allwinner_a64/android/docs/source.android.com/zh-cn/security/enhancements/enhancements70.html

<html devsite><head>
    <title>Android 7.0 中的安全增强功能</title>
    <meta name="project_path" value="/_project.yaml"/>
    <meta name="book_path" value="/_book.yaml"/>
  </head>
  <body>
  <!--
      Copyright 2017 The Android Open Source Project

      Licensed under the Apache License, Version 2.0 (the "License");
      you may not use this file except in compliance with the License.
      You may obtain a copy of the License at

          http://www.apache.org/licenses/LICENSE-2.0

      Unless required by applicable law or agreed to in writing, software
      distributed under the License is distributed on an "AS IS" BASIS,
      WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
      See the License for the specific language governing permissions and
      limitations under the License.
  -->

<p>每个 Android 版本中都包含数十项用于保护用户的安全增强功能。以下是 Android 7.0 中提供的一些主要安全增强功能：</p>

<ul>
  <li><strong>文件级加密</strong>：在文件级进行加密，而不是将整个存储区域作为单个单元进行加密。这种加密方式可以更好地隔离和保护设备上的不同用户和资料（例如个人资料和工作资料）。</li>
  <li><strong>直接启动</strong>：通过文件级加密实现，允许特定应用（例如，闹钟和无障碍功能）在设备已开机但未解锁的情况下运行。</li>
  <li><strong>验证启动</strong>：现在，验证启动会被严格强制执行，从而使遭到入侵的设备无法启动；验证启动支持纠错功能，有助于更可靠地防范非恶意数据损坏。</li>
  <li><strong>SELinux</strong>：更新后的 SELinux 配置和更高的 Seccomp 覆盖率有助于进一步锁定应用沙盒并减小受攻击面。</li>
  <li><strong>库加载顺序随机化和经过改进的 ASLR</strong>：更高的随机性可以使一些代码重用攻击得逞的难度增大。</li>
  <li><strong>内核加固</strong>：通过将内核内存的各个分区标记为只读，限制内核对用户空间地址的访问，并进一步减小现有的受攻击面，为更高版本的内核添加额外的内存保护。</li>
  <li><strong>APK 签名方案 v2</strong>：引入了一种全文件签名方案，该方案有助于加快验证速度并增强完整性保证。</li>
  <li><strong>可信 CA 商店</strong>：为了使应用更轻松地控制对其安全网络流量的访问，对于目标 API 级别为 24+ 的应用来说，用户安装的证书授权中心以及通过 Device Admin API 安装的证书授权中心默认情况下不再可信。此外，所有新的 Android 设备必须搭载相同的可信 CA 存储区。</li>
  <li><strong>网络安全配置</strong>：通过声明式配置文件来配置网络安全设置和传输层安全协议 (TLS)。</li>
</ul>

</body></html>