一种基于可信嵌入式交互模块的物联网远程管理平台安全方案

陈 波，杨永刚，朱广宇

(1.中国电子信息产业集团有限公司第六研究所，北京 102209；2.75835部队，广州 510699)

0 引言

物联网技术(IoT)是新一代信息技术的重要组成部分，旨在实现各个事物的物物相连即物品与物品的信息交换与通信[1]，其泛在化的网络特性使得万物互联正在成为可能。物联网通过感知技术、识别技术与普适技术等通信感知技术，广泛应用于网络融合中，被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。物联网体系结构从功能角度和模型角度来进行分析，可以分成后端集中式、前端分布式及信息处理模式，代表性的结构有Networked Auto-ID、uID IoT、M2M、MNN-SOF等体系结构[2]。物联网的体系结构多种多样，有利于不同场景下与物联网体系应用相适应。远程设备管理平台是一种对远程设备信息进行采集、信息管理及远程控制的一种应用，其应用方式与物联网的后端集中式相符，大部分信息处理任务和用户请求是由后端信息服务器或服务支撑平台完成。

远程设备管理平台需要对远程设备网络、设备信息接入及远程设备数据的统一管理，进而实现对远程设备的管理[3]。设备管理平台是整个设备管理过程的核心部分，通过远程管理设备平台用户可管理远程设备数据的采集、处理、分析和展示、远程硬件设备控制，甚至是对远程硬件设备逻辑关系的动态配置，以实现对远程设备灵活、全面的管理[4]。远程设备管理平台具有高效性、便捷性、经济性等优良特性，其各自的特性可表述如下：

高效性：系统具有远程管理的能力，能够实时的监测远程设备运行状况，同时管理人员对故障处理措施可即时生效，确保远程设备能够持续工作。

便捷性：管理平台的远程控制功能使系统维护较为方便，在非特殊情况下，管理人员无需到现场进行相关的操作，就可实时监测设备运行状况。

经济性：系统具有故障诊断的能力，能够预测故障，协助管理人员做好设备故障预防，以有效减少因设备故障带来的经济损失。

正因为远程设备管理平台具有以上诸多优良特性，因而在当前社会生产生活中得到了广泛运用，用来管理纷繁多样、数量庞大的远程设备以提高设备管理效率。但目前的远程设备管理平台可二次利用效率较低，不利于系统的广泛运用，因此本文提出一种灵活逻辑可配置、实时监控、通用性高的远程设备管理平台方案，可以实现远程设备逻辑的远程配置，达到资源的高效可重复利用。考虑到物联网设备的工作环境，如无人值守、高温、湿度大、频繁振动和晃动等，比传统移动终端更加复杂和恶劣，为了保证物联网设备移动通信的稳定性和设备自身物理安全性，物联网终端将采用将可信嵌入式交互模块直接焊接在终端电路板或直接封装入通信模块。该物联网设备远程管理平台通过无线信道对嵌入式交互模块的签约信息进行下发、修改、删除等，以满足海量物联网设备可移动远程管理的需求。

1 基于可信嵌入式交互模块的物联网远程管理平台

对于传统的物联网设备管理形式而言，物联网设备上与远程管理系统交互的模块是不可更换的，物联网交互模块具有唯一的一组ID和密钥，且不可编程，以进行设备识别。如果用户想改变远程管理系统平台，需要改变物联网设备中的交互模块实体，如常见的手机SIM卡和运营商之间的关系。

当前，大规模、海量物联网设备都存在灵活移动的需求，因此对传统物联网设备交互模块进行调整和更改，采用可编程嵌入式交互模块，在其生命周期内可以重写识别ID和密钥，即修改其配置文件，实现物联网设备在不同远程管理系统平台上的灵活切换，以及海量物联网设备可移动远程管理的需求。本文提出的物联网远程管理平台设计如图1所示。

图1 基于可信嵌入式交互模块的物联网远程管理平台设计

远程管理系统平台包括数据准备平台和安全路由平台两部分，其中数据准备平台主要负责远程管理系统平台数据的生成和管理，根据业务需要将完整的卡数据传输至安全路由平台。安全路由平台主要负责远程管理系统平台的远程配置数据的安全路由和传输，以实现和嵌入式交互模块间的数据安全交互。

该物联网远程管理系统平台各部分接口的功能如下：

(1)嵌入式交互模块制造商—安全路由平台接口：用于嵌入式交互模块在安全路由平台的注册；

(2)远程管理系统平台—数据准备平台接口：用于配置文件的预定，也用于配置文件的下载、安装、通过数据准备平台启用或删除流程；

(3)数据准备平台—安全路由平台接口：用于配置文件的下载、安装、通过数据准备平台启用、通过数据准备平台停用或删除流程；

(4)远程管理系统平台—安全路由平台接口：用于配置文件的启用、停用和删除流程；

(5)安全路由平台—嵌入式交互模块接口：用于配置文件的下载、安装、启用、停用和删除流程；

(6)安全路由平台—安全路由平台接口：用于安全路由平台的切换流程；

(7)远程管理系统平台—嵌入式交互模块接口：远程管理系统平台和嵌入式交互模块之间进行数据交互内容管理。

不同的物联网远程管理系统平台之间可以进行安全通信交互，实现物联网设备在不同远程管理系统平台上的灵活切换，进而实现海量物联网设备可移动远程管理的需求。其通信交互示意图如图2所示。

图2 不同的远程管理系统平台之间通信交互示意图

2 基于可信嵌入式交互模块的物联网远程管理平台安全

2.1 安全域模型

本文的基于可信嵌入式交互模块的物联网远程管理平台在实现灵活、自适应、可重写的同时，可能会带来安全威胁。嵌入式交互模块在进行远程激活、更换、终止、删除等操作时，嵌入式卡与安全路由平台、数据准备平台间涉及到大量敏感数据的传输，传输的数据和命令将可能遭到被截获、伪装、篡改以及恶意攻击等，因此需要确保各个实体间数据传输安全。

此处提出基于可信嵌入式交互模块的物联网远程管理平台方案的安全域模型，其中远程管理平台、数据准备平台、安全路由平台以及嵌入式交互模块均作为安全域中的基本元素。建议采用安全域模型1或安全域模型2，如图3和图4所示。安全域模型1中，远程管理系统平台(包括安全路由平台和数据准备平台)均部署在同一个专用网络内部，以保障系统广域组网安全。安全域模型2中，数据准备平台部署在专用网络内部，数据准备平台和安全路由平台之间通过加密的VPN通道保证组网及通信安全。

图3 安全域模型1

图4 安全域模型2

安全域模型允许各个成员角色根据自己的风险管理模型实现相对应的远程管理系统方案。安全域内规则如下：

(1)同一模型可能包含多个安全域，安全域实体在通信前需要认证；

(2)安全域间交换数据前，应该进行安全协商(如采用EAP、IPSEC、TLS协议等)，之后在安全域间应用通过协商的安全机制；

(3)安全域间应提供端到端的数据通信安全保护，包括完整性保护、加密、抗重放攻击等机制；

(4)安全域内部的网络通信应该使用专用网络；

(5)安全域应该实施过滤规则。

2.2 安全方案

远程管理系统平台的安全方案包括平台安全、信息安全、接口安全以及实体安全等。

2.2.1平台安全

平台安全包括平台组网安全、身份认证安全、平台访问安全、平台入侵防护以及平台应用逻辑安全等。

(1)平台组网安全：嵌入式交互模块远程管理系统平台内部需要部署防火墙设备，通过防火墙进行安全区域的划分、设置，将局域网内的设备分为高安全区和低安全区，加密机位于高安全区，低安全区内的设备不能访问高安全区的设备及内部数据，以保证密钥存储及使用的安全性。系统内部所有敏感数据全部为密文存储，在加密机内完成加解密操作。业务办理过程中，应用服务器将需要处理的数据，提供至加密机，加密机进行解密、加密处理后，返回至应用服务器，由应用服务器触发，进行远程读写嵌入式交互模块的操作。

(2)身份认证安全：数据准备平台与嵌入式交互模块之间、安全路由平台与数据准备平台之间、安全路由平台与安全路由平台之间通信前应进行双向的身份认证，且应至少使用公钥、私钥对的方式进行双向认证。所有负责平台与平台管理的实体都应该进行双向认证。所有加密函数都应该通过健壮的避免攻击的方式实现，免于一侧信道的攻击。

(3)平台访问安全：嵌入式交互模块远程管理系统平台需具备访问控制功能，以防止用户越权访问系统和网络资源。平台可采用多种身份验证技术以及权限控制，实现系统的访问安全。平台应提供完善的权限管理机制，采用分权管理策略，保证系统的访问安全，主要包括：用户角色管理：将系统中的若干管理及操作权限制定为一个角色，通过对用户制定角色的方式，赋予用户相应的管理和操作权限。用户权限分配：将用户中的若干管理及操作权限赋给某一用户或将某一角色赋予相应用户，进行用户的权限分配，使其具有登录系统并进行相应操作的能力。用户登录控制：检查用户身份的合法性，并根据用户ID确定该用户的访问权限。只有通过认证，并具有权限的用户才可以访问系统中卡片及业务数据。

(4)平台入侵防护：平台应定期进行安全扫描和日志审计，以保证系统内的信息不被非法读取、破坏。安全扫描用于检查、分析网络范围内的设备、网络服务、操作系统、数据库系统等系统的安全性。通过与目标主机TCP/IP端口建立连接并请求某些服务(如 TELNET、FTP 等)，记录目标主机的应答，搜集目标主机相关信息(如匿名用户是否可以登录等)，从而发现目标主机某些内在的安全弱点。日志记录了系统每天发生的操作和使用运行记录，可以通过日志记录检查错误发生的原因，或者受到攻击时查找攻击者留下的痕迹。日志主要的功能有：审计和监测。日志还可以实时地监测系统状态，监测和追踪侵入者等。通过连接时间日志、进程统计日志和错误日志等，实现系统登录用户的身份和时间跟踪、查看进程起始、终止记录以及各种系统守护进程、用户程序和内核报告的需注意的事件。

(5)平台应用逻辑安全：应用程序逻辑描述了由应用程序开发者定义的必要步骤，以此来完成特定的任务。防止应用程序逻辑攻击的关键是要执行完整性检查及确认，并在应用程序开发周期的起始就完善设计需求。应用程序开发人员还需在应用程序开发初便建立起安全和流程控制。可通过业务应用安全审计提高应用的逻辑安全。

2.2.2信息安全

信息安全包括敏感信息安全和密钥存储使用安全两部分。

(1)敏感信息安全：嵌入式交互模块远程管理系统需存储敏感信息，系统内部的敏感数据应全部以密文方式存储在本系统内部的磁盘阵列中。当进行业务处理时，由应用调用系统内部署的硬件加密机进行加解密操作，并将加密后的数据返回至应用服务器，以保证数据存储的安全性。系统内的数据信息需进行信息的备份存储，系统对业务数据需定期进行内部备份或备份到外部存储器等。其中，关键数据保存在可靠性较高的外磁盘阵列上，硬盘采用RAID方式及热备盘技术，在保证数据高可靠性的同时，提高数据访问的性能。

(2)密钥存储使用安全：嵌入式交互模块密钥包括认证密钥、GP密钥、OTA安全传输密钥，会话密钥等，密钥及其备份数据应置于系统高安全区内，密钥的生成、使用必须在高安全区内进行，并配置专用的加密机设备，且密钥的管理及使用应由密钥管理人员负责，密钥管理人员的安全认证级别应高于一般系统管理人员。

2.2.3接口安全

嵌入式交互模块远程管理系统平台的接口安全共包括六部分。

(1)嵌入式交互模块与数据准备平台之间接口安全。

嵌入式交互模块与数据准备平台通信前应首先进行双向认证，建立安全通道，确保二者之间数据的传输安全，避免传输数据被攻击。在传输通道建立之后，配置在嵌入式交互模块上的文件结构、数据和应用程序等下载安装到嵌入式交互模块之前，嵌入式交互模块与数据准备平台应进行双向认证，并协商通信密钥。密钥协商必须提供认证机制以防止二者之间的中间人认证攻击，密钥协商机制可基于Diffie-Hellman或ElGamal - ECKA-DH，ECKA-EG椭圆密钥协议[5]。

(2)嵌入式交互模块与安全路由平台之间接口安全。

嵌入式交互模块与安全路由平台通过OTA方式通信，通信前应首先进行双向认证。物联网嵌入式交互模块远程管理系统平台与嵌入式交互模块进行空中通讯时，遵循GP规范的SCP80安全机制，要求MAC检验。在写入嵌入式交互模块前，由远程管理系统采用“根密钥+逐卡分散”的方式产生各空模块的认证密钥。当完成写卡模块和空模块的认证之后，空模块和写卡模块间的交互均应基于会话密钥key进行加密，直至本次会话结束。加密算法采用3DES[6]。

(3)嵌入式交互模块制造商与安全路由平台之间接口安全。

每个嵌入式交互模块只能注册到一个安全路由平台中，嵌入式交互模块制造商和安全路由平台之间的通信信道必须是安全可靠的，必须进行双向认证。

(4)安全路由平台与数据准备平台之间接口安全。

数据准备平台通过此接口将嵌入式交互模块的配置用户签约信息交付给安全路由平台，安全路由平台与数据准备平台之间需建立认证机制并建立标准VPN安全隧道确保传输安全。

(5)数据准备平台与远程管理系统平台之间接口安全。

该接口是数据准备平台和网络之间的接口，数据准备平台与远程管理系统平台之间应建立安全隧道确保传输安全。数据准备平台与远程管理系统平台均部署于专用网络内部，系统间数据同步采用数字信封方式进行加密。数字信封是利用对称加密和非对称加密，进行两层加密的信息安全传输技术。在数字信封中，信息发送方采用对称密钥来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密(这部分称数字信封)之后，将它和加密后的信息一起发送给接收方。接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开加密信息。采用数字信封方式进行加密，所有加解密操作在加密机中进行，应用只需调用加解密接口即可完成加解密操作[6]。

(6)不同的安全路由平台之间接口安全。

此接口为两个安全路由平台之间的接口。安全路由平台应支持“签约管理变更—安全路由”流程，实际接收信任状态来执行配置在嵌入式交互模块上的文件结构、数据和应用程序等管理操作的潜在通信协议，安全路由平台间可能遭到伪装攻击，安全路由平台间需建立认证机制确保传输安全。

2.2.4实体安全

为保证系统的实体安全，应实现对关键设备的保护、减轻自然灾害对系统的影响、减少信息泄露以及操作失误等风险。(1)关键设备的保护。制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源(UPS)等措施。(2)自然灾害(如雷电、地震、火灾等)、物理损坏(如硬盘损坏、设备使用寿命到期等)、设备故障(如停电、电磁干扰等)、意外事故等。可通过制定安全制度，进行数据备份避免此安全风险。(3)电磁泄漏，信息泄漏，干扰他人，受他人干扰，乘机而入(如进入安全进程后半途离开)，痕迹泄露(如口令密钥等保管不善)。采取辐射防护，屏幕口令，隐藏销毁等安全措施。(4)操作失误(如删除文件，格式化硬盘，线路拆除等)，意外疏漏。进行状态检测，报警确认，应急恢复等安全措施。(5)计算机系统机房环境的安全。加强机房管理，运行管理，安全组织和人事管理。

3 结论

远程设备管理是应用层中设备管理的一种形式，达到在设备应用期内远距离更新功能、排除故障、收集数据并提供新的服务的功能。目前的远程设备管理平台二次利用效率较低，不利于系统的广泛运用。本文中的基于可信嵌入式交互模块的物联网远程管理平台通用性高，特别是对远程设备可实现资源的灵活逻辑可配置、实时监控、高效可重复利用，能够根据用户需要的逻辑配置规则进行解析，动态生成控制信息，避免平台重复开发，降低开发时间，提高平台利用率。该方案可实现物联网设备在不同远程管理系统平台上的灵活切换和海量物联网设备可移动远程管理的需求。并针对本方案中数据传输及操作行为的重要程度，提出相应的安全域模型，从平台安全、信息安全、接口安全以及实体安全四个方面进行了相应的安全方案制定，保证物联网设备与远程管理系统平台端到端数据传输安全，防止传输的数据、文件结构、应用程序、命令等被截获、伪装、篡改以及防止恶意攻击等。最终实现在不可信环境下的嵌入式交互模块配置文件的安全远程更换，形成复杂、高安全等级的物联网设备远程管理模型。

[1] PRABHJOT KAUR,LINI MATHEW.Design and development of a graphical user interface for real time monitoring and analysis of vital human body parameters[C]//2016 IEEE 1st International Conference on Power Electronics,Intelligent Control and Energy Systems (ICPEICES) Greece:IEEE computer society,2016,10:1-8.

[2] 刘学多.物联网远程设备管理平台设计与实现[D].南京:南京邮电大学,2017.

[3] 刘立芳,齐小刚.远程设备实时监控管理系统的设计与实现[J].计算机工程,2000,26(04):91-92.

[4] 侯建华.网络设备远程控制管理系统的设计与实现[J].信息通信,2013,128:104-105.

[5] 闫韬.物联网隐私保护及密钥管理机制中若干关键技术研究[D].北京：北京邮电大学,2012.

[6] 张俊松.物联网环境下的安全与隐私保护关键问题研究[D].北京：北京邮电大学,2014.