[发明专利]一种基于移动设备权限的用户隐私风险量化方法

说明书

本发明涉及一种基于移动设备权限的用户隐私风险量化方法，其特征在于包括以下步骤：1)通过网页抓取各应用网站信息得到各App最新版本内容，获取各App的请求权限和开发者信息；2)对各App所请求的各种权限进行整理，并挑选隐私相关权限；3)基于EBIOS思想，计算各隐私相关权限及其组合的权限敏感度；4)基于用户使用的App集合，确定用户的权限使用列表数据及其各权限对应的数据收集者数量；5)基于用户的各权限列表数据、权限对应的数据收集者数量及权限的敏感度，建立用户隐私风险量化模型，由用户隐私风险量化模型计算得到用户的隐私风险值。本发明可以广泛应用于用户隐私风险量化评估领域。

技术领域

本发明涉及一种用户隐私风险评估方法，特别是涉及一种基于移动设备权限的用户隐私风险量化评估方法。

背景技术

传统的风险管理框架提出了一系列的评估步骤对计算机系统或平台的风险进行评估，如PIAs、ISO27005、EBIOS、CRAMM等。但是这些风险管理框架在用户隐私风险量化评估方面存在两点不足：一是常用于对IT信息系统或平台，对系统或平台资源信息可能遭受风险的可能性和大小进行评估；二是风险不仅限于或不针对隐私风险，而多研究安全风险。

隐私风险评估是风险评估的一种特定的量化研究，指识别数据泄露源，基于数据泄露发生可能性及发生后对组织或个人隐私产生的危害，综合对相关机构组织或个人的隐私风险程度进行评价。用户隐私风险评估则是把用户作为评估对象，基于用户所具备的个人隐私信息，对这些信息泄露可能性及泄露后产生的隐私危害进行分析建模，进而得到用户隐私风险值。

用户隐私风险评估通常基于特定的场景，如社交网络、云平台。如2010年YongWang等人把SONET模型应用于社交网络隐私度量，并用PIDX(i,j)表示用户j对用户i的隐私暴露程度，但并不对单个用户的隐私风险程度进行量化。Ruggero G.等人在2016年提出从社交网络的拓扑结构利用Pagerank网页排名算法度量网络中用户的隐私风险，该方法只注重社交网络中的结点出入度结构，而忽略了结点的属性隐私度量。国内朱涵钰等人则通过人类动力学和统计物理的方法，基于大量社交网络个人隐私设置数据建立隐私风险参数变量，并使用决策分析理论计算参数权重，最终得到用户隐私风险值。

而在移动场景下，即用户在移动设备上使用各移动应用程序(MobileApplication，以下简称App)时，现有的隐私风险评估通常是对操作系统或App本身的隐私风险进行分析，而很少有研究对用户在使用移动应用程序时面临的隐私风险进行评估。如早在 2012年Sarma等人就依赖权限及权限对的使用率刻画App风险，2013年DroidRisk 方法使用权限的恶意软件发生概率和敏感度计算App的恶意软件风险。Hamed等在2016 年基于权限敏感程度和重要程度参数提出一个动态隐私打分模型。国内研究者张贤贤等人使用众包和机器学习方法，基于敏感权限和权限意图等其他静态特征创建了App 隐私评级模型。以上各方法均评估的是App本身的隐私风险，而不考虑使用App的用户其本身面临的隐私风险。

发明内容

针对上述问题，本发明的目的是提供一种基于移动设备权限的用户隐私风险量化方法，其利用用户移动设备上各App请求的权限实现对用户隐私风险的定量计算，方法简单，可快速高效地对用户的隐私风险水平进行评估。

为实现上述目的，本发明采取以下技术方案：一种基于移动设备权限的用户隐私风险量化方法，其包括以下步骤：

1)通过网页抓取各应用网站信息得到各App最新版本内容，获取各App的请求权限和开发者信息；

2)对抓取的各App所请求的各种权限进行整理，并挑选隐私相关权限；

3)基于EBIOS思想，计算各隐私相关权限的权限敏感度；

4)基于用户使用的App集合，确定用户权限允许列表及列表中各权限对应的数据收集者数量；