SEAndroid 介绍及其基本实现原理

1. 什么是SEAndroid


    SEAndroid(Security-Enhanced Android)是有美国国家安全局(NSA)开发的开源安全项目,是在谷歌Android 开源软件的基础上开发而来,主要是将原本运用在Linux操作系统上的MAC强制存取控管套件SELinux,移植到Android平台上。通过SELinux的MAC安全机制强化Android操作系统对App的存取控管,建立基于角色的安全管控机制,确保Android 内核及上层应用程序的安全运行。


    SELinux 是 2.6 版本的 Linux内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。SELinux 是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块,2000年以 GNU GPL 发布。

    

2. SEAndroid 的核心理念及工作原理

   SEAndroid的核心理念是基于角色的访问控制(Role-based access control,RBAC)是通用的安全模型,可以通过把角色分配给用户然后把权限分配给这些角色来简化管理。RBAC 在 Security-Enhanced Linux (SELinux) 中用作用户与底层类型增强(Type Enforcement,TE)模型之间的抽象层,用于提供细粒度的访问控制,但是并不是针对简化管理。

                        SEAndroid 介绍及其基本实现原理_第1张图片



                                         SEAndroid 介绍及其基本实现原理_第2张图片

3. SEAndroid 源代码下载及编译

3.1 源代码下载

    git clone https://bitbucket.org/seandroid/manifests.git
    mkdir seandroid
    cd seandroid
    repo init -u https://android.googlesource.com/platform/manifest
    repo sync
    cp ../manifests/local_manifest.xml .repo
    repo sync
3.2 源代码编译

为了可以在Nexus  5机器上运行,我们将编一个可以在Nexus  5上可以运行的调试版本。

编译之前请根据http://source.android.com/source/initializing.html 的要求对本地环境进行配置。

默认为Host 为Ubuntu x64位版本。

配置完成后执行下面命令,完成对seandriod的编译。

$cd seandroid

$. build/envsetup.sh

$lunch

选择hammerhead_userdebug 选项,

$make [-j8]

4. SEAndriod 在Nexus 5上的烧写及功能验证

     完成编译后,将在seandroid/out/target/product/hammerhead/下生产可以烧写到Nexus  5上的镜像文件。

     此时,连接Nexus  5手机,如果手机未解锁,需先解锁手机。

     解锁过程如下:

     1. 关闭nexus 5手机,同时按下开机+Volume up+Volume Down,手机进入烧写模式。

     2. 连接手机到Ubuntu

     3. 执行

            $fastboot unlock

        完成对手机的解锁。


     烧写编译好的seandroid 镜像。

     $fastboot -w flashall

     烧写完成后,nexus 5会自动重启,进入seandroid的系统界面。


 

你可能感兴趣的:(SEAndroid 介绍及其基本实现原理)