近年来,消费者在利用移动智能终端进行日常工作和生活娱乐等活动的同时,也面临着个人隐私泄露的安全风险。作为市场占有率最高的移动操作系统,Android系统所受到的恶意攻击和安全威胁也最为剧烈。一些Android应用向用户索取的系统权限远大于其实现功能所必须的权限范围,而这种对权限机制的滥用不仅仅来自攻击者开发的恶意程序,也来自合法厂商开发的所谓良性程序,因而无法通过已有的恶意应用检测方法来解决这一问题。此外,用户对隐私数据的定义和保护强度往往视具体需求和使用场景而定,而Android操作系统提供的基于系统权限的安全模型无法满足用户多变的个人隐私防护需求。用户面临的另一个难题是当他们拒绝提供必要的系统权限或个人信息时,应用程序的正常功能将会受到很大影响。针对上述问题,本文提出了一种Android系统应用程序隐私保护机制,该机制能够根据用户的安全需求和使用场景对应用程序的危险权限访问及敏感接口调用行为进行动态限制和主动防护。本文首先提出了一种基于虚拟机字节码注入技术的Android应用程序权限访问控制方法,该方法能够根据用户的安全需求和使用场景生成虚拟机字节码形式的安全策略,并将其注入到Android应用涉及到危险权限请求和敏感数据访问的代码单元中。该方法能够在应用程序运行时根据用户安全需求和使用场景的变化实时调整安全策略,以实现动态的应用行为控制和隐私保护。为了保证用户对系统权限和敏感接口的限制不影响到应用程序的正常功能,并在此基础上保护用户的个人隐私,本文提出了一种基于差分隐私的应用数据脱敏方法。该方法对Android应用程序所有和服务器共享的数据流进行脱敏处理,能够在不影响应用程序正常的数据采集分析功能的同时切断数据与个人信息的关联,从而在应用程序的可用性和安全性之间实现平衡。本文的主要工作和创新点如下:1.提出了一种基于Android虚拟机字节码的安全策略注入和权限控制方法。该方法能够基于用户的特定安全需求生成实例化安全策略,并将安全策略以虚拟机字节码的形式注入到Android应用程序的涉及危险权限请求和敏感数据访问的代码单元中,以实现对Android应用程序危险行为的有效控制和主动防护。2.针对现有的字节码注入技术无法根据安全需求的变动而动态调整控制级别和屏蔽粒度,且在安全策略更新时需要重新注入字节码的问题,提出了一种基于Java反射技术的动态安全策略调整机制。该机制能够在安全需求发生变更时动态切换权限控制级别,而无需重新注入字节码或对应用程序进行重打包。3.针对限制必要的系统权限或敏感调用会影响应用程序的正常功能的问题,提出了一种基于差分隐私控制的隐私保护和数据脱敏方法,在确保隐私数据安全的前提下保护应用程序的可用性。该方法基于差分隐私的可证明隐私保证,并通过隐蔽方法将差分隐私和高斯过程相结合,能在保证应用宏观数据统计特性正确性的同时避免泄漏用户个体的隐私信息,在可用性和安全性之间实现平衡。4.在上述方案和技术的基础上,设计并实现了一个Android应用程序隐私保护原型系统,该系统能够根据用户的安全需求对应用程序的危险行为进行字节码级的实时动态控制,并对应用于服务器的共享数据流进行差分隐私脱敏处理。测试表明该系统对Android应用程序进行的安全策略注入在85.27%的情况下不会对应用程序的健壮性造成影响,在此基础上能够对85.33%的敏感API调用和危险权限请求进行有效限制。与此同时,注入的安全策略对应用的启动时间的影响至多只有平均0.635s,在应用程序重打包后仅增加了平均约0.372%的大小。