Android 安卓应用程序的安全/受保护内容分发

以下是我的场景：我需要以安全/受保护的方式分发Android应用程序的可选内容包，即防止从应用程序外部下载内容。内容由大小不超过4兆字节的压缩SQLite数据库创建文件组成。这些软件包将每年更新4次。我目前有大约1000个活动安装。这意味着，在高峰时间，下载内容包更新的流量每天可能产生约4 GB的流量。该应用程序的安装基数每天大约增加100个用户

基于该场景，我想知道如何解决以下问题：

分发内容的最佳方式是什么？HTTPS传输？建议采用什么方式进行身份验证（例如密码、证书）？我应该改用密码保护的Zip文件吗

哪些基础架构应用于符合以下标准的内容交付：

• 从1）开箱即用支持保护机制
• 易于设置和维护
• 欧洲和美国的可扩展和下载节点
• 相对便宜（每月不超过30美元）。理想情况下，随用随付带宽

---

我正在考虑像SoftLayer、Amazon CloudFront等CDN。有什么建议吗？

我认为您不需要一个花哨的服务器配置。据我所知，HTTPS用于保护客户端和服务器之间的链接，基本上可以确保您连接到您认为您是的服务器。但是任何支持HTTPS的客户端都可以连接到服务器并请求您的文件。所以这对你想做的事没有帮助。（如果您试图阻止他人冒充您的服务器，那么您将使用它。）

---

要解决您描述的问题，您可能需要使用标准文件加密。这将使您的内容不受任何没有加密密钥的人的攻击。有人最终将能够从你的应用程序中挖出密钥，但你可以更新到新密钥，并希望使其变得更痛苦。

“我需要以安全/受保护的方式分发Android应用程序的可选内容包，即防止从应用程序外部下载内容。”--根据定义，这是不可能的。您使用的任何方式都可以从应用程序中进行反向工程，并在其他地方使用。您可以使用代码混淆等方法来尝试使这变得更困难，但基本上就是这样。我知道，要获得100%安全的解决方案是不可能的。我仍然不希望任何人仅仅通过浏览下载URL就能获取数据。因此，我希望至少使用密码保护，并在应用程序中隐藏密码，以使事情变得更困难。有什么建议吗？每天100个用户，而你有1000个用户？我认为你无法从中得出有意义的统计数据。100个用户已经连续30天保持增长速度。当然，很难做出估计，但这种情况很可能发生。谢谢您的回复。您将在应用程序中的何处存储加密密钥？你能推荐一家这样的图书馆吗？密码zip文件就足够了吗？除了钥匙之外，你需要的所有东西都应该在Android中。在Android下查找javax.crypto。密钥应该以字符串的形式存储在应用程序中。我不确定Android对密码保护的zip文件有何支持，但这些文件通常被认为不太安全。这两种解决方案都只是基本的“让诚实的人保持诚实”类型的保护。