本申请涉及工业互联网领域,具体而言,涉及一种基于工业互联网设备状态的安全控制方法和装置。
背景技术:
“工业互联网”(industrialinternet)——开放、全球化的网络,将人、数据和机器连接起来,属于泛互联网的目录分类。它是全球工业装置与高级计算、分析、传感技术及互联网的高度融合。
“工业互联网”的概念最早由通用电气于2012年提出,随后美国五家行业龙头企业联手组建了工业互联网联盟(iic),将这一概念大力推广开来。
工业互联网的本质和核心是通过工业互联网平台把设备、生产线、工厂、供应商、产品和客户紧密地连接融合起来。可以帮助制造业拉长产业链,形成跨设备、跨装置、跨厂区、跨地区的互联互通,从而提高效率,推动整个制造服务体系智能化。还有利于推动制造业融通发展,实现制造业和服务业之间的跨越发展,使工业经济各种要素资源能够高效共享。
在工业互联网中,由于设备均是与网络连接,如果该设备在某种状态(例如,正在进行生产)下,仍然继续接收到大量的报文,则有可能导致该设备挂起或者停机,从而有可能带来安全隐患。
针对相关技术中工业互联网设备在某种状态下接大量报文可能导致存在安全隐患的问题,目前没有提出很好的解决方式。
技术实现要素:
本申请提供一种基于工业互联网设备状态的安全控制方法和装置,以解决相关技术中工业互联网设备在某种状态下接大量报文可能导致存在安全隐患的问题。
根据本发明的一个方面,提供了一种基于工业互联网设备状态的安全控制方法,包括:获取制造设备的状态;根据所述制造设备的状态从配置表中获取在该状态对应的接收报文的频率;在预定时长内,接收到需要转发给所述制造设备的报文并进行保存;判断在所述预定时长内接收到的报文的频率是否大于所述从所述配置表中获取到的频率,如果大于,则从所述接收到的报文中选择部分报文发送给所述制造设备。
进一步地,所述方法还包括:丢弃未发送给所述制造设备的报文,并发送指示消息,其中所述指示消息用于指示被丢弃的报文的来源方重新发送该报文。
进一步地,所述指示消息中携带有一个随机选出的时间,该时间用于指示所述来源方在接收到该指示消息后间隔该时间再重新发送该报文。
进一步地,所述时间以秒为单位,小于10秒。
根据本发明的另一个方面,还提供了一种基于工业互联网设备状态的安全控制装置,包括:第一获取模块,用于获取制造设备的状态;第二获取模块,用于根据所述制造设备的状态从配置表中获取在该状态对应的接收报文的频率;保存模块,用于在预定时长内,接收到需要转发给所述制造设备的报文并进行保存;处理模块,用于判断在所述预定时长内接收到的报文的频率是否大于所述从所述配置表中获取到的频率,如果大于,则从所述接收到的报文中选择部分报文发送给所述制造设备。
进一步地,还包括:发送模块,用于丢弃未发送给所述制造设备的报文,并发送指示消息,其中所述指示消息用于指示被丢弃的报文的来源方重新发送该报文。
进一步地,所述指示消息中携带有一个随机选出的时间,该时间用于指示所述来源方在接收到该指示消息后间隔该时间再重新发送该报文。
进一步地,所述时间以秒为单位,小于10秒。
根据本申请的另一个方面,还提供了一种存储器,用于存储软件,其中,所述软件用于执行上述的方法。
根据本申请的另一个方面,还提供一种处理器,用于执行软件,其中,所述软件用于执行上述的方法。
本申请采用以下步骤:获取制造设备的状态;根据所述制造设备的状态从配置表中获取在该状态对应的接收报文的频率;在预定时长内,接收到需要转发给所述制造设备的报文并进行保存;判断在所述预定时长内接收到的报文的频率是否大于所述从所述配置表中获取到的频率,如果大于,则从所述接收到的报文中选择部分报文发送给所述制造设备。通过本申请解决了相关技术中工业互联网设备在某种状态下接大量报文可能导致存在安全隐患的问题,提高了工业互联网中设备控制的安全性。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的基于工业互联网设备状态的安全控制方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请是参照根据本申请实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flashram)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、装置或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
在本实施例中,提供了一种基于工业互联网设备状态的安全控制方法,图1是根据本发明实施例的基于工业互联网设备状态的安全控制方法的流程图,如图1所示,该方法包括如下步骤:
步骤s102,获取制造设备的状态,例如,生产状态、空闲状态、维护状态等;不同状态可以处理的报文数量不同,从而可以得到每个状态对应的接收报文的频率上线。
步骤s104,根据所述制造设备的状态从配置表中获取在该状态对应的接收报文的频率;
该频率可以通过机器学习的方式实现,例如,获取多种制造设备的历史数据,该历史数据包括制造设备的工作状态(例如,生产状态、空闲状态、维护状态等)以及在该状态时同时接收到的报文频率、以及此时的制造设备的硬件使用率(例如,内存占用率等),筛选出硬件使用率操作阈值的数据,并使用这些数据作为训练数据训练出一个模型,该训练数据中工作状态作为输入数据,报文频率作为输出数据。该模型训练好之后,将制造状态输入到该模型中,就可以得到该状态下对应的接收报文的频率。然后生成配置表。
或者,也可以认为配置该状态与接收报文频率的对应关系,该对应关系可以根据经验得到。
步骤s106,在预定时长内,接收到需要转发给所述制造设备的报文并进行保存;
步骤s108,判断在所述预定时长内接收到的报文的频率是否大于所述从所述配置表中获取到的频率,如果大于,则从所述接收到的报文中选择部分报文发送给所述制造设备。
作为一个可选的实施方式,如果在连续的预定时长内接收到来自同一控制设备的报文的频率均高于所述配置表中获取到的频率,则将该控制设备添加到黑名单中。被添加到黑名单的控制设备所发送的报文直接被丢弃,并且向该控制设备发送指示生产设备正忙的提示信息。优选地,当一个控制设备被添加到黑名单之后,经过一个预定时长后被从所述黑名单删除,如果该控制设备第二次进入黑名单,经过两个预定时长后被从所述黑名单删除,以此类推,如果该控制设备第n次进入黑名单,则经过n个所述预定时长后才被从所述黑名单删除。
通过上述步骤,通过在某种情况下,部分减少向制造设备发送的报文,解决了相关技术中工业互联网设备在某种状态下接大量报文可能导致存在安全隐患的问题,提高了工业互联网中设备控制的安全性。
上述步骤可以运行在网关中,其中,所有制造设备均通过该网关与外部设备进行通讯,外部设备向制造设备发送的报文均需要经过该网关。
作为一个可选的可以增加的实施方式,从所述接收到的报文中选择部分报文发送给所述制造设备包括:获取所述接收到的报文优先级高于预定优先级的报文,并将高于所述预定优先级的报文发送给所述制造设备。如果未找到优先级高于所述预定优先级的报文,则随机从所述接收到的报文中选择部分并发送给所述制造设备。优选地,优先级可以根据报文来源的设备相关,或者也可以跟报文的类型相关,或者是两者的结合。
作为一个可选的可以增加的实施方式,如果在连续的几个预定时长内,向所述制造设备发送报文的频率均超过配置表中所获取到的频率,则丢弃所有报文,并向报文的来源方发送该制造设备已经离线的指示消息。发送指示离线的消息之后,经过预定分钟后,向报文来源方发送该制造设备已经上线的消息。或者在该制造设备的状态变为空闲状态后,向报文的来源方发送该制造设备已经上线的消息。
报文的来源方可以是控制设备。控制设备可以通过加密的方式来发送报文。例如:
控制设备获取自身的媒体访问控制地址mac地址;所述控制设备获取所述mac地址的最后一位,并将所述最后一位转换为十进制数;所述控制设备在预先设置的密码加密表中,查找该十进制数对应的密码和加密方法;所述控制设备使用所述密码和所述加密方法对报文进行加密,并将加密后的所述报文发送给制造设备,其中,所述制造设备和所述控制设备均为工业互联网中的设备,所述制造设备预先配置有同样的密码加密表,所述报文中携带有mac地址,所述制造设备根据所述mac地址的最后一位查找对应的加密方法和密码,并对所述报文进行解密;所述mac地址在所述报文中采用明文,所述报文中的控制信息被所述密码和所述加密方法加密。
如果在预定时间内,某个控制设备向制造设备发送的报文数量超过阈值,则连接控制设备和制造设备的网关向控制设备发送消息,该消息用于指示控制设备删除其密码加密表。
优选地,所述方法还包括:丢弃未发送给所述制造设备的报文,并发送指示消息,其中所述指示消息用于指示被丢弃的报文的来源方重新发送该报文。
优选地,所述指示消息中携带有一个随机选出的时间,该时间用于指示所述来源方在接收到该指示消息后间隔该时间再重新发送该报文。
优选地,所述时间以秒为单位,小于10秒。
在本实施例中,还提供了一种基于工业互联网设备状态的安全控制装置,该装置与上述方法相对应,在上述方法中已经进行过说明的,在此不再赘述,在该装置中包括:第一获取模块,用于获取制造设备的状态;第二获取模块,用于根据所述制造设备的状态从配置表中获取在该状态对应的接收报文的频率;保存模块,用于在预定时长内,接收到需要转发给所述制造设备的报文并进行保存;处理模块,用于判断在所述预定时长内接收到的报文的频率是否大于所述从所述配置表中获取到的频率,如果大于,则从所述接收到的报文中选择部分报文发送给所述制造设备。
通过上述步骤,通过在某种情况下,部分减少向制造设备发送的报文,解决了相关技术中工业互联网设备在某种状态下接大量报文可能导致存在安全隐患的问题,提高了工业互联网中设备控制的安全性。
优选地,还包括:发送模块,用于丢弃未发送给所述制造设备的报文,并发送指示消息,其中所述指示消息用于指示被丢弃的报文的来源方重新发送该报文。
优选地,所述指示消息中携带有一个随机选出的时间,该时间用于指示所述来源方在接收到该指示消息后间隔该时间再重新发送该报文。
优选地,所述时间以秒为单位,小于10秒。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机装置中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本发明实施例提供了一种存储介质,其上存储有程序或者软件,该程序被处理器执行时实现上述方法。存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flashram),存储器包括至少一个存储芯片。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
1.一种基于工业互联网设备状态的安全控制方法,其特征在于,包括:
获取制造设备的状态;
根据所述制造设备的状态从配置表中获取在该状态对应的接收报文的频率;
在预定时长内,接收到需要转发给所述制造设备的报文并进行保存;
判断在所述预定时长内接收到的报文的频率是否大于所述从所述配置表中获取到的频率,如果大于,则从所述接收到的报文中选择部分报文发送给所述制造设备。
2.根据权利要求1所述的基于工业互联网设备状态的安全控制方法,其特征在于,所述方法还包括:
丢弃未发送给所述制造设备的报文,并发送指示消息,其中所述指示消息用于指示被丢弃的报文的来源方重新发送该报文。
3.根据权利要求1或2所述的基于工业互联网设备状态的安全控制方法,其特征在于,所述指示消息中携带有一个随机选出的时间,该时间用于指示所述来源方在接收到该指示消息后间隔该时间再重新发送该报文。
4.根据权利要求1至3中任一项所述的基于工业互联网设备状态的安全控制方法,其特征在于,所述时间以秒为单位,小于10秒。
5.一种基于工业互联网设备状态的安全控制装置,其特征在于,包括:
第一获取模块,用于获取制造设备的状态;
第二获取模块,用于根据所述制造设备的状态从配置表中获取在该状态对应的接收报文的频率;
保存模块,用于在预定时长内,接收到需要转发给所述制造设备的报文并进行保存;
处理模块,用于判断在所述预定时长内接收到的报文的频率是否大于所述从所述配置表中获取到的频率,如果大于,则从所述接收到的报文中选择部分报文发送给所述制造设备。
6.根据权利要求5所述的基于工业互联网设备状态的安全控制装置,其特征在于,还包括:
发送模块,用于丢弃未发送给所述制造设备的报文,并发送指示消息,其中所述指示消息用于指示被丢弃的报文的来源方重新发送该报文。
7.根据权利要求5或6所述的基于工业互联网设备状态的安全控制装置,其特征在于,所述指示消息中携带有一个随机选出的时间,该时间用于指示所述来源方在接收到该指示消息后间隔该时间再重新发送该报文。
8.根据权利要求1至3中任一项所述的基于工业互联网设备状态的安全控制装置,其特征在于,所述时间以秒为单位,小于10秒。
9.一种存储器,其特征在于,用于存储软件,其中,所述软件用于执行权利要求1至4中任一项所述的方法。
10.一种处理器,其特征在于,用于执行软件,其中,所述软件用于执行权利要求1至4中任一项所述的方法。
技术总结