可信策略的更新方法及装置与流程

本发明涉及可信管理技术领域，具体而言，涉及一种可信策略的更新方法及装置。

背景技术：

在相关技术中，可信计算需要依据可信策略进行可信度量，目前，可信策略通常是安全管理员基于自身对应用程序访问行为的认知手动配置的，如果可信策略需要更新，也是由安全管理员手动配置进行更新。但是这种通过安全管理员手动更新可信策略的方式，由于安全管理员的主观意识依赖性较大，在更新可信策略时，往往是针对具体出现的漏洞进行查找补缺，但是无法对整体的可信策略进行有效评估，更无法对可信策略进行实时的更新，最终导致可信策略无法覆盖应用程序的全部行为，往往会导致可信策略在安全防护过程中出现误拦或者没有很好地拦截外部攻击，使得可信策略的更新效率降低，可信策略的准确度也会降低，用户使用可信策略的满意度下降。

针对上述的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种可信策略的更新方法及装置，以至少解决由于安全管理员手动更新可信策略，可信策略的更新效率降低，导致用户满意度下降的技术问题。

根据本发明实施例的一个方面，提供了一种可信策略的更新方法，包括：将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，所述可信策略为根据预设时间内所述目标应用程序的访问行为数据学习得到的策略；获取所述子策略中包含的第一客体集合，所述第一客体集合为所述子策略规定的所述目标应用程序执行目标行为对应的客体对象的集合，所述第一客体集合中的客体对象均在所述子策略对应的目录下；获取第二客体集合，所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合，所述第二客体集合中的客体对象均在所述子策略对应的目录下；根据所述第一客体集合与所述第二客体集合计算所述子策略的策略相似度；对所述多个子策略中策略相似度最小的子策略进行更新。

可选地，根据所述第一客体集合与所述第二客体集合计算计算所述子策略的策略相似度，包括：通过预设公式计算子策略的策略相似度，其中，所述预设公式为：

其中，similarity为所述策略相似度，x为所述第一客体集合，x′为所述第二客体集合。

可选地，对所述多个子策略中策略相似度最小的子策略进行更新，包括：获取所述第一客体集合与所述第二客体集合之间的交集；在所述第一客体集合与所述交集之间的差达到第一预定阈值的情况下，减少所述策略相似度最小的子策略对应的目录中的客体对象；在所述第二客体集合与所述交集之间的差达到第二预定阈值的情况下，增加所述策略相似度最小的子策略对应的目录中的客体对象，和/或调整所述策略相似度最小的子策略对应的目录。

可选地，所述目标行为包括下述至少之一：读操作行为、写操作行为和执行操作行为。

可选地，所述客体对象为所述可信计算平台中各个文件目录下的子文件。

根据本发明实施例的另一方面，还提供了一种可信策略的更新装置，包括：划分单元，用于将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，所述可信策略为根据预设时间内所述目标应用程序的访问行为数据学习得到的策略；第一获取单元，用于获取所述子策略中包含的第一客体集合，所述第一客体集合为所述子策略规定的所述目标应用程序执行目标行为对应的客体对象的集合，所述第一客体集合中的客体对象均在所述子策略对应的目录下；第二获取单元，用于获取第二客体集合，所述第二客体集合为在所述预设时间内所述目标应用程序在可信计算平台中执行所述目标行为对应的客体的集合，所述第二客体集合中的客体对象均在所述子策略对应的目录下；计算单元，用于根据所述第一客体集合与所述第二客体集合计算所述子策略的策略相似度；更新单元，用于对所述多个子策略中策略相似度最小的子策略进行更新。

可选地，所述计算单元包括：计算模块，用于通过预设公式计算子策略的策略相似度，其中，所述预设公式为：

其中，similarity为所述策略相似度，x为所述第一客体集合，x'为所述第二客体集合。

可选地，所述更新单元包括：获取模块，用于获取所述第一客体集合与所述第二客体集合之间的交集；减少模块，用于在所述第一客体集合与所述交集之间的差达到第一预定阈值的情况下，减少所述策略相似度最小的子策略对应的目录中的客体对象；增加模块，用于在所述第二客体集合与所述交集之间的差达到第二预定阈值的情况下，增加所述策略相似度最小的子策略对应的目录中的客体对象，和/或调整所述策略相似度最小的子策略对应的目录。

可选地，所述目标行为包括下述至少之一：读操作行为、写操作行为和执行操作行为。

可选地，所述客体对象为所述可信计算平台中各个文件目录下的子文件。

根据本发明实施例的另一方面，还提供了一种存储介质，所述存储介质用于存储程序，其中，所述程序在被处理器执行时控制所述存储介质所在设备执行上述任意一项所述的可信策略的更新方法。

根据本发明实施例的另一方面，还提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述任意一项所述的可信策略的更新方法。

在本发明实施例中，采用将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，然后获取子策略中包含的第一客体集合(子策略规定的目标应用程序执行目标行为对应的客体对象的集合)和第二客体集合(目标应用程序在可信计算平台中执行目标行为对应的客体的集合)，根据第一客体集合与第二客体集合计算子策略的策略相似度，并对对多个子策略中策略相似度最小的子策略进行更新，以完成对整体可信策略的更新，提高更新效率，从而解决由于安全管理员手动更新可信策略，可信策略的更新效率降低，导致用户满意度下降的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种可选的可信策略的更新方法的流程图；

图2是根据本发明实施例的一种可选的可信策略的更新装置的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明各实施例中的可信策略的更新方法的执行主体为可信安全管理平台，可信安全管理平台用于支持维护多个可信计算平台，可信计算平台包括并行的计算子系统与防护子系统，其中，计算子系统用于完成计算任务，而防护子系统用于根据可信策略对计算子系统进行主动度量，可信计算平台负责采集应用程序的访问行为数据，并上报给可信安全管理平台，可信安全管理平台基于这些访问行为数据学习得到可信策略，在得到可信策略后，可以将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，然后获取子策略中的客体集合(即第一客体集合)以及目标应用程序在可信计算平台中执行目标行为对应的客体的集合(即第二客体集合)，基于这两个集合可各个子策略的策略相似度，并对相似度最小的子策略(相似度最小即指示子策略的安全防护不符合实际客体操作行为，此时可能会出现安全防护降低的情况)进行更新，以完成对可信策略的更新。下面结合各个实施例对本发明进行详细说明。

实施例一

根据本发明实施例，提供了一种可信策略的更新方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本发明实施例中的策略相似度(或者叫策略符合度)是基于一个主体(即目标应用程序)而言的，一个可信策略的客体集合与实际操作行为对应的客体集合的相似度要从两个方面衡量，一个是该可信策略要能覆盖住保护主体(即目标应用程序)的全部行为；另一个方面是可信策略里不能有太多与该主体无关的内容，可信策略覆盖不会出现误拦的情况，例如，基于白名单的访问控制防护方式，在基于白名单的防御方式下，为了保障应用业务的顺利执行安全管理员往往会将可信策略做的过于宽泛，将访问控制往往做至上层目录甚至根目录，这样做虽然在程序执行上看似可以了，误拦率也下来了，但这是降低安全性的做法。所以一个相似度高或者符合度高的可信策略既不能不全又不能过宽，围绕着目标应用程序量身打造。

为了保证可信策略对目标应用程序的安全防护达到最优，使用策略相似度来评估可信策略的覆盖度，从而给出是否更新可信策略的建议，以提高对目标应用程序的安全防护同时不会干扰目标应用程序的正常工作。

图1是根据本发明实施例的一种可选的可信策略的更新方法的流程图，如图1所示，该方法包括如下步骤：

步骤s102，将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略；

步骤s104，获取子策略中包含的第一客体集合，第一客体集合为子策略规定的目标应用程序执行目标行为对应的客体对象的集合，第一客体集合中的客体对象均在子策略对应的目录下；

步骤s106，获取第二客体集合，第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合，第二客体集合中的客体对象均在子策略对应的目录下；

步骤s108，根据第一客体集合与第二客体集合计算子策略的策略相似度；

步骤s110，对多个子策略中策略相似度最小的子策略进行更新。

通过上述步骤，可以采用将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略，获取子策略中包含的第一客体集合，第一客体集合为子策略规定的目标应用程序执行目标行为对应的客体对象的集合，第一客体集合中的客体对象均在子策略对应的目录下，获取第二客体集合，第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合，第二客体集合中的客体对象均在子策略对应的目录下，根据第一客体集合与第二客体集合计算子策略的策略相似度，对多个子策略中策略相似度最小的子策略进行更新。在该实施例中，可以基于各个子策略中的客体集合(即第一客体集合)以及目标应用程序在可信计算平台中执行目标行为对应的客体的集合(即第二客体集合)计算各个子策略的策略相似度，并对相似度最小的子策略进行更新，以完成对可信策略的更新，提高更新效率，从而解决由于安全管理员手动更新可信策略，可信策略的更新效率降低，导致用户满意度下降的技术问题。

下面结合各步骤对本发明进行详细说明。

步骤s102，将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略。

可选地，客体对象为可信计算平台中各个文件目录下的子文件。

本发明实施例中访问行为数据可以是指在目标应用程序中执行的操作行为的数据，在对历史预设时间内的访问行为数据进行统计、归纳、分析后，得到行为特征，行为特征可包括主体(目标应用程序)、客体(可信计算平台中各个文件目录下的子文件)、操作时间和调用者(调用主体的集合)。通过对行为特征进行分析，可以学习得到与目标应用程序对应的可信策略。

在学习到上述的可信策略后，需要优化可信策略(即更新可信策略)，通过将可信策略集合拆分成基于目录的小集合，基于小集合进行评估，调整小集合从而使得策略相似值提升，以更新可信策略。

步骤s104，获取子策略中包含的第一客体集合，第一客体集合为子策略规定的目标应用程序执行目标行为对应的客体对象的集合，第一客体集合中的客体对象均在子策略对应的目录下。

步骤s106，获取第二客体集合，第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合，第二客体集合中的客体对象均在子策略对应的目录下。

在本发明实施例中，目标行为包括但不限于：读操作行为、写操作行为、复制操作行为、剪切操作行为和执行操作行为。

在确定客体集合时，是针对每个行为来确定，例如，针对执行操作行为，可以确定各个子策略目录下子策略规定的目标应用程序执行操作行为对应的客体集合(以子策略自身的客体集合为准)，得到第一客体集合，同时，可确定各个子策略目录下目标应用程序在实际执行目标行为时的客体集合(以目标应用程序的客体集合为准)，得到第二客体集合。

针对某一个目标行为，确定该在子策略下目标应用程序的执行客体集合和在实际目标应用程序下的执行客体集合。通过将子策略目录下执行的目标行为转换成客体集合，然后进行客体集合之间的比较，确定出策略相似度。

步骤s108，根据第一客体集合与第二客体集合计算子策略的策略相似度。

可选地，根据第一客体集合与第二客体集合计算计算子策略的策略相似度，包括：通过预设公式计算子策略的策略相似度，其中，预设公式为：

其中，similarity为策略相似度，x为第一客体集合，x′为第二客体集合。

依据simliarity值进行排序，如果是正序，则排在最末的策略相似度最小，如果是倒序，则第一个的策略相似度最小。

本发明实施例，每一次更新可信策略时，可针对策略相似度最小的子策略进行更新。

步骤s110，对多个子策略中策略相似度最小的子策略进行更新。

作为本发明一可选的实施例，对多个子策略中策略相似度最小的子策略进行更新，包括：获取第一客体集合与第二客体集合之间的交集；在第一客体集合与交集之间的差达到第一预定阈值的情况下，减少策略相似度最小的子策略对应的目录中的客体对象；在第二客体集合与交集之间的差达到第二预定阈值的情况下，增加策略相似度最小的子策略对应的目录中的客体对象，和/或调整策略相似度最小的子策略对应的目录。

即可以做如下比较：

x-(x∩x′)，其中，x为第一客体集合，x′为第二客体集合，在得到两者交集后，计算该交集与第一客体集合的差值，若该差值达到第一预定阈值的情况下，说明策略中做了无效的客体文件，对这些文件需要删除，减少策略相似度最小的子策略对应的目录中的客体对象；

x’-(x∩x′)，其中，x为第一客体集合，x′为第二客体集合，在得到两者交集后，计算该交集与第二客体集合的差值，若该差值达到第二预定阈值的情况下，说明策略中漏掉了实际主体访问行为需要补充，根据漏掉元素特征判断是漏掉目录还是目录中的客体对象，增加策略相似度最小的子策略对应的目录中的客体对象，和/或调整策略相似度最小的子策略对应的目录。

通过上述两种方式，完成子策略的更新，将更新后的可信策略的策略文件和文件路径写入数据库，以便可信安全管理平台和可信计算平台后续使用。

根据本发明实施例的另一方面，还提供了一种存储介质，存储介质用于存储程序，其中，程序在被处理器执行时控制存储介质所在设备执行上述任意一项的可信策略的更新方法。

根据本发明实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述任意一项的可信策略的更新方法。

下面通过另一种可选的实施例来说明本发明。

实施例二

图2是根据本发明实施例的一种可选的可信策略的更新装置的示意图，如图2所示，该更新装置可以包括：划分单元21，第一获取单元23，第二获取单元25，计算单元27，更新单元29，其中，

划分单元21，用于将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略；

第一获取单元23，用于获取子策略中包含的第一客体集合，第一客体集合为子策略规定的目标应用程序执行目标行为对应的客体对象的集合，第一客体集合中的客体对象均在子策略对应的目录下；

第二获取单元25，用于获取第二客体集合，第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合，第二客体集合中的客体对象均在子策略对应的目录下；

计算单元27，用于根据第一客体集合与第二客体集合计算子策略的策略相似度；

更新单元29，用于对多个子策略中策略相似度最小的子策略进行更新。

上述可信策略的更新装置，可以通过划分单元21将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略，通过第一获取单元23获取子策略中包含的第一客体集合，第一客体集合为子策略规定的目标应用程序执行目标行为对应的客体对象的集合，第一客体集合中的客体对象均在子策略对应的目录下，通过第二获取单元25获取第二客体集合，第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合，第二客体集合中的客体对象均在子策略对应的目录下，通过计算单元27根据第一客体集合与第二客体集合计算子策略的策略相似度，通过更新单元29对多个子策略中策略相似度最小的子策略进行更新。在该实施例中，可以基于各个子策略中的客体集合(即第一客体集合)以及目标应用程序在可信计算平台中执行目标行为对应的客体的集合(即第二客体集合)计算各个子策略的策略相似度，并对相似度最小的子策略进行更新，以完成对可信策略的更新，提高更新效率，从而解决由于安全管理员手动更新可信策略，可信策略的更新效率降低，导致用户满意度下降的技术问题。

在本发明实施例中，计算单元包括：计算模块，用于通过预设公式计算子策略的策略相似度，其中，预设公式为：

其中，similarity为策略相似度，x为第一客体集合，x'为第二客体集合。

另一种可选地，更新单元包括：获取模块，用于获取第一客体集合与第二客体集合之间的交集；减少模块，用于在第一客体集合与交集之间的差达到第一预定阈值的情况下，减少策略相似度最小的子策略对应的目录中的客体对象；增加模块，用于在第二客体集合与交集之间的差达到第二预定阈值的情况下，增加策略相似度最小的子策略对应的目录中的客体对象，和/或调整策略相似度最小的子策略对应的目录。

可选地，目标行为包括下述至少之一：读操作行为、写操作行为和执行操作行为。

可选地，客体对象为可信计算平台中各个文件目录下的子文件。

上述的可信策略的更新装置还可以包括处理器和存储器，上述划分单元21，第一获取单元23，第二获取单元25，计算单元27，更新单元29等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。

上述处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来对多个子策略中策略相似度最小的子策略进行更新，以完成对整体可信策略的更新。

上述存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)，存储器包括至少一个存储芯片。

本申请还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：将目标应用程序对应的可信策略按照客体对象所在的目录划分为多个子策略，可信策略为根据预设时间内目标应用程序的访问行为数据学习得到的策略；获取子策略中包含的第一客体集合，第一客体集合为子策略规定的目标应用程序执行目标行为对应的客体对象的集合，第一客体集合中的客体对象均在子策略对应的目录下；获取第二客体集合，第二客体集合为在预设时间内目标应用程序在可信计算平台中执行目标行为对应的客体的集合，第二客体集合中的客体对象均在子策略对应的目录下；根据第一客体集合与第二客体集合计算子策略的策略相似度；对多个子策略中策略相似度最小的子策略进行更新。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。