51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Android外部文件加解密及应用实践

作者:C6C
移动开发 Android
有这样的应用场景,当我们把一些重要文件放到asset文件夹中时,把.apk解压是可以直接拿到这个文件的,一些涉及到重要信息的文件我们并不想被反编译拿去,这个时候需要先对文件进行加密,然后放到Android中的资源目录下,用的时候再解密出来。

有这样的应用场景,当我们把一些重要文件放到asset文件夹中时,把.apk解压是可以直接拿到这个文件的,一些涉及到重要信息的文件我们并不想被反编译拿去,这个时候需要先对文件进行加密,然后放到Android中的资源目录下,用的时候再解密出来。

现代密码学中,加密系统的安全性是基于密钥的,而不是基于算法,现在介绍一整套加解密及应用流程,这套加密流程从实用性和安全性上来讲,我觉得还是很靠谱的,也是市面上比较常用的做法,核心逻辑其实比较简单,毕竟最难的加解密算法实现部分是现成的了,我司部分也用了这套流程,当然会比我讲的这个要复杂一些。

1、简介

主要涉及到一下几个算法的应用,RSA、AES,以及Base64编码,基本思想是用[AES算法+AES密钥]来加密文件,为了保证密钥的安全性,会通过[RSA算法+RSA私钥]对AES密钥进行加密。

对这几种算法不熟悉可以看看我司大佬的‘常用的加密方式和应用场景’这篇文章,知道大概的原理和使用方法就行,因为算法在java中都是现成的,直接拿来用就是了。 

Android外部文件加解密及应用实践

Android加解密流程图.png

 

把流程整理了一下,就是以上的流程图,分成三块:

  • 第1块是把加密过程给封装成一个小工具,用加密工具来对文件进行加密;
  • 第2块是把解密过程封装成解密的小工具,用解密工具来解密我们的文件好进行相关修改;
  • 第3块使我们的目的,就是把加密文件和加解密的AES算法密钥放到Android资源文件中进行具体的使用。

有一点需要补充的,就是RSA算法的公私钥,从第3块中可以发现,并没有把RSA的公钥和私钥放到资源文件中,其实大家想想就知道了,如果被加密文件、加解密的AES密钥、用于对AES密钥进行加密的RSA密钥三者都放入文件夹中,那就没有啥安全性可言了(注:加解密的算法可以改造成自己公司独有的,我司就是这么做的),所以为了保证安全性,我们的RSA公私钥是通过应用的签名(.keystore签名文件)中代码动态获取。感兴趣的可以看这篇文章:[从Java Keystore文件中提取私钥、证书]。

2、第1块:加密工具进行加密

工具的java界面开发是通过java的swing包来实现的,对swing感兴趣的可以参考这篇Java Swing 图形界面开发简介,讲得非常详细。

一开始的时候是没有AES秘钥的,需要我们生成一个安全的秘钥,所以生成一个随机AES秘钥,然后保存,加密工具的操作页界面: 

Android外部文件加解密及应用实践

加密

 

2.1、生成随机秘钥

生成随机秘钥主要分为几步:

  • 通过UUID.randomUUID()生成随机数作为seed种子;
  • seed种子提供给KeyGenerator生成AES秘钥,只要seed种子生成的AES秘钥就是一致的;
  • 通过应用签名获取RSA算法需要的公钥私钥;
  • RSA通过私钥来加密AES秘钥;

因为生成的秘钥是byte[],所以通过Base64编码展示出来给到界面上。 

  1. /**  
  2. * 生成随机密钥  
  3. */  
  4. private void randomKey() {  
  5. try {  
  6. //生成随机数作为seed种子  
  7. String uuid = UUID.randomUUID().toString();  
  8. byte[] seed = uuid.getBytes("UTF-8");  
  9. //生成AES秘钥  
  10. byte[] rawkey = AES.getRawKey(seed);  
  11. //获取应用签名的密钥对  
  12. KeyPair pair = SignKey.getSignKeyPair();  
  13. //通过RSA私钥来加密AES秘钥  
  14. byte[] key = RSA.encrypt(rawkey, pair.getPrivate());  
  15. //Base64编码成字符串展示  
  16. String base64Key = Base64.encode(key);  
  17. mKeyText.setText(base64Key);  
  18. } catch (Exception e) {  
  19. e.printStackTrace();  
  20.  
  21.  
  22. 其中AES.getRawKey(seed)中主要是通过AES密钥生成器来生成128位的密钥,具体实现:  
  23. /** 
  24.  * 生成用AES算法来加密的密钥流,这个密钥会被应用签名{@link SignKey}的密钥进行二次加密  
  25. */  
  26. public static byte[] getRawKey(byte[] seed) throws Exception {  
  27. KeyGenerator kgen = KeyGenerator.getInstance("AES");  
  28. SecureRandom sr = SecureRandom.getInstance("SHA1PRNG");  
  29. sr.setSeed(seed);  
  30. //192 and 256 bits may not be available  
  31. kgen.init(128, sr);  
  32. SecretKey skey = kgen.generateKey();  
  33. return skey.getEncoded();  

SignKey.getSignKeyPair()是获得RSA算法所需的公私钥,是从我们的应用签名来的,大家应该都很熟悉了,应用打包上传是需要签名打包的。 

Android外部文件加解密及应用实践

keystore

 

java提供了api获取testkey.keystore文件(自己用studio生成一个)的私钥和证书,把testkey.keystore文件放到目录中: 

  1. /**  
  2. * Author:xishuang  
  3. Date:2018.05.06  
  4. * Des:根据导入的应用签名,读取其中的密钥对和证书  
  5. */  
  6. public class SignKey {  
  7. //应用签名  
  8. private static final String keystoreName = "testkey.keystore" 
  9. private static final String keystorePassword = "123456" 
  10. //应用签名的别名  
  11. private static final String alias = "key0" 
  12. private static final String aliasPassword = "123456" 
  13. /**  
  14. * 获取签名的密钥对,用来给密钥加密  
  15. */  
  16. public static KeyPair getSignKeyPair() {  
  17. try {  
  18. File storeFile = new File(keystoreName);  
  19. if (!storeFile.exists()) {  
  20. throw new IllegalArgumentException("还没设置签名文件!");  
  21.  
  22. String keyStoreType = "JKS" 
  23. char[] keystorepasswd = keystorePassword.toCharArray();  
  24. char[] keyaliaspasswd = aliasPassword.toCharArray();  
  25. KeyStore keystore = KeyStore.getInstance(keyStoreType);  
  26. keystore.load(new FileInputStream(storeFile), keystorepasswd);  
  27. //拿私钥  
  28. Key key = keystore.getKey(alias, keyaliaspasswd);  
  29. if (key instanceof PrivateKey) {  
  30. //拿公钥  
  31. Certificate cert = keystore.getCertificate(alias);  
  32. PublicKey publicKey = cert.getPublicKey();  
  33. ///公私钥存到KeyPair 
  34.  return new KeyPair(publicKey, (PrivateKey) key);  
  35.  
  36. } catch (Exception e) {  
  37. e.printStackTrace();  
  38.  
  39. return null 
  40.  

拿testkey.keystore所需的参数都在跟我们打包应用签名所需一样,通过java提供的keystore类获取。然后就是用刚拿到的testkey.keystore私钥来加密AES密钥,再通过Base64转换一下编码成字符串展示出来,只是为了把密钥展示出来才转换编码的。 

Android外部文件加解密及应用实践

密钥Base64编码.png

 

2.2、导出密钥

把密钥导出成文件,下次直接导入密钥用来解密文件,导出密钥需要先用Base64把文本框里的Base64密钥字符串转换为Byte[]再存。 

  1. byte[] key = Base64.decode(base64Key);  
  2. //将raw key输出  
  3. File keyFile = new File(dir, "testkey.dat");  
  4. FileOutputStream fos = new FileOutputStream(keyFile); 

2.3、加密文件

密钥已有,AES算法又是现成的,直接调用api加密就行了: 

  1. private static final String AES = "AES" 
  2. /**  
  3. * AES算法加密文件  
  4.  
  5. * @param rawKey AES密钥  
  6. * @param fromFile 要加密的文件  
  7. * @param toFile 加密后文件  
  8. */  
  9. public static void encryptFile(byte[] rawKey, File fromFile, File toFile) throws Exception {  
  10. if (!fromFile.exists()) {  
  11. throw new NullPointerException("文件不存在");  
  12.  
  13. if (toFile.exists()) {  
  14. toFile.delete();  
  15.  
  16. SecretKeySpec skeySpec = new SecretKeySpec(rawKey, AES);  
  17. Cipher cipher = Cipher.getInstance(AES); 
  18.  //加密模式  
  19. cipher.init(Cipher.ENCRYPT_MODE, skeySpec);  
  20. FileInputStream fis = new FileInputStream(fromFile);  
  21. FileOutputStream fos = new FileOutputStream(toFile, true);  
  22. byte[] buffer = new byte[512 * 1024 - 16];  
  23. int offset; 
  24. //使用加密流来加密  
  25. CipherInputStream bis = new CipherInputStream(fis, cipher);  
  26. while ((offset = bis.read(buffer)) != -1) { 
  27.  fos.write(buffer, 0, offset);  
  28. fos.flush();  
  29.  
  30. fos.close();  
  31. fis.close();  

选择文件,通过AES算法和AES密钥加密,最后效果如下,没有密钥能解密出来算我输。 

Android外部文件加解密及应用实践

加密前后

 

3、第2块:解密工具进行解密

解密过程其实没啥必要讲了,因为解密过程是加密过程的逆过程。

这个解密不是在应用中用的,是为了便于我们更新加密文件,修改文件之前必须要先把文件先解密。 

Android外部文件加解密及应用实践

解密

 

3.1、导入AES密钥

这个密钥就是我们前面生成的密钥,导进来后用应用签名的RSA公钥解密AES密钥即可:

 

  1. //获取被加密的密钥raw key  
  2. String keyStr = mKeyText.getText(); 
  3. byte[] key = Base64.decode(keyStr);  
  4. //获取应用签名密钥对,公钥解密raw key  
  5. KeyPair keypair = SignKey.getSignKeyPair();  
  6. byte[] rawkey = RSA.decrypt(key, keypair.getPublic());  
  7. //用raw key去解密文件  
  8. AES.decryptFile(rawkey, fromFile, toFile); 

3.2、解密文件

拿到纯洁版AES密钥之后就可以直接调用AES算法解密文件了: 

  1. /**  
  2. * AES算法解密文件  
  3.  
  4. * @param rawKey AES密钥  
  5. * @param fromFile 被加密的文件  
  6. * @param toFile 解密后文件  
  7. */  
  8. public static void decryptFile(byte[] rawKey, File fromFile, File toFile) throws Exception {  
  9. if (!fromFile.exists()) {  
  10. throw new NullPointerException("文件不存在");  
  11.  
  12. if (toFile.exists()) {  
  13. toFile.delete();  
  14.  
  15. SecretKeySpec skeySpec = new SecretKeySpec(rawKey, AES);  
  16. Cipher cipher = Cipher.getInstance(AES);  
  17. //解密模式  
  18. cipher.init(Cipher.DECRYPT_MODE, skeySpec);  
  19. FileInputStream fis = new FileInputStream(fromFile);  
  20. FileOutputStream fos = new FileOutputStream(toFile, true);  
  21. byte[] buffer = new byte[512 * 1024 + 16];  
  22. int offset;  
  23. //使用解密流来解密  
  24. CipherInputStream cipherInputStream = new CipherInputStream(fis, cipher);  
  25. while ((offset = cipherInputStream.read(buffer)) != -1) {  
  26. fos.write(buffer, 0, offset);  
  27. fos.flush();  
  28.  
  29. fos.close();  
  30. fis.close();  

和AES加密过程一对比,会发现只是切换一下AES算法模式。

3、第3块:Android应用中解密文件

要解密文件,需要在资源文件夹中加入被加密的AES密钥,这个密钥就是上面导出来的,还有就是被加密后的文件。能正确解密的前提是你应用签名和用来给文件加密过程中用到的签名是同一个。 

Android外部文件加解密及应用实践

资源文件

 

3.1、解密AES密钥

在Android应用中解密文件与在java工具中解密文件,区别主要在于RSA密钥的获取,在java工具中应用签名testkey.keystore是开发者拥有的,可以拿到其中的全部信息,而在Android中应用是要发布到应用市场的,任何人都可以下载我们的包,应用签名只能通过Android提供的api拿到其公钥。 

  1. /**  
  2. * Author:xishuang  
  3. Date:2018.05.06  
  4. * Des:应用签名读取工具类  
  5. */  
  6. public class SignKey {  
  7. /**  
  8. * 获取当前应用的签名  
  9.  
  10. * @param context 上下文  
  11. */  
  12. public static byte[] getSign(Context context) {  
  13. PackageManager pm = context.getPackageManager(); 
  14. try {  
  15. PackageInfo info = pm.getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);  
  16. Signature[] signatures = info.signatures;  
  17. if (signatures != null) {  
  18. return signatures[0].toByteArray();  
  19.  
  20. } catch (NameNotFoundException e) {  
  21. e.printStackTrace();  
  22.  
  23. return null 
  24.  
  25. /**  
  26. * 根据签名去获取公钥  
  27. */  
  28. public static PublicKey getPublicKey(byte[] signature) {  
  29. try {  
  30. CertificateFactory certFactory = CertificateFactory  
  31. .getInstance("X.509");  
  32. X509Certificate cert = (X509Certificate) certFactory  
  33. .generateCertificate(new ByteArrayInputStream(signature));  
  34. return cert.getPublicKey();  
  35. } catch (CertificateException e) {  
  36. e.printStackTrace();  
  38.  return null 
  39.  

拿到应用签名testkey.keystore的公钥之后的流程就和在java工具中的操作基本一致了,用RSA公钥来解密AES密钥。 

  1. private static final String SIMPLE_KEY_DATA = "testkey.dat" 
  2. /**  
  3. * 获取解密之后的文件加密密钥  
  4. */  
  5. private static byte[] getRawKey(Context context) throws Exception {  
  6. //获取应用的签名密钥  
  7. byte[] sign = SignKey.getSign(context);  
  8. PublicKey pubKey = SignKey.getPublicKey(sign);  
  9. //获取加密文件的密钥  
  10. InputStream keyis = context.getAssets().open(SIMPLE_KEY_DATA);  
  11. byte[] key = getData(keyis);  
  12. //解密密钥  
  13. return RSA.decrypt(key, pubKey);  

最后再用解密之后的AES密钥来解密文件。

3.2、AES密钥解密文件

通过资源管理器拿到加密文件的文件流,通过AES密钥来用AES算法来解密文件流。 

  1. /**  
  2. * 获取解密之后的文件流  
  3. */  
  4. public static InputStream onObtainInputStream(Context context) {  
  5. try {  
  6. AssetManager assetmanager = context.getAssets();  
  7. InputStream is = assetmanager.open("encrypt_测试.txt");  
  8. byte[] rawkey = getRawKey(context);  
  9. //使用解密流,数据写出到基础OutputStream之前先对该会先对数据进行解密  
  10. SecretKeySpec skeySpec = new SecretKeySpec(rawkey, "AES");  
  11. Cipher cipher = Cipher.getInstance("AES");  
  12. cipher.init(Cipher.DECRYPT_MODE, skeySpec);  
  13. return new CipherInputStream(is, cipher);  
  14. } catch (Exception e) {  
  15. e.printStackTrace();  
  16.  
  17. return null 

拿到加密后文件流之后就达成目的了,可以解析成字符串展示出来: 

  1. private void inputData() {  
  2. InputStream in = DecryptUtil.onObtainInputStream(this);  
  3. try {  
  4. BufferedReader reader = new BufferedReader(new InputStreamReader(in"GBK"));  
  5. StringBuilder sb = new StringBuilder();  
  6. String line;  
  7. while ((line = reader.readLine()) != null) {  
  8. sb.append(line + "\n");  
  9.  
  10. contentTv.setText(sb.toString());  
  11. } catch (IOException e) {  
  12. e.printStackTrace();  
  13. } finally {  
  14. try {  
  15. in.close();  
  16. } catch (IOException e) {  
  17. e.printStackTrace();  
  18.  
  19.  

实例效果图如下,请关注红框里面内容,因为懒得新建项目,用原有项目测试了一下: 

Android外部文件加解密及应用实践

效果

 

目前工具使用的是市面上比较常见的加解密算法,可以换一下算法,比如DES或者其它的对称和非对称算法,甚至是自己改动的算法,想运行示例演示的话: 

Android外部文件加解密及应用实践

QQ截图20180508234849.png

 

就是运行一下java文件,就可以打开加解密小工具了,加解密工具界面是仿我司工具包中抽出来的小部分的,毕竟写界面好烦,感谢我司大神多年前就写出了如此工具。

责任编辑:未丽燕 来源: 简书
Android加密密码学
相关推荐
如何使用GPG加解密文件
加密非常重要。它对于保护敏感信息来说是必不可少的。你的私人文件应该要被加密,而GPG提供了很好的解决方案。

2017-12-07 10:25:55

LinuxGPG加密解密
公众平台消息体签名加解密方案概述
公众平台消息体签名及加解密方案概述1.新增消息体签名验证,用于公众平台和公众账号验证消息体的正确性2.针对推送给微信公众账号的普通消息和事件消息,以及推送给设备公众账号的设备消息进行加密3.公众账号对密文消息的回复也要求加密开发者需注意,公众账号主动调用API的情况将不受影响。启用加解密功能(即选择兼容模式或安全模式)后,公众平台服务器...

2015-02-11 15:23:13

微信SDK
何使用示例代码接入加解密技术方案
如何使用示例代码接入加解密,参考本文档并使用示例代码,加解密的接入将非常简单。若想进一步的了解细节,请查看技术方案。微信公众平台提供了C++、php、Java、Python和C5种语言的示例代码,每种语言的类名和接口名均一致,下面以C++为例说明:

2015-02-11 15:27:26

微信SDK
Burpsuite插件开发之RSA加解密
Burpsuite是一款非常好用的抓包工具,我自己也是重度用户,所以就上手了burpsuite的插件接口开发,本文主要记录了一个解密请求包,插入payload,再加密的插件开发过程,插件应用场景主要是用于通过分析apk的实现。

2016-09-27 19:30:11

物联网安全:RSA加解密算法
传统的加密方法是加密、解密使用同样的密钥,由发送者和接收者分别保存,在加密和解密时使用。采用这种方法的主要问题是密钥的生成、注入、存储、管理、分发等很复杂,特别是随着用户数量的增加,密钥的需求量成倍增加。在网络通信中,大量密钥的分配是一个难以解决的问题。

2020-12-13 09:40:11

物联网物联网安全加密方法
用 Python 来实现 RSA 加解密
今天的文章就分享一下如何用Python来实现RSA加解密的这一过程,帮助你建立RSA的直观认识,代码里的随机素数生成算法,也值得我们学习。

2022-01-26 07:25:09

PythonRSA加解密
Android下通过hook技术实现透明加解密保障数据安全
对于用户在Android移动设备商保存重要的隐私文件,通常采用一些加密保存的软件。但在手机上实现隐私空间的软件鳞次栉比,但是问题在于打开文件都需要使用该隐私空间,将加密文件解密到临时文件,然后再选择应用程序打开文件。

2013-11-15 13:06:52

透明加解密hook技术数据安全
利用RSA证书加解密敏感数据
X.509证书规范扶持三种不对称加密算法:RSA,DSA,DiffieHellmanalgorithms。本文来为大家介绍最常用的RSA,希望大家能够对加密技术有一个深入地了解。

2011-08-01 14:36:06

加密RSA
手把手指导:在 Linux 上使用 GPG 加解密文件
在本教程中,我将告诉你如何用GPG加密和解密文件。这是一个简单的教程,你可以在你的Linux系统上尝试所有的练习。这将帮助你练习GPG命令,并在你完全陌生的情况下理解它。

2021-12-15 14:39:50

LinuxGPG加解密文件
Spring Boot 接口数据加解密,so easy!
今天这篇文章聊一聊关于接口安全问题,涉及到接口的加密、解密。

2022-07-27 08:49:34

接口加密解密
Spring Boot 接口数据加解密,太方便了!
目前主要是利用ControllerAdvice来对请求和响应体进行拦截,主要定义SecretRequestAdvice对请求进行加密和SecretResponseAdvice对响应进行加密(实际情况会稍微复杂一点,项目中又GET类型请求,自定义了一个Filter进行不同的请求解密处理)。

2024-09-27 15:24:15

Spring数据加解密
我们一起聊聊加解密的艺术
对称加密是指加密和解密都使用相同的密钥。这意味着发送方和接收方都必须拥有这个密钥才能进行加密和解密操作。

2024-09-09 08:53:56

Android应用开发实践说明
谷歌在开放手机联盟共同的开发了Android这款手机操作系统,这个联盟由中国移动、摩托罗拉、高通、宏达电和TMobile等共同组成。

2010-03-02 11:12:33

Android应用开发
Qunar用户画像构建策略应用实践
目前Qunar用户画像数据仓库中的数据源来自业务数据库的数据和用户行为日志数据,目前数据仓库中基本涵盖了机票、酒店、火车票以及保险等业务系统的数据,可以从全方位的了解去哪儿的一个用户的画像。

2017-02-09 11:34:57

大数据用户画像应用实践
揭秘“彩虹桥”数据加解密功能实现原理
数据安全是一个非常严肃的话题,一旦出现数据泄露,特别是涉及敏感信息,对客户和公司都可能造成不可估量的损失,所以数据加密的必要性不言而喻。对比传统的加解密方案,彩虹桥这种方案优势非常明显,首先是自动化&透明化数据加密过程,用户无需关注加密中间实现细节,只需要配置自己需要加密的列,还有彩虹桥内置多种加密算法(MD5AESRC4等)可配置,并且...

2022-11-18 18:36:24

关于加解密、加签验签的那些事
一般地,把对一个信息的摘要称为该消息的指纹或数字签名。数字签名是保证信息的完整性和不可否认性的方法。数据的完整性是指信宿接收到的消息一定是信源发送的信息,而中间绝无任何更改;信息的不可否认性是指信源不能否认曾经发送过的信息。

2023-03-10 18:34:31

带你玩转接口管理工具加解密
在数据安全背景下,大部分的登陆接口都需要客户端将用户的用户名、密码等信息进行加密。举个场景:为了安全起见,后端告知前端调登陆接口的时候,需要先对用户的登陆信息进行AES加密。

2022-09-14 18:23:01

工具加解密接口
Spring Boot 接口数据加解密就该这样设计~
考虑到时间紧迫性,可采用对称性加密方式,服务需要对接安卓、IOS、H5三端,另外考虑到H5端存储密钥安全性相对来说会低一些,故分针对H5和安卓、IOS分配两套密钥;

2022-12-14 09:06:58

接口Spring解密
区块链开源最佳实践场景应用研讨
ChainMaker、Hyperledger带你玩转区块链开源。

2021-10-12 10:43:38

区块链技术智能
解密文件攻击的各种姿势最新检测方法
分析无文件攻击的各种新姿势,包括:无文件勒索、无文件挖矿;分析安全顶会NDSS2020最新相关检测论文。

2020-06-04 08:29:27

安全网络攻击数据
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服