首先我们要实现这个功能需要确认几个问题
1.如何创建一个Keystore并保证其唯一性
2.如何设置KeyProtection
3.如何把密钥也就是密码放到安卓Keystore里面
4.如何通过指纹获取到Keystore里面存储的密码
5.当指纹变更之后如何失效
6. secret key的作用,对称加密
7.指纹验证通过之后如何获取到存储在Android Keystore里面密文
这个问题可以分成两个问题看待,第一个问题是安卓的Keystore体系,第二个是生物识别
参考文章:
Android指纹识别,看这一篇就够了
Android 保存私密信息-强大的 keyStore
Android KeyStore + FingerprintManager 存储密码
Keystore体系
创建一个密钥(SecretKey)
安卓内部是提供一套Keystore体系用于用户加密的,我们可以通过
KeyStore androidKeyStore = KeyStore.getInstance(ANDROID_KEY_STORE);//获取到Android的Keystore类
我们所获取的androidKeyStore 就是安卓系统的keystore
“AndroidKeyStore”:这里要先区分下AndroidKeyStore和Android
KeyStore,虽然这两个一样,但是后者中间多了个空格,意义是不一样的,前者是子集,后者是父集,后者包含前者。而AndroidKeyStore主要是用来存储一些密钥key的,存进该处的key可以为其设置KeyProtection,例如只能通过用户验证才能取出key使用等。这些key是存在系统里的,不是在app的目录下,并且每个app不能访问其他app的key,如果app1创建了key1,并且存储的时候命名为temp,app2去通过temp去访问key,是获取不到的!!
KeyStore.getDefaultType():该函数返回的是一个字符串,在java下,返回的是JKS,在Android下,返回的是BKS(
生成android使用的BKS证书)。(注:android
系统中使用的证书要求以BKS的库文件结构保存,通常情况下,我们使用java的keytool只能生成jks的证书库。读取key可以通过psw来读取)。当你使用这个keystore的时候,其文件存放在data(沙盒中)
之后我们需要对这个Keystore做一下初始化参数,我们才能生成一个真正属于自己的可以加密的系统
KeyStore androidKeyStore = KeyStore.getInstance(ANDROID_KEY_STORE);
androidKeyStore.load(null);
KeyGenerator keyGenerator = KeyGenerator.getInstance(KeyProperties.KEY_ALGORITHM_AES, "AndroidKeyStore");
KeyGenParameterSpec spec = new KeyGenParameterSpec.Builder(DEFAULT_KEY_NAME,
KeyProperties.PURPOSE_ENCRYPT |
KeyProperties.PURPOSE_DECRYPT)
.setBlockModes(KeyProperties.BLOCK_MODE_CBC)
.setEncryptionPaddings(KeyProperties.ENCRYPTION_PADDING_PKCS7)
//这个设置为true,表示这个key必须是通过了用户认证才可以使用
.setUserAuthenticationRequired(true)
.build();
keyGenerator.init(spec);
SecretKey secretKey = keyGenerator.generateKey();
其中 androidKeyStore.load(null);这一点尤其关键
load
Added in API level 1 public final void load (InputStream stream,
char[] password) Loads this KeyStore from the given input stream. A password may be given to unlock the keystore (e.g. the
keystore resides on a hardware token device), or to check the
integrity of the keystore data. If a password is not given for
integrity checking, then integrity checking is not performed. In order
to create an empty keystore, or if the keystore cannot be initialized
from a stream, pass null as the stream argument. Note that if this
keystore has already been loaded, it is reinitialized and loaded again
from the given input stream.
Google官方文档给出的解释,load(null)是重新创建一个新的Keysotre密钥库
加密
接下来我们获取到了密钥,然后我们就可以初始化Cipher 对象,这将是实际的加密过程
Cipher cipher = null;
cipher = Cipher.getInstance(KeyProperties.KEY_ALGORITHM_AES + "/"
+ KeyProperties.BLOCK_MODE_CBC + "/"
+ KeyProperties.ENCRYPTION_PADDING_PKCS7);
cipher.init(Cipher.ENCRYPT_MODE, secretKey);
return cipher;
我们获取到的Cipher就是密文
同时这里我们需要获取到IV初始化向量,这个东西很重要,对于未来我们做解密的时候获取密码的唯一性很重要
引入了一个新的概念:初始向量IV(Initialization Vector)。
IV是做什么用的呢?它的作用和MD5的“加盐”有些类似,目的是防止同样的明文块始终加密成同样的密文块。
byte[] iv = cipher.getIV();
这个iv需要保存好,是为了之后解密的时候我们定义其唯一性
解密
Cipher cipher = null;
cipher = Cipher.getInstance(KeyProperties.KEY_ALGORITHM_AES + "/"
+ KeyProperties.BLOCK_MODE_CBC + "/"
+ KeyProperties.ENCRYPTION_PADDING_PKCS7);
IvParameterSpec ivParameterSpec = new IvParameterSpec(initializeVector);
cipher.init(Cipher.DECRYPT_MODE,secretKey , ivParameterSpec);
生物识别体系
生物识别,这里我主要是实现了指纹识别,
在安卓体系下,提供了API23和API28的系统生物识别类,23的FingerprintManager 以及28的BiometricPrompt
至于两者的区别网上有很多研究,这里先不管 主要说核心方法
API23
new FingerprintManager.CryptoObject(Cipher cipher);
API28
new BiometricPrompt.CryptoObject(Cipher cipher); //这里就用到了上文中通过Keystore生成的密文了
我的理解是通过这一步就是实现了 Keystore和生物识别的绑定
之后我们会获取到 CryptoObject
然后调用 各自的 authenticate()方法就可以获取系统指纹的回调了
然后我们就可以实现生物识别功能了,关于里面的参数以及错误码的监听,网上的攻略比较多,我开头留的文章就可以找到
总结:这篇文章主要讲了如何通过生物识别把密码保存到Keysotre里面,然后生物识别通过之后取出密码的过程,有些地方写的不是很全,但是总体来说是没问题的。