Android安全之应用签名验证-创新互联

Android安全之应用签名验证

有时我们需要确保一个应用就是我们想要启动的那个应用,从而确保应用间通信的安全。这话听起来有点绕,下面以一个具体的例子来说明。

我们提供的服务有:成都网站设计、成都做网站、微信公众号开发、网站优化、网站认证、三亚ssl等。为1000多家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的三亚网站制作公司

假如一家公司A做了一个支付应用PayApp,包名是”com.testa.pay”。随着这个支付应用市场越做越大,他们希望将其接口开放给其他公司,以使自己的公司获得更多的现金流。

首先,想要集成PayApp的公司B需要向公司A进行注册,注册成功后A公司分配给公司B三个东西,一个独一无二的ID,一个public key,一个private key。这三个信息都是敏感的,不能泄露给公司A和公司B之外的其他公司。

当第三方应用想要调用PayApp时,需要传入上面分配的三个参数传递给PayApp,PayApp在跟A公司的支付网关进行交互,然后将支付结果递交给调用者。

假如此时,有一个***开发了一个恶意应用,并且将包名取得跟PayApp一样。然后他将PayApp从手机上删除,装上自己的应用,那么当公司B的应用再次调用支付接口时,就把所有的信息传递给了***自己的应用!

公司A为了防止这种情况发生,专门开发了一个支付sdk,名字叫“PaySdk”,该sdk在调用PayApp前会对PayApp的签名进行校验,当校验通过时,才会将数据传递给PayApp。然后,所有想要调用PayApp接口的第三方应用,都需要继承支付sdk。这样就能防止信息被窃取。

下面详细介绍签名验证的具体过程:

首先,我们需要对android应用签名有一个基本了解:

1. 任何安装到android设备上的应用都已经被签名,即使debug状态的app也已经用debug的keystore签过名。

2. 需要发布的应用一定要用release的keystore进行签名。

3. 一个公司的release keystore只应该自己使用,不能泄露给其他人活公司。

4. 一个应用可能有多个签名。

关于如何生成keystore,并且给一个应用签名,可以查看官网教程:http://developer.android.com/intl/zh-cn/tools/publishing/app-signing.html

我们是通过对比签名的hash值来确保其完整性的,所以在此之前,我们应该获取release keystore对应的签名的hash值,这样在程序运行时才能进行比对。关于签名的hash值,我们可以通过下面的代码来获取:

PackageInfo pkgInfo;

try {

  pkgInfo = mActivityContext.getPackageManager().getPackageInfo(targetPkg, PackageManager.GET_SIGNATURES);

} catch (PackageManager.NameNotFoundException e) {

  Toast.makeText(mActivityContext, "The target package is not found!", Toast.LENGTH_SHORT).show();

  e.printStackTrace();

  return;

}

for (Signature signature : pkgInfo.signatures) {

  try {

    Log.i(TAG, “hash: " + Base64.encodeToString(MessageDigest.getInstance("SHA").digest(signature.toByteArray()), Base64.NO_WRAP));

  } catch (NoSuchAlgorithmException e) {

    e.printStackTrace();

  }

}

上面代码中,”targetPkg”应该被替换为你想要获取的应用的包名。代码运行后,log输出如下:

04-28 13:30:34.259 1123-1123/com.zlsam.signchecher I/MainActivity: hash: 6qX30I5Kpx4agIeolKla75oO+zA=

这里我们的PaySdk需要将“hash:”后面的那个字符串记录下来,本例中是“6qX30I5Kpx4agIeolKla75oO+zA=”。一个应用可能有多个签名,因此,我们需要记录和比对所有的签名。

然后,当第三方应用通过PaySdk调用支付时,PaySdk首先通过上面代码获取应用包”com.testa.pay”的所有签名hash,然后检查这些动态获取的hash值是否都在之前记录下来的hash当中。如果是,那么验证通过,否则验证失败。

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章题目:Android安全之应用签名验证-创新互联
本文网址:http://ybzwz.com/article/dieopi.html