本發明提供了一種安卓應用程序中不可信第三方庫訪問權限控制方法。所述安卓應用程序中不可信第三方庫訪問權限控制方法包括如下步驟：對第三方庫的權限進行分配；對第三方庫的不可調用API集合進行分析，根據第三方庫被分配的權限，結合權限與API的映射關系，分析得出第三方庫的不可調用API集合；對第三方庫的系統API調用安全性進行分析，根據第三方庫不可調用的權限API集合、及涉及敏感信息訪問的非權限API集合，分析記錄第三方庫中涉及這兩類API的調用信息；根據代碼安全性分析結果，在第三方庫代碼中加入訪問控制策略。

技術領域

本發明涉及模式識別技術領域，特別涉及一種安卓應用程序中不可信第三方庫訪問權限控制方法。

背景技術

第三方庫在Android應用程序開發過程中使用非常普遍，開發者為了提高開發效率或者減少開發成本，從而在應用內引入相應功能的第三方庫模塊。

但是，一旦引入的第三方庫存在惡意行為，用戶隱私信息將存在泄露的威脅。這種安全問題的主要原因在于：安卓系統的訪問權限控制是粗粒度的，無法對應用內模塊的訪問權限機制隔離控制。第三方庫的安全使用主要有兩類方案：擴展Android系統的安全機制，利用Android的安全機制，加入對應用程序細粒度的訪問控制策略；重寫APK文件，反編譯字節碼為中間碼文件，然后對第三方庫進行重寫，加入細粒度訪問控制策略。兩種方案都存在著防御方案不便部署、訪問控制策略不完善、性能開銷大等缺陷。

發明內容

本發明的目的在于針對現有技術的缺陷或問題，提供一種安卓應用程序中不可信第三方庫訪問權限控制方法，通過對第三方庫字節碼的靜態分析以及重寫，實現了對第三方庫訪問權限的控制，以解決現有方案存在的安全措施不便部署等問題。

本發明的技術方案如下：一種安卓應用程序中不可信第三方庫訪問權限控制方法包括如下步驟：步驟1、對第三方庫的權限進行分配；步驟2、對第三方庫的不可調用API集合進行分析，根據第三方庫被分配的權限，結合權限與API的映射關系，分析得出第三方庫的不可調用API集合；步驟3、對第三方庫的系統API調用安全性進行分析，根據第三方庫不可調用的權限API集合、及涉及敏感信息訪問的非權限API集合，分析記錄第三方庫中涉及這兩類API的調用信息；步驟4、根據代碼安全性分析結果，在第三方庫代碼中加入訪問控制策略，所述訪問控制策略包括：對第三方庫的權限API不合法調用行為進行替換，根據代碼安全性分析結果中關于第三方庫中出現的權限API不合法行為，對其進行替換操作；對第三方庫的非權限API可疑調用行為進行插樁，根據代碼安全性分析結果中關于第三方庫中出現的非權限API可疑調用行為，對其進行插樁操作。

優選地，步驟1具體包括如下步驟：

步驟1.1、根據第三方庫的附加說明信息提取出第三方庫申請的訪問權限；

步驟1.2、根據庫功能依次對第三方庫申請的訪問權限的合理性進行分析；

步驟1.3、為某條權限申請是否為合理性判定過程，如果為不合理的權限申請，則直接跳轉到步驟1.5，如果為合理的權限申請，則進入步驟1.4；

步驟1.4、將合理的權限申請條目加入第三方庫權限配置文件ThirdLib_Permissions.xml文件中，并進入步驟1.5；

步驟1.5、判斷是否對所有的第三方庫權限申請條目分析完成，如果存在權限申請條目未進行分析，則跳轉到步驟1.2繼續進行分析；如果已完成對所有的權限申請條目合理性分析，則結束權限分配流程。

優選地，ThirdLib_Permissions.xml文件中為對第三方庫訪問權限的分配。

優選地，步驟2具體包括如下步驟：

步驟2.1、將第三方庫的權限集合保存在ThirdLibPermissionSet中；