Android7.0 APP调用驱动流程 Selinux 权限配置

 最近受到肺炎疫情的影响，刚复工不久事情也没那么多，于是就整理下以前做的东西，写下博客好了。其实工作之余也会经常写工作相关的技术文档，只是不习惯发布到博客而已，毕竟有些也是跟公司相关的技术，发布到网上感觉不太好。不过有些自己花时间去学习倒可以跟大家分享讨论与进步。

Android 操作系统层面开发在 2017年左右开发过。从APP层、SystemServices、jni、HAL层都有涉及到。当时公司与深圳一家操作系统厂商合作，在Android7.0的基础上对方提个MTK8785芯片板子，我方定制操作系统。本人主要本人主要负责SystemServices到HAL层的驱动调用，举个简单的例子的比如内核层有个节点需要交互，从SystemServices到HAL层打通通道，这样APP就可以调用SystemServices的接口访问了。

以下是当时写的一些文档记录：

本文以LED节点为例简单写下开发流程。Android系统没启用Selinux 前APP访问内核节点是很方便的。后来权限越来越严格的时候，应用层就不能随便访问了，加上我们是做银行业务的，硬件设备节点肯定是不能随便开放给第三方。

以下是  A n d r o i d 7 . 0 系 统 开 发 流 程 介 绍 章节：

(3) 创建 Android.mk 文件，内容如下：

LOCAL_PATH:= $(call my-dir)

include $(CLEAR_VARS)

LOCAL_MODULE_TAGS := optional

LOCAL_MODULE := IBankController

LOCAL_MODULE_CLASS := APPS

LOCAL_DEX_PREOPT := false

LOCAL_CERTIFICATE := platform

LOCAL_MODULE_PATH := $(TARGET_OUT)/priv-app

LOCAL_SRC_FILES :=IBankController.apk

LOCAL_PREBUILT_JNI_LIBS:= \

 

@lib/armeabi/libdc_mobile_mate.so \

@lib/armeabi/libdcrf32.so \

@lib/armeabi/libFpDriverSTD.so \

@lib/armeabi/libGrgEmvKernel.so \

@lib/armeabi/libGrgEMVModule.so \

@lib/armeabi/libserial_port.so \

@lib/armeabi/libwlt2bmp.so

include $(BUILD_PREBUILT)

其中 LOCAL_DEX_PREOPT := false 开关配置是否分离 odex，三方应用要求分离 oedx，加快开

机速度。开关配置为 false 时为不分离，正常情况这个开关不做配置。需验证分离 odex 时三方应

用是否正常，若不正常，要求三方修正，支持分离。

(4) 创建添加 so 的 mk 文件如：add_IBankController.mk 文件内容如下：

LOCAL_PATH :=$(TOPDIR)packages/apps/IBankController

PRODUCT_PACKAGES += IBankController

PRODUCT_COPY_FILES += $(LOCAL_PATH)/lib/libdc_mobile_mate.so:system/priv

app/IBankController/lib/arm/libdc_mobile_mate.so \

$(LOCAL_PATH)/lib/libdcrf32.so:system/priv

app/IBankController/lib/arm/libdcrf32.so \

$(LOCAL_PATH)/lib/libFpDriverSTD.so:system/priv

app/IBankController/lib/arm/libFpDriverSTD.so \

$(LOCAL_PATH)/lib/libGrgEmvKernel.so:system/priv

app/IBankController/lib/arm/libGrgEmvKernel.so \

$(LOCAL_PATH)/lib/libGrgEMVModule.so:system/priv

app/IBankController/lib/arm/libGrgEMVModule.so \

$(LOCAL_PATH)/lib/libserial_port.so:system/priv

app/IBankController/lib/arm/libserial_port.so \

$(LOCAL_PATH)/lib/libwlt2bmp.so:system/priv

app/IBankController/lib/arm/libwlt2bmp.so

其中 PRODUCT_COPY_FILES 表示复制文件到对应目录下。

(5) 在 device\mediatek\common\device.mk 添加：

$(call inherit-product-if-exists, packages/apps/IBankController/add_IBankController.mk)

(6) 在\system\sepolicy\domain.te 找到以下内容：

# Do not allow the introduction of new execmod rules. Text relocations

# and modification of executable pages are unsafe.

# The only exceptions are for NDK text relocations associated with

# https://code.google.com/p/android/issues/detail?id=23203

# which, long term, need to go away.

neverallow * {

file_type

-system_data_file

-apk_data_file

-app_data_file

-asec_public_file

}:file execmod;

修改成：

neverallow * {

file_type

-system_data_file

-system_file

-apk_data_file

-app_data_file

-asec_public_file

}:file execmod;

 

最后的目录结构如下图所示： 

 

重新编译后会在 out\target\product\pri8785_tb_n\system/priv-app 目录下看到

IBankController 应用。

2.3.系统 APP 如何访问 GPIO 驱动

到此为止我们已经在 SElinux 中把 GPIO 的驱动节点的权限设置成系统应用可以访问，然后也

把 IBankController.apk 内置成系统应用，所以在 IBankController.apk 中应该就能控制 GPIO 口

了。 

在 IBankController.apk 中编写以下代码进行控制：

try {

String[] cmdMode = new String[]{"/system/bin/sh","-c","echo" + " " + cmd + " > /proc/driver/

ID_card_led_on "};

Runtime.getRuntime().exec(cmdMode);

} catch (IOException e) {

e.printStackTrace();

}

2.4.Cmd 命令调试

在开发中可以先通过命令对节点进行调试。

(1) 打开 cmd 输入 adb shell 进入到系统。

(2) 进入到节点目录，如 ID_card_led_on 目录在 /proc 下执行：

echo 1 > ID_card_led_on 表示对节点写 1，也就是打开 GPIO 口

echo 0 > ID_card_led_on 表示对节点写 0，也就是关闭 GPIO 口

(3) 通过目录 cat 查看节点的值。

cat ID_card_led_on 查看 GPIO 当前值。