39.8.0分)应用类攻击有哪些防御手段?

1、服务拒绝攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括：
死亡之ping (ping of death)
概览：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多 *** 作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。
防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windows,NT(service pack 3之后)，linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。
泪滴(teardrop)
概览：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。
UDP洪水(UDP flood)
概览：各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。
防御：关掉不必要的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影响。
防御：在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续五分钟)。
防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192168域、17216到17231域)
Smurf攻击
概览：一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求 (ping)数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比pingof death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。
防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。
Fraggle攻击
概览：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP
防御：在防火墙上过滤掉UDP应答消息
电子邮件炸d
概览：电子邮件炸d是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。
防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览：各类 *** 作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。
防御：打最新的服务补丁。

2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：
口令猜测
概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。
防御：要选用难以猜测的口令，比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略，就进行锁定。
特洛伊木马
概览：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。
防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新 *** 作系统。

3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务
扫描技术
地址扫描
概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。
防御：在防火墙上过滤掉ICMP应答消息。
端口扫描
概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。
防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。
反响映射
概览：黑客向主机发送虚假消息，然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息、DNS响应包。
防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答。
慢速扫描
概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御：通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种 *** 作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同)，通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的 *** 作系统。
防御：去掉或修改各种Banner，包括 *** 作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换 *** 作就能得到你所有主机的名称以及内部IP地址。
防御：在防火墙处过滤掉域转换请求。
Finger服务
概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。
LDAP服务
概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

4、假消息攻击
用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。
防御：使用PGP等安全工具并安装电子邮件证书

你好，物联网层次很多，首先要看你从事哪个层级的工作了

既然你问语言，那么肯定是开发类的工作，开发类的对象中又包括高层开发和基层开发

其中物联网核心的是底层开发，就是利用汇编语言或者C语言直接面向硬件的开发，这种事纯粹的物联网开发人员

还有一些开发客户端和平台的，用的就可能包括C语言，C，甚至JIVA都有

所以你可以根据自己发展方向确定学习那些东西

什么是工业物联网平台？工业物联网平台就是一种工业物联网软件，它允许组织安全地管理工业物联网生态系统中所有互联的人员、系统和物体。那，工业物联网平台具有哪些特点呢？

一、什么是工业物联网平台
定义工业物联网平台时，要认识到，物联网创建了一种新的集成水平，随着成千上万的工业物联网设备连接到网络上，企业需要管理的端点数量比以往任何时候都要多得多。但是，这不是简简单单的设备问题，工业物联网网络实际上是一个由人、系统和物体组成的数字生态系统。这就需要一个工业物联网平台来安全有效地管理这个生态系统中的每个元素。
最好的工业物联网平台可以将设备与企业应用软件完美整合，使得数据能够在互联的人、系统和物体之间无缝而安全的流动。
工业物联网平台应具备以下功能：
▲设备整合功能
这涵盖了工业物联网上传感器、执行器、标签和信标等所有设备的配置、管理和淘汰。工业物联网平台应该能够自动摄取物联网数据，并使其可用于网络上的其它元素。
▲数据整合功能
工业物联网的价值就在于数据，必须能够对其进行捕获、集成和管理。工业物联网平台将新的物联网主数据与现有的应用软件数据以及来自社交媒体等其他来源的数据关联起来，以探求其相关性。
▲流程整合功能
作为数字生态系统的一部分，工业物联网元素并非孤立于业务运作之外。工业物联网解决方案必须嵌入到企业业务流程和工作流程中。为此，工业物联网平台将物联网业务逻辑整合到其他后端系统中，并将物联网数据部署到工作流程管理中，从而实现物联网解决方案、业务流程和工作流程的整合。
▲生态系统服务
工业物联网平台负责安全地建立、启动和管理数字生态系统中人、设备、数据和设备的可信交互。
二、工业物联网平台有哪些类型
虽然工业物联网平台研发的初衷是为了管理和控制工业物联网设备与数据，但已经发展出了许多不同类型的平台以适应不同的用例。实际上，很难对工业物联网平台进行归类，反而工业物联网平台供应商正在改进其平台产品以满足客户要求和特定业务需求。
工业物联网平台将提供不同的功能组合，包括工业物联网端点管理与连接性，物联网数据的捕获、摄取与处理，数据的可视化与分析，以及将物联网数据整合到业务流程和工作流程中。
在比较不同类型的平台时，都应基于组织的业务需求和特定的IT基础架构，并将之与工业物联网的解决方案相匹配。
三、工业物联网平台具有哪些特点
因此，最佳的工业物联网平台因组织而异，并且单一的平台功能集无法为每个用例提供足够的解决方案。但无论如何，任何工业物联网平台都应具备以下特性：
▲安全
安全是工业物联网平台的核心，既要保护所有的物联网端点免受外部网络攻击，又要应对源自组织内部的潜在恶意活动。
▲连接性
必须快速安全地配置每个工业物联网设备，并管理其生命周期的所有阶段，包括在按需配置、注册、激活、挂起、未挂起、删除和重置设备时对其进行跟踪与授权。
▲集成
集成是工业物联网面临的最大挑战之一。工业物联网平台允许物联网设备无缝而安全地与不同的企业应用软件、云服务、移动APP和传统系统连接并共享信息。
▲识别
工业物联网平台能够为最广泛的物联网设备提供支持。无论在工业物联网架构中的任何地方，都能够自动感知物联网设备的存在，以建立安全连接，并可以快速地建立设备凭证，或在需要时将其自动分配。
▲分析
物联网设备极大地增加了组织内的数据量。工业物联网分析应该是工业物联网平台最强大的功能之一。它能够将工业物联网数据进行适当的可视化和分析，并从中提出切实可行的见解，用于改进数据驱动型决策。
四、工业物联网平台能改变什么
工业物联网平台是物联网项目成功实施的基础。没有有效的平台，任何大规模的工业物联网部署都不能实现其全部价值。最好的工业物联网平台能够给组织带来很多效益，包括：
▲降低成本
管理和维护迥然不同的工业物联网设备和网络，成本高昂、耗时且复杂。工业物联网平台将整个管理流程集中到一起，能够大幅度地降低企业的负担和成本。（来源物联之家网）另外，随着越来越多的组织寻求工业物联网供应商来管理其网络，最好的工业物联网平台使得供应商能够提供按需付费的定价模式。
▲改善运营
工业物联网解决方案能够提供设备性能和人员的实时信息，以帮助简化和改进业务流程和工作流程。通过捕获物联网数据并将其与其他内部、外部来源的数据进行整合，工业物联网平台可促进诸如预测性维护以及基于跟踪的供应链可见性等领域的运营改进。
▲提高生产效率
平台为部署新的工业物联网应用软件（例如DigitalTwins数据孪生）打好了基础。利用这些软件来进行新产品的设计、研发与生产，将有助于推动企业创新和提高生产效率。
▲物联网数据货币化
创新型公司已经开始利用他们从物联网数据获得的洞察力来开发新的产品和服务。在产品的整个生命周期中，售后与服务比原始采购更加有利可图。工业物联网平台能够在产品生产及使用的每个阶段捕获数据并进行分析。这样就可以创建新的数据驱动型服务以及开发全新的数据驱动型产品。
▲提高物联网安全
众所周知，物联网设备缺乏企业级的安全性。工业物联网传感器等设备除了执行特定的通知任务之外，几乎没有什么计算能力，也无法提供多层安全性。工业物联网平台能够提供所有的身份管理功能，例如安全认证与授权，以确保物联网端点不会受到网络攻击。
五、关于正达信通ZedaCloud物联网云平台
ZedaCloud物联网云平台是基于云计算原理开发的物联网应用系统，是ZedaSmart云边端物联网整体解决方案的核心，是一个综合性的物联网解决方案。ZedaCloud物联网云平台基于微服务架构设计，满足分层分布式计算架构，支持私有化和公有云两种部署方式，既可单机系统部署，也可集群部署，灵活应变，满足不同的应用需求。平台可适配于各种物联网应用系统，支持包括mqtt、modbus、NB-IoT、LoRa等在内的多种通信协议，实时监测接入设备和传感器的数据及运行状态。并且，还能与市面上绝大多数物联网硬件无缝对接，完成物联设备的数据接入、控制、存储、分析、展示等，实现对硬件设备的远程管理，做到精确感知、精准 *** 作、精细管理、智能分析，可应用于工业领域的设备管理、能源管理、安全环保，应用于结构体安全监测、地质灾害监测，应用于建筑领域的机房动环监控、楼宇综合监控等应用场景。

有机会，但是建议不要做泛和大，从垂直领域出发比较好，为啥这样说呢？原因如下。

1、各大运营商、互联网公司、设备制造商等等企业都在做综合性的平台。

国内有阿里、华为、三大运营商、百度、腾讯、小米、海尔、京东、中电科等。

国外有亚马逊、IBM、SAP、

谷歌、GE、西门子、博世等。

通过以上名单可以发现，这些公司的特点。

这说明物联网是未来的发展方向，是值得花钱而且花大钱去布局的事。

2、做综合性的物联网平台，要求的资金、资源和技术要求会很高。因为是综合性平台，那么你得搞清楚各行各业的所使用物联网平台的诉求，行业标准等等，不然你的用户群体就会很窄。

3、面对的竞争对手的实力都不可小觑，你要考虑的是现阶段进入这个领域做平台在技术上能否与以上那些公司一较高下呢？你想投入多少时间和精力去做平台呢？人家都可是布局好几年了，踩了很多坑积累了很多经验，且现在平台已具有一定规模，形成了一定的行业壁垒，特别是华为，据我所知，国内运营商的平台都离不开华为的支持。
物联网平台的玩家之多，让人惊叹啊，那么咱们还有没有机会呢？答案是肯定的，有！但我的建议走垂直领域。

物联网的领域很广泛，所以专业的物联网平台未来会有很多，而这种综合性的物联网平台经过几年的厮杀后，最终也就剩下几家巨头。何谓垂直领域的物联网平台呢？

最基本的就是行业垂直，比如工业、农业、教育、医疗、安防、建筑、家居、交通运输等领域。

以上玩家也有做垂直领域的，比如ABB/西门子/GE/普奥云/博世等，他们专注工业领域，爱立信、诺基亚专注通信领域，而互联网巨头则是走综合性的较多，因为他们有一定客户基础、服务器资源和用户群体，可以面对企业和开发者提供平台服务，海尔/小米等企业就是在智能家居领域发力的。

不出意外，安防领域的海康、大华都在对自己的领域来架设相应的物联网平台。
从专业的角度来看物联网平台类型有功能呢？
物联网平台有五种类型

1网络连接，网络连接平台以物联网系统的网络组件为中心。它们为用户提供保持设备在线所必需的软件、连接硬件和数据指导。它们的网络通常依赖现有的运营商服务和WI-FI，并以一种便于物联网设置的方式配置网络连接。
有机会的，物联网的网少不了平台，没有平台就没有物联网。平台提供基于数据的存储、管理等。数据挖掘、数据分析等都基于云平台来计算。

物联网平台从另一个角度来看，是数据的“聚合”平台，通过大数据分析，给决策提供状态、趋势和决策等。
随着5G时代的到来，“边缘计算”一词越来越多的出现在大众视野。今天我们就来讲讲Arex算力资源平台如何利用“边缘计算”制霸未来物联网20。
什么是边缘计算？
首先我们介绍一下什么是边缘计算：边缘计算是分布式计算技术的一种，分布式系统的崛起催生边缘计算平台和新的网络构架分布式AI会在最后一英里网络中增加更多的计算、智能和处理/存储能力，将引发移动端硬件和算力变革。

在这种配置中，人工智能引擎将依赖于大量物联网传感器和执行器，收集和处理大量的 *** 作现场数据。海量数据将为“本地化”的边缘计算AI引擎提供燃料，这些引擎将运行本地进程并在现场做出决策。

因此网络需要另一种水平的实时边缘计算、数据收集和存储，将推动人工智能处理到网络边缘。这将完成云边缘智能和网络化计算机的循环, 并通过基于区块链的智能合约来完成数据授权和业务运转。

物联网中边缘计算与区块链的结合是大势所趋，会将当前的传统物联网完全颠覆掉。
为什么这么说呢？
传统物联网将被淘汰

伴随着近年来通用计算机设备的飞速发展，各类自动化的智能设备开始进入人们视野，背后是廉价传感器和控制设备的爆炸性增长。传统物联网系统基于服务器/客户端的中心化架构。即所有物联设备都通过云实现验证、连接和智能控制。

中心化的物联网架构存在三个问题。

一是云计算成本，例如在家庭应用场景下，两台家电相距不到一米，也需要通过云端进行沟通。数据汇总到单一的控制中心，企业所销售的物联设备越多，其中心云计算服务支出的成本会越大。由于终端物联设备竞争愈加激烈，利润走低，中心计算成本矛盾会越来越突出。

其次，中心化的数据收集和服务方式，无法从根本上向用户保证数据会合法使用。用户的数据保护完全依靠企业单方面的承诺，难以进行有效的监管。

第三，中心化物联生态系统中，一个设备被攻陷，所有的设备会受到影响。例如《麻省理工 科技 评论》2017年所指出的僵尸物联网，可以通过感染并控制摄像头、监视器等物联设备，造成大规模网络瘫痪。
区块链技术重塑物联网
区块链技术可以利用区块链独特的不可篡改的分布式账本记录特性，构建底层通讯节点、建立链上算力生态、依托分布式存储用于计算服务等区块链技术的综合应用，将全球闲置算力整合起来，通过构建“边缘算力”模式为有需求的用户提供d性可扩容的算力交易、算力租赁等服务。为用户打造一个开放、公平、透明和低门槛的去中心化算力资源共享平台，同时结合丰富的行业经验为全球客户提供更优质的服务。

简单来说就是Arex算力资源平台利用分布式计算模式将全球的闲置算力进行整合，从而构建出高数量级的“边缘算力”，并以此为算力源对需要的应用场景进行高能输出。

边缘算力的应用场景到底有多广阔？

边缘计算将数据处理从云中心转移到网络边缘，计算和数据存储可以分散到互联网靠近物联终端、传感器和用户的边缘，不仅可以缓解云带宽压力，还可以优化面向感知驱动的网络服务架构。（例如家里的空调、热水器与冰箱、安防摄像头等可以通过边缘计算进行协调运行，即使是在连接不上云服务器的情况下，也能确保最佳的节能和服务状态。）

第三方数据分析机构IDC预测，在2020年全球将有约500亿的智能设备接入互联网，除了目前大火的5G通信外，包括大数据人工智能穿戴产品、无人驾驶技术、智慧城市服务等，其中40%的数据需要边缘计算服务。由此可见边缘计算有着强大市场潜力，也是当前各服务商争夺的热点。

无人驾驶技术：

无人驾驶

智能穿戴设备：
智慧城市：
要回答物联网云平台是不是还有机会的问题，首先要搞清楚几方面的状况：

一是定位。从技术角度来说，你是做物联网云平台的那一层，IaaS、PaaS、SaaS，单做某层或是混合？而技术的定位取决于：（1）你觉得那一块是你发掘出的空白或者你觉得有前景？（2）为你的客户提供什么样的价值（3）你想做什么样的商业模式。这三个问题依次定推，最后才决定了你了的技术定位和技术架构。找准定位，这是你开始一切的起点。

二是资源。这个我就不多说了，包括资金、技术、人脉、产业链合作，这是你保障自己可以开始有效行动的基础。

三是团队。团队是真正去实施理想的载体，可以是几个人的创业“作坊”，也可以是有一定规模的公司，也可以是松散的联盟组织。

其实，物联网的市场何其大，需要的云服务何其多，宏观市场和细分市场规模都足够你有所作为。做不做，做不做得好在于自己。至于，做不做设备终端，就看你是怎么玩了。

机会很大

物联网平台承上启下，是物联网产业链枢纽。按照逻辑关系和功能物联网平台从下到上提供终端管理、连接管理、应用支持、业务分析等主要功能。

通信技术发展促进连接数迅速猛增，物联网迎来告诉发展引爆点

连接数告诉增长是物联网行业发展基础

物联网发展路径为连接--感知--智能，目前处于物联网发展第一阶段即物联网连接数快速增长阶段。到2018年，全球物联网连接数将超过手机连接数。

物联网发展第一阶段：物联网连接大规模建立阶段，越来越多的设备在放入通信模块后通过移动网络（LPWA\GSM\3G\LTE\5G等）、WiFi、蓝牙、RFID、ZigBee等连接技术连接入网，在这一阶段网络基础设施建设、连接建设及管理、终端智能化是核心。爱立信预测到2021年，全球的移动连接数将达到275亿，其中物联网连接数将达到157亿、手机连接数为86亿。智能制造、智能物流、智能安防、智能电力、智能交通、车联网、智能家居、可穿戴设备、智慧医疗等领域连接数将呈指数级增长。该阶段中最大投资机会主要在于网络基础设施建设、通讯芯片和模组、各类传感器、连接管理平台、测量表具等。

物联网发展第二阶段：大量连接入网的设备状态被感知，产生海量数据，形成了物联网大数据。这一阶段传感器、计量器等器件进一步智能化，多样化的数据被感知和采集，汇集到云平台进行存储、分类处理和分析，此时物联网也成为云计算平台规模最大的业务之一。根据IDC的预测， 2020年全球数据总量将超过40ZB(相当于4万亿GB)，这一数据量将是2012年的22倍，年复合增长率48%。这一阶段，云计算将伴随物联网快速发展。该阶段主要投资机会在AEP平台、云存储、云计算、数据分析等。

物联网发展第三阶段：初始人工智能已经实现，对物联网产生数据的智能分析和物联网行业应用及服务将体现出核心价值。Gartner 预测2020 年物联网应用与服务产值将达到2620 亿美元，市场规模超过物联网基础设施领域的4 倍。该阶段物联网数据发挥出最大价值，企业对传感数据进行分析并利用分析结果构建解决方案实现商业变现，同时运营商坐拥大量用户数据信息，通过数据的变现将大幅改善运营商的收入。该阶段投资者机会主要在于物联网综合解决方案提供商、人工智能、机器学习厂商等

物联网云平台是一个专门为物联网定制的云平台，物联网与普通的互联网是不同的:物联网终端设备比普通互联网手机端,电脑端多出几个数量级;普通互联网对>

物联网平台的定义:

物联网平台是一个中间层，一方面位于物联网设备层和物联网网关(和数据)层之间，另一方面是应用。因此，物联网平台也被称为应用支撑平台/智能管理平台。

物联网平台的基本功能和优势:

物联网平台支持物联网设备和端点管理、连接和网络管理、数据管理、处理和分析、应用开发、安全、访问控制、监控、事件处理和接口/集成。

物联网平台有自己的根，需要管理、监控、存储、翻译、保护和分析物联网数据；启用应用程序；物联网设备管理；因为物联网缺乏标准和互 *** 作性、连接性和集成性；安全性、固件更新以及用户和访问管理；可视化并与应用程序、用户和开发人员联系。

物联网平台可以更快、更便宜、更好地构建物联网解决方案，实现物联网项目。它们的基本功能包括连接和网络管理、设备管理、数据采集、处理分析和可视化、应用支持、集成和存储。

随着更多物联网设备/资产、数据、相关技术、网络/连接解决方案的出现，以及基础设施和高效、可互 *** 作和安全连接的发展，物联网平台已经成为专业的物联网部署。

物联网平台已经成为物联网部署的重要组成部分，几种类型和供应商都有各自的侧重点和市场策略。此外，物联网平台的现实和市场非常复杂，因为物联网项目、应用和解决方案具有不同的架构、连接和管理设备的方式、管理和分析数据的可能性、构建应用的能力和利用的选项。对于任何特定环境下的任何给定物联网用例，物联网都是有意义的:例如:消费应用、企业物联网应用和工业物联网或工业40。

物联网的应用如下：
1、智能仓库。物联网一个很好的应用。它能准确的提供仓库管理各个环节数据的真实性，对于生产企业，可以根据这个数据合理的把控库存量，调整生产量。物联网中利用SNHGES系统的库位管理功能，可以准确提供货物库存位置，这就大大提高了仓库管理的效率。
2、智能物流。运用条形码、传感器、射频识别技术、全球定位等先进的物联网通信技术，实现物流业运输、仓储、配送、装卸等各个环节的智能化。不仅货物运输更加的自动化，而且作出的全面分析还能及时的处理问题对物流过程作出调整，优化了管理。大大提高了物流行业的服务水平，还节约了成本。
3、智能医疗。利用物联网技术，实现患者和医务人员、医疗机构、医疗设备的互动，实现医疗智能化。物联网医疗设备中的传感器与移动设备可以对患者的生理状态进行捕捉，把生命指数记录到电子健康文件中，不仅自己可以查看，也方便了医生的查阅，实现远程的医疗看病。很好的解决当前的医疗资源分布不均，看病难的问题。
4、智能家庭。物联网的出现让我们的日常生活更加的便捷。不远的将来一台手机，就可以 *** 作家里大多数的电器，查看它们的运行状态。寒冷的冬天，我们可以提前打开家里的空调，回到家就暖暖的。物联网还能准确的定位家庭成员的位置，你再也不用担心孩子跑的找不见人，省心省力。
5、智能农业。物联网在农业中的应用就更加的广泛。监测温湿度，监视土壤酸碱度，查看家禽的状态。在这些数据的支持下，农户就可以合理进行科学评估，安排施肥，灌溉。监测到的天气情况比如降水，风力等又为我们抗灾、减灾提供了依据。提高了产量，降低了减产风险。
6、智能交通。物联网将整个交通设备连在一起。主要是用图像识别为核心技术。可以准确的收集到交通车流量信息，通过信号灯等设备进行流量的控制，这个技术的运用，会让堵车成为历史。管理人员利用这个技术能将道路、车辆的情况掌握的一清二楚，驾驶违章无处可逃，交通事故也能及时的得到处理。人们的出行得到了很大的方便。
7、智能电力。电力工程是一项重大的民生工程，对电网的安全检测是一项必修科目。以南方电网与中国移动通过M2M技术进行的合作为例，因为物联网的运用，使得自动化计量系统开始启动，使得故障评价处理时间得到一倍的缩减。

尽管IPv4中常见的攻击方式将在IPv6网络中失效，使来自网络层的一些安全攻击得以抑制，但采用IPv6并不意味着关紧了安全的大门，来自应用层的威胁将以新的方式出现。 总有人误认为“网络改成IPv6，安全问题就全面解决了”。诚然，IPv4中常见的一些攻击方式将在IPv6网络中失效，例如网络侦察、报头攻击、碎片攻击、假冒地址及蠕虫病毒等，但IPv6不仅不可能彻底解决所有安全问题，反而还会产生新的安全问题。
虽然与IPv4相比，IPv6在网络保密性、完整性方面做了更好的改进，在可控性和抗否认性方面有了新的保证，但目前多数网络攻击和威胁来自应用层而非网络层。因此，保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种手段，诸如认证体系、加密体系、密钥分发体系、可信计算体系等。

安全新问题如影随形

IPv6是新的协议，在其发展过程中必定会产生一些新的安全问题，主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术，如SNMP（简单网络管理）等，不管是移植还是重建，其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟，因此缺乏对IPv6网络进行监测和管理的手段，对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、***、IDS（入侵检测系统）、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上，IPv6环境下的病毒已经出现。例如，有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能，所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战，目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外，DHCP（ Dynamic Host Configuration Protocol,动态主机配置协议）必须经过升级才可以支持IPv6地址，DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞，例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源，攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道，从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议，而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。
需要指出的是，虽然IPSec能够防止多种攻击，但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议，只能负责其下层的网络安全，不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头，例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础，同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现，IPv6报头采用基本报头+扩展报头链组成的形式，这种设计可以更方便地增添选项，以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit，使路由器可以加快对数据包的处理速度，网络转发效率得以提高，从而改善网络的整体吞吐量，使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段，其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum，中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制，链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算，增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中，有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说，这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系，网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务，那么就可以只给这台服务器分配一个本地网络地址，而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构，因此，IPv6接入路由器对用户进入时进行源地址检查，使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑，允许核心路由器根据需要，开启反向路由检测功能，防止源路由篡改和攻击。
IPv6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPv6增强了防止未授权访问的能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证，网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT（Network Address Translation，网络地址转换），允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接，系统都会在两端主机上对数据包进行 IPSec封装，中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护，使得敏感数据可以在IPv6 网络上安全地传递，因此，无需针对特别的网络应用部署ALG(应用层网关)，就可保证端到端的网络透明性，有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础，有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时，能进一步增强对DNS新的攻击方式的防护，例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等，这些攻击会控制DNS服务器，将合法网站的IP地址篡改为假冒、恶意网站的IP地址。

---