物聯(lián)網(wǎng)用的代理模塊設備及其方法
【專利摘要】本發(fā)明提供一種物聯(lián)網(wǎng)用的代理模塊設備�����,所述代理模塊設備包括:接收單元�����,其接收來自服務器設備的控制面消息��;判斷單元����,根據(jù)所述接收單元所接收到的控制面消息中包含的期望到達時間,判斷是否需要對所述控制面消息進行緩存���;數(shù)據(jù)處理單元�����,在所述判斷單元判斷為需要對所述控制面消息進行緩存的情況下���,對所述控制面消息進行緩存����,而在所述判斷單元判斷為不需要對所述控制面消息進行緩存的情況下����,將所述控制面消息發(fā)送給對應的物聯(lián)網(wǎng)終端設備或者進行丟棄。
【專利說明】物聯(lián)網(wǎng)用的代理模塊設備及其方法
【技術領域】
[0001]本發(fā)明涉及一種基于通信網(wǎng)絡的物聯(lián)網(wǎng)用的代理模塊設備及其方法�����,特別是涉及一種用于物聯(lián)網(wǎng)業(yè)務優(yōu)化的代理模塊設備及其方法����。
【背景技術】
[0002]物聯(lián)網(wǎng)(Internet of Things)業(yè)務是指基于機器與機器(Machine toMachine)之間通信以及人與機器通信的業(yè)務類型�。物聯(lián)網(wǎng)業(yè)務為各種行業(yè)和個人用戶提供了一種綜合數(shù)據(jù)采集、傳輸�����、信息處理����、機器控制及業(yè)務管理等一系列功能的端到端解決方案����。在物聯(lián)網(wǎng)業(yè)務中���,終端側設備往往是機器�,通過其內(nèi)部的通信模塊向網(wǎng)絡側設備的服務器或業(yè)務網(wǎng)關設備匯報自身所采集的數(shù)據(jù)信息�,網(wǎng)絡側設備中的業(yè)務模塊和邏輯針對物聯(lián)網(wǎng)終端側設備匯報的信息進行處理和判斷,將對各個相關機器進行控制的控制信息通過網(wǎng)絡下發(fā)到終端側設備上��?���;谶@樣的數(shù)據(jù)信息和控制信息的交互,物聯(lián)網(wǎng)業(yè)務可以滿足客戶在現(xiàn)場監(jiān)控���、調(diào)度協(xié)調(diào)�����、系統(tǒng)安全等多個方面的需求��。物聯(lián)網(wǎng)業(yè)務在城市�、電網(wǎng)、工業(yè)����、水利等多個社會基礎設施領域有廣泛的應用場景。
[0003]在物聯(lián)網(wǎng)系統(tǒng)中��,主要包括控制面的消息和業(yè)務面的消息��。其中業(yè)務面的消息主要包括圍繞業(yè)務開展所需的應用層信令�����,例如在工業(yè)控制當中���,業(yè)務面消息包括用于上傳從工業(yè)設備中感知關鍵參數(shù)的數(shù)據(jù)信息���,以及從網(wǎng)絡側下發(fā)到工業(yè)設備的控制信息��?��?刂泼娴南⑹侵笧榱诉\營和維護物聯(lián)網(wǎng)關鍵設備和系統(tǒng)的系統(tǒng)層信令�,至少包括網(wǎng)絡和設備的狀況監(jiān)測����,關鍵網(wǎng)絡參數(shù)的配置以及日志留存等�。
[0004]在現(xiàn)有的物聯(lián)網(wǎng)業(yè)務中��,終端側設備和網(wǎng)絡側設備需要依賴通信網(wǎng)絡進行控制面的管理和維護�,例如一些重要參數(shù)的配置,系統(tǒng)的控制面管理等�����。圖12是物聯(lián)網(wǎng)業(yè)務典型的組網(wǎng)模式���。物聯(lián)網(wǎng)終端3或者管理多個物聯(lián)網(wǎng)傳感節(jié)點6的物聯(lián)網(wǎng)網(wǎng)關4通過有線或者無線的方式接入到通信網(wǎng)絡2中�。網(wǎng)絡側的服務器設備I主要負責物聯(lián)網(wǎng)業(yè)務的管理和運營��。服務器設備I與物聯(lián)網(wǎng)終端3或物聯(lián)網(wǎng)網(wǎng)關4之間的數(shù)據(jù)連接101往往要跨越多個運營商的通信網(wǎng)絡����。
[0005]由于物聯(lián)網(wǎng)終端往往沒有外部供電,只能依靠本身的電池進行供電�,所以物聯(lián)網(wǎng)終端只能在有限的時間窗口內(nèi)進行通信。如圖13所示�����,在時間窗口 Tl到T2之間是某物聯(lián)網(wǎng)終端在某一個時間段內(nèi)的期望通信時間。如果控制面的配置消息沒有落在這個時間窗口內(nèi)且終端需要處理這個消息�����,則終端需要耗費過多的電力����。長期看的話,終端的電池壽命將大大降低��,從而給物聯(lián)網(wǎng)業(yè)務的運營企業(yè)帶來額外的管理和維護的開銷����。如果終端對于落在時間窗口外的控制信息不予處理,則系統(tǒng)的配置和管理的成功率將大大降低����,給整個系統(tǒng)的穩(wěn)定性和有效性帶來負面影響。然而����,現(xiàn)有的通信網(wǎng)絡尤其是運營商通信網(wǎng)絡對于實時到達的特性的保證非常有限��。在圖12的物聯(lián)網(wǎng)業(yè)務系統(tǒng)中����,在不同運營商網(wǎng)絡之間的節(jié)點處往往會產(chǎn)生巨大的延遲�,高峰時該網(wǎng)絡延遲可長達數(shù)秒甚至數(shù)十秒�。此外,無線網(wǎng)絡基站5與物聯(lián)網(wǎng)終端側設備3/4之間�����,根據(jù)無線網(wǎng)絡負載和當時的無線環(huán)境不同����,延遲也可能非常大。這些延遲均會造成控制面的消息很難在物聯(lián)網(wǎng)終端3/4期望的時間點到達�,嚴重影響到物聯(lián)網(wǎng)終端的壽命和維護質(zhì)量。于此同時���,物聯(lián)網(wǎng)業(yè)務對于通信網(wǎng)絡的可靠性具有非常高的要求��,如果通信網(wǎng)絡失效�����,會對物聯(lián)網(wǎng)業(yè)務帶來巨大的影響�����。此外����,隨著物聯(lián)網(wǎng)應用的日益普及,物聯(lián)網(wǎng)終端的數(shù)量將呈大規(guī)模爆發(fā)增長的態(tài)勢���。眾多的物聯(lián)網(wǎng)終端和應用會產(chǎn)生大量的控制面流量��,會對網(wǎng)絡帶來更大的壓力��,且在不同運營商網(wǎng)絡間的流量會給網(wǎng)絡運營商帶來更大的網(wǎng)間結算的成本�,間接地影響到物聯(lián)網(wǎng)業(yè)務的順利開展��。于此同時����,物聯(lián)網(wǎng)的業(yè)務面和控制面的運營和維護有可能是由不同的業(yè)務主體來主導。因此��,需要考慮安全和信任的機制���。另外��,由于終端的計算能力和電力都非常有限���,不能處理非常復雜的認證和加密機制,所以應用在這個領域的安全和信任機制也需要非常輕量級����。
[0006]作為應對上述問題的技術,例如���,在專利文件I中記載了如下內(nèi)容:在物聯(lián)網(wǎng)中���,如果利用中間節(jié)點進行數(shù)據(jù)信息的匯聚和調(diào)整,用來節(jié)省網(wǎng)絡資源�����,能夠避免大量的數(shù)據(jù)訪問占用太多的服務器資源���。但是�,專利文獻I的主要思想在于如何建立安全通道����。
[0007]另外,專利文件2主要針對物聯(lián)網(wǎng)優(yōu)化的WEB服務����。在專利文件2中記載了如下內(nèi)容:由于物聯(lián)網(wǎng)對于延遲比較敏感���,因此在多個地點建立部分業(yè)務的服務器端鏡像(仍然是服務器端,類似將主服務器進行多鏡像分解)��,在物聯(lián)網(wǎng)終端與服務器端進行交互的時候����,與延遲最小、代價最低的鏡像進行通信就可以��,這樣也可以減少延遲并降低網(wǎng)間瓶頸處的資源占用��。
[0008]專利文件1:US20110154022
[0009]專利文件2:US2009/0089365
【發(fā)明內(nèi)容】
[0010]為了克服現(xiàn)有技術的上述缺陷提出了本發(fā)明�。本發(fā)明主要圍繞物聯(lián)網(wǎng)中的控制面消息進行優(yōu)化和調(diào)度。因此�,本發(fā)明的目的在于提出一種用于優(yōu)化物聯(lián)網(wǎng)控制面的代理模塊及相關的控制面方法,可以有效地降低控制面的消息給物聯(lián)網(wǎng)終端及維護管理帶來的負面影響���。另外����,能夠降低通信網(wǎng)絡失效對物聯(lián)網(wǎng)業(yè)務的影響,減輕物聯(lián)網(wǎng)業(yè)務給通信網(wǎng)絡帶來的壓力�����。
[0011]為了解決上述課題��,本發(fā)明提供一種物聯(lián)網(wǎng)用的代理模塊設備���,所述代理模塊設備包括:接收單元,其接收來自服務器設備的控制面消息����;判斷單元,根據(jù)所述接收單元所接收到的控制面消息中包含的期望到達時間�,判斷是否需要對所述控制面消息進行緩存;以及數(shù)據(jù)處理單元�����,在所述判斷單元判斷為需要對所述控制面消息進行緩存的情況下����,對所述控制面消息進行緩存,而在所述判斷單元判斷為不需要對所述控制面消息進行緩存的情況下����,將所述控制面消息發(fā)送給對應的物聯(lián)網(wǎng)終端設備或者進行丟棄��。
[0012]另外����,為了解決上述課題��,本發(fā)明提供一種物聯(lián)網(wǎng)用的代理模塊設備中的方法��,所述方法包括以下步驟:接收來自服務器設備的控制面消息���;根據(jù)所接收到的控制面消息中包含的期望到達時間�,判斷是否需要對所述控制面消息進行緩存�;以及在判斷為需要對所述控制面消息進行緩存的情況下,對所述控制面消息進行緩存���,而在判斷為不需要對所述控制面消息進行緩存的情況下����,將所述控制面消息發(fā)送給對應的物聯(lián)網(wǎng)終端設備或者進行丟棄�����。
[0013]另外,其中�����,所述物聯(lián)網(wǎng)終端設備包括物聯(lián)網(wǎng)終端和管理多個物聯(lián)網(wǎng)傳感節(jié)點的物聯(lián)網(wǎng)網(wǎng)關���。
[0014]根據(jù)本發(fā)明��,如圖1所示����,代理模塊8可以是處于離物聯(lián)網(wǎng)終端3/4最近的通信網(wǎng)絡中的獨立網(wǎng)絡設備���。同時,代理模塊8也可以是內(nèi)嵌在物聯(lián)網(wǎng)網(wǎng)關4或物聯(lián)網(wǎng)終端3中的一個模塊,從而形成新的物聯(lián)網(wǎng)網(wǎng)關9和物聯(lián)網(wǎng)終端10�����。如圖1所示���,獨立的代理模塊8在物聯(lián)網(wǎng)控制層面����,處于網(wǎng)絡側的服務器設備I和物聯(lián)網(wǎng)終端9/3或物聯(lián)網(wǎng)網(wǎng)關10/4之間,內(nèi)嵌在物聯(lián)網(wǎng)網(wǎng)關9和物聯(lián)網(wǎng)終端10當中的代理模塊在控制面邏輯上位于其中的物聯(lián)網(wǎng)終端控制面邏輯和網(wǎng)絡側的服務器設備I之間�����。
[0015]代理模塊8和內(nèi)嵌的代理模塊主要完成控制面消息的匯聚�、本地處理和定時發(fā)送。當物聯(lián)網(wǎng)終端9/3或物聯(lián)網(wǎng)網(wǎng)關10/4接收來自服務器I的控制面消息時��,首先將進行代理模塊8與服務器I之間的安全認證���。當安全認證通過后�,該控制面消息被送到與其相關聯(lián)的代理模塊8或內(nèi)嵌的功能模塊當中����。代理模塊8或內(nèi)嵌的功能模塊在接收到數(shù)據(jù)信息后,根據(jù)其內(nèi)部實現(xiàn)預置的處理邏輯進行本地處理�,根據(jù)需要進行緩存或者轉到對應的其他代理模塊8中。在合適的時間點���,代理模塊8將緩存的控制面消息發(fā)送給對應的物聯(lián)網(wǎng)終端9/10���。通過這種本地處理的方法,可以盡可能地避免不同通信網(wǎng)絡和無線接入網(wǎng)絡帶來的延遲對于物聯(lián)網(wǎng)控制面流程的影響�����。考慮到執(zhí)行控制面匯聚的設備應該在離對應物聯(lián)網(wǎng)終端9/10最近的代理模塊8中��,所以代理模塊設備8根據(jù)本地預置的控制面處理邏輯可以向其他代理模塊設備8轉發(fā)相關的控制面消息�,最終由一個代理模塊設備8匯聚并緩存多個控制面消息,最終發(fā)送給物聯(lián)網(wǎng)終端9/10����。因此,服務器I只需要將少量的控制面消息發(fā)送給對應的代理模塊8�,從而可以減輕物聯(lián)網(wǎng)業(yè)務給通信網(wǎng)絡帶來的壓力。此外���,當某一通信網(wǎng)絡失效的時候,物聯(lián)網(wǎng)終端9/3或物聯(lián)網(wǎng)網(wǎng)關10/4可以通過其他接口與其他的代理模塊設備8進行信息的交互���,從而降低了通信網(wǎng)絡失效對物聯(lián)網(wǎng)業(yè)務的影響��。
[0016](發(fā)明效果)
[0017]根據(jù)本發(fā)明���,能夠有效地降低控制面的消息給物聯(lián)網(wǎng)終端及維護管理帶來的負面影響,另外��,能夠降低通信網(wǎng)絡失效對物聯(lián)網(wǎng)業(yè)務的影響,減輕物聯(lián)網(wǎng)業(yè)務給通信網(wǎng)絡帶來的壓力�����。
【專利附圖】
【附圖說明】
[0018]通過參考以下組合附圖對所采用的優(yōu)選實施方式的詳細描述����,本發(fā)明的上述目的、優(yōu)點和特征將變得更顯而易見����,其中:
[0019]圖1是示出了應用本發(fā)明中的網(wǎng)絡架構的圖。
[0020]圖2是示出了本發(fā)明中代理模塊的內(nèi)部結構的圖���。
[0021]圖3是示出了本發(fā)明中代理模塊內(nèi)與本發(fā)明有關的關鍵模塊的圖�����。
[0022]圖4是示出了本發(fā)明中主要消息的安全保護格式的圖�����。
[0023]圖5是用于說明本發(fā)明中典型的認證算法的圖���。
[0024]圖6是示出了本發(fā)明中單代理模塊下代理模塊的處理流程的圖����。
[0025]圖7是示出了本發(fā)明中多代理模塊下代理模塊內(nèi)部的處理流程的圖�����。
[0026]圖8是示出了本發(fā)明中控制面安全處理的消息流程的圖�����。
[0027]圖9是示出了本發(fā)明中控制面消息緩存表的典型結構的示意圖���。
[0028]圖10是示出了本發(fā)明中安全關聯(lián)和策略庫的典型結構的示意圖�����。
[0029]圖11是示出了本發(fā)明中終端維護表的典型結構的圖�。
[0030]圖12是示出了當前控制面應用場景和網(wǎng)絡架構的示意圖��。
[0031]圖13是用于說明系統(tǒng)控制面配置消息到達的時間不匹配的問題的圖���。
【具體實施方式】
[0032]圖12為當前應用場景和網(wǎng)絡架構。物聯(lián)網(wǎng)終端3或者管理多個物聯(lián)網(wǎng)傳感節(jié)點6的物聯(lián)網(wǎng)網(wǎng)關4通過有線或者無線的方式接入到通信網(wǎng)絡2中���。網(wǎng)絡側的服務器設備I主要負責物聯(lián)網(wǎng)業(yè)務的管理和運營��。服務器設備I與物聯(lián)網(wǎng)終端3或物聯(lián)網(wǎng)網(wǎng)關4之間的數(shù)據(jù)連接101往往要跨越多個運營商的通信網(wǎng)絡�����。
[0033]圖13示出系統(tǒng)控制面配置消息到達的時間不匹配的問題��。在時間窗口 Tl到T2之間是某物聯(lián)網(wǎng)終端在某一個時間段內(nèi)的期望通信時間��。如果控制面的配置消息沒有落在這個時間窗口內(nèi)且終端需要處理這個消息�,則終端需要耗費過多的電力。長期看的話�,終端的電池壽命將大大降低,從而給物聯(lián)網(wǎng)業(yè)務的運營企業(yè)帶來額外的管理和維護的開銷�。如果終端對于落在時間窗口外的控制信息不予處理,則系統(tǒng)的配置和管理的成功率將大大降低�����,給整個系統(tǒng)的穩(wěn)定性和有效性帶來負面影響�。然而由于網(wǎng)絡延遲的問題,控制面的消息有可能在T3時間點到達�����,給物聯(lián)網(wǎng)終端的壽命和系統(tǒng)維護的有效性帶來很大的負面影響。
[0034]圖1為應用本發(fā)明中的網(wǎng)絡架構���。相比圖12來說��,加入了本發(fā)明中提出的代理模塊設備8���。該代理模塊設備8可以是處于離物聯(lián)網(wǎng)終端3/4最近的通信網(wǎng)絡中的獨立網(wǎng)絡設備。如圖1所示��,獨立的代理模塊設備8在物聯(lián)網(wǎng)業(yè)務層面�,處于網(wǎng)絡側的服務器設備I和物聯(lián)網(wǎng)終端9/3或物聯(lián)網(wǎng)網(wǎng)關10/4之間。此外����,代理模塊設備8也可作為內(nèi)嵌在物聯(lián)網(wǎng)網(wǎng)關4或物聯(lián)網(wǎng)終端3中的一個模塊,從而形成新的物聯(lián)網(wǎng)網(wǎng)關9和物聯(lián)網(wǎng)終端10�����。在控制面邏輯層面��,內(nèi)嵌在物聯(lián)網(wǎng)網(wǎng)關9和物聯(lián)網(wǎng)終端10當中的代理模塊在控制面邏輯上位于其中的物聯(lián)網(wǎng)終端業(yè)務邏輯和網(wǎng)絡側的服務器設備I之間���。網(wǎng)絡側的服務器設備I加入了支持本地處理緩存功能的邏輯模塊����,生成服務器設備7�。在本發(fā)明所面向了通信網(wǎng)絡應用場景中,會包含無線網(wǎng)絡接入方式�����,以及多個運營商的通信網(wǎng)絡����。
[0035]圖2為代理模塊8的內(nèi)部結構。作為獨立設備存在時�,代理模塊8包括一個處理器402,一個內(nèi)部總線401�����,網(wǎng)絡接收模塊(接收單元)403�����,網(wǎng)絡發(fā)送模塊(發(fā)送單元)404�,數(shù)據(jù)存儲器405和程序存儲器406。其中網(wǎng)絡接收模塊403包括網(wǎng)絡接收接口 403-1和網(wǎng)絡接收緩沖區(qū)403-2,網(wǎng)絡發(fā)送模塊404包括網(wǎng)絡發(fā)送接口 404-1和網(wǎng)絡發(fā)送緩沖區(qū)404-2����。在數(shù)據(jù)存儲器405當中,包括如下模塊:控制面消息緩存表405-1���,存儲本代理模塊8進行本地處理緩存及直接發(fā)送所對應的物聯(lián)網(wǎng)終端9/3或物聯(lián)網(wǎng)網(wǎng)關10/4設備的控制面消息信息���;安全關聯(lián)和策略庫(存儲單元)405-2,存儲該代理模塊8與其他代理模塊8及相關服務器之間控制面的安全依賴關系���;終端維護表405-3����,存儲與之相關的物聯(lián)網(wǎng)網(wǎng)關9和物聯(lián)網(wǎng)終端10的關聯(lián)信息�����,如果需要轉發(fā)至其他代理模塊8中���,則需要存儲相關其他代理模塊8的信息等����;其他數(shù)據(jù)存儲信息405-4。在程序存儲器406���,包括如下模塊:TCP/IP協(xié)議棧406-1,執(zhí)行基本的TCP/IP及相關底層網(wǎng)絡協(xié)議的處理��;控制面處理單元(判斷單元�、數(shù)據(jù)處理單元、轉發(fā)處理單元)406-2�����,所有本地控制面緩存和處理的中心控制單元�����;安全處理單元406-3�����,執(zhí)行與相關代理模塊8和服務器I之間的安全認證和交互���;其他程序單元406-4�����。
[0036]圖3為代理模塊內(nèi)與本發(fā)明有關的關鍵模塊���。包括控制面處理和同步單元501����,所有本地控制面緩存和處理的中心控制單元�;安全處理單元502,執(zhí)行與相關代理模塊8和服務器I之間的安全認證和交互�;控制面消息緩存表503,存儲本代理模塊8進行本地處理緩存及直接發(fā)送所對應的物聯(lián)網(wǎng)終端9/3或物聯(lián)網(wǎng)網(wǎng)關10/4設備的控制面消息信息����;安全關聯(lián)和策略庫504,存儲該代理模塊8與其他代理模塊8及相關服務器之間控制面的安全依賴關系�����;終端維護表505�����,存儲與之相關的物聯(lián)網(wǎng)網(wǎng)關9和物聯(lián)網(wǎng)終端10的關聯(lián)信息���,如果需要轉發(fā)至其他代理模塊8中����,則需要存儲相關其他代理模塊8的信息等。
[0037]在本發(fā)明中���,使用已有的網(wǎng)絡同步方式進行同步�,如NTP及其升級版本�����,PTP/IEEE1588�,空口幀同步等方法�����。
[0038]進一步�����,對本發(fā)明中的代理模塊設備(代理模塊8)進行詳細說明�����。在物聯(lián)網(wǎng)業(yè)務層面����,代理模塊設備處于網(wǎng)絡側的服務器設備(服務器I)和終端側設備(物聯(lián)網(wǎng)終端3/10���、物聯(lián)網(wǎng)網(wǎng)關4/9)之間,代理模塊設備包括:接收單元��,其接收來自服務器設備的控制面消息�;存儲單元(安全關聯(lián)和策略庫),其存儲代理模塊設備與服務器設備之間控制面的安全依賴關系���;安全處理單元�����,其根據(jù)安全關聯(lián)和策略庫的內(nèi)容�����,對所接收到的控制面消息中的服務器代理模塊認證域進行驗證����;控制面處理單元�,其是本地控制面緩存和處理的中心控制單元;以及發(fā)送單元�����,其根據(jù)終端維護表中所存儲的關聯(lián)信息,向?qū)慕K端側設備發(fā)送控制面消息�。其中,在通過安全處理單元驗證失敗的情況下�����,安全處理單元向服務器設備發(fā)送應答消息���,在通過安全處理單元驗證成功的情況下,控制面處理單元根據(jù)控制面消息中包含的期望到達時間����,判斷是否需要對控制面消息進行緩存,在所述控制面消息中包含的期望到達時間正好到期或已過期的情況下���,判斷為不需要進行緩存�,將控制面消息通過發(fā)送單元發(fā)送給對應的終端側設備或者進行丟棄�����,在所述控制面消息中包含的期望到達時間尚未到期的情況下�����,判斷為需要進行緩存,將控制面消息緩存在控制面消息緩存表中并設定定時器����,當定時器到期時,控制面處理單元提取緩存的控制面消息并進行判斷����。
[0039]圖4示出本發(fā)明中主要消息的安全保護格式。在從服務器I發(fā)往代理模塊8的消息中��,包括報文頭(TCP/IP等)601����,原始消息體602,服務器終端認證域603����,標志位R604,服務器代理模塊認證域605��。其中在原始消息體602中,包括控制面配置的信息內(nèi)容606,期望到達的時間區(qū)段607���,以及序列號或者隨機數(shù)608等���。在代理模塊8之間傳遞的控制面消息中����,包括報文頭(TCP/IP等)609����,原始消息體602(保持不變),服務器終端認證域603 (保持不變)����,標志位R610和代理模塊之間的認證域611。在代理模塊8處理后發(fā)給終端9/10的消息中����,包括包括報文頭(TCP/IP等)612���,原始消息體602 (保持不變)�����,服務器終端認證域603 (保持不變)�����。
[0040]標志位R604用于表示是否是服務器I發(fā)往代理模塊8的控制面消息�����。當代理模塊8接收到來自服務器I的控制面消息后首先驗證消息體R位�����,如果R位為O則表明是服務器I發(fā)往代理模塊8的控制面消息�。如果R位不為O則表明是服務器I直接發(fā)往物聯(lián)網(wǎng)終端9/3/或物聯(lián)網(wǎng)網(wǎng)關10/4設備的消息。因為�����,標志位R604不為O時��,服務器I對終端側設備(即�,物聯(lián)網(wǎng)終端或物聯(lián)網(wǎng)網(wǎng)關)發(fā)送控制面配置消息的過程,可以采用現(xiàn)有技術���,所以以下僅針對標志位R為O的情況進行說明��。
[0041]圖5示出本發(fā)明中典型的認證算法��。在計算圖4中服務器終端認證域603部分時��,使用公式701 ;在計算圖4中服務器代理模塊認證域時��,使用公式702 ;在計算圖4中代理模塊之間認證域611時�,使用公式703。物聯(lián)網(wǎng)終端的計算和電池資源不多����,無法執(zhí)行復雜的認證算法。同時控制面信息具有很強的單向性�����,即該信息只需有相關的物聯(lián)網(wǎng)終端9/3或者代理模塊8來執(zhí)行��,該控制信息的內(nèi)容即使被第三方截獲也不會對于系統(tǒng)造成負面影響��。因此在實際的認證過程中�����,與傳統(tǒng)的雙向認證的方法不同�����,只采用物聯(lián)網(wǎng)終端9/3或者代理模塊對服務器I的單向認證即可���。在典型的流程中�����,可以首先在物聯(lián)網(wǎng)終端9/3與服務器I之間���,及代理模塊8與服務器I之間預置共享密鑰。當物聯(lián)網(wǎng)終端9/3接收到與自己相關的控制面信息后���,將預共享密鑰���、序列號或隨機數(shù)608及報文內(nèi)容按照公式701中的方法進行計算。計算的結果與認證域603的內(nèi)容相同����,則完成了對服務器端I的認證。同理�,代理模塊8與服務器2之間,或者代理模塊8之間的認證可以采用這種方法���。該方法雖然將傳統(tǒng)的雙向認證拆分成兩個方向的單向認證��,在需要實現(xiàn)雙向認證的場景下會多出幾步流程����,但是增加了靈活性,對于單向雙向認證混合的場景下有優(yōu)勢�。同時,完成認證需要的計算資源不大�����,非常適合物聯(lián)網(wǎng)場景�����。
[0042]圖6示出代理模塊接受服務器配置本地處理邏輯的內(nèi)部工作流程�����。在開始工作(步驟801)后�����,首先代理模塊8中控制面處理單元406-2通過網(wǎng)絡接收模塊403接收來自服務器I的控制面消息�;然后在安全處理單元406-3根據(jù)安全關聯(lián)和策略庫405-2的內(nèi)容對于控制面消息中的服務器代理模塊認證域605進行驗證(步驟802)。在對驗證結果的檢查中(步驟803)�,如果驗證失敗,則直接丟棄該控制面消息����,并發(fā)送給服務器I應答消息(步驟804),之后可以結束流程(步驟810)���。如果認證成功���,則進一步根據(jù)由控制面消息中包含的期望到達時間區(qū)段607所規(guī)定的時間點進行檢查,是否需要緩存(步驟805)����。如果需要立即發(fā)給終端9/10或者時間已過期,則執(zhí)行發(fā)送給終端或者丟棄消息(步驟806)��,之后可以結束流程(步驟810)�����。如果需要緩存消息�����,代理模塊8將該控制面消息緩存在控制面消息緩存表405-1中(步驟807)����,并設定定時器(步驟808)�����。當定時器到期時(步驟809)�,將緩存的消息轉給控制面處理單元406-2進行判斷并發(fā)送���。
[0043]圖7示出本發(fā)明中多代理模塊下代理模塊內(nèi)部的處理流程����。流程開始(步驟901)后���,當代理模塊8接收到來自服務器I的控制面消息后����,在安全處理單元406-3根據(jù)安全關聯(lián)和策略庫405-2的內(nèi)容�,對于消息中服務器代理模塊認證域605進行驗證(步驟902)。在對驗證結果的檢查中(步驟903)�,如果驗證失敗,則直接丟棄該控制面消息�����,并發(fā)送給服務器I應答消息(步驟904),之后可以結束流程(步驟913)��。如果認證成功���,則進一步對終端維護表405-3進行檢查(步驟905),根據(jù)檢查的結果判斷是否要在本代理模塊8進行緩存或轉發(fā)(步驟906)����。如果需要其他代理模塊8進行緩存或轉發(fā),則發(fā)送給相關的代理模塊8 (步驟907)�����。如果需要在本地緩存轉發(fā)��,則進一步根據(jù)期望到達的時間區(qū)段607中規(guī)定的時間點進行檢查�����,是否需要緩存(步驟908)���。如果需要立即發(fā)給終端9/10或者時間已過期�,則執(zhí)行發(fā)送給終端或者丟棄消息(步驟909)�����,之后可以結束流程(步驟913)。如果需要緩存消息��,代理模塊8將該控制面消息緩存在控制面消息緩存表405-1中(步驟910)�����,并設定定時器(步驟911)�����。當定時器到期時(步驟912)����,將緩存的消息轉給控制面處理單元406-2進行判斷并發(fā)送。
[0044]圖11中示出本發(fā)明中終端維護表的典型結構�����。其中包括終端ID1301����,終端地址1302,連接方式1303,對應的代理模塊ID1304 (如果為本代理模塊8緩存處理���,則置空)��,對應的代理模塊地址1305����。其中�,連接方式1303為“直接(direct) ”時��,表示由本代理模塊進行緩存處理����,連接方式1303為“間接(indirect) ”時,表示由其他代理模塊���,即對應代理模塊進行緩存處理���。
[0045]圖8示出控制面安全處理的消息流程。在單代理模塊模式1001中�����,代理模塊8首先收到來自服務器7的控制面配置消息1001-1,然后進行本地處理緩存1001-2����。之后應答服務器7(1001-3)。當時間點到達時1001-4�,將緩存的消息發(fā)送給終端3/4(1001-5)。在多代理模塊模式1002中�,代理模塊8收到來自服務器7的控制面配置消息1002-1,首先判斷是否要由其他代理模塊處理1002-2�����,如果結果為是�����,則組成新的報文�����,附加代理模塊間的認證消息域(代理模塊之間認證域)1002-3�,并將這個新的報文發(fā)送給對應代理模塊8 (1002-4)。對應代理模塊8執(zhí)行類似的流程���,對該消息進行本地緩存1002-5���,并應答源代理模塊8 (1002-6)����。該應答消息被轉發(fā)給服務器7 (1002-7)����。當時間點到達時1002-8,將緩存的消息發(fā)送給終端3/4(1002-9)����。在代理模塊8無法緩存處理并回退的場景1003中,代理模塊8首先收到來自服務器7的控制面配置消息1003-1����,然后判斷是否進行本地處理緩存1003-2����。如果結果為否,則將應答消息發(fā)送給服務器7 (1003-4)���。之后服務器7將控制面消息直接發(fā)送給對應的物聯(lián)網(wǎng)終端3/4(1003-5)����。
[0046]圖9示出本發(fā)明中控制面消息緩存表的典型結構。其中包括消息ID1101�����,消息源地址1102��,消息源端口 1103���,目的地址1104����,目的端口 1105���,到達時間1106��,發(fā)送時間1107�,控制面消息內(nèi)容1108和序列號1109�����。
[0047]圖10示出本發(fā)明中安全關聯(lián)和策略庫的典型結構�����。其中包括相關的服務器7和其他代理模塊8的ID1201、地址1202和端口 1203���,進行安全運算的密鑰1204�,進行圖5中運算的內(nèi)容1205�,運算的方法1206及序列號1207。
[0048]盡管以上已經(jīng)結合本發(fā)明的優(yōu)選實施例示出了本發(fā)明����,但是本領域的技術人員將會理解,在不脫離本發(fā)明的精神和范圍的情況下����,可以對本發(fā)明進行各種修改、替換和改變����。因此�����,本發(fā)明不應由上述實施例來限定�,而應由所附權利要求及其等價物來限定。
【權利要求】
1.一種物聯(lián)網(wǎng)用的代理模塊設備�,所述代理模塊設備包括: 接收單元���,其接收來自服務器設備的控制面消息; 判斷單元��,根據(jù)所述接收單元所接收到的控制面消息中包含的期望到達時間�����,判斷是否需要對所述控制面消息進行緩存��;以及 數(shù)據(jù)處理單元�,在所述判斷單元判斷為需要對所述控制面消息進行緩存的情況下,對所述控制面消息進行緩存����,而在所述判斷單元判斷為不需要對所述控制面消息進行緩存的情況下,將所述控制面消息發(fā)送給對應的物聯(lián)網(wǎng)終端設備或者進行丟棄�����。
2.根據(jù)權利要求1所述的代理模塊設備�,其中, 所述判斷單元在所述控制面消息中包含的期望到達時間尚未到期的情況下����,判斷為需要對所述控制面消息進行緩存�。
3.根據(jù)權利要求1所述的代理模塊設備��,其中�����, 所述判斷單元在所述控制面消息中包含的期望到達時間正好到期或已過期的情況下��,判斷為不需要對所述控制面消息進行緩存�。
4.根據(jù)權利要求1所述的代理模塊設備,其中���, 所述代理模塊 設備還包括: 轉發(fā)處理單元�,在所述接收單元所接收到的控制面消息并非發(fā)往本代理模塊設備所支持的物聯(lián)網(wǎng)終端設備的消息的情況下����,將所述控制面消息轉發(fā)到相應的其他代理模塊設備。
5.根據(jù)權利要求1所述的代理模塊設備����,其中���, 所述代理模塊設備還包括: 存儲單元�,存儲表示所述代理模塊設備與所述服務器設備之間的控制面的安全依賴關系的安全關聯(lián)和策略庫; 安全處理單元��,其根據(jù)所述安全關聯(lián)和策略庫的內(nèi)容��,通過對所接收到的所述控制面消息中的服務器代理模塊認證域進行驗證來對發(fā)送所述控制面消息的服務器設備進行認證����。
6.根據(jù)權利要求5所述的代理模塊設備,其中����, 所述認證基于預共享密鑰。
7.根據(jù)權利要求1所述的代理模塊設備�,其中, 在物聯(lián)網(wǎng)業(yè)務層面�,所述代理模塊設備處于網(wǎng)絡側的服務器設備和終端側設備之間。
8.根據(jù)權利要求1所述的代理模塊設備���,其中�����, 所述代理模塊設備內(nèi)嵌在所述終端側設備中�,在控制面邏輯上�����,位于其中的物聯(lián)網(wǎng)終端設備業(yè)務邏輯與所述服務器設備之間。
9.根據(jù)權利要求1所述的代理模塊設備�,其中, 所述物聯(lián)網(wǎng)終端設備包括物聯(lián)網(wǎng)終端和管理多個物聯(lián)網(wǎng)傳感節(jié)點的物聯(lián)網(wǎng)網(wǎng)關�����。
10.一種物聯(lián)網(wǎng)用的代理模塊設備中的方法�����,所述方法包括以下步驟: 接收來自服務器設備的控制面消息��; 根據(jù)所接收到的控制面消息中包含的期望到達時間���,判斷是否需要對所述控制面消息進行緩存����;以及 在判斷為需要對所述控制面消息進行緩存的情況下��,對所述控制面消息進行緩存�����,而在判斷為不需要對所述控制面消息進行緩存的情況下��,將所述控制面消息發(fā)送給對應的物聯(lián) 網(wǎng)終端設備或者進行丟棄���。
【文檔編號】H04L29/06GK104079608SQ201310106474
【公開日】2014年10月1日 申請日期:2013年3月29日 優(yōu)先權日:2013年3月29日
【發(fā)明者】楊鵬, 水谷美加 申請人:株式會社日立制作所