[IBM DW] 理解 Android 上的安全性
開發(fā) Android 應(yīng)用程序時(shí),必須處理很多與安全性相關(guān)的方面,包括應(yīng)用程序進(jìn)程和沙箱、代碼和數(shù)據(jù)共享、通過應(yīng)用程序簽名達(dá)到的系統(tǒng)保護(hù),以及權(quán)限使用。在您使用樣例代碼時(shí),突出強(qiáng)調(diào)了 Android 應(yīng)用程序開發(fā)中的這些安全方面。
Android 包括一個(gè)應(yīng)用程序框架、幾個(gè)應(yīng)用程序庫和一個(gè)基于 Dalvik 虛擬機(jī)的運(yùn)行時(shí),所有這些都運(yùn)行在 Linux® 內(nèi)核之上。通過利用 Linux 內(nèi)核的優(yōu)勢,Android 得到了大量操作系統(tǒng)服務(wù),包括進(jìn)程和內(nèi)存管理、網(wǎng)絡(luò)堆棧、驅(qū)動(dòng)程序、硬件抽象層以及與本文主題 —— 安全性 —— 相關(guān)的服務(wù)。
前提條件
要跟隨本文,需要具備以下技能和工具:
- 基本了解 Java™ 技術(shù)和如何使用 Eclipse(或者您喜歡的 IDE)
- Java Development Kit(需要版本 5 或 6)
- Eclipse(版本 3.4 或 3.5)
- Android SDK 和 ADT 插件
Android 使用沙箱的概念來實(shí)現(xiàn)應(yīng)用程序之間的分離和權(quán)限,以允許或拒絕一個(gè)應(yīng)用程序訪問設(shè)備的資源,比如說文件和目錄、網(wǎng)絡(luò)、傳感器和 API。為此,Android 使用一些 Linux 實(shí)用工具(比如說進(jìn)程級(jí)別的安全性、與應(yīng)用程序相關(guān)的用戶和組 ID,以及權(quán)限),來實(shí)現(xiàn)應(yīng)用程序被允許執(zhí)行的操作。
概念上講,沙箱可以表示為 圖 1 所示。
圖 1. 兩個(gè) Android 應(yīng)用程序,各自在其自己的基本沙箱或進(jìn)程上
Android 應(yīng)用程序運(yùn)行在它們自己的 Linux 進(jìn)程上,并被分配一個(gè)惟一的用戶 ID。默認(rèn)情況下,運(yùn)行在基本沙箱進(jìn)程中的應(yīng)用程序沒有被分配權(quán)限,因而防止了此類應(yīng)用程序訪問系統(tǒng)或資源。但是 Android 應(yīng)用程序可以通過應(yīng)用程序的 manifest 文件請求權(quán)限。
通過做到以下兩點(diǎn),Android 應(yīng)用程序可以允許其他應(yīng)用程序訪問它們的資源:
- 聲明適當(dāng)?shù)?manifest 權(quán)限
- 與其他受信任的應(yīng)用程序運(yùn)行在同一進(jìn)程中,從而共享對其數(shù)據(jù)和代碼的訪問
后者演示在 圖 2 中。
圖 2. 兩個(gè) Android 應(yīng)用程序,運(yùn)行在同一進(jìn)程上
不同的應(yīng)用程序可以運(yùn)行在相同的進(jìn)程中。對于此方法,首先必須使用相同的私鑰簽署這些應(yīng)用程序,然后必須使用 manifest 文件給它們分配相同的 Linux 用戶 ID,這通過用相同的值/名定義 manifest 屬性 android:sharedUserId 來做到。
下圖演示了很多在開發(fā) Android 應(yīng)用程序時(shí)會(huì)發(fā)現(xiàn)的與安全性相關(guān)的用例。
圖 3. 編寫 Android 應(yīng)用程序時(shí)出現(xiàn)的安全領(lǐng)域
- 應(yīng)用程序或代碼簽名是這樣一個(gè)過程,即生成私有、公共密鑰和公共密鑰證書,簽署和優(yōu)化應(yīng)用程序。
- 權(quán)限是 Android 平臺(tái)的一種安全機(jī)制,以允許或限制應(yīng)用程序訪問受限的 API 和資源。默認(rèn)情況下,Android 應(yīng)用程序沒有被授予任何權(quán)限,不允許它們訪問設(shè)備上受保護(hù)的 API 或資源,從而保證了它們的安全。權(quán)限必須被請求,定義了定制的權(quán)限,文件和內(nèi)容提供者就可以受到保護(hù)。確保在運(yùn)行時(shí)檢查、執(zhí)行、授予和撤銷權(quán)限。
接下來,更加詳細(xì)地來看一下每個(gè)安全領(lǐng)域。
所有 Android 應(yīng)用程序都必須被簽名。應(yīng)用程序或代碼簽名是一個(gè)這樣的過程,即使用私有密鑰數(shù)字地簽署一個(gè)給定的應(yīng)用程序,以便:
- 識(shí)別代碼的作者
- 檢測應(yīng)用程序是否發(fā)生了改變
- 在應(yīng)用程序之間建立信任
基于這一信任關(guān)系,應(yīng)用程序可以安全地共享代碼和數(shù)據(jù)。
使用相同數(shù)字簽名簽署的兩個(gè)應(yīng)用程序可以相互授予權(quán)限來訪問基于簽名的 API,如果它們共享用戶 ID,那么也可以運(yùn)行在同一進(jìn)程中,從而允許訪問對方的代碼和數(shù)據(jù)。
應(yīng)用程序簽名首先是生成一個(gè)私有、公共密鑰對和一個(gè)相關(guān)公共密鑰證書,簡稱為公共密鑰證書。
構(gòu)建 Android 應(yīng)用程序時(shí)可以采用調(diào)試模式和發(fā)布模式:
- 使用 Android 構(gòu)建工具(命令行和 Eclipse ADT)構(gòu)建的應(yīng)用程序是用一個(gè)調(diào)試私有密鑰自動(dòng)簽名的;這些應(yīng)用程序被稱為調(diào)試模式應(yīng)用程序。調(diào)試模式應(yīng)用程序用于測試,不能夠發(fā)布。注意,未簽名的或 者使用調(diào)試私有密鑰簽名的應(yīng)用程序不能夠通過 Android Market 發(fā)布。
- 您準(zhǔn)備發(fā)布自己的應(yīng)用程序時(shí),必須構(gòu)建一個(gè)發(fā)布模式的版本,這意味著用私有密鑰簽署應(yīng)用程序。
Android 中的代碼簽名采用一種比其他移動(dòng)平臺(tái)中要簡單得多的方式。在 Android 上,證書可以是自簽名的,這就是說,無需證書授權(quán)。這種方法簡化了發(fā)布過程和相關(guān)的成本。
接下來,介紹如何從命令行以及通過使用 Eclipse ADT 手動(dòng)簽署 Android 應(yīng)用程序。本文中不介紹第三種方法,即使用 Ant。
手動(dòng)創(chuàng)建私有、公共密鑰和公共密鑰證書
回想一下,調(diào)試模式應(yīng)用程序是使用調(diào)試密鑰/證書由構(gòu)建工具自動(dòng)簽名的。要簽署一個(gè)發(fā)布模式的應(yīng)用程序,首先必須生成私有、公共密鑰對和公共 密鑰證書。可以手動(dòng)地或者通過使用 Eclipse ADT 簽署應(yīng)用程序。兩種方法中都使用了 Java Developer Kit (JDK) keytool 密鑰和證書管理實(shí)用工具。
要手動(dòng)生成私有、公共密鑰信息,可以從命令行使用 keytool,如 清單 1 所示。
|
注意:清單 1 假設(shè) JDK 已安裝在您的計(jì)算機(jī)上,并且 JAVA_HOME 路徑被正確定義為指向您的 JDK 目錄(參見 參考資料,獲得下載和設(shè)置信息)。
在 清單 1 中,-genkey 表示一個(gè)公共、私有密鑰對項(xiàng),以及一個(gè) X.509 v1 自簽署的單個(gè)元素證書鏈,其中包含生成的公共密鑰。-v 表示冗長模式。-alias 是用于 keystore 項(xiàng)的別名,keystore 存儲(chǔ)生成的私有密鑰和證書。-keystore 表示使用的密鑰倉庫的名稱。-keyalg 是用來生成密鑰對的算法。-keysize 是生成的密鑰大小,其中默認(rèn)大小是 1024,但是推薦大小是 2048。-validity 是有效天數(shù);推薦采用大于 1000 的值。
注意:生成密鑰之后,一定要保證密鑰的安全。不要共享私有密鑰,也不要在命令行或腳本中指定密鑰;注 意,keytool 和 jarsigner 會(huì)提示輸入密碼。關(guān)于這一技巧和其他技巧,請參考 Android Developers 網(wǎng)站的 “Securing Your Private Key”。
Keytool 提示您輸入名和姓、公司、城市、州、國家,從這些信息生成一個(gè) X.500 Distinguished Name,還要輸入保護(hù)私有密鑰和密鑰倉庫本身的密碼。
對于有效期,請確保使用超出應(yīng)用程序本身和相關(guān)應(yīng)用程序預(yù)期生命期的時(shí)期。如果您是在 Android Market 上發(fā)布應(yīng)用程序,那么有效期必須晚于 2033 年 10 月 22 日結(jié)束;否則不能上載。此外,擁有長壽命的證書讓升級(jí)應(yīng)用程序更為容易。幸運(yùn)的是,Android Market 強(qiáng)制采用長壽命的證書,以幫助您避免此類問題。
接下來,使用 jarsigner 工具(它是 JDK 的一部分)簽署未簽名的應(yīng)用程序:
jarsigner -verbose -keystore <keystore.name> <my_application.apk> <alias_name> |
在上述代碼中,-verbose 表示冗長模式,-keystore 表示使用的密鑰倉庫的名稱。接下來是應(yīng)用程序的名稱 (.apk),最后是用于私有密鑰的別名。
Jarsigner 提示您輸入使用密鑰倉庫和私有密鑰時(shí)的密碼。
應(yīng)用程序可以使用不同的密鑰進(jìn)行多次簽名,用相同私有密鑰簽名的應(yīng)用程序之間可以建立一種信任關(guān)系,并且可以運(yùn)行在同一進(jìn)程中,共享代碼和數(shù)據(jù)。
簽署過程的最后一步是優(yōu)化應(yīng)用程序,以便數(shù)據(jù)邊界與文件的開始是內(nèi)存對齊的,這種技術(shù)有助于改善運(yùn)行時(shí)性能和內(nèi)存利用率。要簽署應(yīng)用程序,可以使用 zipalign:
zipalign -v 4 your_project_name-unaligned.apk your_project_name.apk |
在前面的代碼中,-v 表示冗長輸出。數(shù)字 4 表示使用四字節(jié)對齊(總是使用四字節(jié))。下一個(gè)參數(shù)是輸入已簽署應(yīng)用程序的文件名 (.apk),它必須用您的私有密鑰簽署。最后一個(gè)參數(shù)是輸出文件名;如果覆蓋現(xiàn)有應(yīng)用程序,則添加一個(gè) -f。
手動(dòng)驗(yàn)證應(yīng)用程序已經(jīng)簽署
要驗(yàn)證應(yīng)用程序已經(jīng)簽署,可以使用 Jarsigner,這次傳遞 -verify 標(biāo)志:
jarsigner -verify -verbose -certs my_application.apk |
在前面的代碼中,-verify 表示驗(yàn)證應(yīng)用程序;-verbose 表示冗長模式;-certs 表示展示創(chuàng)建密鑰的 CN 字段,最后一個(gè)參數(shù)是要驗(yàn)證的 Android 應(yīng)用程序包的名稱。
注意:如果 CN 讀入 "Android Debug",那么意味著應(yīng)用程序是用調(diào)試密鑰簽署的,這表明不能發(fā)布;如果您計(jì)劃在 Android Market 上發(fā)布您的應(yīng)用程序,一定要記得使用私有密鑰。
剛才學(xué)習(xí)了如何手動(dòng)創(chuàng)建私有、公共密鑰,以及簽署和優(yōu)化應(yīng)用程序。接下來,了解如何使用 Eclipse ADT 自動(dòng)創(chuàng)建私有、公共密鑰,以及簽署和優(yōu)化應(yīng)用程序。
要使用 Eclipse ADT 生成密鑰,必須導(dǎo)出應(yīng)用程序。有兩種方法從 Eclipse 導(dǎo)出應(yīng)用程序:
- 導(dǎo)出您必須手動(dòng)簽署的應(yīng)用程序的未簽署 版本
- 導(dǎo)出應(yīng)用程序的已簽署 版本,其中所有步驟都由 ADT 為您代勞
您可以導(dǎo)出您必須手動(dòng)簽署的應(yīng)用程序的未簽署版本。就是說,您需要手動(dòng)運(yùn)行 keytool(如前所述,是為了生成密鑰)和 Jarsigner(為了簽署應(yīng)用程序),并使用 zipalign 工具優(yōu)化應(yīng)用程序,跟前面解釋的那樣。
要使用 ADT 導(dǎo)出應(yīng)用程序的未簽署版本,可以右鍵單擊項(xiàng)目并選擇 Android Tools>Export Unsigned Application Package(參見 圖 4)。
選中之后,ADT 提示您選擇將未簽署應(yīng)用程序?qū)С龅降哪夸洝S涀。坏?yīng)用程序被導(dǎo)出,您就必須手動(dòng)簽署和優(yōu)化應(yīng)用程序,跟前面介紹的那樣。
利用 Eclipse ADT,您可以導(dǎo)出應(yīng)用程序的已簽署版本。使用這種方法,ADT 提示您輸入以下內(nèi)容:
- 使用現(xiàn)有 KeyStore 或者創(chuàng)建新的受保護(hù) KeyStore 所需的信息
- 創(chuàng)建受保護(hù)私有密鑰所需的信息
- 生成公共密鑰證書所需的信息
要導(dǎo)出已簽署的應(yīng)用程序,可以右鍵單擊項(xiàng)目,但是這一次選擇菜單項(xiàng) Android Tools->Export Signed Application Package,如 圖 5 所示。
此時(shí),Export Wizard 執(zhí)行,如 圖 6 所示。
在 圖 7 中,選擇一個(gè)現(xiàn)有的密鑰倉庫(或者創(chuàng)建一個(gè)新的)和證書。
在 圖 8 中,輸入信息以創(chuàng)建私有密鑰和數(shù)字證書。
圖 8. Export Wizard:創(chuàng)建私有密鑰和數(shù)字證書
在 圖 9 中,輸入目標(biāo)文件的路徑和名稱,并驗(yàn)證有效期間。
完成時(shí),您就有了一個(gè)發(fā)布模式的已簽署和已優(yōu)化的應(yīng)用程序,您可以發(fā)布它。
另外,您也可以使用 Android Manifest 工具調(diào)用 Export Wizard,如 圖 10 所示。
圖 10. 使用 Android Manifest 工具調(diào)用 Export Wizard
應(yīng)用程序簽署之后,下一步由您在 manifest 中定義應(yīng)用程序需要的權(quán)限。接下來將描述這一過程。
注意,Android Developer 網(wǎng)站有非常好的關(guān)于應(yīng)用程序簽署的文檔,當(dāng)有 Android 平臺(tái)的新版本可用時(shí),這些文檔都會(huì)更新。
權(quán)限是一種 Android 平臺(tái)安全機(jī)制,旨在允許或限制應(yīng)用程序訪問受限的 API 和資源。默認(rèn)情況下,Android 應(yīng)用程序沒有被授予權(quán)限,這通過不允許它們訪問設(shè)備上的受保護(hù) API 或資源,確保了它們的安全。權(quán)限在安裝期間通過 manifest 文件由應(yīng)用程序請求,由用戶授予或不授予。
Android 定義長長的一系列 manifest 權(quán)限,以保護(hù)系統(tǒng)或其他應(yīng)用程序的各個(gè)方面。要請求權(quán)限,可以在 manifest 文件中聲明一個(gè) <user-permission> 屬性:
<uses-permission android:name="string" /> |
其中 android:name 指定權(quán)限的名稱。
要得到所有 Android 定義的 manifest 權(quán)限的列表,請參見 Manifest.permisson 頁面。清單 2 是一個(gè) manifest 文件的例子,它請求使用 Internet 的權(quán)限和寫到外部存儲(chǔ)器的權(quán)限:
|
應(yīng)用程序可以定義它們自己的定制權(quán)限,以保護(hù)應(yīng)用程序資源。其他應(yīng)用程序想要訪問一個(gè)應(yīng)用程序的受保護(hù)資源,就必須通過它們自己的 manifest 文件請求適當(dāng)?shù)臋?quán)限。清單 3 展示了一個(gè)如何定義權(quán)限的例子。
|
在 清單 3 中,通過指定最少的屬性,即 name、description、label 和 protectionLevel,定義了一個(gè)定制權(quán)限。也可以定義其他屬性,但是這里沒做介紹。
特別有趣的是 android:protectionLevel 屬性,它表示系統(tǒng)向一個(gè)請求權(quán)限的應(yīng)用程序授予(或不授予)給定的權(quán)限時(shí)應(yīng)該遵循的方法。保護(hù)級(jí)別有普通 和危險(xiǎn)。前者自動(dòng)授予權(quán)限(盡管用戶在安裝之前總是可以重審),基于簽名授予權(quán)限(就是說,如果請求權(quán)限的應(yīng)用程序是用同一證書簽署的);后者表示權(quán)限給予私有數(shù)據(jù)的訪問權(quán),或者具有另一個(gè)潛在的負(fù)面影響。有關(guān) <permission>manifest 屬性的更多信息,請參見 <permission> 頁面。
應(yīng)用程序可以限制對應(yīng)用程序及其使用的系統(tǒng)組件(比如 Activity、Service、Content Provider 和 Broadcast Receiver)的訪問。通過像 清單 4 中那樣定義 android:permission 屬性,很容易實(shí)現(xiàn)這種限制。這種級(jí)別的保護(hù)讓應(yīng)用程序允許或限制其他應(yīng)用程序訪問系統(tǒng)資源。
清單 4. 定義一個(gè)活動(dòng)的權(quán)限
<activity
android:name=".FriendsListActivity"
android:label="Friends List">
android:permission="com.cenriqueortiz.android.ACCESS_FRIENDS_LIST"
<intent-filter>
:
:
</intent-filter>
</activity>
內(nèi)容提供者暴露一個(gè)公共 URI,用于惟一地識(shí)別它們的數(shù)據(jù)。要保護(hù)此內(nèi)容提供者,當(dāng)開始時(shí)或者從活動(dòng)返回結(jié)果時(shí),調(diào)用者可以設(shè)置 Intent.FLAG_GRANT_READ_URI_PERMISSION 和Intent.FLAG_GRANT_WRITE_URI_PERMISSION,以便授予接收活動(dòng)權(quán)限,以訪問特定的數(shù)據(jù) URI。
應(yīng)用程序文件默認(rèn)是受保護(hù)的。文件基于用戶 ID 受保護(hù),因而只對所有者應(yīng)用程序是可訪問的(此應(yīng)用程序具有相同的用戶 ID)。正如前面介紹的,共享相同用戶 ID(并使用相同數(shù)字證書簽署)的應(yīng)用程序運(yùn)行在相同進(jìn)程上,因而共享對它們的應(yīng)用程序的訪問。
應(yīng)用程序可以允許其他應(yīng)用程序或進(jìn)程訪問它們的文件。這種允許是通過指定適當(dāng)?shù)腗ODE_WORLD_READABLE 和 MODE_WORLD_WRITEABLE 操作模式(以便允許對文件的讀或?qū)懺L問)或MODE_PRIVATE(以便以私有模式打開文件)而做到的。您可以在創(chuàng)建或打開文件時(shí)利用以下方法指定操作模式:
- getSharedPreferences(filename, operatingMode)
- openFileOutput(filename, operatingMode)
- openOrCreateDatabase(filename, operatingMode, SQLiteDatabase.CursorFactory)
Android 提供各種 API 來在運(yùn)行時(shí)檢查、執(zhí)行、授予和撤銷權(quán)限。這些 API 是android.content.Context 類的一部分,這個(gè)類提供有關(guān)應(yīng)用程序環(huán)境的全局信息。例如,假設(shè)您想要優(yōu)雅地處理權(quán)限,您可以確定您的應(yīng)用程序是否被授予了訪問 Internet 的權(quán)限。
清單 5. 使用運(yùn)行時(shí) Permission API 在運(yùn)行時(shí)檢查權(quán)限
if (context.checkCallingOrSelfPermission(Manifest.permission.INTERNET) |
要了解其他在運(yùn)行時(shí)檢查、執(zhí)行、授予和撤銷權(quán)限的權(quán)限 API,請參考上下文類。
本文介紹了 Android 平臺(tái)上的安全性,包括沙箱、應(yīng)用程序簽名、應(yīng)用程序權(quán)限,以及文件和內(nèi)容提供者權(quán)限。閱讀完這篇介紹性文章之后,您將能夠使用 Eclipse 手動(dòng)創(chuàng)建數(shù)字證書,請求應(yīng)用程序權(quán)限,以及允許或不允許應(yīng)用程序訪問文件和內(nèi)容提供者。此外,您還簡要了解了權(quán)限運(yùn)行時(shí) API,這些 API 允許您在運(yùn)行時(shí)檢查、執(zhí)行、授予和撤銷權(quán)限。
