滨江学院
电力拖动课程实验设计
题 目 三相异步电动机的起动与调速
学生姓名
学 号
学 院
专 业
指导教师
二O 年 月 日
三相异步电动机的起动与调速
XX
南京信息工程大学滨江学院自动控制系,南京 210044
摘要:文章从理论上研究了三相异步电动机的启动方法与调速系统的设计,给出了三相异步电动机在工作时采用了电动机拖动生产机械,有足够大的启动转矩,保证了生产机械正常启动。启动平滑,设备安全可靠,结构简单,操作方便等特点。有许多启动方法,如:直接启动,鼠笼式异步电动机降压启动,三相鼠笼式异步电动机Y-△启动绕线式三相异步电动机的启动及各种运行状态。调速就是在一定的负载下,根据生产的需要人为的改变电动机的转速,这是生产机械经常向电动机提出的要求。调速性能的好坏往往影响到生产机械的工作效率和产品质量。变频调速技术的基本原理是根据电机转速与工作电源输入频率成正比的关系,通过改变电动机工作电源频率达到改变电机转速的目的。
关键词:三相异步电动机,电机转速,功率因数
实验方案设计
一、原始资料分析
一台三相绕线型异步电动机,额定功率PN=100W,额定电压UN=220V,额定电流IN=0.55A,额定转速nN=1420r/min。定、转子三相绕组均为Y接法,E级绝缘。
二、设计内容及要求
1.设计三相异步电动机的起动与调速实验电路;
2.选择各仪表的量程;
3.设计实验步骤;
4.实验测试;
5.利用Matlab/Simulink仿真环境对设计电路进行仿真;
6.将实验测试结果同仿真结果进行比较;
7.对结果进行理论分析。
三、实验目的
通过实验掌握异步电动机的起动和调速的方法。
四、实验项目
1.异步电动机的直接起动。
2.异步电动机星形——三角形(Y-△)换接起动。
3.绕线式异步电动机转子绕组串入可变电阻器起动。
4.绕线式异步电动机转子绕组串入可变电阻器调速。
五、实验设备及仪器
1.MEL系列电机系统教学实验台主控制屏。
2.指针式交流电流表。
3.电机导轨及测功机、转矩转速测量(MEL-13、MEL-14)。
4.电机起动箱(MEL-09)。
5.鼠笼式异步电动机(M04)。
6.绕线式异步电动机(M09)。
六、仪表量程
根据实验课题要求,额定电压UN=220V,额定电流IN=0.55A因为一般选择电流表的量程是3-5倍的额定电流,即1.65A--2.75A。
所以选择量程为:
电压表量程300V。
电流表量程 3A。
实验步骤过程
一、实验方法
1.三相笼型异步电动机直接起动实验。
按线路图1-1接线,电机绕组为△接法。
图1-1异步电动机直接启动
起动前,把转矩转速测量实验箱(MEL-13)中“转矩设定”电位器旋钮逆时针调到底,“转速控制”、“转矩控制”选择开关扳向“转矩控制”,检查电机导轨和MEL-13的连接是否良好。
仪表的选择:交流电压表为数字式或指针式均可,交流电流表则为指针式。
a.把三相交流电源调节旋钮逆时针调到底,合上绿色“闭合”按钮。调节调压器,使输出电压达电机额定电压220伏,使电机起动旋转。(电机起动后,观察MEL-13中的转速表,如出现电机转向不符合要求,则须切断电源,调整次序,再重新起动电机。)
b.断开三相交流电源,待电动机完全停止旋转后,接通三相交流电源,使电机全压起动,观察电机起动瞬间电流值。
注:按指针式电流表偏转的最大位置所对应的读数值计量。电流表受起动电流冲击,电流表显示的最大值虽不能完全代表起动电流的读数,但用它可和下面几种起动方法的起动电流作定性的比较。
c.断开三相交流电源,将调压器退到零位。用起子插入测功机堵特孔中,将测功机定转子堵住。
d.合上三相交流电源,调节调压器,观察电流表,使电机电流达2~3倍额定电流,读取电压值UK、电流值IK、转矩值TK,填入表中,注意实验时,通电时间不应超过10秒,以免绕组过热。
2.星形—三角形(Y-△)起动
按线路图1-2接线,电压表、电流表的选择同前,开关S选用MEL-05。
a.起动前,把三相调压器退到零位,三刀双掷开关合向右边(Y)接法。合上电源开关,逐渐调节调压器,使输出电压升高至电机额定电压UN=220V,断开电源开关,待电机停转。
b.待电机完全停转后,合上电源开关,观察起动瞬间的电流,然后把S合向左边(△接法),电机进入正常运行,整个起动过程结束,观察起动瞬间电流表的显示值以与其它起动方法作定性比较。
图1-2三相异步电动机星形—三角形起动
3.绕线式异步电动机转绕组串入可变电阻器起动。
图1-3绕线式异步电动机转绕组串入可变电阻器起动
按线路如图1-3接线,电机定子绕组Y形接法。转子串入的电阻由刷形开关来调节,调节电阻采用MEL-09的绕线电机起动电阻(分0,2,5,15,∞五档),MEL-13中“转矩控制”和“转速控制”开关扳向“转速控制”,“转速设定”电位器旋钮顺时针调节到底。
a.起动电源前,把调压器退至零位,起动电阻调节为零。
b.合上交流电源,调节交流电源使电机起动。注意电机转向是否符合要求。
c.在定子电压为180伏时,逆时针调节“转速设定”电位器到底,绕线式电机转动缓慢(只有几十转),读取此时的转矩值Ist和Ist。
d.用刷形开关切换起动电阻,分别读出起动电阻为2Ω、5Ω、15Ω的起动转矩Tst和起动电流Ist 。
4.绕线式异步电动机绕组串入可变电阻器调速。
实验线路同前。MEL-13中“转矩控制”和“转速控制”选择开关扳向“转矩控制”,“转矩设定”电位器逆时针到底,“转速设定”电位器顺时针到底。MEL-09“绕线电机起动电阻”调节到零。
a.合上电源开关,调节调压器输出电压至UN=220伏,使电机空载起动。
b.调节“转矩设定”电位器调节旋钮,使电动机输出功率接近额定功率并保持输出转矩T2不变,改变转子附加电阻,分别测出对应的转速。将数据记录于表1。
表1 U=220V If= 100 mA IF=0.612 A(T2= 0.849 N·m)
实验结果与分析
一、三相异步电动机Simulink仿真模型的建立
使用Simulink建立三相异步电动机的直接起动模型,测取三相异步电动机直接起动过程中的转速,转矩,转子电流,定子电流的变化规律。
三相异步电动机的起动与调速仿真模型
仿真时应先将串0Ω电阻起动先运行, 并将结果保存, 然后修改三相对称电阻参数为2、5、15Ω来实现调速, 此时运行开始前应将仿真参数Xintial state 的方框中设置成Xfinal,首先将电动机的工作电压设置为220V,运行仿真模型。待运行结束后,将仿真参数重新设置后在指令窗口运行如下指令:
Xinitial=Xfinal
Xinitial =
1.0e+002*
-0.01155604448671 0.00267230527579 -0.01185555103566 0.00289624717602 1.81988939024069 0.00993222435709
运行后可得到的转子电流,定子电流,转速,转矩的规律曲线:
电阻为0Ω时仿真曲线图
电阻为2Ω时仿真曲线图
电阻为15Ω时仿真曲线图
二、 结论分析
绕线型异步电动机转子串入附加电阻,使电动机的转差率加大,电动机在较低的转速下运行。串入的电阻越大,电动机的转速越低。此方法设备简单,控制方便,但转差功率以发热的形式消耗在电阻上。属有级调速,机械特性较软。
线绕型异步电动机在转子串电阻启动时,启动电流减小而启动转矩反而增大。转子电
路内串联电阻有两种作用:由于转子电路的电阻增大,使转子阻抗增大,转子的绕组的启动电流减小,因而定子的启动电流也相应减小;适当选择变阻器的阻值,可是启动转矩增大,这时虽然转子电流减小,但转子的功率因数显著增大,所以转矩也增大。
转子绕组串入电阻,其转子阻值增加,使得电动机的转速增加。
利用Matlab软件的Simulink功能建立的异步电动机通用动态仿真模型,具有直观、方便、灵活的特点。充分发挥了Matlab的强大矩阵运算功能及绘图方便和直观生成模型的优势,使得仿真运算更加方便、快捷,提高了效率和精度。
通过异步电动机启动过程的实例仿真结果,充分证实了动态仿真模型的正确性而且在仿真时可以随便改变仿真参数,随时地观察仿真波形,使得仿真更加具有实时性、直观性。
总结
三相鼠笼式异步电动机起动系统分析是一个非常复杂的课题,经过几个星期的学习与实验,使我在整个电机设计过程中,学到了不少东西,更深一步掌握了电机电路设计的原理,深入了解了我们专业的基础课程。本次的实验目的是通过解决比较简单的实际问题,巩固和加深在《电机学》课程中所学的理论知识和实验技能。训练学生综合运用学过的电机及拖动基础知识,在教师指导下完成查找资料,选择、论证方案,科学实验,分析结果等工作。使学生初步掌握电机与电力拖动基础课程设计的一般步骤,通过理论联系实际提高和培养学生分析、解决实际问题的能力和创新能力,为后续课程的学习、毕业设计和毕业后的工作打下一定的基础。加强了理论知识与实践统一的能力,加强了自己动手操作的能力。
在此期间我也失落过也曾一度热情高涨。从开始时满富激情到最后汗水背后的复杂心情,点点滴滴无不令我回味无穷。要设计一个成功的电路必须要有耐心,要有坚持的毅力。需要反复实践,其过程很可能相当烦琐,有时花很长时间设计出来的电路还是需要重做,那时心中未免有点灰心,有时还特别想放弃,但我还是交给老师一个成功电路设计,在多种方案的选择中,我仔细比较分析其原理以及可行的原因,最后还是在老师的耐心指导下,使整个电路可以稳定工作相信在以后的工作中也是很有用处的。
在本次实验的研究与实践过程中,主要完成了一下工作:
(1)在查询了国内外有关笼型异步电动机起动与调速原理的相关资料的基础上,分析了笼型异步电动机的起动与调速的原理。
(2)利用Matlab/Simulink仿真工具对各种启动方式进行动态仿真,仿真结果可以看出变频起动是目前最好的电机启动方式,可以基本上做到对电网无冲击,具有不可比拟的优势。
致谢
设计性实验既是对大学四年所学专业知识的一次综合运用,也是一个温故知新的过程,更是一个深入学习的过程,为以后我们的毕业论文打下了结实的基础。经过几个星期的忙碌和工作,本次设计性实验已经接近尾声,由于经验的匮乏,难免有许多考虑不周全的地方,如果没有导师的督促指导,以及一起学习的同学们的支持,想要完成这个设计是难以想象的。
完成本次实验首先要感谢我的指导老师曹永娟老师。她严肃的科学态度,严谨的治学精神,精益求精的工作作风,深深地感染和激励着我,是她让我对学年论文设计有了一个比较清晰地了解,而且在学年论文的设计过程中不断鼓励我,使我信心倍增,最后,我还要感谢我的同学吴嘉敏,没有他在实验方面的帮助,我是无法完成最后的实践部分。
本人查阅了大量国内外关于电动机系统仿真的技术文献,对当前MATLAB的仿真模拟在电动机(组)系统中运用的研究和发展状况进行了综述,本文在电动机系统的仿真上做了许多的工作,实现了对三相异步电动机各工作特性的分析与仿真。这种方法的优点是速度快,实时性好,费用低。当然,大量的文献还介绍了其他的仿真、分析的方法。
论文在借鉴前人研究的经验和教训的基础上,对三相异步电动机各工作特性的进行了MATLAB仿真。接下来还有许多工作要做,而且还要用MATLAB对更多的电动机工作特性进行仿真,把它们的仿真结果与实际的运行状况作对比,研究出更贴合实际的仿真过程。整个异步电动机工作特性仿真的设计是一项非常复杂的工作,而且其中的程序设计、数学建摸等涉及知识面广,由于本人水平有限,论文中存在缺陷和错误在所难免,敬请老师批评指正。
在报告即将完成之际,我的心情无法平静,从开始进入课题到报告的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意。另外本文参考了多篇论文,在此一并表示感谢!
参考文献:
[1]陈建业,电力电子电路的计算机仿真,北京:清华大学出版社,2005
[2闫朝阳,张微,顾和荣,等.双向开关高频变换型三相异步电动机软起动器[J]. 电力电子技术, 2009, 43(12):52-54.
[3]洪乃刚. 电力电子和电力拖动控制系统的 Matlab 仿真[M]. 北京: 机械工业出版社,2006:1-2.
[4]黄劭刚, 黄华高, 季国瑜. 基于 MATLAB 的异步电动机软起动过程的仿真[J]. 辽宁工学院学报, 2003, 20(7): 101-104.
[5]耿大勇, 贾丹, 李振刚. 基于 SIMULINK 异步电动机软起动控制系统的仿真[J]. 辽宁工学院学报, 2006, 26(3): 141-143.
[6]邓建国,基于MATLAB/SIMULINK 的异步电动机仿真模型及启动过程的仿真[J].湖南工程学院学报(自然科学版),2002(1).
[7]许维克,三相异步电动机起动方式的讨论[J].航海技术,2001.
[8]张建华,杨鹏,史旺旺.三相异步电动机启动过程仿真分析[J].中小型电机,2002(06).
[9]马江鹏,浅析三相异步电动机的组成和工作原理[J].现代经济信息,20##年03期.
第二篇:南京信息工程大学滨江学院
滨江学院
结课论文
题 目 基于LINUX操作系统的防火墙技术及其具体实现
学生姓名 学 号
院 系 专 业 网络工程
指导教室 董彪
2011 年3月 15日
CA技术体系及应用体系的初步研究
摘要: 本文主要介绍了CTCA认证技术的基本原理,CA认证系统体系结构以及目前的发展现状,包括了传统的PKI体系和桥CA认证体系的发展,最后还涉及到CA在网络服务器识别领域应用的一些基本考虑
关键词:CA信息认证技术; CA认证系统体系结构; PKI体系; 桥CA认证体系
引言:
CA概述
数字证书是一种数字标识,可以说是Internet上的安全护照或身份证明。当人们到其他国家旅行时,用户护照可以证实其的身份,并被获准进入这个国家。数字证书提供的是网络上的身份证明。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
CA (CertificationAuthority)是数字证书认证中心,是指对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签名),以防证书被伪造或篡改。
正文
一. CA基本原理综述
(一) CA认证系统结构及原理
1.CA认证系统体系结构
认证系统是一个大的网络环境,从功能上基本可以划分为CA、RA和WP。 核心系统和CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都应有严格的规定,并且系统设计为离线网络。CA的功能是在收到来自RA 的证书请求时颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。
证书的登记机构Register Authority,简称RA,分散在各个地区中心。RA与各个地区中心有机结合,接受客户申请,并审批申请,把证书正式请求通过内部网发送给CA中心。 RA与CA双方的通信报文也通过RSA进行加密,确保安全。系统的分布式结构适于 新业务网点的开设,具有较好的扩充性。通信协议为TCP/IP。
证书的公布系统Web Publisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书颁发之 后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。电子商务的用户之间利用证书来保证信息安全性和双方身份的合法性。
2.CA中心的物理构架
CA认证系统包括CA服务器、数据库服务器、目录服务器、操作终端和硬件加密机/卡。具体的模块结构如图所示。
(1) CA服务器,用于接收证书申请、证书生成、证书作废、证书恢复等操作。
(2) 数据库服务器,用于记录用户信息,证书信息,黑名单信息,操作日志等。
(3) 目录服务器,存放发出的证书和CRL列表,提供证书下载和发布CRL。
(4) 操作终端,证书申请、作废、查询、统计、设置等操作。
(5) 硬件加密机/卡,保存CA的根私钥,用于对证书进行签名。
CA系统模块结构图
3.CA认证系统的基本原理
在CA认证过程中主要应用了加密算法,传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理问题限制了 它的一些应用。为解决此问题,70年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是惟一的,公钥对外公开,私钥个人 秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度
(二) CA认证系统构成及相关功能
1.CA认证系统的构成
目前CA认证系统主要由三部分组成:在客户端面向证书用户的数字证书申请、查询和下载系统;在RA端由RA管理员对证书申请进行审批的证书授权系统;在CA控制台,签发用户证书的证书签发系统。
2.CA认证中心的功能
(1)
CA认证中心
CA认证中心是一个负责发放和管理数字证书的权威机构。认证中心通常采用多层次的分级结构,上级认证中心负责签发和管理下级认证中心的证书,最下一级的认证中心直接面向最终用户。
认证中心的主要功能: 证书的颁发、 证书的更新、 证书的查询、 证书的作废、 证书的归档
(2) 数字签名
数字签名是通过一个单向函数对要传送的信息进行处理得到的用以认证信息来源并核实信息在传送过程中是否发生变化的一个字母数字串。数字签名提供了对信息来源的确定并能检测信息是否被篡改。
数字签名与数据加密完全独立。数据可以既签名又加密,只签名,只加密,当然,也可以既不签名也不加密。发送方计算出的签名和数据一起传送给接收方,签名值是关于发送方的私钥和要发送的信息的一个数学函数的值。算法的构造保证如果不知道私钥的话就不可能计算出这个签名值。接收方可以通过依赖发送方的公钥、签名值和接收到的数据的另一个数学算法来验证接收到的信息就是发送方签名的信息。 (3) 数字证书
a)数字证书的概念 :
数字证书就是网络通信中标志通信各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。 b)数字证书的作用: 访问需要客户验证的安全INTERNET站点;用对方的数字证书向对方发送加密的邮件;给对方发送带自己签名的邮件。
c)数字证书的内容 :
证书的格式由ITU标准X.509V3来定义。根据这项标准,证书包括申请证书个体的信息和发行证书CA的信息。证书由证书数据和发行证书的CA签名两部分组成:
证书数据: 版本信息,用来与X.509的将来版本兼容;证书序列号,每一个由CA发行的证书必须有一个唯一的序列号; CA所使用的签名算法; 发行证书CA的名称;证书的有效期限;证书主题名称; 被证明的公钥信息,包括公钥算法、公钥的位字符串表示;包含额外信息的特别扩展。
发行证书的CA签名: 证书第二部分包括发行证书的CA签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是由CA的签名密钥签发的。
(4) 安全套接字层(SSL)
SSL(Secure Sockets Layer:安全套接层)是一种提供INTERNET上保密性的在线协议。它允许客户/服务器应用以一种不能被偷听的方式通讯。它是INTERNET网上安全通讯与交易的标准。SSL协议使用通讯双方的证书,在通讯双方间建立一条安全的、可信任的通讯通。
二. CA技术体系发展现状
(一)传统的PKI体系
PKI是对于公钥密码体制中的公钥信息的管理。公钥密码体制是一种密码系统,它使用一对数学相关的密钥来加密和解密信息。在公钥密码体制中,一个密钥用来加密或解密信息,另一个密钥用来执行相反的操作。其中一个密钥必须保密,称为保密密钥;另一个密钥可以分发给任何人,称为公开密钥。在公钥基础设施中,称做证书的数据结构,把一个特定的身份同一个特定的公钥和该公钥如何使用的信息绑定在一起。最为广泛使用的证书格式是ITU定义的X.509证书。证书机构是可信任的实体,用来为公钥基础设施中的用户发放证书,提供CA发放的证书的状态信息。
传统的PKI结构可以有三种情况:单个CA,分级结构的CA和网状结构的CA。每种结构由PKI的基本属性来决定:包括PKI中用户给予信任的CA(称为用户可信任点)的数量和在多CA的PKI环境中,CA之间的信任关系。
最基本的PKI结构是单个CA的结构,它为PKI中的所有用户提供PKI服务(证书、证书状态信息等等)。PKI中的所有用户对此单个CA给予信任。每个证书路径都起始于该CA的公钥,这就产生了单一的用户信任点。
这种结构的优点是:容易实现,只需建立一个根CA,所有的用户都能实现相互认证。缺点是:不易扩展到支持大量的或者不同的群体的用户。用户的群体越大,支持所有必要的应用就越困难。
在现实生活中,一个证书机构很难得到所有用户的信赖并接受它所发行的所有用户证书,而且这个证书机构也很难对所有潜在注册用户有足够全面的了解,这就需要多个CA。人们当然希望将单个CA扩展成支持不同群体的CA,这样来创建一个更大的、更为多样化的PKI。两个相互独立的CA可以用两种方式来结合生成更大的PKI系统:使用主从关系,或者使用对等关系。
一个以从属CA关系建立的PKI称做分级结构的PKI。在这种情况下,所有的用户都信任同一个根CA。在进行网上交易双方的身份认证时,交易双方互相提供自己的证书和数字签名,由CA来对证书进行有效性和真实性的认证。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信,需要解决跨域的认证。
分级结构的PKI系统由于其简单的结构和单向的可信任关系,具有4个优点:第一个优点是分级结构的PKI系统易于升级和增加新的认证域用户,因为只需要根CA与该认证域的CA建立信任关系。第二个优点是证书路径由于其单向性,容易扩展,可生成从用户证书到可信任点的简单的、明确的路径。第三个优点是证书路径相对较短。最长的路径等于树的深度加一:每个从属CA的证书路径加上用户的证书路径。第四个优点是,基于分级结构中的CA的位置,用户隐含地知道一个证书用于哪种应用。因此,分级结构中使用的证书可以比网状结构中使用的证书更小、更简单。
分级结构的PKI也有缺点。这是因为它依赖于一个单一的可信任点,即“根CA” 。根CA是每个用户的可信任点,它的安全性的削弱,将导致整个PKI系统安全性的削弱。更严
重的是,现在还没有直接的恢复技术。分级结构的PKI系统的实质是所有的信任都集中在根CA,而一旦该可信任点出现故障,后果是灾难性的。另外一个缺点是构建一个单一的、共同的根CA可能在政治上是无法做到的,如美国等多数发达国家和中国都未能建立起一个有效的根CA。另外,由一组彼此分离的CA过渡到分级结构的PKI,逻辑上是不现实的,因为所有的用户都不得不重新设置他们的可信任点。分级结构的PKI的传统替代方法是以对等关系连接CA。
交叉认证图
交叉认证图显示了对等关系下的交叉认证,CA-1、CA-2与CA-3是对等关系,它们通过相互颁发证书,来实现不同信任域内网络用户的相互信任。例如,在图1中,U1信任CA-1,U1如果要验证U2证书的合法性,则首先需要验证CA-3对证书6的签名,其次验证CA-2对证书3的签名,最后验证CA-1对证书2的签名,因为U1信任CA-1,所以信任证书6。U1通过这样一个证书链达到验证证书6的合法性。
以对等CA关系建立的PKI系统称为网状结构的PKI,或者“可信任网络”,如图2所示。网状PKI中的所有CA都可能是可信任点。通常,用户信任为他们发放证书的CA。CA之间相互发放证书,证书对描述了它们双向的信任关系。由于CA之间具有对等关系,它们不能管理其他CA发放的各种类型的证书。因为其信任关系是无限制的,所以如果一个CA希望限制这种信任,它必须在发放给其他CA的证书中声明这些限制。
网状结构的PKI图
网状结构的PKI具有几个优点。网状结构的PKI可以容易地增加新的群体用户。网状结构中的任何一个CA只需与该群体的CA建立信任关系。网状结构的PKI非常灵活,因为存在多个可信任点。单个CA安全性的削弱不会影响到整个的PKI。那些向安全性削弱的CA发放过证书的CA只需吊销该证书,从PKI中删除该CA。与其他CA关联的用户仍然会有一个正确的可信任点,能够安全地与PKI中的其余用户通信。在网状结构的CA中,从安全性削弱的CA中恢复相对容易,并且它只影响到数量较少的用户。网状的PKI可以很容易地由一组分离的CA构建,因为用户不需要改变他们的可信任点(或其他的任何东西),而只需该CA在网中至少向一个CA发放证书。当一个组织想要整合各个独立开发的PKI系统时,这是很实用的。
然而,正因为这种双向的可信任模型,网状结构的PKI也有它的不足。证书路径的扩展与分级结构的PKI相比过于复杂。与分级结构的PKI不同,从用户证书到可信任点建立证书的路径是不确定的,因为存在多种选择,使得路径发现较为困难。一些选择可以形成正确路径,而其他选择会走入死胡同。更糟糕的是,在网状结构的PKI中可能会建立一个无止境的证书环路。对于网状的PKI,扩展有好有坏。证书路径的最大长度是PKI中的CA的数量。网中的用户必须基于证书的内容来确定可能使用证书的应用,而不是基于PKI中的CA的位置。证书路径上的每一个证书都需这样做,这就需要更大的、更为复杂的证书和更为复杂的证书路径处理。
CA之间的信任关系可以是对等关系,也可以是从属关系。我们分析了这两种结构都有优缺点。在现实生活中,证书用户群体之间的关系往往不是基于主从关系。因为用户群体是分别独立的部门,所以没有明确的中央管理机构。缺乏中央管理机构,这些群体可能无法找到彼此都接受的第三方来建立PKI体系中的根CA。而改变可信任点将与用户群体之间已经建立的关系发生冲突。
网状结构的PKI图表明网状结构PKI是CA之间通过相互发放证书来建立双向的可信任关系。不同用户群体的用户不共享一个单一的可信任点。每个用户仍然信任给他发放证书的CA。但是在一个行业内部,从属关系是明确的,网状结构不能反映这些关系。因此对等
关系可能更有争议,所以需要一种新的认证体系。
(二)桥CA认证体系
桥CA体系结构被设计成用来克服两种基本的PKI结构的缺点和连接不同结构的PKI系统。不同于网状的CA,桥CA(BCA)不直接向用户发放证书。而且,BCA不作为一个可信任点,供PKI中的用户使用,这一点不同于分级结构中的根CA。BCA与不同的用户群体建立对等的可信任关系,允许用户保持原有的可信任点。这些关系被结合起来形成“信任桥”,使得来自不同用户群体的用户通过指定信任级别的BCA相互作用。
如果一个用户群体以分级结构的PKI的形式建立信任域,BCA将与该PKI的根CA建立关系。然而,如果用户群体以网状结构的PKI的形式建立信任域,BCA只需要与该PKI的其中任一个CA建立关系。在两种情况中,PKI中与BCA形成信任关系的CA都称为“主CA”。
桥CA连接不同的PKI体系图表示了BCA与网状结构PKI和分级结构PKI的用户群体建立信任关系。桥CA分别选择与CA-1、CA-2、CA-3建立对等信任关系。CA-1、CA-2、CA-3分别是各自PKI体系的主CA。用户U1收到网状PKI中一个CA签发的证书,使用网状结构中的一个CA作为他的可信任点。用户U5收到分级PKI中一个CA签发的证书,并使用该CA作为他的可信任点。U1 和U5能够使用通过BCA而存在的信任桥和他们各自的可信任点来建立信任关系,使得他们能够彼此以可信任的方式相互认证。
由BCA建立的PKI有时称为中心辐射式(hub-and-spoke)PKI。BCA在单一的、已知的核心上连接多个PKI。与网状结构的PKI相比,在BCA架构的PKI中,证书路径的发现变得较为容易。用户清楚地知道他们到BCA的路径,从而只需确定从BCA到用户证书的证书路径。除此之外,BCA架构的PKI比起具有相同数量的CA的随机的网状结构PKI,具有更短的可信任路径。证书路径发现比起分级结构仍然很困难。典型的路径长度大约增加了一倍。然而,BCA架构的PKI系统的分散化特性更精确地代表了现实世界中的证书机构的关系。
桥CA连接不同的PKI体系图
(三)桥CA所面临的挑战
虽然部署基于BCA的PKI系统的主要障碍在政治方面,我们仍然需要面对更多的技术挑战,比如证书路径的有效发现和确认,大型PKI目录的互操作性。在前面已经指出,对于证
书路径的发现和确认,网状结构的PKI比分级结构的PKI要更为困难,因为在PKI中存在多个可信任点和无终止的可信任环存在的可能性。一个基于BCA结构的PKI系统必然要包括部分网状结构的PKI,因而需要所有的用户能够开发和确认复杂的证书路径。除此之外,BCA必须利用证书信息来限制不同企业PKI的可信任关系。这意味着证书将更为复杂,PKI用户在证书确认过程中,必须准备处理和使用额外的可信任信息。
基于BCA的PKI系统的另一个技术挑战是如何获取证书和证书状态信息。在有效的PKI系统中,用户必须容易地获取CA证书和用户证书,以及通过一种分发机制获得相应的状态信息。
早期的PKI设计者希望出现全局的X.500目录来解决这个问题。一个PKI用户将从本地的X.500目录中获取特定的证书和证书状态信息(特别是通过证书吊销表)。如果本地的X.500目录中不存在所需信息,可以通过全局的X.500目录链找到它。不论哪一种方法,PKI用户能够很容易地通过查询本地目录找到所需的信息。但是现在PKI系统主要使用LDAP、WEB和OCSP(在线证书状态协议)服务器来分发证书和查询证书状态信息。
在存在多种分发机制的PKI系统中,用户端的应用,需要支持多种检索协议来搜寻所需要的信息。因此我们需要开发一些技术用于发现和验证复杂的证书路径,处理不同的PKI信息分发机制。
(四)桥CA认证体系在国内应用设想
为促进电子商务在中国的顺利开展,20xx年和20xx年中国掀起了一股PKI热,一些行业部门和地方都已建成了自己的一套CA体系。其中较有影响的行业CA有:中国电信CA安全认证中心(CTCA)、中国金融认证中心(CFCA)、中国国际电子商务认证中心、中国邮政CA认证中心(CPCA)、中国海关CA认证中心等。地方CA有:上海电子商务CA认证中心(SHECA)、北京市数字证书认证中心(BJCA)、广东省电子商务认证中心 、 湖北省电子商务认证中心、海南省电子商务认证中心、山东省CA认证中心等十多家。其中的一些行业CA还在各省设立了RA(注册受理中心)。
实现不同CA认证体系的互通对电子商务的开展起着非常重要的作用。迄今为止,国内采用PKI的企业仍很少,其中缺乏良好的互操作性是主要障碍之一。因为在目前情况下,持有CTCA证书的用户与持有BJCA的用户是不能完成双方的身份认证的,用户在不同情况下不得不使用多个证书。因此,实现不同CA认证体系的互通会对电子商务的开展起到很大的推动作用。
国内CA体系目前只有少数几个实现了互通,比如中国协卡认证体系,主要是通过相互颁发证书来实现不同认证域用户之间的交叉认证。
基于BCA的PKI系统可以很好地适应中国目前的PKI体系的现状。在中国的CA有行业内的,有地方的,还有集团内的。这些CA体系本身不能简单看成是分级结构,各CA中心之间也很难达成共识,因此难于建立一个全国的根CA。
而如果建立一个统一的全国网状结构的PKI系统,则全国的网状结构的PKI系统所需的信任关系的数量将极其复杂惊人。而桥CA更适合目前国内CA的现状,建立起桥CA之后来自不同的信任域的用户能以可信任的方式彼此通信。
电子商务是无国界的,因此两个不同国家之间的用户也会遇到证书认证的问题。桥CA结构也适用于不同国家之间的CA认证。两个国家之间证书用户属于不同的认证域,显然不能同归为从属关系,因此不能建立统一的根CA来实现互通。但是要世界上的200多个国家建立一个网状的CA体系将更困难,因此建立桥CA将是比较好的选择。
三.关于CA在网络服务器识别领域应用的基本考虑
随着互联网的不断发展,越来越多的人们开始尝试在线交易。然而病毒、黑客、网络钓鱼以及网页仿冒诈骗等恶意威胁,给在线交易的安全性带来了极大的挑战。层出不穷的网络犯罪,引起了人们对网络身份的信任危机,如何证明“我是谁?”及如何防止身份冒用等问题又一次成为人们关注的焦点。现在计算机及网络系统中常用的身份认证方式主要有用户名+密码方式、IC卡认证方式、动态口令方式、USB Key认证方式、生物识别认证方式等。
每个网络设备(包括服务器)在出厂时都有唯一的MAC地址,MAC地址是烧录在Network Interface Card(网卡,NIC)里的。MAC地址由48比特长(6字节),16进制的数字组成.0-23位叫做组织唯一标志符(organizationally unique ,是识别LAN(局域网)节点的标识.24-47位是由厂家自己分配。其中第40位是组播地址标志位。网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。具有全球唯一性。
通常对网络设备的识别是通过IP、Mac地址等方式,这仅能判断接入网络的设备是否合法,却不能识别使用这些设备人员的合法性。多安全域、多系统的复杂环境下,安全域边界、服务器、安全设备等各种设备及资源的管理和控制仍采用IP过滤、端口控制、按角色授权等简单识别方式进行访问控制保护。这种判别方式极易被欺骗与假冒,难以保证系统内涉密信息的安全。通过密钥证书与该设备进行绑定,可以有效阻止网络欺骗与假冒行为,阻断非法设备的接入。
为了有效阻止网络欺骗与假冒行为,阻断非法设备的接入,保证网络中网络设备(服务器)的真实身份,我们可以参考CA认证的管理办法和管理机制,通过密钥证书与该设备进行Mac地址绑定,这样就可以对网络设备(服务器)进行统一管理和有效控制,助力电子政务、电子商务、网上银行和报关等领域的快速、健康发展。
参考文献
[1] 屈长青. 《PKL技术与应用研究》2002,(02)
[2]钟读杭,陈怀义,宁洪.《CA认证管理系统中证书撤销机制的研究与实现》,计算机工程
出版,2002,(06)
[3]钟元生.《基于Windows2000的PKI实现》,计算机时代出版,2001,(02).
[4]洪琳,李展.《数字签名.数字信封和数字证书》,计算机应用出版,2002,(03).
[5]周永彬,《PKI理论与应用技术研究》,中国科学院研究生院出版,2004
[6]刘睿,郭名,《论电子商务CA认证服务在我国的发展》.现代商业,2007,(14)
[7]徐兵,《电子商务CA认证系统方案研究》,微计算机信息,2006,(18)
[8]方美琪,《电子商务概论》(第二版),清华大学出版社,2002