Android - 更安全地保存静态密钥(1)

于 2024-04-26 15:07:34 发布
阅读量408 收藏 7
点赞数 5
分类专栏: 程序员 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84247617/article/details/138219555
版权

在日常开发中我们经常需要保存一些私密的信息,例如加解密的密钥等等。这时候我们就要来考虑如何存储密钥了。先来简单介绍几种存储方式:

  • Java硬编码方式

  • SharedPreferences存储

  • 文件存储

  • 数据库存储

以上几种存储方式是很不安全的,例如采用硬编码方式存储,程序包很容易被反编译获取到密钥。SharedPreferences、文件和数据库又有可能因为用户的误删操作而丢失密钥,所以一般很少存储到这一类的文件中。那么问题来了,我们应该用什么方式来确保密钥的存储相对更安全呢?

密钥存储方案

在日常开发中,推荐运用若干种方案拼接起完整的密钥。

在下面的案例中,我将运用以下方式输出密钥各部分内容(后面会逐个讲解)

  • Java硬编码

  • gradle配置

  • 特殊的算法

  • 利用strings.xml

现在假设我们需要进行AES加解密,按要求来定义一个密钥,密钥的形式可能是这样的:

String AES_KEY = “1234567890!@#$%^”;//硬编码方式定义AES密钥

是不是已经有同学看不下去了。。。

好吧,更好的方式是这样的:

String AES_KEY = ProjectUtil.getAESKeyPart1(3, 4)//根据自定义算法输出密钥第1部分

  • BuildConfig.AES_KEY_PART2//根据gradle配置输出密钥第2部分

  • CommonUtil.getString(R.string.AES_KEY_PART3)//根据string.xml输出密钥第3部分

  • MyConstant.AES_KEY_PART4;//根据硬编码方式输出密钥第4部分

String AES_KEY_PART4 = “!@#$%^”;

怎么样?是不是瞬间感觉难懂了一些,下面就来逐一讲解。

第一部分:ProjectUtil.getAESKeyPart1(3, 4)

这部分很好说,这里我自定义了一个算法,用以迷惑“有缘人”

public static int getAESKeyPart1(int x, int y) {

for (int i = 1; i <= x * y; i++) {

if (i % x == 0 && i % y == 0)

return i;

}

return x * y;

}

我这里定义的算法主要输出的是数字,在实际开发中你也可以定义一些类似的算法。

第二部分:BuildConfig.AES_KEY_PART2

这里主要是通过gradle的配置来自动生成AES_KEY_PART2这个常量。具体操作如下:

打开Module下的build.gradle文件,在android标签下的buildTypes下添加配置。

buildTypes {

release {

buildConfigField “boolean”, “LOG_DEBUG”, “true”//显示Log

buildConfigField “String”, “AES_KEY_PART2”, "“3456"”

minifyEnabled false

proguardFiles getDefaultProguardFile(‘proguard-android-optimize.txt’), ‘proguard-rules.pro’

}

debug {

buildConfigField “boolean”, “LOG_DEBUG”, “false”//不显示Log

buildConfigField “String”, “AES_KEY_PART2”, "“3456"”

minifyEnabled false

proguardFiles getDefaultProguardFile(‘proguard-android-optimize.txt’), ‘proguard-rules.pro’

}

}

如上所见,我使用buildConfigField关键字添加了LOG_DEBUG和AES_KEY_PART2两个字段。LOG_DEBUG用以控制是否输出并显示Log。在添加完配置之后,就可以Rebuild项目了,然后你就可以打开自动生成的BuildConfig类,这时候你添加的常量就在此类当中了。

public final class BuildConfig {

// …

public static final String AES_KEY_PART2 = “3456”;

public static final boolean LOG_DEBUG = false;

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84247617
关注
专栏目录
Android - 安全保存静态密钥
2401_84003690的博客
04-03 639
最后为了帮助大家深刻理解Android相关知识点的原理以及面试相关知识,这里放上相关的我搜集整理的24套。
Android - 安全保存静态密钥android计算器源码
m0_66144992的博客
01-17 871
引言 在日常开发中我们经常需要保存一些私密的信息,例如加解密的密钥等等。这时候我们就要来考虑如何存储密钥了。先来简单介绍几种存储方式: Java硬编码方式 SharedPreferences存储 文件存储 数据库存储 以上几种存储方式是很不安全的,例如采用硬编码方式存储,程序包很容易被反编译获取到密钥。SharedPreferences、文件和数据库又有可能因为用户的误删操作而丢失密钥,所以一般很少存储到这一类的文件中。那么问题来了,我们应该用什么方式来确保密钥存储相对安全呢? 密钥
Android产品研发(二十三)-->Android保存静态秘钥实践
热门推荐
一片枫叶的专栏
07-21 1万+
本文我们将讲解一个android产品研发中可能会碰到的一个问题:如何在App中保存静态秘钥以及保证其安全性。许多的移动app需要在app端保存一些静态字符串常量,其可能是静态秘钥、第三方appId等。在保存这些字符串常量的时候就涉及到了如何保证秘钥的安全性问题。如何保证在App中静态秘钥唯一且正确安全,这是一个很重要的问题,公司的产品中就存在着静态字符串常量类型的秘钥,所以一个明显的问题就是如何生成秘钥,保证秘钥的安
android 密钥保存,Android - 在密钥库中存储私钥
weixin_34261380的博客
05-27 1132
如何在Keystore中存储我的私钥(密码,用户名,Sha1)以便我可以使它们安全? 我试过下面的代码,但没有运气。privateContextctx;publicMainActivity(Contextctx){this.ctx=ctx;}@OverrideprotectedvoidonCreate(BundlesavedInstanceState){//TODOAut...
android+静态密钥,Android - 安全保存静态密钥
weixin_26875051的博客
06-02 515
转载请注明出处:https://blog.csdn.net/mythmayor/article/details/107228669引言在日常开发中我们经常需要保存一些私密的信息,例如加解密的密钥等等。这时候我们就要来考虑如何存储密钥了。先来简单介绍几种存储方式:Java硬编码方式SharedPreferences存储文件存储数据库存储以上几种存储方式是很不安全的,例如采用硬编码方式存储,程序包很容...
android c文件安全存储,Android使用C/C++来保存密钥
weixin_33849892的博客
05-29 283
Android使用C/C++来保存密钥本文主要介绍如何通过native方法调用取出密钥,以替代原本直接写在Java中,或写在gradle脚本中的不安全方式。为什么要这么做如果需要在本地存储一个密钥串,典型的方式有1. 直接写在java source code中2. 写在gradle脚本中,使用BuildConfig读取3. 写在gradle.properties中,再到gradle脚本中读取,后面...
Android - 安全保存静态密钥androidble开发教程
m0_66144910的博客
01-28 1199
在日常开发中我们经常需要保存一些私密的信息,例如加解密的密钥等等。这时候我们就要来考虑如何存储密钥了。先来简单介绍几种存储方式: Java硬编码方式 SharedPreferences存储 文件存储 数据库存储 以上几种存储方式是很不安全的,例如采用硬编码方式存储,程序包很容易被反编译获取到密钥。SharedPreferences、文件和数据库又有可能因为用户的误删操作而丢失密钥,所以一般很少存储到这一类的文件中。那么问题来了,我们应该用什么方式来确保密钥存储相对安全呢? 密钥 存储
Android高级应用源码-android,wifi,静态IP,设置.zip
12-17
1. **Android SDK和API层次**:首先,此项目基于Android SDK构建,可能使用了特定版本的API。通常,进行系统级别的操作如设置静态IP需要API级别14及以上,因为这些功能在较早的Android版本中可能受限。 2. **...
Android使用C/C++来保存密钥
Jason Ding的专栏
06-28 7895
Android使用C/C++来保存密钥 本文主要介绍如何通过native方法调用取出密钥,以替代原本直接写在Java中,或写在gradle脚本中的不安全方式。
Android密钥库(AndroidKeyStore)使用
最新发布
Silicon_Valley
03-27 6281
Android 提供了特定于 Android 平台的 KeyStore 实现,称为 AndroidKeyStore,它提供了高级的安全功能,如硬件支持、密钥链随机生成等。提示:正常我们需要对加密的数据进行本地存储,上述加密数据是ByteArray,字节数组不太适合本地存储,因此我们可以通过Base64将ByteArray数据转换为字符串进行保存,取出数据之时再做Base64解码。:可以使用 KeyStore 来存储和管理双因素身份验证所需的密钥和证书,用于提高身份验证的安全性。它接受一个字符串参数。
java如何安全保存密钥_Android本地安全保存密钥
weixin_30847543的博客
02-25 942
以下方法是邪门歪路,具体需要用到AndroidKeyStore来获取AES的密钥或者RSA的公钥和私鈅Cipher,KeyGenParameterSpecgradle配置 + 静态代码 + 字符串运算 + string.xml首先将静态秘钥分为四部分:•第一部分通过gradle配置的方式存储;•第二部分通过java硬编码的方式存储;•第三部分通过java字符串拼接运算的方式存储;•第四部分通过st...
AndroidKeystore密钥库系统,保证本地加密算法的密钥安全
冰码思维库
04-24 1802
1、AndroidKeystore密钥库系统介绍 AndroidKeystore系统是一个密钥库管理系统,谷歌设计这个系统的初衷应该是为了对标苹果的钥匙串KeyChain,有意思的是谷歌在Android4.0(API14)时便引入了KeyChain,但是并未提供详尽的说明文档,仅仅提供了一个API文档,网上也没有什么对它的文章,着实让人费解。话不多说,有兴趣的同学可以自行搜索,下面我来给大家介绍一...
Android保存秘钥方法安全性(增加反编译难度)
weixin_30197685的博客
03-18 4127
本文我们将讲解一个Android产品研发中可能会碰到的一个问题:如何在App中保存静态秘钥以及保证其安全性。许多的移动app需要在app端保存一些静态字符串常量,其可能是静态秘钥、第三方appId等。在保存这些字符串常量的时候就涉及到了如何保证秘钥的安全性问题。如何保证在App中静态秘钥唯一且正确安全,这是一个很重要的问题,公司的产品中就存在着静态字符串常量类型的秘钥,所以一个明显的问题就是如何生...
android tee,Android 9.0的新增安全特性与TEE
weixin_33651906的博客
05-27 842
Android P,预计将于 2018 年第三季度发布最终版本。特别是Android8.0以来,安全性是Android版本变的一个重要因素。从安全性增强方面来看,本次Android9.0版本主要有以下几个方面:统一的指纹身份验证对话框Android P 中,系统提供统一标准化的指纹身份验证对话框。 包括对话框外观、风格和位置,让用户可以放心地确信,他们是在根据可信的指纹凭据检查程序验证身份。可...
Android 密钥库系统 (一)
求变,从思想开始
04-23 2423
Android 密钥库系统 利用 Android 密钥库系统,您可以在容器中存储加密密钥,从而提高从设备中提取密 钥的难度。在密钥进入密钥库后,可以将它们用于加密操作,而密钥材料仍不可导出。此外, 它提供了密钥使用的时间和方式限制措施,例如要求进行用户身份验证才能使用密钥,或者 限制为只能在某些加密模式中使用。如需了解详细信息,请参阅安全功能部分。 密钥库系统由 KeyChain API 以及在 Android 4.3(API 级别 18)中引入的 Android 密钥 库提供程序功
Android密钥证书管理相关介绍
doomvsjing的博客
06-09 1万+
深入理解Android之Java Security第一部分 http://blog.csdn.net/innost/article/details/44081147 Android的数字证书安装过程概述 http://blog.chinaunix.net/uid-26017891-id-4115659.html Android导入.cer数字证书 http://blog.sina.co
基于K-means的Android权限检测与安全分析
"这篇论文研究了基于K-...这篇论文的研究工作结合了静态分析、TF-IDF权重分配、敏感值计算以及K-means聚类,形成了一套完整的Android权限检测流程,对于Android系统的安全管理和用户隐私保护具有重要的理论与实践意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值