專利名稱:安全策略腳本執(zhí)行方法、裝置以及安全策略系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及終端安全技術(shù),尤其涉及一種安全策略腳本執(zhí)行方法、裝置以及安全策略系統(tǒng)。
背景技術(shù):
在終端安全領(lǐng)域一般采用安全策略的方式對(duì)終端進(jìn)行安全檢查和修復(fù),其中安全策略一般采用可執(zhí)行程序、動(dòng)態(tài)庫(kù)、腳本等幾種形式,采用腳本作為安全策略的優(yōu)點(diǎn)是靈活性比較高,安全策略的編寫比較簡(jiǎn)單,缺點(diǎn)是腳本易于被篡改?,F(xiàn)有技術(shù)中使用某種腳本來(lái)編寫安全檢查和修復(fù)的策略,例如VBS、Javascript, Python腳本,該系統(tǒng)包括終端安全代理裝置和管理服務(wù)器,其中終端安全代理裝置包括腳本宿主程序、腳本引擎和安全策略腳本,上述腳本引擎可以執(zhí)行安全策略腳本,腳本宿主程序用于管理安全策略、調(diào)用腳本引擎、以及和管理服務(wù)器通信,管理服務(wù)器可以通知終端安全代理裝置執(zhí)行哪些安全策略腳本,執(zhí)行的結(jié)果也可以由終端安全代理裝置傳送到管理服務(wù)器進(jìn)行安全報(bào)表的展示。由于安全策略腳本都是文本格式的,所以安全策略腳本容易被篡改或整個(gè)腳本文件被替換,導(dǎo)致安全策略不能被正確執(zhí)行,甚至修改之后腳本中可能包含惡意代碼,執(zhí)行一些危險(xiǎn)操作,因此,現(xiàn)有技術(shù)中的安全策略腳本存在安全風(fēng)險(xiǎn)。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種安全策略腳本執(zhí)行方法、裝置以及安全策略系統(tǒng),用以提高安全策略腳本的安全性。本發(fā)明實(shí)施例的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的一種安全策略腳本執(zhí)行方法,包括對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性;在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎執(zhí)行所述待執(zhí)行的安全策略腳本。一種安全策略腳本執(zhí)行裝置,包括腳本宿主程序模塊,用于對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性,在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎;腳本引擎,用于當(dāng)所述腳本宿主程序模塊對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證通過(guò)后,接收所述腳本宿主程序模塊的調(diào)用,以執(zhí)行所述待執(zhí)行的安全策略腳本。一種安全策略系統(tǒng),包括上述的安全策略腳本執(zhí)行裝置和管理服務(wù)器,所述安全策略腳本執(zhí)行裝置分別設(shè)置在至少一個(gè)終端設(shè)備上,并與所述管理服務(wù)器連接。本發(fā)明實(shí)施例中提供一種安全策略腳本執(zhí)行方法、裝置以及安全策略系統(tǒng),包括對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性,在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎執(zhí)行所述待執(zhí)行的安全策略腳本,有效提高了安全策略腳本的安全性
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明安全策略腳本執(zhí)行方法實(shí)施例的流程示意圖;圖2為本發(fā)明一具體實(shí)施例的流程示意圖;圖3為本發(fā)明安全策略腳本執(zhí)行裝置的結(jié)構(gòu)示意圖一;圖4為本發(fā)明安全策略腳本執(zhí)行裝置的結(jié)構(gòu)示意圖二。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實(shí)施例提供了一種安全策略腳本執(zhí)行方法,以安全策略腳本執(zhí)行裝置為例,說(shuō)明本方法的流程,圖1為本發(fā)明安全策略腳本執(zhí)行方法實(shí)施例的流程示意圖,如圖1 所示,其包括如下步驟步驟101、對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性;本實(shí)施例中,對(duì)于配置在終端上的安全策略腳本,都匹配對(duì)應(yīng)的簽名,該簽名用于驗(yàn)證安全策略腳本的有效性,具體的可以是根據(jù)安全策略腳本唯一得出的對(duì)應(yīng)于該安全策略腳本的標(biāo)識(shí)信息,在對(duì)安全策略腳本匹配簽名后,即可以在執(zhí)行安全策略腳本時(shí),首先對(duì)安全策略腳本的簽名進(jìn)行驗(yàn)證,確認(rèn)上述的安全策略腳本的有效性,其中,安全策略腳本策略腳本的有效性是指沒(méi)有被除發(fā)布者之外的其他人偽造或篡改過(guò)的安全策略腳本。步驟102、在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎執(zhí)行所述待執(zhí)行的安全策略腳本。在上述步驟101的中,若對(duì)安全策略腳本的簽名驗(yàn)證正確,說(shuō)明安全策略腳本有效,則可以調(diào)用腳本引擎執(zhí)行確認(rèn)有效的安全策略腳本。本發(fā)明上述實(shí)施例中,對(duì)每個(gè)安全策略腳本設(shè)置了對(duì)應(yīng)的簽名,該簽名用于驗(yàn)證安全策略腳本的有效性,即在安全策略腳本執(zhí)行前,可以驗(yàn)證上述的安全策略腳本是否已經(jīng)被非法篡改或替換,提高執(zhí)行的安全策略腳本的可靠性。具體的,如上所述,本發(fā)明實(shí)施例中每個(gè)安全策略腳本匹配一個(gè)簽名,該簽名可以用來(lái)驗(yàn)證安全策略腳本的有效性,通常安全策略腳本的簽名可以由其發(fā)布者生成并分發(fā),而上述的安全策略腳本的簽名的保存方式可以有多種,例如可以將安全策略腳本的簽名按照文本格式保存在每個(gè)安全策略腳本的注釋段,或者是將各個(gè)安全策略腳本的簽名單獨(dú)存儲(chǔ),簽名的和驗(yàn)證方式可以根據(jù)不同需要設(shè)置,只要保證不容易被偽造即可。例如安全策略腳本的簽名可以是安全策略腳本發(fā)布時(shí),利用密鑰對(duì)中的私鑰對(duì)所述安全策略腳本的摘要進(jìn)行加密后得到;或者是安全策略腳本發(fā)布時(shí),根據(jù)哈希摘要算法對(duì)所述安全策略腳本的摘要進(jìn)行計(jì)算得到。對(duì)于一個(gè)終端設(shè)備而言,其可以存儲(chǔ)一個(gè)或多個(gè)安全策略腳本,該安全策略腳本主要是為了安全任務(wù)而編寫的腳本,可以進(jìn)行指定的安全檢查(如檢查某個(gè)注冊(cè)表項(xiàng)是否存在)和安全動(dòng)作(如取消某個(gè)不安全的共享),上述的安全策略腳本都被腳本宿主程序模
塊所管理。步驟101中,對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,可以包括以下方式本發(fā)明上述實(shí)施例中,對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證可以是由安全策略腳本執(zhí)行裝置對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證;或者是安全策略腳本執(zhí)行裝置請(qǐng)求管理服務(wù)器進(jìn)行安全策略腳本的簽名驗(yàn)證,由所述管理服務(wù)器進(jìn)行驗(yàn)證,腳本宿主程序模塊接收管理服務(wù)器的驗(yàn)證結(jié)果。其中,在利用密鑰對(duì)中的私鑰對(duì)安全策略腳本的摘要進(jìn)行加密獲得簽名的情況下,生成一對(duì)公私鑰的密鑰對(duì),腳本發(fā)布時(shí),將腳本的摘要用私鑰加密后作為此腳本的簽名,簽名隨腳本一起發(fā)布,當(dāng)對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證是,首先計(jì)算腳本摘要,然后用公鑰對(duì)簽名進(jìn)行解密獲得腳本摘要,對(duì)所述解密得到的腳本摘要與計(jì)算并獲得的腳本摘要進(jìn)行比較,若一致,則驗(yàn)證正確,否則,驗(yàn)證錯(cuò)誤。其中,簽名的比較可以在安全策略腳本執(zhí)行裝置上進(jìn)行,也可以在管理服務(wù)器上進(jìn)行,當(dāng)在安全策略腳本執(zhí)行裝置上執(zhí)行時(shí),解密和驗(yàn)證都在安全策略腳本執(zhí)行裝置上完成;當(dāng)在管理服務(wù)器上執(zhí)行時(shí),安全策略腳本執(zhí)行裝置將計(jì)算并獲得的待執(zhí)行的安全策略腳本的摘要和存儲(chǔ)的安全策略腳本的簽名發(fā)送給管理服務(wù)器,由管理服務(wù)器利用密鑰對(duì)的公鑰完成解密和比較的操作,之后,管理服務(wù)器將驗(yàn)證結(jié)果返回給安全策略腳本執(zhí)行裝置。其中,在利用自定義的哈希摘要算法計(jì)算腳本摘要以生成簽名的情況下,簽名的驗(yàn)證在管理服務(wù)器上完成,這種情況下客戶端不必保存簽名,每次執(zhí)行腳本之前計(jì)算出簽名到服務(wù)器進(jìn)行比較就可以,例如安全策略腳本執(zhí)行裝置根據(jù)哈希摘要算法對(duì)所述待執(zhí)行的安全策略腳本的簽名進(jìn)行計(jì)算獲得簽名,并將計(jì)算獲得的簽名發(fā)送給管理服務(wù)器;管理服務(wù)器對(duì)所述計(jì)算獲得的簽名與存儲(chǔ)的所述待執(zhí)行的安全策略腳本的簽名進(jìn)行比較,若一致,則驗(yàn)證正確,否則,驗(yàn)證錯(cuò)誤;管理服務(wù)器將比較結(jié)果返回給安全策略腳本執(zhí)行裝置。圖2為本發(fā)明一具體實(shí)施例的流程示意圖,如圖2所示,包括如下的步驟步驟201、對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性;步驟202、在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,解析并獲得所述待執(zhí)行的安全策略腳本的至少一個(gè)腳本命令;步驟203、判斷是否允許執(zhí)行所述腳本命令;步驟204、當(dāng)判斷允許執(zhí)行時(shí),執(zhí)行所述腳本命令,否則,跳過(guò)所述腳本命令。上述實(shí)施例中,步驟201與步驟101類似,在此不再贅述。
步驟202中,對(duì)于一個(gè)安全策略腳本而言,其可以被解析成多個(gè)獨(dú)立的命令或語(yǔ)句,本實(shí)施例中統(tǒng)一稱為腳本命令。步驟203中,執(zhí)行待執(zhí)行的安全策略腳本時(shí),可以對(duì)每個(gè)腳本命令進(jìn)行過(guò)濾,執(zhí)行允許的腳本命令,而跳過(guò)被禁止執(zhí)行的命令,判斷腳本命令是否被允許執(zhí)行可以具體為根據(jù)命令過(guò)濾數(shù)據(jù)庫(kù)對(duì)所述至少一個(gè)腳本命令進(jìn)行過(guò)濾,以確定所述腳本命令是否被允許執(zhí)行,所述配置的命令過(guò)濾數(shù)據(jù)庫(kù)包括所述命令過(guò)濾數(shù)據(jù)庫(kù)包括允許執(zhí)行的腳本命令構(gòu)成的白名單和/或禁止執(zhí)行的腳本命令構(gòu)成的黑名單。其中,命令過(guò)濾數(shù)據(jù)庫(kù)需要定時(shí)進(jìn)行更新。圖3為本發(fā)明實(shí)施例中,提供了一種安全策略腳本執(zhí)行裝置,如圖3所示,腳本宿主程序模塊320,用于對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性,在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎310 ;腳本引擎310,用于當(dāng)所述腳本宿主程序模塊320對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證通過(guò)后,接收所述腳本宿主程序模塊320的調(diào)用,以執(zhí)行所述待執(zhí)行的安全策略腳本。本發(fā)明上述實(shí)施例中,其中對(duì)安全策略腳本設(shè)置了對(duì)應(yīng)的簽名,該簽名用于驗(yàn)證安全策略腳本的有效性,即在安全策略腳本執(zhí)行前,可以驗(yàn)證上述的安全策略腳本是否已經(jīng)被篡改或替換,提高執(zhí)行的安全策略腳本的可靠性。具體的,如圖4所示,本發(fā)明上述實(shí)施例中還可以進(jìn)一步包括腳本命令過(guò)濾器 410,該腳本命令過(guò)濾器410用于確定腳本命令是否被允許執(zhí)行,相應(yīng)地,包括命令過(guò)濾數(shù)據(jù)庫(kù)411,所述命令過(guò)濾數(shù)據(jù)庫(kù)411包括允許執(zhí)行的腳本命令構(gòu)成的白名單和/或禁止執(zhí)行的腳本命令構(gòu)成的黑名單;腳本命令過(guò)濾器410具體用于根據(jù)配置的命令過(guò)濾數(shù)據(jù)庫(kù)411對(duì)所述至少一個(gè)腳本命令進(jìn)行過(guò)濾,以確定所述腳本命令是否被允許執(zhí)行。其中,腳本引擎420包括解析單元421,用于解析并獲得所述待執(zhí)行的安全策略腳本的至少一個(gè)腳本命令;執(zhí)行確定單元422,用于調(diào)用腳本命令過(guò)濾器確定所述腳本命令是否被允許執(zhí)行;命令執(zhí)行單元423,用于接收腳本命令過(guò)濾器返回的確定結(jié)果,當(dāng)判斷允許執(zhí)行時(shí),執(zhí)行所述腳本命令,否則,跳過(guò)所述腳本命令。其中,腳本宿主程序模塊430包括簽名驗(yàn)證單元431,用于對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證;或者,請(qǐng)求管理服務(wù)器進(jìn)行安全策略腳本的簽名驗(yàn)證,由所述管理服務(wù)器進(jìn)行驗(yàn)證,接收管理服務(wù)器的驗(yàn)證結(jié)果;程序調(diào)用單元432,用于在簽名驗(yàn)證單元431對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎420。安全策略腳本執(zhí)行裝置還可以包括腳本存儲(chǔ)模塊440,用于存儲(chǔ)至少一個(gè)安全策略腳本。
本發(fā)明實(shí)施例還提供了一種全策略系統(tǒng),該安全策略系統(tǒng)包括上述的安全策略腳本執(zhí)行裝置和管理服務(wù)器,其中的安全策略腳本執(zhí)行裝置分別設(shè)置在至少一個(gè)終端設(shè)備上,并與所述管理服務(wù)器連接。本發(fā)明實(shí)施例中,可以是通過(guò)在各個(gè)終端設(shè)備上設(shè)置安全策略腳本執(zhí)行裝置,以及統(tǒng)一的管理服務(wù)器來(lái)完成,其中的多個(gè)安全策略腳本執(zhí)行裝置均與上述的管理服務(wù)器連接,并接受該管理服務(wù)器的集中管理,具體的上述的管理服務(wù)器可以控制終端設(shè)備的安全策略腳本執(zhí)行裝置執(zhí)行安全策略腳本,并且安全策略腳本執(zhí)行裝置在執(zhí)行完安全策略腳本后,可以將執(zhí)行結(jié)果返回給管理服務(wù)器。本發(fā)明上述實(shí)施例提供的安全策略腳本執(zhí)行方法、裝置以及安全策略系統(tǒng),通過(guò)對(duì)腳本以及腳本命令的正確性、合法性進(jìn)行驗(yàn)證,保證了腳本策略不會(huì)被破壞性操作。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括R0M、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種安全策略腳本執(zhí)行方法,其特征在于,包括對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性;在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎執(zhí)行所述待執(zhí)行的安全策略腳本。
2.根據(jù)權(quán)利要求1所述的安全策略腳本執(zhí)行方法,其特征在于,所述調(diào)用腳本引擎執(zhí)行所述待執(zhí)行的安全策略腳本包括解析并獲得所述待執(zhí)行的安全策略腳本的至少一個(gè)腳本命令; 判斷是否允許執(zhí)行所述腳本命令;當(dāng)判斷允許執(zhí)行時(shí),執(zhí)行所述腳本命令,否則,跳過(guò)所述腳本命令。
3.根據(jù)權(quán)利要求2所述的安全策略腳本執(zhí)行方法,其特征在于,所述判斷是否允許執(zhí)行所述腳本命令,包括根據(jù)命令過(guò)濾數(shù)據(jù)庫(kù)對(duì)所述至少一個(gè)腳本命令進(jìn)行過(guò)濾,以確定所述腳本命令是否被允許執(zhí)行,所述命令過(guò)濾數(shù)據(jù)庫(kù)包括允許執(zhí)行的腳本命令構(gòu)成的白名單和/或禁止執(zhí)行的腳本命令構(gòu)成的黑名單。
4.根據(jù)權(quán)利要求1至3中任意一項(xiàng)所述的安全策略腳本執(zhí)行方法,其特征在于,所述對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證包括對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證; 或者,請(qǐng)求管理服務(wù)器進(jìn)行安全策略腳本的簽名驗(yàn)證,由所述管理服務(wù)器進(jìn)行驗(yàn)證,接收管理服務(wù)器的驗(yàn)證結(jié)果。
5.根據(jù)權(quán)利要求4所述的安全策略腳本執(zhí)行方法,其特征在于,所述簽名由密鑰對(duì)中的私鑰對(duì)所述安全策略腳本的摘要進(jìn)行加密獲得,或者,由哈希摘要算法對(duì)所述安全策略腳本的摘要進(jìn)行計(jì)算獲得。
6.一種安全策略腳本執(zhí)行裝置,其特征在于,包括腳本宿主程序模塊,用于對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性,在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎;腳本引擎,用于當(dāng)所述腳本宿主程序模塊對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證通過(guò)后,接收所述腳本宿主程序模塊的調(diào)用,以執(zhí)行所述待執(zhí)行的安全策略腳本。
7.根據(jù)權(quán)利要求6所述的安全策略腳本執(zhí)行裝置,其特征在于,還包括 腳本命令過(guò)濾器,用于確定腳本命令是否被允許執(zhí)行;所述腳本引擎包括解析單元,用于解析并獲得所述待執(zhí)行的安全策略腳本的至少一個(gè)腳本命令; 執(zhí)行確定單元,用于調(diào)用腳本命令過(guò)濾器確定所述腳本命令是否被允許執(zhí)行; 命令執(zhí)行單元,用于接收腳本命令過(guò)濾器返回的確定結(jié)果,當(dāng)判斷允許執(zhí)行時(shí),執(zhí)行所述腳本命令,否則,跳過(guò)所述腳本命令。
8.根據(jù)權(quán)利要求7所述的安全策略腳本執(zhí)行裝置,其特征在于,還包括命令過(guò)濾數(shù)據(jù)庫(kù),所述命令過(guò)濾數(shù)據(jù)庫(kù)包括允許執(zhí)行的腳本命令構(gòu)成的白名單和/或禁止執(zhí)行的腳本命令構(gòu)成的黑名單;所述腳本命令過(guò)濾器具體用于根據(jù)配置的命令過(guò)濾數(shù)據(jù)庫(kù)對(duì)所述至少一個(gè)腳本命令進(jìn)行過(guò)濾,以確定所述腳本命令是否被允許執(zhí)行。
9.根據(jù)權(quán)利要求6至8中任意一項(xiàng)所述的安全策略腳本執(zhí)行裝置,其特征在于,腳本宿主程序模塊包括簽名驗(yàn)證單元,用于對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證;或者,用于請(qǐng)求管理服務(wù)器進(jìn)行安全策略腳本的簽名驗(yàn)證,由所述管理服務(wù)器進(jìn)行驗(yàn)證,接收管理服務(wù)器的驗(yàn)證結(jié)果;程序調(diào)用單元,用于在所述簽名驗(yàn)證單元對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎。
10.一種安全策略系統(tǒng),其特征在于,包括權(quán)利要求6-9任一所述的安全策略腳本執(zhí)行裝置和管理服務(wù)器,所述安全策略腳本執(zhí)行裝置分別設(shè)置在至少一個(gè)終端設(shè)備上,并與所述管理服務(wù)器連接。
全文摘要
本發(fā)明實(shí)施例中提供一種安全策略腳本執(zhí)行方法、裝置以及安全策略系統(tǒng),包括對(duì)待執(zhí)行的安全策略腳本的簽名進(jìn)行驗(yàn)證,所述待執(zhí)行的安全策略腳本與一個(gè)唯一的簽名相對(duì)應(yīng),所述簽名用于驗(yàn)證安全策略腳本的有效性,在對(duì)所述待執(zhí)行的安全策略腳本的簽名驗(yàn)證正確后,調(diào)用腳本引擎執(zhí)行所述待執(zhí)行的安全策略腳本,有效提高了安全策略腳本的安全性。
文檔編號(hào)H04L29/06GK102244659SQ20111018253
公開(kāi)日2011年11月16日 申請(qǐng)日期2011年6月30日 優(yōu)先權(quán)日2011年6月30日
發(fā)明者謝永方 申請(qǐng)人:成都市華為賽門鐵克科技有限公司