CN117407849A - 一种基于工业互联网技术的工业数据安全保护方法及系统 - Google Patents

Abstract

本申请提供了一种基于工业互联网技术的工业数据安全保护方法及系统，涉及工业互联网的工业数据安全保护技术领域，该方法包括：将工业数据分级为一级数据、二级数据、三级数据和四级数据，并对应标记属性标签；每级数据生产者将其工业数据上传至数据中转系统，数据中转系统将获得的工业数据对其进行加密，加密后传输至对应数据库；获取终端用户发出的请求数据并校验其请求权限和身份认证；若其请求权限和身份认证的校验结果均通过，则解析该请求数据的请求内容并获取该终端用户的授权权限；若请求数据中的请求内容与该终端用户的授权权限相匹配，则由数据中转系统直接从对应的数据库中获取相应的数据，在将该数据解密之后传输至该终端用户。

Description

一种基于工业互联网技术的工业数据安全保护方法及系统

技术领域

本申请涉及工业互联网的工业数据安全保护技术领域，具体涉及一种基于工业互联网技术的工业数据安全保护方法及系统。

背景技术

工业互联网技术作为一种新兴的用于生产制造和服务业态的高端技术，在智能制造、工业升级和智慧工厂等诸多领域得到了广泛应用。在工业互联网计算的诸多应用中，工业数据的全面获取、实时及保密传输、急速计算与高效分析是实现各类机器设备、加工或制造原材料、中心控制系统、出厂产品以及操作人员之间互联互通的核心环节，对于优化生产资源配置、提高生产制造效率以及提供差异化产品增值服务至关重要。其中，工业互联网技术所涉及的海量数据均面临不同程度的安全问题，其工业数据安全主要涉及到三个方面：即，数据可用性、数据隐私性和数据完整性。

在现有相关技术中，针对工业数据可用性的安全风险主要来自外界主动攻击，例如，拒绝服务攻击或人为设置不可达数据等暴力式的主动攻击来阻碍数据传输和数据分析等过程或任务的顺利执行。虽然这些主动攻击将可能会造成较为严重的破坏效果，但是其十分容易被现有技术手段监测和防御，例如，通过切换工业数据传输的通信信道或直接剔除不可达数据等方式来实现有效防御。同时，针对于工业数据完整性的安全风险主要来自数据篡改，其一般是攻击者利用信息系统的漏洞入侵工业互联网系统，对正常传输或存储的数据进行恶意篡改，以实现对于工业数据完整性的攻击，从而达到工业互联网系统失稳或控制系统失准的攻击效果。虽然，这种攻击也将可能会造成十分严重的破坏效果，但是也比较容易被现有相关技术监测并剔除其影响。

但是，针对于工业数据隐私性的攻击的模态复杂多变，且具有较强的隐蔽性，再加之工业互联网具有较强的开放性，极易存在工业数据被攻击者通过监控探测器或监听网络信道等方式直接获取，且不会被监测到攻击行为。并且，由于现有的工业互联网所涉及到的工业数据量极为庞大，在工业互联网数据交互过程中，加密和解密的调用频率也极高，一旦数据交互量超限，极易出现交互时间过长而导致生产效率降低、交互出错而导致业务报错等问题。

故而，亟需一种能够在保证工业数据隐私性的基础之上，还能够显著降低加密/解密调用频率的工业数据安全保护方案。

发明内容

为了解决相关技术中的技术问题，本申请提供了一种基于工业互联网技术的工业数据安全保护方法及系统。通过本申请的方法，能够在充分保证工业数据隐私性的基础之上，还能够显著降低加密/解密调用频率。

为了达到上述目的，本申请采用的技术方案包括：

根据本申请的第一方面，提供了一种基于工业互联网技术的工业数据安全保护方法，包括：

根据工业数据的隐私程度将企业的所有工业相关数据分级为：一级数据、二级数据、三级数据和四级数据，并根据数据分级分别给对应级别的数据标记属性标签；其中，一级数据为工业数据的保护策略性数据，包括工业数据保护的适用范围，工业数据保护的指导原则；二级数据为根据一级数据所产生的工业数据保护的管理规定、管理办法和实施办法；三级数据为根据二级数据所制定的工业数据保护的操作流程、作业指导和模板文件；四级数据为执行三级数据所产生的日志文件和检查记录；

每级数据生产者将其生产出的工业数据上传至数据中转系统，数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密，数据中转系统在将所获得的工业数据加密后传输至对应数据库，并在本地进行删除；

获取终端用户发出的请求数据并校验其请求权限和身份认证；

若其请求权限和身份认证的校验结果均通过，则解析该请求数据的请求内容并获取该终端用户的授权权限；

若请求数据中的请求内容与该终端用户的授权权限相匹配，则由数据中转系统直接从对应的数据库中获取相应的数据，在将该数据解密之后传输至该终端用户，并在本地进行删除。

可选地，所述基于工业互联网技术的工业数据安全保护方法还包括：

终端用户的请求权限、身份认证和授权权限的注册：

各终端用户根据其各自所有的有序的属性集中的属性计算其注册所需的中间参数，并将该中间参数发送至授权认证中心，授权认证中心解析该中间参数，并进行身份验证，若身份验证通过，则选择一系列的随机数计算出属性权限参数和认证签名，在本地对通过身份验证的各终端用户的属性权限参数和认证签名进行信息登记，其中，信息登记包括请求权限注册、身份认证注册和授权权限注册。

可选地，数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密包括：

对一级数据和二级数据按照如下方式进行加密：

校验一级数据和二级数据的属性标签，若其属性标签合法时，对其进行加密，加密后的一级数据和二级数据被分割为脱敏数据和密文数据。

可选地，数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密具体还包括：

对三级数据和四级数据按照如下方式进行加密：

数据生产者根据挑选的安全参数β生成与数据中转系统之间的会话秘钥（pk，sk），其中，/>，/>;

式中，；/>;（pk，sk）是基于BGN的公/私钥对；/>，/>和是两个大素数，/>是阶为/>的循环群；/>：/>是双线性映射；/>，/>是群X的/>阶子群的随机生成元；/>是X的随机生成元；

数据生产者将公钥pk公布给数据中转系统，数据中转系统选择一个随机正整数计算自己的私钥/>和公钥/>，其中，/>为数据中转系统的身份标识，/>是哈希散列函数。

可选地，获取终端用户发出的请求数据并校验其请求权限和身份认证具体包括：

获取终端用户发出的请求数据之后，先校验其请求权限，若其请求权限校验通过，再进行身份认证校验。

可选地，若请求权限或身份验证的校验结果未通过，则将该终端用户标记为待验证用户，并发出示警信息。

可选地，若请求数据中的请求内容与该终端用户的授权权限不匹配，则拒绝其数据请求，并将该请求数据标记为待验证请求，然后发出示警信息。

根据本申请的第二方面，提供了一种基于工业互联网技术的工业数据安全保护系统，应用于本申请第一方面中任一项技术方案所述的基于工业互联网技术的工业数据安全保护方法，该系统包括：

数据生产者，用于生产工业数据并对其进行分级、标记属性标签，并将生产出的工业数据上传至数据中转系统；

数据中转系统，用于接收工业数据并对其进行加密之后传输至数据库，用于获取终端用户发出的请求数据并校验其请求权限和身份认证，用于解析请求数据并进行授权权限验证，用于从数据库中获取工业数据并将其解密后传输至符合要求的终端用户；

数据库，用于存储工业数据。

根据本申请的第三方面，提供了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时能够实现本申请第一方面中任一项技术方案所述的基于工业互联网技术的工业数据安全保护方法的步骤。

根据本申请的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时能够实现本申请第一方面中任一项技术方案所述的基于工业互联网技术的工业数据安全保护方法的步骤。

有益效果：

1、通过上述技术方案，本申请的基于工业互联网技术的工业数据安全保护方法先对工业数据进行分级，并根据工业数据的等级对其进行属性标签标记，这样，在数据中转系统对所获取的工业数据进行加密时，就可以根据工业数据的等级对其进行不同类型的加密，相对于现有相关技术中对全部数据进行同等级别的加密的方式而言，能够有效地降低加密的调用频率和加密耗时，进而也就有利于避免因交互时间过长而导致生产效率降低和因交互出错而导致的业务报错等问题。在此基础之上，本申请的方法通过三重验证的方法，即先验证请求权限和身份认证确定发送请求数据的终端用户是否为注册用户以及其具体身份，在验证通过之后再进行授权权限的验证，不仅能够有效地保证对于终端用户的可靠验证，而且还有利于避免攻击者伪装终端用户借助请求数据进行攻击，也就能够在一定程度上进一步提升对于工业数据的安全性保护。此外，由于数据中转系统在将工业数据加密之后传输至数据库以及从数据库获取工业数据并解密传输给请求的终端用户之后均会对存在本地的工业数据进行删除，有利于避免攻击者通过攻击数据中转系统获取数据库内的工业数据，这样，也能够在一定程度上提升对于工业数据的安全性保护。

2、本申请的其他有益效果或优势将在具体实施方式中进行详细描述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

其中：

图1是本申请的一种示例性实施方式提供的基于工业互联网技术的工业数据安全保护方法步骤流程示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

此外，本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。其中，还需要说明的是，在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

以下先对本申请所涉及的相关专业术语进行说明。

1）、工业互联网，是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态，通过对人、机、物、系统等的全面连接，构建起覆盖全产业链、全价值链的全新制造和服务体系。其以网络为基础、平台为中枢、数据为要素、安全为保障，既是工业数字化、网络化、智能化转型的基础设施，也是互联网、大数据、人工智能与实体经济深度融合的应用模式，同时也是一种新业态、新产业，将重塑企业形态、供应链和产业链。

2）、工业数据，是指工业企业在开展研发设计、生产制造、经营管理、应用服务等业务时，围绕客户需求、订单、计划、研发、设计、工艺、制造、采购、供应、库存、销售、交付、售后、运维、报废或回收等工业生产经营环节和过程所产生、采集、传输、存储、使用、共享的数据。

3）一级数据，是企业的工业数据的保护策略性数据，属于纲领性的文件，包括工业数据保护的适用范围，工业数据保护的指导原则，工业数据安全各的个方面均应遵守的上述原则方法和指导策略。二级数据，为根据一级数据所产生的工业数据保护的管理规定、管理办法和实施办法，具有可操作性和落地性。三级数据，为根据二级数据所制定的工业数据保护的操作流程、作业指导和模板文件。例如，某工艺的操作规范指南或操作流程，某设备的作业指导，某生产流程的相关记录文件的模板文件等。四级数据为执行三级数据所产生的日志文件和检查记录。例如，生产实际过程中所产生的运行日志、检查文件、日志报告等。从保密性来说，一级数据和第二数据的保密性较三级数据和四级数据差，甚至在一定程度上无需进行保密。

以下结合附图对本申请的技术方案进行详细表述。

实施例1

如图1所示，根据本申请的第一方面，本实施例提供了一种基于工业互联网技术的工业数据安全保护方法，包括：

根据工业数据的隐私程度将企业的所有工业相关数据分级为：一级数据、二级数据、三级数据和四级数据，并根据数据分级分别给对应级别的数据标记属性标签；其中，一级数据为工业数据的保护策略性数据，包括工业数据保护的适用范围，工业数据保护的指导原则；二级数据为根据一级数据所产生的工业数据保护的管理规定、管理办法和实施办法；三级数据为根据二级数据所制定的工业数据保护的操作流程、作业指导和模板文件；四级数据为执行三级数据所产生的日志文件和检查记录；

每级数据生产者将其生产出的工业数据上传至数据中转系统，数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密，数据中转系统在将所获得的工业数据加密后传输至对应数据库，并在本地进行删除；

获取终端用户发出的请求数据并校验其请求权限和身份认证；

若其请求权限和身份认证的校验结果均通过，则解析该请求数据的请求内容并获取该终端用户的授权权限；

若请求数据中的请求内容与该终端用户的授权权限相匹配，则由数据中转系统直接从对应的数据库中获取相应的数据，在将该数据解密之后传输至该终端用户，并在本地进行删除。

通过上述技术方案，本申请的基于工业互联网技术的工业数据安全保护方法先对工业数据进行分级，并根据工业数据的等级对其进行属性标签标记，这样，在数据中转系统对所获取的工业数据进行加密时，就可以根据工业数据的等级对其进行不同类型的加密，相对于现有相关技术中对全部数据进行同等级别的加密的方式而言，能够有效地降低加密的调用频率和加密耗时，进而也就有利于避免因交互时间过长而导致生产效率降低和因交互出错而导致的业务报错等问题。在此基础之上，本申请的方法通过三重验证的方法，即先验证请求权限和身份认证确定发送请求数据的终端用户是否为注册用户以及其具体身份，在验证通过之后再进行授权权限的验证，不仅能够有效地保证对于终端用户的可靠验证，而且还有利于避免攻击者伪装终端用户借助请求数据进行攻击，也就能够在一定程度上进一步提升对于工业数据的安全性保护。此外，由于数据中转系统在将工业数据加密之后传输至数据库以及从数据库获取工业数据并解密传输给请求的终端用户之后均会对存在本地的工业数据进行删除，有利于避免攻击者通过攻击数据中转系统获取数据库内的工业数据，这样，也能够在一定程度上提升对于工业数据的安全性保护。

在本申请的一种实施方式中，本申请的基于工业互联网技术的工业数据安全保护方法还可以包括：

终端用户的请求权限、身份认证和授权权限的注册：

各终端用户根据其各自所有的有序的属性集中的属性计算其注册所需的中间参数，并将该中间参数发送至授权认证中心，授权认证中心解析该中间参数，并进行身份验证，若身份验证通过，则选择一系列的随机数计算出属性权限参数和认证签名，在本地对通过身份验证的各终端用户的属性权限参数和认证签名进行信息登记，其中，信息登记包括请求权限注册、身份认证注册和授权权限注册。

如此，通过此技术方案的终端用户的请求权限注册、身份认证注册和授权权限的注册，各终端用户先根据自身所有的有序的属性集中的属性计算其注册所需的中间参数，然后将该中间参数发送给授权认证中心（可集成于数据中转系统，也可以独立于数据中转系统，本申请对此不作具体限定），这样，在身份验证通过之后就可以选择一系列的随机数计算出属性权限参数和认证签名，此时，就可以在本地对通过身份验证的终端用户进行相应的信息等级，也就可以有效地降低在在复杂数据共享的情况下所可能出现的终端用户身份容易泄漏或被窃取的可能性。

在本申请的一种实施方式中，本申请的数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密可以包括：

对一级数据和二级数据按照如下方式进行加密：

校验一级数据和二级数据的属性标签，若其属性标签合法时，对其进行加密，加密后的一级数据和二级数据被分割为脱敏数据和密文数据。

由于一级数据和二级数据中的敏感信息很少甚至几乎没有，这样，在对一级数据和二级数据的属性标签进行校验之后，即可以通过将其分割为脱敏数据和密文数据，其中，数据库分别对脱敏数据和密文数据进行保持，以脱敏数据为例，相应的数据库根据脱敏规则将明文数据进行脱敏处理之后，保存数据的脱敏值和散列值，无需保存明文。相应的，数据库根据加密规则将明文数据进行加密处理之后，保存数据的加密值和散列值。

以一种具体的实施方式为例，可以采用分布式框架spring boot+zookeeper为基础技术架构，将加密/解密服务从工业互联网标识解析主体业务中剥离出来，以使其能够成为独立的应用程序，从而就可以通过相应的脱敏算法和加密算法以实现对于相关工业数据的脱敏和加密。

如此，相对于现有相关技术中对全部数据进行同等级别的加密或脱敏的方式而言，这样能够进一步地降低加密的调用频率和加密耗时，进而也就有利于进一步地避免因交互时间过长而导致生产效率降低和因交互出错而导致的业务报错等问题。

在本申请的一种实施方式中，本申请的数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密还可以包括：

对三级数据和四级数据按照如下方式进行加密：

数据生产者根据挑选的安全参数β生成与数据中转系统之间的会话秘钥（pk，sk），其中，/>，/>;

式中，；/>;（pk，sk）是基于BGN的公/私钥对；/>，/>和是两个大素数，/>是阶为/>的循环群；/>：/>是双线性映射；/>，/>是群X的/>阶子群的随机生成元；/>是X的随机生成元；

数据生产者将公钥pk公布给数据中转系统，数据中转系统选择一个随机正整数计算自己的私钥/>和公钥/>，其中/>为数据中转系统的身份标识，/>是哈希散列函数。

通过此实施方式，这样就会对隐私程度更高的三级数据和四级数据进行更安全的加密，以能够对于工业数据中较为重要的数据形成更加可靠的保证。

在本申请的一种实施方式中，本申请的获取终端用户发出的请求数据并校验其请求权限和身份认证可以包括：

获取终端用户发出的请求数据之后，先校验其请求权限，若其请求权限校验通过，再进行身份认证校验。

这样，先校验其请求权限再进行身份认证校验有利于避免攻击者伪装为终端用户向数据中转系统发送攻击性的数据请求，从而就可以在一定程度上进一步地提升对于工业数据的安全性保护效果。

在本申请的一种实施方式中，若请求权限或身份验证的校验结果未通过，则将该终端用户标记为待验证用户，并发出示警信息。这样，在请求权限或身份验证有任意一者未通过校验，即发送该请求数据的终端用户有可能是攻击者，也有可能是未进行信息注册的正常使用者，此时，就可以先将其标记为待验证用户，并发出示警信息，以便于相关程序或工作人员对其进行信息核对，然后根据信息核对的结果另外进行信息注册或直接将其识别为攻击者。

在本申请的一种实施方式中，本申请的若请求数据中的请求内容与该终端用户的授权权限不匹配，则拒绝其数据请求，并将该请求数据标记为待验证请求，然后发出示警信息。这样，在请求内容与授权权限不匹配时，直接拒绝其数据请求，以避免其通过请求数据攻击数据中转系统，同时，还可以将该请求数据标记为待验证请求并发出示警信息，以便于相关程序或工作人员对其进行安全验证，然后根据验证结果另外进行授权权限授予或直接将其识别为攻击者。

根据本申请的第二方面，提供了一种基于工业互联网技术的工业数据安全保护系统，应用于本申请第一方面中任一项技术方案所述的基于工业互联网技术的工业数据安全保护方法，该系统包括：

数据生产者，用于生产工业数据并对其进行分级、以及标记属性标签，并将生产出的工业数据上传至数据中转系统；

数据中转系统，用于接收工业数据并对其进行加密之后传输至数据库，用于获取终端用户发出的请求数据并校验其请求权限和身份认证，用于解析请求数据并进行授权权限验证，并用于从数据库中获取工业数据并将其解密后传输至符合要求的终端用户；

数据库，用于存储工业数据。

根据本申请的第三方面，提供了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时能够实现本申请第一方面中任一项技术方案所述的基于工业互联网技术的工业数据安全保护方法的步骤。

可以理解的是，在此实施方式中，存储器可以包括易失性存储器，例如随机存取存储器；该存储器也可以包括非易失性存储器，例如只读存储器，快闪存储器，硬盘或固态硬盘；此外，该存储器还可以包括上述种类的存储器的组合。本申请对此不作具体限定。

同样的，处理器可以是实现或执行结合本申请公开内容所描述的各种示例性的逻辑步骤。该处理器可以是中央处理器、通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑步骤。该处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

根据本申请的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时能够实现本申请第一方面中任一项技术方案所述的基于工业互联网技术的工业数据安全保护方法的步骤。

在此实施方式中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器（Random Access Memory，RAM）、只读存储器(Read-OnlyMemory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器（Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路（ApplicationSpecific Integrated Circuit，ASIC）中。在本申请实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (8)

1.一种基于工业互联网技术的工业数据安全保护方法，其特征在于，包括：

根据工业数据的隐私程度将企业的所有工业相关数据分级为：一级数据、二级数据、三级数据和四级数据，并根据数据分级分别给对应级别的数据标记属性标签；其中，一级数据为工业数据的保护策略性数据，包括工业数据保护的适用范围，工业数据保护的指导原则；二级数据为根据一级数据所产生的工业数据保护的管理规定、管理办法和实施办法；三级数据为根据二级数据所制定的工业数据保护的操作流程、作业指导和模板文件；四级数据为执行三级数据所产生的日志文件和检查记录；

每级数据生产者将其生产出的工业数据上传至数据中转系统，数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密，数据中转系统在将所获得的工业数据加密后传输至对应数据库，并在本地进行删除；

获取终端用户发出的请求数据并校验其请求权限和身份认证；

若其请求权限和身份认证的校验结果均通过，则解析该请求数据的请求内容并获取该终端用户的授权权限；

若请求数据中的请求内容与该终端用户的授权权限相匹配，则由数据中转系统直接从对应的数据库中获取相应的数据，在将该数据解密之后传输至该终端用户，并在本地进行删除。

2.根据权利要求1所述的基于工业互联网技术的工业数据安全保护方法，其特征在于，所述基于工业互联网技术的工业数据安全保护方法还包括：

终端用户的请求权限、身份认证和授权权限的注册：

各终端用户根据其各自所有的有序的属性集中的属性计算其注册所需的中间参数，并将该中间参数发送至授权认证中心，授权认证中心解析该中间参数，并进行身份验证，若身份验证通过，则选择一系列的随机数计算出属性权限参数和认证签名，在本地对通过身份验证的各终端用户的属性权限参数和认证签名进行信息登记，其中，信息登记包括请求权限注册、身份认证注册和授权权限注册。

3.根据权利要求1所述的基于工业互联网技术的工业数据安全保护方法，其特征在于，数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密包括：

对一级数据和二级数据按照如下方式进行加密：

校验一级数据和二级数据的属性标签，若其属性标签合法时，对其进行加密，加密后的一级数据和二级数据被分割为脱敏数据和密文数据。

4.根据权利要求1所述的基于工业互联网技术的工业数据安全保护方法，其特征在于，数据中转系统将获得的工业数据根据该工业数据所标记的属性标签分别对其进行加密具体还包括：

对三级数据和四级数据按照如下方式进行加密：

数据生产者根据挑选的安全参数β生成与数据中转系统之间的会话秘钥（pk，sk），其中，/>，/>;

式中，；/>;（pk，sk）是基于BGN的公/私钥对；/>，/>和/>是两个大素数，/>是阶为/>的循环群；/>：/>是双线性映射；/>，/>是群X的/>阶子群的随机生成元；/>是X的随机生成元；

数据生产者将公钥pk公布给数据中转系统，数据中转系统选择一个随机正整数计算自己的私钥/>和公钥/>，其中，/>为数据中转系统的身份标识，是哈希散列函数。

5.根据权利要求1所述的基于工业互联网技术的工业数据安全保护方法，其特征在于，获取终端用户发出的请求数据并校验其请求权限和身份认证具体包括：

获取终端用户发出的请求数据之后，先校验其请求权限，若其请求权限校验通过，再进行身份认证校验。

6.根据权利要求1所述的基于工业互联网技术的工业数据安全保护方法，其特征在于，若请求权限或身份验证的校验结果未通过，则将该终端用户标记为待验证用户，并发出示警信息。

7.根据权利要求1所述的基于工业互联网技术的工业数据安全保护方法，其特征在于，若请求数据中的请求内容与该终端用户的授权权限不匹配，则拒绝其数据请求，并将该请求数据标记为待验证请求，然后发出示警信息。

8.一种基于工业互联网技术的工业数据安全保护系统，其特征在于，应用于权利要求1-7中任一项所述的基于工业互联网技术的工业数据安全保护方法，该系统包括：

数据生产者，用于生产工业数据并对其进行分级、标记属性标签，并将生产出的工业数据上传至数据中转系统；

数据中转系统，用于接收工业数据并对其进行加密之后传输至数据库，用于获取终端用户发出的请求数据并校验其请求权限和身份认证，用于解析请求数据并进行授权权限验证，用于从数据库中获取工业数据并将其解密后传输至符合要求的终端用户；

数据库，用于存储工业数据。