一種基于可信嵌入式交互模塊的物聯網遠程管理平臺安全方案

陳 波，楊永剛，朱廣宇

(1.中國電子信息產業集團有限公司第六研究所，北京 102209；2.75835部隊，廣州 510699)

0 引言

物聯網技術(IoT)是新一代信息技術的重要組成部分，旨在實現各個事物的物物相連即物品與物品的信息交換與通信[1]，其泛在化的網絡特性使得萬物互聯正在成為可能。物聯網通過感知技術、識別技術與普適技術等通信感知技術，廣泛應用于網絡融合中，被稱為繼計算機、互聯網之后世界信息產業發展的第三次浪潮。物聯網體系結構從功能角度和模型角度來進行分析，可以分成后端集中式、前端分布式及信息處理模式，代表性的結構有Networked Auto-ID、uID IoT、M2M、MNN-SOF等體系結構[2]。物聯網的體系結構多種多樣，有利于不同場景下與物聯網體系應用相適應。遠程設備管理平臺是一種對遠程設備信息進行采集、信息管理及遠程控制的一種應用，其應用方式與物聯網的后端集中式相符，大部分信息處理任務和用戶請求是由后端信息服務器或服務支撐平臺完成。

遠程設備管理平臺需要對遠程設備網絡、設備信息接入及遠程設備數據的統一管理，進而實現對遠程設備的管理[3]。設備管理平臺是整個設備管理過程的核心部分，通過遠程管理設備平臺用戶可管理遠程設備數據的采集、處理、分析和展示、遠程硬件設備控制，甚至是對遠程硬件設備邏輯關系的動態配置，以實現對遠程設備靈活、全面的管理[4]。遠程設備管理平臺具有高效性、便捷性、經濟性等優良特性，其各自的特性可表述如下：

高效性：系統具有遠程管理的能力，能夠實時的監測遠程設備運行狀況，同時管理人員對故障處理措施可即時生效，確保遠程設備能夠持續工作。

便捷性：管理平臺的遠程控制功能使系統維護較為方便，在非特殊情況下，管理人員無需到現場進行相關的操作，就可實時監測設備運行狀況。

經濟性：系統具有故障診斷的能力，能夠預測故障，協助管理人員做好設備故障預防，以有效減少因設備故障帶來的經濟損失。

正因為遠程設備管理平臺具有以上諸多優良特性，因而在當前社會生產生活中得到了廣泛運用，用來管理紛繁多樣、數量龐大的遠程設備以提高設備管理效率。但目前的遠程設備管理平臺可二次利用效率較低，不利于系統的廣泛運用，因此本文提出一種靈活邏輯可配置、實時監控、通用性高的遠程設備管理平臺方案，可以實現遠程設備邏輯的遠程配置，達到資源的高效可重復利用?？紤]到物聯網設備的工作環境，如無人值守、高溫、濕度大、頻繁振動和晃動等，比傳統移動終端更加復雜和惡劣，為了保證物聯網設備移動通信的穩定性和設備自身物理安全性，物聯網終端將采用將可信嵌入式交互模塊直接焊接在終端電路板或直接封裝入通信模塊。該物聯網設備遠程管理平臺通過無線信道對嵌入式交互模塊的簽約信息進行下發、修改、刪除等，以滿足海量物聯網設備可移動遠程管理的需求。

1 基于可信嵌入式交互模塊的物聯網遠程管理平臺

對于傳統的物聯網設備管理形式而言，物聯網設備上與遠程管理系統交互的模塊是不可更換的，物聯網交互模塊具有唯一的一組ID和密鑰，且不可編程，以進行設備識別。如果用戶想改變遠程管理系統平臺，需要改變物聯網設備中的交互模塊實體，如常見的手機SIM卡和運營商之間的關系。

當前，大規模、海量物聯網設備都存在靈活移動的需求，因此對傳統物聯網設備交互模塊進行調整和更改，采用可編程嵌入式交互模塊，在其生命周期內可以重寫識別ID和密鑰，即修改其配置文件，實現物聯網設備在不同遠程管理系統平臺上的靈活切換，以及海量物聯網設備可移動遠程管理的需求。本文提出的物聯網遠程管理平臺設計如圖1所示。

圖1 基于可信嵌入式交互模塊的物聯網遠程管理平臺設計

遠程管理系統平臺包括數據準備平臺和安全路由平臺兩部分，其中數據準備平臺主要負責遠程管理系統平臺數據的生成和管理，根據業務需要將完整的卡數據傳輸至安全路由平臺。安全路由平臺主要負責遠程管理系統平臺的遠程配置數據的安全路由和傳輸，以實現和嵌入式交互模塊間的數據安全交互。

該物聯網遠程管理系統平臺各部分接口的功能如下：

(1)嵌入式交互模塊制造商—安全路由平臺接口：用于嵌入式交互模塊在安全路由平臺的注冊；

(2)遠程管理系統平臺—數據準備平臺接口：用于配置文件的預定，也用于配置文件的下載、安裝、通過數據準備平臺啟用或刪除流程；

(3)數據準備平臺—安全路由平臺接口：用于配置文件的下載、安裝、通過數據準備平臺啟用、通過數據準備平臺停用或刪除流程；

(4)遠程管理系統平臺—安全路由平臺接口：用于配置文件的啟用、停用和刪除流程；

(5)安全路由平臺—嵌入式交互模塊接口：用于配置文件的下載、安裝、啟用、停用和刪除流程；

(6)安全路由平臺—安全路由平臺接口：用于安全路由平臺的切換流程；

(7)遠程管理系統平臺—嵌入式交互模塊接口：遠程管理系統平臺和嵌入式交互模塊之間進行數據交互內容管理。

不同的物聯網遠程管理系統平臺之間可以進行安全通信交互，實現物聯網設備在不同遠程管理系統平臺上的靈活切換，進而實現海量物聯網設備可移動遠程管理的需求。其通信交互示意圖如圖2所示。

圖2 不同的遠程管理系統平臺之間通信交互示意圖

2 基于可信嵌入式交互模塊的物聯網遠程管理平臺安全

2.1 安全域模型

本文的基于可信嵌入式交互模塊的物聯網遠程管理平臺在實現靈活、自適應、可重寫的同時，可能會帶來安全威脅。嵌入式交互模塊在進行遠程激活、更換、終止、刪除等操作時，嵌入式卡與安全路由平臺、數據準備平臺間涉及到大量敏感數據的傳輸，傳輸的數據和命令將可能遭到被截獲、偽裝、篡改以及惡意攻擊等，因此需要確保各個實體間數據傳輸安全。

此處提出基于可信嵌入式交互模塊的物聯網遠程管理平臺方案的安全域模型，其中遠程管理平臺、數據準備平臺、安全路由平臺以及嵌入式交互模塊均作為安全域中的基本元素。建議采用安全域模型1或安全域模型2，如圖3和圖4所示。安全域模型1中，遠程管理系統平臺(包括安全路由平臺和數據準備平臺)均部署在同一個專用網絡內部，以保障系統廣域組網安全。安全域模型2中，數據準備平臺部署在專用網絡內部，數據準備平臺和安全路由平臺之間通過加密的VPN通道保證組網及通信安全。

圖3 安全域模型1

圖4 安全域模型2

安全域模型允許各個成員角色根據自己的風險管理模型實現相對應的遠程管理系統方案。安全域內規則如下：

(1)同一模型可能包含多個安全域，安全域實體在通信前需要認證；

(2)安全域間交換數據前，應該進行安全協商(如采用EAP、IPSEC、TLS協議等)，之后在安全域間應用通過協商的安全機制；

(3)安全域間應提供端到端的數據通信安全保護，包括完整性保護、加密、抗重放攻擊等機制；

(4)安全域內部的網絡通信應該使用專用網絡；

(5)安全域應該實施過濾規則。

2.2 安全方案

遠程管理系統平臺的安全方案包括平臺安全、信息安全、接口安全以及實體安全等。

2.2.1平臺安全

平臺安全包括平臺組網安全、身份認證安全、平臺訪問安全、平臺入侵防護以及平臺應用邏輯安全等。

(1)平臺組網安全：嵌入式交互模塊遠程管理系統平臺內部需要部署防火墻設備，通過防火墻進行安全區域的劃分、設置，將局域網內的設備分為高安全區和低安全區，加密機位于高安全區，低安全區內的設備不能訪問高安全區的設備及內部數據，以保證密鑰存儲及使用的安全性。系統內部所有敏感數據全部為密文存儲，在加密機內完成加解密操作。業務辦理過程中，應用服務器將需要處理的數據，提供至加密機，加密機進行解密、加密處理后，返回至應用服務器，由應用服務器觸發，進行遠程讀寫嵌入式交互模塊的操作。

(2)身份認證安全：數據準備平臺與嵌入式交互模塊之間、安全路由平臺與數據準備平臺之間、安全路由平臺與安全路由平臺之間通信前應進行雙向的身份認證，且應至少使用公鑰、私鑰對的方式進行雙向認證。所有負責平臺與平臺管理的實體都應該進行雙向認證。所有加密函數都應該通過健壯的避免攻擊的方式實現，免于一側信道的攻擊。

(3)平臺訪問安全：嵌入式交互模塊遠程管理系統平臺需具備訪問控制功能，以防止用戶越權訪問系統和網絡資源。平臺可采用多種身份驗證技術以及權限控制，實現系統的訪問安全。平臺應提供完善的權限管理機制，采用分權管理策略，保證系統的訪問安全，主要包括：用戶角色管理：將系統中的若干管理及操作權限制定為一個角色，通過對用戶制定角色的方式，賦予用戶相應的管理和操作權限。用戶權限分配：將用戶中的若干管理及操作權限賦給某一用戶或將某一角色賦予相應用戶，進行用戶的權限分配，使其具有登錄系統并進行相應操作的能力。用戶登錄控制：檢查用戶身份的合法性，并根據用戶ID確定該用戶的訪問權限。只有通過認證，并具有權限的用戶才可以訪問系統中卡片及業務數據。

(4)平臺入侵防護：平臺應定期進行安全掃描和日志審計，以保證系統內的信息不被非法讀取、破壞。安全掃描用于檢查、分析網絡范圍內的設備、網絡服務、操作系統、數據庫系統等系統的安全性。通過與目標主機TCP/IP端口建立連接并請求某些服務(如 TELNET、FTP 等)，記錄目標主機的應答，搜集目標主機相關信息(如匿名用戶是否可以登錄等)，從而發現目標主機某些內在的安全弱點。日志記錄了系統每天發生的操作和使用運行記錄，可以通過日志記錄檢查錯誤發生的原因，或者受到攻擊時查找攻擊者留下的痕跡。日志主要的功能有：審計和監測。日志還可以實時地監測系統狀態，監測和追蹤侵入者等。通過連接時間日志、進程統計日志和錯誤日志等，實現系統登錄用戶的身份和時間跟蹤、查看進程起始、終止記錄以及各種系統守護進程、用戶程序和內核報告的需注意的事件。

(5)平臺應用邏輯安全：應用程序邏輯描述了由應用程序開發者定義的必要步驟，以此來完成特定的任務。防止應用程序邏輯攻擊的關鍵是要執行完整性檢查及確認，并在應用程序開發周期的起始就完善設計需求。應用程序開發人員還需在應用程序開發初便建立起安全和流程控制?？赏ㄟ^業務應用安全審計提高應用的邏輯安全。

2.2.2信息安全

信息安全包括敏感信息安全和密鑰存儲使用安全兩部分。

(1)敏感信息安全：嵌入式交互模塊遠程管理系統需存儲敏感信息，系統內部的敏感數據應全部以密文方式存儲在本系統內部的磁盤陣列中。當進行業務處理時，由應用調用系統內部署的硬件加密機進行加解密操作，并將加密后的數據返回至應用服務器，以保證數據存儲的安全性。系統內的數據信息需進行信息的備份存儲，系統對業務數據需定期進行內部備份或備份到外部存儲器等。其中，關鍵數據保存在可靠性較高的外磁盤陣列上，硬盤采用RAID方式及熱備盤技術，在保證數據高可靠性的同時，提高數據訪問的性能。

(2)密鑰存儲使用安全：嵌入式交互模塊密鑰包括認證密鑰、GP密鑰、OTA安全傳輸密鑰，會話密鑰等，密鑰及其備份數據應置于系統高安全區內，密鑰的生成、使用必須在高安全區內進行，并配置專用的加密機設備，且密鑰的管理及使用應由密鑰管理人員負責，密鑰管理人員的安全認證級別應高于一般系統管理人員。

2.2.3接口安全

嵌入式交互模塊遠程管理系統平臺的接口安全共包括六部分。

(1)嵌入式交互模塊與數據準備平臺之間接口安全。

嵌入式交互模塊與數據準備平臺通信前應首先進行雙向認證，建立安全通道，確保二者之間數據的傳輸安全，避免傳輸數據被攻擊。在傳輸通道建立之后，配置在嵌入式交互模塊上的文件結構、數據和應用程序等下載安裝到嵌入式交互模塊之前，嵌入式交互模塊與數據準備平臺應進行雙向認證，并協商通信密鑰。密鑰協商必須提供認證機制以防止二者之間的中間人認證攻擊，密鑰協商機制可基于Diffie-Hellman或ElGamal - ECKA-DH，ECKA-EG橢圓密鑰協議[5]。

(2)嵌入式交互模塊與安全路由平臺之間接口安全。

嵌入式交互模塊與安全路由平臺通過OTA方式通信，通信前應首先進行雙向認證。物聯網嵌入式交互模塊遠程管理系統平臺與嵌入式交互模塊進行空中通訊時，遵循GP規范的SCP80安全機制，要求MAC檢驗。在寫入嵌入式交互模塊前，由遠程管理系統采用“根密鑰+逐卡分散”的方式產生各空模塊的認證密鑰。當完成寫卡模塊和空模塊的認證之后，空模塊和寫卡模塊間的交互均應基于會話密鑰key進行加密，直至本次會話結束。加密算法采用3DES[6]。

(3)嵌入式交互模塊制造商與安全路由平臺之間接口安全。

每個嵌入式交互模塊只能注冊到一個安全路由平臺中，嵌入式交互模塊制造商和安全路由平臺之間的通信信道必須是安全可靠的，必須進行雙向認證。

(4)安全路由平臺與數據準備平臺之間接口安全。

數據準備平臺通過此接口將嵌入式交互模塊的配置用戶簽約信息交付給安全路由平臺，安全路由平臺與數據準備平臺之間需建立認證機制并建立標準VPN安全隧道確保傳輸安全。

(5)數據準備平臺與遠程管理系統平臺之間接口安全。

該接口是數據準備平臺和網絡之間的接口，數據準備平臺與遠程管理系統平臺之間應建立安全隧道確保傳輸安全。數據準備平臺與遠程管理系統平臺均部署于專用網絡內部，系統間數據同步采用數字信封方式進行加密。數字信封是利用對稱加密和非對稱加密，進行兩層加密的信息安全傳輸技術。在數字信封中，信息發送方采用對稱密鑰來加密信息內容，然后將此對稱密鑰用接收方的公開密鑰來加密(這部分稱數字信封)之后，將它和加密后的信息一起發送給接收方。接收方先用相應的私有密鑰打開數字信封，得到對稱密鑰，然后使用對稱密鑰解開加密信息。采用數字信封方式進行加密，所有加解密操作在加密機中進行，應用只需調用加解密接口即可完成加解密操作[6]。

(6)不同的安全路由平臺之間接口安全。

此接口為兩個安全路由平臺之間的接口。安全路由平臺應支持“簽約管理變更—安全路由”流程，實際接收信任狀態來執行配置在嵌入式交互模塊上的文件結構、數據和應用程序等管理操作的潛在通信協議，安全路由平臺間可能遭到偽裝攻擊，安全路由平臺間需建立認證機制確保傳輸安全。

2.2.4實體安全

為保證系統的實體安全，應實現對關鍵設備的保護、減輕自然災害對系統的影響、減少信息泄露以及操作失誤等風險。(1)關鍵設備的保護。制定嚴格的網絡安全規章制度，采取防輻射、防火以及安裝不間斷電源(UPS)等措施。(2)自然災害(如雷電、地震、火災等)、物理損壞(如硬盤損壞、設備使用壽命到期等)、設備故障(如停電、電磁干擾等)、意外事故等?？赏ㄟ^制定安全制度，進行數據備份避免此安全風險。(3)電磁泄漏，信息泄漏，干擾他人，受他人干擾，乘機而入(如進入安全進程后半途離開)，痕跡泄露(如口令密鑰等保管不善)。采取輻射防護，屏幕口令，隱藏銷毀等安全措施。(4)操作失誤(如刪除文件，格式化硬盤，線路拆除等)，意外疏漏。進行狀態檢測，報警確認，應急恢復等安全措施。(5)計算機系統機房環境的安全。加強機房管理，運行管理，安全組織和人事管理。

3 結論

遠程設備管理是應用層中設備管理的一種形式，達到在設備應用期內遠距離更新功能、排除故障、收集數據并提供新的服務的功能。目前的遠程設備管理平臺二次利用效率較低，不利于系統的廣泛運用。本文中的基于可信嵌入式交互模塊的物聯網遠程管理平臺通用性高，特別是對遠程設備可實現資源的靈活邏輯可配置、實時監控、高效可重復利用，能夠根據用戶需要的邏輯配置規則進行解析，動態生成控制信息，避免平臺重復開發，降低開發時間，提高平臺利用率。該方案可實現物聯網設備在不同遠程管理系統平臺上的靈活切換和海量物聯網設備可移動遠程管理的需求。并針對本方案中數據傳輸及操作行為的重要程度，提出相應的安全域模型，從平臺安全、信息安全、接口安全以及實體安全四個方面進行了相應的安全方案制定，保證物聯網設備與遠程管理系統平臺端到端數據傳輸安全，防止傳輸的數據、文件結構、應用程序、命令等被截獲、偽裝、篡改以及防止惡意攻擊等。最終實現在不可信環境下的嵌入式交互模塊配置文件的安全遠程更換，形成復雜、高安全等級的物聯網設備遠程管理模型。

[1] PRABHJOT KAUR,LINI MATHEW.Design and development of a graphical user interface for real time monitoring and analysis of vital human body parameters[C]//2016 IEEE 1st International Conference on Power Electronics,Intelligent Control and Energy Systems (ICPEICES) Greece:IEEE computer society,2016,10:1-8.

[2] 劉學多.物聯網遠程設備管理平臺設計與實現[D].南京:南京郵電大學,2017.

[3] 劉立芳,齊小剛.遠程設備實時監控管理系統的設計與實現[J].計算機工程,2000,26(04):91-92.

[4] 侯建華.網絡設備遠程控制管理系統的設計與實現[J].信息通信,2013,128:104-105.

[5] 閆韜.物聯網隱私保護及密鑰管理機制中若干關鍵技術研究[D].北京：北京郵電大學,2012.

[6] 張俊松.物聯網環境下的安全與隱私保護關鍵問題研究[D].北京：北京郵電大學,2014.