智能移动终端敏感资源保护技术研究

发布时间：2019-05-30 21:21

【摘要】：随着移动互联网的发展，智能移动终端的安全问题也益发严峻，作为最主流的移动操作系统之一，Android以其开放性和实用性获得了广泛的应用市场，但作为一个注重功能的系统，Android的安全问题也一直为人诟病，众多的恶意应用抓取用户隐私数据，获取用户的短信记录、通讯录等隐私信息，也有部分恶意应用在后台通过执行自动拨号或者自动发送扣费短信等敏感动作，给用户造成金钱损失。虽然Android自身提供了应用沙盒、权限管理等安全机制，但由于其安全机制的缺陷和开发者的疏忽等原因，Android上的安全攻击层出不穷，其中就包括权限提升攻击，在该攻击中，低权限应用利用高权限应用间接获取隐私数据或者执行敏感动作。由于Android的普及性和开源性，本文的安全方案建立在Android系统上，不过方案的设计思路也可以应用到其他的移动操作系统上，以覆盖更多的智能移动终端。为了对Android上的隐私数据和敏感动作（二者统称为敏感资源）进行保护，对现有的Android系统进行安全加强，针对Android上的权限提升攻击造成的敏感动作执行和隐私数据泄露，本文提出了一种基于调用链的权限管理方法，简称PreChain，其中调用链用于记录应用组件之间的调用关系，PreChain通过调用链和访问策略的结合，阻止权限提升攻击造成的敏感资源恶意访问。不同于其他的只提供和敏感资源本身相关的属性的访问策略，PreChain中的访问策略是基于调用链的，因此类似调用链包含的最大应用数目这样的属性被赋给访问某敏感资源的调用链。考虑到PreChain的防护会有疏漏，对于已经被恶意访问的隐私数据，可行的办法是阻止其从智能移动终端流出，为此本文还提出了一种基于文本特征标签的隐私数据黑盒追踪与防护方法，简称PostBlack。根据预先设定的标签，PostBlack以黑盒的方式对第三方应用向外发送的文本隐私数据进行检测，PostBlack采用黑盒的方式，不用截获并分析指令的运行和另外开辟大量内存，避免了常用白盒追踪方式造成的严重的计算资源消耗。对PreChain和PostBlack的性能测试表明，，二者对Android的系统性能造成的影响都很小，不会造成过高的系统负担，适用于计算资源受限的智能移动终端。
[Abstract]:......
【学位授予单位】：中国海洋大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【共引文献】