[发明专利]工控主机及其软件升级的方法、装置及移动存储介质

说明书

本发明公开了一种工控主机及其软件升级的方法、装置及移动存储介质，该方法包括：获取本地主机磁盘硬件序列号及移动存储介质加密区存储的通过公钥加密后的硬件信息及配置信息，硬件信息包括磁盘硬件序列号列表，配置信息包括授权时间；获取与公钥配对的私钥；根据私钥对公钥加密后的硬件信息及配置信息进行解密；根据解密后的硬件信息判断本地主机磁盘硬件序列号是否在磁盘硬件序列号列表内；如果本地主机磁盘硬件序列号在磁盘硬件序列号列表内，根据解密后的配置信息判断当前时间是否在授权时间内；如果当前时间在授权时间内，获取移动存储介质通用区存储的软件升级包，并执行预设安全策略；运行软件升级包，对工控主机软件进行升级。

技术领域

本发明涉及工控系统软件安装技术领域，具体涉及一种工控主机及其软件升级的方法、装置及移动存储介质。

背景技术

在工业控制系统(简称工控系统)网络安全实践中，由于工业控制系统的软件和设备更新频率低，进程、通讯和数据相对单一、稳定，工业控制系统对业务的可靠性、连续性有严格要求，因此工业控制环境下的白名单技术被引入进来。尽管工业控制系统的软件和设备更新频率低，但也避免不了需要对他们进行升级或维护。针对工控现场主机，如果当前主机配置了白名单保护或其他文件保护策略，用于升级的文件或目录将受到白名单保护或文件保护策略的限制，或是被识别为对系统存在威胁的文件，这都将限制升级文件的运行，影响软件的正常升级。

对于当前主机配置了白名单保护或其他文件保护策略，进行软件升级时，通常是在软件升级时，直接将软件升级程序放入临时白名单列表，从而软件升级时不受当前主机的白名单保护或者其他文件保护策略的限制。但这种软件升级的方法，通常不对软件升级程序的合法性和安装权限进行控制，容易造成安全漏洞。

发明内容

有鉴于此，本发明实施例提供了一种工控主机及其软件升级的方法、装置及移动存储介质，以解决工控主机软件升级时，不对软件升级程序的合法性和安装权限进行控制，容易造成安全漏洞的问题。

根据第一方面，本发明实施例提供了一种工控主机软件升级的方法，包括：获取本地主机磁盘硬件序列号及移动存储介质加密区存储的通过公钥加密后的硬件信息及配置信息，硬件信息包括磁盘硬件序列号列表，配置信息包括授权时间；获取与公钥配对的私钥；根据私钥对公钥加密后的硬件信息及配置信息进行解密；根据解密后的硬件信息判断本地主机磁盘硬件序列号是否在磁盘硬件序列号列表内；如果本地主机磁盘硬件序列号在磁盘硬件序列号列表内，根据解密后的配置信息判断当前时间是否在授权时间内；如果当前时间在授权时间内，获取移动存储介质通用区存储的软件升级包，并执行预设安全策略；运行软件升级包，对工控主机软件进行升级。

可选地，如果本地主机磁盘硬件序列号不在授权文件的磁盘硬件序列号列表内，则结束升级。

可选地，如果当前时间不在授权时间内，则结束升级。

可选地，在运行软件升级包之后，工控主机软件升级的方法还包括：跟踪软件升级包的行为，将软件升级包释放的动态库、可执行程序放入临时白名单列表。

可选地，在根据运行软件升级包的结果对工控主机软件进行升级之后，工控主机软件升级的方法还包括：将临时白名单列表中的动态库、可执行程序放入白名单列表。