使用 UICC 运营商特权证书签署应用程序
Sign App with UICC Carrier Privileges Certificates
我正在阅读关于此 link 的信息,内容涉及签署具有运营商特权的应用程序。
我知道如何使用密钥库为生产版本的应用程序签名,但如何将 UICC 证书添加到我的应用程序以便它获得运营商特权?
我的主要目标是能够调用 TelephonyManager 函数,例如:
iccOpenLogicalChannel
iccCloseLogicalChannel
iccTransmitApduLogicalChannel
iccTransmitApduBasicChannel
这是调用上述函数之一时得到的堆栈跟踪:
E/AndroidRuntime: FATAL EXCEPTION: main
E/AndroidRuntime: Process: com.xxxx, PID: 2668
E/AndroidRuntime: java.lang.SecurityException: No modify permission or carrier privilege.
E/AndroidRuntime: at android.os.Parcel.readException(Parcel.java:1599)
E/AndroidRuntime: at android.os.Parcel.readException(Parcel.java:1552)
E/AndroidRuntime: at com.android.internal.telephony.ITelephony$Stub$Proxy.iccOpenLogicalChannel(ITelephony.java:2966)
E/AndroidRuntime: at android.telephony.TelephonyManager.iccOpenLogicalChannel(TelephonyManager.java:2914)
E/AndroidRuntime: at android.view.View.performClick(View.java:5198)
E/AndroidRuntime: at android.view.View$PerformClick.run(View.java:21147)
E/AndroidRuntime: at android.os.Handler.handleCallback(Handler.java:739)
E/AndroidRuntime: at android.os.Handler.dispatchMessage(Handler.java:95)
E/AndroidRuntime: at android.os.Looper.loop(Looper.java:148)
E/AndroidRuntime: at android.app.ActivityThread.main(ActivityThread.java:5417)
E/AndroidRuntime: at java.lang.reflect.Method.invoke(Native Method)
E/AndroidRuntime: at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:726)
E/AndroidRuntime: at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:616)
提前致谢!
您应该问自己的问题实际上是一个不同的问题:如何将我的应用程序签名密钥的证书放入 UICC?一旦您有了证书,实际的签名过程与任何其他密钥库没有什么不同。
因此,您将拥有一个密钥库,其中包含您的签名密钥对和该密钥的证书。该证书可以是自签名证书(Android 应用签名密钥通常就是这种情况)或 UICC 所有者 (MNO/carrier) 颁发给您的证书。在第一种情况下,您需要说服 UICC 所有者将该自签名证书添加到您的 UICC 上的访问控制列表(/应用程序)中。在第二种情况下,运营商通常会将与颁发给您的证书相对应的根证书包含在 UICC 中。
然后您可以使用该密钥库为应用程序签名(就像您通常做的那样)。
接受的答案实际上并不完全正确。
SIM里面没有根证书之类的概念。
所有访问规则(APK 与 APPLET)都存储在 ARA-M 或 ARA-D 中。 ARA-M 和 ARA-D 都是单独的 APPLET,仅根据全球规范。
在访问规则中,存储APK签名和APPLET AID以获得carrierpriilege() grant。
APK签名的意思,是APK实际签名的SHA1(20B)。
无论 APK 签名的派生方式如何(自签名或 CA 的证书),SHA1 总是不同的。因此,所有允许的签名 (SHA) 都将发送到相应的 ARA-M。
现在,要访问 ARA-M,您需要使用任一通道密钥(ENC、KEK、MAC)手动发送 APDU 或 OTA link(如果它是真实的 SIM 卡)。
对了,SIM里面没有MNO根证书的概念。除了 GP 和他们的 SCP 理论之外,SIM 仍然是十年前的。
我正在阅读关于此 link 的信息,内容涉及签署具有运营商特权的应用程序。
我知道如何使用密钥库为生产版本的应用程序签名,但如何将 UICC 证书添加到我的应用程序以便它获得运营商特权?
我的主要目标是能够调用 TelephonyManager 函数,例如:
iccOpenLogicalChannel
iccCloseLogicalChannel
iccTransmitApduLogicalChannel
iccTransmitApduBasicChannel
这是调用上述函数之一时得到的堆栈跟踪:
E/AndroidRuntime: FATAL EXCEPTION: main
E/AndroidRuntime: Process: com.xxxx, PID: 2668
E/AndroidRuntime: java.lang.SecurityException: No modify permission or carrier privilege.
E/AndroidRuntime: at android.os.Parcel.readException(Parcel.java:1599)
E/AndroidRuntime: at android.os.Parcel.readException(Parcel.java:1552)
E/AndroidRuntime: at com.android.internal.telephony.ITelephony$Stub$Proxy.iccOpenLogicalChannel(ITelephony.java:2966)
E/AndroidRuntime: at android.telephony.TelephonyManager.iccOpenLogicalChannel(TelephonyManager.java:2914)
E/AndroidRuntime: at android.view.View.performClick(View.java:5198)
E/AndroidRuntime: at android.view.View$PerformClick.run(View.java:21147)
E/AndroidRuntime: at android.os.Handler.handleCallback(Handler.java:739)
E/AndroidRuntime: at android.os.Handler.dispatchMessage(Handler.java:95)
E/AndroidRuntime: at android.os.Looper.loop(Looper.java:148)
E/AndroidRuntime: at android.app.ActivityThread.main(ActivityThread.java:5417)
E/AndroidRuntime: at java.lang.reflect.Method.invoke(Native Method)
E/AndroidRuntime: at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:726)
E/AndroidRuntime: at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:616)
提前致谢!
您应该问自己的问题实际上是一个不同的问题:如何将我的应用程序签名密钥的证书放入 UICC?一旦您有了证书,实际的签名过程与任何其他密钥库没有什么不同。
因此,您将拥有一个密钥库,其中包含您的签名密钥对和该密钥的证书。该证书可以是自签名证书(Android 应用签名密钥通常就是这种情况)或 UICC 所有者 (MNO/carrier) 颁发给您的证书。在第一种情况下,您需要说服 UICC 所有者将该自签名证书添加到您的 UICC 上的访问控制列表(/应用程序)中。在第二种情况下,运营商通常会将与颁发给您的证书相对应的根证书包含在 UICC 中。
然后您可以使用该密钥库为应用程序签名(就像您通常做的那样)。
接受的答案实际上并不完全正确。 SIM里面没有根证书之类的概念。
所有访问规则(APK 与 APPLET)都存储在 ARA-M 或 ARA-D 中。 ARA-M 和 ARA-D 都是单独的 APPLET,仅根据全球规范。
在访问规则中,存储APK签名和APPLET AID以获得carrierpriilege() grant。
APK签名的意思,是APK实际签名的SHA1(20B)。 无论 APK 签名的派生方式如何(自签名或 CA 的证书),SHA1 总是不同的。因此,所有允许的签名 (SHA) 都将发送到相应的 ARA-M。 现在,要访问 ARA-M,您需要使用任一通道密钥(ENC、KEK、MAC)手动发送 APDU 或 OTA link(如果它是真实的 SIM 卡)。
对了,SIM里面没有MNO根证书的概念。除了 GP 和他们的 SCP 理论之外,SIM 仍然是十年前的。