1. Toy模板网首页
  2. > Toy博客

OpenHarmony3.1安全子系统-签名系统分析

9月前 作者:w5678912345 分类:Toy博客 阅读(44) 违法举报

这篇具有很好参考价值的文章主要介绍了OpenHarmony3.1安全子系统-签名系统分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

介绍

应用签名系统主要负责鸿蒙hap应用包的签名完整性校验,以及应用来源识别等功能。

OpenHarmony3.1安全子系统-签名系统分析

  • 子系统间接口: 应用完整性校验模块给其他模块提供的接口;
  • 完整性校验: 通过验签,保障应用包完整性,防篡改;
  • 应用来源识别: 通过匹配签名证书链与可信源列表,识别应用来源。

目录

/base/security/appverify
├── interfaces/innerkits/appverify         # 应用完整性校验模块代码
│       ├── config                         # 应用签名根证书和可信源列表配置文件存放目录
│       ├── include                        # 头文件存放目录
│       ├── src                            # 源代码存放目录
│       ├── test                           # 模块自动化测试用例存放目录
├── test/resource                          # 测试资源存放目录

接口

目前签名系统对外只提供了一个校验的接口,这个接口会负责完整性已经来源的校验。

接口名

说明

int HapVerify(const std::string& filePath, HapVerifyResult& hapVerifyResult)

校验应用完整性,识别应用来源

代码分析

HapVerify

HapVerify函数是签名校验的入口函数,目前实现在

interfaces/innerkits/appverify/src/hap_verify.cpp

这个函数里面首先是做了一个初始化的操作,然后就是对应的完整性验证逻辑了。

int HapVerify(const std::string& filePath, HapVerifyResult& hapVerifyResult)
{
    if (!g_isInit && !HapVerifyInit()) {
        return VERIFY_SOURCE_INIT_FAIL;
    }
    HapVerifyV2 hapVerifyV2;
    return hapVerifyV2.Verify(filePath, hapVerifyResult);
}

HapVerifyInit

这个函数主要就是签名需要用到的信息的初始化。

签名系统内部在签名校验前需要做的:

ca管理,可信资源管理,CRL管理,设备类型管理,ticket管理

/**
 * @brief 初始化
 * 
 * @return true 
 * @return false 
 */
bool HapVerifyInit()
{
    //初始化ca管理实例,主要是从json文件中获取ca,方便后续验证ca比较ca
    TrustedRootCa& rootCertsObj = TrustedRootCa::GetInstance();
    //初始化可信资源管理实例,主要是可信app的管理,主要是匹配app的证书。
    TrustedSourceManager& trustedAppSourceManager = TrustedSourceManager::GetInstance();
    //初始化CRL管理实例,证书吊销列表的相关管理
    HapCrlManager& hapCrlManager = HapCrlManager::GetInstance();
    //设备信息的管理,主要用于判断是否是debug模式
    DeviceTypeManager& deviceTypeManager = DeviceTypeManager::GetInstance();
    TrustedTicketManager& trustedTicketSourceManager = TrustedTicketManager::GetInstance();
    g_mtx.lock();
    g_isInit = rootCertsObj.Init() && trustedAppSourceManager.Init();
    if (!g_isInit) {
        rootCertsObj.Recovery();
        trustedAppSourceManager.Recovery();
    }
    trustedTicketSourceManager.Init();
    hapCrlManager.Init();
    deviceTypeManager.GetDeviceTypeInfo();
    g_mtx.unlock();
    return g_isInit;
}

verify

目前使用的是v2版本的校验,猜测和android对应的v2签名一致。

int HapVerifyV2::Verify(const std::string& filePath, HapVerifyResult& hapVerifyV1Result)
{
    HAPVERIFY_LOG_DEBUG(LABEL, "Start Verify");
    std::string standardFilePath;
    //检查文件路径信息
    if (!CheckFilePath(filePath, standardFilePath)) {
        return FILE_PATH_INVALID;
    }

    //检查文件是否可以正常open,并且不是空文件
    RandomAccessFile hapFile;
    if (!hapFile.Init(standardFilePath)) {
        HAPVERIFY_LOG_ERROR(LABEL, "open standard file failed");
        return OPEN_FILE_ERROR;
    }

    int resultCode = Verify(hapFile, hapVerifyV1Result);
    return resultCode;
}
int HapVerifyV2::Verify(RandomAccessFile& hapFile, HapVerifyResult& hapVerifyV1Result)
{
    SignatureInfo hapSignInfo;
    if (!HapSigningBlockUtils::FindHapSignature(hapFile, hapSignInfo)) {
        return SIGNATURE_NOT_FOUND;
    }
    hapVerifyV1Result.SetVersion(hapSignInfo.version);
    hapVerifyV1Result.SetPkcs7SignBlock(hapSignInfo.hapSignatureBlock);
    hapVerifyV1Result.SetPkcs7ProfileBlock(hapSignInfo.hapSignatureBlock);
    hapVerifyV1Result.SetOptionalBlocks(hapSignInfo.optionBlocks);
    Pkcs7Context pkcs7Context;
    if (!VerifyAppPkcs7(pkcs7Context, hapSignInfo.hapSignatureBlock)) {
        return VERIFY_APP_PKCS7_FAIL;
    }
    int profileIndex = 0;
    if (!HapSigningBlockUtils::GetOptionalBlockIndex(hapSignInfo.optionBlocks, PROFILE_BLOB, profileIndex)) {
        return NO_PROFILE_BLOCK_FAIL;
    }
    bool profileNeedWriteCrl = false;
    if (!VerifyAppSourceAndParseProfile(pkcs7Context, hapSignInfo.optionBlocks[profileIndex].optionalBlockValue,
        hapVerifyV1Result, profileNeedWriteCrl)) {
        HAPVERIFY_LOG_ERROR(LABEL, "APP source is not trusted");
        return APP_SOURCE_NOT_TRUSTED;
    }
    if (!GetDigestAndAlgorithm(pkcs7Context)) {
        HAPVERIFY_LOG_ERROR(LABEL, "Get digest failed");
        return GET_DIGEST_FAIL;
    }
    std::vector<std::string> publicKeys;
    if (!HapVerifyOpensslUtils::GetPublickeys(pkcs7Context.certChains[0], publicKeys)) {
        HAPVERIFY_LOG_ERROR(LABEL, "Get publicKeys failed");
        return GET_PUBLICKEY_FAIL;
    }
    hapVerifyV1Result.SetPublicKey(publicKeys);
    std::vector<std::string> certSignatures;
    if (!HapVerifyOpensslUtils::GetSignatures(pkcs7Context.certChains[0], certSignatures)) {
        HAPVERIFY_LOG_ERROR(LABEL, "Get sianatures failed");
        return GET_SIGNATURE_FAIL;
    }
    hapVerifyV1Result.SetSignature(certSignatures);
    if (!HapSigningBlockUtils::VerifyHapIntegrity(pkcs7Context, hapFile, hapSignInfo)) {
        HAPVERIFY_LOG_ERROR(LABEL, "Verify Integrity failed");
        return VERIFY_INTEGRITY_FAIL;
    }
    WriteCrlIfNeed(pkcs7Context, profileNeedWriteCrl);
    return VERIFY_SUCCESS;
}

签名结构

SignatureInfo

这部分主要是在zip文件头部添加的签名的信息。

struct SignatureInfo {
    HapByteBuffer hapSignatureBlock;
    long long hapSigningBlockOffset;
    long long hapCentralDirOffset;
    long long hapEocdOffset;
    HapByteBuffer hapEocd;
    std::vector<OptionalBlock> optionBlocks;
    int version;
};

Pkcs7Context

签名算法相关的结构信息,这部分是在SignatureInfo.hapSignatureBlock中存储的信息

struct Pkcs7Context {
    bool needWriteCrl;
    int digestAlgorithm;
    MatchingResult matchResult;
    std::string certIssuer;
    PKCS7* p7;
    Pkcs7CertChains certChains;
    HapByteBuffer content;
};

 文章来源地址https://www.toymoban.com/news/detail-449071.html

到了这里,关于OpenHarmony3.1安全子系统-签名系统分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 【Windows 11】安装 Android子系统 和 Linux子系统

    【Windows 11】安装 Android子系统 和 Linux子系统

    本文使用电脑系统: 主要就是安装一个名为: 适用于Android的Windows子系统 (WSA)的软件。 首先在电脑的设置里面:时间和语言——语言和地区里面把地区改为美国。 然后到微软商店搜索: Amazon AppStore 。 安装亚马逊应用商店的时候,会首先提示你安装前面说的WSA。如此,我

    2024年02月09日
    浏览(52)
  • [JVM] 2. 类加载子系统(1)-- 内存结构、类加载子系统概述

    [JVM] 2. 类加载子系统(1)-- 内存结构、类加载子系统概述

    类加载子系统的职责是:加载class文件到内存中。 完整的内存结构如下: 类加载过程总体分为Loading(加载)、Linking(链接)、Initialization(初始化)三个环节,在Linking阶段又细分为Verification(验证)、Preparation(准备)、Resolution(解析)三个环节。 通过一个类的全限定名获

    2024年02月16日
    浏览(41)
  • Window10安装linux子系统及子系统安装1Panel面板

    Window10安装linux子系统及子系统安装1Panel面板

    原文地址:Window10安装linux子系统及子系统安装1Panel面板 - Stars-One的杂货小窝 最近看到halo博客发布了2.10.0,终于是新增了个备份功能,于是有了念头想要升级下 但是目前我还是使用halo1.5版本,所以跨版本迁移可能会有问题,官方提议还是先用个测试环境进行测试验证是否有问题 但

    2024年02月08日
    浏览(50)
  • 【智能家居项目】裸机版本——网卡设备接入输入子系统 | 业务子系统 | 整体效果展示

    【智能家居项目】裸机版本——网卡设备接入输入子系统 | 业务子系统 | 整体效果展示

    🐱作者:一只大喵咪1201 🐱专栏:《智能家居项目》 🔥格言: 你只管努力,剩下的交给时间! 网络子系统实现了,在我们整个项目框架中,网络子系统也输入子系统中输入设备的之一,所以现在要做的就是网络子系统接入到输入子系统中。 如上图所示,在输入子系统中增

    2024年02月08日
    浏览(43)
  • Linux内核(十四)Input 子系统详解 I —— 子系统介绍以及相关结构体解析

    Linux内核(十四)Input 子系统详解 I —— 子系统介绍以及相关结构体解析

    input子系统就是管理输入的子系统 ,和Linux其他子系统一样,都是Linux内核针对某一类设备而创建的框架。 鼠标、键盘、触摸屏等都属于输入设备,Linux将这些设备的共同特性抽象出来,这就形成了input子系统的框架。 Linux内核只需要通过input框架向用户层上报输入事件 (如:

    2024年02月05日
    浏览(44)
  • Win11系统安装安卓子系统教程

    Win11系统安装安卓子系统教程

    随着Win11系统的不断普及,以及硬件设备的更新换代,我相信很多同学都已经更新并使用到了最新的Win11系统。那么,Win11系统最受期待的功能“Windows Subsystem for Android”(简称WSA),即《安卓子系统》。他可以让你在Win11 PC上直接安装运行各种安卓手机APP应用与游戏,无需安装

    2024年04月12日
    浏览(88)
  • spi 子系统

    spi 子系统

    spi 分为主机模式和从机模式,一般soc 自带的spi 控制器,我们都将它用作主机模式与外挂的从设备通信。从设备例如 oled芯片、flash芯片、陀螺仪芯片等等。 那么spi 驱动和设备,自然也就分为主机驱动、设备和从机驱动、设备。那么如何在Linux 下查看这些信息呢? 首先查看s

    2024年02月10日
    浏览(39)

  • windows子系统安装

    软件经过不断的打磨和迭代,会变得越来越好。微软的windows,谷歌的安卓,会越来越好用。垄断带来了单一、标准和效率。 本文,简单记录下win11上WSL和安卓子系统的安装与使用。 WSL安装 安装wsl相关视频演示: How to Install WSL2 on Windows 11! - YouTube Windows10/11上安装图形用户界面

    2024年02月16日
    浏览(42)

  • gpio 子系统

    Linux的GPIO子系统驱动框架的组成部分 Linux的GPIO子系统驱动框架由三个主要部分组成: GPIO控制器驱动程序、平台驱动程序和GPIO字符设备驱动程序 。 GPIO控制器驱动程序 GPIO控制器驱动程序是与硬件相关的代码,用于处理GPIO控制器与系统总线之间的通信。该部分代码通常由芯片

    2024年02月10日
    浏览(45)
  • 9.GPIO子系统

    9.GPIO子系统

    目录 GPIO1节点 内核设备树新增rgb_led节点(使用gpio子系统) 常用的对外接口 头文件 of_find_node_by_path()函数 of_get_named_gpio()函数 gpio_request()函数 gpio_free()函数 gpio_direction_output()函数 gpio_direction_input()函数 gpio_get_value()函数 gpio_set_value()函数 GPIO子系统实验:IO引脚高低电平控制 修

    2024年02月11日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包