CN112214760A - 基于可信根度量进行应用程序的管理方法、装置及相关产品 - Google Patents
基于可信根度量进行应用程序的管理方法、装置及相关产品 Download PDFInfo
- Publication number
- CN112214760A CN112214760A CN202011133570.XA CN202011133570A CN112214760A CN 112214760 A CN112214760 A CN 112214760A CN 202011133570 A CN202011133570 A CN 202011133570A CN 112214760 A CN112214760 A CN 112214760A
- Authority
- CN
- China
- Prior art keywords
- application program
- application
- trusted
- behavior data
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供了一种基于可信根度量进行应用程序的管理方法、装置及相关产品,管理方法包括:根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;实时采集在所述电子设备上运行的任一应用程序的实时行为数据;若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。本申请实施例保证了电子设备上未被篡改的应用程序才可以正常运行,从而保证了单个电子设备的安全,最终保证了应用电子设备组成的数据系统的安全。
Description
技术领域
本申请涉及区块链技术领域,特别是涉及一种基于可信根度量进行应用程序的管理方法、装置及相关产品。
背景技术
区块链系统本质上是分布式数据存储系统、点对点传输、共识机制、加密算法等技术的集成应用模式,能够在互联网上实现传统互联网无法实现的信任和价值传递。其基于密码学原理而非信用的特征,使得任何达成一致的双方能够直接交易,不需要第三方中介的参与。另一方面,区块链中几乎不存在单点故障,链上的数据存储在全球无数台机器节点(又称之为电子设备)上,使得数据“稳定”、“可信”且“不可篡改”,这重新赋予了网络上的数据一种可以被信任的价值。
但是,由于区块链系统中所有电子设备实际上处于互联网大环境中,其上运行个各种应用程序很容易被篡改,使得单个电子设备不再安全,最终导致整个区块链系统存在极大的安全隐患。
发明内容
基于上述问题,本申请实施例提供了一种基于可信根度量进行应用程序的管理方法、装置及相关产品。
本申请实施例公开了如下技术方案:
1、一种基于可信根度量进行应用程序的管理方法,其特征在于,包括:
根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
2、根据权利要求1所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库,之前包括:
根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
3、根据权利要求2所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:
根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
4、根据权利要求3所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:
在电子设备在上电启动之后,且其应用程序启动之前,对所述应用程序的完整性数据进行散列运算得到散列摘要值,根据所述散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
5、根据权利要求1所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:
根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
6、根据权利要求4所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:
在所述各个应用程序启动之后,对所述各个应用程序的完整性数据进行散列运算得到操作系统散列摘要值;对所述电子设备上的应用程序的完整性数据进行散列运算得到各个应用程序的散列摘要值;根据所述各个应用程序的散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
7、根据权利要求1-6任一项所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,之后包括:
根据计算出的可信值,生成可信度量日志,所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的散列摘要值。
8、根据权利要7所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库,包括:
对所述可信度量日志进行解析,获得所述各个应用程序启动过程中调用的文件以及对应的散列摘要值;
根据所述各个应用程序启动过程中调用的文件以及对应的散列摘要值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库。
9、一种计算机存储介质,其特征在于,所述计算机存储介质上存储有被执行时执行权利要求1-8任一项所述基于可信根度量进行应用程序的管理方法的计算机软件程序。
10、一种电子设备,其特征在于,包括存储器以及处理器,所述存储器上存储有计算机软件程序,所述处理器运行所述计算机软件程序时执行如下步骤:
根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
11、根据权利要求10所述电子设备,其特征在于,所述处理器在执行根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库,之前,还根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
12、根据权利要求11所述电子设备,其特征在于,所述处理器在根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
13、根据权利要求12所述电子设备,其特征在于,所述处理器在根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,在电子设备在上电启动之后,且其应用程序启动之前,对所述应用程序的完整性数据进行散列运算得到散列摘要值,根据所述散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
14、根据权利要求10所述电子设备,其特征在于,所述处理器在根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
15、根据权利要求13所述电子设备,其特征在于,所述处理器在根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,在所述各个应用程序启动之后,对所述各个应用程序的完整性数据进行散列运算得到操作系统散列摘要值;对所述电子设备上的应用程序的完整性数据进行散列运算得到各个应用程序的散列摘要值;根据所述各个应用程序的散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
16、根据权利要求10-15任一项所述电子设备,其特征在于,所述处理器在根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值之后,还根据计算出的可信值,生成可信度量日志,所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的散列摘要值。
17、根据权利要16所述电子设备,其特征在于,所述处理器在根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库时,对所述可信度量日志进行解析,获得所述各个应用程序启动过程中调用的文件以及对应的散列摘要值,以及根据所述各个应用程序启动过程中调用的文件以及对应的散列摘要值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库。
18、一种基于可信根度量进行应用程序的管理装置,其特征在于,包括:
规则库形成单元,用于根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
行为数据采集单元,用于实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
应用程序管理单元,当所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配时,则允许所述任一应用程序继续运行。
19、一种区块链系统,其特征在于,包括若干个如权利要求10-17任一项所述的电子设备,每个电子设备做为所述区块链系统中的一个区块链节点。
20、根据权利要求19所述区块链系统,其特征在于,对于所述区块链系统中所有电子设备配置有相同的应用程序白名单;或者,对于所述区块链系统中每个电子设备配置有应用程序自定义白名单。本申请实施例的技术方案中,通过根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;实时采集在所述电子设备上运行的任一应用程序的实时行为数据;若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行,从而保证电子设备上未被篡改的应用程序才可以正常运行,从而保证了单个电子设备的安全,最终保证了应用电子设备组成的数据系统的安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例基于可信根度量进行应用程序的管理方法流程示意图;
图2为本申请实施例基于可信根度量进行应用程序的管理方法流程示意图;
图3为本申请实施例基于可信根度量进行应用程序的管理方法流程示意图;
图4为本申请实施例计算机存储介质的示意图;
图5为本申请实施例电子设备的结构示意图;
图6为本申请实施例电子设备的硬件结构示意图;
图7为本申请实施例基于可信根度量进行应用程序的管理装置的结构示意图;
图8为本申请区块链系统的架构示意图。
具体实施方式
实施本申请实施例的任一技术方案必不一定需要同时达到以上的所有优点。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本申请实施例基于可信根度量进行应用程序的管理方法流程示意图;如图1所示,其包括:
S101、根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
本实施例中,对电子设备上的所有应用程序的运行状态进行监控获得所有应用程序历史运行的情况,根据历史运行情况建立白名单,使得运行状态一致正常或者一致未被篡改获得应用程序记录在白名单中,白名单中具体可以记录应用程序的名称、执行路径、运行时调用的库文件、可执行文件等等。
本实施例中,直接通过可信值来反映应用程序的可信程度,当然这种可信程度仅仅是一种相对表示并非绝对表示。
本实施例中,可信行为数据包括了白名单上的应用程序运行时的函数调用关系、库文件调用关系以及可执行文件的运行状态信息等等。
本实施例中,每个应用程序的区块链链节点的可信行为数据可以有多个,这些可信行为数据可以键值对的方式存储,或者以列表的方式存储,只要可以建立起应用程序和可信行为数据的对应关系即可。
本实施例中,在形成可信行为数据规则库中,可以以列表的形式形成,也可以树结构的形式形成,只要能建立起每个应用程序和可信行为数据的对应关系,以及不同应用程序对应的可信行为数据之间能相互区别即可。
S102、实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
本实施例中,应用程序的实时行为数据具体存储在实时行为日志中,通过对该实时行为日志进行解析,从中采集任一应用程序的实时行为数据,实时行为数据包括了应用程序运行时的函数调用关系、库文件调用关系以及可执行文件的运行状态信息等等。
S103、若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
本实施例中,若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,表明所述任一应用程序未被篡改,是安全的,因此,不会导致电子设备存在安全隐患,为此,允许所述任一应用程序继续运行。若所述任一应用程序的实时行为数据与所述可信行为规则库中的每一个可信行为数据都不匹配,则表明所述任一应用程序已被篡改,是不安全的,因此,可能会导致电子设备存在安全隐患,为此,可以直接禁止所述任一应用程序继续运行,或者生成警告信息进行提示。
图2为本申请实施例基于可信根度量进行应用程序的管理方法流程示意图;如图2所示,其包括:
S201、根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
可选地,在所述根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,可以根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
进一步地,所述根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,可以包括:在电子设备在上电启动之后,且其应用程序启动之前,对所述应用程序的完整性数据进行散列运算得到散列摘要值,根据所述散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
可替代地,所述根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值可以包括:根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
可选地,所述根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:在所述各个应用程序启动之后,对所述各个应用程序的完整性数据进行散列运算得到操作系统散列摘要值;对所述电子设备上的应用程序的完整性数据进行散列运算得到各个应用程序的散列摘要值;根据所述各个应用程序的散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
本实施例中,所述完整新数据可以包括可执行文件以及库文件,所述执行文件和库文件以动态列表的形式进行存储,以动态地对所述可执行文件和库文件进行更新。所述执行文件和库文件可以关联于系统引导、配置参数等。
具体地,所述可执行文件和库文件可以为对可信值计算影响最大的文件,所述可执行文件和库文件可以分别由多个,对该多个可执行文件和库文件分别计算可信值从而得到多个可信值,对该多个可信值进行统计计算从而得到一个最终的可信值作为应用程序的可信值。该可信值大小用于反映这些可执行文件、库文件是否是按照正常的方式运行。
上述进行散列处理得到散列摘要值,该散列摘要值与可执行文件以及库文件没有被篡改或者异常执行时进行散列处理得到标准散列摘要值进行比对,可信值来标识按照与标准散列摘要值的远近,距离越近,则对应的应用程序约可靠或者可信。
具体地,可以以可执行文件以及库文件的执行路径为单位进行度量,即,对处于同一条执行路径上的可执行文件以及库文件同时进行散列处理,从而减少可信度量所消耗的时间,进一步提高了可信度量的效率。
示例性地,比如,计算可信值时具体可以通过将可执行文件以及库文件的信为迹、行为度量信息基带入到行为动作函数中进行拓展处理得到,该计算可信值的过程可以基于硬件实现或者基于软件方式实现。
S202、根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
S203、实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
S204、若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
本实施例中,上述步骤S202-203与上述图1实施例中的相同,在此不再赘述。
图3为本申请实施例基于可信根度量进行应用程序的管理方法流程示意图;如图3所示,其包括:
S301、根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
S302、根据计算出的可信值,生成可信度量日志,所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的散列摘要值。
S303、根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
可选地,步骤S303中根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库,可以包括:
S313、对所述可信度量日志进行解析,获得所述各个应用程序启动过程中调用的文件以及对应的散列摘要值;
S323、根据所述各个应用程序启动过程中调用的文件以及对应的散列摘要值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库。
本实施例中,同时基于调用的文件本身以及对应散列摘要值确定可信行为数据,可以使得确定出的可信行为数据更加全面以及准确,从而使得形成的可信行为数据规则库更加有效。
S304、实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
S305、若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
本实施例中,步骤S304-305可参见上述相关实施例记载。
图4为本申请实施例计算机存储介质的示意图;如图4所示,所述计算机存储介质上存储有被执行时执行本申请任一所述基于可信根度量进行应用程序的管理方法的计算机软件程序,基于可信根度量进行应用程序的管理方法主要包括如下步骤:
根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
图5为本申请实施例电子设备的结构示意图;如图5所示,所述电子设备包括存储器501以及处理器502,所述存储器上存储有计算机软件程序,所述处理器运行所述计算机软件程序时执行如下步骤:
根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
可选地,在本申请的一实施例中,所述处理器在执行根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库,之前,还根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
可选地,在本申请的一实施例中,所述处理器在根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
可选地,在本申请的一实施例中,所述处理器在根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,在电子设备在上电启动之后,且其应用程序启动之前,对所述应用程序的完整性数据进行散列运算得到散列摘要值,根据所述散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
可选地,在本申请的一实施例中,所述处理器在根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
可选地,在本申请的一实施例中,所述处理器在根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时,在所述各个应用程序启动之后,对所述各个应用程序的完整性数据进行散列运算得到操作系统散列摘要值;对所述电子设备上的应用程序的完整性数据进行散列运算得到各个应用程序的散列摘要值;根据所述各个应用程序的散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
可选地,在本申请的一实施例中,所述处理器在根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值之后,还根据计算出的可信值,生成可信度量日志,所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的散列摘要值。
可选地,在本申请的一实施例中,所述处理器在根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库时,对所述可信度量日志进行解析,获得所述各个应用程序启动过程中调用的文件以及对应的散列摘要值,以及根据所述各个应用程序启动过程中调用的文件以及对应的散列摘要值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分从网络上被下载和安装,和/或从可拆卸介质被安装。在该计算机程序被处理单元(CPU)执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机存储介质或者是上述两者的任意组合。计算机存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
图6为本申请实施例电子设备的硬件结构示意图;如图6所示,该电子设备的硬件结构可以包括:处理器601,通信接口602,计算机可读介质603和通信总线604;
其中,处理器601、通信接口602、计算机可读介质603通过通信总线604完成相互间的通信;
可选的,通信接口602可以为通信模块的接口,如GSM模块的接口;
其中,处理器601具体可以配置为运行存储器上存储的计算机软件程序,从而执行上述任一方法实施例的所有处理步骤或者其中部分处理步骤。
处理器601可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本申请实施例的电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器710、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子装置。
图7为本申请实施例基于可信根度量进行应用程序的管理装置的结构示意图;如图7所示,其包括:
规则库形成单元701,用于根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
行为数据采集单元702,用于实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
应用程序管理单元703,当所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配时,则允许所述任一应用程序继续运行。
图8为本申请区块链系统的架构示意图;如图8所示,区块链系统包括若干个如本申请任一实施例中记载的电子设备,每个电子设备做为所述区块链系统中的一个区块链节点801,对于所述区块链系统中所有电子设备配置有相同的应用程序白名单;或者,对于所述区块链系统中每个电子设备配置有应用程序自定义白名单。
对于所述区块链系统中所有电子设备配置有相同的应用程序白名单的情形,可以使用上述图1-图8的实施例,而对于所述区块链系统中每个电子设备配置有应用程序自定义白名单,区块链系统中的所有电子设备按照设定的共识算法对所有的应用程序自定义白名单进行共识处理,在建立可信行为数据规则库时,基于被所有电子设备共识过的应用程序可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,从而使得在区块链系统内部建立统一的可信行为数据规则库,提高了应用程序管理的效率。
此处,需要说明的是,在所述电子设备上运行的任一应用程序可能为白名单中的应用程序,也可以不是白名单中的应用程序,为此,实际上,由于白名单中的应用程序是可信的,其对应的行为数据也是可信的,即能得到可信行为数据,当其他非白名单中的应用程序运行时,以所述可信行为数据,可以快速地判断出应用程序是否被篡改。若所述任一应用程序是白名单中的应用程序,但实际上,其也有可能被篡改,因此,在被篡改的情形中,对应的实时行为数据与所述可信行为规则库中的每一可信行为数据均不会匹配,反之,若未被篡改,因此,对应的实时行为数据与所述可信行为规则库中的一可信行为数据匹配。
需要说明的是,本说明书中的各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块提示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种基于可信根度量进行应用程序的管理方法,其特征在于,包括:
根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
2.根据权利要求1所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库,之前包括:
根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
3.根据权利要求2所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:
根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
4.根据权利要求3所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设置的静态可信度量模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:
在电子设备在上电启动之后,且其应用程序启动之前,对所述应用程序的完整性数据进行散列运算得到散列摘要值,根据所述散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
5.根据权利要求1所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:
根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
6.根据权利要求4所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设定的动态度量可信机制,实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,包括:
在所述各个应用程序启动之后,对所述各个应用程序的完整性数据进行散列运算得到操作系统散列摘要值;对所述电子设备上的应用程序的完整性数据进行散列运算得到各个应用程序的散列摘要值;根据所述各个应用程序的散列摘要值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。
7.根据权利要求1-6任一项所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据设定的可信计算模型,计算应用程序白名单中各个应用程序在电子设备上运行时的可信值,之后包括:
根据计算出的可信值,生成可信度量日志,所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的散列摘要值。
8.根据权利要7所述基于可信根度量进行应用程序的管理方法,其特征在于,所述根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库,包括:
对所述可信度量日志进行解析,获得所述各个应用程序启动过程中调用的文件以及对应的散列摘要值;
根据所述各个应用程序启动过程中调用的文件以及对应的散列摘要值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库。
9.一种电子设备,其特征在于,包括存储器以及处理器,所述存储器上存储有计算机软件程序,所述处理器运行所述计算机软件程序时执行如下步骤:
根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
若所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配,则允许所述任一应用程序继续运行。
10.一种基于可信根度量进行应用程序的管理装置,其特征在于,包括:
规则库形成单元,用于根据应用程序白名单中各个应用程序的可信值,确定运行所述各个应用程序的电子设备的多个可信行为数据,以形成可信行为数据规则库;
行为数据采集单元,用于实时采集在所述电子设备上运行的任一应用程序的实时行为数据;
应用程序管理单元,当所述任一应用程序的实时行为数据与所述可信行为规则库中的一可信行为数据匹配时,则允许所述任一应用程序继续运行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011133570.XA CN112214760A (zh) | 2020-10-21 | 2020-10-21 | 基于可信根度量进行应用程序的管理方法、装置及相关产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011133570.XA CN112214760A (zh) | 2020-10-21 | 2020-10-21 | 基于可信根度量进行应用程序的管理方法、装置及相关产品 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112214760A true CN112214760A (zh) | 2021-01-12 |
Family
ID=74056414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011133570.XA Pending CN112214760A (zh) | 2020-10-21 | 2020-10-21 | 基于可信根度量进行应用程序的管理方法、装置及相关产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112214760A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114095227A (zh) * | 2021-11-15 | 2022-02-25 | 许昌许继软件技术有限公司 | 一种数据通信网关可信认证方法、系统及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105468978A (zh) * | 2015-11-16 | 2016-04-06 | 国网智能电网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
US20160203313A1 (en) * | 2013-08-23 | 2016-07-14 | British Telecommunications Public Limited Company | Method and apparatus for modifying a computer program in a trusted manner |
CN109460656A (zh) * | 2018-11-06 | 2019-03-12 | 深圳市风云实业有限公司 | 应用程序启动控制方法及计算机终端 |
-
2020
- 2020-10-21 CN CN202011133570.XA patent/CN112214760A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160203313A1 (en) * | 2013-08-23 | 2016-07-14 | British Telecommunications Public Limited Company | Method and apparatus for modifying a computer program in a trusted manner |
CN105468978A (zh) * | 2015-11-16 | 2016-04-06 | 国网智能电网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
CN109460656A (zh) * | 2018-11-06 | 2019-03-12 | 深圳市风云实业有限公司 | 应用程序启动控制方法及计算机终端 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114095227A (zh) * | 2021-11-15 | 2022-02-25 | 许昌许继软件技术有限公司 | 一种数据通信网关可信认证方法、系统及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107133520B (zh) | 云计算平台的可信度量方法和装置 | |
CN110245518B (zh) | 一种数据存储方法、装置及设备 | |
CN110868377B (zh) | 一种网络攻击图的生成方法、装置及电子设备 | |
CN112559635B (zh) | 以太坊联盟链节点的业务处理方法、装置、设备及介质 | |
CN114327803A (zh) | 区块链访问机器学习模型的方法、装置、设备和介质 | |
CN112134883A (zh) | 基于可信计算进行节点间信任关系快速认证的方法、装置及相关产品 | |
CN112991027A (zh) | 基于区块链的招投标信息处理方法、装置、设备、及介质 | |
CN103488937A (zh) | 一种度量方法、电子设备及度量系统 | |
CN112187475A (zh) | 基于可信计算进行多中心记账的方法、装置及相关产品 | |
CN112214760A (zh) | 基于可信根度量进行应用程序的管理方法、装置及相关产品 | |
US11557005B2 (en) | Addressing propagation of inaccurate information in a social networking environment | |
CN112187476A (zh) | 基于可信计算同步区块链状态的方法、装置及相关产品 | |
CN112214759A (zh) | 基于可信根度量进行应用程序的行为权限分配方法、装置及相关产品 | |
US9747448B2 (en) | Cryptographic mechanisms to provide information privacy and integrity | |
CN110022327B (zh) | 一种短信认证测试方法和装置 | |
CN111400771A (zh) | 目标分区的校验方法及装置、存储介质、计算机设备 | |
CN112202765A (zh) | 基于可信计算的区块链共识出块方法、装置及相关产品 | |
CN112162782A (zh) | 基于可信根动态度量确定应用程序可信状态的方法、装置及相关产品 | |
CN113569232A (zh) | 容器的可信度量方法、装置及数据系统 | |
CN115130114A (zh) | 一种网关安全启动方法、装置、电子设备及存储介质 | |
CN115391801A (zh) | 区块链系统中加密模块的更新方法、装置及相关产品 | |
CN114338051A (zh) | 区块链获取随机数的方法、装置、设备和介质 | |
CN111949738A (zh) | 基于区块链的数据存储去重方法、终端设备和存储介质 | |
CN111598584A (zh) | 基于区块链的商品追溯方法及电子设备 | |
CN113824683A (zh) | 可信域的建立方法、装置及数据系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |