(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210333633.9 (22)申请日 2022.03.30 (71)申请人 全球能源互联网研究院有限公司南 京分公司 地址 210003 江苏省南京市 鼓楼区南瑞路8 号 申请人 国网河南省电力公司 　 国网河南省电力公司电力科 学研究 院　 国网新疆电力有限公司 　 国家电网有限公司 (72)发明人 费稼轩　吕卓　姚启桂　张小建　 陈涛　石聪聪　郭志民　仇慎健　 袁涛　王斌　陈佳　杨文　张铮　 李鸣岩　郭骞　(74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 林韵英 (51)Int.Cl. G06F 9/445(2018.01) G06F 21/57(2013.01) (54)发明名称 智能终端容器安全策略动态变更的方法、 装 置及电子设备 (57)摘要 本发明实施例涉及智能终端容器安全策略 动态变更的方法、 装置及电子设备， 包括： 容器启 动器附加模块配置在容器启动器中， 用于当启动 器启动时， 检查容器内可执行程序符合表， 用以 挂载安全策略动态变更模块到容器内； 安全策略 动态加载模块， 用于接收安全策略变更指令， 根 据安全策略变更指令， 对安全策略动态变更模块 所在位置中的对应安全策略配置进行修改， 并向 安全策略动态变更模块下发安全 策略重载指令； 安全策略动态变更模块， 用于接收安全策略重载 指令， 及读取的所在位置中的对应安全策略配 置， 并基于安全策略重载指令和安全策略配置， 实现安全策略重载。 可用于零信任等需要根据对 容器内应用程序行为的实时监测结果改变其安 全策略配 置的场合。 权利要求书2页 说明书8页 附图3页 CN 114780168 A 2022.07.22 CN 114780168 A 1.一种智能终端容器安全策略动态变更的装置， 其特征在于， 所述装置包括： 容器启动 器附加流 程模块、 安全策略动态加载模块及安全策略动态变更模块； 所述容器启动器附加模块配置在容器启动器中， 用于当启动器启动 时， 检查容器内可 执行程序符合表， 用以挂载 所述安全策略动态变更模块到容器内； 所述安全策略动态加载模块， 用于接收安全策略变更指令， 并根据所述安全策略变更 指令， 对所述安全策略动态变更模块所在位置中的对应安全策略配置进行修改， 并向所述 安全策略动态变更模块下发安全策略重载指令； 所述安全策略动态变更模块， 用于接收所述安全策略重载指令， 及读取的所在位置中 的对应安全策略配置， 并基于所述安全策略重载指令和所述安全策略配置， 实现安全策略 重载。 2.根据权利要求1所述的装置， 其特征在于， 所述容器启动附加模块， 还用于修改容器 内动态链接库配置， 用以确定所述安全策略动态变更模块的动态链接顺序先于容器内的C 库的动态 链接顺序。 3.根据权利要求1所述的装置， 其特征在于， 所述安全策略动态变更模块， 还用于通过 应用程序C库入口点钩子， 在应用程序启动的初始阶段获得进程执 行控制权 。 4.根据权利要求1所述的装置， 其特征在于， 所述安全策略动态变更模块， 还用于在实 现安全策略重载后， 将进程执 行控制权交还给应用程序C库入口点。 5.一种智能终端容器安全策略动态变更的方法， 其特征在于， 所述方法应用于如权利 要求1‑4任一项所述的装置， 包括以下步骤： 当启动器启动 时， 容器启动器附加模块检查容器内可执行程序符合表， 用以挂载所述 安全策略动态变更模块到容器内； 安全策略动态变更模块接收安全策略变更指令， 并根据所述安全策略变更指令， 对所 述安全策略动态变更模块所在位置中的对应安全策略配置进 行修改， 并向所述安全策略动 态变更模块下发安全策略重载指令； 安全策略动态变更模块接收所述安全策略重载指令， 并读取的所在位置 中的对应安全 策略配置， 并基于所述 安全策略重载指令和所述 安全策略配置， 实现安全策略重载。 6.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 所述容器启动器附加模块修改容器 内动态链接库配置， 用以确定所述安全策略动态变 更模块的动态 链接顺序先于容器内的C库的动态 链接顺序。 7.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 所述安全策略动态变更模块通过应用程序C库入口点钩子， 在应用程序启动的初始阶 段获得进程执 行控制权 。 8.根据权利要求5所述的方法， 其特征在于， 在实现安全策略重载之后， 所述方法还包 括： 所述安全策略动态变更模块将进程执 行控制权交还给应用程序C库入口点。 9.一种电子设备， 其特征在于， 包括处理器、 通信接口、 存储器和通信总线， 其中， 处理 器， 通信接口， 存 储器通过通信总线完成相互间的通信； 存储器， 用于存放计算机程序； 处理器， 用于执行存储器上所存放的程序时， 实现权利要求5 ‑8任一项所述的智能终端权　利　要　求　书 1/2 页 2 CN 114780168 A 2容器安全策略动态变更的方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求5 ‑8任一项所述的智能终端容器安全策略动态变更的方法 的步骤。权　利　要　求　书 2/2 页 3 CN 114780168 A 3