一种动态可信文件执行控制方法及系统,属于动态可信文件技术领域,所述方法包括步骤:执行第一可信程序;在所述第一可信程序执行过程中创建动态可信文件,将获取到的所述第一可信程序的合法信息设置到所述动态可信文件上;判断所述动态可信文件是否继承所述合法信息;若是,继续执行所述动态可信文件;若否,判断调用执行所述动态文件的程序是否是所述第一可信程序;若是,继续执行所述动态可信文件;若否,拒绝执行所述动态可信文件。本申请提供的一种动态可信文件执行控制方法及系统,可以解决在可信计算系统上可信程序生成的动态可信文件不能被执行的问题,保证了可信计算环境中可信程序的正常执行。可信程序的正常执行。可信程序的正常执行。
【技术实现步骤摘要】
一种动态可信文件执行控制方法及系统
[0001]本专利技术属于动态可信文件
,具体涉及一种动态可信文件执行控制方法及系统。
技术介绍
[0002]在信息化越来越普及和重要的时代,对信息技术的安全性要求也越来越高。可信计算技术是信息安全领域的一个重要分支,它在很大程度上能让计算机操作系统对病毒、木马等外来恶意程序免疫,可信计算技术上主要是通过可信度量和白名单机制来实现对计算机操作系统上运行的程序的执行控制。
[0003]可信计算中的可信度量和白名单机制所需的预度量值和白名单列表都是静态的,并且是在系统初始化阶段进行设置和添加,这样保证了系统运行起来后程序执行环境的安全性和可靠性,能阻止外来程序和完整性被破坏的程序的执行。对于部分可信应用程序来说,其在执行过程中会创建或生成动态可执行程序或动态库,而这些动态程序和动态库同样需要执行或加载,但是现在可信计算技术中所依赖的预度量值和白名单均无法适用动态程序和动态库,导致这些期望执行或加载的动态文件被拒绝,引起原可信应用程序执行异常。
技术实现思路
[0004]为解决上述问题,本专利技术提供了一种动态可信文件执行控制方法,所述方法包括步骤:
[0005]执行第一可信程序;
[0006]在所述第一可信程序执行过程中创建动态可信文件,将获取到的所述第一可信程序的合法信息设置到所述动态可信文件上;
[0007]判断所述动态可信文件是否继承所述合法信息;
[0008]若是,继续执行所述动态可信文件;
[0009]若否,判断调用执行所述动态文件的程序是否是所述第一可信程序;
[0010]若是,继续执行所述动态可信文件;
[0011]若否,拒绝执行所述动态可信文件。
[0012]优选地,所述判断所述动态可信文件是否继承所述合法信息包括步骤:
[0013]获取所述动态可信文件的索引节点安全域;
[0014]判断所述索引节点安全域中是否存在所述第一可信程序的合法可信标记;
[0015]若是,判断所述动态可信文件继承所述合法信息;
[0016]若否,判断所述动态可信文件未继承所述合法信息。
[0017]优选地,所述判断所述动态可信文件是否继承所述合法信息包括步骤:
[0018]获取所述动态可信文件的索引节点安全域;
[0019]判断所述索引节点安全域中是否存在所述第一可信程序的合法证书信息;
[0020]若是,判断所述动态可信文件继承所述合法信息;
[0021]若否,判断所述动态可信文件未继承所述合法信息。
[0022]优选地,所述判断调用执行所述动态文件的程序是否是所述第一可信程序包括步骤:
[0023]获取所述动态可信文件的索引节点安全域;
[0024]获取所述索引节点安全域中所述第一可信程序对应的第一摘要值;
[0025]获取调用执行所述动态文件的程序对应的第二摘要值;
[0026]判断所述第一摘要值和所述第二摘要值是否相等;
[0027]若是,判断调用执行所述动态文件的程序是所述第一可信程序;
[0028]若否,判断调用执行所述动态文件的程序不是所述第一可信程序。
[0029]优选地,所述将获取到的所述第一可信程序的合法信息设置到所述动态可信文件上包括步骤:
[0030]将所述第一可信程序的合法信息填充至所述动态可信文件的索引节点安全域中。
[0031]优选地,所述将所述第一可信程序的合法信息填充至所述动态可信文件的索引节点安全域中包括步骤:
[0032]获取所述第一可信程序对应的合法可信标记;
[0033]将所述合法可信标记填充至所述索引节点安全域中。
[0034]优选地,所述将所述第一可信程序的合法信息填充至所述动态可信文件的索引节点安全域中包括步骤:
[0035]获取所述第一可信程序对应的合法证书信息;
[0036]将所述合法证书信息填充至所述索引节点安全域中。
[0037]优选地,所述将所述第一可信程序的合法信息填充至所述动态可信文件的索引节点安全域中包括步骤:
[0038]获取所述第一可信程序对应的第一摘要值;
[0039]将所述第一摘要值填充至所述索引节点安全域中。
[0040]本专利技术还提供了一种动态可信文件执行控制系统,所述系统包括:
[0041]运行模块,用于执行第一可信程序;
[0042]获取模块,用于在所述第一可信程序执行过程中创建动态可信文件,将获取到的所述第一可信程序的合法信息设置到所述动态可信文件上;
[0043]判断模块,用于判断所述动态可信文件是否继承所述合法信息,以及判断调用执行所述动态文件的程序是否是所述第一可信程序;
[0044]执行模块,用于用于根据所述判断模块的判断结果执行预设操作;
[0045]其中,当所述判断模块判断所述动态可信文件是否继承所述合法信息的结果为是时,或者,当所述判断模块判断所述动态可信文件是否继承所述合法信息的结果为否且判断调用执行所述动态文件的程序是否是所述第一可信程序的结果为是时,所述执行模块继续执行所述动态可信文件;当所述判断模块判断所述动态可信文件是否继承所述合法信息的结果为否且判断调用执行所述动态文件的程序是否是所述第一可信程序的结果为否时,所述执行模块拒绝执行所述动态可信文件。
[0046]本申请提供的一种动态可信文件执行控制方法及系统,可以解决在可信计算系统
上可信程序生成的动态可信文件不能被执行的问题,保证了可信计算环境中可信程序的正常执行。
附图说明
[0047]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0048]图1是本专利技术提供的一种动态可信文件执行控制方法的流程示意图;
[0049]图2是本专利技术提供的一种动态可信文件执行控制系统的组成示意图。
具体实施方式
[0050]为使本专利技术的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本专利技术进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本专利技术的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本专利技术的概念。
[0051]如图1,在本申请实施例中,本申请提供了一种动态可信文件执行控制方法,所述方法包括步骤:
[0052]S1:执行第一可信程序;
[0053]S2:在所述第一可信程序执行过程中创建动态可信文件,将获取到的所述第一可信程序的合法信息设置到所述动态可信文件上;
[0054]S3:判断所述动态可信文件是否继承所述合法信息;
[0055]S4:若是,继续执行所述动态可信文件本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种动态可信文件执行控制方法,其特征在于,所述方法包括步骤:执行第一可信程序;在所述第一可信程序执行过程中创建动态可信文件,将获取到的所述第一可信程序的合法信息设置到所述动态可信文件上;判断所述动态可信文件是否继承所述合法信息;若是,继续执行所述动态可信文件;若否,判断调用执行所述动态文件的程序是否是所述第一可信程序;若是,继续执行所述动态可信文件;若否,拒绝执行所述动态可信文件。2.根据权利要求1所述的动态可信文件执行控制方法,其特征在于,所述判断所述动态可信文件是否继承所述合法信息包括步骤:获取所述动态可信文件的索引节点安全域;判断所述索引节点安全域中是否存在所述第一可信程序的合法可信标记;若是,判断所述动态可信文件继承所述合法信息;若否,判断所述动态可信文件未继承所述合法信息。3.根据权利要求1所述的动态可信文件执行控制方法,其特征在于,所述判断所述动态可信文件是否继承所述合法信息包括步骤:获取所述动态可信文件的索引节点安全域;判断所述索引节点安全域中是否存在所述第一可信程序的合法证书信息;若是,判断所述动态可信文件继承所述合法信息;若否,判断所述动态可信文件未继承所述合法信息。4.根据权利要求1所述的动态可信文件执行控制方法,其特征在于,所述判断调用执行所述动态文件的程序是否是所述第一可信程序包括步骤:获取所述动态可信文件的索引节点安全域;获取所述索引节点安全域中所述第一可信程序对应的第一摘要值;获取调用执行所述动态文件的程序对应的第二摘要值;判断所述第一摘要值和所述第二摘要值是否相等;若是,判断调用执行所述动态文件的程序是所述第一可信程序;若否,判断调用执行所述动态文件的程序不是所述第一可信程序。5.根据权利要求1所述的动态可信文件执行控制方法,其特征在于,所述将获取到的所述第一可信程序的合法信息设置到所述动态可信文件上包括步骤:将所述第一...
【专利技术属性】
技术研发人员:杨钊,姬一文,郇福喜,李蕾,
申请(专利权)人:麒麟软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。