北京软通智慧科技有限公司杨旭青

1　项目目标和概述

1.1　面临的挑战

物联网作为连接数字基础设施与云计算平台的关键枢纽，在现代信息化社会中发挥着重要作用。而物联网边缘网关作为实现万物互联的前提条件，在产业数字化中尤为重要。然而，随着技术的快速发展和应用的广泛深入，暴露出诸多挑战和问题，具体如下：

挑战1：设备兼容性

物联网边缘数采网关面临的首要挑战是设备兼容性。由于物联网设备的多样性和不同厂商的技术标准差异，网关需要支持多种接口和协议，这增加了集成的复杂性和成本。为了确保与不同设备的无缝对接，网关制造商需投入大量资源进行兼容性测试和优化。此外，随着新设备的不断涌现，网关还需具备快速适应新设备的能力，以保持系统的灵活性和可扩展性。因此，设备兼容性是物联网边缘数采网关设计和部署中不可忽视的关键问题。

挑战2：软硬件协同难

软件更新和远程管理是物联网边缘数采网关面临的另一大挑战。随着技术的不断发展，网关软件需要不断更新以修复漏洞、增加新功能并提升性能。然而，由于网关通常部署在远程场所，如何高效地进行软件更新和远程管理成为了一个难题。为了解决这一问题，需要建立可靠的远程更新机制，并确保更新过程中的数据安全和系统稳定性。同时，还需提供易于使用的远程管理工具，以降低运维成本和提高管理效率。

挑战3：数据安全难保障

数据安全是物联网边缘数采网关的核心关注点。边缘网关处理的数据往往包含敏感信息，如用户隐私、设备状态等，因此必须采取严格的安全措施来保护数据的安全和隐私。这包括加密传输、访问控制、数据脱敏等技术手段。此外，还需建立完善的安全审计和监控机制，及时发现并应对潜在的安全威胁。在保障数据安全的同时，还需平衡性能与安全性之间的关系，确保系统的稳定运行。

挑战4：规模化部署难

规模化部署是物联网边缘数采网关面临的又一重要挑战。随着物联网应用的广泛深入，边缘网关的数量和分布范围都在不断增加。为了实现高效的管理和维护，需要建立统一的管理平台和自动化的运维流程。同时，还需考虑网关间的协同和通信协议统一问题，以确保数据的无缝传输和系统的整体性能。在规模化部署过程中，还需注重成本控制和资源优化，以实现经济效益的最大化。

1.2　主要目标&项目概述

凭借公司在物联网领域多年的深耕和积累，自主研发可信数据采集模组，实现物模型定义、设备双向认证、数据加密传输、高度开放易集成；通过将可信数采模组嵌入鸿蒙行业发行版，实现数据采集源头可信。通过丰富的协议兼容能力，破除协议堡垒；标准化组件，轻量化易部署；基于鸿蒙特性实现软件更新和远程管控，实现多端协同和跨端操作，为边缘计算提供安全可信的数据支撑，为城市管理提供全信创的物联管理解决方案。

1.3　核心能力

丰富的接入能力——屏蔽协议差异性

通过软总线技术实现设备与鸿蒙可信边缘网关之间的快速稳定通信，构建协议转换层、支持多协议兼容和统一管理，简化了异构网络中设备的接入，为终端协同与统一管理提供支持。

设备安全认证——量子密钥分发与数据安全

通过支持量子密钥分发，利用量子力学的特性实现通信双方之间安全地共享加密密钥，不仅提高了通信的安全性，还克服了传统量子密钥分发系统易受侧信道攻击的隐患，通过无需主动调制的系统和无线分发技术，进一步增强了密钥分发的安全性和实用性。

可信数据采集——基于鸿蒙操作系统实现源头可信

通过将可信数采模组嵌入鸿蒙OS，从系统底层确保边缘网关及其连接的设备处于受保护的状态，为智能设备和物联网提供更高效、更安全。融合数据隐私计算技术，保护数据在处理和分析过程中的隐私。通过综合运用多方安全计算、联邦学习、同态加密、差分隐私等多种隐私计算技术，实现了在不暴露敏感信息的前提下进行数据的计算和共享。

多端协同——鸿蒙OS与边缘计算的融合应用

借助近场通讯和“一碰即连”等先进技术，鸿蒙系统成功地将传统哑设备数字化，实现了从无屏到有屏的华丽转变。同时，凭借其鸿蒙软总线技术和分布式特性，开发者只需进行一次开发，便能轻松实现多端部署，极大地提升了应用开发的效率和便捷性。

1.4　创新亮点

（1）基于无需主动调制的量子密钥分发系统实现设备安全认证

这一创新设计克服了传统量子密钥分发系统易受侧信道攻击的隐患，通过全被动时间戳-相位编码解决信道环境干扰的难题，同时优化了数据吞吐量，实现了高现实安全的量子密钥分发。

（2）基于可信数采模组与鸿蒙OS的融合，从源头实现数据安全可信；

将可信数采模组与鸿蒙OS的嵌入融合，多方安全计算、同态加密、差分隐私等多种隐私计算技术综合运用，相互补充，从源头确保数据安全可信。

（3）鸿蒙软总线技术与边缘计算的深度整合

利用鸿蒙软总线技术实现设备与边缘网关之间的快速稳定通信，即使在复杂网络环境下也能保证低延迟和高可靠性。同时，通过边缘网关的多协议兼容、统一管理和即时数据分析模型等功能，为智能设备和物联网提供更高效、更安全、更灵活的服务，展示了鸿蒙操作系统与边缘计算结合应用的强大协同效应。

2　案例介绍

2.1　系统架构

IoT边缘网关，是边缘计算在物联网行业的应用。IoT边缘网关作为物联网边缘“小脑”，在靠近物或数据源头的边缘侧，融合网络、计算、存储、应用核心能力的开放平台，就近提供计算和智能服务，满足行业在实时业务、应用智能、安全与隐私保护等方面的基本需求。终端设备接入边缘一体机后，边缘一体机可以实现终端设备数据的采集、流转、存储、分析和上报设备数据至云端，同时边缘一体机也提供容器服务、边缘函数计算，方便场景编排和业务扩展。边缘端架构是运行于边缘一体机中的软件框架，支持容器运行时和二进制运行时。功能模块可按需拼装，适用于各种不同规格的硬件产品量产预装。边缘端架构是运行于边缘一体机中的软件框架，支持容器运行时和二进制运行时。功能模块可按需拼装，适用于各种不同规格的硬件产品量产预装。

云计算技术日趋成熟，企业对低延时、海量数据、隐私安全、本地自治有更高的要求，未来的趋势是物联网企业下云，计算和分析会下沉到哪里？答案是：边缘。在物联网云平台和现场设备之间一直存在着巨大的“断层”。相对云计算而言，边缘计算的行为发生在靠近数据生成的本地设备和网络中。边缘计算采用新的网络、新的方法、新的设备和新的架构，打通万物互联的“最后一公里”，并创造可持续的商业模式。

IoT边缘网关分为云、边两层架构，边侧部署软件到硬件上，基于操作系统，提供各种应用的运行框架；云侧提供远程的统一资源管理、应用管理等服务。包含云服务、边缘运行时软件、边缘模块应用，利用云服务将云端能力快速拓展至边缘，提供系统适配、云边协同、通信代理等运行时软件，部署数据采集、边缘计算、数据清洗等模块应用，在园区、城市、工业等场景，作为数据源切入点，解决客户对设备上云、本地计算、数据预处理等诉求。IoT边缘网关支持园区/城市/交通/工业等行业设备数采，作为切入点给IoT平台引流；支持边缘智能计算，快速实现生态拓展，丰富行业解决方案；提供SDK、API、点位配置等，满足客户的二次开发诉求。

边缘网关架构图如图1所示。

图1 边缘网关架构图

2.2 　硬件平台

边缘服务不依赖特定的或受认证的硬件设备，但对设备的基本性能具有规格限制，其硬件规格和运行环境要求如表1、表2所示。

表1

表2

2.3　软件平台

IoT边缘网关作为物联网边缘计算平台，串联起了端边云的协同框架。软通智慧IoT平台分为云端、边缘节点、设备端。

云端：IoT云端分为公有云和私有云，功能类似，区别在于部署在公有云环境和私有云环境，部署云端之后，用户可以享用物联网平台提供的能力。通过云边协同通道下发配置，执行应用远程部署升级，数据路由转发上云等能力。

边缘网关：IoT边缘网关提供一组软件，可以从云端下发部署在网关或服务器上，纳管其硬件作为边缘节点，在边缘节点上可以实现设备数据的采集、预处理、数据流转、路由转发，同时边缘侧提供应用托管、边缘计算等功能，方便业务本地自治、业务扩展。如何快速将硬件变成边缘节点，可以参考如何将一台机器注册成边缘节点。如何将应用下发部署到指定的边缘节点上执行。

边缘网关特点：

·原生协议接入：支持MQTT/CoAP/LwM2M/HTTPS协议接入。·泛协议接入：提供开源SDK和技术框架，需用户自行部署云网关完成TCP协议转换，或部署协议驱动到边缘网关。

·行业协议接入：支持通过边缘网关接入通讯协议包括：HTTP、Modbus-RTU、SNMP、TCP、BACnet、Modbus、OPCUA、Modbus-TCP等，可通过行业协议驱动方式支持行业协议接入。

·设备接入鉴权：支持一机一密，一型一密等鉴权方式。

设备端：靠近客户现场，能够执行生产任务的加工设备，能够监控环境信息的传感设备，能够计量水电煤的仪器仪表等，只要能够通过蜂窝网、以太网连接，都可以称之为设备。其次，不具备通讯模组无法直接联网的“哑设备”，是依赖现场部署的硬件作为边缘节点，进行主动的数据采集。最后，通过边缘节点的数据采集能力，就近接入设备，提取有用的数据信息，从而实现设备的管理、智能控制、数据治理。

部署形态：边缘网关倡导“软硬件解耦”的原则，不依赖具体硬件型号，提供兼容性强的软件，通过屏蔽底层硬件差异，提供不同规格的版本来实现不同部署形态，满足例如轻量级的工业网关、AI智能网关、资源高的服务器、虚拟机等硬件资源的部署。软硬件解耦，边缘软件不依赖硬件类型部署；支持X86/ARM架构，支持网关、虚机、服务器部署。目前已支持LinuxOS、CentOS、Ubuntu、Debian、OpenEuler、银河麒麟等主流操作系统的部署纳管。

2.4　数据通讯流程

数据采集：物联网设备，如传感器、执行器等，会实时采集各种数据，如温度、湿度、压力、位置信息等。这些数据通过物联网边缘软网关进行接收和初步处理。

数据处理：边缘软网关会对接收到的数据进行预处理，包括数据清洗、格式转换、数据压缩等，以降低数据传输的压力和提高整体的数据处理速度。通过内置的算法或模型，边缘软网关还可以对数据进行初步的分析和判断，提取出有价值的信息或进行预警。

数据传输：处理后的数据会通过物联网边缘软网关传输到云端或其他指定的数据中心进行进一步的存储和分析。传输过程中，边缘软网关会确保数据的完整性、安全性和实时性。

数据通讯协议：物联网边缘软网关和设备之间的数据通讯需要遵循一定的通讯协议，以确保数据的正确传输和解析。常见的通讯协议包括MQTT（Message Queuing Telemetry Transport）、CoAP（Constrained Application Protocol）等，这些协议具有轻量级、低功耗、高可靠性等特点，适用于物联网场景下的数据传输。

2.5　安全措施

可信双向认证：双向认证，也称为相互认证或双向身份验证，是指通信双方（在此为物联网边缘网关和设备）在建立连接之前，都需要验证对方的身份。这种认证方式可以有效防止恶意设备或攻击者伪装成合法设备接入网络，从而保障物联网系统的安全性。

当物联网设备需要接入物联网系统时，它首先会向边缘网关发起一个认证请求。这个请求中通常会包含设备的身份信息，如设备ID、序列号、密钥等。边缘网关收到设备的认证请求后，会首先验证设备的身份信息。这通常涉及到将设备的身份信息与存储在边缘网关或云端的数据库中的信息进行比对，如果设备身份信息验证成功，边缘网关会向设备发送一个确认消息，表示设备身份合法。在设备收到边缘网关的确认消息后，它也需要验证边缘网关的身份。这通常是通过验证边缘网关提供的证书或密钥来实现的。如果设备成功验证了边缘网关的身份，它会向边缘网关发送一个确认消息，表示边缘网关身份合法。

可信连接通道：当设备和边缘网关都成功验证了对方的身份后，它们之间就可以建立一个安全的通信连接，例如TLS。这个连接通常会使用加密技术来保护数据的传输，以防止数据在传输过程中被窃听或篡改。双向认证可以确保只有合法的设备和边缘网关才能建立通信连接，从而有效防止恶意设备或攻击者接入网络。通过双向认证，设备和边缘网关之间可以建立更强的信任关系，这有助于确保数据的完整性和真实性。

可信传输加密：IoT边缘网关与设备之间的可信传输加密是确保物联网系统数据安全的核心环节。这种加密机制涵盖了上行（设备向边缘网关发送数据）和下行（边缘网关向设备发送指令或数据）两个方向的数据传输，采用了包括国标算法和国密算法在内的多种加密算法，如AES-256和SM3，以确保数据的机密性、完整性和真实性。

在上行数据传输中，物联网设备使用AES-256等对称加密算法对敏感数据进行加密。AES-256以其强大的加密强度和广泛的兼容性，成为保护数据传输安全的首选算法。设备在发送数据前，会使用预共享的密钥对数据进行加密，确保数据在传输过程中不被窃听或篡改。边缘网关在接收到加密数据后，使用相同的密钥进行解密，以恢复原始数据。

同时，在上行数据传输中，还可以使用SM3等杂凑算法生成数据的哈希值。这个哈希值可以作为数据的数字指纹，用于验证数据在传输过程中是否被篡改。设备在发送数据的同时，将数据的哈希值一并发送给边缘网关。边缘网关在接收到数据和哈希值后，使用相同的算法重新计算数据的哈希值，并与接收到的哈希值进行比对。如果两者一致，则说明数据在传输过程中未被篡改。

在下行数据传输中，边缘网关向物联网设备发送指令或数据时，同样需要采用加密机制来保护数据的机密性。这可以通过使用AES-256等对称加密算法对指令或数据进行加密来实现。设备在接收到加密数据后，使用预共享的密钥进行解密，以获取指令或原始数据。

3　代表性及推广价值

（1）高效数据处理与实时响应

边缘网关能在本地进行数据预处理，减少传输至云端的数据量，降低带宽成本，同时实现快速本地决策和实时响应，尤其适用于时延敏感的应用场景，提升整体系统效率。

（2）协议转换与互操作性增强

网关支持多种工业协议转换，提供统一接口，简化边缘物联接入复杂度，促进不同系统和设备间的互操作性，实现设备多样性与通信协议的无缝对接。

（3）强化安全与隐私保护

通过在数据源附近处理信息，边缘网关有效降低数据暴露风险，实施细粒度安全策略，确保数据安全传输与存储，增强整体系统的安全性与隐私保护能力。

（4）成本节约与效率提升

减少对中心云资源的依赖，降低网络带宽需求和云计算成本，同时优化资源配置，提升业务流程效率，加速智能化应用的部署与实施，实现成本效益最大化。

（5）推动智能化转型与灵活扩展

边缘网关为大型场站提供智能化技术支持，实现无人化或少人化运营，减轻巡检压力，提升管理水平。同时，设计灵活，易于根据应用场景定制功能和服务，快速适应技术趋势与市场需求变化。

摘自《自动化博览》2025年2月刊