1 确定性通信网络的选用分析

　　对于分布式机载强实时高安全控制系统而言，节点间通信的实时性与确定性是系统实现的关键。目前实时嵌入式计算机系统中普遍使用基于事件触发的串行通信协议。大量研究表明：对高可靠性系统而言，基于时间触发的总线网络的解决方案更具优势。时间触发架构(Time-triggered Architecture，TTA)系统和事件触发架构(Even-triggered Architecture，ETA)系统的工作原理不同。前者的控制信号来源于时间进程;后者的控制信号来源于事件的发生(如一次中断)。时间触发系统中使用的状态信息来自规定时间内的某个条件，如传感器的值;而事件信息一般是在事件发生时激活中断服务程序采取相应的措施。

　　ETA系统与TTA系统之间的基本不同与控制信号源有关。在TTA系统中控制总是驻留在分布式计算机系统的内部。TTA系统是一个物理上封闭的确定性系统。在ETA系统中，控制信号可能源自计算机内部，也可能源自计算机系统外部的环境(如中断机制转发过来的)。不可预测的环境将因而导致计算机系统的不确定性的行为。

　　从2006年开始，奥地利维也纳大学Kopet研究小组成立的了TTTech公司，开发和推广TTA通信产品，TTEthernet网络(TTE)是其最先进的技术，TTTech公司对基于时间触发以太网给出如下定义：

　　TTE=以太网+时钟同步+时间触发通信+速率受约传输+保证传输TTE通过一个内在的、集中式的调度表控制它自己的活动及外部环境之间的相互作用，而传统以太网采用的ET(Event-Triggered事件触发)型网络则受控于外界环境，并对外部事件的刺激做出响应。

　　2 分布式计算机架构设计

　　高可靠分布式容错计算机系统包括3个节点计算机，分布在3个结构独立的机箱内，满足不同的任务、不同的余度配置要求。系统整体结构采用TTE总线基础上的分布式架构。系统采用3余度高完整计算架构、保证系统在任意两次故障后，能够继续完成关键任务。从物理结构上，系统包括3个结构独立的节点，通过高速串行网络互连，从逻辑结构上，所有的模块处于同一个网络上，其中CPU模块都是对等的，即每个CPU模块都对系统的计算、余度管理等功能负责，系统中只要保留2个CPU模块，1个RDC模块，即可保证系统的工作。每个节点内RDC自动完成(即RDC发生可自检的故障，也可通过接收网络上CPU命令，由RDC完成)。

　　系统工作时3个容错计算机节点同时工作，通过TTE数据总线交换信息，节点计算机对信号源的信息进行交叉比较，再将信息进行节点间的交叉表决，最终表决值参加控制率计算。任何一个处理器故障均会由同一节点内的另一处理器隔离，任何一个节点故障(两次故障)，该节点上的任务将有其它节点代替执行。系统节点计算机之间采用松耦合的同步工作，节点计算机间的同步和交叉信息交换通过通信分区来实现。系统容错通过采用备份功能分区的切换和资源的重新分配完成。系统软件设计包括3个部分：操作系统、余度管理功能包以及应用软件。

　　3 成员一致性保证技术

　　飞行器管理计算机实现对多个任务的功能综合，满足不同安全级别、不同余度配置任务共享平台的系统要求。为保证各功能在共享硬件上运行的安全性及隔离性要求，系统需要设计管理中间件来实现系统成员一致性保证协议。成员一致性保证是实现由集中式容错向分布式容错跨域的关键。成员一致性保证技术包括：一致性决策算法、隐含确认算法。

　　飞行器管理计算机系统的每一节点机上都设置一个任务成员表单。表单中会记录所有正常运行的分区任务。每一个节点机在获取到信息时都会依据是否接收成功标志更新本地的任务成员表单。每次在信息传递的过程中，接收一方都要检查隐藏或包含CRC校验码的发送方的任务成员表单。因为所有节点机都严格按照时间触发周期的调度方式收发信息，每一节点机都会在一个时间触发周期内检查所有成员的表单。当与接收方有交联的所有任务成员表单都不同时，发送方节点机被认为是有误的。这种策略就通过节点机间的相互确认保证了系统内所有节点机的一致性。整个成员一致协议设计包含两部分：第一部分是隐含确认机制与一致性表决机制。以下是两个算法的实现原理。一致性表决算法：每个节点机维护一张本地的成员任务成员表单。当某一个节点机准备与其它节点机交换信息数据时，将自身任务执行情况添加到本地成员表单中。当接收方收到正确的信息数据时，它将发送方节点机加入到本地成员表单中。

　　节点机依据以下3个条件判断信息数据传输正确与否：信息传输须发生在预定的时间偏差内;传输活动成功完成;在将发送端加入接收端的成员表单后，双方的成员表单内容须一致。接收端检查校验发送端传输数据，如发现错误，发送端节点机将被接收端节点机从其成员表单内删除。数据若正确，节点机则会将发送端节点机加入成员表单并使确认计数器累加，若接收失败时，接收端节点机将从成员表单中删除发送端节点机并使失败计数器累加。接收端节点机可判断出成员表单是否匹配、数据是否完整以及是否成功数据传输等情况(空帧)。当出现空帧时，接收端节点机不累加任何计数器，但将本应出现在该时段的发送数据的节点机从成员表单中删除。在某节点机发送数据前，要执行成员表单决策算法。节点机先检查在上次发送后接收的错误帧是否多于正确帧，即比较失败计数器是否小于确认计数器。若结果为真，节点机将清零两个计数器并将数据送出;反之，节点机将上报一个错误给上级应用层，然后进入故障静默状态。隐含确认算法的主要内容是诊断出节点机的故障并将结果通知其它所有非故障节点机。具体可描述为如下过程：在时间段t的广播者p，发送消息，然后检测下一时间段的非故障广播者q的成员表单，如果p 包含在q 的成员表单中，并且表单中的其它成员均相同，则q 可以推出自己信息广播成功。否则，可能的原因是p 发送故障或q 接收故障，p 须等待另一非故障广播者r，如果q的成员表单中包含p，但不含q，p 和q表中的其它成员内容相同，说明p 消息发送成功，则q接收故障。若p 不在r 的成员表单中，但q在r 的成员表单中，q和q 表中的其它成员内容相同，则推断p 发送故障。此时，p 自己将移出成员表单，进入故障静默状态。若节点机在其下一个时间触发周期前还未完成隐含确认算法，则该节点机将会因为决策算法而被动进入故障静默状态。

　　4 同步技术

　　高精度时间同步技术是实现TTA架构的分布式计算机系统的关键。高可靠分布式计算机的多数表决策略需要同步技术消除异步度，节点机内部两个CPU 模块之间，以及CPU模块与RDC之间也需要同步技术协调一致。另外，综合在CPU模块上的不同分区应用任务，对实时性、确定性以及部件协调性均有要求，因此分区间的同步技术也是不可回避的重要内容。

　　节点同步技术。系统中所有节点计算机使用两步同步方法：

　　1)“对齐后调度切换”;

　　2)“周期重新同步”对节点计算机的本地时钟与通信控制器的时钟进行校正对齐，从而实现节点时间同步。该方法能够实现节点计算机与网络时钟的直接同步，从而意味着系统中各节点的间接同步。

　　同步的主要功能是维持本地节点机与其它有效节点机的同步运行。同步是为了消除不同节点之间的运行周期的异步度，在同一时间运行相同的帧任务，保证CCDL的时间一致性。同步是系统分区的最高优先级任务，在同步期间需要停止时间计数，并在同步完成后从零时间开始新一帧的时间周期。消息时间同步技术。除了节点同步技术，还需实现通信网__

　　络底层时间同步，建立分布式网络统一的时间基准对系统至关重要。网络时间协议是通过软件的方法提供了一种在系统互连网络上实现时间同步和协调的一种机制。如在以太网上采用的网络时间协议、简单网络时间协议和精密时间协议等。传统的网络时间同步方法主要存在以下问题：

　　1)采用B/S架构，时间服务器故障会导致全局故障，系统容错性能差。

　　2)采用纯软件算法的同步校正方法，由于网络固有的传输时延不确定性，处理器性能差异导致软件时间同步的精度不高。

　　为解决上述问题，国外主要采用以下新方法来改进分布式系统中网络时间同步：

　　1)采用软硬件结合的方法，在现有网络的基础上适度增加硬件支持，实现软硬件混合的时间同步，如新颁布的IEE1588协议推荐方法，同步提升同步处理的实时性提高系统时间同步精度。

　　2)提高网络时间消息传输的优先级、减少传输抖动、提升同步的稳定性。

　　3)优化同步算法，采用先进的表决、选举算法、降低单时间服务器对系统全局时钟的影响，提升系统同步的鲁棒性。消息时间同步方法是采用上述先进理念开发出的一种新型容错的高精度时间同步解决方案，属于软硬件相结合的方法，全局时钟同步包括同步流程、集群检测与处理、多同步域/多优先级网络时钟同步等内容。时间同步流程分为两步。首先，同步控制器向同步集中器传输协议控制帧(protocol control frame，PCF)。PCF帧并非在任何时间都可以发送，是在本地时钟指示到达一定的时间后，才会发送PCF帧。同步控制器的本地时钟与PCF帧有关系，如发送时间。当PCF帧送达集中控制器，PCF帧会记录在该传播过程中的延迟情况，包括传播延迟、动态发送延迟以及动态接收延迟等。其次，同步集中器接收到与之连接的各链路上的不同源PCF帧后，经过时序保持算法与集中算法获得一个新PCF帧，并将该帧发向同步客户与同步控制器。集中控制器的作用类似一个仲裁机构，依据同步控制器发送的PCF帧，通过集中算法与时序保持算法，表决计算出一个都认可的时钟，然后把该信息送回同步控制器及同步客户代理，经过同步控制器与同步客户代理处理后就可实现同步了，直至实现全域同步。节点机上网络同步和分区时间同步的实现是建立在网络同步的基础上，利用分区调度表切换的方式实现了分区间时间同步。

　　5 测试与验证

　　为了进一步验证该构型计算机的容错能力，建立了一个集开发、系统仿真、测试及综合为一体的容错计算机综合测试、验证及演示平台。平台支持余度容错计算机的设计与分析、软件开发、系统综合和测试、以及演示验证的功能，实现对容错计算机系统的研究，包括软/硬件测试方法、故障检测方法、故障隔离方法、故障恢复方法等方面的研究。同时，可对容错计算机系统提出定量的分析，包括在采用不同的处理器系列、不同的余度结构的容错计算机下，系统的可靠性分析、可用性分析、维护性分析。

　　在上述测试验证平台下，完成了对TTE网络关键技术的测试和验证，包括测试系统的网络通讯能力、数据备份传输功能和容错能力消息收发的波形示例。对三节点高可靠分布式容错计算机的测试，验证了三节点系统架构满足飞机的飞行控制与管理基本功能，对接口故障、处理器故障的容错功能测试，证明系统具备至少2次故障工作的能力，对故障静默等能力的测试，证明系统可用性等性能指标满足要求，解决了当系统发生故障时，在系统现有资源状况下，在保证系统关键任务的条件下，系统功能的缓慢降级，达到系统当前资源与系统工作模式的最佳匹配，从提高重构决策速度及提高关键数据管理水平两方面着手提高故障恢复速度及完整。

　　6 结束语

　　高度功能综合、网络化、分布式的计算机系统将是容错计算机发展的显著特征。本文围绕先进航空飞行器对分布式计算机系统的需求进行了分析，提出了高可靠分布式容错计算机的构架建议，重点对TTE网络、成员一致性保证以及余度同步等关键技术给出了解决途径，为后续工程研制提供了有效思路。

　　一、网络环境下计算机安全的定义

　　网络环境下的计算机安全就是指在网络环境里利用网络管理技术和控制措施，保证在网络环境下的计算机数据的完整性、可使用性和保密性。在网络环境下的计算机需要保证两个方面的安全，一个是物理方面的安全，一个是逻辑方面的安全。物理方面的安全是指系统设备中与数据有关的设施一定要受到物理方面的保护，不能使这些元件遭到丢失或破坏；逻辑方面的安全是指我们要在网络环境下保证计算机数据的完整性、可用性和保密性。

　　二、网络环境下的计算机存在哪些不安全因素

　　在网络环境下的计算机存在的不安全因素有很多，但这些因素主要有三类，分别是人为因素、自然因素和突发因素。人为因素指不法分子利用非法手段进入机房，或复制拷贝计算机重要的系统资源，或非法篡改数据和编制计算机病毒，或偷取破坏计算机硬件设备。人为因素是对网络环境下计算机安全问题造成威胁的最大因素。自然因素和突发因素多和计算机网络有关，网络不安全因素主要有两种，一是网络计算机的网络带有薄弱性；二是网络计算机操作系统存在安全隐患。

　　（一）网络计算机的网络带有薄弱性

　　在互联网下，计算机要面对的是全球所有联网的机器，也就是说，我们每个人都可以在上网的时候向世界上任何一个地方方便地去传输和获取我们所需要的各种各样的信息。面对这种情形，计算机的安全就遭遇了空前的挑战，这些挑战来自互联网的三个特征，即互联网的开放性、共享性和国际性。

　　1.计算机互联网的开放性。计算机互联网是一项完全开放的技术，这种技术就使得计算机有可能面临来自各方面的攻击，这些攻击无孔不入，它们有的是从物理传输线路上对计算机进行攻击，有的是通过互联网的协议对计算机进行攻击，有的是通过计算机的软件或硬件的漏洞对计算机进行攻击。

　　2.计算机网络的共享性。互联网上的东西都具有共享性，网络资源人人可用，人们在使用互联网时没有什么固定的技术要求，用户可以自由上网，也能根据自己的需求随意发布和获得自己需要的各种信息，这些信息在全球范围内都具有共享性，自己的东西别人能使用，自己也能使用别人的东西。

　　3.计算机网络的国际性。互联网里的每一台计算机都是和全球的网络连在一起的，这就是说，你的联网计算机不仅有可能受到局域网内计算机的攻击、本地区计算机的攻击，也可能遭遇世界上任何一台计算机的攻击，所以你要时刻提防来自各个地区的网络网路入侵者的攻击，这就增加了计算机的风险。

　　（二）网络计算机的操作系统存在安全隐患

　　在互联网下，计算机的操作系统为计算机程序或其他的系统提供了一个使他们正常运行的环境，也为计算机提供了各种各样的文件管理或其他管理功能，并为系统软件和硬件资源提供了一定的支撑环境。倘若计算机本身的操作系统软件出现了问题，那么计算机就开始出现一系列的安全隐患。

　　1.网络计算机操作系统本身功能存有缺陷。因为计算机系统要为计算机的管理提供多种支撑，这些管理也很繁多，不但有外设管理也有内存管理，不但有硬件管理也有软件管理。这些管理都是通过一定的程序模块来进行的，假如其中的任何一项管理出现了漏洞，当计算机与外在网络连接起来的时候就有可能导致计算机系统瘫痪，所以许多网络高手甚至电脑网路入侵者都是针对网络计算机操作系统存在的漏洞进行攻击的，他们通过一定的程序迫使操作系统尤其是部分服务器系统在瞬间瘫痪。

　　2.网络计算机的操作系统在网络上为计算机提供部分联网功能或服务时也会带来隐患。这些功能也许是文件的传输，也许是软件程序的安装或加载，也许是可执行文件。网络下的计算机的一个重要功能就是可以进行文件的传输，在文件传输过程中常常会带有许多可执行文件，这些文件都是人为编写的一定的程序，假如这些可执行文件的某些地方有漏洞，也可能造成系统的瘫痪。倘若有人故意在传输的文件或远程调用的软件商故意安装一些具有偷窥性质的间谍软件，那么这些文件在整个传输过程中都会受到别人的监视，因此这些程序或文件都会给计算机的安全带来麻烦，因此我们在对网络计算机进行操作时，要尽量少用或不用来历不明的或对他们的安全性存有怀疑的软件。

　　3.网络计算机的不安全因素跟操作系统的可创建、支持和守护进程也有一定的关联。操作系统在创建和支持进程时，可以支持被创建的进程继承创建的权利，这就为远程服务器上安装一些谍报软件提供了条件，如果有人把谍报软件以一种合法用户的假象捆绑在一个特权用户上，就能使得谍报或网路入侵者软件在不被人察觉的情况下完成它们的间谍功能。操作系统在守护进程时一些病毒监控软件刚好也是守护进程，这些进程有的是良性的防病毒程序，有些却是病毒程序，如果碰到一些危险的进程，就有可能使得硬盘被格式化，这样就会出现安全隐患，这些安全隐患会在固定的时间发生作用，平时我们预测不到这种安全隐患的存在，操作系统的守护进程就在不知不觉中被破坏掉了。

　　4.网络计算机操作系统的远程调用功能可能给计算机带来安全隐患。我们常用的联网计算机操作系统都具有远程调节或协助功能，这种功能使得任何一台计算机都能够通过远程去调用一个巨型服务器里面的某些程序，并且这种功能还可以给远程的服务器提供一定的程序让服务器去执行。在网络计算机进行远程调用功能时需要经过许多环节，在这些环节中的某些交流沟通环节有可能出现被某些人监控的情况，这样就给计算机的安全带来了隐患。

　　5.网络计算机操作系统的后门和漏洞会给网络计算机带来安全隐患。操作系统的程序设计人员在对操作系统程序进行开发时总会给程序留一个后门，通过这些后门程序，设计人员可以通过绕过一些安全控制去获得对系统或者程序的访问权，但是如果这些后门程序被一些不法分子或者网路入侵者利用，那些没有被删除的后门程序就成了泄露或丢失信息的漏洞，同时操作系统程序中还存在一些没有口令的入口，这也给网络计算机的安全带来危险性。虽然网络计算机的操作系统漏洞可以通过软件升级来克服，但等到发现这些漏洞进行系统升级时，某些漏洞能使系统的安全控制变得没有意义，很小的一ige漏洞就可能使网络计算机的网络瘫痪掉。

　　三、网络计算机安全隐患的对策

　　（一）网络计算机物理层面的安全对策

　　我们如果想保证网络计算机的安全，最主要的就是为网络计算机提供一个安全的物理环境，也就是说，网络计算机的机房要有必要的安全设施。在网络计算机安放的地方，我们要保证有一定的环境条件，这些环境条件是指计算机所在地的气温、空气湿度、防腐蚀度、电气的干扰等方面都要有一定的防护措施。同时，我们要给网络计算机选择一个合适的安装环境，这些环境需要网络计算机避开一些有强烈振动的振动源和强烈声音的噪声源，同时在机房建筑物上下左右要避免有用水设备。对于机房人员的出入，也要有必要的管理措施，对于哪些机器哪些人可以用、哪些人不能用要有一定的限制，未经允许的人禁止进入机房重地。对于重要的网络计算机，我们要安装必要的防盗和安全防护措施，避免网络计算机遭受物理侵犯或非法个人或团体的侵犯。

　　（二）网络计算机管理层面的安全对策

　　在对网络计算机进行安全对策考虑时，我们需要有一定的法律法规和执行的力度。我们要对网络计算机管理或使用人员进行一些列的法制教育，包括计算机犯罪法、网络计算机安全法、保密法和数据保护法等，让他们明确自己的使用权利和义务。同时，我们还要对网络计算机管理人员进行一定的安全教育和必要的道德观和法制观的教育，让网络计算机管理人员既受到了道德观的熏陶，也受到法律法规的限制的束缚，这样我们才能不断地对网络计算机的安全管理进行完善和强化。网络计算机管理人员也要有安全意识，注意不但要防护来自网络的病毒，也要防止来自远处的网路入侵者攻击。要建立一套相应的安全管理制度。这些制度要求网络计算机管理人员必须自觉遵守，这些管理制度可以包括对人员的管理制度、对网络计算机的运行和维护制度、对网络计算机的资料管理制度、对网络计算机机房的保卫制度和对网络计算机环境的卫生打扫制度。

　　（三）网络计算机技术层面的安全对策

　　在技术层面，我们对网络计算机实时进行病毒扫描、实时对网络计算机进行监控。我们既要对网络计算机设置防火墙，也要不断地对病毒报告进行分析和对系统进行安全管理。我们在对网络计算机安全进行防范时，要注意在技术上对网络的访问进行控制，对网络权限也要进行控制，对于属性目录级别我们也要进行控制。同时，我们也要学会对数据库进行备份和恢复，在系统发生意外时，我们要会运用数据备份和数据恢复进行及时的操作。同时，我们也要掌握一些其他技术，这些技术包括运用密码技术即网络计算机信息安全的核心技术、完善更安全的操作系统技术即不给病毒的生长提供温床的技术、切断传播途径确保计算机不受外来硬件感染病毒、提高网络反病毒技术即限制只能服务器才允许执行文件的技术等。在日常生活中确保网络计算机的安全是一个庞大的工程，它涉及到的方面比较多，不但要涉及到网络计算机的网络和操作系统、网络计算机的存放环境、网络计算机管理人员的素质和技术，还要涉及到网络计算机安全管理制度和措施等。我们在对网络计算机安全问题进行分析和寻找对策时需要具体问题具体分析，我们要把这些防范措施通过一定的手段使它们综合起来。对于网络计算机的安全防范，我们要做到以人为主，同时结合环境和法律制度进行统一的整合和教育。在对网络计算机犯罪和网络计算机病毒防范方面，我们还要同国际接轨，通过和国际相应的组织合作来共同完成确保网络计算机安全的使命。