专利名称:一种生产管理系统及其安全实现方法
技术领域:
本发明涉及一种信息管理系统,特别涉及一种生产管理系统及其安全实现 方法。
背景技术:
管理信息系统MIS (Management Information System)是指对信息进行 收集、传送、储存、利用和维护的集成化人机信息系统,利用数据库及其管理 系统,把数据的处理与经济管理模式结合起来,利用过去的数据实现预测、控 制、管理及决策等功能,为一个组织的作业、管理合决策职能提供信息支持, 实i见全面的科学管理。在MIS应用的发展过程中,先后出现了三种平台模式,即主机模式、文件 服务器模式、客户机/服务器模式。客户机/服务器模式(C/S模式)作为主要的MIS表现形式,在客户端需 要满足三类网际网,即互联网(internet).内联网(intranet)和外联网 (extranet)的网络应用形式,需要建立安全连接以保护数据信息的安全传送, 需要建立操作系统平台以满足定制化软件应用的需求。现在的客户机由PC形 式来实现,不可避免的带来系统成本增加、由于操作系统平台、硬件不统一而 管理困难、需要额外软件或外部附加设备保证安全性、使用权限控制困难、系 统底层(硬件环境、操作系统环境)非公开等问题,包括设备(硬件、软件) 操4乍权限控制控制依靠PC平台,使用原始的密码管理,安全性、方便性、用 户权限控制、应用软件使用权限控制上有缺陷;PC平台的本地安全性不强, 对石更盘等数据存储无有效的安全控制机制;网络连接安全性依靠软f^,安全性 不高;网络连接形式依靠外围附加设备,增加了系统的复杂度与成本;客户端 由PC构成,网络部署成本高,不利于企业内的大规模推广使用;客户端无法 做到小型化,在走动式管理中不利于使用;平台系统为非开放式系统如 Windows,不利与系统软件的开发与底层应用的扩展;系统平台多样化,在具
体使用中存在系统兼容性问题
发明内容
本发明提出了一种以专用集成电路构建专用客户机的方法,可有效的解决 网络连接操作安全性、用户使用权限控制、低成本、开放式开发环境等诸多问 题,建立了生产管理的嵌入式硬件支撑平台。本发明提供了一种生产管理系统,包括客户端嵌入式硬件支撑平台,用于 接收和发布生产管理信息的数据服务器,客户端嵌入式硬件支撑平台以及数据 服务器均接入局域网,客户端嵌入式硬件支撑平台包括嵌入式芯片及外围设 备,嵌入式芯片包括总线系统、应用程序接口、高速可编程处理器,嵌入式硬 件支撑平台包含操作系统以及应用程序,外围设备包括外部存储器和/或网络 桥接芯片,嵌入式芯片还包括一次性可编程存储器和信息安全处理模块; 一次 性可编程存储器和信息安全处理模块均接入总线系统; 一次性可编程存储器, 用于存储引导程序和根密钥;信息安全处理模块,用于加密和/或解密数据和/ 或程序。所述总线系统包括高速数据总线、低速配置寄存器总线、总线仲裁器、直 接存储器访问传输控制器;总线仲裁器,用于以优先权方式控制接入总线系统 的各模块对高速数据总线的占用;高速数据总线,用于提供高速数据通道;高 速可编程处理器,用于通过低速配置寄存器总线对接入总线系统的各模块的控 制寄存器进行配置。
嵌入式芯片还包括与网络桥接芯片连接的高速总线扩展接口 ,该高速总线 扩展接口接入总线系统。嵌入式芯片还包括权限控制模块和高速总线扩展接口 ,权限控制模块和高 速总线扩展接口接入总线系统,用于通过指纹识别实现用户的权限管理。权限控制模块包括指纹识别模块。信息安全处理模块包括随机数发生器,非对称加密模块,散列模块,和对 称加密模块。随机数发生器、非对称加密模块和散列模块,用于实现网络认证;对称加 密丰莫块,用于实现本地数据加密存储与网络数据传输的加密。还包括CA认证中心和远程控制终端,所述局域网、CA认证中心、远程控 制终端接入互联网,用于实现网络安全。还包括实时音视频协作处理模块,该实时音视频协作处理模块接入系统总线,用于处理实时音频流和/或视频流。本发明提供了一种生产管理系统中片上安全实现方法,包括步骤101,客户端嵌入式硬件支撑平台通过可编程存储器中的引导程序载入根密钥;步骤102,客户端嵌入式硬件支撑平台载入外部存储器中被加密的扩展密 钥,信息安全处理模块解密被加密的扩展密钥;步骤103,信息安全处理模块利用解密后的扩展密钥解密外部存储器中的 数据和/或程序;歩骤104,启动操作系统和程序。歩骤101之前还包括进行密码或者指纹验证。本发明提供了一种生产管理系统中网络安全实现方法,包括对局域网或 者互联网中客户端嵌入式硬件支撑平台传输的数据进行对称加密和/或非对称 加密。在互联网中,通过第三方认证机构实现发送方和/或接收方的身份认证。 本发明提供了一种生产管理系统中实时音视频发送方法,包括 步骤141,发送方的实时音视频协作处理模块对数据流进行压縮编码; 步骤142,发送方的信息安全处理模块对数据流进行对称加密;步骤143,发送方将加密后的数据流进行网络传输。步骤133中,发送方将加密后的数据流通过高速总线扩展接口进行网络传输。本发明提供了一种生产管理系统中实时音视频接收方法,包括 步骤134,接收方接收加密后的数据流;步骤135,接收方的信息安全处理模解密被加密的数据流;步骤136,接收方的实时音视频协作处理模块对解密后的数据流进行解压縮。步骤134中,接收方通过高速总线扩展接口接收加密后的数据流。本发明的技术效果在于通过存储器特性与控制技术,生物认证技术构建 自成系统的嵌入式芯片,解决嵌入式芯片自身安全性(平台安全性)问题;利 200710175842.0说明书第4/10页用非对称、对称加密算法为基础建立网络数据(企业内部Ethernet,互联网 Internet)安全传输机制;利用生物识别技术控制操作人员权限,验证用户身 份;构建本地、网络芯片平台安全、用户身份验证、信息安全存储、交换安全 机制;提供语音、显示控制与接口,是实现实时信息采集、传输、建立良好的 信息交流用户环境的基础;自成系统实现方式,无需对减少(由具体应用环境 确定)计算机平台支撑,从而简化系统的复杂度,对于多控制点的应用可显著 降低系统成本;将本地(非网络连接)与网络(网络连接)设备的基于权限控 制的功能整合到单一芯片中,扩展芯片的应用范围,为海量设备(系统)网络 接入提供了统一的技术平台与管理平台;专用设备(芯片)拥有更高的运算能 力,提高了系统的性能,为海量数据安全(加密)传输提供了可能;将目标确 定,计划任务分解,过程控制,时间管理,权限控制,角色分配等管理学方法 将建立于以片上可编程处理器为基础的操作系统中,可使用此芯片的系统建立 完整的管理机制。综合上述几点,本发明提供了一种拥有良好用户信息(语音、 视频、数据信息)交互功能,可靠信息、用户权限安全控制,以实现生产现场 管理为目标的低成本硬件支撑平台。
图l是本发明提供的嵌入式硬件支撑平台结构图; 图2是本发明提供的用户权限安全控制流程; 图3是本发明提供的用户指纹识别实现流程; 图4是本发明提供的网络安全实现流程;图5是本发明提供的实时音视频实现流程; 图6是具有客户端嵌入式硬件支撑平台的生产管理系统。
具体实施方式
本发明提供一种利用存储器安全控制技术、加解密技术、生物认证技术构 建安全平台,以外围设备接口实现信息交换与设备控制,可编程处理器为基础 构建片上操作系统,通过上层应用软件实现过程管理功能的硬件(芯片级)支 撑平台实现方案。在本地(非网络连接)或网络(网络连接)中实现计划实施 与监控、信息收集与交流、人员与资源的调配等管理功能。8
本发明技术可实现功能包括并不限于如下描述包括但不限与支持TCP/IP、 CAN、 NetBEUI的网络协议。有完善的本地安全机制,包括本地应用 程序与数据安全。有网络安全机制。能对用户使用权限进行认证并进行本地、 网络管理。能实现实时音频、视频传输,可实现网络(VOIP)、点对点、多用 户、广播的通讯。能提供开放操作系统平台。可建立一系列的管理应用软件, 实现信息收集,记录,编辑、发布。可通过应用软件与低层硬件实现人员、设 备的监控。本发明的嵌入式硬件支撑平台结构示意图如图1所示,包括嵌入式芯片 100及相应的外围设备。嵌入式芯片100包括1. 总线结构通过两级交叉总线(CrossingBus)建立高速的总线系统,由高速数据总 线101、低速配置寄存器总线102、总线仲裁器103、直接存储器访问(DMA) 传输控制器104组成,高速数据总线101提供高速数据通道,总线仲裁器103 以优先权方式控制不同模块对高速数据总线101的占用情况,DMA控制器104 是一个独立的、可简单编程的总线数据传输控制模块,在编程后独立于高速可 编程处理器105运行,高速操作数据流的读写,减轻高速可编程处理器105 的工作量,提高系统的整体性能。2. 高速可编程处理器105高速可编程处理器105通过低速配置寄存器总线102对支撑平台上各模块 的控制寄存器进行配置,从而实现各模块间的协调工作,并为操作系统应用软 件提供运行的硬件平台。3. 片上0TP存储器106OTP (one timing programme)为一次性可编程存储器,用于存储引导程 序、扩展密钥的根密钥,建立本地安全策略。OTP存储器106是实现安全类应 用基础模块。4. 高速总线扩展接口 107提供芯片的功能扩展接口。可外接不限于以太网控制器桥接芯片(有线), 蓝牙、Zigee (无线)等网络桥接芯片,以实现网络应用。可外接不限于 USB/SATA/PATA/PCI/PCIE等的计算机接口桥接芯片,以实现计算机类应用。5. 权限控制模块108权限控制模块108的核心是基于生物认证技术的指纹识别技术,通过指纹 识别技术完善用户的权限管理,提高了芯片系统的安全性,与最终产品使用的 便捷性。6. 信息安全处理模块109信息安全处理模块109由随机数发生器110、非对称加密模块111、散列 模块112、对称加密模块113组成。其中机数发生器110、非对称加密模块111、 散列模块112为实现网络认证的功能模块,通过其可实现PKI等基于公、私密 钥的网络认证体系。其中非对称加密模块111不限制于RSA、 ECC非对称加密 方式,散列模块112不限制于MD5、 SH1、 SH2的散列方式,随机数发生器110 不限制于相位随机产生法。对称加密模块113用于本地数据加密存储与网络数 据传输的加密。其方式不限制于DES、 3DES、 AES。7. 实时音视频处理模块114实时音视频协处理模块114由实时音频协处理模块115与实时视频协处理 模块116组成。实时音频处理模块115与实时视频处理模块116提供了音频与 视频编解码中对实施性要求较高部分的处理,可有效的降低对高速可编程处理 器105计算资源的占用,提供了系统的整体性能。实时音视频处理模块114 同时也提供了显示与语音器件、设备的接口 (如显示器、电话)。8. 操作系统、应用程序、数据外部存储器接口 117 由于实时操作系统、应用程序会占用大量的存储空间,同时也需要为未来应用预留数据、程序、系统存储空间,因而建立了操作系统、应用程序、数据 外部存储器接口 117,可方便的实现数据的移动存储、系统、程序的升级与扩 展。9. 可编程外围设备控制模块118可编程外围设备控制模块118提供外围设备如键盘、打印机、指纹传感器、 工业机械设备的控制与数据传输。10. 系统软件系统的应用程序以高速可编程处理器105为硬件平台基础、实时操作系统 为软件平台,协调各硬件的实时运作,并实现图形化界面等人机交互功能。系统应用程序包括但不限于音视频应用软件、设备监控软件、即时信息(文 字)发布,生产实时调度软件,质量控制软件等。
下面通过基本工作流程图对本发明作进一步说明 一.硬件支撑平台的安全实现流程(图2)通过如图2所示流程实现芯片的硬件支撑平台安全系统,根据此流程可方 便的实现本地设备、数据、程序的单\多用户权限安全控制。流程说明如下 步骤201,芯片上电\复位 芯片从上电/复位时启动。 步骤202,载入芯片引导程序上电\复位后芯片将自动从片上OTP存储器载入芯片引导程序,其中芯片引导程序声明是否需经过密码或指纹验证后再进入下一步操作,这里的密码与 指纹用于控制该芯片的使用权限。步骤203,是否满足芯片启动要求如无须验证或密码与指纹验证通过,芯片将从片上OTP存储器载入根密钥。根密钥是外部存储器上的扩展密钥的加密密钥。步骤204,载入外部存储器中被加密的扩展密钥并解密 运用根密钥与信息安全处理模块109中的对称加密模块113实现对扩展密钥解密。歩骤205,根据解密后的扩展密钥解密外部存储器数据、程序 运用解密后的扩展密钥解密与信息安全处理模块109中的对称加密模块 113实现对外部存储器数据、程序的解密。步骤206,启动操作系统、应用程序,响应各项目用户操作 进入用户操作环节,实现用户的各项定制功能的实现 步骤207,是否达到待机要求当芯片在特定的时间未操作、用户要求的情况下,芯片进入待机状态 步骤208,进入低功耗模式在此状态可显著降低芯片功耗,用于满足在移动办公等对电源有要求的使 用环境中。二.用户指纹识别实现流程(图3)以指纹识别作为权限控制的一种方式(密码控制是另一种方式),指纹识 别在芯片系统的不同应用中皆可使用,其实现流程图见图3,流程说明如下 歩骤301,指纹图像采集由于指纹图像采集仪\芯片的接口形式并不统一,大体上分为并行(类计 算机RGB视频接口)和串行(如SPI)接口,具体实现上各采集仪\芯片又有具体差异,因而本发明中使用通过高速总线扩展接口 107来实现采集仪\芯片的接口,进行指纹图像信息的采集。步骤302,指纹图像处理由于图像采集仪\芯片的采集指纹图像质量差异,因而需要对采集图像做 图像增强、图像去噪、图像直方图校正等处理,以使图像质量差异对后续的处 理影响减少。步骤303,指纹模板提取将图像化指纹信息转化为数字化指纹信息的过程,从而降低存储指纹时对 存储空间的要求。步骤304,指纹模板登记指纹模板登记是将指纹数字化信息存储到片上或片外存储器的过程,当该 指纹模板为启动过程时使用则将其存储到片上OTP存储器中,如不是,则可存 储于片外存储器中,存储时根据安全性要求,可使用扩展密钥对模板信息进行 加密。步骤305,指纹模板比对指纹模板的比对是指纹的认证过程,通过对采集指纹与存储器件中的指纹 模板的比对,确定用户的权限(即认证结果的输出)。三. 网络安全实现流程(图4)在局域网中,通过TCP/IP协议,实现设备A与设备B的以对称加密(对 称加密模块113)和指纹认证(权限控制模块108)为基础的数据安全传输。在互连网中,通过三方认证机构CA,实现设备A与设备C的单方或双方 身伤H人证,在数据传输时使用对称加密(对称加密模块113)与非对称加密(非 对禾尔加密模块lll)的混合方式进行数据加密传输。设备A、 B、 C皆可为本发明中阐述的硬件支撑平台。四. 实时音视频实现流程实时音视频实现时的音视频发送/接收是一组互逆过程,发送过程为例进 行说明,如图5所示。步骤51,发送方通过视频接口/音频接口获取视频、语音原始数据。
步骤52,发送方通过实时视频协处理模块116/实时音频协处理模块115 对数据流进行压縮编码。步骤53,发送方的信息安全处理模块109中的对称加密模块113对数据 流加密。步骤54,发送方通过高速可编程处理器105实现网络传输协议(TCP/IP)。 歩骤55,发送方通过高速总线接口建立网络物理连接。 音视频接收的过程包括-步骤56,接收方通过高速总线接口,利用高速可编程处理器105实现的 网络传输协议接收加密后的数据流;步骤57,接收方的信息安全处理模块109中的对称加密模块113对数据 流加密;步骤58,接收方通过实时视频协处理模块116/实时音频协处理模块115 对数据流进行解压縮;步骤59,接收方通过视频接口/音频接口获取视频、语音数据。图6是离散型机械制造业企业的准时生产系统。该离散型机械制造业企业 由于主要从事单件、小批量生产,产品的工艺过程经常变更,因此,需要进行 良好的计划。由于主要是按订单组织生产,很难预测订单在什么时候到来,因 此,对采购和生产车间的计划就需要很好的生产计划系统,特别需要信息管理 系统来参与生产计划的制定与实时生产情况的调整。该离散型机械制造业企业基本的需求有以下三方面1. 适时适量生产,即在需要的时候,按需要的量生产所需的产品。2. 弹性配置作业人数。3. 质量保证,即一旦发现异常或不良产品可以自动停止设备运行的机制, 生产第一线的设备操作工人发现产品或设备的问题时,有权自行停止生产的管 理机制。根据以上需求,使用本发明构建了图6所示的生产管理系统,包括客户端 嵌入式硬件支撑平台(如A工作台,B工作台,C工作台),网络(包括局域 网和互联网),交换机,数据库,以及远程控制终端(如远程控制A、 B和C 工作台的终端),还包括与互联网连接的CA认证中心。对于该离散型机械制造业企业,工作流程如下 1) 远程控制A、 B、 C部门提出生产需求。2) 远程控制A、 B、 C部门通过CA认证中心、互联网与生产部门数据 服务器建立认证、签名,将需求信息发布到生产部门数据服务器。3) 生产部门数据服务器根据接收到的需求信息、当前生产线情况、 原材料库存情况安排建立生产计划。4) 生产部门数据服务器将生产计划、相应的生产技术参数、原材料 需求、发布到本发明构建的客户端。5) 库房根据原材料需求信息将原材料送达生产线对应工作台。6) 工作台根据生产技术参数调整设备参数,在原材料送达后开始生^ 7) 在生产中工作台根据生产技术参数实时监控制生产设备,如设备 发生问题或产品质量出现问题,A.已生产部门数据服务器中参考数据作为处理 标准.B根据操作人员的权限停止所有生产线设备运转或停止当前生产设备运 转或报告情况。8) 生产部门数据服务器根据当前工作人员情况、设备运行情况、产 品质量、生产原材料动态调整当前生产产品的型号。本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条 件下,还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于 以上的说明,而是由权利要求书的范围来确定的。
权利要求
1. 一种生产管理系统,包括客户端嵌入式硬件支撑平台,用于接收和发 布生产管理信息的数据服务器,客户端嵌入式硬件支撑平台以及数据服务器均 接入局域网,客户端嵌入式硬件支撑平台包括嵌入式芯片及外围设备,嵌入式 芯片包括总线系统、应用程序接口、高速可编程处理器,嵌入式硬件支撑平台 包含操作系统以及应用程序,外围设备包括外部存储器和/或网络桥接芯片, 其特征在于,嵌入式芯片还包括一次性可编程存储器和信息安全处理模块;一 次性可编程存储器和信息安全处理模块均接入总线系统; 一次性可编程存储 器,用于存储引导程序和根密钥;信息安全处理模块,用于加密和/或解密数 据和/或程序。
2. 如权利要求1所述的生产管理系统,其特征在于,所述总线系统包括 高速数据总线、低速配置寄存器总线、总线仲裁器、直接存储器访问传输控制 器;总线仲裁器,用于以优先权方式控制接入总线系统的各模块对高速数据总 线的占用;高速数据总线,用于提供高速数据通道;高速可编程处理器,用于 通过低速配置寄存器总线对接入总线系统的各模块的控制寄存器进行配置。
3. 如权利要求1或2所述的生产管理系统,其特征在于,嵌入式芯片还 包括与网络桥接芯片连接的高速总线扩展接口 ,该高速总线扩展接口接入总线 系统。
4. 如权利要求3所述的生产管理系统,其特征在于,嵌入式芯片还包括 权限控制模块和高速总线扩展接口 ,权限控制模块和高速总线扩展接口接入总 线系统,用于通过指纹识别实现用户的权限管理。
5. 如权利要求4所述的生产管理系统,其特征在于,权限控制模块包括 指纹识别模块。
6. 如权利要求l、 2、 4或5所述的生产管理系统,其特征在于,信息安 全处理模块包括随机数发生器,非对称加密模块,散列模块,和对称加密模块。
7. 如权利要求6所述的生产管理系统,其特征在于,随机数发生器、非 对1^加密模块和散列模块,用于实现网络认证;对称加密模块,用于实现本地 数据加密存储与网络数据传输的加密。
8. 如权利要求7所述的生产管理系统,其特征在于,还包括第三方认证机构和远程控制终端,所述局域网、第三方认证机构、远程控制终端接入互联 网,用于实现网络安全。
9. 如权利要求6或7所述的生产管理系统,其特征在于,还包括实时音 视频协作处理模块,该实时音视频协作处理模块接入系统总线,用于处理实时 音频流和/或视频流。
10. —种生产管理系统中片上安全实现方法,其特征在于,包括步骤101,客户端嵌入式硬件支撑平台通过可编程存储器中的引导程序载 入根密钥;步骤102,客户端嵌入式硬件支撑平台载入外部存储器中被加密的扩展密 钥,信息安全处理模块解密被加密的扩展密钥;歩骤103,信息安全处理模块利用解密后的扩展密钥解密外部存储器中的 数据和/或程序;步骤104,启动操作系统和程序。
11. 如权利要求10所述的生产管理系统中片上安全实现方法,其特征在 于,步骤101之前还包括进行密码或者指纹验证。
12. —种生产管理系统中网络安全实现方法,其特征在于,包括对局域网或者互联网中客户端嵌入式硬件支撑平台传输的数据进行对称加密和/或非 对称加密。
13. 如权利要求12所述的网络安全实现方法,其特征在于,在互联网中, 通过第三方认证机构实现发送方和/或接收方的身份认证。
14. 一种生产管理系统中实时音视频发送方法,其特征在于,包括 步骤141,发送方的实时音视频协作处理模块对数据流进行压縮编码; 步骤142,发送方的信息安全处理模块对数据流进行对称加密;歩骤143,发送方将加密后的数据流进行网络传输。
15. 如权利要求14所述的实时音视频发送方法,其特征在于,步骤133 中,发送方将加密后的数据流通过高速总线扩展接口进行网络传输。
16. —种生产管理系统中实时音视频接收方法,其特征在于,包括 步骤134,接收方接收加密后的数据流;歩骤135,接收方的信息安全处理模解密被加密的数据流;步骤136,接收方的实时音视频协作处理模块对解密后的数据流进行解压 縮。
17.如权利要求16所述的实时音视频接收方法,其特征在于,步骤134 中,接收方通过高速总线扩展接口接收加密后的数据流。
全文摘要
本发明提供了一种生产管理系统,包括客户端嵌入式硬件支撑平台,用于接收和发布生产管理信息的数据服务器,客户端嵌入式硬件支撑平台以及数据服务器均接入局域网,客户端嵌入式硬件支撑平台包括嵌入式芯片及外围设备,嵌入式芯片包括总线系统、应用程序接口、高速可编程处理器,嵌入式硬件支撑平台包含操作系统以及应用程序,外围设备包括外部存储器和/或网络桥接芯片,嵌入式芯片还包括一次性可编程存储器和信息安全处理模块;一次性可编程存储器和信息安全处理模块均接入总线系统;一次性可编程存储器,用于存储引导程序和根密钥;信息安全处理模块,用于加密和/或解密数据和/或程序。本发明解决了嵌入式芯片自身安全性及网络安全问题。
文档编号G06Q10/00GK101145228SQ20071017584
公开日2008年3月19日 申请日期2007年10月12日 优先权日2007年10月12日
发明者新 贺 申请人:成都方程式电子有限公司