本發明提出了一種Android雙數據分區構建方法，屬于數據存儲安全技術領域。在原數據分區中劃分出一部分存儲空間作為加密數據分區，通過修改內核文件，并將加密數據分區映射為一個虛擬設備節點，將此節點掛載到特定目錄下，使系統啟動后能夠自動掛載加密數據分區，從而達到Android雙數據分區的效果。當向加密數據分區中存放隱私數據時，數據會自動加密存儲到手機磁盤，從而達到數據保護的目的。

技術領域

本發明涉及一種Android雙數據分區構建方法，屬于數據存儲安全技術領域。

背景技術

Android是一種基于Linux的自由及開放源代碼的操作系統，由Google公司和開放手機聯盟領導及開發，主要用于智能手機等移動設備。隨著Android系統的市場的不斷壯大，以及Android源碼良好的開源性和擴展性，伴隨Android系統發展的風險也越來越大。一些未知來源的惡意軟件、可以自刷第三方ROM，以及隨意的對手機進行ROOT提權等，使得存儲了明文格式的沒有經過加密的數據輕易地被竊取，大大的降低了Android系統的數據安全性。因此，如何對系統中存儲的隱私數據(如照片、錄音等)進行加密保護成為了最為關心的問題。

基于數據存儲的安全性考慮，從Android 3.0開始，谷歌為了保護用戶數據安全，在Android磁盤上便提供了全磁盤加密方案:dm-crypt加密。dm-crypt是Linux內核提供的一個磁盤加密模塊，使得Android系統啟動過程中根據一個密鑰將設備的磁盤加密，加密完成后，所有用戶創建的數據在提交到磁盤存儲之前會自動被加密，當數據再次被讀取時，又會被系統自動解密。這種動態加密技術保留了用戶的使用習慣，無需用戶多余的操作，即可實現數據的加密保護，具有很強的應用性。但是，全磁盤加密付出的系統資源代價過高，因為在data分區中存放的數據很大一部分都是系統程序和第三方應用，全部加密會占用過多資源，降低系統性能。

發明內容

本發明的目的是為了在實現Android系統數據存儲安全性的同時，提高系統資源使用率、提升系統性能，從現有的必須對數據全部進行加密改進為針對用戶需要加密的信息進行加密，提出一種Android雙數據分區構建方法。

如圖1所示，本發明的設計原理為，在Android系統啟動后，在原有數據分區基礎上劃分成兩個數據分區，即，普通數據分區和加密數據分區。用戶可以根據需要，選擇將數據存儲在普通數據分區還是加密數據分區。

通常，Android系統的磁盤一般劃分為如下幾個分區：boot分區，recovery分區，system分區，data分區，cache分區等。其中，boot分區是把內核和虛擬內存(ramdisk)以及file的根文件系統打包編譯生成boot.img來燒錄的。system分區是掛載到/system目錄下的分區，基本包含了整個Android操作系統。data分區即用戶數據區，掛載到/data目錄下，包含了用戶的數據：聯系人、短信、設置、用戶安裝的程序。

如果在data分區中找到一部分存儲空間，將其作為另外一個數據分區，并對這個數據分區運用dm-crypt加密技術，使保存在這個數據分區的數據都會經過動態加密寫入到磁盤中，就能夠有效提高Android手機的數據安全性。通過修改系統的內核文件和啟動腳本等，并且了解Android系統的相關特性，可以實現在系統啟動過程中正常掛載加密分區，實現開機后系統存在雙數據分區的效果。

本發明的目的是通過以下技術方案實現的：

一種Android雙數據分區構建方法，包括以下步驟：

步驟一、觀察Android系統數據分區使用情況，找出連續的空閑磁盤空間，即，尋找系統空閑磁盤空間。具體方法為：進入Android系統，觀察系統數據分區(data分區)塊組使用狀況，并記錄可使用的，連續的、空閑的塊組塊號作為加密數據分區的位置，計算起始位置和大小。