一种工业互联网数据传输方法及系统与流程

本发明涉及工业互联网数据传输，特别涉及一种工业互联网数据传输方法及系统。

背景技术：

1、随着工业互联网的快速发展，各类工业应用系统和服务平台需要通过网络进行交互和通信。但是，由于工业环境的复杂性，现有的工业互联网在数据传输安全方面存在一定缺陷。

2、现有的工业互联网通常采用标准的网络传输协议，如tcp/ip协议。该类协议在设计时主要考虑传输性能和兼容性，对数据传输的保密性和完整性关注不足。另外，现有工业互联网环境中，网络设备及通道受到各种随机因素影响较大，使数据容易在传输过程中被非法访问或篡改。

3、在相关技术中，比如中国专利文献cn116471002a中提供了一种工业互联网数据传输方法及系统，首先根据数据获取要求调取对应的数据作为待发送数据。其次根据待发送数据的总信息量选取多个数据传输质量最高的数据传输通道。然后根据各数据传输通道能够传输的信息量对待发送数据的总信息量进行数据切片处理，获得各数据传输通道对应的数据包。最后按照数据获取请求中的数据接收开始时间通过各数据传输通道向工业服务终端输送对应的数据包。本发明根据待发送数据的总信息量确定数据传输质量最高的数据传输通道的个数，根据每个数据传输通道能够传输的能力进行切片获得对应的数据包，最后通过各数据传输通道向工业服务终端输送对应的数据包。但是该方案在选取数据传输通道时，仅从数据传输质量的角度进行评估，没有考虑通道的安全机制，数据传输的安全性有待进一步提高。

技术实现思路

1、针对现有技术中存在的工业互联网数据传输安全性低的问题，本发明提供了一种工业互联网数据传输方法及系统，通过终端请求验证和数据加密切片等技术，提高了工业互联网数据传输的安全性。

2、本发明的目的通过以下技术方案实现。

3、本说明书实施例的一个方面提供一种工业互联网数据传输方法，包括：接收终端发送的包含数据获取要求、数据接收开始时间和最长接收时间的数据获取请求，利用终端的数字证书或预配授权码验证数据获取请求的合法性和安全性；接收终端发送的数据获取请求时，包含了数据获取要求、数据接收开始时间和最长接收时间等信息。其中，利用终端的数字证书或预配授权码来验证数据获取请求的合法性和安全性，这是保证请求发送方身份合法的一个关键步骤。数字证书通过证书颁发机构签发，可以验证终端的身份。预配授权码是提前下发给合法终端的授权码，也可以验证终端身份。服务器端在收到数据获取请求时，会提取请求中的数字证书或预配授权码，与数据库中的证书吊销列表或授权码数据库进行比对，看其是否在有效期内并且未被吊销，以确认数字证书或预配授权码的有效性。接着利用证书中的公钥或预配授权码对应的预共享密钥，对请求中的数字签名进行解密和验证，如果签名验证通过，则表明该请求来源合法，否则则丢弃该非法请求。通过这种数字证书或预配授权码的验证机制，可以有效防止非法终端的非授权数据获取请求，保证了数据获取请求的合法性和安全性。这是整个安全数据传输方案的第一道防线。

4、对验证合法和安全的数据获取请求，根据数据获取请求中的数据获取要求从数据库中提取对应的数据；在数据获取请求的合法性和安全性得到验证后，服务器会根据请求中的数据获取要求，从数据库中提取出对应的需传输数据。例如，数据获取请求中指定需要获取的数据类型、日期范围等条件，服务器就可以根据这些要求，通过数据库查询语句从中提取出满足条件的数据。这一步骤保证了只有在请求合法安全的前提下，才会从数据库中提取数据。而且正是根据请求的具体数据获取要求，可有针对性地获取所需的数据，而不是简单全量抓取，这样可以提高效率，也可以避免非必要敏感数据的泄露。通过这种按需提取的数据获取方式，配合前一步的请求验证，可以有效防止非法数据泄露和数据被非授权获取，保护了数据安全。同时也提高了数据获取的精确性和有效性。只提取与请求相关的必要数据，又减少了网络传输的数据量，提高了传输效率。

5、采用非对称加密算法对提取的数据进行加密处理；本技术中，非对称加密算法包含：rsa是一种广泛使用的非对称加密算法，它基于大整数分解问题的困难性，通过公钥和私钥实现数据的加密和解密。rsa算法安全可靠，运算速度中等，可以用来对工业互联网中的数据进行加密。ecc是一种高效的公钥加密算法，相比rsa可以在更小的密钥大小下实现同等级别的安全性，计算更快，适用于对运算能力和存储空间有要求的环境，本技术的优选实施例中采用的是ecc算法。elgamal算法的安全性基于离散对数问题的困难性，它效率高于rsa，可以在密钥较短的情况下实现更高的安全性。背包算法基于子集和问题的np完全性，其安全性取决于大整数分解问题的困难程度。该算法计算量小，加解密速度快。ecdsa是基于ecc的数字签名算法，安全性高，可以与ecc加密算法配合使用，在数据加密的同时提供数字签名服务。

6、根据加密后的数据量，利用数据切片算法将数据切片处理，获得待传输的数据包；预设单数据分片大小，根据网络带宽确定合理的分片大小。计算加密后的数据总量。根据预设分片大小计算需要切分的分片总数。采用按顺序截取数据流的方式切分数据，依次提取固定大小的数据块。为每个数据分片添加唯一的序列编号。根据编号顺序重新组合切分后的分片。重复切分直至数据全部切分完毕，得到待传输的数据包。这样的切片传输，可以有效提高网络传输效率，减少丢包后重传的时间成本。唯一序列号也便于接收端对数据包进行重组。同时，数据按片传输也提高了安全性。攻击者更难从截获的部分切片内容获取有效信息。本技术中数据切片算法包含：等长数据切片技术将数据按照预设的等长切片大小进行切分，每片数据大小相同。这种切片方式实现简单，但是会产生最后一片数据不足长度的情况。动态数据切片技术根据数据长度和内容动态计算切片大小，让每片数据量在一个合理范围内波动，避免出现过大或过小的数据片。适应性更强。冗余切片技术为数据切片添加冗余码，一定数量的原始切片丢失后，仍可以通过冗余切片来恢复原始数据。提高了传输的容错能力。分组交织切片技术先将数据分组，然后在组间交织切片，新增混淆效果，提高安全性。rabin数据切片技术基于rabin指纹，可以有效检验切片的完整性和数据一致性。自适应切片技术根据网络状态和业务需求动态调整切片大小，实现自适应优化。加密切片技术在切片过程中，对每个数据切片进行加密，安全性更高。

7、从候选数据传输通道集合中基于数据传输质量和通道安全性评估，选择多个数据传输质量最高且安全性验证通过的通道作为已选通道集合；根据数据获取请求中的数据接收开始时间和最长接收时间，通过已选通道集合依次向终端传输对应的加密后的数据包；接收并使用数字签名算法验证终端发送的接收确认信息的合法性和安全性，如果确认信息验证不通过，则重新传输相应的数据包。从多个候选传输通道中，基于数据传输质量和通道安全性进行评估筛选，选择多条质量最高、安全性通过验证的通道。根据数据接收时间信息，通过选择的高质量安全通道依次传输数据。接收终端的确认信息，并用数字签名算法验证其合法性和安全性。如果确认信息验证不通过，则重传相应数据包。通过评估选取高质量、高安全性的多条通道传输数据，可以提高传输可靠性，防止单点通道故障造成传输中断。根据接收时间信息控制传输节奏，可以提高实时性。终端确认回复的安全性验证，可以防止伪造或非法信息干扰传输流程。重传机制进一步提高了可靠性。综上所述，本技术形成了一个数据传输的闭环体系，全流程保障了工业互联网数据的安全可靠传输，防止了各类攻击对数据传输的破坏，提高了整体传输效率。

8、进一步地，接收终端发送的包含数据获取要求、数据接收开始时间和最长接收时间的数据获取请求，利用终端的数字证书或预配授权码验证数据获取请求的合法性和安全性包括如下步骤：终端在发送数据获取请求前，利用私钥和证书序列号生成数字签名，并将生成的数字签名和对应的数字证书或预配授权码一起组装进数据获取请求报文中；终端存储有数字证书或预配授权码，以及对应的私钥。在组装数据获取请求报文前，终端取出该数字证书或预配授权码的唯一序列号。用私钥和序列号作为输入，通过数字签名算法生成签名值。将生成的数字签名、数字证书或预配授权码序列号一起组装进数据获取请求报文。发送请求报文。服务器端在接收请求后，可以通过提取证书序列号，利用存储的公钥验证签名的合法性，确认请求确实来自持有该证书或预配码的终端，防止身份被冒用。这种基于非对称加密的数字签名技术，可以有效防止身份被伪造，保证了数据获取请求的可靠性。是保障整个数据传输安全的重要基础。 数据接收开始时间，指终端希望开始接收数据的时间点。这是个时间戳，表示设备何时准备好可以开始接收数据包。最长接收时间：指终端可以持续接收数据的最大时间段。这是个时间窗口的时长概念，表示终端希望在数据接收开始时间后，持续最长可以接收数据的时间长度。数字证书：一种用来证明公钥拥有者身份信息的电子文件，由认证机构签发。它将公钥与拥有者的身份绑定，保证了公钥的来源可靠性。预配授权码：服务提供方预先分配给合法终端的授权识别码。这是一种基于口令的简易认证方式。不同终端持有不同的唯一授权码。验证流程中的数字证书或预配授权码是为了确保获取请求发送方的合法性和身份可信性。数字证书采用了公钥基础设施（pki）的认证机制，安全性较高，但部署较为复杂。预配授权码实现简单，但安全性不如数字证书，更适合验证流程简单的场景。综合考虑实际应用的安全性需求、实现难度等因素，选择使用数字证书或预配授权码，从而在身份验证中取得最佳的安全性与便捷性的平衡。

9、接收数据获取请求报文后，提取数据获取请求报文中的数字证书或预配授权码作为索引，在证书吊销列表数据库或授权码数据库中查询，以验证数字证书或预配授权码的有效性；从请求报文中提取数字证书或预配授权码。将证书或授权码作为索引，在服务器本地的证书吊销列表数据库或授权码数据库中查询。检查证书或授权码的状态，是否在有效期内且未被吊销。如果有效，则证明持有该证书/码的请求方身份合法；如果被吊销或过期，则请求非法。对合法请求继续后续数据提取和传输流程；对非法请求直接丢弃。服务器维护最新的证书吊销列表和授权码数据库，可以实时验证证书或码的状态，防止盗用或伪造身份。这种基于证书/码验证机制，确保了每一个数据获取请求都经过了严格的身份合法性检查，有效保障了数据接口的安全，防止了非法数据泄露或被非授权访问。其中，证书吊销列表（crl）数据库是数字证书认证机制中的一个重要组成部分，它的作用是存储已被吊销的数字证书的序列号或签名。证书吊销列表数据库存放这些被吊销证书的信息，供证书验证方查询和核对。当一个数字证书由于私钥泄露、证书过期等原因而被撤销或吊销时，认证机构会将该证书的唯一序列号或签名添加到证书吊销列表数据库中。在验证数字证书的有效性时，验证方会查询证书吊销列表数据库，以检查待验证证书是否在吊销列表中，从而判断该证书是否已经失效和不可信。如果待验证证书序列号被发现在吊销列表中，则表明该证书无效，验证失败。否则，证书有效，验证通过。因此，证书吊销列表数据库在公钥基础设施体系中扮演者极其重要的安全防护角色。它保证了即使数字证书被吊销，依然可以被验证方识别为无效证书，避免了不可信证书的通过验证。

10、如果数字证书或预配授权码验证有效，则根据数字证书中的公钥或预配授权码对应的预共享密钥来解密数据获取请求报文中的数字签名，并验证数字签名的正确性；当数字证书或预配授权码有效性验证以及数据获取请求报文签名验证均正确时，确认数据获取请求来源合法有效。从证书或授权码数据库获取请求方对应的公钥或预共享密钥。用公钥或预共享密钥对请求报文中的数字签名进行解密。将解密获得的签名算法输入与服务器本地计算的输入比较，如果一致，则签名验证通过。最终在数字证书/授权码验证有效、且签名验证正确的条件下，确认数据获取请求来源合法有效。若签名验证不通过，则丢弃该非法请求。数字签名的验证可以防止报文在传输过程中的被篡改。只有双重验证机制都通过，才最终确认请求合法，避免了可能存在的验证漏洞。这样可以确保服务器只响应经过充分验证的合法数据获取请求，防止了请求报文被伪造或篡改的风险，保证了数据传输安全的可靠性。

11、进一步地，采用非对称加密算法对提取的数据进行加密处理包括如下步骤：使用基于椭圆曲线的ecc算法生成包含ecc公钥和ecc私钥的非对称密钥对，其中，ecc私钥存储在硬件安全模块中；利用生成的ecc公钥对提取的数据进行加密；对ecc加密后的数据生成数字签名，并在签名过程中绑定终端的唯一设备标识；使用基于椭圆曲线的ecc算法生成一对非对称密钥，包含ecc公钥和ecc私钥。将ecc私钥存储在硬件安全模块中，确保其安全性。用提取出的数据作为明文，采用ecc公钥对其进行加密。对加密后的密文生成数字签名，签名算法输入包括密文和终端的唯一设备标识。签名过程中，将设备标识绑定进去，确保签名仅对该特定终端有效。最终形成经过ecc加密和签名的待传输数据。ecc算法安全性高且效率高，硬件密钥存储提高了私钥保护强度。数字签名结合设备标识绑定防止了签名被盗用的风险。其中，基于椭圆曲线的公钥加密（ecc）是一种非对称加密算法，其安全性建立在椭圆曲线数学的基础之上。ecc算法的主要特点是，安全性，与rsa等算法相比，ecc可以使用更短的密钥来实现同等级别的安全强度，密钥长度更短，运算更快。效率，基于椭圆曲线运算的加密算法，计算复杂度较低，使用较少的系统资源。可扩展性，ecc算法可以方便地扩展到更高的安全级别。灵活性，ecc支持各种不同的密钥类型和模式。ecc算法的数学原理是构建在椭圆曲线方程之上的点乘法，通过标定曲线上的点，可以生成公私钥对。其安全性依赖于椭圆曲线离散对数问题的难解性。相比rsa等算法，ecc具有密钥短、运算快、存储需求少的优势，非常适合在对安全性要求较高但资源有限的应用场景中使用，如工业互联网、无线传感网等。

12、通过传输层安全协议与终端建立会话通道，使用会话密钥对ecc加密和签名后的数据进行对称加密；通过基于ipsec的vpn通道发送会话密钥加密后的数据和数字签名；接收端使用预配置的可信根证书验证vpn服务器证书，建立vpn通道；服务器端和客户端终端利用传输层安全协议tls建立安全可靠的会话通道，双方协商生成会话密钥。服务器端拿到预先ecc加密和数字签名后的工业数据，使用tls会话密钥进一步对数据进行aes等对称加密。加密后的工业数据以及数字签名通过ipsecvpn隧道进行传输。客户端终端预先配置了vpn服务器的数字证书或根证书，用于验证服务器证书的有效性。客户端利用证书验证vpn服务器身份，如果验证通过，同服务器建立ipsec vpn通道。通过vpn通道接收数据，利用会话密钥解密数据，再使用预存的私钥解密，最后验证数字签名。这样既保证了数据传输过程的保密性，也验证了数据的完整性。综上，tls和vpn相结合实现双层加密传输，证书验证保障通道安全，数字签名防止篡改。本技术能够有效保护工业互联网中的重要数据资产。其中，ipsec互联网协议安全（ip security）的缩写，是一套用于通信安全的网络协议，工作在网络层，为数据包提供保密性、完整性、真实性等安全服务。vpn通道：虚拟私有网络（virtual private network）通道。利用公共网络在不同终端建立的逻辑上的专用安全通道。通过加密、隧道协议等技术实现数据的安全隐私传输。会话密钥：在安全通信中，通信双方协商生成的用于加密单次会话通信内容的数据密钥。会话密钥的使用范围限定在一个会话内，会话结束后即失效。通过ipsec协议在公网上建立加密的vpn隧道，并在隧道内使用会话密钥加密应用数据，可以有效保证工业互联网中数据传输的安全性和保密性。

13、通过vpn通道中的安全会话解密，获取会话密钥加密后的数据和数字签名；利用绑定终端的唯一设备标识对获取的数据和数字签名进行验证，当验证通过时，利用存储在硬件安全模块中的ecc私钥对数据进行解密。通过与vpn服务器建立的安全会话通道获取双层加密的数据和数字签名。使用会话密钥对数据层进行对称解密。利用绑定在数字签名中的终端唯一设备标识，验证签名与当前终端是否匹配。如果设备标识验证通过，则继续后续解密流程。从硬件安全模块中调用ecc算法的私钥。使用ecc私钥对数据进行非对称解密，获取原始明文数据。最终完成数据的解密和验证。设备标识的绑定验证确保了签名的不可伪造性。硬件模块隔离存储的ecc私钥保证了解密密钥的机密性。数据链路的全流程安全性验证，能够有效防止在传输过程中数据被窃取或篡改的风险。

14、进一步地，传输层安全协议为tls协议。tls协议可以建立安全的点对点连接，提供数据加密、身份认证等功能。服务器端和客户端协商生成会话密钥，用来加密双方通信数据。服务器端需要提供数字证书，客户端可以验证其身份。tls支持多种加密套件，包括aes、3des等对称加密算法。tls使用hmac机制保证数据完整性。tls握手过程利用非对称加密和证书进行身份验证和密钥交换。数据传输结合之前的ecc加密、数字签名，实现三层加密保护。tls标准继续演进，tls1.3进一步强化了算法和密钥交换机制。综上所述，引入tls协议，利用其丰富的安全机制，可以有效提升工业互联网中数据链路的可靠性和抗攻击能力，为终端到终端的安全数据传输提供critical系统级保护。

15、进一步地，tls协议为tls1.3协议。tls1.3相比早期版本简化了握手流程，提高了连接建立效率。引入0-rtt数据传输模式，允许会话重建时的零延迟数据发送。去掉了多种脆弱的加密算法，只保留最强的aes gcm和aead相结合的模式。引入rsa密钥传输机制，增强前向安全性。使用hkdf算法强化密钥导出，更难被破解。支持基于ecdhe的完美前向安全密钥交换。支持psk和密钥绑定机制，增强会话密钥安全性。新的认证机制有效防止会话重放攻击。去掉压缩以防范crime攻击。综上，tls1.3在算法、密钥交换、认证等多个方面进行了强化，可以为工业互联网中的数据传输提供更高强度的安全保护。

16、进一步地，根据加密后的数据量，利用数据切片算法将数据切片处理，获得待传输的数据包，包括如下步骤：预设单数据分片大小，根据网络传输带宽预设分片大小；计算加密后的数据量；根据预设分片大小与计算所得的数据量，确定总的切片数量；采用按顺序截取数据流算法，按照预设分片大小依次从加密后的数据中提取数据分片，直至提取全部数据；根据网络带宽情况，预先设置单个数据切片的大小，例如1mb。计算进行加密后的总数据量，例如为6.8mb。根据预设的单个切片大小1mb和数据总量6.8mb，可以计算得到总的切片数量应该为7片。采用按顺序截取数据流的算法，按照预设大小1mb依次从加密后的数据流中提取数据。重复该过程，直到将加密后的数据全部提取完毕，得到7个1mb大小的分片。以分片作为单位进行传输。本技术根据网络带宽优化了单片切片大小，并计算切片总数，避免了过大和过小切片的问题。按顺序流式提取保证了每个切片中的数据顺序连续，无重复和遗漏。该切片方式既提高了传输效率，也保证了数据的完整性。

17、采用添加序列号算法，对提取出的每个数据分片添加唯一的编号；采用数据封装算法，基于每个分片的编号按顺序将数据分片组合封装为数据包；重复上述步骤直至将全部待传输数据切分完成；获得切片处理后待发送的数据包。对按预设大小提取出的每个数据切片，使用添加序列号算法生成一个唯一的序列号。将序列号和对应的切片数据一起，按照切片顺序封装成数据包。例如对7个切片生成标号1至7，与每个切片一一对应封装。重复该编号和封装过程，直到所有的切片都被处理完毕。最终获得了带有唯一序列号的切片数据包集合。该过程为每个切片生成了编号，可以标识切片顺序和对应关系。按序号封装可以方便传输端按顺序重组和接收端校验完整性。

18、进一步地，添加唯一的编号为采用单调自增的整数编号。本技术中，单调自增的整数编号包含：简单顺序计数，从1开始，每生成一个切片编号按照+1的方式单调递增。时间戳编号：使用时间戳作为唯一编号，例如使用生成切片的时间毫秒值或微秒值。时间戳能够保证全局单调递增。随机增量编号，为每个切片生成一个随机正整数增量，之前编号+随机增量作为当前编号。只要保证增量正值，则也能单调递增。带循环位的计数，使用一组计数字段，低位数每次+1计数，循环到最大值后高位数字+1，低位重新从0开始计数。hash编号，使用切片内容hash作为编号。hash函数单向不可逆，因此也可以保证单调增加不重复。uuid，为每个切片生成一个通用唯一标识符作为编号，uuid能够提供全局唯一性。

19、进一步地，从候选数据传输通道集合中基于数据传输质量和通道安全性评估，选择多个数据传输质量最高且安全性验证通过的通道作为已选通道集合包括如下步骤：采用数据传输质量评估参数设置方法，设置评估参数包含传输速率、丢包率和延迟时间；采用数据通道安全性验证参数设置方法，设置验证参数包含认证加密等级和防火墙规则；

20、对每个候选通道采用数据传输质量测量方法，利用设置的评估参数对候选通道进行质量评估；传输速率：设置评估数据传输的平均速率指标，如设置为将传输速率不低于100mbps。丢包率：设置评估数据传输过程中的丢包率指标，如设置丢包率不大于0.1%。延迟时间：设置评估数据在传输过程中的平均延迟时间指标，如设置平均延迟不大于20ms。将上述三个量化的参数作为数据传输质量评估的判定依据。数据传输过程中持续监控这三个指标，与预设阈值比较判断是否达标。如果长时间低于质量要求，则说明网络传输质量存在问题。通过设置量化的评估参数，可以客观地监控网络的数据传输质量，发现网络通信中可能出现的故障或瓶颈，保证传输的高可靠性。

21、对每个候选通道采用安全性验证方法，根据设置的验证参数检查候选通道的安全性是否满足要求；设置安全性验证的参数，包括数据加密强度、身份认证、可靠性等指标。对每个候选通道，根据设置的参数执行安全验证：检查通道是否启用了传输层加密协议，如tls，并验证其加密算法强度。验证通道两端是否做了充分的身份认证，如证书验证、数字签名等。检查通道传输是否存在异常情况，如长时间断开、重放攻击等。将每个通道的验证结果与预设的参数安全要求进行比较。如果验证结果满足参数要求，则证明该通道安全性能够满足数据传输的需求。最后，从通过验证的通道中选择合适的通道进行数据传输。通过明确的安全验证参数和标准化的验证流程，可以有效评估通道安全性，选择安全性能优异的通道，最大程度地保障数据传输安全。

22、采用质量排序方法，将通过验证的候选通道按照数据传输质量由高到低进行排序；在候选通道中，选取已通过安全性验证的通道。根据预设的评估参数，对这些通道的传输质量进行监测和评分。主要评估指标包括：传输速率（throughput），网络延迟（latency），丢包率（packet loss rate）；根据上述指标计算得分进行综合评价，得到每个通道的质量分值。根据质量分值高低对通道进行排序，质量分值最高，表示数据传输质量最好的通道排在前面。若质量相当，则根据业务需求确定优先级，比如对时效性要求高的业务，则将网络延迟更低的通道排序优先。通过该质量排序方法，可以选择传输质量更高，更符合业务需求的通道。有助于保证工业互联网中数据的高效可靠传输。

23、采用安全通道筛选方法，从排序后的通道中选择通过安全性验证且质量较高的前n名通道；对所有的候选通道，依次进行安全性验证和质量评估。只选择那些通过了安全性验证的通道。这一步筛除了不安全的通道。在通过验证的通道中，根据数据传输质量评估结果对通道进行排序。根据实际需求，确定选择前n名质量较高的通道。例如选择质量前3名的通道。最终获得同时满足安全性验证和质量评估、排名较优的前n名通道。在后续的数据传输中，只使用这n个经过筛选出的安全通道。本技术结合安全性和质量两个维度筛选通道，可以有效锁定安全性高且传输性能良好的通道，最大程度地保障工业互联网中数据传输的安全性和可靠性。具体地，根据业务需求，评估需要同时使用的通道数量。例如考虑需同时传输的数据量大小、业务失败容忍程度等。在候选安全通道中，计算累积数据传输能力前n名通道的总和，与业务需求进行匹配。如果前n名通道的综合传输能力可以满足业务需求量，则确定n的取值为当前数字。如果不满足，则增加n值，再计算前n名通道的综合传输能力，重复该步骤。直到找到一个最小的n值，使得前n名通道的综合传输能力满足业务需求。最终确定出的n值即为选择通道数量的依据。这种方式可以根据具体业务需求动态确定通道选择数量，在满足需求前提下选择数量最小，避免选择冗余通道。

24、进一步地，数据传输质量评估参数设置方法为利用预设带宽范围设置传输速率，采用统计模型设置丢包率阈值，采用网络检测工具测量延迟时间；传输速率：根据网络实际情况，预设一个合理的带宽范围，作为传输速率的参考指标，例如设置为100mbps至500mbps。丢包率：通过统计模型分析网络的历史运行数据，确定一个合理的丢包率阈值，例如设置为不高于0.5%。延迟时间：使用专业的网络检测工具，如ping工具，在网络不同时间段对网络延迟进行主动测量和记录，得到平均延迟时间指标，例如平均延迟在50ms以内。将上述获得的三个指标参数作为传输质量的评估标准，在数据传输过程中持续监控网络状态。如果监控结果超出预设参数范围，则需要对网络进行检查和优化调整。综合利用多种技术手段获得评估参数，可以使参数更加全面准确地反映网络传输质量，从而对数据传输过程进行有效的质量监控。

25、数据通道安全性验证参数设置方法为根据国家加密标准设置数据传输的加密等级，设置和加密等级相对应的防火墙过滤规则库。根据需要传输数据的敏感程度，参考国家密码管理局颁布的商用密码产品清单，确定适当的加密技术强度等级。例如敏感数据采用128位aes加密等级。根据选定的加密技术等级，配置通道两端的加密方案，部署硬件加速芯片，实现指定强度的数据加密。参考国家密码管理局公布的相关技术规范，设置与加密等级相适应的防火墙过滤规则库。过滤不符合传输要求的数据流量。在通道传输过程中，根据预设规则库过滤异常流量，并持续监控通道数据，确保其符合指定加密技术的要求。超出指定技术规范的通道传输行为都需要进行阻断。通过与国家标准对接，可以保证数据通道安全验证的参数设置规范合理，有助于规范数据传输行为，提升工业互联网安全性。

26、本说明书实施例的另一个方面还提供一种工业互联网数据传输系统，实现本技术的一种工业互联网数据传输方法，包括：请求验证模块，接收终端发送的包含数据获取要求、数据接收时间信息的数据获取请求，并利用终端的数字证书或预配授权码验证请求的合法性和安全性；数据提取模块，在请求验证合法安全的情况下，根据数据获取请求从数据库提取对应的数据；数据加密模块，采用非对称加密算法对提取的数据进行加密处理；数据切片模块，根据加密后的数据量，利用数据切片算法将数据切片处理，获得待传输的数据包；通道选择模块，从候选通道中基于数据传输质量和安全性评估选择多条高质量安全的已选通道；数据传输模块，根据数据获取请求中的接收时间信息，通过已选通道依次向终端传输加密后的数据包；确认处理模块，接收终端发送的接收确认信息，并使用数字签名算法验证确认信息的合法性和安全性。

27、相比于现有技术，本发明的优点在于：

28、（1）在数据传输前端，本发明通过使用公钥加密体系中的数字证书和数字签名技术，实现对数据传输请求方身份的加密验证，避免了非对称加密体系下的中间人攻击风险，增强了数据传输初始化阶段的可鉴别性和不可否认性，从而提高了工业互联网数据传输的安全性；

29、（2）在数据传输过程中，本发明采用混合的非对称加密算法和对称加密算法，以及数据分片和重新组装技术，增强了数据的保密性。非对称加密保证了传输数据的完整性不受破坏，对称加密提高了数据加密处理效率，数据分片技术降低了单片数据被破解的可能性，从而提高了工业互联网数据传输的安全性；

30、（3）在数据传输后端，本发明继续采用数字签名技术对接收确认信息进行身份验证，避免了基于密码体系的身份伪造风险，保证了接收确认信息的不可否认性，采用多通道传输和评估选择机制，实现了空间上的冗余备份，降低了单一通道容易受到的可利用风险，提高了数据传输的可靠性，从而提高了工业互联网数据传输的安全性。