[发明专利]一种物联网系统架构与加密方法

权利要求书

1.一种物联网系统架构，其特征在于：包含负载均衡、Mqtt broker集群、IOT服务集群、业务数据库、IOT门户/API接口和证书服务集群，负载均衡与物联网设备连接用于保证大规模设备接入的软件或硬件服务，Mqtt broker集群与负载均衡器连接用于实现IOT服务集群和设备通过负载均衡的Mqtt连接，IOT服务集群与Mqtt broker集群连接作为业务逻辑控制中心，业务数据库与Mqtt broker集群和IOT服务集群连接用于记录门户/API访问权限、物联网设备基本信息、物联网设备在Mqtt broker的订阅或发布权限，IOT门户/API接口与IOT服务集群连接用于对设备、规则、数据、日志进行管理，证书服务集群与IOT服务集群连接用于实现证书颁发、证书管理和证书验签功能。

2.按照权利要求1所述的一种物联网系统架构，其特征在于：所述负载均衡的软件包含Haproxy和LVS，负载均衡的硬件包含F5负载均衡器。

3.按照权利要求1所述的一种物联网系统架构，其特征在于：所述Iot服务集群通过订阅物联网设备的发布Topic接收物联网设备数据，物联网设备通过订阅Iot服务集群的发布Topic接收Iot服务集群的数据。

4.按照权利要求1所述的一种物联网系统架构，其特征在于：所述Mqtt broker集群的软件包含Emqtt和HiveMQ。

5.按照权利要求1所述的一种物联网系统架构，其特征在于：所述IOT服务集群集成了设备管理、规则引擎和日志功能。

6.按照权利要求1所述的一种物联网系统架构，其特征在于：所述IOT门户/API接口包括创建/删除设备/规则，及查看日志操作。

7.按照权利要求1所述的一种物联网系统架构，其特征在于：所述证书颁发为基于证书请求生成有效证书，证书管理包含证书查看和废除，证书验签为验证证书是否有效。

8.一种权利要求1-任7一项所述的物联网系统架构的加密方法，其特征在于包含以下步骤：

步骤1：用户通过IOT门户/API接口为物联网设备创建认证权限，注册设备ID，该ID保存在业务数据库中；

步骤2：下载系统根证书、激活证书和激活密钥并烧录到物联网设备，其中激活证书和激活密钥全网统一，只能用来激活设备；

步骤3：物联网设备使用激活证书和激活密钥与IOT服务集群建立双向TLS连接，IOT服务集群通过检查设备证书的Subject CN确认该设备使用激活证书连接，该设备只具备激活相关Topic的订阅发布权限；

步骤4：物联网设备本地生成符合PKCS标准的私钥和证书申请，其中私钥本地保存，证书申请的Subject CN域设置为该设备的ID，IOT服务集群根据证书的Subject CN确定设备的权限；

步骤5：物联网设备使用设备ID和本地生成的证书请求向Mqtt broker集群激活Topic发送设备激活申请；

步骤6：IOT服务集群订阅并接收设备激活申请，将激活ID有效的证书请求发送到证书服务集群申请签名；

步骤7：证书服务集群使用系统根证书对证书申请完成签名，生成有效的设备证书发送到IOT服务集群，IOT服务集群通过Mqtt broker集群和负载均衡将证书发送到物联网设备；

步骤8：物理网设备接收到证书后向IOT服务集群发送激活成功消息并断开双向TLS连接；

步骤9：物联网设备使用根证书、设备证书和设备密钥与IOT服务集群建立新的双向TLS连接，此时物联网设备只具备验签Topic的订阅/发布权限；

步骤10：物联网设备将设备证书摘要发送到证书服务集群进行验签，验签成功后IOT服务集群在数据库更新物联网设备的订阅/发布权限，此时物联网设备可进行正常的订阅/发布。

9.按照权利要求8所述的加密方法，其特征在于：所述步骤6中激活ID有效具体为向业务数据库查询该设备是否具备认证权限。

10.按照权利要求8所述的加密方法，其特征在于：所述步骤1-10中的证书均为符合X509规范的证书。