一种基于物联网的智慧园区信息安全传输系统

技术领域

本发明涉及物联网技术领域，尤其涉及基于一种基于物联网的智慧园区信息安全传输系统。

背景技术

垂直行业各自为政的传统信息化建设模式已经不能满足园区快速发展的需求，打通行业应用下面的基础资源平台，建立一个跨行业的城市数字平台，为智慧园区应用提供云、视频云、大数据、物联网(IoT)、地理信息系统(GIS)以及集成通信平台(ICP)等能力，并与AI结合通过行业使能技术，向上与应用对接，向下联接数据，让智慧园区的数字化转型触手可及。园区管理是一项系统工程，完善的体制、机制是前提，数字化技术支撑是手段。要按照现代园区综合治理的客观规律和体制、机制创新的要求，优化重组园区综合治理工作流程，并以信息化手段保障工作流程的顺畅运作。

随着社会经济的不断发展，居民物质生活水平的快速提高，对于社区的安保需求也不断扩大，例如，在社区安保中的视频、门禁、报警、停车场、楼宇对讲、通道、考勤、巡更等系统的优劣都会影响社区安保系统之间的数据共享性。然而，传统的物联网在数据处理中，和互联网上存在的许多安全问题类似，有许多环节存在安全上的隐患，物联网数据容易篡改，安全性差。

云计算技术近年来发展迅速，云服务资源数量越来越庞大、类别越来越多，需要一种方法对这些分散的、异构的云服务资源进行有效的管理。随着无人化设备的数量和种类不断增多，构成的无人设备集群化的规模也越来越庞杂，对于指挥决策者而言需要在短时间内对其做出快速部署和调度，特别是相对于指控中心距离较远的边缘设备，边缘态势瞬息万变，还没有一个较为高效稳定的方式实现前后方资源按需调配，每次指挥都可能耗费大量的时间以及人力资源，难以实现对边缘的高效精确控制。对于无人系统设备而言，各种载荷、设备平台、音视频采集终端、导航定位信息等所有信息非常庞杂，且各种平台处于高速运动状态，所有信息流的交互会出现带宽拥挤，执行任务的网络成员和拓扑、信息各节点间信息交互存在时断时续的现象，面临“弱连接、高动态”的复杂通信网络环境。

发明内容

本发明的目的在于提供一种基于物联网的智慧园区信息安全传输系统能够提供“感知节点-云端”两者之间高速率、低时延、广覆盖的数据连接和传输，并能够根据具体应用进行巡逻终端的实时调度，解决监控系统数据量低，各个监控区域的信息无法共享，无法对特殊情况及时做出响应，传输的信息数据进行病毒风险识别、文件改写判断，并进行双向认证，形成具有唯一且安全的通信频道，从多个角度保证了数据的安全性。

一种基于物联网的智慧园区信息安全传输系统，包括智能管控中心，所述智能管控中心通过通信安全保护模块无线组网互联；所述智能管控中心接收采集的信息，对上述接收到的信息作综合分析并进行协同处理，包括协同管理器、分布式传播处理层、感知节点层及应用服务层；

所述感知节点层包括多个节点，上述多个节点之间通过公共通信通道进行UDP的广播通信，每个所述节点包括若干个现有的感知设备，所述感知节点层与所述分布式传播处理层之间通过公共的通信接口实现连接；

所述感知节点层的区块节点数据，采用分布式的管理办法，通过所述应用服务层提前规划管理，由所述感知节点层采集后通过所述通信安全保护模块直接上传到智能管控中心进行处理；

所述通信安全保护模块包括病毒识别程序、文件改写程序以及双向认证程序；在进行信息数据的传输前，通过病毒识别程序识别感知信息数据是否存在病毒风险，通过文件改写程序判断信息数据是否曾被改写，通过双向认证程序进行双向认证；若双向认证成功，同时其传输的信息数据不存在病毒且不曾被改写则继续进行传输；若双向认证失败，或传送的信息数据存在病毒或曾被改写，则拒绝进行信息数据传输。

在其中一个实施例中，还包括预警模块，当接收到所述通信安全保护模块发送的未注册或双向认证失败，或传送的信息数据存在病毒或曾被改写的信息时，将该信息形成预警信息；对预警信息采用RSA算法进行加密，加密信息后的预警信息传输至所述智能管控中心。

在其中一个实施例中，所述通信安全保护模块包括：

接收模块，用于接收所述感知节点层发送的待验证信息；其中，所述待验证信息包括由所述感知节点层从接收到的所述应用服务层发起的查询请求中获得的第一身份凭证信息、所述感知节点层对所述第一身份凭证信息的第一哈希值；

获取模块，用于从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息；

验证模块，用于根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息，对所述应用服务层进行身份验证。

在其中一个实施例中，所述通信安全保护模块还包括：

数字身份合约模块，用于接收所述感知节点层发送的待验证信息；其中，所述待验证信息包括由所述感知节点层从接收到的所述应用服务层发起的查询请求中获得的第一身份凭证信息、所述感知节点层对所述第一身份凭证信息的第一哈希值；

TEE模块，用于接收所述数字身份合约模块发送的所述第一身份凭证信息，并根据所述第一身份凭证信息进行查询，以得到与所述第一身份凭证信息匹配的第二身份凭证信息，并将所述第二身份凭证信息返回给所述数字身份合约模块；

在其中一个实施例中，所述数字身份合约模块还用于根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息，对所述待感知节点层进行身份验证。

在其中一个实施例中，还包括移动巡逻终端，所述移动巡逻终端通过所述通信安全保护模块与所述智能管控中心信号连接，包括：

信息感知模块，用于在巡逻过程中感知信息数据，包括摄像头拍摄周围道路的数据参数；

通讯终端模块，用于接收来自所述信息感知模块数据接口传来的信息数据，对所述信息数据进行变频并发送给所述智能管控中心。

在其中一个实施例中，所述信息感知模块识别并采集所述移动巡逻终端信息数据及所述感知节点层的区块节点数据，将采集到的所述信息数据和区块节点数据输出至所述通讯终端模块，所述通讯终端模块将其接收到的信息传输至所述智能管控中心。

在其中一个实施例中，所述协同管理器包括数据处理系统和管理系统，所述数据处理系统的内部设置有数据分析模块和数据统计模块，所述数据分析模块用于对智能管控中心进行大数据分析，所述管理系统的内部设置有全网监测管理系统和全网信息发送管理系统，所述管理系统通过无线连接有多种前端控制设备。

在其中一个实施例中，所述感知节点层包括支持哈希硬件计算的MCU以及与之连接的光强传感器、温湿度传感器、气体传感器、定位模块以及时间模块，各传感器终端节点采用周期工作的方式，初始处于休眠状态，只有MCU的计时器工作，当计时器计数至预设时间时触发计时器中断事件，唤醒MCU进入工作模式，MCU被唤醒后控制采集各传感器的传感数据和对应的时间戳及位置信息，并将数据送入其支持多种哈希算法的硬件单元进行运算。

在其中一个实施例中，所述应用服务层包括访客服务系统、物业服务系统、公共服务系统及手机交互系统。

上述技术方案具有如下优点或有益效果：

本发明这种基于物联网的智慧园区信息安全传输系统能够提供“感知节点-云端”两者之间高速率、低时延、广覆盖的数据连接和传输，并能够根据具体应用进行巡逻终端的实时调度，解决监控系统数据量低，各个监控区域的信息无法共享，无法对特殊情况及时做出响应。不同分类的区块节点按照区域和应用场景的不同都可以进行实现，每一个感知设备可以服务于不同的应用服务层，即每个感知层节点根据其应用场景的不同，涵盖多种感知设备，并且能够根据实际应用通过手机交互系统或者前端控制设备进行共享使用，对传输的信息数据进行病毒风险识别、文件改写判断，并进行双向认证，只有双向认证成功后才能传输感知信息数据，并且只有没有病毒风险和未曾被改写的信息数据才允许进行传输，形成具有唯一且安全的通信频道，从多个角度保证了传输数据的安全性。

附图说明

图1是本发明一种基于物联网的智慧园区信息安全传输系统的结构示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施例做详细的说明。

结合图1所示，一种基于物联网的智慧园区信息安全传输系统，包括智能管控中心1，所述智能管控中心1通过通信安全保护模块3无线组网互联；所述智能管控中心1接收采集的信息，对上述接收到的信息作综合分析并进行协同处理，包括协同管理器11、分布式传播处理层12、感知节点层13及应用服务层15；

所述感知节点层13包括多个节点，上述多个节点之间通过公共通信通道进行UDP的广播通信，每个所述节点包括若干个现有的感知设备，所述感知节点层13与所述分布式传播处理层12之间通过公共的通信接口实现连接；

所述感知节点层13的区块节点数据，采用分布式的管理办法，通过所述应用服务层15提前规划管理，由所述感知节点层13采集后通过所述通信安全保护模块3直接上传到智能管控中心1进行处理；

所述通信安全保护模块3包括病毒识别程序、文件改写程序以及双向认证程序；在进行信息数据的传输前，通过病毒识别程序识别感知信息数据是否存在病毒风险，通过文件改写程序判断信息数据是否曾被改写，通过双向认证程序进行双向认证；若双向认证成功，同时其传输的信息数据不存在病毒且不曾被改写则继续进行传输；若双向认证失败，或传送的信息数据存在病毒或曾被改写，则拒绝进行信息数据传输。

进一步地，本发明一种基于物联网的智慧园区信息安全传输系统的较佳的实施例中，还包括预警模块4，当接收到所述通信安全保护模块3发送的未注册或双向认证失败，或传送的信息数据存在病毒或曾被改写的信息时，将该信息形成预警信息；对预警信息采用RSA算法进行加密，加密信息后的预警信息传输至所述智能管控中心1。

通过病毒识别程序进行信息数据的识别，判断进行传输的信息数据是否存在病毒风险，通过文件改写程序进行判断原始传输的信息数据是否曾被改写；通过双向认证程序对网络通信模块进行双向认证；若双向认证成功，同时其传输的信息数据不存在病毒且不曾被改写则继续进行传输；若双向认证失败，或传送的信息数据存在病毒或曾被改写，则拒绝进行信息数据传输，并将信息传输至预警模块4。

进一步地，本发明一种基于物联网的智慧园区信息安全传输系统的较佳的实施例中，所述通信安全保护模块3包括：

接收模块31，用于接收所述感知节点层13发送的待验证信息；其中，所述待验证信息包括由所述感知节点层13从接收到的所述应用服务层15发起的查询请求中获得的第一身份凭证信息、所述感知节点层13对所述第一身份凭证信息的第一哈希值；

获取模块32，用于从可信执行环境TEE中获取与所述第一身份凭证信息匹配的第二身份凭证信息；

验证模块33，用于根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息，对所述应用服务层15进行身份验证。

数字身份验证过程中包括：应用服务层15、感知节点层、数字身份合约模块和TEE(Trusted Execution Environment,可信执行环境)四个主体。其中，可信执行环境TEE的功能被设计为信息录入方法和信息认证方法，登记认证机构在向可信执行环境TEE的信息录入方法中，所提交的信息包括但不限于：信息类别、信息归属数字身份id(identitydocument,身份标识号)、信息哈希值、登记认证机构签名等请求参数；可信认证机构在向可信执行环境TEE的信息认证方法中，所提交的信息包括但不限于：信息归属数字身份id、信息类别、可信认证机构等请求参数。由于可信执行环境TEE不允许任何用户直接读取TEE中存储的数据，只有拥有特定密钥或经过授权才可以获取到相关数据，将数字身份信息保存在可信执行环境TEE中，保证了数字身份信息的安全性。

接收模块31用于接收感知节点层13发送的待验证信息；其中，待验证信息包括由感知节点层13从接收到的应用服务层15发起的查询请求中获得的第一身份凭证信息、感知节点层13对第一身份凭证信息的第一哈希值；获取模块32用于从可信执行环境TEE中获取与第一身份凭证信息匹配的第二身份凭证信息；验证模块33用于根据第一身份凭证信息的第一哈希值和第二身份凭证信息，对应用服务层15进行身份验证。本申请提出的数字身份验证装置既提供了对身份信息的验证功能，还提高了数字身份凭证信息存放的安全性。

进一步地，本发明一种基于物联网的智慧园区信息安全传输系统的较佳的实施例中，所述通信安全保护模块3还包括：

所述感知节点层13，接收所述移动巡逻终端2发起的查询请求，并从所述查询请求中获取第一身份凭证信息，并对所述第一身份凭证信息进行哈希运算，得到第一哈希值；

数字身份合约模块34，用于接收所述感知节点层13发送的待验证信息；其中，所述待验证信息包括由所述感知节点层13从接收到的所述移动巡逻终端2发起的查询请求中获得的第一身份凭证信息、所述感知节点层13对所述第一身份凭证信息的第一哈希值；

可选地，在本申请一些实施例中，待验证信息还包括感知节点层对签名信息的签名，数字身份合约模块34还用于根据签名信息和签名，对感知节点层进行权限验证；在感知节点层权限验证通过后，数字身份合约模块34将第一身份凭证信息发送给可信执行环境TEE，从可信执行环境TEE中获取与第一身份凭证信息匹配的第二身份凭证信息；

可选地，数字身份合约模块34可通过验证感知节点层公钥的方式，验证感知节点层是否有权限对待感知节点层进行身份验证，在本申请一些实施例中，数字身份合约模块34可用于根据签名信息和签名，计算感知节点层的公钥；根据数字身份合约模块34之中存储的感知节点层的参考公钥和感知节点层的公钥，对感知节点层进行权限验证；

可选地，在本申请一些实施例中，数字身份合约模块34可用于在数字身份合约模块34之中存储的感知节点层的参考公钥和感知节点层的公钥一致时，确定感知节点层权限验证通过；

TEE模块35，用于接收所述数字身份合约模块34发送的所述第一身份凭证信息，并根据所述第一身份凭证信息进行查询，以得到与所述第一身份凭证信息匹配的第二身份凭证信息，并将所述第二身份凭证信息返回给所述数字身份合约模块34；

所述数字身份合约模块34，还用于根据所述第一身份凭证信息的第一哈希值和所述第二身份凭证信息，对所述应用服务层15进行身份验证。

进一步地，本发明一种基于物联网的智慧园区信息安全传输系统的较佳的实施例中，所述应用服务层15包括访客服务系统、物业服务系统、公共服务系统及手机交互系统。

进一步地，本发明一种基于物联网的智慧园区信息安全传输系统的较佳的实施例中，所述协同管理器11包括数据处理系统111和管理系统112，所述数据处理系统111的内部设置有数据分析模块1111和数据统计模块1112，所述数据分析模块1111用于对智能管控中心1进行大数据分析，所述管理系统112的内部设置有全网监测管理系统1121和全网信息发送管理系统1122，所述管理系统112通过无线连接有多种前端控制设备。

进一步地，本发明一种基于物联网的智慧园区信息安全传输系统的较佳的实施例中，还包括移动巡逻终端2，所述移动巡逻终端2通过所述通信安全保护模块3与所述智能管控中心1信号连接，包括：

信息感知模块21，用于在巡逻过程中感知信息数据，包括摄像头拍摄周围道路的数据参数；

通讯终端模块22，用于接收来自所述信息感知模块21数据接口传来的信息数据，对所述信息数据进行变频并发送给所述智能管控中心1。

所述信息感知模块21包括摄像装置、雷达和速度传感器；所述摄像装置用于采集所述移动巡逻终端行驶中周围环境的道路综合信息数据，包括道路线、交通标志、道路上的车辆流量、车辆速度、车辆占有率、道路沿线的气象信息、道路路面的状况信息及行人的图像信息；所述雷达采集本体与障碍物之间的距离；所述速度传感器采集所述移动巡逻终端2的实时速度，通过对以上信息的采集，保证所述移动巡逻终端2能够做出快速正确的处理，也使得其控制指令的输出更为准确。

进一步地，本发明一种基于物联网的智慧园区信息安全传输系统的较佳的实施例中，所述感知节点层13包括支持哈希硬件计算的MCU以及与之连接的光强传感器、温湿度传感器、气体传感器、定位模块以及时间模块，各传感器终端节点采用周期工作的方式，初始处于休眠状态，只有MCU的计时器工作，当计时器计数至预设时间时触发计时器中断事件，唤醒MCU进入工作模式，MCU被唤醒后控制采集各传感器的传感数据和对应的时间戳及位置信息，并将数据送入其支持多种哈希算法的硬件单元进行运算。感知节点层13包括支持哈希硬件计算的低功耗MCU以及与之采用I2C，UART，I/O，FSMC等通信方式连接的光强传感器、温湿度传感器、气体传感器、时间模块以及电源模块，各传感器终端节点采用周期工作的方式，周期工作通过MCU内部计数器控制实现，即周期触发计时器中断唤醒MCU周期工作，具体地说，各传感器终端节点初始处于休眠状态，即MCU处于休眠只有计时器进行计数，当计时器计数至预设时间时触发计时器中断事件，唤醒MCU进入工作模式，即传感器终端节点进入工作模式，MCU被唤醒后控制采集各传感器的传感数据和对应的时间戳。

感知节点层13的区块节点数据，采用分布式的管理办法，通过应用服务层15提前规划管理，由感知节点层13采集后直接上传到智能管控中心1进行处理，感知设备服务于不同的应用，即每个感知层节点根据其应用场景的不同，涵盖多种感知设备，并且能够根据实际应用进行共享使用，上述多个区块节点之间通过公共通信通道进行UDP模式的广播通信，感知节点层13与分布式传输处理层之间采用一个公共的通信接口实现连接，本发明解决了传统基于物联网的感知层分散、数量庞大的传感器设备，按照工作模式设计不同的工作节点，同样一个设备可能分布在不同节点中，实现分时复用，最终构建一套基于设备复用的区块感知层，构建一个分布式的节点化网络结构的感知网，对智慧校园中的教育、生活、办公、科研类物联网设施进行状态监测及数据采集汇总，实现共用通信通道，减少通信耗费，同时减少维护成本，提升该系统的便捷性。

以上不同分类的区块节点按照区域和应用场景的不同都可以进行实现，每一个感知设备可以服务于不同的应用服务层，即每个感知层节点根据其应用场景的不同，涵盖多种感知设备，并且能够根据实际应用通过手机交互系统或者前端控制设备进行共享使用，上述多个区块节点之间通过公共通信通道进行UDP模式的广播通信，可以保证在一个应用调用多个区块节点的时候实现点间通信，并大大降低通信功耗，提升资源的利用率，UDP模式有两方面考虑，一方面对于感知层这类物联网设备，采用UDP模式完全可以满足其通信需求；另一方面采用UDP模式，减少了握手模式，提高通信效率，但是会牺牲部分的通信可靠性，现有技术中的感知层需要对数据进行缓存然后进行共享，因此需要所有的数据资源实现数据的储存和缓存，采用分布式的管理办法，是根据应用管理层提前规划的管理策略以及服务请求，由区块感知节点层采集后直接上传到智能管控中心进行处理，对数据进行清洗、比对、关联，获得相关数据，通过对数据清洗、对比、关联，基于移动手机数据和其他前端控制设备，实时进行测算和分析，使区块感知节点层的数据管理效率将会更高，对于数量庞大、种类复杂的物联网系统来说，维护工作显得非常重要，根据区块节点对于区块节点中出现故障的设备，可以单独进行维护而不影响其他节点的正常工作，降低维护成本。

综上所述，本发明这种基于物联网的智慧园区信息安全传输系统能够提供“感知节点-云端”两者之间高速率、低时延、广覆盖的数据连接和传输，并能够根据具体应用进行巡逻终端的实时调度，解决监控系统数据量低，各个监控区域的信息无法共享，无法对特殊情况及时做出响应。不同分类的区块节点按照区域和应用场景的不同都可以进行实现，每一个感知设备可以服务于不同的应用服务层，即每个感知层节点根据其应用场景的不同，涵盖多种感知设备，并且能够根据实际应用通过手机交互系统或者前端控制设备进行共享使用，对传输的信息数据进行病毒风险识别、文件改写判断，并进行双向认证，只有双向认证成功后才能传输感知信息数据，并且只有没有病毒风险和未曾被改写的信息数据才允许进行传输，形成具有唯一且安全的通信频道，从多个角度保证了传输数据的安全性。

以上仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。

在本发明的描述中，需要理解的是，术语“上”、“下”、“前”“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。