移动数据的硬件加密

Question

假设需要为Android或iOS智能手机创建自定义应用程序，这些应用程序将发送和接收数据(文档、电子邮件等)。通过标准应用程序(例如Word或Powerpoint)进行本地编辑之后，到/来自公司服务器。这些数据必须在智能手机上保存一定的时间。

应用程序必须是

• 快地
• 安全
• 标准化

也就是说，它应该尽可能多地使用现有的功能。

看来，对于网络部分，HTTPS是一个比VPN更好的选择。

因此，一个通用的操作模型是用户提供身份验证凭证、登录到服务器、标识要检索的文档并将该文档下载到智能手机。反之亦然，用户应该能够从智能手机存储加载文档，编辑文档，然后将其发送到服务器。

基于上述情况：

1. 对于客户机-服务器通信的客户端部分(Android和iOS)是否有任何开源解决方案，即推荐的HTTS客户端库？
2. 硬件加密是否是智能手机数据存储的推荐路径(就性能和安全性而言)？
3. 通信中还有其他需要保护的部分吗？

谢谢!

Answer 1

Question1:

对此我不确定，我想任何RESTful设计都会在每个应用程序获得一个激活令牌的地方执行，该令牌将允许他检索其身份(用于身份验证)。

问题2:

其实并不是。大多数企业应用程序使用不同的方法。例如，如果您查看GOOD For Enterprise，您将注意到它们基于用户密码加密其完整的本地存储。如果用户无法记住他的密码，那么他就无法访问应用程序(没有密码重置选项)。

加密密钥是从密码派生出来的，应该始终由用户指定才能启动会话。经过几分钟的空闲(5-10分钟)，您应该再次锁定应用程序。

GOOD还更进一步，三次错误的密码尝试和您的本地存储被删除，您的帐户无效的休息请求。

问题3:

不要使用外部存储器，要始终使用内部内存。请参阅移动开发的良好安全指南。

参考文献：

• 苹果iOS安全编码指南
• Android安全提示