一种可信状态监控的方法、设备及介质与流程

本发明涉及可信计算技术领域，更具体地，特别是指一种可信状态监控的方法、设备及可读介质。

背景技术：

国产平台的可信计算技术已发展的较为成熟，包括可信网络、可信冗余和可信安全管理等上层可信应用；同时c/s(客户机/服务器)和b/s(浏览器/服务器)架构是中心化应用传统的设计。

目前，在国产平台终端可信状态收集方面，还没有比较成熟的方案和方法，以前的国产平台终端信息收集方案包括使用snmp协议(简单网络管理协议)收集终端的cpu、内存等，方案无法收集当前终端的可信状态信息，且无法将接口以web的形式对外开放；在国产平台终端可信管控方面，已知的包括可信网络连接、终端远程管控等软件系统，这些软件系统缺乏对终端整个可信计算环境的考量，不具备通用性。

技术实现要素：

有鉴于此，本发明实施例的目的在于提出一种可信状态监控的方法、设备及介质，可以实现终端可信状态信息收集、终端可信功能管控和提供可信服务接口等功能。

基于上述目的，本发明实施例的一方面提供了一种可信状态监控的方法，包括如下步骤：客户端开启上层可信服务，并通过客户端通信组件向服务端发送网络认证请求；服务端接收并通过网络认证请求，以确认客户端在线状态，并回复客户端；以及客户端每隔预定时间收集当前可信状态，并通过客户端通信组件上报给服务端。

在一些实施方式中，服务端提供以web的形式对外界开放的接口，方法还包括：服务端初始化数据库及服务端通信组件；服务端通过服务端通信组件与客户端通信组件进行通信。

在一些实施方式中，客户端每隔预定时间收集当前可信状态，并通过客户端通信组件上报给服务端包括：客户端收集当前可信状态，并对可信状态进行分析，生成可信日志；通过客户端通信组件向服务端通信组件发送可信日志；服务端通信组件接收可信日志，以供外界通过服务端接口调用。

在一些实施方式中，可信服务包括可信网络服务和可信安全管理，可信网络服务基于可信网络接入因子，根据服务端决策是否接入局域网；可信安全管理基于客户端可信软件栈，可信软件栈提供客户端的操作系统资源，操作系统资源包括进程、文件、加密柜和外部设备。

在一些实施方式中，服务端接口类别包括可信状态获取、可信功能设置和可信计算服务。

本发明实施例的另一方面，还提供了一种计算机设备，包括：至少一个处理器；以及存储器，存储器存储有可在处理器上运行的计算机指令，指令由处理器执行以实现如下步骤：客户端开启上层可信服务，并通过客户端通信组件向服务端发送网络认证请求；服务端接收并通过网络认证请求，以确认客户端在线状态，并回复客户端；以及客户端每隔预定时间收集当前可信状态，并通过客户端通信组件上报给服务端。

在一些实施方式中，服务端提供以web的形式对外界开放的接口，步骤还包括：服务端初始化数据库及服务端通信组件；服务端通过服务端通信组件与客户端通信组件进行通信。

在一些实施方式中，客户端每隔预定时间收集当前可信状态，并通过客户端通信组件上报给服务端包括：客户端收集当前可信状态，并对可信状态进行分析，生成可信日志；通过客户端通信组件向服务端通信组件发送可信日志；服务端通信组件接收可信日志，以供外界通过服务端接口调用。

在一些实施方式中，可信服务包括可信网络服务和可信安全管理，可信网络服务基于可信网络接入因子，根据服务端决策是否接入局域网；可信安全管理基于客户端可信软件栈，可信软件栈提供客户端的操作系统资源，操作系统资源包括进程、文件、加密柜和外部设备。

在一些实施方式中，服务端接口类别包括可信状态获取、可信功能设置和可信计算服务。

根据本发明，还提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时实现以上所述方法的步骤。

本发明具有以下有益技术效果：通过服务端对外接口的设置，以及服务端与客户端之间的通信，实现终端可信状态信息收集、终端可信功能管控和提供可信服务接口等功能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。

图1为本发明提供的可信状态监控的方法的实施例的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

基于上述目的，本发明实施例的第一个方面，提出了一种可信状态监控的方法的实施例。图1示出的是本发明提供的可信状态监控的方法的实施例的示意图。如图1所示，本发明实施例包括如下步骤：

s1、客户端开启上层可信服务，并通过客户端通信组件向服务端发送网络认证请求；

s2、服务端接收并通过网络认证请求，以确认客户端在线状态，并回复客户端；以及

s3、客户端每隔预定时间收集当前可信状态，并通过客户端通信组件上报给服务端。

在本发明的一些实施例中，可信状态监控系统采用c/s(客户机/服务器)、b/s(浏览器/服务器)架构，划分为服务端和客户端两部分，其适用于飞腾、龙芯和神威等cpu架构，以及中标麒麟、银河麒麟和方德等国产操作系统，即该可信状态监控系统具备国产平台通用性。解决了现有技术在国产平台终端可信度管控方面的不通用性，如可信网络连接、终端远程管控等软件系统，缺乏对终端整个可信计算环境的考量。在本发明的一些实施例中，具体部署要求服务端本地安装mysql(关系型数据库管理系统)、rabbitmq服务，客户端可部署于局域网中任意节点。

可信网络划分为服务端和客户端两部分，服务端为认证服务器，客户端作为认证端点，连接到相同局域网，局域网配置802.1x协议，只有通过认证服务器的认证，客户端才能在可信局域网中正常收发数据，否则将无法通过交换机转发数据。

可信安全管理同样包含客户端和服务端两部分，客户端负责本机的进程、文件、加密柜和设备管理等可信安全功能的实现，服务端可通过调用接口对客户端进行管理。

根据本发明的一些实施方式，服务端提供以web的形式对外界开放的接口，方法还包括：服务端初始化数据库及服务端通信组件；服务端通过服务端通信组件与客户端通信组件进行通信。接口的可信功能设置部分包括进程、文件、加密柜和设备管理等功能的策略配置。

根据本发明的一些实施方式，客户端每隔预定时间收集当前可信状态，并通过客户端通信组件上报给服务端包括：客户端收集当前可信状态，并对可信状态进行分析，生成可信日志；通过客户端通信组件向服务端通信组件发送可信日志；服务端通信组件接收可信日志，以供外界通过服务端接口调用。

根据本发明的一些实施方式，可信服务包括可信网络服务和可信安全管理，可信网络服务基于可信网络接入因子，根据服务端决策是否接入局域网；可信安全管理基于客户端可信软件栈，可信软件栈提供客户端的操作系统资源，操作系统资源包括进程、文件、加密柜和外部设备。

根据本发明的一些实施方式，服务端接口类别包括可信状态获取、可信功能设置和可信计算服务。服务端接口为restful接口，restful接口的可信功能设置部分包括进程、文件、加密柜和设备管理等功能的策略配置，进程黑白名单功能，可通过restful接口配置黑白名单，处于黑名单中的进程不可执行，黑名单的优先级高于白名单，不处于白名单中的进程也不可执行；文件保护功能，可通过restful接口实现对特定文件的内容和权限保护，避免文件遭到恶意破坏，保证文件的完整性；加密柜功能，可通过restful接口开启或关闭加密柜，加密柜用于保存具有密级的信息，防止信息泄露；设备管理功能，可通过restful接口实现对usb类、串口类等设备是否允许使用的配置，可禁止某类型设备被内核识别。

需要特别指出的是，上述基于安全芯片的身份认证的方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减，因此，这些合理的排列组合变换之于可信状态监控的方法也应当属于本发明的保护范围，并且不应将本发明的保护范围局限在实施例之上。

基于上述目的，本发明实施例的第二个方面，提出了一种计算机设备，包括：至少一个处理器；以及存储器，存储器存储有可在处理器上运行的计算机指令，指令由处理器执行以实现如下步骤：s1、客户端开启上层可信服务，并通过客户端通信组件向服务端发送网络认证请求；s2、服务端接收并通过网络认证请求，以确认客户端在线状态，并回复客户端；以及s3、客户端每隔预定时间收集当前可信状态，并通过客户端通信组件上报给服务端。

根据本发明的一些实施方式，服务端提供以web的形式对外界开放的接口，步骤还包括：服务端初始化数据库及服务端通信组件；服务端通过服务端通信组件与客户端通信组件进行通信。

根据本发明的一些实施方式，客户端每隔预定时间收集当前可信状态，并通过客户端通信组件上报给服务端包括：客户端收集当前可信状态，并对可信状态进行分析，生成可信日志；通过客户端通信组件向服务端通信组件发送可信日志；服务端通信组件接收可信日志，以供外界通过服务端接口调用。

根据本发明的一些实施方式，可信服务包括可信网络服务和可信安全管理，可信网络服务基于可信网络接入因子，根据服务端决策是否接入局域网；可信安全管理基于客户端可信软件栈，可信软件栈提供客户端的操作系统资源，操作系统资源包括进程、文件、加密柜和外部设备。

根据本发明的一些实施方式，服务端接口类别包括可信状态获取、可信功能设置和可信计算服务。

本发明还提供了一种计算机可读存储介质，计算机可读存储介质存储有被处理器执行时执行如上方法的计算机程序。

最后需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关硬件来完成，基于软链接的文件保护的方法的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，程序的存储介质可为磁碟、光盘、只读存储记忆体(rom)或随机存储记忆体(ram)等。上述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。

此外，根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时，执行本发明实施例公开的方法中限定的上述功能。

此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。

此外，应该明白的是，本文的计算机可读存储介质(例如，存储器)可以是易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦写可编程rom(eeprom)或快闪存储器。易失性存储器可以包括随机存取存储器(ram)，该ram可以充当外部高速缓存存储器。作为例子而非限制性的，ram可以以多种形式获得，比如同步ram(dram)、动态ram(dram)、同步dram(sdram)、双数据速率sdram(ddrsdram)、增强sdram(esdram)、同步链路dram(sldram)、以及直接rambusram(drram)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。

本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。

结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行：通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器，但是可替换地，处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、一个或多个微处理器结合dsp和/或任何其它这种配置。

结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在ram存储器、快闪存储器、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器，使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中，存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在asic中。asic可以驻留在用户终端中。在一个替换方案中，处理器和存储介质可以作为分立组件驻留在用户终端中。

在一个或多个示例性设计中，功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。

以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。

应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。

上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。