在现代应用开发中,确保数据传输的安全性是至关重要的。本文将介绍如何在iOS客户端中使用AES加密数据传输,并与服务器端保持加密解密的一致性。本文不会包含服务器端代码,但会解释其实现原理。
加密与解密的基本原理
AES(Advanced Encryption Standard)是一种对称加密算法,即加密和解密使用相同的密钥。为了增强安全性,AES通常与CBC(Cipher Block Chaining)模式和随机生成的初始化向量(IV)一起使用。
为什么IV明文传输不会影响安全性?
- 防止重复模式:IV确保相同的明文在每次加密时产生不同的密文,从而防止攻击者通过观察加密输出模式来推断输入模式。
- 随机性和唯一性:IV的唯一要求是随机性和唯一性,而不需要保密。因此,IV可以以明文形式与加密数据一起传输。
- 加密标准:大多数现代加密标准和协议(如AES-CBC、AES-GCM)都规定IV可以以明文形式传输。
客户端实现方案
在iOS客户端中,我们将使用以下步骤来实现AES加密数据传输:
- 生成和存储加密密钥:在用户登录成功后,从服务器获取并存储加密密钥。
- 加密请求数据:在每次发送请求时,使用AES和随机生成的IV对请求数据进行加密,并将IV与加密数据一起传输。
- 解密响应数据:在接收到服务器响应后,使用AES和IV对响应数据进行解密。
以下是实现这些步骤的详细代码。
AES加密解密类
import CommonCryptoclass AES {// 加密方法static func encrypt(data: Data, key: String) -> (Data, Data)? {return crypt(data: data, key: key, operation: CCOperation(kCCEncrypt))}// 解密方法static func decrypt(data: Data, key: String, iv: Data) -> Data? {return crypt(data: data, key: key, iv: iv, operation: CCOperation(kCCDecrypt)).map { $0.0 }}/**通用加密解密方法- Parameters:- data: 需要加密或解密的数据- key: 用于加密或解密的密钥- iv: 初始化向量。如果为空,则在加密时生成一个新的IV。在解密时需要传入之前生成的IV。- operation: 加密或解密操作(kCCEncrypt 或 kCCDecrypt)- Returns: 返回一个元组,包含加密或解密后的数据,以及用于加密的IV。如果操作失败,返回nil。*/private static func crypt(data: Data, key: String, iv: Data? = nil, operation: CCOperation) -> (Data, Data)? {// 确定AES密钥长度为128位(16字节)let keyLength = kCCKeySizeAES128var keyBytes = [UInt8](repeating: 0, count: keyLength)// 将密钥字符串转换为字节数组,并确保其长度为16字节key.getCString(&keyBytes, maxLength: keyLength + 1, encoding: .utf8)// 初始化向量(IV)的字节数组var ivBytes: [UInt8]if let iv = iv {// 如果传入了IV,使用传入的IVivBytes = [UInt8](iv)} else {// 如果没有传入IV,在加密时生成一个随机的IVlet ivSize = kCCBlockSizeAES128ivBytes = [UInt8](repeating: 0, count: ivSize)_ = SecRandomCopyBytes(kSecRandomDefault, ivSize, &ivBytes)}// 输入数据的长度let dataLength = data.count// 输出缓冲区大小应为数据长度加上一个AES块的大小let bufferSize = dataLength + kCCBlockSizeAES128var buffer = [UInt8](repeating: 0, count: bufferSize)// 存储实际加密或解密后的字节数var numBytesCrypted: size_t = 0// 调用CCCrypt函数执行加密或解密操作let cryptStatus = CCCrypt(operation, // 指定加密或解密操作CCAlgorithm(kCCAlgorithmAES128), // 使用AES-128加密算法CCOptions(kCCOptionPKCS7Padding), // 使用PKCS7填充keyBytes, // 密钥字节数组keyLength, // 密钥长度ivBytes, // 初始化向量(IV)[UInt8](data), // 输入数据字节数组dataLength, // 输入数据长度&buffer, // 输出缓冲区bufferSize, // 输出缓冲区大小&numBytesCrypted // 实际加密或解密后的字节数)// 检查加密或解密操作是否成功if cryptStatus == kCCSuccess {// 返回加密或解密后的数据,以及用于加密的IVlet cryptData = Data(bytes: buffer, count: numBytesCrypted)return (cryptData, Data(ivBytes))}// 如果操作失败,返回nilreturn nil}
}
自定义Request和Response Serializer
为了处理请求和响应的加密解密,我们将创建自定义的AFJSONRequestSerializer
和AFHTTPResponseSerializer
。
import AFNetworking// 自定义Request Serializer
class EncryptedJSONRequestSerializer: AFJSONRequestSerializer {var encryptionKey: String?override func request(bySerializingRequest request: URLRequest, withParameters parameters: Any?, error: NSErrorPointer) -> URLRequest {var mutableRequest = requestif let encryptionKey = encryptionKey, let parameters = parameters {do {// 将参数序列化为JSON数据let jsonData = try JSONSerialization.data(withJSONObject: parameters, options: [])// 使用AES加密数据if let (encryptedData, iv) = AES.encrypt(data: jsonData, key: encryptionKey) {let base64String = encryptedData.base64EncodedString()let ivString = iv.base64EncodedString()// 将加密数据和IV一起传输let encryptedParameters = ["data": base64String, "iv": ivString]let encryptedJsonData = try JSONSerialization.data(withJSONObject: encryptedParameters, options: [])mutableRequest.httpBody = encryptedJsonData}} catch {print("Error serializing or encrypting JSON: \(error)")}}return mutableRequest}
}// 自定义Response Serializer
class EncryptedJSONResponseSerializer: AFHTTPResponseSerializer {var encryptionKey: String?override func responseObject(for response: URLResponse, data: Data?, error: NSErrorPointer) -> Any? {guard let encryptionKey = encryptionKey else {if error != nil {error?.pointee = NSError(domain: "Missing encryption key", code: -1, userInfo: nil)}return nil}guard let data = data else {if error != nil {error?.pointee = NSError(domain: "No data", code: -1, userInfo: nil)}return nil}do {// 解密响应数据if let jsonResponse = try JSONSerialization.jsonObject(with: data, options: []) as? [String: Any],let encryptedDataString = jsonResponse["data"] as? String,let ivString = jsonResponse["iv"] as? String,let encryptedData = Data(base64Encoded: encryptedDataString),let ivData = Data(base64Encoded: ivString) {if let decryptedData = AES.decrypt(data: encryptedData, key: encryptionKey, iv: ivData) {return try JSONSerialization.jsonObject(with: decryptedData, options: [])}}} catch {if error != nil {error?.pointee = error as NSError}}return nil}
}
网络管理类
我们将创建一个网络管理类来处理登录和发送加密请求。
import AFNetworkingclass NetworkManager {static let shared = NetworkManager()private let baseURL = "https://localhost:8443"private var token: String?private var encryptionKey: String?private init() {}/**用户登录方法- Parameters:- username: 用户名- password: 密码- completion: 登录完成后的回调,传递登录是否成功的布尔值*/func login(username: String, password: String, completion: @escaping (Bool) -> Void) {let parameters: [String: Any] = ["username": username, "password": password]// 发起POST请求进行登录AFHTTPSessionManager().post("\(baseURL)/login", parameters: parameters, headers: nil, progress: nil, success: { [weak self] (task, responseObject) inif let response = responseObject as? [String: Any], let token = response["token"] as? String, let encryptionKey = response["encryptionKey"] as? String {// 保存token和加密密钥self?.token = tokenself?.encryptionKey = encryptionKeycompletion(true)} else {completion(false)}}) { (task, error) inprint("Login failed: \(error)")completion(false)}}/**发送加密请求方法- Parameters:- parameters: 请求参数- completion: 请求完成后的回调,传递结果*/func sendSecureRequest(parameters: [String: Any], completion: @escaping (Result<[String: Any], Error>) -> Void) {guard let token = token, let encryptionKey = encryptionKey else {completion(.failure(NSError(domain: "No token or encryption key", code: 0, userInfo: nil)))return}let manager = AFHTTPSessionManager()let requestSerializer = EncryptedJSONRequestSerializer()requestSerializer.encryptionKey = encryptionKeymanager.requestSerializer = requestSerializerlet responseSerializer = EncryptedJSONResponseSerializer()responseSerializer.encryptionKey = encryptionKeymanager.responseSerializer = responseSerializerlet headers: HTTPHeaders = ["Authorization": token]// 发起POST请求发送加密数据manager.post("\(baseURL)/secure-data", parameters: parameters, headers: headers, progress: nil, success: { (task, responseObject) inif let response = responseObject as? [String: Any] {completion(.success(response))} else {completion(.failure(NSError(domain: "Invalid response", code: 0, userInfo: nil)))}}) { (task, error) incompletion(.failure(error))}}
}
使用示例
let username = "testuser"
let password = "testpassword"// 用户登录
NetworkManager.shared.login(username: username, password: password) { success inif success {print("Login successful")// 发送加密请求let parameters: [String: Any] = ["example": "data"]NetworkManager.shared.sendSecureRequest(parameters: parameters) { result inswitch result {case .success(let response):print("Secure data response: \(response)")case .failure(let error):print("Request failed: \(error)")}}} else {print("Login failed")}
}
总结
本文介绍了如何在iOS客户端中使用AES加密数据传输,并确保与服务器端的一致性。通过使用随机生成的IV并将其明文传输,我们可以有效地防止重复模式攻击,增强数据传输的安全性。希望这篇文章对你在应用开发中的数据安全保护有所帮助。