劉建華, 鄭曉坤, 鄭 東, 楊中皇, 4

(1. 西安郵電大學(xué) 信息中心， 陜西 西安 710121； 2. 西安郵電大學(xué) 計算機學(xué)院， 陜西 西安 710121；3. 西安郵電大學(xué) 無線網(wǎng)絡(luò)安全技術(shù)國家工程實驗室， 陜西 西安 710121；4. 高雄師范大學(xué) 軟件工程與管理學(xué)系， 臺灣 高雄 82444)

隨著移動終端的迅速發(fā)展，利用手機、平板電腦等設(shè)備進行移動辦公逐漸成為企業(yè)日常辦公的趨勢。據(jù)Newzoo2018年全球移動市場報告[1]，智能手機用戶將達到33億，使用移動辦公的人員還在持續(xù)增加。Android操作系統(tǒng)具有開源性和可定制性，且兼容性強，已成為最受歡迎的操作系統(tǒng)之一。但是，仍有不少惡意的開發(fā)者利用Android操作系統(tǒng)的漏洞，獲取用戶隱私數(shù)據(jù)[2-3]、暴露用戶位置及相關(guān)信息，將惡意代碼植入到應(yīng)用程序中，導(dǎo)致企業(yè)用戶遭受到威脅和傷害[4-5]。因此，為了提高移動辦公的安全性，并完善移動設(shè)備管控的功能，開發(fā)合理的移動設(shè)備管控系統(tǒng)(mobile device management,MDM)[6]尤為重要。

目前，已有的Android移動設(shè)備管控方法[7]，可對相機、藍牙、WiFi和惡意應(yīng)用等功能全面管控，通過調(diào)用Android系統(tǒng)提供的應(yīng)用程序編程接口(application programming interface, API)實現(xiàn)相應(yīng)管控功能，但是管控功能均在應(yīng)用層實現(xiàn)，是從軟件層面對功能進行管控；基于Android的移動終端安全管理系統(tǒng)[8]，是將可信平臺模塊嵌入移動終端，通過可信計算的思想加固移動終端，對用戶口令、設(shè)備、用戶識別模塊(subscriber identification module,SIM)卡進行綁定，從而進行功能管控。上述兩種管控系統(tǒng)均未從Android系統(tǒng)底層源碼修改策略文件實現(xiàn)對相關(guān)權(quán)限的全面管控，而對系統(tǒng)內(nèi)核層實現(xiàn)權(quán)限管控是最為安全且徹底的管控。

本文針對Android 9.0，根據(jù)SELinux[9-10]安全機制和移動設(shè)備管控機制，設(shè)計一種基于SELinux的Android移動設(shè)備管控系統(tǒng)。通過修改Android開放源代碼項目，以期實現(xiàn)對設(shè)備的遠程管理，遠程獲取設(shè)備內(nèi)部信息、設(shè)備目錄、短信信息和通知富媒體推送；通過獲取并修改設(shè)備CPU頻率，實現(xiàn)對系統(tǒng)內(nèi)核策略的修改，從而進行權(quán)限控制以及應(yīng)用權(quán)限檢測。

1 SELinux與Android系統(tǒng)架構(gòu)

1.1 SELinux

SELinux是Linux內(nèi)核提供的強制訪問控制(mandatory access control,MAC)系統(tǒng)。由中央策略文件確定訪問控制決策的結(jié)果,并在類型強制服務(wù)器中合并多級安全性或一種可選的多類策略，采用基于角色的訪問控制概念[11-12]。SELinux 支持默認拒絕的原則，即任何未經(jīng)明確允許的行為都會被拒絕。它有兩種全局運行模式，(1)寬容模式：權(quán)限拒絕事件會被記錄下來，但不會被強制執(zhí)行；(2)強制模式：權(quán)限拒絕事件會被記錄下來并強制執(zhí)行。Android 系統(tǒng)中包含 SELinux(處于強制模式)和默認適用于整個Android開放源代碼(android open source project,AOSP)[13-14]的相應(yīng)安全政策。在強制模式下，非法操作會被阻止，并且嘗試進行的所有違規(guī)行為都會被內(nèi)核記錄到dmesg和logcat 中。

SELinux決策過程如圖1所示。當(dāng)應(yīng)用(Subject)嘗試訪問文件(object)時，內(nèi)核Kernel中的策略執(zhí)行服務(wù)器會對訪問向量緩存(access vector cache，AVC)進行檢查, 在AVC中，主題和對象的權(quán)限被緩存(cached)。如果基于訪問向量緩存中的數(shù)據(jù)無法做出有效決定，進而會請求安全服務(wù)器，安全服務(wù)器在一個矩陣中查找“應(yīng)用+文件”的安全環(huán)境。根據(jù)查詢的結(jié)果允許或拒絕訪問，拒絕消息細節(jié)位于/var/log/messages中。

圖1 SELinux決策過程

SELinux policy 是由核心的AOSP策略(平臺)和設(shè)備專用策略(供應(yīng)商)結(jié)合而成。SELinux policy 從Android 4.4 到Android 7.0 編譯時合并了所有的策略片段，然后在根目錄中生成單一文件。Android 8.0 和Android 9.0的平臺和供應(yīng)商是分開編譯，因此，芯片級系統(tǒng)(system on chip,SoC) 和原始設(shè)計制造商(original equipment manufacturer,OEM)可以各自更新它們的策略部分，編譯images (vendor.img, boot.img等),然后獨立更新這些images。

1.2 Android系統(tǒng)架構(gòu)

Android的系統(tǒng)架構(gòu)[15-16]包括應(yīng)用程序?qū)?、?yīng)用框架層、系統(tǒng)運行庫層和Linux內(nèi)核層等4層，系統(tǒng)架構(gòu)所含組件如圖2所示。

圖2 Android系統(tǒng)架構(gòu)組件

應(yīng)用程序?qū)影ㄏ到y(tǒng)附帶的用于電子郵件、短信、日歷、互聯(lián)網(wǎng)瀏覽和聯(lián)系人等核心應(yīng)用。應(yīng)用框架層是Android開發(fā)的基礎(chǔ)，多數(shù)核心應(yīng)用程序通過框架層實現(xiàn)其核心功能，可以直接使用其提供的組件進行快速的應(yīng)用程序開發(fā)，也可以通過繼承而實現(xiàn)個性化的拓展，例如提供活動管理器和內(nèi)容提供者等及用以訪問核心功能的API框架。系統(tǒng)運行庫層分為系統(tǒng)庫和Android應(yīng)用程序[17]，系統(tǒng)庫是應(yīng)用程序框架的支撐，作為紐帶將應(yīng)用程序框架層與Linux內(nèi)核層連接起來，例如提供多媒體庫及SQLite小型關(guān)系型數(shù)據(jù)庫等其他組件；Android應(yīng)用程序是通過Java語言開發(fā)使用，運行時分為核心庫和Dalvik虛擬機。Android系統(tǒng)是基于Linux內(nèi)核的，這一層為Android設(shè)備的各種硬件提供了底層的驅(qū)動，例如音頻、藍牙和無線模塊等，內(nèi)核存在于硬件與軟件之間，有強大的內(nèi)存管理和進程管理及其他功能。

2 系統(tǒng)架構(gòu)設(shè)計與實現(xiàn)

2.1 系統(tǒng)架構(gòu)

基于SELinux的Android移動設(shè)備管控系統(tǒng)由客戶端和服務(wù)器端兩部分組成?？蛻舳颂峁㊣P端口和服務(wù)端保持連接，與服務(wù)端使用Socket套接字進行通信連接，連接后保持服務(wù)端持續(xù)的遠程控制。系統(tǒng)架構(gòu)如圖3所示。

圖3 系統(tǒng)架構(gòu)

客戶端實現(xiàn)獲取并修改Android移動設(shè)備CPU頻率、獲取設(shè)備安裝程序列表、更新sepolicy文件實現(xiàn)對藍牙、近場通信(near field communication,NFC)、WiFi的權(quán)限控制以及應(yīng)用權(quán)限檢測的功能?？蛻舳伺c服務(wù)端之間進行信息傳遞時，使用國密算法SM4[18]進行加密，保護信息傳遞的安全性。服務(wù)端可以對移動設(shè)備進行遠程管理，推送通知或富媒體信息到客戶端，獲取設(shè)備基本信息、文件目錄和短信信息等。

2.2 系統(tǒng)設(shè)計與實現(xiàn)

客戶端使用Eclipse結(jié)合Android開發(fā)工具(Android developments tools,ADT)集成Android APIs進行設(shè)計。服務(wù)端是對Android遠程管理工具 (Android remote administration tool，AndroRAT)修改并添加新的管理功能。服務(wù)端具有跨平臺的特性，只需在安裝Java環(huán)境的電腦上運行即可。

2.2.1 客戶端功能實現(xiàn)

在客戶端功能實現(xiàn)過程中，Android設(shè)備CPU頻率的獲取是通過使用Java代碼讀取Android設(shè)備根目錄/sys/devices/system/cpu/cpu0/cpufreq文件中內(nèi)容，并顯示在TextView控件上；修改設(shè)備CPU頻率命令是通過使用Java代碼運行Android調(diào)試橋工具(Android debug bridge tools，ADB)命令進行修改。Android設(shè)備CPU頻率只有在userspace模式下用戶才可以擁有權(quán)限進行調(diào)頻，所以首先需要設(shè)置調(diào)頻模式為userspace。點擊調(diào)頻模式userspace按鈕，程序后臺會執(zhí)行"echo ”userspace”> /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor"命令，此命令的功能是切換調(diào)頻模式到userspace模式，然后點擊設(shè)置CPU最大頻率，將設(shè)備的CPU設(shè)置為最大頻率?？蛻舳送ㄟ^更改CPU頻率增加設(shè)備運行和數(shù)據(jù)處理速度。

獲取設(shè)備應(yīng)用信息功能是通過Android提供的PackageManager類，獲取PackageInfo信息，進而獲取應(yīng)用版本號，應(yīng)用版本名，最后獲取應(yīng)用名稱。主要獲取PackageInfo信息、ApplicationInfo信息和ActivityInfo信息，然后將獲取的結(jié)果通過ListView控件顯示在設(shè)備屏幕上。

從Android系統(tǒng)底層實現(xiàn)權(quán)限控制的功能需要修改sepolicy相關(guān)文件，而sepolicy策略文件在Android系統(tǒng)源碼AOSP/system/sepolicy下，通過Setools-Android工程經(jīng)過工具集合(native development kit，NDK)編譯可以產(chǎn)生一種讀取sepolicy文件的工具seinfo。在Android設(shè)備的adb shell模式下可以讀取sepolicy文件內(nèi)容， Android 9系統(tǒng)sepolicy文件讀取如圖4所示。

圖4 sepolicy文件讀取

權(quán)限控制的功能實現(xiàn)方法是通過對設(shè)備的sepolicy策略文件進行更新，可以禁止用戶使用藍牙、NFC和WiFi等組件。SELinux Policy語言將進程與資源都打上“標(biāo)簽”，通過“標(biāo)簽”將系統(tǒng)內(nèi)的資源(包括進程分成不同的角色)(比如：用戶、客體)，進而對整個系統(tǒng)資源(包括進程)進行合理安全的管控。SELinux的安全模型MAC有兩種管理機制，分別為TEAC(type enforcement access control)和RBAC(role based access control)。TE是SELinux的管理核心，所以從底層進行權(quán)限管理需要修改Android源碼中的te策略文件，SELinux的策略文件主要集中在源碼AOSP/system/sepolicy下，這是添加修改安全策略的所在路徑。修改AOSP/system/sepolicy/private下的bluetooth.te、nfc.te、wificond.te規(guī)則文件，對修改后的源碼進行編譯，提取AOSP/out/target/product/blueline下的新編譯生成的sepolicy文件并將其放在設(shè)備的 /sdcard目錄下。通過客戶端加載新的sepolicy文件實現(xiàn)權(quán)限控制的功能。

應(yīng)用權(quán)限檢測功能的實現(xiàn)是通過對設(shè)備所安裝的App程序檢測其安裝時授權(quán)的各個權(quán)限，每一項授權(quán)權(quán)限設(shè)置相應(yīng)的分數(shù)，獲取通訊錄或相冊信息等權(quán)限分數(shù)較高，獲取系統(tǒng)時間及電池電量等分數(shù)較低，然后進行獲取綜合計算得到權(quán)限檢測評估分數(shù)，分數(shù)小于5分為風(fēng)險低等，分數(shù)大于5分小于7分為風(fēng)險中等，分數(shù)大于7分為風(fēng)險高等。分數(shù)越低表明程序?qū)υO(shè)備要求的權(quán)限越少，分數(shù)越高表明程序要求的設(shè)備授權(quán)的權(quán)限越多，對程序授權(quán)的權(quán)限過多會對設(shè)備的隱私有影響。

2.2.2 服務(wù)端功能實現(xiàn)

在服務(wù)端功能實現(xiàn)過程中，設(shè)備信息獲取是通過Android源碼的Build和TelephonyManager類獲取設(shè)備基本信息，然后回傳到服務(wù)端，顯示在服務(wù)端界面；設(shè)備文件目錄是通過I/O流讀取Android系統(tǒng)特定目錄在/storage/emulated/0下；短信獲取是通過廣播接收器接收廣播進行獲?。煌ㄖ透幻襟w推送使用到了百度云推送的功能，具體實現(xiàn)方式是在項目libs文件夾下加入百度云推送jar架包文件，在Manifest文件中聲明service組件以及所需的相關(guān)的權(quán)限，后書寫代碼完成信息推送的功能。

3 系統(tǒng)功能驗證

系統(tǒng)功能驗證環(huán)境由客戶端環(huán)境和服務(wù)端環(huán)境兩部分組成?？蛻舳耸褂霉雀鑀ixel 3實驗設(shè)備，硬件采用高通驍龍845處理器、4GB運行內(nèi)存，內(nèi)置Android 9系統(tǒng)；服務(wù)端環(huán)境使用Win10系統(tǒng)，利用Eclipse搭建的服務(wù)端工程，定制客戶端應(yīng)用程序時使用的Linux(Ubuntu16.04)系統(tǒng)，實現(xiàn)對Android開放源代碼的修改編譯。

3.1 客戶端功能驗證

客戶端具有獲取并修改CPU頻率、獲取設(shè)備已安裝應(yīng)用程序列表、更新sepolicy策略文件實現(xiàn)對系統(tǒng)部分組件的權(quán)限管理等功能。將App應(yīng)用程序定制到Android 9源碼中，對修改后的源碼進行編譯產(chǎn)生系統(tǒng)鏡像后進行刷機，賦予客戶端系統(tǒng)應(yīng)用權(quán)限，且用戶無法卸載更改客戶端。啟動服務(wù)讓客戶端和服務(wù)端保持通信連接，停止服務(wù)則中斷雙方連接。客戶端主界面如圖5所示。

圖5 客戶端主界面

3.1.1 CPU控制

CPU控制活動界面設(shè)置有CPU調(diào)頻模式，點擊按鈕修改CPU調(diào)頻模式，修改模式有schedutil和userspace兩種。在schedutil模式下，設(shè)備會自動進行動態(tài)調(diào)頻，設(shè)備出廠默認是在此模式運行；而當(dāng)用戶運行在userspace模式下，用戶可以自由修改調(diào)節(jié)當(dāng)前設(shè)備CPU頻率，實現(xiàn)設(shè)置CPU的最大和最小頻率的功能。最大頻率會增加設(shè)備數(shù)據(jù)處理和運行軟件的速度，使設(shè)備時刻處于高頻率狀態(tài)；最小頻率會使設(shè)備運行速度變慢，減少電量損耗增加設(shè)備使用時間，用戶可以使用耗資源較少的App例如網(wǎng)頁、論壇等。在按鈕的下方設(shè)置TextView控件實時獲取設(shè)備CPU信息功能，如可以獲取到CPU的最大最小以及當(dāng)前頻率、CPU核數(shù)、CPU架構(gòu)和CPU調(diào)頻策略等信息。CPU控制如圖6所示。

圖6 CPU控制

為了驗證CPU頻率是否成功修改并有效果，首先設(shè)置設(shè)備CPU頻率為576 000 Hz，這是userspace模式下可設(shè)置的最低頻率，使用adb命令分別測試QQ、微信、支付寶、百度、淘寶、京東、優(yōu)酷和貼吧等8個App的啟動響應(yīng)時間。通過對比不同CPU頻率下打開App應(yīng)用的速度和總啟動響應(yīng)時間，判斷應(yīng)用修改頻率是否成功。

連接設(shè)備的adb shell模式，運行l(wèi)ogcat -b events -s am_activity_launch_time命令獲取App包名和activity名，運行am start -W packagename/activity命令獲取應(yīng)用響應(yīng)時間，獲取淘寶App啟動耗時如圖7所示。

圖7 淘寶App獲取應(yīng)用啟動響應(yīng)時間

TotalTime表示新應(yīng)用啟動的耗時，包括新進程的啟動和 Activity 的啟動是真正的啟動耗時。為了減少設(shè)備因功耗的原因影響設(shè)備的性能，在測試前，強制退出所有非系統(tǒng)應(yīng)用及相關(guān)服務(wù)，然后分別對每個應(yīng)用測試10次計算平均啟動耗時。計算頻率為576 000 Hz時打開App的啟動響應(yīng)時間，然后點擊設(shè)置CPU最大頻率按鈕(此功能將設(shè)備CPU頻率調(diào)至最大，Pixel 3設(shè)備的最大頻率為1 766 400 Hz)，分別計算點擊按鈕前后兩個頻率下打開應(yīng)用的時間，8個App應(yīng)用不同頻率下的啟動響應(yīng)時間如表1所示。由表1可見，頻率越高啟動應(yīng)用速度和數(shù)據(jù)處理速度越快，CPU頻率設(shè)置是有效的。

表1 應(yīng)用啟動響應(yīng)時間

3.1.2 獲取安裝應(yīng)用信息

點擊獲取設(shè)備App信息按鈕會出現(xiàn)設(shè)備程序列表，如圖8所示。獲取設(shè)備App信息功能可以獲取到安裝在設(shè)備中的系統(tǒng)應(yīng)用及非系統(tǒng)應(yīng)用。

圖8 獲取設(shè)備應(yīng)用程序信息

3.1.3 權(quán)限管理

更新的命令通過Java代碼調(diào)用adb命令執(zhí)行，程序加載預(yù)先編譯好的sepolicy策略文件，執(zhí)行的命令為load_policy /sdcard/sepolicy，實現(xiàn)的界面如圖9所示。

圖9 更新sepolicy策略文件

圖10為藍牙禁止界面。禁止藍牙后，設(shè)備的藍牙功能未能在附近找到新設(shè)備，無法顯示設(shè)備藍牙地址且藍牙傳輸功能被禁止。

圖10 藍牙禁止

3.1.4 應(yīng)用權(quán)限檢測

應(yīng)用權(quán)限檢測功能實現(xiàn)的結(jié)果如圖11所示。用戶通過查看每個應(yīng)用被計算后的分數(shù)，評判軟件風(fēng)險高低，根據(jù)權(quán)限檢測的結(jié)果卸載相應(yīng)的應(yīng)用，防止惡意軟件的破壞。

圖11 權(quán)限檢測功能

3.2 服務(wù)端功能驗證

服務(wù)端可以獲取到設(shè)備基本信息，發(fā)送實時信息顯示在設(shè)備上，獲取設(shè)備文件目錄，獲取設(shè)備短信信息，通過百度云推送服務(wù)推送通知和多媒體信息顯示到設(shè)備上?？蛻舳伺c服務(wù)端連接后，通過IP地址建立穩(wěn)定的連接，服務(wù)端可以發(fā)送命令到客戶端。

3.2.1 獲取設(shè)備信息

為了保證信息傳遞的安全性，在客戶端與服務(wù)端通信的過程中加入國產(chǎn)密碼算法SM4進行加密。服務(wù)端主界面如圖12所示，點擊圖中已連接的客戶端顯示的設(shè)備，可以獲取到設(shè)備具體信息。

服務(wù)端獲取到的部分信息如圖13所示，可獲取到設(shè)備SIM信息、設(shè)備IMEI號、設(shè)備WiFi狀態(tài)、設(shè)備運營商所在地以及Android設(shè)備專屬軟件開發(fā)工具包(software development kit,SDK)版本等信息。Android SDK提供的了一些API接口，例如有TelephonyManager()、ConnectivityManager ()等，通過這些接口程序可以調(diào)用設(shè)備的基本信息。

3.2.2 獲取設(shè)備文件目錄

獲取的設(shè)備底層文件目錄如圖14所示，通過對Android系統(tǒng)底層文件類的訪問獲取具體列表信息并下載指定文件到相應(yīng)位置。Android系統(tǒng)為開發(fā)者提供了訪問內(nèi)部存儲的API方法，通過getExternalStorageDirectory()方法獲取到的路徑為/storage/emulated/0。

3.2.3 短信獲取

設(shè)備的短信信息獲取如圖15所示。在服務(wù)端顯示獲取短信的具體信息，注冊廣播接收器接收廣播，管理者可以對其設(shè)備短信進行管控。

圖12 服務(wù)端主界面

圖13 設(shè)備基本信息獲取

圖14 獲取設(shè)備文件目錄

圖15 短信信息獲取

3.2.4 通知富媒體推送

點擊普通通知，設(shè)備會立刻進入App；點擊富媒體通知，可以看到圖文并茂的頁面，增加了用戶信息量的獲取，然后再選擇性地進入App。由百度提供的SDK開發(fā)完成，需要在百度云推送平臺注冊一個開發(fā)者賬戶，建立推送的工程并正確集成Android SDK，生成應(yīng)用的ApiKey和SecretKey, 在代碼中ApiKey需要手動修改為指定應(yīng)用的ApiKey，書寫調(diào)試代碼完成此功能。圖16為成功的通知與富媒體推送。

綜上功能驗證的結(jié)果，客戶端中CPU控制、獲取應(yīng)用信息、權(quán)限管理以及應(yīng)用權(quán)限檢測的功能都可實現(xiàn)并使用；服務(wù)端實現(xiàn)對設(shè)備的遠程管控的功能，表明其系統(tǒng)軟件功能正常且運行良好。

圖16 通知與富媒體推送

4 結(jié)語

基于SELinux的Android移動設(shè)備管控系統(tǒng)，客戶端通過獲取并修改設(shè)備的CPU頻率，更新sepolicy策略文件，從Android系統(tǒng)內(nèi)核進行相關(guān)組件的權(quán)限控制，并對設(shè)備App進行應(yīng)用權(quán)限檢測；服務(wù)端則實現(xiàn)了對設(shè)備的遠程管控。驗證結(jié)果表明，該系統(tǒng)軟件運行良好，客戶端與服務(wù)端的功能均可實現(xiàn)，可實現(xiàn)對移動辦公設(shè)備的有效管控。