CN114884753A - 一种应用于工业互联网云服务平台的数据访问处理方法 - Google Patents

一种应用于工业互联网云服务平台的数据访问处理方法 Download PDF

Info

Publication number
CN114884753A
CN114884753A CN202210808225.4A CN202210808225A CN114884753A CN 114884753 A CN114884753 A CN 114884753A CN 202210808225 A CN202210808225 A CN 202210808225A CN 114884753 A CN114884753 A CN 114884753A
Authority
CN
China
Prior art keywords
data
accessed
access
platform
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210808225.4A
Other languages
English (en)
Other versions
CN114884753B (zh
Inventor
李斌勇
邓显辉
张小辉
宋学江
杨帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Tianma Technology Co ltd
Chengdu University of Information Technology
Original Assignee
Chengdu Tianma Technology Co ltd
Chengdu University of Information Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Tianma Technology Co ltd, Chengdu University of Information Technology filed Critical Chengdu Tianma Technology Co ltd
Priority to CN202210808225.4A priority Critical patent/CN114884753B/zh
Publication of CN114884753A publication Critical patent/CN114884753A/zh
Application granted granted Critical
Publication of CN114884753B publication Critical patent/CN114884753B/zh
Priority to US18/115,013 priority patent/US11722490B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Abstract

本发明公开了一种应用于工业互联网云服务平台的数据访问处理方法,待访问数据的工业设备向平台的数据处理单元发起数据访问请求,并同时上传能标识待访问数据的工业设备的设备标识,数据处理单元根据所述数据访问请求,从溯源单元中检索与待访问数据相匹配的数据上传认证标签,根据数据上传认证标签、设备表示以及数据访问请求,选择对应的访问策略进行处理。本发明可以灵活和智能地根据数据拥有者的需求以及根据平台的实际运行情况来对需要访问的数据进行加工处理;在对数据进行加工处理时,能够很好地调控平台的各项资源来对需要被访问的数据进行加工处理。

Description

一种应用于工业互联网云服务平台的数据访问处理方法
技术领域
本发明涉及工业互联网技术领域,具体的说,涉及一种应用于工业互联网云服务平台的数据访问处理方法。
背景技术
工业互联网是面向基于互联网的工业生产活动。相较于传统互联网,工业互联网在网络连通性、实时性和安全性等方面提出了更高要求,目的是使工业生产实体能够进行高效地协同工作;其次,为了实现智能制造,工业互联网借助于物联网技术感知生产环境,利用大数据技术控制生产过程。相较于传统的物联网和大数据技术,工业互联网侧重于感知、分析与工业生产相关的人、机、物,并强调实体之间自组织自适应的智能化柔性生产。目前,学术界和工业界提出了基于“工业云+终端”的工业互联网解决方案,将弹性的、可共享的资源和业务能力,通过泛在网络,以按需自服务方式,为工业企业提供各种服务,从而实现资源的共享与能力的协同;这种“云端分离”的模式由工业云负责完成所有计算任务,获得决策结果反馈给控制器,再由控制器反馈给终端,最终完成工业控制;然而,这种“云端分离”的工业互联网模式,在面对千级用户万级终端、复杂工业场景感知、TB级数据秒级处理以及毫秒级工控时延等需求情况下,无法保证工业生产决策控制的实时、准确与安全。因此,基于“云端融合”的工业互联网解决方案被提出。“云端融合”的工业互联网是一种通过全面深度感知工业制造过程中生产实体的特性和状态,动态/在线地在工业云(云)和生产实体(端)间进行数据交换和计算分发,进而高效、无缝、透明地协同使用工业互联网平台和终端的计算、存储及网络、平台、数据及用户等资源,以实现网络化、智能化、柔性化工业生产的工业互联网新模式。因此,相比于传统的工业互联网模式,基于“云端融合”的工业互联网模式可以达到工业云与生产实体之间高度协同、功能深度融合、智能开放共享,从而保证工业生产实时、准确与安全的决策与控制,为上层应用提供支撑服务。
工业互联网云平台是传统工业云的延伸发展,是工业互联网应用的重要载体,也是工业全要素链接的枢纽,因此,工业互联网云平台的建设质量决定了工业互联网是否能发挥其本身的效能效用。综上可以看出,相比于基于传统“云端分离”的工业互联网模式下所构建工业互联网云服务平台(下文统一称为“旧工业云服务平台”),基于“云端融合”的工业互联网模型下所构建的工业互联网云服务平台(下文统一称为“新工业云服务平台”)可以实现更为实时和精准地处理数据,以及实现数据的处理分析决策与反馈控制的智能化和柔性化。然而,目前新工业云服务平台的研究仅仅处于初级阶段,不仅缺乏契合工业互联网相关特征的体系结构以及关键技术,而且无法应对未来生产中“感知对象更加复杂、联网实体更加多元、数据处理更加多维度、反馈控制更加智能”等需求。例如,当各类已入驻工业云服务平台的工业设备想要上传自己生成的工业生产数据至平台,往往需要借助工业云服务平台对这类数据进行处理;而在处理这类数据时,不仅需要工业云服务平台具备强大的运算能力,同时还需要工业云服务平台具备“按需处理”的能力;因此,如果一个工业云服务平台只具备单一的数据运算处理能力,或者运算处理数据的手段单一,则不仅无法很好地保证这类数据可以被安全以及便捷的处理,同时也无法很好地满足数据拥有者“按需处理”的需求。
综上所述,新工业云服务平台在认证待接入平台的各类工业设备时存在以下问题:
在处理各类入驻新工业云服务平台的工业设备需要访问的数据时存在:
加工处理数据的手段相对单一;
无法灵活以及智能地根据数据拥有者的需求,以及根据平台的实际运行情况来对需要访问的数据进行加工处理;
在对数据进行加工处理时,无法很好地调控平台的各项资源来对需要被访问的数据进行加工处理;
平台内各设备间的安全协作能力和智能化协作能力弱,这易导致相对计算能力较弱的终端设备在加工或者计算相应的工业生产数据时,出现低效率以及达不到数据处理的既定要求等情况,进而影响平台生产活动的正常进行。
发明内容
本发明提供一种应用于工业互联网云服务平台的数据访问处理方法,以解决背景技术中所提出的问题。
本发明的具体技术方案如下:
一种应用于工业互联网云服务平台的数据访问处理方法,其特征在于,所述方法包括:
步骤1.待访问数据的工业设备向平台的数据处理单元发起数据访问请求,并同时上传能标识待访问数据的工业设备的设备标识;
步骤2.所述数据处理单元根据所述数据访问请求,从溯源单元中检索与待访问数据相匹配的数据上传认证标签;如果成功检索到所述数据上传认证标签,则跳转至步骤3;否则,所述数据处理单元将拒绝待访问数据的工业设备本次的数据访问请求,本次数据访问处理完成;
步骤3.所述数据处理单元根据所述数据上传认证标签中的标签校验码判断所述数据上传认证标签的有效性;如果有效,则跳转至步骤4;否则,所述数据处理单元将拒绝待访问数据的工业设备本次的数据访问请求,同时从所述溯源单元中删除所述数据上传认证标签,本次数据访问处理完成;
步骤4.所述数据处理单元从所述数据上传认证标签中获取待访问数据的数据处理代码和访问控制标识;如果所述数据处理代码为NRP且所述访问控制标识为NULL或GEN,则跳转至步骤5;否则,跳转至步骤7;
步骤5.如果所述访问控制标识为GEN,则跳转至步骤6;否则,待访问数据的工业设备可以根据所述数据上传认证标签中的数据存储地址直接访问待访问数据,本次数据访问处理完成;
步骤6.所述数据处理单元从所述数据上传认证标签的访问策略检索地址位中获取针对待访问数据的访问策略,然后运行基于属性的访问控制功能并通过访问策略来判断待访问数据的工业设备是否拥有访问待访问数据的权限;如果待访问数据的工业设备拥有访问权限,则待访问数据的工业设备根据所述访问权限和待访问数据的数据存储地址访问待访问数据,本次数据访问处理完成;否则,所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,本次数据访问处理完成;
步骤7.所述平台的感知网根据所述设备标识、所述数据上传认证标签以及所述平台当前的实际运行情况,向所述数据处理单元推荐适配待访问数据的工业设备的最优数据访问处理方案;
步骤8.所述数据处理单元根据所述最优数据访问处理方案判断监督执行本次数据访问处理任务的监执对象;如果所述监执对象为所述数据处理单元,则跳转至步骤9;否则,跳转至步骤11;
步骤9.所述数据处理单元根据所述最优数据访问处理方案,协助待访问数据的工业设备安装安全保密通信算法,并在完成安装后,通过所述算法建立起与待访问数据的工业设备之间的临时安全信道;
步骤10.所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述平台的存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略;然后所述数据处理单元根据所述最优数据访问处理方案和所述访问策略,对待访问数据进行解密处理;如果待访问数据解密失败,则判定待访问数据的工业设备无访问权限,所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道,本次数据访问处理完成;否则,所述数据处理单元通过所述临时安全信道将解密后的数据发送给待访问数据的工业设备,并关闭所述临时安全信道,本次数据访问处理完成;
步骤11.如果所述监执对象为待访问数据的工业设备,则跳转至步骤12;否则,跳转至步骤15;
步骤12.所述数据处理单元根据所述最优数据访问处理方案,协助待访问数据的工业设备安装所述安全保密通信算法,并在完成安装后,通过所述算法建立起与待访问数据的工业设备之间的所述临时安全信道;
步骤13.所述数据处理单元在所述最优数据访问处理方案的基础之上,通过所述临时安全信道协助待访问数据的工业设备安装适配待访问数据的解密设施;接下来,所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略,然后通过所述临时安全信道将待访问数据和所述访问策略发送至待访问数据的工业设备;
步骤14.待访问数据的工业设备通过所述解密设施对待访问数据进行解密处理;如果待访问数据的工业设备成功解密待访问数据,则所述数据处理单元判定待访问数据的工业设备访问数据成功,并关闭所述临时安全信道,本次数据访问处理完成;否则,判定待访问数据的工业设备无访问权限,同时所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道,本次数据访问处理完成;
步骤15.所述数据处理单元按照所述最优数据访问处理方案,并结合设备终端候选池中工业设备的具体情况,选择符合条件的设备组建协同计算设备群;组建所述协同计算设备群成功后,所述数据处理单元按照最优数据处理方案,协助所述协同计算设备群和待访问数据的工业设备安装所述安全保密通信算法,并在完成安装后,通过所述算法建立起与所述协同计算设备群和待访问数据的工业设备之间的所述临时安全信道;
步骤16.所述数据处理单元在所述最优数据访问处理方案的基础之上,通过所述临时安全信道协助所述协同计算设备群安装适配待访问数据的所述解密设施;接下来,所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略,然后通过所述临时安全信道将待访问数据和所述访问策略发送至所述协同计算设备群;
步骤17.所述协同计算设备群通过所述解密设施和所述访问策略对待访问数据进行解密处理;如果所述协同计算设备群成功解密待访问数据,则所述协同计算设备群通过所述临时安全信道将所述解密后的数据发送至待访问数据的工业设备;此时所述数据处理单元判定待访问数据的工业设备访问数据成功,并关闭临时安全信道和解散所述协同计算设备群,本次数据访问处理完成;否则,判定待访问数据的工业设备无访问权限;此时所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道和解散所述协同计算设备群,本次数据访问处理完成。
本申请加工处理数据的手段丰富;可以灵活和智能地根据数据拥有者的需求以及根据平台的实际运行情况来对需要访问的数据进行加工处理;在对数据进行加工处理时,能够很好地调控平台的各项资源来对需要被访问的数据进行加工处理;平台内各设备间的安全协作能力和智能化协作能力强,避免相对计算能力较弱的终端设备在加工或者计算相应的工业生产数据时,出现低效率以及达不到数据处理的既定要求等情况,保证平台生产活动的正常进行。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1示出了根据本发明实施例的一种应用于工业互联网云服务平台的数据访问处理方法中的步骤1-6的流程图。
图2示出了根据发明实施例的一种应用于工业互联网云服务平台的数据访问处理方法中的步骤7-12的流程图。
图3示出了根据发明实施例的一种应用于工业互联网云服务平台的数据访问处理方法的中的步骤13-17的流程图。
图4示出了根据发明实施例的一种数据上传认证标签的结构框图。
具体实施方式
下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定发明。
现在结合说明书附图对本发明做进一步的说明。
如图1-3所示,本申请实施例提供了一种应用于工业互联网云服务平台的数据访问处理方法,所述方法包括:
步骤1.待访问数据的工业设备向平台的数据处理单元发起数据访问请求,并同时上传能标识待访问数据的工业设备的设备标识;
步骤2.所述数据处理单元根据所述数据访问请求,从溯源单元中检索与待访问数据相匹配的数据上传认证标签;如果成功检索到所述数据上传认证标签,则跳转至步骤3;否则,所述数据处理单元将拒绝待访问数据的工业设备本次的数据访问请求,本次数据访问处理完成;
步骤3.所述数据处理单元根据所述数据上传认证标签中的标签校验码判断所述数据上传认证标签的有效性;如果有效,则跳转至步骤4;否则,所述数据处理单元将拒绝待访问数据的工业设备本次的数据访问请求,同时从所述溯源单元中删除所述数据上传认证标签,本次数据访问处理完成;
步骤4.所述数据处理单元从所述数据上传认证标签中获取待访问数据的数据处理代码和访问控制标识;如果所述数据处理代码为NRP且所述访问控制标识为NULL或GEN,则跳转至步骤5;否则,跳转至步骤7;
步骤5.如果所述访问控制标识为GEN,则跳转至步骤6;否则,待访问数据的工业设备可以根据所述数据上传认证标签中的数据存储地址直接访问待访问数据,本次数据访问处理完成;
步骤6.所述数据处理单元从所述数据上传认证标签的访问策略检索地址位中获取针对待访问数据的访问策略,然后运行基于属性的访问控制功能并通过访问策略来判断待访问数据的工业设备是否拥有访问待访问数据的权限;如果待访问数据的工业设备拥有访问权限,则待访问数据的工业设备根据所述访问权限和待访问数据的数据存储地址访问待访问数据,本次数据访问处理完成;否则,所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,本次数据访问处理完成;
步骤7.所述平台的感知网根据所述设备标识、所述数据上传认证标签以及所述平台当前的实际运行情况,向所述数据处理单元推荐适配待访问数据的工业设备的最优数据访问处理方案;
步骤8.所述数据处理单元根据所述最优数据访问处理方案判断监督执行本次数据访问处理任务的监执对象;如果所述监执对象为所述数据处理单元,则跳转至步骤9;否则,跳转至步骤11;
步骤9.所述数据处理单元根据所述最优数据访问处理方案,协助待访问数据的工业设备安装安全保密通信算法,并在完成安装后,通过所述算法建立起与待访问数据的工业设备之间的临时安全信道;
步骤10.所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述平台的存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略;然后所述数据处理单元根据所述最优数据访问处理方案和所述访问策略,对待访问数据进行解密处理;如果待访问数据解密失败,则判定待访问数据的工业设备无访问权限,所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道,本次数据访问处理完成;否则,所述数据处理单元通过所述临时安全信道将所述解密后的数据发送给待访问数据的工业设备,并关闭所述临时安全信道,本次数据访问处理完成;
步骤11.如果所述监执对象为待访问数据的工业设备,则跳转至步骤12;否则,跳转至步骤15;
步骤12.所述数据处理单元根据所述最优数据访问处理方案,协助待访问数据的工业设备安装所述安全保密通信算法,并在完成安装后,通过所述算法建立起与待访问数据的工业设备之间的所述临时安全信道;
步骤13.所述数据处理单元在所述最优数据访问处理方案的基础之上,通过所述临时安全信道协助待访问数据的工业设备安装适配待访问数据的解密设施;接下来,所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略,然后通过所述临时安全信道将待访问数据和所述访问策略发送至待访问数据的工业设备;
步骤14.待访问数据的工业设备通过所述解密设施对待访问数据进行解密处理;如果待访问数据的工业设备成功解密待访问数据,则所述数据处理单元判定待访问数据的工业设备访问数据成功,并关闭所述临时安全信道,本次数据访问处理完成;否则,判定待访问数据的工业设备无访问权限,同时所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道,本次数据访问处理完成;
步骤15.所述数据处理单元按照所述最优数据访问处理方案,并结合设备终端候选池中工业设备的具体情况,选择符合条件的设备组建协同计算设备群;组建所述协同计算设备群成功后,所述数据处理单元按照最优数据处理方案,协助所述协同计算设备群和待访问数据的工业设备安装所述安全保密通信算法,并在完成安装后,通过所述算法建立起与所述协同计算设备群和待访问数据的工业设备之间的所述临时安全信道;
步骤16.所述数据处理单元在所述最优数据访问处理方案的基础之上,通过所述临时安全信道协助所述协同计算设备群安装适配待访问数据的所述解密设施;接下来,所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略,然后通过所述临时安全信道将待访问数据和所述访问策略发送至所述协同计算设备群;
步骤17.所述协同计算设备群通过所述解密设施和所述访问策略对待访问数据进行解密处理;如果所述协同计算设备群成功解密待访问数据,则所述协同计算设备群通过所述临时安全信道将所述解密后的数据发送至待访问数据的工业设备;此时所述数据处理单元判定待访问数据的工业设备访问数据成功,并关闭临时安全信道和解散所述协同计算设备群,本次数据访问处理完成;否则,判定待访问数据的工业设备无访问权限;此时所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道和解散所述协同计算设备群,本次数据访问处理完成。
在一些实施例中,所述平台为本申请所提的基于“云端融合”的工业互联网所构建的工业云服务平台。
在一些实施例中,所述数据处理单元为专门负责调控所述平台中的各类计算资源和方案资源对所述平台内的各类数据进行访问控制以及加工处理的数据处理中枢;其中,所述数据处理单元又包括了访问控制模块、数据加工处理模块和数据脱敏处理模块;而所述访问控制模块负责运行各类访问控制功能以及存储所述访问策略;所述数据加工处理模块负责对数据进行各类加工处理或者负责协调所述平台内的各类计算资源和方案资源对数据进行加工处理;所述数据脱敏处理模块负责对所有上传至所述数据处理单元的所述待上传数据进行脱敏处理。
在一些实施例中,所述溯源单元为所述平台中专门负责存储历史所述数据上传认证标签和历史所述最优数据上传方案的具体细节的票据存储单元。
在一些实施例中,所述数据参数标识包括所述待上传数据的数据id、数据名称、数据大小、数据类型以及数据来源等能标识所述待上传数据但不会泄露各类敏感性信息的参数集合。
在一些实施例中,所述设备标识为一种可以向所述平台提供,且难以伪造的可靠工业设备标识;其中,所述设备标识的合法参数包括设备名称、设备型号、设备序列号、设备的生产厂商、出厂日期、设备的理论计算能力、设备拥有者id、设备拥有者名称、设备实际运营的具体地理位置等信息。
在一些实施例中,所述数据处理代码为一种数据处理项目执行标识符,其合法有效参数包括:NPR、EP和EAP;其中,NPR标识所述待上传数据在上传至所述平台的存储单元前,除了需要进行所述脱敏处理外,无需进行额外的数据处理操作;EP标识所述待上传数据在上传至所述平台的存储单元前,首先需要进行所述脱敏处理,其次需要在所述最优数据上传方案的指导下进行加密处理,最后再由所述数据处理单元将所述加密处理后的数据上传至所述平台的存储单元;而EAP则是标识所述待上传数据在上传至所述平台的存储单元前,首先需要进行所述脱敏处理,其次需要按照所述数据上传请求,以及所述最优数据上传处理方案对所述待上传数据进行所述运算加工以及加密处理,最后再由所述数据处理单元将处理完毕的数据上传至所述平台的存储单元。
在一些实施例中,所述感知网是一种基于知识图谱嵌入的个性化推荐技术,且可以智能化地向所述平台的数据处理单元推荐适配待访问数据的工业设备的所述最优数据访问处理方案的数据处理方案推荐单元;其中,所述感知网的数据访问处理模块在构建前期已经大量融入了人工基于知识图谱技术所构建的数据访问处理方案知识图谱,在进一步结合所述数据处理方案推荐单元的情况下,可以根据所述数据访问请求、所述设备标识和所述平台当前的实际运行情况来向所述数据处理单元精准推荐数据访问处理方案;与此同时,待访问数据在被访问的过程中所产生的可以用于更新所述感知网中的知识图谱结构数据的数据也将在访问操作完成后实时更新至所述的感知网中,确保所述感知网所推荐的所述最优数据访问处理方案更符合当前实际数据访问场景。
在一些实施例中,所述最优数据访问处理方案为所述感知网根据所述数据访问请求、所述设备标识和所述平台当前的实际运行情况,向所述数据处理单元推荐的针对待访问数据的工业设备的更为匹配、便捷、安全且符合实际数据访问场景的数据访问处理方案。需要注意的是,首先,所述最优数据访问处理方案主要是用于指导所述数据处理单元的数据加工处理模块构建符合待访问数据的工业设备的数据访问处理方案;其次,所述数据访问处理方案在构建时,主要参考了待访问数据在上传所述平台时所使用的所述最优数据上传处理方案,以及其中的数据处理加工算法;即通过所述最优数据上传处理方案以及其中的数据处理加工算法,所述感知网可以迅速匹配与之相对应的数据处理方案(如所述最优数据上传处理方案推荐所述数据处理单元使用了加密算法a,则所述感知网在必定会通过所述最优数据访问处理方案,向所述数据处理单元推荐与所述加密算法a相配对的解密算法b),进而保证待访问数据在被正确无误地处理后,可以被待访问数据的工业设备正确、安全以及合法地访问;其次,当所述数据访问处理方案的监执对象是所述数据处理单元时,则由所述数据处理单元根据所述最优数据访问处理方案运行所述用于数据访问处理的数据加工处理算法,进而确保待访问数据可以被正确、安全以及合法地访问;当所述数据访问处理方案的监执对象是所述待访问数据的工业设备时,则由所述数据处理单元在所述最优数据访问处理方案的基础之上,协助待访问数据的工业设备安装运行所述用于数据访问处理的数据加工处理算法,进而确保待访问数据可以被正确、安全以及合法地访问;但当所述数据访问处理方案的监执对象是所述协同计算设备群时,则需要所述数据处理单元根据最优数据访问处理方案安排所述协同计算设备群安装并运行所述用于数据访问处理的数据加工处理算法,进而在实现协助所述数据处理单元对待访问数据进行加工处理的同时,确保待访问数据可以被正确、安全以及合法地访问。
在一些实施例中,所述协同计算设备群是一个在符合平台当前实际运行情况的条件下,由所述数据处理单元所构建,且用于协助所述平台以及待访问数据的工业设备完成最优数据访问处理方案内容的工业设备集合;而所述工业设备即为所述感知网在当前平台运行环境、所述待上传数据的工业设备的设备情况,以及数据上传处理内容和难度的基础之上,从所述平台的设备终端候选池中所筛选出的具备一定计算能力、信誉值达到所述平台所设定的阈值、负载压力相对均衡、所处网络环境相对安全且稳定,以及在得到工业设备所有者许可等众多因素条件下的工业设备;而所述设备终端候选池包括多个可以作为协同计算设备群中的工业设备,进而为所述平台提供服务的设备集合。
在一些实施例中,所述协同计算设备群的工业设备数量可以是一台,也有可能是多台,而实际的设备数量也将根据所述最优数据上传处理方案来决定。而当所述协同计算设备群中的某个设备出现宕机或者下线等故障情况时,所述数据处理单元将根据所述最优数据访问处理方案,以及当前所述协同计算设备群内的实时运行情况,重新安排与故障设备能力相当的救援设备加入所述协同计算设备群内,并将原先安排给所述故障设备的那部分任务重新分配给所述救援设备执行,进而确保所述最优数据访问处理方案能被正确无误的执行。与此同时,如果所述协同计算设备群内的设备有退出所述平台的需求时,则需要将目前未执行完成的任务执行完成后才可以退出,且提交退出申请后,所述平台将即刻把待退出平台的工业设备从设备终端候选池中踢出,并不再分配任务。
在一些实施例中,所述数据上传认证标签是一种用于记录所述待上传数据的基本信息以及加工细节的票据凭证;其中,所述数据上传认证标签由标签头部和数据存储部组成;
具体地,如图4所示,所述标签头部由所述数据上传认证标签的标签id(占16位)、所述待上传数据的数据id(占16位)、所述待上传数据的数据名称(占64位)、所述待上传数据的数据来源设备的设备序列号(占64位)、所述待上传数据上传所述平台时的时间(占16位)、所述数据处理代码(占32位)、所述最优数据上传处理方案的处理方案id(占32位)、所述待上传数据所使用的访问控制功能的访问控制标识(占64位)以及所述数据上传认证标签的标签校验码(占16位)组成;而所述数据存储部由存储所述经处理后的待上传数据在所述存储单元的存储地址的数据存储地址位(数据占位可扩展)、存储所述监执对象的id(如果所述监执对象为所述数据处理单元,则所述监制对象的id表示为所述数据处理单元的标识:DPU;否则,所述监制对象的id表示为工业设备的设备序列号)的监执对象id位(数据占位可扩展)以及存储所述访问策略在所述数据处理单元的访问控制模块中的检索地址的访问策略检索地址位(数据占位可扩展)(可选)组成。需要注意的是,首先,所述数据上传认证标签的标签id为唯一标识所述数据上传认证标签的编号,所述编号在所述待上传数据上传所述存储单元前伴随着新的所述数据上传认证标签生成;其次,所述访问控制标识的合法值包括:NULL、GEN和UNCON;其中,所述NULL标识所述待上传数据在上传时没有使用任何访问控制功能,即该数据可以被直接访问,访问对象无需任何访问权限,此时所述访问策略检索地址位的填充值为空;所述GEN标识所述待上传数据在上传时,需要所述数据处理单元根据所述数据上传请求和基于属性的访问控制功能的运行方法来生成可以应用在所述基于属性的访问控制功能中的访问策略,并上传至所述数据处理单元的访问控制模块中存储,进而待访问数据在被访问时,所述数据处理单元的访问控制模块需要运行所述基于属性的访问控制功能来启动访问控制功能,然后在所述访问策略的基础之上来评估所述访问对象是否具备访问权限;此时所述访问策略检索地址位填充的是所述访问策略在所述数据处理单元的访问控制模块中的检索地址;而所述UNCON标识所述待上传数据在上传时,需要运行基于密码学技术的访问控制功能来同时实现对所述待上传数据的加密处理以及访问控制,此时所述数据处理单元需要根据所述数据上传请求,以及所述最优数据上传方案中所推荐的,且可以用于到本次数据上传请求的基于密码学技术的访问控制功能来生成所述访问策略,进而保证待访问数据在被访问时,可以根据所述访问策略,以及在运行了正确的基于密码学技术的访问控制功能的情况下对待访问数据进行解密操作,从而根据解密结果判定访问对象是否具备访问权限;此时所述访问策略检索地址位填充的是所述访问策略在所述数据处理单元的访问控制模块中的检索地址;最重要的是,当所述数据处理代码为NAP时,所述访问控制标识的填充值可以为NULL或GEN,不能为UNCON;而当所述数据处理代码为EP或EAP时,所述访问控制标识的填充值只能为UNCON;
在一些实施例中,所述信誉值是一种衡量所述设备终端候选池中的工业设备在入驻 所述平台期间是否具备可靠性的度量值,且主要是对所述已入驻的工业设备在入驻期间对所 述平台的贡献值、设备稳定值以及被评价指数这三类指标进行综合评估所得出的。现假设某个 所述设备终端候选池中的工业设备的设备序列号为
Figure 909246DEST_PATH_IMAGE001
,则所述设备
Figure 668255DEST_PATH_IMAGE001
的信誉值
Figure 141961DEST_PATH_IMAGE002
的计算公式为:
Figure 720841DEST_PATH_IMAGE003
其中,
Figure 672617DEST_PATH_IMAGE004
Figure 551711DEST_PATH_IMAGE005
Figure 196319DEST_PATH_IMAGE006
以及
Figure 387129DEST_PATH_IMAGE007
为权重因子, 且
Figure 17962DEST_PATH_IMAGE008
Figure 345038DEST_PATH_IMAGE009
表示所述设备
Figure 35913DEST_PATH_IMAGE010
在入驻期间对所述平台的贡献值;
Figure 979598DEST_PATH_IMAGE011
表示所述设备
Figure 414122DEST_PATH_IMAGE010
在入驻期间的设备稳定值;而
Figure 861284DEST_PATH_IMAGE012
则表示所述设备
Figure 582115DEST_PATH_IMAGE010
在入 驻期间的被评价指数;
具体地,所述贡献值
Figure 888463DEST_PATH_IMAGE013
主要是对所述设备
Figure 720152DEST_PATH_IMAGE010
在入驻期间所上传的工业生 产数据被所述平台内的其它工业设备或者用户所采纳使用的情况,以及入驻期间作为辅助 计算设备群或协同计算设备群中的设备之一,协助所述平台执行相应任务的情况进行评估 所得出的。因此,所述设备
Figure 448853DEST_PATH_IMAGE010
的贡献值
Figure 340586DEST_PATH_IMAGE014
的计算公式为:
Figure 993284DEST_PATH_IMAGE015
其中,所述
Figure 769610DEST_PATH_IMAGE016
;所述
Figure 925785DEST_PATH_IMAGE017
中的
Figure 129364DEST_PATH_IMAGE018
表示所述设备
Figure 269359DEST_PATH_IMAGE010
所上 传的工业生产数据被所述平台内的其它工业设备或者用户采纳并使用的情况;而
Figure 849376DEST_PATH_IMAGE019
表示所述设备
Figure 125636DEST_PATH_IMAGE010
在入驻期间作为辅助计算设备群或协同计算设备群中的设备 之一,协助所述平台执行相应任务的情况;
Figure 624751DEST_PATH_IMAGE020
Figure 127407DEST_PATH_IMAGE021
为权重因子,且
Figure 104591DEST_PATH_IMAGE022
具体地,所述
Figure 376303DEST_PATH_IMAGE023
Figure 46319DEST_PATH_IMAGE024
的计算公式为:
Figure 895326DEST_PATH_IMAGE025
其中,所述
Figure 551567DEST_PATH_IMAGE026
;所述
Figure 67999DEST_PATH_IMAGE018
中的
Figure 784282DEST_PATH_IMAGE027
表示所述设备
Figure 120585DEST_PATH_IMAGE010
在入驻所述平台期间 上传的工业生产数据的总量;
Figure 843166DEST_PATH_IMAGE028
为数量阈值,其作用主要是防止低信任和无信任的工业设 备恶意刷高信誉值;
Figure 948525DEST_PATH_IMAGE029
表示在所述总量为
Figure 835710DEST_PATH_IMAGE027
的工业生产数据中的第
Figure 659309DEST_PATH_IMAGE030
个工业生产 数据被其它工业设备或者用户采纳且反馈应用成功的比例;
Figure 781986DEST_PATH_IMAGE031
为权重因子。
具体地,所述
Figure 882797DEST_PATH_IMAGE032
Figure 65517DEST_PATH_IMAGE033
的计算公式为:
Figure 517358DEST_PATH_IMAGE034
其中,所述
Figure 178147DEST_PATH_IMAGE035
;所述
Figure 133464DEST_PATH_IMAGE036
中的
Figure 487085DEST_PATH_IMAGE037
表示所述设备
Figure 285277DEST_PATH_IMAGE038
作为辅 助计算设备群或协同计算设备群中的设备之一去协助所述平台执行相应任务的任务总数 量;而
Figure 156281DEST_PATH_IMAGE039
则表示所述设备
Figure 825160DEST_PATH_IMAGE038
成功完成所述协助任务的任务数量;
Figure 490627DEST_PATH_IMAGE040
Figure 510536DEST_PATH_IMAGE041
为成功 任务数量阈值。
具体地,所述设备稳定指标
Figure 654073DEST_PATH_IMAGE042
是一种用于衡量所述设备
Figure 708616DEST_PATH_IMAGE038
在处理所述 平台所安排的各类业务时是否可以稳健地执行的标识值;其中,所述设备稳定指标主要是 根据所述设备
Figure 404040DEST_PATH_IMAGE038
当前所处的网络环境在当前信誉值评估大周期内的稳定程度,以及所述设 备
Figure 783681DEST_PATH_IMAGE038
在当前信誉值评估大周期内的设备健康程度来进行评估而得到的。因此,所述设备
Figure 855542DEST_PATH_IMAGE038
的 设备稳定指标
Figure 639959DEST_PATH_IMAGE043
的计算公式为:
Figure 506283DEST_PATH_IMAGE044
其中,
Figure 641730DEST_PATH_IMAGE045
Figure 986123DEST_PATH_IMAGE046
Figure 15259DEST_PATH_IMAGE047
为权重因子,且
Figure 662272DEST_PATH_IMAGE048
Figure 409648DEST_PATH_IMAGE049
表示所述设备
Figure 557733DEST_PATH_IMAGE038
当前所处的网络环境在当前信誉值评估大周期内的稳定程度;
Figure 316742DEST_PATH_IMAGE050
表示 所述设备
Figure 524869DEST_PATH_IMAGE038
在当前信誉值评估大周期内的设备健康程度;
具体地,所述
Figure 369328DEST_PATH_IMAGE051
的计算公式为:
Figure 55525DEST_PATH_IMAGE052
其中,
Figure 59253DEST_PATH_IMAGE053
表示所述设备
Figure 48068DEST_PATH_IMAGE038
当前所处网络在当前信誉值评估大周期内处于网络 延时小、丢包率低、网络抖动小且未遭受任何网络攻击的环境下,此时所述
Figure 504458DEST_PATH_IMAGE054
Figure 994345DEST_PATH_IMAGE055
表示 所述设备
Figure 727946DEST_PATH_IMAGE038
当前所处的网络环境在当前信誉值评估大周期内未遭受任何网络攻击,但出现 了一定程度的网络抖动和丢包的情况,但不影响所述设备
Figure 543455DEST_PATH_IMAGE038
在所述平台内进行正常的工业 生产活动,此时所述
Figure 93997DEST_PATH_IMAGE056
Figure 387575DEST_PATH_IMAGE057
表示所述设备
Figure 975683DEST_PATH_IMAGE038
当前所处网络环境在当前信誉值评估 大周期内未遭受任何网络攻击,但在多个时间点出现了严重的网络抖动和丢包情况,进而 一定程度上影响到了所述设备
Figure 696514DEST_PATH_IMAGE038
在所述平台内进行正常的工业生产活动,此时所述
Figure 861916DEST_PATH_IMAGE058
Figure 834551DEST_PATH_IMAGE059
表示所述设备
Figure 136220DEST_PATH_IMAGE038
当前所处的网络环境在当前信誉值评估大周期内未遭受 任何网络攻击,但在多个时间段内出现了持续且严重的网络抖动和丢包情况,进而导致所 述设备
Figure 293532DEST_PATH_IMAGE038
无法在所述平台内进行正常的工业生产活动,此时所述
Figure 87175DEST_PATH_IMAGE060
Figure 456977DEST_PATH_IMAGE061
表示所 述设备
Figure 878731DEST_PATH_IMAGE038
在当前信誉值评估大周期内遭受了网络攻击,进而导致设备出现了持续的宕机下 线或者向所述平台发送了危害平台安全的恶意信息等危害所述平台安全的情况,此时
Figure 82310DEST_PATH_IMAGE062
;需要注意的是,当所述
Figure 956725DEST_PATH_IMAGE062
时,所述设备
Figure 536742DEST_PATH_IMAGE038
将即刻被踢出所述设备终端候选池, 且在入驻期间,所述设备
Figure 813003DEST_PATH_IMAGE038
将不再被入选所述设备终端候选池中。
具体地,所述
Figure 312117DEST_PATH_IMAGE063
的值由所述设备
Figure 549195DEST_PATH_IMAGE038
的拥有者对所述设备
Figure 526378DEST_PATH_IMAGE038
的实际运行以及 保障情况进行综合评价而得出的,且在入驻期间,所述设备
Figure 922724DEST_PATH_IMAGE038
的拥有者需要在所述平台所规 定的上传周期内定时上传
Figure 468106DEST_PATH_IMAGE064
,以及时更新旧的
Figure 317113DEST_PATH_IMAGE064
;如果没有及时上传,那么在这一阶段的 信誉值评估大周期中,所述
Figure 970424DEST_PATH_IMAGE065
,并只能在下一个信誉值评估大周期中才能更新所述
Figure 486856DEST_PATH_IMAGE066
具体地,所述被评价指数
Figure 62194DEST_PATH_IMAGE067
是一种根据所述设备
Figure 539443DEST_PATH_IMAGE038
在入驻所述平台期间所受到 的其它工业设备或者用户的直接评价来进行计算并得出的评价指标,其计算公式为:
Figure 124008DEST_PATH_IMAGE068
其中,
Figure 104733DEST_PATH_IMAGE069
Figure 116552DEST_PATH_IMAGE070
表示所述设备
Figure 815517DEST_PATH_IMAGE038
在入驻所述平台期间所受到的其它工业 设备或用户评价的总数;
Figure 938194DEST_PATH_IMAGE071
表示计算阈值,其作用在于防止恶意、低诚信以及无诚信的工 业设备勾结其它工业设备或者用户通过零星的高评价值来提高所述被评价指数
Figure 898060DEST_PATH_IMAGE072
Figure 956146DEST_PATH_IMAGE073
表示工业设备(用户)
Figure 267042DEST_PATH_IMAGE074
给予所述设备
Figure 193409DEST_PATH_IMAGE038
的评价;
Figure 883148DEST_PATH_IMAGE075
为增长限制因子;
Figure 502348DEST_PATH_IMAGE076
代 表交易时间退化因子,其计算公式为:
Figure 34960DEST_PATH_IMAGE077
具体地,当所述信誉值
Figure 374806DEST_PATH_IMAGE078
时,表示所述设备
Figure 309264DEST_PATH_IMAGE038
处于正常 信誉水平;当所述信誉值
Figure 974732DEST_PATH_IMAGE079
时,表示所述设备
Figure 729061DEST_PATH_IMAGE038
处于低信 誉水平,此时所述平台也将根据信誉水平的不同降低所述设备
Figure 997231DEST_PATH_IMAGE038
入选辅助计算设备群或协 同计算设备群的概率,只有当所述设备
Figure 924211DEST_PATH_IMAGE038
的信誉水平提高时,所述入选辅助计算设备群或协 同计算设备群的概率才会被提高,进而到达被入选的正常概率水平;而当所述信誉值
Figure 619635DEST_PATH_IMAGE080
时,则表示所述设备
Figure 126840DEST_PATH_IMAGE038
处于无信誉水平,此时所述平台将 即刻把所述设备
Figure 74067DEST_PATH_IMAGE038
踢出所述设备终端候选池,且在入驻期间,所述设备
Figure 983117DEST_PATH_IMAGE038
将不再被入选所述 设备终端候选池中。
需要注意的是,首先,所述信誉值评估大周期即为所述入驻所述平台的工业设备 的实际设备维保期,且由所述设备的所有者在所述设备入驻所述平台时一并上报所述平 台,并同时上报所述设备当前的实际运行及设备维保情况,即所述
Figure 724808DEST_PATH_IMAGE081
;此时,所述平台将根 据所述设备的所有者所上传的所述实际设备维保期,计算所述设备的信誉值评估大周期; 因此,所述设备在所述信誉值评估大周期内可能会被所述平台进行多次的信誉评估,但所 述设备的值
Figure 719309DEST_PATH_IMAGE081
则在这一个信誉值评估大周期内不会变,只有这一阶段的信誉值评估大周 期结束并进入下一阶段的所述信誉值评估大周期时,所述设备的值
Figure 470227DEST_PATH_IMAGE081
才会根据所述设备 的所有者所上报的所述设备当前的实际运行及设备维保情况来进行更新。与此同时,不同 设备之间,其所述信誉值评估大周期可能也有所不同,长短不一;其次,所述被评价指数
Figure 233784DEST_PATH_IMAGE082
的评价对象必须是与被评估对象建立过协作关系的工业设备或用户。
以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种应用于工业互联网云服务平台的数据访问处理方法,其特征在于,所述方法包括:
步骤1.待访问数据的工业设备向平台的数据处理单元发起数据访问请求,并同时上传能标识待访问数据的工业设备的设备标识;
步骤2.所述数据处理单元根据所述数据访问请求,从溯源单元中检索与待访问数据相匹配的数据上传认证标签;如果成功检索到所述数据上传认证标签,则跳转至步骤3;否则,所述数据处理单元将拒绝待访问数据的工业设备本次的数据访问请求,本次数据访问处理完成;
步骤3.所述数据处理单元根据所述数据上传认证标签中的标签校验码判断所述数据上传认证标签的有效性;如果有效,则跳转至步骤4;否则,所述数据处理单元将拒绝待访问数据的工业设备本次的数据访问请求,同时从所述溯源单元中删除所述数据上传认证标签,本次数据访问处理完成;
步骤4.所述数据处理单元从所述数据上传认证标签中获取待访问数据的数据处理代码和访问控制标识;如果所述数据处理代码为NRP且所述访问控制标识为NULL或GEN,则跳转至步骤5;否则,跳转至步骤7;
步骤5.如果所述访问控制标识为GEN,则跳转至步骤6;否则,待访问数据的工业设备根据所述数据上传认证标签中的数据存储地址直接访问待访问数据,本次数据访问处理完成;
步骤6.所述数据处理单元从所述数据上传认证标签的访问策略检索地址位中获取针对待访问数据的访问策略,然后运行基于属性的访问控制功能并通过访问策略来判断待访问数据的工业设备是否拥有访问待访问数据的权限;如果待访问数据的工业设备拥有访问权限,则待访问数据的工业设备根据所述访问权限和待访问数据的数据存储地址访问待访问数据,本次数据访问处理完成;否则,所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,本次数据访问处理完成;
步骤7.所述平台的感知网根据所述设备标识、所述数据上传认证标签以及所述平台当前的实际运行情况,向所述数据处理单元推荐适配待访问数据的工业设备的最优数据访问处理方案;
步骤8.所述数据处理单元根据所述最优数据访问处理方案判断监督执行本次数据访问处理任务的监执对象;如果所述监执对象为所述数据处理单元,则跳转至步骤9;否则,跳转至步骤11;
步骤9.所述数据处理单元根据所述最优数据访问处理方案,协助待访问数据的工业设备安装安全保密通信算法,并在完成安装后,通过所述算法建立起与待访问数据的工业设备之间的临时安全信道;
步骤10.所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述平台的存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略;然后所述数据处理单元根据所述最优数据访问处理方案和所述访问策略,对待访问数据进行解密处理;如果待访问数据解密失败,则判定待访问数据的工业设备无访问权限,所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道,本次数据访问处理完成;否则,所述数据处理单元通过所述临时安全信道将解密后的数据发送给待访问数据的工业设备,并关闭所述临时安全信道,本次数据访问处理完成;
步骤11.如果所述监执对象为待访问数据的工业设备,则跳转至步骤12;否则,跳转至步骤15;
步骤12.所述数据处理单元根据所述最优数据访问处理方案,协助待访问数据的工业设备安装所述安全保密通信算法,并在完成安装后,通过所述算法建立起与待访问数据的工业设备之间的所述临时安全信道;
步骤13.所述数据处理单元在所述最优数据访问处理方案的基础之上,通过所述临时安全信道协助待访问数据的工业设备安装适配待访问数据的解密设施;接下来,所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略,然后通过所述临时安全信道将待访问数据和所述访问策略发送至待访问数据的工业设备;
步骤14.待访问数据的工业设备通过所述解密设施对待访问数据进行解密处理;如果待访问数据的工业设备成功解密待访问数据,则所述数据处理单元判定待访问数据的工业设备访问数据成功,并关闭所述临时安全信道,本次数据访问处理完成;否则,判定待访问数据的工业设备无访问权限,同时所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道,本次数据访问处理完成;
步骤15.所述数据处理单元按照所述最优数据访问处理方案,并结合设备终端候选池中工业设备的具体情况,选择符合条件的设备组建协同计算设备群;组建所述协同计算设备群成功后,所述数据处理单元按照最优数据处理方案,协助所述协同计算设备群和待访问数据的工业设备安装所述安全保密通信算法,并在完成安装后,通过所述算法建立起与所述协同计算设备群和待访问数据的工业设备之间的所述临时安全信道;
步骤16.所述数据处理单元在所述最优数据访问处理方案的基础之上,通过所述临时安全信道协助所述协同计算设备群安装适配待访问数据的所述解密设施;接下来,所述数据处理单元根据所述数据上传认证标签的数据存储地址位和访问策略检索地址位,分别从所述存储单元和所述数据处理单元的访问控制模块中获取待访问数据和所述访问策略,然后通过所述临时安全信道将待访问数据和所述访问策略发送至所述协同计算设备群;
步骤17.所述协同计算设备群通过所述解密设施和所述访问策略对待访问数据进行解密处理;如果所述协同计算设备群成功解密待访问数据,则所述协同计算设备群通过所述临时安全信道将所述解密后的数据发送至待访问数据的工业设备;此时所述数据处理单元判定待访问数据的工业设备访问数据成功,并关闭临时安全信道和解散所述协同计算设备群,本次数据访问处理完成;否则,判定待访问数据的工业设备无访问权限;此时所述数据处理单元拒绝待访问数据的工业设备本次的数据访问请求,并关闭所述临时安全信道和解散所述协同计算设备群,本次数据访问处理完成。
2.根据权利要求1所述的方法,其特征在于,所述溯源单元为所述平台中专门负责存储历史数据上传认证标签和历史最优数据上传方案的具体细节的票据存储单元。
3.根据权利要求1所述的方法,其特征在于,所述设备标识为向所述平台提供的设备标识;所述设备标识至少包括设备名称、设备型号、设备序列号、设备的生产厂商、出厂日期、设备的理论计算能力、设备拥有者id、设备拥有者名称、设备实际运营的地理位置。
4.根据权利要求1所述的方法,其特征在于,所述数据处理单元包括访问控制模块、数据加工处理模块和数据脱敏处理模块;所述访问控制模块负责运行各类访问控制功能以及存储所述访问策略;所述数据加工处理模块负责对数据进行各类加工处理或者负责协调所述平台内的各类计算资源和方案资源对数据进行加工处理;所述数据脱敏处理模块负责对所有上传至所述数据处理单元的待上传数据进行脱敏处理。
5.根据权利要求4所述的方法,其特征在于,所述数据处理代码为一种数据处理项目执行标识符,包括:NPR、EP和EAP;其中,
NPR标识所述待上传数据在上传至所述平台的存储单元前,除了需要进行脱敏处理外,无需进行额外的数据处理操作;
EP标识所述待上传数据在上传至所述平台的存储单元前,首先需要进行脱敏处理,其次需要在历史最优数据上传方案的指导下进行加密处理,最后再由所述数据处理单元将加密处理后的数据上传至所述平台的存储单元;
EAP标识所述待上传数据在上传至所述平台的存储单元前,首先需要进行脱敏处理,其次需要按照数据上传请求,以及历史最优数据上传处理方案对所述待上传数据进行运算加工以及加密处理,最后再由所述数据处理单元将处理完毕的数据上传至所述平台的存储单元。
6.根据权利要求1所述的方法,其特征在于,所述感知网是向所述平台的数据处理单元推荐适配待访问数据的工业设备的所述最优数据访问处理方案的数据处理方案推荐单元;其中,所述感知网的数据访问处理模块在构建前期大量融入人工基于知识图谱技术所构建的数据访问处理方案知识图谱,在进一步结合所述数据处理方案推荐单元的情况下,根据所述数据访问请求、所述设备标识和所述平台当前的实际运行情况来向所述数据处理单元精准推荐数据访问处理方案;与此同时,待访问数据在被访问的过程中所产生的可以用于更新所述感知网中的知识图谱结构数据的数据也将在访问操作完成后实时更新至所述的感知网中,以确保所述感知网所推荐的所述最优数据访问处理方案更符合当前实际数据访问场景。
7.根据权利要求4所述的方法,其特征在于,所述协同计算设备群是一个在符合平台当前实际运行情况的条件下,由所述数据处理单元所构建,且用于协助所述平台以及所述待上传数据的工业设备完成最优数据上传处理方案内容的工业设备集合;所述工业设备为所述感知网在当前平台运行环境、所述待上传数据的工业设备的设备情况,以及数据上传处理内容和难度的基础之上,从所述平台的设备终端候选池中所筛选出的信誉值达到所述平台所设定的阈值以及在得到工业设备所有者许可的工业设备;所述设备终端候选池包括多个能够作为协同计算设备群中的工业设备。
8.根据权利要求7所述的方法,其特征在于,所述数据上传认证标签是一种用于记录所述待上传数据的基本信息以及加工细节的票据凭证;所述数据上传认证标签由标签头部和数据存储部组成。
9.根据权利要求7所述的方法,其特征在于,所述信誉值是一种衡量所述设备终端候选 池中的工业设备在入驻所述平台期间是否具备可靠性的度量值;假设某个所述设备终端候 选池中的工业设备的设备序列号为
Figure 410336DEST_PATH_IMAGE001
,则所述设备
Figure 45585DEST_PATH_IMAGE001
的信誉值
Figure 294164DEST_PATH_IMAGE002
的计算公式 为:
Figure 423794DEST_PATH_IMAGE003
其中,
Figure 707008DEST_PATH_IMAGE004
Figure 263891DEST_PATH_IMAGE005
Figure 249034DEST_PATH_IMAGE006
以及
Figure 182354DEST_PATH_IMAGE007
为权重因子,且
Figure 320075DEST_PATH_IMAGE008
Figure 47859DEST_PATH_IMAGE009
表示所述设备
Figure 536609DEST_PATH_IMAGE001
在入驻期间对所述平台的贡献值;
Figure 742463DEST_PATH_IMAGE010
表示所述设 备
Figure 249536DEST_PATH_IMAGE011
在入驻期间的设备稳定值;而
Figure 148222DEST_PATH_IMAGE012
则表示所述设备
Figure 124269DEST_PATH_IMAGE001
在入驻期间的被评价指数;
所述设备
Figure 133813DEST_PATH_IMAGE001
的贡献值
Figure 246125DEST_PATH_IMAGE013
的计算公式为:
Figure 315713DEST_PATH_IMAGE014
其中,所述
Figure 28323DEST_PATH_IMAGE015
;所述
Figure 575979DEST_PATH_IMAGE016
中的
Figure 808377DEST_PATH_IMAGE017
表示所述设备
Figure 314444DEST_PATH_IMAGE001
所上传的工业 生产数据被所述平台内的其它工业设备或者用户采纳并使用的情况;
Figure 733924DEST_PATH_IMAGE018
表示所述 设备
Figure 350851DEST_PATH_IMAGE001
在入驻期间作为辅助计算设备群或协同计算设备群中的设备之一,协助所述平台执 行相应任务的情况;
Figure 687023DEST_PATH_IMAGE019
Figure 98413DEST_PATH_IMAGE020
为权重因子,且
Figure 270768DEST_PATH_IMAGE021
所述
Figure 425806DEST_PATH_IMAGE022
Figure 367217DEST_PATH_IMAGE023
的计算公式为:
Figure 215087DEST_PATH_IMAGE024
其中,所述
Figure 124006DEST_PATH_IMAGE025
;所述
Figure 817156DEST_PATH_IMAGE026
中的
Figure 613074DEST_PATH_IMAGE027
表示所述设备
Figure 631845DEST_PATH_IMAGE028
在入驻所述平台期间上传的工 业生产数据的总量;
Figure 778793DEST_PATH_IMAGE029
为数量阈值;
Figure 275633DEST_PATH_IMAGE030
表示在所述总量为
Figure 440904DEST_PATH_IMAGE027
的工业生产数据中 的第
Figure 364998DEST_PATH_IMAGE031
个工业生产数据被其它工业设备或者用户采纳且反馈应用成功的比例;
Figure 733662DEST_PATH_IMAGE032
为 权重因子;
具体地,所述
Figure 34194DEST_PATH_IMAGE033
Figure 70283DEST_PATH_IMAGE034
的计算公式为:
Figure 899698DEST_PATH_IMAGE035
其中,所述
Figure 270506DEST_PATH_IMAGE036
Figure 374728DEST_PATH_IMAGE037
表示所述设备
Figure 999744DEST_PATH_IMAGE028
作为辅助计算设备群或协同计算设 备群中的设备之一去协助所述平台执行相应任务的任务总数量;
Figure 265641DEST_PATH_IMAGE038
表示所述设备
Figure 608897DEST_PATH_IMAGE028
成功完成所述协助任务的任务数量;
Figure 251231DEST_PATH_IMAGE039
Figure 245601DEST_PATH_IMAGE040
为成功任务数量阈值。
10.根据权利要求9所述的方法,其特征在于,将衡量所述设备
Figure 947978DEST_PATH_IMAGE028
在处理所述平台所安排 的各类业务时是否可以稳健地执行的标识值定义为设备稳定指标
Figure 778530DEST_PATH_IMAGE041
所述设备
Figure 958976DEST_PATH_IMAGE028
的设备稳定指标
Figure 558585DEST_PATH_IMAGE041
的计算公式为:
Figure 431863DEST_PATH_IMAGE042
其中,
Figure 733400DEST_PATH_IMAGE043
Figure 717536DEST_PATH_IMAGE044
Figure 437231DEST_PATH_IMAGE045
为权重因子,且
Figure 215831DEST_PATH_IMAGE046
Figure 20976DEST_PATH_IMAGE047
表示所述设备
Figure 808803DEST_PATH_IMAGE028
当前所处的网络环境在当前信誉值评估大周期内的稳定程度;
Figure 383004DEST_PATH_IMAGE048
表 示所述设备
Figure 581773DEST_PATH_IMAGE028
在当前信誉值评估大周期内的设备健康程度;
所述
Figure 608635DEST_PATH_IMAGE049
的计算公式为:
Figure 200153DEST_PATH_IMAGE050
其中,
Figure 363281DEST_PATH_IMAGE051
表示所述设备
Figure 749263DEST_PATH_IMAGE028
当前所处网络在当前信誉值评估大周期内处于网络延时 小、丢包率低、网络抖动小且未遭受任何网络攻击的环境下,此时所述
Figure 529001DEST_PATH_IMAGE052
Figure 642319DEST_PATH_IMAGE053
表示所 述设备
Figure 925533DEST_PATH_IMAGE028
当前所处的网络环境在当前信誉值评估大周期内未遭受任何网络攻击,且出现了 网络抖动和丢包的情况,但不影响所述设备
Figure 747995DEST_PATH_IMAGE028
在所述平台内进行正常的工业生产活动,此 时所述
Figure 749449DEST_PATH_IMAGE054
Figure 417191DEST_PATH_IMAGE055
表示所述设备
Figure 554911DEST_PATH_IMAGE028
当前所处网络环境在当前信誉值评估大周期内未遭 受任何网络攻击,且在多个时间点出现了网络抖动和丢包情况,进而影响所述设备
Figure 797543DEST_PATH_IMAGE028
在所 述平台内进行正常的工业生产活动,此时所述
Figure 20714DEST_PATH_IMAGE056
Figure 492146DEST_PATH_IMAGE057
表示所述设备
Figure 749952DEST_PATH_IMAGE028
当前所处的 网络环境在当前信誉值评估大周期内未遭受任何网络攻击,但在多个时间段内出现了持续 的网络抖动和丢包情况,进而导致所述设备
Figure 648638DEST_PATH_IMAGE028
无法在所述平台内进行正常的工业生产活 动,此时所述
Figure 359105DEST_PATH_IMAGE058
Figure 883496DEST_PATH_IMAGE059
表示所述设备
Figure 995809DEST_PATH_IMAGE028
在当前信誉值评估大周期内遭受了网络 攻击,进而导致设备出现了持续的宕机下线或者向所述平台发送了恶意信息的情况,此时
Figure 65396DEST_PATH_IMAGE060
;当所述
Figure 528738DEST_PATH_IMAGE060
时,所述设备
Figure 341974DEST_PATH_IMAGE028
将即刻被踢出所述设备终端候选池,且在入驻期间, 所述设备
Figure 308793DEST_PATH_IMAGE028
将不再被入选所述设备终端候选池中;
所述
Figure 798549DEST_PATH_IMAGE061
的值由所述设备
Figure 749187DEST_PATH_IMAGE062
的拥有者对所述设备
Figure 100534DEST_PATH_IMAGE062
的实际运行以及保障情况 进行综合评价而得出的,且在入驻期间,所述设备
Figure 187439DEST_PATH_IMAGE062
的拥有者需要在所述平台所规定的上 传周期内定时上传
Figure 598828DEST_PATH_IMAGE063
,以及时更新旧的
Figure 771184DEST_PATH_IMAGE063
;如果没有及时上传,则在这一阶段的信誉值 评估大周期中,所述
Figure 175489DEST_PATH_IMAGE064
,并只能在下一个信誉值评估大周期中才能更新所述
Figure 382480DEST_PATH_IMAGE063
CN202210808225.4A 2022-07-11 2022-07-11 一种应用于工业互联网云服务平台的数据访问处理方法 Active CN114884753B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210808225.4A CN114884753B (zh) 2022-07-11 2022-07-11 一种应用于工业互联网云服务平台的数据访问处理方法
US18/115,013 US11722490B1 (en) 2022-07-11 2023-02-28 Data access processing method for industrial internet cloud service platform

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210808225.4A CN114884753B (zh) 2022-07-11 2022-07-11 一种应用于工业互联网云服务平台的数据访问处理方法

Publications (2)

Publication Number Publication Date
CN114884753A true CN114884753A (zh) 2022-08-09
CN114884753B CN114884753B (zh) 2022-09-30

Family

ID=82683584

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210808225.4A Active CN114884753B (zh) 2022-07-11 2022-07-11 一种应用于工业互联网云服务平台的数据访问处理方法

Country Status (2)

Country Link
US (1) US11722490B1 (zh)
CN (1) CN114884753B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117688593B (zh) * 2024-02-02 2024-04-30 新汽有限公司 一种网络大数据的管理系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180284737A1 (en) * 2016-05-09 2018-10-04 StrongForce IoT Portfolio 2016, LLC Methods and systems for detection in an industrial internet of things data collection environment with large data sets
CN111221649A (zh) * 2019-12-31 2020-06-02 布比(北京)网络技术有限公司 边缘资源存储方法、访问方法及装置
CN113783836A (zh) * 2021-08-02 2021-12-10 南京邮电大学 基于区块链和ibe算法的物联网数据访问控制方法及系统
US20220083048A1 (en) * 2016-05-09 2022-03-17 Strong Force Iot Portfolio 2016, Llc Platform for facilitating development of intelligence in an industrial internet of things system
CN114726547A (zh) * 2022-05-16 2022-07-08 中国信息通信研究院 基于数据交换中间件工业互联网访问控制方法和可读介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180284737A1 (en) * 2016-05-09 2018-10-04 StrongForce IoT Portfolio 2016, LLC Methods and systems for detection in an industrial internet of things data collection environment with large data sets
US20220083048A1 (en) * 2016-05-09 2022-03-17 Strong Force Iot Portfolio 2016, Llc Platform for facilitating development of intelligence in an industrial internet of things system
CN111221649A (zh) * 2019-12-31 2020-06-02 布比(北京)网络技术有限公司 边缘资源存储方法、访问方法及装置
CN113783836A (zh) * 2021-08-02 2021-12-10 南京邮电大学 基于区块链和ibe算法的物联网数据访问控制方法及系统
CN114726547A (zh) * 2022-05-16 2022-07-08 中国信息通信研究院 基于数据交换中间件工业互联网访问控制方法和可读介质

Also Published As

Publication number Publication date
CN114884753B (zh) 2022-09-30
US11722490B1 (en) 2023-08-08

Similar Documents

Publication Publication Date Title
CN112348204B (zh) 一种基于联邦学习和区块链技术的边缘计算框架下海洋物联网数据安全共享方法
US11399045B2 (en) Detecting fraudulent logins
Xiao et al. Reinforcement learning-based physical-layer authentication for controller area networks
CN111639363B (zh) 基于区块链的数据分析方法及边缘计算服务器
US9038134B1 (en) Managing predictions in data security systems
CN108875327A (zh) 一种核身方法和装置
CN108512827A (zh) 异常登录的识别和监督学习模型的建立方法、装置
CN104009959B (zh) 一种基于xacml的可验证的云访问控制方法
CN114884753B (zh) 一种应用于工业互联网云服务平台的数据访问处理方法
CN107862526A (zh) 资源数值转移方法、装置、存储介质和服务器
CN114979281B (zh) 一种应用于工业互联网云服务平台的数据交互方法
CN110555319B (zh) 基于区块链的资源预期结果审核方法、装置和计算机设备
CN109284333A (zh) 基于区块链的产业链数据维护方法及平台
CN110322261B (zh) 监控资源获取的方法、装置和计算机可读存储介质
WO2016048129A2 (en) A system and method for authenticating a user based on user behaviour and environmental factors
US20240089260A1 (en) System and method for graduated deny list
CN112115507B (zh) 基于云计算和信息数字化的云业务交互方法及大数据平台
CN117235797A (zh) 大数据资源访问智能管理方法及装置、设备、系统
CN116170199A (zh) 一种基于物联网网关的设备接入验证系统
CN110493200A (zh) 一种基于威胁地图的工控系统风险量化分析方法
KR102133901B1 (ko) 스마트팩토리의 모니터링과 관리시스템을 위한 보안 시스템
CN110443430B (zh) 一种基于区块链的服务质量预测方法
CN115208655B (zh) 一种应用于工业互联网云服务平台的设备认证处理方法
CN113507463A (zh) 一种零信任网络的构建方法
CN112835935B (zh) 基于区块链和移动互联网的信息流分析方法及云服务平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant