[发明专利]一种更新安全策略文件的方法及终端

说明书

技术领域

本发明涉及安全技术领域，尤其涉及一种更新安全策略文件的方法及终端。

背景技术

SE-Android安全管控机制是内嵌在Android系统当中的一种针对系统安全访问的管控机制。该机制依据内置于系统当中的安全策略文件对系统的相关资源进行访问管控，以达到保证系统安全运行的目的。

Android系统的安全策略文件存放位置默认包含两个路径，一是系统根目录之下，另一个是/data/security/current目录之下。存在于系统根目录之下的安全策略是包含在ramdisk.img这个镜像当中，属于出厂发布的安全策略，并且不可更改。而存在于/data/security/current目录下的安全策略可以依据实际的情况进行调整与更新。

Android系统原生的安全策略加载规则是：系统启动的时候优先加载根目录之下的安全策略文件，如果/data/security/current/目录之下有相关的安全策略文件则加载该目录下的安全策略文件进行替换。因此，如果在系统的运行当中需要更新安全策略的，只需要将新的安全策略文件下载到/data/security/current目录之下即可。以上即为原生的Android当中的安全策略的更新与加载机制。

但是Android系统原生的SE-Android安全策略更新机制存在以下缺点：与安全策略相关的若干个“安全上下文”文件与策略文件存放的路径为/data/security/current/。在Android系统中data目录为可读写文件，因此，存放于data目录下的安全策略文件易被恶意篡改，增加了系统未知的安全风险。

发明内容

本发明所要解决的技术问题是：如何有效防止安全策略文件被恶意篡改。

为了解决上述技术问题，本发明采用的技术方案为：

本发明提供一种更新安全策略文件的方法，包括：

在操作系统的原生代码中添加可触发分区挂载指令的条件语句；

当满足所述条件语句时，

所述分区挂载指令挂载预设分区为可写分区；

更新预设安全策略文件至所述预设分区；

所述分区挂载指令挂载所述预设分区为只读分区。

本发明还提供一种更新安全策略文件的终端，包括一个或多个处理器及存储器，所述存储器存储有程序，并且被配置成由所述一个或多个处理器执行以下步骤：

在操作系统的原生代码中添加可触发分区挂载指令的条件语句；

当满足所述条件语句时，

所述分区挂载指令挂载预设分区为可写分区；

更新预设安全策略文件至所述预设分区；

所述分区挂载指令挂载所述预设分区为只读分区。

本发明的有益效果在于：本发明通过在操作系统的原生代码中添加可触发分区挂载指令的条件语句，使得只有当满足所述条件语句时才能设置存放安全策略文件的分区的读写权限；由于不法分子无法提供能满足所述条件语句的验证数据，且无法模拟系统的原生代码，因此，不法分子无法通过木马程序等方式更新非法安全策略文件至存放安全策略文件的只读分区，实现有效防止安全策略文件被恶意篡改，提高操作系统的安全性和可靠性。

附图说明

图1为本发明提供的一种更新安全策略文件的方法的具体实施方式的流程框图；

图2为本发明提供的一种更新安全策略文件的终端的具体实施方式的结构框图；

标号说明：

1、处理器；2、存储器。

具体实施方式

为详细说明本发明的技术内容、所实现目的及效果，以下结合实施方式并配合附图予以说明。

如图1所示，本发明提供一种更新安全策略文件的方法，包括：

在操作系统的原生代码中添加可触发分区挂载指令的条件语句；

当满足所述条件语句时，

所述分区挂载指令挂载预设分区为可写分区；

更新预设安全策略文件至所述预设分区；

所述分区挂载指令挂载所述预设分区为只读分区。

进一步地，还包括：

获取与所述条件语句对应的验证数据的密文；

根据预设解密算法解密所述验证数据的密文，得到验证数据的明文；

根据所述条件语句验证所述验证数据的明文，得到条件验证结果；所述条件验证结果包括满足所述条件语句和不满足所述条件语句。

由上述描述可知，只有使用操作系统中预设解密算法对验证数据的密文进行解密操作，才可获取验证数据的明文，使得不法分子难以通过拦截验证数据的密文获知满足条件语句的验证数据。