本发明专利技术公开了一种可信策略的更新方法及装置。其中,该方法包括:获取可信策略中包含的第一客体集合,可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,第一客体集合为可信策略规定的目标应用程序所允许执行的目标行为对应的客体的集合;获取第二客体集合,第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合;根据第一客体集合与第二客体集合计算策略相似度,其中,策略相似度用于指示可信策略是否需要更新;基于策略相似度,确定可信策略是否需要更新。
Update method and device of trusted policy
【技术实现步骤摘要】
可信策略的更新方法及装置
本专利技术涉及可信管理
,具体而言,涉及一种可信策略的更新方法及装置。
技术介绍
在相关技术中,可信计算需要依据可信策略进行可信度量,目前,可信策略通常是安全管理员基于自身对应用程序访问行为的认知手动配置的,如果可信策略需要更新,也是由安全管理员手动配置进行更新。但是这种通过安全管理员手动更新可信策略的方式,由于安全管理员的主观意识依赖性较大,导致无法准确知道可信策略与应用程序之间的符合度,即无法知道可信策略是否能够全面覆盖应用程序的全部行为,也无法知道可信策略中有多少与应用程序无关的内容,这样往往会导致可信策略在安全防护过程中出现误拦或者没有很好地拦截外部攻击,最终会使得可信策略的更新效率降低,可信策略的准确度也会降低,用户使用可信策略的满意度下降。针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种可信策略的更新方法及装置,以至少解决通过安全管理员手动更新可信策略,无法准确了解到可信策略与主体应用程序之间的符合度,导致可信策略更新效率较低的技术问题。根据本专利技术实施例的一个方面,提供了一种可信策略的更新方法,包括:获取可信策略中包含的第一客体集合,所述可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,所述第一客体集合为所述可信策略规定的所述目标应用程序所允许执行的目标行为对应的客体的集合;获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合;根据所述第一客体集合与所述第二客体集合计算策略相似度,其中,所述策略相似度用于指示所述可信策略是否需要更新;基于所述策略相似度,确定所述可信策略是否需要更新。可选地,根据所述第一客体集合与所述第二客体集合计算策略相似度的步骤,包括:通过预设公式计算策略相似度,其中,所述预设公式为:其中,Similarity为所述策略相似度,Xi为所述可信策略中规定的第i类目标行为对应的客体集合,目标行为包括多类行为,X′i为所述目标应用程序在可信计算平台中执行第i类目标行为对应的客体集合,αi为系数,N为所述目标应用程序的行为集合中的行为总类数,行为集合为所述可信策略中规定的行为与所述目标应用程序在可信计算平台中执行的行为的并集,i为正整数。可选地,基于所述策略相似度,确定所述可信策略是否需要更新的步骤,包括:在所述策略相似度未达到预定阈值时,确定所述可信策略需要更新,其中,所述预定阈值大于0且小于1;在所述策略相似度达到预定阈值时,确定所述可信策略不需要更新。可选地,所述目标行为包括下述至少之一:读操作、写操作和执行操作。可选地,所述客体为所述可信计算平台中各个文件目录下的子文件。根据本专利技术实施例的另一方面,还提供了一种可信策略的更新装置,包括:第一获取单元,用于获取可信策略中包含的第一客体集合,所述可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,所述第一客体集合为所述可信策略规定的所述目标应用程序所允许执行的目标行为对应的客体的集合;第二获取单元,用于获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合;计算单元,用于根据所述第一客体集合与所述第二客体集合计算策略相似度,其中,所述策略相似度用于指示所述可信策略是否需要更新;更新单元,用于基于所述策略相似度,确定所述可信策略是否需要更新。可选地,所述计算单元包括:更新模块,用于通过预设公式计算策略相似度,其中,所述预设公式为:其中,Similarity为所述策略相似度,Xi为所述可信策略中规定的第i类目标行为对应的客体集合,目标行为包括多类行为,X′i为所述目标应用程序在可信计算平台中执行第i类目标行为对应的客体集合,αi为系数,N为所述目标应用程序的行为集合中的行为总类数,行为集合为所述可信策略中规定的行为与所述目标应用程序在可信计算平台中执行的行为的并集,i为正整数。可选地,所述更新单元包括:第一确定模块,用于在所述策略相似度未达到预定阈值时,确定所述可信策略需要更新,其中,所述预定阈值大于0且小于1;第二确定模块,用于在所述策略相似度达到预定阈值时,确定所述可信策略不需要更新。可选地,所述目标行为包括下述至少之一:读操作、写操作和执行操作。可选地,所述客体为所述可信计算平台中各个文件目录下的子文件。根据本专利技术实施例的另一方面,还提供了一种存储介质,所述存储介质用于存储程序,其中,所述程序在被处理器执行时控制所述存储介质所在设备执行上述任意一项所述的可信策略的更新方法。根据本专利技术实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一项所述的可信策略的更新方法。在本专利技术实施例中,利用目标应用程序所允许执行的目标行为对应的客体的集合(即第一客体集合)和目标应用程序在可信计算平台中执行目标行为对应的客体的集合(即第二客体集合),计算策略相似度,利用该策略相似度自动确定是否需要更新可信策略,通过策略符合度来指导可信策略的更新,提高可信策略的更新效率,从而通过安全管理员手动更新可信策略,无法准确了解到可信策略与主体应用程序之间的符合度,导致可信策略更新效率较低的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的一种可选的可信策略的更新方法的流程图;图2是根据本专利技术实施例的一种可选的更新可信策略的示意图;图3是根据本专利技术实施例的一种可选的可信策略的更新装置的示意图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。本专利技术各实施例中的可信策略的更新方法的执行主体为可信安全管理平台,可信安全管理平台用于支持维护多个可信计算平台,可信计算平台包括并行的计算子系统与防护子系统,其中,计算子系统用于完成计算任务,而防护子系统用于根据可信策略对计算子系统进行主动度量,可信计算平台负责采集应用程序的访问行为数据,并上报给可信安全管理平台,可信安全管理平台基于这些访问行为数据学习得到可信策略,在得到可信策略后,可以基于目标应用程序所允许执行的目标行为对应的客体的集合以及在预设时间内目本文档来自技高网...
【技术保护点】
1.一种可信策略的更新方法,其特征在于,包括:获取可信策略中包含的第一客体集合,所述可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,所述第一客体集合为所述可信策略规定的所述目标应用程序所允许执行的目标行为对应的客体的集合;获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合;根据所述第一客体集合与所述第二客体集合计算策略相似度,其中,所述策略相似度用于指示所述可信策略是否需要更新;基于所述策略相似度,确定所述可信策略是否需要更新。
【技术特征摘要】
1.一种可信策略的更新方法,其特征在于,包括:获取可信策略中包含的第一客体集合,所述可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略,所述第一客体集合为所述可信策略规定的所述目标应用程序所允许执行的目标行为对应的客体的集合;获取第二客体集合,所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合;根据所述第一客体集合与所述第二客体集合计算策略相似度,其中,所述策略相似度用于指示所述可信策略是否需要更新;基于所述策略相似度,确定所述可信策略是否需要更新。2.根据权利要求1所述的更新方法,其特征在于,根据所述第一客体集合与所述第二客体集合计算策略相似度的步骤,包括:通过预设公式计算策略相似度,其中,所述预设公式为:其中,Similarity为所述策略相似度,Xi为所述可信策略中规定的第i类目标行为对应的客体集合,目标行为包括多类行为,X′i为所述目标应用程序在可信计算平台中执行第i类目标行为对应的客体集合,αi为系数,N为所述目标应用程序的行为集合中的行为总类数,行为集合为所述可信策略中规定的行为与所述目标应用程序在可信计算平台中执行的行为的并集,i为正整数。3.根据权利要求1所述的更新方法,其特征在于,基于所述策略相似度,确定所述可信策略是否需要更新的步骤,包括:在所述策略相似度未达到预定阈值时,确定所述可信策略需要更新,其中,所述预定阈值大于0且小于1;在所述策略相似度达到预定阈值时,确定所述可信策略不需要更新。4.根据权利要求1所述的更新方法,其特征在于,所述目标行为包括下述至少之一:读操作、写操作和执行操作。5.根据权利要求1至4中任意一项所述的更新方法,其特征在于,所述客体为所述可信计算平台中各个文件目录下的子文件。6.一种可信策略的更新装置,其特征在于,包括:第一...
【专利技术属性】
技术研发人员:孙瑜,洪宇,田文慧,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。