CN110502888B - 一种基于可信度量的移动软件白名单机制的移动办公方法 - Google Patents

Abstract

一种基于可信度量的移动软件白名单机制的移动办公方法属于移动办公领域，尤其涉及可随机检索、可扩展的移动白名单软件的移动办公技术。其特征在于：综合了检索创新、查新评估、身份认证和移动办公于一体的方法，是在由云端服务器、本地服务器和客户端共同组成的网络***中实现的。本发明借助于客户端的最小检索信息集合RM到本地服务器的最小原始属性集合PM再到存储于云端的APP的最小属性集合PMS前后相邻两个映射表所建立起来的静态白名单软件树，实现了检索创新服务。再用一个待建可信软件的最小原始属性集合WC，代替RM后，便可实现待建可信软件的查新评估，保证了建成后可执行模块的唯一性和可信性。

Description

一种基于可信度量的移动软件白名单机制的移动办公方法

技术领域

本发明涉及移动办公领域，具体涉及一种基于可信度量的移动软件白名单机制的移动办公方法。

背景技术

对于一般企事业而言，平常使用的软件与工作性质密切相关。一些特定企事业单位，出于安全性与保密性，只允许员工使用一些特定的软件，便于进行统一的管理。传统控制软件运行的方式是禁止员工安装一些无关工作的软件。但是实际情况，员工会自行下载一些与工作无关的软件，例如聊天软件、炒股软件等。对于企事业的管理人员而言，这些软件是“非法的”，也是不安全的。对于移动安全办公***而言，需要对员工使用的办公软件进行统一管理，只允许员工运行一些特定的软件显得尤为重要，这些，对于软件的控制提出了一个很高的要求。

专利号为ZL201410842891.5的中国专利公开了一种基于WMI软件白名单机制的移动安全办公方法。该方法基于Windows管理技术，通过WMI(Windows ManagementInstrumentation，Windows管理规范)解决了在行业内部如何借助行业白名单软件实现移动安全办公问题。该技术的不足之处有三点：第一点是该方法只包含构建软件白名单的方法，而不包含使用软件白名单的方法；第二是该方法只是一次生成软件白名单数据库，而不能扩展现有软件白名单数据库；第三是该方法可以相应任何人的网络请求，不能验证请求发起人的身份信息。

本发明基于专利号为ZL201510315487.7的一种基于USB控制器的终端设备操作***引导的方法，在客户端可信启动的基础上，发明了一种基于可信度量的移动软件白名单机制的移动办公方法。本发明是在一个由云端服务器、本地服务器和客户端共同组成的网络***实现，集检索创新、查新评估、身份认证和移动办公于一体的行业内移动安全办公方法。当客户端发起请求之后，本地服务器验证请求发起人的身份信息，验证通过之后，辨识客户端的三种请求类型：检索创新、查新评估和移动办公。针对检索创新请求，用户可以通过关键字，从云端服务器检索到想要的APP；针对查新评估请求，用户可以为云端服务器贡献新的 APP，扩展现有软件白名单数据库；针对移动办公请求，保证用户在办公过程中所运行的可执行软件模块的唯一性和可信性。

发明内容

本发明的目的在于：提供一种基于可信度量的移动软件白名单机制的移动办公方法。

本发明的特征在于：是在一个基于静态软件白名单机制的网络***中依次按以下步骤实现的：

步骤(1)，***的构造：

所述***包括：在线服务软件白名单数据库、待建可信软件白名单数据库、部门及人员编码管理数据库、本地服务器以及客户端，其中在线服务软件白名单数据库、待建可信软件白名单数据库和部门及人员编码管理数据库统称在线数据库组，本地服务器简称服务器 ，其中，在数据库组中：

在线服务软件白名单数据库，是一个在线服务的可信软件数据库，简称可执行软件模块数据库，提供改造是可信软件的、用于在线服务的行业软件的最小原始属性集合PM，至少表示为：<软件类型，软件输入数据序列，软件输出数据序列，软件摘要值，软件关键字>，所述软件包括程序包和/或可执行程序，所述软件类型包括软件、静态链接模块、动态链接模块和内核驱动模块，所述软件输入数据序列是软件运行的约束条件，软件输出数据序列是软件的运行结果，所述软件摘要值是用商根据密码算法SM3对所述软件输入数据序列、软件输出数据序列共同拼接的不同组合方式形成的数据计算得到，

待建可信软件白名单数据库，是一种在建可信度量软件的数据库，其可信度量的软件的最小原始属性集合为：WC＝<提供者姓名，部门，岗位，计算机软件著作权号，软件类型，软件版本，软件关键字>，

部门及人员编码管理数据库，其最小原始属性集合为：<部门类型，人员姓名，岗位，白名单软件使用权限及相应享用优先级>，

所述原始属性是指适用于二进制数表达的原始参数信息，

本地服务器，设有：存储模块、客户端无线通信模块、本地服务器无线通信模块以及服务端CPU，其中：

存储模块，设有：

客户端最小检索信息集合RM到在线服务的软件的最小原始属性集合PM的映射表，其中：所述客户端最小检索信息集合RM至少包括<客户端用户姓名，部门类型，岗位，白名单软件使用权限及相应享用优先级，软件类型，软件关键字>，

在线服务器软件的最小原始属性集合PM到云端存储的可信度量的移动APP的最小属性集合PMS的映射表，所述PMS包括：<软件摘要值，资源模块，软件输入数据序列，软件输出数据序列，占用内存范围>，

所述服务端CPU分别与所述客户端无线通信模块、本地服务器无线通信模块互连，

云端服务器，设有：云端CPU、云端可信度量的移动APP数据库和云端无线通信模块，其中：

云端CPU输入PM，向云端可信度量的移动APP数据库输出PM中的软件摘要值，从云端可信度量的移动APP数据库查找相对应的软件输入数据序列和软件输出数据序列，由软件输入数据序列和软件输出数据序列构成叶子节点，进而生成的软件白名单树，将该软件白名单树返回给云端无线通信模块，进而返回给本地服务器，

云端可信度量的移动APP数据库存储经过可信计算得到的白名单软件，所述白名单软件的最小属性集合为PMS，云端CPU按以下次序工作：(1)从云端无线通信模块得到输入的PM，(2)根据PM中的软件摘要值，从云端可信度量的移动APP数据库中查找相同的软件摘要值，得到对应的软件输入数据序列和软件输出数据序列，构成白名单软件的最小属性集合为PMS并返回给云端 CPU，

客户端，设有：缓存模块、客户端最小检索信息集合、待/在建可信软件白名单的最小原始属性集合、客户端CPU和USB控制器，所述客户端CPU分别与其中余下部件互连，

步骤(2)，***依次按以下步骤实现基于可信度量的移动软件白名单机制的移动办公方法：

步骤(2.1)，客户端网络请求发起人身份鉴别，

步骤(2.1.1)，本地服务器从过滤启动程序加载在USB控制器中的128位身份识别码中，识别出64位角色编码和64位用户编码，

步骤(2.1.2)，本地服务器采用数字信封技术作为连接发起时的安全保障技术，步骤如下：

步骤(2.1.2.1)，客户端将USB控制器中保存的身份识别码和当前时间的时间戳拼接，构成第一次发送的明文数据；通过USB控制器保存的签名证书对明文数据进行数字签名，保证数据的真实性；再通过USB控制器保存的加密证书加密该数据，构成第一次发送的密文数据，保证数据的机密性；发送该密文数据到本地服务器，

步骤(2.1.2.2)，本地服务器接收到步骤(2.1.2.1)发送的密文数据后，分别通过与发送端USB控制器对应的公/私钥处理密文数据，生成客户端第一次发送的明文数据，

步骤(2.1.2.3)，本地服务器判断明文数据的时间戳是否时间过长，如 30分钟，如果超过规定时间，则判定收到的密文数据为重放数据，终止后续的判断过程；如果没有超过规定的时间，则判定该数据为实际的客户端请求，执行步骤(2.1.2.4)的过程，

步骤(2.1.2.4)，本地服务器分离出角色编码和用户编码后，如果没有从所述客户端请求中找到对应的信息，则对客户端网络请求发起人的身份鉴别失败，终止操作；如果确实找到对应的信息，则完成对客户端网络请求发起人的身份鉴别，执行步骤(2.1.3)，

步骤(2.1.3)，服务器端和客户端通过数字信封技术协商基于SM4对称密码算法的会话密钥，至此本地服务器和客户端的后续通信使用会话密钥，不再使用数字信封技术，

步骤(2.2)，客户端需求辨识：

步骤(2.2.1)，本地服务器根据客户端在网络发起请求中所提出的不同需要，设定以下三类需求标志：

第一类为白名单软件的检索创新请求标志，用二进制数“00”表示，

第二类为新的白名单软件的查新评估请求标志，用二进制数“01”表示，

第三类为客户端转入正式办公的办公标志，用二进制数“10”表示，

步骤(2.2.2)，服务器判别用户客户的实际需求：

若：为第一种需求，转入步骤(2.2.3)，

若：为第二种需求，转入步骤(2.2.4)，

若：为第三种需求，转入步骤(2.2.5)，

步骤(2.2.3)，按以下步骤实现白名单形式的可信软件的检索创新服务：

步骤(2.2.3.1)，按照RM到PM映射表，按软件类型和软件关键字检索的至少一个供在线检索服务用的可执行软件模块，

步骤(2.2.3.2)，对应于步骤(2.2.3.1)检索到的每一个可执行软件模块，通过软件摘要值按照PM到PMS映射表，从云端可信度量的移动APP数据库中找到至少一个可信的移动白名单软件，用软件输入数据序列和软件输出数据序列表示，

步骤(2.2.3.3)，依据步骤(2.2.3.1)到步骤(2.2.3.2)的结果，得到可供客户端检索服务用的可信的白名单软件树，根节点是RM中的软件关键字，中间节点是根据RM中的软件关键字所对应的PM中的软件摘要值，叶子节点是根据PM中的软件摘要值所对应的PMS中的软件输入数据序列A，软件输出数据序列O，经过云端无线通信模块发送到本地服务器，

步骤(2.2.3.4)，服务器把步骤(2.2.3.3)的可信的白名单软件树发往客户端，

步骤(2.2.3.5)，客户端基于可执行软件模块的软件摘要值及自己期望的软件输入数据序列A，软件输出数据序列O择优选择至少一个可信白名单软件作为可执行软件模块，向服务器提出检索创新请求；

步骤(2.2.4)，在查新评估阶段，客户端按以下步骤提出把已获得计算机软件著作权号的软件模块进行可信度量的请求，步骤如下：

步骤(2.2.4.1)，客户端向本地服务器发出待可信度量软件的最小原始属性集合WC，

步骤(2.2.4.2)，本地服务器按步骤(2.2.3.1)到步骤(2.2.3.4)进行白名单软件查新评估，其中所述RM用WC代替并把得到的可信白名单软件树发给客户端自查新和/或自评估，

步骤(2.2.4.3)，若客户端自查新、自评估结果具有唯一性，便经本地服务器传送到云端可信度量的移动APP数据库中备案，同时送往本地服务器可执行软件模块数据库投入使用，否则，撤回新建可信度量的静态白名单软件的申请，

步骤(2.2.5)，客户端按照以下步骤实现办公服务：

步骤(2.2.5.1)，本地服务器应用户要求向客户端发送最新的可信白名单软件树，保证客户端和服务器的可信白名单软件树的一致性，

步骤(2.2.5.2)，客户端在办公过程中运行待检测的软件，如果该待检测的软件存在于可信白名单软件树中，则允许个该软件的运行，否则，阻断该软件的运行。

附图说明

图1为云端服务器、本地服务器和客户端的逻辑结构和连接方式框图；

图2为白名单软件树的结构示意图；

图3为本发明的程序流程框图；

图4为USB控制器中存储模块中各软件模块的连接框图；

注意：图中阴影部分为加密存储的数据。

具体实施方式

专利号为ZL201410842891.5的名为《一种基于WMI软件白名单机制的移动安全办公方法》的中国发明专利公开了一种基于白名单软件的移动终端安全办公方法，解决了在行业内部如何借助行业白名单软件实现移动安全办公问题，但未涉及业内用户如何利用具有高专业、行业性、高可信度的白名单软件信息库来安全地进行科技信息检索、利用和创新，如何对科技创新成果采用业内的白名单软件信息库进行查新、评估和分析，上述专利也为涉及网络请求发起人的身份认证技术问题。

本发明的目的就在于提供一种基于行业内现有白名单软件信息库，集检索创新、查新评估、身份认证和移动办公于一体的行业内移动安全办公方法。发明目的如下所述：

本发明的目的之一是：在检索创新状态下，既要尽可能扩展检索范围，更好确保检索主体所要解决的具体技术问题及其约束条件，又要确保检索目的的隐蔽性和模糊性，赋予检索主体更大的灵活性。

本发明的目的之二是：在查新评估状态下，既要采取提供者自查新、自评估的方式，以避免在查新评估过程中泄露本单位的科技信息，又要尽可能地扩大查新范围，以使最大限度地确保结果的可能性。

本发明的目的之三是：首先，本地服务器和客户端之间先后使用了基于数字信封的数字通信技术和基于SM4对称密码算法的会话密钥进行私密通信。其次，本地服务器利用客户端发出的其保存在USB控制器中的身份识别码(角色编码，用户编码)映射表来识别客户端网络请求发起人的真实身份，来杜绝外来黑客的攻击和业内非相关部门人员的闯入，以确保移动办公的安全性。

本发明提出了解决上述具体技术问题的思路，具体阐述如下：

第一步：把列入软件白名单的软件定义为可信软件，所述可信软件是由一系列可执行软件模块、资源模块、软件输入数据序列、占用内存范围，以及软件输出数据序列组成的集合：

(1)可执行软件模块

每个可执行软件模块包括的若干属性，在静态度量时只需要选择关键属性进行可信度量，关键属性的最小集合包括版权、摘要值、类型、数字签名、代码段和数据段。因此，可以给出可执行软件模块的属性集合的定义。

可执行软件模块在发布时所携带的属性组成的集合。每一个可执行软件模块最小属性集合PC可以用六元组表示：

PC＝{cv,av,type,sv,cseg,dseg,…}

其中，cv表示可执行软件模块的版权信息，用于标识发行商的身份；av表示可执行软件模块的摘要值，本地服务器通过我国商用密码SM3计算生成；type表示当前可执行软件模块的类型，包括软件、静态链接模块、动态链接模块和内核驱动模块；sv表示可执行软件模块被发行时的数字签名，该项不一定存在可以为空；cseg表示可执行软件模块的代码段，包括指令集合、导入表和导出表等关键信息；dseg表示可执行软件模块的数据段。除了以上的六元组之外，还可以添加原始入口点(Original Entry Point，OEP)等用于描述可执行软件模块的元数据。属性集合PC的项越多，越可以对该可执行软件模块的唯一性。

(2)资源模块

除了可执行软件模块集合之外，软件APP中还存在资源集合。是由配置文件、图形、音频等等数据组成的集合。与可执行软件模块相类似，资源模块也是由若干属性构成有执行模块相同，但与可执行软件模块不同的是，资源模块中没有数字签名和代码段，只有相关的数据。

资源在发布时所携带的属性组成的集合。资源模块的最小属性集合PR可以用四元组表示：

PR＝<cv,av,type,data,…〉

其中，data表示资源文件中的二进制数据。需要注意的是，通过对多种软件的分析，存在将资源文件集合封装到动态链接模块中的情况，即可执行软件模块包含资源模块。对于这种情况，在静态度量时只需要分析可执行软件模块即可，而不需再分析PR。因为可执行软件模块的关键属性PC是在PR的基础上生成的。

(3)软件输入数据序列

软件输入数据序列A是在软件运行时调度软件的运行行为，不同的软件输入数据序列会使软件产生不同的软件行为，在静态度量阶段不会产生作用，只有当软件运行之后才会涉及对软件输入数据序列的动态度量。

(4)内存范围

当软件加载到内存空间之后，操作***会默认分配一定大小的内存范围MR(Memory Range)。例如，对于32位软件本身可以寻址的范围为4GB。但对于操作***而言，会动态管理软件的内存使用情况。

(5)软件输出数据序列

软件输出数据序列用O表示。无论一个模块被设计的如何复杂、依赖多少资源、需要多少内存空间，其输出的结果都需要是可预期的。

第二步：构建在线检索创新服务请求、查新评估、身份认证用的三种数据库，和云端服务器保存的移动APP数据库，以及对应的属性信息集合：

在本地服务器：

1.在线检索创新服务的最小原始属性集合PM，至少包括：<软件类型，软件输入数据序列，软件输出数据序列，软件摘要值，软件关键字>。其中，软件类型来自于在建立静态软件白名单机制时可执行软件模块最小属性集合中的可执行软件模块的类型；软件摘要值是用商用密码算法SM3对所述软件输入数据序列、软件输出数据序列共同拼成的不同组合方式形成的数据计算得到；软件关键字是对可信软件进行检索时用的行业专业用语。

2.在线检索评估状态下待建可信度量软件的最小原始属性集合WC＝<提供者姓名，部门，岗位，计算机软件著作权号，软件类型，软件版本，软件关键字>。

3.部门及人员编码数据管理用的最小原始属性集合为：<部门类型，人员姓名，岗位，白名单软件使用权限及相应享用优先级>。

在客户端：

最小检索信息集合RM＝<客户端用户姓名，部门类型，岗位，白名单软件使用权限及相应享用优先级，软件类型，软件关键字>。

在云端服务器端：

建立可信度量的移动APP的最小属性集合PMS＝<软件摘要值，资源模块，软件输入数据序列，软件输出数据序列，占用内存范围>，以及相应的云端可信度量的移动APP数据库。

第三步：在线检索创新状态下：

建立RM到PM的映射表，客户端比较RM、PM中的软件类型、软件关键字两项参数，在两者全部相同的条件下，得到软件摘要值，使客户端在***露本地所要解决的具体技术问题条件下，当软件关键字相同时，检索到相同或相似技术领域下的许多可供参照的白名单软件。

建立PM到PMS的映射表，只要PM、PMS两者中的软件摘要值相同，本地服务器只要通过比较PM到PMS映射表中两者的软件摘要值集合全部相同，便可得到许多个软件输入数据序列或/和软件输出数据序列相同或相似的白名单软件，但客户端的软件按本项目软件输入数据序列和软件输出数据序列计算得到但未公开的摘要值来泄露。而且，只要对软件输入数据序列和软件输出数据序列分别采用SM4算法，然后构成连续串联的组合序列，再用SM4算法做第三次计算，才能获得比较接近实际的结果，而且保密程度也是最好的。

第四步：在线查新评估状态下：用可信度量软件的最小属性集合WC代替 RM，以便提供者本人，先自查新、自评估，防止本人、单位或行业科技信息在查新时泄露。

第五步：本地服务器最终向客户端发出一个以软件关键字为根节点、软件摘要值为中间节点、白名单软件的软件输入数据序列和软件输出数据序列的组合为叶子节点的白名单软件树，供检索创新和查新评估时使用。

Claims (1)

1.一种基于可信度量的移动软件白名单机制的移动办公方法，其特征在于，是在一个基于静态软件白名单机制的网络***，简称***中，依次按以下步骤实现的，所述静态是指软件运行前的最小属性集合：

步骤(1)，***的构造：

所述***包括：在线服务软件白名单数据库、待建可信软件白名单数据库、部门及人员编码管理数据库、本地服务器以及客户端，其中在线服务软件白名单数据库、待建可信软件白名单数据库和部门及人员编码管理数据库统称在线数据库组，本地服务器简称服务器，其中，在数据库组中：

在线服务软件白名单数据库，是一个在线服务的可信软件数据库，简称可执行软件模块数据库，提供改造是可信软件的、用于在线服务的行业软件的最小原始属性集合PM，至少表示为：<软件类型，软件输入数据序列，软件输出数据序列，软件摘要值，软件关键字>，所述软件包括程序包和/或可执行程序，所述软件类型包括软件、静态链接模块、动态链接模块和内核驱动模块，所述软件输入数据序列是软件运行的约束条件，软件输出数据序列是软件的运行结果，所述软件摘要值是用商根据密码算法SM3对所述软件输入数据序列、软件输出数据序列共同拼接的不同组合方式形成的数据计算得到，

待建可信软件白名单数据库，是一种在建可信度量软件的数据库，其可信度量的软件的最小原始属性集合为：WC＝<提供者姓名，部门，岗位，计算机软件著作权号，软件类型，软件版本，软件关键字>，

部门及人员编码管理数据库，其最小原始属性集合为：<部门类型，人员姓名，岗位，白名单软件使用权限及相应享用优先级>，

所述原始属性是指适用于二进制数表达的原始参数信息，

本地服务器，设有：存储模块、客户端无线通信模块、本地服务器无线通信模块以及服务端CPU，其中：

存储模块，设有：

客户端最小检索信息集合RM到在线服务的软件的最小原始属性集合PM的映射表，其中：所述客户端最小检索信息集合RM至少包括<客户端用户姓名，部门类型，岗位，白名单软件使用权限及相应享用优先级，软件类型，软件关键字>，

在线服务器软件的最小原始属性集合PM到云端存储的可信度量的移动APP的最小属性集合PMS的映射表，所述PMS包括：<软件摘要值，资源模块，软件输入数据序列，软件输出数据序列，占用内存范围>，

所述服务端CPU分别与所述客户端无线通信模块、本地服务器无线通信模块互连，

云端服务器，设有：云端CPU、云端可信度量的移动APP数据库和云端无线通信模块，其中：

云端CPU输入PM，向云端可信度量的移动APP数据库输出PM中的软件摘要值，从云端可信度量的移动APP数据库查找相对应的软件输入数据序列和软件输出数据序列，由软件输入数据序列和软件输出数据序列构成叶子节点，进而生成的软件白名单树，将该软件白名单树返回给云端无线通信模块，进而返回给本地服务器，

云端可信度量的移动APP数据库存储经过可信计算得到的白名单软件，所述白名单软件的最小属性集合为PMS，云端CPU按以下次序工作：(1)从云端无线通信模块得到输入的PM，(2)根据PM中的软件摘要值，从云端可信度量的移动APP数据库中查找相同的软件摘要值，得到对应的软件输入数据序列和软件输出数据序列，构成白名单软件的最小属性集合为PMS并返回给云端CPU，

客户端，设有：缓存模块、客户端最小检索信息集合、待/在建可信软件白名单的最小原始属性集合、客户端CPU和USB控制器，所述客户端CPU分别与其中余下部件互连，

步骤(2)，***依次按以下步骤实现基于可信度量的移动软件白名单机制的移动办公方法：

步骤(2.1)，客户端网络请求发起人身份鉴别，

步骤(2.1.1)，本地服务器从过滤启动程序加载在USB控制器中的128位身份识别码中，识别出64位角色编码和64位用户编码，

步骤(2.1.2)，本地服务器采用数字信封技术作为连接发起时的安全保障技术，步骤如下：

步骤(2.1.2.1)，客户端将USB控制器中保存的身份识别码和当前时间的时间戳拼接，构成第一次发送的明文数据；通过USB控制器保存的签名证书对明文数据进行数字签名，保证数据的真实性；再通过USB控制器保存的加密证书加密该数据，构成第一次发送的密文数据，保证数据的机密性；发送该密文数据到本地服务器，

步骤(2.1.2.2)，本地服务器接收到步骤(2.1.2.1)发送的密文数据后，分别通过与发送端USB控制器对应的公/私钥处理密文数据，生成客户端第一次发送的明文数据，

步骤(2.1.2.3)，本地服务器判断明文数据的时间戳是否时间过长，如果超过规定时间，则判定收到的密文数据为重放数据，终止后续的判断过程；如果没有超过规定的时间，则判定该数据为实际的客户端请求，执行步骤(2.1.2.4)的过程，

步骤(2.1.2.4)，本地服务器分离出角色编码和用户编码后，如果没有从所述客户端请求中找到对应的信息，则对客户端网络请求发起人的身份鉴别失败，终止操作；如果确实找到对应的信息，则完成对客户端网络请求发起人的身份鉴别，执行步骤(2.1.3)，

步骤(2.1.3)，服务器端和客户端通过数字信封技术协商基于SM4对称密码算法的会话密钥，至此本地服务器和客户端的后续通信使用会话密钥，不再使用数字信封技术，

步骤(2.2)，客户端需求辨识：

步骤(2.2.1)，本地服务器根据客户端在网络发起请求中所提出的不同需要，设定以下三类需求标志：

第一类为白名单软件的检索创新请求标志，用二进制数“00”表示，

第二类为新的白名单软件的查新评估请求标志，用二进制数“01”表示，

第三类为客户端转入正式办公的办公标志，用二进制数“10”表示，步骤(2.2.2)，服务器判别用户客户的实际需求：

若：为第一种需求，转入步骤(2.2.3)，

若：为第二种需求，转入步骤(2.2.4)，

若：为第三种需求，转入步骤(2.2.5)，

步骤(2.2.3)，按以下步骤实现白名单形式的可信软件的检索创新服务：

步骤(2.2.3.1)，按照RM到PM映射表，按软件类型和软件关键字检索的至少一个供在线检索服务用的可执行软件模块，

步骤(2.2.3.2)，对应于步骤(2.2.3.1)检索到的每一个可执行软件模块，通过软件摘要值按照PM到PMS映射表，从云端可信度量的移动APP数据库中找到至少一个可信的移动白名单软件，用软件输入数据序列和软件输出数据序列表示，

步骤(2.2.3.3)，依据步骤(2.2.3.1)到步骤(2.2.3.2)的结果，得到可供客户端检索服务用的可信的白名单软件树，根节点是RM中的软件关键字，中间节点是根据RM中的软件关键字所对应的PM中的软件摘要值，叶子节点是根据PM中的软件摘要值所对应的PMS中的软件输入数据序列A，软件输出数据序列O，经过云端无线通信模块发送到本地服务器，

步骤(2.2.3.4)，服务器把步骤(2.2.3.3)的可信的白名单软件树发往客户端，

步骤(2.2.3.5)，客户端基于可执行软件模块的软件摘要值及自己期望的软件输入数据序列A，软件输出数据序列O择优选择至少一个可信白名单软件作为可执行软件模块，向服务器提出检索创新请求；

步骤(2.2.4)，在查新评估阶段，客户端按以下步骤提出把已获得计算机软件著作权号的软件模块进行可信度量的请求，步骤如下：

步骤(2.2.4.1)，客户端向本地服务器发出待可信度量软件的最小原始属性集合WC，

步骤(2.2.4.2)，本地服务器按步骤(2.2.3.1)到步骤(2.2.3.4)进行白名单软件查新评估，其中所述RM用WC代替并把得到的可信白名单软件树发给客户端自查新和/或自评估，

步骤(2.2.4.3)，若客户端自查新、自评估结果具有唯一性，便经本地服务器传送到云端可信度量的移动APP数据库中备案，同时送往本地服务器可执行软件模块数据库投入使用，否则，撤回新建可信度量的静态白名单软件的申请，

步骤(2.2.5)，客户端按照以下步骤实现办公服务：

步骤(2.2.5.1)，本地服务器应用户要求向客户端发送最新的可信白名单软件树，保证客户端和服务器的可信白名单软件树的一致性，

步骤(2.2.5.2)，客户端在办公过程中运行待检测的软件，如果该待检测的软件存在于可信白名单软件树中，则允许个该软件的运行，否则，阻断该软件的运行。

Images