DHCP及option82安全機制在無錫物聯(lián)網(wǎng)研究院辦公網(wǎng)絡中的應用研究

1、 DHCP及option82安全機制在無錫物聯(lián)網(wǎng)研究院辦公網(wǎng)絡中的應用研究PAGE PAGE 26中國移動江蘇公司無錫分公司網(wǎng)絡部第 頁, 共 NUM頁DHCP及option82安全機制在無錫物聯(lián)網(wǎng)研究院辦公網(wǎng)絡中的應用研究中國移動江蘇公司無錫分公司網(wǎng)絡部2010年10月目錄 TOC o 1-3 h z u HYPERLINK l _Toc275272942 一、研究背景 PAGEREF _Toc275272942 h 3 HYPERLINK l _Toc275272943 二、網(wǎng)絡建設方案 PAGEREF _Toc275272943 h 3 HYPERLINK l _Toc275272944

2、 2.1 組網(wǎng)需求 PAGEREF _Toc275272944 h 3 HYPERLINK l _Toc275272945 2.2 建設思路 PAGEREF _Toc275272945 h 4 HYPERLINK l _Toc275272946 三、技術實現(xiàn) PAGEREF _Toc275272946 h 4 HYPERLINK l _Toc275272947 3.1 Option 82功能介紹 PAGEREF _Toc275272947 h 5 HYPERLINK l _Toc275272948 3.2Option 82報文結構 PAGEREF _Toc275272948 h 6 HYPER

3、LINK l _Toc275272949 3.3 Option 82工作原理 PAGEREF _Toc275272949 h 7 HYPERLINK l _Toc275272950 四、組網(wǎng)及配置步驟 PAGEREF _Toc275272950 h 9 HYPERLINK l _Toc275272951 4.1 DHCP Snooping設備的配置 PAGEREF _Toc275272951 h 9 HYPERLINK l _Toc275272952 4.2DHCP Server設備的配置 PAGEREF _Toc275272952 h 10 HYPERLINK l _Toc275272953

4、 4.3 其它注意事項 PAGEREF _Toc275272953 h 13 HYPERLINK l _Toc275272954 4.4 結果驗證 PAGEREF _Toc275272954 h 13 HYPERLINK l _Toc275272955 五、總結 PAGEREF _Toc275272955 h 14一、研究背景無錫物聯(lián)網(wǎng)研究院位于無錫國際科技園雙子樓B座17和18層，17層是辦公區(qū)，主要有學術交流區(qū)域和辦公區(qū)域，學術交流區(qū)域只需要上外網(wǎng)，辦公區(qū)域需要上OA辦公網(wǎng)，而18層是研發(fā)區(qū)實驗室需要與北京集團公司總部的實驗室內(nèi)網(wǎng)互聯(lián)。物聯(lián)網(wǎng)研究院網(wǎng)絡的安全問題也比較受到重視，使網(wǎng)絡管理員

5、比以往更加需要在加強網(wǎng)絡安全和便于使用之間找到一個平衡點。我們認為在具備802.1x認證的硬件條件下，引入Option 82構建一個權限分配清晰的物聯(lián)網(wǎng)研究院內(nèi)部網(wǎng)絡是一項可行的措施。因此無錫分公司開展了DHCP及option82安全機制的應用、測試和研究。二、網(wǎng)絡建設方案2.1 組網(wǎng)需求無錫物聯(lián)網(wǎng)研究院的辦公區(qū)域包括三個小組，group1交流區(qū)、group2辦公區(qū)和group3研發(fā)區(qū)，獨立地分布在三個不同的區(qū)域中。通過DHCP server統(tǒng)一管理IP地址，為不同的區(qū)域分配不同范圍的地址。學術交流區(qū)域只需要上外網(wǎng)，辦公區(qū)域需要上OA辦公網(wǎng)，而18層是研發(fā)區(qū)實驗室只需要與北京集團公司總部的實驗

6、室內(nèi)網(wǎng)互聯(lián)。2.2 建設思路在DHCP snooping設備上啟動Option 82功能。配置Option 82的子選項內(nèi)容，使不同小組的用戶攜帶不同的Option 82信息?？梢酝ㄟ^用戶自定義Circuit ID子選項內(nèi)容的方式來實現(xiàn)。在DHCP server上配置IP地址分配策略，使得DHCP server可以根據(jù)Option 82為DHCP client分配合適的IP地址。具體規(guī)劃如下：DHCP server為辦公室設備分配/24網(wǎng)段的地址，有效期為12小時，并指定DNS和WINS服務器地址分別為和。三個小組group1、group2和group3分別通過端口Ethernet1/1、Et

7、hernet1/2和Ethernet1/3接入DHCP snooping設備，并通過DHCP snooping設備與DHCP server通信。DHCP server為group1的用戶分配5之間的地址；為group2的用戶分配0050之間的地址；為group3的用戶分配5100之間的地址。圖1 DHCP Snooping組網(wǎng)拓撲圖三、技術實現(xiàn)Option 82稱為中繼代理信息選項，該選項記錄了DHCP client的位置信息。DHCP snooping設備通過在DHCP請求報文中添加Option 82，將DHCP client的位置信息告訴給DHCP server，從而使得DHCP serv

8、er能夠為主機分配合適的IP地址和其他配置信息，并實現(xiàn)對客戶端的安全和策略等的控制。圖2 Option 82應用網(wǎng)絡結構拓撲DHCP server通常根據(jù)請求報文中的giaddr或接收到請求報文的接口IP地址，為客戶端分配IP地址。在圖2中，DHCP服務器根據(jù)主機所在的網(wǎng)段，選取地址分配給Host A和Host B。如果希望連接Ethernet1/2端口的客戶端地址在某一范圍，連接Ethernet1/3端口的客戶端地址在另一范圍，傳統(tǒng)的地址分配方式是無法實現(xiàn)的。利用Option 82，DHCP服務器根據(jù)客戶端連接的DHCP snooping端口和giaddr地址來為客戶端分配合適的IP地址，這

9、樣就可以滿足上述需求。Option 82能夠標識不同的用戶，服務器可以根據(jù)Option 82為不同的用戶分配不同的IP地址，從而實現(xiàn)QoS、安全和計費的管理。3.1 Option 82功能介紹DHCP option 82是為了增強DHCP服務器的安全性，改善IP地址配置策略而提出的一種DHCP選項。通過在網(wǎng)絡接入設備上配置DHCP中繼代理功能，中繼代理把從客戶端接收到的DHCP請求報文添加進option 82選項（其中包含了客戶端的接入物理端口和接入設備標識等信息），然后再把該報文轉發(fā)給DHCP服務器，支持option 82功能的DHCP服務器接收到報文后，根據(jù)預先配置策略和報文中option

10、 82信息分配IP地址和其它配置信息給客戶端，同時DHCP服務器也可以依據(jù)option 82中的信息識別可能的DHCP攻擊報文并作出防范。DHCP中繼代理收到服務器應答報文后，剝離其中的option 82選項并根據(jù)選項中的物理端口信息，把應答報文轉交到網(wǎng)絡接入設備的指定端口。Option 82報文結構DHCP option 82又稱為DHCP中繼代理信息選項（Relay Agent Information Option），是DHCP報文中的一個選項，其編號為82。rfc3046定義了option 82，選項位置在option 255之前而在其它option之后。圖3 報文結構圖Code：表示中

11、繼代理信息選項的序號，rfc3046定義為82，option 82即由此得名。Len：為代理信息域（Agent Information Field）的字節(jié)個數(shù)，不包括Code和Len字段的兩個字節(jié)。Option 82可以由多個sub-option 組成，每個option 82選項至少要有一個子選項，rfc3046定義了以下兩個子選項，其格式如下圖所示：圖4 報文結構圖SubOpt：為子選項編號，其中代理電路ID（即Circuit ID）子選項編號為1，代理遠程ID（即 Remote ID）子選項編號為2。Len：為Sub-option Value的字節(jié)個數(shù)，不包括SubOpt和Len字段的兩個

12、字節(jié)。option82子選項1：option82子選項1定義了代理電路ID（即Circuit ID），它表示接收到的DHCP請求報文來自的鏈路標識，這個標識只在中繼代理節(jié)點內(nèi)部有意義，在服務器端不可以解析其含義，只作為一個不具含義的標識使用。在本文實現(xiàn)中代理電路ID默認是指接收到DHCP請求報文的接入交換機Vlan名加接入二層端口名稱，如Vlan2+Ethernet0/0/10，也可以由用戶指定自己的代理電路ID。通常子選項1與子選項2要共同使用來標識DHCP客戶端的信息。option82子選項2：option82子選項2定義了代理遠程ID（即 Remote ID），在我司交換機實現(xiàn)中，代理遠

13、程ID是指接收到DHCP請求報文的接入交換機的vlan MAC地址。子選項2通常與子選項1共同使用來標識DHCP客戶端的信息。DHCP請求報文：指由DHCP客戶端發(fā)起的報文，希望DHCP服務器響應后分配IP地址和其它配置信息。DHCP請求報文一般有四種，分別為DHCP_DISCOVER報文、DHCP_REQUEST報文、DHCP_RELEASE報文和DHCP_INFORM報文。中繼代理只針對DHCP請求報文添加option 82選項并轉發(fā)給服務器。本文實現(xiàn)的DHCP中繼對這四種請求報文都添加option 82選項。DHCP應答報文：指由DHCP服務器響應客戶端發(fā)起的請求報文，包含配置信息或指示

14、回應結果的DHCP響應報文，DHCP應答報文一般有DHCP_OFFER報文，DHCP_DECLINE報文，DHCP_ACK報文和DHCP_NAK報文。3.3 Option 82工作原理圖5 option 82工作原理圖在DHCP中繼代理（交換機）支持option 82的情況下，DHCP客戶端通過DHCP中繼從DHCP服務器獲取IP地址同樣要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認四個階段。這時DHCP協(xié)議按如下過程進行：1、DHCP客戶端在初始化時廣播發(fā)送請求報文，這時的請求報文并不包含option 82選項。2、DHCP中繼代理將option 82選項添加到接收到的請求報文尾部后中繼轉發(fā)給DHCP服務器。

15、option 82選項的子選項1（代理電路ID）默認是DHCP客戶端所連接的交換機的接口信息（VLan名加物理端口名），也可以由用戶自己配置代理電路ID，option 82選項的子選項2（代理遠程ID）是DHCP中繼設備本身的MAC地址。3、DHCP服務器收到DHCP中繼設備轉發(fā)的DHCP請求報文后，根據(jù)報文中option選項所攜帶的信息和預定策略分配IP地址和其它信息給客戶端，然后將帶著DHCP配置信息以及option 82信息的應答報文發(fā)給DHCP中繼代理。4、DHCP中繼代理收到DHCP服務器的應答報文后將剝離報文中的option 82信息，然后將帶有DHCP配置信息的報文轉發(fā)給DHCP

16、客戶端?；贒HCP OPTION82的DOT1X認證，一般用于在用戶使用DHCP方式獲取地址的環(huán)境中，需要支持基于OPTION82進行地址分配策略的DHCP SERVER。用戶在獲取IP地址之前處于控制狀態(tài)，只能訪問DHCP SERVER；用戶在獲取地址之后處于安全狀態(tài)，接入交換機轉發(fā)該用戶的IP和ARP報文；用戶在認證前后能夠獲得不同地址，通過在接入交換機上聯(lián)的匯聚交換機上配置ACL，控制不同源地址用戶能夠訪問資源，來控制認證前后用戶的訪問權限。為了使DHCP用戶在認證前后能夠獲得不同（網(wǎng)段）的地址，交換機利用了DHCP OPTION82和DHCP Snooping技術。DHCP報文中的8

17、2選項一般由DHCP中繼代理在中繼DHCP報文時附加，在交換機擴展了這一功能，允許DHCP SNOOPING在監(jiān)聽DHCP報文時附加OPTION82信息，OPTION82的內(nèi)容在DHCP用戶認證之前由DHCP SNOOPING添加一個默認值，如果用戶在獲取地址成功后并且認證通過，則神州數(shù)碼802.1X認證服務器后臺會下發(fā)該用戶的OPTION82信息到交換機，同時DOT1X 客戶端會重新申請一次地址，DHCP SNOOPING在監(jiān)聽DHCP報文時附加用戶認證后的OPTION82信息，DHCP SERVER會根據(jù)這個OPTION82信息給用戶分配另一個地址。由于用戶在認證前后地址不同，則可以在接入

18、交換機上聯(lián)的匯聚交換機上進行基于源IP的ACL配置，來控制用戶的訪問權限。四、組網(wǎng)及配置步驟4.1 DHCP Snooping設備的配置1. 配置步驟# 使能DHCP Snooping功能。 system-viewSwitch dhcp-snooping# 配置端口Ethernet1/4為信任端口。Switch interface ethernet 1/4Switch-Ethernet1/4 dhcp-snooping trustSwitch-Ethernet1/4 quit# 在端口Ethernet1/1使能Option 82。Switch interface ethernet 1/1Swi

19、tch-Ethernet1/1 dhcp-snooping information enable# 在端口Ethernet1/1配置Option 82的Circuit ID填充內(nèi)容為group1。Switch-Ethernet1/1 dhcp-snooping information circuit-id string group1Switch-Ethernet1/1 quit# 在端口Ethernet1/2使能Option 82。Switch interface ethernet 1/2Switch-Ethernet1/2 dhcp-snooping information enable#

20、在端口Ethernet1/2配置Option 82的Circuit ID填充內(nèi)容為group2。Switch-Ethernet1/2 dhcp-snooping information circuit-id string group2Switch-Ethernet1/2 quit# 在端口Ethernet1/3使能Option 82。Switch interface ethernet 1/3Switch-Ethernet1/3 dhcp-snooping information enableSwitch-Ethernet1/3 quit# 在端口Ethernet1/3配置Option 82的C

21、ircuit ID填充內(nèi)容為group3。Switch-Ethernet1/3 dhcp-snooping information circuit-id string group3Switch-Ethernet1/3 quit2. 配置文件 display current-configuration#interface Ethernet1/1port link-mode bridgedhcp-snooping information enabledhcp-snooping information circuit-id string group1# interface Ethernet1/2po

22、rt link-mode bridgedhcp-snooping information enabledhcp-snooping information circuit-id string group2# interface Ethernet1/3port link-mode bridgedhcp-snooping information enabledhcp-snooping information circuit-id string group3#interface Ethernet1/4port link-mode bridgedhcp-snooping trust#4.2DHCP Se

23、rver設備的配置1. 配置步驟設備上，可以通過兩種方式配置Option 82的內(nèi)容：1、用戶自定義方式：用戶手工指定Option 82的內(nèi)容；2、非用戶自定義方式：采用默認的normal模式或verbose模式填充Option 82。采用用戶自定義方式配置Circuit ID子選項內(nèi)容時，Circuit ID子選項的格式如圖3 所示。圖6 Circuit ID子選項的格式例如，由端口Ethernet1/1接入的用戶，Circuit ID子選項內(nèi)容為group1，DHCP報文中添加的Circuit ID子選項信息應為：0 x010667726F757031，其中0106是Circuit ID的

24、子選項號和子選項長度，67726F757031是字符串“group1”的十六進制值。本次組網(wǎng)中只需根據(jù)小組編號進行IP地址的分配，因此，在DHCP server上只需對Circuit ID子選項中標識小組編號的字段進行匹配即可。說明：DHCP server使用的是Cisco Catalyst 3745設備上的配置，對應的軟件版本為IOS 12.3(11)T2版本，如果使用其他型號或其他版本的設備，請參考隨機資料中的用戶手冊進行操作。# 配置接口的IP地址為/24。Server enableServer# configure terminalServer(config)# interface f

25、astethernet 0/0Server(config-if)# ip address Server(config-if)# exit# 配置DHCP Server功能，并配置使用Option 82信息進行地址分配。Server(config)# service dhcpServer(config)# ip dhcp use class# 為從DHCP snooping設備Ethernet1/1端口接入的group1用戶建立DHCP分類，并配置匹配的Option 82信息為Circuit ID子選項中的小組編號，無需匹配的內(nèi)容可以使用通配符“*”代替。Server(config)# ip d

26、hcp class group1 Server(dhcp-class)# relay agent informationServer(dhcp-class-relayinfo)# relay-information hex 010667726F757031* Server(dhcp-class-relayinfo)# exit# 為從DHCP snooping設備Etherent1/2端口接入的group2用戶配置分類和匹配信息，方法與上面命令相似，只是將Option 82信息中的小組編號由1改為2。Server(config)# ip dhcp class group2 Server(dhc

27、p-class)# relay agent informationServer(dhcp-class-relayinfo)# relay-information hex 010667726F757032* Server(dhcp-class-relayinfo)# exit# 為從DHCP snooping設備Etherent1/3端口接入的group3用戶配置分類和匹配信息，方法與上面命令相似。Server(config)# ip dhcp class group3 Server(dhcp-class)# relay agent informationServer(dhcp-class-re

28、layinfo)# relay-information hex 010667726F757033* Server(dhcp-class-relayinfo)# exit# 創(chuàng)建DHCP地址池office，為DHCP地址池配置租約期限、網(wǎng)關、DNS和WINS服務器地址。Server(config)# ip dhcp pool office Server(dhcp-config)# network Server(dhcp-config)# lease 0 12 Server(dhcp-config)# default-router Server(dhcp-config)# dns-server S

29、erver(dhcp-config)# netbios-name-server # 為三個DHCP分類分別指定地址范圍。Server(dhcp-config)# class group1 Server(dhcp-pool-class)# address range 5 Server(dhcp-pool-class)# class group2 Server(dhcp-pool-class)# address range 00 50 Server(dhcp-pool-class)# class group3 Server(dhcp-pool-class)# address range 51 00

30、4.3 其它注意事項只有使能DHCP snooping功能之后，DHCP Option 82功能才能生效。DHCP snooping不支持鏈路聚合。若二層以太網(wǎng)接口加入聚合組，則該接口上進行的DHCP snooping配置不會生效；該接口退出聚合組后，之前的DHCP snooping配置才會生效。設備只有位于DHCP客戶端與DHCP服務器之間，或DHCP客戶端與DHCP中繼之間時，DHCP snooping功能配置后才能正常工作；設備位于DHCP服務器與DHCP中繼之間時，DHCP snooping功能配置后不能正常工作。DHCP snooping option 82功能建議在最靠近DHCP

31、client的snooping設備上使用，以達到精確定位用戶位置的目的。使能DHCP snooping功能的設備，不能作為DHCP服務器和DHCP中繼。建議不要在同一臺設備上同時配置DHCP客戶端/BOOTP客戶端和DHCP snooping功能，否則可能無法生成DHCP snooping表項，DHCP客戶端/BOOTP客戶端也可能申請不到IP地址。4.4 結果驗證經(jīng)過上述配置后，DHCP服務器已經(jīng)可為物聯(lián)網(wǎng)研究院3個不同辦公區(qū)域的不同小組自動分配一定范圍內(nèi)的IP地址及網(wǎng)關、DNS、WINS服務器地址。通過在匯聚交換機上配置ACL，控制三個不同網(wǎng)段的IP對不同網(wǎng)絡的安全訪問。通過用戶的IP嚴格

32、區(qū)分不同用戶間的權限，學術交流區(qū)域只能上外網(wǎng)，辦公區(qū)域只能上OA辦公網(wǎng)，而18層是研發(fā)區(qū)實驗室只能與北京集團公司總部的實驗室內(nèi)網(wǎng)互聯(lián)，各個小組之間無法互訪，也無法訪問不應該訪問的網(wǎng)絡資源。五、總結本技術專題重點在于測試研究如何在一個相對簡單的環(huán)境內(nèi)，使用一臺DHCP Server實現(xiàn)了多個VLAN的Option 82認證。在兼顧使用便利性的同時又注重加強網(wǎng)絡的安全性。同時也提高了我公司在此類應用領域的實踐能力，對其它兄弟公司類似應用也有一定的借鑒意義。附錄資料：不需要的可以自行刪除云計算實驗室子建設方案云計算實驗室建設背景云計算的演變從1990年左右開始，經(jīng)歷了網(wǎng)格計算、效用計算、軟件即服務（

33、SaaS）幾個階段。隨著物聯(lián)網(wǎng)的快速發(fā)展，從技術角度看，嚴重制約物聯(lián)網(wǎng)發(fā)展的因素，既不是芯片技術，無線網(wǎng)絡技術和傳感器技術，也不是全球導航系統(tǒng)技術。而是如何讓海量信息在整個互聯(lián)網(wǎng)上進行分析和處理，并對物體實施智能化的控制。要解決這個問題，就必須建立一個功能強大的物聯(lián)網(wǎng)信息管理平臺。云模式的出現(xiàn)，讓物聯(lián)網(wǎng)平臺問題迎刃而解。甚至可以這樣理解，物聯(lián)網(wǎng)雖不因云模式而生，卻因云模式而存在。我們可以這樣定義云計算：云計算是一種計算模式，在這種模式中，應用、數(shù)據(jù)和IT資源以服務的方式通過網(wǎng)絡提供給用戶使用。云計算也是一種基礎架構管理的方法論，大量的計算資源組成IT資源池，用于動態(tài)創(chuàng)建高度虛擬化的資源提供用戶

34、使用。然而云計算的發(fā)展仍然存在著嚴峻的挑戰(zhàn)：安全：法律遵從，未授權訪問數(shù)據(jù)治理：完整性，恢復，隱私，隔離，主權法律保護完整性：本地/遠程完整性場景，云對云問題，動態(tài)資源管理：性能管理和監(jiān)護，確保服務水平協(xié)議（SLA）云計算實驗室建設目標1）實驗室人才培養(yǎng)實驗室將秉承“博觀約取，厚積薄發(fā)”的宗旨，貫徹“開放，合作，競爭”的方針，營造團隊合作精神，積極進取，努力創(chuàng)新，將實驗室打造為一支目標明確，富有干勁，能很好適應國際計算機新技術發(fā)展的科研隊伍。在進行學術研究的同時，更加重視人才的培養(yǎng)，努力促進學科的可持續(xù)發(fā)展。實驗室計劃設有計算機應用技術、計算機系統(tǒng)結構、計算機軟件理論的碩士點和博士點。從工信部

35、培養(yǎng)整個3G產(chǎn)業(yè)環(huán)境及云計算產(chǎn)業(yè)環(huán)境的角度來講，遠遠不能滿足我國對于移動云計算人才的需求預期。據(jù)工信部人才交流中心預測，移動云計算與交互設計 HYPERLINK /rmw/GB/rmwsearch/gj_search_lj.jsp?keyword=人才缺口 t _blank 人才缺口將達百萬。云計算實驗室的建立，將為移動云計算方向人才的培養(yǎng)起到積極的推動作用。2）實驗室對外交流 同時實驗室還重視對外學術交流與科技合作，與國內(nèi)外知名的相關研究機構一直保持著緊密的合作關系，如共同申請承擔基金項目，共同舉辦國際學術會議，對碩士、博士進行聯(lián)合培養(yǎng)。邀請國內(nèi)外專家進行技術培訓，為用戶特別是中小企業(yè)提供試

36、用機會等。3）成果轉化物聯(lián)網(wǎng)是通過全球定位系統(tǒng)等信息傳感設備，把任何物品和互聯(lián)網(wǎng)相連，來進行信息交換和通信，以實現(xiàn)對物品的智能化識別、定位、跟蹤、監(jiān)控、管理的一種網(wǎng)絡。實現(xiàn)物聯(lián)網(wǎng)的核心是云計算。云計算實驗室研究內(nèi)容 把實驗室建設成省內(nèi)云計算技術研究、物聯(lián)網(wǎng)技術研究的權威研究機構。建設一整套人才引進、激勵、獎懲機制。以市場服務為導向，結合聯(lián)盟企業(yè)基于云計算和物聯(lián)網(wǎng)應用技術的各個應用需求開展研究。以聯(lián)盟企業(yè)為依托，研究技術成果向產(chǎn)品的轉化和市場推廣方式，并結合產(chǎn)品的市場定位和信息反饋來優(yōu)化產(chǎn)品，進一步提高實驗室技術能力和產(chǎn)學研結合能力。實驗室將圍線以下幾個方面開展科研工作：開展云計算核心算法、核心

37、架構的研究，包括IaaS、PaaS、SaaS等軟硬件體系結構研究。目前云計算核心算法主要包含F(xiàn)O軟件開發(fā)方法、帶遺傳特征的無限分層處理方法、文字信息結構樹構造方法、IP地址結構樹方法、浮云分層互聯(lián)網(wǎng)架構設計、多維復雜空間軟件架構體系、多維復雜空間數(shù)據(jù)結構管理、構建內(nèi)容中心網(wǎng)絡等，實驗室將會在現(xiàn)有的算法基礎上進行深入研究。云計算可描述在從硬件到應用程序的任何傳統(tǒng)層級提供的服務 。實際上，云服務提供商傾向于提供可分為如下三個類別的服務：把軟件當作服務 (Software as a Service)、把平臺當作服務(Platform as a Service)以及把基礎設施當作服務(Infrastr

38、ucture as a Service)。圖 SEQ 圖表 * ARABIC 1：cloud-stack開展物聯(lián)網(wǎng)協(xié)議標準、中間件架構、RFID識別算法等方面的研究。物聯(lián)網(wǎng)是一個基于互聯(lián)網(wǎng)、傳統(tǒng) HYPERLINK /view/3773.htm t _blank 電信網(wǎng)等信息承載體，讓所有能夠被獨立尋址的普通物理對象實現(xiàn)互聯(lián)互通的網(wǎng)絡。它具有普通對象設備化、自治終端互聯(lián)化和普適服務智能化3個重要特征。實驗室將會對物聯(lián)網(wǎng)協(xié)議標準展開研究。RFID射頻識別是一種非接觸式的 HYPERLINK /view/139170.htm t _blank 自動識別技術，它通過 HYPERLINK /view/

39、189639.htm t _blank 射頻信號自動識別目標對象并獲取相關數(shù)據(jù)，識別工作無需人工干預，可工作于各種惡劣環(huán)境。RFID技術可識別高速運動物體并可同時識別多個標簽，操作快捷方便。實驗室主要將進行RFID識別算法的研究，旨在加快RFID的識別速度。實驗室還將展開RFID標簽防碰撞算法的研究。圖 SEQ 圖表 * ARABIC 2：Schematic representation of RFID technology開展云存儲、數(shù)據(jù)挖掘方面的研究。其中云存儲是在云計算(cloud computing)概念上延伸和發(fā)展出來的一個新的概念，是指通過集群應用、 HYPERLINK /view

40、/806.htm t _blank 網(wǎng)格技術或分布式文件系統(tǒng)等功能，將網(wǎng)絡中大量各種不同類型的存儲設備通過應用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務訪問功能的一個系統(tǒng)。圖 SEQ 圖表 * ARABIC 3：cloud storage 存儲方案價值：信息生命全周期的保護，應對未來五年內(nèi)業(yè)務轉變及企業(yè)成長帶來的種種風險；為滿足現(xiàn)實中混合工作負載及虛擬化和整合的需求，提供了足夠的性能支持；十分有效，使得企業(yè)減少了存儲設備的添置及其相關支持，并因此減少了環(huán)保成本；通過為大型數(shù)據(jù)中心提供可擴展的模塊化方案組合實現(xiàn)企業(yè)級的支持。保護數(shù)據(jù)安全，為您及時提供準確的數(shù)據(jù) 提供無與倫比的靈活性，以滿足

41、多元化的存儲需求 包含功能豐富的管理軟件，最大化利用率，最小化存儲系統(tǒng)的總體擁有成本有效降低設備采購成本及IT運營成本開展智能城市關鍵技術、廣電網(wǎng)IPTV技術的研究IPTV是利用計算機或 HYPERLINK /view/16791.htm t _blank 機頂盒+電視完成接收 HYPERLINK /view/16215.htm t _blank 視頻點播節(jié)目、視頻廣播及網(wǎng)上沖浪等功能。它采用高效的視頻壓縮技術，使 HYPERLINK /view/2722588.htm t _blank 視頻流傳輸帶寬在800K HYPERLINK /view/8039.htm t _blank b/s時可以有接近DVD的收視效果(通常DVD的視頻流傳輸帶寬需要3Mb/s)，對今后開展視頻類業(yè)務如因特網(wǎng)