本發(fā)明涉及一種基于安全域的安卓隱私數(shù)據(jù)保護方法及系統(tǒng)。該方法在安卓系統(tǒng)中設(shè)置安全域和用戶域，用戶的隱私數(shù)據(jù)在安全域中加密存儲，可信任的應(yīng)用程序運行在安全域中，不可信任的應(yīng)用程序運行在用戶域中；在安全域中設(shè)置訪問控制策略，防止不可信任應(yīng)用直接訪問隱私數(shù)據(jù)，并管控可信任應(yīng)用直接訪問隱私數(shù)據(jù)；在安全域中通過控制進程間通信和網(wǎng)絡(luò)通信套接口，防止用戶域中不可信任的應(yīng)用程序利用安全域中可信任應(yīng)用程序的權(quán)限間接訪問隱私數(shù)據(jù)。本發(fā)明能夠防止不可信任應(yīng)用獲取隱私數(shù)據(jù)，并且管控可信任應(yīng)用程序訪問隱私數(shù)據(jù)，使用戶的隱私數(shù)據(jù)能夠被有效保護。

技術(shù)領(lǐng)域

本發(fā)明屬于計算機網(wǎng)絡(luò)技術(shù)領(lǐng)域，涉及一種基于安全域的安卓隱私數(shù)據(jù)保護方法及系統(tǒng)。

背景技術(shù)

隨著智能終端的迅速普及和移動互聯(lián)網(wǎng)的快速發(fā)展，智能手機上保存了越來越多的個人隱私信息，如通訊錄、通話記錄、短信和個人賬戶等。然而，用戶敏感信息泄露的途徑和類別也越來越多，惡意應(yīng)用程序竊取用戶敏感信息行為層出不窮，當前安卓操作系統(tǒng)的無法有效保護用戶隱私信息，其安全體制架構(gòu)存在以下主要缺陷：

1)安卓操作系統(tǒng)僅僅能提供粗粒度的權(quán)限訪問控制，安裝時限制應(yīng)用程序能否得到權(quán)限進而獲取隱私數(shù)據(jù)，而并不能深層次地管控隱私數(shù)據(jù)。比如，應(yīng)用程序安裝時，用戶允許了應(yīng)用獲得讀取聯(lián)系人信息的權(quán)限，但用戶并不知道應(yīng)用是否將聯(lián)系人信息發(fā)送給了廣告商、應(yīng)用開發(fā)者還是其他網(wǎng)絡(luò)實體。

2)安卓操作系統(tǒng)存在權(quán)限提升攻擊，未申請獲得某一權(quán)限的應(yīng)用，能夠利用進程間通信和網(wǎng)絡(luò)通信套接口等方式獲取其他應(yīng)用的權(quán)限，進而可以間接訪問隱私數(shù)據(jù)。

3)安卓操作系統(tǒng)僅僅提供了單一的數(shù)據(jù)庫進行存儲，如短信、日歷和聯(lián)系人等信息，任何應(yīng)用都可以存儲并獲取數(shù)據(jù)庫中的隱私信息，缺少能夠保護隱私數(shù)據(jù)的有效安全隔離機制。

由此看來，安卓操作系統(tǒng)中存在隱私信息泄露和竊取問題，缺乏隱私數(shù)據(jù)保護和管控機制。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于安全域的安卓隱私數(shù)據(jù)保護方法及系統(tǒng)，有效保護用戶的隱私數(shù)據(jù)。

為此，根據(jù)本發(fā)明的一個方面，提供一種基于安全域的安卓隱私數(shù)據(jù)保護方法，包括如下步驟：

1)在安卓系統(tǒng)中設(shè)置安全域和用戶域，用戶的隱私數(shù)據(jù)在安全域中加密存儲，可信任的應(yīng)用程序運行在安全域中，不可信任的應(yīng)用程序運行在用戶域中；

2)在安全域中設(shè)置訪問控制策略，防止不可信任應(yīng)用直接訪問隱私數(shù)據(jù)，并管控可信任應(yīng)用直接訪問隱私數(shù)據(jù)；

3)在安全域中通過控制進程間通信和網(wǎng)絡(luò)通信套接口，防止用戶域中不可信任的應(yīng)用程序利用安全域中可信任應(yīng)用程序的權(quán)限間接訪問隱私數(shù)據(jù)。

進一步地，安全域中設(shè)置隱私策略執(zhí)行模塊和隱私策略管理模塊，管控應(yīng)用程序直接訪問隱私數(shù)據(jù)；安全域中設(shè)置認證授權(quán)模塊，管控用戶域中的不可信任應(yīng)用利用安全域中的可信任應(yīng)用程序的權(quán)限間接訪問隱私數(shù)據(jù)。

進一步地，根據(jù)本發(fā)明，管控應(yīng)用程序直接訪問隱私數(shù)據(jù)，包括以下步驟：

安全域中可信任應(yīng)用程序和用戶域中不可信任應(yīng)用程序請求直接訪問隱私數(shù)據(jù)(如讀取短信、聯(lián)系人、日歷等)，安卓系統(tǒng)中的包管理服務(wù)模塊收到此請求；

包管理服務(wù)模塊根據(jù)應(yīng)用標識和請求權(quán)限首先進行權(quán)限檢查，如果應(yīng)用程序不擁有該權(quán)限，其不能訪問此權(quán)限對應(yīng)的隱私數(shù)據(jù)；如果應(yīng)用程序擁有該權(quán)限，根據(jù)包管理服務(wù)模塊中設(shè)置的鉤子函數(shù)，將訪問請求發(fā)送給隱私策略執(zhí)行模塊；

隱私策略執(zhí)行模塊收到請求，根據(jù)應(yīng)用標識查詢隱私策略表，由于不可信任應(yīng)用在隱私策略表中標記為不可訪問，將禁止不可信任應(yīng)用程序訪問隱私數(shù)據(jù)，可信任應(yīng)用是否可以訪問隱私數(shù)據(jù)向隱私策略管理模塊發(fā)起請求；