1、概述 

      Android 安全機制來源於Linux，並且以Linux許可權管理為基礎，要了解Android的安全機制，需要從linux中的安全機制瞭解開始，而使用者的許可權管理又是linux安全機制的最基本的一個組成. Android的創新之處是在linux使用者許可權管理的基礎之上建立了Android 程序的沙箱隔離機制.

2、linux中的使用者（UID）、組（GID）、程序（PID)

      在 Linux 中，一個使用者 UID 標示一個給定使用者。Linux系統中的使用者(UID)分為3類，即普通使用者、根使用者、系統使用者。

      普通使用者是指所有使用Linux系統的真實使用者，這類使用者可以使用使用者名稱及密碼登入系統。Linux有著極為詳細的許可權設定，所以一般來說普通使用者只能在其家目錄、系統臨時目錄或其他經過授權的目錄中操作，以及操作屬於該使用者的檔案。通常普通使用者的UID大於500，因為在新增普通使用者時，系統預設使用者ID從500開始編號。
      根使用者也就是root使用者，它的ID是0，也被稱為超級使用者，root賬戶擁有對系統的完全控制權：可以修改、刪除任何檔案，執行任何命令。所以root使用者也是系統裡面最具危險性的使用者，root使用者甚至可以在系統正常執行時刪除所有檔案系統，造成無法挽回的災難。所以一般情況下，使用root使用者登入系統時需要十分小心。
      系統使用者是指系統執行時必須有的使用者，但並不是指真實的使用者。比如在RedHat或CentOS下執行網站服務時，需要使用系統使用者apache來執行httpd程序，而執行MySQL資料庫服務時，需要使用系統使用者mysql來執行mysqld程序。在RedHat或CentOS下，系統使用者的ID範圍是1~499。下面給出的示例顯示的是目前系統執行的程序，第一列是執行該程序的使用者。

       組(GID)又是什麼呢？事實上，在Linux下每個使用者都至少屬於一個組。舉個例子：每個學生在學校使用學號來作為標識，而每個學生又都屬於某一個班級，這裡的學號就相當於UID，而班級就相當於GID。當然了，每個學生可能還會同時參加一些興趣班，而每個興趣班也是不同的組。也就是說，每個學生至少屬於一個組，也可以同時屬於多個組。在Linux下也是一樣的道理。

3、linux中程序的使用者管理 （PID與UID、GID的關係）

      每個程序都擁有真實的使用者、組（uid、gid），有效的使用者、組（euid、egid），儲存的設定使用者、組（suid、sgid），還有linux中專門用於檔案儲存存取的使用者、組id（fsuid、fsgid對於unix系統沒有這兩個fields）。現說明程序中每種型別使用者的功能：

      （1）真實的使用者、組（uid、gid）：程序的真正所有者。每當使用者在shell終端登入時，都會將登入使用者作為登入程序的真正所有者。通過getuid來獲得程序的真正使用者所有者，修改程序的真正使用者所有者可以通過setuid、seteuid、setresuid、setreuid。

      （2）有效的使用者、組（euid、egid）：程序的有效使用者、組。程序所執行各種操作所允許的許可權（process credentials）是依據程序的有效使用者來判斷的，（在linux系統中（核心2.4以上）又引入了一個新的程序許可權管理模型process capabilities，通過process capabilities來確定程序所允許的各種操作[可參看《深入理解linux核心》table 20-3]）。通過geteuid來獲得程序的有效使用者，修改程序的有效使用者可以通過setuid、seteuid、setresuid、setreuid、seteuid。

      （3）檔案系統的使用者、組（fsuid、fsgid）：用於進行檔案訪問的使用者、組，這是linux系統中新引入的一類使用者、組，對於unix系統檔案的訪問是通過euid來判斷，沒有函式獲得程序的fsuid，用於修改有效使用者的函式都會同時修改fsuid，如果要單獨修改fsuid，而不修改euid，可以呼叫setfsuid。

      （4）儲存的設定使用者、組（suid、sgid）：儲存的設定使用者、組。程序中該型別的使用者、組主要的用處是用於還原有效使用者，觀察到對於非超級使用者用於修改有效使用者的各個函式setuid、seteuid、setresuid、setreuid、seteuid普遍有一個前提條件就是如果修改後的有效使用者是原先的suid則允許修改，利用這一點，程序可以修改有效使用者到一個新使用者，然後還原到原來的值（原來的值儲存在儲存設定的使用者）。通過getresuid來獲得程序的真實使用者、有效使用者、儲存的設定使用者。

4、Android 系統中的UID、GID、GIDS與PID

        在 Android 上，一個使用者 UID 標示一個應用程式。應用程式在安裝時被分配使用者 UID，應用程式在裝置上的存續期間內，使用者 UID 保持不變。對於普通的應用程式，GID即等於UID。

        GIDS 是由框架在 Application 安裝過程中生成，與 Application 申請的具體許可權相關。 如果 Application 申請的相應的 permission 被 granted ，而且有對應的GIDS， 那麼 這個Application 的 gids 中將 包含這個 gids。記住許可權(GIDS)是關於允許或限制應用程式（而不是使用者）訪問裝置資源。

        Android 使用沙箱的概念來實現應用程式之間的分離和許可權，以允許或拒絕一個應用程式訪問裝置的資源，比如說檔案和目錄、網路、感測器和 API。為此，Android 使用一些 Linux 實用工具（比如說程序級別的安全性、與應用程式相關的使用者和組 ID，以及許可權），來實現應用程式被允許執行的操作。

圖 1. 兩個 Android 應用程式，各自在其自己的基本沙箱或程序上

        Android 應用程式執行在它們自己的 Linux 程序上，並被分配一個惟一的使用者 ID。預設情況下，執行在基本沙箱程序中的應用程式沒有被分配許可權，因而此類應用程式訪問系統或資源受到限制，Android 應用程式只能通過應用程式的 manifest 檔案請求許可權。

        不同的應用程式可以執行在相同的程序中。對於此方法，首先必須使用相同的私鑰簽署這些應用程式，然後必須使用 manifest 檔案給它們分配相同的 Linux 使用者 ID，這通過用相同的值/名定義 manifest 屬性 android:sharedUserId 來做到，從而共享對其資料和程式碼的訪問，如圖2所示

圖 2. 兩個 Android 應用程式，執行在同一程序上

5、總結

在 Android 上，一個應用程式只有一個UID，當然多個應用程式也可以共享一個UID。

對 於普通應用程式來說， gid 等於 uid 。由於每個應用程式的 uid 和 gid 都不相同， 因此不管是 native 層還是 java 層都能夠達到保護私有資料的作用 。

一個GIDS相當於一個許可權的集合，一個UID可以關聯GIDS，表明該UID擁有多種許可權

一個程序就是host應用程式的沙箱，裡面一般有一個UID和多個GIDS，每個程序只能訪問UID的許可權範圍內的檔案和GIDs所允許訪問的介面，構成了Android最基本的安全基礎。

6、參考文獻

1、http://blog.csdn.net/nuoline/article/details/8610811

2、http://book.51cto.com/art/201401/427710.htm

3、http://www.educity.cn/wenda/174474.html

4、http://www.cnblogs.com/zhiyinjixu/articles/2252371.html