Android加密之文件级加密

最新推荐文章于 2024-01-27 10:20:22 发布
最新推荐文章于 2024-01-27 10:20:22 发布
阅读量4.5w 收藏 83
点赞数 11
分类专栏: Android system 文章标签: FBE 文件级加密 Android加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myfriend0/article/details/77094890
版权

Android加密之文件级加密

前置文章

《Android加密之全盘加密》

《Android系统之System Server大纲》

前言

Android 的安全性问题一直备受关注,Google 在 Android 系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。

在 Android 的安全性方面,有很多模块:

  1. 内核安全性
  2. 应用安全性
  3. 应用签名
  4. 身份验证
  5. Trusty TEE
  6. SELinux
  7. 加密
    等等

其中,加密又分全盘加密(Android 4.4 引入,《Android加密之全盘加密》)和文件级加密(Android 7.0 引入),本文将论述加密中的文件级加密的基本知识。

什么是文件级加密

Android 7.0 及更高版本支持文件级加密 (FBE)。采用文件级加密时,可以使用不同的密钥对不同的文件进行加密,并且可以对这些文件进行单独解密。

全盘加密和文件级加密的区别

借助文件级加密,Android 7.0 中引入了一项称为直接启动的新功能。该功能处于启用状态时,已加密设备在启动后将直接进入锁定屏幕。之前,在使用全盘加密 (FDE) 的已加密设备上,用户在访问任何数据之前都需要先提供凭据,从而导致手机无法执行除最基本操作之外的所有其他操作。例如,闹钟无法运行,无障碍服务不可用,手机无法接电话,而只能进行基本的紧急拨号操作。

文件级加密概述

引入文件级加密 (FBE) 和新 API 后,便可以将应用设为加密感知型应用,这样一来,它们将能够在受限环境中运行。这些应用将可以在用户提供凭据之前运行,同时系统仍能保护私密用户信息。

在启用了 FBE 的设备上,每位用户均有两个可供应用使用的存储位置:

  • 凭据加密 (CE) 存储空间:这是默认存储位置,只有在用户解锁设备后才可用。
  • 设备加密 (DE) 存储空间:在直接启动模式期间以及用户解锁设备后均可用。

这种区分能够使工作资料更加安全,因为这样一来,加密不再只基于启动时密码,从而能够同时保护多位用户。

Direct Boot API 允许加密感知型应用访问上述每个区域。应用生命周期会发生一些变化,以便在用户的 CE 存储空间因用户在锁定屏幕上首次输入凭据而解锁时,或者在工作资料提供工作挑战时,通知应用。无论是否实现了 FBE,运行 Android 7.0 的设备都必须要支持这些新的 API 和生命周期。不过,如果没有 FBE,DE 和 CE 存储空间将始终处于解锁状态。

启用文件级加密

通过将不带参数的 fileencryption 标记添加到 userdata 分区最后一列的 fstab 行中,可以启用 FBE。

直接启动感知型应用

为了实现系统应用的快速迁移,新增了两个可在应用级别设置的属性。defaultToDeviceProtectedStorage 属性仅适用于系统应用,directBootAware 属性则适用于所有应用。

启用文件级加密的条件

  • 对 EXT4 加密的内核支持(内核配置选项:EXT4_FS_ENCRYPTION)
  • 基于 1.0 或 2.0 版 HAL 的 Keymaster 支持。不支持 Keymaster 0.3,因为它既不提供必要的功能,也不能保证为加密密钥提供充分保护。
  • 必须在可信执行环境 (TEE) 中实现 Keymaster/Keystore 和 Gatekeeper,以便为 DE 密钥提供保护,从而使未经授权的操作系统(刷到设备上的定制操作系统)无法直接请求 DE 密钥。
  • 内核加密性能必须要在使用 AES XTS 时至少达到 50MB/s,以确保良好的用户体验。
  • 硬件信任根和验证启动需要绑定到 Keymaster 初始化进程,以确保未经授权的操作系统无法获取设备加密凭据。

加密过程

密钥创建

首次创建设备的 userdata 分区时,会由 init 脚本应用基本结构和政策。这些脚本将触发创建首位用户(用户 0)的 CE 密钥和 DE 密钥,并定义要使用这些密钥加密哪些目录。创建其他用户和资料时,会生成必要的其他密钥并将其存储在密钥代码库中;接下来会创建它们的凭据和设备存储位 置,并且加密政策会将这些密钥关联到相应目录。

DE密钥

触发 late-init action

// 开机执行init.cpp,
int main(int argc, char** argv) {
    ......
    // 解析 init.rc file
    Parser& parser = Parser::GetInstance();
    parser.ParseConfig("/init.rc");

    // Don't mount filesystems or start core system services in charger mode.
    std::string bootmode = property_get("ro.bootmode");
    if (bootmode == "charger") {
        am.QueueEventTrigger("charger");
    } else {
        // 触发 late-init action
        am.QueueEventTrigger("late-init");
    }
    ......
}

这个方法定义在文件 system/core/init/init.cpp 中。

触发 post-fs-data

on late-init
    .....
    trigger post-fs
    # Now we can mount /data. File encryption requires keymaster to decrypt
    # /data, which in turn can only be loaded when system properties are present
    trigger post-fs-data
    .....

这个 action 定义在文件 system/core/rootdir/init.rc 中。

执行 installkey 命令

on post-fs-data
    chown system system /data
    chmod 0771 /data
    # Make sure we have the device encryption key.
    start vold
    #执行 installkey 命令
    installkey /data

这个 action 定义在文件 system/core/rootdir/init.rc 中。

命令 installkey 实质执行 do_installkey 函数

BuiltinFunctionMap::Map& BuiltinFunctionMap::map() const {
    constexpr std::size_t kMax = std::numeric_limits<std::size_t>::max();
    static const Map builtin_functions = {
        .....
        {"installkey",              {1,     1,    do_installkey}},
        {"load_persist_props",      {0,     0,    do_load_persist_props}},
        .....
    };
    return builtin_functions;

这个方法定义在文件 system/core/init/builtins.cpp 中。

do_installkey() 函数定义如下

// 是否是 文件级加密
static bool is_file_crypto() {
    // 文件级加密 ro.crypto.type 的值是 file, 全盘加密是 block
    std::string value = property_get("ro.crypto.type");
    return value == "file";
}

static int do_installkey(const std::vector<std::string>& args) {
    // 检查是否是文件级加密
    if (!is_file_crypto()) {
        return 0;
    }
    // 创建密钥
    return e4crypt_create_device_key(args[1].c_str(),
                                     do_installkeys_ensure_dir_exists);
}

这个方法定义在文件 system/core/init/builtins.cpp 中。

ro.crypto.type 在函数 do_mount_all() 中设置 

static int do_mount_all(const std::vector<std::string>& args) {
    } else if (ret == FS_MGR_MNTALL_DEV_FILE_ENCRYPTED) {
        if (e4crypt_install_keyring()) {
            return -1;
        }
        property_set("ro.crypto.state", "encrypted");
        //文件级加密
        property_set("ro.crypto.type", "file");
}

这个方法定义在文件 system/core/init/builtins.cpp 中。

回到 do_installkey() 函数,e4crypt_create_device_key() 定义如下

int e4crypt_create_device_key(const char* dir,
                              int ensure_dir_exists(const char*))
{
    init_logging();
    .....
    // 执行 vdc, 传入命令 enablefilecrypto, 同时需要注意参数 cryptfs
    const char* argv[] = { "/system/bin/vdc", "--wait", "cryptfs", "enablefilecrypto" };
    // 从 init, 到 vdc, 注意参数 argv[]
    int rc = android_fork_execvp(4, (char**) argv, NULL, false, true);
    LOG(INFO) << "enablefilecrypto result: " << rc;
    return rc;
}

这个方法定义在文件 system/extras/ext4_utils/ext4_crypt_init_extensions.cpp 中。

android_fork_execvp() 实质是调用函数 android_fork_execvp_ext()

static inline int android_fork_execvp(int argc, char* argv[], int *status,
                                     bool ignore_int_quit, bool logwrap)
{
    // 实质是调用函数这个函数
    return android_fork_execvp_ext(argc, argv, status, ignore_int_quit,
                                   (logwrap ? LOG_ALOG : LOG_NONE), false, NULL,
                                   NULL, 0);
}

这个方法定义在文件 system/core/logwrapper/include/logwrap/logwrap.h 中。

函数 android_fork_execvp_ext() 的实现如下

int android_fork_execvp_ext(int argc, char* argv[], int *status, bool ignore_int_quit,
        int log_target, bool abbreviated, char *file_path,
        const struct AndroidForkExecvpOption* opts, size_t opts_len) {
    // fork 一个新的进程运行 vdc 程序
    pid = fork();
    if (pid < 0) {
        .....
    } else if (pid == 0) {
        .....
        // fork 进程成功, 执行函数 child()
        child(argc, argv);
    } else {

}

这个方法定义在文件 system/core/logwrapper/logwrap.c 中。

static void child(int argc, char* argv[]) {
    // create null terminated argv_child array
    char* argv_child[argc + 1];
    memcpy(argv_child, argv, argc * sizeof(char *));
    argv_child[argc] = NULL;
    // 开始运行 vdc 程序,参数 cryptfs, enablefilecrypto
    // 从 init 进程,进入到 vdc 进程
    if (execvp(argv_child[0], argv_child)) {
        FATAL_CHILD("executing %s failed: %s\n", argv_child[0],
                strerror(errno));
    }
}

这个方法定义在文件 system/core/logwrapper/logwrap.c 中。

int main(int argc, char **argv) {
    // 定义待连接的 socket 标识
    const char* sockname = "vold";
    //在上面的参数中 argv[1] 等于 cryptfs, 所以 socket name 等于 cryptd
    if (!strcmp(argv[1], "cryptfs")) {
        sockname = "cryptd";
    }
    // 等待连接到 vold
    while ((sock = socket_local_client(sockname,
                                 ANDROID_SOCKET_NAMESPACE_RESERVED,
                                 SOCK_STREAM)) < 0) {
        .....
    }
    if (!strcmp(argv[1], "monitor")) {
        exit(do_monitor(sock, 0));
    } else {
        //argv[1] 等于 cryptfs, 执行函数 do_cmd()
        exit(do_cmd(sock, argc, argv));
    }
}

这个方法定义在文件 system/vold/vdc.cpp 中。

static int do_cmd(int sock, int argc, char **argv) {
    .....
    // 写入 socket,注意参数 cmd.c_str()
    if ((write(sock, cmd.c_str(), cmd.length() + 1)) < 0) {
        fprintf(stderr, "Failed to write command: %s\n", strerror(errno));
        return errno;
    }
    return do_monitor(sock, seq);
}

这个方法定义在文件 system/vold/vdc.cpp 中。

socket 写入数据到远程后,执行到 vold 进程

int CryptCommandListener::CryptfsCmd::runCommand(SocketClient *cli,
                                                 int argc, char **argv) {
    if (subcommand == "checkpw") {
        .....
    } 
    ..... 
    //传入的命令是 enablefilecrypto
    } else if (subcommand == "enablefilecrypto") {
        if (!check_argc(cli, subcommand, argc, 2, "")) return 0;
        dumpArgs(argc, argv, -1);
        rc = cryptfs_enable_file();
    }  
    .....                                             
}

这个方法定义在文件 system/vold/CryptCommandListener.cpp 中。

函数 cryptfs_enable_file() 定义如下

int cryptfs_enable_file()
{
    return e4crypt_initialize_global_de();
}

这个函数定义在文件 system/vold/cryptfs.c 中。

bool e4crypt_initialize_global_de() {
    .....
    // device_key_path = /data/unencrypted/key/
    if (path_exists(device_key_path)) {
        if (!android::vold::retrieveKey(device_key_path,
                kEmptyAuthentication, &device_key)) return false;
    } else {
        LOG(INFO) << "Creating new key";
        // 创建 密钥
        if (!random_key(&device_key)) return false;
        // 保存密钥
        if (!store_key(device_key_path, device_key_temp,
                kEmptyAuthentication, device_key)) return false;
    }

    std::string device_key_ref;
    //存储在密钥代码库中
    if (!install_key(device_key, &device_key_ref)) {
        LOG(ERROR) << "Failed to install device key";
        return false;
    }
    // 应用密钥
    std::string ref_filename = std::string("/data") + e4crypt_key_ref;
    if (!android::base::WriteStringToFile(device_key_ref, ref_filename)) {
        PLOG(ERROR) << "Cannot save key reference";
        return false;
    }

    s_global_de_initialized = true;
    return true;
}

DE密钥创建过程就分析到这里。

CE密钥

同样在 init.rc 的 post-fs-data action 中

on post-fs-data
    .....
    installkey /data
    .....
    执行 init_user0 命令
    init_user0
    .....

这个 action 定义在文件 system/core/rootdir/init.rc 中。

init_user0 实质是执行函数 

BuiltinFunctionMap::Map& BuiltinFunctionMap::map() const {
    constexpr std::size_t kMax = std::numeric_limits<std::size_t>::max();
    static const Map builtin_functions = {
    .....
    {"ifup",                    {1,     1,    do_ifup}},
    //执行 do_init_user0() 函数
    {"init_user0",              {0,     0,    do_init_user0}},
    .....
}

这个方法定义在文件 system/core/init/builtins.cpp 中。

函数 do_init_user0() 定义如下

static int do_init_user0(const std::vector<std::string>& args) {
    //直接调用了函数 e4crypt_do_init_user0()
    return e4crypt_do_init_user0();
}

这个方法定义在文件 system/core/init/builtins.cpp 中。

函数 e4crypt_do_init_user0() 定义如下

int e4crypt_do_init_user0()
{
    init_logging();
    //执行 vdc , 参数 cryptfs 和 init_user0, 和 DE 的创建过程类似
    const char* argv[] = { "/system/bin/vdc", "--wait", "cryptfs", "init_user0" };
    // fork vdc 进程,并运行 vdc 程序
    int rc = android_fork_execvp(4, (char**) argv, NULL, false, true);
    LOG(INFO) << "init_user0 result: " << rc;
    return rc;
}

这个方法定义在文件 system/extras/ext4_utils/ext4_crypt_init_extensions.cpp 中。

函数 android_fork_execvp() 运行 vdc 后,vdc 并没有做什么具体的操作,只是把相应的参数继续传递给 vold,和 DE 的密钥创建过程一样,参数 “cryptfs” 和 参数 “init_user0” 决定会执行到 vold 的如下代码

int CryptCommandListener::CryptfsCmd::runCommand(SocketClient *cli,
                                                 int argc, char **argv) {    
    .....
    } else if (subcommand == "init_user0") {
        if (!check_argc(cli, subcommand, argc, 2, "")) return 0;
        //执行函数 e4crypt_init_user0()
        return sendGenericOkFailOnBool(cli, e4crypt_init_user0());
    .....
}

这个方法定义在文件 system/vold/CryptCommandListener.cpp 中。

函数 e4crypt_init_user0() 定义如下

bool e4crypt_init_user0() {
    LOG(DEBUG) << "e4crypt_init_user0";
    if (e4crypt_is_native()) {
        // user_key_dir 等于 data/misc/vold/user_keys
        if (!prepare_dir(user_key_dir, 0700, AID_ROOT, AID_ROOT)) return false;
        if (!prepare_dir(user_key_dir + "/ce", 0700, AID_ROOT, AID_ROOT)) return false;
        if (!prepare_dir(user_key_dir + "/de", 0700, AID_ROOT, AID_ROOT)) return false;
        if (!path_exists(get_de_key_path(0))) {
            //创建和安装 CD keys, user 为 0, 即开机默认的 user
            if (!create_and_install_user_keys(0, false)) return false;
        }
        // TODO: switch to loading only DE_0 here once framework makes
        // explicit calls to install DE keys for secondary users
        if (!load_all_de_keys()) return false;
    }
    // We can only safely prepare DE storage here, since CE keys are probably
    // entangled with user credentials.  The framework will always prepare CE
    // storage once CE keys are installed.
    if (!e4crypt_prepare_user_storage(nullptr, 0, 0, FLAG_STORAGE_DE)) {
        LOG(ERROR) << "Failed to prepare user 0 storage";
        return false;
    }

    // If this is a non-FBE device that recently left an emulated mode,
    // restore user data directories to known-good state.
    if (!e4crypt_is_native() && !e4crypt_is_emulated()) {
        e4crypt_unlock_user_key(0, 0, "!", "!");
    }

    return true;
}

这个方法定义在文件 system/vold/Ext4Crypt.cpp 中。

函数 create_and_install_user_keys() 定义如下

static bool create_and_install_user_keys(userid_t user_id, bool create_ephemeral) {
    std::string de_key, ce_key;
    //创建 DE 密钥
    if (!random_key(&de_key)) return false;
    //创建 CE 密钥
    if (!random_key(&ce_key)) return false;
    .....
    std::string de_raw_ref;
    // 存储 DE 密钥到密钥代码库
    if (!install_key(de_key, &de_raw_ref)) return false;
    s_de_key_raw_refs[user_id] = de_raw_ref;
    std::string ce_raw_ref;
    // 存储 CE 密钥到密钥代码库
    if (!install_key(ce_key, &ce_raw_ref)) return false;
    s_ce_keys[user_id] = ce_key;
    s_ce_key_raw_refs[user_id] = ce_raw_ref;
    LOG(DEBUG) << "Created keys for user " << user_id;
    return true;
}

这个方法定义在文件 system/vold/Ext4Crypt.cpp 中。

再看看密钥的真正生成过程 random_key()

static bool random_key(std::string* key) {
    // 读取随机密钥
    if (android::vold::ReadRandomBytes(EXT4_AES_256_XTS_KEY_SIZE, *key) != 0) {
        // TODO status_t plays badly with PLOG, fix it.
        LOG(ERROR) << "Random read failed";
        return false;
    }
    return true;
}

这个方法定义在文件 system/vold/Ext4Crypt.cpp 中。

ReadRandomBytes() 定义如下

status_t ReadRandomBytes(size_t bytes, std::string& out) {
    out.clear();
    //打开 linux 的随机数文件
    int fd = TEMP_FAILURE_RETRY(open("/dev/urandom", O_RDONLY | O_CLOEXEC | O_NOFOLLOW));
    if (fd == -1) {
        return -errno;
    }

    char buf[BUFSIZ];
    size_t n;
    //读取一个随机数,作为密钥
    while ((n = TEMP_FAILURE_RETRY(read(fd, &buf[0], std::min(sizeof(buf), bytes)))) > 0) {
        out.append(buf, n);
        bytes -= n;
    }
    close(fd);

    if (bytes == 0) {
        return OK;
    } else {
        return -EIO;
    }
}

这个方法定义在文件 system/vold/Utils.cpp 中。

使用创建的密钥加密

在解析 init.rc 文件时,会执行命令 mkdir, 如

mkdir /data/system_de 0770 system system
on post-fs-data
    mkdir /data/system_ce 0770 system system

    mkdir /data/misc_de 01771 system misc
    mkdir /data/misc_ce 01771 system misc
    //用户数据路径
    mkdir /data/user 0711 system system
    // 用户 DE 空间
    mkdir /data/user_de 0711 system system
    // /data/data 连接到目录 /data/user/0
    // /data/user 和 /data/data 都是 CE 空间
    symlink /data/data /data/user/0

这个 action 定义在文件 system/core/rootdir/init.rc 中。

命令 mkdir 实质执行的的是函数 do_mkdir()

BuiltinFunctionMap::Map& BuiltinFunctionMap::map() const {
    constexpr std::size_t kMax = std::numeric_limits<std::size_t>::max();
    static const Map builtin_functions = {
    .....
    {"mkdir",                   {1,     4,    do_mkdir}},
    .....
}

这个方法定义在文件 system/core/init/builtins.cpp 中。

函数 do_mkdir() 的实现如下

static int do_mkdir(const std::vector<std::string>& args) {
    .....
    // 创建目录
    ret = make_dir(args[1].c_str(), mode);
    .....
    if (e4crypt_is_native()) {
        // 加密目录
        if (e4crypt_set_directory_policy(args[1].c_str())) {
            wipe_data_via_recovery(std::string() + "set_policy_failed:" + args[1]);
            return -1;
        }
    }
    return 0;
}

这个方法定义在文件 system/core/init/builtins.cpp 中。

函数 e4crypt_set_directory_policy() 的实现如下

int e4crypt_set_directory_policy(const char* dir)
{
    // 只加密 /data 目录以及子目录
    if (!dir || strncmp(dir, "/data/", 6) || strchr(dir + 6, '/')) {
        return 0;
    }

    // 不需要加密的目录在这里设置,但是,它们的子目录是会被加密的
    std::vector<std::string> directories_to_exclude = {
        "lost+found",
        "system_ce", "system_de",
        "misc_ce", "misc_de",
        "media",
        "data", "user", "user_de",
    };
    std::string prefix = "/data/";
    for (auto d: directories_to_exclude) {
        if ((prefix + d) == dir) {
            KLOG_INFO(TAG, "Not setting policy on %s\n", dir);
            return 0;
        }
    }
    // 密钥引用
    std::string ref_filename = std::string("/data") + e4crypt_key_ref;
    std::string policy;
    if (!android::base::ReadFileToString(ref_filename, &policy)) {
        KLOG_ERROR(TAG, "Unable to read system policy to set on %s\n", dir);
        return -1;
    }
    KLOG_INFO(TAG, "Setting policy on %s\n", dir);
    // 加密目录
    int result = e4crypt_policy_ensure(dir, policy.c_str(), policy.size());
    if (result) {
        KLOG_ERROR(TAG, "Setting %02x%02x%02x%02x policy on %s failed!\n",
                   policy[0], policy[1], policy[2], policy[3], dir);
        return -1;
    }

    return 0;
}

这个方法定义在文件 system/extras/ext4_utils/ext4_crypt_init_extensions.cpp 中。

函数 e4crypt_policy_ensure() 定义如下

int e4crypt_policy_ensure(const char *directory, const char *policy, size_t policy_length) {
    bool is_empty;
    if (!is_dir_empty(directory, &is_empty)) return -1;
    if (is_empty) {
        // 应用加密政策
        if (!e4crypt_policy_set(directory, policy, policy_length)) return -1;
    } else {
        if (!e4crypt_policy_check(directory, policy, policy_length)) return -1;
    }
    return 0;
}

这个方法定义在文件 system/extras/ext4_utils/ext4_crypt.cpp 中。

函数 e4crypt_policy_set() 定义如下

static bool e4crypt_policy_set(const char *directory, const char *policy, size_t policy_length) {
    int fd = open(directory, O_DIRECTORY | O_NOFOLLOW | O_CLOEXEC);
    ......
    ext4_encryption_policy eep;
    eep.version = 0;
    // 设置加密类型 AES 256
    eep.contents_encryption_mode = EXT4_ENCRYPTION_MODE_AES_256_XTS;
    eep.filenames_encryption_mode = EXT4_ENCRYPTION_MODE_AES_256_CTS;
    eep.flags = 0;
    memcpy(eep.master_key_descriptor, policy, EXT4_KEY_DESCRIPTOR_SIZE);
    // 用命令 EXT4_IOC_SET_ENCRYPTION_POLICY 控制 IO
    if (ioctl(fd, EXT4_IOC_SET_ENCRYPTION_POLICY, &eep)) {
        PLOG(ERROR) << "Failed to set encryption policy for " << directory;
        close(fd);
        return false;
    }
    close(fd);

    char policy_hex[EXT4_KEY_DESCRIPTOR_SIZE_HEX];
    policy_to_hex(policy, policy_hex);
    LOG(INFO) << "Policy for " << directory << " set to " << policy_hex;
    return true;
}

这个方法定义在文件 system/extras/ext4_utils/ext4_crypt.cpp 中。

加密过程就分析到这里。

直接启动

应用了文件级加密的设备,可以以直接启动的方式启动。此时,设备可以加载并使用没有通过文件级加密的目录,如 /data/user_de/0/。那么,直接启动的 APP 的数据保存在这个目录下。

在上文中,我们知道需要在直接启动就可以立马使用的的 APP,需要在应用的 manifest 的 application 标签声明 android:directBootAware=”true” 属性。对于系统的应用,声明 android:defaultToDeviceProtectedStorage=”true” 可以把应用的默认存储空间设置为 /data/user_de/。

因此,在用户没有输入凭据解密 CE 空间之前,系统只是加载 DE 下的应用。

在 AMS ready 时,如下(读者不了解这个过程的以看考文章《 Android系统之System Server大纲》

public void systemReady(final Runnable goingCallback) {
    .....
    synchronized (this) {
        // Only start up encryption-aware persistent apps; once user is
        // unlocked we'll come back around and start unaware apps
        //启动 persistent app,注意参数 PackageManager.MATCH_DIRECT_BOOT_AWARE
        startPersistentApps(PackageManager.MATCH_DIRECT_BOOT_AWARE);
    }
    .....

这个方法定义在文件 frameworks/base/services/core/java/com/android/server/am/ActivityManagerService.java 中。

方法 startPersistentApps() 的实现如下

private void startPersistentApps(int matchFlags) {
    if (mFactoryTest == FactoryTest.FACTORY_TEST_LOW_LEVEL) return;

    synchronized (this) {
        try {
            //获取所有 direct boot 的 app
            final List<ApplicationInfo> apps = AppGlobals.getPackageManager()
                    .getPersistentApplications(STOCK_PM_FLAGS | matchFlags).getList();
            for (ApplicationInfo app : apps) {
                if (!"android".equals(app.packageName) && validNewProc(app.packageName, UserHandle.getUserId(app.uid))) {//modified by yongfeng.zhang for task 3682193 on 2016-12-28
                    // 加入启动队列
                    addAppLocked(app, false, null /* ABI override */);
                }
            }
        } catch (RemoteException ex) {
        }
    }
}

这个方法定义在文件 frameworks/base/services/core/java/com/android/server/am/ActivityManagerService.java 中。

方法 addAppLocked() 定义如下

final ProcessRecord addAppLocked(ApplicationInfo info, boolean isolated,
        String abiOverride) {
    .....
    if (app.thread == null && mPersistentStartingProcesses.indexOf(app) < 0) {
        mPersistentStartingProcesses.add(app);
        // 启动 APP
        startProcessLocked(app, "added application", app.processName, abiOverride,
                null /* entryPoint */, null /* entryPointArgs */);
    }
    return app;
}

这个方法定义在文件 frameworks/base/services/core/java/com/android/server/am/ActivityManagerService.java 中。

在 PMS 启动时,扫描安装 APP 是,会过滤不是直接启动的 APP

private PackageParser.Package scanPackageDirtyLI(PackageParser.Package pkg,
        final int policyFlags, final int scanFlags, long currentTime, UserHandle user)
        throws PackageManagerException {
    // Apply policy
    if ((policyFlags&PackageParser.PARSE_IS_SYSTEM) != 0) {
        pkg.applicationInfo.flags |= ApplicationInfo.FLAG_SYSTEM;
        //直接启动的 APP
        if (pkg.applicationInfo.isDirectBootAware()) {
            // we're direct boot aware; set for all components
            for (PackageParser.Service s : pkg.services) {
                s.info.encryptionAware = s.info.directBootAware = true;
            }
            for (PackageParser.Provider p : pkg.providers) {
                p.info.encryptionAware = p.info.directBootAware = true;
            }
            for (PackageParser.Activity a : pkg.activities) {
                a.info.encryptionAware = a.info.directBootAware = true;
            }
            for (PackageParser.Activity r : pkg.receivers) {
                r.info.encryptionAware = r.info.directBootAware = true;
            }
        }
    }

}

这个方法定义在文件 frameworks/base/services/core/java/com/android/server/pm/PackageManagerService.java 中。

总结

文件级加密,比较全盘加密具有一些优点,可以让没有输入凭证的设备可以使用更多的功能。文件级加密分 CE 空间和 DE 空间,CE 空间需要凭证加密方可使用,DE 空间则是设备启动后即可使用。应用如果需要区分 CE 和 DE 空间,需要创建不同的上下文环境 Context。

FamilyYuan
关注
  • 11
    点赞
  • 83
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android应用源码-这是一个文件文件加密的安卓源代码,此功能在很多场合都有用到,分享给大家.rar
12-17
源码参考,欢迎下载
Android EMMC中添加分区并开机自动挂载方法
eurphan_y的博客
06-19 2525
文章目录一、修改分区表二、添加挂载目录三、修改SELinux,添加权限四、修改fstab,添加挂载 环境: CPU: i.MX8qxp OS: Android 9.0 RAM: 4GB eMMC: 32GB 一、修改分区表     分区表文件为:device/fsl/common/partition/device-partitions-28GB-ab-dual-bootloader.bpt。     我们需要添加一个10GB的分区,假如命名为misc,在分区表中添加如下代码: { "
【数据安全】4. Android 文件加密(File-based Encryption)之密钥管理
最新发布
Innocence_0的博客
01-27 940
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Android加密之全盘加密详解
01-03
前言 Android 的安全性问题一直备受关注,Google 在 Android 系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。 在 Android 的安全性方面,有很多模块: 1 内核安全性 2 应用安全性 3 应用签名 4 身份验证 5 Trusty TEE 6 SELinux 7 加密 等等 其中,加密又分全盘加密Android 4.4 引入)和文件加密Android 7.0 引入),本文将论述加密中的全盘加密的基本知识。全盘加密Android 4.4 中引入,在 Android 5.0 中做了比较大的更新。 本文部分片段摘自 Android
伪终端
gbmaotai的博客
12-27 432
伪终端设备 PTM pseudoterminal master /dev/ptmx PTS pseudoterminal slave /dev/pts/num devpts文件系统,挂载在/dev /pts目录 devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000) 1.当...
An experiment in porting the Android init system to GNU/Linux
张同光 (Tongguang Zhang):Hello everyone !
01-01 384
https://blog.darknedgy.net/technology/2015/08/05/0-androidinit/   by V.R. Yes I’m trolling/mocking you anti-systemd retards. That’s what Schopenhauer recommends as a strategy against irrational rh...
Android7.0探索之旅--init进程
宇落 生命不息,奋斗不止......
11-24 4707
进入用户空间在kernel中通过run_init_process来执行init进程,之后就会进入system/core/init/init.cpp的main函数,这才真正的进入用户空间。进入main函数后,会进行判断是否是系统启动的第一阶段,只有启动参数中有--second-stage才为第二阶段bool is_first_stage = (argc == 1) || (strcmp(argv[1...
【数据安全】3. Android 文件加密(File-based Encryption)技术介绍
技术总结和分享
10-29 6405
基于这些特性,Google 对 Android 用户数据分区的目录做了安全等划分,一些非用户隐私数据可以在设备启动后直接可以访问,解决了 FDE(Full Disk Encryption)的弊端,在 【数据安全】1. Android 保护用户隐私数据的技术介绍_zs.w的博客-CSDN博客 或者 direct-boot 已经做了介绍。在 FBE 的设计中,根据文件内容的私密性,Google 把用户数据分区的存储位置划分安全等,包括下几类:①. 不加密的存储位置②. 加密的存储位置 需要注意的点:①. 从
Android分区挂载原理介绍(下)
内核工匠
01-26 1673
上章内容请点击链接:Android分区挂载原理介绍(上)三、分区挂载流程介绍 3.1 分区挂载顺序总览挂载顺序实际内容所在物理分区挂载点名称是否为logical分区Avb校验avb校验信息保存位置挂载阶段fstab生效位置1metadata/metadata否否N/Ainit first stagevendor_boot(ramdisk)2super/system是是vbmeta_syste...
Android Oreo Boot Process Note
从0到1,突破自己
08-18 2476
目录 一、Android Boot Process OverView 二、Android Boot Process Source Code Analysis 2.1 init 进程(system/core/init/init.cpp::main()) 2.2 Native Daemons 2.3 Zygote &amp; Android Runtime 2.4 System Serve...
Android对称加密与非对称加密
01-20
凯撒密码作为一种最为古老的对称加密体制,在古罗马的时候都已经很流行,他的基本思想是:通过把字母移动一定的位数来实现加密和解密。明文中的所有字母都在字母表上向后(或向前)按照一个固定数目进行偏移后被替换...
Android 安全加密:对称加密详解
01-20
Android安全加密专题文章索引 Android安全加密:对称加密 Android安全加密:非对称加密 Android安全加密:消息摘要Message Digest Android安全加密:数字签名和数字证书 Android安全加密:Https编程 以上学习...
Android应用源码-这是一个文件文件加密的安卓源代码,此功能在很多场合都有用到,分享给大家.zip
10-14
Android应用源码-这是一个文件文件加密的安卓源代码,此功能在很多场合都有用到,分享给大家.zip
Android加密之全盘加密
热门推荐
FamilyYuan的博客
08-03 3万+
Android加密之全盘加密前言Android 的安全性问题一直备受关注,Google 在 Android 系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。在 Android 的安全性方面,有很多模块: 内核安全性 应用安全性 应用签名 身份验证 Trusty TEE SELinux 加密 等等
Android电池
FamilyYuan的博客
10-16 2万+
BatteryStatsService 和文章《Android电池系列之Android电池概述》中的BatteryService 是相同别的系统服务, BatteryStatsService 和 BatteryService 两个服务区分开来,各自完成不一样的事务,可见在这方面的事务处理并不简单。
android 如何启动文件加密
07-28
Android启动文件加密的过程如下: 1. 在启动过程中,Android会准备文件加密的主密钥(FBE Master key)\[3\]。 2. Android会设置和校验各个加密存储位置的加密策略,即Encryption Policy\[3\]。 3. 真正的数据加密和解密是在进行文件I/O操作时发生的,而加密和解密所需的信息来自文件的Encryption Policy\[3\]。 4. Encryption Policy包括使用哪个主密钥进行加密文件数据的加密算法以及文件名的加密算法\[3\]。 5. 当设备启动后,如果文件加密功能处于启用状态,已加密的设备将直接进入锁定屏幕\[1\]。 6. 这样,用户可以快速使用重要的设备功能,如无障碍服务和闹钟,而无需在访问任何数据之前提供凭据\[2\]。 综上所述,Android启动文件加密的过程包括准备主密钥、设置加密策略以及在文件I/O操作时进行数据加密和解密。启用文件加密后,设备在启动后直接进入锁定屏幕,用户可以快速使用重要的设备功能。 #### 引用[.reference_title] - *1* [Android 加密文件加密FBE)](https://blog.csdn.net/baidu_40808339/article/details/115225536)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Android加密文件加密](https://blog.csdn.net/long375577908/article/details/106589643)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [【数据安全】3. Android 文件加密(File-based Encryption)技术介绍](https://blog.csdn.net/cs_tech/article/details/127579028)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值