? ? ? 從事iOS開發將近兩年了,日常的精力主要放在公司的業務上,最近決定開始寫一些技術方面的東西,記錄自己今后的學習歷程,也希望和愛好移動開發的朋友多多交流學習。
? ? ? 下面切入正題,以前對iOS的簽名機制不太了解,只知道配置個開發者證書用于調試和打個企業包什么的,遂花了點時間去學習一下iOS的打包簽名機制,由于初學,本文的不足或是錯誤之處,還望多多批評指教。
一、非對稱算法和數字簽名
? ? ? 區別之前的對稱加密算法(加密解密用的是同一個秘鑰),非對稱加密算法需要兩個秘鑰,即公鑰和私鑰來進行加密和解密,它倆是成對出現的,如果用公鑰加密的內容,只有對應的私鑰才能解密,反之,用私鑰加密的內容,只有對應的公鑰才能解密。相對于對稱算法,該算法安全性高,只要私鑰不泄露,就能保證通信雙方的安全,缺點是加密和解密花費時間長。例如HTTPS協議在SSL層就用到了非對稱算法。
? ? ? 數字簽名是一種對數字內容進行校驗的方法,它首先對內容使用摘要算法(例如MD5算法)生成一段固定長度的文本,可以理解為原內容的摘要,然后利用私鑰加密摘要,得到原內容的數字簽名。接受方同時接收到與原內容和數字簽名,首先用相同的摘要算法生成原內容的摘要(摘要1), 同時用公鑰解密數字簽名,得到摘要2,然后比較摘要1和摘要2,若相同,則驗證原內容有效。具體流程如圖1.1:
二、申請數字證書
數字證書是蘋果公司數字簽名后的數字化證書,是iOS系統校驗App的核心。以下是數字證書的申請過程:
1、開發者首先在keyChain中生成一個證書申請文件(CertificationSigningRequest,簡稱CSR),該文件包含開發者的信息、公鑰、公鑰加密算法和摘要算法,在這個過程中,首先會產生一個開發者使用的私鑰,保存在keyChain中。
2、開發者上傳CSR文件給Apple的MemberCenter(簡稱MC),蘋果公司會根據該文件生成一個證書,包含兩部分,即證書的內容和一段Apple的數字簽名,如下圖:
數字簽名是蘋果利用自己的私鑰加密證書內容摘要得到的,是為了驗證證書的有效性。iOS系統本身裝有蘋果公司的公鑰,并通過圖1.1的方式進行校驗,如果摘要一致,證明數字證書的有效。蘋果提供的證書有開發、調試證書,企業版發布證書,上架和AddHoc證書,類型不同,功能亦不相同。如果是團隊開發,可以將證書導出生成.p12文件給其他人安裝。
三、描述文件(mobileprovision)
描述文件也是通過蘋果的MC下載得到,里面包含了證書、AppId和設備UDID,除了這些還有授權信息,規定了App能夠使用的服務有哪些。
四、App打包簽名、校驗
? ? ? Xcode在打包生成ipa文件的過程中,利用當前證書的私鑰進行代碼、資源文件的數字簽名,并且將其存放在ipa文件夾的_CodeSignature文件夾下,圖1.3是ipa文件的結構圖。當App安裝到iOS系統上時,系統首先通過描述文件找到數字證書,通過證書里的蘋果數字簽名,驗證證書的有效性,如果證書有效,取出證書中的開發者公鑰,解密App的數字簽名,如果發現摘要一致,則驗證通過,App成功安裝在手機上,其中一個環節有問題,驗證工作就失敗,圖1.4是校驗過程。
五、相關參考
