WO2018233044A1

WO2018233044A1 - 一种基于过滤网关的物联网数据过滤方法及系统

Info

Publication number: WO2018233044A1
Application number: PCT/CN2017/100007
Authority: WO
Inventors: 杜光东
Original assignee: 深圳市盛路物联通讯技术有限公司
Priority date: 2017-06-21
Filing date: 2017-08-31
Publication date: 2018-12-27
Also published as: CN107276751A

Abstract

本发明公开一种基于过滤网关的物联网数据过滤方法及系统，该方法包括：终端设备通过接入节点向过滤网关发送授权请求；过滤网关将授权请求发送给汇聚单元，并将汇聚单元返回的响应消息发送给接入节点；接入节点将响应消息发送给终端设备；终端设备在采集时间点到达时采集数据，并以设备ID号为依据，基于签名生成算法生成签名加密信息以对采集的数据进行签名，以获得数据报文并发送给接入节点；接入节点将数据报文转发给过滤网关；过滤网关以设备ID号为依据，基于内置的签名生成算法生成签名验证信息，以验证数据报文的签名是否正确，如果正确，将数据报文转发给汇聚单元；用于过滤非授权终端设备发送的数据报文，提高数据传输的安全性。

Description

一种基于过滤网关的物联网数据过滤方法及系统

技术领域

本发明涉及物联网技术领域，具体涉及一种基于过滤网关的物联网数据过滤方法及系统。

背景技术

将物联网环境下各个节点的设备分类，分别包括：终端设备、接入节点和汇聚单元，其中，在一些应用环境下还包括过滤网关，终端设备可以是湿敏元件、照明灯、状态监控器、烤箱等等。终端设备采集的数据通过无线网络发送给接入节点，接入节点通过互联网发送给汇聚单元，汇聚单元完成数据分析、终端设备监控等。由于数据在多个环节中传输，容易造成数据泄漏，攻击者也可以轻易伪装授权终端设备进行数据传输，造成物联网数据传输的安全隐患。

发明内容

本发明实施例公开了一种基于过滤网关的物联网数据过滤方法及系统，用于解决现有物联网数据传输的安全隐患，以提高数据传输的安全性。

本发明第一方面公开了一种基于过滤网关的物联网数据过滤方法，可包括：

终端设备通过接入节点向过滤网关发送授权请求，所述授权请求携带所述终端设备的设备身份标识(Identity，简称ID)号、设备类型和互联网协议地址(Internet Protocol，简称IP)；

所述过滤网关将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元返回的用于授权所述终端设备的响应消息并发送给所述接入节点，所述响应消息包括所述签名生成算法和采集时间点；

所述接入节点将所述响应消息发送给所述终端设备；

所述终端设备在所述采集时间点到达时采集数据，获取所述终端设备的设备ID号，以所述设备ID号为依据，基于所述签名生成算法生成签名加密信息，并根据所述签名加密信息对采集的数据进行签名，以获得数据报文，并将所述数据报文发送给接入节点，所述数据报文携带所述设备ID号；

所述接入节点将所述数据报文转发给所述过滤网关；

所述过滤网关从所述数据报文中获取所述设备ID号，以所述设备ID号为依据，基于内置的所述签名生成算法生成签名验证信息；

所述过滤网关根据所述签名验证信息验证所述数据报文的签名是否正确；

所述过滤网关在验证所述数据报文的签名正确时，将所述数据报文转发给所述汇聚单元。

作为一种可选的实施方式，在本发明第一方面中，所述过滤网关将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元返回的用于授权所述终端设备的响应消息并发送给所述接入节点，包括：

所述过滤网关将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元在确定所述授权请求携带的设备类型属于其感兴趣的设备类型时、返回的用于授权所述终端设备的响应消息，并将所述响应消息发送给所述接入节点。

作为一种可选的实施方式，在本发明第一方面中，所述接入节点将所述响应消息发送给所述终端设备包括：

所述接入节点将所述响应消息的所述签名生成算法和所述采集时间点，写入所述终端设备。

作为一种可选的实施方式，在本发明第一方面中，其特征在于，所述接入节点将所述数据报文转发给所述过滤网关包括：

所述接入节点通过跳频方式从目标传输频段中确定用于发送所述数据报文的物理资源块的频域位置；

所述接入节点在确定的物理资源块的频域位置所对应的时频资源上，向所述过滤网关发送所述数据报文。

作为一种可选的实施方式，在本发明第一方面中，所述响应消息还包括所述采集时间点对应的工作状态，所述终端设备在所述采集时间点到达时采集数据，包括：

所述终端设备实时监控所述终端设备的系统时间，在监控到所述系统时间到达所述采集时间点时，将所述终端设备的工作状态切换至所述采集时间点对应的工作状态，并采集数据。

本发明第二方面公开了一种基于过滤网关的物联网数据过滤系统，可包括：

终端设备，用于通过接入节点向过滤网关发送授权请求，所述授权请求携带所述终端设备的设备身份标识ID号、设备类型和互联网协议地址IP；

所述过滤网关，用于将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元返回的用于授权所述终端设备的响应消息并发送给所述接入节点，所述响应消息包括所述签名生成算法和采集时间点；

所述接入节点，用于将所述响应消息发送给所述终端设备；

所述终端设备还用于在所述采集时间点到达时采集数据，获取所述终端设备的设备ID号，以所述设备ID号为依据，基于所述签名生成算法生成签名加密信息，并根据所述签名加密信息对采集的数据进行签名，以获得数据报文，并将所述数据报文发送给接入节点，所述数据报文携带所述设备ID号；

所述接入节点还用于将所述数据报文转发给所述过滤网关；

所述过滤网关还用于从所述数据报文中获取所述设备ID号，以所述设备ID号为依据，基于内置的所述签名生成算法生成签名验证信息；

所述过滤网关还用于根据所述签名验证信息验证所述数据报文的签名是否正确；

所述过滤网关还用于在验证所述数据报文的签名正确时，将所述数据报文转发给所述汇聚单元。

作为一种可选的实施方式，在本发明第二方面中，所述过滤网关用于将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元返回的用于授权所述终端设备的响应消息并发送给所述接入节点的方式具体为：

所述过滤网关用于将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元在确定所述授权请求携带的设备类型属于其感兴趣的设备类型时、返回的用于授权所述终端设备的响应消息，并将所述响应消息发送给所述接入节点。

作为一种可选的实施方式，在本发明第二方面中，所述接入节点用于将所述响应消息发送给所述终端设备的方式具体为：

所述接入节点用于将所述响应消息的所述签名生成算法和所述采集时间点，写入所述终端设备。

作为一种可选的实施方式，在本发明第二方面中，所述接入节点还用于将所述数据报文转发给所述过滤网关的方式具体为：

所述接入节点还用于通过跳频方式从目标传输频段中确定用于发送所述数据报文的物理资源块的频域位置，在确定的物理资源块的频域位置所对应的时频资源上，向所述过滤网关发送所述数据报文。

作为一种可选的实施方式，在本发明第二方面中，所述响应消息还包括所述采集时间点对应的工作状态，所述终端设备还用于在所述采集时间点到达时采集数据的方式具体为：

所述终端设备还用于实时监控所述终端设备的系统时间，在监控到所述系统时间到达所述采集时间点时，将所述终端设备的工作状态切换至所述采集时间点对应的工作状态，并采集数据。

与现有技术相比，本发明实施例具有以下有益效果：

在本发明实施例中，终端设备经过接入节点、过滤网关向汇聚单元发送授权请求，该授权请求携带设备ID号、设备类型和IP地址；在汇聚单元授权该终端设备时，将返回响应消息，该响应消息包括签名生成算法和采集时间点。终端设备在该采集时间点到达时采集数据，获取设备ID号，以该设备ID号为依据，基于签名生成算法生成签名加密信息，然后对采集的数据进行签名，获得数据报文，并将该数据报文发送给接入节点。接入节点在接收到数据报文后，将数据报文转发给过滤网关，过滤网关从数据报文中获取设备ID号，以该设备ID号为依据，基于内置在过滤网关中的该签名生成算法生成签名验证信息，根据该签名验证信息验证数据报文中的签名是否正确，如果正确，将数据报文发送给汇聚单元。可以看出，实施本发明实施例，过滤网关能够先一步对终端设备发送的数据报文进行签名验证，以过滤非授权终端设备发送的数据报文，以提高数据传输的安全性；进一步地，也能减轻汇聚单元的处理负担。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一些实施例公开的物联网架构示意图；

图2为本发明实施例公开的基于过滤网关的物联网数据过滤方法的流程示意图；

图3为本发明实施例公开的基于过滤网关的物联网数据过滤方法的另一流程示意图；

图4为本发明实施例公开的基于过滤网关的物联网数据过滤系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明实施例的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明实施例公开了一种基于过滤网关的物联网数据过滤方法，用于过滤非授权终端设备发送的数据报文，以提高数据传输的安全性；进一步地，也能减轻汇聚单元的处理负担。本发明实施例还相应地公开了一种基于过滤网关的物联网数据过滤系统。

在介绍本发明技术方案之前，先简单介绍本发明一些实施例公开的物联网架构，图1为本发明一些实施例公开的物联网架构示意图，需要说明的是，图1仅为本发明一些实施例公开的物联网架构示意图，其它在图1基础上进行优化或者变形得到的示意图均属于本发明的保护范围，在此不再一一举例。图1所示的物联网架构按照功能划分可以包括终端设备层、接入节点层以及汇聚层三个层。其中，终端设备层可以包括海量规模的终端设备，例如湿度计、烟感器、通风设备、雨量传感器、灌溉阀等等；接入节点层可以包括网络连接的大量的接入节点，接入节点可以包括路由器、中继器、接入点等设备，本发明实施例不作限定；接入节点可以使用任何标准的组网协议，而且接入节点可以在不同的网络制式之间实现数据解析；汇聚层可以包括过滤网关和汇聚单元，其中，过滤网关可以通过互联网与转发节点层的各个转发节点直接或间接通讯连接(在图中未全部示出)；汇聚单元可以通过过滤网关对转发节点层的各个转发节点进行高层管理，从而实现数据传输频率、网络拓扑以及其他组网功能的控制；汇聚单元不仅可以对海量终端设备产生的物联网数据进行分析和决策，还可以通过发指令去获取信息或者配置终端设备参数(此时数据的传输指向终端设备)；汇聚单元还可以引入各种业务，从大数据到社交网络、甚至从社交工具“点赞”到天气分享等。在图1所示的物联网架构中，每一个转发节点可以为其自身无线网络覆盖范围内的海量终端设备提供物联网数据收发服务，其中，每一个转发节点自身无线网络覆盖范围内的每一个终端设备可以内置有无线通讯模块，这使得每一转发节点可以通过无线网络通讯方式与自身无线网络覆盖范围内的每一个终端设备进行无线通讯。在图1所示的物联网架构中，终端设备内置的无线通讯模块在生产时，可以输入上频点470MHz，下频点510MHz，这样无线通讯模块可以自动将通讯频段定义为470MHz～510MHz，以符合中国SRRC标准的规定；或者，也可以输入上频点868MHz，下频点908MHz，这样无线通讯模块可以自动将通讯频段定义为868MHz～908MHz，以符合欧洲ETSI标准的规定；或者，可以输入上频点918MHz，下频点928MHz，这样无线通讯模块可以自动将通讯频段定义为918MHz～928MHz，以符合美国FCC标准的规定；或者，无线通讯模块的通讯频段也可以定义为符合日本ARIB标准或加拿大IC标准的规定，本发明实施例不作限定。在图1所示的物联网架构中，终端设备可以采用频分复用(Frequency Division Multiple Access，FDMA)、跳频(Frequency-Hopping Spread Spectrum，FHSS)、动态时分复用(Dynamic Time Division Multiple Access，DTDMA)、退避复用(CSMA)相结合的方法来解决干扰问题。

基于图1所示的物联网架构，下面将结合具体实施例，对本发明技术方案进行详细说明。

请参阅图2，图2为本发明实施例公开的基于过滤网关的物联网数据过滤方法的流程示意图；如图2所示，一种基于过滤网关的物联网数据过滤方法可包括：

201、终端设备通过接入节点向过滤网关发送授权请求，该授权请求携带终端设备的设备ID号、设备类型和IP地址。

其中，终端设备在首次开启并接入无线网络时或者在重新启动后或者在授权内容(包括下面的签名生成算法有效期到达后)，终端设备可以向汇聚单元发送授权请求，以获得授权。

作为一种可选的实施方式，接入节点在其无线网络覆盖范围内实时侦听，在侦听到新的终端设备接入时，触发该终端设备发送授权请求。

进一步地，接入节点在其无线网络覆盖范围内实时广播侦听消息，其无线网络覆盖范围内的终端设备在接收到侦听消息时，对该侦听消息进行响应，以发送响应消息，该响应消息携带设备类型、设备ID号和IP地址等，接入节点在接收到响应消息后，根据设备ID号或者IP地址等确定有新的终端设备接入。通过该实施方式，能够实现终端设备在接入网络时发送授权请求。

202、过滤网关将授权请求发送给汇聚单元，以及接收该汇聚单元返回的用于授权终端设备的响应消息并发送给接入节点，响应消息包括签名生成算法和采集时间点。

作为一种可选的实施方式，该过滤网关将授权请求发送给汇聚单元，以及接收该汇聚单元返回的用于授权终端设备的响应消息并发送给接入节点，包括：

该过滤网关将授权请求发送给汇聚单元，以及接收汇聚单元在确定授权请求携带的设备类型属于其感兴趣的设备类型时、返回的用于授权终端设备的响应消息，并将响应消息发送给接入节点。

具体地，汇聚单元在接收到授权请求时，从授权请求中提取该终端设备的设备类型，判断该设备类型是否为自己感兴趣的设备类型，如果是自己感兴趣的设备类型时，进一步对其设备ID号和ID地址进行确认，在确认成功后，返回响应消息。在该实施方式中，汇聚单元可以针对其感兴趣的终端设备进行设置，以提供这些设备用于传输数据时的签名生成算法，提高数据传输的安全性。

203、接入节点将响应消息发送给终端设备。

作为一种可选的实施方式，接入节点在将响应消息发送给终端设备后，实时监控响应消息中的签名生成算法的有效期，在签名生成算法的有效期到达时，将通知终端设备，以触发终端设备再次向汇聚单元发送授权请求，以获得再次授权。通过该实施方式，实现在签名生成算法有效期到达后，再次触发终端设备去获取授权。

作为一种可选的实施方式，接入节点将响应消息发送给终端设备具体包括：接入节点获取目标传输频段，然后确定目标传输频段所对应的时频资源，在时频资源上向终端设备发送该响应消息。在该实施方式中，采用时分方式向终端设备发送响应消息，能够减少干扰，提高传输效率。

204、终端设备在采集时间点到达时采集数据，获取终端设备的设备ID号，以设备ID号为依据，基于签名生成算法生成签名加密信息，并根据签名加密信息对采集的数据进行签名，以获得数据报文，并将数据报文发送给接入节点，数据报文携带设备ID号。

205、接入节点将数据报文转发给过滤网关。

作为一种可选的实施方式，接入节点将数据报文转发给过滤网关具体包括：接入节点通过跳频方式从目标传输频段中确定用于发送数据报文的物理资源块的频域位置；该接入节点在确定的物理资源块的频域位置所对应的时频资源上，向过滤网关发送数据报文。在该实施方式中，接入节点和过滤网关通信时，采用频分方式，能够减少干扰，提高传输效率。

206、过滤网关从数据报文中获取设备ID号，以设备ID号为依据，基于内置的签名生成算法生成签名验证信息。

作为一种可选的实施方式，在执行本发明步骤201之前，汇聚单元下发签名生成算法给过滤网关，过滤网关接收签名生成算法并保存。

207、过滤网关根据签名验证信息验证数据报文的签名是否正确。其中，在验证正确时，转向步骤208；在验证失败时，则丢弃该数据报文，结束流程。

其中，签名验证信息与用于数据报文签名的签名加密信息若匹配，则验证正确，若不匹配，则验证失败。

208、过滤网关将数据报文转发给汇聚单元。

实施例二

请参阅图3，图3为本发明实施例公开的基于过滤网关的物联网数据过滤方法的另一流程示意图；如图3所示，一种基于过滤网关的物联网数据过滤方法可包括：

301、终端设备通过接入节点向过滤网关发送授权请求，该授权请求携带终端设备的设备ID号、设备类型和IP地址。

其中，汇聚单元针对其感兴趣的设备类型(可以设置了用于采集重要数据的终端设备的设备类型)，需要加强这类终端设备发出的数据的安全。进而，在本发明实施例中，汇聚单元可以针对这些终端设备，设置相应的签名生成算法，该签名生成算法采用设备类型作为因子，生成签名加密信息。

作为另一种可选的实施方式，授权请求还可以携带有位置信息，汇聚单元针对其感兴趣的位置信息(可以设置了用于采集重要数据的终端设备的位置信息)，需要加强这类终端设备发出的数据的安全。进而，在本发明实施例中，汇聚单元可以针对这些终端设备，设置相应的签名生成算法，该签名生成算法采用设备类型作为因子，生成签名加密信息。

302、过滤网关将授权请求发送给汇聚单元，以及接收汇聚单元返回的用于授权终端设备的响应消息并发送给接入节点，该响应消息包括签名生成算法、采集时间点和该采集时间点对应的工作状态。

作为一种可选的实施方式，汇聚单元可以对终端设备指定采集数据的采集时间点，并在响应消息中将采集时间点一起发送给终端设备，以便终端设备能够设置其采集时间点。

进一步地，汇聚单元还将指定终端设备在采集时间点采集数据时的工作状态，本发明实施例提供的工作状态可以包括终端设备的工作状态可以包括休眠状态(终端设备未被激活，且无线网络也处于关闭状态)、激活状态且关闭无线网络、激活状态且开启无线网络。通常情况下，终端设备处于休眠状态，能够释放无线网络资源，也能够让终端设备得到休整，提高其使用寿命，而且在休眠状态下，终端设备对电池能量的消耗也比较小，从而能够提高电池的续航能力。在本发明实施例中，可以将终端设备的“激活状态且关闭无线网络”设置为采集数据时的工作状态。

作为一种可选的实施方式，过滤网关在将响应消息发送给接入节点之后，过滤网关实时监测该响应消息的签名生成算法的有效期，在该签名生成算法的有效期到达时，向汇聚单元发送请求消息，以请求有效的签名生成算法，并将请求到的有效的签名生成算法发送给接入节点。

303、接入节点将响应消息发送给终端设备。

其中，接入节点在接收汇聚单元下发的签名生成算法和采集时间点之后，将签名生成算法写入该终端设备。

作为一种可选的实施方式，接入节点还将在其无线网络覆盖范围内广播侦听消息，以实时侦听长时间不在线的终端设备，以实时更新路由表。

304、终端设备实时监控终端设备的系统时间，在监控到系统时间到达采集时间点时，将终端设备的工作状态切换至采集时间点对应的工作状态，并采集数据。

在本发明实施例中，终端设备在系统时间到达采集时间点时，将工作状态切换至采集时间点对应的工作状态，开始采集数据，直至采集完数据。终端设备在采集完数据后，将工作状态从采集时间点对应的工作状态切换至休眠状态，以再次进入休整、释放无线网络资源。

305、终端设备获取终端设备的设备ID号，以设备ID号为依据，基于签名生成算法生成签名加密信息，并根据签名加密信息对采集的数据进行签名，以获得数据报文，并将数据报文发送给接入节点，数据报文携带设备ID号。

306、接入节点将数据报文转发给过滤网关。

307、过滤网关从数据报文中获取设备ID号，以设备ID号为依据，基于内置的签名生成算法生成签名验证信息。

作为一种可选的实施方式，数据报文还携带有设备类型或者位置信息，过滤网关从数据报文中提取该设备类型或者位置信息，在确定出设备类型或者位置信息匹配汇聚单元感兴趣的设备类型或者位置信息时，进一步获取设备ID号，以设备ID号为依据，基于内置的签名生成算法生成签名验证信息，对签名进行验证。

308、过滤网关根据签名验证信息验证数据报文的签名是否正确。其中，在验证正确时，转向步骤308；在验证失败时，则丢弃该数据报文，结束流程。

309、过滤网关将数据报文转发给汇聚单元。

在本发明实施例中，汇聚单元指定终端设备用于生成签名加密信息的签名生成算法、采集数据的采集时间点、以及采集时间点对应的工作状态，终端设备在采集时间点到达时，切换到指定工作状态进行工作，然后以设备ID号为依据，基于签名生成算法生成签名加密信息，对采集到的数据进行签名，获得数据报文，然后上报到过滤网关，过滤网关以该设备ID号为依据，基于内置在过滤网关中的该签名生成算法生成签名验证信息，根据该签名验证信息验证数据报文中的签名是否正确，如果正确，将数据报文发送给汇聚单元。可以看出，实施本发明实施例，过滤网关能够先一步对终端设备发送的数据报文进行签名验证，以过滤非授权终端设备发送的数据报文，以提高数据传输的安全性；进一步地，也能减轻汇聚单元的处理负担。

实施例三

请参阅图4，图4为本发明实施例公开的基于过滤网关的物联网数据过滤系统的结构示意图；如图4所示，一种基于过滤网关的物联网数据过滤系统可包括：

终端设备410，用于通过接入节点420向过滤网关430发送授权请求，授权请求携带终端设备410的设备身份标识ID号、设备类型和互联网协议地址IP；

过滤网关430，用于将授权请求发送给汇聚单元440，以及接收汇聚单元440返回的用于授权终端设备410的响应消息并发送给接入节点420，响应消息包括签名生成算法和采集时间点；

接入节点420，用于将响应消息发送给终端设备410；

终端设备410还用于在采集时间点到达时采集数据，获取终端设备410的设备ID号，以设备ID号为依据，基于签名生成算法生成签名加密信息，并根据签名加密信息对采集的数据进行签名，以获得数据报文，并将数据报文发送给接入节点420，数据报文携带设备ID号；

接入节点420还用于将数据报文转发给过滤网关430；

过滤网关430还用于从数据报文中获取设备ID号，以设备ID号为依据，基于内置的签名生成算法生成签名验证信息；

过滤网关430还用于根据签名验证信息验证数据报文的签名是否正确；

过滤网关430还用于在验证数据报文的签名正确时，将数据报文转发给汇聚单元440。

作为一种可选的实施方式，终端设备410在首次开启并接入无线网络时或者在重新启动后或者在授权内容(包括下面的签名生成算法有效期到达后)，终端设备410可以向汇聚单元440发送授权请求，以获得授权。

作为一种可选的实施方式，接入节点420在其无线网络覆盖范围内实时侦听，在侦听到新的终端设备410接入时，触发该终端设备410发送授权请求。

进一步地，接入节点420在其无线网络覆盖范围内实时广播侦听消息，其无线网络覆盖范围内的终端设备410在接收到侦听消息时，对该侦听消息进行响应，以发送响应消息，该响应消息携带设备类型、设备ID号和IP地址等，接入节点420在接收到响应消息后，根据设备ID号或者IP地址等确定有新的终端设备接入。通过该实施方式，能够实现终端设备410在接入网络时发送授权请求。

作为一种可选的实施方式，过滤网关430用于将授权请求发送给汇聚单元440，以及接收汇聚单元440返回的用于授权终端设备410的响应消息并发送给接入节点420的方式具体为：

过滤网关430用于将授权请求发送给汇聚单元440，以及接收汇聚单元440在确定授权请求携带的设备类型属于其感兴趣的设备类型时、返回的用于授权终端设备410的响应消息，并将响应消息发送给接入节点420。

汇聚单元440在接收到授权请求时，从授权请求中提取该终端设备410的设备类型，判断该设备类型是否为自己感兴趣的设备类型，如果是自己感兴趣的设备类型时，进一步对其设备ID号和ID地址进行确认，在确认成功后，返回响应消息。在该实施方式中，汇聚单元440可以针对其感兴趣的终端设备410进行设置，以提供这些设备用于传输数据时的签名生成算法，提高数据传输的安全性。

作为一种可选的实施方式，接入节点420用于将响应消息发送给终端设备410的方式具体为：

接入节点420用于将响应消息的签名生成算法和采集时间点，写入终端设备410。

作为一种可选的实施方式，接入节点420在将响应消息发送给终端设备410后，实时监控响应消息中的签名生成算法的有效期，在签名生成算法的有效期到达时，将通知终端设备410，以触发终端设备410再次向汇聚单元440发送授权请求，以获得再次授权。通过该实施方式，实现在签名生成算法有效期到达后，再次触发终端设备410去获取授权。

作为一种可选的实施方式，接入节点420还用于将数据报文转发给过滤网关430的方式具体为：

接入节点420还用于通过跳频方式从目标传输频段中确定用于发送数据报文的物理资源块的频域位置，在确定的物理资源块的频域位置所对应的时频资源上，向过滤网关430发送数据报文。

作为一种可选的实施方式，上述响应消息还包括采集时间点对应的工作状态，终端设备410还用于在采集时间点到达时采集数据的方式具体为：

终端设备410还用于实时监控终端设备410的系统时间，在监控到系统时间到达采集时间点时，将终端设备410的工作状态切换至采集时间点对应的工作状态，并采集数据。

作为一种可选的实施方式，过滤网关430在将响应消息发送给接入节点420之后，过滤网关430实时监测该响应消息的签名生成算法的有效期，在该签名生成算法的有效期到达时，向汇聚单元440发送请求消息，以请求有效的签名生成算法，并将请求到的有效的签名生成算法发送给接入节点420。

实施上述实施方式，过滤网关430能够先一步对终端设备410发送的数据报文进行签名验证，以过滤非授权终端设备发送的数据报文，以提高数据传输的安全性；进一步地，也能减轻汇聚单元440的处理负担。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质包括只读存储器(Read-Only Memory，ROM)、随机存储器(Random Access Memory，RAM)、可编程只读存储器(Programmable Read-only Memory，PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory，OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。

以上对本发明实施例公开的一种基于过滤网关的物联网数据过滤方法及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种基于过滤网关的物联网数据过滤方法，其特征在于，包括：

终端设备通过接入节点向过滤网关发送授权请求，所述授权请求携带所述终端设备的设备身份标识ID号、设备类型和互联网协议地址IP；

所述过滤网关将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元返回的用于授权所述终端设备的响应消息并发送给所述接入节点，所述响应消息包括所述签名生成算法和采集时间点；

所述接入节点将所述响应消息发送给所述终端设备；

所述终端设备在所述采集时间点到达时采集数据，获取所述终端设备的设备ID号，以所述设备ID号为依据，基于所述签名生成算法生成签名加密信息，并根据所述签名加密信息对采集的数据进行签名，以获得数据报文，并将所述数据报文发送给接入节点，所述数据报文携带所述设备ID号；

所述接入节点将所述数据报文转发给所述过滤网关；

所述过滤网关从所述数据报文中获取所述设备ID号，以所述设备ID号为依据，基于内置的所述签名生成算法生成签名验证信息；

所述过滤网关根据所述签名验证信息验证所述数据报文的签名是否正确；

所述过滤网关在验证所述数据报文的签名正确时，将所述数据报文转发给所述汇聚单元。
根据权利要求1所述的方法，其特征在于，所述过滤网关将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元返回的用于授权所述终端设备的响应消息并发送给所述接入节点，包括：

所述过滤网关将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元在确定所述授权请求携带的设备类型属于其感兴趣的设备类型时、返回的用于授权所述终端设备的响应消息，并将所述响应消息发送给所述接入节点。
根据权利要求1所述的方法，其特征在于，所述接入节点将所述响应消息发送给所述终端设备包括：

所述接入节点将所述响应消息的所述签名生成算法和所述采集时间点，写入所述终端设备。
根据权利要求1～3任一项所述的方法，其特征在于，所述接入节点将所述数据报文转发给所述过滤网关包括：

所述接入节点通过跳频方式从目标传输频段中确定用于发送所述数据报文的物理资源块的频域位置；

所述接入节点在确定的物理资源块的频域位置所对应的时频资源上，向所述过滤网关发送所述数据报文。
根据权利要求1所述的方法，其特征在于，所述响应消息还包括所述采集时间点对应的工作状态，所述终端设备在所述采集时间点到达时采集数据，包括：

所述终端设备实时监控所述终端设备的系统时间，在监控到所述系统时间到达所述采集时间点时，将所述终端设备的工作状态切换至所述采集时间点对应的工作状态，并采集数据。
一种基于过滤网关的物联网数据过滤系统，其特征在于，包括：

终端设备，用于通过接入节点向过滤网关发送授权请求，所述授权请求携带所述终端设备的设备身份标识ID号、设备类型和互联网协议地址IP；

所述过滤网关，用于将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元返回的用于授权所述终端设备的响应消息并发送给所述接入节点，所述响应消息包括所述签名生成算法和采集时间点；

所述接入节点，用于将所述响应消息发送给所述终端设备；

所述终端设备还用于在所述采集时间点到达时采集数据，获取所述终端设备的设备ID号，以所述设备ID号为依据，基于所述签名生成算法生成签名加密信息，并根据所述签名加密信息对采集的数据进行签名，以获得数据报文，并将所述数据报文发送给接入节点，所述数据报文携带所述设备ID号；

所述接入节点还用于将所述数据报文转发给所述过滤网关；

所述过滤网关还用于从所述数据报文中获取所述设备ID号，以所述设备ID号为依据，基于内置的所述签名生成算法生成签名验证信息；

所述过滤网关还用于根据所述签名验证信息验证所述数据报文的签名是否正确；

所述过滤网关还用于在验证所述数据报文的签名正确时，将所述数据报文转发给所述汇聚单元。
根据权利要求6所述的系统，其特征在于，所述过滤网关用于将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元返回的用于授权所述终端设备的响应消息并发送给所述接入节点的方式具体为：

所述过滤网关用于将所述授权请求发送给所述汇聚单元，以及接收所述汇聚单元在确定所述授权请求携带的设备类型属于其感兴趣的设备类型时、返回的用于授权所述终端设备的响应消息，并将所述响应消息发送给所述接入节点。
根据权利要求6所述的系统，其特征在于，所述接入节点用于将所述响应消息发送给所述终端设备的方式具体为：

所述接入节点用于将所述响应消息的所述签名生成算法和所述采集时间点，写入所述终端设备。
根据权利要求6～8任一项所述的系统，其特征在于，所述接入节点还用于将所述数据报文转发给所述过滤网关的方式具体为：

所述接入节点还用于通过跳频方式从目标传输频段中确定用于发送所述数据报文的物理资源块的频域位置，在确定的物理资源块的频域位置所对应的时频资源上，向所述过滤网关发送所述数据报文。
根据权利要求6所述的系统，其特征在于，所述响应消息还包括所述采集时间点对应的工作状态，所述终端设备还用于在所述采集时间点到达时采集数据的方式具体为：

所述终端设备还用于实时监控所述终端设备的系统时间，在监控到所述系统时间到达所述采集时间点时，将所述终端设备的工作状态切换至所述采集时间点对应的工作状态，并采集数据。