本发明专利技术公开了一种可信策略的更新方法及装置。其中,该方法包括:将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略;获取子策略中包含的第一客体集合,第一客体集合为子策略规定的目标应用程序执行目标行为对应的客体对象的集合,第一客体集合中的客体对象均在子策略对应的目录下;获取第二客体集合,第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合,第二客体集合中的客体对象均在子策略对应的目录下;根据第一客体集合与第二客体集合计算子策略的策略相似度;对多个子策略中策略相似度最小的子策略进行更新。
Update method and device of trusted policy
【技术实现步骤摘要】
可信策略的更新方法及装置
本专利技术涉及可信管理
,具体而言,涉及一种可信策略的更新方法及装置。
技术介绍
在相关技术中,可信计算需要依据可信策略进行可信度量,目前,可信策略通常是安全管理员基于自身对应用程序访问行为的认知手动配置的,如果可信策略需要更新,也是由安全管理员手动配置进行更新。但是这种通过安全管理员手动更新可信策略的方式,由于安全管理员的主观意识依赖性较大,在更新可信策略时,往往是针对具体出现的漏洞进行查找补缺,但是无法对整体的可信策略进行有效评估,更无法对可信策略进行实时的更新,最终导致可信策略无法覆盖应用程序的全部行为,往往会导致可信策略在安全防护过程中出现误拦或者没有很好地拦截外部攻击,使得可信策略的更新效率降低,可信策略的准确度也会降低,用户使用可信策略的满意度下降。针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种可信策略的更新方法及装置,以至少解决由于安全管理员手动更新可信策略,可信策略的更新效率降低,导致用户满意度下降的技术问题。根据本专利技术实施例的一个方面,提供了一种可信策略的更新方法,包括:将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略,所述可信策略为根据预设时间内所述目标应用程序的访问行为数据学习得到的策略;获取所述子策略中包含的第一客体集合,所述第一客体集合为所述子策略规定的所述目标应用程序执行目标行为对应的客体对象的集合,所述第一客体集合中的客体对象均在所述子策略对应的目录下;获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合,所述第二客体集合中的客体对象均在所述子策略对应的目录下;根据所述第一客体集合与所述第二客体集合计算所述子策略的策略相似度;对所述多个子策略中策略相似度最小的子策略进行更新。可选地,根据所述第一客体集合与所述第二客体集合计算计算所述子策略的策略相似度,包括:通过预设公式计算子策略的策略相似度,其中,所述预设公式为:其中,Similarity为所述策略相似度,X为所述第一客体集合,X′为所述第二客体集合。可选地,对所述多个子策略中策略相似度最小的子策略进行更新,包括:获取所述第一客体集合与所述第二客体集合之间的交集;在所述第一客体集合与所述交集之间的差达到第一预定阈值的情况下,减少所述策略相似度最小的子策略对应的目录中的客体对象;在所述第二客体集合与所述交集之间的差达到第二预定阈值的情况下,增加所述策略相似度最小的子策略对应的目录中的客体对象,和/或调整所述策略相似度最小的子策略对应的目录。可选地,所述目标行为包括下述至少之一:读操作行为、写操作行为和执行操作行为。可选地,所述客体对象为所述可信计算平台中各个文件目录下的子文件。根据本专利技术实施例的另一方面,还提供了一种可信策略的更新装置,包括:划分单元,用于将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略,所述可信策略为根据预设时间内所述目标应用程序的访问行为数据学习得到的策略;第一获取单元,用于获取所述子策略中包含的第一客体集合,所述第一客体集合为所述子策略规定的所述目标应用程序执行目标行为对应的客体对象的集合,所述第一客体集合中的客体对象均在所述子策略对应的目录下;第二获取单元,用于获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合,所述第二客体集合中的客体对象均在所述子策略对应的目录下;计算单元,用于根据所述第一客体集合与所述第二客体集合计算所述子策略的策略相似度;更新单元,用于对所述多个子策略中策略相似度最小的子策略进行更新。可选地,所述计算单元包括:计算模块,用于通过预设公式计算子策略的策略相似度,其中,所述预设公式为:其中,Similarity为所述策略相似度,X为所述第一客体集合,X'为所述第二客体集合。可选地,所述更新单元包括:获取模块,用于获取所述第一客体集合与所述第二客体集合之间的交集;减少模块,用于在所述第一客体集合与所述交集之间的差达到第一预定阈值的情况下,减少所述策略相似度最小的子策略对应的目录中的客体对象;增加模块,用于在所述第二客体集合与所述交集之间的差达到第二预定阈值的情况下,增加所述策略相似度最小的子策略对应的目录中的客体对象,和/或调整所述策略相似度最小的子策略对应的目录。可选地,所述目标行为包括下述至少之一:读操作行为、写操作行为和执行操作行为。可选地,所述客体对象为所述可信计算平台中各个文件目录下的子文件。根据本专利技术实施例的另一方面,还提供了一种存储介质,所述存储介质用于存储程序,其中,所述程序在被处理器执行时控制所述存储介质所在设备执行上述任意一项所述的可信策略的更新方法。根据本专利技术实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一项所述的可信策略的更新方法。在本专利技术实施例中,采用将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略,然后获取子策略中包含的第一客体集合(子策略规定的目标应用程序执行目标行为对应的客体对象的集合)和第二客体集合(目标应用程序在可信计算平台中执行目标行为对应的客体的集合),根据第一客体集合与第二客体集合计算子策略的策略相似度,并对对多个子策略中策略相似度最小的子策略进行更新,以完成对整体可信策略的更新,提高更新效率,从而解决由于安全管理员手动更新可信策略,可信策略的更新效率降低,导致用户满意度下降的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的一种可选的可信策略的更新方法的流程图;图2是根据本专利技术实施例的一种可选的可信策略的更新装置的示意图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本专利技术各实施例中的可信策略的更新方法的执行主体为可信安全管理平台,可信安全管理平台用于支持维护多个可信计算平台,可信计算平台包括并行的计算子系统与防护子系统,其中,计算子系统用于完成计算任务,而防护子系统用于根据可信策略对计算子系统进行主动度量,可信计算平台负责采集应用程序本文档来自技高网...
【技术保护点】
1.一种可信策略的更新方法,其特征在于,包括:将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略,所述可信策略为根据预设时间内所述目标应用程序的访问行为数据学习得到的策略;获取所述子策略中包含的第一客体集合,所述第一客体集合为所述子策略规定的所述目标应用程序执行目标行为对应的客体对象的集合,所述第一客体集合中的客体对象均在所述子策略对应的目录下;获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合,所述第二客体集合中的客体对象均在所述子策略对应的目录下;根据所述第一客体集合与所述第二客体集合计算所述子策略的策略相似度;对所述多个子策略中策略相似度最小的子策略进行更新。
【技术特征摘要】
1.一种可信策略的更新方法,其特征在于,包括:将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略,所述可信策略为根据预设时间内所述目标应用程序的访问行为数据学习得到的策略;获取所述子策略中包含的第一客体集合,所述第一客体集合为所述子策略规定的所述目标应用程序执行目标行为对应的客体对象的集合,所述第一客体集合中的客体对象均在所述子策略对应的目录下;获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合,所述第二客体集合中的客体对象均在所述子策略对应的目录下;根据所述第一客体集合与所述第二客体集合计算所述子策略的策略相似度;对所述多个子策略中策略相似度最小的子策略进行更新。2.根据权利要求1所述的更新方法,其特征在于,根据所述第一客体集合与所述第二客体集合计算计算所述子策略的策略相似度,包括:通过预设公式计算子策略的策略相似度,其中,所述预设公式为:其中,Similarity为所述策略相似度,X为所述第一客体集合,X'为所述第二客体集合。3.根据权利要求1所述的更新方法,其特征在于,对所述多个子策略中策略相似度最小的子策略进行更新,包括:获取所述第一客体集合与所述第二客体集合之间的交集;在所述第一客体集合与所述交集之间的差达到第一预定阈值的情况下,减少所述策略相似度最小的子策略对应的目录中的客体对象;在所述第二客体集合与所述交集之间的差达到第二预定阈值的情况下,增加所述策略相似度最小的子策略对应的目录中的客体对象,和/或调整所述策略相似度最小的子策略对应的目录。4.根据权利要求1所述的更新方法,其特征在于,所述目标行为包括下述至少之一:读操作行为、写操作行为和执行操作行为。5.根据权利要求1所述的更新方法,其特征在于,所述客体对象为所述可信计算平台中各个文件目录下的子文件。6.一种可信策略的更新装置,其特征在于,包括:划分单元,...
【专利技术属性】
技术研发人员:孙瑜,洪宇,田文慧,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。