Android安全机制探讨和分析.pptVIP

苗忠良（mzl626@163.com） 2012-01-01 1.硬件：设备丢失、设备保护（防摔，防尘、防水、防震）、Falsh防磨损、触摸屏防划等。 2.通信：蜂窝、WiFi、蓝牙、互联网通信等。 3.软件：防破解、防反编译（混淆器）、防模仿（专利）、黑客攻击、服务器等。 4.信息：隐私、敏感数据、数据库（加密算法）等。 1.应用层：代码安全、数字签名、接入权限。 2.框架层：通话安全、位置信息的保护。 3.库：网络安全（SSL)、数据库安全、虚拟机。 4.虚拟机:安全沙箱。 5.Linux内核：WiFi的安全、Flash的磨损平衡、文件管理等。 服务器安全，不再介绍。 Android最重要的安全设计在于沙箱和权限。 敏感代码应用C/C++实现。 敏感数据应密文存储。 官方地址：/ NDK带来的敏感实现的保护。 1.Normal权限，不会给用户带来实质性的伤害，如调整背光。 2. Dangerous权限，可能会给用户带来潜在性的伤害，如读取电话簿、联网等，系统在安装应用时提示用户。 3. signature权限，具有同一签名的应用才能访问。 4.signatureOrSystem权限，主要被设备商使用，不推荐使用。 activity android:name=com.android.server.ShutdownActivity android:permission=android.permission.SHUTDOWN//关机权限 android:excludeFromRecents=true service android:name= ernal.service.wallpaper.ImageWallpaper android:permission=android.permission.BIND_WALLPAPER /service 组件的安全：Service、Intent的约束。 产生系统证书的方法如下。 #development/tools/make_key testkey /C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@ #development/tools/make_key platform /C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@ #development/tools/make_key shared /C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@ #development/tools/make_key media /C=US/ST=California/L=Mountain View/O=Android/OU=Android/CN=Android/emailAddress=android@ 将PK8格式的密钥转换为PEM格式的方法如下。 #openssl pkcs8 -inform DER -nocrypt -in testkey.pk8 -out testkey.pem 通过PEM格式的密钥生成签名的方法如下。 #openssl dgst -binary -sha1 -sign testkey.pem FILE FILE.sig 如果仅在受保护的组件的上下文中进行权限验证，其方法如下。 public abstract int checkCallingOrSelfPermission(String permission) public abstract int checkCallingPermission(String permission) public abstract int checkPermission(String permission, int pid, int uid) 如果希望在第三方上下文中验证，其方法如下。 public abstract void enforcePermission(String permission, int pid, int uid, String message) 但当前，Android仅支持对调用者的进程信息进行提取，其方法如下。 Binder.getCallingPid() Binder.getCallingUid() 对于特定的Uri，其分为读权限和写权限，其进行权限验证的方法如下。 public abstract int checkCa