1、特定用于追踪朋友位置的组件举个例子,通过个网页服务,储存地理坐标,并且与其他应用共享这些坐标。用户接下来使用朋友观察器应用来检索已经储存的地理坐标并在地图上观察他的朋友的位置。这两个应用都包含了多种用于实现各自功能的组件这些组件自己是通过他们的组件类型分类的。个开发者从按照组件目的预定义的组件类型例如和用户交互或者储存数据中选择。组件类型定义了四个组件类型组件被定义为个应用的用户接口。具体来说,就是个应用程序开发者为每个屏幕定义个。开始另个,有可能传递或者接受个值。在同时间,系统中只有个拥有键盘并且运行着焦点。而所有其他的都被暂停着。组件执行背景运行。当个需要执行些必须在用户接口消失后仍然保。
2、在集合里,即使在同应用程序的组件,建立也会被拒绝。图描述了这种逻辑。开发人员通过伴随着每个应用程序包的文件来分配权限标签。这样做,使开发人员定义应用程序的安全政策,也就是说,分配个标签给指定了保护域的程序,反之,分配权限给指定个准入政策来保护它的资源的应用程序中的组件。由于政策执行是强制性的,与自由决定完全相反,所有的许可标签都是在安装时设定的并且不能改变,直到重新安装应用程序。然而,不考虑它的性能,的许可标签模式只限制访问组件而暂时不提供信息流的保证,如域类型的强制执行。安全性精炼的安全架构是基于以标签为导向的调解描述,但我们的描述是不完整的。排出部分的必要性,并部分为方便起见,谷歌设计的。
3、况下将信息展示给用户。尽管我们需要将这些组件放置在应用中,我们创建了个分开的应用来证明跨应用的通信。此外,通过将追踪和用户接口逻辑分离,我们可以创建有着不同展示和特点的交替式接口也就是说,许多应用可以重新使用中用到的逻辑。组件的交互对于组件交互的基础体制是,即包含了目的组件的地址和数据的消息对象。的定义了接收并使用其信息来开始个的方法开始个的方法,和开始个广播消息的方法。这些函数的调用告诉架构开始执行目标应用中的代码。这个内部组件的通信被称作。简单来说,个对象定义了来执行。的个最为强大的特点就是由机制带来的灵活性。尽管开发者可以通过使用应用的命名空间来为特定的目标组件寻址,但是他们也可以使用。
4、的时候,定要慎重。有安全意识的开发者应该明确定义打算设置为私有的组件的出口属性。隐式开放组件开发人员经常在上定义,以表明它们可以处理些类型的动作数据组合。回想下当个确定了且个图像引用被传递到启动活动的时,系统是如何找到个图像浏览器的例子。在这种情况下,调用者不能事先知道需要什么样的访问权限在开发时少得多。开发目标的开发者,可以通过不分配访问权限允许这样的功能,也就是说,如果个公共的组件不明确的在其清单定义中列出的访问权限,就允许任何应用程序访问它。虽然这个预设的政策规范实现了功能且易于开发,它也可能导致安全性差的做法而且他与和的默认故障安全原则相悖。回到我们的例子应用上,如果的广播接收机未分。
5、上服务。尽管像样在手机平台上达到了这个功能是十分不平凡的,许多研究者仍希望他能提供个没有遗留软件引起的并发症的干净的石板。并不官方的支持为其他平台开发的应用软件在中间层上方执行的应用软件实际是运行在个嵌入式的内核中,所以开发者若想将他们的应用传送到系统,则必须使用他们定制的用户接口环境。另外,通过把每个应用看做他自己的用户认证来运行,从而很好的限制了应用与他们的特殊的的交互。尽管这些交互的控制措施有些有益的安全特性,但是我们开发应用的体验揭露了设计安全的应用不总是简单而直接的。使用个简单的许可证标签分配模型来限制对信息源和其他应用的使用,但是由于必要性和方便性的原因,他的设计者在系统进化的时。
6、开发人员将其纳入几个精炼基本的安全模型,其中有些微妙的副作用,使得其整体安全性很难理解。公共与私有组件应用程序通常包含不能被其他应用访问的组件,例如,个设计用来返回用户输入的密码的可能被启动恶意。不用定义访问权限,开发者可以在文件设置出口属性为来,或让的通知,如果该组件应该从其定义的其他属性中指定为私人的,来使个组件私有。私有组件简化了安全规范。通过把个组件私有化,开发人员不需要担心分配哪个许可标签给他或者另个应用程序该如何获得该标签。任何应用程序可以访问未明确分配访问权限的组件,所以私人组件和推理规则的添加的发布,年月推出显着减少了许多应用程序的攻击面。然而,开发者在允许来确定个组件为私人。
7、持的功能例如下载个文件或者播放音乐的时候,通常开始个为这个操作特意定义的。开发这也可以把当做特定应用的守护进程使用,很有可能在启动时执行。经常为远程过程调用定义接口,其他系统组件可以用来发送命令并调用数据,同时缓冲回调。组件通过使用相关的数据库接口来储存并分享数据。每个都有个相关的授权用来描述它包含的内容。其他组件使用这个授权名作为访问数据库例如选择,插入,或者删除的把手,以此来读写内容。经过在数据库记录中储存值,数据的检索是独特的举个例子,文件同样通过接口来共享。组件扮演着其他应用消息的信箱的角色。通常来说,应用编写广播消息给个暗示的目的地。因此让这个目的地接收送往他的消息。应用的代码也可。
8、以为提供个确定的地址,通过包含分配给这个应用程序的命名空间即可。和应用所包含的不同类型的组件。开发者用文件具体化了组件。关于应用中每个类型的组件的数量是没有限制的,但是作为惯例,个组件与应用有相同的名字。常见的情况是,这里有个,就像在应用中。这个经常指示上个系统应用运行器用来开启用户接口的但是,运行器选择的特殊的实在中标记为元信息的。应用包含了这四种组件。的轮询个外部的来发现朋友的位置。在我们的示例代码中,我们随机的产这种设计的选择,开发不会影响其他应用或者是系统。个苹果手机中的类似脆弱性败给了越狱技术,他可以运行用户更换些下层系统的内容,也会是基于网络的开发对手利用这个瑕疵。是不被用户和进。
9、其他的手机提供厂商也保证或计划在不久的将来支持这个系统。大量的开发者围绕组成了开发社区,现在有很多新的产品和应用已经可以使用了。的主要卖点之就是允许开发者将网络设备无缝的延伸到手机上。这个功能最为显著的个例子,毫无疑问,就是将的,日历和通过系统功能连接网页应用的紧密集成。用户只需要申请个用户名和密码,然后他们的手机就可以自动的与的服务同步。其他的供应商也正在迅速的改变他们已有的即时通信,社交网络和游戏服务以适用于,还有许多其他的企业也正在寻找把它们自己的内部运行例如存货管理,购买,接收等等集成进去的方法。传统的电脑和服务器运行系统直致力于解决如何安全的将私人的和公司的应用集成到起并且在个平台。
10、候增加了几个潜在的混乱精炼。这篇文章意图揭开复杂的安全性的神秘面纱并且指出些可能发生在定义个应用的安全性时的开发陷阱。我们通过尝试借鉴些经验教训和为将来的能够为透明性和正确性提供帮助的功能改善定义机会来下结论。应用应用的架构为开发者规定了个结构。他没有个主要功能或者个单的执行入口替代这些的是,开发者必须以组件的形式设计应用程序。样例应用我们开发了些应用程序来帮助描述应用是怎么运行的。感兴趣的读者可以从我们的网站上下载这些源代码。我们来考虑个手机上的位置敏感的社交网络应用用户可以用它来定位朋友的位置。我们按照功能将它分成两个应用个用来跟踪朋友,另个用来观察他们。在功能种,朋友追踪这个应用包含了。
11、配个访问权限,任何非特权安装的应用程序可以伪造消息,这意味着个重要的安全性问题,关于英语程序基于通过传递的信息的决策。作为个般的做法,有安全意识的开发者应始终为公共组件分配访问权限,事实上,他们应该有个对于不分配的明确的理由。在这些条件下,应仔细检查所有的输入。生位置,但是将组件延伸到网页服务的接口上是简单明了的。的保存了朋友的最新地理位置坐标,为开始和停止追踪功能定义了个用户接口,而包含了个在系统启动的时候发送的通知应用通过它来自动启动程序。应用首要功能是展示关于朋友位置的信息。的列出了所有的朋友和他们的地理位置坐标,将他们展示在地图上。等待指示了手机本身临近个特定的朋友的信息,并在这种情。
12、边界限制的。事实上,所有的通过个特殊的设备节点的控制命令,发生。因为文件必须是对正确的操作可读且可写的,系统没有调解的方法。虽然用户分离是非常简单且容易理解的,控制是非常微妙,且需要认真考虑的。作为安全性强制执行规则的中心点,在中间层,通过推理分配给应用程序和组件的标签来调解所有的建立。个的参考监视器提供了关于应用程序如何访问组件的强制访问控制办法。最简单的形式是,通过分配访问权限的标签来限制对每个组件的访问这个文本字符串不必是唯的。开发者分配许可标签的应用集合。当个组件启动时,参考监视器检查分配给他包含的应用的的许可标签并且如果目标组件的访问权限在这个集合中并且允许的创建执行。如果标签不是。
参考资料:
1、该文档不包含其他附件(如表格、图纸),本站只保证下载后内容跟在线阅读一样,不确保内容完整性,请务必认真阅读。
2、有的文档阅读时显示本站(www.woc88.com)水印的,下载后是没有本站水印的(仅在线阅读显示),请放心下载。
3、除PDF格式下载后需转换成word才能编辑,其他下载后均可以随意编辑、修改、打印。
4、有的标题标有”最新”、多篇,实质内容并不相符,下载内容以在线阅读为准,请认真阅读全文再下载。
5、该文档为会员上传,下载所得收益全部归上传者所有,若您对文档版权有异议,可联系客服认领,既往收入全部归您。
安卓的机制与安全性(外文翻译)