CN115208959A - 一种物联网安全通信系统 - Google Patents
一种物联网安全通信系统 Download PDFInfo
- Publication number
- CN115208959A CN115208959A CN202210601272.1A CN202210601272A CN115208959A CN 115208959 A CN115208959 A CN 115208959A CN 202210601272 A CN202210601272 A CN 202210601272A CN 115208959 A CN115208959 A CN 115208959A
- Authority
- CN
- China
- Prior art keywords
- data
- cloud server
- opc
- frame
- operation result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 32
- 230000005540 biological transmission Effects 0.000 claims abstract description 69
- 238000004364 calculation method Methods 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims abstract description 11
- 230000007704 transition Effects 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 7
- 238000012546 transfer Methods 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000008901 benefit Effects 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 14
- 238000000034 method Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 8
- 238000013507 mapping Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种物联网安全通信系统,包括:多个设备采集装置,用于采集各工业设备的设备数据;边缘网关,包括:第一协议转换器,用于将接收到的非标准数据类型的各设备数据转换得到标准数据类型的设备数据;边缘计算模块,用于根据边缘算法对各设备数据进行分析得到运算结果;第一协议转换器还用于对运算结果进行编码得到符合OPCUA协议格式的运算数据并进行加密和数字签名处理;第一OPCUA服务器,用于根据消息列队传输协议输出加密和数字签名处理后的运算数据;云端服务器,用于对运算数据进行解码并将运算结果提供给数据消费端。有益效果是本系统融合OPCUA协议和消息列队传输协议进行数据传输,并通过编码、加密和数字签名操作保障数据的安全性。
Description
技术领域
本发明涉及物联网通信技术领域,尤其涉及一种物联网安全通信系统。
背景技术
物联网是新一代信息技术的重要组成部分,按层次结构分为三层,自下而上依次为:
(1)感知层,也称为边缘侧,是实现物联网全面感知的核心能力,是信息采集的关键部分,感知层位于物联网三层结构中的最底层,其功能为“感知”,即通过传感设备或者传感网络获取环境信息,并负责“物物”之间的信息传输,信息采集的技术包括传感器、条码和二维码、RFID射频技术、音视频等多媒体信息技术,信息传输技术包括远近距离数据传输技术、自组织组网技术、协同信息处理技术、信息采集中间件技术等传感网技术。
(2)网络层,是利用无线和有线网络对采集的数据进行编码、认证和传输,广泛覆盖的移动通信网络是实现物联网的基础设施,网络层作为纽带连接着感知层和应用层,它由各种私有网络、互联网、有线和无线通信网等组成,相当于人的神经中枢系统,负责将感知层获取的信息,安全可靠地传输到应用层,然后根据不同的应用需求进行信息处理。
(3)应用层,也称为云端,提供丰富的基于物联网的应用,是物联网发展的根本目标,将物联网技术与行业信息化需求相结合,实现广泛智能化应用的解决方案集,关键在于行业融合、信息资源的开发利用、低成本高质量的解决方案、信息安全的保障以及有效的商业模式的开发。
但是目前的物联网系统中的安全通信架构虽然数量很多,但安全性都不高,随着物联网的推广和普及,相应的安全问题也越来越多样化,数据传输缺乏隐私性和完整性,存在安全隐患。
发明内容
针对现有技术中存在的问题,本发明提供一种物联网安全通信系统,包括:
多个设备采集装置,分别连接一工业设备,用于采集各所述工业设备的设备数据并输出;
一边缘网关,连接各所述设备采集装置,包括:
第一协议转换器,用于将接收到的非标准数据类型的各所述设备数据进行协议转换得到标准数据类型的设备数据;
边缘计算模块,连接所述第一协议转换器,用于根据预先配置的边缘算法对标准数据类型的各所述设备数据进行分析得到对应的运算结果;
所述第一协议转换器还用于对所述运算结果进行编码得到符合OPC UA协议格式的运算数据并对所述运算数据进行加密和数字签名处理;
第一OPC UA服务器,连接所述第一协议转换器,用于根据消息列队传输协议将加密和数字签名处理后的所述运算数据进行输出;
一云端服务器,连接所述边缘网关,用于对加密和数字签名处理后的所述运算数据进行解码并转换为标准数据类型的所述运算结果进行存储,以及将所述运算结果提供给对应的数据消费端进行消费。
优选的,各所述设备采集装置为PLC设备,用于采集对应的所述工业设备的所述设备数据,并根据串行通信协议或所述OPC UA协议将所述设备数据输出至所述边缘网关。
优选的,所述第一OPC UA服务器内集成有一通信连接模块,用于在所述边缘网关与所述云端服务器通过消息列队传输协议连接后,将预先采集的各所述工业设备的硬件信息输出至所述云端服务器,以及在接收到所述云端服务器根据所述硬件信息反馈的表征所述边缘网关与所述云端服务器建立安全通信的连接信号后输出所述运算数据。
优选的,所述第一OPC UA服务器内集成有一数据传输模块,所述第一OPC UA服务器通过所述数据传输模块输出加密和数字签名处理后的所述运算数据,则所述数据传输模块包括:
第一传输单元,用于在所述通信连接模块接收到所述连接信号后,向所述云端服务器发送表征所述运算数据的数据格式的一Meta帧;
第二传输单元,连接所述第一传输单元,用于在所述第一传输单元发送所述Meta帧后根据所述运算数据生成对应的key帧并发送至所述云端服务器,以使所述云端服务器根据所述Meta帧对所述key帧进行解码;
第三传输单元,连接所述第二传输单元,用于实时检测所述key帧的长度并在所述key帧的长度大于一预设长度时,通过预先配置的Chunk帧将所述key帧拆分为多个key子帧,并控制所述第二传输单元发送各所述key子帧至所述云端服务器,以使所述云端服务器根据所述Meta帧对各所述key子帧进行解码。
优选的,所述边缘计算模块连接一第一数据库,所述第一数据库用于存储各所述运算结果,则所述边缘网关还包括一控制选择模块,连接所述边缘计算模块,用于在接收到外部输入的表征输出的控制指令时,控制所述边缘计算模块将所述运算结果输出至所述第一协议转换器;以及
在接收到表征存储的所述控制指令时,控制所述边缘计算模块将所述运算结果输出至所述第一数据库进行存储。
优选的,所述边缘网关还包括一更新模块,连接所述边缘计算模块,用于根据SSH文件传输协议接收所述云端服务器下发的最新的所述边缘算法并将最新的所述边缘算法输出至所述边缘计算模块进行更新;或
在接收到所述云端服务器下发的日志获取信号时根据SSH文件传输协议输出对应的运行日志至所述云端服务器。
优选的,所述数据消费端为消息队列遥测传输消费端、状态转移应用程序接口和OPC UA消费端,用于为不同的用户提供数据消费服务。
优选的,所述云端服务器包括:
一第二OPC UA服务器,用于对所述运算数据进行解码并转换为标准数据类型的所述运算结果,以及将所述运算结果存储至连接所述第二OPC UA服务器的第二数据库;
一第二协议转换器,连接所述第二数据库,用于在接收到所述OPC UA消费端输出的第一订阅信号时,根据所述第一订阅信号于所述第二数据库内获取对应的所述运算结果并将所述运算结果转换为符合OPC UA协议格式的所述运算结果输出至所述OPC UA消费端;
一消息队列遥测传输服务器,连接所述第二数据库,用于在接收到所述消息队列遥测传输消费端输出的第二订阅信号时,根据所述第二订阅信号于所述第二数据库内获取对应的所述运算结果并输出至所述消息队列遥测传输消费端;
一应用服务模块,连接所述第二数据库,用于在接收到所述状态转移应用程序接口输出的第三订阅信号时,根据所述第三订阅信号于所述第二数据库内获取对应的所述运算结果并输出至所述状态转移应用程序接口。
优选的,所述边缘网关还包括一验证请求模块,连接所述第一OPC UA服务器,用于在所述第一OPC UA服务器输出所述运算数据至所述云端服务器之前输出一私钥及预先下载的所述云端服务器对应的凭证至所述云端服务器,则所述云端服务器还包括一验证模块,连接所述第二OPC UA服务器,用于在所述私钥和所述凭证均正确时控制所述第二OPCUA服务器接收所述运算数据;以及
在所述私钥和所述凭证未完全正确时控制所述第二OPC UA服务器拒绝接收所述运算数据。
优选的,所述边缘网关还包括:
一上传管理模块,用于采集各所述工业设备对应的管理信息并输出表征所述管理信息的数据格式的一M2CMeta帧至所述云端服务器,以及在输出所述M2CMeta帧后根据所述管理信息生成对应的M2CKey帧并输出至所述云端服务器,以使所述云端服务器根据所述M2CMeta帧对所述M2CKey帧进行解析得到对应的所述管理信息;
一下发管理模块,用于接收所述云端服务器下发的表征所述管理信息的数据格式的所述M2CMeta帧和所述M2CKey帧,并根据所述M2CMeta帧对所述M2CKey帧进行解析得到对应的所述管理信息。
上述技术方案具有如下优点或有益效果:本系统融合OPC UA协议和消息列队传输协议进行数据传输,并通过编码、加密和数字签名操作保障数据传输的、安全性、隐私性和完整性,同时,通过边缘网关和云端服务器之间的私钥凭证验证增加数据传输的安全性。
附图说明
图1为本发明的较佳的实施例中,本系统的结构原理图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本发明并不限定于该实施方式,只要符合本发明的主旨,则其他实施方式也可以属于本发明的范畴。
本发明的较佳的实施例中,基于现有技术中存在的上述问题,现提供一种物联网安全通信系统,如图1所示,包括:
多个设备采集装置1,分别连接一工业设备2,用于采集各工业设备2的设备数据并输出;
一边缘网关3,连接各设备采集装置1,包括:
第一协议转换器31,用于将接收到的非标准数据类型的各设备数据进行协议转换得到标准数据类型的设备数据;
边缘计算模块32,连接第一协议转换器31,用于根据预先配置的边缘算法对标准数据类型的各设备数据进行分析得到对应的运算结果;
第一协议转换器31还用于对运算结果进行编码得到符合OPC UA协议格式的运算数据并对运算数据进行加密和数字签名处理;
第一OPC UA服务器33,连接第一协议转换器31,用于根据消息列队传输协议将加密和数字签名处理后的运算数据进行输出;
一云端服务器4,连接边缘网关3,用于对加密和数字签名处理后的运算数据进行解码并转换为标准数据类型的运算结果进行存储,以及将运算结果提供给对应的数据消费端5进行消费。
具体地,本实施例中,边缘网关2采用新的OPC UA PubSub(OLE for ProcessControl Unified architecture Publish/Subscribe用于发布/订阅过程控制的OLE统一架构)规范与云端服务器4进行通信,以中间设备(如AMQP或MQTT)为基础对OPC UA协议分层,允许用户利用OPC UA协议的功能,如强大的信息建模框架以适应中间设备以消息为中心的通信,同时第一协议转换器31采用国密SM2无证书公钥密码体制的数据加密解决方案对运算数据进行加密以保证运算数据通信的隐私性、完整性和安全性。
具体地,本实施例中,第一协议转换器31对运算结果进行编码时采用OPC UA二进制编码,而OPC UA二进制编码包含编码过程和解码过程,本实施例中的第一协议转换器31负责编码过程,云端服务器4负责解码过程。
优选的,编码过程就是将运算结果的数据类型经过编码器编码成为二进制流的形式得到运算数据,而解码过程就是编码过程的反过程,即通过解码器对二进制流进行解析得到相应数据类型的运算结果。
优选的,编码器和解码器可以分别设计成两个类(功能函数),将各个数据类型的编码函数和解码函数以及一些辅助功能函数设计在这两个类(功能函数)中,以便封装使用。
优选的,编码器集成于第一协议转换器31内,解码器集成于云端服务器4内。
优选的,消息列队传输协议为MQTT(Message Queuing Telemetry Transport)协议。
本发明的较佳的实施例中,各设备采集装置1为PLC设备,用于采集对应的工业设备2的设备数据,并根据串行通信协议或OPC UA协议将设备数据输出至边缘网关3。
本发明的较佳的实施例中,第一OPC UA服务器33内集成有一通信连接模块331,用于在边缘网关3与云端服务器4通过消息列队传输协议连接后,将预先采集的各工业设备2的硬件信息输出至云端服务器4,以及在接收到云端服务器4根据硬件信息反馈的表征边缘网关3与云端服务器4建立安全通信的连接信号后输出运算数据。
具体地,本实施例中,信息模型是OPC UA协议内用于定义、叙述、联系一个给定的系统或系统集合中的信息资源的组织框架,本实施例中将每个工业设备2作为一个信息模型,当边缘网关3第一次在现场环境应用时,首先需要配置工具、配置基本的网络参数(如域名(broker IP)、端口号、用户名、密码、证书等),以便边缘网关3能够连接到云端服务器4。
优选的,当边缘网关3通过消息列队传输协议连接到云端服务器4之后,边缘网关3会将信息模型的硬件信息(型号、版本等信息)发给云端服务器4进行信息模型的信息确认,云端服务器4可以根据信息模型的版本控制策略对边缘网关3进行信息模型的更新升级。
优选的,信息模型更新分为信息模型的改变、信息模型数据点的mapping改变,信息模型的改变即为根据不用的应用场景设计不同的信息模型,云端服务器4可以根据不同的工业设备2应用环境更新不同的信息模型;信息模型数据点的mapping改变即为当信息模型中采集点发生变更或者采集点采集策略发生改变时,重新将采集点mapping更新到信息模型,并把修改后的信息模型更新到边缘网关3。
本发明的较佳的实施例中,第一OPC UA服务器3内集成有一数据传输模块332,第一OPC UA服务器3通过数据传输模块332输出加密和数字签名处理后的运算数据,则数据传输模块332包括:
第一传输单元3321,用于在通信连接模块331接收到连接信号后,向云端服务器4发送表征运算数据的数据格式的一Meta帧;
第二传输单元3322,连接第一传输单元3321,用于在第一传输单元3321发送Meta帧后根据运算数据生成对应的key帧并发送至云端服务器4,以使云端服务器4根据Meta帧对key帧进行解码;
第三传输单元3323,连接第二传输单元3322,用于实时检测key帧的长度并在key帧的长度大于一预设长度时,通过预先配置的Chunk帧将key帧拆分为多个key子帧,并控制第二传输单元3322发送各key子帧至云端服务器4,以使云端服务器4根据Meta帧对各key子帧进行解码。
具体地,本实施例中,当通信连接模块331接收到连接信号后,第一传输单元3321会自动向云端服务器4发送表征运算数据的数据格式的Meta帧,云端服务器4会在规定的时间内接收到Meta帧并验证是否正确,在验证Meta帧正确后控制第二传输单元3322输出key帧,在验证Meta帧错误后控制第一传输单元3321重新发送Meta帧。
优选的,在验证Meta帧正确后第二传输单元3322将运算数据转化为对应的key帧并发送至云端服务器4,云端服务器4会在规定的时间内接收到key帧并在验证key帧正确后根据Meta帧对key帧进行解码。
优选的,当第一传输单元3321输出的Meta帧发生改变后,云端服务器4会自动获取最新的META帧,以保证成功解码。
优选的,Meta帧应根据信息模型的Meta页中规定进行组包,key帧应根据信息模型的key页中规定进行组包,Chunk帧应根据信息模型的Chunk页中规定进行组包。
优选的,Meta帧在参数映射关系没有发生变化的情况下,保持版本号不发生变化,key帧中的版本信息,保持与Meta帧中一致,Chunk帧中的版本信息,保持与Meta帧中一致。
优选的,当云端服务器4下控数据时根据最新的参数映射关系(最新上传到云端服务器4的Meta帧),并参照信息模型进行key帧数据组包。然后进行key帧的下控,边缘网关3应在规定的时间内收到并解析,并将处理的结果以实时数据上传的方式传回云端服务器4。
本发明的较佳的实施例中,边缘计算模块32连接一第一数据库34,第一数据库34用于存储各运算结果,则边缘网关3还包括一控制选择模块35,连接边缘计算模块32,用于在接收到外部输入的表征输出的控制指令时,控制边缘计算模块32将运算结果输出至第一协议转换器31;以及
在接收到表征存储的控制指令时,控制边缘计算模块32将运算结果输出至第一数据库34进行存储。
本发明的较佳的实施例中,边缘网关3还包括一更新模块36,连接边缘计算模块32,用于根据SSH文件传输协议接收云端服务器4下发的最新的边缘算法并将最新的边缘算法输出至边缘计算模块32进行更新;或
在接收到云端服务器4下发的日志获取信号时根据SSH文件传输协议输出对应的运行日志至云端服务器4。
本发明的较佳的实施例中,数据消费端5为消息队列遥测传输消费端51、状态转移应用程序接口52和OPC UA消费端53,用于为不同的用户提供数据消费服务。
本发明的较佳的实施例中,云端服务器4包括:
一第二OPC UA服务器41,用于对运算数据进行解码并转换为标准数据类型的运算结果,以及将运算结果存储至连接第二OPC UA服务器41的第二数据库42;
一第二协议转换器43,连接第二数据库42,用于在接收到OPC UA消费端53输出的第一订阅信号时,根据第一订阅信号于第二数据库42内获取对应的运算结果并将运算结果转换为符合OPC UA协议格式的运算结果输出至OPC UA消费端53;
一消息队列遥测传输服务器44,连接第二数据库42,用于在接收到消息队列遥测传输消费端51输出的第二订阅信号时,根据第二订阅信号于第二数据库42内获取对应的运算结果并输出至消息队列遥测传输消费端51;
一应用服务模块45,连接第二数据库42,用于在接收到状态转移应用程序接口52输出的第三订阅信号时,根据第三订阅信号于第二数据库42内获取对应的运算结果并输出至状态转移应用程序接口52。
本发明的较佳的实施例中,边缘网关3还包括一验证请求模块37,连接第一OPC UA服务器33,用于在第一OPC UA服务器33输出运算数据至云端服务器4之前输出一私钥及预先下载的云端服务器4对应的凭证至云端服务器4,则云端服务器4还包括一验证模块46,连接第二OPC UA服务器41,用于在私钥和凭证均正确时控制第二OPC UA服务器41接收运算数据;以及
在私钥和凭证未完全正确时控制第二OPC UA服务器41拒绝接收运算数据。
本发明的较佳的实施例中,边缘网关3还包括:
一上传管理模块38,用于采集各工业设备2对应的管理信息并输出表征管理信息的数据格式的一M2CMeta帧至云端服务器4,以及在输出M2CMeta帧后根据管理信息生成对应的M2CKey帧并输出至云端服务器4,以使云端服务器4根据M2CMeta帧对M2CKey帧进行解析得到对应的管理信息;
一下发管理模块39,用于接收云端服务器4下发的表征管理信息的数据格式的M2CMeta帧和M2CKey帧,并根据M2CMeta帧对M2CKey帧进行解析得到对应的管理信息。
具体地,本实施例中,当边缘网关3和云端服务器4通信连接建立后,上传管理模块38先将M2CMeta帧上传给云端服务器4以告知云端服务器4上报管理信息的数据格式,以便云端服务器4在收到M2CKey帧数据时,对管理信息进行解析,在发送了M2CMeta帧之后,立即发送M2CKey帧,当云端服务器4收到M2CKey帧之后按照最新的M2CMeta帧解析M2CKey帧获取管理信息。
优选的,当边缘网关3和云端服务器4通信连接建立后,边缘网关3订阅云端服务器4发布的M2DMeta帧,以获知云端服务器4下控管理信息的数据格式,以便解析云端服务器4后续下控的M2DKey帧,在边缘网关3订阅到M2DKey帧后,按照最新接收到的M2DMeta帧数据格式解析M2DCKey帧得到管理信息。
具体地,本实施例中,本系统可以增加一个功能架构实现设备维护、平台管理、平台数据三个功能,设备维护功能主要实现云端服务器4获取边缘网关3的日志等文件、设备系统的维护升级以及定期更新边缘网关3的运行规则等,该部分功能通过FTP(FileTransfer Protocol,文件传输协议)的方式技术实现;平台管理功能主要实现云端服务器4与边缘网关3信息的采集以及设备下控管理;平台数据功能主要实现云端服务器4对边缘网关3的数据采集点的实时数据采集以及下控。
实施例一:
二次供水泵房远程监控管理系统是将传统的工控技术与物联网技术、微服务架构技术结合在一起的智能工业控制系统,通过该系统实现二次供水泵房相关数据的采集分析,实现对二次供水泵房的全面监控,建立二次供水设施运行维护管理档案,实现二次供水的科学调度,降低管理成本,提高供水突发事件的应变能力,更好地实现安全供水,节能增效,提升形象,推动员工个人素质提升,提高企业的供水运营效益;
该系统中采用嵌入式数据库SQLite作为第一数据库34,底层PLC设备作为设备采集装置1,底层PLC设备通过Modbus TCP/RTU或者OPC UA协议传输数据到边缘网关3,边缘网关3通过内置的协议转换器将非标准的数据转换为标准的数据,并将数据传给嵌入式数据库SQLite,嵌入式微组态系统根据设置对嵌入式数据库中的数据进行参数逻辑运算,边缘网关3的边缘计算模块32根据设置获取嵌入式数据库SQLite的数据并结合嵌入式微组态系统的数据进行边缘算法计算,并把边缘计算后的数据存入嵌入式数据库SQLite或者经过协议转换器转换为标准的OPC UA协议格式数据并进行加密和数字签名,然后OPC UA协议的中间代理MQTT Client通过MQTT协议(内置TLS加密/国密SSL)将加密和签名后数据传输到云端服务器4。
云端服务器4内置MQTT服务器,一套MQTT服务器作为代理直接挂接在OPC UAClient上,负责接收从边缘网关3传输过来的数据,然后通过OPC UA Client解析数据,并转换为标准的数据写入到数据库中,另一套MQTT服务器可以获取数据库的数据直接供给其他MQTT Client消费,数据库中的数据分为三个方向供数据消费端5消费:通过云端服务器4内置的协议转换器,将MQTT协议转换为OPC UA协议,供OPC UA Client消费;提供标准的Restful API服务,供其他系统通过API接口消费;通过MQTT服务器直接对外提供数据订阅消费。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (10)
1.一种物联网安全通信系统,其特征在于,包括:
多个设备采集装置,分别连接一工业设备,用于采集各所述工业设备的设备数据并输出;
一边缘网关,连接各所述设备采集装置,包括:
第一协议转换器,用于将接收到的非标准数据类型的各所述设备数据进行协议转换得到标准数据类型的设备数据;
边缘计算模块,连接所述第一协议转换器,用于根据预先配置的边缘算法对标准数据类型的各所述设备数据进行分析得到对应的运算结果;
所述第一协议转换器还用于对所述运算结果进行编码得到符合OPC UA协议格式的运算数据并对所述运算数据进行加密和数字签名处理;
第一OPC UA服务器,连接所述第一协议转换器,用于根据消息列队传输协议将加密和数字签名处理后的所述运算数据进行输出;
一云端服务器,连接所述边缘网关,用于对加密和数字签名处理后的所述运算数据进行解码并转换为标准数据类型的所述运算结果进行存储,以及将所述运算结果提供给对应的数据消费端进行消费。
2.根据权利要求1所述的物联网安全通信系统,其特征在于,各所述设备采集装置为PLC设备,用于采集对应的所述工业设备的所述设备数据,并根据串行通信协议或所述OPCUA协议将所述设备数据输出至所述边缘网关。
3.根据权利要求1所述的物联网安全通信系统,其特征在于,所述第一OPC UA服务器内集成有一通信连接模块,用于在所述边缘网关与所述云端服务器通过消息列队传输协议连接后,将预先采集的各所述工业设备的硬件信息输出至所述云端服务器,以及在接收到所述云端服务器根据所述硬件信息反馈的表征所述边缘网关与所述云端服务器建立安全通信的连接信号后输出所述运算数据。
4.根据权利要求3所述的物联网安全通信系统,其特征在于,所述第一OPC UA服务器内集成有一数据传输模块,所述第一OPC UA服务器通过所述数据传输模块输出加密和数字签名处理后的所述运算数据,则所述数据传输模块包括:
第一传输单元,用于在所述通信连接模块接收到所述连接信号后,向所述云端服务器发送表征所述运算数据的数据格式的一Meta帧;
第二传输单元,连接所述第一传输单元,用于在所述第一传输单元发送所述Meta帧后根据所述运算数据生成对应的key帧并发送至所述云端服务器,以使所述云端服务器根据所述Meta帧对所述key帧进行解码;
第三传输单元,连接所述第二传输单元,用于实时检测所述key帧的长度并在所述key帧的长度大于一预设长度时,通过预先配置的Chunk帧将所述key帧拆分为多个key子帧,并控制所述第二传输单元发送各所述key子帧至所述云端服务器,以使所述云端服务器根据所述Meta帧对各所述key子帧进行解码。
5.根据权利要求1所述的物联网安全通信系统,其特征在于,所述边缘计算模块连接一第一数据库,所述第一数据库用于存储各所述运算结果,则所述边缘网关还包括一控制选择模块,连接所述边缘计算模块,用于在接收到外部输入的表征输出的控制指令时,控制所述边缘计算模块将所述运算结果输出至所述第一协议转换器;以及
在接收到表征存储的所述控制指令时,控制所述边缘计算模块将所述运算结果输出至所述第一数据库进行存储。
6.根据权利要求1所述的物联网安全通信系统,其特征在于,所述边缘网关还包括一更新模块,连接所述边缘计算模块,用于根据SSH文件传输协议接收所述云端服务器下发的最新的所述边缘算法并将最新的所述边缘算法输出至所述边缘计算模块进行更新;或
在接收到所述云端服务器下发的日志获取信号时根据SSH文件传输协议输出对应的运行日志至所述云端服务器。
7.根据权利要求1所述的物联网安全通信系统,其特征在于,所述数据消费端为消息队列遥测传输消费端、状态转移应用程序接口和OPC UA消费端,用于为不同的用户提供数据消费服务。
8.根据权利要求7所述的物联网安全通信系统,其特征在于,所述云端服务器包括:
一第二OPC UA服务器,用于对所述运算数据进行解码并转换为标准数据类型的所述运算结果,以及将所述运算结果存储至连接所述第二OPC UA服务器的第二数据库;
一第二协议转换器,连接所述第二数据库,用于在接收到所述OPC UA消费端输出的第一订阅信号时,根据所述第一订阅信号于所述第二数据库内获取对应的所述运算结果并将所述运算结果转换为符合OPC UA协议格式的所述运算结果输出至所述OPC UA消费端;
一消息队列遥测传输服务器,连接所述第二数据库,用于在接收到所述消息队列遥测传输消费端输出的第二订阅信号时,根据所述第二订阅信号于所述第二数据库内获取对应的所述运算结果并输出至所述消息队列遥测传输消费端;
一应用服务模块,连接所述第二数据库,用于在接收到所述状态转移应用程序接口输出的第三订阅信号时,根据所述第三订阅信号于所述第二数据库内获取对应的所述运算结果并输出至所述状态转移应用程序接口。
9.根据权利要求8所述的物联网安全通信系统,其特征在于,所述边缘网关还包括一验证请求模块,连接所述第一OPC UA服务器,用于在所述第一OPC UA服务器输出所述运算数据至所述云端服务器之前输出一私钥及预先下载的所述云端服务器对应的凭证至所述云端服务器,则所述云端服务器还包括一验证模块,连接所述第二OPC UA服务器,用于在所述私钥和所述凭证均正确时控制所述第二OPC UA服务器接收所述运算数据;以及
在所述私钥和所述凭证未完全正确时控制所述第二OPC UA服务器拒绝接收所述运算数据。
10.根据权利要求1所述的物联网安全通信系统,其特征在于,所述边缘网关还包括:
一上传管理模块,用于采集各所述工业设备对应的管理信息并输出表征所述管理信息的数据格式的一M2CMeta帧至所述云端服务器,以及在输出所述M2CMeta帧后根据所述管理信息生成对应的M2CKey帧并输出至所述云端服务器,以使所述云端服务器根据所述M2CMeta帧对所述M2CKey帧进行解析得到对应的所述管理信息;
一下发管理模块,用于接收所述云端服务器下发的表征所述管理信息的数据格式的所述M2CMeta帧和所述M2CKey帧,并根据所述M2CMeta帧对所述M2CKey帧进行解析得到对应的所述管理信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210601272.1A CN115208959B (zh) | 2022-05-30 | 2022-05-30 | 一种物联网安全通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210601272.1A CN115208959B (zh) | 2022-05-30 | 2022-05-30 | 一种物联网安全通信系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208959A true CN115208959A (zh) | 2022-10-18 |
| CN115208959B CN115208959B (zh) | 2023-12-12 |
Family
ID=83577076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210601272.1A Active CN115208959B (zh) | 2022-05-30 | 2022-05-30 | 一种物联网安全通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208959B (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012037715A1 (en) * | 2010-09-20 | 2012-03-29 | Nokia Corporation | Identifying a key frame from a video sequence |
| WO2018127695A2 (en) * | 2017-01-04 | 2018-07-12 | Forbidden Technologies Plc | Codec |
| CN109150703A (zh) * | 2018-08-23 | 2019-01-04 | 北方工业大学 | 一种工业物联网智能云网关及其通信方法 |
| US20190089760A1 (en) * | 2017-09-20 | 2019-03-21 | Junshan Zhang | Systems and methods for real-time content creation and sharing in a decentralized network |
| US10346614B1 (en) * | 2019-03-01 | 2019-07-09 | Hajoon Ko | Security system and method for internet of things |
| CN110266677A (zh) * | 2019-06-13 | 2019-09-20 | 广州中国科学院沈阳自动化研究所分所 | 一种面向工业制造的边缘计算智能网关及实现方法 |
| CN110446118A (zh) * | 2019-07-01 | 2019-11-12 | 阿里巴巴集团控股有限公司 | 视频资源预处理方法及装置、视频资源下载方法及装置 |
| CN111083168A (zh) * | 2019-12-31 | 2020-04-28 | 广东嘉泰智能技术有限公司 | 可配置的物联网平台网关的数据传输方法、装置和网关 |
| CN111770553A (zh) * | 2020-06-22 | 2020-10-13 | 深圳中兴网信科技有限公司 | 物联网设备接入系统、方法、电子设备和存储介质 |
| CN112866332A (zh) * | 2020-12-22 | 2021-05-28 | 公安部第三研究所 | 基于云边融合实现突发事件识别预警的系统、方法、装置、处理器及其存储介质 |
| CN113810763A (zh) * | 2020-06-15 | 2021-12-17 | 深圳市中兴微电子技术有限公司 | 一种视频处理方法、设备及存储介质 |
| WO2022011579A1 (zh) * | 2020-07-15 | 2022-01-20 | 海天塑机集团有限公司 | 一种基于边缘计算的注塑机控制方法及系统 |
| CN113992480A (zh) * | 2021-11-01 | 2022-01-28 | 武汉市水务集团有限公司 | 一种基于模块化设计的物联网网关系统及配置方法 |
-
2022
- 2022-05-30 CN CN202210601272.1A patent/CN115208959B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012037715A1 (en) * | 2010-09-20 | 2012-03-29 | Nokia Corporation | Identifying a key frame from a video sequence |
| WO2018127695A2 (en) * | 2017-01-04 | 2018-07-12 | Forbidden Technologies Plc | Codec |
| US20190089760A1 (en) * | 2017-09-20 | 2019-03-21 | Junshan Zhang | Systems and methods for real-time content creation and sharing in a decentralized network |
| CN109150703A (zh) * | 2018-08-23 | 2019-01-04 | 北方工业大学 | 一种工业物联网智能云网关及其通信方法 |
| US10346614B1 (en) * | 2019-03-01 | 2019-07-09 | Hajoon Ko | Security system and method for internet of things |
| CN110266677A (zh) * | 2019-06-13 | 2019-09-20 | 广州中国科学院沈阳自动化研究所分所 | 一种面向工业制造的边缘计算智能网关及实现方法 |
| CN110446118A (zh) * | 2019-07-01 | 2019-11-12 | 阿里巴巴集团控股有限公司 | 视频资源预处理方法及装置、视频资源下载方法及装置 |
| CN111083168A (zh) * | 2019-12-31 | 2020-04-28 | 广东嘉泰智能技术有限公司 | 可配置的物联网平台网关的数据传输方法、装置和网关 |
| CN113810763A (zh) * | 2020-06-15 | 2021-12-17 | 深圳市中兴微电子技术有限公司 | 一种视频处理方法、设备及存储介质 |
| CN111770553A (zh) * | 2020-06-22 | 2020-10-13 | 深圳中兴网信科技有限公司 | 物联网设备接入系统、方法、电子设备和存储介质 |
| WO2022011579A1 (zh) * | 2020-07-15 | 2022-01-20 | 海天塑机集团有限公司 | 一种基于边缘计算的注塑机控制方法及系统 |
| CN112866332A (zh) * | 2020-12-22 | 2021-05-28 | 公安部第三研究所 | 基于云边融合实现突发事件识别预警的系统、方法、装置、处理器及其存储介质 |
| CN113992480A (zh) * | 2021-11-01 | 2022-01-28 | 武汉市水务集团有限公司 | 一种基于模块化设计的物联网网关系统及配置方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208959B (zh) | 2023-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111770553A (zh) | 物联网设备接入系统、方法、电子设备和存储介质 | |
| US10904340B2 (en) | Method for operating an automation network | |
| CN109862011A (zh) | 一种基于雾计算的物联网环境实时监测系统 | |
| US10425506B2 (en) | Transforming machine data in a communication system | |
| CN110933118A (zh) | 边缘计算网关安全通信方法、系统、终端设备及服务器 | |
| CN112613024B (zh) | 一种数据交互方法、装置、系统及存储介质 | |
| CN111628976B (zh) | 一种报文处理方法、装置、设备及介质 | |
| CN109327493A (zh) | 一种基于云的远程医疗监控系统及监控方法 | |
| CN105530254A (zh) | 一种内外网之间的数据通信方法 | |
| CN114567620B (zh) | 一种基于mqtt协议的数字模型与物理设备匹配的系统及方法 | |
| CN103108037B (zh) | 一种通信方法,Web服务器及Web通信系统 | |
| CN106603579B (zh) | 一种无线终端的远程控制系统和方法及其无线终端 | |
| WO2023108871A1 (zh) | 一种v2x协议栈的通讯方法 | |
| CN113759846A (zh) | 一种现场级主动标识解析方法及系统 | |
| CN112637796B (zh) | 基于5g的办公信息应答方法、系统、服务器和存储介质 | |
| CN109617867B (zh) | 一种用于家居设备控制的智能网关系统 | |
| CN113254103A (zh) | 应用程序的功能实现方法、装置及存储介质 | |
| US8918516B2 (en) | Symbiotic client and server for embedded network system | |
| CN115208959B (zh) | 一种物联网安全通信系统 | |
| WO2023045676A1 (zh) | 任务处理方法及网关、计算机可读存储介质、电子设备 | |
| CN108924773B (zh) | 消息处理方法及装置 | |
| Schmitt | Secure data transmission in wireless sensor networks | |
| CN202551356U (zh) | 物联网接入传输模块 | |
| CN212572702U (zh) | 一种基于边缘计算采集、处理、显示与安全控制装置 | |
| CN113766007A (zh) | 基于多源异构数据解析协议的认证前置系统及认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |