摘 要：隨著Android系統(tǒng)的普遍使用，有關(guān)Android系統(tǒng)的第三方惡意軟件越來越多，其中用來竊取用戶數(shù)據(jù)的居多。由于Android系統(tǒng)中應(yīng)用產(chǎn)生的數(shù)據(jù)均放在data/data/第三方應(yīng)用包名的目錄下，并且其采用DAC（自主訪問控制），因此容易被第三方惡意軟件獲取用戶數(shù)據(jù)。為了解決這一問題，文章研究并提出一種數(shù)據(jù)安全隔離方案，該方案是通過數(shù)據(jù)隔離使其用戶的數(shù)據(jù)存放在data/自定義的文件夾目錄/第三方應(yīng)用包的目錄下，并引入SEAndroid機(jī)制，采用MAC（強(qiáng)制訪問控制）模式來保障用戶數(shù)據(jù)安全。

關(guān)鍵詞：Android系統(tǒng)；數(shù)據(jù)隔離；DAC（自主訪問控制）；MAC（強(qiáng)制訪問控制）

1 概述

Android智能手機(jī)給用戶帶來方便的同時，也給用戶帶來了諸如個人隱私安全，個人信息安全以及個人財產(chǎn)安全等問題。根據(jù)360公司2016年第一季度中國手機(jī)安全狀況報告得知，Android平臺新增惡意程序樣本339.6萬個，移動端用戶感染惡意程序8829.7萬人次，其中獲取用戶隱私的惡意程序占5.0%。由于Android系統(tǒng)的開源性，以及部分代碼的碎片化問題，從而導(dǎo)致用戶數(shù)據(jù)的嚴(yán)重泄露[1]。為了保障用戶數(shù)據(jù)安全，可以根據(jù)隱私數(shù)據(jù)的泄漏與否來判斷其安全性[2]，對Android權(quán)限進(jìn)行詳細(xì)劃分，禁止敏感權(quán)限[3]，也可以對系統(tǒng)應(yīng)用程序的進(jìn)程進(jìn)行監(jiān)控[4]，但是這些保護(hù)機(jī)制根本上還是采用DAC訪問模式來保護(hù)數(shù)據(jù)。為了解決這一問題，文章將對需要保護(hù)的數(shù)據(jù)隔離出來，并采用MAC機(jī)制來保障其安全性。

2 SEAndroid安全機(jī)制分析

2.1 Android自身安全機(jī)制

在引進(jìn)SEAndroid機(jī)制之前，Android系統(tǒng)的安全機(jī)制主要是在系統(tǒng)內(nèi)核以及應(yīng)用程序兩個方面。應(yīng)用程序的安全問題主要是Android的權(quán)限問題，如果某個應(yīng)用需要訪問敏感或者特權(quán)權(quán)限時，就需要在AndroidManifest.xml文件中申請相應(yīng)的權(quán)限，并在安裝的過程中Y由用戶決定是不是允許賦予相應(yīng)的權(quán)限。安裝之后一般會有系統(tǒng)服務(wù)使用這些權(quán)限，在使用之前，系統(tǒng)服務(wù)會檢查權(quán)限是否通過。而內(nèi)核級別的安全機(jī)制就是傳統(tǒng)的Linux的UID和GID，每個用戶都會有一個ID，也會擁有一個用戶組ID，分別稱為UID和GID。Linux系統(tǒng)就是通過用戶進(jìn)程，文件的UID和GID的屬性來進(jìn)行管理的，也即是人們常說的Android沙箱機(jī)制。

這種安全機(jī)制存在很大的問題，當(dāng)某個用戶想讓另外一個用戶訪問自己創(chuàng)建的文件時，只需要修改一下文件的訪問權(quán)限即可，因此Android原來安全機(jī)制中文件的權(quán)限控制在所有者手中。這種權(quán)限控制方式是自主式的，英文全名為Discretionary Access Control，簡稱為DAC。DAC權(quán)限控制方式會可能因為用戶執(zhí)行了錯誤的命令，負(fù)責(zé)執(zhí)行用戶命令的程序受到攻擊，或者是負(fù)責(zé)執(zhí)行用戶命令的程序出現(xiàn)BUG，都會引起用戶隱私數(shù)據(jù)的泄露。

2.2 SEAndroid安全機(jī)制

針對Linux操作系統(tǒng)，NSA開發(fā)了一套安全機(jī)制SELinux，用來增強(qiáng)其安全性。Android系統(tǒng)是基于Linux實現(xiàn)的，但是它又有獨(dú)立的用戶空間，因此SELinux并不完全適用于Android系統(tǒng)，為此，NSA針對Android系統(tǒng)在SELinux基礎(chǔ)上開發(fā)了SEAndroid。以SELinux文件系統(tǒng)接口為邊界，SEAndroid安全機(jī)制包含有內(nèi)核空間和用戶空間兩部分[5]。在內(nèi)核空間，主要涉及到一個稱為SELinux LSM的模塊，其SELinux LSM模塊負(fù)責(zé)內(nèi)核資源的安全訪問控制。在用戶空間中主要有Security Context、Security Server、SEAndroid Policy模塊。

SEAndroid采用MAC訪問控制模型，在MAC機(jī)制中，用戶、進(jìn)程或者文件的權(quán)限是由管理策略決定的，而不是由它們自主決定的。SEAndroid安全機(jī)制如圖1所示，在SEAndroid中，每一個進(jìn)程和文件都會關(guān)聯(lián)一個安全上下文。這個安全上下文由用戶、角色、類型、安全級別四個部分組成。當(dāng)每一個進(jìn)程和文件都關(guān)聯(lián)上一個安全上下文之后，系統(tǒng)管理員就可以基于這些安全上下文制定一個安全訪問策略，用來規(guī)定進(jìn)程可以訪問相對應(yīng)的文件。圖1中，u：r：unstructed_app：s0描述的是用戶安裝的APK所運(yùn)行在該進(jìn)程的安全上下文，而u：object_r：app_data_file：s0描述的是用戶安裝的APK在運(yùn)行過程中生成數(shù)據(jù)文件的安全上下文。

SEAndroid安全機(jī)制與傳統(tǒng)的Linux UID/GID安全機(jī)制是并存的，當(dāng)進(jìn)程訪問文件時，首先要通過DAC安全檢查，然后才能進(jìn)入SEAndroid的MAC安全檢查，若有一個檢查不通過，就會禁止訪問。

3 數(shù)據(jù)安全隔離方案的設(shè)計與實現(xiàn)

3.1 數(shù)據(jù)安全隔離方案的設(shè)計

Android手機(jī)系統(tǒng)中無論是系統(tǒng)應(yīng)用還是第三方應(yīng)用的數(shù)據(jù)都放在data/data/ 目錄下，并且其訪問采用的是DAC模式，一定程度上會造成用戶數(shù)據(jù)的泄露。本方案首先是對數(shù)據(jù)進(jìn)行隔離，使用戶數(shù)據(jù)存放在data/safedata 目錄下或者任意文件下（本方案實例是將數(shù)據(jù)存放在data/safedata/ 目錄下），并同時對隔離數(shù)據(jù)采用MAC模式保護(hù)，即使獲取手機(jī)root權(quán)限也很難獲取隔離的數(shù)據(jù)。方案整體設(shè)計框架如圖2所示。

3.2 數(shù)據(jù)安全隔離方案的實現(xiàn)

3.2.1 數(shù)據(jù)隔離的實現(xiàn)

由于Android手機(jī)中無論是系統(tǒng)應(yīng)用還是第三方應(yīng)用的用戶數(shù)據(jù)均存放在data/data 目錄下，因此為了保護(hù)用戶數(shù)據(jù)的安全，可以將數(shù)據(jù)存放在另一個目錄下而達(dá)到數(shù)據(jù)隔離的目的。本設(shè)計是將數(shù)據(jù)存放在data/safedata目錄下，此目錄的等級和手機(jī)中data/data地位平等。首先，data根目錄是由分區(qū)影像文件ramdisk.imag在內(nèi)核啟動的時候調(diào)用init中的mount函數(shù)生成。然后在data目錄下通過mount（\"data\"，\"data/\"，\"data\"，0，NULL）操作生成索引節(jié)點(diǎn)再通過mkdir data/safedata 生成data根目錄下的safedata目錄。最后在應(yīng)用開發(fā)過程中將數(shù)據(jù)庫的存放路徑PATH為data/safedata。這樣就可以將應(yīng)用的數(shù)據(jù)隔離開來。

3.2.2 對隔離數(shù)據(jù)的MAC控制實現(xiàn)

利用SEAndroid安全機(jī)制中的策略配置文件實現(xiàn)對隔離數(shù)據(jù)的MAC控制。本方案不僅需要對隔離的安全空間進(jìn)行te策略文件的配置，還需要對第三方應(yīng)用能在隔離安全空間中運(yùn)行以及訪問權(quán)限來進(jìn)行te策略文件配置。具體的配置框架見圖3。

通過以上可以看到經(jīng)過SEAndroid配置權(quán)限以后，其訪問權(quán)限是先進(jìn)行DAC模式檢查，然后再進(jìn)行MAC模式檢查，當(dāng)以超級用戶root權(quán)限進(jìn)行訪問數(shù)據(jù)時，DAC檢查通過，但是由于沒有MAC權(quán)限，因此操作data/safedata目錄下的數(shù)據(jù)時而被禁止，從而進(jìn)一步增強(qiáng)了應(yīng)用的安全性，只有具備策略文件中的訪問權(quán)限，才可以操作其文件和數(shù)據(jù)。

5 結(jié)束語

文章主要是在Android平臺上的一種數(shù)據(jù)安全隔離方案的設(shè)計，以此來保護(hù)用戶的敏感數(shù)據(jù)。隨著Android系統(tǒng)的廣泛使用，獲取用戶數(shù)據(jù)的惡意軟件每年都在快速的增長，因此本方案的設(shè)計可以為以后保護(hù)用戶的隱私數(shù)據(jù)提供一個新思路，并且可以根據(jù)用戶的需求來開發(fā)相應(yīng)的安全隔離系統(tǒng)。

參考文獻(xiàn)

[1]周圣韜.Android安全技術(shù)揭秘與防范[M].北京：人民郵電出版社，2015：6-12.

[2]彭智俊，張源，楊眠.用靜態(tài)信息流分析檢測Android應(yīng)用中的日志隱患[J].小型微型計算機(jī)系統(tǒng)，2013（6）.

[3]戴威，鄭滔.基于Android權(quán)限機(jī)制的動態(tài)隱私保護(hù)模型[J].計算機(jī)應(yīng)用研究，2012，29（9）：3478-3482.

[4]Hwan-Taek Lee， Dongjin Kim， Minkyu Park， Seong-je Cho. Protecting data on Android platform against privilege escalation attack[J].International Journal of Computer Mathematics， 2016， 93（2）：401-414.

[5]李駿.深入理解Android 5源代碼[M].人民郵電出版社，2016： 586-615.

作者簡介：劉魁（1988-），男，河南省商丘市人，學(xué)士學(xué)位，重慶郵電大學(xué)通信與信息工程學(xué)院碩士研究生，主要研究方向：智能終端與軟件。