一种数据采集网关全隔离方法与流程

本发明属于数据安全隔离技术领域，具体涉及一种数据采集网关全隔离方法。

背景技术：

工业数据采集是利用泛在感知技术对多源设备、异构系统、运营环境、人等要素信息进行实时高效采集和云端汇聚。工业数据采集对应工业互联网平台体系架构中的边缘层。通过各类通信手段接入不同设备、系统和产品，采集大范围、深层次的工业数据，以及异构数据的协议转换与边缘处理，构建工业互联网平台的数据基础。

目前，工业数据采集产业供应侧主要有以下三类企业：

一是工业自动化企业，从自身核心产品能力出发，主要为工业数据采集提供接入设备，作为工业数据采集的源头，例如15西门子、研华、霍尼韦尔、安控等；

二是工业网络服务企业，主要为工业数据采集提供工业网络协议转换、传输、安全等配套设备和服务，部分企业从原有优势领域正在积极向制造业领域延伸发展，例如中国电信、中兴通讯、华为等；

三是工业数据采集解决方案企业，主要提供工业数据采集解决方案、系统开发、项目实施、系统集成等服务，例如北自所、和利时、明匠智能等。

工业数据采集体系架构包括设备接入、协议转换、边缘数据处理三层，向下接入设备或智能产品，向上与工业互联网平台/工业应用系统对接，如图1所示。

由图1可知，由数据采集到数据应用，必然经过多个层级的网络。如设备接入层面对的rs485/232、工业以太网、can总线等现场级网络接口；协议转换、边缘处理面对的uart、iic、spi等芯片级网络接口；以及数据传输到工业互联网平台/工业应用系统的http、mqtt、s7等应用层网络接口。因此未来工业互联网的建设必然涉及部署大量数据采集网关或类似产品，一如原来的传统互联网，是数据信息流通的重要节点。有所不同的是工业互联网所涉及的数据采集网关具有面对协议众多，工况复杂，可靠性要求高且安全保障困难等新挑战。

现有发展水平就实现通信和数据交换这个功能而言，很多产品已经完全能满足现有需求。主要技术方案有两种：

一、由原来用于底层工业控制的产品通过整合以太网络通信部件达成。如西门子的simatic控制器，现今已从s3系列发展到s7系列，具有体积小、速度快、标准化，具有网络通信能力，功能更强，可靠性更高⁵。以s7-200smart系列为例：将微处理器、集成电源、输入电路和输出电路组合到一个结构紧凑的外壳中，形成功能强大的microplc。下载用户程序后，cpu将包含监控应用中的输入和输出设备所需的逻辑；

二、由原本用于网络通信的产品整合工业控制，数据采集部件达成。如宏电的工业路由器系列、工业无线dtu系列，原本用于m2m(机器到机器通信)，该领域作为物联网的前身及最重要的业务环节之一。工业无线dtu基于gprs数据通信网络，是专门用于将串口数据转换为ip数据或将ip数据转换为串口数据，并通过无线通信网络进行传送的无线终端设备，目前已被广泛应用在电力、环保监测、车载、水利、气象、路灯监控、热力管网、煤矿、油田等行业。工业路由器是基于3g/4g无线通信研发的工业级路由器，采用宽电压&电磁兼容设计，支持4g，3g，2.5g网络制式，支持双模双卡，支持内置4g无线wifi模块，支持apn/vpdn专网接入，工业路由器利用公用2g/3g/4g无线网络为用户提供无线长距离数据传输功能，传输速率更快更稳定，7×24h稳定运行，更能适应恶劣环境，远程管理/维护/升级，助力企业降低运维成本。广泛应用于金融、传媒、交通、车载、电力、环保、工业自动化、商业连锁等行业。

首先，工业互联网的建设于应用离不开工业大数据平台的建设，否则无法形成网络效应和创新应用。其次，为了作为平台提供数据的大规模应用服务，必然使用开源协议，否则用户和应用开发者面对众多闭源/半闭源协议将付出巨大的学习成本，显然不利于平台的发展。如现有indics工业大数据平台使用开源协议(mqtt和restful)。

但由此会带来数据安全问题，因为使用开源协议的明文数据在互联网中传输时极易被识别、捕获、复制、篡改。

现有同类产品解决该类安全风险一般使用闭源的私有协议，如s7、ppi(两者均为西门子系列)、ddp(dtudscprotocol，宏电、汉科泰等dtu厂商产品，一般由厂商自定义)、lorawan(lora系列)等，显然其优缺点如上所述，私有协议属于牺牲产品的通用化特性来提高用户粘性，不利于工业互联网平台的发展。

进一步因私有协议的本质仍然是明文数据，只是利用闭源的信息不对称，所以市场上已经出现专门针对该类私有协议的破解产品。破解产品的出现将导致同一协议或同系列相关产品均面临安全风险，考虑到工业互联网的连接数量将比现有的互联网连接数量高一个数量级。⁷同一协议或同系列相关产品暴露于安全风险中将产生高一个数量级的直接损失和危害，这还不包括间接损失和危害。

总结，现有工业互联网建设中遭遇的挑战就是在现有构架下无法兼顾通用性和安全性。主流的方案是以牺牲通用性来保证安全性。因为到现在为止工业互联网仍在初步建设阶段，工业数据采集产业相关企业均在推行自己的协议，接口等数据交换标准，以期占领市场，而通用性没有被认真考虑。但工业互联网的下一阶段发展需求一定会兼顾通用性和安全性，一如之前的移动通信网发展。

技术实现要素：

本发明的目的在于提供一种数据采集网关全隔离方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明采用了如下技术方案：

一种数据采集网关全隔离方法，在数据采集终端中加入数据加密模块，对上传数据进行加密，数据在大数据平台采用专用软件进行解密，实现数据的传输保护；加密模块通过串口与mcu、通信模块进行连接；以下为工业互联网数据采集加密隔离方案设计，包括：

s1.整体结构设计：

数据采集终端收集企业的数据，通过mcu送给gprs传输模块，将企业数据发送到大数据平台；企业数据在传输过程中可能面临窃取、泄露风险，需要进行机密性保护；

在数据采集终端中加入数据加密模块，对上传数据进行加密，数据在大数据平台采用专用软件进行解密，实现数据的传输保护；加密模块通过串口；

s2.加密模块硬件设计:

考虑到面积、功耗和成本，加密模块拟采用专用算法soc芯片+标准接口的方式进行实现；主要的功能都由算法芯片实现，芯片包括主控cpu、密码算法运算、密钥存储单位、接口模块等；标准接口实现加密模块与采集终端间、传输模块的的数据交互；通过这种方式，加密模块主要由一个算法芯片和配套器件组成；密码soc芯片，外加两排1*5插针，模块面积在2cmx2cm以内，由于数据加密模块采用uart与外界通信，模块还需外界提供电源，模块采用两个间距2.54mm的单排插针1*5；

s3.加密模块工作模式：

加密模块在终端中可设计成两种不同的工作模式：串行模式和并行模式：

串行模式：

串行模式中，加密模块作为一个独立的单元串接在数据通路上；mcu将采集到的数据发送给加密模块，模块对数据加密、封装，交由通信模块发送；此时，加密模块需做的工作较多，可为终端厂商将企业数据明文发送到其他服务平台等情况设置技术壁垒和屏障；数据加密模块需做以下开发工作：

1)密码模块-mcu接口标准化；以mcu为主设备，密码模块为从设备，以at指令方式定义并实现双方的通信接口，主要接口包括网络连接参数配置、连接平台服务器端、发送数据、请求校时数据等；

2)加密功能实现；包括密钥协商，数据加密等；

3)mqtt协议封装；实现mqtt客户端功能，连接平台服务端，将加密后载荷数据提交gprs模组发送；

4)gprs模组的驱动和数据收发；驱动gprs模组，与云平台进行连接，发送数据，接收校时数据；此外，gprs作为由密码模块驱动的被动型通信设备，不同设备厂商如选择不同的无线通信模组，密码模块需分别进行适配开发；

并行模式：

并行模式中，加密模块只作为一个密码运算部件，mcu将要加密的数据交由加密模块加密，并读取加密后数据，封装发送，加密模块仅完成加密工作，数据封装工作由mcu完成，并行模式中，加密模块只作为一个密码运算部件，mcu将要加密的数据交由加密模块加密，并读取加密后数据，封装发送，加密模块仅完成加密工作，数据封装工作由mcu完成；

s4.密码密钥设计：

加密模块中选用的密码芯片可提供常用的国家标准的sm2、sm3、sm4等算法，可实现对称加密、公钥加密等不同加密方式，密钥管理上可实现预置密钥、密钥协商等不同方式；为简化用户管理流程，提高大数据平台端的解密效率，采用对称加密+预置密钥的方式；

加密模块采用对称算法加密，加密密钥预置在芯片内部，按模块分割，不同的模块加密密钥不同；芯片加入了安全防护措施，外部无法读取加密密钥；加密模块生成出厂时，需完成内部密钥初始化，内部生成id和加密密钥，加密密钥和id提交给大数据平台的解密程序，用于数据的解密；在大数据平台，各加密模块的加密密钥加密存储，防止泄露；

算法芯片提供了丰富的算法运算单元，内嵌的cpu也可以对密码密钥配用方式进行修改，后续如果密码密钥使用方式需要修改，在不改变硬件的情况下，通过软件升级就可以实现所需功能，提高了灵活性；

s5.管理流程设计：

设备生产：数据采集终端主要分为采集终端和加密模块两部分，两者之间定义标准接口，分别交由不同的厂家进行生成，分别采购；加密模块生产后，需要进行初始化操作，生成设备id和加密密钥，并将id和对应加密密钥提交，加密保存；

设备装配：将采集终端和加密模块合成后，下发给用户厂家

通信流程：

加密模块

(1)设备加电，读取设备id和加密密钥；

(2)加密模块使用加密密钥对约定的固定明文data加密，得到data_en；

(3)将(id，data_en)作为握手数据发送给大数据平台；

大数据平台：

(1)与终端设备建立连接；

(2)接收握手数据(id，密文)；

(3)根据id，获取该加密终端的加密密钥密文，并解密得到明文数据；

(4)使用加密密钥解密data_en，得到data*；

(5)比较data*是否为约定的固定数据，如果不是，则断开连接；如果是，则建立连接，使用该加密密钥对后续数据进行解密。

优选的，在s3中，在串行模式下，数据加密模块需做以下开发工作：

1)密码模块-mcu接口标准化；以mcu为主设备，密码模块为从设备，以at指令方式定义并实现双方的通信接口，主要接口包括网络连接参数配置、连接平台服务器端、发送数据、请求校时数据等；

2)加密功能实现；包括密钥协商，数据加密等；

3)mqtt协议封装；实现mqtt客户端功能，连接平台服务端，将加密后载荷数据提交gprs模组发送；

4)gprs模组的驱动和数据收发；驱动gprs模组，与云平台进行连接，发送数据，接收校时数据；此外，gprs作为由密码模块驱动的被动型通信设备，不同设备厂商如选择不同的无线通信模组，密码模块需分别进行适配开发。

优选的，在s3中，并行模式下，数据加密模块需做以下开发工作：

面向mcu提供密码服务功能，包括密钥协商，数据加密等；通过at指令方式进行接口的标准化。

优选的，在s3中，串行模式和并行模式对比：

串行设计等同于要把原设备厂商做的功能迁移至密码模块；对设备厂商来讲，都已完成的东西要划出去交付密码模块进行开发；对平台来讲，原与厂商对接过，现需要与我们密码设备厂商对接，做第二遍；从整体来说，原设备主mcu已具备该能力，废弃不用，密码模块增加该功能，需另选高端芯片，增加协议通信的开发和调试。

本发明的技术效果和优点：本发明提出的一种数据采集网关全隔离方法，与现有技术相比，具有以下优点：

1、现有工业互联网建设中遭遇的挑战就是在现有构架下无法兼顾通用性和安全性。主流的方案是以牺牲通用性来保证安全性；而本方案的加密隔离设计同时解决了上述问题；

2、通用性：由于数据采集网关使用开源协议，不牺牲原有易开发，易接入的特性；

3、安全性：由于使用加密芯片，数据在网络是实际以密文状态传输，有三大优势：

(1)密文即便被截获，也因为难于破解而不易产生篡改，窃取等安全漏洞；

(2)密文即便被破解，由于加密芯片是一机一密的构架，安全漏洞只存在于单个机器上，不会波及同系列大范围多台机器，安全隐患相对可控；

(3)密文需要相应的解密机制才能恢复为明文，所以如果通信系统中藏有后门等隐通道将自动失效，因为只有部署相应解密机制的数据目的地才能获取有效信息；

4、标准化：由于具有先天封堵后门的能力，特别是工作于串行模式时，而且加密芯片使用uart等通用接口，故可进一步采取数据采集，数据加密，数据传输的工业数据采集系统设计。放弃现有大多采用的一体式设计，各系统可各自设计，并标准化生产，有利于降低成本。

附图说明

图1现有技术的工业数据采集体系架构示意图；

图2为本发明的工业互联网数据采集加密隔离方案示意图；

图3为本发明的数据采集加密隔离芯片示意图；

图4为本发明的数据采集加密隔离芯片物理尺寸示意图；

图5为本发明的加密隔离芯片串行工作模式示意图；

图6为本发明的加密隔离芯片并行工作模式示意图。

具体实施方式

下面将结合本发明实施例中的附图2-图6，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种数据采集网关全隔离方法，在数据采集终端中加入数据加密模块，对上传数据进行加密，数据在大数据平台采用专用软件进行解密，实现数据的传输保护；加密模块通过串口与mcu、通信模块进行连接；以下为工业互联网数据采集加密隔离方案设计，包括：

s1.整体结构设计：

数据采集终端收集企业的数据，通过mcu送给gprs传输模块，将企业数据发送到大数据平台；企业数据在传输过程中可能面临窃取、泄露风险，需要进行机密性保护；

在数据采集终端中加入数据加密模块，对上传数据进行加密，数据在大数据平台采用专用软件进行解密，实现数据的传输保护；加密模块通过串口与mcu、通信模块进行连接，在采集终端中的位置如图2所示；

在加密方案设计，本着安全性、可用性、经济性的原则，在保证数据安全的同时，尽量减少对原有系统的改动，使用标准接口，控制实现成本，便于加密方案的应用推广；

s2.加密模块硬件设计：

考虑到面积、功耗和成本，加密模块拟采用专用算法soc芯片+标准接口的方式进行实现；主要的功能都由算法芯片实现，芯片包括主控cpu、密码算法运算、密钥存储单位、接口模块等；标准接口实现加密模块与采集终端间、传输模块的的数据交互；通过这种方式，加密模块主要由一个算法芯片和配套器件组成，简化了设计，缩小了面积，降低了成本；加密模块的硬件框图如图3所示，密码soc芯片，外加两排1*5插针，模块面积在2cmx2cm以内；

由于数据加密模块采用uart与外界通信，模块还需外界提供电源，模块采用两个间距2.54mm的单排插针1*5，模块对外提供的接口如下表所示：

模块物理尺寸如图4所示；

s3.加密模块工作模式：

加密模块在终端中可设计成两种不同的工作模式：串行模式和并行模式；

3.1串行模式

串行模式中，数据的流向如图5所示；

串行模式中，加密模块作为一个独立的单元串接在数据通路上；mcu将采集到的数据发送给加密模块，模块对数据加密、封装，交由通信模块发送；此时，加密模块需做的工作较多，可为终端厂商将企业数据明文发送到其他服务平台等情况设置技术壁垒和屏障；

插针1信号定义

插针2信号定义

串行模式下，数据加密模块需做以下开发工作：

1)密码模块-mcu接口标准化；以mcu为主设备，密码模块为从设备，以at指令方式定义并实现双方的通信接口，主要接口包括网络连接参数配置、连接平台服务器端、发送数据、请求校时数据等；

2)加密功能实现；包括密钥协商，数据加密等；

3)mqtt协议封装；实现mqtt客户端功能，连接平台服务端，将加密后载荷数据提交gprs模组发送；

4)gprs模组的驱动和数据收发；驱动gprs模组，与云平台进行连接，发送数据，接收校时数据；此外，gprs作为由密码模块驱动的被动型通信设备，不同设备厂商如选择不同的无线通信模组，密码模块需分别进行适配开发；

3.2并行模式

并行模式中，加密模块只作为一个密码运算部件，mcu将要加密的数据交由加密模块加密，并读取加密后数据，封装发送，加密模块仅完成加密工作，数据封装工作由mcu完成；

并行模式中，数据的流向如图6所示；

并行模式中，加密模块只作为一个密码运算部件，mcu将要加密的数据交由加密模块加密，并读取加密后数据，封装发送，加密模块仅完成加密工作，数据封装工作由mcu完成；

并行模式下，数据加密模块需做以下开发工作：

1)面向mcu提供密码服务功能，包括密钥协商，数据加密等；通过at指令方式进行接口的标准化；

3.3两种模块对比

串行设计等同于要把原设备厂商做的功能迁移至密码模块；对设备厂商来讲，都已完成的东西要划出去交付密码模块进行开发；对平台来讲，原与厂商对接过，现需要与我们密码设备厂商对接，做第二遍；从整体来说，原设备主mcu已具备该能力，废弃不用，密码模块增加该功能，需另选高端芯片，增加协议通信的开发和调试；因此，串行模式开发工作量稍多，周期稍长；

s4.密码密钥设计：

加密模块中选用的密码芯片可提供常用的国家标准的sm2、sm3、sm4等算法，可实现对称加密、公钥加密等不同加密方式，密钥管理上可实现预置密钥、密钥协商等不同方式；为简化用户管理流程，提高大数据平台端的解密效率，采用对称加密+预置密钥的方式；

加密模块采用对称算法加密，加密密钥预置在芯片内部，按模块分割，不同的模块加密密钥不同；芯片加入了安全防护措施，外部无法读取加密密钥；加密模块生成出厂时，需完成内部密钥初始化，内部生成id和加密密钥，加密密钥和id提交给大数据平台的解密程序，用于数据的解密；在大数据平台，各加密模块的加密密钥加密存储，防止泄露；

算法芯片提供了丰富的算法运算单元，内嵌的cpu也可以对密码密钥配用方式进行修改，后续如果密码密钥使用方式需要修改，在不改变硬件的情况下，通过软件升级就可以实现所需功能，提高了灵活性；

s5.管理流程设计：

5.1设备生产

数据采集终端主要分为采集终端和加密模块两部分，两者之间定义标准接口，分别交由不同的厂家进行生成，分别采购；

加密模块生产后，需要进行初始化操作，生成设备id和加密密钥，并将id和对应加密密钥提交，加密保存；

5.2设备装配

将采集终端和加密模块合成后，下发给用户厂家；

5.3通信流程

1)加密模块

(1)设备加电，读取设备id和加密密钥；

(2)加密模块使用加密密钥对约定的固定明文data加密，得到data_en；

(3)将(id，data_en)作为握手数据发送给大数据平台；

2)大数据平台

(1)与终端设备建立连接；

(2)接收握手数据(id，密文)；

(3)根据id，获取该加密终端的加密密钥密文，并解密得到明文数据；

(4)使用加密密钥解密data_en，得到data*；

(5)比较data*是否为约定的固定数据，如果不是，则断开连接；如果是，则建立连接，使用该加密密钥对后续数据进行解密。

本方案，加密芯片设计：无论使用工作于串行亦或并行模式，只要最终数据采集系统中采用数采网关加密，服务器解密的方式，而数采网关加密由单独的模块或芯片完成，即可认为采用加密芯片设计；

加密芯片物理尺寸：模块的原有物理尺寸，以及成比例的放大缩小。针脚定义排布；

加密芯片通信协议：通信流程，协议命令，内部设有算法。

替代方案主要有两种，增构化和减构化。

增构化：将加密芯片功能复杂化，主要有整合后向的通信传输部分，成为加密传输单元，类似vpn，专线；或者整合前向的数据采集部分，成为加密即采单元，类似使用私有协议的采集设备；或者完全使用软硬件一体化设计，成为闭式安全采集单元。

减构化：将加密芯片功能简单化，比如只承担储存密钥的功能，不部署加密算法。或者采用一些简单的加密算法，以期提供部分安全特性。

因此本方案：

1.现有工业互联网建设中遭遇的挑战就是在现有构架下无法兼顾通用性和安全性。主流的方案是以牺牲通用性来保证安全性；而本方案的加密隔离设计同时解决了上述问题；

2.通用性：由于数据采集网关使用开源协议，不牺牲原有易开发，易接入的特性；

3.安全性：由于使用加密芯片，数据在网络是实际以密文状态传输，有三大优势：

(1)密文即便被截获，也因为难于破解而不易产生篡改，窃取等安全漏洞；

(2)密文即便被破解，由于加密芯片是一机一密的构架，安全漏洞只存在于单个机器上，不会波及同系列大范围多台机器，安全隐患相对可控；

(3)密文需要相应的解密机制才能恢复为明文，所以如果通信系统中藏有后门等隐通道将自动失效，因为只有部署相应解密机制的数据目的地才能获取有效信息；

4.标准化：由于具有先天封堵后门的能力，特别是工作于串行模式时，而且加密芯片使用uart等通用接口，故可进一步采取数据采集，数据加密，数据传输的工业数据采集系统设计。放弃现有大多采用的一体式设计，各系统可各自设计，并标准化生产，有利于降低成本。

最后应说明的是：以上仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。