基于云计算的物联网关键技术研究

基于云计算的物联网关键技术研究孙知信教授南京邮电大学物联网学院

SUNZX@目录

物联网与云计算01基于云计计算的物物联网环环境02基于云计计算的物物联网安安全03目前我们们的研究究工作04物联网与与云计算算

物联网特特点云计算特特点物联网发发展被正正式列入入国家发发展战略略。中国物联联网应用用基础已已初步形形成。物联网产产业联盟盟迅速出出现，从从业人员员增加。。物联网标标准制定定工作引引起各方方注意。。物联网核核心技术术突破仍仍是难题题。物联网发发展仍处处于初期期阶段。。云计算为为用户提提供最可可靠，最最安全的的数据存存储中心心。云计算对对用户端端设备要要求最低低，使用用方便。。云计算可可以实现现不同用用户设备备间都数数据与应应用共享享。云计算为为用户使使用网络络提供来来无限多多都可能能。物联网发发展趋势势物理世界界感知是是物联网网建设的的基础。。大量独立立建设的的单一物物联网应应用是物物联网建建设的起起点与基基本元素素。众多单一一物联网网应用的的深度互互联和跨跨域协作作是物联联网建设设的目标标。云计算发发展趋势势现阶段价值初步步体现典型应用用5-10年后价值体现现行业云应应用局部自动动互联愿景广泛互联联跨域合作作泛在共享享物联网与与云计算算关系物联网与与云计算算的结合合应用势势在必行行。物联网的的大规模模发展离离不开云云计算平平台的支支撑，而而云计算算平台的的完善与与大规模模的应用用需要物物联网的的发展为为其提供供最大的的用户。。基于云计计算的物物联网安安全研究究将为物物联网与与云计算算的发展展提供最最可靠的的保障，，也是物物联网与与云计算算蓬勃发发展的必必要条件件。目录

物联网与云计算01基于云计计算的物物联网环环境02基于云计计算的物物联网安安全03目前我们们的研究究工作04云基础设施云计算平平台的体体系架构构云平台云应用云基础设施通过物理资源虚拟化技术，使得平台上运行的不同行业应用以及同一行业应用的不同客户间的资源（存储、CPU等）实现共享。云平台是物联网运营平台的核心，实现了网络节点的配置和控制、信息的采集和计算功能，对海量数据的分析处理，以满足大数据量且实时性要求非常高的数据处理要求。云应用作为物联网运营平台的一部分，实现行业应用的业务流程，在技术上通过应用虚拟化技术，实现多租户，让一个物联网行业应用的多个不同租户共享存储、计算能力等资源。物联网与与云计算算结合方方式（1）单中心，，多终端端这种方式式的云中中心大部部分由私私有云构构成，可可提供统统一的界界面，具具备海量量存储能能力与分分级管理理功能。。VAE基于NGIN平台IMSMobileNetwork网关管端物联网互联网通信网政府交通金融政府企业大企业云中小企业云城市数据据中心云云eCityIDC传感器及及传感网网络物联网与与云计算算结合方方式（2）多中心，，大量终终端这种方式式的云中中心由共共有云和和私有云云构成，，并且二二者可以以实现互互联。物联网与与云计算算结合方方式（3）信息应用用分层处处理，海海量终端端这种方式式的云中中心同样样由共有有云和私私有云构构成，它它的特点点是用户户的范围围广、信信息及数数据种类类多、安安全性能能高。基于云计计算的物物联网可可信环境境（1）云计算技术的重要特点结合了分分布式处处理、并并行处理理和网格格计算的的优势。。云计算技技术将存存储在分分布式计计算机产产品中的的大量数数据和处处理器资资源整合合在一起起协同工工作，使使相关的的计算分分布在大大量的分分布式计计算机上上。超强的计计算能力力。通过一定定的协调调调度策策略，云云计算模模式可以以通过数数万乃至至百万的的普通计计算机之之间的联联合来提提供超强强的、可可以与超超级计算算机相抗抗衡的计计算能力力。基于云计计算的物物联网可可信环境境（2）TRE（可信环环境）需需要保证证：一个可信信执行环环境一个具备备隐私保保护的存存储环境境能够抵御御外界攻攻击至少支持持一种认认证算法法

云计算技术关键特点结合了分布式处理、并行处理和网格计算的优势。超强计算能力。运用云计计算技术术特点搭搭建物联联网可信信环境是是我们的的研究工工作之一一。目录

物联网与云计算01基于云计计算的物物联网环环境02基于云计计算的物物联网安安全03目前我们们的研究究工作04基于云计计算的物物联网安安全需求求（1）3G互联网将形成巨大的信息安全防护需求。云计算将带来巨额信息化安全投资。三网融合建设将催化信息化安全需求。物联网的的信息安安全投入入将给国国内信息息安全解解决服务务厂商带带来巨大大商机。。基于云计计算的物物联网安安全需求求（2）感知层网络层应用层物联网面面临的信信息安全全挑战拥塞攻击击、碰撞撞攻击、、物理破破坏耗尽攻击击、丢弃弃和贪婪婪破坏、、非公平平竞争汇聚节点点攻击方向误导导攻击黑洞攻击击洪泛攻击击失步攻击击智能变为为低能自动变为为失控非法人为为干预（（内部攻攻击）设备（特特别是移移动设备备）的丢丢失隐私数据据的窃取取基于云计计算的数数据安全全研究数据安全全存储数据安全全传输数据安全全研究同态加密密钥集中管理云计算服务端环境可信在线备份系统数据在线线备份服服务系统统（1）数据在线线备份服服务系统统面临三三大要求求既要兼容不同感知知层应用用的异构构数据平平台，又又要满足足云计算算存储设设备的高扩展性性和海量数数据存储储的组织织形式。。既要考虑虑网络传输效率率，又要保保证数据据的安全性。既要满足足系统在在大量物物联网应应用实体体并发访问问时的服务务能力，，又要进进行服务质量量的主动控控制。数据在线线备份服服务系统统（2）需求解决决方案按照云计计算的思思想，系系统的拓拓扑结构构包括三三个层次次的备份份云:广域(公共)云,区域云及及本地(私有)云。按照照就近服服务原则则，完成成新注册册用户的的调度分分配。从软件架架构的角角度，都都包括备备份客户户端、调调度服务务器和存存储服务务器三个个子系统统。三个子系系统除了了执行双双向安全全认证，，由调度度服务器器完成作作业调度度，建立立备份客客户端与与存储服服务器之之间的联联系。系统必须须设置多多台介质质服务器器，以满满足系统统扩展性性方面的的要求。。数据同态态加密研研究

同态加密密的思想想起源于于私密同同态(privacyhomomorphism))，它允许许在不知知道解密密函数的的前提下下对加密密数据进进行计算算。Sander和Tschudin定义了整整数环上上的加法法、乘法法同态加加密机制制,加法、乘乘法同态态确保两两个变量量加密后后的计算算结果与与加密前前的计算算结果相相同。IBM研究人员员CraigGentry已研究出出一种完全同态态加密方案，该该方案将将能够加加强云计计算的商商业模式式(当供应商商负责托托管客户户重要数数据时)，这样就就可以让让客户在在自己的的客户端端请求来来对数据据执行计计算而不不会暴露露原始数数据。基于云计计算平台台的物联联网数据据同态加加密研究究同态加密密应用于于物联网网的优势势物联网感感知数据据的大小小一般都都限定在在一定的的数量级级范围内内，数据据类型也也大部分分限定在在整数环环中，而而基础的的整数环环智能光光的加法法和乘法法同态、、混合乘乘法同态态加密已已十分成成熟，因因此大部部分的物物联网应应用可以以使用以以上三种种同态算算法完成成，不需需要依赖赖于完全全同态算算法。使用同态态加密的的技术难难点提出一种种适用于于云计算算平台的的同态加加密机制制。研究物联联网传感感器感应应数据的的格式，，并设计计统一数数据接口口，将感感应数据据归一化化到整数数域内。。对同态加加密数据据常用处处理（如如平均值值、级差差、方差差、标准准差及数数据挖掘掘等）建建立标准准库。设计基于于云计算算平台的的同态加加密授权权策略。。目录

物联网与云计算01基于云计计算的物物联网环环境02基于云计计算的物物联网安安全03目前我们们的研究究工作04目前我们们的研究究工作基于云计计算的数数据挖掘掘算法研研究与实实现构建云计计算平台台数据挖掘掘算法的的并行算算法研究究与实现现用户聚类类和用户户个性化化推荐的的分布式式应用的的构建和和实现基于云计计算的物物联网关关键技术术研究相关国际际组织的的工作和和进展构建基于于物联网网的可信信环境研究基于于等级划划分的物物联网网网关接入入安全策策略终端编码码与寻址址研究物联网接接入网关关轻量级级关键技技术研究究轻量级物物联网安安全技术术轻量级IPV6编码寻址址技术基于云计计算的数数据挖掘掘算法研研究与实实现Linux环境下的的云计算算平台Hadoop平台分布式文文件系统统HDFS并行算法法MapReduce访问模式式并行计算算思想Master//slave架构层次式文文件系统统技术Mapper类和接口口Reduce类和接口口简单高效效的数据据加载（（导入））工具数据挖掘掘算法的的并行算算法研究究与实现现关联规则分类与预测爬虫协同过滤基本算法网页解析聚类对每一类类数据挖挖掘算法法进行MapReduce改造。对该算法法的每个个MapReduce过程，定定义具体体的实现现。在Hadoop平台下进进行编码码。对实现的的数据挖挖掘并行行算法进进行测试试。用户聚类类和用户户个性化化推荐的的分布式式应用构构建应用业务务理解，，对应用用业务问问题的界界定，以以及内外外部资源源的评估估和组织织；针对具体体应用，，进行数数据理解解，完成成应用需需要的数数据的确确定并综综合采用用爬虫、、网页解解析、分分词等技技术获取取所需要要的数据据；对获取的的数据进进行处理理，如数数据整合合、数据据重构、、数据格格式化、、数据的的量化处处理等；；选择合适适的独立立性变量量，建立立分类模模型，并并应用不不同的分分类数据据挖掘算算法对用用户进行行分群；；根据聚类类的结果果，进行行合理的的业务解解释，在在对模型型进行评评估后，，针对具具体的用用户群，，制定合合适的个个性化推推荐方案案并实现现个性化化方案的的用户推推荐。应用构建建路线数据挖掘掘的意义义通过公有云或私有云的方式由不同渠道汇集信息数据捕获处理建模估算汇总云中心物联网产产业涉及及行业众众多，数数据量巨巨大，高高效的数数据挖掘掘能够为为物联网网应用企企业提供供智能化化的信息息策略。。通过云云中心对对海量信信息库的的智能数数据挖掘掘，进行行企业运运营状况况，客户户价值和和物流等等信息分分析为企企业规避避商业风风险，提提供新的的利益增增长点。。相关国际际组织的的工作和和进展物联网相相关的主主要国际际标准组组织ETSI3GPPIETF主要标准准物联网网全套业业务解决决方案和和嵌入式式SIM卡主要标准准包括ETSIM2MTC,ETSIETC等主要标准准化物联联网与电电信网的的联系主要标准准包括3GPPTS22.368;3GPPTR23.888等CCSA主要标准准化网络络层与传传输层主要标准准包括6LowPAN,ROLL,CoAP等主要标准准化业务务平台，，业务应应用以及及感知层层延伸主要标准准包括M2M总体解决决方案，，智能家家居，绿绿色街区区等与安全和和寻址相相关的物物联网标标准工作作ETSIETSI较为全面面和详细细的分析析了网关关认证授授权、数数据机密密性与完完整性、、终端设设备完整整性等安安全需求求。ETSI标准中对终端的的寻址功功能提出出了灵活活寻址的的需求，，基于网网关可达达和终端端可达两两个方向向将可达达性、寻寻址与存存储作为为一个整整体功能能进行描描述。3GPP3GPP标准组织织主要致致力于建建立安全全架构方方面，其其提出的的TRE环境架构构可做为为ETSI具体安全全技术实实施的““容器””。3GPP定义了编编码寻址址技术，，分析评评估指出出使用IP进行寻址址相对于于使用IMSI和MSISDN编码寻址址而言，，有明显显的优势势。基于可信信环境的的物联网网网关安安全（1）四步构建建基于物物联网的的可信环环境调研现有有物联网网的基础础通信手手段，归归纳其目目前存在在或将来来可能产产生的攻攻击手段段或安全全问题。。针对基于于云计算算的物联联网应用用，对于于伪造攻攻击或Dos入侵等行行为，构构建特征征行为库库。研究基于于云计算算技术的的物联网网中，行行为识别别库的合合理存储储以及在在云计算算平台下下相应的的行为匹匹配算法法。针对物联联网的具具体应用用，在云云计算网网络下设设计相应应的日志志管理、、行为追追踪、行行为审查查、恶意意行为告告警、恶恶意行为为阻挡等等相关方方案。基于可信信环境的的物联网网网关安安全（2）GRAR:网关可达达寻址存存储模块块GGC::网关通用用通信模模块GSEC:网关安全全功能模模块GREM:网关远程程实体管管理功能能模块物联网网网关安全全接入研研究涉及及网络实实体的认认证，授授权和状状态更新新三个过过程。研研究目的在于于保证物物联网网网关的完完整可靠靠接入，，从而保保证物联联网的可可靠性，，可管理理性，构构建一个个可信任任的安全全执行环环境和信信任平台台（TrE），并达达到电信信级的安安全性、、稳定性性。网关安全全模块结结构图物联网终终端编码码与寻址址（1）3GPPTR23.888针对IP寻址编码码机制要求可扩展的的最小化用用户的配配置量最小化消消息通信信量最小化无无线传输输最小化用用户层面面的延迟迟最小化其其安全威威胁物联网终终端编码码与寻址址（2）基于MSISDN((CC++NDC+SN，CC==CountryCode，NDC==NationalDestinationCode，SN==SubscriberNumber)的寻址方方式，目目前一些些已有应应用已经经使用了了一部分分MSISDN编码，所所以供物物联网使使用的实实际编码码数量受受限，无无法满足足大规模模应用。。基于IMSI(InternationalMobileSubscriberIdentity))的寻址方方式，由由于其连连通性有有限，目目前还无无法满足足实际寻寻址需求求基于IPv4或IPv6的寻址方方式，这这种方式式几乎能能提供取取之不尽尽的寻址址空间，，可实施性性最高。三种寻址址方式比比较物联网终终端编码码与寻址址（3）IPV4？IPV6?IPV6是未来物物联网发发展的必必然，但但目前使使用IPV4更为实际际IPV4地址受限限，私有有IP无法被正正确路由由IP地址过长长，不容容易记忆忆利用NATTTT完成物联联网私有有IP地址至公公有IP网络的映映射通过域名名对海量量物联网网终端设设备进行行标识物联网接接入网关关轻量级级关键技技术研究究轻量级物物联网安安全技术术结合IEEE802.15.4,,6LowPAN和Zigbee标准中的的安全机机制研究究，提出出一种适适用于物物联网的的轻量级级安全方方案。轻量级IPV6编码寻址址技术结合IETF6LoWPAN、IPSO的研究成成果对物物联网终终端编码码和寻址址技术进进行研究究，提出出一套基基于轻量量级IPV6的编码寻寻址技术术，实现现接入网网关中轻轻量级IPV6与IPV6协议之间间的协议议转换。。主要研究究内容考虑到物联网应用对安全的敏感度具备多样性，从等级划分这个特点出发，研究不同安全等级的判定与配置以互联网网络安全攻击为基础构建物联网攻击模型以物联网实际应用为前提构建物联网拓扑模型，

在以上2个模型的基础上构建基于等级划分的物联网安全模型。基于等级级划分的的物联网网网关接接入安全全物联网快速发展的同时，安全问题成为制约物联网应用发展的瓶颈。

不同物联网应用的安全敏感度不同，为其“量身定制”安全策略能有效减少配置的冗余与多余能量的消耗。

物联网发展刚刚起步，对物联网标准的制定还处于探索阶段。研究思路

研究需求研究需求求研究思路路物联网安安全相关关研究针对概念针对协议针对终端概括性分析物联网各逻辑层可能面临的安全问题以及能够采取的对应安全措施，不涉及物联网安全的核心技术。这类研究大多基于已有的传输协议进行开发，无法避免协议本身的缺点，同时也未能涉及到不同安全敏感度应用的安全判定与配置。此类研究大多针对射频标签和阅读器间的安全策略，相对物联网整体来说，这部分研究只涉及到物联网前端的无线传感网安全部分。我们的工工作提出一个个基于等等级划分分的物联联网安全全模型。。提出了物物联网拓拓扑子模模型和物物联网攻攻击子模模型架构构。利用模糊糊评价模模型和简简易的三三估计法法判定物物联网应应用安全全等级。。在研究国国内外物物联网安安全技术术发展的的基础上上：模型相关关定义定义1应用系统统管理员员指维护应应用系统统安全、、为应用用系统用用户分配配资源的的主体。。其自身身的专业业水平决决定了其其本身的的安全等等级。本本文中其其安全等等级由高高到低依依次为：：4，3，2，1。定义2维护数据据单元指ASA在对应于于系统的的日常维维护工作作中涉及及到的数数据对象象，包括括安全检检测时隔隔、故障障维护延延迟和数数据备份份间隔等等。定义3应用系统统硬件设设备指该物联联网应用用的构建建与实施施过程中中所需要要的硬件件设备，，此对象象包括硬硬件设备备数量、、硬件安安全等级级等。定义4应用涉及及范围指该应用用所涉及及覆盖的的物理和和逻辑范范围，包包括网络络覆盖范范围、所所涉及的的人群类类别。定义5应用类型型指具体此此物联网网应用所所属行业业。定义6敏感数据据单元指该物联联网应用用中可能能涉及的的敏感数数据，包包括数据据量比率率、数据据影响度度。基于等级级划分的的物联网网安全模模型物联网拓拓扑子模模型物联网攻攻击子模模型五大判定定元素等级判定定机制物联网拓拓扑子模模型TSM--IOTI：：广域或或局域网网—基站站—分网网—汇聚聚节点——感知节节点；TSM--IOTII：远程程客户端端—(移移动通信信网)——互联网网—基站站—汇汇聚节点点—(簇簇首)——感知节节点；TSM--IOTIII：远远程客户户端—((移动通通信网))—互联联网—物物联网网网关—物物联网终终端—((标签))。物联网攻攻击子模模型逻辑层攻击类型物理层拥塞攻击、物理破坏、节点复制攻击数据链路层碰撞攻击、非公平竞争、耗尽攻击攻击种类描述IP碎片攻击修改或重构报文中的分片或重组，从而引起意外重组、重组溢出、重组乱序等问题选择性传递攻击恶意节点随机选择或者选择性丢弃含有重要信息的数据包，从而破坏路由协议Sybil攻击恶意节点伪造身份或俘获合法节点从而获取数据污水池攻击提供虚假高质量路由信息从而破坏路由负载均衡虫洞攻击利用虫洞产生污水池，再进行选择性转发或者改变数据包的内容虚假路由信息攻击者通过提供虚假的路由信息，造成资源浪费、改变路由路径或者造成回路跨异构网络的网络攻击攻击异构网络的信息交换过程表2网络层攻攻击类型型表1感知层攻攻击类型型判定元素素及判定定原则判定元素素判定原则则元素1(ASA)：应用系系统管理理人员水水平。元素2(MDU)：应用系系统安全全维护。。元素3(SH)：应用系系统硬件件水平。。元素4(TI)：网络拓拓扑影响响度。元素5(AI)：攻击强强度预测测。管理人员员专业水水平越高高，应用用系统安安全度越越高。应用系统统维护情情况越良良好，该该应用安安全度越越高。应用系统统硬件安安全水平平越高，，该应用用安全度度越高。。网络拓扑扑影响安安全能力力越低，，该应用用安全度度越高。。攻击预测测越详细细，该应应用安全全度越高高。安全等级级判定方方法（1）应用安全全等级判判定方法法步骤如如下：安全等级级判定方方法（2）模型的应应用根据以上上模型，，可以对对某大学学智慧校校园应用用的安全全等级进进行如下下分析与与判定：：对智慧校校园的维维护情况况、系统统管理员员专业水水平情况况、网络络覆盖范范围、涉涉及的学学生人数数、教师师人数、、食堂、、图书馆馆和校园园商店的的使用情情况、涉涉及存储储的数据据单元以以及硬件件配置情情况进行行了解和和核查。。根据搜集集到的信信息，分分析学校校智慧校校园网络络的拓扑扑模型。。根据应用用环境，，分析该该系统和和网络可可能受到到的攻击击行为。。根据模糊糊评价模模型判定定此智慧慧校园应应用的安安全应用用等级，，为其配配置合理理的安全全技术策策略。6LoWPAN网络架构构协议转换换地址配置置管理域内内节点轻量级IPv6网络IPv6网络6LoWPAN网络协议议栈普通节点点路由节点点边界路由由6LoWPAN节点单片片仿真使用MSP430x1611芯片进行行单片仿仿真使用gcc编译6LoWPAN节点包含了一一个完整整的6LoWPAN协议栈6LoWPAN网络自组组织邻居发现现机制是IPv6的一个关关键特征征，处理理IPv6链路上节节点自组组织以及及维护。。基本的IPv6邻居发现现协议[RFC4816]并不适用于6LoWPAN。6LoWPAN工作组为为低功耗耗无线网