[发明专利]对电力控制系统中应用程序提供安全防护的方法及装置

权利要求书

1.一种对电力控制系统中应用程序提供安全防护的方法，其特征在于，所述方法包括：

为应用程序创建应用域，所述应用域至少包括：应用进程和所述应用进程对应的应用资源，所述应用资源包括所述应用程序的私有资源和多个所述应用程序之间可相互共享的公共资源；

在所述应用域中创建虚拟化隔离模型，所述虚拟化隔离模型用于将所述应用域划分成可信域和非可信域，在所述可信域中存储可信进程和所述应用程序的私有资源；

在所述应用域中创建所述公共资源对应的镜像文件；

响应于在已启动的目标应用程序上进行的操作，利用所述可信进程访问所述私有资源获以及利用所述可信进程访问所述镜像文件进行操作，以返回指定数据信息。

2.根据权利要求1所述的方法，其特征在于，在基于所述已启动的目标应用程序执行操作之前，所述方法还包括：

响应于启动所述目标应用程序的请求，判断所述目标应用程序是否在预置可执行列表中；

若否，则禁止启动所述目标应用程序；

若是，则利用预置可信度量机制对所述目标应用程序的可执行文件进行校验；若通过校验，则启动所述目标应用程序。

3.根据权利要求2所述的方法，其特征在于，所述利用预置可信度量机制对所述目标应用程序的可执行文件进行校验，包括：

计算所述目标应用程序的可执行文件对应的特征值；

校验所述特征值是否与基准值一致，所述基准值为上一个周期计算并存储的所述目标应用程序的可执行文件对应的特征值。

4.根据权利要求1所述的方法，其特征在于，所述在所述应用域中创建所述公共资源对应的镜像文件，包括：

将所述公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；

基于所述文件对应的所述树状结构，进行公共资源的虚拟化处理，得到所述公共资源对应的镜像文件。

5.一种对电力控制系统中应用程序提供安全防护的装置，其特征在于，所述装置包括：

第一创建单元，用于为应用程序创建应用域，所述应用域至少包括：应用进程和所述应用进程对应的应用资源，所述应用资源包括所述应用程序的私有资源和多个所述应用程序之间可相互共享的公共资源；

第二创建单元，用于在所述应用域中创建虚拟化隔离模型，所述虚拟化隔离模型用于将所述应用域划分成可信域和非可信域，在所述可信域中存储可信进程和所述应用程序的私有资源；

第三创建单元，用于在所述应用域中创建所述公共资源对应的镜像文件；

执行单元，用于响应于在已启动的目标应用程序上进行的操作，利用所述可信进程访问所述私有资源获以及利用所述可信进程访问所述镜像文件进行操作，以返回指定数据信息。

6.根据权利要求5所述的装置，其特征在于，在基于所述已启动的目标应用程序执行操作之前，所述装置还包括：

判断单元，用于响应于启动所述目标应用程序的请求，判断所述目标应用程序是否在预置可执行列表中；

禁止单元，用于若确定所述目标应用程序不在预置可执行列表中，则禁止启动所述目标应用程序；

校验单元，用于若确定所述目标应用程序在预置可执行列表中，则利用预置可信度量机制对所述目标应用程序的可执行文件进行校验；

启动单元，用于若通过校验，则启动所述目标应用程序。

7.根据权利要求6所述的装置，其特征在于，所述校验单元包括：

计算模块，用于计算所述目标应用程序的可执行文件对应的当前特征值；

校验模块，用于校验所述当前特征值是否与基准值一致，所述基准值为计算并存储的所述目标应用程序的可执行文件对应的预置特征值。

8.根据权利要求5所述的装置，其特征在于，所述第三创建单元包括：

表征模块，用于将所述公共资源所包含的各个文件表征为由索引节点和目录项组成的树状结构；

处理模块，用于基于所述文件对应的所述树状结构，进行公共资源的虚拟化处理，得到所述公共资源对应的镜像文件。