一种物联网数据采集网关及数据加密方法

文档序号:7823855阅读:698来源:国知局
一种物联网数据采集网关及数据加密方法
【专利摘要】本发明提供了一种物联网数据采集网关及数据加密方法,属于物联网领域。所述物联网数据采集网关从下至上依次包括通信硬件抽象层、应用层通信协议层、协议适配层、协议转换控制层和人机接口;所述通信硬件抽象层:将各种通信方式抽象为通信模块;所述应用层通信协议层:对通信硬件抽象层的数据按照其对应的应用层通信协议进行封装,把封装好的数据包提交给协议适配层进行解析;所述协议适配层:把应用层通信协议层提供的数据包,按照协议树进行识别解析后,然后提交给协议转换控制层的协议转换模块;所述协议转换控制层:对协议适配层、应用层通信协议层进行控制,并向人机接口层提供调用服务。
【专利说明】一种物联网数据采集网关及数据加密方法

【技术领域】
[0001] 本发明属于物联网领域,具体涉及一种物联网数据采集网关及数据加密方法。

【背景技术】
[0002] 数据是信息的载体,是信息世界中的重要资源;数据采集一直倍受人们的关注。数 据采集网关完成数据的采集、存储转发,通信协议转换,软硬件资源的管理等功能,是工农 业自动化、信息化、智能化领域中的关键设备。对建筑能耗数据监测管理控制是节能的重要 保障。
[0003] 数据采集起始于20世纪50年代,1956年美国首先研宄了用在军事上的数据采集 测试系统。目前,国际上技术先进的国家已经把数据采集技术广泛应用在军事、农业、医疗 卫生、航空电子设备及宇航技术、工业等领域。20世纪90年代末期,伴随着传感器技术、通 信技术、嵌入式计算技术突飞猛进地发展和日趋成熟,在世界范围内开始出现具有感知能 力、计算能力和通信能力的微型传感器,因此人们也开始关注由这些微型传感器设备组成 的传感器网络。传感器网络通过各种有线或无线等近程通信方式感知采集恶劣环境、工业 现场的数据,它可以在独立的环境下运行,但这不便于对数据的实时分析处理及决策;也可 以通过网关连接到互联网,用户可以随时方便地远程访问管理及控制,这便是物联网的基 本网络模型架构,如图1所示。显然,物联网海量信息的重要来源之一是传感器网络,网关 扮演者传感器网络与互联网之间桥梁的角色。
[0004] 2005年,国际电信联盟(ITU)发布了《ITU互联网报告2005 :物联网》,正式给出了 物联网的内涵。自此,各国政府均十分看重物联网技术,纷纷制定物联网的发展规划;各个 商业机构着手研发相关物联网产品;各个学术研宄组织机构积极制定物联网相关标准和攻 克物联网的相关技术难题。物联网技术尚不够成熟,但智能交通、智能物流、智能医疗、智能 家居领域以及个人及社交领域都有物联网应用案例,公共建筑能耗数据监测管理控制是物 联网应用热门研宄之一。
[0005] 数据网关是建筑能耗监测平台中的重要设备,市场上已有专门从事嵌入式通讯协 议网关产品开发和销售的厂商,如Woodhead、prolinx、Schneider等;三维力控的通信网关 pFieldComm、至远电子的NDAM数据采集模块、高信软件的多协议数据采集网关GXcomm以及 浙江中控的WNC201。此类产品专注于通讯协议的转换,而专门为建筑能耗数据采集领域开 的产品发展还不成熟,更不用说物联网应用环境下多通信接口、智能监管等需求。江南大学 研制出了能采集符合DL/T645多功能电表通信规约、CJ/T188用户计量仪表传输条件的第 一代智能数据网关;合肥工业大学、山东建筑大学、重庆大学等高校都在积极开发研制智能 数据采集网关。然而,他们主要把精力放在硬件设计上,而且没有考虑到以后更多的升级应 用于物联网领域。嵌入式技术是数据网关研制中最重要的技术之一,嵌入式软件是嵌入式 系统的灵魂,软件设计是数据网关的核心问题。针对此问题,现有的物联网应用环境下数据 采集网关的软件框架结构,主要是从软件模型出发,没有结合具体的实际应用。针对物联网 安全威胁问题,现有技术对物联网安全隐患及措施做了综述,但不同应用的安全需求、安全 等级是不同的,具体采取何种措施也是根据需求制定的。目前建筑能耗数据采集均基于企 事业内部网,因此来自外部网络的攻击还不能构成安全威胁。在不久的将来,物联网的广泛 应用,势必外部网络也须访问建筑能耗数据,这就得考虑安全因素。针对建筑能耗数据安全 问题,目前还没有引起国内外生成数据采集网关厂商的重视。
[0006] 现存物联网网关架构基本都是图2的结构,核心处理层有的进行了进一步分层, 有的直接当作一层,只是划分为更多的模块。这样的设计存在如下3点不合理的地方:
[0007] 层次划分方面:显然,这样的设计是受物联网网络拓扑结构的影响,把近程通信和 远程通信看着是两个独立的层次,核心层为协议解析、管理控制等模块。这样的架构思路, 没有从应用的角度出发,导致应用扩展时,对中间层模块的修改难以实施。在软件架构设计 时,应该摒弃对网络拓扑的考虑,专注于软件层次的合理划分。
[0008] 模块间的调用方面:从图2可以看出,核心处理层既调用了感知层提供的服务,又 调用了广域接入层的服务。根据软件分层设计思想:上一层的模块只能调用其下一层提供 的服务和同一层的模块。根据这一思想,从软件角度出发,感知接入层和广域接入层属同一 层。另外,当核心处理层不进行进一步的分层,由于模块较多,该层的调用关系将过于复杂。
[0009] 模块粗细粒度方面:对于每一种通信方式,划分为一个模块比较合理。但对于核心 处理层,诸如管理控制模块、应用服务模块,这样的划分粒度过大。或许是由于物联网的应 用太广泛,当研宄软件架构时,不太好把这些模块细化。但当具体某一物联网应用时,此类 模块必须进一步细化。
[0010] 总之,目前物联网网关存在的问题是可扩张性差,层次划分混乱,不易利于软件代 码的实现。
[0011] 另外,互联网设计者最初没有考虑到网络安全问题,导致互联网发生成千上万次 安全事故;物联网是在互联网的基础上拓展延伸而来的,安全威胁比互联网更加错综复杂。 虽然物联网技术尚不成熟,但安全威胁的防范必须深入探讨研宄。
[0012] 根据物联网层次架构,可以把物联网的安全威胁分解为传感层威胁、传输层威胁、 应用层威胁。各层既存在相同的安全威胁,也有各自不同的地方。传感层的组网方式是多 种多样的,不同的组网方式有各种不同的安全隐患,如RFID系统有如下三类安全隐患:1) 对于可以多次写入或可重编程的RDID电子标签(如支持ISO标准的RFID),任何能够接触 RFID阅读器的用户或者非法分子自建的一个阅读器可以与RFID电子标签进行通信,读取、 篡改甚至删除电子标签的内容非常容易;对于只允许一次写入的电子标签,不存在篡改删 除电子标签的内容,但仍然可以读取电子标签的内容。2)对于缺乏身份认证的RFID系统, 非法者可以伪造电子标签与阅读器进行通信,进而与后台服务系统通信,造成诸多的不安 全因素。3)由于读取电子标签的阅读器不对标签拥有者做出任何提示,对于移动RFID电子 标签,标签的所有者很容易暴露自己的彳丁踪而自己晕不所知。在物联网中存在多种异构网 络,这就要求传输能够高效的将不同架构的网络互联起来,这将导致传输层面临跨网络认 证问题,将可能受到拒绝服务(DoS)攻击、中间人攻击、异步攻击、合谋攻击等;从某种意义 上讲,任何一个非法者只要能接入任何一个连入物联网的网络,都可能对整个物联网造成 威慑 [15]。应用层拥有海量来自大量终端的数据,首先可能存在的隐患是遭到拒绝服务,来 自各种异质网络的虚假请求、伪造数据使应用层处理能力下降甚至瘫痪 [12];其次,应用层 中人工介入的成分比传感层、传输层多,可能存在故意破坏数据等不良行为,更有可能的是 因为操作不当引起的数据信息丢失等;可以这样说,窃取、破坏应用层数据比在传输层、网 络层容易得多,一个不是十分专业的计算机人员就能做到。


【发明内容】

[0013] 本发明的目的在于解决上述现有技术中存在的难题,提供一种物联网数据采集网 关及数据加密方法,可扩张性好、层次划分清楚且利于软件代码的实现,并实现高效加密。
[0014] 本发明是通过以下技术方案实现的:
[0015] -种物联网数据采集网关,从下至上依次包括通信硬件抽象层、应用层通信协议 层、协议适配层、协议转换控制层和人机接口;
[0016] 所述通信硬件抽象层:将各种通信方式抽象为通信模块;
[0017] 所述应用层通信协议层:对通信硬件抽象层的数据按照其对应的应用层通信协议 进行封装,把封装好的数据包提交给协议适配层进行解析;
[0018] 所述协议适配层:把应用层通信协议层提供的数据包,按照协议树进行识别解析 后,然后提交给协议转换控制层的协议转换模块;
[0019] 所述协议转换控制层:对协议适配层、应用层通信协议层进行控制,并向人机接口 层提供调用服务;
[0020] 人机接口:直接使用协议转换控制层提供的服务,对物联网数据采集网关进行可 视管理。
[0021] 所述通信硬件抽象层包括近程通信模块和远程通信模块;
[0022] 近程通信模块包括各种近程通信方式的抽象;
[0023] 所述远程通信模块包括各种远程通信方式的抽象。
[0024] 所述应用层通信协议层包括DLT645、CJT188、Modbus、FTP和HTTP。
[0025] 所述协议适配层包括协议转换模块和协议解析模块;
[0026] 所述协议转换模块对各种应用协议数据包进行转换后递交给协议解析模块;
[0027] 所述协议解析模块对数据包进行解析。
[0028] 所述协议转换控制层包括远程管理模块、控制模块、存储模块和安全模块;根据需 求,能够增添、删除模块。
[0029] 所述远程管理模块接收人机接口发送来的管理节点的命令;
[0030] 所述控制模块直接管理所述通信硬件抽象层、应用层通信协议层、协议适配层;
[0031] 所述存储模块将对数据包进行解包后的有效数据进行本地存储;
[0032] 所述安全模块把协议转换后的数据包进行加解密处理、建立安全通信连接以及协 商口令。
[0033] 所述远程管理模块和控制模块是以服务器方式运行。
[0034] 所述存储模块上的数据库采用轻量级嵌入式数据库sqlite3。
[0035] 所述安全模块采用的数据加密方法为将KLEIN算法中的移位操作设计为移动随 机位:r,16 < r < 63。
[0036] 所述加密方法中,第一个加解密随机数在密钥协商阶段产生,以后加解密的随机 数是上次加密产生的密文的第8个字节映射为一个16至63之间的数。
[0037] 与现有技术相比,本发明的有益效果是:本发明的物联网数据采集网关可扩张性 好、层次划分清楚且利于软件代码的实现,能够较好地适应需求的变更,数据加密方法保证 了物联网涉避免受到安全威胁,同时实现了加密的高效性。

【专利附图】

【附图说明】
[0038] 图1网关在物联网中的示意图
[0039] 图2现有物联网网关的架构图 [0040] 图3本发明数据采集网关的架构图
[0041] 图4本发明网关下三层模块调用关系图
[0042] 图5本发明网格上四层模块调用关系图
[0043] 图6-1是本发明加密算法中的轮加密改进示意图
[0044] 图6-2是本发明加密算法中的轮密钥扩展改进示意图。

【具体实施方式】
[0045] 下面结合附图对本发明作进一步详细描述:
[0046] 数据网关以能耗数据采集为案例,根据国务院《民用建筑节能条例》,住建部《民用 建筑能耗和节能信息统计报表制度》《关于加强国家机关办公建筑和大型公共建筑节能管 理工作的实施意见》《国家机关办公建筑和大型公共建筑节能监管体系建设实施方案》《国 家机关办公建筑及大型公共建筑分项能耗数据采集技术导则》《国家机关办公建筑及大型 公共建筑数据中心建设与维护技术导则》《国家机关办公建筑及大型公共建筑分项能耗数 据传输技术导则》《国家机关办公建筑和大型公共建筑能耗监测系统软件开发指导说明书》 《可再生能源建筑应用示范项目数据监测系统技术导则》(试行)《高等学校节约型校园建 设管理与技术导则》(试行)《高等学校校园建筑节能监管系统建设技术导则》《高等学校校 园建筑节能监管系统运行管理技术导则》《高等学校校园建筑能耗统计审计公示办法》《高 等学校校园设施节能运行管理办法》《高等学校节约型校园指标体系及考核评价办法》等相 关文件,必须满足以下基本要求:
[0047] (1)智能数据网关能够采集不同类型计量仪表的数据,包含电度表(如单相电度 表、三相电度表以及多功能电度表)、水表、燃气表以及冷热量表等。这也是物联网网关采集 多种类型数据的表现。
[0048] (2)计量仪表和智能数据网关之间的通信协议应符合国家有关部门的规定和行业 标准。对于电度表,最好参考国标DL/T 645-1997《多功能电表通信规约》设计通信方式; 对于水表、燃气表以及冷热量表,最好按照国标CJ/T 188-2004《用户计量仪表数据传输技 术条件》进行通信方式设计。这样有利于使用不同厂商提供的智能计量仪表。
[0049] (3)数据网关能够尽可能多地对能耗表数据进行采集,至少能够采集32台计量仪 表的数据。
[0050] (4)数据中心接收网关采集的数据应该有实时查询和定时推送两种模式,且定时 周期可以进行灵活配置。
[0051] (5)为防止数据中心的数据丢失或遭到破坏,智能数据网关能够对采集的数据进 行本地存储,至少应能保存2周的数据。另外,对于因为网关与数据中心网络故障发生的丢 失的数据,本地保存的数据必须在网络故障恢复后重传至数据中心。
[0052] (6)保障数据中心与智能网关通信机密性的方式要求通过对称加密算法进行点对 点的加密,密钥管理由数据中心进行统一分发管理与回收处理。
[0053] (7)智能数据网关能够向多个数据中心推送数据,多个管理平台也能够同时查询 网关采集的实时数据。
[0054] (8)为便于现场安装与维护人员的工作,智能数据网关应具备本地配置和管理的 功能,同时,数据管理平台在管理中心也能够进行远程配置与管理。数据网关能够诊断传感 器节点的网络故障并向数据中心上报,同时对与网关自身的故障信息,也要求网向数据管 理中心上报。这体现了物联网智能数据网关可管理性的特点。
[0055] 物联网网关不仅能采集建筑能耗数据,在增加硬件模块和相应的软件模块时,还 能够采集物联网其他应用领域的数据。物联网分为感知层、传输层、应用层的三层结构,网 关,作为连接感知层和传输层的桥梁,扮演着重要的角色。虽然物联网网关因应用领域的不 同有不同的需求,但应由以下三点共同特征:
[0056] (1)多种通信接口 :智能传感设备通过不同通信技术(Zigbee、Bluetooth、RS485、 〇八^8118、11?1)连接至网关,网关也有多种连接方式(?51队26/36、1^^、1^队051等)至互 联网。网关拥有那些通信接口取决于应用需求、操作策略和实现方案等因素。
[0057] (2)协议转换:传感层网络的通信协议往往与应用层通信协议不同,这就需要网 关把传感层网络协议与应用层协议进行相互转换,这是网关最基本的功能需求。
[0058] (3)可管理性:一方面网关需要通过后台服务实现自我管理(认证、状态、移动 等);一方面网关需要实现智能传感设备的管理(认证、控制、诊断、维护等)。
[0059] 网关在物联网架构中起着数据上传和命令下达的作用。传感器网采集的数据通过 近程通信方式(如Zigbee、Z-wave、RFID、Blue_tooth、RS485)汇聚到数据网关,网关解析、 压缩数据后,通过远程通信方式(如CDMA2000、WIFI、ADSL、Ethernet)上传到数据中心。物 联网应用平台通过远程通信方式把命令下发到数据网关,数据网关解析命令,通过近程通 信方式,转发至传感网。
[0060] 本发明的数据采集网关的架构如图3所示,包括:
[0061] 通信硬件抽象层:不管是近程通信还是远程通信,都有多种通信方式;不同的通 信方式的通信协议是不同的,对应于一个抽象的通信模块。
[0062] 应用层通信协议层:与互联网应用一样,不同的应用领域应用层的通信协议一般 不同;物联网应用比互联网更加广泛,应用协议更加多,网关采集一个应用领域的数据,就 得实现这个领域的应用通信协议。该层主要是对硬件抽象层的数据按照某一应用层通信协 议进行封包,把封装好的数据包提交给协议适配层进行解析。同理,协议转换控制层也要对 该层进行管理。
[0063] 协议适配层:近程通信应用层数据包一般较小,数据网关一般要把远程通信的应 用层协议解析为近程通信协议。该层只有协议解析这一功能模块,它把应用层通信协议提 供的数据包,按照协议树进行识别解析后,提交给协议转换控制层的协议转换模块。
[0064] 协议转换控制层:该层相当于已有文献中的核心处理层,包括多个模块。根据需 求,可以增添删除相应模块。如需管理远程传感器节点,就得增加远程管理控制模块;如需 本地存储数据,得增加存储模块;如需考虑安全因素;得增加安全模块。各个模块的完善程 度,取决于应用要求。其中协议转换模块,可以说是网关的最基本的功能。具体使用时,远 程控制模块接受人机界面发送来的管理节点的命令(休眠、唤醒、重启、口令修改),通过协 议转换模块,再传递给协议解析模块。控制模块可以直接控制管理其下的3个层次。协议 转换模块要对各种应用协议数据包进行适当的转换后递交给协议解析模块。存储模块把数 据包进行解包后的有效数据进行本地存储。安全模块负责把协议转换后的数据包进行加解 密处理,安全通信连接的建立,口令协商等工作。网关协议转换控制层中的远程管理模块、 控制模块是以服务器方式运行的。
[0065] 人机接口:为了便于网关的管理,提供一个简单美观的人机接口是必要的,最佳的 方式是通过web方式管理。该层直接使用协议转换控制层提供的各种服务,对网关进行可 视管理。
[0066] 按照三层架构的观点来看本网关软件架构,可以把人机接口层看做是表示层 (UIL),把协议转换控制层看作业务逻辑层(BLL),把最下面的3层看做是数据访问层 (DAL),只是其数据来源于通信设备,而非数据库。
[0067] 通信硬件抽象层,实际上就是各个硬件设备的驱动文件。在Linux操作系统中,1/ 0设备也当作文件方式进行访问,应用层通信协议对I/O设备的访问,就相当于对普通文件 的访问。一般情况下,不同的应用层通信协议,会读取不同I/O设备,如DLT645、CJT188协 议对应于近程通信设备,FTP、HTTP协议对应于远程通信设备,而Modbus协议即可采用远程 通信方式,也可以采用近程通信方式。其次,协议转换控制层的控制模块还需对设备进行管 理,如添加删除测试设备等操作。其模块间的关系如图4、图5所示。
[0068] 网关在物联网架构中起着数据上传和命令下达的作用。传感器网采集的数据通过 近程通信方式(如Zigbee、Z-wave、RFID、Blue_tooth、RS485)汇聚到数据网关,网关解析、 压缩数据后,通过远程通信方式(如CDMA2000、WIFI、ADSL、Ethernet)上传到数据中心。物 联网应用平台通过远程通信方式把命令下发到数据网关,数据网关解析命令,通过近程通 信方式,转发至传感网。
[0069] 具体实施时,本发明以SBC6020嵌入式单板机为硬件平台,把板上5路RS232接口 转换成RS485接口以实现更多能耗表设备数据的采集;在Mini PCI接口上增加相应的模块 可以实现无线方式采集传感器网的数据。利用板上CF卡插槽实现数据的本地存储。数据的 远程传输可以通过以太网接口,也可以通过Mini PCI接口增加相应的无线通信模块实现。
[0070] 具体来说,本发明网关采用的是基于爱特梅尔(Atmel)公司AT91SAM9G20工业级 处理器的嵌入式单板计算机SBC6020 :CPU内核是ARM 926EJ-S,工作频率约为400MHz ;拥 有7路串口,其中6路是RS232,1路是RS485,拥有1路现场工业总线接口 CAN-Bus2. 0 ;具 备2个以太网接口,其中一个网卡在AT91SAM9G20芯片上,另一个是单板机上;具有3路USB 接口,其中1路是USB从设备接口,2路是USB主设备接口;AT91SAM9G20芯片上有4路模/ 数转换控制器;其上还有1路CF卡插槽。SBC6020单板机采用了最可靠健壮的工业物理结 构,多种工业总线控制接口,可以在-l〇°C?70°C温度环境下稳定工作,可以满足各种条件 苛刻的工业应用环境,完全符合工业应用要求,其硬件配置如表1所示:
[0071]

【权利要求】
1. 一种物联网数据采集网关,其特征在于;所述物联网数据采集网关从下至上依次包 括通信硬件抽象层、应用层通信协议层、协议适配层、协议转换控制层和人机接口; 所述通信硬件抽象层;将各种通信方式抽象为通信模块; 所述应用层通信协议层;对通信硬件抽象层的数据按照其对应的应用层通信协议进行 封装,把封装好的数据包提交给协议适配层进行解析; 所述协议适配层;把应用层通信协议层提供的数据包,按照协议树进行识别解析后,然 后提交给协议转换控制层的协议转换模块; 所述协议转换控制层;对协议适配层、应用层通信协议层进行控制,并向人机接口层提 供调用服务; 人机接口;直接使用协议转换控制层提供的服务,对物联网数据采集网关进行可视管 理。
2. 根据权利要求1所述的物联网数据采集网关,其特征在于:所述通信硬件抽象层包 括近程通信模块和远程通信模块; 近程通信模块包括各种近程通信方式的抽象; 所述远程通信模块包括各种远程通信方式的抽象。
3. 根据权利要求2所述的物联网数据采集网关,其特征在于:所述应用层通信协议层 包括 DLT645、CJT188、Modbus、FTP 和 HTTP。
4. 根据权利要求3所述的物联网数据采集网关,其特征在于:所述协议适配层包括协 议转换模块和协议解析模块; 所述协议转换模块对各种应用协议数据包进行转换后递交给协议解析模块; 所述协议解析模块对数据包进行解析。
5. 根据权利要求4所述的物联网数据采集网关,其特征在于:所述协议转换控制层包 括远程管理模块、控制模块、存储模块和安全模块;根据需求,能够增添、删除模块; 所述远程管理模块接收人机接口发送来的管理节点的命令; 所述控制模块直接管理所述通信硬件抽象层、应用层通信协议层、协议适配层; 所述存储模块将对数据包进行解包后的有效数据进行本地存储; 所述安全模块把协议转换后的数据包进行加解密处理、建立安全通信连接W及协商口 令。
6. 根据权利要求5所述的物联网数据采集网关,其特征在于:所述远程管理模块和控 制模块是W服务器方式运行。
7. 根据权利要求6所述的物联网数据采集网关,其特征在于:所述存储模块上的数据 库采用轻量级嵌入式数据库sqlite3。
8. 权利要求1至7任一所述物联网数据采集网关采用的加密方法,其特征在于:所述 方法为将KLEIN算法中的移位操作设计为移动随机位r,16《r《63。
9. 根据权利要求8所述的加密方法,其特征在于:所述加密方法中,第一个加解密随机 数在密钥协商阶段产生,W后加解密的随机数是上次加密产生的密文的第8个字节映射为 一个16至63之间的数。
【文档编号】H04L12/66GK104468609SQ201410816850
【公开日】2015年3月25日 申请日期:2014年12月23日 优先权日:2014年12月23日
【发明者】张桂玲, 司云修, 柯永振, 王占刚, 万振凯, 贾林 申请人:天津市初志科技有限公司, 天津工业大学
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1