036]上述方法可以實(shí)時(shí)的對Android特定分區(qū)進(jìn)行加密，在密碼驗(yàn)證通過后對其進(jìn)行解密，并能實(shí)時(shí)控制此分區(qū)的可見狀態(tài)，動(dòng)態(tài)保證了特定分區(qū)的安全性，實(shí)時(shí)的對該分區(qū)的數(shù)據(jù)進(jìn)行保護(hù)，從系統(tǒng)層面降低該系統(tǒng)平臺(tái)的隱私泄露的威脅。使Android系統(tǒng)原有的安全性上進(jìn)行提升，增加了一種運(yùn)行態(tài)特定分區(qū)實(shí)時(shí)加密管控的機(jī)制，彌補(bǔ)了原有磁盤加密方法未在運(yùn)行態(tài)的保護(hù)的缺陷，從系統(tǒng)層面降低該平臺(tái)的安全威脅。
[0037]上述步驟102中在所述加密守護(hù)服務(wù)模塊接收所述終端通過所述交互程序模塊發(fā)送的解密信息之前，所述方法還包括圖中未示出的步驟:
[0038]所述加密守護(hù)服務(wù)模塊通過所述交互程序模塊向所述終端發(fā)送請求獲取所述待解密的物理分區(qū)地址的解密信息。
[0039]在另一個(gè)可實(shí)現(xiàn)的方式中，上述步驟102中所述加密守護(hù)服務(wù)模塊接收所述終端通過所述交互程序模塊發(fā)送的解密信息，在驗(yàn)證所述解密信息錯(cuò)誤時(shí)，通過所述交互程序模塊箱所述終端發(fā)送密碼錯(cuò)誤的提示信息。
[0040]在上述步驟103之后，所述方法還包括圖中未示出的步驟:
[0041]所述加密守護(hù)服務(wù)模塊在刪除所述新建的文件夾，對所述物理分區(qū)地址進(jìn)行加密之后，更新所述預(yù)設(shè)的加密分區(qū)列表。
[0042]上述方法針對以往的Android系統(tǒng)進(jìn)行優(yōu)化增加一種基于Android系統(tǒng)平臺(tái)分區(qū)實(shí)時(shí)動(dòng)態(tài)加密的方法，使得其支持在Android系統(tǒng)運(yùn)行時(shí)對系統(tǒng)的指定分區(qū)進(jìn)行實(shí)時(shí)加解密。在保證Android系統(tǒng)正常運(yùn)行的前提下，對現(xiàn)有Android系統(tǒng)的應(yīng)用層、框架層、核心服務(wù)層修改和擴(kuò)展，使用一個(gè)底層驅(qū)動(dòng)和系統(tǒng)服務(wù)實(shí)時(shí)對系統(tǒng)的特定分區(qū)進(jìn)行加解密控制，利用管理端應(yīng)用程序構(gòu)建新的Android特定分區(qū)的實(shí)時(shí)加密控制的方法。使用一個(gè)守護(hù)進(jìn)程服務(wù)統(tǒng)籌整個(gè)系統(tǒng)的運(yùn)行，使用加密守護(hù)服務(wù)模塊CryptServer系統(tǒng)核心服務(wù)作為守護(hù)進(jìn)程，而且交互程序模塊CryptHelper是系統(tǒng)應(yīng)用。有效的保證了整個(gè)特定分區(qū)加解密系統(tǒng)的完整性與安全性，并能實(shí)時(shí)有效監(jiān)控加密分區(qū)的狀態(tài)。在這個(gè)運(yùn)行過程中，為在磁盤上保存過用戶的密鑰信息，而是直接利用內(nèi)存中的數(shù)據(jù)進(jìn)行解密，保障用戶密鑰的安全性，而且攻擊者無法利用刪除密鑰的方法來偷取加密分區(qū)中的數(shù)據(jù)。
[0043]利用此方法可以實(shí)時(shí)的對Android特定分區(qū)進(jìn)行加密，在密碼驗(yàn)證通過后對其進(jìn)行解密，并能實(shí)時(shí)控制此分區(qū)的可見狀態(tài)，動(dòng)態(tài)保證了特定分區(qū)的安全性，實(shí)時(shí)的對該分區(qū)的數(shù)據(jù)進(jìn)行保護(hù)，從系統(tǒng)層面降低該系統(tǒng)平臺(tái)的隱私泄露的威脅。因?yàn)樘囟▽?shí)時(shí)動(dòng)態(tài)加密該監(jiān)控機(jī)制的使用，只有當(dāng)通密碼驗(yàn)證通過才能使用該分區(qū)的資源有效防止隱私泄露，以及泄密事件的發(fā)生。
[0044]下面通過具體步驟對上述方法進(jìn)行詳細(xì)說明。
[0045]步驟1:首先在系統(tǒng)啟動(dòng)后啟動(dòng)init進(jìn)程，它將讀取相應(yīng)的配置文件，然后根據(jù)已設(shè)置啟動(dòng)參數(shù)啟動(dòng)CryptServer核心服務(wù)，CryptServer并且預(yù)讀系統(tǒng)中用戶的設(shè)置，以及分區(qū)和分區(qū)名對應(yīng)表。
[0046]步驟2:CryptServer構(gòu)建一個(gè)當(dāng)前加密狀態(tài)列表(包括當(dāng)前各個(gè)分區(qū)的加密狀況，以及加解密時(shí)間)，并進(jìn)入等待狀態(tài)，等待系統(tǒng)級應(yīng)用程序CryptHelper的指令。
[0047]步驟3:此時(shí)位于CryptServer加密列表中的所有分區(qū)都處于加密狀態(tài)，對與系統(tǒng)而言此時(shí)的分區(qū)無法掛載，因?yàn)榉謪^(qū)的文件系統(tǒng)是密文，而且也無掛載點(diǎn)。
[0048]步驟4:當(dāng)用戶想對某個(gè)分區(qū)進(jìn)行解密時(shí)，用戶需要對打開系統(tǒng)級應(yīng)用程序CryptHeIper，并且選擇解密的目標(biāo)分區(qū)名，此時(shí)CryptHelper會(huì)將目標(biāo)分區(qū)名發(fā)送給CryptServer0
[0049]步驟5:當(dāng)CryptServer收到解密的請求時(shí)，首先驗(yàn)證請求的發(fā)送方的信息，并判斷其是否為系統(tǒng)應(yīng)用CryptHelper。如果驗(yàn)證失敗，將直接斷開連接，并記錄錯(cuò)誤。如果驗(yàn)證通過，CryptServer將讀取加密分區(qū)列表中的信息，根據(jù)目標(biāo)解密分區(qū)名找到相應(yīng)的物理分區(qū)地址，以及相應(yīng)的設(shè)備fd，可以理解為指針指向的設(shè)備。
[0050]步驟6:當(dāng)CryptServer完成步驟5后，會(huì)向CryptHelper返回分區(qū)已找到的信息，并向CryptHelper請求分區(qū)解密密碼，CryptServer進(jìn)入等待狀態(tài)，等待CryptHelper傳入解密密碼。CryptHelper收到信息后，立刻刷新界面請求用戶輸入解密密碼，并驗(yàn)證密碼格式是否正確(如是否為空，是否少于6位等)。當(dāng)用戶輸入密碼后，CryptHelper立刻將此密碼傳輸給CryptServer。
[0051]步驟7:當(dāng)CryptServer收到密碼后，直接利用此密碼嘗試對此分區(qū)進(jìn)行解密，如果密碼驗(yàn)證通過，則將該分區(qū)全盤解密，并且利用Iinux內(nèi)核工具device-mapper進(jìn)行重新映射，映射到一個(gè)新的塊設(shè)備/dev/mapper/name。
[0052]該步驟通過密碼嘗試，并未單獨(dú)設(shè)置一文件存有分區(qū)對應(yīng)的預(yù)設(shè)的密碼表格，密碼對于用戶來說均是不可見的，因此，不存在密碼被盜的風(fēng)險(xiǎn)。
[0053]步驟8:CryptServer在根目錄創(chuàng)建一個(gè)新的文件夾SecPart，并且修改其的權(quán)限組。然后CryptServer會(huì)去讀取自身的分區(qū)信息表，根據(jù)其中的相應(yīng)分區(qū)的文件系統(tǒng)類型將解密后的/dev/mapper/name,掛載到SecPart，掛載完成后會(huì)向系統(tǒng)程序CryptHeIper返回已完成掛載代碼。
[0054]步驟9:如果密碼驗(yàn)證失敗，則CryptServer跳過步驟8直接向CryptHelper返回相應(yīng)的錯(cuò)誤代碼。CryptHelper收到代碼后根據(jù)相應(yīng)的代碼提示用戶已解密成功，或者密碼錯(cuò)誤。此后驗(yàn)證通過后用戶就可以正常使用加密分區(qū)。
[0055]步驟10:當(dāng)用戶點(diǎn)擊系統(tǒng)程序的關(guān)閉密區(qū)后，在已解密的分區(qū)中，選擇相應(yīng)的分區(qū)名，并將其傳送給CryptServer，由CryptServer關(guān)閉所有的使用該分區(qū)的程序，然后再從SecPart上解掛載，并且再次加密，然后關(guān)閉/dev/mapper/name的映射關(guān)系。然后刪除文件夾SecPart，此時(shí)返回給CryptHelper關(guān)閉成功的代碼，CryptHelper刷新其密區(qū)列表，并提示用戶關(guān)閉相應(yīng)密區(qū)成功。
[0056]本發(fā)明還提供了一種磁盤數(shù)據(jù)的保護(hù)系統(tǒng)的結(jié)構(gòu)示意圖，如圖2所示，該系統(tǒng)包括:終端1、加密守護(hù)服務(wù)模塊2、通信適配器模塊3、加密守護(hù)服務(wù)模塊4和分區(qū)加解密模塊5。
[0057]加密守護(hù)服務(wù)模塊，用于在接收到終端通過交互程序模塊發(fā)送的解密的請求消息時(shí)，通過查詢預(yù)設(shè)的加密分區(qū)列表獲取所述請求消息對應(yīng)的待解密的物理分區(qū)地址；
[0058]終端，用于通過所述交互程序模塊向所述加密守護(hù)服務(wù)模塊發(fā)送解密信息；
[0059]所述加密守護(hù)服務(wù)模塊，還用于接收所述解密信息，在驗(yàn)證所述解密信息正確后，解密所述物理分區(qū)地址，并將所述物理分區(qū)地址的內(nèi)容映射到新建的文件夾中；
[0060]所述終端，用于對所述新建的文件夾中的內(nèi)容進(jìn)行操作；
[0061]所述加密守護(hù)服務(wù)模塊，還用于在所述終端對所述新建的文件夾中的內(nèi)容進(jìn)行操作的同時(shí)，將操作的新建的文件夾中的內(nèi)容映射到所述物理分區(qū)地址，并在所述操作完成后，刪除所述新建的文件夾，對所述物