物聯網智能終端設備識別方法

肖清旺，王錦華，朱易翔

（1.移動互聯網系統與應用安全國家工程實驗室，上海 201315；2.中國電信股份有限公司上海研究院，上海 200122）

物聯網智能終端設備識別方法

肖清旺1,2，王錦華1,2，朱易翔1,2

（1.移動互聯網系統與應用安全國家工程實驗室，上海 201315；2.中國電信股份有限公司上海研究院，上海 200122）

物聯網終端身份的正確識別是建立物聯網安全連接的重要前提，其中智能終端的身份識別問題尤為重要。介紹現有技術條件下，物聯網中智能終端的設備識別方法。從物聯網安全的角度，分析現有方案存在設備識別方式過于簡單導致設備易被冒用的安全問題。為解決該問題，將物聯網領域內項目研究工作的成果和業界的經驗相結合，提出了物聯網智能終端的多維度設備特征信息的識別方法。

物聯網；智能終端；設備識別

1 引言

物聯網的發展會接入各種設備，這意味著物聯網對現實世界會有更強的控制能力和數據采集能力。越來越強大的控制能力和數據采集能力，使其對現實生活的影響程度與日俱增。所以在物聯網飛速發展的同時，物聯網的安全問題是不容忽視的。目前業內對物聯網安全的解決策略主要有3點：應用層由安全服務解決認證授權、數據保護等問題；網絡層在服務端和終端之間建立安全的連接；感知層的終端有可靠安全的運行環境。終端身份的正確識別是物聯網安全策略能成功執行的重要前提。

智能終端與普通的非智能終端相比，功能強大且攜帶大量敏感數據，如果發生設備盜用會對用戶甚至社會造成嚴重的危害。智能終端的設備識別問題尤為重要。

2 智能終端識別方法及安全隱患

在現有的技術條件下，智能終端身份識別方法不是非常安全可靠。傳統網絡中，只有用戶名口令、SIM卡等針對用戶的識別方法，沒有針對終端的身份標識方法。在物聯網中，這一問題并沒有被很好地解決。對業內眾多優秀供應商的物聯網解決方案進行調研，各供應商終端身份標識的方法大同小異。

2.1 現有技術方案

（1）移動終端識別方案

運營商提供給終端的用戶標識信息和出廠時寫入終端設備的識別信息計算生成身份識別ID，用于終端與網絡服務端的認證。

（2）有線終端識別方案

運營商提供的入網密鑰和出廠時寫入終端設備的識別信息生成身份識別ID，用于終端與網絡服務端的認證，身份標識由網絡服務器對終端進行操作。

分析現有技術，出廠時寫入設備的識別碼（多為出廠編號或預置密鑰），由于是出廠前置入且內容單一，并不能嚴謹地代表當前設備的合法接入身份。

2.2 現有方案存在的問題

從智能終端特征分析，現有方案存在由于設備標識內容過于簡單而極易被盜用身份的問題。

終端具有硬件型號、操作系統種類及版本、常用App行業類別、用戶上下線地域和時間域等特征，由于系統版本升級以及用戶行為的不同，App特征信息、用戶行為特征等信息是出廠前無法預知的，所以出廠前配置的識別特征碼無法正確代表用戶。智能終端身份識別信息應當包含用戶行為、系統版本、App環境等信息，所以使用出廠前預置碼識別設備本身的方案是不嚴謹的。在終端被盜竊或者終端被非法入侵時，攻擊者盜用合法用戶的身份信息，由于身份標識的信息太少而且過于簡單，所以在身份識別的環節，危害是難以防范的。

3 解決策略

針對現有終端設備識別方法過于簡單導致的安全問題，提出新的終端識別方式，以解決終端身份易被盜用的問題。

使用新的設備標識方式，不再使用出廠置入終端設備的設備編號作為標記設備的設備ID。而是對設備進行特征分析，使用多維度的復合信息生成設備識別ID，用于終端設備的識別。多維度的信息終端設備識別策略流程如圖1所示。

圖1 多維度的信息終端設備識別流程

綜合獲取的信息包括操作系統種類、操作系統實時版本、涉及敏感數據的App特征、用戶行為特征等，將混合信息生成智能終端的設備識別特征。如果有異常，更新設備識別信息，確保接入終端身份標識的合法性和有效性。多維度復合的終端標識信息，可以解決由于標識信息過于簡單帶來的合法終端易被盜用的問題。

3.1 智能終端研究范圍

本文研究的對象是智能終端，包括所有具有獨立操作系統的嵌入式設備。設備特征分析如下：

· 硬件包括包芯片、PCB、外圍接口等；

· 驅動包括各種設備驅動、外圍驅動等；

·操作系統包括Windows系列、Linux系列、Mac系列

以及其他實時或分時的嵌入式操作系統等；

·App的行業特征及運行環境需求特征；

· 用戶及終端設備在運行期間的業務習慣、空間域、

時間域等。

3.2 設備特征分析

使用多維度的復合信息標識終端設備，首先要做的是對設備進行特征分析。設備特征包括構成終端設備的芯片型號、PCB型號版本號、外圍接口類型、驅動版本、操作系統種類、操作系統版本、App特征、終端行為特征及用戶行為特征等。終端特征分析維度見表1。

3.3 設備識別ID生成

分析設備特征后，需要將設備特征轉化為設備的國際標識碼（international equipment identity，IEID）。對于移動終端，轉化為國際移動設備身份碼 （international mobile equipment identity，IMEI）。具體方法是：使用通過終端設備特征分析得到的多維度信息數據，通過計算，生成可以代表設備現有狀態的唯一標識ID。

生成設備識別ID前，先生成設備特征分析數據表。終端在設備特征分析數據表中查詢生成數據特征碼。設備特征分析數據表的生成方式由各物聯網平臺自定義。現提供假想終端部分特征數據的參考表，各類特征（如芯片特征、PCB特征、驅動特征等）采用統計注冊的方式，具體見表2。其中，App特征、用戶特征及終端工作特征需要使用深度學習的方式進行分析。

表1 智能終端特征分析項

表2所示的僅是部分多維度信息，在實際生產中，可以采用更加豐富的信息作為數據分析表。對分析到的數據進行處理，如散列處理、加密處理、壓縮處理等，最終生成可以嚴謹代表終端的設備標識碼（IEID或IMEI），如圖2所示。

3.4 終端設備識別

設備識別方式本質是生成更有效的IEID（或IMEI）。

平臺識別終端時，根據設備的識別碼，反向分析設備的特征，以確保設備的正確性。在進行驗證、授權、業務交互等動作前，對終端設備進行實時識別，即將解析IMEI（或IEID）生成的設備注冊數據與實時獲取的設備數據進行比對，數據匹配才可進行其他業務。具體如圖3所示。

經過第3.1節的分析和第3.2節的計算，最終生成了可以唯一代表終端設備本身的設備標識碼。將設備標識碼與運營商提供的用戶識別碼結合，作為終端的最終入網設備識別碼。智能終端入網識別方法示意如圖4所示。

對于帶SIM卡的移動終端，由于終端本身可以擁有運營商用戶識別碼，所以可以直接使用IMSI與IMEI結合標識的方式。

對于不帶SIM卡的移動終端，此類設備不通過蜂窩移動網絡，而是通過其他方式接入網關之后再接入應用平臺。所以需要采用終端本身的IMEI與網關設備的ISID相結合的方式。此類設備接入時，要求網關或者NS一定要有運營商提供的ISID。

對于有線終端，使用ISID與IEID結合標識的方式。有線設備具有相對固定的特點，可以由所在地的運營商提供ISID，結合IEID入網。

3.5 應用場景示例

應用場景以移動智能終端為例，通過IMEI與IMSI結合的方式標識。業務主要過程如圖5所示。

（1）設備入網注冊，將設備特征分析數據表通過散列、加密、壓縮等方式計算生成IMEI，與IMSI信息結隊標識合法的接入設備，將信息存入物聯網應用服務平臺。

（2）當智能終端向應用服務平臺發起接入申請時，服務平臺根據合法的IMSI信息，查詢對應的IMEI信息。IMEI經反向計算生成終端在平臺注冊的設備特征表。

（3）將平臺分析出的設備特征表與設備中實時獲取的設備特征表進行比對，分析結果。

表2 自定義智能終端特征數據（表格Demo）

圖2 設備特征生成設備IEID或IMEI示意

圖3 IMEI（IEID）身份識別方法示意

圖4 智能終端入網識別方法示意

（4）比對通過，則認為設備已經成功識別，然后進行后續的驗證、授權及業務交互工作。

到此，終端設備識別方法研究完成。

4 運營商如何引領變革

在物聯網時代，電信運營商需要做的是拒絕不合法的設備接入，為合法接入的設備提供安全服務，并推動物聯網設備入網協議的標準化。具體可以做以下3件事。

（1）接入許可

只允許同時滿足IMSI合法和IMEI合法的終端設備接入網絡。

（2）提供安全服務

利用電信運營商大數據的優勢，將反電子欺詐平臺投入實際運營中并持續改進，不斷優化升級反欺詐的能力，為公眾提供安全可信的通信服務。

（3）推動標準

利用電信運營商的甲方角色，推動更安全的設備識別平臺的發展。通過業務引導，逐漸地讓更為安全的識別認證方式成為標準。

5 結束語

要保證物聯網的安全，需要做好終端識別、終端身份驗證、終端可用資源授權等一系列的工作，終端正確識別是一系列安全策略能有效執行的首要條件。現有的設備識別方式過于簡單，存在嚴重的安全隱患。

現提出了使用多維度綜合信息作為終端識別信息的策略，可以解決終端識別信息簡單帶來的終端冒用的隱患。相比傳統的出廠置入設備識別碼的方式，多維度的信息包含了眾多終端的實時特性，比如系統版本號、系統更新時間、系統資源占用情況、終端使用特征和用戶特征等信息。信息經過散列、加密、壓縮等處理得到的識別碼，可以在身份識別時反推出注冊設備的特征，與設備的實時狀態比對即可分析出當前設備是否真正可以合法接入，從而有效防止因設備盜竊、系統重置等攻擊手段帶來的危害。

圖5 業務主要過程

使用多維度的綜合信息作為智能終端的識別信息，可以使物聯網的安全性得到進一步的提高。電信運營商在這一過程中，可以通過接入許可管理、安全服務、業務引導等方式推動終端識別方式的發展，以爭取在物聯網時代，讓運營商可以承擔重要的生態鏈角色。

[1]吳新勇.嵌入式操作系統安全保障技術研究[D].成都：電子科技大學,2003. WU X Y.Embedded operating system security technology research[D].Chengdu：University of Electronic Science and Technology,2003.

[2]劉文懋.物聯網感知環境安全機制的關鍵技術研究[D].哈爾濱：哈爾濱工業大學,2013. LIU W M.Internet of things perception of environmental safety mechanism of key technology research [D].Harbin：Harbin Institute of Technology,2013.

[3]胡向東,魏琴芳,向敏,等.物聯網安全 [M].北京：科學出版社,2012. HU X D,WEI Q F,XIANG M,et al.Internet of things security[M]. Beijing：Science Press,2012.

實驗室副主任，負責移動互聯網系統與應用安全國家工程

實驗室技術研發工作，主要研究方向為安全體系與架構、安全攻防與漏洞發掘、移動應用安全檢測等。

Intelligent terminal device identification method of internet of things

XIAO Qingwang1,2,WANG Jinhua1,2,ZHU Yixiang1,2
1.Mobile Internet System and Application Security National Engineering Laboratory,Shanghai 201315,China 2.Shanghai Research Institute of China Telecom Co.,Ltd.,Shanghai 200122,China

The correct identification of the terminal of the internet of things is an important prerequisite to establish a secure connection of the internet of things.The identification of the intelligent terminal is particularly important. The device identification method of intelligent terminals in internet of things under the existing technology was investigated.From the perspective of the security of the internet of things,the security problem that the device identification method was too simple to be easily falsified of the existing scheme was analyzed.Combining the achievements of project research in the field of internet of things and the experience of the industry,the identification method of multidimensional device feature information of IoT intelligent terminals was proposed.

internet of things,intelligent terminal,device identification

TP393

A

10.11959/j.issn.1000-0801.2017044

肖清旺（1989-），男，移動互聯網系統與應用安全國家工程實驗室工程師，主要研究方向為物聯網終端安全接入技術。

王錦華（1982-），男，移動互聯網系統與應用安全國家工程實驗室工程師，主要研究方向為云計算、大數據安全相關技術。

朱易翔（1979-），男，移動互聯網系統與應用安全國家工程

2016-12-22；

2017-02-13