android c文件安全存储,Android使用C/C++来保存密钥

最新推荐文章于 2024-09-17 23:35:28 发布

xmyams

最新推荐文章于 2024-09-17 23:35:28 发布

阅读量331

点赞数

文章标签： android c文件安全存储

本文主要介绍如何通过native方法调用取出密钥，以替代原本直接写在Java中，或写在gradle脚本中的不安全方式。

为什么要这么做

如果需要在本地存储一个密钥串，典型的方式有

直接写在java source code中

写在gradle脚本中，使用BuildConfig读取

写在gradle.properties中，再到gradle脚本中读取，后面同第二点

使用native方法，读取存放在C/C++中的字段

本质上来讲方式1，2，3没有什么区别。1为硬编码，2可以做到在不同的BuildType使用不同的密钥,3将配置写到脚本之外，方便管理查看。

然而，在项目编译之后，方式1，2，3都会把密钥直接替换到字节码文件中，对于反编译如此方便的Android来说，无疑是将密钥拱手让人。

因此，将密钥放在难以反编译的C/C++代码中，是一个解决的办法。

怎么做

java怎么调用C/C++方法

如果想详细的明白以下步骤，请查阅JNI相关的资料，此处仅列出大概步骤。

在类中声明native方法。

public class A {

public native String nativeMethod();

}

在项目根目录下新建一个名为jni的目录，并在其中新建三个文件，分别为：

Android.mk (名字固定)

Application.mk (名字固定)

Project.cpp (名字随意)

Android.mk

文件的内容如下：

LOCAL_PATH := $(call my-dir)

include $(CLEAR_VARS)

LOCAL_MODULE := project

LOCAL_SRC_FILES := Project.cpp

include $(BUILD_SHARED_LIBRARY)

除了LOCAL_MODULE和LOCAL_SRC_FILES之外，其它都是固定的。前者是这个库的名称，后者是cpp文件的路径。

Application.mk

文件的内容如下：

APP_ABI := all

意思是生成所有平台的so库。

Project.cpp

#include

#ifdef __cplusplus

extern "C"{

#endif

jstring Java_[ClassAPackage]_A_nativeMethod(JNIEnv *env,jobject thiz) {

// 返回密钥

return (env)->NewStringUTF("你的密钥");

}

#ifdef __cplusplus

}

#endif

ClassAPackage为类A在java中的包名全称，并将分隔的.改成_

以上就把native的代码写好了，在第一步下载好的NDK里面，使用解压后目录下的一个叫ndk-build的程序。cd到jni目录下，执行ndk-build,如果执行无误的话，会如下图所示。

45d327c681b7?tdsourcetag=s_pctim_aiomsg

ndk-build

执行完上一步之后，会生成一个与jni同级的目录libs，将libs下的文件拷贝到app/src/main/jniLibs目录下。

在类A中，加入以下静态语句块，引入编译好的native库。

static {

System.loadLibrary("project");

}

这里的"project"就是在第4步中的LOCAL_MODULE的值。

到了这一步，就可以拿到native代码中保存的值了。

有啥问题不

肯定有啊。

试想，如果有人将我们的.so包拿到了(把apk解包就能拿到)，然后自己声明native方法，load本地库，然后调用native方法，那么我们做的这么多是不是都白费了？是的，白费了。所以我们需要改进。

如何改进

有什么东西，只有你自己知道，并且有的，但是别人不能模仿的？－－应用签名。

那么，我们在native代码里面，先验证一下应用的签名是否是我们的，如果是，才返回正确的密钥。

获取签名唯一字符串

将BuildVariants切换到release，也就是使用生产版本的签名文件，然后将下面的代码粘贴至任意一个Activity内，在控制台里，可以获取这个字符串。

public void getSignInfo() {

try {

PackageInfo packageInfo = getPackageManager().getPackageInfo(

getPackageName(), PackageManager.GET_SIGNATURES);

Signature[] signs = packageInfo.signatures;

Signature sign = signs[0];

System.out.println(sign.toCharsString());

} catch (Exception e) {

e.printStackTrace();

}

修改native方法的声明，传入Context对象。

public native String nativeMethod(Context context);

修改C++代码，添加验证逻辑。

#include

#ifdef __cplusplus

extern "C"{

#endif

static jclass contextClass;

static jclass signatureClass;

static jclass packageNameClass;

static jclass packageInfoClass;

/**

之前生成好的签名字符串

const char* RELEASE_SIGN = "第1步，生成好的字符串";

根据context对象,获取签名字符串

const char* getSignString(JNIEnv *env,jobject contextObject) {

jmethodID getPackageManagerId = (env)->GetMethodID(contextClass, "getPackageManager","()Landroid/content/pm/PackageManager;");

jmethodID getPackageNameId = (env)->GetMethodID(contextClass, "getPackageName","()Ljava/lang/String;");

jmethodID signToStringId = (env)->GetMethodID(signatureClass, "toCharsString","()Ljava/lang/String;");

jmethodID getPackageInfoId = (env)->GetMethodID(packageNameClass, "getPackageInfo","(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;");

jobject packageManagerObject = (env)->CallObjectMethod(contextObject, getPackageManagerId);

jstring packNameString = (jstring)(env)->CallObjectMethod(contextObject, getPackageNameId);

jobject packageInfoObject = (env)->CallObjectMethod(packageManagerObject, getPackageInfoId,packNameString, 64);

jfieldID signaturefieldID =(env)->GetFieldID(packageInfoClass,"signatures", "[Landroid/content/pm/Signature;");

jobjectArray signatureArray = (jobjectArray)(env)->GetObjectField(packageInfoObject, signaturefieldID);

jobject signatureObject = (env)->GetObjectArrayElement(signatureArray,0);

return (env)->GetStringUTFChars((jstring)(env)->CallObjectMethod(signatureObject, signToStringId),0);

}

jstring Java_[ClassAPackage]_A_nativeMethod(JNIEnv *env,jobject thiz,jobject contextObject) {

const char* signStrng = getSignString(env,contextObject);

if(strcmp(signStrng,RELEASE_SIGN)==0)//签名一致返回合法的 api key，否则返回错误

{

return (env)->NewStringUTF("你的密钥");

}else

{

return (env)->NewStringUTF("error");

}

/**

利用OnLoad钩子,初始化需要用到的Class类.

JNIEXPORT jint JNICALL JNI_OnLoad (JavaVM* vm,void* reserved){

JNIEnv* env = NULL;

jint result=-1;

if(vm->GetEnv((void**)&env, JNI_VERSION_1_4) != JNI_OK)

return result;

contextClass = (jclass)env->NewGlobalRef((env)->FindClass("android/content/Context"));

signatureClass = (jclass)env->NewGlobalRef((env)->FindClass("android/content/pm/Signature"));

packageNameClass = (jclass)env->NewGlobalRef((env)->FindClass("android/content/pm/PackageManager"));

packageInfoClass = (jclass)env->NewGlobalRef((env)->FindClass("android/content/pm/PackageInfo"));

return JNI_VERSION_1_4;

}

#ifdef __cplusplus

}

#endif

getSignString方法也许看起很复杂，如果熟悉java反射的Api的话，其实很类似，就是拿到方法Id，调用方法。

以上就是本文的讨论内容，有些技术细节没有深入介绍，请自行查阅相关资料。

如果有不同的方式，欢迎讨论

QQ: 2424334647