2019-07-03 13:40
各位专家和各位企业的负责人,大家下午好!我是中国信通院云大所云计算部的董恩然。刚才主持人向大家介绍了我们在云边协同,包括物联网方面的研究成果。从2015年开始一直到现在,有多项国家和地方的政策在支持云计算的发展,让云计算向传统行业里面渗透。谈的最多的是《推进企业上云实施指南(2018—2020年)》,同时,在二十几个省市,根据国家的政策,比如浙江、江苏、济南、重庆、山西也相继出台了相关政策,信通院也组织了企业上云的评估工作。针对各个行业,云计算自己本身的标准和研究已经是非常扎实的了。在传统行业方面,我们要更多地针对物联网和云边协同进行研究。中国通信标准化协会已经立项和在推进的几个标准,我今天在这里向大家做个简短的介绍。
首先是物联网云平台的介绍。物联网云平台是物联网架构和产业链条中非常关键的枢纽。向上对接的是综合的应用层,提供应用开发的基础性平台和面向底层网络的统一数据接口。向下汇聚了所有下面终端和感知层的信息,全部聚集在物联网云平台层面。
物联网云平台最底层是基础设施,计算、存储、网络这样的云基础设施。对下汇聚的是整个感知和终端层,设备的接入,设备对项目感知层和终端层设备的管理和我们对其接入的数据的管理,包括对上应用的API,怎么对上输出,对应用输出数据和最终的结果。云平台的安全性是需要单独考虑的因素。
我们把物联网分为四个层,感知识别层、网络构建层、管理平台层、综合应用层。每一层都有物联网面临的安全问题,尤其是物联网云平台所在的管理平台层,包括设备认证的薄弱、安全管理等等,这是目前物联网平台面临的安全问题。我们对物联网云平台和终端侧进行了一定的区别,物联网云平台安全研究不包括感知层、终端设备以及网络构建层数据链路协议,我们只关心它在平台上数据的存储、接入、管理等等方面的安全。
物联网云平台安全的重要性也是基于两个层面,因为其所在的位置是向上和向下两个方向的。向下对终端设备提供安全的通信通道,确保上来的数据是安全准确的。同时也要保证对设备的管理和控制是安全可靠的。对上保证接入到应用环境中的数据和最后的结果是准确和完整的,使采集到的数据、处理过的数据可以应用到实际场景中。我们本身有一套非常完备的可信云的基础规范和要求,加上物联网云平台特有的设备管理能力、数据管理能力以及物联网API接入要求,综合来提供安全可信的物联网云平台。
我们在推进的一个标准是《可信物联网云平台能力评估方法》,分为两部分,一部分叫做通用要求,一部分叫做安全要求。最终得到的结果是三个方面,一是物联网用户可以选择安全可信的物联网云平台,同时规范现有的提供物联网能力的云平台的各项能力,最高的要拔高一下,要为物联网整个行业健康发展提供一个保障。
这是第一部分的通用要求,分为六个大类。第一类,企业属性。物联网云平台肯定离不开云。我们是通过云平台来提供服务的,肯定要对企业的资质、牌照、规模等等有一定的要求,这里列了一些我们提供物联网云平台能力的企业需要满足什么样的要求,上面有一些必选项和可选项,包括业务的基本能力是什么样的,都需要有一定的信息披露。
第二类,云平台基础可信要求。依托现有的可信云基础的能力要求,再结合物联网特有的特征,总结出云平台基础的可信要求,使其业务功能、数据持久性等11个大块满足要求。之前一些可信云的要求是通用的,是针对云计算的,针对物联网的我们有一些特殊的要求。比如数据持久性,我们要求达到99.99%。数据保留的时间大于一年,数据点采集的频率1s/次。包括类型、数据格式,都是根据物联网特有的特点进行了整合,让可信的要求是符合物联网特征的。
第三类,设备管理能力。云平台自己本身有一定的要求,对设备管理,对接入云平台的设备管理的能力也要有一定的要求。有七个方面,包括设备管理、连接协议、上报数据载荷的解析、监控、认证等等。比如设备并发能力,我们要求大于1000。接入时延小于100毫秒。我们有专门的要求,在标准里都有明确的规定,包括功能和性能上。
第四类,数据管理能力,包括四大类,推送、转换、呈现、引擎。着重说一下推送,我们是相当于给第三方推送数据。针对项目信息,HTTP推送以及数据完整性方面,我们都有相应的规定,保证推送的数据是安全可靠并且是完整的数据。
第五类,应用API接入。对应用API接入方面我们也有相应的要求,比如接口协议、身份验证到接口的功能到有效载荷,包括权限管理,我们也进行了要求,保证接入到物联网云平台的设备以及我们往外提供的服务都是满足现有标准要求的。
第六类,服务保障。从监控、基础知识、评价、改进到其他服务等等方面,除了提供的服务之外,还有通用的要满足和保障运行的要求,我们都会在这个章节进行相关的规定。
第二部分是安全要求。为什么我们要把安全单独列出来,两个方面。一方面我们认为物联网安全是非常重要的一环。而且国家在大力推进信息安全方面的要求。另外一方面,我们也是在支持部委的一些工作,所以我们把物联网安全单独作为一个部分列出来进行规定。我们把安全分为几个部分,比如平台的数据安全,备份、私密性等等,之前在通用要求里已经规定过了,但是在这里又提出来了,说明要满足安全要求还是要有更进一步安全的规定。那些只是通用的,只要建这个平台就需要去做的,但这边是你要满足安全的一些规定和要求,有更严格的规定。包括数据传输加密、数据备份,有本地备份和异地备份的要求。
访问安全,一是终端的接入,API接入身份验证,云平台用户身份验证等等都进行了要求。包括向第三方进行推送的时候,也需要进行相应的认证。包括进行访问和授权进行管理都有相应的规定。
入侵防范,主要是在脆弱性控制与威胁分析防范方面进行规定,提高物联网本身防入侵的能力。定期进行漏洞扫描,找到漏洞,模拟对平台的攻击,及时进行修复,提高整个平台的防御能力。
管理方面更多的是针对制度,比如风险管理、安全制度、安全审计、安全运维,要求物联网云平台的建设者要有一个完善的制度。因为你可能做的很好,但是没有一个制度去维持它或者让它稳定的运行下去,这也是非常大的问题。所以要在管理的制度方面进行落实。
这是一个系列标准,除了通用要求和安全要求之外,刚才徐主任也提到了,我们在边缘计算,包括云边协同方面,现在更多的还有一些应用叫AI物联网,把人工智能和物联网结合在一起,今后发展过程中,我们会相应地再去研究、再去推进更多的关于物联网云平台能力的评估方法和标准,更好地去满足整个产业或者整个行业的要求。
上面说到的是物联网云平台,现在非常火热的一个词是边缘计算。无论是工业,还是交通、能源,各个行业对边缘计算提到的越来越多。边缘计算面向物联网或者大流量的场景下,是为了满足更广的连接,更低的时延,更好的控制等等需求,云计算是更具全局化分布式节点组合形态的进阶。所以,我们认为边缘计算是云计算向边缘侧分布式拓展的新的触角。我们把中心云、分布式节点,统称为分布式云。相当于在分布式云的内部,让两方进行协同。云和边缘计算两方是不可分割的,也不可单独提一些要求,比如云计算怎么怎么样,边缘计算怎么怎么样。在实际应用场景中,我们更倾向于它们一定要统一的进行工作。
上个月中信院牵头编写了分布式云计算通用管理框架,已经成功立项。就是基于中心云与边缘云形成的分布式一体化形态下,探索全局化的云边协同管理。内部也在做相关标准的研究。中国通信标准化协会已经进行了立项,我们认为云边协同涉及了传统的IaaS、PaaS、SaaS平台,对应的就会有边缘的IaaS、边缘的PaaS、边缘的SaaS,中间就要有一定的协同能力。除此之外,整体上的计费、运维、安全等等都是我们关注的点。我们经常说协同是协同什么,我们认为更多的是统一的操作系统,统一的数据接口,统一的数据管理。就像我刚才说的,在分布式云中,中心云和分布边缘节点之间怎么做到统一,怎么做到数据在传输应用的时候,可以方便快捷地进行使用。
我们在做云边协同和物联网的时候,更多地是希望通过现在已有的可信云体系,包括完备性、真实性、规范性,让物联网的安全,加上可信云的体系,共同推进整个物联网大的行业的发展。我们希望将可信云纳入到物联网安全体系中,同时将物联网安全扩展到可信云的服务范围中。希望我们在云边协同方面做的工作能够得到更多的认可。
中国通信标准化协会下面有一个TC608云计算标准与开源推进委员会,除了可信云之外,在政务、保险、银行、交通、云边协同、通信、工业、能源等方面,我们都有相应的推进小组。云边协同组在里面有相应的工作,我们会制定一些标准、推进一些评估工作,希望能听到不同行业专家的意见和建议,使我们的工作做得更好,把行业推进的更好。谢谢大家。