[发明专利]基于调用链的Android权限管理方法及系统

说明书

技术领域

本发明属于移动终端安全领域，主要涉及Android平台的权限管理，更确切地是涉及一种基于应用组件调用链来管理Android权限的方法，以及一种基于调用链的Android权限管理系统。

背景技术

移动互联网的快速发展使得智能移动终端在市场上迅速渗透，呈现井喷式增长。其中，智能移动手机的市场增长尤为显著，普及率急速上升。根据互联网数据中心的调研数据显示，在几大移动智能平台之间，Android无论在终端出货量还是市场份额方面都处于领先地位，在2012年第三季度的全球市场份额中Android就占有75%。根据易观智库产业数据库发布的监测报告显示，在我国智能手机终端市场中，Android在2012年第三季度的市场份额中也占有90.1%。Android是Google和开放手机联盟创建的开放的移动平台，其开放性使得开发人员可以很方便的进行各种系统和应用开发，从而促使Android占有如此庞大的市场。然而，也正因为如此，针对Android的众多应用良莠不齐，当这些应用被终端用户广泛用于工作和娱乐时，不可避免的将参与到涉及个人隐私、财产等敏感信息的活动中，从而严重威胁终端安全，损害用户个人利益。

为保证终端安全，Android平台提供了沙盒、权限等安全机制。沙盒机制用于保证应用程序之间的隔离运行，而权限机制用于控制对终端保护资源以及应用组件的访问。应用组件是应用程序的基本构建块，每个组件都是调用其应用程序的不同入口点，Android应用共有activity、service、broadcast receiver、content provider四类应用组件，http://developer.android.com/guide/components/fundamentals.html。对于诸如网络、GPS、短消息、联系人等重要终端资源，Android提供了访问这些资源的系统API组件，并分别为这些系统API组件定义了权限标签；对于应用组件，应用程序可以为其自定义权限标签。只有具有与权限标签相同权限的应用程序，才能获取对这些组件的访问。Android应用程序在开发时就会静态声明其权限需求，在安装时由用户授予其请求的权限，在运行如调用系统API组件时由系统进行权限检查，使得只有具有相应权限的应用才能调用成功。

然而，研究表明现有的Android权限机制存在一种显著的权限提升攻击，可以引起严重的隐私泄露问题。所谓权限提升攻击即没有某项资源访问权限的应用通过具有该权限的应用来实现对该项资源的访问。波鸿鲁尔大学的Davi等人发表在Proceedings of the 13th international conference on Information security，2010上的名为“Privilege Escalation Attacks on Android”的研究报告首先展示了一个真实的权限提升攻击实例，但是没有给出相应的解决方案。针对该问题，加州大学伯克利分校的Felt等人发表在Proceedings of the 20th Usenix Security Symposium,2011上的名为“Permission Re-Delegation:Attacks and Defenses”的研究报告给出了一个权限规约方案，即一旦发生组件调用，则对调用者与被调用者的权限进行规约，并将规约后的权限作为被调用者的权限进行后面的调用请求访问。这种方式可以避免不具有权限的应用进行权限提升攻击，但同时也导致很多应用丢失了自己原本具有的权限，从而影响其正常运行。莱斯大学的Dietz等人发表在Proceedings of the 20th Usenix Security Symposium,2011上的名为“QUIRE:Lightweight Provenance for Smart Phone Operating Systems”的研究报告提出的QUIRE系统是通过构建调用链来避免这种攻击，但是QUIRE系统是为每个组件都建立调用链，并需要在组件通信时将调用者的调用链安全传递给被调用者作为其调用链构建基础，这种方式引起的系统负担较大，且在请求访问时仅考虑调用链组件的权限，考虑因素比较单一。目前还没有一种完善有效的既可以避免权限提升攻击又不影响系统正常运行的权限管理方法。

发明内容

针对上述问题，本发明的一个目的在于提供一种基于调用链的权限管理方法。该方法根据组件调用目的的不同将运行的组件归于不同的任务中，以任务为单位构建调用链，并基于调用链制定资源访问策略，在调用系统API组件访问系统资源时实施策略判定，以阻止权限提升攻击，保护终端安全。