一种基于NB-IoT的物联网安全接入系统的制作方法

本发明涉及物联网技术领域，特别是涉及一种基于nb-iot的物联网安全接入系统。

背景技术：

物联网(internetofthings，iot)是物物相连的网络世界。iot通过通信、云计算等技术将物物连结以满足人们的生活需要、支持社会运作。

随着“大云物移”技术发展，越来越多的物联网系统(技术)被应用于电力场景，已基本建成以实物识别为核心，综合运用物联网、移动应用、大数据等新技术的资产全寿命精益化管理体系。资产管理项目中典型的物联网系统有物联平台、电缆沟道监测系统等。同时，电网公司目前广泛使用的车辆管理系统、电子智能锁、视频监控网络等产品，也可以理解为物联网系统。

总体上看，从业务来讲，物联网技术在电力行业已经被广泛使用；但是从技术层面讲，由于技术的发展和各个系统对应的安全防护等级不同，目前电力行业物联网系统安全防护工作还存在不少问题，仍需加强，表现在以下方面：

1、在线监测如缆沟检测等系统存在安全风险。目前的电缆沟道监测系统的前端传感器与采集单元之间缺乏身份验证，采集单元如通过有线方式连接，则会因缺乏安全防护手段导致无法接入信息内容，变成信息孤岛；采集单元如通过无线方式连接，则需采用pki证书通过安全接入平台接入，这要求采集单元有较高计算能力，而且安全接入平台无法支持海量设备。所以，传统的安全接入平台已经无法满足现有业务新增的需求。

2、部分摄像头等视频监控系统存在安全风险，主要体现在：旁路监视(他人接入视频网络旁观监视或者存储视频)、网络侵入(攻击者借用摄像头的有线网络侵入信息内网)、非授权用户查看(未授权用户通过nvr等监控中心的系统查看视频录像)。

技术实现要素：

有鉴于此，本发明的目的是提供一种基于nb-iot的物联网安全接入系统，能够实现物联网设备的安全接入。

为此，本发明的技术方案如下：

一种基于nb-iot的物联网安全接入系统，包括：设备sdk模块、设备网关模块、认证和授权模块以及规则引擎模块，

所述设备sdk模块用于为设备提供接入iot物联平台的通信能力和身份认证能力；

所述设备网关模块用于支持设备安全高效地与iot物联平台进行通信，设备网关采用发布/订阅模式交换消息；

所述认证和授权模块用于为所有连接点提供身份验证；

所述规则引擎模块用于验证iot物联平台的入站信息、根据定义的业务规则转换这些消息并将其传输到另一台设备或者云平台上。

可选的，所述设备sdk模块还用于实现：同设备网关建立通信通道，实现密钥管理和数据加密功能。

可选的，所述设备网关模块支持一对一、一对多通信，通常支持mqtt、websocket和http1.1协议。

可选的，所述认证和授权模块还用于实现：

构建标识密钥生产管理系统，由最终用户自己生成和管理密钥；

对智能终端设备集成安全sdk；

为智能终端分发标识密钥证书，使之具备数字证书认证及数据加密传输能力；

根据实际需求定制身份认证及加解密规则。

可选的，所述规则引擎模块包括：rabbitmq集群、elasticsearch引擎、mysql关系数据库集群或者其他流式数据服务。

可选的，还包括设备注册表，用于创建设备标识并跟踪设备相关的元数据流向。

可选的，还包括设备影子,所述设备影子保留每台设备的最后状态和期望未来状态。

可选的，还包括：若设备处于离线状态，设备也可通过设备网关或者规则引擎报告设备的最后状态或设置期望的未来状态。

本发明具有以下有益效果：

本发明实施例提供的一种基于nb-iot的物联网安全接入系统，建立基于nb-iot技术的物联网安全接入系统，实现身份认证、通信加密和安全接入控制，促进电力网络安全稳定运行。

附图说明

图1为本发明物联网安全接入系统的结构框图。

具体实施方式

nb-iot作为一种新兴的技术，支持低功耗设备在广域网的数据连接，也被称作窄带物联网，具有覆盖广、连接多、速率低、成本低、功耗低、架构优等特点，未来将成为物联网通信的核心技术。目前，全球主流运营商已联合设备商、芯片厂商和相关国际组织，致力于窄带物联网生态系统的发展，这在未来将成为物联网发展的核心推动力量。在电力物联网中，使用nb-iot等通信技术必将成为未来趋势，尽早实施构建实验室进行技术验证，将为电力物联网发展提供有效的技术支持和宝贵经验。

本发明针对电网现有物联设备的安全风险提出改造方案；目前，电网应用的物联设备如摄像头、传感器等均存在安全风险，通过对物联网安全接入的研究，该项目为现有的业务系统提供安全改造方案，提升安全性，并为现有监控网络的数据接入综合数据网提供完整解决方案，助力物联设备和装置在业务系统中的广泛应用。

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例并参照附图对本发明的方案进行详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称、非相同的实体或者非相同的参量，仅为了表述方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

电力物联网是物联网在智能电网中的应用，在电力生产、输送、消费、管理各个环节广泛部署具有一定感知能力、计算能力和执行能力的智能装置，将有效整合通信基础设施资源和电力系统基础设施资源，促进电网生产运行及企业管理全过程的全景全息感知、信息融合及智能管理与决策，改善电力系统现有基础设施利用效率，为电网发、输、变、配、用电等环节提供重要技术支撑。

电力物联网主要由各个智能终端与云端辅以用户端构建而成，其操控权由云端决定，智能终端接收云端(或者用户端通过云端发送)指令执行操作。物联网世界中，在人(物联网应用)、云(物联网平台)、端(智能终端)之间建立可信链接、实现身份认证和加密通信是安全问题的核心。

本发明的基于nb-iot的物联网安全接入系统如图1所示，包括：

设备sdk模块101，用于为设备提供接入iot物联平台的通信能力和身份认证能力；设备网关模块102，用于支持设备安全高效地与iot物联平台进行通信，设备网关采用发布/订阅模式交换消息；认证和授权模块103，用于为所有连接点提供身份验证；规则引擎模块104，用于验证iot物联平台的入站信息、根据定义的业务规则转换这些消息并将其传输到另一台设备或者云平台上。

可选的，所述设备sdk模块101还用于实现：同设备网关建立通信通道，实现密钥管理和数据加密功能。

可选的，所述设备网关模块102支持一对一、一对多通信，通常支持mqtt、websocket和http1.1协议。

可选的，所述认证和授权模块103还用于实现：

构建标识密钥生产管理系统，由最终用户自己生成和管理密钥；对智能终端设备集成安全sdk；为智能终端分发标识密钥证书，使之具备数字证书认证及数据加密传输能力；根据实际需求定制身份认证及加解密规则。

可选的，所述规则引擎模块104包括：rabbitmq集群、elasticsearch引擎、mysql关系数据库集群或者其他流式数据服务。

可选的，还包括设备注册表，用于创建设备标识并跟踪设备相关的元数据流向。

可选的，还包括设备影子,所述设备影子保留每台设备的最后状态和期望未来状态。

可选的，还包括：若设备处于离线状态，设备也可通过设备网关或者规则引擎报告设备的最后状态或设置期望的未来状态。

本发明将cpk密钥识别技术于窄带广域网物联通信技术(nb-iot技术)结合，实现设备身份认证以及传输数据加密，使设备与密钥一一对应，保证只有授权设备接入物联云，并且在传输过程中数据全程加密。

本发明使用组合密钥生产和管理系统提供的集成sdk，集成sdk适用于单片机、arm等多种硬件架构。针对网关、智能传感器的固件使用sdk实现私钥存储认证以及网络数据加密。

本发明同物联云组件集成，获取物联网传感器和网关上传的数据并在图形界面展示。主要技术路线如下：

软件架构基于sguap3.0微应用架构；

界面框架使用mvvm框架，如angularjs、reactjs或者vue；

图形界面使用svg技术，实现在web浏览器中的矢量图加载功能，图像在任何分辨率下都不失真。

本发明为物联网传感装置安全接入提供了解决方案；在物联网技术和移动技术的应用层面，目前在各个项目中存在着大量有线/无线传感装置，它们通过物联网终端设备接入信息内网。项目为以无线或者有线等多种通信技术传输信息的物联网传感装置设计以及适配一种安全模型，实现传感装置的身份识别和安全加密数据通信，为物联网设备(智能硬件)安全接入信息内网并构建人、云、端之间的可信任通道提供解决方案。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。

本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。