安卓敏感數據和能力的訪問控制增強機制研究

王　蔚　周　韜　韓偉力

(復旦大學軟件學院　上海 201203)

?

安卓敏感數據和能力的訪問控制增強機制研究

王蔚周韜韓偉力

(復旦大學軟件學院上海 201203)

安卓設備中的敏感數據和感知能力面臨嚴重安全威脅。現有的安全機制主要從應用層實施粗粒度訪問控制，無法有效保護用戶敏感數據和設備感知能力。為此，提出基于密碼學和細粒度安全策略驅動的安卓敏感數據和能力訪問控制增強機制。首先，結合密鑰管理和細粒度加密策略，利用高強度對稱加密算法對敏感數據進行加密，解決敏感數據的安全存儲問題；其次，應用基于細粒度安全策略的訪問控制機制，從安卓平臺層控制感知能力的訪問權限，實現感知數據保護的目的。通過原型系統和性能測試，提出的安卓敏感數據和能力的訪問控制增強機制可以運行在當前安卓平臺上，并且性能是可接受的。

安卓安全訪問控制細粒度隱私保護

0　引　言

近年來，安卓智能手機的全球市場份額大幅攀升[1]，大量的安全問題也不斷顯現。安卓的安全體系通過權限機制控制第三方應用程序對短信、聯系人、感知設備等敏感資源的訪問。然而，由于粗粒度的權限控制，使用者和開發者通常為了更好地用戶體驗而希望獲得更多權限，從而導致系統的安全機制直接失效，安卓設備也因此面臨了更多安全威脅。其中，惡意代碼植入、權限擴大攻擊等帶來的惡意收費、竊聽、位置泄露等安全事件頻發。這些用戶敏感信息的泄漏問題，給安卓系統安全帶來了巨大的挑戰。

1　研究背景

1.1國內外研究現狀

國內外的研究人員在安卓權限管理上做了大量的研究。Bugiel等人研究發現權限的過度請求違反了最少權限法則，從而帶來隱私泄露和財產損失的隱患[2]。此外，Schlegel等人對權限擴大攻擊進行了研究，發現惡意應用程序可以通過和其他應用程序協作，在沒有顯式請求的情況下訪問敏感資源[3]。

研究人員在隱私數據保護方面也做了大量研究。Rayarikar等人在安卓系統上實現了一個對短信進行加密的應用程序，采用AES算法對數據進行加解密[4]。吳劍華等人通過黑白名單的方式，實現對隱私數據的授權訪問以及對進程的實時監控[5]。

此外，常見的系統保護軟件，如騰訊手機管家等，它們將隱私數據文件隱藏在磁盤的隱藏空間中，使得惡意軟件或攻擊者無法得到，以達到防止數據泄露的目的。但在該解決方案中，文件本身并沒有加密，所以仍存在明文獲取、隱私泄露的風險。

1.2研究內容和意義

面對大量的安卓安全威脅，研究者們已經做了大量的研究，但這些研究大多停留在粗粒度控制上，用戶不能對資源進行自定義的保護配置。畢竟，在實際應用場景中，我們并不需要對整個磁盤或者整個數據庫進行加密操作。此外，由于缺乏對感知來源的控制，麥克風等感知來源可能被惡意程序調用，從而獲取用戶的敏感數據，造成用戶隱私數據的泄露。

基于以上問題，本文提出基于安卓系統的訪問控制增強機制。通過對聯系人和短信數據進行細粒度加密，實現隱私數據的保護。同時，本文采用權限阻斷的方式，對感知來源數據進行保護。最后，本文通過性能實驗驗證了保護機制的可用性和可靠性。本文主要貢獻如下：1) 設計并實現了隱私數據加解密框架，保護自定義字段的數據，避免全加密對系統造成的性能負擔。2) 設計了權限阻斷機制，在不同的應用場景中完成對權限的授予和阻斷，從而保護感知來源數據。

2　相關理論與技術

2.1安卓體系結構

安卓系統的體系結構由4個層次組成：應用程序層、應用程序框架層、Android的運行時和系統庫、Linux內核層[6]。

應用程序層提供了基本的應用程序包。該層由一個或多個不同的組件組成：活動、服務、廣播接收器和內容提供商。應用程序不一定包含全部組件，但必須至少有一個活動呈現圖形用戶界面。應用程序框架層是應用開發的基礎，該層包括了活動管理器、窗口管理器等10個部分。應用程序框架為不同目的(如電源管理、資源處理、窗口管理)提供管理器。應用程序應該使用管理器的服務，而不是直接使用底層的函數庫。這種方式使得通過沙盒式權限系統對管理器強制實施應用程序權限變為可能。系統庫和Android運行時中，系統庫包含了9個子系統，運行時由Dalvik 虛擬機和 Java 核心庫組成[7]。Linux內核是安卓核心系統服務的重要依賴。安卓使用的內核是 Linux 2.6系列內核，并被修改以滿足電源管理、內存管理和運行時環境中的特殊需要。

2.2安卓系統訪問控制模型

訪問控制是一種顯式的準許或限制主體對客體訪問能力及范圍的方法[8]。訪問控制通過限制關鍵資源的訪問，防止非法用戶的入侵，從而保證系統資源的合法使用。安卓對應用程序和數據的訪問控制主要通過兩種機制的結合，一種為Linux內核安全機制，另一種為安卓特有的安全機制。

(1) Linux內核安全機制

Linux操作系統提供了認證和訪問控制機制。首先， root用戶作為超級用戶能對系統的所有資源做最大限度的調整，還可以允許或禁止其他用戶對系統的訪問[9]。其次，文件系統是Linux系統安全的核心。安卓系統中的文件也受制于此文件權限機制。Linux系統中的文件使用了文件讀寫許可機制，不同的用戶對不同的文件具有各自的讀、寫和執行權限。此外，Linux將許多系統功能視作偽文件，所以文件訪問機制也能有效地對驅動、硬件傳感器、音頻設備等進行訪問控制。

(2) 安卓特有安全機制

訪問控制的核心是授權策略。授權策略是用于確定一個主體能否對客體擁有訪問能力的一套規則。訪問控制模型定義了主體、客體、訪問規則是如何表示和操作的，它決定了授權策略的表達能力和靈活性。安卓利用權限機制控制應用程序對敏感資源的訪問，每個權限代表了針對系統資源的一個或者一組操作許可，具有細粒度的安全特征[10]。

應用程序默認沒有任何權限，它必須在自己的配置文件AndroidManifest.xml中用uses-permission標簽聲明自己所需要的權限，才可以使用某個系統資源或者訪問某些數據[11]。安卓約有130條內置權限分別對應了系統中的設備、功能以及數據等的訪問權限[12]，應用程序也可以定義額外的權限。此外，權限有四個保護級別[13]：正常、危險、簽名、簽名或系統。

安卓應用程序還使用了數字簽名機制對應用程序安裝包進行數字簽名，以對應用程序開發者進行身份合法性認證，防止惡意應用開發者替換合法應用程序。此外，文件簽名還可以確保安裝文件內容的完整性和正確性[14]。

最后，安卓系統實現了將不同應用程序之間、進程之間互相隔離。默認情況下，應用程序沒有權限訪問系統資源或其他應用程序的資源。每個應用程序和系統進程都被分配唯一且固定的UserID。當應用程序需要共享數據或進程時，系統會驗證程序的sharedUserID和簽名，如果結果相同，那么虛擬機認定兩個應用程序由相同開發者開發，為兩個程序分配相同的User ID，以實現程序之間的數據和進程共享[15]。

3　威脅分析與代碼分析

3.1安卓威脅分析

(1) 開發者威脅

來自開發者的基于權限的威脅主要分為過度授權和權限擴大攻擊兩類。

權限的過度請求是安卓安全中最大的問題之一。它違反了最少權限法則，給用戶帶來隱私泄露和財產損失的隱患[2]。例如一個請求了SEND_SMS短信發送權限的單機游戲，利用了不必要的短信發送權限在用戶不知情的情況下發送付費短信。

一般來說，惡意應用程序造成的影響會受到安卓系統沙盒機制限制[16]。但權限擴大攻擊允許惡意應用程序和其他應用程序相互協作從而在沒有顯式請求的情況下訪問敏感資源[3]。權限擴大攻擊可以分為混淆代理攻擊和共謀攻擊。

(2) root威脅

安卓系統基于Linux系統。在Linux系統中，root用戶作為管理員用戶，可以訪問整個系統。在默認設定下，使用者無法獲取root權限。然而在現實場景中，用戶有許多方法可以獲得root權限。root權限可以使用戶實現卸載自帶軟件，取消應用權限，運行防火墻等功能。然而，當root被竊取后，安卓系統的最高權限也被授予，系統安全和用戶隱私將受到極大威脅。

(3) 物理威脅

安卓系統一般都以手機等智能設備作為載體，因此，也不可避免受到以下的物理威脅：儲存卡威脅、設備遺失或報廢威脅、傳感器威脅等。

通常情況下，手機存儲卡上的數據是不會被加密的。儲存卡讀取成為竊取用戶隱私的方便途徑。攻擊者可通過運行相關程序，獲得存儲卡上的明文數據。設備遺失或報廢會導致數據的機密性受到威脅。惡意用戶可以利用用戶遺失或報廢的設備獲取存儲在手機中的數據。此外，手機是傳感器的集合體。研究學者發現，手機的震動功能、麥克風、定位系統均存在威脅漏洞，用戶也因此會面臨更復雜更嚴重的攻擊。

3.2訪問控制代碼分析

(1) 數據庫表結構分析

安卓系統中聯系人和短信數據存儲在SQLite數據庫中。SQLite是一個存儲效率高、查詢快、運行時占用內存小且能被多個進程同時訪問的開源數據庫。SQLite本身沒有提供任何安全控制機制，只要用戶得到數據庫文件或訪問數據庫的權限[17]，便能夠讀取這些信息，也直接導致了用戶的隱私數據泄露。

通過研究，我們發現安卓系統中聯系人數據庫contacts2.db存放在/data/data/com.android.providers.contacts/databases路徑下。為了獲取對該數據庫的訪問，第三方應用需申請READ_CONTACTS和WRITE_CONTACTS權限。聯系人數據庫主要涉及到三個表：contacts、raw_contacts和data。其中，contact表保存了所有聯系人信息，具體字段包括聯系人編號、聯系次數、是否有電話號碼等。Raw_contacts表存儲了聯系人的詳細信息包括顯示名稱、昵稱、是否被刪除等。Data表存儲了所有創建過的聯系人的詳細信息。通過相關分析可知，本文需要對三個數據表中的數據進行選擇性加密即可實現聯系人數據的細粒度保護機制。

另一方面，安卓系統中的短信數據庫mmssms.db存放在/data/data/com.android.providers.telephone/databases路徑下。第三方應用需申請READ_SMS、WRITE_SMS、SEND_SMS等權限以獲取訪問短信數據庫文件的權限。數據庫mmssms.db中包含所有與短信有關的表結構。其中sms表用于存儲短信內容、短信屬性、重要字段的描述等。此外，person字段指向了contacts表中的聯系人編號，body字段描述了短信的內容。在這兩個字段的基礎上。本文實現了添加聯系人并選擇是否對短信內容進行加密的細粒度保護機制。

(2) 權限檢查分析

安卓操作系統中的權限檢查模塊主要針對系統服務的訪問控制策略。安卓系統提供約30項以特權用戶的身份運行的系統服務，包括管理應用程序、提供位置信息、提供藍牙連接和管理用戶賬戶等重要功能[18]。權限檢查模塊允許開發者利用權限保護服務的單個方法而不是整個服務，以實現對服務的細粒度的訪問控制。例如，checkPermission可用于判斷給定的進程和用戶是否被賦予某條權限。

4　訪問控制增強模塊需求與設計

如圖1所示，為文本設計的訪問控制增強系統的總體架構圖。該架構旨在實現對安卓設備三個功能模塊的訪問控制，即：聯系人管理模塊、短信管理模塊和感知來源控制模塊。為了更好地實現訪問控制增強模塊，本文采用了策略管理和密鑰管理兩個機制。在策略管理機制下，用戶可以指定修改聯系人、短信的加密策略以及對于感知來源的細粒度控制策略；在密鑰管理機制下，用戶可以通過密鑰機制實現對隱私數據的安全保護。

圖1　安卓訪問控制增強系統總體架構圖

4.1聯系人管理模塊

聯系人管理是訪問控制增強系統中的重要部分，其主要特點為：在加密策略的驅動下，對聯系人數據進行加密操作，以保護聯系人數據的安全性。本系統主要實現了聯系人的查看、添加、刪除和搜索的功能。

用戶通過點擊按鈕進行相關的聯系人操作。例如，用戶點擊聯系人信息添加按鈕，系統需要從聯系人管理模塊獲取聯系人密鑰，然后獲取聯系人加解密策略，最后根據該策略將聯系人信息中需要加密的字段加密處理并存儲。

由于安卓系統并沒有考慮聯系人數據的加解密問題，因此，本文增加了一個名為encryptdata的數據表記錄數據加解密狀態信息。由于本方案為細粒度加密，系統需要維護數據庫中每個字段的加密策略，因此encryptdata表和data表相對應，并通過字段的比特值表示加密狀態，其中，1表示信息已加密。

4.2短信管理模塊

短信管理實現了加解密策略驅動下短信的接受、發送、刪除和搜索的功能。在訪問控制增強機制中，系統通過對短信的加解密來保證短信操作的安全性和機密性。用戶通過策略管理機制制定短信加解密策略，并將安全管理策略存儲在策略庫中。

當設備接收到新短信時，短信管理模塊會將其存儲于短信數據庫中。此時，對策略庫的檢索會被觸發，系統會獲取對應發件人的短信加密規則。系統成功驗證用戶的短信密鑰后，會選擇對該短信進行加密保存或者直接保存。同樣，當用戶在安卓設備上撰寫新的短信并點擊發送后，本模塊會驗證收件人是否屬于短信加密列表，并進行加密儲存。此外，針對密文的短信搜索和刪除服務均需建立在驗證密鑰的前提下進行。

4.3感知來源控制模塊

感知來源控制模塊在應用框架層對安卓設備的感知來源進行細粒度權限設置。本系統的感知來源控制模塊主要實現了感知權限的狀態設置和感知場景的新建、修改和刪除的功能。

首先，用戶進入感知權限設置界面設置感知權限狀態。感知來源的狀態可設置為開啟或者關閉，且立即生效。其次，在預置場景中，用戶可以新建、修改、刪除感知場景。用戶點擊新建或修改按鈕后，可在感知來源列表中設置感知來源的狀態，并輸入名稱、保存該場景。此外，用戶可直接選擇相應的感知來源場景快捷地對系統的感知來源進行相應權限的保護。

應用程序訪問感知設備，需要經過框架層、Linux內核層和設備驅動程序三個層次。因此，本系統要實現對感知設備的訪問控制，可以在這三個層次中分別插入策略執行點。策略執行點截獲應用程序訪問感知設備的請求，向策略決策點請求訪問決策(即允許或拒絕)，并按收到的訪問決策執行。

5　訪問控制增強機制實現

5.1策略管理機制

策略管理機制用于管理聯系人和短信的加解密策略以及感知來源的控制策略，聯系人和短信根據加解密策略選擇明文或密文加載，感知設備也根據權限策略而設定是否可用。

策略文件包含policyset、policy、rule的三層結構。其中，前者元素可包含一至多條的后者元素，同時policyset可以內嵌零至多條的policyset。如圖2所示為一個policy.xml的源文件，系統的策略編輯器通過操作策略文件完成對加密選項的選擇。

圖2　策略實現圖

用戶通過策略編輯器選擇對聯系人、短信進行加密，選擇后status發生改變，從初始狀態0變為加密狀態1。后臺通過讀取policy.xml中對應status值，選擇對聯系人、短信進行加密。這樣的設計實現了基于場景的安全策略設置，降低了安卓用戶敏感數據的訪問控制策略設置的復雜度。

本文實現了系統中的聯系人策略管理配置界面，用戶可以選擇將聯系人的字段分別加密，生成策略文件。當用戶存儲聯系人信息時，系統會查看當前的策略文件，對需要加密的字段進行加密并存儲在本地數據庫中。這樣即使第三方應用獲取了對聯系人數據的訪問權限，由于底層數據庫中的數據是密文存儲的，也只能獲取到密文信息，通過這樣的方式，可以避免隱私數據的泄露。

5.2密鑰管理機制

(1) 初始化密鑰

系統在初始化過程中，需要進行密鑰初始化工作，以設置對聯系人數據和短信數據進行加解密操作所需的系列密鑰。

初始化安卓設備時，用戶輸入初始口令，密鑰管理模塊使用SHA-256算法對初始口令進行加密后保存，并生成相應加密密鑰。此外，系統使用SHA-256算法加密初始口令、聯系人特定字段和安卓設備號后取前128位作為聯系人應用的密鑰；使用SHA-256算法加密初始口令、短信特定字段、安卓設備號后后取前128位作為短信應用的密鑰。

(2) 信息加解密

在本系統中，聯系人、短信加解密均使用AES算法。

在聯系人信息管理模塊中，用戶在策略管理點制定聯系人加解密策略，并存儲在策略庫中。當用戶新建聯系人并保存數據時，聯系人模塊會觸發對策略庫的檢索，以獲取聯系人的加密規則。系統成功驗證用戶的聯系人密鑰后，依據加密規則加密聯系人的數據，并將密文數據保存于聯系人數據庫中。同樣，當用戶試圖查看聯系人信息時，聯系人模塊觸發對策略庫的檢索，獲取聯系人的加密規則，成功驗證聯系人密鑰后，解密聯系人的數據，并最終顯示聯系人的明文信息。

在短信管理模塊中，用戶在策略管理點制定短信加解密策略并存儲在策略庫中。當安卓設備接收到一條短信時，存儲過程會觸發對策略庫的檢索。系統獲取發件人的短信加密規則，并成功驗證用戶的短信密鑰后，會選擇對該短信進行加密或者直接保存。同樣，當用戶試圖查看短信箱內的短信時，短信模塊會觸發對策略庫的檢索，獲取相應的加密規則。系統成功驗證短信密鑰后，會解密短信數據，并最終顯示短信的明文信息。

5.3感知來源控制的實現

(1) 安卓應用框架層實現

針對感知設備的權限保護，本系統修改了權限檢查模塊，通過插入策略執行點，使得在權限檢查時，合法的感知設備請求一律返回PERMISSION_DENIED 參數。在本訪問控制增強機制中，選擇了在訪問控制層進行感知設備的控制。這種做法具有實現復雜度低、覆蓋全部API、兼容性強的優點。

具體實現如圖3所示，通過在加入以下具有下劃線的代碼片，使得系統在檢查名稱為android.permission.CAMERA的權限時，一律返回PERMISSION_DENIED參數。

圖3　應用框架層代碼修改

(2) 安卓Linux內核層實現

感知來源的權限控制還可以通過Linux內核層實現。對Linux內核來說，應用程序在安裝完成時會被分配一個唯一的用戶ID，并以該用戶ID運行。對于安卓系統權限，應用程序被授予后，其用戶ID也被加入該權限的用戶組。例如應用程序被授予CAMERA權限后，其用戶ID就成為camera用戶組的成員。在安卓應用框架層的訪問控制機制中，粒度為整個外置存儲設備，而在Linux內核層，普通文件的訪問控制粒度為單個文件。因此，對大部分感知設備的訪問，應用框架層由權限進行控制，Linux內核層則由用戶ID和組ID機制進行控制，在兩個層次的控制粒度都是對感知設備整體的訪問。

SELinux (Security Enhanced Linux) 為Linux內核提供了強制訪問控制機制。SELinux對所有進程、對象和操作實施系統級的安全策略，并實現了策略指定和策略實施邏輯的分離。例如，一個具有標簽app_t應用程序被授予訪問具有的標簽microphone_t麥克風的權限，策略管理模塊會新建一條允許app_t讀取和獲得microphone_t屬性的規則的策略，但不包括寫入、刪除和修改microphone_t的擁有者信息的權限。由于在SELinux中，默認情況下所有訪問都被拒絕，沒有策略規則顯式允許訪問microphone_t的應用程序將無法訪問麥克風。

5.4性能測試

(1) 系統整體性能對比

針對本文所涉及的訪問控制增強機制，本文將其和原生安卓系統進行了性能對比。對比測試環境為四核智能手機，內存13231.8 MB且RAM值為1872.1 MB。如表1所示，為原生安卓4.2.2系統和兩種啟動策略管理模塊的系統的部分性能對比結果。表中分數為測試工具AnTuTu的評分結果。由該對比可知，基于應用框架層的策略管理模塊具有少量的性能優勢。

表1　系統整體性能對比

(2) 聯系人模塊性能橫向對比

圖4顯示了策略模塊啟動前后，添加200、400、600、800條聯系人信息得到的平均添加時間。其中，曲線1～4為啟動了策略模塊的結果，曲線5、6沒有啟動策略模塊。每條曲線代表的實驗場景如圖4所示。

圖4　聯系人模塊性能橫向對比測試結果(單位ms)

曲線1：策略模塊啟動，驗證口令正確，添加一個包含完整聯系人字段并且加密所有信息；

曲線2：策略模塊啟動，驗證口令正確，添加一個只有一個字段的聯系人并且加密該字段；

曲線3：策略模塊啟動，驗證口令錯誤，添加一個包含完整聯系人字段并且加密所有信息；

曲線4：策略模塊啟動，驗證口令錯誤，添加一個只有一個字段的聯系人并且加密該字段；

曲線5：未啟動策略模塊，添加一個完整字段的聯系人；

曲線6：未啟動策略模塊，添加一個單個字段的聯系人。

由圖4可以得出以下結論：首先，從整體來看，啟動策略模塊后添加聯系人的平均時間大于未啟動策略模塊所需要的時間。然后，在策略模塊啟動后，添加的聯系人越多，平均消耗的時間越多，而未啟動策略模塊的情況下，添加聯系人所需要的平均時間與聯系人的數量無關。在啟動策略模塊的情況下，加密的字段越多，即聯系人信息越復雜所消耗的平均時間越多。

在啟動策略模塊后，針對聯系人信息的加密，系統會執行以下四步操作：驗證用戶是否持有密鑰；加密；儲存加密特征；儲存聯系人。因此，對比未啟動策略模塊的情況，額外的時間開銷來自前三步，這與圖4中的實驗結果相吻合。此外，由于本文在數據庫中額外添加了表格記錄聯系人字段加密信息。隨著系統中的聯系人增加，數據庫操作所需的時間也會增加，故曲線1～4中平均消耗時間隨著添加聯系人的增加而增加。

(3) 短信模塊性能橫向對比

表2列出了在策略管理模塊啟動前后發送一定條數的短信所消耗時間的對比。該時間從用戶按下發送按鈕到短信在數據庫插入一條記錄并進入發送服務計算而得。可以看出，安全策略模塊啟動前后對短信模塊的性能也無明顯的影響。因此安卓系統訪問控制增強機制保證了短信模塊的性能。

表2　短信模塊性能橫向對比

(4) 感知源狀態控制性能評測

本實驗中，我們在豌豆莢上分別以“照相機”和“錄音機”為關鍵字進行搜索，選取搜索結果中的前20個應用進行實驗，以測試感知源訪問攔截率。我們在啟用了本文設計的訪問控制增強機制的設備上安裝并運行這些應用程序。同時制定阻止應用程序訪問感知設備的策略，并執行這些應用程序的主要功能，觀察和分析應用程序對感知設備的訪問是否阻止，計算攔截各種感知設備的應用程序的成功率和應用程序崩潰率。

從表3可以看出，應用框架層的感知源狀態控制能完全阻止應用程序對麥克風的訪問，但是有10%的應用程序能繞過控制訪問攝像頭。基于Linux內核層的感知源狀態控制能同時完全阻止應用程序對麥克風和攝像頭的訪問。同時，兩者的應用程序崩潰率都在可以接受的范圍之內。

表3　感知源狀態控制測試結果

6　結　語

本文設計并實現了一種基于安卓系統的訪問控制增強機制。該機制能夠為用戶提供敏感數據如聯系人、短信等信息的細粒度保護，解決安全存儲問題，同時通過對安卓權限的訪問控制實現對感知源的安全控制。最后，本文通過對比實驗驗證了加解密模塊對系統性能造成的時間開銷在用戶的可接受范圍內，同時也驗證了對感知源的訪問控制增強機制的有效性。

然而，雖然本文設計實現的安卓訪問控制增強機制能有效的防止隱私數據的泄露問題，但在日益增加的用戶體驗需求和日益復雜的安卓威脅下，本文提出的方案仍有不足之處。在未來，首先我們希望提供一個更加友好的方式以處理安全性和易用性上的平衡關系。然后我們希望在感知源數據保護的應用程序崩潰問題上有所改善。最后我們希望在下一步工作中將密鑰的存儲位置從本地文件中轉移到更為安全的存儲位置。

[1] Fragkaki E,Bauer L,Jia L,et al.Modeling and enhancing Android’s permission system[M]//Computer Security-ESORICS 2012.Springer Berlin Heidelberg,2012:1-18.

[2] Bugiel S,Davi L,Dmitrienko A,et al.Xmandroid: A new android evolution to mitigate privilege escalation attacks[R].Technische Universit?t Darmstadt,Technical Report TR-2011-04,2011.

[3] Schlegel R,Zhang K,Zhou X,et al.Soundcomber:A Stealthy and Context-Aware Sound Trojan for Smartphones[C]//NDSS.2011,11:17-33.

[4] Rayarikar R,Upadhyay S,Pimpale P.SMS encryption using AES Algorithm on Android[J].International Journal of Computer Applications,2012,50(19):12-17.

[5] 吳劍華,莫蘭芳,李湘.Android用戶隱私保護系統[J].信息網絡安全,2012(9):50-53.

[6] 蔣紹林,王金雙,張濤,等.Android安全研究綜述[J].計算機應用與軟件,2012,29(10):205-210.

[7] Yan L K,Yin H.DroidScope:Seamlessly Reconstructing the OS and Dalvik Semantic Views for Dynamic Android Malware Analysis[C]//USENIX Security Symposium,2012:569-584.

[8] 任海鵬.訪問控制模型研究現狀及展望[J].計算機與數字工程,2013,41(3):452-456.

[9] 孫悅,張妹,李京平,等.基于Linux操作系統文件權限的設置[J].計算機安全,2008(3):36-38.

[10] 諸姣,李宏偉,彭鑫,等.安卓應用系統的功能與權限相關性研究[J].計算機應用與軟件,2014,31(10):27-33.

[11] Shin W,Kiyomoto S,Fukushima K,et al.Towards formal analysis of the permission-based security model for android[C]//Wireless and Mobile Communications,2009.ICWMC’09.Fifth International Conference on.IEEE,2009:87-92.

[12] 劉志偉.Android操作系統安全性增強方案的設計與實現[D].西北大學,2012.

[13] 雷靈光,張中文,王躍武,等.Android系統代碼簽名驗證機制的實現及安全性分析[J].信息網絡安全,2012(8):61-63.

[14] 伊鵬翔.Dalvik虛擬機結構與性能的研究[D].吉林:吉林大學,2011.

[15] Nauman M,Khan S.Design and implementation of a fine-grained resource usage model for the android platform[J].Int.Arab J.Inf.Technol.,2011,8(4):440-448.

[16] Miller C.Mobile attacks and defense[J].Security & Privacy,IEEE,2011,9(4):68-70.

[17] Owens M,Allen G.SQLite[M].Apress LP,2010.

[18] Saltzer J H.Protection and the control of information sharing in Multics[J].Communications of the ACM,1974,17(7):388-402.

ON ACCESS CONTROL ENHANCEMENT MECHANISM FOR SENSITIVE DATA AND CAPACITIES IN ANDROID

Wang WeiZhou TaoHan Weili

(SoftwareSchool,FudanUniversity,Shanghai201203,China)

Sensitive data and perception capacities in Android devices face severe security threats. Current security mechanism cannot efficiently protect the sensitive data of users and perception capacity of devices, because it only provides a coarse-grained access control on application level. Therefore, this paper proposes an access control enhancement mechanism for sensitive data and capacities in Android, which is based on cryptography and fine-grained security policy drive. First, with the help of key management and fine-grained encryption policy, it leverages a high-strength symmetric encryption algorithm to encrypt the sensitive data and this solves the secure storage problem of sensitive data; Then, the mechanism leverages a fine-grained security policy-based access control mechanism to control the access privilege of perception capacities on layer of Android platform to reach the goal of perception data protection. Through prototype system and performance testing, the proposed access control enhancement mechanism for sensitive data and capacity of Android is able to operate on current Android platform with acceptable performance.

Android securityAccess controlFine-grainedPrivacy protection

2015-03-09。國家“核高基”科技重大專項課題基金項目(2012ZX01039-004-20)。王蔚，碩士生，主研領域：安卓安全，物聯網追溯安全。周韜，碩士生。韓偉力，副教授。

TP309

A

10.3969/j.issn.1000-386x.2016.08.067