專利名稱::一種運行應(yīng)用程序的安全控制方法和裝置的制作方法一種運行應(yīng)用程序的安全控制方法和裝置
技術(shù)領(lǐng)域:
本發(fā)明實施例涉及互聯(lián)網(wǎng)
技術(shù)領(lǐng)域:
,特別是涉及一種運行應(yīng)用程序的安全控制方法和裝置�����。
背景技術(shù):
:云是互聯(lián)網(wǎng)����、網(wǎng)絡(luò)的一種比喻說法,表示互聯(lián)網(wǎng)和底層基礎(chǔ)設(shè)施的抽象�,大致可以分為公有云和私有云。公有云通常指第三方供應(yīng)商通過自己的基礎(chǔ)設(shè)施�����,直接向外部用戶提供服務(wù)能夠使用的云���。私有云是放在私有環(huán)境中的����,比如企業(yè)�、政府等組織自己在機房中建立的,或者是運營商建設(shè)好���,但是整體租給某一組織的���。組織之外的用戶無法訪問或無法使用。私有云是一個組織單獨使用構(gòu)建的�����,因而可以提供對數(shù)據(jù)���、安全性和服務(wù)質(zhì)量的最有效控制��?��?稍L問私有云的終端和私有云服務(wù)器處于同一個局域網(wǎng),可以使用交換機�����、路由器等網(wǎng)絡(luò)設(shè)備連接�����,當(dāng)終端需要對文件進行操作時需要從私有云獲取相應(yīng)策略�����,具體而言,在終端訪問某個程序時�,需要請求私有云鑒定該程序是否可執(zhí)行,接收到私有云的鑒定結(jié)果后�,才進一步運行該程序或是不運行該程序。以上現(xiàn)有技術(shù)中存在的問題是�����,如果私有云所屬的局域網(wǎng)內(nèi)出現(xiàn)網(wǎng)絡(luò)故障��,或者病毒爆發(fā)�����,致使終端和私有云無法連接�����,那么終端就無法判斷程序是否可執(zhí)行�,會導(dǎo)致終端的所有程序都無法運行,影響終端的正常使用��。因此,目前需要本領(lǐng)域技術(shù)人員解決的一個技術(shù)問題就是����,提供一種運行應(yīng)用程序的安全控制機制,避免終端無法連接私有云時影響應(yīng)用程序的運行�。
發(fā)明內(nèi)容鑒于上述問題,本發(fā)明實施例提供一種克服上述問題或者至少部分地解決上述問題的運行應(yīng)用程序的安全控制方法和相應(yīng)的運行應(yīng)用程序的安全控制裝置�。依據(jù)本發(fā)明實施例的一個方面����,提供了一種運行應(yīng)用程序的安全控制方法,包括特征終端在無法連接特征服務(wù)端時����,獲取應(yīng)用程序的標(biāo)識信息,所述特征服務(wù)端為基于內(nèi)網(wǎng)對特征終端進行安全控制的服務(wù)端���;依據(jù)所述標(biāo)識信息�����,在特征終端預(yù)置的第一屬性鑒定數(shù)據(jù)庫中提取所述應(yīng)用程序的第一屬性���,所述第一屬性包括對所述應(yīng)用程序的安全性分類;依據(jù)所述第一屬性�����,在特征終端預(yù)置的第二屬性配置文件中提取所述應(yīng)用程序的第二屬性,所述第二屬性包括與所述安全性分類相對應(yīng)的應(yīng)用程序的執(zhí)行策略�����;特征終端依據(jù)所述執(zhí)行策略加載和/或執(zhí)行所述應(yīng)用程序�����。本發(fā)明實施例中���,所述應(yīng)用程序包括請求訪問的應(yīng)用程序���、或特征終端安裝的所有應(yīng)用程序、或特征終端安裝的需要與特征服務(wù)端保持連接的應(yīng)用程序����。本發(fā)明實施例中,所述安全性分類包括黑文件��、白文件和灰文件��,若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息,則判斷所述應(yīng)用程序的安全性分類為灰文件��。本發(fā)明實施例中���,所述應(yīng)用程序的安全性分類為黑文件時��,對應(yīng)的執(zhí)行策略為加載并執(zhí)行所述應(yīng)用程序��;所述應(yīng)用程序的安全性分類為白文件時��,對應(yīng)的執(zhí)行策略為不加載所述應(yīng)用程序;所述應(yīng)用程序的安全性分類為灰文件時,對應(yīng)的執(zhí)行策略為執(zhí)行所述應(yīng)用程序的部分應(yīng)用功能�����。本發(fā)明實施例中�,所述方法還包括若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息,則記錄所述應(yīng)用程序的標(biāo)識信息��。本發(fā)明實施例中����,所述方法還包括在特征終端連接上特征服務(wù)端時,獲取應(yīng)用程序的標(biāo)識信息發(fā)送到所述特征服務(wù)端進行鑒定��。本發(fā)明實施例中,所述方法還包括接收特征服務(wù)端返回的所述應(yīng)用程序的第一屬性�,并將所述應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系保存在所述第一屬性鑒定數(shù)據(jù)庫中。本發(fā)明實施例中���,所述方法還包括依據(jù)特征服務(wù)端的第二屬性配置文件�,對特征終端的第二屬性配置文件進行更新����。本發(fā)明實施例中,所述特征終端獲取應(yīng)用程序的標(biāo)識信息的步驟包括特征終端提取應(yīng)用程序?qū)?yīng)的應(yīng)用程序文件��;采用預(yù)設(shè)算法將所述應(yīng)用程序文件轉(zhuǎn)換為對應(yīng)的標(biāo)識信息�����。本發(fā)明實施例中��,所述應(yīng)用程序文件的文件頭中包含預(yù)設(shè)關(guān)鍵詞���;所述預(yù)設(shè)算法包括信息摘要算法����。根據(jù)本發(fā)明的另一方面���,提供了一種運行應(yīng)用程序的安全控制裝置�����,包括標(biāo)識信息獲取模塊��,適于特征終端在無法連接特征服務(wù)端時��,獲取應(yīng)用程序的標(biāo)識信息����,所述特征服務(wù)端為基于內(nèi)網(wǎng)對特定終端進行安全控制的服務(wù)端;第一屬性獲取模塊��,適于依據(jù)所述標(biāo)識信息����,在特征終端預(yù)置的第一屬性鑒定數(shù)據(jù)庫中提取所述應(yīng)用程序的第一屬性���,所述第一屬性包括對所述應(yīng)用程序的安全性分類��;第二屬性獲取模塊���,適于依據(jù)所述第一屬性����,在特征終端預(yù)置的第二屬性配置文件中提取所述應(yīng)用程序的第二屬性�,所述第二屬性包括與所述安全性分類相對應(yīng)的應(yīng)用程序的執(zhí)行策略;加載模塊���,適于特征終端依據(jù)所述執(zhí)行策略加載和/或執(zhí)行所述應(yīng)用程序�����。本發(fā)明實施例中���,所述應(yīng)用程序包括請求訪問的應(yīng)用程序、或特征終端安裝的所有應(yīng)用程序��、或特征終端安裝的需要與特征服務(wù)端保持連接的應(yīng)用程序��。本發(fā)明實施例中����,所述安全性分類包括黑文件、白文件和灰文件�����,所述第一屬性鑒定模塊包括灰文件鑒定子模塊,適于若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息�����,則判斷所述應(yīng)用程序的安全性分類為灰文件�����。本發(fā)明實施例中�����,所述應(yīng)用程序的安全性分類為黑文件時��,對應(yīng)的執(zhí)行策略為加載并執(zhí)行所述應(yīng)用程序����;所述應(yīng)用程序的安全性分類為白文件時,對應(yīng)的執(zhí)行策略為不加載所述應(yīng)用程序;所述應(yīng)用程序的安全性分類為灰文件時��,對應(yīng)的執(zhí)行策略為執(zhí)行所述應(yīng)用程序的部分應(yīng)用功能�����。本發(fā)明實施例中��,所述裝置還包括記錄模塊����,適于若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息,則記錄所述應(yīng)用程序的標(biāo)識信息�����。本發(fā)明實施例中�,所述裝置還包括鑒定模塊,適于在特征終端連接上特征服務(wù)端時����,,獲取所述應(yīng)用程序的標(biāo)識信息發(fā)送到所述特征服務(wù)端進行鑒定��。本發(fā)明實施例中����,所述裝置還包括保存模塊,適于接收所述特征服務(wù)端返回的所述應(yīng)用程序的第一屬性���,并將所述應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系保存在所述第一屬性鑒定數(shù)據(jù)庫中��。本發(fā)明實施例中�,所述裝置還包括更新模塊,適于依據(jù)特征服務(wù)端的第二屬性配置文件��,對特征終端的第二屬性配置文件進行更新�。本發(fā)明實施例中,所述標(biāo)識信息獲取模塊包括應(yīng)用程序文件提取子模塊��,適于特征終端提取應(yīng)用程序?qū)?yīng)的應(yīng)用程序文件�����;轉(zhuǎn)換子模塊����,適于采用預(yù)設(shè)算法將所述應(yīng)用程序文件轉(zhuǎn)換為對應(yīng)的標(biāo)識信息。本發(fā)明實施例中�,所述應(yīng)用程序文件的文件頭中包含預(yù)設(shè)關(guān)鍵詞;所述預(yù)設(shè)算法包括信息摘要算法�。依據(jù)本發(fā)明實施例,通過在終端預(yù)置第一屬性鑒定數(shù)據(jù)庫和第二屬性配置文件�����,終端在無法連接特征服務(wù)端時�����,可以直接在本地鑒定出應(yīng)用程序的安全性分類對應(yīng)的執(zhí)行策略����,進而可以依據(jù)執(zhí)行策略來加載應(yīng)用程序,從而使得終端無法連接私有云時�,依然可以對應(yīng)用程序進行鑒定,得出應(yīng)用程序是否可以執(zhí)行��,不影響用戶對應(yīng)用程序的訪問���。本發(fā)明實施例中�,應(yīng)用程序的安全性分類可以包括黑文件����、白文件和灰文件等多種不同的屬性,相應(yīng)的�����,第二屬性配置文件可以包括對多種不同的安全性分類分別對應(yīng)的執(zhí)行策略����。用戶可以按照自己不同的需求在私有云重新設(shè)置第二屬性配置文件,然后對終端的第二屬性配置文件進行更新。本發(fā)明實施例在第一屬性鑒定數(shù)據(jù)庫不夠完善���,無法對應(yīng)用程序的第一屬性進行鑒定時��,可以將該應(yīng)用程序的安全性分類判定為灰文件��,進而可以在第二屬性配置文件中找到相應(yīng)的執(zhí)行策略�,避免了第一屬性鑒定數(shù)據(jù)庫不夠完善時����,造成部分程序無法訪問的問題。上述說明僅是本發(fā)明技術(shù)方案的概述����,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施��,并且為了讓本發(fā)明的上述和其它目的�����、特征和優(yōu)點能夠更明顯易懂�����,以下特舉本發(fā)明的具體實施方式。通過閱讀下文優(yōu)選實施方式的詳細描述�,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的��,而并不認(rèn)為是對本發(fā)明的限制���。而且在整個附圖中,用相同的參考符號表示相同的部件�。在附圖中圖I示出了根據(jù)本發(fā)明實施例的一種運行應(yīng)用程序的安全控制方法實施例的步驟流程圖2示出了根據(jù)本發(fā)明實施例的一種運行應(yīng)用程序的安全控制裝置實施例的結(jié)構(gòu)框圖。具體實施方式下面將參照附圖更詳細地描述本公開的示例性實施例�����。雖然附圖中顯示了本公開的示例性實施例��,然而應(yīng)當(dāng)理解����,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反���,提供這些實施例是為了能夠更透徹地理解本公開���,并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員。本發(fā)明實施例可以應(yīng)用于計算機系統(tǒng)/服務(wù)器,其可與眾多其它通用或?qū)S糜嬎阆到y(tǒng)環(huán)境或配置一起操作�����。適于與計算機系統(tǒng)/服務(wù)器一起使用的眾所周知的計算系統(tǒng)����、環(huán)境和/或配置的例子包括但不限于個人計算機系統(tǒng)、服務(wù)器計算機系統(tǒng)����、瘦客戶機、厚客戶機���、手持或膝上設(shè)備��、基于微處理器的系統(tǒng)����、機頂盒��、可編程消費電子產(chǎn)品���、網(wǎng)絡(luò)個人電腦�����、小型計算機系統(tǒng)��、大型計算機系統(tǒng)和包括上述任何系統(tǒng)的分布式云計算技術(shù)環(huán)境�,等坐寸ο計算機系統(tǒng)/服務(wù)器可以在由計算機系統(tǒng)執(zhí)行的計算機系統(tǒng)可執(zhí)行指令(諸如程序模塊)的一般語境下描述。通常��,程序模塊可以包括例程����、程序�、目標(biāo)程序、組件�����、邏輯�、數(shù)據(jù)結(jié)構(gòu)等等,它們執(zhí)行特定的任務(wù)或者實現(xiàn)特定的抽象數(shù)據(jù)類型�����。計算機系統(tǒng)/服務(wù)器可以在分布式云計算環(huán)境中實施��,分布式云計算環(huán)境中,任務(wù)是由通過通信網(wǎng)絡(luò)鏈接的遠程處理設(shè)備執(zhí)行的����。在分布式云計算環(huán)境中,程序模塊可以位于包括存儲設(shè)備的本地或遠程計算系統(tǒng)存儲介質(zhì)上��。參考圖1��,示出了本發(fā)明實施例的一種運行應(yīng)用程序的安全控制方法實施例的步驟流程圖��,具體可以包括以下步驟步驟101���、特征終端在無法連接特征服務(wù)端時�,獲取應(yīng)用程序的標(biāo)識信息�����,所述特征服務(wù)端為基于內(nèi)網(wǎng)對特征終端進行安全控制的服務(wù)端�。本發(fā)明實施例中,特征服務(wù)端為特定終端可訪問的服務(wù)端�����,即私有云�����,可訪問私有云的特征終端和私有云服務(wù)器處于同一個內(nèi)網(wǎng),在具體的實現(xiàn)中�����,私有云多架設(shè)在企業(yè)內(nèi)網(wǎng)中����,可以對內(nèi)網(wǎng)的各個終端進行安全控制。本發(fā)明實施例主要用于終端與私有云無法連接場景下����,終端可以使用http數(shù)據(jù)包向私有云服務(wù)器發(fā)起請求��,如果終端無法和私有云服務(wù)器連接����,這個請求會立刻返回失敗,終端從而判斷處于無法連接私有云的環(huán)境����。本發(fā)明實施例中,所述應(yīng)用程序可以是用戶請求訪問的應(yīng)用程序����,用戶可以在終端通過點擊應(yīng)用程序的快捷方式或是程序文件等方式來請求訪問該應(yīng)用程序�,終端接收到用戶的點擊之后�,提取該應(yīng)用程序的標(biāo)識信息用于進一步進行鑒定。本發(fā)明實施例中�,所述應(yīng)用程序也可以是特征終端安裝的所有應(yīng)用程序,特征終端確定無法連接特征服務(wù)器端時��,可以提取所有應(yīng)用程序的標(biāo)識信息���,在特征終端本地進行鑒定����。本發(fā)明實施例中��,所述應(yīng)用程序也可以是特征終端安裝的需要與特征服務(wù)端保持連接的應(yīng)用程序���,終端確定無法連接特征服務(wù)器端時����,提取該應(yīng)用程序的標(biāo)識信息����,在特征終端本地進行鑒定�。在本發(fā)明的一種優(yōu)選的實施例中���,所述步驟101可以包括子步驟S11����、特征終端提取應(yīng)用程序?qū)?yīng)的應(yīng)用程序文件�;子步驟S12、采用預(yù)設(shè)算法將所述應(yīng)用程序文件轉(zhuǎn)換為對應(yīng)的標(biāo)識信息����。本發(fā)明中,應(yīng)用程序的標(biāo)識信息可以通過對應(yīng)用程序文件處理后得到��,私有云終端安裝有多個應(yīng)用程序�����,每個程序?qū)?yīng)有多個文件���,其中包括有應(yīng)用程序文件。應(yīng)用程序文件即PE(portableexecutable,可移植的可執(zhí)行文件)格式的文件,PE文件是微軟Windows操作系統(tǒng)上的程序文件�,常見的EXE、DLL��、OCX、SYS�����、COM都是PE文件�����,每個應(yīng)用程序都有對應(yīng)的PE文件�。具體的,PE文件由MS-DOS可執(zhí)行體����、文件頭、可選頭��、數(shù)據(jù)目錄��、節(jié)頭以及節(jié)等結(jié)構(gòu)組成���,其中�����,文件頭中包含如下結(jié)構(gòu)I)“Machine(機器)”��,用來指出該二進制文件預(yù)定運行于什么樣的系統(tǒng)����;2)“NumberOfSections(節(jié)數(shù))”,它是緊跟在頭后面的節(jié)的數(shù)目;3)“TimeDateStamp(時間戳)”,用來給出文件建立的時間���;4-5)iiPointerToSymbolTable(符號表指針)”和“NumberOfSymbols(符號數(shù))”(都是32位)都用于調(diào)試信息的����;6)“SizeOfOptionalHeader(可選頭大小)”只是“IMAGE0PTI0NALHEADER(可選頭)”項的大小����,可以用它去驗證PE文件結(jié)構(gòu)的正確性;7)“Characteristics(特性)”是一個16位的��,由許多標(biāo)志位形成的集合組成,但大多數(shù)標(biāo)志位只對目標(biāo)文件和庫文件有效��。本發(fā)明中可以通過PE文件的文件頭中各個結(jié)構(gòu)的關(guān)鍵詞作為預(yù)設(shè)關(guān)鍵詞�����,來判斷應(yīng)用程序?qū)?yīng)的各個文件是否為應(yīng)用程序文件��。然后可以通過預(yù)設(shè)算法對應(yīng)用程序文件進行轉(zhuǎn)換�����,并將轉(zhuǎn)換后的文件作為應(yīng)用程序的標(biāo)識信息���。通過對PE文件采用預(yù)設(shè)的算法進行轉(zhuǎn)換可以得到對應(yīng)的標(biāo)識信息����,本發(fā)明中���,預(yù)設(shè)算法可以是MD5算法���,即信息摘要算法(Message-DigestAlgorithm5),MD5的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被"壓縮"成一種保密的格式,就是把一個任意長度的字節(jié)串變換成一定長的十六進制數(shù)字串���,可以確保信息傳輸完整一致�����。步驟102��、依據(jù)所述標(biāo)識信息��,在特征終端預(yù)置的第一屬性鑒定數(shù)據(jù)庫中提取所述應(yīng)用程序的第一屬性�����,所述第一屬性包括對所述應(yīng)用程序的安全性分類����。本發(fā)明中,在終端預(yù)置了第一屬性鑒定數(shù)據(jù)庫�,其中包括應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系,依據(jù)應(yīng)用程序的標(biāo)識信息便可以提取到相應(yīng)的第一屬性�����,第一屬性可以包括對所述應(yīng)用程序的安全性分類��。在本發(fā)明的一種實施例中�,安全性分類可以分為三種,具體為黑文件�����、灰文件和白文件����。若第一屬性鑒定數(shù)據(jù)庫構(gòu)建的初期可能不夠完善,不存在該應(yīng)用程序的標(biāo)識信息時����,為了避免影響用戶使用該程序,可以該應(yīng)用程序的安全性分類確定為灰文件����,避免了第一屬性鑒定數(shù)據(jù)庫不夠完善時,造成部分程序無法訪問的問題�����。在具體的實現(xiàn)中���,安全性分類的種類和個數(shù)也可以根據(jù)需要設(shè)定�,本發(fā)明對此并不做限制����。進一步,本發(fā)明還可以包括若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息�,則記錄所述應(yīng)用程序的標(biāo)識信息。對于鑒定為灰文件的應(yīng)用程序��,可以將記錄下該應(yīng)用程序的標(biāo)識信息����,在可以連接上私有云時���,將該應(yīng)用程序的標(biāo)識信息發(fā)送到私有云進行鑒定,進一步�����,本發(fā)明實施例還可以包括在特征終端連接上特征服務(wù)端時����,獲取所述應(yīng)用程序的標(biāo)識信息發(fā)送到所述特征服務(wù)端進行鑒定。進一步��,本發(fā)明實施例還可以包括接收所述特征服務(wù)端返回的所述應(yīng)用程序的第一屬性��,并將所述應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系保存在所述第一屬性鑒定數(shù)據(jù)庫中�。具體的,私有云構(gòu)建有應(yīng)用程序管理數(shù)據(jù)庫���,即私有黑白庫���,簡稱私有庫,由私有云所在的企業(yè)組織內(nèi)部自己定制���,其中包括了各個應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系��。私有云服務(wù)器接收到終端發(fā)送的應(yīng)用程序的標(biāo)識信息后��,通過私有庫對該應(yīng)用程序的第一屬性進行鑒定����,并返回給終端��,終端將該應(yīng)用程序的第一屬性與標(biāo)識信息的對應(yīng)關(guān)系保存在第一屬性鑒定數(shù)據(jù)庫中�����,下次可以直接利用本地的第一屬性鑒定數(shù)據(jù)庫確定該程序的第一屬性�,使得對應(yīng)用程序的鑒定更為準(zhǔn)確。步驟103��、依據(jù)所述第一屬性�,在特征終端預(yù)置的第二屬性配置文件中提取所述應(yīng)用程序的第二屬性,所述第二屬性包括與所述安全性分類相對應(yīng)的應(yīng)用程序的執(zhí)行策略��。在具體的實現(xiàn)中��,特征終端可以安裝有客戶端軟件����,第二屬性配置文件是可以內(nèi)置在客戶端軟件的安裝包中�。本發(fā)明中�,第二屬性配置文件包括了應(yīng)用程序的第一屬性和第二屬性的對應(yīng)關(guān)系,第二屬性可以包括與所述安全性分類相對應(yīng)的應(yīng)用程序的執(zhí)行策略����。在本發(fā)明的一種優(yōu)選實施例中,應(yīng)用程序的安全性分類與執(zhí)行屬性可以有如下對應(yīng)關(guān)所述應(yīng)用程序的安全性分類為黑文件時��,對應(yīng)的執(zhí)行策略為加載并執(zhí)行所述應(yīng)用程序���;所述應(yīng)用程序的安全性分類為白文件時����,對應(yīng)的執(zhí)行策略為不加載所述應(yīng)用程序;所述應(yīng)用程序的安全性分類為灰文件時����,對應(yīng)的執(zhí)行策略為執(zhí)行所述應(yīng)用程序的部分應(yīng)用功能。在具體的實現(xiàn)中�����,應(yīng)用程序安全性分類和執(zhí)行策略的對應(yīng)關(guān)系可以根據(jù)應(yīng)用環(huán)境和需求靈活設(shè)置���。并且����,用戶可以按照自己不同的需求在特征服務(wù)端重新設(shè)置第二屬性配置文件,然后對特征終端的第二屬性配置文件進行更新�,所述方法進一步還包括依據(jù)特征服務(wù)端的第二屬性配置文件,對特征終端的第二屬性配置文件進行更新��。步驟104����、特征終端依據(jù)所述執(zhí)行策略加載和/或執(zhí)行所述應(yīng)用程序�。執(zhí)行策略中包含了針對各種安全性分類,對應(yīng)的加載或執(zhí)行的方式,特征終端對應(yīng)用程序的執(zhí)行策略鑒定完后�,可以依據(jù)執(zhí)行策略決定是否加載該應(yīng)用程序。綜上所述��,依據(jù)本發(fā)明�����,通過在終端預(yù)置第一屬性鑒定數(shù)據(jù)庫和第二屬性配置文件�,終端在無法連接特征服務(wù)端時訪問應(yīng)用程序時,可以直接在本地鑒定出應(yīng)用程序的安全性分類對應(yīng)的執(zhí)行策略����,進而可以依據(jù)執(zhí)行策略來加載應(yīng)用程序�����,從而使得終端無法連接私有云時����,終端依然可以對應(yīng)用程序進行鑒定�,得出應(yīng)用程序是否可以執(zhí)行,不影響用戶對應(yīng)用程序的訪問����。本發(fā)明中,應(yīng)用程序的安全性分類可以包括黑文件�����、白文件和灰文件等多種不同的屬性�,相應(yīng)的,第二屬性配置文件可以包括對多種不同的安全性分類分別對應(yīng)的執(zhí)行策略����。客戶可以按照自己不同的需求在私有云重新設(shè)置第二屬性配置文件,然后對終端的第二屬性配置文件進行更新�����。本發(fā)明在第一屬性鑒定數(shù)據(jù)庫不夠完善�����,無法對應(yīng)用程序的第一屬性進行鑒定時�,可以將該應(yīng)用程序的安全性分類判定為灰文件,進而可以在第二屬性配置文件中找到相應(yīng)的執(zhí)行策略���,避免了第一屬性鑒定數(shù)據(jù)庫不夠完善時���,造成部分程序無法訪問的問題���。參考圖2�,示出了本發(fā)明實施例的一種運行應(yīng)用程序的安全控制裝置實施例的結(jié)構(gòu)框圖�,具體可以包括以下模塊標(biāo)識信息獲取模塊201,適于特征終端在無法連接特征服務(wù)端時�,獲取應(yīng)用程序的標(biāo)識信息;第一屬性獲取模塊202��,適于依據(jù)所述標(biāo)識信息,在特征終端預(yù)置的第一屬性鑒定數(shù)據(jù)庫中提取所述應(yīng)用程序的第一屬性�,所述第一屬性包括對所述應(yīng)用程序的安全性分類;第二屬性獲取模塊203����,適于依據(jù)所述第一屬性,在特征終端預(yù)置的第二屬性配置文件中提取所述應(yīng)用程序的第二屬性�,所述第二屬性包括與所述安全性分類相對應(yīng)的應(yīng)用程序的執(zhí)行策略;運行模塊204�����,適于特征終端依據(jù)所述執(zhí)行策略加載和/或執(zhí)行所述應(yīng)用程序���。本發(fā)明實施例中��,所述應(yīng)用程序可以包括請求訪問的應(yīng)用程序���、或特征終端安裝的所有應(yīng)用程序、或特征終端安裝的需要與特征服務(wù)端保持連接的應(yīng)用程序����。在本發(fā)明的一種優(yōu)選實施例中,所述第一屬性鑒定數(shù)據(jù)庫可以包括應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系�,所述第二屬性配置文件可以包括應(yīng)用程序的第一屬性和第二屬性的對應(yīng)關(guān)系�。在本發(fā)明的一種優(yōu)選實施例中��,所述安全性分類可以包括黑文件����、白文件和灰文件,所述第一屬性鑒定模塊可以包括灰文件鑒定子模塊���,適于若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息����,則判斷所述應(yīng)用程序的安全性分類為灰文件����。在本發(fā)明的一種優(yōu)選實施例中,所述應(yīng)用程序的安全性分類為黑文件時����,對應(yīng)的執(zhí)行策略為加載并執(zhí)行所述應(yīng)用程序;所述應(yīng)用程序的安全性分類為白文件時����,對應(yīng)的執(zhí)行策略為不加載所述應(yīng)用程序;所述應(yīng)用程序的安全性分類為灰文件時��,對應(yīng)的執(zhí)行策略為執(zhí)行所述應(yīng)用程序的部分應(yīng)用功能。在本發(fā)明的一種優(yōu)選實施例中�,所述裝置還可以包括記錄模塊,適于若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息��,則記錄所述應(yīng)用程序的標(biāo)識信息�。進一步,在該實施例中�����,所述裝置還可以包括鑒定模塊���,適于在特征終端連接上特征服務(wù)端時���,將所述應(yīng)用程序的標(biāo)識信息發(fā)送到所述特征服務(wù)端進行鑒定。進一步��,在該實施例中���,所述裝置還可以包括保存模塊���,適于接收所述特征服務(wù)端返回的所述應(yīng)用程序的第一屬性,并將所述應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系保存在所述第一屬性鑒定數(shù)據(jù)庫中��。在本發(fā)明的一種優(yōu)選實施例中,所述裝置還可以包括更新模塊��,適于依據(jù)特征服務(wù)端的第二屬性配置文件���,對特定終端的第二屬性配置文件進行更新�。在本發(fā)明的一種優(yōu)選實施例中�����,所述標(biāo)識信息獲取模塊可以包括應(yīng)用程序文件提取子模塊����,適于特征終端提取所述應(yīng)用程序?qū)?yīng)的應(yīng)用程序文件;轉(zhuǎn)換子模塊��,適于采用預(yù)設(shè)算法將所述應(yīng)用程序文件轉(zhuǎn)換為對應(yīng)的標(biāo)識信息�����。在本發(fā)明的一種優(yōu)選實施例中�,所述應(yīng)用程序文件的文件頭中可以包含預(yù)設(shè)關(guān)鍵詞;所述預(yù)設(shè)算法可以包括信息摘要算法�。本說明書中的各個實施例重點說明的都是與其他實施例的不同之處��,各個實施例之間相同相似的部分互相參見即可。需要說明的是��,在本發(fā)明實施例中����,所述硬件是指用戶設(shè)備中的硬件,所述用戶設(shè)備包括計算機�、手機、PDA等�,所述硬件包括CPU、主板��、顯卡���、顯示器��、內(nèi)存�、硬盤����、光驅(qū)、聲卡����、電池����、網(wǎng)卡���、鼠標(biāo)鍵盤和/或攝像頭等�。本發(fā)明實施例不僅可以應(yīng)用于單臺設(shè)備的應(yīng)用環(huán)境中��,還可以應(yīng)用于服務(wù)器-終端的應(yīng)用環(huán)境�����,或者進一步應(yīng)用于基于云技術(shù)的應(yīng)用環(huán)境中����。對于方法實施例,為了簡單描述�����,故將其都表述為一系列的動作組合�����,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉,本發(fā)明并不受所描述的動作順序的限制�,因為依據(jù)本發(fā)明����,某些步驟可以采用其他順序或者同時進行。其次��,本領(lǐng)域技術(shù)人員也應(yīng)該知悉����,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作和模塊并不一定是本發(fā)明所必須的��。在此提供的算法和顯示不與任何特定計算機����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用�����。根據(jù)上面的描述�,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外�,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白�,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容����,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式���。在此處所提供的說明書中���,說明了大量具體細節(jié)。然而���,能夠理解����,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐�。在一些實例中,并未詳細示出公知的方法�、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解��。類似地����,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中��,本發(fā)明的各個特征有時被一起分組到單個實施例����、圖�、或者對其的描述中。然而�,并不應(yīng)將該公開的方法解釋成反映如下意圖即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說�,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征���。因此����,遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式���,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例���。本領(lǐng)域那些技術(shù)人員可以理解,可以對實施例中的設(shè)備中的模塊進行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中�。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件�����。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求�、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進行組合��。除非另外明確陳述�,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同�、等同或相似目的的替代特征來代替。此外�����,本領(lǐng)域的技術(shù)人員能夠理解��,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征���,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例�。例如���,在下面的權(quán)利要求書中�,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個部件實施例可以以硬件實現(xiàn)�����,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)��,或者以它們的組合實現(xiàn)��。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的運行程序的安全控制設(shè)備中的一些或者全部部件的一些或者全部功能��。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�����,計算機程序和計算機程序產(chǎn)品)����。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上,或者可以具有一個或者多個信號的形式����。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到����,或者在載體信號上提供����,或者以任何其他形式提供。應(yīng)該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制�,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中�����,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制���。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟�。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件�����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機來實現(xiàn)����。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)�。單詞第一�����、第二����、以及第三等的使用不表示任何順序��?���?蓪⑦@些單詞解釋為名稱。權(quán)利要求1.一種運行應(yīng)用程序的安全控制方法���,包括特征終端在無法連接特征服務(wù)端時,獲取應(yīng)用程序的標(biāo)識信息��,所述特征服務(wù)端為基于內(nèi)網(wǎng)對特征終端進行安全控制的服務(wù)端�����;依據(jù)所述標(biāo)識信息���,在特征終端預(yù)置的第一屬性鑒定數(shù)據(jù)庫中提取所述應(yīng)用程序的第一屬性�,所述第一屬性包括對所述應(yīng)用程序的安全性分類;依據(jù)所述第一屬性���,在特征終端預(yù)置的第二屬性配置文件中提取所述應(yīng)用程序的第二屬性����,所述第二屬性包括與所述安全性分類相對應(yīng)的應(yīng)用程序的執(zhí)行策略��;特征終端依據(jù)所述執(zhí)行策略加載和/或執(zhí)行所述應(yīng)用程序��。2.如權(quán)利要求I所述的方法���,所述應(yīng)用程序包括請求訪問的應(yīng)用程序���、或特征終端安裝的所有應(yīng)用程序、或特征終端安裝的需要與特征服務(wù)端保持連接的應(yīng)用程序���。3.如權(quán)利要求I所述的方法����,所述安全性分類包括黑文件�、白文件和灰文件,若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息����,則判斷所述應(yīng)用程序的安全性分類為灰文件�����。4.如權(quán)利要求3所述的方法���,所述應(yīng)用程序的安全性分類為黑文件時,對應(yīng)的執(zhí)行策略為加載并執(zhí)行所述應(yīng)用程序�����;所述應(yīng)用程序的安全性分類為白文件時����,對應(yīng)的執(zhí)行策略為不加載所述應(yīng)用程序;所述應(yīng)用程序的安全性分類為灰文件時��,對應(yīng)的執(zhí)行策略為執(zhí)行所述應(yīng)用程序的部分應(yīng)用功能�。5.如權(quán)利要求I所述的方法����,還包括若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息,則記錄所述應(yīng)用程序的標(biāo)識信息���。6.如權(quán)利要求I或5所述的方法�����,還包括在特征終端連接上特征服務(wù)端時����,獲取應(yīng)用程序的標(biāo)識信息發(fā)送到所述特征服務(wù)端進行鑒定。7.如權(quán)利要求6所述的方法���,還包括接收特征服務(wù)端返回的所述應(yīng)用程序的第一屬性�����,并將所述應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系保存在所述第一屬性鑒定數(shù)據(jù)庫中����。8.如權(quán)利要求I所述的方法���,還包括依據(jù)特征服務(wù)端的第二屬性配置文件��,對特征終端的第二屬性配置文件進行更新����。9.如權(quán)利要求I所述的方法,所述特征終端獲取應(yīng)用程序的標(biāo)識信息的步驟包括特征終端提取應(yīng)用程序?qū)?yīng)的應(yīng)用程序文件��;采用預(yù)設(shè)算法將所述應(yīng)用程序文件轉(zhuǎn)換為對應(yīng)的標(biāo)識信息�����。10.如權(quán)利要求9所述的方法��,所述應(yīng)用程序文件的文件頭中包含預(yù)設(shè)關(guān)鍵詞����;所述預(yù)設(shè)算法包括信息摘要算法。11.一種運行應(yīng)用程序的安全控制裝置�,包括標(biāo)識信息獲取模塊,適于特征終端在無法連接特征服務(wù)端時�����,獲取應(yīng)用程序的標(biāo)識信息�����,所述特征服務(wù)端為基于內(nèi)網(wǎng)對特定終端進行安全控制的服務(wù)端��;第一屬性獲取模塊��,適于依據(jù)所述標(biāo)識信息�,在特征終端預(yù)置的第一屬性鑒定數(shù)據(jù)庫中提取所述應(yīng)用程序的第一屬性,所述第一屬性包括對所述應(yīng)用程序的安全性分類���;第二屬性獲取模塊�����,適于依據(jù)所述第一屬性���,在特征終端預(yù)置的第二屬性配置文件中提取所述應(yīng)用程序的第二屬性,所述第二屬性包括與所述安全性分類相對應(yīng)的應(yīng)用程序的執(zhí)行策略�;運行模塊,適于特征終端依據(jù)所述執(zhí)行策略加載和/或執(zhí)行所述應(yīng)用程序����。12.如權(quán)利要求11所述的裝置,所述應(yīng)用程序包括請求訪問的應(yīng)用程序����、或特征終端安裝的所有應(yīng)用程序、或特征終端安裝的需要與特征服務(wù)端保持連接的應(yīng)用程序����。13.如權(quán)利要求11所述的裝置�,所述安全性分類包括黑文件�����、白文件和灰文件���,所述第一屬性鑒定模塊包括灰文件鑒定子模塊���,適于若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息,則判斷所述應(yīng)用程序的安全性分類為灰文件�����。14.如權(quán)利要求13所述的裝置��,所述應(yīng)用程序的安全性分類為黑文件時�����,對應(yīng)的執(zhí)行策略為加載并執(zhí)行所述應(yīng)用程序�;所述應(yīng)用程序的安全性分類為白文件時,對應(yīng)的執(zhí)行策略為不加載所述應(yīng)用程序����;所述應(yīng)用程序的安全性分類為灰文件時�����,對應(yīng)的執(zhí)行策略為執(zhí)行所述應(yīng)用程序的部分應(yīng)用功能。15.如權(quán)利要求11所述的裝置���,還包括記錄模塊�,適于若所述第一屬性鑒定數(shù)據(jù)庫中不存在所述應(yīng)用程序的標(biāo)識信息����,則記錄所述應(yīng)用程序的標(biāo)識信息。16.如權(quán)利要求11或15所述的裝置����,還包括鑒定模塊,適于在特征終端連接上特征服務(wù)端時�����,��,獲取所述應(yīng)用程序的標(biāo)識信息發(fā)送到所述特征服務(wù)端進行鑒定����。17.如權(quán)利要求16所述的裝置�,還包括保存模塊���,適于接收所述特征服務(wù)端返回的所述應(yīng)用程序的第一屬性�,并將所述應(yīng)用程序的標(biāo)識信息和第一屬性的對應(yīng)關(guān)系保存在所述第一屬性鑒定數(shù)據(jù)庫中����。18.如權(quán)利要求11所述的裝置,還包括更新模塊���,適于依據(jù)特征服務(wù)端的第二屬性配置文件���,對特征終端的第二屬性配置文件進行更新。19.如權(quán)利要求11所述的裝置��,所述標(biāo)識信息獲取模塊包括應(yīng)用程序文件提取子模塊�,適于特征終端提取應(yīng)用程序?qū)?yīng)的應(yīng)用程序文件;轉(zhuǎn)換子模塊�����,適于采用預(yù)設(shè)算法將所述應(yīng)用程序文件轉(zhuǎn)換為對應(yīng)的標(biāo)識信息�。20.如權(quán)利要求19所述的裝置���,所述應(yīng)用程序文件的文件頭中包含預(yù)設(shè)關(guān)鍵詞;所述預(yù)設(shè)算法包括信息摘要算法����。全文摘要本發(fā)明實施例提供了一種運行應(yīng)用程序的安全控制方法和裝置。所述方法包括特征終端在無法連接特征服務(wù)端時����,獲取應(yīng)用程序的標(biāo)識信息�����,所述特征服務(wù)端為基于內(nèi)網(wǎng)對特征終端進行安全控制的服務(wù)端����;依據(jù)所述標(biāo)識信息,在特征終端預(yù)置的第一屬性鑒定數(shù)據(jù)庫中提取所述應(yīng)用程序的第一屬性�����,所述第一屬性包括對所述應(yīng)用程序的安全性分類�����;依據(jù)所述第一屬性,在特征終端預(yù)置的第二屬性配置文件中提取所述應(yīng)用程序的第二屬性���,所述第二屬性包括與所述安全性分類相對應(yīng)的應(yīng)用程序的執(zhí)行策略�;特征終端依據(jù)所述述執(zhí)行策略加載和/或執(zhí)行所述應(yīng)用程序�����。本發(fā)明可以避免終端無法連接私有云時影響應(yīng)用程序的運行����。文檔編號G06F21/51GK102982275SQ20121045716公開日2013年3月20日申請日期2012年11月14日優(yōu)先權(quán)日2012年11月14日發(fā)明者溫銘,李宇,胡勁,張家柱申請人:北京奇虎科技有限公司,奇智軟件(北京)有限公司