近年来移动互联网蓬勃发展,智能终端及运行其上的应用程序会采集大量的个人信息,为用户提供丰富多样的功能和服务。用户在享受移动终端带来便利的同时,也面临隐私泄露的风险。为防止用户隐私数据被泄露,目前主流平台(包括Android和iOS)采用基于权限的访问控制系统,应用只有在用户允许的情况下才能获得敏感数据的访问权限。但是,该访问控制机制是静态、粗粒度的。而且,用户也很难了解应用隐私数据的使用意图,缺乏决策能力,无法提供有效的数据管控。因此,隐私数据保护技术的研究仍然受到了广泛的关注。研究人员提出很多移动应用隐私数据保护技术。但是,由于恶意攻击者隐私泄露行为越来越隐蔽,移动应用生态系统各环节安全问题层出不穷,现有措施难以应对新的隐私泄露挑战。目前的研究认为移动应用隐私泄露主要是由于应用中存在不符合用户期望甚至是有害的行为。例如,应用秘密访问用户的地理位置信息并发送到远程服务器;应用向用户请求敏感信息的访问权限,除完成声明功能外,还在未通知用户的情况下在后台持续收集个人信息。实现基于用户期望的隐私数据使用行为,能够提高数据使用的合理性和透明性,它是减少隐私泄露的有效手段。本文的目标是在现有的研究工作基础之上,全面分析移动应用生态系统各层次存在的隐私泄露问题,从用户层、应用层和系统层提出符合用户期望的隐私数据保护工作。在用户层,针对普通用户对应用权限理解不足、导致决策能力弱的问题,从截图和应用市场选择两个常见的场景入手,提出移动用户截图隐私认知和使用行为研究方法,分析隐私信息对用户应用市场选择的影响,最终给出移动用户隐私认知、态度和使用行为的分析结果。在应用层,针对开发者权限过度申请、应用隐私数据使用行为不透明的问题,提出一种面向隐私安全的移动应用情景感知框架,帮助开发者实现情景感知功能的同时,揭示隐私数据使用粒度、目的和场景信息,降低用户和审计人员对隐私泄露的担忧。在系统层,针对基于权限的访问控制系统无法提供动态、细粒度数据管控的问题,提出一套基于用户意图的实时访问控制系统,对应用运行过程中存在的不符合用户意图的行为弹出权限请求,同时实现用户体验和系统性能方面的优化策略,弥补现有方法的不足。具体来说,本文工作和贡献主要包括:1.移动用户隐私保护意图分析方法本文围绕移动用户的隐私保护意图分析,从截图和应用市场选择两个具体场景入手开展研究,提出移动用户截图隐私认知和使用行为研究方法,也分析了隐私信息对用户应用市场选择的影响,最终给出移动用户隐私认知结论。其中,移动用户截图隐私认知和使用行为研究针对当前粗粒度的权限访问控制机制下截图隐私过度暴露的问题,提出定性分析和定量分析相结合的用户截图隐私认知分析方法,首次给出用户对手机截图隐私观点、态度和使用行为方面的研究结论。具体来说,通过设计调查问卷,研究发现以前从未被发现的定性结论,包括截图上下文、截图中隐私信息类型、分享行为、保护措施等。在此基础之上,精炼调查问卷,开发一款定制化应用用于问卷发放,以获得大规模定量分析结论,同时在应用后台统计用户在真实手机上的截图使用行为。研究发现,用户手机截图中包含丰富多样的隐私信息,但是他们并没有意识到在权限访问控制机制下截图隐私泄露的可能性,并且大部分人轻视截图泄露的危险性。隐私信息对用户应用市场选择的影响研究针对中国手机用户应用市场可选择的多样性和差异性,通过设计和收集调查问卷,给出中国用户应用市场选择的主要影响因素,尤其是隐私相关信息的存在是否会对用户决策起到决定作用。研究发现,中国用户更倾向于易用且应用种类多的市场。虽然他们表现出对隐私泄露不同程度的担忧,但隐私认知与实际采纳行为之间存在差距。2.面向隐私安全的移动应用情景感知框架部分移动应用存在未通知用户的情况下收集隐私信息的行为。为平衡隐私数据的可用性和安全性,本文从移动应用情景获取入手,针对目前情景感知工作中用户数据量暴露过多、使用场景和目的不透明等问题,提出一套面向隐私安全的移动应用情景感知框架。框架通过数据预处理,仅提供给开发者用于情景获取的粗粒度数据,尽可能地隔离原始数据和开发者,并将情景发生与否的状态返回给开发者。该框架提供统一查询接口,开发者只需要根据框架内置函数构建查询语句,就能实现情景感知功能,降低了编程难度。同时,统一查询接口形式有助于对使用该框架编程的应用生成隐私描述语句,向用户揭示隐私数据使用的粒度、场景和目的,提高数据透明度和用户管控能力。目前,我们研制的框架已经实现一套面向安卓(Android)平台的开源应用程序编程接口,开发者可以直接使用或者在其基础上对移动应用情景进行扩充改进。并且,实现了对应的静态分析器生成隐私描述语句,降低用户和审计人员对于应用情景感知功能泄露隐私的担忧。3.基于用户意图的实时访问控制系统基于权限的访问控制系统要求应用在安装或初次使用敏感数据时向用户请求对应的权限,但是普通用户很难理解应用意图,甚至很多用户为使用应用功能直接授权所有权限请求。一旦授权,应用在任何上下文场景下都可以访问敏感资源,用户对于应用异常权限行为没有进一步的访问控制,数据管控缺乏有效性。本文提出并实现一套基于用户意图的实时访问控制系统,首先获得用户界面(User Interface,UI)组件权限使用的用户意图(即允许和拒绝的权限),然后通过动态分析方法将用户意图传播到UI处理程序内的敏感权限调用处,以此建立用户意图和实际调用之间的对应关系。其次,聚合同一UI组件内的多个异常权限,去除重复和不必要的权限警告,减少对用户的干扰。最后,如果不符合用户意图的UI组件权限实际被调用,则弹出权限警告对话框交由用户进行访问控制,允许或者拒绝该UI组件访问用户敏感信息。通过实验验证,研制的系统能够在应用运行时对组件异常权限使用行为进行有效的访问控制,弹框次数不会打扰到用户的正常应用使用行为,且系统对应用启动、运行和函数跳转的性能开销均在合理范围内。