[发明专利]一种应用程序可信编译及运行方法

说明书

本发明公开了一种应用程序可信编译及运行方法，包括以下步骤：将初始应用程序和特征码融合形成应用程序；使用用户私钥证书，通过SM3算法对应用程序进行计算得到第一Hash签名值；将应用程序、第一Hash签名值及可信标记融合形成可信可执行程序；使用用户公钥证书，通过SM3算法对可信可执行程序中应用程序进行计算得到第二Hash签名值，并将第一Hash签名值与第二Hash签名值进行比较，如果两者不一致则拒绝运行可信可执行程序，如果两者一致则将可信可执行程序分解后运行其中的应用程序。本发明提供的一种应用程序可信编译及运行方法，从源头编译时加强对程序可信的保证，到最终运行时加强对程序可信的校验，能够全面提升系统的可信免疫能力。

技术领域

本发明具体涉及一种应用程序可信编译及运行方法，属于电力系统网络安全技术领域。

背景技术

随着移动互联网、大数据、云计算、人工智能等新一代信息技术的快速发展，围绕网络和数据的服务与应用呈现爆发式增长，丰富的应用场景下暴露出越来越多的网络安全风险和问题，并在全球范围内产生广泛而深远的影响。针对电力系统的网络安全攻击也多次出现，系统及应用程序被恶意篡改的情况屡见不鲜，可能直接导致系统宕机及核心应用程序失效，从而使电力系统面临严峻的安全问题。

目前应用程序的编译和运行没有任何的可信安全防护措施，程序编译后可以在相应的平台上直接运行。应用程序被恶意篡改或者植入病毒后依然没有任何的校验机制，因此会给系统带来很大的安全隐患。

发明内容

本发明要解决的技术问题是，克服现有技术的缺陷，提供一种能够从源头编译时加强对程序可信的保证，全面提升系统的可信免疫能力的应用程序可信编译方法；进一步地，提供一种能够在程序最终运行时加强对程序可信的校验的应用程序可信运行方法。

为解决上述技术问题，本发明采用的技术方案为：

第一方面，本发明提供一种应用程序可信编译方法，由可信编译器执行，所述方法包括以下步骤：

将应用程序源码进行编译得到初始应用程序；

计算初始应用程序的特征码；

将初始应用程序和特征码融合形成应用程序；

使用用户私钥证书，通过SM3算法对应用程序进行计算得到第一Hash签名值；

将应用程序、第一Hash签名值及可信标记融合形成可信可执行程序。

第一Hash签名值计算包括：

读取用户私钥证书，得到私钥pkey值；

将私钥pkey值、用户自定义的id字符串、应用程序内容以及应用程序内容长度作为SM3算法输入，计算得到第一Hash签名值及其长度。

第二方面，本发明提供所述应用程序可信运行方法基于所述应用程序可信编译方法执行，由可信处理器执行，包括以下步骤：

使用用户公钥证书，通过SM3算法对可信可执行程序中应用程序进行计算得到第二Hash签名值，并将第一Hash签名值与第二Hash 签名值进行比较：如果两者不一致，则拒绝运行可信可执行程序；如果两者一致，则将可信可执行程序分解后运行其中的应用程序。

第二Hash签名值计算以及比较第一Hash签名值与第二Hash签名值是否一致包括：

读取用户公钥证书，得到公钥pkey值；

将公钥pkey值、用户自定义的id字符串、应用程序内容、应用程序内容长度以及第一Hash签名值及长度作为SM3算法输入，计算得到第一Hash签名值与第二Hash签名值是否一致的结果(这里 SM3算法的输入包括第一Hash签名值，实际上计算过程包括计算第二Hash签名值以及将第一Hash签名值与第二Hash签名值比较两个步骤，是直接输出比较结果的)。