技术领域
[0001] 本
发明涉及物联网技术领域,尤其涉及一种林业物联网系统。
背景技术
[0002] 物联网是通过
射频识别、红外
传感器、全球
定位系统(GPS)等信息传感设备,按照约定的协议把检测到的信息进行交换和通信,以实现智能化的识别、监控、定位和管理等功能。目前物联网在林业中的应用还处于初级阶段,主要用于森林火灾监测、森林病虫害监测、木材远程管理等方面。
[0003] 现有的与林业相关的物联网技术方案为:设置在森林中的传感器将检测到的数据实时地或定期地传输至林业部
门的
服务器,监控人员通过后台管理客户端查看分析相关数据,从而实现森林病虫害监测、森林火灾监测等功能。对于数据量比较大的林业部门,采用
云计算中心集中处理传感器上传的海量数据。
[0004] 然而现有的林业物联网技术方案存在以下不足:
[0005] 1、由于森林的
覆盖面积广,由于林业系统对于森林病虫害防护、森林火灾防护和木材远程管理等领域的管理需求,与林业相关的物联网设备的数量以及需要处理的数据量都快速增长,如果把这些数据直接上传到云端或者林业部门的后台管理服务器,这就要求云端提供大量的存储空间,并且很容易出现网络阻塞的情况。
[0006] 2、根据林业物联网服务的类型不同,现有的林业物联网设备具有数量多、类型多的特点。然而现有的物联网设备存在许多严重的安全问题和技术问题,使其成为了整个林业物联网系统的安全隐患。例如,物联网设备未部署在林业物联网
数据中心的环境中,因此保护数据中心的传统安全服务无法保护物联网设备。此外,现有的物联网设备中的大多数都采用弱
访问机制,因此这些物联网设备存在安全
缺陷和漏洞。
发明内容
[0007] 针对
现有技术之不足,本发明提供了一种林业物联网系统,其包括后台管理客户端、后台管理服务器、边缘计算设备和多个物联网设备,边缘计算设备设置于后台管理服务器和物联网设备之间,所述边缘计算设备用于管理与各个林业物联网服务相关联的各个类别的物联网设备的通信以及对物联网设备采集的数据进行分析处理,所述林业物联网服务包括森林病虫害防护、森林火灾防护和木材管理;
[0008] 所述边缘计算设备包括通信模
块、认证模块、
控制器和策略执行单元,其中,所述控制器用于存储和分配安全规则,其中每个安全规则对应于一类物联网设备,所述安全规则定义了特定类别物联网设备的访问规则;
[0009] 所述认证模块通过其标签单元将维度标签按照与类别相关联的方式分配给物联网设备,使得每个维度标签对应一类物联网设备;所述维度标签具有公钥证书,并且维度标签与物联网设备以及林业物联网服务的类别相关联;
[0010] 所述认证模块还用于从物联网设备的TLS端点接收认证密钥并且判断该类别的物联网设备是否被分配了维度标签;
[0011] 所述策略执行单元用于根据安全规则管理物联网设备与林业物联网系统中其它设备的通信。
[0012] 根据一个优选实施方式,若新加入的物联网设备属于已分配维度标签的物联网设备类别,所述标签单元将已有的维度标签分配给物联网设备;
[0013] 若新加入的物联网设备不属于已分配维度标签的物联网设备类别,所述标签单元基于物联网设备的认证密钥生成新的维度标签,所述认证密钥包括MAC地址和通用唯一标识符。
[0014] 根据一个优选实施方式,所述标签单元为新的维度标签生成公钥证书,并且所述控制器为新的维度标签分配安全规则。
[0015] 根据一个优选实施方式,所述策略执行单元验证第一设备的证书,并从所述第一设备的证书中提取标识符和维度标签;所述策略执行单元检索所述第二设备的维度标签,并将所述第二设备的维度标签中的require参数与所述第一设备的维度标签进行比较;若维度标签匹配,则策略执行单元允许第一设备和第二设备之间的通信。前述第一设备和第二设备包括物联网设备、后台管理客户端和后台管理服务器。第一设备通常是指发起与物联网服务相关的通信的设备,第二设备通常是指响应于发起的物联网服务相关的设备。
[0016] 根据一个优选实施方式,与森林病虫害防护相关的维度标签包括
环境传感器、病虫害高发区的地理
位置和病虫害高发时间信息;与森林火灾防护相关的维度标签包括红外传感器、
温度传感器、烟雾报警器等;与木材远程管理相关的维度标签包括视频监控、预定采伐地理位置、预定采伐时间和车辆识别登记。
[0017] 根据一个优选实施方式,每个安全规则为访问规则,前述访问规则包括白名单。认证模块还可以包括安全规则存储单元,其用于存储安全规则。
[0018] 根据一个优选实施方式,在物联网设备和边缘计算设备之间还设置有智能物联网网关,智能物联网网关具有计算单元和
存储器,智能物联网网关采用
决策逻辑来根据数据类型和数据内容对数据流进行优先级排序,然后将高于预设优先级的数据传输至边缘计算设备。
[0019] 本发明具有以下有益效果:
[0020] 1、支持的林业物联网服务范围广、类别多,能够根据各个林业物联网服务的类别执行不同的安全规则,显著提高了林业物联网系统的安全性。
[0021] 2、采用了边缘计算技术,在林业物联网设备的网络边缘处通过边缘计算设备对物联网设备采集的数据进行初步处理,从而避免了所有物联网设备产生的数据都集中地上传至后台管理服务器所造成的带宽资源浪费,减少了带宽的占用,提高了数据分类传输的效率。
附图说明
[0022] 图1示意性示出了本发明的林业物联网系统的结构
框图。
具体实施方式
[0023] 为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0024] 如图1所示,本发明的林业物联网系统包括后台管理客户端、后台管理服务器、边缘计算设备和多个物联网设备,边缘计算设备设置于后台管理服务器和物联网设备之间。后台管理客户端包括智能手机、
平板电脑、台式电脑、
笔记本电脑等具有通信和计算功能的设备。
[0025] 边缘计算设备用于管理与各个林业物联网服务相关联的各个类别的物联网设备的通信以及对物联网设备采集的数据进行初步处理,边缘计算设备支持TLS协议。边缘计算设备可以为具有计算能
力和通信功能的设备,例如服务器、电脑等。本发明中边缘计算设备的“边缘”概念是指位于物联网设备的网络边缘侧,从而便于对物联网设备进行分类通信管理以及对物联网设备采集的数据进行处理。边缘计算设备对物联网设备采集的数据进行初步处理具体包括对物联网设备采集的数据按照林业物联网服务的需求进行分析和筛选,从而减少网络带宽的负担。
[0026] 林业物联网服务包括森林病虫害防护、森林火灾防护和木材远程管理。前述物联网设备包括具有通信功能的摄像设备、环境监测设备、温度传感器、红外传感器等,物联网设备通常分散设置在待监控管理的森林区域中。
[0027] 边缘计算设备包括通信模块、认证模块、控制器和策略执行单元。其中,控制器用于存储和分配安全规则,其中每个安全规则对应于一类物联网设备,安全规则定义了每一类别物联网设备的访问规则。
[0028] 认证模块通过其标签单元将维度标签按照与类别相关联的方式分配给物联网设备,使得每个维度标签对应一类物联网设备;维度标签具有公钥证书,并且维度标签与物联网设备以及林业物联网服务的类别相关联。
[0029] 示例性地,与森林病虫害防护相关的维度标签包括环境传感器、病虫害高发区的地理位置和病虫害高发时间信息;与森林火灾防护相关的维度标签包括红外传感器、温度传感器、烟雾报警器等;与木材远程管理相关的维度标签包括视频监控、预定采伐地理位置、预定采伐时间和车辆识别登记。
[0030] 认证模块还用于从物联网设备的TLS端点接收认证密钥并且判断该类别的物联网设备是否被分配了维度标签。策略执行单元用于管理物联网设备的安全规则,并且物联网设备通过策略执行单元进行TLS通信。
[0031] 优选地,若新加入的物联网设备属于已分配维度标签的物联网设备类别,标签单元将已有的维度标签分配给物联网设备。若新加入的物联网设备不属于已分配维度标签的物联网设备类别,标签单元基于物联网设备的认证密钥生成新的维度标签,认证密钥包括MAC地址和通用唯一标识符。相应地,标签单元为新的维度标签生成公钥证书,并且控制器为新的维度标签分配安全规则。
[0032] 优选地,策略执行单元验证第一设备的证书,并从第一设备的证书中提取标识符和维度标签;策略执行单元检索第二设备的维度标签,并将第二设备的维度标签中的require参数与第一设备的维度标签进行比较;若维度标签匹配,则策略执行单元允许第一设备和第二设备之间的通信。
[0033] 由于森林的覆盖面积广,由于林业系统对于森林病虫害防护、森林火灾防护和木材远程管理等领域的管理需求,与林业相关的物联网设备的数量以及需要处理的数据量都快速增长,如果把这些数据直接上传到云端或者林业部门的后台管理服务器,这就要求云端提供大量的存储空间,并且很容易出现网络阻塞的情况。本发明采用边缘计算技术,在林业物联网设备的网络边缘处设置边缘计算设备,不仅能够对物联网设备采集的数据进行初步处理以减少带宽需求和云端存储负担,还能够通过TLS协议并结合林业物联网服务的具体类别需求对物联网设备进行分类通信管理从而显著提高林业物联网系统的通信安全。此外,本发明能够支持对新增的林业物联网设备进行通信管理,具有良好的可拓展性。
[0034] 下面对本发明的工作原理进行详细说明:
[0035] 在边缘计算设备中,控制器可以在其策略引擎中存储多个安全规则,并且可以生成和分配安全规则。
[0036] 认证模块从每个物联网设备中的TLS端点接收认证密钥,认证模块可以确定物联网设备的类别是否已经被分配了维度标签。如果维度标签与物联网设备相关联,则认证模块将具有ID和标签的证书返回到与特定物联网设备相关联的TLS端点。
[0037] 每个策略执行单元(PEP)由控制器控制,以对每个物联网设备或服务实施安全规则。每个策略执行单元包括用于下载/实施TLS策略的TLS代理。每个物联网设备或物联网服务被配置为通过策略执行单元执行TLS通信。
[0038] 在林业物联网系统中,后台管理人员可以首先为作为林业物联网
基础架构的一部分的每个新物联网设备注册认证密钥/凭证,以便系统之后可以基于认证密钥/凭证来检测每个设备。认证模块包括标签单元,该标签单元可以根据需要生成新的维度标签或者将现有的维度标签分配给物联网设备或服务。
[0039] 系统为每个类别的物联网设备分配维度标签,标签单元还可以生成和发布公钥证书;认证模块还可以包括安全规则存储单元,其管理由策略执行单元实施的安全规则,并存储由后台管理人员发送的系统安全规则。
[0040] 当新的物联网设备被添加到林业物联网系统中时,管理员可以为新加入的物联网设备进行配置。配置的方法按照是否支持TLS协议进行分类。
[0041] 对于支持TLS的物联网设备,认证模块可以从每个物联网设备接收认证密钥,该认证密钥可以用于识别该物联网设备分配的ID和维度标签。例如,在一个
实施例中,认证密钥可以是分配给每个物联网设备的MAC地址或通用唯一标识符(UUID)。如果物联网设备不是系统中现有物联网设备类别的一部分,则认证模块可以生成具有ID和物联网设备的维度标签的证书。
[0042] 可选地,策略执行单元还可以执行过滤和监视,当识别出新的物联网设备并且为该新的物联网设备分配了一个不可保护的标签时,策略执行单元被设置用于该物联网设备。物联网设备之间的通信由TLS端点和策略执行单元基于特定物联网设备的安全规则来控制。
[0043] 对于不支持TLS的设备,可以通过物联网网关连接到边缘计算设备,物联网网关中具有网桥,物联网网关可以使用TLS端点代表具有非TLS功能的设备执行TLS通信。物联网网关和网桥可以是在具有通信连接功能的Linux机器上运行的
软件实现。
[0044] 物联网设备的注册方法具体如下:边缘计算设备的认证模块包括用于存储物联网设备的认证密钥、ID和维度标签的
数据库。后台管理员发送
请求给认证模块以请求设备注册表单,在收到注册表单后,后台管理员发送新的物联网设备的认证密钥、ID和维度标签。然后,认证模块存储关于新物联网设备的数据,并确认新物联网设备可以在系统中被认证和使用。如果新物联网设备或服务没有有效证书,新物联网设备可以通过将认证密钥和公共加密密钥发送到认证模块来启动请求证书的过程。然后认证模块检索与所接收的认证密钥相关联的ID和维度标签,并生成并返回新物联网设备或服务的证书。
[0045] 策略执行单元具有端口转发设置,在进行通信管理时,策略执行单元从证书中提取ID和维度标签,并基于安全规则判断是否允许通信。策略执行单元从策略文件中获得require参数。如果其中一个启动器标签包含在require参数中,则允许通信,反之则阻止通信。
[0046] 一个优选实施例,在物联网设备和边缘计算设备之间还设置有智能物联网网关,智能物联网网关能够自动发现附近的物联网设备,通过有线或无线通信通道连接到它们。智能物联网网关支持的通信连接方式包括蜂窝网络、Zigbee、蓝牙、WiFi和NFC。
[0047] 智能物联网网关具有足够的计算能力,存储器和存储容量以及
人工智能以分析本地数据以实现本地级别的决策。智能物联网网关具有计算单元和存储器,智能物联网网关采用的决策逻辑包括人工智能、视频分析、
规则引擎和
决策树。
[0048] 智能物联网网关不是保留所有数据并将其发送到边缘计算单元,而是采用决策逻辑来根据数据类型和数据内容对数据流进行优先级排序,并创建减少的数据流,只有
选定的或最高优先级的数据用于传输。
[0049] 例如,智能物联网网关可以分析来自物联网设备中的摄像装置采集的视频数据,以确定图像内容是否已经从时间T1改变到时间T2。智能物联网网关采用包含规则的规则引擎,如果“视频摄像机1在时间T2的图像内容等同于视频摄像机1在时间T1处的图像内容”,则对时间T1处的视频数据赋予低重要性。根据可用带宽,可以从传输中省略已被识别为低重要性的数据或降低
分辨率后再传输。类似地,可以对
传感器数据进行类似的分析。例如,低重要性数据可以替代地存储在本地。因此,从要传输到边缘计算设备的总数据减少的数据量可取决于上载数据的带宽的可用性。通过这种方式,本地智能物联网网关被用于选择性地优化数据,从而在不丢失重要信息的情况下传输数据所需的带宽更少。
[0050] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉
本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以
权利要求的保护范围为准。
