[发明专利]一种软件更新系统及方法

说明书

本发明公开了一种软件更新系统及方法，终端设备存储当前软件白名单，当前软件白名单中包括当前已安装的软件信息；服务器存储预设软件白名单，和对应的安装包，预设软件白名单中包括已登记终端设备标识信息，以及各终端设备可运行的软件信息；终端设备向服务器发送软件更新请求，所述软件更新请求包括该终端设备的标识信息以及该终端设备的当前软件白名单；服务器根据预设软件白名单判断所述终端设备是否合法，根据所述终端设备相应的预设软件白名单和接收到的当前软件白名单判断是否需要更新，需要更新时将相应安装包发送至所述终端设备。本发明采用白名单的形式对进行软件更新的终端设备和待更新的软件进行管控，保障了终端设备的安全运行。

技术领域

本发明属于网络设备安全技术领域，尤其涉及一种软件更新系统及方法。

背景技术

目前，随着信息交互的日益频繁，由信息电子设备组成了大量的网络进行信息交互，这给信息安全带来了隐患，因此，在网络中需要建立管控系统，对信息电子设备中安装的程序进行管控。一般管控系统由软件服务器和终端设备组成，终端设备上的信息输入接口一般进行了管制，比如拆除USB口、光驱等，终端设备上软件的更新仅能通过无线或有线网络连接到指定的软件服务器上进行。

传统的终端安全防护手段是通过安装杀毒软件来阻止终端上的恶意软件的运行和传播。杀毒软件是一种基于黑名单的查杀方式，进入黑名单的软件被阻止运行，黑名单之外的软件和行为可以正常运行。黑名单安全防护技术对系统中软件的安全防护起到了一定的作用，但由于对恶意软件的识别是采用特征代码、行为监测、软件模拟等方法，前期需要持续积累的恶意代码库、行为识别的支持，因此其对恶意软件的识别总是被动滞后的，对于高级别的零日攻击、“水坑式”攻击、“中间人”攻击、冒充合法客户端进行服务请求无能为力。

信息安全防护人员将白名单管理技术引入到信息安全防护中，只有在白名单中的应用程序才被允许在系统中运行，之外的任何程序都不被允许运行。现有的传统的白名单更新方法通常是基于单主机模式的，例如“基于可信进程树的白名单更新方法”(专利号为CN201010108793.0)，该专利通过对程序间创建及调用关系的分析，定位非白名单程序中的新安装合法程序和系统中的非法程序，通过可信进程树安全机制，将特征值都不在白名单的新安装程序和计算机病毒区分开，维护白名单的安全。该技术的缺点和缺陷是：只能针对单一设备进行白名单更新操作，对于系统中多台设备同一软件的更新或安装操作，需要单独操作，费时费力，成本较高。

有签于此，基于软件服务器的进程白名单更新方法(专利号为CN201510494251.4)被提了出来，该发明通过软件服务器来更新进程白名单，通过软件服务器来积累行业软件，在企业部署环境中只需要更新软件服务器计算机上的进程白名单列表便能使全网相同操作系统的电脑都能共享这一更新的白名单，从而不需要对每台计算机进行重复操作。该方法可以快速实现白名单程序的更新，但该方法为了维护受控端的白名单，根据网络中操作系统版本数量部署了多台软件服务器，一个版本的操作系统对应一台软件服务器，硬件成本、管理成本都比较高。而且对于目前“水坑式”攻击，即通过渗透到软件服务器，病毒感染软件服务器上的软件，终端将照常下载更新软件服务器上的软件，此时白名单机制将失去防护作用。对于冒充软件服务器的“中间人”攻击行为，该方法也没有相应的防护措施。对于冒充合法终端设备申请软件更新也没有有效的防范措施。

发明内容

为克服上述现有技术的不足，本发明提供了一种软件更新系统和方法，服务器采用白名单维护能够进行软件更新的设备，以及各设备能够进行更新的软件，实现了布设一个服务器即可针对多个终端设备执行更新，且对于某一个终端设备，只需提交一次软件更新请求，即可实现整个终端设备软件更新的需求。

为实现上述目的，本发明的一个或多个实施例提供了如下技术方案：

一种软件更新系统，包括服务器和一个或多个终端设备；

所述终端设备存储当前软件白名单，所述当前软件白名单中包括该终端设备上当前已安装的软件信息；被配置为：