具有身份认证和安全通信网关的数控机床安全系统及方法转让专利
申请号 : CN202010657207.1
文献号 : CN111818053B
文献日 : 2021-08-17
发明人 : 汤学明 , 覃盛 , 路松峰 , 崔永泉 , 骆婷
申请人 : 华中科技大学
摘要 :
本发明属于网络安全技术领域,公开了一种具有身份认证和安全通信网关的数控机床安全系统及方法,具有身份认证和安全通信网关的数控机床安全控制方法包括通过配置数控机床适配器、安全网关和代理器,实现数控机床的安全接入和用户对数控机床的信息获取;网关部分支持按用户组划分设备和用户,并对用户‑设备的访问权限进行变更,用户在管理员授权情况下获取特定机床设备的信息。本发明的具有身份认证和安全通信网关的数控机床安全技术提供了一种数控机床接入管理系统的思路,通过区分系统管理员和组管理员,将设备分组和组内管理工作分离开来,能够有效提高数控机床设备连接和管理效率,降低数控机床集群管理成本。
权利要求 :
1.一种具有身份认证和安全通信网关的数控机床安全控制方法,其特征在于,所述具有身份认证和安全通信网关的数控机床安全控制方法包括:通过配置数控机床适配器、安全通信网关和代理器,获取数控机床的安全接入和用户对数控机床的信息;所述安全通信网关按用户组划分设备和用户端,并对用户‑设备的访问权限进行变更,用户端在系统管理员端授权情况下获取特定机床设备的信息;
所述具有身份认证和安全通信网关的数控机床安全控制方法的具有身份认证和安全通信网关的数控机床安全控制系统,包括:认证信息设定模块,用于预先设定安全通信网关中的认证信息数据库;
角色创建模块,用于创建更改数据库信息的系统管理员端;
信息创建模块,用于创建用户组信息、组管理员和组用户信息;
用户配置模块,用于配置用于连接安全通信网关消息服务的用户端;
适配器配置模块,用于在数控机床上部署适配器,并进行连接配置,同时通过配置文件,向适配器写入接入安全通信网关的认证信息;
代理配置模块,用于在用户端配置用于保证认证过程及安全通信过程的代理器,并向代理器写入安全通信网关连接需要的认证信息;
认证设定模块,用于基于数控机床设备信息、组管理员信息对用户‑机床访问权限进行初始设定;用于设定用户认证方式,并签发用于安全通信的证书;
权限修改模块,用于基于权限设定进行相应角色的权限等级修改;
认证信息数据库,用于存储认证信息;
认证模块,用于进行适配器认证信息、用户认证信息、用户组信息认证,认证通过则赋予相应访问权限;
安全访问模块,用于基于获取的访问权限,通过和安全通信网关的安全连接访问数控机床信息,安全通信网关根据用户所在组对访问进行限制,适配器根据用户权限等级提供相应的信息;
加密模块,用于通过证书对通信过程进行加密,实现安全通信。
2.如权利要求1所述具有身份认证和安全通信网关的数控机床安全控制方法,其特征在于,所述具有身份认证和安全通信网关的数控机床安全控制方法包括以下步骤:步骤一,系统初始化并预设定安全通信网关中的认证信息数据库,创建更改数据库信息的系统管理员端;
步骤二,系统管理员端创建用户组信息、组管理员和组用户信息,导入数控机床设备信息、组管理员信息,并对用户‑机床访问权限进行初始设定;
步骤三,配置用于连接安全通信网关消息服务的用户端,设定认证方式,签发用于安全通信的证书;
步骤四,在数控机床上部署用于实现不同安全等级的访问策略的适配器,所述适配器通过配置文件,写入接入安全通信网关的认证信息;
步骤五,在用户端配置代理器,所述代理器写入接入安全通信网关连接需要的认证信息;
步骤六,判断步骤四、步骤五写入的认证信息是否符合要求,若是,则用户端获取相应访问权限;
步骤七,用户端基于步骤六获取的访问权限,通过和安全通信网关的安全连接访问数控机床信息,安全通信网关根据用户端所在组对访问进行限制,适配器根据用户端权限等级提供相应的信息。
3.如权利要求2所述具有身份认证和安全通信网关的数控机床安全控制方法,其特征在于,所述需要的认证信息的实体存在于安全通信网关内部,包括用户认证信息与用户组信息;
所述用户认证信息包括用户ID和登陆口令及其他相关信息;
所述用户组信息包括组成员信息、组设备信息和成员对设备的权限信息。
4.如权利要求2所述具有身份认证和安全通信网关的数控机床安全控制方法,其特征在于,所述具有身份认证和安全通信网关的数控机床安全控制方法还包括:安全通信网关判断用户端和适配器的认证信息是否为系统初始化过程中设定的接入认证信息,若是,则通过证书对通信过程进行加密,实现安全通信。
5.如权利要求1所述具有身份认证和安全通信网关的数控机床安全控制方法,其特征在于,其中所述具有身份认证和安全通信网关的数控机床安全控制系统包括以下角色:用户端,用于通过代理器与安全通信网关进行安全通信,并依据权限,访问组内设备在给定权限下提供的信息;
数控机床,用于通过适配器与安全通信网关进行安全通信,实现不同安全等级的访问策略;同时用于根据用户权限等级提供相应的信息;
安全通信网关,用于利用内部消息队列协同身份认证数据对用户身份进行校验,并根据用户所在组对访问进行限制;
管理员端,包括系统管理员以及组管理员,用于对安全通信网关内身份认证数据进行管理。
6.如权利要求5所述具有身份认证和安全通信网关的数控机床安全控制方法,其特征在于,所述安全通信网关包括:认证数据单元和消息队列单元;
所述认证数据单元,用于记录身份认证相关数据;
所述消息队列单元,用于在基于安全通信的基础上对消息进行中转分发。
7.如权利要求5所述具有身份认证和安全通信网关的数控机床安全控制方法,其特征在于,所述管理员端包括:
系统管理员端,用于创建用户组、创建用户组成员、创建组管理员和将设备分配至用户组;
组管理员端,用于更改组内用户对组内设备权限等级。
8.一种计算机可读存储介质,储存有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1‑4任意一项所述具有身份认证和安全通信网关的数控机床安全控制方法。
说明书 :
具有身份认证和安全通信网关的数控机床安全系统及方法
技术领域
[0001] 本发明属于网络安全技术领域,尤其涉及一种具有身份认证和安全通信网 关的数控机床安全系统及方法。
背景技术
[0002] 目前,车间为了实现数控机床的控制和管理,使用的是传统数控系统,在 传统的数控系统中,各数控机床和操作机中使用专有通信协议进行一对一通信, 管理人员需要分
别对多台机床进行管理,且设备之间存在不兼容状况。
别对多台机床进行管理,且设备之间存在不兼容状况。
[0003] 现有的数控系统中,管理人员对数控机床数据采集效率较低,对用户权限 的分配回收难以进行,无法对用户进行分组,远程的数控机床数据访问难以实 现,数控系统在一
对多的数控机床管理上,存在较大适用性问题。
对多的数控机床管理上,存在较大适用性问题。
[0004] 具体造成问题的原因是:数控机床的数据采集需要一对一进行,采集完成 的数据需要通过硬盘方式拷贝,在传输过程中的数据无法避免复制或丢失,并 且不同权限用户均
可访问权限;另外,由于通信协议众多,远程访问机床信息 难以实现,且存在信息安全风
险;在用户管理上,不方便对用户进行管理,授 予权限和回收权限都依赖于一对一配置数
控设备的方式,在实际环境中难以执 行。
可访问权限;另外,由于通信协议众多,远程访问机床信息 难以实现,且存在信息安全风
险;在用户管理上,不方便对用户进行管理,授 予权限和回收权限都依赖于一对一配置数
控设备的方式,在实际环境中难以执 行。
[0005] 通过上述分析,现有技术存在的问题及缺陷为:现有数控机床系统信息访 问不受认证与否的限制,用户对数据的访问存在认证性问题;数据传输过程中 容易造成信息泄露
或信息被窃听复制,存在通信安全问题;用户管理存在难度, 无法对用户权限进行统一发
放和回收,存在访问控制问题;远程管理系统难以 建立,需要解决私有通信协议通信问题。
或信息被窃听复制,存在通信安全问题;用户管理存在难度, 无法对用户权限进行统一发
放和回收,存在访问控制问题;远程管理系统难以 建立,需要解决私有通信协议通信问题。
[0006] 解决以上问题及缺陷的难度为:
[0007] 认证性问题和通信安全问题:在现有技术中,数据传输依赖硬盘进行物理 传输,硬盘本身内容以非加密或加密方式存储,在非加密模式下,任何人可以 复制查阅其中内
容,而在加密前提下,难以提供用户身份的认证性,即认证行 问题难以实现;
容,而在加密前提下,难以提供用户身份的认证性,即认证行 问题难以实现;
[0008] 人员管理和访问控制问题:在现有技术中,访问控制通过配置各个数控机 床的管理机实现,这种配置方式决定了管理者在用户管理中需要进行大量操作, 难以将权限以较
好的组织架构逻辑组织分发,权限的回收也较为困难;
好的组织架构逻辑组织分发,权限的回收也较为困难;
[0009] 远程管理问题:数控机床与数控系统通信使用的通信协议为私有协议,多 台设备多种协议的异构使远程管理方案难以实现。
[0010] 解决以上问题及缺陷的意义为:
[0011] 在数控机床管理中,系统管理员希望对机床使用者进行分组,在组内指定 二级管理员,对组内权限细节分配由组管理员进行,这种架构能够有效降低大 量数控机床操作人
员的管理成本,有效提升生产效率;
员的管理成本,有效提升生产效率;
[0012] 在数控机床访问中,操作者有远程访问数控机床数据的需求,对数控机床 进行网关接入——即远程统一访问方式的实现,能够将多个机床的管理同时进 行,在此过程中,
多台机床数据的采集便利性也得到提升,数据分析成为可能。
多台机床数据的采集便利性也得到提升,数据分析成为可能。
发明内容
[0013] 针对现有技术存在的问题,本发明提供了一种具有身份认证和安全通信网 关的数控机床安全系统及方法。
[0014] 本发明是这样实现的,一种具有身份认证和安全通信网关的数控机床安全 方法,包括:
[0015] 通过配置数控机床适配器、安全网关和代理器,获取数控机床的安全接入 和用户对数控机床的信息;所述安全网关按用户组划分设备和用户端,并对用 户‑设备的访问权
限进行变更,用户端在系统管理员端授权情况下获取特定机床 设备的信息。
限进行变更,用户端在系统管理员端授权情况下获取特定机床 设备的信息。
[0016] 进一步,所述具有身份认证和安全通信网关的数控机床安全控制方法包括 以下步骤:
[0017] 步骤一,系统初始化并预设定网关中的认证信息数据库,创建更改数据库 信息的系统管理员端;
[0018] 步骤二,系统管理员端创建用户组信息、组管理员和组用户信息,导入数 控机床设备信息、组管理员信息,并对用户‑机床访问权限进行初始设定;
[0019] 步骤三,配置用于连接网关消息服务的用户端,设定认证方式,签发用于 安全通信的证书;
[0020] 步骤四,在数控机床上部署用于实现不同安全等级的访问策略的适配器, 所述适配器通过配置文件,写入接入安全网关的认证信息;
[0021] 步骤五,在用户端配置代理器,所述代理器写入接入网关连接需要的认证 信息;
[0022] 步骤六,判断步骤四、步骤五写入的认证信息是否符合要求,若是,则用 户端获取相应访问权限;
[0023] 步骤七,用户端基于步骤六获取的访问权限,通过和网关的安全连接访问 数控机床信息,网关根据用户端所在组对访问进行限制,适配器根据用户端权 限等级提供相应的
信息。
信息。
[0024] 进一步,所述认证信息的实体存在于网关内部,包括用户认证信息与用户 组信息;
[0025] 所述用户认证信息包括用户ID和登陆口令及其他相关信息;
[0026] 所述用户组信息包括组成员信息、组设备信息和成员对设备的权限信息。
[0027] 进一步,所述具有身份认证和安全通信网关的数控机床安全控制方法还包 括:
[0028] 网关判断用户端和适配器的认证信息是否为系统初始化过程中设定的接入 认证信息,若是,则通过证书对通信过程进行加密,实现安全通信。
[0029] 本发明另一目的在于提供一种具有身份认证和安全通信网关的数控机床安 全控制系统包括:
[0030] 认证信息设定模块,用于预先设定网关中的认证信息数据库;
[0031] 角色创建模块,用于创建更改数据库信息的系统管理员端;
[0032] 信息创建模块,用于创建用户组信息、组管理员和组用户信息;
[0033] 用户配置模块,用于配置用于连接网关消息服务的用户端;
[0034] 适配器配置模块,用于在数控机床上部署适配器,并进行连接配置,同时 通过配置文件,向适配器写入接入安全网关的认证信息;
[0035] 代理配置模块,用于在用户端配置用于保证认证过程及安全通信过程的代 理器,并向代理器写入网关连接需要的认证信息;
[0036] 认证设定模块,用于基于数控机床设备信息、组管理员信息对用户‑机床访 问权限进行初始设定;用于设定用户认证方式,并签发用于安全通信的证书;
[0037] 权限修改模块,用于基于权限设定进行相应角色的权限等级修改;
[0038] 认证信息数据库,用于存储认证信息;
[0039] 认证模块,用于进行适配器认证信息、用户认证信息、用户组信息认证, 认证通过则赋予相应访问权限;
[0040] 安全访问模块,用于基于获取的访问权限,通过和网关的安全连接访问数 控机床信息,网关根据用户所在组对访问进行限制,适配器根据用户权限等级 提供相应的信息;
[0041] 加密模块,用于通过证书对通信过程进行加密,实现安全通信。
[0042] 进一步,所述具有身份认证和安全通信网关的数控机床安全控制系统包括 以下角色:
[0043] 用户端,用于通过代理器与安全网关进行安全通信,并依据权限,访问组 内设备在给定权限下提供的信息;
[0044] 数控机床,用于通过适配器与安全网关进行安全通信,实现不同安全等级 的访问策略;同时用于根据用户权限等级提供相应的信息。
[0045] 安全网关,用于利用内部消息队列协同身份认证数据对用户身份进行校验, 并根据用户所在组对访问进行限制;
[0046] 管理员端,包括系统管理员以及组管理员,用于对网关内身份认证数据进 行管理。
[0047] 进一步,所述安全网关包括:认证数据单元和消息队列单元;
[0048] 所述认证数据单元,用于记录身份认证相关数据;
[0049] 所述消息队列单元,用于基于安全通信基础上对消息进行中转分发。
[0050] 进一步,所述管理员端包括:
[0051] 系统管理员端,用于创建用户组、创建用户组成员、创建组管理员和将设 备分配至用户组;
[0052] 组管理员端,用于更改组内用户对组内设备权限等级。
[0053] 本发明的另一目的在于提供一种存储在计算机可读介质上的计算机程序产 品,包括计算机可读程序,供于电子装置上执行时,提供用户输入接口以实施 所述具有身份认
证和安全通信网关的数控机床安全控制方法。
证和安全通信网关的数控机床安全控制方法。
[0054] 本发明的另一目的在于提供一种计算机可读存储介质,储存有指令,当所 述指令在计算机上运行时,使得计算机执行所述具有身份认证和安全通信网关 的数控机床安全
控制方法。
控制方法。
[0055] 结合上述的所有技术方案,本发明所具备的优点及积极效果为:
[0056] 本发明为数控机床的网关接入提供了一种更加安全便捷的技术思路,具有 良好的安全性能和应用前景。本发明提出了一种能够将数控机床设备有效接入, 能够提供通信
安全,提供分组和权限管理的安全网关技术。
安全,提供分组和权限管理的安全网关技术。
[0057] 本发明的具有身份认证和安全通信网关的数控机床安全技术提供了一种数 控机床接入管理系统的思路,通过区分系统管理员和组管理员,将设备分组和 组内管理工作分
离开来,能够有效提高数控机床设备连接和管理效率,降低数 控机床集群管理成本。
离开来,能够有效提高数控机床设备连接和管理效率,降低数 控机床集群管理成本。
[0058] 本发明的具有身份认证和安全通信网关的数控机床安全技术,为通信过程 提供了安全性,将传统数控机床连接管理从多种私有通信协议中抽离出来,在 适配器和网关间
确保通信安全性,用户凭借特定安全凭证接入网关,来获得不 同访问权限。
确保通信安全性,用户凭借特定安全凭证接入网关,来获得不 同访问权限。
[0059] 对比的技术效果或者实验效果包括:
[0060] 基于上述对本发明的描述,将本发明与现有技术进行对比,形成下表1,以 直观展现本技术方案实现的技术效果
[0061]
[0062] 表1
附图说明
[0063] 为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所 需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请 的一些实施例,
对于本领域普通技术人员来讲,在不付出创造性劳动的前提下 还可以根据这些附图获得
其他的附图。
对于本领域普通技术人员来讲,在不付出创造性劳动的前提下 还可以根据这些附图获得
其他的附图。
[0064] 图1是本发明实施例提供的具有身份认证和安全通信网关的数控机床安全 控制方法原理图。
[0065] 图2是本发明实施例提供的具有身份认证和安全通信网关的数控机床安全 控制方法流程图。
[0066] 图3是本发明实施例提供的具有身份认证和安全通信网关的数控机床安全 系统结构示意图;
[0067] 图中:1、认证信息设定模块;2、角色创建模块;3、信息创建模块;4、 用户配置模块;5、适配器配置模块;6、代理配置模块;7、认证设定模块;8、 权限修改模块;9、认证信息
数据库;10、认证模块;11、安全访问模块;12、 加密模块。
数据库;10、认证模块;11、安全访问模块;12、 加密模块。
[0068] 图4是本发明实施例提供的具有身份认证和安全通信网关的数控机床安全 控制系统角色示意图。
[0069] 图5是本发明实施例提供的环境中已有VPN设施的用户访问机床过程示意 图。
[0070] 图6是本发明实施例提供的使用管理员和组管理员分级管理的思路对人员 进行管理和权限分配过程示意图。
具体实施方式
[0071] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例, 对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以 解释本发明,并不
用于限定本发明。
用于限定本发明。
[0072] 针对现有技术存在的问题,本发明提供了一种具有身份认证和安全通信网 关的数控机床安全系统及方法,下面结合附图对本发明作详细的描述。
[0073] 如图1所示,本发明实施例提供的具有身份认证和安全通信网关的数控机 床安全控制方法包括:
[0074] 通过配置数控机床适配器、安全网关和代理器,实现数控机床的安全接入 和用户对数控机床的信息获取;网关部分支持按用户组划分设备和用户端,并 对用户‑设备的访
问权限进行变更,用户端在管理员授权情况下获取特定机床设 备的信息。
问权限进行变更,用户端在管理员授权情况下获取特定机床设 备的信息。
[0075] 如图2所示,本发明实施例提供的具有身份认证和安全通信网关的数控机 床安全控制方法包括以下步骤:
[0076] S101,系统初始化并预设定网关中的认证信息数据库,创建可更改数据库 信息的系统管理员端。
[0077] S102,系统管理员端创建用户组信息、组管理员和组用户信息,导入数控 机床设备信息、组管理员信息,并对用户‑机床访问权限进行初始设定;
[0078] S103,配置用于连接网关消息服务的用户端,设定认证方式,签发用于安 全通信的证书。
[0079] S104,在数控机床上部署用于实现不同安全等级的访问策略的适配器,所 述适配器通过配置文件,写入接入安全网关的认证信息。
[0080] S105,在用户端配置代理器,所述代理器写入接入网关连接需要的认证信 息。
[0081] S106,判断步骤S104、步骤S105写入的认证信息是否符合要求,若是, 则用户端获取相应访问权限。
[0082] S107,用户端基于步骤S106获取的访问权限,通过和网关的安全连接访问 数控机床信息,网关根据用户端所在组对访问进行限制,适配器根据用户权限 等级提供相应的信
息。
息。
[0083] 本发明实施例提供的认证信息的实体存在于网关内部,包括用户认证信息 与用户组信息;
[0084] 所述用户认证信息包括用户ID和登陆口令及其他相关信息;
[0085] 所述用户组信息包括组成员信息、组设备信息和成员对设备的权限信息。
[0086] 本发明实施例提供的具有身份认证和安全通信网关的数控机床安全控制方 法还包括:
[0087] 网关判断用户和适配器的认证信息是否为系统初始化过程中设定的接入认 证信息,若是,则通过证书对通信过程进行加密,实现安全通信。
[0088] 如图3所示,本发明实施例提供的具有身份认证和安全通信网关的数控机 床安全控制系统包括:
[0089] 认证信息设定模块1,用于预先设定网关中的认证信息数据库。
[0090] 角色创建模块2,用于创建可更改数据库信息的系统管理员端。
[0091] 信息创建模块3,用于创建用户组信息、组管理员和组用户信息。
[0092] 用户配置模块4,用于配置用于连接网关消息服务的用户端。
[0093] 适配器配置模块5,用于在数控机床上部署适配器,并进行连接配置,同时 通过配置文件,向适配器写入接入安全网关的认证信息。
[0094] 代理配置模块6,用于在用户端配置用于保证认证过程及安全通信过程的代 理器,并向代理器写入网关连接需要的认证信息。
[0095] 认证设定模块7,用于基于数控机床设备信息、组管理员信息对用户‑机床 访问权限进行初始设定;用于设定用户认证方式,并签发用于安全通信的证书。
[0096] 权限修改模块8,用于基于权限设定进行相应角色的权限等级修改。
[0097] 认证信息数据库9,用于存储认证信息。
[0098] 认证模块10,用于进行适配器认证信息、用户认证信息、用户组信息认证, 认证通过则赋予相应访问权限。
[0099] 安全访问模块11,用于基于获取的访问权限,通过和网关的安全连接访问 数控机床信息,网关根据用户所在组对访问进行限制,适配器根据用户权限等 级提供相应的信
息。
息。
[0100] 加密模块12,用于通过证书对通信过程进行加密,实现安全通信。
[0101] 如图4所示,本发明实施例提供的具有身份认证和安全通信网关的数控机 床安全控制系统包括以下角色:
[0102] 用户端,用于通过代理器与安全网关进行安全通信,并依据权限,访问组 内设备在给定权限下提供的信息。
[0103] 数控机床,用于通过适配器与安全网关进行安全通信,实现不同安全等级 的访问策略;同时用于根据用户权限等级提供相应的信息。
[0104] 安全网关,用于利用内部消息队列协同身份认证数据对用户身份进行校验, 并根据用户所在组对访问进行限制;
[0105] 管理员,包括系统管理员以及组管理员,用于对网关内身份认证数据进行 管理。
[0106] 本发明实施例提供的安全网关包括:认证数据单元和消息队列单元。
[0107] 所述认证数据单元,用于记录身份认证相关数据。
[0108] 所述消息队列单元,用于基于安全通信基础上对消息进行中转分发。
[0109] 本发明实施例提供的管理员包括:
[0110] 系统管理员,用于创建用户组、创建用户组成员、创建组管理员和将设备 分配至用户组。
[0111] 组管理员,用于更改组内用户对组内设备权限等级。
[0112] 下面结合具体实施例对本发明的技术方案作进一步说明。
[0113] 实施例:
[0114] 身份认证和安全通信网关的数控机床安全技术,其包括如下步骤:
[0115] 步骤一、在系统初始化时,预设定网关中的认证信息数据库,创建可更改 数据库信息的系统管理员用户。
[0116] 步骤二、在系统初始化时,系统管理员通过管理页面,创建用户组信息、 组管理员和组用户信息,导入数控机床设备信息,组管理员,对用户‑机床访问 权限进行初始设定。
[0117] 步骤三、在系统初始化时,配置用于连接网关消息服务的用户,设定认证 方式,签发用于安全通信的证书。
[0118] 步骤四、在系统初始化时,在数控机床上部署适配器(代理),适配器需 实现不同安全等级的访问策略,并通过配置文件,写入接入安全网关的认证信 息。
[0119] 步骤五、在系统初始化时,在用户端配置代理,代理需写入网关连接需要 的认证信息。
[0120] 步骤六、在系统运行时,系统管理员可对组和组管理员进行修改,组管理 员可对组员权限等级进行修改。
[0121] 步骤七、用户通过和网关的安全连接访问数控机床信息,网关根据用户所 在组对访问进行限制,适配器根据用户权限等级提供相应的信息。
[0122] 在具体实施方式中,步骤二中,系统管理员具有创建用户组,创建用户组 成员和将设备分配至用户组的权限;组管理员由系统管理员创建,具有更改组 内用户对组内设备
权限等级的权限。
权限等级的权限。
[0123] 以上实施方式中,系统管理员仅负责用户组和组管理员的指定,以及设备 到各组的分配,具体权限设定和组用户创建由组管理员实施,符合结构化的组 织管理。
[0124] 在具体实施方式中,步骤二中,认证信息的实体存在于网关内部,包括用 户认证信息,用户组信息;
[0125] 在以上实施方式中,用户组信息包括组成员信息、组设备信息和成员对设 备的权限信息。用户只能依据权限,访问组内设备在给定权限下提供的信息, 方便数控机床集群
进行分组管理。
进行分组管理。
[0126] 在以上实施方式中,用户认证信息包括用户ID和登陆口令等信息,用户需 要提供符合要求的认证信息才能获取对应访问权限,有效实现身份认证。
[0127] 如图2所示,本发明还提供了了一种具有身份认证和安全通信网关的数控 机床安全技术模块化实现,包括用户、数控机床、安全网关和管理员模块,管 理员模块通过页面对
网关内身份认证数据进行管理,用户和数控机床分别通过 适配器和代理器与安全网关进
行安全通信,安全网关内部消息队列协同身份认 证数据对用户身份进行校验。
网关内身份认证数据进行管理,用户和数控机床分别通过 适配器和代理器与安全网关进
行安全通信,安全网关内部消息队列协同身份认 证数据对用户身份进行校验。
[0128] 在具体实施方式中,所述网关模块还包括认证数据模块和消息队列模块, 其中认证模块用于记录身份认证相关数据,消息队列模块基于安全通信基础上 对消息进行中转
分发。
分发。
[0129] 此外,在本专利所述发明还存在其他应用场景下的创新实施例。例如,企 业在使用本发明所述安全网关之前,已在数控系统基础上搭建配置了VPN网络, 实现了部分远程
访问功能,或企业在数控系统基础上搭建了统一身份认证平台, 实现了用户管理和身份认
证部分功能。在上述应用场景中,本发明方案具有实 施细节上不同但均符合发明效果的实
施例。以下以数控机床环境已有VPN网络 为前提,展示本发明另一种创新实施例。
访问功能,或企业在数控系统基础上搭建了统一身份认证平台, 实现了用户管理和身份认
证部分功能。在上述应用场景中,本发明方案具有实 施细节上不同但均符合发明效果的实
施例。以下以数控机床环境已有VPN网络 为前提,展示本发明另一种创新实施例。
[0130] 首先描述环境中已有VPN设施的用户访问机床过程:数控机床配置VPN 指的是可以从公网环境通过数控系统上配置的代理对代理访问,从而达成与现 场同样的访问效果。
这种配置方式在仅有传统数控系统的基础上,提供了远程 访问的功能,具体结构如图5所
示,在这种情况下的实施例只需要提供用户认 证性和用户管理功能即可。
这种配置方式在仅有传统数控系统的基础上,提供了远程 访问的功能,具体结构如图5所
示,在这种情况下的实施例只需要提供用户认 证性和用户管理功能即可。
[0131] 在图5所示的环境中配置VPN访问的前提下,公网访问以及公网访问的通 信安全性由原有的VPN提供,本安全网关的工作环境由公网环境切换为内网环 境,在用户机床通
信过程中分别接管用户侧的连接和机床侧的连接,通过在数 控机床上配置代理器方式实
现异构通信协议的统一,再使用管理员和组管理员 分级管理的思路对人员进行管理和权
限分配,具体实施例方案如图6所示,VPN 在此提供公网安全性和一定的认证性,网关提供
剩余的访问控制和组织管理功 能。
信过程中分别接管用户侧的连接和机床侧的连接,通过在数 控机床上配置代理器方式实
现异构通信协议的统一,再使用管理员和组管理员 分级管理的思路对人员进行管理和权
限分配,具体实施例方案如图6所示,VPN 在此提供公网安全性和一定的认证性,网关提供
剩余的访问控制和组织管理功 能。
[0132] 在本发明具体实施例中,创造性地结合数据库和消息队列产品,形成提供 认证性和安全性的网关,其中消息队列高吞吐量和高可靠性支持,革新地提高 了数控机床信息传
输和收集效率,而在提高数据传输效率的基础上,使用可靠 数据库产品为用户管理和认证
信息储存提供支持,相比现有技术使用的在数控 系统中存储用户信息的方式,数据库产品
更适合为安全网关提供泛用性强,响 应速度快的信息存储和访问。在以上技术的基础上,
本发明进行了一系列优化 改进,例如,针对用户接入网关侧,提供人员分组管理的功能,创
新性地提供 了将机床和人员进行分组的策略,在现有技术的基础上,能显著降低人员管理
成本。
输和收集效率,而在提高数据传输效率的基础上,使用可靠 数据库产品为用户管理和认证
信息储存提供支持,相比现有技术使用的在数控 系统中存储用户信息的方式,数据库产品
更适合为安全网关提供泛用性强,响 应速度快的信息存储和访问。在以上技术的基础上,
本发明进行了一系列优化 改进,例如,针对用户接入网关侧,提供人员分组管理的功能,创
新性地提供 了将机床和人员进行分组的策略,在现有技术的基础上,能显著降低人员管理
成本。
[0133] 在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上; 术语“上”、“下”、“左”、“右”、“内”、“外”、“前端”、“后端”、 “头部”、“尾部”等指示的方位或位置关系为
基于附图所示的方位或位置关 系,仅是为了便于描述本发明和简化描述,而不是指示或暗
示所指的装置或元 件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对
本发明 的限制。此外,术语“第一”、“第二”、“第三”等仅用于描述目的,而不 能理解为指示
或暗示相对重要性。
基于附图所示的方位或位置关 系,仅是为了便于描述本发明和简化描述,而不是指示或暗
示所指的装置或元 件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对
本发明 的限制。此外,术语“第一”、“第二”、“第三”等仅用于描述目的,而不 能理解为指示
或暗示相对重要性。
[0134] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于 此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明 的精神和原则之
内所作的任何修改、等同替换和改进等,都应涵盖在本发明的 保护范围之内。
内所作的任何修改、等同替换和改进等,都应涵盖在本发明的 保护范围之内。