近年来,随着自带设备办公(BYOD)的普及,企业员工们倾向于使用个人移动设备访问公司资源。同一个设备同时用于访问企业数据和个人数据引入了新的安全威胁,例如企业机密数据的泄露。现有BYOD解决方案缺乏多实体的管理、基于角色的访问控制(RBAC)的支持和细粒度的数据访问控制,因此不能解决当同一个设备需要访问多个公司的资源时外部企业合作的关键问题。在本文中,我们同时在Android和iOS设备上实现了一个跨平台的解决方案AppShield,它除了满足最基本的需求,如本地企业数据的共享和隔离,还能够进一步支持多实体的管理,文件级别细粒度的权限管理和RBAC,而且不需要修改操作系统。由于iOS闭源的特点,无法进行太多的研究,本文主要介绍Android端的设计与实现,其主要包括:(1)应用程序重写框架,用于将企业移动应用管理(MAM)特性的hook代码自动化地注入到普通的应用程序中来构造企业应用;(2)跨平台的基于代理的数据访问机制,用来进行企业数据的隔离、共享以及安全管控。在小规模测试中,超过90%的应用有效执行了本系统的安全策略。而在大规模测试中,只有不到5%的应用存在运行时奔溃的问题,说明了 AppShield的有效性和可靠性。当然,本系统也引入了一定的性能损耗并稍微增加了内存消耗和代码大小。此外,由于现在移动应用上广告的不断增加,在一定程度上影响了应用的用户体验。为了使用AppShield的IT管理员选择企业应用之前,能够对应用的广告行为有一定的认识,本文提出了一个Android广告行为分析系统。首先将不同的广告根据行为划分为不同的类型,如积分墙广告,内嵌广告等,然后通过手工分析的方法提取了一系列广告类型特征,接着利用这些特征对应用进行静态分析和动态分析。在对应用的大规模测试中,广告分析的准确率高于85%。