東軟研究院副院長問聞英友在2013年中國計算機網(wǎng)絡(luò)安全年會上表示，物聯(lián)網(wǎng)需要與行業(yè)相結(jié)合才能成熟和發(fā)展。

　　聞英友解釋了何為物聯(lián)網(wǎng)，“我們把它看成一條章魚，它有無數(shù)的觸覺能夠思考、控制、感知，應該說物聯(lián)網(wǎng)是能思考、能感知、能觸覺的網(wǎng)絡(luò)?！?/P>

　　聞英友表示，現(xiàn)在國家在大力扶持物聯(lián)網(wǎng)技術(shù)，這兩年物聯(lián)網(wǎng)的項目也非常多，但未來的進步需要與行業(yè)應用相結(jié)合。物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的延伸和發(fā)展，所以互聯(lián)網(wǎng)創(chuàng)新發(fā)展歷程同樣適用于物聯(lián)網(wǎng)，它必須經(jīng)過大規(guī)模的應用才能成熟和發(fā)展。

　　以下為聞英友演講實錄：

　　聞英友：各位領(lǐng)導各位專家，各位同行大家上午好。非常高興有這樣一個機會和大家分享一下我們在物聯(lián)網(wǎng)行業(yè)應用安全問題上的思考，因為大家知道東軟是國內(nèi)最大的行業(yè)的解決方案的提供商，也包括系統(tǒng)集成的業(yè)務(wù)，因此我們對這個業(yè)務(wù)做了自己的思考，希望能和大家一起探討。

　　我的報告分為兩個部分，首先講關(guān)于互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的觀點，這些觀點為了后面講的物聯(lián)網(wǎng)安全做鋪墊。第個部分，重點針對物聯(lián)網(wǎng)行業(yè)應用的安全問題進行分析。

　　首先，看一下關(guān)于物聯(lián)網(wǎng)和互聯(lián)網(wǎng)的幾個觀點。首先什么是物聯(lián)網(wǎng)，這個概念在幾年之前大家有很長時間的爭論，各位專家和領(lǐng)導都有自己的理解，我們在這里談這個問題，并不是想下一個學術(shù)上的定義，公司因為我們在做物聯(lián)網(wǎng)的行業(yè)解決方案的時候，特別是思考安全問題的時候涉及到對它的認識問題。什么是互聯(lián)網(wǎng)？通過我們這幾年應用情況來看，它是讓人了解別人不知道的信息，大家知道信息都是從別人那里說的，但是他說的對不對呢，不得而知，如果你相信這個人就會相信他的信息，這就形成了道聽途說的網(wǎng)絡(luò)。在我們的行業(yè)應用中，比如說信息化的系統(tǒng)集成，以及針對特定行業(yè)的應用中也體現(xiàn)了這樣的特點，行業(yè)應用中很多數(shù)據(jù)來源并不是客觀的，是通過人為錄入的。物聯(lián)網(wǎng)是什么呢？實際上它更主要的是要讓人了解客觀物質(zhì)世界，了解真實的信息，這是它的價值所在。它側(cè)重于人和物之間的信息交換，這種更體現(xiàn)了客觀真實的反應現(xiàn)實世界的情況，使我拿到的數(shù)據(jù)更加準確和真實的。別人

　　互聯(lián)網(wǎng)中的信息可能并不是我們想要的，或者它的信息我懷疑，這時候就需要物聯(lián)網(wǎng)了，所以物聯(lián)網(wǎng)未來的發(fā)展還是很有前途的，如果你想要用主觀意識改變客觀世界，這是畢竟的途徑。所以說，我們可以這樣理解，物聯(lián)網(wǎng)應該是未來互聯(lián)網(wǎng)的發(fā)展。剛才幾位專家也談到了，包括移動的互聯(lián)網(wǎng)，包括移動應用的發(fā)展，大家可能也思考過這個問題，移動互聯(lián)網(wǎng)到底是什么意思？實際上我們自己認為，它應該還是屬于傳統(tǒng)互聯(lián)網(wǎng)向時間和空間上的延伸，它把時間延長了?？赡芤惶?4小時可以不停的上網(wǎng)，在空間上也延伸了，可能我們以前在辦公室上網(wǎng)，現(xiàn)在我們可以坐在飛機上就可以上網(wǎng)，它把時間和空間都進行了延伸。更形象的說，物聯(lián)網(wǎng)到底是什么？我們把它看成一條章魚，它有無數(shù)的觸覺能夠思考、控制、感知，應該說物聯(lián)網(wǎng)是能思考、能感知、能觸覺的網(wǎng)絡(luò)。

　　如果把物聯(lián)網(wǎng)當成一條章魚的話，它就不僅僅能預測足球的比賽結(jié)果，還可以控制我們的交通，電力，控制我們的農(nóng)業(yè)，控制我們的智能家電，實際上這就是物聯(lián)網(wǎng)的價值所在。它既然有這么大的作用，它總得有自己的介入基礎(chǔ)，最主要的基礎(chǔ)有四個方面，互聯(lián)網(wǎng)技術(shù)，RFID技術(shù)，傳感網(wǎng)技術(shù)，嵌入式技術(shù)?；ヂ?lián)網(wǎng)和RFID大家都已經(jīng)認識了，為什么要重點談RFID網(wǎng)和傳感網(wǎng)呢？因為它的作用，RFID網(wǎng)解決了物聯(lián)網(wǎng)最主要的問題，解決了識別的問題，就是說你是誰，他是誰，他們是誰。我們知道物聯(lián)網(wǎng)有一個最主要的是收集客觀數(shù)據(jù)，這些數(shù)據(jù)屬于誰？這就是我們要解決的問題。如果要做智能樓宇空調(diào)的設(shè)置，假如現(xiàn)在空調(diào)45度了它就需要控制，但是這個數(shù)據(jù)從哪里來呢？因此要解決這個問題。傳感器網(wǎng)絡(luò)是解決你怎樣，他怎么樣，這就解決真正對物品認識，當然這個物不僅僅是實體的東西，還有客觀的東西。

　　在這些技術(shù)基礎(chǔ)上，我們在做行業(yè)解決方案的時候也在思考，這么廣的面我們怎么解決？最后我們把它總結(jié)成兩個問題，隨著技術(shù)發(fā)展還會拓展。第一個問題，你是誰？這是我們要解決的問題，它涉及到了識別問題，RFID/條碼硬件、軟件、編碼技術(shù)等。

　　第二個問題是你在哪里？這個問題非常特殊，因為物聯(lián)網(wǎng)里的信息都有一個來源，這些信息通常是由移動的設(shè)備產(chǎn)生的，這就需要位置信息，只有把身份信息、位置信息合起來信息才有意義。

　　還有就是你怎么樣，這就包括數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)融合等。第四個是你需要我做什么？這就關(guān)于到業(yè)務(wù)的邏輯、智能決策、行業(yè)解決方案。

　　最后一個，你該做什么，你告訴我這么多信息，你的身份，你是什么情況，你在哪里，你要我做什么，最后我得控制和反饋，這和我們以前談到一些概念非常類似，我們一直是按這個思路做的。

　　未來怎么發(fā)展？我們現(xiàn)在談物聯(lián)網(wǎng)技術(shù)，國家在大力的扶持，這兩年物聯(lián)網(wǎng)的項目也非常多，但是物聯(lián)網(wǎng)發(fā)展下去怎么進步，我們也在思考，我們需要核心競爭力，這個競爭力體現(xiàn)在哪里？因為它的發(fā)展必須和行業(yè)應用相結(jié)合，這樣才能推動產(chǎn)業(yè)的進步，物聯(lián)網(wǎng)是互聯(lián)網(wǎng)的延伸和發(fā)展，所以互聯(lián)網(wǎng)創(chuàng)新發(fā)展歷程同樣適用于物聯(lián)網(wǎng)，它必須經(jīng)過大規(guī)模的應用才能成熟和發(fā)展。

　　我們也對現(xiàn)在的物聯(lián)網(wǎng)進行了大膽的應用，我們自己體會，這種示范和應用遠遠不能帶來進一步的創(chuàng)新和成熟，因為物聯(lián)網(wǎng)在實際的行業(yè)應用中面臨的問題和我們做示范應用的過程中面臨的問題完全不一樣。

　　我們在做解決方案或者大規(guī)模的物聯(lián)網(wǎng)行業(yè)應用時，面臨兩個關(guān)鍵的問題，第一個怎么高效靈活的面向不同的行業(yè)開發(fā)物聯(lián)網(wǎng)，我們現(xiàn)在的示范中，大部分的工廠都在進行大量的示范，在這個過程中大家不會考慮我現(xiàn)在做的技術(shù)能不能服務(wù)好另一個案例，是不是能拿出我的案例拿出去解決另外一個方案，大家沒有這個思考。另外一個方面就是成本，現(xiàn)在都是國家牽頭，大家不愁錢，但是你要是真給企業(yè)做這件事情，真正拿一個具體的單子，我們就要考慮成本的問題了，我們一個項目要核定預算，所以這兩個方面就要求我們在技術(shù)上做創(chuàng)新，如果不在市場競爭中爭奪，去拼殺，技術(shù)永遠就技術(shù)不了。

　　以上談的問題都和我后面要說的安全有關(guān)系的，大家都認為物聯(lián)網(wǎng)分成三結(jié)構(gòu)，最底下是感知采集層，中間是網(wǎng)絡(luò)通信層，最上面是業(yè)務(wù)應用層。對我們企業(yè)來說，我們在討論物聯(lián)網(wǎng)具體案例的時候我們沒有辦法用這個模型，因為這里面涉及到技術(shù)不是一家企業(yè)能做的，我們就根據(jù)自己的應用角度換了一個模型。

　　第一層我們認為在物聯(lián)網(wǎng)中有共性的網(wǎng)絡(luò)安全問題，這些安全問題涉及到產(chǎn)生的互聯(lián)網(wǎng)安全，也包括傳統(tǒng)的信息系統(tǒng)的安全，比較新的就是社涉及到RFID網(wǎng)。但是我們認為，這些問題不應該是我們做行業(yè)解決方案去解決的，我們可以運用大家的研究成果。對于我們來說什么是最重要的？就是突出的數(shù)據(jù)安全問題，物聯(lián)網(wǎng)應該是以數(shù)據(jù)為重要，這些數(shù)據(jù)安全如果我們不替客戶考慮，就會造成決策的錯誤，造成物聯(lián)網(wǎng)功能實現(xiàn)的困難。再往上就比較特殊了，我們認為隨著物聯(lián)網(wǎng)的發(fā)展會出現(xiàn)新的特殊的業(yè)務(wù)邏輯的安全問題，我們以前很少考慮這樣的問題，比如我們做銀行的系統(tǒng)，他們會告訴我們業(yè)務(wù)流程，我們也業(yè)務(wù)專家配合他們做軟件的需求，然后我們安全這些需求去實現(xiàn)，但是客戶并不了解業(yè)務(wù)邏輯里有沒有錯誤，它只是以后我們實現(xiàn)功能，而我們也是簡單想實現(xiàn)你要的功能就好了。而這里面實際上隱藏了很多的安全問題，而且這不是通常的軟件安全手段能解決的，這是在解決方案里非常特殊的問題。

　　剛才我講到了共性網(wǎng)絡(luò)安全問題實際上還是產(chǎn)生的網(wǎng)絡(luò)安全問題，再有就是感知識別網(wǎng)絡(luò)的安全，還有互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。

　　互聯(lián)網(wǎng)數(shù)據(jù)安全問題是非常突出的，考慮這樣的安全問題，我們就是要通過各種技術(shù)確保數(shù)據(jù)本身，以及經(jīng)過傳輸和交換的數(shù)據(jù)不會發(fā)生修改，丟失，確保數(shù)據(jù)本身的安全。這又分成兩個層面。我們認為管道化的問題適用于物聯(lián)網(wǎng)。大家有沒有想過，我們現(xiàn)在的云端類似于湖泊，加入護坡被污染了，我們怎么治理？不可能把湖泊抽干了把瘀泥抽干了，最主要的是解決源頭問題，源頭的水干凈了整個湖泊也就干凈了。所以我們從感知網(wǎng)絡(luò)上做防范措施。

　　至于云端我們現(xiàn)在也做了很多，我們自己認為，云計算的安全現(xiàn)在有一點大家都忽略了，就是計算機法證的支持，怎么樣把這個東西變?yōu)榉烧J同的，五我認為我們現(xiàn)在非常缺乏這樣的技術(shù)，最起碼得有一大家都信任的執(zhí)法機關(guān)，這樣發(fā)生問題的時候大家才能心平氣和的解決問題。我們的團隊也在做這個方面的工作。底層源數(shù)據(jù)的安全，根據(jù)我也講到了最主要的還是泄露、偽造和融合，我想重點強調(diào)的應該是數(shù)據(jù)融合的安全。

　　數(shù)據(jù)融合安全我們現(xiàn)在主要通過兩個途徑判斷，一個是通過數(shù)據(jù)的認證來提高原始數(shù)據(jù)的安全性，主要的手段就是通過各種認證算法，來實現(xiàn)各種功能。另外就是安全聚合算法。這些協(xié)議我們提出了很多研究成果，我們看還有一些方面是值得我們應該思考的，最主要在以下幾個方面。

　　第一個，源數(shù)據(jù)新鮮性和可用性研究，這對于物聯(lián)網(wǎng)行業(yè)應用來說非常重要，比如說我們在物聯(lián)網(wǎng)都是實時的控制和反饋，它的實時性要比傳統(tǒng)互聯(lián)網(wǎng)強，可能我們在QQ發(fā)一條消息說今天我到呼市開會，別人看了這個消息可能過兩個小時也沒有關(guān)系，它的部分會有負面的影響，而在物聯(lián)網(wǎng)不一樣。假如我們現(xiàn)在有一個火場預警系統(tǒng)，大堂里熱敏磁超高了，報警了，如果信息傳過來不實施的話，消防部門就沒有辦法出警，這就會有非常嚴重的后果。

　　還有一個，如何運用在動態(tài)網(wǎng)絡(luò)，管道化的網(wǎng)絡(luò)已經(jīng)不僅僅是原來所說的網(wǎng)線連著的網(wǎng)絡(luò)了，它的網(wǎng)絡(luò)已經(jīng)移動化了，在這種動態(tài)網(wǎng)絡(luò)怎么進行高效傳輸和預防丟失？再有就是容侵、容錯的數(shù)據(jù)融合安全協(xié)議，還有低功耗的輕量級數(shù)據(jù)安全檢測機制，這個情況下我們怎么樣解決它？對于行業(yè)應用的成本和解決方案的實用性非常重要，我們一直在尋找合適的產(chǎn)品，比如我們做跟戶倆王有關(guān)的定位的時候，我們就要有一個終端，這個終端可以實現(xiàn)特有的功能，當然我們現(xiàn)在有一些定位軟件在手機上可以實現(xiàn)功能，但是它耗電，這時候我們就需要低功耗的標簽，而現(xiàn)在在國內(nèi)找是非常困難的。適用于一構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)。

　　還有一個特殊的方面，物聯(lián)網(wǎng)業(yè)務(wù)邏輯安全，物聯(lián)網(wǎng)業(yè)務(wù)應用邏輯，是指通過對數(shù)據(jù)的分析、處理與決策，完成從基本數(shù)據(jù)到業(yè)務(wù)知識再到控制執(zhí)行的完整過程。物聯(lián)網(wǎng)業(yè)務(wù)應用邏輯實現(xiàn)處理和解決問題的能力，完成物聯(lián)網(wǎng)應用和服務(wù)目標，這里面存在大量的風險。我們剛才說了物聯(lián)網(wǎng)是一條章魚，章魚是海怪的原形，物聯(lián)網(wǎng)應用中更多的信息來自于客觀物質(zhì)世界，讓人們更易相信應用的決策，物聯(lián)網(wǎng)應用特別是大規(guī)模的行業(yè)應用與現(xiàn)實世界的聯(lián)系與互動更為緊密。凸現(xiàn)了它與傳統(tǒng)互聯(lián)網(wǎng)應用業(yè)務(wù)邏輯安全性的重要性差別。

　　這個圖里是電影《虎膽龍威4》，它因為種種不滿侵入了國家的安全系統(tǒng)，進行了一系列的恐怖行為，這里反應的東西有一定的道理，我們認為物聯(lián)網(wǎng)的這種趨勢越來越明顯。大家就要想想，在這樣的情況下想破壞什么能破壞什么，這是潛在的危險，大家不要覺得這是危言聳聽。因此，隨著各種安全問題的出來，我們應該面臨這樣的挑戰(zhàn)。

　　最主要的業(yè)務(wù)邏輯產(chǎn)生的案例是四個方面，一個是業(yè)務(wù)流程設(shè)計上，還有應用系統(tǒng)本身的缺陷，相關(guān)業(yè)務(wù)邏輯的缺陷，還有和外界交互導致度長。我們作為行業(yè)解決方案，我們也一直在這幾個方面做自己的研究，也歡迎各位同行、專家有機會一起交流。特別是在業(yè)務(wù)邏輯安全分析的評估工具目前找不到。我的報告就到這里，謝謝大家。