收藏本站
《复旦大学》 2014年
收藏 | 手机打开
二维码
手机客户端打开本文

安卓平台安全性增强关键技术的研究

张源  
【摘要】:互联网技术的进步推动了计算模型的深刻变革。继云计算之后,移动计算是现如今炙手可热的新型计算模型。通过移动互联技术,移动设备可以方便地接入互联网,这使得传统在移动终端上难以满足的复杂计算需求可以便捷地转移到云平台中。与此同时,移动设备提供的强大编程能力以及便携的特点,极大丰富了移动互联计算能够带来的服务。基于对移动智能终端飞速发展的前景预期,IT工业界各大巨头如谷歌、苹果、微软均推出自己的移动智能终端平台。在移动计算中,得益于开源、免费特性的安卓平台在全球范围内获得了巨大的成功,目前已广泛应用于日常消费领域、企业领域、政府及军队、汽车、工业制造等领域。随着安卓平台在关系到国计民生的各个领域发挥越来越大的作用,其安全性问题变得不容忽视。目前,安卓平台恶意软件泛滥、软件漏洞层出不穷,安全性增强技术已经成为安卓平台在各个领域应用中亟需研究的一个问题。然而,安卓平台在系统结构、应用分发模式、版本管理、编程模型及运行平台方面的独有特征在为安卓平台普及化助力的同时,也为安卓平台安全性增强技术的研究带来了诸多挑战,面临的突出问题有:1)海量安卓应用的分析,针对安卓应用的分析技术必须支持海量应用的自动化分析。2)多层软件栈的协同,针对安卓平台的安全性增强研究需要合理地协同Linux内核与安卓框架层来实现完备的安全性增强方案。3)灵活的部署能力,考虑到安卓版本的碎片化问题,针对安全漏洞的修复技术需要不依赖于对系统或者应用程序的修改。4)对性能的影响,由于安卓平台运行在计算能力受限的无源设备中,安全性增强研究需要兼顾到系统性能的优化技术。当前,安卓平台及其生态系统正在快速发展,针对安卓平台安全性的研究也在不断进行。现有研究主要集中在以下几个方面:1)恶意软件分析与检测,致力于通过对软件行为的分析提取代表恶意软件的行为特征,以实现对已知和未知恶意软件的检测。例如DroidScope通过在本地代码执行级别识别Java代码的执行,从而可以有效地分析安卓恶意软件中Java代码的行为。2)漏洞分析与检测,致力于通过对安卓平台编程机制的剖析,分析攻击场景并采用代码分析技术检测现有应用程序中的漏洞。例如CHEX通过数据流分析和代码切片枚举技术实现了对应用程序中组件劫持漏洞的精确检测。3)系统安全性增强,力图通过对安卓系统现有安全机制进行增强,以防范针对安卓系统和应用软件的攻击方式。例如,IPC Inspection通过引入进程通讯自省技术,可以防范应用程序间的权限委托攻击。TrustDroid提出基于域的程序隔离技术,力图保护受信任的程序不被未受信任程序攻击。然而,当前针对安卓平台安全性的研究存在着一些问题,大部分系统安全性增强工作只能部分地解决现有针对安卓系统的攻击。由于还未完全考虑到安卓系统安全机制自身存在的问题,现有工作无法有效地在系统层面对安全性进行增强,进而无法通用地防范现有针对安卓系统的多种攻击。另外,现有软件分析工作无法有效地刻画安卓软件与系统之间的敏感行为以及安卓软件内部的敏感行为。安卓平台在系统架构、编程模型等方面的独有特征使得现有方法在分析效果、分析完整性等方面效果很差。此外,安全性技术的引入会带来显著的性能开销。目前针对安全技术的研究并未完全考虑到安卓平台运行环境受限带来的对性能的挑战。本文在充分理解安卓平台特征的基础上,针对安卓平台的两大重要组成部分一应用商城和终端系统提出了系统化的安全性增强方案。本文从软件分析、系统加固和性能优化三个角度提出了增强安卓平台安全性的关键技术,即基于权限使用行为的程序安全性分析技术、基于上下文跟踪的系统安全性增强技术、基于细粒度权限框架的安全性应用研究、基于寄存器映射的系统性能优化技术。与现有研究相比,本研究借助于对安卓平台编程模型和安全机制的深入分析,从真实的安全问题出发设计出适用于应用商城和终端系统的安全性增强技术方案,测试表明这些技术可以有效地分析安卓应用软件的行为和提高安卓系统的安全性。此外,本研究提出的性能优化技术可以显著提升系统性能,弥补安全性增强技术的引入带来的性能开销,从而更好地支持这些技术在真实环境中的应用。具体而言,本文的主要贡献如下:1.首次提出了基于权限使用行为的软件安全性分析技术,设计并实现了VetDroid分析系统以完成对安卓软件行为安全性的自动化分析。VetDroid系统基于权限使用行为,通过对安卓软件的动态分析,在分析期间自动化提取软件内部与权限有关的行为,从而离线构建出软件对权限的使用行为模型。为了全面地、精确地提取软件在执行过程中对权限的使用行为,VetDroid系统设计了系统化的权限分析技术,以识别软件对权限的显式使用和隐式使用。VetDroid系统不但可以有效分析恶意软件中存在的恶意行为,还可以分析良性软件中存在的不良行为。通过对软件分析过程进行并行化,VetDroid系统平均仅需2.2分钟即可完成对一个软件的分析。2.首次提出基于上下文跟踪的系统安全性增强技术,设计并实现了FineDroid系统以支持上下文敏感的权限管理。FineDroid系统设计了系统级的上下文跟踪技术,自动地在程序执行过程中跟踪上下文信息。FineDroid系统中的上下文信息不但包括单个应用程序内部的执行上下文,还包括多个协作应用程序之间的交互上下文。为了支持上下文信息在程序执行过程的无缝传播,FineDroid重点解决了上下文信息在程序组件交互、线程交互以及事件交互过程中的传播。为了实现灵活的权限控制,FineDroid系统设计了一套规则语言以描述上下文敏感的权限管理策略。FineDroid系统可以对程序中使用权限的行为进行灵活和强有力的控制,从源头杜绝程序对权限的滥用,从而提升系统的安全性。3.首次基于上下文敏感的细粒度权限框架进行安全性增强应用的研究,面向终端用户、系统管理员和应用开发者设计并实现了三个安全性增强系统。Aurasuim+系统提供给终端用户即时权限授予的能力。通过Aurasuim+,用户可以将每一次权限授予的决定与当时应用程序的使用场景进行关联,从而一方面可以有效地识别应用程序申请权限的目的,另一方面降低对用户的干扰。DroidFence系统提供给系统管理员自动化修复权限泄露漏洞的方法。基于DroidFence,系统管理员可以通过添加规则的方式在不修改任何应用程序和安卓系统的前提下,修复应用中存在的权限泄露漏洞。CompJail系统提供应用开发者划分程序内部细粒度权限沙箱的能力。应用开发者可以对内嵌的第三方代码插件进行单独的权限控制,从而实现对未验证的代码插件进行限制。4.首次提出基于寄存器映射的系统性能优化技术,设计并实现了Swift即时编译系统,在不牺牲生成代码质量的前提下完成对Java方法的轻量级动态编译。Swift系统针对采用虚拟寄存器的Java字节码,基于Java程序在使用虚拟寄存器时的特性,发现超过90%的Java方法使用不超过11个虚拟寄存器。由于目前安卓设备大多运行在基于RISC架构的ARM处理器上,而ARM处理器具有丰富的物理寄存器资源。Swift系统通过将物理寄存器直接映射到虚拟寄存器实现快速的寄存器分配。此外,由于在将Java代码编译到基于虚拟寄存器的字节码时已经使用了近乎最优的寄存器分配算法,因此通过寄存器映射生成的二进制代码具有较高质量的寄存器使用策略。实验证明,与安卓原有的即时编译系统相比,Swift系统可以在引入很小的内存增长的情况下,系统性能提升比达到40%。
【学位授予单位】:复旦大学
【学位级别】:博士
【学位授予年份】:2014
【分类号】:TP309

【相似文献】
中国期刊全文数据库 前10条
1 李立东;计算机应用中的安全性分析[J];煤炭技术;2004年03期
2 简显锐;;论高校数据库的安全性分析[J];信息与电脑(理论版);2010年06期
3 周焕军;;支付软件服务安全性分析[J];金融电子化;2011年03期
4 周经伦,龚时雨,颜兆林,何小怀;计算机辅助安全性分析[J];计算机应用研究;1997年06期
5 周海棋;杨成;;网络教育环境的安全性分析及其对策研究[J];中国职业技术教育;2006年22期
6 余杰;李舟军;陈火旺;;自由访问控制的安全性:研究综述[J];计算机科学;2007年08期
7 李红霞;蔡国永;;电子机构的安全性分析研究[J];计算机系统应用;2008年08期
8 许静芳;崔国华;程琦;章丽萍;;关于公平交换协议中使用正交验证理论的安全性分析及改进[J];小型微型计算机系统;2009年02期
9 张雪;李瑞林;孙兵;;一类伪消息认证码的安全性分析[J];计算机工程与科学;2009年02期
10 王化群;于红;吕显强;张福泰;;一种支持悬赏的匿名电子举报方案的安全性分析及设计[J];电子学报;2009年08期
中国重要会议论文全文数据库 前10条
1 文晓阳;高能;荆继武;;论坛验证码技术的安全性分析[A];全国计算机安全学术交流会论文集(第二十二卷)[C];2007年
2 王丹琛;何大可;;密写系统的安全性研究[A];2006中国西部青年通信学术会议论文集[C];2006年
3 范涛;鲍先巡;吴传华;常劲松;彭代银;;桑资源饮品的研究——灵芝桑茶的理化品质与安全性分析[A];中国蚕学会第七次全国代表大会论文集[C];2003年
4 张兆心;方滨兴;胡铭曾;张宏莉;;基于SIP网络的安全性研究[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
5 查月;高磊;;TCP/IP协议的安全性分析与防御[A];2008-2009年船舶通信导航论文集[C];2009年
6 林曦;高文建;何朝阳;薛峰;许剑冰;徐泰山;薛禹胜;汪磊;;广西电网在线动态安全性分析系统[A];第三届广西青年学术年会论文集(自然科学篇)[C];2004年
7 林曦;高文建;何朝阳;薛峰;许剑冰;徐泰山;薛禹胜;汪磊;;广西电网在线动态安全性分析系统[A];广西电机工程学会第八届青年学术年会论文集[C];2004年
8 海培华;;浅谈GSM手机的安全性[A];中国通信学会第五届学术年会论文集[C];2008年
9 马瑞萍;;SSL安全性分析研究[A];第十六次全国计算机安全学术交流会论文集[C];2001年
10 陈伟杰;林宏基;;SOAP的安全性分析与整合[A];全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C];2004年
中国重要报纸全文数据库 前3条
1 ;如何提高SQL Server的安全性?[N];网络世界;2008年
2 中国科学院动物研究所研究员 沈孝宙;关于GMO的对话[N];中国国门时报(中国出入境检验疫报);2001年
3 北京 Analysist;ExGB GuestBook安全性分析[N];电脑报;2001年
中国博士学位论文全文数据库 前10条
1 张源;安卓平台安全性增强关键技术的研究[D];复旦大学;2014年
2 宋辉;隐密安全性机理研究[D];大连理工大学;2011年
3 赵义博;量子密钥分配的安全性研究[D];中国科学技术大学;2009年
4 柴震川;门限密码方案安全性和应用研究[D];上海交通大学;2007年
5 汪朝晖;椭圆曲线密码的安全性研究[D];武汉大学;2004年
6 范伟;移动商务安全性研究[D];北京邮电大学;2010年
7 孙艳宾;公平交换协议的设计与安全性研究[D];北京邮电大学;2011年
8 余斌霄;无线网络的安全性[D];西安电子科技大学;2006年
9 孔鸿滨;语义Web技术的本体安全性研究[D];云南大学;2012年
10 吉林;桥基安全性实时监控体系与工程应用研究[D];河海大学;2002年
中国硕士学位论文全文数据库 前10条
1 王晶;SSL/TLS的侧信道攻击[D];山东大学;2015年
2 温轩;实际QKD系统的安全性分析[D];哈尔滨工业大学;2015年
3 李军;舰船典型系统安全性分析评估方法研究[D];哈尔滨工程大学;2012年
4 张旭光;火箭滑橇设计结构安全性分析[D];南京理工大学;2012年
5 娄振华;信息隐藏的安全性研究[D];解放军信息工程大学;2008年
6 张少华;多域访问控制环境中的安全性分析研究[D];湖南大学;2010年
7 薛雨杨;无线局域网安全标准的安全性分析与检测[D];中国科学技术大学;2009年
8 郑广思;移动电子商务安全性研究[D];辽宁工程技术大学;2008年
9 颜春艳;飞机区域安全性分析技术研究[D];南京航空航天大学;2009年
10 吕明睿;机电产品部件安全性关键度计算模型优化研究[D];沈阳航空航天大学;2014年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026