密码的安全原则:

1> 本地和服务器都不允许保存用户的密码明文.

1> 在网络上,不允许传输用户的密码明文.

2> <4> 数据加密算法:

1>对称加密：

 1.加密、解密使用相同的密钥和算法。

 2.最快速简单的加密方式。

 3.算法公开。

 4.通常使用小于256bit的密钥。密钥越大安全性越强，但加密和解密的过程越慢。适合大数据加密。常用的有AES、DES、IDEA。

2> 非对称加密算法:

 1.加密、解密使用相同的密钥和算法。

 2.最快速简单的加密方式。

3.算法公开。

4.通常使用小于256bit的密钥。密钥越大安全性越强，但加密和解密

 加密综合方案：解决的办法是将对称加密的密钥使用非对称加密的公钥进行加密，然后发送出去，接收方使用私钥进行解密得到对称加密的密钥，然后双方可以使用对称加密来进行沟通。

   openssl :是一个强大的安全套接字层密码库,囊括主要的密码算法,常用的密钥和证书封装管理功能以及 SSL (Secure socket Laye)协议.提供丰富的应用程序测试功能 

 终端命令:

 echo hello |openssl md5

 echo hello |openssl sha1

 echo hello |openssl sha -sha256

 echo hello |openssl sha -sha512

}

/*--------------------------- 04 信息安全加-----------------------------*/

了解:常用加密方法:1> base64 2> MD5 3> MD5加盐 4> HMAC 5> 时间戳密码(用户密码动态变化)

{

   1> base64

 {

       base64 编码是现代密码学的基础 

       原本是8个bit 一组表示数据,改为 6个bit一组表示数据,不足的部分补零,每两个0 用 一个 = 表示.

       用base64 编码之后,数据长度会变大,增加了大约 1/3 左右.

       base64 基本能够达到安全要求,但是,base64能够逆运算,非常不安全!

       base64 编码有个非常显著的特点,末尾有个 '=' 号.

       利用终端命令进行base64运算:

           // 将文件 meinv.jpg 进行 base64运算之后存储为 meinv.txt

           base64 meinv.jpg -o meinv.txt

           // 讲meinv.txt 解码生成 meinv.png

           base64 -D meinv.txt -o meinv.png

           // 将字符串 "hello" 进行 base 64 编码 结果:aGVsbG8=

           echo "hello" | base64

           // 将 base64编码之后的结果 aGVsbG8= 反编码为字符串

           echo aGVsbG8= | base64 -D

 }

   2>MD5 -- (信息-摘要算法) 哈希算法之一.

 {

       把一个任意长度的字节串变换成一定长度的十六进制的大整数.注意,字符串的转换过程是不可逆的.

       用于确保'信息传输'完整一致.

       MD5特点:

       *1.压缩性: 任意长度的数据,算出的 MD5 值长度都是固定的.

       *2.容易计算: 从原数据计算出 MD5 值很容易.

       *3.抗修改性: 对原数据进行任何改动,哪怕只修改一个字节,所得到的MD5 值都有很大区别.

       *4.弱抗碰撞: 已知原数据和其 MD5 值,想找到一个具有相同 MD5 值的数据(即伪造数据)是非常困难的.

       *5.强抗碰撞: 想找到两个不同数据,使他们具有相同的 MD5 值,是非常困难的. 

       MD5 应用:

       *1. 一致性验证: MD5 将整个文件当做一个大文本信息,通过不可逆的字符串变换算法,产生一个唯一的 MD5 信息摘要.就像每个人都有自己独一无二的指纹,MD5 对任何文件产生一个独一无二的"数字指纹".

           利用 MD5 来进行文件校验, 被大量应用在软件下载站,论坛数据库,系统文件安全等方面. 

       *2. 数字签名;

       *3. 安全访问认证 

 }

   3> MD5加盐

 {

       MD5 本身是不可逆运算,但是,目前网络上有很多数据库支持反查询.

       MD5加盐 就是在密码哈希过程中添加的额外的随机值.

       注意:加盐要足够长,足够复杂.

 }

 4> HMAC(Message Authentication Code，消息认证码算法)

 {

       HMAC利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出.

       HMAC 主要使用在身份认证中;

       认证流程:

          *1. 客户端向服务器发送一个请求.

 *2. 服务器接收到请求后,生成一个'随机数'并通过网络传输给客户端.

 *3. 客户端将接收到的'随机数'和'密钥'进行 HMAC-MD5 运算,将得到的结构作为认证数据传递给服务器.

           (实际是将随机数提供给 ePass,密钥也是存储在ePass中的)

           *4. 与此同时,服务器也使用该'随机数'与存储在服务器数据库中的该客户'密钥'进行 HMAC-MD5 运算,如果

 服务器的运算结果与客户端传回的认证数据相同,则认为客户端是一个合法用法. 

 }

   5> 时间戳密码(用户密码动态变化)

 {

       相同的密码明文 + 相同的加密算法===》 每次计算都得出不同的结果.可以充分保证密码的安全性.

       原理:将当前时间加入到密码中;

 因为每次登陆时间都不同,所以每次计算出的结果也都不相同.

 服务器也需要采用相同的算法.这就需要服务器和客户端时间一致.

       注意:服务器端时间和客户端时间,可以有一分钟的误差(比如:第59S发送的网络请求,一秒钟后服务器收到并作出响应,这时服务器当前时间比客户端发送时间晚一分钟) 

       这就意味着,服务器需要计算两次（当前时间和一分钟之前两个时间点各计算一次）.只要有一个结果是正确的,就可以验证成功

 }

   // IP辅助/手机绑定..

}

/*-------------------------------------- 05 钥匙串访问-------------------------------------*/

重点: 1.钥匙串访问

{

 苹果在 iOS 7.0.3 版本以后公布钥匙串访问的SDK. 钥匙串访问接口是纯C语言的.

 钥匙串使用 AES 256加密算法,能够保证用户密码的安全. 

 钥匙串访问的第三方框架(SSKeychain),是对 C语言框架 的封装.注意:不需要看源码.

 钥匙串访问的密码保存在哪里?只有苹果才知道.这样进一步保障了用户的密码安全.

 使用步骤:

 {

       // 获取应用程序唯一标识.

 NSString *bundleId = [NSBundle mainBundle].bundleIdentifier

       // 1.利用第三方框架,将用户密码保存在钥匙串

 [SSKeychain setPassword:self.pwdText.text forService:bundleId account:self.usernameText.text];

        "注意"三个参数:

           1.密码:可以直接使用明文.钥匙串访问本身是使用 AES 256加密,就是安全的.所以使用的时候,直接传递密码明文就可以了.

       2.服务名:可以随便乱写,建议唯一! 建议使用 bundleId

       bundleId是应用程序的唯一标识,每一个上架的应用程序都有一个唯一的 bundleId

       3.账户名:直接用用户名称就可以. 

       // 2.从钥匙串加载密码 

 self.pwdText.text = [SSKeychain passwordForService:bundleId account:self.usernameText.text];

 }

}

HMAC_SHA1是一种安全的基于加密hash函数和共享密钥的消息认证协议。它可以有效地防止数据在传输过程中被截获和篡改，维护数据的完整性、可靠性和安全性。HMAC_SHA1消息认证机制的成功在于一个加密的hash函数、一个加密的随机密钥和一个安全的密钥交换机制。

1.在原始URL 里加入一个名称为 e 的时间戳参数，避免缓存而得到旧的数据；

2.分解请求的URL，从中取出path 部分和 query_string 部分；

3.将query_string 中的参数按名称排序，然后按顺序用 = 和 & 连接成新的 query_string ；

4 用字符串拼接的方式组装 path 和 query_string，两者之间以 ? 连接成新的 URL； 

5.用HMAC_SHA1算法生成摘要 digest ，其中第一个参数 SECRET_KEY 为私钥，第二个参数是已拼接的字符串 URL；

6.对digest 进行base64编码； 

7 对base64编码后的 digest进行URL安全处理，即将其中的 / 替换为 _，将 + 替换为 -；

8 用 ACCESS_KEY 明文与编码后的 digest 进行拼接，中间使用冒号 : 连接，得到最终的的 access_token；

(1)在原始URL里面加入时间戳参数，请求url,取出path和query_string

(2)将query_string中的参数按名称排序，然后连接成新的query_string

     (3)拼接path和query_string，生成新的url

 (4）用HMAC_SHA1算法生成摘要

（5）对摘要进行base64

（6）对base64后的url进行安全处理

（7）用ACCESS_KEY 明文与编码后的摘要进行拼接，得到access_token值

λ ACCESS_KEY和SECRET_KEY的值

ACCESS_KEY = "D39690AAB8AF914630E99150C2891F55B3BFBDA3"

SECRET_KEY = "99197B09707944D9E8C458CF707E19A1BB05FDB8"

λ 原始URL

http://111.4.115.170:9011/api?method=study-list

λ 加入时间戳参数后

http://111.4.115.170:9011/api?method=study-list&e=1421317725

λ 参数排序后

http://localhost:9000/api?cardNo=2013110000000001&e=1411117759&method=query-card

λ HMAC_SHA1签名（摘要→base64编码→URL安全处理）

D39690AAB8AF914630E99150C2891F55B3BFBDA3:kNHMOygciCLd_6ZaQxjOHf-dhj4=

λ 最终拼接完成的URL

http://111.4.115.170:9011/api?method=study-list&e=1421317725&token=D39690AAB8AF914630E99150C2891F55B3BFBDA3:kNHMOygciCLd_6ZaQxjOHf-dhj4=