本发明涉及应用数据保护技术领域,具体涉及一种基于seandroid强制访问控制模式的数据隔离方法。
背景技术:
seandroid(securityenhancedandroid)是美国国家安全局(nsa)根据android以linux为内核基础的特性,将selinux修改移植到android系统上而形成的。selinux通过提前编写各个进程的安全操作规则,防止其进行超越权限的访问来达到保障安全的目的。
seandroid一开始的关注点在于将selinux的机制引入到android系统中,但是这仅仅是解决了底层的权限管理问题,考虑到这种问题,seandroid结合了android的特征,在framework层参照了selinux的权限管理模式,实现了一种称为middlewaremac(简称为mac)的强制访问控制方式。
其安全结构可以简单表述为:seandroid=android+mac+selinux
因为seandroid目前正处于发展阶段,在master源码库里面只存在install-timemac的强制访问控制方式。在分支代码库里面存在其它类型的强制访问控制方式。
随着android系统成为智能手机系统的主流,病毒及恶意第三方软件也日益增多,对于用户数据的安全造成了极大地威胁。而android系统应用的数据存放在第三方应用软件包名所在的目录下,采用自主访问控制,更加剧了此问题。
技术实现要素:
本发明要解决的技术问题是:本发明针对以上问题,提供一种基于seandroid强制访问控制模式的数据隔离方法。
本发明所采用的技术方案为:
一种基于seandroid强制访问控制模式的数据隔离方法,所述方法通过改变android系统应用数据的存放位置,并使用强制访问控制对数据进行隔离保护。现有技术中,android系统应用的数据存放在第三方应用软件包名所在的目录下,并采用自主访问控制,加剧了用户数据的安全问题。
所述应用数据存放位置自定义化,减少被攻击的可能性。
所述应用数据存放在data/safedata目录下,此目录与data/data目录等级一致,通过分区影像文件ramdisk.imag在内核启动时调用mount函数,在data目录下使用mount(“data”,“data/”,“data”,0,null)生成索引节点,然后使用mkdirdata/safedata命令生成safedata目录。在应用开发过程中将数据存放位置设置为data/safedata,实现数据隔离。
所述强制访问控制的实现,通过使用seandroid安全机制的策略配置文件实现对需要保护的用户数据进行强制访问控制,对隔离的安全空间进行配置和对第三方应用软件在安全空间运行以及访问权限进行配置。
所述方法在使用seandroid配置权限以后,用户数据的访问先进行自主访问控制模式的检查,再进行强制访问控制模式的检查,即使是超级用户root,若没有强制访问控制的权限,也无法访问用户数据,无法访问用户数据存储的目录,实现了用户数据的安全隔离。
本发明的有益效果为:
本发明针对android系统应用数据的安全问题,实现了用户数据的安全隔离,有效提高了android系统智能终端产品的用户数据安全性和可靠性。
附图说明
图1为本发明方法操作流程框图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1:
一种基于seandroid强制访问控制模式的数据隔离方法,所述方法通过改变android系统应用数据的存放位置,并使用强制访问控制对数据进行隔离保护。现有技术中,android系统应用的数据存放在第三方应用软件包名所在的目录下,并采用自主访问控制,加剧了用户数据的安全问题。
实施例2
在实施例1的基础上,本实施例所述应用数据存放位置自定义化,减少被攻击的可能性。
实施例3
在实施例2的基础上,本实施例所述应用数据存放在data/safedata目录下,此目录与data/data目录等级一致,通过分区影像文件ramdisk.imag在内核启动时调用mount函数,在data目录下使用mount(“data”,“data/”,“data”,0,null)生成索引节点,然后使用mkdirdata/safedata命令生成safedata目录。在应用开发过程中将数据存放位置设置为data/safedata,实现数据隔离。
实施例4
如图1所示,在任一实施例1-3的基础上,本实施例所述强制访问控制的实现,通过使用seandroid安全机制的策略配置文件实现对需要保护的用户数据进行强制访问控制,对隔离的安全空间进行配置和对第三方应用软件在安全空间运行以及访问权限进行配置。
实施例5
在实施例4的基础上,本实施例所述方法在使用seandroid配置权限以后,用户数据的访问先进行自主访问控制模式的检查,再进行强制访问控制模式的检查,即使是超级用户root,若没有强制访问控制的权限,也无法访问用户数据,无法访问用户数据存储的目录,实现了用户数据的安全隔离。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。