今日頭條
官方微信
官方抖音
案例頻道北京軟通智慧科技有限公司楊旭青
1 項目目標和概述
1.1 面臨的挑戰
物聯網作為連接數字基礎設施與云計算平臺的關鍵樞紐,在現代信息化社會中發揮著重要作用。而物聯網邊緣網關作為實現萬物互聯的前提條件,在產業數字化中尤為重要。然而,隨著技術的快速發展和應用的廣泛深入,暴露出諸多挑戰和問題,具體如下:
挑戰1:設備兼容性
物聯網邊緣數采網關面臨的首要挑戰是設備兼容性。由于物聯網設備的多樣性和不同廠商的技術標準差異,網關需要支持多種接口和協議,這增加了集成的復雜性和成本。為了確保與不同設備的無縫對接,網關制造商需投入大量資源進行兼容性測試和優化。此外,隨著新設備的不斷涌現,網關還需具備快速適應新設備的能力,以保持系統的靈活性和可擴展性。因此,設備兼容性是物聯網邊緣數采網關設計和部署中不可忽視的關鍵問題。
挑戰2:軟硬件協同難
軟件更新和遠程管理是物聯網邊緣數采網關面臨的另一大挑戰。隨著技術的不斷發展,網關軟件需要不斷更新以修復漏洞、增加新功能并提升性能。然而,由于網關通常部署在遠程場所,如何高效地進行軟件更新和遠程管理成為了一個難題。為了解決這一問題,需要建立可靠的遠程更新機制,并確保更新過程中的數據安全和系統穩定性。同時,還需提供易于使用的遠程管理工具,以降低運維成本和提高管理效率。
挑戰3:數據安全難保障
數據安全是物聯網邊緣數采網關的核心關注點。邊緣網關處理的數據往往包含敏感信息,如用戶隱私、設備狀態等,因此必須采取嚴格的安全措施來保護數據的安全和隱私。這包括加密傳輸、訪問控制、數據脫敏等技術手段。此外,還需建立完善的安全審計和監控機制,及時發現并應對潛在的安全威脅。在保障數據安全的同時,還需平衡性能與安全性之間的關系,確保系統的穩定運行。
挑戰4:規模化部署難
規模化部署是物聯網邊緣數采網關面臨的又一重要挑戰。隨著物聯網應用的廣泛深入,邊緣網關的數量和分布范圍都在不斷增加。為了實現高效的管理和維護,需要建立統一的管理平臺和自動化的運維流程。同時,還需考慮網關間的協同和通信協議統一問題,以確保數據的無縫傳輸和系統的整體性能。在規模化部署過程中,還需注重成本控制和資源優化,以實現經濟效益的最大化。
1.2 主要目標&項目概述
憑借公司在物聯網領域多年的深耕和積累,自主研發可信數據采集模組,實現物模型定義、設備雙向認證、數據加密傳輸、高度開放易集成;通過將可信數采模組嵌入鴻蒙行業發行版,實現數據采集源頭可信。通過豐富的協議兼容能力,破除協議堡壘;標準化組件,輕量化易部署;基于鴻蒙特性實現軟件更新和遠程管控,實現多端協同和跨端操作,為邊緣計算提供安全可信的數據支撐,為城市管理提供全信創的物聯管理解決方案。
1.3 核心能力
豐富的接入能力——屏蔽協議差異性
通過軟總線技術實現設備與鴻蒙可信邊緣網關之間的快速穩定通信,構建協議轉換層、支持多協議兼容和統一管理,簡化了異構網絡中設備的接入,為終端協同與統一管理提供支持。
設備安全認證——量子密鑰分發與數據安全
通過支持量子密鑰分發,利用量子力學的特性實現通信雙方之間安全地共享加密密鑰,不僅提高了通信的安全性,還克服了傳統量子密鑰分發系統易受側信道攻擊的隱患,通過無需主動調制的系統和無線分發技術,進一步增強了密鑰分發的安全性和實用性。
可信數據采集——基于鴻蒙操作系統實現源頭可信
通過將可信數采模組嵌入鴻蒙OS,從系統底層確保邊緣網關及其連接的設備處于受保護的狀態,為智能設備和物聯網提供更高效、更安全。融合數據隱私計算技術,保護數據在處理和分析過程中的隱私。通過綜合運用多方安全計算、聯邦學習、同態加密、差分隱私等多種隱私計算技術,實現了在不暴露敏感信息的前提下進行數據的計算和共享。
多端協同——鴻蒙OS與邊緣計算的融合應用
借助近場通訊和“一碰即連”等先進技術,鴻蒙系統成功地將傳統啞設備數字化,實現了從無屏到有屏的華麗轉變。同時,憑借其鴻蒙軟總線技術和分布式特性,開發者只需進行一次開發,便能輕松實現多端部署,極大地提升了應用開發的效率和便捷性。
1.4 創新亮點
(1)基于無需主動調制的量子密鑰分發系統實現設備安全認證
這一創新設計克服了傳統量子密鑰分發系統易受側信道攻擊的隱患,通過全被動時間戳-相位編碼解決信道環境干擾的難題,同時優化了數據吞吐量,實現了高現實安全的量子密鑰分發。
(2)基于可信數采模組與鴻蒙OS的融合,從源頭實現數據安全可信;
將可信數采模組與鴻蒙OS的嵌入融合,多方安全計算、同態加密、差分隱私等多種隱私計算技術綜合運用,相互補充,從源頭確保數據安全可信。
(3)鴻蒙軟總線技術與邊緣計算的深度整合
利用鴻蒙軟總線技術實現設備與邊緣網關之間的快速穩定通信,即使在復雜網絡環境下也能保證低延遲和高可靠性。同時,通過邊緣網關的多協議兼容、統一管理和即時數據分析模型等功能,為智能設備和物聯網提供更高效、更安全、更靈活的服務,展示了鴻蒙操作系統與邊緣計算結合應用的強大協同效應。
2 案例介紹
2.1 系統架構
IoT邊緣網關,是邊緣計算在物聯網行業的應用。IoT邊緣網關作為物聯網邊緣“小腦”,在靠近物或數據源頭的邊緣側,融合網絡、計算、存儲、應用核心能力的開放平臺,就近提供計算和智能服務,滿足行業在實時業務、應用智能、安全與隱私保護等方面的基本需求。終端設備接入邊緣一體機后,邊緣一體機可以實現終端設備數據的采集、流轉、存儲、分析和上報設備數據至云端,同時邊緣一體機也提供容器服務、邊緣函數計算,方便場景編排和業務擴展。邊緣端架構是運行于邊緣一體機中的軟件框架,支持容器運行時和二進制運行時。功能模塊可按需拼裝,適用于各種不同規格的硬件產品量產預裝。邊緣端架構是運行于邊緣一體機中的軟件框架,支持容器運行時和二進制運行時。功能模塊可按需拼裝,適用于各種不同規格的硬件產品量產預裝。
云計算技術日趨成熟,企業對低延時、海量數據、隱私安全、本地自治有更高的要求,未來的趨勢是物聯網企業下云,計算和分析會下沉到哪里?答案是:邊緣。在物聯網云平臺和現場設備之間一直存在著巨大的“斷層”。相對云計算而言,邊緣計算的行為發生在靠近數據生成的本地設備和網絡中。邊緣計算采用新的網絡、新的方法、新的設備和新的架構,打通萬物互聯的“最后一公里”,并創造可持續的商業模式。
IoT邊緣網關分為云、邊兩層架構,邊側部署軟件到硬件上,基于操作系統,提供各種應用的運行框架;云側提供遠程的統一資源管理、應用管理等服務。包含云服務、邊緣運行時軟件、邊緣模塊應用,利用云服務將云端能力快速拓展至邊緣,提供系統適配、云邊協同、通信代理等運行時軟件,部署數據采集、邊緣計算、數據清洗等模塊應用,在園區、城市、工業等場景,作為數據源切入點,解決客戶對設備上云、本地計算、數據預處理等訴求。IoT邊緣網關支持園區/城市/交通/工業等行業設備數采,作為切入點給IoT平臺引流;支持邊緣智能計算,快速實現生態拓展,豐富行業解決方案;提供SDK、API、點位配置等,滿足客戶的二次開發訴求。
邊緣網關架構圖如圖1所示。
圖1 邊緣網關架構圖
2.2 硬件平臺
邊緣服務不依賴特定的或受認證的硬件設備,但對設備的基本性能具有規格限制,其硬件規格和運行環境要求如表1、表2所示。
表1
表2
2.3 軟件平臺
IoT邊緣網關作為物聯網邊緣計算平臺,串聯起了端邊云的協同框架。軟通智慧IoT平臺分為云端、邊緣節點、設備端。
云端:IoT云端分為公有云和私有云,功能類似,區別在于部署在公有云環境和私有云環境,部署云端之后,用戶可以享用物聯網平臺提供的能力。通過云邊協同通道下發配置,執行應用遠程部署升級,數據路由轉發上云等能力。
邊緣網關:IoT邊緣網關提供一組軟件,可以從云端下發部署在網關或服務器上,納管其硬件作為邊緣節點,在邊緣節點上可以實現設備數據的采集、預處理、數據流轉、路由轉發,同時邊緣側提供應用托管、邊緣計算等功能,方便業務本地自治、業務擴展。如何快速將硬件變成邊緣節點,可以參考如何將一臺機器注冊成邊緣節點。如何將應用下發部署到指定的邊緣節點上執行。
邊緣網關特點:
·原生協議接入:支持MQTT/CoAP/LwM2M/HTTPS協議接入。·泛協議接入:提供開源SDK和技術框架,需用戶自行部署云網關完成TCP協議轉換,或部署協議驅動到邊緣網關。
·行業協議接入:支持通過邊緣網關接入通訊協議包括:HTTP、Modbus-RTU、SNMP、TCP、BACnet、Modbus、OPCUA、Modbus-TCP等,可通過行業協議驅動方式支持行業協議接入。
·設備接入鑒權:支持一機一密,一型一密等鑒權方式。
設備端:靠近客戶現場,能夠執行生產任務的加工設備,能夠監控環境信息的傳感設備,能夠計量水電煤的儀器儀表等,只要能夠通過蜂窩網、以太網連接,都可以稱之為設備。其次,不具備通訊模組無法直接聯網的“啞設備”,是依賴現場部署的硬件作為邊緣節點,進行主動的數據采集。最后,通過邊緣節點的數據采集能力,就近接入設備,提取有用的數據信息,從而實現設備的管理、智能控制、數據治理。
部署形態:邊緣網關倡導“軟硬件解耦”的原則,不依賴具體硬件型號,提供兼容性強的軟件,通過屏蔽底層硬件差異,提供不同規格的版本來實現不同部署形態,滿足例如輕量級的工業網關、AI智能網關、資源高的服務器、虛擬機等硬件資源的部署。軟硬件解耦,邊緣軟件不依賴硬件類型部署;支持X86/ARM架構,支持網關、虛機、服務器部署。目前已支持LinuxOS、CentOS、Ubuntu、Debian、OpenEuler、銀河麒麟等主流操作系統的部署納管。
2.4 數據通訊流程
數據采集:物聯網設備,如傳感器、執行器等,會實時采集各種數據,如溫度、濕度、壓力、位置信息等。這些數據通過物聯網邊緣軟網關進行接收和初步處理。
數據處理:邊緣軟網關會對接收到的數據進行預處理,包括數據清洗、格式轉換、數據壓縮等,以降低數據傳輸的壓力和提高整體的數據處理速度。通過內置的算法或模型,邊緣軟網關還可以對數據進行初步的分析和判斷,提取出有價值的信息或進行預警。
數據傳輸:處理后的數據會通過物聯網邊緣軟網關傳輸到云端或其他指定的數據中心進行進一步的存儲和分析。傳輸過程中,邊緣軟網關會確保數據的完整性、安全性和實時性。
數據通訊協議:物聯網邊緣軟網關和設備之間的數據通訊需要遵循一定的通訊協議,以確保數據的正確傳輸和解析。常見的通訊協議包括MQTT(Message Queuing Telemetry Transport)、CoAP(Constrained Application Protocol)等,這些協議具有輕量級、低功耗、高可靠性等特點,適用于物聯網場景下的數據傳輸。
2.5 安全措施
可信雙向認證:雙向認證,也稱為相互認證或雙向身份驗證,是指通信雙方(在此為物聯網邊緣網關和設備)在建立連接之前,都需要驗證對方的身份。這種認證方式可以有效防止惡意設備或攻擊者偽裝成合法設備接入網絡,從而保障物聯網系統的安全性。
當物聯網設備需要接入物聯網系統時,它首先會向邊緣網關發起一個認證請求。這個請求中通常會包含設備的身份信息,如設備ID、序列號、密鑰等。邊緣網關收到設備的認證請求后,會首先驗證設備的身份信息。這通常涉及到將設備的身份信息與存儲在邊緣網關或云端的數據庫中的信息進行比對,如果設備身份信息驗證成功,邊緣網關會向設備發送一個確認消息,表示設備身份合法。在設備收到邊緣網關的確認消息后,它也需要驗證邊緣網關的身份。這通常是通過驗證邊緣網關提供的證書或密鑰來實現的。如果設備成功驗證了邊緣網關的身份,它會向邊緣網關發送一個確認消息,表示邊緣網關身份合法。
可信連接通道:當設備和邊緣網關都成功驗證了對方的身份后,它們之間就可以建立一個安全的通信連接,例如TLS。這個連接通常會使用加密技術來保護數據的傳輸,以防止數據在傳輸過程中被竊聽或篡改。雙向認證可以確保只有合法的設備和邊緣網關才能建立通信連接,從而有效防止惡意設備或攻擊者接入網絡。通過雙向認證,設備和邊緣網關之間可以建立更強的信任關系,這有助于確保數據的完整性和真實性。
可信傳輸加密:IoT邊緣網關與設備之間的可信傳輸加密是確保物聯網系統數據安全的核心環節。這種加密機制涵蓋了上行(設備向邊緣網關發送數據)和下行(邊緣網關向設備發送指令或數據)兩個方向的數據傳輸,采用了包括國標算法和國密算法在內的多種加密算法,如AES-256和SM3,以確保數據的機密性、完整性和真實性。
在上行數據傳輸中,物聯網設備使用AES-256等對稱加密算法對敏感數據進行加密。AES-256以其強大的加密強度和廣泛的兼容性,成為保護數據傳輸安全的首選算法。設備在發送數據前,會使用預共享的密鑰對數據進行加密,確保數據在傳輸過程中不被竊聽或篡改。邊緣網關在接收到加密數據后,使用相同的密鑰進行解密,以恢復原始數據。
同時,在上行數據傳輸中,還可以使用SM3等雜湊算法生成數據的哈希值。這個哈希值可以作為數據的數字指紋,用于驗證數據在傳輸過程中是否被篡改。設備在發送數據的同時,將數據的哈希值一并發送給邊緣網關。邊緣網關在接收到數據和哈希值后,使用相同的算法重新計算數據的哈希值,并與接收到的哈希值進行比對。如果兩者一致,則說明數據在傳輸過程中未被篡改。
在下行數據傳輸中,邊緣網關向物聯網設備發送指令或數據時,同樣需要采用加密機制來保護數據的機密性。這可以通過使用AES-256等對稱加密算法對指令或數據進行加密來實現。設備在接收到加密數據后,使用預共享的密鑰進行解密,以獲取指令或原始數據。
3 代表性及推廣價值
(1)高效數據處理與實時響應
邊緣網關能在本地進行數據預處理,減少傳輸至云端的數據量,降低帶寬成本,同時實現快速本地決策和實時響應,尤其適用于時延敏感的應用場景,提升整體系統效率。
(2)協議轉換與互操作性增強
網關支持多種工業協議轉換,提供統一接口,簡化邊緣物聯接入復雜度,促進不同系統和設備間的互操作性,實現設備多樣性與通信協議的無縫對接。
(3)強化安全與隱私保護
通過在數據源附近處理信息,邊緣網關有效降低數據暴露風險,實施細粒度安全策略,確保數據安全傳輸與存儲,增強整體系統的安全性與隱私保護能力。
(4)成本節約與效率提升
減少對中心云資源的依賴,降低網絡帶寬需求和云計算成本,同時優化資源配置,提升業務流程效率,加速智能化應用的部署與實施,實現成本效益最大化。
(5)推動智能化轉型與靈活擴展
邊緣網關為大型場站提供智能化技術支持,實現無人化或少人化運營,減輕巡檢壓力,提升管理水平。同時,設計靈活,易于根據應用場景定制功能和服務,快速適應技術趨勢與市場需求變化。
摘自《自動化博覽》2025年2月刊
北京市公安局海淀分局備案號:11010802023656號