CN113037770B - 一种基于存储虚拟化的工控数据安全系统及方法 - Google Patents

一种基于存储虚拟化的工控数据安全系统及方法 Download PDF

Info

Publication number
CN113037770B
CN113037770B CN202110332570.0A CN202110332570A CN113037770B CN 113037770 B CN113037770 B CN 113037770B CN 202110332570 A CN202110332570 A CN 202110332570A CN 113037770 B CN113037770 B CN 113037770B
Authority
CN
China
Prior art keywords
numerical control
file
machine controller
control system
distributed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110332570.0A
Other languages
English (en)
Other versions
CN113037770A (zh
Inventor
廖巍
崔浦华
韩敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Huagong Anding Information Technology Co ltd
Original Assignee
Wuhan Huagong Anding Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Huagong Anding Information Technology Co ltd filed Critical Wuhan Huagong Anding Information Technology Co ltd
Priority to CN202110332570.0A priority Critical patent/CN113037770B/zh
Publication of CN113037770A publication Critical patent/CN113037770A/zh
Application granted granted Critical
Publication of CN113037770B publication Critical patent/CN113037770B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Abstract

一种基于存储虚拟化的工控数据安全系统及方法,所述系统包括数控机床控制器和分布式数控系统,所述数控机床控制器包括虚拟磁盘和用户进程,所述分布式数控系统包括文件服务器;所述文件服务器用于存储文件,并接收数控机床控制器的访问,基于数控机床控制器的业务请求向数控机床控制器发送对应的文件,其中,所述文件为通过加密后的文件;所述用户进程用于向分布式数控系统发起业务请求;所述虚拟磁盘用于验证用户的身份权限,如果用户的身份权限验证通过,则通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件,并将解密后的文件发送给用户进程。

Description

一种基于存储虚拟化的工控数据安全系统及方法
技术领域
本发明涉及数据安全领域,具体涉及一种基于存储虚拟化的工控数据安全系统及方法。
背景技术
数控技术的发展日新月异,出现了越来越多的分布式数控系统,这时,数据安全就显得尤为重要。现有的分布式工控数据系统,不具备权限控制等安全功能,所以有必要改进现有的分布式工控数据系统,加入安全功能。
发明内容
鉴于现有技术中存在的技术缺陷和技术弊端,本发明实施例提供克服上述问题或者至少部分地解决上述问题的一种基于存储虚拟化的工控数据安全系统及方法,具体方案如下:
作为本发明的第一方面,提供基于存储虚拟化的工控数据安全系统,其特征在于,所述系统包括数控机床控制器和分布式数控系统,所述数控机床控制器包括虚拟磁盘和用户进程;
所述数控机床控制器的用户进程用于向分布式数控系统发起业务请求,所述业务请求包括文件上传请求和文件获取请求;
所述分布式数控系统包括文件服务器,所述文件服务器用于存储文件,并接收数控机床控制器的业务请求,基于文件获取请求向数控机床控制器发送对应的文件,基于文件上传请求接收数控机床控制器发送过来的文件;
所述数控机床控制器的虚拟磁盘用于在用户进程发起业务请求时,验证对应用户的身份权限,如果用户的身份权限验证通过,则通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件,并将解密后的文件发送给用户进程;或者通过与分布式数控系统相同的key和算法加密数控机床控制器发送给分布式数控系统的文件。
进一步地,所述虚拟磁盘还用于:当用户的身份权限验证未通过时,则所述虚拟磁盘将分布式数控系统发送给数控机床控制器的文件以密文的形式发送给用户进程。
进一步地,验证用户的身份权限包括验证用户身份合法性、用户权限以及用户进程合法性。
进一步地,所述虚拟磁盘包括网络模块、加解密模块和权限控制模块;
所述网络模块用于建立数控机床控制器与分布式数控系统之间的工业网络连接;
所述权限控制模块用于验证用户的身份权限;
所述加解密模块用于当用户的身份权限验证通过时,通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件;或者通过与分布式数控系统相同的key和算法加密数控机床控制器发送给分布式数控系统的文件。
进一步地,所述虚拟磁盘还包括缓存模块,所述缓存模块用于缓存分布式数控系统发送给数控机床控制器的文件以及解密后的文件。
作为本发明的第二方面,提供一种基于存储虚拟化的工控数据安全方法,所述方法包括:
通过数控机床控制器的用户进程向分布式数控系统发起业务请求,所述业务请求包括文件上传请求和文件获取请求;
分布式数控系统的文件服务器接收数控机床控制器的业务请求,基于文件获取请求向数控机床控制器发送对应的文件,基于文件上传请求接收数控机床控制器发送过来的文件;
数控机床控制器的虚拟磁盘在用户进程发起业务请求时,验证对应用户的身份权限,如果用户的身份权限验证通过,则通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件,并将解密后的文件发送给用户进程;或者通过与分布式数控系统相同的key和算法加密数控机床控制器发送给分布式数控系统的文件。
进一步地,所述方法还包括:当用户的身份权限验证未通过时,虚拟磁盘将分布式数控系统发送给数控机床控制器的文件以密文的形式发送给用户进程。
进一步地,所述业务请求包括还包括文件修改和删除请求,所述分布式数控系统还基于文件修改和删除请求对存储的对应文件修改和删除操作。
本发明具有以下有益效果:
1.每个用户都必须登录软件数控机床控制器,才可以有效访问远程分布式数控系统文件。数控机床控制器赋予每个用户不同的权限。当用户针对某个文件有访问权限时,文件系统才会访问该远程文件明文,否则只能获取到密文,系统可以对用户针对任意文件的读,写,执行,删除做细致化的权限控制。
2.加解密功能保证了文件传输过程中的安全性和完整性,对于重要且秘密的文件,分布式数控系统可以对文件加密,解密过程交给数控机床控制器来做。,如果文件在工业网络传输过程中被截取,中间人拿到的只是加密后的文件。另一方面,该模块也保证了文件在中途没有被篡改,被篡改的文件是无法成功解密的,从而保证了文件的完整性。
附图说明
图1为本发明实施例提供的一种基于存储虚拟化的工控数据安全系统的结构图;
图2为本发明实施例提供的一种基于存储虚拟化的工控数据安全方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如图1所示,作为本发明的第一实施例,提供一种基于存储虚拟化的工控数据安全系统,所述系统包括数控机床控制器和分布式数控系统,所述数控机床控制器包括虚拟磁盘和用户进程,所述分布式数控系统包括分布式数控系统;
所述分布式数控系统包括文件服务器,所述文件服务器用于存储文件,并接收数控机床控制器的访问,基于数控机床控制器的业务请求向数控机床控制器发送对应的文件,或者接受数控机床控制器发送过来的文件,其中,所述文件为通过加密后的文件;
所述用户进程用于向分布式数控系统发起业务请求;
所述虚拟磁盘用于验证用户的身份权限,如果用户的身份权限验证通过,则通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件;或者通过与分布式数控系统相同的key和算法加密数控机床控制器发送给分布式数控系统的文件;如果用户的身份权限验证未通过时,则所述虚拟磁盘将分布式数控系统发送给数控机床控制器的文件以密文的形式发送给用户进程。
其中,验证用户的身份权限包括验证用户身份合法性、用户权限以及用户进程合法性等。
其中,所述虚拟磁盘包括网络模块、加解密模块、权限控制模块和缓存模块;
所述网络模块用于建立数控机床控制器与分布式数控系统之间的工业网络连接;
所述权限控制模块用于验证用户的身份权限;
所述加解密模块用于当用户的身份权限验证通过时,通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件;或者通过与分布式数控系统相同的key和算法加密数控机床控制器发送给分布式数控系统的文件。
所述缓存模块用于缓存分布式数控系统发送给数控机床控制器的文件以及解密后的文件。
其中,所述用户进程通过所述虚拟磁盘与分布式数控系统通信,用户进程与分布式数控系统之间的所有文件和业务请求都需要经过虚拟磁盘。
其中,所述用户进程可以是数控机床控制器上任意第三方进程,例如office、gedit等。用户进程和fuse的交互并不需要额外的通信协议,只需要用户进行进行文件操作,fuse就会自动监测到,并做相应的响应。例如,通过双击一个office word文件尝试打来一个分布式数控系统上的word文件(分布式数控系统上的文件层次结构,客户机器上是可以看到的),fuse就会监测到这是在打开一个分布式数控系统上的文件,然后从分布式数控系统下载文件(如果没有缓存情况下从分布式数控系统下载,有缓存读取缓存),如果权限验证通过,由加解密模块解密返回明文,否则直接返回密文。
如图1所示,所述分布式数控系统包括服务器磁盘、服务器文件系统、服务器控制逻辑模块以及网络模块,所述分布式数控系统通过网络模块与数控机床控制器网络连接。
如图2所示,作为本发明的第二实施例,提供一种基于存储虚拟化的工控数据安全方法,所述方法包括:
分布式数控系统的文件服务器接收数控机床控制器的访问,基于数控机床控制器的业务请求向数控机床控制器发送对应的文件,其中,所述文件为通过加密后的文件;
通过数控机床控制器的虚拟磁盘验证用户的身份权限,如果用户的身份权限验证通过,则通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件,并将解密后的文件发送给用户进程;如果用户的身份权限验证未通过时,虚拟磁盘将分布式数控系统发送给数控机床控制器的文件以密文的形式发送给用户进程。
其中,所述虚拟磁盘基于用户进程的业务请求验证用户的身份权限,当所述用户的身份权限验证通过时,将所述业务请求发送给分布式数控系统,其中,所述业务请求包括文件获取请求以及文件修改和删除请求,不论是文件获取请求还是对分布式数控系统中的文件修改和删除请求,都需要通过虚拟磁盘进行用户的身份权限验证。
本发明提供的一种基于存储虚拟化的工控数据安全系统及方法,每个用户都必须登录软件数控机床控制器,才可以有效访问远程文件,数控机床控制器赋予每个用户不同的权限,当用户针对某个文件有访问权限时,文件系统才会访问该远程文件明文,否则只能获取到密文。系统可以对用户针对任意文件的读,写,执行,删除做细致化的权限控制。加解密功能保证了文件传输过程中的安全性和完整性。对于重要且秘密的文件,分布式数控系统可以对文件加密,解密过程交给数控机床控制器来做。如果文件在网络传输过程中被截取,中间人拿到的只是加密后的文件。另一方面,该模块也保证了文件在中途没有被篡改,被篡改的文件是无法成功解密的,从而保证了文件的完整性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于存储虚拟化的工控数据安全系统,其特征在于,所述系统包括数控机床控制器和分布式数控系统,所述数控机床控制器包括虚拟磁盘和用户进程;
所述数控机床控制器的用户进程用于向分布式数控系统发起业务请求,所述业务请求包括文件上传请求和文件获取请求;
所述分布式数控系统包括文件服务器,所述文件服务器用于存储文件,并接收数控机床控制器的业务请求,基于文件获取请求向数控机床控制器发送对应的文件,基于文件上传请求接收数控机床控制器发送过来的文件;
所述数控机床控制器的虚拟磁盘用于在用户进程发起业务请求时,验证对应用户的身份权限,如果用户的身份权限验证通过,则通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件,并将解密后的文件发送给用户进程;或者通过与分布式数控系统相同的key和算法加密数控机床控制器发送给分布式数控系统的文件;
其中,所述虚拟磁盘还用于:当用户的身份权限验证未通过时,将分布式数控系统发送给数控机床控制器的文件以密文的形式发送给用户进程。
2.根据权利要求1所述的基于存储虚拟化的工控数据安全系统,其特征在于,验证用户的身份权限包括验证用户身份合法性、用户权限以及用户进程合法性。
3.根据权利要求1所述的基于存储虚拟化的工控数据安全系统,其特征在于,所述虚拟磁盘包括网络模块、加解密模块和权限控制模块;
所述网络模块用于建立数控机床控制器与分布式数控系统之间的工业网络连接;
所述权限控制模块用于在用户进程发起业务请求时验证用户的身份权限;
所述加解密模块用于当用户的身份权限验证通过时,通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件;或者通过与分布式数控系统相同的key和算法加密数控机床控制器发送给分布式数控系统的文件。
4.根据权利要求3所述的基于存储虚拟化的工控数据安全系统,其特征在于,所述虚拟磁盘还包括缓存模块,所述缓存模块用于缓存分布式数控系统发送给数控机床控制器的文件以及解密后的文件。
5.一种基于存储虚拟化的工控数据安全方法,其特征在于,所述方法包括:
通过数控机床控制器的用户进程向分布式数控系统发起业务请求,所述业务请求包括文件上传请求和文件获取请求;
分布式数控系统的文件服务器接收数控机床控制器的业务请求,基于文件获取请求向数控机床控制器发送对应的文件,基于文件上传请求接收数控机床控制器发送过来的文件;
数控机床控制器的虚拟磁盘在用户进程发起业务请求时,验证对应用户的身份权限,如果用户的身份权限验证通过,则通过与分布式数控系统相同的key和算法解密分布式数控系统发送给数控机床控制器的文件,并将解密后的文件发送给用户进程;或者通过与分布式数控系统相同的key和算法加密数控机床控制器发送给分布式数控系统的文件;
其中,所述方法还包括:当用户的身份权限验证未通过时,虚拟磁盘将分布式数控系统发送给数控机床控制器的文件以密文的形式发送给用户进程。
6.根据权利要求5所述的基于存储虚拟化的工控数据安全方法,其特征在于,所述业务请求包括还包括文件修改和删除请求,所述分布式数控系统还基于文件修改和删除请求对存储的对应文件修改和删除操作。
CN202110332570.0A 2021-03-29 2021-03-29 一种基于存储虚拟化的工控数据安全系统及方法 Active CN113037770B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110332570.0A CN113037770B (zh) 2021-03-29 2021-03-29 一种基于存储虚拟化的工控数据安全系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110332570.0A CN113037770B (zh) 2021-03-29 2021-03-29 一种基于存储虚拟化的工控数据安全系统及方法

Publications (2)

Publication Number Publication Date
CN113037770A CN113037770A (zh) 2021-06-25
CN113037770B true CN113037770B (zh) 2022-09-06

Family

ID=76452650

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110332570.0A Active CN113037770B (zh) 2021-03-29 2021-03-29 一种基于存储虚拟化的工控数据安全系统及方法

Country Status (1)

Country Link
CN (1) CN113037770B (zh)

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101345624B (zh) * 2007-07-09 2012-02-29 李树德 一种文件访问系统及其文件访问方法
CN201919030U (zh) * 2010-12-10 2011-08-03 航天信息股份有限公司 一种网络文件存储及管理系统
CN102075544A (zh) * 2011-02-18 2011-05-25 博视联(苏州)信息科技有限公司 局域网共享文件加密系统及其加解密方法
CN103780581A (zh) * 2012-10-23 2014-05-07 江南大学 一种基于云存储的加密文件访问控制系统及方法
CN104852925B (zh) * 2015-05-28 2018-08-28 江南大学 移动智能终端数据防泄漏安全存储、备份方法
US10754826B2 (en) * 2015-11-19 2020-08-25 Ctera Networks, Ltd. Techniques for securely sharing files from a cloud storage
CN106453384B (zh) * 2016-11-09 2023-05-16 鹤荣育 一种安全云盘系统及其安全加密方法
CN107800787B (zh) * 2017-10-23 2020-10-16 图斯崆南京科技有限公司 一种分布式大数据实时交换共享的计算机网络系统
CN107817756A (zh) * 2017-10-27 2018-03-20 西北工业大学 网络化分布式数控系统靶场设计方法
CN108429744A (zh) * 2018-03-05 2018-08-21 中国电子科技网络信息安全有限公司 一种数控机床通信接口安全防护方法及装置
CN110263001B (zh) * 2019-06-18 2024-02-06 深圳前海微众银行股份有限公司 文件管理方法、装置、系统、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN113037770A (zh) 2021-06-25

Similar Documents

Publication Publication Date Title
US8295492B2 (en) Automated key management system
CN110535833B (zh) 一种基于区块链的数据共享控制方法
CN106888084B (zh) 一种量子堡垒机系统及其认证方法
CN110489996B (zh) 一种数据库数据安全管理方法及系统
US9135464B2 (en) Secure storage system for distributed data
CN103095847B (zh) 一种云存储系统安全保障方法及其系统
WO2021164166A1 (zh) 一种业务数据保护方法、装置、设备及可读存储介质
CN108768963B (zh) 可信应用与安全元件的通信方法和系统
US20200401718A1 (en) Secure storage of and access to files through a web application
CN107122674B (zh) 一种应用于运维审计系统的oracle数据库的访问方法
KR20030036787A (ko) 네트워크를 통하여 분배되는 객체를 보안화하기 위한 감사추적 구축용 시스템
JP2004180310A (ja) チップカードと無線端末の間の信頼モデルの設定と管理の方法
EP4064084A1 (en) Password management method and related device
KR100750697B1 (ko) 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법
CN112671735B (zh) 一种基于区块链和重加密的数据加密分享系统及方法
CN103413100A (zh) 文档安全防范系统
CN112202713B (zh) 一种Kubernetes环境下用户数据安全保护方法
CN114244508A (zh) 数据加密方法、装置、设备及存储介质
CN112989320B (zh) 一种用于密码设备的用户状态管理系统及方法
CN110990863A (zh) 一种通过时间戳与加密算法实现文件范文控制的方法
CN108494724B (zh) 基于多授权机构属性加密算法的云存储加密系统
CN106992978A (zh) 网络安全管理方法及服务器
CN117389974A (zh) 一种基于超融合系统的文件安全共享方法
CN113037770B (zh) 一种基于存储虚拟化的工控数据安全系统及方法
KR20060058546A (ko) 데이터베이스 암호화 및 접근 제어 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant