[发明专利]一种工程文件的可信检测系统、方法、设备以及存储介质

说明书

本公开提供了一种工程文件的可信检测系统、方法、设备以及存储介质，该系统包括：上位机端，用于将加密密码模块加密的带有真实签名数据的加密工程文件通过统一协议通信接口下发到PLC端；PLC端，用于利用可信密码模块的私钥将对加密工程文件进行加密的密钥进行解密，得到加密工程文件的密钥；利用解密出的密钥对加密工程文件进行解密，得到目标数字签名和目标工程文件；可信平台控制模块，用于计算解密后的工程文件的散列值；上位机端周期性地对本地的工程文件散列值与PLC通过第二统一协议通信接口上传的散列值进行对比；若相同，则确定所述目标工程文件可信。这样，可以实现对PLC运行时的工程文件的可信检测，保证工程文件的安全。

技术领域

本公开涉及PLC技术领域，具体而言，涉及一种工程文件的可信检测系统、方法、设备以及存储介质。

背景技术

随着工业互联网的快速发展，制造体系从封闭走向开放互联，极大地提高了工业生产力。与此同时，安全隐患增多，维护难度加大，安全威胁呈指数级增长。现有信息安全防护手段难以应付层出不穷的未知新型攻击，工控系统设备缺乏内生安全可信机制。

尤其是PLC的工程文件在运行时，没有对工程文件的可信检测的方法。

发明内容

本公开实施例至少提供一种工程文件的可信检测系统、方法、设备以及存储介质。这样，可以实现对PLC运行时的工程文件的可信检测，保证工程文件的安全。

本公开实施例提供了一种工程文件的可信检测系统，所述系统包括：PLC端、上位机端，其中，所述上位机端包括加密密码模块和第一统一协议通信接口；所述PLC端包括可信芯片和第二统一协议通信接口；所述可信芯片包括可信密码模块和可信平台控制模块；所述第一统一协议通信接口与所述第二统一协议通信接口通信连接；

所述上位机端，用于将所述加密密码模块加密的带有真实签名数据的加密工程文件通过所述统一协议通信接口下发到所述PLC端；

所述PLC端，用于利用所述可信密码模块的私钥将加密所述加密工程文件的密钥进行解密，得到所述加密工程文件的密钥；利用解密出的所述密钥对所述加密工程文件进行解密，得到目标数字签名和目标工程文件；可信平台控制模块，用于对计算解密后工程文件的散列值；通过第二统一协议通信接口将散列值上传到上位机端；上位机端周期性地对本地的工程文件散列值与PLC通过第二统一协议通信接口上传的散列值进行对比；若相同，则确定所述目标工程文件可信。

一种可选的实施方式中，所述可信平台控制模块，还用于：

在确定所述目标工程文件可信后，运行所述目标工程文件并计算所述目标工程文件的目标散列值，并将所述目标散列值存储到预设地址空间中；将所述目标散列值通过所述第二统一协议通信接口发送给所述上位机端；

所述上位机端，还用于：

接收所述PLC端发送的所述目标散列值，对所述目标散列值进行监听，并检测所述散列值是否被篡改；若是，则进行预警。

一种可选的实施方式中，所述加密密码模块，具体用于：

调取预设的加密算法对用户上传的工程文件进行加密，得到带有数字签名的加密工程文件。

一种可选的实施方式中，所述上位机端，具体用于通过以下步骤检测所述散列值是否被篡改：

获取本地存储的所述目标工程文件的真实散列值；

监听所述目标散列值，将所述目标散列值与本地存储的所述目标工程文件的真实散列值进行对比，检测所述目标散列值是否被篡改。

一种可选的实施方式中，所述上位机端，还用于若所述目标散列值没有被篡改，则继续进行监听。

本公开实施例还提供一种工程文件的可信检测方法，应用于以上实施例中所述工程文件的可信检测系统中的PLC端，所述方法包括：