1.简介
安全子系统为OpenHarmony提供有效保护应用和用户数据的能力。
主要功能: 系统安全、数据安全、应用安全等;
目前开源功能: 应用完整性保护、应用权限管理、设备认证、密钥管理服务、数据分级保护;
应用权限管理: 为程序框架子系统提供权限管理功能,并且为上层应用提供权限申请和授权状态查询接口。
本文将介绍标准系统下安全子系统应用权限管理部分如何在系统内适配及实现,尽力深入细节部分。
1.1 OpenHarmony 架构图
1.2 安全子系统
1.3 应用权限管理
OpenHarmony中应用和系统服务均运行在独立的沙箱中,进程空间和程序数据都是相互隔离的,以保护应用数据的安全性;但是运行在独立沙箱中的服务或应用同时需要对外提供一些API以实现所需功能,其他独立沙箱中的应用在跨进程访问这些API时,需要系统提供一种权限管理机制对这些API的访问者进行授权。
应用权限管理提供了权限定义机制,允许系统服务和应用为自己的敏感API定义新的权限,其他应用必须申请此权限才能访问此敏感API;
应用权限管理提供了权限申请机制,允许应用申请权限,这些权限由系统或者其他应用定义,权限申请通过后就能访问这个权限相关的系统或其他应用提供的敏感API;
应用权限管理也为用户提供了一些必须的功能,方便用户查看和管理权限授予情况。
2.基础知识
2.1 代码结构
- /base/security/permission
- ├── frameworks # 基础设施层
- │ └── permission_standard # 标准系统权限管理基础设施层
- ├── interfaces # 接口层
- │ ├── innerkits # 内部接口层
- │ │ ├── permission_lite # 轻量系统、小型系统权限管理内部接口层
- │ │ └── permission_standard # 标准系统权限管理内部接口层
- │ └── kits # 外部接口层
- │ ├── permission_lite # 轻量系统、小型系统权限管理外部接口层
- │ └── permission_standard # 标准系统权限管理外部接口层
- └── services # 服务层
- ├── permission_lite # 轻量系统、小型系统权限管理服务层
- └── permission_standard # 标准系统权限管理服务层
2.2 SystemAbility
应用权限管理模块是以SystemAbility的形式对外提供能力的,在分布式任务调度子系统中safwk组件定义OpenHarmony中SystemAbility的实现方法,并提供启动、注册等接口实现。
实现一个SystemAbility需要六个步骤:
1)定义该服务对外提供的能力集合函数
- namespace OHOS {
- class IListenAbility : public IRemoteBroker {
- public:
- virtual int AddVolume(int volume) = 0;
- public:
- enum {
- ADD_VOLUME = 1,
- };
- public:
- DECLARE_INTERFACE_DESCRIPTOR(u"OHOS.test.IListenAbility");
- };
- }
2) 定义客户端通信代码XXXProxy
- namespace OHOS {
- class ListenAbilityProxy : public IRemoteProxy {
- public:
- int AddVolume(int volume);
- explicit ListenAbilityProxy(const sptr& impl)
- : IRemoteProxy(impl)
- {
- }
- private:
- static inline BrokerDelegator delegator_;
- };
- } // namespace OHOS
3) 定义服务端通信代码XXXStub
- namespace OHOS {
- int32_t ListenAbilityStub::OnRemoteRequest(uint32_t code,
- MessageParcel& data, MessageParcel &reply, MessageOption &option)
- {
- switch (code) {
- case ADD_VOLUME: {
- return reply.WriteInt32(AddVolume(data.ReadInt32()));
- }
- default:
- return IPCObjectStub::OnRemoteRequest(code, data, reply, option);
- }
- }
- }
4)SystemAbility的实现类
- namespace {
- constexpr OHOS::HiviewDFX::HiLogLabel LABEL = {LOG_CORE, 0xD001800, "SA_TST"};
- }
- REGISTER_SYSTEM_ABILITY_BY_ID(ListenAbility, DISTRIBUTED_SCHED_TEST_LISTEN_ID, true);
- ListenAbility::ListenAbility(int32_t saId, bool runOnCreate) : SystemAbility(saId, runOnCreate)
- {
- HiLog::Info(LABEL, ":%s called", __func__);
- HiLog::Info(LABEL, "ListenAbility()");
- }
- ListenAbility::~ListenAbility()
- {
- HiLog::Info(LABEL, "~ListenAbility()");
- }
- int ListenAbility::AddVolume(int volume)
- {
- pid_t current = getpid();
- HiLog::Info(LABEL, "ListenAbility::AddVolume volume = %d, pid = %d.", volume, current);
- return (volume + 1);
- }
- void ListenAbility::OnDump()
- {
- }
- void ListenAbility::OnStart()
- {
- HiLog::Info(LABEL, "ListenAbility::OnStart()");
- HiLog::Info(LABEL, "ListenAbility:%s called:-----Publish------", __func__);
- bool res = Publish(this);
- if (res) {
- HiLog::Error(LABEL, "ListenAbility: res == false");
- }
- HiLog::Info(LABEL, "ListenAbility:%s called:AddAbilityListener_OS_TST----beg-----", __func__);
- AddSystemAbilityListener(DISTRIBUTED_SCHED_TEST_OS_ID);
- HiLog::Info(LABEL, "ListenAbility:%s called:AddAbilityListener_OS_TST----end-----", __func__);
- HiLog::Info(LABEL, "ListenAbility:%s called:StopAbility_OS_TST----beg-----", __func__);
- StopAbility(DISTRIBUTED_SCHED_TEST_OS_ID);
- HiLog::Info(LABEL, "ListenAbility:%s called:StopAbility_OS_TST----end-----", __func__);
- return;
- }
- void ListenAbility::OnStop()
- {
5)SystemAbility配置
以c++实现的SA必须配置相关System Ability的profile配置文件才会完成SA的加载注册逻辑,否则没有编写profile配置的System Ability不会完成注册。配置方法如下:
在子系统的根目录新建一个以sa_profile为名的文件夹;然后在此文件夹中新建两个文件:一个以serviceId为前缀的xml文件;另外一个为BUILD.gn文件
- "1.0" encoding="UTF-8"?>
-
listen_test
- <name>serviceidname>
- /system/lib64/liblistentest.z.so
如果您对该产品感兴趣,请填写办理(客服微信:xiaoxiongyidong)
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。