评估:网络上传递的数据是不安全的,属网络于黑客公共场所,能被截取;
导致后果:传递明文无异于不穿衣服裸奔;
改进方案:先加密,再在网络上传输。

3、初级通信安全:传输密文


此阶段的通信安全特点:
– 服务端和客户端先约定好加密算法,加密密钥;
– 客户端,传输前用约定好的密钥加密;
– 传输密文;
– 服务端,收到消息后用约定好的密钥解密。

此阶段的通信安全性总结如下:
安全评估:客户端的代码是不安全的,属于黑客本地范畴,能被逆向工程,任何客户端与服务端提前约定好的算法与密钥都是不安全的;
导致后果:任何客户端的代码混淆,二进制化都只能提高黑客的破解门槛,本质是不安全的;
改进方案: 不能固定密钥。

4、WIFI场景安全

4.1在WIFI场景下明文截获信息

不仅限于WIFI场景,例如家庭网络、手机网络、有线宽带也如此,前提是该网络以被黑客攻破
4.2在WIFI场景下密文截获信息

即使黑客获取到消息,也无法知道消息内容

发表评论

电子邮件地址不会被公开。 必填项已用*标注