CN115314259B - 矿山运输系统的安全控制方法、客户端、服务端及系统 - Google Patents

矿山运输系统的安全控制方法、客户端、服务端及系统 Download PDF

Info

Publication number
CN115314259B
CN115314259B CN202210829366.4A CN202210829366A CN115314259B CN 115314259 B CN115314259 B CN 115314259B CN 202210829366 A CN202210829366 A CN 202210829366A CN 115314259 B CN115314259 B CN 115314259B
Authority
CN
China
Prior art keywords
domain
client
encryption
module
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210829366.4A
Other languages
English (en)
Other versions
CN115314259A (zh
Inventor
周长成
唐建林
孙祥里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu XCMG Construction Machinery Institute Co Ltd
Original Assignee
Jiangsu XCMG Construction Machinery Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu XCMG Construction Machinery Institute Co Ltd filed Critical Jiangsu XCMG Construction Machinery Institute Co Ltd
Priority to CN202210829366.4A priority Critical patent/CN115314259B/zh
Publication of CN115314259A publication Critical patent/CN115314259A/zh
Application granted granted Critical
Publication of CN115314259B publication Critical patent/CN115314259B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了矿山运输系统的安全控制方法、客户端、服务端及系统,客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;将完整加密请求数据发送到服务端,以便于服务器根据设定的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,域安全控制策略。本发明通过客户端和服务端两侧相对应的两次加密解密,增加了通信数据传输的安全性,数据很难被轻松截取及篡改。

Description

矿山运输系统的安全控制方法、客户端、服务端及系统
技术领域
本发明属于采矿机械技术和计算机应用技术领域,涉及一种矿山运输系统的分层安全控制方法及系统。
背景技术
随着无人驾驶、5G通信、人工智能、云计算等技术的快速发展,露天矿山运输系统迎来了快速地发展,在国内各大露天矿山陆续出现落地运行的方案。无人化运输系统可以有效地减少人力成本,提高生产效率,保障矿区作业人员安全。无人化运输系统由无线网络通信系统(4G、5G、无线Mesh等)、位于控制中心的机群管理系统、无人驾驶矿用自卸车、装载辅助作业设备(挖掘机、电铲等)、卸载辅助作业设备(推土机、装载机等)、道路维护辅助设备(平地机、洒水车等)、服务车辆(皮卡车等)组成。
在露天矿山运输系统运行过程中,终端设备、用户的合法性,数据传输的安全性等问题亟需解决,否则,将会导致非法用户、非授权设备侵入系统,获取安全数据,明文数据传输,导致数据被轻松截取并篡改。
发明内容
为了解决上述问题,本发明提供一种矿山运输系统的分层安全控制方法及系统,能够有效保障矿山无人化系统的通信安全、数据安全和系统安全,有效降低通信被截取、数据被篡改、系统被侵入的风险,提高整个系统的安全性。
为实现上述技术目的,本发明采用以下技术方案。
一方面,本发明提供了矿山运输系统的安全控制方法,包括:
客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
将所述完整加密请求数据发送到服务端,以便于所述服务器根据设定的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;校验通过则根据域类型标志根据路由表进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密;
所述客户端接收服务端返回的完整加密结果数据。
第二方面,本发明提供了矿山运输系统的安全控制方法,包括:
服务端接收客户端发送的完整加密请求数据,所述完整加密请求数据由客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
根据客户端的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密,获取完整加密结果数据并返回给客户端。
第三方面,本发明提供了一种客户端,包括:参数存储模块、域加密模块、全局加密模块以及客户端数据收发模块;
参数存储模块,用于存储其客户端标识、域类型标识、请求对象表示、请求内容以及设定的全局加密策略和域加密策略;
域加密模块,用于采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;
所述全局加密模块,用于设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述客户端数据收发模块,用于将所述完整加密请求数据发送到服务端,以便于所述服务器调用设定的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密;
所述数据收发模块,还用于接收服务端返回的完整加密结果数据。
第四方面,本发明提供了服务端,包括:服务端数据收发模块、域路由管理模块和域安全控制管理模块;所述域路由管理模块包括路由表、路由控制模块、路由过滤模块、加密模块和解密模块,所述域安全控制管理模块包括域安全执行器、域安全控制服务、域资源服务模块和域资源;
所述服务端数据收发模块,用于接收客户端发送的完整加密请求数据,所述完整加密请求数据由客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述加密模块,用于根据对加密后的请求资源生成对应的摘要数据,利用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密,获取完整加密结果数据;
所述解密模块,用于根据客户端的全局加密策略对客户端发送的完整加密请求数据进行解密;
所述路由过滤模块,用于基于解密模块获得的解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;
所述路由控制模块,用于路由过滤模块校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制管理模块;
所述域安全执行器,用于根据客户端标识向域安全控制服务调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;向域安全控制服务调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容通过资源服务接口向资源域调取请求资源并根据域加密策略进行加密;
第五方面,本发明提供了矿山运输系统的安全控制系统,所述系统包括客户端和服务端;
所述客户端包括:参数存储模块、域加密模块、全局加密模块以及客户端数据收发模块;
参数存储模块,用于存储其客户端标识、域类型标识、请求对象表示、请求内容以及设定的全局加密策略和域加密策略;
域加密模块,用于采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;
所述全局加密模块,用于设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述客户端数据收发模块,用于将所述完整加密请求数据发送到服务端;所述数据收发模块,还用于接收服务端返回的完整加密结果数据;
所述服务端包括:服务端数据收发模块、域路由管理模块和域安全控制管理模块;所述域路由管理模块包括路由表、路由控制模块、路由过滤模块、加密模块和解密模块,所述域安全控制管理模块包括域安全执行器、域安全控制服务、域资源服务模块和域资源;
所述服务端数据收发模块,用于接收客户端发送的完整加密请求数据,所述完整加密请求数据由客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述加密模块,用于根据对加密后的请求资源生成对应的摘要数据,利用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密,获取完整加密结果数据;
所述解密模块,用于根据客户端的全局加密策略对客户端发送的完整加密请求数据进行解密;
所述路由过滤模块,用于基于解密模块获得的解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;
所述路由控制模块,用于路由过滤模块校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制管理模块;
所述域安全执行器,用于根据客户端标识向域安全控制服务调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;向域安全控制服务调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容通过资源服务接口向资源域调取请求资源并根据域加密策略进行加密。
本发明所取得的有益技术效果:
本发明通过客户端和服务端两侧相对应的两次加密解密,增加了通信数据传输的安全性,数据很难被轻松截取及篡改;通过根据客户端标识,结合域类型标识进行客户端校验和非法客户端过滤,避免了非法用户、非授权设备侵入系统,获取安全数据,进一步增强了系统的安全性;
本发明对不同的域类型分别进行域安全控制,使安全控制更加细化且有针对性,提高安全控制可靠性,保证了矿山运输系统的安全运行。
附图说明
图1为具体实施例提供的矿山运输系统的结构示意图;
图2为具体实施例中服务端的路由表示意图;
图3为具体实施例提供的矿山运输系统的请求处理时序图。
具体实施方式
以下结合说明书附图和具体实施方式对本发明做进一步说明。
实施例1:矿山运输系统的安全控制方法,该方法执行在客户端,包括:
客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
将所述完整加密请求数据发送到服务端,以便于所述服务器根据设定的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密;
所述客户端接收服务端返回的完整加密结果数据。
本申请中将系统划分为用户域、设备域和数据域三种类型的域,根据不同的域类型设定域类型标识。其中用户域主要负责对系统用户、终端用户的访问和操作进行安全控制;设备域主要负责对接入到系统中的各种终端设备(车辆、手持设备等)的数据交互进行安全控制;数据域主要负责对外部系统接入的数据访问和操作进行安全控制。
具体实施例中,全局加密策略使用对称加密算法,包括:SM4国密对称堆成加密算法、AES、DES三种选择,可根据需要配置并设置对应的密钥。
所述域加密策略,与全局加密策略类似,分别针对用户域、设备域和数据域,使用对称加密算法、非对称加密算法加密解密交互数据,并通过摘要算法验证数据的完整性,对称加密算法包括:SM4国密对称堆成加密算法、AES、DES;非对称加密算法包括:SM2国密非对称算法、RSA;摘要算法包括:MD5、SHA-1、SM3。可根据需要进行选择摘要算法和非对称加密算法,针对非对称算法,提供相应的公钥和私钥生成模块。
具体实施例中,客户端获取设定的域加密策略和全局加密策略的步骤包括:向服务端请求全局加密策略和域加密策略,接收服务端返回的结果。在其他实施例中,客户端也看采用其他方式获取域加密策略和全局加密策略。
实施例2:与以上实施例相对应地,本实施例提供了矿山运输系统的安全控制方法,该方法执行在服务端,包括:
服务端接收客户端发送的完整加密请求数据,所述完整加密请求数据由客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
根据客户端的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密,获取完整加密结果数据并返回给客户端。
具体实施例中,服务端通过黑名单管理实现过滤非法客户端,确定黑名单可采用手动添加和根据失败请求超过一定次数自动添加两种方式。
实施例3:一种客户端,包括:参数存储模块、域加密模块、全局加密模块以及客户端数据收发模块;
参数存储模块,用于存储其客户端标识、域类型标识、请求对象表示、请求内容以及设定的全局加密策略和域加密策略;
域加密模块,用于采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;
所述全局加密模块,用于设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述客户端数据收发模块,用于将所述完整加密请求数据发送到服务端,以便于所述服务器调用设定的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密;
所述数据收发模块,还用于接收服务端返回的完整加密结果数据。
进一步地,所述客户端还包括:客户端解密模块,所述客户端解密模块用于采用设定的全局加密策略对完整加密结果数据进行解密,获得客户端标识、域类型标识、加密后的请求资源以及摘要数据;采用设定的域加密策略对加密后的请求资源进行解密获得返回的请求资源。
实施例4:一种服务端,如图1和图3所示,包括:服务端数据收发模块、域路由管理模块和域安全控制管理模块;所述域路由管理模块包括路由表、路由控制模块、路由过滤模块、加密模块和解密模块,所述域安全控制管理模块包括域安全执行器、域安全控制服务、域资源服务模块和域资源;
所述服务端数据收发模块,用于接收客户端发送的完整加密请求数据,所述完整加密请求数据由客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述加密模块,用于根据对加密后的请求资源生成对应的摘要数据,利用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密,获取完整加密结果数据;
所述解密模块,用于根据客户端的全局加密策略对客户端发送的完整加密请求数据进行解密;如果解密失败,记录该客户端的失败次数,超过最大次数,自动加入到黑名单;
所述路由过滤模块,用于基于解密模块获得的解密结果,根据客户端标识进行客户端合法性校验,根据黑名单过滤非法客户端;
所述路由控制模块,用于路由过滤模块校验通过则根据域类型标志根据路由表进行路由选择确定所属域对应的域安全控制管理模块;
所述域安全执行器,用于根据客户端标识向域安全控制服务调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验;如校验失败,记录该客户端失败次数,达到最大限制次数后,自动添加到黑名单;
域安全执行器向域安全控制服务调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容通过资源服务接口向资源域调取请求资源并根据域加密策略进行加密。
域安全执行器相当于执行人,使用工具集去做一系列校验、解密的处理,域安全控制服务相当于工具集。
本实施例中,路由表,即域类型与域安全控制模块的匹配表,通过域类型标识指向域安全控制地址。路由表示意图如图2所示,所述域安全控制地址包括域执行器地址和域资源地址。
本实施例中资源域,主要包括系统所属的各种资源文件和资源数据等基础资源。资源服务接口,主要提供对所属的资源域进行操作的相关接口和逻辑处理。
本实施例中,服务端进行域内客户端合法性校验和资源权限校验,主要通过白名单管理和权限管理实现,通过用户注册、设备注册、外部系统访问license发行将合法用户、设备和外部系统添加到白名单中管理,并通过权限管理模块管理用户、设备、外部系统能够访问的资源。
本实施例中,服务端对接收到客户端发送的数据进行两级解密,对下发的请求返回数据进行两级加密处理。所述两级解密为,域路由控制模块根据全局加密策略进行初步解密,域安全控制模块根据域加密策略对请求数据本体进行二次解密;所述两级加密处理,安全控制执行器根据域安全策略的加密策略对下发数据本体进行加密,域路由控制模块根据全局加密策略对完整数据进行二次加密,本发明增加了通信数据传输的安全性,数据很难被轻松截取及篡改。
具体实施例中,通过采用摘要算法将数据生成摘要信息。
实施例5:本实施例还提供了矿山运输系统的安全控制系统,其特征在于,所述系统包括客户端和服务端;所述客户端采用以上实施例提供的客户端,所述服务端采用以上实施例提供的服务端。
本发明公开的安全控制方法和系统能够有效保障矿山无人化运输系统的系统安全、通讯安全和数据安全,降低系统和数据被非法用户、非法设备破坏的风险。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (10)

1.矿山运输系统的安全控制方法,其特征在于,包括:
客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
将所述完整加密请求数据发送到服务端,以便于所述服务器根据设定的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,通过黑名单管理实现过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验,所述域内客户端合法性校验是通过白名单管理实现的;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密;
所述客户端接收服务端返回的完整加密结果数据。
2.根据权利要求1所述的矿山运输系统的安全控制方法,其特征在于,客户端获取设定的域加密策略和全局加密策略的步骤包括:向服务端请求全局加密策略和域加密策略,接收服务端返回的结果。
3.根据权利要求1所述的矿山运输系统的安全控制方法,其特征在于,所述域类型标识用于标识用户、设备和数据三种类型的域。
4.矿山运输系统的安全控制方法,其特征在于,包括:
服务端接收客户端发送的完整加密请求数据,所述完整加密请求数据由客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
根据客户端的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,通过黑名单管理实现过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验,所述域内客户端合法性校验是通过白名单管理实现的;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密,获取完整加密结果数据并返回给客户端。
5.根据权利要求4所述的矿山运输系统的安全控制方法,其特征在于,接收客户端发送的选择全局加密策略和域加密策略的请求,选择指定的加密算法,生成对应密钥,将对应密钥发送给客户端。
6.一种客户端,其特征在于,包括:参数存储模块、域加密模块、全局加密模块以及客户端数据收发模块;
参数存储模块,用于存储其客户端标识、域类型标识、请求对象表示、请求内容以及设定的全局加密策略和域加密策略;
域加密模块,用于采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;
所述全局加密模块,用于设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述客户端数据收发模块,用于将所述完整加密请求数据发送到服务端,以便于所述服务器调用设定的全局加密策略对其进行解密;基于解密结果,根据客户端标识进行客户端合法性校验,通过黑名单管理实现过滤非法客户端;校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制策略,所述域安全控制策略包括:
根据客户端标识调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验,所述域内客户端合法性校验是通过白名单管理实现的;调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容调取请求资源并根据域加密策略进行加密,根据对加密后的请求资源生成对应的摘要数据,调用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密;
所述数据收发模块,还用于接收服务端返回的完整加密结果数据。
7.根据权利要求6所述的客户端,其特征在于,还包括:客户端解密模块,所述客户端解密模块用于采用设定的全局加密策略对完整加密结果数据进行解密,获得客户端标识、域类型标识、加密后的请求资源以及摘要数据;采用设定的域加密策略对加密后的请求资源进行解密获得返回的请求资源。
8.服务端,其特征在于,包括:服务端数据收发模块、域路由管理模块和域安全控制管理模块;所述域路由管理模块包括路由表、路由控制模块、路由过滤模块、加密模块和解密模块,所述域安全控制管理模块包括域安全执行器、域安全控制服务、域资源服务模块和域资源;
所述服务端数据收发模块,用于接收客户端发送的完整加密请求数据,所述完整加密请求数据由客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述加密模块,用于根据对加密后的请求资源生成对应的摘要数据,利用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密,获取完整加密结果数据;
所述解密模块,用于根据客户端的全局加密策略对客户端发送的完整加密请求数据进行解密;
所述路由过滤模块,用于基于解密模块获得的解密结果,根据客户端标识进行客户端合法性校验,通过黑名单管理实现过滤非法客户端;
所述路由控制模块,用于路由过滤模块校验通过则根据域类型标志根据路由表进行路由选择确定所属域对应的域安全控制管理模块;
所述域安全执行器,用于根据客户端标识向域安全控制服务调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验,所述域内客户端合法性校验是通过白名单管理实现的;向域安全控制服务调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容通过资源服务接口向资源域调取请求资源并根据域加密策略进行加密。
9.根据权利要求8所述的服务端,其特征在于,所述路由表,是域类型与域安全控制模块的匹配表,通过域类型标识指向域安全控制地址,所述域安全控制地址包括域执行器地址和域资源地址。
10.矿山运输系统的安全控制系统,其特征在于,所述系统包括客户端和服务端;
所述客户端包括:参数存储模块、域加密模块、全局加密模块以及客户端数据收发模块;
参数存储模块,用于存储其客户端标识、域类型标识、请求对象表示、请求内容以及设定的全局加密策略和域加密策略;
域加密模块,用于采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;
所述全局加密模块,用于设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述客户端数据收发模块,用于将所述完整加密请求数据发送到服务端;所述数据收发模块,还用于接收服务端返回的完整加密结果数据;
所述服务端包括:服务端数据收发模块、域路由管理模块和域安全控制管理模块;所述域路由管理模块包括路由表、路由控制模块、路由过滤模块、加密模块和解密模块,所述域安全控制管理模块包括域安全执行器、域安全控制服务、域资源服务模块和域资源;
所述服务端数据收发模块,用于接收客户端发送的完整加密请求数据,所述完整加密请求数据由客户端采用设定的域加密策略对请求内容进行加密,对加密后的请求内容生成对应的摘要数据;利用设定的全局加密策略对其客户端标识、域类型标识、加密后的请求内容以及摘要数据进行加密,获取完整加密请求数据;
所述加密模块,用于根据对加密后的请求资源生成对应的摘要数据,利用设定的全局加密策略对客户端标识、域类型标识、加密后的请求资源以及摘要数据进行加密,获取完整加密结果数据;
所述解密模块,用于根据客户端的全局加密策略对客户端发送的完整加密请求数据进行解密;
所述路由过滤模块,用于基于解密模块获得的解密结果,根据客户端标识进行客户端合法性校验,通过黑名单管理实现过滤非法客户端;
所述路由控制模块,用于路由过滤模块校验通过则根据域类型标志进行路由选择确定所属域对应的域安全控制管理模块;
所述域安全执行器,用于根据客户端标识向域安全控制服务调用设定的校验方法进行域内客户端合法性校验和资源权限校验,对摘要信息进行完整性校验,所述域内客户端合法性校验是通过白名单管理实现的;向域安全控制服务调用设定的域加密策略对加密后的请求内容进行解密获得请求内容;根据请求内容通过资源服务接口向资源域调取请求资源并根据域加密策略进行加密。
CN202210829366.4A 2022-07-15 2022-07-15 矿山运输系统的安全控制方法、客户端、服务端及系统 Active CN115314259B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210829366.4A CN115314259B (zh) 2022-07-15 2022-07-15 矿山运输系统的安全控制方法、客户端、服务端及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210829366.4A CN115314259B (zh) 2022-07-15 2022-07-15 矿山运输系统的安全控制方法、客户端、服务端及系统

Publications (2)

Publication Number Publication Date
CN115314259A CN115314259A (zh) 2022-11-08
CN115314259B true CN115314259B (zh) 2023-06-02

Family

ID=83856170

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210829366.4A Active CN115314259B (zh) 2022-07-15 2022-07-15 矿山运输系统的安全控制方法、客户端、服务端及系统

Country Status (1)

Country Link
CN (1) CN115314259B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107786328A (zh) * 2017-09-01 2018-03-09 深圳市金立通信设备有限公司 一种生成密钥的方法、服务节点设备及计算机可读介质
CN111291393A (zh) * 2020-01-21 2020-06-16 上海悦易网络信息技术有限公司 请求校验方法及设备
CN113497778A (zh) * 2020-03-18 2021-10-12 北京同邦卓益科技有限公司 一种数据的传输方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120206647A1 (en) * 2010-07-01 2012-08-16 Digital Zoom, LLC System and method for tagging streamed video with tags based on position coordinates and time and selectively adding and using content associated with tags
US10127378B2 (en) * 2014-10-01 2018-11-13 Kalman Csaba Toth Systems and methods for registering and acquiring E-credentials using proof-of-existence and digital seals

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107786328A (zh) * 2017-09-01 2018-03-09 深圳市金立通信设备有限公司 一种生成密钥的方法、服务节点设备及计算机可读介质
CN111291393A (zh) * 2020-01-21 2020-06-16 上海悦易网络信息技术有限公司 请求校验方法及设备
CN113497778A (zh) * 2020-03-18 2021-10-12 北京同邦卓益科技有限公司 一种数据的传输方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
无线局域网的常用攻击技术分析;陈潮;靳慧云;;计算机安全(10);全文 *

Also Published As

Publication number Publication date
CN115314259A (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
CN105260663B (zh) 一种基于TrustZone技术的安全存储服务系统及方法
CN106503995A (zh) 一种数据分享方法、源节点、目标节点及系统
JP2015537428A (ja) 仮想マシンによる安全なデータ処理
CN104573549A (zh) 一种可信的数据库机密性保护方法及系统
CN113438205B (zh) 区块链数据访问控制方法、节点以及系统
CN104753953A (zh) 访问控制系统
CN102546580A (zh) 一种用户口令的更新方法、系统及装置
CN114327532A (zh) 一种基于数字签名和加密的汽车ota升级信息安全实现方法
CN102340500B (zh) 可信计算平台安全管理系统及安全管理方法
CN113676334A (zh) 基于区块链的分布式边缘设备身份认证系统及认证方法
Srivastava et al. Self-reliant mobile code: a new direction of agent security
CN114598501A (zh) 一种基于物联网的数据处理方法和装置
CN115314259B (zh) 矿山运输系统的安全控制方法、客户端、服务端及系统
CN111190694A (zh) 一种基于鲲鹏平台的虚拟化安全加固方法及装置
CN113901507B (zh) 一种多参与方的资源处理方法及隐私计算系统
CN115189928A (zh) 一种密码服务虚拟机动态安全迁移方法及系统
CN112422292B (zh) 一种网络安全防护方法、系统、设备及存储介质
CN112702170A (zh) 车辆数据的管理方法、管理系统及查看方法、查看终端
CN105046174A (zh) 磁盘数据的保护方法及系统
CN109104393B (zh) 一种身份认证的方法、装置和系统
CN117294465B (zh) 一种基于跨域通信的属性加密系统及方法
CN114785577B (zh) 一种零信任验证方法、系统及存储介质
CN111600870B (zh) 一种双向通信认证方法及系统
CN111327415A (zh) 一种联盟链数据保护方法及装置
CN112769560B (zh) 一种密钥管理方法和相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant