基于权限的gvaldrous协议的设计与实现.docxVIP

基于权限的gvaldrous协议的设计与实现 0 现有的权限授予机制 大量的应用程序推动了移动和平面计算机等嵌入式设备的发展。在众多移动平台中, 由Google设计的Android操作系统以其出众的开放性受到广大用户和手机制造商的青睐。随着应用程序及开发者数量的迅速上升, Android平台的安全隐患也受到了极大关注。频频发生的个人信息泄露和恶意扣费事件使得Android平台现有的访问控制策略受到了诸多质疑和诟病。 Android采用了一种基于权限的访问控制策略 判断应用程序某一行为是否是恶意行为往往依赖该行为发生的上下文。例如, 对于一款游戏软件而言, 读取用户通讯录并通过网络连接发送出去可以被认为是恶意行为;而对于通讯录同步软件而言, 这却是个正常的行为。因此, 权限授予过程需要用户参与。然而现有的权限授予机制强制要求用户在安装时做出授权决定, 而此时用户可能无法得知应用程序会如何使用该权限, 难以做出正确判断。例如, 疯狂的小鸟 (Angry Birds, 一款流行的游戏应用程序) 需要“发送短信”的权限以支持通过短信购买高级道具的行为, 而用户在不知晓应用程序将在何时何地使用“发送短信”的权限前, 几乎不可能做出正确判断。 因此, 如何在保障安全性和可用性的基础上为Android设计一种权限授予机制就显得十分重要。从安全性角度出发, 这种权限授予机制需要保证用户可以在应用程序使用可疑权限前做出授权决定;从可用性角度出发, 系统所需的用户参与频率要尽可能低。现有的权限授予方法在解决上述问题上存在明显的缺点: (1) Android及其扩展框架 本文设计并实现了Grant Droid:一种支持Android权限即时授予的方法。它覆盖了Android平台上所有的权限使用点, 并拦截所有应用程序对这些权限的使用。对于任意一次权限使用请求, Grant Droid基于一套恶意应用程序权限使用特征判断对该应用程序授权是否存在安全隐患。如果对用户存在潜在的安全威胁, 则告知用户此次权限使用请求的相关信息和安全隐患, 以帮助用户即时做出是否授权的决定;对于其他不会造成安全隐患的权限使用请求, 系统自动完成授权。Grant Droid确保应用程序使用自动授予的权限时不会引发安全问题。为了减少不必要的用户参与以提高系统的可用性, 本文推导出恶意应用程序所必备的权限使用特征, 只有当应用程序对权限的使用符合其中至少一项特征时, 才需用户进行确认, 否则会被自动授权。 为了验证恶意程序权限使用特征的有效性和完整性, 我们对150个真实恶意应用进行了功能性测试。测试结果表明没有一款恶意应用程序能够自动获得完成其恶意行为所必须的所有权限。此外, 我们从Android官方应用市场 1 背景和相关工作 1.1 )所授权权限的执行 Android是一款基于Linux内核的移动平台操作系统。它定义了100多个权限来保护系统内部的敏感资源 Android为每个应用程序维护一个已授权权限集合, 当应用程序使用“Android权限”时, 如访问GPS、访问通讯录、发送短信等, Android检测相应的权限是否在该应用的已授权权限集合中, 如果不在则拒绝此次权限使用。应用程序请求使用“内核权限”时, 如写文件、使用摄像头、创建网络连接等, 由Linux内核执行权限检查。“内核权限”对应的资源由Linux内核管理并只允许应用程序通过系统调用的方式访问, 所以应用程序可以使用Java API、Android API, 甚至可以编写本地代码直接触发系统调用完成访问。Android只能依赖底层的Linux系统控制应用程序对它们的访问。Android利用Linux用户组机制完成对“内核权限”的保护, 约定何种权限对应何种用户组, 因而形成了一个内核权限-用户组-内核资源的映射关系。如果用户在安装时授予应用程序某“内核权限”, Android则将该应用程序对应的uid与该权限所对应的用户组绑定, 这样在应用程序启动时就具备了使用该权限的能力。 1.2 限模型的完善和对权限授予方式的改进 现阶段对Android访问控制模型的研究主要包括对Android权限模型的完善和对权限授予方式的改进两个方面。 Ongtang等人认为现有Android权限模型只能对Android的系统资源进行保护, 不能很好地保护应用程序资源, 因而对权限模型进行了扩展 Kirin 2 目标和威胁模型 2.1 支持系统及应用程序 为了解决Android当前的权限授予机制存在的隐患, 我们需要一种“即时”的权限授予机制, 即用户对应用程序的授权应发生在应用程序使用权限的时刻。由于应用程序对权限的使用十分普遍, 频繁的用户显式授权将大大降低系统的可用性和有效性, 因此需要减少不必要的用户交互。此外, And