《一种基于UDP实时远程设备管理系统的设计与安全实现.doc》由会员分享,可在线阅读,更多相关《一种基于UDP实时远程设备管理系统的设计与安全实现.doc(7页珍藏版)》请在三一文库上搜索。
1、一种基于UDP实时远程设备管理系统的设计与安全实现【 Abstract 】 This paper introduces the design and security implement of a system based on UDP to manage the devices remotely and real timely. With the development of internet of things ( IOT), manage the devices remotely and real timely has been a growing demand, the devices
2、 are most in the local area network(LAN),the application servers can not send the message to the devices. During the increment of the devices, the method using TCP to make a persistent connection between the devices and the application servers will consume more and more resources. The solution provi
3、ded by this paper using UDP can decrease the consumption of the resources or the network and sever, and can security manage the devices remotely and real timely. 【 Keywords 】 udp; persistent connection; device management; security 1 引言 物联网(IOT)是通过射频识别(Rfid)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按照约定的协议,把任何物品与互联
4、网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。 随着物联网的发展,对于大规模的设备终端的远程实时管理需要越来越高。由于物联网的终端大多处于局域网内,应用服务器无法直接向物联网的终端发送管理报文,但是终端可以向应用服务器发送请求,终端用传输控制协议(TCP)和应用服务器建立长链接的方法随着终端数量的增加,消耗的网络资源和服务器资源会越来越大,而且系统的扩展性面临的挑战也会越来越大。 所谓长连接指在一个TCP连接上可以连续发送多个数据包,在TCP连接保持期间,如果没有数据包发送,需要双方发检测包以维持此连接,一般需要自己做在线维持。短连接是指通信双方有数据交互
5、时,就建立一个TCP连接,数据发送完成后,则断开此TCP连接。比如Http的,只是连接、请求、关闭,过程时间较短服务器若是一段时间内没有收到请求即可关闭连接。其实长连接是相对于通常的短连接而说的,也就是长时间保持客户端与服务端的连接状态。 用户数据报协议UDP(User Datagram Protocol)由于实现机制简单、传输效率高,成为分布式应用中常用的网络报文传输协议,尤其广泛应用于各种仿真系统或者试验系统中。通过UDP的方法,设备向管理服务器发送心跳报文,上报设备终端的状态。当有管理需求的时候,应用服务器向管理服务器发送管理报文,当设备终端发送心跳报文请求的时候,管理服务器将管理报文发
6、送终端,终端向应用服务器发起请求执行管理作业。 2 基于UDP实时远程设备管理系统的基本流程 如图1所示,基于UDP安全实时远程设备管理系统的基本流程。 (1)与AP建立VPN隧道,实时控制和获取AP的状态。 流程描述: A. 应用服务器需要实时获取设备状态或者下发更新配置给设备的时候,向管理服务器发起请求; B. 管理服务器在缓存中存储设备需要建立VPN隧道的指令,(指令的过期时间以及时间tag); C. 设备心跳包的数据包到达时,从缓存中取出这个指令,根据指令,与指定的VPN Server建立隧道,并且即发起每秒上报,在数据包中携带最近执行指令的结果; D. 管理服务器在缓存中检测到AP执
7、行指令的结果,并返回给应用服务器(设置超时时间),同时管理服务器维护当前已建立的VPN隧道列表; E. 应用服务器通过VPN Server直接与AP通信,获取最新的状态或则下发配置,完毕后关闭隧道(设置VPN隧道的超时时间 或者由应用服务器主动发起关闭VPN隧道)。 (2)分配上报地址流程。 流程描述: A.设备每5分钟进行传统上报,应用服务器检查上报配置是否是默认配置; B.如果是默认配置,那么向管理服务器请求新的可上报配置,下发到设备。 3 系统架构 3.1 概述 系统一共有三个主要模块:数据处理模块、服务管理模块以及VPN代理服务器。服务管理模块处于整个系统的中心位置,向外提供接口、并管
8、理数据处理服务器;VPN代理服务器提供VPN连接隧道,作为AP接收控制指令的代理服务器;数据处理模块处理AP设备的上报数据,可以搭建多台,以集群的形式存在,由管理服务器统一管理。 3.2 模块 3.2.1 上报数据处理模块 (1) 描述:以集群方式配置的数据处理服务器,用于并发处理设备的上报数据。 (2)接口:数据上报接口。描述:用于接收和处理设备的每秒上报数据;调试模块:设备;接口协议:UDP;输入:上报的UDP数据包;输出:数据处理服务器的返回结果。 3.2.2 服务管理模块 (1)描述:管理数据处理服务器,对外提供接口分配上报配置,接收应用服务器下发的指令,并指定设备执行。 (2)接口。
9、 I. 分配上报配置接口。描述:根据当前数据处理服务器的状态,分配一个可用的上报配置;调用模块:应用服务器;接口协议:TCP; 输入:请求分配设备ID;输出:可用的上报配置。 II. 下发指令接口。描述:接收应用服务器发出让指定设备执行的指令,并返回设备执行该指令的结果;调用模块:应用服务器;接口协议:TCP;输入:特定的指令,例如建立VPN隧道;输出:指令的执行相关结果。 III. 登入设备接口。描述:管理服务器根据设备的虚拟地址,提供网页控制台的地址(网SSH);调用模块:应用服务器;接口协议:TCP;输入:设备在VPN中的虚拟地址和VPN的地址;输出:VPN网页SSH服务的地址; IV.
10、 获取VPN隧道列表接口。描述:应用服务器从管理服务器处获得当前已经建立的VPN隧道列表;调用模块:应用服务器;接口协议:TCP;输入:无;输出:当前已建立的VPN隧道列表,包括设备的MAC地址、VPN Server的地址、设备在VPN Server中的虚拟地址。 3.2.3 VPN代理服务器 (1)描述:向设备提供建立VPN隧道,作为代理服务器,转发应用服务器的控制信息。 (2)接口。 I. 控制信息转发接口。描述:建立VPN隧道之后,向设备转发应用服务器的控制信息;调用模块:应用服务器;接口协议:TCP;输入:特定的控制信息,例如进行固件更新或者状态上报;输出:设备状态或固件更新的结果。
11、4 系统的安全实现 在与AP建立VPN隧道过程中,通过认证和授权保证其安全实现。 (1)认证。给每一个设备分配一个账号和密码在设备的某个安全区域。 建立VPN之前,用账号和密码获取一个临时的证书,然后用该临时证书建立VPN的链接。临时证书有有效期,当有效期过期之后,需要重新获取新的临时证书。这种动态获取方法不用每次数据交互传输的时候传递账号和密码,而是用动态的临时正式来替换账号身份信息,提高账号和传输过程的安全性。 (2)授权。根据每个不同的设备账号下发不同配置,授予不同权限,这样可以根据不同的业务需求对设备进行分组管理,从而提高了设备管理的安全性和灵活性。 5 结束语 对于大规模的设备终端的远程实时管理需要越来越高,物联网的终端大多处于局域网内,应用服务器无法直接向物联网的终端发送管理报文,用TCP通过终端和应用服务器建立长链接的方法随着终端数量的增加,消耗的网络资源和服务器资源会越来越大,扩展性面临的挑战也会越来越大。通过用UDP的方法可以大大节约网络和服务器资源,而同时达到安全实时远程管理设备的需求。