移动应用软件中用户私有敏感数据的保护方法研究
基本信息
结项摘要
Protection of sensitive data on mobile platforms is critical to the social stability and the national sovereignty in cyberspace. Existing works on data protection mainly focus on the sensitive data of operating systems and mobile devices which are acquired with structured function interfaces, and the protection is also built upon the structured interfaces. As the development of mobile computing these years, there are a huge number of sensitive data with high value in mobile applications, which we call user-centric sensitive data. Different to the sensitive data of operating systems and mobile devices, user-centric sensitive data could not be acquired with structured function interfaces, thus existing work could not apply to this kind of unstructured data. Meanwhile, the programming model and other distinct features of mobile platforms introduce significant research challenges in protecting user-centric sensitive data. To protect unstructured user-centric sensitive data, we first study the communication model between applications and servers to give a systematic definition of what is the user-centric sensitive data. Then, based on user-interface analysis and application behavior analysis, we design automatic techniques to identify user-centric sensitive data from applications. The protection of user-centric sensitive data is designed from two perspectives, i.e. protecting against inside and outside attackers of the application. Specifically, we detect insecure flows of user-centric sensitive to public accessible space to prevent information collection of outside attackers, monitor user interface spoofing attack to prevent outside attackers from hijacking user-input sensitive data, and design in-process data access management framework to prevent inner attackers from collecting user-centric sensitive data.
移动平台的数据保护关系社会民生和国家网络空间主权。现有工作大多针对通过规整化函数接口获得的系统设备类敏感数据,并且基于这些规整化的接口进行数据保护。然而,海量移动应用软件中同样存在着价值巨大的用户私有敏感数据,并且这类敏感数据无法通过规整的函数接口获得,导致现有工作无法适用。于此同时,移动平台的新特性为用户私有敏感数据的保护研究带来了独特的挑战。针对用户私有敏感数据非规整的特点,本项目首先基于移动应用软件与服务器的交互模型给出非规整用户私有敏感数据的系统化定义,并且结合程序分析技术设计用户私有敏感数据的自动化识别方法。考虑到来自程序内外部的威胁,本项将从多个角度研究用户私有敏感数据的保护方法,包括防止用户私有敏感数据输出到公共可访问空间,防止用户私有敏感数据的输入界面被劫持,防止用户私有敏感数据被程序内部的第三方代码组件窃取。本项目的研究成果将显著促进移动网络空间数据保护理论和技术的发展。
项目摘要
针对移动应用软件中用户私有敏感数据的保护问题,本项目展开了深入系统的研究。首先,本项目聚焦于用户私有敏感数据的识别问题,发现用户私有敏感数据在形式上呈现出非规整的特点。通过多项原创性研究本项目突破性的实现了对用户私有敏感数据的识别。同时,为了支撑对海量移动应用软件的分析,本项目通过研究高效的第三方代码检测技术。接着,针对用户私有隐私数据保护问题,本项目从跨域攻击和程序内虚拟化攻击两个角度展开了系统性研究,保护用户私有的敏感数据被泄露。依托上述研究成果,本项目累计发表和录用CCF-A类会议期刊论文7篇、CCF-B类会议期刊论文3篇,申请专利2项,授权专利1项。. 本项目的代表性成果有:. (1)针对移动应用程序内隐私数据源的识别问题,本项目首次提出融合了自然语言处理、程序分析和机器学习对用户输入类隐私数据和来自服务端的隐私数据进行了检测,大大扩大了传统隐私数据范围的边界,研究成果发表于CCF-A类期刊IEEE TIFS和系统安全领域四大顶级会议NDSS 2018(CCF-B类)。. (2)支撑海量移动应用软件自动化分析的第三方代码检测技术。针对移动应用软件内嵌大量第三方代码导致程序分析缓慢的问题,我们基于类依赖图进行代码模块划分、实现对移动应用软件中外部引入的第三方代码的高效可靠检测,相关研究成果发表于程序分析领域重要会议SANER 2018(CCF-B类)。. (3)移动和Web融合下的跨域攻击高效检测和保护方法。本项目发现被广泛使用的WebView组件可以允许移动应用访问到不属于自身安全域的敏感数据,造成隐私泄露。为此我们结合静态代码分析技术、自然语言处理和信息检索等方法,实现对跨域的隐私数据访问的高效检测,保护用户隐私数据,相关研究成果发表于系统安全领域顶级会议USENIX Security 2018(CCF-A类)。. (4)移动应用软件内虚拟化框架的攻击检测和保护方法。本项目发现被广泛使用的应用内虚拟化技术在提供强大功能的同时对终端用户的隐私数据带来极大的危害。本项目针对应用市场上最流行的32款应用虚拟化平台进行分析,系统性的对此类风险进行了识别,并且提出保护方案避免用户隐私数据被泄露,研究成果发表于重要国际会议Sigmetrics 2019(CCF-B类)。
项目成果
{{i.achievement_title}}
{{i.achievement_title}}
暂无此项成果
数据更新时间:2023-05-31
其他相关文献
玉米叶向值的全基因组关联分析
玉米叶向值的全基因组关联分析
涡度相关技术及其在陆地生态系统通量研究中的应用
涡度相关技术及其在陆地生态系统通量研究中的应用
农超对接模式中利益分配问题研究
农超对接模式中利益分配问题研究
正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究
正交异性钢桥面板纵肋-面板疲劳开裂的CFRP加固研究
硬件木马:关键问题研究进展及新动向
硬件木马:关键问题研究进展及新动向
张源的其他基金
相似国自然基金
无线体域网中敏感数据的高效隐私保护方法研究
移动互联网的用户隐私保护研究
用户主导的面向领域应用软件的开发方法研究
异构网络中基于用户移动状态的多时隙用户关联理论与方法