陶焙元

摘 要：关于万物互联这一宏大的目标，如何架构及通过何种途径实现，业界还没有达成共识，特别是关于在万物互联的环境下如何保证信息安全，保障参与互联的各方隐私权，这些都制约了中国在物联网方面取得更大的发展。文章根据笔者以前参与西欧智能计量网项目时的体会和感悟，提出一些设想和思路，抛砖引玉，供各界专家进一步研究中国的物联网发展大计。

关键词：物联网；万物互联；架构

1 物联网交易主体

物联网的交易主体通常是指万物互联的网络中的一个有一定智能的个体，通常不是具体的人，但又经常会与某一个具体的人或家庭、组织或与其某一个银行账户（以后统称账户@ACC#m）挂钩甚至绑定。作为交易的主体，账户必须是明确的，有行为能力的，能够对所发生的交易承担责任，或得到了能够承担责任的一个账户的有效授权（可验证可追溯）。这样的一个账户，必须要有一个可与其他账户区分的ID，以及与这个ID对应的身份验证信息或验证途径，以确认其身份的可靠性和作为交易主体的权限属性。

1.1 交易主体的ID

在任何一个运行中的子网络中，已经实现了每个终端个体在网络中的区分，但是并不彻底。这是由于传统的互联网应用中，终端其实在很多时刻并不是交易的主体，而只是交易的临时代理，仍需要交易主体通过登录等方式确认身份后参与网络交易；或者终端只参与一些不需要承担明确责任的交易过程（例如在浏览网站时发送网页内容的服务器并不关注对方的真实身份），因此交易主体的确认并不是非常重要和即时。而在物联网中，许多交易主体需要自主地响应其他主体发出的交易请求，并根据授权自动作出交易呼应。因此这些交易主体的身份的唯一性就格外重要起来。作为物联网交易主体的ID唯一性，有以下特征和要求：（1）在交易涉及的物联网范围内（不论是否同类个体）唯一確认；（2）在交易主体的生命周期内不重复出现；（3）在交易主体的生命周期内终身不可篡改（不可抵赖）；（4）与身份验证信息唯一绑定。

以上的这些特征和要求特别类同于居民身份证的管理，任何一个入物联网的交易主体的ID要像对待一个新生儿一样申报和管理起来，以后不管其生老病死这个身份证号始终是其不变的标志，与其一生的所作所为挂钩。要达到这一标准，目前所实行的每个网络自定义其个体的唯一标识ID显然是不能够满足的。上述特征中其中第3条的要求在交易个体的产品设计中实现，在入网资格中验证。第4条的要求详见身份验证章节讨论，结论是整个物联网所有交易个体要有统一标准的唯一标识。我们将这种物联网所要求的跨越产品类别、地域、时间、应用领域的唯一性要求命名为“全域唯一（All Domain Unique）”，这种ID命名为“全域ID”（ADID），以区别于形形色色的唯一性ID标准。

1.2 ADID的管理

ADID的标准格式可以参照相关的国际标准，但其应用管理需要制定专门的物联网应用准则来加以规范，并在企业中严格加以应用和管理。

1.3 ADID的扩展应用

在上述对交易个体的讨论中，实际上个体不局限于智能器件，而是包括了人、组织、网络应用（@APP#n）等，所以ADID的应用也要覆盖上述内容。甚至交易的过程、内容、结果也具有和交易个体同样的可追溯、唯一和不可抵赖等特性，也可以套用ADID准则来统一管理，更有利于物联网交易信息的标准化管理。

2 物联网交易的平台和通道

这里的交易平台不是各个@APP#n的平台，而是特指为了实现万物互联而搭建的跨越各个APP应用，跨越不同通信技术和网络的平台架构。在此平台上每时每刻有数以亿计的分属于数百万不同@APP#n的交易个体@ACC#m在交互信息并达成交易。因此这是一个大架构的平台，需要处理的是不同领域不同行业不同应用的各种各样结构的数据，这在事实上不可操作。

一个可能的模型是：成立一个数据交换中心（Data Exchange Center，DEC）和地域性的分数据交换中心（Regional Data Exchange Center，RDEC），专职于各@APP#n之间的数据交换。DEC（包含RDEC，下同，除非文中意思指明需要区分）不同于传统意义上的数据交换，它不接触数据。DEC的职责是确认交易个体的身份和所属的@APP#n1，验证其发送的交易数据是符合格式标准的，及满足其他传送要求，并向指定的目标@APP#n2传送经专用应用接口程序&APPI（#n1，#n2）（后文介绍其生成和更新机制）转换的数据包。@APP#n2根据接收到的数据包解析后的内容决定是否接受并处理此数据包，并回复相应信息或不回复。

3 交易的内容和格式

物联网交易的数据交换格式和内容，与数据平台的抉择息息相关。根据上节的DEC架构，DEC不参与数据内容的处理，而只关注数据包的帧头、包装方式等，充当一个准确的物流员角色。因此在DEC层面上并不需要对数据交易的内容和格式进行具体规定，而只要规范在最外层的“物流信息”，为DEC这个宏大的平台的工作机制减轻了压力。

为保证数据交换平台对数据的隔离，确保隐私数据不从平台泄露，所有通过平台的数据包均通过非对称密钥加密和签名，以保证只有指定的收信人才可以打开数据包并确认发信人身份。这也更好地保证了DEC充当物流员的角色而不会越位。

4 交易的规则

DEC需要关心的是交易过程中所接收到的信息/命令的种类，及需要在DEC平台或实际接收方作出的响应，因此对这些方面需要作出定义，以确保所有的@APP#n均以可预期的方式来执行交易流程。DEC只能并且只有DEC能够拆除物流包装，并且可以在重要内容上加载DEC的签名，确保了每个@APP#n收到的数据包是经过DEC之手，堵住了合法网络之外来源夹带不法数据的途径。

每个@APP#n根据DEC的总体要求制定其自身的规约，并制定其入网器件的技术规范要求，并检验确认其入网的所有交易个体均按照此规约要求进行信息和命令的交互。当然这远远不够，每个@APP#n1还需要保证其成员能够与其他@APP#mi（i=1，2，3... 为@APP#n1选择可以交互的其他子网络应用）中的成员进行交互，因此要开发应用界面接口程序&APPI（#n1，#mi）（i=1，2，3...），并经过DEC认可的专业机构按规定标准方式调试验证后递交DEC应用接口程序库激活。@APP#mi（i=1，2，3...）与@APP#n1在DEC互联互通表里标识成可以互联的应用。为了保证对已发布的界面接口程序的支持，所有的@APP#n在更新其应用程序时必须保证对先前的界面接口的支持（至少是最近版本的支持），以让其他@APP#mi厂家有足够时间来更新其接口程序。endprint

物联网新增一个应用@APP#n，必须有一个严格的验证兼容性、互操作性和安全性的流程，这是保证物联网万里长城安全无虞的基础，也是整个体系得以实现的工作量最大的一环。

与DEC平台的数据通信交互操作性能测试，由于涉及数据加密过程，无法用实际系统来调试和验证，需要通过仿真终端和仿真网络帮助相应开发商进行循序渐进的开发测试，在完成下面所述的功能测试后，再进入模拟实验室，与实际的网络器件和应用进行类真实环境的运行测试（但所有的身份都是实验室专用的，包括以后提到的身份验证环节）。通过严格测试的产品才准许进入并网测试阶段。

考虑到物联网涉及行业的复杂性，为验证一个新应用@APP#m具体的行业应用的功能在物联网环境下是否满足系统对此功能的定义，可以由所在行业中的专业第三方实验室机构申请这个验证的资质来代替行业进行这个测试（需要对每个开放互联的应用均作出独立判定）。在此又要求该行业所有涉足物联网的企业对于业务模型有个统一的概念，以划分物联应用的收益，并为此预先支付需要承担的测试验证的费用。因此，这个获得行业测试资质的独立机构又受到行业内物联网参与企业的集体制约，其收费机制需体现出行业业务模式的变革所带来的改变，并在测试用标准器件和应用上得到已入网企业的帮助。

对于进入物联网交易的智能器件，由所在行业制定符合DEC指导思想的产品安全技术标准，产品通信规约标准，产品最低功能要求。这些标准需有权威性的行业协会组织专家工作组来予以共同制定，并不断发表最新版本以征求本行业、相关行业企业界，学术界和用户代表的反馈。这些都需要在对物联网的大架构有了共同认可之后经过2～3年才可能形成一个初步完整的版本，在实际产品开发过程中再经过2～3年完善才可以成为一个标准。同@APP#n的验证一样，对于器件也需要类似的一整套制度和体系来验证。例如对于产品的网络安全性，英国有个商业产品保证（Commercial Product Assurance，CPA）体系，通过专门的认证机构来验证产品在设计、生产和部署上符合（物联）网络的安全要求，体系覆盖了硬件、软件、研发思想、开发过程、生产和交付过程、维护等全生命周期的安全管理，对于企业本身的信息安全管理方面的体系和实践均提出了严苛的要求。德国推出了保护轮廓（Product Profile，PP），从另一个角度来同样系统地审核产品的安全性。只有通过了CPA或PP安全验证，并经过产品兼容性、交互操作性以及端到端的通信测试的产品才能被DEC列入产品白名单，通过一定流程激活成为物联网智能产品。这些均是有借鉴意义的实际解决方案。

5 身份验证方案和服务

5.1 智能器件的私钥保护

由于被篡改的代价太高昂，在CPA的产品安全性要求里，对于产品的物理防护，通信界面（产品层面）防护，开发和生产过程，密鑰保存的机密性均提出了细致的要求，严格按此要求来设计和生产产品，确实可以做到任何一个产品生产出来，没法在不造成永久性破坏的情况下篡改或仿冒其身份。当然这里面要大量用到安全芯片，国外半导体巨头早在布局安全芯片厂家。随着芯片的大规模量产，在不形成垄断的情况下，器件成本的增加还是可控的，可是管理和设计上还需要有全新的理念和制度投入，要对企业有脱胎换骨的改造才有可能实行。

还有一个细节的管理，在生产过程中不产生重复身份的器件，即器件的ADID和相应的私钥均不会重复。考虑到从产品的打样到在制品的返修和现场产品的退换，要保证产品和身份有条不紊地衔接，与CA系统、@APP#n等对接不出差错，对于企业的产品ID管理提出了非常高的要求。

5.2 智能器件部署及激活过程

在智能器件入网过程中，要实现大批量的产品私钥的安全生成（一般在CA生成，以便在产品入网激活环节验证），传递直至在生产过程被安全地植入安全芯片中锁定，并和产品的ADID一一关联，中途不能被任何人或机器截留解析。在器件入网激活过程中，DEC根据其批准的可信赖申请者（如@APP#n运营商）提供的入网器件ADID清单，CA根据其数据库里的对应ADID的产品公钥数据库，核实所激活的器件的ADID及私钥身份，在线确认或定义其功能，交易权限等物联网工作特性，形成一份完整的在网产品清单，作为DEC响应各种物联网交易请求的依据。

为了进一步保护网络的安全性，在产品激活后的一定时间后，CA还可以对每个器件重新生成和下发新的公私密钥对，以杜绝在产品生产和部署过程中密钥泄露的可能，彻底将网产品与工厂生产过程绝缘。这个时候产品本身的CPA安全特性测试加上更新成功的密钥就成了目前大批量器件身份确认的两个基石。

5.3 密文交换过程

在物联网交易过程中，除了更换数字证书之类的超级命令外，器件的私钥始终不离开其安全芯片的锚地，只在安全地带进行工作，对收发的信息进行数字签名和身份验证。为交易过程中频繁交换较大数据量需要而采用的临时对称密钥在使用完毕后及时从内存中彻底删除，这些信息安全工作制度在器件级别就引入设计和验收标准，从而由微观到宏观将密钥泄密和身份造假的可能性降到最低。还有互联网上常见的拒绝服务（Denial of Service，DOS）攻击，也可以经由发起者的ADID加上相应的命令计数器来屏蔽掉，这些规约上的控制及早形成共识对于各行各业开发下一代产品均是有重大指导意义的。

6 交易的记录和追溯

交易的数据和记录均在@APP#n子网络中，有些交易的结果可以采用区块链的方式在云端记录。

回到开始时的传统业务模型，用物联网的语言来描述这一流程就是：@APP#YELL应用（ADID： xxxxxxxxYELL）中的个体Alice（ADID： xxxxxxxxAlice）通过DEC平台向另一应用@APP#ZABRA （ADID： xxxxxxxxZABRA）发送一个业务请求@MSG#PO1（ADID： xxxxxxxxPO1），业务请求经过平台的接口程序库选择了@APPI（YELL，ZABRA）转换为@APP#ZABRA可以接受的数据格式。@APP#ZABRA用自己的私钥验证此信息是发给自己的新信息，并向CA查验了xxxxxxxxAlice的身份，并追踪到xxxxxxxxYELL是一个规约认可交易的应用。根据应用平台的定义，服务响应机Bob（ADID： xxxxxxxxBob）发送了回应信息，并且在回信上加上数字签名。经DEC平台的@APPI（ZABRA，YELL）转换成@APP#YELL可接收的信息。endprint

在英国、德国、美国，近10年来不约而同选择了以智能电网为突破口，优先将能源网数字化、智能化，这对我们是有很大的参考意义的。当然它们部署的不是单纯以远传抄表，遥感遥控为中心的第一代“智能”计量网和电力自動化网，而是具有前面所述物联网特征的智能器件。这和国内目前大规模建设的新电网还是有很大差别的。

以电网为依托建立物联网雏形有几个好处：（1）能够延伸到千家万户，到达最小的经济单位；（2）可以保持常在线（电力局侧），不像机顶盒、路由器之类器件容易被用户切断；（3）未来的可再生能源发展必然需要动态的能源市场和需求侧的动态响应，对智能功能要求明确；（4）各国的能源网均面临新能源技术爆发和老能源网络退役带来的重建需求；（5）计量产业和电力自动化产业相对于消费电子产业更趋标准化规范化，更容易制订行业标准和行为准则；（6）与智能家居，智能安防产业衔接容易，从车联网的关系也很紧密；（7）以可持续性来定价能源的模式很可能取代以获得成本定价的传统能源定价模式，这更体现出物联网未来发展的理念。

7 结语

以上只是很粗的模型设想，大量细节没有涉及，提出的问题比提供的方案细节更多，还需要有经验的专家来进一步评估，为物联网的架构远景开启一个社会课题。

Study on the model of Internet of Everything

Tao Beiyuan

（Huali Technology Co.， Ltd.， Hangzhou 310023， China）

Abstract：There is no consensus on how to achieve the goal of Internet of Everything， how to build and how to achieve it， especially on how to ensure information security and the privacy of all parties involved in the interconnection. In fact， these restricts China in the Internet of Things made great development. This paper based on the author experience and sentiment of before participating in the Western European smart metering network project， puts forward some ideas and ideas， for all experts to further study Chinese Internet of Things development plan.

Key words： Internet of Things； Internet of Everything； buildendprint