具体实施方式

为了保障加固软件的防护功能，本申请实施例提供了一种软件安装方法、装置、电子设备及存储介质，该软件安装方法、装置、电子设备及存储介质可在加固软件防护功能不中断的情况下完成软件安装。

首先，为了更直观地理解本申请实施例提供的方案，下面结合图1，对本申请实施例提供的软件安装方案的系统架构进行说明。

如图1所示，是本申请一个或多个实施例提供的软件安装方法、装置、电子设备及存储介质的应用环境示意图。如图1所示，安全管理中心分别与加固主机和第三方主机通信连接以进行数据交互或通信，所述加固主机上安装有加固软件，用于对系统进行全方位的防护。所述安全管理中心用于对与之通信的主机进行统一管理，负责给主机下发软件安装策略、接收主机上报的各种日志等，所述第三方主机可用于提取待安装的安装包的校验值并发送给安全管理中心，以便安全管理中心下发相应的软件安装策略。

下面将对本申请实施例提供的软件安装方法进行详细说明。

本申请实施例提供的软件安装方法可应用于加固主机。为便于描述，除特别说明外，本申请实施例均以加固主机为执行主体进行说明。

可以理解，所述执行主体并不构成对本申请实施例的限定。

如图2所示，本申请实施例提供的软件安装方法可以包括如下步骤：

步骤S201，接收安全管理中心下发的软件安装策略，所述软件安装策略记录有可信的安装包的校验值。

本申请实施例中，安全管理中心可用于对与之通信的主机进行统一管理，负责给主机下发软件安装策略。

为了不改变用户的安装操作形式，且在整个安装过程中加固主机上的加固软件一直处于正常工作的防护状态，安全安全管理中心可提取可信安装包的校验值，并基于提取的校验值生成一软件安装策略下发给加固主机，该软件安装策略中记录有可信的安装包的校验值。

其中，可信安装包的校验值可以是由安全管理中心直接计算得到，也可以由与安全管理中心通信连接第三方主机发送而来，本申请实施例中不做具体限定。例如，当加固主机从第三方主机拷贝一软件安装包时，则可由第三方主机计算出该软件安装包的校验值（该校验值为一哈希值），并将计算出的校验值发送给安全管理中心，此时安全管理中心可基于第三方主机发送的校验值生成软件安装策略并发送给加固主机。

在一个或多个实施例中，所述软件安装策略还记录有可信的安装包的可信期限，即在该可信期限内所述软件安装策略中所记录校验值所对应的安装包为可信的，在该可信期限外所述软件安装策略中所记录校验值所对应的安装包则为不可信的。该可信期限可根据实际情况设定，本申请实施例中不做具体限定。

步骤S202，当待安装的目标安装包启动运行时，基于目标安装包的校验值和软件安装策略，确定目标安装包是否可信。

加固主机端的用户启动运行目标安装包进行软件安装时，加固主机可计算出该目标安装包的校验值，并将该目标安装包的校验值与软件安装策略中所记录的校验值进行比较，如果目标安装包的校验值与软件安装策略中所记录的校验值一致，则判定该目标安装包可信，执行步骤S203。如果目标安装包的校验值与软件安装策略中所记录的校验值不一致，则判定目标安装包不可信，结束安装流程。

其中，所述目标安装包可以是，但不限于exe文件或msi文件。

需要说明的是，如果软件安装策略还记录有可信的安装包的可信期限，则在判断目标安装包的校验值与软件安装策略中所记录的校验值一致是否时，还需要将当前时间与可信期限进行比较，判断当前时间是否处于该可信期限内。如果目标安装包的校验值与所述软件安装策略中记录的校验值一致且当前时间处于所述可信期限内，才会判定目标安装包可信，否则判定目标安装包不可信。

步骤S203，如果目标安装包可信，则将目标安装包设置为可信任文件，并将目标安装包所请求访问的端口设置为可信任端口。

如果判断结果为目标安装包可信，则加固主机可将该目标安装包设置为可信任文件，允许新增文件、修改文件、删除文件、修改注册表等操作。即加固主机上的加固软件不会对目标安装包安装过程中的新增文件、修改文件、删除文件、修改注册表等操作进行拦截。同时，由于在软件安装过程中，可能会向网络内特定主机的特定端口发送信息或文件，如软件安装时请求注册信息服务等，因此加固主机还会将目标安装包所请求访问的端口设置为可信任端口，即加固主机上的加固软件不会对目标安装包安装过程中所请求访问的端口进行拦截。如此，在目标安装包安装过程中，加固软件仅放行与目标安装包相关的操作，而加固软件的其他防护功能仍然有效，能够在确保加固软件防护功能不中断的情况下完成软件安装，保障系统安全。

可以理解的，如果软件安装策略记录有可信的安装包的可信期限，则在将目标安装包设置为可信任文件以及将目标安装包所请求访问的端口设置为可信任端口时，还可根据软件安装策略记录的可信期限设置目标安装包的可信期限以及目标安装包所请求访问的端口的可信期限。

软件安装包在安装时，可能是直接进行安装，也可能会释放出一些可执行文件。如果目标安装包在运行过程中释放出可执行文件，则加固主机还可以计算释放出的可执行文件的校验值，并将所述可执行文件的校验值添加至可信任文件库中，其中所述可信任文件库中所记录校验值所对应的文件均为加固软件所信任的文件。如此，在软件安装过程中，不会对安装过程中所释放的可执行文件进行拦截，从而确保目标安装包的顺利安装。

另外，软件安装包在安装时，还可能会调用系统文件，如果目标安装包在运行过程中调用系统文件，则加固主机还可以计算所调用系统文件的校验值，并将系统文件的校验值加至可信任文件库中。如此，在软件安装过程中，不会对调用的系统文件进行拦截，进一步确保目标安装包的顺利安装。

综上所述，本申请实施例提供的软件安装方法，通过在待安装的目标安装包启动运行时，基于目标安装包的校验值和软件安装策略，确定目标安装包是否可信，并在目标安装包可信时将目标安装包设置为可信任文件，并将目标安装包所请求访问的端口设置为可信任端口。如此，在目标安装包安装过程中，加固软件仅放行与目标安装包相关的操作，而加固软件的其他防护功能仍然有效，能够在确保加固软件防护功能不中断的情况下完成软件安装，保障系统安全。同时，在软件安装过程中，可计算释放出的可执行文件的校验值，并将可执行文件的校验值添加至可信任文件库中，从而确保目标安装包的顺利安装。另外，在软件安装过程中，如果需要调用系统文件，还可以计算所调用系统文件的校验值，并将系统文件的校验值加至可信任文件库中，进一步确保目标安装包的顺利安装。

图3是本申请的一个实施例提供的电子设备的结构示意图。请参考图3，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器（non-volatile memory），例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是ISA(Industry Standard Architecture，工业标准体系结构）总线、PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构）总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成软件安装装置。处理器，执行存储器所存放的程序，并具体用于执行以下操作：

接收安全管理中心下发的软件安装策略，所述软件安装策略记录有可信的安装包的校验值；

当待安装的目标安装包启动运行时，基于所述目标安装包的校验值和所述软件安装策略，确定所述目标安装包是否可信；

如果是，则将所述目标安装包设置为可信任文件，并将所述目标安装包所请求访问的端口设置为可信任端口。

上述如本申请图3所示实施例揭示的软件安装装置执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器（Central Processing Unit，CPU）、网络处理器（Network Processor，NP）等；还可以是数字信号处理器（Digital SignalProcessor，DSP）、专用集成电路（Application Specific Integrated Circuit，ASIC）、现场可编程门阵列（Field－Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请一个或多个实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请一个或多个实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

该电子设备还可执行图2的方法，并实现软件安装装置在图3所示实施例的功能，本申请实施例在此不再赘述。

当然，除了软件实现方式之外，本申请的电子设备并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

本申请实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图2所示实施例的方法，并具体用于执行以下操作：

接收安全管理中心下发的软件安装策略，所述软件安装策略记录有可信的安装包的校验值；

当待安装的目标安装包启动运行时，基于所述目标安装包的校验值和所述软件安装策略，确定所述目标安装包是否可信；

如果是，则将所述目标安装包设置为可信任文件，并将所述目标安装包所请求访问的端口设置为可信任端口。

图4是本申请的一个实施例提供的软件安装装置的结构示意图。请参阅图4，在一种软件实施方式中，软件安装装置包括：

接收单元，用于接收安全管理中心下发的软件安装策略，所述软件安装策略记录有可信的安装包的校验值；

确定单元，用于当待安装的目标安装包启动运行时，基于所述目标安装包的校验值和所述软件安装策略，确定所述目标安装包是否可信；

设置单元，用于当所述目标安装包可信时，则将所述目标安装包设置为可信任文件，并将所述目标安装包所请求访问的端口设置为可信任端口。

在一个可能的设计中，软件安装装置还包括：

计算单元，用于如果所述目标安装包在运行过程中释放出可执行文件，则计算所述可执行文件的校验值；

添加单元，用于并将所述可执行文件的校验值添加至可信任文件库中；

其中，所述可信任文件库中所记录校验值所对应的文件均为加固软件所信任的文件。

总之，以上所述仅为本文件的较佳实施例而已，并非用于限定本文件的保护范围。凡在本文件的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本文件的保护范围之内。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

本文件中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。