android main 日志 中dalvikvm 虚拟机日志,Android系统的安全设计与架构

Android系统的安全设计与架构

一、安全策略

1、Android

的整体架构由5个主要层次上的组件构成，这5层是：Android应用层、

Android框架层、Dalvik虚拟机层、用户空间原生代码层和Linux内核层。

2、安全边界，有时也会称为信任边界，是系统中分隔不同信任级别的特殊区域。

一个最直接的样例就是内核空间与用户空间之间的边界。

内核空间中的

代码能够对硬件执行一些底层操作并訪问全部的虚拟和物理内存，而用

户空间中的代码则因为CPU的安全边界控制。无法訪问全部内存。

3、Android沙箱的核

心机制基于下面几个概念：标准的Linux进程隔离、大多数进程拥有唯

一的用户ID(UID)。以及严格限制文件系统权限。

#define AID_SHELL 2000 / * adb shell 与 debug shell 用户* /

#define AID_CACHE 2001 / *缓存訪问* /

#define AID_DIAG 2002 / *訪问诊断资源* /

4、某些情况下，权限也可能以Linux权能的形式出现。比如。AID_INET_

ADMIN用户组中的成员授予CAP_NET_ADMIN权能。同意用户配置网络接

口和路由表。

1.2权限

1、API权限：用于控制訪问高层次的功能，这些功能存在于Android API、框

架层，以及某种情况下的第三方框架中。

一个使用API权限的常见样例是

READ_PHONE_STATE，

2、文件权限：默认情

况下，应用的唯一UID和GID都仅仅能訪问文件系统上对应的数据存储路径。

root@android:/ # ls -l /data/data

drwxr-x--x u0_a3 u0_a3 ... com.android.browser

drwxr-x--x u0_a4 u0_a4 ... com.android.calculator2

drwxr-x--x u0_a5 u0_a5 ... com.android.calendar

drwxr-x--x u0_a24 u0_a24 ... com.android.camera

3、IPC权限：IPC权限直接涉及应用组件(以及一些系统的IPC设施)之间的通信，虽

然与API权限也有一些重叠。这些权限的声明和检查实施可能发生在不

同层次上。包含执行环境、库函数，或直接在应用上。详细来说，这

个权限集合应用于一些在Android Binder IPC机制之上建立的主要

Android应用组件。

二、层次

2.1应用层

应用通常被分为两类：预装应用与用户安装的应用。

1、AndroidManifest.xml：Manifest文件里一个特别有趣的部分是sharedUserId属性。简单地说，

假设两个应用由同样的密钥签名。它们就能够在各自的Manifest文件里

指明同一个用户标识符。在这样的情况下。这两个应用就会在同样的UID

环境下执行。从而能使这些应用訪问同样的文件系统数据存储以及潜在

的其它资源。

2、Intent：Intent是一种消息对象，当中包含一个要执行操作的相关信息，将执行操作的目标组件信息(可选)，以及其它一些(对接收方可能很关键的)标志位或支持性信息。差点儿全部经常使用的动作都涉及在系统中传递

Intent。

android:protectionLevel="signature" />

...

android:permission="com.wiley.permission.INSTALL_WIDGET"/>

3、Activity：是一种面向用户的应用组件或用户界面(UI)。

Activity基于Activity基类。包含一个窗体和相关的UI元素。Activity

的底层管理是由被称为Activity管理服务(Activity Manager)的组件

来进行处理的，这一组件也处理应用之间或应用内部用于调用Activity

的发送Intent。

4、Broadcast Receiver：一般会在应用希

望接收一个匹配某种特定标准的隐式Intent时出现也能够使用。

registerReceiver方法在执行时以编程方式

注冊，这种方法能够被重载以对Receiver设置权限。

5、Service是一类在后台执行而无需用户界面的应用组件，用户不用直接与Service所属应用进行交互。

android:name="com.yougetitback.androidapplication.FindLocationService">

android:name="com.yougetitback.androidapplication.FindLocationService" />

Service通常能够被停止、启动或绑定，全部这些动作都通过Intent来触发。

6、Content Provider是为各种通用、共享的数据存储提供的结构化訪问接口。

android:writePermission="com.wiley .example.permission.WRITE"

android:authorities="com.wiley .example.data" />

Content URI採用

content://[authorityname]的格式，能够额外包含路径和參数信息(如

content://com.wiley.example.data/foo)，而这些信息对Provider

的底层实现可能很关键。

2.2框架层

Android框架层为开发人员提供了执

行通用任务的部件——程序包及其类。这些任务可能包含管理UI元素、

訪问共享数据存储，以及在应用组件中传递消息等。也就是说，框架层

中包含不论什么仍然在DalvikVM中执行的非应用特定代码。

1、DalvikVM是基于寄存器而不是栈的。。class->.dex->.apk。

DalvikVM使用Java Native Interface(JNI)与

底层原生代码进行交互。这一功能同意在Dalvik代码和原生代码之间相

互调用。

2、Android设备启动时，Zygote进程是最先执行的进程之中的一个。

接下来，

Zygote负责启动其它服务以及载入Android框架所使用的程序库。然后。

Zygote进程作为每一个Dalvik进程的载入器，通过复制自身进程副本(也

被称为forking，分支)来创建进程。

Zygote的第二大功能是启动system_server进程，这个进程容纳了所

有系统核心服务，并在system的AID用户环境中以特权权限执行。

2.3用户空间原生代码层

操作系统用户空间内的原生代码构成了Android系统的一大部分。这一

层主要由两大类组件构成：程序库和核心系统服务。

1、Android框架层中的较高层次类所依赖的很多底层功能都是通过共享程

序库的方式来实现，并通过JNI进行訪问的。在这当中，很多程序库都也

是在其它类Unix系统中所使用的知名开源项目。比方，SQLite提供了本

地数据存储功能，Webkit提供了可嵌入的Web浏览器引擎，FreeType

提供了位图和矢量字体渲染功能。

并不是全部的底层程序库都是标准的。Bionic就是一个值得注意的特例。

Bionic是BSD C执行时库的一个变种。旨在提供更小的内存使用空间。

这些库是使用原生代码开发的。因而很easy出现内存破坏漏洞

2、核心服务是指建立基本操作系统环境的服务与Android原生组件。这些

服务包含初始化用户空间的服务(如init)、提供关键调试功能的服务(如adbd和debugggerd)等。

3、其它服务：提供一些不一定是必需

的额外功能(取决于设备和服务)

2.4内核

1、Android对Linux内核的主要改动(例举2)：

Binder：

IPC机制，提供额外的一些特性，比方对调

用者和被调用者的安全验证。它已被大量的

系统和框架服务所使用

OOM改动：

"Out Of Memory"-killer在内存空间低的时

候杀掉进程，在Android分支中，OOM在

内存即将用尽时。较传统Linux内核能更快

地杀掉进程

2、Binder：Binder作为

一个架构，以client—server模型执行，同意一个进程同一时候调用多个“远程”

进程中的多个方法。Binder架构将底层细节进行了抽象，使得这些方法

调用看起来就像是本地函数调用。

AIDL

同意两个应用使用“协商确定”或者标准化的接口，来发送和接收数据。

使得接口独立于详细的实现。AIDL相似于其它的接口定义语言文件，比

如C/C++中的头文件。

// IRemoteService.aidl

package com.example.android;

// Declare any non-default types here with import statements

//在此声明不论什么非默认类型导入声明

/*范例服务接口*/

interface IRemoteService {

/**请求这一服务的进程ID，做点“有趣”的事情**/

int getPid();

/**显示一些用作AIDL參数和返回值的基本类型**/

void basicTypes(int anInt, long aLong, boolean aBoolean,

float aFloat,

double aDouble, String aString);

}

3、ashmem：匿名共享内存服务，它广泛应用于大多数Android核心组件中，

包含Surface Flinger、Audio Flinger、系统server和DalvikVM等。

ashmem能够自己主动收缩内存缓存。并在全局可用内存较低时回收内存区域，

因而很适用于低内存环境。

int fd = ashmem_create_region("SomeAshmem", size);

if(fd == 0) {

data = mmap(NULL, size, PROT_READ | PROT_WRITE, MAP_SHARED, fd, 0);

...

2011年，ashmem被证明存在一个很严重的安全缺陷。同意

通过Android属性进行特权提升

4、日志记录器：它依据信息的类型。

提供了4个独立的日志缓冲区：main(主缓冲区)、radio(无线电缓冲区)、

event(事件缓冲区)与system(系统缓冲区)。

$ adb -d logcat

写在最后

在细致观察了Android的设计与架构之后，我们已经清楚地了解到。Android操

作系统是一种很复杂的系统。设计者坚持了最低权限原则，也就是说不论什么特定

组件都应该仅仅能訪问它真正所须要訪问的东西。只是。这尽管有助于提高安全性。

却也添加了复杂性。