一种分布式物联网安全接入系统的制作方法

本发明涉及物联网领域，尤其涉及一种分布式物联网安全接入系统。

背景技术：

物联网背景下，各种各样的异构设备资源并存，使得物联网设备的管理异常复杂，设备资源的利用率不高。在现今智慧城市、智慧园区等应用场景中存在设备资源量大、分布性、种类多、动态性和异构性的特点，如何解决各种设备的差异性管理、自主协同管理和设备资源安全共享，是物联网平台建设过程中面临的首要问题。

物联网是利用局部网络或互联网等通信技术将传感器、控制器等设备联系在一起进行数据交互，形成人与物、物与物相联，实现远程管理控制和智能化的网络系统。随着微机电系统(mems)、通讯技术尤其是低功耗、近距离通讯技术的发展，智能硬件已广泛应用于各行各业，对于物联网应用系统来说，需要接入各类大量异构的感知终端，例如消防系统设备、停车场设备、摄像头等。但目前，物联接入技术对于各类异构终端的接入仍然存在着不足，难以将各类终端进行有效整合，使得各类终端的接入不够灵活和方便；现有物联网接入平台的工作模式是集中式的管控模式，即设备发送的所有数据都汇总到集中管控平台进行处理，然后再分发到各个应用系统，由于物联网接入设备基数庞大，汇总的数据量将更加庞杂，导致集中式的管控平台系统的不稳定、网络堵塞，甚至造成系统瘫痪。

此外，物联网终端接入并没有标准协议，缺乏有效的安全保障机制，如有些使用共享的秘钥对设备进行单向认证，更有甚者不经过任何安全措施进行终端和平台端的交互。因此，如何更加快速、灵活、安全的接入这些异构终端设备，是物联网技术及其相关产业发展面临的首要问题。

发明名称为“一种物联网接入平台系统和物联网接入方法”的发明专利公开文件(申请号：cn201310409204.6)公开了一种物联网接入平台系统和物联网接入方法，通过终端映射的方法实现对所有接入终端进行直接管理，该方法采用集中式的信息映射模块完成协议的转换，协议解析在平台端执行，在大系统或大数据量的应用场景下，存在单点性能瓶颈问题。

技术实现要素：

本发明的目的是针对现有技术的缺陷，提供了一种分布式物联网安全接入系统，能有效的进行各种设备的差异性管理、自主协同管理和实现设备资源安全共享。

为了实现以上目的，本发明采用以下技术方案：

一种分布式物联网安全接入系统，所述系统为分布式物联网体系架构，由云平台、边平台及终端设备组成，所述分布式物联网体系架构用于建立面向应用场景的物联网物模型，物联网物模型包括解析网关边缘侧的协议、网关边缘数据处理与边缘端存储，建立预授权的代理安全认证机制，将物联网接入设备的虚拟化映射、异构协议解析、终端设备与平台连接并进行安全认证。

进一步的，所述终端设备通过部署于最接近的网关边缘接入到物联网云平台，所有协议解析动作均在网关边缘的边缘端进行，缓解云端集中处理的压力，同时具有很强的灵活性和可扩展性。

进一步的，所述物联网物模型用于对设施设备进行抽象化的数据描述，形成物理设施设备在虚拟空间中的映射。

进一步的，物联网物模型设有基于规则引擎的轻量化接入控制模块ulink，用于接收并处理来自边缘端和终端设备的数据，物联网物模型还设有包含由多个规则处理节点及规则链组成的规则引擎，用于数据存储、消息流处理以及消息分发。

进一步的，边缘端接入网关是基于插件化协议适配器的uagent技术，用于提供多协议、多接口连接支持。即“即插即用”的协议适配器实现各种异构协议与平台端标准协议的相互转换。

进一步的，边缘端与云平台用轻量化安全传输协议uc用于终端设备与平台进行数据交互，数据交互基于预授权的代理安全认证机制，终端设备由网关边缘代理认证，用于边缘设备与云平台双向认证。确保交互双方安全可靠。

进一步的，所述物联网物模型包括实体资源层、抽象层、表示层及应用层。

采用本发明技术方案，本发明的有益效果为：与现有技术相比，本发明通过采用“云-边-端”融合的分布式物联网体系架构，建立物模型，实现了联网接入设备的虚拟化映射、异构协议解析、终端设备与平台的安全认证与连接，最终解决上述物联网平台建设过程中面临的问题，保障智慧园区建设顺利有序推进。

附图说明

图1是本发明提供的一种分布式物联网安全接入系统物联网物模型示意图；

图2是本发明提供的一种分布式物联网安全接入系产品属性结构图；

图3是本发明提供的一种分布式物联网安全接入系中基于规则引擎的轻量化接入控制模块ulink消息流处理以及消息分发的示意图；

图4是本发明提供的一种分布式物联网安全接入系中ulink规则引擎结构图；

图5是本发明提供的一种分布式物联网安全接入系插件化协议适配器的uagent技术示意图；

图6是本发明提供的一种分布式物联网安全接入系轻量化安全传输协议uc使用示意图；

图7是一种分布式物联网安全接入系统应用示意图。

具体实施方式

结合附图对本发明具体方案具体实施例作进一步的阐述。

一种分布式物联网安全接入系统，所述系统为分布式物联网体系架构，由云平台、边平台及终端设备组成，所述分布式物联网体系架构用于建立面向应用场景的物联网物模型，物联网物模型包括解析网关边缘侧的协议、网关边缘数据处理与边缘端存储，物联网物模型建立预授权的代理安全认证机制，将物联网接入设备的虚拟化映射、异构协议解析、终端设备与平台连接并进行安全认证。

系统采用分布式设备接入模型，以“云-边-端”三级网络架构实现设备接入与管理，支持硬件设备、应用系统以及第三方设备云平台的快速接入，云即云平台，边即边平台，终端设备即端：

“云”与“边”采用物联网主流通讯方式(mqtt/kafka)实现统一接入管理，定义标准通讯协议uc协议；

“边”作为云平台的“孪生”，集成uagentsdk实现设备接入，并可灵活支持第三方应用服务部署，如视频行为分析、数据存储与分析等，实现数据在靠近物端被快速、高效处理；支持主流设备通信协议连接非ip智能设备，包括modbus、dlt645、bacnet、zigbee、opc等。

“端”是指各种具有联网功能的ip智能硬件终端或边缘采集网关，通过uagent或“边”实现与平台的连接，支持各种通讯协议如http、mqtt、tcp等。

所述终端设备通过部署于最接近的网关边缘接入到物联网云平台，所有协议解析动作均在网关边缘的边缘端进行，缓解云端集中处理的压力，同时具有很强的灵活性和可扩展性。

所述物联网物模型用于对设施设备进行抽象化的数据描述，形成完备的、标准的物理设施设备在虚拟空间中的映射；

在物联网应用空间中存在许多拥有计算能力的终端，而这些设备在操作系统、数据传输协议、资源以及服务的表示形式上各不相同，导致其在物理结构上存在差异性，造成了设备资源空间的复杂性。为了消除物联网终端存在的异构，需要一种统一的形式对终端进行建模，屏蔽终端之间的差异性。

如图1所示，物模型共分为四层：实体资源层、抽象层、表示层、应用层。

实体资源层是整个资源模型的基础，最终的操作都会落实在设备实体上，如停车场道闸、访客机、门禁控制器及人脸识别终端。

抽象层是实现设备资源协同和统一管理的基础，将实体抽象为虚拟设备资源设备，实现自主协同管理，例如停车场道闸和门禁控制器等设备下的名称、产品类型、设备sn，设备静态属性、设备动态属性、服务列表等。

表示层利用云计算技术提供一种设备资源存储和共享的方式，使得用户能够快速访问设备资源，例如停车场道闸和门禁控制器的设备快照、数据断电、预警规则等等。

应用层主要用来和上层业务系统交互，将业务系统的需求转换为对设备资源的操作，协同多个设备资源完成业务应用需求，例如停车场道闸和门禁控制器道闸状态、出入记录、收费记录、故障报警、异常开闸和数据报表等等。

其中，抽象层是核心，是实现物理世界与虚拟时间连接的桥梁。具有相同性质的终端设备都可抽象为具有同一属性的集合，这种集合定义为“产品”，那么设备可看作是产品的一个实例，比如某mate系列手机是一类产品集合，定义了产品配置、产品功能等属性，而生产的每个mate手机这是这个产品集合的一个设备，每台手机设备都被分配了不同的id(如序列号、mac等)。

如图2所示，一般的，产品应具有如下描述内容：

产品模型包括产品名称、产品型号、通讯方式、产品类型、服务列表、生产厂商、产品描述、产品图片等，服务列表又包括数据端点、预警规则等，数据端点又包括端点名称、数据类型、取值范围、单位符号、读写属性、端点描述，预警规则又可包括预警方式、预警条件、预警阈值、预警内容、预警级别、预警说明等。

物联网物模型设有基于规则引擎的轻量化接入控制模块ulink，用于接收并处理来自边缘端和终端设备的数据，物联网物模型还设有包含由多个规则处理节点及规则链组成的规则引擎，用于数据存储、消息流处理以及消息分发。

如图3所示，ulink作为平台端设备接入管理与控制模块，通过uc协议实现与边缘端uagent进行交互，负责设备认证、设备连接、以及设备数据处理。设备数据处理采用规则引擎处理机制，规则引擎是构建基于事件驱动的工作流模型的有效手段，ulink规则引擎包含由多个规则处理节点组成的规则链组成，实现数据存储、消息流处理以及消息分发。

规则处理节点：是一组数据处理规则，是数据处理的最小执行单元，规则节点具有很多种类型，如处理设备上下线的规则节点、存储设备历史数据的规则节点以及判定设备数据端点条件的规则节点等等。

规则链：是由一系列规则节点组成，每个规则节点通过连接关系相互连接，数据流逐一通过各个规则节点进行处理。

图中，ulinkaccess是指ulink接入访问，redis是一个开源的使用ansic语言编写、支持网络、可基于内存亦可持久化的日志型、key-value数据库，并提供多种语言的api，mongo是一种数据库，iotconnecttopics为阿里巴巴发布iotconnect开放连接协议。

典型的规则引擎结构如图4所示，数据流入到数据流类别判定器，在分别到快照数据储存database(数据库)、数据端点判定data.temperature(设备温度)＞30，数据端点判定data.temperature＞30若判断是到生产告警，若否到数据端点判定data.temperature＜10，若失败在生成日志；数据端点判定data.temperature＜10再判定若是则产生警告，若失败则生成日志。

边缘端接入网关是基于插件化协议适配器的uagent技术，用于提供多协议、多接口连接支持。即“即插即用”的协议适配器实现各种异构协议与平台端标准协议的相互转换。

如图5所示，系插件化协议适配器的uagent技术如下：

uagent系统结构可划分为3个主要组成部分：upk设备驱动、lua协议转换脚本以及网关消息服务ugms，通过u-bus总线系统衔接设备驱动和协议转换脚本两个部分。

upk设备驱动主要负责网关对外通讯接口，如http、tcp/ip、mqtt等，同时upk将外部设备的功能封装为u-bus对象和方法注册到u-bus总线中。

lua协议转换脚本根据外部设备通信协议，负责应用层协议解析与转换，统一转换为uc标准协议。u-bus上下为各项协议转换的示意，每个协议转换对应不同的接口，如外部通讯口http、外部通讯口tcp/ip，外部通讯口mqtt、外部通讯口karfka等。

ugms负责与ulink平台之间交互，设备登陆鉴权、消息分发等。

边缘端与云平台用轻量化安全传输协议uc用于终端设备与平台进行数据交互，数据交互基于预授权的代理安全认证机制，终端设备由网关边缘代理认证，用于边缘设备与云平台双向认证。确保交互双方安全可靠。

如图6所示，物联网平台为设备接入方颁发用于权限认证的key，非智能终端设备由代理网关uagent使用预授权的key进行连接访问。

物联网平台必须校验厂商id下设备的唯一标识sn，即在设备连接之前，必须手动或者自动的将待连接设备sn录入至物联网平台，物联网平台只允许已录入设备进行连接，校验成功后返回设备ctrkey。

设备ctrkey用于设备验证云端下发/控制指令的合法性，即设备端在执行控制指令前都建验证ctrkey是否合法。

uc通讯协议mqtttopic主题前导为：$uama/iot/uc

系统相关类消息主题：$uama/iot/uc/sys

数据类相关消息主题：$uama/iot/uc/data

控制类相关消息主题：$uama/iot/uc/ctrl

通用指令帧格式：

应答帧格式：

如图7所示，一种分布式物联网安全接入系统应用示意图。图中加粗线为集成uagentsdk云端标准通讯协议，从物联网平台ulink到访客机、魔盒及uama采集网关。双线为未集成uagentsdk连接云端uagent，从物联网平台ulink到运营基站、停车场本地控制系统等，虚线为uagentsdk经本地魔盒的连接，从魔盒到摄像头、uama采集网关等。

通过基站连接的一些设备列如有用户信息传输装置，其中包括消防主机，具有消防布控、警报等功能。停车场本地控制系统控制着停车场出入口道闸。uama采集网关也可连接各种设备，如图中所示的烟雾传感器、温湿度传感器等等。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。