CN109246209B

CN109246209B - 林业物联网安全通信管理方法

Info

Publication number: CN109246209B
Application number: CN201810999403.XA
Authority: CN
Inventors: 罗孝琼
Original assignee: Zhangjiakou Jincheng Science And Technology Co Ltd
Current assignee: Zhangjiakou Jincheng Science and Technology Co., Ltd.
Priority date: 2018-08-30
Filing date: 2018-08-30
Publication date: 2019-07-09
Anticipated expiration: 2038-08-30
Also published as: CN109246209A

Abstract

本发明涉及一种林业物联网安全通信管理方法，通过边缘计算设备对物联网设备采集的数据进行分析处理，边缘计算设备包括通信模块、认证模块、控制器和策略执行单元。认证模块通过其标签单元将维度标签按照与类别相关联的方式分配给物联网设备，使得每个维度标签对应一类物联网设备；维度标签具有公钥证书，并且维度标签与物联网设备以及林业物联网服务的类别相关联；通过控制器存储和分配安全规则，认证模块从物联网设备的TLS端点接收认证密钥并且判断该类别的物联网设备是否被分配了维度标签；策略执行单元根据安全规则管理物联网设备的通信。本发明能够基于安全规则对物联网设备进行通信管理，从而提高了系统的安全性。

Description

林业物联网安全通信管理方法

技术领域

本发明涉及物联网技术领域，尤其涉及一种林业物联网安全通信管理方法。

背景技术

物联网是通过射频识别、红外传感器、全球定位系统(GPS)等信息传感设备，按照约定的协议把检测到的信息进行交换和通信，以实现智能化的识别、监控、定位和管理等功能。目前物联网在林业中的应用还处于初级阶段，主要用于森林火灾监测、森林病虫害监测、木材远程管理等方面。

现有的与林业相关的物联网技术方案为：设置在森林中的传感器将检测到的数据实时地或定期地传输至林业部门的服务器，监控人员通过后台管理客户端查看分析相关数据，从而实现森林病虫害监测、森林火灾监测等功能。对于数据量比较大的林业部门，采用云计算中心集中处理传感器上传的海量数据。

然而现有的林业物联网技术方案存在以下不足：

1、由于森林的覆盖面积广，由于林业系统对于森林病虫害防护、森林火灾防护和木材远程管理等领域的管理需求，与林业相关的物联网设备的数量以及需要处理的数据量都快速增长，如果把这些数据直接上传到云端或者林业部门的后台管理服务器，这就要求云端提供大量的存储空间，并且很容易出现网络阻塞的情况。

2、根据林业物联网服务的类型不同，现有的林业物联网设备具有数量多、类型多的特点。然而现有的物联网设备存在许多严重的安全问题和技术问题，使其成为了整个林业物联网系统的安全隐患。例如，物联网设备未部署在林业物联网数据中心的环境中，因此保护数据中心的传统安全服务无法保护物联网设备。此外，现有的物联网设备中的大多数都采用弱访问机制，因此这些物联网设备存在安全缺陷和漏洞。

发明内容

针对现有技术之不足，本发明提供了一种林业物联网安全传输管理方法，通过边缘计算设备对物联网设备采集的数据进行分析处理，边缘计算设备包括通信模块、认证模块、控制器和策略执行单元。

认证模块通过其标签单元将维度标签按照与类别相关联的方式分配给物联网设备，使得每个维度标签对应一类物联网设备；维度标签具有公钥证书，并且维度标签与物联网设备以及林业物联网服务的类别相关联；

通过控制器存储和分配安全规则，其中每个安全规则对应于一类物联网设备，所述安全规则定义了物联网设备的访问规则；

认证模块从物联网设备的TLS端点接收认证密钥并且判断该类别的物联网设备是否被分配了维度标签；策略执行单元根据安全规则管理物联网设备的通信。

根据一个优选实施方式，所述林业物联网服务包括森林病虫害防护、森林火灾防护和木材管理；

与森林病虫害防护相关的维度标签包括环境传感器、病虫害高发区的地理位置和病虫害高发时间信息；与森林火灾防护相关的维度标签包括红外传感器、温度传感器和烟雾报警器；与木材管理相关的维度标签包括视频监控、预定采伐地理位置、预定采伐时间和车辆识别登记。

根据一个优选实施方式，若新加入的物联网设备属于已分配维度标签的物联网设备类别，所述标签单元将已有的维度标签分配给物联网设备；

若新加入的物联网设备不属于已分配维度标签的物联网设备类别，所述标签单元基于物联网设备的认证密钥生成新的维度标签，所述认证密钥包括MAC地址和通用唯一标识符。

根据一个优选实施方式，所述标签单元为新的维度标签生成公钥证书，并且所述控制器为新的维度标签分配安全规则。

根据一个优选实施方式，所述策略执行单元验证第一设备的证书，并从所述第一设备的证书中提取标识符和维度标签；所述策略执行单元检索第二设备的维度标签，并将第二设备的维度标签与第一设备的维度标签进行比较；若维度标签匹配，则策略执行单元允许第一设备和第二设备之间进行通信；前述第一设备和第二设备包括物联网设备、后台管理客户端和后台管理服务器。

根据一个优选实施方式，在物联网设备和边缘计算设备之间还设置有智能物联网网关，智能物联网网关采用决策逻辑来根据数据类型和数据内容对数据流进行优先级排序，然后将高于预设优先级的数据传输至边缘计算设备。

本发明具有以下有益效果：

1、支持的林业物联网服务范围广、类别多，能够根据各个林业物联网服务的类别执行不同的安全规则，显著提高了林业物联网系统的安全性。

2、采用了边缘计算技术，在林业物联网设备的网络边缘处通过边缘计算设备对物联网设备采集的数据进行初步处理，从而避免了所有物联网设备产生的数据都集中地上传至后台管理服务器所造成的带宽资源浪费，减少了带宽的占用，提高了数据分类传输的效率。

附图说明

图1示意性示出了本发明一个实施方式的的方法流程图；

图2示意性示出了用于执行本发明的林业物联网系统的结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

如图1所示，本发明的林业物联网安全通信管理方法包括：通过边缘计算设备对物联网设备采集的数据进行分析处理。边缘计算设备包括通信模块、认证模块、控制器和策略执行单元。

认证模块通过其标签单元将维度标签按照与类别相关联的方式分配给物联网设备，使得每个维度标签对应一类物联网设备；维度标签具有公钥证书，并且维度标签与物联网设备以及林业物联网服务的类别相关联。

通过控制器存储和分配安全规则，其中每个安全规则对应于一类物联网设备，前述安全规则定义了物联网设备的访问规则。

本发明中的林业物联网服务包括森林病虫害防护、森林火灾防护和木材管理。与森林病虫害防护相关的维度标签包括环境传感器、病虫害高发区的地理位置和病虫害高发时间信息；与森林火灾防护相关的维度标签包括红外传感器、温度传感器和烟雾报警器；与木材管理相关的维度标签包括视频监控、预定采伐地理位置、预定采伐时间和车辆识别登记。

优选地，若新加入的物联网设备属于已分配维度标签的物联网设备类别，标签单元将已有的维度标签分配给物联网设备。若新加入的物联网设备不属于已分配维度标签的物联网设备类别，标签单元基于物联网设备的认证密钥生成新的维度标签，认证密钥包括MAC地址和通用唯一标识符。进一步地，标签单元为新的维度标签生成公钥证书，并且控制器为新的维度标签分配安全规则。

具体地，策略执行单元验证第一设备的证书，并从第一设备的证书中提取标识符和维度标签；策略执行单元检索第二设备的维度标签，并将第二设备的维度标签与第一设备的维度标签进行比较；若维度标签匹配，则策略执行单元允许第一设备和第二设备之间进行通信；前述第一设备和第二设备包括物联网设备、后台管理客户端和后台管理服务器。

优选地，在物联网设备和边缘计算设备之间还设置有智能物联网网关，智能物联网网关采用决策逻辑来根据数据类型和数据内容对数据流进行优先级排序，然后将高于预设优先级的数据传输至边缘计算设备。这样，本地智能物联网网关被用于选择性地优化数据，从而在不丢失重要信息的情况下降低传输数据所需的带宽。

由于森林的覆盖面积广，由于林业系统对于森林病虫害防护、森林火灾防护和木材远程管理等领域的管理需求，与林业相关的物联网设备的数量以及需要处理的数据量都快速增长，如果把这些数据直接上传到云端或者林业部门的后台管理服务器，这就要求云端提供大量的存储空间，并且很容易出现网络阻塞的情况。本发明采用边缘计算技术，在林业物联网设备的网络边缘处设置边缘计算设备，不仅能够对物联网设备采集的数据进行初步处理以减少带宽需求和云端存储负担，还能够通过TLS协议并结合林业物联网服务的具体类别需求对物联网设备进行分类通信管理从而显著提高林业物联网系统的通信安全。此外，本发明能够支持对新增的林业物联网设备进行通信管理，具有良好的可拓展性。

如图2所示，用于执行本发明方法的相应的林业物联网系统包括后台管理客户端、后台管理服务器、边缘计算设备和多个物联网设备，边缘计算设备设置于后台管理服务器和物联网设备之间。后台管理客户端包括智能手机、平板电脑、台式电脑、笔记本电脑等具有通信和计算功能的设备。

边缘计算设备用于管理与各个林业物联网服务相关联的各个类别的物联网设备的通信以及对物联网设备采集的数据进行初步处理，边缘计算设备支持TLS协议。边缘计算设备可以为具有计算能力和通信功能的设备，例如服务器、电脑等。本发明中边缘计算设备的“边缘”概念是指位于物联网设备的网络边缘侧，从而便于对物联网设备进行分类通信管理以及对物联网设备采集的数据进行处理。边缘计算设备对物联网设备采集的数据进行初步处理具体包括对物联网设备采集的数据按照林业物联网服务的需求进行分析和筛选，从而减少网络带宽的负担。

林业物联网服务包括森林病虫害防护、森林火灾防护和木材远程管理。前述物联网设备包括具有通信功能的摄像设备、环境监测设备、温度传感器、红外传感器等，物联网设备通常分散设置在待监控管理的森林区域中。

边缘计算设备包括通信模块、认证模块、控制器和策略执行单元。其中，控制器用于存储和分配安全规则，其中每个安全规则对应于一类物联网设备，安全规则定义了每一类别物联网设备的访问规则。

示例性地，与森林病虫害防护相关的维度标签包括环境传感器、病虫害高发区的地理位置和病虫害高发时间信息；与森林火灾防护相关的维度标签包括红外传感器、温度传感器、烟雾报警器等；与木材远程管理相关的维度标签包括视频监控、预定采伐地理位置、预定采伐时间和车辆识别登记。

认证模块还用于从物联网设备的TLS端点接收认证密钥并且判断该类别的物联网设备是否被分配了维度标签。策略执行单元用于管理物联网设备的安全规则，并且物联网设备通过策略执行单元进行TLS通信。

优选地，若新加入的物联网设备属于已分配维度标签的物联网设备类别，标签单元将已有的维度标签分配给物联网设备。若新加入的物联网设备不属于已分配维度标签的物联网设备类别，标签单元基于物联网设备的认证密钥生成新的维度标签，认证密钥包括MAC地址和通用唯一标识符。相应地，标签单元为新的维度标签生成公钥证书，并且控制器为新的维度标签分配安全规则。

优选地，策略执行单元验证第一设备的证书，并从第一设备的证书中提取标识符和维度标签；策略执行单元检索第二设备的维度标签，并将第二设备的维度标签中的require参数与第一设备的维度标签进行比较；若维度标签匹配，则策略执行单元允许第一设备和第二设备之间的通信。

下面对林业物联网系统的工作原理进行详细说明：

在边缘计算设备中，控制器可以在其策略引擎中存储多个安全规则，并且可以生成和分配安全规则。

认证模块从每个物联网设备中的TLS端点接收认证密钥，认证模块可以确定物联网设备的类别是否已经被分配了维度标签。如果维度标签与物联网设备相关联，则认证模块将具有ID和标签的证书返回到与特定物联网设备相关联的TLS端点。

每个策略执行单元(PEP)由控制器控制，以对每个物联网设备或服务实施安全规则。每个策略执行单元包括用于下载/实施TLS策略的TLS代理。每个物联网设备或物联网服务被配置为通过策略执行单元执行TLS通信。

在林业物联网系统中，后台管理人员可以首先为作为林业物联网基础架构的一部分的每个新物联网设备注册认证密钥/凭证，以便系统之后可以基于认证密钥/凭证来检测每个设备。认证模块包括标签单元，该标签单元可以根据需要生成新的维度标签或者将现有的维度标签分配给物联网设备或服务。

系统为每个类别的物联网设备分配维度标签，标签单元还可以生成和发布公钥证书；认证模块还可以包括安全规则存储单元，其管理由策略执行单元实施的安全规则，并存储由后台管理人员发送的系统安全规则。

当新的物联网设备被添加到林业物联网系统中时，管理员可以为新加入的物联网设备进行配置。配置的方法按照是否支持TLS协议进行分类。

对于支持TLS的物联网设备，认证模块可以从每个物联网设备接收认证密钥，该认证密钥可以用于识别该物联网设备分配的ID和维度标签。例如，在一个实施例中，认证密钥可以是分配给每个物联网设备的MAC地址或通用唯一标识符(UUID)。如果物联网设备不是系统中现有物联网设备类别的一部分，则认证模块可以生成具有ID和物联网设备的维度标签的证书。

可选地，策略执行单元还可以执行过滤和监视，当识别出新的物联网设备并且为该新的物联网设备分配了一个不可保护的标签时，策略执行单元被设置用于该物联网设备。物联网设备之间的通信由TLS端点和策略执行单元基于特定物联网设备的安全规则来控制。

对于不支持TLS的设备，可以通过物联网网关连接到边缘计算设备，物联网网关中具有网桥，物联网网关可以使用TLS端点代表具有非TLS功能的设备执行TLS通信。物联网网关和网桥可以是在具有通信连接功能的Linux机器上运行的软件实现。

物联网设备的注册方法具体如下：边缘计算设备的认证模块包括用于存储物联网设备的认证密钥、ID和维度标签的数据库。后台管理员发送请求给认证模块以请求设备注册表单，在收到注册表单后，后台管理员发送新的物联网设备的认证密钥、ID和维度标签。然后，认证模块存储关于新物联网设备的数据，并确认新物联网设备可以在系统中被认证和使用。如果新物联网设备或服务没有有效证书，新物联网设备可以通过将认证密钥和公共加密密钥发送到认证模块来启动请求证书的过程。然后认证模块检索与所接收的认证密钥相关联的ID和维度标签，并生成并返回新物联网设备或服务的证书。

策略执行单元具有端口转发设置，在进行通信管理时，策略执行单元从证书中提取ID和维度标签，并基于安全规则判断是否允许通信。策略执行单元从策略文件中获得require参数。如果其中一个启动器标签包含在require参数中，则允许通信，反之则阻止通信。

一个优选实施例，在物联网设备和边缘计算设备之间还设置有智能物联网网关，智能物联网网关能够自动发现附近的物联网设备，通过有线或无线通信通道连接到它们。智能物联网网关支持的通信连接方式包括蜂窝网络、Zigbee、蓝牙、WiFi和NFC。

智能物联网网关具有足够的计算能力，存储器和存储容量以及人工智能以分析本地数据以实现本地级别的决策。智能物联网网关具有计算单元和存储器，智能物联网网关采用的决策逻辑包括人工智能、视频分析、规则引擎和决策树。

智能物联网网关不是保留所有数据并将其发送到边缘计算单元，而是采用决策逻辑来根据数据类型和数据内容对数据流进行优先级排序，并创建减少的数据流，只有选定的或最高优先级的数据用于传输。

例如，智能物联网网关可以分析来自物联网设备中的摄像装置采集的视频数据，以确定图像内容是否已经从时间T1改变到时间T2。智能物联网网关采用包含规则的规则引擎，如果“视频摄像机1在时间T2的图像内容等同于视频摄像机1在时间T1处的图像内容”，则对时间T1处的视频数据赋予低重要性。根据可用带宽，可以从传输中省略已被识别为低重要性的数据或降低分辨率后再传输。类似地，可以对传感器数据进行类似的分析。例如，低重要性数据可以替代地存储在本地。因此，从要传输到边缘计算设备的总数据减少的数据量可取决于上载数据的带宽的可用性。通过这种方式，本地智能物联网网关被用于选择性地优化数据，从而在不丢失重要信息的情况下传输数据所需的带宽更少。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种林业物联网安全通信管理方法，其特征在于，通过边缘计算设备对物联网设备采集的数据进行分析处理，边缘计算设备包括通信模块、认证模块、控制器和策略执行单元，认证模块、控制器和策略执行单元均连接至通信模块，并且控制器连接至认证模块和策略执行单元；策略执行单元由控制器控制，以对每个物联网设备实施安全规则；策略执行单元包括用于下载/实施TLS策略的TLS代理，物联网设备被配置为通过策略执行单元执行TLS通信；

认证模块从物联网设备的TLS端点接收认证密钥并且判断该类别的物联网设备是否被分配了维度标签；策略执行单元根据安全规则管理物联网设备的通信，策略执行单元具有端口转发设置，在进行通信管理时，策略执行单元从公钥证书中提取ID和维度标签，并基于安全规则判断是否允许通信。

2.根据权利要求1所述的方法，其特征在于，所述林业物联网服务包括森林病虫害防护、森林火灾防护和木材管理；

3.根据权利要求2所述的方法，其特征在于，若新加入的物联网设备属于已分配维度标签的物联网设备类别，所述标签单元将已有的维度标签分配给物联网设备；

4.根据权利要求3所述的方法，其特征在于，所述标签单元为新的维度标签生成公钥证书，并且所述控制器为新的维度标签分配安全规则。