Android数据本地安全存储

最新推荐文章于 2024-07-27 04:23:30 发布
最新推荐文章于 2024-07-27 04:23:30 发布
阅读量3.1k 收藏 5
点赞数 3
分类专栏: 安全 文章标签: 数据 安全 存储 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrRuby/article/details/70665950
版权

前言

  在Android都开发中,通常我们都会在本地存储一些数据,如果我们不对这些数据进行加密存储,很容易将一些敏感数据暴露给黑客,从而给我们的产品带来一些影响。
  这里使用AES算法来加解密数据,在使用AES算法中,最主要的就是key的生成,如果我们直接硬编码在程序,程序被反编译后也很容易看到。那么如果保证key的安全以及在不同的手机上使用不同的key呢?这篇文章结合项目中的使用经验,分享key的安全生成并提供部分参考代码。

一、MD5介绍

  MD5摘要算法广泛的应用中我们的程序当中,如用户密码的存储,文件来源的安全校验等。具体的介绍可以参考MD5百度百科
  任何数据经过MD5后产生的16位的byte,并且同一数据经过MD5后的内容不会变,这是后期key生成的保障。

private byte[] md5(String data) throws NoSuchAlgorithmException {
    MessageDigest messageDigest = MessageDigest.getInstance("MD5");
    messageDigest.update(data.getBytes());
    return messageDigest.digest();
}

二、位运算和生成key

为了增加破解key的难度,我们对md5后的数据做位运算,代码如下:

public class HashUtils {

    private static final char[] TARCODE = { '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e',
            'f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z' };

    public static String getHash(String data, String type) {
        String str = "";
        if (data != null) {
            try {
                MessageDigest messageDigest = MessageDigest.getInstance(type);
                messageDigest.update(data.getBytes());
                str = handleBytes(messageDigest.digest());
            } catch (Exception e) {
                // TODO: handle exception
                e.printStackTrace();
            }
        }
        return str;

    }
    //生成key,这一步是重点
    private static String handleBytes(byte[] data) {
        int i = data.length;
        StringBuilder sb = new StringBuilder(i * 2);
        for (int j = 0; j < i; j++) {
            //对每个字节位运算并且和16进制62做&运算,保证产生的索引在TARCODE的内
            sb.append(TARCODE[(data[j] >> 4 & 0x3D)]);
            sb.append(TARCODE[(data[j] & 0x3D)]);
        }
        return sb.toString();
    }
}

有了上面key的以后,接下来使用AES算法进行加解密。

三、AES加解密代码

public class SafeAESTool {

    private static final String ALGORITHM = "AES";
    private static final String TRANSFORMATION = "AES/CBC/PKCS5Padding";

    public static String encrypt(String key,String data){
        // TODO Auto-generated method stub
        String str = null;
        try {
            SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(), ALGORITHM);
            Cipher cipher = Cipher.getInstance(TRANSFORMATION);
            IvParameterSpec ivParameterSpec = new IvParameterSpec(key.getBytes());
            cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec, ivParameterSpec);
            byte[] ret = cipher.doFinal(data.getBytes());
            str = Base64.encodeToString(ret, Base64.NO_WRAP);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return str;
    }

    public static String decrypt(String key,String data){
        // TODO Auto-generated method stub
        SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(), ALGORITHM);
        try {
            Cipher cipher = Cipher.getInstance(TRANSFORMATION);
            IvParameterSpec ivParameterSpec = new IvParameterSpec(key.getBytes());
            cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, ivParameterSpec);
            byte[] retByte = cipher.doFinal(Base64.decode(data,Base64.NO_WRAP));
            return new String(retByte);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
}

四、封装工具类

采用获取设备的IMEI号和应用的包名作为生产key的标识,主要是保证能够获取IMEI的情况下每个手机的AES Key都不一样,从而保证存储的安全。

public class SafeStorageUtil {

    private static String AESKEY;

    /**
     * 获得应用程序包名
     * @param context
     * @return
     */
    private static String getPackageName(Context context) {
        return context.getPackageName();
    }

    /**
     * 设备IMEI号
     * @param mContext
     * @return
     */
    private static String getDeviceID(Context mContext) {
        TelephonyManager tm = (TelephonyManager) mContext
                .getSystemService(Context.TELEPHONY_SERVICE);
        return tm.getDeviceId();
    }

    /**
     * 获取唯一标识
     * @param mContext
     * @return
     */
    private static String getAppUnique(Context mContext){
        return getDeviceID(mContext)+getPackageName(mContext);
    }

    private static String getAESKey(Context context) {
        if (!TextUtils.isEmpty(AESKEY))return AESKEY;
        //取16位作为密钥key
        AESKEY = HashUtils.getHash(getAppUnique(context), "MD5").substring(0, 16);
        return AESKEY;
    }

    public static String encrypt(Context context,String data){
        return SafeAESTool.encrypt(getAESKey(context), data);
    }

    public static String decrypt(Context context,String data){
        return SafeAESTool.decrypt(getAESKey(context), data);
    }


}

五、测试-使用SharedPreference存取数据

private static SharedPreferences getSharedPreferences(Context context) {
    return context.getSharedPreferences("test.properties", 0);
}

/**
 * 安全存储数据
 * @param context
 * @param key
 * @param value
 */
public static void saveData(Context context,String key,String value){
    if(TextUtils.isEmpty(value))return;
    SharedPreferences sp = getSharedPreferences(context);
    Editor editor = sp.edit();
    editor.putString(key, SafeStorageUtil.encrypt(context, value));
    editor.commit();
}
/**
 * 获取数据
 * @param context
 * @param key
 * @return
 */
public static String getData(Context context,String key){
    SharedPreferences sp = getSharedPreferences(context);
    String tem = sp.getString(key, "");
    if(!TextUtils.isEmpty(tem)){
        tem = SafeStorageUtil.decrypt(context, tem);
    }
    return tem;
}

6、小结

平时做加解密的时候都是直接把key硬编码在代码里面,一直担心这种写法不安全,但是没有找到合适的解决方案。最近了解了阿里聚安全的一些实现思路后才脑洞大开,结合MD5的特性去生成DES key,这是一种比较好的解决办法,后期也会基于这个思路实现一套客户端和服务端的加解密组件。
生活从不缺少美,只是缺少发现美的眼睛。只要静下心里去思考问题,任何困难都会有解决办法的。

mrRuby
关注
专栏目录
android 数据存储安全
sunzhishuai的博客
02-13 856
一、 android 数据存储安全      Android系统提供了以下四种Android应用本地存储方式:Shared Preferences、SQLite Databases、Internal Storage、External  1、Shared Preferences       shared preferences 存储安全风险(Storage等存储方式。Shared Prefe
droidcon_sync:展示本地 SQLite 存储和网络服务之间数据同步的 Android 应用
06-20
1. **SQLite数据库**:SQLite是Android系统内置的关系型数据库,用于存储应用数据。开发者可以通过SQL语句进行数据操作,或者使用Android提供的SQLiteOpenHelper类来简化数据库的创建和版本管理。 2. **数据同步...
Android数据存储安全实践
gxl_202的博客
10-12 1207
0x00 数据安全 &nbsp; &nbsp; &nbsp; &nbsp;Android操作系统自问世以来凭借其开放性和易用性成为当前智能手机的主流操作系统之一,作为与人们关系最密切的智能设备,越来越多的通讯录、短信、视频等隐私数据以明文的方式保存在手机中,这些数据虽然有锁屏密码或者指纹保护,但是由于Android系统自身的安全性,专业人士可以毫不费力的获取到手机数据镜像,个人隐私面临泄露风险。另...
Android数据本地存储
最新发布
weixin_41411187的博客
07-27 70
Android 提供了多种本地数据存储方案,每种方案都有其优缺点。下面是一些常用的本地数据存储方案及其特点:Shared Preferences(共享首选项):优点:简单易用、轻量级,适用于存储少量的键值对数据。缺点:不适合存储大量数据,不支持复杂数据结构。登录后复制 // 存储数据 SharedPreferences ...
android安全】保护app本地数据文件
lchli1314的专栏
07-18 2599
方法步骤: 1,将文件放在尽量安全的位置,比如内部存储而不是sd卡。 2,对文件内容使用对称加密或基于口令的加密。 3,对于数据库可用相关工具加密比如SQLCiper。 4,使用android设备管理策略。 5,使用加密的SharePreference即Secure-Preferences(免费的,可到github下载) 一,使用spongycastle进行对称
android 本地存储
wxy894919538的专栏
09-07 690
android的本地存储分为以下几种:--来自官方 http://developer.android.com/guide/topics/data/data-storage.html Shared Preferences: 存储键值对 Internal Storage: 私有数据到内存 External Storage:公共数据 外部存储 SQLite Databases
Android-将安全数据加密到本地.so库中的一种简单方法
08-12
本文将深入探讨一种将安全数据加密并存储到本地动态链接库(.so)中的简单方法,以此来增强应用的安全性。标题中的“Android-将安全数据加密到本地.so库中的一种简单方法”正是我们要讨论的核心内容。 首先,了解为...
Android本地数据存储之文件存储读写
10-27
Android应用开发中,本地数据存储是至关重要的一个环节,特别是在处理用户数据或者应用程序需要持久化数据时。本文将深入探讨Android系统中的文件存储机制,包括如何读取、写入、重写和删除.txt格式的文件。理解...
Android本地存储SharedPreferences详解
08-30
Android本地存储SharedPreferences是Android系统提供的一种轻量级的本地存储机制,主要用于保存应用程序中的配置信息、用户设置和其他少量的数据。下面将详细介绍Android本地存储SharedPreferences的相关知识点。 ...
android开发教程之清除android数据缓存示例(清除本地数据缓存)
09-04
SharedPreferences是Android用于存储轻量级键值对数据的机制,它们位于`/data/data/包名/shared_prefs`路径下。 4. **清除files目录**: `cleanFiles(Context context)` 方法删除`context.getFilesDir()`返回的...
Android 本地保存数据
10-18
Android 的配置信息保存到本地并且查询出来显示。很基础哦,适合新手哦
Android 本地文件的存储和读取
04-28
代码简单,逻辑清晰,即学即用
Android本地数据存储(SP、SQLite、Room)
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
11-12 5701
Android本地数据存储常用的有三种方式 1、SP存储,key-value的方式存储在本地的xml文件中,/data/data/xxx.xx/shared_prefs/xxx.xml 2、sqlite存储 3、room存储
Android本地数据安全问题,常用加密简单汇总,网上搜集的资料,方便查看
笨鸟的专栏
06-15 629
Android数据加密之Rsa加密                    RSA算法是最流行的公钥密码算法,使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名       的算法。             公钥加密只能用私钥解密,私钥加密只能用公钥解密,还可以分段加密、分段解密。            RSA的安全性依赖于大数分解,小于1024位的N已经被证明是不安全
Android 安全存储
qq_27550491的博客
11-30 369
笔记地址变更 http://note.youdao.com/noteshare?id=0dee21cf70df5203eb52b0e66ae3e84a&amp;sub=D6410C88A76141DDB24EE9E8F045B768
安卓存储安全(一)
weixin_44499245的博客
01-12 202
详见 http://mp.weixin.qq.com/s?__biz=MzAwMjg1NTI2Nw==&amp;mid=503036060&amp;idx=1&amp;sn=8524b585177de7c17bf17169e7308b3b&amp;chksm=02cb009035bc898630c4403e9784e9e7883a8f02179d56463935a47f4ddbf70917696a...
Android数据存储策略:SharePreferences至ContentProvider详解
本文将深入探讨五种常见的Android数据存储策略: 1. **SharePreferences**:这是Android中轻量级的数据存储解决方案,适合存储小型、非敏感的数据,如用户首选项或设置。它基于键值对,易于读写,并且存储在应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值