1系统主要安全隐患
由于电子表决投票系统对于其数据统计结果的实时性、准确性要求很高,尤其在投票表决、人事选举、现场打分等方面要求近乎苛刻,因此对系统的安全性、可靠性提出了更高的要求。目前主流系统存在比较明显的缺点和不足,而且结构上存在安全隐患,实际使用中也发生过系统故障。主要不足和隐患有几个方面。
1.1网络拓扑结构安全隐患
由于控制计算机与表决控制器之间,多个表决控制器之间均采用总线型网络结构,单一串口通信。如图2所示。这种网络拓扑结构下,一旦某个控制器出现故障,该控制下联的所有控制器和表决器都可能会出现故障,导致系统大面积瘫痪,甚至崩溃。比如,控制器1出现故障,则整个表决系统就会瘫痪。这使得系统存在很大的安全隐患;从安全可靠性角度看,有很大的提升空间。因而为提升系统安全可靠性,克服网络结构的缺陷是应着手解决的问题。
1.2串口通信的安全隐患
由于控制器与控制计算机之间采用串口通信:一方面,结构复杂,线路连接不够灵活。计算机上需单独安装一块或多块专用串口卡,这等于增加增加故障点;在线路较多时,维护成本较高,扩展受限;另一方面,由于串口通信,技术标准比较老,传输距离较近,速度较低。以RS-232串口标准为例,最大距离15米,最大速度20kb/s,虽然后期RS-422、RS-485标准有所提高,但最大速率也只有10Mb/s,并随着距离增大速率逐渐降低。难以适应通信网络高速化的发展需求和方向。
1.3单台控制计算机带来的安全隐患
系统的控制计算机只有一台,没有备份。一旦控制计算机发生死机、重启、损坏等情况,则整个表决系统将会瘫痪,其危害是全面性的,造成后果也是灾难性的;即便进行应急故障处理(更换计算机),由于需要将多条串口线路断开,再连接,时间成本较高,难以满足表决投票系统的实时性、准确性要求。
1.4通信协议地址码长度偏短,系统容量偏小
由于传统系统采用8Bit数据标示控制器地址,地址范围较小(0-255),排除系统预留的不可用地址,系统最多可以安装250余台控制器,系统存在容量有限,扩充空间不大的问题。单一控制器带来的安全隐患每台表决控制器都单独下联数十个乃至上百个表决器,进行通信和供电。一旦出现线路故障或控制器故障,将导致其连接表决器失效,存在安全隐患。
2基于TCP/IP互联网技术改进方案
针对传统电子表决投票系统存在的主要问题,结合互联网络技术高速发展的现状,互联网技术已经足够承载电子表决投票系统的技术需要,并能克服很多传统技术缺陷。因此,可以设计基于TCP/IP网络技术的电子表决投票系统改进方案。
2.1方案设计原则
(1)采用星型网络拓扑结构,控制计算机和表决控制器均作为网络设备连接至网络交换设备,通过网络交换机进行通信。优点:星形网络拓扑结构可靠性最高,控制计算机、表决控制器等设备互不影响,当一台表决控制器设备因为故障而停机时也不会影响其它控制器的通信,将故障损失降到最低,保证系统安全可靠;同时还具有便于集中控制、网络延迟时间较小、传输误差较低、易于维护和安全等优点。同时,传输介质采用六类网络双绞线或光纤,网络交换设备采用千兆以上交换设备。能够轻易实现长距离(几十米甚至几千米)、高速率(千兆以上)信息传输,能够较好地弥补总线型串口通信网络带来的缺点和不足,大大提高系统可靠性。(2)网络设备接口基于TCP/IP协议进行设计,控制计算机、表决控制器等设备基于TCP/IP协议进行通信。TCP/IP协议中译名为传输控制协议,是最基本的互联网协议,是国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。它具有很多优点:一是不依赖计算机硬件或操作系统,提供开放的协议标准;二是适应性强,能够集成包括以太网(Ethernet)、令牌环网(TokenRingNetwork)等所有的网络;三是统一的网络地址分配方案(IP地址),使得整个网络的设备在网中都具有唯一的地址,并且地址范围很大,以IPv4为例,地址范围为32bit,IPv6则更大,足够表决器系统使用;四是标准化的高层协议,通过严格校验机制和错误重传方式,实现高可靠性通信。目前,基于TCP/IP协议的互联网有逐步代替专用网络的趋势。(3)采用双机热备方式配置表决控制器,2台控制器同时在网工作,共同控制下联表决器,分别连接表决器的首、尾两端。针对这一解决方案的需求、技术讨论、优缺点等问题,已在其他文中进行了专门的讨论。(4)部署双机热备控制计算机。控制计算机是系统和控制中枢,负责控制整个系统的运行和数据统计,同时是与操作员直接进行交互的核心设备。提高系统可靠性必须实现控制计算机的双机热备机制。主、备控制计算机分别与主、备表决控制器连接到2台核心交换机上,组成两个子网,分别独立控制主、备表决控制器,用来控制终端表决器,进行数据通信。(5)采用链路聚合技术实现高可靠性的网络通信。链路聚合是通过将多条以太网物理链路捆绑在一起成为一条逻辑的链路,用来增加链路带宽,实现负载均衡,提高链路的可靠性。在核心交换机与控制计算机之间,核心交换机与表决控制器之间部署静态聚合链路,提高系统容灾性。
2.2系统结构
根据上述设计原则,特设计改进方案,系统改进方案结构如图3所示。系统改进方案中,主控制计算机通过主交换机与主表决控制器连接,组成主用控制子系统,主控制计算机和主控制器具有唯一IP地址;备控制计算机通过备交换机与备表决控制器连接,组成备用控制子系统,备控制计算机和备控制器具有唯一IP地址;主、备两台核心交换机通过聚合链路连接成网;每组主、备控制器分别连接对应的每组终端表决器的首尾两端,担负下发指令,控制表决器和回传表决结果的任务。
2.3通信方式和协同工作机制
系统改进方案由于设备增加,网络结构改变,通讯协议采用TCP/TP协议,所以通信方式需要进行改变;同时主备系统的协同工作机制也需要严格控制。2.3.1改进方案数据帧在TCP/IP协议中,数据帧结构为:帧头+IP头部+TCP头部+实际数据+帧尾。去除掉校验字等传输控制字段后,改进电子表决投票系统方案数据帧结构可简化为:源和目标主机MAC地址+源和目标主机IP地址+源和目标主机端口号+表决器地址+通信信息。控制计算机将数据帧发送到表决控制器,控制器将数据帧拆解,并将通信信息下发到相应的表决器;反之,控制器将表决结果生成数据帧后,发送给控制计算机,进行数据统计汇总。2.3.2双机热备协同机制系统控制计算机、表决控制器均为双机热备,需要良好的热备机制才能提高系统的安全可靠性。协同工作机制根据操作人员不同,可分为两种模式。一种是单一操作员模式。这种情况下,操作员只能操作一套控制子系统,主备控制子系统处于主-备方式(Active-Standby方式)。主控制计算机在给主控制器下发指令时,将指令抄送给备控制计算机;备控制计算机实时监听主控制计算机指令和工作状态,同时将指令下发至备控制器;备控制器实时监听主控制器工作状态,并进行指令对比,并与主控制器同时接收表决器返回值。当主、备控制器通信信息一致时,主系统工作正常,由主用控制子系统进行系统控制,备用控制子系统处于协同工作状态,只对表决结果进行记录,不发送控制指令;当主、备控制子系统通信信息不一致时,系统判断主控制计算机或主控制器是否工作状态异常。如果主用控制子系统出现故障,则系统切换到备用控制子系统,并提示操作员进行操作系统切换,此时,主控制子系统失效。实现无缝切换,保障系统控制和数据统计功能不收影响。另一种是双操作员模式。这种情况下,由两名操作员同时操作主、备控制子系统,主、备控制子系统处于双主机方式(Active-Active方式)。此时,主、备控制子系统同步由操作员进行操作,同步进行指令下发和数据收集汇总。主控制计算机与主控制器通信,备控制计算机与备控制器通信,主、备控制器之间进行信息同步对比:如发现重复指令,则控制器不进行指令重发,只接收数据;如果指令不重复,则主、备控制器均可进行指令下发,以先到达为准,同时主、备控制器实时接收表决器数据。实现系统的高安全性,高可靠性。
2.4改进方案的缺点
虽然改进方案有效地提升了系统的通信速率、简化了系统网络结构,提高了系统的安全性。但是系统还存储在一些缺点:(1)系统依托互联网络技术,组成星形网络,核心交换机成为网络中心,一旦出现问题,影响将是致命的。所以系统必须使用安全系数较高的网络设备作为核心交换机;(2)通信协议采用TCP/IP协议,在增加安全可靠性的前提下,也增加了系统开销,通信编码效率有所降低。好在由于网速提升较多,足以抵消不利因素;(3)主备系统之间备份机制和控制协议复杂度较高,需要严格科学设置;(4)系统设备增多,复杂度增加,系统成本增加,维护成本提高;(5)由于采用链路聚合方式组网,表决控制器和控制计算机需有2个以上网络接口,并能够支持LACP协议。
3结束语
基于互联网技术的电子表决投票系统改进方案,通过采用星形网络拓扑结构,TCP/IP传输协议,双机热备工作模式和链路聚合技术,大幅提高了电子表决投票系统的传输速率、数据备份能力、容灾能力,简化了网络结构,降低了维护成本,提高了系统安全性。同时,系统也会带来新的问题和安全隐患,在今后的方案实施和使用中注意解决好。
作者:谢克峰 单位:人民大会堂管理局
