公钥加密技术： 非对称加密也叫公钥加密。 公钥（Public Key）和私钥（Private Key） 公钥和私钥通常是成对生成，互不相同，可以互相解密和加密。 根据一个密钥无法推算出另外一个密钥。 公钥公开，私钥保密（持有人才知道）。 私钥应该由密钥持有人妥善保管。 根据实现不同的功能，可以分为数据加密和数字签名。 数据加密-数字信封： 如果要使用公钥来进行数据加密，那么可以使用数字信封这种解决方法。 发送方采用接收方的公钥加密对称密钥，采用数字信封时，接收方需要使用自己的私钥才能打开数字信封得到对称密钥。 a把文件通过对称加密发送刚给b，然后再通过b的公钥对文件的对称密钥进行非对称加密，在发送给b，b收到这个使用非对称加密的对称密钥，就叫数字信封，b用私钥解开数字信封，拿到文件的对称密钥，然后再通过对称密钥解开a发送过来的文件。 但是如何保证或确认这个文件是来自a呢？文件是否完整。 两种加密算法的结合： 在实际应用中，通信双方通常会使用公钥密码学来交换密钥素材，双方最终计算出密钥，而用对称密码学来加密实际的数据，两者配合使用，保证了加密速度和安全性。 真实性验证：私钥加密，公钥解密 完整性技术： 信息摘要：单项散列函数，哈希（hash） 将任意长度的字符通过哈希（单项散列函数）计算出固定长度的字符串（hash），类似我们的指纹，DNA。 特点：不可逆（1+1=2, 2=?+？），雪崩效应（一点点更改，结果天翻地覆）。 除了类型不一样样外，签名长度也不一样（二进制）。 哈希算法严格上并不是一种加密算法，因为他没有密钥，而是一种保证完整性的算法。 hash如果用于保存数据，是如何计算的？会把当前输入的字符串，通过hash计算，然后和数据库进行对比，如果一样说明是正确的，反之是错误的。 

信息安全核心目标：CIA模型保护 核心目标 备注 机密性 指信息在传输，存储，使用的过程中，不会被泄露给非授权用户或实体。 完整性 指信息在传输，存储，使用的过程中，不会被非授权用户篡改或防止授权用户对信息进行不恰当的篡改。 可用性 指确保授权用户或实体对信息资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息资源。 DDoS就是破坏可用性，让你的服务瘫痪，无法正常提供服务。 PKi公钥基础架构 PKi就是公钥基础架构，结合了公钥技术，数字证书确保信息安全体系，这里又要牵扯到公钥加密技术，数字证书,RA,CA等共同组成。 PKi体系架构能实现机密性，完整性，身份验证，不可否认性。 机密性技术： 密钥是在加密或解密算法时需要输入（使用）的参数。 加密算法分为两类：对称加密算法和非对称加密算法。 加密算法有两种很重要的理念，移位和置换 加密技术分类：根据密钥的使用方法 对称加密：加密和解密使用相同的密钥。 特点：速度快，密文紧凑（加密后大小区别不大），密钥管理复杂（大量用户环境下，一人一把密钥，管理复杂），用于大量数据的传送。 输入明文，通过加密算法和密钥进行加密，对方收到后，使用密钥进行解密。 对称加密如何进行密钥传输？使用非对称加密算法对"密钥"进行加密传输，这个叫DH算法。 非对称加密：加密，解密使用不同的密钥（公钥（分发），私钥（保留）） 公加私解，私加工解。 特点：速度慢，密文不紧凑（加密后文件体积变大），密钥管理简单，一般不用于数据加密，通常只使用于数字签名。 首先生成一对密钥对（公钥和私钥），公钥向外分发，拿到公钥的人可以用来加密数据，只有有私钥的人才能解开。 如果能用公钥对文件进行解密，那么就说明文件来自私钥。（用于验证身份） 不要使用任何非公开的加密算法 1、不公开，很难保证开发者没有解密的办法。 2、正是因为公开，征集了多数解密破译高手的推敲，才能保证算法的安全性，可靠性。 

       在大数据背景下，数据库安全保障体系的构建对于有效防范信息安全事件发生具有重要意义。该文首先分析了大 数据背景下数据库系统的安全威胁问题，然后介绍了几种网络安全的新技术，包括身份认证技术、访问控制技术等，最后 阐述了数据库安全保障体系的构建路径，希望为进一步解决大数据背景下的数据库安全问题提供支持。 现阶段大数据产业的快速发展创造了极大的经济效益，大数据的出现推动了社会经济发展，但是随之而来的数据库安全问题也引起了学者对大数据信息安全问题的反思。大数据时代下的信息与隐私安全问题已经成为全球性重点关注的问题，为了能够更有效地避免数据安全问题发生，需要相关人员积极构建数据库安全保障体系。1  数据库的安全威胁问题研究      数据库的信息安全问题得到了社会的普遍关注，从现有的数据库网络安全事件来看，其信息安全问题的风险具有范围广、影响大、突发性强等特征，并且可能产生严重的损失。与传统的攻击行为相比，数据库的网络安全问题呈现出以下特征：（1）高技术性与高智能性特征。例如部分不法分子为了能够盗取数据库中的资料，会采用各种手段穿越防火墙，通过不断地攻击数据库的安全防护体系或注入SQL等方法篡改数据，导致数据大量流失。（2）作案手段日益多样化。在大数据技术的支持下，不法分子威胁数据库的手段也呈现出了多样化的趋势，例如部分人员会运用程序的漏洞进行作案，甚至通过非法用户向管理人员非法授予操作权限的方法进行授权。（3）网络安全问题不受地域与时间因素的显示，不法分子可以随时远程攻击数据库。（4）数据库攻击的隐蔽性较强，收集证据的难度较大。文献认为，数据库作为一种特殊的信息存储结构，在大数据环境下所面临的信息安全隐患问题更加突出，表现为：（1）在网络方面，大部分数据库采用了TCP/IP  的协议通信方式，而该协议本身存在弊端，难以有效鉴别通信双方的身份，导致数据库无法正确识别攻击者的身份而遭到严重破坏。（2）在数据库管理系统上，大部分数据采用了DB2、SQL Server等商用数据库系统，这些数据库系统的技术条件成熟，但是在应用过程中，一些数据库的安全问题发生，例如关于SQL Server数据库的SQL  注入等。虽然现阶段各个厂商都在不断完善数据库等更新补丁包，但是大部分出于对数据库稳定性的考虑，通常会延后补丁的更新速度，最终导致数据库的漏洞难以第一时间被处理，最终成为安全隐患。2  大数据背景下数据库安全技术分析2.1  身份认证技术分析为实现数据库安全对用户的身份进行认证是其中的重点。现阶段常用的数据库普遍采用“ID＋密码”的方式进行身份核实，即将用户的账号信息存储在数据字典等当用户产生连接需求之后，系统能够查询数据字典，并对用户的合法性进行判断。但是在大数据背景下，各种解密技术得到了快速的发展，导致  ID  认证方式面临挑战，因此鉴定人体信息的生物认证安全技术出现，通过语言识别、指纹识别的方法，对用户的身份进行判断。但从现有技术发展情况来看，身份认证技术尚未在数据库安全管理中得到运用，但是鉴于大数据的强大数据处理能力，可预见该技术在未来会具有广阔的发展前景。2.2  访问控制技术访问控制是数据库安全管理的核心内容，能够对规定主体的访问行为进行限制，避免出现任何不满足数据库安全的访问行为发生。2.2.1  自主访问控制目前自主访问控制是数据库信息安全中一种常见的访问控制技术，用户可结合自己的需求对系统的数据进行调整并判断哪些用户能够访问数据库。在此基础上，通过构建自主访问控制模型，能够对访问客体的权限做进一步界定，这样当用户的身份被系统识别后，则可以对客体访问数据库的行为进行监控，用户只能在系统允许的范围内完成操作。作为一种灵活的控制策略，自主访问控制能够保障用户自主地将自己所拥有的权限赋予其他用户，操作过程灵活简单，因此大部分的商业数据库都会采用这种访问控制技术。2.2.2  基于角色的访问控制在数据库安全管理中，基于角色的访问控制作为一种新的控制方法，其主要特征为：在该技术中权限并不是直接赋予指定用户的。所以当用户与特定角色绑定之后，则可以通过将基于角色的访问控制过程进行划分，实现对权限的分配。 2.3 数据加密技术数据加密技术主要包括库内加密与库外加密的方法，其中库内加密是在数据库内部设置加密模块，例如对数据内的相关列表进行加密，而库外加密则是通过特定的加密服务器完成加密与解密操作。在大数据环境下，大部分的数据库都能够提供数据加密功能，例如SQL Server数据库构建的多维度密钥保护与备份信息加密等。但是考虑到数据的特殊性，数据库所存储的信息量较大，在这种情况下可能对数据库的加密与加密的稳定性产生影响，因此用户可根据安全管理要求对数据库中的高度机密的数据做加密处理。3 大数据背景下的数据库安全保障策略分析在大数据背景下，应该围绕信息安全问题落实数据库安全管理方案，以大数据强大的数据处理能力结合数据库的功能诉求对数据库的安全保障方案进行改进。 3.1 角色访问控制策略分析受大数据的影响，数据库的访问人数会快速增加，导致数据库所面临的安全风险更高。因此为了能够进一步保障数据库安全，则需要基于角色访问模型的数据库访问控制，为用户分配数据库角色，最终使用户在数据库上获得相应的权限，进一步提高数据库安全质量。本文基于大数据的技术要求，在数据库安全保障体系的设置上提出了一种新的集中管理模式——基于应用的角色访问模型，该模型能够对数据库的信息安全问题进行有效识别，通过对应用数据库、安全中心的功能进行界定，进而明确数据库安全管理的角色与权限。在实施阶段，其中的重点内容包括： （1）应用方案。在大数据系统中的应用系统中往往会存在大量的账户与用户群，所以在数据库安全保障体系建设中能够将任意一个用户的信息注册到安全中心中，这样数据库可以收录用户权限的有用信息，包括名称、属性、创建时间、应用用途等。 （2）子应用。数据安全管理应用方案需要根据环境进行分类，将数据库中的自应用作为特定类用户的集合，可用于实现数据库的安全管理。例如在数据库安全的子应用中，将DBA作为数据库管理员集合。（3）数据库。这里所提到的数据库为特定数据库，为达到安全管理要求，将数据库注册到系统中并与相关安全软件相绑定，或者在特定的数据库环境下将对应的子应用创设到数据库中。（4）用户。用户的数据安全需要与数据库的账户相连接，在数据库安全管理制定用户所属的子应用，并划分相应的权限即可。 3.2 攻击检测大数据背景下的数据库安全形势严峻，数据库所承受的攻击数量巨大，通过开展攻击检测的方法能够发现滥用与异常的攻击行为。现阶段的大部分数据库都不具有攻击检测功能，所以在安全保障体系的构建中，本文根据技术数据挖掘与数据采集的要求，构建基于攻击检测的数据保全保障体系，通过该方法能够记录数据库被攻击情况，为实现数据库安全奠定基础。实时检测主要是针对各种已知的攻击方式，并将这种攻击以代码的形式存储在数据库中，按照数据库中所记录的数据判断系统是否遭受到攻击。该技术的具有较高的检测精度，但由于该技术无法对内部人员与未知攻击行为进行检测，所以本文在实时检测的基础上进一步完善了其中的功能，包括：（1）登录失败检测。当系统检测到在特定时间段内频繁地出现登录失败的情况，则需要对该IP的用户登录情况进行检测。（2）登录检测。若登录数据库的IP地址与以前登录过的地址不同，则需要警惕数据库安全问题。（3）操作失败检测。针对特定时间内检测到的操作失败次数，检测无访问权限对象的登录行为。（4）用户权限变更检测。其主要功能是检测用户的权限是否在满足规定的情况下进行变更。在该系统中，通过将关于系统安全的规则上传到数据库的审计中心中，再同步到各个数据中，由此实现对滥用规则的统一控制。在实时检测过程中，可在数据库添加两个触发器来完成对攻击的检测，包括：（1）通过DDL触发器来抓取数据库的事物，并检测用户权限变更等情况，作为SQLServer数据库中的一种特有触发器，当数据库发生安全事件的同时能够做出响应，在各种数据库安全事件发生之后快速地捕捉信息并分析安全攻击行为的发生间隔，判断攻击事件是否有效。（2）DML触发器具有跟踪审计信息的功能，针对数据库操作过程中的各种常见问题进行安全评估，包括操作失败事件、登录失败情况以及敏感用户对系统的访问等。当DML 检测到数据库遭受到攻击，则会退出攻击账户，保证数据库的安全。 3.3 数据库的安全防护机制在数据库的安全防护中，可利用虚拟化平台来实现数据库的安全管理，为能够达到有效的安全防护目的，可采用以下措施进行数据库安全管理。 3.3.1 数据库的安全备份数据备份的目的就是要为数据安全增添“第二把锁”，当前数据库的数据备份主要采用物理备份与逻辑备份相结合的方法，按照既定的时间要求对数据库中的数据进行存储。此时假设数据遭到攻击或者出现损害时，可以在原数据库的基础上调度备份数据，达到数据快速复原的目的。为实现该目的，可通过MySQL恢复工具、导出数据等方法并引入数据信息的变化，最终有助于实现二进制文件保存，避免备份数据的滥用。 3.3.2 数据库的防火墙设置防火墙是维护数据安全的关键，所以在设置防火墙期间，利用SQL数据库检测到的攻击痕迹将数据与数据库SQL语句运用到应用程序中，利用数据库防火墙的名单检测对任意一个针对数据库的操作行为进行检测，避免系统遭受注入攻击而造成数据损失。4 结束语在大数据背景下，数据库的安全保障管理更加复杂，为了能够更好地适应数据库管理要求，相关人员要充分发挥大数据技术优势，结合各种常见的数据库安全问题进行处置，这样才能有效降低数据库安全事件发生率，最终适应数据安全管理要求。来自：今日头条

随着新基建的推进，物联网应用日益广泛。近日，工信部发布了《2022年上半年通信业经济运行情况》。报告称，物联网终端用户在移动网络连接终端中占比近半，IPTV用户数稳步增加。截至6月末，三家基础电信企业发展蜂窝物联网终端用户16.4亿户，比上年末净增2.4亿户。后疫情时代，国家对新型基础设施建设的大力推动，为千行百业的智能化改造带来了新机遇。在技术和市场的双重驱动下，运营商加快拥抱物联网，新机遇之门正在打开。物联网终端用户接近手机用户在目前三大运营商移动用户接近“天花板”的背景下，数字化行业市场成为运营商新蓝海，数字化转型业务被称为运营商“第二条增长曲线”。其中，除了行业云、IDC、专线市场外，物联网业务也表现出了不俗的业绩。据前瞻产业研究院数据，我国物联网连接数全球占比高达30%。据2021年9月世界物联网大会数据显示，预计2025年我国物联网连接数能够超过80亿个。这其中，运营商起着主力军的作用。工信部数据显示，运营商的蜂窝物联网用户规模持续快速扩大，蜂窝物联网终端用户规模快速接近移动电话用户，两者规模差缩小至2949万户，占移动网终端连接数（包括移动电话用户和蜂窝物联网终端用户）的比重已达49.6%。IPTV（网络电视）总用户数达3.66亿户，比上年末净增1785万户。众玩家入局深耕平台生态当前，数字经济已经成为继农业经济、工业经济之后的主要经济形态，在此背景下，物联网与数字经济的重点产业都密切相关，重要性更加突出。尤其是在新基建领域，物联网正在承担着“桥梁”和“催化剂”的双重作用，包括产业数字化、智慧城市、智慧乡村建设在内，物联网应用和智能化改造的力度持续加大，5G、大数据中心、工业互联网、人工智能等各个环节都需要以物联网技术作为支撑。迅猛增长的物联网市场吸引了众多玩家入局。华为、阿里等众多科技巨头以物联网项目为契机，加速推动产业数字化“应用”落地。例如，华为打造了从通信芯片、物联网终端操作系统、移动物联网网络到物联网平台，以及生态建设的一系列解决方案；阿里则依托阿里云的优势站位，形成了一个帮助企业数字化转型的基础设施，结合云计算打造物联网平台的“操作系统”等。运营商物联网优势凸显此前，知名物联网市场研究机构IoT Analytics的有数据统计，中国电信、中国联通、中国移动是全球蜂窝物联网连接市场的领导者，中国三大运营商占全球蜂窝物联网连接的75％。三大运营商物联网业务之所以实现快速发展，一方面在于运营商具有强大的服务保障体系。物联网的部署实现，是一个长期、可持续、不断迭代的过程，比如智慧城市的物联网服务，需要在城市规划初期就根据未来功能规划，而这一漫长的过程需要运营商这样强大的、稳定的服务保障体系进行支撑。另一方面在于运营商长期在物联网领域深耕布局，应用场景丰富。中国电信基于开放的能力底座，打造智能消防、智能安防、智慧园区等应用能力魔方，从而赋能新城市、新工业、新港口等新生态。中国移动主要布局于智能连接、开放平台、芯片模组、智能硬件与行业应用这五大领域。中国联通，Cat 1、NB-IoT和5G将分场景长期共存。最后，物联网是碎片化市场，涉及到网络、模组、终端及各类应用，如何打造出高可用的物联网服务，只有通过聚合产业链龙头企业，才能真正形成好的物联网服务产品，而运营商通过多年的产品打造及生态运营经验，已积累了丰富经验及生态影响力。

物联网中双重非正交多址接入技术的性能分析李东博1,2, 贾敏1, 郭庆1, 顾学迈1, 刘晓锋11 哈尔滨工业大学电子与信息工程学院，黑龙江 哈尔滨 1500012 中国电子科技集团公司航天信息应用技术重点实验室，河北 石家庄 050081摘要随着智慧城市、人工智能、边缘计算等技术的快速发展，未来物联网将面临海量终端接入和频谱资源紧张等问题，基于高频谱效率的非正交安全接入（HSESA）提出一种双重非正交多址接入（D-NOMA）技术，结合了码域的非正交接入和频域的非正交复用，具有很好的频谱效率性能。发送端和接收端被优化，多用户通过稀疏码本直接映射到重叠的子载波上。通过在莱斯信道下的性能分析表明，D-NOMA比HSESA具有更好的误码率性能。关键词： 物联网 ; 双重非正交多址接入 ; 非正交安全接入 ; 频谱效率 ; 误码率1 引言物联网（IoT，Internet of things）是一种新兴且有前景的技术，通过红外识别、射频识别（RFID， radio frequency identification）以及导航定位等多类型传感器获取信息，借助多种通信网络连接海量传感器终端设备实现应用集成、互联互通（M2M，machine-to-machine）和基于云计算的软件即服务（SaaS，software-as-a-service）运营等模式，形成庞大的交织网络[1,2]。IoT支持大量不同类型的终端，这些终端基于不同类型的无线接口，在资源利用方面有不同需求，以分布式方式形成综合信息网络，将现实世界和数字世界日益交汇融合，构建覆盖全球、无缝连接的网络[3]。IoT 技术的快速发展对我国的城市建设具有重要作用，智慧城市的提出对社会发展与进步有重要意义，目前已延伸至交通、安防、农业、环保以及照明等多个行业[4]中，智慧城市的行业应用。5G时代的来临对IoT的发展提出了更多要求[5,6]， 5G 通信技术使得一些新兴的科技领域有了发展的基础与保障，如无人驾驶、智能安防、人工智能以及边缘计算等领域[7]。IoT技术不断革新，使得IoT能够更好地为人民服务。新兴IoT领域的发展，产生了大规模智能终端的连接、海量数据访问和异构网络环境，为了满足大量用户同时接入并且实时通信的需求，引发了巨大的频谱资源压力和带宽效率问题[8]。通信接入技术作为 IoT 发展的重要基础和保障，经历了以频分多址接入（FDMA，frequency division multiple access）为主要技术的第一代无线通信系统（1G）、运用全球移动通信（GSM，global system for mobile communications）和通用分组无线服务（GPRS，general packet radio service）技术的第二代无线通信系统（2G）、以码分多址接入（CDMA，code division multiple access）为主要技术的第三代无线通信系统（3G）和以正交频分复用（OFDM，orthogonal frequency division multiple）为主要技术的第四代无线通信系统（4G）等4个阶段，随着数据接入需求的增大，通信技术在不断革新并快速发展。正交频分多址接入（OFDMA，orthogonal frequency division multiple access）是OFDM技术的演进，结合了OFDM和FDMA技术，OFDMA系统将传输带宽划分成正交的互不重叠的一系列子载波集，将不同子载波集分配给不同用户以实现多址接入。从整个系统带宽来看，每个子载波分配了合适的用户，使得各子载波上的有效信道增益显著提高。以上都是正交多址接入（OMA，orthogonal multiple access）方案，通过正交接入和正交传输方式进行通信，目前IoT的主要接入方式以OMA为主。当稀缺带宽资源仅由具有较差信道条件的用户占用时，频谱效率较差。正交资源总量限制了传统OMA方案支持的最大用户数，因此，OMA方案很难满足未来IoT的高数据速率、频谱资源和海量接入需求[9]。3GPP-LTE（the third generation partnership project long-term evolution）提出了非正交多址接入（NOMA，non-orthogonal multiple access）方案，并且设想它是未来 IoT 的关键技术。与传统的 OMA方式不同，NOMA将多个用户分组、信息进行叠加，通过更少的资源块传播。NOMA的主要特点是在同一时间/频率/码上提供多个用户，与传统的OMA相比，频谱效率增益更显著[10]。NOMA通常分为两类，即功率域复用和码域复用。功率域复用由日本通信公司 NTT DoCoMo 提出，其核心思想是在发送端使用叠加编码，在接收端使用连续干扰消除（SIC），在相同的时频资源块上，通过不同功率级在功率域实现多址接入[11,12]。在码域复用方面，文献[13]提出了低密度签名（LDS，low density signature）；文献[14]中EETAL提出了稀疏码多址接入（SCMA，sparse code multiple access）技术，得到学者的深入研究，其可以适应大规模连接，可用于先进通信系统，确保高速、低时延和最大频谱效率；文献[15]提出了多用户共享接入（MUSA，multiuser shared access）。LDS和SCMA都是低复杂度接收技术，但SCMA通过引入多维复杂码本/星座提供了超过 LDS 的额外编码增益。目前，业界还提出了一些其他多址方案，如文献[16]提出格分割多址接入（LPMA，lattice partition multiple access）；文献[17]提出模式分割多址接入（PDMA，pattern division multiple access）；文献[18]提出比特分割多路复用（BDM，bit division multiplexing）；文献[19]提出高频谱效率的安全接入（HSESA，high spectral efficiency secure access）等。在NOMA方案中，每个正交资源块服务于多个用户，确保了具有不同信道条件的用户可以同时利用相同的带宽资源，从而实现用户公平性和系统频谱效率之间的良好平衡[20,22]。目前已经提出的时域和频域上的非正交传输技术，比传统的OFDM具有更好的带宽利用效率。频谱高效频分复用（SEFDM，spectrally efficient frequency division multiplexing）和超奈奎斯特（FTN，faster-than-nyquist）是以超过奈奎斯特极限正交性的速率进行传输的两个重要研究方向，用于给定信道无干扰传输，SEFDM和FTN都是通过减小子载波之间的间隔来实现高频谱效率传输，在相同符号率的带宽情况下，具备显著优势[23,24,25,26]。本文基于 HSESA 提出一种在频域和码域均具备双重非正交多址接入（D-NOMA,dual non-orthogonal multiple access）特性的方法，该方法包含非正交稀疏码接入和非正交频分复用。通过具有稀疏性的码本映射实现多用户接入更少的资源块，采用非正交重叠副载波用于非正交复用，通过减小子载波之间的频率间隔来增强带宽利用率， D-NOMA 通过改变带宽压缩因子可以在非正交频分复用过程中灵活切换正交性和非正交性，以适用于多种场景。2 结束语本文基于 HSESA 提出了具有双重非正交特性的多址接入方法，该方法能够解决未来IoT频谱资源紧缺、多用户接入等问题。D-NOMA结合非正交码映射和非正交频分复用，在相同载波数下支持多用户接入，通过减少子载波间的频率间隔来提高带宽利用率。同时，D-NOMA可以通过改变带宽压缩因子在正交与非正交间进行切换，采用IoT的莱斯信道模型对上行链路进行分析。通过仿真可以看出，D-NOMA具有比HSESA更好的BER性能，同时复杂度更低。The authors have declared that no competing interests exist.作者已声明无竞争性利益关系。3 原文链接http://www.infocomm-journal.com/wlw/article/2019/2096-3750/2096-3750-3-1-00037.shtml

3G、4G、5G第三代、第四代和第五代蜂窝技术。简单来说，3G 代表智能手机及其移动网络浏览器的引入；4G 是当前一代的蜂窝技术，为移动设备提供真正的宽带互联网接入；5G 蜂窝技术将为蜂窝系统提供巨大的带宽并减少延迟，支持从智能手机到自动驾驶汽车和大规模物联网的一系列设备。边缘计算被认为是 5G 的关键组成部分。接入边缘（Access Edge）最接近物理最后一公里网络的服务提供商边缘的子层，RAN 或电缆头端零跳或一跳。例如，部署在蜂窝网络站点的边缘数据中心。接入边缘层充当服务提供商边缘的前线，通常连接到层次结构上游的区域边缘层。接入边缘的边缘计算由位于前端和中端站点的高度分布式服务器级基础设施组成，例如蜂窝塔、电缆配电厂、聚合和预聚合集线器、中央办公室以及其他网络接入设备如蜂窝无线基站，以及xDSL和xPON设备。接入边缘数据中心通常属于微模块类型，易于部署和独立运行。由于需要支持超低延迟工作负载，包括那些需要可预测连接到最后一公里网络的工作负载，接入边缘设施通常位于无线电头端或电缆头端 15 公里范围内，最适合用于延迟在 1ms - 30ms 范围内。接入网将用户和设备连接到其本地服务提供商的网络。它与核心网形成了鲜明的对比，核心网将服务提供商彼此连接起来，接入网直接连接到基础设施的边缘。聚合边缘服务提供商层边缘距离接入边缘只有一跳的距离。可以作为单个位置的中型数据中心存在，也可以由多个互连的微型数据中心组成，以在区域边缘和接入边缘之间形成分层拓扑，以实现更好的协作、工作负载故障转移和可扩展性。基站RAN（无线接入网络）中的一种网元，负责在一个或多个小区内向用户设备发送和接收无线电信号。基站可以采用集成天线，也可以通过馈线电缆连接到天线阵列。采用专业的数字信号处理和网络功能硬件。在现代 RAN 架构中，为了灵活性、成本和性能，基站可能被拆分为多个功能块在软件中运行。基带单元 (BBU)一种负责基带无线电信号处理的基站组件。采用专门的硬件进行数字信号处理。在 C-RAN 架构中，BBU 的功能可以作为VNF在软件中运行。中央办公室 (CO)特定地理区域内的电信基础设施聚合点。物理上为存放电信基础设施设备而设计，但通常不适合容纳边缘数据中心规模的计算、数据存储和网络资源，因为它们的地板、供暖、制冷、通风、灭火和电力输送系统不足。在这种情况下，当硬件是专门为边缘情况设计的，它可以应付中央办事处的物理限制。中央办公室重新设计为数据中心 (CORD)在中央办公室内部署数据中心级计算和数据存储能力。集中式数据中心一种大型的、通常是超大规模的物理结构和逻辑实体，其中包含大型计算、数据存储和网络资源，由于其规模，这些资源通常由许多租户同时使用。与大多数用户有很大的地理距离，通常用于云计算。云计算一种提供按需访问共享计算资源池的系统，包括网络、存储和计算服务。通常使用少量大型集中式数据中心和区域数据中心。云原生网络功能 (CNF)云原生网络功能 (CNF) 是实现网络功能的云原生应用程序。CNF 由一个或多个微服务组成，使用云原生原则开发，包括不可变基础设施、声明性 API 和“可重复部署过程”。举一个简单的 CNF 例子，数据包过滤器，它将单个网络功能作为微服务。防火墙也是一个例子，它可以由多个微服务组成（例如加密、解密、访问列表、数据包检查等）。云节点计算节点，例如单个服务器或其他一组计算资源，作为云计算基础设施的一部分运行。通常位于集中式数据中心内。Cloud RAN (C-RAN)RAN 的演进，允许将无线基站的功能分为两个组件：射频拉远头 (RRH) 和集中式 BBU。C-RAN 不要求在每个蜂窝无线电天线上都安装BBU，而是允许BBU在与发射塔一定距离的聚合点上工作，该聚合点通常称为 [分布式天线系统 (DAS) 集线器] 。将多个 BBU 放在一个聚合设施中可以提高基础设施效率，并更好地向 Cloud RAN 演进。在 C-RAN 架构中，由传统基站执行的任务通常作为VNF在通用计算硬件上的基础设施边缘微数据中心上执行。这些任务必须以高性能和尽可能低的延迟执行，需要在蜂窝网络站点上使用基础设施边缘计算来支持它们。云服务提供商 (CSP)由集中式和区域性数据中心组成的大型云资源运营组织。最常用于公有云环境中。也可以称为云服务运营商 (CSO)。Cloudlet在学术界，该术语指的是基础设施边缘的移动增强的公有或私有云，由卡内基梅隆大学的Mahadev Satyanarayanan推广。与边缘云同义。它还可以与边缘数据中心和边缘节点互换使用。在 3 层计算架构中，术语“cloudlet”是指中间层（Tier 2），Tier 1 是云，Tier 3 是智能手机、可穿戴设备、智能传感器等。托管（Colocation）将由不同方拥有或操作的计算、数据存储和网络基础设施部署在同一物理位置的过程。与共享基础设施不同的是，托管不要求边缘数据中心等基础设施拥有多个租户或用户。计算卸载（Computational Offloading）一种边缘计算用例，其中任务从边缘设备卸载到基础设施边缘以进行远程处理。例如，计算卸载通过将计算卸载到基础设施边缘来寻求移动设备的性能改进和节能，目标是最大限度地减少任务执行延迟和移动设备能耗。计算卸载还支持新类型的移动应用程序，这些应用程序需要的计算能力和存储容量超过了设备本身的能力。在其他情况下，为了提高性能，可以将工作负载从集中式数据中心转移到边缘数据中心。该术语在文献中也被称为云卸载和网络觅食。计算卸载也使新类型的移动应用成为可能，这些应用需要的计算能力和存储容量超过了设备本身的能力(例如，无绳虚拟现实)。在其他情况下，为了提高性能，可以将工作负载从集中式数据中心转移到边缘数据中心。这个术语也被称为cloud offload 或 cyber foraging。内容分发网络 (CDN)一种分布在整个网络中的分布式系统，将内容（例如流媒体视频）放置在离用户更近的位置。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。当使用基础设施边缘计算时，CDN 节点在边缘数据中心的软件中运行。核心网服务提供商网络层，它将接入网和接入网上的设备连接到其他网络运营商和服务提供商，这样数据就可以在互联网或其他网络之间传输。距离基础设施边缘计算资源可能有多个跃点。CPE（Customer-Premises Equipment）一种接收移动信号并以无线WIFI信号转发出来的移动信号接入设备，例如有线网络调制解调器，它允许网络服务的用户连接到服务提供商的接入网中。通常是从基础设施边缘计算资源向终端用户的一跳。数据中心可容纳多个高性能计算和数据存储节点的结构，将大量的计算、数据存储和网络资源集中在一个位置。在某些情况下也可能指计算和数据存储节点。集中式数据中心、区域数据中心和边缘数据中心的规模各不相同。Data Gravity数据不能在网络上自由移动，并且随着数据量和网络端点之间距离的增加，这样做的成本和难度也会增加，应用程序将倾向于数据所在的位置。Data Ingest为存储和后续处理而接收大量数据的过程。例如，边缘数据中心为视频监控网络存储了大量的视频，然后必须对这些视频进行处理以识别相关人员。Data Reduction在数据的产生者和最终接收者之间使用一个中间点来智能地减少传输的数据量，同时又不丢失数据的含义的过程。一个例子是智能重复数据删除系统。数据主权数据受其所在国家、州、行业的法律法规或管理其使用和移动的适用法律框架的约束的概念。设备边缘（Device Edge）最后一公里网络的设备端或用户端的边缘计算能力。通常依赖于现场的网关或类似设备来收集和处理来自设备的数据。可能还会使用用户设备(如智能手机、笔记本电脑和传感器)有限的备用计算和数据存储能力来处理边缘计算工作负载。与基础设施边缘不同，因为它使用设备资源。设备边缘云（Device Edge Cloud）边缘云概念的扩展，其中某些工作负载可以在设备边缘可用的资源上运行。通常不提供类似云的弹性分配资源，但对于零延迟工作负载来说可能是最佳选择。分布式天线系统 (DAS) 集线器用作许多无线电通信设备的聚合点的位置，通常用于支持蜂窝网络。可能包含或直接连接到部署在基础设施边缘的边缘数据中心。边缘云位于基础设施边缘的类云功能，包括从用户角度访问弹性分配的计算、数据存储和网络资源。通常作为集中式公有或私有云的无缝扩展运行，由部署在基础设施边缘的微型数据中心构建。有时也称为分布式边缘云。边缘计算边缘计算，是指在靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力为一体的开放平台，就近提供最近端服务。通过缩短设备与为其服务的云资源之间的距离，并减少网络跳数，边缘计算缓解了当今互联网的延迟和带宽限制，从而迎来了新的应用类别。边缘计算处于物理实体和工业连接之间，或处于物理实体的顶端。而云端计算，仍然可以访问边缘计算的历史数据。边缘数据中心与传统的集中式数据中心相比，边缘数据中心能够尽可能靠近网络边缘的地方。尽管单独使用规模较小，但能够执行与集中式数据中心相同的功能。由于高度分布式的物理位置产生的独特约束，边缘数据中心通常采用自主操作、多租户、分布式和本地弹性以及开放标准。边缘指的是这些数据中心通常部署的位置。它们的规模可以定义为微型，容量从 50 到 150 kW+ 不等。多个边缘数据中心可以互连，以在本地区域内提供容量增强、故障缓解和工作负载迁移，作为虚拟数据中心运行。Edge Exchange发生在边缘数据中心的 Pre-internet traffic exchange，通常在接入边缘处或附近。此功能通常在边缘数据中心的 Edge Meet Me Room 中执行，并且如果边缘交换处不存在目标位置，则可以与传统的集中式互联网交换点以补充或分层方式运行。与区域或集中式互联网交换相比，边缘交换可用于改善端到端应用程序延迟。Edge Meet Me Room边缘数据中心内的一个区域，租户和电信提供商可以在该区域中相互互连以及与其他边缘数据中心互连，其方式与在MMR中的方式相同。边缘网络结构（Edge Network Fabric）网络互连系统，通常是暗光纤或亮光纤，在基础设施边缘数据中心和潜在的其他本地基础设施之间提供连接。这些网络由于其规模和运行位置通常跨越位于市中心的不同地理区域，可以被视为城域网。边缘节点一种计算节点，例如单个服务器或一组计算资源，作为边缘计算基础设施的一部分运行。通常位于运行在基础设施边缘的边缘数据中心内，因此比集中式数据中心中的云节点在物理上更接近其目标用户。边缘增强应用（Edge-Enhanced Application）一种能够在集中式数据中心运行的应用程序，但在使用边缘计算运行时有性能(通常是在延迟方面)或功能优势。这些应用程序可以改编自集中式数据中心的现有应用程序，或者可能不需要更改。边缘原生应用（Edge-Native Application）原生构建的利用边缘计算能力的应用程序。边缘原生应用程序利用云原生原则，同时考虑到边缘在资源限制、安全性、延迟和自主性等领域的独特特征。边缘原生应用程序以利用云并与上游资源协同工作的方式开发。雾计算一种早期的边缘计算概念，它规定了计算和数据存储资源以及应用程序及其数据位于用户和云之间的最佳位置，目标是提高性能和冗余。雾计算一词最初是由思科创造的，作为边缘计算的替代品，但如今已被弃用。网关设备用户边缘上的设备，用作其他本地设备的管道，目的是聚合和促进现场设备的数据传输，其中许多设备是电池供电的，可以在低功耗状态下长时间运行。网关连接到这些设备并收集数据以转发到本地数据中心或通过最后一公里网络进行传输。硬实时（Hard Real Time）与需要确定性响应的用例或应用程序相关，其中消息必须按时并以可预测的方式到达，否则可能导致严重或危及生命的故障。PLC、RTU 和 ECU 等资源多年来一直用于工业过程控制、机械、飞机、车辆和无人机，需要实时操作系统 (RTOS) 和专用的固定功能逻辑。硬实时功能的例子包括控制工业车床、应用车辆制动器或展开车辆安全气囊；这些功能普遍在用户边缘执行，因为无论该连接的速度和可靠性如何，它们都不能依赖对最后一公里网络的控制。基础设施边缘（Infrastructure Edge）目前被 LF Edge 分类中的服务提供商边缘（Service Provider Edge）一词所取代，基础设施边缘原本指的是计算能力，通常以一个或多个边缘数据中心的形式，部署在最后一公里网络的运营商一侧。位于基础设施边缘的计算、数据存储和网络资源允许像云一样的能力，如资源的弹性分配，但是，由于与集中式或区域性数据中心相比，用户具有更高的局部性，因此具有更低的延迟和更低的数据传输成本。互连通常通过光纤电缆将一方的网络连接到另一方的网络，例如在互联网对等点、MMR。该术语还可以指两个数据中心之间或数据中心内的租户之间的连接，例如 Edge Meet Me Room。互联网边缘基础设施边缘内的一个子层，基础设施边缘和互联网之间发生互连。包含 Edge Meet Me Room和其他设备，用于提供这种高性能水平的互连。互联网交换点（IXP）不同电信运营商之间为连通各自网络而建立的集中交换平台，IXP是为促进互联网骨干网的网间互联和公平竞争而设置的运营商间进行数据网际交换的机构 是为互联网业者提供空间进行网络互连、交换流量和资源的服务场所。互联网边缘可能经常连接到 IXP。物联网边缘（IoT Edge）智能设备边缘的一个子集，由针对物联网用例的headless（即在常规操作中没有用户界面）计算资源组成。IP聚合利用基础设施边缘的计算、数据存储和网络资源，尽可能早地分离和路由从蜂窝网络RAN接收到的网络数据。如果不使用IP聚合，这些数据可能需要通过更长的路径到达本地CO或其他聚合点，然后才能路由到Internet或其他网络。为用户改进蜂窝网络的QoS。抖动在一段时间内观察到的网络数据传输延迟的变化。在整个测量周期内，从最低到最高的观测延迟值，以毫秒为单位进行测量。实时应用程序（如 VoIP、自动驾驶和在线游戏）的一个关键指标。最后一公里电信网络中连接服务提供商和客户的部分。客户与基础设施之间的连接类型和距离决定了客户可用的性能和服务。最后一公里是接入网的一部分，也是服务提供商控制范围内离用户最近的网段。延迟在网络数据传输的环境中，一个数据单位（通常是帧或数据包）从原始设备传输到目的地所花费的时间。在两个或多个端点之间的单个或重复时间点以毫秒为单位进行测量。优化现代应用程序用户体验的关键指标。与抖动不同，抖动是指延迟随时间的变化。有时表示为往返时间 (RTT)。延迟关键型应用如果延迟超过一定的阈值，应用程序将无法正常运行或功能崩溃。延迟关键应用程序通常负责实时任务，例如支持自动驾驶汽车或控制机器对机器的进程。与延迟敏感型应用不同，超过响应延迟需求通常会导致应用程序失败。延迟敏感型应用减少延迟可以提高性能，但如果延迟高于预期，应用仍然可以运行。与延迟关键型应用不同，超过延迟目标通常不会导致应用程序故障，但可能会导致用户体验下降。例如图像处理和批量数据传输。Local Breakout将internet-bound流量放到边缘网络节点(如边缘数据中心)的internet上的能力，而不需要流量通过更长的路径返回聚集的、更集中的设施。位置感知使用 RAN 数据和其他可用数据源以高精度确定用户的位置以及他们在不久的将来可能的位置，以实现工作负载迁移以确保最佳应用程序性能。基于位置的节点选择（Location-Based Node Selection）一种基于节点的物理位置相对于设备的物理位置来选择运行工作负载的最佳边缘节点的方法，目的是提高应用程序工作负载的性能。工作负载编排的一部分。管理和编排 (MANO)在边缘计算的背景下，这是边缘设备和边缘应用程序在其整个生命周期内的管理和编排，包括配置、监控、更新、操作和保护应用程序和数据。不同的边缘层需要类似的原则，但通常依赖于不同的工具集，这是由于固有的技术权衡，如可用计算占用空间、失去最后一公里连接期间的自主性、正常运行时间需求、时间紧迫性等。微模块数据中心 (MMDC)模块化数据中心是指以较小规模应用模块化数据中心概念的数据中心，容量通常为 50 至 150 kW。采用多种可能的形式，包括机架式机柜，可根据需要在室内或室外部署。与大型模块化数据中心一样，微模块数据中心能够与其他数据中心组合以增加区域内的可用资源。Mixed-Criticality工作负载整合将硬实时或延迟和安全关键型工作负载与软实时和延迟敏感型工作负载（例如通用边缘基础设施上的 AI/ML 模型）整合在一起的做法。移动边缘基础设施边缘、设备边缘和网络切片功能的组合，经过调整以支持特定用例，例如实时自动驾驶汽车控制、自动驾驶汽车寻路和车载娱乐。此类应用程序通常结合了对高带宽、低延迟和无缝可靠性的需求。移动网络运营商 (MNO)蜂窝网络的运营商，通常负责网络部署和有效运行所需的物理资产，例如 RAN 设备和网络站点。与 MVNO 不同，MNO 负责物理网络资产。可能包括部署在基础设施边缘的边缘数据中心，这些边缘数据中心位于或连接到这些资产下的蜂窝站点。通常也是一个服务提供商，提供对其他网络和互联网的访问。移动虚拟网络运营商 (MVNO)一种类似于 MNO 的服务提供商，区别在于 MVNO 不拥有或不经常运营自己的蜂窝网络基础设施。尽管他们不会拥有部署在连接到他们可能正在使用的蜂窝站点的基础设施边缘的边缘数据中心，但 MVNO 可能是该边缘数据中心内的租户。模块化数据中心 (MDC)一种为可移植性而设计的数据中心部署方法。高性能计算、数据存储和网络功能安装在便携式结构中，然后可以运输到需要的地方。这些数据中心可以与现有数据中心或其他模块化数据中心相结合，以根据需要增加可用的本地资源。多接入边缘计算 (MEC)由 ETSI 赞助的开放应用程序框架，支持与RAN紧密耦合的服务开发。MEC 于 2014 年正式提出，旨在通过标准化的软件平台、API 和编程模型来增强 4G 和 5G 无线基站，以便在无线网络边缘构建和部署应用程序。MEC 允许部署无线感知视频优化等服务，利用缓存、缓冲和实时转码来减少蜂窝网络的拥塞并改善用户体验。MEC最初被称为移动边缘计算，2016 年更名为多接入边缘计算，以强调他们将 MEC 扩展到蜂窝之外的其他接入技术的雄心。利用部署在基础设施边缘的边缘数据中心。近实时（Near Real Time）受益于离散的低延迟时序的应用程序或用例，但对低延迟而非硬实时的时序有一定的容忍度。网络功能虚拟化 (NFV)一种对于网络架构（network architecture）的概念，利用虚拟化技术，将网络节点阶层的功能，分割成几个功能区块，分别以软件方式实现，不再拘限于硬件架构。使用行业标准虚拟化和云计算技术，将网络功能从专有硬件设备中的嵌入式服务迁移到运行在标准x86和ARM服务器上的基于软件的VNF。在许多情况下，NFV处理和数据存储将发生在直接连接到基础设施边缘的本地蜂窝站点的边缘数据中心。网络跃点在网络中传输数据时发生路由或交换的点。减少用户和应用程序之间的网络跃点数是边缘计算的主要性能目标之一。东西南北数据流指跨边缘的数据流进出集中式云数据中心连续体的方向性。北向是指数据流向“上游”，例如从部署在用户边缘的资源到部署在服务提供商边缘和集中云的资源；而南向是指数据流向相反的方向。东向和西向数据流是指在整个连续体中相同/相似位置的资源对等体之间的相互通信。本地数据中心边缘（On-Premises Data Center Edge）用户边缘的一个子类别，由位于最终用户运营的建筑物内或附近的服务器级计算基础设施组成，例如办公室和工厂。这些位置的 IT 设备位于传统的私有数据中心和模块化数据中心 (MDC) 中。这些资源在可用空间、电力和冷却的范围内具有适度的可扩展性。用于安全和MANO的工具与云数据中心中使用的工具类似。OTT（Over-the-Top Service Provider）不拥有或运营底层网络的应用程序或服务提供商，在某些情况下是数据中心以及将其应用程序或服务交付给用户所需的基础设施。流媒体视频服务和 MVNO 是当今非常普遍的 OTT 服务提供商的例子。通常是数据中心租户。Perishable Data如果在某一时刻采取行动，这些数据是最有价值的，一旦处理可能会被丢弃，以降低通过最后一英里网络的连接成本。通过在本地处理来自传感器的数据，然后只向服务提供商边缘或云发送相关信息，而不是原始数据流，应用程序和连接性可以得到优化。存在点 (PoP)网络基础设施中的一个点，服务提供商允许用户或合作伙伴连接到他们的网络。在边缘计算的背景下，如果 IXP 不在本地区域内，在许多情况下，PoP 将在 edge meet me room 内。边缘数据中心将连接到 PoP，然后再连接到 IXP。QoEQoS原则的高级使用，对应用程序和网络性能进行更详细和细致的测量，目标是进一步改善应用程序和网络的用户体验。也指能够主动测量性能并根据需要调整配置或负载平衡的系统，因此可以被视为工作负载编排的一个组件。QoS衡量网络和数据中心基础设施服务特定应用程序（通常是针对特定用户）的指标。吞吐量、延迟和抖动都是关键的 QoS 测量指标，边缘计算旨在为许多不同类型的应用程序改进，从实时到批量数据传输用例。无线接入网 (RAN)接入网络的一种无线变体，通常指的是蜂窝网络，例如 3G、4G 或 5G。5G RAN将利用NFV和C-RAN，在基础设施边缘的计算、数据存储和网络资源提供支持。实时（Real Time）受益于或需要离散、低延迟时间的应用程序或用例。区域数据中心位于集中式数据中心和微模块数据中心之间的数据中心，已建成足够的规模，并且位置便利，可服务于整个区域。物理上比Access Edge更远离最终用户和设备，但比集中式数据中心更靠近他们。在某些情况下也称为都市数据中心。传统云计算的一部分。区域边缘服务提供商边缘的一个子类别，由位于区域数据中心的服务器级基础设施组成，这些数据中心也往往用作主要的对等站点。区域边缘数据中心能够支持 30 毫秒 - 100 毫秒范围内延迟的边缘工作负载。Resource Constrained Device设备边缘的一个子类别，指位于最后一公里网络的设备边缘侧的设备，这些设备通常由电池供电，并且可以在省电模式下长时间运行。这些设备通常在本地连接到网关设备，网关设备反过来传输和接收由本地网络以外的源生成的数据，并将数据定向到网关设备，例如在基础设施边缘的边缘数据中心运行的数据分析应用程序。服务提供商为客户提供网络接入的组织，其目标通常是通过“最后一公里”网络为客户提供互联网接入。客户通常会通过光纤电缆或无线蜂窝调制解调器从用户边缘的最后一公里连接到服务提供商的接入网。服务提供商边缘LF Edge 分类中的两个主要边缘层之一，用于指定部署在最后一公里网络的服务提供商端的边缘计算能力。服务提供商边缘由放置在大都市地区服务提供商网络附近或支持服务提供商网络的 IT 设备组成，并涵盖接入网络和最近的互联网交换 (IX) 点之间的物理地理位置。服务提供商边缘进一步细分为接入边缘和区域边缘，通常能够以低于 100 毫秒的延迟提供边缘计算。最初被称为基础设施边缘。共享基础设施多方使用单个计算、数据存储和网络资源，例如两个组织各自使用单个边缘数据中心的一半，这与各方拥有自己的基础设施的不同。智能设备边缘用户边缘的一个子类别，由位于物理安全数据中心之外的计算硬件组成，但仍能够支持用于云原生软件开发的虚拟化和/或容器化技术。这些资源涵盖消费级移动设备、 PC以及物联网设备。虽然这些设备能够进行通用计算，但由于成本、电池寿命、外形尺寸和坚固性（热和物理）等各种原因受到性能限制，因此与上游数据中的资源相比，处理可扩展性存在实际限制。这些系统越来越趋向于以图形处理单元 (GPU) 或现场可编程门阵列 (FPGA) 的形式进行协同处理，以加速分析。智能设备边缘的资源可以作为单独的设备进行部署和使用（例如，工厂车间的智能手机或物联网网关），也可以嵌入到分布式、独立的系统中，例如联网/自动驾驶汽车、信息亭、油井和风力涡轮机。Soft PLC一种虚拟化可编程逻辑控制器 (PLC)，可以与其他虚拟化或容器化应用程序一起整合到通用基础设施中，以用于并行运行的数据管理、安全和分析应用程序，并与更高的边缘层进行交互。软实时（Soft Real Time）与延迟敏感的应用程序相关联，例如视频流，其中应用程序依赖低延迟网络来提供良好的用户体验，但网络故障或延迟不会导致严重或可能危及生命的故障。为了方便和规模经济，通常从服务提供商边缘交付具有软实时要求的应用程序。吞吐量在网络数据传输环境中，每秒能够在两个或多个端点之间传输的数据量。以每秒比特数来衡量，通常根据需要以兆比特或千兆比特为单位。尽管应用程序通常需要最小的吞吐量水平才能正常运行，但在此延迟之后，通常会限制应用程序和损害用户体验。Thick Compute在边缘计算的背景下，是指通常位于智能设备边缘和本地数据中心边缘的高端网关和服务器级计算。可以部署在安全数据中心内部或外部。Thin Compute在边缘计算的背景下，指的是网关、集线器和路由器形式的更受限制的边缘计算资源，它们只有最小的处理能力，通常与其他更强大的（Thick Compute）设备结合使用来执行计算。智能设备边缘的一部分，通常部署在物理安全数据中心之外。Tiny ML在基于微控制器的设备中部署功能有限的机器学习 (ML) 推理模型，通常在受限设备边缘。需要高度专业化的工具集来容纳可用的处理资源。例如ML 模型，它使智能扬声器能够在服务器进一步处理后续语音交互之前在本地识别唤醒词（例如“Hey Siri”）。流量卸载将通常传输效率低下的数据（例如通过长距离、拥塞或高成本网络）重新路由到替代的、更本地的目的地（例如，CDN 缓存）或更低成本或更高效的网络的过程。Local Breakout 是使用边缘计算进行流量卸载的一个例子。Truck Roll在边缘计算的环境中，将人员派遣到边缘计算位置（例如边缘数据中心）的行为，通常是为了解决或排除检测到的问题。这些地点通常偏远，大部分时间都是远程操作，没有现场人员。这使得上门服务的其他实际考虑成本成为边缘计算运营商的潜在关注点。用户边缘部署在最后一公里网络用户侧的边缘计算能力，也称为设备边缘。LF Edge 分类中的两个主要边缘层之一，由服务器、存储和网络以及设备组成，部署在最后一公里网络的下游侧。用户边缘资源与物理世界中的最终用户和流程相邻，涵盖范围广泛的设备类型，包括网关、服务器和最终用户设备。用户边缘上的工作负载通常与服务提供商边缘上的资源一起工作，但能够实现较低的延迟并节省带宽，处理数据无需数据通过最后一公里的网络。与服务提供商边缘相比，用户边缘代表了高度多样化的资源组合。用户边缘包含本地数据中心边缘、智能设备边缘和受限设备边缘。V2XV2I 的超集，指的是类似 V2I 的技术，它使得车与车、车与基站、基站与基站之间能够通信。从而获得实时路况、道路信息、行人信息等一系列交通信息，从而提高驾驶安全性、减少拥堵、提高交通效率、提供车载娱乐信息等。V2I，用于连接或自动驾驶汽车的技术集合，用于连接到其支持的基础设施，如在基础设施边缘的边缘数据中心运行的机器视觉和路径查找应用程序。通常使用更新的蜂窝通信技术，如5G或Wi-Fi 6作为接入网络。虚拟数据中心由多个物理边缘数据中心构建的虚拟实体，从外部可以将它们视为一个实体。在虚拟数据中心内，可以根据负载平衡、故障转移或运营商偏好，根据需要将工作负载智能地放置在特定的边缘数据中心或可用区内。在这种配置中，边缘数据中心通过低延迟网络互连，旨在创建冗余和弹性的边缘计算基础设施。虚拟化网络功能 (VNF)一种基于软件的网络功能，在通用计算资源上运行，NFV 使用它来代替专用的物理设备。在许多情况下，多个 VNF 将在基础设施边缘的边缘数据中心上运行。工作负载编排一种智能系统，可动态确定要在计算、数据存储和网络资源范围内处理的应用程序工作负载的最佳位置、时间和优先级，从集中式和区域数据中心到基础设施边缘和设备边缘的可用资源。工作负载可以被标记为特定的性能和成本需求，这决定了它们将在哪里运行。编者按：本文编译自Open Glossary of Edge Computing，不声明原创，仅供学习交流。

为认真贯彻落实《巴中市人民政府关于加快推进实施种养业优势大品种计划的意见》，按照“2+1”种养业优势大品种计划，推动巴山肉牛全产业链高质量发展，提升保险对巴山肉牛风险保障水平，近日，巴中市印发了《全市保险业支持巴山肉牛全产业链发展的指导意见》（以下简称《意见》）。提高巴山肉牛保险服务能力《意见》要求，扩大巴山肉牛保障主体。按照巴山肉牛全产业链发展部署，引导全市涉农保险机构聚焦全市肉牛养殖市场主体，充分发挥规模和行业优势，辐射带动规模养殖户、新型农业经营主体、合作社和散养户作为保险保障主体，不断提高巴山肉牛养殖主体的保险投保率。各县（区）要统筹乡村振兴衔接等涉农资金，大力支持肉牛养殖主体参与保险保障工作，建立政户“64”保费分担机制（即：财政性补贴不低于60%，养殖户承担不高于40%）和政企户“622”保费分担机制（即：财政性补贴不低于60%，龙头企业主动对参保代养户补助不低于20%，其余部分由养殖户承担）。支持涉农保险机构建立健全巴山肉牛保险基层服务体系，切实改善保险服务。巴山肉牛保险承保机构原则上按照政策性农业保险遴选确定的承保机构开展业务活动。提高巴山肉牛保障水平。根据肉牛不同生长周期的价值和肉牛品种，建立巴山肉牛保险金额和保费动态调整机制，确定合理的保险周期，适度提高肉牛保险水平。各县（区）根据肉牛产业发展情况，引导保险机构按照牛犊保险金额不低于3000元/头、保险费率不高于4%，成品肉牛保险金额不低于7000元头、保险费率不高于3%，母牛保险金额不低于10000元/头、保险费率不高于4%标准开展巴山肉牛保险业务。建立肉牛保险费率动态调整机制，对连续投保未出险的养殖主体次年度保费适度调整。创新“保单+贷款”的银保合作模式，推动以肉牛保单抵质押增信，提高养殖加工主体信用等级，实现银行机构授信放贷，解决肉牛养殖加工主体资金需求。创新巴山肉牛保险产品。鼓励保险经办机构积极争取上级公司支持，创新推出肉牛养殖扩展保额保险、产品质量保险、财产险等一系列商业性保险，将肉牛养殖生产设施设备纳入保障范围。积极探索肉牛价格指数保险，根据不同养殖加工主体保险需求，探索构建涵盖财政补贴基本险为主，商业险补充的“菜单式”肉牛保险产品体系，推动肉牛养殖加工主体保险“保价格、保收入”，为全市肉牛全产业链和集群发展提供保险保障支撑。积极争取落实保险政策。落实国省强农惠农富农金融政策，切实维护投保养殖主体和农户切身利益，保障其知情权，推动肉牛保险条款通俗化、标准化。督促保险机构做到惠农政策、承保情况、理赔结果、服务标准、监管要求“五公开”，做到定损到户、理赔到户，不惜赔、不拖赔，提高承保理赔效率。积极争取国省政策性保险财政补助，降低养殖加工主体和地方财政保费负担。优化巴山肉牛保险运行机制《意见》指出，要加强肉牛保险信息共享。不断提升肉牛保险信息化水平，积极推动耳标、监控、芯片定位等方式，动态掌握参保肉牛生长、销售过程，从源头上防止弄虚作假和骗取财政补贴资金等行为。乡镇要加强对肉牛产业发展的数据统计，及时向保险机构推送，强化政策性保险的宣传力度，共同营造良好的保险环境。要完善风险防范机制。加大保险机构防范风险的主体责任，坚持审慎经营，提升风险预警、识别、管控能力，加大预防投入，健全风险防范和应急处置机制。县（区）人民政府要及时兑付肉牛保险财政性补助，保障保险机构偿付能力。保险机构要加大肉牛保险投诉的化解力度，建立常态化检查机制。银保监部门要加强基层保险监管，严厉查处违法违规行为。强化巴山肉牛保障措施《意见》强调，强化组织领导。为抓紧、抓好、抓实肉牛养殖保险工作，成立工作专班，负责统筹协调推进各项工作，研究和解决保险工作中出现的新情况、新问题。各县（区）结合实际制定具体工作方案，扎实推进肉牛保险工作。明确工作职责。各县（区）参照指导意见执行。农业农村部门作为该项工作的牵头部门，统筹推进该项工作，加强督查考核，加强巴山肉牛疫病防控、无害化处理等工作，共享肉牛养殖信息，强化承保信息审核。财政部门负责肉牛养殖保险保费补贴资金筹集、调拨、结算等工作，及时足额划拨财政保费补助资金，加强保费补贴资金监管。目标绩效部门要将该项工作纳入年度督查计划，定期组织对县（区）政策落实情况进行督查通报并将相关结果作为加扣分的依据。金融主管部门要主动推动肉牛保险相关政策的落地落实，组织相关部门和保险机构研究推进过程中存在的问题，协调解决肉牛保险工作中的难点。乡村振兴部门要把巴山肉牛产业作为乡村振兴重点扶持项目，并在项目和资金上予以倾斜。银保监部门要强化保险机构业务监管，规范肉牛保险经营行为和市场秩序。巴中市保险行业协会要做好行业自律、协调和服务工作，制定《巴中市巴山肉牛保险实施方案》。涉农保险机构要加大宣传力度，创新保险产品，做好承保、防灾防损、查勘、定损、赔付等专业化服务工作，做到公开透明。建立激励机制。政府在制定相关奖补政策时应充分考虑养殖户肉牛保险投保情况，提升养殖户投保积极性。将肉牛保险纳入乡村振兴整体战略，对各县（区）肉牛保险覆盖率实行绩效考核，奖优罚劣，对完成投保目标任务的给予专项奖补，有效发挥基层政府主导作用，确保肉牛产业发展顺利实施。加大宣传力度。相关部门要会同保险机构加大肉牛养殖保险宣传力度，增强肉牛养殖户的风险意识和保险意识，引导肉牛养殖户积极主动投保。保险经办机构要认真组织对有关人员进行培训，掌握政策，提高工作水平，要加强肉牛养殖保险知识普及宣传，充分利用电视、报刊、网络、村“小广播”、户外广告、宣传册等方式，发挥典型案例的引导作用，逐步提高养殖户知晓度，增强其风险防范意识和参保意识。同时要加强保险法规和诚信教育，防止各种道德风险的发生。

对于楼宇控制和自动化系统的设计和安装，没有一套单一的网络安全标准。相反，网络安全策略历来因开发商、设计师和供应商如何满足每栋建筑的要求而有所不同。但智能建筑中使用的联网物联网设备极易受到网络攻击。根据2020 年的报告：57% 的物联网设备容易受到中度或高度严重度的攻击41% 的攻击利用设备漏洞随着智能建筑越来越依赖物联网技术，了解和遵循可用的最佳物联网网络安全标准对于防止网络入侵和保护有价值的数据至关重要。智能建筑的物联网网络安全标准IT 安全标准系列ISO 27000 和 IEC 62443是用于智能建筑中 IT 和 OT 网络的两个最常见的国际网络安全标准系列。智能建筑环境中的利益相关者需要确保用于楼宇自动化和控制的设备和流程符合这些标准，以避免安全漏洞。ISO 27000ISO 27000 系列包括 60 个信息安全管理系统子标准。该系列为智能建筑设备提供了具体的网络安全指南，包括：数字控制器和自动化组件，例如传感器建筑能源管理系统智能电网环境的分布式组件，例如能源网楼宇系统远程维护平台IEC 62443IEC 62443 标准特别关注 OT 网络的安全风险，包括智能建筑中的安全风险。该系列概述了服务提供商应遵守的楼宇自动化系统的具体技术要求，并为自动化组件制造商提供指导。通过智能建筑中的物联网网络安全标准提高安全性并确保稳健的风险管理的好处包括：一致的安全要求：稳健的标准为所有建筑系统创建了共同的安全要求，并使安全解决方案成为可能。技术一致性：安全术语的通用定义可以节省时间并减少技术变化。对关键用户的更多控制访问：只允许用户访问他们需要的信息和功能。避免设备之间的潜在停机时间：网络安全措施降低了安全漏洞的可能性和设备之间代价高昂的计划外停机时间。向用户保证：通过一致性测试的楼宇自动化和控制系统向用户保证，它们是根据最新要求开发的。最佳实践的知识共享和实施：对网络安全概念、术语和定义的共同理解可以防止错误并支持互操作性。最后一点是关键：实施标准化的 IT 安全流程和遵守网络安全最佳实践对于智能建筑至关重要。实施最佳实践与传统安全模型相比，现代网络安全架构建立在零信任方法之上，强调消除对组织内部网络的隐含信任。由于缺乏细粒度的安全控制，隐式信任使组织网络中的所有用户都可以横向移动并访问敏感数据。当前的网络安全最佳实践植根于应验证数字交互的每个阶段的原则。例如，美国国家标准与技术研究院 (NIST) 是一家非监管性联邦机构，是网络安全行业最知名的机构之一。NIST 网络安全框架提供了有关网络安全最佳实践的指南和建议，以帮助组织防止网络入侵其网络。当应用于智能建筑环境时，这些最佳实践将网络安全风险降至最低。智能建筑中的最佳网络安全实践包括：使用零信任方法：在授予访问权限之前，必须验证所有内部和外部用户、设备和应用。库存控制网络：定期扫描建筑物的控制网络有助于识别可能构成风险的未知设备。创建唯一的用户帐户：唯一的用户帐户对于跟踪用户活动至关重要。实施最低权限访问：应根据最低权限原则控制用户访问权限，该原则规定用户只应获得完成工作所需的访问级别。监控网络流量：除了监控前端/应用服务器，还应监控网络流量以检测任何异常的设备到设备流量。记录响应计划：明确定义利益相关者的角色和责任的详细记录和实践的响应计划可以最大限度地减少网络攻击的影响。制定恢复计划：大多数网络攻击受害者没有可行的系统备份。制定完善的数据备份策略可以帮助您在发生安全漏洞时恢复关键的建筑数据。在确定建筑中的安全漏洞并遵守物联网网络安全标准时，需要定制策略来保护建筑系统和设备。因此，对于许多建筑运营商而言，需要选择专业的合作伙伴，帮助在整个产品组合中纳入行业规定的安全标准，并保护资产免受网络威胁。转载自http://www.iotworld.com.cn/html/News/202206/a6d187a01f1ba594.shtml

大多数物联网产品在设计上并不安全。事实上，它们是最近网络犯罪激增的主要原因。一份报告显示，2019 年上半年发生了29 亿起网络事件。研究人员特别指出物联网 (IoT) 的扩散以及 Windows SMB 是主要原因。通过芯片到云物联网的去中心化技术可能是这些问题的答案。物联网在消费者和商业技术层面带来了几乎无数的改进机会。个人用途包括智能家居和智能汽车，物联网为工业环境中的众多网络物理系统提供监督，并以前所未有的方式促进数据移动。围绕物联网的猖獗网络安全问题导致一些技术专家呼吁采用不同类型的架构。芯片到云物联网看起来是一种很有前途的方式，可以为所有人构建更安全、更有用和去中心化的技术。当前的物联网安全出了什么问题？到 2030 年，全球可能有500 亿台联网设备，其中包括智能手机、个人电脑、传感器以及工业世界车辆和机器车队中的嵌入式逻辑控制器。这些设备中的每一个都是一个互联网节点，其中任何一个都可能是网络安全链中的薄弱环节。当前构建物联网设备的方法，从根本上来说不安全，有几个原因：物联网设备通常缺乏运行板载安全工具的处理能力。物联网设备的采用者经常无法更改出厂默认密码，黑客很容易猜到。物联网是一种相对不成熟的技术，没有经验的用户很容易错误配置网络和设置。尽管计算能力有限，物联网设备仍然可能感染恶意软件。尽管联网机器和设备具有提高企业规划和维护响应能力的所有潜力，但它们可以为设施内部网和企业网络提供一个无人看管的后门。如果它们没有正确构建和部署更是如此，这就是为什么 IT 专家经常细分网络以将 IoT 设备与组织的其他业务或访客流量隔离并隐藏起来。然而，这仍然没有解决物联网的根本缺陷问题。人们需要重新思考物联网产品中的芯片如何与互联网以及彼此之间进行通信，以带来更强大的物联网安全性。芯片到云是去中心化的物联网芯片到云架构提供了一种创建与物联网云平台直接连接的安全、低能耗设备网络的方法。各地的组织都发现他们必须转向云优先的技术堆栈，但到目前为止，构建这种基础设施的集体努力是浪费的、低效的和不安全的。IT 专业人员保护物联网设备的传统途径是基于防火墙和其他不托管在机器本身上的安全产品，这是芯片到云架构试图解决的根本弱点。物联网设备的主要弱点之一是它们缺乏计算能力和板载安全措施，使用芯片到云物联网安全构建的产品比其前身更强大、更安全，同时保持节能，这归功于以下几个特点：板载加密引擎随机数发生器足够的随机存取存储器 (RAM)这些芯片组特性赋予了额外的安全优势，由于每个物联网节点的密码学唯一性，黑客要欺骗其身份并劫持其访问更广泛的业务网络变得更加困难。如果物联网的前身是 Web 2.0 的一部分，那么芯片到云物联网是迈向 Web 3.0 或只是“Web3”的决定性一步。活跃于这一新兴领域的技术人员表示，这些设计原则将把权力平衡转移回数据移动的受益者，物联网设备的消费者或价值创造者，而不是集中的供应商。在边缘收集的数据也可以在那里处理和使用。芯片到云通过消除边缘节点和准备对信息采取行动的逻辑程序之间的流量停止，使其比以往更快。“设计安全”一词适用于芯片到云的物联网架构。新一代工具旨在为新旧设备提供增值数据移动功能，就像当前的物联网一样。但是，芯片到云芯片组始终与云连接。这将大大提高资产可用性，并使节点、部门或设施之间的数字通信速度更快。从芯片到云如何去中心化物联网?本质上，它最分散的是安全协议。传统的物联网涉及在现有的、否则不受保护的连接设备云上放置防火墙和其他第三方保护，想象一把伞保护着一个 12 口之家。现在，想象一下，同一个 12 口之家，但每个成员在倾盆大雨时都有自己的雨伞，这是芯片到云的物联网。每个设备都拥有一个强大的、单独保护的芯片组，使其成为比普通物联网设备更强大的链中的一环。芯片到云是分散技术，因为每个节点直接向云控制器或分析程序报告，而不是向中介报告，这代表了事物安全方面的另一个胜利，以及一种减少数据包在接收者之间移动时的延迟和丢失的方法。芯片到云之后会发生什么？最近的全球事件正在广泛地看到对云技术和特别是芯片到云架构的大量投资。公司和组织需要数据来支持他们的客户关系门户、企业规划工具和机器维护平台，而物联网可以提供这些。然而，即使使用芯片到云技术，物联网也不够安全。组织需要为每项新的 IT 投资制定详细的设备管理协议、专注于安全警戒和培训的文化，以及明智地选择技术合作伙伴的专业知识。向 Web 3.0 的过渡将从这里继续，随着时间的推移，芯片到云可能会加入并与其他 Web 3.0 技术（如区块链）相结合，以进一步增强其实用性和安全稳健性。看看世界上真正的价值创造者如何使用这些强大的新工具，这一切都将会很有趣。

过去几年，物联网设备的弱安全标准利用了Linux恶意软件。使用默认密码、过时的固件或系统漏洞暴露的telnet和ssh服务——所有这些都是让攻击者构建由数千个受感染的嵌入式设备组成的僵尸网络的方法。本文介绍在Linux平台上用于自动化恶意软件分析的多平台沙箱的设计。1、Linux沙箱技术在计算机安全领域，沙箱(Sandbox)是一种程序的隔离运行机制，其目的是限制不可信进程的权限。沙箱技术经常被用于执行未经测试的或不可信的客户程序。为了避免不可信程序可能破坏其它程序的运行，沙箱技术通过为不可信客户程序提供虚拟化的磁盘、内存以及网络资源，而这种虚拟化手段对客户程序来说是透明的。由于沙箱里的资源被虚拟化（或被间接化），所以沙箱里的不可信程序的恶意行为往往会被限制在沙箱中。沙箱技术一直是系统安全领域的挑战，不存在说哪一种方案是足够安全的。沙箱技术方案通常是需要结合多种系统安全技术来实现，采用防御纵深(Defencein Depth)的设计原则，筑建多道防御屏障，尽可能地将安全风险将为最低。下面我们主要讨论如何利用Linux kernel所提供的安全功能来建立有效的沙箱技术。Linux安全模型相关的内容：每个进程都有自己的地址空间；MMU硬件机制来保证地址空间的隔离；Kernel是系统的TCB(Trusted Computing Base)，是安全策略的制定者和执行者；进程是最小的权限边界；root具有最高权限，它能控制一切；其它用户受DAC(Discretionary Access Control)限制，如文件系统的UGO权限控制。进程是最小的权限边界，其根本原因是MMU能保证进程地址空间的隔离。Linux Kernel还提供了与进程降权(drop privilege)相关的一些功能：setuidPOSIX.1e capabilityChroot jailQuota control(eg,cgroup,namespace)Linux ContainerLinux Security Module(LSM)2、Linux恶意软件分析的挑战顶级分析创建管道的开始。它充当整体分析的主管。在这部分管道中，二进制文件被预先分析，以便为其他分析模块（例如文件格式细节或CPU架构）提供必要的元数据。静态分析使用许多静态分析工具之一搜索相关的静态模式。考虑的工具主要是readelf、objdump、pyelf、radare2和RetDecfileinfo。动态分析跟踪运行二进制、新创建的进程、文件系统操作和系统调用。管道应该易于扩展，以便用户可以定义自己的分析模块。自定义模块的示例是Virus Total模块，它调用免费的Virus Total API来获取恶意软件扫描结果。各个模块的输出组合成最终的JSON输出。然后可以进一步处理该最终输出。进一步的处理可以在网络图形用户界面中手动进行，也可以通过YARA的自定义模块进行。3、执行分析在目标架构上运行和分析示例的第一步是准备仿真环境。物联网恶意软件正在为广泛传播的架构而构建。这导致选择开源项目QEMU作为模拟准备好的系统的唯一可行选项。QEMU支持多种架构，包括MIPS、ARM、SPARC、AArch64、PowerPC。目标系统由自建Linux内核和准备好的文件系统和分析工具组成。为了交叉编译镜像，使用了buildroot项目。Buildroot是一个通用工具，有助于为嵌入式系统开发Linux。3.1动态分析实现动态分析的关键是省略用户级工具ptrace syscall并准备内核级跟踪。SystemTap被选为最终解决方案，因为它提供了简单的类C语言来定义探测器，并且恶意软件分析师可以更轻松地更改或添加动态分析功能。当前的实现使用探针来创建进程树、跟踪系统调用并标记打开或删除的文件。构建过程如下：将SystemTap(.stp)脚本翻译成C语言。针对已经准备好的内核，将C代码交叉编译为目标架构的内核模块。将构建的内核模块插入目标文件系统。3.2网络分析网络分析模块加载tcpdumppcap文件并提供逐包分析。在最初的原型中，我使用了Python库——Scapy和dpkt。事实证明，这两种方法在分析时都很慢，甚至在加载更大的pcap文件时也遇到了问题。因此，我准备了与Python绑定的C++库来解析pcap数据。网络分析仪中实现的第一个重要功能是端点检查。Analyzer使用免费的Geolite国家、城市和ASN（自治系统编号）数据库。然后在多个黑名单中搜索IP地址。其他通用指标包括端口统计信息、每个端点传输的数据量、TCPSYN、TCPFIN数据包。最后，analyzer提供L7分析。目前输出的L7信息包括解析的DNS查询、HTTP请求、IRC消息和telnet数据。还注意到网络异常。这些异常是例如命中列入黑名单的IP地址、发送格式错误的数据包或明显的IP和端口扫描。4、分析构建及结果基于Docker容器化，各个沙箱元素的连接构建。单个沙箱包括：Flask API-WebAPI具有用于创建新任务（完整文件分析或仅pcap分析）、查看任务状态、结果和下载分析相关文件（例如捕获的pcaps）的端点。RabbitMQ-它用作使用AMQP协议的消息代理。它存储和控制着进入沙箱的任务队列。MariaDB-开源MySQL替代方案。它存储分析任务结果。Nginx-在实施的系统架构中，nginx代理将传入请求传递给uwsgi服务器（运行Web API）。Sandbox workers-运行分析管道的工作者节点。Docker容器使用与主机相同的内核，因此它们的开销最小。配置文件——Dockerfiles——由指令组成。Dockerfile指令描述了构建最终docker镜像的过程。这些docker镜像带有它们的所有依赖项，并且应该在所有安装了docker的系统上正常运行。我准备了最适合运行多容器应用程序的docker-compose文件。可以简单地运行：docker-compose up –scale worker=10启动完整的系统并扩展沙箱工作人员的数量以满足所有请求。在分析的恶意软件中看到的行为包括：IP扫描——我们数据集中最常见的行为。由于当前大多数物联网恶意软件都会创建僵尸网络，因此其目标（机器人）通过在其他设备中发现漏洞来传播。LiSa区分本地网络和Internet扫描，并在发生此类事件时触发异常。通常的目标端口是端口23(SSH)。端口扫描——恶意软件扫描本地网络中的许多端口以查找打开的端口。HTTP请求–检测到多个异常HTTP请求并将其标记为异常。HTTP请求可能包含垃圾或目标端点以获取数据（例如GET/version）。格式错误的DNS数据包——这些数据包在标头值中包含大量数字（问题、答案、权限和其他资源记录的数量）。IRC–恶意软件连接到IRC服务器并等待来自CC服务器的命令。针对特定国家——样本仅与特定国家的数百个主机联系。这些国家是越南、中国、孟加拉国、泰国和印度。更改了进程名称——使用带有请求PRSETNAME的Syscallprctl来隐藏恶意软件进程。列入黑名单的端点——在黑名单中发现了几个端点的IP地址。以指定应用程序为目标——示例以Wordpress应用程序及其端点/wp-login.php为目标。Ptrace–Ptrace系统调用被检测为一种反调试技术。进程创建——检测到的通常用于守护应用程序的分叉进程。5、结论首先，广泛的网络分析、异常检测和使用Python绑定实现C++库，克服了常用的包Scapy和dpkt。其次是SystemTap监控环境及其交叉编译工具链的准备。使用内核级分析可以扩展到完整的系统监控解决方案。转载自http://www.iotworld.com.cn/html/News/202207/96cb1dcd13374560.shtml

当前，以物联网、云计算、人工智能以及5G等为代表智能技术继续改变人们的生活方式以及与周围城市的互动方式。 虽然，利用人工智能和机器学习驱动的创新，每一个互联城市的全部价值仍在不断发展，但是，网络安全仍然是其最大的挑战之一。智慧城市难题虽然智能城市的承诺为市政当局和居民提供了“智能”服务的效率和价值，但它也带来了网络安全挑战。每个连接的组件——从设备到网络基础设施——为黑客窃取数据、破坏系统和获取他们不应该拥有的信息提供了一个潜在的切入点。智慧城市生态系统可能充满了数以万计的物联网 (IoT) 设备，它们通过公共网络基础设施进行通信。为了让智慧城市取得成功，每个物联网设备都必须是低功耗、性能卓越、能够承受干扰并且可靠的。它们将在设备和连接它们的网络基础设施之间自由传输数据。那么，智慧城市如何确保智慧城市生态系统的每个部分——设备和网络基础设施——保持安全？智能城市设备安全始于设备组件级别智慧城市设备制造商，从智能照明和供水系统到智能交通管理系统和交通系统，在安全方面充当第一道防线。每个设备可能具有许多协同工作的技术，例如芯片组、传感器、通信协议、固件和软件。这些技术组件的构建或采购必须考虑到安全性。组件和设备的安全测试不应该是事后的想法，而是设计和制造过程的主动部分。最佳实践可能包括：? 通信协议测试 -例如，通信芯片组中的Sweyntooth和Braktooth等蓝牙漏洞可能会为黑客打开大门。Braktooth 漏洞最近影响了数十亿台设备，这些设备来自笔记本电脑、智能手机、物联网和工业设备中使用的一千多个芯片组中的片上系统 (SOC)。像这样的协议级漏洞很难检测到。虽然安全社区建立了发现应用程序级漏洞的最佳实践，但协议级漏洞更难查明。测试此类漏洞的唯一方法是使用协议模糊测试，它在通信握手或切换过程中检测漏洞。? 网络安全固件、软件和密码更新功能——网络安全威胁和漏洞会随着时间而变化。许多占据头条新闻的物联网安全事件都是由密码错误和固件过时引起的。设备制造商可以采取简单的步骤，使智慧城市设备所有者能够加强身份验证并提供更新固件和软件的方法，因为网络安全环境在其设备的整个生命周期中不断发展。不幸的是，一旦购买了设备，智慧城市几乎无法提高其安全性，因此正确购买是成功的关键。采购流程应在“物料清单”（BOM）中考虑网络安全，要求设备制造商考虑组件和设备的网络安全，并能够验证其设备是否通过了适当的网络安全测试。智慧城市负责人应记住，随着时间的推移，智能设备制造商可能会继续开发产品周期短的新设备。这意味着所有者需要了解制造商可能会加速放弃对旧设备的支持。消除智慧城市网络的风险智慧城市的第二道防线是网络基础设施。在智慧城市中，后端网络是保持一切顺利运行的神经中枢。这就是为什么智慧城市必须持续严格测试其后端网络的安全状况，包括策略和配置。有额外的网络基础设施需要考虑。智慧城市现在将水和能源公用事业等运营技术 (OT) 系统连接到智慧城市网络基础设施。这些 OT 连接增加了网络的风险，因为它们是不良行为者的主要目标。OT 系统传统上作为独立的城市基础设施存在，与连接的网络分离。现在，新连接到共享网络基础设施的 OT 系统必须像传统 IT 系统一样得到保护。智慧城市所有者应遵循网络安全最佳实践，以改善其整体网络安全状况。智慧城市网络基础设施需要一种主动的方法来在黑客发现漏洞之前发现它们。主动方法包括利用破坏和攻击模拟工具不断探测潜在的漏洞。采用这些工具可以：? 防止攻击者在网络中横向移动? 避免“配置漂移”，因为系统更新和工具补丁会导致意外的错误配置并为攻击者敞开大门? 通过培训安全信息和事件管理系统来识别紧急或常见攻击的危害指标，从而减少停留时间。智慧城市承诺从大数据和分析中创造价值。但是，对于每个新连接，都有一个攻击者希望利用它。要让智慧城市真正兑现其承诺，我们不应忘记——与所有基础设施一样——安全和安保是重中之重。

亮相IOTE深圳IOTE 2022国际物联网展·深圳站将于2022年8月18-20日在深圳会展中心（福田）开展！这是一场物联网行业的嘉年华，也是物联网企业掌握先机的高端盛会!届时，广州证卡科技有限公司 (简称：证卡科技)将以参展商身份为我们带来多款智能卡与物联网解决方案的精彩展示。广州证卡科技有限公司深圳会展中心（福田）展位号：9B812022年8月18-20日企业介绍Gudecard 固得卡品牌2006年创立于中国上海，隶属于Magicard，是RFID智能卡及打印机品牌商，拥有多项打印机与RFID智能卡技术专利。基于本土化服务用户的理念，潜心优化RFID智能卡打印一体化整合方案为目标，2017年Magicard与广州证卡科技有限公司深度合作正式创建并启用“Gudecard 固得卡”本土化品牌，为中国市场用户提供更加高效可靠的产品与服务。“Gudecard 固得卡”拥有完美适配热升华打印机的RFID智能卡以及“Gudecard 固得卡”打印机、RFID智能卡相关的多项技术专利，凭借高度集成的智能卡发卡解决方案在RFID智能卡读写打印一体化、UHF超高频智能卡读写打印一体化、UV和激光防伪打印一体化、自助式无人值守发卡等技术应用中拥有完善的解决方案和成熟的技术配套。产品推荐1、XR160（经济型）灵活的高品质智能卡个性化解决方案手动前置进卡打印，低打印成本和高安全功能内置四款标准Holokote防伪牢固紧凑便携，ICC颜色优化边到边打印2、XR260（标准型）灵活的高品质智能卡个性化解决方案标配自动双面+网络打印内置四款标准Holokote防伪ICC颜色优化边到边打印3、GS200（标准增强型）国制造中文操控高清色彩稳定耐用高速单面打印简单便捷节省人力成本4、XR260D（工业增强型）支持超清晰打印分辨率最高达与现有企业网络轻松匹配设置简单省时省力XR26D基于工业级超强结构极为稳定耐用5、XR360K（工业增强型）卓越质量 HDR高清打印Cilx 智能交互,数字粉碎 安全防伪高效打印 经久耐用6、ULTIMA（超高清热转印）拥有超边距照片级高清打印技术支持智能触屏交互系统高效打印 经久耐用业内首款搭载UV防伪技术的热升华再转印证卡 打印机

物联网已经陪我们走过了十余年，物联网的发展也从 连接 到智能连接。近些年随着市场需求和政策扶持，物联网风口频频被吹起，有的风口是迫切需求，而有的似乎只是行业吹 的 “牛”，5G、传感器、智能制造、智能家居、以NB-IoT与LoRa为代表的LPWAN、AI、蓝牙、云平台、元宇宙等，都一度被推上物联网风口。那么谁在热点中 变现 ，谁又只是玩概念？像智能家居，随着智能化、方便、安全 舒适 生活环境需求的不断增强，家庭智能化成为了新生产业，2016-2020年的市场规模由2608.5亿元增至5144.7亿元，在2019年相关智能家居企业大幅增至9.7万家，2022年4月10日《中共中央 国务院关于加快建设全国统一大市场的意见》正式发布，意见明确提出“推动统一智能家居、安防等领域标准，探索建立智能设备标识制度。”中商产业研究院预测，2022年我国智能家居市场规模可达6515.6亿元。又比如无源物联网，一个在2021年向业界撒出千亿级市场需求的网，又乘上“碳中和”的号召，在业内激起强势火花，让RFID、WiFi、蓝牙等又增加了一条潜力赛道。再有蜂窝物联网，在2022年中旬已超15.9亿连接，Counterpoint research的最新数据显示，2022年第一季度全球蜂窝物联网模块芯片出货量同比增长35%，且中国市场是最主要的物联网芯片消费地区。目前，全球5G商用发展势头正猛，中国已完成5G基站超70万个，预计蜂窝物联网年产值超2.7万亿人民币。目前全球物联网产值大约15万亿美元左右，其年均增长率接近23%，2021年以后预计这一增速有望达到30%，到2025年，全球物联网产值将达到30万亿美元的体量。同时工信部等八部门联合印发《物联网新型基础设施建设三年行动计划(2021-2023年)》，目标到2023年底在国内主要城市初步建成物联网新型基础设施。愿景再好，终须落地，万物互联是时代的趋势，应用项目在全国遍地开花，我们如何得知行业前沿信息，物联网行业吹过的“牛”是否有了成果？IOTE 2022 深圳国际物联网展即将来袭，这里有涵盖RFID、传感器、蜂窝和非蜂窝通信技术、云平台、边缘计算、AI等的产品、方案、应用案例的800+专业展商，还有专业的高峰论坛上200+企业嘉宾精准探讨细分领域发展走向，把脉下一个“连接风口”。IOTE 2022 · 深圳IOTE 2022 第十八届深圳国际物联网展时间：2022年8月18-20日地点：深圳会展中心（福田）主办单位：深圳市物联网产业协会承办单位：深圳市物联传媒有限公司、深圳市易信物联网络有限公司将近20场主题峰会，打造产业盛宴2022年8月18日01、2022中国物联网产业领航者峰会时间：2022年8月18日 9:20-18:00地点：深圳会展中心（福田）勒杜鹃厅最新议程：02、IOTE 2022深圳·RFID无源物联网技术与应用论坛时间：2022年8月18日 9:30-17:00地点：深圳会展中心（福田）展馆会议室1最新议程：03、IOTE 创新产品金奖评选活动颁奖典礼时间：2022年8月18日 上午地点：深圳会展中心（福田）展馆会议室204、IOTE 2022深圳·蓝牙物联网技术与应用高峰论坛时间：2022年8月18日 9:00-12:00地点：深圳会展中心（福田）展馆会议室3最新议程：05、AIOT 2022 ? 深圳“AI+”人工智能创新赋能高峰论坛时间：2022年8月18日 9:00-12:00地点：深圳会展中心（福田）展馆会议室4最新议程：06、IOTE 2022深圳·5G蜂窝物联网技术论坛时间：2022年8月18日 12:00-17:10地点：深圳会展中心（福田）桂花厅最新议程：07、复旦微发布会时间：2022年8月18日 下午地点：深圳会展中心（福田）牡丹厅08、亚马逊云科技智能硬件出海群英会——蝶变-共创-出海新智能时间：2022年8月18日 13:30-17:00地点：深圳会展中心（福田）展馆会议室2最新议程：09、IOTE 2022深圳·物联网平台与数据安全高峰论坛时间：2022年8月18日 13:30-17:10地点：深圳会展中心（福田）展馆会议室3最新议程：10、LPWAN2.0泛在物联-ZETA生态论坛时间：2022年8月18日 13:30-17:10地点：深圳会展中心（福田）展馆会议室4最新议程：2022年8月19日11、2022 LoRa创新应用论坛时间：2022年8月19日 9:30-17:30地点：深圳会展中心（福田）桂花厅最新议程：12、电子纸产业发展趋势 会议时间：2022年8月19日 9:50-17:00地点：深圳会展中心（福田）牡丹厅最新议程：13、IOTE 2022深圳·高精度定位技术与应用高峰论坛时间：2022年8月19日 9:30-17:30地点：深圳会展中心（福田）展馆会议室1最新议程：14、IOTE 2022深圳·智能传感与嵌入式技术与应用高峰论坛时间：2022年8月19日 9:30-16:00地点：深圳会展中心（福田）展馆会议室3最新议程：15、IOTE 2022 深圳·AIoT泛视频产业生态大会时间：2022年8月19日 8:30-16:30地点：深圳会展中心（福田）展馆会议室4最新议程：16、亚马逊云科技智能硬件出海群英会——破局-求异-出海新零售时间：2022年8月19日 13:00-17:00地点：深圳会展中心（福田）展馆会议室2最新议程：产业报告首发同时，在展会期间，AIoT星图研究院将首发4份报告，在论坛现场与大家分享第一手行业研究资料。AIoT星图研究院立足于物联传媒与IOTE展会近20年专业积累、3000+客户与20W+用户资源，将专业经验与接地气的行业调研结合，为AIoT产学研投等带来最可信的信息情报：最全面的调研、最真实的趋势、最权威的解读、最专业的洞见，以高质量、高可信研究成果为AIoT各类角色与决策赋智。

物联网设备的日益普及为物联网僵尸网络的兴起铺平了道路，这些僵尸网络放大了今天的DDoS攻击。这是一个危险的警告，即复杂的DDoS攻击和长期服务中断的可能性将阻碍企业发展。虽然数据泄露和勒索软件仍然被认为是企业最关心的问题，但威胁有时来自我们意想不到的方向。网络犯罪分子将僵尸网络用于各种恶意目的，尤其是针对目标的 DDoS 攻击。最重要的变化是，现在的机器人大军越来越多地由物联网设备组成。预计到 2025 年，全球物联网设备的总安装量将达到 309 亿台，导致物联网僵尸网络的威胁及其整体威力继续扩大。攻击者抓住机会创建大型僵尸网络，进行大型复杂的 DDoS 攻击，以禁用或使目标网站离线。虽然物联网僵尸网络可以窃取机密数据，但从 Torri 僵尸网络的实例中可以看出，大多数僵尸网络都被用于发起DDoS攻击。对于在线企业来说，这是一个危险的警告，要确保他们有有效的防护措施。剖析物联网DDoS攻击那么，什么是僵尸网络？僵尸网络是一组受攻击者控制的、被感染的计算机，用于执行各种诈骗和网络攻击活动。在这里，攻击者使用恶意软件控制易受攻击的物联网设备，通过执行 DDoS 攻击来阻止合法用户访问互联网服务。DDoS 攻击有一个简单的原则：通过消耗更多资源或占用所有可用带宽，来使网站离线。拥有更多被劫持物联网设备的攻击者可以消耗更多资源，并发起更具破坏性的攻击。攻击者的三个主要目标包括：消耗有限资源对网络设备造成破坏性更改更改或销毁配置信息为什么物联网设备容易成为僵尸网络恶意软件的猎物？物联网设备的激增已成为攻击者的一个有吸引力的目标。此外，大多数物联网设备都有严重的安全问题，如弱密码、对管理系统的开放式访问、默认凭据或弱安全配置。随着数以百万计的物联网设备及其数量的不断增加，它们并没有不断更新以修补安全漏洞。僵尸网络攻击抓住物联网漏洞的机会来控制设备，并导致在线服务中断。物联网设备大多被放置在未监控攻击的网络上，使得攻击者很容易访问它们。此外，在大多数情况下，它们所在的网络提供高速连接，这使得大量的DDoS攻击流量成为可能。主要物联网僵尸网络 DDoS 攻击趋势物联网僵尸网络 DDoS 攻击并不新鲜。Mirai 是最普遍的，自 2016 年以来一直以物联网设备为目标。Mirai 于 2016 年 9 月 20 日首次亮相，针对网络安全专家 Krebs 的博客发起了 DDoS 攻击。另一个值得注意的物联网僵尸网络 DDoS 攻击是 2016 年 10 月针对主要域名服务商Dyn 的攻击。Mirai 僵尸网络以每秒 1 TB 的流量攻击受害者，创造了 DDoS 攻击的新记录。根据 ENISA 威胁态势报告，2019 年 Mirai 变种增加了 57%。Verizon 数据泄露调查报告记录了 103,699 起僵尸网络事件，主要针对工业、金融和信息服务行业垂直行业。在 2019 年末至 2020 年期间，被称为 Mozi 的 Mirai 新变种占了观察到的最大流量。Mirai 及其变种在 2021 年继续构成威胁；它们凭借其重要的新功能扩大了攻击范围。攻击者使用多个基于 Mirai 和 Mozi （如 Echobot、BotenaGo、Monet 和 Loli）的僵尸网络来攻击设备。根据 Sam 关于物联网安全形势的报告，2021 年发生了超过 10 亿次物联网安全攻击，其中近 6200 万次是与物联网相关的 DDoS 攻击。当今如何防御物联网僵尸网络 DDoS 攻击？随着僵尸网络的发展，高度复杂的威胁不可避免，企业必须超越传统的安全解决方案。应对这些持续存在的安全挑战的第一步是转向全面的基于风险的安全解决方案。此外，先进的自动化端点检测和保护解决方案必须提供对物联网设备及其安全状态的完整可见性。与往常一样，应实施预防措施来防范此类攻击:使用 Web 应用程序防火墙监控网络上的传入和传出流量，以识别恶意活动。像 Indusface AppTrana 这样的下一代 WAF 可以阻止来自特定 IP 的恶意机器人，同时确保合法机器人流量的顺利传输。监控登录尝试并创建峰值警戒将物联网设备安置在受保护的网络上对物联网设备执行持续的安全测试DDoS 可能是新现实中不可避免的一部分，您需要构建强大的安全解决方案，以妥善保护您的企业。（编译：iothome）原文链接：https://www.iothome.com/archives/7629