【摘要】论文全面介绍了一种基于UDP实时远程设备管理系统的设计与安全实现。随着物联网的发展,对于大规模的设备终端的远程实时管理需要越来越高,物联网的终端大多处于局域网内,应用服务器无法直接向物联网的终端发送管理报文,用TCP通过终端和应用服务器建立长链接的方法随着终端数量的增加,消耗的网络资源和服务器资源会越来越大,扩展性面临的挑战也会越来越大。论文提供的方案,通过用UDP的方法可以大大节约网络和服务器资源,此外,还提供的安全实现方法还能够达到安全实时远程管理设备的需求。
【关键词】UDP;长链接;设备管理;安全
1引言
物联网(IOT)是通过射频识别(Rfid)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按照约定的协议,把任何物品与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位、跟踪、监控和管理的一种网络。
随着物联网的发展,对于大规模的设备终端的远程实时管理需要越来越高。由于物联网的终端大多处于局域网内,应用服务器无法直接向物联网的终端发送管理报文,但是终端可以向应用服务器发送请求,终端用传输控制协议(TCP)和应用服务器建立长链接的方法随着终端数量的增加,消耗的网络资源和服务器资源会越来越大,而且系统的扩展性面临的挑战也会越来越大。
所谓长连接指在一个TCP连接上可以连续发送多个数据包,在TCP连接保持期间,如果没有数据包发送,需要双方发检测包以维持此连接,一般需要自己做在线维持。短连接是指通信双方有数据交互时,就建立一个TCP连接,数据发送完成后,则断开此TCP连接。比如Http的,只是连接、请求、关闭,过程时间较短服务器若是一段时间内没有收到请求即可关闭连接。其实长连接是相对于通常的短连接而说的,也就是长时间保持客户端与服务端的连接状态。
用户数据报协议UDP(UserDatagramProtocol)由于实现机制简单、传输效率高,成为分布式应用中常用的网络报文传输协议,尤其广泛应用于各种仿真系统或者试验系统中。通过UDP的方法,设备向管理服务器发送心跳报文,上报设备终端的状态。当有管理需求的时候,应用服务器向管理服务器发送管理报文,当设备终端发送心跳报文请求的时候,管理服务器将管理报文发送终端,终端向应用服务器发起请求执行管理作业。
2基于UDP实时远程设备管理系统的基本流程
如图1所示,基于UDP安全实时远程设备管理系统的基本流程。
(1)与AP建立VPN隧道,实时控制和获取AP的状态。
流程描述:
A.应用服务器需要实时获取设备状态或者下发更新配置给设备的时候,向管理服务器发起请求;
B.管理服务器在缓存中存储设备需要建立VPN隧道的指令,(指令的过期时间以及时间tag);
C.设备心跳包的数据包到达时,从缓存中取出这个指令,根据指令,与指定的VPNServer建立隧道,并且即发起每秒上报,在数据包中携带最近执行指令的结果;
D.管理服务器在缓存中检测到AP执行指令的结果,并返回给应用服务器(设置超时时间),同时管理服务器维护当前已建立的VPN隧道列表;
E.应用服务器通过VPNServer直接与AP通信,获取最新的状态或则下发配置,完毕后关闭隧道(设置VPN隧道的超时时间或者由应用服务器主动发起关闭VPN隧道)。
(2)分配上报地址流程。
流程描述:
A.设备每5分钟进行传统上报,应用服务器检查上报配置是否是默认配置;
B.如果是默认配置,那么向管理服务器请求新的可上报配置,下发到设备。
3系统架构
3.1概述
系统一共有三个主要模块:数据处理模块、服务管理模块以及VPN代理服务器。服务管理模块处于整个系统的中心位置,向外提供接口、并管理数据处理服务器;VPN代理服务器提供VPN连接隧道,作为AP接收控制指令的代理服务器;数据处理模块处理AP设备的上报数据,可以搭建多台,以集群的形式存在,由管理服务器统一管理。
3.2模块
3.2.1上报数据处理模块
(1)描述:以集群方式配置的数据处理服务器,用于并发处理设备的上报数据。
(2)接口:数据上报接口。描述:用于接收和处理设备的每秒上报数据;调试模块:设备;接口协议:UDP;输入:上报的UDP数据包;输出:数据处理服务器的返回结果。
3.2.2服务管理模块
(1)描述:管理数据处理服务器,对外提供接口分配上报配置,接收应用服务器下发的指令,并指定设备执行。
(2)接口。
I.分配上报配置接口。描述:根据当前数据处理服务器的状态,分配一个可用的上报配置;调用模块:应用服务器;接口协议:TCP;输入:请求分配设备ID;输出:可用的上报配置。
II.下发指令接口。描述:接收应用服务器发出让指定设备执行的指令,并返回设备执行该指令的结果;调用模块:应用服务器;接口协议:TCP;输入:特定的指令,例如建立VPN隧道;输出:指令的执行相关结果。
III.登入设备接口。描述:管理服务器根据设备的虚拟地址,提供网页控制台的地址(网SSH);调用模块:应用服务器;接口协议:TCP;输入:设备在VPN中的虚拟地址和VPN的地址;输出:VPN网页SSH服务的地址;
IV.获取VPN隧道列表接口。描述:应用服务器从管理服务器处获得当前已经建立的VPN隧道列表;调用模块:应用服务器;接口协议:TCP;输入:无;输出:当前已建立的VPN隧道列表,包括设备的MAC地址、VPNServer的地址、设备在VPNServer中的虚拟地址。
3.2.3VPN代理服务器
(1)描述:向设备提供建立VPN隧道,作为代理服务器,转发应用服务器的控制信息。
(2)接口。
I.控制信息转发接口。描述:建立VPN隧道之后,向设备转发应用服务器的控制信息;调用模块:应用服务器;接口协议:TCP;输入:特定的控制信息,例如进行固件更新或者状态上报;输出:设备状态或固件更新的结果。
4系统的安全实现
在与AP建立VPN隧道过程中,通过认证和授权保证其安全实现。
(1)认证。给每一个设备分配一个账号和密码在设备的某个安全区域。
建立VPN之前,用账号和密码获取一个临时的证书,然后用该临时证书建立VPN的链接。临时证书有有效期,当有效期过期之后,需要重新获取新的临时证书。这种动态获取方法不用每次数据交互传输的时候传递账号和密码,而是用动态的临时正式来替换账号身份信息,提高账号和传输过程的安全性。
(2)授权。根据每个不同的设备账号下发不同配置,授予不同权限,这样可以根据不同的业务需求对设备进行分组管理,从而提高了设备管理的安全性和灵活性。
5结束语
对于大规模的设备终端的远程实时管理需要越来越高,物联网的终端大多处于局域网内,应用服务器无法直接向物联网的终端发送管理报文,用TCP通过终端和应用服务器建立长链接的方法随着终端数量的增加,消耗的网络资源和服务器资源会越来越大,扩展性面临的挑战也会越来越大。通过用UDP的方法可以大大节约网络和服务器资源,而同时达到安全实时远程管理设备的需求。
参考文献
[1]黄玉兰.物联网体系结构的探究[J].物联网技术,2011年第4期,58-62.
[2]http://wenku.baidu.com/link?url=U2AQdpN26x4KR1Q3ZuIIWQvzuZPBNst_6aABtlZnwNjkrHMJBfp1UWmNQRCm4tkCxVyBDwr6SK8Ywtz5MnCuUOx3OEYIQCEWucKHELxDMx_.
[3]张剑,黄坤,姚晋.一种UDP报文数据的搜索方法[J].计算机与数字工程,2013年第1期,89-91.
期刊库(http://www.zgqkk.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。
【免责声明】本文仅代表作者本人观点,与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
646779424(普刊)
913775405(普刊)
867306987(核心)
271374912(核心)
