談到 Android 安全性話題��,Android Developers 官方網(wǎng)站給出了許多很好的建議和講解�����,涵蓋了存儲(chǔ)數(shù)據(jù)、權(quán)限���、網(wǎng)絡(luò)、處理憑據(jù)��、輸入驗(yàn)證��、處理用戶數(shù)據(jù)�、加密等方方面面
密鑰的保護(hù)以及網(wǎng)絡(luò)傳輸安全 應(yīng)該是移動(dòng)應(yīng)用安全最關(guān)鍵的內(nèi)容����。Android 提供大量用來(lái)保護(hù)數(shù)據(jù)的加密算法,例如 Cipher 類(lèi)中提供了 AES 和 RSA 算法,再例如安全隨機(jī)數(shù)生成器 SecureRandom 給 KeyGenerator 提供了更加可靠的初始化參數(shù)��,避免離線攻擊等等�。
而如果需要存儲(chǔ)密鑰以供重復(fù)使用,Android 提供了 KeyStore 等可以長(zhǎng)期存儲(chǔ)和檢索加密密鑰的機(jī)制,Android KeyStore 系統(tǒng)特別適合于存儲(chǔ)加密密鑰�����?�!盇ndroidKeyStore” 是 KeyStore 的一個(gè)子集���,存進(jìn) AndroidKeyStore 的 key 將受到簽名保護(hù)�,并且這些 key 是存在系統(tǒng)里的��,而不是在 App 的 data 目錄下�,依托于硬件的 KeyChain 存儲(chǔ)�����,可以做到 private key 一旦存入就無(wú)法取出,總之,每個(gè) App 自己創(chuàng)建的 key��,別的應(yīng)用是訪問(wèn)不到的���。
KeyStore 提供了兩個(gè)能力:
有了這兩個(gè)能力����,我們的密鑰保護(hù)就變得很容易了����,你只需要:
在應(yīng)用安裝后第一次運(yùn)行時(shí)�����,生成一個(gè)隨機(jī)密鑰���,并存入 KeyStore
當(dāng)你想存儲(chǔ)一個(gè)數(shù)據(jù)�,便從 KeyStore 中取出之前生成的隨機(jī)密鑰����,對(duì)你的數(shù)據(jù)進(jìn)行加密,加密完成后,已完成加密的數(shù)據(jù)可以隨意存儲(chǔ)在任意地方�,比如 SharePreferences���,此時(shí)即使它被他人讀取到�����,也無(wú)法解密出你的原數(shù)據(jù)���,因?yàn)樗巳〔坏侥愕拿荑€
當(dāng)你需要拿到你的原數(shù)據(jù)�,只需要從 SharePreferences 中讀取你加密后的數(shù)據(jù),并從 KeyStore 取出加密密鑰�,使用加密密鑰對(duì) “加密后的數(shù)據(jù)” 進(jìn)行解密即可
其中加密算法可以使用 Cipher AES 來(lái)保證安全性�,不要使用自己創(chuàng)造的加密算法����。
這就是使用 KeyStore 的一整套流程,另外 KeyStore 還可以用來(lái)做數(shù)據(jù)簽名和簽名驗(yàn)證��,就像一個(gè)黑匣子一樣���,具體可以自行搜索了解�。
KeyStore 適于存儲(chǔ)運(yùn)行時(shí)生產(chǎn)獲取到的數(shù)據(jù),比如運(yùn)行時(shí)�,用戶輸入的密碼���,或者服務(wù)端傳下來(lái)的 token����,但無(wú)法用于存儲(chǔ)我們需要預(yù)設(shè)在 App 內(nèi)的 API key / secret��,對(duì)于這類(lèi)需要預(yù)設(shè)的固定密鑰���,我將介紹一種十分安全�����、難破解的保護(hù)方式。
加密:
public String encryptString(String needEncryptWord, String alias) { if(!"".equals(alias)&&!"".equals(needEncryptWord)){ if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN_MR2) { initKeyStore(alias); } String encryptStr=""; byte [] vals=null; try { KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry)keyStore.getEntry(alias, null);// RSAPublicKey publicKey = (RSAPublicKey) privateKeyEntry.getCertificate().getPublicKey(); if(needEncryptWord.isEmpty()) {// Toast.makeText(this, "Enter text in the 'Initial Text' widget", Toast.LENGTH_LONG).show(); return encryptStr; }// Cipher inCipher = Cipher.getInstance("RSA/ECB/PKCS1Padding", "AndroidOpenSSL"); Cipher inCipher = Cipher.getInstance("RSA/ECB/PKCS1Padding");// inCipher.init(Cipher.ENCRYPT_MODE, publicKey); inCipher.init(Cipher.ENCRYPT_MODE, privateKeyEntry.getCertificate().getPublicKey()); ByteArrayOutputStream outputStream = new ByteArrayOutputStream(); CipherOutputStream cipherOutputStream = new CipherOutputStream( outputStream, inCipher); cipherOutputStream.write(needEncryptWord.getBytes("UTF-8")); cipherOutputStream.close(); vals = outputStream.toByteArray(); } catch (Exception e) { e.printStackTrace(); } return Base64.encodeToString(vals, Base64.DEFAULT); } return ""; }解密:
public String decryptString(String needDecryptWord, String alias) { if(!"".equals(alias)&&!"".equals(needDecryptWord)){ if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN_MR2) { initKeyStore(alias); } String decryptStr=""; try { KeyStore.PrivateKeyEntry privateKeyEntry = (KeyStore.PrivateKeyEntry)keyStore.getEntry(alias, null);// RSAPrivateKey privateKey = (RSAPrivateKey) privateKeyEntry.getPrivateKey();// Cipher output = Cipher.getInstance("RSA/ECB/PKCS1Padding", "AndroidOpenSSL"); Cipher output = Cipher.getInstance("RSA/ECB/PKCS1Padding");// output.init(Cipher.DECRYPT_MODE, privateKey); output.init(Cipher.DECRYPT_MODE, privateKeyEntry.getPrivateKey()); CipherInputStream cipherInputStream = new CipherInputStream( new ByteArrayInputStream(Base64.decode(needDecryptWord, Base64.DEFAULT)), output); ArrayList<Byte> values = new ArrayList<>(); int nextByte; while ((nextByte = cipherInputStream.read()) != -1) { values.add((byte)nextByte); } byte[] bytes = new byte[values.size()]; for(int i = 0; i < bytes.length; i++) { bytes[i] = values.get(i).byteValue(); } decryptStr = new String(bytes, 0, bytes.length, "UTF-8"); } catch (Exception e) { e.printStackTrace(); } return decryptStr; } return ""; }源碼下載地址�����,我已經(jīng)將加密解密封裝進(jìn)了工具類(lèi)����,并對(duì)Android 7.0的兼容也處理了
以上就是本文的全部?jī)?nèi)容�,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持武林網(wǎng)�����。
