[发明专利]一种隐私泄漏风险评估方法及装置

说明书

本发明实施例提供一种隐私泄漏风险评估方法及装置，重点考虑了第三方的服务提供商在用户不知情的情况下获取隐私信息的情况，通过收集和分析用户权限设置样本，量化权限管理的隐私信息的敏感度，使权限和隐私之间的关联关系更加明确，从而更好更准确的为用户定制个性化的权限管理方案，基于恶意应用集合与正常应用集合之间的差异量化权限的敏感度，并重点考虑了权限组合对隐私泄漏带来的非线性影响，均衡服务质量与隐私保护效果，能够在保证较高服务质量的同时为用户提供降低隐私信息泄漏风险的系统整体权限管理方案。

技术领域

本发明实施例涉及隐私风险评估技术领域，更具体地，涉及一种隐私泄漏风险评估方法及装置。

背景技术

随着信息化服务快速普及、移动互联网相关技术发展，智能终端的使用已经渗透入人们的日常生活。用户在享受智能终端带来便捷服务的同时，也承受了日益严峻的隐私信息泄漏的风险。目前，智能终端操作系统(例如Android，iOS等)使用的权限管理机制是以应用为单位控制访问权限的，只有获得相应权限的应用才能读取用户隐私数据。由于智能终端中许多应用过度的申请权限，导致用户的隐私信息泄漏事件频发。针对智能终端中应用对于权限的过度申请的情况，目前有如下几种权限管理的方法。

(1)基于上下文环境的权限管理方法，根据用户使用应用的反馈和运行的上下文环境对应用的权限进行管理；

(2)基于众包的权限管理方法，通过向用户提问的方式，找出对隐私期望相近的用户，使用协同过滤算法推荐权限配置方案。

智能终端中的第三方服务提供商可在用户不知情的情况下获取隐私信息。由于应用集成了来自第三方的服务(例如，地图、广告和支付等)，使得权限管理机制的保护效果降低。第三方的服务以库文件的形式被打包到宿主应用。这些库文件是服务提供商(ServiceProvider，SP)发布的二进制文件，常见的文件后缀名有.jar、.a、.so或.tdb等。同一服务可被打包到多个应用中，在目前常用的权限管理机制中，第三方的服务拥有与宿主应用相同的权限，且用户无法得知申请权限的是宿主应用还是第三方服务提供商。第三方库被打包到多个应用，每个应用申请的权限不相同。当此类应用安装在同一台智能终端中，则有第三方服务提供商可能获得全部与隐私信息相关的敏感权限。根据所获权限，第三方服务提供商可以绘制完整的用户画像，并以此牟利。由于操作系统没有向用户提示是宿主应用还是第三方在申请使用权限，所以用户无法得知给予该权限是否会造成隐私信息泄漏，而现有的方法都无法解决这些问题，无法保证在较高服务质量的同时为用户提供一种降低隐私信息泄漏风险的权限配置方案。

发明内容

本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的一种隐私泄漏风险评估方法及装置。

第一方面，本发明实施例提供一种隐私泄漏风险评估方法，包括：

将用户对权限的撤销比例量化为权限所管理敏感信息的敏感程度，构建常用权限组合，基于所述敏感程度获取常用权限组合的组合敏感度；

获取所述常用权限组合在恶意应用中出现比例和正常应用中出现比例的差值，基于所述差值和所述组合敏感度得到所述常用权限组合的组合非线性敏感度，并基于所述组合非线性敏感度获取权限组合状态下各权限的权限非线性敏感度；

基于安装应用中每个服务提供商的申请权限和所述权限非线性敏感度，获得服务提供商的隐私泄漏风险值；基于所有服务提供商的隐私泄漏风险值，得到应用整体隐私泄漏风险值。

第二方面，本发明实施例提供一种隐私泄漏风险评估装置，包括：

敏感程度获取模块，用于将用户对权限的撤销比例量化为权限所管理敏感信息的敏感程度，构建常用权限组合，基于所述敏感程度获取常用权限组合的组合敏感度；