[发明专利]工业主机环境下的可信程序快速识别方法、设备和系统

说明书

本发明涉及可信程序判断技术领域，公开一种工业主机环境下的可信程序快速识别方法、设备和系统，方法包括打开可执行程序的句柄，判断可执行程序中是否存在现有数字签名，若存在则根据现有数字签名判断可执行程序是否可信；若不存在则判断可执行程序的大小是否大于预设值a，若不大于a则读取可执行程序的完整数据并计算新数字签名，若大于a则读取可执行程序的头尾大小各为b的数据并计算新数字签名，根据新数字签名判断可执行程序是否可信；设备包括存储器、处理器和存储在存储器上并可在处理器上运行的计算机程序；系统包括实现方法中各步骤的模块。本发明可以加快对可执行程序是否可信的判断速度、有效减少CPU和磁盘I/O的消耗。

技术领域

本发明涉及可信程序判断技术领域，尤其是指一种工业主机环境下的可信程序快速识别方法、设备和系统。

背景技术

可信程序是指其可信性能够符合用户期望的程序，在使用这些程序前需要对其的可信性进行识别。现有技术中对可信程序的识别方法通常包括以下几步：第一步、扫描目标主机的所有可执行程序；第二步、逐个提取可执行程序的数字签名数据，并将数字签名数据写入数据库形成白名单程序库，库中所记录的程序被定义为可信程序；第三步、捕捉进程启动事件，提取当前启动进程的数字签名并在白名单数据库中查找该数字签名，如果该数字签名存在则允许当前进程继续执行，否则终止当前进程的执行。

但是，现有的技术方案在项目实施中也存在一些问题。工控主机环境中工控程序的可执行模块所占空间较大，通常有数百兆字节；工控主机环境往往运行着工控设备控制和监控程序，CPU占用率很高，通常在80％以上；工控主机行业软件系统需要由多个进程实现，在业务控制过程中会频繁启动不通的可执行程序。而传统的可信程序的数字签名的提取方法是读取整个可执行程序的所有数据再计算数字签名，这种方法具有磁盘I/O数据量大、计算量大的特性。这些特性在工业主机的环境下会导致较大的目标工控主机性能损失，特别是在某些对性能要求较高的工控主机中，甚至会导致控制程序出现执行异常、数据错误和软件崩溃的现象。

发明内容

为此，本发明所要解决的技术问题在于克服现有技术中的不足，提供一种工业主机环境下的可信程序快速识别方法、设备和系统，可以加快对可执行程序是否可信的判断速度、有效减少CPU和磁盘I/O的消耗。

为解决上述技术问题，本发明提供了一种工业主机环境下的可信程序快速识别方法，包括：

打开可执行程序的句柄，判断可执行程序中是否存在现有数字签名；

若存在则根据现有数字签名判断可执行程序是否可信，若不存在则判断可执行程序的大小是否大于预设值a，

若可执行程序的大小不大于预设值a则读取可执行程序的完整数据并计算新数字签名，若可执行程序的大小大于预设值a则读取可执行程序的头尾大小各为b的数据并计算新数字签名，根据所述新数字签名判断可执行程序是否可信。

在本发明的一个实施例中，所述根据现有数字签名判断可执行程序是否可信，具体为：

使用公钥校验现有数字签名是否合法，若合法则可执行程序可信，若不合法则可执行程序不可信。

在本发明的一个实施例中，所述预设值a的取值范围为5M-15M。

在本发明的一个实施例中，所述b的取值范围为1M-5M。

在本发明的一个实施例中，所述读取可执行程序的完整数据并计算新数字签名，具体为：

将可执行程序的完整数据进行哈希运算得到数字摘要，使用非对称RSA加密算法对所述数字摘要进行加密得到新数字签名。

在本发明的一个实施例中，所述读取可执行程序的头尾大小各为b的数据并计算新数字签名，具体为：