开放式的互联网程序白名单策略服务系统、方法及终端技术方案

本发明专利技术公开了一种开放式的互联网程序白名单策略服务系统、方法及终端，包括建立一个互联网程序白名单策略服务系统，向互联网范围的用户提供可信软件程序白名单策略，支持他们的PC等终端和主机依据所提供的程序白名单策略，对主机上的软件安装、调用和运行进行控制，确保只有在程序白名单策略中的程序才可以被正常安装、调用和运行，从而对勒索软件和病毒木马等恶意软件进行有效防范，并保证用户主机运行可信；为了扩大程序白名单策略对互联网范围可信软件的覆盖程度，本发明专利技术支持任何可信第三方自主向本发明专利技术中的互联网程序白名单策略服务系统提交程序白名单策略；本发明专利技术支持对程序白名单策略进行溯源。

Open Whitelist Policy Service System, Method and Terminal for Internet Programs

The invention discloses an open whitelist policy service system, method and terminal for Internet programs, including establishing an Internet program whitelist policy service system, providing trusted software program whitelist strategy to Internet users, supporting their PC terminals and hosts to install, invoke and implement software on the host according to the whitelist policy provided by the program. Running control ensures that only programs in program whitelist strategy can be installed, invoked and run normally, thus effectively guarding against malicious software such as blackmail software and virus Trojan horse, and guaranteeing the trustworthiness of user hosts; In order to expand the coverage of program whitelist strategy to trusted software in Internet scope, the invention supports any trusted third party's autonomous direction. The Internet program whitelist strategy service system of the invention submits the program whitelist strategy; the invention supports tracing the origin of the program whitelist strategy.

【技术实现步骤摘要】
开放式的互联网程序白名单策略服务系统、方法及终端
本专利技术涉及计算机安全
，具体来说，涉及一种开放式的互联网程序白名单策略服务系统、方法及终端。
技术介绍
程序白名单安全控制机制依据程序白名单策略对主机中的软件安装、调用和运行进行控制，只有在程序白名单策略中的程序才可以被正常安装、调用和运行。程序白名单安全控制机制能够很好地帮助主机防范勒索软件和病毒木马的破坏。为互联网范围的用户提供程序白名单策略服务可以帮助用户有效地提升用户PC等主机系统的安全性。但是面向互联网用户的程序白名单策略服务面临着互联网范围内可信软件的覆盖率问题，过低的覆盖率会影响用户的软件安装和操作体验。要提高程序白名单策略对互联网可信软件的覆盖率，互联网程序白名单服务和管理系统应该尽可能扩大程序白名单策略的支持和服务群体。一般来说，提供程序白名单策略的第三方可信机构和个人越多，程序白名单策略对互联网可信软件的覆盖率就会越高，程序白名单策略的时效性也越好，用户的体验也会因此得到极大的改善，进而有更高的意愿使用程序白名单安全控制机制。因此，需要一种开放式的互联网程序白名单策略服务管理系统，支持尽可能多的第三方可信机构和个人，加入到互联网可信软件程序白名单策略服务体系中，为广大互联网用户提供安全服务。
技术实现思路
本专利技术的目的在于提出一种开放式的互联网程序白名单策略服务管理方法及系统，通过支持尽可能多的第三方可信机构和个人提供程序白名单策略，扩大程序白名单策略对互联网可信软件的覆盖率，提高程序白名单策略的时效性，进而改善用户使用程序白名单安全控制机制的操作体验。为实现上述技术目的，本专利技术的技术方案是这样实现的：一种开放式的互联网程序白名单策略服务系统，所述系统包括：授权模块，用于验证第三方是否可信，若可信，允许第三方登陆所述系统，若不可信，拒绝第三方登陆所述系统；登陆模块，用于可信第三方进行身份信息的注册并登陆所述系统；程序白名单策略生成模块，用于使用统一标准的程序白名单策略生成工具给可信第三方的软件生成程序白名单策略；程序白名单策略接收验证模块，用于接收验证所述程序白名单策略，并将验证通过的所述程序白名单策略保存在程序白名单策略库中；程序白名单策略库,用于存储所述程序白名单策略；程序白名单策略管理模块，用于对所述程序白名单策略进行去重和排序，并加上可以辨识的唯一性安全标识下发给互联网用户使用。进一步的，所述程序白名单策略管理模块采用程序文件的hash值作为程序白名单策略的唯一性特征值。进一步的，还包括程序白名单策略安全溯源模块，用于对所述程序白名单策略的生成过程进行溯源。进一步的，所述程序白名单策略安全溯源模块基于程序文件的hash值对程序白名单策略库中的策略进行查询。进一步的，所述程序白名单策略管理模块基于程序文件的hash值通过二分法插值或冒泡排序法对待下发的程序白名单策略进行排序。进一步的，所述程序白名单策略管理模块采用数字签名机制作为程序白名单策略的可辨识性安全标识。进一步的，还包括可信管理机构库和可信管理机构库维护模块，所述授权模块用于验证第三方是否拥有这个库中的机构所颁发的身份证书，当第三方拥有时，认为第三方可信，当第三方不拥有时，认为第三方不可信，所述可信管理机构库维护模块用于根据实际需求对可信管理机构库进行更新和维护。进一步的，还包括可信第三方数据库和可信第三方数据库管理模块，所述可信第三方数据库用于存储可信第三方的注册信息，所述可信第三方数据库管理模块用于对可信第三方数据库进行更新和维护。一种开放式的互联网程序白名单策略服务方法，所述方法包括以下步骤：验证第三方是否可信，若可信，执行以下步骤，若不可信，终止操作；获取可信第三方的身份信息；使用统一标准的程序白名单策略生成工具给可信第三方的软件生成程序白名单策略；接收验证所述程序白名单策略，并将验证通过的所述程序白名单策略保存在程序白名单策略库中；对所述程序白名单策略进行去重和排序，并加上可以辨识的唯一性安全标识下发给互联网用户使用。一种终端，所述终端包括：处理器，适于实现各指令；存储设备，适于存储多条指令，所述指令适于由处理器加载并执行：验证第三方是否可信，若可信，执行以下步骤，若不可信，终止操作；获取可信第三方的身份信息；使用统一标准的程序白名单策略生成工具给可信第三方的软件生成程序白名单策略；接收验证所述程序白名单策略，并将验证通过的所述程序白名单策略保存在程序白名单策略库中；对所述程序白名单策略进行去重和排序，并加上可以辨识的唯一性安全标识下发给互联网用户使用。本专利技术的有益效果：1、本专利技术支持尽可能多的第三方可信机构和个人加入到为互联网用户提供程序白名单策略的安全服务体系中，以最大程度地覆盖互联网范围的可信软件，并保证最好的策略时效性；2、本专利技术支持对程序白名单策略的溯源能力，在发现错误的程序白名单策略或由此导致安全事件后，对策略提交人的身份进行确认，对其提交时间查询等，帮助对安全责任进行认定；3、本专利技术支持对第三方可信机构和个人提交的程序白名单策略进行选择性下发，以尽可能地保证互联网用户的主机安全；4、本专利技术能够对待下发的程序白名单策略进行排序，极大地减少互联网用户主机在程序白名单策略使用过程中的策略查询时间消耗；5、本专利技术将待下发的程序白名单策略加上唯一性安全标记，如数字签名，保证策略下发过程中的真实性和完整性。附图说明图1是本专利技术所述系统的树状结构示意图；图2是本专利技术所述方法的流程图；图3是本专利技术所述终端的结构示意图。具体实施方式下面结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。如图1所示，根据本专利技术的实施例所述的一种开放式的互联网程序白名单策略服务系统，所述系统包括：授权模块6，用于验证第三方是否可信，若可信，允许第三方登陆所述系统，若不可信，拒绝第三方登陆所述系统；登陆模块7，用于可信第三方进行身份信息的注册并登陆所述系统；程序白名单策略生成模块5，用于使用统一标准的程序白名单策略生成工具给可信第三方的软件生成程序白名单策略，使用统一标准的程序白名单策略生成工具可以保证程序白名单策略格式的标准化和一致性；程序白名单策略接收验证模块8，用于接收验证所述程序白名单策略，并将验证通过的所述程序白名单策略保存在程序白名单策略库9中。具体的，程序白名单策略接收验证模块8用于对所述程序白名单策略进行真实性和完整性验证。本系统支持通过多种方式获取可信第三方提交的程序白名单策略，包括但不限于以下方式：1、第三方可信机构和个人通过网络上传和传送（如电子邮件）程序白名单策略；2、第三方可信机构和个人通过其它介质（如磁盘、纸介质等）提交的程序白名单策略；程序白名单策略库10,用于存储所述程序白名单策略。该数据库包括但不限于以下内容：程序白名单策略对应的程序名、程序的唯一性特征（如程序文件hash值）、提交人身份标识（如数字签名）和提交时间等。程序白名单策略管理模块4，用于对所述程序白名单策略进行去重和排序，并加上可以辨识的唯一性安全标识下发给互联网用户使用。在本实施例中，所述程序白名单策略管理模块4采用程序文件的hash值（如MD5或SHA-1等）作为程序白名单策略的唯一性特征值。在本实施例中，还包括程序白名单策略安全溯源模块3，用于本文档来自技高网...

【技术保护点】
1.一种开放式的互联网程序白名单策略服务系统，其特征在于，所述系统包括：授权模块，用于验证第三方是否可信，若可信，允许第三方登陆所述系统，若不可信，拒绝第三方登陆所述系统；登陆模块，用于可信第三方进行身份信息的注册并登陆所述系统；程序白名单策略生成模块，用于使用统一标准的程序白名单策略生成工具给可信第三方的软件生成程序白名单策略；程序白名单策略接收验证模块，用于接收验证所述程序白名单策略，并将验证通过的所述程序白名单策略保存在程序白名单策略库中；程序白名单策略库,用于存储所述程序白名单策略；程序白名单策略管理模块，用于对所述程序白名单策略进行去重和排序，并加上可以辨识的唯一性安全标识下发给互联网用户使用。

【技术特征摘要】
1.一种开放式的互联网程序白名单策略服务系统，其特征在于，所述系统包括：授权模块，用于验证第三方是否可信，若可信，允许第三方登陆所述系统，若不可信，拒绝第三方登陆所述系统；登陆模块，用于可信第三方进行身份信息的注册并登陆所述系统；程序白名单策略生成模块，用于使用统一标准的程序白名单策略生成工具给可信第三方的软件生成程序白名单策略；程序白名单策略接收验证模块，用于接收验证所述程序白名单策略，并将验证通过的所述程序白名单策略保存在程序白名单策略库中；程序白名单策略库,用于存储所述程序白名单策略；程序白名单策略管理模块，用于对所述程序白名单策略进行去重和排序，并加上可以辨识的唯一性安全标识下发给互联网用户使用。2.根据权利要求1所述的系统，其特征在于，所述程序白名单策略管理模块采用程序文件的hash值作为程序白名单策略的唯一性特征值。3.根据权利要求2所述的系统，其特征在于，还包括程序白名单策略安全溯源模块，用于对所述程序白名单策略的生成过程进行溯源。4.根据权利要求3所述的系统，其特征在于，所述程序白名单策略安全溯源模块基于程序文件的hash值对程序白名单策略库中的策略进行查询。5.根据权利要求2所述的系统，其特征在于，所述程序白名单策略管理模块基于程序文件的hash值通过二分法插值或冒泡排序法对待下发的程序白名单策略进行排序。6.根据权利要求1所述的系统，其特征在于，所述程序白名单策略管理模块采用数字签名机制作为程序白名单策略的可辨识性安全标识。7.根据权利要求1所述的系统，其特征在于，还包括可信管理机...

【专利技术属性】
技术研发人员：李晓勇，郭煜，贺丽红，邓霄霄，
申请(专利权)人：北京广成同泰科技有限公司，
类型：发明
国别省市：北京,11