一種輕量可信的物聯網通信協議

馬軍鋒，劉芷若，李觀文，楊飛，黨娟娜

一種輕量可信的物聯網通信協議

馬軍鋒1，劉芷若1，李觀文2，楊飛2，黨娟娜2

（1. 中國信息通信研究院，北京 100191；2.華為技術有限公司，北京 100094）

隨著萬物互聯時代的到來，面對海量異構終端的互聯需求，傳統基于應用層網關的協議棧轉換方案存在性能差、無法保障端到端安全等問題。提出了一種輕量可信的物聯網IP通信協議，是網絡5.0產業和技術創新聯盟協議與接口組的主要研究方向，避免應用層網關的部署，降低物聯網設備的計算與存儲開銷，保障端到端通信安全。

萬物互聯；輕量化；安全

1 引言

隨著物聯網產業的飛速發展，物聯網設備深入人們生活和生產的方方面面，所采用的通信范圍不再局限于單純物聯網絡，而是需要與互聯網通信。如智能家居場景的智能門鎖、智能音箱等物聯終端，需要訪問互聯網中服務資源，實現遠程遙控等功能。

不同物聯網設備采用不同的底層傳輸介質，導致其在訪問互聯網時往往需要依賴于一個應用層網關實現協議轉換。但是，引入應用層網關將打破傳統通信過程中的“端到端”原則，可能引入更多的安全威脅。另一方面，當前物聯網正處于“煙囪式”發展的階段，物聯網設備的本地通信通常采用廠商定制化的私有協議，當實際部署環境中涉及多廠商設備時，需要分別部署對應的網關設備，導致其運維成本大幅提高。

為避免部署應用層網關帶來的協議轉換開銷大、端到端安全無法保障等問題，業界提出“IP一網到底”的概念，旨在消除應用層網關，實現統一網絡層的端到端通信[1]，其主要優勢體現在如下4個方面。

● 當前網絡基礎設施可以完美支持IP協議棧，不必考慮網絡重建成本及兼容性問題。

● IP技術已在大網中應用多年，被驗證是成熟有效的，在物聯網環境中仍采用IP的技術風險最小。

● 當前IP化的全球互聯網生態已經形成，IP的開放性與包容性同樣適用于物聯網場景。

● 現有大量基于IP技術的工具可直接利用（特別是網絡診斷及管理相關工具），不必增加額外的網絡管理成本。

然而，傳統IP定長、定界的設計并不適用于資源嚴重受限的物聯網設備，其過高的報頭開銷導致報文數據傳輸效率低，增加設備能耗。據統計[2]，物聯網通信的數據報文平均長度是25 byte，若采用標準IPv6協議傳輸（報頭長度為40 byte），其傳輸效率僅有38%。另外，IP設計之初缺乏安全考慮，后續通過外掛補丁方式增加對安全的支持，如IPSec、TLS協議。這些安全協議需要在報文中增加安全頭以及安全協商流程，以IPSec為例[3]，AH頭為24 byte，ESP頭大于24 byte，使得傳輸效率進一步降低到22%以下；而安全協商需要額外的IKE控制報文，進一步增加了帶寬的消耗。

為此，IETF先后成立了6LoWPAN和6Lo工作組，提出一種可用于IPv6網絡中高效傳輸物聯網報文的報頭壓縮方法，但代價是設備需要付出額外的計算和存儲開銷來實現報文的壓縮與解壓縮。另外。即使基于該機制使用IPSec，整體傳輸效率依然很低，約30%。

因此，本文提出一種輕量可信的物聯網通信協議，是網絡5.0產業和技術創新聯盟協議與接口組的主要研究方向，避免應用層網關的部署，降低物聯網設備的計算與存儲開銷，保障端到端通信安全。

2 輕量可信協議設計

為滿足物聯網設備的互聯需求與安全需求，同時盡可能降低其部署開銷，本文提出一種輕量可信的通信協議。該協議的關鍵技術包括靈活輕量的報文設計與網絡安全可信機制兩個方面。

2.1 靈活輕量的報文設計

在未來網絡中，除了傳統的主機以外，物聯設備、內容資源、虛擬化服務、人都可以作為未來網絡的通信實體。另一方面，以物聯設備為代表的資源受限設備通信載荷通常較小，而局域網內通信時過長的地址又會導致報頭開銷過大，增加不必要的傳輸能耗，需要盡可能壓縮域內通信地址。因此，本文提出靈活變長地址，打破傳統IP報文長度與字段均固定的束縛，實現按需縮短或者擴展地址空間，滿足以物聯網通信為代表的短地址通信需求。可變長的編址方式使得網絡設備可以按需采用不同的地址長度。網絡中的路由器可以支持任意長度地址的路由查詢操作，無須引入協議轉換網關等設備，從而避免額外開銷及網絡可擴展性問題。

在物聯網域內，不同通信實體可以通過短地址直接通信，滿足設備資源或功耗需求；物聯網終端訪問互聯網時，可進行無狀態的長短地址轉換，避免協議轉換過程帶來的操作開銷和網絡可擴展性問題。

2.2 網絡安全可信的機制

內生安全可信網絡[4]突破了傳統以終端為核心的“外掛式”被動防御體系，采用以網絡為核心的主動內生安全信任的設計理念，構建確定性的內生安全可信網絡，滿足未來互聯網的網絡行為可預期、強管理、端到端極度差異化的安全需求，為垂直行業進行安全賦能。以工業企業為例，在購置了大量的終端設備之后，通常需要對其購置的設備進行統一管理，以便設備在接入客戶網絡時能夠被正確識別，并且能與其他設備互聯互通。但是，工業園區IoT終端數量大，安全部署困難，需人工大量參與。因此，本文為工業互聯網海量異構的IoT設備提供了一種低成本、低開銷的輕量級內生安全機制，實現新設備的自動化安全入網。

在輕量級內生安全機制中，內生安全是在IP層直接使能的基礎安全機制，實現隨路驗證。其中，隨路驗證技術是智能門鎖設備基于ID內嵌對稱密鑰技術，在發送數據報文同時攜帶驗證信息，驗證點逐包驗證其合法性，降低因安全需求帶來的信令開銷及報文開銷，相對于基于公鑰以及復雜的安全機制，這種方式可以降低功耗，降低資源占用。

2.3 輕量可信協議的通信流程

以圖1拓撲架構為例，IoT終端通過AP、接入設備、匯聚設備、核心設備以IPv4互聯網訪問IoT服務器。

2.3.1 環境配置

當IoT終端初次入網上電時，其內置出廠配置，包含初始設備身份信息IDinit及密鑰IDKinit，是獲取入網許可的重要憑證。IoT終端通過入網許可后，便可獲得園區內唯一的身份信息、用于隨路驗證的密鑰DVK以及KeyID信息。IoT終端每次開機時，均需要通過認證過程，驗證設備的身份信息，從而獲得網絡的訪問權限。

一旦通過認證后，IoT終端將發起短地址分配，從當前接入的AP（含插卡）獲得可用于后續通信的短地址。

2.3.2 上行報文通信流程

IoT終端A已獲得由AP1分配的短地址2（1 byte），對應外網的完整地址為1.2.1.2（4 byte）。此時IoT終端A向IoT服務器發起上行通信流程如圖2所示。

圖1 拓撲架構

步驟1 IoT終端A發出輕量可信報文1，報文的目的地址是IoT服務器，源地址是本機的短地址2，同時攜帶序列號SEQ、驗證碼AuthCode與密鑰編碼KeyID。其中，驗證碼AuthCode通過隨路驗證密鑰DVK和對應的報文信息計算獲得。

圖2 輕量可信協議的上行通信流程

圖3 輕量可信協議下行通信流程

步驟2 AP1收到輕量可信報文報文1后，基于報文攜帶的短地址和SEQ，查詢DevID表做防重放檢查（僅在網絡邊界設備執行）與限流，然后基于長短地址變換將源地址改寫為1.2.1.2（增加地址前綴），同時在報頭中插入DevID字段，保留SEQ、AuthCode和KeyID字段，最終封裝成可信報文2。

步驟3 AP1默認上行接口轉發輕量可信報文2。

步驟4 接入設備同樣默認上行接口轉發輕量可信報文2。

步驟5 匯聚設備收到輕量可信報文2后，進行隨路驗證，方法參見下行報文通信流程。

步驟6 通過驗證后，匯聚設備根據映射表獲得源地址（1.2.1.2）對應的IPv4地址（10.5.5.198），封裝IPv4報文并送往IoT服務器。

2.3.3 下行報文通信流程

在當前場景中，IoT終端A已獲得由AP1分配的短地址2，對應完整地址為1.2.1.2。此時IoT服務器向IoT終端A發送下行報文的通信流程如圖3所示。

步驟1 由IoT服務器主動發送IPv4報文，報文的目的地址是IoT終端A的IPv4地址10.5.5.198。

步驟2 匯聚設備收到IPv4報文后，根據地址映射表將目的地址（10.5.5.198）轉換為完整輕量可信地址1.2.1.2，然后根據轉發規則獲得接口信息，上送CPU。

步驟3 匯聚設備根據KeyID查找MSK管理表得到對應的MSK，通過MSK和DevID派生隨路驗證密鑰DVK后生成AuthCode，同時在報文中插入SEQ字段（取值為系統時間戳），然后根據出接口信息轉發封裝后的輕量可信報文1。

步驟4 接入設備根據轉發規則，繼續轉發輕量可信報文1至AP1。

步驟5 AP1收到輕量可信報文1后，根據轉發規則獲得接口信息，然后為目的地址（1.2.1.2）去除AP1的地址前綴（1.2.1）形成短地址2，封裝成輕量可信報文2并轉發報文至IoT終端A。

步驟6 IoT終端A收到報文后，需要先進行防重放檢查與安全校驗（僅在終端執行），檢查通過后再做進一步解析。

2.3.4 隨路驗證流程

（1）密鑰派生機制

基于主密鑰MSK派生終端隨路驗證密鑰DVK，如圖4所示。主密鑰MSK由權威機構維護，并下發到驗證點即匯聚設備，終端設備在入網時獲取隨路驗證密鑰DVK和KeyID信息。KeyID用于指示生成DVK對應的MSK。此外，支持周期性更新主密鑰MSK以及設備隨路驗證密鑰DVK，防止長期使用單一密鑰，導致密鑰泄露。

圖4 密鑰派生機制

（2）驗證碼的生成和驗證

終端根據圖5左側方法生成驗證碼AuthCode，匯聚設備根據右側方法生成AuthCode’。

其中，sID為終端ID，sLoc為終端短地址。

圖5 驗證碼生成和驗證機制

匯聚根據報文的KeyID找到對應的MSK，再以ID為輸入派生出終端對應的DVK，之后使用與終端一樣的方法生成驗證碼AuthCode’，需要注意的是sLoc為短地址，需要從報文中的終端長地址讀取最后一級地址值（短地址）后再進行計算，然后通過AuthCode’驗證報文中的AuthCode。

（3）防重放機制

終端設備和AP在認證過程中得到防重放計數器SEQ初始值，終端發包時，報文攜帶SEQ值，每發一個報文SEQ值加一，AP維護接收窗口[SEQMAX，SEQMAX+ SEQ_WINDOW_SIZE]，依據該報文SEQ值是否在接收窗口內來判斷其合法性。其中，SEQMAX為已收到報文的SEQ_T最大值，SEQ_WINDOW_SIZE為接收窗口大小，這兩個參數可以通過命令配置。

3 原型系統搭建

為驗證輕量可信協議的可行性以及靈活輕量與安全可信的特性，本文基于未來網絡試驗設施，搭建以智能門鎖為典型應用的物聯網原型測試場景。

圖6 基于未來網絡試驗設施的智能門鎖應用場景

3.1 基于未來網絡試驗設施的智能門鎖應用場景

未來網絡實驗設施國家重大科技基礎設施（CENI）是我國在信息通信領域的重大科技基礎設施。深圳分系統作為CENI大科學裝置的一部分，建設覆蓋北京、深圳、上海、珠海、南京、成都、重慶、西安8個城市的8個骨干網絡節點和20個邊緣網絡。如圖6所示，為驗證和測試本文提出的輕量可信協議，依托CENI試驗設施深圳分系統，在北京和深圳兩地搭建以智能門鎖為測試場景的物聯網原型系統。

智能門鎖依次通過AP、接入設備和匯聚設備連接到未來網絡試驗設施，作為其典型的物聯網邊緣場景。門鎖終端的操作和狀態將主動上報智能門鎖服務器。該系統支持手機遠程開鎖，由智能門鎖服務器向門鎖終端直接發送開鎖命令報文，實現門鎖的開、關等動作。

基于靈活變長的地址設計，智能門鎖服務器發送控制報文的目的地址可直接填寫門鎖的長地址，與門鎖建立端到端的連接。當報文進入邊緣網絡后，通過匯聚和接入設備轉發到AP。此時，AP嵌入相應的安全信息、并根據長短地址轉換規則，將報文的長地址轉換為短地址后再發送給門鎖，降低門鎖的通信開銷。當門鎖終端收到報文時，可依據報文內嵌的安全檢查信息，做輕量級的安全校驗和防重放，提升通信過程的安全保障能力。

3.2 智能門鎖測試環境

在未來網絡試驗設施的邊緣搭建智能門鎖原型系統如圖7所示。

圖7 智能門鎖原型系統

其中，智能門鎖終端采用Telink TLSR 8258型號芯片，其擁有512 KB Flash及32 KB RAM，其上運行本文設計的輕量可信協議棧，可使用短地址直接與門鎖服務器通信。AP的通信模塊同樣采用Telink TLSR 8258型號芯片，同時AP可實現報頭的網絡層地址長短轉換。接入和匯聚設備采用華為CX600。門鎖服務器架設在公有云上，可通過互聯網遠程下發控制指令到門鎖終端上。

4 測試結果及分析

如圖8所示，通過現場測試，可以使用手機App查看門鎖狀態并遠程控制門鎖的開啟，證明了輕量可信協議的部署可行性。

圖8 手機App遠程控制智能門鎖開啟

為進一步驗證輕量可信協議棧的優勢，本文分別從靈活輕量和安全可信兩方面分析測試數據，論證其特性。

4.1 靈活輕量

在原型系統測試過程中，門鎖服務器下發的控制指令的目的地址為門鎖終端的4 byte長地址，在報文達到AP后，經過網絡層的長短地址轉換后，門鎖終端實際收到的報文目的地址僅為1 byte的短地址，驗證了本文提出的輕量可信協議棧支持靈活可變的報文傳輸，可以更好地應對不同應用場景下的通信需求。

傳統協議棧與輕量可信協議棧開銷的對比見表1。可以發現，在存儲開銷方面，傳統協議棧需要占用180 KB的Flash，而輕量可信協議棧僅需112 KB，節省約40%的存儲開銷。同時，傳統協議棧由于報頭較長（平均33 byte），而門鎖終端通信報文的有效載荷平均也為33 byte，實際傳輸效率僅為50%，而輕量可信協議采用靈活報文設計后，壓縮報頭開銷至平均20 byte，可將該傳輸效率提升至62%，總體傳輸效率提升了24%。

表1 傳統協議棧與輕量可信協議棧對比

因此，采用輕量可信協議，可以顯著降低物聯網設備的通信開銷，提升其通信數據的傳輸效率。

4.2 安全可信

原型系統關于安全可信功能的測試，首先在門鎖中預置正確的安全信息，包括設備ID、隨路驗證密鑰、防重返計數器初始值，在手機App能夠查看智能家居網關下有門鎖接入，能夠查看門鎖的狀態，遠程控制開鎖和關鎖。

而當門鎖中預置的安全信息錯誤，或未預置安全信息時，門鎖無法加入網絡，App無法看到該門鎖，網關側日志能夠看到安全驗證錯誤的提示。

根據抓包分析可以看到，輕量可信協議每個報文中的安全字段為13 byte，包括基于對稱密鑰安全機制生成的驗證碼（4 byte）、防重放計數器（4 byte）。而門鎖接入認證只需兩個控制報文，分別為44 byte和68 byte。輕量可信協議與IPSec的比較見表2，輕量可信協議報文安全開銷遠小于IPSec，使用對稱密鑰機制大大降低了設備的計算開銷，適用于資源受限物聯網設備。

表2 輕量可信協議棧與IPSec對比

5 結束語

面對未來海量物聯終端的網絡互聯需求，本文提出了一種輕量可信的通信協議，通過靈活輕量的報文設計，降低物聯網低功耗設備的通信開銷，提高數據傳輸效率。同時，針對常見的網絡安全威脅，引入輕量級安全可信機制，保障物聯網通信的端到端安全。本文基于未來網絡試驗設施搭建了原型系統，驗證了輕量可信協議的可行性，并通過分析測試數據，論證了該協議具備靈活輕量與安全可信的特性，滿足物聯網設備低開銷、高安全的通信需求。

[1] JIA Y, TROSSEN D, IANNONE L, et al. Challenging scenarios and problems in Internet addressing[EB]. 2021.

[2] CHATTERJEE A. Internet of things (IoT)[EB]. 2017.

[3] RFC. Security architecture for the Internet protocol[R]. 2005.

[4] 江偉玉, 劉冰洋, 王闖. 內生安全網絡架構[J]. 電信科學, 2019, 35(9): 20-28.

JIANG W Y, LIU B Y, WANG C. Network architecture with intrinsic security[J]. Telecommunications Science, 2019, 35(9): 20-28.

A lightweight and trusted communication protocol for IoT

MA Junfeng1, LIU Zhiruo1, LI Guanwen2, YANG Fei2, DANG Juanna2

1. China Academy of Information and Communications Technology, Beijing 100191, China 2. Huawei Technologies Co., Ltd., Beijing 100094, China

With the era of the internet of things (IoT), the protocol stack conversion scheme based on the application-layer’s gateway has problems such as poor performance and end to end security that can’t be guaranteed. A lightweight and trusted IoT IP communication protocol was proposed, which was the main research direction of Protocol and Interface Group in Network 5.0 Industry and Technology Innovation Alliance, the deployment costs of protocol conversion gateways was decreased, the computing and storage overhead of IoT devices was reduced, and end to end communication security was ensured.

internet of things, lightweight, security

TP393

A

10.11959/j.issn.1000?0801.2021229

馬軍鋒（1975? ），男，中國信息通信研究院技術與標準研究所副總工程師、高級工程師，主要研究方向為IP網絡架構及路由技術、下一代互聯網、SDN/NFV、邊緣計算、未來網絡等。

劉芷若（1992? ），女，中國信息通信研究院技術與標準研究所工程師，主要研究方向為SDN/NFV、邊緣計算、網絡智能化、未來網絡等。

李觀文（1992? ），男，華為技術有限公司高級工程師，主要研究方向為未來網絡架構與路由、天地一體化網絡等。

楊飛（1975? ），男，華為技術有限公司主任工程師，主要研究方向為網絡技術。

黨娟娜（1982? ），女，華為技術有限公司主任工程師，主要研究方向為下一代IP、內生安全的應用等。

2021?08?30；

2021?10?21