【技术实现步骤摘要】
一种基于安全芯片的多用户分区隔离方法
[0001]本专利技术涉及智能终端
,特别是基于安全芯片的多用户分区隔离方法。
技术介绍
[0002]随着信息技术的高速发展,Android系统的不断迭代,Android8.0以上得到不断优化,系统更加稳定和流畅,尽管如此还是存在多种安全问题。Android操作系统是开源的系统,相比于IOS等封闭的移动操作系统,它更容易被攻击和感染病毒,对于数据泄露也缺乏完善的保护机制。在终端系统面临巨大安全风险的现状下,除了在Android原生系统上增加安全应用这一解决方案,双操作系统应运而生。
[0003]当前主流的双操作系统方案主要有四种:基于Linux账户技术的双操作系统方案(简称双用户)、基于安卓服务改造技术的多系统方案(简称安全域)、基于容器技术的双操作系统方案(简称双操作系统)和基于虚拟机技术的双操作系统方案(简称虚拟机)。这些双操作系统通过在软件或硬件层面的数据隔离策略,来达到内部系统数据信息安全的目的。
[0004]目前双操作系统的多用户功能里多用户使用相同的分区,并没有做到物理隔离,所有数据包括系统数据和应用数据均使用同一个分区/data,数据十分容易泄露,安全性极低。同时多用户系统没有设计较强的隐蔽性,并且在数据安全方面没有其他任何手段加固保护,可以操作文件中任何数据,而且没有对数据加密处理,数据泄漏风险极大。
技术实现思路
[0005]本专利技术通过结合安全芯片和多用户分区技术,将多用户里各用户的数据物理隔离,将非0用户数据存放在独立 ...
【技术保护点】
【技术特征摘要】
1.一种基于安全芯片的多用户分区隔离方法,其特征在于,主用户使用原生的流程,所有数据存放在data分区,当新用户创建时,系统从硬件层面划分一个独立的分区cells,所有新建用户的所有数据存放在独立的分区下面,各用户之间无法跨物理分区进行相互的数据访问,保证数据的安全性。2.如权利要求1所述的一种基于安全芯片的多用户分区隔离方法,其特征在于,所述新用户使用独立分区cells,在编译系统源码时生成cells.img并在partition分配时,分配好所需的大小,init.rc中配置cells分区初始化目录,其中:cells/user|user_de user目录存放新分区用户的app及其数据;cells/system|system_ce|system_de目录存放新分区用户的相关系统设置数据;cells/vendor_ce|vendor_de目录存放厂商定制部分相关数据;cells/misc|misc_ce|misc_de目录存放引导恢复信息及关键设置数据cells/media目录存放应用的共享存储目录。3.根据权利要求2所述的一种基于安全芯片的多用户分区隔离方法,其特征在于,系统启动时,解析init.rc文件时,会创建以上相关目录,并配置好对应的selinux。4.根据权利要求2所述的一种基于安全芯片的多用户分区隔离方法,其特征在于,新用户创建时,所述分区cells创建目录:rootdir中增加cells目录的相关结构,在init.rc中创建cells/media user system vendor相关目录,在init.environ.rc.in中增加全局属性指向cells根目录;init.rc中增加相关逻辑,实现init在做cells.img挂载时与安全芯片的交互功能,通过安全芯片的验证校验成功后,才能进行cells.img的挂载;Vold中新增cells根目录接口,系统主用户返回/data为根目录的文件路径,而所有新用户返回以/cells为根目录的文件路径;在fscrypt中修改逻辑,用以适配分区的FBE流程;Sdcard中针对mnt目录的相关挂载,增加相关逻辑,当进行新用户的分区目录挂载时,sdcardfs机制使用"/mnt/cellsruntime/default/""/mnt/cellsruntime/read/""/mnt/cellsruntime/write/""/mnt/cellsruntime/full/"相关目录;在系统sepolicy中增加cells目录的file_context,以cells_file为上下文管控新建分区里所有目录文件的安全上下文,同时针对cells目录的几个相关主目录增加单独的安全上下文,并在相关的te文件中增加对cells_file的allow规则;在版本sepolicy中同时针对分区新增对应的block_device,配置好针对此block_device相关的规则;在initfsck e2fs resize相关te中增加对cells block_device的相关规则支持;External的libselinux中,增加分区相关目录比如cells/user目录的安全策略处理逻辑。5.如权利要求1所述的一种基于安全芯片的多用户分区隔离方法,其特征在于,新用户创建时,还包括在zygote的相关多用户逻辑中进行修改,zygote进行isolateAppData时,根据userid,新用户的ce、de目录返回分区目录(cells/user cells/user_de),同时relabel分区目录的上下文;在environment系统环境变量中,增加getCellsDirectory方法返回分区根目录,同时
新建的非主用户在获取目录时,返回以cells为根的对应的目录及子目录;Installd服务中与vold服务同步修改,新用户返回新分区根目录及相关目录、子目录,InstallNativeService中针对新用户相关的逻辑同步修改,以适配新分区。6.根据权利要求1所述的一种基于安全芯片的多用户分区隔离方法,其特征在于,新用户创建时,还包括系统Build中的修改,增加相关逻...
【专利技术属性】
技术研发人员:刘俊,
申请(专利权)人:中易通科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。