陶焙元

摘 要：關于萬物互聯(lián)這一宏大的目標，如何架構及通過何種途徑實現(xiàn)，業(yè)界還沒有達成共識，特別是關于在萬物互聯(lián)的環(huán)境下如何保證信息安全，保障參與互聯(lián)的各方隱私權，這些都制約了中國在物聯(lián)網(wǎng)方面取得更大的發(fā)展。文章根據(jù)筆者以前參與西歐智能計量網(wǎng)項目時的體會和感悟，提出一些設想和思路，拋磚引玉，供各界專家進一步研究中國的物聯(lián)網(wǎng)發(fā)展大計。

關鍵詞：物聯(lián)網(wǎng)；萬物互聯(lián)；架構

1 物聯(lián)網(wǎng)交易主體

物聯(lián)網(wǎng)的交易主體通常是指萬物互聯(lián)的網(wǎng)絡中的一個有一定智能的個體，通常不是具體的人，但又經(jīng)常會與某一個具體的人或家庭、組織或與其某一個銀行賬戶（以后統(tǒng)稱賬戶@ACC#m）掛鉤甚至綁定。作為交易的主體，賬戶必須是明確的，有行為能力的，能夠對所發(fā)生的交易承擔責任，或得到了能夠承擔責任的一個賬戶的有效授權（可驗證可追溯）。這樣的一個賬戶，必須要有一個可與其他賬戶區(qū)分的ID，以及與這個ID對應的身份驗證信息或驗證途徑，以確認其身份的可靠性和作為交易主體的權限屬性。

1.1 交易主體的ID

在任何一個運行中的子網(wǎng)絡中，已經(jīng)實現(xiàn)了每個終端個體在網(wǎng)絡中的區(qū)分，但是并不徹底。這是由于傳統(tǒng)的互聯(lián)網(wǎng)應用中，終端其實在很多時刻并不是交易的主體，而只是交易的臨時代理，仍需要交易主體通過登錄等方式確認身份后參與網(wǎng)絡交易；或者終端只參與一些不需要承擔明確責任的交易過程（例如在瀏覽網(wǎng)站時發(fā)送網(wǎng)頁內容的服務器并不關注對方的真實身份），因此交易主體的確認并不是非常重要和即時。而在物聯(lián)網(wǎng)中，許多交易主體需要自主地響應其他主體發(fā)出的交易請求，并根據(jù)授權自動作出交易呼應。因此這些交易主體的身份的唯一性就格外重要起來。作為物聯(lián)網(wǎng)交易主體的ID唯一性，有以下特征和要求：（1）在交易涉及的物聯(lián)網(wǎng)范圍內（不論是否同類個體）唯一確認；（2）在交易主體的生命周期內不重復出現(xiàn)；（3）在交易主體的生命周期內終身不可篡改（不可抵賴）；（4）與身份驗證信息唯一綁定。

以上的這些特征和要求特別類同于居民身份證的管理，任何一個入物聯(lián)網(wǎng)的交易主體的ID要像對待一個新生兒一樣申報和管理起來，以后不管其生老病死這個身份證號始終是其不變的標志，與其一生的所作所為掛鉤。要達到這一標準，目前所實行的每個網(wǎng)絡自定義其個體的唯一標識ID顯然是不能夠滿足的。上述特征中其中第3條的要求在交易個體的產(chǎn)品設計中實現(xiàn)，在入網(wǎng)資格中驗證。第4條的要求詳見身份驗證章節(jié)討論，結論是整個物聯(lián)網(wǎng)所有交易個體要有統(tǒng)一標準的唯一標識。我們將這種物聯(lián)網(wǎng)所要求的跨越產(chǎn)品類別、地域、時間、應用領域的唯一性要求命名為“全域唯一（All Domain Unique）”，這種ID命名為“全域ID”（ADID），以區(qū)別于形形色色的唯一性ID標準。

1.2 ADID的管理

ADID的標準格式可以參照相關的國際標準，但其應用管理需要制定專門的物聯(lián)網(wǎng)應用準則來加以規(guī)范，并在企業(yè)中嚴格加以應用和管理。

1.3 ADID的擴展應用

在上述對交易個體的討論中，實際上個體不局限于智能器件，而是包括了人、組織、網(wǎng)絡應用（@APP#n）等，所以ADID的應用也要覆蓋上述內容。甚至交易的過程、內容、結果也具有和交易個體同樣的可追溯、唯一和不可抵賴等特性，也可以套用ADID準則來統(tǒng)一管理，更有利于物聯(lián)網(wǎng)交易信息的標準化管理。

2 物聯(lián)網(wǎng)交易的平臺和通道

這里的交易平臺不是各個@APP#n的平臺，而是特指為了實現(xiàn)萬物互聯(lián)而搭建的跨越各個APP應用，跨越不同通信技術和網(wǎng)絡的平臺架構。在此平臺上每時每刻有數(shù)以億計的分屬于數(shù)百萬不同@APP#n的交易個體@ACC#m在交互信息并達成交易。因此這是一個大架構的平臺，需要處理的是不同領域不同行業(yè)不同應用的各種各樣結構的數(shù)據(jù)，這在事實上不可操作。

一個可能的模型是：成立一個數(shù)據(jù)交換中心（Data Exchange Center，DEC）和地域性的分數(shù)據(jù)交換中心（Regional Data Exchange Center，RDEC），專職于各@APP#n之間的數(shù)據(jù)交換。DEC（包含RDEC，下同，除非文中意思指明需要區(qū)分）不同于傳統(tǒng)意義上的數(shù)據(jù)交換，它不接觸數(shù)據(jù)。DEC的職責是確認交易個體的身份和所屬的@APP#n1，驗證其發(fā)送的交易數(shù)據(jù)是符合格式標準的，及滿足其他傳送要求，并向指定的目標@APP#n2傳送經(jīng)專用應用接口程序&APPI（#n1，#n2）（后文介紹其生成和更新機制）轉換的數(shù)據(jù)包。@APP#n2根據(jù)接收到的數(shù)據(jù)包解析后的內容決定是否接受并處理此數(shù)據(jù)包，并回復相應信息或不回復。

3 交易的內容和格式

物聯(lián)網(wǎng)交易的數(shù)據(jù)交換格式和內容，與數(shù)據(jù)平臺的抉擇息息相關。根據(jù)上節(jié)的DEC架構，DEC不參與數(shù)據(jù)內容的處理，而只關注數(shù)據(jù)包的幀頭、包裝方式等，充當一個準確的物流員角色。因此在DEC層面上并不需要對數(shù)據(jù)交易的內容和格式進行具體規(guī)定，而只要規(guī)范在最外層的“物流信息”，為DEC這個宏大的平臺的工作機制減輕了壓力。

為保證數(shù)據(jù)交換平臺對數(shù)據(jù)的隔離，確保隱私數(shù)據(jù)不從平臺泄露，所有通過平臺的數(shù)據(jù)包均通過非對稱密鑰加密和簽名，以保證只有指定的收信人才可以打開數(shù)據(jù)包并確認發(fā)信人身份。這也更好地保證了DEC充當物流員的角色而不會越位。

4 交易的規(guī)則

DEC需要關心的是交易過程中所接收到的信息/命令的種類，及需要在DEC平臺或實際接收方作出的響應，因此對這些方面需要作出定義，以確保所有的@APP#n均以可預期的方式來執(zhí)行交易流程。DEC只能并且只有DEC能夠拆除物流包裝，并且可以在重要內容上加載DEC的簽名，確保了每個@APP#n收到的數(shù)據(jù)包是經(jīng)過DEC之手，堵住了合法網(wǎng)絡之外來源夾帶不法數(shù)據(jù)的途徑。

每個@APP#n根據(jù)DEC的總體要求制定其自身的規(guī)約，并制定其入網(wǎng)器件的技術規(guī)范要求，并檢驗確認其入網(wǎng)的所有交易個體均按照此規(guī)約要求進行信息和命令的交互。當然這遠遠不夠，每個@APP#n1還需要保證其成員能夠與其他@APP#mi（i=1，2，3... 為@APP#n1選擇可以交互的其他子網(wǎng)絡應用）中的成員進行交互，因此要開發(fā)應用界面接口程序&APPI（#n1，#mi）（i=1，2，3...），并經(jīng)過DEC認可的專業(yè)機構按規(guī)定標準方式調試驗證后遞交DEC應用接口程序庫激活。@APP#mi（i=1，2，3...）與@APP#n1在DEC互聯(lián)互通表里標識成可以互聯(lián)的應用。為了保證對已發(fā)布的界面接口程序的支持，所有的@APP#n在更新其應用程序時必須保證對先前的界面接口的支持（至少是最近版本的支持），以讓其他@APP#mi廠家有足夠時間來更新其接口程序。endprint

物聯(lián)網(wǎng)新增一個應用@APP#n，必須有一個嚴格的驗證兼容性、互操作性和安全性的流程，這是保證物聯(lián)網(wǎng)萬里長城安全無虞的基礎，也是整個體系得以實現(xiàn)的工作量最大的一環(huán)。

與DEC平臺的數(shù)據(jù)通信交互操作性能測試，由于涉及數(shù)據(jù)加密過程，無法用實際系統(tǒng)來調試和驗證，需要通過仿真終端和仿真網(wǎng)絡幫助相應開發(fā)商進行循序漸進的開發(fā)測試，在完成下面所述的功能測試后，再進入模擬實驗室，與實際的網(wǎng)絡器件和應用進行類真實環(huán)境的運行測試（但所有的身份都是實驗室專用的，包括以后提到的身份驗證環(huán)節(jié)）。通過嚴格測試的產(chǎn)品才準許進入并網(wǎng)測試階段。

考慮到物聯(lián)網(wǎng)涉及行業(yè)的復雜性，為驗證一個新應用@APP#m具體的行業(yè)應用的功能在物聯(lián)網(wǎng)環(huán)境下是否滿足系統(tǒng)對此功能的定義，可以由所在行業(yè)中的專業(yè)第三方實驗室機構申請這個驗證的資質來代替行業(yè)進行這個測試（需要對每個開放互聯(lián)的應用均作出獨立判定）。在此又要求該行業(yè)所有涉足物聯(lián)網(wǎng)的企業(yè)對于業(yè)務模型有個統(tǒng)一的概念，以劃分物聯(lián)應用的收益，并為此預先支付需要承擔的測試驗證的費用。因此，這個獲得行業(yè)測試資質的獨立機構又受到行業(yè)內物聯(lián)網(wǎng)參與企業(yè)的集體制約，其收費機制需體現(xiàn)出行業(yè)業(yè)務模式的變革所帶來的改變，并在測試用標準器件和應用上得到已入網(wǎng)企業(yè)的幫助。

對于進入物聯(lián)網(wǎng)交易的智能器件，由所在行業(yè)制定符合DEC指導思想的產(chǎn)品安全技術標準，產(chǎn)品通信規(guī)約標準，產(chǎn)品最低功能要求。這些標準需有權威性的行業(yè)協(xié)會組織專家工作組來予以共同制定，并不斷發(fā)表最新版本以征求本行業(yè)、相關行業(yè)企業(yè)界，學術界和用戶代表的反饋。這些都需要在對物聯(lián)網(wǎng)的大架構有了共同認可之后經(jīng)過2～3年才可能形成一個初步完整的版本，在實際產(chǎn)品開發(fā)過程中再經(jīng)過2～3年完善才可以成為一個標準。同@APP#n的驗證一樣，對于器件也需要類似的一整套制度和體系來驗證。例如對于產(chǎn)品的網(wǎng)絡安全性，英國有個商業(yè)產(chǎn)品保證（Commercial Product Assurance，CPA）體系，通過專門的認證機構來驗證產(chǎn)品在設計、生產(chǎn)和部署上符合（物聯(lián)）網(wǎng)絡的安全要求，體系覆蓋了硬件、軟件、研發(fā)思想、開發(fā)過程、生產(chǎn)和交付過程、維護等全生命周期的安全管理，對于企業(yè)本身的信息安全管理方面的體系和實踐均提出了嚴苛的要求。德國推出了保護輪廓（Product Profile，PP），從另一個角度來同樣系統(tǒng)地審核產(chǎn)品的安全性。只有通過了CPA或PP安全驗證，并經(jīng)過產(chǎn)品兼容性、交互操作性以及端到端的通信測試的產(chǎn)品才能被DEC列入產(chǎn)品白名單，通過一定流程激活成為物聯(lián)網(wǎng)智能產(chǎn)品。這些均是有借鑒意義的實際解決方案。

5 身份驗證方案和服務

5.1 智能器件的私鑰保護

由于被篡改的代價太高昂，在CPA的產(chǎn)品安全性要求里，對于產(chǎn)品的物理防護，通信界面（產(chǎn)品層面）防護，開發(fā)和生產(chǎn)過程，密鑰保存的機密性均提出了細致的要求，嚴格按此要求來設計和生產(chǎn)產(chǎn)品，確實可以做到任何一個產(chǎn)品生產(chǎn)出來，沒法在不造成永久性破壞的情況下篡改或仿冒其身份。當然這里面要大量用到安全芯片，國外半導體巨頭早在布局安全芯片廠家。隨著芯片的大規(guī)模量產(chǎn)，在不形成壟斷的情況下，器件成本的增加還是可控的，可是管理和設計上還需要有全新的理念和制度投入，要對企業(yè)有脫胎換骨的改造才有可能實行。

還有一個細節(jié)的管理，在生產(chǎn)過程中不產(chǎn)生重復身份的器件，即器件的ADID和相應的私鑰均不會重復。考慮到從產(chǎn)品的打樣到在制品的返修和現(xiàn)場產(chǎn)品的退換，要保證產(chǎn)品和身份有條不紊地銜接，與CA系統(tǒng)、@APP#n等對接不出差錯，對于企業(yè)的產(chǎn)品ID管理提出了非常高的要求。

5.2 智能器件部署及激活過程

在智能器件入網(wǎng)過程中，要實現(xiàn)大批量的產(chǎn)品私鑰的安全生成（一般在CA生成，以便在產(chǎn)品入網(wǎng)激活環(huán)節(jié)驗證），傳遞直至在生產(chǎn)過程被安全地植入安全芯片中鎖定，并和產(chǎn)品的ADID一一關聯(lián)，中途不能被任何人或機器截留解析。在器件入網(wǎng)激活過程中，DEC根據(jù)其批準的可信賴申請者（如@APP#n運營商）提供的入網(wǎng)器件ADID清單，CA根據(jù)其數(shù)據(jù)庫里的對應ADID的產(chǎn)品公鑰數(shù)據(jù)庫，核實所激活的器件的ADID及私鑰身份，在線確認或定義其功能，交易權限等物聯(lián)網(wǎng)工作特性，形成一份完整的在網(wǎng)產(chǎn)品清單，作為DEC響應各種物聯(lián)網(wǎng)交易請求的依據(jù)。

為了進一步保護網(wǎng)絡的安全性，在產(chǎn)品激活后的一定時間后，CA還可以對每個器件重新生成和下發(fā)新的公私密鑰對，以杜絕在產(chǎn)品生產(chǎn)和部署過程中密鑰泄露的可能，徹底將網(wǎng)產(chǎn)品與工廠生產(chǎn)過程絕緣。這個時候產(chǎn)品本身的CPA安全特性測試加上更新成功的密鑰就成了目前大批量器件身份確認的兩個基石。

5.3 密文交換過程

在物聯(lián)網(wǎng)交易過程中，除了更換數(shù)字證書之類的超級命令外，器件的私鑰始終不離開其安全芯片的錨地，只在安全地帶進行工作，對收發(fā)的信息進行數(shù)字簽名和身份驗證。為交易過程中頻繁交換較大數(shù)據(jù)量需要而采用的臨時對稱密鑰在使用完畢后及時從內存中徹底刪除，這些信息安全工作制度在器件級別就引入設計和驗收標準，從而由微觀到宏觀將密鑰泄密和身份造假的可能性降到最低。還有互聯(lián)網(wǎng)上常見的拒絕服務（Denial of Service，DOS）攻擊，也可以經(jīng)由發(fā)起者的ADID加上相應的命令計數(shù)器來屏蔽掉，這些規(guī)約上的控制及早形成共識對于各行各業(yè)開發(fā)下一代產(chǎn)品均是有重大指導意義的。

6 交易的記錄和追溯

交易的數(shù)據(jù)和記錄均在@APP#n子網(wǎng)絡中，有些交易的結果可以采用區(qū)塊鏈的方式在云端記錄。

回到開始時的傳統(tǒng)業(yè)務模型，用物聯(lián)網(wǎng)的語言來描述這一流程就是：@APP#YELL應用（ADID： xxxxxxxxYELL）中的個體Alice（ADID： xxxxxxxxAlice）通過DEC平臺向另一應用@APP#ZABRA （ADID： xxxxxxxxZABRA）發(fā)送一個業(yè)務請求@MSG#PO1（ADID： xxxxxxxxPO1），業(yè)務請求經(jīng)過平臺的接口程序庫選擇了@APPI（YELL，ZABRA）轉換為@APP#ZABRA可以接受的數(shù)據(jù)格式。@APP#ZABRA用自己的私鑰驗證此信息是發(fā)給自己的新信息，并向CA查驗了xxxxxxxxAlice的身份，并追蹤到xxxxxxxxYELL是一個規(guī)約認可交易的應用。根據(jù)應用平臺的定義，服務響應機Bob（ADID： xxxxxxxxBob）發(fā)送了回應信息，并且在回信上加上數(shù)字簽名。經(jīng)DEC平臺的@APPI（ZABRA，YELL）轉換成@APP#YELL可接收的信息。endprint

在英國、德國、美國，近10年來不約而同選擇了以智能電網(wǎng)為突破口，優(yōu)先將能源網(wǎng)數(shù)字化、智能化，這對我們是有很大的參考意義的。當然它們部署的不是單純以遠傳抄表，遙感遙控為中心的第一代“智能”計量網(wǎng)和電力自動化網(wǎng)，而是具有前面所述物聯(lián)網(wǎng)特征的智能器件。這和國內目前大規(guī)模建設的新電網(wǎng)還是有很大差別的。

以電網(wǎng)為依托建立物聯(lián)網(wǎng)雛形有幾個好處：（1）能夠延伸到千家萬戶，到達最小的經(jīng)濟單位；（2）可以保持常在線（電力局側），不像機頂盒、路由器之類器件容易被用戶切斷；（3）未來的可再生能源發(fā)展必然需要動態(tài)的能源市場和需求側的動態(tài)響應，對智能功能要求明確；（4）各國的能源網(wǎng)均面臨新能源技術爆發(fā)和老能源網(wǎng)絡退役帶來的重建需求；（5）計量產(chǎn)業(yè)和電力自動化產(chǎn)業(yè)相對于消費電子產(chǎn)業(yè)更趨標準化規(guī)范化，更容易制訂行業(yè)標準和行為準則；（6）與智能家居，智能安防產(chǎn)業(yè)銜接容易，從車聯(lián)網(wǎng)的關系也很緊密；（7）以可持續(xù)性來定價能源的模式很可能取代以獲得成本定價的傳統(tǒng)能源定價模式，這更體現(xiàn)出物聯(lián)網(wǎng)未來發(fā)展的理念。

7 結語

以上只是很粗的模型設想，大量細節(jié)沒有涉及，提出的問題比提供的方案細節(jié)更多，還需要有經(jīng)驗的專家來進一步評估，為物聯(lián)網(wǎng)的架構遠景開啟一個社會課題。

Study on the model of Internet of Everything

Tao Beiyuan

（Huali Technology Co.， Ltd.， Hangzhou 310023， China）

Abstract：There is no consensus on how to achieve the goal of Internet of Everything， how to build and how to achieve it， especially on how to ensure information security and the privacy of all parties involved in the interconnection. In fact， these restricts China in the Internet of Things made great development. This paper based on the author experience and sentiment of before participating in the Western European smart metering network project， puts forward some ideas and ideas， for all experts to further study Chinese Internet of Things development plan.

Key words： Internet of Things； Internet of Everything； buildendprint