[发明专利]一种工控主机安全存储验证方法及系统

说明书

本发明提出了一种工控主机安全存储验证系统，包括安全存储终端和安全存储接口，所述安全存储终端包括安全芯片模块、安全芯片访问接口模块、存储私密区模块和存储私密区访问接口模块，所述安全存储接口包括安全存储接口配置模块、安全存储接口系统服务模块和安全存储接口内核模块。本发明还提供了相应的工控主机安全存储验证方法。该系统和方法有效的解决了工控主机敏感信息的自身安全问题，同时提高了工控主机白名单系统的可靠性，其用于工控主机白名单产品。

技术领域

本发明涉及一种工控主机安全存储验证方法及系统，用于工控主机安防领域。

背景技术

因为防病毒软件会误报工控系统为病毒，因此在工控主机应用白名单机制来保障自身免受病毒、恶意代码的侵害。

工控主机敏感信息主要包括白名单系统安装包、白名单系统权限信息和工控程序的白名单数据。

现有的技术方案是使用U盘安装白名单系统；使用用户名/密码方式进行权限管理，将权限数据放在工控主机的通用数据库(例如：MySql)中；而白名单数据也是保存在工控主机的通用数据库(例如：MySql)中。

现有技术方案的缺点：

1、使用U盘作为安装存储介质。信息裸露存储，易被恶意修改，作为攻击跳板，将攻击引入工控主机。

2、权限通过用户名/密码方式实现，安全程度底，存在口令泄露的风险，且操作员身份无法和实际用户绑定。

3、权限数据和白名单数据直接保存在通用数据库中。攻击目标明确，存在长期攻击后，数据泄露的风险。

总体说，现有方案是对工控主机安全信息存储的一种简单方法，存在较多的安全隐患。

发明内容

本发明提出一种工控主机安全存储验证方法及系统，应用于工控主机白名单产品，有效的解决了工控主机敏感信息的自身安全问题，同时提高了工控主机白名单系统的可靠性。

本发明的技术方案是这样实现的：

本发明首先提供一种工控主机安全存储验证系统，包括以下结构模块：

安装于工控主机上的安全存储接口和独立于工控主机的安全存储终端；

所述安全存储接口包括安全存储接口配置模块、安全存储接口系统服务模块、和安全存储接口内核模块；

所述安全存储终端包括安全芯片访问接口模块、和安全芯片模块、存储私密区访问接口模块和存储私密区模块；

所述安全存储接口内核模块负责与所述安全存储终端通信，负责数据的写入和读出；

所述安全芯片模块、存储私密区模块分别通过安全芯片访问接口模块、存储私密区访问接口模块与安全存储接口内核模块通信。

上述技术方案中，所述安全存储接口是安装于工控主机上的驱动服务程序。

上述技术方案中，所述安全存储终端是独立于工控主机的一个设备，可以采用定制的U盘、CF卡等移动存储介质。

所述安全存储接口中，安全存储接口内核模块为核心，其中安全存储接口内核模块是核心，它负责与所述安全存储终端通信，负责数据的写入和读出。

所述安全存储接口配置模块提供对内核存储接口的配置能力，支持功能的定制化。

因为安全存储接口内核模块不在用户态，第三方应用不方便调用，因此提供安全存储接口系统服务模块，由它封装接口调用，并提供给第三方应用调用。

上述技术方案中，根据数据的敏感级别的不同，在安全存储终端中提供两类不同的存储空间，安全芯片模块和存储私密区模块。