2021智簡物聯(lián)感知網(wǎng)解決方案白皮書

智簡物聯(lián)感知網(wǎng)解決方案白皮書行業(yè)物聯(lián)網(wǎng)建設(shè)驅(qū)動力 01數(shù)字經(jīng)濟(jì)發(fā)展驅(qū)動“萬物互聯(lián)” 01“新基建”政策驅(qū)動“數(shù)字化基礎(chǔ)設(shè)施建設(shè)” 03行業(yè)數(shù)字化轉(zhuǎn)型驅(qū)動物聯(lián)網(wǎng)建設(shè) 04智慧園區(qū)建網(wǎng)需求 04智慧交通建網(wǎng)需求 05智慧水利建網(wǎng)需求 06行業(yè)物聯(lián)網(wǎng)面臨的挑戰(zhàn) 07智簡物聯(lián)感知網(wǎng)解決方案價值主張與總體架構(gòu) 09價值主張 09更簡單 09更安全 10更智能 11智簡物聯(lián)感知網(wǎng)解決方案總體架構(gòu) 12智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù) 16更簡單 16一插入網(wǎng) 16一跳入云 21一網(wǎng)可視 23更安全 25安全接入 25安全通信 28安全管控 31更智能 33邊緣智能 33智能通信 35智能運(yùn)維 39典型行業(yè)應(yīng)用 41智慧園區(qū)行業(yè)典型應(yīng)用-便捷通行 41便捷通行解決方案概述 42園區(qū)便捷通行網(wǎng)絡(luò)方案典型組網(wǎng) 43智慧水利場景典型應(yīng)用 44智慧交通場景典型應(yīng)用 46總結(jié)與未來展望 48術(shù)語&縮略語 49010102022.0行業(yè)物聯(lián)網(wǎng)建設(shè)驅(qū)動力

01行業(yè)物聯(lián)網(wǎng)建設(shè)驅(qū)動力數(shù)字經(jīng)濟(jì)發(fā)展驅(qū)動“萬物互聯(lián)”人類社會發(fā)展，經(jīng)歷了“農(nóng)業(yè)經(jīng)濟(jì)“到“工業(yè)經(jīng)濟(jì)“發(fā)展階段，當(dāng)下正在邁向以AI、大數(shù)據(jù)、云計算為典型牽引的“數(shù)字經(jīng)濟(jì)“發(fā)展階段。信息基礎(chǔ)設(shè)施是數(shù)字經(jīng)濟(jì)持續(xù)發(fā)展的基礎(chǔ)。新一代信息技術(shù)演化生成的基礎(chǔ)設(shè)施中，物聯(lián)網(wǎng)是其中的重要組成部分。物聯(lián)網(wǎng)英文名稱是“InternetofThings”。顧名思義，“物聯(lián)網(wǎng)就是物物相連的互聯(lián)網(wǎng)”。其含有兩層意思：

第一，物聯(lián)網(wǎng)的核心和基礎(chǔ)仍然是互聯(lián)網(wǎng)，是基于互聯(lián)網(wǎng)延伸和擴(kuò)展出的網(wǎng)絡(luò)。第二，其用戶端延伸和擴(kuò)展到了任何物與物之間，進(jìn)行信息交換和通信。物聯(lián)網(wǎng)發(fā)展的驅(qū)動力是基于數(shù)據(jù)的應(yīng)用創(chuàng)新，實(shí)現(xiàn)基礎(chǔ)是構(gòu)建萬物互聯(lián)的通信網(wǎng)絡(luò)。信息基礎(chǔ)設(shè)施新一代信息技術(shù)演化生成的基礎(chǔ)設(shè)施通信基礎(chǔ)設(shè)施

新技術(shù)基礎(chǔ)設(shè)施

算力基礎(chǔ)設(shè)施工 衛(wèi)業(yè) 物 星5G 互 聯(lián) 互聯(lián) 網(wǎng) 聯(lián)網(wǎng) 網(wǎng)

智云 人 區(qū) 數(shù) 能計 工 塊 據(jù) 計算 智 鏈 中 算能 心 中心圖1-1新一代信息技術(shù)構(gòu)成2.0行業(yè)物聯(lián)網(wǎng)建設(shè)驅(qū)動力IP化、無線化、AI化等技術(shù)應(yīng)用，將徹底消除“信息孤島”和“數(shù)據(jù)碎片化”，實(shí)現(xiàn)數(shù)字信息的

提高服務(wù)體驗(yàn) 提升運(yùn)營效率 重構(gòu)商業(yè)模式Real-time,Allonline,

30%

3.7%數(shù)字化轉(zhuǎn)型帶來GDP增長聯(lián)接用戶 聯(lián)接機(jī)器聯(lián)接創(chuàng)造價值

聯(lián)接新業(yè)務(wù)圖1-2物聯(lián)網(wǎng)聯(lián)接在行業(yè)數(shù)字化轉(zhuǎn)型中價值體現(xiàn)03030404智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0行業(yè)物聯(lián)網(wǎng)建設(shè)驅(qū)動力“新基建”政策驅(qū)動“數(shù)字化基礎(chǔ)設(shè)施建設(shè)”2020522日，國務(wù)院總理李克強(qiáng)在2020年政府工作報告中提到“加強(qiáng)新型基礎(chǔ)設(shè)施建設(shè)，發(fā)展新一代5G激發(fā)新消費(fèi)需求、助力產(chǎn)業(yè)升級”，這是“新基建”首黨中央國務(wù)院此前已多次就加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)做出了戰(zhàn)略部署。2020年3月4日召開的中共中央政治局常務(wù)委員會會議中明確指出，要加大公共衛(wèi)生服務(wù)、應(yīng)急物資保障領(lǐng)域投入，加快5G網(wǎng)絡(luò)、

數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度。新冠肺炎疫情期間，更是讓“新基建”初露鋒芒，遠(yuǎn)程辦公、遠(yuǎn)程醫(yī)療、網(wǎng)上授課、無人配送、健康碼等應(yīng)用為全民抗疫防疫和復(fù)工復(fù)產(chǎn)提供了重要支撐。自中央首次提出“新基建”以來，各級政府高度重視，為更好地響應(yīng)中央政策，各省都在加緊落實(shí)部署，幾乎所有省份或直轄市的2020年政府工作報告均提及“新基建”，同時國家各大部委也專門出臺了各領(lǐng)域相關(guān)頂層設(shè)計和規(guī)劃。會議 內(nèi)容會議內(nèi)容國務(wù)院常務(wù)會議中央全面深化改革委員會第十二次會議中央政治局常務(wù)委員會會議2020年10月29日時間統(tǒng)籌推進(jìn)基礎(chǔ)設(shè)施建設(shè)。構(gòu)建系統(tǒng)完備、高效實(shí)用、智能綠色、安全可靠的現(xiàn)代化基礎(chǔ)設(shè)施體系。系統(tǒng)布局新型基礎(chǔ)設(shè)施，加快第五代移動通信、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)中心等建設(shè)。中共中央關(guān)于制定國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠(yuǎn)國務(wù)院常務(wù)會議中央全面深化改革委員會第十二次會議中央政治局常務(wù)委員會會議2020年10月29日時間統(tǒng)籌推進(jìn)基礎(chǔ)設(shè)施建設(shè)。構(gòu)建系統(tǒng)完備、高效實(shí)用、智能綠色、安全可靠的現(xiàn)代化基礎(chǔ)設(shè)施體系。系統(tǒng)布局新型基礎(chǔ)設(shè)施，加快第五代移動通信、工業(yè)互聯(lián)網(wǎng)、大數(shù)據(jù)中心等建設(shè)。2020年2020年3月4日加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度。要注重調(diào)動民間投資積極性。2020年22020年2月14日2020年12020年1月3日推進(jìn)智能、綠色制造。基建、特高壓、城際高速鐵路和城際軌道交通、新能源汽車充不同于以鐵路、公路、橋梁等為主的傳統(tǒng)基建，是以新面向高質(zhì)量發(fā)展需要，提供數(shù)字轉(zhuǎn)型、智能升級、融合創(chuàng)新等服務(wù)的基礎(chǔ)設(shè)施體系。物聯(lián)網(wǎng)是“新基建”的重

要組成部分，在“新基建”的七個領(lǐng)域中，5G、大數(shù)據(jù)中心、工業(yè)互聯(lián)網(wǎng)、人工智能都直接采用物聯(lián)網(wǎng)領(lǐng)域的技術(shù)手段，同時新能源基礎(chǔ)設(shè)施、交通基礎(chǔ)設(shè)施也需要物聯(lián)網(wǎng)技術(shù)賦能，“新基建”七大領(lǐng)域中六個都是物聯(lián)網(wǎng)直接或者間接關(guān)聯(lián)領(lǐng)域。未來“新基建”的布局建設(shè)，必將為物聯(lián)網(wǎng)及其相關(guān)產(chǎn)業(yè)帶來新的發(fā)展機(jī)遇。2.0行業(yè)物聯(lián)網(wǎng)建設(shè)驅(qū)動力行業(yè)數(shù)字化轉(zhuǎn)型驅(qū)動物聯(lián)網(wǎng)建設(shè)行業(yè)物聯(lián)網(wǎng)，是基于行業(yè)創(chuàng)新升級需求和海量物聯(lián)終端互聯(lián)需求而建設(shè)的網(wǎng)絡(luò)。在智慧園區(qū)、智慧城市、交通、電力、水利等多個行業(yè)領(lǐng)域促進(jìn)其業(yè)務(wù)數(shù)字化轉(zhuǎn)型發(fā)展。如下章節(jié)將介紹幾個典型的行業(yè)需求。智慧園區(qū)建網(wǎng)需求辦公、生活或者科研教育需要的新型智慧化的園區(qū)。智慧園區(qū)的建設(shè)結(jié)合物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)，具備互聯(lián)互通、開放共享、協(xié)同運(yùn)作、創(chuàng)新發(fā)展的特點(diǎn)。IT:?&安全的物聯(lián)業(yè)務(wù)保障：為園區(qū)企業(yè)和商家、園區(qū)網(wǎng)絡(luò)用戶提供高品質(zhì)的物聯(lián)業(yè)務(wù)保障，物聯(lián)終端低延時，無掉線保障，比如無線會議終端，便捷通行，需操作指令快速響應(yīng)。安全性方面需要保障園區(qū)網(wǎng)絡(luò)用戶的數(shù)據(jù)安全，抵御園區(qū)網(wǎng)絡(luò)外部入侵風(fēng)險。所以需要設(shè)計出在可靠性和安全性方面提供更多保障的物聯(lián)網(wǎng)絡(luò)，為園區(qū)用戶提供高速、可靠、安全的互聯(lián)。?智慧化的園區(qū)運(yùn)維管理：園區(qū)物聯(lián)網(wǎng)需要為園區(qū)泛在的聯(lián)接設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)提供運(yùn)營管理服務(wù)。這樣園區(qū)管理者就能夠?qū)φ麄€園區(qū)的安全、資產(chǎn)、設(shè)施設(shè)備、空間運(yùn)營等多個系統(tǒng)及物聯(lián)網(wǎng)設(shè)備能夠做到統(tǒng)籌管理，降低園區(qū)管理人員的人力成本，提升服務(wù)品質(zhì)。因此就需要對于物聯(lián)網(wǎng)絡(luò)和終端采用更有效的管理運(yùn)維技術(shù)手段，實(shí)現(xiàn)高效便捷的管理運(yùn)維。

?極致且豐富的體驗(yàn)服務(wù)：為在園區(qū)工作和生活的企業(yè)商家，個人網(wǎng)絡(luò)用戶和外部訪問用戶，提供觸手可及、無處不在的物聯(lián)終端接入和豐富物聯(lián)體驗(yàn)服務(wù)，比如便捷通行（/車輛）、會議室系統(tǒng)、資產(chǎn)管理系統(tǒng)等服務(wù)，提升園區(qū)企業(yè)商家和用戶的體驗(yàn)。所以需要對原有各系統(tǒng)的網(wǎng)絡(luò)進(jìn)行互通，實(shí)現(xiàn)數(shù)據(jù)融合服務(wù)，從而提供豐富的業(yè)務(wù)體驗(yàn)。?多業(yè)務(wù)協(xié)同體驗(yàn)：傳統(tǒng)園區(qū)業(yè)務(wù)建設(shè)方式，是提供垂直煙囪式的服務(wù)。而現(xiàn)階段越來越需要多個業(yè)務(wù)系統(tǒng)之間數(shù)據(jù)的共享和業(yè)務(wù)協(xié)同，比如在辦公園區(qū)中，門禁系統(tǒng)、人員權(quán)限系統(tǒng)、照明、視頻等系統(tǒng)之間聯(lián)動，當(dāng)人員進(jìn)入辦公區(qū)域時，實(shí)現(xiàn)系統(tǒng)對人員身份的識別，對非法人員進(jìn)行視頻抓拍和門禁身份拒絕訪問，對合法人員自動開啟對應(yīng)辦公區(qū)域的照明等。?業(yè)務(wù)斷網(wǎng)?；钆c區(qū)域自治：智慧園區(qū)建設(shè)中，某些重要的物聯(lián)業(yè)務(wù)能夠在與云平臺之間聯(lián)接中斷的情況下，仍然能夠做到本地?；睿緲I(yè)務(wù)不中斷。另外，體驗(yàn)性物聯(lián)業(yè)務(wù)對低時延的需求，需要支持區(qū)域自治，在本地區(qū)域完成智能化的感知與聯(lián)動。如：園區(qū)的智能照明、停車出入口的無感通行、重要場所的視頻的智能分析與告警聯(lián)動等業(yè)務(wù)，需要支持區(qū)域自治保障體驗(yàn)，也需要在與云聯(lián)接中斷時，依然能在邊緣側(cè)完成分析與策略聯(lián)動，本地業(yè)務(wù)不中斷。園區(qū)痛點(diǎn)網(wǎng)絡(luò)體驗(yàn)差業(yè)務(wù)體驗(yàn)差園區(qū)痛點(diǎn)網(wǎng)絡(luò)體驗(yàn)差業(yè)務(wù)體驗(yàn)差管理效率低運(yùn)營成本高沃土數(shù)字平臺人工智能、大數(shù)據(jù)等技術(shù)打造智能化平臺智簡聯(lián)接智簡物聯(lián)感知網(wǎng)，打造智慧化物聯(lián)網(wǎng)豐富體驗(yàn)增值創(chuàng)收智慧園區(qū)融合服務(wù)智簡聯(lián)接智簡物聯(lián)感知網(wǎng)，打造智慧化物聯(lián)網(wǎng)豐富體驗(yàn)增值創(chuàng)收智慧園區(qū)融合服務(wù)高效管理05050606智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0行業(yè)物聯(lián)網(wǎng)建設(shè)驅(qū)動力智慧交通建網(wǎng)需求以以數(shù)據(jù)治理、流程變革、ICT創(chuàng)新為手段跨越數(shù)字鴻溝，聯(lián)接物理和數(shù)字兩個世界，實(shí)現(xiàn)交通新基建數(shù)字化轉(zhuǎn)型傳統(tǒng)交通 智慧交通傳統(tǒng)交通智慧交通安全事件突發(fā)人員出行安全資產(chǎn)盤點(diǎn)量大投資重復(fù)浪費(fèi)養(yǎng)護(hù)全靠人力出行體驗(yàn)不佳 服務(wù)參差不齊 >>>>

萬物 萬物感知 聯(lián)接萬物智能

實(shí)時調(diào)度智慧管控智能資產(chǎn)精準(zhǔn)營銷預(yù)測維護(hù)信息發(fā)布 智慧運(yùn)營 >>>>感知芯片各種終端 無線通信有線通信物聯(lián)網(wǎng) 云計算、大數(shù)據(jù)、AI圖1-4智慧交通建設(shè)業(yè)務(wù)需求交通是興國之要、強(qiáng)國之基。2019919日，中共中央、國務(wù)院印發(fā)了《交通強(qiáng)國發(fā)展綱領(lǐng)》，明確指出要“大力發(fā)展智慧交通”。基于智慧交通需求的物聯(lián)網(wǎng)技術(shù)應(yīng)用將多種信息集成到交通運(yùn)輸管理體系中，使得人、車、路之間的協(xié)同變得緊密起來。管理部門借助物聯(lián)網(wǎng)技術(shù)對多種交通要素的資源整合、大數(shù)據(jù)分析，必將大力改善交通運(yùn)輸環(huán)境、保障交通安全、提高資源利中明確要求加強(qiáng)新型載運(yùn)工具研發(fā)。加強(qiáng)智能網(wǎng)聯(lián)汽車（智能汽車、自動駕駛、車路協(xié)同）研發(fā)，形成自主可控完整的產(chǎn)業(yè)鏈。智能網(wǎng)聯(lián)車的“人–車–路–云”系統(tǒng)架構(gòu)設(shè)計和產(chǎn)業(yè)升級，必將推動產(chǎn)業(yè)相關(guān)方完成我國交通強(qiáng)國的目標(biāo)。2020年底，我國公路通行總里程510萬公里，其中高速公路總里程15.5萬公里。考慮到我國地形復(fù)雜，山地、丘陵眾多、氣候變化多端，結(jié)合物聯(lián)網(wǎng)技術(shù)保障道路安全必將成為智慧交通治理的新模式。常見道路安全及智慧化需求驅(qū)動如下：

?極端氣候、地震、地質(zhì)災(zāi)害頻發(fā)，給道路安全運(yùn)行帶來巨大挑戰(zhàn)，路側(cè)全要素信息實(shí)時采集為應(yīng)對極端天氣提供便捷高效的監(jiān)測手段。?高速公路特大橋梁、隧道、長下陡坡、臨水、臨崖等復(fù)雜危險路段是道路運(yùn)維養(yǎng)護(hù)重點(diǎn)，通過安全可靠的物聯(lián)感知網(wǎng)回傳使得遠(yuǎn)程路網(wǎng)中心獲取及時準(zhǔn)確的前端數(shù)據(jù)，結(jié)合大數(shù)據(jù)平臺分析實(shí)現(xiàn)智慧化道路養(yǎng)護(hù)。?大霧、團(tuán)霧、橫風(fēng)、暴雨、積雪、凍雨、沙塵、霧霾等高發(fā)部位及氣候復(fù)雜區(qū)域，對駕駛?cè)擞^察、判斷、操作影響大，事故率明顯高于正常氣候地區(qū)，亟待結(jié)合車路協(xié)同解決方案實(shí)現(xiàn)實(shí)時路側(cè)氣象、路面、團(tuán)霧等數(shù)據(jù)采集、分析和信息發(fā)布，增強(qiáng)道路運(yùn)輸?shù)念A(yù)測預(yù)警能力，為道路運(yùn)輸安全保駕護(hù)航。?車輛超限超載運(yùn)輸，嚴(yán)重影響交通行車安全和路面壽跨部門治超信息交換共享和業(yè)務(wù)協(xié)同，形成全國治超監(jiān)管和服務(wù)“一盤棋”，加速實(shí)現(xiàn)交通治理現(xiàn)代化。2.0行業(yè)物聯(lián)網(wǎng)建設(shè)驅(qū)動力智慧水利建網(wǎng)需求透徹感知不夠數(shù)據(jù)共享程度低排水透徹感知不夠數(shù)據(jù)共享程度低排水防洪排澇水庫管理系統(tǒng) 業(yè)管河湖管理系統(tǒng)引水工程 系管理系統(tǒng)水資源管理系統(tǒng) 水源供水供水行業(yè) 調(diào)度管理管理系統(tǒng) 系統(tǒng)應(yīng)用智能化水平不高安全防護(hù)能力不夠

萬物互聯(lián)將數(shù)據(jù)變成Online使能智能化萬物智能基于大數(shù)據(jù)和

通過泛在感知的物聯(lián)站點(diǎn)，打造水利智能監(jiān)測專網(wǎng)圖1-5智慧水利建設(shè)業(yè)務(wù)需求2019年初，水利部黨組提出了“水利工程補(bǔ)短板，水利行業(yè)強(qiáng)監(jiān)管”水利改革發(fā)展的總基調(diào)，并進(jìn)一步提出加快補(bǔ)齊水利網(wǎng)信短板，編制了《水利網(wǎng)信提升三年行動方案（2019~2021年）》，制定了以“網(wǎng)絡(luò)安全，透徹感知，全面互聯(lián)，整合共享，智能應(yīng)用”為重點(diǎn)的總體目標(biāo)。全國目前有6萬個水庫、185條河流均是監(jiān)測空白狀態(tài)，由于覆蓋廣、網(wǎng)絡(luò)和市電覆蓋不足，當(dāng)前水情、工情視頻的監(jiān)測，依賴大量的人力覆蓋，不能客觀反映水情，存在管理漏洞：一是全面感知不夠，目前，各類水利設(shè)施的監(jiān)測遠(yuǎn)未做到全面感知。例如，水庫安全監(jiān)測方面，多數(shù)中型水庫和幾乎所有小型水庫都沒有實(shí)時安全監(jiān)測設(shè)施，大部分小型水庫甚至沒有水情監(jiān)測報汛設(shè)備，且感知技術(shù)手段也存在較大差距，自動化程度不高。二是信息全面互聯(lián)差距大，網(wǎng)絡(luò)覆蓋面小，縣級水利部門尚未實(shí)現(xiàn)全面聯(lián)接水利業(yè)務(wù)網(wǎng)；而且網(wǎng)絡(luò)通道窄，受限于信息基礎(chǔ)設(shè)施，基層水利數(shù)據(jù)無法及時傳輸；上下左右聯(lián)通不暢，集中體現(xiàn)在工程控制系統(tǒng)隔離在各個工程管理單位，不同工程的業(yè)務(wù)系統(tǒng)信息共享和業(yè)務(wù)協(xié)同困難。三是共享不足，在水利行業(yè)內(nèi)部，各專業(yè)部門之間的信息共享不足；在行業(yè)外部，與環(huán)保、交通、國土等部門

的相關(guān)數(shù)據(jù)還不能做到數(shù)據(jù)實(shí)時共享。四是智能應(yīng)用不夠，對于新一代信息技術(shù)的應(yīng)用，水利行業(yè)總體上還處于初級階段。大數(shù)據(jù)、人工智能、虛擬現(xiàn)實(shí)等技術(shù)尚未得到廣泛應(yīng)用、智慧功能尚未得到充分顯現(xiàn)。水利監(jiān)測站點(diǎn)的場景主要需求和痛點(diǎn)如下：?建設(shè)難：原有建設(shè)站點(diǎn)需要大興土木，監(jiān)測站點(diǎn)需要采集水位、降雨量，需要通過視頻實(shí)時觀察入庫徑流、溢洪道等，庫區(qū)漂浮物以及庫區(qū)山體、邊坡狀態(tài)，需要逐站工勘、建設(shè)周期長，協(xié)調(diào)工作量大，過程復(fù)雜。?數(shù)據(jù)回傳難：監(jiān)測站點(diǎn)偏遠(yuǎn)，電和網(wǎng)絡(luò)難以覆蓋，數(shù)據(jù)回傳靠人力。?數(shù)據(jù)不準(zhǔn)確：采集到的異常數(shù)據(jù)，難以判斷，測站傳感器與應(yīng)用綁定，信息孤島多，市級或流域管理中心獲取系統(tǒng)開放性差，功能擴(kuò)展難：端側(cè)傳感器網(wǎng)絡(luò)協(xié)議是異構(gòu)的，網(wǎng)關(guān)不能做到按需部署協(xié)議。所以每增加傳RTU上進(jìn)行通信協(xié)議轉(zhuǎn)化的定制開發(fā)，業(yè)務(wù)擴(kuò)展難。?運(yùn)維難：站點(diǎn)環(huán)境惡劣，雷雨時，設(shè)備易故障，維護(hù)成本高，陰雨時，備電無管理，導(dǎo)致站點(diǎn)不可用，依賴現(xiàn)場人工排障。070708082.0行業(yè)物聯(lián)網(wǎng)面臨的挑戰(zhàn)

02行業(yè)物聯(lián)網(wǎng)面臨的挑戰(zhàn)目前在智慧園區(qū)、智慧城市、智慧交通、水利等多個行業(yè)物聯(lián)網(wǎng)建設(shè)需求綜合看來，主要體現(xiàn)在物聯(lián)網(wǎng)多業(yè)務(wù)的融合、回傳網(wǎng)可靠性、網(wǎng)絡(luò)安全性、網(wǎng)絡(luò)運(yùn)維、網(wǎng)絡(luò)易建易部署等幾個方面，針對以上這些需求，面臨以下一些挑戰(zhàn)和問題，歸納總結(jié)幾條如下：采用何種物聯(lián)技術(shù)部署物聯(lián)終端和改造升級傳統(tǒng)OT系統(tǒng)？行業(yè)網(wǎng)絡(luò)中往往需要部署海量的物聯(lián)終端，同時存在大量的OT系統(tǒng)終端和傳感裝置需要進(jìn)行數(shù)字化、IP化改造。選擇何種物聯(lián)接入技術(shù)，能夠滿足低成本，高效的實(shí)現(xiàn)海量終端快速部署，并對傳統(tǒng)OT系統(tǒng)的網(wǎng)絡(luò)改造升級為大帶寬、低時延的高速網(wǎng)絡(luò)，是行業(yè)物聯(lián)網(wǎng)絡(luò)的通信基礎(chǔ)。如何實(shí)現(xiàn)不同系統(tǒng)終端的子系統(tǒng)互通，打破信息孤島？由于傳統(tǒng)的OT技術(shù)手段不足，規(guī)劃滯后等原因，傳統(tǒng)行業(yè)物聯(lián)網(wǎng)中，大多是各子系統(tǒng)獨(dú)立建網(wǎng)，系統(tǒng)間信息不共享，數(shù)據(jù)無法互通，子系統(tǒng)間無法有效配合實(shí)現(xiàn)聯(lián)動。所以新型物聯(lián)網(wǎng)建設(shè)，需要打破信息孤島，將數(shù)據(jù)匯聚在平臺統(tǒng)一處理，實(shí)現(xiàn)數(shù)據(jù)共享，放大物聯(lián)終端的行業(yè)價值，實(shí)現(xiàn)系統(tǒng)開放性，營造豐富的行業(yè)應(yīng)用環(huán)境。海量物聯(lián)終端分散部署，如何實(shí)現(xiàn)快速開局？海量物聯(lián)終端分散部署，如何實(shí)現(xiàn)快速開局？3物聯(lián)終端由于數(shù)量眾多，所以存在安裝工期長，部署調(diào)試復(fù)雜，施工要求多，可擴(kuò)展性弱等問題。對于2.0行業(yè)物聯(lián)網(wǎng)面臨的挑戰(zhàn) 4 5 海量分散的物聯(lián)終端，如何實(shí)現(xiàn)高效管理運(yùn)維？

復(fù)雜的物聯(lián)網(wǎng)部署環(huán)境中，如何保障物聯(lián)網(wǎng)絡(luò)的可靠通信？物聯(lián)終端數(shù)量多，線路布線復(fù)雜，一旦出現(xiàn)故障，如果沒有自動化故障檢測和拓?fù)涠ㄎ患夹g(shù)，單靠人工排查，工作量大效率低，甚至出現(xiàn)故障后用戶無感知，故障恢復(fù)時間長。所以對于物聯(lián)終端，做到管理運(yùn)維智能化、拓?fù)涑尸F(xiàn)、GIS定位、故障預(yù)測，能夠極大的降低運(yùn)維管理方面的人力成本，提高用戶體驗(yàn)。

相較于傳統(tǒng)接入設(shè)備，物聯(lián)設(shè)備對網(wǎng)絡(luò)高可靠要求更高，要求網(wǎng)絡(luò)不斷鏈，低時延，這樣才能保證業(yè)務(wù)連續(xù)，指令能夠得到快速響應(yīng)和處理。比如在交通桿站的回傳網(wǎng)絡(luò)中，需要保障業(yè)務(wù)傳輸?shù)母呖煽浚W(wǎng)絡(luò)不中斷是業(yè)務(wù)保障的剛需。 6 7 如何保障物聯(lián)網(wǎng)絡(luò)的安全性？ 云化場景下如何保障本地業(yè)務(wù)可靠性？數(shù)字化后物聯(lián)設(shè)備對網(wǎng)絡(luò)安全性要求更高，而CPU處理性能弱等特點(diǎn)，使得物聯(lián)網(wǎng)容易成為網(wǎng)絡(luò)攻擊的對象。另外在一些行業(yè)的園區(qū)，比如，在政府、教育、金融領(lǐng)域，對于安全等級保護(hù)有明確要求，終端設(shè)備必須要做安全認(rèn)證。

邊緣計算節(jié)點(diǎn)包括邊緣服務(wù)器節(jié)點(diǎn)和邊緣網(wǎng)關(guān)節(jié)點(diǎn)，在園區(qū)和桿站場景中，是要利用邊緣網(wǎng)關(guān)節(jié)點(diǎn)的計算能力，解決以下問題：?在上層業(yè)務(wù)斷網(wǎng)情況下，如何做到數(shù)據(jù)存活，本地業(yè)務(wù)不中斷。?業(yè)務(wù)上云時，如何解決在網(wǎng)絡(luò)時延和網(wǎng)絡(luò)性能不穩(wěn)定情況下，給業(yè)務(wù)造成的影響。09091010智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案價值主張與總體架構(gòu)

03價值主張面向物聯(lián)業(yè)務(wù)對邊緣業(yè)務(wù)存活、通信穩(wěn)定可靠、云化統(tǒng)一管理等個性化需求，提供更智能的邊緣網(wǎng)關(guān)策略，更智能的通信保障，更智能的云化管理等功能智簡物聯(lián)感知網(wǎng)，是在解決當(dāng)前行業(yè)物聯(lián)網(wǎng)中面臨的一系列挑戰(zhàn)中，使用智能IP網(wǎng)絡(luò)而打造的極簡物聯(lián)網(wǎng)解決方案。其價值主張為：面向物聯(lián)業(yè)務(wù)對邊緣業(yè)務(wù)存活、通信穩(wěn)定可靠、云化統(tǒng)一管理等個性化需求，提供更智能的邊緣網(wǎng)關(guān)策略，更智能的通信保障，更智能的云化管理等功能面向復(fù)雜的物聯(lián)網(wǎng)環(huán)境，提供更簡單的組網(wǎng)、更簡單的設(shè)備互通、更簡單的設(shè)備管理功能

面向安全防護(hù)能力弱的物聯(lián)終端給網(wǎng)絡(luò)帶來的安全風(fēng)險，提供更安全的接入，更安全的通信，更安全的管控措施，讓整網(wǎng)絡(luò)安全盡在掌控之中更簡單更簡單，就是讓物聯(lián)終端入網(wǎng)變得更簡單，數(shù)據(jù)互通變得更簡單，設(shè)備管理變得更簡單。當(dāng)前物聯(lián)網(wǎng)存在的具體問題表現(xiàn)為：?由于網(wǎng)絡(luò)接入方式各異，有些采用RS485，有些采用ETH等，造成聯(lián)接配置困難、網(wǎng)絡(luò)部署復(fù)雜。?由于傳輸協(xié)議各異，不同類型的終端采用不同的物聯(lián)網(wǎng)協(xié)議，難以互聯(lián)互通。?由于多張子系統(tǒng)的異構(gòu)網(wǎng)絡(luò)，造成物聯(lián)終端無法統(tǒng)一呈現(xiàn)和管理，聯(lián)接狀態(tài)和質(zhì)量問題無法感知。為此，智簡物聯(lián)感知網(wǎng)構(gòu)建一插入網(wǎng)、一跳入云、一網(wǎng)可視三個關(guān)鍵能力：

一插入網(wǎng)：面向眾多物聯(lián)終端，基于聯(lián)接IP化技術(shù)，對末端物聯(lián)網(wǎng)絡(luò)實(shí)現(xiàn)少線化、無線化極簡組網(wǎng)，并實(shí)現(xiàn)免配置（SSID、IP、ID或口令等）開局，即插即用。實(shí)現(xiàn)工期減少50%，布線減少42%以上。一跳入云：面向七國八制的物聯(lián)設(shè)備協(xié)議，基于邊緣網(wǎng)關(guān)設(shè)備，對接入的物聯(lián)設(shè)備協(xié)議進(jìn)行轉(zhuǎn)換，實(shí)現(xiàn)從“物OTIT統(tǒng)一為標(biāo)準(zhǔn)物模型數(shù)據(jù)，從源頭數(shù)據(jù)歸一化，實(shí)現(xiàn)設(shè)備與云的直接互通。一網(wǎng)可視：面向物聯(lián)設(shè)備、網(wǎng)絡(luò)設(shè)備割裂管理，基于網(wǎng)絡(luò)接入設(shè)備對物聯(lián)終端的感知能力，實(shí)現(xiàn)一網(wǎng)到底的可視化呈現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)與物聯(lián)終端的統(tǒng)一拓?fù)洌y(tǒng)一聯(lián)接（。2.0智簡物聯(lián)感知網(wǎng)解決方案價值主張與總體架構(gòu)更安全更安全，是指相較于當(dāng)前物聯(lián)網(wǎng)無整體安全考慮的現(xiàn)狀，采用更有效的安全手段，保障物聯(lián)網(wǎng)安全，消除給整網(wǎng)帶來的安全隱患。這里包含幾層安全涵義：?接入安全：杜絕終端被仿冒和劫持，以免造成機(jī)密數(shù)據(jù)泄露或業(yè)務(wù)癱瘓。?通信安全：各類物聯(lián)終端在網(wǎng)絡(luò)中存在大量的通信數(shù)據(jù)，這些數(shù)據(jù)一旦被截獲和竊聽，同樣會造成信息泄露或信息篡改。?對于潛在的安全風(fēng)險和已發(fā)生的安全攻擊，能夠及時感知，快速識別，并阻斷安全威脅。為此，智簡物聯(lián)感知網(wǎng)構(gòu)建安全接入、安全通信、安全管控這三個關(guān)鍵能力：安全接入：/嵌入式啞終端、智能終端等實(shí)現(xiàn)差異化的安全接入管控方式：對智能終端實(shí)施強(qiáng)安全要SDK實(shí)現(xiàn)安全二次認(rèn)證才可獲得網(wǎng)絡(luò)權(quán)限；對傳感器、嵌入式啞終端無法預(yù)置安全SDK的終端，基

于網(wǎng)絡(luò)的終端指紋識別技術(shù)結(jié)合業(yè)務(wù)管理員審核來實(shí)現(xiàn)SDK的安全二次認(rèn)證包括兩次認(rèn)證，首次認(rèn)證基于網(wǎng)絡(luò)設(shè)備自動識別終端身份(MAC/設(shè)備指紋/電子身份等安全通信：由于物聯(lián)終端的數(shù)據(jù)明文傳輸所存在的各種問題，如數(shù)據(jù)被竊取或被篡改導(dǎo)致信息泄露、利用歷史數(shù)據(jù)進(jìn)行重放攻擊導(dǎo)致業(yè)務(wù)異?；虬c瘓等，邊緣網(wǎng)關(guān)設(shè)備提供多種數(shù)據(jù)加密傳輸手段：在網(wǎng)絡(luò)層基于IPSecVPNMQTT/CoAPTLS/DTLS安全管控：在日常運(yùn)營中整網(wǎng)的安全態(tài)勢實(shí)時感知與及時處理尤為重要。安全管控基于安全態(tài)勢感知系統(tǒng)HiSecInsight和安全設(shè)備，實(shí)現(xiàn)對物聯(lián)感知網(wǎng)的異常流量和惡意威脅進(jìn)行實(shí)時在線分析，并可聯(lián)動網(wǎng)絡(luò)設(shè)備阻斷惡意流量或?qū)K端隔離下線，從而實(shí)現(xiàn)整網(wǎng)業(yè)務(wù)的安全保障。PAGE11PAGE11PAGE12PAGE12智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案價值主張與總體架構(gòu)更智能更智能，旨在基于網(wǎng)絡(luò)對終端、業(yè)務(wù)類型的智能識別提供智能的通信保障與智能的故障定位，同時結(jié)合邊緣網(wǎng)關(guān)與網(wǎng)絡(luò)管理平臺的策略協(xié)同實(shí)現(xiàn)對物聯(lián)網(wǎng)末端業(yè)務(wù)提供可靠保障，其中涉及如下內(nèi)涵：?在網(wǎng)絡(luò)邊緣側(cè)部署邊緣物聯(lián)網(wǎng)關(guān)處理本地物聯(lián)業(yè)務(wù)和不同終端之間的聯(lián)動策略。?網(wǎng)絡(luò)設(shè)備可感知物聯(lián)業(yè)務(wù)類型，提供智能化策略對物聯(lián)數(shù)據(jù)進(jìn)行通信保障。?網(wǎng)絡(luò)管理平臺能夠智能的對網(wǎng)絡(luò)中故障進(jìn)行自動識別，自動定界定位。從而達(dá)到快速業(yè)務(wù)發(fā)放、網(wǎng)絡(luò)自適應(yīng)承載、智能化運(yùn)維的目的。為此，智簡物聯(lián)感知網(wǎng)構(gòu)建邊緣智能、智能通信、智能運(yùn)維三個關(guān)鍵能力：

邊緣智能：物聯(lián)終端通過邊緣網(wǎng)關(guān)互聯(lián)的場景中，邊緣網(wǎng)關(guān)為不同的終端互通提供協(xié)議轉(zhuǎn)換和智能的聯(lián)動策略，并支持被云端（網(wǎng)絡(luò)管理平臺）進(jìn)行統(tǒng)一的管理，實(shí)現(xiàn)云邊協(xié)同的策略管理。在回傳網(wǎng)絡(luò)中斷發(fā)生后，本地邊緣網(wǎng)關(guān)的策略不受影響。智能通信：包括智能接收與智能回傳，其中智能接收主要在物聯(lián)終端接入網(wǎng)絡(luò)中，智能的識別終端類型、業(yè)務(wù)類型從而提供差異化接入SLA保障。智能回傳是指網(wǎng)絡(luò)智能的分析業(yè)務(wù)類型結(jié)合網(wǎng)絡(luò)回傳鏈路情況實(shí)現(xiàn)智能的智能運(yùn)維：基于網(wǎng)絡(luò)設(shè)備端口及鏈路感知能力，智能終端識別能力，空口分析能力等實(shí)現(xiàn)對物聯(lián)網(wǎng)的智能的故障分析與運(yùn)維，實(shí)現(xiàn)故障快速定界定位，支持定界到應(yīng)//終端問題，定位到具體設(shè)備的聯(lián)接端口。從而2.0智簡物聯(lián)感知網(wǎng)解決方案價值主張與總體架構(gòu)智簡物聯(lián)感知網(wǎng)解決方案總體架構(gòu)智簡物聯(lián)感知網(wǎng)解決方案打破了傳統(tǒng)煙囪式的設(shè)計、避免了重復(fù)的網(wǎng)絡(luò)建設(shè)，通過統(tǒng)一的頂層設(shè)計、統(tǒng)一的網(wǎng)絡(luò)規(guī)劃，實(shí)現(xiàn)了縱向應(yīng)用與物聯(lián)終端解耦，物聯(lián)數(shù)據(jù)從源頭統(tǒng)一標(biāo)準(zhǔn)，具備了任一層（///云）獨(dú)立彈性擴(kuò)容的能力。智簡物聯(lián)感知網(wǎng)架構(gòu)，可支持物聯(lián)終端彈性插拔式的接入，業(yè)務(wù)應(yīng)用彈性擴(kuò)展，并強(qiáng)化了對于物聯(lián)網(wǎng)的安全性和網(wǎng)絡(luò)聯(lián)接可靠性的能力，實(shí)現(xiàn)數(shù)字信息的泛在互聯(lián)，高效通信。行業(yè)應(yīng)用智慧城市 智慧園區(qū) 智慧水利 智慧交通行業(yè)應(yīng)用云沃土數(shù)字平臺云沃土數(shù)字平臺

行業(yè)應(yīng)用（IOC…）網(wǎng)絡(luò)管理安全管理物聯(lián)管理智能運(yùn)維HiSec安全態(tài)勢管理IoT設(shè)備管理網(wǎng)絡(luò)管理安全管理物聯(lián)管理智能運(yùn)維HiSec安全態(tài)勢管理IoT設(shè)備管理端網(wǎng)管理終端證書管理IoT路由策略|規(guī)則引擎網(wǎng)絡(luò)管理統(tǒng)一登錄物模型管理|插件管理管回傳網(wǎng)絡(luò)SD管回傳網(wǎng)絡(luò)

CloudVXLAN

運(yùn)營商5G|MBB|FBB邊邊

AR

LSW WLANAP

桿/站智慧園區(qū)物聯(lián)感知 智慧桿站物聯(lián)感知PLC…水位計雨量筒…水位計雨量筒RTU

Eth/POE感知網(wǎng)

WLAN感知網(wǎng)

PLC感知網(wǎng)RS485

Eth/POE感知網(wǎng)

WLAN感知網(wǎng)端終端/傳感 端終端/傳感…電表 配電設(shè)施攝像頭電表 配電設(shè)施攝像頭停車道閘門禁閘機(jī)無線投屏 資產(chǎn)智簡物聯(lián)感知網(wǎng)總體架構(gòu)如上圖所示，由端、邊、管、云四層組成，以下分別介紹每一層的功能及相關(guān)的關(guān)鍵技術(shù)：物聯(lián)終端層物聯(lián)終端層是物聯(lián)感知網(wǎng)絡(luò)的“末端傳感”，聯(lián)接著物

理世界和數(shù)字世界。從應(yīng)用場景上主要分為兩類：室內(nèi)為主的智慧園區(qū)物聯(lián)感知類終端，室外為主的智慧桿站物聯(lián)感知類終端。這些終端部署在不同的網(wǎng)絡(luò)環(huán)境中，有室內(nèi)也有室外，有固定的也有移動的，根據(jù)場景不同需要選擇合適的網(wǎng)絡(luò)聯(lián)接方式。這些物聯(lián)終端的算力有IP化接口，導(dǎo)致組網(wǎng)復(fù)雜，配置入網(wǎng)復(fù)雜。為智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案價值主張與總體架構(gòu)了解決這些問題，華為提供聯(lián)接能力給生態(tài)終端，實(shí)現(xiàn)標(biāo)準(zhǔn)化聯(lián)接與安全接入，對終端入網(wǎng)實(shí)現(xiàn)以下能力：?聯(lián)接IP化：實(shí)現(xiàn)物聯(lián)終端無線化、少線化和數(shù)字化通信。針對現(xiàn)網(wǎng)環(huán)境中模擬傳感器的線纜數(shù)量眾多、故障排查困難等問題，采用物聯(lián)終端IP化改造，網(wǎng)絡(luò)聯(lián)接無線化、少線化的方案。華為提供功能模組和二次開發(fā)指導(dǎo)書，使終端伙伴快速具備IP聯(lián)接開發(fā)能力。?終端安全SDK：面向海量終端的安全身份識別與網(wǎng)絡(luò)接入訴求，華為提供給終端廠商安全SDK，使終端快速具備802.1x認(rèn)證、安全入網(wǎng)等特性，從而在源頭管理物聯(lián)網(wǎng)安全。?終端電子身份規(guī)約：聯(lián)合伙伴對物聯(lián)網(wǎng)終端制定電子身份規(guī)約，實(shí)現(xiàn)對物聯(lián)網(wǎng)終端身份的精準(zhǔn)識別。&感知接入層物聯(lián)終端層是物聯(lián)感知網(wǎng)絡(luò)的“神經(jīng)末梢”。在整個物聯(lián)感知網(wǎng)中，邊緣接入層是決定整個解決方案易用性的關(guān)鍵一層。這一層向下聯(lián)接著OT網(wǎng)絡(luò)（支持IOT設(shè)備之間的操作指令通信的網(wǎng)絡(luò)），向上聯(lián)接著CT網(wǎng)絡(luò)（支持IT應(yīng)用數(shù)據(jù)通信網(wǎng)絡(luò)）。OT網(wǎng)絡(luò)需求是可靠聯(lián)接、業(yè)務(wù)本地存活；CT網(wǎng)絡(luò)需求是安全、可運(yùn)維可管理；IT的需求是通過CT網(wǎng)絡(luò)與OT數(shù)據(jù)互通、與OT網(wǎng)絡(luò)策略聯(lián)動。邊緣網(wǎng)關(guān)是這些需求的交匯節(jié)點(diǎn)。華為基于AR物聯(lián)網(wǎng)關(guān)、物聯(lián)交換機(jī)、物聯(lián)AP來為物聯(lián)終端提供一下關(guān)鍵技術(shù)：?全I(xiàn)P化的組網(wǎng)：PLC組網(wǎng)能力：采用華為專利的PLC-IoT技術(shù)，實(shí)現(xiàn)抗干擾的長距離大帶寬（1km，>1Mbps）PLC網(wǎng)絡(luò)，應(yīng)用于強(qiáng)電網(wǎng)絡(luò)、總線型網(wǎng)絡(luò)的終端IP化接入，有電就有網(wǎng)。ETH/PoE組網(wǎng)能力：提供1000Mbps以上帶寬接入，用于固定ETH網(wǎng)絡(luò)可獲得的物聯(lián)網(wǎng)終端接入，其中PoE++支持200m遠(yuǎn)距離供電，實(shí)現(xiàn)一根線解決視頻監(jiān)控等大帶寬與供電場景。WLAN組網(wǎng)能力：提供Wi-Fi、RFID、UWB、BLE等多種無線感知接入方式的網(wǎng)絡(luò)，為園區(qū)內(nèi)各類物聯(lián)終端提供1000Mbps以內(nèi)較大帶寬的無線化接入，并統(tǒng)

一網(wǎng)規(guī)統(tǒng)一管理各類設(shè)備，保障物聯(lián)終端的可靠接入。?即插即用：基于邊緣網(wǎng)關(guān)的自動發(fā)現(xiàn)與終端識別，實(shí)現(xiàn)一插入網(wǎng)、安全接入的功能，從而實(shí)現(xiàn)終端的極簡開局、安全開局。?可靠通信：基于邊緣網(wǎng)關(guān)的終端識別技術(shù)，基于設(shè)備類型、業(yè)務(wù)類型為終端提供智能通信保障，從而實(shí)現(xiàn)按需的SLA服務(wù)，保障重要業(yè)務(wù)穩(wěn)定可靠；并對回傳數(shù)據(jù)提供IPsecVPN、MQTToverTLS等安全通信功能，保障數(shù)據(jù)的隱私性、完整性。?邊緣智能、一跳入云：基于邊緣網(wǎng)關(guān)內(nèi)置的IOTAgent實(shí)現(xiàn)OT信令到IT物模型的轉(zhuǎn)換，從而讓IOT設(shè)備之間、IOT設(shè)備與應(yīng)用之間互通更簡單高效；也通過多邊緣智能為IOT設(shè)備提供本地業(yè)務(wù)存活的功能?；貍骶W(wǎng)絡(luò)層回傳網(wǎng)絡(luò)是物聯(lián)感知網(wǎng)絡(luò)的“神經(jīng)網(wǎng)絡(luò)”，主要是保障物聯(lián)數(shù)據(jù)高效，可靠，安全的傳輸。企業(yè)可選擇自建企業(yè)專網(wǎng)、租用運(yùn)營商專線、或是企業(yè)自有園區(qū)內(nèi)網(wǎng)。廣域回傳網(wǎng)可采用SDWAN優(yōu)化投資性價比，實(shí)現(xiàn)對重要業(yè)務(wù)通過專網(wǎng)傳輸，對非重要業(yè)務(wù)可通過公網(wǎng)回傳。園區(qū)內(nèi)網(wǎng)可采用VxLAN技術(shù)實(shí)現(xiàn)一網(wǎng)多業(yè)務(wù)承載，對不同的業(yè)務(wù)劃分不同的虛擬子網(wǎng)保障業(yè)務(wù)隔離安全可靠?；貍骶W(wǎng)絡(luò)主要采用關(guān)鍵技術(shù)如下：?園區(qū)網(wǎng)VxLAN多網(wǎng)融合技術(shù)：基于VxLAN技術(shù)實(shí)現(xiàn)物聯(lián)業(yè)務(wù)和其他業(yè)務(wù)業(yè)務(wù)網(wǎng)絡(luò)隔離，同時共享一張物理網(wǎng)絡(luò)，避免重復(fù)建網(wǎng)，實(shí)現(xiàn)智能高效建網(wǎng)。?SDWAN智能選路技術(shù)：SD-WAN智能選路，通過對流量進(jìn)行分類、識別關(guān)鍵應(yīng)用，同時通過IPFPM檢測鏈路質(zhì)量探測，并依據(jù)鏈路檢測結(jié)果來設(shè)定流量的轉(zhuǎn)發(fā)路徑，最終實(shí)現(xiàn)基于應(yīng)用的智能選路，保障業(yè)務(wù)不中斷，穩(wěn)定可靠體驗(yàn)。?物聯(lián)網(wǎng)安全保護(hù)：物聯(lián)網(wǎng)終端或設(shè)備采用的應(yīng)用層協(xié)議有MQTT/CoAP/HTTPS等常見協(xié)議，這類協(xié)議在網(wǎng)絡(luò)中傳輸，由于協(xié)議不盡完善，存在異常流量或者畸形報文攻擊，會帶來對物聯(lián)網(wǎng)整網(wǎng)的DDoS等安全威脅，故在回傳網(wǎng)絡(luò)邊界需部署安全的防火墻實(shí)現(xiàn)對MQTT/CoAP/HttPS的物聯(lián)協(xié)議識別，流量異常識別，畸形報文防護(hù)等，對TLS/DTLS加密流量同樣具備防護(hù)能力。2.0智簡物聯(lián)感知網(wǎng)解決方案價值主張與總體架構(gòu)?物聯(lián)協(xié)議加密保護(hù)：支持物聯(lián)協(xié)議的安全加密，如CoAPoverDTLS、MQTToverTLS加密。同時支持全量數(shù)據(jù)在網(wǎng)絡(luò)中的加密保護(hù)，如CAPWAP加密，MACsec、IPsec等。?SRv6智能路由技術(shù)：企業(yè)自建廣域網(wǎng)絡(luò)的場景中，不同分支之間存在數(shù)據(jù)業(yè)務(wù)，視頻業(yè)務(wù)，以及物聯(lián)業(yè)務(wù)。其中物聯(lián)業(yè)務(wù)對丟包和時延較為敏感。若沒有很好的保障手段，業(yè)務(wù)體驗(yàn)較差，不實(shí)時的問題。而SRv6技術(shù)可以應(yīng)用在企業(yè)分支路由之間，基于物聯(lián)應(yīng)用APPID來實(shí)現(xiàn)最優(yōu)的分支到云的路由路徑和虛擬網(wǎng)絡(luò)。從而達(dá)到邊端數(shù)據(jù)與云之間無縫的互聯(lián)互通。聯(lián)接使能平臺聯(lián)接使能平臺層是整張物聯(lián)感知網(wǎng)絡(luò)的“神經(jīng)中樞”，實(shí)現(xiàn)網(wǎng)絡(luò)管理，安全管理，物聯(lián)管理三大基本功能。管理整張物聯(lián)感知網(wǎng)，并提供開放的接口和標(biāo)準(zhǔn)化數(shù)據(jù)給應(yīng)用。聯(lián)接使能平臺基于華為iMasterNCE、CampusInsight、HiSec、PKI、NCE-IOT等系統(tǒng)實(shí)現(xiàn)對物聯(lián)感知網(wǎng)的全網(wǎng)管理、控制、分析。

關(guān)鍵功能如下：?網(wǎng)絡(luò)管理：主要包括智能運(yùn)維、端網(wǎng)管理、網(wǎng)絡(luò)管理等幾大特性。其中智能運(yùn)維，面向海量的物聯(lián)終端業(yè)務(wù)故障，提供智能化的運(yùn)維工具，對業(yè)務(wù)故障進(jìn)行精準(zhǔn)定界定位（應(yīng)用問題/網(wǎng)絡(luò)問題/終端問題），包括網(wǎng)絡(luò)側(cè)還是終端側(cè)的故障定界，故障發(fā)生的端口定位。通過AI算法大數(shù)據(jù)分析對物聯(lián)網(wǎng)絡(luò)進(jìn)行故障感知與根因分析，自動修正，最終形成調(diào)優(yōu)閉環(huán)。力，實(shí)現(xiàn)對網(wǎng)絡(luò)網(wǎng)元、邊緣網(wǎng)關(guān)節(jié)點(diǎn)、物聯(lián)終端進(jìn)行全網(wǎng)管理。包括設(shè)備資產(chǎn)信息以及拓?fù)?、?lián)接狀態(tài)的終端身份信息等，拓?fù)湫畔ňW(wǎng)絡(luò)與物聯(lián)終端的聯(lián)接關(guān)系、聯(lián)接狀態(tài)（包括：位置、狀態(tài)、協(xié)議、流量、質(zhì)量）等。從而實(shí)現(xiàn)對全網(wǎng)的設(shè)備狀態(tài)的實(shí)時掌握。網(wǎng)絡(luò)管理，主要實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備和終端即插即用開局、業(yè)務(wù)隨行和按需調(diào)度的業(yè)務(wù)網(wǎng)絡(luò)策略下發(fā)，和運(yùn)維保障等功能，從而讓網(wǎng)絡(luò)管理更簡單。智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案價值主張與總體架構(gòu)?安全管理主要包括：HiSec安全態(tài)勢管理、終端證書管理、統(tǒng)一登錄三大特性。HiSec安全態(tài)勢管理：主要實(shí)現(xiàn)對全網(wǎng)安全威脅和異常網(wǎng)絡(luò)流量的分析與監(jiān)控，對威脅及時進(jìn)行干預(yù)或者阻斷隔離。從而保障整網(wǎng)的安全環(huán)境。終端證書管理：與網(wǎng)絡(luò)管理聯(lián)動主要實(shí)現(xiàn)對物聯(lián)網(wǎng)終端證書的發(fā)放、證書生命周期管理（發(fā)放、吊銷、過期等）等功能，是安全接入功能的后臺支撐系統(tǒng)。保障海量物聯(lián)終端的安全接入。統(tǒng)一登錄：為聯(lián)接使能平臺各組件之間提供統(tǒng)一登錄服務(wù)。?路由&規(guī)則引擎、&IOT設(shè)備管理主要功能包括：（1）邊緣網(wǎng)關(guān)管理（含IOTAgent）、物聯(lián)網(wǎng)終端的生命周期管理，包括設(shè)備注冊、實(shí)時監(jiān)控、分組管理、設(shè)備刪除。（2）支持設(shè)備影子數(shù)據(jù)管理與緩存機(jī)制，解決網(wǎng)絡(luò)不穩(wěn)定時，應(yīng)用仍可采集到最新的物聯(lián)設(shè)備數(shù)據(jù)。（3）支持設(shè)

OT設(shè)備實(shí)現(xiàn)業(yè)務(wù)。IOT&規(guī)則引擎：平臺可支持無碼化的編排策略或規(guī)則，在平臺側(cè)編排的策略可下發(fā)到邊緣網(wǎng)關(guān)執(zhí)行，實(shí)現(xiàn)設(shè)備與設(shè)備之間的數(shù)據(jù)路由或者聯(lián)動。規(guī)則引擎，可以基于無碼化的編排更復(fù)雜的邏輯，對數(shù)據(jù)進(jìn)行判斷和處理后，實(shí)現(xiàn)多設(shè)備聯(lián)動的復(fù)雜場景。物模型管理&插件管理：物模型即設(shè)備模板，平臺支持用戶自主定義一類物聯(lián)網(wǎng)設(shè)備對象，并進(jìn)行生命周期管理。插件管理主要管理各類物聯(lián)網(wǎng)設(shè)備的驅(qū)動，平臺支持對邊緣網(wǎng)關(guān)接入的設(shè)備批量下發(fā)驅(qū)動，從而實(shí)現(xiàn)某一類型物聯(lián)網(wǎng)設(shè)備的快速數(shù)據(jù)接入。應(yīng)用層聯(lián)接使能平臺具備開放的北向接口，供各類物聯(lián)應(yīng)用對接和調(diào)用。通過聯(lián)接使能平臺，應(yīng)用無需關(guān)心物聯(lián)終端怎么聯(lián)接，什么協(xié)議等，只需從聯(lián)接使能平臺獲取相關(guān)設(shè)備數(shù)據(jù)，或者運(yùn)維所需的數(shù)據(jù)即可實(shí)現(xiàn)業(yè)務(wù)。終端也無需關(guān)心數(shù)據(jù)回傳到應(yīng)用的網(wǎng)絡(luò)怎么打通、如何建立握手等問題，只需接入邊緣物聯(lián)網(wǎng)關(guān)，即可實(shí)現(xiàn)數(shù)據(jù)一跳入云與應(yīng)用互通。IOC是智能運(yùn)營中心，不僅管理著整網(wǎng)的業(yè)務(wù)態(tài)勢，也管理著整網(wǎng)的網(wǎng)絡(luò)態(tài)勢與安全態(tài)勢，通過對接聯(lián)接使能平臺，即可獲取所有南向物聯(lián)網(wǎng)的所有數(shù)據(jù)、網(wǎng)絡(luò)、安全管理所需的數(shù)據(jù)和信息。2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)04更簡單更簡單，就是要實(shí)現(xiàn)物聯(lián)設(shè)備“一插入網(wǎng)”的聯(lián)接方式，“一跳入云”的協(xié)議互通技術(shù)，并能夠讓整張物聯(lián)感知網(wǎng)和物聯(lián)終端在IOC平臺上做到“一網(wǎng)可視”，以下就是關(guān)于這幾點(diǎn)能力的詳細(xì)關(guān)鍵技術(shù)方案描述。一插入網(wǎng)對于各類物聯(lián)終端來說，現(xiàn)有物理聯(lián)接方式和通信協(xié)議往往是多樣的，比如門禁終端采用RS485總線和韋根協(xié)RS485DIDO接口方式。希望通過IPIP化的接入方式，從而實(shí)現(xiàn)不同廠商的設(shè)備異構(gòu)組網(wǎng)，彼此互通，實(shí)現(xiàn)智能業(yè)務(wù)部署，智能管理運(yùn)營，和智能通信保障。物聯(lián)終端數(shù)量多，接口類型各異，網(wǎng)絡(luò)配置復(fù)雜。這里既需要對網(wǎng)絡(luò)設(shè)備進(jìn)行配置，又要對物聯(lián)終端進(jìn)行入網(wǎng)配置，比如BA場景下，DDC數(shù)量眾多，布線復(fù)雜，且需現(xiàn)場逐個配置入網(wǎng)，耗費(fèi)大量人力，而且一旦人為配置出錯，難以定位根因，整個過程耗時耗力。方案通過IP化，能夠?qū)崿F(xiàn)Wi-Fi6無線接入和PLC-IoT接入，減少40%以上線纜的布置。采用無感接入技術(shù)手段進(jìn)行自動引導(dǎo)，免去繁雜的現(xiàn)場配置，完成各類終端自動入網(wǎng)。做到物聯(lián)終端設(shè)備一插入網(wǎng)，就可以進(jìn)行業(yè)務(wù)通信。

IP化以智慧園區(qū)場景為例，子系統(tǒng)的大多采用非IP的數(shù)據(jù)線布線方式，這類的子系統(tǒng)基本都存在以下問題：?線多、升級/改造困難：比如下圖就是以暖通BA場景為例，幾百根非IP的RS485的線纜，容易錯接，發(fā)生故障時，排障極其困難，改造工程成本高。?封閉系統(tǒng)，應(yīng)用集成困難：各個子網(wǎng)形成信息孤島，要實(shí)現(xiàn)系統(tǒng)集成需分別打通各個子系統(tǒng)網(wǎng)絡(luò)。?總線帶寬速率無法滿足新技術(shù)迭代需求：由于門禁閘機(jī)、消防兩張網(wǎng)，采用RS485總線聯(lián)接方式，限制了帶寬速率，面對用戶體驗(yàn)提升方面新需求，比如消防網(wǎng)中，需要對消防警報點(diǎn)進(jìn)行視頻抓拍，回傳抓拍照片，傳統(tǒng)總線無法滿足照片和視頻上傳帶寬需求，也無法做到帶寬自動升級。所以需要實(shí)現(xiàn)新一代智能終端的數(shù)據(jù)采集和回傳網(wǎng)絡(luò)。智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)AS-ISTO-BEAS-ISTO-BE工作站園區(qū)網(wǎng)絡(luò)

工作站園區(qū)網(wǎng)絡(luò)

服務(wù)器ETH

ETH

AR502HAP PLC頭端網(wǎng)絡(luò)

網(wǎng)絡(luò)控制器RS485

DDC

PLCDDC

PLC尾端DDC控制器 控制器 控制器 控制器圖4-1BA場景IP化改造前后對比圖為解決這些問題，采用整網(wǎng)聯(lián)接IP化，實(shí)現(xiàn)不同連接方式網(wǎng)絡(luò)同構(gòu)化，融合一張網(wǎng)，這樣帶來以下幾點(diǎn)優(yōu)點(diǎn)：?以IP化的物理連接方式進(jìn)行部署，比如Wi-Fi等技術(shù)，從而簡化網(wǎng)絡(luò)部署。?實(shí)現(xiàn)網(wǎng)絡(luò)IP化，能夠做到簡化人工配置，實(shí)現(xiàn)物聯(lián)設(shè)備即插即用。?為物聯(lián)協(xié)議的統(tǒng)一提供通信基礎(chǔ)，實(shí)現(xiàn)物聯(lián)數(shù)據(jù)互聯(lián)互通。

以下華為推薦采用Wi-Fi、PLC、ETH/POE聯(lián)接技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)IP化的改造。采用Wi-Fi6技術(shù)的無線化，和PLC-IoT技術(shù)的少線化改造，是因?yàn)槠洳季€和線路改造容易，組網(wǎng)靈活，因此較好實(shí)現(xiàn)快速建網(wǎng)。而POE技術(shù)很好解決了攝像頭類終端的網(wǎng)絡(luò)供電問題。以下分別是Wi-Fi6，PLC-IoT技術(shù)和PoE技術(shù)優(yōu)勢適合場景的分析：Wi-Fi6Wi-Fi6技術(shù)改造方案隨著Wi-Fi6無線技術(shù)的成熟和普及，其技術(shù)有以下優(yōu)勢：?對于改造/擴(kuò)容布線困難場景下，采用Wi-Fi6技術(shù)，能夠?qū)崿F(xiàn)單終端Mbps級以上大帶寬接入（如視頻）。?在新建網(wǎng)絡(luò)場景中，對于有彈性擴(kuò)容訴求的設(shè)備部署，采用無線方式更易擴(kuò)容。?可滿足物聯(lián)終端設(shè)備可移動的場景需求，比如會議室辦公終端，送餐或安保等機(jī)器人等。2.0適合于物聯(lián)終端高可靠，不斷線，低時延要求。比如，適合BA系統(tǒng)中關(guān)于設(shè)備控制類信令的傳輸可靠保障。適合于物聯(lián)終端高可靠，不斷線，低時延要求。比如，適合BA系統(tǒng)中關(guān)于設(shè)備控制類信令的傳輸可靠保障。OFDMA技術(shù)提升覆蓋和抗擾采用1024QAM調(diào)制技術(shù)采用1024QAM調(diào)制技術(shù)Wi-Fi6技術(shù)提供更高的帶寬能力描述滿足物聯(lián)終端傳輸帶寬需求，比如消防類業(yè)務(wù)，對于IoT終端抓拍照片信息回傳，對比傳統(tǒng)弱電系統(tǒng)，可以有效保障其傳輸帶寬滿足物聯(lián)網(wǎng)使用場景需求MU-MIMO，MU-MIMO，Beamforming保障物聯(lián)終端遠(yuǎn)距離傳輸?shù)木W(wǎng)絡(luò)可靠性，如水利桿站等需要室外遠(yuǎn)距離傳輸?shù)膱鼍皹I(yè)務(wù)。PreamblePuncturing和空分復(fù)用技術(shù) PreamblePuncturing和空分復(fù)用技術(shù)適合于物聯(lián)終端高密部署場景，比如資產(chǎn)類和環(huán)境監(jiān)測類等需要部署數(shù)量較多的IoT設(shè)備終端時。TWT節(jié)能機(jī)制 TWT節(jié)能機(jī)制適合于物聯(lián)終端對能耗要求物聯(lián)啞終端節(jié)能在高密環(huán)境下，允許更多數(shù)量的終端接入更強(qiáng)的信號定向覆蓋能力，帶寬增倍物聯(lián)啞終端節(jié)能在高密環(huán)境下，允許更多數(shù)量的終端接入更強(qiáng)的信號定向覆蓋能力，帶寬增倍提供更高帶寬利用率和低時延PLC-IoTPLC-IoT技術(shù)改造方案PLC-IOT是采用華為專利的高速電力線載波技術(shù)。相對于傳統(tǒng)的PLC技術(shù)，其能力具備：?帶寬大，強(qiáng)抗擾，高速可靠。?基于IPv6，支撐海量多種類型設(shè)備接入。?基于DTLS，實(shí)現(xiàn)設(shè)備安全接入和加密通信。?支持即插即用，簡化設(shè)備上線流程，高效運(yùn)營。?簡化安裝部署，實(shí)現(xiàn)故障精準(zhǔn)定位。采用PLC-IoT技術(shù)的主要優(yōu)勢和建議應(yīng)用場景如下：?把已調(diào)制的高頻信號加載于電力線進(jìn)行信息傳輸。不需要重新架設(shè)通信網(wǎng)絡(luò)，有電線就能通信。

?對于受地形影響，比如障礙物遮擋情況下Wi-Fi可能難以部署，PLC-IoT電力線通信質(zhì)量不會受到地形，障礙物等因素影響。?改造成本低，無需重新布線，施工周期短。對于原有網(wǎng)絡(luò)為強(qiáng)電線互聯(lián)（如電表、路燈等）或者弱電線互聯(lián)（如BA系統(tǒng)的暖通空調(diào)自控），可直接復(fù)用原有電力線或者RS485弱電線即可實(shí)現(xiàn)大帶寬的IP網(wǎng)絡(luò)通信，節(jié)省了重復(fù)布線成本。?1公PoEPoE技術(shù)PoE全稱PoweroverEthernet，是通過以太網(wǎng)銅纜供電的技術(shù)。PoE交換機(jī)可以幫助簡化施工，不用另外的電源布線，這讓它具有簡單便捷的優(yōu)勢。它的這種優(yōu)勢可以完美應(yīng)用于無線AP、網(wǎng)絡(luò)監(jiān)控、智能終端等設(shè)備的接入網(wǎng)絡(luò)需求。無線覆蓋中的無線AP需要通電才能運(yùn)行，網(wǎng)絡(luò)監(jiān)控中的監(jiān)控攝像頭需要供電才能工作，而PoE交換機(jī)就可以解決它們的供電問題，不用施工隊(duì)另外的挖道、布線，使得工程更加的簡單，也節(jié)約了時間。所以對于監(jiān)控攝像頭，智能物聯(lián)終端這一類設(shè)備，PoE

技術(shù)提供以下便利：?對于電源部署比較困難場景下，采用PoE技術(shù)很好解?采用60W功率的PoE++技術(shù)可實(shí)現(xiàn)200米的長距離供電，滿足遠(yuǎn)點(diǎn)監(jiān)控攝像頭的聯(lián)接需求。另外，相對于Wi-Fi和PLC，Ethernet針對大帶寬需求的場景，可提供穩(wěn)定的高帶寬輸出，這對于需要回傳高碼率視頻業(yè)務(wù)的網(wǎng)絡(luò)可以保證較好的帶寬體驗(yàn)。智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)無感接入無感接入就是通過即插即用，無需人工配置的技術(shù)手段，解決傳統(tǒng)IOT終端聯(lián)網(wǎng)過程中，終端聯(lián)接網(wǎng)絡(luò)配置繁雜，設(shè)備認(rèn)證過程復(fù)雜等問題，比如：?IOT終端配置難：對于WiFi接入的IoT終端，需逐個配置規(guī)劃的SSID和密碼,過程繁瑣，容易出現(xiàn)錯誤。另外，對于不支持人機(jī)界面的部分終端，需要專業(yè)的網(wǎng)絡(luò)配置工具，開局效率低。?網(wǎng)絡(luò)設(shè)備配置繁：當(dāng)前開局是在交換機(jī)上用命令行配置終端MAC方式進(jìn)行開局，如每新增終端，都需額外配置，配置靈活性較差。無感接入技術(shù)方案由于采用自動引導(dǎo)的技術(shù)，只需要網(wǎng)絡(luò)通過iMasterNCE預(yù)置配置，比如SSID，從而省去終端的網(wǎng)絡(luò)配置；通過終端身份上報和NCE審核，省去終端側(cè)安全配置和網(wǎng)絡(luò)設(shè)備中本地認(rèn)證的配置；從而實(shí)現(xiàn)終端觸網(wǎng)就可以上網(wǎng)，實(shí)現(xiàn)即插即用，其過程可以分為以下幾個步驟：?自動引導(dǎo)：設(shè)備無線網(wǎng)卡在掃描無線信號，或者有線端口插入網(wǎng)線時，網(wǎng)絡(luò)將終端自動引導(dǎo)并聯(lián)接上目標(biāo)網(wǎng)域，比如SSID域，這個過程省去人工配置終端上

網(wǎng)和密碼的操作，特別對于沒有人機(jī)交互界面的物聯(lián)終端，提供無感知的接入。?電子身份上報和識別/設(shè)備指紋識別：終端通過報文攜帶電子身份字段，并主動上報；網(wǎng)絡(luò)對于上報電子身份進(jìn)行解析，識別終端身份和類型，用作設(shè)備審核。對于不具備主動上報電子身份條件的終端，如啞終端或者未集成華為安全SDK的終端，網(wǎng)絡(luò)可采用通過解析終端發(fā)出報文的設(shè)備指紋特征的方式來識別終端。?網(wǎng)絡(luò)利用終端的電子身份規(guī)約/設(shè)備指紋信息作為認(rèn)證內(nèi)容，在iMasterNCE平臺上進(jìn)行終端準(zhǔn)入。另外，對于采用設(shè)備指紋識別的終端，可以增加采用人工審核的方式進(jìn)一步提高審核精準(zhǔn)度，這個過程在接入安全章節(jié)進(jìn)一步描述。電子身份規(guī)約：智簡物聯(lián)感知網(wǎng)提出一種定義物聯(lián)終端的電子身份規(guī)約，該規(guī)約包含設(shè)備廠家和版本號、產(chǎn)品名稱、終端類型、SN、標(biāo)識符、安全、加密等信息。終端廠家電子身份的規(guī)范，內(nèi)置在其固件中，當(dāng)終端聯(lián)網(wǎng)時，將電子身份規(guī)AS-ISAS-IS門禁控制系統(tǒng)網(wǎng)絡(luò)配置門禁控制系統(tǒng)網(wǎng)絡(luò)配置園區(qū)網(wǎng)WLANAC終端配置網(wǎng)絡(luò)設(shè)備配置設(shè)備Mac終端配置網(wǎng)絡(luò)設(shè)備配置設(shè)備Mac白名單終端上線，配置選擇SSID，配置密碼閘機(jī)Pad人臉識別Pad終端上線，配置選擇SSID，配置密碼4.3.身份審核4.3.身份審核管理員WLANAC園區(qū)網(wǎng)2.身份上報終端SDK網(wǎng)絡(luò)設(shè)備功能點(diǎn)平臺功能點(diǎn)AP交換機(jī)Wi-Fi1.自動引導(dǎo)ETH人臉識別Pad閘機(jī)PadTO-BE通行應(yīng)用2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)約的信息通過報文攜帶的方式上報，具體建議可以參考以下幾種報文攜帶上報：?LLDP報文，DHCP報文。?EAP報文，Radius報文。?MAC層鏈路協(xié)商報文，如802.11報文。自動引導(dǎo)：本地開局即插即用過程中，有線/無線物聯(lián)設(shè)備通過自動發(fā)現(xiàn)，基于電子身份規(guī)約，完成對終端識別和自動引導(dǎo)入網(wǎng)，具體方式如下：?智簡聯(lián)接有線物聯(lián)終端設(shè)備，在有線終端上線后，通過設(shè)備發(fā)現(xiàn)協(xié)議（比如DHCP，LLDP等）中攜帶的電子身份規(guī)約，物聯(lián)終端響應(yīng)報文中也攜帶電子身份規(guī)約，設(shè)備對接后彼此完成物聯(lián)設(shè)備類型識別。?智簡聯(lián)接Wi-Fi物聯(lián)終端設(shè)備，在Wi-Fi終端上線后，通過在WLAN802.11幀中擴(kuò)展字段攜帶的電子身份規(guī)約物聯(lián)Wi-Fi終端響應(yīng)報文中也攜帶電子身份規(guī)約，設(shè)備對接后彼此完成物聯(lián)設(shè)備類型識別。?物聯(lián)PLC-IoT設(shè)備，在PLC-IoT終端上線后，通過

在入網(wǎng)消息的擴(kuò)展字段攜帶的電子身份規(guī)約,物聯(lián)PLC-IoT終端響應(yīng)報文中也攜帶電子身份規(guī)約，設(shè)備對接后彼此完成物聯(lián)設(shè)備類型識別。?物聯(lián)網(wǎng)絡(luò)和物聯(lián)終端完成設(shè)備發(fā)現(xiàn)，和終端身份識別后，根據(jù)各自的認(rèn)證策略，完成物聯(lián)設(shè)備的入網(wǎng)認(rèn)證。物聯(lián)終端識別：物聯(lián)終端識別是物聯(lián)感知網(wǎng)以及管理平臺在物聯(lián)終端上線后，對其設(shè)備身份，合法性，業(yè)務(wù)范圍等屬性的識別過程。其方法除了前文提到的電子身份上報方式外，對于尚未支持電子身份規(guī)約的終端，則可以采用設(shè)備指紋方式對終端身份進(jìn)行識別和合法性校驗(yàn)，具體方式如下：?方式一：網(wǎng)絡(luò)通過對終端電子身份信息的分析，分析呈現(xiàn)出廠商信息，終端類型，SN，標(biāo)識符，身份合法性等，從而識別終端身份。?方式二：網(wǎng)絡(luò)獲取終端設(shè)備指紋信息，與其設(shè)備指AR物聯(lián)網(wǎng)關(guān)

物聯(lián)交換機(jī)

IOT插卡

物聯(lián)AP自動發(fā)現(xiàn) 3

自動發(fā)現(xiàn) 1

自動發(fā)現(xiàn) 2PLCBeacon LLP/DHP 80Beacon接口 SDK 模組 SDK PLC模組 SDK…圖4-3物聯(lián)終端自動引導(dǎo)示意圖智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)一跳入云IOT終端與云應(yīng)用之間的數(shù)據(jù)互通、網(wǎng)絡(luò)直達(dá)。物聯(lián)數(shù)據(jù)互通，需要IOT終端與云遵守統(tǒng)一的“語言”，即統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)。網(wǎng)絡(luò)直達(dá)，需要IOT終端與云之間具備最優(yōu)路徑。數(shù)據(jù)標(biāo)準(zhǔn)化物聯(lián)網(wǎng)互聯(lián)互通面臨的最大的挑戰(zhàn)是海量物聯(lián)終端存在著Modbus、BACnet、OPC-UA200多種協(xié)議，甚至各種物聯(lián)終端廠家基于這些協(xié)議中又?jǐn)U展了自己的協(xié)議字段，致使一個云上的應(yīng)用無法直接與各類物聯(lián)終端互通。而物聯(lián)終端的數(shù)據(jù)采&法解決異構(gòu)協(xié)議互通的問題，而僅統(tǒng)一控制和采集協(xié)議又控制所需的網(wǎng)絡(luò)互聯(lián)和控制時延訴求?；趥鹘y(tǒng)方式實(shí)現(xiàn)終端與云應(yīng)用互通，終端數(shù)據(jù)通常會經(jīng)過多次前置機(jī)或中間件轉(zhuǎn)換才能被云端應(yīng)用所調(diào)用，而經(jīng)過多級轉(zhuǎn)換，會導(dǎo)致數(shù)據(jù)失真和控制時延增大。

如何“讓所有的設(shè)備都能說話，說普通話”？華為一跳入云技術(shù)，是通過邊緣物聯(lián)網(wǎng)關(guān)并將各種異構(gòu)的物聯(lián)協(xié)議進(jìn)行標(biāo)準(zhǔn)化數(shù)據(jù)轉(zhuǎn)換為云應(yīng)用可懂的語言，使得物聯(lián)終端接入邊緣物聯(lián)網(wǎng)關(guān)即可與云端應(yīng)用實(shí)現(xiàn)直接的數(shù)據(jù)互通，達(dá)到“一跳入云“的互通效果。如下圖所示：物聯(lián)終端接入到邊緣物聯(lián)網(wǎng)關(guān)仍然按照現(xiàn)場控制協(xié)議，這種現(xiàn)場控制協(xié)議可能通過RS485ETH或Wi-Fi等網(wǎng)絡(luò)接入。邊緣網(wǎng)關(guān)接入后將物聯(lián)協(xié)議與通信協(xié)議解耦，接入到IOTAgent，通過各類協(xié)議驅(qū)動插Biz，將現(xiàn)場控制協(xié)議轉(zhuǎn)換為標(biāo)準(zhǔn)的物模型數(shù)據(jù)，IOTAgent將物模型數(shù)據(jù)按照MQTT/HTTPS的方式回傳到iMasterNCE聯(lián)接使能平臺，由平臺開放出標(biāo)準(zhǔn)的物模型給應(yīng)用調(diào)用。應(yīng)用控制終端，亦可通過平臺按照物模主站/第三方應(yīng)用系統(tǒng)云 聯(lián)接使能平臺管 回傳網(wǎng)絡(luò)華為 IOT華為 IOTAgent（物模型）系統(tǒng) Biz Biz ...現(xiàn)場控制協(xié)議ModBUS、邊端

：BACnet圖4-4異構(gòu)協(xié)議經(jīng)邊緣物聯(lián)網(wǎng)關(guān)轉(zhuǎn)為標(biāo)準(zhǔn)物模型數(shù)據(jù)2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)5G承載傳統(tǒng)MPLS網(wǎng)絡(luò)協(xié)議繁多（LDP/RSVP-TE/GRE/逐臺設(shè)備配置，業(yè)務(wù)部署周期長，運(yùn)維效率低。為了實(shí)現(xiàn)任意聯(lián)接，網(wǎng)絡(luò)中的協(xié)議應(yīng)該盡量少，盡量簡單，這樣一方面可以減輕設(shè)備壓力，實(shí)現(xiàn)更多數(shù)量的聯(lián)接，另外一方面可以減少業(yè)務(wù)開通時的配置工作量，實(shí)現(xiàn)更快的聯(lián)接開通速度，最后還可以減少網(wǎng)絡(luò)故障時的定位工IP網(wǎng)絡(luò)解決SRv6實(shí)現(xiàn)統(tǒng)一的網(wǎng)絡(luò)和業(yè)務(wù)。SRv6是天然面向SDN技術(shù)設(shè)計的，具備segmentrouting的路徑編程能力，和iMasterNCE配合，可以實(shí)現(xiàn)網(wǎng)絡(luò)的靈活編程。SRv6廣域最優(yōu)路徑在物聯(lián)網(wǎng)終端數(shù)據(jù)回傳到云的路徑中，如回傳網(wǎng)絡(luò)是企業(yè)自建廣域網(wǎng)絡(luò)，比如企業(yè)總部與多園區(qū)之間的互聯(lián)，建立企業(yè)專網(wǎng)用于回傳物聯(lián)業(yè)務(wù)，辦公業(yè)務(wù)，視頻業(yè)務(wù)?？刹捎肧Rv6技術(shù)來實(shí)現(xiàn)回傳。5G和云帶來海量的聯(lián)接，SRv6作為面向未來的網(wǎng)絡(luò)技術(shù)，通過協(xié)議簡化、端到端跨域協(xié)同、可編程的業(yè)務(wù)路

IP網(wǎng)絡(luò)解決方案中，控制器iMasterNCE負(fù)責(zé)網(wǎng)絡(luò)拓?fù)湫畔⒌牟杉瓦€原，并通過BGP-LS、TWAMP等手段采集網(wǎng)絡(luò)帶寬、鏈路時延等信息。iMasterNCETelemetry實(shí)現(xiàn)采集信息的實(shí)時收集，并通過大數(shù)據(jù)和人工智能等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)信息的還原和可視化。智IP網(wǎng)絡(luò)解決方案支持多因子算路，根據(jù)業(yè)務(wù)對時延、丟包、路徑親和屬性等條件，由iMasterNCE根據(jù)感知到的網(wǎng)絡(luò)狀態(tài)信息按需計算滿足業(yè)務(wù)SLA訴求的約束路徑。在業(yè)務(wù)路徑部署完成后，iMasterNCEiFIT、TWAMP、Y.1731等手段持續(xù)監(jiān)控業(yè)務(wù)質(zhì)量，當(dāng)業(yè)務(wù)質(zhì)量劣化時，會重新執(zhí)行最優(yōu)路徑計算過程，為用戶提供一張高質(zhì)量的網(wǎng)絡(luò)連接，保障業(yè)務(wù)體驗(yàn)永不受損。As-Is

MPLSIP城域

MPLSIP骨干 云

BGPT-LDPBGP-LULDPRSVP-TEIGPTo-Be

BGP/EVPNEVPN云EVPNBGP/EVPNEVPN云EVPNIGP/SRv6IP城域 IP骨干IGP/SRv6圖4-5SRv6實(shí)現(xiàn)廣域最優(yōu)路徑示意圖智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)一網(wǎng)可視當(dāng)前網(wǎng)絡(luò)運(yùn)行狀態(tài)只在網(wǎng)絡(luò)管理平臺等專用工具上可見，IT人員才能使用，決策層無法直觀了解整體運(yùn)行情況，影響擴(kuò)容決策及對重大事項(xiàng)支撐，特別是網(wǎng)絡(luò)局部以及嚴(yán)重程度。因此，有必要打通回傳網(wǎng)絡(luò)和物聯(lián)網(wǎng)之間的管理通道，用IOC平臺直觀呈現(xiàn)出回傳網(wǎng)和物聯(lián)網(wǎng)運(yùn)行狀態(tài)，包括帶寬利用率、終端數(shù)量、在線狀態(tài)等。物聯(lián)網(wǎng)絡(luò)規(guī)模建設(shè)后，在可視化運(yùn)維上，帶來如下新問題和挑戰(zhàn)：?缺少聯(lián)接整體視圖：物聯(lián)管理平臺維護(hù)業(yè)務(wù)狀態(tài)，不顯示聯(lián)接。網(wǎng)絡(luò)平臺僅能看到網(wǎng)絡(luò)狀態(tài)，不可見終端狀態(tài)；終端拓?fù)湫枰止け砀窬S護(hù)。端到端依然靠人工串起來維護(hù)，對網(wǎng)絡(luò)擴(kuò)容決策、重大事件保障支撐缺少直觀呈現(xiàn)。

?物聯(lián)網(wǎng)的運(yùn)行狀態(tài)不可見：物聯(lián)網(wǎng)多數(shù)子系統(tǒng)缺少網(wǎng)絡(luò)管理系統(tǒng)，網(wǎng)絡(luò)連接信息都在各子系統(tǒng)內(nèi)部，沒有拉通集中呈現(xiàn)，物聯(lián)網(wǎng)絡(luò)處于黑盒狀態(tài)。iMasterNCE聯(lián)接使能平臺是一個面向物聯(lián)網(wǎng)的平臺，包括了網(wǎng)絡(luò)管理平臺組件、安全管理平臺組件、物聯(lián)管理平臺組件，其中：網(wǎng)絡(luò)管理平臺是華為面向園區(qū)解決方案的SDN控制器管理控制系統(tǒng)，可以對園區(qū)網(wǎng)絡(luò)和設(shè)備進(jìn)行集中管控，支持網(wǎng)絡(luò)業(yè)務(wù)管理、網(wǎng)絡(luò)安全管理、用戶準(zhǔn)入管理、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)質(zhì)量分析、網(wǎng)絡(luò)應(yīng)用分析、告警和報表等功能，提供大數(shù)據(jù)分析的能力，同時提供開放的標(biāo)準(zhǔn)接口、支持與IOC對接。物聯(lián)管理平臺，對物聯(lián)終端和業(yè)務(wù)的集中管控平臺，支云平臺回傳網(wǎng)

園區(qū)網(wǎng)絡(luò)/廣域網(wǎng)絡(luò)ARPLCLSWPOE|ETHAPWi-FiPLC終端ETH終端Wi-Fi終端RS485|IO|RS232RS232-sensorRS485-sensorIO-sensor圖4-6可視化管理分層架構(gòu)圖2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)持對終端類型、運(yùn)行協(xié)議、IDMAC地址進(jìn)行登記管理，IOC或者應(yīng)用。IOC平臺則是各業(yè)務(wù)系統(tǒng)的呈現(xiàn)平臺，一般在園區(qū)指揮中心，會采集園區(qū)的視頻監(jiān)控、樓宇、消防、通行等各業(yè)務(wù)針對全網(wǎng)連接狀態(tài)不可視及物聯(lián)網(wǎng)不可視的問題，打通以網(wǎng)絡(luò)管理平臺、安全管理平臺，以及物聯(lián)管理平臺網(wǎng)絡(luò)管理和可視化數(shù)據(jù)通道?；诰W(wǎng)絡(luò)（接入交換機(jī)、Wi-FiAP、邊緣網(wǎng)關(guān)）對終端IOC。物聯(lián)ID/IOC。IOC通過標(biāo)準(zhǔn)接口對接聯(lián)接使能平臺，采集拓?fù)浜蜖顟B(tài)數(shù)據(jù)，通過關(guān)聯(lián)計算，生成回傳網(wǎng)絡(luò)和物聯(lián)終端的拓?fù)浼瓣P(guān)聯(lián)關(guān)系，使IOC具備以下全網(wǎng)聯(lián)接及物聯(lián)終端感知和呈現(xiàn)能力：全網(wǎng)拓?fù)淇梢暬夯貍骶W(wǎng)&邊緣節(jié)點(diǎn)的拓?fù)湓贗OC上呈現(xiàn)，能夠?qū)崿F(xiàn)物聯(lián)感知網(wǎng)拓?fù)?、物?lián)終端可視，并基于GIS位置的信息繪

制全網(wǎng)位置拓?fù)鋱D。網(wǎng)絡(luò)質(zhì)量可視化：?增加回傳網(wǎng)&邊緣節(jié)點(diǎn)的鏈路狀態(tài)（帶寬利用率、丟包、時延等）可呈現(xiàn)。?增加物聯(lián)感知網(wǎng)質(zhì)量可視化：包括PLC-IoT、ETH、Wi-Fi等網(wǎng)絡(luò)聯(lián)接狀態(tài)（比如丟包、時延等）。告警可視化：?物聯(lián)終端上線、掉線狀態(tài)告警。?物聯(lián)終端接入異常位置告警。?終端告警可視化。終端狀態(tài)可視化：?終端流量可視，物聯(lián)終端從網(wǎng)關(guān)（交換機(jī)、AP等）哪個端口上接入，當(dāng)前和歷史流量帶寬多少可視可查。?終端協(xié)議類型可視，終端采用什么協(xié)議（Modbus、BACnet等）接入園區(qū)網(wǎng)絡(luò)。?終端在線離線狀態(tài)可視，在線時長、歷史記錄可查、離線原因（主動、被動離線）。智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)更安全更安全，就是要用“安全接入”來解決物聯(lián)終端設(shè)備防仿冒問題，“安全通信”來解決物聯(lián)數(shù)據(jù)流被竊取，篡改和重放安全接入安全接入主要解決的是物聯(lián)終端接入網(wǎng)絡(luò)時防止仿冒或私接的問題。由于物聯(lián)終端數(shù)量多，可配置可操作性差，用戶對終端安全意識不足，從安全能力的角度，大體可以分為以下幾類終端：?A類終端是具備內(nèi)置人工配置認(rèn)證功能的智能終端，比如支持802.1x認(rèn)證功能的攝像頭。?B類終端是未具備認(rèn)證功能的智能終端，比如智能門禁，DDC類終端。?C類終端是啞終端，也無法具備認(rèn)證能力，比如聯(lián)網(wǎng)溫控器。如下圖AS-IS中現(xiàn)狀：?A類終端由于是具備802.1x功能的智能終端，用戶可以人工配置認(rèn)證方式，但由于用戶操作繁雜，終端數(shù)

量多，用戶安全意識不足，用戶往往就采用默認(rèn)口令或者弱口令方式，導(dǎo)致這類終端實(shí)際上很容易被入侵。?B終端，C類終端，由于都未支持802.1x等功能，只能依賴網(wǎng)絡(luò)系統(tǒng)對其采用MAC認(rèn)證方式，而由于MAC很容易被獲得和仿冒，所以安全性較低。以上這些問題，為網(wǎng)絡(luò)黑客通過仿冒終端來入侵網(wǎng)絡(luò)帶來可乘之機(jī)。因此，在本白皮書提供一套接入安全方案，如TO-BE圖中所示：?ABSDK終端，方案推薦采用二次認(rèn)證的方法。相對于傳統(tǒng)容易被仿冒的MAC認(rèn)證來說，二次認(rèn)證在首次認(rèn)證階段采用MAC白名單或者電子身份規(guī)約校驗(yàn)設(shè)備合法性，獲得網(wǎng)絡(luò)訪問權(quán)限，同時發(fā)放安全級別較高的證書。由終端通TO-BETO-BE物聯(lián)管理安全管理網(wǎng)絡(luò)管理AS-ISWLAN-ACA物聯(lián)管理安全管理網(wǎng)絡(luò)管理AS-ISWLAN-ACA類智能終端IOT平臺NGFW 攝像頭 C類啞終端打印機(jī)AC-IOT類智能終端PADMACDDC控制器WLAN-AC

NGFW

二次認(rèn)證設(shè)備指紋認(rèn)證攝像頭

DDC

打印機(jī)

門禁PAD二次證書認(rèn)證二次證書認(rèn)證

圖4-7物聯(lián)終端入網(wǎng)過程示意圖2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)1.1開局階段首次認(rèn)證（本地認(rèn)證）1.2園區(qū)網(wǎng)絡(luò)連通后，基于證書的二次認(rèn)證2網(wǎng)絡(luò)授權(quán)鏈路自動發(fā)現(xiàn):1.1開局階段首次認(rèn)證（本地認(rèn)證）1.2園區(qū)網(wǎng)絡(luò)連通后，基于證書的二次認(rèn)證2網(wǎng)絡(luò)授權(quán)鏈路自動發(fā)現(xiàn):基于電子身份認(rèn)證本地認(rèn)證:本地局域網(wǎng)放通園區(qū)網(wǎng)絡(luò)發(fā)起證書申請:,發(fā)起二次認(rèn)證入網(wǎng)認(rèn)證:證書:,可訪問IOT應(yīng)用圖4-8物聯(lián)終端入網(wǎng)過程示意圖過發(fā)起基于證書的二次認(rèn)證，獲得業(yè)務(wù)訪問權(quán)限。這種情況下，其他終端仿冒MAC或者電子身份信息，但是無法獲得已發(fā)放的安全認(rèn)證證書，無法仿冒終端。?對于C類終端中，不具備內(nèi)置安全SDK的終端，以及A類B類終端中部分設(shè)備廠商尚未適配及內(nèi)置安全SDK的類型，本方案提出了設(shè)備指紋識別的安全方案，用于彌補(bǔ)MAC認(rèn)證過程中安全性不足的問題。其方法就是通過提取終端流量的特征信息，識別終端類型、廠家、SN等信息，只有符合業(yè)務(wù)類型的終端才放通網(wǎng)絡(luò)權(quán)限。

終端認(rèn)證接入基本過程物聯(lián)終端在安全接入過程中，包含開局階段本地認(rèn)證、網(wǎng)絡(luò)放行后的二次認(rèn)證、和業(yè)務(wù)放行三個過程，具體步驟如上圖：開局首次認(rèn)證NGBA應(yīng)用開局階段首次認(rèn)證，包括鏈路自動發(fā)現(xiàn)，網(wǎng)絡(luò)自動引導(dǎo)和首次認(rèn)證過程。網(wǎng)絡(luò)自動引導(dǎo)物聯(lián)終端入網(wǎng)，并將終端上報電子身份發(fā)送到iMasterNCE平臺，iMasterNCE平臺對待認(rèn)證的物聯(lián)終端進(jìn)行審核。這個過程，可以增NGBA應(yīng)用應(yīng)用網(wǎng)絡(luò)管理聯(lián)接使能平臺網(wǎng)絡(luò)管理

IOC物聯(lián)管理安全管理WLAN-AC物聯(lián)管理安全管理AP LSW ARWi-Fi終端ETH終端PLC終端 Wi-FiDDC、聯(lián)網(wǎng)溫控器等 BA機(jī)電控制器等 PLCDDC、冷熱水機(jī)組控制器等首次認(rèn)證,可訪問認(rèn)證服務(wù)器 二次認(rèn)證，業(yè)務(wù)網(wǎng)絡(luò)放通圖4-9物聯(lián)終端入網(wǎng)過程示意圖智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)加人工審核過程，將待審批終端列表身份（例如MAC、接入位置、廠商、產(chǎn)品名稱、終端類型、SN）在人機(jī)交互界面呈現(xiàn)進(jìn)行人工審核；平臺審核通過后下發(fā)網(wǎng)絡(luò)放通權(quán)限，完成首次認(rèn)證。二次認(rèn)證完成本地認(rèn)證的物聯(lián)終端，由于沒有訪問業(yè)務(wù)的權(quán)限，所以和物聯(lián)業(yè)務(wù)系統(tǒng)之間訪問是隔離的，這樣可以避免終端仿冒設(shè)備會對系統(tǒng)構(gòu)成安全威脅。物聯(lián)終端會向iMasterNCE申請二次入網(wǎng)所需的CA證書，iMasterNCE控制器基于首次認(rèn)證結(jié)果與PKI服務(wù)器交互，給物聯(lián)終端發(fā)放CA證書。網(wǎng)絡(luò)授權(quán)物聯(lián)終端發(fā)起基于CA證書的802.1x二次認(rèn)證，iMasterNCE校驗(yàn)證書合法性后，網(wǎng)絡(luò)放通業(yè)務(wù)訪問權(quán)限。其中物聯(lián)終端的入網(wǎng)策略，包括AP引導(dǎo)策略或者SSID引導(dǎo)策略，分配虛擬子網(wǎng)，QoS策略等。對于上述認(rèn)證過程中，首次認(rèn)證通過，物聯(lián)終端可以向iMasterNCE申請二次入網(wǎng)所需的CA證書，但不能訪問IOT平臺和應(yīng)用。在二次認(rèn)證通過后，終端才具備訪問業(yè)務(wù)的權(quán)限，采用二次認(rèn)證帶來的好處如下：?物聯(lián)終端設(shè)備由于采用首次認(rèn)證+二次認(rèn)證過程，由于基于證書的802.1x方式安全性高，讓物聯(lián)終端更加難以被仿冒，杜絕被仿冒終端攻擊的問題。?二次認(rèn)證后，物聯(lián)終端根據(jù)子系統(tǒng)業(yè)務(wù)類型，重新引導(dǎo)進(jìn)入新的業(yè)務(wù)網(wǎng)絡(luò)，各個業(yè)務(wù)網(wǎng)絡(luò)之間數(shù)據(jù)隔離，最大程度降低了子業(yè)務(wù)網(wǎng)絡(luò)被攻破后對整體網(wǎng)絡(luò)安全造成的威脅。設(shè)備指紋識別接入設(shè)備指紋識別技術(shù)，就是采用對物聯(lián)終端的IP地址、MAC地址、設(shè)備類型、設(shè)備廠商、SN等組合信息，作為設(shè)備指紋信息，來實(shí)現(xiàn)終端身份識別。

采用設(shè)備指紋識別，和終端安全準(zhǔn)入的過程如下：?啞終端，比如聯(lián)網(wǎng)溫控器設(shè)備，由于無法安裝認(rèn)證客戶端，接入網(wǎng)絡(luò)后，首先由網(wǎng)絡(luò)進(jìn)行MAC認(rèn)證或者M(jìn)AC旁路認(rèn)證，獲得網(wǎng)絡(luò)訪問權(quán)限。?認(rèn)證完成后，獲得網(wǎng)絡(luò)訪問權(quán)限，交換機(jī)或者AP抓取通信中特定報文類型（DHCP/LLDP/HTTP/MDNS）上送iMasterNCE。?iMasterNCE控制器內(nèi)置終端識別引擎，該引擎具備設(shè)備指紋識別能力，能夠根據(jù)報文特征，分析識別終端類型，進(jìn)行終端審核，如審批不通過，中斷啞終端訪問業(yè)務(wù)。?為了進(jìn)一步確保終端識別正確率，可通過界面呈現(xiàn)的方式，給管理員手動審批，如審批不通過，則中斷啞終端訪問業(yè)務(wù)。3.引擎分析終端類型NGFWMAC審核2.抓取特定報文類型ETHETH設(shè)備指紋識別攝像頭打印機(jī)圖4-10設(shè)備指紋識別接入過程示意圖2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)安全通信安全通信是指解決數(shù)據(jù)傳輸過程中容易被竊聽導(dǎo)致信息泄露、數(shù)據(jù)被篡改、利用歷史數(shù)據(jù)進(jìn)行重放攻擊導(dǎo)致業(yè)務(wù)癱瘓等問題。為了解決這些問題，需要終端或網(wǎng)絡(luò)設(shè)備能夠識別并實(shí)現(xiàn)物聯(lián)協(xié)議安全，并對數(shù)據(jù)采用加密傳輸?shù)姆椒?。物?lián)終端的類型眾多，所使用的物聯(lián)協(xié)議各不相同，包括MQTT、CoAP、Modbus、OPC、HTTPS等，對于數(shù)據(jù)加密傳輸?shù)闹С帜芰σ蚕嗖钶^大。下面分別展開說明：?物聯(lián)協(xié)議安全：指網(wǎng)絡(luò)設(shè)備能夠?qū)ξ锫?lián)協(xié)議流量進(jìn)行深度識別，主動發(fā)現(xiàn)并阻斷物聯(lián)協(xié)議中的異?；蚧喂魣笪?，確保物聯(lián)協(xié)議安全。?數(shù)據(jù)加密傳輸安全：對于物聯(lián)終端和IOT平臺/應(yīng)用均在本地局域網(wǎng)的場景，建議物聯(lián)協(xié)議流量基于TLS/DTLS等進(jìn)行端到端加密傳輸；對于物聯(lián)終端在本地局域網(wǎng)，而IOT平臺/應(yīng)用在云端的場景，兩者之間的交互數(shù)據(jù)需要跨廣域網(wǎng)傳輸，建議在網(wǎng)絡(luò)邊界位置把數(shù)據(jù)流量經(jīng)由物聯(lián)網(wǎng)關(guān)或防火墻通過IPSecVPN隧道

加密傳輸。按照物聯(lián)終端與IOT平臺/應(yīng)用之間交互數(shù)據(jù)的處理方式不同，終端數(shù)據(jù)加密傳輸可分為4大類場景，如下：智能終端直接與IOT/應(yīng)用通信：智能物聯(lián)終端如人員通行場景中的PAD類門禁、閘機(jī)等，本身具備較強(qiáng)的計算能力（AI技術(shù)的人臉識別算法等），只要路由可達(dá)，物聯(lián)終端的數(shù)據(jù)流量能夠IOT/應(yīng)用直接通信，不需要經(jīng)由邊緣物聯(lián)網(wǎng)關(guān)進(jìn)行協(xié)議轉(zhuǎn)換后再轉(zhuǎn)發(fā)。其中，為了確保數(shù)據(jù)傳輸過程中不被竊取、篡改，或被利用進(jìn)行重放攻擊等，IOT/應(yīng)用之間傳輸?shù)臄?shù)據(jù)流量，將MQTToverTLS協(xié)議加密傳輸。其中，終端與IOT平臺/應(yīng)用建立TLS加密隧道所使用的PKI證書，即為終端在安全準(zhǔn)入階段所申請的證書。單一功能終端經(jīng)由物聯(lián)網(wǎng)關(guān)與平臺/DDC控制器等，難以/應(yīng)用直接納管，需要把數(shù)據(jù)先上送物聯(lián)網(wǎng)云沃土數(shù)字平臺

聯(lián)接使能平臺網(wǎng)絡(luò)管理 安全管理 物聯(lián)管理網(wǎng)絡(luò)管理安全管理物聯(lián)管理NGFW管管/廣域網(wǎng)絡(luò)安全控制安全控制NGFW邊 邊MQTToverTLS IOTAget LSW AP AR端終端/傳感

CoAPoverDTLSETHETH終端

Wi-Fi終端PLC終端Wi-Fi終端圖4-11單一功能終端經(jīng)由物聯(lián)網(wǎng)關(guān)與聯(lián)接使能平臺通信智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)/應(yīng)用。其中，物聯(lián)終端與物聯(lián)網(wǎng)關(guān)通信CoAPover平臺/MQTToverTLS物聯(lián)終端與物聯(lián)網(wǎng)關(guān)建立PKI證書，即為終端在安全準(zhǔn)入階段所申請的證書。傳感器類啞終端經(jīng)由物聯(lián)網(wǎng)關(guān)與IOT/應(yīng)用通信：傳感器器類啞終端如水利一體化桿站的水質(zhì)檢測儀、水位監(jiān)測儀、雨量監(jiān)測儀、液位檢測儀等，無法與云端的上層IOT/應(yīng)用直接通信，需要在物聯(lián)網(wǎng)關(guān)中進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化格式轉(zhuǎn)換后才能被上層應(yīng)用識別及處理。因傳感器類啞終端基本無計算能力，不支持?jǐn)?shù)據(jù)加密傳輸，所以與物聯(lián)網(wǎng)關(guān)之間采用明文傳輸；物聯(lián)網(wǎng)關(guān)收到傳感器類啞終端的數(shù)據(jù)并進(jìn)行標(biāo)準(zhǔn)化格式轉(zhuǎn)換后，與上層IOT/應(yīng)用之間采用

MQTToverTLS協(xié)議加密傳輸。其中，物聯(lián)網(wǎng)關(guān)與IOT平臺/應(yīng)用之間建立TLS加密隧道所使用的PKI證書，即為物聯(lián)網(wǎng)關(guān)在安全準(zhǔn)入階段所申請的證書。同一站址的多個物聯(lián)終端跨廣域網(wǎng)與IOT/應(yīng)用通信：同一站址的多個物聯(lián)終端跨廣域網(wǎng)與IOT/應(yīng)用通信的場景較多，例如非現(xiàn)場治超場景中的治超站點(diǎn)，會同時存在稱重主機(jī)、激光雷達(dá)、LED發(fā)布屏、監(jiān)控攝像頭等大量前端設(shè)備。這些前端設(shè)備的數(shù)據(jù)先送給交通處理主機(jī)進(jìn)行整合后再上送，以及NVR根據(jù)上層應(yīng)用的指令實(shí)時采集某些攝像頭的視頻流上送，經(jīng)由運(yùn)營商專線或無線網(wǎng)絡(luò)，跨廣域網(wǎng)與云端的治超管理平臺/應(yīng)用通信，把本地采集的車輛信息、抓拍圖像和音視頻等數(shù)據(jù)整合后實(shí)時回傳，并把平臺側(cè)處理后下發(fā)的控制指令發(fā)回治超站點(diǎn)實(shí)時顯示。此類場景下物聯(lián)終端的數(shù)量和種類較多，交通處云沃土數(shù)字平臺

聯(lián)接使能平臺網(wǎng)絡(luò)管理 安全管理 物聯(lián)管理網(wǎng)絡(luò)管理安全管理物聯(lián)管理NGFW管管/廣域網(wǎng)絡(luò)安全控制安全控制NGFW邊 邊MQTToverTLS IOTAget AR LSW APARLSWAP端終端/傳感

RS485/IO傳感器類啞終端

ETH

水質(zhì)/水位/雨量/液位監(jiān)測等傳感器類啞終端水質(zhì)檢測 水位檢測 雨量檢測 液位檢測圖4-12傳感器類啞終端經(jīng)由物聯(lián)網(wǎng)關(guān)與聯(lián)接使能平臺通信2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)聯(lián)接使能平臺治超管理應(yīng)用理主機(jī)、NVR等終端難以實(shí)現(xiàn)分別與治超管理平臺的通信均采用加密傳輸，導(dǎo)致數(shù)據(jù)易被篡改而無法有效治理等問題。因此，對于同一站址的所有物聯(lián)終端，將采用如下方案：物聯(lián)網(wǎng)關(guān)與云端IOT平臺/應(yīng)用所聯(lián)接使能平臺治超管理應(yīng)用

在區(qū)域的邊界防火墻NGFW建立IPSecVPN加密隧道，使交通處理主機(jī)、NVR等物聯(lián)終端的各種數(shù)據(jù)經(jīng)由IPSecVPN隧道加密傳輸，到達(dá)云端后由邊界防火墻NGFW在本地解密后上送給IOT平臺/應(yīng)用。云沃土數(shù)字平臺

連接/身份/告警…NGFWNGFW4G/5GIPSecVPN+國密…物聯(lián)網(wǎng)關(guān)邊物聯(lián)網(wǎng)關(guān)邊ETH5GETH5GLSW端LSW終端/傳感

…攝像頭13rdNVR攝像頭N交通處理主機(jī)稱重主機(jī)攝像頭13rdNVR攝像頭N交通處理主機(jī)稱重主機(jī)激光雷達(dá)LED發(fā)布屏信息采集主機(jī)地感線圈4-13同一站址的多個物聯(lián)終端跨廣域網(wǎng)與治超管理應(yīng)用通信智簡物聯(lián)感知網(wǎng)解決方案白皮書2.0智簡物聯(lián)感知網(wǎng)解決方案和關(guān)鍵技術(shù)安全管控物聯(lián)網(wǎng)業(yè)務(wù)場景中，物聯(lián)終端數(shù)量龐大，種類眾多，大部分物聯(lián)終端的計算能力較弱，安全能力更加薄弱。通過終SDK解決了終端防仿冒和數(shù)據(jù)傳輸過程中被竊取或被篡改的問題，除此之外還存在物聯(lián)終端固件更新時或運(yùn)行時被植入惡意代碼導(dǎo)致被劫持或中毒、物聯(lián)終端被惡意威脅流量攻擊、被劫持后主動發(fā)送惡意攻擊流量，導(dǎo)致其他終端或業(yè)務(wù)系統(tǒng)工作異常甚至癱瘓的風(fēng)險。如果缺乏有效的安全管控技術(shù)方案，將難以快速定位導(dǎo)致業(yè)務(wù)故障的根源、無法判斷業(yè)務(wù)影響范圍，更難以快速響應(yīng)處置并恢復(fù)業(yè)務(wù)。舉例說明物聯(lián)網(wǎng)常見的安全威脅和業(yè)務(wù)故障現(xiàn)象：?物聯(lián)終端被劫持，執(zhí)行惡意控制指令或運(yùn)行惡意軟件，引發(fā)安全事故。例如，門禁系統(tǒng)被控制，入侵者輕易進(jìn)入并竊取昂貴資產(chǎn)；攝像頭被劫持，無法實(shí)時監(jiān)控重點(diǎn)區(qū)域，導(dǎo)致事后難以排查并確認(rèn)入侵者身份等。?物聯(lián)終端運(yùn)行的物聯(lián)協(xié)議存在一些不足，導(dǎo)致被用來對業(yè)務(wù)系統(tǒng)進(jìn)行DDoS攻擊。例如，攻擊者利用CoAP協(xié)議漏洞，發(fā)送CoAP特定類型請求報文觸發(fā)大量終端對被攻擊的業(yè)務(wù)系統(tǒng)進(jìn)行UDP反射放大攻擊，導(dǎo)致業(yè)務(wù)變慢或無法響應(yīng)。?物聯(lián)終端被仿冒/被劫持，通過終端做跳板進(jìn)行側(cè)向攻擊，突破其他區(qū)域的業(yè)務(wù)系統(tǒng)，并進(jìn)行提權(quán)，獲取個人或業(yè)務(wù)的機(jī)密數(shù)據(jù)進(jìn)行敲詐勒索，或攻擊控制系

統(tǒng)導(dǎo)致業(yè)務(wù)中斷等。華為針對物聯(lián)網(wǎng)場景專門設(shè)計的安全管控方案，能夠?qū)崿F(xiàn)如下幾大核心功能：?物聯(lián)網(wǎng)安全態(tài)勢感知與實(shí)時處置：在物聯(lián)網(wǎng)中部署防火墻、沙箱、流量探針等，實(shí)時分析整網(wǎng)的物聯(lián)協(xié)議MQTT/CoAP等流量中的異?；蚧喂魣笪?、應(yīng)用層惡意威脅流量，并產(chǎn)生告警日志上送給安全態(tài)勢HiSecInsight，實(shí)現(xiàn)對整網(wǎng)的安全態(tài)勢實(shí)時感知；當(dāng)防火墻或沙箱檢測到物聯(lián)協(xié)議異常流量或惡意威脅流量后，自動清洗惡意流量，并上送告警日志HiSecInsight。HiSecInsight快速分析出惡意流量的轉(zhuǎn)發(fā)路徑和攻擊源，并與網(wǎng)絡(luò)控制器聯(lián)動，由網(wǎng)絡(luò)控制器對攻擊源接入的網(wǎng)絡(luò)設(shè)備下發(fā)指令，對惡意流量阻斷或?qū)K端隔離下線。?主動阻斷仿冒//中毒終端：安全態(tài)勢感知系HiSecInsight通過流量探針持續(xù)獲取所有終端的流量指紋特征，建立終端流量