サーバーサイドとモバイルクライアントの通信のセキュリティを保証するソリューションは何ですか？次のように

Question

私の要求は、次のとおりです。唯一のモバイルデバイス（iPhoneやアンドロイド）から

1. 制限要求、それはプログラムまたはブラウザからの要求が禁止されている、と言うことです。
2. セッションベースの会話。
3. サーバーサイドは、他のプロキシや他の方法で変更されていない投稿データを再調整することができます。
4. モバイルデバイスがハッキングされる可能性がある状況を考慮する必要があります。

私の要求に私の考えのいくつか：1に対応する

• ：私はRSAを使用したい、私が鍵と秘密を生成し、クライアントは、データを暗号化するためにキーを使用し、サーバーはその秘密を使用解読し、鍵をチェックする。しかし、モバイルがハッキングされたときに、そのキーは他人に知られていますか？
• 3：私はhmacアルゴリズムと秘密鍵を使用して、すべての要求に対して署名を生成します。

私のソリューションについてのセキュリティ上の問題はありますか？あなたは何ですか？

を更新しました：ご迷惑をおかけして申し訳ございませんが、ユーザーのログインに基づいてすべての要望が話されています。

Answer 1

1）すべてのモバイルアプリで公開鍵/秘密鍵の組み合わせが同じでない限り、RSAを使用して解決するかどうかはわかりません。ブラウザはRSAを使用して簡単にデータを暗号化することができます。

モバイルオペレータによって挿入されたヘッダーが入ってくるHTTPヘッダーと、そのヘッダーが偽装されている可能性があるかどうかを確認する方法があります。

難しい問題です。私はそれについて考え続けて、何かが頭に浮かぶかどうかを知らせます。

2）セッションベースの暗号化では、Diffie-Hellman鍵交換アルゴリズムを使用してセッション鍵をネゴシエートし、それを使用して要求をセッションにロックすることができます。

3）音が良い。

4）ハッキングされている電話の周りの唯一の方法は、デバイスだけでなく、ユーザーを認証する必要があるため、ユーザーにログインを要求することだと思います。もう1つは、人々が電話を共有するため、ハッキングされていない可能性もあります。それはちょうどleantだったかもしれません。

Answer 2

ASIHTTPRequest APIの使用を検討し、より多くの保護のためにSSLを使用することを検討してください。ハッキングされたモバイルの場合、ユーザーログインはそれを達成するのに便利な方法で、ユーザーがPOST要求を送信するたびにパスを要求することができます。

Answer 3

1. 通常はできません。
2. Cookieベースの定期的なセッションを使用してください。モバイルアプリケーションは、何らかの形でサーバーに認証される必要があります（プライベートアカウント、Googleアカウント、SSLクライアント証明書など）。本当にランダムなセッションIDを提供し、セッションハイジャックなどを防ぐためにSSLで安全なソリューションを使用してください。
3. SSL（HTTPS）を使用してください。
4. 意味がわかりません。デバイス固有の認証を行っている場合は、アカウントを取り消して盗まれた電話などを使用できないようにする必要があります。

最後のことを言えば、セキュアなプロトコルを発明しようとしないでください。 HTTPSを使用して、安全なソリューションを作成できるとは考えていません。単に書籍/ブログ/記事/教科書を読んでいるからです。

再度：HTTPSを使用してください。