AndroidKeyStore管理及实现-基于源码7.1.1.r13

最新推荐文章于 2025-06-30 11:47:16 发布
原创 最新推荐文章于 2025-06-30 11:47:16 发布 · 4k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #访问控制 #密钥管理

本文详细解析了Android KeyStore系统的架构与实现原理,从Java层、Framework层到Native层逐层深入,涵盖证书导入、服务接口调用等关键流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、   Java层代码实现及调用

1.       Apps接口调用—证书导入apk

(1)       代码路径为:packages/apps/Settings/src/com/android/settings/CredentialStorage.java

(2)       功能为UNLOCK/ INSTALL/ RESET

通过调用android.security.keystore的私有对象mkeyStore 的importkey(),put(),unlock()实现对应的功能,mkeyStore通过调用getInstance()函数进行实例化,如下图所示:

(3)       importkey函数是存储私钥文件(密码保护),put函数是存储证书文件,通过uid判断是否为SELF或者sameUser(权限控制)调用importKey时,需要传入参数为name,value,uid和flag,uid值用于认证功能,flag的作用没有理解,有懂的大牛欢迎留言指点

2.       Framwork层Service接口调用

(1)       代码路径为frameworks/base/keystore/java/android/security/keyStore.java

(2)       获取对应的KeyStore实例,通过调用Binder机制,获取名称为“android.security.keystore”的服务,并实例化私有变量mBinder,KeyStore提供了函数包括get(),put(),insert(),delete(),list(),lock(),unlock(),generate(),importkey(),sign(),vertify():

(3)       KeyStore中的importKey函数通过mBinder的importKey实现,mBinder提供了KeyStore的所有函数实现-代理模式,其中mBinder的赋值是通过ServiceManger.getServcie(“xxxx”)做为参数,通过IKeystoreService强制转换而成的:

(4)       Binder服务对应的代码路径为frameworks/base/core/java/android/security/IKeystoreService.aidl

基于该aidl文件生成对应的IKeystoreService.java 和IKeystoreService.cpp对应java bindings和C++bindings,如下图所示:

基于aidl文件生成对应的stub文件和Bnxxx. Bpxxx文件,其中Bnxxx类集成binder类,实现IKeystoreService,且提供了转换接口实现asInterface(IBinder obj):


3.       Framwork层ServiceManager接口实现

(1)       代码路径为frameworks/base/core/java/android/os/ServiceManager.java

(2)       Binder中的具体功能实现,是通过ServiceManager的getService函数获取,通过读取HashMap表来索引对应的iBinder:


(3)       所有的service的获取最终是通过ServiceManager.getIServiceManger,返回的,ServiceManager也是binder服务,最终的接口实现为BinderInternal.getContextObject()

(4)       BinderInternal.getContextObject()实现路径为framework/base/core/java/com/android/internal/os/BinderInternal.java,对应的接口实现是通过JNI实现的:

(5)       JNI的代码实现代码路径为frameworks/base/core/jni/ android_util_Binder.cpp

(6)       ProcessState的实现代码为frameworks/native/libs/binder/ProcessState.cpp:

4.       JDK层接口调用--AndroidKeyStore

 

二、   内核层代码实现及调用 – keystore1keystore2均调用keystore0的实现

1.       KeyStoreService实现—输出keystore可执行程序

Mian代码路径为system/security/keystore/keystore_main.cpp,Keymaster2支持硬件管理,则对应的keymaster2_open函数直接打开设备的相关处理函数,通过调用hw_get_module_by_class函数获取HAL接口,并且keymasterx_open函数调用的为mod->methods->open(xxx)函数:


(1)       Keymaster的实现方式分为HARDWARE_MODULE(keymaster2),VERSION_1_0(keymster1)和VERSION_0_0:

Keymaste0,keymaster1和keymaster2差异性为设备open接口,其中keymaster0和keymaster需要通过SoftKeymasterDevice进行,如下图为keymaster0,如果仅支持软件管理,则返回,否则wrapper成hardware:

 

2.       Kernel-HAL层代码实现

(1)       代码路径system/security/softkeymaster/keymaster_openssl.cpp


(2)       代码路径为system/keymaster/soft_keymaster_device.cpp,实现了keymaster1和keymaster2的初始化,这两类的master是通过SoftKeymasterDevice进行对应的指针初始化,keymaster1和keymaster2没有对应的实现函数[.methos=nullptr]:

 

3.       KeyStoreClient实现

(1)       代码路径为system/security/keystore/ keystore_cli.cpp,获取系统的service-“android.security.keystore”

(2)       代码路径为system/security/keystore/keystore_cli_v2.cpp和keystore_client_impl.cpp,对应的是版本v2客户端:

 

4.       KeyStoreServer实现

(1)       代码路径为system/security/keystore/keystore_main.cpp:

5.       硬件扩展简述

 

三、   IPC机制分析-Binder机制

1.       参考文档: mediaservice的实现及源码解析:http://www.cnblogs.com/innost/archive/2011/01/09/1931456.html

通用的binder机制解析:http://blog.youkuaiyun.com/coding_glacier/article/details/7520199


2.       ServiceManager的代码路径为:./frameworks/native/cmds/servicemanager/service_manager.c,

(1)       打开binder驱动,判断selinux的启用情况,循环监听driver中的消息,并调用svcmgr_handler,进行处理,main函数为:

(2)       其中binder_open的功能为通过mmap方法获取一块private的内存,并通过bs->fd进行访问,返回bs(该结构体含有句柄fd, 句柄指向的mmap内存块,内存块的大小),代码路径为frameworks/native/cmds/servicemanager/binder.c,如下图所示:

(3)       通过loop监听到请求,如果请求是发送给svcmgr,则继续查看对应的服务,例如添加服务,查询服务,获取服务:


(4)       此处关注addservice的操作,调用函数为do_add_service(bs,s, len, handle, txn->sender_euid, allow_isolated, txn->sender_pid), 其中参数s为服务的名称(bio_get_string16(msg, &len)),handle为服务的处理句柄(bio_get_ref(msg))—函数的具体实现位于frameworks/native/cmds/servicemanager/binder.c中,功能类似server解析请求的数据包,添加的服务以svcinfo的信息存储到链表中svclist(该链表采用前向插入)

(5)       通过查询获取到对应的handle,然后通过回调函数,封装成replay并调用binder_send_reply发送到请求方:

3.       serviceManger做为所有服务的servcer,而特定的service是通过调用ServiceManger.addService(“xxxxx”)的方式进行服务注册,封装parcel发送请求实现对应服务的注册,代码路径为:

(1)     KeyStore以binder服务的形式提供给前端,最终导出库为libkeystore_binder,服务注册代码如下所示,代码路径为system/security/keystore/keystore_main.cpp:

(2)       keystore的注册是通过IserviceManager的addService进行注册的,通过封装对应的handler,以parcel的数据格式注册服务请求的逻辑frameworks/native/libs/binder/IServiceManager.cpp:

(3)       将本地Service的实现函数转换成对应的句柄,封装成Binder,调用的对应函数为writeStrongBinder(),最终封装发送的handler为binder->remoteBinder(),类型为BpBinder,即实际注册时service->remoteBinder():

(4)       Keystore_main为一个执行程序,通过把binder->localBinder()句柄封装在Parcel中以iocal方式驱动到servicemanger,再调用android::IPCThreadState::self()->joinThreadPool(),代码路径为frameworks/native/libs/binder/IPCThreadState.cpp,该函数为循环监听函数,通过min和mout与binderdriver进行通信:

4.       Binder的IPCThreadStat与ProcessState源码分析:

(1)       通过调用android::IPCThreadState::self()->joinThreadPool(),与Binder驱动的交互即ioctl通信交互,IPCThreadState::Self(),创建单例IPCThreadState,并且该单例是线程独享共享区的,并且对象初始化了ProcessState::self():

(2)       joinThreadPool函数,默认isMain是true,进入BC_ENTER_LOOPER循环状态:

(3)       其中processPendingDerefs()函数功能为清理掉所有的weak和strong引用:getAndExecuteCommand()功能为执行下一条命令并等待来自BinderDriver的响应


(4)       最终调用executeCommand(),基于命令码的机制进行响应数据:

 

四、   依赖机制应用-keystore Binder机制

1.       keystore注册的handler是android::sp<android::KeyStoreService>,后续的请求也是请求该handle,并转换成IKeyStoreService指针进行对应函数的调用。

2.       Binder对应的服务端接口路径为system/security/keystore/key_store_service.h,该头文件继承BnKeystoreService和IBinder,其中具体的函数实现是通过mKeyStore调用相关函数实现,BnKeystoreService的实现代码路径为system/security/keystore/include/keystore/IKeystoreService.cpp:


3.       Binder对应的客户端接口路径为system/security/keystore/ IKeystoreService.cpp中的class BpKeystoreService,

4.       Binder的请求是封装的parcel,通过循环监听进行服务的响应(不错的客户端-服务器架构)

(1)       Demo代码树为

l   IService:IInterface                      --纯虚函数(服务侧提供的功能)

l   BnService:BnInterface<IService>             -- 虚函数onTransact实现

l   BpService:BpInterface<IService>            --实现对应的服务侧函数,封装请求,并实现OnTranscat函数

l   Service:BnService<IService>                 --实现IService中的所有纯虚函数

l   Service.main                                      --调用Service的初始话和注册函数

l   Client.main                                       --调用serviceManger的getService并转换成IService接口

(2)       Keystore对应的代码树为:

l   IKeystoreService:IInterface                     --代码路径为security/keystore/include/keystore/IKeystoreSerivce.h

l   BnKeystoreService:BnInterface<IKeystoreService>--代码路径为security/keystore/include/keystore/IKeystoreSerivce.h

l   BpSrevice:BpInterface<IKeystoreService> -- 代码路径为security/keystore/IKeystoreSerivce.cpp

l   KeyStoreService:BnKeystoreService<IKeystoreService>--代码路径为system/security/keystore/ key_store_service.h

l   Keystore_main                                               --代码路径为system/security/keystore/keystore_main.cpp

l   Keystore_cli_v2                                             --代码路径为system/security/keystore/keystore_client_impl.cpp


 未完待续。。。

Android Keystore/Keymaster的代码导读(嵌入式)
CodeSageX的博客
09-05 508
Keystore提供了一个安全的容器,用于存储应用程序的加密密钥和证书,而Keymaster是一个硬件抽象层,用于与安全硬件(如可信执行环境(TEE))进行交互。请注意,以上代码示例仅为了展示Android Keystore/Keymaster的基本功能,实际的代码实现可能更加复杂和详细。Keystore提供了密钥的生成、存储和检索等功能,而Keymaster则是与安全硬件进行交互的组件,负责执行加密、解密等关键操作。类来生成RSA密钥对。生成密钥对的过程中,指定了密钥的别名、密钥类型和生成密钥的参数。
Android KeyStore的使用
qq_43478882的博客
10-18 7414
Android KeyStore的使用
Android API之KeyStore 测试源代码
07-20
Android API之KeyStore 的测试源代码
Android调试签名keystore文件与keytool使用指南
最新发布
weixin_30633869的博客
06-30 1089
Android开发过程中,debug.keystoreAndroid SDK自动生成的一个密钥库(Keystore),用于在开发和调试阶段对应用程序进行签名。它为开发者提供了方便,使他们能够在不正式签名的情况下安装和测试应用程序。keytool是Java开发工具包(JDK)的一部分,它提供了一系列命令行操作,使得开发者可以创建密钥库、生成密钥对、管理证书、以及导入和导出密钥和证书。keytool的使用场景主要集中在以下几点:生成自签名证书或请求CA(证书颁发机构)的签名证书。
Android keystore
zhangjin501的专栏
02-24 554
Android keystore
Android —— KeyStore密钥库
沐沐的博客
04-03 2674
KeyStore密钥库简介 为有效保护加密密钥, Android特设了一套密钥管理机制,即KeyStore密钥库。KeyStore为应用提供了生成与获取密钥或者证书的服务,是一个原生的后台守护进程。所有的公钥、私钥、证书都会被存储在密钥库中。 密钥库中有很多密钥项,每条密钥项都会对应一个别名,密钥项中存的可能是一个非对称密钥对,也可能是一个秘密密钥,如果保存的是密钥对,那还可能保存一个证书链...
elasticsearch-analysis-ik-7.1.1.zip
03-24
《Elasticsearch IK 分词器与 MySQL 热更新实现详解》 Elasticsearch 分词器是全文搜索引擎中至关重要的组件,它负责将输入的文本拆分成可索引的单词,以便进行高效的搜索。其中,IK 分词器(Intelligent Chinese ...
VTK-7.1.1.zip VTK-7.1.1.源码
06-05
VTK-7.1.1.zip 是该库的一个特定版本,包含了VTK 7.1.1的完整源码,使得开发者能够深入理解其内部工作原理,进行定制化开发或优化。 在VTK 7.1.1这个版本中,我们可以期待一系列关键特性和改进。首先,VTK是一个C++...
devtoolset-7-gcc-7.1.1-2.1.el7.x86_64.rpm
12-10
离线安装包,亲测可用
Android Keystore System
01-04
google官方文档 描述keystore相关以及指纹和keyguard授权流程
android keystore
05-28
NULL 博文链接:https://mojianpo.iteye.com/blog/782037
elasticsearch-analysis-pinyin-7.1.1.zip
08-22
《Elasticsearch分词插件:拼音分析器7.1.1详解》 Elasticsearch是一种流行的全文搜索引擎,它在处理中文数据时,通常需要借助特定的分词插件来实现对中文词汇的有效分析。"elasticsearch-analysis-pinyin-7.1.1....
jboss-as-web.Final-RECOMPILE.jar.rar
10-26
JBoss Application Server(简称JBoss AS)是Red Hat公司开发的一款开源Java应用服务器,它基于Java EE(Enterprise Edition)规范,为企业级应用提供运行环境。JBoss AS 7是其一个重要版本,引入了许多改进和优化,...
[转载]Android 生成keystore,两种方式
weixin_34007906的博客
05-08 502
Refer : http://blog.csdn.net/ms03001620/article/details/8490314 一、eclipse 中生成android keystore 建立任意一个android项目(例如:AntForAndroid) 右键AntForAndroid根目录弹出菜单-&gt;Android Tools -&gt; Export Signed Applicat...
Android密钥库(AndroidKeyStore)使用
热门推荐
Silicon_Valley
03-27 1万+
Android 提供了特定于 Android 平台的 KeyStore 实现,称为 AndroidKeyStore,它提供了更高级的安全功能,如硬件支持、密钥链随机生成等。提示:正常我们需要对加密的数据进行本地存储,上述加密数据是ByteArray,字节数组不太适合本地存储,因此我们可以通过Base64将ByteArray数据转换为字符串进行保存,取出数据之时再做Base64解码。:可以使用 KeyStore 来存储和管理双因素身份验证所需的密钥和证书,用于提高身份验证的安全性。它接受一个字符串参数。
AndroidAndroidKeyStore 对数据进行签名和验证,rust移动端跨平台开发
m0_65145113的博客
12-15 634
import android.content.Context; import android.os.Build; import android.security.KeyPairGeneratorSpec; import android.security.keystore.KeyGenParameterSpec; import android.security.keystore.KeyProperties; import android.support.annotation.RequiresApi; impo
android keystore的使用
baobaoupup
08-23 141
android要求所有的程序必须有签名,否则就不会安装该程序。在我们开发过程中,adt使用debug keystore,在 preference-&gt;android-&gt;buid中设置。debug的keystore默认有效期为一年,如果你是从一年前开始开发 android程序,那么很可能出现debug keystore过期,导致你无法生成 apk文件。我调了一下系统时间,就出...
ffmpeg-7.1.1.tar.xz 如何用linux命令解压
03-08
<think>好的,用户问的是如何用Linux命令解压ffmpeg-7.1.1.tar.xz这个文件。首先,我需要确认文件的格式。tar.xz是经过tar打包后再用xz压缩的,所以需要分两步解压,或者使用能够同时处理这两种压缩的工具。 接下来,考虑用户可能对Linux命令不太熟悉,应该给出详细的步骤和解释。常见的解压方法有两种:一种是先用unxz解压成tar,再用tar解包;另一种是直接使用tar命令的-J选项来处理。第二种方法更简便,应该优先推荐。 然后,需要检查用户系统是否安装了xz工具。大部分现代Linux发行版可能已经预装了,但如果没有,可能需要用户安装xz-utils。这里需要提醒用户安装相关软件包,比如使用apt或者yum的命令。 另外,用户可能遇到权限问题,解压后的文件可能属于root,所以可能需要使用sudo,或者在解压后调整权限。不过一般来说,用户解压到自己的目录应该没问题。 还要考虑用户是否需要保留原始压缩文件,解压后是否删除原文件。tar命令默认解压后保留原文件,如果需要删除,可以添加--remove-files选项,但通常不建议,除非用户明确要求。 最后,可能需要告诉用户解压后的目录结构,比如进入解压后的文件夹进行配置或编译,但用户的问题只问到解压,所以这部分可能不需要,但可以简要提及,帮助用户下一步操作。 总结下来,步骤应该是:首先安装xz工具(如果需要),然后使用tar命令解压,最后确认解压结果。命令示例要清晰,解释每个参数的作用,比如-J表示处理xz压缩,-v显示进度,-f指定文件名。同时提醒注意事项,比如文件名是否正确,路径是否正确等。</think>在Linux系统中解压`.tar.xz`文件需要分两步处理,这里为您提供两种常用方法: 方法一:分步解压 1. 先用`unxz`解压.xz文件: ```bash unxz ffmpeg-7.1.1.tar.xz ``` 这会产生一个`.tar`文件 2. 再用`tar`解包: ```bash tar -xvf ffmpeg-7.1.1.tar ``` 方法二:单步解压(推荐) ```bash tar -xJvf ffmpeg-7.1.1.tar.xz ``` 参数说明: - `-x`:提取文件 - `-J`:指定使用xz压缩格式 - `-v`:显示解压过程(可选) - `-f`:指定文件名 注意事项: 1. 如果系统提示`unxz`或`tar`命令不存在,需要先安装xz工具: ```bash # Debian/Ubuntu sudo apt install xz-utils # CentOS/RHEL sudo yum install xz ``` 2. 解压后会生成名为`ffmpeg-7.1.1`的目录(实际名称以压缩包内容为准) 3. 解压后建议检查文件完整性: ```bash ls -l ffmpeg-7.1.1 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值