-1--1-基于云计算的物联网关键技术研究孙知信教授南京邮电大学物联网学院SUNZX@njupt.edu.cn-2--2-目录物联网与云计算01基于云计算的物联网环境02基于云计算的物联网安全03目前我们的研究工作04-3--3-物联网与云计算物联网特点云计算特点物联网发展被正式列入国家发展战略。中国物联网应用基础已初步形成。物联网产业联盟迅速出现,从业人员增加。物联网标准制定工作引起各方注意。物联网核心技术突破仍是难题。物联网发展仍处于初期阶段。云计算为用户提供最可靠,最安全的数据存储中心。云计算对用户端设备要求最低,使用方便。云计算可以实现不同用户设备间都数据与应用共享。云计算为用户使用网络提供来无限多都可能。-4--4-物联网发展趋势物理世界感知是物联网建设的基础。大量独立建设的单一物联网应用是物联网建设的起点与基本元素。众多单一物联网应用的深度互联和跨域协作是物联网建设的目标。-5--5-云计算发展趋势现阶段价值初步体现典型应用5-10年后价值体现行业云应用局部自动互联愿景广泛互联跨域合作泛在共享-6--6-物联网与云计算关系网络层RFID摄像头传感器传感网络智慧城市感知层应用层现有通信网络有线宽带Wi-Fi2G/3G/4GPSTN...中继设备物联网网关物联网管理平台云计算平台Z-WaveWirelessHARTRUBEEZigBeeIETF6LowPANANT/ANT+Wibree个人家庭应用政府公共应用企业行业应用物联网与云计算的结合应用势在必行。物联网的大规模发展离不开云计算平台的支撑,而云计算平台的完善与大规模的应用需要物联网的发展为其提供最大的用户。基于云计算的物联网安全研究将为物联网与云计算的发展提供最可靠的保障,也是物联网与云计算蓬勃发展的必要条件。-7--7-目录物联网与云计算01基于云计算的物联网环境02基于云计算的物联网安全03目前我们的研究工作04-8--8-云基础设施云计算平台的体系架构云平台云应用云基础设施通过物理资源虚拟化技术,使得平台上运行的不同行业应用以及同一行业应用的不同客户间的资源(存储、CPU等)实现共享。云平台是物联网运营平台的核心,实现了网络节点的配置和控制、信息的采集和计算功能,对海量数据的分析处理,以满足大数据量且实时性要求非常高的数据处理要求。云应用作为物联网运营平台的一部分,实现行业应用的业务流程,在技术上通过应用虚拟化技术,实现多租户,让一个物联网行业应用的多个不同租户共享存储、计算能力等资源。-9--9-物联网与云计算结合方式(1)单中心,多终端这种方式的云中心大部分由私有云构成,可提供统一的界面,具备海量存储能力与分级管理功能。-10--10-VAE基于NGIN平台IMSMobileNetwork网关管端物联网互联网通信网政府交通金融政府企业大企业云中小企业云城市数据中心云传感器及传感网络物联网与云计算结合方式(2)多中心,大量终端这种方式的云中心由共有云和私有云构成,并且二者可以实现互联。-11--11-物联网与云计算结合方式(3)信息应用分层处理,海量终端这种方式的云中心同样由共有云和私有云构成,它的特点是用户的范围广、信息及数据种类多、安全性能高。-12--12-基于云计算的物联网可信环境(1)云计算技术的重要特点结合了分布式处理、并行处理和网格计算的优势。云计算技术将存储在分布式计算机产品中的大量数据和处理器资源整合在一起协同工作,使相关的计算分布在大量的分布式计算机上。超强的计算能力。通过一定的协调调度策略,云计算模式可以通过数万乃至百万的普通计算机之间的联合来提供超强的、可以与超级计算机相抗衡的计算能力。-13--13-基于云计算的物联网可信环境(2)TRE(可信环境)需要保证:一个可信执行环境一个具备隐私保护的存储环境能够抵御外界攻击至少支持一种认证算法•云计算技术关键特点结合了分布式处理、并行处理和网格计算的优势。超强计算能力。运用云计算技术特点搭建物联网可信环境是我们的研究工作之一。-14--14-目录物联网与云计算01基于云计算的物联网环境02基于云计算的物联网安全03目前我们的研究工作04-15--15-基于云计算的物联网安全需求(1)3G互联网将形成巨大的信息安全防护需求。云计算将带来巨额信息化安全投资。三网融合建设将催化信息化安全需求。物联网的信息安全投入将给国内信息安全解决服务厂商带来巨大商机。-16--16-基于云计算的物联网安全需求(2)•感知层•网络层•应用层物联网面临的信息安全挑战拥塞攻击、碰撞攻击、物理破坏耗尽攻击、丢弃和贪婪破坏、非公平竞争汇聚节点攻击方向误导攻击黑洞攻击洪泛攻击失步攻击智能变为低能自动变为失控非法人为干预(内部攻击)设备(特别是移动设备)的丢失隐私数据的窃取-17--17-基于云计算的数据安全研究数据安全存储数据安全传输数据安全研究同态加密密钥集中管理云计算服务端环境可信在线备份系统-18--18-数据在线备份服务系统(1)数据在线备份服务系统面临三大要求既要兼容不同感知层应用的异构数据平台,又要满足云计算存储设备的高扩展性和海量数据存储的组织形式。既要考虑网络传输效率,又要保证数据的安全性。既要满足系统在大量物联网应用实体并发访问时的服务能力,又要进行服务质量的主动控制。-19--19-数据在线备份服务系统(2)需求解决方案按照云计算的思想,系统的拓扑结构包括三个层次的备份云:广域(公共)云,区域云及本地(私有)云。按照就近服务原则,完成新注册用户的调度分配。从软件架构的角度,都包括备份客户端、调度服务器和存储服务器三个子系统。三个子系统除了执行双向安全认证,由调度服务器完成作业调度,建立备份客户端与存储服务器之间的联系。系统必须设置多台介质服务器,以满足系统扩展性方面的要求。-20--20-数据同态加密研究同态加密的思想起源于私密同态(privacyhomomorphism),它允许在不知道解密函数的前提下对加密数据进行计算。Sander和Tschudin定义了整数环上的加法、乘法同态加密机制,加法、乘法同态确保两个变量加密后的计算结果与加密前的计算结果相同。IBM研究人员CraigGentry已研究出一种完全同态加密方案,该方案将能够加强云计算的商业模式(当供应商负责托管客户重要数据时),这样就可以让客户在自己的客户端请求来对数据执行计算而不会暴露原始数据。-21--21-基于云计算平台的物联网数据同态加密研究同态加密应用于物联网的优势物联网感知数据的大小一般都限定在一定的数量级范围内,数据类型也大部分限定在整数环中,而基础的整数环智能光的加法和乘法同态、混合乘法同态加密已十分成熟,因此大部分的物联网应用可以使用以上三种同态算法完成,不需要依赖于完全同态算法。使用同态加密的技术难点提出一种适用于云计算平台的同态加密机制。研究物联网传感器感应数据的格式,并设计统一数据接口,将感应数据归一化到整数域内。对同态加密数据常用处理(如平均值、级差、方差、标准差及数据挖掘等)建立标准库。设计基于云计算平台的同态加密授权策略。-22--22-目录物联网与云计算01基于云计算的物联网环境02基于云计算的物联网安全03目前我们的研究工作04-23--23-目前我们的研究工作基于云计算的数据挖掘算法研究与实现构建云计算平台数据挖掘算法的并行算法研究与实现用户聚类和用户个性化推荐的分布式应用的构建和实现基于云计算的物联网关键技术研究相关国际组织的工作和进展构建基于物联网的可信环境研究基于等级划分的物联网网关接入安全策略终端编码与寻址研究物联网接入网关轻量级关键技术研究轻量级物联网安全技术轻量级IPV6编码寻址技术-24--24-基于云计算的数据挖掘算法研究与实现Linux环境下的云计算平台Hadoop平台分布式文件系统HDFS并行算法MapReduce访问模式并行计算思想Master/slave架构层次式文件系统技术Mapper类和接口Reduce类和接口简单高效的数据加载(导入)工具-25--25-数据挖掘算法的并行算法研究与实现关联规则分类与预测爬虫协同过滤基本算法网页解析聚类对每一类数据挖掘算法进行MapReduce改造。对该算法的每个MapReduce过程,定义具体的实现。在Hadoop平台下进行编码。对实现的数据挖掘并行算法进行测试。-26--26-用户聚类和用户个性化推荐的分布式应用构建应用业务理解,对应用业务问题的界定,以及内外部资源的评估和组织;针对具体应用,进行数据理解,完成应用需要的数据的确定并综合采用爬虫、网页解析、分词等技术获取所需要的数据;对获取的数据进行处理,如数据整合、数据重构、数据格式化、数据的量化处理等;选择合适的独立性变量,建立分类模型,并应用不同的分类数据挖掘算法对用户进行分群;根据聚类的结果,进行合理的业务解释,在对模型进行评估后,针对具体的用户群,制定合适的个性化推荐方案并实现个性化方案的用户推荐。应用构建路线-27--27-数据挖掘的意义通过公有云或私有云的方式由不同渠道汇集信息数据捕获处理建模估算汇总云中心物联网产业涉及行业众多,数据量巨大,高效的数据挖掘能够为物联网应用企业提供智能化的信息策略。通过云中心对海量信息库的智能数据挖掘,进行企业运营状况,客户价值和物流等信息分析为企业规避商业风险,提供新的利益增长点。-28--28-相关国际组织的工作和进展物联网相关的主要国际标准组织ETSI3GPPIETF主要标准物联网全套业务解决方案和嵌入式SIM卡主要标准包括ETSIM2MTC,ETSIETC等主要标准化物联网与电信网的联系主要标准包括3GPPTS22.368;3GPPTR23.888等CCSA主要标准化网络层与传输层主要标准包括6LowPAN,ROLL,CoAP等主要标准化业务平台,业务应用以及感知层延伸主要标准包括M2M总体解决方案,智能家居,绿色街区等-29--29-与安全和寻址相关的物联网标准工作ETSIETSI较为全面和详细的分析了网关认证授权、数据机密性与完整性、终端设备完整性等安全需求。ETSI标准中对终端的寻址功能提出了灵活寻址的需求,基于网关可达和终端可达两个方向将可达性、寻址与存储作为一个整体功能进行描述。3GPP3GPP标准组织主要致力于建立安全架构方面,其提出的TRE环境架构可做为ETSI具体安全技术实施的“容器”。3GPP定义了编码寻址技术,分析评估指出使用IP进行寻址相对于使用IMSI和MSISDN编码寻址而言,有明显的优势。-30--30-基于可信环境的物联网网关安全(1)四步构建基于物联网的可信环境调研现有物联网的基础通信手段,归纳其目前存在或将来可能产生的攻击手段或安全问题。针对基于云计算的物联网应用,对于伪造攻击或Dos入侵等行为,构建特征行为库。研究基于云计算技术的物联网中,行为识别库的合理存储以及在云计算平台下相应的行为匹配算法。针对物联网的具体应用,在云计算网络下设计相应的日志管理、行为追踪、行为审查、恶意行为告警、恶意行为阻挡等相关方案。-31--31-基于可信环境的物联网网关安全(2)终端WAN现有通信网络网关GRAR路由GSECGGCGREMGRAR:网关可达寻址存储模块GGC:网关通用通信模块GSEC:网关安全功能模块GREM:网关远程实体管理功能模块物联网网关安全接入研究涉及网络实体的认证,授权和状态更新三个过程。研究目的在于保证物联网网关的完整可靠接入,从而保证物联网的可靠性,可管理性,构建一个可信任的安全执行环境和信任平台(TrE),并达到电信级的安全性、稳定性。网关安全模块结构图-32--32-物联网终端编码与寻址(1)3GPPTR23.888针对IP寻址编码机制要求可扩展的最小化用户的配置量最小化消息通信量最小化无线传输最小化用户层面的延迟最小化其安全威胁-33--33-物联网终端编码与寻址(2)基