DHCP及option82安全機制在無錫物聯(lián)網(wǎng)研究院辦公網(wǎng)絡(luò)中的應(yīng)用研究

1、 DHCP及option82安全機制在無錫物聯(lián)網(wǎng)研究院辦公網(wǎng)絡(luò)中的應(yīng)用研究PAGE PAGE 26中國移動江蘇公司無錫分公司網(wǎng)絡(luò)部第 頁, 共 NUM頁DHCP及option82安全機制在無錫物聯(lián)網(wǎng)研究院辦公網(wǎng)絡(luò)中的應(yīng)用研究中國移動江蘇公司無錫分公司網(wǎng)絡(luò)部2010年10月目錄 TOC o 1-3 h z u HYPERLINK l _Toc275272942 一、研究背景 PAGEREF _Toc275272942 h 3 HYPERLINK l _Toc275272943 二、網(wǎng)絡(luò)建設(shè)方案 PAGEREF _Toc275272943 h 3 HYPERLINK l _Toc275272944

2、 2.1 組網(wǎng)需求 PAGEREF _Toc275272944 h 3 HYPERLINK l _Toc275272945 2.2 建設(shè)思路 PAGEREF _Toc275272945 h 4 HYPERLINK l _Toc275272946 三、技術(shù)實現(xiàn) PAGEREF _Toc275272946 h 4 HYPERLINK l _Toc275272947 3.1 Option 82功能介紹 PAGEREF _Toc275272947 h 5 HYPERLINK l _Toc275272948 3.2Option 82報文結(jié)構(gòu) PAGEREF _Toc275272948 h 6 HYPER

3、LINK l _Toc275272949 3.3 Option 82工作原理 PAGEREF _Toc275272949 h 7 HYPERLINK l _Toc275272950 四、組網(wǎng)及配置步驟 PAGEREF _Toc275272950 h 9 HYPERLINK l _Toc275272951 4.1 DHCP Snooping設(shè)備的配置 PAGEREF _Toc275272951 h 9 HYPERLINK l _Toc275272952 4.2DHCP Server設(shè)備的配置 PAGEREF _Toc275272952 h 10 HYPERLINK l _Toc275272953

4、 4.3 其它注意事項 PAGEREF _Toc275272953 h 13 HYPERLINK l _Toc275272954 4.4 結(jié)果驗證 PAGEREF _Toc275272954 h 13 HYPERLINK l _Toc275272955 五、總結(jié) PAGEREF _Toc275272955 h 14一、研究背景無錫物聯(lián)網(wǎng)研究院位于無錫國際科技園雙子樓B座17和18層，17層是辦公區(qū)，主要有學(xué)術(shù)交流區(qū)域和辦公區(qū)域，學(xué)術(shù)交流區(qū)域只需要上外網(wǎng)，辦公區(qū)域需要上OA辦公網(wǎng)，而18層是研發(fā)區(qū)實驗室需要與北京集團公司總部的實驗室內(nèi)網(wǎng)互聯(lián)。物聯(lián)網(wǎng)研究院網(wǎng)絡(luò)的安全問題也比較受到重視，使網(wǎng)絡(luò)管理員

5、比以往更加需要在加強網(wǎng)絡(luò)安全和便于使用之間找到一個平衡點。我們認(rèn)為在具備802.1x認(rèn)證的硬件條件下，引入Option 82構(gòu)建一個權(quán)限分配清晰的物聯(lián)網(wǎng)研究院內(nèi)部網(wǎng)絡(luò)是一項可行的措施。因此無錫分公司開展了DHCP及option82安全機制的應(yīng)用、測試和研究。二、網(wǎng)絡(luò)建設(shè)方案2.1 組網(wǎng)需求無錫物聯(lián)網(wǎng)研究院的辦公區(qū)域包括三個小組，group1交流區(qū)、group2辦公區(qū)和group3研發(fā)區(qū)，獨立地分布在三個不同的區(qū)域中。通過DHCP server統(tǒng)一管理IP地址，為不同的區(qū)域分配不同范圍的地址。學(xué)術(shù)交流區(qū)域只需要上外網(wǎng)，辦公區(qū)域需要上OA辦公網(wǎng)，而18層是研發(fā)區(qū)實驗室只需要與北京集團公司總部的實驗

6、室內(nèi)網(wǎng)互聯(lián)。2.2 建設(shè)思路在DHCP snooping設(shè)備上啟動Option 82功能。配置Option 82的子選項內(nèi)容，使不同小組的用戶攜帶不同的Option 82信息?？梢酝ㄟ^用戶自定義Circuit ID子選項內(nèi)容的方式來實現(xiàn)。在DHCP server上配置IP地址分配策略，使得DHCP server可以根據(jù)Option 82為DHCP client分配合適的IP地址。具體規(guī)劃如下：DHCP server為辦公室設(shè)備分配/24網(wǎng)段的地址，有效期為12小時，并指定DNS和WINS服務(wù)器地址分別為和。三個小組group1、group2和group3分別通過端口Ethernet1/1、Et

7、hernet1/2和Ethernet1/3接入DHCP snooping設(shè)備，并通過DHCP snooping設(shè)備與DHCP server通信。DHCP server為group1的用戶分配5之間的地址；為group2的用戶分配0050之間的地址；為group3的用戶分配5100之間的地址。圖1 DHCP Snooping組網(wǎng)拓?fù)鋱D三、技術(shù)實現(xiàn)Option 82稱為中繼代理信息選項，該選項記錄了DHCP client的位置信息。DHCP snooping設(shè)備通過在DHCP請求報文中添加Option 82，將DHCP client的位置信息告訴給DHCP server，從而使得DHCP serv

8、er能夠為主機分配合適的IP地址和其他配置信息，并實現(xiàn)對客戶端的安全和策略等的控制。圖2 Option 82應(yīng)用網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)銬HCP server通常根據(jù)請求報文中的giaddr或接收到請求報文的接口IP地址，為客戶端分配IP地址。在圖2中，DHCP服務(wù)器根據(jù)主機所在的網(wǎng)段，選取地址分配給Host A和Host B。如果希望連接Ethernet1/2端口的客戶端地址在某一范圍，連接Ethernet1/3端口的客戶端地址在另一范圍，傳統(tǒng)的地址分配方式是無法實現(xiàn)的。利用Option 82，DHCP服務(wù)器根據(jù)客戶端連接的DHCP snooping端口和giaddr地址來為客戶端分配合適的IP地址，這

9、樣就可以滿足上述需求。Option 82能夠標(biāo)識不同的用戶，服務(wù)器可以根據(jù)Option 82為不同的用戶分配不同的IP地址，從而實現(xiàn)QoS、安全和計費的管理。3.1 Option 82功能介紹DHCP option 82是為了增強DHCP服務(wù)器的安全性，改善IP地址配置策略而提出的一種DHCP選項。通過在網(wǎng)絡(luò)接入設(shè)備上配置DHCP中繼代理功能，中繼代理把從客戶端接收到的DHCP請求報文添加進option 82選項（其中包含了客戶端的接入物理端口和接入設(shè)備標(biāo)識等信息），然后再把該報文轉(zhuǎn)發(fā)給DHCP服務(wù)器，支持option 82功能的DHCP服務(wù)器接收到報文后，根據(jù)預(yù)先配置策略和報文中option

10、 82信息分配IP地址和其它配置信息給客戶端，同時DHCP服務(wù)器也可以依據(jù)option 82中的信息識別可能的DHCP攻擊報文并作出防范。DHCP中繼代理收到服務(wù)器應(yīng)答報文后，剝離其中的option 82選項并根據(jù)選項中的物理端口信息，把應(yīng)答報文轉(zhuǎn)交到網(wǎng)絡(luò)接入設(shè)備的指定端口。Option 82報文結(jié)構(gòu)DHCP option 82又稱為DHCP中繼代理信息選項（Relay Agent Information Option），是DHCP報文中的一個選項，其編號為82。rfc3046定義了option 82，選項位置在option 255之前而在其它option之后。圖3 報文結(jié)構(gòu)圖Code：表示中

11、繼代理信息選項的序號，rfc3046定義為82，option 82即由此得名。Len：為代理信息域（Agent Information Field）的字節(jié)個數(shù)，不包括Code和Len字段的兩個字節(jié)。Option 82可以由多個sub-option 組成，每個option 82選項至少要有一個子選項，rfc3046定義了以下兩個子選項，其格式如下圖所示：圖4 報文結(jié)構(gòu)圖SubOpt：為子選項編號，其中代理電路ID（即Circuit ID）子選項編號為1，代理遠程ID（即 Remote ID）子選項編號為2。Len：為Sub-option Value的字節(jié)個數(shù)，不包括SubOpt和Len字段的兩個

12、字節(jié)。option82子選項1：option82子選項1定義了代理電路ID（即Circuit ID），它表示接收到的DHCP請求報文來自的鏈路標(biāo)識，這個標(biāo)識只在中繼代理節(jié)點內(nèi)部有意義，在服務(wù)器端不可以解析其含義，只作為一個不具含義的標(biāo)識使用。在本文實現(xiàn)中代理電路ID默認(rèn)是指接收到DHCP請求報文的接入交換機Vlan名加接入二層端口名稱，如Vlan2+Ethernet0/0/10，也可以由用戶指定自己的代理電路ID。通常子選項1與子選項2要共同使用來標(biāo)識DHCP客戶端的信息。option82子選項2：option82子選項2定義了代理遠程ID（即 Remote ID），在我司交換機實現(xiàn)中，代理遠

13、程ID是指接收到DHCP請求報文的接入交換機的vlan MAC地址。子選項2通常與子選項1共同使用來標(biāo)識DHCP客戶端的信息。DHCP請求報文：指由DHCP客戶端發(fā)起的報文，希望DHCP服務(wù)器響應(yīng)后分配IP地址和其它配置信息。DHCP請求報文一般有四種，分別為DHCP_DISCOVER報文、DHCP_REQUEST報文、DHCP_RELEASE報文和DHCP_INFORM報文。中繼代理只針對DHCP請求報文添加option 82選項并轉(zhuǎn)發(fā)給服務(wù)器。本文實現(xiàn)的DHCP中繼對這四種請求報文都添加option 82選項。DHCP應(yīng)答報文：指由DHCP服務(wù)器響應(yīng)客戶端發(fā)起的請求報文，包含配置信息或指示

14、回應(yīng)結(jié)果的DHCP響應(yīng)報文，DHCP應(yīng)答報文一般有DHCP_OFFER報文，DHCP_DECLINE報文，DHCP_ACK報文和DHCP_NAK報文。3.3 Option 82工作原理圖5 option 82工作原理圖在DHCP中繼代理（交換機）支持option 82的情況下，DHCP客戶端通過DHCP中繼從DHCP服務(wù)器獲取IP地址同樣要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認(rèn)四個階段。這時DHCP協(xié)議按如下過程進行：1、DHCP客戶端在初始化時廣播發(fā)送請求報文，這時的請求報文并不包含option 82選項。2、DHCP中繼代理將option 82選項添加到接收到的請求報文尾部后中繼轉(zhuǎn)發(fā)給DHCP服務(wù)器。

15、option 82選項的子選項1（代理電路ID）默認(rèn)是DHCP客戶端所連接的交換機的接口信息（VLan名加物理端口名），也可以由用戶自己配置代理電路ID，option 82選項的子選項2（代理遠程ID）是DHCP中繼設(shè)備本身的MAC地址。3、DHCP服務(wù)器收到DHCP中繼設(shè)備轉(zhuǎn)發(fā)的DHCP請求報文后，根據(jù)報文中option選項所攜帶的信息和預(yù)定策略分配IP地址和其它信息給客戶端，然后將帶著DHCP配置信息以及option 82信息的應(yīng)答報文發(fā)給DHCP中繼代理。4、DHCP中繼代理收到DHCP服務(wù)器的應(yīng)答報文后將剝離報文中的option 82信息，然后將帶有DHCP配置信息的報文轉(zhuǎn)發(fā)給DHCP

16、客戶端?；贒HCP OPTION82的DOT1X認(rèn)證，一般用于在用戶使用DHCP方式獲取地址的環(huán)境中，需要支持基于OPTION82進行地址分配策略的DHCP SERVER。用戶在獲取IP地址之前處于控制狀態(tài)，只能訪問DHCP SERVER；用戶在獲取地址之后處于安全狀態(tài)，接入交換機轉(zhuǎn)發(fā)該用戶的IP和ARP報文；用戶在認(rèn)證前后能夠獲得不同地址，通過在接入交換機上聯(lián)的匯聚交換機上配置ACL，控制不同源地址用戶能夠訪問資源，來控制認(rèn)證前后用戶的訪問權(quán)限。為了使DHCP用戶在認(rèn)證前后能夠獲得不同（網(wǎng)段）的地址，交換機利用了DHCP OPTION82和DHCP Snooping技術(shù)。DHCP報文中的8

17、2選項一般由DHCP中繼代理在中繼DHCP報文時附加，在交換機擴展了這一功能，允許DHCP SNOOPING在監(jiān)聽DHCP報文時附加OPTION82信息，OPTION82的內(nèi)容在DHCP用戶認(rèn)證之前由DHCP SNOOPING添加一個默認(rèn)值，如果用戶在獲取地址成功后并且認(rèn)證通過，則神州數(shù)碼802.1X認(rèn)證服務(wù)器后臺會下發(fā)該用戶的OPTION82信息到交換機，同時DOT1X 客戶端會重新申請一次地址，DHCP SNOOPING在監(jiān)聽DHCP報文時附加用戶認(rèn)證后的OPTION82信息，DHCP SERVER會根據(jù)這個OPTION82信息給用戶分配另一個地址。由于用戶在認(rèn)證前后地址不同，則可以在接入

18、交換機上聯(lián)的匯聚交換機上進行基于源IP的ACL配置，來控制用戶的訪問權(quán)限。四、組網(wǎng)及配置步驟4.1 DHCP Snooping設(shè)備的配置1. 配置步驟# 使能DHCP Snooping功能。 system-viewSwitch dhcp-snooping# 配置端口Ethernet1/4為信任端口。Switch interface ethernet 1/4Switch-Ethernet1/4 dhcp-snooping trustSwitch-Ethernet1/4 quit# 在端口Ethernet1/1使能Option 82。Switch interface ethernet 1/1Swi

19、tch-Ethernet1/1 dhcp-snooping information enable# 在端口Ethernet1/1配置Option 82的Circuit ID填充內(nèi)容為group1。Switch-Ethernet1/1 dhcp-snooping information circuit-id string group1Switch-Ethernet1/1 quit# 在端口Ethernet1/2使能Option 82。Switch interface ethernet 1/2Switch-Ethernet1/2 dhcp-snooping information enable#

20、在端口Ethernet1/2配置Option 82的Circuit ID填充內(nèi)容為group2。Switch-Ethernet1/2 dhcp-snooping information circuit-id string group2Switch-Ethernet1/2 quit# 在端口Ethernet1/3使能Option 82。Switch interface ethernet 1/3Switch-Ethernet1/3 dhcp-snooping information enableSwitch-Ethernet1/3 quit# 在端口Ethernet1/3配置Option 82的C

21、ircuit ID填充內(nèi)容為group3。Switch-Ethernet1/3 dhcp-snooping information circuit-id string group3Switch-Ethernet1/3 quit2. 配置文件 display current-configuration#interface Ethernet1/1port link-mode bridgedhcp-snooping information enabledhcp-snooping information circuit-id string group1# interface Ethernet1/2po

22、rt link-mode bridgedhcp-snooping information enabledhcp-snooping information circuit-id string group2# interface Ethernet1/3port link-mode bridgedhcp-snooping information enabledhcp-snooping information circuit-id string group3#interface Ethernet1/4port link-mode bridgedhcp-snooping trust#4.2DHCP Se

23、rver設(shè)備的配置1. 配置步驟設(shè)備上，可以通過兩種方式配置Option 82的內(nèi)容：1、用戶自定義方式：用戶手工指定Option 82的內(nèi)容；2、非用戶自定義方式：采用默認(rèn)的normal模式或verbose模式填充Option 82。采用用戶自定義方式配置Circuit ID子選項內(nèi)容時，Circuit ID子選項的格式如圖3 所示。圖6 Circuit ID子選項的格式例如，由端口Ethernet1/1接入的用戶，Circuit ID子選項內(nèi)容為group1，DHCP報文中添加的Circuit ID子選項信息應(yīng)為：0 x010667726F757031，其中0106是Circuit ID的

24、子選項號和子選項長度，67726F757031是字符串“group1”的十六進制值。本次組網(wǎng)中只需根據(jù)小組編號進行IP地址的分配，因此，在DHCP server上只需對Circuit ID子選項中標(biāo)識小組編號的字段進行匹配即可。說明：DHCP server使用的是Cisco Catalyst 3745設(shè)備上的配置，對應(yīng)的軟件版本為IOS 12.3(11)T2版本，如果使用其他型號或其他版本的設(shè)備，請參考隨機資料中的用戶手冊進行操作。# 配置接口的IP地址為/24。Server enableServer# configure terminalServer(config)# interface f

25、astethernet 0/0Server(config-if)# ip address Server(config-if)# exit# 配置DHCP Server功能，并配置使用Option 82信息進行地址分配。Server(config)# service dhcpServer(config)# ip dhcp use class# 為從DHCP snooping設(shè)備Ethernet1/1端口接入的group1用戶建立DHCP分類，并配置匹配的Option 82信息為Circuit ID子選項中的小組編號，無需匹配的內(nèi)容可以使用通配符“*”代替。Server(config)# ip d

26、hcp class group1 Server(dhcp-class)# relay agent informationServer(dhcp-class-relayinfo)# relay-information hex 010667726F757031* Server(dhcp-class-relayinfo)# exit# 為從DHCP snooping設(shè)備Etherent1/2端口接入的group2用戶配置分類和匹配信息，方法與上面命令相似，只是將Option 82信息中的小組編號由1改為2。Server(config)# ip dhcp class group2 Server(dhc

27、p-class)# relay agent informationServer(dhcp-class-relayinfo)# relay-information hex 010667726F757032* Server(dhcp-class-relayinfo)# exit# 為從DHCP snooping設(shè)備Etherent1/3端口接入的group3用戶配置分類和匹配信息，方法與上面命令相似。Server(config)# ip dhcp class group3 Server(dhcp-class)# relay agent informationServer(dhcp-class-re

28、layinfo)# relay-information hex 010667726F757033* Server(dhcp-class-relayinfo)# exit# 創(chuàng)建DHCP地址池office，為DHCP地址池配置租約期限、網(wǎng)關(guān)、DNS和WINS服務(wù)器地址。Server(config)# ip dhcp pool office Server(dhcp-config)# network Server(dhcp-config)# lease 0 12 Server(dhcp-config)# default-router Server(dhcp-config)# dns-server S

29、erver(dhcp-config)# netbios-name-server # 為三個DHCP分類分別指定地址范圍。Server(dhcp-config)# class group1 Server(dhcp-pool-class)# address range 5 Server(dhcp-pool-class)# class group2 Server(dhcp-pool-class)# address range 00 50 Server(dhcp-pool-class)# class group3 Server(dhcp-pool-class)# address range 51 00

30、4.3 其它注意事項只有使能DHCP snooping功能之后，DHCP Option 82功能才能生效。DHCP snooping不支持鏈路聚合。若二層以太網(wǎng)接口加入聚合組，則該接口上進行的DHCP snooping配置不會生效；該接口退出聚合組后，之前的DHCP snooping配置才會生效。設(shè)備只有位于DHCP客戶端與DHCP服務(wù)器之間，或DHCP客戶端與DHCP中繼之間時，DHCP snooping功能配置后才能正常工作；設(shè)備位于DHCP服務(wù)器與DHCP中繼之間時，DHCP snooping功能配置后不能正常工作。DHCP snooping option 82功能建議在最靠近DHCP

31、client的snooping設(shè)備上使用，以達到精確定位用戶位置的目的。使能DHCP snooping功能的設(shè)備，不能作為DHCP服務(wù)器和DHCP中繼。建議不要在同一臺設(shè)備上同時配置DHCP客戶端/BOOTP客戶端和DHCP snooping功能，否則可能無法生成DHCP snooping表項，DHCP客戶端/BOOTP客戶端也可能申請不到IP地址。4.4 結(jié)果驗證經(jīng)過上述配置后，DHCP服務(wù)器已經(jīng)可為物聯(lián)網(wǎng)研究院3個不同辦公區(qū)域的不同小組自動分配一定范圍內(nèi)的IP地址及網(wǎng)關(guān)、DNS、WINS服務(wù)器地址。通過在匯聚交換機上配置ACL，控制三個不同網(wǎng)段的IP對不同網(wǎng)絡(luò)的安全訪問。通過用戶的IP嚴(yán)格

32、區(qū)分不同用戶間的權(quán)限，學(xué)術(shù)交流區(qū)域只能上外網(wǎng)，辦公區(qū)域只能上OA辦公網(wǎng)，而18層是研發(fā)區(qū)實驗室只能與北京集團公司總部的實驗室內(nèi)網(wǎng)互聯(lián)，各個小組之間無法互訪，也無法訪問不應(yīng)該訪問的網(wǎng)絡(luò)資源。五、總結(jié)本技術(shù)專題重點在于測試研究如何在一個相對簡單的環(huán)境內(nèi)，使用一臺DHCP Server實現(xiàn)了多個VLAN的Option 82認(rèn)證。在兼顧使用便利性的同時又注重加強網(wǎng)絡(luò)的安全性。同時也提高了我公司在此類應(yīng)用領(lǐng)域的實踐能力，對其它兄弟公司類似應(yīng)用也有一定的借鑒意義。附錄資料：不需要的可以自行刪除云計算實驗室子建設(shè)方案云計算實驗室建設(shè)背景云計算的演變從1990年左右開始，經(jīng)歷了網(wǎng)格計算、效用計算、軟件即服務(wù)（

33、SaaS）幾個階段。隨著物聯(lián)網(wǎng)的快速發(fā)展，從技術(shù)角度看，嚴(yán)重制約物聯(lián)網(wǎng)發(fā)展的因素，既不是芯片技術(shù)，無線網(wǎng)絡(luò)技術(shù)和傳感器技術(shù)，也不是全球?qū)Ш较到y(tǒng)技術(shù)。而是如何讓海量信息在整個互聯(lián)網(wǎng)上進行分析和處理，并對物體實施智能化的控制。要解決這個問題，就必須建立一個功能強大的物聯(lián)網(wǎng)信息管理平臺。云模式的出現(xiàn)，讓物聯(lián)網(wǎng)平臺問題迎刃而解。甚至可以這樣理解，物聯(lián)網(wǎng)雖不因云模式而生，卻因云模式而存在。我們可以這樣定義云計算：云計算是一種計算模式，在這種模式中，應(yīng)用、數(shù)據(jù)和IT資源以服務(wù)的方式通過網(wǎng)絡(luò)提供給用戶使用。云計算也是一種基礎(chǔ)架構(gòu)管理的方法論，大量的計算資源組成IT資源池，用于動態(tài)創(chuàng)建高度虛擬化的資源提供用戶

34、使用。然而云計算的發(fā)展仍然存在著嚴(yán)峻的挑戰(zhàn)：安全：法律遵從，未授權(quán)訪問數(shù)據(jù)治理：完整性，恢復(fù)，隱私，隔離，主權(quán)法律保護完整性：本地/遠程完整性場景，云對云問題，動態(tài)資源管理：性能管理和監(jiān)護，確保服務(wù)水平協(xié)議（SLA）云計算實驗室建設(shè)目標(biāo)1）實驗室人才培養(yǎng)實驗室將秉承“博觀約取，厚積薄發(fā)”的宗旨，貫徹“開放，合作，競爭”的方針，營造團隊合作精神，積極進取，努力創(chuàng)新，將實驗室打造為一支目標(biāo)明確，富有干勁，能很好適應(yīng)國際計算機新技術(shù)發(fā)展的科研隊伍。在進行學(xué)術(shù)研究的同時，更加重視人才的培養(yǎng)，努力促進學(xué)科的可持續(xù)發(fā)展。實驗室計劃設(shè)有計算機應(yīng)用技術(shù)、計算機系統(tǒng)結(jié)構(gòu)、計算機軟件理論的碩士點和博士點。從工信部

35、培養(yǎng)整個3G產(chǎn)業(yè)環(huán)境及云計算產(chǎn)業(yè)環(huán)境的角度來講，遠遠不能滿足我國對于移動云計算人才的需求預(yù)期。據(jù)工信部人才交流中心預(yù)測，移動云計算與交互設(shè)計 HYPERLINK /rmw/GB/rmwsearch/gj_search_lj.jsp?keyword=人才缺口 t _blank 人才缺口將達百萬。云計算實驗室的建立，將為移動云計算方向人才的培養(yǎng)起到積極的推動作用。2）實驗室對外交流 同時實驗室還重視對外學(xué)術(shù)交流與科技合作，與國內(nèi)外知名的相關(guān)研究機構(gòu)一直保持著緊密的合作關(guān)系，如共同申請承擔(dān)基金項目，共同舉辦國際學(xué)術(shù)會議，對碩士、博士進行聯(lián)合培養(yǎng)。邀請國內(nèi)外專家進行技術(shù)培訓(xùn)，為用戶特別是中小企業(yè)提供試

36、用機會等。3）成果轉(zhuǎn)化物聯(lián)網(wǎng)是通過全球定位系統(tǒng)等信息傳感設(shè)備，把任何物品和互聯(lián)網(wǎng)相連，來進行信息交換和通信，以實現(xiàn)對物品的智能化識別、定位、跟蹤、監(jiān)控、管理的一種網(wǎng)絡(luò)。實現(xiàn)物聯(lián)網(wǎng)的核心是云計算。云計算實驗室研究內(nèi)容 把實驗室建設(shè)成省內(nèi)云計算技術(shù)研究、物聯(lián)網(wǎng)技術(shù)研究的權(quán)威研究機構(gòu)。建設(shè)一整套人才引進、激勵、獎懲機制。以市場服務(wù)為導(dǎo)向，結(jié)合聯(lián)盟企業(yè)基于云計算和物聯(lián)網(wǎng)應(yīng)用技術(shù)的各個應(yīng)用需求開展研究。以聯(lián)盟企業(yè)為依托，研究技術(shù)成果向產(chǎn)品的轉(zhuǎn)化和市場推廣方式，并結(jié)合產(chǎn)品的市場定位和信息反饋來優(yōu)化產(chǎn)品，進一步提高實驗室技術(shù)能力和產(chǎn)學(xué)研結(jié)合能力。實驗室將圍線以下幾個方面開展科研工作：開展云計算核心算法、核心

37、架構(gòu)的研究，包括IaaS、PaaS、SaaS等軟硬件體系結(jié)構(gòu)研究。目前云計算核心算法主要包含F(xiàn)O軟件開發(fā)方法、帶遺傳特征的無限分層處理方法、文字信息結(jié)構(gòu)樹構(gòu)造方法、IP地址結(jié)構(gòu)樹方法、浮云分層互聯(lián)網(wǎng)架構(gòu)設(shè)計、多維復(fù)雜空間軟件架構(gòu)體系、多維復(fù)雜空間數(shù)據(jù)結(jié)構(gòu)管理、構(gòu)建內(nèi)容中心網(wǎng)絡(luò)等，實驗室將會在現(xiàn)有的算法基礎(chǔ)上進行深入研究。云計算可描述在從硬件到應(yīng)用程序的任何傳統(tǒng)層級提供的服務(wù) 。實際上，云服務(wù)提供商傾向于提供可分為如下三個類別的服務(wù)：把軟件當(dāng)作服務(wù) (Software as a Service)、把平臺當(dāng)作服務(wù)(Platform as a Service)以及把基礎(chǔ)設(shè)施當(dāng)作服務(wù)(Infrastr

38、ucture as a Service)。圖 SEQ 圖表 * ARABIC 1：cloud-stack開展物聯(lián)網(wǎng)協(xié)議標(biāo)準(zhǔn)、中間件架構(gòu)、RFID識別算法等方面的研究。物聯(lián)網(wǎng)是一個基于互聯(lián)網(wǎng)、傳統(tǒng) HYPERLINK /view/3773.htm t _blank 電信網(wǎng)等信息承載體，讓所有能夠被獨立尋址的普通物理對象實現(xiàn)互聯(lián)互通的網(wǎng)絡(luò)。它具有普通對象設(shè)備化、自治終端互聯(lián)化和普適服務(wù)智能化3個重要特征。實驗室將會對物聯(lián)網(wǎng)協(xié)議標(biāo)準(zhǔn)展開研究。RFID射頻識別是一種非接觸式的 HYPERLINK /view/139170.htm t _blank 自動識別技術(shù)，它通過 HYPERLINK /view/

39、189639.htm t _blank 射頻信號自動識別目標(biāo)對象并獲取相關(guān)數(shù)據(jù)，識別工作無需人工干預(yù)，可工作于各種惡劣環(huán)境。RFID技術(shù)可識別高速運動物體并可同時識別多個標(biāo)簽，操作快捷方便。實驗室主要將進行RFID識別算法的研究，旨在加快RFID的識別速度。實驗室還將展開RFID標(biāo)簽防碰撞算法的研究。圖 SEQ 圖表 * ARABIC 2：Schematic representation of RFID technology開展云存儲、數(shù)據(jù)挖掘方面的研究。其中云存儲是在云計算(cloud computing)概念上延伸和發(fā)展出來的一個新的概念，是指通過集群應(yīng)用、 HYPERLINK /view

40、/806.htm t _blank 網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡(luò)中大量各種不同類型的存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能的一個系統(tǒng)。圖 SEQ 圖表 * ARABIC 3：cloud storage 存儲方案價值：信息生命全周期的保護，應(yīng)對未來五年內(nèi)業(yè)務(wù)轉(zhuǎn)變及企業(yè)成長帶來的種種風(fēng)險；為滿足現(xiàn)實中混合工作負(fù)載及虛擬化和整合的需求，提供了足夠的性能支持；十分有效，使得企業(yè)減少了存儲設(shè)備的添置及其相關(guān)支持，并因此減少了環(huán)保成本；通過為大型數(shù)據(jù)中心提供可擴展的模塊化方案組合實現(xiàn)企業(yè)級的支持。保護數(shù)據(jù)安全，為您及時提供準(zhǔn)確的數(shù)據(jù) 提供無與倫比的靈活性，以滿足

41、多元化的存儲需求 包含功能豐富的管理軟件，最大化利用率，最小化存儲系統(tǒng)的總體擁有成本有效降低設(shè)備采購成本及IT運營成本開展智能城市關(guān)鍵技術(shù)、廣電網(wǎng)IPTV技術(shù)的研究IPTV是利用計算機或 HYPERLINK /view/16791.htm t _blank 機頂盒+電視完成接收 HYPERLINK /view/16215.htm t _blank 視頻點播節(jié)目、視頻廣播及網(wǎng)上沖浪等功能。它采用高效的視頻壓縮技術(shù)，使 HYPERLINK /view/2722588.htm t _blank 視頻流傳輸帶寬在800K HYPERLINK /view/8039.htm t _blank b/s時可以有接近DVD的收視效果(通常DVD的視頻流傳輸帶寬需要3Mb/s)，對今后開展視頻類業(yè)務(wù)如因特網(wǎng)