随着智能手机的日益普及和移动网络的快速发展,移动应用越来越成为人们日常生活中不可或缺的一部分。越来越多的人们习惯于将个人信息保存于移动设备中,随之而来的是私密信息泄露问题的日益凸显。因此,如何保证移动应用中的信息在传播过程中不被泄露,成为了学术界与工业界广泛关注并普遍研究的问题。现有的保证应用程序信息安全的方法,主要是应用了权限访问控制的思想。即当一个应用程序提出信息的访问申请时,对应用程序进行权限验证,若验证通过则可以访问信息,若不通过则不可访问信息。该方法一定程度上保护了信息不被非法获取,但仍然不能保证被授权访问后的信息在传播和使用过程中满足安全需求。而信息流安全技术可以通过分析程序中数据传输的合法性来保证信息安全,因此可以用来解决现有的应用程序信息安全问题。在本文中,我们关注于移动应用领域,首先为每个应用程序设置权限集合,使用权限作为应用程序能否合法获取信息的依据,保证信息不被非法访问。对于已经获得访问权限的应用程序,我们使用信息流安全技术保证信息在后续传播和使用的过程中不会被泄露给攻击者。基于此思想,我们提出了一种形式化语言和一种信息流安全的逻辑规则,最后我们在Coq工具中完成了对语言和逻辑规则实现与验证。实践证明,我们提出的面向应用程序的信息流安全方法是一种可行的、有效的保证应用程序信息安全的方法。本文主要的贡献在于:（1）一种基于权限的信息流安全形式语言:该语言将应用程序抽象为函数的集合,并使用函数调用来完成应用程序之间的信息交互。与传统的串行语言不同,我们引入了权限的概念,使用权限作为信息交互过程中一个应用程序能否获取到信息的依据。此外,严格制定了该语言的操作语义,有利于推理逻辑的形成。（2）一套支持解密策略的信息流安全逻辑规则:该逻辑规则是一个安全类型系统,这些规则描述了在所提出的形式化语言中,如何传递信息流是安全的。与传统的信息流相比,加入了权限检查的内容,确保每个应用程序在获取信息过程中是安全的。此外,还加入了解密策略,让逻辑推理更加精确。（3）使用形式证明工具Coq进行实现与验证:在形式化定理证明工具Coq中对前文提出的形式化语言、语义和逻辑规则进行实现。在实现完成后,通过手机银行登录系统例子的建模与分析,验证了本文提出的针对应用程序的信息流安全方法的有效性和可行性。