Android Keystore 深度解析
📚 共计 30 章节
01
Keystore前世今生
Android安全体系概览 · Keystore诞生背景 · 从软件实现到硬件隔离的演进之路
演进
背景
02
Keystore架构设计
系统服务层 · JNI桥接层 · HAL硬件抽象层 · TEE安全世界,四层架构深度拆解
四层架构
HAL
03
Keymaster HAL接口
ICryptographicToken · IKeymasterDevice · HIDL与AIDL变迁 · 关键方法详解
HIDL
AIDL
04
Keystore密钥生成
generateKey接口调用链 · 参数解析 · 密钥材料生成 · 安全存储全流程
generateKey
安全存储
05
Keystore密钥导入
importKey与importWrappedKey · 密钥格式解析 · 安全传输通道建立
导入
WrappedKey
06
Keystore加解密操作
begin/update/finish三步走 · 操作句柄管理 · 数据流处理机制
加解密
句柄
07
Keystore签名验签
sign与verify接口 · 摘要算法选择 · PKCS#1 v1.5与PSS填充模式
签名
PSS
08
Keystore密钥导出
exportKey与getKeyCharacteristics · 公钥导出限制 · 特征信息获取
导出
公钥
09
Keystore密钥删除
deleteKey与deleteAllKeys · 引用计数管理 · 安全擦除策略
删除
擦除
10
Keystore访问控制
锁屏状态检测 · 用户认证绑定 · 超时策略 · 生物识别集成
锁屏
生物识别
11
Keystore授权标签
TAG_PURPOSE · TAG_ALGORITHM · TAG_KEY_SIZE等关键标签详解
TAG
授权
12
Keystore密钥用途
签名、加密、解密、密钥协商、密钥派生,多用途组合策略
多用途
派生
13
Keystore密钥来源
TEE生成 · SE生成 · 导入 · 安全导入,不同来源的安全等级对比
TEE
SE
14
Keystore密钥存储
文件系统加密存储 · 密钥槽管理 · 闪存磨损均衡策略
加密存储
磨损均衡
15
Keystore密钥链
证书链管理 · 自签名证书 · CA证书导入 · 信任锚点配置
证书链
CA
16
Keystore密钥认证
AttestationKey · 认证证书链 · 远程证明协议 · 设备唯一性绑定
认证
Attestation
17
Keystore密钥升级
密钥版本管理 · 算法迁移 · 密钥轮换策略 · 向后兼容性处理
升级
轮换
18
Keystore密钥备份
备份限制策略 · 密钥材料导出限制 · 云备份安全机制
备份
云备份
19
Keystore密钥恢复
设备重置后的密钥恢复 · Factory Reset Protection · 密钥生命周期终结
恢复
FRP
20
Keystore性能优化
批量操作 · 缓存策略 · 异步调用 · 功耗优化 · 延迟分析
性能
缓存
21
Keystore安全边界
TEE与REE隔离 · 内存保护 · 侧信道攻击防护 · 故障注入防护
隔离
侧信道
22
Keystore日志与调试
logcat日志分析 · dumpsys keystore命令 · SELinux策略调试
调试
SELinux
23
Keystore版本演进
Android 4.0到14.0的Keystore变迁 · API变更 · 新特性解读
版本
演进
24
Keystore与生物识别
BiometricPrompt集成 · 指纹密钥绑定 · 人脸识别安全策略
生物识别
指纹
25
Keystore与TEE
Trusty TEE · QSEE · OPTEE · TEE内部密钥管理 · 安全世界通信协议
TEE
QSEE
26
Keystore与SE
eSE · UICC · SD卡SE · SE访问控制 · GP规范兼容性
eSE
GP
27
Keystore与StrongBox
独立安全芯片 · 防篡改设计 · 密钥存储上限 · 性能对比
StrongBox
安全芯片
28
Keystore与FIDO2
WebAuthn集成 · CTAP协议 · U2F密钥对生成 · 认证器注册
FIDO2
WebAuthn
29
Keystore实战案例
支付SDK密钥保护 · VPN证书管理 · 端到端加密实现 · DRM方案集成
实战
DRM
30
Keystore安全审计
密钥使用审计 · 安全策略检查 · 合规性验证 · 渗透测试方法论
审计
渗透测试