CN112804310B - 一种面向物联网应用的多链智能安全网关及实现方法 - Google Patents

Abstract

本发明涉及面向物联网应用的多链智能安全网关及实现方法，可有效解决传统物联网网关技术中存在的采集数据易篡改，边云协作能力差、安全性弱的问题，其解决的技术方案是，包括数据采集模块、协议转换模块、通信管理模块、网关管理模块、安全管理模块、密钥管理模块、区块链模块，本发明采取区块链技术、数字身份技术、加解密技术、边缘计算技术、人工智能技术极大地降低了整个物联网网络系统风险，为物联网系统安全提供终端设备身份认证能力、云边协作能力、数据智能处理能力、区块链接入能力，是面向物联网安全网关上的创新。

Description

一种面向物联网应用的多链智能安全网关及实现方法

技术领域

本发明涉及区块链技术领域，特别是一种面向物联网应用的多链智能安全网关及实现方法。

背景技术

近年来，随着物联网技术的蓬勃发展，作为连接感知网络与传统通信网络的纽带物联网网关，在物联网时代扮演着非常重要的角色。物联网网关是一种充当转换重任的设备，可以实现感知网络与通信网络，以及不同类型感知网络之间的协议转换，既可以实现广域互联，也可以实现局域互联，但是传统的物联网网关采用中心化存储模式，存在采集数据易篡改，边云协作能力差、安全性弱缺点，极大地增加了整个物联网系统的风险。

区块链技术具有主体对等、公开透明、安全通信、难以篡改和多方共识等特性，对物联网将产生重要的影响：多中心、弱中心化的特质将降低中心化架构的高额运维成本，信息加密、安全通信的特质将有助于保护隐私，身份权限管理和多方共识有助于识别非法节点，及时阻止恶意节点的接入和作恶，依托链式的结构有助于构建可证可溯的电子证据存证，分布式架构和主体对等的特点有助于打破物联网现存的多个信息孤岛桎梏，促进信息的横向流动和多方协作。将区块链技术引入物联网网关有利于防止物联网终端设备数据被篡改，同时融合数字身份技术、加解密技术、边缘计算技术、人工智能技术有利于增强传统物联网网关的边云协作能力、数据处理能力，提高整个物联网网络的系统安全性。因此，发明一种面向物联网应用的安全网关势在必行。

发明内容

针对上述情况，为解决现有技术之缺陷，本发明之目的就是提供一种面向物联网应用的多链智能安全网关及实现方法，可有效解决传统物联网网关技术中存在的采集数据易篡改，边云协作能力差、安全性弱的问题。

本发明解决的技术方案是，包括数据采集模块、协议转换模块、通信管理模块、网关管理模块、安全管理模块、密钥管理模块、区块链模块；

所述的数据采集模块包括数据接收、数据解析、数据发送、通信维护子模块，主要完成物联网终端设备采集数据的上报和应用数据转发的任务；

所述的协议转换模块包括协议解析、协议适配、协议管理子模块，主要功能为将物联网终端设备接入网络的协议进行转换、将下层的标准格式的数据统一封装、保证不同的物联网终端设备的协议能够变成统一的数据和信令，将上层下发的数据包解析成物联网终端设备协议可以识别的信令和控制指令，支持的物联网协议类型包括MQTT，DDS，AMQP，XMPP，JMS，REST，CoAP中的至少一种；

所述的通信管理模块主要功能为实现物联网终端设备采集数据与通信网络的广域或局域互联，包括蓝牙模块、Wi-Fi模块、2/3/4/5G 模块、ZigBee模块、NB-IoT模块、Lora模块和以太网模块中的至少一种；

所述的网关管理模块包括以下内容：

1、对多链智能安全网关进行管理，如注册管理、权限管理、网络接口配置、网络服务配置、静态路由、状态监管、系统时间、系统日志、配置管理、固件升级、用户管理、主机属性管理；

2、对子网内的设备管理，如获取设备的标识、现场名称、资产编号、定位源、LBS上报间隔、流量上报间隔、状态、属性、能量，以及远程实现唤醒、控制、诊断、升级和维护；

所述的安全管理模块包括以下内容：

1、身份认证：物联网终端设备与多链智能安全网关进行通信时，需要通过轻量级安全认证协议或算法，进行双向认证。多链智能安全网关与云平台通信时，由身份安全基础设施进行双向身份认证；

2、安全传输：物联网终端设备与多链智能安全网关传输数据，需要通过安全协议或轻量级算法，对指令和采集的数据进行加密传输，多链智能安全网关与云平台通信时，可根据安全传输协议、安全芯片、加密卡、安全TF卡、数字证书，实现数据的加密传输；

3、防火墙：支持配置防火墙策略的包过滤，可以根据需求定制访问控制策略、访问控制表、NAT规则保障网络不受外界攻击；物联网终端向多链智能安全网关传输数据时，能够阻止来自上层信息网的威胁；

4、协议识别与过滤：识别协议类型，根据协议白名单，阻断非授权的网络数据包；

5、VPN：支持配置IPSec、GRE、L2TP、OpenVPN、数字证书，通过隧道技术、加解密技术、密钥管理技术和身份认证技术，建立虚信道，在链路层和网络层，加密与压缩隧道数据，保障数据安全传输；

6、更新保护：为了保障操作系统内核安全，防止系统文件被恶意篡改更新，只有经过数字签名并被认证的系统文件才会被更新运行；

7、访问控制：对多链智能安全网关的管理访问权限按账户类型进行分级管理，通过入侵检测引擎以及访问控制引擎，能够对物联网接入设备进行安全访问控制、疑似业务阻断，有效降低来自感知层的业务风险，减少网络层的攻击行为；

所述的密钥管理模块用于保障物联网终端设备的数据采集安全、存储安全、传输安全，可提供密钥全生命周期管理、可配置密钥使用策略访问权限和密钥加解密与签名验证功能，支持包括对称密钥、非对称密钥、数字证书和认证令牌多种加密对象的管理，采用硬件加密模式，相对于软件加密，具有加密速度快、占用计算机资源少、安全性高的优点；

所述的区块链模块用于物联网终端设备的采集数据上链、存储与共享及多链智能安全网关的身份，具体包括以下内容：

1、智能合约：通过编写及调用物联网终端设备数据上链智能合约，实现终端采集数据的上链存储；

2、共识机制：通过区块链共识机制保证上链数据的一致性及有效性，支持可拔插共识机制，共识机制包括 POW、POS、DPOS、PBFT的至少一种；

3、隐私保护：利用区块链技术将物联网终端设备采集隐私数据区块化、结构去中心化、信息等级化和智能合约管理，建立立体化和全生命周期的保护模型以及去信任的新管理机制，以满足隐私泄露、防篡改、证据溯源的隐私保护需求；

4、数据共享：由多链智能安全共识网关实现物联网终端设备采集数据的共享，共享数据包括所有网关节点存储数据。

本发明采取区块链技术、数字身份技术、加解密技术、边缘计算技术、人工智能技术极大地降低了整个物联网网络系统风险，为物联网系统安全提供终端设备身份认证能力、云边协作能力、数据智能处理能力、区块链接入能力，是面向物联网安全网关上的创新。

附图说明

图1为本发明的总体架构图。

图2为本发明的实现方法流程图。

具体实施方式

以下结合附图对本发明的具体实施方式作进一步详细说明。

由图1-2给出，本发明包括面向物联网应用的多链智能安全网关，具体包括数据采集模块、协议转换模块、通信管理模块、网关管理模块、安全管理模块、密钥管理模块、区块链模块；

所述的数据采集模块包含数据接收、数据解析、数据发送、通信维护子模块，主要完成物联网终端设备采集数据的上报和应用数据转发的任务，其完成的主要功能包括：

1、维护多链智能安全网关和物联网终端设备之间的通信；

2、维护数据采集模块和协议转换模块之间的通信；

3、解析物联网终端设备发给多链智能安全网关的数据；

4、生成发送给协议转换模块的自动上报请求报文和应用数据转发响应报文的数据；

 5、解析协议转换模块下发的应用数据转发请求报文数据；

6、生成发送给物联网终端设备的控制指令。

所述的协议转换模块包括协议解析、协议适配、协议管理子模块，主要功能为将物联网终端设备接入网络的协议进行转换、将下层的标准格式的数据统一封装、保证不同的物联网终端设备的协议能够变成统一的数据和信令，将上层下发的数据包解析成物联网终端设备协议可以识别的信令和控制指令，支持的物联网协议类型包括MQTT，DDS，AMQP，XMPP，JMS，REST，CoAP中的至少一种。

所述的通信管理模块主要功能为实现物联网终端设备采集数据与通信网络的广域或局域互联，包括蓝牙模块、Wi-Fi模块、2/3/4/5G 模块、ZigBee模块、NB-IoT模块、Lora模块和以太网模块中的至少一种。

所述的网关管理模块包括如下内容：

1、对多链智能安全网关进行管理，如注册管理、权限管理、网络接口配置、网络服务配置、静态路由、状态监管、系统时间、系统日志、配置管理、固件升级、用户管理、主机属性管理；

2、对子网内的设备管理，如获取设备的标识、现场名称、资产编号、定位源、LBS上报间隔、流量上报间隔、状态、属性、能量，以及远程实现唤醒、控制、诊断、升级和维护。

所述的安全管理模块包括如下内容：

1、身份认证：物联网终端设备与多链智能安全网关进行通信时，需要通过轻量级安全认证协议或算法，进行双向认证，多链智能安全网关与云平台通信时，由身份安全基础设施进行双向身份认证；

2、安全传输：物联网终端设备与多链智能安全网关传输数据，需要通过安全协议或轻量级算法，对指令和采集的数据进行加密传输。多链智能安全网关与云平台通信时，可根据安全传输协议、安全芯片、加密卡、安全TF卡、数字证书，实现数据的加密传输；

3、防火墙：支持配置防火墙策略的包过滤，可以根据需求定制访问控制策略、访问控制表、NAT规则保障网络不受外界攻击；物联网终端向多链智能安全网关传输数据时，能够阻止来自上层信息网的威胁；

4、协议识别与过滤：识别协议类型，根据协议白名单，阻断非授权的网络数据包；

5、VPN：支持配置IPSec、GRE、L2TP、OpenVPN、数字证书，通过隧道技术、加解密技术、密钥管理技术和身份认证技术，建立虚信道，在链路层和网络层，加密与压缩隧道数据，保障数据安全传输；

6、更新保护：为了保障操作系统内核安全，防止系统文件被恶意篡改更新，只有经过数字签名并被认证的系统文件才会被更新运行；

7、访问控制：对多链智能安全网关的管理访问权限按账户类型进行分级管理，通过入侵检测引擎以及访问控制引擎，能够对物联网接入设备进行安全访问控制、疑似业务阻断，有效降低来自感知层的业务风险，减少网络层的攻击行为。

所述的密钥管理模块用于保障物联网终端设备的数据采集安全、存储安全、传输安全，可提供密钥全生命周期管理、可配置密钥使用策略访问权限和密钥加解密与签名验证功能，支持包括对称密钥、非对称密钥、数字证书和认证令牌多种加密对象的管理，采用硬件加密模式，相对于软件加密，具有加密速度快、占用计算机资源少、安全性高的优点。

所述的区块链模块用于物联网终端设备的采集数据上链、存储与共享及多链智能安全网关的身份，具体包括以下内容：

1、智能合约：通过编写及调用物联网终端设备数据上链智能合约，实现终端采集数据的上链存储；

2、共识机制：通过区块链共识机制保证上链数据的一致性及有效性，支持可拔插共识机制，共识机制包括 POW、POS、DPOS、PBFT的至少一种；

3、隐私保护：利用区块链技术将物联网终端设备采集隐私数据区块化、结构去中心化、信息等级化和智能合约管理，建立立体化和全生命周期的保护模型以及去信任的新管理机制，以满足隐私泄露、防篡改、证据溯源隐私保护需求；

4、数据共享：由多链智能安全共识网关实现物联网终端设备采集数据的共享，共享数据包含所有网关节点存储数据。

第二方面，本发明还提供一种面向物联网应用的多链智能安全网关的实现方法，该方法首先把物联网终端设备采集数据在多链智能安全网关区块链网络安全共享后，再将数据上传至物联网云平台进行AI模型训练，训练模型结果用来进行数据及预警，所谓多链智能安全网关区块链网络由一个主链和多个子链构成，其中主链由平台方、使用方、监管方、第三方权威机构共识节点组成，每个子链由多个多链智能安全网关节点组成，主链和子链由智能合约实现数据安全共享与交换，具体实现流程如下：

1、注册登记

首先各种物联网终端设备需要先在多链智能安全网关的安全管理模块进行注册登记，多链智能安全网关和云平台互相登记密钥相关信息，只有注册登记后才可以安全可信通信；

云平台在子链中注册登记公钥信息，记录调用智能合约地址。在子链相应智能合约中记录主链锚定的智能合约地址信息；

2、数据采集及解析

多链智能安全网关将物联网终端设备采集的数据通过其数据采集模块进行数据接收、数据解析，再通过多链智能安全网关协议转换模块进行数据转换；

3、数据上链及上云

多链智能安全网关通过调用数据上链智能合约，将数据上传至子链，并同步至主链各共识节点，所谓数据上链智能合约包括采集数据存储在区块链，在智能合约中设置数据上报阈值，当大于阈值时，由此时的共识节点，将多链智能安全网关子链网络的区块数据通过子链与主链之间锚定的智能合约，实现数据同步到多链智能安全网关主链；共识节点同时将区块中包含的采集数据通过密钥管理模块进行签名和加密，并将签名结果及采集数据的密文上传到云平台；

4、训练AI模型

云平台接收到多链智能安全网关上报数据后，验证数据签名确认网关身份，身份确认通过后，进行数据解密得到数据原文，云平台对数据进行清洗/标注处理，结合相应算法进行AI模型训练及测试，动态调整模型结果；

5、训练AI模型结果部署

云平台调用子链中任意多链智能安全网关节点的模型部署智能合约，将训练AI模型结果部署在多链智能安全网关节点中，多链智能安全网关节点将该训练AI模型结果安全共享到子链网络中的其它网关节点；

6、利用AI模型结果

在多链智能安全网关子链网络中根据不同场景编写相应的应用层智能合约，该智能合约可以利用AI模型精准的分析处理数据，当采集到数据时调用该智能合约，及时的对数据进行预警及预测，调用相关预警智能合约，提高边缘计算智能化水平；

7、上报预警及预测结果

预先在多链智能安全网关内编写预警智能合约，该合约中包含预警阈值及云平台上报相关配置，当多链智能安全网关对采集数据达到预警值时，调用该智能合约将该预警结果上传到云平台，云平台根据预警信息做出相关处理。

实施例1

假设该多链智能安全网关应用于粮库监管系统，作为粮库物联网感知层与监管平台的连接设备，此粮库监管系统由物联网感知层、多链智能安全网关、监管云平台组成，其中感知层包括视频安防设备、出入库监测设备，该多链智能安全网关实施具体步骤如下：

一、数据采集

步骤1、注册登记

（1）粮库物联网感知层的各类设备需要先在多链智能安全网关的安全管理模块进行注册登记成为合法的设备，登记信息包括设备的固件ID、设备类型的身份标识，多链智能安全网关根据信息利用密钥管理模块生成密钥，然后将该密钥配置到设备中，该密钥用于设备与多链智能安全网关数据传输之间的身份认证与数据加密，只有合法的设备才可以将数据上报给多链智能安全网关；

（2）多链智能安全网关内部密钥管理模块生成非对称密钥并记录监管云平台公钥；

（3）多链智能安全网关在监管云平台的多链智能安全网关认证模块进行注册登记成为合法的网关，登记信息包含多链智能安全网关的编号、网络地址、定位信息、多链智能安全网关的公钥，多链智能安全网关与监管云平台之间相互留存对方公钥用于身份认证及数据加密，这样可以确保数据来源的真实有效性；

（4）多链智能安全网关子链网络中生成非对称密钥及证书，多链智能安全网关加入子链网络中，子链授权多链智能安全网关调用智能合约的权限；

（5）监管云平台生成非对称密钥，并将公钥在多链智能安全网关子链上注册登记并生成区块链证书，多链智能安全网关子链授权监管云平台调用智能合约的权限，监管云平台保存区块链证书及智能合约地址。该非对称密钥和区块链证书用于在多链智能安全子链调用智能合约；

（6）在主链中编写数据存储智能合约，该合约用于存储子链区块数据，在子链中编写数据共享智能合约，在该合约内登记主链存储智能合约地址，用于将子链区块数据共享到主链；

步骤2、数据采集及解析

多链智能安全网关将粮库物联网感知层的各类设备采集的数据通过其数据采集模块进行数据接收、数据解析，使用多链智能安全网关内存储的密钥信息进行身份校验，校验通过后进行数据解密，得到真实可信的数据。再通过多链智能安全网关协议转换模块将数据转换为标准结构；

二、数据上链及上云

在多链智能安全网关子链区块链网络中编写采集到的数据存储智能合约，该智能合约用于存储采集到的数据，并将数据广播到其它多链智能安全网关节点。采集到的数据包括环境信息、车型信息、货物信息及车辆出入库时照片信息。每个多链智能安全网关节点包含子链网络中所有采集到的数据，由于区块链周期性打块机制，打块的多链智能安全网关节点调用子链内数据共享智能合约，将区块共享到主链；

打块的多链智能安全网关节点打成区块之后，其里面包含区块监听事件机制，当区块打块完成后，会触发打块节点事件机制，该机制用于将区块内数据制作成数字信封上报到监管云平台，数字信封使用的公钥为监管云平台公钥，该公钥在上述注册登记步骤中已在多链智能安全网关记录；

三、训练AI模型

监管云平台编写车辆预测重量算法程序，该程序利用出入库地磅信息、环境信息、车型信息、货物信息及车辆出入库时照片信息进行筛选、标注、训练和测试，及时修正AI模型参数，形成模型训练结果，该结果可部署在多链智能安全网关节点子链中；

四、部署训练模型结果

在子链多链智能安全网关节点中编写AI模型部署智能合约，该合约用于训练AI模型结果部署在多链智能安全网关节点中，由多链智能安全网关节点将训练AI模型结果广播到子链的其它多链智能安全网关节点；

监管云平台在上述注册登记步骤中，已在子链中登记并拥有调用AI模型部署智能合约权限，监管云平台调用AI模型部署智能合约将AI模型训练结果部署到多链智能安全网关节点中；

五、利用AI模型结果

在多链智能安全网关子链区块链网络中编写出入库数据监管智能合约，出入库数据监管智能合约入参为出入库地磅信息、环境信息、车型信息、货物信息及车辆出入库时照片信息，智能合约利用AI模型根据车辆出入库照片信息、车型信息及货物信息预测车辆所载货物的重量，对实际地磅信息进行比较，差异较大时及时预警，调用预警相关智能合约；

六、上报预警及预测结果

预先在多链智能安全网关内编写预警智能合约，该合约中包含预警阈值及监管云平台上报相关配置，当多链智能安全网关对采集数据达到预警值时，调用该智能合约将该预警结果及预测结果上传到监管云平台，监管云平台可以设置预警责任人及责任人的通讯方式，通讯方式可以有邮件、短信、电话，相关责任人可根据预警信息立即作出反应，减少损失发生。

本发明提供的一种面向物联网应用的多链智能安全网关及实现方法，相较于现有技术，具有以下优点：

1、采用边缘计算技术，通过将边缘计算任务下放到网络边缘，大幅降低网络数据传输压力，且其人工智能模型可对物联网设备所产生的数据进行预处理、筛选、内容分析和流数据处理，加快数据处理效率。

2、采用主链子链分层构架，每一个多链智能安全网关作为子链的一个节点，多链智能安全网关在收到物联网终端设备采集的数据时，首先将数据进行分析处理后同步到其它多链智能安全网关节点，再上传至主链网络，降低终端采集数据被篡改的风险，保证终端设备采集数据的真实可信。

3、采用身份认证技术，在物联网终端设备和多链智能安全网关通信时、多链智能安全网关和云平台通信时，通过轻量级安全认证协议或算法，进行双向身份认证，保证设备身份安全。

4、基于硬件加解密技术，在物联网终端设备数据采集、数据传输过程中通过安全协议或轻量级算法，对指令和采集的数据进行加密传输，保证数据传输安全。

5、本发明所提出的多链智能安全网关的实现方法，能够使物联网设备具有高效的区块链接入能力，提高边云协作能力、增强整个物联网系统的安全性，降低了整个物联网网络系统风险。

Claims (4)

1.一种面向物联网应用的多链智能安全网关的实现方法，其特征在于，具体实现流程如下：

1、注册登记

首先各种物联网终端设备需要先在多链智能安全网关的安全管理模块进行注册登记，多链智能安全网关和云平台互相登记对方公钥，只有注册登记后才能够安全可信通信，云平台在子链中注册登记公钥信息，记录调用智能合约地址，在子链相应智能合约中记录主链锚定的智能合约地址信息；

2、数据采集及解析

多链智能安全网关将物联网终端设备采集的数据通过其数据采集模块进行数据接收、数据解析，再通过多链智能安全网关协议转换模块进行数据转换；

3、数据上链及上云

多链智能安全网关通过调用数据上链智能合约，将数据上传至子链，并同步至主链各共识节点，所谓数据上链智能合约包括采集数据存储在区块链，在智能合约中设置数据上报阈值，当大于阈值时，由此时的共识节点，将多链智能安全网关子链网络的区块数据通过子链与主链之间锚定的智能合约，实现数据同步到多链智能安全网关主链；共识节点同时将区块中包含的采集数据通过密钥管理模块进行签名和加密，并将签名结果及采集数据的密文上传到云平台；

4、训练AI模型

云平台接收到多链智能安全网关上报数据后，验证数据签名确认网关身份，身份确认通过后，进行数据解密得到数据原文，云平台对数据进行清洗/标注处理，结合算法进行AI模型训练及测试，动态调整模型结果；

5、训练AI模型结果部署

云平台调用子链中任意多链智能安全网关节点的模型部署智能合约，将训练AI模型结果部署在多链智能安全网关节点中，多链智能安全网关节点将该训练AI模型结果安全共享到子链网络中的其它网关节点；

6、利用AI模型结果

在多链智能安全网关子链网络中根据不同场景编写相应的应用层智能合约，该智能合约能够利用AI模型精准的分析处理数据，当采集到数据时调用该智能合约，及时的对数据进行预警及预测，调用相关预警智能合约，提高边缘计算智能化水平；

7、上报预警及预测结果

预先在多链智能安全网关内编写预警智能合约，该合约中包含预警阈值及云平台上报相关配置，当多链智能安全网关对采集数据达到预警值时，调用该智能合约将该预警结果上传到云平台，云平台根据预警信息做出相关处理。

2.根据权利要求1所述的面向物联网应用的多链智能安全网关的实现方法，其特征在于，所述的多链智能安全网关包括数据采集模块、协议转换模块、通信管理模块、网关管理模块、安全管理模块、密钥管理模块、区块链模块；

所述的数据采集模块包括数据接收、数据解析、数据发送、通信维护子模块，完成物联网终端设备采集数据的上报和应用数据转发的任务；

所述的协议转换模块包括协议解析、协议适配、协议管理子模块，功能为将物联网终端设备接入网络的协议进行转换、将下层的标准格式的数据统一封装、保证不同的物联网终端设备的协议能够变成统一的数据和信令，将上层下发的数据包解析成物联网终端设备协议能够识别的信令和控制指令，支持的物联网协议类型包括MQTT，DDS，AMQP，XMPP，JMS，REST，CoAP中的至少一种；

所述的通信管理模块功能为实现物联网终端设备采集数据与通信网络的广域或局域互联，包括蓝牙模块、Wi-Fi模块、2/3/4/5G 模块、ZigBee模块、NB-IoT模块、Lora模块和以太网模块中的至少一种；

所述的网关管理模块包括以下内容：

1、对多链智能安全网关进行管理，注册管理、权限管理、网络接口配置、网络服务配置、静态路由、状态监管、系统时间、系统日志、配置管理、固件升级、用户管理、主机属性管理；

2、对子网内的设备管理，获取设备的标识、现场名称、资产编号、定位源、LBS上报间隔、流量上报间隔、状态、属性、能量，以及远程实现唤醒、控制、诊断、升级和维护；

所述的安全管理模块包括以下内容：

1、身份认证：物联网终端设备与多链智能安全网关进行通信时，需要通过轻量级安全认证协议或算法，进行双向认证，多链智能安全网关与云平台通信时，由身份安全基础设施进行双向身份认证；

2、安全传输：物联网终端设备与多链智能安全网关传输数据，需要通过安全协议或轻量级算法，对指令和采集的数据进行加密传输，多链智能安全网关与云平台通信时，能够根据安全传输协议、安全芯片、加密卡、安全TF卡、数字证书，实现数据的加密传输；

3、防火墙：支持配置防火墙策略的包过滤，能够根据需求定制访问控制策略、访问控制表、NAT规则保障网络不受外界攻击；物联网终端向多链智能安全网关传输数据时，能够阻止来自上层信息网的威胁；

4、协议识别与过滤：识别协议类型，根据协议白名单，阻断非授权的网络数据包；

5、VPN：支持配置IPSec、GRE、L2TP、OpenVPN、数字证书，通过隧道技术、加解密技术、密钥管理技术和身份认证技术，建立虚信道，在链路层和网络层，加密与压缩隧道数据，保障数据安全传输；

6、更新保护：为了保障操作系统内核安全，防止系统文件被恶意篡改更新，只有经过数字签名并被认证的系统文件才会被更新运行；

7、访问控制：对多链智能安全网关的管理访问权限按账户类型进行分级管理，通过入侵检测引擎以及访问控制引擎，能够对物联网接入设备进行安全访问控制、疑似业务阻断，有效降低来自感知层的业务风险，减少网络层的攻击行为；

所述的密钥管理模块用于保障物联网终端设备的数据采集安全、存储安全、传输安全，能够提供密钥全生命周期管理、能够配置密钥使用策略访问权限和密钥加解密与签名验证功能，支持包括对称密钥、非对称密钥、数字证书和认证令牌多种加密对象的管理，采用硬件加密模式，相对于软件加密，具有加密速度快、占用计算机资源少、安全性高的优点；

所述的区块链模块用于物联网终端设备的采集数据上链、存储与共享及多链智能安全网关的身份，具体包括以下内容：

1、智能合约：通过编写及调用物联网终端设备数据上链智能合约，实现终端采集数据的上链存储；

2、共识机制：通过区块链共识机制保证上链数据的一致性及有效性，支持可拔插共识机制，共识机制包括 POW、POS、DPOS、PBFT的至少一种；

3、隐私保护：利用区块链技术将物联网终端设备采集隐私数据区块化、结构去中心化、信息等级化和智能合约管理，建立立体化和全生命周期的保护模型以及去信任的新管理机制，以满足隐私泄露、防篡改、证据溯源的隐私保护需求；

4、数据共享：由多链智能安全网关实现物联网终端设备采集数据的共享，共享数据包括所有网关节点存储数据。

3.根据权利要求2所述的面向物联网应用的多链智能安全网关的实现方法，其特征在于，数据采集模块完成的功能包括：

1、维护多链智能安全网关和物联网终端设备之间的通信；

2、维护数据采集模块和协议转换模块之间的通信；

3、解析物联网终端设备发给多链智能安全网关的数据；

4、生成发送给协议转换模块的自动上报请求报文和应用数据转发响应报文的数据；

5、解析协议转换模块下发的应用数据转发请求报文数据；

6、生成发送给物联网终端设备的控制指令。

4.一种面向物联网应用的多链智能安全网关应用于粮库监管系统的方法，其特征在于，具体包括以下步骤：

一、数据采集

步骤1、注册登记

（1）粮库物联网感知层的各类设备需要先在多链智能安全网关的安全管理模块进行注册登记成为合法的设备，登记信息包括设备的固件ID、设备类型的身份标识，多链智能安全网关根据信息利用密钥管理模块生成密钥，然后将该密钥配置到设备中，该密钥用于设备与多链智能安全网关数据传输之间的身份认证与数据加密，只有合法的设备才能够将数据上报给多链智能安全网关；

（2）多链智能安全网关内部密钥管理模块生成非对称密钥并记录监管云平台公钥；

（3）多链智能安全网关在监管云平台的多链智能安全网关认证模块进行注册登记成为合法的网关，登记信息包含多链智能安全网关的编号、网络地址、定位信息、多链智能安全网关的公钥，多链智能安全网关与监管云平台之间相互留存对方公钥用于身份认证及数据加密，这样能够确保数据来源的真实有效性；

（4）多链智能安全网关子链网络中生成非对称密钥及证书，多链智能安全网关加入子链网络中，子链授权多链智能安全网关调用智能合约的权限；

（5）监管云平台生成非对称密钥，并将公钥在多链智能安全网关子链上注册登记并生成区块链证书，多链智能安全网关子链授权监管云平台调用智能合约的权限，监管云平台保存区块链证书及智能合约地址，该非对称密钥和区块链证书用于在多链智能安全子链调用智能合约；

（6）在主链中编写数据存储智能合约，该合约用于存储子链区块数据，在子链中编写数据共享智能合约，在该合约内登记主链存储智能合约地址，用于将子链区块数据共享到主链；

步骤2、数据采集及解析

多链智能安全网关将粮库物联网感知层的各类设备采集的数据通过其数据采集模块进行数据接收、数据解析，使用多链智能安全网关内存储的密钥信息进行身份校验，校验通过后进行数据解密，得到真实可信的数据，再通过多链智能安全网关协议转换模块将数据转换为标准结构；

二、数据上链及上云

在多链智能安全网关子链区块链网络中编写采集到的数据存储智能合约，该智能合约用于存储采集到的数据，并将数据广播到其它多链智能安全网关节点，采集到的数据包括环境信息、车型信息、货物信息及车辆出入库时照片信息，每个多链智能安全网关节点包含子链网络中所有采集到的数据，由于区块链周期性打块机制，打块的多链智能安全网关节点调用子链内数据共享智能合约，将区块共享到主链；

打块的多链智能安全网关节点打成区块之后，其里面包含区块监听事件机制，当区块打块完成后，会触发打块节点事件机制，该机制用于将区块内数据制作成数字信封上报到监管云平台，数字信封使用的公钥为监管云平台公钥，该公钥在上述注册登记步骤中已在多链智能安全网关记录；

三、训练AI模型

监管云平台编写车辆预测重量算法程序，该程序利用出入库地磅信息、环境信息、车型信息、货物信息及车辆出入库时照片信息进行筛选、标注、训练和测试，及时修正AI模型参数，形成模型训练结果，该结果能够部署在多链智能安全网关节点子链中；

四、部署训练模型结果

在子链多链智能安全网关节点中编写AI模型部署智能合约，该合约用于训练AI模型结果部署在多链智能安全网关节点中，由多链智能安全网关节点将训练AI模型结果广播到子链的其它多链智能安全网关节点；

监管云平台在上述注册登记步骤中，已在子链中登记并拥有调用AI模型部署智能合约权限，监管云平台调用AI模型部署智能合约将AI模型训练结果部署到多链智能安全网关节点中；

五、利用AI模型结果

在多链智能安全网关子链区块链网络中编写出入库数据监管智能合约，出入库数据监管智能合约入参为出入库地磅信息、环境信息、车型信息、货物信息及车辆出入库时照片信息，智能合约利用AI模型根据车辆出入库照片信息、车型信息及货物信息预测车辆所载货物的重量，对实际地磅信息进行比较，差异较大时及时预警，调用相关预警智能合约；

六、上报预警及预测结果

预先在多链智能安全网关内编写预警智能合约，该合约中包含预警阈值及监管云平台上报相关配置，当多链智能安全网关对采集数据达到预警值时，调用该智能合约将该预警结果及预测结果上传到监管云平台，监管云平台能够设置预警责任人及责任人的通讯方式，通讯方式能够有邮件、短信、电话，相关责任人能够根据预警信息立即作出反应，减少损失发生。

Images