Android 10及以上版本强制使用的基于文件的加密(File-Based Encryption, FBE) 是一个多层级、硬件绑定的安全体系从ARM TrustZone硬件安全区到Linux内核fscrypt子系统再到Android框架层的密钥管理服务形成了一个完整的加密链条。本文将从底层到上层逐层拆解其技术实现原理。一、整体技术架构Android FBE采用四层加密架构每一层都为上一层提供安全保障应用层 → 框架层(vold/Gatekeeper/Keystore) → 内核层(fscrypt) → 硬件层(TEE/Keymint)核心设计原则密钥永远不以明文形式离开硬件安全区(TEE)每个文件使用独立的加密密钥加密操作完全在内核层透明完成应用无感知所有密钥与设备硬件唯一绑定无法移植到其他设备二、硬件安全基础层信任根整个加密体系的安全性最终建立在硬件安全基础之上没有硬件支持的加密都是脆弱的。1. ARM TrustZone与TEETrustZoneARM处理器的硬件安全扩展将CPU划分为安全世界(Secure World)和普通世界(Normal World)可信执行环境(TEE)运行在安全世界的独立操作系统与Android系统完全隔离安全特性普通世界的代码无法访问安全世界的内存所有加密操作和密钥存储都在TEE中完成即使Android系统被完全攻破也无法获取TEE中的密钥2. KeyMint(原Keymaster)KeyMint是运行在TEE中的可信应用(TA)负责所有加密密钥的生成、存储和使用生成真随机数作为加密主密钥使用硬件唯一密钥(HUK)加密所有用户密钥生成KeyBlob验证密钥使用的授权条件(如用户已解锁)执行所有加密/解密操作3. Weaver与RPMBWeaver运行在安全元件(SE)中的服务提供防暴力破解的密钥派生功能RPMB(Replay Protected Memory Block)eMMC/UFS中的特殊分区提供防重放的安全存储作用存储加密后的KeyBlob和密码验证尝试次数防止离线暴力破解三、Linux内核层fscrypt子系统fscrypt是Linux内核原生的文件系统加密机制Android FBE完全基于fscrypt实现直接集成在ext4和F2FS文件系统中。1. fscrypt工作原理fscrypt通过在虚拟文件系统(VFS)层插入钩子函数透明地拦截所有文件I/O操作写入时将明文数据加密后再写入磁盘读取时从磁盘读取加密数据解密后返回给应用透明性应用和用户完全感知不到加密过程的存在2. 加密算法与模式Android 11及以上版本使用fscrypt v2策略默认加密算法文件内容AES-256-XTS模式XTS模式专门针对磁盘加密设计支持随机访问每个512字节扇区使用不同的 tweak 值文件名AES-256-CBC-CTS模式支持任意长度的文件名加密加密后的文件名长度与原文件名相同低端设备使用Adiantum算法不需要硬件AES加速也能获得良好性能3. 密钥层次结构(最关键设计)fscrypt采用三级密钥体系这是FBE安全性和灵活性的核心主密钥(Master Key) → 每文件密钥(FEK) → 扇区密钥(Sector Key)主密钥(Master Key)每个用户有两个主密钥DE密钥和CE密钥长度为64字节(512位)由KeyMint在TEE中生成存储在内核密钥环(Keyring)中重启后消失每文件密钥(FEK)每个文件/目录使用独立的唯一密钥由主密钥通过HKDF-SHA512派生而来派生参数包括文件的inode号和生成时间扇区密钥(Sector Key)每个512字节扇区使用不同的密钥由FEK和扇区号派生而来防止相同内容在不同扇区出现相同密文设计优势一个文件的密钥泄露不会影响其他文件可以单独删除或轮换某个文件的密钥支持细粒度的访问控制4. 加密上下文(Encryption Context)每个加密文件的元数据中都包含一个加密上下文存储在文件的扩展属性(xattr)中struct fscrypt_context_v2 { u8 version; // 版本号v2为2 u8 contents_encryption_mode; // AES-256-XTS u8 filenames_encryption_mode; // AES-256-CTS u8 flags; u8 master_key_identifier[16]; // 主密钥的哈希值 u8 nonce[16]; // 派生FEK的随机数 };当读取文件时内核根据加密上下文找到对应的主密钥然后派生FEK和扇区密钥进行解密如果主密钥不在内核密钥环中文件内容将无法解密5. 内联加密引擎(ICE)现代Android设备都集成了硬件内联加密引擎直接位于存储控制器和eMMC/UFS之间加密/解密操作完全由硬件完成不占用CPU资源性能开销几乎为零(内核只需将加密上下文传递给ICE由ICE自动处理I/O四、Android框架层密钥管理与生命周期Android框架层负责管理加密密钥的生命周期连接硬件安全区和内核fscrypt子系统。1. 核心服务vold(Volume Daemon)存储管理守护进程是FBE的核心协调者Gatekeeper密码验证服务运行在TEE中Keystore密钥存储服务提供应用和系统访问KeyMint的接口LockSettingsService锁屏设置服务管理用户密码和解锁状态2. 密钥派生完整链条这是FBE最核心的安全流程所有密钥最终都与用户密码和设备硬件绑定用户密码/PIN ↓ scrypt(密码, salt) # 慢哈希函数增加暴力破解难度 ↓ Gatekeeper验证(TEE中) ↓ AuthToken(由TEE签名) ↓ KeyMint使用AuthToken解密KeyBlob(TEE中) ↓ 主密钥(DE/CE) ↓ 安装到内核密钥环 ↓ fscrypt派生每文件密钥关键安全点scrypt的迭代次数根据设备性能动态调整确保验证时间约为1秒Gatekeeper会记录密码尝试次数失败后会强制延迟最多延迟到1小时KeyBlob只能由生成它的设备的KeyMint解密无法在其他设备上使用3. 系统首次启动密钥生成流程当设备第一次开机时vold会执行以下操作解析/etc/fstab文件获取userdata分区的加密配置调用KeyMint在TEE中生成随机的System DE密钥生成加密的KeyBlob存储在/data/misc/vold/目录将System DE密钥安装到内核密钥环创建System DE存储目录应用加密策略当用户设置锁屏密码时生成User DE和User CE密钥同样生成KeyBlob存储并安装到内核密钥环4. 正常启动密钥加载流程Bootloader验证boot.img和system.img的完整性(Verified Boot)启动Linux内核挂载system分区init进程启动vold服务vold读取/data/misc/vold/中的KeyBlob调用KeyMint解密System DE密钥(不需要用户密码)将System DE密钥安装到内核密钥环此时System DE和User DE存储区解锁系统进入Direct Boot模式显示锁屏界面等待用户输入密码用户输入密码后Gatekeeper验证通过调用KeyMint解密User CE密钥将User CE密钥安装到内核密钥环发送ACTION_USER_UNLOCKED广播通知应用CE空间已解锁五、存储分区与Direct Boot实现FBE将userdata分区逻辑上划分为四个独立的加密区域每个区域使用不同的密钥保护存储区域密钥解锁时机保护的目录用途未加密区无始终可用/data/misc/、/data/system/存储系统启动必需的未加密数据System DE区System DE密钥系统启动后/data/misc_de/存储系统服务需要在未解锁时访问的数据User DE区User DE密钥系统启动后/data/user_de//存储应用需要在未解锁时访问的数据User CE区User CE密钥用户解锁后/data/user//默认存储位置存储所有用户敏感数据Direct Boot模式工作原理Direct Boot是FBE带来的最重要特性允许设备在用户未解锁密码的情况下完成基本功能系统启动后DE密钥自动解锁CE密钥保持锁定只有标记为android:directBootAwaretrue的应用才能在未解锁时运行这些应用只能访问自己的DE存储目录(/data/user_de/0//)当用户解锁设备后CE密钥解锁所有应用都可以正常运行常见的Direct Boot应用闹钟、电话、短信、无障碍服务六、应用层视角加密对应用的影响对于绝大多数应用来说FBE加密是完全透明的不需要做任何修改。但如果应用需要在Direct Boot模式下运行就需要进行特殊适配。1. 应用数据自动加密应用的所有私有数据(/data/data//)默认存储在CE区当用户解锁设备后应用可以正常读写这些文件内核会自动对所有读写操作进行加解密应用完全感知不到加密过程的存在2. 适配Direct Boot模式如果应用需要在未解锁时运行需要在AndroidManifest.xml中为组件添加android:directBootAwaretrue属性使用Context.createDeviceProtectedStorageContext()获取DE存储上下文将需要在未解锁时访问的数据存储到DE区监听ACTION_USER_UNLOCKED广播在用户解锁后访问CE区3. 敏感数据额外加密对于特别敏感的数据应用可以在系统加密的基础上进行额外加密使用Android Jetpack Security库生成应用专属密钥存储在Keystore中密钥可以绑定到用户认证只有用户解锁后才能使用七、版本演进与安全增强Android FBE在每个版本都有重要的安全增强Android版本重要增强Android 7.0首次引入FBE和Direct BootAndroid 10强制所有设备使用FBE废弃FDEAndroid 11引入fscrypt v2使用HKDF-SHA512派生密钥启用元数据加密Android 12引入每应用独立密钥KeyMint 3.0支持安全密钥导入Android 13增强对可采用存储的加密支持改进密钥轮换机制Android 14强制使用AES-256加密增强防暴力破解能力支持密钥备份到云端Android 15优化内联加密性能支持细粒度的文件访问控制八、常见误解与安全边界1. 密钥真的无法破解吗对于现代Android设备(Android 10)在没有用户密码的情况下理论上和实际上都无法破解密钥与设备硬件唯一绑定即使将存储芯片拆下来也无法在其他设备上解密暴力破解几乎不可能因为Weaver会强制延迟尝试100次需要超过100年2. Root后加密还安全吗如果设备已经被Root攻击者可以访问内核密钥环中的明文主密钥但Root需要先解锁Bootloader而解锁Bootloader会触发恢复出厂设置清除所有用户数据因此对于已经设置了锁屏密码的设备即使丢失攻击者也无法Root后获取数据3. 忘记密码真的无法恢复数据吗是的没有任何官方恢复方法所有密钥都与用户密码绑定没有后门即使是设备厂商也无法解密用户数据唯一的解决方法是恢复出厂设置手机可以继续使用但所有数据都会丢失4. 第三方数据恢复工具能解密吗对于Android 10及以上设备完全不可能对于Android 9及以下设备存在极少数利用漏洞的恢复方法但成功率极低任何声称可以解密Android 10设备数据的工具都是骗局九、总结Android FBE是目前移动设备上最安全的加密方案之一它通过硬件绑定、分层密钥、透明加密的设计在不影响用户体验的前提下提供了极高的数据安全性。从硬件安全区到内核fscrypt子系统再到应用层每一层都经过了严格的安全设计和验证。对于普通用户来说只要设置了强锁屏密码就可以放心地将任何敏感数据存储在Android设备中即使设备丢失或被盗也不用担心数据泄露。
深入解析Android FBE加密架构
发布时间:2026/5/31 2:20:06
Android 10及以上版本强制使用的基于文件的加密(File-Based Encryption, FBE) 是一个多层级、硬件绑定的安全体系从ARM TrustZone硬件安全区到Linux内核fscrypt子系统再到Android框架层的密钥管理服务形成了一个完整的加密链条。本文将从底层到上层逐层拆解其技术实现原理。一、整体技术架构Android FBE采用四层加密架构每一层都为上一层提供安全保障应用层 → 框架层(vold/Gatekeeper/Keystore) → 内核层(fscrypt) → 硬件层(TEE/Keymint)核心设计原则密钥永远不以明文形式离开硬件安全区(TEE)每个文件使用独立的加密密钥加密操作完全在内核层透明完成应用无感知所有密钥与设备硬件唯一绑定无法移植到其他设备二、硬件安全基础层信任根整个加密体系的安全性最终建立在硬件安全基础之上没有硬件支持的加密都是脆弱的。1. ARM TrustZone与TEETrustZoneARM处理器的硬件安全扩展将CPU划分为安全世界(Secure World)和普通世界(Normal World)可信执行环境(TEE)运行在安全世界的独立操作系统与Android系统完全隔离安全特性普通世界的代码无法访问安全世界的内存所有加密操作和密钥存储都在TEE中完成即使Android系统被完全攻破也无法获取TEE中的密钥2. KeyMint(原Keymaster)KeyMint是运行在TEE中的可信应用(TA)负责所有加密密钥的生成、存储和使用生成真随机数作为加密主密钥使用硬件唯一密钥(HUK)加密所有用户密钥生成KeyBlob验证密钥使用的授权条件(如用户已解锁)执行所有加密/解密操作3. Weaver与RPMBWeaver运行在安全元件(SE)中的服务提供防暴力破解的密钥派生功能RPMB(Replay Protected Memory Block)eMMC/UFS中的特殊分区提供防重放的安全存储作用存储加密后的KeyBlob和密码验证尝试次数防止离线暴力破解三、Linux内核层fscrypt子系统fscrypt是Linux内核原生的文件系统加密机制Android FBE完全基于fscrypt实现直接集成在ext4和F2FS文件系统中。1. fscrypt工作原理fscrypt通过在虚拟文件系统(VFS)层插入钩子函数透明地拦截所有文件I/O操作写入时将明文数据加密后再写入磁盘读取时从磁盘读取加密数据解密后返回给应用透明性应用和用户完全感知不到加密过程的存在2. 加密算法与模式Android 11及以上版本使用fscrypt v2策略默认加密算法文件内容AES-256-XTS模式XTS模式专门针对磁盘加密设计支持随机访问每个512字节扇区使用不同的 tweak 值文件名AES-256-CBC-CTS模式支持任意长度的文件名加密加密后的文件名长度与原文件名相同低端设备使用Adiantum算法不需要硬件AES加速也能获得良好性能3. 密钥层次结构(最关键设计)fscrypt采用三级密钥体系这是FBE安全性和灵活性的核心主密钥(Master Key) → 每文件密钥(FEK) → 扇区密钥(Sector Key)主密钥(Master Key)每个用户有两个主密钥DE密钥和CE密钥长度为64字节(512位)由KeyMint在TEE中生成存储在内核密钥环(Keyring)中重启后消失每文件密钥(FEK)每个文件/目录使用独立的唯一密钥由主密钥通过HKDF-SHA512派生而来派生参数包括文件的inode号和生成时间扇区密钥(Sector Key)每个512字节扇区使用不同的密钥由FEK和扇区号派生而来防止相同内容在不同扇区出现相同密文设计优势一个文件的密钥泄露不会影响其他文件可以单独删除或轮换某个文件的密钥支持细粒度的访问控制4. 加密上下文(Encryption Context)每个加密文件的元数据中都包含一个加密上下文存储在文件的扩展属性(xattr)中struct fscrypt_context_v2 { u8 version; // 版本号v2为2 u8 contents_encryption_mode; // AES-256-XTS u8 filenames_encryption_mode; // AES-256-CTS u8 flags; u8 master_key_identifier[16]; // 主密钥的哈希值 u8 nonce[16]; // 派生FEK的随机数 };当读取文件时内核根据加密上下文找到对应的主密钥然后派生FEK和扇区密钥进行解密如果主密钥不在内核密钥环中文件内容将无法解密5. 内联加密引擎(ICE)现代Android设备都集成了硬件内联加密引擎直接位于存储控制器和eMMC/UFS之间加密/解密操作完全由硬件完成不占用CPU资源性能开销几乎为零(内核只需将加密上下文传递给ICE由ICE自动处理I/O四、Android框架层密钥管理与生命周期Android框架层负责管理加密密钥的生命周期连接硬件安全区和内核fscrypt子系统。1. 核心服务vold(Volume Daemon)存储管理守护进程是FBE的核心协调者Gatekeeper密码验证服务运行在TEE中Keystore密钥存储服务提供应用和系统访问KeyMint的接口LockSettingsService锁屏设置服务管理用户密码和解锁状态2. 密钥派生完整链条这是FBE最核心的安全流程所有密钥最终都与用户密码和设备硬件绑定用户密码/PIN ↓ scrypt(密码, salt) # 慢哈希函数增加暴力破解难度 ↓ Gatekeeper验证(TEE中) ↓ AuthToken(由TEE签名) ↓ KeyMint使用AuthToken解密KeyBlob(TEE中) ↓ 主密钥(DE/CE) ↓ 安装到内核密钥环 ↓ fscrypt派生每文件密钥关键安全点scrypt的迭代次数根据设备性能动态调整确保验证时间约为1秒Gatekeeper会记录密码尝试次数失败后会强制延迟最多延迟到1小时KeyBlob只能由生成它的设备的KeyMint解密无法在其他设备上使用3. 系统首次启动密钥生成流程当设备第一次开机时vold会执行以下操作解析/etc/fstab文件获取userdata分区的加密配置调用KeyMint在TEE中生成随机的System DE密钥生成加密的KeyBlob存储在/data/misc/vold/目录将System DE密钥安装到内核密钥环创建System DE存储目录应用加密策略当用户设置锁屏密码时生成User DE和User CE密钥同样生成KeyBlob存储并安装到内核密钥环4. 正常启动密钥加载流程Bootloader验证boot.img和system.img的完整性(Verified Boot)启动Linux内核挂载system分区init进程启动vold服务vold读取/data/misc/vold/中的KeyBlob调用KeyMint解密System DE密钥(不需要用户密码)将System DE密钥安装到内核密钥环此时System DE和User DE存储区解锁系统进入Direct Boot模式显示锁屏界面等待用户输入密码用户输入密码后Gatekeeper验证通过调用KeyMint解密User CE密钥将User CE密钥安装到内核密钥环发送ACTION_USER_UNLOCKED广播通知应用CE空间已解锁五、存储分区与Direct Boot实现FBE将userdata分区逻辑上划分为四个独立的加密区域每个区域使用不同的密钥保护存储区域密钥解锁时机保护的目录用途未加密区无始终可用/data/misc/、/data/system/存储系统启动必需的未加密数据System DE区System DE密钥系统启动后/data/misc_de/存储系统服务需要在未解锁时访问的数据User DE区User DE密钥系统启动后/data/user_de//存储应用需要在未解锁时访问的数据User CE区User CE密钥用户解锁后/data/user//默认存储位置存储所有用户敏感数据Direct Boot模式工作原理Direct Boot是FBE带来的最重要特性允许设备在用户未解锁密码的情况下完成基本功能系统启动后DE密钥自动解锁CE密钥保持锁定只有标记为android:directBootAwaretrue的应用才能在未解锁时运行这些应用只能访问自己的DE存储目录(/data/user_de/0//)当用户解锁设备后CE密钥解锁所有应用都可以正常运行常见的Direct Boot应用闹钟、电话、短信、无障碍服务六、应用层视角加密对应用的影响对于绝大多数应用来说FBE加密是完全透明的不需要做任何修改。但如果应用需要在Direct Boot模式下运行就需要进行特殊适配。1. 应用数据自动加密应用的所有私有数据(/data/data//)默认存储在CE区当用户解锁设备后应用可以正常读写这些文件内核会自动对所有读写操作进行加解密应用完全感知不到加密过程的存在2. 适配Direct Boot模式如果应用需要在未解锁时运行需要在AndroidManifest.xml中为组件添加android:directBootAwaretrue属性使用Context.createDeviceProtectedStorageContext()获取DE存储上下文将需要在未解锁时访问的数据存储到DE区监听ACTION_USER_UNLOCKED广播在用户解锁后访问CE区3. 敏感数据额外加密对于特别敏感的数据应用可以在系统加密的基础上进行额外加密使用Android Jetpack Security库生成应用专属密钥存储在Keystore中密钥可以绑定到用户认证只有用户解锁后才能使用七、版本演进与安全增强Android FBE在每个版本都有重要的安全增强Android版本重要增强Android 7.0首次引入FBE和Direct BootAndroid 10强制所有设备使用FBE废弃FDEAndroid 11引入fscrypt v2使用HKDF-SHA512派生密钥启用元数据加密Android 12引入每应用独立密钥KeyMint 3.0支持安全密钥导入Android 13增强对可采用存储的加密支持改进密钥轮换机制Android 14强制使用AES-256加密增强防暴力破解能力支持密钥备份到云端Android 15优化内联加密性能支持细粒度的文件访问控制八、常见误解与安全边界1. 密钥真的无法破解吗对于现代Android设备(Android 10)在没有用户密码的情况下理论上和实际上都无法破解密钥与设备硬件唯一绑定即使将存储芯片拆下来也无法在其他设备上解密暴力破解几乎不可能因为Weaver会强制延迟尝试100次需要超过100年2. Root后加密还安全吗如果设备已经被Root攻击者可以访问内核密钥环中的明文主密钥但Root需要先解锁Bootloader而解锁Bootloader会触发恢复出厂设置清除所有用户数据因此对于已经设置了锁屏密码的设备即使丢失攻击者也无法Root后获取数据3. 忘记密码真的无法恢复数据吗是的没有任何官方恢复方法所有密钥都与用户密码绑定没有后门即使是设备厂商也无法解密用户数据唯一的解决方法是恢复出厂设置手机可以继续使用但所有数据都会丢失4. 第三方数据恢复工具能解密吗对于Android 10及以上设备完全不可能对于Android 9及以下设备存在极少数利用漏洞的恢复方法但成功率极低任何声称可以解密Android 10设备数据的工具都是骗局九、总结Android FBE是目前移动设备上最安全的加密方案之一它通过硬件绑定、分层密钥、透明加密的设计在不影响用户体验的前提下提供了极高的数据安全性。从硬件安全区到内核fscrypt子系统再到应用层每一层都经过了严格的安全设计和验证。对于普通用户来说只要设置了强锁屏密码就可以放心地将任何敏感数据存储在Android设备中即使设备丢失或被盗也不用担心数据泄露。
)
)
)
)
)
)
