一种工业互联网数据权限管理系统及方法与流程

1.本发明涉及工业制造技术领域，特别涉及一种工业互联网数据权限管理系统及方法。


背景技术：

2.随着信息技术的进步，为工业生产各个环节提供便利的各类管理系统越来越多，为了打破数据孤岛，充分利用各类数据信息进行分析和优化生产制造和管理流程，越来越多的工业制造企业倾向于以工业互联网为基础，打造一个集采购、生产、运输、仓储、运营、销售、财务以及人事行政一体化的工业制造管理系统，有的工业制造企业选择将管理系统及其数据库托管于连接在公共网络的云服务平台的方案，但采用这个方案并不利于企业的信息安全管理。为了解决信息安全问题，有的工业制造企业选择将管理系统及其数据库安装于企业内网设备中，但这个方案并不适用于多地办公的企业。虽然采用架设物理专线或者vpn专网的方案能够解决外部网络环境的安全问题，但在工业制造系统中，信息安全问题往往出现在内部网络环境当中，特别是在当今智能制造、智能感知和控制技术的兴起和发展，现场设备大量采用短距离无线通信技术如wifi、蓝牙、rfid以及红外通信技术等进行通信，而这些短距离无线通信网络的覆盖范围往往容易被利用作为工业互联网信息安全的突破口，直接破解现场设备的短距离无线通信网络从而获取网络访问权限以窃取数据库中的数据。


技术实现要素：

3.本发明正是基于上述问题，提出了一种工业互联网数据权限管理系统及方法，可以提高工业互联网的信息安全。
4.有鉴于此，本发明的第一方面提出了一种工业互联网数据权限管理系统，包括用于存储生产数据的生产数据库、与所述生产数据库连接的用于执行生产计划控制和管理的生产管理服务器、与所述生产管理服务器连接的用于执行生产任务的一个或多个柔性制造单元以及连接于所述生产管理服务器以及关联服务器之间的数据权限管理服务器，所述关联服务器包括采购管理服务器、营销管理服务器、财务管理服务器、人力资源管理服务器中的一个或多个，所述关联服务器与至少一个关联数据库连接，所述数据权限管理服务器用于管理所述关联服务器访问所述生产数据库的权限以及所述生产管理服务器访问所述关联数据库的权限，所述数据权限管理服务器被配置为：
5.s230：接收所述生产管理服务器发送的获取所述关联数据库数据的请求；
6.s240：确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内；
7.s250：确定为是，生成数据获取审批申请表发送给对应的关联服务器的相关审批人员进行审批；
8.s260：当所述审批结果为审批通过时，接收所述对应的关联服务器发来的数据；
9.s270：将所述数据转发给所述生产管理服务器以存储到所述生产数据库。
10.进一步的，在上述的工业互联网数据权限管理系统中，在所述生产管理服务器在所述生产数据库中建立所述数据库和数据表的步骤之后，所述数据权限管理服务器被配置为：
11.s210：从生产管理服务器获取需要同步的数据库地址、数据库名称及数据表名称；
12.s220：存储所述数据库地址、所述数据库名称及所述数据表名称。
13.进一步的，在上述的工业互联网数据权限管理系统中，在所述数据权限管理服务器确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内的步骤中，所述数据权限管理服务器被配置为：
14.s241：确定所述生产管理服务器发送的获取所述关联数据库数据的请求中所述数据库地址、所述数据库名称及所述数据表名称是否与所述数据权限管理服务器存储的所述数据库地址、所述数据库名称及所述数据表名称相匹配,确定为是，则执行所述步骤s250,确定为否，则执行以下步骤：
15.s242：从所述生产服务器获取发起所述请求的设备信息；
16.s243：向所述生产服务器的管理人员发送示警信息，所述示警信息包含所述设备信息。
17.进一步的，在上述的工业互联网数据权限管理系统中，所述数据权限管理服务器被配置为：
18.s281：构建第一离散序列{xi,i＝1,2,
…
,n}，所述第一离散序列由执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围的全部字段构成，x为字段名称，n为执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围的全部字段的数量；
19.s282：构建第二离散序列{t(xi),i＝1,2,
…
,n}，所述第二离散序列中的t(xi)为所述数据权限管理服务器从所述生产管理服务器获取的对应所述第一离散序列中每个字段xi在所述生产管理服务器执行生产计划时的生存周期；
20.s283：构建第三离散序列{s(xj),j＝1,2,
…
,m}，所述第三离散序列由所述生产管理服务器当次向所述关联数据库请求的每个字段xj返回的对应的数据记录数量，其中m《n；
21.s284：以所述第一离散序列和所述第二离散序列为基础建立数据有效性模型ei＝f
ei
[xi,t(xi)],i＝1,2,
…
,n；
[0022]
s285：以所述第一离散序列、所述第二离散序列和所述第三离散序列为基础建立数据有效周期模型t＝f
t
[xi,t(xi)，sk(xj)],i＝1,2,
…
,n,j＝1,2,
…
,mk,k＝1,2,
…
,l，其中l为所述生产管理服务器向所述关联数据库请求数据的次数。
[0023]
进一步的，在上述的工业互联网数据权限管理系统中，在确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内的步骤中，所述数据权限管理服务器被配置为：
[0024]
s291：获取所述生产管理服务器向所述关联数据库请求的字段名称{xj,j＝1,2,
…
,m}；
[0025]
s292：根据所述数据有效周期模型确定所述生产管理服务器向所述关联数据库请求的数据量对应的数据用效周期是否符合预设条件，不符合预设条件则拦截所述请求；
[0026]
s293：当所述生产管理服务器向所述关联数据库请求的数据量对应的数据用效周期符合预设条件时，根据所述数据有效性模型确定所述生产管理服务器向所述关联数据库请求的每个字段的数据有效性ej＝f
ej
[xj,t(xj)],j＝1,2,
…
,m；
[0027]
s294：剔除所述生产管理服务器向所述关联数据库请求中数据有效性ej＝0的字段。
[0028]
本发明的第二方面提出了一种工业互联网数据权限管理方法，所述工业互联网数据权限管理方法应用于工业互联网数据权限管理系统，所述工业互联网数据权限管理系统包括用于存储生产数据的生产数据库、与所述生产数据库连接的用于执行生产计划控制和管理的生产管理服务器、与所述生产管理服务器连接的用于执行生产任务的一个或多个柔性制造单元以及连接于所述生产管理服务器以及关联服务器之间的数据权限管理服务器，所述关联服务器包括采购管理服务器、营销管理服务器、财务管理服务器、人力资源管理服务器中的一个或多个，所述关联服务器与至少一个关联数据库连接，所述数据权限管理服务器用于管理所述关联服务器访问所述生产数据库的权限以及所述生产管理服务器访问所述关联数据库的权限，所述工业互联网数据权限管理方法包括：
[0029]
s230：接收所述生产管理服务器发送的获取所述关联数据库数据的请求；
[0030]
s240：确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内；
[0031]
s250：确定为是，生成数据获取审批申请表发送给对应的关联服务器的相关审批人员进行审批；
[0032]
s260：当所述审批结果为审批通过时，接收所述对应的关联服务器发来的数据；
[0033]
s270：将所述数据转发给所述生产管理服务器以存储到所述生产数据库。
[0034]
进一步的，在上述的工业互联网数据权限管理方法中，在所述生产管理服务器在所述生产数据库中建立所述数据库和数据表的步骤之后，还包括：
[0035]
s210：从生产管理服务器获取需要同步的数据库地址、数据库名称及数据表名称；
[0036]
s220：存储所述数据库地址、所述数据库名称及所述数据表名称。
[0037]
进一步的，在上述的工业互联网数据权限管理方法中，所述数据权限管理服务器确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内的步骤具体包括：
[0038]
s241：确定所述生产管理服务器发送的获取所述关联数据库数据的请求中所述数据库地址、所述数据库名称及所述数据表名称是否与所述数据权限管理服务器存储的所述数据库地址、所述数据库名称及所述数据表名称相匹配,确定为是，则执行所述步骤s250,确定为否，则执行以下步骤：
[0039]
s242：从所述生产服务器获取发起所述请求的设备信息；
[0040]
s243：向所述生产服务器的管理人员发送示警信息，所述示警信息包含所述设备信息。
[0041]
进一步的，在上述的工业互联网数据权限管理方法中，还包括：
[0042]
s281：构建第一离散序列{xi,i＝1,2,
…
,n}，所述第一离散序列由执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围的全部字段构成，x为字段名称，n为执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围的全部字段的
数量；
[0043]
s282：构建第二离散序列{t(xi),i＝1,2,
…
,n}，所述第二离散序列中的t(xi)为所述数据权限管理服务器从所述生产管理服务器获取的对应所述第一离散序列中每个字段xi在所述生产管理服务器执行生产计划时的生存周期；
[0044]
s283：构建第三离散序列{s(xj),j＝1,2,
…
,m}，所述第三离散序列由所述生产管理服务器当次向所述关联数据库请求的每个字段xj返回的对应的数据记录数量，其中m《n；
[0045]
s284：以所述第一离散序列和所述第二离散序列为基础建立数据有效性模型ei＝f
ei
[xi,t(xi)],i＝1,2,
…
,n；
[0046]
s285：以所述第一离散序列、所述第二离散序列和所述第三离散序列为基础建立数据有效周期模型t＝f
t
[xi,t(xi),sk(xj)],i＝1,2,
…
,n,j＝1,2,
…
,mk,k＝1,2,
…
,l，其中l为所述生产管理服务器向所述关联数据库请求数据的次数。
[0047]
进一步的，在上述的工业互联网数据权限管理方法中，确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内的步骤具体包括：
[0048]
s291：获取所述生产管理服务器向所述关联数据库请求的字段名称{xj,j＝1,2,
…
,m}；
[0049]
s292：根据所述数据有效周期模型确定所述生产管理服务器向所述关联数据库请求的数据量对应的数据用效周期是否符合预设条件，不符合预设条件则拦截所述请求；
[0050]
s293：当所述生产管理服务器向所述关联数据库请求的数据量对应的数据用效周期符合预设条件时，根据所述数据有效性模型确定所述生产管理服务器向所述关联数据库请求的每个字段的数据有效性ej＝f
ej
[xj,t(xj)],j＝1,2,
…
,m；
[0051]
s294：剔除所述生产管理服务器向所述关联数据库请求中数据有效性ej＝0的字段。
[0052]
本发明提出一种工业互联网数据权限管理系统及方法，包括用于存储生产数据的生产数据库、与所述生产数据库连接的用于执行生产计划控制和管理的生产管理服务器、与所述生产管理服务器连接的用于执行生产任务的一个或多个柔性制造单元以及连接于所述生产管理服务器以及关联服务器之间的数据权限管理服务器，所述关联服务器包括采购管理服务器、营销管理服务器、财务管理服务器、人力资源管理服务器中的一个或多个，所述关联服务器与至少一个关联数据库连接，所述数据权限管理服务器用于管理所述关联服务器访问所述生产数据库的权限以及所述生产管理服务器访问所述关联数据库的权限，可以提高工业互联网的信息安全。
附图说明
[0053]
图1是本发明一个实施例提供的一种工业互联网数据权限管理系统的示意框图；
[0054]
图2是本发明一个实施例提供的一种工业互联网数据权限管理方法的示意流程图；
[0055]
图3是本发明一个实施例提供的一种工业互联网数据权限管理方法的示意流程图；
[0056]
图4是本发明一个实施例提供的一种工业互联网数据权限管理方法的示意流程图。
具体实施方式
[0057]
为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本技术的实施例及实施例中的特征可以相互组合。
[0058]
在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。
[0059]
在本发明的描述中，术语“多个”则指两个或两个以上，除非另有明确的限定，术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。术语“连接”、“安装”、“固定”等均应做广义理解，例如，“连接”可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。
[0060]
在本说明书的描述中，术语“一个实施例”、“一些实施方式”、“具体实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或实例。而且，描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0061]
下面参照图1至图4来描述根据本发明一些实施方式提供的一种工业互联网数据权限管理系统及方法。
[0062]
如图1所示，本发明的第一方面提出了一种工业互联网数据权限管理系统，包括用于存储生产数据的生产数据库、与所述生产数据库连接的用于执行生产计划控制和管理的生产管理服务器、与所述生产管理服务器连接的用于执行生产任务的一个或多个柔性制造单元以及连接于所述生产管理服务器以及关联服务器之间的数据权限管理服务器，所述关联服务器包括采购管理服务器、营销管理服务器、财务管理服务器、人力资源管理服务器中的一个或多个，所述关联服务器与至少一个关联数据库连接，所述数据权限管理服务器用于管理所述关联服务器访问所述生产数据库的权限以及所述生产管理服务器访问所述关联数据库的权限。
[0063]
在本发明实施例的技术方案中，所述关联服务器用于运行企业各类管理平台的服务程序如采购管理平台、营销管理平台、财务管理平台以及人力资源管理平台等，在本发明一些实施方式中，所述关联服务器包括采购管理服务器、营销管理服务器、财务管理服务器、人力资源管理服务器，每个关联服务器与相应的关联数据库连接，例如所述采购管理服务器与所述采购数据库连接，所述营销管理服务器与所述营销数据库连接等，每一个业务模块的数据库仅与相应的业务管理服务器相连接，避免各业务模块的服务器跨业务模块直接访问数据库，从而保障各业务模块的数据安全。同样的，为了保障生产模块的数据安全，
所述生产数据库连接于所述生产管理服务器，所述生产管理服务器负责所述生产数据库与其它设备的数据交互。在本发明实施例的技术方案中，为了进一步保障生产模块的数据安全，在所述生产管理服务器与其它业务模块的管理服务器之间，还设置有数据权限管理服务器，用于控制其它业务模块与生产模块之间的数据交互。
[0064]
在本发明的一些实施方式中，所述数据权限管理系统还包括与所述数据权限管理服务器连接的权限数据库，用于存储所述生产数据库、所述关联数据库的访问权限，所述数据权限管理服务器根据所述权限数据库存储的所述生产数据库、所述关联数据库的访问权限控制其它业务模块与生产模块之间的数据交互。
[0065]
如图2所示，在上述的工业互联网数据权限管理系统中，所述数据权限管理服务器被配置为：
[0066]
s230：接收所述生产管理服务器发送的获取所述关联数据库数据的请求。为了实现生产业务的顺利进行，所述生产管理服务器在一些情况下，需要调取其它业务模块的数据，例如所述生产管理服务器在制定生产计划或进行生产计划排程时，需要依赖于工人的人力情况如工人的休假情况、排班情况、考勤签到情况等，而工人的休假审批、排班表、考勤签到等数据均在所述人力资源数据库中，所述生产管理服务器需要从所述人力资源数据库中调取。在本发明的技术方案中，所述生产管理服务器调取所述关联数据库数据的请求发送到所述数据权限管理服务器，由所述数据权限管理服务器进行数据调取和转发。
[0067]
s240：确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内。在本发明实施例的技术方案中，通过所述数据权限管理服务器对所述生产管理服务器、所述关联服务器跨业务模块访问所述生产数据库、所述关联数据库的权限进行统一管理，从而避免了在每个数据库中进行繁琐的权限配置。不同的业务模块根据业务需求，其在所述生产数据库、所述关联数据库的访问权限不同，所述的数据获取权限范围包括不同的业务模块数据库中的数据表的范围，还包括单次从跨业务模块数据库中获取的数据量。
[0068]
s250：确定为是，生成数据获取审批申请表发送给对应的关联服务器的相关审批人员进行审批。例如，所述生产管理服务器请求获取所述人力资源管理数据库的数据时，所述数据权限管理服务器自动生成人力资源数据申请表并发起数据获取审批流程，所述人力资源数据申请表至少包括数据申请程序例如所述生产管理服务器的生产计划排程程序、申请时间例如数据获取审批流程的发起日期、申请数据范围例如生产部门的休假、排班或者考勤签到数据等。所述生产管理服务器将所述数据获取审批流程中的申请表发送给所述人力资源业务模块的经办人、负责人和/或信息安全管理人员进行审批。进一步的，可以为每个不同业务模块设置不同的审批角色，负责单一业务模块数据获取审批流程的审批角色对所负责的业务模块数据更为熟悉，可以避免跨业务模块获取不符合其业务需求或者超越其权限范围的数据。
[0069]
s260：当所述审批结果为审批通过时，接收所述对应的关联服务器发来的数据。当所述数据获取审批流程审批通过所，所述数据权限管理服务器按照所述生产管理服务器的请求，向所述关联服务器例如人力资源管理服务器发出数据获取请求，通过所述人力资源管理服务器从所述人力资源数据库获取对应的数据。
[0070]
s270：将所述数据转发给所述生产管理服务器以存储到所述生产数据库。为了避
免所述生产管理服务器频繁向所述数据权限管理服务器发起重复的数据获取请求，对于必要的跨业务模块数据，可以在所述生产数据库中进行存储。所述生产管理服务器对于其它业务模块数据的需求根据需求场景的不同，有高频需求数据和低频需求数据两种。例如前方所述的休假数据、排班数据以及考勤签到数据等或者物料库存等均为高频需求数据，需要频繁进行更新，否则容易导致生产计划无法执行。对于所述高频需求的数据，所述生产管理服务器需要高频且周期性地通过所述数据权限管理服务器向所述关联数据库如人力资源数据库请求同步。进一步的，在本发明一些实施方式中，对于低频需求数据，例如组织架构、薪酬福利标准等，可以采用被动式更新方式。所述数据权限管理服务器或者所述权限数据库中存储有所述生产管理服务器内的低频需求数据范围、每项数据记录的上一次的同步时间以及每项数据记录在相应的关联数据库中的数据变更时间，所述数据权限管理服务器周期性地向所述关联服务器进行信息变更确认，即当所述数据权限管理服务器或者所述权限数据库中存储的数据记录的数据变更时间与对应的所述关联服务器的数据记录变更时间不一致时，请求从所述关联数据库中获取对应的数据记录发送给所述生产管理服务器进行存储。
[0071]
如图3所示，在上述的工业互联网数据权限管理系统中，在所述数据权限管理服务器接收所述生产管理服务器发送的获取所述关联数据库数据的请求的步骤之前，所述生产管理服务器被配置为：
[0072]
s110：确定用于执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围；
[0073]
s120：通过所述数据权限管理服务器获取对应所述数据范围的数据库及数据表的结构和原始数据；
[0074]
s130：在所述生产数据库中建立所述数据库和数据表；
[0075]
s140：周期性向所述数据权限管理服务器发送获取所述关联数据库数据的请求以同步所述数据库和数据表的数据。
[0076]
进一步的，在上述的工业互联网数据权限管理系统中，在所述生产管理服务器在所述生产数据库中建立所述数据库和数据表的步骤之后，所述数据权限管理服务器被配置为：
[0077]
s210：从生产管理服务器获取需要同步的数据库地址、数据库名称及数据表名称；
[0078]
s220：存储所述数据库地址、所述数据库名称及所述数据表名称。
[0079]
由于企业生产管理模式变更、企业生产管理流程优化等原因，所述生产管理服务器对其它业务模块的数据需求范围并非一成不变的，采用人工预置数据范围的方式会导致后续变更配置非常繁琐，效率低下，甚至可能影响到企业的生产进程。在本发明实施例的技术方案中，所述数据权限管理服务器将所述生产管理服务器向所述关联数据库获取数据的需求分成两个阶段，即初始化阶段和数据同步阶段。在所述初始化阶段，通过所述生产管理服务器动态确定用于执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围后，所述生产管理服务器通过所述数据权限管理服务器获取所述关联数据库中对应的数据库和数据表的结构和原始数据，在所述生产数据库中建立与所述关联数据库对应的部分数据库和数据表，所述数据权限管理服务器将对应的数据库地址、数据库名称及数据表名称存储于所述权限数据库中以完成所述数据权限的初始化。在本发明实施例的技术方案
中，所述初始化阶段需要在所述数据权限管理服务器的管理人员监督下执行，所述获取对应所述数据范围的数据库及数据表的结构和原始数据的步骤需要在所述数据权限管理服务器的管理人员进行确认，例如输入管理人员的确认密码或者指纹或者人脸信息等之后才能执行数据传输。在所述数据同步阶段，所述生产管理服务器根据需求数据的性质不同，按对应的周期执行所述步骤230向所述数据权限管理服务器发起数据同步请求。
[0080]
如图4所示，在上述的工业互联网数据权限管理系统中，在所述数据权限管理服务器确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内的步骤中，所述数据权限管理服务器被配置为：
[0081]
s241：确定所述生产管理服务器发送的获取所述关联数据库数据的请求中所述数据库地址、所述数据库名称及所述数据表名称是否与所述数据权限管理服务器存储的所述数据库地址、所述数据库名称及所述数据表名称相匹配,确定为是，则执行所述步骤s250,确定为否，则执行以下步骤：
[0082]
s242：从所述生产服务器获取发起所述请求的设备信息；
[0083]
s243：向所述生产服务器的管理人员发送示警信息，所述示警信息包含所述设备信息。
[0084]
在本发明的另一些实施方式中，所述数据权限管理系统还包括权限数据库，所述数据库地址、所述数据库名称及所述数据表名称还可以存储在所权限数据库中。在上述实施方式的技术方案中，当所述生产管理服务器发送的获取所述关联数据库数据的请求与预先存储于所述数据权限管理服务器或所述权限数据库中的数据权限范围不匹配时，存在恶意程序或者人员利用所述生产服务器窃取所述关联数据库中数据的可能，此时所述数据权限管理服务器通过所述生产管理服务器获取连接到所述生产管理服务器以发送所述数据获取请求的设备信息，所述设备信息包括所述设备的名称、设备类型、设备id、ip地址、mac地址中的一个或多个，并将这些信息发送给所述生产服务器的管理人员以发出示警信息，通知所述生产服务器的管理人员依据所述示警信息中的所述设备信息对所述恶意程序或者人员进行排查，从而排除数据泄漏的风险。
[0085]
进一步的，在上述的工业互联网数据权限管理系统中，所述数据权限管理服务器被配置为：
[0086]
s310：接收所述关联服务器发送的获取所述生产数据库数据的请求；
[0087]
s320：从所述关联服务器获取发起所述请求的设备信息；
[0088]
s330：向所述关联服务器的管理角色发送示警信息，所述示警信息包含所述设备信息。
[0089]
区别于其它业务模块的数据库，所述生产数据库的数据一方面安全性要求更高，另一方面，其被其它业务模块所依赖的需求场景较少，而提供给企业管理层进行管理和决策所需要的生产数据报表可以直接在所述生产管理服务器中进行生产和获取，无需通过其它业务模块获取生产数据库中的数据后进行分析。在本发明实施例的技术方案中，任何非来源于所述生产管理服务器的获取所述生产数据库数据的请求均会被认定为非法请求，一旦所述数据权限管理服务器接收到来源于所述关联服务器发送的获取所述生产数据库数据的请求，存在恶意程序或者人员利用所述关联服务器窃取所述生产数据库中数据的可能，此时所述数据权限管理服务器通过所述关联管理服务器获取连接到所述关联管理服务
器以发送所述数据获取请求的设备信息，所述设备信息包括所述设备的名称、设备类型、设备id、ip地址、mac地址中的一个或多个，并将这些信息发送给所述关联服务器的管理人员以发出示警信息，通知所述关联服务器的管理人员依据所述示警信息中的所述设备信息对所述恶意程序或者人员进行排查，从而排除数据泄漏的风险。
[0090]
进一步的，在上述的工业互联网数据权限管理系统中，所述数据权限管理服务器被配置为：
[0091]
s281：构建第一离散序列{xi,i＝1,2,
…
,n}，所述第一离散序列由执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围的全部字段构成，x为字段名称，n为执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围的全部字段的数量；
[0092]
s282：构建第二离散序列{t(xi),i＝1,2,
…
,n}，所述第二离散序列中的t(xi)为所述数据权限管理服务器从所述生产管理服务器获取的对应所述第一离散序列中每个字段xi在所述生产管理服务器执行生产计划时的生存周期；
[0093]
s283：构建第三离散序列{s(xj),j＝1,2,
…
,m}，所述第三离散序列由所述生产管理服务器当次向所述关联数据库请求的每个字段xj返回的对应的数据记录数量，其中m《n；
[0094]
s284：以所述第一离散序列和所述第二离散序列为基础建立数据有效性模型ei＝f
ei
[xi,t(xi)],i＝1,2,
…
,n；
[0095]
s285：以所述第一离散序列、所述第二离散序列和所述第三离散序列为基础建立数据有效周期模型t＝f
t
[xi,t(xi),sk(xj)],i＝1,2,
…
,n,j＝1,2,
…
,mk,k＝1,2,
…
,l，其中l为所述生产管理服务器向所述关联数据库请求数据的次数。
[0096]
进一步的，在上述的工业互联网数据权限管理系统中，在确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内的步骤中，所述数据权限管理服务器被配置为：
[0097]
s291：获取所述生产管理服务器向所述关联数据库请求的字段名称{xj,j＝1,2,
…
,m}；
[0098]
s292：根据所述数据有效周期模型确定所述生产管理服务器向所述关联数据库请求的数据量对应的数据用效周期是否符合预设条件，不符合预设条件则拦截所述请求；
[0099]
s293：当所述生产管理服务器向所述关联数据库请求的数据量对应的数据用效周期符合预设条件时，根据所述数据有效性模型确定所述生产管理服务器向所述关联数据库请求的每个字段的数据有效性ej＝f
ej
[xj,t(xj)],j＝1,2,
…
,m；
[0100]
s294：剔除所述生产管理服务器向所述关联数据库请求中数据有效性ej＝0的字段。
[0101]
本发明的第二方面提出了一种工业互联网数据权限管理方法，所述工业互联网数据权限管理方法应用于工业互联网数据权限管理系统。如图1所示，所述工业互联网数据权限管理系统包括用于存储生产数据的生产数据库、与所述生产数据库连接的用于执行生产计划控制和管理的生产管理服务器、与所述生产管理服务器连接的用于执行生产任务的一个或多个柔性制造单元以及连接于所述生产管理服务器以及关联服务器之间的数据权限管理服务器，所述关联服务器包括采购管理服务器、营销管理服务器、财务管理服务器、人力资源管理服务器中的一个或多个，所述关联服务器与至少一个关联数据库连接，所述数
据权限管理服务器用于管理所述关联服务器访问所述生产数据库的权限以及所述生产管理服务器访问所述关联数据库的权限。
[0102]
在本发明实施例的技术方案中，所述关联服务器用于运行企业各类管理平台的服务程序如采购管理平台、营销管理平台、财务管理平台以及人力资源管理平台等，在本发明一些实施方式中，所述关联服务器包括采购管理服务器、营销管理服务器、财务管理服务器、人力资源管理服务器，每个关联服务器与相应的关联数据库连接，例如所述采购管理服务器与所述采购数据库连接，所述营销管理服务器与所述营销数据库连接等，每一个业务模块的数据库仅与相应的业务管理服务器相连接，避免各业务模块的服务器跨业务模块直接访问数据库，从而保障各业务模块的数据安全。同样的，为了保障生产模块的数据安全，所述生产数据库连接于所述生产管理服务器，所述生产管理服务器负责所述生产数据库与其它设备的数据交互。在本发明实施例的技术方案中，为了进一步保障生产模块的数据安全，在所述生产管理服务器与其它业务模块的管理服务器之间，还设置有数据权限管理服务器，用于控制其它业务模块与生产模块之间的数据交互。
[0103]
在本发明的一些实施方式中，所述数据权限管理系统还包括与所述数据权限管理服务器连接的权限数据库，用于存储所述生产数据库、所述关联数据库的访问权限，所述数据权限管理服务器根据所述权限数据库存储的所述生产数据库、所述关联数据库的访问权限控制其它业务模块与生产模块之间的数据交互。
[0104]
如图2所示，所述工业互联网数据权限管理方法包括：
[0105]
s230：接收所述生产管理服务器发送的获取所述关联数据库数据的请求。为了实现生产业务的顺利进行，所述生产管理服务器在一些情况下，需要调取其它业务模块的数据，例如所述生产管理服务器在制定生产计划或进行生产计划排程时，需要依赖于工人的人力情况如工人的休假情况、排班情况、考勤签到情况等，而工人的休假审批、排班表、考勤签到等数据均在所述人力资源数据库中，所述生产管理服务器需要从所述人力资源数据库中调取。在本发明的技术方案中，所述生产管理服务器调取所述关联数据库数据的请求发送到所述数据权限管理服务器，由所述数据权限管理服务器进行数据调取和转发。
[0106]
s240：确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内。在本发明实施例的技术方案中，通过所述数据权限管理服务器对所述生产管理服务器、所述关联服务器跨业务模块访问所述生产数据库、所述关联数据库的权限进行统一管理，从而避免了在每个数据库中进行繁琐的权限配置。不同的业务模块根据业务需求，其在所述生产数据库、所述关联数据库的访问权限不同，所述的数据获取权限范围包括不同的业务模块数据库中的数据表的范围，还包括单次从跨业务模块数据库中获取的数据量。
[0107]
s250：确定为是，生成数据获取审批申请表发送给对应的关联服务器的相关审批人员进行审批。例如，所述生产管理服务器请求获取所述人力资源管理数据库的数据时，所述数据权限管理服务器自动生成人力资源数据申请表并发起数据获取审批流程，所述人力资源数据申请表至少包括数据申请程序例如所述生产管理服务器的生产计划排程程序、申请时间例如数据获取审批流程的发起日期、申请数据范围例如生产部门的休假、排班或者考勤签到数据等。所述生产管理服务器将所述数据获取审批流程中的申请表发送给所述人力资源业务模块的经办人、负责人和/或信息安全管理人员进行审批。进一步的，可以为每
个不同业务模块设置不同的审批角色，负责单一业务模块数据获取审批流程的审批角色对所负责的业务模块数据更为熟悉，可以避免跨业务模块获取不符合其业务需求或者超越其权限范围的数据。
[0108]
s260：当所述审批结果为审批通过时，接收所述对应的关联服务器发来的数据。当所述数据获取审批流程审批通过所，所述数据权限管理服务器按照所述生产管理服务器的请求，向所述关联服务器例如人力资源管理服务器发出数据获取请求，通过所述人力资源管理服务器从所述人力资源数据库获取对应的数据。
[0109]
s270：将所述数据转发给所述生产管理服务器以存储到所述生产数据库。为了避免所述生产管理服务器频繁向所述数据权限管理服务器发起重复的数据获取请求，对于必要的跨业务模块数据，可以在所述生产数据库中进行存储。所述生产管理服务器对于其它业务模块数据的需求根据需求场景的不同，有高频需求数据和低频需求数据两种。例如前方所述的休假数据、排班数据以及考勤签到数据等或者物料库存等均为高频需求数据，需要频繁进行更新，否则容易导致生产计划无法执行。对于所述高频需求的数据，所述生产管理服务器需要高频且周期性地通过所述数据权限管理服务器向所述关联数据库如人力资源数据库请求同步。进一步的，在本发明一些实施方式中，对于低频需求数据，例如组织架构、薪酬福利标准等，可以采用被动式更新方式。所述数据权限管理服务器或者所述权限数据库中存储有所述生产管理服务器内的低频需求数据范围、每项数据记录的上一次的同步时间以及每项数据记录在相应的关联数据库中的数据变更时间，所述数据权限管理服务器周期性地向所述关联服务器进行信息变更确认，即当所述数据权限管理服务器或者所述权限数据库中存储的数据记录的数据变更时间与对应的所述关联服务器的数据记录变更时间不一致时，请求从所述关联数据库中获取对应的数据记录发送给所述生产管理服务器进行存储。
[0110]
如图3所示，在上述的工业互联网数据权限管理方法中，在所述数据权限管理服务器接收所述生产管理服务器发送的获取所述关联数据库数据的请求的步骤之前，还包括：
[0111]
s110：确定用于执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围；
[0112]
s120：通过所述数据权限管理服务器获取对应所述数据范围的数据库及数据表的结构和原始数据；
[0113]
s130：在所述生产数据库中建立所述数据库和数据表；
[0114]
s140：周期性向所述数据权限管理服务器发送获取所述关联数据库数据的请求以同步所述数据库和数据表的数据。
[0115]
进一步的，在上述的工业互联网数据权限管理方法中，在所述生产管理服务器在所述生产数据库中建立所述数据库和数据表的步骤之后，还包括：
[0116]
s210：从生产管理服务器获取需要同步的数据库地址、数据库名称及数据表名称；
[0117]
s220：存储所述数据库地址、所述数据库名称及所述数据表名称。
[0118]
由于企业生产管理模式变更、企业生产管理流程优化等原因，所述生产管理服务器对其它业务模块的数据需求范围并非一成不变的，采用人工预置数据范围的方式会导致后续变更配置非常繁琐，效率低下，甚至可能影响到企业的生产进程。在本发明实施例的技术方案中，所述数据权限管理服务器将所述生产管理服务器向所述关联数据库获取数据的
需求分成两个阶段，即初始化阶段和数据同步阶段。在所述初始化阶段，通过所述生产管理服务器动态确定用于执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围后，所述生产管理服务器通过所述数据权限管理服务器获取所述关联数据库中对应的数据库和数据表的结构和原始数据，在所述生产数据库中建立与所述关联数据库对应的部分数据库和数据表，所述数据权限管理服务器将对应的数据库地址、数据库名称及数据表名称存储于所述权限数据库中以完成所述数据权限的初始化。在本发明实施例的技术方案中，所述初始化阶段需要在所述数据权限管理服务器的管理人员监督下执行，所述获取对应所述数据范围的数据库及数据表的结构和原始数据的步骤需要在所述数据权限管理服务器的管理人员进行确认，例如输入管理人员的确认密码或者指纹或者人脸信息等之后才能执行数据传输。在所述数据同步阶段，所述生产管理服务器根据需求数据的性质不同，按对应的周期执行所述步骤230向所述数据权限管理服务器发起数据同步请求。
[0119]
如图4所示，在上述的工业互联网数据权限管理方法中，所述数据权限管理服务器确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内的步骤具体包括：
[0120]
s241：确定所述生产管理服务器发送的获取所述关联数据库数据的请求中所述数据库地址、所述数据库名称及所述数据表名称是否与所述数据权限管理服务器存储的所述数据库地址、所述数据库名称及所述数据表名称相匹配,确定为是，则执行所述步骤s250,确定为否，则执行以下步骤：
[0121]
s242：从所述生产服务器获取发起所述请求的设备信息；
[0122]
s243：向所述生产服务器的管理人员发送示警信息，所述示警信息包含所述设备信息。
[0123]
在本发明的另一些实施方式中，所述数据权限管理系统还包括权限数据库，所述数据库地址、所述数据库名称及所述数据表名称还可以存储在所权限数据库中。在上述实施方式的技术方案中，当所述生产管理服务器发送的获取所述关联数据库数据的请求与预先存储于所述数据权限管理服务器或所述权限数据库中的数据权限范围不匹配时，存在恶意程序或者人员利用所述生产服务器窃取所述关联数据库中数据的可能，此时所述数据权限管理服务器通过所述生产管理服务器获取连接到所述生产管理服务器以发送所述数据获取请求的设备信息，所述设备信息包括所述设备的名称、设备类型、设备id、ip地址、mac地址中的一个或多个，并将这些信息发送给所述生产服务器的管理人员以发出示警信息，通知所述生产服务器的管理人员依据所述示警信息中的所述设备信息对所述恶意程序或者人员进行排查，从而排除数据泄漏的风险。
[0124]
进一步的，在上述的工业互联网数据权限管理方法中，还包括：
[0125]
s310：接收所述关联服务器发送的获取所述生产数据库数据的请求；
[0126]
s320：从所述关联服务器获取发起所述请求的设备信息；
[0127]
s330：向所述关联服务器的管理角色发送示警信息，所述示警信息包含所述设备信息。
[0128]
区别于其它业务模块的数据库，所述生产数据库的数据一方面安全性要求更高，另一方面，其被其它业务模块所依赖的需求场景较少，而提供给企业管理层进行管理和决策所需要的生产数据报表可以直接在所述生产管理服务器中进行生产和获取，无需通过其
它业务模块获取生产数据库中的数据后进行分析。在本发明实施例的技术方案中，任何非来源于所述生产管理服务器的获取所述生产数据库数据的请求均会被认定为非法请求，一旦所述数据权限管理服务器接收到来源于所述关联服务器发送的获取所述生产数据库数据的请求，存在恶意程序或者人员利用所述关联服务器窃取所述生产数据库中数据的可能，此时所述数据权限管理服务器通过所述关联管理服务器获取连接到所述关联管理服务器以发送所述数据获取请求的设备信息，所述设备信息包括所述设备的名称、设备类型、设备id、ip地址、mac地址中的一个或多个，并将这些信息发送给所述关联服务器的管理人员以发出示警信息，通知所述关联服务器的管理人员依据所述示警信息中的所述设备信息对所述恶意程序或者人员进行排查，从而排除数据泄漏的风险。
[0129]
进一步的，在上述的工业互联网数据权限管理方法中，还包括：
[0130]
构建第一离散序列{xi,i＝1,2,
…
,n}，所述第一离散序列由执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围的全部字段构成，x为字段名称，n为执行生产计划控制和管理所需要的存储于所述关联数据库中的数据范围的全部字段的数量；
[0131]
构建第二离散序列{t(xi),i＝1,2,
…
,n}，所述第二离散序列中的t(xi)为所述数据权限管理服务器从所述生产管理服务器获取的对应所述第一离散序列中每个字段xi在所述生产管理服务器执行生产计划时的生存周期；
[0132]
构建第三离散序列{s(xj),j＝1,2,
…
,m}，所述第三离散序列由所述生产管理服务器当次向所述关联数据库请求的每个字段xj返回的对应的数据记录数量，其中m《n；
[0133]
以所述第一离散序列和所述第二离散序列为基础建立数据有效性模型ei＝f
ei
[xi,t(xi)],i＝1,2,
…
,n；
[0134]
以所述第一离散序列、所述第二离散序列和所述第三离散序列为基础建立数据有效周期模型t＝f
t
[xi,t(xi),sk(xj)],i＝1,2,
…
,n,j＝1,2,
…
,mk,k＝1,2,
…
,l，其中l为所述生产管理服务器向所述关联数据库请求数据的次数。
[0135]
进一步的，在上述的工业互联网数据权限管理方法中，确定所述请求的数据范围是否在预设的所述生产管理服务器的数据获取权限范围内的步骤具体包括：
[0136]
获取所述生产管理服务器向所述关联数据库请求的字段名称{xj,j＝1,2,
…
,m}；
[0137]
根据所述数据有效周期模型确定所述生产管理服务器向所述关联数据库请求的数据量对应的数据用效周期是否符合预设条件，不符合预设条件则拦截所述请求；
[0138]
当所述生产管理服务器向所述关联数据库请求的数据量对应的数据用效周期符合预设条件时，根据所述数据有效性模型确定所述生产管理服务器向所述关联数据库请求的每个字段的数据有效性ej＝f
ej
[xj,t(xj)],j＝1,2,
…
,m；
[0139]
剔除所述生产管理服务器向所述关联数据库请求中数据有效性ej＝0的字段。
[0140]
应当说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0141]
依照本发明的实施例如上文所述，这些实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施例。显然，根据以上描述，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地利用本发明以及在本发明基础上的修改使用。本发明仅受权利要求书及其全部范围和等效物的限制。