前言
系统完整性检测,是App需具备的一个实用功能。我们都知道,在系统不完整的手机上,例如被root过,运行App将面临被恶意攻击、窃取隐私等威胁,尤其是商城类App,购买环节的环境安全性至关重要,因此在App中增加能快速检测手机系统风险的功能必不可少。
这一重要功能目前是免费,其基本的技术原理是,App集成华为HMS Core的SDK,调用免费提供的安全检测服务,在TEE可信执行环境中评估,得到的检测结果经过X.509数字证书签名,双重保障下,检测到的结果真实可信、不会被恶意更改~
功能运行起来的效果:
以下是开发过程,分享给大家。
开发前准备
1.1 Android studio安装
还没装开发工具的小伙伴下载指路:Android studio官网下载
1.2 在AppGallery Connect中配置相关信息
在开发应用前,需在AppGallery Connect中配置相关信息。具体操作步骤
1.3 配置华为maven仓地址
打开Android Studio项目级“build.gradle”文件:
添加HUAWEI agcp插件以及Maven代码库:
- 在“buildscript > repositories”中配置HMS Core SDK的Maven仓地址。
- 在“allprojects > repositories”中配置HMS Core SDK的Maven仓地址。
- 如果App中添加了“agconnect-services.json”文件则需要在“buildscript > dependencies”中增加agcp配置。
-
buildscript
{
-
repositories
{
-
google()
-
jcenter()
-
//
配置HMS Core SDK的Maven仓地址。
-
maven
{url 'https://developer.huawei.com/repo/'}
-
}
-
dependencies
{
-
...
-
//
增加agcp配置。
-
classpath
'com.huawei.agconnect:agcp:1.4.2.300'
-
}
-
}
-
-
allprojects
{
-
repositories
{
-
google()
-
jcenter()
-
//
配置HMS Core SDK的Maven仓地址。
-
maven
{url 'https://developer.huawei.com/repo/'}
-
}
-
}
这里需要说明的是,Maven仓地址只能在IDE中配置。需要添加多个Maven代码库的话,将华为公司的Maven仓地址配置在最后哦。
1.4 添加编译依赖
打开应用级的“build.gradle”文件:
在文件头apply plugin: 'com.android.application'下一行添加如下配置:
apply plugin: 'com.huawei.agconnect'在“dependencies”中添加如下编译依赖:
-
dependencies {
-
implementation
'com.huawei.hms:safetydetect:5.0.5.302'
-
}
1.5 配置混淆脚本
如果你自己开发时要用到AndResGuard,那就还需要在应用级的“build.gradle”文件中加入AndResGuard允许清单,代码可以参考官网的混淆配置。
代码开发
2.1 创建SafetyDetectClient 并生成nonce值
这里的nonce值会被包含在后面的检测结果里,我们要通过校验nonce值,来确定返回结果是对应我们的请求的、没有被重放攻击。要注意nonce值需满足:
l 一个nonce值只能被使用一次;
l 长度在16~66字节间;
l 建议从发送到您的服务器的数据中派生nonce值。
2.2 请求系统完整性检测接口
1) SysIntegrity API有两个参数:第1个参数是nonce值,可以从上一步骤获取;第2个参数是appid,可以从agconnect-services.json 文件中读取:
Ø 登录AppGallery Connect网站,-点击“我的项目”。
Ø 在项目列表中找到您的项目,在项目中点击需要配置签名证书指纹的应用。
Ø 在“项目设置 > 常规” > “应用”,可以查看。
2) 这里设定的是,用户在购买会员时,调用系统完整性检测接口,以检测支付环境是否存在风险。实际编码中,在MemberCenterAct.java类中的列表点击事件处理方法,调用SafetyDetectUtil 类的detectSysIntegrity的接口,具体代码:
-
private void onAdapterItemClick(int position) {
-
// 调用系统完整性检测接口以检测支付环境风险
-
SafetyDetectUtil.detectSysIntegrity(
this,
new ICallBack<Boolean>() {
-
@Override
-
public void onSuccess(Boolean baseIntegrity) {
-
if (baseIntegrity) {
-
// 系统完整性未遭到破坏,可以继续购买
-
buy(productInfo);
-
}
else {
-
// 系统完整性遭到破坏,弹出提示框,来提醒用户,并让用户选择是否继续
-
showRootTipDialog(productInfo);
-
}
-
}
-
…
-
});
-
}
3) 在商场App中,把系统完整性检测接口的调用放到SafetyDetectUtil.java这个工具类中来实现,封装在detectSysIntegrity的方法中,具体示例代码如下:
-
public static void detectSysIntegrity(final Activity activity, final ICallBack<? super Boolean> callBack) {
-
// 生成 nonce值
-
byte[] nonce = (
"Sample" + System.currentTimeMillis()).getBytes(StandardCharsets.UTF_8);
-
// 从app目录下的agconnect-services.json文件中读取app_id字段
-
String appId = AGConnectServicesConfig.fromContext(activity).getString(
"client/app_id");
-
// 获取 Safety Detect 服务客户端,调用sysIntegrity API,并添加成功事件监听
-
SysIntegrityRequest sysintegrityrequest =
new SysIntegrityRequest();
-
sysintegrityrequest.setAppid(appId);
-
sysintegrityrequest.setNonce(nonce);
-
//PS256 or RS256
-
sysintegrityrequest.setAlg(
"RS256");
-
Task task = mClient.sysIntegrity(sysintegrityrequest);
-
task.addOnSuccessListener(
new OnSuccessListener<SysIntegrityResp>() {
-
@Override
-
public void onSuccess(SysIntegrityResp response) {
-
//Safety Detect 服务接口成功响应。可以通过 SysIntegrityResp 类的 getResult 方法来获取检测结果
-
String jwsStr = response.getResult();
-
VerifyResultHandler verifyResultHandler =
new VerifyResultHandler(jwsStr, callBack);
-
//将检测结果发送至开发者的服务器进行验证
-
verifyJws(activity, jwsStr, verifyResultHandler);
-
}
-
});
-
}
4) 这里在verifyJws 方法中请求App Server的相关接口,来对检测结果进行验证。这个方法的第3个参数是一个 VerifyResultHandler 类对象, 它实现了一个回调接口,以便在服务器验证结束后,对返回的结果进行后续的处理。接下来介绍如何在App Server中验证检测结果。
2.3 在App Server中验证检测结果
App在获得TSMS Server返回的检测结果后,将其发送到App Server,由App Server使用HUAWEI CBG根证书来对结果中的签名和证书链进行校验,从而确认本次系统完整性检测结果是否有效。
App Server侧读取证书并验证 JWS 字符串的示例代码如下:
1) 解析 JWS字符串,获取其中的 header、payload和signature
-
public JwsVerifyResp verifyJws(JwsVerifyReq jwsVerifyReq) {
-
// 获取端侧发送到服务器侧的jws信息
-
String jwsStr = jwsVerifyReq.getJws();
-
// 解析JWS, 分段, 该JWS固定为三段,使用"."号分隔
-
String[] jwsSplit = jwsStr.split(
"\\.");
-
try {
-
// 解析JWS, Base64解码, 并构造JWSObject
-
JWSObject jwsObject =
new JWSObject(
new Base64URL(jwsSplit[
0]),
new Base64URL(jwsSplit[
1]),
new Base64URL(jwsSplit[
2]));
-
// 验证JWS并设置验证结果
-
boolean result = VerifySignatureUtil.verifySignature(jwsObject);
-
// 服务器侧检测结果验证响应消息体
-
JwsVerifyResp jwsVerifyResp =
new JwsVerifyResp();
-
jwsVerifyResp.setResult(result);
-
}
catch (ParseException | NoSuchAlgorithmException e) {
-
RUN_LOG.catching(e);
-
}
-
return jwsVerifyResp;
-
}
2) 这里使用VerifySignatureUtil工具类中的verifySignature方法完成相关信息的验证,包括JWS签名算法、证书链、签名证书主机名、JWS签名等,示例代码:
-
public static boolean verifySignature(JWSObject jws) throws NoSuchAlgorithmException {
-
JWSAlgorithm jwsAlgorithm = jws.getHeader().getAlgorithm();
-
// 1. 验证JWS签名算法
-
if (
"RS256".equals(jwsAlgorithm.getName())) {
-
// 进行证书链校验,并根据签名算法获取 Signature 类实例,用来验证签名
-
return verify(Signature.getInstance(
"SHA256withRSA"), jws);
-
}
-
return
false;
-
}
-
private static boolean verify(Signature signature, JWSObject jws) {
-
// 提取JWS头部证书链信息, 并转换为合适的类型, 以便进行后续操作
-
X509Certificate[] certs = extractX509CertChain(jws);
-
// 2. 校验证书链
-
try {
-
verifyCertChain(certs);
-
}
catch (Exception e) {
-
return
false;
-
}
-
// 3. 校验签名证书(叶子证书)域名信息, 该域名固定为sysintegrity.platform.hicloud.com
-
try {
-
new DefaultHostnameVerifier().verify(
"sysintegrity.platform.hicloud.com", certs[
0]);
-
}
catch (SSLException e) {
-
return
false;
-
}
-
// 4. 验证JWS签名信息,使用签名证书里的公钥来验证
-
PublicKey pubKey = certs[
0].getPublicKey();
-
try {
-
// 使用签名证书里的公钥初始化 Signature 实例
-
signature.initVerify(pubKey);
-
// 从 JWS 提取签名输入,并输入到 Signature 实例
-
signature.update(jws.getSigningInput());
-
// 使用Signature 实例来验证签名信息
-
return signature.verify(jws.getSignature().decode());
-
}
catch (InvalidKeyException | SignatureException e) {
-
return
false;
-
}
-
}
3) 这里的extractX509CertChain方法,实现了从JWS Header中提取证书链的过程,详细代码如下:
-
private
static X509Certificate[] extractX509CertChain(JWSObject jws) {
-
List<X509Certificate> certs =
new ArrayList<>();
-
List<com.nimbusds.jose.util.Base64> x509CertChain = jws.getHeader().getX509CertChain();
-
try {
-
CertificateFactory certFactory = CertificateFactory.getInstance(
"X.509");
-
certs.addAll(x509CertChain.stream().map(cert -> {
-
try {
-
return (X509Certificate) certFactory.generateCertificate(
new ByteArrayInputStream(cert.decode()) );
-
}
catch (CertificateException e) {
-
RUN_LOG.
error(
"X5c extract failed!");
-
}
-
return
null;
-
}).filter(Objects::nonNull).collect(Collectors.toList()));
-
}
catch (CertificateException e) {
-
RUN_LOG.
error(
"X5c extract failed!");
-
}
-
return (X509Certificate[]) certs.toArray();
-
}
4) 这里的verifyCertChain方法,实现了证书链校验的过程,具体实现如下:
-
private static void verifyCertChain(X509Certificate[] certs) throws CertificateException, NoSuchAlgorithmException,
-
InvalidKeyException, NoSuchProviderException, SignatureException {
-
// 逐一验证证书有效期及证书的签发关系
-
for (
int i =
0; i < certs.length -
1; ++i) {
-
certs[i].checkValidity();
-
PublicKey pubKey = certs[i +
1].getPublicKey();
-
certs[i].verify(pubKey);
-
}
-
// 使用预置的 HUAWEI CBG 根证书, 来验证证书链中的最后一张证书
-
PublicKey caPubKey = huaweiCbgRootCaCert.getPublicKey();
-
certs[certs.length -
1].verify(caPubKey);
-
}
5) 华为根证书的加载是在VerifySignatureUtil工具类的静态代码段中实现的。示例代码如下:
-
static {
-
// 加载预置的 HUAWEI CBG 根证书
-
File filepath =
"~/certs/Huawei_cbg_root.cer";
-
try (FileInputStream in =
new FileInputStream(filepath)) {
-
CertificateFactory cf = CertificateFactory.getInstance(
"X.509");
-
huaweiCbgRootCaCert = (X509Certificate) cf.generateCertificate(in);
-
}
catch (IOException | CertificateException e) {
-
RUN_LOG.error(
"HUAWEI CBG root cert load failed!");
-
}
-
}
至此,我们已经在App Server侧完成了对检测结果的验证,验证通过的结果将返回给端侧进行后续业务处理。
2.4 获取系统完整性检测结果
1) 在上一步骤完成后,App就可以从payload中获取可信的系统完整性检测结果。我们在前述的VerifyResultHandler类的回调接口中,解析系统完整性检测结果,示例代码如下:
-
private
static
final
class VerifyResultHandler implements ICallBack<Boolean> {
-
private
final
String jwsStr;
-
private
final ICallBack
<? super
Boolean> callBack;
-
private VerifyResultHandler(
String jwsStr, ICallBack
<? super
Boolean> callBack) {
-
this.jwsStr = jwsStr;
-
this.callBack = callBack;
-
}
-
-
@Override
-
public
void onSuccess(
Boolean verified) {
-
if (verified) {
-
// 服务器侧验证通过,提取系统完整性检测结果
-
String payloadDetail =
new
String(Base64.decode(jwsStr.split(
"\\.")[
1].getBytes(StandardCharsets.UTF_8), Base64.URL_SAFE), StandardCharsets.UTF_8);
-
try {
-
final
boolean basicIntegrity =
new JSONObject(payloadDetail).getBoolean(
"basicIntegrity");
-
// 通过回调返回系统完整性检测结果
-
callBack.onSuccess(basicIntegrity);
-
}
catch (JSONException e) {
-
…
-
}
-
}
-
…
-
}
-
}
2) 具体的检测报文的样例如下:
-
{
-
"apkCertificateDigestSha256": [
-
"osaUtTsdAvezjQBaW3IhN3/fsc6NQ5KwKuAQXcfrxb4="
-
],
-
"apkDigestSha256":
"vFcmE0uw5s+4tFjXF9rVycxk2xR1rXiZFHuuBFzTVy8=",
-
"apkPackageName":
"com.example.mockthirdapp",
-
"basicIntegrity":
false,
-
"detail": [
-
"root",
-
"unlocked"
-
],
-
"nonce":
"UjJScmEyNGZWbTV4YTJNZw==",
-
"timestampMs":
1604048377137,
-
"advice":
"RESTORE_TO_FACTORY_ROM"
-
}
3) 当检测结果中basicIntegrity字段为false时,表示存在风险,App就可以对用户作风险提示。
结后语
官网开发指南,各位小伙伴们可以自行查阅参考。除了系统完整性检测(SysIntegrity),还有其他4个功能的代码,都是支持Java/Kotlin两种开发语言:华为官网的示例代码Java/Kotlin,下载后,根据提示说明进行操作就可运行。
>>访问华为开发者联盟官网,了解更多相关内容
>>获取开发指导文档
关注我们,第一时间了解华为移动服务最新技术资讯~
转载:https://blog.csdn.net/HUAWEI_HMSCore/article/details/113752581