CN111506476A - 一种终端鉴权与进程管理系统及其控制方法 - Google Patents

一种终端鉴权与进程管理系统及其控制方法 Download PDF

Info

Publication number
CN111506476A
CN111506476A CN202010297350.4A CN202010297350A CN111506476A CN 111506476 A CN111506476 A CN 111506476A CN 202010297350 A CN202010297350 A CN 202010297350A CN 111506476 A CN111506476 A CN 111506476A
Authority
CN
China
Prior art keywords
authentication
state
user
command
alarm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010297350.4A
Other languages
English (en)
Other versions
CN111506476B (zh
Inventor
肖波
王浩宇
徐前方
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Anxin Yiheng Technology Co ltd
Beijing University of Posts and Telecommunications
Original Assignee
Beijing Anxin Yiheng Technology Co ltd
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Anxin Yiheng Technology Co ltd, Beijing University of Posts and Telecommunications filed Critical Beijing Anxin Yiheng Technology Co ltd
Priority to CN202010297350.4A priority Critical patent/CN111506476B/zh
Publication of CN111506476A publication Critical patent/CN111506476A/zh
Application granted granted Critical
Publication of CN111506476B publication Critical patent/CN111506476B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44594Unloading

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明一种终端鉴权与进程管理系统及其控制方法,包括:鉴权模块以及进程监控模块;通过鉴权模块创建针对用户的登陆日志,建立动态监听指针实时更新用户的鉴权状态;通过服务端远程的命令下发,修改相应用户的使用权限;采用进程监控模块下发限制进程命令完成构建;通过两部分模块对管理用户终端群的鉴权、进程情况进行实时控制,对检测逻辑以及处理逻辑终端的进程运行状态进行限制,针对每个终端实施不同命令下的调整,使用嵌入进程的线程探针,当进程执行,则探针也随之执行并将进程信息发送给处理模块;这样的操作设计,降低了查找相应进程的时间,节省了信息存储空间。

Description

一种终端鉴权与进程管理系统及其控制方法
技术领域
本发明涉及终端管理系统技术领域,尤其是一种终端鉴权与进程管理系统及其控制方法,主要针对于计算机终端而非远程服务端,在本地建立管理系统,有效的实现了终端的实时管理。
背景技术
随着电脑、手机等终端设备的革新进步,已切实改变了人们的生产与生活,智能产品带来极大便捷的同时,也伴随着安全控制问题;对于计算机本地的安全管理,可通过限制BIOS、限制计算机开机等技术来进行防护;而针对需要进行统一资产管理的终端群,需要整合管理策略,统一进行管理控制;这样的统一控制管理,需要实时的下发策略命令并执行于计算机终端;
现有技术中,安全控制设计主要集中在系统鉴权与进程监管上,例如:
在终端鉴权管理上:
对于本地终端的安全控制,现有的技术主要是通过加设密码或增加外部生物特征提取等方式,限制特定用户使用终端,这样的技术主要加设于本地,并且繁琐复杂,需要增加外部特征获取硬件或增加密码管理;而当需要统一管理终端群时,这样的技术往往不能够实现较好的实时性,需要不断的在本地终端统一设置,费时费力,并且统一性的终端群管理无法完全保证;而有关于远程处理控制,现有技术往往主要通过服务端进行密码处理、权限鉴别等数据处理,这样虽然能保证一定的统一性,然而服务端的工作压力、数据处理负荷极大,很难保证较好的实时性;
在进程控制管理上:
现有的电脑进程处理技术中,其技术方案往往通过额外的物理内存或外部设备,采取存储实时的进程信息,保证一定的实时性,或使用例如hash的数据结构,实现较好的查询和处理速度;然而这样的技术管理,往往存在一些问题:例如:使用了额外的物理内存、外部设备较为冗杂;同时会占用终端的某些处理能力和内存;增加了较多的负载,不够简洁;若想要提高处理速度,则需要额外建立数据结构,但这样会占用较大的物理内存和计算能力;若不建立相应的进程管理的处理数据库,虽然能够保证较好的内存使用率,但是十分消耗计算能力、处理十分缓慢,不能实现较好的实时性。
发明内容
本发明的目的是,提供一种终端鉴权与进程管理系统及其控制方法,通过执行于终端的控制系统、通过两部分模块对管理用户终端群的鉴权、进程情况进行实时控制,对检测逻辑以及处理逻辑终端的进程运行状态进行限制,针对每个终端实施不同命令下的调整,使用嵌入进程的线程探针,当进程执行,则探针也随之执行并将进程信息发送给处理模块;这样的操作设计,降低了查找相应进程的时间,加快了进程信息的获取也不再需要将所有正在进行的进程全部查询,节省了一定的信息存储空间,提高了速度。
一种终端鉴权与进程管理系统及其控制方法,其中:
一种终端鉴权与进程管理系统,主要应用于受控管理的终端系统,包括:鉴权模块以及进程监控模块;
作为一种举例说明,所述终端系统为:Windows10操作系统,包括PC机以及虚拟机;
进一步的,所述鉴权模块用于:创建针对用户的登陆日志,建立动态监听指针实时更新用户的鉴权状态;通过服务端远程的命令下发,修改相应用户的使用权限;
所述鉴权模块通过下发鉴权命令完成构建,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;
作为一种举例说明,所述鉴权系数为:允许鉴权失败次数;
同时所述鉴权模块,需要创建连接接口regsvr,用以访问终端系统注册表、获取计算机资源申请事件情况,通过所述连接接口regsvr获取到用户的申请请求情况,从而创建针对用户的登陆日志;
进一步的,所述登陆日志包括:用户名user_id、登陆系统时间、CountHistory用于记录用户鉴权失败的次数以及CountAnchor为用户的鉴权锚状态;
作为一种举例说明,所述CountHistory以及CountAnchor的初始值均为0;
建立登陆日志后,鉴权模块创建监听指针userKey;
作为一种举例说明,所述监听指针在用户进行鉴权时,通过所述连接接口regsvr访问计算机资源申请事件,实时地鉴别计算机资源申请事件同步获得用户鉴权情况,从而实现对登陆日志中的CountHistory参数进行更新;若在申请事件中,用户鉴权失败,则所述CountHistory加1;CountAnchor由下发鉴权命令中的鉴权系数以及CountHistory参数限制;当所述CountHistory超过下发鉴权命令阈值,则CountAnchor设置为1并清零CountHistory;
进一步的,当所述CountAnchor为1时,则建立限制指针banKey;所述限制指针banKey用于修改计算机本地安全性授权子系统,限制用户并锁定该用户使用计算机的权限;
进一步的,所述进程监控模块通过下发限制进程命令完成构建;
作为一种举例说明,所述下发限制进程命令包括:要求监管的进程名称;
所述进程监控模块通过shel l监控所有正在进行的进程,通过对下发限制进程命令中的要求监管的进程插入线程探针processKey,获取要求监管的进程的信息,构建限制进程的hash数据库,使用限制进程的hash数据库中的进程运行状态建立进程运行状态库,并使用所述进程运行状态库处理逻辑修改进程监控模块的告警状态以及限制管理进程的运行;
作为一种举例说明,所述shel l即终端系统的底层命令解析器,通过接收用户下发命令从而调用计算机终端的应用程序;
作为一种举例说明,所述hash数据库中存储的限制进程的信息包括:存储进程的进程号、存储进程名称、processStatus进程状态以及AlarmKey报警标志;
作为一种举例说明,所述进程监控模块使用所述processStatus进程状态以及AlarmKey报警标志建立针对各个进程的进程运行状态库;
作为一种举例说明,所述进程运行状态库中,进程状态由所述processStatus进程状态赋值,包括:进程运行、进程未运行、状态库的处理逻辑、存在进程状态以及告警状态;
作为一种举例说明,所述告警状态为:未能控制并在运行中的进程,需要向所述AlarmKey报警标志赋值;整个进程监控模块要进入告警状态,向用户告警未能禁用的进程;
所述进程监控模块的监控过程包括:获取得到下发限制进程命令,通过使用所述线程探针processKey获取到下发限制进程命令中的进程信息以及进程状态;建立限制进程的hash数据库,将需要限制进程的运行状态存储在限制进程的hash数据库中;
作为一种举例说明,在所述进程监控模块的监控过程中,插入所述线程探针processKey,表现为包装进入所述下发限制进程命令中要求监管的进程中的线程探针,若所述要求监管的进程正在执行,则所述线程探针processKey同时执行,将要求监管的进程的进程号、进程状态上报到所述进程监控模块中的所述hash数据库中;
一种终端鉴权与进程管理系统的控制方法,包括:鉴权管理方法和进程监控方法,具体为:
鉴权管理方法,包括:
步骤一、鉴权模块创建针对用户的系统登陆日志;鉴权模块通过连接接口regsvr建立与系统注册表的连接;同时建立监听指针userKey,通过连接接口regsvr实时访问计算机资源申请事件、用以更新用户的登陆日志;所述登陆日志包括:用户名user_id、鉴权失败次数CountHistory、用户鉴权锚状态CountAnchor;
进一步的,所述CountHistory由监听指针userKey进行实时更新;针对不同的用户ID,监听指针userKey若查询到计算机资源申请失败,则将用户名user_id的CountHistory加1,保证一定的实时性;当所述CountHistory的值超过下发策略中的鉴权系数,即超过允许鉴权失败次数,则将所述CountAnchor设1,并清零所述CountHistory;同时,建立限制指针banKey;
作为一种举例说明,所述限制指针banKey用于对启动的本地安全性授权子系统进行修改,限制用户并锁定该用户使用计算机的权限;
步骤二:被管理终端向服务端发送token信息,每个被管理终端由不同的cpu序列号产生独有的token信息;所述服务端下发鉴权命令,同时建立映射关系。实现实时管理操作;
作为一种举例说明,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;
步骤三:鉴权模块针对不同的用户名user_id,查询登陆日志中失败鉴权次数CountHistory,并与服务端下发的管理命令中的鉴权系数相比、对CountHistory大于鉴权系数的用户,建立限制指针banKey;所述限制指针banKey用于修改本地安全性授权子系统,实现用户的登陆限制,并且由鉴权模块上发记录;
进程监控方法,包括:
步骤一:进程监控模块首先获得下发限制进程命令中需要监管的进程,针对这些进程建立限制进程的hash数据库,用以存储这些需要监管的进程的信息以及进程状态;包括:进程号、存储进程名称、processStatus进程状态、AlarmKey报警标志;
步骤二:进程监控模块针对这些进程,插入线程探针processKey用以更新步骤一中建立的所述hash数据库,通过所述线程探针processKey获取到下发限制进程命令中的进程信息以及进程运行状态,用以更新所述hash数据库中的进程名称以及processStatus进程状态;
作为一种举例说明,所述线程探针processKey作为一种插入到进程中的线程而实现,使用windows系统动态链接库,通过进程端口,建立进程句柄从而使用外层循环获取到该进程的所有进程信息;
进一步的,在线程探针processKey获取信息时,先创建系统进程列表、提取系统进程列表中的列表项信息,包括进程状态、进程号、进程类型;当下发限制进程命令中的进程执行时,processKey线程探针也将执行。从而保证能够实时准确的获取到下发限制进程命令中的进程信息;
作为一种举例说明,所述进程类型包括:系统进程、用户进程;
步骤三:进程监控模块查询限制进程的hash数据库,主要查询processStatus进程状态,并建立针对进程的进程运行状态库;应用进程运行状态库的逻辑处理单元、修改进程监控模块的告警状态、更新限制进程的hash数据库中的AlarmKey报警标志;同时,系统使用AlarmKey报警标志对未控制的进程进行控制并上报告警;
进一步的,所述进程运行状态库中包含两种变量:
①状态类别变量,包括:进程运行、进程未运行;状态类别变量由hash数据库中的processStatus进程状态赋值;
②告警状态变量:用以赋值hash数据库中的AlarmKey报警标志;
进一步的,所述逻辑处理单元处理逻辑的方法包括:
通过进程状态、告警状态建立逻辑转换图,若下发限制进程命令中的进程处在运行中,则整个进程监控模块需要进入告警状态,向用户告警未能限制的进程;处理逻辑中,进程的状态与告警状态存在映射关系,由进程前一运行状态以及当前运行状态决定告警状态;而告警状态返回到hash数据库中,赋值更新进程的AlarmKey报警标志;
作为一种举例说明,所述进程的状态与告警状态的映射关系为:
①当禁用进程运行,即需要进入告警状态,此时,告警状态为激活;当禁用进程仍在运行,则不需要重复激活告警状态;当禁用进程关闭,则仍不需要激活告警状态;
②当禁用进程未运行,不需要激活告警状态;当发现禁用进程运行,则需要激活告警状态;当禁用进程关闭,则不需要激活告警状态。
本发明的有益效果:。
本发明在统一性上,使用远程服务端通过https协议下发控制策略命令,这样保证了终端群的管理统一性;针对于实时性上,将所有的鉴权信息处理、终端鉴权反应处理逻辑全部设置在终端而非服务端,借用了分布式管理的思想,通过使用管理终端的处理能力,降低了服务端的处理负荷,通过使用监听指针、鉴权锚的设定,保证了较好的实时性;
而关于本发明中的进程管理,不需要占用额外的物理内存,无需使用较多的进程处理外部设备便能保证较好的实时性以及处理速度;通过使用嵌入进程的线程探针,当进程执行,则探针也随之执行,并将信息发送给处理模块;这样的操作,降低了查找进程所需要的时间,加快了进程信息点获取,保证了实时性,同时,也无需将所有正在进行的进程进行查询,不需要建立额外的数据结构来存储实时的进程信息,节省了物理内存空间点占用。
附图说明
图1是本发明一种终端鉴权与进程管理系统及其控制方法之原理设计示意图
图2是本发明一种终端鉴权与进程管理系统及其控制方法之鉴权模块原理设计示意图
图3是本发明一种终端鉴权与进程管理系统及其控制方法之进程监控模块原理设计示意图
图4是本发明一种终端鉴权与进程管理系统及其控制方法之线程探针processKey的功能示意图
图5是本发明一种终端鉴权与进程管理系统及其控制方法之逻辑处理单元处理逻辑的流程示意图
具体实施方式
下面结合附图对本发明的优选实施例进行详细说明。
详见图1至图5所示,一种终端鉴权与进程管理系统及其控制方法,其中:
一种终端鉴权与进程管理系统,主要应用于受控管理的终端系统201,包括:鉴权模块101以及进程监控模块102;
作为一种举例说明,所述终端系统201为:Windows10操作系统,包括PC机以及虚拟机;
进一步的,所述鉴权模块101用于:创建针对用户的登陆日志105,建立动态监听指针实时更新用户的鉴权状态;通过服务端远程的命令下发,修改相应用户的使用权限;
所述鉴权模块101通过下发鉴权命令完成构建,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;
作为一种举例说明,所述鉴权系数为:允许鉴权失败次数;
同时所述鉴权模块101,需要创建连接接口regsvr,用以访问终端系统注册表、获取计算机资源申请事件情况,通过所述连接接口regsvr获取到用户的申请请求情况,从而创建针对用户的登陆日志;
进一步的,所述登陆日志203包括:用户名user_id、登陆系统时间、CountHistory用于记录用户鉴权失败的次数以及CountAnchor为用户的鉴权锚状态;
作为一种举例说明,所述CountHistory以及CountAnchor的初始值均为0;
建立登陆日志105后,鉴权模块101创建监听指针userKey103;
作为一种举例说明,所述监听指针userKey103在用户进行鉴权时,通过所述连接接口regsvr访问计算机资源申请事件,实时地鉴别计算机资源申请事件同步获得用户鉴权情况,从而实现对登陆日志105中的CountHistory参数进行更新;若在申请事件中,用户鉴权失败,则所述CountHistory加1;CountAnchor由下发鉴权命令中的鉴权系数以及CountHistory参数限制;当所述CountHistory超过下发鉴权命令阈值,则CountAnchor设置为1并清零CountHistory;
进一步的,当所述CountAnchor为1时,则建立限制指针banKey202;所述限制指针banKey202用于修改计算机本地安全性授权子系统,限制用户并锁定该用户使用计算机的权限;
进一步的,所述进程监控模块102通过下发限制进程命令完成构建;
作为一种举例说明,所述下发限制进程命令包括:要求监管的进程名称;
所述进程监控模块102通过shell监控所有正在进行的进程,通过对下发限制进程命令中的要求监管的进程插入线程探针processKey104,获取要求监管的进程的信息,构建限制进程的hash数据库,使用限制进程的hash数据库106中的进程运行状态建立进程运行状态库,并使用所述进程运行状态库处理逻辑修改进程监控模块的告警状态以及限制管理进程的运行;
作为一种举例说明,所述shel l即终端系统的底层命令解析器,通过接收用户下发命令从而调用计算机终端的应用程序;
作为一种举例说明,所述hash数据库106中存储的限制进程的信息包括:存储进程的进程号、存储进程名称、processStatus进程状态302以及AlarmKey报警标志303;
作为一种举例说明,所述进程监控模块102使用所述processStatus进程状态302以及AlarmKey报警标志303建立针对各个进程的进程运行状态库;
作为一种举例说明,所述进程运行状态库中,进程状态由所述processStatus进程状态302赋值,包括:进程运行、进程未运行、状态库的处理逻辑、存在进程状态以及告警状态;
作为一种举例说明,所述告警状态为:未能控制并在运行中的进程,需要向所述AlarmKey报警标志303赋值;整个进程监控模块102要进入告警状态,向用户告警未能禁用的进程;
所述进程监控模块102的监控过程包括:获取得到下发限制进程命令,通过使用所述线程探针processKey获取到下发限制进程命令中的进程信息以及进程状态;建立限制进程的hash数据库106,将需要限制进程的运行状态存储在限制进程的hash数据库106中;
作为一种举例说明,在所述进程监控模块102的监控过程中,插入所述线程探针processKey104,表现为包装进入所述下发限制进程命令中要求监管的进程中的线程探针,若所述要求监管的进程正在执行,则所述线程探针processKey104同时执行,将要求监管的进程的进程号、进程状态上报到所述进程监控模块102中的所述hash数据库106中;
一种终端鉴权与进程管理系统的控制方法,包括:鉴权管理方法和进程监控方法,具体为:
鉴权管理方法,包括:
步骤一、鉴权模块101创建针对用户的系统登陆日志105;鉴权模块101通过连接接口regsvr建立与系统注册表的连接;同时建立监听指针userKey103,通过连接接口regsvr实时访问计算机资源申请事件、用以更新用户的登陆日志105;所述登陆日志105包括:用户名user_id、鉴权失败次数CountHistory、用户鉴权锚状态CountAnchor;
进一步的,所述CountHistory由监听指针userKey103进行实时更新;针对不同的用户ID,监听指针userKey103若查询到计算机资源申请失败,则将用户名user_id的CountHistory加1,保证一定的实时性;当所述CountHistory的值超过下发策略中的鉴权系数,即超过允许鉴权失败次数,则将所述CountAnchor设1,并清零所述CountHistory;同时,建立限制指针banKey202;
作为一种举例说明,所述限制指针banKey202用于对启动的本地安全性授权子系统进行修改,限制用户并锁定该用户使用计算机的权限;
步骤二:被管理终端向服务端发送token信息,每个被管理终端由不同的cpu序列号产生独有的token信息;所述服务端下发鉴权命令,同时建立映射关系。实现实时管理操作;
作为一种举例说明,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;
步骤三:鉴权模块101针对不同的用户名user_id,查询登陆日志中失败鉴权次数CountHistory,并与服务端下发的管理命令中的鉴权系数相比、对CountHistory大于鉴权系数的用户,建立限制指针banKey;所述限制指针banKey用于修改本地安全性授权子系统,实现用户的登陆限制,并且由鉴权模块101上发记录;
进程监控方法,包括:
步骤一:进程监控模块102首先获得下发限制进程命令中需要监管的进程,针对这些进程建立限制进程的hash数据库106,用以存储这些需要监管的进程的信息以及进程状态;包括:进程号、存储进程名称、processStatus进程状态302、AlarmKey报警标志303;
步骤二:进程监控模块102针对这些进程,插入线程探针processKey104用以更新步骤一中建立的所述hash数据库106,通过所述线程探针processKey104获取到下发限制进程命令中的进程信息以及进程运行状态,用以更新所述hash数据库106中的进程名称以及processStatus进程状态;
作为一种举例说明,所述线程探针processKey104作为一种插入到进程中的线程而实现,使用windows系统动态链接库,通过进程端口,建立进程句柄从而使用外层循环获取到该进程的所有进程信息;
进一步的,在线程探针processKey104获取信息时,先创建系统进程列表、提取系统进程列表中的列表项信息,包括进程状态、进程号、进程类型;当下发限制进程命令中的进程执行时,processKey线程探针104也将执行。从而保证能够实时准确的获取到下发限制进程命令中的进程信息;
作为一种举例说明,所述进程类型包括:系统进程、用户进程;
步骤三:进程监控模块102查询限制进程的hash数据库106,主要查询processStatus进程状态,并建立针对进程的进程运行状态库;应用进程运行状态库的逻辑处理单元301、修改进程监控模块的告警状态、更新限制进程的hash数据库106中的AlarmKey报警标志303;同时,系统使用AlarmKey报警标志303对未控制的进程进行控制并上报告警;
进一步的,所述进程运行状态库中包含两种变量:
①状态类别变量,包括:进程运行、进程未运行;状态类别变量由hash数据库106中的processStatus进程状态302赋值;
②告警状态变量:用以赋值hash数据库106中的AlarmKey报警标志303;
进一步的,所述逻辑处理单元301的处理逻辑方法包括:
通过进程状态、告警状态建立逻辑转换图,若下发限制进程命令中的进程处在运行中,则整个进程监控模块102需要进入告警状态,向用户告警未能限制的进程;处理逻辑中,进程的状态与告警状态存在映射关系,由进程前一运行状态以及当前运行状态决定告警状态;而告警状态返回到hash数据库106中,赋值更新进程的AlarmKey报警标志303;
作为一种举例说明,所述进程的状态与告警状态的映射关系为:
①当禁用进程运行,即需要进入告警状态,此时,告警状态为激活;当禁用进程仍在运行,则不需要重复激活告警状态;当禁用进程关闭,则仍不需要激活告警状态;
②当禁用进程未运行,不需要激活告警状态;当发现禁用进程运行,则需要激活告警状态;当禁用进程关闭,则不需要激活告警状态。
本发明在统一性上,使用远程服务端通过https协议下发控制策略命令,这样保证了终端群的管理统一性;针对于实时性上,将所有的鉴权信息处理、终端鉴权反应处理逻辑全部设置在终端而非服务端,借用了分布式管理的思想,通过使用管理终端的处理能力,降低了服务端的处理负荷,通过使用监听指针、鉴权锚的设定,保证了较好的实时性;而关于本发明中的进程管理,不需要占用额外的物理内存,无需使用较多的进程处理外部设备便能保证较好的实时性以及处理速度;通过使用嵌入进程的线程探针,当进程执行,则探针也随之执行,并将信息发送给处理模块;这样的操作,降低了查找进程所需要的时间,加快了进程信息点获取,保证了实时性,同时,也无需将所有正在进行的进程进行查询,不需要建立额外的数据结构来存储实时的进程信息,节省了物理内存空间点占用。
以上所述的仅为本发明的优选实施例,所应理解的是,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,并不用于限定本发明的保护范围,凡在本发明的思想和原则之内所做的任何修改、等同替换等等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种终端鉴权与进程管理系统,主要应用于受控管理的终端系统,其特征在于,包括:鉴权模块以及进程监控模块;
所述鉴权模块用于:创建针对用户的登陆日志,建立动态监听指针实时更新用户的鉴权状态;通过服务端远程的命令下发,修改相应用户的使用权限;
所述鉴权模块通过下发鉴权命令完成构建,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;所述鉴权系数为:允许鉴权失败次数。同时所述鉴权模块需要创建连接接口regsvr,用以访问终端系统注册表、获取计算机资源申请事件情况,通过所述连接接口regsvr获取到用户的申请请求情况,从而创建针对用户的登陆日志;建立登陆日志后,鉴权模块创建监听指针userKey;
所述进程监控模块通过下发限制进程命令完成构建;所述下发限制进程命令包括:要求监管的进程名称;
所述进程监控模块通过shell监控所有正在进行的进程,通过对下发限制进程命令中的要求监管的进程插入线程探针processKey,获取要求监管的进程的信息,构建限制进程的hash数据库,使用限制进程的hash数据库中的进程运行状态建立进程运行状态库,并使用所述进程运行状态库处理逻辑修改进程监控模块的告警状态以及限制管理进程的运行。
2.根据权利要求1所述的一种终端鉴权与进程管理系统,其特征在于,所述终端系统为:Windows10操作系统,包括PC机以及虚拟机。
3.根据权利要求1所述的一种终端鉴权与进程管理系统,其特征在于,所述登陆日志包括:用户名user_id、登陆系统时间、CountHistory用于记录用户鉴权失败的次数以及CountAnchor为用户的鉴权锚状态;所述CountHistory以及CountAnchor的初始值均为0。
4.根据权利要求3所述的一种终端鉴权与进程管理系统,其特征在于,所述监听指针userKey在用户进行鉴权时,通过所述连接接口regsvr访问计算机资源申请事件,实时地鉴别计算机资源申请事件同步获得用户鉴权情况,从而实现对登陆日志中的CountHistory参数进行更新;若在申请事件中,用户鉴权失败,则所述CountHistory加1;CountAnchor由下发鉴权命令中的鉴权系数以及CountHistory参数限制;当所述CountHistory超过下发鉴权命令阈值,则CountAnchor设置为1并清零CountHistory。
5.根据权利要求4所述的一种终端鉴权与进程管理系统,其特征在于,当所述CountAnchor为1时,则建立限制指针banKey;所述限制指针banKey用于修改计算机本地安全性授权子系统,限制用户并锁定该用户使用计算机的权限。
6.根据权利要求1所述的一种终端鉴权与进程管理系统,其特征在于,所述shell即终端系统的底层命令解析器,通过接收用户下发命令从而调用计算机终端的应用程序。
7.根据权利要求1所述的一种终端鉴权与进程管理系统,其特征在于,所述hash数据库中存储的限制进程的信息包括:存储进程的进程号、存储进程名称、processStatus进程状态以及AlarmKey报警标志;所述进程监控模块使用所述processStatus进程状态以及AlarmKey报警标志建立针对各个进程的进程运行状态库;所述进程运行状态库中,进程状态由所述processStatus进程状态赋值,包括:进程运行、进程未运行、状态库的处理逻辑、存在进程状态以及告警状态;所述告警状态为:未能控制并在运行中的进程,需要向所述AlarmKey报警标志赋值;整个进程监控模块要进入告警状态,向用户告警未能禁用的进程。
8.根据权利要求7所述的一种终端鉴权与进程管理系统,其特征在于,在所述进程监控模块的监控过程中,插入所述线程探针processKey,表现为包装进入所述下发限制进程命令中要求监管的进程中的线程探针,若所述要求监管的进程正在执行,则所述线程探针processKey同时执行,将要求监管的进程的进程号、进程状态上报到所述进程监控模块中的所述hash数据库中。
9.一种终端鉴权与进程管理系统的控制方法,其特征在于,包括:鉴权管理方法和进程监控方法,具体为:
鉴权管理方法,包括:
步骤一、鉴权模块创建针对用户的系统登陆日志;鉴权模块通过连接接口regsvr建立与系统注册表的连接;同时建立监听指针userKey,通过连接接口regsvr实时访问计算机资源申请事件、用以更新用户的登陆日志;所述登陆日志包括:用户名user_id、鉴权失败次数CountHistory、用户鉴权锚状态CountAnchor;
所述CountHistory由监听指针userKey进行实时更新;针对不同的用户ID,监听指针userKey若查询到计算机资源申请失败,则将用户名user_id的CountHistory加1,保证一定的实时性;当所述CountHistory的值超过下发策略中的鉴权系数,即超过允许鉴权失败次数,则将所述CountAnchor设1,并清零所述CountHistory;同时,建立限制指针banKey;
步骤二:被管理终端向服务端发送token信息,每个被管理终端由不同的cpu序列号产生独有的token信息;所述服务端下发鉴权命令,同时建立映射关系。实现实时管理操作;
步骤三:鉴权模块针对不同的用户名user_id,查询登陆日志中失败鉴权次数CountHistory,并与服务端下发的管理命令中的鉴权系数相比、对CountHistory大于鉴权系数的用户,建立限制指针banKey;所述限制指针banKey用于修改本地安全性授权子系统,实现用户的登陆限制,并且由鉴权模块上发记录;
进程监控方法,包括:
步骤一:进程监控模块首先获得下发限制进程命令中需要监管的进程,针对这些进程建立限制进程的hash数据库,用以存储这些需要监管的进程的信息以及进程状态;包括:进程号、存储进程名称、processStatus进程状态、AlarmKey报警标志;
步骤二:进程监控模块针对这些进程,插入线程探针processKey用以更新步骤一中建立的所述hash数据库,通过所述线程探针processKey获取到下发限制进程命令中的进程信息以及进程运行状态,用以更新所述hash数据库中的进程名称以及processStatus进程状态;
在线程探针processKey获取信息时,先创建系统进程列表、提取系统进程列表中的列表项信息,包括进程状态、进程号、进程类型;当下发限制进程命令中的进程执行时,processKey线程探针也将执行。从而保证能够实时准确的获取到下发限制进程命令中的进程信息;
步骤三:进程监控模块查询限制进程的hash数据库,主要查询processStatus进程状态,并建立针对进程的进程运行状态库;应用进程运行状态库的逻辑处理单元、修改进程监控模块的告警状态、更新限制进程的hash数据库中的AlarmKey报警标志;同时,系统使用AlarmKey报警标志对未控制的进程进行控制并上报告警;
所述进程运行状态库中包含两种变量:
状态类别变量,包括:进程运行、进程未运行;状态类别变量由hash数据库中的processStatus进程状态赋值;
告警状态变量:用以赋值hash数据库中的AlarmKey报警标志;
所述逻辑处理单元处理逻辑的方法包括:
通过进程状态、告警状态建立逻辑转换图,若下发限制进程命令中的进程处在运行中,则整个进程监控模块需要进入告警状态,向用户告警未能限制的进程;处理逻辑中,进程的状态与告警状态存在映射关系,由进程前一运行状态以及当前运行状态决定告警状态;而告警状态返回到hash数据库中,赋值更新进程的AlarmKey报警标志;
所述进程的状态与告警状态的映射关系为:
当禁用进程运行,即需要进入告警状态,此时,告警状态为激活;当禁用进程仍在运行,则不需要重复激活告警状态;当禁用进程关闭,则仍不需要激活告警状态;
当禁用进程未运行,不需要激活告警状态;当发现禁用进程运行,则需要激活告警状态;当禁用进程关闭,则不需要激活告警状态。
10.根据权利要求9所述的一种终端鉴权与进程管理系统的控制方法,其特征在于,所述限制指针banKey用于对启动的本地安全性授权子系统进行修改,限制用户并锁定该用户使用计算机的权限;所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;所述线程探针processKey作为一种插入到进程中的线程而实现,使用windows系统动态链接库,通过进程端口,建立进程句柄从而使用外层循环获取到该进程的所有进程信息;所述进程类型包括:系统进程、用户进程。
CN202010297350.4A 2020-04-15 2020-04-15 一种终端鉴权与进程管理系统及其控制方法 Active CN111506476B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010297350.4A CN111506476B (zh) 2020-04-15 2020-04-15 一种终端鉴权与进程管理系统及其控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010297350.4A CN111506476B (zh) 2020-04-15 2020-04-15 一种终端鉴权与进程管理系统及其控制方法

Publications (2)

Publication Number Publication Date
CN111506476A true CN111506476A (zh) 2020-08-07
CN111506476B CN111506476B (zh) 2021-11-26

Family

ID=71872644

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010297350.4A Active CN111506476B (zh) 2020-04-15 2020-04-15 一种终端鉴权与进程管理系统及其控制方法

Country Status (1)

Country Link
CN (1) CN111506476B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113076130A (zh) * 2021-03-23 2021-07-06 上海金融期货信息技术有限公司 基于shell脚本的通用柜台系统运维方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07253912A (ja) * 1994-03-16 1995-10-03 Toshiba Corp プロセス監視装置
CN101853205A (zh) * 2010-06-23 2010-10-06 山东中创软件商用中间件股份有限公司 一种监控程序运行的方法和装置
CN106775981A (zh) * 2016-12-15 2017-05-31 北京奇虎科技有限公司 一种进程处理方法、装置及计算机可读介质
CN107193712A (zh) * 2017-06-01 2017-09-22 北京匡恩网络科技有限责任公司 一种用于进程管理的方法和装置
CN110188018A (zh) * 2019-05-29 2019-08-30 广州伟宏智能科技有限公司 一种数据同步复制软件运维监控系统
CN110515806A (zh) * 2019-08-30 2019-11-29 北京博睿宏远数据科技股份有限公司 探针配置方法、装置、计算机设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07253912A (ja) * 1994-03-16 1995-10-03 Toshiba Corp プロセス監視装置
CN101853205A (zh) * 2010-06-23 2010-10-06 山东中创软件商用中间件股份有限公司 一种监控程序运行的方法和装置
CN106775981A (zh) * 2016-12-15 2017-05-31 北京奇虎科技有限公司 一种进程处理方法、装置及计算机可读介质
CN107193712A (zh) * 2017-06-01 2017-09-22 北京匡恩网络科技有限责任公司 一种用于进程管理的方法和装置
CN110188018A (zh) * 2019-05-29 2019-08-30 广州伟宏智能科技有限公司 一种数据同步复制软件运维监控系统
CN110515806A (zh) * 2019-08-30 2019-11-29 北京博睿宏远数据科技股份有限公司 探针配置方法、装置、计算机设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
郭云鹏: ""云服务用户鉴权模型的研究与实现"", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113076130A (zh) * 2021-03-23 2021-07-06 上海金融期货信息技术有限公司 基于shell脚本的通用柜台系统运维方法

Also Published As

Publication number Publication date
CN111506476B (zh) 2021-11-26

Similar Documents

Publication Publication Date Title
US8423790B2 (en) Module validation
CN112528251B (zh) 用户账号权限管理方法、装置、设备以及可读介质
CN106874125B (zh) 多容器系统间共享系统资源的方法及装置
CN106487744B (zh) 一种基于Redis存储的Shiro验证方法
CN104735091B (zh) 一种基于Linux系统的用户访问控制方法和装置
JP2000315167A (ja) データ管理装置、計算機システムおよびプログラムを記憶した記憶媒体
CN110289965B (zh) 一种应用程序服务的管理方法及装置
US11720712B2 (en) Managing registry access on a computer device
WO1998050853A1 (en) Network desktop management security system and method
CN111506476B (zh) 一种终端鉴权与进程管理系统及其控制方法
JP7566146B2 (ja) オブジェクト処理方法、装置、及びコンピュータ機器
US8458151B2 (en) Network device and method for updating data of the network device
CN111488331A (zh) 数据库连接方法、装置和计算机设备
CN102201935B (zh) 一种基于view的访问控制方法及其装置
CN111970162B (zh) 一种超融合架构下的异构gis平台服务中控系统
CN106933605A (zh) 一种智能的进程识别控制方法和系统
CN102122331B (zh) 一种构造“In-VM”恶意代码检测架构的方法
CN112733165B (zh) 一种文件访问控制方法、装置及介质
CN111414625A (zh) 支持主动可信能力的计算机可信软件栈实现方法及系统
JP2009521030A (ja) 分散及び集中システムにおいて役割を定義する際のコンポーネント・ターゲットの使用
CN117057754B (zh) 一种校园身份访问认证管理系统
Burns et al. Scalable session locking for a distributed file system
CN105827651B (zh) 一种scada系统的访问控制方法
CN118474105A (zh) 一种门禁部署系统、方法及设备
CN116455942A (zh) 一种物联表扩展模组的数据交互方法及管理方法、物联表

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant