CN113872940A - 基于NC-Link的访问控制方法、装置及设备 - Google Patents
基于NC-Link的访问控制方法、装置及设备 Download PDFInfo
- Publication number
- CN113872940A CN113872940A CN202111029398.8A CN202111029398A CN113872940A CN 113872940 A CN113872940 A CN 113872940A CN 202111029398 A CN202111029398 A CN 202111029398A CN 113872940 A CN113872940 A CN 113872940A
- Authority
- CN
- China
- Prior art keywords
- data
- link
- request
- result
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种基于NC‑Link的访问控制方法、装置及设备。本发明通过接收访问请求,通过预设解密模型对访问请求中的订阅密文进行解密,获得解密后的订阅请求;将解密后的订阅请求发送至NC‑Link适配器,并获取NC‑Link适配器基于解密后的订阅请求发布的响应数据单元;对响应数据单元进行解析,获得响应结果信息;对响应结果信息进行加密,获得加密后的响应结果密文;将响应结果密文发送至对应的数据订阅端,以完成对解密后的订阅请求的响应;由于本实施例中在数据传输过程中的对数据进行了加密传输,相较于现有技术中的明文传输,本实施例能够有效提高基于NC‑Link的访问控制的安全性。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种基于NC-Link的访问控制方法、装置及设备。
背景技术
数控装备工业互联通讯协议(NC-Link)是中国机床工具工业协会牵头研发定制的一种数控装备工业互联通讯协议,该协议具有以下技术特点:采用弱类型的JSON进行模型描述与数据传输,在保证可读性的同时,降低带宽压力;模型简约清晰,数据类型丰富,具备较强的表达能力;兼容性好,可以描述各种工控设备;接口定义简单易用,只有侦测、查询、设置、采样四个主要接口;保证数据完整性、满足毫秒级数据采集,满足智能设备、智能产线、智能车间的信息物理系统和数字孪生建模需求;全双工,满足端到端双向通讯需求,同时支持远程控制功能。该标准的研制为我过数控机床互联互通建立了一套统一的标准,对我国智能工厂、智能车间的建设、智能生产的推进带来了巨大促进作用。
上述协议的使用过程中,用户均是将数据以明文的形式存储在可信服务器中,控制访问这些数据的方式仅依靠将标识信息与客户端的连接相关联,随后从客户端接收发布或订阅由系统托管的主题或请求,并且该请求具有与之关联的标识符,然后判定标识信息是否与请求提供的标识符一致,仅当一致时才许可发布或订阅请求,通过这种方式,可以确定存在适当的信任级别,但是这种控制访问的方式并不能满足现实中对数据安全性的要求。因此如何提高基于NC-Link的访问控制的安全性是我们亟待解决的问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种基于NC-Link的访问控制方法、装置及设备,旨在解决如何提高基于NC-Link的访问控制的安全性的技术问题。
为实现上述目的,本发明提供了一种基于NC-Link的访问控制方法,所述方法包括以下步骤:
接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;
将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;
对所述响应数据单元进行解析,获得响应结果信息;
对所述响应结果信息进行加密,获得加密后的响应结果密文;
将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应。
可选地,所述接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求的步骤,包括:
接收访问请求,并根据所述访问请求获取对应的数据订阅端信息;
根据所述数据订阅端信息查询预设注册表,获得所述数据订阅端信息对应数据订阅端的注册状态;
在所述注册状态为已注册时,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求。
可选地,所述根据所述数据订阅端信息查询预设注册表,获得所述数据订阅端信息对应数据订阅端的注册状态的步骤之前,还包括;
接收数据订阅端发送的注册请求信息;
根据所述注册请求信息对所述数据订阅端的访问权限进行校验,获得校验结果;
在所述校验结果为校验成功时,将所述数据订阅端添加至预设注册表。
可选地,所述根据所述注册请求信息对所述数据订阅端的访问权限进行校验,获得校验结果的步骤,包括:
根据所述注册请求信息获取所述数据订阅端预申请的访问权限;
根据预设条件判定所述预申请的访问权限的权限级别,获得判定结果;
在所述判定结果为第一级别时,根据第一预设审核条件审核所述访问权限,获取审核结果;
在所述审核结果为正常时,将所述审核结果发送至审核模块,以使所述审核模块对所述访问权限进行确认并返回确认结果;
在所述确认结果为通过时,设置所述校验结果为校验成功;
在所述确认结果为驳回时,设置所述校验结果为校验失败,并发送注册失败信息至所述数据订阅端。
可选地,所述根据预设条件判定所述预申请的访问权限的权限级别,获得判定结果的步骤之后,还包括:
在所述判定结果为第二级别时,根据第二预设审核条件审核所述访问权限,获取审核结果;
在所述审核结果为正常时,设置所述校验结果为校验成功;
在所述审核结果为异常时,设置所述校验结果为校验失败,发送注册失败信息至所述数据订阅端。
可选地,所述接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求的步骤之前,还包括:
发送注册信息至密码模块,以使所述密码模块对所述注册信息进行审核并在审核通过后返回公开参数和主密钥;
接收所述公开参数和所述主密钥;
根据预设访问控制策略获取对应的访问控制结构;
将所述公开参数、所述主密钥和所述访问控制结构输入至预设密钥生成模型生成对应的解密模型,并将所述解密模型设置为预设解密模型。
可选地,所述将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应的步骤之后,还包括:
获取所述NC-Link适配器通过第一预设接口发布的采集数据;
根据所述采集数据从预设访问控制列表中获取具有访问权限的数据订阅端的第一列表;
查询预设注册表中订阅前缀为预设前缀的数据订阅端的第二列表;
在所述第一列表与所述第二数据订阅端列表相匹配时,将所述采集数据输入预设加密模型中,获得所述采集数据对应的密文;
将所述密文发布至第二预设接口,以使所述第一数据订阅端列表中的各数据订阅端通过所述第二预设接口获取所述密文并使用预设的解密模型对所述密文解密获得所述适配器发送的所述采集数据。
此外,为实现上述目的,本发明还提出一种基于NC-Link的访问控制装置,所述装置包括:
密文解密模块,用于接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;
请求转发模块,用于将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;
响应解析模块,用于对所述响应数据单元进行解析,获得响应结果信息;
结果加密模块,用于对所述响应结果信息进行加密,获得加密后的响应结果密文;
密文发送模块,用于将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应。
此外,为实现上述目的,本发明还提出一种基于NC-Link的访问控制设备,所述基于NC-Link的访问控制设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的基于NC-Link的访问控制程序,所述基于NC-Link的访问控制程序配置为实现如上文所述的基于NC-Link的访问控制方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有基于NC-Link的访问控制程序,所述基于NC-Link的访问控制程序被处理器执行时实现如上文所述的基于NC-Link的访问控制方法的步骤。
本发明通过接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;对所述响应数据单元进行解析,获得响应结果信息;对所述响应结果信息进行加密,获得加密后的响应结果密文;将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应;由于是通过使用NC-Link协议进行数据采集,因此本发明能够实现毫秒级数据采集传输的需求,相比于现有技术中使用明文方式传递订阅信息,本发明使用预设解密模型对订阅请求进行解密,使得订阅请求在数据传输中以密文的方式进行传输,从而有效避免了订阅请求中数据信息的泄露,提高了数据传输的安全性,并且在数据响应前,通过对响应结果进行加密,从而能防止响应数据在传输过程中被非法获取,提高了数据传输的安全性,从而解决了现有技术中如何提高基于NC-Link的访问控制的安全性的技术问题。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的基于NC-Link的访问控制设备的结构示意图;
图2为本发明基于NC-Link的访问控制方法第一实施例的流程示意图;
图3为NC-Link体系结构图;
图4为本发明基于NC-Link的访问控制方法的代理器注册流程图;
图5为本发明基于NC-Link的访问控制方法的应用系统注册流程图;
图6为本发明基于NC-Link的访问控制方法的注册时序图;
图7为NC-Link的接口订阅/发布模型;
图8为本发明基于NC-Link的访问控制方法第二实施例的流程示意图;
图9为本发明基于NC-Link的访问控制方法第三实施例的流程示意图;
图10为本发明基于NC-Link的访问控制方法的订阅/采集时序图;
图11为本发明基于NC-Link的访问控制装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的基于NC-Link的访问控制设备结构示意图。
如图1所示,该基于NC-Link的访问控制设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对基于NC-Link的访问控制设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及基于NC-Link的访问控制程序。
在图1所示的基于NC-Link的访问控制设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明基于NC-Link的访问控制设备中的处理器1001、存储器1005可以设置在基于NC-Link的访问控制设备中,所述基于NC-Link的访问控制设备通过处理器1001调用存储器1005中存储的基于NC-Link的访问控制程序,并执行本发明实施例提供的基于NC-Link的访问控制方法。
本发明实施例提供了一种基于NC-Link的访问控制方法,参照图2,图2为本发明一种基于NC-Link的访问控制方法第一实施例的流程示意图。
本实施例中,所述基于NC-Link的访问控制方法包括以下步骤:
步骤S10:接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;
需要说明的是,本实施例方法的执行主体可以是具有数据处理、网络通信以及程序运行功能的计算机服务设备,例如工业网关、个人电脑、服务器设备等;也可以是具有相同或相似功能的上述基于NC-Link的访问控制的代理器设备。本实施例及下述各实施例将以代理器设备为例进行说明。
此外,还需要说明的是,上述计算机服务设备中部署有能实现NC-Link协议通信中代理器功能的程序。为了便于理解本实施例中基于NC-Link的访问控制方法的工作原理,在此将结合NC-Link体系结构图进行说明,参见图3,图3为NC-Link体系结构图。
根据图3可知,该NC-Link体系中包括:适配器、代理器、应用系统。
其中,适配器为软件组件或者硬件设备,用于连接代理器和数控装备,实现从数控装备采集其属性数据、参数数据或者运行数据并进行格式解析和转换,以统一格式传送到代理器,或者接受从代理器传过来的控制信息,按照指定的数控装备要求转换并传递到对应的数控装备,也称为NC-Link适配器。
代理器为软件组件或者硬件设备,用于连接适配器和应用系统,实现从适配器采集数据并分发到应用系统,或者接收从应用系统传来的控制信息并下传到适配器,也称为NC-Link代理器。
应用系统为对数控装备的属性数据、参数数据及运行数据进行分析、管理和监控或对数控装备进行控制的软硬件系统,如企业资源计划(Enterprise Resource Planning,ERP)、管理信息系统(Management Information System,MIS)或制造执行系统(Manufacturing Execution System,MES)等。
其次,为了提高密钥的安全性,本实施例方法中还包括:密码基础设置,上述密码基础设施可以是为军事信息系统提供机密性、完整性、可用性、可控性、不可否认性服务等支撑性安全服务的设施,包括密钥管理基础设施、公开密钥基础设施等。
值得说明的是,本实施例方法中执行的是上述NC-Link体系中由应用系统发起的数据订阅的流程。
可以理解的是,上述访问请求可以是数据订阅端发起的携带有上述订阅密文的访问请求,上述数据订阅端可以是上述NC-Link体系中的任一应用系统,例如ERP、MES或者MIS等,本实施例对此不作限制。
其中,上述订阅密文可以是上述数据订阅端将需要订阅对应适配器的相关参数进行加密得到的订阅密文,其中相关参数包含但不限于:唯一标识(id)、适配器标识(guid)、适配器采样周期(sampleInterval)、适配器发送周期(uploadInterval)、数据对象集合(ids)、扩展信息(privateInfo)。
考虑现实情况中,上述参数处于工业环境下数据采集中毫秒级数据传输的情况下,为了保证数据的可读性的同时降低带宽压力,因此上述数据对象集合可以是JSON数组,数组中的每个元素可以是JSON对象,从而通过JSON对象来描述NC-Link适配器采集的数据。
值得说明的是,上述加密过程中可以是使用基于密钥策略的属性加密(KP-ABE)的加密模型进行加密的过程。上述加密过程可以是应用系统将请求消息m、本身属性Y和公开参数PK作为输入内容输入到加密模型中,加密模型通过随机算法,生成密文E并输出。上述本身属性Y可以是预先设定的一个属性值,上述公开参数可以是预先设定的一个公开参数。
其中,上述KP-ABE加密是将策略嵌入到密钥中,属性嵌入到密文中,密钥对应于一个访问结构而密文对应于一个属性集合,密钥与一个树访问结构相关联,其中叶子节点与属性相关联,当且仅当属性集合中的属性能够满足密钥中的访问策略时,才能够解密密文,从而实现细粒度的控制应用系统订阅不同适配器的不同属性,满足了应用程序只能按需访问需要的适配器数据。
具体的说,应用系统通过预定义接口请求订阅适配器的数据,增加采样通道时,需要将请求消息输入到上述加密模型中得到加密后的订阅请求,即订阅密文。上述预定义接口在本实施例中可以设置为Register/Sample/Request/dev_uuid/ex_cid,其中,Register/Sample/Request/为接口的固定部分,dev_uuid为目标NC-Link适配器,ex_cid为上述应用系统的终端标示符。
应理解的是,上述预设解密模型可以是预先设置的用于完成对订阅密文进行解密的模型,上述解密模型可以是基于KP-ABE的解密模型。
其中,上述使用预设解密模型对访问请求中的订阅密文进行解密的过程可以理解为,代理器将上述订阅密文输入到解密模型中,解密模型使用对应的解密算法对上述订阅密文进行解密,并输出对应的订阅请求信息,从而得到相关参数,其中相关参数包括但不限于:唯一标识、适配器标识、适配器采样周期、适配器发送周期、数据对象集合、扩展信息。
在具体实现中,代理器将接收到的访问请求进行解析,获得该访问请求中对应的订阅密文,并将该订阅密文输入到预设解密模型中,以此获得解密后的订阅请求,从而获取到订阅请求中的相关参数。通过将预设解密模型设置在代理器中,从而保证来自应用系统的订阅请求,必须先通过代理器进行处理,避免了应用系统直接访问适配器导致适配器存在被攻击的风险;而且在上述使用KP-ABE的解密模型中,由于KP-ABE不允许不同方之间进行合作,因此使得加密手段更为可靠,并为应用系统提供了细粒度的访问控制。
进一步地,为了提高数据传输的安全级别,所述接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求的步骤之前,还包括:发送注册信息至密码模块,以使所述密码模块对所述注册信息进行审核并在审核通过后返回公开参数和主密钥;接收所述公开参数和所述主密钥;根据预设访问控制策略获取对应的访问控制结构;将所述公开参数、所述主密钥和所述访问控制结构输入至预设密钥生成模型生成对应的解密模型,并将所述解密模型设置为预设解密模型。
需要说明的是,上述密码模块是指上述密码基础设施,是本实施例方法集成了基于属性加密(ABE)的密码模块,其作用是用于对注册信息进行审核,并在审核后下发公开参数和主密钥。
为了便于理解上述解密模型生成流程,本实施例方法结合图4进行说明,参见图4,图4为本发明基于NC-Link的访问控制方法的代理器注册流程图。
在实际生产过程中,代理器向密码模块发送注册信息,密码模块在接收到注册信息后,对注册信息中的内容根据预先设定的审核条件进行审核,输出审核结果。
在审核结果为通过时,密码模块通过获取管理员设置的隐藏的安全参数,并通过随机算法生成公开参数PK和主密钥MK,并将公开参数PK和主密钥MK下发给对应的代理器,代理器在接收到公开参数PK和主密钥MK后,获取管理员在代理器端设置的访问控制策略,并根据该访问控制策略生成访问控制结构A,之后,再将公开参数PK、主密钥MK和访问控制结构A输入到密钥生成模型,密钥生成模型采用随机算法,生成对应的解密模型,并保存在代理器中。
在审核结果为不通过时,密码模块直接发送失败通知给对应的代理器,结束此次注册请求。
考虑到实际情况,上述注册状态还可以为未注册或者已注销,在上述注册状态为未注册或已注销时,代理器驳回上述数据订阅端的访问请求,并将驳回信息发送给数据订阅端,上述驳回请求中包括但不限于:唯一标识符(@id)、适配器标识符(guid)、采样通道标识符(id)、响应状态(code)、驳回原因(reason)、扩展值(privateInfo)等一项或多项的组合。
考虑到实际情况,解密模型生成的流程还包括数据订阅端的解密模型生成,这里结合图5进行说明,参见图5,图5为本发明基于NC-Link的访问控制方法的应用系统注册流程图。
首先,数据订阅端利用hash算法,将自身的系统属性值进行数字化处理得到唯一的标识符,并将该标识符发送给代理器进行注册。
其次,代理器接收上述数据订阅端的注册请求,并对该注册请求进行审核,在审核不通过时,存储该注册请求信息,并发送失败通知给数据订阅端,在审核通过时,将数据订阅端信息加入到注册表中,更新访问控制列表,并存储该注册请求信息,发送注册成功通知给数据订阅。
再次,数据订阅端接收到注册成功通知后,向密码模块发送注册请求,密码模块对该注册请求进行审核,在审核通过后,密码模块通过随机算法根据管理员输入的隐藏的安全参数生成公开参数和主密钥,并下发给数据订阅端。
最后,数据订阅端接收到上述公开参数和主密钥后,获取管理员设置的访问控制策略,并根据该访问控制策略生成访问控制结构A,输入访问控制结构A、主密钥和公开参数生成解密模型,并保存在数据订阅端。
其中,上述密码模块生成公开参数和主密钥的步骤,只在密码模块初始化时执行一次,参见图6,图6为本发明基于NC-Link的访问控制方法的注册时序图,密码基础设施即为上述密码模块,NC-Link适配器为上述代理器,NC-Link应用系统A即为上述数据订阅端。密码模块在初始化阶段建立公开参数和主密钥后,代理器和数据订阅端生成基于KP-ABE的解密模型并存储。
步骤S20:将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;
需要说明的是,上述将解密后的订阅请求发送至NC-Link适配器的步骤可以是代理器将上述订阅请求推送至预定义请求接口,上述NC-Link适配器通过监听上述预定义请求接口,在监听到上述预定请求接口有可以获取的订阅请求时,获取上述订阅请求,并通过使用NC-Link通信协议标准解析方法,解析上述订阅请求,从而获取上述订阅请求中的数据对象集合。
其中,上述预定义请求接口为图3中代理器靠近适配器段的接口,代理器通过将上述订阅请求发布到上述接口中,适配器即可通过监听上述接口获取到上述订阅请求。
然后,NC-Link适配器将获取到的数据对象集合与对应的数控装备模型匹配,从而检查上述订阅请求是否合法和是否有效,上述数控装备模型可以是图3中与上述NC-Link适配器对应的数控装备的数字模型。例如:在上述数据对象集合中的对象为:设备运行状态、工作状态、液压状态,数控装备模型中的属性为:设备运行状态、工作状态、液压状态、控制电压状态、电能表信息时,上述数据对象集合与上述数控装备模型匹配,从而上述检查结果为上述订阅请求合法和有效,并给出对应的采样通道标识符2531;在上述数据对象集合中的对象为:设备运行状态、工作状态、液压状态,数控装备模型中的属性为:设备运行状态、控制电压状态、电能表信息时,上述数据对象集合与上述数控装备模型不匹配,从而上述检查结果为上述订阅请求不合法和无效。
其次,NC-Link适配器在上述检查结果为不合法和无效时,NC-Link适配器拒绝上述订阅请求,并将检查结果使用NC-Link通信协议的标准封装方法封装成对应的响应协议数据单元(NC-Link Response PDU),即上述响应数据单元,并通过预设的反馈接口反馈给上述代理器。
考虑到实际情况,上述反馈的过程还包括检查结果为合法和有效的情况,在检查结果为合法和有效的情况时,NC-Link适配器接收上述订阅请求,并将检查结果与对应的采样通道标识符使用NC-Link通信协议的标准封装方法封装成对应的响应协议数据单元,并通过预设的反馈接口反馈给上述代理器。
在具体实现中,代理器将解密后的订阅请求发布到与NC-Link适配器对应的预定义请求接口中,NC-Link适配器通过监听预定义请求接口,在发现预定义请求接口中有对应的订阅请求后,获取上述订阅请求,并将上述订阅请求结合对应的数控装备的数字模型进行检查其是否合法与有效,在检查结果为合法有效时,NC-Link适配器接收上述订阅请求,并将检查结果使用NC-Link通信协议的标准封装方法封装成对应的响应协议数据单元,并通过预设的反馈接口反馈给上述代理器。
在上述步骤中,本实施例方法通过将订阅请求进行加密传输,相较于现有技术中通过明文传输订阅请求的方式,本实施例方法可以有效防止订阅请求在传输过程中被截取后发生数据被窃取情况的发生,因此有效的提高了数据的安全性。
步骤S30:对所述响应数据单元进行解析,获得响应结果信息;
需要说明的是,上述解析的步骤是使用NC-Link通信协议的标准解析方法,上述解析的步骤是由代理器来完成。
在具体实现中,代理器收到上述响应数据单元后,对响应数据单元进行解析,从而获得响应结果信息,响应结果信息为上述检查结果与对应的采样通道标识符,在检查结果为合法和有效时,代理器允许应用系统基于上述订阅请求进行订阅,并将适配器的访问权限与上述应用系统建立对应关系并存储在代理器中。
考虑到操作的便捷性,本实施例方法在代理器中建立了一个访问控制列表,用于存储上述适配器的访问权限与上述应用系统的对应关系,所以上述存储的步骤可以是将适配器的访问权限与上述应用系统的对应关系更新到该访问控制列表中。
应理解的是,上述检查结果为不合法和无效时,代理器拒绝应用系统对适配器的订阅。
步骤S40:对所述响应结果信息进行加密,获得加密后的响应结果密文;
需要说明是,上述加密过程可以是使用了预设加密模型的加密过程,上述预设加密模型可以是使用基于密文策略属性基加密(CP-ABE)的加密模型,上述加密过程可以是代理器将响应结果信息、预设访问结构A、公开参数PK作为输入,从而得到响应结果密文的过程。
其中,上述CP-ABE是将策略嵌入到密文中,属性嵌入到用户密钥中。密文对应于一个访问结构,而密钥对应于一个属性集合,解密当且仅当属性集合中的属性能够满足此访问结构时才能进行解密。本实施例方法中由于实现了使用CP-ABE加密模型进行加密响应结果信息,从而可以让代理器可以通过设定策略去决定拥有对应属性的人能够访问响应结果密文,相当于对上述响应结果密文做了一个粒度细化到属性级别的加密访问控制,从而提高了数据传输的安全性。
步骤S50:将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应。
需要说明的是,上述应用系统订阅的步骤还可以包括由指定的应用系统发送订阅请求给代理器,在代理器在接收到订阅请求后经过存储并转发到NC-Link适配器后,获取到NC-Link适配器的响应信息,在检测到NC-Link适配器接收订阅请求后,将响应消息发布给订阅请求中包含的多个应用系统,参见图7,图7为NC-Link的接口订阅/发布模型,在模型中NC-Link应用系统E为上述指定的应用系统,上述多个应用系统是指订阅者中:NC-Link应用系统A、NC-Link应用系统B、NC-Link应用系统C和NC-Link应用系统D。
在具体实现中,代理器将响应结果密文发送至对应的数据订阅端,即上述应用系统后,应用系统获取上述响应密文,并使用预设的基于CP-ABE解密模型对响应密文进行解密从而得到响应结果信息,在响应结果信息中检查结果为不合法和无效时,应用系统结束此处订阅请求;在响应结果信息中检查结果为合法和有效时,应用系统通过监听对应的接口获取数据。
本实施例通过接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;对所述响应数据单元进行解析,获得响应结果信息;对所述响应结果信息进行加密,获得加密后的响应结果密文;将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应;由于本实施例中的预设解密模型是基于KP-ABE的解密模型,对响应数据单元的加密使用了基于CP-ABE的加密模型,因此实现了KP-ABE和CP-ABE结合运用于NC-Link数据通信中,相较于现有技术中的明文传输,本实施例的能够有效的提高基于NC-Link的访问控制的安全性,同时由于所有的解密/加密过程都是由代理器来执行完成,NC-Link适配器不参与任何解密的过程,因而能保证所有的数据订阅端的信息都必须先通过代理器进行处理,从而提高了NC-Link适配器的安全性,进一步有效的提高基于NC-Link的访问控制的安全性。
参考图8,图8为本发明基于NC-Link的访问控制方法第二实施例的流程示意图。
基于上述第一实施例,本实施例基于NC-Link的访问控制方法在所述步骤S10之前,还包括:
步骤S101:接收访问请求,并根据所述访问请求获取对应的数据订阅端信息;
需要说明的是,上述访问请求可以是数据订阅端发起的访问请求,该访问请求用于将加密后订阅密文发送给代理器,并且代理器可以通过改访问请求获取到该数据订阅端的信息,该信息包括系统属性值,该系统属性值包含但不限于:系统全称、系统简称、系统版本号、硬件环境、软件环境、IP地址、系统功能、权限要求等。
其中,上述硬件环境可以是数据订阅端的服务器机型、内存大小、外存大小、显卡型号、物理接口、外部设备、通讯设备、线路和信道等其中一项或多项的组合,本实施例对此不作限制。
上述软件环境可以是操作系统、开发环境、编程语言、存储介质、文件系统和防火墙信息等一项或多项的组合,本实施例对此不作限制。
上述权限要求可以是是否需要上行采集数据、是否需要下行控制指令、是否需要主动发送请求、是否需要接收请求、是否需要订阅信息和是否需要发布信息等一项或多项的组合,本实施例对此不作限制。
再次,数据订阅端在上述信息发送给代理器之前,需要按照约定将所有属性值数字化,并通过使用hash算法将上述数字化后的属性值计算得到该系统的设备指纹,即设备的唯一标识符,并发送给代理器。
在具体实现中,代理器接收访问请求,通过解析该访问请求,获取到上述设备指纹,即可理解为接收访问请求,并根据所述访问请求获取对应的数据订阅端信息。
考虑到实际情况下,用户为了提高数据安全性和标识的统一,还可以通过在应用系统(即数据订阅端)开发完成后向有关部门进行申请唯一标识符,该部门工作人员接收到上述申请后,根据公司规定进行合理的审查,在审查通过后根据公司标识符生成规则下发唯一标识符至应用系统,应用系统在接收到唯一标识符后存储在系统中,并在发送访问请求至代理器时,将该唯一标识符作为该系统的系统信息发送给代理器。
步骤S102:根据所述数据订阅端信息查询预设注册表,获得所述数据订阅端信息对应数据订阅端的注册状态;
需要说明的是,上述预设注册表可以是用于存储已经在代理器上完成注册的数据订阅端信息,上述注册表可以设置在代理器本地,也可以设置在单独的注册服务器上,本实施例对此不作限制。
应理解的是,上述注册状态为代理器根据数据订阅端信息查询预设注册表的结果值,其中注册状态分为三种:未注册、已注册、已注销。
在具体实现中,代理器接收到数据订阅端信息后,获取数据订阅端的唯一标识符,通过唯一标识符查询预设注册表,从而获取到改数据订阅的注册状态。
进一步地,为了有效的控制数据订阅的访问权限,以及在毫秒级数据传输中提供数据的时效性,所述根据所述数据订阅端信息查询预设注册表,获得所述数据订阅端信息对应数据订阅端的注册状态的步骤之前,还包括:接收数据订阅端发送的注册请求信息;根据所述注册请求信息对所述数据订阅端的访问权限进行校验,获得校验结果;在所述校验结果为校验成功时,将所述数据订阅端添加至预设注册表。
需要说明的是,上述注册请求信息可以是数据订阅端在刚搭建完成时发送的,也可以是数据订阅端在闲时发送的(闲时是指代理器网络吞吐量低于平均值的情况,一般是在深夜12点左右的时间),本实施例对此不作限制。
应理解的是,数据订阅端发送上述注册请求可以是用于在后续的数据发布和订阅过程中在代理器端获取一定时限的访问权限,例如:代理器可以理解为一个拥有数据的中转码头,数据订阅端是各个数据加工厂,数据加工厂在获取数据之前需要去中转码头进行注册,从而使得加工厂后续用于搬运数据的车辆在进入中转码头时可以获得进入的权限,且不需要每次都进行繁琐的进入手续。
可以理解的是,上述访问权限可以是是否需要上行采集数据、是否需要下行控制指令、是否需要主动发送请求、是否需要接收请求、是否需要订阅信息和是否需要发布信息等一项或多项的组合。
在具体实现中,代理器在接收到数据订阅端发送的注册请求信息后,对上述注册请求信息进行校验,在校验结果为校验成功时,代理器将该数据订阅端保存到预设注册表中,并记录该数据订阅端的注册状态为已注册。
考虑到实际情况,代理器在被非法攻击的时候,也会收到非法的注册请求,此时上述校验结果为校验失败,代理器将该数据订阅端保存到预设注册表中,并记录该数据订阅端的注册状态为未注册。
为了进一步提高代理器的数据安全,上述收到非法的注册请求后,代理器可以将上述数据订阅端加入到模拟注册表中,该虚拟注册表用于在下一次该数据订阅端访问代理器时,代理器将模拟数据发送给数据订阅端,监控该数据订阅端获取到数据后的访问操作,并记录上述访问操作生成被攻击日志,发送给管理员,管理员在接收到被攻击日志后,进行安全策略调整。
进一步地,为了增加上述校验结果的准确性,所述根据所述注册请求信息对所述数据订阅端的访问权限进行校验,获得校验结果的步骤,包括:根据所述注册请求信息获取所述数据订阅端预申请的访问权限;根据预设条件判定所述预申请的访问权限的权限级别,获得判定结果;在所述判定结果为第一级别时,根据第一预设审核条件审核所述访问权限,获取审核结果;在所述审核结果为正常时,将所述审核结果发送至审核模块,以使所述审核模块对所述访问权限进行确认并返回确认结果;所述确认结果为通过时,设置所述校验结果为校验成功;在所述确认结果为驳回时,设置所述校验结果为校验失败,并发送注册失败信息至所述数据订阅端。
需要说明的是,上述预申请的访问权限可以是数据订阅端根据自身对数据分析的需要定义的访问权限,该权限包括:是否需要上行采集数据、是否需要下行控制指令、是否需要主动发送请求、是否需要接收请求、是否需要订阅信息和是否需要发布信息等一项或多项的组合,本实施例对此不作限制。
可以理解的是,上述预设条件为管理员根据公司规定或者法律条款设定的权限级别划分条件,该权限级别可以分为:第一级别、第二级别和第三级别等一项或多项的组合,该权限级别可以根据用户对数据安全要求以及代理器的性能综合考虑设定,本实施例对此不作限制。
此外,可以理解的是,上述第一预设审核条件可以是管理员根据实际情况设置的审核规则,该审核规则用于对数据订阅端申请的访问权限进行审核,在审核通过后,设置审核结果为正常,在审核不通时,设置审核结果为驳回。
应理解的是,上述审核模块可以是用于人工进行审核的模块,也可以是用于发起审核流程的模块,其中,审核流程可以是管理员根据实际情况制定的审核规则,也可以是直接发送给指定用户进行审核的流程,本实施例中对此不作限制。
在具体实现中,代理器接收到数据订阅端的注册请求,获取该数据订阅申请的访问权限,根据预设条件获取该数据订阅端申请的访问权限所属的级别,在所述级别对应的是第一级别时,使用对应预设的审核条件对上述访问权限进行审核,在审核结果为正常时,将审核结果和上述访问权限发送给审核模块进行再次确认,代理器接收审核模块的确认结果,在确认结果为通过时,设置校验结果为校验成功,将上述数据订阅端的信息加入注册表中,并更新访问控制列表,将应用系统的唯一标识符和其权限建立对应关系,将上述对应关系进行加密存储在代理器中,并发送注册成功消息给对应的数据订阅端;在确认结果为驳回时,设置校验结果为校验失败,并将注册失败的信息发送给对应的数据订阅端。
考虑到实际情况,上述审核结果也可能为驳回的情况,在上述审核结果为驳回时,代理器设置校验结果为失败,并将注册失败的信息发送给对应的数据订阅端。
进一步地,为了优化审核过程,提供更加合理的审核方法,所述根据预设条件判定所述预申请的访问权限的权限级别,获得判定结果的步骤之后,还包括:在所述判定结果为第二级别时,根据第二预设审核条件审核所述访问权限,获取审核结果;在所述审核结果为正常时,设置所述校验结果为校验成功;在所述审核结果为异常时,设置所述校验结果为校验失败,发送注册失败信息至所述数据订阅端。
在具体实现中,代理器判定数据订阅端的注册请求为第二级别时,使用对应的审核条件对上述访问权限进行审核,在审核结果为正常时,设置所述校验结果为校验成功,将上述数据订阅端的信息加入注册表中,并更新访问控制列表,将应用系统的唯一标识符和其权限建立对应关系,将上述对应关系进行加密存储在代理器中,并发送注册成功消息给对应的数据订阅端;在审核结果为异常时,设置校验结果为校验失败,并将注册失败的信息发送给对应的数据订阅端。
步骤S103:在所述注册状态为已注册时,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求。
需要说明的是,上述预设解密模型可以是基于KP-ABE的解密模型,用于对访问请求中的订阅密文进行解密,获取解密后的订阅请求。
其中,上述使用预设解密模型对访问请求中的订阅密文进行解密的过程可以理解为,代理器将上述订阅密文输入到解密模型中,解密模型使用对应的解密算法对上述订阅密文进行解密,并输出对应的订阅请求信息,从而得到相关参数,其中相关参数包括但不限于:唯一标识、适配器标识、适配器采样周期、适配器发送周期、数据对象集合、扩展信息。
本实施例通过接收访问请求,并根据所述访问请求获取对应的数据订阅端信息;根据所述数据订阅端信息查询预设注册表,获得所述数据订阅端信息对应数据订阅端的注册状态;在所述注册状态为已注册时,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;实现了根据数据订阅端信息查询注册表获取数据订阅的注册状态,由于数据订阅端信息是根据数据订阅端的系统数据值进行计算得到的唯一标识符信息,从而保证了注册表中数据订阅端的唯一性,进而可以有效的控制器访问权限,提高基于NC-Link的访问控制的安全性,并且在注册审核的过程中引入系统和人工两种审核方式,进一步的确保访问权限的可靠性,并且本实施例中的预设解密模型是基于KP-ABE的解密模型,因此实现了KP-ABE与NC-Link的结合,相较于现有技术中的明文传输,本实施例的能够有效的提高基于NC-Link的访问控制的安全性。
参考图9,图9为本发明基于NC-Link的访问控制方法第三实施例的流程示意图。
基于上述第一实施例,本实施例基于NC-Link的访问控制方法在所述步骤S50之前,还包括:
步骤S60:获取所述NC-Link适配器通过第一预设接口发布的采集数据;
需要说明的是,上述第一预设接口可以是适配器根据预先制定的规则生成的接口,例如:Sample/dev_uuid/sample_channel_id,其中,dev_uuid为发送该数据的适配器GUID,sample_channel_id为适配器提供的合法的采样通道标识符。
应理解的是,上述采集数据可以是适配器获取对应的数控装备数字模型中各个属性的实时值,其采集频率一般为毫秒级。
步骤S70:根据所述采集数据从预设访问控制列表中获取具有访问权限的数据订阅端的第一列表;
在具体实现中,代理器接收到上述采集数据后,解析采集数据,然后根据上述采集数据查询访问控制列表,获取访问控制列表中有权限获取该采集数据的数据订阅端。
步骤S80:查询预设注册表中订阅前缀为预设前缀的数据订阅端的第二列表;
在具体实现中,代理器获取上述采集数据对应的第一预设接口的接口,并将该接口作为查询条件,通过模糊查询方法,查询注册表中订阅前缀为上述接口的数据订阅端,获得第二列表。
步骤S90:在所述第一列表与所述第二数据订阅端列表相匹配时,将所述采集数据输入预设加密模型中,获得所述采集数据对应的密文;
需要说明的是,上述加密模型可以是基于CP-ABE的数据加密模型,将待加密的数据内容m、访问结构A、公开参数PK输入该加密模型中,即可得到加密后的密文。
在具体实现中,通过强制安全匹配,即比较上述第一列表和第二列表中的数据订阅端信息,当且仅当第一列表与第二列表中数据订阅端一一对应时,代理器将采集数据通过加密模型进行加密,得到加密后的密文。当第一列表与第二列表中数据订阅端不对应时,说明此时访问控制策略已经更新,代理器取消上述数据订阅端的订阅权限,并发送消息给对应的数据订阅端,告知已经没有权限继续访问上述适配器。
步骤S100:将所述密文发布至第二预设接口,以使所述第一数据订阅端列表中的各数据订阅端通过所述第二预设接口获取所述密文并使用预设的解密模型对所述密文解密获得所述适配器发送的所述采集数据。
需要说明的是,上述第二预设接口为在访问控制列表中,代理器存储的数据传输接口,例如:Sample/dev_uuid/sample_channel_id/ex_cid。
在具体实现中,应用程序通过上述第二预设接口获取上述密文,并将上述密文输入到存储在本地的解密模型中,对上述密文进行解密,得到采集数据。
为了便于理解上述数据采集流程,本实施例结合图10进行具体说明,参见图10,图10为本发明基于NC-Link的访问控制方法的订阅/采集时序图;本实施例中的数据采集流程是在上述数据订阅之后的步骤,其中图10中循环部分即为数据采集的流程,在数据采集流程中,代理器A获取到适配器A发布的数据单元,通过强制安全匹配检验注册表和访问控制列表中数据订阅的访问权限,在数据订阅有权限访问数据单元时,通过CP-ABE加密模型加密数据单元并转发给应用系统A,应用系统A在接收到加密后的数据单元后,对该数据单元进行解密,从而获取采集数据。
本实施例通过获取所述NC-Link适配器通过第一预设接口发布的采集数据;根据所述采集数据从预设访问控制列表中获取具有访问权限的数据订阅端的第一列表;查询预设注册表中订阅前缀为预设前缀的数据订阅端的第二列表;在所述第一列表与所述第二数据订阅端列表相匹配时,将所述采集数据输入预设加密模型中,获得所述采集数据对应的密文;将所述密文发布至第二预设接口,以使所述第一数据订阅端列表中的各数据订阅端通过所述第二预设接口获取所述密文并使用预设的解密模型对所述密文解密获得所述适配器发送的所述采集数据;从而使得代理器对适配上传的采集数据使用基于CP-ABE的加密模型进行加密,保证了只有在有访问权限的数据订阅端才能解密采集数据,并且通过设定策略来决定拥有特定属性的数据订阅端才能访问密文,进而实现了基于属性颗粒度的访问控制;并且在CP-ABE的加密基础上引入了强制安全匹配的方式,使得基于角色权限控制的通用方式更加完善,对于高安全级别的应用场景,在访问策略改变后,能够及时的取消对于数据订阅端的访问权限,从而有效的提高了基于NC-Link的访问控制的安全性。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有基于NC-Link的访问控制程序,所述基于NC-Link的访问控制程序被处理器执行时实现如上文所述的基于NC-Link的访问控制方法的步骤。
参照图11,图11为本发明基于NC-Link的访问控制装置第一实施例的结构框图。
如图11所示,本发明实施例提出的基于NC-Link的访问控制装置包括:
密文解密模块100,用于接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;
请求转发模块200,用于将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;
响应解析模块300,用于对所述响应数据单元进行解析,获得响应结果信息;
结果加密模块400,用于对所述响应结果信息进行加密,获得加密后的响应结果密文;
密文发送模块500,用于将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应。
本实施例通过接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;对所述响应数据单元进行解析,获得响应结果信息;对所述响应结果信息进行加密,获得加密后的响应结果密文;将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应;由于本实施例中的预设解密模型是基于KP-ABE的解密模型,对响应数据单元的加密使用了基于CP-ABE的加密模型,因此实现了KP-ABE和CP-ABE结合运用于NC-Link数据通信中,相较于现有技术中的明文传输,本实施例的能够有效的提高基于NC-Link的访问控制的安全性,同时由于所有的解密/加密过程都是由代理器来执行完成,NC-Link适配器不参与任何解密的过程,因而能保证所有的数据订阅端的信息都必须先通过代理器进行处理,从而提高了NC-Link适配器的安全性,进一步有效的提高基于NC-Link的访问控制的安全性。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的基于NC-Link的访问控制方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于NC-Link的访问控制方法,其特征在于,所述基于NC-Link的访问控制方法包括:
接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;
将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;
对所述响应数据单元进行解析,获得响应结果信息;
对所述响应结果信息进行加密,获得加密后的响应结果密文;
将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应。
2.如权利要求1所述的基于NC-Link的访问控制方法,其特征在于,所述接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求的步骤,包括:
接收访问请求,并根据所述访问请求获取对应的数据订阅端信息;
根据所述数据订阅端信息查询预设注册表,获得所述数据订阅端信息对应数据订阅端的注册状态;
在所述注册状态为已注册时,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求。
3.如权利要求2所述的基于NC-Link的访问控制方法,其特征在于,所述根据所述数据订阅端信息查询预设注册表,获得所述数据订阅端信息对应数据订阅端的注册状态的步骤之前,还包括;
接收数据订阅端发送的注册请求信息;
根据所述注册请求信息对所述数据订阅端的访问权限进行校验,获得校验结果;
在所述校验结果为校验成功时,将所述数据订阅端添加至预设注册表。
4.如权利要求3所述的基于NC-Link的访问控制方法,其特征在于,所述根据所述注册请求信息对所述数据订阅端的访问权限进行校验,获得校验结果的步骤,包括:
根据所述注册请求信息获取所述数据订阅端预申请的访问权限;
根据预设条件判定所述预申请的访问权限的权限级别,获得判定结果;
在所述判定结果为第一级别时,根据第一预设审核条件审核所述访问权限,获取审核结果;
在所述审核结果为正常时,将所述审核结果发送至审核模块,以使所述审核模块对所述访问权限进行确认并返回确认结果;
在所述确认结果为通过时,设置所述校验结果为校验成功;
在所述确认结果为驳回时,设置所述校验结果为校验失败,并发送注册失败信息至所述数据订阅端。
5.如权利要求4所述的基于NC-Link的访问控制方法,其特征在于,所述根据预设条件判定所述预申请的访问权限的权限级别,获得判定结果的步骤之后,还包括:
在所述判定结果为第二级别时,根据第二预设审核条件审核所述访问权限,获取审核结果;
在所述审核结果为正常时,设置所述校验结果为校验成功;
在所述审核结果为异常时,设置所述校验结果为校验失败,发送注册失败信息至所述数据订阅端。
6.如权利要求1所述的基于NC-Link的访问控制方法,其特征在于,所述接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求的步骤之前,还包括:
发送注册信息至密码模块,以使所述密码模块对所述注册信息进行审核并在审核通过后返回公开参数和主密钥;
接收所述公开参数和所述主密钥;
根据预设访问控制策略获取对应的访问控制结构;
将所述公开参数、所述主密钥和所述访问控制结构输入至预设密钥生成模型生成对应的解密模型,并将所述解密模型设置为预设解密模型。
7.如权利要求1所述的基于NC-Link的访问控制方法,其特征在于,所述将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应的步骤之后,还包括:
获取所述NC-Link适配器通过第一预设接口发布的采集数据;
根据所述采集数据从预设访问控制列表中获取具有访问权限的数据订阅端的第一列表;
查询预设注册表中订阅前缀为预设前缀的数据订阅端的第二列表;
在所述第一列表与所述第二数据订阅端列表相匹配时,将所述采集数据输入预设加密模型中,获得所述采集数据对应的密文;
将所述密文发布至第二预设接口,以使所述第一数据订阅端列表中的各数据订阅端通过所述第二预设接口获取所述密文并使用预设的解密模型对所述密文解密获得所述适配器发送的所述采集数据。
8.一种基于NC-Link的访问控制装置,其特征在于,所述装置包括:
密文解密模块,用于接收访问请求,通过预设解密模型对所述访问请求中的订阅密文进行解密,获得解密后的订阅请求;
请求转发模块,用于将所述解密后的订阅请求发送至NC-Link适配器,并获取所述NC-Link适配器基于所述解密后的订阅请求发布的响应数据单元;
响应解析模块,用于对所述响应数据单元进行解析,获得响应结果信息;
结果加密模块,用于对所述响应结果信息进行加密,获得加密后的响应结果密文;
密文发送模块,用于将所述响应结果密文发送至对应的数据订阅端,以完成对所述解密后的订阅请求的响应。
9.一种基于NC-Link的访问控制设备,其特征在于,所述基于NC-Link的访问控制设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的基于NC-Link的访问控制程序,所述基于NC-Link的访问控制程序配置为实现如权利要求1至7中任一项所述的基于NC-Link的访问控制方法。
10.一种存储介质,其特征在于,所述存储介质上存储有基于NC-Link的访问控制程序,所述基于NC-Link的访问控制程序被处理器执行时实现如权利要求1至7任一项所述的基于NC-Link的访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111029398.8A CN113872940B (zh) | 2021-09-02 | 2021-09-02 | 基于NC-Link的访问控制方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111029398.8A CN113872940B (zh) | 2021-09-02 | 2021-09-02 | 基于NC-Link的访问控制方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113872940A true CN113872940A (zh) | 2021-12-31 |
| CN113872940B CN113872940B (zh) | 2022-11-04 |
Family
ID=78989458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111029398.8A Active CN113872940B (zh) | 2021-09-02 | 2021-09-02 | 基于NC-Link的访问控制方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113872940B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113766015A (zh) * | 2021-08-23 | 2021-12-07 | 武汉华中数控股份有限公司 | 一种NC-Link层、基于其的通讯系统及方法 |
| CN114710557A (zh) * | 2022-04-12 | 2022-07-05 | 树根互联股份有限公司 | 一种数据传输方法、装置及数据发布设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277293A (zh) * | 2007-06-25 | 2008-10-01 | 广东中大讯通软件科技有限公司 | 一种实现数字家庭设备间多协议互联互通的适配器及其方法 |
| US20100216430A1 (en) * | 2009-02-24 | 2010-08-26 | Research In Motion Limited | Content-based publication-subscription system for presence information |
| CN110472391A (zh) * | 2019-08-21 | 2019-11-19 | 北京明略软件系统有限公司 | 数据访问方法及装置、存储介质、电子装置 |
| CN111726809A (zh) * | 2020-06-17 | 2020-09-29 | 华中科技大学 | 数控环境下的网络安全审计方法及系统 |
| CN112615935A (zh) * | 2020-12-25 | 2021-04-06 | 武汉华中数控股份有限公司 | 一种终端设备联网参考模型及其交互方法 |
| CN112859740A (zh) * | 2021-01-11 | 2021-05-28 | 成都耐视特科技有限公司 | 一种数控机床数据采集装置 |
-
2021
- 2021-09-02 CN CN202111029398.8A patent/CN113872940B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277293A (zh) * | 2007-06-25 | 2008-10-01 | 广东中大讯通软件科技有限公司 | 一种实现数字家庭设备间多协议互联互通的适配器及其方法 |
| US20100216430A1 (en) * | 2009-02-24 | 2010-08-26 | Research In Motion Limited | Content-based publication-subscription system for presence information |
| CN110472391A (zh) * | 2019-08-21 | 2019-11-19 | 北京明略软件系统有限公司 | 数据访问方法及装置、存储介质、电子装置 |
| CN111726809A (zh) * | 2020-06-17 | 2020-09-29 | 华中科技大学 | 数控环境下的网络安全审计方法及系统 |
| CN112615935A (zh) * | 2020-12-25 | 2021-04-06 | 武汉华中数控股份有限公司 | 一种终端设备联网参考模型及其交互方法 |
| CN112859740A (zh) * | 2021-01-11 | 2021-05-28 | 成都耐视特科技有限公司 | 一种数控机床数据采集装置 |
Non-Patent Citations (1)
| Title |
|---|
| 武汉华中数控股份有限公司: ""基于NC-link"协议的数控系统适配器设计", 《武汉华中数控股份有限公司》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113766015A (zh) * | 2021-08-23 | 2021-12-07 | 武汉华中数控股份有限公司 | 一种NC-Link层、基于其的通讯系统及方法 |
| CN114710557A (zh) * | 2022-04-12 | 2022-07-05 | 树根互联股份有限公司 | 一种数据传输方法、装置及数据发布设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113872940B (zh) | 2022-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9772623B2 (en) | Securing devices to process control systems | |
| CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
| JP5100286B2 (ja) | 暗号モジュール選定装置およびプログラム | |
| US9069944B2 (en) | Managing passwords used when detecting information on configuration items disposed on a network | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| CN111488598A (zh) | 访问控制方法、装置、计算机设备和存储介质 | |
| US8762725B2 (en) | Secure machine-to-machine communication protocol | |
| EP3497915A1 (en) | Peer-to-peer communication system and peer-to-peer processing apparatus | |
| CN104054321A (zh) | 针对云服务的安全管理 | |
| JP2006500657A (ja) | セキュリティポリシーの維持及び配信をサポートするためのサーバー、コンピュータメモリ、及び方法 | |
| CN113872940B (zh) | 基于NC-Link的访问控制方法、装置及设备 | |
| CN112231692A (zh) | 安全认证方法、装置、设备及存储介质 | |
| JP6567258B2 (ja) | 信頼されるモバイル通信のためのシステム及び方法 | |
| CN108966216B (zh) | 一种应用于配电网的移动通信方法及系统 | |
| CN111475823A (zh) | 一种数据共享方法、设备、服务器及可读存储介质 | |
| Tigli et al. | Context-aware authorization in highly dynamic environments | |
| RU2474073C2 (ru) | Сеть и способ для инициализации ключа для линии центра управления безопасностью | |
| CN100334833C (zh) | 网络上客户端使用服务端资源的方法 | |
| US20230262045A1 (en) | Secure management of a robotic process automation environment | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN113438242B (zh) | 服务鉴权方法、装置与存储介质 | |
| WO2019209184A1 (en) | System and method for establishing secure communication | |
| JP6783527B2 (ja) | 電子鍵再登録システム、電子鍵再登録方法およびプログラム | |
| CN113992734A (zh) | 会话连接方法及装置、设备 | |
| KR20020083551A (ko) | 멀티에이전트 기반 다단계 사용자 인증 시스템 개발과운용 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |