基于云计算的物联网关键技术研究课件

基于云计算的物联网关键技术研究孙知信教授南京邮电大学物联网学院

SUNZX@基于云计算的物联网关键技术研究孙知信教授目录

物联网与云计算01

基于云计算的物联网环境02

基于云计算的物联网安全03

目前我们的研究工作04目录物联网与云计算01基于云计算的物联网环境02基于云物联网与云计算

物联网特点云计算特点物联网发展被正式列入国家发展战略。中国物联网应用基础已初步形成。物联网产业联盟迅速出现，从业人员增加。物联网标准制定工作引起各方注意。物联网核心技术突破仍是难题。物联网发展仍处于初期阶段。云计算为用户提供最可靠，最安全的数据存储中心。云计算对用户端设备要求最低，使用方便。云计算可以实现不同用户设备间都数据与应用共享。云计算为用户使用网络提供来无限多都可能。物联网与云计算物联网特点云计算特点物联网发展被正式列入国物联网发展趋势物理世界感知是物联网建设的基础。大量独立建设的单一物联网应用是物联网建设的起点与基本元素。众多单一物联网应用的深度互联和跨域协作是物联网建设的目标。物联网发展趋势物理世界感知是物联网建设的基础。大量独立建云计算发展趋势现阶段价值初步体现典型应用5-10年后价值体现行业云应用局部自动互联愿景广泛互联跨域合作泛在共享云计算发展趋势现阶段5-10年后愿景物联网与云计算关系物联网与云计算的结合应用势在必行。物联网的大规模发展离不开云计算平台的支撑，而云计算平台的完善与大规模的应用需要物联网的发展为其提供最大的用户。基于云计算的物联网安全研究将为物联网与云计算的发展提供最可靠的保障，也是物联网与云计算蓬勃发展的必要条件。物联网与云计算关系物联网与云计算的结合应用势在必行。目录

物联网与云计算01

基于云计算的物联网环境02

基于云计算的物联网安全03

目前我们的研究工作04目录物联网与云计算01基于云计算的物联网环境02基于云云基础设施云计算平台的体系架构云平台云应用云基础设施通过物理资源虚拟化技术，使得平台上运行的不同行业应用以及同一行业应用的不同客户间的资源（存储、CPU等）实现共享。云平台是物联网运营平台的核心，实现了网络节点的配置和控制、信息的采集和计算功能，对海量数据的分析处理，以满足大数据量且实时性要求非常高的数据处理要求。云应用作为物联网运营平台的一部分，实现行业应用的业务流程，在技术上通过应用虚拟化技术，实现多租户，让一个物联网行业应用的多个不同租户共享存储、计算能力等资源。云基础设施云计算平台的体系架构云平台云应用云基础设施通过物理物联网与云计算结合方式（1）单中心，多终端这种方式的云中心大部分由私有云构成，可提供统一的界面，具备海量存储能力与分级管理功能。物联网与云计算结合方式（1）单中心，多终端VAE基于NGIN平台IMSMobileNetwork网关管端物联网互联网通信网政府交通金融政府企业大企业云中小企业云城市数据中心云eCityIDC传感器及传感网络物联网与云计算结合方式（2）多中心，大量终端这种方式的云中心由共有云和私有云构成，并且二者可以实现互联。

VAE基于NGIN平台IMSMobileNetwork网关物联网与云计算结合方式（3）信息应用分层处理，海量终端这种方式的云中心同样由共有云和私有云构成，它的特点是用户的范围广、信息及数据种类多、安全性能高。

物联网与云计算结合方式（3）信息应用分层处理，海量终端基于云计算的物联网可信环境（1）云计算技术的重要特点结合了分布式处理、并行处理和网格计算的优势。云计算技术将存储在分布式计算机产品中的大量数据和处理器资源整合在一起协同工作，使相关的计算分布在大量的分布式计算机上。超强的计算能力。通过一定的协调调度策略，云计算模式可以通过数万乃至百万的普通计算机之间的联合来提供超强的、可以与超级计算机相抗衡的计算能力。基于云计算的物联网可信环境（1）云计算技术的重要特点结合了分基于云计算的物联网可信环境（2）TRE（可信环境）需要保证：一个可信执行环境一个具备隐私保护的存储环境能够抵御外界攻击至少支持一种认证算法

云计算技术关键特点结合了分布式处理、并行处理和网格计算的优势。超强计算能力。运用云计算技术特点搭建物联网可信环境是我们的研究工作之一。基于云计算的物联网可信环境（2）TRE（可信环境）需要保证：目录

物联网与云计算01

基于云计算的物联网环境02

基于云计算的物联网安全03

目前我们的研究工作04目录物联网与云计算01基于云计算的物联网环境02基于云基于云计算的物联网安全需求（1）3G互联网将形成巨大的信息安全防护需求。云计算将带来巨额信息化安全投资。三网融合建设将催化信息化安全需求。物联网的信息安全投入将给国内信息安全解决服务厂商带来巨大商机。基于云计算的物联网安全需求（1）3G互联网将形成巨大的信息安基于云计算的物联网安全需求（2）感知层网络层应用层物联网面临的信息安全挑战拥塞攻击、碰撞攻击、物理破坏耗尽攻击、丢弃和贪婪破坏、非公平竞争汇聚节点攻击方向误导攻击黑洞攻击洪泛攻击失步攻击智能变为低能自动变为失控非法人为干预（内部攻击）设备（特别是移动设备）的丢失隐私数据的窃取基于云计算的物联网安全需求（2）感知层网络层应用层物联网面临基于云计算的数据安全研究数据安全存储数据安全传输数据安全研究同态加密密钥集中管理云计算服务端环境可信在线备份系统基于云计算的数据安全研究数据安全存储数据安全传输数据安全研究数据在线备份服务系统（1）数据在线备份服务系统面临三大要求既要兼容不同感知层应用的异构数据平台，又要满足云计算存储设备的高扩展性和海量数据存储的组织形式。既要考虑网络传输效率，又要保证数据的安全性。既要满足系统在大量物联网应用实体并发访问时的服务能力，又要进行服务质量的主动控制。数据在线备份服务系统（1）数据在线备份服务系统面临三大要求数据在线备份服务系统（2）需求解决方案按照云计算的思想，系统的拓扑结构包括三个层次的备份云:广域(公共)云,区域云及本地(私有)云。按照就近服务原则，完成新注册用户的调度分配。从软件架构的角度，都包括备份客户端、调度服务器和存储服务器三个子系统。三个子系统除了执行双向安全认证，由调度服务器完成作业调度，建立备份客户端与存储服务器之间的联系。系统必须设置多台介质服务器，以满足系统扩展性方面的要求。数据在线备份服务系统（2）需求解决方案按照云计算的思想，系统数据同态加密研究

同态加密的思想起源于私密同态(privacyhomomorphism)，它允许在不知道解密函数的前提下对加密数据进行计算。Sander和Tschudin定义了整数环上的加法、乘法同态加密机制,加法、乘法同态确保两个变量加密后的计算结果与加密前的计算结果相同。IBM研究人员CraigGentry已研究出一种完全同态加密方案，该方案将能够加强云计算的商业模式(当供应商负责托管客户重要数据时)，这样就可以让客户在自己的客户端请求来对数据执行计算而不会暴露原始数据。数据同态加密研究同态加密的思想起源于私密同态(priva基于云计算平台的物联网数据同态加密研究同态加密应用于物联网的优势物联网感知数据的大小一般都限定在一定的数量级范围内，数据类型也大部分限定在整数环中，而基础的整数环智能光的加法和乘法同态、混合乘法同态加密已十分成熟，因此大部分的物联网应用可以使用以上三种同态算法完成，不需要依赖于完全同态算法。使用同态加密的技术难点提出一种适用于云计算平台的同态加密机制。研究物联网传感器感应数据的格式，并设计统一数据接口，将感应数据归一化到整数域内。对同态加密数据常用处理（如平均值、级差、方差、标准差及数据挖掘等）建立标准库。设计基于云计算平台的同态加密授权策略。基于云计算平台的物联网数据同态加密研究同态加密应用于物联网目录

物联网与云计算01

基于云计算的物联网环境02

基于云计算的物联网安全03

目前我们的研究工作04目录物联网与云计算01基于云计算的物联网环境02基于云目前我们的研究工作基于云计算的数据挖掘算法研究与实现构建云计算平台数据挖掘算法的并行算法研究与实现用户聚类和用户个性化推荐的分布式应用的构建和实现

基于云计算的物联网关键技术研究相关国际组织的工作和进展构建基于物联网的可信环境研究基于等级划分的物联网网关接入安全策略终端编码与寻址研究物联网接入网关轻量级关键技术研究轻量级物联网安全技术轻量级IPV6编码寻址技术目前我们的研究工作基于云计算的数据挖掘算法研究与实现基于云计算的数据挖掘算法研究与实现Linux环境下的云计算平台Hadoop平台分布式文件系统HDFS并行算法MapReduce访问模式并行计算思想Master/slave架构层次式文件系统技术Mapper类和接口Reduce类和接口简单高效的数据加载（导入）工具基于云计算的数据挖掘算法研究与实现Linux环境下的云计算平数据挖掘算法的并行算法研究与实现关联规则分类与预测爬虫协同过滤基本算法网页解析聚类对每一类数据挖掘算法进行MapReduce改造。对该算法的每个MapReduce过程，定义具体的实现。在Hadoop平台下进行编码。对实现的数据挖掘并行算法进行测试。数据挖掘算法的并行算法研究与实现关联规则分类与预测爬虫协同过用户聚类和用户个性化推荐的分布式应用构建应用业务理解，对应用业务问题的界定，以及内外部资源的评估和组织；针对具体应用，进行数据理解，完成应用需要的数据的确定并综合采用爬虫、网页解析、分词等技术获取所需要的数据；对获取的数据进行处理，如数据整合、数据重构、数据格式化、数据的量化处理等；选择合适的独立性变量，建立分类模型，并应用不同的分类数据挖掘算法对用户进行分群；根据聚类的结果，进行合理的业务解释，在对模型进行评估后，针对具体的用户群，制定合适的个性化推荐方案并实现个性化方案的用户推荐。应用构建路线用户聚类和用户个性化推荐的分布式应用构建应用业务理解，对应用数据挖掘的意义通过公有云或私有云的方式由不同渠道汇集信息数据捕获处理建模估算汇总云中心物联网产业涉及行业众多，数据量巨大，高效的数据挖掘能够为物联网应用企业提供智能化的信息策略。通过云中心对海量信息库的智能数据挖掘，进行企业运营状况，客户价值和物流等信息分析为企业规避商业风险，提供新的利益增长点。数据挖掘的意义通过公有云或私有云的方式由不同渠道汇集信息数据相关国际组织的工作和进展物联网相关的主要国际标准组织ETSI3GPPIETF主要标准物联网全套业务解决方案和嵌入式SIM卡主要标准包括ETSIM2MTC,ETSIETC等主要标准化物联网与电信网的联系主要标准包括3GPPTS22.368;3GPPTR23.888等CCSA主要标准化网络层与传输层主要标准包括6LowPAN,ROLL,CoAP等主要标准化业务平台，业务应用以及感知层延伸主要标准包括M2M总体解决方案，智能家居，绿色街区等相关国际组织的工作和进展物联网相关的主要国际标准组织ETSI与安全和寻址相关的物联网标准工作ETSIETSI较为全面和详细的分析了网关认证授权、数据机密性与完整性、终端设备完整性等安全需求。ETSI标准中对终端的寻址功能提出了灵活寻址的需求，基于网关可达和终端可达两个方向将可达性、寻址与存储作为一个整体功能进行描述。3GPP

3GPP标准组织主要致力于建立安全架构方面，其提出的TRE环境架构可做为ETSI具体安全技术实施的“容器”。3GPP定义了编码寻址技术，分析评估指出使用IP进行寻址相对于使用IMSI和MSISDN编码寻址而言，有明显的优势。与安全和寻址相关的物联网标准工作ETSI基于可信环境的物联网网关安全（1）四步构建基于物联网的可信环境调研现有物联网的基础通信手段，归纳其目前存在或将来可能产生的攻击手段或安全问题。针对基于云计算的物联网应用，对于伪造攻击或Dos入侵等行为，构建特征行为库。研究基于云计算技术的物联网中，行为识别库的合理存储以及在云计算平台下相应的行为匹配算法。针对物联网的具体应用，在云计算网络下设计相应的日志管理、行为追踪、行为审查、恶意行为告警、恶意行为阻挡等相关方案。基于可信环境的物联网网关安全（1）四步构建基于物联网的可信环基于可信环境的物联网网关安全（2）GRAR:网关可达寻址存储模块GGC:网关通用通信模块GSEC:网关安全功能模块GREM:网关远程实体管理功能模块物联网网关安全接入研究涉及网络实体的认证，授权和状态更新三个过程。研究目的在于保证物联网网关的完整可靠接入，从而保证物联网的可靠性，可管理性，构建一个可信任的安全执行环境和信任平台（TrE），并达到电信级的安全性、稳定性。网关安全模块结构图基于可信环境的物联网网关安全（2）GRAR:网关可达寻址存储物联网终端编码与寻址（1）3GPPTR23.888针对IP寻址编码机制要求可扩展的最小化用户的配置量最小化消息通信量最小化无线传输最小化用户层面的延迟最小化其安全威胁物联网终端编码与寻址（1）3GPPTR23.888针对I物联网终端编码与寻址（2）基于MSISDN(CC+NDC+SN，CC=CountryCode，NDC=NationalDestinationCode，SN=SubscriberNumber)的寻址方式，目前一些已有应用已经使用了一部分MSISDN编码，所以供物联网使用的实际编码数量受限，无法满足大规模应用。基于IMSI(InternationalMobileSubscriberIdentity)的寻址方式，由于其连通性有限，目前还无法满足实际寻址需求基于IPv4或IPv6的寻址方式，这种方式几乎能提供取之不尽的寻址空间，可实施性最高。三种寻址方式比较物联网终端编码与寻址（2）基于MSISDN(CC+NDC+S物联网终端编码与寻址（3）IPV4？IPV6?IPV6是未来物联网发展的必然，但目前使用IPV4更为实际IPV4地址受限，私有IP无法被正确路由IP地址过长，不容易记忆利用NATTTT完成物联网私有IP地址至公有IP网络的映射通过域名对海量物联网终端设备进行标识物联网终端编码与寻址（3）IPV4？IPV6?IPV6是未来物联网接入网关轻量级关键技术研究轻量级物联网安全技术结合IEEE802.15.4,6LowPAN和Zigbee标准中的安全机制研究，提出一种适用于物联网的轻量级安全方案。轻量级IPV6编码寻址技术结合IETF6LoWPAN、IPSO的研究成果对物联网终端编码和寻址技术进行研究，提出一套基于轻量级IPV6的编码寻址技术，实现接入网关中轻量级IPV6与IPV6协议之间的协议转换。主要研究内容物联网接入网关轻量级关键技术研究轻量级物联网安全技术主要研考虑到物联网应用对安全的敏感度具备多样性，从等级划分这个特点出发，研究不同安全等级的判定与配置以互联网网络安全攻击为基础构建物联网攻击模型以物联网实际应用为前提构建物联网拓扑模型，

在以上2个模型的基础上构建基于等级划分的物联网安全模型。基于等级划分的物联网网关接入安全物联网快速发展的同时，安全问题成为制约物联网应用发展的瓶颈。

不同物联网应用的安全敏感度不同，为其“量身定制”安全策略能有效减少配置的冗余与多余能量的消耗。

物联网发展刚刚起步，对物联网标准的制定还处于探索阶段。研究思路

研究需求研究需求研究思路考虑到物联网应用对安全的敏感度具备多样性，从等级划分这个特物联网安全相关研究针对概念针对协议针对终端概括性分析物联网各逻辑层可能面临的安全问题以及能够采取的对应安全措施，不涉及物联网安全的核心技术。这类研究大多基于已有的传输协议进行开发，无法避免协议本身的缺点，同时也未能涉及到不同安全敏感度应用的安全判定与配置。此类研究大多针对射频标签和阅读器间的安全策略，相对物联网整体来说，这部分研究只涉及到物联网前端的无线传感网安全部分。物联网安全相关研究针对概念针对协议针对终端概括性分析物联网各我们的工作提出一个基于等级划分的物联网安全模型。

提出了物联网拓扑子模型和物联网攻击子模型架构。

利用模糊评价模型和简易的三估计法判定物联网应用安全等级。在研究国内外物联网安全技术发展的基础上：我们的工作提出一个基于等级划分的物联网安全模型。在研究模型相关定义定义1

应用系统管理员指维护应用系统安全、为应用系统用户分配资源的主体。其自身的专业水平决定了其本身的安全等级。本文中其安全等级由高到低依次为：4，3，2，1。定义2维护数据单元指ASA在对应于系统的日常维护工作中涉及到的数据对象，包括安全检测时隔、故障维护延迟和数据备份间隔等。定义3应用系统硬件设备指该物联网应用的构建与实施过程中所需要的硬件设备，此对象包括硬件设备数量、硬件安全等级等。定义4应用涉及范围指该应用所涉及覆盖的物理和逻辑范围，包括网络覆盖范围、所涉及的人群类别。定义5应用类型指具体此物联网应用所属行业。定义6敏感数据单元指该物联网应用中可能涉及的敏感数据，包括数据量比率、数据影响度。模型相关定义定义1应用系统管理员指维护应用系统安全、为应用基于等级划分的物联网安全模型物联网拓扑子模型物联网攻击子模型五大判定元素等级判定机制基于等级划分的物联网安全模型物联网拓扑子模型物联网攻击子模型物联网拓扑子模型TSM-IOTI：广域或局域网—基站—分网—汇聚节点—感知节点；TSM-IOTII：远程客户端—(移动通信网)—互联网—基站—汇聚节点—(簇首)—感知节点；TSM-IOTIII：远程客户端—(移动通信网)—互联网—物联网网关—物联网终端—(标签)。物联网拓扑子模型TSM-IOTI：广域或局域网—基站—分网物联网攻击子模型逻辑层攻击类型物理层拥塞攻击、物理破坏、节点复制攻击数据链路层碰撞攻击、非公平竞争、耗尽攻击攻击种类描述IP碎片攻击修改或重构报文中的分片或重组，从而引起意外重组、重组溢出、重组乱序等问题选择性传递攻击恶意节点随机选择或者选择性丢弃含有重要信息的数据包，从而破坏路由协议Sybil攻击恶意节点伪造身份或俘获合法节点从而获取数据污水池攻击提供虚假高质量路由信息从而破坏路由负载均衡虫洞攻击利用虫洞产生污水池，再进行选择性转发或者改变数据包的内容虚假路由信息攻击者通过提供虚假的路由信息，造成资源浪费、改变路由路径或者造成回路跨异构网络的网络攻击攻击异构网络的信息交换过程表2网络层攻击类型表1感知层攻击类型物联网攻击子模型逻辑层攻击类型物理层拥塞攻击、物理破坏、节点判定元素及判定原则判定元素判定原则元素1(ASA)：应用系统管理人员水平。元素2(MDU)：应用系统安全维护。元素3(SH)：应用系统硬件水平。元素4(TI)：网络拓扑影响度。元素5(AI)：攻击强度预测。管理人员专业水平越高，应用系统安全度越高。应用系统维护情况越良好，该应用安全度越高。应用系统硬件安全水平越高，该应用安全度越高。网络拓扑影响安全能力越低，该应用安全度越高。攻击预测越详细，该应用安全度越高。判定元素及判定原则判定元素判定原则元素1(ASA)：应用系统安全等级判定方法（1）应用安全等级判定方法步骤如下：安全等级判定方法（1）应用安全等级判定方法步骤如下：安全等级判定方法（2）安全等级判定方法（2）模型的应用根据以上模型，可以对某大学智慧校园应用的安全等级进行如下分析与判定：对智慧校园的维护情况、系统管理员专业水平情况、网络覆盖范围、涉及的学生人数、教师人数、食堂、图书馆和校园商店的使用情况、涉及存储的数据单元以及硬件配置情况进行了解和核查。根据搜集到的信息，分析学校智慧校园网络的拓扑模型。根据应用环境，分析该系统和网络可能受到的攻击行为。根据模糊评价模型判定此智慧校园应用的安全应用等级，为其配置合理的安全技术策略。模型的应用根据以上模型，可以对某大学智慧校园应用的安全等级进

6LoWPAN网络架构协议转换地址配置管理域内节点轻量级IPv6网络IPv6网络6LoWPAN网络架构协议转换轻量级IPv6IPv6网络

6LoWPAN网络协议栈普通节点路由节点边界路由6LoWPAN网络协议栈普通节点边界路由

6LoWPAN节点单片仿真使用MSP430x1611芯片进行单片仿真使用gcc编译6LoWPAN节点包含了一个完整的6LoWPAN协议栈6LoWPAN节点单片仿真使用MSP430x1611芯片进

6LoWPAN网络自组织邻居发现机制是IPv6的一个关键特征，处理IPv6链路上节点自组织以及维护。基本的IPv6邻居发现协议[RFC4816]并不适用于6LoWPAN。6LoWPAN工作组为低功耗无线网络和6LoWPAN特别制定了6LoWPAN邻居发现协议（6LoWPAN-ND），定义了网络自动配置以及主机、路由和边界路由之间的交互机制，完成了LoWPAN域内各节点的注册与地址分配。每个LoWPAN域的节点注册表由相应边界路由保存，简化了IPv6操作,也减少了组播信息流的数量。6LoWPAN网络自组织邻居发现机制是IPv6的一个关键特6LoWPAN网络路由RPL路由协议——距离向量路由

使用路径度量给每条链路都赋以开销值。当数据包从节点A发送至节点B时，选择最低开销的一条路径。每个路由器中的路由表保存了其所知道的所有目的节点的软状态路径入口及其相关路径开销。三种数据通信模式：P2P、P2MP、MP2P支持动态变化的网络拓扑支持三种级别的安全协议6LoWPAN网络路由RPL路由协议——距离向量路由6LoWPAN网络自组织及路由仿真6LoWPAN网络自组织及路由仿真6LoWPANIPv6首部压缩技术一方面802.15.4物理层支持的最大帧长度是127字节，而IPv6的报头就占据了40字节，再加上MAC层报头，安全报头、传输层报头的长度，实际能够给应用层使用报文长度变得非常小。另一方面，IPv6协议（RFC2460）中规定的MTU值最小是1280字节，如果链路层支持的MTU小于此值，则链路层需要自己负责分片和重组。所以，6LowPan工作组为IEEE802.15.4设计了一个适配层，把IPv6数据包适配到IEEE802.15.4规定的物理层和链路层之上，支持报文分片和重组，同时6LowPan规定了IPv6报头的无状态压缩方法，减小IPv6协议带来的负荷。6LoWPANIPv6首部压缩技术一方面802.15.4物理

IPv6数据包压缩与解压IPv6数据包压缩与解压总结千里之行，始于远方，亦始于足下。千里之行：物联网与云计算技术相结合的发展模式目前还是研究工作者的愿景。始于远方：目前对于物联网的建设者来说，发展行业应用的同时要避免“孤岛”的形成，难以建成未来互联互通的智能物联网络。始于足下：在具体研究过程中，同时避免过早建立庞大和理想化的架构体系，注重对信息基础设施的设计与优化，增强物联网基础的安全性与健壮性。总结千里之行，始于远方，亦始于足下。千里之行：物联网与云计算基于云计算的物联网关键技术研究孙知信教授南京邮电大学物联网学院

SUNZX@基于云计算的物联网关键技术研究孙知信教授目录

物联网与云计算01

基于云计算的物联网环境02

基于云计算的物联网安全03

目前我们的研究工作04目录物联网与云计算01基于云计算的物联网环境02基于云物联网与云计算

物联网特点云计算特点物联网发展被正式列入国家发展战略。中国物联网应用基础已初步形成。物联网产业联盟迅速出现，从业人员增加。物联网标准制定工作引起各方注意。物联网核心技术突破仍是难题。物联网发展仍处于初期阶段。云计算为用户提供最可靠，最安全的数据存储中心。云计算对用户端设备要求最低，使用方便。云计算可以实现不同用户设备间都数据与应用共享。云计算为用户使用网络提供来无限多都可能。物联网与云计算物联网特点云计算特点物联网发展被正式列入国物联网发展趋势物理世界感知是物联网建设的基础。大量独立建设的单一物联网应用是物联网建设的起点与基本元素。众多单一物联网应用的深度互联和跨域协作是物联网建设的目标。物联网发展趋势物理世界感知是物联网建设的基础。大量独立建云计算发展趋势现阶段价值初步体现典型应用5-10年后价值体现行业云应用局部自动互联愿景广泛互联跨域合作泛在共享云计算发展趋势现阶段5-10年后愿景物联网与云计算关系物联网与云计算的结合应用势在必行。物联网的大规模发展离不开云计算平台的支撑，而云计算平台的完善与大规模的应用需要物联网的发展为其提供最大的用户。基于云计算的物联网安全研究将为物联网与云计算的发展提供最可靠的保障，也是物联网与云计算蓬勃发展的必要条件。物联网与云计算关系物联网与云计算的结合应用势在必行。目录

物联网与云计算01

基于云计算的物联网环境02

基于云计算的物联网安全03

目前我们的研究工作04目录物联网与云计算01基于云计算的物联网环境02基于云云基础设施云计算平台的体系架构云平台云应用云基础设施通过物理资源虚拟化技术，使得平台上运行的不同行业应用以及同一行业应用的不同客户间的资源（存储、CPU等）实现共享。云平台是物联网运营平台的核心，实现了网络节点的配置和控制、信息的采集和计算功能，对海量数据的分析处理，以满足大数据量且实时性要求非常高的数据处理要求。云应用作为物联网运营平台的一部分，实现行业应用的业务流程，在技术上通过应用虚拟化技术，实现多租户，让一个物联网行业应用的多个不同租户共享存储、计算能力等资源。云基础设施云计算平台的体系架构云平台云应用云基础设施通过物理物联网与云计算结合方式（1）单中心，多终端这种方式的云中心大部分由私有云构成，可提供统一的界面，具备海量存储能力与分级管理功能。物联网与云计算结合方式（1）单中心，多终端VAE基于NGIN平台IMSMobileNetwork网关管端物联网互联网通信网政府交通金融政府企业大企业云中小企业云城市数据中心云eCityIDC传感器及传感网络物联网与云计算结合方式（2）多中心，大量终端这种方式的云中心由共有云和私有云构成，并且二者可以实现互联。

VAE基于NGIN平台IMSMobileNetwork网关物联网与云计算结合方式（3）信息应用分层处理，海量终端这种方式的云中心同样由共有云和私有云构成，它的特点是用户的范围广、信息及数据种类多、安全性能高。

物联网与云计算结合方式（3）信息应用分层处理，海量终端基于云计算的物联网可信环境（1）云计算技术的重要特点结合了分布式处理、并行处理和网格计算的优势。云计算技术将存储在分布式计算机产品中的大量数据和处理器资源整合在一起协同工作，使相关的计算分布在大量的分布式计算机上。超强的计算能力。通过一定的协调调度策略，云计算模式可以通过数万乃至百万的普通计算机之间的联合来提供超强的、可以与超级计算机相抗衡的计算能力。基于云计算的物联网可信环境（1）云计算技术的重要特点结合了分基于云计算的物联网可信环境（2）TRE（可信环境）需要保证：一个可信执行环境一个具备隐私保护的存储环境能够抵御外界攻击至少支持一种认证算法

云计算技术关键特点结合了分布式处理、并行处理和网格计算的优势。超强计算能力。运用云计算技术特点搭建物联网可信环境是我们的研究工作之一。基于云计算的物联网可信环境（2）TRE（可信环境）需要保证：目录

物联网与云计算01

基于云计算的物联网环境02

基于云计算的物联网安全03

目前我们的研究工作04目录物联网与云计算01基于云计算的物联网环境02基于云基于云计算的物联网安全需求（1）3G互联网将形成巨大的信息安全防护需求。云计算将带来巨额信息化安全投资。三网融合建设将催化信息化安全需求。物联网的信息安全投入将给国内信息安全解决服务厂商带来巨大商机。基于云计算的物联网安全需求（1）3G互联网将形成巨大的信息安基于云计算的物联网安全需求（2）感知层网络层应用层物联网面临的信息安全挑战拥塞攻击、碰撞攻击、物理破坏耗尽攻击、丢弃和贪婪破坏、非公平竞争汇聚节点攻击方向误导攻击黑洞攻击洪泛攻击失步攻击智能变为低能自动变为失控非法人为干预（内部攻击）设备（特别是移动设备）的丢失隐私数据的窃取基于云计算的物联网安全需求（2）感知层网络层应用层物联网面临基于云计算的数据安全研究数据安全存储数据安全传输数据安全研究同态加密密钥集中管理云计算服务端环境可信在线备份系统基于云计算的数据安全研究数据安全存储数据安全传输数据安全研究数据在线备份服务系统（1）数据在线备份服务系统面临三大要求既要兼容不同感知层应用的异构数据平台，又要满足云计算存储设备的高扩展性和海量数据存储的组织形式。既要考虑网络传输效率，又要保证数据的安全性。既要满足系统在大量物联网应用实体并发访问时的服务能力，又要进行服务质量的主动控制。数据在线备份服务系统（1）数据在线备份服务系统面临三大要求数据在线备份服务系统（2）需求解决方案按照云计算的思想，系统的拓扑结构包括三个层次的备份云:广域(公共)云,区域云及本地(私有)云。按照就近服务原则，完成新注册用户的调度分配。从软件架构的角度，都包括备份客户端、调度服务器和存储服务器三个子系统。三个子系统除了执行双向安全认证，由调度服务器完成作业调度，建立备份客户端与存储服务器之间的联系。系统必须设置多台介质服务器，以满足系统扩展性方面的要求。数据在线备份服务系统（2）需求解决方案按照云计算的思想，系统数据同态加密研究

同态加密的思想起源于私密同态(privacyhomomorphism)，它允许在不知道解密函数的前提下对加密数据进行计算。Sander和Tschudin定义了整数环上的加法、乘法同态加密机制,加法、乘法同态确保两个变量加密后的计算结果与加密前的计算结果相同。IBM研究人员CraigGentry已研究出一种完全同态加密方案，该方案将能够加强云计算的商业模式(当供应商负责托管客户重要数据时)，这样就可以让客户在自己的客户端请求来对数据执行计算而不会暴露原始数据。数据同态加密研究同态加密的思想起源于私密同态(priva基于云计算平台的物联网数据同态加密研究同态加密应用于物联网的优势物联网感知数据的大小一般都限定在一定的数量级范围内，数据类型也大部分限定在整数环中，而基础的整数环智能光的加法和乘法同态、混合乘法同态加密已十分成熟，因此大部分的物联网应用可以使用以上三种同态算法完成，不需要依赖于完全同态算法。使用同态加密的技术难点提出一种适用于云计算平台的同态加密机制。研究物联网传感器感应数据的格式，并设计统一数据接口，将感应数据归一化到整数域内。对同态加密数据常用处理（如平均值、级差、方差、标准差及数据挖掘等）建立标准库。设计基于云计算平台的同态加密授权策略。基于云计算平台的物联网数据同态加密研究同态加密应用于物联网目录

物联网与云计算01

基于云计算的物联网环境02

基于云计算的物联网安全03

目前我们的研究工作04目录物联网与云计算01基于云计算的物联网环境02基于云目前我们的研究工作基于云计算的数据挖掘算法研究与实现构建云计算平台数据挖掘算法的并行算法研究与实现用户聚类和用户个性化推荐的分布式应用的构建和实现

基于云计算的物联网关键技术研究相关国际组织的工作和进展构建基于物联网的可信环境研究基于等级划分的物联网网关接入安全策略终端编码与寻址研究物联网接入网关轻量级关键技术研究轻量级物联网安全技术轻量级IPV6编码寻址技术目前我们的研究工作基于云计算的数据挖掘算法研究与实现基于云计算的数据挖掘算法研究与实现Linux环境下的云计算平台Hadoop平台分布式文件系统HDFS并行算法MapReduce访问模式并行计算思想Master/slave架构层次式文件系统技术Mapper类和接口Reduce类和接口简单高效的数据加载（导入）工具基于云计算的数据挖掘算法研究与实现Linux环境下的云计算平数据挖掘算法的并行算法研究与实现关联规则分类与预测爬虫协同过滤基本算法网页解析聚类对每一类数据挖掘算法进行MapReduce改造。对该算法的每个MapReduce过程，定义具体的实现。在Hadoop平台下进行编码。对实现的数据挖掘并行算法进行测试。数据挖掘算法的并行算法研究与实现关联规则分类与预测爬虫协同过用户聚类和用户个性化推荐的分布式应用构建应用业务理解，对应用业务问题的界定，以及内外部资源的评估和组织；针对具体应用，进行数据理解，完成应用需要的数据的确定并综合采用爬虫、网页解析、分词等技术获取所需要的数据；对获取的数据进行处理，如数据整合、数据重构、数据格式化、数据的量化处理等；选择合适的独立性变量，建立分类模型，并应用不同的分类数据挖掘算法对用户进行分群；根据聚类的结果，进行合理的业务解释，在对模型进行评估后，针对具体的用户群，制定合适的个性化推荐方案并实现个性化方案的用户推荐。应用构建路线用户聚类和用户个性化推荐的分布式应用构建应用业务理解，对应用数据挖掘的意义通过公有云或私有云的方式由不同渠道汇集信息数据捕获处理建模估算汇总云中心物联网产业涉及行业众多，数据量巨大，高效的数据挖掘能够为物联网应用企业提供智能化的信息策略。通过云中心对海量信息库的智能数据挖掘，进行企业运营状况，客户价值和物流等信息分析为企业规避商业风险，提供新的利益增长点。数据挖掘的意义通过公有云或私有云的方式由不同渠道汇集信息数据相关国际组织的工作和进展物联网相关的主要国际标准组织ETSI3GPPIETF主要标准物联网全套业务解决方案和嵌入式SIM卡主要标准包括ETSIM2MTC,ETSIETC等主要标准化物联网与电信网的联系主要标准包括3GPPTS22.368;3GPPTR23.888等CCSA主要标准化网络层与传输层主要标准包括6LowPAN,ROLL,CoAP等主要标准化业务平台，业务应用以及感知层延伸主要标准包括M2M总体解决方案，智能家居，绿色街区等相关国际组织的工作和进展物联网相关的主要国际标准组织ETSI与安全和寻址相关的物联网标准工作ETSIETSI较为全面和详细的分析了网关认证授权、数据机密性与完整性、终端设备完整性等安全需求。ETSI标准中对终端的寻址功能提出了灵活寻址的需求，基于网关可达和终端可达两个方向将可达性、寻址与存储作为一个整体功能进行描述。3GPP

3GPP标准组织主要致力于建立安全架构方面，其提出的TRE环境架构可做为ETSI具体安全技术实施的“容器”。3GPP定义了编码寻址技术，分析评估指出使用IP进行寻址相对于使用IMSI和MSISDN编码寻址而言，有明显的优势。与安全和寻址相关的物联网标准工作ETSI基于可信环境的物联网网关安全（1）四步构建基于物联网的可信环境调研现有物联网的基础通信手段，归纳其目前存在或将来可能产生的攻击手段或安全问题。针对基于云计算的物联网应用，对于伪造攻击或Dos入侵等行为，构建特征行为库。研究基于云计算技术的物联网中，行为识别库的合理存储以及在云计算平台下相应的行为匹配算法。针对物联网的具体应用，在云计算网络下设计相应的日志管理、行为追踪、行为审查、恶意行为告警、恶意行为阻挡等相关方案。基于可信环境的物联网网关安全（1）四步构建基于物联网的可信环基于可信环境的物联网网关安全（2）GRAR:网关可达寻址存储模块GGC:网关通用通信模块GSEC:网关安全功能模块GREM:网关远程实体管理功能模块物联网网关安全接入研究涉及网络实体的认证，授权和状态更新三个过程。研究目的在于保证物联网网关的完整可靠接入，从而保证物联网的可靠性，可管理性，构建一个可信任的安全执行环境和信任平台（TrE），并达到电信级的安全性、稳定性。网关安全模块结构图基于可信环境的物联网网关安全（2）GRAR:网关可达寻址存储物联网终端编码与寻址（1）3GPPTR23.888针对IP寻址编码机制要求可扩展的最小化用户的配置量最小化消息通信量最小化无线传输最小化用户层面的延迟最小化其安全威胁物联网终端编码与寻址（1）3GPPTR23.888针对I物联网终端编码与寻址（2）基于MSISDN(CC+NDC+SN，CC=CountryCode，NDC=NationalDestinationCode，SN=SubscriberNumber)的寻址方式，目前一些已有应用已经使用了一部分MSISDN编码，所以供物联网使用的实际编码数量受限，无法满足大规模应用。基于IMSI(InternationalMobileSubscriberIdentity)的寻址方式，由于其连通性有限，目前还无法满足实际寻址需求基于IPv4或IPv6的寻址方式，这种方式几乎能提供取之不尽的寻址空间，可实施性最高。三种寻址方式比较物联网终端编码与寻址（2）基于MSISDN(CC+NDC+S物联网终端编码与寻址（3）IPV4？IPV6?IPV6是未来物联网发展的必然，但目前使用IPV4更为实际IPV4地址受限，私有IP无法被正确路由IP地址过长，不容易记忆利用NATTTT完成物联网私有IP地址至公有IP网络的映射通过域名对海量物联网终端设备进行标识物联网终端编码与寻址（3）IPV4？IPV6?IPV6是未来物联网接入网关轻量级关键技术研究轻量级物联网安全技术结合IEEE802.15.4,6LowPAN和Zigbee标准中的安全机制研究，提出一种适用于物联网的轻量级安全方案。轻量级IPV6编码寻址技术结合IETF6LoWPAN、IPSO的研究成果对物联网终端编码和寻址技术进行研究，提出一套基于轻量级IPV6的编码寻址技术，实现接入网关中轻量级IPV6与IPV6协议之间的协议转换。主要研究内容物联网接入网关轻量级关键技术研究轻量级物联网安全技术主要研考虑到物联网应用对安全的敏感度具备多样性，从等级划分这个特点出发，研究不同安全等级的判定与配置以互联网网络安全攻击为基础构建物联网攻击模型以物联网实际应用为前提构建物联网拓扑模型，

在以上2个模型的基础上构建基于等级划分的物联网安全模型。基于等级划分的物联网网关接入安全物联网快速发展的同时，安全问题成为制约物联网应用发展的瓶颈。

不同物联网应用的安全敏感度不同，为其“量身定制”安全策略能有效减少配置的冗余与多余能量的消耗。

物联网发展刚刚起步，对物联网标准的制定还处于探索阶段。研究思路

研究需求研究需求研究思路考虑到物联网应用对安全的敏感度具备多样性，从等级划分这个特物联网安全相关研究针对概念针对协议针对终端概括性分析物联网各逻辑层可能面临的安全问题以及能够采取的对应安全措施，不涉及物联网安全的核心技术。这类研究大多基于已有的传输协议进行开发，无法避免协议本身的缺点，同时也未能涉及到不同安全敏感度应用的安全判定与配置。此类研究大多针对射频标签和阅读器间的安全策略，相对物联网整体来说，这部分研究只涉及到物联网前端的无线传感网安全部分。物联网安全相关研究针对概念针对协议针对终端概括性分析物联网各我们的工作提出一个基于等级划分的物联网安全模型。

提出了物联网拓扑子模型和物联网攻击子模型架构。

利用模糊评价模型和简易的三估计法判定物联网应用安全等级。在研究国内外物联网安全技术发展的基础上：我们的工作提出一个基于等级划分的物联网安全模型。在研究模型相关定义定义1

应用系统管理员指维护应用系统安全、为应用系统用户分配资源的主体。其自身的专业水平决定了其本身的安全等级。本文中其安全等级由高到低依次为：4，3，2，1。定义2维护数据单元指ASA在对应于系统的日常维护工作中涉及到的数据对象，包括安全检测时隔、故障维护延迟和数据备份间隔等。定义3应用系统硬件设备指该物联网应用的构建与实施过程中所需要的硬件设备，此对象包括硬件设备数量、硬件安全等级等。定义4应用涉及范围指该应用所涉及覆盖的物理和逻辑范围，包括网络覆盖范围、所涉及的人群类别。定义5应用类型指具体此物联网应用所属行业。定义6敏感数据单元指该物联网应用中可能涉及的敏感数据，包括数据量比率、数据影响度。模型相关定义定义1应用系统管理员指维护应用系统安全、为应用基于等级划分的物联网安全模型物联网拓扑子模型物联网攻击子模型五大判定元素等级判定机制基于等级划分的物联网安全模型物联网拓扑子模型物联网攻击子模型物联网拓扑子模型TSM-IOTI：广域或局域网—基站—分网—汇聚节点—感知节点；TSM-IOTII：远程客户端—(移动通信网)—互联网—基站—汇聚节点—(簇首)—感知节点；TSM-IOTIII：远程客户端—(移动通信网)—互联网—物联网网关—物联网终端—(标签)。物联网拓扑子模型TSM-IOTI：广域或局域网—基站—分网物联网攻击子模型逻辑层攻击类型物理层拥塞攻击、物理破坏、节点复制攻击数据链路层碰撞攻击、非公平竞争、耗尽攻击攻击种类描述IP碎片攻击修改或重构报文中的分片或重组，从而引起意外重组、重组溢出、重组乱序等问题选择性传递攻击恶意节点随机选择或者选择性丢弃含有重要信息的数据包，从而破坏路由协议Sybil攻击恶意节点伪造身份或俘获合法节点从而获取数据污水池攻击提供虚假高质量路由信息从而破坏路由负载均衡虫洞攻击利用虫洞产生污水池，再进行选择性转发或者改变数据包的内容虚假路由信息攻击者通过提供虚假的路由信息，造成资源浪费、改变路由路径或者造成回路跨异构网络的网络攻击攻击异构网络的信息交换过程