专利名称:一种工业互联网分布式系统安全接入控制装置的制作方法
技术领域:
本发明涉及一种网络安全接入控制技术
背景技术:
随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网络将其生产过程专用设备或工业智能设备(Intelligent Electric Device-IED)互联在一起,形成生产控制系统网络。这种工业企业用内部(或专用)网络称之为工业互联网。大型企业,如电力公司、油气输送企业、以矿产资源勘查和开发为主的大型矿业集团,其控股公司往往分布在全国乃至全球各地,仅使用内部网络无法满足其信息交互需求。 随着工业互联网的发展,工业互联网不再局限于一个场站或一个城市,利用已有公众网络 (万维互联网)的硬件和软件设施,将两个或更多个工业互联网进行通讯连接,使得一个中心控制系统能对所有个子生产控制系统进行监督和控制,也使得多个子生产控制系统之间能相互通讯,形成一个更大的工业互联网,对其资源进行更优化控制和使用。并且,为了提高系统运行效率、均衡负载,提高系统稳健性,工业互联网通常使用分布式系统,提供分布式数据库、分布式服务等,由工业互联网中不同的服务器分别进行信息采集、数据存储、信息处理、传输、提供服务等。工业互联网分布式系统是一个一体化的系统,在整个系统中要有一个全局的操作系统(即分布式操作系统),它负责全系统(包括每台计算机)的资源分配和调度、任务划分、信息传输、控制协调等工作,并为用户提供一个统一的界面、标准的接口。这个分布式操作系统一般位于工业互联网的中心控制系统。有了分布式操作系统,用户通过统一界面实现所需操作和使用系统资源,至于操作是在哪个计算机上执行的或使用的是哪个计算机的资源则是系统的事,用户是无须了解,也就是说系统对用户是透明的。由于工业互联网中传输的信息均为工业内部信息,提供的服务为内部服务,因此对信息的安全性和保密性有极高要求。为了确保安全性,在工业互联网中,在获取服务或数据、信息之前,用户、客户端及应用进程均需要进行相应的身份认证。认证的实质就是证实被认证对象是否属实和是否有效的过程。一般采用密码技术,使用数字证书验证被认证对象,达到确认被认证对象是否真实、有效的目的。只有在通过身份识别和鉴别后,才利用其所请求服务所在的IP地址来建立虚拟通道(VPN),通过VPN连接到提供对应服务的服务器,获取相应服务、数据、信息等。VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。然而,对于工业互联网分布式系统,仅对用户、客户端和应用进程进行身份认证, 其安全等级对于要求高保密性的工业互联网而言是不够的。并且,仅利用IP地址建立VPN 来保障通信安全的方式对于分布式系统而言同样是不够的。对于现有的工业互联网分布式系统而言,迫切需要一个适用于分布式环境、能够保障数据的高安全需求(即数据的机密性、完整性以及不可否认性)的网络安全接入控制装置。
发明内容
本发明主要解决的技术问题是提供一种工业互联网分布式系统安全接入控制装置,使得在采用分布式技术的工业互联网的安全性得到保障的同时,满足工业互联网在分布式环境下的资源定位需求。为了解决上述技术问题,本发明提供了一种工业互联网分布式系统安全接入控制装置,包含网络通讯端口,通过内部专网或公共网络与所述工业互联网中服务器或客户端相连,还包含一对用户和服务器的身份及访问操作权限进行认证的认证授权模块,一对用户或服务器的访问操作进行审计的审计模块,一对用户或服务器访问操作的对象资源进行存储位置定位控制的资源定位模块;所述认证授权模块、审计模块和资源定位模块均与所述网络通讯端口相连;所述认证授权模块通过所述网络通讯端口接收来自用户客户端或服务器的身份认证信息,进行身份及访问操作权限的认证和授权;所述审计模块通过所述网络通信端口接收来自用户客户端或服务器的访问操作信息,对所述访问操作进行审计;所述资源定位模块与所述审计模块相连,在所述访问操作信息通过所述审计模块的审计后,对所述访问操作的对象资源的存储位置进行定位。作为上述技术方案的改进,该装置还包含一对数字证书进行基本管理操作的证书授权中心和证书库,所述基本管理操作至少包括证书颁发、索引、存储和吊销;所述证书授权中心与所述认证授权模块相连,所述证书库分别与所述证书授权中心和所述认证授权模块相连,所述证书授权中心为用户颁发证书过程中,通过所述认证授权模块为用户分配角色和权限,所述证书授权中心为该用户颁发包含角色信息的数字证书,并将该数字证书保存在证书库;所述认证授权模块在对用户身份及访问操作权限进行认证时,从所述证书库读取该用户的数字证书。作为上述技术方案的改进,该装置还包含一资源管理模块,与资源定位模块相连, 管理与维护系统全局的组件资源库、配置资源模板库、公共信息模型CIM模式描述文件和 CIM模型语义模型库。作为上述技术方案的改进,所述分布式系统中对象资源分为可部署对象资源和普通对象资源,普通对象资源与其所属的可部署对象资源存储在同一服务器中,每个对象资源包含一唯一对应的资源标示,该资源标示包含该对象资源所属的上一级可部署对象资源标识码和本资源标识码两部分,在资源定位模块对可部署对象资源的资源标示和存储地址进行注册,该资源定位模块还进一步包含存储子模块,用于保存所述可部署对象资源的资源标示和存储地址的对应关系;查找子模块,用于根据访问操作请求中的资源标示,确定所请求的资源是否为可部署对象资源,如果是可部署对象资源,则根据所述资源标示中本资源标识码部分,从所述存储子模块保存的对应关系中查找该对象资源的存储地址;如果是普通对象资源,则根据所述资源标示中上一级可部署对象资源标识码部分,从所述存储子模块保存的对应关系中查找该对象资源的存储地址;反馈子模块,用于将所述查找到的存储地址反馈给访问操作请求方,由访问操作请求方从该存储地址对应的服务器上获取所需的对象资源。作为上述技术方案的改进,该装置还包含一权限数据库,用于保存不同角色的用户对应的权限信息;所述认证授权模块在验证数字证书有效性后,根据数字证书中的用户名信息和角色信息关联所述权限数据库,从中提取用户的权限信息,向用户返回包含其权限范围内访问操作的用户界面。作为上述技术方案的改进,所述认证授权模块还用于在所述工业互联网中的服务器发生行为时,对该服务器进行身份认证,如果认证通过则允许该服务器发生该行为;如果认证未通过则拒绝该服务器发生该行为;所述服务器行为至少包含以下之一或其任意组合服务器启动、服务器提供服务、服务器提供数据、服务器提供操作、及服务器使用系统资源。作为上述技术方案的改进,所述证书授权中心还用于为所述工业互联网中的服务器分配数字证书和密钥,将所述服务器的信息与所分配的数字证书和密钥绑定,并保存到所述证书库;所述认证授权模块从所述证书库获取服务器的数字证书,验证所述服务器的数字证书和密钥,以及数字证书所绑定的服务器信息与所述认证中的服务器信息是否匹配,实现对所述服务器的身份认证。本发明实施方式与现有技术相比,主要区别及其效果在于为工业互联网设置一个适合分布式环境的安全接入控制装置,在该装置中集合对用户及服务器的身份及访问操作权限进行认证和授权的模块,对用户或服务器的访问操作进行审计的模块,对用户及服务器访问的对象资源进行统一资源定位的模块。有效确保接入工业互联网分布式系统并获取信息/服务的用户或服务器身份的安全性、权限有效性。并且,使得工业互联网中用户及服务器无需获知所需对象资源的实际存储位置,只需通过分布式系统统一的资源定位平台,即可定位到对应的服务器,获取所需的对象资源,实现快速、方便,满足分布式环境下的需求。作为进一步改进,将分布式系统中的对象资源分为可部署对象资源和普通对象资源,存储在各分布式服务器中,普通对象资源与其所属的可部署对象资源存储在同一服务器中,每个对象资源包含一资源ID,ID中包含该对象资源所属的上一级可部署对象资源标识码和本对象资源标识码两部分。仅将可部署对象资源的ID和存储地址发送到资源定位设备注册;资源定位模块查找资源时,首先判断是否为可部署对象资源,如果是可部署对象资源,则根据本资源标识码部分,查找该对象资源存储地址;如果是普通对象资源,则根据上一级可部署对象资源标识码部分,查找该对象资源存储地址;资源请求方从存储地址对应服务器获取所需对象资源。对于包含大量数据、且资源类型繁多的分布式系统,该资源定位方式大大加快了资源查找和定位速度,且由于资源注册时只需要注册可部署对象资源 ID,因此解决了大数据量、多类型信息资源注册问题,降低了对资源定位设施的系统容量、 处理性能等要求,有效地避免资源定位设施造成系统瓶颈。另外,本发明破除了传统观念中分布式网络中服务器是安全的、无需身份认证的观念,通过对分布式网络中提供服务的服务器进行实时身份认证,来确保每个时刻下服务器所提供的服务的合法性,所提供的数据的有效性,有效避免服务器被盗用的情况,满足用户的安全需求,包括数据的保密性、完整性以及不可否认性,使得分布式网络所达到的安全级别能够满足工业互联网等高安全需求的系统,包括电力、油气、交通等工业领域中用户的高级别的安全需求。
下面结合附图和具体实施方式
对本发明作进一步详细说明。图1是本发明一较佳实施方式中安全接入控制装置与分布式系统中服务器/客户端连接结构示意图;图2是本发明一较佳实施方式工业互联网分布式系统安全接入控制装置结构图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施方式作进一步地详细描述。本发明一较佳实施方式涉及一种工业互联网分布式系统安全接入控制装置,作为工业互联网分布式系统的安全控制机构和分布式平台,其包含网络通讯端口,通过专用网络(内部网络)或公共网络与工业互联网中所有服务器及客户端直接或间接连接。这些服务器可以在工业互联网的不同区域,实现不同的服务、操作等,如各服务器可以分布在不同区域的一级主站、二级主站、甚至子站。客户端可以在任何区域通过网络连接到该装置,如图1所示。本实施方式中,客户端通过该装置实现身份认证,登录分布式系统,确定自身权限,定位所需访问操作的对象资源(权限范围内的),最终在权限范围内获取所需服务。服务器通过该装置实现身份认证,登录分布式系统,确定自身权限,通过该装置定位并在权限范围内获取所需的对象资源,在权限范围内为用户提供服务等。并且,该安全接入控制装置除了对客户端和服务器的身份和权限进行认证授权外,还在用户和服务器完成资源定位、 连接到所定位的服务器后,进一步对用户及服务器的每个操作进行审计,确保其所执行的操作所获取的服务均在其权限范围内。通过多方位的多重认证审计机制,确保工业互联网分布式系统的安全性和稳定性。具体地说,本实施方式的安全接入控制装置主要包含一对用户和服务器的身份及访问操作权限进行认证的认证授权模块,一对用户或服务器的访问操作进行审计的审计模块,一对用户或服务器访问操作的对象资源进行存储位置定位控制的资源定位模块,如图2所示。其中,认证授权模块、审计模块和资源定位模块均与网络通讯端口相连;认证授权模块通过网络通讯端口接收来自用户客户端或服务器的身份认证信息,进行身份及访问操作权限的认证和授权;审计模块通过网络通信端口接收来自用户客户端或服务器的访问操作信息,对访问操作进行审计;资源定位模块与审计模块相连,在访问操作信息通过审计模块的审计后,对访问操作的对象资源的存储位置进行定位。审计模块可以调用认证授权模块,完成对执行该访问操作的客户端/服务器的身份及权限的认证,确定访问操作是否合法;也可以直接对客户端/服务器的身份及权限进行认证,确定访问操作是否合法。
该安全接入控制装置还包含一对数字证书进行基本管理操作的证书授权中心和一证书库,基本管理操作至少包括证书颁发、索引、存储和吊销。证书授权中心与认证授权模块相连,证书库分别与证书授权中心和认证授权模块相连,证书授权中心为用户颁发证书过程中,通过认证授权模块为用户分配角色和权限,证书授权中心为该用户颁发包含角色信息的数字证书,并将该数字证书保存在证书库;认证授权模块在对用户身份及访问操作权限进行认证时,从证书库读取该用户的数字证书。该装置还包含一资源管理模块,与资源定位模块相连,管理与维护系统全局的组件资源库、配置资源模板库、公共信息模型(Common hformationModel,简称“CIM”)模式描述文件和CIM模型语义模型库。该装置还包含一权限数据库,用于保存不同角色的用户对应的权限信息;认证授权模块在验证数字证书有效性后,根据数字证书中的用户名信息和角色信息关联权限数据库,从中提取用户的权限信息,向用户返回包含其权限范围内访问操作的用户界面。作为上述技术方案的改进,认证授权模块还用于在工业互联网中的服务器发生行为时,对该服务器进行身份认证,如果认证通过则允许该服务器发生该行为;如果认证未通过则拒绝该服务器发生该行为。服务器行为至少包含服务器启动、服务器提供服务、服务器提供数据、服务器提供操作、及服务器使用系统资源等。相对应的,证书授权中心还可以用于为工业互联网中的服务器分配数字证书和密钥,将服务器的信息与所分配的数字证书和密钥绑定,并保存到证书库;认证授权模块从证书库获取服务器的数字证书,验证服务器的数字证书和密钥,以及数字证书所绑定的服务器信息与认证中的服务器信息是否匹配,实现对服务器的身份认证。综上所述,本实施方式中,用户要访问工业互联网中的服务,首先需要登录工业互联网分布式系统安全接入控制装置,由认证授权模块对用户的身份进行认证并确定其权限,向用户返回与其权限相对应的用户界面(用户界面上仅包含该用户有权限的操作)。每当用户需要通过客户端进行具体的访问操作时,由审计模块进一步对用户的访问操作权限进行审计,如果审计通过则允许其进行该次访问操作,如果审计不通过则禁止该次访问操作,确保系统安全性。并且,用户无需知道所请求服务位于那台服务器,用户无论需要进行什么访问操作,均只需向安全接入控制装置进行请求,由资源定位模块为用户进行资源定位,确定所需服务对应的对象资源所在的位置,根据资源定位模块返回的结果,找到对应的服务器获取相应服务即可。除了在用户层面进行身份权限认证和审计以外,在服务器层面,服务器同样需要进行身份和权限的认证。在服务器发生启动、提供服务、提供数据、提供操作、及使用系统资源等行为时,同样需要对其身份及权限进行认证和审计,在通过身份认证后,该服务器才能够启动、提供服务、提供数据、提供操作等;在通过审计后,该服务器才能够进行资源定位,、 使用系统资源、对其他服务器进行访问操作。可见,本实施方式的安全接入控制装置破除了传统观念中分布式网络中服务器是安全的、无需身份认证的观念,通过对分布式网络中提供服务的服务器进行实时身份认证, 来确保每个时刻下服务器所提供的服务的合法性,所提供的数据的有效性,有效避免服务器被盗用的情况,满足工业互联网系统的安全需求,包括数据的保密性、完整性以及不可否认性,使得工业互联网分布式系统所达到的安全级别能够满足工业领域中高安全需求的系统,包括电力、油气、交通等工业领域中具有高级别安全需求的系统。并且,确保工业互联网中用户及服务器无需获知所需对象资源的实际存储位置,只需通过分布式系统统一的资源定位平台,即可定位到对应的服务器,获取所需的对象资源,实现快速、方便,满足分布式环境下的需求。作为上述技术方案的改进,本实施方式的分布式系统中对象资源分为可部署对象资源和普通对象资源,普通对象资源与其所属的可部署对象资源存储在同一服务器中,每个对象资源包含一唯一对应的资源标示,该资源标示包含该对象资源所属的上一级可部署对象资源标识码和本资源标识码两部分,在资源定位模块对可部署对象资源的资源标示和存储地址进行注册,该资源定位模块还进一步包含存储子模块,用于保存可部署对象资源的资源标示和存储地址的对应关系;查找子模块,用于根据访问操作请求中的资源标示,确定所请求的资源是否为可部署对象资源,如果是可部署对象资源,则根据资源标示中本资源标识码部分,从存储子模块保存的对应关系中查找该对象资源的存储地址;如果是普通对象资源,则根据资源标示中上一级可部署对象资源标识码部分,从存储子模块保存的对应关系中查找该对象资源的存储地址;反馈子模块,用于将查找到的存储地址反馈给访问操作请求方,由访问操作请求方从该存储地址对应的服务器上获取所需的对象资源。也就是说,该系统中各服务器只需将可部署对象资源的ID和存储地址发送到资源定位设备注册;资源定位模块查找资源时,首先判断是否为可部署对象资源,如果是可部署对象资源,则根据本资源标识码部分,查找该对象资源存储地址;如果是普通对象资源, 则根据上一级可部署对象资源标识码部分,查找该对象资源存储地址;资源请求方从存储地址对应服务器获取所需对象资源。对于包含大量数据、且资源类型繁多的分布式系统,该资源定位技术大大加快了资源查找和定位速度,且由于资源注册时只需要注册可部署对象资源ID,因此解决了大数据量、多类型信息资源注册问题,降低了对资源定位设施的系统容量、处理性能等要求,有效地避免资源定位设施造成系统瓶颈。虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
权利要求
1.一种工业互联网分布式系统安全接入控制装置,包含网络通讯端口,通过内部专网或公共网络与所述工业互联网中服务器或客户端相连,其特征在于,还包含一对用户和服务器的身份及访问操作权限进行认证的认证授权模块,一对用户或服务器的访问操作进行审计的审计模块,一对用户或服务器访问操作的对象资源进行存储位置定位控制的资源定位模块;所述认证授权模块、审计模块和资源定位模块均与所述网络通讯端口相连;所述认证授权模块通过所述网络通讯端口接收来自用户客户端或服务器的身份认证信息,进行身份及访问操作权限的认证和授权;所述审计模块通过所述网络通信端口接收来自用户客户端或服务器的访问操作信息,对所述访问操作进行审计;所述资源定位模块与所述审计模块相连,在所述访问操作信息通过所述审计模块的审计后,对所述访问操作的对象资源的存储位置进行定位。
2.根据权利要求1所述的工业互联网分布式系统安全接入控制装置,其特征在于,该装置还包含一对数字证书进行基本管理操作的证书授权中心和一证书库,所述基本管理操作至少包括证书颁发、索引、存储和吊销;所述证书授权中心与所述认证授权模块相连,所述证书库分别与所述证书授权中心和所述认证授权模块相连,所述证书授权中心为用户颁发证书过程中,通过所述认证授权模块为用户分配角色和权限,所述证书授权中心为该用户颁发包含角色信息的数字证书,并将该数字证书保存在证书库;所述认证授权模块在对用户身份及访问操作权限进行认证时,从所述证书库读取该用户的数字证书。
3.根据权利要求1所述的工业互联网分布式系统安全接入控制装置,其特征在于,该装置还包含一资源管理模块,与所述资源定位模块相连,管理与维护系统全局的组件资源库、配置资源模板库、公共信息模型CIM模式描述文件和CIM模型语义模型库。
4.根据权利要求1所述的工业互联网分布式系统安全接入控制装置,其特征在于,所述分布式系统中对象资源分为可部署对象资源和普通对象资源,普通对象资源与其所属的可部署对象资源存储在同一服务器中,每个对象资源包含一唯一对应的资源标示,该资源标示包含该对象资源所属的上一级可部署对象资源标识码和本资源标识码两部分,在资源定位模块对可部署对象资源的资源标示和存储地址进行注册,该资源定位模块还进一步包含存储子模块,用于保存所述可部署对象资源的资源标示和存储地址的对应关系;查找子模块,用于根据访问操作请求中的资源标示,确定所请求的资源是否为可部署对象资源,如果是可部署对象资源,则根据所述资源标示中本资源标识码部分,从所述存储子模块保存的对应关系中查找该对象资源的存储地址;如果是普通对象资源,则根据所述资源标示中上一级可部署对象资源标识码部分,从所述存储子模块保存的对应关系中查找该对象资源的存储地址;反馈子模块,用于将所述查找到的存储地址反馈给访问操作请求方,由访问操作请求方从该存储地址对应的服务器上获取所需的对象资源。
5.根据权利要求2所述的工业互联网分布式系统安全接入控制装置,其特征在于,该装置还包含一权限数据库,用于保存不同角色的用户对应的权限信息;所述认证授权模块在验证数字证书有效性后,根据数字证书中的用户名信息和角色信息关联所述权限数据库,从中提取用户的权限信息,向用户返回包含其权限范围内访问操作的用户界面。
6.根据权利要求2所述的工业互联网分布式系统安全接入控制装置,其特征在于,所述认证授权模块还用于在所述工业互联网中的服务器发生行为时,对该服务器进行身份认证,如果认证通过则允许该服务器发生该行为;如果认证未通过则拒绝该服务器发生该行为;所述服务器行为至少包含以下之一或其任意组合服务器启动、服务器提供服务、服务器提供数据、服务器提供操作、及服务器使用系统资源。
7.根据权利要求6所述的工业互联网分布式系统安全接入控制装置,其特征在于,所述证书授权中心还用于为所述工业互联网中的服务器分配数字证书和密钥,将所述服务器的信息与所分配的数字证书和密钥绑定,并保存到所述证书库;所述认证授权模块从所述证书库获取服务器的数字证书,验证所述服务器的数字证书和密钥,以及数字证书所绑定的服务器信息与所述认证中的服务器信息是否匹配,实现对所述服务器的身份认证。
全文摘要
本发明公开了一种工业互联网分布式系统安全接入控制装置,该装置中集合对用户及服务器的身份及访问操作权限进行认证和授权的模块,对用户或服务器的访问操作进行审计的模块,对用户及服务器访问的对象资源进行统一资源定位的模块。有效确保接入工业互联网分布式系统并获取信息/服务的用户或服务器身份的安全性、权限有效性。并且,使得工业互联网中用户及服务器无需获知所需对象资源的实际存储位置,只需通过分布式系统统一的资源定位平台,即可定位到对应的服务器,获取所需的对象资源,实现快速、方便,满足分布式环境下的需求。
文档编号H04L29/06GK102487383SQ201010570979
公开日2012年6月6日 申请日期2010年12月2日 优先权日2010年12月2日
发明者俞高宇, 梁俊, 王磊 申请人:上海可鲁系统软件有限公司