CN113765946B - 一种边缘型蜂窝物联网专网系统 - Google Patents
一种边缘型蜂窝物联网专网系统 Download PDFInfo
- Publication number
- CN113765946B CN113765946B CN202010488601.7A CN202010488601A CN113765946B CN 113765946 B CN113765946 B CN 113765946B CN 202010488601 A CN202010488601 A CN 202010488601A CN 113765946 B CN113765946 B CN 113765946B
- Authority
- CN
- China
- Prior art keywords
- module
- network
- data
- security
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000006243 chemical reaction Methods 0.000 claims abstract description 46
- 238000004891 communication Methods 0.000 claims description 63
- 230000001413 cellular effect Effects 0.000 claims description 61
- 238000012423 maintenance Methods 0.000 claims description 48
- 230000006870 function Effects 0.000 claims description 27
- 238000012795 verification Methods 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 claims description 15
- 230000003993 interaction Effects 0.000 claims description 15
- 230000002457 bidirectional effect Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 4
- 230000002093 peripheral effect Effects 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 104
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 7
- 230000006855 networking Effects 0.000 description 7
- 101100494773 Caenorhabditis elegans ctl-2 gene Proteins 0.000 description 5
- 101100112369 Fasciola hepatica Cat-1 gene Proteins 0.000 description 5
- 101100005271 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) cat-1 gene Proteins 0.000 description 5
- 238000009826 distribution Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000000034 method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例提供一种边缘型蜂窝物联网专网系统,包括:至少一个接入网模块;与所述接入网模块连接的核心网模块;分别与所述至少一个接入网模块连接以及与所述核心网模块连接的网络管理模块;分别与所述核心网模块以及所述网络管理模块连接的安全模块;与所述安全模块连接的网络协议转换模块。本发明的方案可以满足多样化的物联网应用场景需求。
Description
技术领域
本发明涉及物联网技术领域,特别是指一种边缘型蜂窝物联网专网系统。
背景技术
物联网(IoT,Internet of things)即“万物相连的互联网”,是互联网基础上的延伸和扩展的网络,将各种信息传感设备与互联网结合起来而形成的一个巨大网络,实现在任何时间、任何地点,人、机、物的互联互通。
无线专网业界普遍指的是为特定的部门或群体(如政务和公共安全等行业)提供安全可靠的无线服务的专业网络,其基础网络一般与公众蜂窝移动通信网络独立。无线专网与公众移动通信两者具有本质区别,彼此无法替代,又相互补充。
边缘型网络从技术的纬度上说,指在最靠近接入用户的边缘位置就近提供的网络服务。从价值的纬度讲,边缘网络是已有核心网络与大用户之间的商业网络。大用户指:企业、院校、政府部门、商业写字楼、宾馆或其他电信运营商等,他们是信息和通信需求最活跃的用户,是运营商客户体系中最有价值的用户。
窄带物联网(Narrow Band Internet of Things,NB-IoT)是是一种低功耗广域网络(LPWAN)技术标准,是基于LTE演进的窄带物联网技术,支持低功耗设备在广域网的蜂窝数据连接,NB-IoT自身具备的低功耗、广覆盖、低成本、大容量等优势。单频点占用200KHz带宽,支持低流量数据业务。
LTE-M,即LTE-Machine-to-Machine,是基于LTE演进的窄带物联网技术,,旨在基于现有的LTE载波满足物联网设备需求。eMTC基于蜂窝网络进行部署,属于物联网中速率应用网络,其用户设备通过支持1.4MHz的射频和基带带宽,可以支持上下行最大1Mbps的峰值速率。
全球移动通信系统(Global System for Mobile Communications),缩写为GSM,是我国引入的第二代通信技术,也称2G。通用分组无线服务技术(General Packet RadioService,GPRS)是建立在GSM基础上的分组交换数据业务,是一项高速数据处理的技术。GSM-GPRS通过在原GSM网络基础上增加一系列的功能实体来完成分组数据功能,构成了GSM-GPRS网络。由于GSM-GPRS通信技术成熟度高、国内覆盖好、通信模组成本低,因此也成为目前物联网场景下广泛应用的蜂窝无线通信网络制式之一。
Cat.1是LTE系统中表示为类型1的终端(UE-Category 1),是3GPP Rel.8协议引入的终端类型之一。UE-Category主要定义了UE终端能支持的上下行速率,其中,Cat.1面向物联网市场,占用较小的带宽可实现下行最大10Mbps和上行5Mbps的数据吞吐率。
安全芯片就是可信任平台模块,是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为电脑提供加密和安全认证服务。用安全芯片进行加密,密钥被存储在硬件中,被窃的数据无法解密,从而保护商业隐私和数据安全。
现有技术方案提供单一的LTE网络无法满足多样化的物联网应用场景需求。
发明内容
本发明要解决的技术问题是提供一种边缘型蜂窝物联网专网系统,可以满足多样化的物联网应用场景需求。
为解决上述技术问题,本发明的技术方案如下:
一种边缘型蜂窝物联网专网系统,包括:
至少一个接入网模块,用于与物联网终端设备通过无线空口连接和数据传输通道;
与所述接入网模块连接的核心网模块,用于接收至少一个接入网模块发送的数据,并对所述数据进行处理;
分别与所述至少一个接入网模块连接以及与所述核心网模块连接的网络管理模块,用于对所述接入网模块以及所述核心网模块配置工作参数、读取工作状态和运行日志中的至少一项;
分别与所述核心网模块以及所述网络管理模块连接的安全模块,用于对所述核心网模块和所述网络管理模块与外部网络之间的交互数据进行加解密、签名和验签处理;
与所述安全模块连接的网络协议转换模块,用于对所述核心网模块和所述网络管理模块与外部网络之间的协议转换和数据传输。
可选的,至少一个接入网模块中的每一个接入网模块位于一个接入机中,所述接入机通过与物联网终端设备之间的无线空口连接和数据传输通道,接收与所述接入网模块连接的至少一个物联网终端设备发送的数据。
可选的,所述核心网模块、网络管理模块、安全模块以及网络协议转换模块位于物联网专网主机中。
可选的,所述网络管理模块包括:
第一网络管理单元,用于与运维支撑管理系统交互,交互的内容包括设备管理、日志管理、性能管理、告警管理、版本管理、参数配置、系统管理中的至少一项;
第二网络管理单元,用于配置所述网络管理模块、接入网模块和核心网模块的工作参数、读取所述网络管理模块、接入网模块和核心网模块的工作状态和运行日志;
第三网络管理单元,用于对所述核心网模块与外部网络之间的交互数据进行加解密、签名和验签处理。
可选的,所述安全模块包括:安全芯片以及运行在所述安全芯片上的安全算法单元;
所述安全芯片存储网络设备标识、运维支撑管理系统标识、物联网业务平台标识中的至少一种;
所述安全芯片存储网络设备私钥、运维支撑管理系统会话密钥和业务会话密钥中的至少一种。
可选的,所述安全算法单元包括:
第一单元,用于接收到从所述网络管理模块发送至运维支撑管理系统的数据明文,调用安全芯片,对数据明文使用运维支撑管理系统会话密钥加密,得到加密数据,再使用自身网络设备私钥对加密数据签名,得到密文数据,将带有签名的密文数据传递给所述网络协议转换模块;
第二单元,接收从所述运维支撑管理系统发送至网络管理模块的数据密文,使用运维支撑管理系统标识作为公钥先对数据密文签名执行验签,验签通过后,再使用运维支撑管理系统会话密钥对数据密文进行解密,得到数据明文,将数据明文传递给网络管理模块。
可选的,所述安全算法单元包括:
第三单元,用于接收从核心网模块发送至物联网业务平台的数据明文,对数据明文使用业务会话密钥加密,得到加密数据,再使用自身网络设备私钥对加密数据签名,将带有签名的密文数据传递给网络协议转换模块;
第四单元,用于接收从物联网业务平台发送至核心网模块的数据密文,使用物联网业务平台标识作为公钥先对数据密文签名执行验签,验签通过后,再使用业务会话密钥对数据密文进行解密,得到数据明文,将数据明文传递给核心网模块。
可选的,所述网络协议转换模块包括:
配置切换逻辑单元,以及与所述配置切换逻辑单元连接的蜂窝无线通信电路以及IP通信电路,所述蜂窝无线通信电路以及IP通信电路分别与外部网络通信连接。
可选的,边缘型蜂窝物联网专网系统还包括:处理器,所述处理器安装有所述接入网模块、所述核心网模块、所述安全模块、所述网络协议转换模块的应用;
所述接入网模块包括射频模拟电路,所述射频模拟电路通过ADC数据采集串口与所述处理器相连;
所述核心网模块包括数据存储器,所述数据存储器通过数据总线和地址总线与所述处理器相连;
所述安全模块的安全芯片通过串行外设接口SPI串口与所述处理器相连;
所述网络协议转换模块包括:以太网芯片、RJ45高速网口、Wi-Fi模组、蜂窝无线通信模组和全球用户识别卡USIM卡中的至少一种;
所述以太网芯片通过以太网接口总线与所述处理器相连;
所述以太网芯片与所述RJ45网口通过双绞线对连接;
所述Wi-Fi模组与所述处理器通过通用异步收发传输器UART串口连接;
所述蜂窝无线通信模组通过UART串口与所述处理器相连;
所述蜂窝无线通信模组和全球用户识别卡USIM卡通过7816总线相连接。
本发明的上述方案至少包括以下有益效果:
本发明的上述方案,边缘型蜂窝物联网专网系统包括:至少一个接入网模块,与所述接入网模块连接的核心网模块;分别与所述至少一个接入网模块连接以及与所述核心网模块连接的网络管理模块;分别与所述核心网模块以及所述网络管理模块连接的安全模块;与所述安全模块连接的网络协议转换模块。可以满足多样化的物联网应用场景需求。
附图说明
图1是本发明的小规模组网场景下的边缘型蜂窝物联网专网系统架构图;
图2是本发明的中、大规模组网场景下的边缘型蜂窝物联网专网系统架构图;
图3是本发明的NB-IoT/eMTC/LTE制式下的接入网模块功能与接口的示意图;
图4是本发明的GSM-GPRS制式下的接入网模块功能与接口;
图5是本发明的NB-IoT/eMTC/LTE制式下的核心网模块功能与接口;
图6是本发明的GSM-GPRS制式下的接入网模块功能与接口;
图7是本发明的网络管理模块功能与接口;
图8是本发明的安全模块功能与接口;
图9是本发明的安全模块与网络管理模块数据交互第一流程示意图;
图10是本发明的安全模块与网络管理模块数据交互第二流程示意图;
图11是本发明的安全模块与网络管理模块数据交互第三流程示意图;
图12是本发明的安全模块与网络管理模块数据交互第四流程示意图;
图13是本发明的网络协议转换模块功能与接口示意图;
图14是本发明的一体化边缘型蜂窝物联网专网系统硬件实现架构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如图1和图2所示,本发明的实施例提出一种边缘型蜂窝物联网专网系统,包括:
至少一个接入网模块,用于用于与物联网终端设备通过无线空口连接和数据传输通道;
与所述接入网模块连接的核心网模块,用于接收至少一个接入网模块发送的数据,并所述数据进行处理,具体的,可以是进行核心数据的交换、信令解析、用户鉴权与计费、承载控制和管理;
分别与所述至少一个接入网模块连接以及与所述核心网模块连接的网络管理模块,用于对所述接入网模块以及所述核心网模块配置工作参数、读取工作状态和运行日志中的至少一项;
分别与所述核心网模块以及所述网络管理模块连接的安全模块,用于对所述核心网模块和所述网络管理模块与外部网络之间的交互数据进行加解密、签名和验签处理;
与所述安全模块连接的网络协议转换模块,用于对所述核心网模块和所述网络管理模块与外部网络之间的协议转换和数据传输。
本发明的一可选的实施例中,至少一个接入网模块中的每一个接入网模块位于一个接入机中,所述接入机用于通过与物联网终端设备之间的无线空口连接和数据传输通道,接收与所述接入网模块连接的至少一个物联网终端设备发送的数据。
可选的,所述核心网模块、网络管理模块、安全模块以及网络协议转换模块位于物联网专网主机中。
本发明的上述实施例所述的边缘型蜂窝物联网专网系统,面向物联网专网的需求场景,可以提供边缘化的蜂窝网络覆盖。
边缘型蜂窝物联网专网系统包括接入网模块、核心网模块、网络管理模块、安全模块、网络协议转换模块。所述系统依据物联网终端数量和分布特点,具体有两种系统架构表现形态:
如图1所示,当进行小规模专网组网时:接入网、核心网、网络管理模块、安全模块和网络协议转换模块被集成在同一台物联网专网一体机中,该形态的蜂窝物联网专网系统成本低、时延短、极易部署,该形态下所述系统的方案架构;
如图2所示,当进行中、大规模专网组网时:先根据物联网终端分布特点,规划接入网模块的需求数量和选址。而核心网、网络管理模块、安全模块和网络协议转换模块被集成在物联网专网主机中,接入网模块被封装在单独的接入机中,物联网装网一体机与多台接入机设备连接构成星型结构,该形态的蜂窝物联网专网系统容量大、覆盖广、可扩展性好,该形态下所述系统的方案架构。
本发明的上述实施例中,接入网模块用于与物联网终端设备建立无线空口连接和数据传输通道。所述系统可以根据物联网应用需求兼容一种或多种典型的窄带蜂窝网络服务,包括NB-IoT、eMTC、GSM-GPRS、LTE(For CAT1)。当所述系统提供的网络制式为NB-IoT、eMTC、LTE(For CAT1)之一时,接入网模块与EPS系统的eNB网元功能和接口基本一致,如图3所示。接入网模块与核心网模块之间的逻辑连接遵循S1接口规范,接入网模块与物联网终端设备之间的空口遵循Uu接口规范,多个接入网模块之间的接口遵循X2接口规范,接入网模块功能与接口依照具体物联网接入制式做功能的裁剪和性能优化;当所述系统提供的网络制式为GSM-GPRS时,接入网模块与GPRS系统的BTS、BSC、PCU网元功能和接口基本一致,如图4所示,接入网模块与核心网模块之间的逻辑连接遵循A、Gb接口规范,接入网模块与物联网终端设备之间的空口遵循Um接口规范。
本发明的上述实施例所述的核心网模块用于实现核心数据的交换、信令解析、用户鉴权与计费、承载控制和管理等。所述系统可以根据物联网应用需求兼容一种或多种典型的窄带蜂窝网络服务,包括NB-IoT、eMTC、GSM-GPRS、LTE(For CAT1)。当所述系统提供的网络制式为NB-IoT、eMTC、LTE(For CAT1)之一时,核心网模块与EPS系统的MME、S-GW、PGW、HSS网元功能和接口基本一致,如图5所示,核心网模块功能与接口依照具体物联网接入制式做功能的裁剪和性能优化;当所述系统提供的网络制式为GSM-GPRS时,接入网模块与GPRS系统的MSC、GMSC、SGSN、GGSN、HLR网元功能和接口基本一致,如图6所示。接入网模块与安全模块之间存在逻辑连接,用于对核心网模块与外部网络之间的交互数据进行加解密、签名和验签处理。
本发明的一可选的实施例中,所述网络管理模块包括:
第一网络管理单元,用于与运维支撑管理系统交互的内容包括设备管理、日志管理、性能管理、告警管理、版本管理、参数配置、系统管理中的至少一项;
第二网络管理单元,用于配置所述网络管理模块、接入网模块和核心网模块的工作参数、读取所述网络管理模块、接入网模块和核心网模块的工作状态和运行日志;
第三网络管理单元,用于对所述核心网模块与外部网络之间的交互数据进行加解密、签名和验签处理。
该实施例中,网络管理模块与远程的运维支撑管理系统交互,使得所述系统达到可管可控的目的,并实现系统之间的统一规划、管理和运维,其逻辑连接关系如图7所示。网络管理模块与远程运维支撑管理系统间的逻辑接口遵循TR069协议规范。交互的内容包括设备管理、日志管理、性能管理、告警管理、版本管理、参数配置、系统管理等。网络管理模块与接入网模块和核心网模块存在逻辑连接,用于配置工作参数和读取工作状态和运行日志;网络管理模块与安全模块之间存在逻辑连接,用于对核心网模块与外部网络之间的交互数据进行加解密、签名和验签处理。
本发明的一可选的实施例,所述安全模块包括:安全芯片以及运行在所述安全芯片上的安全算法单元;
所述安全芯片存储网络设备标识、运维支撑管理系统标识、物联网业务平台标识中的至少一种;
所述安全芯片存储网络设备私钥、运维支撑管理系统会话密钥和业务会话密钥中的至少一种。
可选的,所述安全算法单元包括:
第一单元,与所述网络管理模块和所述运维支撑管理系统通信连接,用于接收到从所述网络管理模块发送至运维支撑管理系统的数据明文,调用安全芯片,对数据明文使用运维支撑管理系统会话密钥加密,得到加密数据,再使用自身网络设备私钥对加密数据签名,得到密文数据,将带有签名的密文数据传递给所述网络协议转换模块;
第二单元,与所述网络管理模块和所述运维支撑管理系统通信连接,用于接收从所述运维支撑管理系统发送至网络管理模块的数据密文,使用运维支撑管理系统标识作为公钥先对数据密文签名执行验签,验签通过后,再使用运维支撑管理系统会话密钥对数据密文进行解密,得到数据明文,将数据明文传递给网络管理模块。
可选的,所述安全算法单元包括:
第三单元,与所述核心网模块和物联网业务平台通信连接,用于接收从核心网模块发送至物联网业务平台的数据明文,对数据明文使用业务会话密钥加密,得到加密数据,再使用自身网络设备私钥对加密数据签名,将带有签名的密文数据传递给网络协议转换模块;
第四单元,与所述核心网模块和物联网业务平台通信连接,用于接收从物联网业务平台发送至核心网模块的数据密文,使用物联网业务平台标识作为公钥先对数据密文签名执行验签,验签通过后,再使用业务会话密钥对数据密文进行解密,得到数据明文,将数据明文传递给核心网模块。
该实施例中,安全模块用于保障边缘专网系统的身份安全、数据传输安全、远程配置和升级安全。安全模块由安全逻辑(安全算法单元)和硬件安全芯片构成,系统安全方案采用通用的国密算法或国际安全算法。其中,安全芯片内部集成了相应安全算法单元;安全芯片存储了安全流程中需要的相关标识信息:网络设备标识、运维系统标识、业务平台标识;安全芯片存储了安全流程中需要的相关密钥信息:网络设备私钥、运维会话密钥和业务会话密钥,其中,业务会话密钥允许客户通过安全通道二次发行,安全模块功能与接口,如图8所示。
安全模块与网络管理模块存在逻辑连接,用于实现网络管理模块与远程运维支撑管理系统之间的数据传输加解密和双向的身份认证,具体的流程为:当接收到从网络管理模块发送至远程运维支撑管理系统的数据明文,则安全逻辑调用安全芯片相关接口,先对数据包使用运管会话密钥加密,再使用自身网络设备私钥对加密数据签名,最后将带有签名的密文数据传递给网络协议转换模块;当接收到从远程运维支撑管理系统发送至网络管理模块的数据密文,则使用运维系统标识作为公钥先对密文签名执行验签,验签通过后,再使用运维会话密钥对密文进行解密,最后将恢复的明文传递给网络管理模块执行对应功能的操作,安全模块与网络管理模块数据交互相关的安全流程如图9和图10所示。上述签名验签流程应用非对称安全标准(如SM9国密算法),加解密使用对称安全标准(如SM4国密算法)。
安全模块与核心网模块存在逻辑连接,用于实现核心网模块与物联网业务平台之间的数据传输加解密和双向的身份认证,该功能为可选功能,当未激活所述系统与业务平台的安全功能,则安全模块直接透传核心网模块与业务平台之间数据报文;当所述系统与业务平台的安全功能被激活,则安全模块的具体的流程为:当接收到从核心网模块发送至业务平台的数据明文,则安全逻辑调用安全芯片相关接口,先对数据包使用业务会话密钥加密,再使用自身网络设备私钥对加密数据签名,最后将带有签名的密文数据传递给网络协议转换模块;当接收到从业务平台发送至核心网模块的数据密文,则使用业务平台标识作为作为公钥先对密文签名执行验签,验签通过后,再使用业务会话密钥对密文进行解密,最后将恢复的明文传递给核心网模块,执行后续的路由操作。当与业务平台的安全功能启用时,安全模块与核心网模块数据交互相关的安全流程如图11和图12所示。上述签名验签流程应用非对称安全标准(如SM9国密算法),加解密使用对称安全标准(如SM4国密算法)。
本发明的一可选的实施例中,所述网络协议转换模块包括:配置切换逻辑单元,以及与所述配置切换逻辑单元连接的蜂窝无线通信电路以及IP通信电路,所述蜂窝无线通信电路以及IP通信电路分别与外部网络通信连接。
该实施例中,网络协议转换模块执行所述系统内部数据与外部网络数据之间的协议转换和数据数据传递。网络协议转换模块有两部分组成,一部分为蜂窝无线通信电路,包括3G/4G/5G通信模组及USIM卡;另一部分为IP通信电路,包括以太网芯片、高速网口和Wi-Fi模组,网络协议转换模块功能与接口如图13所示。网络协议转换模块与外部网络之间存在两条通信链路,上述两条通路根据系统配置进行选择和切换。用户根据所述系统应用环境需求可配置为蜂窝无线通信方式或IP通信方式与外部网络建立连接。其中,蜂窝无线通信方式是利用3G/4G/5G通信模组及USIM卡将所述系统的业务数据或状态、配置数据通过3G/4G/5G蜂窝无线网络与外部网络交互,该业务形态下专网系统部署方便、移动性好;IP通信方式是利用本地IP网络将所述系统的业务数据或状态和配置数据通过高速网口或Wi-Fi接口与外部交互,该业务形态下可靠性高、业务稳定性好。
如图4所示,本发明的一可选的实施例中,边缘型蜂窝物联网专网系统,还包括:处理器,所述处理器安装有所述接入网模块、所述核心网模块、所述安全模块、所述网络协议转换模块的应用;
所述接入网模块包括射频模拟电路,所述射频模拟电路通过ADC数据采集串口与所述处理器相连;
所述核心网模块包括数据存储器,所述数据存储器通过数据总线和地址总线与所述处理器相连;
所述安全模块的安全芯片通过SPI串口与所述处理器相连;
所述网络协议转换模块包括:以太网芯片、RJ45高速网口、Wi-Fi模组、蜂窝无线通信模组和USIM卡中的至少一种;
所述以太网芯片通过以太网接口总线与所述处理器相连;
所述以太网芯片与所述RJ45网口通过双绞线对连接;
所述Wi-Fi模组与所述处理器通过UART串口连接;
所述蜂窝无线通信模组通过UART串口与所述处理器相连;
所述蜂窝无线通信模组和USIM卡通过7816总线相连接。
图14所示的硬件结构是本发明所述系统的一种典型的一体化实现方式,其主要硬件组成结构包括电源电路、高性能MCU处理器、射频模拟电路、安全芯片、数据存储器、以太网芯片、Wi-Fi模组、RJ45网口、蜂窝无线通信模组和USIM卡。
所述系统的接入网模块、核心网模块、网络管理模块、安全模块、网络协议转换模块与硬件实现架构的映射关系如下:
接入网模块由高性能处理器中的接入网模块软件与射频模拟电路共同实现和承载,高性能处理器和射频模拟电路之间通过ADC数据采集串口相连;
核心网模块由高性能处理器的核心网模块软件与数据存储器实现和承载,高性能处理器和数据存储器之间通过数据总线和地址总线相连;
网络管理模块由高性能处理器的网络管理软件实现和承载;
安全模块由高性能处理器中的安全逻辑模块软件与安全芯片共同实现和承载,高性能处理器和安全芯片之间通过SPI串口相连;
网络协议转换模块由高性能处理器中的网络协议转换模块软件、以太网芯片、RJ45高速网口、Wi-Fi模组、蜂窝无线通信模组和USIM(全球用户识别卡)卡共同实现和承载,其中,高性能处理器和以太网芯片通过以太网接口总线相连、以太网芯片与RJ45网口通过双绞线对连接、高性能处理器与Wi-Fi模组通过UART(通用异步收发传输器)串口连接、高性能处理器与蜂窝无线通信模组通过UART串口连接、蜂窝无线通信模组和USIM卡通过7816总线相连接。
本发明的上述实施例中,所述系统面向物联网专网的需求场景,用于提供边缘化的蜂窝网络覆盖,其根据物联网应用需求兼容一种或多种典型的窄带蜂窝网络服务,包括NB-IoT(窄带物联网)、eMTC、GSM-GPRS、LTE(For CAT1)。其具备低功耗、窄带宽、深覆盖、大容量、低成本、多样化的网络特点,可以满足多样化的物联网应用场景需求。
所述系统依据物联网终端数量和分布特点,有两种系统架构表现形态:当进行小规模专网组网时:接入网、核心网、网络管理模块、安全模块和网络协议转换模块被集成在同一台物联网专网一体机中,该形态的蜂窝物联网专网系统成本低、时延短、极易部署;当进行中、大规模专网组网时:先根据物联网终端分布特点,规划接入网模块的需求数量和选址。核心网、网络管理模块、安全模块和网络协议转换模块被集成在物联网专网主机中,接入网模块被封装在单独的接入机中,物联网专网一体机与多台接入机设备连接构成星型结构,该形态的蜂窝物联网专网系统容量大、覆盖广、可扩展性好。该技术手段使得所述系统的组网应用并不受网络规模限制。
所述系统的安全模块可用于保障边缘专网系统的身份安全、数据传输安全、远程配置和升级安全。安全模块由安全逻辑和硬件安全芯片构成,系统安全方案采用通用的国密算法或国际安全算法。其中,安全芯片内部集成了相应安全算法单元;安全芯片存储了安全流程中需要的相关标识信息:网络设备标识、运维系统标识、业务平台标识;安全芯片存储了安全流程中需要的相关密钥信息:网络设备私钥、运维会话密钥和业务会话密钥,其中,业务会话密钥允许客户通过安全通道二次发行。在安全方案中,签名验签流程应用非对称安全标准(如SM9国密算法),加解密使用对称安全标准(如SM4国密算法);所述系统可以利用安全模块实现网络设备与业务平台之间的双向认证和数据加密传输,该技术手段增强了数据安全性和真实性,且实现了网络设备与业务平台之间的绑定关系,防止网络设备被非法盗用。另外,业务会话密钥允许客户通过安全通道二次发行,将部分安全能力开放给用户,增大了业务灵活性和安全性。所述系统通过安全模块实现网络设备与远程的运维支撑管理系统之间的双向认证和数据加密传输,该技术手段增强了数据安全性和真实性,同时避免所述系统的隐私数据、核心参数被恶意盗取和篡改。所述系统在硬件安全芯片电路内置唯一的网络设备标识,并作为公钥用于签名和验签。该技术手段确保了网络设备的合法性、唯一性与可追溯性。
所述系统通过网络管理模块与远程的运维支撑管理系统对接,实现专网系统的状态监测和远程参数配置,使得所述系统达到可管可控的目的,并实现系统之间的统一规划、管理和运维。显著提高了频谱资源利用率。此外,该技术手段和实现专网系统与公网系统的协同管理,降低了多张专网系统之间、专网与公网之间的频率冲突和干扰风险。
所述网络协议转换模块执行系统内部数据与外部网络数据之间的协议转换和数据数据传递。网络协议转换模块有两部分组成,一部分为蜂窝无线通信电路,包括3G/4G/5G通信模组及USIM卡;另一部分为IP通信电路,包括以太网芯片、高速网口和Wi-Fi模组。网络协议转换模块与外部网络之间存在两条通信链路,上述两条通路根据系统配置进行选择和切换。用户根据所述系统应用环境需求可配置为蜂窝无线通信方式或IP通信方式与外部网络建立连接。其中,蜂窝无线通信方式是利用3G/4G/5G通信模组及USIM卡将所述系统的业务数据或状态、配置数据通过3G/4G/5G蜂窝无线网络与外部网络交互,该业务形态下专网系统部署方便、移动性好;IP通信方式是利用本地IP网络将所述系统的业务数据或状态和配置数据通过高速网口或Wi-Fi接口与外部交互,该业务形态下可靠性高、业务稳定性好。所述系统网络协议转换模块与外部网络之间存在两条通信链路,用户根据所述系统应用环境需求可配置为蜂窝无线通信方式或IP通信方式与外部网络建立连接。该技术手段降低了边缘型蜂窝物联网专网系统部署难度,拓宽了其应用场景适应性。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (9)
1.一种边缘型蜂窝物联网专网系统,其特征在于,包括:
至少一个接入网模块,用于与物联网终端设备通过无线空口连接和数据传输通道;
与所述接入网模块连接的核心网模块,用于接收至少一个接入网模块发送的数据,并对所述数据进行处理;
分别与所述至少一个接入网模块连接以及与所述核心网模块连接的网络管理模块,用于对所述接入网模块以及所述核心网模块配置工作参数、读取工作状态和运行日志中的至少一项;
分别与所述核心网模块以及所述网络管理模块连接的安全模块,用于对所述核心网模块和所述网络管理模块与外部网络之间的交互数据进行加解密、签名和验签处理;
与所述安全模块连接的网络协议转换模块,用于对所述核心网模块和所述网络管理模块与外部网络之间的协议转换和数据传输;
其中,安全模块与核心网模块存在逻辑连接,用于实现核心网模块与物联网业务平台之间的数据传输加解密和双向的身份认证,当未激活所述系统与业务平台的安全功能,则安全模块直接透传核心网模块与业务平台之间数据报文;当所述系统与业务平台的安全功能被激活,则安全模块的具体的流程为:当接收到从核心网模块发送至业务平台的数据明文,则安全逻辑调用安全芯片相关接口,先对数据包使用业务会话密钥加密,再使用自身网络设备私钥对加密数据签名,最后将带有签名的密文数据传递给网络协议转换模块;当接收到从业务平台发送至核心网模块的数据密文,则使用业务平台标识作为公钥先对密文签名执行验签,验签通过后,再使用业务会话密钥对密文进行解密,最后将恢复的明文传递给核心网模块,执行后续的路由操作;
安全模块与网络管理模块存在逻辑连接,用于实现网络管理模块与远程运维支撑管理系统之间的数据传输加解密和双向的身份认证,具体的流程为:当接收到从网络管理模块发送至远程运维支撑管理系统的数据明文,则安全逻辑调用安全芯片相关接口,先对数据包使用运管会话密钥加密,再使用自身网络设备私钥对加密数据签名,最后将带有签名的密文数据传递给网络协议转换模块;当接收到从远程运维支撑管理系统发送至网络管理模块的数据密文,则使用运维系统标识作为公钥先对密文签名执行验签,验签通过后,再使用运维会话密钥对密文进行解密,最后将恢复的明文传递给网络管理模块执行对应功能的操作。
2.根据权利要求1所述的边缘型蜂窝物联网专网系统,其特征在于,至少一个接入网模块中的每一个接入网模块位于一个接入机中,所述接入机通过与物联网终端设备之间的无线空口连接和数据传输通道,接收与所述接入网模块连接的至少一个物联网终端设备发送的数据。
3.根据权利要求1所述的边缘型蜂窝物联网专网系统,其特征在于,所述核心网模块、网络管理模块、安全模块以及网络协议转换模块位于物联网专网主机中。
4.根据权利要求1所述的边缘型蜂窝物联网专网系统,其特征在于,所述网络管理模块包括:
第一网络管理单元,用于与运维支撑管理系统交互,交互的内容包括设备管理、日志管理、性能管理、告警管理、版本管理、参数配置、系统管理中的至少一项;
第二网络管理单元,用于配置所述网络管理模块、接入网模块和核心网模块的工作参数、读取所述网络管理模块、接入网模块和核心网模块的工作状态和运行日志;
第三网络管理单元,用于对所述核心网模块与外部网络之间的交互数据进行加解密、签名和验签处理。
5.根据权利要求1所述的边缘型蜂窝物联网专网系统,其特征在于,所述安全模块包括:安全芯片以及运行在所述安全芯片上的安全算法单元;
所述安全芯片存储网络设备标识、运维支撑管理系统标识、物联网业务平台标识中的至少一种;
所述安全芯片存储网络设备私钥、运维支撑管理系统会话密钥和业务会话密钥中的至少一种。
6.根据权利要求5所述的边缘型蜂窝物联网专网系统,其特征在于,所述安全算法单元包括:
第一单元,与所述网络管理模块和运维支撑管理系统通信连接,用于接收到从所述网络管理模块发送至运维支撑管理系统的数据明文,调用安全芯片,对数据明文使用运维支撑管理系统会话密钥加密,得到加密数据,再使用自身网络设备私钥对加密数据签名,得到密文数据,将带有签名的密文数据传递给所述网络协议转换模块;
第二单元,与所述网络管理模块和运维支撑管理系统通信连接,用于接收从所述运维支撑管理系统发送至网络管理模块的数据密文,使用运维支撑管理系统标识作为公钥先对数据密文签名执行验签,验签通过后,再使用运维支撑管理系统会话密钥对数据密文进行解密,得到数据明文,将数据明文传递给网络管理模块。
7.根据权利要求5所述的边缘型蜂窝物联网专网系统,其特征在于,所述安全算法单元包括:
第三单元,与所述核心网模块和物联网业务平台通信连接,用于接收从核心网模块发送至物联网业务平台的数据明文,对数据明文使用业务会话密钥加密,得到加密数据,再使用自身网络设备私钥对加密数据签名,将带有签名的密文数据传递给网络协议转换模块;
第四单元,与所述核心网模块和物联网业务平台通信连接,用于接收从物联网业务平台发送至核心网模块的数据密文,使用物联网业务平台标识作为公钥先对数据密文签名执行验签,验签通过后,再使用业务会话密钥对数据密文进行解密,得到数据明文,将数据明文传递给核心网模块。
8.根据权利要求1所述的边缘型蜂窝物联网专网系统,其特征在于,所述网络协议转换模块包括:
配置切换逻辑单元,以及与所述配置切换逻辑单元连接的蜂窝无线通信电路以及IP通信电路,所述蜂窝无线通信电路以及IP通信电路分别与外部网络通信连接。
9.根据权利要求1所述的边缘型蜂窝物联网专网系统,其特征在于,还包括:处理器,所述处理器安装有所述接入网模块、所述核心网模块、所述安全模块、所述网络协议转换模块的应用;
所述接入网模块包括射频模拟电路,所述射频模拟电路通过ADC数据采集串口与所述处理器相连;
所述核心网模块包括数据存储器,所述数据存储器通过数据总线和地址总线与所述处理器相连;
所述安全模块的安全芯片通过串行外设接口SPI串口与所述处理器相连;
所述网络协议转换模块包括:以太网芯片、RJ45高速网口、Wi-Fi模组、蜂窝无线通信模组和全球用户识别卡USIM卡中的至少一种;
所述以太网芯片通过以太网接口总线与所述处理器相连;
所述以太网芯片与所述RJ45网口通过双绞线对连接;
所述Wi-Fi模组与所述处理器通过通用异步收发传输器UART串口连接;
所述蜂窝无线通信模组通过UART串口与所述处理器相连;
所述蜂窝无线通信模组和全球用户识别卡USIM卡通过7816总线相连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010488601.7A CN113765946B (zh) | 2020-06-02 | 2020-06-02 | 一种边缘型蜂窝物联网专网系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010488601.7A CN113765946B (zh) | 2020-06-02 | 2020-06-02 | 一种边缘型蜂窝物联网专网系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113765946A CN113765946A (zh) | 2021-12-07 |
CN113765946B true CN113765946B (zh) | 2024-03-01 |
Family
ID=78782721
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010488601.7A Active CN113765946B (zh) | 2020-06-02 | 2020-06-02 | 一种边缘型蜂窝物联网专网系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113765946B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605368A (zh) * | 2009-06-26 | 2009-12-16 | 北京邮电大学 | 一种无线业务的异构网络及切换方法 |
GB201207816D0 (en) * | 2012-05-04 | 2012-06-13 | Vodafone Ip Licensing Ltd | Telecommunication networks |
CN103139058A (zh) * | 2013-01-28 | 2013-06-05 | 公安部第一研究所 | 一种物联网安全接入网关 |
CN107018134A (zh) * | 2017-04-06 | 2017-08-04 | 北京中电普华信息技术有限公司 | 一种配电终端安全接入平台及其实现方法 |
CN107071781A (zh) * | 2017-05-04 | 2017-08-18 | 国网江苏省电力公司电力科学研究院 | 一种适用于电力无线专网核心网的安全防护性能测评方法 |
CN107124715A (zh) * | 2017-05-04 | 2017-09-01 | 国网江苏省电力公司电力科学研究院 | 一种适用于电力无线专网终端的安全防护性能测评方法 |
CN107846301A (zh) * | 2016-09-21 | 2018-03-27 | 中兴通讯股份有限公司 | 一种端到端业务测试系统和方法 |
CN109831327A (zh) * | 2019-01-28 | 2019-05-31 | 国家电网有限公司信息通信分公司 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
CN110326345A (zh) * | 2017-03-24 | 2019-10-11 | 华为技术有限公司 | 一种配置网络切片的方法、装置和系统 |
CN110557758A (zh) * | 2019-09-24 | 2019-12-10 | 国家电网有限公司 | 电力系统通信网络部署处理方法和装置 |
CN110830542A (zh) * | 2018-08-14 | 2020-02-21 | 华为技术有限公司 | 获取网络配置信息的方法和相关设备 |
CN210444305U (zh) * | 2019-11-14 | 2020-05-01 | 国家电网有限公司 | 无线专网系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8184603B2 (en) * | 2002-01-31 | 2012-05-22 | Lgc Wireless, Llc | Communication system having a community wireless local area network for voice and high speed data communication |
-
2020
- 2020-06-02 CN CN202010488601.7A patent/CN113765946B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101605368A (zh) * | 2009-06-26 | 2009-12-16 | 北京邮电大学 | 一种无线业务的异构网络及切换方法 |
GB201207816D0 (en) * | 2012-05-04 | 2012-06-13 | Vodafone Ip Licensing Ltd | Telecommunication networks |
CN103139058A (zh) * | 2013-01-28 | 2013-06-05 | 公安部第一研究所 | 一种物联网安全接入网关 |
CN107846301A (zh) * | 2016-09-21 | 2018-03-27 | 中兴通讯股份有限公司 | 一种端到端业务测试系统和方法 |
CN110326345A (zh) * | 2017-03-24 | 2019-10-11 | 华为技术有限公司 | 一种配置网络切片的方法、装置和系统 |
CN107018134A (zh) * | 2017-04-06 | 2017-08-04 | 北京中电普华信息技术有限公司 | 一种配电终端安全接入平台及其实现方法 |
CN107071781A (zh) * | 2017-05-04 | 2017-08-18 | 国网江苏省电力公司电力科学研究院 | 一种适用于电力无线专网核心网的安全防护性能测评方法 |
CN107124715A (zh) * | 2017-05-04 | 2017-09-01 | 国网江苏省电力公司电力科学研究院 | 一种适用于电力无线专网终端的安全防护性能测评方法 |
CN110830542A (zh) * | 2018-08-14 | 2020-02-21 | 华为技术有限公司 | 获取网络配置信息的方法和相关设备 |
CN109831327A (zh) * | 2019-01-28 | 2019-05-31 | 国家电网有限公司信息通信分公司 | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 |
CN110557758A (zh) * | 2019-09-24 | 2019-12-10 | 国家电网有限公司 | 电力系统通信网络部署处理方法和装置 |
CN210444305U (zh) * | 2019-11-14 | 2020-05-01 | 国家电网有限公司 | 无线专网系统 |
Non-Patent Citations (3)
Title |
---|
Artificial Intelligence-Empowered Resource Management for Future Wireless Communications: A Survey;Mengting Lin;Youping Zhao;;中国通信(第03期);全文 * |
Wireless Mesh Architecture for IP-Based Base Stations;Tian Hui等;ZTE Communications(第02期);全文 * |
铁路通信传送网现状与技术发展;邱萍;;铁路通信信号工程技术(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113765946A (zh) | 2021-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131258B (zh) | 一种基于5g网络切片的安全专网架构系统 | |
CN110121168B (zh) | 安全协商方法及装置 | |
CN107646176B (zh) | 单播信号与多播信号之间的非正交多址 | |
CN109076343A (zh) | 可穿戴设备的网络验证 | |
US8687613B2 (en) | Method and system for peer to peer wide area network communication | |
CN108353342A (zh) | 基于对随机接入的响应的连接重新配置 | |
US20080170699A1 (en) | Method and device for managing a wireless resource | |
CN107113287A (zh) | 在用户装备之间执行设备到设备通信的方法 | |
JP7461515B2 (ja) | データ伝送方法及びシステム、電子機器、並びにコンピュータ可読記憶媒体 | |
CN212343809U (zh) | 一种边缘型蜂窝物联网专网系统 | |
CN115802348B (zh) | 一种低功耗NB-IoT终端及安全通信机制 | |
WO2019158117A1 (en) | System and method for providing security in a wireless communications system with user plane separation | |
CN110266451A (zh) | 一种被用于非授权频谱的用户设备、基站中的方法和装置 | |
CN109391939B (zh) | 密钥、参数发送方法及装置、用户面实体、控制面实体 | |
CN103905389B (zh) | 基于中继设备的安全关联、数据传输方法及装置、系统 | |
CN108966217A (zh) | 一种保密通信方法、移动终端及保密网关 | |
Chen et al. | Cellular based machine to machine communication with un-peer2peer protocol stack | |
CN110650476B (zh) | 管理帧加密和解密 | |
CN113765946B (zh) | 一种边缘型蜂窝物联网专网系统 | |
CN101489222A (zh) | 同一热点同时提供明文和加密服务的方法和无线接入装置 | |
CN114365522A (zh) | 数据安全处理的方法和通信装置 | |
Afaqui et al. | Implementation of the 3GPP LTE-WLAN Inter-working Protocols in ns-3 | |
CN101999240A (zh) | 一种基站间通信方法、装置及通信系统 | |
CN101640840B (zh) | 用于基于广播或多播进行安全通信的方法及其装置 | |
CN202094926U (zh) | 一种带有IPSec VPN加密通讯的电信3G装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |