0赞
赏
赞赏
更多好文
弃用 SharedPreferences:DataStore + Android Keystore 打造硬件级安全存储全攻略
核心结论前置:SharedPreferences 仅适用于存储非敏感配置(如主题、语言),绝不应存储 Token、密码、身份证号等敏感数据。本文提供经过生产验证的硬件级安全存储方案,兼顾安全性、性能与可维护性。
一、为何必须弃用 SharedPreferences 存储敏感数据?
🔒 安全短板(实测风险)
| 风险点 | 具体表现 | 攻击场景 |
|---|---|---|
| 明文存储 | XML 文件位于 /data/data/<pkg>/shared_prefs/ | Root 设备直接读取 |
| 无完整性校验 | 文件可被篡改(如修改 VIP 状态) | Xposed 框架 Hook 修改 |
| 进程不安全 | 多进程访问易导致数据损坏 | 多模块应用并发写入 |
| 备份泄露 | adb backup 可导出明文数据 | 未关闭 allowBackup 的应用 |
| 内存残留 | getString() 返回的字符串常驻内存 | 内存 dump 泄露敏感信息 |
📌 Google 官方态度:Android 安全文档明确建议 “避免在 SharedPreferences 中存储认证令牌或密码”(Android Security Tips)
2. 新一代安全存储架构设计
graph LR
A[业务层] --> B[SecureStorage 封装层]
B --> C{加密/解密}
C --> D[Android Keystore<br/>硬件级密钥管理]
C --> E[DataStore<br/>加密后数据持久化]
D --> F[TEE/SE 安全域]
E --> G[应用私有目录<br/>datastore.preferences_pb]
style D fill:#4CAF50,stroke:#2E7D32
style F fill:#FF9800,stroke:#E65100
style G fill:#2196F3,stroke:#0D47A1
✨ 核心优势
- 密钥硬件隔离:密钥永不离开 TEE(可信执行环境),Root 也无法提取
- 认证加密:AES-GCM 模式 + IV 随机化,防篡改+防重放
- 异步非阻塞:DataStore 基于 Kotlin Flow,避免 ANR
- 崩溃安全:Protobuf 序列化,写入原子性保障
- 审计友好:所有敏感操作可埋点监控
3. 实战代码:四层安全封装(Kotlin)
步骤 1:添加依赖(build.gradle.kts)
dependencies {
// DataStore (Preferences + Proto)
implementation("androidx.datastore:datastore-preferences:1.1.1")
implementation("androidx.datastore:datastore-core:1.1.1")
// 协程支持
implementation("org.jetbrains.kotlinx:kotlinx-coroutines-android:1.8.0")
}
步骤 2:Keystore 密钥管理(防降级攻击)
object SecurityKeyManager {
private const val KEY_ALIAS = "secure_storage_key_v1"
private const val ANDROID_KEYSTORE = "AndroidKeyStore"
@Throws(Exception::class)
fun getOrCreateKey(): SecretKey {
val keyStore = KeyStore.getInstance(ANDROID_KEYSTORE).apply { load(null) }
return if (keyStore.containsAlias(KEY_ALIAS)) {
(keyStore.getEntry(KEY_ALIAS, null) as KeyStore.SecretKeyEntry).secretKey
} else {
generateKey(keyStore)
}
}
@Throws(Exception::class)
private fun generateKey(keyStore: KeyStore): SecretKey {
val keyGenerator = KeyGenerator.getInstance(
KeyProperties.KEY_ALGORITHM_AES,
ANDROID_KEYSTORE
)
// 关键安全参数:绑定设备、防回滚、需用户认证(可选)
val spec = KeyGenParameterSpec.Builder(
KEY_ALIAS,
KeyProperties.PURPOSE_ENCRYPT or KeyProperties.PURPOSE_DECRYPT
)
.setBlockModes(KeyProperties.BLOCK_MODE_GCM)
.setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_NONE)
.setKeySize(256)
.setUserAuthenticationRequired(false) // 如需生物认证设为 true + setUserAuthenticationValidityDurationSeconds
.setIsStrongBoxBacked(true) // 优先使用 StrongBox(Pixel 3+/三星 S10+)
.setUnlockedDeviceRequired(true) // 设备解锁后才可用
.build()
keyGenerator.init(spec)
return keyGenerator.generateKey()
}
}
步骤 3:认证加密工具(AES-GCM + IV 管理)
object CryptoEngine {
private const val TRANSFORMATION = "AES/GCM/NoPadding"
private const val IV_LENGTH = 12 // GCM 推荐 96 位
private const val TAG_LENGTH_BIT = 128
@Throws(Exception::class)
fun encrypt(plainText: String): String {
val key = SecurityKeyManager.getOrCreateKey()
val cipher = Cipher.getInstance(TRANSFORMATION)
val iv = ByteArray(IV_LENGTH).apply { SecureRandom().nextBytes(this) }
cipher.init(Cipher.ENCRYPT_MODE, key, GCMParameterSpec(TAG_LENGTH_BIT, iv))
val cipherText = cipher.doFinal(plainText.toByteArray(Charsets.UTF_8))
// 格式: [IV:12字节][密文][认证标签]
return Base64.encodeToString(iv + cipherText, Base64.URL_SAFE or Base64.NO_WRAP)
}
@Throws(Exception::class)
fun decrypt(encryptedBase64: String): String {
val key = SecurityKeyManager.getOrCreateKey()
val cipher = Cipher.getInstance(TRANSFORMATION)
val combined = Base64.decode(encryptedBase64, Base64.URL_SAFE or Base64.NO_WRAP)
if (combined.size < IV_LENGTH) throw IllegalArgumentException("Invalid cipher data")
val iv = combined.copyOfRange(0, IV_LENGTH)
val cipherText = combined.copyOfRange(IV_LENGTH, combined.size)
cipher.init(Cipher.DECRYPT_MODE, key, GCMParameterSpec(TAG_LENGTH_BIT, iv))
return String(cipher.doFinal(cipherText), Charsets.UTF_8)
}
}
步骤 4:安全存储封装(Preferences DataStore)
class SecurePreferencesStorage(private val context: Context) {
private val Context.dataStore: DataStore<Preferences> by preferencesDataStore(name = "secure_prefs")
private val dataStore = context.dataStore
// 预定义 Key(避免动态 Key 安全风险)
private val AUTH_TOKEN_KEY = stringPreferencesKey("auth_token_enc")
private val USER_BIO_KEY = stringPreferencesKey("user_bio_enc")
suspend fun saveAuthToken(token: String) {
val encrypted = CryptoEngine.encrypt(token)
dataStore.edit { it[AUTH_TOKEN_KEY] = encrypted }
// 埋点:敏感操作审计
SecurityLogger.log("AuthToken saved (encrypted)")
}
suspend fun getAuthToken(): String? = withContext(Dispatchers.IO) {
try {
val encrypted = dataStore.data.map { it[AUTH_TOKEN_KEY] }.firstOrNull() ?: return@withContext null
CryptoEngine.decrypt(encrypted).takeIf { it.isNotBlank() }
} catch (e: Exception) {
SecurityLogger.reportSecurityEvent("AuthToken decrypt failed", e)
null // 安全失败:绝不返回错误明文
}
}
// 扩展示例:存储用户生物特征摘要(非原始数据!)
suspend fun saveBiometricHash(hash: String) {
dataStore.edit { it[USER_BIO_KEY] = CryptoEngine.encrypt(hash) }
}
}
4. 从 SharedPreferences 安全迁移指南
迁移策略(三阶段)
object MigrationManager {
suspend fun migrateSecureData(context: Context) {
val prefs = context.getSharedPreferences("legacy_prefs", Context.MODE_PRIVATE)
val secureStorage = SecurePreferencesStorage(context)
val migratedKey = "migration_v2_completed"
// 阶段1:检查是否已迁移
if (prefs.getBoolean(migratedKey, false)) return
// 阶段2:原子迁移(在 IO 线程)
withContext(Dispatchers.IO) {
try {
prefs.getString("auth_token", null)?.let { token ->
secureStorage.saveAuthToken(token)
// 阶段3:清除旧数据 + 标记完成
prefs.edit()
.remove("auth_token")
.putBoolean(migratedKey, true)
.apply()
SecurityLogger.log("Migration completed successfully")
}
} catch (e: Exception) {
SecurityLogger.reportSecurityEvent("Migration failed", e)
// 保留旧数据,避免数据丢失
}
}
}
}
📌 关键实践
- 启动时调用:在 Application.onCreate() 中异步执行
- 幂等设计:多次调用无副作用
- 回滚预案:迁移失败保留原数据,上报监控
- 灰度验证:先对 1% 用户开启,监控解密失败率
5. 高级安全加固清单
| 场景 | 方案 | 价值 |
|---|---|---|
| 防内存泄露 | 解密后字符串用 CharArray 处理,及时清零 | 防止内存 dump 泄露 |
| 防调试窃取 | 检测 BuildConfig.DEBUG + isDebuggerConnected | 调试模式拒绝解密 |
| 密钥轮换 | 版本化 KEY_ALIAS(v1/v2),迁移时重加密 | 应对密钥潜在泄露 |
| 生物认证增强 | setUserAuthenticationRequired(true) + 设置有效期 | 敏感操作二次验证 |
| 完整性校验 | 存储 HMAC-SHA256 哈希值(密钥另存) | 检测数据篡改 |
| 崩溃防护 | try-catch + 返回 null 而非抛异常 | 避免应用崩溃暴露逻辑 |
💡 StrongBox 提示:
setIsStrongBoxBacked(true)在支持设备上将密钥存入独立安全芯片(防物理攻击),需处理StrongBoxUnavailableException降级逻辑。
6. 常见误区澄清
| 误区 | 正解 |
|---|---|
| “加密后存 SharedPreferences 也安全” | ❌ SharedPreferences 无原子写入,易损坏;DataStore 基于 Protobuf 更可靠 |
| “Keystore 密钥可备份恢复” | ❌ Keystore 密钥与设备绑定,恢复出厂设置即销毁(符合安全设计) |
| “所有数据都需硬件加密” | ❌ 非敏感数据(如夜间模式开关)用普通 DataStore 即可,避免性能损耗 |
| “GCM 模式 IV 可复用” | ❌ 每次加密必须生成新 IV,否则严重安全漏洞 |
7. 总结:安全存储决策树
flowchart TD
A[需存储的数据] --> B{是否敏感?<br/>Token/密码/身份证}
B -->|是| C[使用 SecurePreferencesStorage<br/>+ Keystore 硬件加密]
B -->|否| D{是否需类型安全/复杂结构?}
D -->|是| E[Proto DataStore]
D -->|否| F[Preferences DataStore]
C --> G[生产环境必备:<br/>• 审计日志 • 异常监控 • 密钥轮换策略]
🌟 核心价值
- 安全合规:满足 GDPR、等保2.0 对敏感数据加密存储的要求
- 用户体验:异步操作零卡顿,生物认证提升信任感
- 架构清晰:封装后业务代码无感知,替换底层存储无成本
- 面向未来:StrongBox、TEE 等硬件安全能力持续演进
最后忠告:没有绝对安全的系统,但有负责任的工程师。将敏感数据存储方案纳入安全审计清单,定期进行渗透测试,才是守护用户信任的终极防线。
附:延伸学习
- Android Keystore 官方文档
- DataStore 迁移指南
- 《Android 安全攻防实战》第7章:本地存储安全
- OWASP Mobile Top 10 - M2: Insecure Data Storage
本文代码已通过 Android 10+ 设备实测,建议 minSdkVersion ≥ 23。生产环境请结合自身业务进行安全评估与测试。 🛡️