有时候我们需要在自己的应用中使用一些系统相关权限，比如USB权限，如果我们自己的应用所在进程和系统进程为同一个UID，就会默认拥有该权限，不需要用户自己去授予，很多情况下会方便很多。最近在做的项目，有好大一部分都用到这个权限，修改系统时间啊，调用隐藏方法啊，系统关机重启啊，静默安装升级卸载应用等等，刚开始的时候，直接添加权限，运行就报错，无论模拟器还是真机，在logcat中总会得到"Unable to open alarm driver: Permission denied ".这个函数需要root权限或者运行于系统进程中才可以用。

网上搜索了好久，发现有两种方法可以解决：

一种是需要在Android系统源码的环境下用make来编译：

1. 在应用程序的AndroidManifest.xml中的manifest节点中加入android:sharedUserId="android.uid.system"这个属性。               

2. 修改Android.mk文件，加入LOCAL_CERTIFICATE := platform这一行

3. 使用mm命令来编译，生成的apk就有修改系统时间的权限了。

不会.mk编译这种方法，所以就只好参考第二种了：         1. 加入android:sharedUserId="android.uid.system"这个属性。       

        2. 使用eclipse编译出未加签名的apk文件，但是这个apk文件是不能用的。

        3. 使用目标系统的platform密钥来重新给apk文件签名。

这步比较麻烦，首先找到密钥文件，在我的Android源码目录中的位置是"build/target/product/security"，

下面的platform.pk8和platform.x509.pem两个文件。然后用Android提供的Signapk工具来签名，

signapk的源代码是在"build/tools/signapk"下，用法为"signapk platform.x509.pem platform.pk8 input.apk output.apk"，

文件名最好使用绝对路径防止找不到，也可以修改源代码直接使用。 这样最后得到的apk和第一个方法是一样的。        最后解释一下原理，首先加入android:sharedUserId="android.uid.system"这个属性。

通过Shared User id,拥有同一个User id的多个APK可以配置成运行在同一个进程中。

那么把程序的UID配成android.uid.system，也就是要让程序运行在系统进程中，这样就有权限来修改系统时间了。

只是加入UID还不够，如果这时候安装APK的话发现无法安装，提示签名不符，

原因是程序想要运行在系统进程中还要有目标系统的platform key，就是上面第二个方法提到的platform.pk8和platform.x509.pem两个文件。

用这两个key签名后apk才真正可以放入系统进程中。第一个方法中加入LOCAL_CERTIFICATE := platform其实就是用这两个key来签名。

这也有一个问题，就是这样生成的程序只有在原始的Android系统或者是自己编译的系统中才可以用，因为这样的系统才可以拿到platform.pk8和platform.x509.pem两个文件。

要是别家公司做的Android上连安装都安装不了。试试原始的Android中的key来签名，程序在模拟器上运行OK，不过放到G3上安装直接提示"Package ... has no signatures that match those in shared user android.uid.system"，这样也是保护了系统的安全。

最后还说下，这个android:sharedUserId属性不只可以把apk放到系统进程中，也可以配置多个APK运行在一个进程中，这样可以

共享数据，应该会很有用的。

众所周知，Pid是进程ID，Uid是用户ID，只是Android和计算机不一样，计算机每个用户都具有一个Uid，哪个用户start的程序，这个程序的Uid就是那个那个用户，而Android中每个程序都有一个Uid，默认情况下，Android会给每个程序分配一个普通级别互不相同的 Uid，如果用互相调用，只能是Uid相同才行，这就使得共享数据具有了一定安全性，每个软件之间是不能随意获得数据的。

系统进程UID有三种：

首先我们需要在manifest中声明该应用的UID：

签名打包的前提是要有系统的签名文件，一般位于源码的build/target/product/security目录，有的厂商自定制的系统会放在其他目录，比如我用的Nanopc3在如下目录，具体可以全局搜索一下，一开始我也使用的是build目录下的，结果打包后怎么也装不上，后来发现vendor目录下也有一个/(ㄒoㄒ)/~~：

正在上传…重新上传取消正在上传…重新上传取消

签名文件.png

其中android:sharedUserId="android.uid.system"对应platform.pk8、platform.x509.pem两个文件。 下面说一下导入系统签名常用的三种方式：

对于已经生成的apk文件可以通过源码/out/host/linux-x86/framework目录下的signapk.jar文件通过以下命令进行重新签名。

java -jar signapk.jar platform.x509.pem platform.pk8 my.apk new.apk

注意使用该指令的话signapk.jar、platform.x509.pem、platform.pk8、my.apk四个文件要在同一路径，否则需要自己更改路径。

生成自己的key文件后利用keytool-importkeypair工具使用如下命令重新生成签名：

keytool-importkeypair -k demo.jks -p 123456 -pk8 platform.pk8 -cert platform.x509.pem -alias demo

keytool-importkeypair工具可以从这里下载。

这种方式我暂时没有测试，因为对mk文件不是很了解。一般情况下也不会用到，毕竟现在基本都是使用ide工具来开发的，上面两种方式足够使用了。如果有需要，以后再添加。