gpt4 book ai didi

ios - 苹果手机 : is there any secure way to establish 2-way SSL from an application

转载 作者:可可西里 更新时间:2023-11-01 06:17:06 27 4
gpt4 key购买 nike

我需要建立从我的 iPhone 应用程序到客户服务器的 HTTPS 双向 SSL 连接。但是我没有看到任何安全的方式来将客户端证书传递给应用程序(这是一个电子银行应用程序,所以安全性确实是一个问题)。到目前为止,根据我的发现,应用程序能够访问证书的唯一方法是将其与应用程序本身预先捆绑在一起,或者公开一个可以从中获取证书的 URL ( IPhone app with SSL client certs )。

问题在于,这两种方式都无法阻止某些第三方获得证书,如果将其视为一种风险,则无需双向 SSL(因为任何人都可以拥有客户端证书)。

整个安全协议(protocol)应该是这样的:
- HTTPS 2-way SSL 验证应用程序
- 基于 OTP( token )的用户注册(在此步骤生成的客户端 key 对)
- SOAP/WSS XML-Signature(由之前生成的 key 签名的请求)

关于如何建立第一层安全 (HTTPS) 的任何想法?

最佳答案

好吧,那么回答我自己的问题...

原来安全没有固定的衡量尺度。只要制动系统的价格明显高于这样做的奖励,就可以满足安全要求。

在我的情况下,我们谈论的是电子银行系统,但每月限额较低(几千美元)。正如我在我的问题中提到的那样,在 HTTPS 之上还有另一层安全性,它将具有 WSS XML 签名。注册用户和接受他的公钥的过程也分几个步骤完成。在第一步中,用户发送他的电话号码以及从我的客户那里以某种方式检索到的鳕鱼。然后将带有确认码的短信发送给用户。用户将确认码输入 OTP 计算器,该计算器将生成 OTP 代码以识别用户。然后将公钥与 OTP 代码一起发送到服务器。从这里开始,每个请求都将由之前发送到服务器的公钥的私钥副本签名。

所以整个过程的最大弱点是有人对应用程序进行反向工程并检索用于 SLL 的客户端证书。由此产生的唯一问题是有人可能会观察用户的交易。然而,为了让某人进行交易,他需要用户的私钥,该私钥已生成、加密并存储在钥匙串(keychain)中。破坏此安全级别的代价非常高。

我们还将考虑如何在更高级别上保护用户的数据(例如使用 WSS 加密),但一开始我觉得我们对当前的解决方案很好。

有什么意见吗?

问候

关于ios - 苹果手机 : is there any secure way to establish 2-way SSL from an application,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2775138/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com