CN111506476B - 一种终端鉴权与进程管理***及其控制方法 - Google Patents

一种终端鉴权与进程管理***及其控制方法 Download PDF

Info

Publication number
CN111506476B
CN111506476B CN202010297350.4A CN202010297350A CN111506476B CN 111506476 B CN111506476 B CN 111506476B CN 202010297350 A CN202010297350 A CN 202010297350A CN 111506476 B CN111506476 B CN 111506476B
Authority
CN
China
Prior art keywords
authentication
user
state
command
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010297350.4A
Other languages
English (en)
Other versions
CN111506476A (zh
Inventor
肖波
王浩宇
徐前方
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Anxin Yiheng Technology Co ltd
Beijing University of Posts and Telecommunications
Original Assignee
Beijing Anxin Yiheng Technology Co ltd
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Anxin Yiheng Technology Co ltd, Beijing University of Posts and Telecommunications filed Critical Beijing Anxin Yiheng Technology Co ltd
Priority to CN202010297350.4A priority Critical patent/CN111506476B/zh
Publication of CN111506476A publication Critical patent/CN111506476A/zh
Application granted granted Critical
Publication of CN111506476B publication Critical patent/CN111506476B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44594Unloading

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明一种终端鉴权与进程管理***及其控制方法,包括:鉴权模块以及进程监控模块;通过鉴权模块创建针对用户的登陆日志,建立动态监听指针实时更新用户的鉴权状态;通过服务端远程的命令下发,修改相应用户的使用权限;采用进程监控模块下发限制进程命令完成构建;通过两部分模块对管理用户终端群的鉴权、进程情况进行实时控制,对检测逻辑以及处理逻辑终端的进程运行状态进行限制,针对每个终端实施不同命令下的调整,使用嵌入进程的线程探针,当进程执行,则探针也随之执行并将进程信息发送给处理模块;这样的操作设计,降低了查找相应进程的时间,节省了信息存储空间。

Description

一种终端鉴权与进程管理***及其控制方法
技术领域
本发明涉及终端管理***技术领域,尤其是一种终端鉴权与进程管理***及其控制方法,主要针对于计算机终端而非远程服务端,在本地建立管理***,有效的实现了终端的实时管理。
背景技术
随着电脑、手机等终端设备的革新进步,已切实改变了人们的生产与生活,智能产品带来极大便捷的同时,也伴随着安全控制问题;对于计算机本地的安全管理,可通过限制BIOS、限制计算机开机等技术来进行防护;而针对需要进行统一资产管理的终端群,需要整合管理策略,统一进行管理控制;这样的统一控制管理,需要实时的下发策略命令并执行于计算机终端;
现有技术中,安全控制设计主要集中在***鉴权与进程监管上,例如:
在终端鉴权管理上:
对于本地终端的安全控制,现有的技术主要是通过加设密码或增加外部生物特征提取等方式,限制特定用户使用终端,这样的技术主要加设于本地,并且繁琐复杂,需要增加外部特征获取硬件或增加密码管理;而当需要统一管理终端群时,这样的技术往往不能够实现较好的实时性,需要不断的在本地终端统一设置,费时费力,并且统一性的终端群管理无法完全保证;而有关于远程处理控制,现有技术往往主要通过服务端进行密码处理、权限鉴别等数据处理,这样虽然能保证一定的统一性,然而服务端的工作压力、数据处理负荷极大,很难保证较好的实时性;
在进程控制管理上:
现有的电脑进程处理技术中,其技术方案往往通过额外的物理内存或外部设备,采取存储实时的进程信息,保证一定的实时性,或使用例如hash的数据结构,实现较好的查询和处理速度;然而这样的技术管理,往往存在一些问题:例如:使用了额外的物理内存、外部设备较为冗杂;同时会占用终端的某些处理能力和内存;增加了较多的负载,不够简洁;若想要提高处理速度,则需要额外建立数据结构,但这样会占用较大的物理内存和计算能力;若不建立相应的进程管理的处理数据库,虽然能够保证较好的内存使用率,但是十分消耗计算能力、处理十分缓慢,不能实现较好的实时性。
发明内容
本发明的目的是,提供一种终端鉴权与进程管理***及其控制方法,通过执行于终端的控制***、通过两部分模块对管理用户终端群的鉴权、进程情况进行实时控制,对检测逻辑以及处理逻辑终端的进程运行状态进行限制,针对每个终端实施不同命令下的调整,使用嵌入进程的线程探针,当进程执行,则探针也随之执行并将进程信息发送给处理模块;这样的操作设计,降低了查找相应进程的时间,加快了进程信息的获取也不再需要将所有正在进行的进程全部查询,节省了一定的信息存储空间,提高了速度。
一种终端鉴权与进程管理***及其控制方法,其中:
一种终端鉴权与进程管理***,主要应用于受控管理的终端***,包括:鉴权模块以及进程监控模块;
作为一种举例说明,所述终端***为:Windows10操作***,包括PC机以及虚拟机;
进一步的,所述鉴权模块用于:创建针对用户的登陆日志,建立动态监听指针实时更新用户的鉴权状态;通过服务端远程的命令下发,修改相应用户的使用权限;
所述鉴权模块通过下发鉴权命令完成构建,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;
作为一种举例说明,所述鉴权系数为:允许鉴权失败次数;
同时所述鉴权模块,需要创建连接接口regsvr,用以访问终端***注册表、获取计算机资源申请事件情况,通过所述连接接口regsvr获取到用户的申请请求情况,从而创建针对用户的登陆日志;
进一步的,所述登陆日志包括:用户名user_id、登陆***时间、CountHistory用于记录用户鉴权失败的次数以及CountAnchor为用户的鉴权锚状态;
作为一种举例说明,所述CountHistory以及CountAnchor的初始值均为0;
建立登陆日志后,鉴权模块创建监听指针userKey;
作为一种举例说明,所述监听指针在用户进行鉴权时,通过所述连接接口regsvr访问计算机资源申请事件,实时地鉴别计算机资源申请事件同步获得用户鉴权情况,从而实现对登陆日志中的CountHistory参数进行更新;若在申请事件中,用户鉴权失败,则所述CountHistory加1;CountAnchor由下发鉴权命令中的鉴权系数以及CountHistory参数限制;当所述CountHistory超过下发鉴权命令阈值,则CountAnchor设置为1并清零CountHistory;
进一步的,当所述CountAnchor为1时,则建立限制指针banKey;所述限制指针banKey用于修改计算机本地安全性授权子***,限制用户并锁定该用户使用计算机的权限;
进一步的,所述进程监控模块通过下发限制进程命令完成构建;
作为一种举例说明,所述下发限制进程命令包括:管理进程名称;
所述进程监控模块通过shell监控所有正在进行的进程,通过对下发限制进程命令中的管理进程***线程探针processKey,获取管理进程的信息,构建限制进程的hash数据库,使用限制进程的hash数据库中的进程运行状态建立进程运行状态库,并使用所述进程运行状态库处理逻辑修改进程监控模块的告警状态以及限制管理进程的运行;
作为一种举例说明,所述shell即终端***的底层命令解析器,通过接收用户下发命令从而调用计算机终端的应用程序;
作为一种举例说明,所述hash数据库中存储的限制进程的信息包括:存储进程的进程号、存储进程名称、processStatus进程状态以及AlarmKey报警标志;
作为一种举例说明,所述进程监控模块使用所述processStatus进程状态以及AlarmKey报警标志建立针对各个进程的进程运行状态库;
作为一种举例说明,所述进程运行状态库中,进程状态由所述processStatus进程状态赋值,包括:进程运行、进程未运行、状态库的处理逻辑、存在进程状态以及告警状态;
作为一种举例说明,所述告警状态为:未能控制并在运行中的进程,需要向所述AlarmKey报警标志赋值;整个进程监控模块要进入告警状态,向用户告警未能禁用的进程;
所述进程监控模块的监控过程包括:获取得到下发限制进程命令,通过使用所述线程探针processKey获取到下发限制进程命令中的进程信息以及进程状态;建立限制进程的hash数据库,将需要限制进程的运行状态存储在限制进程的hash数据库中;
作为一种举例说明,在所述进程监控模块的监控过程中,***所述线程探针processKey,表现为包装进入所述下发限制进程命令中管理进程中的线程探针,若所述管理进程正在执行,则所述线程探针processKey同时执行,将管理进程的进程号、进程状态上报到所述进程监控模块中的所述hash数据库中;
一种终端鉴权与进程管理***的控制方法,包括:鉴权管理方法和进程监控方法,具体为:
鉴权管理方法,包括:
步骤一、鉴权模块创建针对用户的***登陆日志;鉴权模块通过连接接口regsvr建立与***注册表的连接;同时建立监听指针userKey,通过连接接口regsvr实时访问计算机资源申请事件、用以更新用户的登陆日志;所述登陆日志包括:用户名user_id、鉴权失败次数CountHistory、用户鉴权锚状态CountAnchor;
进一步的,所述CountHistory由监听指针userKey进行实时更新;针对不同的用户ID,监听指针userKey若查询到计算机资源申请失败,则将用户名user_id的CountHistory加1,保证一定的实时性;当所述CountHistory的值超过下发策略中的鉴权系数,即超过允许鉴权失败次数,则将所述CountAnchor设1,并清零所述CountHistory;同时,建立限制指针banKey;
作为一种举例说明,所述限制指针banKey用于对启动的本地安全性授权子***进行修改,限制用户并锁定该用户使用计算机的权限;
步骤二:被管理终端向服务端发送token信息,每个被管理终端由不同的cpu序列号产生独有的token信息;所述服务端下发鉴权命令,同时建立映射关系。实现实时管理操作;
作为一种举例说明,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;
步骤三:鉴权模块针对不同的用户名user_id,查询登陆日志中失败鉴权次数CountHistory,并与服务端下发的管理命令中的鉴权系数相比、对CountHistory大于鉴权系数的用户,建立限制指针banKey;所述限制指针banKey用于修改本地安全性授权子***,实现用户的登陆限制,并且由鉴权模块上发记录;
进程监控方法,包括:
步骤一:进程监控模块首先获得下发限制进程命令中需要监管的进程,针对这些进程建立限制进程的hash数据库,用以存储这些需要监管的进程的信息以及进程状态;包括:进程号、存储进程名称、processStatus进程状态、AlarmKey报警标志;
步骤二:进程监控模块针对这些进程,***线程探针processKey用以更新步骤一中建立的所述hash数据库,通过所述线程探针processKey获取到下发限制进程命令中的进程信息以及进程运行状态,用以更新所述hash数据库中的进程名称以及processStatus进程状态;
作为一种举例说明,所述线程探针processKey作为一种***到进程中的线程而实现,使用windows***动态链接库,通过进程端口,建立进程句柄从而使用外层循环获取到该进程的所有进程信息;
进一步的,在线程探针processKey获取信息时,先创建***进程列表、提取***进程列表中的列表项信息,包括进程状态、进程号、进程类型;当下发限制进程命令中的进程执行时,processKey线程探针也将执行。从而保证能够实时准确的获取到下发限制进程命令中的进程信息;
作为一种举例说明,所述进程类型包括:***进程、用户进程;
步骤三:进程监控模块查询限制进程的hash数据库,主要查询processStatus进程状态,并建立针对进程的进程运行状态库;应用进程运行状态库的逻辑处理单元、修改进程监控模块的告警状态、更新限制进程的hash数据库中的AlarmKey报警标志;同时,***使用AlarmKey报警标志对未控制的进程进行控制并上报告警;
进一步的,所述进程运行状态库中包含两种变量:
①状态类别变量,包括:进程运行、进程未运行;状态类别变量由hash数据库中的processStatus进程状态赋值;
②告警状态变量:用以赋值hash数据库中的AlarmKey报警标志;
进一步的,所述逻辑处理单元处理逻辑的方法包括:
通过进程状态、告警状态建立逻辑转换图,若下发限制进程命令中的进程处在运行中,则整个进程监控模块需要进入告警状态,向用户告警未能限制的进程;处理逻辑中,进程的状态与告警状态存在映射关系,由进程前一运行状态以及当前运行状态决定告警状态;而告警状态返回到hash数据库中,赋值更新进程的AlarmKey报警标志;
作为一种举例说明,所述进程的状态与告警状态的映射关系为:
①当禁用进程运行,即需要进入告警状态,此时,告警状态为激活;当禁用进程仍在运行,则不需要重复激活告警状态;当禁用进程关闭,则仍不需要激活告警状态;
②当禁用进程未运行,不需要激活告警状态;当发现禁用进程运行,则需要激活告警状态;当禁用进程关闭,则不需要激活告警状态。
本发明的有益效果:。
本发明在统一性上,使用远程服务端通过https协议下发控制策略命令,这样保证了终端群的管理统一性;针对于实时性上,将所有的鉴权信息处理、终端鉴权反应处理逻辑全部设置在终端而非服务端,借用了分布式管理的思想,通过使用管理终端的处理能力,降低了服务端的处理负荷,通过使用监听指针、鉴权锚的设定,保证了较好的实时性;
而关于本发明中的进程管理,不需要占用额外的物理内存,无需使用较多的进程处理外部设备便能保证较好的实时性以及处理速度;通过使用嵌入进程的线程探针,当进程执行,则探针也随之执行,并将信息发送给处理模块;这样的操作,降低了查找进程所需要的时间,加快了进程信息点获取,保证了实时性,同时,也无需将所有正在进行的进程进行查询,不需要建立额外的数据结构来存储实时的进程信息,节省了物理内存空间点占用。
附图说明
图1是本发明一种终端鉴权与进程管理***及其控制方法之原理设计示意图
图2是本发明一种终端鉴权与进程管理***及其控制方法之鉴权模块原理设计示意图
图3是本发明一种终端鉴权与进程管理***及其控制方法之进程监控模块原理设计示意图
图4是本发明一种终端鉴权与进程管理***及其控制方法之线程探针processKey的功能示意图
图5是本发明一种终端鉴权与进程管理***及其控制方法之逻辑处理单元处理逻辑的流程示意图
具体实施方式
下面结合附图对本发明的优选实施例进行详细说明。
详见图1至图5所示,一种终端鉴权与进程管理***及其控制方法,其中:
一种终端鉴权与进程管理***,主要应用于受控管理的终端***201,包括:鉴权模块101以及进程监控模块102;
作为一种举例说明,所述终端***201为:Windows10操作***,包括PC机以及虚拟机;
进一步的,所述鉴权模块101用于:创建针对用户的登陆日志105,建立动态监听指针实时更新用户的鉴权状态;通过服务端远程的命令下发,修改相应用户的使用权限;
所述鉴权模块101通过下发鉴权命令完成构建,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;
作为一种举例说明,所述鉴权系数为:允许鉴权失败次数;
同时所述鉴权模块101,需要创建连接接口regsvr,用以访问终端***注册表、获取计算机资源申请事件情况,通过所述连接接口regsvr获取到用户的申请请求情况,从而创建针对用户的登陆日志;
进一步的,所述登陆日志203包括:用户名user_id、登陆***时间、CountHistory用于记录用户鉴权失败的次数以及CountAnchor为用户的鉴权锚状态;
作为一种举例说明,所述CountHistory以及CountAnchor的初始值均为0;
建立登陆日志105后,鉴权模块101创建监听指针userKey103;
作为一种举例说明,所述监听指针userKey103在用户进行鉴权时,通过所述连接接口regsvr访问计算机资源申请事件,实时地鉴别计算机资源申请事件同步获得用户鉴权情况,从而实现对登陆日志105中的CountHistory参数进行更新;若在申请事件中,用户鉴权失败,则所述CountHistory加1;CountAnchor由下发鉴权命令中的鉴权系数以及CountHistory参数限制;当所述CountHistory超过下发鉴权命令阈值,则CountAnchor设置为1并清零CountHi story;
进一步的,当所述CountAnchor为1时,则建立限制指针banKey202;所述限制指针banKey202用于修改计算机本地安全性授权子***,限制用户并锁定该用户使用计算机的权限;
进一步的,所述进程监控模块102通过下发限制进程命令完成构建;
作为一种举例说明,所述下发限制进程命令包括:管理进程名称;
所述进程监控模块102通过shell监控所有正在进行的进程,通过对下发限制进程命令中的管理进程***线程探针processKey104,获取管理进程的信息,构建限制进程的hash数据库,使用限制进程的hash数据库106中的进程运行状态建立进程运行状态库,并使用所述进程运行状态库处理逻辑修改进程监控模块的告警状态以及限制管理进程的运行;
作为一种举例说明,所述shell即终端***的底层命令解析器,通过接收用户下发命令从而调用计算机终端的应用程序;
作为一种举例说明,所述hash数据库106中存储的限制进程的信息包括:存储进程的进程号、存储进程名称、processStatus进程状态302以及AlarmKey报警标志303;
作为一种举例说明,所述进程监控模块102使用所述processStatus进程状态302以及AlarmKey报警标志303建立针对各个进程的进程运行状态库;
作为一种举例说明,所述进程运行状态库中,进程状态由所述processStatus进程状态302赋值,包括:进程运行、进程未运行、状态库的处理逻辑、存在进程状态以及告警状态;
作为一种举例说明,所述告警状态为:未能控制并在运行中的进程,需要向所述AlarmKey报警标志303赋值;整个进程监控模块102要进入告警状态,向用户告警未能禁用的进程;
所述进程监控模块102的监控过程包括:获取得到下发限制进程命令,通过使用所述线程探针processKey获取到下发限制进程命令中的进程信息以及进程状态;建立限制进程的hash数据库106,将需要限制进程的运行状态存储在限制进程的hash数据库106中;
作为一种举例说明,在所述进程监控模块102的监控过程中,***所述线程探针processKey104,表现为包装进入所述下发限制进程命令中管理进程中的线程探针,若所述管理进程正在执行,则所述线程探针processKey104同时执行,将管理进程的进程号、进程状态上报到所述进程监控模块102中的所述hash数据库106中;
一种终端鉴权与进程管理***的控制方法,包括:鉴权管理方法和进程监控方法,具体为:
鉴权管理方法,包括:
步骤一、鉴权模块101创建针对用户的***登陆日志105;鉴权模块101通过连接接口regsvr建立与***注册表的连接;同时建立监听指针userKey103,通过连接接口regsvr实时访问计算机资源申请事件、用以更新用户的登陆日志105;所述登陆日志105包括:用户名user_id、鉴权失败次数CountHistory、用户鉴权锚状态CountAnchor;
进一步的,所述CountHistory由监听指针userKey103进行实时更新;针对不同的用户ID,监听指针userKey103若查询到计算机资源申请失败,则将用户名user_id的CountHistory加1,保证一定的实时性;当所述CountHistory的值超过下发策略中的鉴权系数,即超过允许鉴权失败次数,则将所述CountAnchor设1,并清零所述CountHistory;同时,建立限制指针banKey202;
作为一种举例说明,所述限制指针banKey202用于对启动的本地安全性授权子***进行修改,限制用户并锁定该用户使用计算机的权限;
步骤二:被管理终端向服务端发送token信息,每个被管理终端由不同的cpu序列号产生独有的token信息;所述服务端下发鉴权命令,同时建立映射关系。实现实时管理操作;
作为一种举例说明,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;
步骤三:鉴权模块101针对不同的用户名user_id,查询登陆日志中失败鉴权次数CountHistory,并与服务端下发的管理命令中的鉴权系数相比、对CountHi story大于鉴权系数的用户,建立限制指针banKey;所述限制指针banKey用于修改本地安全性授权子***,实现用户的登陆限制,并且由鉴权模块101上发记录;
进程监控方法,包括:
步骤一:进程监控模块102首先获得下发限制进程命令中需要监管的进程,针对这些进程建立限制进程的hash数据库106,用以存储这些需要监管的进程的信息以及进程状态;包括:进程号、存储进程名称、processStatus进程状态302、AlarmKey报警标志303;
步骤二:进程监控模块102针对这些进程,***线程探针processKey104用以更新步骤一中建立的所述hash数据库106,通过所述线程探针processKey104获取到下发限制进程命令中的进程信息以及进程运行状态,用以更新所述hash数据库106中的进程名称以及processStatus进程状态;
作为一种举例说明,所述线程探针processKey104作为一种***到进程中的线程而实现,使用windows***动态链接库,通过进程端口,建立进程句柄从而使用外层循环获取到该进程的所有进程信息;
进一步的,在线程探针processKey104获取信息时,先创建***进程列表、提取***进程列表中的列表项信息,包括进程状态、进程号、进程类型;当下发限制进程命令中的进程执行时,processKey线程探针104也将执行。从而保证能够实时准确的获取到下发限制进程命令中的进程信息;
作为一种举例说明,所述进程类型包括:***进程、用户进程;
步骤三:进程监控模块102查询限制进程的hash数据库106,主要查询processStatus进程状态,并建立针对进程的进程运行状态库;应用进程运行状态库的逻辑处理单元301、修改进程监控模块的告警状态、更新限制进程的hash数据库106中的AlarmKey报警标志303;同时,***使用AlarmKey报警标志303对未控制的进程进行控制并上报告警;
进一步的,所述进程运行状态库中包含两种变量:
①状态类别变量,包括:进程运行、进程未运行;状态类别变量由hash数据库106中的processStatus进程状态302赋值;
②告警状态变量:用以赋值hash数据库106中的AlarmKey报警标志303;
进一步的,所述逻辑处理单元301的处理逻辑方法包括:
通过进程状态、告警状态建立逻辑转换图,若下发限制进程命令中的进程处在运行中,则整个进程监控模块102需要进入告警状态,向用户告警未能限制的进程;处理逻辑中,进程的状态与告警状态存在映射关系,由进程前一运行状态以及当前运行状态决定告警状态;而告警状态返回到hash数据库106中,赋值更新进程的AlarmKey报警标志303;
作为一种举例说明,所述进程的状态与告警状态的映射关系为:
①当禁用进程运行,即需要进入告警状态,此时,告警状态为激活;当禁用进程仍在运行,则不需要重复激活告警状态;当禁用进程关闭,则仍不需要激活告警状态;
②当禁用进程未运行,不需要激活告警状态;当发现禁用进程运行,则需要激活告警状态;当禁用进程关闭,则不需要激活告警状态。
本发明在统一性上,使用远程服务端通过https协议下发控制策略命令,这样保证了终端群的管理统一性;针对于实时性上,将所有的鉴权信息处理、终端鉴权反应处理逻辑全部设置在终端而非服务端,借用了分布式管理的思想,通过使用管理终端的处理能力,降低了服务端的处理负荷,通过使用监听指针、鉴权锚的设定,保证了较好的实时性;而关于本发明中的进程管理,不需要占用额外的物理内存,无需使用较多的进程处理外部设备便能保证较好的实时性以及处理速度;通过使用嵌入进程的线程探针,当进程执行,则探针也随之执行,并将信息发送给处理模块;这样的操作,降低了查找进程所需要的时间,加快了进程信息点获取,保证了实时性,同时,也无需将所有正在进行的进程进行查询,不需要建立额外的数据结构来存储实时的进程信息,节省了物理内存空间点占用。
以上所述的仅为本发明的优选实施例,所应理解的是,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,并不用于限定本发明的保护范围,凡在本发明的思想和原则之内所做的任何修改、等同替换等等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种终端鉴权与进程管理***,主要应用于受控管理的终端***,其特征在于,包括:鉴权模块以及进程监控模块;
所述鉴权模块用于:创建针对用户的登陆日志,建立动态监听指针实时更新用户的鉴权状态;通过服务端远程的命令下发,修改相应用户的使用权限;所述登陆日志包括:用户名user_id、鉴权失败次数CountHistory、用户鉴权锚状态CountAnchor;
所述CountHistory由监听指针userKey进行实时更新;针对不同的用户ID,监听指针userKey若查询到计算机资源申请失败,则将用户名user_id的CountHistory加1,保证一定的实时性;当所述CountHistory的值超过下发策略中的鉴权系数,即超过允许鉴权失败次数,则将所述CountAnchor设1,并清零所述CountHistory;同时,建立限制指针banKey;所述限制指针banKey用于对启动的本地安全性授权子***进行修改,限制用户并锁定该用户使用计算机的权限;
所述鉴权模块通过下发鉴权命令完成构建,所述下发鉴权命令包括:鉴权时间、命令下发时间、报告时间以及鉴权系数;所述鉴权系数为:允许鉴权失败次数;同时所述鉴权模块需要创建连接接口regsvr,用以访问终端***注册表、获取计算机资源申请事件情况,通过所述连接接口regsvr获取到用户的申请请求情况,从而创建针对用户的登陆日志;建立登陆日志后,鉴权模块创建监听指针userKey;
所述进程监控模块通过下发限制进程命令完成构建;所述下发限制进程命令包括:管理进程名称;
所述进程监控模块通过shell监控所有正在进行的进程,通过对下发限制进程命令中的管理进程***线程探针processKey,获取管理进程的信息,构建限制进程的hash数据库,使用限制进程的hash数据库中的进程运行状态建立进程运行状态库,并使用所述进程运行状态库处理逻辑修改进程监控模块的告警状态以及限制管理进程的运行;所述hash数据库中存储的限制进程的信息包括:存储进程的进程号、存储进程名称、processStatus进程状态以及AlarmKey报警标志;所述进程监控模块使用所述processStatus进程状态以及AlarmKey报警标志建立针对各个进程的进程运行状态库;所述进程运行状态库中,进程状态由所述processStatus进程状态赋值,包括:进程运行、进程未运行、状态库的处理逻辑、存在进程状态以及告警状态;所述告警状态为:未能控制并在运行中的进程,需要向所述AlarmKey报警标志赋值;整个进程监控模块要进入告警状态,向用户告警未能禁用的进程。
2.根据权利要求1所述的一种终端鉴权与进程管理***,其特征在于,所述终端***为:Windows10操作***,包括PC机以及虚拟机。
3.根据权利要求1所述的一种终端鉴权与进程管理***,其特征在于,所述登陆日志包括:用户名user_id、登陆***时间、CountHistory用于记录用户鉴权失败的次数以及CountAnchor为用户的鉴权锚状态;所述CountHistory以及CountAnchor的初始值均为0。
4.根据权利要求1所述的一种终端鉴权与进程管理***,其特征在于,所述shell即终端***的底层命令解析器,通过接收用户下发命令从而调用计算机终端的应用程序。
5.根据权利要求4所述的一种终端鉴权与进程管理***,其特征在于,在所述进程监控模块的监控过程中,***所述线程探针processKey,表现为包装进入所述下发限制进程命令中管理进程中的线程探针,若所述管理进程正在执行,则所述线程探针processKey同时执行,将管理进程的进程号、进程状态上报到所述进程监控模块中的所述hash数据库中。
CN202010297350.4A 2020-04-15 2020-04-15 一种终端鉴权与进程管理***及其控制方法 Active CN111506476B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010297350.4A CN111506476B (zh) 2020-04-15 2020-04-15 一种终端鉴权与进程管理***及其控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010297350.4A CN111506476B (zh) 2020-04-15 2020-04-15 一种终端鉴权与进程管理***及其控制方法

Publications (2)

Publication Number Publication Date
CN111506476A CN111506476A (zh) 2020-08-07
CN111506476B true CN111506476B (zh) 2021-11-26

Family

ID=71872644

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010297350.4A Active CN111506476B (zh) 2020-04-15 2020-04-15 一种终端鉴权与进程管理***及其控制方法

Country Status (1)

Country Link
CN (1) CN111506476B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113076130A (zh) * 2021-03-23 2021-07-06 上海金融期货信息技术有限公司 基于shell脚本的通用柜台***运维方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07253912A (ja) * 1994-03-16 1995-10-03 Toshiba Corp プロセス監視装置
CN101853205A (zh) * 2010-06-23 2010-10-06 山东中创软件商用中间件股份有限公司 一种监控程序运行的方法和装置
CN106775981A (zh) * 2016-12-15 2017-05-31 北京奇虎科技有限公司 一种进程处理方法、装置及计算机可读介质
CN107193712A (zh) * 2017-06-01 2017-09-22 北京匡恩网络科技有限责任公司 一种用于进程管理的方法和装置
CN110515806A (zh) * 2019-08-30 2019-11-29 北京博睿宏远数据科技股份有限公司 探针配置方法、装置、计算机设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110188018B (zh) * 2019-05-29 2023-06-09 广州伟宏智能科技有限公司 一种数据同步复制软件运维监控***

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07253912A (ja) * 1994-03-16 1995-10-03 Toshiba Corp プロセス監視装置
CN101853205A (zh) * 2010-06-23 2010-10-06 山东中创软件商用中间件股份有限公司 一种监控程序运行的方法和装置
CN106775981A (zh) * 2016-12-15 2017-05-31 北京奇虎科技有限公司 一种进程处理方法、装置及计算机可读介质
CN107193712A (zh) * 2017-06-01 2017-09-22 北京匡恩网络科技有限责任公司 一种用于进程管理的方法和装置
CN110515806A (zh) * 2019-08-30 2019-11-29 北京博睿宏远数据科技股份有限公司 探针配置方法、装置、计算机设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"云服务用户鉴权模型的研究与实现";郭云鹏;《中国优秀硕士学位论文全文数据库(信息科技辑)》;20180315(第03期);第I139-242页 *

Also Published As

Publication number Publication date
CN111506476A (zh) 2020-08-07

Similar Documents

Publication Publication Date Title
US5694595A (en) Remote user profile management administration in a computer network
CN106487744B (zh) 一种基于Redis存储的Shiro验证方法
US20040205148A1 (en) Method for operating a computer cluster
CN106874125B (zh) 多容器***间共享***资源的方法及装置
CN112528251B (zh) 用户账号权限管理方法、装置、设备以及可读介质
US20100131772A1 (en) Module validation
US7506204B2 (en) Dedicated connection to a database server for alternative failure recovery
CN110289965B (zh) 一种应用程序服务的管理方法及装置
CN111506476B (zh) 一种终端鉴权与进程管理***及其控制方法
WO1998050853A1 (en) Network desktop management security system and method
US11720712B2 (en) Managing registry access on a computer device
CN115001852B (zh) 一种网络操作***中应用内生安全数据库存取方法和装置
US8458151B2 (en) Network device and method for updating data of the network device
CN111488331A (zh) 数据库连接方法、装置和计算机设备
CN109977644B (zh) 一种Android平台下分级权限管理方法
JP2023546897A (ja) オブジェクト処理方法、装置、及びコンピュータ機器
CN111723401A (zh) 数据访问权限控制方法、装置、***、存储介质及设备
CN114615064A (zh) 一种对于Docker容器创建和销毁的管控方法
EP2450820B1 (en) User authentication system and plant control system having user authentication system
CN111708609A (zh) 一种基于Kubernetes容器配置字典和保密字典的实现方法及其***
CN109753529A (zh) 应用程序设置菜单项的管理方法、***及智能电视
US11729162B2 (en) Data center cable security
US20080022372A1 (en) User authority management system and method for managing users
US12039085B2 (en) Managing registry access on a computer device
CN116582359A (zh) 一种认证方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant