刷新
{{item.name}}会员
移动应用软件中用户私有敏感数据的保护方法研究
结题报告
批准号:
61602123
项目类别:
青年科学基金项目
资助金额:
20.0 万元
负责人:
张源
依托单位:
学科分类:
F0205.网络与系统安全
结题年份:
2019
批准年份:
2016
项目状态:
已结题
项目参与者:
谭力、张晓寒、肖卫、高颖慧、黎朋飛、周济时、胡淼、黄思荣、邹阳
国基评审专家1V1指导 中标率高出同行96.8%
结合最新热点,提供专业选题建议
深度指导申报书撰写,确保创新可行
指导项目中标800+,快速提高中标率
微信扫码咨询
中文摘要
移动平台的数据保护关系社会民生和国家网络空间主权。现有工作大多针对通过规整化函数接口获得的系统设备类敏感数据,并且基于这些规整化的接口进行数据保护。然而,海量移动应用软件中同样存在着价值巨大的用户私有敏感数据,并且这类敏感数据无法通过规整的函数接口获得,导致现有工作无法适用。于此同时,移动平台的新特性为用户私有敏感数据的保护研究带来了独特的挑战。针对用户私有敏感数据非规整的特点,本项目首先基于移动应用软件与服务器的交互模型给出非规整用户私有敏感数据的系统化定义,并且结合程序分析技术设计用户私有敏感数据的自动化识别方法。考虑到来自程序内外部的威胁,本项将从多个角度研究用户私有敏感数据的保护方法,包括防止用户私有敏感数据输出到公共可访问空间,防止用户私有敏感数据的输入界面被劫持,防止用户私有敏感数据被程序内部的第三方代码组件窃取。本项目的研究成果将显著促进移动网络空间数据保护理论和技术的发展。
英文摘要
Protection of sensitive data on mobile platforms is critical to the social stability and the national sovereignty in cyberspace. Existing works on data protection mainly focus on the sensitive data of operating systems and mobile devices which are acquired with structured function interfaces, and the protection is also built upon the structured interfaces. As the development of mobile computing these years, there are a huge number of sensitive data with high value in mobile applications, which we call user-centric sensitive data. Different to the sensitive data of operating systems and mobile devices, user-centric sensitive data could not be acquired with structured function interfaces, thus existing work could not apply to this kind of unstructured data. Meanwhile, the programming model and other distinct features of mobile platforms introduce significant research challenges in protecting user-centric sensitive data. To protect unstructured user-centric sensitive data, we first study the communication model between applications and servers to give a systematic definition of what is the user-centric sensitive data. Then, based on user-interface analysis and application behavior analysis, we design automatic techniques to identify user-centric sensitive data from applications. The protection of user-centric sensitive data is designed from two perspectives, i.e. protecting against inside and outside attackers of the application. Specifically, we detect insecure flows of user-centric sensitive to public accessible space to prevent information collection of outside attackers, monitor user interface spoofing attack to prevent outside attackers from hijacking user-input sensitive data, and design in-process data access management framework to prevent inner attackers from collecting user-centric sensitive data.
针对移动应用软件中用户私有敏感数据的保护问题,本项目展开了深入系统的研究。首先,本项目聚焦于用户私有敏感数据的识别问题,发现用户私有敏感数据在形式上呈现出非规整的特点。通过多项原创性研究本项目突破性的实现了对用户私有敏感数据的识别。同时,为了支撑对海量移动应用软件的分析,本项目通过研究高效的第三方代码检测技术。接着,针对用户私有隐私数据保护问题,本项目从跨域攻击和程序内虚拟化攻击两个角度展开了系统性研究,保护用户私有的敏感数据被泄露。依托上述研究成果,本项目累计发表和录用CCF-A类会议期刊论文7篇、CCF-B类会议期刊论文3篇,申请专利2项,授权专利1项。. 本项目的代表性成果有:. (1)针对移动应用程序内隐私数据源的识别问题,本项目首次提出融合了自然语言处理、程序分析和机器学习对用户输入类隐私数据和来自服务端的隐私数据进行了检测,大大扩大了传统隐私数据范围的边界,研究成果发表于CCF-A类期刊IEEE TIFS和系统安全领域四大顶级会议NDSS 2018(CCF-B类)。. (2)支撑海量移动应用软件自动化分析的第三方代码检测技术。针对移动应用软件内嵌大量第三方代码导致程序分析缓慢的问题,我们基于类依赖图进行代码模块划分、实现对移动应用软件中外部引入的第三方代码的高效可靠检测,相关研究成果发表于程序分析领域重要会议SANER 2018(CCF-B类)。. (3)移动和Web融合下的跨域攻击高效检测和保护方法。本项目发现被广泛使用的WebView组件可以允许移动应用访问到不属于自身安全域的敏感数据,造成隐私泄露。为此我们结合静态代码分析技术、自然语言处理和信息检索等方法,实现对跨域的隐私数据访问的高效检测,保护用户隐私数据,相关研究成果发表于系统安全领域顶级会议USENIX Security 2018(CCF-A类)。. (4)移动应用软件内虚拟化框架的攻击检测和保护方法。本项目发现被广泛使用的应用内虚拟化技术在提供强大功能的同时对终端用户的隐私数据带来极大的危害。本项目针对应用市场上最流行的32款应用虚拟化平台进行分析,系统性的对此类风险进行了识别,并且提出保护方案避免用户隐私数据被泄露,研究成果发表于重要国际会议Sigmetrics 2019(CCF-B类)。
期刊论文列表
专著列表
科研奖励列表
会议论文列表
专利列表
DOI:--
发表时间:2018
期刊:小型微型计算机系统
影响因子:--
作者:高颖慧;杨亚东;张源;杨珉
通讯作者:杨珉
Identifying User-Input Privacy in Mobile Applications at a Large Scale
大规模识别移动应用程序中的用户输入隐私
大规模识别移动应用程序中的用户输入隐私DOI:10.1109/tifs.2016.2631949
发表时间:2017-03
期刊:IEEE Transactions on Information Forensics and Security
影响因子:6.8
作者:Nan Yuhong;Yang Zhemin;Yang Min;Zhou Shunfan;Zhang Yuan;Gu Guofei;Wang Xiaofeng;Sun Limin
通讯作者:Sun Limin
DOI:--
发表时间:2018
期刊:软件学报
影响因子:--
作者:刘剑;苏璞睿;杨珉;和亮;张源;朱雪阳;林惠民
通讯作者:林惠民
DOI:--
发表时间:2019
期刊:小型微型计算机系统
影响因子:--
作者:黄思荣;陶非凡;张源;杨珉
通讯作者:杨珉
DOI:--
发表时间:2019
期刊:小型微型计算机系统
影响因子:--
作者:周济时;张晓寒;张源;杨珉
通讯作者:杨珉
PCSK9通过Hippo/YAP信号通路促细胞外基质沉积参与肺动脉高压发生发展的机制研究
- 批准号:--
- 项目类别:青年科学基金项目
- 资助金额:30万元
- 批准年份:2022
- 负责人:张源
- 依托单位:
Linux操作系统二进制镜像的漏洞修复评估方法研究
- 批准号:--
- 项目类别:面上项目
- 资助金额:59万元
- 批准年份:2021
- 负责人:张源
- 依托单位:
国内基金
海外基金
