一种应用程序安全性的变更方法和装置
技术领域
本发明涉及互联网技术,具体涉及一种应用程序安全性的变更方法,以及和一种应用程序安全性的变更装置。
背景技术
云是互联网,大致可以分为公有云安全系统和私有云安全系统。公有云安全系统通常指第三方供应商通过自己的基础设施,直接向外部用户提供服务能够使用的云安全系统,而私有云安全系统是放在私有环境中的。
私有云安全系统适用于全封闭式的企业内网环境,由多个终端和对终端进行管理的服务器构成,服务器可以对终端的应用程序的安全性进行鉴定,并将鉴定结果下发给终端,从而实现了对终端的安全管理。当私有云安全系统服务器通过离线查询工具或是直接连接公有云安全系统查询应用程序的安全性,当发现私有云安全系统鉴定的某个应用程序的安全性与私有云安全系统不同时,将生成对安全性进行鉴定的变更文件通知给终端,让终端使用新的安全性来管理应用程序。
终端可以向服务器请求变更文件,并由服务端从数据库中查询出变更,并按变更发生时间先后顺序依次向终端发送变更通知。
具体的实现中,若管理员发现终端的某个应用程序出现安全问题,可以直接在服务端对该应用程序的安全性进行修改,并生成相应的变更文件,但由于变更文件按变更发生时间先后顺序依次下发给终端,在积压了大量文件级别变更文件未下发给终端的情况下,无法尽快把管理员主动修改的变更发送到终端,终端也不能马上按照新的安全性管理该应用程序,从而会使终端存在安全风险。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的应用程序安全性的变更方法和相应的应用程序安全性的变更装置。
依据本发明的一个方面,提供了一种应用程序安全性的变更方法,包括:
第一特征服务端对特征终端的应用程序的安全性进行鉴定,并将鉴定的安全性下发给所述特征终端进行保存,所述第一特征服务端为所述特征终端通过内网可访问的服务端;
接收所述特征终端对多个变更文件的获取请求,所述变更文件用于对所述特征终端保存的某个应用程序的安全性进行修正;
按照所述获取请求提取多个变更文件,所述变更文件携带对应的文件处理级别;
将提取的多个变更文件按照对应的文件处理级别的不同进行分类,并按照分类将所述变更文件分别发送给所述特征终端,以供所述特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理。
可选地,所述按照分类将变更文件分别发送给特征终端的步骤包括:
将具备不同文件处理级别的变更文件分别通过不同的传输路径发送给所述特征终端。
可选地,所述将具备不同文件处理级别的变更文件分别通过不同的传输路径发送给特征终端的步骤包括:
将具备不同文件处理级别的变更文件分别通过第一特征服务端不同的预设端口或通信信道发送给所述特征终端;
或,将具备不同文件处理级别的变更文件分别通过所述特征终端不同的预设接口发送给所述特征终端;
或,将具备不同文件处理级别的变更文件分别发送到所述特征终端的不同的预置文件夹中。
可选地,所述按照分类将变更文件分别发送给特征终端的步骤包括:
将提取的多个变更文件按照对应的文件处理级别进行排序,并按照排序逐个提取所述变更文件发送给所述特征终端。
可选地,所述方法还包括:
所述第一特征服务端生成所述变更文件,所述文件处理级别包括第一文件处理级别和第二文件处理级别。
可选地,所述第一文件处理级别高于所述第二文件处理级别,所述变更文件携带第一处理级别时,所述第一特征服务端生成变更文件的步骤包括:
接收在第一特征服务端提交的针对所述应用程序修正的安全性,并按照修正的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第一文件处理级别。
可选地,所述第一文件处理级别高于所述第二文件处理级别,所述变更文件携带第二处理级别时,所述第一特征服务端生成变更文件的步骤包括:
所述第一特征服务端请求第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端;
按照所述第二特征服务端鉴定的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第二文件处理级别。
可选地,所述变更文件携带第二处理级别时,所述第一特征服务端生成变更文件的步骤包括:
所述第一特征服务端通过所述特征终端连接所述第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端;
按照所述第二特征服务端鉴定的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第二文件处理级别。
可选地,所述特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理的步骤包括:
所述特征终端针对不同文件处理级别的变更文件分别创建相应的进程或分别采用不同的线程进行处理。
可选地,当所述特征终端创建不同的线程分别处理具备不同文件处理级别的变更文件时,文件处理级别高的变更文件对应的线程的处理速度高于文件处理级别低的变更文件对应的线程。
可选地,所述获取请求是根据所述特征终端已存在的变更文件生成的,所述按照获取请求提取多个变更文件的步骤包括:
按照所述获取请求提取生成时间在所述特征终端已存在的变更文件的生成时间之后的变更文件。
可选地,所述获取请求携带时间信息,所述时间信息用于标志最近的变更文件的生成时间,所述最近的变更文件为所述特征终端已存在的变更文件中生成时间距离当前时间最近的变更文件;
所述按照获取请求提取生成时间在特征终端已存在的变更文件的生成时间之后的变更文件的步骤包括:
提取生成时间在所述获取请求携带的时间信息所标志的生成时间之后的变更文件。
可选地,所述获取请求携带时间信息,所述时间信息用于标志所述特征终端不存在且所述第一特征服务端存在的某个变更文件的生成时间,所述时间信息通过向所述第一服务端请求的变更文件清单与所述特征终端本地的变更文件进行对比得到;
所述按照获取请求提取生成时间在特征终端已存在的变更文件的生成时间之后的变更文件的步骤包括:
提取生成时间为所述获取请求携带的时间信息所标志的生成时间,以及生成时间在所述获取请求携带的时间信息所标志的生成时间之后的变更文件。
可选地,所述获取请求携带时间信息,所述时间信息用于标志所述特征终端不存在且所述第一特征服务端存在的至少一个变更文件的生成时间,所述时间信息通过对比向所述第一特征服务端请求的变更文件清单与所述特征终端本地的变更文件得到;
所述按照获取请求提取生成时间在特征终端已存在的变更文件的生成时间之后的变更文件的步骤包括:
提取生成时间为所述获取请求携带的时间信息所标志的生成时间的变更文件。
可选地,所述应用程序的安全性包括正常、禁用和未知三种级别。
依据本发明的另一个方面,提供了一种应用程序安全性的变更装置,包括:
安全鉴定模块,用于第一特征服务端对特征终端的应用程序的安全性进行鉴定,并将鉴定的安全性下发给所述特征终端进行保存,所述第一特征服务端为所述特征终端通过内网可访问的服务端;
变更获取请求,用于接收所述特征终端对多个变更文件的获取请求,所述变更文件用于对所述特征终端保存的某个应用程序的安全性进行修正;
文件提取模块,用于按照所述获取请求提取多个变更文件,所述变更文件携带对应的文件处理级别;
文件分类模块,用于将提取的多个变更文件按照对应的文件处理级别的不同进行分类;
文件发送模块,用于按照分类将所述变更文件分别发送给所述特征终端,以供所述特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理。
可选地,所述文件发送模块,具体用于将具备不同文件处理级别的变更文件分别通过不同的传输路径发送给所述特征终端。
可选地,所述文件发送模块包括:
第一发送子模块,用于将具备不同文件处理级别的变更文件分别通过第一特征服务端不同的预设端口或通信信道发送给所述特征终端;
或,第二发送子模块,用于将具备不同文件处理级别的变更文件分别通过所述特征终端不同的预设接口发送给所述特征终端;
或,第三发送子模块,用于将具备不同文件处理级别的变更文件分别发送到所述特征终端的不同的预置文件夹中。
可选地,所述文件发送模块,具体用于将提取的多个变更文件按照对应的文件处理级别进行排序,并按照排序逐个提取所述变更文件发送给所述特征终端。
可选地,所述装置还包括:
变更文件生成模块,用于所述第一特征服务端生成所述变更文件,所述文件处理级别包括第一文件处理级别和第二文件处理级别。
可选地,所述第一文件处理级别高于所述第二文件处理级别,所述变更文件携带第一处理级别时,所述变更文件生成模块包括:
安全性接收模块,用于接收在第一特征服务端提交的针对所述应用程序修正的安全性;
第一文件生成子模块,用于按照修正的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第一文件处理级别。
可选地,所述第一文件处理级别高于所述第二文件处理级别,所述变更文件携带第二处理级别时,所述变更文件生成模块包括:
第一鉴定请求子模块,用于所述第一特征服务端请求第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端;
第二文件生成子模块,用于按照所述第二特征服务端鉴定的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第二文件处理级别。
可选地,所述变更文件携带第二处理级别时,所述变更文件生成模块包括:
第二鉴定请求子模块,用于所述第一特征服务端通过所述特征终端连接所述第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端;
第三文件生成子模块,用于按照所述第二特征服务端鉴定的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第二文件处理级别。
可选地,所述文件发送模块,具体用于按照分类将所述变更文件分别发送给所述特征终端,以供所述特征终端针对不同文件处理级别的变更文件分别创建相应的进程或分别采用不同的线程进行处理。
可选地,当所述特征终端创建不同的线程分别处理具备不同文件处理级别的变更文件时,文件处理级别高的变更文件对应的线程的处理速度高于文件处理级别低的变更文件对应的线程。
可选地,所述文件提取模块,具体用于按照所述获取请求提取生成时间在所述特征终端已存在的变更文件的生成时间之后的变更文件。
可选地,所述获取请求携带时间信息,所述时间信息用于标志最近的变更文件的生成时间,所述最近的变更文件为所述特征终端已存在的变更文件中生成时间距离当前时间最近的变更文件;
所述文件提取模块包括:
第一提取子模块,用于提取生成时间在所述获取请求携带的时间信息所标志的生成时间之后的变更文件。
可选地,所述获取请求携带时间信息,所述时间信息用于标志所述特征终端不存在且所述第一特征服务端存在的某个变更文件的生成时间,所述时间信息通过向所述第一服务端请求的变更文件清单与所述特征终端本地的变更文件进行对比得到;
所述文件提取模块包括:
第二提取子模块,用于提取生成时间为所述获取请求携带的时间信息所标志的生成时间,以及生成时间在所述获取请求携带的时间信息所标志的生成时间之后的变更文件。
可选地,所述获取请求携带时间信息,所述时间信息用于标志所述特征终端不存在且所述第一特征服务端存在的至少一个变更文件的生成时间,所述时间信息通过对比向所述第一特征服务端请求的变更文件清单与所述特征终端本地的变更文件得到;
所述文件提取模块包括:
第三提取子模块,用于提取生成时间为所述获取请求携带的时间信息所标志的生成时间的变更文件。
可选地,所述应用程序的安全性包括正常、禁用和未知三种级别。
依据本发明实施例,第一特征服务端将特征终端请求的变更文件按照对应的文件处理级别进行分类后,按分类分别将变更文件发送给特征终端,由特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理,依据本发明实施例,可以将文件处理级别高的变更文件与文件处理级别低的变更文件按照文件处理级别分别发送,并针对不同文件处理级别的文件采用不同的处理方式分别处理,从而可以在积压大量变更文件的情况下,可以避免处理级别较低的变更文件影响处理级别较高的变更文件的发送,避免处理级别较高的变更文件未能及时发送到终端给终端造成的安全风险,使文件安全性变更的过程变得有效、快速、可靠。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的应用程序安全性的变更方法流程图;
图2示出了根据本发明另一个实施例的应用程序安全性的变更方法流程图;
图3示出了根据本发明一个实施例的应用程序安全性的变更装置结构框图;
图4示出了根据本发明另一个实施例的应用程序安全性的变更装置结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
参考图1,示出了根据本发明一个实施例的应用程序安全性的变更方法流程图,具体可以包括:
步骤101、第一特征服务端对特征终端的应用程序的安全性进行鉴定,并将鉴定的安全性下发给所述特征终端进行保存,所述第一特征服务端为所述特征终端通过内网可访问的服务端。
本发明实施例中,第一特征服务端为特定终端可访问的服务端,即私有云安全系统,可访问私有云安全系统的特征终端和私有云安全系统服务器处于同一个内网,在具体的实现中,私有云安全系统大多架设在企业内网中,可以对企业内网的各个终端进行管理。
特征终端可以在下载、安装、启动或保存应用程序时向第一特征服务端请求对应用程序的安全性进行鉴定。具体的实现中,在请求鉴定时,可以将应用程序的特征标识发送给第一特征服务端,第一特征服务端保存有应用程序的特征标识与安全性的对应关系,根据特征标识确定应用程序的安全性后,可以将安全性下发给特征终端。特征标识可以为所述应用程序的可执行文件的哈希值,也可以为唯一标识所述应用程序的发布者的数字证书信息。
在具体的实现中,所述应用程序的安全性包括正常、禁用和未知三种级别,也可以按照具体的需求进行设置,本发明对此并不做限制。
步骤102、接收所述特征终端对多个变更文件的获取请求,所述变更文件用于对所述特征终端保存的某个应用程序的安全性进行修正。
私有云安全系统中经常会存在文件安全性变更的情况,可以将对某个应用程序安全性的变更记录在变更文件中,根据变更文件对应用程序的安全性,变更文件保存在特征服务端,特征终端可以向特征服务端请求变更文件,以获得应用程序安全性发生的变化,让终端使用新的文件安全性来实现终端安全的管理。
步骤103、按照所述获取请求提取多个变更文件,所述变更文件携带对应的文件处理级别。
根据终端对变更文件的获取请求可以进一步提取请求的变更文件,例如,可以请求某个应用程序对应的变更文件或是请求某个时间段生成的变更文件。本发明实施例中,针对应用程序的变更文件分别设置了文件处理级别,在具体的实现中,可以按照具体的应用需求设置文件处理级别,例如,根据变更文件的来源的不同进行文件处理级别的设置,也可以根据变更文件对应的程序类型的不同进行文件处理级别的设置。
根据变更文件的来源的不同进行文件处理级别的设置时,针对管理员主动修改的变更和其他来源的变更分别设置不同的文件处理级别,可以分为第一文件处理级别和第二文件处理级别,或分为高级文件处理级别和低级文件处理级别等。
步骤104、将提取的多个变更文件按照对应的文件处理级别的不同进行分类,并按照分类将所述变更文件分别发送给所述特征终端,以供所述特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理。
根据变更文件可以按照文件处理级别的不同进行分类,将具备相同文件处理级别的变更文件归于一类,并按照分类分别发送给特征终端,特征终端接收到按分类分别发送的变更文件后,针对不同类也即是不同文件处理级别的变更文件按照不同的处理方式进行处理。因此,依据本发明实施例,可以将文件处理级别高的变更文件与文件处理级别低的变更文件分开发送、分别处理,从而可以在积压大量变更文件的情况下,将处理级别较高的变更文件与处理级别较高的变更文件分开发送,避免处理级别较高的变更文件未能及时发送到终端给终端造成的安全风险,并且可以使文件安全性变更的过程变得有效、快速、可靠。
在本发明的一种优选实施例中,所述按照分类将变更文件分别发送给特征终端的步骤可以包括:
子步骤S11、将具备不同文件处理级别的变更文件分别通过不同的传输路径发送给所述特征终端。
将具备不同文件处理级别的变更文件发送给特征终端时,可以分别通过不同的传输路径发送,特征终端可以通过不同的传输路径接收到具备不同文件处理级别的变更文件,从而使文件处理级别不同的变更文件在传输到终端的过程中不会互相干扰,避免处理级别较高的变更文件未能及时发送到终端给终端造成的安全风险,使文件安全性变更的过程变得有效、快速、可靠。
进一步,所述子步骤S11可以包括:
子步骤S11-1、将具备不同文件处理级别的变更文件分别通过第一特征服务端不同的预设端口或通信信道发送给所述特征终端;
或,子步骤S11-2、将具备不同文件处理级别的变更文件分别通过所述特征终端不同的预设接口发送给所述特征终端;
或,子步骤S11-3、将具备不同文件处理级别的变更文件分别发送到所述特征终端的不同的预置文件夹中。
本发明实施例中,通过不同的传输路径对具备不同文件处理级别的变更文件进行传输,可以是通过服务端不同的预设端口发送给特征终端,服务器不同的预设端口与特征终端之间形成不同的数据传输路径。在这种情况下,终端与服务端按照原本的协议(例如HTTP-Hypertext Transfer Protoco,HTTP超文本转移协议)下发其中一种文件处理级别的变更文件,并增加新的变更文件通知协议分别用于下发其他文件处理级别的变更文件,协议格式可以与原格式一致。例如,文件处理级别包括高文件处理级别和低文件处理级别,高文件处理级别的变更通知会通过新的通知协议下发,低文件处理级别的变更通知会通过原来的通知协议下发。
本发明实施例中,也可以通过不同的通信信道发送给特征终端,服务器链路层与特征终端链路层之间构建多个通信信道,分别用于传输具备不同文件处理级别的变更文件;也可以是服务端通过特征终端不同的预设接口发送给特征终端,特征终端具备多个不同的预设接口,不同的预设接口与服务端形成不同的数据传输路径;也可以在特征终端预置不同的文件夹,分别用于存储具备不同文件处理级别的变更文件,每个文件夹与服务器之间形成不同的数据传输路径。
在本发明的另一种优选实施例中,所述按照分类将变更文件分别发送给特征终端的步骤可以包括:
子步骤S21、将提取的多个变更文件按照对应的文件处理级别进行排序,并按照排序逐个提取所述变更文件发送给所述特征终端。
在另一种优选的实施例中,按照分类发送变更文件时,为将处理级别较高的变更文件及时发送到终端,可以将文件处理级别高的变更文件优先发送给特征终端,具体而言,将变更文件按照对应的文件处理级别的高低进行排序,可以将排序靠前的也即是文件处理级别较高的变更文件优先发送给特征终端,可以避免处理级别较高的变更文件未能及时发送到终端给终端造成的安全风险,使文件安全性变更的过程变得有效、快速、可靠。
本发明实施例中,所述特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理的步骤包括:
子步骤S31、所述特征终端针对不同文件处理级别的变更文件分别创建相应的进程或分别采用不同的线程进行处理。
本发明实施例中,特征终端可以建立多条线程分别处理不同文件处理级别的变更文件,也可以针对不同文件处理级别的变更文件采用不同的线程进行处理,从而使不同文件处理级别的变更文件的处理互相不干扰。
优选地,当所述特征终端创建不同的线程分别处理具备不同文件处理级别的变更文件时,文件处理级别高的变更文件对应的线程的处理速度高于文件处理级别低的变更文件对应的线程,从而可以更快地处理高文件处理级别的变更文件。
本发明实施例中,所述获取请求是根据所述特征终端已存在的变更文件生成的,所述步骤103可以进一步包括:
子步骤S41、按照所述获取请求提取生成时间在所述特征终端已存在的变更文件的生成时间之后的变更文件。
第一特征服务端接收到获取请求后,按照获取请求返回变更文件,在具体的实现中,终端可能已经存在部分变更文件,根据获取请求返回的变更文件为生成时间是在所述终端已存在的变更文件的生成时间之后的变更文件,即生成时间更新的变更文件,换而言之,终端接收到的是本地不存在的变更文件,这种以增量的方式返回变更文件,可以避免终端会多次请求同一个变更文件,不会导致数据的重复下载,避免造成升级服务器带宽的浪费。
在本发明的一种优选示例中,所述获取请求携带时间信息,所述时间信息用于标志最近的变更文件的生成时间,所述最近的变更文件为所述特征终端已存在的变更文件中生成时间距离当前时间最近的变更文件;
所述子步骤S41包括:
子步骤S41-1、提取生成时间在所述获取请求携带的时间信息所标志的生成时间之后的变更文件。
本实施例中,根据特征终端已经存在的变更文件生成获取请求的过程中,对所述获取请求添加时间信息,时间信息用于标志最近的变更文件的生成时间,本发明实施例所述的最近的变更文件是所述终端已存在的变更文件中,生成时间距离当前时间最近的变更文件,例如,终端已有95个变更文件,可以根据变更文件所携带的信息标识,查找生成时间为最近的变更文件,根据该变更文件的生成时间得到一个时间信息发送给第一特征服务端。
本实施例中,所述时间信息可以为所述第一特征服务端按照各变更文件的生成时间先后顺序确定的所述变更文件的编号,也可以为所述变更文件在所述第一特征服务端的生成时间,或依据所述最近的变更文件的生成时间生成的其他信息。
本实施例中,优选地,第一特征服务端的变更文件携带信息标识,信息标识可以为第一特征服务端按照各变更文件的生成时间先后顺序确定的所述变更文件的编号,也可以为所述变更文件在第一特征服务端的生成时间。
当信息标识为第一特征服务端按照各变更文件的生成时间先后顺序确定的所述变更文件的编号时,可以将信息标识直接作为时间信息;当所述信息标识为所述变更文件在第一特征服务端的生成时间,可以将信息标识直接作为时间信息,或将依据所述最近的变更文件的生成时间生成的其他信息作为时间信息。
例如,信息标识为按照各变更文件的生成时间先后顺序确定的所述变更文件的编号时,如1、2、3…95,则最近的变更文件为信息标识为95的变更文件,可以将信息标识95作为时间信息发送到第一特征服务端,以供第一特征服务端按照最近的信息标识返回变更文件;当信息标识为第一特征服务端生成所述变更文件的时间时,可以提取时间距现在最近的变更文件的信息标识2013-11-12-11:14作为时间信息,也可以将依据所述最近的变更文件的生成时间生成的其他信息作为时间信息,例如提取生成时间12位的数字组合201311121114,发送到第一特征服务端。
在本发明的另一种优选示例中,所述获取请求携带时间信息,所述时间信息用于标志所述特征终端不存在且所述第一特征服务端存在的某个变更文件的生成时间,所述时间信息通过向第一特征服务端请求的变更文件清单与所述特征终端本地的变更文件进行对比得到;
所述子步骤S41包括:
子步骤S41-2、提取生成时间为所述获取请求携带的时间信息所标志的生成时间,以及生成时间在所述获取请求携带的时间信息所标志的生成时间之后的变更文件。
不同于上个示例,本示例中,特征终端在请求变更文件之前,还可以先向第一特征服务端请求其所存在且第一特征服务端存在的变更文件清单,变更文件清单中可以包括第一特征服务端存在的全部变更文件或指定时间以后的全部变更文件的生成时间。根据变更文件清单上存在的各个变更文件生成时间与终端存在的各个变更文件的生成时间进行对比,可以获知终端所不存在的变更文件有哪些。根据对比的结果,根据终端不存在的变更文件的生成时间信息。其中,指定时间可以是终端上次获取变更文件的时间,可以按照具体的应用需求设定。
例如,信息标识为编号时,终端存在95个变更文件,第一特征服务端存在100个变更文件,变更文件清单上包括100个变更文件的生成时间或终端上次获取变更文件的时间之后的全部变更文件的生成时间,则终端将变更文件清单与终端存在的变更文件的生成时间进行对比后,不存在的变更文件为信息标识为96~100这五个变更文件,时间信息可以标识这五个变更文件中某个变更文件的生成时间。
第一特征服务端接收到标志终端不存在的某个变更文件的生成时间的时间信息后,可以将生成时间为获取请求携带的时间信息所标志的生成时间,以及生成时间在获取请求携带的时间信息所标志的生成时间之后的变更文件,返回给所述终端,换而言之,即将该终端不存在的变更文件,以及生成时间在该变更文件之后的其他变更文件返回给终端,返回的个数可以提前设置,本发明对此并不做限制。
在本发明的另一种优选示例中,所述获取请求携带时间信息,所述时间信息用于标志所述特征终端不存在且所述第一特征服务端存在的至少一个变更文件的生成时间,所述时间信息通过对比向所述第一特征服务端请求的变更文件清单与所述特征终端本地的变更文件得到;
所述子步骤S41包括:
子步骤S41-3、提取生成时间为所述获取请求携带的时间信息所标志的生成时间的变更文件。
不同于上个示例,本示例中,时间信息标志所述终端不存在的至少一个变更文件的生成时间。例如,信息标识为编号时,终端存在95个变更文件,第一特征服务端存在100个变更文件,则终端不存在的变更文件为信息标识为96~100这五个变更文件,时间信息可以标识这五个变更文件中一个或多个变更文件的生成时间。
第一特征服务端接收到标志终端不存在的至少一个变更文件的生成时间的时间信息后,可以将生成时间为获取请求携带的时间信息所标志的生成时间的变更文件,返回给所述终端,换而言之,即将时间信息中所标志的终端不存在的变更文件返回给终端。
在具体的实现中,所述获取请求还可以携带请求获取的变更文件的个数,第一特征服务端在查找到的变更文件中,提取个数小于或等于请求获取的变更文件的个数的至少一个变更文件,返回给所述终端。
当获取请求携带请求获取的变更文件的个数时,可以按照请求的个数返回变更文件,由于每次下载的文件仅仅包含需要的文件且没有重复下载,避免下载数据量较大的问题,对升级服务器的带宽造成很大的压力的问题。
依据本发明实施例,第一特征服务端将特征终端请求的变更文件按照对应的文件处理级别进行分类后,按分类分别将变更文件发送给特征终端,由特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理,依据本发明实施例,可以将文件处理级别高的变更文件与文件处理级别低的变更文件按照文件处理级别分别发送,并针对不同文件处理级别的文件采用不同的处理方式分别处理,从而可以在积压大量变更文件的情况下,可以避免处理级别较低的变更文件影响处理级别较高的变更文件的发送,避免处理级别较高的变更文件未能及时发送到终端给终端造成的安全风险,使文件安全性变更的过程变得有效、快速、可靠。
参考图2,示出了根据本发明另一个实施例的应用程序安全性的变更方法流程图,具体可以包括:
步骤201、第一特征服务端对特征终端的应用程序的安全性进行鉴定,并将鉴定的安全性下发给所述特征终端进行保存,所述第一特征服务端为所述特征终端通过内网可访问的服务端。
步骤202、所述第一特征服务端生成所述变更文件,并根据变更来源对所述变更文件添加文件处理级别,所述变更文件用于对所述特征终端保存的某个应用程序的安全性进行修正,所述文件处理级别包括第一文件处理级别和第二文件处理级别。
依据背景技术,由于文件安全性的变更主要有两个来源,一是由私有云安全系统的管理员直接把某应用程序的安全性进行修改而导致的文件安全性变更,二是通过离线查询工具导入或者文件代理查询引起的文件安全性变更。本发明实施例中,根据变更的来源将文件处理级别分为两种,分别为第一文件处理级别和第二文件处理级别,第一文件处理级别对应的文件来源可以是管理员在服务器端主动做出的变更,第二文件处理级别对应的文件来源可以是通过离线或在线方式在公有云安全系统查询安全性后作出的变更,并且所述第一文件处理级别高于所述第二文件处理级别。
具体而言,所述变更文件携带第一处理级别时,所述步骤202可以包括:
子步骤S51、接收在第一特征服务端提交的针对所述应用程序修正的安全性,并按照修正的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第一文件处理级别。
本发明实施例中,可以在第一特征服务端对应用程序的安全性进行修正,服务端接收到修正的安全性后,根据修正后的安全性生成变更文件以对该应用程序的安全性进行变更,并且,由于该变更来源是服务器端提交的变更,因此,针对生成的变更文件可以添加第一文件处理级别。
所述第一文件处理级别高于所述第二文件处理级别,所述变更文件携带第二处理级别时,所述步骤202包括:
子步骤S52、所述第一特征服务端请求第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端;
子步骤S53、按照所述第二特征服务端鉴定的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第二文件处理级别。
特征终端向第一特征服务端请求对应用程序的安全性进行鉴定后,当鉴定结果为未知安全性时,第一特征服务端可以进一步请求第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端,即公有云安全系统。例如,刚进入私有云安全系统部署初期的情况下,特征终端大量的上报文件到第一特征服务端,第一特征服务端会积累了大量的文件级别为未知的文件,当可以连接第二特征服务端时,可以进一步请求第二特征服务端对该应用程序进行安全性鉴定。由于第一特征服务端的鉴定结果为未知安全性,根据第二特征服务端鉴定的安全性可以生成对应用程序安全性进行修正的变更文件,由于该变更来源为文件代理查询引起的文件安全性变更,因此,可以针对该变更文件添加第二文件处理级别。
所述第一文件处理级别高于所述第二文件处理级别,所述变更文件携带第二处理级别时,所述步骤202包括:
子步骤S54、所述第一特征服务端通过所述特征终端连接所述第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端;
子步骤S55、按照所述第二特征服务端鉴定的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第二文件处理级别。
第一特征服务端无法连接互联网时,可以通过离线的方式在第二特征服务端查询应用程序的安全性,例如,在隔离网环境下,刚进入私有云安全系统部署初期的情况下,特征终端大量的上报文件到服务端,第一特征服务端会积累了大量的文件级别为未知的文件,可以通过离线查询工具把未知安全性的应用程序列表导出,然后到能连入互联网的特征终端上,由特征终端做文件云安全系统查询,即由特征终端通过连接互联网请求第二特征服务端对该应用程序的安全性进行鉴定,然后把查询结果通过离线查询工具导入到私有云安全系统的第一特征服务端。由于该变更来源为离线查询工具导入引起的文件安全性变更,因此,可以针对该变更文件添加第二文件处理级别。
私有云安全系统管理员对应用程序进行管理时,若发现某个文件的安全性被错误标志,例如安全性错误标志成正常或者禁用了,就会通过私有云安全系统的文件管理界面修改该文件的安全性,管理员直接把某文件的安全性进行修改而导致的文件安全性变更,在很多情况下是因为原本设定的文件安全性是不正确的,安全问题已经出现,因此,该变更是管理员已经碰到安全问题而实施的管理措施,换而言之,管理员调整的安全策略是优先级相比较离线查询工具导入或者文件代理查询引起的文件安全性变更的重要程序或紧急程序更高,这些文件安全性变更,需要快速、可靠地通知到终端,才能帮助企业用户降低安全风险。
而按照背景技术的方式,按变更发生时间先后顺序依次向终端发送变更通知的话,无法对更为重要的变更进行及时处理,在积压了大量文件级别变更通知未下发给终端的情况下,终端也不能马上执行管理员调整的文件安全性变更,因此存在安全风险。
依据本发明实施例,可以针对不同来源的变更设置相应的文件处理级别,如上所述,通过管理员在第一服务端直接对应用程序的安全性进行修改而导致的文件安全性变更对应设置第一文件处理级别,通过离线查询工具导入或者文件代理查询引起的文件安全性变更对应第二文件处理级别,从而将不同来源的变更文件分别发送给终端,避免第二文件处理级别的变更文件影响第一文件处理级别的变更文件的发送。
当采用将提取的多个变更文件按照对应的文件处理级别进行排序,并按照排序逐个提取变更文件发送给特征终端的方式时,由于第一文件处理级别高于第二文件处理级别,因此,可以优先将第一文件处理级别的变更文件发送到终端,优先处理管理员对应用程序的变更。
在具体的实现中,可以创建两个不同的进程或分别采用两个不同的线程处理两种级别的变更文件,当采用两个线程进行处理时,第一文件处理级别对应的线程的处理速度可以高于所述第二文件处理级别对应的线程,从而可以更快地下发管理员在第一服务端作出的变更,及时地把某文件的安全性改为禁用或者放行。
步骤203、接收所述特征终端对多个变更文件的获取请求。
步骤204、按照所述获取请求提取多个变更文件,所述变更文件携带对应的文件处理级别。
步骤205、将提取的多个变更文件按照对应的文件处理级别的不同进行分类,并按照分类将所述变更文件分别发送给所述特征终端,以供所述特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理。
依据本发明实施例,第一特征服务端将特征终端请求的变更文件按照对应的文件处理级别进行分类后,按分类分别将变更文件发送给特征终端,由特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理,依据本发明实施例,可以将文件处理级别高的变更文件与文件处理级别低的变更文件按照文件处理级别分别发送,并针对不同文件处理级别的文件采用不同的处理方式分别处理,从而可以在积压大量变更文件的情况下,可以避免处理级别较低的变更文件影响处理级别较高的变更文件的发送,避免处理级别较高的变更文件未能及时发送到终端给终端造成的安全风险,使文件安全性变更的过程变得有效、快速、可靠。
需要说明的是,对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明所必需的。
参考图3,示出了根据本发明一个实施例的应用程序安全性的变更装置结构框图,具体可以包括:
安全鉴定模块301,用于第一特征服务端对特征终端的应用程序的安全性进行鉴定,并将鉴定的安全性下发给所述特征终端进行保存,所述第一特征服务端为所述特征终端通过内网可访问的服务端;
变更获取请求302,用于接收所述特征终端对多个变更文件的获取请求,所述变更文件用于对所述特征终端保存的某个应用程序的安全性进行修正;
文件提取模块303,用于按照所述获取请求提取多个变更文件,所述变更文件携带对应的文件处理级别;
文件分类模块304,用于将提取的多个变更文件按照对应的文件处理级别的不同进行分类;
文件发送模块305,用于按照分类将所述变更文件分别发送给所述特征终端,以供所述特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理。
本发明实施例中,优选地,所述文件发送模块,具体用于将具备不同文件处理级别的变更文件分别通过不同的传输路径发送给所述特征终端。
本发明实施例中,优选地,所述文件发送模块包括:
第一发送子模块,用于将具备不同文件处理级别的变更文件分别通过第一特征服务端不同的预设端口或通信信道发送给所述特征终端;
或,第二发送子模块,用于将具备不同文件处理级别的变更文件分别通过所述特征终端不同的预设接口发送给所述特征终端;
或,第三发送子模块,用于将具备不同文件处理级别的变更文件分别发送到所述特征终端的不同的预置文件夹中。
本发明实施例中,优选地,所述文件发送模块,具体用于将提取的多个变更文件按照对应的文件处理级别进行排序,并按照排序逐个提取所述变更文件发送给所述特征终端。
本发明实施例中,优选地,所述文件提取模块,具体用于按照所述获取请求提取生成时间在所述特征终端已存在的变更文件的生成时间之后的变更文件。
本发明实施例中,优选地,所述获取请求携带时间信息,所述时间信息用于标志最近的变更文件的生成时间,所述最近的变更文件为所述特征终端已存在的变更文件中生成时间距离当前时间最近的变更文件;
所述文件提取模块包括:
第一提取子模块,用于提取生成时间在所述获取请求携带的时间信息所标志的生成时间之后的变更文件。
本发明实施例中,优选地,所述获取请求携带时间信息,所述时间信息用于标志所述特征终端不存在且所述第一特征服务端存在的某个变更文件的生成时间,所述时间信息通过向所述第一服务端请求的变更文件清单与所述特征终端本地的变更文件进行对比得到;
所述文件提取模块包括:
第二提取子模块,用于提取生成时间为所述获取请求携带的时间信息所标志的生成时间,以及生成时间在所述获取请求携带的时间信息所标志的生成时间之后的变更文件。
本发明实施例中,优选地,所述获取请求携带时间信息,所述时间信息用于标志所述特征终端不存在且所述第一特征服务端存在的至少一个变更文件的生成时间,所述时间信息通过对比向所述第一特征服务端请求的变更文件清单与所述特征终端本地的变更文件得到;
所述文件提取模块包括:
第三提取子模块,用于提取生成时间为所述获取请求携带的时间信息所标志的生成时间的变更文件。
本发明实施例中,优选地,所述应用程序的安全性包括正常、禁用和未知三种级别。
依据本发明实施例,第一特征服务端将特征终端请求的变更文件按照对应的文件处理级别进行分类后,按分类分别将变更文件发送给特征终端,由特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理,依据本发明实施例,可以将文件处理级别高的变更文件与文件处理级别低的变更文件按照文件处理级别分别发送,并针对不同文件处理级别的文件采用不同的处理方式分别处理,从而可以在积压大量变更文件的情况下,可以避免处理级别较低的变更文件影响处理级别较高的变更文件的发送,避免处理级别较高的变更文件未能及时发送到终端给终端造成的安全风险,使文件安全性变更的过程变得有效、快速、可靠。
参考图4,示出了根据本发明一个实施例的应用程序安全性的变更装置结构框图,具体可以包括:
安全鉴定模块401,用于第一特征服务端对特征终端的应用程序的安全性进行鉴定,并将鉴定的安全性下发给所述特征终端进行保存,所述第一特征服务端为所述特征终端通过内网可访问的服务端。
变更文件生成模块402,用于所述第一特征服务端生成所述变更文件,所述文件处理级别包括第一文件处理级别和第二文件处理级别。
变更获取请求403,用于接收所述特征终端对多个变更文件的获取请求,所述变更文件用于对所述特征终端保存的某个应用程序的安全性进行修正;
文件提取模块404,用于按照所述获取请求提取多个变更文件,所述变更文件携带对应的文件处理级别;
文件分类模块405,用于将提取的多个变更文件按照对应的文件处理级别的不同进行分类;
文件发送模块406,用于按照分类将所述变更文件分别发送给所述特征终端,以供所述特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理。
本发明实施例中,优选地,所述第一文件处理级别高于所述第二文件处理级别,所述变更文件携带第一处理级别时,所述变更文件生成模块可以包括:
安全性接收模块,用于接收在第一特征服务端提交的针对所述应用程序修正的安全性;
第一文件生成子模块,用于按照修正的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第一文件处理级别。
本发明实施例中,优选地,所述第一文件处理级别高于所述第二文件处理级别,所述变更文件携带第二处理级别时,所述变更文件生成模块可以包括:
第一鉴定请求子模块,用于所述第一特征服务端请求第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端;
第二文件生成子模块,用于按照所述第二特征服务端鉴定的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第二文件处理级别。
本发明实施例中,优选地,所述变更文件携带第二处理级别时,所述变更文件生成模块可以包括:
第二鉴定请求子模块,用于所述第一特征服务端通过所述特征终端连接所述第二特征服务端对所述应用程序的安全性进行鉴定,所述第二特征服务端为设置在互联网中通过互联网可访问的服务端;
第三文件生成子模块,用于按照所述第二特征服务端鉴定的安全性生成对所述特征终端保存的、第一特征服务端鉴定的安全性进行修正的变更文件,所述变更文件携带第二文件处理级别。
本发明实施例中,优选地,所述文件发送模块,可以具体用于按照分类将所述变更文件分别发送给所述特征终端,以供所述特征终端针对不同文件处理级别的变更文件分别创建相应的进程或分别采用不同的线程进行处理。
本发明实施例中,优选地,当所述特征终端创建不同的线程分别处理具备不同文件处理级别的变更文件时,文件处理级别高的变更文件对应的线程的处理速度高于文件处理级别低的变更文件对应的线程。
依据本发明实施例,第一特征服务端将特征终端请求的变更文件按照对应的文件处理级别进行分类后,按分类分别将变更文件发送给特征终端,由特征终端针对不同文件处理级别的变更文件分别按照不同的处理方式进行处理,依据本发明实施例,可以将文件处理级别高的变更文件与文件处理级别低的变更文件按照文件处理级别分别发送,并针对不同文件处理级别的文件采用不同的处理方式分别处理,从而可以在积压大量变更文件的情况下,可以避免处理级别较低的变更文件影响处理级别较高的变更文件的发送,避免处理级别较高的变更文件未能及时发送到终端给终端造成的安全风险,使文件安全性变更的过程变得有效、快速、可靠。
对于上述应用程序安全性的变更装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见图1和图2所示方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域技术人员易于想到的是:上述各个实施例的任意组合应用都是可行的,故上述各个实施例之间的任意组合都是本发明的实施方案,但是由于篇幅限制,本说明书在此就不一一详述了。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的应用程序安全性的变更设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。