申聪聪，戴超凡

(国防科学技术大学信息系统工程重点实验室，湖南长沙410073)

信息与物理融合系统(Cyber-Physical System，CPS)概念一经提出，便迅速成为全球技术研究的新热点，被业界普遍认为是未来经济和社会发展的革命性技术［1］。发达国家已陆续部署和启动了CPS的国家级研究计划［2-3］，我国也高度重视对CPS体系及其关键技术的研究，目前，研究人员已基于成熟的软硬件技术，提出了多种基于下一代网络的CPS体系结构模型［4-7］。1999年以来，物联网的概念日益成熟，围绕物联网技术展开的探索性研究逐步深化［8-9］，为CPS的研究奠定了一定基础。当前，从相关研究成果来看，对CPS的研究仍处于明确概念及属性、分析研究挑战以及完善相关技术的阶段，尚缺乏对CPS的整体把握，对CPS体系未有系统性阐述，到目前为止，并没有一个能够完全反映CPS特征的体系结构。因此，CPS体系结构研究是当前亟待解决的关键问题。

目前已有的CPS系统模型中，一般将传感器、控制器等物理资源归为物理感知层;而根据资源服务对象和领域的不同，将应用平台系统归为应用层［10-11］。这2层的划分在各种CPS系统模型中基本相同，其不同之处则在于2层之间的中间层。例如:将网络层与处理层分离的设计，强调了对不同类型的资源(包括无源CPS和有源CPS资源)、多元化的网络接入(包括无线路由、Wi-Fi网络、Zigbee网络)分类处理的思想，导致在不同系统间无法进行一体化的标识关联，这就使得CPS资源寻址过程尚存在一定困难。

为有效解决上述问题，本文在对CPS体系结构进行研究的基础上，根据CPS系统特性构建了CPS三层体系结构框架，并设计了CPS的Port层和体系结构中各层间的关系。

1 CPS体系结构和Port层构建

在CPS中，物理世界经由信息世界检测与控制，为人类提供智能化的高效、优质、安全的服务。CPS既与用于感知信息收集的传感器网络不同，又与用于信息传输的互联网相异，它是一个既具有环境感知功能，又具有深度融合计算、通信和控制能力，且可控、可信、可扩展的网络化物理设备系统。对物理环境变化进行感知并对物理世界作出反馈是CPS的显著属性，CPS也正是由此实现物理世界、信息世界以及人类社会三元世界的智能交互的。

由于CPS所连接的物理设备多种多样，所遵循的标准协议各有不同，因此，本文在CPS的体系结构设计中增加了中间件层即Port层，可将这些规模多样的物理设备与各种通信网络技术实现无缝集成，让用户能够自如地对各种CPS资源进行无差别的一体化管控，就如获取互联网信息资源那样，将IP技术向下延伸并应用到物理感知层的技术路线，具有利于实现端到端的业务部署和管理的特点，无需协议转换便能实现资源子网与核心网络层的无缝连接，从而简化复杂的网络结构［12］。现有的CPS节点未完全使用IP地址作为唯一标识，故不能直接应用互联网的路由协议进行寻址。若通过IPv6地址对CPS节点进行标识，则资源通过直接利用现有的互联网进行路由和通信将成为可能，这将大大提升资源寻址效率，减少对下一代网络建设的投入，因此，Port应着重针对当前尚不能很好满足的CPS资源通过IPv6地址接入的问题进行设计，在现有网络结构的基础上，逐步实现基于IPv6的一体化寻址与用户和资源间的端对端通信。CPS一体化标识网络层次结构如图1所示。

根据CPS的结构特征，CPS体系结构应被分为3层:物理终端层、Port层和普适应用层。物理终端层用于将异质性的CPS资源和传统互联网终端用户一体化无差别地接入下一代互联网络，物理终端层与Port层之间的连接将由接入标识解析映射来实现;Port层作为连接物理终端层与普适应用层之间的桥梁，其通过对CPS资源动态分配IP地址和接入标识解析映射，从而支撑用户与CPS资源基于下一代网络建立通信连接并实施管控;普适应用层负责各种业务的会话、控制和管理，这些业务包括在中心服务器和CPS资源之间的多个服务连接及多种管控业务，它们一般由运营商或第3方增值服务商为用户提供。由于不同的业务通过同一个普适应用层承载，所以各种服务的统一描述和表示就迎刃而解。从用户的角度来说，其面向的是由服务层提供的统一虚拟化服务平台，而不必关心该CPS资源发生在物理终端层和Port层之间的具体过程，诸如所处地理位置、网络地址、路由路径与网络选择等。

图1 CPS一体化标识网络层次结构

1.1 物理终端层模型

物理终端层连接物理世界，将CPS资源节点标识符与定位符进行分离管理。具体而言，就是要求每一个接入物理终端层的CPS资源拥有一个接入标识，以此来表示该资源的唯一身份信息，该接入标识在所属CPS资源整个生命周期中不再改变，然后在Port层实现接入标识与交换路由标识的一对一解析映射。也就是说，通过接入标识解析映射，将多个交换路由标识映射到多个接入标识，实现交换路由标识与接入标识的分离和聚合。由于CPS资源具有异质性，其资源编码存在分散性与未知性，因此，需要根据CPS资源特点，将资源编码与资源身份权限相结合，使得通信双方通过接入标识的识别来完成身份验证，确保通信的安全性［13］。

与物联网中所管控的资源相比，CPS中的资源具有更加复杂的分类和编码特性。但由于CPS资源同样存在于物理世界中，并非区别于物联网资源而又新产生出来的，所以在分类和编码功能上，可以借鉴现有物联网中物体分类与编码的方式和方法。对于那些按照企业标准标识的CPS资源，可以采用物联网中已较成熟的 EPC、uCode、mRFID Code、CPC、ETC等编码标准。扩展分级结构信息是指将特定资源名称的分级结构进行扩展而生成的转换信息，该转换信息使扩展后的分级结构在其对应资源寻址系统的资源名称的名字空间中具有统一规划性，且每个资源名称在该名字空间中是唯一的。另外，通过增加扩展前缀，可以将资源接入标识扩展为具有统一性分级结构的名字空间，资源接入标识在这个新的名字空间中也具有唯一性。在这个体系中，同层间是并列关系，上下层构成隶属关系，同层次之间分类不能交叉重复。各层次逐次组合，形成多个码段，构成分类码。例如:资源B1、B2是A的子类，A类是B1、B2的父类，B1与B2相对于A类为同层并列类，C11、C12是B1类的子类，其中B1∩B2=∅，B1∈A，B2∈A。层次A、B、C 形成了具有3个层次的分类，包含3个码段，其中A、AB1、AB2均表示分类，AB1C12表示一个具体的编码对象。

1.2 Port层模型

设计Port层的目的就是为CPS资源提供多元化的网络和终端接入能力。在Port层中，各种资源都将获得用于接入网络的交换路由标识，使其能够在核心网络上进行广义交换路由。数据包通过广义交换路由算法选路传输，在到达通信对端的广义交换路由器后，其交换路由标识被映射回资源原来的接入标识［14］。这样，用户的隐私性、网络的安全性、可控可管性和移动性都得以较好实现。

当资源进入Port的控制范围后，资源向Port申请注册，提交其“基本资料”，即用XML语言描述该CPS资源的3层字段:属性段、状态段、能力段。在资源与Port建立通信连接并成功注册后，Port为该资源分配继承上游ISP地址的IP地址，用户通过该地址可以访问到该Port。CPS资源与服务器之间也通过Port建立通信连接，实现资源信息的管控。

当CPS资源在物理世界移动时，其表示唯一身份信息的资源接入标识不会改变，而交换路由标识发生变化。这样，只需要改变交换路由标识与接入标识的映射关系，即可保证多元化资源尽可能无差别地接入网络，并使得资源在移动中而通信不会中断，还能实现通信双方身份验证的安全性功能。

Port层实现了完整的互联网协议栈，通过Port层的支持在应用层与互联网进行连接，实现CPS与互联网之间的通讯，以及CPS应用与互联网应用之间的互通、互连和互操作，如图2所示。因此，不同功能类型的CPS可以采用满足自身需要的联网结构，而简化不必要的联网功能，达到降低网络系统复杂性的目的。不同的CPS联网技术，可以采用适于各自应用领域、在CPS单元之间进行连接的协议结构，从而实现与互联网的连接。

图2 物理终端层通过Port层与服务器互连结构

1.3 普适应用层模型

普适应用层分为虚拟服务与虚拟连接2部分，提供服务标识解析映射与连接标识解析映射，用来实现对CPS各种业务的统一控制和管理。在虚拟服务部分，采用服务标识对多种业务的服务进行描述和表示，并通过统一的XML语言对多样化CPS的服务进行统一的分类命名标识和描述，使得能够对CPS中的资源进行无差别的统一服务调度。

为了建立服务连接，普适应用层引入连接标识的概念。连接标识是指连接中的身份标识，虚拟连接为每个业务提供多种连接。服务标识解析映射将服务标识映射到多个连接标识，以实现对各种业务的统一控制和管理。在一次服务连接过程中，服务提供方和服务接受方分别产生一个连接标识，构成一个连接标识对，唯一标识一次服务连接。一个连接再通过连接标识解析映射到一个或多个Port层选路，而多个选路就保证了连接的可靠性，体现了一次服务可对应多个连接、多种路径选择的思想。同时，也提供负载平衡支持，使得服务的实现更加可靠，最终得以完成一体化标识网络下的一次普适服务。

1.4 CPS资源的寻址与认证方式

CPS资源一体化标识网络体系的寻址过程，区别于传统的域名查询和IP寻址过程，具体表现在以下方面。

1.4.1 动态域名注册

所有移动资源都可以变更IP地址。一旦CPS资源移动到Port管控范围之外，其IP地址就会改变，该CPS资源会立即给离开其管控范围的域名服务器发送消息，以更新存储在域名服务器上的交换路由标识和接入标识映射解析记录。同时，该CPS资源向新进入管控范围内的Port申请注册，以获得新的IP地址和接入标识解析映射，详细过程如下:

1)移动资源节点A由Port 1管控范围移动到了Port 2管控范围后，Port 2中的路由会向节点A发送携带有本地链路前缀信息的广播消息，节点A接收到该宣告消息后，检测到自身发生了移动，根据接收到的IPv6地址前缀信息，通过地址自动配置，得到一个新的IPv6地址，也就是临时地址(COA);

2)资源节点A发生移动后，会向Port 1发送一个信息包，通知现在的新地址;

3)当访问端B需要发送数据包给资源节点A时，它并不知道节点A已经发生了移动，此时它会把这个数据包继续发给节点A的原始地址(HA)，由Port 1接收;

4)访问端B发送的数据包到达Port 1后，Port 1发现有需要送到节点A原来IP地址的数据包，会利用隧道技术来截获该数据包，然后在其上面加上一层IPv6报头，再发送到节点A的新IPv6地址;

5)移动资源节点A收到Port 1转发过来的数据包后，通过检查数据包的内层源地址，得知是访问端B想与自己通信，于是它会发送一个信息包给访问端B，告诉它临时地址;

6)访问端B接收到这个数据包后，会记录下资源节点A的临时地址，之后的通信它会直接把数据包发给临时地址。

通过以上动态域名注册过程，实现了移动资源A与访问端B之间的双向直接通信。

1.4.2 基于接入标识的寻址过程

用户在对CPS资源查看和管控过程中，所有连接的发起过程必须经由Port层的查询和定位，对CPS资源所在Port的IP地址进行查询。寻址过程为:用户通过Web服务对资源进行搜索，通过选定标签所在部门来缩小寻找范围，再通过选定所需的相关字段逐步缩小范围，最终根据某一确定信息在搜索寻址层中确定资源，获取其分类码信息，通过已知的编码分级结构进行寻址，得到资源识别码，在其头部加前缀，通过转换为合格的域名在DNS中进行寻址，得到CPS的交换路由标识，经过IP路由到达Port层，在Port中对CPS进行交换路由标识到接入标识的映射，从而对资源进行唯一识别，Port层将收到的数据包转化为子网协议支持的数据格式，压缩其首部并对数据包进行分片，从而建立对异构资源的一体化通信。用户可以通过资源的XML描述文档，在用户浏览器上动态生成可操控的按钮控件。

同样，CPS资源和服务器在向用户提供服务的同时，也需要反向查找物理终端的IP地址和接入标识，以确定对方的真实身份。

1.4.3 通过接入标识进行多方认证

在通信中，为了保证消息的安全性，要在物理终端与服务器之间、物理资源终端与域名系统之间、服务器与域名系统之间，通过接入标识进行权限认证后才能进行查看和管控，从而保证对方身份的合法性和可操作性。

2 基于CPS的智能家居系统框架

随着科技的迅猛发展，智能物品越来越多地进入人们生活的环境，显著地提高了人们的生活质量。智能家居由最初的住宅电子化发展到住宅自动化，由于通信和信息技术的发展，通过总线技术对住宅中各种通信、家电、安防设备进行监控和管理的商用系统应运而生，这一系统被称为 Smart Home。例如:通过监视摄像头、红外感应器和烟雾感应器等设备组成的安防系统，能够24小时不间断地看家护院，供用户远程查看家中的环境等。这些智能物品在一体化控制平台的控制下，组成典型的CPS系统，可为用户提供更智能化的家居生活。

在CPS智能家居一体化控制平台中，包括多种参与角色，如位于物理终端层的智能家居CPS资源，位于Port层的域名服务器、接口标识认证服务器，位于普适应用层的应用与管理服务器、资源访问控制服务器等。这些角色互相作用、有效配合，共同完成从用户到智能家居CPS资源的访问与控制过程。智能家居体系结构如图3所示。

图3 智能家居体系结构

智能家居CPS资源进入Port管控范围后，与Port进行通信并注册，Port层的网关为该CPS资源进行动态地址分配，也就是给该资源分配继承上游ISP地址随机请求的IP地址。该资源的接入标识与IP地址的交换路由标识，通过接入标识解析映射进行连接，其接入标识解析映射保存在Port中。

资源管理应用平台是直接联系用户和CPS资源管理与应用的接口，提供用户通过平台监视和控制系统的运行状态。该平台不仅能够实时监视系统中各种资源的状态信息，而且能够通过Port和实时网络对资源进行在线控制。同时，系统支持对资源运行历史数据的在线统计分析，进而对资源的健康状况进行评估，并发现异常行为，也支持对资源的搜索等。用户通过验证并进入系统后，可以点击用户所需要查询的Port，系统则通过可视化模型对该Port内部的资源进行界面展示。每个模型可以直接点击查看或操作，Port在收到用户访问请求后，通过访问控制安全管理器对用户身份进行验证。当用户通过身份验证后，即可使用Port中的应用管理服务器和接口模块对该资源进行直接管控和通信。

当用户查看某个资源时，系统则将资源的模型和监视信息显示在系统界面上。用户通过界面上的控制面板在对资源进行在线控制的同时，还显示资源的属性信息、当前状态信息和历史数据信息。

3 结论

本文在对CPS资源的基本特性进行分析的基础上，通过设计Port层，支持资源的动态IP分配、资源位置上报、寻址定位以及建立通信连接与管理等功能，解决了IP地址的过载问题，在确保资源移动时通信不中断的同时，又满足了资源异构性、移动性、安全性等要求，同时，还实现了CPS资源的访问控制构架。

［1］ Baheti R，Gill H.Cyber-physical Systems［C］∥Samad T，Annaswamy A M.The Impact of Control Technology.Washington DC，USA:Springer，2011:161-166.

［2］ Dillon T，Zhuge H，Wu C.Web-of-things Framework for Cyber-Physical Systems［J］.Concurrency and Computation:Practice and Experience，2011，23(7):905-923.

［3］ Ma L，Yao J，Xu M，et al.Net-in-Net:Interaction Modeling for Smart Community Cyber-Physical System［C］∥Proceedings of 2010 Symposia and Workshops on Ubiquitous，Autonomic and Trusted Computing.Xi’an，China:Springer，2010:250-255.

［4］ 陈丽娜，王小乐，邓苏.CPS体系结构设计［J］.计算机科学，2011，38(5):295-300.

［5］ 杨立君.IoT/CPS的安全体系结构及关键技术［J］.中兴通讯技术，2011，17(5):11-16.

［6］ 董平，秦雅娟，张宏科.支持普适服务的一体化网络研究［J］. 电子学报，2007，35(4):599-606.

［7］ 吴建平，李星.下一代互联网体系结构研究现状和发展趋势［J］. 中兴通讯技术，2011，5(2):16-17.

［8］ 聂秀英.下一代互联网研究方向与趋势［J］.中国通信，2010，2(1):21-25.

［9］ 赵惟，郭达.物联网标识与寻址技术的研究［J］.移动通信，2011，35(1):40-42.

［10］ 沈苏彬，范曲立，宗平，等.物联网的体系结构与相关技术研究［J］.南京邮电大学学报:自然科学版，2009，29(6):1-11.

［11］ 钱华林，鄂跃鹏，葛敬国，等.双层IP地址空间体系结构［J］.软件学报，2012，23(1):97-107.

［12］ 宋小倩，吴杉杉.IPv6技术与物联网应用［J］.中国新技术新产品，2011，11(6):96.

［13］ 张宏科，苏伟.新网络体系基础研究:一体化网络与普适服务［J］. 电子学报，2007，35(4):593-598.

［14］ 张丽娟，陈志奎.基于内容寻址的无线传感器网络路由协议［J］. 电子科技大学学报，2010，8(1):111-115.