一种保证双域系统一致性的方法、装置及电子设备与流程

本发明涉及通信技术领域，特别是指一种保证双域系统一致性的方法、装置及电子设备。

背景技术：

随着终端技术的快速发展，为了满足用户的需要，需要在终端设备上设置两套独立的系统，包括普通系统和安全系统。其中，在普通系统中用户可以进行普通数据的处理，如日常生活中的数据存储、网络访问等；在安全系统中用户可以处理一些重要的数据，例如需要保密的数据、通信、网络访问等。专利201610928340.x公开了一种基于rom的双域手机系统的构建方法，包括双域服务配置文件存放在ramdisk文件中，则通过gunzip解压ramdisk文件，并按照双域系统设计修改双域服务配置文件的内容后，再用mkbootfs命令重新生成ramdisk文件；若在双域系统设计时将服务配置文件保存在了其它位置，则需做出相应修改。但是两套系统在切换时，可能存在系统中的应用、框架程序等被篡改等情况。

技术实现要素：

有鉴于此，本发明实施例的目的在于提出一种保证双域系统一致性的方法、装置及电子设备，能够对双域系统中的各个系统进行一致性检查，保证系统的安全性。

基于上述目的本发明实施例提供的一种保证双域系统一致性的方法，包括：

第一系统切换到第二系统时，对所述第一系统进行特征值计算获取系统关闭特征值并存储；

第二系统重新切换到第一系统时，重新对所述第一系统进行特征值计算获得系统启动特征值；

判断所述系统启动特征值与所述第一系统在上一次关闭时的所述系统关闭特征值是否相同；

若否，则停止所述第一系统的启动并发出告警信息。

可选的，还包括：在所述第一系统运行时，每隔预设的时间间隔重新计算特征值并与上一次存储的特征值进行比较。

可选的，所述对所述第一系统进行特征值计算包括：对所述第一系统的框架程序以及应用程序分别进行特征值计算。

可选的，还包括：

接收应用安装请求，判断所述应用安装请求是否对应所述第一系统；

若是，则执行所述应用安装请求进行应用安装并创建数据目录，同时计算所述应用安装请求对应的应用程序进行存储。

可选的，所述判断所述应用安装请求是否对应所述第一系统包括：安装服务packagemanagerservice通过守护进程installd调用工具判断该应用程序是否对应所述第一系统。

可选的，还包括：接收任务请求；

根据所述任务请求，生成应用进程，并根据当前运行系统生成句柄标记所述应用进程。

可选的，还包括：

接收应用数据访问请求；

通过selinux技术获取所述应用数据访问请求对应的存储目录进行访问。

可选的，还包括：生成数字签名存储到系统内核boot.img中，将包含公钥的证书存储到bootloader中。

本发明实施例还提供一种保证双域系统一致性的装置，包括：

第一计算模块，用于在第一系统切换到第二系统时，对所述第一系统进行特征值计算获取系统关闭特征值并存储；

第二计算模块，用于在第二系统重新切换到第一系统时，重新对所述第一系统进行特征值计算获得系统启动特征值；

判断模块，用于判断所述系统启动特征值与所述第一系统在上一次关闭时的所述系统关闭特征值是否相同；

告警模块，用于在所述判断模块的判断结果为否时，停止所述第一系统的启动并发出告警信息。

本发明实施例还提供一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上述任意一项所述保证双域系统一致性的方法。

从上面所述可以看出，本发明实施例提供的保证双域系统一致性的方法、装置及电子设备，第一系统切换到第二系统时计算第一系统在的特征值，当运行系统重新切换到第一系统时重新计算其特征值，并将重新计算的特征值与第一系统在上一次关闭时计算的特征值做对比，即每次切换系统时即重新计算当前系统的特征值，并将当前系统的特征值与当前系统在上一次关闭之前的特征值进行比较，若二者相同，则证明在系统启动期间第一系统并未被篡改，可以继续启动；若二者不同，则说明第一系统被篡改，此时需停止启动并对用户进行告警；一致性核查是针对安全系统中的应用、安全状态、病毒等进行全方位核查，防止安全系统中的应用以及安全系统框架程序被篡改，防止信息泄露的安全管理功能状态的检查，以直观方式展示核查结果和得分并指出问题所在，做出警告，从而保证了系统的一致性，避免当前系统在两次运行期间由于另外一个系统的使用或者其他原因导致的系统被篡改。

附图说明

图1为本发明实施例一种保证双域系统一致性的方法的流程图；

图2为本发明实施例一种保证双域系统一致性的数据隔离原理图；

图3为本发明实施例所述保证双域系统一致性的方法的一个具体实施例流程图；

图4为本发明实施例所述保证双域系统一致性的装置的结构图；

图5为本发明实施例执行所述保证双域系统一致性方法的装置的电子设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

图1为本发明实施例一种保证双域系统一致性的方法的流程图。本发明实施例提出一种保证双域系统一致性的方法，包括：

步骤101，第一系统切换到第二系统时，对所述第一系统进行特征值计算获取系统关闭特征值并存储。

步骤102，第二系统重新切换到第一系统时，重新对所述第一系统进行特征值计算获得系统启动特征值。

步骤103，判断所述系统启动特征值与所述第一系统在上一次关闭时的所述系统关闭特征值是否相同。

步骤104，若否，则停止所述第一系统的启动并发出告警信息。若是，则继续启动第一系统。

本发明实施例所述保证双域系统一致性的方法，第一系统切换到第二系统时计算第一系统在的特征值，当运行系统重新切换到第一系统时重新计算其特征值，并将重新计算的特征值与第一系统在上一次关闭时计算的特征值做对比，即每次切换系统时即重新计算当前系统的特征值，并将当前系统的特征值与当前系统在上一次关闭之前的特征值进行比较，若二者相同，则证明在系统启动期间第一系统并未被篡改，可以继续启动；若二者不同，则说明第一系统被篡改，此时需停止启动并对用户进行告警；一致性核查是针对安全系统中的应用、安全状态、病毒等进行全方位核查，防止安全系统中的应用以及安全系统框架程序被篡改，防止信息泄露的安全管理功能状态的检查，以直观方式展示核查结果和得分并指出问题所在，做出警告，从而保证了系统的一致性，避免当前系统在两次运行期间由于另外一个系统的使用或者其他原因导致的系统被篡改。

在本实施例中，第一系统为安全系统，第二系统为普通系统。为了保证安全系统的安全性，需要在每次启动安全系统时对安全系统进行一致性检查。

在一个可替换的实施例中，第一系统为普通系统，第二系统为安全系统，即对于每次启动普通系统时也进行一致性检查，从而保证普通系统的安全性。

在另一个可替换的实施例中，每次启动系统，无论是安全系统还是普通系统，都需要进行一致性检查，从而保证两个系统都处于安全状态，保证两个系统的程序、数据等不被篡改。

在一些可选的实施例中，本发明实施例所述保证双域系统一致性的方法还包括：在所述第一系统创建时，计算所述第一系统的初始特征值并存储。在系统创建时，计算系统在初始状态的特征值并存放在数据库(database)中，作为后续一致性检查的基础。其中，数据库(database)会存放在trustzone环境中。

可选的，还包括：在所述第一系统运行时，每隔预设的时间间隔重新计算特征值并与上一次存储的特征值进行比较，根据比较结果判断第一系统的一致性，若相同则证明系统未被篡改；若不同则说明系统发生变化，需要对用户进行告警。每隔预设的时间间隔，则重新计算第一系统特征值并存储或者更新到数据库中，从而在系统运行期间持续进行一致性检查，保证系统的一致性与安全性。在一个具体的实施例中，每隔五分钟对则重新计算一次特征值进行一致性检查。

可选的，步骤101中所述对所述第一系统进行特征值计算包括：对所述第一系统的框架程序以及应用程序分别进行特征值计算。在本实施例中，在对第一系统进行特征值计算时，不仅需要系统的框架程序计算，也需要对应用程序的特征值进行计算，即不仅要对系统程序进行一致性检查，也要多应用程序进行一致性检查，包括系统的安全防护程序。若任一的特征值发生变化，则系统都可能被篡改，因此都需要进行检查，以保证系统的一致性和安全性。在一个具体的实施例中，需要进行防录音、防录像、防截屏、防usb连接、防网络破坏、防蓝牙传输等内容的核查。

在本发明的一些实施例中，所述保证双域系统一致性的方法还包括：

步骤201，接收应用安装请求，判断所述应用安装请求是否对应所述第一系统。其中所述判断所述应用安装请求是否对应所述第一系统包括：安装服务packagemanagerservice通过守护进程installd调用工具判断该应用程序是否对应所述第一系统。

步骤202，若是，则执行所述应用安装请求进行应用安装并创建数据目录，同时计算所述应用安装请求对应的应用程序进行存储。

在应用安装过程中，如图2所示，安装服务packagemanagerservice会通过守护进程installd调用工具来区分应用的安装来自普通系统还是安全系统，并对其是安全域或者普通域的属性做持久化存储，同时根据其域属性创建不同位置的数据目录。

在本发明的另一些实施例中，所述保证双域系统一致性的方法还包括：

步骤301，接收任务请求；

步骤302，根据所述任务请求，生成应用进程，并根据当前运行系统生成句柄标记所述应用进程。其中，句柄是一种特殊的智能指针。当一个应用程序要引用其他系统(如数据库、操作系统)所管理的内存块或对象时，就要使用句柄。

在本发明实施例中，通过在不同系统的应用进程上设置标记各自系统的句柄来区分任务进程所属于的系统，任务栈是按照域句柄进行隔离的，相同域句柄的应用之间才可以互相通信。对于一些特殊情况，如电话短信消息通过定制的基础服务进行不同域之间的消息传递，电话短信应用本身是隔离的。

在本发明的另一些实施例中，所述保证双域系统一致性的方法还包括：

步骤401，接收应用数据访问请求。

步骤402，通过selinux技术获取所述应用数据访问请求对应的存储目录进行访问。本实施例中，通过selinux，对应用数据存储的目录访问权限进行区分限制。

在另一些可选的实施例中，还包括：生成数字签名存储到系统内核boot.img中，将包含公钥的证书存储到bootloader中。

在一个具体的实施例中，如图2所示，当前系统在上一次关闭时，系统计算了其特征值h2加密后通过bootloader存储到trustzone环境中；当系统重新启动时，系统使用公钥从boot.img的签名中重新获得特征值h2，同时系统计算当前启动状态下的新特征值，比较两个特征值，若二者相同，则证明系统未被篡改，可以继续加载boot.img启动系统；若二者不同，则说明系统有极大可能被篡改，此时停止启动同时向用户告警。本发明深入分析系统启动原理，采用层层验证的方式，保护系统镜像的安全加载。从系统原理镜像分析，安全启动等方面进行安全机制设计，从而保护系统安全，防止刷机或者root。

本发明实施例所述保证双域系统一致性的方法，针对安全系统中的应用、安全状态、病毒等进行全方位的一致性核查，防止安全系统中的应用以及安全系统框架程序被篡改，防止信息泄露的安全管理功能状态的检查，以直观方式展示核查结果和得分并指出问题所在，做出警告；从应用安装、应用任务栈、应用数据存储三个方面分别进行隔离，保证了系统的安全性；采用防刷机/防root技术，对android系统内核boot.img(其中包括kernel,ramdisk,dt)做签名，附在boot.img后，并将其证书(包含公钥)编入bootloader，保护手机系统安全的重要保证，深入分析系统启动原理，采用层层验证的方式，保护系统镜像的安全加载；支持多种切换方式，如手势、按键95598#、某个功能键等，满足不同业务需求。

本发明实施例的另一方面提供一种保证双域系统一致性的装置，如图3所示，包括：

第一计算模块11，用于在第一系统切换到第二系统时，对所述第一系统进行特征值计算获取系统关闭特征值并存储；

第二计算模块12，用于在第二系统重新切换到第一系统时，重新对所述第一系统进行特征值计算获得系统启动特征值；

判断模块13，用于判断所述系统启动特征值与所述第一系统在上一次关闭时的所述系统关闭特征值是否相同；

告警模块14，用于在所述判断模块的判断结果为否时，停止所述第一系统的启动并发出告警信息。

可选的，还包括：在所述第一系统运行时，每隔预设的时间间隔重新计算特征值并与上一次存储的特征值进行比较。

可选的，所述对所述第一系统进行特征值计算包括：对所述第一系统的框架程序以及应用程序分别进行特征值计算。

可选的，还包括：

接收应用安装请求，判断所述应用安装请求是否对应所述第一系统；

若是，则执行所述应用安装请求进行应用安装并创建数据目录，同时计算所述应用安装请求对应的应用程序进行存储。

可选的，所述判断所述应用安装请求是否对应所述第一系统包括：安装服务packagemanagerservice通过守护进程installd调用工具判断该应用程序是否对应所述第一系统。

可选的，还包括：接收任务请求；

根据所述任务请求，生成应用进程，并根据当前运行系统生成句柄标记所述应用进程。

可选的，还包括：

接收应用数据访问请求；

通过selinux技术获取所述应用数据访问请求对应的存储目录进行访问。

可选的，还包括：生成数字签名存储到系统内核boot.img中，将包含公钥的证书存储到bootloader中。

所述保证双域系统一致性装置的实施例，其技术效果与前述任意方法实施例相同或者类似。

本发明实施例的第三个方面，提出了一种执行所述保证双域系统一致性方法的装置的一个实施例。如图5所示，为本发明提供的执行所述保证双域系统一致性方法的装置的一个实施例的硬件结构示意图。

如图5所示，所述装置包括：

一个或多个处理器901以及存储器902，图5中以一个处理器901为例。

所述执行所述保证双域系统一致性方法的装置还可以包括：输入装置903和输出装置904。

处理器901、存储器902、输入装置903和输出装置904可以通过总线或者其他方式连接，图4中以通过总线连接为例。

存储器902作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的所述保证双域系统一致性方法对应的程序指令/模块(例如，附图4所示的第一计算模块11、第二计算模块12、判断模块13、告警模块14)。处理器901通过运行存储在存储器1002中的非易失性软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例的保证双域系统一致性方法。

存储器902可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据保证双域系统一致性装置的使用所创建的数据等。此外，存储器902可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器902可选包括相对于处理器901远程设置的存储器，这些远程存储器可以通过网络连接至会员用户行为监控装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置903可接收输入的数字或字符信息，以及产生与保证双域系统一致性装置的用户设置以及功能控制有关的键信号输入。输出装置904可包括显示屏等显示设备。

所述一个或者多个模块存储在所述存储器902中，当被所述一个或者多个处理器901执行时，执行上述任意方法实施例中的保证双域系统一致性方法。所述执行所述保证双域系统一致性方法的装置的实施例，其技术效果与前述任意方法实施例相同或者类似。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。

本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。