CN116432220A - 数控系统主机访问控制方法、装置、设备及存储介质 - Google Patents
数控系统主机访问控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116432220A CN116432220A CN202310250333.9A CN202310250333A CN116432220A CN 116432220 A CN116432220 A CN 116432220A CN 202310250333 A CN202310250333 A CN 202310250333A CN 116432220 A CN116432220 A CN 116432220A
- Authority
- CN
- China
- Prior art keywords
- access control
- key
- operation request
- control system
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000003860 storage Methods 0.000 title claims abstract description 24
- 230000005540 biological transmission Effects 0.000 claims abstract description 39
- 238000012544 monitoring process Methods 0.000 claims abstract description 19
- 230000003213 activating effect Effects 0.000 claims description 9
- 238000007726 management method Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 19
- 230000006870 function Effects 0.000 description 17
- 238000013475 authorization Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 9
- 230000001276 controlling effect Effects 0.000 description 8
- 238000004519 manufacturing process Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
- G06F2211/008—Public Key, Asymmetric Key, Asymmetric Encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Computing Systems (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Numerical Control (AREA)
Abstract
本发明公开了一种数控系统主机访问控制方法、装置、设备及存储介质,该方法包括:在接收到操作请求时,基于预设国密算法对操作请求进行认证,预设国密算法包括椭圆曲线密码算法和对称密码算法;在认证成功后,监测操作请求对应的操作;在操作为数据传输操作时,通过预设国密算法对数据信息进行保护。由于本发明是通过预设国密算法对操作请求进行认证,然后监测操作请求对应的操作,在监测到对应操作属于数据传输操作时,再通过预设国密算法对数据信息进行保护,与传统的数控系统访问控制相比,上述方法使用预设国密算法,能够有效防止风险操作,且能够进行更安全的数据传输操作,降低了数控系统存在的安全风险,减少了数据泄露的可能。
Description
技术领域
本发明涉及电子数字数据处理领域,尤其涉及一种数控系统主机访问控制方法、装置、设备及存储介质。
背景技术
数控系统是一种根据计算机存储器中存储的控制程序,执行部分或全部数值控制功能的专用计算机系统,主要由终端层、控制层和管理层三部分组成。由于数控系统集成度较高,信息安全保护措施缺失。
目前,数控设备之间的通信多采用Modbus等通用控制协议,然而这种通信协议一般缺乏认证机制和数据加密等基础安全防护措施。在网络连接方面一般采用TCP协议,数控系统的通信安全得不到保障。在文件传输方面,许多数控设备采用FTP协议,甚至有部分数控设备的FTP服务器开放了匿名读写权限,可以在不使用用户名和口令的情况下登录,并对文件进行操作,存在巨大安全隐患。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供了一种数控系统主机访问控制方法、装置、设备及存储介质,旨在解决现有技术中数控系统的数据安全得不到保障的技术问题。
为实现上述目的,本发明提供了一种数控系统主机访问控制方法,所述方法包括以下步骤:在接收到操作请求时,基于预设国密算法对所述操作请求进行认证,所述预设国密算法包括椭圆曲线密码算法和对称密码算法;
在认证成功后,监测所述操作请求对应的操作;
在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护。
可选地,所述在接收到操作请求时,基于预设国密算法对所述操作请求进行认证的步骤,包括:
在接收到操作请求时,通过预设国密算法生成平台身份类密钥;
通过所述平台身份密钥进行数字签名,并基于所述数字签名对所述操作请求进行认证。
所述通过所述平台身份密钥进行数字签名,并基于所述数字签名对所述操作请求进行认证的步骤,包括:
将所述平台身份密钥对应的公钥发送至证书颁发机构;
接收所述证书颁发机构根据所述公钥进行签名生成签名证书;
基于所述签名证书对所述操作请求进行认证。
可选地,所述在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护的步骤,包括:
在所述操作为数据传输操作时,基于所述预设国密算法激活平台加密密钥;
通过所述平台加密密钥对数据信息进行保护。
可选地,所述在所述操作为数据传输操作时,基于所述预设国密算法激活平台加密密钥的步骤,包括:
在所述操作为数据传输操作时,基于预设国密算法向证书颁发机构发送psk证书和psk密钥请求;
接收所述证书颁发机构基于所述psk证书和所述psk密钥请求反馈的平台存储密钥;
基于所述psk密钥和所述平台存储密钥激活平台加密秘钥。
可选地,所述在认证成功后,监测所述操作请求对应的操作的步骤之后,还包括:
在所述操作为设备访问控制操作时,获取所述操作请求对应的访问控制权限;
在所述访问控制权限匹配所述设备访问控制操作对应的目标设备时,允许对所述目标设备进行操作。
可选地,所述在所述访问权限匹配所述设备访问操作对应的目标设备时,允许对所述目标设备进行操作的步骤之前,还包括:
根据所述操作请求中的用户信息确定所述用户对应的权限分组;
根据所述权限分组判断所述访问控制权限是否匹配所述设备访问控制操作对应的目标设备。
此外,为实现上述目的,本发明还提出一种数控系统主机访问控制装置,所述装置包括:
身份认证模块,用于在接收到操作请求时,基于预设国密算法对所述操作请求进行认证,所述预设国密算法包括椭圆曲线密码算法和对称密码算法;
操作监测模块,用于在认证成功后,监测所述操作请求对应的操作;
数据保护模块,用于在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护。
此外,为实现上述目的,本发明还提出一种数控系统主机访问控制设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数控系统主机访问控制程序,所述数控系统主机访问控制程序配置为实现如上文所述的数控系统主机访问控制方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有数控系统主机访问控制程序,所述数控系统主机访问控制程序被处理器执行时实现如上文所述的数控系统主机访问控制方法的步骤。
本发明在接收到操作请求时,基于预设国密算法对操作请求进行认证,预设国密算法包括椭圆曲线密码算法和对称密码算法;在认证成功后,监测操作请求对应的操作;在操作为数据传输操作时,通过预设国密算法对数据信息进行保护。由于本发明是通过预设国密算法对操作请求进行认证,然后监测操作请求对应的操作,在监测到对应操作属于数据传输操作时,再通过预设国密算法对数据信息进行保护,与传统的数控系统访问控制相比,上述方法使用预设国密算法,能够有效防止风险操作,且能够进行更安全的数据传输操作,降低了数控系统存在的安全风险,减少了数据泄露的可能。
附图说明
图1为本发明实施例方案涉及的硬件运行环境的数控系统主机访问控制设备的结构示意图;
图2为本发明数控系统主机访问控制方法第一实施例的流程示意图;
图3为本发明数控系统主机访问控制方法第一实施例中国产密码模块的结构示意图;
图4为本发明数控系统主机访问控制方法第二实施例的流程示意图;
图5为本发明数控系统主机访问控制方法第三实施例的流程示意图;
图6为本发明数控系统主机访问控制装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的数控系统主机访问控制设备结构示意图。
如图1所示,该数控系统主机访问控制设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对数控系统主机访问控制设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及数控系统主机访问控制程序。
在图1所示的数控系统主机访问控制设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明数控系统主机访问控制设备中的处理器1001、存储器1005可以设置在数控系统主机访问控制设备中,所述数控系统主机访问控制设备通过处理器1001调用存储器1005中存储的数控系统主机访问控制程序,并执行本发明实施例提供的数控系统主机访问控制方法。
本发明实施例提供了一种数控系统主机访问控制方法,参照图2,图2为本发明数控系统主机访问控制方法第一实施例的流程示意图。
本实施例中,所述数控系统主机访问控制方法包括以下步骤:
步骤S10:在接收到操作请求时,基于预设国密算法对所述操作请求进行认证,所述预设国密算法包括椭圆曲线密码算法和对称密码算法。
需要说明的是,本实施例方法的执行主体可以是一种具有数据处理、网络通信以及程序运行功能的数控设备,例如数控系统主机访问控制设备;还可以是其他具有相同或相似功能的电子设备,或者是装载有该电子设备的数控系统。本实施例及下述各实施例将以数控系统主机访问控制设备(简称访问控制设备)为执行主体对本发明数控系统主机访问控制方法进行举例说明。
可理解的是,操作请求可以为数控系统接收到的操作请求,例如,数控系统中的设备达到预设条件时自动发送的操作请求以及用户自主发送的访问控制操作请求等。所述预设国密算法可以存储在国产密码模块中,参考图3,图3为本发明数控系统主机访问控制方法第一实施例中国产密码模块的结构示意图,图中包含国产密码模块模块内部的主要功能结构。
需要说明的是,上述国产密码模块可以使用椭圆曲线密码算法SM2、杂凑密码算法SM3、对称密码算法SM4等作为基础密码算法,以这些国产密码为基础,提供身份认证、访问控制、存储加密等服务。其中,密码算法SM2可以用于对数据信息进行签名和验签,达到对敏感信息和关键操作的抗抵赖保护,密码算法SM3和SM4可以用于对数据信息的存取和传输进行机密性保护。密码算法及其机制可以封装在国产密码芯片中,国产密码模块可以通过插卡等形式与数控系统设备进行连接,通过数控系统控制层实现主机的安全防护。
应理解的是,上述国产密码模块的主要功能可以包括:密钥管理、证书服务、数据传输服务、身份认证和访问控制。密钥管理可以指主要负责系统密钥相关的管理功能。证书服务可以指主要负责系统的第三方证书颁发机构(Certificate Authority,CA)接入、证书发放管理功能。数据传输服务可以指主要负责整个系统的数据传输加解密、数据的接发功能。身份认证可以指作为防护网络资产的第一道关口,主要负责确认操作者身份,保证操作者的物理身份与数字身份相对应。访问控制可以指为产线网络设备间的数据访问提供安全认证和数据传输加密功能,保证产线网络的设备间访问安全。并具有访问控制管理中心功能,可统一管理网关访问权限。
在具体实现中,访问控制设备在接收到了来自数控系统设备的操作请求时,通过国产密码模块中的预设国密算法对所述操作请求进行设备操作或用户身份安全性的认证。
步骤S20:在认证成功后,监测所述操作请求对应的操作。
可理解的是,当对操作请求进行成功认证后,监测所述操作请求对应的操作的过程,监测操作请求对应操作的过程可以指获取所述操作请求中包含的设备信息、用户信息以及数据信息等,通过获取到的设备信息、用户信息以及数据信息来确认对应的操作。
在具体实现中,访问控制设备在完成对操作请求的认证之后,监测操作请求对应的操作,当监测到对应的操作为设备访问控制操作时,可以通过多维度授权管理获取所述操作请求对应的访问控制权限,当所述访问控制权限与设备访问控制操作对应的目标设备匹配时,允许对目标设备进行进一步操作。
步骤S30:在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护。
需说明的是,数据传输操作可以指数控系统中与数据内容有关的操作,可以是用户通信操作,也可以是读取加工程序操作,还可以是下载代码文件操作。通过预设国密算法对数据信息进行保护的过程可以是当出现异常操作时,基于预设国密算法对数据信息进行锁定,防止对数据信息更改以及下载。
可理解的是,对数据信息进行锁定可以通过将数据格式进行暂时性更改,使数据信息模式更改为只读模式,当异常情况超过预设时间后,将显示设备进行息屏或将数据信息模式进一步更改为不可读不可写模式。
应该理解的是,对数据信息进行保护的过程,还可以指由CA通过密钥管理中心为用户生成一对公私钥,同时自主备份这对公私钥,然后将其中的公钥进行签名以生成加密证书,使用该用户的签名证书将加密私钥以及加密证书等进行加密后再返回,实现数据信息的加密过程。
在具体实现中,访问控制设备监测到操作请求对应的操作属于用户通信操作、读取加工程序操作或下载代码文件操作时,为产线网络设备间的数据以及用户的数据进行数据传输的加密保护。
本实施例在接收到操作请求时,基于预设国密算法对操作请求进行认证,预设国密算法包括椭圆曲线密码算法和对称密码算法;在认证成功后,监测操作请求对应的操作;在操作为数据传输操作时,通过预设国密算法对数据信息进行保护。由于本实施例是通过预设国密算法对操作请求进行认证,然后监测操作请求对应的操作,在监测到对应操作属于数据传输操作时,再通过预设国密算法对数据信息进行保护,与传统的数控系统访问控制相比,上述方法使用预设国密算法,能够有效防止风险操作,且能够进行更安全的数据传输操作,降低了数控系统存在的安全风险,减少了数据泄露的可能。
参考图4,图4为本发明数控系统主机访问控制方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S10包括:
步骤S101:在接收到操作请求时,通过预设国密算法生成平台身份类密钥。
应理解的是,平台身份类密钥可以指用于实现认证功能的密钥,可以用于实现平台身份认证以证明平台真实身份。在接收到操作请求时,通过预设国密算法在国产密码模块内部生成平台身份密钥,可以在有大量用户的情况下易于实现密钥管理。
可理解的是,平台的密钥可以存储在国产密码芯片的一个永久存储区中,可以由管理中心的密钥管理服务统一进行调度。密钥管理服务可以采用树形层级的结构,即通过上层父密钥的公钥部分对下层的密钥进行数据加密保护,同时辅以密钥访问授权的机制,从而确保密钥的合理使用。密钥可以分为可信密码模块(Trusted Cryptography Module,TCM)内部的密钥和外部的密钥,外部密钥可以指系统应用密钥,由内部密钥生成,以密文形式存储,密钥管理可以基于公钥基础设施(Public Key Infrastructure,PKI)/CA,其中CA可以由证书生成和管理两部分组成,证书生成可以包括用户公钥证书和私钥证书的生成模块。
在具体实现中,访问控制设备在接收到操作请求时,通过国产密码模块中的预设国密算法生成用于身份认证的平台身份类密钥。
步骤S102:通过所述平台身份密钥进行数字签名,并基于所述数字签名对所述操作请求进行认证。
应理解的是,进行数字签名的过程,可以是用户自行生成一对公私钥,其中保留私钥用于签名,公钥可以用于发送给CA机构,通过CA机构对公钥进行签名,然后生成对应的签名证书。然后基于所述数字签名对所述操作请求进行认证。
进一步地,为了进行更优更安全的身份认证过程,作为一种实施方式,本实施例中上述步骤S102还可包括以下步骤:
将所述平台身份密钥对应的公钥发送至证书颁发机构;接收所述证书颁发机构根据所述公钥进行签名生成签名证书;基于所述签名证书对所述操作请求进行认证。
应理解的是,将平台身份密钥对应的公钥发送至证书颁发机构的过程可以通过将数控系统的设备地址、设备信息和对应公钥等一系列信息发送至CA机构,然后将私钥进行保留。
需要说明的是,在接收签名证书后,可以提取出签名证书中对应的签名,使用CA机构对应的公钥对提取的签名进行解密获得第一摘要,再通过预设国密算法对明文信息进行加密获得第二摘要。然后通过对比第一摘要与第二摘要进行认证操作。
在具体实现中,访问控制设备将生成好的平台身份密钥对应的公钥发送到证书颁发机构,在证书颁发机构接收到对应公钥后,访问控制设备以使证书颁发机构根据对应公钥进行签名操作并生成对应的签名证书,然后基于对签名证书进行检验,即通过检验结果完成对操作请求的认证。
本实施例在接收到操作请求时,通过预设国密算法生成平台身份类密钥;通过所述平台身份密钥进行数字签名,并基于所述数字签名对所述操作请求进行认证;在认证成功后,监测所述操作请求对应的操作;在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护。本实施例在接收到了操作请求使通过预设国密算法生成平台身份类密钥对操作请求进行认证。使数控系统的身份认证过程更加安全,进一步降低了数控系统存在的安全风险。
参考图5,图5为本发明数控系统主机访问控制方法第三实施例的流程示意图。
基于上述各实施例,在本实施例中,所述步骤S30,包括:
步骤S301:在所述操作为数据传输操作时,基于所述预设国密算法激活平台加密密钥。
需要说明的是,平台加密密钥可以是实现加密功能的密钥,可以是用于加密用户数据以及相关通讯数据,平台加密密钥与上述平台身份类密钥在国产密码模块中构成双密钥结构。
进一步地,为了更快速的激活复杂度更高的平台加密密钥,本实施例中上述步骤S301还可包括:在所述操作为数据传输操作时,基于预设国密算法向证书颁发机构发送psk证书和psk密钥请求;接收所述证书颁发机构基于所述psk证书和所述psk密钥请求反馈的平台存储密钥;基于所述psk密钥和所述平台存储密钥激活平台加密秘钥。
需要说明的是,在监测到操作请求对应的操作为数据传输操作时,基于预设国密算法向CA机构发送psk证书以及psk密钥请求,在CA机构验证审核完成后,基于所述psk证书和psk密钥请求反馈平台存储密钥。
在具体实现中,在监测到操作请求对应的操作为数据传输操作时,访问控制设备基于预设国密算法向证书颁发机构发送psk证书和psk密钥请求,在证书颁发机构验证审核完成后,以使证书颁发机构基于psk证书和psk密钥请求反馈平台存储密钥,基于psk密钥和平台存储密钥激活平台加密密钥。
步骤S302:通过所述平台加密密钥对数据信息进行保护。
可理解的是,对数据信息进行保护的过程可以是由CA机构通过密钥管理中心为用户生成一对公私钥,同时自己备份这对公私钥,然后将公钥进行签名生成加密证书,使用该用户的签名证书将加密私钥、加密证书等进行加密后,返回给用户。
进一步地,在认证操作请求后,监测所述操作请求对应的操作之后,为了使操作不超出对应权限,更方便进行灵活管理,所述步骤S20的之后,还包括:在所述操作为设备访问控制操作时,获取所述操作请求对应的访问控制权限;在所述访问控制权限匹配所述设备访问控制操作对应的目标设备时,允许对所述目标设备进行操作。
可理解的是,设备访问控制操作可以指对数控系统中的设备进行访问控制的操作。访问控制权限可以是数控系统中的设备或用户的对应操作许可权限,访问控制权限可以包括:普通信息查询类权限、数控系统主机一般操作权限、执行零件加工程序权限、下载G代码文件权限以及超级权限。上述访问控制权限可以通过预设授权方式进行管理。预设授权方式可以包括:分组授权、多维度授权或细粒度授权等。
需说明的是,分组授权可以指将数控系统中的所有用户和设备进行分组处理,将具有相同权限的用户或设备加入同一个用户组。更改用户授权时,也可以直接对用户组进行操作。使用分组管理的方式可以有效减少授权成本,避免多余操作。多维度授权可以指从IP地址、时间、登陆总量等多个维度对访问主体的访问控制权限进行限制。细粒度授权可以指允许对单个资源的单个操作进行授权,满足权限最小化的安全管控要求。可以根据应用场景的安全需求来决定采用哪一种访问控制授权管理。
本实施例在在接收到操作请求时,基于预设国密算法对所述操作请求进行认证;在认证成功后,监测所述操作请求对应的操作;在所述操作为数据传输操作时,基于所述预设国密算法激活平台加密密钥;通过所述平台加密密钥对数据信息进行保护。本实施例通过预设国密算法激活平台加密秘钥,通过平台加密秘钥对数据信息进行保护。能够使数据信息的安全性更高,进一步减少了数据泄露的可能。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有数控系统主机访问控制程序,所述数控系统主机访问控制程序被处理器执行时实现如上文所述的数控系统主机访问控制方法的步骤。
参照图6,图6为本发明数控系统主机访问控制装置第一实施例的结构框图。
如图6所示,本发明实施例提出的数控系统主机访问控制装置包括:身份认证模块501、操作监测模块502和数据保护模块503。
所述身份认证模块501,用于在接收到操作请求时,基于预设国密算法对所述操作请求进行认证,所述预设国密算法包括椭圆曲线密码算法和对称密码算法。
可理解的是,操作请求可以为数控系统接收到的操作请求,例如,数控系统中的设备达到预设条件时自动发送的操作请求以及用户自主发送的访问控制操作请求等。所述预设国密算法可以存储在国产密码模块中,参考图3,图3为本发明数控系统主机访问控制方法第一实施例中国产密码模块的结构示意图,图中包含国产密码模块模块内部的主要功能结构。
需要说明的是,上述国产密码模块可以使用椭圆曲线密码算法SM2、杂凑密码算法SM3、对称密码算法SM4等作为基础密码算法,以这些国产密码为基础,提供身份认证、访问控制、存储加密等服务。其中,密码算法SM2可以用于对数据信息进行签名和验签,达到对敏感信息和关键操作的抗抵赖保护,密码算法SM3和SM4可以用于对数据信息的存取和传输进行机密性保护。密码算法及其机制可以封装在国产密码芯片中,国产密码模块可以通过插卡等形式与数控系统设备进行连接,通过数控系统控制层实现主机的安全防护。
应理解的是,上述国产密码模块的主要功能可以包括:密钥管理、证书服务、数据传输服务、身份认证和访问控制。密钥管理可以指主要负责系统密钥相关的管理功能。证书服务可以指主要负责系统的第三方证书颁发机构(Certificate Authority,CA)接入、证书发放管理功能。数据传输服务可以指主要负责整个系统的数据传输加解密、数据的接发功能。身份认证可以指作为防护网络资产的第一道关口,主要负责确认操作者身份,保证操作者的物理身份与数字身份相对应。访问控制可以指为产线网络设备间的数据访问提供安全认证和数据传输加密功能,保证产线网络的设备间访问安全。并具有访问控制管理中心功能,可统一管理网关访问权限。
在具体实现中,访问控制设备在接收到了来自数控系统设备的操作请求时,通过国产密码模块中的预设国密算法对所述操作请求进行设备操作或用户身份安全性的认证。
所述操作监测模块502,用于在认证成功后,监测所述操作请求对应的操作。
可理解的是,当对操作请求进行成功认证后,监测所述操作请求对应的操作的过程,监测操作请求对应操作的过程可以指获取所述操作请求中包含的设备信息、用户信息以及数据信息等,通过获取到的设备信息、用户信息以及数据信息来确认对应的操作。
在具体实现中,访问控制设备在完成对操作请求的认证之后,监测操作请求对应的操作,当监测到对应的操作为设备访问控制操作时,可以通过多维度授权管理获取所述操作请求对应的访问控制权限,当所述访问控制权限与设备访问控制操作对应的目标设备匹配时,允许对目标设备进行进一步操作。
所述数据保护模块503,用于在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护。
需说明的是,数据传输操作可以指数控系统中与数据内容有关的操作,可以是用户通信操作,也可以是读取加工程序操作,还可以是下载代码文件操作。通过预设国密算法对数据信息进行保护的过程可以是当出现异常操作时,基于预设国密算法对数据信息进行锁定,防止对数据信息更改以及下载。
可理解的是,对数据信息进行锁定可以通过将数据格式进行暂时性更改,使数据信息模式更改为只读模式,当异常情况超过预设时间后,将显示设备进行息屏或将数据信息模式进一步更改为不可读不可写模式。
应该理解的是,对数据信息进行保护的过程,还可以指由CA通过密钥管理中心为用户生成一对公私钥,同时自主备份这对公私钥,然后将其中的公钥进行签名以生成加密证书,使用该用户的签名证书将加密私钥以及加密证书等进行加密后再返回,实现数据信息的加密过程。
在具体实现中,访问控制设备监测到操作请求对应的操作属于用户通信操作、读取加工程序操作或下载代码文件操作时,为产线网络设备间的数据以及用户的数据进行数据传输的加密保护。
本实施例在接收到操作请求时,基于预设国密算法对操作请求进行认证,预设国密算法包括椭圆曲线密码算法和对称密码算法;在认证成功后,监测操作请求对应的操作;在操作为数据传输操作时,通过预设国密算法对数据信息进行保护。由于本实施例是通过预设国密算法对操作请求进行认证,然后监测操作请求对应的操作,在监测到对应操作属于数据传输操作时,再通过预设国密算法对数据信息进行保护,与传统的数控系统访问控制相比,上述方法使用预设国密算法,能够有效防止风险操作,且能够进行更安全的数据传输操作,降低了数控系统存在的安全风险,减少了数据泄露的可能。
本发明数控系统主机访问控制装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种数控系统主机访问控制方法,其特征在于,所述数控系统主机访问控制方法包括以下步骤:
在接收到操作请求时,基于预设国密算法对所述操作请求进行认证,所述预设国密算法包括椭圆曲线密码算法和对称密码算法;
在认证成功后,监测所述操作请求对应的操作;
在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护。
2.如权利要求1所述的方法,其特征在于,所述在接收到操作请求时,基于预设国密算法对所述操作请求进行认证的步骤,包括:
在接收到操作请求时,通过预设国密算法生成平台身份类密钥;
通过所述平台身份密钥进行数字签名,并基于所述数字签名对所述操作请求进行认证。
3.如权利要求2所述的方法,其特征在于,所述通过所述平台身份密钥进行数字签名,并基于所述数字签名对所述操作请求进行认证的步骤,包括:
将所述平台身份密钥对应的公钥发送至证书颁发机构;
接收所述证书颁发机构根据所述公钥进行签名生成签名证书;
基于所述签名证书对所述操作请求进行认证。
4.如权利要求1至3中任一项所述的方法,其特征在于,所述在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护的步骤,包括:
在所述操作为数据传输操作时,基于所述预设国密算法激活平台加密密钥;
通过所述平台加密密钥对数据信息进行保护。
5.如权利要求4所述的方法,其特征在于,所述在所述操作为数据传输操作时,基于所述预设国密算法激活平台加密密钥的步骤,包括:
在所述操作为数据传输操作时,基于预设国密算法向证书颁发机构发送psk证书和psk密钥请求;
接收所述证书颁发机构基于所述psk证书和所述psk密钥请求反馈的平台存储密钥;
基于所述psk密钥和所述平台存储密钥激活平台加密秘钥。
6.如权利要求1至3中任一项所述的方法,其特征在于,所述在认证成功后,监测所述操作请求对应的操作的步骤之后,还包括:
在所述操作为设备访问控制操作时,获取所述操作请求对应的访问控制权限;
在所述访问控制权限匹配所述设备访问控制操作对应的目标设备时,允许对所述目标设备进行操作。
7.如权利要求6所述的方法,其特征在于,所述在所述访问权限匹配所述设备访问操作对应的目标设备时,允许对所述目标设备进行操作的步骤之前,还包括:
根据所述操作请求中的用户信息确定所述用户对应的权限分组;
根据所述权限分组判断所述访问控制权限是否匹配所述设备访问控制操作对应的目标设备。
8.一种数控系统主机访问控制装置,其特征在于,所述装置包括:
身份认证模块,用于在接收到操作请求时,基于预设国密算法对所述操作请求进行认证,所述预设国密算法包括椭圆曲线密码算法和对称密码算法;
操作监测模块,用于在认证成功后,监测所述操作请求对应的操作;
数据保护模块,用于在所述操作为数据传输操作时,通过所述预设国密算法对数据信息进行保护。
9.一种数控系统主机访问控制设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数控系统主机访问控制程序,所述数控系统主机访问控制程序配置为实现如权利要求1至7中任一项所述的数控系统主机访问控制方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有数控系统主机访问控制程序,所述数控系统主机访问控制程序被处理器执行时实现如权利要求1至7任一项所述的数控系统主机访问控制方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310250333.9A CN116432220A (zh) | 2023-03-15 | 2023-03-15 | 数控系统主机访问控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310250333.9A CN116432220A (zh) | 2023-03-15 | 2023-03-15 | 数控系统主机访问控制方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116432220A true CN116432220A (zh) | 2023-07-14 |
Family
ID=87080652
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310250333.9A Pending CN116432220A (zh) | 2023-03-15 | 2023-03-15 | 数控系统主机访问控制方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116432220A (zh) |
-
2023
- 2023-03-15 CN CN202310250333.9A patent/CN116432220A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
EP2204008B1 (en) | Credential provisioning | |
US8904180B2 (en) | Method and apparatus for cryptographic key storage wherein key servers are authenticated by possession and secure distribution of stored keys | |
US8059818B2 (en) | Accessing protected data on network storage from multiple devices | |
US9491174B2 (en) | System and method for authenticating a user | |
US20080120504A1 (en) | System and method for protecting a password against brute force attacks | |
US7412059B1 (en) | Public-key encryption system | |
CN110996319B (zh) | 一种对软件服务做激活授权管理的系统及方法 | |
CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
US20070079142A1 (en) | Method and system for the cipher key controlled exploitation of data resources, related network and computer program products | |
GB2404535A (en) | Secure transmission of data via an intermediary which cannot access the data | |
CN110493177B (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 | |
EP1790116B1 (en) | Method and system for managing authentication and payment for use of broadcast material | |
CN116432220A (zh) | 数控系统主机访问控制方法、装置、设备及存储介质 | |
EP4369210A2 (en) | Assuring external accessibility for devices on a network | |
CN117118759B (zh) | 用户控制服务器端密钥可靠使用的方法 | |
CN114491481B (zh) | 一种基于fpga的安全计算方法及装置 | |
CN114218555B (zh) | 增强密码管理app密码安全强度方法和装置、存储介质 | |
CA2566253C (en) | System and method for protecting a password against brute force attacks | |
Zhang et al. | Improved CP-ABE Algorithm Based on Identity and Access Control | |
CN116094757A (zh) | 金融移动设备安全认证方法及系统 | |
CN115426109A (zh) | 一种具备访问控制的加密移动存储系统 | |
CN117156436A (zh) | 一种基于国密算法的5g认证方法及功能实体 | |
CN115050140A (zh) | 共享单车的解锁方法、装置、设备及存储介质 | |
CN115314198A (zh) | 一种量子安全网络权限管理系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |