[发明专利]一种工控主机安全存储验证方法及系统

权利要求书

1.一种工控主机安全存储验证系统，其特征在于，包括以下结构模块：

安装于工控主机上的安全存储接口和独立于工控主机的安全存储终端；

所述安全存储接口包括安全存储接口配置模块、安全存储接口系统服务模块、和安全存储接口内核模块；

所述安全存储终端包括安全芯片访问接口模块、和安全芯片模块、存储私密区访问接口模块和存储私密区模块；

所述安全存储接口内核模块负责与所述安全存储终端通信，负责数据的写入和读出；

所述安全芯片模块、存储私密区模块分别通过安全芯片访问接口模块、存储私密区访问接口模块与安全存储接口内核模块通信；所述存储私密区模块使用安全芯片内置算法对敏感信息加密存储；所述安全芯片模块空间较小，其中存储安全权限数据、安全策略配置和其它敏感信息；所述存储私密区模块空间较大，其中存储白名单数据、软件安装包、和软件授权信息。

2.根据权利要求1所述的工控主机安全存储验证系统，其特征在于：

所述安全存储终端采用U盘或者CF卡。

3.根据权利要求1所述的一种工控主机安全存储验证系统的验证方法，其特征在于，包括以下步骤：

S1)安装：进行白名单系统敏感信息安全存储验证；

S2)建立白名单策略：用以产生新的白名单数据；

S3)授权：白名单系统的卸载、修改安全配置、修改用户权限、导出配置信息；

所述步骤S1)具体包括以下步骤：

S11)将安全存储终端插入工控主机；

S12)安装引导程序调用安全存储接口系统服务模块的输入安装授权接口，输入安装鉴权信息；

S13)安全存储接口系统服务模块将信息传递给安全存储接口内核模块；

S14)安全存储接口内核模块调用安全芯片访问接口模块，传递安装鉴权信息；

S15)安全芯片模块调用安全权限数据，判断安装鉴权信息是否合规；

S16)安全存储接口内核模块收到安全芯片模块判断鉴权信息是否合规的信息，如果不合规则反馈失败给安装引导程序，合规则进行下一步；

S17)安全存储接口内核模块通知存储私密区访问接口模块获取软件包及授权信息；

S18)存储私密区模块，调用安全芯片模块的解密算法，将存储私密区保存的软件包及授权信息解密，并传回给安装引导程序；

S19)安装引导程序执行软件包的安装过程；

所述步骤S2)具体包括以下步骤：

S21)将安全存储终端插入工控主机；

S22)白名单程序调用安全存储接口系统服务模块，将白名单数据传入；

S23)安全存储接口系统服务模块调用安全存储接口内核模块，将白名单数据传入；

S24)安全存储接口内核模块调用存储私密区访问接口模块，将白名单数据传入；

S25)存储私密区访问接口模块调用存储私密区模块，将白名单数据传入；

S26)存储私密区模块使用安全芯片模块的对称密码算法，将白名单数据加密，并存储到存储私密区的指定位置；

S27)存储私密区模块维护白名单数据的存储信息；

所述步骤S3)具体包括以下步骤：

S31)将安全存储终端插入工控主机；

S32)白名单程序调用安全存储接口系统服务模块，将鉴权信息传入；

S33)安全存储接口系统服务模块调用安全存储接口内核模块，将鉴权信息传入；

S34)安全存储接口内核模块调用安全芯片访问接口模块，将鉴权信息传入；

S35)安全芯片访问接口模块将鉴权信息传给安全芯片模块；

S36)安全芯片模块执行鉴权操作，根据安全芯片模块中存储的安全权限数据确定鉴权结果；

S37)安全芯片模块将鉴权结果一层层返回给白名单程序。