基于Android重打包的应用程序安全策略加固系统设计.docx

基于Android重打包的应用程序安全策略加固系统设计李宇翔1,2，林柏钢1,2（1.福州大学数学与计算机科学学院，福建福州350108；2.网络系统信息安全福建省高校重点实验室，福建福州350108）摘要：随着移动互联网快速发展，智能手机面临着严峻的安全威胁。由于Android权限划分的粗粒度以及权限授权一次性的约束，对于应用申请的权限，用户要么全部接受，要么拒绝安装，对于安装后应用可疑行为束手无策。为此文章设计了利用重打包注入安全防护代码的加固系统，不仅提供应用动态权限管理机制，还提供权限划分细粒度的安全策略，从源头上遏制恶意代码行为，用户也可根据需求定制策略，满足不同安全需求的安全加固应用。关键词：Android安全；重打包；动态权限管理；细粒度策略；应用加固中图分类号：TP309文献标识码：A文章编号：1671-1122（2014）01-0043-05RepackagingAndroidApplicationsforEnforcingSecurityPolicyLIYu-xiang1,2,LINBo-gang1,2(1.CollegeofMathematicsandComputerScienceinFuzhouUniversity,FuzhouFujian350108,China;2.KeyLabofInformationSecurityofNetworkSysteminFujianProvince,FuzhouFujian350108,China)Abstract:WiththerapiddevelopmentofmobileInternet,smartphonesarefacingserioussecuritythreats.Duetothecoarse-graineddivisionofpermissionandpermissionauthorizedonlyonetimeonAndroid,usershaveeitheracceptallpermissionsatinstalltime,orelsecan’tinstallanAppatall.Forsuspiciousbehavior,usersareevenmorehelplessafterapplicationsinstalled.ThispaperdesignsasystemthatusingtheAndroidrepackagingtechnology,whichinjectsthesecuritycodetotheapplication.It’snotonlyprovidesthedynamicpermissionmanagementbutalsoprovidesthefine-grainedsecuritypolicyandcontainthemaliciouscodefromthesource.Userscanalsocustomizestrategytomeetthedifferentsecurityneed.Keywords:Androidsecurity;repackagingtechnology;dynamicpermissionsmanagement;fine-grainedpolicy;reinforceAndroidapps0引言随着移动互联网的快速发展和广泛普及，移动终端正朝着智能化的方向不断迈进。移动平台攻击与APT攻击技术结合的趋势日益明显，移动平台正面临着严峻的安全挑战。工业和信息化部电信研究院公布的《移动互联网白皮书（2013）》中显示，2012年底，Android已经占到增量市场86.4%，在国内移动智能终端操作系统格局中显现绝对优势[1]。伴随着Android的快速普及以及其自身的开源优势，该平台成为恶意代码泛滥的重灾区，带来了不可忽视的安全问题。本文所论述的安全防护技术的研究重点面向Android平台，从Android系统的安全机制来看，其主要依赖沙箱和权限控制[2-4]。通过沙箱技术实现应用程序间的相互隔离，而权限控制则旨在允许或限制应用程序访问受限的API或者系统资源。然而Android权限的管理机制存在以下问题[5]：1）用户能够在应用程序安装过程中审阅请求权限并加以评估，但用户最终要么全部接受，要么就不能安装应用程序；2）用户权限授权是一次性的，只在安装时有效，对于安装后的应用，Android系统并不支持动态的权限管理机制；3）Android权限划分粒度不够细化，普通用户根据其安装时的权限提示，难以区分恶意程序与正常应用，埋下严重的安全隐患。收稿日期：2013-10-21基金项目：福建省科技厅重点资助项目[2012H0025]、福建省安全课题资助项目[822711]作者简介：李宇翔（1990-），男，广西，硕