一種物聯(lián)網(wǎng)環(huán)境下第三方協(xié)助的用戶認證策略

王志輝　尹惠敏　趙敏

摘要：針對傳統(tǒng)Internet安全策略，在實現(xiàn)兔場養(yǎng)殖環(huán)境監(jiān)控系統(tǒng)網(wǎng)絡(luò)層安全通信設(shè)計方案時，需要較高的單片機系統(tǒng)開銷、軟件開發(fā)成本和系統(tǒng)維護成本的情況。文章提出7一種借助系統(tǒng)內(nèi)第三方的非對稱的雙向安全認證、密鑰協(xié)商、加密通信的改進方案。實驗證明該設(shè)計方案可在不增加網(wǎng)關(guān)單片計算能力和系統(tǒng)建設(shè)成本的情況下，實現(xiàn)系統(tǒng)中心服務(wù)器協(xié)助物聯(lián)網(wǎng)網(wǎng)關(guān)完成與客戶端APP的雙向認證、密鑰協(xié)商工作的設(shè)計要求。

關(guān)鍵詞：物聯(lián)網(wǎng) 安全 用戶認證 密鑰協(xié)商

引言

基于物聯(lián)網(wǎng)技術(shù)的設(shè)計兔場養(yǎng)殖環(huán)境監(jiān)控系統(tǒng)，通過物聯(lián)網(wǎng)網(wǎng)關(guān)將兔舍內(nèi)部大量的傳感器和環(huán)境干預(yù)控制器等設(shè)備聯(lián)入因特網(wǎng)。實現(xiàn)了兔舍環(huán)境參數(shù)如溫度，濕度，有害氣體濃度等的自動采集，并上報至系統(tǒng)服務(wù)器存儲服務(wù)器自動分析兔舍內(nèi)部環(huán)境參數(shù)的變化趨勢，對于可能影響家兔正常生長的不利變化，如溫度高于30℃的情況，向用戶推送預(yù)警消息;用戶通過手機APP或web頁面隨時隨地，接收系統(tǒng)預(yù)警消息，并遠程干預(yù)兔舍內(nèi)部環(huán)境。如打開降溫風機，降低兔舍內(nèi)部溫度，將溫度控制在家兔適宜20 30℃之間，或打開換氣風機，降低兔舍內(nèi)氨氣的濃度。從而減少不利的環(huán)境因素，對肉兔正常生長的影響。

圖l為兔場養(yǎng)殖環(huán)境監(jiān)控系統(tǒng)的架構(gòu)圖，分為三層。分別是由各型傳感器和控制器構(gòu)成感知層;由系統(tǒng)預(yù)警服務(wù)器和客戶端構(gòu)成應(yīng)用層和由物聯(lián)網(wǎng)網(wǎng)關(guān)、系統(tǒng)服務(wù)器、客戶終端的網(wǎng)絡(luò)傳輸部分構(gòu)成的網(wǎng)絡(luò)層。各層緊密協(xié)作完成系統(tǒng)設(shè)計目標。

物聯(lián)網(wǎng)網(wǎng)關(guān)核心業(yè)務(wù)對硬件計算能力的需求較低，小型嵌入式系統(tǒng)完全可以滿足需求。但這就使得構(gòu)成系統(tǒng)網(wǎng)絡(luò)層的客戶端APP、系統(tǒng)服務(wù)器、物聯(lián)網(wǎng)網(wǎng)關(guān)，三個主要硬件設(shè)備之間，形成了計算能力的不對等特性。采用傳統(tǒng)的Internet系統(tǒng)認證略，如vpn，ssl等會增加網(wǎng)關(guān)的業(yè)務(wù)負載，需要提高網(wǎng)關(guān)cpu的計算能力、內(nèi)存空間以及網(wǎng)關(guān)應(yīng)用程序的代碼量，開發(fā)效率和維護成本等。

1非對稱的系統(tǒng)用認證策略

鑒于傳統(tǒng)認證策略在解決兔舍環(huán)境監(jiān)控系統(tǒng)中網(wǎng)關(guān)用戶認證問題時，表現(xiàn)出的不足，本文提出了關(guān)借助系統(tǒng)服務(wù)器的完成用戶認證的改進策略。其核心思想是，首先系統(tǒng)服務(wù)器分別對系統(tǒng)用戶和網(wǎng)關(guān)完成認證工作;在用戶需要與網(wǎng)關(guān)建立鏈接時，協(xié)助雙方建立鏈接，并分擔網(wǎng)關(guān)部分的計算任務(wù)，輔助網(wǎng)關(guān)完成用戶認證工作，從而滿足兔場養(yǎng)殖環(huán)境監(jiān)控系統(tǒng)的整體設(shè)計需求。

2網(wǎng)關(guān)與系統(tǒng)服務(wù)器的身份認證

網(wǎng)關(guān)進入正常工作狀態(tài)后，客戶端APP可以直接與網(wǎng)關(guān)建立通信鏈接，并發(fā)送當前數(shù)據(jù)查詢命令和環(huán)境干預(yù)命令。此時命令信息的安全相當于系統(tǒng)的安全。結(jié)合網(wǎng)關(guān)的計算機能力和自動化程度的限制，本文系統(tǒng)設(shè)計了在系統(tǒng)服務(wù)器輔助下的用戶與網(wǎng)關(guān)的認證過程，具體如T。

（1）客戶端APP向服務(wù)器提出，鏈接設(shè)備請求。

（2）系統(tǒng)服務(wù)器生成客戶端網(wǎng)關(guān)認證信息，并通過已有通道發(fā)送給客戶端APP和對應(yīng)物聯(lián)網(wǎng)網(wǎng)關(guān)。

（3）客戶端APP接收到用戶網(wǎng)關(guān)認證信息后，使用信息秘鑰加密用戶認證信息連接指定IP網(wǎng)關(guān)。

（4）網(wǎng)關(guān)驗證用戶認證信息，一致，返回成功，并轉(zhuǎn)入下一步。

（5）客戶端使用加密消息向網(wǎng)關(guān)發(fā)送指令。

（6）網(wǎng)關(guān)解密，驗證指令的合法性。成功則執(zhí)行指令，返回結(jié)果。失敗丟棄指令。

3實驗

依據(jù)圖一所示，兔場養(yǎng)殖環(huán)境監(jiān)控系統(tǒng)系統(tǒng)架構(gòu)圖，構(gòu)建本文系統(tǒng)的實驗測試平臺。系統(tǒng)服務(wù)器使用固定IP的IOMP光纖專線接人Internet。以Android 4.2系統(tǒng)的手機和windowsPC作為客戶端平臺。部署三套物聯(lián)網(wǎng)網(wǎng)關(guān)及系統(tǒng)感知層子系統(tǒng)于宣化永利肉兔養(yǎng)殖場，懷安國強兔場及北方學(xué)院肉兔養(yǎng)殖實驗室?？蛻舳撕途W(wǎng)關(guān)據(jù)采用ADSL方式接入Internet，位于NAT設(shè)備之后，IP地址動態(tài)可變。

圖2為系統(tǒng)服務(wù)器輔助網(wǎng)關(guān)進行客戶認證的過程。第一幅圖為客戶端APP，授權(quán)直接鏈接的網(wǎng)關(guān)列表;第二副，提示用戶無權(quán)查詢指定網(wǎng)關(guān)的當前數(shù)據(jù);第三副，為通過直連方式從指定網(wǎng)關(guān)查詢到的當前數(shù)據(jù)信息;第四副，為用戶開啟換氣風操作后，系統(tǒng)提示，風機開啟。第五幅，為網(wǎng)關(guān)丟棄非法請求后，客戶端APP操作超時提示。

4結(jié)論

本文針對兔場養(yǎng)殖環(huán)境監(jiān)控系統(tǒng)的物聯(lián)網(wǎng)網(wǎng)關(guān)，受計算能力和成本的制約，不適用傳統(tǒng)Internet認證策略的情況。首先分析了兔場養(yǎng)殖環(huán)境監(jiān)控系統(tǒng)的網(wǎng)絡(luò)層信息的特點;然后提出了利用Android手機App輔助進行網(wǎng)關(guān)認證，以及利用系統(tǒng)服務(wù)器輔助網(wǎng)關(guān)進行遠程客戶認證的策略。最后構(gòu)建了實驗環(huán)境，驗證了該認證方案在具有較低計算能力的硬件平臺上實現(xiàn)系統(tǒng)物聯(lián)網(wǎng)網(wǎng)關(guān)的設(shè)計指標是可行的。

參考文獻

[l]Kopetz， Hermann. ”Internet of things.” Real-time svstems.Springer US， 2011. 307-323.

[2lMcNitt， JanLes I.，et al. Rabbit production. No. Ed.9.CABI，2013，

[3]Ye， Jingzhong， Yihuan Wang， and Norman Long. ”Farmerinitiativesand livelihood diversification： From the collective to aniarket econonly in rural China.”Journal of Agr？rian Clrange 9.2（2009）： 175-203.