【技术实现步骤摘要】
本专利技术涉及一种工控主机安全存储验证方法及系统,用于工控主机安防领域。
技术介绍
因为防病毒软件会误报工控系统为病毒,因此在工控主机应用白名单机制来保障自身免受病毒、恶意代码的侵害。工控主机敏感信息主要包括白名单系统安装包、白名单系统权限信息和工控程序的白名单数据。现有的技术方案是使用U盘安装白名单系统;使用用户名/密码方式进行权限管理,将权限数据放在工控主机的通用数据库(例如:MySql)中;而白名单数据也是保存在工控主机的通用数据库(例如:MySql)中。现有技术方案的缺点:1、使用U盘作为安装存储介质。信息裸露存储,易被恶意修改,作为攻击跳板,将攻击引入工控主机。2、权限通过用户名/密码方式实现,安全程度底,存在口令泄露的风险,且操作员身份无法和实际用户绑定。3、权限数据和白名单数据直接保存在通用数据库中。攻击目标明确,存在长期攻击后,数据泄露的风险。总体说,现有方案是对工控主机安全信息存储的一种简单方法,存在较多的安全隐患。
技术实现思路
本专利技术提出一种工控主机安全存储验证方法及系统,应用于工控主机白名单产品,有效的解决了工控主机敏感信息的自身安全问题,同时提高了工控主机白名单系统的可靠性。本专利技术的技术方案是这样实现的:本专利技术首先提供一种工控主机安全存储验证系统,包括以下结构模块:安装于工控主机上的安全存储接口和独立于工控主机的安全 ...
【技术保护点】
一种工控主机安全存储验证系统,其特征在于,包括以下结构模块:安装于工控主机上的安全存储接口和独立于工控主机的安全存储终端;所述安全存储接口包括安全存储接口配置模块、安全存储接口系统服务模块、和安全存储接口内核模块;所述安全存储终端包括安全芯片访问接口模块、和安全芯片模块、存储私密区访问接口模块和存储私密区模块;所述安全存储接口内核模块负责与所述安全存储终端通信,负责数据的写入和读出;所述安全芯片模块、存储私密区模块分别通过安全芯片访问接口模块、存储私密区访问接口模块与安全存储接口内核模块通信。
【技术特征摘要】
1.一种工控主机安全存储验证系统,其特征在于,包括以下结构模块:
安装于工控主机上的安全存储接口和独立于工控主机的安全存储终端;
所述安全存储接口包括安全存储接口配置模块、安全存储接口系统服务模
块、和安全存储接口内核模块;
所述安全存储终端包括安全芯片访问接口模块、和安全芯片模块、存储私
密区访问接口模块和存储私密区模块;
所述安全存储接口内核模块负责与所述安全存储终端通信,负责数据的写
入和读出;
所述安全芯片模块、存储私密区模块分别通过安全芯片访问接口模块、存
储私密区访问接口模块与安全存储接口内核模块通信。
2.根据权利要求1所述的工控主机安全存储验证系统,其特征在于:
所述安全存储终端采用U盘或者CF卡。
3.根据权利要求1所述的工控主机安全存储验证系统,其特征在于:
所述存储私密区模块使用安全芯片内置算法对敏感信息加密存储。
4.根据权利要求1所述的工控主机安全存储验证系统,其特征在于:
所述安全芯片模块空间较小,其中存储安全权限数据、安全策略配置和其
它敏感信息。
5.根据权利要求1所述的工控主机安全存储验证系统,其特征在于:
所述存储私密区模块空间较大,其中存储白名单数据、软件安装包、和软
件授权信息。
6.一种工控主机安全存储验证方法,其特征在于,包括以下步骤:
S1)安装:进行白名单系统敏感信息安全存储验证;
S2)建立白名单策略:用以产生新的白名单数据;
S3)授权:白名单系统的卸载、修改安全配置、修改用户权限、导出配置
信息。
7.根据权利要求6的工控主机安全存储验证方法,其特征在于,所述步骤
S1)具体包括以下步骤:
S11)将安全存储终端插入工控主机;
S12)安装引导程序调用安全存储接口系统服务模块的输入安装授权接口,
输入安装鉴权信息;
S13)安全存储系统服务模块将信息传递给安全存储接口内核模块;
S14)安全存储接口内核模块调用安全芯片访...
【专利技术属性】
技术研发人员:王小东,李佐民,
申请(专利权)人:北京天地和兴科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。