本發明公開了一種支持Android運行時權限機制的第三方應用間通信訪問控制方法，包括以下幾個步驟：1)在Android系統中間件層擴展PMS；2)擴展ActivityManager中的應用間組件間通信(ICC)管理機制；3)新增一個訪問控制決策管理組件以及由其動態維護的訪問控制信息庫，通過實時查詢訪問控制信息庫或進一步比較通信雙方運行時權限的方式，拒絕不具有客體應用危險權限的第三方應用所發起的通信請求。本發明能夠根據通信雙方的所具有的危險權限組對Android第三方應用間的通信進行訪問控制，從而防范企圖利用第三方應用危險權限的混淆代理人攻擊，為第三方應用及其相應危險權限提供保護。

技術領域

本發明屬于Android系統訪問控制領域，特別涉及一種支持Android運行時權限機制的第三方應用間通信訪問控制方法。

背景技術

Android是目前市場占有率最高的開源移動平臺操作系統，系統采用了軟件疊層架構，由定制的Linux內核層、中間件層及應用層組成。其中，中間件層提供了大量的系統服務，例如該層中的ActivityManager組件包含了對應用間通信進行強制訪問控制的功能。

Android系統通過沙箱機制隔離各應用的運行環境(簽名相同的應用將運行于同一沙箱內，共享其中的資源與權限)；同時，Android權限機制利用由其定義的權限標簽以及強制訪問控制機制，控制應用對沙箱外資源的訪問過程。當應用請求訪問沙箱外的資源(包括系統API、其他應用等)時，Android權限機制將根據被訪問者所設定的訪問權限限制要求，對該應用所擁有的權限進行檢查，從而對該訪問進行控制。

Android系統將其定義的權限分為普通級(Normal)，危險級(dangerous)，簽名級(signature)和系統/簽名級(signature or system)。其中，普通權限與危險權限是第三方應用普遍使用的權限類別，而危險權限則進一步根據其功能相關性被分為若干組。由于危險權限涉及通話、短信等敏感服務，更易造成用戶損失，成為了各類基于權限的保護技術的關注重點。此外，從Android6.0 Marshmallow(APILevel23)開始，Android系統引入了運行時權限機制。應用在安裝時，其在Manifest.xml文件中所聲明的危險權限不會被立即授予，而是在應用運行時發出權限請求，由用戶以權限組為單位自行決定是否授予。即當用戶根據應用請求授予其某一危險權限時，系統將自動賦予該應用在Manifest.xml文件中聲明的其它同組權限。另外，在系統運行時，用戶可以隨時以組為單位對應用的危險權限進行授予或撤銷操作。

Android系統為應用提供了組件間通訊機制(Inter-Component Communitation，ICC)，為不同應用間的通信與功能重用提供了極大的便利，然而Android權限機制由于依賴開發者自主制定的應用訪問限制策略來實現對應用間通信的控制，因此留下了巨大的安全隱患：一個未被授予相關權限的惡意程序可以通過ICC通信調用其它具有相關權限的應用的未受保護的接口，利用后者非法使用相關服務及數據，從而實現一類特定的權限提升攻擊：混淆代理人攻擊。在Android市場中，由于第三方應用的開發者往往缺乏相應的安全意識，未對其應用設置適當的訪問策略，因而十分容易成為混淆代理人攻擊的對象。

發明內容

本發明提出了一種支持Android運行時權限機制的第三方應用間通信訪問控制方法，其目的在于，通過增加對通信請求雙方間的訪問控制關系進行合法性計算，依據合法性計算結果對通信請求進行管理控制，從而避免Android系統中發生的混淆代理人攻擊的問題。