一种用于Android文件的安全防护方法和系统技术方案

本申请公开了一种用于Android文件的安全防护方法和系统。其中，包括当Zygote父进程接收到应用程序的请求，Zygote父进程通过分叉获得Zygote子进程，同时激活被设置于Zygote父进程的权限控制器，利用权限控制器判断应用程序的访问权限，并制定无权限目标文件列表,从而获得无权限分区列表，暂停应用程序的进程，卸载mount namespace的无权限分区列表，并恢复应用程序的进程。该方案通过将目标文件进行单独分区挂载，并对无访问权限的进程进行卸载，不仅增强了对该进程隐藏目标文件的效果，同时，在Zygote父进程中加入权限控制器,可以实现对单个应用进程单独配置权限的效果，使得控制粒度更细。

A security protection method and system for Android files

【技术实现步骤摘要】
一种用于Android文件的安全防护方法和系统
本申请涉及计算机软件安全
，具体涉及一种用于Android文件的安全防护方法和系统。
技术介绍
Android自身出于安全的考虑，已经利用虚拟机原理加以实现，以最大程度降低侵入的可能。虚拟机用于进一步运行应用程序进程。虚拟机的启动源于系统的Zygote(业内称之为孵化器)模块，Zygote是由Linux操作系统内核实现的初始化(init)函数加载。Zygote被加载后，便通过自身的孵化函数分叉(fork)来复制自身，形成新进程去实现系统服务的一系列初始化功能，包括对Native层的服务进行初始化、对Java层的服务进行初始化，最终进入Binder通信系统监听请求，给应用层和系统提供各种服务请求。在这个过程中，Android界面管理服务(ActivtyManagerService,AMS)和应用程序管理服务(PackageManagerService,PMS)在内的一系列的Java层的服务被陆续加载，而Zygote则退居后台继续监听是否有新的孵化请求。一旦AMS为运行应用程序而向Zygote发本文档来自技高网...

【技术保护点】
1.一种用于Android文件的安全防护方法，其特征在于，所述方法包括：/nS1：基于系统启动时，通过Init进程创建Zygote父进程；/nS2：当所述Zygote父进程接收到应用程序的请求，所述Zygote父进程通过分叉获得Zygote子进程，同时激活被设置于所述Zygote父进程的权限控制器；/nS3：利用所述权限控制器判断应用程序的访问权限，并制定无权限目标文件列表,从而获得无权限分区列表；/nS4：暂停所述应用程序的进程，通过Linux内核中的API关联到所述应用程序进程的mount namespace；以及/nS5：卸载所述mount namespace的所述无权限分区列表，并恢复...

【技术特征摘要】
1.一种用于Android文件的安全防护方法，其特征在于，所述方法包括：
S1：基于系统启动时，通过Init进程创建Zygote父进程；
S2：当所述Zygote父进程接收到应用程序的请求，所述Zygote父进程通过分叉获得Zygote子进程，同时激活被设置于所述Zygote父进程的权限控制器；
S3：利用所述权限控制器判断应用程序的访问权限，并制定无权限目标文件列表,从而获得无权限分区列表；
S4：暂停所述应用程序的进程，通过Linux内核中的API关联到所述应用程序进程的mountnamespace；以及
S5：卸载所述mountnamespace的所述无权限分区列表，并恢复所述应用程序的进程。


2.根据权利要求1所述的一种用于Android文件的安全防护方法，其特征在于，在步骤S1中的所述Zygote父进程通过Init进程的Service方式启动，并且独立于所述Init进程的mountnamespace。


3.根据权利要求1所述的一种用于Android文件的安全防护方法，其特征在于，在所述S2步骤前，通过所述Init进程读取所述目标文件的挂载分区的预设规则，将所述目标文件挂载至相应的分区。


4.根据权利要求3所述的一种用于Android文件的安全防护方法，其特征在于，所述预设规则为通过所述Init进程读取所述目标文件的配置，并将所述目标文件进行分区挂载，从而获得含有所述目标文件的所述Zygote父进程。


5.根据权利要求1所述的一种用于Android文件的安全防护方法，其特征在于，在所述S2步骤中，所述Zygote父进程通过...

【专利技术属性】
技术研发人员：彭小虎，黄惠海，魏丽珍，陈思德，郑汉军，许光锋，王毅宏，
申请(专利权)人：厦门安胜网络科技有限公司，
类型：发明
国别省市：福建;35