本文轉載自：http://www.cnblogs.com/fengmin/p/5958967.html

任何應用的開發中安全都是重中之重，在信息交互異常活躍的現在，信息加密技術顯得尤為重要。在app應用開發中，我們需要對應用中的多項數據進行加密處理，從而來保證應用上線后的安全性，給用戶一個安全保障。這篇文章就介紹在iOS開發中最常用的數據加密方式。

文中證書鎖定內容部分參考了博客

http://blog.csdn.net/dd864140130/article/details/52625666。

iOS中數據加密的幾方式

1、使用數字證書鎖定來保證不被中間人攔截，將服務器返回的數據和我的當地證書進行對比，確保是從服務器返回回來的。證書有ca證書，也可以自己給自己簽發證書。像12306購票。

2、使用https協議請求網頁，post來請求網頁數據，保證用戶的賬號密碼不被被人獲取到。

3、使用蘋果自己的SSKeyChain鑰匙串，將用戶的賬號密碼保存在鑰匙串中。鑰匙串拱了錯誤處理，如果保存出錯，會在判斷后打印出出錯的信息。

4、最保險的加密算法是非對稱加密。非對稱加密公鑰加密私鑰解密。缺點是要耗費時間。

證書鎖定

當我們上網瀏覽網頁，從網上獲取數據的時候，我們知道，不管是http還是https協議，都是服務端被動，客戶端主動。所以，客戶端第一次發出請求之后，通常無法確定服務端是不是合法。就很可能就會出現以下情景，正常情況下，我們想要根據文章aid查看某篇文章內容，其流程如下：

但如果遭受黑客攻擊，流程就會這樣的：

此時惡意服務端完全可以發起雙向攻擊：對上可以欺騙服務端，對下可以欺騙客戶端，更嚴重的是客戶端段和服務端完全感知不到已經被攻擊了。這就是中間人攻擊。

關于中間人攻擊維基百科上有更深入的定義：

中間人攻擊（Man-in-the-middle attack，縮寫：MITM）是指攻擊者與通訊的兩端分別創建獨立的聯系，并交換其所收到的數據，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。在中間人攻擊中，攻擊者可以攔截通訊雙方的通話并插入新的內容。在許多情況下這是很簡單的（例如，在一個未加密的Wi-Fi無線接入點的接受范圍內的中間人攻擊者，可以將自己作為一個中間人插入這個網絡）。

一個中間人攻擊能成功的前提條件是攻擊者能將自己偽裝成每一個參與會話的終端，并且不被其他終端識破。中間人攻擊是一個（缺乏）相互認證的攻擊。大多數的加密協議都專門加入了一些特殊的認證方法以阻止中間人攻擊。例如，SSL協議可以驗證參與通訊的一方或雙方使用的證書是否是由權威的受信任的數字證書認證機構頒發，并且能執行雙向身份認證。

那么我們來看下證書鎖定是怎么樣提高安全性，避免中間人攻擊的，用一張簡單的流程圖來說明：

不難看出，通過證書鎖定能有有效的避免中間人攻擊。

證書鎖定的缺點

證書鎖定盡管帶了較高的安全性，但是這種安全性的提高卻犧牲了靈活性。一旦當證書發生變化時，我們的客戶端也必須隨之升級，除此之外，我們的服務端不得不為了兼容以前的客戶端而做出一些妥協或者說直接停用以前的客戶端，這對開發者和用戶來說并不是那么的友好。

但實際上，極少情況下我們才會變動證書。因此，如果產品安全性要求比較高還是啟動證書鎖定吧。

在iOS開發中，我們可以自己給自己簽發數字證書，就類似于12306購票網站。從而保證了數據的安全性。下面是生成證書的過程。

//生成1024位私鑰openssl genrsa -outprivate_key.pem1024//根據私鑰生成CSR文件 openssl req -new -key private_key.pem -out rsaCertReq.csr//根據私鑰和CSR文件生成crt文件 openssl x509 -req -days 3650 -in rsaCertReq.csr -signkey private_key.pem -out rsaCert.crt//為IOS端生成公鑰der文件 openssl x509 -outform der -in rsaCert.crt -out public_key.der//將私鑰導出為這p12文件 openssl pkcs12 -export -out private_key.p12 -inkey private_key.pem -in rsaCert.crt

使用post

下面是兩段post和get的代碼的對比。

//GET請求的URLhttp://localhost/php/login/login.php?username=zhangsan&password=zhang//POST請求的URLhttp://localhost/php/login/login.php

我們可以很清楚地看到使用GET方式發起請求的URL中包含了用戶的賬號和密碼信息。如果使用GET發起請求，如果有人使用Charles攔截我們的請求，就很容易地從我們發起請求的URL中獲取到我們的賬號信息。所以發起數據請求的時候避免使用GET，而使用POST。

SSKeyChain

SSKeyChain

使用蘋果自己的SSKeyChain鑰匙串，我們也能保證用戶的數據安全，我們將用戶的賬號信息保存到鑰匙串中能保證數據安全的原因是因為只有蘋果公司才知道鑰匙串保存在內存中的哪個位置。

使用SSKeyChain我們進行下面兩步驟操作：

1、在工程中加入Security.framework框架。

2、把SSKeychain.h和SSKeychain.m加到項目文件夾。

加入了需要的文件夾后，SSKeyChain的作者samsoffes在實例代碼中給出了使用SSKeyChain的方法。

我們通過下面方法來使用SSKeyChain。

//獲取所有賬號+ (NSArray *)allAccounts;//通過賬號名字獲取服務名+ (NSArray *)accountsForService:(NSString *)serviceName;//通過服務名和賬號獲取密碼+ (NSString *)passwordForService:(NSString*)serviceNameaccount:(NSString *)account;//通過服務名和賬號刪除密碼+ (BOOL)deletePasswordForService:(NSString*)serviceNameaccount:(NSString *)account;//通過服務名和賬號設置密碼+ (BOOL)setPassword:(NSString *)passwordforService:(NSString*)serviceName account:(NSString *)account;

下面是具體的使用方法，通過上面幾個方法，我們可以很方便地將用戶賬號保存到鑰匙串，或者從鑰匙串中取出來。

項目地址https://github.com/samsoffes/sskeychain

#import#import"SSKeychain.h"http://用變量接受服務名，賬號和密碼static NSString *kSSToolkitTestsServiceName = @"SSToolkitTestService";static NSString *kSSToolkitTestsAccountName = @"SSToolkitTestAccount";static NSString *kSSToolkitTestsPassword = @"SSToolkitTestPassword";@interface SSKeychainTests : SenTestCase//判斷鑰匙串所有賬號中是否包含一個指定的賬號- (BOOL)_accounts:(NSArray *)accounts containsAccountWithName:(NSString *)name;@end@implementation SSKeychainTests- (void)testAll {//Getting & Setings Passwords[SSKeychain setPassword:kSSToolkitTestsPassword forService:kSSToolkitTestsServiceName account:kSSToolkitTestsAccountName];NSString *password = [SSKeychain passwordForService:kSSToolkitTestsServiceName account:kSSToolkitTestsAccountName];STAssertEqualObjects(password, kSSToolkitTestsPassword,@"Password reads and writes");//Getting AccountsNSArray *accounts = [SSKeychain allAccounts];STAssertTrue([self _accounts:accounts containsAccountWithName:kSSToolkitTestsAccountName],@"All accounts");

accounts=[SSKeychain accountsForService:kSSToolkitTestsServiceName];

STAssertTrue([self _accounts:accounts containsAccountWithName:kSSToolkitTestsAccountName],@"Account for service");//Deleting Passwords[SSKeychain deletePasswordForService:kSSToolkitTestsServiceName account:kSSToolkitTestsAccountName];password=[SSKeychain passwordForService:kSSToolkitTestsServiceName account:kSSToolkitTestsAccountName];

STAssertNil(password,@"Password deletes");

}- (BOOL)_accounts:(NSArray *)accounts containsAccountWithName:(NSString *)name {for(NSDictionary *dictionaryinaccounts) {if([[dictionary objectForKey:@"acct"] isEqualToString:name]) {returnYES;

}

}returnNO;

}

上面的方法是用來保存用戶的賬號信息，將賬號信息保存到鑰匙串中，因為鑰匙串的不可見性，就已經足夠地保證了用戶的賬號信息安全。如果我們還想讓用戶的賬號信息得到更安全的保證，我們可以先將用戶信息進行MD5加密，然后加鹽。再將加密后的賬號信息保存到鑰匙串中。因為MD5編碼的不可逆性，就更進一步地保證了用戶信息的安全。

關于MD5加密我在我之前寫的一篇MD5加密的博客中有詳細的說明。

非對稱加密

剛才介紹方法是用來保證用戶信息的安全。在金融類app中，要保證財務數據的安全，就需要使用到更加安全的非對稱加密（維基百科上叫公開密鑰加密）。維基百科對于非對稱加密的定義是：一種密碼學算法類型，在這種密碼學方法中，需要一對密鑰，一個是私人密鑰，另一個則是公開密鑰。這兩個密鑰是數學相關，用某用戶密鑰加密后所得的信息，只能用該用戶的解密密鑰才能解密。如果知道了其中一個，并不能計算出另外一個。因此如果公開了一對密鑰中的一個，并不會危害到另外一個的秘密性質。稱公開的密鑰為公鑰；不公開的密鑰為私鑰。

使用公開加密方式中的公鑰和私鑰可以進行數字簽名,原理是這樣子的：用私鑰加密的信息，可以用公鑰對其解密，用于客戶驗證持有私鑰一方發布的數據或文件是完整準確的，接收者由此可知這條信息確實來自于擁有私鑰的某人，這被稱作數字簽名，公鑰的形式就是數字證書。例如，從網上下載的安裝程序，一般都帶有程序制作者的數字簽名，可以證明該程序的確是該作者（公司）發布的而不是第三方偽造的且未被篡改過（身份認證/驗證）。

常見的公鑰加密算法有：

RSA、ElGamal、背包算法、Rabin（RSA的特例）、迪菲－赫爾曼密鑰交換協議中的公鑰加密算法、橢圓曲線加密算法（英語：Elliptic Curve Cryptography, ECC）。使用最廣泛的是RSA算法（由發明者Rivest、Shmir和Adleman姓氏首字母縮寫而來）是著名的公開秘鑰加密算法。在這里我們也是使用RSA來進行公鑰加密。

通過下面的代碼，我們能夠自己生成一個數字證書。

//生成1024位私鑰 openssl genrsa -out private_key.pem 1024//根據私鑰生成CSR文件 openssl req -new -key private_key.pem -out rsaCertReq.csr//根據私鑰和CSR文件生成crt文件 openssl x509 -req -days 3650 -in rsaCertReq.csr -signkey private_key.pem -out rsaCert.crt//為IOS端生成公鑰der文件 openssl x509 -outform der -in rsaCert.crt -out public_key.der//將私鑰導出為這p12文件 openssl pkcs12 -export -out private_key.p12 -inkey private_key.pem -in rsaCert.crt

得到公鑰和私鑰后就可以將數據進行加密了。我們把一個字符串用RAS算法加密后查看加密后的字符串，再反編碼看到解密后的字符串，查看加密和解密的效果。

NSString *encryptString = [self rsaEncryptText:@"123456好哇好哇哈"];

NSLog(@"加密：123456好哇好哇哈：%@", encryptString); NSLog(@"解密結果為：%@", [self rsaDecryptWithText:encryptString]);

然后我們自己定義加密和解密的方法，等下我們就要使用加密和解密的方法來進行數據的加密和解密。

插入自定義加密和解密的方法。#import@interfaceHYBRSAEncrypt : NSObject//加密相關- (void)loadPublicKeyWithPath:(NSString *)derFilePath;- (void)loadPublicKeyWithData:(NSData *)derData;- (NSString *)rsaEncryptText:(NSString *)text;- (NSData *)rsaEncryptData:(NSData *)data;//解密相關- (void)loadPrivateKeyWithPath:(NSString *)p12FilePath password:(NSString *)p12Password;- (void)loadPrivateKeyWithData:(NSData *)p12Data password:(NSString *)p12Password;- (NSString *)rsaDecryptText:(NSString *)text;- (NSData *)rsaDecryptData:(NSData *)data;@end

加密過程中的思路是：

1、定義一個方法，把證書文件需要加密的數據傳入一個方法中，生成一個公鑰。

2、創建一個能夠將數據進行base64加密的方法。將需要加密的文本通過base加密，加密完成后再調用公鑰加密的方法對base加密后的數據進行二次加密。加密時是講二進制數據分段，切片后進行加密再拼接到二進制數據的變量中。

#import"HYBRSAEncrypt.h"@interfaceHYBRSAEncrypt () {

SecKeyRef _publicKey;

SecKeyRef _privateKey;

}@end@implementationHYBRSAEncrypt- (void)dealloc {if(nil !=_publicKey) {? ? CFRelease(_publicKey);

}if(nil !=_privateKey) {? ? CFRelease(_privateKey);

}

}#pragmamark - 加密相關//用本地證書加載公鑰- (void)loadPublicKeyWithPath:(NSString *)derFilePath {? NSData *derData = [[NSData alloc] initWithContentsOfFile:derFilePath];? if (derData.length > 0) {[self loadPublicKeyWithData:derData];

}else{? ? NSLog(@"load public key fail with path: %@", derFilePath);

}

}//加載公鑰方法- (void)loadPublicKeyWithData:(NSData *)derData {SecCertificateRef myCertificate =SecCertificateCreateWithData(kCFAllocatorDefault, (__bridge CFDataRef)derData);

SecPolicyRef myPolicy=SecPolicyCreateBasicX509();

SecTrustRef myTrust;

OSStatus status= SecTrustCreateWithCertificates(myCertificate,myPolicy,&myTrust);

SecTrustResultType trustResult;if(status ==noErr) {

status= SecTrustEvaluate(myTrust, &trustResult);

}

SecKeyRef securityKey=SecTrustCopyPublicKey(myTrust);? CFRelease(myCertificate);? CFRelease(myPolicy);? CFRelease(myTrust);

_publicKey=securityKey;

}//將文本內容加密- (NSString *)rsaEncryptText:(NSString *)text {? NSData *encryptedData = [self rsaEncryptData:[text hdf_toData]];? NSString *base64EncryptedString = [NSString hdf_base64StringFromData:encryptedDatalength:encryptedData.length];returnbase64EncryptedString;

}//分段再加密數據- (NSData *)rsaEncryptData:(NSData *)data {SecKeyRef key =_publicKey;

size_t cipherBufferSize=SecKeyGetBlockSize(key);

uint8_t*cipherBuffer = malloc(cipherBufferSize *sizeof(uint8_t));

size_t blockSize= cipherBufferSize -11;

size_t blockCount= (size_t)ceil([data length] / (double)blockSize);? NSMutableData *encryptedData = [[NSMutableData alloc] init] ;for(inti =0; i < blockCount; i++) {

size_t bufferSize= MIN(blockSize,[data length] - i * blockSize);? ? NSData *buffer = [data subdataWithRange:NSMakeRange(i *blockSize, bufferSize)];

OSStatus status=SecKeyEncrypt(key,

kSecPaddingPKCS1,

(constuint8_t *)[buffer bytes],

[buffer length],

cipherBuffer,&cipherBufferSize);if(status == noErr) {? ? ? NSData *encryptedBytes = [[NSData alloc] initWithBytes:(constvoid*)cipherBuffer

length:cipherBufferSize];

[encryptedData appendData:encryptedBytes];

}else{if(cipherBuffer) {

free(cipherBuffer);

}returnnil;

}

}if(cipherBuffer){

free(cipherBuffer);

}returnencryptedData;

}

然后我們可以通過私鑰解密。解密思路和加密過程相同。

#pragmamark - 解密相關- (void)loadPrivateKeyWithPath:(NSString *)p12FilePath password:(NSString *)p12Password {? NSData *data = [NSData dataWithContentsOfFile:p12FilePath];? if (data.length > 0) {[self loadPrivateKeyWithData:data password:p12Password];

}else{? ? NSLog(@"load private key fail with path: %@", p12FilePath);

}

}//生成私鑰- (void)loadPrivateKeyWithData:(NSData *)p12Data password:(NSString *)p12Password {SecKeyRef privateKeyRef = NULL;? NSMutableDictionary * options =[[NSMutableDictionary alloc] init];

[options setObject:p12Password forKey:(__bridgeid)kSecImportExportPassphrase];? CFArrayRef items = CFArrayCreate(NULL,0,0, NULL);

OSStatus securityError=SecPKCS12Import((__bridge CFDataRef)p12Data,

(__bridge CFDictionaryRef)options,&items);if(securityError == noErr && CFArrayGetCount(items) >0) {? ? CFDictionaryRef identityDict = CFArrayGetValueAtIndex(items,0);

SecIdentityRef identityApp=(SecIdentityRef)CFDictionaryGetValue(identityDict,

kSecImportItemIdentity);

securityError= SecIdentityCopyPrivateKey(identityApp, &privateKeyRef);if(securityError !=noErr) {

privateKeyRef=NULL;

}

}

_privateKey= privateKeyRef;//CFRelease(items);}//調用下面方法進行解密，最后返回一個字符串- (NSString *)rsaDecryptText:(NSString *)text {? NSData *data = [NSData hdf_base64DataFromString:text];? NSData *decryptData = [self rsaDecryptData:data];? NSString *result = [[NSString alloc] initWithData:decryptData encoding:NSUTF8StringEncoding];? return result;}//用私鑰解密的方法，被上面方法調用- (NSData *)rsaDecryptData:(NSData *)data {SecKeyRef key =_privateKey;

size_t cipherLen= [data length];void*cipher =malloc(cipherLen);

[data getBytes:cipher length:cipherLen];

size_t plainLen= SecKeyGetBlockSize(key) -12;void*plain =malloc(plainLen);

OSStatus status= SecKeyDecrypt(key, kSecPaddingPKCS1, cipher, cipherLen, plain, &plainLen);if(status != noErr) {returnnil;

}? NSData*decryptedData = [[NSData alloc] initWithBytes:(constvoid*)plain length:plainLen];returndecryptedData;

}@end

上面就是iOS開發中常用的幾種數據加密方式。