CN114417426B - 基于紧耦合规则的可信验证方法、装置、存储介质和电子设备 - Google Patents
基于紧耦合规则的可信验证方法、装置、存储介质和电子设备 Download PDFInfo
- Publication number
- CN114417426B CN114417426B CN202210317499.3A CN202210317499A CN114417426B CN 114417426 B CN114417426 B CN 114417426B CN 202210317499 A CN202210317499 A CN 202210317499A CN 114417426 B CN114417426 B CN 114417426B
- Authority
- CN
- China
- Prior art keywords
- file
- attribute
- verification
- trusted
- credible
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于紧耦合规则的可信验证方法、装置、存储介质和电子设备。所述方法包括:将可信规则保存在文件的扩展属性中;当具有所述可信规则的文件被访问时,读取所述文件的可信规则以进行可信验证。通过将可信规则存在与文件自身的扩展属性中,所以当文件被访问时可以直接读取文件自身属性从而省去了检索的步骤,不依赖规则集,可以有效提高可信验证的速度。且因为可信规则存在于文件自身属性中所以可以在文件被访问时才读取相关规则,不需要提前将规则导入到内存中,减少了可信验证对系统资源的占用。此外,由于可信规则分散存储于各个文件的扩展属性中,即便某个文件的可信规则被破坏,也不会导致全部可信规则失效的问题。
Description
技术领域
本发明涉及计算机技术领域,特别是一种基于紧耦合规则的可信验证方法、装置、存储介质和电子设备。
背景技术
现阶段网络安全问题多样,面对这些安全威胁,传统的防护手段主要依赖防火墙、入侵检测系统和恶意代码防护工具等被动防御手段。而攻击者层出不穷的攻击手段和不断涌现的新型漏洞,使得传统的被动防护措施难以适应当今复杂的网络环境。
可信计算作为一种主动免疫机制,在当下越来越被重视,可信计算利用摘要算法计算并记录文件的基准数值,在文件被访问时确保文件没有被修改,传统可信验证存在如下问题:
1. 可信计算的效率会随着客体的增加而逐步下降,对系统程序的启动效率有很大影响。
2. 可信规则存储过于集中,一旦规则文件遭到破坏,将造成所有文件的可信规则不可用。
3. 可信开启状态下程序运行依赖于规则集。
4. 运行时需要在系统内存中保存规则集,会对系统资源造成一定消耗。
因鉴于此,特提出本发明。
发明内容
本发明的目的在于提供一种基于紧耦合规则的可信验证方法、装置、存储介质和电子设备,解决传统可信计算中启动效率低、系统资源消耗大、可信规则被破坏使得全部文件可信计算失效的问题。
为解决上述问题,第一方面,本发明实施例提供一种基于紧耦合规则的可信验证方法,包括:
将可信规则保存在文件的扩展属性中;
当具有所述可信规则的文件被访问时,读取所述文件的可信规则以进行可信验证。
进一步地,所述将可信规则保存在文件的扩展属性中包括:
在所述扩展属性中设置可信验证标志属性和可信验证摘要属性;所述可信验证标志属性用于确定所述文件所要执行的动作;所述可信验证摘要属性用于验证文件是否被篡改。
进一步地,所述在所述扩展属性中设置可信验证标志属性和可信验证摘要属性包括:
获取待设置文件的列表和需要设置的可信验证标志属性;
读取所述文件的内容并计算文件内容摘要;
读取所述文件的属性并计算文件属性摘要;其中,所述文件内容摘要和所述文件属性摘要作为所述可信验证摘要属性;
将所述可信验证标志属性和所述可信验证摘要属性保存到文件的扩展属性中。
进一步地,在所述获取待设置文件的列表和需要设置的可信属性之前,所述方法还包括:
获取策略文件的位置;其中,所述待设置文件的列表和需要设置的可信属性从所述策略文件中获取。
进一步地,在所述可信验证标志属性中配置N个标志信息,其中N*2为所述策略文件中对需要进行可信验证的文件所执行动作的个数;每个标志信息由1位二进制数表示。
进一步地,使用位域配置每个所述标志信息在一个字节的内存空间中所存放的位置。
进一步地,当具有所述可信规则的文件被访问时,所述读取所述文件的可信规则以进行可信验证包括:
读取可信验证标志属性,确认文件是否需要可信验证以及待可信验证文件需要和/或允许执行的动作;
读取可信验证摘要属性进行验证,若验证通过则允许对文件进行访问,否则阻止访问。
第二方面,本发明实施例提供一种基于紧耦合规则的可信验证装置,包括:
可信规则保存模块,用于将可信规则保存在文件的扩展属性中;
可信验证模块,用于当具有所述可信规则的文件被访问时,读取所述文件的可信规则以进行可信验证。
第三方面,本发明实施例提供一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的方法。
第四方面,本发明实施例提供一种电子设备,所述电子设备包括:
一个或多个处理器;以及
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
本发明实施例提供的一种基于紧耦合规则的可信验证方法、装置、存储介质和电子设备,将可信规则存在与文件自身的扩展属性中,所以当文件被访问时可以直接读取文件自身属性从而省去了检索的步骤,不依赖规则集,可以有效提高可信验证的速度。且因为可信规则存在于文件自身属性中所以可以在文件被访问时才读取相关规则,不需要提前将规则导入到内存中,减少了可信验证对系统资源的占用。此外,由于可信规则分散存储于各个文件的扩展属性中,即便某个文件的可信规则被破坏,也不会导致全部可信规则失效的问题。
附图说明
图1示出了根据本发明的实施例的基于紧耦合规则的可信验证方法的流程图;
图2示出了根据本发明的实施例的将可信规则保存在文件的扩展属性的详细过程的流程图;
图3示出了根据本发明的实施例的读取所述文件的可信规则以进行可信验证的详细过程的流程图;
图4示出了根据本发明的实施例的示例性扩展属性信息;
图5示出了根据本发明实施例的示例性可信验证标志属性信息;
图6示出了根据本发明实施例的示例性可信验证标志属性的标志位信息;
图7示出了根据本发明的示例性的可信验证标志属性的数据结构描述信息;
图8示出了根据本发明的示例性可信验证标志属性信息;
图9示出了根据本发明的实施例的基于紧耦合规则的可信验证装置的框图;
图10示出了能够实施本发明的多个实施例的计算设备的框图。
具体实施方式
下面将参考附图中示出的若干示例性实施方式来描述本发明的原理和精神。应当理解,描述这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。
在本发明的实施例的描述中,术语“包括”及其类似用语应当理解为开放性包含,即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
如前文所述,在现有技术中,可信计算的效率会随着客体的增加而逐步下降,对系统程序的启动效率有很大影响。此外,一旦规则文件遭到破坏,将造成所有文件的可信规则不可用。然而,在本发明提供下文的技术方案解决上述问题之前,相关技术中并没有发现上述问题产生的内在原因。
鉴于此,发明人对以上技术问题展开了研究和剖析。发明人经过研究发现,造成这种问题的原因在于现有的可信计算依赖于规则集,可信计算运行时需要在系统内存中集中保存规则集,这会对系统资源造成一定消耗。客体越多,规则集占用的系统资源也越多,而又因为在对单一的文件进行可信验证时需要调动整个规则集进行计算,消耗的系统资源也就越来越多。规则集作为一个完整的规则文件,即使对部分文件的可信规则遭到破坏,也会导致整个规则集不可用,从而产生了上述问题。
请参考图1,为了解决上述问题,本发明实施例提供一种基于紧耦合规则的可信验证方法300,包括:
步骤302:将可信规则保存在文件的扩展属性中;
步骤304:当具有所述可信规则的文件被访问时,读取所述文件的可信规则以进行可信验证。
由于可信规则分散存储于各个文件的扩展属性中,因此各文件的可信规则相对独立,不会互相影响,只有当访问到某一文件时才读取其可信规则,而不用单独存储和调用全部文件的可信规则集。节省了运行时内存保存规则集所需要的大量空间和调用时所消耗的系统资源。由于各个可信规则独立存在且验证时独立调用,不需要不断容纳新的可信规则的规则集,因此即便可信规则数量增加也不会影响可信验证速度,且即便部分文件的可信规则被破坏也不会对其他完好可信规则文件的验证。
步骤302的一些实施例中, 可以在所述扩展属性中设置可信验证标志属性和可信验证摘要属性。其中,可信验证标志属性用于确定待可信验证的文件所要执行的动作。可信验证摘要属性用于验证文件是否被篡改。
结合图2,在一些实施例中,为了获取可信验证标志属性,步骤302可以按照如下方式展开:
步骤302a,从操作系统工具的命令行参数中获取策略文件的位置。策略文件中包括了待设置可信规则的文件列表以及相应可信规则的设置和验证策略。
步骤302b,从策略文件中获取待设置文件的列表和需要设置的可信验证标志属性。策略文件内的策略以附加文件路径的形式配置,这样在查找到文件时可以同时确定文件的可信规则,提升可信验证标志属性的设置效率和精确性。
更为具体地,可信验证标志属性中配置有N个标志信息,其中N*2为策略文件中对需要进行可信验证的文件所执行动作的个数;每个标志信息由1位二进制数表示。作为一个示例,策略文件中对文件执行的动作包括8种,对应4个标志信息,每个标志信息用二进制数“0”或“1”表示。以上8种动作及其对应的标志信息的二进制数配置为:
静态度量或验证(appraise):
0:表示不需要对文件进行静态度量或验证。
1:表示需要对文件进行静态度量或验证。
动态度量或验证(dynamic):
0:表示不需要对文件进行动态度量或验证。
1:表示需要对文件进行动态度量或验证。
删除(no_unlinking):
0:表示文件或目录允许被删除。
1:表示文件或目录禁止被删除。
修改(no_modifying):
0:表示文件允许被修改。
1:表示文件禁止被修改。
图4-5示出了以上4个标志信息配置时的数据结构,文件的可信验证标志属性定义为security.operation,由1字节无符号整数表示,用二进制整数的低4位,表示可信验证规则中的8种动作,一组相反的动作用1位二进制表示,包括:
需要/不需要对文件进行静态度量或验证(appraise/dont_appraise)、需要/不需要对文件进行动态度量或验证(dynamic/no_dynamic)、允许/不允许删除文件或目录(no_unlinking/unlinking)、允许/禁止修改文件(no_modifying/modifying)。二进制整数中的高4位应为0。至此,本实施例在1个字节的存储空间中就完成了对全部执行动作标志的配置,最大化节约了内存空间。
例如,若可信验证标志属性securiy.operation中no_unlinking标志为1,则该文件不可被删除,若想删除该文件,将被阻止。
对文件可信属性进行初始化时,未描述的动作对应的扩展属性标志应设置为0,例如对文件/dir/a设置appraise和dynamic的可信属性,则文件a的标志扩展属性如图6所示,dynamic和appraise扩展属性标志设置为1,no_modifying、no_unlinking标志设置为0。
配置后文件a的security.operation扩展属性如图8所示,security.operation为0x3(对应的二进制值为:00000011),表示文件a可以被删除、修改,需要动态度量/验证,需要进行静态度量/验证。
在配置数据结构时,如图7所示,可以采用位域来描述各个标志信息在1个字节的内存空间中所占的位置,即优先占用1个字节空间中的低位,这样可以省略高位占用的空间,使得可信属性与文件的耦合更紧密,在大规模访问文件进行可信验证时,这种更为紧密的耦合方式可以提升系统遍历文件的访问效率和速度,更有利于抵御大规模的系统攻击。
如前文所述,在文件的扩展属性中,除了设置可信验证标志属性,还需要设置可信验证摘要属性。因此,在步骤302中,作为一个示例,可信验证摘要属性可以采用如下方式配置:
接下来,进行到步骤302c,读取需要可信验证的文件的内容并计算文件内容摘要(security.ltcs),即可以读取文件内容并调用系统的散列计算函数接口计算文件内容的散列值,其记录了文件内容摘要信息。计算函数接口对应的摘要算法可以为SM3/MD5/SHA1/SHA256,本实施例中默认为SM3。
步骤302d,读取所述文件的属性并计算文件属性摘要(security.lapm),其记录文件属性摘要的HMAC或SM4/RSA签名信息。文件属性包括文件路径、文件名称、文件权限、文件属主、文件属组中的一种或几种的组合。以文件路径作为文件属性摘要的计算依据为例,在本步骤中,可以读取文件的路径并调用系统的散列计算函数接口计算文件路径的散列值,将此值与前文叙述的文件内容的散列值作为文件的可信基准值,也即前文叙述的可信验证摘要属性。
本发明的实施例分别设置文件内容摘要和文件属性摘要,不仅可以防止文件内容被篡改,也可以防止文件属性被篡改,更为全面地配置了可信规则,防止可信验证出现漏洞。此外,将文件内容摘要和文件属性摘要分开,也有利于在验证过程中将两者先后进行验证,当先验证的属性未通过时,可以直接将文件判断为不可信,节约了后续的验证计算资源。
接着,在步骤302e中,将前文所述的可信验证标志属性和可信验证摘要属性保存到文件的扩展属性中。至此,如图4所示,已经为文件扩展了3个新的属性,分为两类,第一类为可信验证标志属性(security.operation),第二类为可信验证摘要属性(security.ltcs/security.lapm)。
在一些实施例中,步骤304可以包括:
304a,读取可信验证标志属性,确认是否需要可信验证以及待可信验证文件需要和/或允许执行的动作。在该步骤中,可以在操作系统中创建内核模块,利用钩子函数在文件被读取前检查文件的扩展属性,确认文件是否需要进行可信验证。如果判断为不需要进行可信验证,则可以省略后续对可信验证摘要属性的验证计算,直接允许文件被访问(步骤304c),节约了计算资源。特别是利用钩子函数检查文件的扩展属性,可以在大规模的文件访问中实现对可信验证启动流程的自动监听,提升了可信验证防御的主动性。若确认需要可信验证,同时读取了待可信验证文件需要和/或允许执行的动作(如前文叙述的8种动作)。
在判断为需要可信验证后,进入步骤304b,读取可信验证摘要属性进行验证,若验证通过,则进入步骤304c,允许对文件进行访问,否则执行步骤304d,阻止对文件的访问。具体地,参照上文的叙述,如果在可信验证摘要属性设置阶段,已经计算了文件内容的散列值和文件路径的散列值作为可信基准值,则在本步骤中,可以读取文件的内容与路径并计算其散列值,将得到的散列值与规则内的可信基准值进行比对。在一些实施例中,在验证可信验证摘要属性时,可以分步验证,例如可以先对文件属性摘要签名进行验签,若文件属性摘要签名验证失败,阻止文件后续操作,若文件属性摘要签名验证通过,则重新计算文件内容摘要进行验证。这样的优点在于,若只有文件属性被篡改,可以在检测到文件属性验证失败后直接将访问的文件判断为不可信,不需要进行后续内容摘要的散列值计算,节约了运算资源,提升了可信验证的效率。
当计算的散列值与可信基准库中的内容比对结果一致时允许此次访问,当发现计算的散列值与可信基准库中的内容不一致时,则判断文件已被篡改,此时的文件被认为时不可信的,将中止对该文件的访问并发送日志。
下面以文件静态可信验证流程为例,验证过程为:
1) 先判断扩展属性中可信验证标志属性security.operation中的appraise标志是否被设置为1。
2) 若设置为1,说明需要进行可信验证;若设置为0,则无需进行静态可信验证。
3) 对文件属性摘要签名进行验签,若文件属性摘要签名验证失败,阻止文件后续操作。
4) 若文件属性摘要签名验证通过,则重新计算文件内容摘要,与security.ltcs扩展属性值进行比较,若相同,则验证通过,若不同,验证失败,阻止文件后续操作。
如图9所示,本发明实施例还提供一种基于紧耦合规则的可信验证装置,包括:
可信规则保存模块402,用于将可信规则保存在文件的扩展属性中;
可信验证模块404,用于当具有所述可信规则的文件被访问时,读取所述文件的可信规则以进行可信验证。
进一步地,可信规则保存模块被配置为:
在所述扩展属性中设置可信验证标志属性和可信验证摘要属性;所述可信验证标志属性用于确定所述文件所要执行的动作;所述可信验证摘要属性用于验证文件是否被篡改。
进一步地,可信规则保存模块被配置为:
获取待设置文件的列表和需要设置的可信验证标志属性;
读取所述文件的内容并计算文件内容摘要;
读取所述文件的属性并计算文件属性摘要;其中,所述文件内容摘要和所述文件属性摘要作为所述可信验证摘要属性;
将所述可信验证标志属性和所述可信验证摘要属性保存到文件的扩展属性中。
进一步地,可信规则保存模块被配置为:
获取策略文件的位置;其中,所述待设置文件的列表和需要设置的可信属性从所述策略文件中获取。
在所述可信验证标志属性中配置N个标志信息,其中N*2为所述策略文件中对需要进行可信验证的文件所执行动作的个数;每个标志信息由1位二进制数表示。此外,还可以使用位域配置每个所述标志信息在一个字节的内存空间中所存放的位置。
进一步地,可信验证模块被配置为:
读取可信验证标志属性,确认待可信验证文件需要和/或允许执行的动作;
读取可信验证摘要属性进行验证,若验证通过则允许对文件进行访问,否则阻止访问。
应当理解是,上述各个程序模块与方法实施例中所描述的各个步骤具有一一对应的关系,在方法实施例中描述的技术方案也可以应用于各个程序模块的具体配置中,为避免重复,在此不再赘述。
根据本发明的实施例,本发明还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图10示出了能够实施本发明的多个实施例的计算设备600的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图10所示,设备600包括计算单元601,其可以根据存储在只读存储器(ROM)602中的计算机程序或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序,来执行各种适当的动作和处理。在RAM 603中,还可存储设备600操作所需的各种程序和数据。计算单元601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理,例如方法300。例如,在一些实施例中,方法300可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM 602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到RAM603并由计算单元601执行时,可以执行上文描述的方法300的一个或多个步骤。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法300。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
本文中应用了具体个例对发明构思进行了详细阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离该发明构思的前提下,所做的任何显而易见的修改、等同替换或其他改进,均应包含在本发明的保护范围之内。
Claims (4)
1.基于紧耦合规则的可信验证方法,其特征在于,包括:
将可信规则保存在文件的扩展属性中;
遍历文件进行可信验证,当具有所述可信规则的文件被访问时,读取所述文件的可信规则以进行可信验证;
所述将可信规则保存在文件的扩展属性中包括:
在所述扩展属性中设置可信验证标志属性和可信验证摘要属性;所述可信验证标志属性用于确定所述文件所要执行的动作;所述可信验证摘要属性用于验证文件是否被篡改;
所述读取所述文件的可信规则以进行可信验证包括:
读取可信验证标志属性,确认文件是否需要可信验证以及待可信验证文件需要和/或允许执行的动作;
读取可信验证摘要属性进行验证,若验证通过则允许对文件进行访问,否则阻止访问;
所述在所述扩展属性中设置可信验证标志属性和可信验证摘要属性包括:
获取待设置文件的列表和需要设置的可信验证标志属性;
读取所述文件的内容并计算文件内容摘要;
读取所述文件的属性并计算文件属性摘要;其中,所述文件内容摘要和所述文件属性摘要作为所述可信验证摘要属性;
将所述可信验证标志属性和所述可信验证摘要属性保存到文件的扩展属性中;在验证可信验证摘要属性时,先对文件属性摘要进行验签,若文件属性摘要验证失败,阻止文件后续操作,若文件属性摘要验证通过,则重新计算文件内容摘要进行验证;
在所述获取待设置文件的列表和需要设置的可信验证标志属性之前,所述方法还包括:
获取策略文件的位置;其中,所述待设置文件的列表和需要设置的可信验证标志属性从所述策略文件中获取;策略文件内的策略以附加文件路径的形式配置;
在所述可信验证标志属性中配置N个标志信息,其中N*2为所述策略文件中对需要进行可信验证的文件所执行动作的个数;每个标志信息由1位二进制数表示;
使用位域配置每个所述标志信息在一个字节的内存空间中所存放的位置。
2.一种基于紧耦合规则的可信验证装置,其特征在于,包括:
可信规则保存模块,用于将可信规则保存在文件的扩展属性中;
可信验证模块,用于遍历文件进行可信验证,当具有所述可信规则的文件被访问时,读取所述文件的可信规则以进行可信验证;
所述可信规则保存模块还被配置为:
在所述扩展属性中设置可信验证标志属性和可信验证摘要属性;所述可信验证标志属性用于确定所述文件所要执行的动作;所述可信验证摘要属性用于验证文件是否被篡改;
所述可信验证模块还被配置为:
读取可信验证标志属性,确认待可信验证文件需要和/或允许执行的动作;
读取可信验证摘要属性进行验证,若验证通过则允许对文件进行访问,否则阻止访问;
所述可信规则保存模块还被配置为:
获取待设置文件的列表和需要设置的可信验证标志属性;
读取所述文件的内容并计算文件内容摘要;
读取所述文件的属性并计算文件属性摘要;其中,所述文件内容摘要和所述文件属性摘要作为所述可信验证摘要属性;
将所述可信验证标志属性和所述可信验证摘要属性保存到文件的扩展属性中;在验证可信验证摘要属性时,先对文件属性摘要进行验签,若文件属性摘要验证失败,阻止文件后续操作,若文件属性摘要验证通过,则重新计算文件内容摘要进行验证;
所述可信规则保存模块还被配置为:
获取策略文件的位置;其中,所述待设置文件的列表和需要设置的可信验证标志属性从所述策略文件中获取;策略文件内的策略以附加文件路径的形式配置;
在所述可信验证标志属性中配置N个标志信息,其中N*2为所述策略文件中对需要进行可信验证的文件所执行动作的个数;每个标志信息由1位二进制数表示;使用位域配置每个所述标志信息在一个字节的内存空间中所存放的位置。
3.一种存储介质,其特征在于,其上存储有计算机程序,所述程序被处理器执行时实现权利要求1所述的方法。
4.一种电子设备,所述电子设备包括:
一个或多个处理器;以及
存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现权利要求1所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210317499.3A CN114417426B (zh) | 2022-03-29 | 2022-03-29 | 基于紧耦合规则的可信验证方法、装置、存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210317499.3A CN114417426B (zh) | 2022-03-29 | 2022-03-29 | 基于紧耦合规则的可信验证方法、装置、存储介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114417426A CN114417426A (zh) | 2022-04-29 |
| CN114417426B true CN114417426B (zh) | 2022-07-01 |
Family
ID=81264395
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210317499.3A Active CN114417426B (zh) | 2022-03-29 | 2022-03-29 | 基于紧耦合规则的可信验证方法、装置、存储介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114417426B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104778410A (zh) * | 2015-04-16 | 2015-07-15 | 电子科技大学 | 一种应用程序完整性验证方法 |
| CN105956493A (zh) * | 2016-06-29 | 2016-09-21 | 乐视控股(北京)有限公司 | 一种手机文件的保护方法及保护装置 |
| US10708256B1 (en) * | 2015-10-13 | 2020-07-07 | Amazon Technologies, Inc. | Identification of trusted certificates |
| CN113190831A (zh) * | 2021-05-27 | 2021-07-30 | 中国人民解放军国防科技大学 | 一种基于tee的操作系统应用完整性度量方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7640582B2 (en) * | 2003-04-16 | 2009-12-29 | Silicon Graphics International | Clustered filesystem for mix of trusted and untrusted nodes |
-
2022
- 2022-03-29 CN CN202210317499.3A patent/CN114417426B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104778410A (zh) * | 2015-04-16 | 2015-07-15 | 电子科技大学 | 一种应用程序完整性验证方法 |
| US10708256B1 (en) * | 2015-10-13 | 2020-07-07 | Amazon Technologies, Inc. | Identification of trusted certificates |
| CN105956493A (zh) * | 2016-06-29 | 2016-09-21 | 乐视控股(北京)有限公司 | 一种手机文件的保护方法及保护装置 |
| CN113190831A (zh) * | 2021-05-27 | 2021-07-30 | 中国人民解放军国防科技大学 | 一种基于tee的操作系统应用完整性度量方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114417426A (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10599843B2 (en) | Identifying whether an application is malicious | |
| US20210258323A1 (en) | Cross-chain data trusted management methods and apparatuses | |
| JP6670907B2 (ja) | スクリプトの実行をブロックするシステム及び方法 | |
| JP4676744B2 (ja) | セキュリティ関連プログラミング・インターフェース | |
| US11824878B2 (en) | Malware detection at endpoint devices | |
| US9270467B1 (en) | Systems and methods for trust propagation of signed files across devices | |
| EP3270317B1 (en) | Dynamic security module server device and operating method thereof | |
| US20180247055A1 (en) | Methods for protecting a host device from untrusted applications by sandboxing | |
| WO2021139308A1 (zh) | 云服务器监控方法、装置、设备及存储介质 | |
| WO2019144548A1 (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| US20200327227A1 (en) | Method of speeding up a full antivirus scan of files on a mobile device | |
| CN115348086B (zh) | 一种攻击防护方法及装置、存储介质及电子设备 | |
| CN111176567A (zh) | 分布式云存储的存储供应量验证方法及装置 | |
| CN114417426B (zh) | 基于紧耦合规则的可信验证方法、装置、存储介质和电子设备 | |
| CN114567678B (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| US20240095362A1 (en) | Methods and apparatuses for starting application on target platform | |
| US11599637B1 (en) | Systems and methods for blocking malicious script execution | |
| CN113342275B (zh) | 区块链节点存取数据的方法、设备和计算机可读存储介质 | |
| CN111625846B (zh) | 一种移动终端设备的系统状态记录方法 | |
| US20210044589A1 (en) | Access control | |
| US11886584B2 (en) | System and method for detecting potentially malicious changes in applications | |
| EP4095727A1 (en) | System and method for detecting potentially malicious changes in applications | |
| CN113672994B (zh) | 一种基于区块链的烹饪设备数据管理方法、装置及其系统 | |
| CN113407940B (zh) | 脚本检测方法、装置、存储介质以及计算机设备 | |
| US20230259606A1 (en) | Asset Access Control Method, Apparatus, Device, and Medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |