本文旨在深入探讨华为鸿蒙HarmonyOS Next系统(截止目前API12)中对称密钥加解密算法的技术细节,基于实际开发实践进行总结。主要作为技术分享与交流载体,难免错漏,欢迎各位同仁提出宝贵意见和问题,以便共同进步。本文为原创内容,任何形式的转载必须注明出处及原作者。
在当今数字化时代,数据的安全性愈发重要,而对称密钥加解密算法在保障HarmonyOS Next系统中数据的机密性方面发挥着关键作用。无论是存储在本地设备的数据,还是在网络传输过程中的信息,对称密钥加解密都能有效地防止数据被未经授权的访问和窃取。

一、对称密钥加解密概述

对称密钥加解密是一种加密技术,它使用相同的密钥进行加密和解密操作。在HarmonyOS Next中,这种技术广泛应用于各种场景,尤其是在数据存储和传输过程中。例如,在存储用户的个人敏感信息(如密码、银行卡号等)时,通过对称密钥加密,可以确保即使数据被非法获取,没有正确的密钥也无法解读其内容。在数据传输方面,如在设备与服务器之间传输重要业务数据时,对称密钥加密能有效防止数据在传输过程中被窃取或篡改,保障数据的完整性和保密性。

二、AES算法详解

(一)加密模式与适用场景

AES(Advanced Encryption Standard)算法是一种非常常用的对称加密算法,在HarmonyOS Next中提供了7种加密模式,包括ECB、CBC、OFB、CFB、CTR、GCM和CCM。这些加密模式各有特点,适用于不同的场景。
ECB(Electronic Codebook)模式是最简单的加密模式,它将明文分成若干个块,每个块独立进行加密。这种模式适用于对少量数据进行加密,且数据块之间相互独立、无关联的情况。例如,加密一些配置文件中的单个参数时可以使用ECB模式。然而,由于其每个块独立加密的特性,相同的明文块会被加密成相同的密文块,可能存在一定的安全风险。
CBC(Cipher Block Chaining)模式则引入了反馈机制,前一个密文块会参与到下一个明文块的加密过程中。这种模式在加密大量连续数据时非常有效,能有效防止ECB模式中相同明文块加密结果相同的问题,适用于文件加密、网络通信中的数据加密等场景。例如,在加密一个较大的文档时,CBC模式可以确保整个文档的加密安全性。
GCM(Galois/Counter Mode)模式不仅提供了数据加密功能,还具备认证功能,能够确保数据的完整性和真实性。它在需要同时保证数据机密性和完整性的场景中表现出色,如在安全通信协议中,对消息进行加密的同时还能验证消息是否被篡改。

(二)加密参数差异

不同的加密模式在加密参数上也有所不同。以CBC模式为例,它需要一个初始化向量(IV)作为加密参数,这个IV在每次加密时都应该是随机生成且不同的,以增加加密的安全性。而GCM模式除了IV之外,还需要一个附加验证数据(aad),用于在解密时进行数据完整性验证。

(三)示例代码展示

下面是一个使用AES算法在CBC模式下进行加密和解密的示例代码:

import { cryptoFramework } from '@kit.CryptoArchitectureKit';
import { buffer } from '@kit.ArkTS';
// 生成随机的128位密钥
function generateRandomKey() {
    let rand = cryptoFramework.createRandom();
    return rand.generateRandomSync(16);
}
// 生成CBC模式所需的初始化向量
function generateIvParamsSpec() {
    let ivBlob = generateRandomKey();
    let ivParamsSpec: cryptoFramework.IvParamsSpec = {
        algName: "IvParamsSpec",
        iv: ivBlob
    };
    return ivParamsSpec;
}
// 加密函数
async function encryptMessage(symKey, plainText, ivParamsSpec) {
    let cipher = cryptoFramework.createCipher('AES128|CBC|PKCS7');
    await cipher.init(cryptoFramework.CryptoMode.ENCRYPT_MODE, symKey, ivParamsSpec);
    let encryptData = await cipher.doFinal(plainText);
    return encryptData;
}
// 解密函数
async function decryptMessage(symKey, cipherText, ivParamsSpec) {
    let decoder = cryptoFramework.createCipher('AES128|CBC|PKCS7');
    await decoder.init(cryptoFramework.CryptoMode.DECRYPT_MODE, symKey, ivParamsSpec);
    let decryptData = await decoder.doFinal(cipherText);
    return decryptData;
}
async function main() {
    try {
        // 生成对称密钥
        let keyData = generateRandomKey();
        let symKeyBlob: cryptoFramework.DataBlob = { data: keyData };
        let aesGenerator = cryptoFramework.createSymKeyGenerator('AES128');
        let symKey = await aesGenerator.convertKey(symKeyBlob);
        // 生成初始化向量
        let ivParamsSpec = generateIvParamsSpec();
        // 要加密的消息
        let message = "This is a test";
        let plainText: cryptoFramework.DataBlob = { data: new Uint8Array(buffer.from(message, 'utf-8').buffer) };
        // 加密消息
        let encryptText = await encryptMessage(symKey, plainText, ivParamsSpec);
        // 解密消息
        let decryptText = await decryptMessage(symKey, encryptText, ivParamsSpec);
        if (plainText.data.toString() === decryptText.data.toString()) {
            console.info('decrypt ok');
            console.info('decrypt plainText: ' + buffer.from(decryptText.data).toString('utf-8'));
        } else {
            console.error('decrypt failed');
        }
    } catch (error) {
        console.error(`AES CBC “${error}“, error code: ${error.code}`);
    }
}
main();

在上述代码中,首先通过generateRandomKey函数生成了一个128位的随机密钥,然后使用generateIvParamsSpec函数生成了CBC模式所需的初始化向量。接着,创建了AES算法在CBC模式下的Cipher实例,并使用密钥和初始化向量进行初始化。在加密时,调用doFinal方法传入明文数据获取密文,解密时则传入密文数据获取明文。

(四)填充模式及数据处理方式

由于AES是分组加密算法,分组长度为128位(16字节),当明文长度不是16字节的整数倍时,需要进行填充。在HarmonyOS Next中,支持PKCS5和PKCS7填充模式。PKCS5填充模式实际上是PKCS7填充模式的一个特例,当分组长度为8字节时(如3DES算法),PKCS5和PKCS7填充方式相同;而对于AES算法,PKCS7填充模式更为通用,它会根据需要填充的字节数,用相应数量的字节值进行填充,使得数据长度达到分组长度的整数倍。
在数据处理过程中,对于加密操作,如果明文长度不足分组长度,会按照选择的填充模式进行填充后再进行加密。对于解密操作,解密后的结果需要去除填充部分才能得到原始的明文数据。

三、3DES与SM4算法

(一)基本特性

3DES(Triple Data Encryption Standard)算法是基于DES算法的改进版本,它对明文/密文数据进行三次DES加密或解密操作。其分组长度为64位(8字节),在实际应用中,同样需要对最后一组不足8字节的明文进行填充。3DES算法提供了4种加密模式,分别是ECB、CBC、OFB和CFB,与AES算法类似,但在加密强度和效率上有所不同。
SM4算法是我国自主设计的分组对称加密算法,分组长度为128位(16字节)。它也提供了多种加密模式,如ECB、CBC、CTR、OFB、CFB、CFB128和GCM等。SM4算法在国内的安全领域应用广泛,特别是在对安全性要求较高的政务、金融等领域。

(二)与AES算法的异同点

与AES算法相比,3DES算法的加密强度相对较低,计算速度较慢,但在某些旧系统或对兼容性有要求的场景中仍然可能被使用。而SM4算法作为国产算法,具有自主可控的优势,在国内环境下能更好地满足安全需求。在加密模式方面,3DES和SM4算法与AES算法有部分相同的模式,但在具体实现和参数设置上可能存在差异。

(三)示例代码展示

以下是一个简单的SM4算法在ECB模式下的加密和解密示例代码:

import { cryptoFramework } from '@kit.CryptoArchitectureKit';
import { buffer } from '@kit.ArkTS';
// 生成随机的128位SM4密钥
function generateRandomSM4Key() {
    let rand = cryptoFramework.createRandom();
    return rand.generateRandomSync(16);
}
// 加密函数
async function encryptSM4Message(symKey, plainText) {
    let cipher = cryptoFramework.createCipher('SM4_128|ECB|PKCS7');
    await cipher.init(cryptoFramework.CryptoMode.ENCRYPT_MODE, symKey, null);
    let encryptData = await cipher.doFinal(plainText);
    return encryptData;
}
// 解密函数
async function decryptSM4Message(symKey, cipherText) {
    let decoder = cryptoFramework.createCipher('SM4_128|ECB|PKCS7');
    await decoder.init(cryptoFramework.CryptoMode.DECRYPT_MODE, symKey, null);
    let decryptData = await decoder.doFinal(cipherText);
    return decryptData;
}
async function main() {
    try {
        // 生成SM4对称密钥
        let keyData = generateRandomSM4Key();
        let symKeyBlob: cryptoFramework.DataBlob = { data: keyData };
        let sm4Generator = cryptoFramework.createSymKeyGenerator('SM4_128');
        let symKey = await sm4Generator.convertKey(symKeyBlob);
        // 要加密的消息
        let message = "This is a test";
        let plainText: cryptoFramework.DataBlob = { data: new Uint8Array(buffer.from(message, 'utf-8').buffer) };
        // 加密消息
        let encryptText = await encryptSM4Message(symKey, plainText);
        // 解密消息
        let decryptText = await decryptSM4Message(symKey, encryptText);
        if (plainText.data.toString() === decryptText.data.toString()) {
            console.info('decrypt ok');
            console.info('decrypt plainText: ' + buffer.from(decryptText.data).toString('utf-8'));
        } else {
            console.error('decrypt failed');
        }
    } catch (error) {
        console.error(`SM4 “${error}“, error code: ${error.code}`);
    }
}
main();

在这个示例中,生成了一个128位的SM4密钥,然后创建了SM4算法在ECB模式下的Cipher实例进行加密和解密操作。由于ECB模式不需要额外的加密参数(如初始化向量),在初始化时直接传入null
通过对HarmonyOS Next中的对称密钥加解密算法,特别是AES、3DES和SM4算法的详细解析,我们可以根据实际应用场景选择合适的算法和加密模式,以确保数据的安全性和高效性。在开发过程中,充分理解这些算法的特性、加密模式、填充模式以及数据处理方式,能够帮助我们更好地应对各种数据安全挑战,为用户提供更加安全可靠的应用和服务。同时,随着技术的不断发展,我们也应持续关注新的安全需求和算法改进,不断优化和完善数据安全防护机制。


SameX
1 声望2 粉丝