一种可信白名单特权清单的设计方法、系统及存储介质

文献发布时间：2024-01-17 01:13:28

技术领域

本发明涉及可信计算技术领域，特别是涉及一种可信白名单特权清单的设计方法、系统及存储介质。

背景技术

目前，可信计算技术的应用主要涉及可信启动、静态度量、动态度量、可信白名单程序、文件访问控制等功能。随着可信计算技术在通用计算机、服务器上不断验证和应用，在给通用计算机及服务器等计算节点提供安全防护功能的同时，也带来了很多维护和运营过程的使用不便性和不友好，很多操作和程序运行会受到限制。

为了使部署了可信计算组件或模块的计算机、服务器节点的文件有权限访问、程序有权限执行，需要人为将待访问的文件以及希望运行的程序逐个添加到可信白名单中。为了解决文件访问、程序执行问题，现有技术中，一般采用人为将待访问的文件以及希望运行的程序逐个添加到可信白名单中的方法，该方法存在以下几方面缺点：文件逐个增加效率低下，操作繁琐，而且随着时间的推移，后期类似的新文件访问和新程序的运行需求会逐步增加，操作工作量越来越大，存在人为操作出错的情况，如多加或遗漏等。

发明内容

本发明的目的是提供一种可信白名单特权清单的设计方法、系统及存储介质，可实现在对可信白名单外程序进行限制、管控的同时，还提供了一种快捷高效的程序授权和文件访问授权的方法，进而实现在部署了可信计算组件或模块的计算机、服务器节点上，对需要进行临时调试、设备维护、程序升级等情况给予新程序或文件的授权，让维护工作更高效、友好。

为实现上述目的，本发明提供了如下方案：

本发明公开了一种可信白名单特权清单的设计方法，所述方法的步骤包括：

步骤1：设置一个或多个特权清单目录；

步骤2：设置可信白名单特权清单功能投退开关；

步骤3：将需要给予特权的程序和文件拷贝到特权清单目录；

步骤4：对拷贝到特权清单目录的所有程序和文件进行审计；

步骤5：可信白名单判断模块对需要运行的程序和文件进行判断；

步骤6：根据步骤5的判断结果，对程序和文件的运行访问结果进行审计记录。

进一步的，所述可信白名单判断模块对需要运行的程序和文件进行判断，具体包括：

步骤5.1：程序和文件是否在可信标准白名单内，如果在白名单内，则给予权限运行和访问；如果不在白名单内，则进入下一步5.2；

步骤5.2：特权清单功能投退开关是否投入，如果开关没有投入，则拒绝运行和访问，终止操作；给予权限运行和访问；如果开关有投入，则进入下一步5.3；

步骤5.3：程序和文件是否在特权清单目录内，如果在特权清单目录内，则给予权限运行和访问，并对程序和文件运行访问进行特殊标记审计记录；如果不在特权清单目录内，则拒绝运行和访问，终止操作。

本发明提供了一种可信白名单特权清单的设计系统，应用于所述可信白名单特权清单的设计方法，包括：

第一设置单元，用于设置一个或多个可信白名单特权清单目录；

第二设置单元，用于设置可信白名单特权清单功能投退开关；

拷贝单元，用于将需要给予特权的程序和文件拷贝到可信白名单特权清单目录；

第一审计单元，用于对拷贝到可信白名单特权清单目录的所有程序和文件进行审计；

判断单元，用于对需要运行的程序和文件进行运行和访问权限判断；

第二审计单元，用于根据判断单元的判断结果，对程序和文件的运行访问结果进行审计记录。

进一步的，所述判断单元包括：

第一判断模块，用于判断需要运行的程序和文件是否在可信标准白名单内，如果在，则给予权限运行和访问；如果不在，则进入第二判断单元；

第二判断模块，用于判断可信白名单特权清单功能投退开关是否投入，如果没有投入，则拒绝运行和访问，终止操作；如果有投入，则进入第三判断单元；

第三判断模块，用于判断需要运行的程序和文件是否在可信白名单特权清单目录内，如果在可信白名单特权清单目录内，则给予权限运行和访问，并对程序和文件运行访问进行特殊标记审计记录；如果不在可信白名单特权清单目录内，则拒绝运行和访问，终止操作。

本发明还提供了一种电子装置，包括：

一个或多个处理器；

存储器；

一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于执行所述可信白名单特权清单的设计方法。

本发明还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述可信白名单特权清单的设计方法。

根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明提供提供的可信白名单特权清单的设计方法，可以避免人为操作及其带来的误差，且操作简单方便，可实现在对可信白名单外程序进行限制、管控的同时，还提供了一种快捷高效的程序授权和文件访问授权的方法，进而实现在部署了可信计算组件或模块的计算机、服务器节点上，对需要进行临时调试、设备维护、程序升级等情况给予新程序或文件的授权，让维护工作更高效、友好。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明可信白名单特权清单的设计方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种可信白名单特权清单的设计方法，可实现在对可信白名单外程序进行限制、管控的同时，还提供了一种快捷高效的程序授权和文件访问授权的方法，进而实现在部署了可信计算组件或模块的计算机、服务器节点上，对需要进行临时调试、设备维护、程序升级等情况给予新程序或文件的授权，让维护工作更高效、友好。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

如图1所示，本发明实施例提供的可信白名单特权清单的设计方法，如下步骤实施：

步骤1：设置一个或多个特权清单目录；

步骤2：设置可信白名单特权清单功能投退开关；

步骤3：将需要给予特权的程序和文件拷贝到特权清单目录；

步骤4：对拷贝到特权清单目录的所有程序和文件进行审计；

步骤5：可信白名单判断模块对需要运行的程序和文件进行判断；

步骤6：根据步骤5的判断结果，对程序和文件的运行访问结果进行审计记录。

在本实施例中，可信白名单判断模块对需要运行的程序和文件进行判断，具体包括：

步骤5.1：程序和文件是否在可信标准白名单内，如果在白名单内，则给予权限运行和访问；如果不在白名单内，则进入下一步5.2；

本发明可以在对可信白名单外程序进行限制、管控的同时，还提供了一种快捷高效的程序授权和文件访问授权的方法。从而到达在部署了可信计算组件或模块的计算机、服务器节点上，需要进行临时调试、设备维护、程序升级等情况给予新程序或文件的授权，让维护工作更高效和更友好。

本发明实施例中提供了一种可信白名单特权清单的设计系统，应用于所述可信白名单特权清单的设计方法，包括：

第一设置单元，用于设置一个或多个可信白名单特权清单目录；

第二设置单元，用于设置可信白名单特权清单功能投退开关；

拷贝单元，用于将需要给予特权的程序和文件拷贝到可信白名单特权清单目录；

第一审计单元，用于对拷贝到可信白名单特权清单目录的所有程序和文件进行审计；

判断单元，用于对需要运行的程序和文件进行运行和访问权限判断；

第一审计单元，用于根据判断单元的判断结果，对程序和文件的运行访问结果进行审计记录。

本实施例中，所述判断单元包括：

第一判断模块，用于判断需要运行的程序和文件是否在可信标准白名单内，如果在，则给予权限运行和访问；如果不在，则进入第二判断单元；

本发明实施例中，还提供了一种电子装置，包括：

一个或多个处理器；

存储器；

本发明实施例中，还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述可信白名单特权清单的设计方法。

本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。在以上描述中，为了提供对本发明的透彻理解，阐述了大量特定细节。然而，对于本领域普通技术人员显而易见的是：不必采用这些特定细节来实行本发明。在其他实例中，为了避免混淆本发明，未具体描述公知的技术，例如具体的施工细节，作业条件和其他的技术条件等。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：郭晨宇;
专利申请人：南京捷安信息科技有限公司;

上一篇：区块链系统中的链状态更新方法和区块链节点
下一篇：高压断路器的状态评估方法、装置、电子设备及存储介质