CN108429744A - 一种数控机床通信接口安全防护方法及装置 - Google Patents
一种数控机床通信接口安全防护方法及装置 Download PDFInfo
- Publication number
- CN108429744A CN108429744A CN201810177671.3A CN201810177671A CN108429744A CN 108429744 A CN108429744 A CN 108429744A CN 201810177671 A CN201810177671 A CN 201810177671A CN 108429744 A CN108429744 A CN 108429744A
- Authority
- CN
- China
- Prior art keywords
- access
- protective device
- numerically
- equipment
- communication interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Numerical Control (AREA)
- General Factory Administration (AREA)
Abstract
本发明提供了一种数控机床通信接口安全防护方法及装置,对数控机床中需要进行访问控制的外设接口进行访问监控;要对数控机床进行访问的设备,均通过所述访问监控进行访问;访问监控的具体控制方法包括,对访问设备的身份进行验证,通过身份验证,才允许访问;上传文件通过访问监控的缓存提供给数控机床使用;下载文件通过访问监控的WEB页面获取;对访问设备的所有操作进行记录。有效保护了数控系统的通信数据安全,阻止了异常数据流入数控系统,并阻断了利用数控系统进行的一切网络攻击和非法数据窃取行为,保证了数控系统与数控加工网络的正常安全运转。
Description
技术领域
本发明涉及一种通信安全领域的数控机床通信接口安全防护装置及方法。
背景技术
随着“两化融合”的不断推进,越来越多的网络技术、控制技术应用于智能制造中,工业控制系统在智能制造业得到了十分广泛的应用,它对于提升智能制造业研发、生产制造能力起到了十分重要的作用。但目前国内绝大多数工业控制系统均采用国外产品和技术,对国内用户采用封闭措施,导致关键基础设施安全问题受制于人;而另一方面,以“震网”为代表的工业网络攻击和入侵屡见不鲜,带来巨大损失的同时也给智能制造业敲响了警钟,因此,对智能制造中最为关键的数控机床的防护就变得尤为重要。现有的数控系统存在以下安全问题:
缺乏对数控机床USB等接口的监控,存在滥用移动存储介质和NC加工文件、日志文件外泄的安全隐患;
数控机床在维修过程中存在较大的安全隐患,没有维修审计技术手段;
在数控机床上部署信息安全产品存在较大难度;
现在DNC系统缺乏对文件流转的控制手段,存在涉密文档资料等可以通过DNC系统直接流转到数控机床的安全隐患;
DNC加工网络内部通信没有监管和审计,DNC网络安全存在安全隐患;
尽管问题已经暴露,但目前并没有一种对数控机床的各种外设接口,特别是通用串行接口(USB)进行有效的安全防护的方法。
发明内容
本发明要解决的技术问题是提供一种有效保护数控系统的通信数据安全,阻止异常数据流入数控系统,并阻断利用数控系统进行的一切网络攻击和非法数据窃取行为的数控机床通信接口安全防护装置及方法。
本发明采用的技术方案如下:一种数控机床通信接口安全防护方法,具体方法为:对数控机床中需要进行访问控制的外设接口访问监控;要对数控机床进行访问的设备,均通过所述访问监控进行访问;访问监控的具体控制方法包括,对访问设备的身份进行验证,通过身份验证,才允许访问;上传文件通过访问监控的缓存提供给数控机床使用;下载文件通过访问监控的WEB页面获取;对访问设备的所有操作进行记录。
所述控制方法还包括以下的一种、两种或两种以上的组合及任意组合顺序:
对访问设备的访问操作权限进行识别;对访问设备的访问时效进行验证;对访问设备的访问文件关键字黑名单识别;对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
对访问设备进行身份验证的具体方法为:通过登录访问控制的WEB认证页面,进行身份认证,且使用指定的身份认证介质进行身份认证。
所述身份认证介质为USBKey。
所述方法还包括,对设置访问监控外的其余接口,进行物理封存。
一种数控机床通信接口安全防护装置,其特征在于,所述防护装置与数控机床中需要进行访问控制的外设接口对接;要对数控机床进行访问的设备,均通过所述防护装置进行访问;所述防护装置包括身份验证模块,对访问设备的身份进行验证;所述防护装置还包括缓存模块,缓存访问设备上传的供数控机床使用的文件;所述防护装置还包括WEB页面控制模块,控制访问设备从控制的WEB页面获取要下载的文件;所述防护装置还包括记录模块,记录访问设备的所有操作。
所述防护装置还包括以下的一种、两种或两种以上的组合及任意组合顺序:
访问操作权限识别模块,对访问设备的访问操作权限进行识别;访问时效验证模块,对访问设备的访问时效进行验证;关键词识别模块,对访问设备的访问文件关键字黑名单识别;文件类型权限识别模块,对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
还包括身份认证介质,通过登录访问控制的WEB认证页面,进行身份认证。
所述身份认证介质为USBKey。
所述安全防护装置与数控机床一一对应。
与现有技术相比,本发明的有益效果是:通过对数控系统网口、串口、USB等接口的全面监控和接管,有效保护数控系统的通信数据安全,阻止异常数据流入数控系统,并阻断利用数控系统进行的一切网络攻击和非法数据窃取行为,保证数控系统与数控加工网络的正常安全运转。
附图说明
图1为本发明其中一实施例的流程示意图。
图2为本发明的典型应用示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书(包括摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
具体实施例1
一种数控机床通信接口安全防护方法,具体方法为:对数控机床中需要进行访问控制的外设接口访问监控;要对数控机床进行访问的设备,均通过所述访问监控进行访问;访问监控的具体控制方法包括,对访问设备的身份进行验证,通过身份验证,才允许访问;上传文件通过访问监控的缓存提供给数控机床使用;下载文件通过访问监控的WEB页面获取;对访问设备的所有操作进行记录,支持对USB操作记录的审计。
任何与数控机床交互数据的装置或主机都需要进行完成身份认证后才可在权限范围内对数据进行操作,且基于国产密码算法的身份认证。
访问监控作为数控机床的安全屏障,针对数控机床任意外设接口的任意数据交互都需要访问监控进行转发和监控。
具体实施例2
在具体实施例1的基础上,所述控制方法还包括以下的一种、两种或两种以上的组合及任意组合顺序:
对访问设备的访问操作权限进行识别;对访问设备的访问时效进行验证;对访问设备的访问文件关键字黑名单识别;对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
如图1所示,为本发明其中一实施例的方面流程示意图。
根据用户划分权限,用户的权限具有失效性;支持对文件类型的控制,支持对文件的上传、下载和删除的控制,支持对文件内容关键词的控制。
具体实施例3
在具体实施例1或2的基础上,对访问设备进行身份验证的具体方法为:通过登录访问控制的WEB认证页面,进行身份认证,且使用指定的身份认证介质进行身份认证。
具体实施例4
在具体实施例3的基础上,所述身份认证介质为USBKey。
具体实施例5
在具体实施例1到4之一的基础上,在本具体实施例中,对设置访问监控外的其余接口,进行物理封存。
具体实施例6
一种数控机床通信接口安全防护装置,所述防护装置与数控机床中需要进行访问控制的外设接口对接;要对数控机床进行访问的设备,均通过所述防护装置进行访问;所述防护装置包括身份验证模块,对访问设备的身份进行验证;所述防护装置还包括缓存模块,缓存访问设备上传的供数控机床使用的文件;所述防护装置还包括WEB页面控制模块,控制访问设备从控制的WEB页面获取要下载的文件;所述防护装置还包括记录模块,记录访问设备的所有操作。
数控网络管理员对防护装置的配置管理、操作员交互数控机床加工数据、维修人员上传下载维护数据都需要通过身份认证后才能进行。访问设备上的WEB浏览器将需要交互的文件上传至防护装置,然后数控机床才能读取此文件。反过来,需要从数控机床上拷贝文件至USB存储介质,首先也需要通过防护装置的认证,在防护装置的WEB页面上将文件下载至本地。
本发明的防护装置通过对数控系统网口、串口、USB等接口的全面监控和接管,有效保护数控系统的通信数据安全,阻止异常数据流入数控系统,并阻断利用数控系统进行的一切网络攻击和非法数据窃取行为,保证数控系统与数控加工网络的正常安全运转。数控机床所有的外设接口都与防护装置对接。
具体实施例7
在具体实施例6的基础上,所述防护装置还包括以下的一种、两种或两种以上的组合及任意组合顺序:
访问操作权限识别模块,对访问设备的访问操作权限进行识别;访问时效验证模块,对访问设备的访问时效进行验证;关键词识别模块,对访问设备的访问文件关键字黑名单识别;文件类型权限识别模块,对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
根据管理员的配置,文件的上传、下载、删除,文件的类型都进行了权限的控制,甚至文件内容也进行了监控,只有特定的通过认证的用户才能够处理自己权限内的事务。并且,用户的权限也是有时效性的,超过时间范围,就算认证通过,也不能进行任何操作。以上所有的操作都进行了详细的记录,用于事后审计。
具体实施例8
在具体实施例6或7的基础上,还包括身份认证介质,通过登录访问控制的WEB认证页面,进行身份认证。在本具体实施例中,身份认证时不仅需要输入用户名和密码,还必须同时在接入的访问设备上设置身份认证介质。
具体实施例9
在具体实施例8的基础上,所述身份认证介质为USBKey,将相应的USBKey作为身份认证介质安插在接入的访问设备上。只有使用加载了SM2证书的USBKey才能通过防护装置的身份认证,整个认证过程采用的是国产加密算法。
具体实施例10
在具体实施例6到9之一的基础上,所述安全防护装置与数控机床一一对应,每台数控机床均配置有一个安全防护装置。在本具体实施例中,数控机床所有的外设接口都与防护装置对接,多余接口进行物理封存,两者一对一部署于数控网络中,防护装置对数控机床重要数据进行安全保护、对业务数据进行访问控制、对操作行为进行认证管控。
部分数控机床没有接口或者不能联入工业以太网中,这类数控机床使用的加工文件主要就靠通用串行总线(USB)接口导入导出。接入防护装置后,通过与防护装置的USB接口互联,由防护装置联入工业以太网(图2中虚线连接)。
Claims (10)
1.一种数控机床通信接口安全防护方法,具体方法为:对数控机床中需要进行访问控制的外设接口访问监控;要对数控机床进行访问的设备,均通过所述访问监控进行访问;访问监控的具体控制方法包括,对访问设备的身份进行验证,通过身份验证,才允许访问;上传文件通过访问监控的缓存提供给数控机床使用;下载文件通过访问监控的WEB页面获取;对访问设备的所有操作进行记录。
2.根据权利要求1所述的数控机床通信接口安全防护方法,所述控制方法还包括以下的一种、两种或两种以上的组合及任意组合顺序:
对访问设备的访问操作权限进行识别;对访问设备的访问时效进行验证;对访问设备的访问文件关键字黑名单识别;对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
3.根据权利要求1或2所述的数控机床通信接口安全防护方法,对访问设备进行身份验证的具体方法为:通过登录访问控制的WEB认证页面,进行身份认证,且使用指定的身份认证介质进行身份认证。
4.根据权利要求3所述的数控机床通信接口安全防护方法,所述身份认证介质为USBKey。
5.根据权利要求1所述的数控机床通信接口安全防护方法,所述方法还包括,对设置访问监控外的其余接口,进行物理封存。
6.一种数控机床通信接口安全防护装置,其特征在于,所述防护装置与数控机床中需要进行访问控制的外设接口对接;要对数控机床进行访问的设备,均通过所述防护装置进行访问;所述防护装置包括身份验证模块,对访问设备的身份进行验证;所述防护装置还包括缓存模块,缓存访问设备上传的供数控机床使用的文件;所述防护装置还包括WEB页面控制模块,控制访问设备从控制的WEB页面获取要下载的文件;所述防护装置还包括记录模块,记录访问设备的所有操作。
7.根据权利要求6所述的数控机床通信接口安全防护装置,其特征在于,所述防护装置还包括以下的一种、两种或两种以上的组合:
访问操作权限识别模块,对访问设备的访问操作权限进行识别;访问时效验证模块,对访问设备的访问时效进行验证;关键词识别模块,对访问设备的访问文件关键字黑名单识别;文件类型权限识别模块,对访问操作的文件类型权限进行识别;所述访问时效是指允许该身份用户进行访问的时效,和/或某种访问权限的时效。
8.根据权利要求6或7所述的数控机床通信接口安全防护装置,其特征在于,还包括身份认证介质,通过登录访问控制的WEB认证页面,进行身份认证。
9.根据权利要求8所述的数控机床通信接口安全防护装置,其特征在于,所述身份认证介质为USBKey。
10.根据权利要求6所述的数控机床通信接口安全防护装置,其特征在于,所述安全防护装置与数控机床一一对应。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810177671.3A CN108429744A (zh) | 2018-03-05 | 2018-03-05 | 一种数控机床通信接口安全防护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810177671.3A CN108429744A (zh) | 2018-03-05 | 2018-03-05 | 一种数控机床通信接口安全防护方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108429744A true CN108429744A (zh) | 2018-08-21 |
Family
ID=63157694
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810177671.3A Pending CN108429744A (zh) | 2018-03-05 | 2018-03-05 | 一种数控机床通信接口安全防护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108429744A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109635544A (zh) * | 2018-12-11 | 2019-04-16 | 佛山市南海纽控智能科技有限公司 | 一种数控机床系统及其控制方法 |
CN112861081A (zh) * | 2021-01-29 | 2021-05-28 | 武汉华中数控股份有限公司 | 一种数控系统g代码加密方法和系统 |
CN113037770A (zh) * | 2021-03-29 | 2021-06-25 | 武汉华工安鼎信息技术有限责任公司 | 一种基于存储虚拟化的工控数据安全系统及方法 |
CN114615240A (zh) * | 2022-03-02 | 2022-06-10 | 华南理工大学 | 一种群发应答式数控机床文件传输和云存储系统 |
CN115001821A (zh) * | 2022-06-01 | 2022-09-02 | 北京安盟信息技术股份有限公司 | 一种基于usb通讯的数控机床用通讯安全防护系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103441926A (zh) * | 2013-08-27 | 2013-12-11 | 西北工业大学 | 数控机床网安全网关系统 |
CN104268443A (zh) * | 2014-09-28 | 2015-01-07 | 北京航天数控系统有限公司 | 一种数控系统防护设备 |
CN105446266A (zh) * | 2015-12-30 | 2016-03-30 | 青海模具制造科技有限公司 | 一种数控机床的实时远程监控总控调配自动修复系统 |
CN105978871A (zh) * | 2016-05-09 | 2016-09-28 | 北京航天数控系统有限公司 | 一种针对数控系统的通信防护设备 |
CN106774168A (zh) * | 2016-12-09 | 2017-05-31 | 中国电子科技网络信息安全有限公司 | 一种数控nc代码安全过滤系统 |
CN107390636A (zh) * | 2017-08-28 | 2017-11-24 | 德阳杰创科技有限公司 | 一种数控设备运行监测方法和维护方法及系统 |
-
2018
- 2018-03-05 CN CN201810177671.3A patent/CN108429744A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103441926A (zh) * | 2013-08-27 | 2013-12-11 | 西北工业大学 | 数控机床网安全网关系统 |
CN104268443A (zh) * | 2014-09-28 | 2015-01-07 | 北京航天数控系统有限公司 | 一种数控系统防护设备 |
CN105446266A (zh) * | 2015-12-30 | 2016-03-30 | 青海模具制造科技有限公司 | 一种数控机床的实时远程监控总控调配自动修复系统 |
CN105978871A (zh) * | 2016-05-09 | 2016-09-28 | 北京航天数控系统有限公司 | 一种针对数控系统的通信防护设备 |
CN106774168A (zh) * | 2016-12-09 | 2017-05-31 | 中国电子科技网络信息安全有限公司 | 一种数控nc代码安全过滤系统 |
CN107390636A (zh) * | 2017-08-28 | 2017-11-24 | 德阳杰创科技有限公司 | 一种数控设备运行监测方法和维护方法及系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109635544A (zh) * | 2018-12-11 | 2019-04-16 | 佛山市南海纽控智能科技有限公司 | 一种数控机床系统及其控制方法 |
CN112861081A (zh) * | 2021-01-29 | 2021-05-28 | 武汉华中数控股份有限公司 | 一种数控系统g代码加密方法和系统 |
CN113037770A (zh) * | 2021-03-29 | 2021-06-25 | 武汉华工安鼎信息技术有限责任公司 | 一种基于存储虚拟化的工控数据安全系统及方法 |
CN114615240A (zh) * | 2022-03-02 | 2022-06-10 | 华南理工大学 | 一种群发应答式数控机床文件传输和云存储系统 |
CN114615240B (zh) * | 2022-03-02 | 2023-03-24 | 华南理工大学 | 一种群发应答式数控机床文件传输和云存储系统 |
CN115001821A (zh) * | 2022-06-01 | 2022-09-02 | 北京安盟信息技术股份有限公司 | 一种基于usb通讯的数控机床用通讯安全防护系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108429744A (zh) | 一种数控机床通信接口安全防护方法及装置 | |
US8990923B1 (en) | Protection against unauthorized access to automated system for control of technological processes | |
CN103490895B (zh) | 一种应用国密算法的工业控制身份认证方法及装置 | |
JP2009527030A (ja) | ネットワーク化環境におけるデータの安全保護 | |
CN104751036A (zh) | 一种计算机信息安全系统 | |
JP2013232192A (ja) | コントローラを保護するためのシステムおよび方法 | |
CN104581008B (zh) | 一种视频监控系统信息安全防护系统和方法 | |
CN112769808B (zh) | 用于工业局域网的移动堡垒机及其运维方法、计算机设备 | |
CN101594360A (zh) | 局域网系统和维护局域网信息安全的方法 | |
CN103839011A (zh) | 涉密文件的保护方法及装置 | |
CN105740733B (zh) | 一种加密移动硬盘及其实现方法 | |
CN110225038B (zh) | 用于工业信息安全的方法、装置及系统 | |
CN116781423A (zh) | 一种工业互联网数据的共享方法及系统 | |
NL2033981A (en) | Method for encrypting and decrypting data across domains based on privacy computing | |
CN106992978A (zh) | 网络安全管理方法及服务器 | |
CN104318175B (zh) | 一种文档保护方法、设备以及系统 | |
Purchina et al. | Improving the security level of the information system using the SSL protocol | |
Tedeschi et al. | IoT security hardware framework for remote maintenance of legacy machine tools | |
CN111049657B (zh) | 一种can总线网络设备节点访问权限管理方法及系统 | |
Maurya et al. | Blockchain-powered solution to safeguard IoT devices against attacks | |
CN116722970B (zh) | 一种基于硬件实现的防攻击网关安全系统 | |
Bißmeyer | Security in ecu production | |
Vasudevan et al. | Cyber security challenges in digital manufacturing and possible ways of mitigation | |
Giehl et al. | Leveraging Edge Computing and Differential Privacy to Securely Enable Industrial Cloud Collaboration Along the Value Chain | |
US20240073011A1 (en) | Systems and Methods for Securing a Quantum-Safe Digital Network Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180821 |
|
WD01 | Invention patent application deemed withdrawn after publication |