(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210992216.5 (22)申请日 2022.08.18 (71)申请人 威胜信息技 术股份有限公司 地址 410205 湖南省长 沙市高新 技术产业 开发区桐梓坡西路468号 申请人 南方电网数字电网研究院有限公司 (72)发明人 任明　习伟　邱连　刘金龙　李峻　 汤可　蒋鑫伟　姚浩　陈军健　 刘德宏　向柏澄　 (74)专利代理 机构 长沙楚为知识产权代理事务 所(普通合伙) 43217 专利代理师 李大为 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种物联网设备安全认证与高可用消息通 信的系统及方法 (57)摘要 本发明适用于电力物联网技术领域， 涉及一 种物联网设备安全认证与高可用消息通信的系 统及方法， 包括： 认 证与授权模块及认 证服务器， 用于物联网设备身份认证； 边缘即插即用模块， 用于检查物联网设备是否已认 证过； ESDK设备管 理模块， 用于提供设备信息查询接口、 设备控制 接口以及事件通知订阅； 安全代理模块， 用于实 现物联网设备接入到平台的安全认证， 对原数据 的软件级别的加密以及解密； 边缘代理模块， 用 于接收并保存设备信息； N GINX代理模 块， 用于与 物联网设备端的边缘代理模块交互， 并通过MQTT   Broker消息总线的主备模式保证消息的高可用 性。 本发明可有效提升各种物联网设备接入平台 认证的安全性以及消息通信的高可用性。 权利要求书2页 说明书14页 附图3页 CN 115459905 A 2022.12.09 CN 115459905 A 1.一种物联网设备安全认证与高可用消息通信的系统， 其特 征在于， 包括： 认证与授权模块及认证服务器， 用于物联网设备身份认证， 接收物联网设备发送的设 备认证请求， 并验证物联网设备身份是否合法； 边缘即插即用模块， 用于检查物联网设备是否已认证过， 若没有则从ESDK设备管理模 块获取设备信息并发起物联网设备身份认证请求； ESDK设备管理模块， 用于提供设备信息查询接口、 设备控制接口以及事 件通知订阅； 安全代理模块， 用于实现物联网设备接入到平台的安全认证， 对原数据的软件级别的 加密以及解密， 提供多安全等级资源占用少的物联网设备身份认证服 务； 边缘代理模块， 用于接收并使用物联网设备身份认证信息与平台的进行连接， 并保存 设备信息； NGINX代理模块， 用于与物联网设备端的所述边缘代理模块交互， 并通过MQTT  Broker 消息总线的主备模式保证消息的高可用性； 所述认证与授权模块及认证服务器、 ESDK设备管理模块、 安全代 理模块、 边缘代理模块 分别与所述边缘即插即用模块通信连接， 所述NGINX代理模块与所述边缘代理模块通信连 接。 2.根据权利要求1所述的一种物联网设备安全认证与高可用消息通信的系统， 其特征 在于， 所述认证与授权模块及认证服务器验证物联网设备身份时， 若合法， 则分发证书、 MQTT账号密码以及授权码， 并自动注册设备信息至数据库； 若不合法， 则 执行回滚操作， 删 除设备信息及账号密码， 对有效设备信息清单进行 管理。 3.根据权利要求2所述的一种物联网设备安全认证与高可用消息通信的系统， 其特征 在于， 所述NGINX代理模块使用设备证书、 账号密码连接主备两个MQTT  Broker消息总线， 当 物联网设备端发送消息请求时， 所述NGINX代理模块会均衡 分发到负载量低的MQTT  Broker 消息总线上， 通过NGINX代理架构， 物联网设备的应用通过MQTT  Broker消息总线的访问可 以记录到access.log并发给监控平台。 4.根据权利要求3所述的一种物联网设备安全认证与高可用消息通信的系统， 其特征 在于， 所述边缘代理模块还负责与平台段通信以及交互时的数据转发， 所述边缘即插即用 模块、 ESDK设备管理模块与平台通讯均通过EdgeHub进行转发。 5.根据权利要求1所述的一种物联网设备安全认证与高可用消息通信的系统， 其特征 在于， 所述 边缘即插即用模块获取的设备信息包括设备唯一 ID及MAC地址 。 6.根据权利要求1所述的一种物联网设备安全认证与高可用消息通信的系统， 其特征 在于， 所述 安全代理模块支持国际主流加密算法和国密算法。 7.根据权利要求2所述的一种物联网设备安全认证与高可用消息通信的系统， 其特征 在于， 对有效设备信息清单进行 管理包括 查询、 添加、 删除、 批量 导入。 8.一种应用于权利要求1至7任一项所述的物联网设备安全认证与高可用消息通信的 系统的方法， 其特 征在于， 包括以下步骤： S10、 物联网设备启动时， 判断设备是否已注册， 未注册则启动注册流程， 边缘即插即用 模块调用ES DK设备管理模块接口获取设备唯一 ID及MAC地址等设备信息； S20、 所述 边缘即插即用模块将设备 数据发送至安全代理模块加密； S30、 所述边缘即插即用模块使用加密的设备信息发送至认证与授权管理模块， 获取授权　利　要　求　书 1/2 页 2 CN 115459905 A 2权码和设备证书； S40、 所述认证与授权管理模块将信息发送至认证服 务器， 返回认证结果； S50、 判断认证服务器检查设备的ESN是否合法， 不合法则返回错误信息， 合法则返回加 密后的设备证书及账号密码、 授权码字节流； S60、 所述边缘即插即用模块将收到的设备证书、 账号密码以及授权码信息发送给安全 代理模块解密并将解密后的所述设备证书、 账号密码以及授权码信息发送给所述边缘代理 模块； S70、 所述边缘代理模块接收并保存所述设备证书、 账号密码、 授权码信息， 返回处理成 功/失败的信息， 并使用相关信息连接NGI NX代理模块； S80、 所述NGINX代理模块使用所述设备证书、 账号密码连接主备两个MQTT  Broker消息 总线， 并返回处 理成功/失败的信息给 所述边缘代理模块； S90、 连接成功后， 所述边缘代理模块与平台通过所述NGINX代理模块交互， 当边缘端发 送消息请求时， 所述NGINX代理模块会均衡分发到负载量低的MQTT  Broker消息总线上， 通 过NGINX代理架构， 物联网设备的应用通过MQTT  Broker消息总线的访问可以记录到 access.log并发给监控平台， 进 而保障消息的高可用性。 9.根据权利要求8所述的一种方法， 其特征在于， 所述步骤S50中， 判断认证服务器检查 设备的ESN是否合法的依据为所述ESN是否在数据库中且未被使用。 10.根据权利要求9所述的一种方法， 其特征在于， 所述步骤S50中， 所述授权码、 账号密 码按一定规则随机生成， 从而保证账号的唯一 性。权　利　要　求　书 2/2 页 3 CN 115459905 A 3