推荐星级：

物联网智能终端设备识别方法

更新时间：2019-12-12 11:14:48 大小：4M 上传用户：xiaohei1810 查看TA发布的资源 标签：物联网 下载积分：1分评价赚积分（如何评价?）打赏收藏评论(0) 举报

资料介绍

物联网终端身份的正确识别是建立物联网安全连接的重要前提,其中智能终端的身份识别问题尤为重要.介绍现有技术条件下,物联网中智能终端的设备识别方法.从物联网安全的角度,分析现有方案存在设备识别方式过于简单导致设备易被冒用的安全问题.为解决该问题,将物联网领域内项目研究工作的成果和业界的经验相结合,提出了物联网智能终端的多维度设备特征信息的识别方法.

部分文件列表

文件名	大小
物联网智能终端设备识别方法.pdf	4M

立即下载

【关注视频号领20积分】【关注公众号立即送20积分】

部分页面预览

（完整内容请下载后查看）

专题：智能终端与网络安全

专题导读

智能终端是移动互联网的载体和入口．近年

来，我国智能终端硬件产品出货量已经跃居全球

首位，并形成了生产制造等完善的具有较强竞争

力的生态产业链，涌现了一批具有全球影响力的

中国知名品牌。为了顺应互联网的发展潮流．国

务院印发了《关于积极推进“互联网+”行动的指

导意见》，工业和信息化部联合国家发展和改革

委员会也印发实施了《智能硬件产业创新发展专

项行动(2016—2018年)》。我国已成为全球智能

终端产业发展的核心区域，融合创新和产业链整

合成为智能终端发展主旋律，产品形态和服务模

式正加速演变。智能终端与物联网、云计算、大

数据紧密结合、广泛渗透，成为大众创业、万众

创新的重要方向。

安全的角度。调研现有技术条件下的物联网智能

终端设备识别方法，提出现有方法存在过于简单

易导致设备被冒用的安全问题。因此将物联网领

域内项目研究工作的成果和业界的经验结合。提

出物联网智能终端的多维度设备特征信息的识

别方法以解决终端识别信息简单带来的终端冒

用的隐患。

《基于用户卡的可信执行环境初始化方案》

从运营商角度出发，在对当前智能终端所具备的

可信执行环境架构、能力进行深入分析的基础

上。深入探讨了利用用户卡的存储和安全计算能

力．对智能终端的可信执行环境进行安全初始化

的方案，为充分发挥安全产业链能力、利用运营

商用户卡资源参与可信执行环境生态环境的建

设提供了思路。

随着互联网特别是移动互联网的发展．具备

丰富应用功能的智能终端，正在成为使用最为广

泛的数据处理终端，承载了大量个人信息和可能

涉密的信息。但是目前智能终端的开放性造成了

一些安全漏洞，使得智能终端产品容易遭受恶意

攻击，在比较敏感的领域和公共服务及与国计民

生和消费者生活密切相关的领域，安全隐患是智

能终端产业发展过程中必须要解决的问题。这些

隐患不仅使用户信息泄露的危险性增加，也给我

国信息安全带来隐患。为此有必要围绕着智能终

端、网络安全、信息安全、终端安全、端到端安全

保护以及高端敏感领域移动安全应用开展深入

的研究和探讨，推动智能终端产业的技术创新和

与实体经济的深度融合。

《基于共享式存储的智能终端数字签名方

案》探讨了在智能终端多样化的背景下，变换传

统的基于硬件数字证书思路进行安全保障的技

术，探讨智能终端使用智能卡作为数字证书，进

行统一管理和应用共享使用的方案，从而有效降

低数字证书的使用门槛。同时探讨了数字证书与

指纹识别结合的方案，从而充分发挥智能终端安

全硬件配置。简化用户使用。

《基于生物特征和混沌映射的多服务器身份

认证方案》提出了一种基于生物特征和混沌映射

的多服务器密钥认证方案，对该领域进行了有益

的探索。同时，鉴于用户生物特征信息的使用不

可避免地带来个人信息泄露的隐忧，本文使用混

沌映射方式对人脸信息进行脱敏。在提高认证可

靠性的同时保障了用户隐私，方案具有一定的新

颖性。

本期专题共组织了8篇文章，从多个方面探

讨智能终端及网络安全。

《物联网智能终端设备识别方法》从物联网

万方数据

：竺：

一些塑墅鳖堑

题．在对iOS操作系统安全机制演进进行对比分

析的基础上，分析了系统安全架构及应用分发模

式．并对已出现的主要iOS恶意应用攻击方法及

对用户数据安全隐私构成的威胁进行了汇总分

析，进而对威胁的缓解和对抗策略提出了明确的

观点。

《基于证书链验证机制的智能终端安卓系统

安全加固方案》结合证书链安全实现机制，以架

构完整性验证为核心，应用程序安全执行和数据

安全存储为手段，提出了基于证书链验证机制的

智能终端安卓系统安全加固方案，实现了安卓系

统内核的安全增强与加固．有效解决了系统完整

性和应用可信任性的问题。

《基于iOS系统的恶意行为检测研究》通过

剖析多个iOS恶意应用案例的作案手法及造成

的恶劣影响，分析出iOS恶意应用的主要行为特

征．研究了恶意行为检测过程中的各项关键技

术．提出了基于越狱方式Theos框架的iOS应用

恶意行为检测模型及解决方案，该模型及方案使

用了终端操作系统的Hook技术对应用行为实施

追踪并形成恶意行为序列库，继而使用KMP算

法对大量的行为序列数据进行行为分析，检测出

恶意应用。

《基于non—IP+SCEF技术增强物联网终端安

全性的研究》分析了黑客通过IP网络对海量物

联网终端实施攻击，把全球范围的受害终端组成

庞大僵尸网络。并驱动僵尸网络对知名网站及网

络服务发起大规模DDoS攻击的技术手段及缺

陷根源，结合3GPP国际标准R13版本的研究成

果以及运营商关于NB—IoT和eMTC网络部署计

划，提出了基于非IP通信+SCEF服务能力开放

的物联网终端安全解决方案．从根源上封堵黑客

入侵海量物联网终端的通路。

感谢作者们的无私分享，以此抛砖引玉，激

发更多科技工作者开展智能终端及网络安全的

深入研究。

((iOS恶意应用分析综述》聚焦了当前两大

主流移动操作系统之一——iOS系统的安全问

专题策划人：蔡康，男。博士，中国电信股

份有限公司广州研究院院长、教授级高级

工程师，IEEE高级会员，兼任中国通信学

会信息通信网络技术委员会委员、中国通

信学会大数据专家委员会委员、广东省通

信学会常务理事、广东省物联网专家委员

管理工作。所负责的项目曾获得中国通信学会科学技术

奖、中国电信科学技术进步奖、上海市科学技术奖等多个

奖项。

会和广东省大数据专家委员会委员、国家科学技术进步奖

评审委员、广东省科学技术奖评审委员、广东省专利奖评

审委员、广东省科协第八届委员会委员、《通信学报》和《电

信科学》杂志编委会委员。先后获得国家科学技术进步奖二

等奖2项，广东省科学技术进步奖一等奖2项、二等奖4项．中

国通信学会科学技术奖一等奖2项、二等奖3项。1997年被

授予广东省劳动模范称号；2002年享受政府特殊津贴，

2009年入选“新世纪百千万人才工程”国家级人选．2010年

被评为“广东十大创新人物”。2011年被授予“广东省丁颖科

技奖“，2012年被评为“全国优秀科技工作者”。

专题策划人：章坚武，男，杭州电子科技大

学通信工程学院教授、博士生导师，主要

研究方向为移动通信系统、多媒体通信技

术等。

万方数据

专题：智能终端与网络安全

物联网智能终端设备识别方法

肖清旺啦，王锦华馏，朱易翔坦

(1．移动互联网系统与应用安全国家工程实验室，上海201315；

2．中国电信股份有限公司上海研究院，上海200122)

摘

要：物联网终端身份的正确识别是建立物联网安全连接的重要前提。其中智能终端的身份识别问题尤为

重要。介绍现有技术条件下，物联网中智能终端的设备识别方法。从物联网安全的角度，分析现有方案存在设

备识别方式过于简单导致设备易被冒用的安全问题。为解决该问题，将物联网领域内项目研究工作的成果和

业界的经验相结合，提出了物联网智能终端的多维度设备特征信息的识别方法。

关键词：物联网；智能终端；设备识别

中图分类号：TP393

文献标识码：A

doi：10．119590．issn．1000—0801．2017044

terminal device identification method of internet of

Intelligent

things

XIAO

Jinhual”，ZHU

Qingwan91’2，WANG

Yixian91’2

1．Mobile Internet

and

National

Application Security

201315，China

System

Research Institute of China Telecom

Engineering Laboratory，Shanghai

200122，China

Co．，Ltd．，Shanghai

2．Shanghai

Abstract：The correct identification of the terminal of the internet of

is an

to establish

importantprerequisite

things

secure connection of the internet of

identification of the

terminal

intelligent

particularly important．

things．The

terminals in intemet of

The device identification method of

under the

was

intelligent

things

existing technology

the

of the

of the internet of

that the device

the

things，the

problem

investigated．From

perspective

security

of the

falsified

scheme was

analyzed．Combining

identification method was too

to be

simple

existing

easily

achievements of

research in the field of internet of

and the

of the

industry，the

project

things

experience

of IoT

terminals was

identification method of multidimensional device feature information

intelligent

proposed．

identification

words：intemet

terminal，device

things，inteBigent

Key

要有3点：应用层由安全服务解决认证授权、数据保护等

问题；网络层在服务端和终端之间建立安全的连接；感知

层的终端有可靠安全的运行环境。终端身份的正确识别是

物联网安全策略能成功执行的重要前提。

1引言

物联网的发展会接入各种设备，这意味着物联网对现

实世界会有更强的控制能力和数据采集能力。越来越强大

的控制能力和数据采集能力，使其对现实生活的影响程度

与El俱增。所以在物联网飞速发展的同时，物联网的安全

问题是不容忽视的。目前业内对物联网安全的解决策略主

智能终端与普通的非智能终端相比，功能强大且携带

大量敏感数据，如果发生设备盗用会对用户甚至社会造成

严重的危害。智能终端的设备识别问题尤为重要。

收稿日期：2016—12—22；修回日期：2017—02—13

万方数据

· 4·

_塑堂竺堂皇堕鲨

2智能终端识别方法及安全隐患

端设备的识别。多维度的信息终端设备识别策略流程如

图l所示。

在现有的技术条件下．智能终端身份识别方法不是非

常安全可靠。传统网络中，只有用户名口令、SIM卡等针对

用户的识别方法，没有针对终端的身份标识方法。在物联

网中．这一问题并没有被很好地解决。对业内众多优秀供

应商的物联网解决方案进行调研，各供应商终端身份标识

的方法大同小异。

图1 多维度的信息终端设备识别流程

综合获取的信息包括操作系统种类、操作系统实时版

本、涉及敏感数据的App特征、用户行为特征等，将混合信

息生成智能终端的设备识别特征。如果有异常，更新设备

识别信息，确保接入终端身份标识的合法性和有效性。多

维度复合的终端标识信息，可以解决由于标识信息过于简

单带来的合法终端易被盗用的问题。

2．1现有技术方案

(1)移动终端识别方案

运营商提供给终端的用户标识信息和出厂时写入终

端设备的识别信息计算生成身份识别ID，用于终端与网

络服务端的认证。

3．1

智能终端研究范围

本文研究的对象是智能终端，包括所有具有独立操作

系统的嵌入式设备。设备特征分析如下：

(2)有线终端识别方案

· 硬件包括包芯片、PCB、外围接口等；

运营商提供的入网密钥和出厂时写入终端设备的识别

信息生成身份识别ID，用于终端与网络服务端的认证，身

份标识由网络服务器对终端进行操作。

· 驱动包括各种设备驱动、外围驱动等；

· 操作系统包括Windows系列、Linux系列、Mac系列

以及其他实时或分时的嵌入式操作系统等；

分析现有技术，出厂时写入设备的识别码(多为出厂

编号或预置密钥)，由于是出厂前置入且内容单一，并不能

严谨地代表当前设备的合法接人身份。

· App的行业特征及运行环境需求特征；

· 用户及终端设备在运行期间的业务习惯、空间域、

时间域等。

2．2现有方案存在的问题

3．2设备特征分析

从智能终端特征分析，现有方案存在由于设备标识内

容过于简单而极易被盗用身份的问题。

使用多维度的复合信息标识终端设备，首先要做的是

对设备进行特征分析。设备特征包括构成终端设备的芯片

型号、PCB型号版本号、外围接口类型、驱动版本、操作系

终端具有硬件型号、操作系统种类及版本、常用App

行业类别、用户上下线地域和时间域等特征，由于系统版

本升级以及用户行为的不同，App特征信息、用户行为特

征等信息是出厂前无法预知的，所以出厂前配置的识别特

征码无法正确代表用户。智能终端身份识别信息应当包含

统种类、操作系统版本、App特征、终端行为特征及用户行

为特征等。终端特征分析维度见表l。

3．3设备识别ID生成

分析设备特征后．需要将设备特征转化为设备的国际

用户行为、系统版本、App环境等信息，所以使用出厂前预

置码识别设备本身的方案是不严谨的。在终端被盗窃或者

标识码(international

equipment identity，IEID)。对于移动终

mobile

终端被非法入侵时。攻击者盗用合法用户的身份信息。由

于身份标识的信息太少而且过于简单。所以在身份识别的

环节。危害是难以防范的。

端，转化为国际移动设备身份码(international

equipment identity，IMEI)。具体方法是：使用通过终端设备

特征分析得到的多维度信息数据，通过计算，生成可以代

表设备现有状态的唯一标识ID。

3解决策略

生成设备识别ID前．先生成设备特征分析数据表。终

端在设备特征分析数据表中查询生成数据特征码。设备特

征分析数据表的生成方式由各物联网平台自定义。现提供

假想终端部分特征数据的参考表。各类特征(如芯片特征、

针对现有终端设备识别方法过于简单导致的安全问题，

提出新的终端识别方式，以解决终端身份易被盗用的问题。

使用新的设备标识方式，不再使用出厂置入终端设备

的设备编号作为标记设备的设备ID。而是对设备进行特

征分析，使用多维度的复合信息生成设备识别ID，用于终

PCB特征、驱动特征等)采用统计注册的方式，具体见表2。

其中，App特征、用户特征及终端工作特征需要使用深度

万方数据

：!：

：．塑鲤豳豳—_

表1

智能终端特征分析项

学习的方式进行分析。

对于不带SIM卡的移动终端，此类设备不通过蜂窝移

动网络．而是通过其他方式接入网关之后再接人应用平

台。所以需要采用终端本身的IMEI与网关设备的ISID相

结合的方式。此类设备接入时，要求网关或者NS一定要有

运营商提供的ISID。

表2所示的仅是部分多维度信息，在实际生产中，可

以采用更加丰富的信息作为数据分析表。对分析到的数据进

行处理，如散列处理、加密处理、压缩处理等，最终生成可以

严谨代表终端的设备标识码(IEID或IMEI)，如图2所示。

3．4终端设备识别

对于有线终端，使用ISID与IEID结合标识的方式。有

线设备具有相对固定的特点，可以由所在地的运营商提供

ISID，结合IEID入网。

设备识别方式本质是生成更有效的IEID(或IMEI)。

平台识别终端时，根据设备的识别码，反向分析设备

的特征，以确保设备的正确性。在进行验证、授权、业务交互

等动作前，对终端设备进行实时识别，即将解析IMEI(或

IEID)生成的设备注册数据与实时获取的设备数据进行比

对，数据匹配才可进行其他业务。具体如图3所示。

经过第3．1节的分析和第3．2节的计算，最终生成了

可以唯一代表终端设备本身的设备标识码。将设备标识码

3．5应用场景示例

应用场景以移动智能终端为例，通过IMEI与IMSI结

合的方式标识。业务主要过程如图5所示。

(1)设备入网注册，将设备特征分析数据表通过散列、

加密、压缩等方式计算生成IMEI。与IMSI信息结队标识合

法的接入设备，将信息存人物联网应用服务平台。

(2)当智能终端向应用服务平台发起接人申请时，服务

平台根据合法的IMSI信息，查询对应的IMEI信息。IMEI

经反向计算生成终端在平台注册的设备特征表。

(3)将平台分析出的设备特征表与设备中实时获取的

设备特征表进行比对，分析结果。

与运营商提供的用户识别码结合，作为终端的最终入网设

备识别码。智能终端入网识别方法示意如图4所示。

对于带SIM卡的移动终端，由于终端本身可以拥有运

营商用户识别码。所以可以直接使用IMSI与IMEI结合标

识的方式。

万方数据

：皇：

_塑壁竺塑兰塑堕塑

表2自定义智能终端特征数据(表格Demo)

特征编码内容示例

AT91F40162

ATMEL

终端特征

特征项

标识信息示例

硬件特征

芯片特征(以ARM7AT91系统其中一芯片型号

款部分参数为例)

供应商

2．7～3．6

电压一电源(VCoⅣDD)

40MHz

主频

KBx8

RAM

CEM一3

PCB特征

外围接口

板材

L29．2 mmXWl9．1 mmxTl．2 mm

2．0x2 3．0xI No．1 online No．2 omine

232xl485xl No．10nline

规格

USB接口

UART接口

百兆网口

}1 VMnet0

backup

41 VMnetl

吉比特网口

终端已经安装驱动种类

外接鼠标驱动

外接绘图手写板驱动

系统类型

D*2 Moase PenNo．1 online

驱动特征

系统特征

驱动功能

驱动版本

version 2017．1．5．15．04

2017．1．5．15．05

version

4．4 Huawei

Android

操作系统(仅示例部分操作系统)

WinCE

Linux Telecom

Linux Ubuntu

Linux Fadora

Ubuntu 14

系统版本(仅以Ubuntu系统示例)

Ubuntu

version 2017．1．5．15．06

version 2017．1．6．15．05

version 2017．1_7．15．05

系统版本号

系统更新版本号

更新时间列表

系统更新时间

2017．1．8．15．05

version

系统后台插件

文件系统特征

安全插件

协议分析插件

文件系统类型

硬盘消耗记录

CPU消耗记录

内存消耗记录

金融、医疗、交通等

NTFS、FAT32、EXT、JSF

10 GB

1．8 GHzx470％

GB 70％

行业特征

金融

App特征

用户特征

Demo占用

App

运行环境特征

后台插件特征

用户空间域

用户时间域

用户业务习惯

用户登录习惯

终端空间域

终端时间域

终端业务习惯

终端接人习惯

安全插件

输入保护：l

说明城市、所在建筑等信息

上海市浦东新区电信大厦

17：30

用户习惯使用的时间

数据分析、打印功能

指纹

数据分析

指纹

工作特征

出厂编号

GPS坐标、经度、纬度等

09：Oo-17：00

经度100 nl、纬度loom、海拔100in

14：00

金融

金融、医疗、交通

SSH登录、Telnet、4G

SSH登录

编号示例略

万方数据

电信科学2017年第2期

i[薪磊祗1十——哎

一

。飘删、删甜、雎湘寺’

；黑恶牙》 -(二纛二_h蔓

墼壁垒!!壁笙

逐鏖堂丑

_{；『。。。。。j；ij；；j：；i；；田1．．．．．—．．．．：．：．：．：—：：：：砂‘。。‘。。。一一一一一一。}!L—坐竺型鳖型兰兰l_-J

r：：塑至堑塑：_

}一：蔓堕堕：．一1

一．；=：==—刊堡堡墨竺翌鲞l

l塑堡墨笙塑耋l

固照曼罢要滞差i

、H]萨存网；

：几丽丽两田；

IMSI

IMEI

移动终端

(带SIM卡)

——、

I!坚!!||!坚兰!l

，

c焉，H端1名IMEI

i冀=。1

。。。N。‘N‘。N。。N。。。。-y,／i------· ---· · -j

图4智能终端入网识别方法示意

平台的发展。通过业务引导，逐渐地让更为安全的识别认

(4)比对通过，则认为设备已经成功识别，然后进行后

续的验证、授权及业务交互工作。

证方式成为标准。

到此，终端设备识别方法研究完成。

结束语

4运营商如何引领变革

要保证物联网的安全，需要做好终端识别、终端身份

在物联网时代．电信运营商需要做的是拒绝不合

法的设备接入，为合法接入的设备提供安全服务，并

推动物联网设备入网协议的标准化。具体可以做以下

3件事。

验证、终端可用资源授权等一系列的工作，终端正确识别

是一系列安全策略能有效执行的首要条件。现有的设备识

别方式过于简单。存在严重的安全隐患。

现提出了使用多维度综合信息作为终端识别信息的

策略，可以解决终端识别信息简单带来的终端冒用的隐

患。相比传统的出厂置入设备识别码的方式，多维度的

信息包含了众多终端的实时特性，比如系统版本号、系

统更新时间、系统资源占用情况、终端使用特征和用户

特征等信息。信息经过散列、加密、压缩等处理得到的识

别码。可以在身份识别时反推出注册设备的特征，与设

备的实时状态比对即可分析出当前设备是否真正可以

合法接入，从而有效防止因设备盗窃、系统重置等攻击

手段带来的危害。

(1)接入许可

只允许同时满足IMSI合法和IMEI合法的终端设备

接入网络。

(2)提供安全服务

利用电信运营商大数据的优势，将反电子欺诈平台投

入实际运营中并持续改进，不断优化升级反欺诈的能力，

为公众提供安全可信的通信服务。

(3)推动标准

利用电信运营商的甲方角色，推动更安全的设备识别

万方数据

童塑!塑壁竺堂兰塑鳖室全————————旦

合法用户注册

一一一●●●---一一_一一一一-_-----一一一_一一_一一●-●-__一一一_-一-一---一。一一一一一。一一一一一-●一。一--_一一一一。一●一一一

：，一一一一。一一‘‘‘’’一一一。一一一一一·

：：设备特征分析数据表：

．．．．．．．．．．．．．一一．一一一一一一一一一一一一一．一一一一一．一一．．．．一一．一一．一一．．．．．．．．．．．．．一一．一一一一一一一一一一一-一一-一一一一一-· 一· -· 一--· ---一一-一一一一一J

罔5业务主要过程

Intemet of

things security[明．

F，XIANG M'et

D，WEI

使用多维度的综合信息作为智能终端的识别信息，可

以使物联网的安全性得到进一步的提高。电信运营商在这

一过程中，可以通过接入许可管理、安全服务、业务引导等

方式推动终端识别方式的发展，以争取在物联网时代，让

运营商可以承担重要的生态链角色。

Press，2012．

Beijing：Science

【作者简介】

肖清旺(1989一)，男，移动互联网系统与应

用安全国家工程实验室工程师，主要研究

方向为物联网终端安全接入技术。

参考文献：

[1】吴新勇．嵌入式操作系统安全保障技术研究[D】．成都：电子科技

大学．2003．

Y．Embedded

operating system security technology

of Electronic Science and

research时Chengdu：University

Technology，2003．

王锦华(1982一)，男，移动互联网系统与应用安全国家工程实

验室工程师，主要研究方向为云计算、大数据安全相关技术。

[2]刘文懋．物联网感知环境安全机制的关键技术研究[D]．哈尔

滨：哈尔滨工业大学．2013．

LIU

M．Intemet of

of environmental

safety

things perception

key technology research[D】．Harbin：Harbin

朱易翔(1979一)，男，移动互联网系统与应用安全国家工程

实验室副主任．负责移动互联网系统与应用安全国家工程

实验室技术研发工作，主要研究方向为安全体系与架构、

安全攻防与漏洞发掘、移动应用安全检测等。

mechanism of

Institute of

Technology，2013．

【3]胡向东，魏琴芳，向敏，等．物联网安全【M]．北京：科学出版

社．2012．

万方数据

全部评论(0)

暂无评论

评论赚积分>>

上传资源上传优质资源有赏金

物联网智能终端设备识别方法

资料介绍

部分文件列表

部分页面预览

相关下载

全部评论(0)

热门标签

最新上传

热门下载

推荐下载

专栏首页