CN114257460B - 一种适用于服务区智能化管理的云架构数据共享方法 - Google Patents

一种适用于服务区智能化管理的云架构数据共享方法 Download PDF

Info

Publication number
CN114257460B
CN114257460B CN202210186084.7A CN202210186084A CN114257460B CN 114257460 B CN114257460 B CN 114257460B CN 202210186084 A CN202210186084 A CN 202210186084A CN 114257460 B CN114257460 B CN 114257460B
Authority
CN
China
Prior art keywords
data
administrator
data information
cloud
service area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210186084.7A
Other languages
English (en)
Other versions
CN114257460A (zh
Inventor
李文龙
杨冬
马恩泽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Zheshang Internet Information Technology Co ltd
Original Assignee
Zhejiang Zheshang Internet Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Zheshang Internet Information Technology Co ltd filed Critical Zhejiang Zheshang Internet Information Technology Co ltd
Priority to CN202210186084.7A priority Critical patent/CN114257460B/zh
Publication of CN114257460A publication Critical patent/CN114257460A/zh
Application granted granted Critical
Publication of CN114257460B publication Critical patent/CN114257460B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/176Support for shared access to files; File sharing support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

一种适用于服务区智能化管理的云架构数据共享方法,属于通信控制技术领域,包括以下步骤:步骤S1,建立适用于服务区智能化管理的云架构;所述云架构包括边缘感知层和云端平台层;步骤S2,组员设备申报数据资料,并将数据资料存储于云端平台层的数据库;管理员,在有效时间区间内,根据工作流取得权限之后对云端平台层的数据库中的数据资料进行存取处理。本方案,形成系统化的服务区智能管理体系:通过将云架构应用于服务区,打通各个孤立的组员设备,云端共享,兼顾数据安全。

Description

一种适用于服务区智能化管理的云架构数据共享方法
技术领域
本发明属于通信控制技术领域,具体涉及为一种适用于服务区智能化管理的云架构数据共享方法。
背景技术
云端计算是一种新面向市场的、以提供高质量和低廉信息服务为目标的商业模式。云端计算能够通过网络以便利、按需的方式访问一个可配置的计算资源共享池。
服务区是兼具商业、能源补给交通与安全等方面功能的综合性设施,是高速公路网络的必要组成部分,也是数字交通与智慧交通的重要组成部分。目前的服务区数字化与智能化主要集中在硬件设备方面的探索,重点针对停车、公厕、信息服务、数据互通、特种车辆管控等场景。尽可能地收集多维度的服务区数据,为商业决策的数智化驱动打下坚实的基础。
如果将服务区的智能化管理的核心内容架设于云端,相对于自建的集中式区域网络,将能减少硬件、软件、网络等的铺设费用。因此,如果能由一个受信任的第三方提供一个云架构数据共享系统,数据资料由该云端资料中心进行管控,服务区只需要支付租用云服务的费用,省去了投资和管理成本,并能达到数据资料的全面完整性。
将服务器的相关数据资料,存放于云端架构中,需要有一套保密机制来确保数据资料的私密性。此外,也需要一套良好的存取权限管控机制,用以对使用者的存取动作进行有效的规范和管理,从而降低运行损耗,减小运营成本。
公开号为CN112766752A的中国专利,公开了一种高速公路服务区智慧化管理服务平台,其包括综合服务平台、综合管理平台和服务区管理平台,所述综合服务平台的终端设置有大数据中心。这种自建大数据中心的方式,建设成本高、系统复杂,维护成本也很高,不利于普及和广泛适用。
发明内容
本发明的目的在于克服上述现有技术之不足,提供一种适用于服务区智能化管理的云架构数据共享方法。
一种适用于服务区智能化管理的云架构数据共享方法,包括以下步骤:
步骤S1,建立适用于服务区智能化管理的云架构;所述云架构包括边缘感知层和云端平台层;
所述边缘感知层,内置组员设备和管理员;
所述边缘感知层和云端平台层之间设置有边缘网关,所述边缘感知层通过边缘网关与云端平台层通信连接;边缘网关执行入侵防御;
步骤S2,组员设备申报数据资料,并将数据资料存储于云端平台层的数据库;管理员,在有效时间区间内,根据工作流取得权限之后对云端平台层的数据库中的数据资料进行存取处理;
首先,管理员读取数据资料,若管理员具有此数据资料的操作权限,则进行新增记录的动作,并将处理后的数据资料存储到系统的数据库;
接着,检查正在处理的组员设备,是否需要将其数据资料委派给另一个管理员:如果需要委派给另一个管理员,则变更前一管理员和后一管理员的授权状态和数据资料的执行状态,以达到开启下一个管理员的操作权限;否则,流程结束。
进一步,所述边缘网关,进行网络的监控和防御;所述边缘网关安装有入侵检测系统Snort、防火墙Guardian和IP数据包过滤系统Iptables;所述入侵检测系统Snort内置规则资料库。
进一步,边缘网关执行入侵防御,包括以下步骤:
步骤S101,当边缘网关有数据封包传入时,Snort对数据封包进行解析,并与规则资料库进行比对,从而对数据封包的行为进行侦测分析;规则资料库内置有正常的数据封包信息和异常的数据封包信息;当比对结果显示,该数据封包具有异常行为时,送出警告档案,然后进行步骤S102;否则送出正常消息;
步骤S102,启动Guardian并读取警告档案,并提取警告档案中的规则并将该规则写入到Iptables;
步骤S103,Snort执行Iptables,产生一个阻挡规则,并对与警告档案相对应的攻击来源进行阻挡。
进一步,数据资料具有以下4种执行状态:
N:该数据资料尚未被管理员处理;
B:顺位轮到的组员设备并没有提供该轮的数据资料处理任务,同时,将该组员设备置于待处理队列;
D:在数据资料处理的过程中,管理员将该数据资料委派给另一个管理员。
C:该组员设备本轮的数据资料已经处理完毕,管理员已经将数据资料送出并签章。
管理员具有以下3种授权状态:
R:表示该授权的管理员仅能够读取该数据资料,通过组员设备的数据资料的上传动作开启,该权限仅在该管理员的有效时间区间内生效。
W:表示该授权的管理员能够读取该数据资料,并能写入新的数据资料,该权限仅在该管理员的有效时间区间内生效。
P:此权限已经被禁止;
步骤S2包括以下步骤:
步骤S201,由组员设备申报数据资料或管理员委派而触发,数据资料执行状态为N;若组员设备尚未在工作流的本轮时限内申报数据资料,则执行步骤S202;若管理员无法于在工作流的本轮时限内中完成数据处理,则执行步骤S203;若该数据处理任务已经执行完毕,则执行步骤S207;
步骤S202,由管理员将未在工作流的本轮时限内申报数据资料的组员设备,暂时置于待处理队列,将状态转为B;若管理员无法于在工作流的本轮时限内中完成数据处理,则执行步骤S204;否则执行步骤步骤S206;
步骤S203,前一管理员,将数字资料的处理任务,委派给具有处理权限的后一管理员;当数据处理任务委派给其它管理员后,前一管理员对于接受委派的组员设备的授权状态将由W变为R,缩减其存取权限;数据资料的执行状态,由N转为D;然后执行步骤S205;
步骤S204,前一管理员,将数字资料的处理任务,委派给具有处理权限的后一管理员;当数据处理任务委派给其它管理员后,前一管理员对于接受委派的组员设备的授权状态将由W变为R,缩减其存取权限;数据资料的执行状态,由B转为D;然后执行步骤S205;
步骤S205,接受委派的管理员完成数据处理任务,使得该组员设备的数据资料的执行状态由D转换为B;若数据处理任务已经执行完毕,则执行步骤S206;否者执行步骤S204;
步骤S206,该数据处理任务已经执行完毕,管理员将纪录送出并签章;对于该组员设备,管理员的授权状态将由W变为P,禁止再有其它操作行为;数据资料的执行状态,由B转为C;
步骤S207,该数据处理任务已经执行完毕,管理员将纪录送出并签章;对于该组员设备,管理员的授权状态将由W变为P,禁止再有其它操作行为;数据资料的执行状态,由N转为C。
本方案,具有以下优点:
1.形成系统化的服务区智能管理体系:通过将云架构应用于服务区,打通各个孤立的组员设备,通过系统集成与优化、云平台等,有利于后续实现智慧服务区的整体解决方案与软硬件综合体系。
2.云端共享,兼顾数据安全。本方案,将入侵检测系统Snort、防火墙Guardian和IP数据包过滤系统Iptables组合成一套安全套件,有效阻挡DDOS攻击。同时,以组员设备为中心的事件触发授权机制,管理云端数据资料存取权限,除了确保组员设备存放于云端的数据资料的保密性之外,还能将管理员对云端的数据资料的存取控制在一个最适当的时间范围之内。
3.交易成本低。从交易成本的角度审视,如果云端服务在存取管控上没有一个针对管理员处理任务的权限的动态变更,交易成本将无法限制在一个合理的范围内。交易成本,为使用者对云端服务交易程序的起止范围所需付出的代价,包括时间、能耗和网络频宽等。本方案,根据时间、地点以及执行任务的角色,来动态变更权限,存取控制权限相互牵制且自动控制,数据处理任务以及管理员的处理均具有顺序性,通过这两者的脉络来控制管理员的对数据资料的存取的起止时间点,以达到在存取时间上的最小粒度。
附图说明
图1是步骤S2的执行状态示意图;
图2是情景一的流程图;
图3是情景二的流程图;
图4是情景三的流程图。
具体实施方式
下面结合附图和实施例对本发明进一步说明。
云端计算,通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。“云”表示网络,“端”表示连接到网络的任一终端。云端计算包括分散式计算、网格计算等技术。
一种适用于服务区智能化管理的云架构数据共享方法,包括以下步骤:
步骤S1,建立适用于服务区智能化管理的云架构;所述云架构包括边缘感知层和云端平台层;
所述边缘感知层,内置组员设备和管理员。组员设备利用服务区内外场地设施设备系统解决数据信息采集、通讯的任务。组员设备主要包含几大块系统:通信系统、商业系统、监控系统、车路协同应用。组员设备采用的应用设备包含北斗/GPS、4G/5G信号站、边缘控制器、车路协同信号机、视频设备、广播、照明系统等。
所述云端平台层,利用服务器、存储等集群设施解决数据存储和系统服务。
所述边缘感知层和云端平台层之间设置有边缘网关,所述边缘感知层通过边缘网关与云端平台层通信连接。
所述边缘网关,进行网络的监控和防御;所述边缘网关安装有入侵检测系统Snort、防火墙Guardian和IP数据包过滤系统Iptables。
Snort,是一款轻量级的入侵检测系统,能够对网络上的数据包进行抓包分析,内置规则资料库。Snort的规则主要分成两大结构,第一个部分为规则的表头,第二部分为规则的选项。规则的表头包含规则的动作、协议、源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。
Guardian,是一套以perl所写成,能够及时读取Snort的警告档案(Alert),进一步的修改Iptables的设定,阻挡攻击的IP,达到基本的入侵防御功能。具体的,Guardian,其利用设定档中的设定读取Snort的警告档案(Alert),来呼叫自身的block script,将所希望的规则写入到Iptables中,进而处理疑似攻击的封包来源。
Iptables,是与Linux内核集成的IP信息包过滤系统。
Snort,监控网络和发现攻击事件;Guardian读取Snort的警告档案(Alert),对应修改Iptables的设定;Iptables,在攻击事件发现之后对其防御。
边缘网关执行入侵防御,包括以下步骤:
步骤S101,当边缘网关有数据封包传入时,Snort对数据封包进行解析,并与规则资料库进行比对,从而对数据封包的行为进行侦测分析;规则资料库内置有正常的数据封包信息和异常的数据封包信息;当比对结果显示,该数据封包具有异常行为时,送出警告档案,然后进行步骤S102;否则送出正常消息;
步骤S102,启动Guardian并读取警告档案,并提取警告档案中的规则并将该规则写入到Iptables。规则可以是:封包消息、来源地址、目标地址。
步骤S103,Snort执行Iptables,产生一个阻挡规则,对与警告档案相对应的攻击来源进行阻挡。
本方案,将入侵检测系统Snort、防火墙Guardian和IP数据包过滤系统Iptables组合成一套安全套件。模拟显示,针对边缘网关进行的DDOS攻击,Snort都可以正确的记录事件,安全套件将攻击端的IP进行阻挡,并限制其再进行任何连线。
步骤S2,组员设备申报数据资料,并将数据资料存储于云端平台层的数据库;管理员,在有效时间区间内,根据工作流取得权限之后对云端平台层的数据库中的数据资料进行存取处理。
工作流:起源于生产流程与办公室自动化领域,目的在针对工作中具有固定顺序的活动安排一个流程上的规划,通过对活动的分解使工作人员能够按照既有的规则和程序来执行任务,得以提高工作效率、增加生产量以及降低成本等好处。工作流以更高的层次提供了实现物流、信息流与企业流等等相关程序与应用的集成机制,其目的在于达到将正确的资料,以正确的方式,在正确的时间,传递给正确的人。
管理员:是数据处理的主要角色,取得权限后能够对云端平台层的数据库的数据资料进行存取处理。具体管理员的权限状态,随着工作流的运作而不断的动态变更,不同的工作流阶段,管理员具有不同的数据处理权限,依次来管控管理员对于云端数据资料的存取时机。
有效时间区间:根据每个管理员的值班时间或者工作时间分配。例如,对于夜班的管理员,其对应的有效时间区间为当天的20:00~第二天的08:00。同一时间段,可能同时上线多个管理员,以分管相同类型或者不同类型的数据资料,例如,一个管理员处理视频监控的数据资料,同时,另一个管理员处理停车场的数据资料。
数据资料具有以下4种执行状态:
N:该数据资料尚未被管理员处理;
B:顺位轮到的组员设备并没有提供该轮的数据资料处理任务,同时,将该组员设备置于待处理队列;
D:在数据资料处理的过程中,管理员将该数据资料委派给另一个管理员。
C:该组员设备本轮的数据资料已经处理完毕,管理员已经将数据资料送出并签章。
管理员具有以下3种授权状态:
R:表示该授权的管理员仅能够读取该数据资料,通过组员设备的数据资料的上传动作开启,该权限仅在该管理员的有效时间区间内生效。
W:表示该授权的管理员能够读取该数据资料,并能写入新的数据资料,该权限仅在该管理员的有效时间区间内生效。
P:此权限已经被禁止。
本方案,将组员设备的数据处理任务作为权限触条件,授权给有效时间区间的管理员,该管理员仅在该有效时间区间内,取得对该数据资料的处理权限。
步骤S2中,授权状态随着工作流种此相互牵制的流程的执行阶段而动态变更,借以达到根据环境控制存取权限,如图1所示,包括以下步骤:
步骤S201,由组员设备申报数据资料或管理员委派而触发,数据资料执行状态为N;若组员设备尚未在工作流的本轮时限内申报数据资料,则执行步骤S202;若管理员无法于在工作流的本轮时限内中完成数据处理,则执行步骤S203;若该数据处理任务已经执行完毕,则执行步骤S207;
步骤S202,由管理员将未在工作流的本轮时限内申报数据资料的组员设备,暂时置于待处理队列,将状态转为B;若管理员无法于在工作流的本轮时限内中完成数据处理,则执行步骤S204;否则执行步骤步骤S206;
步骤S203,前一管理员,将数字资料的处理任务,委派给具有处理权限的后一管理员;当数据处理任务委派给其它管理员后,前一管理员对于接受委派的组员设备的授权状态将由W变为R,缩减其存取权限;数据资料的执行状态,由N转为D;然后执行步骤S205;
步骤S204,前一管理员,将数字资料的处理任务,委派给具有处理权限的后一管理员;当数据处理任务委派给其它管理员后,前一管理员对于接受委派的组员设备的授权状态将由W变为R,缩减其存取权限;数据资料的执行状态,由B转为D;然后执行步骤S205;
步骤S205,接受委派的管理员完成数据处理任务,使得该组员设备的数据资料的执行状态由D转换为B;若数据处理任务已经执行完毕,则执行步骤S206;否者执行步骤S204;
步骤S206,该数据处理任务已经执行完毕,管理员将纪录送出并签章;对于该组员设备,管理员的授权状态将由W变为P,禁止再有其它操作行为;数据资料的执行状态,由B转为C;
步骤S207,该数据处理任务已经执行完毕,管理员将纪录送出并签章;对于该组员设备,管理员的授权状态将由W变为P,禁止再有其它操作行为;数据资料的执行状态,由N转为C。
将云端计算应用于服务区的数据资料管理,本方案的特性分析如下:
(1),保密性。云端计算,将数据资料存储或者分享于远端的资料中心,由于可存取数据资料的使用者的数量增加,以及数据可被分享的情况下,数据资料存在有意或者无意的外泄风险。
传统的方案,对数据资料采用ABE等加密方法进行加密,包含了密钥的产生和分配机制。通过密钥分配取得权限,也仍存在职权滥用的风险。
本方案,组员设备通过数据资料的申报动作建立授权,以组员设备属性取代密钥加密方式,保证数据资料的私密性。
(2),完整性。完整性是确保数据资料被使用时,为正确的资料。如果数据资料不正确或者遭到未经授权的使用者的修改,则该数据资料将丧失完整性。在云端计算的环境下,任何能够连接上网络的终端设备都可能成为云端数据资料的存取点,在云端服务外包给云服务供应商时,若没有一套完善的授权机制,来确保数据资料的存取是由通过授权后的使用者,则该数据资料可能会因串改而丧失完整性。
本方案,将组员设备的数据处理任务是为权限触条件,授权给有效时间区间的管理员,该管理员仅在该有效时间区间内,取得对该数据资料的处理权限,保证数据的完整性。
(3),认证与身份管理。认证的目的,是确保要通讯的实体是它所宣称的身份。由于云端计算所提供的服务,是通过网络来达到多用户的异地存取,因此,希望能有效管理各种不同使用者群体的身份,使其能合法存取云端内部的数据。传统的方案,给予相应的使用者一个固定的身份和权限,身份难以调整,从而造成身份管理上的负担。
本方案,对于角色的管控,采用由组员设备的行为所引发,并非由系统管理员统一赋予权限,避免了职权滥用导致的情况发生。
(4),存取控制。对于数据资料的存取控制,应当采用“最低权限原则”,每位使用者只需具备完成自身任务的权限。由于云端上具有许多不同用户的资料,云端供应商必须明确地将不同用户之间地资料做有效的区分,并且根据不同的情境、时间与地点,动态变更存取需求。最难以预防的则是由内部有权限的人员的非法存取,而造成资料的外泄。
在本方案中,将组员设备的数据处理任务是为权限触条件,授权给有效时间区间的管理员,该管理员仅在该有效时间区间内,取得对该数据资料的处理权限,对数据资料进行有效的存取控制。
下面,举例具体的3种适用场景,来讨论步骤S2的适用。
情景一,组员设备申报数据资料,如图2所示。此场景,适用于服务区的停车监控,组员包括:进场监控、停车监控、出场监控。管理员包括:进场管理员、停车管理员、出场管理员和超级管理员。
首先,管理员读取数据资料,若管理员具有此数据资料的操作权限,则进行新增记录的动作,并将处理后的数据资料存储到系统的数据库。
此时,进场管理员,读取进场监控提取的进入服务区的车辆资料(包括但不限于:视频资料、车辆号牌、时间),对缺损的车辆资料(例如,无法读取车辆号牌)进行处理(例如,记录车辆颜色、品牌等特征)后,将处理后的数据资料存储到系统的数据库。
出场管理员,读取出场监控提取的离开服务区的车辆资料(包括但不限于:视频资料、车辆号牌、时间),对缺损的车辆资料(例如,无法读取车辆号牌)进行处理(例如,记录车辆颜色、品牌等特征)后,将处理后的数据资料存储到系统的数据库。
停车管理员,进行以下动作: 1.读取停车监控提取的服务区内的车辆资料(包括但不限于:视频资料、车辆号牌、时间、停车位置),然后对缺损的车辆资料(例如,无法读取车辆号牌)进行处理(例如,记录车辆颜色、品牌等特征),或者对违停的车辆资料进行记录,并将处理后的车辆资料存储到系统的数据库;
2.读取进场管理员处理后的车辆资料,以及出场管理员处理后的车辆资料;若发现进场的车辆资料和出场的车辆资料不一致时(例如,出场的车辆没有进场信息),则记录该数据资料。
接着,检查正在处理的组员设备,是否需要将其数据资料委派给另一个管理员。如果需要委派给另一个管理员,则变更前一管理员和后一管理员的授权状态和数据资料的执行状态,以达到开启下一个管理员的操作权限;否则,流程结束。
此时,当停车管理员处理的车辆资料涉及到违停或者进场的车辆资料和出场的车辆资料不一致时,将该车辆资料委派给超级管理员。此时,超级管理员的授权状态为W,停车管理员的授权状态从W变为P。
对于违停的车辆,超级管理员通过线下人工的方式,对违停的车辆进行引导。对于进场和出场的车辆资料不一致的车辆,超级管理员通过线下人工的方式,查找原因(例如,线下人工发现该车辆在服务区停留多日),或者采取进一步的处理方式(反馈到相应的行政机关)。并将处理结果记录于数据库。
传统的服务区,车辆信息的记录的实时性难以保证,后续统计和数据收集成本高,不能提供相对完整的数据体系与数据流。并且传统的服务区,由于司乘人员对当前车位停放位置、规范不清晰,违停现象时有发生,容易形成安全隐患、降低区内通行效率。
本方案,对于车辆信息采用工作流的处理方式,一环扣一环,实现车流量监测,停车位监测,满足自动化精细化的管理工作要求。
情景二,轮空的组员设备的待处理,如图3所示。此场景,适用于服务区的用电管理。每个商户均安装有远传仪表,应用物联网技术实现用电的远程管理。组员包括商铺1的远传仪表、商铺2的远传仪表。远传仪表设定,只在每月初(例如1号)将月用电超过100度的数据资料(包括商铺名、用电量、时间)上报,用电在100度之内的不用上报,留待下次用电超过100度时再上报。假设商铺1的远传仪表的月用电量未超过100度,本轮的数据资料没有提供;商铺2的远传仪表月用电量超过100度,提供了本轮的数据资料。
管理员在将没有提供该轮的数据资料处理任务的组员设备(商铺1的远传仪表)置入待处理队列。管理员选择处理待处理队列,当系统接收到此请求后,会对管理员当下正在处理的组员设备(商铺1的远传仪表)的数据资料的执行状态的进行变换,由N变为B。
接着,变更操作该组员设备数据资料的管理员的授权权限,由R变为W,也就是将写入的权限开启。在此之后,被置入队列区的组员设备(商铺1的远传仪表)将被暂时跳过组员设备申报数据资料的步骤,而轮到下一位组员设备(商铺2的远传仪表)继续进行数据资料的处理,且下一位组员设备(商铺2的远传仪表)的数据资料的执行状态也因为工作流而开启了其存取的权限。
本方案,实现了精细化用电管理,节省了人力。
情景三,管理员委派,如图4所示。此场景,适用于服务区的油品管理。组员设备包括:油品库存设备、油品供配设备。油品库存设备提供的数据资料包括:油库(存油的库区组合,发运油品单位)、库区(存油品的油库子单位)、油罐(加油站存储油品的罐体单位)、油枪(加油机上的油枪编号,主要来设定油枪跟油罐的关系,从而获取从哪个油枪出来的油是什么油品)、油品(指的就是89#,90#,92#,93#,95#,98#,0#等耳熟能详的汽柴油标号)。油品供配设备提供的数据资料包括:油车(指载送油品从油库到油站的油车)、油舱(指载送油品的油车里面划分的罐体舱位,一般一个车就一个舱体一种油品;但存在部分车型存在多舱体,一个车可运送多个油品)、油品。管理员包括盘点管理员、调拨管理员。
盘点管理员会先对油品库存设备的历史数据资料进行检视,当认为油品库存设备的当前数据资料有必要进行其他的处理,而将其委派给调拨管理员。例如,盘点管理员提取油品库存设备的历史数据资料,认为油品库存不足时,将当前数据资料委派给调拨管理员。此时,关闭盘点管理员对油品库存设备的数据资料的写入权限,原因是油品库存设备已被置换到另一个工作流当中,因此操作权限必须跟着转移。油品库存设备的数据资料的执行状态将变更为D,表示目前油品库存设备被委派出去。接着,修改盘点管理员对于被委派出去的油品库存设备的数据资料的授权状态以及下一位组员设备(油品供配设备)的数据资料的授权状态,使盘点管理员能继续处理下一位组员设备(油品供配设备)的数据资料。最后,把被委派出去的油品库存设备加入调拨管理员的工作流当中,结束此次的程序。
表1为本方案的工作流与传统的工作流的特征比较表。
Figure 728035DEST_PATH_IMAGE001
本方案,融合了管理员和组员工作流和数据资料工作流。
管理员和组员工作流:对于同一个管理员,根据数据资料上报的先后顺序,对组员设备进行排队。除了最后一个组员设备,每个组员设备均会有下一个组员设备。负责处理这部分数据资料的管理员,根据顺序依次对组员设备的数据逐一处理,形成一个前后相依的组员设备工作流。
数据资料工作流:对于数据资料,一个具有顺序性的组员设备工作流是以推式(Push)的方式,由前至后形成彼此依赖的程序,由前一个组员设备数据资料的执行情况来动态开启下一个组员设备数据资料的执行权限;而下个组员设备数据资料将影响前一个组员设备数据资料的存取权限的关闭,形成组员设备数据资料工作流的控制存取权限的前后依赖关系。所有数据资料的执行状态的初始值均为N,即表示管理员尚未对组员设备数据资料做任何动作。除了第一个组员设备对应的管理员的授权状态为W之外,其余之后的均为R,用以限制管理员暂时仅具有读取数据的权限。
以上所述者,仅为本发明的较佳实施例而已,当不能以此限定本发明实施的范围,即大凡依本发明申请专利范围及发明说明内容所作的简单的等效变化与修饰,皆仍属本发明专利涵盖的范围内。

Claims (4)

1.一种适用于服务区智能化管理的云架构数据共享方法,其特征在于,包括以下步骤:
步骤S1,建立适用于服务区智能化管理的云架构;所述云架构包括边缘感知层和云端平台层;
所述边缘感知层,内置组员设备和管理员;
所述边缘感知层和云端平台层之间设置有边缘网关,所述边缘感知层通过边缘网关与云端平台层通信连接;边缘网关执行入侵防御;
步骤S2,组员设备申报数据资料,并将数据资料存储于云端平台层的数据库;管理员,在有效时间区间内,根据工作流取得权限之后对云端平台层的数据库中的数据资料进行存取处理;
首先,管理员读取数据资料,若管理员具有此数据资料的操作权限,则进行新增记录的动作,并将处理后的数据资料存储到系统的数据库;
接着,检查正在处理的组员设备,是否需要将其数据资料委派给另一个管理员:如果需要委派给另一个管理员,则变更前一管理员和后一管理员的授权状态和数据资料的执行状态,以达到开启下一个管理员的操作权限;否则,流程结束。
2.根据权利要求1所述的一种适用于服务区智能化管理的云架构数据共享方法,其特征在于,所述边缘网关,进行网络的监控和防御;所述边缘网关安装有入侵检测系统Snort、防火墙Guardian和IP数据包过滤系统Iptables;所述入侵检测系统Snort内置规则资料库。
3.根据权利要求2所述的一种适用于服务区智能化管理的云架构数据共享方法,其特征在于,所述边缘网关,进行网络的监控和防御,包括以下步骤:
步骤S101,当边缘网关有数据封包传入时,Snort对数据封包进行解析,并与规则资料库进行比对,从而对数据封包的行为进行侦测分析;规则资料库内置有正常的数据封包信息和异常的数据封包信息;当比对结果显示,该数据封包具有异常行为时,送出警告档案,然后进行步骤S102;否则送出正常消息;
步骤S102,启动Guardian并读取警告档案,并提取警告档案中的规则并将该规则写入到Iptables;
步骤S103,Snort执行Iptables,产生一个阻挡规则,并对与警告档案相对应的攻击来源进行阻挡。
4.根据权利要求1或3所述的一种适用于服务区智能化管理的云架构数据共享方法,其特征在于,
数据资料具有以下4种执行状态:
N:该数据资料尚未被管理员处理;
B:顺位轮到的组员设备并没有提供该轮的数据资料处理任务,同时,将该组员设备置于待处理队列;
D:在数据资料处理的过程中,管理员将该数据资料委派给另一个管理员;
C:该组员设备本轮的数据资料已经处理完毕,管理员已经将数据资料送出并签章;
管理员具有以下3种授权状态:
R:表示该授权的管理员仅能够读取该数据资料,通过组员设备的数据资料的上传动作开启,该权限仅在该管理员的有效时间区间内生效;
W:表示该授权的管理员能够读取该数据资料,并能写入新的数据资料,该权限仅在该管理员的有效时间区间内生效;
P:此权限已经被禁止;
步骤S2包括以下步骤:
步骤S201,由组员设备申报数据资料或管理员委派而触发,数据资料执行状态为N;若组员设备尚未在工作流的本轮时限内申报数据资料,则执行步骤S202;若管理员无法于在工作流的本轮时限内中完成数据处理,则执行步骤S203;若该数据处理任务已经执行完毕,则执行步骤S207;
步骤S202,由管理员将未在工作流的本轮时限内申报数据资料的组员设备,暂时置于待处理队列,将状态转为B;若管理员无法于在工作流的本轮时限内中完成数据处理,则执行步骤S204;否则执行步骤S206;
步骤S203,前一管理员,将数字资料的处理任务,委派给具有处理权限的后一管理员;当数据处理任务委派给其它管理员后,前一管理员对于接受委派的组员设备的授权状态将由W变为R,缩减其存取权限;数据资料的执行状态,由N转为D;然后执行步骤S205;
步骤S204,前一管理员,将数字资料的处理任务,委派给具有处理权限的后一管理员;当数据处理任务委派给其它管理员后,前一管理员对于接受委派的组员设备的授权状态将由W变为R,缩减其存取权限;数据资料的执行状态,由B转为D;然后执行步骤S205;
步骤S205,接受委派的管理员完成数据处理任务,使得该组员设备的数据资料的执行状态由D转换为B;若数据处理任务已经执行完毕,则执行步骤S206;否者执行步骤S204;
步骤S206,该数据处理任务已经执行完毕,管理员将纪录送出并签章;对于该组员设备,管理员的授权状态将由W变为P,禁止再有其它操作行为;数据资料的执行状态,由B转为C;
步骤S207,该数据处理任务已经执行完毕,管理员将纪录送出并签章;对于该组员设备,管理员的授权状态将由W变为P,禁止再有其它操作行为;数据资料的执行状态,由N转为C。
CN202210186084.7A 2022-02-28 2022-02-28 一种适用于服务区智能化管理的云架构数据共享方法 Active CN114257460B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210186084.7A CN114257460B (zh) 2022-02-28 2022-02-28 一种适用于服务区智能化管理的云架构数据共享方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210186084.7A CN114257460B (zh) 2022-02-28 2022-02-28 一种适用于服务区智能化管理的云架构数据共享方法

Publications (2)

Publication Number Publication Date
CN114257460A CN114257460A (zh) 2022-03-29
CN114257460B true CN114257460B (zh) 2022-05-20

Family

ID=80800056

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210186084.7A Active CN114257460B (zh) 2022-02-28 2022-02-28 一种适用于服务区智能化管理的云架构数据共享方法

Country Status (1)

Country Link
CN (1) CN114257460B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115170132B (zh) * 2022-09-07 2022-12-09 浙江浙商互联信息科技有限公司 适用于高速驿网会员系统的支付方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109670781A (zh) * 2018-12-03 2019-04-23 深圳智慧园区信息技术有限公司 空间资源智慧运营管控系统
TW202205190A (zh) * 2020-07-17 2022-02-01 群光電能科技股份有限公司 智慧建築整合管理系統及其管理方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI505130B (zh) * 2013-09-13 2015-10-21 Univ Nat Cheng Kung Cloud service authorization management method and system for cross-database system
US10719505B2 (en) * 2017-05-17 2020-07-21 International Business Machines Corporation Database server system monitoring
US11171950B1 (en) * 2018-03-21 2021-11-09 Pure Storage, Inc. Secure cloud-based storage system management
CN109508962A (zh) * 2018-12-12 2019-03-22 长治医学院 EDU云DaaS与云校一体的校园信息化架构
CN112671893A (zh) * 2020-12-22 2021-04-16 安徽长泰信息安全服务有限公司 一种数据采集与边缘计算的工业系统
CN112804310B (zh) * 2020-12-31 2023-03-24 河南中盾云安信息科技有限公司 一种面向物联网应用的多链智能安全网关及实现方法
CN113783696A (zh) * 2021-08-14 2021-12-10 西安电子科技大学 物联网感知数据共享交易平台、控制方法、设备、终端

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109670781A (zh) * 2018-12-03 2019-04-23 深圳智慧园区信息技术有限公司 空间资源智慧运营管控系统
TW202205190A (zh) * 2020-07-17 2022-02-01 群光電能科技股份有限公司 智慧建築整合管理系統及其管理方法

Also Published As

Publication number Publication date
CN114257460A (zh) 2022-03-29

Similar Documents

Publication Publication Date Title
Abbas et al. Convergence of blockchain and IoT for secure transportation systems in smart cities
CN109729180B (zh) 全体系智慧社区平台
CN105139139B (zh) 用于运维审计的数据处理方法和装置及系统
CN104166812B (zh) 一种基于独立授权的数据库安全访问控制方法
CN105656903B (zh) 一种Hive平台的用户安全管理系统及应用
CN110443048A (zh) 数据中心查数系统
CN109831327A (zh) 基于大数据分析的ims全业务网络监视智能化运维支撑系统
CN103442354B (zh) 一种移动警务终端安全管控系统
CN104217288A (zh) 社区综合网格安全管理装置和系统
CN102333090A (zh) 一种内控堡垒主机及安全访问内网资源的方法
CN103166794A (zh) 一种具有一体化安全管控功能的信息安全管理方法
CN105868914A (zh) 一种汽车电子健康档案的云管理系统及其管理方法
CN105430000A (zh) 云计算安全管理系统
CN111223195A (zh) 一种城市级智慧停车系统平台
CN114257460B (zh) 一种适用于服务区智能化管理的云架构数据共享方法
CN109636307B (zh) 河长app系统
CN112398859B (zh) 一种基于区域物联网平台的安全控制方法、装置、服务器和存储介质
CN114866346B (zh) 一种基于分散式的密码服务平台
Coelho et al. ROTA: A smart city platform to improve public safety
CN114553471A (zh) 一种租户安全管理系统
CN109150853A (zh) 基于角色访问控制的入侵检测系统及方法
CN108388779A (zh) 一种便携式自动印章机及管理系统,及其管理控制方法
CN114218194A (zh) 数据银行安全系统
CN111861842A (zh) 车联网监控系统和车联网控制系统
CN114826786B (zh) 高速公路收费稽核系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant