本发明属于数据安全技术领域,涉及一种在可信执行环境的应用程序审计方法。
背景技术:
目前,数据共享和数据分析已成为大势所趋,数据的处理通常需要借助相关应用程序进行,应用程序处理数据的权限大小直接关乎到数据信息的安全性以及数据的隐私性,任何对应用程序的更新或者更改都会涉及到数据的安全性和隐私性的改变。可信执行环境可以将应用程序的操作限制在特定权限中,但仍然可能存在权限被窃取或者管理员利用自己的职权对应用程序进行非法更新或更改就会导致严重的数据安全问题,因此,亟需提供一种针对应用程序的审计监控方法以解决这一问题。
技术实现要素:
针对上述现有技术存在的问题,本发明的目的在于提供一种可信执行环境中应用程序审计方法,以此解决应用程序的更新或更改无法审计和监控的问题,提高数据的安全性。
为实现上述目的,本发明所采用的技术方案为:
一种应用程序审计方法,所述审计方法是在安全操作系统中设置虚拟机,在虚拟机上运行应用程序,在虚拟机上设置数据上链功能。
进一步的,所述数据是指因更新应用程序而产生的审计数据。
进一步的,所述数据上链功能是指将审计数据上传到区块链。
进一步的,对应用程序的操作无法影响虚拟机层和操作系统层的监控,将权限粒度限制在应用层。
本发明的审计方法是在操作系统中设置虚拟机,将应用程序在虚拟机上运行,即,采用虚拟机将应用程序与操作系统隔离开,并在虚拟机上设置数据上链功能,将因应用程序更新或更改而产生的审计数据实时上传到区块链,这些审计数据可以随时被查询,即,应用程序管理员对应用程序所进行的任何更新或更改操作都处于可被审计和监管的状态,应用程序的更新或更改操作均具有可追溯性,一旦应用程序管理员对应用程序所进行了非法的更新或更改操作就可以及时进行审计和追查,以此解决应用程序的更新或更改无法审计和监控的问题,从而提高了数据的安全性。
具体实施方式
为了使本发明的目的、技术方案更加清楚明白,以下结合实例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。下面对本发明的应用过程作详细的描述。
本发明提供一种应用程序审计方法,所述审计方法是在操作系统中设置虚拟机层,在虚拟机层上运行应用程序,在虚拟机上设置数据上链功能。
进一步的,所述数据是指因更新应用程序而产生的审计数据。
进一步的,所述数据上链功能是指将审计数据上传到区块链。
进一步的,对应用程序的操作无法影响虚拟机层和操作系统层的监控,将权限粒度限制在应用层。
本发明的审计方法是在操作系统中设置虚拟机,将应用程序在虚拟机上运行,即,采用虚拟机将应用程序与操作系统隔离开,并在虚拟机上设置数据上链功能,将因应用程序更新或更改而产生的审计数据实时上传到区块链,这些审计数据可以随时被查询,即,应用程序管理员对应用程序所进行的任何更新或更改操作都处于可被审计和监管的状态,应用程序的更新或更改操作均具有可追溯性,一旦应用程序管理员对应用程序所进行了非法的更新或更改操作就可以及时进行审计和追查,以此解决应用程序的更新或更改无法审计和监控的问题,从而提高了数据的安全性。
本发明采用虚拟机将应用程序与操作系统的底层隔离,即提供了一个虚拟机对应用程序进行隔离,审计数据的上链功能布置在虚拟机上(现有技术中的这一功能一般是布置在应用程序上,如果应用程序被更新或更改,那么这一数据上链功能也就被更新了,这样就起不到对应用程序的审计和监控作用)。根据本发明的方法,应用程序管理员可以对应用程序进行更新和更改,但是布置在虚拟机底层上的审计数据上链功能却不能进行修改,如果偷偷的修改了,则一定会有相关的审计数据以供审计和追查。而且,应用程序本身不负责审计数据上链操作,在本发明的审计方法中应用程序没有权限进行审计数据上链的操作,即使对应用程序进行恶意更改,但是其不能更改这一权限,而且对应用程序的所有更新更改操作都会产生审计数据并实时上链以备审计。
以上所述,仅是本发明的较佳实施例而已,并非是对本发明作任何其他形式的限制,依据本发明的技术实质所作的任何修改或等同变化,仍属于本发明所要求保护的范围。
1.一种应用程序审计方法,其特征在于,所述审计方法是在安全操作系统上设置虚拟机层,在虚拟机层隔离应用程序,在虚拟机层对应用程序进行监控,并设置数据上链功能,将相关数据实时上链。
2.根据权利要求1所述的审计方法,其特征在于,所述数据是指因更新应用程序而产生的审计数据。
3.根据权利要求2所述的审计方法,其特征在于,所述数据上链功能是指将审计数据上传到区块链。
4.根据权利要求1所述的审计方法,其特征在于,对应用程序的操作无法影响虚拟机层和操作系统层的监控,将权限粒度限制在应用层。