面向移动应用的细粒度访问控制机制

Mobile devices such as smartphones have seen wide-spread adoption in recent years. Meanwhile, the number of mobile apps have also increase dramatically, while many apps require accesses to sensitive user data in order to fulfill their functionalities. Current mobile systems such as Android provide permission-based access control on sensitive user data, which has many weaknesses as it cannot deal with sensitive user data in a fine-grained manner. The particular issues include: (1) There are no mechanisms to provide fine-grained access control on sensitive data accesses within an app; (2) It is difficult for users to understand the permission uses and access control mechanisms. .This project aims to solve the above issues with new access control mechanisms, through elevating the level of user understanding on sensitive data access control. We first introduce a couple of “user-oriented” fine-grained access control models, i.e., a purpose-based access control model and a UI component-based access control model. Based on these access control models, we investigate new analysis techniques on Android apps that can be used to support fined-grained access control, as well as how to implement fine-grained access control on the Android system. We plan to implement a prototype system for fine-grained access control for Android, as well as a series of analysis tools. We will also evaluate the proposed techniques through case studies and user studies.

近年来，智能手机等移动设备得到了广泛应用。随之而来的是，大量的移动应用逐渐取代了传统桌面应用，进入了广大用户的生活。为了完成其任务和目的，很多移动应用都需要访问用户的隐私信息，而目前的移动系统只提供了粒度较粗的、基于权限的敏感数据访问控制方法，无法满足用户对敏感数据的访问控制需求，其主要问题是：既不能提供应用内的细粒度访问控制，也难以向用户提供容易理解的访问控制策略和工具。.本项目拟从提高用户对敏感数据访问行为的理解出发，探索新的细粒度敏感数据访问控制方法和机制。首先建立面向用户的敏感数据访问控制模型，包括基于意图的访问控制模型与基于UI构件的访问控制模型。在此访问控制模型的基础上，研究支持细粒度访问控制的移动应用分析关键技术，以及如何基于Android操作系统上实现细粒度的访问控制机制。项目计划实现细粒度的访问控制原型系统和相关分析工具，并通过案例分析和用户研究对研究成果进行验证。

随着智能手机的快速发展，很多移动应用都需要访问用户的大量隐私信息，而目前的移动系统只提供了粒度较粗的、基于权限的敏感数据访问控制方法，无法满足用户对敏感数据的访问控制需求。为了给移动应用提供更好的敏感数据访问控制策略和机制，项目以提高用户对移动应用中敏感数据访问权限的理解作为出发点，以基于权限使用意图和UI构件的访问控制模型为基础，研究面向细粒度访问控制的移动应用静态和动态分析等关键技术，最终实现细粒度的移动应用访问控制功能和系统原型，达到改进用户对移动应用中敏感数据访问控制的目的。.项目完成的主要研究内容和成果包括：（1）移动应用静态分析技术：提出了一系列与安全和访问控制目标相关的Android App静态分析关键技术，包括：第三方库广告库分析、核心功能分析、功能冗余性分析等。（2）移动应用动态分析技术：提出了针对访问控制目标的Android App动态分析关键技术，包括：UI转换图自动生成、基于深度学习的测试用例生成、与广告有关的动态分析技术等。（3）移动应用的隐私与访问控制：提出了一系列与敏感数据隐私保护和细粒度访问控制相关的关键技术，包括：移动应用隐私数据分析、隐私策略分析、隐私评级机制等。（4）大规模移动应用市场分析：研究了百万量级的Android应用市场的分析，揭示了应用市场的演化规律，以及其中存在的恶意假冒应用、换名攻击、恶意诈骗等大量安全问题。（5）新型智能应用分析技术：在深入研究Android智能应用分析的基础上，进一步研究了面向智能合约、深度学习等新型智能应用的静态和动态分析技术，并针对模型剪枝、模型保护、用户端数据隐私保护等领域进行了应用。.项目在研究过程中研制了多个开源工具，并在学术界和产业界得到了广泛的接受，为成果的推广和应用提供了坚实的基础。.