智能设备由于使用便利，功能丰富，已然成为了人们日常生活的一部分。随着用户对智能设备的依赖程度不断提高，其中保存的用户敏感数据也越来越多，使之成为了攻击者的新目标。Android作为当前最流行的智能设备操作系统，平台中恶意软件的泛滥为用户造成了隐私和财产的损失。如何保护Android系统和应用免于被恶意软件攻击，是当前智能设备安全领域的研究热点之一。　　一种解决应用安全问题的方式是根据可信程度对应用进行安全分组和隔离，以降低恶意应用带来的风险。传统的虚拟化隔离技术能够提供严格的应用隔离保护，却会极大的影响智能设备的性能。相比之下，另一种较为轻量化的方法是在Android中实现并利用强制访问控制隔离应用，同时对系统进行保护。该方法存在的挑战为:(1)实现涵盖Android各层特有通信方式的强制访问控制;(2)兼容现有的操作系统和三方应用;(3)安全隔离为系统带来的性能损失尽可能小。　　本文设计和实现了一种基于强制访问控制的应用隔离方案。该方案在Android现有安全机制的基础上进行扩展，针对Android中的各种访问方式实现内核层和框架层联动的完整强制访问控制。在此访问控制框架下，设计访问控制策略实现应用的安全分组和隔离。原型系统的测试表明，该方法对可信应用进行保护的同时能够对风险应用进行有效控制，并且对系统造成的性能损失极小。　　该方案创新点主要包括以下两个方面:(1)强制访问控制基于原生系统的安全组件轻量扩展实现，既保证兼容现有系统和应用，也降低了性能损失;(2)隔离由访问控制策略文件定义，能够在不修改系统的情况下灵活的更改隔离的具体细节。