CN109977644A - 一种Android平台下分级权限管理方法 - Google Patents

Abstract

本发明涉及一种Android平台下分级权限管理方法。本发明采用分级管理的强制权限控制技术，对各等级用户进行权限管理，通过密码认证和远程授权等多种方式对不同等级用户实施不同权限的管理，高级别用户可以对系统的低级别用户和各种资源进行集中管理、集中权限分配和集中审计，针对不同的分级权限的用户，登陆系统后，可以在自己的权限范围内，进行数据维护和查询；分级管理员可以维护本级或下级终端信息；维护本级机终端或者下级终端的人员信息；维护本级或者下级终端的文档数据等。

Description

一种Android平台下分级权限管理方法

技术领域

本发明涉及一种Android平台下分级权限管理方法，属于分级权限管理的技术领域。

背景技术

Android是目前使用最为广泛的移动终端操作系统，主要使用于移动设备，如智能手机和平板电脑。目前军用设备也逐渐开始采用Android或类Android的操作系统。鉴于终端的多层次安全级别的军事应用的权限控制需求，对分级管理的强制权限访问控制技术进行研究，以便对各节点终端用户的权限进行安全管理，并对终端用户所能接触到的军事专用信息根据权限进行管理。

权限用来描述是否拥有做某件事的权力。Android系统中权限分为普通级别(Normal)，危险级别(dangerous)，签名级别(signature)和系统/签名级别(signature orsystem)。系统中所有预定义的权限根据作用的不同，分别属于不同的级别。

对于普通和危险级别的权限，我们称之为低级权限，应用申请即授予。其他两级权限，我们称之为高级权限或系统权限，应用拥有platform级别的认证才能申请。当应用试图在没有权限的情况下做受限操作，应用将被系统杀掉以警示。

系统应用可以使用任何权限。权限的声明者可无条件使用该权限。

目前Android系统定义了许多权限，用户可以查询到哪些操作需要哪些权限，然后按需申请。为了执行的权限，必须首先在AndroidManifest.xml中使用一个或多个<permission>标签声明。

Android权限系统通常应用在C/S模式下，客户端是Android应用，软件业务实现通常放在服务器端，服务器端可以使用各种基于Web的服务器技术，也可以使用基于Socket的服务器技术。系统权限点放在服务器端，用户通过Android客户端登陆服务器抓取系统权限数据，将权限数据保存在共享空间，在转入每个Activity之后，首先从共享空间中获得权限数据，用获得的数据和Activity中组件的权限配置进行比对，最终决定组件的可见性。Android端的权限系统主要解决用户系统使用的权限，如果为了系统使用的安全，在服务器端也要通过同样的权限数据限定系统访问。

发明内容

针对现有技术的不足，本发明提供一种Android平台下分级权限管理方法。

本发明的技术方案为：

一种Android平台下分级权限管理方法，包括步骤如下：

1)将应用程序中的权限声明从静态的AndroidManifest.mxl文件中加载到系统中形成的访问能力；

应用程序在AndroidManifest.xml文件中使用<uses-permission>标签申请Permission，具体如下：

<uses-permission android:name＝”string”/>

其中string为权限标示或者用户自定义的Permission标示，string是系统中已存在的；

当一个应用程序加载到系统内存形成应用程序包后，应用程序包管理服务PackageManagerService在其成员域mPackages中维护该应用程序包的应用程序包信息；在PackageParser.Package类的成员域mExtras中包含应用程序的设定信息；

应用程序组件可以和系统资源一样采用权限机制进行访问控制，防止自身被滥用。为此，应用程序组件需要定义权限标示，以及在组件中用权限标示指定对访问者的权限能力要求。这些应用程序自主的权限信息作为组件的固有属性保存在mPackages的相应的组件成员域中。PackageManagerService中保存的应用程序的Permission信息均来自对应用程序的AndroidManifest.xml文件的解析。应用程序包管理服务PackageManagerService为Android的一个系统服务。

2)资源侧对访问能力要求的生成；

2.1)系统资源对访问能力的要求分布在系统API实现中，API在实现过程中调用权限验证API，检查调用系统API的应用程序是否拥有指定的权限；

2.2)AndroidManifest.xml文件包含了应用程序的组件信息，其中android:Permission属性表明了应用程序组件对访问能力的要求；在系统服务PackageManagerService解析应用程序包信息时，提取应用程序的四种组件信息并保存在PackageParser.Package中，每种组件信息都有相应的对象实例；对象实例中对访问者权限能力的要求作为应用程序组件的一个属性，在解析AndroidManifest.xml文件时，保存在对象实例中；

通过步骤2.1)和步骤2.2)Android系统维护了所有应用程序资源对访问者的权限能力要求；系统资源对访问者的能力要求分散在对外提供的访问接口函数的实现中，在Android系统内部实施；应用程序资源对访问者的能力要求，和应用程序自身访问能力的维护都由同一个系统服务PackageManagerService完成，方便了访问控制过程的实现。

3)资源端的访问控制检查；

对于系统资源和应用程序自身的资源，Android提供相应的访问接口；在访问接口实现过程中实施权限检查；对于Activity组件，当调用Context.startActivity()和Activity.startActivityForResult()时进行权限检查；

对于Service组件，当调用Context.startService()和Context.stopService()和Context.bindSerivce时进行权限检查；

Broadcast Receiver组件设置的权限要求限制只有拥有相应权限的应用程序才能发送广播到Receiver；当Context.sendBroadcast()函数返回时进行权限检查；

ContentProvider组件设置的权限要求，限制只有拥有相应权限的应用程序才可以访问ContentProvider的数据；如果Content Provider对象既设置了读权限要求又设置了写权限要求，则只拥有写权限的程序无法读取ontentProvider对象；在第一次检索Provider或操作Provider时进行权限检查，如果没有权限则抛出SecurityException异常；在使用ContextResolver.query()函数进行数据读操作时，检查读权限，在使用ContentResolver.insert()，ContentResolver.update()，ContentResolver.delete()函数进行写操作时，检查写权限。ContentProvider和其他组件不同，由于涉及到数据库操作，所以额外还有2个独立的权限属性可以设置；读Provider权限(android:readPermission)和写Provider权限(android:writePermission)。

优选的，所述应用程序包信息用一个PackageParser.Package类的实例保存，包括组成应用程序的组件信息和权限信息。

优选的，应用程序的设定信息包括应用程序包的签名和申请的权限。

优选的，API在实现过程中调用权限验证API的具体方式包括，CheckCallingPermission()。

优选的，对系统服务的细粒度访问控制：设计char*类型的capabilities参数控制特定进程对文件读写、端口监听、端口外联的操作；设计char*类型的process参数指定受保护的目标进程；设计DefaultDirdefauhdirs[8]参数指定受保护的进程所允许访问的目录；设计char*类型的in—tcp—ports参数指定当前进程正在监听的端口。

进一步优选的，对系统服务的细粒度访问控制具体数据结构如下所示：

typedef struct policy{

char*file-name；//策略文件名

char*name；//策略名称

rvpe type；//策略类型

char*initscript；//服务启动脚本文件路径

char*program；//可执行程序路径

下面这些bool值表示程序里是否包含相关API或者决定某些功能是否启用

bool use-resolve；

bool use-syslog；

char*capabilities；//规定进程具有的基本行为能力

char*process；//进程对应文件路径

DefauhDirs defauhdirs[8]；//文件目录列表

RoleList*roles；//角色列表

char in-tcp-flag；//监听TCP端El类型标识

char*in-tcp-ports；//监听端口信息字符串

char in～udp-flag；//监听UDP端口类型标识

char*in-udp-ports；//监听UDP端口信息

…

}。

优选的，整个进程权限控制系统的安全策略均由策略生成模块实现。无论是策略生成模块还是进程行为监测模块，都依赖于系统下发的安全策略。只有正确解析处理系统管理员下发的安全策略，才能一致性地完成系统预期防护功能。

进一步优选的，策略生成模块核算法如下：

char generate_te(policy mypoly){

initial()；

newte＝generate-default-types(mypoly)；//生成默认类型

//为可读写的文件生成类型

for(i＝0；i<8；i++)(

if(mypoly->defaultdirs[i].dirpath->next！＝NULL){

str_tmp＝generate eapahilities(mypoly)；//生成进程常用的行为能力

str_tmp＝generate_network_types(mypoly)；//生成网络相关的类型

str_tmp＝generate-default-rulcs(mypoly)；//生成默认规则

str_tmp＝generate-booleans-mles(mypoly)；//生成bool值规则

…}。

本发明的有益效果为：

1.本发明以山东超越研制的基于国产联芯LC1860C处理器的手持式计算机为硬件平台，实现了对Android操作系统平台分级的权限管理，对其他基于Linux内核的类Android操作系统也有一定的借鉴意义；

2.本发明采用分级管理的强制权限控制技术，对各等级用户进行权限管理，通过密码认证和远程授权等多种方式对不同等级用户实施不同权限的管理，高级别用户可以对系统的低级别用户和各种资源进行集中管理、集中权限分配和集中审计，针对不同的分级权限的用户，登陆系统后，可以在自己的权限范围内，进行数据维护和查询；分级管理员可以维护本级或下级终端信息；维护本级机终端或者下级终端的人员信息；维护本级或者下级终端的文档数据等。低级别终端用户能够向上级提出信息使用申请，可以从后台获取相应各类信息；

能够根据指挥关系设定共享信息管理权限，高级用户可对下级用户的共享权限进行设置和管理；根据管理权限可对共享信息进行查询、录入、下载、删除、更新、备份、恢复等操作；

3.由于终端设备的分布式特性，传统的设备监控、管理、诊断技术不能满足信息化战争条件下的终端管理需求；本发明对基于云端模式的终端远程管理控制技术进行研究,根据权限远程通过军事专用网络系统对部署于战场的终端设备进行管理、权限设置、固件或应用软件升级、故障诊断和销毁等操作，提供了从终端设备入网、使用、拓扑部署、实时资源分配、信息交互、脱网各个环节的全面管理,保障了系统的安全性、可靠性。

附图说明

图1为Android系统架构图；

图2为本发明分级权限管理方法基于的硬件平台框图。

具体实施方式

下面结合实施例和说明书附图对本发明做进一步说明，但不限于此。

实施例1

如图1、图2所示。

一种Android平台下分级权限管理方法，包括步骤如下：

1)将应用程序中的权限声明从静态的AndroidManifest.mxl文件中加载到系统中形成的访问能力；

应用程序在AndroidManifest.xml文件中使用<uses-permission>标签申请Permission，具体如下：

<uses-permission android:name＝”string”/>

其中string为权限标示或者用户自定义的Permission标示，string是系统中已存在的；

当一个应用程序加载到系统内存形成应用程序包后，应用程序包管理服务PackageManagerService在其成员域mPackages中维护该应用程序包的应用程序包信息；在PackageParser.Package类的成员域mExtras中包含应用程序的设定信息(应用程序的设定信息包括应用程序包的签名和申请的权限)；所述应用程序包信息用一个PackageParser.Package类的实例保存，包括组成应用程序的组件信息和权限信息。

应用程序组件可以和系统资源一样采用权限机制进行访问控制，防止自身被滥用。为此，应用程序组件需要定义权限标示，以及在组件中用权限标示指定对访问者的权限能力要求。这些应用程序自主的权限信息作为组件的固有属性保存在mPackages的相应的组件成员域中。PackageManagerService中保存的应用程序的Permission信息均来自对应用程序的AndroidManifest.xml文件的解析。应用程序包管理服务PackageManagerService为Android的一个系统服务。

2)资源侧对访问能力要求的生成；

2.1)系统资源对访问能力的要求分布在系统API实现中，API在实现过程中调用权限验证API，检查调用系统API的应用程序是否拥有指定的权限；API在实现过程中调用权限验证API的具体方式包括，CheckCallingPermission()。

2.2)AndroidManifest.xml文件包含了应用程序的组件信息，其中android:Permission属性表明了应用程序组件对访问能力的要求；在系统服务PackageManagerService解析应用程序包信息时，提取应用程序的四种组件信息并保存在PackageParser.Package中，每种组件信息都有相应的对象实例；对象实例中对访问者权限能力的要求作为应用程序组件的一个属性，在解析AndroidManifest.xml文件时，保存在对象实例中；

通过步骤2.1)和步骤2.2)Android系统维护了所有应用程序资源对访问者的权限能力要求；系统资源对访问者的能力要求分散在对外提供的访问接口函数的实现中，在Android系统内部实施；应用程序资源对访问者的能力要求，和应用程序自身访问能力的维护都由同一个系统服务PackageManagerService完成，方便了访问控制过程的实现。

3)资源端的访问控制检查；

对于系统资源和应用程序自身的资源，Android提供相应的访问接口；在访问接口实现过程中实施权限检查；对于Activity组件，当调用Context.startActivity()和Activity.startActivityForResult()时进行权限检查；

对于Service组件，当调用Context.startService()和Context.stopService()和Context.bindSerivce时进行权限检查；

Broadcast Receiver组件设置的权限要求限制只有拥有相应权限的应用程序才能发送广播到Receiver；当Context.sendBroadcast()函数返回时进行权限检查；

ContentProvider组件设置的权限要求，限制只有拥有相应权限的应用程序才可以访问ContentProvider的数据；如果Content Provider对象既设置了读权限要求又设置了写权限要求，则只拥有写权限的程序无法读取ontentProvider对象；在第一次检索Provider或操作Provider时进行权限检查，如果没有权限则抛出SecurityException异常；在使用ContextResolver.query()函数进行数据读操作时，检查读权限，在使用ContentResolver.insert()，ContentResolver.update()，ContentResolver.delete()函数进行写操作时，检查写权限。ContentProvider和其他组件不同，由于涉及到数据库操作，所以额外还有2个独立的权限属性可以设置；读Provider权限(android:readPermission)和写Provider权限(android:writePermission)。

实施例2

如实施例1所述的Android平台下分级权限管理方法，进一步的，对系统服务的细粒度访问控制：设计char*类型的capabilities参数控制特定进程对文件读写、端口监听、端口外联的操作；设计char*类型的process参数指定受保护的目标进程；设计DefaultDirdefauhdirs[8]参数指定受保护的进程所允许访问的目录；设计char*类型的in—tcp—ports参数指定当前进程正在监听的端口。

对系统服务的细粒度访问控制具体数据结构如下所示：

typedef struct policy{

char*file-name；//策略文件名

char*name；//策略名称

rvpe type；//策略类型

char*initscript；//服务启动脚本文件路径

char*program；//可执行程序路径下面这些bool值表示程序里是否包含相关API或者决定某些功能是否启用

bool use-resolve；

bool use-syslog；

char*capabilities；//规定进程具有的基本行为能力

char*process；//进程对应文件路径

DefauhDirs defauhdirs[8]；//文件目录列表

RoleList*roles；//角色列表

char in-tcp-flag；//监听TCP端El类型标识

char*in-tcp-ports；//监听端口信息字符串

char in～udp-flag；//监听UDP端口类型标识

char*in-udp-ports；//监听UDP端口信息

…

}。

实施例3

如实施例1所述的Android平台下分级权限管理方法，进一步的，整个进程权限控制系统的安全策略均由策略生成模块实现。无论是策略生成模块还是进程行为监测模块，都依赖于系统下发的安全策略。只有正确解析处理系统管理员下发的安全策略，才能一致性地完成系统预期防护功能。

策略生成模块核算法如下：

char generate_te(policy mypoly){

initial()；

newte＝generate-default-types(mypoly)；//生成默认类型

//为可读写的文件生成类型

for(i＝0；i<8；i++)(

if(mypoly->defaultdirs[i].dirpath->next！＝NULL){

str_tmp＝generate eapahilities(mypoly)；//生成进程常用的行为能力

str_tmp＝generate_network_types(mypoly)；//生成网络相关的类型

str_tmp＝generate-default-rulcs(mypoly)；//生成默认规则

str_tmp＝generate-booleans-mles(mypoly)；//生成bool值规则

…}。

Claims (8)

1.一种Android平台下分级权限管理方法，其特征在于，包括步骤如下：

1)将应用程序中的权限声明从静态的AndroidManifest.mxl文件中加载到系统中形成的访问能力；

应用程序在AndroidManifest.xml文件中使用<uses-permission>标签申请Permission，具体如下：

<uses-permission android:name＝”string”/>

其中string为权限标示或者用户自定义的Permission标示，string是系统中已存在的；

当一个应用程序加载到系统内存形成应用程序包后，应用程序包管理服务PackageManagerService在其成员域mPackages中维护该应用程序包的应用程序包信息；在PackageParser.Package类的成员域mExtras中包含应用程序的设定信息；

2)资源侧对访问能力要求的生成；

2.1)系统资源对访问能力的要求分布在系统API实现中，API在实现过程中调用权限验证API，检查调用系统API的应用程序是否拥有指定的权限；

2.2)AndroidManifest.xml文件包含了应用程序的组件信息，其中android:Permission属性表明了应用程序组件对访问能力的要求；在系统服务PackageManagerService解析应用程序包信息时，提取应用程序的四种组件信息并保存在PackageParser.Package中，每种组件信息都有相应的对象实例；对象实例中对访问者权限能力的要求作为应用程序组件的一个属性，在解析AndroidManifest.xml文件时，保存在对象实例中；

3)资源端的访问控制检查；

对于系统资源和应用程序自身的资源，Android提供相应的访问接口；在访问接口实现过程中实施权限检查；对于Activity组件，当调用Context.startActivity()和Activity.startActivityForResult()时进行权限检查；

对于Service组件，当调用Context.startService()和Context.stopService()和Context.bindSerivce时进行权限检查；

Broadcast Receiver组件设置的权限要求限制只有拥有相应权限的应用程序才能发送广播到Receiver；当Context.sendBroadcast()函数返回时进行权限检查；

ContentProvider组件设置的权限要求，限制只有拥有相应权限的应用程序才可以访问ContentProvider的数据；如果Content Provider对象既设置了读权限要求又设置了写权限要求，则只拥有写权限的程序无法读取ontentProvider对象；在第一次检索Provider或操作Provider时进行权限检查，如果没有权限则抛出SecurityException异常；在使用ContextResolver.query()函数进行数据读操作时，检查读权限，在使用ContentResolver.insert()，ContentResolver.update()，ContentResolver.delete()函数进行写操作时，检查写权限。

2.根据权利要求1所述的Android平台下分级权限管理方法，其特征在于，所述应用程序包信息用一个PackageParser.Package类的实例保存，包括组成应用程序的组件信息和权限信息。

3.根据权利要求1所述的Android平台下分级权限管理方法，其特征在于，应用程序的设定信息包括应用程序包的签名和申请的权限。

4.根据权利要求1所述的Android平台下分级权限管理方法，其特征在于，API在实现过程中调用权限验证API的具体方式包括，CheckCallingPermission()。

5.根据权利要求1所述的Android平台下分级权限管理方法，其特征在于，对系统服务的细粒度访问控制：设计char*类型的capabilities参数控制特定进程对文件读写、端口监听、端口外联的操作；设计char*类型的process参数指定受保护的目标进程；设计DefaultDirdefauhdirs[8]参数指定受保护的进程所允许访问的目录；设计char*类型的in—tcp—ports参数指定当前进程正在监听的端口。

6.根据权利要求5所述的Android平台下分级权限管理方法，其特征在于，对系统服务的细粒度访问控制具体数据结构如下所示：

typedef struct policy{

char*file-name；//策略文件名

char*name；//策略名称

rvpe type；//策略类型

char*initscript；//服务启动脚本文件路径

char*program；//可执行程序路径

下面这些bool值表示程序里是否包含相关API或者决定某些功能是否启用

bool use-resolve；

bool use-syslog；

char*capabilities；//规定进程具有的基本行为能力

char*process；//进程对应文件路径

DefauhDirs defauhdirs[8]；//文件目录列表

RoleList*roles；//角色列表

char in-tcp-flag；//监听TCP端El类型标识

char*in-tcp-ports；//监听端口信息字符串

char in～udp-flag；//监听UDP端口类型标识

char*in-udp-ports；//监听UDP端口信息

…

}。

7.根据权利要求1所述的Android平台下分级权限管理方法，其特征在于，整个进程权限控制系统的安全策略均由策略生成模块实现。

8.根据权利要求7所述的Android平台下分级权限管理方法，其特征在于，策略生成模块核算法如下：

char generate_te(policy mypoly){

initial()；

newte＝generate-default-types(mypoly)；//生成默认类型

//为可读写的文件生成类型

for(i＝0；i<8；i++)(

if(mypoly->defaultdirs[i].dirpath->next！＝NULL){

str_tmp＝generate eapahilities(mypoly)；//生成进程常用的行为能力

str_tmp＝generate_network_types(mypoly)；//生成网络相关的类型

str_tmp＝generate-default-rulcs(mypoly)；//生成默认规则

str_tmp＝generate-booleans-mles(mypoly)；//生成bool值规则

…}。