基於物聯網的高效應用式安全專網傳輸方法與系統與流程
2023-06-02 09:07:21 1
本發明涉及物聯網傳輸技術領域,特別涉及一種基於物聯網的高效應用式安全專網傳輸方法與系統。
背景技術:
物聯網(iot)描述了一個世界,在這個世界中,越來越多的設備受到傳感器的驅動,設備之間互相連接,並且能夠分享自身當前狀態及所在運行環境的信息。物聯網通過智能感知、識別技術等通信感知技術,廣泛應用於網絡的融合中,隨著信息技術的快速發展,物聯網作為信息技術的重要組成部分,成為下一個經濟增長的重要推手。
隨著物聯網技術的快速發展、雲計算和數據挖掘技術的普及,物聯網絡中數據傳輸的安全性越來越得以關注,並成為物聯網能否健康發展和獲得更廣泛應用的關鍵。但物聯網中,由於網絡中設備的多種類、多場合應用,採用專網並不現實。而vpn(虛擬專用網絡)以其設備成本高、並發量有限、連接不穩定等特點,只能在小範圍中運用,大規模運用不經濟,成本高,為此不適合在物聯網中應用。
因此,如何利用現有的網絡技術,並通過改進現有的網絡傳輸控制方式,從而為物聯網數據的安全可靠的傳輸提供服務,是本領域亟待解決的技術問題。
技術實現要素:
本發明的目的在於提供一種基於物聯網的高效應用式安全專網傳輸方法與系統,以解決現有的網絡技術無法為物聯網中的數據傳輸提供安全可靠的保障的問題。
為實現上述目的,本發明提供了一種基於物聯網的高效應用式安全專網傳輸方法,應用於物聯網中,所述物聯網包括物流數據採集端及物流中心伺服器,所述物流數據採集端包括智能運輸應用端、配貨管理端及智能倉儲管理端,分別用於採集物流端信息、配送信息及倉儲信息的物流數據,該方法包括:
在物聯網中傳輸數據的物流數據採集端及物流中心伺服器分別植入網絡傳輸層功能擴展的安全控制模塊,在所述安全控制模塊內進行至少包括設置:讀入配置文件調用內核信息獲取並設置物流中心伺服器埠信息和物流數據採集端通信埠中信息在內的初始化操作;定義傳輸層之間數據傳輸功能的打開/關閉指令操作;定義傳輸層進行數據傳輸的發送/接收指令操作;及定義傳輸層進行數據傳輸的數據加密/解密指令操作;
當物聯網的物流數據採集端有物流數據需要傳輸時,傳輸層才打開並進行加解密通信,實現網絡鏈路專網的數據通信,物流中心伺服器接收到的物流數據按照預先設定的解密指令進行解密操作,傳輸完成立即關閉傳輸層。
較佳地,在物流中心伺服器預先存儲有數據傳輸的白名單,並在物流中心伺服器動態更新允許數據傳輸的物流數據採集端的白名單信息;
物流中心伺服器在接收到數據後,僅允許接收在白名單內的物流數據採集端的數據。
較佳地,數據傳輸過程中,在發送端,發送數據時首先通過網絡協議接口層的dev_queue_xmit函數將數據包發送至網絡設備接口層,然後轉發給設備驅動功能層的hard_start_xmit函數啟動數據包發送操作,使數據包在網絡物理設備中進行傳輸;
在接收端,接收數據時首先通過中斷處理的觸發接收操作以獲取網絡物理設備中傳輸的數據包,然後由網絡設備接口層將接收的數據包轉發給網絡協議接口層的netif_rx函數接收數據;
其中,網絡設備接口層設置有用於描述網絡物理設備屬性和操作的結構體net_device,數據包通過所述結構體net_device識別設備驅動功能層的對應的操作。
較佳地,所述安全控制模塊的初始化操作進一步包括:
調用probe函數進行設備檢測、配置和初始化硬體,然後向系統申請對應的資源;最後填充本機的dev結構,並讀入config.xml文件的配置信息,調用內核提供的ether_setup方法來設置:物流中心伺服器端的ip地址及域名、埠本機通信埠,通信令牌。
較佳地,所述打開指令操作進一步包括:在網絡設備被激活時,調用open函數執行資源申請、硬體激活、註冊中斷、dma,以及進行設置寄存器、啟動設備與發送隊列;
所述關閉指令操作進一步包括:在網絡設備被關閉時,調用stop函數執行資源釋放、硬體關閉、關閉中斷。
較佳地,所述發送指令操作進一步包括:調用驅動程序的hard_start_xmit函數,將發送的數據放在一個sk_buff結構中,發送成功後,hard_start_xmit函數釋放sk_buff結構;
所述接收指令操作進一步包括:當有數據中斷時,在終端處理程序的驅動程序中申請一塊sk_buff(skb)從硬體中讀取數據位置到申請好的緩衝區裡,再調用netif_rx函數將skb的數據交給網絡協議接口層。
本發明還提供了一種基於物聯網的高效應用式安全專網傳輸系統,包括:
物流數據採集端,設置於物流終端以採集物流數據;
物流中心伺服器,設置於監控中心以接收所述物流數據;
安全控制模塊,其分別預先加載在所述物流數據採集端及物流中心伺服器上,在所述安全控制模塊內進行至少包括設置:讀入配置文件調用內核信息獲取並設置物流中心伺服器埠信息和物流數據採集端通信埠中信息在內的初始化操作;定義傳輸層之中數據傳輸功能的打開/關閉指令操作;定義傳輸層進行數據傳輸的發送/接收指令操作;及定義傳輸層進行數據傳輸的數據加密/解密指令操作;
當物聯網的物流數據採集端有物流數據需要傳輸時,傳輸層才打開並進行加解密通信,實現網絡鏈路專網的數據通信,物流中心伺服器接收到的物流數據按照預先設定的解密指令進行解密操作,傳輸完成立即關閉傳輸層。
本發明還提供了一種上述系統的傳輸方法,包括:
當發送端需要傳輸數據時,發送端通過所述打開指令操作請求打開所述傳輸層建立網絡鏈路專網,然後由發送端的安全控制模塊將待傳輸的數據執行加密指令操作,並將加密後的數據通過發送指令操作傳輸至建立的網絡鏈路專網;
當接收端接收數據時,接收端通過所述接收指令操作執行數據的接收,並通過所述解密指令操作對數據進行解密,接收完成後通過所述關閉指令操作請求關閉所述傳輸層並撤銷所述網絡鏈路專網。
本發明還提供了一種基於物聯網的高效應用式安全專網傳輸系統,包括:
物流數據採集端,設置於物流終端以採集物流數據;
物流中心伺服器,設置於監控中心以接收所述物流數據;
安全控制模塊,其分別預先加載在所述物流數據採集端及物流中心伺服器上,在所述安全控制模塊內進行至少包括設置:讀入配置文件調用內核信息獲取並設置物流中心伺服器埠信息和物流數據採集端通信埠中信息在內的初始化操作;定義傳輸層直接數據傳輸功能的打開/關閉指令操作;傳輸層進行數據傳輸的發送/接收指令操作;傳輸層進行數據傳輸的數據加密/解密指令操作;使得:
當物聯網的物流數據採集端有物流數據需要傳輸時,傳輸層才打開並進行加解密通信,實現網絡鏈路專網的數據通信,物流中心伺服器接收到的物流數據按照預先設定的解密指令進行解密操作,傳輸完成立即關閉傳輸層。
還包括第三方管理器,執行動態更新發送物流數據的物流數據採集端的白名單,並將動態更新的白名單發送至所述物流中心伺服器,以及執行所述物流數據採集端的時鐘同步及打開/關閉傳輸層。
本發明還提供了一種上述系統的傳輸方法,包括:
所述第三方管理器進行物流數據採集端與物流中心伺服器的時鐘同步,
當發送端需要傳輸數據時,發送端通過所述打開指令操作向所述第三方管理器請求打開所述傳輸層建立網絡鏈路專網,當第三方管理器打開所述傳輸層後,由發送端的安全控制模塊將待傳輸的數據執行加密指令操作,並將加密後的數據通過發送指令操作傳輸至建立的網絡鏈路專網,同時所述第三方管理器將發送端的標識信息發送至所述物流中心伺服器;
當接收端接收數據時,首先查詢所述標識信息是否在白名單內,如是則接收端通過所述接收指令操作執行數據的接收,並通過所述解密指令操作對數據進行解密,接收完成後通過所述關閉指令操作向所述第三方管理器請求關閉所述傳輸層並撤銷所述網絡鏈路專網,由所述第三方管理器關閉所述傳輸層;如否,則拒絕接受數據。
本發明技術方案中的物聯網的網絡通訊周期實現了可定義的秒級通訊,具體地本發明具有以下有益效果:
1)網絡傳輸層數據包:針對網絡黑客手段工具的多樣性,通過網絡傳輸層數據包加密,黑客很難發現目標ip,即使黑客鎖定了目標ip或域名的前提下,雖然黑客可以通過網絡監聽、截取信息的手段破解密碼,模擬的虛假報文來欺騙,依然有後面兩層加以攔截。
2)網絡傳輸層應用式開/閉合:當應用系統有數據需要傳輸時,傳輸層才打開,進行加解密通訊,實現網絡鏈路專網,若沒有收到加密的報文一概拒絕,這樣即使cpu、作業系統、乃至病毒對外失去了聯繫傳播的途徑和通道,傳輸完成立即關閉傳輸層,這樣黑客即使用模擬的虛假報文來欺騙,也不知道網絡傳輸層何時打開,常常連接失敗,極大地提高了網絡安全性;即便黑客可以把模擬的虛假報文通過網絡傳輸層應用式開/閉合規則,依然有應用白名單層加以攔截;
3)應用白名單:由於物聯網通訊特點是點對點的通訊方式,所以通訊目標是十分明確的,並且有系統來統一管理,為此,可以把通訊目標點加入白名單。因此,本發明技術方案中要完成依次傳輸必須具備三個條件:通訊目標是白名單之一;網絡傳輸層開啟;數據解密合法;該方案的數據傳輸安全性較高。
附圖說明
圖1為本發明方法流程圖;
圖2為本發明優選實施例的設備無關層到驅動層的體系結構圖;
圖3為一優選實施例的系統組成示意圖;
圖4為另一優選實施例的系統組成示意圖。
具體實施方式
以下將結合本發明的附圖,對本發明實施例中的技術方案進行清楚、完整的描述和討論,顯然,這裡所描述的僅僅是本發明的一部分實例,並不是全部的實例,基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動的前提下所獲得的所有其他實施例,都屬於本發明的保護範圍。
為了便於對本發明實施例的理解,下面將結合附圖以具體實施例為例作進一步的解釋說明,且各個實施例不構成對本發明實施例的限定。
本實施例提供的一種基於物聯網的高效應用式安全專網傳輸方法,應用於物聯網中,所述物聯網包括設置於物流終端用於採集物流數據的物流數據採集端,以及設於監控中心用於接收所述物流數據的物流中心伺服器,如圖1所示,該方法包括:
s1:在物聯網中傳輸數據的物流數據採集端及物流中心伺服器分別植入網絡傳輸層功能擴展的安全控制模塊,其中,在所述安全控制模塊內進行至少包括設置:讀入配置文件調用內核信息獲取並設置物流中心伺服器埠信息和物流數據採集端通信埠中信息在內的初始化操作;定義傳輸層之間數據傳輸功能的打開/關閉指令操作;定義傳輸層進行數據傳輸的發送/接收指令操作;及定義傳輸層進行數據傳輸的數據加密/解密指令操作;
s2:當物聯網的物流數據採集端有物流數據需要傳輸時,傳輸層才打開並進行加解密通信,實現網絡鏈路專網的數據通信;
s3:物流中心伺服器接收到的物流數據按照預先設定的解密指令進行解密操作,傳輸完成立即關閉傳輸層。
其中,本實施例中的物流數據採集端包括智能運輸應用端、配貨管理端及智能倉儲管理端,對應地,這裡的物流數據採集端所採集的物流數據包括物流端信息、配送信息及倉儲信息。這裡的物流數據採集端可以根據需要設為與各種可以直接獲取物流數據的計算機、手持終端、單片機等可以通過網際網路與物流中心伺服器通信,以便將採集的物流數據發送給物流中心伺服器的設備。
優選地,在物流中心伺服器中預先存儲有數據傳輸的白名單,並在物流中心伺服器處進行動態更新允許數據傳輸的物流數據採集端的白名單信息。其中,白名單內存儲有與合法的物流數據採集端對應的標識信息,如設備編號。則進行數據傳輸時,物流中心伺服器在接收到數據後,僅允許接收在白名單內的物流數據採集端的數據。這樣,未在白名單內的物流數據採集端發送的數據是無法被物流中心伺服器接收的,提高了物流中心伺服器所接收的物流數據的安全性。
如圖2所示,為設備無關層到驅動層的體系結構,該體系結構包括:網絡協議接口層、網絡設備接口層、設備驅動功能層及網絡設備與媒介層。則對應地,在數據傳輸過程中,在發送端,發送數據時首先通過網絡協議接口層的dev_queue_xmit函數將數據包發送至網絡設備接口層,然後轉發給設備驅動功能層的hard_start_xmit函數啟動數據包發送操作,使數據包在網絡物理設備中進行傳輸;而在接收端,接收數據時首先通過中斷處理的觸發接收操作以獲取網絡物理設備中傳輸的數據包,然後由網絡設備接口層將接收的數據包轉發給網絡協議接口層的netif_rx函數接收數據;其中,網絡設備接口層設置有用於描述網絡物理設備屬性和操作的結構體net_device,數據包通過所述結構體net_device識別設備驅動功能層的對應的操作。
其中,具體地,網絡協議接口層向網絡層協議提供提供統一的數據包收發接口,不論上層協議為arp還是ip,都通過dev_queue_xmit函數發送數據,並通過netif_rx函數接收數據,這一層的存在使得上層協議獨立於具體的設備;網絡設備接口層向協議接口層提供統一的用於描述具體網絡設備屬性和操作的結構體net_device,該結構體是設備驅動功能層中各函數的容器,實際上,網絡設備接口層從宏觀上規劃了具體操作硬體的設備驅動功能層的結構;設備驅動功能層各函數是網絡設備接口層net_device數據結構的具體成員,是驅使網絡設備硬體完成相應動作的程序,他通過hard_start_xmit函數啟動發送操作,並通過網絡設備上的中斷觸發接收操作;網絡設備與媒介層是完成數據包發送和接受的物理實體,包括網絡適配器和具體的傳輸媒介,網絡適配器被驅動功能層中的函數物理上驅動。對於linux系統而言,網絡設備和媒介都可以是虛擬的。
上述的安全控制模塊的初始化操作進一步包括:
設備探測工作在init方法中進行,初始化時調用probe函數進行設備檢測、配置和初始化硬體,然後向系統申請對應的資源;最後填充本機的dev結構,並讀入config.xml文件的配置信息,調用內核提供的ether_setup方法來設置:物流中心伺服器端的ip地址及域名、埠本機通信埠,通信令牌以及其他一些設置。
而上述的打開指令操作主要是通過open函數完成,具體包括:在網絡設備被激活時(即設備狀態由down變成up),通過調用open函數執行資源申請、硬體激活、註冊中斷、dma,以及進行設置寄存器、啟動設備與發送隊列。其中,如果dev->open返回非0,則硬體狀態還是down。一般註冊中斷都在init中做,但在這裡的網卡驅動程序中,註冊中斷大部分都是放在open中註冊,因為要經常關閉和重啟網卡。
對應地,上述的關閉指令操作採用stop函數執行與上述的open函數相反的動作,主要包括:在網絡設備被關閉時,調用stop函數執行資源釋放、硬體關閉、關閉中斷。以釋放某些資源以減少系統負擔,同時stop函數使設備狀態由up轉為down時被調用。
而上述的發送指令操作進一步包括:系統調用驅動程序的hard_start_xmit函數,同時將發送的數據放在一個sk_buff結構中。一般的驅動程序傳給硬體發出去。也有一些特殊的設備比如說loopback把數據組成一個接收數據在傳送給系統或者dummy設備直接丟棄數據。發送成功後,hard_start_xmit函數釋放sk_buff結構;如果設備暫時無法處理,比如硬體忙,則返回1。此時,可通過過濾驅動對數據包進行重定向處理,定義到專有鏈路中,使得只有發往物流中心伺服器的合法數據包才能被通過。
對應地,上述的接收指令操作進一步包括:一般設備收到數據後都會產生一個中斷,當有數據中斷時,在終端處理程序的驅動程序中申請一塊sk_buff(skb)從硬體中讀取數據位置到申請好的緩衝區裡,再調用netif_rx函數將skb的數據交給網絡協議接口層。
其中,申請sk_buff(skb)後需要填充sk_buff中的一些信息。而中斷有可能是收到數據產生也可能是發送完成產生,中斷處理程序要對中斷類型進行判斷,如果是收到數據中斷則開始接收數據,如果是發送完成中斷,則處理髮送完成後的一些操作,比如說重啟發送隊列。接收流程可表示如下:
1)分配skb=dev_alloc_skb(pkt->datalen+2),
2)從硬體中讀取數據到skb,
3)調用netif_rx將數據交給協議棧。
此時,只有和物流中心伺服器通信的埠過來的合法數據才能被接收。來自其他ip的數據包,都將被直接拒絕。
如圖3所示,本實施例還提供了一種基於物聯網的高效應用式安全專網傳輸系統,該系統包括:
物流數據採集端310,這裡的物流數據採集端包括n個,分別為物流數據採集端1~n,分別設置於n個物流終端以進行採集物流數據,其中,n為正整數;
物流中心伺服器320,設置於監控中心以接收來自物流數據採集端的物流數據;
安全控制模塊,其分別預先加載在所述物流數據採集端及物流中心伺服器上,在安全控制模塊內進行至少包括設置:讀入配置文件調用內核信息獲取並設置物流中心伺服器埠信息和物流數據採集端通信埠中信息在內的初始化操作;定義傳輸層之中數據傳輸功能的打開/關閉指令操作;定義傳輸層進行數據傳輸的發送/接收指令操作;及定義傳輸層進行數據傳輸的數據加密/解密指令操作;
當物聯網的物流數據採集端有物流數據需要傳輸時,傳輸層才打開並進行加解密通信,實現網絡鏈路專網的數據通信,物流中心伺服器接收到的物流數據按照預先設定的解密指令進行解密操作,傳輸完成立即關閉傳輸層。
則通過上述的基於物聯網的高效應用式安全專網傳輸系統進行物流數據傳輸時的傳輸方法,包括:
當發送端需要傳輸數據時,發送端通過所述打開指令操作請求打開所述傳輸層建立網絡鏈路專網,然後由發送端的安全控制模塊將待傳輸的數據執行加密指令操作,並將加密後的數據通過發送指令操作傳輸至建立的網絡鏈路專網;
當接收端接收數據時,接收端通過所述接收指令操作執行數據的接收,並通過所述解密指令操作對數據進行解密,接收完成後通過所述關閉指令操作請求關閉所述傳輸層並撤銷所述網絡鏈路專網。
在另一優選實施例中,參見圖4所示,該實施例中提供了一種基於物聯網的高效應用式安全專網傳輸系統,包括:
物流數據採集端310,這裡的物流數據採集端同樣包括m個,分別為物流數據採集端1~m,分別設置於m個物流終端以進行採集物流數據,其中,m為正整數;
物流中心伺服器320,設置於監控中心以接收所述物流數據;
安全控制模塊,其分別預先加載在所述物流數據採集端及物流中心伺服器上,在所述安全控制模塊內進行至少包括設置:讀入配置文件調用內核信息獲取並設置物流中心伺服器埠信息和物流數據採集端通信埠中信息在內的初始化操作;定義傳輸層直接數據傳輸功能的打開/關閉指令操作;傳輸層進行數據傳輸的發送/接收指令操作;傳輸層進行數據傳輸的數據加密/解密指令操作;使得:
當物聯網的物流數據採集端有物流數據需要傳輸時,傳輸層才打開並進行加解密通信,實現網絡鏈路專網的數據通信,物流中心伺服器接收到的物流數據按照預先設定的解密指令進行解密操作,傳輸完成立即關閉傳輸層。
及第三方管理器330,執行動態更新發送物流數據的物流數據採集端的白名單,並將動態更新的白名單發送至所述物流中心伺服器,以及執行所述物流數據採集端的時鐘同步及打開/關閉傳輸層。
其中,每個物流數據採集端可根據需要將自己發送物流數據的時間周期發送給第三方管理器,則在完成物流數據採集端與物流中心伺服器的時鐘同步的同時,可由第三方管理器根據上述的時間周期進行打開傳輸層,從而便於物流數據採集端的數據傳輸。這裡的時間周期可根據需要更改,不同的物流數據採集端可以具有不同的時間周期。
則通過上述的基於物聯網的高效應用式安全專網傳輸系統進行物流數據傳輸時的傳輸方法,包括:
第三方管理器進行物流數據採集端與物流中心伺服器的時鐘同步,
當發送端需要傳輸數據時,發送端通過所述打開指令操作向所述第三方管理器請求打開所述傳輸層建立網絡鏈路專網,當第三方管理器打開所述傳輸層後,由發送端的安全控制模塊將待傳輸的數據執行加密指令操作,並將加密後的數據通過發送指令操作傳輸至建立的網絡鏈路專網,同時所述第三方管理器將發送端的標識信息發送至所述物流中心伺服器;
當接收端接收數據時,首先查詢所述標識信息是否在白名單內,如是則接收端通過所述接收指令操作執行數據的接收,並通過所述解密指令操作對數據進行解密,接收完成後通過所述關閉指令操作向所述第三方管理器請求關閉所述傳輸層並撤銷所述網絡鏈路專網,由所述第三方管理器關閉所述傳輸層;如否,則拒絕接受數據。
在物聯網推廣應用中,一方面,通過安裝在終端進行各種物流信息的採集的同時,基於上述的方法及系統也可實現將物流信息通過網際網路及時傳輸回後臺的物流中心伺服器,便於系統監控以及根據最新物流數據做出及時的物流規劃及調整。
以上所述,僅為本發明的具體實施方式,但本發明的保護範圍並不局限於此,任何本領域的技術人員在本發明揭露的技術範圍內,對本發明所做的變形或替換,都應涵蓋在本發明的保護範圍之內。因此,本發明的保護範圍應以所述的權利要求的保護範圍為準。