sam_code@hotmail.com
曾听同事说起,两位同事同时使用同一台Android设备,而工程包名相同时,会发生无法安装的情况。这些情况和Android签名有关。所以研究下相关知识。
0.背景知识:
Android系统要求所有的APK均有签名,否则无法安装。Android使用证书作为标识应用程序作者的一种方式,
并在应用程序之间建立信任关系. 证书并不用来控制用户能否安装哪个应用. 证书不需要由证书认证中心签名:
完全可以使用自签名证书。但在开发过程中,很多时候并未意识到需要有签名。因为在测试和Debug过程中,Build
tools 会帮你给APK加上一个特殊的签名。这个签名由Android SDK
build tools生成。当程序需要Release时,则必须使用私有的签名。此时不能够再使用由Build
Tools 产生的Debug Key来签名。
Android 签名机制有什么目的呢,
首先,由于恶意开发者可能通过使用相同的Package
Name来混淆替换已经安装的程序,签名可以保证相当名字,但是签名不同的包不被替换。
其次,一些特别的权力需要验证时会使用签名。
例如需要让APK具有系统权限。则意味着不光需要在manifest节点中增加android:sharedUserId="android.uid.system"。
同时还需要使用目标系统签名。
Build模式有两种:Debug模式和Release模式。 在Debug模式, Build
Tools 使用Keytool
utility (included in the JDK)来创建一个Debug
key.
会自动为APK文件添加Debug签名。在Release模式下,你必须使用私有的Key来为APK签名。私有Key可以用Keytool
utility来生成。
Debug Key 有效期为一年,一年后会出问题,但如果删除Debug Key,build
Tools会再产生一个。
删除方法为:rm
-rf ~/.android/debug.keystore
过期信息:
debug: [echo] Packaging bin/samples-debug.apk, and signing it with a debug key... [exec] Debug Certificate expired on 8/4/08 3:43 PM
1. 生成私有Key:
JDK的bin目录下有个工具keytool,用来生成keystore.
$sudokeytool
-genkey -alias android.keystore -keyalg RSA -validity 20000
-keystore android.keystore
下面会问很多问题,最终生成私有的密钥。其中密码要记住。后面要用到。
生成的Keystore在本目录内。
keytool使用说明见注1。
2. 生成可发布Release版本APK的方法:
2.1: 方法一:
2.1.1:可以首先生成无签名Release版本APK:
在Eclipse内,右击项目名称。 Android Tools ->export Unsigned application
package
生成无签名包。
2.1.2: 利用jarsigner
给APK签名:
jarsigner-verbose-sigalg SHA1withRSA-digestalg SHA1-keystoremy-release-key.keystore
my_application.apk alias_name
2.2: 方法二:
直接使用私有Keystore生成带有签名的APK:
在Eclipse内,右击项目名称。 Android Tools -> export
signed application package
后面会要求选择Android.Keystore.
输入密码等。
最终就会生成带有私有签名的APK文件。
3.
APK使用系统权限的理由和方法:
一些APK在使用中,需要拥有系统权限,比如修改系统时间等。另外,还有一种需要系统权限的情况是:需要访问Linux
device. 而这些device的创建者是system. 访问权限是:660。(这是Sam当前的需求)
APK得到系统权限,有两种方法(但都需要Android编译时本身的系统签名文件):
方法一:
1.
在Android Elcipse工程中,在AndroidManifest.xml
中,添加: android:sharedUserId="android.uid.system">
例如:
package="com.android.settings"
coreApp="true"
android:sharedUserId="android.uid.system">
2.
导出未签名的APK包:
右击工程, Android Tools -> Export Unsigned Application
Package...
生成一个未签名的APK。这个APK无法安装的。
3.
利用工具加入系统签名:
首先,第一步,要有目标Android平台的公钥文件和私钥文件。
他们显然存放在Android代码树中,具体目录为:
android/build/target/product/security
私钥文件:platform.pk8
公钥文件:platform.x509.pem
java -jar signapk.jar platform.x509.pem platform.pk8 old.apk
new.apk
这样则生成一个签名和目标系统完全一致的APK文件。
方法二:
1.在Android
Elcipse工程中,在AndroidManifest.xml
中,添加:android:sharedUserId="android.uid.system">
2.
在工程目录下,添加Android.mk文件。并在Android.mk中添加:
LOCAL_CERTIFICATE := platform
3. 生成带签名的APK:
然后将其放置于 android/packages/apps
目录下。
进入目录,运行mm即可。
但此处请注意:Android.mk的写法与NDK编译和Android.mk写法不同。尤其是有jni模块时,还需要在jni目录下创建自己的Android.mk。
这里不详细说。未来再讲。
运行完毕后,也会生成一个拥有此Android平台系统权限的APK。
4.
拥有系统签名的APK的变化:
除了拥有类似修改系统时间这样的权力外,拥有系统签名的APK有什么变化呢?
APK在运行时,在Linux层面,会生成一个进程。它们的父进程都是zygote.
当没有系统权限的APK运行时,它的User为类似:u0_a67这样的用户。
而当有系统权限的APK运行时,它的User为system.
这在Linux层有巨大意义。
在Linux
/dev目录下,某些device(如:/dev/uinput,/dev/video0)的拥有者,正是system.
它们的访问权限为:660。
当某APK使用jni方式访问这类device时,没有系统权限的APK用户为other,对应device访问权限为:0。不可读写,不可执行。所以会失败。
而当此APK拥有系统权限时,它的拥有者为system.
对应device的访问权限为6,可读写。则jni 可以open ,read,write,ioctl则没有问题。
注1:keytool说明:
-genkey
生成一个key pair (公钥和私钥)
-v
允许详细内容输出.
-alias
key的别名. 只会用到前8个字符.
-keyalg
生成key时的加密算法. 支持 DSA 和
RSA.
-keysize
生成的key的大小(bits). 如果不提供,
Keytool使用默认的Key大小:1024. 通常情况下,我们推荐使用 2048或者更大的key尺寸.
-dname
描述key的创建者的标识名称.
在自签名证书中,
本参数会出现在发布者和主题字段. 注意, 不要在命令行下指定这个选项. 此时 Jarsigner会提示你输入每一个标识名称字段(CN, OU,等)
-keypass
key的密码. 安全起见, 不要在命令行中包含这个选项.
此时Keytool会提示你输入密码. 这种方式中, 密码不会被保存在shell历史数据中.
-validity
key的有效期,
以天数为单位. 注意:
推荐使用10000或更大的数字.
-keystore .keystore
保存私钥的keystore名称.
-storepass
keystore的密码.
安全起见,
不要在命令行中包含这个选项. 此时, Keytool会提示输入这个密码. 在这种方式中, 密码不会被保存在shell历史数据中.
一个使用Keytool命令生成私钥的例子: