技术领域
背景技术
[0002] 随着
大数据时代的来临,越来越多的政府、企业等机构开始意识到数据正在成为组织最重要的资产,数据分析能
力正在成为组织的核心竞争力,并开始了大规模的投入。
[0003] 在信息化发展过程中,建设于不同时期、受各项目投资来源不同、建设管理各异、运行维护分散等制约,各类业务应用系统在各个环节都大量存在,信息资源分散,各业务系统之间的
接口繁杂,存在信息
孤岛。缺乏信息资源的统一管理机制,信息化建设与业务管理服务融合度不足。
[0004] 并且存在大量数据重复采集存储环节,占用大量信息传输和存储资源的同时,其数据利用率极低。据某管道公司对其近视年内采集、上传并存储的数据的利用率统计,发现实际数据利用率仅占数据总量的0.75%,所采集的数据占用大量数据传输带宽资源和存储资源。
[0005] 现有的民用
云平台,其数据均交由平台存储和管理,数据安全性和私密性无法得到保障,存在数据泄露的可能性。无法为工业领域所用。
[0006] 本发明的
发明人发现,在工业领域,缺乏能为一个企业内各类应用或为多个企业公共使用,并且能够有效保障数据所有人对数据的掌控权的数据管控方式。
发明内容
[0007] 本发明的目的在于提供一种工业信息资产管理方法及装置,使得工业信息的
数据采集方与数据使用方之间在物理上完全隔绝,有效避免外部应用直接
接触工业数据,在保障工业数据安全性的同时,为各类外部应用提供统一、便利的数据调用环境。
[0008] 为解决上述技术问题,本发明的实施方式提供了一种工业信息资产管理方法,包括:
[0009] 分别接入第一网络和第二网络的管理平台,接入到第二网络的各数据源物
节点,每个所述数据源物节点包括一逻辑代理
服务器;所述第一网络与所述第二网络相互独立;
[0010] 所述管理平台接收来自第一网络的外部应用的数据
请求,在第二网络寻找所请求数据所属的数据源物节点,通过所述第二网络将所述数据请求的内容和所述外部应用的目标地址发送给所述数据源物节点;
[0011] 所述数据源物节点根据所述数据请求的内容确定所需数据,将所确定的数据和目标地址发送给本数据源物节点对应的逻辑代理服务器;
[0012] 所述逻辑代理服务器根据所述目标地址,与请求数据的外部应用建立通信连接,将所述数据发送给所述外部应用。
[0013] 本发明实施方式相对于
现有技术而言,由于数据直接保存在数据源物节点本地,无需集中上传到服务器或者云端,数据处于分散分布状态,在节约大量数据传输和存储资源的同时,增强了数据被外界侵袭和盗取的难度。并且,由于存储数据的数据源物节点分布于私密的第二网络,与公共的第一网络完全隔离,从
硬件配置上进一步保障了数据的安全性。并且,本发明各实施方式中与外部存在联系的只有管理平台和逻辑代理服务器,管理平台上不保存任何数据,外部黑客即便侵袭管理平台,也无法获取任何数据。逻辑代理服务器只负责从数据源物节点接收数据,而无法进行反向连接,即便黑客攻击,同样也无法侵袭到数据源物节点。在信息传输上,由管理平台负责对数据的需求方进行管控,数据直接由逻辑代理服务器上传到数据请求方,从而将数据传输经留节点减至最少,数据外泄概率降到最低,在保障安全的同时,最大程度上节约了传输和存储资源。
[0014] 作为进一步改进,所述数据源物节点与其逻辑代理服务器之间的连接为:所述数据源物节点至逻辑代理服务器的单向虚拟专用连接。从而从硬件上确保了逻辑代理服务器与数据源物节点之间的单向传输,确保数据源物节点上数据的安全性。
[0015] 作为进一步改进,所述逻辑将所述数据发送给所述外部应用的步骤之前,还包括以下步骤:
[0016] 所述逻辑代理服务器对来自数据源物节点的数据进行解析,根据请求所述数据的外部应用所支持的协议,对从解析后的底层数据进行协议转换;
[0017] 所述将数据发送给所述外部应用的步骤中,将协议转换后的数据发送给所述外部应用。从而确保为各类外部应用提供满足外部应用公共标准(协议)的数据调用环境,提高外部应用读取数据的便利性,以及平台与外部应用之间的兼容性。
[0018] 作为进一步改进,该工业信息资产管理方法还包括以下步骤:
[0019] 所述管理平台收到来自所述第一网络的各外部应用的数据请求时,为该外部应用分配一第二网络IP地址;
[0020] 所述通过第二网络将所述数据请求的内容和所述外部应用的目标地址发送给所述数据源物节点的步骤中,所述目标地址为第二网络IP地址;
[0021] 所述逻辑代理服务器根据所述目标地址与请求数据的外部应用建立通信连接的步骤中,所述通信连接为第二网络通信连接。
[0022] 该方式下,逻辑代理服务器与外部应用之间的通信是在第二网络(私有网络)实现,本实施方式中具有第一网络IP地址的只有管理平台,而管理平台上不保存任何数据,从而可以最大程度上确保整个系统的安全性。
[0023] 作为进一步改进,所述通过所述第二网络将所述数据请求的内容和所述外部应用的目标地址发送给所述数据源物节点的步骤中,所述目标地址为外部应用的第一网络IP地址;
[0024] 所述逻辑代理服务器根据所述目标地址与请求数据的外部应用建立通信连接的步骤中,所述通信连接为第一网络通信连接。
[0025] 该方式下,逻辑代理服务器与外部应用之间的通信是在第一网络(公共网络)实现,无法接触数据源物节点所在的第二网络(私有网络),同样可以确保整个系统的安全性。
[0026] 作为进一步改进,所述管理平台通过所述第二网络将所述数据请求的内容和所述外部应用的目标地址发送给所述数据源物节点的步骤之前,还包括:
[0027] 管理平台对所述外部应用进行授权认证,如果通过授权认证,则执行所述将数据请求的内容和所述外部应用的目标地址发送给所述数据源物节点的步骤。
[0028] 作为进一步改进,对所述外部应用进行授权认证至少包括:
[0029] 预先保存各数据源物节点的数据传输授权规则文件,在收到来自应用的数据请求时,找到被请求数据所属数据源物节点对应的数据传输授权规则文件,根据所述数据传输授权规则文件对所述应用进行授权认证;所述各数据源物节点的数据传输授权规则文件由数据源物节点所有人向所述管理平台设置。管理平台仅仅为数据传输授权规则文件的执行方,其本身不具有设置数据传输授权规则文件的权限,无法擅自
许可或禁止数据的传输,从而可以有效杜绝管理平台内部发生数据泄露的可能性,确保有且仅有数据资源所有人具有数据资源的传输管控权限,有效保障数据源物节点所有人的权益。
[0030] 作为进一步改进,该工业信息资产管理方法还包括以下步骤:
[0031] 所述管理平台在收到数据源物节点所有人设置的数据传输授权规则文件时,向该数据传输授权规则文件对应的数据源物节点请求其保存的数据传输授权规则备份文件,将所述数据传输授权规则文件与收到的数据传输授权规则备份文件相比对,如果一致,则保存所述数据传输授权规则文件。也就是说,数据源物节点所有人要在管理平台设置数据传输授权规则文件,首先需要在其所拥有的数据源物节点上存储数据传输授权规则备份文件,并且需要确保两者相一致,这样才能通过管理平台的比对。一般情况下,数据源物节点在第二网络(内网)中,数据源物节点所有人可以通过内网或者
硬盘等直接传输方式进行文件传输,其信息很难被篡改。而与管理平台之间传输的数据传输授权规则文件,即便在文件传输过程中被篡改,也无法通过比对保存在管理平台,从而无法对数据信息的传输产生实际影响,有效保障数据信息的安全性。
[0032] 作为进一步改进,该工业信息资产管理方法还包括:
[0033] 所述管理平台在收到来自数据源物节点所有人的
修改后的数据传输授权规则文件时,向待修改的数据传输授权规则文件对应的数据源物节点请求其保存的数据传输授权规则备份文件,将所述数据传输授权规则文件与收到的数据传输授权规则备份文件相比对,如果一致,则将所述修改后的数据传输授权规则文件替换原文件。
[0034] 同样,数据源物节点所有人(资产所有者)需要修改其所拥有的数据源物节点的数据传输授权规则文件时,需要在将修改后的数据传输授权规则文件发送给所述工业数据管理平台的同时,将修改后的数据传输授权规则备份文件保存在所述数据源物节点上;数据管理服务器将收到的数据传输授权规则文件与数据源物节点上的数据传输授权规则备份文件相比对,如果一致,则将所述修改后的数据授权文件替换原文件。从而即便黑客袭击管理平台,篡改数据传输授权规则文件,也无法通过管理平台将篡改后的授权规则文件与数据源物节点上的备份文件的比对,从而无法最终保存修改。有效保障数据资产所有者的数据信息安全性。
[0035] 作为进一步改进,在所述数据源物节点所有人所拥有的数据源物节点数量多于一个时,向数据传输授权规则文件对应的数据源物节点请求其保存的数据传输授权规则备份文件,将所述数据传输授权规则文件与收到的数据传输授权规则备份文件相比对的步骤中,
[0036] 向该所有人名下所有数据源物节点请求其保存的数据传输授权规则备份文件;将需要保存或替换的数据传输授权规则文件与收到的各数据传输授权规则备份文件逐一比对,如果匹配率大于预设值,则保存或替换所述数据传输授权规则文件。从而进一步增加了黑客篡改数据传输规则备份文件的难度,增强了数据资产所有者的数据信息安全性。
附图说明
[0037] 图1是根据本发明一较佳实施方式的工业信息资产管理方法
流程图。
具体实施方式
[0038] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本
申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各
权利要求所要求保护的技术方案。
[0039] 本发明的第一实施方式涉及一种工业信息资产管理方法。本实施方式中,包括分别独立的第一网络和第二网络,其中,第一网络一般为公共互联网,所述第二网络一般为工业互联网内网。还包括分别接入第一网络和第二网络的管理平台,以及接入到第二网络的各数据源物节点,每个数据源物节点上包括一逻辑代理服务器,数据源物节点与其逻辑代理服务器之间的连接为:由数据源物节点至逻辑代理服务器的单向虚拟专用连接。这里的数据源物节点指的是数据的来源节点,可以是工控数据的采集存储设备。
[0040] 管理平台包含第一网络IP地址,外部应用通过第一网络与管理平台建立通信连接,向管理平台发送数据请求;管理平台还包括第二网络IP地址,通过第二网络与各数据源物节点连接,每个数据源物节点分别包含一个第二网络IP地址。
[0041] 管理平台还包含独立的第二网络域名解析服务器,各数据源物节点需要预先在管理平台注册,注册时,域名解析服务器为每个数据源物节点分配一个第二网络IP地址。通过独立的域名解析机制,从物理上和机制上保障第二网络绝对独立于第一网络。
[0042] 具体工业信息资产管理流程如图1所示。
[0043] 步骤101中,管理平台接收来自第一网络的外部应用的数据请求。
[0044] 步骤102中,管理平台根据外部应用的数据请求,确定被请求数据所属数据源物节点,找到该数据源物节点对应的数据传输授权规则文件,根据该数据传输授权规则文件对该外部应用进行授权认证。如果认证通过,则进入步骤103,如果认证不通过,则向外部应用返回无权限信息,结束本流程。
[0045] 数据传输授权规则文件中包含本数据源物节点中所有数据的传输授权规则,可以包括传输对象黑名单/传输对象白名单、数据类型、数据范围等等,可由数据源物节点的所有人自行灵活定制。
[0046] 步骤103中,管理平台通过域名解析服务器为该外部应用分配一个第二网络的临时IP地址,并反馈给该外部应用。
[0047] 步骤104中,管理平台通过第二网络将该外部应用的数据请求的内容和该外部应用的临时IP地址发送给对应的数据源物节点,即所请求数据所属数据源物节点。
[0048] 步骤105中,数据源物节点根据所收到的数据请求的内容确定所需数据,将所确定的数据和临时IP地址发送给本数据源物节点对应的逻辑代理服务器。
[0049] 步骤106中,逻辑代理服务器内保存有本数据源物节点所采集的数据所使用的协议(一般为私有协议),在收到来自数据源物节点的数据后,根据所保存的协议对数据进行解析,得到底层数据,再根据请求所述数据的外部应用所支持的协议,对从解析后的底层数据进行协议转换。
[0050] 步骤107中,逻辑代理服务器根据该第二网络临时IP地址,与请求数据的外部应用建立通信连接,将协议转换后的数据发送给所述外部应用。
[0051] 通过逻辑代理服务器的协议转换,从而确保为各类外部应用提供满足外部应用公共标准(协议)的数据调用环境,提高外部应用读取数据的便利性,以及平台与外部应用之间的兼容性。
[0052] 由于数据源物节点与其逻辑代理服务器之间的连接为:所述数据源物节点至逻辑代理服务器的单向虚拟专用连接。从而从硬件上确保了逻辑代理服务器与数据源物节点之间的单向传输,确保数据源物节点上数据的安全性。
[0053] 本实施方式相对于现有技术而言,由于数据直接保存在数据源物节点本地,无需集中上传到服务器或者云端,数据处于分散分布状态,在节约大量数据传输和存储资源的同时,增强了数据被外界侵袭和盗取的难度。并且,由于存储数据的数据源物节点分布于私密的第二网络,与公共的第一网络完全隔离,从硬件配置上进一步保障了数据的安全性。并且,本发明各实施方式中与外部存在联系的只有管理平台和逻辑代理服务器,管理平台上不保存任何数据,外部黑客即便侵袭管理平台,也无法获取任何数据。逻辑代理服务器只负责从数据源物节点接收数据,而无法进行反向连接,即便黑客攻击,同样也无法侵袭到数据源物节点。在信息传输上,由管理平台负责对数据的需求方进行管控,数据直接由逻辑代理服务器上传到数据请求方,从而将数据传输经留节点减至最少,数据外泄概率降到最低,在保障安全的同时,最大程度上节约了传输和存储资源。
[0054] 另外,本实施方式在保障信息安全的同时,还有效保障了信息资产所有人(数据源物节点所有人)的权益。具体地说,各数据源物节点的数据传输授权规则文件由数据源物节点所有人向管理平台设置。管理平台仅仅为数据传输授权规则文件的执行方,其本身不具有设置数据传输授权规则文件的权限,无法擅自许可或禁止数据的传输,从而可以有效杜绝管理平台内部发生数据泄露的可能性,确保有且仅有数据资源所有人具有数据资源的传输管控权限,有效保障数据源物节点所有人的权益。
[0055] 本发明第二实施方式同样涉及一种工业信息资产管理方法。与第一实施方式大致相同。
[0056] 其区别在于,第一实施方式中,管理平台为外部应用分配一第二网络临时IP地址;逻辑代理服务器根据第二网络临时IP地址与请求数据的外部应用建立通信连接。该方式下,逻辑代理服务器与外部应用之间的通信是在第二网络(私有网络)实现,从而整个实施方式中具有第一网络IP地址的只有管理平台,而管理平台上不保存任何数据,可以最大程度上确保整个系统的安全性。
[0057] 而本实施方式中,管理平台通过第二网络将数据请求的内容和外部应用的目标地址发送给所述数据源物节点时,所发送的目标地址为外部应用的第一网络IP地址,不再另行分配第二网络的临时IP地址。逻辑代理服务器需要接入第一网络,根据请求数据的外部应用的第一网络IP地址与该外部应用建立通信连接。该方式下,逻辑代理服务器与外部应用之间的通信是在第一网络(公共网络)实现,无法接触数据源物节点所在的第二网络(私有网络),同样可以确保整个系统的安全性。
[0058] 本发明第三实施方式同样涉及一种工业信息资产管理方法,为第一或第二实施方式的进一步改进。第一或第二实施方式中,管理平台均是根据数据传输授权规则文件对外部应用进行授权认证的,可见数据传输授权规则文件至关重要。
[0059] 本实施方式中,管理平台在收到数据源物节点所有人的数据传输授权规则文件时(包括首次设置需要保存,或者后期需要更新),向该数据传输授权规则文件对应的数据源物节点请求其保存的数据传输授权规则备份文件,将收到的数据传输授权规则文件与数据传输授权规则备份文件相比对,如果一致,则保存或更新该数据传输授权规则文件。也就是说,数据源物节点所有人要在管理平台设置或更新数据传输授权规则文件,首先需要在其所拥有的数据源物节点上存储数据传输授权规则备份文件,并且需要确保两者相一致,这样才能通过管理平台的比对,完成权限的设置或更新。一般情况下,数据源物节点在第二网络(内网)中,数据源物节点所有人可以通过内网或者硬盘等直接传输方式进行文件传输,其信息很难被篡改。而数据源物节点所有人与管理平台之间传输的数据传输授权规则文件,可以通过网络传输,即便在文件传输过程中被攻击篡改,也无法通过管理平台的比对,无法最终保存在管理平台,从而无法对数据信息的传输产生实际影响,有效保障数据信息的安全性。
[0060] 在数据源物节点所有人所拥有的数据源物节点数量多于一个时,管理平台向数据传输授权规则文件对应的数据源物节点请求其保存的数据传输授权规则备份文件,将所述数据传输授权规则文件与收到的数据传输授权规则备份文件相比对的步骤中,[0061] 向该所有人名下所有数据源物节点请求其保存的数据传输授权规则备份文件;将需要保存或替换的数据传输授权规则文件与收到的各数据传输授权规则备份文件逐一比对,如果匹配率大于预设值,则保存或替换所述数据传输授权规则文件。从而进一步增加了黑客篡改数据传输规则备份文件的难度,增强了数据资产所有者的数据信息安全性。
[0062] 本发明第四实施方式涉及一种工业信息资产管理装置(管理平台),包括:至少一个处理器;以及,与至少一个处理器通信连接的
存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如第一实施方式或第二实施方式或第三实施方式的工业信息资产管理方法中管理平台所执行的操作。
[0063] 其中,存储器和处理器采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种
电路连接在一起。总线还可以将诸如
外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。工业信息资产管理装置上还可以包括收发机,总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。
[0064] 处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,
电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
[0065] 本发明第五实施方式涉及一种计算机可读存储介质,存储有
计算机程序。计算机程序被处理器执行时实现上述实施方式。
[0066] 即,本领域技术人员可以理解,实现上述实施方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是
单片机,芯片等)或处理器(processor)执行本申请各个实施方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、
只读存储器(ROM,Read-Only Memory)、
随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0067] 本发明第六实施方式涉及一种智能设备(数据源物节点),包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如第一实施方式或第二实施方式或第三实施方式的工业信息资产管理方法中数据源物节点的功能。
[0068] 本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体
实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
