Android中如何通过强制设备管理策略创建一个安全敏感的应用程序

最新推荐文章于 2020-09-29 21:43:43 发布
最新推荐文章于 2020-09-29 21:43:43 发布
阅读量1.2k 收藏
点赞数
分类专栏: 安卓

作者:zachgenius
原文链接: http://docs.eoeandroid.com/training/enterprise/device-management-policy.html
完成时间:2012-9-4

自从Android 2.2(API等级8),Android平台通过设备管理API提供了系统级的设备管理能力。

这节课中,你将会学到如何通过强制设备管理策略创建一个安全敏感的应用程序。具体来说,程序可以被如此配置,比如它可以在给用户显示受限制的内容之前,确保设置一个足够强度的屏保锁密码。

定义并声明你的策略

首先你需要定义一种在功能层面提供支持的策略。这些策略可以覆盖到屏幕锁密码强度、过期延时、以及加密等等方面。

你必须在res/xml/device_admin.xml 中声明所选择的策略集,它将会被程序强制实行。Android manifest也将引用声明的策略集。

每个声明的策略对应于*DevicePolicyManager* 中的一些相关设备的策略方法(例如定义最小密码长度或最少大写字母数量)。如果一个程序尝试调用在XML中没有对应策略的方法,这将会在运行时导致一个*SecurityException*异常。如果程序打算管理其他策略,那么其他权限,例如'_强制锁(force-lock) ,就会发挥作用。正如你将要看到的,作为设备管理员激活处理(the device administrator activation process)的一部分,声明策略的列表将会在系统屏幕上显示给用户。

如下代码片段在res/xml/device_admin.xml中声明了密码限制策略:

1
2
3
4
5
 
<device-admin xmlns:android="http://schemas.android.com/apk/res/android">
    <uses-policies>
        <limit-password />
    </uses-policies>
</device-admin>

在Android manifest引用到的XML策略声明:

1
2
3
4
5
6
7
8
 
<receiver android:name=".Policy$PolicyAdmin"
    android:permission="android.permission.BIND_DEVICE_ADMIN">
    <meta-data android:name="android.app.device_admin"
        android:resource="@xml/device_admin" />
    <intent-filter>
        <action android:name="android.app.action.DEVICE_ADMIN_ENABLED" />
    </intent-filter>
</receiver>

创建一个设备管理接收者(Receiver)

创建一个设备管理广播接收者(broadcast receiver),它能接收到与你声明支持的策略有关的事件的通知。一个程序可以有选择地重写回调函数。

在同样的程序中,Device Admin,当设备管理员(device administrator)账户被用户设置为禁用时,配置好的策略就会从shared preference中擦除。你应该考虑实现与你的应用情况有关的业务逻辑。例如,你的程序可能会采取一些行动来减轻安全风险,比如通过结合实现删除设备上的敏感数据,禁用远程同步,提醒管理员,等等。

为了让广播接收者能够工作,请务必在Android manifest中注册在上面的代码片段所示的内容。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
 
public static class PolicyAdmin extends DeviceAdminReceiver {

    @Override
    public void onDisabled(Context context, Intent intent) {
        // Called when the app is about to be deactivated as a device administrator.
        // Deletes previously stored password policy.
        super.onDisabled(context, intent);
        SharedPreferences prefs = context.getSharedPreferences(APP_PREF, Activity.MODE_PRIVATE);
        prefs.edit().clear().commit();
    }
}

激活设备管理员

在强制执行任何策略之前,用户需要手动将程序激活为设备管理员,下面的程序片段显示了如何在触发设置activity,在这里用户可以激活你的程序。

功能1. 用户激活视图,在这里你可以显示你的设备策略的解释。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
 
if (mPolicy.isAdminActive()) {

    Intent activateDeviceAdminIntent =
        new Intent(DevicePolicyManager.ACTION_ADD_DEVICE_ADMIN);

    activateDeviceAdminIntent.putExtra(
        DevicePolicyManager.EXTRA_DEVICE_ADMIN,
        mPolicy.getPolicyAdmin());

    // It is good practice to include the optional explanation text to
    // explain to user why the application is requesting to be a device
    // administrator. The system will display this message on the activation
    // screen.
    activateDeviceAdminIntent.putExtra(
        DevicePolicyManager.EXTRA_ADD_EXPLANATION,
        getResources().getString(R.string.device_admin_activation_message));

    startActivityForResult(activateDeviceAdminIntent,
        REQ_ACTIVATE_DEVICE_ADMIN);
}

如果用户选择"Activate",程序就会成为设备管理员并且可以开始配置及强制执行策略。

该程序也需要做好处理用户放弃激活的重置状态的准备,比如点击“取消”按钮,返回键或者HOME键。因此策略设置Activity中的* onResume()* 方法需要有业务逻辑来重新评估这种情况,并展现给用户设备管理激活选项给用户,如果有必要的话。

实现设备策略控制器

在设备管理员被成功激活后,程序就会根据请求的策略来配置设备策略管理器。要记住新的策略在每次发布时都要在Android中添加好。在你的程序中做好平台版本检查,来检测新的策略能否被老版本平台很好的支持。例如,“密码最少大写字符数”策略只有在高于API等级11(Honeycomb)才被支持、以下代码演示了如何在运行时检查版本。

1
2
3
4
5
6
7
8
9
 
DevicePolicyManager mDPM = (DevicePolicyManager)
        context.getSystemService(Context.DEVICE_POLICY_SERVICE);
ComponentName mPolicyAdmin = new ComponentName(context, PolicyAdmin.class);
...
mDPM.setPasswordQuality(mPolicyAdmin, PASSWORD_QUALITY_VALUES[mPasswordQuality]);
mDPM.setPasswordMinimumLength(mPolicyAdmin, mPasswordLength);
if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.HONEYCOMB) {
    mDPM.setPasswordMinimumUpperCase(mPolicyAdmin, mPasswordMinUpperCase);
}

这样程序就可以执行策略了。当程序无法访问使用的正确的锁屏密码的时候,通过设备策略管理器(Device Policy Manager)API可以判定目前的密码是否适用于请求的策略。如果目前的锁屏密码不符合策略,设备管理(device administration)API不会自动改正。明确地启动设置程序中系统密码更改界面是应用程序的责任。例如:

1
2
3
4
5
6
7
 
if (mDPM.isActivePasswordSufficient()) {
    ...
    // Triggers password change screen in Settings.
    Intent intent =
        new Intent(DevicePolicyManager.ACTION_SET_NEW_PASSWORD);
    startActivity(intent);
}

一般来说,用户可以从可用的锁机制中任选一个,例如“无”,“图案”,“PIN码”(数字),或密码(字母数字)。当一个密码策略配置好后,那些比定义于密码策略弱的密码会被禁用。比如,如果配置了“数字”密码级别,那么用户既可以选PIN码(数字)或者密码(字母数字)。

一旦设备通过设置适当的屏锁密码保护好,应用程序便被允许访问受保护的内容。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
 
if (mDPM.isAdminActive(..)) {
    // Activates device administrator.
    ...
} else if (mDPM.isActivePasswordSufficient()) {
    // Launches password set-up screen in Settings.
    ...
} else {
    // Grants access to secure content.
    ...
    startActivity(new Intent(context, SecureActivity.class));
}
echotina
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android安全机制
08-15
Android安全机制是Android操作系统的核心组成部分,它通过一系列的策略和组件来保护用户数据、应用程序以及整个系统的安全性。作为开发者,理解和掌握这些机制至关重要,因为它们直接影响到应用的性能、隐私和用户...
Android Security Cookbook
09-17
本书通过一系列实用的案例(recipes),深入探讨了Android平台的安全机制,并提供了针对应用程序及不同Android操作系统版本常见漏洞的解决方法。此书对于希望了解Android安全特性的开发人员、安全研究人员以及对...
Android 系统进入设置项需要输入密码
lancelots的博客
12-18 4862
进入系统设置输入密码是由客户提到这点,所以这里我定制了这个功能,说一下我的思路:     进入设置我让客户先进到关于平板的选项里,在关于平板的选项里第一条就是设置管控,点击设备管控会弹出输入密码框的提示,输入正确密码,然后退出关于平板界面,就可以看到设置里所有的选项了~ 修改的文件我列出清单:  1.packages/apps/Settings/AndroidManifest.xml  2.p...
Android屏幕锁定详解完整版(二)
weixin_34112900的博客
02-28 183
最近有朋友问屏幕锁定的问题,小马自己也在学习,网上找了下也没太详细的例子,看的资料书上也没有有关屏幕锁定程序的介绍,下个小决心,自己照着官方文档学习下,现在做好了,小马废话不多说,先发下截图,看下效果,需要注意的地方小马会加注释,有问题的朋友可以直接留言,我们共同学习交流,共同提高进步!直接看效果图: 一:未设置密码时进入系统设置的效果图如下: 二:运行D...
Android 锁屏 DevicePolicyManager
windlake的专栏
12-18 2201
http://sunney2012.iteye.com/blog/1160841 Java代码   /**    * Make the device lock immediately, as if the lock screen timeout has    * expired at the point of this call.    *
Enhancing Security with Device Management Policies 加强安全设备管理策略 Developing for Enterprise...
移动开发记录
05-03 92
Since Android 2.2 (API level 8), the Android platform offers system-level device management capabilities through the Device Administration APIs. the application can be configured such that it ensures...
谈谈Android 安全策略SElinux
fhaitao900310的博客
09-29 4074
不积跬步无以至千里,补全自己的短板,完善体系,虽然是站在巨人的肩膀上,写这篇文章也算是对这个知识点的总结。 一,背景 SElinux出现之前,Linux上的安全模型叫DAC(Discretionary Access Control 自主访问控制),它的核心思想就是:进程拥有的权限与执行它的用户权限相同,比如,以root用户启动camera, 那么camera就拥有root的用户权限,我们知道root的权限是很大的,可以说为所欲为。 所以DAC方式管理太过宽松,只要应用获得了root权限,可以在后台做很
锁屏 设备管理
10-25
- 自己仿造的设备管理应用:你可以创建一个自定义的设备管理应用,通过实现DeviceAdminReceiver类并注册到系统,来控制设备的锁屏策略和其他安全设置。你需要理解DevicePolicyManager的API并编写相应的回调方法...
android_devicepolicymanager
05-25
Android系统,DevicePolicyManager(设备策略管理器)是一个非常重要的组件,它允许应用程序扮演设备管理员的角色,从而对设备进行高级别的管理和控制。这些控制包括但不限于安全管理、数据保护、设备配置等,...
Android 8.1给app添加device admin(设备管理员)权限。
徘徊的风
12-25 7805
这两天要给自己的app加上设备管理员的权限,找了些资料,这篇介绍得挺详尽: https://blog.csdn.net/black_bird_cn/article/details/79735794 不过我并不需要用到那么多,只需要加上权限就可以了,所以从摘录了一部分: 一、代码: package lock.guardian; import android.a...
Android Q适配攻略(五)(存储权限变更)
递归安卓
04-28 6295
Android Q之提前适配攻略(一)(图标适配) Android Q之提前适配攻略(二)(后台定位适配) Android Q之提前适配攻略(三)(唯一标识符更改) Android Q之提前适配攻略(四)(后台Activity启动限制) Android Q之提前适配攻略(五)(读取权限变更) 数据隐私保护:沙盒机制 对于 Android 用户来说,这是一项非常优秀的改进。自从 A...
Android Q分区存储权限变更及适配
热门推荐
猫的阁楼
06-30 3万+
分区存储 在Android Q引入了分区储存功能,在外部存储设备为每个应用提供了一个“隔离存储沙盒”。其他应用无法直接访问应用的沙盒文件。由于文件是应用的私有文件,不再需要任何权限即可访问和保存自己的文件。此变更并有助于减少应用所需的权限数量,同时保证用户文件的隐私性。 权限变更 Android Q 更改了应用对设备外部存储设备的文件(如:/sdcard )的访问方式。继续使用 READ_E...
浅析Android 手机卫士设备管理权限锁屏
Robin Hu的专栏
11-09 2327
原文:http://www.aspku.com/kaifa/android/138459.html 设备管理员 Device Admin 获取DevicePolicyManager对象,通过getSystemService(DEVICE_POLICY_MANAGER),设备策略管理器 调用DevicePolicyManager对象的lockNow()方法,锁定,此时会报 安全
Android屏幕锁定实例源码详解教程二
Android小子的博客笔记
07-17 2286
最近有朋友问屏幕锁定的问题,自己也在学习,网上找了下也没太详细的例子,看的资料书上也没有有关屏幕锁定程序的介绍,下个小决心,自己照着官方文档学习下,现在做好了,废话不多说,先发下截图,看下效果,需要注意的地方会加注释,有问题的朋友可以直接留言,我们共同学习交流,共同提高进步!直接看效果图:一:未设置密码时进入系统设置的效果图如下: 二:运行DEMO,进入应用时: 三:设置密码方式预览:
Android 激活设备管理器后就无法再次打开设备管理器界面
风行天下
06-28 7961
Android系统的设备管理器功能在一定程度上可以阻止app被卸载。一旦某个app申请了系统设备管理器权限,并且被用户授予了此权限,那么用户必须先取消该app的此项权限才能卸载这个app。(此功能并不适用于所有机型,比如小米或者某些Android 6.0以上的华为手机。)App在申请了设备管理器权限时,可以调用如下方法打开设备管理器页面: public static void startDev
Android设备管理
oHeHeHou的专栏
04-27 4514
Android从API2.2开始提供了设备管理的API。可以实现以下功能: 一.密码管理 密码管理目前只用于屏幕解锁 密码管理提供的策略: 2.2API 1.最小密码长度      2.包含字母数字密码 3.至少包含字母   3.0 API 1.复杂密码(至少一个数字,一个字母,一个特殊符号 ) 2.最少字母 3.最少小写 4.最少非字母字符 5.最少数字 6.
androidQ Permission 权限破解合集
cczhengv
04-24 5025
前言 androidQ 权限部分做了略微改动,MTK 又增加了访问数据和 WLAN 网络权限控制,app 首次请求网络时会弹出权限框询问,大致原理就是第一次启动时扫描设备上已经安装的apk包名维护一个数据库,初始化时都为 CheckedPermRecord.STATUS_FIRST_CHECK,当首次请求网络时,拦截弹框授权。后面会详细分析,这里先跳过。 系统的运行时权限弹框风格做了调整,以前源...
Android 通过设备管理器成为管理员进行锁屏
xyyjxa的博客
06-27 1403
大多数情况下,大家在网络上能够找到很多通过DevicePolicyManager去获取DEVICE_POLICY_SERVICE 服务,然后通过startActivity去激活。但是这种有个弊端就是要跳出deviceAdmin 界面去激活。笔者今天为大家分享一个不用通过startActivity 去激活管理员的方法,但是前提是你要有system 权限。1、首先获取DevicePolicyManage
创建与运行你的第一个Android应用程序
"运行Android应用程序-03 第一个Android程序" 在学习Android应用程序开发的过程,第一步通常是创建并运行你的第一个应用程序。这个过程涵盖了从启动Eclipse到构建项目,再到理解项目结构和运行应用的基本步骤。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值