收藏
下载资源 加入会员免费下载

一种工业互联网分布式系统安全接入控制装置.pdf

上传人:1** 文档编号:4295015 上传时间:2018-09-13 格式:PDF 页数:11 大小:480.83KB
返回 下载 相关 举报
摘要
申请专利号:

CN201010570979.8

 申请日:

2010.12.02
公开号:

CN102487383A

 公开日:

2012.06.06
当前法律状态:

授权

 有效性:

有权
法律详情:

授权|||实质审查的生效IPC(主分类):H04L 29/06申请日:20101202|||公开
IPC分类号:

H04L29/06; H04L9/32

 主分类号:

H04L29/06
申请人:

上海可鲁系统软件有限公司
发明人:

梁俊; 俞高宇; 王磊
地址:

201203 上海市浦东新区祖冲之路887弄82号二楼北
优先权:

专利代理机构:

代理人:

PDF下载: PDF下载
内容摘要

本发明公开了一种工业互联网分布式系统安全接入控制装置,该装置中集合对用户及服务器的身份及访问操作权限进行认证和授权的模块,对用户或服务器的访问操作进行审计的模块,对用户及服务器访问的对象资源进行统一资源定位的模块。有效确保接入工业互联网分布式系统并获取信息/服务的用户或服务器身份的安全性、权限有效性。并且,使得工业互联网中用户及服务器无需获知所需对象资源的实际存储位置,只需通过分布式系统统一的资源定位平台,即可定位到对应的服务器,获取所需的对象资源,实现快速、方便,满足分布式环境下的需求。

权利要求书

1: 一种工业互联网分布式系统安全接入控制装置, 包含网络通讯端口, 通过内部专网 或公共网络与所述工业互联网中服务器或客户端相连, 其特征在于, 还包含 : 一对用户和服务器的身份及访问操作权限进行认证的认证授权模块, 一对用户或服务 器的访问操作进行审计的审计模块, 一对用户或服务器访问操作的对象资源进行存储位置 定位控制的资源定位模块 ; 所述认证授权模块、 审计模块和资源定位模块均与所述网络通讯端口相连 ; 所述认证 授权模块通过所述网络通讯端口接收来自用户客户端或服务器的身份认证信息, 进行身份 及访问操作权限的认证和授权 ; 所述审计模块通过所述网络通信端口接收来自用户客户端 或服务器的访问操作信息, 对所述访问操作进行审计 ; 所述资源定位模块与所述审计模块 相连, 在所述访问操作信息通过所述审计模块的审计后, 对所述访问操作的对象资源的存 储位置进行定位。2: 根据权利要求 1 所述的工业互联网分布式系统安全接入控制装置, 其特征在于, 该 装置还包含一对数字证书进行基本管理操作的证书授权中心和一证书库, 所述基本管理操 作至少包括证书颁发、 索引、 存储和吊销 ; 所述证书授权中心与所述认证授权模块相连, 所述证书库分别与所述证书授权中心和 所述认证授权模块相连, 所述证书授权中心为用户颁发证书过程中, 通过所述认证授权模 块为用户分配角色和权限, 所述证书授权中心为该用户颁发包含角色信息的数字证书, 并 将该数字证书保存在证书库 ; 所述认证授权模块在对用户身份及访问操作权限进行认证 时, 从所述证书库读取该用户的数字证书。3: 根据权利要求 1 所述的工业互联网分布式系统安全接入控制装置, 其特征在于, 该 装置还包含一资源管理模块, 与所述资源定位模块相连, 管理与维护系统全局的组件资源 库、 配置资源模板库、 公共信息模型 CIM 模式描述文件和 CIM 模型语义模型库。4: 根据权利要求 1 所述的工业互联网分布式系统安全接入控制装置, 其特征在于, 所 述分布式系统中对象资源分为可部署对象资源和普通对象资源, 普通对象资源与其所属的 可部署对象资源存储在同一服务器中, 每个对象资源包含一唯一对应的资源标示, 该资源 标示包含该对象资源所属的上一级可部署对象资源标识码和本资源标识码两部分, 在资源 定位模块对可部署对象资源的资源标示和存储地址进行注册, 该资源定位模块还进一步包 含: 存储子模块, 用于保存所述可部署对象资源的资源标示和存储地址的对应关系 ; 查找子模块, 用于根据访问操作请求中的资源标示, 确定所请求的资源是否为可部署 对象资源, 如果是可部署对象资源, 则根据所述资源标示中本资源标识码部分, 从所述存储 子模块保存的对应关系中查找该对象资源的存储地址 ; 如果是普通对象资源, 则根据所述 资源标示中上一级可部署对象资源标识码部分, 从所述存储子模块保存的对应关系中查找 该对象资源的存储地址 ; 反馈子模块, 用于将所述查找到的存储地址反馈给访问操作请求方, 由访问操作请求 方从该存储地址对应的服务器上获取所需的对象资源。5: 根据权利要求 2 所述的工业互联网分布式系统安全接入控制装置, 其特征在于, 该 装置还包含一权限数据库, 用于保存不同角色的用户对应的权限信息 ; 所述认证授权模块在验证数字证书有效性后, 根据数字证书中的用户名信息和角色信 2 息关联所述权限数据库, 从中提取用户的权限信息, 向用户返回包含其权限范围内访问操 作的用户界面。6: 根据权利要求 2 所述的工业互联网分布式系统安全接入控制装置, 其特征在于, 所 述认证授权模块还用于在所述工业互联网中的服务器发生行为时, 对该服务器进行身份认 证, 如果认证通过则允许该服务器发生该行为 ; 如果认证未通过则拒绝该服务器发生该行 为; 所述服务器行为至少包含以下之一或其任意组合 : 服务器启动、 服务器提供服务、 服务器提供数据、 服务器提供操作、 及服务器使用系统 资源。7: 根据权利要求 6 所述的工业互联网分布式系统安全接入控制装置, 其特征在于, 所 述证书授权中心还用于为所述工业互联网中的服务器分配数字证书和密钥, 将所述服务器 的信息与所分配的数字证书和密钥绑定, 并保存到所述证书库 ; 所述认证授权模块从所述证书库获取服务器的数字证书, 验证所述服务器的数字证书 和密钥, 以及数字证书所绑定的服务器信息与所述认证中的服务器信息是否匹配, 实现对 所述服务器的身份认证。

说明书


一种工业互联网分布式系统安全接入控制装置

    【技术领域】
     本发明涉及一种网络安全接入控制技术背景技术 随着工业自动化控制的迅速发展, 愈来愈多的工业企业使用其内部 ( 或专用 ) 网 络将其生产过程专用设备或工业智能设备 (Intelligent Electric Device-IED) 互联在一 起, 形成生产控制系统网络。这种工业企业用内部 ( 或专用 ) 网络称之为工业互联网。
     大型企业, 如电力公司、 油气输送企业、 以矿产资源勘查和开发为主的大型矿业集 团, 其控股公司往往分布在全国乃至全球各地, 仅使用内部网络无法满足其信息交互需求。 随着工业互联网的发展, 工业互联网不再局限于一个场站或一个城市, 利用已有公众网络 ( 万维互联网 ) 的硬件和软件设施, 将两个或更多个工业互联网进行通讯连接, 使得一个中 心控制系统能对所有个子生产控制系统进行监督和控制, 也使得多个子生产控制系统之间 能相互通讯, 形成一个更大的工业互联网, 对其资源进行更优化控制和使用。
     并且, 为了提高系统运行效率、 均衡负载, 提高系统稳健性, 工业互联网通常使用 分布式系统, 提供分布式数据库、 分布式服务等, 由工业互联网中不同的服务器分别进行信 息采集、 数据存储、 信息处理、 传输、 提供服务等。 工业互联网分布式系统是一个一体化的系 统, 在整个系统中要有一个全局的操作系统 ( 即分布式操作系统 ), 它负责全系统 ( 包括每 台计算机 ) 的资源分配和调度、 任务划分、 信息传输、 控制协调等工作, 并为用户提供一个 统一的界面、 标准的接口。这个分布式操作系统一般位于工业互联网的中心控制系统。有 了分布式操作系统, 用户通过统一界面实现所需操作和使用系统资源, 至于操作是在哪个 计算机上执行的或使用的是哪个计算机的资源则是系统的事, 用户是无须了解, 也就是说 系统对用户是透明的。
     由于工业互联网中传输的信息均为工业内部信息, 提供的服务为内部服务, 因此 对信息的安全性和保密性有极高要求。 为了确保安全性, 在工业互联网中, 在获取服务或数 据、 信息之前, 用户、 客户端及应用进程均需要进行相应的身份认证。认证的实质就是证实 被认证对象是否属实和是否有效的过程。一般采用密码技术, 使用数字证书验证被认证对 象, 达到确认被认证对象是否真实、 有效的目的。
     只有在通过身份识别和鉴别后, 才利用其所请求服务所在的 IP 地址来建立虚拟 通道 (VPN), 通过 VPN 连接到提供对应服务的服务器, 获取相应服务、 数据、 信息等。VPN 即 虚拟专用网, 是通过一个公用网络 ( 通常是因特网 ) 建立一个临时的、 安全的连接, 是一条 穿过混乱的公用网络的安全、 稳定的隧道。
     然而, 对于工业互联网分布式系统, 仅对用户、 客户端和应用进程进行身份认证, 其安全等级对于要求高保密性的工业互联网而言是不够的。并且, 仅利用 IP 地址建立 VPN 来保障通信安全的方式对于分布式系统而言同样是不够的。 对于现有的工业互联网分布式 系统而言, 迫切需要一个适用于分布式环境、 能够保障数据的高安全需求 ( 即数据的机密 性、 完整性以及不可否认性 ) 的网络安全接入控制装置。
     发明内容 本发明主要解决的技术问题是提供一种工业互联网分布式系统安全接入控制装 置, 使得在采用分布式技术的工业互联网的安全性得到保障的同时, 满足工业互联网在分 布式环境下的资源定位需求。
     为了解决上述技术问题, 本发明提供了一种工业互联网分布式系统安全接入控制 装置, 包含网络通讯端口, 通过内部专网或公共网络与所述工业互联网中服务器或客户端 相连, 还包含 :
     一对用户和服务器的身份及访问操作权限进行认证的认证授权模块, 一对用户或 服务器的访问操作进行审计的审计模块, 一对用户或服务器访问操作的对象资源进行存储 位置定位控制的资源定位模块 ;
     所述认证授权模块、 审计模块和资源定位模块均与所述网络通讯端口相连 ; 所述 认证授权模块通过所述网络通讯端口接收来自用户客户端或服务器的身份认证信息, 进行 身份及访问操作权限的认证和授权 ; 所述审计模块通过所述网络通信端口接收来自用户客 户端或服务器的访问操作信息, 对所述访问操作进行审计 ; 所述资源定位模块与所述审计 模块相连, 在所述访问操作信息通过所述审计模块的审计后, 对所述访问操作的对象资源 的存储位置进行定位。
     作为上述技术方案的改进, 该装置还包含一对数字证书进行基本管理操作的证书 授权中心和证书库, 所述基本管理操作至少包括证书颁发、 索引、 存储和吊销 ;
     所述证书授权中心与所述认证授权模块相连, 所述证书库分别与所述证书授权 中心和所述认证授权模块相连, 所述证书授权中心为用户颁发证书过程中, 通过所述认证 授权模块为用户分配角色和权限, 所述证书授权中心为该用户颁发包含角色信息的数字证 书, 并将该数字证书保存在证书库 ; 所述认证授权模块在对用户身份及访问操作权限进行 认证时, 从所述证书库读取该用户的数字证书。
     作为上述技术方案的改进, 该装置还包含一资源管理模块, 与资源定位模块相连, 管理与维护系统全局的组件资源库、 配置资源模板库、 公共信息模型 CIM 模式描述文件和 CIM 模型语义模型库。
     作为上述技术方案的改进, 所述分布式系统中对象资源分为可部署对象资源和普 通对象资源, 普通对象资源与其所属的可部署对象资源存储在同一服务器中, 每个对象资 源包含一唯一对应的资源标示, 该资源标示包含该对象资源所属的上一级可部署对象资源 标识码和本资源标识码两部分, 在资源定位模块对可部署对象资源的资源标示和存储地址 进行注册, 该资源定位模块还进一步包含 :
     存储子模块, 用于保存所述可部署对象资源的资源标示和存储地址的对应关系 ;
     查找子模块, 用于根据访问操作请求中的资源标示, 确定所请求的资源是否为可 部署对象资源, 如果是可部署对象资源, 则根据所述资源标示中本资源标识码部分, 从所述 存储子模块保存的对应关系中查找该对象资源的存储地址 ; 如果是普通对象资源, 则根据 所述资源标示中上一级可部署对象资源标识码部分, 从所述存储子模块保存的对应关系中 查找该对象资源的存储地址 ;
     反馈子模块, 用于将所述查找到的存储地址反馈给访问操作请求方, 由访问操作
     请求方从该存储地址对应的服务器上获取所需的对象资源。
     作为上述技术方案的改进, 该装置还包含一权限数据库, 用于保存不同角色的用 户对应的权限信息 ;
     所述认证授权模块在验证数字证书有效性后, 根据数字证书中的用户名信息和角 色信息关联所述权限数据库, 从中提取用户的权限信息, 向用户返回包含其权限范围内访 问操作的用户界面。
     作为上述技术方案的改进, 所述认证授权模块还用于在所述工业互联网中的服务 器发生行为时, 对该服务器进行身份认证, 如果认证通过则允许该服务器发生该行为 ; 如果 认证未通过则拒绝该服务器发生该行为 ;
     所述服务器行为至少包含以下之一或其任意组合 :
     服务器启动、 服务器提供服务、 服务器提供数据、 服务器提供操作、 及服务器使用 系统资源。
     作为上述技术方案的改进, 所述证书授权中心还用于为所述工业互联网中的服务 器分配数字证书和密钥, 将所述服务器的信息与所分配的数字证书和密钥绑定, 并保存到 所述证书库 ;
     所述认证授权模块从所述证书库获取服务器的数字证书, 验证所述服务器的数字 证书和密钥, 以及数字证书所绑定的服务器信息与所述认证中的服务器信息是否匹配, 实 现对所述服务器的身份认证。
     本发明实施方式与现有技术相比, 主要区别及其效果在于 : 为工业互联网设置一 个适合分布式环境的安全接入控制装置, 在该装置中集合对用户及服务器的身份及访问操 作权限进行认证和授权的模块, 对用户或服务器的访问操作进行审计的模块, 对用户及服 务器访问的对象资源进行统一资源定位的模块。 有效确保接入工业互联网分布式系统并获 取信息 / 服务的用户或服务器身份的安全性、 权限有效性。并且, 使得工业互联网中用户 及服务器无需获知所需对象资源的实际存储位置, 只需通过分布式系统统一的资源定位平 台, 即可定位到对应的服务器, 获取所需的对象资源, 实现快速、 方便, 满足分布式环境下的 需求。
     作为进一步改进, 将分布式系统中的对象资源分为可部署对象资源和普通对象资 源, 存储在各分布式服务器中, 普通对象资源与其所属的可部署对象资源存储在同一服务 器中, 每个对象资源包含一资源 ID, ID 中包含该对象资源所属的上一级可部署对象资源标 识码和本对象资源标识码两部分。仅将可部署对象资源的 ID 和存储地址发送到资源定位 设备注册 ; 资源定位模块查找资源时, 首先判断是否为可部署对象资源, 如果是可部署对象 资源, 则根据本资源标识码部分, 查找该对象资源存储地址 ; 如果是普通对象资源, 则根据 上一级可部署对象资源标识码部分, 查找该对象资源存储地址 ; 资源请求方从存储地址对 应服务器获取所需对象资源。对于包含大量数据、 且资源类型繁多的分布式系统, 该资源 定位方式大大加快了资源查找和定位速度, 且由于资源注册时只需要注册可部署对象资源 ID, 因此解决了大数据量、 多类型信息资源注册问题, 降低了对资源定位设施的系统容量、 处理性能等要求, 有效地避免资源定位设施造成系统瓶颈。
     另外, 本发明破除了传统观念中分布式网络中服务器是安全的、 无需身份认证的 观念, 通过对分布式网络中提供服务的服务器进行实时身份认证, 来确保每个时刻下服务器所提供的服务的合法性, 所提供的数据的有效性, 有效避免服务器被盗用的情况, 满足用 户的安全需求, 包括数据的保密性、 完整性以及不可否认性, 使得分布式网络所达到的安全 级别能够满足工业互联网等高安全需求的系统, 包括电力、 油气、 交通等工业领域中用户的 高级别的安全需求。 附图说明
     下面结合附图和具体实施方式对本发明作进一步详细说明。
     图 1 是本发明一较佳实施方式中安全接入控制装置与分布式系统中服务器 / 客户 端连接结构示意图 ;
     图 2 是本发明一较佳实施方式工业互联网分布式系统安全接入控制装置结构图。 具体实施方式
     为使本发明的目的、 技术方案和优点更加清楚, 下面将结合附图对本发明的实施 方式作进一步地详细描述。
     本发明一较佳实施方式涉及一种工业互联网分布式系统安全接入控制装置, 作为 工业互联网分布式系统的安全控制机构和分布式平台, 其包含网络通讯端口, 通过专用网 络 ( 内部网络 ) 或公共网络与工业互联网中所有服务器及客户端直接或间接连接。这些服 务器可以在工业互联网的不同区域, 实现不同的服务、 操作等, 如各服务器可以分布在不同 区域的一级主站、 二级主站、 甚至子站。客户端可以在任何区域通过网络连接到该装置, 如 图 1 所示。
     本实施方式中, 客户端通过该装置实现身份认证, 登录分布式系统, 确定自身权 限, 定位所需访问操作的对象资源 ( 权限范围内的 ), 最终在权限范围内获取所需服务。服 务器通过该装置实现身份认证, 登录分布式系统, 确定自身权限, 通过该装置定位并在权限 范围内获取所需的对象资源, 在权限范围内为用户提供服务等。 并且, 该安全接入控制装置 除了对客户端和服务器的身份和权限进行认证授权外, 还在用户和服务器完成资源定位、 连接到所定位的服务器后, 进一步对用户及服务器的每个操作进行审计, 确保其所执行的 操作所获取的服务均在其权限范围内。通过多方位的多重认证审计机制, 确保工业互联网 分布式系统的安全性和稳定性。
     具体地说, 本实施方式的安全接入控制装置主要包含 : 一对用户和服务器的身份 及访问操作权限进行认证的认证授权模块, 一对用户或服务器的访问操作进行审计的审计 模块, 一对用户或服务器访问操作的对象资源进行存储位置定位控制的资源定位模块, 如 图 2 所示。
     其中, 认证授权模块、 审计模块和资源定位模块均与网络通讯端口相连 ; 认证授权 模块通过网络通讯端口接收来自用户客户端或服务器的身份认证信息, 进行身份及访问操 作权限的认证和授权 ; 审计模块通过网络通信端口接收来自用户客户端或服务器的访问操 作信息, 对访问操作进行审计 ; 资源定位模块与审计模块相连, 在访问操作信息通过审计模 块的审计后, 对访问操作的对象资源的存储位置进行定位。审计模块可以调用认证授权模 块, 完成对执行该访问操作的客户端 / 服务器的身份及权限的认证, 确定访问操作是否合 法; 也可以直接对客户端 / 服务器的身份及权限进行认证, 确定访问操作是否合法。该安全接入控制装置还包含一对数字证书进行基本管理操作的证书授权中心和 一证书库, 基本管理操作至少包括证书颁发、 索引、 存储和吊销。
     证书授权中心与认证授权模块相连, 证书库分别与证书授权中心和认证授权模块 相连, 证书授权中心为用户颁发证书过程中, 通过认证授权模块为用户分配角色和权限, 证 书授权中心为该用户颁发包含角色信息的数字证书, 并将该数字证书保存在证书库 ; 认证 授权模块在对用户身份及访问操作权限进行认证时, 从证书库读取该用户的数字证书。
     该装置还包含一资源管理模块, 与资源定位模块相连, 管理与维护系统全局的组 件资源库、 配置资源模板库、 公共信息模型 (Common InformationModel, 简称 “CIM” ) 模式 描述文件和 CIM 模型语义模型库。
     该装置还包含一权限数据库, 用于保存不同角色的用户对应的权限信息 ;
     认证授权模块在验证数字证书有效性后, 根据数字证书中的用户名信息和角色信 息关联权限数据库, 从中提取用户的权限信息, 向用户返回包含其权限范围内访问操作的 用户界面。
     作为上述技术方案的改进, 认证授权模块还用于在工业互联网中的服务器发生行 为时, 对该服务器进行身份认证, 如果认证通过则允许该服务器发生该行为 ; 如果认证未通 过则拒绝该服务器发生该行为。服务器行为至少包含 : 服务器启动、 服务器提供服务、 服务 器提供数据、 服务器提供操作、 及服务器使用系统资源等。 相对应的, 证书授权中心还可以用于为工业互联网中的服务器分配数字证书和密 钥, 将服务器的信息与所分配的数字证书和密钥绑定, 并保存到证书库 ; 认证授权模块从证 书库获取服务器的数字证书, 验证服务器的数字证书和密钥, 以及数字证书所绑定的服务 器信息与认证中的服务器信息是否匹配, 实现对服务器的身份认证。
     综上所述, 本实施方式中, 用户要访问工业互联网中的服务, 首先需要登录工业互 联网分布式系统安全接入控制装置, 由认证授权模块对用户的身份进行认证并确定其权 限, 向用户返回与其权限相对应的用户界面 ( 用户界面上仅包含该用户有权限的操作 )。 每 当用户需要通过客户端进行具体的访问操作时, 由审计模块进一步对用户的访问操作权限 进行审计, 如果审计通过则允许其进行该次访问操作, 如果审计不通过则禁止该次访问操 作, 确保系统安全性。并且, 用户无需知道所请求服务位于那台服务器, 用户无论需要进行 什么访问操作, 均只需向安全接入控制装置进行请求, 由资源定位模块为用户进行资源定 位, 确定所需服务对应的对象资源所在的位置, 根据资源定位模块返回的结果, 找到对应的 服务器获取相应服务即可。
     除了在用户层面进行身份权限认证和审计以外, 在服务器层面, 服务器同样需要 进行身份和权限的认证。 在服务器发生启动、 提供服务、 提供数据、 提供操作、 及使用系统资 源等行为时, 同样需要对其身份及权限进行认证和审计, 在通过身份认证后, 该服务器才能 够启动、 提供服务、 提供数据、 提供操作等 ; 在通过审计后, 该服务器才能够进行资源定位, 、 使用系统资源、 对其他服务器进行访问操作。
     可见, 本实施方式的安全接入控制装置破除了传统观念中分布式网络中服务器是 安全的、 无需身份认证的观念, 通过对分布式网络中提供服务的服务器进行实时身份认证, 来确保每个时刻下服务器所提供的服务的合法性, 所提供的数据的有效性, 有效避免服务 器被盗用的情况, 满足工业互联网系统的安全需求, 包括数据的保密性、 完整性以及不可否
     认性, 使得工业互联网分布式系统所达到的安全级别能够满足工业领域中高安全需求的系 统, 包括电力、 油气、 交通等工业领域中具有高级别安全需求的系统。 并且, 确保工业互联网 中用户及服务器无需获知所需对象资源的实际存储位置, 只需通过分布式系统统一的资源 定位平台, 即可定位到对应的服务器, 获取所需的对象资源, 实现快速、 方便, 满足分布式环 境下的需求。
     作为上述技术方案的改进, 本实施方式的分布式系统中对象资源分为可部署对象 资源和普通对象资源, 普通对象资源与其所属的可部署对象资源存储在同一服务器中, 每 个对象资源包含一唯一对应的资源标示, 该资源标示包含该对象资源所属的上一级可部署 对象资源标识码和本资源标识码两部分, 在资源定位模块对可部署对象资源的资源标示和 存储地址进行注册, 该资源定位模块还进一步包含 :
     存储子模块, 用于保存可部署对象资源的资源标示和存储地址的对应关系 ;
     查找子模块, 用于根据访问操作请求中的资源标示, 确定所请求的资源是否为可 部署对象资源, 如果是可部署对象资源, 则根据资源标示中本资源标识码部分, 从存储子模 块保存的对应关系中查找该对象资源的存储地址 ; 如果是普通对象资源, 则根据资源标示 中上一级可部署对象资源标识码部分, 从存储子模块保存的对应关系中查找该对象资源的 存储地址 ; 反馈子模块, 用于将查找到的存储地址反馈给访问操作请求方, 由访问操作请求 方从该存储地址对应的服务器上获取所需的对象资源。
     也就是说, 该系统中各服务器只需将可部署对象资源的 ID 和存储地址发送到资 源定位设备注册 ; 资源定位模块查找资源时, 首先判断是否为可部署对象资源, 如果是可部 署对象资源, 则根据本资源标识码部分, 查找该对象资源存储地址 ; 如果是普通对象资源, 则根据上一级可部署对象资源标识码部分, 查找该对象资源存储地址 ; 资源请求方从存储 地址对应服务器获取所需对象资源。 对于包含大量数据、 且资源类型繁多的分布式系统, 该 资源定位技术大大加快了资源查找和定位速度, 且由于资源注册时只需要注册可部署对象 资源 ID, 因此解决了大数据量、 多类型信息资源注册问题, 降低了对资源定位设施的系统容 量、 处理性能等要求, 有效地避免资源定位设施造成系统瓶颈。
     虽然通过参照本发明的某些优选实施方式, 已经对本发明进行了图示和描述, 但 本领域的普通技术人员应该明白, 可以在形式上和细节上对其作各种改变, 而不偏离本发 明的精神和范围。
    

一种工业互联网分布式系统安全接入控制装置.pdf_第1页
第1页 / 共11页
一种工业互联网分布式系统安全接入控制装置.pdf_第2页
第2页 / 共11页
一种工业互联网分布式系统安全接入控制装置.pdf_第3页
第3页 / 共11页
点击查看更多>>
资源描述

《一种工业互联网分布式系统安全接入控制装置.pdf》由会员分享,可在线阅读,更多相关《一种工业互联网分布式系统安全接入控制装置.pdf(11页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 102487383 A (43)申请公布日 2012.06.06 C N 1 0 2 4 8 7 3 8 3 A *CN102487383A* (21)申请号 201010570979.8 (22)申请日 2010.12.02 H04L 29/06(2006.01) H04L 9/32(2006.01) (71)申请人上海可鲁系统软件有限公司 地址 201203 上海市浦东新区祖冲之路887 弄82号二楼北 (72)发明人梁俊 俞高宇 王磊 (54) 发明名称 一种工业互联网分布式系统安全接入控制装 置 (57) 摘要 本发明公开了一种工业互联网分布式系统安 全接入控。

2、制装置,该装置中集合对用户及服务器 的身份及访问操作权限进行认证和授权的模块, 对用户或服务器的访问操作进行审计的模块,对 用户及服务器访问的对象资源进行统一资源定位 的模块。有效确保接入工业互联网分布式系统并 获取信息/服务的用户或服务器身份的安全性、 权限有效性。并且,使得工业互联网中用户及服 务器无需获知所需对象资源的实际存储位置,只 需通过分布式系统统一的资源定位平台,即可定 位到对应的服务器,获取所需的对象资源,实现快 速、方便,满足分布式环境下的需求。 (51)Int.Cl. 权利要求书2页 说明书6页 附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求。

3、书 2 页 说明书 6 页 附图 2 页 1/2页 2 1.一种工业互联网分布式系统安全接入控制装置,包含网络通讯端口,通过内部专网 或公共网络与所述工业互联网中服务器或客户端相连,其特征在于,还包含: 一对用户和服务器的身份及访问操作权限进行认证的认证授权模块,一对用户或服务 器的访问操作进行审计的审计模块,一对用户或服务器访问操作的对象资源进行存储位置 定位控制的资源定位模块; 所述认证授权模块、审计模块和资源定位模块均与所述网络通讯端口相连;所述认证 授权模块通过所述网络通讯端口接收来自用户客户端或服务器的身份认证信息,进行身份 及访问操作权限的认证和授权;所述审计模块通过所述网络通信端。

4、口接收来自用户客户端 或服务器的访问操作信息,对所述访问操作进行审计;所述资源定位模块与所述审计模块 相连,在所述访问操作信息通过所述审计模块的审计后,对所述访问操作的对象资源的存 储位置进行定位。 2.根据权利要求1所述的工业互联网分布式系统安全接入控制装置,其特征在于,该 装置还包含一对数字证书进行基本管理操作的证书授权中心和一证书库,所述基本管理操 作至少包括证书颁发、索引、存储和吊销; 所述证书授权中心与所述认证授权模块相连,所述证书库分别与所述证书授权中心和 所述认证授权模块相连,所述证书授权中心为用户颁发证书过程中,通过所述认证授权模 块为用户分配角色和权限,所述证书授权中心为该用。

5、户颁发包含角色信息的数字证书,并 将该数字证书保存在证书库;所述认证授权模块在对用户身份及访问操作权限进行认证 时,从所述证书库读取该用户的数字证书。 3.根据权利要求1所述的工业互联网分布式系统安全接入控制装置,其特征在于,该 装置还包含一资源管理模块,与所述资源定位模块相连,管理与维护系统全局的组件资源 库、配置资源模板库、公共信息模型CIM模式描述文件和CIM模型语义模型库。 4.根据权利要求1所述的工业互联网分布式系统安全接入控制装置,其特征在于,所 述分布式系统中对象资源分为可部署对象资源和普通对象资源,普通对象资源与其所属的 可部署对象资源存储在同一服务器中,每个对象资源包含一唯一。

6、对应的资源标示,该资源 标示包含该对象资源所属的上一级可部署对象资源标识码和本资源标识码两部分,在资源 定位模块对可部署对象资源的资源标示和存储地址进行注册,该资源定位模块还进一步包 含: 存储子模块,用于保存所述可部署对象资源的资源标示和存储地址的对应关系; 查找子模块,用于根据访问操作请求中的资源标示,确定所请求的资源是否为可部署 对象资源,如果是可部署对象资源,则根据所述资源标示中本资源标识码部分,从所述存储 子模块保存的对应关系中查找该对象资源的存储地址;如果是普通对象资源,则根据所述 资源标示中上一级可部署对象资源标识码部分,从所述存储子模块保存的对应关系中查找 该对象资源的存储地址。

7、; 反馈子模块,用于将所述查找到的存储地址反馈给访问操作请求方,由访问操作请求 方从该存储地址对应的服务器上获取所需的对象资源。 5.根据权利要求2所述的工业互联网分布式系统安全接入控制装置,其特征在于,该 装置还包含一权限数据库,用于保存不同角色的用户对应的权限信息; 所述认证授权模块在验证数字证书有效性后,根据数字证书中的用户名信息和角色信 权 利 要 求 书CN 102487383 A 2/2页 3 息关联所述权限数据库,从中提取用户的权限信息,向用户返回包含其权限范围内访问操 作的用户界面。 6.根据权利要求2所述的工业互联网分布式系统安全接入控制装置,其特征在于,所 述认证授权模块还。

8、用于在所述工业互联网中的服务器发生行为时,对该服务器进行身份认 证,如果认证通过则允许该服务器发生该行为;如果认证未通过则拒绝该服务器发生该行 为; 所述服务器行为至少包含以下之一或其任意组合: 服务器启动、服务器提供服务、服务器提供数据、服务器提供操作、及服务器使用系统 资源。 7.根据权利要求6所述的工业互联网分布式系统安全接入控制装置,其特征在于,所 述证书授权中心还用于为所述工业互联网中的服务器分配数字证书和密钥,将所述服务器 的信息与所分配的数字证书和密钥绑定,并保存到所述证书库; 所述认证授权模块从所述证书库获取服务器的数字证书,验证所述服务器的数字证书 和密钥,以及数字证书所绑定。

9、的服务器信息与所述认证中的服务器信息是否匹配,实现对 所述服务器的身份认证。 权 利 要 求 书CN 102487383 A 1/6页 4 一种工业互联网分布式系统安全接入控制装置 技术领域 0001 本发明涉及一种网络安全接入控制技术 背景技术 0002 随着工业自动化控制的迅速发展,愈来愈多的工业企业使用其内部(或专用)网 络将其生产过程专用设备或工业智能设备(Intelligent Electric Device-IED)互联在一 起,形成生产控制系统网络。这种工业企业用内部(或专用)网络称之为工业互联网。 0003 大型企业,如电力公司、油气输送企业、以矿产资源勘查和开发为主的大型矿业。

10、集 团,其控股公司往往分布在全国乃至全球各地,仅使用内部网络无法满足其信息交互需求。 随着工业互联网的发展,工业互联网不再局限于一个场站或一个城市,利用已有公众网络 (万维互联网)的硬件和软件设施,将两个或更多个工业互联网进行通讯连接,使得一个中 心控制系统能对所有个子生产控制系统进行监督和控制,也使得多个子生产控制系统之间 能相互通讯,形成一个更大的工业互联网,对其资源进行更优化控制和使用。 0004 并且,为了提高系统运行效率、均衡负载,提高系统稳健性,工业互联网通常使用 分布式系统,提供分布式数据库、分布式服务等,由工业互联网中不同的服务器分别进行信 息采集、数据存储、信息处理、传输、提。

11、供服务等。工业互联网分布式系统是一个一体化的系 统,在整个系统中要有一个全局的操作系统(即分布式操作系统),它负责全系统(包括每 台计算机)的资源分配和调度、任务划分、信息传输、控制协调等工作,并为用户提供一个 统一的界面、标准的接口。这个分布式操作系统一般位于工业互联网的中心控制系统。有 了分布式操作系统,用户通过统一界面实现所需操作和使用系统资源,至于操作是在哪个 计算机上执行的或使用的是哪个计算机的资源则是系统的事,用户是无须了解,也就是说 系统对用户是透明的。 0005 由于工业互联网中传输的信息均为工业内部信息,提供的服务为内部服务,因此 对信息的安全性和保密性有极高要求。为了确保安。

12、全性,在工业互联网中,在获取服务或数 据、信息之前,用户、客户端及应用进程均需要进行相应的身份认证。认证的实质就是证实 被认证对象是否属实和是否有效的过程。一般采用密码技术,使用数字证书验证被认证对 象,达到确认被认证对象是否真实、有效的目的。 0006 只有在通过身份识别和鉴别后,才利用其所请求服务所在的IP地址来建立虚拟 通道(VPN),通过VPN连接到提供对应服务的服务器,获取相应服务、数据、信息等。VPN即 虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条 穿过混乱的公用网络的安全、稳定的隧道。 0007 然而,对于工业互联网分布式系统,仅对用户、客户端。

13、和应用进程进行身份认证, 其安全等级对于要求高保密性的工业互联网而言是不够的。并且,仅利用IP地址建立VPN 来保障通信安全的方式对于分布式系统而言同样是不够的。对于现有的工业互联网分布式 系统而言,迫切需要一个适用于分布式环境、能够保障数据的高安全需求(即数据的机密 性、完整性以及不可否认性)的网络安全接入控制装置。 说 明 书CN 102487383 A 2/6页 5 发明内容 0008 本发明主要解决的技术问题是提供一种工业互联网分布式系统安全接入控制装 置,使得在采用分布式技术的工业互联网的安全性得到保障的同时,满足工业互联网在分 布式环境下的资源定位需求。 0009 为了解决上述技术。

14、问题,本发明提供了一种工业互联网分布式系统安全接入控制 装置,包含网络通讯端口,通过内部专网或公共网络与所述工业互联网中服务器或客户端 相连,还包含: 0010 一对用户和服务器的身份及访问操作权限进行认证的认证授权模块,一对用户或 服务器的访问操作进行审计的审计模块,一对用户或服务器访问操作的对象资源进行存储 位置定位控制的资源定位模块; 0011 所述认证授权模块、审计模块和资源定位模块均与所述网络通讯端口相连;所述 认证授权模块通过所述网络通讯端口接收来自用户客户端或服务器的身份认证信息,进行 身份及访问操作权限的认证和授权;所述审计模块通过所述网络通信端口接收来自用户客 户端或服务器的。

15、访问操作信息,对所述访问操作进行审计;所述资源定位模块与所述审计 模块相连,在所述访问操作信息通过所述审计模块的审计后,对所述访问操作的对象资源 的存储位置进行定位。 0012 作为上述技术方案的改进,该装置还包含一对数字证书进行基本管理操作的证书 授权中心和证书库,所述基本管理操作至少包括证书颁发、索引、存储和吊销; 0013 所述证书授权中心与所述认证授权模块相连,所述证书库分别与所述证书授权 中心和所述认证授权模块相连,所述证书授权中心为用户颁发证书过程中,通过所述认证 授权模块为用户分配角色和权限,所述证书授权中心为该用户颁发包含角色信息的数字证 书,并将该数字证书保存在证书库;所述认。

16、证授权模块在对用户身份及访问操作权限进行 认证时,从所述证书库读取该用户的数字证书。 0014 作为上述技术方案的改进,该装置还包含一资源管理模块,与资源定位模块相连, 管理与维护系统全局的组件资源库、配置资源模板库、公共信息模型CIM模式描述文件和 CIM模型语义模型库。 0015 作为上述技术方案的改进,所述分布式系统中对象资源分为可部署对象资源和普 通对象资源,普通对象资源与其所属的可部署对象资源存储在同一服务器中,每个对象资 源包含一唯一对应的资源标示,该资源标示包含该对象资源所属的上一级可部署对象资源 标识码和本资源标识码两部分,在资源定位模块对可部署对象资源的资源标示和存储地址 进。

17、行注册,该资源定位模块还进一步包含: 0016 存储子模块,用于保存所述可部署对象资源的资源标示和存储地址的对应关系; 0017 查找子模块,用于根据访问操作请求中的资源标示,确定所请求的资源是否为可 部署对象资源,如果是可部署对象资源,则根据所述资源标示中本资源标识码部分,从所述 存储子模块保存的对应关系中查找该对象资源的存储地址;如果是普通对象资源,则根据 所述资源标示中上一级可部署对象资源标识码部分,从所述存储子模块保存的对应关系中 查找该对象资源的存储地址; 0018 反馈子模块,用于将所述查找到的存储地址反馈给访问操作请求方,由访问操作 说 明 书CN 102487383 A 3/6。

18、页 6 请求方从该存储地址对应的服务器上获取所需的对象资源。 0019 作为上述技术方案的改进,该装置还包含一权限数据库,用于保存不同角色的用 户对应的权限信息; 0020 所述认证授权模块在验证数字证书有效性后,根据数字证书中的用户名信息和角 色信息关联所述权限数据库,从中提取用户的权限信息,向用户返回包含其权限范围内访 问操作的用户界面。 0021 作为上述技术方案的改进,所述认证授权模块还用于在所述工业互联网中的服务 器发生行为时,对该服务器进行身份认证,如果认证通过则允许该服务器发生该行为;如果 认证未通过则拒绝该服务器发生该行为; 0022 所述服务器行为至少包含以下之一或其任意组合。

19、: 0023 服务器启动、服务器提供服务、服务器提供数据、服务器提供操作、及服务器使用 系统资源。 0024 作为上述技术方案的改进,所述证书授权中心还用于为所述工业互联网中的服务 器分配数字证书和密钥,将所述服务器的信息与所分配的数字证书和密钥绑定,并保存到 所述证书库; 0025 所述认证授权模块从所述证书库获取服务器的数字证书,验证所述服务器的数字 证书和密钥,以及数字证书所绑定的服务器信息与所述认证中的服务器信息是否匹配,实 现对所述服务器的身份认证。 0026 本发明实施方式与现有技术相比,主要区别及其效果在于:为工业互联网设置一 个适合分布式环境的安全接入控制装置,在该装置中集合对。

20、用户及服务器的身份及访问操 作权限进行认证和授权的模块,对用户或服务器的访问操作进行审计的模块,对用户及服 务器访问的对象资源进行统一资源定位的模块。有效确保接入工业互联网分布式系统并获 取信息/服务的用户或服务器身份的安全性、权限有效性。并且,使得工业互联网中用户 及服务器无需获知所需对象资源的实际存储位置,只需通过分布式系统统一的资源定位平 台,即可定位到对应的服务器,获取所需的对象资源,实现快速、方便,满足分布式环境下的 需求。 0027 作为进一步改进,将分布式系统中的对象资源分为可部署对象资源和普通对象资 源,存储在各分布式服务器中,普通对象资源与其所属的可部署对象资源存储在同一服务。

21、 器中,每个对象资源包含一资源ID,ID中包含该对象资源所属的上一级可部署对象资源标 识码和本对象资源标识码两部分。仅将可部署对象资源的ID和存储地址发送到资源定位 设备注册;资源定位模块查找资源时,首先判断是否为可部署对象资源,如果是可部署对象 资源,则根据本资源标识码部分,查找该对象资源存储地址;如果是普通对象资源,则根据 上一级可部署对象资源标识码部分,查找该对象资源存储地址;资源请求方从存储地址对 应服务器获取所需对象资源。对于包含大量数据、且资源类型繁多的分布式系统,该资源 定位方式大大加快了资源查找和定位速度,且由于资源注册时只需要注册可部署对象资源 ID,因此解决了大数据量、多类。

22、型信息资源注册问题,降低了对资源定位设施的系统容量、 处理性能等要求,有效地避免资源定位设施造成系统瓶颈。 0028 另外,本发明破除了传统观念中分布式网络中服务器是安全的、无需身份认证的 观念,通过对分布式网络中提供服务的服务器进行实时身份认证,来确保每个时刻下服务 说 明 书CN 102487383 A 4/6页 7 器所提供的服务的合法性,所提供的数据的有效性,有效避免服务器被盗用的情况,满足用 户的安全需求,包括数据的保密性、完整性以及不可否认性,使得分布式网络所达到的安全 级别能够满足工业互联网等高安全需求的系统,包括电力、油气、交通等工业领域中用户的 高级别的安全需求。 附图说明 。

23、0029 下面结合附图和具体实施方式对本发明作进一步详细说明。 0030 图1是本发明一较佳实施方式中安全接入控制装置与分布式系统中服务器/客户 端连接结构示意图; 0031 图2是本发明一较佳实施方式工业互联网分布式系统安全接入控制装置结构图。 具体实施方式 0032 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的实施 方式作进一步地详细描述。 0033 本发明一较佳实施方式涉及一种工业互联网分布式系统安全接入控制装置,作为 工业互联网分布式系统的安全控制机构和分布式平台,其包含网络通讯端口,通过专用网 络(内部网络)或公共网络与工业互联网中所有服务器及客户端直接或间接连。

24、接。这些服 务器可以在工业互联网的不同区域,实现不同的服务、操作等,如各服务器可以分布在不同 区域的一级主站、二级主站、甚至子站。客户端可以在任何区域通过网络连接到该装置,如 图1所示。 0034 本实施方式中,客户端通过该装置实现身份认证,登录分布式系统,确定自身权 限,定位所需访问操作的对象资源(权限范围内的),最终在权限范围内获取所需服务。服 务器通过该装置实现身份认证,登录分布式系统,确定自身权限,通过该装置定位并在权限 范围内获取所需的对象资源,在权限范围内为用户提供服务等。并且,该安全接入控制装置 除了对客户端和服务器的身份和权限进行认证授权外,还在用户和服务器完成资源定位、 连接。

25、到所定位的服务器后,进一步对用户及服务器的每个操作进行审计,确保其所执行的 操作所获取的服务均在其权限范围内。通过多方位的多重认证审计机制,确保工业互联网 分布式系统的安全性和稳定性。 0035 具体地说,本实施方式的安全接入控制装置主要包含:一对用户和服务器的身份 及访问操作权限进行认证的认证授权模块,一对用户或服务器的访问操作进行审计的审计 模块,一对用户或服务器访问操作的对象资源进行存储位置定位控制的资源定位模块,如 图2所示。 0036 其中,认证授权模块、审计模块和资源定位模块均与网络通讯端口相连;认证授权 模块通过网络通讯端口接收来自用户客户端或服务器的身份认证信息,进行身份及访问。

26、操 作权限的认证和授权;审计模块通过网络通信端口接收来自用户客户端或服务器的访问操 作信息,对访问操作进行审计;资源定位模块与审计模块相连,在访问操作信息通过审计模 块的审计后,对访问操作的对象资源的存储位置进行定位。审计模块可以调用认证授权模 块,完成对执行该访问操作的客户端/服务器的身份及权限的认证,确定访问操作是否合 法;也可以直接对客户端/服务器的身份及权限进行认证,确定访问操作是否合法。 说 明 书CN 102487383 A 5/6页 8 0037 该安全接入控制装置还包含一对数字证书进行基本管理操作的证书授权中心和 一证书库,基本管理操作至少包括证书颁发、索引、存储和吊销。 00。

27、38 证书授权中心与认证授权模块相连,证书库分别与证书授权中心和认证授权模块 相连,证书授权中心为用户颁发证书过程中,通过认证授权模块为用户分配角色和权限,证 书授权中心为该用户颁发包含角色信息的数字证书,并将该数字证书保存在证书库;认证 授权模块在对用户身份及访问操作权限进行认证时,从证书库读取该用户的数字证书。 0039 该装置还包含一资源管理模块,与资源定位模块相连,管理与维护系统全局的组 件资源库、配置资源模板库、公共信息模型(Common InformationModel,简称“CIM”)模式 描述文件和CIM模型语义模型库。 0040 该装置还包含一权限数据库,用于保存不同角色的用。

28、户对应的权限信息; 0041 认证授权模块在验证数字证书有效性后,根据数字证书中的用户名信息和角色信 息关联权限数据库,从中提取用户的权限信息,向用户返回包含其权限范围内访问操作的 用户界面。 0042 作为上述技术方案的改进,认证授权模块还用于在工业互联网中的服务器发生行 为时,对该服务器进行身份认证,如果认证通过则允许该服务器发生该行为;如果认证未通 过则拒绝该服务器发生该行为。服务器行为至少包含:服务器启动、服务器提供服务、服务 器提供数据、服务器提供操作、及服务器使用系统资源等。 0043 相对应的,证书授权中心还可以用于为工业互联网中的服务器分配数字证书和密 钥,将服务器的信息与所分。

29、配的数字证书和密钥绑定,并保存到证书库;认证授权模块从证 书库获取服务器的数字证书,验证服务器的数字证书和密钥,以及数字证书所绑定的服务 器信息与认证中的服务器信息是否匹配,实现对服务器的身份认证。 0044 综上所述,本实施方式中,用户要访问工业互联网中的服务,首先需要登录工业互 联网分布式系统安全接入控制装置,由认证授权模块对用户的身份进行认证并确定其权 限,向用户返回与其权限相对应的用户界面(用户界面上仅包含该用户有权限的操作)。每 当用户需要通过客户端进行具体的访问操作时,由审计模块进一步对用户的访问操作权限 进行审计,如果审计通过则允许其进行该次访问操作,如果审计不通过则禁止该次访问。

30、操 作,确保系统安全性。并且,用户无需知道所请求服务位于那台服务器,用户无论需要进行 什么访问操作,均只需向安全接入控制装置进行请求,由资源定位模块为用户进行资源定 位,确定所需服务对应的对象资源所在的位置,根据资源定位模块返回的结果,找到对应的 服务器获取相应服务即可。 0045 除了在用户层面进行身份权限认证和审计以外,在服务器层面,服务器同样需要 进行身份和权限的认证。在服务器发生启动、提供服务、提供数据、提供操作、及使用系统资 源等行为时,同样需要对其身份及权限进行认证和审计,在通过身份认证后,该服务器才能 够启动、提供服务、提供数据、提供操作等;在通过审计后,该服务器才能够进行资源定。

31、位,、 使用系统资源、对其他服务器进行访问操作。 0046 可见,本实施方式的安全接入控制装置破除了传统观念中分布式网络中服务器是 安全的、无需身份认证的观念,通过对分布式网络中提供服务的服务器进行实时身份认证, 来确保每个时刻下服务器所提供的服务的合法性,所提供的数据的有效性,有效避免服务 器被盗用的情况,满足工业互联网系统的安全需求,包括数据的保密性、完整性以及不可否 说 明 书CN 102487383 A 6/6页 9 认性,使得工业互联网分布式系统所达到的安全级别能够满足工业领域中高安全需求的系 统,包括电力、油气、交通等工业领域中具有高级别安全需求的系统。并且,确保工业互联网 中用户。

32、及服务器无需获知所需对象资源的实际存储位置,只需通过分布式系统统一的资源 定位平台,即可定位到对应的服务器,获取所需的对象资源,实现快速、方便,满足分布式环 境下的需求。 0047 作为上述技术方案的改进,本实施方式的分布式系统中对象资源分为可部署对象 资源和普通对象资源,普通对象资源与其所属的可部署对象资源存储在同一服务器中,每 个对象资源包含一唯一对应的资源标示,该资源标示包含该对象资源所属的上一级可部署 对象资源标识码和本资源标识码两部分,在资源定位模块对可部署对象资源的资源标示和 存储地址进行注册,该资源定位模块还进一步包含: 0048 存储子模块,用于保存可部署对象资源的资源标示和存。

33、储地址的对应关系; 0049 查找子模块,用于根据访问操作请求中的资源标示,确定所请求的资源是否为可 部署对象资源,如果是可部署对象资源,则根据资源标示中本资源标识码部分,从存储子模 块保存的对应关系中查找该对象资源的存储地址;如果是普通对象资源,则根据资源标示 中上一级可部署对象资源标识码部分,从存储子模块保存的对应关系中查找该对象资源的 存储地址; 0050 反馈子模块,用于将查找到的存储地址反馈给访问操作请求方,由访问操作请求 方从该存储地址对应的服务器上获取所需的对象资源。 0051 也就是说,该系统中各服务器只需将可部署对象资源的ID和存储地址发送到资 源定位设备注册;资源定位模块查。

34、找资源时,首先判断是否为可部署对象资源,如果是可部 署对象资源,则根据本资源标识码部分,查找该对象资源存储地址;如果是普通对象资源, 则根据上一级可部署对象资源标识码部分,查找该对象资源存储地址;资源请求方从存储 地址对应服务器获取所需对象资源。对于包含大量数据、且资源类型繁多的分布式系统,该 资源定位技术大大加快了资源查找和定位速度,且由于资源注册时只需要注册可部署对象 资源ID,因此解决了大数据量、多类型信息资源注册问题,降低了对资源定位设施的系统容 量、处理性能等要求,有效地避免资源定位设施造成系统瓶颈。 0052 虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但 本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发 明的精神和范围。 说 明 书CN 102487383 A 1/2页 10 图1 说 明 书 附 图CN 102487383 A 10 2/2页 11 图2 说 明 书 附 图CN 102487383 A 11 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1