CN110704849B - 客户端信息的处理方法及装置 - Google Patents
客户端信息的处理方法及装置 Download PDFInfo
- Publication number
- CN110704849B CN110704849B CN201910935874.9A CN201910935874A CN110704849B CN 110704849 B CN110704849 B CN 110704849B CN 201910935874 A CN201910935874 A CN 201910935874A CN 110704849 B CN110704849 B CN 110704849B
- Authority
- CN
- China
- Prior art keywords
- software
- client
- target
- information
- target client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
Abstract
本发明公开了一种客户端信息的处理方法及装置。其中,该方法包括:目标服务器向目标客户端传输可信防护软件,其中,目标客户端为已在目标服务器进行注册且与目标服务器通讯连接的客户端,可信防护软件用于对目标客户端进行主动安全防护;在目标客户端启动可信防护软件之后,目标服务器对目标客户端的相关信息进行处理。本发明解决了相关技术中服务器无法主动获取客户端的信息,导致数据处理不及时,无法保证客户端的安全的技术问题。
Description
技术领域
本发明涉及客户端信息处理技术领域,具体而言,涉及一种客户端信息的处理方法及装置。
背景技术
相关技术中,服务器在处理客户端的数据,常常是根据客户端的指令,存储客户端指示需要存储的文件、软件、采集数据等,然后按照客户端的指示对数据进行计算处理,这种处理方式,需要客户端作为数据主动获取方,其指示的内容很多是关联实时性的数据,并不能保证数据的正确;而且服务器仅仅能被动接收数据,无法主动获取到想要的数据,并对想要的数据快速处理,达不到对客户端的主动安全防护,很容易造成客户端的安全漏洞,容易使得客户端出现瘫痪,无法正常使用。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种客户端信息的处理方法及装置,以至少解决相关技术中服务器无法主动获取客户端的信息,导致数据处理不及时,无法保证客户端的安全的技术问题。
根据本发明实施例的一个方面,提供了一种客户端信息的处理方法,应用于目标服务器,包括:所述目标服务器向目标客户端传输可信防护软件,其中,所述目标客户端为已在所述目标服务器进行注册且与所述目标服务器通讯连接的客户端,所述可信防护软件用于对所述目标客户端进行主动安全防护;在所述目标客户端启动所述可信防护软件之后,所述目标服务器对所述目标客户端的相关信息进行处理。
可选地,所述相关信息至少包括:软件包,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,包括:所述目标服务器接收所述目标客户端传输的软件包;所述目标服务器采集所述软件包的软件基本信息;所述目标服务器基于所述软件基本信息,对所述软件包进行签名验证;若签名验证成功,则将所述软件包存入软件库;若签名验证失败,则进行软件自签名,并在完成自签名后将所述软件包上传至所述软件库。
可选地,进行软件自签名,并在完成自签名后将所述软件包上传至所述软件库的步骤,包括:所述目标服务器识别所述软件包中内置的签名证书的签名标识;所述目标服务器基于所述签名标识,计算所述软件包的哈希值;所述目标服务器基于所述哈希值,对所述软件包进行自签名;若确定所述软件包完成自签名,所述目标服务器将所述软件包存储至所述软件库。
可选地,所述相关信息还包括:软件下载请求,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,还包括:所述目标服务器接收软件下载请求,其中,所述软件下载请求中至少包括:软件标识和终端标识;所述目标服务器基于所述软件标识和所述终端标识,判断与所述终端标识对应的目标客户端是否有软件下载权限;若确定所述目标客户端有软件下载权限,则将与所述软件标识对应的目标软件的软件信息和软件数据传输至所述目标客户端。
可选地,所述相关信息还包括:软件配置需求,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,还包括:所述目标服务器接收所述目标客户端的软件配置需求,其中,所述软件配置需求中至少包括:需求软件包;基于所述软件配置需求,对所述需求软件包进行配置;建立所述需求软件包与所述目标客户端的关联关系。
可选地,所述相关信息还包括:软件签名文件,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,还包括:所述目标服务器接收软件签名文件;验证所述软件签名文件是否在有效期内;若确定所述软件签名文件在有效期内,则获取所述软件签名文件内签名软件的哈希值;基于所述哈希值判断所述软件签名文件是否在预设签名数据库中;若确定所述软件签名文件不在所述预设签名数据库中,则将所述软件签名文件上传至所述预设签名数据库中,保存与所述签名软件对应的签名信息。
可选地,所述相关信息还包括:关键资源文件,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,还包括:接收所述目标客户端的关键资源文件;为所述关键资源文件增添关键资源权限,其中,所述关键资源权限用于限制对所述关键资源文件的修改操作;将所述关键资源文件和所述关键资源权限存储至资源数据库中。
可选地,所述相关信息还包括:客户端信息,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,包括:所述目标服务器接收客户端信息,其中,所述客户端信息包括下述至少之一:所述目标客户端的IP地址、所述目标客户端的注册状态、所述目标客户端的所属部门;所述目标服务器基于所述客户端信息注册待管理的客户端。
可选地,所述相关信息还包括:部门调整信息,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,包括:所述目标服务器接收部门调整信息,其中,所述部门调整信息为所述目标客户端当前所属主体的子部门的信息;所述目标服务器基于所述部门调整信息更新所述目标客户端的所属部门。
根据本发明实施例的另一方面,还提供了一种客户端信息的处理装置,应用于目标服务器,包括:传输单元,用于所述目标服务器向目标客户端传输可信防护软件,其中,所述目标客户端为已在所述目标服务器进行注册且与所述目标服务器通讯连接的客户端,所述可信防护软件用于对所述目标客户端进行主动安全防护;处理单元,用于在所述目标客户端启动所述可信防护软件之后,所述目标服务器对所述目标客户端的相关信息进行处理。
可选地,所述相关信息至少包括:软件包,所述处理单元包括:第一接收模块,用于所述目标服务器接收所述目标客户端传输的软件包;第一采集模块,用于所述目标服务器采集所述软件包的软件基本信息;第一验证模块,用于所述目标服务器基于所述软件基本信息,对所述软件包进行签名验证;第一存储模块,用于在签名验证成功时,将所述软件包存入软件库;自签名模块,用于在签名验证失败时,进行软件自签名,并在完成自签名后将所述软件包上传至所述软件库。
可选地,所述自签名模块包括:第一识别子模块,用于所述目标服务器识别所述软件包中内置的签名证书的签名标识;第一计算子模块,用于所述目标服务器基于所述签名标识,计算所述软件包的哈希值;自签名子模块,用于所述目标服务器基于所述哈希值,对所述软件包进行自签名;第一存储子模块,用于在确定所述软件包完成自签名时,所述目标服务器将所述软件包存储至所述软件库。
可选地,所述相关信息还包括:软件下载请求,所述处理单元还包括:第二接收模块,用于所述目标服务器接收软件下载请求,其中,所述软件下载请求中至少包括:软件标识和终端标识;第一判断模块,用于所述目标服务器基于所述软件标识和所述终端标识,判断与所述终端标识对应的目标客户端是否有软件下载权限;第一传输模块,用于在确定所述目标客户端有软件下载权限时,将与所述软件标识对应的目标软件的软件信息和软件数据传输至所述目标客户端。
可选地,所述相关信息还包括:软件配置需求,所述处理单元还包括:第三接收模块,用于所述目标服务器接收所述目标客户端的软件配置需求,其中,所述软件配置需求中至少包括:需求软件包;第一配置模块,用于基于所述软件配置需求,对所述需求软件包进行配置;第一建立模块,用于建立所述需求软件包与所述目标客户端的关联关系。
可选地,所述相关信息还包括:软件签名文件,所述处理单元还包括:第四接收模块,用于所述目标服务器接收软件签名文件;第二验证模块,用于验证所述软件签名文件是否在有效期内;第一获取模块,用于在确定所述软件签名文件在有效期内时,获取所述软件签名文件内签名软件的哈希值;第二判断模块,用于基于所述哈希值判断所述软件签名文件是否在预设签名数据库中;保存模块,用于确定所述软件签名文件不在所述预设签名数据库中时,将所述软件签名文件上传至所述预设签名数据库中,保存与所述签名软件对应的签名信息。
可选地,所述相关信息还包括:关键资源文件,所述处理单元还包括:第五接收模块,用于接收所述目标客户端的关键资源文件;第一增添模块,用于为所述关键资源文件增添关键资源权限,其中,所述关键资源权限用于限制对所述关键资源文件的修改操作;第三存储模块,用于将所述关键资源文件和所述关键资源权限存储至资源数据库中。
可选地,所述相关信息还包括:客户端信息,所述处理单元包括:第六接收模块,用于所述目标服务器接收客户端信息,其中,所述客户端信息包括下述至少之一:所述目标客户端的IP地址、所述目标客户端的注册状态、所述目标客户端的所属部门;注册模块,用于所述目标服务器基于所述客户端信息注册待管理的客户端。
可选地,所述相关信息还包括:部门调整信息,所述处理单元包括:第七接收模块,用于所述目标服务器接收部门调整信息,其中,所述部门调整信息为所述目标客户端当前所属主体的子部门的信息;调整模块,用于所述目标服务器基于所述部门调整信息更新所述目标客户端的所属部门。
根据本发明实施例的另一方面,还提供了一种可信安全平台,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的客户端信息的处理方法。
根据本发明实施例的另一方面,还提供了一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述任意一项所述的客户端信息的处理方法。
在本发明实施例中,通过目标服务器向目标客户端传输可信防护软件,其中,目标客户端为已在目标服务器进行注册且与目标服务器通讯连接的客户端,可信防护软件用于对目标客户端进行主动安全防护,并在目标客户端启动可信防护软件之后,目标服务器对目标客户端的相关信息进行处理。在该实施例中,服务器可以通过可信防护软件对客户端实现安全防护,并主动获取客户端的相关信息,进行实时处理,通过对客户端的相关信息进行处理,可以判断客户端的运行状态是否正常,若不正常,可及时更新可信防护策略,对客户端进行安全防护,提高客户端的运行安全,从而解决相关技术中服务器无法主动获取客户端的信息,导致数据处理不及时,无法保证客户端的安全的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的客户端信息的处理方法的流程图;
图2是根据本发明实施例一种可选的客户端信息的处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明各实施例中的客户端信息的处理方法的执行主体为目标服务器,目标服务器可以运行可信安全管理平台,通过目标服务器可以支持维护多个客户端的运行,每个客户端上包括并行的计算子系统与防护子系统,其中,计算子系统用于完成计算任务,而防护子系统用于根据可信策略对计算子系统进行主动度量,客户端负责采集应用程序的访问行为数据,并上报给目标服务器,目标服务器可以实时更新可信安全管理策略;上述防护子系统可以是通过可信防护软件来实现的,通过可信防护软件对客户端进行主动安全防护。
上述的客户端可以包括但不限于:平板、移动终端、PC、IPAD和服务器等。对于不同的业务应用和用户场景需要制定不同的免疫可信策略,在通过可信策略进行主动度量后,确定可信策略对客户端的安全防护是否全面、准确,使得每个客户端的可信策略能够全面对客户端进行安全防护。
根据本发明实施例,提供了一种客户端信息的处理方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例的客户端信息的处理方法可应用于目标服务器。
图1是根据本发明实施例的一种可选的客户端信息的处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,目标服务器向目标客户端传输可信防护软件,其中,目标客户端为已在目标服务器进行注册且与目标服务器通讯连接的客户端,可信防护软件用于对目标客户端进行主动安全防护。
上述可信防护软件可以主动传输至客户端中,以通过可信防护软件实现对客户端的安全防护。
步骤S104,在目标客户端启动可信防护软件之后,目标服务器对目标客户端的相关信息进行处理。
通过上述步骤,可以通过目标服务器向目标客户端传输可信防护软件,其中,目标客户端为已在目标服务器进行注册且与目标服务器通讯连接的客户端,可信防护软件用于对目标客户端进行主动安全防护,并在目标客户端启动可信防护软件之后,目标服务器对目标客户端的相关信息进行处理。在该实施例中,服务器可以通过可信防护软件对客户端实现安全防护,并主动获取客户端的相关信息,进行实时处理,通过对客户端的相关信息进行处理,可以判断客户端的运行状态是否正常,若不正常,可及时更新可信防护策略,对客户端进行安全防护,提高客户端的运行安全,从而解决相关技术中服务器无法主动获取客户端的信息,导致数据处理不及时,无法保证客户端的安全的技术问题。
可选的,相关信息至少包括:软件包,目标服务器对目标客户端的相关信息进行处理的步骤,包括:目标服务器接收目标客户端传输的软件包;目标服务器采集软件包的软件基本信息;目标服务器基于软件基本信息,对软件包进行签名验证;若签名验证成功,则将软件包存入软件库;若签名验证失败,则进行软件自签名,并在完成自签名后将软件包上传至软件库。
本发明实施例中,可以对客户端传输的软件包实现导入、存储、解析、配置、下载、维护等功能处理,而且可以查看软件包的详细信息,如果是多个软件包,可以设置软件组来管理,实现对一个或多个软件包的有效管理。
在管理软件时,客户端信息的处理方法还包括:基于软件基本信息,将软件包录入软件库;发送软件安装策略至目标客户端,以使所述目标客户端安装软件库内的软件包;若软件安装策略失效,则直接向所述目标客户端发送软件包。还包括:采集目标客户端依据软件安装策略安装软件程序的过程中产生的白名单;在白名单采集完成后上报给管理中心;控制管理中心将上报的白名单存储白名单数据库,其中,管理中心可点击查看软件安装策略产生的白名单信息;显示白名单数据库内关于该条软件安装策略匹配的白名单。
在本发明实施例中,进行软件自签名,并在完成自签名后将软件包上传至软件库的步骤,包括:目标服务器识别软件包中内置的签名证书的签名标识;目标服务器基于签名标识,计算软件包的哈希值;目标服务器基于哈希值,对软件包进行自签名;若确定软件包完成自签名,目标服务器将软件包存储至软件库。
在进行软件自签名时,还包括:将软件包存储如临时目录下;获取软件的hash值,并判断软件包是否存在签名,若存在签名则不需要自签名操作;若不存在签名,则判断软件包的格式是否为标准的exe格式或msi格式;若不是标准的exe格式或msi格式,则不上传软件包;根据软件的hash值判断软件包是否已经上传,若已经上传过,则不需要再次重复上传;若未上传过,则计算软件的hash值和加密sm3值,将软件拷贝到约定的所属系统的软件包存放目录下;保存软件包信息。
本发明实施例中,在完成自签名过程后,还可以进行签名文件管理,包括:对于软件签名证书,内置到配置管理系统中;对于软件签名文件,为了加强软件的版本管理,保证软件可管、可靠,必须一个软件包对应一个签名,签名信息中包含了软件包的hash值。
软件基本信息包括:软件大小、软件名称、上传时间、Hash值等。
可选的,在将软件包存入软件库时,不允许其他软件包进入软件库,保证软件包传输的流畅性。
作为本发明可选的实施例,相关信息还包括:软件下载请求,目标服务器对目标客户端的相关信息进行处理的步骤,还包括:目标服务器接收软件下载请求,其中,软件下载请求中至少包括:软件标识和终端标识;目标服务器基于软件标识和终端标识,判断与终端标识对应的目标客户端是否有软件下载权限;若确定目标客户端有软件下载权限,则将与软件标识对应的目标软件的软件信息和软件数据传输至目标客户端。
在软件下载过程中,还需要进行软件双向认证和数据解密过程,其中,软件双向认证可以是指对目标客户端和目标服务器两端的软件包一致性进行认证;而数据解密过程可以理解为对通信过程中使用国密SM3进行加密的文件按照约定解密方式进行解密。
软件标识可以为待下载软件的软件ID,终端标识可以为客户端传输地址或者终端ID;在客户端发起软件下载请求,可以先去管理中心验证是否有下载权限,如果管理中心返回没有下载权限,返回给客户端无法下载权限的提示信息;若有下载权限,则将软件信息和软件数据(如软件二进制数据)传输至目标客户端。若软件下载失败,可以分析失败原因,例如,客户端未在管理中心注册、客户端无下载该软件包的权限、要下载的软件包不存在或者已经被删除、软件包下载服务调用管理中心验证下载权限接口失败等。
在本发明可选的实施例中,相关信息还包括:软件配置需求,目标服务器对目标客户端的相关信息进行处理的步骤,还包括:目标服务器接收目标客户端的软件配置需求,其中,软件配置需求中至少包括:需求软件包;基于软件配置需求,对需求软件包进行配置;建立需求软件包与目标客户端的关联关系。
本发明实施例中,可以对软件包实现配置管理,建立软件包与客户端的关联关系,某个客户端配置的哪些软件包,或者某个软件包配置给的哪些客户端,对软件策略进行过滤和存储,并记录相关审计日志。
另一种可选的,相关信息还包括:软件签名文件,目标服务器对目标客户端的相关信息进行处理的步骤,还包括:目标服务器接收软件签名文件;验证软件签名文件是否在有效期内;若确定软件签名文件在有效期内,则获取软件签名文件内签名软件的哈希值;基于哈希值判断软件签名文件是否在预设签名数据库中;若确定软件签名文件不在预设签名数据库中,则将软件签名文件上传至预设签名数据库中,保存与签名软件对应的签名信息。
软件签名文件:是为了加强软件的版本管理,保证软件可靠,给软件包设置一个对应的签名,签名信息中可包含软件包的hash值。
在验证软件签名文件时,不仅可验证软件签名文件是否在有效期以及是否可用,还需要验证签名文件是否合法,若不合法,则发提示信息给客户端提示用户证书不合法。验证签名文件是否在有效期内,不在有效期提示用户证书超过有效期,获取签名文件中签名软件的hash值,查询是否已存在对应的信息,存在则更新现有数据库中的信息,不存在则是新上传的软件签名文件,需要保存对应的签名信息。
在本发明实施例中,相关信息还包括:关键资源文件,目标服务器对目标客户端的相关信息进行处理的步骤,还包括:接收目标客户端的关键资源文件;为关键资源文件增添关键资源权限,其中,关键资源权限用于限制对关键资源文件的修改操作;将关键资源文件和关键资源权限存储至资源数据库中。若接收到关键资源文件,可添加客户端绝对路径的单一关键文件对关键资源文件进行管理保护,同一配置关键资源文件的保护策略。
在本发明实施例中,相关信息还包括:客户端信息,目标服务器对目标客户端的相关信息进行处理的步骤,包括:目标服务器接收客户端信息,其中,客户端信息包括下述至少之一:目标客户端的IP地址、目标客户端的注册状态、目标客户端的所属部门;目标服务器基于客户端信息注册待管理的客户端。
可选的,相关信息还包括:部门调整信息,目标服务器对目标客户端的相关信息进行处理的步骤,包括:目标服务器接收部门调整信息,其中,部门调整信息为目标客户端当前所属主体的子部门的信息;目标服务器基于部门调整信息更新目标客户端的所属部门。
本发明实施例,客户端传输的相关信息还可以包括:审计信息,对于审计信息,可以对客户端上报的审计信息进行管理,可以查看审计信息,该审计信息包括但不限于:客户端名称、MAC地址、用户名、操作对象、操作类型、操作结果及时间等,支持对审计信息进行备份,若存储的审计信息达到极限值时需要进行告警提示。根据不同的年月日设置告警的阈值和告警值,用于定时备份和立即备份数据作用,主要指定目标备份目录,根据硬盘空间容量,进行容量判断,主要用于展示作用,非自主提示。
作为本发明可选的实施例,除了对审计信息进行处理外,还可以平台操作审计,包括:策略操作审计,是指对对配置关键文件、软件包/软件组等策略的操作审计信息记录;其他操作审计,是指对三权用户(包括系统管理员、安全管理员、审计管理员)的登录登出、修改密码、用户非法操作等信息记录;Windows客户端审计,是指展示windows客户端关键文件,白名单,注册表审计,以确保管理中心和windows客户端显示的审计信息保持一致。
在得到审计信息以及在完成其他操作审计后,可以生成审计日志,包括:下发审计策略至目标客户端;接收目标客户端生成包含日志ID、事件主体、事件客体、事件内容描述、事件结果、发生时间和事件种类的审计日志;将审计日志上报给管理中心;将审计日志按照时间顺序存储到日志数据库;定时清理3个月以前的审计日志。
图2是根据本发明实施例一种可选的客户端信息的处理装置的示意图,应用于目标服务器,如图2所示,该处理装置可以包括:传输单元22,处理单元24,其中,
传输单元22,用于目标服务器向目标客户端传输可信防护软件,其中,目标客户端为已在目标服务器进行注册且与目标服务器通讯连接的客户端,可信防护软件用于对目标客户端进行主动安全防护;
处理单元24,用于在目标客户端启动可信防护软件之后,目标服务器对目标客户端的相关信息进行处理。
上述客户端信息的处理装置,可以通过传输单元22利用目标服务器向目标客户端传输可信防护软件,其中,目标客户端为已在目标服务器进行注册且与目标服务器通讯连接的客户端,可信防护软件用于对目标客户端进行主动安全防护,并通过处理单元24在目标客户端启动可信防护软件之后,目标服务器对目标客户端的相关信息进行处理。在该实施例中,服务器可以通过可信防护软件对客户端实现安全防护,并主动获取客户端的相关信息,进行实时处理,通过对客户端的相关信息进行处理,可以判断客户端的运行状态是否正常,若不正常,可及时更新可信防护策略,对客户端进行安全防护,提高客户端的运行安全,从而解决相关技术中服务器无法主动获取客户端的信息,导致数据处理不及时,无法保证客户端的安全的技术问题。
可选的,相关信息至少包括:软件包,处理单元包括:第一接收模块,用于目标服务器接收目标客户端传输的软件包;第一采集模块,用于目标服务器采集软件包的软件基本信息;第一验证模块,用于目标服务器基于软件基本信息,对软件包进行签名验证;第一存储模块,用于在签名验证成功时,将软件包存入软件库;自签名模块,用于在签名验证失败时,进行软件自签名,并在完成自签名后将软件包上传至软件库。
可选的,自签名模块包括:第一识别子模块,用于目标服务器识别软件包中内置的签名证书的签名标识;第一计算子模块,用于目标服务器基于签名标识,计算软件包的哈希值;自签名子模块,用于目标服务器基于哈希值,对软件包进行自签名;第一存储子模块,用于在确定软件包完成自签名时,目标服务器将软件包存储至软件库。
另一种可选的,相关信息还包括:软件下载请求,处理单元还包括:第二接收模块,用于目标服务器接收软件下载请求,其中,软件下载请求中至少包括:软件标识和终端标识;第一判断模块,用于目标服务器基于软件标识和终端标识,判断与终端标识对应的目标客户端是否有软件下载权限;第一传输模块,用于在确定目标客户端有软件下载权限时,将与软件标识对应的目标软件的软件信息和软件数据传输至目标客户端。
在本发明实施例中,相关信息还包括:软件配置需求,处理单元还包括:第三接收模块,用于目标服务器接收目标客户端的软件配置需求,其中,软件配置需求中至少包括:需求软件包;第一配置模块,用于基于软件配置需求,对需求软件包进行配置;第一建立模块,用于建立需求软件包与目标客户端的关联关系。
可选的,相关信息还包括:软件签名文件,处理单元还包括:第四接收模块,用于目标服务器接收软件签名文件;第二验证模块,用于验证软件签名文件是否在有效期内;第一获取模块,用于在确定软件签名文件在有效期内时,获取软件签名文件内签名软件的哈希值;第二判断模块,用于基于哈希值判断软件签名文件是否在预设签名数据库中;保存模块,用于确定软件签名文件不在预设签名数据库中时,将软件签名文件上传至预设签名数据库中,保存与签名软件对应的签名信息。
另一种可选的,相关信息还包括:关键资源文件,处理单元还包括:第五接收模块,用于接收目标客户端的关键资源文件;第一增添模块,用于为关键资源文件增添关键资源权限,其中,关键资源权限用于限制对关键资源文件的修改操作;第三存储模块,用于将关键资源文件和关键资源权限存储至资源数据库中。
在本发明实施例中,相关信息还包括:客户端信息,处理单元包括:第六接收模块,用于目标服务器接收客户端信息,其中,客户端信息包括下述至少之一:目标客户端的IP地址、目标客户端的注册状态、目标客户端的所属部门;注册模块,用于目标服务器基于客户端信息注册待管理的客户端。
可选的,相关信息还包括:部门调整信息,处理单元包括:第七接收模块,用于目标服务器接收部门调整信息,其中,部门调整信息为目标客户端当前所属主体的子部门的信息;调整模块,用于目标服务器基于部门调整信息更新目标客户端的所属部门。
上述的客户端信息的处理装置还可以包括处理器和存储器,上述传输单元22,处理单元24等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
上述处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来对客户端的相关信息进行主动获取并实时处理。
上述存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
根据本发明实施例的另一方面,还提供了一种可信安全平台,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述任意一项的客户端信息的处理方法。
根据本发明实施例的另一方面,还提供了一种存储介质,其特征在于,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述任意一项的客户端信息的处理方法。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:目标服务器向目标客户端传输可信防护软件,其中,目标客户端为已在目标服务器进行注册且与目标服务器通讯连接的客户端,可信防护软件用于对目标客户端进行主动安全防护;在目标客户端启动可信防护软件之后,目标服务器对目标客户端的相关信息进行处理。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种客户端信息的处理方法,其特征在于,应用于目标服务器,包括:
所述目标服务器向目标客户端传输可信防护软件,其中,所述目标客户端为已在所述目标服务器进行注册且与所述目标服务器通讯连接的客户端,所述可信防护软件用于对所述目标客户端进行主动安全防护;
在所述目标客户端启动所述可信防护软件之后,所述目标服务器对所述目标客户端的相关信息进行处理,
所述目标服务器对所述目标客户端的相关信息进行处理包括:基于所述目标客户端上的软件信息,将软件信息对应的软件包录入软件库;发送软件安装策略至目标客户端,以使所述目标客户端安装软件库内的软件包;若目标客户端无法获取软件库内的软件包时,则向所述目标客户端发送其所需的软件包;
采集目标客户端依据软件安装策略安装软件程序的过程中产生的白名单;在白名单采集完成后上报给管理中心;控制管理中心将上报的白名单存储白名单数据库,其中,管理中心能够查看软件安装策略产生的白名单信息;显示白名单数据库内关于与某条软件安装策略匹配的软件程序白名单;
所述目标客户端的相关信息还包括:目标客户端的审计信息:所述目标服务器还用于对所述目标客户端上报的审计信息进行管理,查看所述审计信息,支持对所述审计信息进行备份,当存储的审计信息达到极限值时需要进行告警提示;
所述审计信息至少包括:客户端名称、MAC地址、用户名、操作对象、操作类型、操作结果及时间。
2.根据权利要求1所述的处理方法,其特征在于,所述相关信息至少包括:软件包,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,包括:
所述目标服务器接收所述目标客户端传输的软件包;
所述目标服务器采集所述软件包的软件信息;
所述目标服务器基于所述软件信息,对所述软件包进行签名验证;
若签名验证成功,则将所述软件包存入软件库;
若签名验证失败,则进行软件自签名,并在完成自签名后将所述软件包上传至所述软件库。
3.根据权利要求2所述的处理方法,其特征在于,进行软件自签名,并在完成自签名后将所述软件包上传至所述软件库的步骤,包括:
所述目标服务器识别所述软件包中内置的签名证书的签名标识;
所述目标服务器基于所述签名标识,计算所述软件包的哈希值;
所述目标服务器基于所述哈希值,对所述软件包进行自签名;
若确定所述软件包完成自签名,所述目标服务器将所述软件包存储至所述软件库。
4.根据权利要求1所述的处理方法,其特征在于,所述相关信息还包括:软件下载请求,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,还包括:
所述目标服务器接收软件下载请求,其中,所述软件下载请求中至少包括:软件标识和终端标识;
所述目标服务器基于所述软件标识和所述终端标识,判断与所述终端标识对应的目标客户端是否有软件下载权限;
若确定所述目标客户端有软件下载权限,则将与所述软件标识对应的目标软件的软件信息和软件数据传输至所述目标客户端。
5.根据权利要求1所述的处理方法,其特征在于,所述相关信息还包括:软件配置需求,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,还包括:
所述目标服务器接收所述目标客户端的软件配置需求,其中,所述软件配置需求中至少包括:需求软件包;
基于所述软件配置需求,对所述需求软件包进行配置;
建立所述需求软件包与所述目标客户端的关联关系。
6.根据权利要求1所述的处理方法,其特征在于,所述相关信息还包括:软件签名文件,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,还包括:
所述目标服务器接收软件签名文件;
验证所述软件签名文件是否在有效期内;
若确定所述软件签名文件在有效期内,则获取所述软件签名文件内签名软件的哈希值;
基于所述哈希值判断所述软件签名文件是否在预设签名数据库中;
若确定所述软件签名文件不在所述预设签名数据库中,则将所述软件签名文件上传至所述预设签名数据库中,保存与所述签名软件对应的签名信息。
7.根据权利要求1所述的处理方法,其特征在于,所述相关信息还包括:关键资源文件,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,还包括:
接收所述目标客户端的关键资源文件;
为所述关键资源文件增添关键资源权限,其中,所述关键资源权限用于限制对所述关键资源文件的修改操作;
将所述关键资源文件和所述关键资源权限存储至资源数据库中。
8.根据权利要求1所述的处理方法,其特征在于,所述相关信息还包括:客户端信息,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,包括:
所述目标服务器接收客户端信息,其中,所述客户端信息包括下述至少之一:所述目标客户端的IP地址、所述目标客户端的注册状态、所述目标客户端的所属部门;
所述目标服务器基于所述客户端信息注册待管理的客户端标识。
9.根据权利要求1所述的处理方法,其特征在于,所述相关信息还包括:部门调整信息,所述目标服务器对所述目标客户端的相关信息进行处理的步骤,包括:
所述目标服务器接收部门调整信息,其中,所述部门调整信息为所述目标客户端当前所属主体的子部门的信息;
所述目标服务器基于所述部门调整信息更新所述目标客户端的所属部门。
10.一种客户端信息的处理装置,其特征在于,应用于目标服务器,包括:
传输单元,用于所述目标服务器向目标客户端传输可信防护软件,其中,所述目标客户端为已在所述目标服务器进行注册且与所述目标服务器通讯连接的客户端,所述可信防护软件用于对所述目标客户端进行主动安全防护;
处理单元,用于在所述目标客户端启动所述可信防护软件之后,所述目标服务器对所述目标客户端的相关信息进行处理,
所述目标服务器对所述目标客户端的相关信息进行处理包括:基于所述目标客户端上的软件信息,将软件信息对应的软件包录入软件库;发送软件安装策略至目标客户端,以使所述目标客户端安装软件库内的软件包;若目标客户端无法获取软件库内的软件包时,则向所述目标客户端发送其所需的软件包;
采集目标客户端依据软件安装策略安装软件程序的过程中产生的白名单;在白名单采集完成后上报给管理中心;控制管理中心将上报的白名单存储白名单数据库,其中,管理中心能够查看软件安装策略产生的白名单信息;显示白名单数据库内关于与某条软件安装策略匹配的软件程序白名单;
所述目标客户端的相关信息还包括:目标客户端的审计信息:所述目标服务器还用于对所述目标客户端上报的审计信息进行管理,查看所述审计信息,支持对所述审计信息进行备份,当存储的审计信息达到极限值时需要进行告警提示;
所述审计信息至少包括:客户端名称、MAC地址、用户名、操作对象、操作类型、操作结果及时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910935874.9A CN110704849B (zh) | 2019-09-29 | 2019-09-29 | 客户端信息的处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910935874.9A CN110704849B (zh) | 2019-09-29 | 2019-09-29 | 客户端信息的处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110704849A CN110704849A (zh) | 2020-01-17 |
CN110704849B true CN110704849B (zh) | 2022-03-15 |
Family
ID=69196555
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910935874.9A Active CN110704849B (zh) | 2019-09-29 | 2019-09-29 | 客户端信息的处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110704849B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115310126B (zh) * | 2022-08-01 | 2024-03-29 | 中图测绘技术(杭州)有限公司 | 地籍测绘管理方法、系统及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103559591A (zh) * | 2013-11-20 | 2014-02-05 | 北京可信华泰信息技术有限公司 | 基于可信计算的软件管理系统和管理方法 |
-
2019
- 2019-09-29 CN CN201910935874.9A patent/CN110704849B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103559591A (zh) * | 2013-11-20 | 2014-02-05 | 北京可信华泰信息技术有限公司 | 基于可信计算的软件管理系统和管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110704849A (zh) | 2020-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11743054B2 (en) | Method and system for creating and checking the validity of device certificates | |
US10489562B2 (en) | Modular software protection | |
US8938625B2 (en) | Systems and methods for securing cryptographic data using timestamps | |
US9766914B2 (en) | System and methods for remote maintenance in an electronic network with multiple clients | |
US9674183B2 (en) | System and method for hardware-based trust control management | |
US10305893B2 (en) | System and method for hardware-based trust control management | |
US8726407B2 (en) | Authentication of computing and communications hardware | |
US7958367B2 (en) | Authentication system and apparatus | |
US20220132074A1 (en) | Self-healing video surveillance system | |
EP2273438A1 (en) | Use of a hardware fingerprint with an on-line or networked payment authorization system | |
US20110093503A1 (en) | Computer Hardware Identity Tracking Using Characteristic Parameter-Derived Data | |
EP2863303A1 (en) | Method for confirming correction program, confirming program for confirming correction program, and information processing apparatus | |
US20130004142A1 (en) | Systems and methods for device authentication including timestamp validation | |
EP2273413A2 (en) | Use of a fingerprint with an on-line or networked auction | |
CN104573435A (zh) | 用于终端权限管理的方法和终端 | |
CN105706099A (zh) | 软件更新装置及软件更新程序 | |
CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
US8423473B2 (en) | Systems and methods for game activation | |
CN110704849B (zh) | 客户端信息的处理方法及装置 | |
CN110990863A (zh) | 一种通过时间戳与加密算法实现文件范文控制的方法 | |
CN111506915B (zh) | 授权访问的控制方法、装置和系统 | |
CN110677483B (zh) | 信息处理系统和可信安全管理系统 | |
KR20130125245A (ko) | 모바일 디바이스에서 소프트웨어 무결성 유지 방법 및 시스템 | |
CN109740308B (zh) | 一种服务器端版本的保护方法及系统 | |
US20230130985A1 (en) | Secure execution of scripts |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |