基于云計算的物聯網關鍵技術研究孫知信教授南京郵電大學物聯網學院

SUNZX@基于云計算的物聯網關鍵技術研究孫知信教授目錄

物聯網與云計算01

基于云計算的物聯網環境02

基于云計算的物聯網安全03

目前我們的研究工作04目錄物聯網與云計算01基于云計算的物聯網環境02基于云物聯網與云計算

物聯網特點云計算特點物聯網發展被正式列入國家發展戰略。中國物聯網應用基礎已初步形成。物聯網產業聯盟迅速出現，從業人員增加。物聯網標準制定工作引起各方注意。物聯網核心技術突破仍是難題。物聯網發展仍處于初期階段。云計算為用戶提供最可靠，最安全的數據存儲中心。云計算對用戶端設備要求最低，使用方便。云計算可以實現不同用戶設備間都數據與應用共享。云計算為用戶使用網絡提供來無限多都可能。物聯網與云計算物聯網特點云計算特點物聯網發展被正式列入國物聯網發展趨勢物理世界感知是物聯網建設的基礎。大量獨立建設的單一物聯網應用是物聯網建設的起點與基本元素。眾多單一物聯網應用的深度互聯和跨域協作是物聯網建設的目標。物聯網發展趨勢物理世界感知是物聯網建設的基礎。大量獨立建云計算發展趨勢現階段價值初步體現典型應用5-10年后價值體現行業云應用局部自動互聯愿景廣泛互聯跨域合作泛在共享云計算發展趨勢現階段5-10年后愿景物聯網與云計算關系物聯網與云計算的結合應用勢在必行。物聯網的大規模發展離不開云計算平臺的支撐，而云計算平臺的完善與大規模的應用需要物聯網的發展為其提供最大的用戶?；谠朴嬎愕奈锫摼W安全研究將為物聯網與云計算的發展提供最可靠的保障，也是物聯網與云計算蓬勃發展的必要條件。物聯網與云計算關系物聯網與云計算的結合應用勢在必行。目錄

物聯網與云計算01

基于云計算的物聯網環境02

基于云計算的物聯網安全03

目前我們的研究工作04目錄物聯網與云計算01基于云計算的物聯網環境02基于云云基礎設施云計算平臺的體系架構云平臺云應用云基礎設施通過物理資源虛擬化技術，使得平臺上運行的不同行業應用以及同一行業應用的不同客戶間的資源（存儲、CPU等）實現共享。云平臺是物聯網運營平臺的核心，實現了網絡節點的配置和控制、信息的采集和計算功能，對海量數據的分析處理，以滿足大數據量且實時性要求非常高的數據處理要求。云應用作為物聯網運營平臺的一部分，實現行業應用的業務流程，在技術上通過應用虛擬化技術，實現多租戶，讓一個物聯網行業應用的多個不同租戶共享存儲、計算能力等資源。云基礎設施云計算平臺的體系架構云平臺云應用云基礎設施通過物理物聯網與云計算結合方式（1）單中心，多終端這種方式的云中心大部分由私有云構成，可提供統一的界面，具備海量存儲能力與分級管理功能。物聯網與云計算結合方式（1）單中心，多終端VAE基于NGIN平臺IMSMobileNetwork網關管端物聯網互聯網通信網政府交通金融政府企業大企業云中小企業云城市數據中心云eCityIDC傳感器及傳感網絡物聯網與云計算結合方式（2）多中心，大量終端這種方式的云中心由共有云和私有云構成，并且二者可以實現互聯。

VAE基于NGIN平臺IMSMobileNetwork網關物聯網與云計算結合方式（3）信息應用分層處理，海量終端這種方式的云中心同樣由共有云和私有云構成，它的特點是用戶的范圍廣、信息及數據種類多、安全性能高。

物聯網與云計算結合方式（3）信息應用分層處理，海量終端基于云計算的物聯網可信環境（1）云計算技術的重要特點結合了分布式處理、并行處理和網格計算的優勢。云計算技術將存儲在分布式計算機產品中的大量數據和處理器資源整合在一起協同工作，使相關的計算分布在大量的分布式計算機上。超強的計算能力。通過一定的協調調度策略，云計算模式可以通過數萬乃至百萬的普通計算機之間的聯合來提供超強的、可以與超級計算機相抗衡的計算能力。基于云計算的物聯網可信環境（1）云計算技術的重要特點結合了分基于云計算的物聯網可信環境（2）TRE（可信環境）需要保證：一個可信執行環境一個具備隱私保護的存儲環境能夠抵御外界攻擊至少支持一種認證算法

云計算技術關鍵特點結合了分布式處理、并行處理和網格計算的優勢。超強計算能力。運用云計算技術特點搭建物聯網可信環境是我們的研究工作之一?；谠朴嬎愕奈锫摼W可信環境（2）TRE（可信環境）需要保證：目錄

物聯網與云計算01

基于云計算的物聯網環境02

基于云計算的物聯網安全03

目前我們的研究工作04目錄物聯網與云計算01基于云計算的物聯網環境02基于云基于云計算的物聯網安全需求（1）3G互聯網將形成巨大的信息安全防護需求。云計算將帶來巨額信息化安全投資。三網融合建設將催化信息化安全需求。物聯網的信息安全投入將給國內信息安全解決服務廠商帶來巨大商機?；谠朴嬎愕奈锫摼W安全需求（1）3G互聯網將形成巨大的信息安基于云計算的物聯網安全需求（2）感知層網絡層應用層物聯網面臨的信息安全挑戰擁塞攻擊、碰撞攻擊、物理破壞耗盡攻擊、丟棄和貪婪破壞、非公平競爭匯聚節點攻擊方向誤導攻擊黑洞攻擊洪泛攻擊失步攻擊智能變為低能自動變為失控非法人為干預（內部攻擊）設備（特別是移動設備）的丟失隱私數據的竊取基于云計算的物聯網安全需求（2）感知層網絡層應用層物聯網面臨基于云計算的數據安全研究數據安全存儲數據安全傳輸數據安全研究同態加密密鑰集中管理云計算服務端環境可信在線備份系統基于云計算的數據安全研究數據安全存儲數據安全傳輸數據安全研究數據在線備份服務系統（1）數據在線備份服務系統面臨三大要求既要兼容不同感知層應用的異構數據平臺，又要滿足云計算存儲設備的高擴展性和海量數據存儲的組織形式。既要考慮網絡傳輸效率，又要保證數據的安全性。既要滿足系統在大量物聯網應用實體并發訪問時的服務能力，又要進行服務質量的主動控制。數據在線備份服務系統（1）數據在線備份服務系統面臨三大要求數據在線備份服務系統（2）需求解決方案按照云計算的思想，系統的拓撲結構包括三個層次的備份云:廣域(公共)云,區域云及本地(私有)云。按照就近服務原則，完成新注冊用戶的調度分配。從軟件架構的角度，都包括備份客戶端、調度服務器和存儲服務器三個子系統。三個子系統除了執行雙向安全認證，由調度服務器完成作業調度，建立備份客戶端與存儲服務器之間的聯系。系統必須設置多臺介質服務器，以滿足系統擴展性方面的要求。數據在線備份服務系統（2）需求解決方案按照云計算的思想，系統數據同態加密研究

同態加密的思想起源于私密同態(privacyhomomorphism)，它允許在不知道解密函數的前提下對加密數據進行計算。Sander和Tschudin定義了整數環上的加法、乘法同態加密機制,加法、乘法同態確保兩個變量加密后的計算結果與加密前的計算結果相同。IBM研究人員CraigGentry已研究出一種完全同態加密方案，該方案將能夠加強云計算的商業模式(當供應商負責托管客戶重要數據時)，這樣就可以讓客戶在自己的客戶端請求來對數據執行計算而不會暴露原始數據。數據同態加密研究同態加密的思想起源于私密同態(priva基于云計算平臺的物聯網數據同態加密研究同態加密應用于物聯網的優勢物聯網感知數據的大小一般都限定在一定的數量級范圍內，數據類型也大部分限定在整數環中，而基礎的整數環智能光的加法和乘法同態、混合乘法同態加密已十分成熟，因此大部分的物聯網應用可以使用以上三種同態算法完成，不需要依賴于完全同態算法。使用同態加密的技術難點提出一種適用于云計算平臺的同態加密機制。研究物聯網傳感器感應數據的格式，并設計統一數據接口，將感應數據歸一化到整數域內。對同態加密數據常用處理（如平均值、級差、方差、標準差及數據挖掘等）建立標準庫。設計基于云計算平臺的同態加密授權策略?；谠朴嬎闫脚_的物聯網數據同態加密研究同態加密應用于物聯網目錄

物聯網與云計算01

基于云計算的物聯網環境02

基于云計算的物聯網安全03

目前我們的研究工作04目錄物聯網與云計算01基于云計算的物聯網環境02基于云目前我們的研究工作基于云計算的數據挖掘算法研究與實現構建云計算平臺數據挖掘算法的并行算法研究與實現用戶聚類和用戶個性化推薦的分布式應用的構建和實現

基于云計算的物聯網關鍵技術研究相關國際組織的工作和進展構建基于物聯網的可信環境研究基于等級劃分的物聯網網關接入安全策略終端編碼與尋址研究物聯網接入網關輕量級關鍵技術研究輕量級物聯網安全技術輕量級IPV6編碼尋址技術目前我們的研究工作基于云計算的數據挖掘算法研究與實現基于云計算的數據挖掘算法研究與實現Linux環境下的云計算平臺Hadoop平臺分布式文件系統HDFS并行算法MapReduce訪問模式并行計算思想Master/slave架構層次式文件系統技術Mapper類和接口Reduce類和接口簡單高效的數據加載（導入）工具基于云計算的數據挖掘算法研究與實現Linux環境下的云計算平數據挖掘算法的并行算法研究與實現關聯規則分類與預測爬蟲協同過濾基本算法網頁解析聚類對每一類數據挖掘算法進行MapReduce改造。對該算法的每個MapReduce過程，定義具體的實現。在Hadoop平臺下進行編碼。對實現的數據挖掘并行算法進行測試。數據挖掘算法的并行算法研究與實現關聯規則分類與預測爬蟲協同過用戶聚類和用戶個性化推薦的分布式應用構建應用業務理解，對應用業務問題的界定，以及內外部資源的評估和組織；針對具體應用，進行數據理解，完成應用需要的數據的確定并綜合采用爬蟲、網頁解析、分詞等技術獲取所需要的數據；對獲取的數據進行處理，如數據整合、數據重構、數據格式化、數據的量化處理等；選擇合適的獨立性變量，建立分類模型，并應用不同的分類數據挖掘算法對用戶進行分群；根據聚類的結果，進行合理的業務解釋，在對模型進行評估后，針對具體的用戶群，制定合適的個性化推薦方案并實現個性化方案的用戶推薦。應用構建路線用戶聚類和用戶個性化推薦的分布式應用構建應用業務理解，對應用數據挖掘的意義通過公有云或私有云的方式由不同渠道匯集信息數據捕獲處理建模估算匯總云中心物聯網產業涉及行業眾多，數據量巨大，高效的數據挖掘能夠為物聯網應用企業提供智能化的信息策略。通過云中心對海量信息庫的智能數據挖掘，進行企業運營狀況，客戶價值和物流等信息分析為企業規避商業風險，提供新的利益增長點。數據挖掘的意義通過公有云或私有云的方式由不同渠道匯集信息數據相關國際組織的工作和進展物聯網相關的主要國際標準組織ETSI3GPPIETF主要標準物聯網全套業務解決方案和嵌入式SIM卡主要標準包括ETSIM2MTC,ETSIETC等主要標準化物聯網與電信網的聯系主要標準包括3GPPTS22.368;3GPPTR23.888等CCSA主要標準化網絡層與傳輸層主要標準包括6LowPAN,ROLL,CoAP等主要標準化業務平臺，業務應用以及感知層延伸主要標準包括M2M總體解決方案，智能家居，綠色街區等相關國際組織的工作和進展物聯網相關的主要國際標準組織ETSI與安全和尋址相關的物聯網標準工作ETSIETSI較為全面和詳細的分析了網關認證授權、數據機密性與完整性、終端設備完整性等安全需求。ETSI標準中對終端的尋址功能提出了靈活尋址的需求，基于網關可達和終端可達兩個方向將可達性、尋址與存儲作為一個整體功能進行描述。3GPP

3GPP標準組織主要致力于建立安全架構方面，其提出的TRE環境架構可做為ETSI具體安全技術實施的“容器”。3GPP定義了編碼尋址技術，分析評估指出使用IP進行尋址相對于使用IMSI和MSISDN編碼尋址而言，有明顯的優勢。與安全和尋址相關的物聯網標準工作ETSI基于可信環境的物聯網網關安全（1）四步構建基于物聯網的可信環境調研現有物聯網的基礎通信手段，歸納其目前存在或將來可能產生的攻擊手段或安全問題。針對基于云計算的物聯網應用，對于偽造攻擊或Dos入侵等行為，構建特征行為庫。研究基于云計算技術的物聯網中，行為識別庫的合理存儲以及在云計算平臺下相應的行為匹配算法。針對物聯網的具體應用，在云計算網絡下設計相應的日志管理、行為追蹤、行為審查、惡意行為告警、惡意行為阻擋等相關方案?；诳尚怒h境的物聯網網關安全（1）四步構建基于物聯網的可信環基于可信環境的物聯網網關安全（2）GRAR:網關可達尋址存儲模塊GGC:網關通用通信模塊GSEC:網關安全功能模塊GREM:網關遠程實體管理功能模塊物聯網網關安全接入研究涉及網絡實體的認證，授權和狀態更新三個過程。研究目的在于保證物聯網網關的完整可靠接入，從而保證物聯網的可靠性，可管理性，構建一個可信任的安全執行環境和信任平臺（TrE），并達到電信級的安全性、穩定性。網關安全模塊結構圖基于可信環境的物聯網網關安全（2）GRAR:網關可達尋址存儲物聯網終端編碼與尋址（1）3GPPTR23.888針對IP尋址編碼機制要求可擴展的最小化用戶的配置量最小化消息通信量最小化無線傳輸最小化用戶層面的延遲最小化其安全威脅物聯網終端編碼與尋址（1）3GPPTR23.888針對I物聯網終端編碼與尋址（2）基于MSISDN(CC+NDC+SN，CC=CountryCode，NDC=NationalDestinationCode，SN=SubscriberNumber)的尋址方式，目前一些已有應用已經使用了一部分MSISDN編碼，所以供物聯網使用的實際編碼數量受限，無法滿足大規模應用?；贗MSI(InternationalMobileSubscriberIdentity)的尋址方式，由于其連通性有限，目前還無法滿足實際尋址需求基于IPv4或IPv6的尋址方式，這種方式幾乎能提供取之不盡的尋址空間，可實施性最高。三種尋址方式比較物聯網終端編碼與尋址（2）基于MSISDN(CC+NDC+S物聯網終端編碼與尋址（3）IPV4？IPV6?IPV6是未來物聯網發展的必然，但目前使用IPV4更為實際IPV4地址受限，私有IP無法被正確路由IP地址過長，不容易記憶利用NATTTT完成物聯網私有IP地址至公有IP網絡的映射通過域名對海量物聯網終端設備進行標識物聯網終端編碼與尋址（3）IPV4？IPV6?IPV6是未來物聯網接入網關輕量級關鍵技術研究輕量級物聯網安全技術結合IEEE802.15.4,6LowPAN和Zigbee標準中的安全機制研究，提出一種適用于物聯網的輕量級安全方案。輕量級IPV6編碼尋址技術結合IETF6LoWPAN、IPSO的研究成果對物聯網終端編碼和尋址技術進行研究，提出一套基于輕量級IPV6的編碼尋址技術，實現接入網關中輕量級IPV6與IPV6協議之間的協議轉換。主要研究內容物聯網接入網關輕量級關鍵技術研究輕量級物聯網安全技術主要研考慮到物聯網應用對安全的敏感度具備多樣性，從等級劃分這個特點出發，研究不同安全等級的判定與配置以互聯網網絡安全攻擊為基礎構建物聯網攻擊模型以物聯網實際應用為前提構建物聯網拓撲模型，

在以上2個模型的基礎上構建基于等級劃分的物聯網安全模型。基于等級劃分的物聯網網關接入安全物聯網快速發展的同時，安全問題成為制約物聯網應用發展的瓶頸。

不同物聯網應用的安全敏感度不同，為其“量身定制”安全策略能有效減少配置的冗余與多余能量的消耗。

物聯網發展剛剛起步，對物聯網標準的制定還處于探索階段。研究思路

研究需求研究需求研究思路考慮到物聯網應用對安全的敏感度具備多樣性，從等級劃分這個特物聯網安全相關研究針對概念針對協議針對終端概括性分析物聯網各邏輯層可能面臨的安全問題以及能夠采取的對應安全措施，不涉及物聯網安全的核心技術。這類研究大多基于已有的傳輸協議進行開發，無法避免協議本身的缺點，同時也未能涉及到不同安全敏感度應用的安全判定與配置。此類研究大多針對射頻標簽和閱讀器間的安全策略，相對物聯網整體來說，這部分研究只涉及到物聯網前端的無線傳感網安全部分。物聯網安全相關研究針對概念針對協議針對終端概括性分析物聯網各我們的工作提出一個基于等級劃分的物聯網安全模型。

提出了物聯網拓撲子模型和物聯網攻擊子模型架構。

利用模糊評價模型和簡易的三估計法判定物聯網應用安全等級。在研究國內外物聯網安全技術發展的基礎上：我們的工作提出一個基于等級劃分的物聯網安全模型。在研究模型相關定義定義1

應用系統管理員指維護應用系統安全、為應用系統用戶分配資源的主體。其自身的專業水平決定了其本身的安全等級。本文中其安全等級由高到低依次為：4，3，2，1。定義2維護數據單元指ASA在對應于系統的日常維護工作中涉及到的數據對象，包括安全檢測時隔、故障維護延遲和數據備份間隔等。定義3應用系統硬件設備指該物聯網應用的構建與實施過程中所需要的硬件設備，此對象包括硬件設備數量、硬件安全等級等。定義4應用涉及范圍指該應用所涉及覆蓋的物理和邏輯范圍，包括網絡覆蓋范圍、所涉及的人群類別。定義5應用類型指具體此物聯網應用所屬行業。定義6敏感數據單元指該物聯網應用中可能涉及的敏感數據，包括數據量比率、數據影響度。模型相關定義定義1應用系統管理員指維護應用系統安全、為應用基于等級劃分的物聯網安全模型物聯網拓撲子模型物聯網攻擊子模型五大判定元素等級判定機制基于等級劃分的物聯網安全模型物聯網拓撲子模型物聯網攻擊子模型物聯網拓撲子模型TSM-IOTI：廣域或局域網—基站—分網—匯聚節點—感知節點；TSM-IOTII：遠程客戶端—(移動通信網)—互聯網—基站—匯聚節點—(簇首)—感知節點；TSM-IOTIII：遠程客戶端—(移動通信網)—互聯網—物聯網網關—物聯網終端—(標簽)。物聯網拓撲子模型TSM-IOTI：廣域或局域網—基站—分網物聯網攻擊子模型邏輯層攻擊類型物理層擁塞攻擊、物理破壞、節點復制攻擊數據鏈路層碰撞攻擊、非公平競爭、耗盡攻擊攻擊種類描述IP碎片攻擊修改或重構報文中的分片或重組，從而引起意外重組、重組溢出、重組亂序等問題選擇性傳遞攻擊惡意節點隨機選擇或者選擇性丟棄含有重要信息的數據包，從而破壞路由協議Sybil攻擊惡意節點偽造身份或俘獲合法節點從而獲取數據污水池攻擊提供虛假高質量路由信息從而破壞路由負載均衡蟲洞攻擊利用蟲洞產生污水池，再進行選擇性轉發或者改變數據包的內容虛假路由信息攻擊者通過提供虛假的路由信息，造成資源浪費、改變路由路徑或者造成回路跨異構網絡的網絡攻擊攻擊異構網絡的信息交換過程表2網絡層攻擊類型表1感知層攻擊類型物聯網攻擊子模型邏輯層攻擊類型物理層擁塞攻擊、物理破壞、節點判定元素及判定原則判定元素判定原則元素1(ASA)：應用系統管理人員水平。元素2(MDU)：應用系統安全維護。元素3(SH)：應用系統硬件水平。元素4(TI)：網絡拓撲影響度。元素5(AI)：攻擊強度預測。管理人員專業水平越高，應用系統安全度越高。應用系統維護情況越良好，該應用安全度越高。應用系統硬件安全水平越高，該應用安全度越高。網絡拓撲影響安全能力越低，該應用安全度越高。攻擊預測越詳細，該應用安全度越高。判定元素及判定原則判定元素判定原則元素1(ASA)：應用系統安全等級判定方法（1）應用安全等級判定方法步驟如下：安全等級判定方法（1）應用安全等級判定方法步驟如下：安全等級判定方法（2）安全等級判定方法（2）模型的應用根據以上模型，可以對某大學智慧校園應用的安全等級進行如下分析與判定：對智慧校園的維護情況、系統管理員專業水平情況、網絡覆蓋范圍、涉及的學生人數、教師人數、食堂、圖書館和校園商店的使用情況、涉及存儲的數據單元以及硬件配置情況進行了解和核查。根據搜集到的信息，分析學校智慧校園網絡的拓撲模型。根據應用環境，分析該系統和網絡可能受到的攻擊行為。根據模糊評價模型判定此智慧校園應用的安全應用等級，為其配置合理的安全技術策略。模型的應用根據以上模型，可以對某大學智慧校園應用的安全等級進

6LoWPAN網絡架構協議轉換地址配置管理域內節點輕量級IPv6網絡IPv6網絡6LoWPAN網絡架構協議轉換輕量級IPv6IPv6網絡

6LoWPAN網絡協議棧普通節點路由節點邊界路由6LoWPAN網絡協議棧普通節點邊界路由

6LoWPAN節點單片仿真使用MSP430x1611芯片進行單片仿真使用gcc編譯6LoWPAN節點包含了一個完整的6LoWPAN協議棧6LoWPAN節點單片仿真使用MSP430x1611芯片進

6LoWPAN網絡自組織鄰居發現機制是IPv6的一個關鍵特征，處理IPv6鏈路上節點自組織以及維護。基本的IPv6鄰居發現協議[RFC4816]并不適用于6LoWPAN。6LoWPAN工作組為低功耗無線網絡和6LoWPAN特別制定了6LoWPAN鄰居發現協議（6LoWPAN-ND），定義了網絡自動配置以及主機、路由和邊界路由之間的交互機制，完成了LoWPAN域內各節點的注冊與地址分配。每個LoWPAN域的節點注冊表由相應邊界路由保存，簡化了IPv6操作,也減少了組播信息流的數量。6LoWPAN網絡自組織鄰居發現機制是IPv6的一個關鍵特6LoWPAN網絡路由RPL路由協議——距離向量路由

使用路徑度量給每條鏈路都賦以開銷值。當數據包從節點A發送至節點B時，選擇最低開銷的一條路徑。每個路由器中的路由表保存了其所知道的所有目的節點的軟狀態路徑入口及其相關路徑開銷。三種數據通信模式：P2P、P2MP、MP2P支持動態變化的網絡拓撲支持三種級別的安全協議6LoWPAN網絡路由RPL路由協議——距離向量路由6LoWPAN網絡自組織及路由仿真6LoWPAN網絡自組織及路由仿真6LoWPANIPv6首部壓縮技術一方面802.15.4物理層支持的最大幀長度是127字節，而IPv6的報頭就占據了40字節，再加上MAC層報頭，安全報頭、傳輸層報頭的長度，實際能夠給應用層使用報文長度變得非常小。另一方面，IPv6協議（RFC2460）中規定的MTU值最小是1280字節，如果鏈路層支持的MTU小于此值，則鏈路層需要自己負責分片和重組。所以，6LowPan工作組為IEEE802.15.4設計了一個適配層，把IPv6數據包適配到IEEE802.15.4規定的物理層和鏈路層之上，支持報文分片和重組，同時6LowPan規定了IPv6報頭的無狀態壓縮方法，減小IPv6協議帶來的負荷。6LoWPANIPv6首部壓縮技術一方面802.15.4物理

IPv6數據包壓縮與解壓IPv6數據包壓縮與解壓總結千里之行，始于遠方，亦始于足下。千里之行：物聯網與云計算技術相結合的發展模式目前還是研究工作者的愿景。始于遠方：目前對于物聯網的建設者來說，發展行業應用的同時要避免“孤島”的形成，難以建成未來互聯互通的智能物聯網絡。始于足下：在具體研究過程中，同時避免過早建立龐大和理想化的架構體系，注重對信息基礎設施的設計與優化，增強物聯網基礎的安全性與健壯性。總結千里之行，始于遠方，亦始于足下。千里之行：物聯網與云計算基于云計算的物聯網關鍵技術研究孫知信教授南京郵電大學物聯網學院

SUNZX@基于云計算的物聯網關鍵技術研究孫知信教授目錄

物聯網與云計算01

基于云計算的物聯網環境02

基于云計算的物聯網安全03

目前我們的研究工作04目錄物聯網與云計算01基于云計算的物聯網環境02基于云物聯網與云計算

物聯網特點云計算特點物聯網發展被正式列入國家發展戰略。中國物聯網應用基礎已初步形成。物聯網產業聯盟迅速出現，從業人員增加。物聯網標準制定工作引起各方注意。物聯網核心技術突破仍是難題。物聯網發展仍處于初期階段。云計算為用戶提供最可靠，最安全的數據存儲中心。云計算對用戶端設備要求最低，使用方便。云計算可以實現不同用戶設備間都數據與應用共享。云計算為用戶使用網絡提供來無限多都可能。物聯網與云計算物聯網特點云計算特點物聯網發展被正式列入國物聯網發展趨勢物理世界感知是物聯網建設的基礎。大量獨立建設的單一物聯網應用是物聯網建設的起點與基本元素。眾多單一物聯網應用的深度互聯和跨域協作是物聯網建設的目標。物聯網發展趨勢物理世界感知是物聯網建設的基礎。大量獨立建云計算發展趨勢現階段價值初步體現典型應用5-10年后價值體現行業云應用局部自動互聯愿景廣泛互聯跨域合作泛在共享云計算發展趨勢現階段5-10年后愿景物聯網與云計算關系物聯網與云計算的結合應用勢在必行。物聯網的大規模發展離不開云計算平臺的支撐，而云計算平臺的完善與大規模的應用需要物聯網的發展為其提供最大的用戶?；谠朴嬎愕奈锫摼W安全研究將為物聯網與云計算的發展提供最可靠的保障，也是物聯網與云計算蓬勃發展的必要條件。物聯網與云計算關系物聯網與云計算的結合應用勢在必行。目錄

物聯網與云計算01

基于云計算的物聯網環境02

基于云計算的物聯網安全03

目前我們的研究工作04目錄物聯網與云計算01基于云計算的物聯網環境02基于云云基礎設施云計算平臺的體系架構云平臺云應用云基礎設施通過物理資源虛擬化技術，使得平臺上運行的不同行業應用以及同一行業應用的不同客戶間的資源（存儲、CPU等）實現共享。云平臺是物聯網運營平臺的核心，實現了網絡節點的配置和控制、信息的采集和計算功能，對海量數據的分析處理，以滿足大數據量且實時性要求非常高的數據處理要求。云應用作為物聯網運營平臺的一部分，實現行業應用的業務流程，在技術上通過應用虛擬化技術，實現多租戶，讓一個物聯網行業應用的多個不同租戶共享存儲、計算能力等資源。云基礎設施云計算平臺的體系架構云平臺云應用云基礎設施通過物理物聯網與云計算結合方式（1）單中心，多終端這種方式的云中心大部分由私有云構成，可提供統一的界面，具備海量存儲能力與分級管理功能。物聯網與云計算結合方式（1）單中心，多終端VAE基于NGIN平臺IMSMobileNetwork網關管端物聯網互聯網通信網政府交通金融政府企業大企業云中小企業云城市數據中心云eCityIDC傳感器及傳感網絡物聯網與云計算結合方式（2）多中心，大量終端這種方式的云中心由共有云和私有云構成，并且二者可以實現互聯。

VAE基于NGIN平臺IMSMobileNetwork網關物聯網與云計算結合方式（3）信息應用分層處理，海量終端這種方式的云中心同樣由共有云和私有云構成，它的特點是用戶的范圍廣、信息及數據種類多、安全性能高。

物聯網與云計算結合方式（3）信息應用分層處理，海量終端基于云計算的物聯網可信環境（1）云計算技術的重要特點結合了分布式處理、并行處理和網格計算的優勢。云計算技術將存儲在分布式計算機產品中的大量數據和處理器資源整合在一起協同工作，使相關的計算分布在大量的分布式計算機上。超強的計算能力。通過一定的協調調度策略，云計算模式可以通過數萬乃至百萬的普通計算機之間的聯合來提供超強的、可以與超級計算機相抗衡的計算能力?；谠朴嬎愕奈锫摼W可信環境（1）云計算技術的重要特點結合了分基于云計算的物聯網可信環境（2）TRE（可信環境）需要保證：一個可信執行環境一個具備隱私保護的存儲環境能夠抵御外界攻擊至少支持一種認證算法

云計算技術關鍵特點結合了分布式處理、并行處理和網格計算的優勢。超強計算能力。運用云計算技術特點搭建物聯網可信環境是我們的研究工作之一。基于云計算的物聯網可信環境（2）TRE（可信環境）需要保證：目錄

物聯網與云計算01

基于云計算的物聯網環境02

基于云計算的物聯網安全03

目前我們的研究工作04目錄物聯網與云計算01基于云計算的物聯網環境02基于云基于云計算的物聯網安全需求（1）3G互聯網將形成巨大的信息安全防護需求。云計算將帶來巨額信息化安全投資。三網融合建設將催化信息化安全需求。物聯網的信息安全投入將給國內信息安全解決服務廠商帶來巨大商機?；谠朴嬎愕奈锫摼W安全需求（1）3G互聯網將形成巨大的信息安基于云計算的物聯網安全需求（2）感知層網絡層應用層物聯網面臨的信息安全挑戰擁塞攻擊、碰撞攻擊、物理破壞耗盡攻擊、丟棄和貪婪破壞、非公平競爭匯聚節點攻擊方向誤導攻擊黑洞攻擊洪泛攻擊失步攻擊智能變為低能自動變為失控非法人為干預（內部攻擊）設備（特別是移動設備）的丟失隱私數據的竊取基于云計算的物聯網安全需求（2）感知層網絡層應用層物聯網面臨基于云計算的數據安全研究數據安全存儲數據安全傳輸數據安全研究同態加密密鑰集中管理云計算服務端環境可信在線備份系統基于云計算的數據安全研究數據安全存儲數據安全傳輸數據安全研究數據在線備份服務系統（1）數據在線備份服務系統面臨三大要求既要兼容不同感知層應用的異構數據平臺，又要滿足云計算存儲設備的高擴展性和海量數據存儲的組織形式。既要考慮網絡傳輸效率，又要保證數據的安全性。既要滿足系統在大量物聯網應用實體并發訪問時的服務能力，又要進行服務質量的主動控制。數據在線備份服務系統（1）數據在線備份服務系統面臨三大要求數據在線備份服務系統（2）需求解決方案按照云計算的思想，系統的拓撲結構包括三個層次的備份云:廣域(公共)云,區域云及本地(私有)云。按照就近服務原則，完成新注冊用戶的調度分配。從軟件架構的角度，都包括備份客戶端、調度服務器和存儲服務器三個子系統。三個子系統除了執行雙向安全認證，由調度服務器完成作業調度，建立備份客戶端與存儲服務器之間的聯系。系統必須設置多臺介質服務器，以滿足系統擴展性方面的要求。數據在線備份服務系統（2）需求解決方案按照云計算的思想，系統數據同態加密研究

同態加密的思想起源于私密同態(privacyhomomorphism)，它允許在不知道解密函數的前提下對加密數據進行計算。Sander和Tschudin定義了整數環上的加法、乘法同態加密機制,加法、乘法同態確保兩個變量加密后的計算結果與加密前的計算結果相同。IBM研究人員CraigGentry已研究出一種完全同態加密方案，該方案將能夠加強云計算的商業模式(當供應商負責托管客戶重要數據時)，這樣就可以讓客戶在自己的客戶端請求來對數據執行計算而不會暴露原始數據。數據同態加密研究同態加密的思想起源于私密同態(priva基于云計算平臺的物聯網數據同態加密研究同態加密應用于物聯網的優勢物聯網感知數據的大小一般都限定在一定的數量級范圍內，數據類型也大部分限定在整數環中，而基礎的整數環智能光的加法和乘法同態、混合乘法同態加密已十分成熟，因此大部分的物聯網應用可以使用以上三種同態算法完成，不需要依賴于完全同態算法。使用同態加密的技術難點提出一種適用于云計算平臺的同態加密機制。研究物聯網傳感器感應數據的格式，并設計統一數據接口，將感應數據歸一化到整數域內。對同態加密數據常用處理（如平均值、級差、方差、標準差及數據挖掘等）建立標準庫。設計基于云計算平臺的同態加密授權策略?；谠朴嬎闫脚_的物聯網數據同態加密研究同態加密應用于物聯網目錄

物聯網與云計算01

基于云計算的物聯網環境02

基于云計算的物聯網安全03

目前我們的研究工作04目錄物聯網與云計算01基于云計算的物聯網環境02基于云目前我們的研究工作基于云計算的數據挖掘算法研究與實現構建云計算平臺數據挖掘算法的并行算法研究與實現用戶聚類和用戶個性化推薦的分布式應用的構建和實現

基于云計算的物聯網關鍵技術研究相關國際組織的工作和進展構建基于物聯網的可信環境研究基于等級劃分的物聯網網關接入安全策略終端編碼與尋址研究物聯網接入網關輕量級關鍵技術研究輕量級物聯網安全技術輕量級IPV6編碼尋址技術目前我們的研究工作基于云計算的數據挖掘算法研究與實現基于云計算的數據挖掘算法研究與實現Linux環境下的云計算平臺Hadoop平臺分布式文件系統HDFS并行算法MapReduce訪問模式并行計算思想Master/slave架構層次式文件系統技術Mapper類和接口Reduce類和接口簡單高效的數據加載（導入）工具基于云計算的數據挖掘算法研究與實現Linux環境下的云計算平數據挖掘算法的并行算法研究與實現關聯規則分類與預測爬蟲協同過濾基本算法網頁解析聚類對每一類數據挖掘算法進行MapReduce改造。對該算法的每個MapReduce過程，定義具體的實現。在Hadoop平臺下進行編碼。對實現的數據挖掘并行算法進行測試。數據挖掘算法的并行算法研究與實現關聯規則分類與預測爬蟲協同過用戶聚類和用戶個性化推薦的分布式應用構建應用業務理解，對應用業務問題的界定，以及內外部資源的評估和組織；針對具體應用，進行數據理解，完成應用需要的數據的確定并綜合采用爬蟲、網頁解析、分詞等技術獲取所需要的數據；對獲取的數據進行處理，如數據整合、數據重構、數據格式化、數據的量化處理等；選擇合適的獨立性變量，建立分類模型，并應用不同的分類數據挖掘算法對用戶進行分群；根據聚類的結果，進行合理的業務解釋，在對模型進行評估后，針對具體的用戶群，制定合適的個性化推薦方案并實現個性化方案的用戶推薦。應用構建路線用戶聚類和用戶個性化推薦的分布式應用構建應用業務理解，對應用數據挖掘的意義通過公有云或私有云的方式由不同渠道匯集信息數據捕獲處理建模估算匯總云中心物聯網產業涉及行業眾多，數據量巨大，高效的數據挖掘能夠為物聯網應用企業提供智能化的信息策略。通過云中心對海量信息庫的智能數據挖掘，進行企業運營狀況，客戶價值和物流等信息分析為企業規避商業風險，提供新的利益增長點。數據挖掘的意義通過公有云或私有云的方式由不同渠道匯集信息數據相關國際組織的工作和進展物聯網相關的主要國際標準組織ETSI3GPPIETF主要標準物聯網全套業務解決方案和嵌入式SIM卡主要標準包括ETSIM2MTC,ETSIETC等主要標準化物聯網與電信網的聯系主要標準包括3GPPTS22.368;3GPPTR23.888等CCSA主要標準化網絡層與傳輸層主要標準包括6LowPAN,ROLL,CoAP等主要標準化業務平臺，業務應用以及感知層延伸主要標準包括M2M總體解決方案，智能家居，綠色街區等相關國際組織的工作和進展物聯網相關的主要國際標準組織ETSI與安全和尋址相關的物聯網標準工作ETSIETSI較為全面和詳細的分析了網關認證授權、數據機密性與完整性、終端設備完整性等安全需求。ETSI標準中對終端的尋址功能提出了靈活尋址的需求，基于網關可達和終端可達兩個方向將可達性、尋址與存儲作為一個整體功能進行描述。3GPP

3GPP標準組織主要致力于建立安全架構方面，其提出的TRE環境架構可做為ETSI具體安全技術實施的“容器”。3GPP定義了編碼尋址技術，分析評估指出使用IP進行尋址相對于使用IMSI和MSISDN編碼尋址而言，有明顯的優勢。與安全和尋址相關的物聯網標準工作ETSI基于可信環境的物聯網網關安全（1）四步構建基于物聯網的可信環境調研現有物聯網的基礎通信手段，歸納其目前存在或將來可能產生的攻擊手段或安全問題。針對基于云計算的物聯網應用，對于偽造攻擊或Dos入侵等行為，構建特征行為庫。研究基于云計算技術的物聯網中，行為識別庫的合理存儲以及在云計算平臺下相應的行為匹配算法。針對物聯網的具體應用，在云計算網絡下設計相應的日志管理、行為追蹤、行為審查、惡意行為告警、惡意行為阻擋等相關方案?；诳尚怒h境的物聯網網關安全（1）四步構建基于物聯網的可信環基于可信環境的物聯網網關安全（2）GRAR:網關可達尋址存儲模塊GGC:網關通用通信模塊GSEC:網關安全功能模塊GREM:網關遠程實體管理功能模塊物聯網網關安全接入研究涉及網絡實體的認證，授權和狀態更新三個過程。研究目的在于保證物聯網網關的完整可靠接入，從而保證物聯網的可靠性，可管理性，構建一個可信任的安全執行環境和信任平臺（TrE），并達到電信級的安全性、穩定性。網關安全模塊結構圖基于可信環境的物聯網網關安全（2）GRAR:網關可達尋址存儲物聯網終端編碼與尋址（1）3GPPTR23.888針對IP尋址編碼機制要求可擴展的最小化用戶的配置量最小化消息通信量最小化無線傳輸最小化用戶層面的延遲最小化其安全威脅物聯網終端編碼與尋址（1）3GPPTR23.888針對I物聯網終端編碼與尋址（2）基于MSISDN(CC+NDC+SN，CC=CountryCode，NDC=NationalDestinationCode，SN=SubscriberNumber)的尋址方式，目前一些已有應用已經使用了一部分MSISDN編碼，所以供物聯網使用的實際編碼數量受限，無法滿足大規模應用?；贗MSI(InternationalMobileSubscriberIdentity)的尋址方式，由于其連通性有限，目前還無法滿足實際尋址需求基于IPv4或IPv6的尋址方式，這種方式幾乎能提供取之不盡的尋址空間，可實施性最高。三種尋址方式比較物聯網終端編碼與尋址（2）基于MSISDN(CC+NDC+S物聯網終端編碼與尋址（3）IPV4？IPV6?IPV6是未來物聯網發展的必然，但目前使用IPV4更為實際IPV4地址受限，私有IP無法被正確路由IP地址過長，不容易記憶利用NATTTT完成物聯網私有IP地址至公有IP網絡的映射通過域名對海量物聯網終端設備進行標識物聯網終端編碼與尋址（3）IPV4？IPV6?IPV6是未來物聯網接入網關輕量級關鍵技術研究輕量級物聯網安全技術結合IEEE802.15.4,6LowPAN和Zigbee標準中的安全機制研究，提出一種適用于物聯網的輕量級安全方案。輕量級IPV6編碼尋址技術結合IETF6LoWPAN、IPSO的研究成果對物聯網終端編碼和尋址技術進行研究，提出一套基于輕量級IPV6的編碼尋址技術，實現接入網關中輕量級IPV6與IPV6協議之間的協議轉換。主要研究內容物聯網接入網關輕量級關鍵技術研究輕量級物聯網安全技術主要研考慮到物聯網應用對安全的敏感度具備多樣性，從等級劃分這個特點出發，研究不同安全等級的判定與配置以互聯網網絡安全攻擊為基礎構建物聯網攻擊模型以物聯網實際應用為前提構建物聯網拓撲模型，

在以上2個模型的基礎上構建基于等級劃分的物聯網安全模型。基于等級劃分的物聯網網關接入安全物聯網快速發展的同時，安全問題成為制約物聯網應用發展的瓶頸。

不同物聯網應用的安全敏感度不同，為其“量身定制”安全策略能有效減少配置的冗余與多余能量的消耗。

物聯網發展剛剛起步，對物聯網標準的制定還處于探索階段。研究思路

研究需求研究需求研究思路考慮到物聯網應用對安全的敏感度具備多樣性，從等級劃分這個特物聯網安全相關研究針對概念針對協議針對終端概括性分析物聯網各邏輯層可能面臨的安全問題以及能夠采取的對應安全措施，不涉及物聯網安全的核心技術。這類研究大多基于已有的傳輸協議進行開發，無法避免協議本身的缺點，同時也未能涉及到不同安全敏感度應用的安全判定與配置。此類研究大多針對射頻標簽和閱讀器間的安全策略，相對物聯網整體來說，這部分研究只涉及到物聯網前端的無線傳感網安全部分。物聯網安全相關研究針對概念針對協議針對終端概括性分析物聯網各我們的工作提出一個基于等級劃分的物聯網安全模型。

提出了物聯網拓撲子模型和物聯網攻擊子模型架構。

利用模糊評價模型和簡易的三估計法判定物聯網應用安全等級。在研究國內外物聯網安全技術發展的基礎上：我們的工作提出一個基于等級劃分的物聯網安全模型。在研究模型相關定義定義1

應用系統管理員指維護應用系統安全、為應用系統用戶分配資源的主體。其自身的專業水平決定了其本身的安全等級。本文中其安全等級由高到低依次為：4，3，2，1。定義2維護數據單元指ASA在對應于系統的日常維護工作中涉及到的數據對象，包括安全檢測時隔、故障維護延遲和數據備份間隔等。定義3應用系統硬件設備指該物聯網應用的構建與實施過程中所需要的硬件設備，此對象包括硬件設備數量、硬件安全等級等。定義4應用涉及范圍指該應用所涉及覆蓋的物理和邏輯范圍，包括網絡覆蓋范圍、所涉及的人群類別。定義5應用類型指具體此物聯網應用所屬行業。定義6敏感數據單元指該物聯網應用中可能涉及的敏感數據，包括數據量比率、數據影響度。模型相關定義定義1應用系統管理員指維護應用系統安全、為應用基于等級劃分的物聯網安全模型物聯網拓撲子模型物聯網攻擊子模型五大判定元素等級判定機制基于等級劃分的物聯網安全模型物聯網拓撲子模型物聯網攻擊子模型物聯網拓撲子模型TSM-IOTI：廣域或局域網—基站—分網—匯聚節點—感知節點；TSM-IOTII：遠程客戶端—(移動通信網)—互聯網—基站—匯聚節點—(簇首)—感知節點；TSM-IOTIII：遠程客戶端—(移動通信網)—互聯網—物聯網網關—物聯網終端—(標簽)。物聯網拓撲子模型TSM-IOTI：廣域或局域網—基站—分網物聯網攻擊子模型邏輯層攻擊類型物理層擁塞攻擊、物理破壞、節點復制攻擊數據鏈路層碰撞攻擊、非公平競爭、耗盡攻擊攻擊種類描述IP碎片攻擊修改或重構報文中的分片或重組，從而引起意外重組、重組溢出、重組亂序等問題選擇性傳遞攻擊惡意節點隨機選擇或者選擇性丟棄含有重要信息的數據包，從而破壞路由協議Sybil攻擊惡意節點偽造身份或俘獲合法節點從而獲取數據污水池攻擊提供虛假高質量路由信息從而破壞路由負載均衡蟲洞攻擊利用蟲洞產生污水池，再進行選擇性轉發或者改變數據包的內容虛假路由信息攻擊者通過提供虛假的路由信息，造成資源浪費、改變路由路徑或者造成回路跨異構網絡的網絡攻擊攻擊異構網絡的信息交換過程