[发明专利]基于权限标签的Android隐私数据保护方法及系统

说明书

技术领域

本发明属于移动终端安全领域，主要涉及Android平台的隐私数据保护，更确切地是涉及一种基于权限标签来保护Android隐私数据的方法，以及一种基于权限标签的Android隐私数据保护系统。

背景技术

Android作为移动终端的主流操作系统之一占据着市场的巨大份额，并且还在逐年增长。据美国市场研究公司Gartner发布的最新报告显示，2014年基于Android操作系统的平板、手机等设备的出货量将近12亿，较2013年增长26％。面对如此庞大的Android用户群，其安全形势也愈发严峻。根据百度安全实验室发布的《2014年第二季度移动安全报告》，截至2014年第二季度末，Android平台上的恶意软件和高危软件累计已达182万款，其中恶意软件有64万款，是去年同期数量的三倍。在这些恶意软件中，虽然恶意扣费类软件仍然占据很大比重，但隐私窃取类恶意软件已经呈现出迅猛上涨的趋势，其上涨幅度达到了57％。窃取的隐私信息除了用户地理位置、通讯录、短信、相册照片、录音视频等之外，还包括很多与用户金钱利益相关的信息，如移动支付涉及的用户账号信息、支付密码等，严重威胁了用户隐私安全，同时也束缚了移动支付等应用的发展。

Android系统自身提供了一套权限机制来控制对系统保护资源如网络、GPS、短消息、联系人等的访问，所有应用在安装前都必须向用户显示请求其需要的权限，且只有在获得用户授权后方可访问相应资源。很显然，从Android平台日益呈现的安全威胁来看，Android权限机制并没有达到其预想的目标。究其原因，除了应用开发者请求过多权限、用户不理解权限含义等外在原因外，一个主要的实质原因就是该权限机制可以被旁路，其典型代表就是权限提升攻击，即恶意软件在没有用户授权的情况下同样可以获取系统敏感资源。权限提升攻击在具体实施过程中，既可以是恶意软件通过调用具有权限的正常应用软件或系统服务的公开接口来实现，也可以是两个恶意软件通过合谋通信合并两者权限的方式来实现，其结果都将威胁终端系统和用户隐私安全。

Android权限机制的实施控制是在Android的应用框架层完成的，为此，目前针对权限提升攻击的方案都是在应用框架层实现的，主要表现在通过在权限判定策略中引入如时间、位置等动态因素来约束应用组件对资源的访问，或者综合通信组件的权限进行权限规约以控制组件权限的扩大等。然而，组件之间的通信手段除了在应用框架层相互调用组件接口之外，内核层的传统linux进程通信机制同样适用。其结果就是，即使在应用框架层阻止了未授权应用通过调用授权应用的接口来访问系统资源，未授权应用也可能通过文件系统等与授权应用通信从而获取不应访问的资源。究其根本，主要还在于Android权限机制的控制局限在应用框架层，应用组件在内核层可以直接旁路上层的权限判定，从而达到提升权限获取资源隐私数据的目的。因此，为有效避免隐私数据在内核层遭受泄露，需要将应用框架层的权限延伸至内核层，进一步基于权限对内核层的访问实施控制。

发明内容

针对上述问题，本发明的目的在于提供一种基于权限标签的隐私数据保护方法。该方法将Android权限机制延伸至内核层，并结合内核层强制访问控制机制，将应用作为主体，文件系统作为客体，分别为主客体打上权限标签，并基于权限标签设置访问策略，以控制主体对客体的访问，从而防止未授权应用通过文件系统获取隐私数据。

本发明的另一个目的在于提供一种基于权限标签的隐私数据保护系统。该系统主要是提供内核层的隐私数据访问保护，根据应用权限自动为应用和文件打上相应的权限标签，保证隐私数据不会经由文件系统流转至未授权应用。

本发明的技术方案基于权限标签的隐私数据保护方法，其步骤为：

1)设置应用访问文件的访问策略规则，形成访问策略文件，重启系统将访问策略加载至Android内核模块；

2)安装Android应用时，应用框架层的包管理服务模块调用内核层接口自动为其应用进程和文件打上权限标签；

3)应用访问文件时，Android内核模块根据应用进程和文件的权限标签匹配访问策略，并基于策略判定结果执行访问操作或者拒绝访问；

4)在应用成功访问文件后，Android内核模块根据访问操作类型更新文件权限标签。

进一步的，本发明方法中提及的标签是一个集合值，其集合元素为权限，对于应用进程而言其标签表明该应用具有的隐私权限，对于文件而言其标签表明要求访问该文件的应用应具有的隐私权限。