远程通信架构

远程通信架构（精选五篇）

远程通信架构 篇1

金太阳示范工程是国家重视太阳能利用、加快国内光伏发电的产业化和规模化的一项战略发展策略。

光伏电站的通信和数据模型还没有统一的标准。文献[1]设计了光伏电站监控系统的结构;文献[2,3]提出了光伏电站远程监控系统的通信方式;文献[4,5]提出了适用于光伏电站仿真的建模方法;文献[6]提出了基于公共信息模型(CIM)的数据处理方法;文献[7]提出了风光储一体的网格界面。这些分析为光伏电站的数据采集、数据建模和通信方式提出了可行的思路,但未涉及作为数据中心时的通信要求、数据模型和分析应用功能。目前国内建成的光伏电站当地监控系统,其重点也在于电站内各类设备的信息采集,个别逆变器厂家建设了适用于本公司逆变器产品的远程监视系统,主要用于采集电量等少数几个数据。随着光伏产业的规模化发展,考虑光伏电站分散分布的特点,有必要建立金太阳远程数据中心,以便综合评估、利用和统计光伏电站的各类数据。

本文分析了现有光伏电站的结构特点,在此基础上对远程数据中心的系统架构、通信模式、数据模型和应用功能进行了设计,并开发了系统软件。

1 系统架构

作为金太阳示范工程的远程数据中心,该中心要求光伏电站上送各类运行数据,包括核心设备数据、电量数据、环境资源数据等,汇集后进行数据的监视和分析。

整个系统分为3层:电站层包括了属于金太阳示范工程的所有光伏电站,主要采集的信息包括光伏电站核心设备(逆变器等)和电能表信息、环境数据;通信层通过信道将电站的信息上送;主站层即远程数据中心,所有电站的数据在此汇总分析。其逻辑结构如图1所示。

1.1 电站层

每个光伏电站都是一个太阳能光伏并网发电系统,具有包括升压站(变压器)、逆变器、汇流箱、电池阵列、蓄电池、电能表、环境检测设备在内的各类核心设备。此外,还包括气象数据和逐日系统的数据,站内需要实现对各类数据的采集转发功能。

电站内元件典型接线方式和数据采集见图2。

1.2 通信层

1.2.1 电站当地通信条件

目前,国内光伏电站对外数据转发尚无统一的标准,因此各个电站的配置也大不相同,当地的对外通信状况大致可分为以下3种:

1)配有当地监控系统。这种电站的容量相对较大,有独立的监控中心,只需在监控中心侧进行扩展即可实现对外通信。

2)当地没有监控系统,但逆变器具备转发接口。这种电站的容量相对较小,各个逆变器的信息可以汇总后转发出来。

3)当地没有监控系统,逆变器也不具备转发接口。这种电站的容量很小,如需对外转发数据,必须增加通信模块。

金太阳示范工程中的光伏电站要求采用前2种建设模式,留有对外通信端口。

1.2.2 通信方式的选择

由于金太阳示范工程遍布全国各个省市,采用无线通信是最合理的方式,同时必须满足:①覆盖范围广;②快速;③安全;④费用省。

金太阳远程数据中心选择电信无线虚拟专用拨号网(VPDN)作为通信通道。VPDN是中国电信提供的一种基于2G/3G网络的无线业务,它利用工业标准的Internet第2层隧道协议(L2TP)技术为政府、企业客户的无线移动用户构建的与公众互联网完全隔离的虚拟专用网络,能够满足以上要求。建设时在主站层配置路由器和防火墙,在当地电信开通专用域名,通过专线接入当地电信VPDN平台。在电站侧配置无线接入终端接入电信无线网络,其结构如图3所示。

1.2.3 通信协议的选择

目前,光伏电站内的数据采集协议大都基于工业控制器的网络协议MODBUS。由于电站内部设备分为众多单元,每个单元的数据量较少,因此MODBUS协议更适合于站内使用。如果用于对外转发,由于每包字节数的限制使其适应性不佳,因此,考虑采用现有已经成熟的电力系统常用的网络传输协议IEC 104,但必须进行如下扩充:

1)用特定的功能码来描述数字量。所谓数字量即一个整型值,每个数值代表不同的含义,这种数据类型常见于各类设备的状态。其不同于IEC 104中所定义的标准数据类型,因此必须加以扩充。

2)增加直接控制模式。电力系统的控制流程为选点→返校→遥控,在光伏电站内的很多设备采取的是直接遥控方式。如果需要对电站进行控制,则必须增加直接控制方式的描述。

1.3 主站层

主站系统采用双网模式,配置主备历史数据服务器、主备前置服务器、3台应用分析工作站和1台Web服务器。核心设备均采用冗余配置,以保证系统正常运行。硬件结构如图4所示。

主站层软件由操作系统、支撑平台、数据采集模块和各个应用功能组成。操作系统选用Unix/Linux混合结构。支撑平台主要提供系统运行支撑环境,包括网络、实时库、历史库、图形、报表等服务。数据采集模块负责数据的采集,应用功能实现数据监视、各类数据的统计、光伏组件性能对比等。

2 数据模型

由于目前国内尚无光伏电站的数据模型标准,因此借鉴IEC 61970 CIM的建模方式对金太阳示范工程进行建模。

对于电站内的升压站(变压器)的模型可借鉴CIM的标准,而逆变器、箱变、汇流箱等其他设备可以根据安装方式的不同分布到不同的单元中。可将升压站(变压器)低压侧进线的所有设备划分为一个单元,认为是一个间隔;气象数据和逐日系统的数据相对独立,直接隶属于光伏电站,这样整个系统的数据模型见图5。

一个单元中的核心设备一般有如下几种情况:

1)有一台箱变,若干台逆变器在此汇集后进行第1次升压;直流侧设备包含若干个汇流箱和若干个电池阵列。

2)一台逆变器连接一台箱变,直流侧设备包含若干个汇流箱和若干个电池阵列。

3)没有箱变,只有一台逆变器,直流侧设备包含若干个汇流箱和若干个电池阵列。

根据以上分析,对一个间隔内的设备可按直流侧和交流侧进行划分,同时在设备模型中需要描述“父节点”,用以表示其上下级连接关系。

为便于后期的统计分析,还需要描述核心设备的各类属性,包括设备型号参数、生产厂家、设备静态参数等,同时按照静态数据和动态数据建立统计模型。系统整体类关系见附录A图A1。

3 应用功能

作为金太阳示范工程的远程数据中心,其主要职能是对金太阳工程的现场数据进行监视,并提供后期的数据分析。因此主要包括以下应用功能:

1)数据监视。按全国→省份→光伏电站的层次结构组织数据监视画面,监视信息包括升压站(变压器)数据、逆变器交直流侧数据、箱变数据、电站拓扑结构、通信结构等。

2)数据统计。按不同的统计区域(全国、各省、电站、单元)进行数据统计,统计量包括电量、功率、元件个数、电站运行率等。

3)数据对比。按照不同的方式(电站、组件型号、设备厂商等)折算到统一单位面积进行数据对比。包括发电量、发电效率、发电变化趋势等,给出优劣排序。

4)环境数据分析。根据不同的环境条件,对光伏电站进行数据对比,给出不同环境条件下的发电效率优劣排序等。

4 结语

金太阳远程数据中心是金太阳示范工程的远程监视中心,通过该数据中心,可以监视金太阳示范工程中光伏电站的各类信息并进行数据分析对比。目前金太阳远程数据中心系统已在国家电网公司试验验证中心投入运行(详见附录A图A2、图A3),为光伏电站标准化的研究提供了参考。

附录见本刊网络版(http://aeps.sgepri.sgcc.com.cn/aeps/ch/index.aspx)。

参考文献

[1]李立伟,王英,包书哲.光伏电站智能监控系统的研制[J].电源技术,2007,31(1):76-79.LI Liwei,WANG Ying,BAO Shuzhe.Development of theintelligent surveillance and control system of PV power station[J].Power Sources,2007,31(1):76-79.

[2]刘福才,高秀伟,牛海涛,等.太阳能光伏电站远程监控系统的设计[J].仪器仪表学报,2002,23(增刊1):184.LIU Fucai,GAO Xiuwei,NIU Haitao,et al.The design of thesolar photovoltaic plant’s distant monitoring system[J].Chinese Journal of Scientific Instrument,2002,23(Supplement1):184.

[3]刘福才,张海良,王冬云.基于GPRS的光伏电站远程监控系统的设计[J].自动化与仪表,2006,21(5):29-31.LIU Fucai,ZHANG Hailiang,WANG Dongyun.Design ofphotovoltaic plant’s distant monitoring system based on GPRS[J].Automation and Instrumentation,2006,21(5):29-31.

[4]丁明,张征凯,毕锐.面向分布式发电系统的CIM扩展[J].电力系统自动化,2008,32(20):83-87.DING Ming,ZHANG Zhengkai,BI Rui.Distributed generationsystem oriented CIM extension[J].Automation of ElectricPower Systems,2008,32(20):83-87.

[5]李晶,许洪华,赵海翔,等.并网光伏电站动态建模及仿真分析[J].电力系统自动化,2008,32(24):83-87.LI Jing,XU Honghua,ZHAO Haixiang,et al.Dynamicmodeling and simulation of the grid-connected PV power station[J].Automation of Electric Power Systems,2008,32(24):83-87.

[6]梁才浩,段献忠.分布式发电及其对电力系统的影响[J].电力系统自动化,2001,25(12):53-56.LIANG Caihao,DUAN Xianzhong.Distributed generation andits impact on power system[J].Automation of Electric PowerSystems,2001,25(12):53-56.

远程通信架构 篇2

关键词：总线；电子系统；优化

0引言

在船舶电子系统运行中，网络架构的建设尤为重要，其与船舶电子系统的运行产生直接关联，因此，要重视网络架构工作，合理应用总线通信技术，改善网络架构的体系架构，明确优化方向，提高船舶电子网络的性能。

1船舶电子系统网络中螺旋桨控制架构工作原理

对于螺旋桨而言，其基本参数的控制属于整个船舶电子控制网络中的重要组成部分。而在螺旋桨旋转期间，对桨叶的控制一直属于技术难点，将其融入到船舶的电子网络中，有利于提高其控制能力。在计算J=h1D=VmD船用螺旋桨的工作状态时，可以将D表示为船桨的直径，也就是螺旋桨桨叶在运行中边缘经过的圆圈的直径。在液体环境中，螺旋桨旋转一周的前进距离为h1，如果螺旋桨的旋转速度为m，在水中运行的行进速度为V，可以利用公式v=h1×m计算得到。在分析螺旋桨旋转1周所前进的距离与直径的关系的时候，可以将其比值表示为：。该比值从一定程度上反映了螺旋桨的工作效率。

2电子系统网络架构需求分析

远程通信架构 篇3

本研究根据宁夏扬黄灌区的土壤条件与玉米生长的实际情况,结合滴灌栽培玉米的种植方式、水肥运筹与管理等相关措施,辅助农业气象数据,不断采集玉米各生育期的生长发育状况高清数字图片、视频数据等信息,并根据当地用户的各种需求,提出玉米数字化监测与诊断指标,构建数字化监测与诊断服务模式。

1 系统总体结构设计

玉米生长监测与远程诊断系统的总体设计如图1所示,具体架构思路分为3层。第一层是处于系统监测诊断的最底层,称之为信息传感层,主要采用手机与相机拍照、摄像头抓拍等采集方式对玉米生长信息、冠层信息或群体结构特征的感知与获取,从而建立玉米数字图像采集系统。第二层是玉米生长监测与远程诊断网络服务层,即中间层,称之为核心网络层,该层主要针对信息传感层提取的玉米生长信息、图像信息或群体结构等通过互联网远程传输到服务器,服务器安装图像处理软件对传输的玉米图像信息等进行分析处理,提取玉米图像特征参数或属性,从而建立玉米图像特征参数与属性数据库,并通过不断存贮与记录,构建玉米生长图像标准参数库和历史图像信息数据库等,然后通过对玉米生长信息和图像信息的分析,做出决策分析结果,并将决策结果与具体执行措施发布给农民、种植户或农业企业等客户端。第三层是是一个开放层,即用户应用层,或称之为客户端,主要针对农民、种植户、农业企业或玉米栽培与管理专家等,他们通过计算机浏览器和智能手机客户端对第二层网络服务中心发送的图片信息、决策分析信息等进行浏览,也可以通过网络客户端进行信息咨询。

2 监测/分析/处理/决策/浏览5大中心设计

由系统整体结构框架图1可知,要想实现玉米生长监测与远程诊断的合理性与准确性,得出较为理想的生长监测与诊断信息,系统设计必须实现可输入、可输出、可查询与可调用等功能。因此,系统设计一定要达到可兼容、可嫁接、可独立和可开放的设计的理念,既可以嫁接到网络系统中,也可单机运行,从而解决这个矛盾体系。于是,我们通过不断的分析研究,架构了监测/分析/处理/决策/浏览5大中心,分别由玉米生长远程监测与网络控制服务、图像获取与视频抓拍采集、图像分析采集、玉米生长与决策诊断、用户浏览与访问等组成。具体结构图如图2所示。

3 数据库设计与架构

数据库设计与架构是玉米生长监测与远程诊断系统设计与架构的核心部位,系统若离开了数据库的设计与架构,系统的功能服务功能就失去灵魂。玉米生长监测与远程诊断系统数据库实现的主要功能是对玉米生长监测的方法和玉米生长监测与诊断过程中所搭建的模型进行导入、存储、备份和修改等各种操作。同时,本研究数据库还包括图形图像导入、存储,视频数据流导入、存储,扬黄灌区各玉米田块的土壤地力和肥力等基础数据导入、存储。玉米栽培管理与植保信息导入、存储,降雨量等气象信息导入、存储,土壤含水量等墒情信息及田间管理的水肥运移规律信息导入、存储等。

该数据库还要实现的功能是必须根据玉米生长过程中构建的数学模型做出相关分析与推理判断,并根据不断增加和补充玉米种植管理的历史数据,最后得出玉米生长监测与决策诊断方案。

4 系统服务功能设计

玉米生长监测与远程诊断系统实现的主要服务功能主要有监测指标确定、图像特征参数提取、诊断指标确定、生长监测模型调用、数据库查询等模块调用、玉米生长监测关键数据发布、诊断方案发布及系统维护等多个组成部分。

监测指标确定其实质就是系统要实现的首要功能,即筛选合理的监测指标。例如,监测玉米的叶面积、监测玉米的覆盖度、监测玉米叶绿素含量等,只有确定了准确的监测指标,方能收集合理的图像与视频资料。因此,监测指标确定是整个系统服务功能设计的先决条件。假如缺少叶面积指数这1个监测指标,就等于缺少实时采集到的玉米生长数字图像与视频信息资料,必然就缺少了图像数据库,从而无法确保图像监测指标的信息提取。同时,必须注意强化玉米田间图像采集的质量,加大实时更新力度。

图像特征参数提取功能设计,该模块设计的主要目的就是实现将玉米图像分层分割、特征参数提取,并搭建图像特征参数与玉米农学属性间的数学关系模型,其目的就是通过图像特征参数数据分析玉米的实际生长状况,从而补充决策分析模型的分析库。

系统诊断指标的确定,该功能模块可能会受传统的栽培理念与方法的影响与制约,因此设计时必须转变观念,明确其设计的目的就是通过数学分析方法,将大量的数据采用相关性分析,构建相关性关系模型,提出模型决策方案。

数据库的查询功能和历史数据查询功能其实质就是后台数据库管理,按照玉米生长监测与远程诊断系统具体要求实现数据库表单,建立数据库报表,最后实现数据库的管理。同时该数据库设计要考虑数据查询的灵活性与多样性。

玉米生长监测关键数据发布、诊断方案发布功能设计,该模块相对来说较为重要,必须通过实时发布玉米长势情况,提供权威信息,方便玉米种植大户、农民和农业管理者宏观调控。此模块要为玉米生产管理者提供极其可靠的技术服务,解决农民、种植户和农业企业急需解决的本质问题。例如,通过抓拍到的玉米照片如何判断玉米就目前的生长状态下到底是缺水还是缺肥等问题,就像现场请到了一位农业专家一样,能够通过观测给出一个准确可靠的解决方案,这才真正达到玉米生长监测关键数据发布这个模块所实现的核心功能价值。同时,关键数据发布也能给上级农业管理部门提供方便快捷的服务工作与信息。

系统维护功能模块设计,毫不夸大地讲,此模块是每一个监测系统必备的功能模块,也是一个重要的设计环节与过程。因为每个系统不论内容多么完善,肯定总会有其不足之处或尚未考虑到的问题出现,因此必须进行后期运行状态维护、后台数据管理与数据库维护、以及系统运行过程中的安全管理等。

由此可见,玉米生长监测与远程诊断系统设计有7个服务功能模块,为了简化思路,通过集成与分析整理,将该系统进行归类,主要归纳为用户管理、网络控制、数据库管理、终端配置和监测诊断5大类,其归类图如图3所示。

5 讨论与结论

随着现代信息技术云计算与云服务的发展,“互联网+现代农业”的快速推进[6,7,8,9,10],运用现代化技术手段对宁夏扬黄灌区玉米生长监测与远程诊断关键技术研究已取得了突破性进展和质的飞跃。其应用模式不断完善,应用技术不断成熟,应用范围不断扩大,应用力度明显提高,并展现出其蓬勃的竞争力。因此,加快玉米生长监测与远程诊断系统的构建刻不容缓,必须跟上“互联网+现代农业”飞速发展的步伐,通过大力推广与示范,形成一个可服务宁夏玉米、小麦、水稻和马铃薯四大粮食作物生长监测与远程诊断平台,以及服务宁夏农业不同领域的物联网应用体系[11,12,13]。

浅谈电力无线远程抄表系统的架构 篇4

关键词：电力,无线远程抄表系统,架构

1 概述

随着电子网络的普及并进入家庭, 如今人们坐在家里不仅能享受远程教育、远程医疗, 开展电子商务, 还能实现远程抄表与交费, 远程抄表市场正迅速兴起。无线通信数字网络的飞速发展, 无线远程自动抄表已成为发展的必然趋势, 其应用领域极为广阔。本系统由带系统软件的主站、带GPRS模块的采集器、电度表组成。手持终端是本系统的补充, 在系统出现意外时进行人工抄表。本文就电力无线远程抄表系统的架构进行深入思考。

2 电力无线远程抄表系统的概述

目前, 基于仪表分布点多面广, 其远程抄表大多仍沿用有线传输方式, 线路维护量很大。由于电话线公用, 通讯时经常发生冲突, 既影响了数据的传输也对电调部门的正常工作造成了干扰, 并且此种方式对通讯部门程控交换机正常、稳定的运行也有一定的影响。为保证传输质量, 若采用专线方式, 投资成本太高;GPRS技术的用电管理自动抄表系统由电度表、带GPRS通讯模块的采集器和服务器组成。采集器实时采集用户的用电数据, 通过GPRS把数据汇集到服务器。具有采集数据快速准确, 能快速生成用电统计分析, 交费单据等特点, 与传统的人工抄表、电话线抄表相比, 极大地提高了效率。本系统除了准确、实时抄表外, 还提供了设备管理功能, 如告警:开箱告警、停电告警、逆相告警、超温告警、过载告警等;控制:对欠费用户进行拉闸等。并提供停电数据保护功能, 在停电48~72小时内仍可抄表和监控。

3 电力无线远程抄表系统的优势

3.1 成本低

GPRS无线网络可为电力系统提供了简单高效的通信传输手段。中国移动GPRS系统可提供广域的无线IP连接。在移动通信公司的GPRS业务平台上构建电力远程抄表系统, 实现电表数据的无线数据传输具有可充分利用现有网络, 缩短建设周期, 降低建设成本的优点, 而且设备安装方便、维护简单。

3.2 实时性强

由于GPRS具有实时在线特性, 系统无时延, 无需轮巡就可以同步接收、处理所有数据采集点的数据。可很好的满足系统对数据采集和传输实时性的要求。

3.3 集抄范围广

GPRS覆盖范围广, 在无线GPRS网络的覆盖范围之内, 都可以完成对集抄的控制和管理。而且, 扩容无限制, 接入地点无限制, 能满足山区, 乡镇和跨地区的接入需求。

3.4 传输容量大

数据中心要和每一个电表数据采集点保持实时连接。由于电表数据采集点数量众多, 系统要求能满足突发性数据传输的需要, 而GPRS技术能很好地满足传输突发性数据的需要。

3.5 传送速率高

每个电表数据采集点每次数据传输量在10Kbps之内。GPRS网络传送速率理论上可达171.2kbit/s, 目前GPRS实际数据传输速率在40Kbps左右, 完全能满足本系统数据传输速率 (≥10Kbps) 的需求。

3.6 易于扩展和维护

由于GPRS通信是基于IP地址的数据分组通信网络, 因此监测中心计算机需要一个固定的IP地址或固定的域名, 各个电表数据采集点采用GPRS模块通过IP地址或域名来访问该主机, 从而进行数据通信。

4 电力无线远程抄表系统的架构

4.1 公网接入方案

服务器采用公网方式接入Internet, 如ADSL拨号宽带上网, 申请公网固定IP地址;可以实现中小容量的电表数据采集应用。

4.2 专网接入方案

服务器采用中国移动通信公司提供的DDN专线, 申请配置固定IP地址, 与GPRS网络相连。由于DDN专线可提供较高的带宽, 当电表数据采集点数量增加, 中心不用扩容即可满足需求, 可实现大容量数据采集应用。监控中心服务器接受到GPRS网络传来的数据后先进行AAA认证, 后传送到监控中心计算机主机, 通过系统软件对数据进行还原显示, 并进行数据处理, 这样进一步增强了系统数据通信安全性能。配电中心计算机主机可进行业务管理和计费管理, 对电力数据进行校验、计算、存储、分析、管理等, 可对异常情况进行告警, 同时对用户使用情况实时监控, 保证电力局的合法收益。

4.3 GPRS移动数据传输网络

电表集中器采集的数据经GPRS网络空中接口功能模块同时对数据进行解码处理, 转换成在公网数据传送的格式, 通过中国移动的GPRS无线数据网络进行传输, 最终传送到监控中心IP地址。各电表使用GPRS透明数据传输终端, 通过移动的GPRS网络与配电中心相连。电表使用GPRS普通数据卡或APN专用数据卡, 同时监控中心对各点GPRS终端编号进行登记, 并与采集点信息进行关联, 以便识别和维护处理。采集中心运行数据采集中心系统软件, 实时采集电表数据。凡电力局授权的信息采集点均可以使用本系统:电表数据采集点必须使用移动统一的APN卡, 用户使用本卡只能用于与供电局数据中心通信。终端设备使用北京东方讯科技公司提供的CG12DTU无线透明数据传输终端。产品基于中国移动的GPRS网络, 具有高性能、高可靠及抗干扰能力强等特点, 提供标准RS232/RS485接口, 可直接与PC、单片机系统、RTU测控终端、PLC、GPS接收机、数据集中器等连接, 具有远程诊断、测试、监管功能, 满足各行业调度或控制中心与众多远端站点之间的数据采集和控制。高度集成GPRS和TCP/IP技术, 可实现点对点, 点对多点等灵活的无线组网方式内置嵌入式CPU完成复杂的网络协议, 支持PPP, ICMP, TCP, UDP, DNS等协议, 为用户数据提供透明传输通道。用户登记:符合供电局的规定。推荐省级配电中心通过公网使用APN接入到移动GPRS网, 这种方式成本比较低, 安全性比较高, 而且速度和网络服务质量都保障;也可以通过GPRS专线接入到移动GPRS网, 这种方式成本高, 安全性高、稳定可靠。由于GPRS通信是基于IP地址的数据分组通信网络, 配电中心计算机主机配置固定的IP地址, 各个电表数据采集点采用GPRS模块和该主机进行通信。

结束语

综上所述, 远程抄表需要投入大量的人力、物力和财力。因为数量众多, 地理位置分散, 给工作人员带来极大的不便。随着GPRS网络的逐渐完善和应用技术的不断成熟, GPRS的应用领域也会越来越广阔。电力公司可利用GPRS移动数据网络对各重要电力节点、大用户电表进行监控, 自动读取相关数据并加以分析, 还可进一步进行远程控制或设备维护, 可减少人力资源、缩短修护时间并节省专线建设成本。

参考文献

[1]陈天恩.基于GSM技术的远程自动抄表系统研究[J].机电信息, 2011, 18.

开放环境下的远程证明体系架构设计 篇5

可信计算[1]的出现为各种安全问题的解决提供了一种新的思路和方法,这种新的思路和方法主要是通过在原有的硬件主板上增加一块类似于安全协处理器芯片的可信平台模块(TPM)来实现的。TPM为建立IT系统安全提供了多个重要的功能,比如用于存储加密密钥以及其它的机密数据的安全存储机制等等。TPM还可以实现向一个远程实体证明本地平台配置的能力,TCG将其称之为远程证明机制。

目前对远程证明机制的研究主要有:TCG规范提出的完整性报告机制[2]、IBM的IMA体系架构[3]以及IBM结合IMA和CW-Lite完整性模型提出的证明框架PRIMA[4]、基于属性的证明[5]、基于语义的证明[6]等等。在详细分析完这几种机制之后,本文认为在一个开放式的系统下,使用证明技术建立信任关系需要解决以下几个问题:

1) 有效地降低证明机制实施的复杂度

目前的IT系统大多是一个开放性的、非资源受限的操作环境,系统本身的复杂性限制了上述证明技术的应用,换句话说,在当前的操作环境下应用这些证明技术会增大证明的复杂性。最为有效的解决方案就是从体系架构上改变操作环境的设计,使得新设计的架构既能支持证明技术,又能降低证明技术实施的复杂度。

2) 建立一条安全有效的证明通道

使用TPM实现远程证明机制面临的诸多挑战之一就是如何确定在证明系统和证明者之间建立一条安全通道并且保证这条通道的安全性。如果此通道不是以一种安全的方式建立的,那么攻击者就可能会把这个证明挑战转发给另外一个主机,并且将其主机伪装成可信主机。现有的几种机制着重关注的是证明的实施,而没有考虑安全通道的建立及维护,因此面临着伪装攻击的危险。

3) 充分考虑平台隐私泄露的问题

远程证明的一个核心就是将完整性度量日志发送给证明方以便让证明方验证整个平台配置的完整性(基于属性的证明和基于语义的证明除外,但是这两者均需要转换平台配置及相应的属性/语义,因此会引发巨大的性能开支,在实际应用中是不可行的),攻击者简单分析截获到的响应消息,就可以发现包含所有运行着的进程在内的整个平台的配置信息,进而引发隐私泄露的问题。因此需要提供一种隐私保护机制,以便在不泄露平台具体配置的情况下,确定平台的信任级别。

虚拟化技术将分隔机制融入到了操作系统中,其主要思想是使用一个监控程序或者虚拟机监控器来建立多个隔离的、互不影响的执行环境,其中任一个环境中的错误/缺陷都不会对其它环境产生影响,Madnick和Donavan曾经形式化证明过这种方法可以大大地提高软件安全性和可靠性[7]。但是,虚拟化方法本身并不是万能的,因为它并不能保证一个组件,比如监控程序能够如预期般执行,而这正是可信计算要解决的问题。因此,越来越多的组织和研究单位逐步转向了对如何有效地结合虚拟化和证明技术来增强系统安全性的研究。结合虚拟化和证明,可以使用户信任某一平台是真实可信的,并且平台也没有受到恶意软件组件的危害。与此同时,还可以构建相互隔离的虚拟机环境,使得某一要保护的组件免受其它组件的干扰,进而构建强大的自我防御系统,免受敌手的损害。

本文首先给出了在开放环境下使用远程证明建立信任关系需要解决的问题;接着,结合虚拟化和可信计算技术,提出了一种适用于分布式环境的安全体系架构Sec_TV,阐述了在此安全体系架构下如何建立多个具有不同信任级别的、相互隔离的执行环境来增强分布式环境的安全性及可信性;第三,给出了Sec_TV下的远程证明协议设计;最后,从Sec_TV体系结构及远程证明协议两个方面讨论了这个远程证明体系架构的安全性。

2 安全体系架构Sec_TV

如第1节所述,当前可用的操作系统环境本身的设计比较复杂,并且没有提供执行环境间的强隔离机制,为了使用证明技术来确定特定的目标应用程序是可信的,操作系统的所有可执行组件都必须要求是完全可信的,即便这些组件对目标应用程序并没有直接的影响。另一方面,由于要度量所有这些可执行组件,因此就会产生许多的度量值,而每一个度量值都需要提供一个可信的参考值,这些可信参考值的存储受限于TPM的硬件能力及extend函数的aggregate操作的限制。因此,可以说,在当前可用的非受限操作系统环境中使用证明技术是不可行的。因此,本文结合虚拟化技术,为开放式的非资源受限平台提出了一种新的安全体系架构Sec_TV,如图1所示。

跟Terra[8]一样,Sec_TV使用了不同类型的VMs来实现隔离的执行环境,这些VMs都是单独的实例,因此我们可以向其中一个实例而不是向整个操作系统环境来证明其可信性。这些VMs可以划分为三类:① 可信VM,负责运行高敏感度的代码;② 开放VM,负责运行任一低信任级别的软件组件,比如Web浏览器或者Office应用程序因此不是本文关注的重点;③ 管理VM,负责启动、停止以及配置VMs。

2.1 可信虚拟机监控器(TVMM)和管理VM

VMM是一个软件层,其主要目的就是划分底层硬件并且为当前运行在平台上的VMs提供访问硬件的接口。由于它具有访问底层硬件的特权,并且可以授权访问正在运行的VMs以及撤销来自正在运行的VMs的访问(比如CPU调度),所以要求这个VMM必须是可信的。目前,VMM的属性已经在相关文献中得到了广泛研究:隔离性、有效性、兼容性及简单性。而在Sec_TV中,TVMM与管理VM紧密相连,可以为虚拟机提供附加的安全服务:完整性度量、安全存储以及TPM支持等等,可以说,TVMM与管理VM一起共同形成了Sec_TV的安全基础:

(1) 平台的完整性度量 Sec_TV支持完整性度量功能以提供对虚拟机配置的明确描述。管理VM提供了一个完整性度量引擎,它可以在管理VM产生VM之前对VM的软件映像进行SHA1度量,以提供对虚拟机配置的明确描述,并且将获取的度量值存储到VM的vTPM安全存储内。

(2) 完整的信任链 Sec_TV的TVMM通过一个虚拟化的TCM接口,为上层VMs提供了底层硬件TCM的一个抽象(即vTCM),并且实现了vTCM与底层硬件TCM的绑定,进而可以将TCG的可信引导过程扩展到终端用户应用程序(即可信虚拟机TVM内),从而建立了一条从底层硬件到上层应用的完整信任链。

(3) 远程证明 在Sec_TV中,运行在TVM内的证明服务可以向认证本地系统状态的远程方报告包括本地平台状态,实现平台认证的功能,这个平台状态不仅包括本地硬件环境,而且还包括运行在TVM内的所有启动进程、配置文件、内核模块以及脚本在内的所有组件的状态,进而保证了证明的完备性,解决了传统操作系统环境下的不完全度量引发的问题。

(4) 安全存储 Sec_TV将某一特定的内存隔离区域划分为安全存储区域,实施对敏感数据(比如特定状态的vTCM数据、VM镜象、VM特定数据等等)未授权访问的控制。安全存储是受TPM硬件保护的,只有在认证证书正确的情况下,才可以授权访问这个安全存储。

(5) 强隔离 平台证明特性可以及时陈述特定平台特定点的信任级别,但是,它不能确定可能会导致系统转换到非可信状态的状态转换,因此TVMM必须提供相应的机制,仅允许系统发生那些不会影响TVM的状态转换,这个特征是通过TVMM的强隔离属性来实现的。

2.2 可信VM(TVM)

TVM可以看作是一个运行敏感软件进程的容器,通常情况下,每一个TVM仅被装配了一个安全事务应用程序及极少数的操作系统内核组件及用户空间软件。这种方法大大增强了系统的安全性,因为攻击者利用系统弱点发生攻击的机率会随系统复杂度的增加而增加。另一方面,为了确保TVM的状态转换不会影响到TVM的可信性,必须配置运行在TVM中的操作系统只能达到某些完全可信的状态,因此,必须配置TVM的操作系统禁止执行其它的软件组件,包括内核模块或用户应用程序。这种方法是可行的,因为TVM仅由一些特定目的的特定应用程序组成,而不需要执行其它的软件组件。

每当创建一个新的TVM时,vTCM管理器需要为其创建并初始化一个vTCM实例,初始化过程是将底层硬件TCM的PCRs[0-15]的值依次填充到vTCM实例的PCRs[0-15],并且将该TVM镜象的度量值填充到对应vTCM的PCR[16]中。TVM产生到TVM应用的流程如下:

VM管理器启动一个新的TVM→从安全存储加密该TVM映像→度量引擎度量该TVM映像→ vTCM管理器创建一个vTCM实例对其进行初始化后指派给此TVM→vTCM管理器创建一个vAIK证书→请求使用此TVM的远程实体证明此TVM的身份可信性及状态完整性→使用此TVM。

2.3 VM的证明

为了使TVM可以向远程实体报告其完整性,需要将信任置于其使用的系统配置中,因此,需要使用远程证明技术。在Sec_TV安全体系结构中,证明服务是置于TVM内的,与文献9中将证明服务置于安全内核(管理VM)中的方法相比,它具有两种优势:

(1) 可以降低TCB的复杂度 因为此时安全内核仅结合了完整性报告的唯一组件,比如度量引擎。

(2) 可以支持满足不同安全目标的多种不同证明方法的实现 这对于分布式环境下证明平台身份及状态是非常有用的。

VM的证明是本文所要关注的重点。

3 Sec_TV的远程证明协议设计

图2给出了Sec_TV虚拟机远程证明协议的一个简图,严格来讲,我们可以将这个证明过程划分为两个阶段,一是vTCM的初始化阶段,另外一个就是虚拟机的证明阶段。初始化阶段包括AIK证书的产生及vTCM和TCM之间的绑定。证明阶段是由置于证明实体内的证明服务触发完成的,用于证明TVM状态的可信性。

3.1 Sec_TV虚拟机远程证明协议初始化阶段

3.1.1 AIK证书的产生

AIK证书是通过收集与客户方平台有关的信息并且发送给可信第三方,称之为隐私CA(PCA),由这个可信第三方来创建的,客户方平台从PCA处获取AIK证书的一般过程如图3所示。

客户方平台首先收集与AIK证书相关的信息,并使用公开的PCA密钥加密证书创建请求,发送给PCA,PCA接收到客户方平台传输过来的数据之后,首先使用其私有PCA密钥对数据进行解密,然后再验证EK证书、平台证书以及一致性证书的有效性,若验证通过,则创建AIK证书,并且使用客户方平台的AIK公钥对其进行加密并发送回客户方。

3.1.2 vTCM-TCM的绑定

为了能够准确地向远程实体报告TVM的平台配置情况,vTCM管理器必须提供一种机制实现vTCM和底层硬件TCM之间的绑定,否则的话,TVM很可能会向远程实体报告一个不能反映底层硬件TCM度量结果的度量值列表。

vTCM-TCM的绑定主要考虑的是密钥的产生和管理,因为密钥是制定算法、存储以及整个系统安全的主要实体,在vTCM内产生的密钥并不会像硬件TCM中产生的密钥那样安全,所以我们可以考虑使用硬件TCM密钥来封装vTCM的密钥,这样不仅可以增强vTCM密钥的安全性,而且还可以增强vTCM-TCM的绑定力度。目前有多种不同的方法可以实现vTCM和TCM之间的绑定(文献[15]),作者在认真考虑之后,决定对第三种方法稍做修改:vTCM的密钥由vTCM本身产生,但是使用硬件TCM的相应密钥对其进行封装,比如使用硬件TCM的AIK封装vTCM的AIK,即连接每一个vAIK到硬件AIK以实现vTCM-TCM的绑定,如图2中的“vTCM-TCM绑定”部分所示,其具体流程如下:

(1) vTCM创建一个vAIK,并且向vTCM管理器发起vTCM-TCM绑定请求(nonce);

(2) vTCM管理器将请求以及vTCM的vAIK转发给TCM;

(3) TCM创建其自身的AIK,并且通过一个隐私CA(也可以通过DAA系统)获取一个对应的AIK证书;

(4) 主机TCM使用其自身的AIK对vTCM所提供的nonce、TCM的PCRs[0-15]的值进行签名,并随AIK证书一起发送给vTCM管理器;

(5) vTCM管理器创建vAIK证书,并使用vEK进行加密传输给vTCM实例。

至此,完成了vTCM-TCM的绑定,也为远程证明创建了可以证实平台配置可信性的vAIK证书。

3.2 Sec_TV远程证明阶段协议设计

证明阶段的主要任务是由置于证明实体内的证明服务来触发完成的。证明服务接受来自远程挑战方的证明请求之后,首先需要在远程挑战方与证明实体(待证明VM)之间建立一条安全可靠的证明通道,如第1节所述,这是确保远程证明有效实施的基本条件。然后由证明服务收集可以证实证明实体身份及完整性的相关信息,发送给挑战方。最后由挑战方根据度量日志中的事件序列重新计算度量值后,与传输过来的vPCRs值进行比较,若一致,则认为证明实体的完整性没有被破坏,证实实体是可信的,否则认为证明实体是不可信的。

下面是结合安全通道的平台远程证明协议:

协议描述:证明实体响应挑战者的证明挑战,建立一条安全可信的证明通道,并协商保证此通道上传输信息安全性和完整性所使用的密钥。

协议实体元素及符号:A表示挑战者,B表示证明实体,KAB表示A与B之间协商的密钥。

(1) 协议消息序列

A→B : nonce, ga mod p,g,p (1)

A←B : Cert(vAIK, KvAIK ),{nonce, vPCRs, gb mod p}K-1vAIK (2)

A←B : {nonce, gb mod p}K-1B (3)

A→B : {finished}KAB (4)

A←B : {finished}KAB (5)

A←B : {nonce, SML}KAB (6)

A→B : {trust/distrust}KAB (7)

(2) 协议描述

(a) A使用一个160bit的nonce向B发起证明挑战,并且选择一个恰当的素数p及产生器g,g∈ℤ*p,2≤g≤p-2,并选择一个随机数a,计算ga mod p,将结果与p,g一起随nonce发送给B。

(b) B选择一个随机数b,2≤b≤p-2,计算gb mod p,并且使用vAIK签名所请求的vPCRs值及A发送过来的nonce,并将其与vAIK证书一起作为证明响应发送给A。

(c) 为了提供用户认证,B使用一个用户特定的密钥K${}_{\text{B}}^{-1}$对除vPCRs之外的所有信息进行签名,并且将此签名值一并发送给A,同时,计算与A之间的协商密钥KAB=(ga)b mod p。

(d) A接收到B发送过来的消息之后,计算协商密钥KAB=(gb)a mod p,并且发送一个finished消息给B。

(e) B接收到A发送过来的finished消息之后,使用协商密钥将nonce和SML一起发送给A,同时也发送一个finished消息给A。

(f) A接收到证明响应之后,执行下面的步骤:

• 首先检查vEK、一致性证书以及平台证书以验证vAIK证书是否属于vTCM。

• 从vAIK证书中提取出vAIK密钥,对接收到的数据进行解密,读取物理TCM的AIK证书、vPCRs值以及nonce。

• 将读取的nonce值与挑战请求中的nonce值比较,以验证证明消息的新鲜性。

• 确定AIK证书来自一个真实的TCM。

• 检查vPCRs的有效性。根据SML的信息重新计算哈希值,并将其与PCR值做比较,如果一致,且上面的步骤都是成功的,那么这个系统将被认为是可信的。否则的话,则认为平台不可信。

(g) A回应信任/不信任B的平台配置。

4 安全评估

4.1 Sec_TV的安全评估

首先需要说明的是,本文针对“如何在开放式环境下建立信任关系”提出了一种新的安全体系架构Sec_TV,该架构本身的安全性,笔者在另外一篇文章中给出了详细论述[10]。本节主要是从如何解决传统模式下应用证明技术建立信任关系所面临的问题来对Sec_TV进行评估。

Sec_TV结合虚拟化和证明技术来建立信任关系,这种方式相比较于传统方式应用证明技术具有两种明显的优势:

(1) 可以简化证明技术实施的复杂性

传统方式下的证明技术需要证明包括运行在机器上的所有进程在内的整个平台配置的可信性,而在Sec_TV架构下,则只需对那些要求是可信操作的进程(通过为其创建单独的可信虚拟机)进行证明,那些不负责与远程实体进行通信,也不要求处理机密数据的进程,可以不包含在完整性度量列表之内(通常将这些进程放到普通虚拟机内),在这种情况下,完整性度量和报告仅包含了那些对整个事务处理有重要影响的敏感进程,而排除了诸如e-mail、多媒体之类的一般应用程序,因此简化了证明的复杂性。

(2) 在一定程度上解决了实施证明技术所面临的隐私泄露问题

传统方式下的证明技术是将完整的度量日志发送给证明方以便让证明方验证整个平台配置的完整性。攻击者简单分析获取到的响应信息,就可以包含所有运行着的进程在内的整个平台的配置信息,进而引发隐私泄露的问题。Sec_TV则简化了用于描述平台配置信任级别的信息数量,验证者只能获取整个平台配置的一个子集,而不能获取包括所有运行着的进程在内的整个平台配置的所有信息,因此在一定程度上解决了传统的证明技术所面临的隐私泄露问题。

4.2 证明协议的安全评估

根据攻击者在远程证明协议的位置,可以将远程证明协议所面临的攻击粗略的划分为三大类[11]:

(1) 网络入侵者的攻击,主要是通过截取、篡改、重放等攻击手段在网络中对远程证明展开攻击。主要方式有:中间人攻击、伪装攻击、平台配置窃听等。

(2) 平台内部攻击者的攻击,主要是通过攻击完整性度量架构以及TPM硬件实施的攻击。主要方式有: TOCTOU攻击、恶意修改度量引擎、TPM硬件攻击等。

(3) 验证方平台的攻击,主要是通过分析证明数据得到证明平台的身份、配置信息,从而破坏远程证明的隐私性。主要方式有:平台配置隐私泄露等。

其中,在证明架构设计过程中,充分考虑下面的条件,可以规避第2种和第3种类型的攻击:

① 平台的CRTM(BIOS)和CPU是可信的;

② TCM的设计及应用遵循TCG规范;

③ 完整性度量引擎不存在bug。

因此,在证明协议的执行过程中,攻击者参考平台证明过程进行攻击的一般目标就是在通信过程中试图重放一个不新鲜的平台配置,以便将一个不可信的平台配置伪装成可信的来实施的。在Sec_TV架构下的证明协议,首先在远程挑战方与证明实体(待证明VM)之间建立了一条安全可靠的证明通道,该协议使用了一个密钥建立阶段扩展了原有的远程证明协议以确保这条证明通道是真实的,如第1节所述,这是确保远程证明有效实施的基本条件,接下来的所有消息都是使用双方协商的会话密钥KAB进行封装过的,对于攻击者来说,不要执行某种类型的中间人攻击并且在远程挑战方和验证实体之间建立两条不同的加密会话是不可能的,这是因为攻击者不可能修改证明实体B的证明响应。另一方面,会话密钥KAB是由可信操作系统保护的(比如存储此密钥到安全内核的一个特定区域或者是存储到一个特定的虚拟机中),因此,在正常的运行条件下是不可能提取此密钥的,而改变可信操作系统环境提取此密钥则会在证明阶段被检测到。因此可以说Sec_TV证明协议通过一条安全可靠的证明通道保证了在Sec_TV架构下实施的远程证明协议涉及的消息内容的真实可靠性,进而保证了远程证明结果的真实可靠性。

5 结 语

本文首先给出了在开放环境下使用远程证明建立信任关系需要解决的问题,接着,结合虚拟化和可信计算技术,提出了一种适用于分布式环境的安全体系架构Sec_TV,阐述了在此安全体系架构下如何建立多个具有不同信任级别的、相互隔离的执行环境来增强分布式环境的安全性及可信性,第三,给出了Sec_TV下的远程证明协议设计,最后,从Sec_TV体系结构及远程证明协议两个方面讨论了这个远程证明体系架构的安全性。

摘要：虚拟化技术和证明技术相互依赖,只有两者相互结合,才能为安全系统奠定坚实的基础。首先给出在开放环境下使用证明技术建立信任关系需要解决的问题,然后提出一种支持远程证明的安全体系架构SecTV,讨论该架构如何结合虚拟化和证明技术来增强系统的安全性,并给出SecTV下远程证明协议设计,最后,从SecTV体系架构本身及SecTV远程证明协议两个方面讨论这个远程证明体系架构的安全性。

关键词：可信计算,虚拟化,远程证明,TCM,vTCM

参考文献

[1]http://www.trustedcomputing.com/.

[2]Stumpf F,Tafreschi O,Roder P,et al.A Robust Integrity Reporting Pro-tocol for Remote Attestation[C]//Second Workshop on Advances in Trusted Computing(WATC'06Fall),Tokyo,Japan,November2006.

[3]Sailer R,Zhang Xiaolan,Jaeger T,et al.Design and Implementation of a TCG-Based Integrity measurement architecture[R].IBM Research Report.

[4]Jaeger T,Sailer R,Shankar U.PRIMA:Policy-Reduced Integrity Meas-urement Architecture[C]//SACMAT'06:Proceedings of the eleventh ACM symposium on Access control models and technologies,New York,NY,USA,2006:19-28.

[5]Chen Liqun,Landfermann R,Rohe M,et al.A protocol for property-based attestation[C]//STC’06:Proceedings of the first ACM workshop on Scable trusted computing,2006:7-16.

[6]Haldar V,Chandra D,Franz M.Semantic Remote Attestation:A Virtual Machine Directed Approach to Trusted Computing[C]//USENIX Vir-tual Machine Research and Technology Symposium,2004.

[7]Madnick S E,Donovan J J.Application and Analysis of the Virtual Ma-chine Approach to Information System Security and Isolation[C]//Pro-ceedings of the Workshop on Virtual Computer Systems,New York,NY,USA,1973:210-224.

[8]Garnkel T,Pfa B,Chow J,et al.Terra:A Virtual Machine-Based Plat-form for Trusted Computing[C]//SOSP'03:Proceedings of the nine-teenth ACM symposium on Operating Systems Principles,New York,NY,USA,2003:193-206.

[9]Jansen B,Ramasamy H,Schunter M.Flexible Integrity Protection and Verication Architecture for Virtual Machine Monitors[C]//Second Workshop on Advances in Trusted Computing,2006.

[10]于颖超,刘了.一种结合可信计算和虚拟化技术的安全平台架构设计[J].高性能计算技术,2011(4).