基层智治大脑 感知平台技术规范.docx

ICS35.020CCSL70B3308浙江省衢州市地方标准DB3308/T1242024代替DB3308/T124-2022基层智治大脑感知平台技术规范Technicalspecificationsforgrassrootssmartgovernancebraininternetofthingsplatform20241205发布20250105实施衢州市市场监督管理局发布目次前言II1范围12规范性引用文件13术语和定义14缩略语15总体架构26总体技术要求47感知设备接入技术要求48感知设备管理技术要求59感知数据计算技术要求710感知数据服务技术要求811感知安全技术要求8-X-刖本标准按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本标准代替DB3308/T124-2022基层智治大脑感知平台技术规范，与DB3308/T124-2022相比，除结构调整和编辑性改动外，主要技术变化如下：a）更改了规范性引用文件（见第2章，2022年版的第2章）；b）更改了“感知平台”的术语定义（见第3.1,2022年版的3.4）；c）更改了“物模型”的术语定义（见第3.2,2022年版的3.5）；d）更改了“协议解析”的表述（见第7.3,2022年版的7.3）；e）更改了“感知平台对于设备身份认证”的相关要求（见第7.5,2022年版的7.5）；f）更改了“感知设备全生命周期管理”的相关要求（见第8.2.1和8.2.2,2022年版的8.2）；g）更改了“感知设备档案管理”的相关要求（见第8.7.1、8.7.2和8.7.3,2022年版的8.7）；h）更改了“感知设备告警”的相关要求（见第8.8.1和8.8.2,2022年版的8.8）；i）更改了“概述”的表述（见第11.1.1和ILL2,2022年版的ILl）；J）更改了“设备接入安全”的相关要求（见第H.2.1和11.2.2,2022年版的11.1）；k）更改了“数据传输安全”的相关要求（见第11.3.1、11.3.2、11.3.3和11.3.4,2022年版的11.3）o请注意本标准的某些内容可能涉及专利，本标准的发布机构不承担识别专利的责任。本标准由衢州市数据局提出并归口。本标准起草单位：衢州市数据局、浙江省质量科学研究院、阿里巴巴达摩院城市大脑实验室、阿里云计算有限公司、衢州市衢江区社会治理中心。本标准主要起草人：余子英、毛小兵、邹巧柔、蒋伟、江利良、叶健、薛琳、陈志勇、郑秀峰、王坚平。本标准及其所代替标准的历次版本发布情况为：2022年首次发布为DB3308/T124-2022；一本次为第一次修订。基层智治大脑感知平台技术规范1范围本标准规定了基层智治大脑感知平台总体技术、感知设备接入、感知设备管理、感知数据融合计算、感知数据服务、感知安全相关的技术要求。本标准适用于基层智治大脑感知平台软件系统的开发、建设。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本标准。GB/T222392019信息安全技术网络安全等级保护基本要求GB/T281812022安全防范视频监控联网系统信息传输、交换、控制技术要求GB/T334742016物联网参考体系结构GB/T337452017物联网术语YD/T46562024面向SIM卡远程配置的国家商用密码算法技术要求3术语和定义GB/T281812022>GB/T337452017>GB/T334742016界定的以及下列术语和定义适用于本标准。3.1感知平台internetofthingspIatform具备物联、视频设备，网关统一接入和管理的功能，支持各类感知数据存储与服务的对接平台3.2物模型thingsmodeI物联网系统中，用于描述设备特性和行为的一种标准化数据模型。3.3感知数据sensingdata通过对感知设备数据采集获取的原始数据或在此基础上进行加工处理的数据统称。4缩略语下列缩略语适用于本标准。HTTP：超文本传输协议(HyPerTextTransferProtocol)HTTPS:安全的超文本传输协议(HyPerTeXtTransferProtocoloverSecureSocketLayer)MQTT：遥测传输协议(MeSSageQueueTelemetryTransport)COAP：受限应用协议(COnStrainedApplicationProtocol)Modbus：一种串行通讯协议(MOdbUSprotocol)TLS：安全传输层协议(TranSPOrtLayerSecurity)DTLS：数据包传输层安全性协议(DatagramTransportLayerSecurity)SDK：软件开发工具包(SoftWareDevelopmentKit)API：应用程序接口(ApplicationProgrammingInterface)RTSP：实时流传输协议，是TCP/IP协议体系中的一个应用层协议(RealTimeStreamingProtocol)RTMP：是一种设计用来进行实时数据通信的网络协议，主要用来在FlaSh/AIR平台和支持RTMP协议的流媒体/交互服务器之间进行音视频和数据通信(RealTimeMessagingProtocol)AES：高级加密标准(AdVanCedEncryptionStandard)TPS：每秒事务处理量(TranSaCtionPerSecond)MQ：消息队列，是基础数据结构中"先进先出"的一种数据结构。(MeSSageQueue)AppKey:一种用于验证APl接入合法性的密钥(ApplicationKey)AppSecret:一种用于APl接口调用验证的密钥(ApplicationSecret)5总体架构5.1 感知平台的功能定位5. 1.1基层智治大脑是服务基层治理多跨应用的智能系统，整体建设包括“一网一域一中心”，其中“一网”即全时空多维度采录感知网，是基层智治大脑的神经末梢。6. 1.2感知平台是基层智治大脑“一网”的基础性建设内容，作为统一平台，实现各类感知设备统一接入、汇聚，实现感知设备所采集数据信息统一汇聚、管理和共享，并将自动沉淀的数据进行智能加工形成事件任务，最终通过智能事件中枢进行事件流转与处置闭环。感知平台功能定位见图Io图1感知平台功能定位5.2 感知平台的系统架构感知平台系统架构包括接入层、管理层、服务层、感知安全四部分：a)接入层：接入层支撑物联、视频设备基于不同网络、协议实现直连接入、物联网网关接入、平台级连接入，并进行数据采集。b）管理层：管理层实现对感知数据统一汇聚、存储，并对感知设备资产进行管理、监控、运维。基于平台汇聚的感知数据，结合融合计算引擎，对感知事件进行实时识别判断。c）服务层：服务层支持通过接口、消息推送等方式向应用提供实时、可靠的感知数据服务。d）感知安全：贯穿接入层、管理层、服务层，实现从设备接入、设备管理到数据服务的全链路物联网安全。感知平台系统架构见图2»平台蝴效娓那身|APWR|Iag¾脸不叫6作审计eramiami安全8总M>mmt9f*.事，Iw，23.忠方田弗丽*KWSWifi*tt三½aw¾a|研xI'w¾IBag所eTOjIM«|nawi11a1111ssaffl=w11g安全修理接入物联接入平台IMA平台mIa¾L|waf¾mh¾so|IMQTTICoAPIITCP|IMGtIIGft28181IIRTMPRTSP|一|IiS»«AI图2感知平台系统架构5.3感知平台的市县一体化架构感知平台部署采用市县一体化架构，市级平台作为全市感知数据统一汇聚的平台，实现对全市感知数据的接入、管理与共享。县级平台，作为感知平台最小建设单元，负责本辖区范围内感知设备统一接入，感知数据统一汇聚、管理与共享，并与市级平台进行对接。感知平台市县一体化架构见图3o采集县级县级感知平台委办局物联网应用图3感知平台市县一体化架构6总体技术要求6.1 技术架构要求6. 1.1平台宜采用分层分布式架构，多级负载均衡机制，业务处理和数据解耦，平台可以根据容量需求进行弹性扩展。7. 1.2平台宜采用微服务架构，高可用部署，服务宜部署两个或者两个以上的运行实例，单个实例发生一般性软件故障时，请求会自动路由到正常的运行实例，保障平台高可用。8. 1.3平台应具备安全保护机制，当平台遭遇内部故障时，平台已有数据不应产生异常。9. 1.4平台应具备平台运维管理能力，包括服务器性能及相关服务监测的运行维护功能。6.2 性能指标要求6. 2.1市级平台应支持不低于100万路物联设备接入，消息处理性能应不低于5000TPSo县级平台应支持不低于10万路物联设备接入，消息处理性能应不低于2000TPSo6.2.2市级平台应支持不低于20万路视频设备接入，视频并发推流不低于2000路。县级平台应支持不低于2万路视频接入，视频并发推流不低于200路。6.2.3平台应具备大量感知数据的存储能力，其中感知历史时序数据应具备1年以上数据存储能力，视频数据应具备90天以上数据存储能力。7感知设备接入技术要求7. 1概述感知设备基于感知平台进行统一接入，为满足各类感知设备的接入需求，感知平台需提供强大、安全的感知设备接入能力。7 .2网络支持感知平台应支持多网络接入，总体包括广域网和局域网，广域网络应支持以太网、NB-1oT>2345G等网络；局域网络应支持LoRa、ZigBee、蓝牙等网络通过边缘网关接入。8 .3协议解析感知平台应支持HTTP、HTTPS,MQTT,CoAP,TCP、UDP等协议的解析以及协议的扩展能力，支持扩展协议插件的新增、管理与更新。7. 4接入方式感知平台支持设备完成接入，应支持如下几种方式：a）设备直连：设备固件中植入平台颁发的身份凭证、域名及设备SDK,设备在和平台建立连接后，直接将数据上传到感知平台，不经过其他平台或者网关设备转发数据。b）网关接入：对于部分近场通信的设备由于数据传输距离限制，只能先将数据传输到对应的网关设备，网关设备中植入平台颁发的身份凭证、域名及网关设备SDK,由网关设备和感知平台建立连接后，将数据转发到平台。c）平台级联：对于存量设备、固件无法修改设备，数据宜通过该设备对应的物联网系统软件转发接入，物联网系统软件通过调用感知平台API,将设备数据转发到感知平台。7.5设备身份认证感知平台支持设备身份认证，应包括如下内容：a）感知平台应为接入设备颁发唯一身份标识的凭证，该凭证可以避免非法设备或仿冒设备连接到平台造成数据混乱与安全风险。b）设备应在连接感知平台时上传凭证信息，通过平台身份认证后的设备才能上传数据。7. 6设备端开发SDK感知平台应提供多语言的设备端SDK,SDK中封装了设备端与感知平台的交互协议，同时内置各种感知平台的APl以便设备端直接调用，从而简化开发过程，实现设备快速接入平台。7.7视频设备接入感知平台应支持视频设备接入，平台应支持通过RTSPRTMP协议接入视频设备或视频平台的视频流数据。8感知设备管理技术要求8. 1概述基层治理相关感知设备能基于感知平台进行统一管理、数据沉淀。8. 2感知设备全生命周期管理8.2 .1感知平台应支持从创建到删除的设备全生命周期管理，创建设备是指在平台中为设备颁发唯一身份凭证，以便设备接入平台。8.3 .2当设备已经废弃不再使用时，应在平台中进行设备删除，删除后设备身份凭证将失，且无法通过感知平台执行与该设备关联的其他任何操作。8.3 感知设备拓扑关系感知平台除支持设备直连外，也应支持设备挂载在网关上，作为网关的子设备，由网关连接。网关连接感知平台后，将拓扑关系同步至感知平台，代理子设备进行设备认证、消息上传、指令接收等与平台的通信工作。8.4 感知设备物模型平台应支持物模型的创建，物模型应基于该设备的实际功能，同时按照属性、服务、事件等维度来进行抽象。设备向平台上报数据、平台对设备控制都应基于物模型中约定的字段进行操作。物模型定义规范见表1。表1物模型定义规范属性Property一般用于描述设备运行时的状态，如环境监测设备所读取的当前环境温度等。属性支持get和set,应用系统可发起对属性的读取和设置请求。服务Service设备可被外部调用的能力或方法，包含输入参数和输出参数，相比于下发指令设置属性值，服务可通过一条指令实现更复杂的业务逻辑，如执行某项特定的任务。事件Event设备运行时的事件，相比于属性状态，事件一般而言包含设备被外部感知和处理的通知信息，可包含多个输出参数，如某项任务完成的信息或者设备发生故障/告警时的温度等，事件可以被订阅和推送。8.5 感知数据解析感知平台定义设备上报数据的标准格式，不同的应用可以按照相同解析方式来获取设备消息、，对于无法直接与感知平台进行直接通信的设备，感知平台应支持自定义的解析脚本，进行设备数据模型转换。感知设备接收与下发数据时，应先运行解析脚本，将数据转换成标准格式或设备的自定义格式，再进行业务处理。8.6 6感知数据存储感知平台应提供数据存储功能，应包括如下：a）感知基础信息存储：感知平台应具备产品、设备基础档案数据、物模型数据存储能力，宜采用关系型数据库进行存储；b）感知实时数据存储：感知平台应具备设备最新实时数据缓存处理能力，宜采用高性能的key-value数据库进行存储；c）感知历史数据存储：感知平台应具备各类设备大量历史时序数据存储和高效检索能力，宜采用分布式时序数据库进行存储；d）视频图像数据存储：感知平台应具备大量视频、图像等文件类数据存储和高效检索能力，宜采用安全、低成本、高可靠的对象存储数据库进行存储。8. 7感知设备档案管理8.7 .1感知平台应支持设备档案和部署信息的编辑和批量导入功能，从而实现对感知设备统一管理。感知平台应支持根据业务管理需求，支持对档案字段进行扩展，并支持对档案字段的名称、标识符、数据类型，选填、必填进行配置。8.7.2 感知平台应支持设备源管理，设备源是将设备汇聚到本平台的外部系统，平台支持设备源的创建、编辑、删除、查询、启用/停用，同时支持对设备源状态进行自动监测。8.7.3 感知设备档案管理字段要求见表2。表2感知设备档案管理字段序号参数名称参数类型备注1设备名称字符串2设备ID字符串设备唯一编码3设备型号字符串4设备型号ID字符串设备型号唯一编码5设备制造商字符串6通讯网络字符串包括LORa、2345G>NBoT、WiFi、ZigBee、蓝牙、以太网7设备接入协议字符串包括MQTT、LWM2M、CoAPTCP、UDP、MODBUS>OPC-UA8应用场景名称字符串9集成商名称字符串10权属机构字符串资产归属部门/单位11安装位置字符串12地图经度双精度浮点型表2感知设备档案管理字段（续）序号参数名称参数类型备注13地图纬度双精度浮点型14地图坐标系字符串坐标系包含：WGS_84GCJ_02CGCS_2000BD_098.8 感知设备告警8 .8.1感知平台应支持设备异常的识别与判断，设备产生告警时感知平台应将设备设置为“告警”状态，同时应标记出具体的告警类型。当告警触发后，感知平台应支持通过多种方式将设备告警信息推送给相关设备运维负责人。9 .8.2感知平台支持的设备告警类型包括但不限于设备离线、设备低电量、设备故障等。a）设备离线告警：对于和平台长连接的设备，设备应保持稳定在线，感知平台可以自动判断设备是否在线，针对由于信号干扰或其他环境因素会导致设备偶然离线但是又快速恢复的情况，感知平台应支持对设备离线时间进行监控，只有超过一定时间的设备离线才判定为异常。b）设备低电量告警：大量低功耗的感知设备采用电池进行供电，感知平台应对设备电池状态进行监控，当设备电量低于一定程度时，感知平台可自动触发设备低电量告警事件。c）设备故障告警：针对部分有设备故障自检功能的设备，应在物模型中定义相应的故障码或者故障事件，感知平台根据物模型定义触发相应设备告警事件。9感知数据计算技术要求9. 1概述感知平台应采用流式计算与复杂事件处理技术，能够根据业务需求，可配置合理的规则、算法，基于设备感知数据，智能感知各类事件。9.7 感知数据异常分析感知平台应对感知数据进行实时检测，具备主动智能识别感知数据异常的能力。针对物联设备，感知平台应支持数据上报超时、连续极值、极值占比异常等数值异常识别。针对视频设备，感知平台应支持黑屏、花屏、遮挡等视频数据异常识别。9.8 感知事件规则引擎感知平台应支持多设备、多属性数据的实时计算，通过定义阈值、函数、规则实现感知事件智能触发，可实现感知事件智能去重、事件智能恢复等计算策略，并应支持感知事件通过消息推送相关责任人和业务系统。9.9 感知数据时序洞察感知平台宜支持感知数据时序洞察，提供近实时的高效探索分析能力，及时发现感知数据中的隐含规律。感知平台宜提供基于数据驱动的海量历史数据时序分析能力，接入多种类型实时感知数据，对所选感知数据进行时序分析、相关分析。9.10 感知算法智能识别感知平台宜具备感知算法智能识别能力，可提供算法仓实现多种算法的统一管理，支持感知设备与智能算法的灵活配置与资源调度，实现感知事件的智能化触发。10感知数据服务技术要求10. 1概述感知平台应支持基层治理各类应用的构建，针对应用需求，感知平台应提供安全、可靠、高效、稳定的感知数据服务。10. 2应用管理感知平台应提供应用注册管理能力，面向注册应用颁发APPKey和APPSeCret,作为调用感知平台APl凭证，实现应用身份校验。10. 3资源授权感知平台应支持对应用进行设备资源授权，支持设备、产品、组织机构等不同粒度的权限控制，满足灵活性的同时保证最小权限原则，确保感知数据服务安全性。10.7 API授权感知平台应支持对应用进行APl资源的授权管理，在安全可控前提下开放APl资源，感知平台APl应涵盖设备管理、产品管理、物模型管理等类别，支持查询、删除、修改、新增等操作。10.8 数据推送感知平台应具备强大的实时感知数据推送能力，满足不同应用需求，同时具备高度开放性。支持HTTP、MQ等方式进行推送，满足不同应用需求，其中MQ方式应支持RoCketMQ、RabbitMQ>Kafka等消息队列中间件。10.9 数据清洗感知平台宜具备数据清洗能力，支持对重复上报、空值、乱序等数据质量问题进行清洗、过滤，同时应支持根据应用需求对数据进行初步预处理。10.10 视频推流感知平台应支持应用侧常用的标准视频格式和协议，提供码流转码服务。11感知平台安全技术要求11.1 概述11.1.1 感知平台应提供设备接入、数据传输、平台侧安全的安全能力，具备云、网、边、端的全链路安全防护体系。11.1.2 感知平台安全技术要求中，GB/T222392019已规定的部分，参照等级保护物联网安全扩展要求执行，其他部分的安全能力要求参照本标准执行。11.2 设备接入安全11.3 .1感知平台应为每个设备和网关颁发唯一的设备身份认证凭证，身份认证凭证基于不可逆向的非对称密钥体系派生，具备不可逆向、不可仿冒、高强度保护的安全特性。接入设备使用身份认证凭证进行身份验证连接感知平台，平台对接入的设备和网关进行统一鉴权。11.2.2感知平台宜提供设备操作系统固件检测与异常运行分析的安全能力，保证平台能够实现对设备接入、上线、运行、下线的全生命周期的安全运营管理。11.3. 据传输安全11.3.1 1感知平台应支持设备或网关上报数据的加密传输，感知平台宜提供的安全SDK,可通过TLS（MQTT/HTTP）、DTLS（CoAP）等加密方式来保证感知数据在传输过程中的可靠性、保密性和完整性。11.3.2 平台应保证密钥管理方式的安全可靠，采取完整的密钥全生命周期管理，包括创建、激活、禁用、转换、分发、备份、销毁等，同时基于密钥进行数据加密存储。11.3.3 平台应保证使用动态密钥或设备唯一密钥，保障设备数据传输安全。11.3.4 为有效保障数据安全，密钥需优先支持国家密码管理局发布的国家商用密码算法，并参照YD/T46562024规定内容执行。11.4. 台侧安全感知平台应具备平台侧的统一安全管理和运营能力，应支持自动识别感知设备的异常事件（包括设备的系统对象、进程行为、网络进出层面的异常等），支持为异常事件配置相应的安全策略（如允许、阻止、告警等），支持设备安全管理、策略安全管理、漏洞安全管理、设备异常管理等。11.5. 1设备安全管理感知平台应具备设备安全管理能力，具体包括：a）设备安全基线：安全基线指的是特定的感知设备维持其正常业务功能所需要的基准行为，包括网络、设备访问、进程间IPC通信、文件访问等。平台需具备通过持续感知设备正常运行期间的行为生成多个安全维度行为基线的能力。b）设备安全状态：在设备安全基线发布后，平台支持对设备的安全状态汇总，需支持查询当前的安全检测规则。11.6. 2策略管理感知平台应具备安全策略管理能力，具体包括：a）应用执行白名单：感知平台应具备应用执行白名单，通过应用执行白名单来检测应用的执行与加载是否是可允许的行为。b）网络白名单：感知平台应具备网络白名单，通过网络白名单来检测网络接入的行为是否是可允许的。c）系统完整性检测：感知平台应周期性验证系统文件、配置、可执行文件、动态库的完整性。11.7. 3漏洞管理感知平台应具备漏洞管理能力，具体包括:a）漏洞扫描：感知平台应及时发现设备系统固件及组件存在的漏洞。b）漏洞修复：感知平台针对漏洞可及时进行修复。11.4.4异常管理感知平台应具备异常管理能力，具体包括：a）系统对象异常管理：感知平台应能发现敏感文件/进程/设备对象被修改或发现未知文件/进程/设备对象的异常行为，提供预警和防护措施。b）应用行为异常管理：感知平台应能发现敏感应用的异常行为，提供预警和防护措施。c）网络行为异常管理：感知平台应能发现设备的异常网络行为，提供预警和防护措施。11.4.5操作审计感知平台应具备操作审计能力，审计记录所有配置操作。11.4.6安全日志感知平台应提供设备安全日志功能，用于监测、检测安全事件和行为，以及进行安全审计和调查。