Android安全防护防护———加密算法
摘要
这篇文章本来早就应该写了,但是由于项目一直开发新的需求,就拖后了。现在有时间了,必须得写了。现在Android应用程序对安全防范这方面要求越来越高了。特别是金融行业,如果金融app没有没有做好相应安全处理,那些很容易被一些Hacker(黑客)所攻击。并不是说做了这些安全防范,这个应用就百分之百的安全的。只是说能够尽可能加大破解难度。也许有些开发者或者企业觉得。我们公司的app,数据量这些少,会有那个黑客吃饱了没事做来破解啊。又不是支付宝,或者其他那些用户量很多的应用。如果是这样想的话,那只能说目光短浅了。
Android应用常用的加密算法
如果说按加密的内容是否可以还原,可以分为可逆加密和非可逆加密。
非可逆加密:也就是说加密后的数据是不能还原成原来的数据。比如MD5加密 加密一个密码:123456 加密后成: afabsbfbabf437hfbbff73(结果并不一定是这个,只是举例)。也就是说加密后的结果afabsbfbabf437hfbbff73是不能够在解密出123456这个值的。
可逆加密:可逆加密有一个公钥和一个私钥,通过公钥进行数据的加密,通过私钥进行解密。代表有:RSA,AES。
对称加密和非对称加密:可逆加密根据其使用加解密是否使用同一个密钥又分为对称加密(加解密使用同一个密钥)和非对称加密(加解密的密钥分开)
MD5
MD5的特点:
1、压缩性:任意长度的数据,算出来的MD5值的长度都是固定。
2、容易计算性:从原始数据计算出MD5值是很容易的。
3、抗修改性:愿数据只要有一点点的改动,得到的MD5差别都是很大的。
4、强抗碰撞性:从原数据计算出来的MD5,想要找到一个具有相同的MD5,非常难。
MD5的应用场景:
1、一致性验证(比如下载某个文件,不知道文件是否下载完成,可以MD5进行校验。加密文件比较耗时,需要放到子线程中)
2、密码的存储(如登陆注册这些,账号密码会保存到sp中,直接就保存到账号密码的MD5值就好了。这样也可以避免服务器权限者知道这个密码)
MD5的简单使用
先写一个MD5的工具类
package com.example.huangjialin.md5test; import java.io.UnsupportedEncodingException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException; /**
* Created by huangjialin on 2018/9/4.
*/ public class Utils { public static String md5(String content) {
byte[] hash = null;
try {
hash = MessageDigest.getInstance("MD5").digest(content.getBytes("UTF-8"));
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
} StringBuilder stringBuilder = new StringBuilder(hash.length * 2);
for (byte b: hash) {
if ((b & 0xFF) < 0x10){
stringBuilder.append("0"); }
stringBuilder.append(Integer.toHexString(b & 0xFF)); }
return stringBuilder.toString();
} }
简单的解释一下上面的,首先是通过MessageDigest.getInstance(“MD5”)来获取到MessageDigest这个类,这个类是java自带的一个加密类,然后通过调用digest()方法来的获取到加密后的字节数组。该方法传入的参数是byte[] input 所以还需要将字符串转化为byte[]。得到加密后的字节数组以后,将他们转换成16禁止的字符串,然后拼接起来就可以了。
然后直接调用:
/**
* MD5加密
*/
button.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
String md5_123456abc = Utils.md5("123456abc");
String md5_huangjialin = Utils.md5("huangjialin");
Log.i("huangjialin"," md5_123456abc算出的MD5值是: " + md5_123456abc);
Log.i("huangjialin"," md5_huangjialin算出的MD5值是: " + md5_huangjialin);
}
});
得出的结果:
09-20 15:33:12.208 7352-7352/com.example.huangjialin.md5test I/huangjialin: md5_123456abc算出的MD5值是: df10ef8509dc176d733d59549e7dbfaf 09-20 15:33:12.208 7352-7352/com.example.huangjialin.md5test I/huangjialin: md5_huangjialin算出的MD5值是: 08e768954478c8669619d7d087db0070
这里说一句题外话:Log输出日志有很多种如Log.i();Log.d()等等,但是现在有些手机厂商直接就把等级较低的日志给屏蔽掉,所以有些日志输出在有些手机可以看到,有些手机没有看到。解决办法就是换输出等级较高的就OK了。
RSA
RSA是现在比较流行的一种非对称加密的,它需要一对密钥(公钥和私钥)公钥进行加密,私钥进行解密。
RSA的加密原理
1、随机选择两个大的质数P和Q,P不等于Q,计算出结果:N = P*Q;
2、选择一个大于1,小于N的自然数E,E必须和(P-1)*(Q-1)互素。
3、用公式计算出D:D*E = mod(P-1)*(Q-1)
4、销毁P和Q
最终得到的N,E就是公钥,D就是私钥了。
RSA加解密步骤
1、甲方生成密钥对(公钥和私钥,公钥用来加密数据,私钥自己保留,用来解密数据)
2、甲方使用私钥加密数据,然后用私钥对加密后的数据签名,并把这些放送给乙方,乙方使用公钥,签名来验证带解密数据是否有效,如果有效就使用公钥对数据进行解密
3、乙方使用公钥加密数据,向甲方发送经过加密后的数据,甲方或者加密数据后,就可以通过私钥进行解密了。
RSA使用场景
项目中一些敏感的数据,比如身份证号,银行卡,等相关信息可通过加密后在传给服务器,服务器使用私钥进行解密。
RSA密钥对生成
RSA的密钥对生成方式有两种
/*
初始化KeyPairGenerator类,并获取到公钥和私钥
*/
byte[] publicKeyByte;
byte[] prvateKtyByte; public void getKey() {
try {
KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(“RSA”);//KeyPairGenerator类是java专门提供生成密钥对的一个类。
keyPairGenerator.initialize(1024); //设置密钥对的大小
KeyPair keyPair = keyPairGenerator.generateKeyPair();
PrivateKey privateKey = keyPair.getPrivate();//获取私钥
PublicKey publicKey = keyPair.getPublic();//获取公钥
prvateKtyByte = privateKey.getEncoded();//私钥对应的字节数组
publicKeyByte = publicKey.getEncoded(); //公钥对应的字节数组 } catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
}
当然上面这种生成密钥对的方式,基本很少会在项目中使用使用,用得比较多的还是第二中方式。
第二种是通过OpenSSl工具生成密钥对
这种生成密钥对的方式需要安装OpenSSl。这里就不说具体怎么安装了。这里简单的说一下生成密钥对所需要的一些命令
使用命令生成私钥:
genrsa -out rsa_private_key.pem 1024
这条命令是让openssl随机生成一份私钥,长度为1024
使用命令生成公钥:
rsa -in rsa_private_key.pem -out rsa_public_key.pem -pubout
命令成功以后,就会在openSSL下的bin目录下生成公钥和私钥,然后就可以进行加密和解密了。
加密
/**
* 加密
*/ @RequiresApi(api = Build.VERSION_CODES.O)
public byte[] encryption(String content) {
byte[] result = null;
try {
Cipher cipher = Cipher.getInstance("RSA");
X509EncodedKeySpec x509EncodedKeySpec = new X509EncodedKeySpec(publicKeyByte);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
PublicKey publicKey = keyFactory.generatePublic(x509EncodedKeySpec);
cipher.init(Cipher.ENCRYPT_MODE, publicKey);
result = cipher.doFinal(content.getBytes());
Log.i("huangjialin", "----> " + Base64.getEncoder().encodeToString(result));
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (NoSuchPaddingException e) {
e.printStackTrace();
} catch (InvalidKeySpecException e) {
e.printStackTrace();
} catch (InvalidKeyException e) {
e.printStackTrace();
} catch (BadPaddingException e) {
e.printStackTrace();
} catch (IllegalBlockSizeException e) {
e.printStackTrace();
}
return result;
}
解密
/**
* 解密
*/ @RequiresApi(api = Build.VERSION_CODES.O) public void decryption() { Cipher cipher = null;
try {
cipher = Cipher.getInstance("RSA");
//私钥需要通过PKCS8EncodedKeySpec来读取
PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(prvateKtyByte);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
//生成私钥
PrivateKey privateKey = keyFactory.generatePrivate(keySpec);
cipher.init(Cipher.DECRYPT_MODE, privateKey);
//String content = "123456";
byte[] input = encryption("123456");
byte[] result = cipher.doFinal(input);
Log.i("huangjialin", "--解密--> " + new String(result));
//Assert.assertTrue(content.equals(new String(result))); } catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (NoSuchPaddingException e) {
e.printStackTrace();
} catch (BadPaddingException e) {
e.printStackTrace();
} catch (IllegalBlockSizeException e) {
e.printStackTrace();
} catch (InvalidKeyException e) {
e.printStackTrace();
} catch (InvalidKeySpecException e) {
e.printStackTrace();
} }
当然上面的代码是我写测试用的,真正项目中,还得封装好,把它弄成工具类,进行调用。
AES
AES是一个对称加密,也就是说使用AES进行加密和解密,他们使用的密钥都是一样的。AES加密算法是密码学中的高级加密标准,又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析并使用。同时AES他的算法加密强度大,执行效率很高。
AES使用场景
1、由于AES是对称加密,加解密都是使用同一个密钥,所以说在项目中一些敏感的数据需要保存到本地。可以先同AES的密钥进行加密,需要用的使用,将数据取出来再进行解密。
2、可以进行对一些敏感数据进行加密,然后在传递给服务器。
AES使用
在Android7.0之前可以这样获取到密钥
private SecretKey generateKey(String seed) throws Exception {
// 获取秘钥生成器
KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
// 通过种子初始化
SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG", "Crypto");
secureRandom.setSeed(seed.getBytes("UTF-8"));
keyGenerator.init(128, secureRandom);
// 生成秘钥并返回
return keyGenerator.generateKey();
}
但是在Android7.0之后就不支持了,移除了Crypto。当然也这种获取密钥方式在7.0之后Google也给出了解决方案,但是官方并不建议这样来获取。具体的可以看这里。https://android-developers.googleblog.com/2016/06/security-crypto-provider-deprecated-in.html
官方给出的是另一种方式,并不需要获取密钥,而是定义密码的形式。
package com.example.huangjialin.md5test; import android.os.Bundle;
import android.support.v7.app.AppCompatActivity;
import android.util.Base64;
import android.util.Log;
import android.view.View;
import android.widget.Button;
import android.widget.EditText;
import android.widget.TextView; import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec; public class MainActivity extends AppCompatActivity {
private EditText edittext;
private Button button, jiami, jiemi;
private TextView textView;
private SecretKey secretKey;
private byte[] bytes;
private String content = "huangjialin,我是要加密的数据";
String password = "huangji黄家磷"; @Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main); edittext = findViewById(R.id.edittext);
button = findViewById(R.id.button);
textView = findViewById(R.id.textview);
jiami = findViewById(R.id.jiami);
jiemi = findViewById(R.id.jiemi); Log.i("huagjialin", "--加密的数据-- > " + content); /**
* 获取密钥
*/
/* button.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
try {
secretKey = generateKey("huangjiain");
} catch (Exception e) {
e.printStackTrace();
} }
});*/ /**
* 加密
*/ jiami.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
try {
bytes = encrypt(content, password);
String str = new String(bytes);
Log.i("huagjialin", "--加密后的数据-- > " + Base64.decode(str,Base64.DEFAULT));
} catch (Exception e) {
e.printStackTrace();
} }
}); /**
* 解密
*/ jiemi.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
try {
byte[] by = decrypt(bytes, password);
String string = new String(by);
Log.i("huagjialin", "--解密后的数据-- > " + string);
} catch (Exception e) {
e.printStackTrace();
}
}
}); } /**
* 另一种加密形式
*/
private byte[] encrypt(String content, String password) throws Exception {
// 创建AES秘钥
SecretKeySpec key = new SecretKeySpec(password.getBytes(), "AES/CBC/PKCS5PADDING");
// 创建密码器
Cipher cipher = Cipher.getInstance("AES");
// 初始化加密器
cipher.init(Cipher.ENCRYPT_MODE, key);
// 加密
return cipher.doFinal(content.getBytes("UTF-8"));
} /**
* 解密
*/
private byte[] decrypt(byte[] content, String password) throws Exception {
// 创建AES秘钥
SecretKeySpec key = new SecretKeySpec(password.getBytes(), "AES/CBC/PKCS5PADDING");
// 创建密码器
Cipher cipher = Cipher.getInstance("AES");
// 初始化解密器
cipher.init(Cipher.DECRYPT_MODE, key);
// 解密
return cipher.doFinal(content);
} }
09-20 21:12:36.394 15933-15933/com.example.huangjialin.md5test I/huagjialin: --加密的数据-- > huangjialin,我是要加密的数据
09-20 21:12:39.561 15933-15933/com.example.huangjialin.md5test I/huagjialin: --加密后的数据-- > [B@d62495e
09-20 21:12:41.829 15933-15933/com.example.huangjialin.md5test I/huagjialin: --解密后的数据-- > huangjialin,我是要加密的数据
以上就是我们比较常用的几种加密的一些内容。好了,这篇内容就到这,文中如果错误,麻烦大神指教,共同进步
Android安全防护防护———加密算法的更多相关文章
- Android安全防护防护———Android 端常见的安全问题
Android安全防护防护——加密算法:传送门https://www.cnblogs.com/huangjialin/p/9694488.html 组件安全 activity劫持 简单来说就是正常的a ...
- Android应用安全防护和逆向分析 ——apk混淆成其他语言代码
现在很多人对于app的安全是越来越重视了,尤其是金融相关的行业,对于app的防范可是下足了功夫.各种加固,各种加密算法,层出不穷.我个人觉得,在安全技术这块,没有绝对安全的.也许今天这个技术起到了防范 ...
- Android应用安全防护和逆向分析 ——apk反编译
概述 最近一直在学习Android应用安全相关和逆向分析的知识.现在移动app在安全方面是越来越重视了,特别是那些巨头企业涉及到钱的应用,那加密程度,简直是丧心病狂,密密麻麻.从这里可以看出,对于应用 ...
- Android java层常见加密算法的hook自吐以及栈信息的打印
杂谈:其实原理并没有很难,本质就是hook Android的框架层中的api将我们想要的key和iv(也可以没有,就打个比方),但是目前的话,很多厂家已经不在直接调用java层的这些加密算法的api了 ...
- APP安全防护基本方法(混淆/签名验证/反调试)
本教程所用Android Studio测试项目已上传:https://github.com/PrettyUp/SecTest 一.混淆 对于很多人而言是因为java才接触到“混淆”这个词,由于在前移动 ...
- Android应用安全开发之浅谈加密算法的坑
<Android应用安全开发之浅谈加密算法的坑> 作者:阿里移动安全@伊樵,@舟海 阿里聚安全,一站式解决应用开发安全问题 Android开发中,难免会遇到需要加解密一些数据内 ...
- Android逆向之旅---带你爆破一款应用的签名验证问题
一.前言 在之前的文章中说过Android中的安全和破解是相辅相成的,为了防止被破解.非常多应用做了一些防护策略.可是防护策略也是分等级.一般简单的策略就是混淆代码和签名校验.而对于签名校验非常多应用 ...
- Android逆向之旅---静态方式分析破解视频编辑应用「Vue」水印问题
一.故事背景 现在很多人都喜欢玩文艺,特别是我身边的UI们,拍照一分钟修图半小时.就是为了能够在朋友圈显得逼格高,不过的确是挺好看的,修图的软件太多了就不多说了,而且一般都没有水印啥的.相比较短视频有 ...
- android黑科技系列——爆破一款应用的签名验证问题
一.前言 在之前的文章中说过Android中的安全和破解是相辅相成的,为了防止被破解,很多应用做了一些防护策略,但是防护策略也是分等级,一般简单的策略就是混淆代码和签名校验,而对于签名校验很多应用都是 ...
随机推荐
- BZOJ 2726 [SDOI2012] 任务安排 - 斜率优化dp
题解 转移方程与我的上一篇题解一样 : $S\times sumC_j + F_j = sumT_i \times sumC_j + F_i - S \times sumC_N$. 分离成:$S\t ...
- dedecms的if标签、foreach标签
1.if标签 (1)下拉列表 <select name="prize_type[]" class="type J-prize-type" id=" ...
- 模型参数_grid
from sklearn import datasetsfrom sklearn.model_selection import train_test_splitfrom sklearn.preproc ...
- Linux的简单介绍和开发基本运维时候用到的命令
先简单介绍下Linux文件夹目录 1./ linux下的根目录 实际上等同于window的我的电脑点进去 2./etc /usr 一个是系统配置文件存放的地方,一个是系统资源(应用程序)放的地方这俩文 ...
- HTML <img> 标签的 alt 属性
定义和用法 alt 属性是一个必需的属性,它规定在图像无法显示时的替代文本. 假设由于下列原因用户无法查看图像,alt 属性可以为图像提供替代的信息: 网速太慢 src 属性中的错误 浏览器禁用图像 ...
- 【Java】JavaWeb文件上传和下载
文件上传和下载在web应用中非常普遍,要在jsp环境中实现文件上传功能是非常容易的,因为网上有许多用java开发的文件上传组件,本文以commons-fileupload组件为例,为jsp应用添加文件 ...
- 如何在eclipse的配置文件里指定jdk路径
转载自:https://blog.csdn.net/gnail_oug/article/details/51925804:个人做了些小修改. 今天下载了eclipse4.6版本,打开时报Version ...
- Linux 部署 tomcat 常用命令
1. 文件夹重命名 mv somedir somedir1 2. 授权所有子目录 chmod -R 777 somedir 3.授权单个目录 chmod 777 somedir 4.实时打印控制台日 ...
- Spark-1.2.2部署
1.安装Scala 1.1解压和安装 在Scala官网http://www.scala-lang.org/download/下载Scala安装包,然后解压.(注:JDK的版本最好是1.7及以上,否则S ...
- 如何关闭D10 启动后自动打开的 WelCome页
在快捷方式上 修改为 "C:\Program Files (x86)\Embarcadero\Studio\19.0\bin\bds.exe" -pDelphi -np 最后增加 ...