第29卷第10期 2012年10月 计算机应用与软件 Computer Applications and Software Vol_29 No.10 Oct.2012 Android安全研究综述 蒋绍林 王金双 张 涛 陈 融 (理工大学指挥自动化学院江苏南京210007) 摘要 r1 Android的流行使其已成为众多恶意软件的攻击目标,针对Android的木马、Rootkit和应用层提升攻击等安全威胁 r ] 不断出现 -4]。同时,Android源代码开放的特性也吸引了研究人员的广泛关注,提出和实现了很多Android安全增强工作 。介绍 Android本身的安全机制及安全缺陷,按照硬件层、虚拟机监视器层、Linux内核层、Android应用框架层的层次化分类方式对已有An— droid增强工作的原理进行描述和分析,并指出了将来可能的研究方向。 关键词 中图分类号Android手机安全 TP309.1 文献标识码A DOI:10.3969/j.issn.1000—386x.2012.10.054 A SUMMARY oN ANDRoID SECURITY Jiang Shaolin Wang Jinshuang Zhang Tao Chen Rong (Institute of Command Automation, Abstract Unwemi ̄of Science and Technology,Na ng 210007,Jiangsu,China) The population of Android has made il being the target of many malwares.The security threats aiming at Android,such as Tro— jans,Rootkit,and the privilege—escalation attacks,are continuously emerging:At the same time,the open source feature of Android has also attracted a lot of security researchers,and they have proposed and realised a lot of work on security enhancement for it.In this paper we first introduce the security mechanisms of Android its own and the security flaws.And then we depict and analyse the principles of existing An— droid enhancement works in accordance with the hierarchical classification ways from hardware layer,monitor layer of virtual machine,Linux kernel and applications framework layer of Android.At last we give some proposals on future research focus and direction. Keywords Android Mobile phone security 鉴于Android巨大的发展潜力,为提高其可用性,自发布以 0 引 言 2007年11月5日Google公司正式发布基于Linux内核的 开源手机操作系统Android。自发布以来,该系统以其开放、自 来,学术界就对它的安全机制进行了诸多研究,核心是围绕如何 完善系统访问控制机制、防止私密数据泄露的问题展开,并已取 得许多有效的研究成果。本文首先介绍了Android原生的安全 机制及其安全缺陷,然后按照硬件层、虚拟机监视器层、Linux内 核层、应用框架层的层次化分类方式对已有的研究工作进行总 结,最后根据现有工作存在的不足提出了几点未来的研究方向。 由的特性赢得了各大厂商、开发人员、以及用户的青睐。经过四 年的发展,Android已经从最初的智能手机领域进入教育、医疗、 军事、汽车、家居等重要行业,并在2011年第一季度首次突破塞 班成为全球市场占有份额最高的智能手机平台。。J。 正是由于Android在日常生活中扮演着越来越重要的角 1 Android组件模型及安全机制 1.1组件模型 Android是一个移动设备软件栈,其系统架构包含多个层 次,主要有应用层、应用框架层、Android运行时和系统库以及 Linux内核 。Android中的应用都是用Java语言编写,然后生 成Dalvik虚拟机可执行的apk文件。 通常情况下,Android应用由一个或多个不同的组件构成, 这些组件主要包括四种类型:Activity、Service、Broadcast Reeeiv一 收稿日期:2012—08—07。2012中国计算机大会论文。理工大学预 色,导致其逐渐成为大量恶意攻击者的首选目标之一。网秦 《20l1年中国地区手机安全报告》 7 J显示,自2011年10月 以来,Android平台的恶意软件单月查杀次数已超过塞班,并以 1880%的涨幅快速增长,使其成为安全威胁最严重的智能手机 平台。这主要是因为平台的开放性导致恶意应用的开发成本和 难易度大大降低,任何对Android开发感兴趣的人员都可通过 简单的注册而成为Android Market的一员,并自由的发布自己 的应用。同时,虽然Android本身已提供应用沙盒、权限、应用 签名等安全机制,但是这种以开发者为中心、依托用户完成的粗 粒度授权机制存在诸多问题和漏洞,导致平台安全性大大降低, 特别是容易造成应用层权限提升攻击 。 先研究基金项目(KYZYZLXY1208)。蒋绍林,硕士生,主研领域:嵌入式 系统应用技术和信息安全。王金双,讲师。张涛,教授。陈融,讲师。 第10期 蒋绍林等:Android安全研究综述 207 Kleidermacherl12]就提出利用ARMTrustZone?来提升Android设 备的安全。TrustZone允许基于硬件形式的系统虚拟化,它提供 普通和可信/安全两个区域,用户经常使用的多媒体操作系统运 行在普通区中,安全关键软件运行在安全区中。.安全区管理软 件可以访问普通区的内存,反之则不可能。与Intel VT等其它 硬件虚拟化技术不同的是,普通区的客户操作系统与没有 TrustZone时相比并不产生额外的执行负载。TrustZone技术已 访问控制很好的例子。TOMOYO Linux包括一个Linux内核补 丁(ccspatch)和一组访问控制策略管理工具(ccstools)。Android 基于Linux的DAC机制来实现不同应用之间的数据隔离。TO. MOYO基于Android应用程序UID和数据文件/目录的UID来 进一步确保应用程序的数据文件不被其它应用访问。 (3)其他 在Android平台与PC进行数据同步、程序员进行应用开发 经基本成熟,大量的移动终端使用的ARM平台都支持该技术, 可以在移动终端平台借助于该技术,实现安全支付、安全输入和 安全显示。近来ARM宣布为Cortex—A15提供虚拟化支持 , 时,常会涉及ADB(Android Debug Bridge),这是一个数据同步 与程序调试工具,PC通过ADB登陆Android手机,且可轻易获 取root权限。ADB一旦从计算机以root身份登录Android手 它能够与ARM的TrustZone安全系统整合在一起。 机,会给手机的应用程序和用户数据造成安全隐患。刘昌平等 2.2虚拟机层安全增强 就针对此类问题在Android手机的内核中增加访问控制模 硬件层安全增强需要对现有硬件进行更改,所以改进成本 块,并根据手机用户定制的访问控制策略来控制计算机通过 高、难度大、周期长。因此,研究人员提出了基于虚拟化技术的 ADB daemon对文件及文件系统的访问。 安全增强方案。通过虚拟化技术,实现公私分离与平台整合,并 2.4中间软件层的安全增强 且由于虚拟机监视器具有比操作系统更高的权限,所以可以利 Android应用框架层的活动管理器负责管理应用程序的生 用它完成平台行为的监测和管控,从而提高整个系统的安全性。 命周期,它所包含的引用监视器负责验证组件间通信的调用者 目前在移动终端领域的虚拟化产品主要有vmware、L4Android、 是否具备被调用者所要求的权限。软件包安装程序负责安装程 OKL4、Xen等。其中,IAAndroidI14]是一个基于IALinux的开源 序,而包管理器则负责维护系统中所有应用程序的信息。An— 项目,支持在虚拟机上同时运行多个Android实例。文献[14] droid框架层的安全增强主要是对包管理器以及引用监视器等 就提出了虚拟SIM卡用于近距离通信(Near Field Communica— 的改进。根据授权时间和权限检查基点可将应用框架层的安全 tion,NFC)、统一的公、私两用手机、移动Rootkit检测和硬件抽 增强又分为安装时权限机制扩展和运行时动态权限检测,以及 象层等应用。 隐私数据保护和完整性度量几个方面。 2.3操作系统内核层 (1)安装时权限授权机制扩展 Android本身是一个基于Linux内核的移动终端软件栈,所 安装时权限授权机制扩展主要是针对2.3节中提到的授权 以Linux内核已有的安全增强方案同样适用于Android的底层 缺陷,对包管理器进行改进,使得用户可以在只授予应用部分权 操作系统内核。Linux内核安全增强工作普遍基于Linux安全 限情况下正常使用应用的部分功能,或者可以根据用户的时间、 模块LSM(Linux Security Module)实现。LSM在内核关键路径 地点、消费状况、短信发送情况等动态的授予和回收应用权限, 上插入了很多钩子(如文件类、进程间通信类和socket类操作) 从而增强用户对应用权限的可控性,进一步提高系统的安全性 作为策略实施点。各种安全模块可以通过内核提供的接口挂接 和可信性。这方面已有的工作主要包括Kirin j、Saint_ 】、A— 感兴趣的钩子。按照实现原理主要分为:基于标签的安全增强 PEX 等。 工作,如SELinux等;基于路径名的安全增强工作,如AppArmor Kirin主要是基于一组策略不变式来决定是否授予请求的 和TOMOYO Linux等。 权限,通过分析Android应用程序的Manifest文件来保证授予的 (1)SElinux 权限符合系统策略。可用于检测要求危险权限组合的程序,例 SELinux起源于NSA的Flask研究项目,支持TE、RBAC和 如要求电话状态、录音和互联网连接的权限组合被认为是危险 MLS等安全模型。基于用户态装入的策略来进行授权决策。将 的。Saint则可以控制应用程序安装时的权限分配,它允许声明 SELinux应用于嵌入式环境的主要难点在于: 权限P的应用根据应用签名、配置、以及运行上下文等条件,依 ・策略配置困难,SELinux的参考策略中包含50多类客 据开发者自定义的安全策略,对本应用的对外接口实施保护,从 体,每种对应于20多个权限。 而防止混淆代理人攻击。APEX通过对包管理器进行修改,使 ・文件系统缺乏对扩展属性的支持:SELinux利用文件系 得用户可以根据特定的时间、地点、平台使用状况授予/撤销应 统的扩展属性EA(Extended Attirbute)来持久化存储文件的安全 用申请的权限。 上下文,但嵌入式文件系统普遍缺少对扩展属性的支持。 (2)运行时动态权限检测 Android默认情况下并未启用SELinux安全机制,Shabtai|】 Android应用程序使用组件间通信(ICC)机制来检索资源 通过以下工作实现了基于SELinux的Android保护: 和数据,与ICC相关的信息使用Intent来封装,它被传递给Con. ・重新配置Linux内核编译选项来支持SELinux。 text.startActivity()、Context.startService()等方法。这些方法是 ・交叉编译loadpolicy、chcon以及context工具,分别用于 由Applicationc0ntext类实现的,它将控制信息又传递给Activity— 装入策略到内核、改变文件安全标签、以及为init启动的守护进 ManagerService类,在这里确定需要处理Intent的组件。然后, 程设置标签。通过对Android init程序以及初始化配置文件 UID和访问组件所要求的权限被作为调用checkc0mponentPer_ init.re修改,完成策略的引导时装入和init进程标签。 mission()的参数,这样就实现了基于权限的强制访问控制机 ・使用上下文指针的方式显式标记进程。 制。然而,Android权限机制具有易受权限提升攻击的缺陷,并 (2)TOMOYO Linux . 且对于上下文是不敏感的。在防止权限提升攻击方面,目前已 TrustDroid 是利用TOMOYO Linux来进行内核级的强制 有工作主要是XManDroid 、IPC Inspection 和Quire㈨;在感 208 知上下文方面则主要有CREPE 、ConUCON_ 2 等。 计算机应用与软件 2012血 的类加载器PathC|assLoader来实现的。由于现在手机上还没有 任何TPM或MTM实现,因此Nauman实现了一个最小的TPM 仿真器。 XManDroid是一个基于系统策略检测和阻止应用程序运行 时提升攻击的安全框架,可以有效检测通过Android系统 服务或内容提供者建立的(隐蔽)信道。XManDroid使用图来表 示系统,图的节点表示应用程序,无向边表示被授权的组件间通 2.5应用程序静态分析 硬件层、虚拟机层、操作系统内核层、应用框架层作的安全 改进都是基于移动终端的。实际上,还有相当一部分Android 安全研究工作是基于电子市场,对应用程序作静态分析,检测应 信。策略检查算法判定新的组件间通信的边是否能够完成系统 视图中的路径,路径就对应于策略规则。如果满足则拒绝建立 组件间的通信链接,从而达到防止权限提升攻击的目的。IPC Inspection则将被调用者的有效权限减少为调用者与被调用者 权限的交集。触发权限缩减的事件包括:启动服务,绑定服务, 用是否存在危险权限组合、是否违背最小原则、是否存在诸 如缓冲区溢出这样的漏洞。例如,Enck设计并实现了Dalvik反 编译工具ded ,使用Fortify SCA静态分析套件对应用进行了 收到广播的Intent等。同时,通过为新的请求创建新的实例来 防止被调用程序的有效权限缩减为空集。但IPC Inspection的 机制与最小授权原则有冲突,例如条形码扫描程序拥有“照相 机”权限来照相然后返回编码的文本串。通常调用条形码扫描 程序的应用不需要“照相机”权限,也无需直接从相机读取数 据。但如果采用IPC Inspection机制,那么就要求调用程序必须 拥有“照相机”权限,因而违背了最小原则。 CREPE是一个能实施细粒度策略的系统,策略可以在运行 时依赖于智能手机的上下文变化。上下文可以根据某些变量的 状态来定义(例如位置、时间、温度、噪声和光),或者其它设备 的存在、用户与智能手机的特殊交互等。上下文敏感的使用控 制模型ConUCON则利用上下文信息来实现细粒度的、灵活的智 能平台数据保护和资源使用控制,它关注的上下文包括电池、设 备位置和时间等。 (3)隐私数据保护 在平台安全增强方面,除了从权限着手来保护隐私数据外, 还有一部分研究是将重点放到数据本身,通过监控隐私数据的 动向来保护私密数据不被泄露。这方面的工作主要包含私密数 据伪造和动态信息流追踪两方面。 ①私密数据伪造TISSA 在Android上实现了隐私模 式,使用户能够细粒度地灵活控制应用程序可以访问的个人数 据。授予的访问权限可以在运行时根据不同时间或位置等场景 进行动态调整。根据对应用程序的隐私设置来提供匿名、信任 或虚假数据。MockDroid 可以实现虚假位置信息、空的联系 人列表、虚假设备ID、无可用无线网络等功能。AppFence 将 位置和电话ID替换为虚假数据。 ②动态信息流追踪TaintDroid 假设下载的第三方应用 程序是不可信的,实时监控这些程序访问和操作的私人数据。 主要目标是检测敏感数据通过不可信应用程序离开系统,以及 辅助对程序行为的分析。TaintDroid自动为来自隐私敏感数据 源的数据打标记(污点),并在数据通过程序变量、文件和进程 问通信传播时维护标记的传播。当带有污点的数据通过网络传 输或其它途径离开系统时,TaintDroid日志记录数据标记,传输 数据的应用程序以及数据的目的地,实现了对多敏感数据源的 同时追踪,对系统性能影响小于14%。 ⑧完整性度量 隐私数据保护中采用的信息流追踪和数据伪造只能确保数 据的私密性,对于数据完整性无法保证,平台完整性很可能遭到 破坏,所以必须对平台完整性进行度量和验证。但是由于An— droid软件栈使用了Dalvik虚拟机,可信计算中的远程证明技术 并不能直接部署在Android上。Mohammad Nauman 等就针对 该问题提出了一种专门为Android定制的远程证明机制,可以 在虚拟机层度量Android应用程序。主要是通过修改Android 控制流分析、数据流分析、结构化分析和语义分析。控制流分析 对输入程序P的动作序列进行,将其中的一些归类为错误。 数据流分析允许对输入程序的有问题数据流进行描述。结构化 分析允许对输入源代码的抽象语法进行模式匹配。语义分析允 许对输入程序所使用的数值进行一些描述。分析表明系统 存在敏感信息泄漏、未保护的广播接收者、Intent注入攻击等安 全问题和隐患。ComDroid 对Dedexer工具生成的反汇编DEX 字节码进行分析,检查Intent的创建和传输来识别应用程序问 通信的广播窃取、服务劫持、恶意广播注入、恶意服务启动等脆 弱性。SCANDROID ”是一个能自动推理Android应用程序安 全的工具。它从Android应用程序的Manifest文件中提取安全 规范,并检查应用程序间数据流与规范的一致性。SCanDroid是 基于WALA Java字节码分析框架实现的,由于它是在反汇编工 具ded之前提出的,因此只能评估开源的应用程序。Chaudhuri 等 研究用形式化语言来描述Android应用程序,提出了一个 类型系统用于推理数据流安全性质。但Chaudhuri的工作要求 为组件增加复杂的类型注释,在实现中会给开发人员带来严重 的负担。Woodpecker 基于开源反汇编程序baksmali实现静 态分析,采用过程间数据流分析技术来系统地检查不可信程序 非授权访问敏感数据或执行操作的权能泄漏问题。检测显 式权能泄漏(利用公开接口,即混淆代理人攻击)和隐式权能泄 漏(利用相同签名密钥所签名的其它程序的权限,即共谋攻 击)。结果表明13个权限中有11个存在泄漏问题,可在不 申请任何权限的情况下被恶意用于擦除用户数据、发送短信、记 录用户通话和获取用户位置数据等。 研究表明,静态分析技术有助于识别Android应用程序申 请了多余权限或提供未保护的开放接口等安全缺陷,但容 易受到各种迷惑技术的影响。此外,Java反射机制是开发正确、 完备的程序分析必须要解决的一个问题,因为反射机制允许在 运行状态中对于任意一个类都能够知道这个类的所有属性和方 法;对于任意一个对象,都能够调用它的任意一个方法。因此, 解决反射调用仍是一个开放研究领域。 3趋势与展望 随着智能手机的性能逐渐向计算机逼近,基于智能手机的 业务处理也将向计算机逼近,智能手机将会成为真正的计算机; 同时,、、企业的网络信息管理部门将会切断内网与社 交网络的连接,员工以往的社交网络服务将会由他们的个人智 能手机提供;此外,以往的安全站点将会因为智能手机的广泛接 入新增许多安全隐患 。因此,针对智能手机(尤其是已成为 主流平台的Android)的安全研究将会是一项长期而艰巨的任 务。 第10期 蒋绍林等:Android安全研究综述 209 虽然经过几年的研究,研究人员已取得诸多理论、实践成 行进一步的细分,而对“安装/卸载”等很少被使用的权限可以 果,但还是存在诸多不足之处,主要体现在一下一个方面: 进行合并。 (1)安全策略多种多样,策略之间兼容性差:由于许多安全 (3)构建一种智能的策略决策引擎,将决策权交由系统完 策略的侧重点不一样,导致需要对原生系统的更改点也不一样, 成:在XManDroid中就提到,用户只需选择平台所处的安全级 从而使得各安全系统的版本多种多样,系统间的兼容性有待检 别,其余的工作全部交由系统完成,这样就可以在改善用户使用 验。 体验的同时提高策略的安全性。 (2)粗粒度的授权控制机制,导致系统误报率高,可用性较 (4)安全开发工具研究:由于Android的开放性使得应用 差:鉴于移动平台资源受限的实际情况,为了降低系统性能的损 开放人员层次差异较大,导致开发出的产品大多存在安全漏洞, 耗,许多安全策略使用了粗粒度的控制方法。但是随着移动平 尤其是权限保护方面。所以,为开发人员研究一种可自动检测 台性能的提升,细化安全策略的控制粒度应该被提上议事日程。 权限申明是否符合最小原则等安全规则的开发工具是十分 (3)以用户为中心,依托用户完成授权工作,极大地降低了 必要的 系统的安全性:虽然已有的安全工作理论上都有很高的安全性, 但是它们大多是将授权与否的最终决定权交予没有专业知识的 4结语 广大用户,这样无疑会将策略的安全性大打折扣。 综合考虑已有工作存在的缺陷以及智能平台未来的发展, Android开源平台的流行吸引了众多攻击者和安全研究人 针对Android的安全研究工作将来可能围绕以下几个方面展 员的广泛关注,本文首先介绍了Android原生系统的安全机制 开: 及缺陷,然后采用层次化的分类方法对已有工作进行了分析总 (1)构建一种统一的通用的安全增强框架,如图3所示:借 结,最后从现有工作中存在的不足提出了一些未来的研究方向 鉴Linux内核层的LSM框架模型,在Framework层同样构建一 和重点,对Android的安全研究工作具有一定的指导意义。 个通用的服务接口库,现有的安全策略可通过挂接服务接口直 接启用,从而降低策略实现的难度和成本,并且可以增加策略间 参考文。献 的兼容性。例如,在目前的大多数安全模型中,主要是更改 [1]Lab K.First SMS Trojan Detected for Smartphones running Android PackageManagersen『ice、ActivityManagerserviee等,前者可感知平 [EB/OL].(2010—03—05) 【2010—11—15].http://www. 台所有已安装应用的详细情况,后者负责应用间通信建立。在 kaspersky.corn/news?id=207576156. PackageManagerService中,可在installPackage()中添加一个应用 [2]Wang Z,A Stavrou.Exploiting Smart-Phone USB Connectivity For Fun 安装接1:3 installPackagesecureHook(),该接口更具安全策略模 And Profit[C]//Annual Computer Security Applications Conference, 块的不同建立不同的应用信息数据库;同时,由于应用建立通信 Austin,Texas USA,2010:357—366. 或访问数据资源时,会通过PackageManagerService对应用的权 [3]Davi L,et a1.Privilege escalation attacks on Android[C]//Informa- tion Security Conference—ISC,2010:346~360. 限进行检查,所以可在其中添加checkPermissionSecureHook()接 [4]Roman Schlegel,K Z,Xiaoyong Zhou,et a1.Souudcomber:A 口,更具具体策略,返回权限授予状态。此外,为了解决Frame— Stealthy and Context—Aware Sound Tr ̄an for Smartphones[C/OL]// work层和Linux内核层的策略鸿沟问题,可在两者间建立一个 Proceedings of the Network and Distirbuted System Security Symposi— 桥接引擎,这个引擎既可以是一个策略决策引擎(如XManDroid um,NDSS 2011,San Diego,California,USA,6th February一9th 中的策略决策引擎),也可以是一个简单的数据共享文件或共 February 2011[2011一O5—15].http://www.isoc.org/isoc/eonfer- 享存储区。 ences/ndss/l 1/pdf/l一1.pdf. [5]Enck W,Kevin B,et a1.Defending Users Against Smartphone Apps: Techniques and Future Directions[C]//Information Systems Security 7th International Conference,ICISS 201 1,Kolkata,December 15 —19,2011:49—70. [6]Gartner:Gartner Says Sales of Mobile Devices in First Quarter of 201 1 Grew 16.5 Percent Year—on-Yea/";Sma ̄phone Sales Grew 74 Percent [EB/OL].(2011一O8—10)[2011—09—25].http://www.gart— ner.corn/it/page.jsp?id=1764714. [7]网秦.2011年中国地区手机安全报告[EB/OL].(2012一O1 —12)[2012—02—25].http://www.netqin.corn/upLoad/File/ baogao/201201 12.pdf. [8]Bugiel S,et a1.Towards Taming Privilege・Escalation Attacks on An— droid[C]//Information Security Conference—ISC。2010:346—360. 图3一种统一通用的Android安全增强框架 [9]Google.Android Home Page[OL].2009.http://www.android.corn. (2)进一步细化策略控制粒度,提高系统可用性:将策略控 [10]Enck W,M Ongtang,P McDanie1.Mitigating Android software misuse 制的粒度由应用沙盒细化到应用本身、由消息层细化到变量层、 before it happens[R].The Pennsylvania State University 344 IST Building University Park,PA 16802,USA,22th September 2008. 由数据读写细化到数据的读和写等;例如,Barrera使用神经网 [1 1]Felt,Adrienne P,et a1.Permission re—delegation:Attacks and defen. 络算法SOM(Self Organizing Maps)分析了权限的使用情况 , ses[J/OL].USENIX Security Symposium.http://static.usenix.ors/ 分析表明很少的一些权限被频繁使用,『n 大多数权限只被很少 events/secl 1/teeh/fullpapers/Felt.pdf. 的程序使用。因此,对INTERNET等被频繁使用的权限可以进 [1 2]Kleidermacher D.Bringing Security to Android—based Devices[EB/ 210 计算机应用与软件 2012 雏 OL].(2010—02—13)[2010—10—22].http://www.igmagazine- online.com/current/pdf/Pg56—58IQ一32一Bringing—Security—to— Android-based—Devices.pdf. [1 3]Andy Nightingale,Roberto Mijat.Virtualization is Coming to a Plat— form Near You[EB/OL].(2011—04—12)[2011~1O一11].ht- tp://www.arm.corn/files/pdf/System-MMU-Whitepaper—v8.0.pdf. [14]Matthias Lange,Steffen L,et a1.L4Android:A Generic Operating System Fmmewo ̄for Secure Smartphones[C]//Proceedings of the 1 st ACM workshop on Security and privacy in smartphones and mobile de— vices,Chicago Illionis,USA,2011:39—50. [1 5]Shabtai A,Y Fledel,Y Elovici.Securing Android—powered mobile de— vices using SELinux[J J.Security&Privacy,IEEE,2010,8(3):36— 44. [16]刘昌平,范明钰,王光卫,等.Android手机的轻量级访问控制[J]. 计算机应用研究,2010,27(7):2611—2613,2628. [17]Enck W,M Ongtang,P McDanie1.On lightweight mobile phone appli- cation certification『C]//ACM Conference on Computer and Communi. cations Security,2009:235—245. [1 8]Ongtang M,et a1.Semantically rich application—centric security in an druid[C]//Annual Computer Security Applications Conference, 2009:340—349. [19]Nauman M,S Khan,X Zhang.Apex:Extending Android pemrission model and enforcement with user—deifned runtime constraints[c]// ACM Conference on Computer and Communication Security,2010:328 332. [20]Bugiel S,Lucas D,et a1.XManDroid:A new Android evolution to mitigate privilege escalation attacks[R].Technische University Darm- stadt,System Security Lab,April 2011. [21]Dietz M,Shashi S,et a1.Quire:lightweight provenance for smart phone operating systems[J].Computing Research Repository,201 1, abs/1102(2):23—34. [22]Mauro C,Vu Thien Nga N,Bruno C.CREPE:Context—Related Policy Enforcement for Android[c]//Infomration Security Conference—ISC, 2010:331—345. [23]Guangdong Bai,Liang Gu,et 1a.Context-Aware Usage Control ofr An— druid[J].。SECURECOMM,2010,10:326~343. [24]Zhou Yajin,Xinwen Zhang,et a1.Taming information-stealing smart- phone applications(on Android)[C]//Proceeding of the 4th interna- tional conference on Trust and Trustworthy Computing,201 1:93— 1O7. [25]Beresford A R,Rice A,Skehin N,et a1.MockDroid:Trading Privacy for Application Functionality on Smartphones[C]//Proceedings of the 12th Workshop on Mobile Computing Systems and Applications(Hot- Mobile 11),2011:49—54. [26]Hornyack P,Han S,Jung J,et a1.These Arent the Druids Youte Loo- king For:Retrofitting Android to Protect Data from Imperious Applica- tions[C]//Proceedings of the 18th ACM Conference on Computer and Communications Security(CCs20l1),201 1:639—652. [27]Enck W,Gilbert P,et a1.TaintDroid:An information—lfow tracking system for reahime privacy monitoring on smartphones[c]//Proceed- ings of the 9th USENIX conference on Operating systems design and implementation Article No.1—6.2010:393—407. [28]Mohammad Nauman,Sohail Khan,Xinwen Zhang,et a1.Beyond Ker— nel—level Integrity Measurement:Enabling Remote Attestation for the Android Platform[C]//Proceedings of the 3rd International Conference on Trust and Trustworthy Computing,2010:1—15. [29]Enck W,Damien O,et a1.A study of android application security [C]//Proceedings of the 20th USENIX conference on Security,201 1: 21—44. [30]Chin E,Adrienne P F,et a1.Analyzing inter—application communica. tion in Android.[C]//Proceedings of the 9th international conference on Mobile systems,applications,and service,201 1:239—252. [31]Fuchs A P,A Chaudhuri,J S Foster.SCanDroid:Automated security certiifcation of Android applications[R/OL]//Manuscript,Univ.of Maryland,2009.http://www.as.umd.edu/~avik/projects/scandroi— dascaa. [32]Chaudhuri A.Language—based security oil Android[C]//Proceedings of the ACM SIGPLAN Fourth Workshop on Programming Languages and Analysis ofr Security,2009:1—7. [33]Michael Grace,Yajin Zhou,Zhi Wang,et a1.Systematic Detection of Capability Leaks in Stock Android Sma ̄phones[C/0L]//Proceedings of the 19th Network and Distirbuted System Security Symposium (NDSS2012).http://www.CSC.ncsu.edu/facuhy/jianS/pubs/ NDSS12—.WOODPECKER.pdf. [34]Wallach D.Sma ̄phone Security:Trends and Predictions[EB/OL]. (2011—02—17)[2011—10一l2].http://secappdev.or ̄hand— outs ̄201 1/Dan Wallach/smartphone—security.pdf. [35]Barrera D,H Gunes Kayacik,et a1.A methodology for empiircal anal- ysis of permission・based security models and its application to android [C]//Proceedings of the 17th ACM conference on computer and com- munications security,2010:73—84. (上接第158页) 服务组合可靠性和自适应性,以解决复杂、多变的区域医疗信息 集成环境下服务可能存在的不可用、不可控的风险;解决好Web 服务组合安全和可信问题,以防止医疗信息非法获取和泄露。 参考文献 Mcllraith S,Narayanan S,Paolucci I,et a1.OWL・S:Semantic Markup ofr Web Services[OL].http://www.dam1.ors/services/owls/1.1/o— verview/. [2] HIMSS and RSNA.Integrating the Heahheare Enterprise(IHE)一IT In— frasturcture Technical Framework—Volume 1:Integration Profiles[s]. Rev.2.0.August 5.2005. [3] HIMSS and RSNA.hltegrating the Heahhcare Enterprise(IHE)一IT In- frasturcture Technical Framework Volume 2:Transactions[s] Rev. 2.0.August 5.2005. [4] Speciifcation:Business Prcoess Execution Language for Web Services Version 1.1[OL].http://www一106.ibm.com/developerworks/web- services/library/ws—bpe1. [5] John T E Timm,eGrald C Gannod.Grounding and Execution of OWL—S Based Semantic Web Services[C]//Proceedings of the IEEE Interna— tional Conference on Services Computing-volumn 2,Washington:IEEE Computer Society,2008. [6] Paolucci M,kawmura T,Payne T,et a1.Semantic matching of web serv— ices capabilities[C]//the First Int.Semantic Web Conf,2002. [7] 焦方俊,陈维斌.基于OWL S扩展UDDI的研究[J].计算机应用, 2007(2S).
