改进的Android强制访问控制模型
发布时间:2021-07-04 17:02
为了降低Android平台受应用层权限提升攻击的可能性,研究分析了对利用隐蔽信道进行的合谋攻击具有较好防御能力的XManDroid模型,针对该模型存在无法检测多应用多权限合谋攻击的问题,采用构建进程间通信连接图并利用有色图记录应用通信历史的方法,提出了一种基于通信历史的细粒度强制访问控制模型。对原型系统的测试结果表明:所提出的模型能够很好地解决XManDroid模型存在的问题。
【文章来源】:计算机应用. 2013,33(06)北大核心CSCD
【文章页数】:7 页
【部分图文】:
三个应用合谋(或合谋与混淆代理人攻击协作)
已安装的应用数为|P|,需要进行颜色更新的顶点所在连通图的顶点数为N,在系统运行当中创建的文件和套接字总数为M,很显然有N≤M+|P|。那么算法5的复杂度为O(N)≤O(M+|P|),所以算法4的复杂度为O(M+|P|)。根据算法性能分析,本文模型在访问控制响应方面做到O(1)时间复杂度,优于XManDroid的复杂度O(|P|2×|V|)。同时,由于本模型需要后期的颜色维护,且增加了颜色存储,所以在后期维护和空间耗费上高于XManDroid。但是,访问控制响应时间的缩短可以提高用户使用体验。4原型系统设计与实现4.1图的构建与维护如图4所示,系统中通信图的构建与维护(包括顶点颜色的更新)都由GraphManager服务来完成,该服务基于开源软件库JGraphT实现。通信图存储在数据库SystemView中,除GraphManager以外的其他模块对该数据库只有查询权限。引发图的更新操作的事件只有三种:1)当有新应用安装时,PackageManager会对安装包进行解析,然后将应用信息(包括包名、申请的权限等信息)传递给GraphManager服务,由该服务构建相应的顶点(包括顶点颜色属性)并执行更新操作,如图4中的a和b。2)在应用创建文件或套接字时,由内核层强制访问控制模块截获I/O操作,并将创建的文件名/路径或套接字的IP地址及端口号传递给通信图的管理服务,由该服务构建虚拟顶点并执行图的更新操作,如图4中的①~③。图4系统架构3)系统在做出访问控制决策之后,如果通信请求被允许,那么决策模块会向图管理服务发送一个更新消息(图4中的4.1),然后再向原生Android的引用监视器回馈决策结果(图4中的4.2)。管理服务在接到消息之后会建立相应的通信边并递归地更新顶点颜色。4.2访问控制决策模块访问控制模块由中间软件层的安全服务MACChecker和内核层的SELinux构成,前
?建立通信连接会导致A的权限传递到B(表现为颜色渲染),随后B对SystemSettings的写操作将会使A、B的权限并集传递到SystemSettings,所以当C试图读取数据时,模型将SystemSettings被渲染的颜色与C进行合并即可发现威胁t的存在。由此可以看出,本模型对该攻击实例具有防御能力。利用构建的攻击实例,对原型系统进行测试(原型系统运行于模拟器中),先运行CallApperceiver,然后运行AudioRecorder,之后拨打一个免费电话,最后在点击运行AudioDeliverer并利用该应用调用系统设置时应用被终止,测试结果与理论分析相同,如图6所示。图6测试结果5结语本文在深入分析XManDroid模型存在的缺点和不足之后,引用模型原有的通信连接图思想,加入顶点颜色属性,通过颜色渲染实时记录顶点通信历史,基于通信历史进行访问控制,对多权限多应用的合谋攻击具有较好的防御能力。模型存在的不足:1)仅考虑了顶点颜色的渲染,没有考虑颜色清洗。当通信结束之后,如果应用已终止,且由它产生的数据已全部销毁,那么就应该去除它对其他应用渲染的颜色,以防颜色污染造成的误报。这涉及到很多复杂的情况,根据多种情况有很多具体的图的操作,是一个难题,也是我们的下一步工作。2)模型中的颜色黑名单是一个静态表,没有提供用户设置和更改接口,当发现新的威胁,需要更新名单时只能重新编译模型,下一步我们会对这方面进行改进。参考文献:[1]BUGIELS,DAVIL,DMITRIENKOA,etal.Towardstamingpriv-ilege-escalationattacksonAndroid[EB/OL].[2012-07-20].ht-tp://www.trust.informatik.tu-darmstadt.de/fileadmin/user_up-load/Group_TRUST/PubsPDF/NDSS_2012_Towards_Taming_Priv-ilege-Escalation_Attacks_on_Android.pdf.[2]DAVI
【参考文献】:
期刊论文
[1]Android手机的轻量级访问控制[J]. 刘昌平,范明钰,王光卫,郑秀林,宫亚峰. 计算机应用研究. 2010(07)
本文编号:3265185
【文章来源】:计算机应用. 2013,33(06)北大核心CSCD
【文章页数】:7 页
【部分图文】:
三个应用合谋(或合谋与混淆代理人攻击协作)
已安装的应用数为|P|,需要进行颜色更新的顶点所在连通图的顶点数为N,在系统运行当中创建的文件和套接字总数为M,很显然有N≤M+|P|。那么算法5的复杂度为O(N)≤O(M+|P|),所以算法4的复杂度为O(M+|P|)。根据算法性能分析,本文模型在访问控制响应方面做到O(1)时间复杂度,优于XManDroid的复杂度O(|P|2×|V|)。同时,由于本模型需要后期的颜色维护,且增加了颜色存储,所以在后期维护和空间耗费上高于XManDroid。但是,访问控制响应时间的缩短可以提高用户使用体验。4原型系统设计与实现4.1图的构建与维护如图4所示,系统中通信图的构建与维护(包括顶点颜色的更新)都由GraphManager服务来完成,该服务基于开源软件库JGraphT实现。通信图存储在数据库SystemView中,除GraphManager以外的其他模块对该数据库只有查询权限。引发图的更新操作的事件只有三种:1)当有新应用安装时,PackageManager会对安装包进行解析,然后将应用信息(包括包名、申请的权限等信息)传递给GraphManager服务,由该服务构建相应的顶点(包括顶点颜色属性)并执行更新操作,如图4中的a和b。2)在应用创建文件或套接字时,由内核层强制访问控制模块截获I/O操作,并将创建的文件名/路径或套接字的IP地址及端口号传递给通信图的管理服务,由该服务构建虚拟顶点并执行图的更新操作,如图4中的①~③。图4系统架构3)系统在做出访问控制决策之后,如果通信请求被允许,那么决策模块会向图管理服务发送一个更新消息(图4中的4.1),然后再向原生Android的引用监视器回馈决策结果(图4中的4.2)。管理服务在接到消息之后会建立相应的通信边并递归地更新顶点颜色。4.2访问控制决策模块访问控制模块由中间软件层的安全服务MACChecker和内核层的SELinux构成,前
?建立通信连接会导致A的权限传递到B(表现为颜色渲染),随后B对SystemSettings的写操作将会使A、B的权限并集传递到SystemSettings,所以当C试图读取数据时,模型将SystemSettings被渲染的颜色与C进行合并即可发现威胁t的存在。由此可以看出,本模型对该攻击实例具有防御能力。利用构建的攻击实例,对原型系统进行测试(原型系统运行于模拟器中),先运行CallApperceiver,然后运行AudioRecorder,之后拨打一个免费电话,最后在点击运行AudioDeliverer并利用该应用调用系统设置时应用被终止,测试结果与理论分析相同,如图6所示。图6测试结果5结语本文在深入分析XManDroid模型存在的缺点和不足之后,引用模型原有的通信连接图思想,加入顶点颜色属性,通过颜色渲染实时记录顶点通信历史,基于通信历史进行访问控制,对多权限多应用的合谋攻击具有较好的防御能力。模型存在的不足:1)仅考虑了顶点颜色的渲染,没有考虑颜色清洗。当通信结束之后,如果应用已终止,且由它产生的数据已全部销毁,那么就应该去除它对其他应用渲染的颜色,以防颜色污染造成的误报。这涉及到很多复杂的情况,根据多种情况有很多具体的图的操作,是一个难题,也是我们的下一步工作。2)模型中的颜色黑名单是一个静态表,没有提供用户设置和更改接口,当发现新的威胁,需要更新名单时只能重新编译模型,下一步我们会对这方面进行改进。参考文献:[1]BUGIELS,DAVIL,DMITRIENKOA,etal.Towardstamingpriv-ilege-escalationattacksonAndroid[EB/OL].[2012-07-20].ht-tp://www.trust.informatik.tu-darmstadt.de/fileadmin/user_up-load/Group_TRUST/PubsPDF/NDSS_2012_Towards_Taming_Priv-ilege-Escalation_Attacks_on_Android.pdf.[2]DAVI
【参考文献】:
期刊论文
[1]Android手机的轻量级访问控制[J]. 刘昌平,范明钰,王光卫,郑秀林,宫亚峰. 计算机应用研究. 2010(07)
本文编号:3265185
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3265185.html
