一種電動汽車互聯互通信息安全防護系統的製作方法
2023-04-25 17:18:16 3
本發明涉及一種電動汽車互聯互通信息安全防護系統,屬於電動汽車技術領域。
背景技術:
電動汽車是我國戰略性新興產業,對提高我國能源安全、應對氣候變化、改善環境保護起著重要作用。我國高度重視電動汽車產業發展。我國制訂了許多重要產業政策,為促進推廣電動汽車的發展提供了重要的保障。電動汽車充電設施是智能電網的重要組成部分,也是電動汽車行業發展的基礎保障,在近年得到快速的發展,電動汽車充電網絡包括電動汽車充電設施、相關的配電設施、安防設施、電動汽車、蓄電池等,對其運行參數和數據進行採集、分析,有助於為電動汽車的發展提供技術支持,保障其安全可靠運行。
隨著計算機應用的普及,計算機數據安全成為日益突出的問題,特別是在網絡環境下,敏感數據受到網絡洩漏的威脅。與此同時,數據安全技術也在快速發展,各種數據加密軟體和網絡防火牆等信息安全產品層出不窮,然而或多或少都存在各種問題。如何更好、更有效地保護個人信息數據安全成為當前研究的熱點。電動汽車互聯互通平臺是一個新型平臺,有助於電動汽車服務網絡的發展。目前國外針對互聯互通的工作主要解決充電運營層面問題,都是為各自網絡內電動汽車充電需求提供服務,各系統之間相互獨立,面向充電安全性的互聯互通研究工作尚未開展。因此設計一個具有綜合防護能力的信息安全系統顯得尤為重要。
技術實現要素:
為了解決上述技術問題,本發明提供了一種電動汽車互聯互通信息安全防護系統。
為了達到上述目的,本發明所採用的技術方案是:
一種電動汽車互聯互通信息安全防護系統,包括網絡防護模塊和文件系統防護模塊;
所述網絡防護模塊用以對網絡封包進行過濾,實現連網動作的管控,記錄網絡動作的詳細信息;
所述文件系統防護模塊包括文件監控模塊、存儲設備控制模塊和虛擬磁碟控制模塊;
所述文件監控模塊用以監視文件操作,記錄文件的操作信息,根據對文件的訪問權限控制文件讀寫;
所述存儲設備控制模塊用以對存儲設備進行讀寫控制,存儲設備寫入和已經存儲的均是無需保密文件;
所述虛擬磁碟控制模塊用以創建虛擬磁碟,加載/卸載虛擬磁碟,對虛擬磁碟進行讀寫控制,虛擬磁碟寫入和已經存儲的均是保密文件,保密文件寫入虛擬磁碟時,虛擬磁碟控制模塊對其進行加密,對虛擬磁碟中的保密文件讀取時,虛擬磁碟控制模塊對其進行解密。
文件監控模塊工作的具體過程為,
首先截獲文件的操作信息,然後根據對文件的訪問權限對文件操作進行過濾,若允許操作則放行,通過日誌記錄操作的相關信息,若不允許則拒絕操作,通過日誌記錄非法操作的相關信息。
操作信息包括對保密文件的創建、打開、讀、寫、設置和關閉,以及對無需保密文件的創建、打開、讀、寫、設置和關閉。
在加載虛擬磁碟之時,虛擬磁碟控制模塊對用戶口令進行認證。
網絡防護模塊工作的具體過程為,
首先預設工作模式和控管規則,然後根據工作模式和控管規則對網絡封包進行過濾,實現連網動作的管控,同時通過日誌記錄網絡動作的詳細信息。
網絡防護模塊在應用層採用winsock2spi技術進行網絡封包過濾,在傳輸層採用tdihook技術進行連網動作的管控,在網絡層採用ndishook技術進行網絡封包過濾。
本發明所達到的有益效果:1、本發明實現了一種信息安全防護系統,來對電動汽車信息平臺進行有效的監控和防護;2、本發明的文件系統防護模塊,採用rbac模型、虛擬磁碟和操作過濾技術,實現文件及存儲設備的訪問控制和文件的透明加解密;網絡防護模塊winsock2spi技術、tdihook和ndishook技術,極大地提高了系統的安全性能;這兩個模塊均實現日誌功能,對文件操作和網絡行為進行記錄,用於定位和分析系統入侵行為;3、本系統可以更好地維護計算機數據的保密性和完整性,為個人信息提供更加可靠的防護服務。
附圖說明
圖1為本發明的結構框圖;
圖2為本發明的供能圖;
圖3為文件讀寫訪問控制的流程;
圖4為虛擬磁碟管理模塊結構圖;
圖5為網絡防護模塊結構圖。
具體實施方式
下面結合附圖對本發明作進一步描述。以下實施例僅用於更加清楚地說明本發明的技術方案,而不能以此來限制本發明的保護範圍。
如圖1和2所示,一種電動汽車互聯互通信息安全防護系統,包括網絡防護模塊和文件系統防護模塊。
文件系統防護模塊包括文件監控模塊、存儲設備控制模塊和虛擬磁碟控制模塊。
文件監控模塊用以監視文件操作,記錄文件的操作信息,根據對文件的訪問權限控制文件讀寫。該模塊採用rbac模型來實現進程對文件系統的訪問控制,具體過程為:首先截獲文件的操作信息,操作信息包括對保密文件的創建、打開、讀、寫、設置和關閉,以及對無需保密文件的創建、打開、讀、寫、設置和關閉,然後根據對文件的訪問權限對文件操作進行過濾,若允許操作則放行,通過日誌記錄操作的相關信息,若不允許則拒絕操作,通過日誌記錄非法操作的相關信息。
文件監控模塊包括相應的應用模塊和驅動模塊,其中驅動模塊是其核心,實現主要包括:
(1)驅動入口函數的實現。
首先,創建驅動程序控制設備對象;其次,創建控制設備對象符號連接;接著,設置驅動程序的普通分發例程和快速i/o分發例程;最後,註冊文件系統變動回調函數。
(2)文件系統控制設備和卷設備的綁定。
21)文件系統控制設備的綁定;
首先,生成文件系統控制設備的過濾設備;然後,使用綁定函數完成對文件系統控制設備的綁定;接著,通過發送給文件系統控制設備的文件系統控制請求,獲得卷設備的相關信息並對它進行綁定,從而捕獲針對文件的各種請求;
22)文件系統卷設備的綁定;
首先,從irp中獲得卷參數塊(vpb)指針;然後,設置完成函數並等待irp完成,在完成函數中得到文件系統卷設備並實施綁定過程。
(3)文件讀寫訪問控制的實現。
具體流程如圖3所示:
step1:攔截上層發送的讀寫irp;
step2:判斷是否針對卷設備,若是,則獲取文件全路徑名;若不是,則轉向step6;
step3:在規則表中查找相應規則,若找到,則進行下一步;若不能找到,則轉向step6;
step4:判斷是否有權訪問,若能訪問,則進行下一步;若不能,則向上返回,轉向step7;
step5:將記錄訪問日誌暫存到日誌訪問隊列;
step6:向下層傳遞irp;
step7:讀寫結束。
(4)設備控制例程的實現。
實現流程包括獲取日誌、清空日誌隊列、設置監控文件列表和設置合法進程列表。其中,在獲取日誌時,首先判斷有無日誌,如果沒有,直接返回無日誌,如果有,就從日誌暫存隊列中取出一條日誌,並把日誌格式轉換為log格式的日誌,然後放入輸出緩衝區。
存儲設備控制模塊用以對存儲設備進行讀寫控制,存儲設備寫入和已經存儲的均是無需保密文件。
存儲設備控制模塊也包括相應的應用模塊和驅動模塊,其中驅動模塊是其核心,實現主要包括:
(1)存儲設備加載機制。
當存儲設備插入時,總線驅動程序檢測到了該設備,pnp管理器就會創建一個pdo並加載與這個pdo相應的過濾驅動和功能驅動程序,存儲設備作為fdo加載到了pdo之上,同時存儲設備會另外創建一個物理設備,上面掛載磁碟驅動程序disk.sys,在此之上再掛載分區驅動partmgr.sys。
(2)磁碟扇區的直接讀寫。
採用磁碟扇區的讀寫技術實現設備安全標識的添加和刪除,應用模塊可以調用win32api的readfile和writefile函數來讀寫扇區,windowsi/o管理器將其讀寫請求irp_mj_read或irp_mj_write發送給分區驅動partmgr.sys,磁碟驅動disk將讀寫請求轉換成scsi請求包發送給scsi埠驅動scsiport.sys,在存儲設備過濾驅動中構造irp並填寫相應的srb,然後發送給下層驅動處理讀寫請求。
(3)存儲設備的控制。
存儲設備的控制主要實現這些功能:動態捕獲存儲設備的加載、設備禁用、設備只讀以及阻止從存儲設備運行程序。
虛擬磁碟控制模塊用以創建虛擬磁碟,加載/卸載虛擬磁碟,對虛擬磁碟進行讀寫控制,虛擬磁碟寫入和已經存儲的均是保密文件,保密文件寫入虛擬磁碟時,虛擬磁碟控制模塊對其進行加密,對虛擬磁碟中的保密文件讀取時,虛擬磁碟控制模塊對其進行解密。
在加載虛擬磁碟之時,虛擬磁碟控制模塊對用戶口令進行認證。具體過程如下:
step1:讀取卷文件頭部的512位元組數據到內存中;其中,前64位元組數據為未經加密的鹽,其餘數據加密存儲,該鹽用於對用戶口令進行變換從而生成用於加解密卷文件頭部的密鑰。
step2:嘗試解密上一步的卷文件頭部數據,根據用戶口令和鹽,通過卷文件頭部密鑰生成算法生成密鑰後,解密內存中的卷文件頭部數據,並依次嘗試使用不同的哈希算法生成密鑰來解密卷文件頭部加密數據,直到確認解密正確為止。
step3:如果解密後明文的前4個字節為字符串「true」並且明文後256位元組的crc-32校驗值等於卷文件頭部第8個字節處的數據,則認證通過,虛擬磁碟成功加載,否則要求重新輸入用戶口令並重複上述流程。
step4:解密卷文件頭部完成後,就確定了正確的用戶口令、加密算法、加密算法模式、卷文件頭部密鑰生成算法和密鑰;這時,系統可以使用保存在卷文件頭部中的主密鑰和次密鑰來解密卷的其餘部分數據,至此,虛擬磁碟成功加載。
如圖4所示,虛擬磁碟控制模塊也包括相應的應用模塊和驅動模塊,其中驅動模塊是其核心,它負責處理系統對虛擬磁碟的所有i/o請求,在處理i/o請求的過程中,調用加解密模塊對數據流進行實時加解密處理。
網絡防護模塊用以對網絡封包進行過濾,實現連網動作的管控,記錄網絡動作的詳細信息。如圖5所示具體過程為:首先預設工作模式和控管規則,然後根據工作模式和控管規則對網絡封包進行過濾,實現連網動作的管控,同時通過日誌記錄網絡動作的詳細信息。
網絡防護模塊在應用層採用winsock2spi技術進行網絡封包過濾;在傳輸層採用tdihook技術進行連網動作的管控;在網絡層採用ndishook技術進行網絡封包過濾。
本發明實現了一種信息安全防護系統,來對電動汽車信息平臺進行有效的監控和防護;改系統的文件系統防護模塊,採用rbac模型、虛擬磁碟和操作過濾技術,實現文件及存儲設備的訪問控制和文件的透明加解密;網絡防護模塊winsock2spi技術、tdihook和ndishook技術,極大地提高了系統的安全性能;這兩個模塊均實現日誌功能,對文件操作和網絡行為進行記錄,用於定位和分析系統入侵行為;改系統可以更好地維護計算機數據的保密性和完整性,為個人信息提供更加可靠的防護服務。
以上所述僅是本發明的優選實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明技術原理的前提下,還可以做出若干改進和變形,這些改進和變形也應視為本發明的保護範圍。