本技术属于信息安全,尤其涉及一种安全管理方法、装置、设备、存储介质及产品。
背景技术:
1、随着"互联网+"时代的到来,信息化和智能化成为趋势,工作手机、学习平板、智能音箱、机顶盒等智能终端非常普及。这些终端在实际应用中可能用于某些特定目的,比如作为学习辅助工具的平板电脑,企业中用于播报的智能音箱。在这类设备中,需要对其具体功能进行定制。在部分情况下,如果终端涉及保密程度较高的工作,还需要通过技术手段限定终端用途,甚至对专用终端统一纳管,保障终端设备安全,通过安全管控平台实现定制应用的分发、安装和升级等服务,保障专用终端仅可安装运行安全可信的应用,保障用户和业务安全。
2、目前的终端应用管理主要通过两类技术方案实现:一类是基于设备厂商提供的企业设备管理系统接口权限,研发管理软件,实现对设备应用的管理。另一类是基于终端设备系统的设备管理员权限等权限,通过管理软件实现企业对设备的管理。但目前的方案中关于终端应用敏感操作的代码都是运行在终端主操作系统上的,属于富执行环境(richexecution environment,ree)也叫做通用执行环境。一旦有人获取到了设备的root权限,就可以完全掌控设备,有权限对完全运行在通用执行环境中的各种管理软件进行篡改甚至完全删除,进而让管理软件失去对终端的控制,让上述的方案完全无效,因此目前的方案依然存在一定的安全隐患。
技术实现思路
1、鉴于以上所述的一个或多个问题,本发明提供了一种安全管理方法、装置、设备、存储介质及产品,能够加强终端的安全性。
2、第一方面,本技术实施例提供一种安全管理方法,所述方法应用于可信执行模块,包括:
3、接收运行在富执行环境中的应用管控服务单元发送的安全检测信息;
4、从安全元件中查询与所述安全检测信息相关的安全策略;
5、基于所述安全检测信息对应的安全策略向所述应用管控服务单元发送处置信息,所述处置信息包含有所述应用管控服务单元需要执行的安全管控任务。
6、在一些可能的实现方式中,所述从安全元件中查询与所述安全检测信息对应的安全策略,包括:
7、根据预设散列函数对所述安全检测信息进行处理,得到所述安全检测信息对应的散列值;
8、基于所述散列值确定指纹信息;
9、从所述安全元件中查询与所述安全检测信息相关的最新安全策略,所述最新安全策略中包括指纹信息集;
10、在所述指纹信息集中未包括所述指纹信息的情况下,将所述指纹信息相关的所述最新安全策略作为所述安全检测信息对应的安全策略。
11、在一些可能的实现方式中,所述安全检测信息包括待安装应用信息,所述根据预设散列函数对所述安全检测信息进行处理,得到所述安全检测信息对应的散列值,包括:
12、根据预设散列函数对所述安装应用信息进行处理,得到所述安全检测信息对应的散列值;
13、所述从所述安全元件中查询与所述安全检测信息相关的最新安全策略,所述最新安全策略中包括指纹信息集,包括:
14、从所述安全元件中查询与所述安装应用信息相关的最新的安全策略,所述最新安全策略中包括可安装应用指纹信息集。
15、在一些可能的实现方式中,所述安全检测信息包括运行环境检测信息,根据预设散列函数对所述安全检测信息进行处理,得到所述安全检测信息对应的散列值,包括:
16、根据预设散列函数对所述运行环境检测信息进行处理,得到所述安全检测信息对应的散列值;
17、所述从所述安全元件中查询与所述安全检测信息相关的最新安全策略,所述最新安全策略中包括指纹信息集,包括:
18、从安全元件中查询与所述运行环境检测信息相关的最新安全策略,所述最新安全策略中包括安全运行环境指纹信息集。
19、在一些可能的实现方式中,所述接收运行在富执行环境中的应用管控服务单元发送的安全检测信息之前,所述方法还包括:
20、在所述可信执行模块启动的情况下,在富执行环境中查找应用管控服务单元;
21、在未查找到所述应用管控服务单元的情况下,向富执行环境模块发送安装指令,以用于所述富执行环境模块在所述富执行环境中安装所述应用管控服务单元。
22、在一些可能的实现方式中,所述在富执行环境中查找应用管控服务单元之后,所述方法还包括:
23、在查找到所述应用管控服务单元的情况下,接收所述富执行环境模块发送的所述应用管控服务单元信息和设备信息;
24、根据所述设备信息向安全管控平台查询得到最新应用管控服务单元文件;
25、根据所述应用管控服务单元信息和所述最新应用管控服务单元文件判断所述管控应用是否需要更新;
26、在所述应用管控服务单元需要更新的情况下,通过所述最新应用管控服务单元文件更新所述管控应用。
27、在一些可能的实现方式中,所述方法还包括:
28、接收安全管控平台发送的最新安全策略;
29、获取安全元件中保存的安全策略;
30、在所述安全元件中的安全策略与所述最新安全策略不同的情况下,根据所述最新安全策略更新所述安全元件中保存的安全策略。
31、在一些可能的实现方式中,基于所述安全检测信息对应的安全策略向所述应用管控服务单元发送处置信息之后,所述方法还包括:
32、接收所述应用管控服务单元发送的处置结果;
33、根据所述处置结果确定检测报告;
34、向安全管控平台发送所述检测报告,以用于所述安全监控平台基于对所述检测报告进行校验;
35、接收所述安全管控平台发送的管控指令,所述管控指令包括安全管控任务;
36、向所述应用管控服务单元发送所述管控指令,以用于所述应用管控服务单元执行所述安全管控任务。
37、第二方面,本技术实施例提供另一种安全管理方法,所述方法应用于富执行模块,方法包括:
38、向运行在可信执行环境中的可信应用程序发送安全检测信息;
39、接收所述可信应用程序发送的与所述安全检测信息对应的处置信息,所述处置包含有安全管控任务;
40、根据所述处置信息执行所述安全管控任务。
41、第三方面,本技术实施例提供了一种安全管理装置,所述装置包括:
42、接收模块,用于接收运行在富执行环境中的应用管控服务单元发送的安全检测信息;
43、查询模块,用于从安全元件中查询与所述安全检测信息相关的安全策略;
44、发送模块,用于基于所述安全检测信息对应的安全策略向所述应用管控服务单元发送处置信息,所述处置信息包含有所述应用管控服务单元需要执行的安全管控任务。
45、第四方面,本技术实施例提供了一种安全管理设备,设备包括:处理器,以及存储有计算机程序指令的存储器;所述处理器读取并执行所述计算机程序指令,以实现如上文所述的安全管理方法。
46、第五方面,本技术实施例提供了一种计算机可读存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如上文所述的安全管理方法。
47、第六方面,本技术实施例提供了一种计算机程序产品,所述计算机程序产品中的指令由电子设备的处理器执行时,使得所述电子设备执行如上文所述的安全管理方法。
48、上述方案在可信执行环境中执行。通用执行环境中的应用管控服务单元只进行安全检测和执行安全管控任务,根据安全策略进行安全管控的过程运行在安全性更高的可信执行环境中,具体的安全策略保存在难以篡改的安全元件中。大部分的系统漏洞都只针对通用执行环境,而且即使取得了root权限也只能获得针对通用执行环境的各种权限,无法绕过可信执行环境或对可信执行环境进行修改。所以就算对通用执行环境的应用管控服务单元进行更改或者删除,主要的安全管控逻辑依然在可信执行环境中执行,无法进行更改。因此上述方案能够加强专用终端的安全性。
1.一种安全管理方法,所述方法应用于可信执行模块,其特征在于,所述方法包括:
2.根据权利要求1所述的安全管理方法,其特征在于,所述从安全元件中查询与所述安全检测信息对应的安全策略,包括:
3.根据权利要求2所述的安全管理方法,其特征在于,所述安全检测信息包括安装应用信息,所述根据预设散列函数对所述安全检测信息进行处理,得到所述安全检测信息对应的散列值,包括:
4.根据权利要求2所述的安全管理方法,其特征在于,所述安全检测信息包括运行环境检测信息,根据预设散列函数对所述安全检测信息进行处理,得到所述安全检测信息对应的散列值,包括:
5.根据权利要求4所述的安全管理方法,其特征在于,所述接收运行在富执行环境中的应用管控服务单元发送的安全检测信息之前,所述方法还包括:
6.根据权利要求5所述的安全管理方法,其特征在于,所述在富执行环境中查找应用管控服务单元之后,所述方法还包括:
7.根据权利要求4所述的安全管理方法,其特征在于,所述方法还包括:
8.根据权利要求1至7中任一项所述的安全管理方法,其特征在于,所述基于所述安全检测信息对应的安全策略向所述应用管控服务单元发送处置信息之后,所述方法还包括:
9.一种安全管理方法,所述方法应用于富执行模块,其特征在于,所述方法包括:
10.一种安全管理装置,其特征在于,所述装置包括:
11.一种安全管理设备,其特征在于,所述设备包括:处理器,以及存储有计算机程序指令的存储器;所述处理器读取并执行所述计算机程序指令,以实现如权利要求1-8任意一项所述的安全管理方法。
12.一种计算机可读存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-8任意一项所述的安全管理方法。
13.一种计算机程序产品,其特征在于,所述计算机程序产品中的指令由电子设备的处理器执行时,使得所述电子设备执行如权利要求1-8任意一项所述的安全管理方法。
