基于污点标记访问控制模型及其安卓实现.docVIP

基于污点标记访问控制模型及其安卓实现 　　摘 要： 　　为保护移动操作系统平台中存储的用户隐私数据，提出一个基于污点标记的访问控制（TBAC）模型，并设计了一个基于污点跟踪的信息流控制框架（TIFC）。为数据添加污点标记，控制力度细化到数据；引入主体能力保证最小特权原则；主体能力独立于数据污染与可信去污防止污点积累。该模型与BLP模型相比更加可用、灵活与细粒度。该框架能细粒度地、灵活地、准确地实时跟踪并控制隐私信息的流向，并解决了程序执行中因控制流产生的隐蔽通道问题。 　　关键词： 　　安卓；隐私安全；访问控制；污点跟踪；隐蔽通道 　　中图分类号： 　　TP309.2 　　文献标志码：A 　　Taint-marking based access control model and its implementation on Android 　　Abstract： 　　For protecting the sensitive data on mobile operation system， a Taint-marking Based Access Control （TBAC） model was presented and a Taint-marking Information Flow Control （TIFC） framework was proposed. To improve fine-grained data sharing， labels were designed for each data. To support for least privilege characteristic， capacities were defined to each subject. To avoid accumulating of contamination， decontamination capacities of trust subjects were introduced. Compared with BLP， TBAC is more available， flexible and fine-grained. The results show TIFC is an effective， flexible and accurate framework in tracking and controlling the information flow at runtime， and TIFC solves the problem of covert channel caused by control flow during program execution. 　　Key words： 　　Android； privacy security； access control； taint tracking； covert channel 　　0 引言 　　移动互联是信息时代科技发展的必然趋势。智能终端在人们日常生活已经扮演着不可替代的角色。智能手机上存储着大量用户个人隐私信息，如手机串号、用户标识、电话状态、认证数据、短信、地理位置、认证信息、隐私文件等。然而，此类信息的安全却得不到有效的保证[1-3]。鉴于安卓占领了中国近90%市场及其开源特性，对其进行隐私安全增强十分必要和可能。 　　安卓体系结构大致可分为四层，从高层到低层分别是应用程序层、应用程序框架层、系统运行库层和Linux内核层。安卓为数据安全提供应用程序隔离机制和权限机制，应用程序隔离机制指不同签名的应用程序在安装时，都会被赋予不同的用户标识且运行在不同的系统进程内，任何由应用程序存储的数据不能被其他应用程序访问。权限机制是在应用程序框架层的一个基于能力的访问控制框架。应用程序根据自己需要访问的系统资源或其他应用程序组件，申请对应的权限；但权限机制不能防止混淆代理人攻击和共谋攻击[4-5]。目前，对安卓系统隐私安全增强工作主要有SEAndroid[6]、Kirin[7]、Apex[8]、Quire[9]和TaintDroid[10]等。SEAndroid将SELinux移植到安卓平台上，强化安卓应用程序对文件的存取控制；但控制力度仅在进程层面而不能面向数据本身，而且安全策略缺乏针对性和灵活性。Kirin、Apex、Quir主要研究权限机制以增强应用程序对敏感信息的使用权限；但基于权限机制分析难于克服权限机制自身过于粗糙缺点。TaintDroid实现了安卓平台上的动态实时隐私信息污点跟踪；但其缺乏对信息流的控制机制，而并不能防止用户隐私的泄露，且已有研究都未曾提出针对移动平台的安全模型。 　　为解决移动平台数据隐私安全问题，借鉴已