安全加固：敏感数据加密存储与传输安全（57）

在鸿蒙（HarmonyOS）开发中，构建严密的安全防线是保障应用与用户数据的核心。针对"敏感数据加密存储"与"传输安全"，开发者应充分利用鸿蒙原生提供的安全 Kit 以及生态伙伴的加固 SDK，从底层架构到业务逻辑实现全方位防护。

一、 敏感数据加密存储

对于账号密码、Token、银行卡号等短敏感数据，以及长文本机密文件，需采用系统级的安全存储方案。

1. 短敏感数据的安全存储（Asset Store Kit） ：使用 Asset Store Kit 将短敏感数据以密文形式存储在 ASSET 数据库中。其加解密操作及访问控制校验均在底层安全环境（如可信执行环境 TEE）中完成，即使系统被攻破，也能保证数据不泄露。同时，可结合锁屏状态、用户认证（如指纹、人脸）设置访问控制策略。
2. 长敏感数据与文档保护（Data Protection Kit） ：对于超长数据或机密文档，应使用 Data Loss Prevention Kit（数据防泄漏服务）。应用开发者仅需少量适配，即可实现文档的权限管理、加密存储与授权访问。配合星盾安全 2.0 的 EL5 加密能力，可为应用生成独立密钥，并在锁屏时丢弃密钥，确保设备丢失时数据绝对安全。
3. 密钥全生命周期管理（Universal Keystore Kit） ：使用 Universal Keystore Kit 进行密钥的生成、存储、导入与销毁，确保密钥本身的安全性，避免硬编码带来的风险。

1. 短敏感数据的安全存储（Asset Store Kit）

对于账号密码、Token 等短敏感数据，应使用 Asset Store Kit 进行存储。底层加解密在 TEE 中完成，应用层无需接触明文密钥。

import { asset } from '@kit.AssetStoreKit';
import { util } from '@kit.ArkTS';
import { BusinessError } from '@kit.BasicServicesKit';

// 辅助函数：字符串转 Uint8Array
function stringToArray(str: string): Uint8Array {
    let textEncoder = new util.TextEncoder();
    return textEncoder.encodeInto(str);
}

// 场景：安全存储用户登录密码
async function saveUserPassword(alias: string, password: string) {
    let attr: asset.AssetMap = new Map();
    attr.set(asset.Tag.SECRET, stringToArray(password)); // 敏感数据明文
    attr.set(asset.Tag.ALIAS, stringToArray(alias));     // 唯一索引别名
    attr.set(asset.Tag.ACCESSIBILITY, asset.Accessibility.DEVICE_FIRST_UNLOCKED); // 首次解锁后可访问

    try {
        await asset.add(attr);
        console.info('密码安全存储成功');
    } catch (err) {
        let error = err as BusinessError;
        console.error(`存储失败: ${error.message}`);
    }
}

2. 密钥全生命周期管理（Universal Keystore Kit）

对于长敏感数据，需要自行生成和管理密钥。使用 Universal Keystore Kit (HUKS) 可以确保密钥材料永远不离开安全硬件（TEE）。

import { huks } from '@kit.UniversalKeystoreKit';
import { BusinessError } from '@kit.BasicServicesKit';

// 场景：在 TEE 中安全生成 AES-256 加密密钥
async function generateSecureKey(keyAlias: string) {
    let properties: Array<huks.HuksParam> = [
        { tag: huks.HuksTag.HUKS_TAG_ALGORITHM, value: huks.HuksKeyAlg.HUKS_ALG_AES },
        { tag: huks.HuksTag.HUKS_TAG_KEY_SIZE, value: huks.HuksKeySize.HUKS_AES_KEY_SIZE_256 },
        { tag: huks.HuksTag.HUKS_TAG_PURPOSE, value: huks.HuksKeyPurpose.HUKS_KEY_PURPOSE_ENCRYPT | huks.HuksKeyPurpose.HUKS_KEY_PURPOSE_DECRYPT },
        { tag: huks.HuksTag.HUKS_TAG_BLOCK_MODE, value: huks.HuksCipherMode.HUKS_MODE_GCM },
        { tag: huks.HuksTag.HUKS_TAG_PADDING, value: huks.HuksKeyPadding.HUKS_PADDING_NONE }
    ];

    let options: huks.HuksOptions = { properties: properties };

    try {
        await huks.generateKeyItem(keyAlias, options);
        console.info('密钥在 TEE 中生成成功，应用层仅持有别名');
    } catch (err) {
        let error = err as BusinessError;
        console.error(`密钥生成失败: ${error.message}`);
    }
}

3. 长敏感数据的加密存储与解密

结合 cryptoFramework 与 HUKS，对长文本机密文件进行加密。注意：应用层只持密钥别名，真实的加解密运算在 TEE 内完成。

import { huks } from '@kit.UniversalKeystoreKit';
import { util } from '@kit.ArkTS';

// 场景：使用 TEE 中的密钥加密长文本数据
async function encryptLongData(keyAlias: string, plainText: string) {
    let textEncoder = new util.TextEncoder();
    let dataToEncrypt = textEncoder.encodeInto(plainText);

    // 生成随机 Nonce (GCM 模式必须)
    let nonce = await huks.generateRandom(12); 

    let options: huks.HuksOptions = {
        properties: [
            { tag: huks.HuksTag.HUKS_TAG_ALGORITHM, value: huks.HuksKeyAlg.HUKS_ALG_AES },
            { tag: huks.HuksTag.HUKS_TAG_PURPOSE, value: huks.HuksKeyPurpose.HUKS_KEY_PURPOSE_ENCRYPT },
            { tag: huks.HuksTag.HUKS_TAG_BLOCK_MODE, value: huks.HuksCipherMode.HUKS_MODE_GCM },
            { tag: huks.HuksTag.HUKS_TAG_NONCE, value: nonce }
        ]
    };

    try {
        // 调用 TEE 进行加密，返回密文 + GCM Tag
        let result = await huks.encryptItem(keyAlias, options, dataToEncrypt);
        console.info('长数据加密成功，密文安全');
        return result.outData; // 返回密文，可存入本地文件或数据库
    } catch (err) {
        console.error('数据加密失败:', err);
        return null;
    }
}

4. 密钥的安全销毁

当密钥废弃或用户注销时，必须彻底清理密钥，防止残留风险。

import { huks } from '@kit.UniversalKeystoreKit';

// 场景：安全删除不再使用的密钥
async function deleteSecureKey(keyAlias: string) {
    try {
        await huks.deleteKeyItem(keyAlias);
        console.info('密钥已从安全硬件中彻底销毁');
    } catch (err) {
        console.error('密钥删除失败:', err);
    }
}

二、 传输安全与通信加密

为防止数据在网络传输过程中被中间人攻击、抓包或窃取，需在通信链路层进行加密防护。

1. 通信协议级加密（梆梆安全通信协议保护 SDK）：集成生态伙伴提供的通信协议保护 SDK，从应用实际通信隐患入手，提供"管道安全保护"。该 SDK 对客户端与服务端之间的数据传输及通讯协议进行加密，有效防止抓包、窃取等中间人攻击，确保数据传输的安全性和完整性。
2. 国密算法支持（Crypto Architecture Kit & 国密 SDK） ：在应用层加密时，优先使用 Crypto Architecture Kit 提供的国密算法（SM2/SM3/SM4）进行数据加解密。同时，可接入科蓝或深信服的国密网络通信 SDK，通过支持国产密码算法的 SSL 通道加密防护，确保用户输入及网络传输全流程中敏感信息不被窃取。
3. 安全输入防泄露（可信安全键盘 SDK）：针对金融等隐私数据输入场景，集成可信安全键盘 SDK。通过独有的三层防护技术，对键盘的输入数据、运行数据、传输数据进行加密保护，从源头降低用户输入数据泄露的风险。

1. 国密算法支持（Crypto Architecture Kit）

在应用层对敏感数据进行传输前加密时，优先使用鸿蒙原生的 Crypto Architecture Kit 结合国密算法（如 SM4）。这能满足政务、金融等高合规场景的需求。

import { cryptoArchitectureKit } from '@kit.CryptoArchitectureKit';

// 场景：在发送网络请求前，使用国密 SM4 算法对敏感数据进行加密
async function encryptPayloadForTransport(plainText: string, key: Uint8Array): Promise<Uint8Array> {
    try {
        // 创建 SM4 加密器（GCM 模式提供认证加密）
        const cipher = await cryptoArchitectureKit.createCipher('SM4_128_GCM');
        
        // 生成随机初始化向量（IV）
        const iv = cryptoArchitectureKit.generateRandom(16);
        
        // 初始化加密器
        await cipher.init(cryptoArchitectureKit.CipherMode.ENCRYPT, key, { iv: iv });
        
        // 执行加密
        const encryptedData = await cipher.doFinal(new TextEncoder().encode(plainText));
        
        console.info('数据国密加密成功，准备进行安全传输');
        // 实际传输时，需将 iv 与 encryptedData 一并发送给服务端
        return encryptedData; 
    } catch (err) {
        console.error('数据加密失败:', err);
        throw err;
    }
}

2. 安全输入防泄露（自定义安全键盘）

针对密码、验证码等隐私数据输入场景，可通过 IME Kit 定制安全虚拟键盘。通过禁用预测文本、实时加密按键事件，从源头防止内存抓取和第三方输入法窃听。

import { inputMethodEngine } from '@kit.IMEKit';
import { cryptoArchitectureKit } from '@kit.CryptoArchitectureKit';

class SecurityIME extends inputMethodEngine.InputMethodService {
    private cipher: cryptoArchitectureKit.Cipher | null = null;

    onCreate() {
        // 初始化加密器，用于实时加密用户的按键输入
        // 实际场景中需从安全存储中获取动态密钥
        cryptoArchitectureKit.createCipher('AES_128_GCM').then(cipher => {
            this.cipher = cipher;
        });
    }

    // 构建安全键盘视图
    buildKeyboardView(): inputMethodEngine.KeyboardView {
        return {
            type: 'numeric',
            keys: [
                { code: '1', display: '①' }, { code: '2', display: '②' }, { code: '3', display: '③' },
                { code: 'delete', display: '⌫' }
            ],
            onKeyPress: async (key) => {
                if (key.code === 'delete') {
                    this.dispatchDeleteAction();
                } else if (this.cipher) {
                    // 【关键】实时加密每个按键事件，内存中不保留明文
                    const encrypted = await this.cipher.doFinal(new TextEncoder().encode(key.code));
                    this.commitText(encrypted.toString()); 
                }
            }
        };
    }

    // 【关键】禁用预测文本，防止输入法引擎缓存用户输入
    shouldSuggest(): boolean {
        return false;
    }
}

3. 通信协议级加密（SDK 集成实践）

对于需要极高安全级别的金融级通信，集成生态伙伴（如梆梆安全）的通信协议保护 SDK 是最佳实践。该 SDK 在底层提供"白盒密码"和"一次一密"能力，无需开发者手动处理复杂的密钥协商。

// 场景：集成第三方通信协议保护 SDK（以伪代码展示接入方式）
import { CommSecuritySDK } from '@bangcle/comm-security-harmony'; // 引入第三方SDK

async function initSecureChannel() {
    try {
        // 1. 初始化安全通信管道（SDK 内部自动处理国密算法与动态密钥）
        await CommSecuritySDK.init({
            appId: 'your_app_id',
            enableWhiteBoxCrypto: true, // 开启白盒密码技术，防止密钥被逆向
            enableDynamicKey: true      // 开启动态密钥，实现一次一密
        });

        // 2. 发起安全网络请求
        const response = await CommSecuritySDK.request({
            url: 'https://api.bank.com/transfer',
            method: 'POST',
            body: { amount: 1000, toAccount: '622848...' }
        });

        console.info('安全通道数据传输成功:', response);
    } catch (err) {
        console.error('安全通信失败，可能存在中间人攻击:', err);
    }
}

三、 代码与 API 核心资产防护

除了数据本身，应用代码和 API 接口也是攻击者的主要目标，需进行防逆向与防篡改加固。

1. 应用与 SDK 双路径加固（梆梆安全加固） ：针对鸿蒙应用，提供"源码级"与"二进制级"双路径加固方案。在开发阶段，可在 DevEco Studio 中自动混淆 ArkTS/TS/C++ 源码；在发布阶段，支持对 .hap 或 .app 文件进行一键式字节码加密，全面保护核心代码防逆向、防分析、防窃取。
2. API 安全监测（梆梆安全 API 安全平台）：通过对 API 上线后的数据流量进行实时监测，帮助企业建立完整的 API 安全防御管控机制，解决应用运行后面临的各类接口安全风险。

1. 基础防线：DevEco Studio 官方代码混淆

在开发阶段，开发者应首先开启 DevEco Studio 默认的混淆能力。该功能基于抽象语法树（AST）分析，对类名、方法名等进行重命名，并移除调试日志，在不影响运行时性能的前提下增加逆向难度。

// build-profile.json5 配置示例
{
  "app": {
    "modules": [
      {
        "name": "entry",
        "srcPath": "./entry",
        "buildTypes": {
          "release": {
            "proguard": {
              // 【关键】在 Release 构建模式下开启代码混淆
              "enable": true, 
              "files": ["./proguard-rules.pro"] // 指定混淆规则文件
            }
          }
        }
      }
    ]
  }
}

2. 进阶防护：梆梆安全"双路径"加固集成

针对核心算法或高价值应用，推荐集成梆梆安全的双路径加固方案。开发者可根据项目阶段灵活选择"源码级"或"二进制级"加固。

路径一：源码级加固（推荐在开发阶段使用）

通过插件化方式自动完成，零代码改造，适合需要高强度保护且拥有完整源码的场景。

// 源码级加固示例：对核心支付逻辑进行深度混淆标记
// 结合第三方加固 SDK 的注解或配置文件，指示加固引擎对特定类进行控制流平坦化
@Obfuscate(level = "high", controlFlow = true)
export class CorePaymentProcessor {
    private apiKey: string = "sensitive_key_data";

    public async processTransaction(amount: number): Promise<boolean> {
        // 核心交易逻辑将被转化为复杂的"迷宫"执行路径
        // 即使攻击者获取源码，也难以理解其真实业务逻辑
        return await this.executeSecurePayment(amount); 
    }
}

路径二：二进制级加固（推荐在发布阶段使用）

支持对已编译的 .hap 或 .app 文件进行一键式字节码加密，无需开发人员生产环境，适合委托开发或快速处置场景。

// 二进制级加固集成示例（伪代码展示 CI/CD 流水线接入）
import { BangcleArmor } from '@bangcle/harmony-armor';

async function armorReleasePackage() {
    try {
        // 一键式全自动加固处理，直接对编译产物进行字节码加密
        const result = await BangcleArmor.abcArmor({
            inputPath: './build/default/outputs/default/entry-default.hap',
            outputPath: './build/default/outputs/default/entry-secured.hap',
            config: {
                enableAntiDebug: true,      // 开启防动态调试
                enableMemoryProtect: true,  // 开启内存防篡改
                enableSoProtect: true       // 开启 SO 核心库保护
            }
        });
        console.info('二进制加固成功:', result.securedPath);
    } catch (err) {
        console.error('应用加固失败:', err);
    }
}

3. 运行时防御：API 安全监测与防 Hook

应用上线后，攻击者可能通过动态调试或 Hook 框架篡改 API 接口。需结合加固 SDK 的环境检测与 API 监测平台进行实时防御。

import { SecurityGuard } from '@bangcle/security-guard';

// 场景：在应用启动时进行环境安全自检与 API 防护
async function initAppSecurity() {
    // 1. 检测运行环境，防止在模拟器或 Root/调试状态下运行
    const envStatus = await SecurityGuard.checkEnvironment();
    if (envStatus.isRooted || envStatus.isDebuggerAttached) {
        console.warn('检测到非法运行环境，终止核心服务');
        return;
    }

    // 2. 初始化 API 安全监测探针，实时拦截非法的接口调用与数据篡改
    SecurityGuard.initApiMonitor({
        appId: 'your_app_id',
        onRiskDetected: (riskEvent) => {
            // 当检测到 Hook 注入或异常流量时，上报风险并阻断请求
            console.error('API 安全告警:', riskEvent.message);
        }
    });
}

四、 分布式通信安全：跨设备协同的"零信任"机制

鸿蒙的核心特性是分布式能力，但跨设备流转也带来了新的攻击面。必须贯彻"跨设备不等于无边界"的原则：

1. 设备身份强认证：在调用车机、手表等远端设备能力前，必须验证设备归属（如通过华为账号 ID 校验），确保仅同一用户的可信设备间才能建立连接。
2. 分布式权限显式校验：即使远端设备可信，主控方在调用远端摄像头、麦克风等敏感能力时，被控方设备也必须进行显式的权限校验。不可仅依赖主控方的授权，防止恶意应用通过跨端调用越权窃取隐私。

五、 精细化权限管控：从"管权限"到"管数据"

星盾安全架构改变了传统应用获取隐私的方式，要求开发者在业务逻辑中严格遵循"数据最小化"原则：

1. 精细化授权与沙箱隔离：应用禁止索取通话记录、短信等9类不合理权限。对于图库、通讯录等敏感数据，必须支持用户仅授权特定文件或条目（如仅授权单张照片），应用无法获取许可范围外的数据。
2. 行为实时监控与拦截：系统会在底层实时监控应用的数据访问行为。一旦发现应用试图越权访问或后台违规调用敏感接口，系统将立即阻断其运行，并在隐私安全中心向用户透明化展示。

六、 AI 智能体（Agent）全链路安全防护

随着鸿蒙全面向 Agent 架构演进（如小艺智能助手），针对 AI 权限提升带来的新型风险，需引入智能体专属安全框架：

1. 端云双轨与数据匿名化：遵循"本地优先+云端匿名"原则。用户的唤醒词、声纹等生物特征数据完全本地化存储；云端处理时通过三重盲化技术剥离身份信息，确保云端管理员也无法获取明文数据。
2. 五维安全护栏与动态干预：构建覆盖数据流、模型推理、算力调度、应用接口及动态适应的五维防护链。当 AI 智能体执行跨应用操作（如支付转账、修改网络设置）时，系统会实时监测异常行为，对高风险操作实施双重确认或自动拦截。

七、 底层内核与硬件级完整性保护

安全不能仅停留在应用层，必须向下扎根到系统内核与硬件：

1. 内核完整性与稀有写保护：利用 ARMv8 虚拟化扩展模式，实现内核及驱动模块代码段、只读数据段的不可篡改。引入"稀有写（Write-Rare）"机制，对内核中极少被更改的动态数据提供保护，即使攻击者获取了内核级内存写能力，也无法篡改关键系统寄存器。
2. 硬件级密钥库（HUKS/TEE）：所有的敏感数据加解密操作及访问控制校验，均必须在可信执行环境（TEE）中完成。密钥由硬件级密钥库生成并保护，即使设备被 Root 或物理攻破，也无法导出密钥或解密数据。