王庆
- 作品数:3 被引量:63H指数:2
- 供职机构:中国信息安全测评中心更多>>
- 发文基金:国家自然科学基金更多>>
- 相关领域:自动化与计算机技术电子电信更多>>
- 针对安卓系统位置信息服务的权限提升攻击被引量:2
- 2017年
- Android平台的安全问题越来越引起关注,尽管权限机制、隔离机制、应用签名等方式被用来保护平台的安全性,但是这种以应用开发者为中心、依托用户完成的粗粒度授权和访问控制机制存在诸多缺陷,导致系统安全性大大降低,容易受到权限提升攻击。针对这种攻击,现有的解决方案主要集中在加强中间层的防护措施,意味着攻击者如果能够跨越中间层,直接在应用层和内核层之间进行通信,则可以绕开Android系统中间软层的若干安全机制,实现对应用层的权限提升攻击。为了验证这种设想,论文提出了一种针对Android系统位置信息服务的权限提升攻击方案,通过编写可以在普通应用进程中运行的且可替代Android位置信息服务原生库的动态链接库,使得应用层请求只要调用该动态链接库就可以在没有权限的情况下绕过Android权限机制到达底层,并获得位置信息数据,实验结果表明此方案可以实现权限提升,证实了现有Android平台安全机制的不足。
- 王庆袁珺沈嘉荟穆楠
- 关键词:ANDROID访问控制
- 信息安全风险评估的综合评估方法综述被引量:52
- 2012年
- 信息安全风险评估是信息系统安全的前提和基础。该文对风险评估方法进行了概括描述,在分析以层次分析法为代表的综合评估方法不足的基础上,对4种改进型的综合评估方法进行了归纳,得出了4种有代表性的改进方法,并对这4种方法的优点进行了比较分析。
- 张利彭建芬杜宇鸽王庆
- 关键词:信息安全风险评估层次分析法
- 侧信道攻击通用框架设计及应用被引量:9
- 2017年
- 目前,密码算法、模块、设备在设计生产时都增加了评估侧信道风险这一过程。侧信道攻击的对象主要分为无保护的密码算法/模块和有保护的密码算法/模块两大类,如果针对每种攻击对象单独设计攻击方案是费时费力的,所以,基于实际侧信道攻击基础理论,结合经典侧信道分析思路,文章提出一种通用型分析框架涵盖所有攻击流程。文章将实际侧信道攻击分为3个递进的步骤,分别是侧信道逻辑漏洞评估、侧信道信息采集以及侧信道分析优化,详细阐述各步骤的实现方法,并利用该框架对改进的低熵掩码与指令乱序的双重方案对被保护的软件进行攻击测试。实验结果表明该框架具备合理性和有效性,能应对绝大多数侧信道攻击。
- 王庆屠晨阳沈嘉荟
- 关键词:密码算法密码设备侧信道攻击
