基於asp模式的網絡化製造安全集成系統的製作方法

2023-10-07 21:47:39 2

專利名稱：：基於asp模式的網絡化製造安全集成系統的製作方法
技術領域：
：本發明涉及的是一種計算機應用安全
技術領域：
的系統，具體是一種基於ASP的網絡化製造安全系統。背暈技術基於ASP(ApplicationServiceProvider—_應用服務提供商)的網絡化製造模式能降低企業IT方面的成本，使得企業專注於自身的核心業務，具備快速響應市場變化的能力。然而Internet是一個開放的結構，形形色色的黑客可以利用網絡可能存在的各種漏洞對其進行攻擊，如竊取機密信息，刪改網絡系統文件，肆意破壞數據，甚至導致系統崩潰，因此安全技術是ASP模式網絡化製造系統的關鍵技術之一。經對現有技術的文獻檢索發現，目前對於ASP模式安全問題的研究主要集中於電子商務方面，專門面向製造業信息平臺的安全研究還很少。IBMThomasJ.Watson研究中心的Duri等研究了一種基於ASP的汽車保險服務系統，為用戶和供應商提供靈活的數據模型和政策模型，並保障數據保密性、真實性、不可抵賴性及訪問控制。Drexel大學的Cera等提出了協同設計中的一種訪問控制模型，在對3維CAD模型的訪問中，訪問者基於角色被劃分為不同等級，基於角色等級將獲得不同精度的3維CAD模型。南京理工大學的劉婷婷研究了網絡化製造系統中的安全體系結構及訪問控制技術。己有的網絡化製造信息安全方面的一些相關研究僅是支持某個局部環節的解決方案，而缺少完整的ASP模式網絡化製造的安全方案，還有待改進提高以滿足實際的需要。
發明內容本發明的目的是針對
背景技術：
中的不足，提供一種基於ASP的網絡化製造安全集成方案，分別從物理安全、應用服務安全和網絡安全三方面全面保障ASP模式的網絡化製造系統的安全性。本發明是通過以下技術方案實現的安全總體方案、身份認證模塊、訪問控制模塊。安全總體方案根據企業用戶等級，採取不同的安全策略，從物理安全、應用服務安全和網絡安全三方面全面保障系統的安全性。對安全性要求高的用戶，製造企業與ASP平臺連接採用基於IPsec的VPN虛擬專用網，充分保證數據的機密性和完整性。對於安全要求不高的用戶則採用普通DSL連接。在ASP平臺網絡中心，分別在WEB伺服器前、後，以及應用伺服器後面建立三道防火牆。WEB伺服器中的身份認證/授權主要判斷是否是合法用戶，而在C0RBA/C0M+/EJB伺服器中的身份認證/授權則是判斷客戶想要訪問的應用程式及其權限，用不同的認證方法對不同等級的客戶進行身份認證。ASP端24小時實時動態監測非法訪問。ASP應用服務中心遵照GBGA/T391-2002相關規定，對中心採取相應的物理措施，如通風、防潮，24小時攝像機監視等。對後端的資料庫伺服器，採用伺服器群技術，確保機密數據的安全。身份認證模塊對於多用戶對應用系統的訪問，將不同應用系統的認證功能和帳號管理功能集成起來，用單點登錄方式實現系統對用戶的認證；分別採用單一口令認證、一次性口令認證和Kerberos協議認證，對不同等級的用戶進行身份驗證。訪問控制模塊對基於角色的訪問控制模型進行時間約束擴展，在傳統的靜態的主體和客體保護之上加入時間約束，使之能夠隨著時間的變化進行動態的授權保護。對於影響多個會話的時間約束，用AHP層次分析法計算各會話權重，根據會話的加權因子進行時間分配。具體可包括如下步驟-(1)根據系統的特點制定s項不同的評價指標，例如會話時間的歷史記錄、會話內容的重要程度、用戶的優先等級等。假設指定會話集中有n個會話與該時間約束相關。(2)將各項評價指標兩兩比較，構建判斷矩陣J:formulaseeoriginaldocumentpage6其中表示第/個評價指標與第_/個評價指標相比較的結果，的取值規則如下:與因素y相比，具有同樣重要性與因素y相比，稍微重要與因素乂相比，明顯重要與因素y相比，強烈重要與因素y相比，極端重要(3)對於判斷矩陣^，求解其特徵方程^『=a,『的最大特徵根j■和對應的特徵向量『，將特徵向量歸一化得到權重向量『=(VV/,W2,...VV,)，W,表示第i個評價指標的權重係數。(4)通過計算一次性比例C.R.進行一次性檢驗。formulaseeoriginaldocumentpage6式中C.及.為一致性比例；C./.為一致性指標；及./為平均隨機一致性指標，其取值見表1。表1平均隨機一致性指標tableseeoriginaldocumentpage7若CJ.<0.1則一致性可以接受，否則需要調整判斷矩陣^的取值，直到C.i.符合要求為止。(5)根據各會話的各項評價指標得出評價矩陣i;formulaseeoriginaldocumentpage7其中《l表示第z'個會話的第7個評價指標的分值，C=『*7^，C=(C/,q，...c),c,即為第/個會話的權重係數。(6)根據每個會話的權重係數分配會話的時間長度。設剩餘時間總長為//，則formulaseeoriginaldocumentpage7其中A即為第i個會話的時間長度。本發明解決了
背景技術：
中存在的問題，提供了一套完整的網絡安全保障體系來確保合法用戶的權限、數據保密性和完整性。其中在具有時間約束的角色訪問控制模型中，對於影響多個會話的時間約束，採用AHP層次分析法計算每個會話的權重，根據計算所得的會話的權重係數進行時間分配。該方法避免了平均分配每個會話時間的情況，符合實際的需求。圖1是本發明一種實施例的安全總體方案示意圖；圖2是本發明一種實施例的多用戶訪問模式示意圖。具體實施方式以下結合附圖所示實施例對本發明作進一步的說明。系統結構，請參閱圖1，在安全總體方案中，對安全性要求很高的用戶，例如"金牌用戶"製造企業1，企業與ASP平臺連接採用基於IPsec的VPN虛擬專用網，對於安全要求不高的普通用戶製造企業N則採用DSL連接。在ASP平臺網絡中心，分別在WEB伺服器前、後，以及應用伺服器後面建立三道防火牆。對於WEB伺服器中的身份認證/授權主要是看是否是合法用戶，而在C0RBA/C0M+/EJB伺服器中的身份認證/授權則是判斷訪問客戶想要訪問的應用程式及其權限。ASP端24小時實時動態監測非法訪問。ASP應用服務中心遵照GBGA/T391-2002相關規定，對中心釆取相應的物理措施，如通風、防潮，24小時攝像機監視等。對後端的資料庫伺服器，採用伺服器群技術，確保機密數據的安全。在多用戶訪問模式中，各模塊分述如下-身份認證模塊用單點登錄方式實現系統對用戶的認證,對不同的用戶，例如"金、銀、銅牌用戶"分別採用Kerberos協議認證、一次性口令認證和單一口令認證。訪問控制模塊採用具有時間約束的角色訪問控制約束用戶的訪問權限，對於影響多個會話的時間約束，安全管理員根據系統的特點制定s項不同的評價指標，按照前述式(2)—(5)，用AHP層次分析法計算各會話權重係數，根據會話的權重係數計算會話的時間長度。本發明提供了一套完整的網絡安全保障體系來確保合法用戶的權限、數據保密性和完整性；實現了多用戶訪問模式中的多級身份認證；具有時間約束的角色訪問控制；對於影響多個會話的時間約束，用AHP層次分析法計算各會話權重係數，根據會話的權重係數計算會話的時間長度。上述的對實施例的描述是為便於該
技術領域：
的普通技術人員能理解和應用本發明。熟悉本領域技術的人員顯然可以容易地對這些實施例做出各種修改，並把在此說明的一般原理應用到其他實施例中而不必經過創造性的勞動。因此，本發明不限於這裡的實施例，本領域技術人員根據本發明的揭示，對於本發明做出的改進和修改都應該在本發明的保護範圍之內。權利要求1.基於ASP模式的網絡化製造安全集成系統，其特徵在於包括安全集成系統的總體方案、身份認證模塊、訪問控制模塊；所述安全總體方案根據用戶等級，採取不同的安全策略，從物理安全、應用服務安全和網絡安全三方面全面保障系統的安全性。2.根據權利要求1所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於所述身份認證模塊用單點登錄方式實現系統對用戶的認證。3.根據權利要求1所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於所述訪問控制模塊對基於角色的訪問控制模型進行時間約束擴展，在傳統的靜態的主體和客體保護之上加入時間約束，使之能夠隨著時間的變化進行動態的授權保護。4.根據權利要求3所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於對於影響多個會話的時間約束，用AHP層次分析法計算各會話權重，根據會話的加權因子進行時間分配。5.根據權利要求1所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於對安全性要求高的用戶，製造企業與ASP平臺連接採用基於IPsec的VPN虛擬專用網。6.根據權利要求1所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於對於安全要求不高的用戶，製造企業與ASP平臺連接採用普通DSL連接。7.根據權利要求1所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於在ASP平臺網絡中心，分別在WEB伺服器前、後，以及應用伺服器後面建立三道防火牆。8.根據權利要求7所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於WEB伺服器中的身份認證/授權主要判斷是否是合法用戶，而在C0RBA/C0M+/EJB伺服器中的身份認證/授權則是判斷客戶想要訪問的應用程式及其權限，用不同的認證方法對不同等級的客戶進行身份認證。9.根據權利要求1所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於ASP端24小時實時動態監測非法訪問。10.根據權利要求1所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於ASP應用服務中心遵照GBGA/T391-2002相關規定，對中心採取相應的物理措施；對後端的資料庫伺服器，採用伺服器群技術，確保機密數據的安全。11.根據權利要求2所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於所述認證方式包括Kerberos協議認證、一次性口令認證和單一口令認證。12、根據權利要求4所述的基於ASP模式的網絡化製造安全集成系統，其特徵在於所述分配包括(1)根據系統的特點制定S項不同的評價指標，例如會話時間的歷史記錄、會話內容的重要程度、用戶的優先等級等；假設指定會話集中有n個會話與該時間約束相關；(2)將各項評價指標兩兩比較，構建判斷矩陣^:formulaseeoriginaldocumentpage3式中C.i..為一致性比例；C./為一致性指標；i./為平均隨機一致性指標，其取值見表表1平均隨機一致性指標tableseeoriginaldocumentpage3若C.兒O.l則一致性可以接受，否則需要調整判斷矩陣J的取值，直到C.i.符合要求為止;(5)根據各會話的各項評價指標得出評價矩陣i.-formulaseeoriginaldocumentpage4其中《1表示第/個會話的第/個評價指標的分值，c=『*Cc=C2，...")，c,即為第/個會話的權重係數；(6)根據每個會話的權重係數分配會話的時間長度；設剩餘時間總長為O，則formulaseeoriginaldocumentpage4其中/,即為第/個會話的時間長度。全文摘要一種基於ASP的網絡化製造安全集成系統，提供了一套完整的網絡安全保障體系來確保合法用戶的權限、數據保密性和完整性。對於多用戶訪問，用單點登錄方式實現系統對用戶的認證；分別採用單一口令認證、一次性口令認證和Kerberos協議認證，對不同等級的用戶進行身份驗證；採用具有時間約束的訪問控制模型保障合法用戶的訪問權限。在影響多個會話的時間約束中，採用AHP層次分析法計算會話的分配時間。安全管理員根據系統的特點制定s項不同的評價指標，用AHP算法得出每個會話的權重係數，根據計算所得會話的權重係數進行時間分配。該算法避免了平均分配每個會話時間的情況，符合實際的需求。文檔編號H04L9/32GK101232373SQ200710036858公開日2008年7月30日申請日期2007年1月26日優先權日2007年1月26日發明者峰馮,張美華,徐立雲,李愛平,王路炯申請人:同濟大學