? ? ? 從事iOS開發(fā)將近兩年了,日常的精力主要放在公司的業(yè)務(wù)上,最近決定開始寫一些技術(shù)方面的東西班利,記錄自己今后的學(xué)習(xí)歷程侨把,也希望和愛好移動開發(fā)的朋友多多交流學(xué)習(xí)犀变。
? ? ? 下面切入正題,以前對iOS的簽名機制不太了解秋柄,只知道配置個開發(fā)者證書用于調(diào)試和打個企業(yè)包什么的获枝,遂花了點時間去學(xué)習(xí)一下iOS的打包簽名機制,由于初學(xué)骇笔,本文的不足或是錯誤之處省店,還望多多批評指教。
一笨触、非對稱算法和數(shù)字簽名
? ? ? 區(qū)別之前的對稱加密算法(加密解密用的是同一個秘鑰)懦傍,非對稱加密算法需要兩個秘鑰,即公鑰和私鑰來進行加密和解密芦劣,它倆是成對出現(xiàn)的粗俱,如果用公鑰加密的內(nèi)容,只有對應(yīng)的私鑰才能解密持寄,反之源梭,用私鑰加密的內(nèi)容,只有對應(yīng)的公鑰才能解密稍味。相對于對稱算法废麻,該算法安全性高,只要私鑰不泄露模庐,就能保證通信雙方的安全烛愧,缺點是加密和解密花費時間長。例如HTTPS協(xié)議在SSL層就用到了非對稱算法。
? ? ? 數(shù)字簽名是一種對數(shù)字內(nèi)容進行校驗的方法怜姿,它首先對內(nèi)容使用摘要算法(例如MD5算法)生成一段固定長度的文本慎冤,可以理解為原內(nèi)容的摘要,然后利用私鑰加密摘要沧卢,得到原內(nèi)容的數(shù)字簽名蚁堤。接受方同時接收到與原內(nèi)容和數(shù)字簽名,首先用相同的摘要算法生成原內(nèi)容的摘要(摘要1)但狭, 同時用公鑰解密數(shù)字簽名披诗,得到摘要2,然后比較摘要1和摘要2立磁,若相同呈队,則驗證原內(nèi)容有效。具體流程如圖1.1:
二唱歧、申請數(shù)字證書
數(shù)字證書是蘋果公司數(shù)字簽名后的數(shù)字化證書宪摧,是iOS系統(tǒng)校驗App的核心。以下是數(shù)字證書的申請過程:
1颅崩、開發(fā)者首先在keyChain中生成一個證書申請文件(CertificationSigningRequest几于,簡稱CSR),該文件包含開發(fā)者的信息沿后、公鑰孩革、公鑰加密算法和摘要算法,在這個過程中得运,首先會產(chǎn)生一個開發(fā)者使用的私鑰,保存在keyChain中锅移。
2熔掺、開發(fā)者上傳CSR文件給Apple的MemberCenter(簡稱MC),蘋果公司會根據(jù)該文件生成一個證書非剃,包含兩部分置逻,即證書的內(nèi)容和一段Apple的數(shù)字簽名,如下圖:
數(shù)字簽名是蘋果利用自己的私鑰加密證書內(nèi)容摘要得到的备绽,是為了驗證證書的有效性券坞。iOS系統(tǒng)本身裝有蘋果公司的公鑰,并通過圖1.1的方式進行校驗肺素,如果摘要一致恨锚,證明數(shù)字證書的有效。蘋果提供的證書有開發(fā)倍靡、調(diào)試證書猴伶,企業(yè)版發(fā)布證書,上架和AddHoc證書,類型不同他挎,功能亦不相同筝尾。如果是團隊開發(fā),可以將證書導(dǎo)出生成.p12文件給其他人安裝办桨。
三筹淫、描述文件(mobileprovision)
描述文件也是通過蘋果的MC下載得到,里面包含了證書呢撞、AppId和設(shè)備UDID损姜,除了這些還有授權(quán)信息,規(guī)定了App能夠使用的服務(wù)有哪些狸相。
四薛匪、App打包簽名、校驗
? ? ? Xcode在打包生成ipa文件的過程中脓鹃,利用當前證書的私鑰進行代碼逸尖、資源文件的數(shù)字簽名,并且將其存放在ipa文件夾的_CodeSignature文件夾下瘸右,圖1.3是ipa文件的結(jié)構(gòu)圖娇跟。當App安裝到iOS系統(tǒng)上時,系統(tǒng)首先通過描述文件找到數(shù)字證書太颤,通過證書里的蘋果數(shù)字簽名苞俘,驗證證書的有效性,如果證書有效龄章,取出證書中的開發(fā)者公鑰吃谣,解密App的數(shù)字簽名,如果發(fā)現(xiàn)摘要一致做裙,則驗證通過岗憋,App成功安裝在手機上,其中一個環(huán)節(jié)有問題锚贱,驗證工作就失敗仔戈,圖1.4是校驗過程。
五拧廊、相關(guān)參考
