一种移动终端系统安全的保护方法及装置的制造方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种移动终端系统安全的保护方法及装置。
【背景技术】
[0002]随着技术的发展,移动终端(例如智能手机、平板电脑等)越来越智能化,人们可以在移动终端中安装不同的应用程序来满足自己的个性化需求。虽然这些应用程序给人们的生活带来了极大的便利,但与此同时也为人们带来了大量的安全隐患。一旦移动终端的系统出现了安全问题则很有可能给该移动终端的用户带来严重的损失,因此移动终端的系统安全已经成为用户最为关心的问题。
[0003]针对于移动终端的系统安全问题,应用市场推出了各种安全类应用程序,可以实现例如病毒查杀、隐私保护、网络防御、防骚扰、防恶意扣费等功能,在一定程度上提高了移动终端系统的安全性。但是,安全类应用程序对移动终端系统的保护是有限的,其无法实现对移动终端内文件的完整性保护。也就是说,当移动终端内的文件遭到破坏(例如被修改、被替换等)时,安全类应用程序是无法检测到的。而移动终端系统安全的根本就在于其内部文件自身的安全性,因此,上述利用安全类应用程序对移动终端系统进行安全保护的方式并不能从根本上解决移动终端的系统安全问题。而且,现有的移动终端其系统安全级别都比较低,当其内部的文件遭到破坏时无法实现对遭到破坏的文件的自我恢复。
【发明内容】
[0004]为了克服现有技术中的上述缺陷,本发明提供了一种移动终端系统安全的保护方法,该保护方法包括:
[0005]检测到移动终端首次启动时,对所述移动终端内的每一文件配置强制访问控制标签,以及对所述每一文件进行完整性校验得到该文件的初始校验值并存储该初始校验值;
[0006]在所述移动终端启动后按照预设频率对所述每一文件进行所述完整性校验得到该文件的中间校验值,并将该文件的中间校验值与该文件的初始校验值进行比较;
[0007]若比较结果显示一个或者多个文件的中间校验值与其初始校验值不同,则判断该一个或者多个文件遭到破坏且该一个或多个文件的强制访问控制标签发生改变;
[0008]自动对所述一个或多个文件及其强制访问控制标签进行恢复。
[0009]根据本发明的一个方面,该保护方法中,所述移动终端的操作系统是支持SELinux的Linux系统或Android系统。
[0010]根据本发明的另一个方面,该保护方法中,存储该初始校验值包括:将该初始校验值发送至服务器进行存储。
[0011]根据本发明的又一个方面,该保护方法中,所述预设频率是根据所述移动终端的系统安全级别设定的。
[0012]根据本发明的又一个方面,该保护方法中,自动对所述一个或多个文件及其强制访问控制标签进行恢复包括:自动向服务器发送针对所述一个或多个文件的恢复请求;所述服务器根据所述恢复请求将该一个或多个文件的备份文件和备份强制访问控制标签发送至所述移动终端;利用所述备份文件对所述一个或多个文件进行恢复以及利用所述备份强制访问控制标签对所述一个或多个文件的强制访问控制标签进行恢复。
[0013]相应地,本发明还提供了一种移动终端系统安全的保护装置,该保护装置包括初始化模块、比较模块、判断模块和自动恢复模块,其中:
[0014]所述初始化模块包括配置校验单元和存储单元;
[0015]所述配置校验单元,用于检测到移动终端首次启动时对所述移动终端内的每一文件配置强制访问控制标签以及对所述每一文件进行完整性校验得到该文件的初始校验值;
[0016]所述存储单元,用于存储该初始校验值;
[0017]所述比较模块,用于在所述移动终端启动后按照预设频率对所述每一文件进行所述完整性校验得到该文件的中间校验值并将该文件的中间校验值与该文件的初始校验值进行比较;
[0018]所述判断模块,用于若比较结果显示一个或者多个文件的中间校验值与其初始校验值不同则判断该一个或者多个文件遭到破坏且该一个或多个文件的强制访问控制标签发生改变;
[0019]所述自动恢复模块,用于自动对所述一个或多个文件及其强制访问控制标签进行恢复。
[0020]根据本发明的一个方面,该保护装置中,所述移动终端的操作系统是支持SELinux的Linux系统或Android系统。
[0021]根据本发明的另一个方面,该保护装置中,所述配置校验单元设置在所述移动终端内,所述存储单元设置在服务器内,其中:所述配置校验单元得到所述初始校验值后将所述初始校验值发送至所述存储单元进行存储。
[0022]根据本发明的又一个方面,该保护装置还包括设定模块,用于根据所述移动终端的系统安全级别设定所述预设频率。
[0023]根据本发明的又一个方面,该保护装置中,所述自动恢复模块包括请求单元、备份单元和恢复单元,所述请求单元和所述恢复单元设置在所述移动终端内,所述备份单元设置在服务器内,其中:所述请求单元,用于所述判断模块判断该一个或者多个文件遭到破坏且该一个或多个文件的强制访问控制标签发生改变后自动向所述服务器发送针对所述一个或多个文件的恢复请求;所述备份单元,用于预存储所述移动终端中每一文件的备份文件以及每一文件的备份强制访问控制标签,以及用于根据所述恢复请求将该一个或多个文件的备份文件和备份强制访问控制标签发送至所述移动终端;所述恢复单元,用于利用所述备份文件对所述一个或多个文件进行恢复,以及用于利用所述备份强制访问控制标签对所述一个或多个文件的强制访问控制标签进行恢复。
[0024]本发明所提供的移动终端系统安全的保护方法及装置一方面利用强制访问控制标签机制实现进程沙箱,使得每个进程只能访问其任务中的文件,当文件遭到破坏时该文件的强制访问控制标签将发生改变,使得与该文件相对应的进程无法再访问该文件,从而保证了文件遭到破坏后与该文件相对应的进程不会受到破坏,另一方面通过按照预设频率对移动终端内的文件进行完整性校验来发现文件是否遭到破坏,一旦发现文件遭到破坏则自动对遭到破坏的文件以及该文件的强制访问控制标签进行恢复,使与该文件相对应的进程可以重新对该文件进行访问。如此一来,与传统的利用安全类应用程序对移动终端系统安全进行保护的方式相比,本发明可以及时检测到移动终端内遭到破坏的文件并及时对遭到破坏的文件进行自动恢复,从根本上解决了移动终端的系统安全问题,极大地提高了移动终端系统的安全性以及极大地降低了移动终端系统遭到破坏后可能产生的危害。此外,由于对文件遭破坏的检测和恢复都是自动的,无需移动终端的用户手动去恢复文件,因此用户的使用体验佳。
【附图说明】
[0025]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0026]图1是根据本发明的移动终端系统安全的保护方法的一种【具体实施方式】的流程图;
[0027]图2是图1中S104的细化流程图;
[0028]图3是根据本发明的移动终端系统安全的保护装置的一种【具体实施方式】的结构示意图;
[0029]图4是根据本发明的自动恢复模块的细化结构示意图;
[0030]图5是可实现本发明提供的移动终端系统安全的保护方法的移动终端的结构示意图。
[0031 ] 附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0032]为了更好地理解和阐释本发明,下面将结合附图对本发明作进一步的详细描述。
[0033]本发明提供了一种移动终端系统安全的保护方法。请参考图1,图1是根据本发明的移动终端系统安全的保护方法的一种【具体实施方式】的流程图。如图所示,该保护方法包括以下步骤:
[0034]在步骤SlOl中,检测到移动终端首次启动时,对所述移动终端内的每一文件配置强制访问控制标签,以及对所述每一文件进行完整性校验得到该文件的初始校验值并存储该初始校验值;
[0035]在步骤S102中,在所述移动终端启动后按照预设频率对所述每一文件进行所述完整性校验得到该文件的中间校验值,并将该文件的中间校验值与该文件的初始校验值进行比较;
[0036]在步骤S103中,若比较结果显示一个或者多个文件的中间校验值与其初始校验值不同,则判断该一个或者多个文件遭到破坏且该一个或多个文件的强制访问控制标签发生改变;
[0037]在步骤S104中,自动对所述一个或多个文件及其强制访问控制标签进行恢复。
[0038]具体地,在步骤SlOl中,在本实施例中,所述移动终端是智能手机或平板电脑,该智能手机或平板电脑的操作系统是支持SELinux(Security-Enhanced Linux)的Linux系统或Android系统。其中,SELinux是美国国家安全局对于强制访问控制(MandatoryAccess ControI,MAC)的实现,在基于SELinux的访问控制体系下,移动终端内