[发明专利]一种Android双数据分区构建方法

说明书

本发明提出了一种Android双数据分区构建方法，属于数据存储安全技术领域。在原数据分区中划分出一部分存储空间作为加密数据分区，通过修改内核文件，并将加密数据分区映射为一个虚拟设备节点，将此节点挂载到特定目录下，使系统启动后能够自动挂载加密数据分区，从而达到Android双数据分区的效果。当向加密数据分区中存放隐私数据时，数据会自动加密存储到手机磁盘，从而达到数据保护的目的。

技术领域

本发明涉及一种Android双数据分区构建方法，属于数据存储安全技术领域。

背景技术

Android是一种基于Linux的自由及开放源代码的操作系统，由Google公司和开放手机联盟领导及开发，主要用于智能手机等移动设备。随着Android系统的市场的不断壮大，以及Android源码良好的开源性和扩展性，伴随Android系统发展的风险也越来越大。一些未知来源的恶意软件、可以自刷第三方ROM，以及随意的对手机进行ROOT提权等，使得存储了明文格式的没有经过加密的数据轻易地被窃取，大大的降低了Android系统的数据安全性。因此，如何对系统中存储的隐私数据(如照片、录音等)进行加密保护成为了最为关心的问题。

基于数据存储的安全性考虑，从Android 3.0开始，谷歌为了保护用户数据安全，在Android磁盘上便提供了全磁盘加密方案:dm-crypt加密。dm-crypt是Linux内核提供的一个磁盘加密模块，使得Android系统启动过程中根据一个密钥将设备的磁盘加密，加密完成后，所有用户创建的数据在提交到磁盘存储之前会自动被加密，当数据再次被读取时，又会被系统自动解密。这种动态加密技术保留了用户的使用习惯，无需用户多余的操作，即可实现数据的加密保护，具有很强的应用性。但是，全磁盘加密付出的系统资源代价过高，因为在data分区中存放的数据很大一部分都是系统程序和第三方应用，全部加密会占用过多资源，降低系统性能。

发明内容

本发明的目的是为了在实现Android系统数据存储安全性的同时，提高系统资源使用率、提升系统性能，从现有的必须对数据全部进行加密改进为针对用户需要加密的信息进行加密，提出一种Android双数据分区构建方法。

如图1所示，本发明的设计原理为，在Android系统启动后，在原有数据分区基础上划分成两个数据分区，即，普通数据分区和加密数据分区。用户可以根据需要，选择将数据存储在普通数据分区还是加密数据分区。

通常，Android系统的磁盘一般划分为如下几个分区：boot分区，recovery分区，system分区，data分区，cache分区等。其中，boot分区是把内核和虚拟内存(ramdisk)以及file的根文件系统打包编译生成boot.img来烧录的。system分区是挂载到/system目录下的分区，基本包含了整个Android操作系统。data分区即用户数据区，挂载到/data目录下，包含了用户的数据：联系人、短信、设置、用户安装的程序。

如果在data分区中找到一部分存储空间，将其作为另外一个数据分区，并对这个数据分区运用dm-crypt加密技术，使保存在这个数据分区的数据都会经过动态加密写入到磁盘中，就能够有效提高Android手机的数据安全性。通过修改系统的内核文件和启动脚本等，并且了解Android系统的相关特性，可以实现在系统启动过程中正常挂载加密分区，实现开机后系统存在双数据分区的效果。

本发明的目的是通过以下技术方案实现的：

一种Android双数据分区构建方法，包括以下步骤：

步骤一、观察Android系统数据分区使用情况，找出连续的空闲磁盘空间，即，寻找系统空闲磁盘空间。具体方法为：进入Android系统，观察系统数据分区(data分区)块组使用状况，并记录可使用的，连续的、空闲的块组块号作为加密数据分区的位置，计算起始位置和大小。