一種基于UDP實時遠程設(shè)備管理系統(tǒng)的設(shè)計與安全實現(xiàn)

【 摘 要 】 論文全面介紹了一種基于UDP實時遠程設(shè)備管理系統(tǒng)的設(shè)計與安全實現(xiàn)。隨著物聯(lián)網(wǎng)的發(fā)展，對于大規(guī)模的設(shè)備終端的遠程實時管理需要越來越高，物聯(lián)網(wǎng)的終端大多處于局域網(wǎng)內(nèi)，應(yīng)用服務(wù)器無法直接向物聯(lián)網(wǎng)的終端發(fā)送管理報文，用TCP通過終端和應(yīng)用服務(wù)器建立長鏈接的方法隨著終端數(shù)量的增加，消耗的網(wǎng)絡(luò)資源和服務(wù)器資源會越來越大，擴展性面臨的挑戰(zhàn)也會越來越大。論文提供的方案，通過用UDP的方法可以大大節(jié)約網(wǎng)絡(luò)和服務(wù)器資源，此外，還提供的安全實現(xiàn)方法還能夠達到安全實時遠程管理設(shè)備的需求。

【 關(guān)鍵詞 】 UDP；長鏈接；設(shè)備管理；安全

【 中圖分類號 】 TP393 【 文獻標識碼 】 A

【 Abstract 】 This paper introduces the design and security implement of a system based on UDP to manage the devices remotely and real timely. With the development of internet of things （ IOT）， manage the devices remotely and real timely has been a growing demand， the devices are most in the local area network（LAN），the application servers can not send the message to the devices. During the increment of the devices， the method using TCP to make a persistent connection between the devices and the application servers will consume more and more resources. The solution provided by this paper using UDP can decrease the consumption of the resources or the network and sever， and can security manage the devices remotely and real timely.

【 Keywords 】 udp； persistent connection； device management； security

1 引言

物聯(lián)網(wǎng)（IOT）是通過射頻識別（Rfid）、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等信息傳感設(shè)備，按照約定的協(xié)議，把任何物品與互聯(lián)網(wǎng)連接起來，進行信息交換和通訊，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡(luò)。

隨著物聯(lián)網(wǎng)的發(fā)展，對于大規(guī)模的設(shè)備終端的遠程實時管理需要越來越高。由于物聯(lián)網(wǎng)的終端大多處于局域網(wǎng)內(nèi)，應(yīng)用服務(wù)器無法直接向物聯(lián)網(wǎng)的終端發(fā)送管理報文，但是終端可以向應(yīng)用服務(wù)器發(fā)送請求，終端用傳輸控制協(xié)議（TCP）和應(yīng)用服務(wù)器建立長鏈接的方法隨著終端數(shù)量的增加，消耗的網(wǎng)絡(luò)資源和服務(wù)器資源會越來越大，而且系統(tǒng)的擴展性面臨的挑戰(zhàn)也會越來越大。

所謂長連接指在一個TCP連接上可以連續(xù)發(fā)送多個數(shù)據(jù)包，在TCP連接保持期間，如果沒有數(shù)據(jù)包發(fā)送，需要雙方發(fā)檢測包以維持此連接，一般需要自己做在線維持。短連接是指通信雙方有數(shù)據(jù)交互時，就建立一個TCP連接，數(shù)據(jù)發(fā)送完成后，則斷開此TCP連接。比如Http的，只是連接、請求、關(guān)閉，過程時間較短服務(wù)器若是一段時間內(nèi)沒有收到請求即可關(guān)閉連接。其實長連接是相對于通常的短連接而說的，也就是長時間保持客戶端與服務(wù)端的連接狀態(tài)。

用戶數(shù)據(jù)報協(xié)議UDP（User Datagram Protocol）由于實現(xiàn)機制簡單、傳輸效率高，成為分布式應(yīng)用中常用的網(wǎng)絡(luò)報文傳輸協(xié)議，尤其廣泛應(yīng)用于各種仿真系統(tǒng)或者試驗系統(tǒng)中。通過UDP的方法，設(shè)備向管理服務(wù)器發(fā)送心跳報文，上報設(shè)備終端的狀態(tài)。當有管理需求的時候，應(yīng)用服務(wù)器向管理服務(wù)器發(fā)送管理報文，當設(shè)備終端發(fā)送心跳報文請求的時候，管理服務(wù)器將管理報文發(fā)送終端，終端向應(yīng)用服務(wù)器發(fā)起請求執(zhí)行管理作業(yè)。

2 基于UDP實時遠程設(shè)備管理系統(tǒng)的基本流程

如圖1所示，基于UDP安全實時遠程設(shè)備管理系統(tǒng)的基本流程。

（1）與AP建立VPN隧道，實時控制和獲取AP的狀態(tài)。

流程描述：

A. 應(yīng)用服務(wù)器需要實時獲取設(shè)備狀態(tài)或者下發(fā)更新配置給設(shè)備的時候，向管理服務(wù)器發(fā)起請求；

B. 管理服務(wù)器在緩存中存儲設(shè)備需要建立VPN隧道的指令，（指令的過期時間以及時間tag）；

C. 設(shè)備心跳包的數(shù)據(jù)包到達時，從緩存中取出這個指令，根據(jù)指令，與指定的VPN Server建立隧道，并且即發(fā)起每秒上報，在數(shù)據(jù)包中攜帶最近執(zhí)行指令的結(jié)果；

D. 管理服務(wù)器在緩存中檢測到AP執(zhí)行指令的結(jié)果，并返回給應(yīng)用服務(wù)器（設(shè)置超時時間），同時管理服務(wù)器維護當前已建立的VPN隧道列表；

E. 應(yīng)用服務(wù)器通過VPN Server直接與AP通信，獲取最新的狀態(tài)或則下發(fā)配置，完畢后關(guān)閉隧道（設(shè)置VPN隧道的超時時間 或者由應(yīng)用服務(wù)器主動發(fā)起關(guān)閉VPN隧道）。

（2）分配上報地址流程。

流程描述：

A.設(shè)備每5分鐘進行傳統(tǒng)上報，應(yīng)用服務(wù)器檢查上報配置是否是默認配置；

B.如果是默認配置，那么向管理服務(wù)器請求新的可上報配置，下發(fā)到設(shè)備。

3 系統(tǒng)架構(gòu)

3.1 概述

系統(tǒng)一共有三個主要模塊：數(shù)據(jù)處理模塊、服務(wù)管理模塊以及VPN代理服務(wù)器。服務(wù)管理模塊處于整個系統(tǒng)的中心位置，向外提供接口、并管理數(shù)據(jù)處理服務(wù)器；VPN代理服務(wù)器提供VPN連接隧道，作為AP接收控制指令的代理服務(wù)器；數(shù)據(jù)處理模塊處理AP設(shè)備的上報數(shù)據(jù)，可以搭建多臺，以集群的形式存在，由管理服務(wù)器統(tǒng)一管理。

3.2 模塊

3.2.1 上報數(shù)據(jù)處理模塊

（1） 描述：以集群方式配置的數(shù)據(jù)處理服務(wù)器，用于并發(fā)處理設(shè)備的上報數(shù)據(jù)。

（2）接口：數(shù)據(jù)上報接口。描述：用于接收和處理設(shè)備的每秒上報數(shù)據(jù)；調(diào)試模塊：設(shè)備；接口協(xié)議：UDP；輸入：上報的UDP數(shù)據(jù)包；輸出：數(shù)據(jù)處理服務(wù)器的返回結(jié)果。

3.2.2 服務(wù)管理模塊

（1）描述：管理數(shù)據(jù)處理服務(wù)器，對外提供接口分配上報配置，接收應(yīng)用服務(wù)器下發(fā)的指令，并指定設(shè)備執(zhí)行。

（2）接口。

I. 分配上報配置接口。描述：根據(jù)當前數(shù)據(jù)處理服務(wù)器的狀態(tài)，分配一個可用的上報配置；調(diào)用模塊：應(yīng)用服務(wù)器；接口協(xié)議：TCP； 輸入：請求分配設(shè)備ID；輸出：可用的上報配置。

II. 下發(fā)指令接口。描述：接收應(yīng)用服務(wù)器發(fā)出讓指定設(shè)備執(zhí)行的指令，并返回設(shè)備執(zhí)行該指令的結(jié)果；調(diào)用模塊：應(yīng)用服務(wù)器；接口協(xié)議：TCP；輸入：特定的指令，例如建立VPN隧道；輸出：指令的執(zhí)行相關(guān)結(jié)果。

III. 登入設(shè)備接口。描述：管理服務(wù)器根據(jù)設(shè)備的虛擬地址，提供網(wǎng)頁控制臺的地址（網(wǎng)SSH）；調(diào)用模塊：應(yīng)用服務(wù)器；接口協(xié)議：TCP；輸入：設(shè)備在VPN中的虛擬地址和VPN的地址；輸出：VPN網(wǎng)頁SSH服務(wù)的地址；

IV. 獲取VPN隧道列表接口。描述：應(yīng)用服務(wù)器從管理服務(wù)器處獲得當前已經(jīng)建立的VPN隧道列表；調(diào)用模塊：應(yīng)用服務(wù)器；接口協(xié)議：TCP；輸入：無；輸出：當前已建立的VPN隧道列表，包括設(shè)備的MAC地址、VPN Server的地址、設(shè)備在VPN Server中的虛擬地址。

3.2.3 VPN代理服務(wù)器

（1）描述：向設(shè)備提供建立VPN隧道，作為代理服務(wù)器，轉(zhuǎn)發(fā)應(yīng)用服務(wù)器的控制信息。

（2）接口。

I. 控制信息轉(zhuǎn)發(fā)接口。描述：建立VPN隧道之后，向設(shè)備轉(zhuǎn)發(fā)應(yīng)用服務(wù)器的控制信息；調(diào)用模塊：應(yīng)用服務(wù)器；接口協(xié)議：TCP；輸入：特定的控制信息，例如進行固件更新或者狀態(tài)上報；輸出：設(shè)備狀態(tài)或固件更新的結(jié)果。

4 系統(tǒng)的安全實現(xiàn)

在與AP建立VPN隧道過程中，通過認證和授權(quán)保證其安全實現(xiàn)。

（1）認證。給每一個設(shè)備分配一個賬號和密碼在設(shè)備的某個安全區(qū)域。

建立VPN之前，用賬號和密碼獲取一個臨時的證書，然后用該臨時證書建立VPN的鏈接。臨時證書有有效期，當有效期過期之后，需要重新獲取新的臨時證書。這種動態(tài)獲取方法不用每次數(shù)據(jù)交互傳輸?shù)臅r候傳遞賬號和密碼，而是用動態(tài)的臨時正式來替換賬號身份信息，提高賬號和傳輸過程的安全性。

（2）授權(quán)。根據(jù)每個不同的設(shè)備賬號下發(fā)不同配置，授予不同權(quán)限，這樣可以根據(jù)不同的業(yè)務(wù)需求對設(shè)備進行分組管理，從而提高了設(shè)備管理的安全性和靈活性。

5 結(jié)束語

對于大規(guī)模的設(shè)備終端的遠程實時管理需要越來越高，物聯(lián)網(wǎng)的終端大多處于局域網(wǎng)內(nèi)，應(yīng)用服務(wù)器無法直接向物聯(lián)網(wǎng)的終端發(fā)送管理報文，用TCP通過終端和應(yīng)用服務(wù)器建立長鏈接的方法隨著終端數(shù)量的增加，消耗的網(wǎng)絡(luò)資源和服務(wù)器資源會越來越大，擴展性面臨的挑戰(zhàn)也會越來越大。通過用UDP的方法可以大大節(jié)約網(wǎng)絡(luò)和服務(wù)器資源，而同時達到安全實時遠程管理設(shè)備的需求。

參考文獻

[1] 黃玉蘭.物聯(lián)網(wǎng)體系結(jié)構(gòu)的探究[J].物聯(lián)網(wǎng)技術(shù)，2011年第4期，58-62.

[2] http：//wenku.baidu.com/link？url=U2AQdpN26x4KR1Q3ZuIIWQvzuZPBNst_6aABtlZnwNjkrHMJBfp1UWmNQRCm4tkCxVyBDwr6SK8Ywtz5MnCuUOx3OEYIQCEWucKHELxDMx_.

[3] 張劍，黃坤，姚晉.一種UDP報文數(shù)據(jù)的搜索方法[J].計算機與數(shù)字工程，2013年第1期，89-91.

作者簡介：

李原野（1980-），女，漢族，吉林吉林人，中國科學(xué)院軟件所，碩士，國家知識產(chǎn)權(quán)局專利局，審查員。