一种通过移动应用程序签名证书来区分双域空间的方法与流程

本发明涉及移动设备的安全问题，具体涉及一种通过移动应用程序签名证书来区分双域空间的方法。

背景技术：

当今社会，手机、手提电脑等移动设备已成为人们不可或缺的电子产品，在人们使用移动设备时，却不知移动设备面临着各种威胁，攻击者往往使用移动设备中很常见的漏洞来发动攻击，这些漏洞可能是技术控制的不足，更多是人们糟糕的安全做法，具体的安全问题如下一些：

(1)移动设备中安装了恶意软件，人们可能会下载包含恶意软件的应用程序，如一些应用程序伪装成游戏、安全补丁、实用工具等，人们很难去区分合法应用程序和恶意程序，安全该恶意程序后，移动设备的数据很容易被拦截，导致数据泄露；

(2)通信通道没有安全措施，如蓝牙打开，导致攻击者蓝牙连接安装恶意软件，窃取信息，或者连接公共wifi，让攻击者访问设备上的个人信息，攻击者还可以在通信流中窃取信息。

通过上述问题，可以看出移动设备的安全问题正使得现在人们面临巨大损失，急需一种方法来解决人们的问题

技术实现要素：

本发明的目的在于提供一种通过移动应用程序签名证书来区分双域空间的方法，用以解决人们在使用移动设备时，无甄别地安装应用，可能会带来恶意软件，导致用户信息泄露的问题。

为实现上述目的，本发明的技术方案为一种通过移动应用程序签名证书来区分双域空间的方法，包括以下步骤：

步骤1：移动设备中设置两个程序运行空间，分别为安全空间和受限空间，并分别设定两个空间的规则；

步骤2：移动设备中安装监控程序，该监控程序监控所有待安装应用的来源，以及监控并阻止位于受限空间中的应用的非法动作；

步骤3：移动设备的系统程序启动安装应用，发送需求安装空间命令到监控程序；

步骤4：监控程序检测预安装应用是否具有签名证书，如具有签名证书则批准安全空间给系统程序进行安装应用，如不具有签名证书则批准受限空间给系统程序进行安装应用。

所述的安全空间的规则：一是数据隔离存储，通过重定向隔离，把文件目录隔离；二是数据传输隔离，安全空间中的应用需要数据传输过程时，通过签名证书来识别应用，确认是否可以将该数据传递出去。

所述的受限空间的规则为完全开放监控功能给监控程序，监控程序监控内部应用的日常运行，并阻止内部应用采取非法动作。

所述的安全空间和受限空间为移动设备的两个用户，移动设备的系统给予两者分配独立的资源和操作界面，操作者可以随意在两者之间进行切换。

所述的监控程序在移动设备启动时，会自行启动，监控程序加入保活服务序列，监控程序被杀死后，保活服务自动拉起，保证程序正常运行。

所述的非法动作包括root、越权、系统服务调用和多媒体数据访问。

本发明具有如下优点：

(1)本发明中，移动设备采用双系统用户，两个系统用户的使用的资源相互独立，使用独立的操作界面，操作者可以在两个系统用户之间随意切换；

(2)双系统中，命名为安全空间的系统用户中，使用应用时，发送的数据受到严格的隔断保护，避免攻击者获取数据；命名为受限空间的系统用户中，应用的所有行为将被监控，当应用做出非法行为时，将被直接制止；

(3)移动设备还使用监控程序监控应用的安装，当安装的应用为带有企业签名证书的，则分配到名称为安全空间的系统用户中进行安装，当安装的应用没有企业签名证书时，则分配到受限空间的系统用户中进行安装，这样用户即可以放心的安装应用。

附图说明

图1为本发明的流程图。

具体实施方式

以下实施例用于说明本发明，但不用来限制本发明的范围。

实施例1

如图1所示，一种通过移动应用程序签名证书来区分双域空间的方法，包括以下步骤：

步骤1：移动设备中设置两个程序运行空间，分别为安全空间和受限空间，并分别设定两个空间的规则；

步骤2：移动设备中安装监控程序，该监控程序监控所有待安装应用的来源，以及监控并阻止位于受限空间中的应用的非法动作；

步骤3：移动设备的系统程序启动安装应用，发送需求安装空间命令到监控程序；

步骤4：监控程序检测预安装应用是否具有签名证书，如具有签名证书则批准安全空间给系统程序进行安装应用，如不具有签名证书则批准受限空间给系统程序进行安装应用。

所述的安全空间的规则：一是数据隔离存储，通过重定向隔离，把文件目录隔离；二是数据传输隔离，安全空间中的应用需要数据传输过程时，通过签名证书来识别应用，确认是否可以将该数据传递出去。

所述的受限空间的规则为完全开放监控功能给监控程序，监控程序监控内部应用的日常运行，并阻止内部应用采取非法动作。

所述的安全空间和受限空间为移动设备的两个用户，移动设备的系统给予两者分配独立的资源和操作界面，操作者可以随意在两者之间进行切换。

所述的监控程序在移动设备启动时，会自行启动，监控程序加入保活服务序列，监控程序被杀死后，保活服务自动拉起，保证程序正常运行。

所述的非法动作包括root、越权、系统服务调用和多媒体数据访问。

在移动设备中，平台中既有娱乐app，又有高安全等级的app，要限制娱乐app对于系统底层的访问，同时保护高安全等级的app。这是本发明的最终目的，高安全等级的app(如支付宝、微信)，经常涉及到用户的个人信息，所以必须严格保护，该app与外界的通信内容也非常的重要。而娱乐app则不需要进行全方面的保护，以避免影响移动设备的运行速度，只需要监视其没有非法行为即可。

技术特征：

技术总结
本发明公开了一种通过移动应用程序签名证书来区分双域空间的方法，包括：步骤1，建立双空间；步骤2，设置监控程序；步骤3，监控软件安装步骤；步骤4，分配安装空间。本发明具有如下优点：本发明中，移动设备采用双系统用户，两者使用的资源相互独立，使用独立的操作界面，操作者可以随意切换；双系统中，命名为安全空间的系统用户中，使用应用时，发送的数据受到严格的保护，避免攻击者获取数据；命名为受限空间的系统用户中，应用的所有行为将被监控，当应用做出非法行为时，将被直接制止；移动设备还使用监控程序监控应用的安装，将带有企业签名证书的分配到安全空间进行安装，将没有企业签名证书的分配到受限空间中进行安装。

技术研发人员：王伟;桂艳峰;丁俊一;陈电波;王凤周;陈丽媛;高小凤
受保护的技术使用者：北京指掌易科技有限公司
技术研发日：2018.10.31
技术公布日：2019.03.19