基于android平台的智能手机权限安全研究-通信与信息系统专业论文.docxVIP

万方数据 万方数据 上海交通大学 学位论文原创性声明 本人郑重声明:所呈交的学位论文《基于An droid 平台的智能手 机权限安全研究)) ，是本人在导师的指导下，独立进行研究工作所取 得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献 的个人和集体，均己在文中以明确方式标明。本人完全意识到本声明 的法律结果由本人承担。 学位论文作者签名 :f在. 一 日期:立014 年 l 月 3 日 一-十一- 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 保密口，在一一年解密后适用本授权书。 本学位论文属于 / 不保密囚。 (请在以上方框内打 .J ) 学位论文作者签名 : J扛 一 指导教师签名:/蓄巧这 日期:ν14 年 l 月争日 日期:;).01伊年/月立日 上海交通大学硕士学位论文 上海交通大学硕士学位论文 基于 Android 平台的智能手机权限安全研究 摘 要 Android 是目前市场占有率最高的智能移动终端操作系统，它开放 的权限机制在为它带来更多使用者和开发者的同时，也带来了很多安 全上的问题，特别是权限提升这一漏洞的存在，使得 Android 系统的 安全性面临着巨大的挑战。 针对 Android 系统的权限提升漏洞的问题，本文首先对 Android 系统的总计架构做了简要的介绍，通过分析 Android 框架中的各个模 块、Android 的进程间通信机制以及 Android 的权限机制，针对 Android 权限机制分析其存在的缺陷和可能导致的问题。从而引出 Android 权 限提升攻击，并分析这种攻击带来的危害和影响。 接着，本文介绍了目前存在用于防御 Android 权限提升攻击方法： 静态方法和动态方法。通过分析这两种方法各自的优缺点发现：（1） 静态方法只能发现权限提升攻击但不能准确找出攻击源头；（2）动态 方法虽然可以即时有效地发现权限提升，但占用过大的资源且判定过 程太复杂导致防御措施存在一定的滞后，而且容易引起应用的崩溃。 基于这两种防御技术，本文提出一种基于静态风险评估的动态防 御系统，该系统主要分为两个部分：（1）对 Android 系统的应用根据 论文提出的独特评估标准做出风险评估，获得监测应用和敏感权限集 合；（2）对监测应用进行进程间通信的动态监测，根据请求权限与敏 感权限集合的对比结果来判定是否发生权限提升攻击，根据应用访问 的方向来确定权限提升攻击的源头。并能在权限提升攻击发生时，做 出相应的警报，提醒用户正在运行的应用存在权限提升攻击。 最后，本文对这种基于静态风险评估的动态防御系统加以实现， 并进行了全面的实验和实验结果分析。实验的结果显示该防御系统可 I 以有效地防御权限提升攻击，但仍然存在一定的不足。 关键词：Android、权限提升、进程间通信、监测 II RESEARCH ON SMARTPHONE PERMISSION SECURITY OF ANDROID SYSTEM ABSTRACT Android has the highest market share of smartphone operating system. The open access mechanism on Android brings more users, developers as well as many security problems, especially the privilege escalation loophole which makes the security of Android facing enormous challenges. In view of the Android system privilege escalation，the architecture of Android system is briefly introduced firstly. And then，the paper analyses the module of Android frame，Android inter-process communication and Android permission mechanism. At the last of second part，the paper introduces the An