(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210601272.1 (22)申请日 2022.05.30 (71)申请人 武汉市水务 集团有限公司 地址 430000 湖北省武汉市硚口区解 放大 道170号 申请人 上海威派格智慧水务股份有限公司 (72)发明人 关凯　李向东　朱晓鹏　周强　 石立　黄绪勇　滕立勇　陈果　 周晓伟　 (74)专利代理 机构 上海申新 律师事务所 31272 专利代理师 吴轶淳 (51)Int.Cl. H04L 69/08(2022.01) H04L 67/06(2022.01) H04L 9/32(2006.01)H04L 9/40(2022.01) H04L 67/562(2022.01) H04L 67/12(2022.01) (54)发明名称 一种物联网安全通信系统 (57)摘要 本发明提供一种物联网安全通信系统， 包 括： 多个设备采集装置， 用于采集各工业设备的 设备数据； 边缘网关， 包括： 第一协议转换器， 用 于将接收到的非标准数据类型的各设备数据转 换得到标准数据类型的设备数据； 边缘计算模 块， 用于根据边缘算法对各设备数据进行分析得 到运算结果； 第一协议转换器还用于对运算结果 进行编码得到符合 OPCUA协议格式的运算数据并 进行加密和数字签名处理； 第一 OPCUA服务器， 用 于根据消息列队传输协议输出加密和数字签名 处理后的运算数据； 云端服务器， 用于对运算数 据进行解码并将运算结果提供给数据消费端。 有 益效果是本系统融合OPCUA协议和消息列队传输 协议进行数据传输， 并通过编码、 加密和数字签 名操作保障数据的安全性。 权利要求书2页 说明书7页 附图1页 CN 115208959 A 2022.10.18 CN 115208959 A 1.一种物联网安全通信系统， 其特 征在于， 包括: 多个设备采集装置， 分别连接一工业设备， 用于采集各所述工业设备的设备数据并输 出； 一边缘网关， 连接各 所述设备采集装置， 包括： 第一协议转换器， 用于将接收到的非标准数据类型的各所述设备数据进行协议转换得 到标准数据类型的设备 数据； 边缘计算模块， 连接所述第一协议转换器， 用于根据预先配置的边缘算法对标准数据 类型的各 所述设备 数据进行分析 得到对应的运 算结果； 所述第一协议转换器还用于对所述运算结果进行编码得到符合OPC  UA协议格式的运 算数据并对所述 运算数据进行加密和数字签名处 理； 第一OPC UA服务器， 连接所述第一协议转换器， 用于根据消息列队传输协议将加密和 数字签名处 理后的所述 运算数据进行输出； 一云端服务器， 连接所述边缘网关， 用于对加密和数字签名处理后的所述运算数据进 行解码并转换为标准数据类型的所述运算结果进 行存储， 以及将所述运算结果提供给对应 的数据消费端 进行消费。 2.根据权利要求1所述的物联网安全通信系统， 其特征在于， 各所述设备采集装置为 PLC设备， 用于采集对应的所述工业设备的所述设备数据， 并根据串行通信协议或所述OPC   UA协议将所述设备 数据输出至所述 边缘网关。 3.根据权利 要求1所述的物联网安全通信系统， 其特征在于， 所述第一OPC  UA服务器内 集成有一通信连接模块， 用于在所述边缘网关与所述云端服务器通过消息列队传输协议连 接后， 将预先采集的各所述工业设备 的硬件信息输出至所述云端服务器， 以及在接 收到所 述云端服务器根据所述硬件信息反馈的表征所述边缘网关与所述云端服务器建立安全通 信的连接信号后输出 所述运算数据。 4.根据权利 要求3所述的物联网安全通信系统， 其特征在于， 所述第一OPC  UA服务器内 集成有一数据传输模块， 所述第一OP C UA服务器通过所述数据传输模块输出加密和数字签 名处理后的所述 运算数据， 则所述数据传输模块包括： 第一传输单元， 用于在所述通信连接模块接收到所述连接信号后， 向所述云端服务器 发送表征所述运算数据的数据格式的一Meta帧； 第二传输单元， 连接所述第一传输单元， 用于在所述第一传输单元发送所述Meta帧后 根据所述运算数据生成对应的key帧并发送至所述云端服务器， 以使所述云端服务器根据 所述Meta帧对所述 key帧进行解码； 第三传输单元， 连接所述第二传输单元， 用于实时检测所述key帧的长度并在所述key 帧的长度大于一预设长度时， 通过预先配置的Chunk帧将所述key帧拆 分为多个key子帧， 并 控制所述第二传输单元发送各所述key子帧至所述云端服务器， 以使所述云端服务器根据 所述Meta帧对各 所述key子帧进行解码。 5.根据权利要求1所述的物联网安全通信系统， 其特征在于， 所述边缘计算模块连接一 第一数据库， 所述第一数据库用于存储各所述运算结果， 则所述边缘网关还包括一控制 选 择模块， 连接所述边缘计算模块， 用于在接收到外部输入的表征输出的控制指 令时， 控制所 述边缘计算模块将所述 运算结果输出至所述第一协议 转换器； 以及权　利　要　求　书 1/2 页 2 CN 115208959 A 2在接收到表征存储的所述控制 指令时， 控制所述边缘计算模块将所述运算结果输出至 所述第一数据库进行存 储。 6.根据权利要求1所述的物联网安全通信系统， 其特征在于， 所述边缘网关还包括一更 新模块， 连接所述边缘计算模块， 用于根据SS H文件传输协 议接收所述云端服务器下发的最 新的所述 边缘算法并将最 新的所述 边缘算法输出至所述 边缘计算模块进行 更新； 或 在接收到所述云端服务器下发的日志获取信号 时根据SSH文件传输协议输出对应的运 行日志至所述云端服 务器。 7.根据权利要求1所述的物联网安全通信系统， 其特征在于， 所述数据消费端为消息队 列遥测传输消费端、 状态转移应用程序接口和OPC  UA消费端， 用于为不同的用户提供数据 消费服务。 8.根据权利要求7 所述的物联网安全通信系统， 其特 征在于， 所述云端服 务器包括： 一第二OPC  UA服务器， 用于对所述运算数据进行解码并转换为标准数据类型的所述运 算结果， 以及将所述 运算结果存 储至连接所述第二OPC  UA服务器的第二数据库； 一第二协议转换器， 连接所述第二数据库， 用于在接收到所述OPC  UA消费端输出的第 一订阅信号时， 根据所述第一订阅信号于所述第二数据库内获取对应的所述运算结果并将 所述运算结果转换为符合OPC  UA协议格式的所述 运算结果输出至所述OPC  UA消费端； 一消息队列遥测传输服务器， 连接所述第二数据库， 用于在接收到所述消息队列遥测 传输消费端输出的第二订阅信号时， 根据所述第二订阅信号于所述第二数据库内获取对应 的所述运算结果并输出至所述消息队列遥测传输消费端； 一应用服务模块， 连接所述第二数据库， 用于在接收到所述状态转移应用程序接口输 出的第三订阅信号时， 根据所述第三订阅信号于所述第二数据库内获取对应的所述运算结 果并输出至所述状态转移应用程序接口。 9.根据权利要求8所述的物联网安全通信系统， 其特征在于， 所述边缘网关还包括一验 证请求模块， 连接所述第一OPC  UA服务器， 用于在所述第一OPC  UA服务器输出所述运算数 据至所述云端服务器之前输出一私钥及预先下载 的所述云端服务器对应的凭证至所述云 端服务器， 则所述云端服务器还包括一验证模块， 连接所述第二OPC  UA服务器， 用于在所述 私钥和所述凭证均正确时控制所述第二OPC  UA服务器接收所述 运算数据； 以及 在所述私钥和所述凭证未完全正确时控制所述第二OPC  UA服务器拒绝接收所述运算 数据。 10.根据权利要求1所述的物联网安全通信系统， 其特 征在于， 所述 边缘网关还 包括： 一上传管理模块， 用于采集各所述工业设备对应的管理信 息并输出表征所述管理信 息 的数据格式的一M2CMeta帧至所述云端服务器， 以及在输出所述M2CMeta帧后根据所述管理 信息生成对应的M2CKey帧并输出至所述云端服务器， 以使所述云端服务器根据所述 M2CMeta帧对所述M2CK ey帧进行解析 得到对应的所述管理信息； 一下发管理模块， 用于接收所述云端服务器下发的表征所述管理信 息的数据格式的所 述M2CMeta帧和所述M2CKey帧， 并根据所述M2CMeta帧对所述M2CKey帧进行解析得到对应的 所述管理信息 。权　利　要　求　书 2/2 页 3 CN 115208959 A 3