萬物互聯的模型探究

陶焙元

摘 要：關于萬物互聯這一宏大的目標，如何架構及通過何種途徑實現，業界還沒有達成共識，特別是關于在萬物互聯的環境下如何保證信息安全，保障參與互聯的各方隱私權，這些都制約了中國在物聯網方面取得更大的發展。文章根據筆者以前參與西歐智能計量網項目時的體會和感悟，提出一些設想和思路，拋磚引玉，供各界專家進一步研究中國的物聯網發展大計。

關鍵詞：物聯網；萬物互聯；架構

1 物聯網交易主體

物聯網的交易主體通常是指萬物互聯的網絡中的一個有一定智能的個體，通常不是具體的人，但又經常會與某一個具體的人或家庭、組織或與其某一個銀行賬戶（以后統稱賬戶@ACC#m）掛鉤甚至綁定。作為交易的主體，賬戶必須是明確的，有行為能力的，能夠對所發生的交易承擔責任，或得到了能夠承擔責任的一個賬戶的有效授權（可驗證可追溯）。這樣的一個賬戶，必須要有一個可與其他賬戶區分的ID，以及與這個ID對應的身份驗證信息或驗證途徑，以確認其身份的可靠性和作為交易主體的權限屬性。

1.1 交易主體的ID

在任何一個運行中的子網絡中，已經實現了每個終端個體在網絡中的區分，但是并不徹底。這是由于傳統的互聯網應用中，終端其實在很多時刻并不是交易的主體，而只是交易的臨時代理，仍需要交易主體通過登錄等方式確認身份后參與網絡交易；或者終端只參與一些不需要承擔明確責任的交易過程（例如在瀏覽網站時發送網頁內容的服務器并不關注對方的真實身份），因此交易主體的確認并不是非常重要和即時。而在物聯網中，許多交易主體需要自主地響應其他主體發出的交易請求，并根據授權自動作出交易呼應。因此這些交易主體的身份的唯一性就格外重要起來。作為物聯網交易主體的ID唯一性，有以下特征和要求：（1）在交易涉及的物聯網范圍內（不論是否同類個體）唯一確認；（2）在交易主體的生命周期內不重復出現；（3）在交易主體的生命周期內終身不可篡改（不可抵賴）；（4）與身份驗證信息唯一綁定。

以上的這些特征和要求特別類同于居民身份證的管理，任何一個入物聯網的交易主體的ID要像對待一個新生兒一樣申報和管理起來，以后不管其生老病死這個身份證號始終是其不變的標志，與其一生的所作所為掛鉤。要達到這一標準，目前所實行的每個網絡自定義其個體的唯一標識ID顯然是不能夠滿足的。上述特征中其中第3條的要求在交易個體的產品設計中實現，在入網資格中驗證。第4條的要求詳見身份驗證章節討論，結論是整個物聯網所有交易個體要有統一標準的唯一標識。我們將這種物聯網所要求的跨越產品類別、地域、時間、應用領域的唯一性要求命名為“全域唯一（All Domain Unique）”，這種ID命名為“全域ID”（ADID），以區別于形形色色的唯一性ID標準。

1.2 ADID的管理

ADID的標準格式可以參照相關的國際標準，但其應用管理需要制定專門的物聯網應用準則來加以規范，并在企業中嚴格加以應用和管理。

1.3 ADID的擴展應用

在上述對交易個體的討論中，實際上個體不局限于智能器件，而是包括了人、組織、網絡應用（@APP#n）等，所以ADID的應用也要覆蓋上述內容。甚至交易的過程、內容、結果也具有和交易個體同樣的可追溯、唯一和不可抵賴等特性，也可以套用ADID準則來統一管理，更有利于物聯網交易信息的標準化管理。

2 物聯網交易的平臺和通道

這里的交易平臺不是各個@APP#n的平臺，而是特指為了實現萬物互聯而搭建的跨越各個APP應用，跨越不同通信技術和網絡的平臺架構。在此平臺上每時每刻有數以億計的分屬于數百萬不同@APP#n的交易個體@ACC#m在交互信息并達成交易。因此這是一個大架構的平臺，需要處理的是不同領域不同行業不同應用的各種各樣結構的數據，這在事實上不可操作。

一個可能的模型是：成立一個數據交換中心（Data Exchange Center，DEC）和地域性的分數據交換中心（Regional Data Exchange Center，RDEC），專職于各@APP#n之間的數據交換。DEC（包含RDEC，下同，除非文中意思指明需要區分）不同于傳統意義上的數據交換，它不接觸數據。DEC的職責是確認交易個體的身份和所屬的@APP#n1，驗證其發送的交易數據是符合格式標準的，及滿足其他傳送要求，并向指定的目標@APP#n2傳送經專用應用接口程序&APPI（#n1，#n2）（后文介紹其生成和更新機制）轉換的數據包。@APP#n2根據接收到的數據包解析后的內容決定是否接受并處理此數據包，并回復相應信息或不回復。

3 交易的內容和格式

物聯網交易的數據交換格式和內容，與數據平臺的抉擇息息相關。根據上節的DEC架構，DEC不參與數據內容的處理，而只關注數據包的幀頭、包裝方式等，充當一個準確的物流員角色。因此在DEC層面上并不需要對數據交易的內容和格式進行具體規定，而只要規范在最外層的“物流信息”，為DEC這個宏大的平臺的工作機制減輕了壓力。

為保證數據交換平臺對數據的隔離，確保隱私數據不從平臺泄露，所有通過平臺的數據包均通過非對稱密鑰加密和簽名，以保證只有指定的收信人才可以打開數據包并確認發信人身份。這也更好地保證了DEC充當物流員的角色而不會越位。

4 交易的規則

DEC需要關心的是交易過程中所接收到的信息/命令的種類，及需要在DEC平臺或實際接收方作出的響應，因此對這些方面需要作出定義，以確保所有的@APP#n均以可預期的方式來執行交易流程。DEC只能并且只有DEC能夠拆除物流包裝，并且可以在重要內容上加載DEC的簽名，確保了每個@APP#n收到的數據包是經過DEC之手，堵住了合法網絡之外來源夾帶不法數據的途徑。

每個@APP#n根據DEC的總體要求制定其自身的規約，并制定其入網器件的技術規范要求，并檢驗確認其入網的所有交易個體均按照此規約要求進行信息和命令的交互。當然這遠遠不夠，每個@APP#n1還需要保證其成員能夠與其他@APP#mi（i=1，2，3... 為@APP#n1選擇可以交互的其他子網絡應用）中的成員進行交互，因此要開發應用界面接口程序&APPI（#n1，#mi）（i=1，2，3...），并經過DEC認可的專業機構按規定標準方式調試驗證后遞交DEC應用接口程序庫激活。@APP#mi（i=1，2，3...）與@APP#n1在DEC互聯互通表里標識成可以互聯的應用。為了保證對已發布的界面接口程序的支持，所有的@APP#n在更新其應用程序時必須保證對先前的界面接口的支持（至少是最近版本的支持），以讓其他@APP#mi廠家有足夠時間來更新其接口程序。endprint

物聯網新增一個應用@APP#n，必須有一個嚴格的驗證兼容性、互操作性和安全性的流程，這是保證物聯網萬里長城安全無虞的基礎，也是整個體系得以實現的工作量最大的一環。

與DEC平臺的數據通信交互操作性能測試，由于涉及數據加密過程，無法用實際系統來調試和驗證，需要通過仿真終端和仿真網絡幫助相應開發商進行循序漸進的開發測試，在完成下面所述的功能測試后，再進入模擬實驗室，與實際的網絡器件和應用進行類真實環境的運行測試（但所有的身份都是實驗室專用的，包括以后提到的身份驗證環節）。通過嚴格測試的產品才準許進入并網測試階段。

考慮到物聯網涉及行業的復雜性，為驗證一個新應用@APP#m具體的行業應用的功能在物聯網環境下是否滿足系統對此功能的定義，可以由所在行業中的專業第三方實驗室機構申請這個驗證的資質來代替行業進行這個測試（需要對每個開放互聯的應用均作出獨立判定）。在此又要求該行業所有涉足物聯網的企業對于業務模型有個統一的概念，以劃分物聯應用的收益，并為此預先支付需要承擔的測試驗證的費用。因此，這個獲得行業測試資質的獨立機構又受到行業內物聯網參與企業的集體制約，其收費機制需體現出行業業務模式的變革所帶來的改變，并在測試用標準器件和應用上得到已入網企業的幫助。

對于進入物聯網交易的智能器件，由所在行業制定符合DEC指導思想的產品安全技術標準，產品通信規約標準，產品最低功能要求。這些標準需有權威性的行業協會組織專家工作組來予以共同制定，并不斷發表最新版本以征求本行業、相關行業企業界，學術界和用戶代表的反饋。這些都需要在對物聯網的大架構有了共同認可之后經過2～3年才可能形成一個初步完整的版本，在實際產品開發過程中再經過2～3年完善才可以成為一個標準。同@APP#n的驗證一樣，對于器件也需要類似的一整套制度和體系來驗證。例如對于產品的網絡安全性，英國有個商業產品保證（Commercial Product Assurance，CPA）體系，通過專門的認證機構來驗證產品在設計、生產和部署上符合（物聯）網絡的安全要求，體系覆蓋了硬件、軟件、研發思想、開發過程、生產和交付過程、維護等全生命周期的安全管理，對于企業本身的信息安全管理方面的體系和實踐均提出了嚴苛的要求。德國推出了保護輪廓（Product Profile，PP），從另一個角度來同樣系統地審核產品的安全性。只有通過了CPA或PP安全驗證，并經過產品兼容性、交互操作性以及端到端的通信測試的產品才能被DEC列入產品白名單，通過一定流程激活成為物聯網智能產品。這些均是有借鑒意義的實際解決方案。

5 身份驗證方案和服務

5.1 智能器件的私鑰保護

由于被篡改的代價太高昂，在CPA的產品安全性要求里，對于產品的物理防護，通信界面（產品層面）防護，開發和生產過程，密鑰保存的機密性均提出了細致的要求，嚴格按此要求來設計和生產產品，確實可以做到任何一個產品生產出來，沒法在不造成永久性破壞的情況下篡改或仿冒其身份。當然這里面要大量用到安全芯片，國外半導體巨頭早在布局安全芯片廠家。隨著芯片的大規模量產，在不形成壟斷的情況下，器件成本的增加還是可控的，可是管理和設計上還需要有全新的理念和制度投入，要對企業有脫胎換骨的改造才有可能實行。

還有一個細節的管理，在生產過程中不產生重復身份的器件，即器件的ADID和相應的私鑰均不會重復。考慮到從產品的打樣到在制品的返修和現場產品的退換，要保證產品和身份有條不紊地銜接，與CA系統、@APP#n等對接不出差錯，對于企業的產品ID管理提出了非常高的要求。

5.2 智能器件部署及激活過程

在智能器件入網過程中，要實現大批量的產品私鑰的安全生成（一般在CA生成，以便在產品入網激活環節驗證），傳遞直至在生產過程被安全地植入安全芯片中鎖定，并和產品的ADID一一關聯，中途不能被任何人或機器截留解析。在器件入網激活過程中，DEC根據其批準的可信賴申請者（如@APP#n運營商）提供的入網器件ADID清單，CA根據其數據庫里的對應ADID的產品公鑰數據庫，核實所激活的器件的ADID及私鑰身份，在線確認或定義其功能，交易權限等物聯網工作特性，形成一份完整的在網產品清單，作為DEC響應各種物聯網交易請求的依據。

為了進一步保護網絡的安全性，在產品激活后的一定時間后，CA還可以對每個器件重新生成和下發新的公私密鑰對，以杜絕在產品生產和部署過程中密鑰泄露的可能，徹底將網產品與工廠生產過程絕緣。這個時候產品本身的CPA安全特性測試加上更新成功的密鑰就成了目前大批量器件身份確認的兩個基石。

5.3 密文交換過程

在物聯網交易過程中，除了更換數字證書之類的超級命令外，器件的私鑰始終不離開其安全芯片的錨地，只在安全地帶進行工作，對收發的信息進行數字簽名和身份驗證。為交易過程中頻繁交換較大數據量需要而采用的臨時對稱密鑰在使用完畢后及時從內存中徹底刪除，這些信息安全工作制度在器件級別就引入設計和驗收標準，從而由微觀到宏觀將密鑰泄密和身份造假的可能性降到最低。還有互聯網上常見的拒絕服務（Denial of Service，DOS）攻擊，也可以經由發起者的ADID加上相應的命令計數器來屏蔽掉，這些規約上的控制及早形成共識對于各行各業開發下一代產品均是有重大指導意義的。

6 交易的記錄和追溯

交易的數據和記錄均在@APP#n子網絡中，有些交易的結果可以采用區塊鏈的方式在云端記錄。

回到開始時的傳統業務模型，用物聯網的語言來描述這一流程就是：@APP#YELL應用（ADID： xxxxxxxxYELL）中的個體Alice（ADID： xxxxxxxxAlice）通過DEC平臺向另一應用@APP#ZABRA （ADID： xxxxxxxxZABRA）發送一個業務請求@MSG#PO1（ADID： xxxxxxxxPO1），業務請求經過平臺的接口程序庫選擇了@APPI（YELL，ZABRA）轉換為@APP#ZABRA可以接受的數據格式。@APP#ZABRA用自己的私鑰驗證此信息是發給自己的新信息，并向CA查驗了xxxxxxxxAlice的身份，并追蹤到xxxxxxxxYELL是一個規約認可交易的應用。根據應用平臺的定義，服務響應機Bob（ADID： xxxxxxxxBob）發送了回應信息，并且在回信上加上數字簽名。經DEC平臺的@APPI（ZABRA，YELL）轉換成@APP#YELL可接收的信息。endprint

在英國、德國、美國，近10年來不約而同選擇了以智能電網為突破口，優先將能源網數字化、智能化，這對我們是有很大的參考意義的。當然它們部署的不是單純以遠傳抄表，遙感遙控為中心的第一代“智能”計量網和電力自動化網，而是具有前面所述物聯網特征的智能器件。這和國內目前大規模建設的新電網還是有很大差別的。

以電網為依托建立物聯網雛形有幾個好處：（1）能夠延伸到千家萬戶，到達最小的經濟單位；（2）可以保持常在線（電力局側），不像機頂盒、路由器之類器件容易被用戶切斷；（3）未來的可再生能源發展必然需要動態的能源市場和需求側的動態響應，對智能功能要求明確；（4）各國的能源網均面臨新能源技術爆發和老能源網絡退役帶來的重建需求；（5）計量產業和電力自動化產業相對于消費電子產業更趨標準化規范化，更容易制訂行業標準和行為準則；（6）與智能家居，智能安防產業銜接容易，從車聯網的關系也很緊密；（7）以可持續性來定價能源的模式很可能取代以獲得成本定價的傳統能源定價模式，這更體現出物聯網未來發展的理念。

7 結語

以上只是很粗的模型設想，大量細節沒有涉及，提出的問題比提供的方案細節更多，還需要有經驗的專家來進一步評估，為物聯網的架構遠景開啟一個社會課題。

Study on the model of Internet of Everything

Tao Beiyuan

（Huali Technology Co.， Ltd.， Hangzhou 310023， China）

Abstract：There is no consensus on how to achieve the goal of Internet of Everything， how to build and how to achieve it， especially on how to ensure information security and the privacy of all parties involved in the interconnection. In fact， these restricts China in the Internet of Things made great development. This paper based on the author experience and sentiment of before participating in the Western European smart metering network project， puts forward some ideas and ideas， for all experts to further study Chinese Internet of Things development plan.

Key words： Internet of Things； Internet of Everything； buildendprint