基於Android的個性化環境感知隱私保護方法與流程

2023-05-15 09:53:07

本發明涉及基於Android的個性化環境感知隱私保護方法，屬於移動終端技術領域。

背景技術：

近年來，移動智能終端發展迅猛，至2015年，中國移動智能設備數量將突破13億，其中Android平臺用戶佔比約為73％。移動應用數量也隨之增長迅速，截至到2016年上半年，Android平臺下的移動應用數量超過200萬，人均使用應用數量為26.7款。58％的用戶每天查看11-50次手機，約為每小時查看1-2次。而有20％的用戶每天查看超過50次手機。這些移動應用覆蓋範圍從人們衣食住行到學習工作，從休閒娛樂到運動醫療，已經人們深度融入日常生活。因此，移動智能終端中存儲有大量的用戶隱私，根據其涉及的硬軟體形式不同，通常分為用戶生成數據、設備功能和設備標識三類。用戶生成數據是指聯繫人，簡訊息，通話記錄等由用戶在使用移動智能終端過程中產生的隱私數據；移動智能終端豐富的傳感器和多媒體功能也涉及用戶位置等隱私信息，第二類是指定位、拍照、聯網等由設備硬體所提供的設備功能隱私；設備標識是指IEMI，MAC地址等能夠識別設備硬體的唯一標識，能夠藉此追蹤用戶身份。

用戶在享受移動應用提供便捷智能的服務的同時，自身的隱私也面臨著嚴重威脅。在現有的Android安全機制下，移動應用能夠輕易地獲取這些隱私信息，據統計，在移動應用的惡意行為數量排名中，隱私竊取排在第四位，58％以上的安卓軟體都有隱私信息洩密的問題。例如，有的移動應用功能本身不需要位置信息，為了實現精準廣告投放或產品推送，在運行的時候卻不斷獲取用戶位置信息，通過分析用戶數據，獲得經濟利益。有的惡意應用還會藉此進行詐騙或者盜刷信用卡，給用戶造成巨額經濟損失，甚至威脅用戶生命。如2013年1月高二女生曾某外出遇害，調查結果顯示，女孩平時熱衷微博社交，自己的位置隱私幾乎暴露無遺，不法分子所利用微博發現了女孩的日常行為習慣蹲點作案。惡意軟體已經形成一條完整的黑金產業鏈，大量低成本的惡意應用通過各種分發渠道安裝到用戶的移動智能設備中，收集用戶隱私數據如簡訊、聯繫人等，通過分析得到得到高價值目標，再針對目標用戶投放高成本製作的偽裝惡意應用，進行針對性欺詐。

為了保護用戶的隱私信息，Android系統和許多安全廠商都提供了各自的隱私保護方法。Android是基於Linux的行動作業系統，其系統架構分為四層，最底層是Linux內核和硬體驅動模塊，上面是各類共享庫和Android運行時環境。第三層是Android架構層，提供面向移動應用開發人員的接口，應用層的各種移動應用可以調用這些接口實現各種功能。Android為每個應用建立一個獨立的運行時環境，運行在不同的進程中，保證應用的自身數據安全。為了方便開發人員實現應用之間的進程通訊，Android提供了客戶端－伺服器模式的Binder進程通信機制，通過獲取相關應用的客戶端就能與其通信。

Android系統對於用戶隱私數據的管理主要採用權限機制，例如通訊錄、電話、簡訊、網絡等，移動應用如果想獲得這些數據，需要在manifest.xml文件中聲所需權限，獲得批准後才能使用。移動應用在安裝時，Android會提示用戶是否同意授權，只有用戶同意，應用運行時才能調用API訪問受限資源。以應用讀取聯繫人信息為例，開發者首先要在應用的manifest.xml文件中聲明android.permission.READ_CONTACTS，用戶同意安裝後，該應用運行時調用ContentResolver.query方法以獲取聯繫人信息，Android通過ActivityManagerNativeProxy.checkPermission方法檢查該應用是否被授權。該方法實際上作為客戶端，通過Binder將移動應用權限請求發送至位於System_server進程中的伺服器，由方法ActivityManagerService.checkPermission實現具體的權限檢查操作，並將結果返回給客戶端。如果返回PERMISSION_GRANTED，該應用便可以讀取，若返回PERMISSION_DENIED，即該應用不能讀取聯繫人信息。

但是，Android 6.0版本之前，用戶在安裝移動應用過程中，不能選擇授予部分權限，為了使用該應用只能選擇將所有權限授予應用，導致隱私信息洩露。Android 6.0版本後，系統內置了運行時的權限授予機制，但出於兼容性考量，新的權限機制僅適用於在Android 6.0下重新編譯過的應用，不能有效限制舊有應用。因此Android權限機制在實際使用中不能有效地保護用戶隱私。而且大部分用戶並不知道自己的隱私已經被竊取，甚至沒有隱私保護的概念，面臨嚴峻的隱私威脅。

為了解決Android的這些缺陷，LBE安全大師、360極客版等安全軟體提出了不同的解決方案。主要採用列表形式向用戶展示應用所需要的隱私信息，用戶可以通過設置「允許」，「拒絕」或者「提示」等方式控制應用訪問，當移動應用訪問用戶隱私時，安全軟體會提示用戶，並根據用戶的實時決策對應用訪問隱私信息的行為進行控制。另外也有專利發明提出對Android權限系統的改進，如「基於TPM細粒度權限的Android系統安全增強系統及方法」。該發明提供以TPM為基礎，以權限為管理粒度的細粒度安全保護方法，但沒有考慮到用戶隱私需求隨環境語義不同而變化的情況，在場景維度上仍屬於粗粒度。

上述安全助手與專利發明雖然彌補了Android系統的權限機制的不足，但是不能根據不同的環境執行制定不同的隱私策略。用戶對於應用的隱私需求會隨著所處環境的改變而發生變化，而現有工作只能提供粗粒度的隱私策略設置，用戶只能對某一應用的隱私請求選擇授予或者拒絕，無法滿足用戶在使用過程中的個性化隱私需求；另一個問題是隱私管理的複雜度，使用這類軟體需要具備一定的專業知識，普通用戶難以理解權限的意義和設置方式，無法達到保護用戶隱私的目的。因此，需要一種界面友好，且能理解用戶個性化隱私需求的、環境感知隱私保護方法。

技術實現要素：

發明概述：

針對現有基於授權的隱私保護機制沒有考慮用戶習慣和使用環境的問題，本發明提供一種基於Android的個性化環境感知隱私保護方法。本發明為了滿足用戶的因環境變化的個性化隱私需求，系統需要感知移動應用的使用環境和用戶習慣，如時間、位置、用戶交互情況、應用類型、具體行為等，對行動裝置所處環境進行深度的語義解析與用戶行為學習，及時調整授權策略，滿足用戶需求。本發明還同時提供自主可控的隱私管理模式，用戶可以通過設置隱私策略表達自己的隱私需求，針對特定場景和隱私請求設定授權策略，實現細粒度的自主可控的隱私保護。本發明所述方法將攔截Android系統中應用對隱私信息的請求，通過環境感知獲取行動裝置當前的使用場景，根據用戶指定的隱私策略提供個性化隱私保護。

本發明的技術方案如下：

一種基於Android的個性化環境感知隱私保護方法，包括：攔截移動應用的隱私權限請求、基於功能語義的環境感知和隱私決策；所述基於功能語義的環境感知和隱私決策是指依據環境的功能語義理解用戶使用移動應用的場景，並以此實施相應隱私策略；

當所述移動應用隱私權限請求與所述基於功能語義的環境下隱私策略匹配時，按照隱私策略允許或是拒絕該移動應用訪問用戶隱私信息。

根據本發明優選的，所述方法還包括交互式用戶隱私需求設定：當不存在匹配的基於功能語義的環境下隱私策略時，則告知用戶所述移動應用隱私權限請求，如用戶允許，則允許移動應用訪問用戶隱私信息；否則，不允許。

根據本發明優選的，所述攔截移動應用隱私權限請求，利用以下方式實現：

使用Xposed框架hook系統API實現，通過編寫Xposed模塊，掛鈎hook系統中相關功能函數，以實現環境感知的隱私決策邏輯。Xposed框架是一款可以在不修改Android程序代碼的情況下影響程序運行的框架服務。基於Xposed框架編寫的模塊可以在不修改Android內核原始碼的情況下，調整Android系統部分服務的執行邏輯，以擴展系統功能。為了實現對應用隱私請求的攔截，本發明通過編寫Xposed模塊，掛鈎系統中與權限管理相關的API以實現環境感知的隱私保護決策邏輯。

根據本發明優選的，所述攔截移動應用隱私權限請求方式具體為：

通過掛鈎ActivityManagerServce.checkPermission函數，攔截觸發Android系統權限檢查的隱私請求，擴展Android原生權限檢查邏輯，加入環境感知的隱私決策；

和/或，通過掛鈎具體涉及隱私信息的系統功能性API，實現對移動應用隱私權限請求的行為控制。例如通過掛鈎LocationManager類中各函數，實現對應用訪問位置信息的請求攔截，並通過具體調用函數不同決定不同的隱私策略。應用隱私請求攔截模塊實現邏輯參見圖3。

根據本發明優選的，基於功能語義的環境感知和隱私決策包括：

用戶提前預設用戶隱私策略：包括不同語義環境信息下所對應的用戶隱私決策；

當移動應用發起隱私權限請求時，通過獲取用戶的環境信息、解析所述環境信息為語義環境信息，並匹配得到與當前語義環境信息符合的用戶隱私策略。完成執行隱私策略中規定的操作，實現自主可控的環境感知隱私保護。為實現自主可控的環境感知隱私保護，需要對行動裝置的使用環境進行監控和感知，並建立合理的策略匹配機制。

根據本發明優選的，所述用戶的環境信息包括：移動智能終端記載的時間、用戶位置、用戶與移動智能終端的交互頻度和使用功能。

根據本發明優選的，所述將環境信息解析為語義環境信息，包括：

將所述用戶的環境信息、用戶的行為目的和用戶隱私需求結合起來，形成語義環境信息。例如，如果用戶在北京市西城區長椿街45號區域停留了較長時間，我們不是直接依據地點的地理坐標，而是通過公開的位置信息服務獲取位置的功能類型信息，解析為區域位置的語義內容，當前位置為宣武醫院，功能類型醫院是敏感信息；有的地方的功能類型為商業街，有的功能類型為學校等。本發明通過Android API獲取行動裝置當前位置、各種傳感器數據以及用戶交互情況信息，通過關聯多種因素進一步進行語義行為解析，例如長時間頻繁停留的位置可能是工作環境，判斷用戶的行為場景如就醫、工作、出行、娛樂等。執行邏輯可見附圖4。

本發明採用功能類型的語義環境信息，而不是樸素的地理位置和時間等信息，優點在於：通過考慮環境信息，將傳統粗粒度的應用和權限請求的二元組隱私策略模式擴展為更細粒度的多元組隱私策略模式，包含了使用環境、應用功能和用戶行為模式等豐富語義，通過解析環境語義信息，理解用戶行為和隱私需求，更好地進行隱私保護。

根據本發明優選的，所述交互式用戶隱私需求設定，還包括：

當不存在匹配的基於功能語義的環境下隱私策略時，則告知用戶所述移動應用隱私權限請求，並允許用戶設定針對特定環境下、和/或特定應用的授權隱私策略；然後根據所述授權隱私策略對應執行所述移動應用隱私權限請求的隱私決策。

根據本發明優選的，交互式用戶隱私需求設定，還包括：學習用戶的行為模式和隱私需求，不斷補充和更新用戶隱私策略庫供用戶選擇。所述用戶的行為模式和隱私需求為用戶針對不同環境或應用時所傾向採取的授權隱私策略。便於以後決策建議。

考慮到普通用戶技術能力薄弱，缺乏隱私保護意識缺乏，為了提高本發明的適用性和保護用戶隱私的有效性，本發明一方面提供用戶自主可控、交互方式友好的策略管理，另一方面提供用戶隱私洩露與保護情況。不同於現有技術，本發明不僅提供即時隱私決策，還學習用戶的行為模式，不斷補充和更新用戶隱私策略庫，便於以後決策建議。

為了讓普通用戶更好地理解隱私保護結果，本發明分析移動應用在不同環境中的隱私請求及策略執行情況，並通過圖表等友好形式展示統計分析結果，幫助用戶了解自身的隱私洩露情況，協助用戶制定有針對性的隱私保護策略。

本發明的優勢在於：

1.本發明提供細粒度隱私保護方法。為用戶提供了更靈活的隱私保護方式，對應用的每次隱私請求根據用戶隱私需求可做出不同決策。相比於其它安全軟體，本發明能滿足用戶個性化隱私需求。

2.本發明提供實時環境感知的隱私決策。能夠理解用戶使用移動應用的環境信息和行為模式，匹配不同適用的隱私策略，更好地兼顧用戶行為目的和隱私需求。

3.本發明提供用戶感知的隱私使用情況分析，能夠自主學習和更新用戶隱私策略。為普通用戶提供隱私定義和權限實時決策兩種方式，並讓用戶及時了解移動應用行為和對比分析，提高用戶隱私保護意識；通過學習用戶決策行為，提煉出可服用的個性化隱私策略，比現有工作更具實用性。

為了更清楚地說明本發明實施例的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

附圖說明

圖1：本發明的模塊關係圖。圖中左側部分為實施例中，掛鈎ActivityManager擴展Android權限管理邏輯和掛鈎LocationManager實現細粒度行為控制的兩種情況的示意圖。

圖2：本發明的執行邏輯流程圖。

圖3：應用隱私請求攔截模塊技術架構及執行流程圖。左側為Android系統架構。Android應用通過調用功能性API(如通過LocationManager獲取位置信息)獲取隱私數據。在Android系統框架內部該請求需要經過權限管理系統檢查授權。本發明通過API掛鈎技術在此兩層面上攔截應用隱私請求。

圖4：基於語義的環境感知流程圖。本發明結合行動裝置上獲取的各種環境數據，結合外部環境語義信息知識，對當前行動裝置產生語義化的環境信息。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。

如圖1-4所示。

實施例1、

一種基於Android的個性化環境感知隱私保護方法，包括：攔截移動應用的隱私權限請求、基於功能語義的環境感知和隱私決策；所述基於功能語義的環境感知和隱私決策是指依據環境的功能語義理解用戶使用移動應用的場景，並以此實施相應隱私策略；

當所述移動應用隱私權限請求與所述基於功能語義的環境下隱私策略匹配時，按照隱私策略允許或是拒絕該移動應用訪問用戶隱私信息。

實施例2、

如實施例1所述的一種基於Android的個性化環境感知隱私保護方法，所述方法還包括交互式用戶隱私需求設定：當不存在匹配的基於功能語義的環境下隱私策略時，則告知用戶所述移動應用隱私權限請求，如用戶允許，則允許移動應用訪問用戶隱私信息；否則，不允許。

實施例3、

如實施例1所述的一種基於Android的個性化環境感知隱私保護方法，所述攔截移動應用隱私權限請求，利用以下方式實現：

使用Xposed框架hook系統API實現，通過編寫Xposed模塊，掛鈎hook系統中相關功能函數，以實現環境感知的隱私決策邏輯。Xposed框架是一款可以在不修改Android程序代碼的情況下影響程序運行的框架服務。基於Xposed框架編寫的模塊可以在不修改Android內核原始碼的情況下，調整Android系統部分服務的執行邏輯，以擴展系統功能。為了實現對應用隱私請求的攔截，本發明通過編寫Xposed模塊，掛鈎系統中與權限管理相關的API以實現環境感知的隱私保護決策邏輯。

所述攔截移動應用隱私權限請求方式具體為：

通過掛鈎ActivityManagerServce.checkPermission函數，攔截觸發Android系統權限檢查的隱私請求，擴展Android原生權限檢查邏輯，加入環境感知的隱私決策；

和/或，通過掛鈎具體涉及隱私信息的系統功能性API，實現對移動應用隱私權限請求的行為控制。通過掛鈎LocationManager類中各函數，實現對應用訪問位置信息的請求攔截，並通過具體調用函數不同決定不同的隱私策略。應用隱私請求攔截模塊實現邏輯參見圖3。

實施例4、

如實施例1所述的一種基於Android的個性化環境感知隱私保護方法，基於功能語義的環境感知和隱私決策包括：

用戶提前預設用戶隱私策略：包括不同語義環境信息下所對應的用戶隱私決策；

當移動應用發起隱私權限請求時，通過獲取用戶的環境信息、解析所述環境信息為語義環境信息，並匹配得到與當前語義環境信息符合的用戶隱私策略。完成執行隱私策略中規定的操作，實現自主可控的環境感知隱私保護。為實現自主可控的環境感知隱私保護，需要對行動裝置的使用環境進行監控和感知，並建立合理的策略匹配機制。

實施例5、

如實施例4所述的一種基於Android的個性化環境感知隱私保護方法，所述用戶的環境信息包括：移動智能終端記載的時間、用戶位置、用戶與移動智能終端的交互頻度和使用功能。

所述將環境信息解析為語義環境信息，包括：

將所述用戶的環境信息、用戶的行為目的和用戶隱私需求結合起來，形成語義環境信息。例如，如果用戶在北京市西城區長椿街45號區域停留了較長時間，我們不是直接依據地點的地理坐標，而是通過公開的位置信息服務獲取位置的功能類型信息，解析為區域位置的語義內容，當前位置為宣武醫院，功能類型醫院是敏感信息；有的地方的功能類型為商業街，有的功能類型為學校等。本發明通過Android API獲取行動裝置當前位置、各種傳感器數據以及用戶交互情況信息，通過關聯多種因素進一步進行語義行為解析，例如長時間頻繁停留的位置可能是工作環境，判斷用戶的行為場景如就醫、工作、出行、娛樂等。執行邏輯可見附圖4。

實施例6、

如實施例2所述的一種基於Android的個性化環境感知隱私保護方法，所述交互式用戶隱私需求設定，還包括：

當不存在匹配的基於功能語義的環境下隱私策略時，則告知用戶所述移動應用隱私權限請求，並允許用戶設定針對特定環境下、和/或特定應用的授權隱私策略；然後根據所述授權隱私策略對應執行所述移動應用隱私權限請求的隱私決策。

實施例7、

如實施例6所述的一種基於Android的個性化環境感知隱私保護方法，所述交互式用戶隱私需求設定，還包括：學習用戶的行為模式和隱私需求，不斷補充和更新用戶隱私策略庫供用戶選擇。

通過實施例1-7實現以下應用例1、2的具體方法：

應用例1：

1.某應用A通過ContentResolver.query試圖獲取聯繫人信息。

2.ContentResolver.query觸發系統權限檢查，調用ActivityManagerService.checkPermission函數。

3.實施例3所述技術內容通過隱私請求攔截模塊實現，即通過函數掛鈎攔截到該調用。通過檢查函數參數，獲取觸發應用信息及隱私請求行為，將信息傳遞給策略匹配模塊，所述策略匹配模塊負責將所述移動應用隱私權限請求與所述基於功能語義的環境下隱私策略匹配；

4.策略匹配模塊通過獲取環境感知監聽器中的信息，獲取當前行動裝置所處使用環境。根據環境感知監聽器通過獲取用戶當前環境信息如時間、位置等，使用百度地圖提供的公開API，將地理位置坐標轉換為具有功能標籤的地點說明，結合用戶歷史行為和用戶隱私需求，形成語義環境信息。

5.策略匹配模塊根據語義環境信息與應用請求信息，在隱私策略庫中尋找對應隱私決策。所述隱私策略庫由根據本發明中實施例6所設計的用戶交互隱私設置，以及根據實施例7設計的自主學習機制產生，描述根據用戶隱私需求對特定環境下特定應用的特定請求允許與否的決策。

6.成功查找到匹配的策略，根據策略設定的決策，決定應用A是否能夠獲取聯繫人信息，將決策結果返回給隱私請求攔截模塊。

7.應用隱私請求攔截模塊根據隱私決策結果修改checkPermission函數返回值，控制授權結果。

應用例2：

1.某應用B通過LocationManager.getLastKnownLocation試圖獲取用戶位置信息。

2.實施例3所述技術內容通過隱私請求攔截模塊實現，通過函數掛鈎攔截到該調用。通過檢查函數參數，獲取觸發應用信息及隱私請求行為，將信息傳遞給根據本發明中實施例3所設計的策略匹配模塊，所述策略匹配模塊負責將所述移動應用隱私權限請求與所述基於功能語義的環境下隱私策略匹配；

3.策略匹配模塊通過獲取環境感知監聽器中的信息，獲取當前行動裝置所處使用環境。根據環境感知監聽器通過獲取用戶當前環境信息如時間、位置等，使用高德地圖提供的POI周邊搜索API，將地理位置坐標轉換為帶有功能標籤的附近地點，結合用戶歷史行為和用戶隱私需求，形成語義環境信息。

4.策略匹配模塊根據語義環境信息與應用請求信息，在隱私策略庫中尋找對應策略。隱私策略庫由根據本發明中實施例6所設計的用戶交互隱私設置，以及根據實施例7設計的自主學習機制產生，描述根據用戶隱私需求對特定環境下特定應用的特定請求允許與否的決策。

5.成功查找到匹配的策略，根據策略執行對應的隱私決策，決定應用B是否能夠獲取用戶位置信息，將隱私決策結果返回給應用隱私請求攔截模塊。

6.應用隱私請求攔截模塊根據隱私決策結果，決定函數返回值。若為允許則返回真實用戶位置，若為禁止，則拒絕返回地點信息或返回偽造的虛假地點以保護用戶隱私。