從事ios開發(fā)兩年多了，日常的精力主要放在公司的業(yè)務上，最近決定開始寫一些技術方面的東西，記錄自己今后的學習歷程，也希望和愛好移動開發(fā)的朋友多多交流學習。

下面切入正題，以前對ios的簽名機制不太了解，只知道配置個開發(fā)者證書用于調試和打個企業(yè)包什么的，遂花了點時間去學習一下ios的打包簽名機制，由于初學，本文的不足或是錯誤之處，還望多多批評指教。

一、非對稱算法和數(shù)字簽名

區(qū)別之前的對稱加密算法（加密解密用的是同一個秘鑰），非對稱加密算法需要兩個秘鑰，即公鑰和私鑰來進行加密和解密，它倆是成對出現(xiàn)的，如果用公鑰加密的內容，只有對應的私鑰才能解密，反之，用私鑰加密的內容，只有對應的公鑰才能解密。相對于對稱算法，該算法安全性高，只要私鑰不泄露，就能保證通信雙方的安全，缺點是加密和解密花費時間長。例如HTTPS協(xié)議在SSL層就用到了非對稱算法。 數(shù)字簽名是一種對數(shù)字內容進行校驗的方法，它首先對內容使用摘要算法（例如md5算法）生成一段固定長度的文本，可以理解為原內容的摘要，然后利用私鑰加密摘要，得到原內容的數(shù)字簽名。接受方同時接收到與原內容和數(shù)字簽名，首先用相同的摘要算法生成原內容的摘要（摘要1）， 同時用公鑰解密數(shù)字簽名，得到摘要2，然后比較摘要1和摘要2，若相同，則驗證原內容有效。具體流程如圖1.1：

二、申請數(shù)字證書

數(shù)字證書是蘋果公司數(shù)字簽名后的數(shù)字化證書，是ios系統(tǒng)校驗App的核心。以下是數(shù)字證書的申請過程：

1、開發(fā)者首先在keyChain中生成一個證書申請文件（CertificationSigningRequest，簡稱CSR），該文件包含開發(fā)者的信息、公鑰、公鑰加密算法和摘要算法，在這個過程中，首先會產生一個開發(fā)者使用的私鑰，保存在keyChain中。

2、開發(fā)者上傳CSR文件給Apple的MemberCenter（簡稱MC），蘋果公司會根據(jù)該文件生成一個證書，包含兩部分，即證書的內容和一段Apple的數(shù)字簽名，如下圖：

數(shù)字簽名是蘋果利用自己的私鑰加密證書內容摘要得到的，是為了驗證證書的有效性。ios系統(tǒng)本身裝有蘋果公司的公鑰，并通過圖1.1的方式進行校驗，如果摘要一致，證明數(shù)字證書的有效。蘋果提供的證書有開發(fā)、調試證書，企業(yè)版發(fā)布證書，上架和AddHoc證書，類型不同，功能亦不相同。如果是團隊開發(fā)，可以將證書導出生成.p12文件給其他人安裝。

三、描述文件（mobilePRovision）

描述文件也是通過蘋果的MC下載得到，里面包含了證書、AppId和設備UDID，除了這些還有授權信息，規(guī)定了App能夠使用的服務有哪些。

四、App打包簽名、校驗

Xcode在打包生成ipa文件的過程中，利用當前證書的私鑰進行代碼、資源文件的數(shù)字簽名，并且將其存放在ipa文件夾的_CodeSignature文件夾下，圖1.3是ipa文件的結構圖。當App安裝到ios系統(tǒng)上時，系統(tǒng)首先通過描述文件找到數(shù)字證書，通過證書里的蘋果數(shù)字簽名，驗證證書的有效性，如果證書有效，取出證書中的開發(fā)者公鑰，解密App的數(shù)字簽名，如果發(fā)現(xiàn)摘要一致，則驗證通過，App成功安裝在手機上，其中一個環(huán)節(jié)有問題，驗證工作就失敗，圖1.4是校驗過程。

五、相關參考

代碼簽名探析

iOS Code Signing 學習筆記

漫談iOS程序的證書和簽名機制