Page 29 - 嘉和资讯八十九期

P. 29

质量专栏
密，应使用 Rijndael （256 位密不能再产生其他的密钥；一个密钥被

钥）算法。要对将暂时存储的数据加破解，并不影响其他密钥的安全性。

密，可以考虑使用较快但较弱的算 □ APP 客户端安全认证与鉴

法，如 DES。对于数字签名，应使
用 RSA 或 DSA 算法。对于哈希，权机制

应使用 SHA1.0 算法。对于用户键入（1）APP 客户端应用程序应对

的哈希，应使用基于哈希的消息验证密钥 / 密码采取安全的存储保护方式

代码（HMAC）SHA1.0 算法。使用（推荐哈希算法：SHA-512，加密算

sharedpreference/file/sqlite 对用法：RSA-2048、AES-256）；

户私密数据进行加密操作，对文件设

置访问权限。（2）APP 客户端应用程序应根
据 APP 重要程度不同采用适宜的安

□ APP 客户端数据安全传输全认证方式（如“密码 + 验证码”、“密

APP 客户端应用程序传输敏感信码 + 动态密码”、“密码 + 令牌”、

息过程中应采用 SSL/TLS 数据加密传 “密码 + 证书”等）；

输方式（推荐密钥长度为：2048 位），普通 APP 安全认证与鉴权要求如
并在客户端对 SSL 证书合法性进行校下：

验。具体数据安全传输要求如下：
密码强度要求：对用户设置密码
（1）全流程使用 HTTPS 传输，进行检测，输入至少 6 位字符，其中

且是强制使用；要包含大写字母、小写字母、数字和

（2）敏感信息传输过程中应采用特殊字符中的至少两种。
SSL/TLS 数据加密传输方式（推荐密账号密码传输要求：客户端向服

钥长度为：2048 位）；务器第一次发起登录请求（不传输

（3）证书锁定（Certificate 用户名和密码）。服务器利用 RSA\

Pinning），在客户端对 SSL 证书合 AES 算法产生一对公钥和私钥。并

法性进行校验；保留私钥，将公钥发送给客户端。客

户端收到公钥后，加密用户密码，向
（4）完全正向保密（perfect 服务器发送用户名和加密后的用户密

forward secrecy）一个密钥只能访码；同时另外产生一对公钥和私钥，

问由它所保护的数据；
自己保留私钥 , 向服务器发送公钥；

用来产生密钥的元素一次一换，在第二次登录请求时传输用户名和加

24 25 26 27 28 29 30 31 32 33 34