基于可信根度量进行应用程序的行为权限分配方法、装置及相关产品与流程

本申请涉及区块链技术领域，特别是涉及一种基于可信根度量进行应用程序的行为权限分配方法、装置及相关产品。

背景技术：

区块链系统本质上是分布式数据存储系统、点对点传输、共识机制、加密算法等技术的集成应用模式，能够在互联网上实现传统互联网无法实现的信任和价值传递。其基于密码学原理而非信用的特征，使得任何达成一致的双方能够直接交易，不需要第三方中介的参与。另一方面，区块链中几乎不存在单点故障，链上的数据存储在全球无数台机器节点(又称之为电子设备)上，使得数据“稳定”、“可信”且“不可篡改”，这重新赋予了网络上的数据一种可以被信任的价值。

但是，在电子设备上配置了tee(trustedexecutionenvironment，可信执行环境)环境提供各种安全服务，但是由于区块链系统中所有电子设备实际上处于互联网大环境中，其上运行个各种应用程序很容易被篡改，使得被篡改的应用程序调用tee环境的api接口，从而使得单个电子设备不再安全，最终导致整个区块链系统存在极大的安全隐患。

技术实现要素：

基于上述问题，本申请实施例提供了一种基于可信根度量进行应用程序的行为权限分配方法、装置及相关产品。

本申请实施例公开了如下技术方案：

1、一种基于可信根度量进行应用程序的行为权限分配方法，其特征在于，包括：

根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。

2、根据权利要求1所述基于可信根度量进行应用程序的行为权限分配方法，其特征在于，所述根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库，之前包括：

根据计算出的应用程序白名单中各个应用程序的可信值，生成可信度量日志，所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的可信值。

3、根据权利要2所述基于可信根度量进行应用程序的行为权限分配方法，其特征在于，所述根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库，包括：

对所述可信度量日志进行解析，获得所述各个应用程序启动过程中调用的文件以及对应的可信值；

根据所述各个应用程序启动过程中调用的文件以及对应的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库。

4、根据权利要求1所述基于可信根度量进行应用程序的行为权限分配方法，其特征在于，所述根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库，之前包括：

根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

5、根据权利要求4所述基于可信根度量进行应用程序的行为权限分配方法，其特征在于，所述根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值，包括：

根据设置的静态可信度量模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

6、根据权利要求3所述基于可信根度量进行应用程序的行为权限分配方法，其特征在于，所述根据设置的静态可信度量模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值，包括：

在电子设备在上电启动之后，且其应用程序启动之前，对所述应用程序的完整性数据进行哈希运算得到哈希值，根据所述哈希值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

7、根据权利要求1所述基于可信根度量进行应用程序的行为权限分配方法，其特征在于，所述根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值，包括：

根据设定的动态度量可信机制，实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

8、根据权利要求7所述基于可信根度量进行应用程序的行为权限分配方法，其特征在于，所述根据设定的动态度量可信机制，实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值，包括：

在所述各个应用程序启动之后，对所述各个应用程序的完整性数据进行哈希运算得到操作系统哈希值；对所述电子设备上的应用程序的完整性数据进行哈希运算得到各个应用程序的哈希值；根据所述各个应用程序的哈希值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

9、根据权利要求1-8任一项所述基于可信根度量进行应用程序的行为权限分配方法，其特征在于，所述确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限，包括：

确定所述实时行为数据与所述可信行为数据的匹配度；

若所述匹配度大于设定的匹配度阈值，则为所述任一应用程序分配可调用tee环境api接口的行为权限。

10、一种计算机存储介质，其特征在于，所述计算机存储介质上存储有被执行时执行权利要求1-9任一项所述基于可信根度量进行应用程序的行为权限分配方法的计算机软件程序。

11、一种电子设备，其特征在于，包括存储器以及处理器，所述存储器上存储有计算机软件程序，所述处理器运行所述计算机软件程序时执行如下步骤：

根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。

12、根据权利要求11所述电子设备，其特征在于，所述处理器在根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值之后，还根据计算出的应用程序白名单中各个应用程序的可信值，生成可信度量日志，所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的可信值。

13、根据权利要12所述电子设备，其特征在于，所述处理器在根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库时，对所述可信度量日志进行解析，获得所述各个应用程序启动过程中调用的文件以及对应的可信值，以及根据所述各个应用程序启动过程中调用的文件以及对应的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库。

14、根据权利要求11所述电子设备，其特征在于，所述处理器在执行根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库，之前，还根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

15、根据权利要求14所述电子设备，其特征在于，所述处理器在根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，根据设置的静态可信度量模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

16、根据权利要求15所述电子设备，其特征在于，所述处理器在根据设置的静态可信度量模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，在电子设备在上电启动之后，且其应用程序启动之前，对所述应用程序的完整性数据进行哈希运算得到哈希值，根据所述哈希值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

17、根据权利要求11所述电子设备，其特征在于，所述处理器在根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，根据设定的动态度量可信机制，实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

18、根据权利要求14所述电子设备，其特征在于，所述处理器在根据设定的动态度量可信机制，实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，在所述各个应用程序启动之后，对所述各个应用程序的完整性数据进行哈希运算得到操作系统哈希值；对所述电子设备上的应用程序的完整性数据进行哈希运算得到各个应用程序的哈希值；根据所述各个应用程序的哈希值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

19、根据权利要求11-18任一项所述电子设备，其特征在于，所述处理器在确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限时，包括：

确定所述实时行为数据与所述可信行为数据的匹配度；

若所述匹配度大于设定的匹配度阈值，则为所述任一应用程序分配可调用tee环境api接口的行为权限。

20、一种基于可信根度量进行应用程序的管理装置，其特征在于，包括：

规则库形成单元，用于根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

行为数据采集单元，用于实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

行为权限分配单元，确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。

21、一种区块链系统，其特征在于，包括若干个如权利要求11-19任一项所述的电子设备，每个电子设备做为所述区块链系统中的一个区块链节点。

22、根据权利要求21所述区块链系统，其特征在于，对于所述区块链系统中所有电子设备配置有相同的应用程序白名单；或者，对于所述区块链系统中每个电子设备配置有应用程序自定义白名单。

本申请实施例的技术方案中，通过根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；实时采集在所述电子设备上运行的任一应用程序的实时行为数据；确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限，从而可使得被篡改的应用程序无法调用tee环境的api接口，从而保证了单个电子设备的安全，最终保证了应用电子设备的数据系统的安全。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例基于可信根度量进行应用程序的行为权限分配方法流程示意图；

图2为本申请实施例基于可信根度量进行应用程序的行为权限分配方法流程示意图；

图3为本申请实施例基于可信根度量进行应用程序的行为权限分配方法流程示意图；

图4为本申请实施例电子设备的结构示意图；

图5为本申请实施例电子设备的硬件结构示意图；

图6为本申请实施例基于可信根度量进行应用程序的管理装置的结构示意图；

图7为本申请区块链系统的架构示意图；

图8为本申请实施例计算机存储介质的示意图。

具体实施方式

实施本申请实施例的任一技术方案必不一定需要同时达到以上的所有优点。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本申请实施例基于可信根度量进行应用程序的行为权限分配方法流程示意图；如图1所示，其包括：

s101、根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

本实施例中，对电子设备上的所有应用程序的运行状态进行监控获得所有应用程序历史运行的情况，根据历史运行情况建立白名单，使得运行状态一致正常或者一致未被篡改获得应用程序记录在白名单中，白名单中具体可以记录应用程序的名称、执行路径、运行时调用的库文件、可执行文件等等。

本实施例中，直接通过可信值来反映应用程序的可信程度，当然这种可信程度仅仅是一种相对表示并非绝对表示。

本实施例中，可信行为数据包括了白名单上的应用程序运行时的函数调用关系、库文件调用关系以及可执行文件的运行状态信息等等。

本实施例中，每个应用程序的区块链链节点的可信行为数据可以有多个，这些可信行为数据可以键值对的方式存储，或者以列表的方式存储，只要可以建立起应用程序和可信行为数据的对应关系即可。

本实施例中，在形成可信行为数据规则库中，可以以列表的形式形成，也可以树结构的形式形成，只要能建立起每个应用程序和可信行为数据的对应关系，以及不同应用程序对应的可信行为数据之间能相互区别即可。

s102、实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

本实施例中，应用程序的实时行为数据具体存储在实时行为日志中，通过对该实时行为日志进行解析，从中采集任一应用程序的实时行为数据，实时行为数据包括了应用程序运行时的函数调用关系、库文件调用关系以及可执行文件的运行状态信息等等。

s103、确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。

本实施例中，可以通过直接比对实时行为数据与所述可信行为数据，从而确定匹配度。进一步地，可以根据所述实时行为数据与所述可信行为数据，分别生成一图结构，通过图结构的直接比对，从而确定匹配度。匹配度越大，分配的行为权限越高。本实施例中，行为权限可以定义应用程序可调用其他库文件或者可执行文件的级别，行为权限越大，调用库文件或者可执行文件的级别越高，反之，则越小。

图2为本申请实施例基于可信根度量进行应用程序的行为权限分配方法流程示意图；如图2所示，其包括：

s201、根据计算出的应用程序白名单中各个应用程序的可信值，生成可信度量日志，所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的可信值。

s202、根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

可选地，步骤s202中根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库，可以包括：

s212、对所述可信度量日志进行解析，获得所述各个应用程序启动过程中调用的文件以及对应的可信值；

s222、根据所述各个应用程序启动过程中调用的文件以及对应的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库。

本实施例中，同时基于调用的文件本身以及对应哈希值确定可信行为数据，可以使得确定出的可信行为数据更加全面以及准确，从而使得形成的可信行为数据规则库更加有效。

s203、实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

s204、确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。

本实施例中，步骤s203-204可参见上述相关实施例记载。

图3为本申请实施例基于可信根度量进行应用程序的行为权限分配方法流程示意图；如图3所示，其包括：

s301、根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

可选地，在所述根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，可以根据设置的静态可信度量模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

进一步地，所述根据设置的静态可信度量模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值，可以包括：在电子设备在上电启动之后，且其应用程序启动之前，对所述应用程序的完整性数据进行哈希运算得到哈希值，根据所述哈希值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

可替代地，所述根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值可以包括：根据设定的动态度量可信机制，实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

可选地，所述根据设定的动态度量可信机制，实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值，包括：在所述各个应用程序启动之后，对所述各个应用程序的完整性数据进行哈希运算得到操作系统哈希值；对所述电子设备上的应用程序的完整性数据进行哈希运算得到各个应用程序的哈希值；根据所述各个应用程序的哈希值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

本实施例中，所述完整新数据可以包括可执行文件以及库文件，所述执行文件和库文件以动态列表的形式进行存储，以动态地对所述可执行文件和库文件进行更新。所述执行文件和库文件可以关联于系统引导、配置参数等。

具体地，所述可执行文件和库文件可以为对可信值计算影响最大的文件，所述可执行文件和库文件可以分别由多个，对该多个可执行文件和库文件分别计算可信值从而得到多个可信值，对该多个可信值进行统计计算从而得到一个最终的可信值作为应用程序的可信值。该可信值大小用于反映这些可执行文件、库文件是否是按照正常的方式运行。

上述进行哈希处理得到哈希值，该哈希值与可执行文件以及库文件没有被篡改或者异常执行时进行哈希处理得到标准哈希值进行比对，可信值来标识按照与标准哈希值的远近，距离越近，则对应的应用程序约可靠或者可信。

具体地，可以以可执行文件以及库文件的执行路径为单位进行度量，即，对处于同一条执行路径上的可执行文件以及库文件同时进行哈希处理，从而减少可信度量所消耗的时间，进一步提高了可信度量的效率。

示例性地，比如，计算可信值时具体可以通过将可执行文件以及库文件的信为迹、行为度量信息基带入到行为动作函数中进行拓展处理得到，该计算可信值的过程可以基于硬件实现或者基于软件方式实现。

s302、根据计算出的应用程序白名单中各个应用程序的可信值，生成可信度量日志，所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的可信值。

s303、对所述可信度量日志进行解析，获得所述各个应用程序启动过程中调用的文件以及对应的可信值；根据所述各个应用程序启动过程中调用的文件以及对应的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

s304、实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

s305、确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。

本实施例中，与上述图1实施例相同的步骤，在此不再赘述。

图4为本申请实施例电子设备的结构示意图；如图4所示，所述电子设备包括存储器401以及处理器402，所述存储器上存储有计算机软件程序，所述处理器运行所述计算机软件程序时执行如下步骤：

根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。

可选地，在本申请一实施例中，所述处理器在根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值之后，还根据计算出的应用程序白名单中各个应用程序的可信值，生成可信度量日志，所述可信度量日志记录有所述各个应用程序启动过程中调用的文件以及对应的可信值。

可选地，在本申请一实施例中，所述处理器在根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库时，对所述可信度量日志进行解析，获得所述各个应用程序启动过程中调用的文件以及对应的可信值，以及根据所述各个应用程序启动过程中调用的文件以及对应的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库。

可选地，在本申请一实施例中，所述处理器在执行根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库，之前，还根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

可选地，在本申请一实施例中，所述处理器在根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，根据设置的静态可信度量模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

可选地，在本申请一实施例中，所述处理器在根据设置的静态可信度量模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，在电子设备在上电启动之后，且其应用程序启动之前，对所述应用程序的完整性数据进行哈希运算得到哈希值，根据所述哈希值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

可选地，在本申请一实施例中，所述处理器在根据设定的可信计算模型，计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，根据设定的动态度量可信机制，实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

可选地，在本申请一实施例中，所述处理器在根据设定的动态度量可信机制，实时计算应用程序白名单中各个应用程序在电子设备上运行时的可信值时，在所述各个应用程序启动之后，对所述各个应用程序的完整性数据进行哈希运算得到操作系统哈希值；对所述电子设备上的应用程序的完整性数据进行哈希运算得到各个应用程序的哈希值；根据所述各个应用程序的哈希值计算应用程序白名单中各个应用程序在电子设备上运行时的可信值。

可选地，在本申请一实施例中，所述处理器在确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限时，包括：

确定所述实时行为数据与所述可信行为数据的匹配度；

若所述匹配度大于设定的匹配度阈值，则为所述任一应用程序分配可调用tee环境api接口的行为权限。

图5为本申请实施例电子设备的硬件结构示意图；如图5所示，该电子设备的硬件结构可以包括：处理器501，通信接口502，计算机可读介质503和通信总线504；

其中，处理器501、通信接口502、计算机可读介质503通过通信总线504完成相互间的通信；

可选的，通信接口502可以为通信模块的接口，如gsm模块的接口；

其中，处理器501具体可以配置为运行存储器上存储的计算机软件程序，从而执行上述任一方法实施例的所有处理步骤或者其中部分处理步骤。

处理器501可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本申请实施例的电子设备以多种形式存在，包括但不限于:

(1)移动通信设备:这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备:这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括:pda、mid和umpc设备等，例如ipad。

(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器:提供计算服务的设备，服务器的构成包括处理器710、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子装置。

图6为本申请实施例基于可信根度量进行应用程序的管理装置的结构示意图；如图6所示，其包括：

规则库形成单元601，用于根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

行为数据采集单元602，用于实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

行为权限分配单元603，确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。

图7为本申请区块链系统的架构示意图；如图7所示，区块链系统包括若干个如本申请任一实施例中记载的电子设备，每个电子设备做为所述区块链系统中的一个区块链节点701，对于所述区块链系统中所有电子设备配置有相同的应用程序白名单；或者，对于所述区块链系统中每个电子设备配置有应用程序自定义白名单。

对于所述区块链系统中所有电子设备配置有相同的应用程序白名单的情形，可以使用上述图1-图7的实施例，而对于所述区块链系统中每个电子设备配置有应用程序自定义白名单，区块链系统中的所有电子设备按照设定的共识算法对所有的应用程序自定义白名单进行共识处理，在建立可信行为数据规则库时，基于被所有电子设备共识过的应用程序可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，从而使得在区块链系统内部建立统一的可信行为数据规则库，提高了应用程序管理的效率。

此处，需要说明的是，在所述电子设备上运行的任一应用程序可能为白名单中的应用程序，也可以不是白名单中的应用程序，为此，实际上，由于白名单中的应用程序是可信的，其对应的行为数据也是可信的，即能得到可信行为数据，当其他非白名单中的应用程序运行时，以所述可信行为数据为参考，可以快速地确定出实时行为数据与可信行为数据的匹配对。若所述任一应用程序是白名单中的应用程序，但实际上，其也有可能被篡改，因此，在被篡改的情形中，对应的实时行为数据与所述可信行为规则库中的每一可信行为数据也会存在匹配度，反之，若未被篡改，因此，对应的实时行为数据与所述可信行为规则库中的一可信行为数据完全匹配，即匹配度可视为100％。

图8为本申请实施例计算机存储介质的示意图；如图8所示，所述计算机存储介质上存储有被执行时执行本申请任一所述基于可信根度量进行应用程序的行为权限分配方法的计算机软件程序，基于可信根度量进行应用程序的行为权限分配方法主要包括如下步骤：

根据应用程序白名单中各个应用程序的可信值，确定运行所述各个应用程序的电子设备的多个可信行为数据，以形成可信行为数据规则库；

实时采集在所述电子设备上运行的任一应用程序的实时行为数据；

确定所述实时行为数据与所述可信行为数据的匹配度，以根据所述匹配度为所述任一应用程序分配行为权限。特别地，根据本公开的实施例，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分从网络上被下载和安装，和/或从可拆卸介质被安装。在该计算机程序被处理单元(cpu)执行时，执行本申请的方法中限定的上述功能。需要说明的是，本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机存储介质或者是上述两者的任意组合。计算机存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如”c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

需要说明的是，本说明书中的各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备及系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块提示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本申请的一种具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。