物联网系统的可信指令预警装置、方法、设备及存储介质

技术领域

本发明涉及物联网安全技术领域，尤其涉及一种物联网系统的可信指令预警装置、方法、电子设备及存储介质。

背景技术

对于大部分接入工业物联网的设备，物联网指令的安全性和稳定性是第一位的。因为接入物联网的设备多种多样，而且重要性和连带价值都非常高，所以错误的远程指令不可随意到达终端设备。有些设备还有很强的内部逻辑，需要连续发送几条顺序无误的指令，并且有一定的时间要求，而现有的物联网指令的下发是基于移动网络的，移动网络的稳定性较差，这将导致物联网指令下发的稳定性差。

综上，现有的物联网指令的下发无法满足安全性和稳定性的要求。

发明内容

本发明针对现有技术中存在的技术问题，提供一种物联网系统的可信指令预警装置、方法、设备及存储介质，提出了定义物联网结构化指令内容，对结构化指令进行TOKEN可信认证预警，在不需要增加验证流程的情况下保证物联网系统与设备之间指令传输的准确性。

根据本发明的第一方面，提供了一种物联网系统的可信指令预警装置，包括：指令模板化模块、指令寄存器、TOKEN验证模块和TuI接口；

所述指令模板化模块用于基于设置的指令模板对物联网指令进行模板化生成结构化指令；

所述指令寄存器、TOKEN验证模块和TuI接口设置于物联网系统和设备之间；

所述TOKEN验证模块用于基于设置的TOKEN验证规则对同时刻进入所述指令寄存器的所述结构化指令的唯一性、正则化以及校验位的三重验证，将经过三重验证的可信结构化指令存储进入所述指令寄存器；

所述TuI接口用于对物联网指令与设备指令之间进行耦合解析。

在上述技术方案的基础上，本发明还可以作出如下改进。

可选的，所述结构化指令包括：编号、名称、类别、功能、解析、参数、参数说明和对应指令；

所述编号根据所述结构化指令的生成顺序生成；

所述类别表示所述结构化指令为表示所述结构化指令在所述设备和所述物联网系统之间的传递方向的上行指令或下行指令；所述功能表述所述结构化指令被执行后产生的效果；

所述解析表示按照所述TuI接口的指令解析模板规则进行指令解析参数化；

所述对应指令表示与本条指令对应的应答或请求指令。

可选的，所述结构化指令按照先进先出和等待规则进入所述指令寄存器；

所述指令寄存器对各个所述结构化指令进行指定等待时间的等待缓冲，所述等待时间按照已接入物联网系统的所有设备动作允许的连续最低响应时间进行设置和动态调节；

根据附着于物联网系统的系统计时器确定所述指令寄存器的计时等待时间。

可选的，所述TOKEN验证规则中的唯一性验证为：同一时刻进入所述指令寄存器的所述结构化指令中，有且仅有一条相同功能的所述结构化指令；所述TOKEN验证规则中的正则化验证为：对进入所述指令寄存器的所述结构化指令的内容进行符合十六进制规则的正则化验证；

所述TOKEN验证规则中的校验位验证为：对进入所述指令寄存器的所述结构化指令的校验位的正确性进行验证。

可选的，所述TOKEN验证模块还包括：

向所述物联网系统实时推送TOKEN验证不通过的所述结构化指令的验证不通过预警信息，并将该TOKEN验证不通过的所述结构化指令丢弃不予执行。

可选的，所述预警信息包括：指令编号、指令名称以及TOKEN验证不通过原因。

可选的，所述TuI接口通过定义指令解析模板，将接入物联网系统的设备指令原文结构化为物联网系统内的物联网指令，将所述物联网指令耦合为所述设备指令；

所述指令解析模板包括：适用于物联网系统的物联网指令中的解析内容以及所述物联网指令的内容中的对应于指令功能的变量变化动态参数序列{p1，p2，……}和值{r1，r2，……}。

本发明提供的一种物联网系统的可信指令预警装置、方法、电子设备及存储介质，提出了定义物联网结构化指令内容的思想，对结构化指令进行TOKEN可信认证预警，在不需要增加验证流程的情况下保证物联网系统与设备之间指令传输的准确性，并能够在不准确的指令进入设备之前及时提供预警信息；结构化指令按照FIFOW规则进入所述指令寄存器，设置等待时间可以防止多条指令同时被执行导致设备响应不及时的执行阻塞，等待时间按照已接入物联网系统的所有设备动作允许的连续最低响应时间进行设置和动态调节，可存储的指令数量在物联网系统支持的存储配置容量和已经接入的指令寄存装置容量孰小原则设置存储条数上限内设置；对可信指令预警中进行TOKEN验证，唯一性验证可以保证同一时刻进入所述指令寄存器的所述结构化指令中，有且仅有一条相同功能的结构化指令，正则化和校验位验证可以验证指令的合法性，并将TOKEN验证不通过的结构化指令丢弃不予执行，且实时发出预警信息，避免对物联网系统和设备造成损害，经过TOKEN验证后的指令在系统内是正确可接受的、具有可信任性、具有同一时刻唯一可执行特点，其执行不会危害系统。

附图说明

图1为本发明实施例提供的一种物联网系统的可信指令预警装置的结构框图；

图2为本发明实施例提供的一种物联网系统的可信指令预警装置中进行TOKEN验证的示意图；

图3为本发明实施例提供的一种物联网系统的可信指令预警方法的流程图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

图1为本发明提供的一种物联网系统的可信指令预警装置的结构框图，如图1所示，该可信指令预警装置包括：指令模板化模块、指令寄存器、TOKEN（令牌）验证模块和TuI（Tunnel Interface）接口。

指令模板化模块用于基于设置的指令模板对物联网指令进行模板化生成结构化指令。

指令寄存器、TOKEN验证模块和TuI接口设置于物联网系统和设备之间；该设备为通过各类网关接入物联网系统的设备。

TOKEN验证模块用于基于设置的TOKEN验证规则对同时刻进入指令寄存器的结构化指令的唯一性、正则化以及校验位的三重验证，将经过三重验证的可信结构化指令存储进入指令寄存器；具体实施中，通过三重验证规则的指令属于指令寄存器中的有效指令，其有效性表现在“在指令寄存器中存储”，属于一种“奖赏”，而未通过三重验证规则的指令则不被指令寄存器中存储，属于一种“惩罚”。TOKEN验证仅需要根据指令的编号和内容进行验证，无需对指令功能进行解析，具有指令保密性验证属性。

TuI接口用于对物联网指令与设备指令之间进行耦合解析。

现有技术中大部分是通过增加验证流程来保证物联网指令的稳定和安全，本发明提供的一种物联网系统的可信指令预警装置，提出了定义物联网结构化指令内容，对结构化指令进行TOKEN可信认证预警，在不需要增加验证流程的情况下保证物联网系统与设备之间指令传输的准确性，并能够在不准确的指令进入设备之前及时提供预警信息。在应用时可根据特定的物联网系统稍加改变和转换。

实施例1

本发明提供的实施例1为本发明提供的一种物联网系统的可信指令预警装置的实施例，结合图1可知，该可信指令预警装置的实施例包括：指令模板化模块、指令寄存器、TOKEN验证模块和TuI接口。

指令模板化模块用于基于设置的指令模板对物联网指令进行模板化生成结构化指令。

在一种可能的实施例方式中，结构化指令包括：编号、名称、类别、功能、解析、参数、参数说明和对应指令。编号根据结构化指令的生成顺序生成；具体实施中，编号是根据指令生成顺序赋予其以XXXXXXXXXXXXXXXX格式表示的一串十六进制数字，编号中的最后两位为校验位，校验位为指令编码前两位转换为十进制后其中奇数的个数，编号在物联网系统中具有唯一性。

类别表示结构化指令为表示结构化指令在设备和物联网系统之间的传递方向的上行指令或下行指令；具体实施中，可以定义为物联网系统向设备发出的指令为下行指令，由设备返回给物联网系统的指令为上行指令。智能体现当物联网系统指令体系建立后，在应用已录入的指令时，自动查找全体指令并匹配填充与其对应的上行或下行指令。对于设备，原则上均具有上行指令和下行指令，上行指令与下行指令具有一一对应关系。上行指令和下行指令可以为空指令，即无任何内容的指令。

功能表述结构化指令被执行后产生的效果。

解析表示按照TuI接口的指令解析模板规则进行指令解析参数化。

对应指令表示与本条指令对应的应答或请求指令。

指令寄存器、TOKEN验证模块和TuI接口设置于物联网系统和设备之间。

TOKEN验证模块用于基于设置的TOKEN验证规则对同时刻进入指令寄存器的结构化指令的唯一性、正则化以及校验位的三重验证，将经过三重验证的可信结构化指令存储进入指令寄存器。

在一种可能的实施例方式中，结构化指令按照先进先出和等待（FIFOW，First InFirst Out and Wait）规则进入指令寄存器。

指令寄存器对各个结构化指令进行指定等待时间的等待缓冲，等待时间按照已接入物联网系统的所有设备动作允许的连续最低响应时间进行设置和动态调节。根据附着于物联网系统的系统计时器确定指令寄存器的计时等待时间。

设置等待时间可以防止多条指令同时被执行导致设备响应不及时的执行阻塞，等待时间按照已接入物联网系统的所有设备动作允许的连续最低响应时间进行设置和动态调节，可存储的指令数量在物联网系统支持的存储配置容量和已经接入的指令寄存装置容量孰小原则设置存储条数上限内设置。

如图2所示为本发明实施例提供的一种物联网系统的可信指令预警装置中进行TOKEN验证的示意图，结合图1和图2可知，在一种可能的实施例方式中，TOKEN验证规则中的唯一性验证为：同一时刻进入指令寄存器的结构化指令中，有且仅有一条相同功能的结构化指令；具体为对某一时刻进入指令寄存器的所有指令按照其编号进行逐一遍历比对，若相同则随机丢弃，直至某一时刻进入指令寄存器的指令有且唯一。TOKEN验证规则中的正则化验证为：对进入指令寄存器的结构化指令的内容进行符合十六进制规则的正则化验证；具体为验证指令匹配任意的0-9，a-f与A-F的字符，若指令通过正则化验证则合法，否则视为非法并予以丢弃。

TOKEN验证规则中的校验位验证为：对进入指令寄存器的结构化指令的校验位的正确性进行验证；具体为将结构化指令的指令编码前两位转换为十进制后其中奇数的数目与指令校验位的内容比对，若相同则合法，否则视为非法并予以丢弃。

在一种可能的实施例方式中，TOKEN验证模块还包括：

向物联网系统实时推送TOKEN验证不通过的结构化指令的验证不通过预警信息，并将该TOKEN验证不通过的结构化指令丢弃不予执行避免对物联网系统和设备造成损害。

在一种可能的实施例方式中，预警信息包括：指令编号、指令名称以及TOKEN验证不通过原因（唯一性、正则化、校验位）。

TOKEN验证过程按照程序自动执行、按照三重验证规则智能化验证、并依据三重验证规则进行智能预警。经过TOKEN验证后的指令在系统内是正确可接受的、具有可信任性、具有同一时刻唯一可执行特点，其执行不会危害系统。

TuI接口用于对物联网指令与设备指令之间进行耦合解析。

在一种可能的实施例方式中，TuI接口通过定义指令解析模板，将接入物联网系统的设备指令原文结构化为物联网系统内的物联网指令，将物联网指令耦合为设备指令。指令解析模板包括：适用于物联网系统的物联网指令（如本发明指令模板化模块提供的一种具有校验位的结构化指令）中的解析内容以及物联网指令的内容中的对应于指令功能的变量变化动态参数序列{p1，p2，……}和值{r1，r2，……}。

预先将接入物联网系统的设备指令原文结构化为物联网系统内的物联网指令，是物联网指令与设备指令的软硬件指令耦合解析工具。

TuI接口为将通过各类网关接入物联网系统的设备指令模板化为物联网指令的管道接口，TuI的指令模板化过程对于设备指令来说也是一种在特定物联网系统中的认证过程。

TuI接口不对指令进行加密和解密，仅作为本发明的结构化指令与设备的非结构化指令解析工具，可看作结构化指令与设备的非结构化指令之间的模板化“接口”。

如下表1所示为本发明实施例提供的TuI接口实施模板，通过RS232网关接入物联网系统的光敏传感器设备，光照强度的下行读取指令原文为（DA 03 00 02 00 02 32 CE），运用Tul可将其模板化为指令解析模板（DA 03 00 02 {p1} 32 CE 01），其中p1为对应于指令原文的可变参数。如此物联网系统内执行的指令通过Tul即可便捷模板化为设备指令，01是以十六进制表示的指令校验位。光照强度的上行返回指令原文为（B1 03 02 09 F3 7C3D 03），运用Tul可将其模板化为指令解析模板（B1 03 02 {r1} 7C 3D 03），03是以十六进制表示的指令校验位，其中r1为对应于指令原文的可变参数。

实施例2

本发明提供的实施例2为本发明提供的一种物联网系统的可信指令预警方法的实施例，该可信指令预警方法基于本发明实施例提供的一种可信指令预警装置，图3为本发明实施例提供的一种物联网系统的可信指令预警方法的流程图，结合图1-图3可知，该可信指令预警方法的实施例包括：

步骤1，建立结构化指令模板。

指令模板中包括编号、名称，类别，功能，解析，参数，参数说明，对应指令。其中，编号是根据指令生成顺序赋予其以XXXXXXXXXXXXXXXX格式表示的一串十六进制数字，其中后两位为校验位，校验位验证仅需要将指令编码前两位转换为十进制后的奇数的数目与指令校验位的内容比对，若数目与校验位的内容一致，则指令合法可以进行下一步处理或执行，否则视为非法予以丢弃。

步骤2，设计指令寄存器。在物联网系统内置入应用于指令寄存器的先进先出和等待（First In First Out and Wait，FIFOW）规则，根据物联网系统支持的存储配置容量和已经接入的指令寄存（存储）装置容量孰小原则设置存储条数上限，按照接入物联网系统的所有设备动作允许的连续最低响应时间设置和动态调节等待时间，FIFOW规则的特别之处在于其等待时间可以伴随物联网系统支持的存储配置容量和指令寄存（存储）装置容量的不同按照孰小原则自动动态调整。

步骤3，设置TOKEN验证规则。在物联网系统内根据本发明提出的TOKEN验证规则设置对同时刻进入指令寄存器的可执行的物联网指令的唯一性、正则化、校验位三重验证规则。通过三重验证规则的指令属于指令寄存器中的有效指令，其有效性表现在“在指令寄存器中存储”，属于一种“奖赏”，而未通过三重验证规则的指令则不被指令寄存器中存储，属于一种“惩罚”。TOKEN验证仅需要根据指令的编号和内容进行验证，无需对指令功能进行解析，具有指令保密性验证属性。

步骤4，建立TuI接口，按照TuI管道接口思想和方法，结合TuI接口指令解析模板，将通过各类网关接入物联网系统的设备指令转换为物联网系统指令。形成物联网指令与设备指令的软硬件指令耦合解析工具，TuI接口不对指令进行加密和解密，仅作为本发明的结构化指令与设备的非结构化指令解析工具，可看作结构化指令与设备的非结构化指令之间的模板化“接口”。TuI的指令转换过程对于设备指令是一种在特定物联网系统中的认证过程。

步骤5，设备指令的简易模板化。对经由各类网关接入物联网系统的设备，将其设备指令通过Step1中的结构化指令模板进行指令的模板化，形成不影响原有指令功能的适用于物联网系统的简易模板化指令，指令的简易模板化仅对指令的变化部分进行可变参数模板化，指令不变化的固定部分不进行变化，如此当指令被验证或者执行时，仅需要对其变化参数的进行模板化解析，固定部分直接套用已经模板化的指令固定部分，简单化了指令的模板化解析方法，提升了指定的模板化解析效率。

步骤6，建立FIFOW规则。当经过模板化的指令被发出和执行时，先进入Step2中的指令寄存器按照FIFOW规则寄存指令。

步骤7，指令的TOKEN验证。对经由指令寄存器发出的指令，按照Step3的规则进行TOKEN验证，并进行可信指令认证和智能指令预警。

步骤8，TuI接口解析化指令。按照Step4的TuI接口规则将经过TOKEN验证过的可信指令解析转化为可执行的设备指令。

步骤9，指令的执行。

对于上行指令则按上述步骤流程反向进行。

可以理解的是，本发明提供的一种物联网系统的可信指令预警方法与前述各实施例提供的物联网系统的可信指令预警装置相对应，物联网系统的可信指令预警方法的相关技术特征可参考物联网系统的可信指令预警装置的相关技术特征，在此不再赘述。

本发明实施例提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现以下步骤：基于设置的指令模板对物联网指令进行模板化生成结构化指令；基于设置的TOKEN验证规则对同时刻进入所述指令寄存器的所述结构化指令的唯一性、正则化以及校验位的三重验证，将经过三重验证的可信结构化指令存储进入所述指令寄存器；对物联网指令与设备指令之间进行耦合解析。

本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如下步骤：基于设置的指令模板对物联网指令进行模板化生成结构化指令；基于设置的TOKEN验证规则对同时刻进入所述指令寄存器的所述结构化指令的唯一性、正则化以及校验位的三重验证，将经过三重验证的可信结构化指令存储进入所述指令寄存器；对物联网指令与设备指令之间进行耦合解析。

本发明实施例提供的一种物联网系统的可信指令预警装置、方法、电子设备及存储介质，提出了定义物联网结构化指令内容的思想，对结构化指令进行TOKEN可信认证预警，在不需要增加验证流程的情况下保证物联网系统与设备之间指令传输的准确性，并能够在不准确的指令进入设备之前及时提供预警信息；结构化指令按照FIFOW规则进入指令寄存器，设置等待时间可以防止多条指令同时被执行导致设备响应不及时的执行阻塞，等待时间按照已接入物联网系统的所有设备动作允许的连续最低响应时间进行设置和动态调节，可存储的指令数量在物联网系统支持的存储配置容量和已经接入的指令寄存装置容量孰小原则设置存储条数上限内设置；对可信指令预警中进行TOKEN验证，唯一性验证可以保证同一时刻进入指令寄存器的结构化指令中，有且仅有一条相同功能的结构化指令，正则化和校验位验证可以验证指令的合法性，经过TOKEN验证后的指令在系统内是正确可接受的、具有可信任性、具有同一时刻唯一可执行特点，其执行不会危害系统。

需要说明的是，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其它实施例的相关描述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。