湖南化工职业技术学院部分专业:序号专业名称所属类别1电子商务财经商贸2精细化工技术生物与化工3机电一体化技术装备制造4高分子材料工程技术财经商贸5应用化工技术生物与化工6工业分析与检验财经商贸7计算机网络技术电子与信息8智能互联网络技术电子与信息9工程造价土木建筑10化妆品经营与管理食品药品与粮食11工业设计装备制造12大数据与会计财经商贸13数控技术装备制造14市场营销财经商贸15工业机器人技术装备制造16软件技术电子与信息17建设工程管理土木建筑18机械制造与自动化新闻传播19化妆品技术轻工纺织20药品生产技术食品药品与粮食湖南化工职业技术学院机电一体化技术介绍培养适合在机械、石化、电力、电子通讯、纺织、冶金、医药、交通、能源等领域从事机电一体化产品和系统的制造、运行、试验、设计、开发等工作,具有机电一体化技术的应用、管理、开发及产品和系统的设计、制造等能力的高素质技能型人才。
主要专业课程:机械制图与CAD、电工电子学、机械制造工艺、UG、工程测试与信息处理、微机原理与接口技术、液压与气压传动、电力拖动与控制、可编程控器原理与应用、机电一体化工程等。
湖南化工职业技术学院智能互联网络技术介绍专业背景
物联网被世界公认是继计算机、互联网与移动通信网之后的世界信息产业第三次浪潮,是信息产业领域未来竞争的制高点和产业升级的核心驱动力,物联网的应用领域覆盖到工业、农业、交通、医疗、环境、娱乐、公共事业、安全等各个领域。
培养目标
面向物联网技术应用领域,培养能够从事物联网产品生产与质量管理、物联网产品检测与维修、物联网工程项目规划与施工管理、物联网产品辅助设计和物联网工程项目技术支持等岗位的高端技能型、应用型、可持续发展的技术技能人才。
就业方向
面向物联网新型产业企事业单位、大中型物联网产品研发制造公司、工程施工公司、运营维护公司等。就业岗位:物联网产品生产与质量管理、物联网产品检测与维修、物联网产品辅助设计,物联网工程项目规划、施工管理、安装调试与、运营维护和管理等岗位。
专业特色
通过解构工作岗位的任务重构课程体系,课程模块以真实产品综合实训项目直接感受工作情景,项目任务驱动学习,项目作品检验学习。实践环节占课程课时的80%且形式多样,按企业项目管理模式组织教学。
专业课程
电路基础与电工技能、C#程序设计基础、物联网技术概论、电路板测量与绘制、嵌入式面向对象程序设计、RFID及条码技术与应用、Android应用开发、无线传感网络技术与应用、嵌入式系统分析与调试、单片机系统分析与调试C、物联网工程布线与管理等。
资格证书
物联网技能证书、物联网技术工程师、电子电路设计助理工程师、物联网技术职业资格证书等证书。
湖南化工职业技术学院软件技术介绍培养适合在电信和IT行业等企、事业单位及政府部门从事软件开发、调试以及技术服务与销售等工作,具有代码编写、测试与维护和数据库应用与维护能力的高素质技能型人才。
主要课程有:JAVA程序设计基础、数据结构、JSP网络程序设计、NET程序开发、SQLServer数据库、软件测试与质量保障、XML基础、软件开发过程与文档等。本专业采用项目化教学模式,设置了个人财物管理系统、教育信息门户网站、学生信息管理系统、在线课程学习系统等综合实训项目。
湖南化工职业技术学院建设工程管理介绍1专业背景建筑业是人类营建家园、创造文明的基础性产业,更是建设城乡、改善民生的重要支柱产业,对于拉动我国国民经济增长具有重大作用。随着建筑施工企业以工程项目管理为核心的企业生产经营管理体制的形成,建筑施工企业普遍实行了项目负责制和项目成本核算制。建设工程管理专业人才的短缺问题也随着建筑行业的发展日渐突出。
2就业方向就业部门有建筑施工单位、建设单位、工程监理单位、工程造价与咨询单位、建筑工程招投标与管理单位、房地产企业等部门。
3专业特色名师引领、专兼结合:拥有一支由校内外专业带头人、教学名师和企业技能大师引领、专任和兼任教师结合、结构合理、经验丰富的优秀专业教学团队。
校企合作、就业前景好:以岗位需求为目标,以工学结合为切入点,以校企合作为途径,实施工学结合实践教学模式改革,使学生提前丰富实践经验。
校内实训中心
企业专家现场教学
4主要课程建筑CAD、建筑工程项目管理、建筑工程施工技术、建筑材料与检测、建设法规、建筑工程计量与计价、建筑识图、建筑构造、建筑力学、建筑结构、建筑工程测量、建筑工程经济管理、工程质量事故分析、招投标与合同管理、建筑工程施工组织设计。
5资格证书学生毕业时可以报考九大员考试,毕业1年后可报考监理员,毕业2年可报考二级建造师,初级工程师等,也可以经过未来更长时间的工程实践和努力获取一级建造师、造价工程师和监理工程师等更高层次的执业资格。
湖南化工职业技术学院精细化工技术介绍培养适合在日用化工、精细化工、石油化工、医药化工、染料、涂料、能源、建材、轻工、环保等领域从事化学产品的生产运行、工艺 *** 作、新技术应用、新产品开发、生产技术管理、工艺技术革新与设计等工作,具有精细化学品生产运行、 *** 作、管理和质量控制等能力的高素质技能型人才。
主要专业课程:无机化学、有机化学、物理化学、化工分析、化工单元 *** 作、化学反应工程、化工制图、化工设备、工业电器及仪表、有机合成单元过程、精细化学品生产技术、化工节能减排技术、涂料生产技术、化工生产安全技术等。
对中专/技校/职校报考还有疑问,您可以点击2023年电大中专招生咨询(原广播电视大学):>问题一:现在市面上具体有哪些物联网产品?请教一下专业人士 现在物联网产品还是比较多的 ,这几年发展的特别快
像RFID行业比较成熟的产品有:
高频:
近距离读写器 一般指读取距离0-5cm的 像桌面式的YX7036就这样的 支持双协议的
中距离读写器 一般指读取距离5-30cm的 像YX9091T比较适合这样的应用
远距离读写器 一般指读取距离在30-120cm 像YX9291T就这样 天线和标签搭配的好的话可以读得更远
超高频
近距离读写器 一般指读取距离0-50cm的 像桌面式的YXU9806就这样的 中距离读写器 一般指读取距离50-600cm的 像YXU1861-8dbi比较适合这样的应用
远距离读写器 一般指读取距离在600-1200cm 像YXU1861-12dbi就这样 环境和标签搭配的好的话可以读得更远
问题二:现在应用较多的物联网产品都有哪些? 5分 先要了解一下两个概念:物联网和无线城市。 用通俗的话来讲,物联网就是让所有的东西都“连”起来,关键要有三件东西:感应处理终端,传输通道,控制处理平台。这样就可以让本来没有生命的东西能“感应”并“处理”信息,通过传输的网络传送到指定的地方或人那里,反过来还可以进行控制和指挥。无线城市就是通过目前的蜂窝通信网络,辅助以无线热点(WLAN)的覆盖,达到城市中的无缝覆盖,所有终端,包括手机,电脑等无线设备都可以随时随地接入网络。 智慧城市其实基础就是无线城市,只是要在此基础上实现大量的实际应用,好比马路上要有汽车。
以下面上海移动为例,将技术转化成城市中的生活应用的案例来解释会更加清楚地理解这个概念,由于物联网覆盖更多地要依赖无线技术通目前的通信网络,所以移动物联网将会更加符合未来发展方向:
案例一:你想知道孩子在幼儿园里开心吗?打开手机,点击“宝宝在线”,孩子的一颦一笑尽收眼底。“宝宝在线”在松江、闵行地区4所幼儿园试点后,受到家长热烈欢迎,订制这项服务的家庭超过500户,使用率接近100%。
案例二:在普陀的中环百联,借助中国移动上海公司“智能停车”系统,人们将可以用手机查看附近的停车场有无空位,用手机在中环百联的“虚拟商城”里“逛商店、买东西”。
案例三:将感应器与无线网关或无线座机连接,一旦家里发生煤气泄漏等险情,告警指令会第一时间发送到你手机。移动物联网最新应用“宜居通”,大大提高了城市安保的“智能”水平,目前已在普陀、闵行、松江、嘉定等地试点,未来三年计划覆盖全市。包括“宜居通”在内,中国移动上海公司已经拥有50万物联网终端用户。
不用等到2015年,这样的生活场景已经出现在我们的身边,一个个移动互联的信息化触角,正由点连成线,由线连成面,勾勒出一个智慧城市、一个智慧满溢的生活。而在中国移动上海公司看来,这个智慧城市就是以“无所不在”的网络,打造“无所不有”、“无所不能”的智慧生活。
在“十二五”无线城市蓝图里,中国移动上海公司提出,以无线城市助力上海智慧城市建设,围绕强政、兴业、惠民,使“无线城市”成为“政务管理的好帮手”、“推广行业信息化的好平台”、“民生服务的好工具”。
问题三:物联网主要应用领域有哪些 1、工业领域的应用:产品设备管理、能源管理、工业安全生产管理
2、农业领域的应用:温室环境信息的采集和控制、节水灌溉的控制和管理、环境信息和动植物信息的监测
3、智能家居领域的应用:家庭智能化、小区智能化和城市智能化三者之间融成一个真正广义的智能控制网
4、医疗领域的应用:整合的医疗保健平台、电子健康档案系统
5、城市安保领域的应用:实对城市安全的统一监控、统一存储和统一管理
6、环境监测领域的应用:主要是通过实施地表水水质的自动监测,实现水质的实施连续监测和远程监控
7、智能交通领域的应用:公交行业无线视频监控平台、智能公交站台、电子票务、车管专家和公交手机“一卡通”
8、物流领域的应用:供应链网络优化、供应链的可视性
9、智能校园领域的应用:电子钱包、身份识别和银行圈存
问题四:物联网产业是指哪些行业 物联网产业链很长,其体系构架大致矗分为感知层、网络层、应用层三个层面,每个层面又涉及到诸多细分领域。
感知层的功能主要是获取信息,负责采集物理世界中发生的物理事件和数据,实现外部世界信息的感知和识别。包括传统的无线传感器网络、全球定位系统、射频识别、条码识读器等。这一层主要涉及两大类关键技术:传感技术和标识技术。传感器网络的感知主要通过各种类型的传感器对物体的物质属性(如温度、湿度、压力等)、环境状态、行为态势等信息进行大规模、分布式的信息获取与状态识别,它可用于环境监测、远程医疗、智能家居等领域。标识技术通过给每件物体分配一个唯一的识别编码,实现物联网中任何物体的互联。
网络层主要是完成感知信息高可靠性、高安全性的传送和处理。从具体实现的角度,本层由下而上又分为三层:接入网、核心网和业务网。①接入网:主要完威各类设备的网络接入,强调各类接入方式,比如现有蜂窝移动通信网、无线局域/城域网、卫星通信网、各类有线网络等。②核心网:主要是完成信息的远距离传输,目前依靠现有的互联网、电信网或电视网。随着三网融合的推进,核心网将朝全IP网络发展。③业务网:是实现物联网业务能力和运营支撑能力的核心组成部分。
应用层主要是利用经过分析处理的感知数据,将物联网技术与个人、家庭和行业信息化需求相结台,可向用户提供丰富的服务内容,大大提高生产和生活的智能化程度,应用前景十分广阔。其应用可分为监控型(物流监控、污染监控、灾害监控)、查询型(智能检索、远程抄表)、控制型(智能交通、智能家居、路灯控制、远程医疗、绿色农业)、扫描型(手机钱包、ETC)等。
问题五:物联网应用领域有哪些 1、智能家居;智能家居是利用先进的计算机技术,物联网技术,通讯技术,将与家具生活的各种子系统有机的结合起来,通过统筹管理,让家具生活更舒适,方便,有效,与安全。
2、智能交通
3、智能医疗
4、智能电网;智能电网是在传统电网的基础上构建起来的集传感、通信、计算、决策与控制为一体的综合数物复合系统,通过获取电网各层节点资源和设备的运行状态,进行分层次的控制管理和电力调配,实现能量流、信息流和业务流的高度一体化,提高电力系统运行稳定性,以达到最大限度地提高设备效利用率,提高安全可靠性,节能减排,提高用户供电质量,提高可再生能源的利用效率。
5、智能物流
6、智能农业
7、智能电力
8、智能安防
9、智慧城市
10、智能汽车
11、智能建筑
12、智能水务
13、商业智能
14、智能工业
15、平安城市
问题六:目前有哪些生活物联网产品 先要了解一下两个概念:物联网和无线城市。 用通俗的话来讲,物联网就是让所有的东西都“连”起来,关键要有三件东西:感应处理终端,传输通道,控制处理平台。这样就可以让本来没有生命的东西能“感应”并“处理”信息,通过传输的网络传送到指定的地方或人那里,反过来还可以进行控制和指挥。无线城市就是通过目前的蜂窝通信网络,辅助以无线热点(WLAN)的覆盖,达到城市中的无缝覆盖,所有终端,包括手机,电脑等无线设备都可以随时随地接入网络。 智慧城市其实基础就是无线城市,只是要在此基础上实现大量的实际应用,好比马路上要有汽车。
像什么智能家居,智能物流,智能运输,还有智能管理,智能医疗,等等,都是物联网的应用层面
问题七:物联网应用案例有哪些方面呢 物联网应用案例
用途范围
物联网用途广泛,遍及教育、工程机械监控、建筑行业、环境保护、 工作、公共安全、平安家居、智能消防、环境监测、路灯照明管控、景观照明管控、楼宇照明管控、广场照明管控、老人护理、个人健康、花卉栽培、水系监测、食品溯源、敌情侦查和情报搜集等多个领域。
展望未来,物联网会利用新一代IT技术充分运用在各行各业之中,具体地说,就是把传感器、控制器等相关设备嵌入或装备到电网、工程机械、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中,然后将“物联网”与现有的互联网整合起来,实现人类社会与物理系统的整合,在这个整合的网络当中,拥有覆盖全球的卫星,存在能力超级强大的中心计算机群,能够对整合网络内的人员、机器、设备和基础设施实施实时的管理和控制,在此基础上,人类可以以更加精细和动态的方式管理生产和生活,达到智慧化管理的状态,提高资源利用率和生产力水平,改善人与城市、山川、河流等生存环境的关系。
具体应用案例
下面列举了集中具体的应用案例,以供参考
1. 教育物联网
应用于教育行业的物联网首先要实现的就是,在适用传统教育意义的基础之上,对已经存在的教育网络中进行整合。对教育的具体的设施,包括书籍、实验设备、学校网络、相关人员等全部整合在一起,达到一个统一的、互联的教育网络。
物联网产业需要复合型人才,至少具备四方面的特征,包括掌握跨学科的综合性的知识与技能、掌握物联网相关知识与技术、掌握特定行业领域的专门知识以及具备创新实践能力。目前国内已有30余所大学开设了物联网专业。有超过400所高校建立物联网实验室。
2工程机械物联网
“工程机械物联网”是借助全球定位系统(GPS)、手机通讯网、互联网,实现了工程机械智能化识别、定位、跟踪、监控和管理,使工程机械、 *** 作手、技术服务工程师、代理店、制造厂之间异地、远程、动态、全天候“物物相连、人人相连、物人相联”。
工程机械物联网目前应用广泛。以NRS物联网智能管理系统平台为例,提升原本工程机械物联网服务由“信息采集服务”向“数据咨询服务转变”。由原来的现场管理升级为远程监控,由传统的制造转变为制造服务,由原来的被动服务提升为主动服务。功能涉及信息管理,行为管理,价值管理三大方面。
信息管理:
区域作业密集度管理
故障预警及远程诊断
车辆运维主动式服务
金融按揭安全
行为管理:
作业人员统计管理
作业工时效率性分析
行为与工效油耗分析
*** 作规范与工效分析
价值管理:
产品全寿命周期成本管理
行为与员工绩效管理
量本利敏感要素判断
多维大数据决策支持
以福田的农机信息管理平台为例,可以对农业所需相关机械车辆进行全球GPS定位、锁车、解锁车、设备工时查询、故障报警等 *** 作,这对促进农业生产,提高工作效率有着至关重要的作用。
3建筑行业物联网应用――塔机监控
塔机智能化的监控管理系统,主要针对检测状态、危险距离预警、故障诊断、信息回传、工程调度等方面工作。例如塔机下面危险区域禁止站人实时提示、与其他高空建筑物距离过近、超出安全距离范围、内部故障预警、诊断、实时显示额定载重量、当前风速、回转角度、当前载重等。
4建筑行业应用――商用混凝土搅拌站
对生产设备的远程诊断和远程维护已经成为当前自动化技术中的一部分。尤其对于那些错误容易诊断和容易排除的情况,派一>>
问题八:物联网是什么东西 童鞋你好!
学校好不好就不太清楚,侧面了解了解,但专业很不错。
物联网是以计算机科学为基础,包括网络、电子、射频、感应、无线、人工智能、条码、云计算、自动化、嵌入式等技术为一体的综合性技术及应用,它要让孤立的物品(冰箱、汽车、设备、家具、货品等等)接入网络世界,让它们之间能相互交流、让我们可以通过软件系统 *** 纵himer、让himer鲜活起耿。
科技创新改变生活,物联网以及延伸的人工智能必将为未来带来自便利的美好生活。
人类总是在追求自便利的美好生活,物联网很有前瞻性。
下一波的IT浪潮就是云计算、物联网、人工智能、生物技术。
好好把握学习这个专业的机会,目前物联网处于发展初期,等你毕业刚好是大展拳脚的好时机!
一一一一
来自:广州溯源―物联网、云计算、人工智能---绿色未来
问题九:物联网有哪些职位 其实跟互联网差不多,也是有产品经理、项目经理、Java开发工程师、运维工程师、Python工程师等
问题十:移动有哪些产品运用了物联网技术的? 移动m2m推出的:爱贝通、关爱通、电梯卫士、车务通、宜居通等都运用了物联网技术的。Trustzone可以追溯到十多年前,ARMv7公布的时候就有了,可惜一直没有什么实际应用。直到近几年开始,才真正的有厂商开始把这个方案大规模用于芯片里。目前看到的主要有四个应用领域:\x0d\ 第一是无人机芯片,大疆已经走在了最前面,第二名连影子都没看见。无人机上几大应用,图像传输,图像处理,识别,飞控,存储,每一块都有安全的诉求。利用Trustzone可以做到,在芯片里流动的数据,每一步都在安全系统的控制之下,哪怕飞机被人抢去,都需要极大的代价才能拿到闪存以及内存里面的数据。如果以后上安卓或者其他 *** 作系统,哪怕软件系统被黑客攻破,数据和控制还是安全的。最后,如果国家或者行业出台政策,要求实施禁飞区,那么哪怕无人机的主人自己去修改闪存和软件,都可以被强制接管。这些功能必须在芯片设计阶段就考虑到,大疆在这方面的眼光确实比别人长远。\x0d\ 第二是DRM,数字版权管理,也就是内容保护。如果国内用户要在手机上看最新好莱坞大片,那么播放设备必须经过一个认证,这个认证可以用trustzone来实现。国内已经在积极的推动这个事情,估计再过一段时间就可以实现了。当然,这是一把双刃剑,肯定也有用户反而不愿买支持DRM的设备,而去看盗版。用了Trustzone本身并不限制盗版,只不过多了一个看好莱坞大片的渠道。\x0d\ 第三是支付。把Trustzone用于支付支付在技术上没有困难,对芯片性能要求也不高,难的是把各个利益方摆平。银行和运营商想把支付控制权握在自己手里,所以会去大力推广NFC,会去和苹果合作。而手机支付软件厂商,比如支付宝和微信,想通过和手机芯片和硬件厂商,把所有功能都自己的平台上实现。目前的支付大多数还是基于软件和远端密钥验证。如果有人把手机破解,那还是可以读取到支付图层的密码的。而trustzone做的,就是硬件上杜绝这类情况。\x0d\ 第四是物联网。物联网的安全有好几种做法,可以把安全检测放在服务器端或者末端芯片上。末端通常是一个MCU加上传感器和互联模块,面积较小。用硬件trustzone实现的话,加解密和密钥管理等功能会需要额外内模块,可能比MCU本身都大,成本太高。但如果是附加值高的芯片就没什么问题。\x0d\ 让我们从技术层面来定义Trustzone到底能做什么:\x0d\ 1、防止 *** 作系统被攻破后关键数据泄密,关键数据存放在特定内存区域,而那块区域,只有安全 *** 作系统才有可能读到。\x0d\ 2、防止通过JTAG等调试接口读到寄存器,缓存,内存或者闪存数据。\x0d\ 3、从芯片制造开始,最初的密钥可以用芯片熔丝实现,往后启动的每一步都需要最高特权级和密钥验证,建立信任链,杜绝软件被替换或者被恶意读取。\x0d\ 4、防止边带攻击,比如量取内存颗粒的信号猜测数据,制造故障让检验模块停止工作,替换外围器件,输入特定数据确定电磁信号特征,打开芯片直接量内部信号线等。\x0d\\x0d\上一个典型的ARM SoC内部结构,在这个结构里,Trustzone做的事情是保护数据在芯片内部的安全,不允许非授权的访问,哪怕这个访问来自CPU。初看有些复杂,不过我们可以拆开慢慢分析。从硬件角度开始比软件更清楚些,说不定哪天过认证的时候需要答辩,从头到尾解释系统安全设计。\x0d\ 首先,按照Trustzone的划分,一个芯片内被划分为安全世界和非安全世界。上图中,中间黑色的部分是总线,总线上面是主设备,下面是从设备(主设备中的缓存是例外,这个以后说)。读写请求总是从主设备发往从设备的。\x0d\ 作为从设备,区分它是不是属于安全世界相对简单。如果一个从设备不存在成块的空间映射,比如I2C或者PWM,那么我只要在总线访问它的时候,额外的加入一个管脚(取名为PROT),就可以告诉它本次访问是不是来自安全世界。如果从设备本身是完全属于被保护的安全世界,不接受非安全的访问,那么只要简单的拒绝,返回错误或者无意义数据即可。同样,如果从设备本身处于非安全世界,那么对于安全和非安全访问,都可以返回正确数据。还有,从设备所处于的世界,是可以动态配置的,且动态配置本身需要处在安全世界,这个以后讨论。\x0d\ 对于块设备,包括闪存,sram和内存等,它们的某些地址块需要处于安全世界,其他的处于非安全世界。为了实现这一点,就需要在它们前面插入一个检验模块(例如图中左方,DDR上面的TZC400),来判断某个地址是不是能被访问。当地址被送到这个检验模块,模块会结合PROT管脚去查表,看看本次访问是不是被允许,然后做相应措施。表本身和之前的动态配置一样,必须是在安全世界里面配置的。\x0d\ 至此,从设备就分析完了,是不是感觉特别简单?还有些细节,在把主设备也讲完后,我们会从系统角度来关注。\x0d\ 对于一般主设备,不考虑自带的缓存时,其实和从设备也差不多,也分为安全和非安全,可以在安全世界动态配置。配置完成后,这些主设备会按照自己所处的世界,驱动PROT管脚和地址来访问从设备,得到相应返回。不过这里的一般主设备不包括中断控制器,系统MMU,调试模块和处理器,接下来对这些例外模块进行具体分析。\x0d\\x0d\首先是处理器。\x0d\ 在上图情况,接了CCI总线后,处理器接在缓存一致性端口ACE上(不明白的请参考以前的文章),它的缓存是可以被别人访问的,并且这个访问,是从主设备到主设备(当然,在处理器内部是从端口),不会经过总线送到内存,也不会经过检验模块TZC400。这时就有个漏洞,通过 *** 纵一个非安全世界的模块,比如上图的橙色主设备,假装去读一个被安全世界保护的内存地址。这个地址本来存在于内存,被TZC400保护,可是由于总线的监听功能,读请求有可能被发往处理器缓存,从而绕过保护。\x0d\ 为了防止这种情况,处理器在所有的页表和缓存都做了特殊设计,加了一个标志位,标志本缓存行是否属于安全世界。如果别的非安全世界主设备来监听安全世界缓存行,由于安全位不同,处理器会认为这是两个不同地址,哪怕它们的地址一致,返回缓存未命中。这样,就不会把数据泄漏。\x0d\ 有人会问,这个标志位来源于页表,改了页表中的这一位不就可以访问了?其实不行。因为安全世界页表位于被保护的内存区域或者缓存,就算破解了 *** 作系统也无法访问。\x0d\ 又有人会说,那改了非安全世界的页表中安全位,并伪造一个安全世界的地址,岂不是可以让CPU模拟出一个访问安全世界的传输,送到总线和TZC400?TZC400或者对端缓存一看地址和PROT管脚都是符合要求的,应该就会返回保密数据吧?想法是不错,可是当CPU位于非安全世界时,它会忽略页表中的安全位,所以不可能发出PROT为安全的传输。所以,我们可以对这点放心。\x0d\ 以上是别的主设备访问处理器,那如果处理器本身处于非安全世界,有没有可能访问其他主设备的安全缓存?当然有。所以不要把其他主设备接到ACE端口,以免被监听,一般主设备是不会做缓存上的安全与非安全区分的。接到ACE-Lite接口无所谓,反正设计上就无法被读取缓存数据。\x0d\ 除此之外,还存在一个例外,就是GPU。在最新的ARM G71图形处理器上,是支持双向硬件一致性的。也就是说,GPU也可以被监听缓存的。为了简化设计,图形处理器被设成永远处于非安全世界,CPU尽管读,不在乎,它使用另外一种机制来保护数据,以后介绍。\x0d\ 对处理器缓存熟悉的人可能会想到用跨缓存行的非安全变量来访问被保护的数据。没用的,处理器设计者早就想到这点,要不就是非对齐访问异常(包含exclusive access的时候),要不就不会给你数据,具体到每个处理器有所不同。\x0d\ 还有一个漏洞没堵上,那就是缓存维护,TLB和分支预测 *** 作。ACE端口包含了DVM *** 作来维护它们,安全性如何保障?同样的,地址中也有安全和非安全位。不过话说回来,DVM *** 作无非就是无效化某些缓存,分支预测和TLB项,不存在安全数据被读取,TLB被篡改的情况。\x0d\ 到这里可能你会觉得有点晕,不少漏洞需要堵。我们可以回顾一下,需要记住的是各种缓存 *** 作,通过安全标志位保护,避免漏洞。对比处理器设计者所要考虑的情况,这点漏洞不值一提。\x0d\ 杜绝了缓存漏洞后,还有别的隐患,比如仿真器。调试模块可以被用来访问各个从设备,也可以访问和影响处理器内部资源。从设备侧的防护很容易,把调试模块当成一般的主设备处理就行。处理器内部的寄存器,缓存等资源,需要处理器从设计开始,就要为所有资源定义安全级别。被保护的资源对于来自调试模块的未授权访问会被禁止。只有通过安全启动链,安全世界的软件才能打开寄存器SDER,从而允许外部仿真器影响被保护的安全世界资源和处理器运行状态,访问被保护的资源。\x0d\ 那处理器内部的资源是怎么划分的?以ARMv8举例,如下图:\x0d\\x0d\这幅图相信很多人都看到过。ARMv8的处理器被分成四个特权等级,通常EL0跑用户态程序,EL1内核,EL2虚拟机。EL0-1分为安全与非安全,EL3只有安全世界,EL2不区分,两个世界的切换必须经过EL3。我们谈到的处理器内部资源,包括寄存器,缓存,异常,MMU,很多都会分组,组之间看不到或者低级不可访问高级,从而保证安全。没有分组的,比如通用寄存器,就需要软件来维护,防止非安全世界的看到安全世界的数据。\x0d\ 引起安全切换的会有几种可能:中断和SMC指令。中断分为如下几种情况:\x0d\\x0d\非安全世界下,在EL1或者EL0,当一个非安全中断来临,那么系统没必要切换安全状态,作为一般中断处理,切到EL1即可。\x0d\ 非安全世界下,在EL1或者EL0,当一个安全中断来临,那么系统必须先切到EL3,不然就没法做安全世界切换。\x0d\ 安全世界下,在EL1或者EL0,当一个安全中断来临,没必要做安全世界切换,作为一般中断处理,切到EL1即可。\x0d\ 安全世界下,在EL1或者EL0,当一个非安全中断来临,那么系统必须先切到EL3,不然就没法做安全世界切换。\x0d\ 当跳到EL3的Secure Monitor程序处理上下文切换时,IRQ/FIQ中断屏蔽位不起作用,哪怕打开了也不会触发,直到Secure Monitor处理完,向下跳到相应的安全世界EL1时,才会让原来的中断屏蔽恢复,从而触发中断。此时处理中断的是安全世界的中断程序,处于被保护的内存区域,杜绝非安全世界的程序篡改。\x0d\ 那怎样触发安全与非安全中断呢?这在中断控制器里有定义,早年的定义中只有FIQ可以作为安全中断,后期的可配置,并且,相应的安全世界配置寄存器只有在处理器的安全世界中才可以访问。\x0d\ SMC指令和中断触发类似,只不过软件就可以触发,切换到Secure Monitor。这里,非安全软件可以提出触发请求,在通用寄存器填入参数,却无法控制安全世界的处理程序做什么,也依然看不到被保护内存数据。所以防止数据泄密的任务就靠安全 *** 作系统了。\x0d\ 至此,安全启动后的基本硬件防护已经完成,但如果你以为这就是Trustzone,那就错了,精彩的在后面。\x0d\ 我们可以把Trustzone放到实际应用里面看看是不是可行。以DRM举例,如下图:\x0d\\x0d\在播放授权 视频的时候,视频流来自网络或者闪存,它们不需要在安全世界,因为数据本身就是加密过的。然后被解密并放到被保护内存,等待解码。上图中,密码保护和解密是通过安全硬件模块Crypto来完成的,这个我们以后再分析,先处理解密完成后的视频流。此时有两种方案:\x0d\ 第一中,非常自然的,可以把所有的过程在安全世界完成,那么图形处理器,视频处理器和显示模块必须都工作在安全世界,能访问安全世界的数据,才能完成工作。可这样就带来一个问题,那就是驱动。我们知道,图形处理器的驱动是非常复杂的,并且手机上只存在Linux和windows下的图形驱动,和OpenGL ES/DirectX配合。\x0d\ 而安全世界的 *** 作系统(TEE,Trusted Execution Environment)是完全不兼容的安全系统,甚至有的都不支持SMP, 完全不存在可能性把图形驱动移植上去,也没有任何意义。这样的话,就只能把图形处理器从流程中挖掉,只留下相对简单也不需要生态的视频和显示模块的驱动,工作在安全世界,而GPU的输出送到显示模块,由显示模块进行混合。\x0d\ 这是一种可行的方案,也确实有公司这么做。但是从长远看,图形处理器总是会参与到这个过程的,别的不说,只说VR和AR流行以后,要是虚拟个显示屏出来,上面播放视频,然后放在一个虚拟出的房间,那他们之间肯定是要进行互动的,此时显示模块就需要把视频图层送回GPU进行运算。如果GPU不在安全世界,那就会造成泄密。\x0d\ 为了解决上述问题,有了第二种解决方案,称作TZMP1(Trustzone Media Protection 1),引入了保护世界的概念。\x0d\ 保护世界工作于非安全世界,这样才能兼容图形驱动。那安全怎么办?它需要添加四根管脚NSAID,类似于安全世界的PROT信号,只不过做了更细的划分,使得GPU/视频/显示模块要访问被保护内存时,预先定义好了权限。而这个权限的设置,也是通过前文的TZC400来实现的,在安全启动链中就完成。CPU的权限通常是0,也就是最低。而显示控制器权限是只读。\x0d\ 这样一来,我们之前的老问题,恶意缓存监听,又回来了。在新的A73和G71加CCI500/550总线系统里,可以支持双向硬件一致性。这意味着GPU也能被监听。这下大家都在非安全世界,缓存里的安全位不起作用,怎么解决?这需要总线的配合。\x0d\ ARM的总线CCI500/550,有一个保护模式,打开后,不光支持上文的NSAID管脚,还可以在监听的时候,把监听传输替换成缓存行无效化命令,直接让目标把相应缓存行无效化。这样一来,数据还是需要从内存读取,保证安全。并且这个过程对软件透明,无需做任何改动。\x0d\ 可是此时,辛辛苦苦设计的硬件一致性就完全起不到加速作用了,性能受到影响。好在运行OpenGL ES的时候,GPU是不会发出共享传输的,CPU也不会没事去监听GPU的数据。而下一代的图形接口Vulkan,会开始使用GPU双向一致性,那时候会有影响。还有一点不利的是,如果同时运行OpenCL和DRM,OpenCL也用不上双向硬件一致性,必须重启系统切换到非保护模式才行。\x0d\ 还有,在实际使用中,现有的TZC400作为内存保护模块,有几个致命的缺陷。\x0d\ 第一,它的配置只能在启动时完成,无法动态改变,也就是说,一旦某块内存给了安全世界,就无法再被非安全世界的 *** 作系统使用,哪怕它是空闲的。在4K视频播放时,需要分配几百兆内存,还不止一块。\x0d\ 如果一直被占着,这对于4GB内存手机来说是个沉重的负担。怎么解决?只能改成动态配置。此时,如果内存不够了,非安全 *** 作系统提请求给安全系统,让它把暂时不用的物理内存设到非保护内存区,并定个时间收回。不过这样一来内存分配机制就复杂了,说不定还得改内核,很危险。\x0d\ 如果忽视这点,继续往下走,还会遇到第二个问题。TZC400和它的改进版最多只能支持最小颗粒度为2MB的内存块管理。为什么不弄细些呢?很简单,如果设成4KB,和系统页大小一致,那么4GB的物理内存就需要一百万条目来管理。如果做成片上内存,比二级缓存还大,不现实。\x0d\ 而做内存映射,就和MMU一样了,经过CPU的MMU后,数据访问还要再穿越一次MMU,延迟显然大。此外,这一层的MMU无法利用一二级缓存放页表,效率极低。如果继续保持2MB的颗粒,那么在分配内存的时候,很快就会因为块太大而用完。就算使用了上一节的方法,问题也没法很好解决。这就是TZMP2V1。\x0d\ 在这种情况下,第三种基于虚拟机的方案就出现了。不过这个方案基本上推翻了Trustzone最初的设计意图,我们来看下图:\x0d\\x0d\在这里,作为内存保护的TZC400完全移除,而系统MMU加了进来。内存保护怎么做?靠物理地址重映射。先看处理器。在启动链中,从EL3向EL2跳的过程时,就定义好保护内存,并且EL2,也就是虚拟机的页表存放于保护内存,EL1的安全页也同样放在保护内存。\x0d\ 这样,当处理器进入到EL1,哪怕通过篡改EL1非安全页表的安全位,也最终会被映射到它所不能访问的安全内存,从而起到保护作用。同样的,给处于非安全世界的控制器也加上系统MMU,让设备虚拟化,同样可以控制安全。这就是TZMP2V2。有了系统MMU,页表可以做成4KB大小了,也不用担心CPU那里穿越两次MMU。这时候,也不用担心恶意监听缓存,因为所有穿过二级MMU的访问里,安全位都是经过检验的的。\x0d\ 但是,不看别的,光是为设备加入这些系统MMU,就会增加很多面积。还有,光加MMU不够,还要加入系统的三级甚至四级缓存,才能让MMU效率更高,不然延迟太大。当然,如果设备使用的页表并不很多,可以对MMU简化,比如增大最小颗粒度,减少映射范围,直接使用片内内存。这需要系统设计者来做均衡。对于GPU来说,要支持双向一致性,还得考虑让监听传输通过MMU,不然功能就出问题了。\x0d\ 如果使用了TZMP2V2,那么虚拟化就变成了一个切实需求。然后会发现,ARM的中断和设备的虚拟化还很不完善。接下来我从硬件角度解释下虚拟化。\x0d\ 说到虚拟化,先要解释系统MMU。\x0d\\x0d\如上图所示,系统MMU其实很简单,就是个二层地址转换。第一层,虚地址到实地址,第二层,实地址到物理地址。请注意,没有第二层转换时,实地址等同于物理地址。这个模块既可以两层都打开,也可以只开一层,看情况而定。\x0d\\x0d\上图比较清楚的显示了一层映射的过程。其中,设备发出的虚地址请求,会先经过TLB,它里面存了以前访问过的页表项,如果有,就直接返回,没有就往下走到第二步table walk。\x0d\ 第二步里,MMU会按照预设的多级基址寄存器,一级级访问到最终页表。如果MMU位于CPU内,那table walk过程中每次访问的基址和表项,都可以存放于缓存中,大大提高效率。如果在设备上,只有内建的TLB表项,后面没有缓存,那未命中TLB的都是访问DDR,效率自然下降。\x0d\ 所以CPU和GPU等经常访存的设备,都是自带第一层MMU和缓存。而对于没有内部MMU,切换页表又不是很频繁的设备,比如DMA控制器,可以在下面挂第一层MMU,此时驱动就简单了,直接把应用程序看到的虚地址给DMA的寄存器就行,MMU会自己按照基地址去查找相应页表并翻译,把实地址送到总线。不然,驱动还要自己查找实地址再写入寄存器。\x0d\ 我们前面说过,在TZMP1和TZMP2v1中,内存保护是靠TZC400来完成的。而到了TZMP2v2,取消了TZC400,这时靠虚拟化的二层地址映射。\x0d\ 二层映射的过程和一层映射基本一样,不再详述,但是性能问题会被放大。假设在一层中,经过四级基址查到最终页,而在二层中,这每一级的基址查找,又会引入新的四级基址访问。所以至少要经过4x4+4=20次访存,才能确定物理地址。如果没有缓存的帮助,效率会非常低。\x0d\ 其他可行的办法是减少基址级数,比如linux只用了三级页表,但即使如此,也需要3x3+3=12次查找。在包含缓存的ARM CPU上,虚拟机的效率可以做到80%以上。而二层MMU应用于设备实现设备虚拟化的时候,就需要小心设计了。\x0d\ 有了系统MMU,我们就有了全芯片虚拟化的基础。那在对系统性能和成本做完平衡,采取合适的系统MMU设计之后,是不是就可以实现虚拟化,并且靠虚拟化实现安全了?没那么容易,还有其它问题需要考虑。\x0d\ 虚拟化脱胎于仿真器,就是在一个平台上模拟出另一个平台。在指令集相同的时候,没有必要翻译每一条指令,可以让指令直接被硬件执行,这样指令的效率算是得到了解决。当然,对于某些特殊指令和寄存器访问,还是需要hypervisor处理的。接着第二个问题,访存。\x0d\ 我们前面解释过,对CPU来说,高效的虚拟化访存,就是让指令高效的经过两层翻译,而不是每次访存都需要触发虚拟机EL2的异常,切到Hypervisor,再得到最终物理地址。这一点在没有缺页异常的时候,ARM的虚拟化也已经做到了,而有缺页异常时还是需要Hypervisor处理。再接着是设备访存虚拟化,有了系统MMU,也可以高效做到。再就是处理器和设备中断虚拟化。\x0d\ 最后,设备的虚拟化需要管理,那设备本身需要支持虚拟设备号和虚拟中断号。更多内容请期待。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)