沙箱模型是業界保證系統安全的關鍵安全技術,已經在瀏覽器等領域得到了成功應用。作爲優秀的開源移動平臺操作系統,Android也有相應的沙箱模型,本文將對其進行介紹。
一、沙箱模型原理簡介
現實中的沙箱(SandBox),是一種兒童玩具,類如KFC中一個裝滿小球的容器,兒童可以在其中隨意玩耍,起到保護兒童的作用。(也可以理解爲一種安全環境。)
近年來,隨着網絡安全問題的日益突出,人們更多的將沙箱技術應用於網上衝浪方面。從技術實現角度而言,就是從原有的阻止可疑程序對系統訪問,轉變成將可疑程序對磁盤、註冊表等的訪問重定向到指定文件夾下,從而消除對系統的危害。
舉個例子,GreenBorder爲IE和FireFox構建了一個安全的虛擬執行環境。用戶通過瀏覽器所作的任何寫磁盤操作,都將重定向到一個特定的臨時文件夾中。這樣,即使網頁中包含病毒,***,廣告等惡意程序,被強行安裝後,也只是安裝到了臨時文件夾中,不會對用戶pc造成危害。
對於程序開發中的Java技術來說,沙箱也具有很重要的安全意義。沙箱無論何時加載遠程網站上代碼並在本地執行,安全都是至關重要的問題。點擊一個鏈接可以啓動Java Web Start應用程序。訪問一個網頁時,其中的所有Applet也會自動地啓動。如果再點擊一個鏈接,或者訪問一個網頁時,在用戶的機器上能夠安裝任意的代碼,那麼犯罪分子就可能在此時竊聽機密信息、讀取財務數據或者接管用戶機器來發送廣告。 爲了確保Java技術不會被邪惡目的所利用,SUN公司在設計Java的時候,設計了一套精密的安全模型;即安全管理器(Security Manager)將檢查有權使用的所有系統資源。在默認的情況下,只允許那些無害的操作,要想允許執行其他操作,代碼需得到數字簽名,用戶必須得到數字認證。
特別是,在沙箱中的程序有下列限制:
- 不能運行任何本地可執行程序。
- 不能從本地計算機文件系統中讀取任何信息,也不能往本地計算機文件系統中寫入任何信息。
- 不能查看除Java版本信息和少數幾個無害的操作系統詳細信息外的任何有關本地計算機的信息。特別是,在沙箱中的代碼不能查看用戶名、E-mail地址等信息。
- 遠程加載的程序不能與除下載程序所在的服務器之外的任何主機通信,這個服務器被稱爲源主機(originating host)。這條規則通常稱爲“遠程代碼只能與家人通話”這條規則將會確保用戶不會被代碼探查到內部網絡資源(在Java SE 6 中,Java Web Start 應用程序可以與其他網絡連接,但必須得到用戶的同意)。
因此,近年來,沙箱技術非常盛行,如360瀏覽器等,都宣稱採用了沙箱技術來保證上網安全,而對於Android系統來說,也有意識地引入了這樣一個概念。
二、Android中的沙箱模型
在 Linux 中,一個用戶 ID 識別一個給定用戶;在 Android 上,一個用戶 ID 識別一個應用程序。應用程序在安裝時被分配用戶 ID,應用程序在設備上的存續期間內,用戶 ID 保持不變。權限是關於允許或限制應用程序(而不是用戶)訪問設備資源。
從本質上來說,Android 通過使用沙箱的概念來實現應用程序之間的分離和權限,以允許或拒絕一個應用程序訪問設備的資源,比如說文件和目錄、網絡、傳感器和 API。爲此,Android 使用一些 Linux 實用工具(比如說進程級別的安全性、與應用程序相關的用戶和組 ID,以及權限),來實現應用程序被允許執行的操作。
概念上講,沙箱可以表示爲 圖 1 所示。可以清楚地看到,兩個 Android 應用程序,各自在其自己的基本沙箱或進程上。
圖1
Android 應用程序運行在它們自己的 Linux 進程上,並被分配一個惟一的用戶 ID。默認情況下,運行在基本沙箱進程中的應用程序沒有被分配權限,因而防止了此類應用程序訪問系統或資源。但是 Android 應用程序可以通過應用程序的 manifest 文件請求權限。
通過做到以下兩點,Android 應用程序可以允許其他應用程序訪問它們的資源:
1) 聲明適當的 manifest 權限
2) 與其他受信任的應用程序運行在同一進程中,從而共享對其數據和代碼的訪問(如圖 2所示)。
圖2
不同的應用程序可以運行在相同的進程中。對於此方法,首先必須使用相同的私鑰簽署這些應用程序,然後必須使用 manifest 文件給它們分配相同的 Linux 用戶 ID,這可以通過用相同的值/名定義 manifest 屬性 android:sharedUserId 來做到。具體的私鑰簽署和權限相關的內容,請參看Android安全專欄中的相關文章,這裏不再贅述。