CN113779607A - 一种工业数据资产管理方法、***和设备 - Google Patents

Abstract

本发明公开了一种工业数据资产管理方法，基于区块链实现，区块链包含多个数据通道，不同数据通道用于存储不同类别的信息，其中方法包括：利用背书节点对任一客户端节点发送的待上链请求进行背书；之后将背书结果发送至客户端节点，使得客户端节点在接收到背书结果为认证通过时，将待上链数据的数据摘要和存储路径按照数据类别打包生成带有类别标签的打包数据；之后将打包数据发送至排序节点进行打包数据排序以及新区块生成操作；通过排序节点将新区块广播至对应数据通道中的节点，以当通道上各节点达成共识后保存新区块到账本，并生成新区块的智能合约。本发明提供的技术方案解决了工业互联网边缘数据确权、共享与交易的安全、可信问题。

Description

一种工业数据资产管理方法、***和设备

技术领域

本发明涉及数据资产领域，具体涉及一种工业数据资产管理方法、***和设备。

背景技术

随着工业互联网和5G的发展，数据量呈爆发式增长，数据资产对企业的变得越来越重要。工业企业对于跨企业、跨行业数据共享合作的需求正在快速增加，数据只有在流动中才能释放其潜在价值。但是，目前数据确权、交易机制尚未建立完善，出于对商业秘密和隐私泄露、数据资产借出的顾虑，数据所有方需要通过第三方机构背书与数据需求方进行数据交易，这种方式增加了交易成本，降低了效率；且传统集中式数据存储方式，存在数据盗用的风险；同时，存在交易中介背书机构信任不足、货权交易频繁带来的溯源困难等诸多行业痛点。这严重阻碍了数据资产效能的发挥、价值的高效转移和流转共享，跨企业、跨行业的数据共享流通难以开展，阻碍了数据创新应用的推进，也成为当前工业互联网平台推广应用的核心痛点，工业互联网平台边缘数据的归属确权、可靠交易和传输安全成为亟需解决的问题。

发明内容

有鉴于此，本发明实施方式提供了一种工业数据资产管理方法、***和设备，从而解决了工业数据资产确权、共享与交易的安全、可信问题。

根据第一方面，一种工业数据资产管理方法，基于区块链实现，所述区块链包含多个数据通道，所述数据通道由区块链内的多个所述节点组成，不同数据通道用于存储不同类别的数据，所述方法包括：利用背书节点对任一客户端节点发送的待上链请求进行背书；通过所述背书节点将所述背书结果发送至客户端节点，使得所述客户端节点在接收到背书结果为认证通过时，将待上链数据的数据摘要和存储路径按照数据类别打包生成带有类别标签的打包数据；接收所述客户端节点发送的所述打包数据，并将所述打包数据发送至排序节点进行打包数据排序以及新区块生成操作；通过所述排序节点将所述新区块广播至对应数据通道中的节点，以当通道上各节点达成共识后保存新区块到账本，并生成新区块的智能合约。

可选地，在所述利用背书节点对任一客户端节点发送的待上链请求进行背书之前，所述方法还包括：接收客户端节点发送的上链数据密文、数字签名和加密密钥，所述上链数据密文由对称密钥对待上链数据进行加密生成，所述数字签名由第一非对称加密方法对所述待上链数据的数据摘要进行加密生成，所述加密密钥由第二非对称加密方法对所述对称密钥进行加密生成；将所述上链数据密文、数字签名和加密密钥发送至背书节点；利用所述背书节点以第一非对称解密方法和第二非对称解密方法分别对所述数字签名和所述加密密钥解密，以分别获取所述数据摘要和所述对称密钥；利用所述对称密钥对所述上链数据密文进行解密得到所述待上链数据，并利用所述数据摘要对所述客户端节点的身份以及待上链数据进行验证。

可选地，所述区块链的数据通道包括用于存储用户账户信息的账户信息通道，所述方法还包括：接收用户通过所述客户端节点发送的注册请求并分配用户ID；基于第一非对称加密方法建立所述用户ID对应的用户私钥，所述用户私钥用于数据传输时的加密；并基于所述用户私钥和所述用户ID生成数字证书；将所述数字证书返回至客户端节点，同时将所述用户私钥、数字证书和所述用户ID作为账户信息保存至所述帐户信息通道中。

可选地，所述客户端节点与外部工业边缘模块通信连接，所述工业边缘模块用于对数据进行分级分类，并根据客户端节点的上链请求对所述待上链数据的数据摘要进行分通道上链确权，针对所述接收客户端节点发送的上链数据密文、数字签名和加密密钥，所述方法还包括：接收所述工业边缘模块根据所述客户端节点的上链请求发送的上链数据密文、数字签名和加密密钥。

可选地，所述利用背书节点对任一客户端节点发送的待上链请求进行背书，包括：接收所述客户端节点发送的上链请求，并接收所述外部工业边缘模块发送的数字签名、所述上链数据密文和加密密钥，所述数字签名基于第一非对称加密方法由所述数据摘要使用所述用户私钥加密生成，所述上链数据密文由所述待上链数据使用对称密钥加密生成，所述加密密钥基于第二非对称加密方法由所述对称密钥使用区块链CA公钥加密生成；基于第二非对称解密方法利用区块链CA私钥对所述加密密钥解密得到所述对称密钥；利用所述对称密钥对所述上链数据密文解密得到所述待上链数据；基于预设摘要算法计算所述待上链数据的第二数据摘要；获取所述用户私钥对应的用户公钥，并基于第一非对称解密方法利用所述用户公钥解密所述数字签名；若解密成功则将得到的数据摘要与所述第二数据摘要进行比对；若比对结果一致则生成所述待上链请求认证通过的背书结果，若比对结果不一致则生成所述待上链请求认证失败的背书结果。

可选地，所述区块链的数据通道还包括用于存储不同类别工业数据的工业数据通道，所述将待上链数据的数据摘要和存储路径按照数据类别打包生成带有类别标签的打包数据，包括：判断所述待上链数据隶属的工业数据类别，所述工业数据类别包括研发设计、生产制造、经营管理和运维服务中的任意多种；将所述待上链数据的数据摘要和所述存储路径打包并标记工业数据类别对应的工业数据通道，所述工业通道包括研发设计通道、生产制造通道、经营管理通道和运维服务通道。

可选地，每个数据通道包括预先设置的主节点和从节点，所述通过所述排序节点将所述新区块广播至对应数据通道中的节点，包括：将接收到的新区块广播至对应类别的数据通道中的主节点，以通过所述主节点将所述新区块继续广播至所在通道的从节点。

根据第二方面，一种工业数据资产管理方法，基于区块链实现，所述区块链包含多个数据通道，不同数据通道用于存储不同类别的数据，数据摘要转换为新区块上链成功后，所述方法包括：接收任一数据需求方通过客户端节点发送的交易请求，并验证交易请求的用户ID；当用户ID验证通过时，根据交易请求中所需数据的数据类别定位目标数据通道；广播所述交易请求至所述目标数据通道中的全部节点，以通过所述目标数据通道中的节点解析数据所有方的用户ID和原始数据的存储路径；通过所述数据所有方的用户ID和原始数据的存储路径获取目标数据，并根据智能合约设定的交易规则将所述目标数据发送给所述客户端节点。

可选地，所述并根据智能合约设定的交易规则将所述目标数据发送给所述客户端节点，包括：当所述交易规则声明原始数据不能明文发送时，基于预设摘要算法和链上数据摘要对所获取的原始数据进行验证，并在验证通过时将基于所述原始数据生成的处理结果作为所述目标数据发送至所述客户端节点；当所述交易规则声明原始数据能够明文发送时，基于预设摘要算法和链上数据摘要对所获取原始数据进行验证，并在验证通过时将所述原始数据作为所述目标数据发送至所述客户端节点。

可选地，所述数据通道还包括用于存储交易信息的交易信息通道，在所述根据智能合约设定的交易规则将所述目标数据发送给所述客户端节点之后，所述方法还包括：生成交易信息，并利用如第一方面任意可选实施方式中将数据摘要上传至区块链的相同方式将所述交易信息上传至区块链的交易信息通道。

根据第三方面，一种工业数据资产管理设备，包括：

存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行第一方面、第二方面、第一方面任意一种可选实施方式或者第二方面任意一种可选实施方式中所述的方法。

根据第四方面，本发明实施例提供了一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机从而执行第一方面、第二方面、第一方面任意一种可选实施方式或者第二方面任意一种可选实施方式中所述的方法。

本发明技术方案，具有如下优点：

本发明实施例提供的一种数据资产管理方法。该方法具体包括：基于区块链实现对工业边缘数据的管理，首先将工业数据按照不同的数据类别和对工业生产的潜在影响进行分类分级，并且在区块链中设置对应类别的数据通道，根据数据级别和隐私性灵活设置获取数据的权限，提升工业数据管理能力，提高***运行效率，同时满足了不同类别数据的隐私保护要求，保护隐私信息不被轻易泄露，风险更容易控制。上链确权时，背书节点将认证通过的背书结果发送至客户端节点，客户端节点在接受到认证通过的背书结果后进行数据打包，之后将打包好的数据发送至排序节点，排序节点在接受到打包数据后，对数据进行排序，并生成新区块广播至区块链相应通道内的节点，节点形成共识完成数据的上链确权，生成新区块的智能合约。

此外，在背书节点背书之前，通过第一和第二两种非对称加密算法将用于加密上链数据的对称密钥和上链数据摘要同时非对称加密，使得上链数据密文在传输的过程中具有三重保障，增加了数据上链的安全性。本发明将数据按照《工业数据分类分级指南(试行)》进行分级分类，将数据分为研发设计类、生产制造类、经营管理类、运维服务类，并将每类数据按照对工业生产的潜在影响分为一级、二级、三级。并且将不同类别数据存储在区块链的不同类别通道中，根据数据级别和隐私性灵活设置获取数据的权限，提升工业数据管理能力，提高***运行效率，同时满足了不同类别数据的隐私保护要求，保护隐私信息不被轻易泄露，风险更容易控制。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例的一种工业数据资产管理方法的步骤示意图；

图2为本发明实施例的一种工业数据资产管理方法的以联盟链为例的结构示意图；

图3为本发明实施例的一种工业数据资产管理方法的区块结构示意图；

图4为本发明实施例的一种工业数据资产管理方法的加密解密步骤示意图；

图5为本发明实施例的一种工业数据资产管理方法的步骤示意图；

图6为本发明实施例的一种工业数据资产管理***的结构示意图；

图7为本发明实施例的一种工业数据资产管理***的结构示意图；

图8为本发明实施例的一种工业数据资产管理设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

请参阅图1和图2，本发明实施例提供的一种工业数据资产管理方法，基于区块链实现，区块链包含多个数据通道，数据通道由区块链内的多个节点组成，不同数据通道用于存储不同类别的信息，本发明实施例以联盟链为例进行步骤说明和技术实现，Hyperledger(超级账本)是2015年由Linux基金会发起的推进区块链数字技术和交易验证的开源项目，以建设一个透明、安全、去中心化的企业级区块链解决方案为目的。Fabric是Hyperledger的一个子项目，是被最多大企业所采用的区块链，可为特定行业构建特定区块链解决方案。本发明基于Fabric企业级联盟链解决工业数据上链确权与交易问题，联盟链包含多个组织，在本发明实施例中，每个组织代表一个独立的企业。本方法具体包括如下步骤：

步骤S101：利用背书节点对任一客户端节点发送的待上链请求进行背书。具体的，通过区块节点中的背书节点对待上链请求进行背书认证，确认待上链数据所有方的身份，保证上链数据的可靠性。大量的原始数据上链会加重整体区块链***的负担，因此将原始数据的数据摘要和存储路径进行上链，不仅保证了数据存储、传输、共享的安全性，还降低了区块链***的负载。

步骤S102：通过背书节点将背书结果发送至客户端节点，使得客户端节点在接收到背书结果为认证通过时，将待上链数据的数据摘要和存储路径按照数据类别打包生成带有类别标签的打包数据。具体地，背书节点对待上链请求进行背书认证，当确认数据所有方身份和数据无问题之后，并将认证结果发送给客户端节点，客户端节点在收到认证通过的结果后，开始调用SDK与区块链对接，向区块链***发送上链请求，并将待上链数据的数据摘要和存储路径信息一起按照数据的类别进行打包。

步骤S103：接收客户端节点发送的打包数据，并将打包数据发送至排序节点进行打包数据排序以及新区块生成操作。具体地，排序节点负责接收到网络中所有客户端节点发出的上链请求，按客户端节点请求的接收时间顺序对上链请求进行排序，并生成区块。其中，新区块由区块头和区块体构成，如图3所示，是以交易信息内容为例组成的区块结构示意图，区块头包括版本号、父区块头哈希值、时间戳、Merkle树根值、区块大小、难度与随机数；区块体中根据通道的不同可以分为账户信息内容、数据所有方数据信息内容、交易信息内容。

步骤S104：通过排序节点将新区块广播至对应数据通道中的节点，以当通道上各节点达成共识后保存新区块到账本，并生成新区块的智能合约。具体地，排序节点将新区块进行排序之后，当轮到新区块上链时，将该新区块广播至相应通道上不同组织的主节点，通道上各节点达成共识后保存新区块到账本，生成新区块的智能合约。其中，智能合约(Smartcontract)在区块链中是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转。本发明实施例中，智能合约的内容包括但不限于：预设数据有效期，指定部分数据仅能输出运算结果并不发送原始数据。账本为是在一个在去中心化网络(本实施例中的区块链***)的成员之间分享、复制、同步的一种数据库，分布式记录着网络的参与者们之间的交易。

具体的，在一实施例中，在上述步骤S101之前，本发明实施例提供的一种工业数据资产管理方法，还包括如下步骤：

步骤S105：接收客户端节点发送的上链数据密文、数字签名和加密密钥，上链数据密文由对称密钥对待上链数据进行加密生成，数字签名由第一非对称加密方法对待上链数据的数据摘要进行加密生成，加密密钥由第二非对称加密方法对对称密钥进行加密生成。

步骤S106：将上链数据密文、数字签名和加密密钥发送至背书节点。

步骤S107：利用背书节点以第一非对称解密方法和第二非对称解密方法分别对数字签名和加密密钥解密，以分别获取数据摘要和对称密钥；利用对称密钥对上链数据密文进行解密得到待上链数据，并利用数据摘要对客户端节点的身份以及原始数据进行验证，以验证数据所有方数字签名是否正确以及数据本真性。

具体地，数据所有方身份的正确性和数据的完整性是数据安全、可信交易的基础，因此数据的安全传输至关重要，黑客往往针对这一环节进行攻击，因此提出一种安全的传输方法提高黑客截获数据的难度，能够在背书过程中最大程度的保证数据安全性。在本发明实施例中，首先客户端节点采用对称密钥对待上链数据(即原始数据)进行对称加密得到上链数据密文，之后将对称密钥使用第二非对称加密方法加密生成加密密钥，再对待上链数据的数据摘要进行非对称加密得到数字签名。之后客户端节点将上述三种加密信息发送给区块链***，区块链***在接收到发送来的三通道加密信息后，将该加密信息发送至背书节点，背书节点首先对接收到的加密密钥进行解密得到对称密钥，之后再用对称密钥对上链数据密文进行解密得到原始数据，并用第一非对称解密方法对数字签名进行解密得到数据摘要，之后再利用预设摘要算法对区块链***获取的原始数据进行摘要运算得到新的数据摘要，并将新的数据摘要与解密得到的数据摘要相比对，若完全一致则说明客户身份的正确性以及数据的完整性。使用三重加密信息的信息传输方法进一步提高了数据的安全性，使得黑客即便在传输时截取了三类信息，也会因为没有区块链CA的解密密钥无法对任何一种信息进行解密，从而更不能得到原始的上链数据。

具体地，在一实施例中，数据通道包括帐户信息通道，本发明实施例提供的一种工业数据资产管理方法，还包括如下步骤：

步骤S108：接收用户通过客户端节点发送的注册请求，并分配用户ID；基于第一非对称加密方法建立用户ID对应的用户私钥，用户私钥用于数据传输时的加密；并基于用户私钥和用户ID生成数字证书。

步骤S109：将数字证书返回至客户端节点，同时将用户私钥、数字证书和用户ID作为账户信息保存至帐户信息通道中。

具体地，在客户注册时，区块链***为每个用户分配一个唯一的用户ID，建立用户私钥，生成数字证书，并将用户私钥、数字证书连同用户ID一起保存在区块链***中，在本发明实施例中，用户私钥用于对上链数据摘要进行加密得到数字签名；用户公钥用于在背书节点接收到数字签名后，对数字签名进行解密。数字证书用于在用户交易时增加对客户身份验证的途径，保证客户身份的真实性。具体地，在一实施例中，账户信息还包括用户名称，若同一组织(例如企业)具有多个账户(即多个用户ID)，组织的用户名称起到方便索引同一组织的作用。

具体地，在一实施例中，客户端节点与外部工业边缘模块建立通信连接，工业边缘模块用于对数据进行分级分类，并根据客户端节点的上链请求对待上链数据的数据摘要进行分通道上链确权，基于步骤S108～S109，步骤S105还包括如下步骤：

步骤S1051：接收工业边缘模块根据客户端节点的上链请求发送的上链数据密文、数字签名和加密密钥。具体地，在本发明实施例中，通过工业边缘模块实现设备接入、协议解析、数据采集与数据分类分级等处理操作，将上述操作在邻近设备一侧进行，进而大幅度降低了的云计算算力，还能节省更多网络资源以提供网络连接，此外还对网络安全和隐私提供出更有效的保护。本发明实施例中，工业边缘模块包括但不限于工业边缘服务器和工业边缘网关。

具体地，如图4所示，在一实施例中，基于步骤S1051，上述步骤S101包括如下步骤：

步骤S1011：接收客户端节点发送的上链请求，并接收外部工业边缘模块发送的数字签名、上链数据密文和加密密钥，数字签名基于第一非对称加密方法由待上链数据的数据摘要使用用户私钥加密生成，上链数据密文由原始数据使用对称密钥加密生成，加密密钥基于第二非对称加密方法由对称密钥使用区块链CA公钥加密生成。

步骤S1012：基于第二非对称解密方法利用区块链CA私钥对加密密钥解密得到对称密钥。

步骤S1013：利用对称密钥对上链数据密文解密得到待上链数据。

步骤S1014：基于预设摘要算法计算待上链数据的第二数据摘要。

步骤S1015：获取用户私钥对应的用户公钥，并基于第一非对称解密方法利用用户公钥解密数字签名。

步骤S1016：若解密成功则将得到的数据摘要与第二数据摘要进行比对。

步骤S1017：若比对结果一致则生成待上链请求认证通过的背书结果，若比对结果不一致则生成待上链请求认证失败的背书结果。

具体地，在本发明实施例中，在客户端节点发送了数据上链请求消息后，工业边缘模块同时对该请求进行响应，对待上链数据(即原始数据)进行加密处理从而进行背书操作。工业边缘模块首先利用预设摘要算法计算原始数据的数据摘要，在一实施例中，采用SHA-3摘要算法，本发明并不以此为限；之后根据客户端节点的用户私钥对数据摘要进行加密得到数字签名；同时使用一个对称密钥对原始数据进行加密得到上链数据密文；之后工业边缘模块接收区块链***发送过来的CA公钥，使用该CA公钥对对称密钥进行加密得到加密密钥，保证加密密钥只能由区块链***使用自身的CA私钥进行解密。从而在工业边缘模块端得到了三种加密信息，分别是加密密钥、数字签名、和上链数据密文。加密密钥由于使用的区块链CA公钥加密，因此只能通过区块链自身的CA私钥进行解密，上链数据密文只能通过将加密密钥解密后得到的对称密钥解密，数字签名可以通过获取用户私钥对应的用户公钥进行解密，数字签名中并不包含任何密码信息，只有认证客户身份和数据完整性的作用，只有在公钥成功解密数字签名时，才能证明该数据是当前用户ID授权上传的数据。因此上述解密操作均需要在区块链中进行，黑客截取了三种加密信息之后，以目前的技术手段无法进行任何破解。本发明实施例提供的加密传输方法，大大提高了数据传输、确权过程中的安全性。区块链***接受到上述三种加密信息后，将加密信息发送至链中的背书节点进行解密，解密完成之后计算获取的原始数据的第二数据摘要，将第二数据摘要与先前解密得到的数据摘要进行比对，若一致则说明用户身份验证通过以及原始数据在传输时未被篡改，从而对待上链请求签发认证通过的证书得到背书结果，并将该背书结果发送至客户端节点。若认证失败，则将认证失败的背书结果发送至客户端节点，放弃本次数据上链。

具体地，在一实施例中，区块链的数据通道还包括用于存储不同类别工业数据的工业数据通道，上述步骤S102，具体包括如下步骤：

步骤S1021：判断待上链数据隶属的工业数据类别，工业数据类别包括研发设计、生产制造、经营管理和运维服务中的任意多种。

步骤S1022：将待上链数据的数据摘要和存储路径打包并标记工业数据类别对应的工业数据通道，工业数据通道包括研发设计通道、生产制造通道、经营管理通道和运维服务通道。

具体地，现有工业数据管理平台并没有对工业数据进行分类分级存储，在本发明实施例中，按照工业和信息化部发布的《工业数据分类分级指南(试行)》进行分级分类，将数据分为研发设计类、生产制造类、经营管理类、运维服务类，并将每类数据按照对工业生产的潜在影响分为一级、二级、三级(等级越高，代表数据遭到篡改、破坏、泄露或非法利用时造成的损失和负面影响越大)。从而将待上链数据的摘要信息和存储路径信息按照工业数据类别，上链到对应的类别通道中，根据数据级别和隐私性灵活设置获取权限，提升工业数据管理能力，提高***运行效率，保护隐私信息不被轻易泄露，风险更容易控制。

具体地，在一实施例中，每个数据通道包括预先设置的主节点和从节点，上述步骤S104，具体包括如下步骤：

步骤S1041：将接收到的新区块广播至对应类别的数据通道中的主节点，以通过主节点将新区块继续广播至所在通道的从节点，以当通道上各节点达成共识后保存新区块到账本。具体地，任意一个组织地任意通道中，将所有节点均与区块链***进行通信会占用大量网络资源，在一个通道中，需要一个与区块链***通信的主节点，其他节点作为从节点与主节点进行通信。例如：某一上链数据为运维数据，则排序节点先将摘要广播至各个组织内运维服务通道的主节点，再由主节点将该摘要信息广播至运维服务通道内的全部从节点。在本发明实施例中，基于拜占庭容错机制使得区块链中的节点达成一致，完成数据的上链确权。具体地，针对任意一个组织地任意一个通道中，若已知其包含f个异常节点(无法正常发送与接收消息的故障节点)，f为正整数，则通过以下步骤完成数据链：

1.接收主节点广播的新区块，并判断主节点的广播时间是否超过预设时间。

2.若未超过预设时间则根据从节点的返回消息判断是否存在能够接收到2f个正确新区块的正常从节点，正确新区块是从节点之间互相发送的区块，正确新区块与主节点发送的新区块一致。

3.若存在正常从节点，并当正常从节点个数达到2f时，将新区块保留，若不存在正确从节点则放弃当前组织内数据上链。

4.若1.中广播超过预设时间则发送视图转换消息到全部节点，并统计返回视图转换确认消息的确认节点个数。

5.若确认节点个数达到2f+1，则从确认节点中挑选任意一个节点作为新的主节点，并将新区块广播至其他确认节点中，直至返回2f个新区块的确认消息为止。

具体地，本发明实施例基于拜占庭容错算法使组织内的节点达成共识，从而完成数据上链操作。若当前组织的当前类别通道中包含f个异常节点(联盟内的节点设备由于损坏或软件协议等问题无法发送消息的节点)，只要节点总数大于等于3f+1个，即可在任何情况下使得全部节点以少数服从多数的原则达成共识(拜占庭容错原理为现有技术，本发明不再赘述)，实现数据上链，一方面验证了区块链***的可靠性，进一步保证了数据上链的安全性。因此首先判断当前组织内的主节点广播新区块的时间超过预设时间，若超过预设时间说明主节点为异常节点，例如：预设时间为1分钟，主节点在1分钟之内都没有进行广播操作即为异常节点。若主节点在预设时间内正常广播，即为正常节点。在主节点广播新区块后，从节点之间互相发送新区块，针对任意一个从节点，当其接受到的新区块与主节点发送的新区块比对一致时，代表该从节点接收到了1个正确新区块，当该从节点能够接收到2f个正确新区块时，加上自身节点，说明该区块链中包含了总数大于3f+1的节点，即该区块链正常可用，并且该从节点是一个正常从节点，即正常节点。之后在区块链***接收到的返回消息中，当返回正常从节点的确认消息达到2f个时，代表带区块中至少已经有2f+1个正常节点接收到了新区块，从而全部节点以少数服从多数的原则达成共识，将该新区块保留，完成当前上链数据的存储。

若主节点广播新区块超过预设时间，代表该主节点为异常节点，从而区块链***发送视图转换消息至当前组织的当前类别通道内的全部节点，当区块链***收到返回的视图转换确认消息数量达到2f+1时，即能够正确返回消息的正常节点至少有2f+1个，并表示该网络包含了总数大于等于3f+1的节点，即当前组织内区块链***可以正常使用。之后从返回视图转换确认消息的2f+1节点中选择新的主节点，并且只要这2f+1个正常节点达成共识，该组织内整个通道即可达成共识，之后由主节点广播新区块给剩下的返回确认消息的2f个从节点，当区块链***收到返回的2f个新区块确认消息时，表示该通道内的全部节点可以达成共识，完成上链数据的上链，生成新区块的智能合约。如图5所示，本发明实施例还提供了一种工业数据资产管理方法，基于区块链实现，区块链包含多个数据通道，不同数据通道用于存储不同类别的信息，数据摘要转换为新区块上链成功后，该方法具体包括如下步骤：

步骤S110：接受任一数据需求方通过客户端节点发送的交易请求，并验证交易请求的用户ID。

步骤S111：当用户ID验证通过时，根据交易请求中所需数据的数据类别定位目标数据通道。

步骤S112：广播交易请求至目标数据通道中的全部节点，以通过目标数据通道中的节点解析数据所有方的用户ID和原始数据的存储路径。

步骤S113：通过数据所有方的用户ID和原始数据的存储路径获取目标数据，并根据智能合约设定的交易规则将目标数据发送给客户端节点。

具体地，该区块链对接多个客户端节点，当某一客户端节点需要进行数据交易时，区块链***接受到交易请求后，首先对数据需求方的用户ID进行身份验证，当验证通过时，通过数据需求方需要的工业数据类别定位相应的数据通道，并将该请求广播到目标通道中的所有节点处，各个节点对该数据所有方的用户ID和预先保存在区块链***的数据存储路径进行解析，之后通过目标数据的存储路径找到并获取目标数据。最后根据数据存储时的智能合约中的交易规则将目标数据发送至数据需求方的客户端节点。智能合约(Smartcontract)在区块链中是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易，这些交易可追踪且不可逆转。本发明实施例中，智能合约的内容包括但不限于：预设数据有效期，指定部分数据仅能输出运算结果并不发送原始数据。上述步骤保证了数据交易时的安全性和可靠性。

具体地，在一实施例中，上述步骤S113，具体包括如下步骤：

步骤S1131：当交易规则声明原始数据不能明文发送时，基于预设摘要算法和链上数据摘要对所获取的原始数据进行验证，并在验证通过时将基于原始数据生成的处理结果作为目标数据发送至客户端节点；具体地，当某些数据级别为二级或三级时，用户需求方不被允许获取原始数据的数据明文时，区块链***需要根据需求方的具体需求对原始数据进行处理。当区块链根据存储路径从数据所有方处获取到原始数据之后，区块链***以预设摘要算法计算原始数据的数据摘要，并与链上存储的数据摘要进行比对，若比对一致表示区块链从数据所有方获取的原始数据无问题，进而将原始数据在链上进行处理，之后将处理结果发送给需求方。

步骤S1132：当交易规则声明原始数据能够明文发送时，基于预设摘要算法和链上数据摘要对所获取原始数据进行验证，并在验证通过时将原始数据作为目标数据发送至客户端节点。具体地，当某些数据级别为一级时，用户需求方被允许获取原始数据的数据明文时，当区块链根据存储路径从数据所有方处获取到原始数据之后，当基于预设摘要算法计算的数据摘要与链上存储的数据摘要相同时，区块链***直接将原始数据发送给需求方，具体原理参考步骤S1131，在此不再赘述。

具体地，在一实施例中，上述步骤S113之后，还包括如下步骤：

步骤S114：生成交易信息，并利用如步骤S101～S109中描述的将数据摘要上传至区块链的相同方式将交易信息上传至区块链的交易信息通道。具体地，每次交易结束后生成交易信息均需要上链，使用与摘要上链时的相同步骤进行交易信息的上链到特定的交易信息通道，使得交易信息清晰透明且不可更改，进一步保证了交易的安全性和可靠性。

通过执行上述各个步骤，本发明实施例提供的：一种工业数据资产管理方法。该方法具体包括：在边缘对数据进行分级分类与分通道上链确权，在数据上链的过程中，将工业数据按照《工业数据分类分级指南(试行)》进行分级分类，将数据分为研发设计类、生产制造类、经营管理类、运维服务类，并将每类数据按照对工业生产的潜在影响分为一级、二级、三级。并且在区块链中设置对应分类的上链通道，根据数据级别和隐私性灵活设置获取权限，提升工业数据管理能力，提高***运行效率，同时满足了不同类别数据的隐私保护要求，保护隐私信息不被轻易泄露，风险更容易控制。之后通过数据的背书认证、排序生成新区快和广播到节点形成共识完成数据的上链确权，生成新区块的智能合约。

此外，通过第一和第二两种非对称加密算法将用于加密上链数据的对称密钥和上链数据摘要同时非对称加密，使得上链数据密文在传输的过程中具有三重保障，增加了数据上链的安全性。之后在数据验证通过后，背书节点将认证通过的背书结果发送至客户端节点，客户端节点在接受到认证通过的背书结果后将数据发送至客户端节点进行数据打包，之后将打包好的数据发送至排序节点，排序节点在接受到打包数据后，对数据进行排序，并生成新区块广播至区块链相应通道不同组织的主节点，主节点广播至组织内从节点，通道上各节点达成共识后保存新区块到账本，生成新区块的智能合约。本发明实施例在数据上链过程中根据数据的类别将数据存入对应的通道中，根据数据级别和隐私性灵活设置获取权利，提升工业数据管理能力，提高***运行效率，保护隐私信息不被轻易泄露，风险更容易控制。

如图6所示，本实施例还提供了一种工业数据资产管理***，基于区块链实现，区块链包括多个数据通道，该***包括：

背书模块101，利用背书节点对任一客户端节点发送的待上链请求进行背书。详细内容参见上述方法实施例中步骤S101的相关描述，在此不再进行赘述。

通信模块102，通过背书节点将背书结果发送至客户端节点，使得客户端节点在接收到背书结果为认证通过时，将待上链数据的数据摘要和存储路径按照数据类别打包生成带有类别标签的打包数据。详细内容参见上述方法实施例中步骤S102的相关描述，在此不再进行赘述。

排序模块103，接收客户端节点发送的打包数据，并将打包数据发送至排序节点进行打包数据排序以及新区块生成操作。详细内容参见上述方法实施例中步骤S103的相关描述，在此不再进行赘述。

共识模块104，通过排序节点将新区块广播至对应数据通道中的节点，以当通道上各节点达成共识后保存新区块到账本，并生成新区块的智能合约。详细内容参见上述方法实施例中步骤S104的相关描述，在此不再进行赘述。

本发明实施例提供的一种工业数据资产管理***，用于执行上述实施例提供的一种工业数据资产管理方法，其实现方式与原理相同，详细内容参见上述方法实施例的相关描述，不再赘述。

如图7所示，本实施例还提供了一种工业数据资产管理***，基于区块链实现，区块链包含多个数据通道，***包括：

身份验证模块110，用于接收任一客户端节点发送的交易请求，并验证交易请求的用户ID。详细内容参见上述方法实施例中步骤S110的相关描述，在此不再进行赘述。

类别确认模块111，用于当用户ID验证通过时，根据交易请求中所需数据的数据类别定位目标数据通道。详细内容参见上述方法实施例中步骤S111的相关描述，在此不再进行赘述。

路径确认模块112，广播交易请求至目标数据通道中的全部节点，以通过目标数据通道中的节点解析数据所有方的用户ID和原始数据的存储路径。详细内容参见上述方法实施例中步骤S112的相关描述，在此不再进行赘述。

数据获取模块113，通过数据所有方的用户ID和原始数据的存储路径获取目标数据，并根据智能合约设定的交易规则将目标数据发送给客户端节点。详细内容参见上述方法实施例中步骤S113的相关描述，在此不再进行赘述。

本发明实施例提供的一种工业数据资产管理***，用于执行上述实施例提供的一种工业数据资产管理方法，其实现方式与原理相同，详细内容参见上述方法实施例的相关描述，不再赘述。

图8示出了本发明实施例的一种工业数据资产管理设备，该设备包括：处理器901和存储器902，可以通过总线或者其他方式连接，图8中以通过总线连接为例。

处理器901可以为中央处理器(Central Processing Unit，CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器902作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如上述方法实施例中的方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的方法。

存储器902可以包括存储程序区和存储数据区，其中，存储程序区可存储操作***、至少一个功能所需要的应用程序；存储数据区可存储处理器901所创建的数据等。此外，存储器902可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器902可选包括相对于处理器901远程设置的存储器，这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

一个或者多个模块存储在存储器902中，当被处理器901执行时，执行上述方法实施例中的方法。

上述工业数据资产管理设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解，此处不再赘述。

本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，实现的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)、随机存储记忆体(Random Access Memory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-State Drive，SSD)等；存储介质还可以包括上述种类的存储器的组合。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (12)

1.一种工业数据资产管理方法，其特征在于，基于区块链实现，所述区块链包含多个数据通道，所述数据通道由区块链内的多个所述节点组成，不同数据通道用于存储不同类别的数据，所述方法包括：

利用背书节点对任一客户端节点发送的待上链请求进行背书；

通过所述背书节点将所述背书结果发送至客户端节点，使得所述客户端节点在接收到背书结果为认证通过时，将待上链数据的数据摘要和存储路径按照数据类别打包生成带有类别标签的打包数据；

接收所述客户端节点发送的所述打包数据，并将所述打包数据发送至排序节点进行打包数据排序以及新区块生成操作；

通过所述排序节点将所述新区块广播至对应数据通道中的节点，以当通道上各节点达成共识后保存新区块到账本，并生成新区块的智能合约。

2.根据权利要求1所述的方法，其特征在于，在所述利用背书节点对任一客户端节点发送的待上链请求进行背书之前，所述方法还包括：

接收客户端节点发送的上链数据密文、数字签名和加密密钥，所述上链数据密文由对称密钥对待上链数据进行加密生成，所述数字签名由第一非对称加密方法对所述待上链数据的数据摘要进行加密生成，所述加密密钥由第二非对称加密方法对所述对称密钥进行加密生成；

将所述上链数据密文、数字签名和加密密钥发送至背书节点；

利用所述背书节点以第一非对称解密方法和第二非对称解密方法分别对所述数字签名和所述加密密钥解密，以分别获取所述数据摘要和所述对称密钥；

利用所述对称密钥对所述上链数据密文进行解密得到所述待上链数据，并利用所述数据摘要对所述客户端节点的身份以及待上链数据进行验证。

3.根据权利要求2所述的方法，其特征在于，所述区块链的数据通道包括用于存储用户账户信息的账户信息通道，所述方法还包括：

接收用户通过所述客户端节点发送的注册请求并分配用户ID；

基于第一非对称加密方法建立所述用户ID对应的用户私钥，所述用户私钥用于数据传输时的加密；

并基于所述用户私钥和所述用户ID生成数字证书；

将所述数字证书返回至客户端节点，同时将所述用户私钥、数字证书和所述用户ID作为账户信息保存至所述帐户信息通道中。

4.根据权利要求3所述的方法，其特征在于，所述客户端节点与外部工业边缘模块通信连接，所述工业边缘模块用于对数据进行分级分类，并根据客户端节点的上链请求对所述待上链数据的数据摘要进行分通道上链确权，针对所述接收客户端节点发送的上链数据密文、数字签名和加密密钥，所述方法还包括：

接收所述工业边缘模块根据所述客户端节点的上链请求发送的上链数据密文、数字签名和加密密钥。

5.根据权利要求4所述的方法，其特征在于，所述利用背书节点对任一客户端节点发送的待上链请求进行背书，包括：

接收所述客户端节点发送的上链请求，并接收所述外部工业边缘模块发送的数字签名、所述上链数据密文和加密密钥，所述数字签名基于第一非对称加密方法由所述数据摘要使用所述用户私钥加密生成，所述上链数据密文由所述待上链数据使用对称密钥加密生成，所述加密密钥基于第二非对称加密方法由所述对称密钥使用区块链CA公钥加密生成；

基于第二非对称解密方法利用区块链CA私钥对所述加密密钥解密得到所述对称密钥；

利用所述对称密钥对所述上链数据密文解密得到所述待上链数据；

基于预设摘要算法计算所述待上链数据的第二数据摘要；

获取所述用户私钥对应的用户公钥，并基于第一非对称解密方法利用所述用户公钥解密所述数字签名；

若解密成功则将得到的数据摘要与所述第二数据摘要进行比对；

若比对结果一致则生成所述待上链请求认证通过的背书结果，若比对结果不一致则生成所述待上链请求认证失败的背书结果。

6.根据权利要求1所述的方法，其特征在于，所述区块链的数据通道还包括用于存储不同类别工业数据的工业数据通道，所述将待上链数据的数据摘要和存储路径按照数据类别打包生成带有类别标签的打包数据，包括：

判断所述待上链数据隶属的工业数据类别，所述工业数据类别包括研发设计、生产制造、经营管理和运维服务中的任意多种；

将所述待上链数据的数据摘要和所述存储路径打包并标记工业数据类别对应的工业数据通道，所述工业通道包括研发设计通道、生产制造通道、经营管理通道和运维服务通道。

7.根据权利要求1所述的方法，其特征在于，每个数据通道包括预先设置的主节点和从节点，所述通过所述排序节点将所述新区块广播至对应数据通道中的节点，包括：

将接收到的新区块广播至对应类别的数据通道中的主节点，以通过所述主节点将所述新区块继续广播至所在通道的从节点。

8.一种工业数据资产管理方法，其特征在于，基于区块链实现，所述区块链包含多个数据通道，不同数据通道用于存储不同类别的数据，数据摘要转换为新区块上链成功后，所述方法包括：

接收任一数据需求方通过客户端节点发送的交易请求，并验证交易请求的用户ID；

当用户ID验证通过时，根据交易请求中所需数据的数据类别定位目标数据通道；

广播所述交易请求至所述目标数据通道中的全部节点，以通过所述目标数据通道中的节点解析数据所有方的用户ID和原始数据的存储路径；

通过所述数据所有方的用户ID和原始数据的存储路径获取目标数据，并根据智能合约设定的交易规则将所述目标数据发送给所述客户端节点。

9.根据权利要求8所述的方法，其特征在于，所述并根据智能合约设定的交易规则将所述目标数据发送给所述客户端节点，包括：

当所述交易规则声明原始数据不能明文发送时，基于预设摘要算法和链上数据摘要对所获取的原始数据进行验证，并在验证通过时将基于所述原始数据生成的处理结果作为所述目标数据发送至所述客户端节点；

当所述交易规则声明原始数据能够明文发送时，基于预设摘要算法和链上数据摘要对所获取原始数据进行验证，并在验证通过时将所述原始数据作为所述目标数据发送至所述客户端节点。

10.根据权利要求8所述的方法，其特征在于，所述数据通道还包括用于存储交易信息的交易信息通道，在所述根据智能合约设定的交易规则将所述目标数据发送给所述客户端节点之后，所述方法还包括：

生成交易信息，并利用如权利要求1-7任意一项所述方法中将数据摘要上传至区块链的相同方式将所述交易信息上传至区块链的交易信息通道。

11.一种工业数据资产管理设备，其特征在于，包括：

存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行如权利要求1-10任一项所述的方法。

12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机从而执行如权利要求1-10任一项所述的方法。

Images