保护智能终端文件系统的方法以及智能终端的制作方法
【技术领域】
[0001]本发明涉及智能终端安全技术领域,尤其涉及一种保护智能终端文件系统的方法以及智能终端。
【背景技术】
[0002]现有一些智能终端,例如手机或嵌入式设备通常都运行配置了文件系统的操作系统。想要破坏文件系统或在文件系统中植入恶意软件,需要对文件系统进行基本的写操作。若文件系统遭到破坏,所述智能终端将无法正常启动所述操作系统;若文件系统中被非法植入恶意软件,所述智能终端的关键数据面临被盗的风险。以Android系统为例,恶意软件在获取了系统的root账号后,可以使用dd命令等的一些手段破坏掉文件系统,使系统无法正常启动;更为严重的是给系统安装一些木马软件,时刻监视系统的运行并窃取隐私数据,例如在后台发送系统中的图片文件和位置信息。
[0003]为了检验文件系统是否处于安全正常运行状态,现有的一些方法是在创建文件系统的时候生成校验码,并在文件系统启动时去检查该校验码,一旦发现文件系统被修改掉了,就不去挂载文件系统。这种方式花费了大量的启动时间。Android 4.4版本增加了dm-verity的功能并希望通过该功能保护文件系统,该功能的运行机制是每次从文件系统中读数据时都要做检查,操作系统的运行效率大为降低。现有技术中文件系统方式的防御机制属于被动防御,在文件系统被破坏之后才能核实出该文件系统是否被破坏,如果发现被破坏就返回错误或者不去挂载,不仅无法做到主动防御对文件系统的非法写入行为,而且降低了操作系统的运行效率。
【发明内容】
[0004]为了克服现有技术中的上述缺陷,本发明提供了一种保护智能终端文件系统的方法,该方法包括:
[0005]在智能终端的存储设备中设置保护区域;
[0006]判断所述智能终端上运行的操作系统的应用层是否触发针对所述存储设备的写操作;
[0007]若触发所述写操作,则判断所述写操作的操作对象是否存储在所述保护区域内;
[0008]若是,则拦截所述写操作并向所述应用层返回错误。
[0009]根据本发明的一个方面,该方法中在智能终端的存储设备中设置保护区域包括:在所述存储设备的存储介质中设置用于标记出所述保护区域的起始扇区和结束扇区。
[0010]根据本发明的另一个方面,该方法中判断所述智能终端上运行的操作系统的应用层是否触发针对所述存储设备的写操作包括:判断所述应用层是否调用所述存储设备的驱动程序触发所述写操作。
[0011]根据本发明的另一个方面,该方法中所述操作系统是基于Linux内核的操作系统;所述操作对象是关键系统文件。
[0012]根据本发明的另一个方面,该方法中所述智能终端包括:智能手机、平板电脑或嵌入式设备。
[0013]相应地,本发明还提供了一种智能终端,该智能终端包括:
[0014]保护模块,用于在所述智能终端的存储设备中设置保护区域;
[0015]第一判断模块,用于判断所述智能终端上运行的操作系统的应用层是否触发针对所述存储设备的写操作,若是则触发第二判断模块工作;
[0016]所述第二判断模块,用于则判断所述写操作的操作对象是否存储在所述保护区域内,若是则触发拦截模块工作;
[0017]所述拦截模块,用于拦截所述写操作并向所述应用层返回错误。
[0018]根据本发明的一个方面,该智能终端中在所述智能终端的存储设备中设置保护区域包括:在所述存储设备的存储介质中设置用于标记出所述保护区域的起始扇区和结束扇区。
[0019]根据本发明的另一个方面,该智能终端中判断所述智能终端上运行的操作系统的应用层是否触发针对所述存储设备的写操作包括:判断所述应用层是否调用所述存储设备的驱动程序触发所述写操作。
[0020]根据本发明的另一个方面,该智能终端中所述操作系统是基于Linux内核的操作系统;所述操作对象是关键系统文件。
[0021]根据本发明的另一个方面,该智能终端中所述智能终端包括:智能手机、平板电脑或嵌入式设备。
[0022]本发明所提供的保护智能终端文件系统的方法以及智能终端通过智能终端的存储设备中设置保护区域,并采用在操作系统的内核层面主动拦截针对保护区域的非法写操作的方式来实现文件系统的主动防御,从而有效避免了文件系统遭到破坏或植入恶意软件,提升了智能终端的安全性,以及相较于现有技术提升了操作系统的运行效率。
【附图说明】
[0023]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0024]图1是根据本发明的保护智能终端文件系统的方法的一种【具体实施方式】的流程图;
[0025]图2是根据本发明的智能终端的一种【具体实施方式】的结构示意图;
[0026]图3是用于实现本发明的智能终端的设备的结构示意图;
[0027]附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0028]为了更好地理解和阐释本发明,下面将结合附图对本发明作进一步的详细描述。
[0029]本发明提供了一种保护智能终端文件系统的方法,请参考图1,是根据本发明的保护智能终端文件系统的方法的一种【具体实施方式】的流程图,该方法包括:
[0030]步骤S100,在智能终端的存储设备中设置保护区域;
[0031]步骤S200,判断所述智能终端上运行的操作系统的应用层是否触发针对所述存储设备的写操作,若触发所述写操作则执行步骤S300 ;
[0032]步骤S300,判断所述写操作的操作对象是否存储在所述保护区域内,若是则执行步骤S400 ;
[0033]步骤S400,拦截所述写操作并向所述应用层返回错误。
[0034]具体地,所述智能终端需要安装合适的操作系统。该智能终端可以用常见的移动智能设备来实现,包括但不限于安装了基于Linux内核的操作系统的智能手机、平板电脑或其他嵌入式设备。所述操作系统例如是SyberOS或Android。
[0035]在本【具体实施方式】中,所述保护区域包括所述智能终端的存储介质中的连续的多个扇区,因此在步骤SlOO中,在所述存储设备中设置保护区域的具体方法包括:在所述存储设备的存储介质中设置用于标记出所述保护区域的起始扇区和结束扇区。一旦标记出所述起始扇区和所述结束扇区,则所述保护区域在所述存储介质中的确切位置也随之确定。所述存储设备可以用常见的闪存芯片来实现,相应地所述存储介质是闪存。包括所述起始扇区和所述结束扇区的相关数据可以在步骤SlOO执行之后存储在所述智能终端内,例如烧录在所述智能终端的只读存储器(Read Only Memory, ROM)中,或存储在所述保护区域内。设置所述保护区域的目的是在安装所述操作系统时将所述操作系统的重要数据存储在该保护区域内,以避免其被非法篡改,进而达到保护操作系统的文件系统的目的。
[0036]本领域技术人员可以理解,在步骤S200中提及的术语“应用层”指的是安装于所述智能终端的上运行的操作系统中的应用程序所构成的逻辑层,根据所述操作系统的运行机制,所述应用程序可以与所述智能终端的硬件设备的驱动程序进行数据通信,以通过所述驱动程序对所述硬件设备进行控制。步骤S200中提及的写操作即是所述应用程序调用所述存储设备的驱动程序所触发的。典型地,判断所述智能终端上运行的操作系统的应用层是否触发针对所述存储设备的写操作的具体方法包括:判断所述应用层是否调用所述存储设备的驱动程序触发所述写操作。具体而言,所述应用层中的应用程序在运行时可以通过应用程序编程接口(Applicat1n Programming Interface,API)来调用所述驱动程序,所述驱动程序可以检测出所述应用程序当前的数据请求是否触发所述写操作,一旦检测出触发所述写操作,则执行步骤S300。
[0037]在步骤S300中,进一步判断所述写操作的操作对象是否存储在所述保护区域内。具体地,步骤S200和步骤S300可以由所述驱动程序来完成,该驱动程序设计为首先读取包括所述起始扇区和所述结束扇区的相关数据,用于确定所述存储设备内所述保护区域的具体位置,然后判断所述写操作的操作对象是否存储在该保护区域内。如果步骤S300的判断结果为是,进一步执行步骤S400。
[0038]具体地,步骤S400也可以由所述驱动程序来完成。该驱动程序拦截所述写操作,并向所述应用层返回错误。所述驱动程序识别出所述写操作是攻击操作系统的恶意操作,拦截该写操作的目的是保护操作系统的文件完整性,进而达到保护操作系统中文件系统的目的。
[0039]需要说明的是,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,流程图中描绘的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
[0040]相应地,本发明还提供了一种智能终端,请参考图2,图2是根据本发明的智能终端的一种【具体实施方式】的结构示意图,该智能终端100包括:
[0041]保护模块110,用于在所述智能终端100的存储设备150中设置保护区域;
[