使用UICC运营商权限证书签署应用程序

时间:2015-11-05 17:48:34

标签: android telephonymanager apdu sim-card globalplatform

关于签署具有运营商权限的应用程序,我正在阅读有关此link的信息。

我知道如何使用密钥库为生产版本签署应用程序,但是如何将UICC证书添加到我的应用程序以便获得运营商权限?

我的主要目标是能够调用TelephonyManager等功能:

iccOpenLogicalChannel
iccCloseLogicalChannel
iccTransmitApduLogicalChannel
iccTransmitApduBasicChannel

这是我在调用上述函数之一时得到的堆栈跟踪:

E/AndroidRuntime: FATAL EXCEPTION: main
E/AndroidRuntime: Process: com.xxxx, PID: 2668
E/AndroidRuntime: java.lang.SecurityException: No modify permission or carrier privilege.
E/AndroidRuntime:     at android.os.Parcel.readException(Parcel.java:1599)
E/AndroidRuntime:     at android.os.Parcel.readException(Parcel.java:1552)
E/AndroidRuntime:     at com.android.internal.telephony.ITelephony$Stub$Proxy.iccOpenLogicalChannel(ITelephony.java:2966)
E/AndroidRuntime:     at android.telephony.TelephonyManager.iccOpenLogicalChannel(TelephonyManager.java:2914)
E/AndroidRuntime:     at android.view.View.performClick(View.java:5198)
E/AndroidRuntime:     at android.view.View$PerformClick.run(View.java:21147)
E/AndroidRuntime:     at android.os.Handler.handleCallback(Handler.java:739)
E/AndroidRuntime:     at android.os.Handler.dispatchMessage(Handler.java:95)
E/AndroidRuntime:     at android.os.Looper.loop(Looper.java:148)
E/AndroidRuntime:     at android.app.ActivityThread.main(ActivityThread.java:5417)
E/AndroidRuntime:     at java.lang.reflect.Method.invoke(Native Method)
E/AndroidRuntime:     at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:726)
E/AndroidRuntime:     at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:616)

提前致谢!

2 个答案:

答案 0 :(得分:4)

您应该问自己的问题实际上是另一个问题:如何获取我的应用程序签名密钥的证书进入UICC?一旦有了这个,实际的签名过程就没有什么不同了比任何其他密钥库。

因此,您将拥有一个包含签名密钥对的密钥库以及该密钥的证书。证书可以是自签名证书(通常是Android应用程序签名密钥的情况),也可以是UICC所有者(MNO /运营商)颁发给您的证书。在第一种情况下,您需要说服UICC所有者将该自签名证书添加到UICC上的访问控制列表(/ application)。在第二种情况下,承运人通常会包含与颁发给UICC的证书相对应的根证书。

然后,您可以使用该密钥库对应用程序进行签名(就像您通常那样)。

答案 1 :(得分:0)

接受的答案实际上并不完全正确。 在 SIM 卡中,没有根证书之类的概念。

所有访问规则(APK 与 APPLET)都存储在 ARA-M 或 ARA-D 中。 ARA-M 和 ARA-D 只是根据 Global Spec 单独的 APPLET。

在访问规则中,存储APK签名和APPLET AID以获得carrierpriilege() grant。

APK签名是指APK实际签名的SHA1(20B)。 无论 APK 签名以何种方式派生(自签名或 CA 的证书),SHA1 总是不同的。因此,所有允许的签名 (SHA) 都将发送到相应的 ARA-M。 现在,要访问 ARA-M,您需要侧面任一通道密钥(ENC、KEK、MAC)来手动发送 APDU 或 OTA 链接(如果它是真正的 SIM 卡)。

顺便说一下,SIM里面没有MNO根证书的概念。除了 GP 和他们的 SCP 理论之外,SIM 仍然是十年前的。