Android Gatekeeper梳理

已于 2023-01-30 15:13:39 修改
阅读量1.6k 收藏 3
点赞数
分类专栏: Android system 文章标签: android java Android T gatekeeper Android 13
于 2023-01-30 15:04:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43379278/article/details/128466400
版权
本文深入解析Android Gatekeeper系统,包括其概念、框架变化、软件架构及Enroll和Verify流程。探讨了从AIDL到HIDL的框架演进,详细介绍了密码的注册和验证过程,涉及Gatekeeperd、HAL、TEE等多个组件的交互。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

引言

  Android gatekeeper 官方文档我寻觅的好苦,网页乱码,没注意到。又没权限下载插件,打工人太难了。由于本人对于部分Android框架不是非常熟悉,本文部分细节可能处理的不是非常好。
  本文主要从Gatekeeper的Enroll密码部分(AIDL框架)和 Verify解密部分(旧框架,未更新为新框架)两部分进行逻辑梳理和学习,有问题欢迎大家指正,一起沟通学习。

Android T在线代码阅读网站Android gatekeeper官网

一、gatekeeper的概念

1)Gatekeeper 子系统在可信执行环境 (TEE) 中执行设备解锁 / 密码验证。gatekeeper 通过具有硬件支持的密钥 HMAC 注册和验证密码。此外,Gatekeeper 会限制连续失败的验证尝试,并且必须根据给定的超时和给定的连续失败尝试次数拒绝服务请求。

2)当用户验证密码时,Gatekeeper 使用 TEE 派生的共享密钥对身份验证认证签名,以发送到硬件支持的 Keystore 。也就是说,Gatekeeper 认证可以让 Keystore 知道可以发布与身份验证绑定的密钥(例如,应用程序创建的密钥)以供应用程序使用。

3)Android中,gatekeeper是密码锁或图案锁的一种服务。主要支持的两个方法是 : enroll(录入密码)和verify(验证密码)

注: Enroll 部分是从AIDL框架入手学习梳理; Verify 部分是从binder和HIDL框架入手,android T 的Verify部分其实和Enroll调用的框架逻辑相同。

二、gatekeeper框架的变化

主要有以下4个组件:
Gatekeeperd :gatekeeper的守护进程。一种 C++ Binder 服务,其中包含独立于平台的逻辑,并且与 GateKeeperService Java 接口相对应。Android T已无binder部分逻辑。

Gatekeeper HIDL服务:调用Gatekeeper HAL,Android T已变为AIDL。

Gatekeeper 硬件抽象层 (HAL): hardware/libhardware/include/hardware/gatekeeper.h中定义了HAL的接口规范,是一个实现模块。

Gatekeeper (TEE) :基于 TEE 的 Gatekeeper 实现。

GateKeeper 身份验证的高级数据流

如下图:
GateKeeper 身份验证的高级数据流
1 )LockSettingsService 会通过 Binder 发出一个请求,该请求会到达 Android 操作系统中的 gatekeeperd 守护进程。gatekeeperd 守护进程会发出一个请求,该请求会到达此守护进程在 TEE 中的 Gatekeeper。gatekeeperd守护程序为 Android 框架 API 提供对 HAL 的访问权限,并参与向 Keystore 报告设备身份验证。 gatekeeperd守护程序在其自己的进程中运行,并且独立于系统服务器。
2)在Android O引入Treble计划之后,native层和HAL之间新增了HIDL,通过HwBinder来调用,实现解耦。
3)在Android T中,IGateKeeperService.aidl可直接调用到gatekeeperd.cpp。

代码结构图(复用)

frameworks/base/services/core/java/com/android/server/locksettings/ : 上层locksettings APP的实现

system/core/gatekeeperd : 守护进程gatekeeperd, IGateKeeperService的实现。Android T 上已变为AIDL框架,非Binderized HIDL。

system/gatekeeper : gatekeeper的纯软实现

hardware/interfaces/gatekeeper : gatekeeper的hidl实现

vendor gatekeeper hal : vendor厂商实现的gatekeeper hal

gatekeeper TA : 基于TEE的gatekeeper的TA代码

在这里插入图片描述

三、gatekeeper的软件框图

locksetting APP ----> IGatekeeperserivce ----> Hardware Gatekeeper HAL ----> Vendor Gatekeeper HAL(作为CA端) ----> Gatekeeper TA在这里插入图片描述

四、Enroll和Verify的流程框图

gatekeeper 和 keyguard 的关系:
Gatekeeper可以理解为连接上层和底层TEE的中间层,Settings将pin/password/pattern等密码通过Gatekeeper传输到TEE中去,称为加密(enroll)过程,Keyguard通过pin/password/pattern等密码打开设备成为解密(verify)过程,加解密的具体实现细节都在TEE中。
在这里插入图片描述

Enroll 密码 ---- AIDL
注册密码

  在设备恢复出厂设置后首次启动时,所有身份验证程序均会做好接受用户通过凭据注册的准备。用户必须先通过 Gatekeeper 注册一个 PIN 码/解锁图案/密码。该

最低0.47元/天 解锁文章
Android 系统内的守护进程 - main类服务(6) : gatekeeper
Android系统工程师--小馬佩德罗
05-22 901
不过,运行在 TEE 中的代码还是可以完全访问这些秘密信息的,所以我们仍然能通过 TEE 完成数据加密、身份认证之类的工作。这一举措让 Android 几乎达到了 ios 的高强度的加密标准(在iOS中,一个存储在芯片硬件中的称为UID key密钥,使得暴力破解必须在本机上才能进行,而且速度很慢,即使是破解一个只有 4 位数的 PIN 码也要花很长的时间)在谷歌提供的这个HAL 模块中,是把 TrustZone 作为它自己“可以信赖的”TEE OS的一部分。
Android系统的安全问题 - Android的keymaster和gatekeeper
最新发布
Android系统工程师--小馬佩德罗
03-26 115
Keymaster 和 GatekeeperAndroid 安全链条的核心环节,前者保障密钥安全,后者保障身份认证安全,二者结合为设备提供了从硬件到应用的完整保护。现代 Android 设备(如 Pixel、三星)均依赖它们实现高等级安全功能(如 Titan M 芯片)。是两大关键安全组件,分别负责硬件级别的密钥管理和设备解锁认证。Keymaster 提供基于硬件的加密密钥管理服务,用于保护敏感操作(如设备加密、支付认证、应用数据加密等)。(如可信执行环境 TEE 或专用安全芯片)的设备上。
Android Gatekeeper
yiduoxiaoxx的博客
02-29 2293
https://source.android.google.cn/security/authentication/gatekeeper
Android Gatekeeper流程深度解剖
baron-周贺贺-代码改变世界ctw
08-06 4845
1、先来张整体的软件框图 2、enroll和verify的调用流程 4、关键函数的介绍 (1)、writeCredentialHash //将enroll_handle保存到文件 如果是password,保存到passwordFilename, patterFilename写入空 如果是patter,保存到patterFilename, passwordFilename写入空 frameworks/base/services/core/java/com/android/server/locksettin
Android gatekeeper的原理介绍和代码导读
baron-周贺贺-代码改变世界ctw
07-31 5597
(service) frameworks/base/services/core/java/com/android/server/locksettings/ LockSettingsService.java LockSettingsStorage.java PasswordSlotManager.java SyntheticPasswordCrypto.java recoverablekeystore LockSettingsShellCommand.java LockSettin
AndroidQ 锁屏密码验证流程之GateKeeper解析
云守护的专栏
07-27 1990
转自:https://blog.csdn.net/qq_34211365/article/details/105833847 本篇文章分析一下GateKeeper这个模块,官网对GateKeeper的描述如下: Gatekeeper Gatekeeper 子系统会在可信执行环境 (TEE) 中执行设备解锁图案/密码身份验证。Gatekeeper 会使用由硬件支持的密钥通过 HMAC 注册和验证密码。此外,Gatekeeper 会限制连续失败的验证尝试次数,并且必须根据指定的超时和指定的连续失败尝试次数拒
Android Gatekeeper 学习指南:嵌入式设备的安全之道
Orion_O的博客
09-22 353
Gatekeeper HAL 是 Android 系统中的硬件抽象层,用于将 Gatekeeper 的功能映射到具体的硬件平台。在嵌入式系统中,Android Gatekeeper 是一种重要的安全机制,旨在保护设备的身份验证过程。通过理解 Android Gatekeeper 的工作原理和实现方式,我们可以更好地应用这一技术来保护嵌入式设备中的用户敏感信息。同时,我们也要不断关注安全领域的最新发展,以确保设备始终具备最佳的安全性能,抵御未来的安全挑战。在实际应用中,我们需要根据具体需求进行扩展和优化。
大总结:Android15安全都包含什么?--Android安全架构梳理-建议收藏
baron-周贺贺-代码改变世界ctw
06-26 231
StrongBox则是一个独立的硬件安全模块(HSM),专门存储高价值的加密密钥,如用于支付和生物认证的密钥。每个应用程序在独立的进程中运行,并且拥有一个唯一的用户ID (UID),使得应用程序之间不能直接访问彼此的数据。Android系统为用户提供了一个相对安全的操作环境,保护了用户数据和设备的安全。AVB是Android的验证引导机制,旨在确保设备启动时加载的每一层软件都是可信的。它通过加密和密钥管理机制,确保只有授权设备和用户才能访问受保护的内容,防止未经授权的复制和分发。
PhoneSwitcher的处理流程 ,SIMStateReceiver的处理流程,PIN码设置、加密、存储,双卡加载流程,短信发送过程
lzl_lixiang的博客
04-29 1713
第1章 PhoneSwitcher的处理流程 注意:PhoneSwitcher在PhoneFactory中初始化。PhoneSwitcher在初始时注册了广播接收器,监听数据卡的变化。 图1 PhoneSwitcher类,初始时注册了广播接收器 同时,TelephonyNetworkFactory初始时,注册成PhoneSwitcher的观察者,监听Phone数据能力的切换。 ...
Android Gatekeeper流程解析
DevCyberX的博客
09-25 185
通过用户输入凭据、Gatekeeper模块的处理、与安全存储区域的交互和模板匹配,Gatekeeper实现了对设备的安全验证。Gatekeeper模块与安全存储区域交互:Gatekeeper模块通过与设备上的安全存储区域进行交互,获取保存的用户模板。安全存储区域通常是一个安全的硬件组件,用于存储敏感的用户数据。通过将用户输入的凭据转换为安全模板,并与保存的模板进行比较,Gatekeeper有效地防止了未经授权的访问。需要注意的是,Gatekeeper的具体实现可能因设备厂商而异,但基本的工作原理是相似的。
Android Gatekeeper 学习指南:嵌入式设备安全保护详解
CyberSphinx的博客
09-03 191
Android GatekeeperAndroid 系统中的一个重要组件,用于保护设备的数据和功能免受未经授权的访问。本文介绍了 Android Gatekeeper 的工作原理,并提供了一个简单的代码示例,演示了如何使用 Android Gatekeeper 实现设备的锁定和解锁功能。通过理解和应用 Android Gatekeeper,您可以加强嵌入式设备的安全性,并保护用户的隐私和数据安全。Android Gatekeeper 是一项关键技术,用于保护设备的数据和功能免受未经授权的访问。
[Android]锁屏密码校验Gatekeeper-SoftGatekeeper
weixin_30340353的博客
03-01 842
Android M上,google改变了之前在java层进行加密的方式, 引入了Gatekeeper ,将密码校验以及相关事务通过HAL层的相关服务进行处理, 完成了对TEE的支持,用以支撑指纹识别等硬件安全特性,于此同时 普通的锁屏加密方式安全性也由于此项更新得到了大大的提升,整个系统的安全性得到了很大的加强,那么新引入的特性是如何与上层进行交互以及如何工作的呢,我们这就一探究竟: 首先我们...
Android Gatekeeper流程详解:嵌入式系统
PixelPusher的博客
09-22 320
Gatekeeper作为一种安全机制,对用户身份进行验证,并保护设备免受未经授权的访问。嵌入式系统中的Gatekeeper应用为用户提供了安全、可信赖的身份验证体验,同时保护其数据和隐私的安全。GatekeeperAndroid操作系统中的一个组件,负责验证用户的凭据,以授予或拒绝他们对设备的访问权限。a. 用户验证请求:当用户尝试访问需要验证的功能时(如解锁屏幕),Gatekeeper接收到验证请求。b. 数据传递:Gatekeeper将验证请求中的相关数据传递给TEE,TEE负责进行验证过程。
TEE gatekeeper
weixin_47139576的博客
09-26 431
本文描述android中的gatekeeper原理和关键实现
理解adb错误:Can‘t find service: android.service.gatekeeper.IGateKeeperService
热门推荐
华科硕士,大厂打工中。编程问题咨询,请私我
07-21 1万+
因为测试需要,使用如下命令:adb shell dumpsys > dumpsys0.txt,调用Android系统的dumpsys工具用于查看手机的系统服务信息,但是华为P10报错“Can't find service: android.service.gatekeeper.IGateKeeperService” 第一次执行这个命令,看到错误还是有点懵,然后执行了一系列命令,查看手机服务列表 发现服务列表里就是提示没有该服务,然后我去日志打印目录下查看我要输出的日志文件,发现是存在的,且我想
Android locksettings/gatekeeper代码导读
baron-周贺贺-代码改变世界ctw
02-02 1304
文章目录1、pin/parttern/passwd密码锁的框图2、gatekeeper的框图 1、pin/parttern/passwd密码锁的框图 KeyguardManager.java已属于app的一部分 LockPatternUtils.java中会根据passwd、pin、parttern的不同,调用不同的渲染接口 相关代码参考: frameworks/base/core/java/android/app/KeyguardManager.java frameworks/base/core/ja
android gatekeeper(locksetting密码锁)学习这一篇就够了
baron-周贺贺-代码改变世界ctw
05-04 3883
学习gatekeeper/密码是只看这一篇文章就够了。基于android13,多图多精简总结,白话总结,一网打尽密码锁、locksettingService、gatekeeper hal 、CA、TA、TEE 所有知识点。并拓展了指纹、人脸、DRM 相关的知识点
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

多维不语

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值