技術領域

本發明涉及安全技術領域，尤其涉及一種更新安全策略文件的方法及終端。

背景技術

SE-Android安全管控機制是內嵌在Android系統當中的一種針對系統安全訪問的管控機制。該機制依據內置于系統當中的安全策略文件對系統的相關資源進行訪問管控，以達到保證系統安全運行的目的。

Android系統的安全策略文件存放位置默認包含兩個路徑，一是系統根目錄之下，另一個是/data/security/current目錄之下。存在于系統根目錄之下的安全策略是包含在ramdisk.img這個鏡像當中，屬于出廠發布的安全策略，并且不可更改。而存在于/data/security/current目錄下的安全策略可以依據實際的情況進行調整與更新。

Android系統原生的安全策略加載規則是：系統啟動的時候優先加載根目錄之下的安全策略文件，如果/data/security/current/目錄之下有相關的安全策略文件則加載該目錄下的安全策略文件進行替換。因此，如果在系統的運行當中需要更新安全策略的，只需要將新的安全策略文件下載到/data/security/current目錄之下即可。以上即為原生的Android當中的安全策略的更新與加載機制。

但是Android系統原生的SE-Android安全策略更新機制存在以下缺點：與安全策略相關的若干個“安全上下文”文件與策略文件存放的路徑為/data/security/current/。在Android系統中data目錄為可讀寫文件，因此，存放于data目錄下的安全策略文件易被惡意篡改，增加了系統未知的安全風險。

發明內容

本發明所要解決的技術問題是：如何有效防止安全策略文件被惡意篡改。

為了解決上述技術問題，本發明采用的技術方案為：

本發明提供一種更新安全策略文件的方法，包括：

在操作系統的原生代碼中添加可觸發分區掛載指令的條件語句；

當滿足所述條件語句時，

所述分區掛載指令掛載預設分區為可寫分區；

更新預設安全策略文件至所述預設分區；

所述分區掛載指令掛載所述預設分區為只讀分區。

本發明還提供一種更新安全策略文件的終端，包括一個或多個處理器及存儲器，所述存儲器存儲有程序，并且被配置成由所述一個或多個處理器執行以下步驟：

在操作系統的原生代碼中添加可觸發分區掛載指令的條件語句；

當滿足所述條件語句時，

所述分區掛載指令掛載預設分區為可寫分區；

更新預設安全策略文件至所述預設分區；

所述分區掛載指令掛載所述預設分區為只讀分區。

本發明的有益效果在于：本發明通過在操作系統的原生代碼中添加可觸發分區掛載指令的條件語句，使得只有當滿足所述條件語句時才能設置存放安全策略文件的分區的讀寫權限；由于不法分子無法提供能滿足所述條件語句的驗證數據，且無法模擬系統的原生代碼，因此，不法分子無法通過木馬程序等方式更新非法安全策略文件至存放安全策略文件的只讀分區，實現有效防止安全策略文件被惡意篡改，提高操作系統的安全性和可靠性。

附圖說明

圖1為本發明提供的一種更新安全策略文件的方法的具體實施方式的流程框圖；

圖2為本發明提供的一種更新安全策略文件的終端的具體實施方式的結構框圖；

標號說明：

1、處理器；2、存儲器。

具體實施方式

為詳細說明本發明的技術內容、所實現目的及效果，以下結合實施方式并配合附圖予以說明。

如圖1所示，本發明提供一種更新安全策略文件的方法，包括：

在操作系統的原生代碼中添加可觸發分區掛載指令的條件語句；

當滿足所述條件語句時，

所述分區掛載指令掛載預設分區為可寫分區；

更新預設安全策略文件至所述預設分區；

所述分區掛載指令掛載所述預設分區為只讀分區。

進一步地，還包括：

獲取與所述條件語句對應的驗證數據的密文；

根據預設解密算法解密所述驗證數據的密文，得到驗證數據的明文；

根據所述條件語句驗證所述驗證數據的明文，得到條件驗證結果；所述條件驗證結果包括滿足所述條件語句和不滿足所述條件語句。

由上述描述可知，只有使用操作系統中預設解密算法對驗證數據的密文進行解密操作，才可獲取驗證數據的明文，使得不法分子難以通過攔截驗證數據的密文獲知滿足條件語句的驗證數據。