身份認證在企業智能物聯場景中的應用

劉廷峰 李江鑫

(四川中電啟明星信息技術有限公司 四川成都 610041)

隨著通信技術、云計算、人工智能等技術的不斷發展，物聯網相關技術逐步成熟與應用場景的落地，并在以5G技術為代表的新架構的支撐下，物聯網在數字經濟規模效應逐步顯現。《物聯網終端安全白皮書（2019）》顯示，智能交通、智慧醫療等行業的普及應用全面推進物聯網終端呈指數級增長，截至2019 年，全球物聯網設備連接數量達到110 億個，且據全球移動通信系統協會（Global System for Mobile Communications Association，GSMA）預測至2025 年將達到250 億個，較2018 年實現年復合增長率15.71%。目前，越來越多的行業及應用將AI與智能物聯設備結合到一起，A智能物聯設備已經成為各大傳統行業智能化升級的最佳通道，也是未來物聯網發展的重要方向。例如：在消費級市場三大常用場景（家、路、辦公）中，圍繞消費者場景A 智能物聯設備生態正被不斷構建，并催生了華為鴻蒙、海爾智能家居、小米智能物聯設備、涂鴉等行業內領先的智能物聯業務或公司。

智能設備的硬件和組件成本不斷降低，為傳統設備增加聯網能力和數據處理能力也更容易。在萬物智聯的場景中，設備與設備間將互聯互通，進行信息交互。在這個過程中，系統及物聯網會不斷收集和分析數據，因此保障物聯場景中的人、設備、系統的安全性及可靠性就變得尤為關鍵，一旦系統遭受入侵或者信息泄露，隨時可能危及企業或個人資產安全。該文主要探討在大型企業相對封閉的環境中，如何利用身份認證技術幫助企業建立安全可靠、簡單易用的智能物聯場景應用。

1 應用場景

在企業辦公場景，越來越多的智能物聯硬件進入企業辦公區，例如智能考勤、通行、車輛、環境監測、無紙化辦公設備等。在大型企業或者集團型企業中，這類設備隨處可見，例如：帶人臉識別、二維碼打卡、定位一體的智能考勤終端，或是可智能聯網的云打印的打印設備、生產線上的手持智能終端等。這類智能物聯設備在企業生命周期中，可能需要經過網絡層面管理者配置安全接入、業務系統的管理員進行權限控制、用戶所在組的管理者進行日常維護、個人用戶進行訪問與使用等，其中的每一個環節，都需要對參與的人、設備進行身份認證，應用場景敘述具體如下。

（1）設備接入場景：基礎網絡層的管理者，智能物聯設備完成基本認證開通管理場景，考慮到物聯網設備往往分布在組織的各個單元，智能物聯設備管理員角色應通過身份認證系統統一認證。

（2）系統配置場景：應用系統層的管理者，對智能物聯設備進行網絡接入和系統訪問權限的配置單獨規劃的獨立角色，方便靈活適應具體業務場景。

（3）業務管理場景，各業務部門的管理者，需要完成物聯網設備的日常維護管理，此類管理業務通常是較為復雜的業務操作，例如：對考勤設備進行數據導入導出、設置該部門考勤規則等。

（4）員工使用場景，即日常實際使用設備開展相關業務的員工，比如：普通員工刷臉完成考勤、通過手機端連接打印機完成打印等。

在傳統的智能設備管理與使用生命周期中，設備的接入、分配、使用、運維等各個階段都是分割、獨立的，實體之間缺少信息交互，關鍵的身份信息沒有打通，無法統一對設備、對管理者、對使用者的身份進行認證，導致設備接入使用非常復雜，使用門檻較高。該方案將介紹基于身份認證技術，實現更貼近消費級智能硬件使用體驗的解決方案。

2 系統架構思路

通過設計一種面向企業用戶、信息系統、智能物聯設備三方互聯互信的身份認證與互聯方案，來改變在企業中人與設備的交互方式，提升身份認證安全性與便捷性。架構主要體現設計思路與頂層邏輯關系，其主要包含3個部分，分別是身份認證中心、智能物聯設備、用戶手機（系統應用）組成，具體情況見圖1。

圖1 身份認證中心示意圖

2.1 身份認證中心

身份認證中心包含統一用戶身份認證中心和物聯設備認證服務中心這兩個主要模塊。

2.1.1 統一用戶身份認證中心

統一用戶身份認證中心一般由企業的統一身份認證系統或者是IAM 系統承擔，也可以全新開發。它主要完成對用戶的認證。統一身份認證服務系統的一個基本應用模式是統一認證模式，它是以統一身份認證服務為核心的服務使用模式。用戶登錄統一身份認證服務后，即可使用所有支持統一身份認證服務的管理應用系統。

2.1.2 物聯設備認證服務中心

物聯設備認證服務中心主要完成對接入設備的身份合法性進行鑒別。企業可以使用在不同協議層上的身份認證技術，比如鏈路層的802.1x、傳輸層的TLS、應用層的OAuth2.0 等。目前市面上有多種商業實現方案，一種比較典型的是IFAA 的物聯設備認證方案（見圖2），其中的關鍵是利用設備終端的安全能力（如TEE、安全沙箱）、數字簽名與加密技術、移動技術等實現設備的認證。物聯網設備的認證服務通常可以配合企業的物聯網管理平臺進行部署與實現，并以獨立服務的形式面向所有需要認證的設備提供認證服務[1]。

圖2 IFAA物聯設備認證鏈路

2.2 智能物聯設備

即在該場景中需要接入企業網絡環境，為企業特定場景提供功能和服務的設備。因設備使用場景千差萬別，設備間計算能力、接入方式、交互方式必然有所差別，部分設備的連接上線需要借助企業的物聯網平臺，設備與服務端的驗證過程中，可以采用國密算法，通過兩次簽名驗證完[2]。

2.3 用戶手機（系統應用）

用戶手機為企業實現員工安全、便捷、高效地接入、使用、維護智能物聯設備提供了可能性。

3 系統demo設計

在該方案的架構設計下，要完整地實現一套系統需要非常多的資源，為了便于簡明扼要地展示方案的系統方法，在該方案中對整個系統進行簡化，并以支持藍牙、Wi-Fi、掃碼、指紋等接口的智能考勤終端作為場景進行demo案例的實現，在移動端基于微信小程序實現各類用戶的需求，具體思路如下。

（1）將智能物聯設備接入管理員和配置管理員融合為一個角色，即啟動設備管理小程序，指紋認證后直接掃描二維碼建立藍牙近場通信，通過設備側SDK直接配置設備的Wi-Fi 訪問點和密碼，讓設備快速接入網絡，在設備接入網絡后，通過小程序界面配置設備名稱型號，并可以在后臺看到對應更新信息，在設備管理小程序內也可以訪問對應設備的管理界面。

（2）服務端智能物聯設備身份認證服務與設備管理平臺融合為一個后臺供demo，包括設備的信息查詢等基本功能，底層API 完整實現了注冊激活狀態查詢設備操作等功能。

（3）智能物聯設備側通過SDK[3]，實現藍牙近場通信和企業網絡下與小程序及后臺的互操作。

（4）智能物聯設備側的密碼學認證體系由于采用本地的數字證書與加密簽名機制[4-5]，主要用于驗證小程序-服務器-物聯網設備的完整操作過程及提供用戶側的基本體驗。

3.1 用戶側邏輯設計

在用戶側，為用戶實現的demo程序是借助了微信小程序，用戶無需安裝App，可降低使用門檻與推廣成本、研發成本。企業員工通過微信掃描設備上的二維碼，會將用戶引導至demo 小程序，讓用戶在企業的身份認證完成驗證。驗證通過后，可以通過藍牙與設備進行連接。管理員藍牙連接完成后，可以為設備配置無線網絡、有線網絡，所有操作都在手機上完成。同時，管理員可以通過小程序與服務器端進行交互，獲取更多的設備信息與權限。與設備的交互主要過程如下。

（1）連接藍牙配置Wi-Fi網絡：掃描設備上的二維碼，進行藍牙連接；藍牙連接完成，配置Wi-Fi 網絡。這個過程中主要進行掃碼藍牙握手、獲取Wi-Fi列表、連接Wi-Fi等。

（2）設備初始化（注冊）、設備激活：通過第一步設備入網后，設備端的程序會自動向服務端請求，將設備自身的基本信息上傳，請求設備狀態激活；這個過程主要進行獲取設備ID、獲取設備狀態、設備注冊/激活。

另外，無論是管理員用戶還是普通用戶，在完成服務端—設備—人的三方認證后，都可以從服務端再獲取與自身權限匹配的設備列表。用戶從設備列表選擇設備后，則進行身份認證，完成之后返回令牌，并在本地生成二維碼，可以用于后續設備對人的身份識別。

3.2 服務端接口設計

服務端是作為協調用戶移動端、智能物聯設備端進行三方互聯、完成身份認證的關鍵，在服務側需要實現用戶與設備交互的每一個關鍵過程的后端接口能力。包括如下：（1）設備注冊；（2）設備激活；（3）設備狀態查詢；（4）已授權的設備列表查詢（管理員）；（5）已授權的設備列表查詢（用戶）；（6）設備開鎖令牌；（7）設備令牌校驗。

3.3 設備側接口設計

設備側的底層通信的功能實現主要是基于SDK開發相應的認證代理功能來實現，并且在業務層面會定義好完成的業務協議與設備請求功能。

3.3.1 業務數據協議定義

主要是定義交互數據的規范格式，數據流采用定長包頭+變長包體的形式。

定長包頭數據結構如下，具體參數說明見表1。

表1 參數說明

變長包體：二進制流數據

3.3.2 設備請求

設備請求提供了一系列的設備與服務端、與移動端通過藍牙、網絡交互的接口，例如：（1）上報設備狀態接口，設備連上網絡成功或者失敗后應主動調網該接口；（2）上報設備Wi-Fi 信號列表接口，當設備收到調取設備探測到的Wi-Fi 信號列表推送后，應調用該接口上報Wi-Fi列表。

3.4 設備藍牙通信設計

該demo中用戶與設備交互頻繁地使用了藍牙，在設備端規定了藍牙BLE 設備需要先模擬成流(即stream，輸入輸出流)。流具有的特性有：（1）可以傳輸無限長度的數據；（2）雙工，讀寫可以并發，互不干擾。

顯然，藍牙BLE無法傳輸無限長的數據，為了實現這個目的，需要定義一個規范。藍牙設備需暴露兩個特征值（Characteristics）：Write特征值和Indication特征值。藍牙設備從Write 特征值接受數據，從Indication特征值發送數據，Indication特征值類型是bytes。把一個特征值一次傳輸的數據，稱為一幀（不同類型的特征值一次傳輸的數據長度是不一樣的）。

3.4.1 藍牙設備寫過程

（1）分幀。假設設備上有1K數據，要發給移動端。由于一個特征值長度有限（如20個字節），顯然需要分多次才能傳輸完成。1K數據，要分成1 024字節/20字節=51個幀。剩下的4個字節不足一幀（20個字節），需補齊一幀并對剩下的16個字節賦0。總共是52幀。（2）發送第一個幀。把第一個幀的內容放入特征值里面。然后通知用戶手機端應用讀取數據，通知有兩種方式，Indication 和notify，這里使用Indication 方式，即帶響應的通知。當通知完成的時候，可以認為手機已經讀完數據，這就完成了發送第一個幀。（3）按照2的步驟，依次發送剩下的幀[6]。

3.4.2 藍牙設備讀過程

當藍牙設備發現讀特征值收到數據的時候，就接收數據，并追加到設備的buf里。

4 結語

在企業的日常經營活動中，智能物聯設備的使用已非常普遍，包括智能門鎖、智能攝像頭、終端考勤設備、會議門禁等設備都存在很強的身份認證安全需求，涉及用戶在綁定設備、使用設備和解綁設備等各個生命周期的環節里。該文中的設計思路，融合了企業的統一身份認證系統、物聯網管理平臺等既有基礎設施，將人、設備、系統的身份打通。通過身份認證在企業智能物聯場景中的應用，改變傳統的設備入網、分配、使用的交付模式與管理模式，為用戶提供了安全、便捷、易用的設備接入、維護、管理、使用的應用思路。