一种工业物联智能虚拟专网***
技术领域
本发明涉及一种工业互联网平台,尤其涉及一种工业物联智能虚拟专网***。
背景技术
随着大数据时代的来临,越来越多的政府、企业等机构开始意识到数据正在成为组织最重要的资产,数据分析能力正在成为组织的核心竞争力,并开始了大规模的投入。
在信息化发展过程中,建设于不同时期、受各项目投资来源不同、建设管理各异、运行维护分散等制约,各类业务应用***在各个环节都大量存在,信息资源分散,各业务***之间的接口繁杂,存在信息孤岛。缺乏信息资源的统一管理机制,信息化建设与业务管理服务融合度不足。
并且存在大量数据重复采集存储环节,占用大量信息传输和存储资源的同时,其数据利用率极低。据某管道公司对其近视年内采集、上传并存储的数据的利用率统计,发现实际数据利用率仅占数据总量的0.75%,所采集的数据占用大量数据传输带宽资源和存储资源。
现有的民用云平台,其数据均交由平台存储和管理,数据安全性和私密性无法得到保障,存在数据泄露的可能性。无法为工业领域所用。
本发明的发明人发现,在工业领域,缺乏能为一个企业内各类应用或为多个企业公共使用,并且能够有效保障数据所有人对数据的掌控权的数据管控平台。
发明内容
本发明的目的在于提供一种工业物联智能虚拟专网***,使得工业信息的安全性能够得到有效保障,避免工业信息被重复采集、传输、处理,节约数据传输和存储资源的同时,有效避免外部应用直接接触工业数据,在保障工业数据安全性的同时,为各类外部应用提供统一、便利的数据调用环境。
为解决上述技术问题,本发明的实施方式提供了一种工业物联智能虚拟专网***,包括:
管理平台,所述管理平台包含第一网络IP地址,各应用通过所述第一网络与所述管理平台建立通信连接,向所述管理平台发送数据请求;
所述管理平台通过第二网络与各数据源物节点连接,所述管理平台和每个数据源物节点分别包含一第二网络IP地址;所述第一网络与所述第二网络相互独立;
所述管理平台包括数据管理服务器,所述数据管理服务器用于在所述管理平台收到来自各应用的数据请求时,对所述应用进行授权认证,如果通过授权认证,则为该应用分配一第二网络IP地址,将所述应用的第二网络IP地址和数据请求内容发送给被请求数据所属数据源物节点;指示所述数据源物节点通过所述应用的第二网络IP地址与所述应用建立第二网络安全连接,将所请求的数据发送给所述应用。
本发明实施方式相对于现有技术而言,由于数据直接保存在数据源物节点本地,无需上传到数据中心,数据处于分散分布状态,在节约大量数据传输和存储资源的同时,增强了数据被外界侵袭和盗取的难度。并且,由于存储数据的数据源物节点分布于私密的第二网络,与公共的第一网络完全隔离,从硬件配置上进一步保障了数据的安全性。并且,本实施方式中具有第一网络IP地址的只有管理平台,而管理平台上不保存任何数据,外部黑客即便侵袭管理平台,也无法获取任何数据。管理平台仅负责对数据的需求方进行权限的审核,在通过审核后,在数据请求方和数据源物节点之间建立安全连接,数据直接由数据源物节点上传到通过审核的数据请求方,从而将数据传输经留节点减至最少,数据外泄概率降到最低,在保障安全的同时,最大程度上节约了传输和存储资源。
作为进一步改进,所述第一网络一般为公共互联网,所述第二网络一般为工业互联网。
作为进一步改进,所述第二网络包含独立的域名解析服务器,各所述数据源物节点在所述管理平台注册时,所述域名解析服务器为所述数据源物节点分配所述第二网络IP地址。通过独立的域名解析机制,从物理上和机制上保障第二网络绝对独立于第一网络。
作为进一步改进,所述管理平台的数据管理服务器对所述应用进行授权认证至少包括:
对所述应用的身份信息进行认证;和/或
对所述应用的数据请求内容进行权限审核。
作为进一步改进,所述数据管理服务器还用于保存各数据源物节点的数据授权文件,在收到来自应用的数据请求时,找到被请求数据所属数据源物节点对应的数据授权文件,根据所述数据授权文件对所述应用进行授权认证。所述各数据源物节点的数据授权文件由数据源物节点所有人向所述管理平台设置。数据管理服务器仅仅为数据授权文件的执行方,其本身不具有设置数据授权文件的权限,无法擅自许可或禁止数据的传输,从而可以有效杜绝管理平台内部发生数据泄露的可能性,确保有且仅有数据资源所有人具有数据资源的传输管控权限,有效保障数据源物节点所有人的权益。
作为进一步改进,所述数据管理服务器还用于在收到数据源物节点所有人设置的数据授权文件时,向该数据授权文件对应的数据源物节点请求其保存的数据授权备份文件,将所述数据授权文件与收到的数据授权备份文件相比对,如果一致,则保存所述数据授权文件。从而即便数据授权文件在传输过程中被篡改,也无法对数据信息产生实际影响,有效保障数据信息的安全性。
作为进一步改进,所述数据管理服务器还用于在收到来自数据源物节点所有人的修改后的数据授权文件时,向待修改的数据授权文件对应的数据源物节点请求其保存的数据传输授权规则备份文件,将收到的数据授权文件与数据传输授权规则备份文件相比对,如果一致,则将所述修改后的数据授权文件替换原文件。
资产所有者需要修改其所拥有的数据源物节点的数据授权文件时,需要在将修改后的数据授权文件发送给所述工业数据管理平台的同时,将修改后的数据传输授权规则备份文件保存在所述数据源物节点上;数据管理服务器将收到的数据授权文件与数据源物节点上的数据传输授权规则备份文件相比对,如果一致,则将所述修改后的数据授权文件替换原文件。从而即便黑客袭击工业数据管理平台,篡改数据授权文件,也无法保存,工业数据管理平台将篡改后的授权规则文件与数据源物节点上的备份文件进行比对,即可发现漏洞,从而拒绝修改。有效保障数据资产所有者的数据信息安全性。
作为进一步改进,所述数据管理服务器还用于在所述数据源物节点所有人所拥有的数据源物节点数量多于一个时,向该所有人名下所有数据源物节点请求其保存的数据传输授权规则备份文件;将需要保存或替换的数据授权文件与收到的各数据传输授权规则备份文件逐一比对,如果匹配率大于预设值,则保存或替换所述数据授权文件。从而进一步增加了黑客篡改数据传输规则备份文件的难度,增强了数据资产所有者的数据信息安全性。
作为进一步改进,所述管理平台还用于根据所述数据源物节点注册时设置的所有人身份信息,验证所述数据源物节点所有人身份,在通过所述数据源物节点所有人身份认证后,接收所述数据源物节点所有人的数据授权文件。
作为进一步改进,所述数据源物节点与应用之间的第二网络安全连接为:所述数据源物节点到所述应用的单向虚拟专用连接。从而即便外部应用与数据源物节点之间建立连接,也只能从物节点获取通过授权审核的数据,无法对数据源物节点进行任何操作,保障了第二网络中数据源物节点的安全性。
作为进一步改进,所述应用来自以下任意设备:个人PC、移动终端、云平台、或中心服务器等等。
作为进一步改进,所述管理平台将所述应用的第二网络IP地址和数据请求内容发送给被请求数据所属数据源物节点时,还包含数据集传输管控信息;所述数据传输管控信息包括以下之一或其任意组合:数据传输起始时间、数据传输时间长度、数据传输结束时间、数据传输文件类型、建立连接类型;指示所述数据源物节点在所述传输管控信息指示范围内建立与所述应用间的第二网络安全连接,将所请求的数据发送给所述应用。通过对数据传输时间、传输形式进行安全限制,可以进一步防止数据传输链被不法分子破解和盗用。
作为进一步改进,所述数据源物节点至少包括数据采集和保存功能,用于获取并保存工控设备各项工业数据信息,所述工业数据信息至少包括以下之一:
所述工控设备运行过程中生成的工业数据信息、监控所述工控设备得到的检测数据信息,等等。
附图说明
图1是根据本发明一较佳实施方式的工业物联智能虚拟专网***结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请各权利要求所要求保护的技术方案。
本发明的一较佳实施方式涉及一种工业物联智能虚拟专网***,如图1所示,包括:
管理平台,所述管理平台包含第一网络IP地址,各应用通过所述第一网络与所述管理平台建立通信连接,向所述管理平台发送数据请求;
所述管理平台通过第二网络与各数据源物节点连接,所述管理平台和每个数据源物节点分别包含一第二网络IP地址;所述第一网络与所述第二网络相互独立;
所述管理平台包括数据管理服务器,所述数据管理服务器用于在所述管理平台收到来自各应用的数据请求时,对所述应用进行授权认证,如果通过授权认证,则为该应用分配一第二网络IP地址,将所述应用的第二网络IP地址和数据请求内容发送给被请求数据所属数据源物节点;指示所述数据源物节点通过所述应用的第二网络IP地址与所述应用建立第二网络安全连接,将所请求的数据发送给所述应用。
本发明实施方式相对于现有技术而言,由于数据直接保存在数据源物节点本地,无需上传到数据中心,数据处于分散分布状态,在节约大量数据传输和存储资源的同时,增强了数据被外界侵袭和盗取的难度。并且,由于存储数据的数据源物节点分布于私密的第二网络,与公共的第一网络完全隔离,从硬件配置上进一步保障了数据的安全性。并且,本实施方式中具有第一网络IP地址的只有管理平台,而管理平台上不保存任何数据,外部黑客即便侵袭管理平台,也无法获取任何数据。管理平台仅负责对数据的需求方进行权限的审核,在通过审核后,在数据请求方和数据源物节点之间建立安全连接,数据直接由数据源物节点上传到通过审核的数据请求方,从而在保障安全的同时,最大程度上节约了传输和存储资源。
作为进一步改进,所述第一网络一般为公共互联网,所述第二网络一般为工业互联网。
作为进一步改进,所述第二网络包含独立的域名解析服务器,各所述数据源物节点在所述管理平台注册时,所述域名解析服务器为所述数据源物节点分配所述第二网络IP地址。通过独立的域名解析机制,从物理上和机制上保障第二网络绝对独立于第一网络。
作为进一步改进,所述管理平台的数据管理服务器对所述应用进行授权认证至少包括:
对所述应用的身份信息进行认证;和/或
对所述应用的数据请求内容进行权限审核。
作为进一步改进,所述数据管理服务器还用于保存各数据源物节点的数据授权文件,在收到来自应用的数据请求时,找到被请求数据所属数据源物节点对应的数据授权文件,根据所述数据授权文件对所述应用进行授权认证。数据管理服务器仅仅为数据授权文件的执行方,其本身不具有设置数据授权文件的权限,无法擅自许可或禁止数据的传输,从而可以有效杜绝管理平台内部发生数据泄露的可能性,有效保障数据源物节点所有人的权益。
作为进一步改进,所述各数据源物节点的数据授权文件由数据源物节点所有人向所述管理平台设置。从而确保有且仅有数据资源所有人具有数据资源的传输管控权限。
作为进一步改进,所述数据管理服务器还用于在收到数据源物节点所有人设置的数据授权文件时,向该数据授权文件对应的数据源物节点请求其保存的数据授权备份文件,将所述数据授权文件与收到的数据授权备份文件相比对,如果一致,则保存所述数据授权文件。从而即便数据授权文件在传输过程中被篡改,也无法对数据信息产生实际影响,有效保障数据信息的安全性。
作为进一步改进,所述数据管理服务器还用于在收到来自数据源物节点所有人的修改后的数据授权文件时,向待修改的数据授权文件对应的数据源物节点请求其保存的数据传输授权规则备份文件,将收到的数据授权文件与数据传输授权规则备份文件相比对,如果一致,则将所述修改后的数据授权文件替换原文件。
资产所有者需要修改其所拥有的数据源物节点的数据授权文件时,需要在将修改后的数据授权文件发送给所述工业数据管理平台的同时,将修改后的数据传输授权规则备份文件保存在所述数据源物节点上;数据管理服务器将收到的数据授权文件与数据源物节点上的数据传输授权规则备份文件相比对,如果一致,则将所述修改后的数据授权文件替换原文件。从而即便黑客袭击工业数据管理平台,篡改数据授权文件,也无法保存,工业数据管理平台将篡改后的授权规则文件与数据源物节点上的备份文件进行比对,即可发现漏洞,从而拒绝修改。有效保障数据资产所有者的数据信息安全性。
作为进一步改进,所述数据管理服务器还用于在所述数据源物节点所有人所拥有的数据源物节点数量多于一个时,向该所有人名下所有数据源物节点请求其保存的数据传输授权规则备份文件;将需要保存或替换的数据授权文件与收到的各数据传输授权规则备份文件逐一比对,如果匹配率大于预设值,则保存或替换所述数据授权文件。从而进一步增加了黑客篡改数据传输规则备份文件的难度,增强了数据资产所有者的数据信息安全性。
作为进一步改进,所述管理平台还用于根据所述数据源物节点注册时设置的所有人身份信息,验证所述数据源物节点所有人身份,在通过所述数据源物节点所有人身份认证后,接收所述所有人的数据授权文件,进行保存或替换原文件。
作为进一步改进,所述数据源物节点与应用之间的第二网络安全连接为:所述数据源物节点到所述应用的单向虚拟专用连接。从而即便外部应用与数据源物节点之间建立连接,也只能从物节点获取通过授权审核的数据,无法对数据源物节点进行任何操作,保障了第二网络中数据源物节点的安全性。
作为进一步改进,所述应用来自以下任意设备:个人PC、移动终端、云平台、或中心服务器等等。
作为进一步改进,所述管理平台将所述应用的第二网络IP地址和数据请求内容发送给被请求数据所属数据源物节点时,还包含数据集传输管控信息;所述数据传输管控信息包括以下之一或其任意组合:数据传输起始时间、数据传输时间长度、数据传输结束时间、数据传输文件类型、建立连接类型;指示所述数据源物节点在所述传输管控信息指示范围内建立与所述应用间的第二网络安全连接,将所请求的数据发送给所述应用。通过对数据传输时间、传输形式进行安全限制,可以进一步防止数据传输链被不法分子破解和盗用。
作为进一步改进,所述数据源物节点至少包括数据采集和保存功能,用于获取并保存工控设备各项工业数据信息,所述工业数据信息至少包括以下之一:
所述工控设备运行过程中生成的工业数据信息、监控所述工控设备得到的检测数据信息,等等。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。