支持直接启动模式

当设备已启动但用户尚未解锁设备时，Android 7.0 会在安全、直接启动模式下运行。为此，系统提供了两个数据存储位置

凭据加密存储，这是默认存储位置，只有在用户解锁设备后才能使用。
设备加密存储，这是一个在直接启动模式和用户解锁设备后都可以使用的存储位置。

默认情况下，应用不会在直接启动模式下运行。如果您的应用需要在直接启动模式下采取行动，您可以注册在该模式下运行的应用组件。需要在直接启动模式下运行的应用的一些常见用例包括

具有计划通知的应用，例如闹钟应用。
提供重要用户通知的应用，例如短信应用。
提供辅助功能服务的应用，例如 Talkback。

如果您的应用需要在直接启动模式下访问数据，请使用设备加密存储。设备加密存储包含使用密钥加密的数据，该密钥只有在设备成功执行已验证启动后才可用。

对于必须使用与用户凭据（例如 PIN 或密码）关联的密钥加密的数据，请使用凭据加密存储。凭据加密存储在用户成功解锁设备后以及用户重启设备之前可用。如果用户在解锁设备后启用锁屏，则凭据加密存储仍然可用。

请求在直接启动期间运行的访问权限

应用必须先向系统注册其组件，然后才能在直接启动模式下运行或访问设备加密存储。应用通过将组件标记为加密感知来向系统注册。要将您的组件标记为加密感知，请在清单中将android:directBootAware属性设置为 true。

加密感知组件可以注册以从系统接收ACTION_LOCKED_BOOT_COMPLETED广播消息，当设备已重启时。此时，设备加密存储可用，并且您的组件可以执行需要在直接启动模式下运行的任务，例如触发计划的闹钟。

以下代码片段演示了如何在应用清单中将BroadcastReceiver注册为加密感知型，并添加ACTION_LOCKED_BOOT_COMPLETED的意图过滤器。

<receiver
  android:directBootAware="true" >
  ...
  <intent-filter>
    <action android:name="android.intent.action.LOCKED_BOOT_COMPLETED" />
  </intent-filter>
</receiver>

用户解锁设备后，所有组件都可以访问设备加密存储和凭据加密存储。

访问设备加密存储

要访问设备加密存储，请通过调用Context.createDeviceProtectedStorageContext()创建第二个Context实例。使用此上下文进行的所有存储 API 调用都访问设备加密存储。以下示例访问设备加密存储并打开现有的应用数据文件。

Kotlin

val directBootContext: Context = appContext.createDeviceProtectedStorageContext()
// Access appDataFilename that lives in device encrypted storage
val inStream: InputStream = directBootContext.openFileInput(appDataFilename)
// Use inStream to read content...

Java

Context directBootContext = appContext.createDeviceProtectedStorageContext();
// Access appDataFilename that lives in device encrypted storage
FileInputStream inStream = directBootContext.openFileInput(appDataFilename);
// Use inStream to read content...

仅将设备加密存储用于必须在直接启动模式下可访问的信息。不要将设备加密存储用作通用的加密存储。对于私人用户信息或在直接启动模式下不需要的加密数据，请使用凭据加密存储。

接收用户解锁通知

用户在重启后解锁设备时，您的应用可以切换到访问凭据加密存储并使用依赖于用户凭据的常规系统服务。

要在重启后用户解锁设备时收到通知，请从正在运行的组件注册一个BroadcastReceiver来侦听解锁通知消息。当用户在引导后解锁设备时

如果您的应用具有需要立即通知的前台进程，请侦听ACTION_USER_UNLOCKED消息。
如果您的应用仅使用可以在延迟通知时采取行动的后台进程，请侦听ACTION_BOOT_COMPLETED消息。

如果用户已解锁设备，您可以通过调用UserManager.isUserUnlocked()来确定。

迁移现有数据

如果用户更新其设备以使用直接启动模式，您可能需要将现有数据迁移到设备加密存储。使用Context.moveSharedPreferencesFrom()和Context.moveDatabaseFrom()（目标上下文作为方法调用方，源上下文作为参数），可在凭据加密存储和设备加密存储之间迁移首选项和数据库数据。

不要将私人用户信息（例如密码或授权令牌）从凭据加密存储迁移到设备加密存储。决定将哪些其他数据迁移到设备加密存储时，请谨慎判断。在某些情况下，您可能需要在两个加密存储中管理单独的数据集。

测试您的加密感知型应用

启用直接启动模式后测试您的加密感知型应用。

运行最新版本的 Android 的大多数设备在设置锁屏凭据（PIN、图案或密码）后都会启用直接启动模式。具体来说，所有使用基于文件的加密的设备都是如此。要检查设备是否使用基于文件的加密，请运行以下 shell 命令：

adb shell getprop ro.crypto.type

如果输出为file，则表示设备已启用基于文件的加密。

在默认情况下不使用基于文件的加密的设备上，可能还有其他测试直接启动模式的方法。

一些使用全盘加密（ro.crypto.type=block）并运行 Android 7.0 到 Android 12 的设备可以转换为基于文件的加密。有两种方法可以做到这一点：
- 在设备上，如果您尚未启用**开发者选项**，请转到**设置 > 关于手机**并点击**内部版本号**七次。然后转到**设置 > 开发者选项**并选择**转换为文件加密**。
- 或者，运行以下 shell 命令：
```
adb reboot-bootloader
fastboot --wipe-and-use-fbe
```
运行 Android 13 或更低版本的设备支持“模拟”直接启动模式，该模式使用文件权限来模拟加密文件被锁定和解锁的效果。仅在开发期间使用模拟模式；它可能会导致数据丢失。要启用模拟直接启动模式，请在设备上设置锁屏图案，如果设置锁屏图案时提示安全启动屏幕，请选择“不用了”，然后运行以下 shell 命令：
```
adb shell sm set-emulate-fbe true
```
要关闭模拟直接启动模式，请运行以下 shell 命令：
```
adb shell sm set-emulate-fbe false
```
运行任何一个命令都会导致设备重启。

检查设备策略加密状态

设备管理应用可以使用DevicePolicyManager.getStorageEncryptionStatus()来检查设备的当前加密状态。

如果您的应用的目标 API 级别低于 Android 7.0 (API 24)，则如果设备使用全盘加密或具有直接启动功能的基于文件的加密，getStorageEncryptionStatus()将返回ENCRYPTION_STATUS_ACTIVE。在这两种情况下，数据始终在静止状态下进行加密存储。

如果您的应用的目标 API 为 Android 7.0 (API 24) 或更高版本，则如果设备使用全盘加密，getStorageEncryptionStatus()将返回ENCRYPTION_STATUS_ACTIVE。如果设备使用具有直接启动功能的基于文件的加密，则返回ENCRYPTION_STATUS_ACTIVE_PER_USER。

如果您构建的目标 API 为 Android 7.0 的设备管理应用，请确保检查ENCRYPTION_STATUS_ACTIVE和ENCRYPTION_STATUS_ACTIVE_PER_USER，以确定设备是否已加密。

其他代码示例

DirectBoot 示例进一步演示了此页面上介绍的 API 的用法。