OpenHarmony 源码解析之安全子系统 (应用权限管理)

1.简介

安全子系统为OpenHarmony提供有效保护应用和用户数据的能力。

主要功能： 系统安全、数据安全、应用安全等;

目前开源功能： 应用完整性保护、应用权限管理、设备认证、密钥管理服务、数据分级保护;

应用权限管理： 为程序框架子系统提供权限管理功能，并且为上层应用提供权限申请和授权状态查询接口。

本文将介绍标准系统下安全子系统应用权限管理部分如何在系统内适配及实现，尽力深入细节部分。

1.1 OpenHarmony 架构图

1.2 安全子系统

1.3 应用权限管理

OpenHarmony中应用和系统服务均运行在独立的沙箱中，进程空间和程序数据都是相互隔离的，以保护应用数据的安全性;但是运行在独立沙箱中的服务或应用同时需要对外提供一些API以实现所需功能，其他独立沙箱中的应用在跨进程访问这些API时，需要系统提供一种权限管理机制对这些API的访问者进行授权。

应用权限管理提供了权限定义机制，允许系统服务和应用为自己的敏感API定义新的权限，其他应用必须申请此权限才能访问此敏感API;

应用权限管理提供了权限申请机制，允许应用申请权限，这些权限由系统或者其他应用定义，权限申请通过后就能访问这个权限相关的系统或其他应用提供的敏感API;

应用权限管理也为用户提供了一些必须的功能，方便用户查看和管理权限授予情况。

2.基础知识

2.1 代码结构

1. /base/security/permission
2. ├── frameworks # 基础设施层
3. │ └── permission_standard # 标准系统权限管理基础设施层
4. ├── interfaces # 接口层
5. │ ├── innerkits # 内部接口层
6. │ │ ├── permission_lite # 轻量系统、小型系统权限管理内部接口层
7. │ │ └── permission_standard # 标准系统权限管理内部接口层
8. │ └── kits # 外部接口层
9. │ ├── permission_lite # 轻量系统、小型系统权限管理外部接口层
10. │ └── permission_standard # 标准系统权限管理外部接口层
11. └── services # 服务层
12. ├── permission_lite # 轻量系统、小型系统权限管理服务层
13. └── permission_standard # 标准系统权限管理服务层

2.2 SystemAbility

应用权限管理模块是以SystemAbility的形式对外提供能力的，在分布式任务调度子系统中safwk组件定义OpenHarmony中SystemAbility的实现方法，并提供启动、注册等接口实现。

实现一个SystemAbility需要六个步骤：

1)定义该服务对外提供的能力集合函数

1. namespace OHOS {
2. class IListenAbility : public IRemoteBroker {
3. public:
4. virtual int AddVolume(int volume) = 0;
5.  
6. public:
7. enum {
8. ADD_VOLUME = 1,
9. };
10. public:
11. DECLARE_INTERFACE_DESCRIPTOR(u"OHOS.test.IListenAbility");
12. };
13. }

2) 定义客户端通信代码XXXProxy

1. namespace OHOS {
2. class ListenAbilityProxy : public IRemoteProxy {
3. public:
4. int AddVolume(int volume);
5.  
6. explicit ListenAbilityProxy(const sptr& impl)
7. : IRemoteProxy(impl)
8. {
9. }
10.  
11. private:
12. static inline BrokerDelegator delegator_;
13. };
14. } // namespace OHOS

3) 定义服务端通信代码XXXStub

1. namespace OHOS {
2. int32_t ListenAbilityStub::OnRemoteRequest(uint32_t code,
3. MessageParcel& data, MessageParcel &reply, MessageOption &option)
4. {
5. switch (code) {
6. case ADD_VOLUME: {
7. return reply.WriteInt32(AddVolume(data.ReadInt32()));
8. }
9. default:
10. return IPCObjectStub::OnRemoteRequest(code, data, reply, option);
11. }
12. }
13. }

4)SystemAbility的实现类

1. namespace {
2. constexpr OHOS::HiviewDFX::HiLogLabel LABEL = {LOG_CORE, 0xD001800, "SA_TST"};
3. }
4.  
5. REGISTER_SYSTEM_ABILITY_BY_ID(ListenAbility, DISTRIBUTED_SCHED_TEST_LISTEN_ID, true);
6.  
7. ListenAbility::ListenAbility(int32_t saId, bool runOnCreate) : SystemAbility(saId, runOnCreate)
8. {
9. HiLog::Info(LABEL, ":%s called", __func__);
10. HiLog::Info(LABEL, "ListenAbility()");
11. }
12.  
13. ListenAbility::~ListenAbility()
14. {
15. HiLog::Info(LABEL, "~ListenAbility()");
16. }
17.  
18. int ListenAbility::AddVolume(int volume)
19. {
20. pid_t current = getpid();
21. HiLog::Info(LABEL, "ListenAbility::AddVolume volume = %d, pid = %d.", volume, current);
22. return (volume + 1);
23. }
24.  
25. void ListenAbility::OnDump()
26. {
27. }
28.  
29. void ListenAbility::OnStart()
30. {
31. HiLog::Info(LABEL, "ListenAbility::OnStart()");
32. HiLog::Info(LABEL, "ListenAbility:%s called:-----Publish------", __func__);
33. bool res = Publish(this);
34. if (res) {
35. HiLog::Error(LABEL, "ListenAbility: res == false");
36. }
37. HiLog::Info(LABEL, "ListenAbility:%s called:AddAbilityListener_OS_TST----beg-----", __func__);
38. AddSystemAbilityListener(DISTRIBUTED_SCHED_TEST_OS_ID);
39. HiLog::Info(LABEL, "ListenAbility:%s called:AddAbilityListener_OS_TST----end-----", __func__);
40.  
41. HiLog::Info(LABEL, "ListenAbility:%s called:StopAbility_OS_TST----beg-----", __func__);
42. StopAbility(DISTRIBUTED_SCHED_TEST_OS_ID);
43. HiLog::Info(LABEL, "ListenAbility:%s called:StopAbility_OS_TST----end-----", __func__);
44. return;
45. }
46.  
47. void ListenAbility::OnStop()
48. {

5)SystemAbility配置

以c++实现的SA必须配置相关System Ability的profile配置文件才会完成SA的加载注册逻辑，否则没有编写profile配置的System Ability不会完成注册。配置方法如下：

在子系统的根目录新建一个以sa_profile为名的文件夹;然后在此文件夹中新建两个文件：一个以serviceId为前缀的xml文件;另外一个为BUILD.gn文件

1. "1.0" encoding="UTF-8"?>
3. listen_test
5. <name>serviceidname>
6. /system/lib64/liblistentest.z.so
7. on-create>trueon-create>
8. false
9. level>1level>
10.  
11.  

BUILD.gn：

1. import("//build/ohos/sa_profile/sa_profile.gni")
2. ohos_sa_profile("xxx_sa_profile") {
3. sources = [
4. "serviceid.xml"
5. ]
6. subsystem_name = "distributedschedule"
7. }

6)rc配置文件

rc配置文件为linux提供的native进程拉起策略，为手机在开机启动阶段由init进程解析配置的rc文件进行拉起

1. service listen_test /system/bin/sa_main /system/profile/listen_test.xml
2. class z_core
3. user system
4. group system shell
5. seclabel u:r:xxxx:s0

2.3 接口说明

标准系统用户程序框架子系统提供权限管理基础校验能力，不对三方app开放，并提供如下API

3.内部实现

3.1 类间关系

IPermissionManager：内部接口类

PermissionManagerProxy：IPC请求的代理类

PermissionManagerStub：IPC请求服务类

PermissionManagerClient：应用权限管理客户类

PermissionKit：组件对外接口类,真正对外提供STATIC接口函数

PermissionManagerService：应用权限功能服务类，调用PermissionStateManager和PermissionDefinitionManager

PermissionStateManager：真正的应用权限管理功能实现

PermissionDefinitionManager：真正的应用权限管理功能实现

3.2 内部逻辑

标准系统下应用权限管理功能是基于SAMgr管理框架实现，如何配置SAMgr框架见基础知识介绍，如果想学习更多细节参见SAMgr相关学习，这里专注于应用权限管理功能部分，并对代码逻辑关键节点进行分析和展示。

应用权限管理组件通过PermissionKit类以单例模式对外提供接口，PermissionKit类内部接口函数则调用PermissionManagerClient类，PermissionManagerClient则通过调用GetSystemAbility函数获取向SAMgr注册过的代理类单例PermissionManagerProxy。

代码如下：

1. sptr PermissionManagerClient::GetProxy() const
2. {
3. auto sam = SystemAbilityManagerClient::GetInstance().GetSystemAbilityManager();
4. if (sam == nullptr) {
5. PERMISSION_LOG_DEBUG(LABEL, "%{public}s: GetSystemAbilityManager is null", __func__);
6. return nullptr;
7. }
8. // 获取Proxy
9. auto permissionSa = sam->GetSystemAbility(IPermissionManager::SA_ID_PERMISSION_MANAGER_SERVICE);
10. if (permissionSa == nullptr) {
11. PERMISSION_LOG_DEBUG(LABEL, "%{public}s: GetSystemAbility %{public}d is null", __func__,
12. IPermissionManager::SA_ID_PERMISSION_MANAGER_SERVICE);
13. return nullptr;
14. }
15.  
16. auto proxy = iface_cast(permissionSa);
17. if (proxy == nullptr) {
18. PERMISSION_LOG_DEBUG(LABEL, "%{public}s: iface_cast get null", __func__);
19. return nullptr;
20. }
21. return proxy;
22. }

在获取代理类PermissionManagerProxy后，PermissionManagerProxy内部不同功能接口函数会调用SendRequest函数发起IPC请求服务。

示例代码如下(删去省略部分)：

1. int PermissionManagerProxy::VerifyPermission(
2. const std::string& bundleName, const std::string& permissionName, int userId)
3. {
4. // 省略部分
5. .....................
6. // 发送请求服务
7. int32_t requestResult = remote->SendRequest(
8. static_cast(IPermissionManager::InterfaceCode::VERIFY_PERMISSION), data, reply, option);
9. if (requestResult != NO_ERROR) {
10. PERMISSION_LOG_ERROR(LABEL, "%{public}s send request fail, result: %{public}d", __func__, requestResult);
11. return PERMISSION_NOT_GRANTED;
12. }
13.  
14. int32_t result = reply.ReadInt32();
15. PERMISSION_LOG_DEBUG(LABEL, "%{public}s get result from server data = %{public}d", __func__, result);
16. return result;
17. }

其中接口类IPermissionManager中定义了IPC通信的请求码

示例代码如下(删去省略部分)：

1. class IPermissionManager : public IRemoteBroker {
2. public:
3. static const int SA_ID_PERMISSION_MANAGER_SERVICE = 3501;
4.  
5. DECLARE_INTERFACE_DESCRIPTOR(u"ohos.security.permission.IPermissionManager");
6.  
7. virtual int VerifyPermission(const std::string& bundleName, const std::string& permissionName, int userId) = 0;
8. // 省略部分
9. ................................
10. // 请求码
11. enum class InterfaceCode {
12. VERIFY_PERMISSION = 0xff01,
13. CAN_REQUEST_PERMISSION = 0xff02,
14. GRANT_USER_GRANTED_PERMISSION = 0xff03,
15. GRANT_SYSTEM_GRANTED_PERMISSION = 0xff04,
16. REVOKE_USER_GRANTED_PERMISSION = 0xff05,
17. REVOKE_SYSTEM_GRANTED_PERMISSION = 0xff06,
18. ADD_USER_GRANTED_REQ_PERMISSIONS = 0xff07,
19. ADD_SYSTEM_GRANTED_REQ_PERMISSIONS = 0xff08,
20. REMOVE_USER_GRANTED_REQ_PERMISSIONS = 0xff09,
21. REMOVE_SYSTEM_GRANTED_REQ_PERMISSIONS = 0xff10,
22. ADD_DEF_PERMISSIONS = 0xff11,
23. REMOVE_DEF_PERMISSIONS = 0xff12,
24. GET_DEF_PERMISSION = 0xff13,
25. };
26. };

PermissionManagerService类则由于继承了PermissionManagerStub，会在接口函数OnRemoteRequest函数接收到代理PermissionManagerProxy通过IPC通信发送的不同请求，进而进行处理。

示例代码如下：

1. int32_t PermissionManagerStub::OnRemoteRequest(
2. uint32_t code, MessageParcel& data, MessageParcel& reply, MessageOption& option)
3. {
4. PERMISSION_LOG_INFO(LABEL, "%{public}s called, code: %{public}d", __func__, code);
5. std::u16string descriptor = data.ReadInterfaceToken();
6. if (descriptor != IPermissionManager::GetDescriptor()) {
7. PERMISSION_LOG_ERROR(LABEL, "get unexpect descriptor: %{public}s", Str16ToStr8(descriptor).c_str());
8. return RET_FAILED;
9. }
10. switch (code) {
11. case static_cast(IPermissionManager::InterfaceCode::VERIFY_PERMISSION):
12. VerifyPermissionInner(data, reply);
13. break;
14. case static_cast(IPermissionManager::InterfaceCode::CAN_REQUEST_PERMISSION):
15. CanRequestPermissionInner(data, reply);
16. break;
17. case static_cast(IPermissionManager::InterfaceCode::GRANT_USER_GRANTED_PERMISSION):
18. GrantUserGrantedPermissionInner(data, reply);
19. break;
20. // 省略部分
21. .......
22.  
23. default:
24. return IPCObjectStub::OnRemoteRequest(code, data, reply, option);
25. }
26. return NO_ERROR;
27. }

最终PermissionManagerService则调用PermissionStateManager和PermissionDefinitionManager类所提供的函数做具体的功能实现。

4.总结

当今设备安全问题已经越来越引起不同行业的重视，OpenHarmney安全子系统作为系统基础能力之一对开发设备的安全性尤为重要，对系统框架开发来说很有必要学习其内部原理并对代码结构深入了解，本文档抛砖引玉介绍了标准系统下应用权限管理的相关逻辑框架，后续随着学习的深入将不断完善对安全子系统的解读。

原文链接：https://harmonyos.51cto.com