一种白名单库文件的安全加载方法及装置制造方法及图纸

本申请提供了一种白名单库的安全加载方法及装置，预设秘钥和主机安全软件代码中的密文分开存储，保证了白名单秘钥的安全性；采用二次加密机制，即依据所述白名单秘钥和所述第一加密算法对白名单中存储的数据进行加密，得到白名单数据密文，再利用第二加密算法计算所述白名单库的哈希值，根据所述白名单秘钥和所述第一加密算法对所述白名单库的哈希值进行加密，得到所述白名单库的哈希值密文，保证了白名单库数据的安全性。通过所述预设秘钥对白名单库进行解密验证白名单库的安全性，当验证白名单库安全时，对白名单库进行加载。保证了主机安全软件加载白名单库时的安全性。

A safe loading method and device for white list library files

The application provides a safe loading method and device for the white list library. The presupposition secret key and the cipher in the host security software code are stored separately to ensure the security of the white list secret key, and the two encryption mechanism is used to add the data stored in the white list based on the white list secret key and the first encryption algorithm. The hash value of white list library is calculated by second encryption algorithm, and the hash value of the white list library is encrypted according to the white list secret key and the first encryption algorithm, and the hash value ciphertext of the white list library is obtained, which ensures the security of the white list database. The security of the white list library is decrypted through the preset secret key to decrypt the white list library, and the white list library is loaded when verifying the security of the white list library. It ensures the security of host security software when loading white list library.

【技术实现步骤摘要】
一种白名单库文件的安全加载方法及装置
本专利技术涉及工控安全
，更具体的，涉及一种白名单库文件的安全加载方法及装置。
技术介绍
白名单库为主机信任的文件列表，列表中的对象被允许访问或执行。主机安全软件监控系统运行的过程中，只允许运行白名单中的程序，恶意的、未授权的进程和文件操作都将被阻止运行。主机安全软件对主机进行全面扫描，生成可信任的白名单列表库，并保护白名单不会被恶意软件操作和破坏。现在一般利用私密算法和固定密钥，实现主机安全软件与报名单库之间的安全通信，其方法的实现是基于产品中采用了某种向外部保密的加密算法；并在主机安全软件和白名单库之间约定了一个固定的数据加密密钥，且该密钥也是对外部保密的。该方式的安全性在于算法的私密性和密钥的安全性。从产品的管理的角度看，产品从开发到生产的一系列流程中，算法和密钥都有很大的泄漏风险。而且很多时候对于企业内部人员来讲，算法和密钥甚至都不是保密的。从另一方面来讲，长期使用单一算法与密钥，在获取到大量通讯数据之后，也非常容易被破解。综上，现有方法较难保障主机安全软件与白名单库之间的通信数据安全。
技术实现思路
有鉴于此，本专利技术提供了一种白名单库的安全加载方法及装置，实现主机安全软件与白名单库之间的安全通信。为了实现上述专利技术目的，本专利技术提供的具体技术方案如下：一种白名单库的安全加载方法，包括：根据预设秘钥和第一加密算法对主机安全软件代码中的密文进行解密，获取白名单秘钥，所述预设秘钥存储在主机中任意一个数据库中；依据所述白名单秘钥和所述第一加密算法对白名单中存储的数据进行加密，得到白名单数据密文，所述主机安全软件代码中的密文和所述白名单数据密文构成白名单库；利用第二加密算法计算所述白名单库的哈希值，根据所述白名单秘钥和所述第一加密算法对所述白名单库的哈希值进行加密，得到所述白名单库的哈希值密文，并将所述白名单库的哈希值密文存储在所述白名单库中；通过所述预设秘钥对白名单库进行解密验证白名单库的安全性，当验证白名单库安全时，对白名单库进行加载。优选的，所述方法还包括：根据预设秘钥对白名单秘钥进行加密，生成密文，并将所述密文存储在主机安全软件代码中。优选的，白名单存储的数据包括：可信可执行文件信息和可信可执行文件的哈希值；所述依据所述白名单秘钥和所述第一加密算法对白名单中存储的数据进行加密，得到白名单数据密文，具体为：依据所述白名单秘钥分别对所述白名单存储的可信可执行文件信息和可信可执行文件的哈希值进行加密，得到所述可信可执行文件信息的密文和所述可执行文件的哈希值的密文。优选的，所述方法还包括：对主机中的可执行文件进行扫描，得到可信可执行文件信息，并计算所述可信可执行文件名称的哈希值；所述可信可执行文件信息包括：可信可执行文件的名称、文件大小、创建时间和修改时间。优选的，所述通过所述预设秘钥对白名单库进行解密验证白名单库的安全性，包括：根据所述预设秘钥和所述第一加密算法对白名单库中存储的主机安全软件代码中的密文进行解密，得到白名单秘钥；依据解密得到的白名单秘钥和所述第一加密算法对白名单库中存储的白名单库的哈希值密文进行解密，得到解密后的白名单库的哈希值；利用所述第二加密算法计算白名单库中存储的主机安全软件代码中的密文和白名单数据密文的哈希值，得到白名单库的哈希值；判断计算得到的白名单库的哈希值与解密后的白名单库的哈希值是否相同；若相同，确定白名单库安全。优选的，在所述根据所述预设秘钥和所述第一加密算法对白名单库中存储的主机安全软件代码中的密文进行解密之前，所述方法还包括：判断白名单库存储的主机安全软件代码中的密文的长度是否为第一预设值；若为第一预设值，判断白名单库中存储的哈希值密文的长度是否为第二预设值；若为第二预设值，触发执行所述根据所述预设秘钥和所述第一加密算法对白名单库中存储的主机安全软件代码中的密文进行解密。一种白名单库的安全加载装置，包括：解密单元，用于根据预设秘钥和第一加密算法对主机安全软件代码中的密文进行解密，获取白名单秘钥，所述预设秘钥存储在主机中任意一个数据库中；第一加密单元，用于依据所述白名单秘钥和所述第一加密算法对白名单中存储的数据进行加密，得到白名单数据密文，所述主机安全软件代码中的密文和所述白名单数据密文构成白名单库；第二加密单元，用于利用第二加密算法计算所述白名单库的哈希值，根据所述白名单秘钥和所述第一加密算法对所述白名单库的哈希值进行加密，得到所述白名单库的哈希值密文，并将所述白名单库的哈希值密文存储在所述白名单库中；验证单元，用于通过所述预设秘钥对白名单库进行解密验证白名单库的安全性，当验证白名单库安全时，对白名单库进行加载。优选的，所述装置还包括：第三加密单元，用于根据预设秘钥对白名单秘钥进行加密，生成密文，并将所述密文存储在主机安全软件代码中。优选的，白名单存储的数据包括：可信可执行文件信息和可信可执行文件的哈希值；所述第一加密单元，具体用于依据所述白名单秘钥分别对所述白名单存储的可信可执行文件信息和可信可执行文件的哈希值进行加密，得到所述可信可执行文件信息的密文和所述可执行文件的哈希值的密文。优选的，所述装置还包括：扫描单元，用于对主机中的可执行文件进行扫描，得到可信可执行文件信息，并计算所述可信可执行文件名称的哈希值；所述可信可执行文件信息包括：可信可执行文件的名称、文件大小、创建时间和修改时间。优选的，所述验证单元包括：第一解密子单元，用于根据所述预设秘钥和所述第一加密算法对白名单库中存储的主机安全软件代码中的密文进行解密，得到白名单秘钥；第二解密子单元，用于依据解密得到的白名单秘钥和所述第一加密算法对白名单库中存储的白名单库的哈希值密文进行解密，得到解密后的白名单库的哈希值；计算子单元，用于利用所述第二加密算法计算白名单库中存储的主机安全软件代码中的密文和白名单数据密文的哈希值，得到白名单库的哈希值；第一判断子单元，用于判断计算得到的白名单库的哈希值与解密后的白名单库的哈希值是否相同；若相同，触发确定子单元；所述确定子单元，用于确定白名单库安全。优选的，所述验证单元还包括：第二判断子单元，用于判断白名单库存储的主机安全软件代码中的密文的长度是否为第一预设值；若为第一预设值，触发第三判断子单元；所述第三判断子单元，用于判断白名单库中存储的哈希值密文的长度是否为第二预设值；若为第二预设值，触发所述第一解密子单元。相对于现有技术，本专利技术的有益效果如下：本专利技术公开的一种白名单库的安全加载方法及装置，预设秘钥和主机安全软件代码中的密文分开存储，保证了白名单秘钥的安全性；采用二次加密机制，即，依据所述白名单秘钥和所述第一加密算法对白名单中存储的数据进行加密，得到白名单数据密文，再利用第二加密算法计算所述白名单库的哈希值，根据所述白名单秘钥和所述第一加密算法对所述白名单库的哈希值进行加密，得到所述白名单库的哈希值密文，保证了白名单库数据的安全性。在主机安全软件加载白名单库时，通过所述预设秘钥对白名单库进行解密验证白名单库的安全性，当验证白名单库安全时，对白名单库进行加载。保证了主机安全软件加载白名单库时的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显本文档来自技高网...

【技术保护点】
1.一种白名单库的安全加载方法，其特征在于，包括：根据预设秘钥和第一加密算法对主机安全软件代码中的密文进行解密，获取白名单秘钥，所述预设秘钥存储在主机中任意一个数据库中；依据所述白名单秘钥和所述第一加密算法对白名单中存储的数据进行加密，得到白名单数据密文，所述主机安全软件代码中的密文和所述白名单数据密文构成白名单库；利用第二加密算法计算所述白名单库的哈希值，根据所述白名单秘钥和所述第一加密算法对所述白名单库的哈希值进行加密，得到所述白名单库的哈希值密文，并将所述白名单库的哈希值密文存储在所述白名单库中；通过所述预设秘钥对白名单库进行解密验证白名单库的安全性，当验证白名单库安全时，对白名单库进行加载。

【技术特征摘要】
1.一种白名单库的安全加载方法，其特征在于，包括：根据预设秘钥和第一加密算法对主机安全软件代码中的密文进行解密，获取白名单秘钥，所述预设秘钥存储在主机中任意一个数据库中；依据所述白名单秘钥和所述第一加密算法对白名单中存储的数据进行加密，得到白名单数据密文，所述主机安全软件代码中的密文和所述白名单数据密文构成白名单库；利用第二加密算法计算所述白名单库的哈希值，根据所述白名单秘钥和所述第一加密算法对所述白名单库的哈希值进行加密，得到所述白名单库的哈希值密文，并将所述白名单库的哈希值密文存储在所述白名单库中；通过所述预设秘钥对白名单库进行解密验证白名单库的安全性，当验证白名单库安全时，对白名单库进行加载。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据预设秘钥对白名单秘钥进行加密，生成密文，并将所述密文存储在主机安全软件代码中。3.根据权利要求1所述的方法，其特征在于，白名单存储的数据包括：可信可执行文件信息和可信可执行文件的哈希值；所述依据所述白名单秘钥和所述第一加密算法对白名单中存储的数据进行加密，得到白名单数据密文，具体为：依据所述白名单秘钥分别对所述白名单存储的可信可执行文件信息和可信可执行文件的哈希值进行加密，得到所述可信可执行文件信息的密文和所述可执行文件的哈希值的密文。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：对主机中的可执行文件进行扫描，得到可信可执行文件信息，并计算所述可信可执行文件名称的哈希值；所述可信可执行文件信息包括：可信可执行文件的名称、文件大小、创建时间和修改时间。5.根据权利要求1所述的方法，其特征在于，所述通过所述预设秘钥对白名单库进行解密验证白名单库的安全性，包括：根据所述预设秘钥和所述第一加密算法对白名单库中存储的主机安全软件代码中的密文进行解密，得到白名单秘钥；依据解密得到的白名单秘钥和所述第一加密算法对白名单库中存储的白名单库的哈希值密文进行解密，得到解密后的白名单库的哈希值；利用所述第二加密算法计算白名单库中存储的主机安全软件代码中的密文和白名单数据密文的哈希值，得到白名单库的哈希值；判断计算得到的白名单库的哈希值与解密后的白名单库的哈希值是否相同；若相同，确定白名单库安全。6.根据权利要求5所述的方法，其特征在于，在所述根据所述预设秘钥和所述第一加密算法对白名单库中存储的主机安全软件代码中的密文进行解密之前，所述方法还包括：判断白名单库存储的主机安全软件代码中的密文的长度是否为第一预设值；若为第一预设值，判断白名单库中存储的哈希值密文的长度是否为第二预设值；若为第二预设值，触发执行所述根据所述预设秘钥和所述第一加密算法对白名单库中存储的主机安全软件代码中的密文进行解...

【专利技术属性】
技术研发人员：沈利斌，郭正飞，邵腾飞，
申请(专利权)人：浙江中控技术股份有限公司，
类型：发明
国别省市：浙江,33