本发明专利技术实施例提供一种隐私泄漏风险评估方法及装置,重点考虑了第三方的服务提供商在用户不知情的情况下获取隐私信息的情况,通过收集和分析用户权限设置样本,量化权限管理的隐私信息的敏感度,使权限和隐私之间的关联关系更加明确,从而更好更准确的为用户定制个性化的权限管理方案,基于恶意应用集合与正常应用集合之间的差异量化权限的敏感度,并重点考虑了权限组合对隐私泄漏带来的非线性影响,均衡服务质量与隐私保护效果,能够在保证较高服务质量的同时为用户提供降低隐私信息泄漏风险的系统整体权限管理方案。
【技术实现步骤摘要】
一种隐私泄漏风险评估方法及装置
本专利技术实施例涉及隐私风险评估
,更具体地,涉及一种隐私泄漏风险评估方法及装置。
技术介绍
随着信息化服务快速普及、移动互联网相关技术发展,智能终端的使用已经渗透入人们的日常生活。用户在享受智能终端带来便捷服务的同时,也承受了日益严峻的隐私信息泄漏的风险。目前,智能终端操作系统(例如Android,iOS等)使用的权限管理机制是以应用为单位控制访问权限的,只有获得相应权限的应用才能读取用户隐私数据。由于智能终端中许多应用过度的申请权限,导致用户的隐私信息泄漏事件频发。针对智能终端中应用对于权限的过度申请的情况,目前有如下几种权限管理的方法。(1)基于上下文环境的权限管理方法,根据用户使用应用的反馈和运行的上下文环境对应用的权限进行管理;(2)基于众包的权限管理方法,通过向用户提问的方式,找出对隐私期望相近的用户,使用协同过滤算法推荐权限配置方案。智能终端中的第三方服务提供商可在用户不知情的情况下获取隐私信息。由于应用集成了来自第三方的服务(例如,地图、广告和支付等),使得权限管理机制的保护效果降低。第三方的服务以库文件的形式被打包到宿主应用。这些库文件是服务提供商(ServiceProvider,SP)发布的二进制文件,常见的文件后缀名有.jar、.a、.so或.tdb等。同一服务可被打包到多个应用中,在目前常用的权限管理机制中,第三方的服务拥有与宿主应用相同的权限,且用户无法得知申请权限的是宿主应用还是第三方服务提供商。第三方库被打包到多个应用,每个应用申请的权限不相同。当此类应用安装在同一台智能终端中,则有第三方服务提供商可能获得全部与隐私信息相关的敏感权限。根据所获权限,第三方服务提供商可以绘制完整的用户画像,并以此牟利。由于操作系统没有向用户提示是宿主应用还是第三方在申请使用权限,所以用户无法得知给予该权限是否会造成隐私信息泄漏,而现有的方法都无法解决这些问题,无法保证在较高服务质量的同时为用户提供一种降低隐私信息泄漏风险的权限配置方案。
技术实现思路
本专利技术实施例提供一种克服上述问题或者至少部分地解决上述问题的一种隐私泄漏风险评估方法及装置。第一方面,本专利技术实施例提供一种隐私泄漏风险评估方法,包括:将用户对权限的撤销比例量化为权限所管理敏感信息的敏感程度,构建常用权限组合,基于所述敏感程度获取常用权限组合的组合敏感度;获取所述常用权限组合在恶意应用中出现比例和正常应用中出现比例的差值,基于所述差值和所述组合敏感度得到所述常用权限组合的组合非线性敏感度,并基于所述组合非线性敏感度获取权限组合状态下各权限的权限非线性敏感度;基于安装应用中每个服务提供商的申请权限和所述权限非线性敏感度,获得服务提供商的隐私泄漏风险值;基于所有服务提供商的隐私泄漏风险值,得到应用整体隐私泄漏风险值。第二方面,本专利技术实施例提供一种隐私泄漏风险评估装置,包括:敏感程度获取模块,用于将用户对权限的撤销比例量化为权限所管理敏感信息的敏感程度,构建常用权限组合,基于所述敏感程度获取常用权限组合的组合敏感度;非线性敏感度获取模块,用于获取所述常用权限组合在恶意应用中出现比例和正常应用中出现比例的差值,基于所述差值和所述组合敏感度得到所述常用权限组合的组合非线性敏感度,并基于所述组合非线性敏感度获取权限组合状态下各权限的权限非线性敏感度;评估模块,用于基于服务提供商的申请权限和所述权限非线性敏感度,获得每个服务提供商的隐私泄漏风险值;基于应用中所有服务提供商的隐私泄漏风险值,得到应用整体隐私泄漏风险值。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。本专利技术实施例提出了一种隐私泄漏风险评估方法及装置,重点考虑了第三方的服务提供商在用户不知情的情况下获取隐私信息的情况,通过收集和分析用户权限设置样本,量化权限管理的隐私信息的敏感度,使权限和隐私之间的关联关系更加明确,从而更好更准确的为用户定制个性化的权限管理方案,基于恶意应用集合与正常应用集合之间的差异量化权限的敏感度,并重点考虑了权限组合对隐私泄漏带来的非线性影响,均衡服务质量与隐私保护效果,能够在保证较高服务质量的同时为用户提供降低隐私信息泄漏风险的系统整体权限管理方案。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为根据本专利技术实施例的隐私泄漏风险评估方法示意图;图2为根据本专利技术实施例的隐私泄漏风险评估方法具体应用示意图;图3为根据本专利技术实施例的隐私泄漏风险评估装置示意图;图4为根据本专利技术实施例的电子设备的实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。由于应用集成了来自第三方的服务(例如,地图、广告和支付等),使得权限管理机制的保护效果降低。第三方的服务以库文件的形式被打包到宿主应用。这些库文件是服务提供商发布的二进制文件,常见的文件后缀名有.jar、.a、.so或.tdb等。同一服务可被打包到多个应用中,在目前的权限管理机制中,其拥有与宿主应用相同的权限,且用户无法得知申请权限的是宿主应用还是第三方服务提供商。第三方库被打包到多个应用,每个应用申请的权限不相同。假如这些应用安装在同一台智能终端中,则有第三方服务提供商可能获得全部与隐私信息相关的敏感权限。根据这些权限,第三方服务提供商可以绘制完整的用户画像,并以此牟利。因为操作系统没有向用户提示是宿主应用还是第三方在申请使用权限,所以用户无法得知给予该权限是否会造成隐私信息泄漏,而现有的方法都无法解决这些问题,不能在保证较高服务质量的同时为用户提供一种降低隐私信息泄漏风险的权限配置方案。因此本专利技术各实施例重点考虑了第三方服务提供商在用户不知情的条件下下获取隐私信息的情况,量化权限管理的隐私信息的敏感度,使权限和隐私之间的关联关系更加明确,从而更好更准确的为用户定制个性化的权限管理方案,基于恶意应用集合与正常应用集合之间的差异,量化权限的敏感度,并重点考虑了权限组合对隐私泄漏带来的非线性影响,均衡服务质量与隐私保护效果。以下将通过多个实施例进行展开说明和介绍。图1为本专利技术实施例提供的一种隐私泄漏风险评估方法,包括:S1、将用户对权限的撤销比例量化为权限所管理敏感信息的敏感程度,构建常用权限组合,基于所述敏感程度获取常用权限组合的组合敏感度;S2、获取所述常用权限组合在恶意应用中出现比例和正常应用中出现比例的差值,基于所述差值和所述组合敏本文档来自技高网...
【技术保护点】
1.一种隐私泄漏风险评估方法,其特征在于,包括:将用户对权限的撤销比例量化为权限所管理敏感信息的敏感程度,构建常用权限组合,基于所述敏感程度获取常用权限组合的组合敏感度;获取所述常用权限组合在恶意应用中出现比例和正常应用中出现比例的差值,基于所述差值和所述组合敏感度得到所述常用权限组合的组合非线性敏感度,并基于所述组合非线性敏感度获取权限组合状态下各权限的权限非线性敏感度;基于服务提供商的申请权限和所述权限非线性敏感度,获得每个服务提供商的隐私泄漏风险值;基于应用中所有服务提供商的隐私泄漏风险值,得到应用整体隐私泄漏风险值。
【技术特征摘要】
1.一种隐私泄漏风险评估方法,其特征在于,包括:将用户对权限的撤销比例量化为权限所管理敏感信息的敏感程度,构建常用权限组合,基于所述敏感程度获取常用权限组合的组合敏感度;获取所述常用权限组合在恶意应用中出现比例和正常应用中出现比例的差值,基于所述差值和所述组合敏感度得到所述常用权限组合的组合非线性敏感度,并基于所述组合非线性敏感度获取权限组合状态下各权限的权限非线性敏感度;基于服务提供商的申请权限和所述权限非线性敏感度,获得每个服务提供商的隐私泄漏风险值;基于应用中所有服务提供商的隐私泄漏风险值,得到应用整体隐私泄漏风险值。2.根据权利要求1所述的隐私泄漏风险评估方法,其特征在于,将用户对权限的撤销比例量化为权限所管理敏感信息的敏感程度前,还包括:基于特征提取方法识别应用中服务提供商的动态库,筛选出其中能够获取权限的所有服务提供商;统计服务提供商从多个应用中获取的所有权限。3.根据权利要求1所述的隐私泄漏风险评估方法,其特征在于,构建常用权限组合,具体包括:收集正常应用集合和恶意应用集合,其中正常应用集合为申请的权限与实际功能相符的应用的集合,恶意应用集合为申请敏感权限大于设定数量的应用的集合,所述敏感权限是与用户隐私信息相关的权限;基于关联规则方法从所述正常应用集合和所述恶意应用集合中各应用申请的权限中挖掘出常用权限组合;计算每个权限组合的支持度,所述支持度为所述权限组合在所述正常应用集合或所述恶意应用集中出现的比例;筛选出支持度大于预设第一阈值的权限组合作为常用权限组合。4.根据权利要求1所述的隐私泄漏风险评估方法,其特征在于,基于所述敏感程度获取常用权限组合的组合敏感度,具体包括:将所述常用权限组合中各权限的敏感程度累加,得到所述常用权限组合的权限组合敏感度。5.根据权利要求1所述的隐私泄漏风险评估方法,其特征在于,并基于所述组合非线性敏感度获取权限组合状态下各权限的权限非线性敏感度,具体包括:在每个常用权...
【专利技术属性】
技术研发人员:李凤华,牛犇,王新宇,李晖,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。