刘廷峰 李江鑫

(四川中电启明星信息技术有限公司 四川成都 610041)

随着通信技术、云计算、人工智能等技术的不断发展，物联网相关技术逐步成熟与应用场景的落地，并在以5G技术为代表的新架构的支撑下，物联网在数字经济规模效应逐步显现。《物联网终端安全白皮书（2019）》显示，智能交通、智慧医疗等行业的普及应用全面推进物联网终端呈指数级增长，截至2019 年，全球物联网设备连接数量达到110 亿个，且据全球移动通信系统协会（Global System for Mobile Communications Association，GSMA）预测至2025 年将达到250 亿个，较2018 年实现年复合增长率15.71%。目前，越来越多的行业及应用将AI与智能物联设备结合到一起，A智能物联设备已经成为各大传统行业智能化升级的最佳通道，也是未来物联网发展的重要方向。例如：在消费级市场三大常用场景（家、路、办公）中，围绕消费者场景A 智能物联设备生态正被不断构建，并催生了华为鸿蒙、海尔智能家居、小米智能物联设备、涂鸦等行业内领先的智能物联业务或公司。

智能设备的硬件和组件成本不断降低，为传统设备增加联网能力和数据处理能力也更容易。在万物智联的场景中，设备与设备间将互联互通，进行信息交互。在这个过程中，系统及物联网会不断收集和分析数据，因此保障物联场景中的人、设备、系统的安全性及可靠性就变得尤为关键，一旦系统遭受入侵或者信息泄露，随时可能危及企业或个人资产安全。该文主要探讨在大型企业相对封闭的环境中，如何利用身份认证技术帮助企业建立安全可靠、简单易用的智能物联场景应用。

1 应用场景

在企业办公场景，越来越多的智能物联硬件进入企业办公区，例如智能考勤、通行、车辆、环境监测、无纸化办公设备等。在大型企业或者集团型企业中，这类设备随处可见，例如：带人脸识别、二维码打卡、定位一体的智能考勤终端，或是可智能联网的云打印的打印设备、生产线上的手持智能终端等。这类智能物联设备在企业生命周期中，可能需要经过网络层面管理者配置安全接入、业务系统的管理员进行权限控制、用户所在组的管理者进行日常维护、个人用户进行访问与使用等，其中的每一个环节，都需要对参与的人、设备进行身份认证，应用场景叙述具体如下。

（1）设备接入场景：基础网络层的管理者，智能物联设备完成基本认证开通管理场景，考虑到物联网设备往往分布在组织的各个单元，智能物联设备管理员角色应通过身份认证系统统一认证。

（2）系统配置场景：应用系统层的管理者，对智能物联设备进行网络接入和系统访问权限的配置单独规划的独立角色，方便灵活适应具体业务场景。

（3）业务管理场景，各业务部门的管理者，需要完成物联网设备的日常维护管理，此类管理业务通常是较为复杂的业务操作，例如：对考勤设备进行数据导入导出、设置该部门考勤规则等。

（4）员工使用场景，即日常实际使用设备开展相关业务的员工，比如：普通员工刷脸完成考勤、通过手机端连接打印机完成打印等。

在传统的智能设备管理与使用生命周期中，设备的接入、分配、使用、运维等各个阶段都是分割、独立的，实体之间缺少信息交互，关键的身份信息没有打通，无法统一对设备、对管理者、对使用者的身份进行认证，导致设备接入使用非常复杂，使用门槛较高。该方案将介绍基于身份认证技术，实现更贴近消费级智能硬件使用体验的解决方案。

2 系统架构思路

通过设计一种面向企业用户、信息系统、智能物联设备三方互联互信的身份认证与互联方案，来改变在企业中人与设备的交互方式，提升身份认证安全性与便捷性。架构主要体现设计思路与顶层逻辑关系，其主要包含3个部分，分别是身份认证中心、智能物联设备、用户手机（系统应用）组成，具体情况见图1。

图1 身份认证中心示意图

2.1 身份认证中心

身份认证中心包含统一用户身份认证中心和物联设备认证服务中心这两个主要模块。

2.1.1 统一用户身份认证中心

统一用户身份认证中心一般由企业的统一身份认证系统或者是IAM 系统承担，也可以全新开发。它主要完成对用户的认证。统一身份认证服务系统的一个基本应用模式是统一认证模式，它是以统一身份认证服务为核心的服务使用模式。用户登录统一身份认证服务后，即可使用所有支持统一身份认证服务的管理应用系统。

2.1.2 物联设备认证服务中心

物联设备认证服务中心主要完成对接入设备的身份合法性进行鉴别。企业可以使用在不同协议层上的身份认证技术，比如链路层的802.1x、传输层的TLS、应用层的OAuth2.0 等。目前市面上有多种商业实现方案，一种比较典型的是IFAA 的物联设备认证方案（见图2），其中的关键是利用设备终端的安全能力（如TEE、安全沙箱）、数字签名与加密技术、移动技术等实现设备的认证。物联网设备的认证服务通常可以配合企业的物联网管理平台进行部署与实现，并以独立服务的形式面向所有需要认证的设备提供认证服务[1]。

图2 IFAA物联设备认证链路

2.2 智能物联设备

即在该场景中需要接入企业网络环境，为企业特定场景提供功能和服务的设备。因设备使用场景千差万别，设备间计算能力、接入方式、交互方式必然有所差别，部分设备的连接上线需要借助企业的物联网平台，设备与服务端的验证过程中，可以采用国密算法，通过两次签名验证完[2]。

2.3 用户手机（系统应用）

用户手机为企业实现员工安全、便捷、高效地接入、使用、维护智能物联设备提供了可能性。

3 系统demo设计

在该方案的架构设计下，要完整地实现一套系统需要非常多的资源，为了便于简明扼要地展示方案的系统方法，在该方案中对整个系统进行简化，并以支持蓝牙、Wi-Fi、扫码、指纹等接口的智能考勤终端作为场景进行demo案例的实现，在移动端基于微信小程序实现各类用户的需求，具体思路如下。

（1）将智能物联设备接入管理员和配置管理员融合为一个角色，即启动设备管理小程序，指纹认证后直接扫描二维码建立蓝牙近场通信，通过设备侧SDK直接配置设备的Wi-Fi 访问点和密码，让设备快速接入网络，在设备接入网络后，通过小程序界面配置设备名称型号，并可以在后台看到对应更新信息，在设备管理小程序内也可以访问对应设备的管理界面。

（2）服务端智能物联设备身份认证服务与设备管理平台融合为一个后台供demo，包括设备的信息查询等基本功能，底层API 完整实现了注册激活状态查询设备操作等功能。

（3）智能物联设备侧通过SDK[3]，实现蓝牙近场通信和企业网络下与小程序及后台的互操作。

（4）智能物联设备侧的密码学认证体系由于采用本地的数字证书与加密签名机制[4-5]，主要用于验证小程序-服务器-物联网设备的完整操作过程及提供用户侧的基本体验。

3.1 用户侧逻辑设计

在用户侧，为用户实现的demo程序是借助了微信小程序，用户无需安装App，可降低使用门槛与推广成本、研发成本。企业员工通过微信扫描设备上的二维码，会将用户引导至demo 小程序，让用户在企业的身份认证完成验证。验证通过后，可以通过蓝牙与设备进行连接。管理员蓝牙连接完成后，可以为设备配置无线网络、有线网络，所有操作都在手机上完成。同时，管理员可以通过小程序与服务器端进行交互，获取更多的设备信息与权限。与设备的交互主要过程如下。

（1）连接蓝牙配置Wi-Fi网络：扫描设备上的二维码，进行蓝牙连接；蓝牙连接完成，配置Wi-Fi 网络。这个过程中主要进行扫码蓝牙握手、获取Wi-Fi列表、连接Wi-Fi等。

（2）设备初始化（注册）、设备激活：通过第一步设备入网后，设备端的程序会自动向服务端请求，将设备自身的基本信息上传，请求设备状态激活；这个过程主要进行获取设备ID、获取设备状态、设备注册/激活。

另外，无论是管理员用户还是普通用户，在完成服务端—设备—人的三方认证后，都可以从服务端再获取与自身权限匹配的设备列表。用户从设备列表选择设备后，则进行身份认证，完成之后返回令牌，并在本地生成二维码，可以用于后续设备对人的身份识别。

3.2 服务端接口设计

服务端是作为协调用户移动端、智能物联设备端进行三方互联、完成身份认证的关键，在服务侧需要实现用户与设备交互的每一个关键过程的后端接口能力。包括如下：（1）设备注册；（2）设备激活；（3）设备状态查询；（4）已授权的设备列表查询（管理员）；（5）已授权的设备列表查询（用户）；（6）设备开锁令牌；（7）设备令牌校验。

3.3 设备侧接口设计

设备侧的底层通信的功能实现主要是基于SDK开发相应的认证代理功能来实现，并且在业务层面会定义好完成的业务协议与设备请求功能。

3.3.1 业务数据协议定义

主要是定义交互数据的规范格式，数据流采用定长包头+变长包体的形式。

定长包头数据结构如下，具体参数说明见表1。

表1 参数说明

变长包体：二进制流数据

3.3.2 设备请求

设备请求提供了一系列的设备与服务端、与移动端通过蓝牙、网络交互的接口，例如：（1）上报设备状态接口，设备连上网络成功或者失败后应主动调网该接口；（2）上报设备Wi-Fi 信号列表接口，当设备收到调取设备探测到的Wi-Fi 信号列表推送后，应调用该接口上报Wi-Fi列表。

3.4 设备蓝牙通信设计

该demo中用户与设备交互频繁地使用了蓝牙，在设备端规定了蓝牙BLE 设备需要先模拟成流(即stream，输入输出流)。流具有的特性有：（1）可以传输无限长度的数据；（2）双工，读写可以并发，互不干扰。

显然，蓝牙BLE无法传输无限长的数据，为了实现这个目的，需要定义一个规范。蓝牙设备需暴露两个特征值（Characteristics）：Write特征值和Indication特征值。蓝牙设备从Write 特征值接受数据，从Indication特征值发送数据，Indication特征值类型是bytes。把一个特征值一次传输的数据，称为一帧（不同类型的特征值一次传输的数据长度是不一样的）。

3.4.1 蓝牙设备写过程

（1）分帧。假设设备上有1K数据，要发给移动端。由于一个特征值长度有限（如20个字节），显然需要分多次才能传输完成。1K数据，要分成1 024字节/20字节=51个帧。剩下的4个字节不足一帧（20个字节），需补齐一帧并对剩下的16个字节赋0。总共是52帧。（2）发送第一个帧。把第一个帧的内容放入特征值里面。然后通知用户手机端应用读取数据，通知有两种方式，Indication 和notify，这里使用Indication 方式，即带响应的通知。当通知完成的时候，可以认为手机已经读完数据，这就完成了发送第一个帧。（3）按照2的步骤，依次发送剩下的帧[6]。

3.4.2 蓝牙设备读过程

当蓝牙设备发现读特征值收到数据的时候，就接收数据，并追加到设备的buf里。

4 结语

在企业的日常经营活动中，智能物联设备的使用已非常普遍，包括智能门锁、智能摄像头、终端考勤设备、会议门禁等设备都存在很强的身份认证安全需求，涉及用户在绑定设备、使用设备和解绑设备等各个生命周期的环节里。该文中的设计思路，融合了企业的统一身份认证系统、物联网管理平台等既有基础设施，将人、设备、系统的身份打通。通过身份认证在企业智能物联场景中的应用，改变传统的设备入网、分配、使用的交付模式与管理模式，为用户提供了安全、便捷、易用的设备接入、维护、管理、使用的应用思路。