在这里插入图片描述

摘要

在如今智能设备遍地开花的时代,数据安全几乎成了所有应用绕不开的话题。无论你是在做手机App、车机系统,还是IoT设备的固件升级,只要涉及到用户数据,加密就是一块必不可少的拼图。

在鸿蒙(HarmonyOS)系统里,开发者既要考虑安全性,也要考虑性能。如果算法过重,设备端会很卡;如果加密策略不合理,就可能被黑客绕过。本文会从加密算法选择、密钥管理、实际应用场景三个方面出发,结合可运行的ArkTS Demo,带你一步步设计一套实用的数据加密策略。最后还会总结一些在项目中经常遇到的坑和优化方法。

引言

随着鸿蒙系统逐渐走向多端应用(手机、手表、车机、智能家居),数据安全的重要性也在不断放大。比如:

  • 在智能家居场景下,用户的开门指令如果被黑客截获,就有可能导致安全事故。
  • 在车机场景下,如果行车日志或定位数据被篡改,可能会影响驾驶体验甚至引发纠纷。
  • 在支付场景下,如果银行卡号、支付密码没有加密,很可能被劫持或者伪造请求。

从这些案例中可以看出,加密并不仅仅是“加个算法”那么简单,而是要把存储、传输、密钥管理结合起来,形成一套完整的防御体系。

所以接下来,我们先聊清楚加密的底层逻辑,再落地到鸿蒙代码实现。

数据加密策略的核心要点

加密算法的选择

在实际开发中,最常见的加密算法大概分三类:

对称加密(AES)

  • 特点:加密和解密使用同一个密钥。
  • 优点:速度快,适合加密大数据量。
  • 缺点:密钥一旦泄露,安全性大幅降低。
  • 应用:文件存储、日志数据、缓存加密。

非对称加密(RSA、ECC)

  • 特点:公钥加密,私钥解密。
  • 优点:安全性高,可以解决密钥分发问题。
  • 缺点:速度慢,不适合大数据加密。
  • 应用:密钥交换、身份认证。

哈希算法(SHA-256、MD5)

  • 特点:不可逆,输出定长摘要。
  • 优点:适合做完整性校验、密码存储。
  • 缺点:不能解密。
  • 应用:登录密码校验、文件完整性校验。

组合思路:常见的做法是 RSA加密AES密钥,AES加密实际数据。这种方式兼顾了性能和安全。

密钥管理

如果说算法是“锁”,那密钥就是“钥匙”。很多系统被攻破不是因为算法太弱,而是因为密钥管理不当。

在鸿蒙里,密钥管理可以分为以下几个层级:

  • 密钥生成:通过鸿蒙提供的 cryptoFramework 生成,而不是自己写随机数。
  • 密钥存储:不要明文放在配置文件或数据库,可以用鸿蒙的 HUKS(HarmonyOS Key Store)
  • 密钥更新:最好定期更换,避免一个密钥长期使用。
  • 密钥分发:对称密钥通过非对称加密安全下发,比如用RSA加密AES的密钥。

AES 加解密 Demo

先写一个最基础的AES加解密模块,跑通之后我们再扩展到实际场景。

// encryptionUtil.ets
import crypto from '@ohos.security.cryptoFramework';

export async function encryptAES(plainText: string, key: Uint8Array): Promise<Uint8Array> {
  const cipher = crypto.createCipher('AES/CBC/PKCS7');
  const iv = crypto.generateSecureRandom(16); // 使用随机IV提升安全性
  await cipher.init({ key, iv });
  const encrypted = await cipher.update(new TextEncoder().encode(plainText));
  return encrypted;
}

export async function decryptAES(cipherText: Uint8Array, key: Uint8Array, iv: Uint8Array): Promise<string> {
  const cipher = crypto.createCipher('AES/CBC/PKCS7');
  await cipher.init({ key, iv });
  const decrypted = await cipher.update(cipherText);
  return new TextDecoder().decode(decrypted);
}

// 使用示例
async function testEncrypt() {
  const key = crypto.createSymKey('AES', 256); // 生成AES-256密钥
  const text = 'HarmonyOS Data Security';
  const iv = crypto.generateSecureRandom(16); // 每次加密随机IV

  const encrypted = await encryptAES(text, key);
  const decrypted = await decryptAES(encrypted, key, iv);

  console.log('原始数据:', text);
  console.log('加密数据:', encrypted);
  console.log('解密结果:', decrypted);
}

testEncrypt();

代码解析

  1. 使用了 AES/CBC/PKCS7 模式,这是对称加密常用的安全方案。
  2. IV(初始化向量) 每次随机生成,避免相同数据加密后得到相同结果。
  3. crypto.createSymKey 自动生成AES-256密钥,避免开发者硬编码。

在生产中,密钥要交给HUKS管理,这样即使设备被Root,攻击者也拿不到密钥。

应用场景实战

本地存储加密

很多鸿蒙应用会把用户登录信息、本地缓存放在数据库或文件里。如果这些是明文,一旦数据库文件被拷走,风险极高。

下面的例子展示了如何对本地 data.storage 的Token做AES加密。

import dataStorage from '@ohos.data.storage';
import { encryptAES, decryptAES } from './encryptionUtil';

async function saveToken(token: string, key: Uint8Array, iv: Uint8Array) {
  const encrypted = await encryptAES(token, key);
  const storage = dataStorage.getStorageSync('/data/accounts.db');
  storage.putSync('user_token', JSON.stringify({
    data: Array.from(encrypted),
    iv: Array.from(iv)
  }));
  storage.flushSync();
}

async function getToken(key: Uint8Array): Promise<string> {
  const storage = dataStorage.getStorageSync('/data/accounts.db');
  const raw = JSON.parse(storage.getSync('user_token', '{}'));
  const encrypted = new Uint8Array(raw.data);
  const iv = new Uint8Array(raw.iv);
  return decryptAES(encrypted, key, iv);
}

分析

  • Token存储前先加密,即使数据库泄露也无法直接拿到明文。
  • IV和数据分开存储,解密时重新组合。
  • 适合保存 Token、用户敏感信息、离线配置

网络传输加密

在客户端和服务器通信时,常见的做法是:

客户端生成AES密钥;
用RSA公钥加密AES密钥并发送给服务器;
后续数据都用AES加密,提高效率。

// 伪代码,RSA加密密钥
import crypto from '@ohos.security.cryptoFramework';

async function encryptAESKey(aesKey: Uint8Array, publicKey: crypto.PubKey) {
  const cipher = crypto.createCipher('RSA/ECB/PKCS1');
  await cipher.init({ key: publicKey });
  return cipher.update(aesKey);
}

应用

  • 适用于 IoT 设备和云端的安全通信;
  • 确保即使数据被截获,攻击者也无法解密。

敏感字段加密

支付场景尤其需要对敏感字段加密,比如银行卡号、身份证号、CVV等。

async function encryptPaymentInfo(cardNumber: string, cvv: string, key: Uint8Array, iv: Uint8Array) {
  const encryptedCard = await encryptAES(cardNumber, key);
  const encryptedCVV = await encryptAES(cvv, key);
  return {
    card: Array.from(encryptedCard),
    cvv: Array.from(encryptedCVV),
    iv: Array.from(iv)
  };
}

分析

  • 每个字段单独加密,攻击者即使拿到报文也无法恢复真实卡号。
  • 适合金融支付、电商交易场景。

日志与调试信息加密

开发过程中,很多人喜欢在日志里打印调试信息。如果日志文件被拷贝,可能包含敏感数据。

解决方案:对日志里的敏感部分做加密存储,或者做脱敏处理。

function logSensitiveInfo(userId: string, key: Uint8Array, iv: Uint8Array) {
  encryptAES(userId, key).then(encrypted => {
    console.log('用户ID(加密存储):', Array.from(encrypted));
  });
}

常见问题 QA

Q1:AES密钥能不能直接写死在代码里?
A:不能。反编译APK后很容易拿到。建议用HUKS生成并存储密钥。

Q2:为什么AES要配合RSA?
A:RSA适合小数据加密(比如AES密钥),而AES适合大数据加密。两者结合既安全又高效。

Q3:IV(初始化向量)可以固定吗?
A:不能。固定IV会导致相同数据每次加密结果相同,容易被攻击者做统计分析。

Q4:性能会不会下降?
A:AES本身性能不错,适合移动端和IoT设备。如果要加速,可以用硬件加密模块。

总结

在鸿蒙系统里设计一套合理的数据加密策略,核心要点有:

  1. 算法组合:RSA负责密钥交换,AES负责数据加密,SHA负责完整性校验。
  2. 密钥管理:通过HUKS或硬件模块安全存储,避免硬编码。
  3. 场景化落地:本地存储、网络传输、支付场景、日志,都要按不同安全等级来加密。
  4. 防御思维:不是“加个算法就完事”,而是要从生成、存储、使用、销毁全流程考虑。

这样一套完整的加密方案,才能在保障数据安全的同时,兼顾应用的性能。

# harmonyos # 安全 # 华为
Logo
HarmonyOS开发者社区

讨论HarmonyOS开发技术,专注于API与组件、DevEco Studio、测试、元服务和应用上架分发等。

更多推荐

鸿蒙UI布局全适配指南

本文总结了鸿蒙UI布局兼容性问题及解决方案。主要内容包括:1)常见适配问题处理,如屏幕尺寸适配、布局优化和断点设计;2)核心布局技术实现,涵盖Flex/Grid/WaterFlow布局、分栏布局和响应式资源匹配;3)实战案例代码示范商品列表、导航栏和阅读器的自适应处理;4)开发工具使用和性能优化建议。文章提供了完整的技术方案和代码示例,帮助开发者解决鸿蒙应用在不同设备上的UI兼容性问题。

avatar HarmonyOS开发者社区

【小而美】HarmonyOS官方模板优秀案例(第5期:工具行业 · 日历应用)

在commons/lib_common/src/main/ets/httprequest/HttpRequest.ets文件中将云侧开发者自定义的数据结构转换为端侧数据结构。将commons/lib_common/src/main/ets/httprequest/HttpRequestApi.ets文件中的mock接口替换为真实的服务器接口。为支持开发者单独获取特定场景的页面和功能,本模板将功能完

avatar HarmonyOS开发者社区

【推荐+1】HarmonyOS官方模板优秀案例(第4期:餐饮行业 · 美食菜谱)

为支持开发者单独获取特定场景的页面和功能,例如开发者已搭建了一个自己的美食菜谱元服务工程,只想单独取用本模板中的菜篮子或热量计算功能,本模板将功能完全自闭环的部分能力抽离出独立的行业组件模块,不依赖公共基础能力包,开发者可以单独集成,开箱即用,降低使用难度。将commons/lib_common/src/main/ets/httprequest/HttpRequestApi.ets文件中的mock

avatar HarmonyOS开发者社区