一种基于可信度量的移动软件白名单机制的移动办公方法技术

一种基于可信度量的移动软件白名单机制的移动办公方法属于移动办公领域，尤其涉及可随机检索、可扩展的移动白名单软件的移动办公技术。其特征在于：综合了检索创新、查新评估、身份认证和移动办公于一体的方法，是在由云端服务器、本地服务器和客户端共同组成的网络系统中实现的。本发明专利技术借助于客户端的最小检索信息集合RM到本地服务器的最小原始属性集合PM再到存储于云端的APP的最小属性集合PMS前后相邻两个映射表所建立起来的静态白名单软件树，实现了检索创新服务。再用一个待建可信软件的最小原始属性集合WC，代替RM后，便可实现待建可信软件的查新评估，保证了建成后可执行模块的唯一性和可信性。

A mobile office method based on white list mechanism of mobile software

A mobile office method based on the white list mechanism of mobile software based on trust measurement belongs to the field of mobile office, especially the mobile office technology of mobile white list software which can be randomly retrieved and extended. It is characterized by: integrating retrieval innovation, novelty search evaluation, identity authentication and mobile office, which is realized in the network system composed of cloud server, local server and client. The invention realizes the retrieval innovation service by means of the static white list software tree established by two adjacent mapping tables from the minimum retrieval information set rm of the client to the minimum original attribute set PM of the local server to the minimum attribute set PMS of the app stored in the cloud. Then WC, the minimum original attribute set of the trusted software to be built, can replace RM to realize the novelty checking and evaluation of the trusted software to be built, which ensures the uniqueness and credibility of the executable module.

【技术实现步骤摘要】
一种基于可信度量的移动软件白名单机制的移动办公方法
本专利技术涉及移动办公领域，具体涉及一种基于可信度量的移动软件白名单机制的移动办公方法。
技术介绍
对于一般企事业而言，平常使用的软件与工作性质密切相关。一些特定企事业单位，出于安全性与保密性，只允许员工使用一些特定的软件，便于进行统一的管理。传统控制软件运行的方式是禁止员工安装一些无关工作的软件。但是实际情况，员工会自行下载一些与工作无关的软件，例如聊天软件、炒股软件等。对于企事业的管理人员而言，这些软件是“非法的”，也是不安全的。对于移动安全办公系统而言，需要对员工使用的办公软件进行统一管理，只允许员工运行一些特定的软件显得尤为重要，这些，对于软件的控制提出了一个很高的要求。专利号为ZL201410842891.5的中国专利公开了一种基于WMI软件白名单机制的移动安全办公方法。该方法基于Windows管理技术，通过WMI(WindowsManagementInstrumentation，Windows管理规范)解决了在行业内部如何借助行业白名单软件实现移动安全办公问题。该技术的不足之处有三点：第一点是该方法只包含构建软件白名单的方法，而不包含使用软件白名单的方法；第二是该方法只是一次生成软件白名单数据库，而不能扩展现有软件白名单数据库；第三是该方法可以相应任何人的网络请求，不能验证请求发起人的身份信息。本专利技术基于专利号为ZL201510315487.7的一种基于USB控制器的终端设备操作系统引导的方法，在客户端可信启动的基础上，专利技术了一种基于可信度量的移动软件白名单机制的移动办公方法。本专利技术是在一个由云端服务器、本地服务器和客户端共同组成的网络系统实现，集检索创新、查新评估、身份认证和移动办公于一体的行业内移动安全办公方法。当客户端发起请求之后，本地服务器验证请求发起人的身份信息，验证通过之后，辨识客户端的三种请求类型：检索创新、查新评估和移动办公。针对检索创新请求，用户可以通过关键字，从云端服务器检索到想要的APP；针对查新评估请求，用户可以为云端服务器贡献新的APP，扩展现有软件白名单数据库；针对移动办公请求，保证用户在办公过程中所运行的可执行软件模块的唯一性和可信性。
技术实现思路
本专利技术的目的在于：提供一种基于可信度量的移动软件白名单机制的移动办公方法。本专利技术的特征在于：是在一个基于静态软件白名单机制的网络系统中依次按以下步骤实现的：步骤(1)，系统的构造：所述系统包括：在线服务软件白名单数据库、待建可信软件白名单数据库、部门及人员编码管理数据库，统称在线数据库组、本地服务器，简称服务器以及客户端，其中，在数据库组中：在线服务软件白名单数据库，是一个在线服务的可信软件数据库，简称可执行软件模块数据库，提供改造是可信软件的，用于在线服务的行业软件的最小原始属性集合PM，至少表示为：<软件类型，软件输入数据序列，软件输出数据序列，软件摘要值，软件关键字>，所述软件包括程序包和/或可执行程序，所述软件类型包括软件、静态链接模块、动态链接模块和内核驱动模块，所述软件输入数据序列是软件运行的约束条件，软件输出数据序列是软件的运行结果，所述软件摘要值是用商根据密码算法SM3对所述软件输入数据序列、软件输出数据序列共同拼接的不同组合方式形成的数据计算得到，待建可信软件白名单数据库，是一种在建可信度量软件的数据库，其可信度量的软件的最小原始属性集合为：WC＝<提供者姓名，部门，岗位，计算机软件著作权号，软件类型，软件版本，软件关键字>，部门及人员编码管理数据库，其最小原始属性集合为：<部门类型，人员姓名，岗位，白名单软件使用权限及相应享用优先级>，所述原始属性是指适用于二进制数表达的原始参数信息，本地服务器，设有：存储模块、客户端无线通信模块、本地服务器无线通信模块以及服务端CPU，其中：存储模块，设有：客户端最小检索信息集合RM到在线服务的软件的最小原始属性集合PM的映射表，其中：所述客户端最小检索信息集合RM至少包括<客户端用户姓名，部门类型，岗位，白名单软件使用权限及相应享用优先级，软件类型，软件关键字>，在线服务器软件的最小原始属性集合PM到云端存储的可信度量的移动APP的最小属性集合PMS的映射表，所述PMS包括：<软件摘要值，资源模块，软件输入数据序列，软件输出数据序列，占用内存范围>，所述服务端CPU分别与所述客户端无线通信模块、本地服务器无线通信模块互连，云端服务器，设有：云端CPU、云端可信度量的移动APP数据库和云端无线通信模块，其中：云端CPU输入PM，向云端可信度量的移动APP数据库输出PM中的软件摘要值，从云端可信度量的移动APP数据库查找相对应的软件输入数据序列和软件输出数据序列，由软件输入数据序列和软件输出数据序列构成叶子节点，进而生成的软件白名单树，将该软件白名单树返回给云端无线通信模块，进而返回给本地服务器，云端可信度量的移动APP数据库存储经过可信计算得到的白名单软件，所述白名单软件的最小属性集合为PMS，云端CPU按以下次序工作：(1)从云端无线通信模块得到输入的PM，(2)根据PM中的软件摘要值，从云端可信度量的移动APP数据库中查找相同的软件摘要值，得到对应的软件输入数据序列和软件输出数据序列，构成白名单软件的最小属性集合为PMS并返回给云端CPU，客户端，设有：缓存模块、客户端最小检索信息集合、待/在建可信软件白名单的最小原始属性集合、客户端CPU和USB控制器，所述客户端CPU分别与其中余下部件互连，步骤(2)，系统依次按以下步骤实现基于可信度量的移动软件白名单机制的移动办公方法：步骤(2.1)，客户端网络请求发起人身份鉴别，步骤(2.1.1)，本地服务器从过滤启动程序加载在USB控制器中的128位身份识别码中，识别出64位角色编码和64位用户编码，步骤(2.1.2)，本地服务器采用数字信封技术作为连接发起时的安全保障技术，步骤如下：步骤(2.1.2.1)，客户端将USB控制器中保存的身份识别码和当前时间的时间戳拼接，构成第一次发送的明文数据；通过USB控制器保存的签名证书对明文数据进行数字签名，保证数据的真实性；再通过USB控制器保存的加密证书加密该数据，构成第一次发送的密文数据，保证数据的机密性；发送该密文数据到本地服务器，步骤(2.1.2.2)，本地服务器接收到步骤(2.1.2.1)发送的密文数据后，分别通过与发送端USB控制器对应的公/私钥处理密文数据，生成客户端第一次发送的明文数据，步骤(2.1.2.3)，本地服务器判断明文数据的时间戳是否时间过长，如30分钟，如果超过规定时间，则判定收到的密文数据为重放数据，终止后续的判断过程；如果没有超过规定的时间，则判定该数据为实际的客户端请求，执行步骤(2.1.2.4)的过程，步骤(2.1.2.4)，本地服务器分离出角色编码和本文档来自技高网...

【技术保护点】
1.一种基于可信度量的移动软件白名单机制的移动办公方法，其特征在于，是在一个基于静态软件白名单机制的网络系统，简称系统中，依次按以下步骤实现的，所述静态是指软件运行前的最小属性集合：/n步骤(1)，系统的构造：/n所述系统包括：在线服务软件白名单数据库、待建可信软件白名单数据库、部门及人员编码管理数据库，统称在线数据库组、本地服务器，简称服务器以及客户端，其中，在数据库组中：/n在线服务软件白名单数据库，是一个在线服务的可信软件数据库，简称可执行软件模块数据库，提供改造是可信软件的，用于在线服务的行业软件的最小原始属性集合PM，至少表示为：<软件类型，软件输入数据序列，软件输出数据序列，软件摘要值，软件关键字>，所述软件包括程序包和/或可执行程序，所述软件类型包括软件、静态链接模块、动态链接模块和内核驱动模块，所述软件输入数据序列是软件运行的约束条件，软件输出数据序列是软件的运行结果，所述软件摘要值是用商根据密码算法SM3对所述软件输入数据序列、软件输出数据序列共同拼接的不同组合方式形成的数据计算得到，/n待建可信软件白名单数据库，是一种在建可信度量软件的数据库，其可信度量的软件的最小原始属性集合为：WC＝<提供者姓名，部门，岗位，计算机软件著作权号，软件类型，软件版本，软件关键字>，/n部门及人员编码管理数据库，其最小原始属性集合为：<部门类型，人员姓名，岗位，白名单软件使用权限及相应享用优先级>，/n所述原始属性是指适用于二进制数表达的原始参数信息，/n本地服务器，设有：存储模块、客户端无线通信模块、本地服务器无线通信模块以及服务端CPU，其中：/n存储模块，设有：/n客户端最小检索信息集合RM到在线服务的软件的最小原始属性集合PM的映射表，其中：所述客户端最小检索信息集合RM至少包括<客户端用户姓名，部门类型，岗位，白名单软件使用权限及相应享用优先级，软件类型，软件关键字>，/n在线服务器软件的最小原始属性集合PM到云端存储的可信度量的移动APP的最小属性集合PMS的映射表，所述PMS包括：<软件摘要值，资源模块，软件输入数据序列，软件输出数据序列，占用内存范围>，/n所述服务端CPU分别与所述客户端无线通信模块、本地服务器无线通信模块互连，/n云端服务器，设有：云端CPU、云端可信度量的移动APP数据库和云端无线通信模块，其中：/n云端CPU输入PM，向云端可信度量的移动APP数据库输出PM中的软件摘要值，从云端可信度量的移动APP数据库查找相对应的软件输入数据序列和软件输出数据序列，由软件输入数据序列和软件输出数据序列构成叶子节点，进而生成的软件白名单树，将该软件白名单树返回给云端无线通信模块，进而返回给本地服务器，/n云端可信度量的移动APP数据库存储经过可信计算得到的白名单软件，所述白名单软件的最小属性集合为PMS，云端CPU按以下次序工作：(1)从云端无线通信模块得到输入的PM，(2)根据PM中的软件摘要值，从云端可信度量的移动APP数据库中查找相同的软件摘要值，得到对应的软件输入数据序列和软件输出数据序列，构成白名单软件的最小属性集合为PMS并返回给云端CPU，/n客户端，设有：缓存模块、客户端最小检索信息集合、待/在建可信软件白名单的最小原始属性集合、客户端CPU和USB控制器，所述客户端CPU分别与其中余下部件互连，/n步骤(2)，系统依次按以下步骤实现基于可信度量的移动软件白名单机制的移动办公方法：/n步骤(2.1)，客户端网络请求发起人身份鉴别，/n步骤(2.1.1)，本地服务器从过滤启动程序加载在USB控制器中的128位身份识别码中，识别出64位角色编码和64位用户编码，/n步骤(2.1.2)，本地服务器采用数字信封技术作为连接发起时的安全保障技术，步骤如下：/n步骤(2.1.2.1)，客户端将USB控制器中保存的身份识别码和当前时间的时间戳拼接，构成第一次发送的明文数据；通过USB控制器保存的签名证书对明文数据进行数字签名，保证数据的真实性；再通过USB控制器保存的加密证书加密该数据，构成第一次发送的密文数据，保证数据的机密性；发送该密文数据到本地服务器，/n步骤(2.1.2.2)，本地服务器接收到步骤(2.1.2.1)发送的密文数据后，分别通过与发送端USB控制器对应的公/私钥处理密文数据，生成客户端第一次发送的明文数据，/n步骤(2.1.2.3)，本地服务器判断明文数据的时间戳是否时间过长，如30分钟，如果超过规定时间，则判定收到的密文数据为重放数据，终止后续的判断过程；如果没有超过规定的时间，则判定该数据为实际的客户端请求，执行步骤(2.1.2.4)的过程，/n步骤(2.1.2.4)，本地服务器分离出角色编码和用户编码后，如果没有从...

【技术特征摘要】
1.一种基于可信度量的移动软件白名单机制的移动办公方法，其特征在于，是在一个基于静态软件白名单机制的网络系统，简称系统中，依次按以下步骤实现的，所述静态是指软件运行前的最小属性集合：
步骤(1)，系统的构造：
所述系统包括：在线服务软件白名单数据库、待建可信软件白名单数据库、部门及人员编码管理数据库，统称在线数据库组、本地服务器，简称服务器以及客户端，其中，在数据库组中：
在线服务软件白名单数据库，是一个在线服务的可信软件数据库，简称可执行软件模块数据库，提供改造是可信软件的，用于在线服务的行业软件的最小原始属性集合PM，至少表示为：<软件类型，软件输入数据序列，软件输出数据序列，软件摘要值，软件关键字>，所述软件包括程序包和/或可执行程序，所述软件类型包括软件、静态链接模块、动态链接模块和内核驱动模块，所述软件输入数据序列是软件运行的约束条件，软件输出数据序列是软件的运行结果，所述软件摘要值是用商根据密码算法SM3对所述软件输入数据序列、软件输出数据序列共同拼接的不同组合方式形成的数据计算得到，
待建可信软件白名单数据库，是一种在建可信度量软件的数据库，其可信度量的软件的最小原始属性集合为：WC＝<提供者姓名，部门，岗位，计算机软件著作权号，软件类型，软件版本，软件关键字>，
部门及人员编码管理数据库，其最小原始属性集合为：<部门类型，人员姓名，岗位，白名单软件使用权限及相应享用优先级>，
所述原始属性是指适用于二进制数表达的原始参数信息，
本地服务器，设有：存储模块、客户端无线通信模块、本地服务器无线通信模块以及服务端CPU，其中：
存储模块，设有：
客户端最小检索信息集合RM到在线服务的软件的最小原始属性集合PM的映射表，其中：所述客户端最小检索信息集合RM至少包括<客户端用户姓名，部门类型，岗位，白名单软件使用权限及相应享用优先级，软件类型，软件关键字>，
在线服务器软件的最小原始属性集合PM到云端存储的可信度量的移动APP的最小属性集合PMS的映射表，所述PMS包括：<软件摘要值，资源模块，软件输入数据序列，软件输出数据序列，占用内存范围>，
所述服务端CPU分别与所述客户端无线通信模块、本地服务器无线通信模块互连，
云端服务器，设有：云端CPU、云端可信度量的移动APP数据库和云端无线通信模块，其中：
云端CPU输入PM，向云端可信度量的移动APP数据库输出PM中的软件摘要值，从云端可信度量的移动APP数据库查找相对应的软件输入数据序列和软件输出数据序列，由软件输入数据序列和软件输出数据序列构成叶子节点，进而生成的软件白名单树，将该软件白名单树返回给云端无线通信模块，进而返回给本地服务器，
云端可信度量的移动APP数据库存储经过可信计算得到的白名单软件，所述白名单软件的最小属性集合为PMS，云端CPU按以下次序工作：(1)从云端无线通信模块得到输入的PM，(2)根据PM中的软件摘要值，从云端可信度量的移动APP数据库中查找相同的软件摘要值，得到对应的软件输入数据序列和软件输出数据序列，构成白名单软件的最小属性集合为PMS并返回给云端CPU，
客户端，设有：缓存模块、客户端最小检索信息集合、待/在建可信软件白名单的最小原始属性集合、客户端CPU和USB控制器，所述客户端CPU分别与其中余下部件互连，
步骤(2)，系统依次按以下步骤实现基于可信度量的移动软件白名单机制的移动办公方法：
步骤(2.1)，客户端网络请求发起人身份鉴别，
步骤(2.1.1)，本地服务器从过滤启动程序加载在USB控制器中的128位身份识别码中，识别出64位角色编码和64位用户编码，
步骤(2.1.2)，本地服务器采用数字信封技术作为连接发起时的安全保障技术，步骤如下：
步骤(2.1.2.1)，客户端将USB控制器中保存的身份识别码和当前时间的时间戳拼接，构成第一次发送的明文数据；通过USB控制器保存的签名证书对明文数据进行数字签名，保证数据的真实性；再通过USB控制器保存的加密证书加密该数据，构成第一...

【专利技术属性】
技术研发人员：徐恪，阎林，
申请(专利权)人：清华大学，
类型：发明
国别省市：北京;11