校园一卡通系统的网络**体系设计

图1 闭环网络系统结构

   从控制理论的角度来看。闭环结构提高了网络系统的可靠性，增强了系统的维护性和扩展性，降低了系统的远程运行费用，实现了信息资源的共享。DCCS的信息**涉及DCCS的**体系结构、通讯协议的**性设计、信息加密技术、**域**子域等方面的内容。在当前DCCS的网络**理论的研究大大落后于DCCS的实际应用的情况下，对DCCS**体系设计的研究是十分有意义的。

   本文将分析DCCS**体系的设计目标、设计要求和设计原则等问题，并提出自律分散DCCS**体系的设计方法，同时指出DCCS网络信息**分体系设计中应进一步研究的问题。

1．DCCS的信息**

1．1基本概念

   DCCS的信息**包括信息系统的**、信息数据的**和信息内容的**。其核心就是要保障DCCS的所有信息免遭偶然的或者恶意的破坏、更改、泄露和删除。DCCS的信息**涉及到信息在采集、传递、存储和应用等过程中如何保证完整性、合法性、可靠性、可用性、保密性、真实性和可控性等的相关技术理与理论。

1．2体系结构

   DCCS的信息、信息载体和信息环境是DCCS信息**的三大类保护对象。由此构成了DCCS信息**体系结构。

   信息是指DCCS各节点之间在网上传输的信息．置于信息**体系结构的内层，既包含实时信息，双包含非实时信息，例如，事故报警信息、系统状态信息、过程参数测量信息、网络控制器控制信息、开关和阀门的位置信息、系统组态信息、系统诊断信息、系统维护信息、系统备份信息、网络调度信息、管理决策信息等；信息载体指信息的承载体，处于信息**体系结构的中间层，包括物理平台、系统平台、通信平台、网络平台和就用平台，如通信协议、网络协议、应用协议及其软件等；信息环境指DCCS的信息及信息载体所处的环境，处于信息**体系结构的外层，包括硬环境和软件环境。

2．DCCS的网络**

   DCCS网络**的核心就是要保证信息**的网络上传输与共享，保证网络系统的**运行。DCCS中的“网络”泛指广义网络．包括现场总线网络、工业太网和互联网等。

   DCCS的网络**体系结构包含三个层次：密码**层、网络**层和环境**层：网络**处于中间层．一方面它需要密码**层的支持．同时也为密码**层提供运行环境：环境**处于外层，为网络**层．密码**层提供可靠的设施和管理等**环境。

3．DCCS的**体系设计

3 ．1设计目标 

   DCCS**体系设计的目标在一定约束下，尽可能满足用户的**需求。这里需要解决如下三个基本问题： 

    (1)如何根据**需求制定**策略，即DCCS的**分板问题。
    (2)如何将**需求映射为**体系，即DCCS的**设计问题。
    (3)明确**体系满足**需求的程序．即DCCS的**评价问题。
 
    解决上述问题需要系统化和结构化的设计方法及其辅助工具的支持。

3．2设计原则

    DCCS**体系的设计需遵循如下一些设计原则：

    (1)木桶原则。木桶的容积取决于*短一块木板．而DCCS的**性则取决于*薄弱的环节。
    (2)整体性原则。对DCCS不仅要提供**防护和检测机制．还应提供应急恢复机制等。
   (3)等级性原则。对DCCS的网络应进行分级，包括对信息保密程度分级、用户操作权限分级、网络**程度分级、系统实现结构分级(如应用层、网络层、链路层等)。
    (4)有效和实用原则。**机制不应影响DCCS正常运行．应有效、简单和实用
    (5)动太性原则。**体系内应尽可能引入可变因素。使**体系具备良好的动态性。
   (6)失效保护状态原则。网络**防护系统失效模式应是“失败一**”型，即一旦防火墙屏蔽子网失效、重启或崩溃．就**阻断内部网络与外界的连接。
    (7)缺省拒绝状态原则。从**角度讲．缺省拒绝状态是失败效保护状态。
   (8)设计为本原则。DCCS的**重在设计，**性设计应与DCCS的体系结构、通信协议、迭制策略设计相结合，采用同步与并重的原则。
   (9)有的放矢和各取所需原则。根据不同的控制对象．其**侧重点各不相同，应综合考虑解决方案，提高性行走价格比。

3．3设计要求

    DCCS**体系的设计要求如下：

   (1)应综合考虑DCCS体系结构。确保DCCS的网络**服务质量。应**考虑DCCS拓扑结构、通信协议、控制策略和被控对象的动态特性，满足DCCS对网络**服务质量的各种需求．确保DCCS**服务技术先进性、风络**服务质量的优良性、**体系运行的可靠性、稳定性和可持续发展性。

    (2)应采用冗余和备份技术，提高系统的可用性与生存性。

   网络的拓扑结构设计应通过节点和链路的冗余与备份手段来提高DCCS的可用性与生存性。关于冗余技术，可考虑采用网络冗余，隔离故障，以避免全网失效：采用硬件冗余，使个别故障不能影响整个系统的正常运行：采用功能冗余．在某些部件(或节点)失效时，其余完好的部件(或节点)部分或全部地承担起故障部件所丧失的控制作用，以维持控制系统的性能在允许的范围内：采用时时冗余，检出和纠正由于暂时故障引起的错误．采用信息冗余，对传输数据进行冗余校验。此外，还可考虑采软件冗余等冗余技术。关于备技术．可考虑采用网络备份．用于网络的防毁、抗灾以及应急处理：采用信息备份．对DCCS的状态信息(如系统组态信息、关键参数信息等)进行备份，以便于分析与处理。

    (3)应确保DCCS的可控性、可观测性和稳定性不受影响。
    (4)信息加密／解密及传输过程必须满足DCCS的实时性要求。
    (5)不应降低DCCS的网络服务质量和控制性质量
    (6)应使用成熟可靠的**技术和措施，减少DCCS**体系本身的**漏洞
    (7)根据被保护对象的重要性．应划分不同的**等级：提高**体系设计的经济性。
    (8)应减少不同**等级问被保护对象的**耦合以提高DCCS的整体**性。
   (9)**体系应具有可重构性。DCCS的**状态可根据**评估模型划分等级，如正常、紧急、事故等状态。当系统处于正常状态进．**策略倾向于易用性；当系统受到频繁攻击时，可通过**重构加强系统**性．使**策略更倾向于**性：当系统处于事故状态时，**策略倾向于故障**状态，确保故障节点或子系统处于*低**状态，避免导致整个系统崩溃。可重构成的DCCS**体系，可以有效地解决易用性与**性之间的矛盾
   (10)**体系应具有局部可恢复性和生存性。一旦DCCS**体系中某个节点或子系统**性被破坏，该节点或子系统应及时被隔离，或限制与其他节点或子系统通信，直到该节点或子系统恢复**性．才解除隔离或限制。这样．即使DCCS局部(或**或**体系受到破坏，也不至于导致整个系统体体系崩溃。
   (11)**体系应具有开放性和动态扩展性。随着网络环境的变化以及新的漏洞和攻击手段出现．DCCS**体系必须根据坏境的变化做调整，并增强自身的扩展能力。

3．4设计中应注意的几个问题

    DCCS**体系设计中有若干问题需要进一步研究。

   (1)信息系统划分信息技术的基本原则是数据共享、网络互连。凶此，在信息技术应用的过程中应特别强调以数据库为核心，以网络为支撑。DCCS的信息系统划分到少应遵循以下原则：

    ① 不同**等级的应用*好划分为同的系统或子系统。系统的**设计应根据应用的要求确定既要避免**性和可靠性方面漏洞．也要避免不必要的开销
    ②处于不同**等级网络上的系统或子系统之间信息交换不宜过多。应尽可能采用从高到低的单向传输，必要时设置有效的隔离装置。
    ⑧ 能在**等级较低的网络上实现应用系统．不宜放到**等级较高的网络中实现。

   (2)信息系统的功能：当DCCS中信息的产生和消费内奸属于不同的系统域子系统时，就将功能放在信息消费多的那分系统中。

   (3)信息的采集方式：实时信息大多来自DCCS的控制点，信息的采集应由DCCS来完成．而管理的对象和内容则通过人同交互的方法获得。从控制系统休集信息时，要严格限制为单向获取数据，保证信息采集不会对DCCS造成影响。

    (4)信息的传输方式：DCCS信息的传递可大致分成三类。

    ① DCCS内部各节点之间的信息传递，只存在可靠性及信息盗用的威胁。
    ②不同DCCS之音的信息传递．除存在可靠性及信息盗用的威胁外，还存在系统之间互扰及错误信息流向等问题。
    ⑧ 广义网络信息资源与所有DCCS之间信息传递。

3．5自律分散DCCS**体系的设计方法

   DCCS融合了控制、计算机和网络通信技术，是一个典型的混杂动态控制系统(HDCS)。影响DCCS信息**和网络**的因素众多而繁杂，因而需要有一套系统化和结构化的设计方法相应的辅助工具，用以设计DCCS的风络**体系。自律分散DCCS**体系的设计方法，实现了DCCS**体系结构的动态变化和在线功能

3．5．1自律分散DCCS**体系的基本概念

    随着DCCS规模的扩大多，控制功能的分散化，节点分布的方域化．攻击手段多样化和网络环境参数变化的复杂化，DCCS将变得愈来愈难以控制。与此同时，随着用户需求和网络资源的变化，DCCS的体系结构(控制结构、拓扑结构和通信协议等)也处在不断的变化与发展过程之中。DCCS的组成部件(节点)的增加或减少，将导致DCCS**域的扩展收缩。所有这些变化都要求DCCS的**机制能跟随这些变化做出快速的响应，**策略能跟随这些变化进行动态的调整，以便**地反映变化过程中系统的**需求。同时，也要求DCCS的**体系能动态地适应网络环境的变化。

    自律分散DCCS**体系．将DCCS**体系划分成许多自律**体系单元由于DCCS**体系变化的动态性，整个系统**体系很难事先完全定义．只能定义若干自律**体系单元，然后集成。自律分散DCCS**体系*为重要的特点，就是自律**体系单元的自我控制和自我协调能力。即自律**体系单元应具有以下两个基本特性：

    (1)自律可控性(autonomouscon-trollability)：系统如果有任何自律**体系单元出现故障、正在维护或刚刚加入，都不能影响其他自律**体系单元的自我管理及功能的运行。
    (2)自律可协调性(autonomousCOOrdinatability)：系统如果有任何自律**体系单元出现故障、正在维护或刚刚加入．其他自律**体系单元之间能够协调各自的任务，并以协作方式运行以实现各自功能。基本自律**体系单元的自律可控性和自律可协调性设计的DCCS**体系．可确保**体系的在线扩展(on-lingexpansion)、在线维护(on—ling maintenance) 在线容错(on—lingfaulttolerance)功能。这些特点与不断发展和变化的DCCS的**需求非常吻合。

3．5．2 自律分散DcCS**体系的设计方法

   自律分散DCCS**体系的设计方法，采用自底向上、由内向外，从自律**体系单元逐步构成整个DCCS**体系的系统设计方法．突破了假定在设计阶段**体系的结构、规模和功能都是确定的自顶向下的系统设计方法。自律分散DCCS**体系支持DCCS分阶段建设和实施。使DCCS**体系具备在线扩展、在线维护和在线容错等“动态”功能．适应了DCCS**体系结构的动态变化，实现了DCCS**体系设计方法的突破。

   DCCS的信息**和网络**是整体的、动态的，不是单一的信息**和网络**技术能够实现。在保证DCCS信息传输的可靠性和衬里前提下．综合考虑DCCS的信息**网络，寻找确保网络信息**网络效率的平衡点，建立真正适合于DCCS的网络信息**体系结构。对于DCCS的**体系设计，迫切需要开展以下研究工作：

   (1)**开展DCCS网络信息**保障技术规划与设计研究。从硬件及软件两方面为DCCS提供完整的**系统平台，建立DCCS综合**评估模安型
   (2)DCCS的网络信息**，不仅关系到网络**问题，而且还涉及信息系统的划分、功能定义、数据采集、数据库结构构设计等一系列问题。需要从整个DCCS体系结构、通信协议、节点状况、被控对象特性、网络资源等方面综合考虑，确保DCCS**运行。
    (3)加强对DCCS网络信息**设计相关理论的研究，以推动DCCS的网络**理论向前发展。