CN110519218B

CN110519218B - 一种基于隐私泄露评估的隐私信息保护方法及系统

Info

Publication number: CN110519218B
Application number: CN201910607671.7A
Authority: CN
Inventors: 李凤华; 牛犇; 杨志东; 王新宇
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2019-07-05
Filing date: 2019-07-05
Publication date: 2020-05-22
Anticipated expiration: 2039-07-05
Also published as: CN110519218A

Abstract

本发明提出一种基于隐私泄露评估的隐私信息保护方法及系统，在App通过系统API读取隐私数据时，决定是否拒绝此次操作，适用于所有智能终端。该方法计算App的服务商收集隐私信息的准确度和完整度，从而计算隐私信息的泄露程度；然后衡量撤销App某一权限后带来的服务质量损失；最后根据App运行的上下文环境，进行隐私信息泄露风险管理。本发明在保证App服务质量的同时，使用户的隐私信息得到相应的保护。

Description

一种基于隐私泄露评估的隐私信息保护方法及系统

技术领域

本发明涉及信息技术领域，具体涉及一种基于隐私泄露评估的隐私信息保护方法及系统。

背景技术

随着移动互联网技术的发展，智能终端在人们日常生活中所占据的地位越来越重要。智能终端的使用场景不再局限于通话和发送短信等，而已经涉及到移动支付、娱乐、社交等各个方面。其所带来的各类便捷服务使用户对其越来越依赖，但另一方面，随着智能终端上个人隐私信息的增多，隐私泄露的问题已引起了用户的极大关注。通过读取智能终端中各种与用户隐私相关的信息，App服务提供商(以下简称服务商)可掌握大量的用户隐私信息。隐私信息被收集的时间越长、种类越多，服务商掌握用户的隐私信息越完整，并以此推断出用户的性别、爱好、健康状况甚至收入水平等个人敏感信息。一旦这些隐私信息被恶意使用，会给用户的个人财产甚至人身安全带来严重威胁。

针对智能终端的隐私泄露问题，目前有如下两类权限管理方案：

(1)基于上下文环境的权限管理。该方案有如下几种常用方法：1.帮助用户决策授予/撤销位置权限的LP-Guardian方法；2.Andorid系统上可以动态授予/撤销权限的方法；3.使用机器学习的方法，根据用户使用App的反馈和运行的上下文环境对App的权限进行管理。

(2)基于众包的权限管理。该方案有如下几种常用方法：1.收集用户的权限设置，根据多数人对权限授予/撤销的选择给出推荐结果；2.通过分析用户对权限设置的记录，使用SVM算法将用户分为若干类，然后根据分类推荐权限设置；3.通过向用户提问的方式，找出对隐私期望相近的用户，使用协同过滤算法推荐权限配置；4.从收集的用户权限设置中寻找“专家用户”，并根据“专家用户”的设置推荐权限配置结果。

现有权限管理机制并不能妥善的管理好用户的隐私信息。常见的智能终端操作系统(例如Android、iOS等)使用权限管理机制保护用户的隐私信息。权限以App为单位进行管理，只有获得了相应的权限才能读写特定的数据。这种模式中，将隐私信息的授予/撤销的决定权交给了用户，由用户根据App提供服务的类型和权限对管理隐私信息的重要程度来做决定。但是，一方面普通用户对权限管理机制不够了解，据调查，只有17％的用户会留意权限相应的警告信息，2.6％的用户正确理解了权限的含义。另一方面，权限授予后，App可以不受约束地读取用户敏感数据，最终用户无法控制智能终端中的隐私信息。现有的工作都集中在如何管理权限控制，帮助用户决策是否应该授予App权限，但是对授予权限后如何持续管理隐私信息泄露的问题则没有涉及。

发明内容

本发明的目的在于提出一种基于隐私泄露评估的隐私信息保护方法及系统，在App通过系统API读取隐私数据时，决定是否拒绝此次操作，适用于所有智能终端。该方法计算App的服务商收集隐私信息的准确度和完整度，从而计算隐私信息的泄露程度；然后衡量撤销App某一权限后带来的服务质量损失；最后根据App运行的上下文环境，进行隐私信息泄露风险管理。在保证App服务质量的同时，使用户的隐私信息得到相应的保护。

为实现上述目的，本发明采用的技术方案如下：

本发明提供的一种基于隐私泄露评估的隐私信息保护方法，适用于所有智能终端，通过用户端与服务器协作实现，包括以下步骤：

用户端记录App调用敏感权限的历史信息，该敏感权限为运行时权限中与读操作相关的权限；

根据上述App调用敏感权限的历史信息，得到服务商掌握用户隐私信息的完整度和准确度；

根据完整度和准确度计算隐私泄露程度，包括：若用户端已部署隐私保护算法，则通过计算完整度和准确度的调和平均数得到隐私泄露程度，否则隐私泄露程度等于完整度；

根据隐私泄露程度构建完整的隐私泄露程度集合，服务器根据该集合为每个权限设置默认服务质量损失，计算撤销权限后的服务质量损失；

用户端从服务器读取App撤销权限后的服务质量损失，根据该服务质量损失、权限滥用程度以及隐私信息保护回报评估隐私信息泄露风险，根据风险大小决定是否拒绝被读取，实现隐私信息保护。

进一步地，运行时权限中与读操作相关的权限包括读取位置信息、收发短信、读取手机状态、拨打电话、读取手机外部存储状态、读写联系人、使用摄像头、录音、打开/关闭WiFi、打开/关闭蓝牙。

进一步地，历史信息包括权限被调用的时刻、调用时App运行状态、用户授予/撤销的次数等。

进一步地，所述类别包括固定型、离散型和连续型，固定型包括本机号码、IMEI码等，离散型包括通讯录、通话记录、短信等，连续型包括位置信息等。

进一步地，得到用户隐私信息完整度的方法包括：

若隐私信息为固定型，通过判断隐私信息相对于上次读取的是否发生变化得到完整度；

若隐私信息为离散型，通过当前信息量与App服务商上次读取的信息量得到完整度；

若隐私信息为连续型，通过App当天某时间段内被调用次数与当天被调用总次数得到完整度。

进一步地，准确度是指服务商掌握用户隐私信息的正确程度。如可以根据服务商读取的真实隐私信息条数相对于隐私信息总条数的比例得到准确度。

进一步地，撤销权限后的服务质量损失指的是为满足需求用户承担的隐私信息泄露风险。如可以根据若干用户对该权限的平均隐私泄露程度与撤销该权限的对立事件概率的乘积得到撤销权限后的服务质量损失。其中，撤销该权限的概率可定义为该权限被撤销总次数与申请使用总次数的比值。

进一步地，根据该服务质量损失、权限滥用程度以及隐私信息保护回报评估隐私信息泄露风险，是指根据服务质量损失、权限滥用程度以及隐私信息保护回报计算投资回报率，利用投资回报率表征隐私信息泄露风险。其中隐私信息保护回报可通过读取用户隐私前的隐私泄露程度与读取用户隐私信息后的隐私泄露程度计算得到。

进一步地，权限滥用程度是出乎用户意料的滥用权限的程度，用于描述在用户不知情的情况下调用权限读取隐私信息的程度。如可以根据权限在App驻留后台时被调用的次数与总的使用次数的比值得到权限滥用程度。

进一步地，根据风险大小决定是否拒绝此次操作的方法为：设置投资回报率阈值，当App服务商读取用户隐私信息的事件发生时，如果投资回报率大于等于该阈值，则表明此次App调用风险过大，拒绝读取，否则允许读取。

本发明提出的一种基于隐私泄露评估的隐私信息保护系统，包括：

用户端，负责记录App调用敏感权限的历史信息，根据该历史信息得到服务商掌握用户隐私信息的完整度和准确度，构建完整的隐私泄露程度集合，并将该集合和权限设置信息发送给服务器；从服务器读取App撤销权限后的服务质量损失，评估隐私信息泄露风险，根据风险大小决定是否拒绝敏感信息被读取；

服务器，负责根据隐私泄露程度集合计算撤销权限后的服务质量损失，并将该服务质量损失发送给用户端；为用户端的每个权限设置默认服务质量损失，计算撤销权限后的服务质量损失并发送给用户端。

本发明提出一种新的基于隐私泄露评估的隐私信息保护方法，在用户授予权限后，持续监视App读取隐私信息的动态，将隐私泄露风险保持在合理范围内。若智能终端已部署隐私保护算法，则重点考虑App收集隐私信息的准确度和完整度，并构建完整的隐私泄露程度集合。若智能终端未部署任何隐私保护算法，则只需考虑准确度即可。均衡服务质量与隐私保护，进行隐私信息泄露风险管理，在App读取用户敏感数据时，决定是否拒绝此次调用。

本发明具有以下优点：对于授予权限后不会主动撤销的普通用户，本发明可以较好的保护其隐私信息，避免了任由App读取用户隐私信息的情况。本发明考虑收集隐私信息的完整度和准确度，并基于众包的方法量化权限撤销后对服务质量造成的损失。本发明通过评估用户隐私泄露的风险值，在服务质量与隐私保护中间做均衡分析，给出App的权限管理方案，为用户设置权限提供参考和依据。本发明记录App对权限的使用情况，这些信息本身反映了用户使用App的习惯，可视为一种隐私信息。本发明对这类隐私信息提供了保护机制。通过增量更新的方式，用户端定期将记录的用户信息统计为隐私泄露程度的值，然后删除记录的日志，以此保证记录用户行为的日志不会被其他应用读走。其次，用户端向服务器上传用户隐私泄露程度集合，这些值不会泄露用户的隐私信息。因此，本发明本身不会泄露用户的隐私信息。

附图说明

图1是一种基于隐私泄露评估的隐私信息保护方法流程图。

图2是一种基于隐私泄露评估的隐私信息保护系统流程图。

具体实施方式

为使本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图作详细说明如下。

本实施例公开一种基于隐私泄露评估的隐私信息保护方法，如图1所示流程，具体包括以下步骤：

步骤10：用户端构建完整的隐私泄露程度集合，具体如下：

步骤101：用户端记录App使用敏感权限集合中每个权限的历史信息。

敏感权限集合为运行时权限中与读操作相关的10条权限。将控制隐私信息读写的权限称为运行时权限，在App运行过程中让用户决定授予/撤销。运行时权限分为10个权限组，共26条权限，其中运行时权限中与读操作相关的权限共10条，包括读取位置信息、收发短信、读取手机状态、拨打电话、读取手机外部存储状态、读写联系人、使用摄像头、录音、打开/关闭WiFi、打开/关闭蓝牙。

历史信息包括权限被调用的时刻、调用时App运行状态、用户授予/撤销的次数等。

步骤102：根据上述历史信息计算服务商掌握用户隐私信息的完整度和准确度。

App对权限的历史使用情况通过服务商掌握用户隐私信息的完整度和准确度体现，智能终端(用户端)在没有部署任何隐私保护算法的情况下，默认准确度为1，只需计算隐私信息的完整度即可。

完整度G_i用于衡量权限P_i隐私泄露程度，与其管理的隐私信息的内容相关，其中G_i∈[0,1]。不同类型隐私信息变化的速度不同，例如，位置信息在连续变化，通讯录、通话记录、短信等信息在离散的变化，本机号码、IMEI码等一般不会变化。将权限所管理的隐私信息分为三类：固定型、离散型和连续型，对不同类型的隐私信息衡量泄露程度时方法不同。如果有其他衡量隐私信息泄露程度的方法，可以继续追加，而不需要修改方案的框架。

对于固定型信息，比较隐私信息与上次读取是否发生变化，具体计算方法如下：

对于离散型信息，计算当前信息量I_t与App服务商上次读取的信息量I_t-1发生变化的比例，具体计算方法如下：

对于连续型信息，将每天划分为T个时间段，统计使用过程中App在时间段t内调用的次数v_t，v_max为T个时间段内调用次数的最大值。具体计算方法如下：

准确度Pr是指服务商获取隐私信息r的正确程度。这里考虑了智能终端部署了隐私保护算法的情况，如构造假的电话号码、通讯录或短信，或利用k匿名算法构造k个等概率的位置信息等。举例来说，用户的真实隐私信息如：{r₁＝<N,137**>,r₂＝<C,100>,r₃＝<L,39.0,108.0>}，其中N表示电话号码，C表示通讯录中100位联系人的联系方式，L表示当前经纬度坐标。经过隐私保护算法保护后，服务商收集的错误信息可能是：{e₁＝<N,137**>,e₂＝<C,90,10>,e₃＝<L₁,39.5,108.5><L₂,38.5,107.5><L₃,39.0,108.0>}，其中服务商掌握了真实的电话号码N，通讯录C中90位联系人的错误联系方式和10位联系人的正确联系方式，以及当前可能处于L₁，L₂，L₃三个地理位置。这种情况下，必须将虚假的隐私信息排除在隐私泄露风险评估之外，因此需要衡量服务商获取隐私信息的准确度，具体计算方法如下：

如果∑_a∈rItem_a＝0，则定义Pr(r,e)＝0。如果智能终端未部署任何隐私保护算法，则∑_a∈(r∩e)Item_a＝∑_a∈rItem_a，即Pr(r,e)＝1。在上述的示例中，

即服务商掌握用户电话号码。

即服务商掌握10％的联系人。

即服务商有

的概率猜出真实位置。

步骤103：根据完整度和准确度，计算隐私泄露程度。

若智能终端(用户端)已部署隐私保护算法，使用调和平均数结合准确度和完整度的指标来衡量隐私泄露程度Leakage。用户u对APP_j使用权限P_i，其Leakage_uij的计算方法如下：

其中，

β表示准确度和完整度的权重系数，β＝1时，α＝0.5，即准确度和完整度有相同的权重，即：

若智能终端没有部署任何隐私保护算法，隐私信息泄露程度只与隐私信息的完整度相关，即隐私信息泄漏程度与完整度等值。

在Google Play Store中将应用分为C类，C＝{c₁,c₂,...}。假设智能终端中安装K个c类应用，第c类应用中权限P_i的隐私泄露程度

的计算方法如下：

其中，h_ik和Leakage^c _ik分别表示权限P_i在第k个应用中被修改的次数和权限在App_k中的使用情况。当记录的历史数据较少时，用户简单的使用都可能引起隐私泄露程度较大波动，随着使用时间增长，用户的隐私泄露程度将趋于稳定。随着收集用户数目的增加，收集用户隐私泄露程度也越准确。

步骤104：构建完整的隐私泄露程度集合。

完整的隐私泄露程度集合用于描述服务商掌握用户的隐私信息情况。在使用过程中，App的服务商收集了用户的隐私信息，例如位置、通讯录等信息，这些隐私信息通过权限来管理。某类应用某个权限对应一个相应的隐私泄露程度。完整的隐私泄露程度集合最终为C类应用所有权限对应的隐私泄露程度的集合。

步骤105：将完整的隐私泄露程度集合发送给服务器，供服务器计算撤销权限后的服务质量损失。

步骤20：服务器计算撤销权限后服务质量损失，具体如下：

步骤201：服务器从用户端收集用户完整的隐私泄露程度集合。

步骤202：初始化每个权限默认的服务质量损失值。

本方案需要收集众多用户完整的隐私泄露程度集合来计算撤销权限后服务质量损失，在最开始，为每个权限设置默认服务质量损失值。

步骤203：计算App撤销权限后造成的服务质量损失并更新。

服务器根据用户端完整的隐私泄露程度集合，计算撤销权限后的服务质量损失，供用户端使用。对App而言，权限撤销越多，隐私泄露的风险越低，其服务质量也越低。App的可用性与用户的主观认识相关，可以在用户对同类App的权限设置的趋势中体现。例如，若80％的用户对社交类App撤销了位置权限，则说明撤销后对该类服务质量损失不大；若没有用户对地图类App撤销位置权限，则说明撤销后对地图类App服务质量损失非常大。

假设用户在c类App中撤销权限P_i的概率为p，撤销权限P_i对某类App服务质量损失定义为：

其中，

为若干用户在c类应用对权限p_i的平均泄露程度，p的计算方法如下：

其中，服务质量损失与其被撤销的比例成反比。权限撤销的次数越少，则说明对App越重要，撤销后服务质量损失越大；权限撤销的次数越多，则说明撤销后服务质量损失越小。用户设置权限P_i的事件看作随机变量，并且相互独立。用户撤销权限的事件为1，授予权限的事件为0，以概率p撤销权限，随机变量服从伯努利分布。当样本空间较大时，伯努利分布可以近似为正态分布。在正态分布中，概率p约等于样本中撤销权限P_i的比例。因此，收集用户对权限P_i设置的样本，其撤销的比例是概率p的最大似然估计。

步骤204：将隐私信息的服务质量损失反馈给用户端，供用户端在计算隐私信息泄露风险时使用。

步骤30：用户端计算隐私信息泄露风险并决定是否拒绝此次操作，具体如下：

步骤301：从服务器读取某类应用撤销权限后的服务质量损失。

步骤302：根据App运行的上下文环境(如敏感权限的历史信息)，计算隐私信息泄露风险，并决定是否拒绝此次操作。其中隐私信息泄露风险通过投资回报率(ROI)体现。

首先根据App的运行环境，计算出乎用户意料的权限滥用程度unexp_i。将App在后台读取隐私信息的行为判定为出乎用户意料的越权行为。unexp_i表示App的UI界面没有出现在屏幕上时，调用权限P_i读取用户信息的比例。则unexp_i的计算方法如下：

其中，F_total为权限P_i总的使用次数，F为权限P_i在App驻留后台时被调用的次数。二者的比值体现出App是否经常在后台采集数据。为了避免unexp_i＝0，若App在后台没有被调用过，则令F＝1。

使用投资回报率(ROI)来决定是否要阻止某次隐私信息事件的发生。具体的计算方法如下：

其中，在App读取用户隐私前，对权限P_i隐私泄露程度为Leakage_before，泄漏事件发生后隐私泄露程度为Leakage_after。如果阻止该事件的发生，用户付出的代价是撤销权限后的服务质量损失loss_i，得到的隐私信息保护回报为return_i，即：

return_i＝Leakage_before-Leakage_after

设置投资回报率阈值ROI_max，当App读取用户隐私的事件发生时，ROI_i≥ROI_max，说明此次调用风险过大，应该采取阻止读取的措施，否则，允许App读取用户隐私信息。

图2所示为一种基于隐私泄露评估的隐私信息保护系统(PRDroid)，其分为两部分：用户端(PRDroid-Client)和服务器(PRDroid-Server)。用户端负责记录App使用权限的情况，根据完整度和准确度信息构建用户完整的隐私泄露程度集合，评估隐私泄露风险。服务器负责收集用户完整的隐私泄露程度集合，计算撤销权限后App服务质量的损失，并将结果分发给用户端。

用户端的工作流程如下：(1)记录App调用敏感权限使用信息，具体包括调用的时刻、调用时App的状态等，根据以上信息计算完整度和准确度信息，构建用户完整的隐私泄露程度集合，并将其和权限设置信息发送给服务器；(2)从服务器读取某类应用中撤销权限后带来的服务质量损失；(3)根据App运行的上下文环境，计算隐私信息泄露风险，在App读取用户敏感信息时，决定是否拒绝此次操作。

服务器的工作流程如下：(1)从用户端收集用户完整的隐私泄露程度集合；(2)计算撤销权限后的服务质量损失；(3)将计算后的服务质量损失发送给用户端。在系统刚开始执行时，没有收集到用户完整的隐私泄露程度集合，可以为每个权限设置默认的服务质量损失值。随着新用户增多和老用户隐私泄露程度集合越来越准确，服务器不断更新服务质量损失值到用户端。

以下以实际Android环境下手机中App调用位置权限为例，对本发明方法进行具体应用，步骤中计算所用公式见上文，不再重复列出，步骤具体如下：

步骤10：用户端构建完整的隐私泄露程度集合。

步骤101：安装于Android手机中的用户端记录各类型App使用敏感权限集合中每个权限的历史信息。

其中，Android手机上安装了微信、支付宝、百度地图、手机淘宝、京东、知乎等26个App。

步骤102：计算服务提商掌握用户隐私信息的完整度和准确度。

若智能终端已部署相应的隐私保护算法，根据其安装的App对权限的历史使用情况，计算信息接收方掌握用户隐私信息的完整度和准确度。若智能终端没有部署任何隐私保护算法，只需计算用户隐私信息的完整度。

本实例中假设Android手机已部署相应的隐私保护算法，因此需要计算完整度和准确度两个因素。以连续型的位置信息为例，将每天划分为24个时间段，其中调用次数的最大值为10，计算出完整度为0.8；准确度通过将虚假的隐私信息排除在隐私泄露风险评估之外实现。如经过隐私算法保护后，当前时刻掌握三个位置信息，其中一个为正确的位置信息，即信息接收方有1/3的概率猜出真实位置。

步骤103：根据完整度和准确度，计算隐私泄露程度。

若智能终端已部署相应的隐私保护算法，则使用准确度和完整度的调和平均数来衡量隐私信息泄露程度。若智能终端没有部署任何隐私保护算法，隐私信息泄露程度只与隐私信息的完整度相关。随着用户数目的增多和使用时间的增长，隐私泄露程度不会有较大波动，且越来越准确。

步骤104：构建完整的隐私泄露程度集合

某类应用某个权限对应一个相应的隐私泄露程度。某类应用的隐私泄露程度为该类应用对应所有权限隐私泄露程度的集合(如地图类APP的隐私泄露程度为该类App对应所有敏感权限的隐私泄露程度的集合)。在Google Play Store中将应用分为C类，完整的隐私泄露程度集合最终为C类应用所有敏感权限对应的隐私泄露程度的集合。本实例中Android智能手机共装有7类App，故完整的隐私泄露程度集合为7类App隐私泄露程度的集合。

步骤20：服务器计算撤销权限后服务质量损失。

步骤202：初始化每个权限默认的服务质量损失值。

本方案需要收集众多用户完整的隐私泄露程度集合来计算撤销权限后服务质量损失，在最开始，为每个权限设置默认服务质量损失。不同权限的服务质量损失默认值如下表所示：

权限	服务质量损失默认值
		位置信息	0.356
收发短信	0.212
		读取手机状态	0.202
拨打电话	0.087
		读取手机外部存储状态	0.030
读写联系人	0.469
		使用摄像头	0.4852
录音	0.435
		打开/关闭WiFi	0.190
打开/关闭蓝牙	0.160

步骤203：计算App撤销权限后造成的服务质量损失并更新。

服务器根据用户端完整的隐私泄露程度集合，计算撤销权限后的服务质量损失。假设用户在某类App中撤销权限P_i的概率为p，撤销权限P_i对某类App服务质量损失定义为：在同类App中权限P_i的平均泄露程度与(1-p)的乘积。

服务质量损失与其撤销的比例成反比，权限撤销的次数越少，则说明对App越重要，撤销后服务质量损失越大；权限撤销的次数越多，则说明撤销后服务质量影响越小。

步骤204：将隐私信息的服务质量损失反馈给用户端。

步骤30：用户端计算隐私信息泄露风险并决定是否拒绝此次操作。

步骤301：从服务器读取某类应用撤销权限后造成的服务质量损失。

步骤302：根据App运行的上下文环境，计算隐私信息泄露风险，并决定是否拒绝此次操作。

首先根据App的运行环境，计算出乎用户意料的滥用权限的程度。将App在后台读取隐私信息的行为判定为出乎用户意料的越权行为。然后使用投资回报率(ROI)与指定的阈值进行比较来决定是否要阻止某次隐私信息事件的发生。

实验过程中设置投资回报率的阈值ROI_max为0.2，本实例中，使用者经常在上下班阶段使用百度地图进行导航，百度地图撤销位置权限后服务质量损失为0.651。在上下班时间调用位置信息时，因为经常在这一时段读取位置信息，所以隐私泄露的程度较高，拒绝调用后得到的隐私保护回报较低，为0.006，计算后的投资回报率ROI＝0.112<ROI_max，比较后决定允许百度地图App读取位置信息。导航结束后百度地图App仍在后台读取位置信息，由于不在经常使用的时段。获取的位置次数较少，隐私泄露程度较低，则拒绝调用后得到的隐私保护的回报较高，为0.019，投资回报率ROI＝0.356>ROI_max，拒绝本次调用可以得到更多的隐私保护回报。

当知乎App调用位置信息时，当前读取位置信息服务质量损失为0.12，由于知乎App不常用位置信息，拒绝调用得到的投资回报率ROI＝0.34>ROI_max，拒绝本次调用可以得到更多的隐私保护回报，故拒绝知乎App读取位置信息。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种基于隐私泄露评估的隐私信息保护方法，包括以下步骤：

根据App调用敏感权限的历史信息，得到服务商掌握用户隐私信息的完整度和准确度；其中，若隐私信息为固定型，通过判断隐私信息相对于上次读取的隐私信息是否发生变化得到完整度；若隐私信息为离散型，通过当前信息量与App服务商上次读取的信息量得到完整度；若隐私信息为连续型，通过App当天某时间段内被调用次数与当天被调用总次数得到完整度；根据服务商读取的真实隐私信息条数相对于隐私信息总条数的比例得到准确度；

用户端从服务器读取App撤销权限后的服务质量损失，根据该服务质量损失、权限滥用程度以及隐私信息保护回报评估隐私信息泄露风险，根据风险大小决定是否拒绝被读取，实现隐私信息保护；根据该服务质量损失、权限滥用程度以及隐私信息保护回报评估隐私信息泄露风险，是指根据服务质量损失、权限滥用程度以及隐私信息保护回报计算投资回报率，利用投资回报率表征隐私信息泄露风险，其中隐私信息保护回报是根据读取用户隐私前后的隐私泄露程度计算得到。

2.如权利要求1所述的方法，其特征在于，运行时权限中与读操作相关的权限包括读取位置信息、收发短信、读取手机状态、拨打电话、读取手机外部存储状态、读写联系人、使用摄像头、录音、打开/关闭WiFi、打开/关闭蓝牙。

3.如权利要求1所述的方法，其特征在于，历史信息包括权限被调用的时刻、调用时App运行状态、用户授予/撤销的次数。

4.如权利要求1所述的方法，其特征在于，固定型隐私信息包括本机号码、IMEI码，离散型隐私信息包括通讯录、通话记录、短信，连续型隐私信息包括位置信息。

5.如权利要求1所述的方法，其特征在于，根据风险大小决定是否拒绝此次操作的方法为：设置投资回报率阈值，当App服务商读取用户隐私信息的事件发生时，如果投资回报率大于等于该阈值，则表明此次App调用风险过大，拒绝读取，否则允许读取。

6.一种基于隐私泄露评估的隐私信息保护系统，包括：

用户端，负责记录App调用敏感权限的历史信息，该敏感权限为运行时权限中与读操作相关的权限；根据该历史信息得到服务商掌握用户隐私信息的完整度和准确度；根据完整度和准确度计算隐私泄露程度，包括：若用户端已部署隐私保护算法，则通过计算完整度和准确度的调和平均数得到隐私泄露程度，否则隐私泄露程度等于完整度；根据隐私泄露程度构建完整的隐私泄露程度集合，并将该集合和权限设置信息发送给服务器；从服务器读取App撤销权限后的服务质量损失，根据服务质量损失、权限滥用程度以及隐私信息保护回报评估隐私信息泄露风险，根据风险大小决定是否拒绝敏感信息被读取，实现隐私信息保护；其中，若隐私信息为固定型，通过判断隐私信息相对于上次读取的隐私信息是否发生变化得到完整度；若隐私信息为离散型，通过当前信息量与App服务商上次读取的信息量得到完整度；若隐私信息为连续型，通过App当天某时间段内被调用次数与当天被调用总次数得到完整度；根据服务商读取的真实隐私信息条数相对于隐私信息总条数的比例得到准确度；根据服务质量损失、权限滥用程度以及隐私信息保护回报计算投资回报率，利用投资回报率表征隐私信息泄露风险，其中隐私信息保护回报是根据读取用户隐私前后的隐私泄露程度计算得到；