如何使用iOS数据保护功能

未分类

现代iOS设备支持数据保护功能，其负责利用内置加密硬件保护用户数据。在今天的文章中，我们将了解各类应用如何利用这一功能保护自有文件、从各来源处收集细节信息，同时将其与我自己的观察结论加以结合。

存储在iOS设备之上的每一个文件皆采取四种数据保护类型之一，这些保护手段将确定文件何时可以接受读取与写入操作。而开发者则能够以授权或者编程方式对这些保护类型加以设置。大家应该尽可能利用此类机制保护用户数据，而依效果由好到差排序，这四种手段分别为：

• NSFileProtectionComplete

文件仅能够在设备解锁时进行访问。当设备被锁定时，您的应用将收到一条UIApplicationProtectedDataWillBecomeUnavailable通知，并在10秒钟之后失去对受保护文件的访问能力。尽可能多地选用这种方式，但对于那些需要在后台持续运行的应用，请不要选择这一机制。

• NSFileProtectionCompleteUnlessOpen

当设备被锁定时，各文件仍然能够进行创建，而已经打开的文件则可继续接受访问。利用这一机制，我们可以在后台完成各类相关任务——例如保存新数据或者更新数据库。

• NSFileProtectionCompleteUntilFirstUserAuthentication

当设备引导完成后，对应文件可在用户输入密码后随时接受访问——即使是在设备被锁定的情况下。利用这种方式，您可以随时读取运行在后台的文件。

• NSFileProtectionNone

文件始终可接受访问。系统在某些情况下需要利用这一机制，但其并不适合于绝大多数第三方应用。

如果大家希望对受保护的文件进行访问，则操作会返回NSFileReadNoPermissionError(代码257) 或者NSFileWriteNoPermissionError (代码513)错误。

感兴趣的朋友可以点击此处参阅苹果iOS安全白皮书以了解与上述保护类型相关的更多技术信息。

需要强调的是，数据保护机制并不适用于模拟器。Mac设备上采用的FileVault加密机制亦使用完全不同的工作原理。即使设置了保护类型，其在随后的读取中也无法起效。您将始终读取NSURLFileProtectionCompleteUntilFirstUserAuthentication ——至少在我的Mac上是如此。因此请务必在直机之上进行数据保护能力测试。

设置默认保护等级

CompleteUntilFirstUserAuthentication

要完成这项设置，大家无需进行任何操作——因为自iOS 7以来，所有iOS版本都将其作为默认设置。

Complete

你的应用或者扩展容器所创建的文件具体使用怎样的默认保护等级，取决于com.apple.developer.default-data-protection权限，其在Xcode中显示为“Data Protection（数据保护）”。

你需要为相关应用及其全部扩展设置这一选项。在这方面，请注意以下两点：

1.根据Quinn“The Eskimo！”在苹果开发者论坛上所言，此权限需要在应用安装之前进行设置。

你权限设置（通过配置文件存放在您的App ID当中）中的默认数据保护等级仅在应用容器的创建过程中进行使用。

根据我个人的实际调查，如果变更一款已安装应用的权限设置，那么有时候其能够将新等级应用于后续文件，但有时候却不能。不过可以肯定的是，变更不会影响原有文件，因此除非您打算开发一款全新应用，否则最好以编程方式设置保护类型。关于这一点，我们将在后文中详加说明。

2.由于此权限仅应用于您的应用或者扩展容器，因此大家需要以编程方式为共享容器设置保护等级。

牢记以上注意事项，权限设置就变得非常容易。在佻的Xcode项目设置当中，前往应用或者扩展的“Capabilities”标签并启用“Data Protection”即可。就这么方便。

如此一来，您的应用权限文件当中（如果尚不存在，请另行创建）会被添加一条数据保护权限，且该权限的值被设置为NSFileProtectionComplete。其还将在苹果开发者网站Certificates, Identifiers & Profiles中的开发者App ID之上启用数据保护功能。

感兴趣的朋友亦可点击此处查看苹果应用发布指南当中的“启用数据保护”部分，其中简要说明了如果更新此Capabilities。

CompleteUnlessOpen

接下来我们要面对的是NSFileProtectionComplete（具体依以上说明），而后同时对苹果开发者网站Certificates, Identifiers & Profiles部分中的权限文件与App ID进行保护等级变更。大家必须对这两个值进行手动同步，否则会在构建时出现无效权限错误。

这里具体介绍导航流程：Identifiers > App IDs > (具体应用ID) > Edit > Data Protection > Sharing and Permissions。您可以在这里从三种保护等级当中选择其一进行设置（但不包括NSFileProtectionNone）。

该权限文件当中最关键的关注点为NSFileProtectionCompleteUnlessOpen。
我发现即使是进行自动配置时，Xcode都不会更新网站之上配置文件进行的变更。大家可以删除~/Library/MobileDevice/Provisioning Profiles/以强制要求Xcode重新下载该配置文件。如果觉得有些麻烦，您也可以选择使用Craig Hockenberry提供的Provisioning QuickLook插件以快速判断当前配置是否正确。

None

您不可将None设置为默认等级，因为苹果开发者网站的Certificates, Identifiers & Profiles部分并不提供此选项。另外，大家也绝对不应该选择这种自我放弃的作法。

以编程方式设置保护等级

如果您的应用程序已安装在用户设备上，而没有设置权限，并且您想要的其他设备NSFileProtectionCompleteUntilFirstUserAuthentication，则需要以编程方式设置保护类型，以保护新文件并升级现有的文件。请注意，您不需要设置使用这些API的权利。

为特定文件设置保护等级

我们首先来看单独一个文件，其中包含多个API以接收作为选项的保护类型。
如果您打算写入一个来自Data/NSData的新文件，则使用：

try data.write(to: fileURL, options: .completeFileProtection)

对于现有文件，你可以使用 NSFileManager/FileManager 或 NSURL:

try FileManager.default.setAttributes([.protectionKey: FileProtectionType.complete], ofItemAtPath: fileURL.path)
// or
// cast as NSURL because the fileProtection property of URLResourceValues is read-only
try (fileURL as NSURL).setResourceValue(URLFileProtection.complete, forKey: .fileProtectionKey)

在Core Data情况下，您可以在添加持久存储时传递此保护类型：

try persistentStoreCoordinator.addPersistentStore(ofType: NSSQLiteStoreType, configurationName: nil, at: storeURL, options: [NSPersistentStoreFileProtectionKey: FileProtectionType.complete])

感兴趣的朋友可以点击此处参阅苹果iOS应用编程指南当中的“利用磁盘内加密保护数据”章节。

为某一目录中的新文件设置保护等级

Quinn "The Eskimo!"还在苹果开发者论坛上发布了这条非常实用的信息：

在默认情况下，数据保护值会在项目创建过程中直接自父目录处继承。举例来说，如果您将目录设置为NSFileProtectionComplete，则在该目录中创建的任何项目都将默认被设置为NSFileProtectionComplete。

权限文件负责控制容器内root目录下的数据保护值，而此值亦将作用于容器内所创建的任何内容的保护等级。然而，如果您为某一目录明确设置了该值，则该目录内创建的后续条目将默认使用这一新值。

因此，您可以使用FileManager/NSFileManager 或者NSURL作为目录URL以替代文件URL，或者在创建此目录时提供该保护属性：

try FileManager.default.createDirectory(at: directoryURL, withIntermediateDirectories: true, attributes: [.protectionKey: FileProtectionType.complete])

如此一来，您随后即可按正常方式在该目录中创建文件了。

变更同一目录当中所有现有文件的保护等级

当为某一目录设置保护等级时，该目录中全部现有文件的保护等级并不会随之变化。因此，大家需要为该目录中的每个文件设置正确的保护等级。

您可以使用FileManager.DirectoryEnumerator/NSDirectoryEnumerator完成这项工作：

guard let directoryEnumerator = FileManager.default.enumerator(at: directoryURL, includingPropertiesForKeys: [], options: [], errorHandler: { url, error -> Bool in
    print(error)
    return true
}) else {
    print("Could not create directory enumerator at \(directoryURL.path)")
    return
}
// NSEnumerator is not generic in Swift so we have to deal with Any.
for urlAsAny in directoryEnumerator {
    do {
        try (urlAsAny as! NSURL).setResourceValue(URLFileProtection.complete, forKey: .fileProtectionKey)
    } catch {
        print(error)
    }
}

利用Instant实现数据保护

大家可以轻松利用PSPDFKit Instant保护您的文件。如果大家设置了一项默认数据保护等级，Instant将自动使用该保护选项，您无需进行任何其它操作。如果大家希望为存储在Instant当中的特定文件及注释设置不同的保护等级，则可在PSPDFInstantClient上使用dataDirectory类属性以访问Instant的数据存储路径，而后使用以上提到的变更方法。感兴趣的朋友可以点击此处参阅我们的Instant数据保护指南以了解更多细节信息。

当然，也欢迎大家热情留言以分享您的心得与体验。

原文链接

https://pspdfkit.com/blog/2017/how-to-use-ios-data-protection/