智能电网遏制不合理的配电需求

Posted on 4月 12, 20184月 26, 2018 by pberta

如今的电网已不同以往。电网运营商需要解决新型“有源电网”日益增长的挑战。这种电网需要集成微电网、可再生能源、需求响应以及不仅消耗能源而且产生能源的客户（图 1）。在这个新的现实中，客户一直拥有低压配电网络发电和能源管理的能力。

图 1. 电网运营商面临传统控制系统无法应对的挑战。（资料来源：Indra）

新型有源电网需要现有系统和方法无法提供的可见性和控制水平。举例来说，SCADA 系统无法胜任运营商有效应对电网中低电压业务的需求。公用事业公司需要能够集成物联网、边缘智能和大数据技术的可扩展控制系统。运营商使用现有控制系统可以监控高电压层面的业务，但对占有很大比例且日益增多的低电压能源资产则束手无措。Indra 负责能源建模和控制系统的高级经理 Juan Prieto 说道：“这造成了很多干扰。时有变压器烧毁、电压失控的现象发生。公用事业公司却没有相应的监控和处置工具。”

公用事业需要一个统一的平台来整合和管理边缘的所有电网资产，管理物联网产生的大量信息，并实现未来的可扩展性。为顺应这一性需求，Indra 与英特尔联手推出面向电力供应商的 Indra Active Grid Management 套件 (AGM)— 参见图 2。

图 2.
Indra Active Grid Management 套件将开放式物联网架构与先进的分析功能相结合，可以有效监控和管理整个电网的各种能源资产。（资料来源：Indra）

Indra 平台将开放式架构与先进的分布式分析相结合，可监控和管理整个电网的各种能源资产。该解决方案可帮助客户：

通过优化对整个电网的资产监控和管理来降低成本
通过实时诊断和优化响应来改进电网可靠性
提供各系统间实时信息交换，不受制造商制约
全面掌控供所有监视和控制资源，同时避免供应商锁定和瓶颈
通过借鉴从电网互操作性获得的见解、可扩展性和分析驱动的见解来实现新型使用案例

降低成本和碳排放

这种智能管理可以通过多种方式使电网运营商受益。运营商能够以更接近设计极限的方式来运营，充分发挥其资产的工作效率，从而降低成本。这使运营商能够从其电网中剔除额外容量。基于系统的优化信息处理，也可以通过改善维护管理来延长资产寿命。智能电网管理还可以降低碳排放。该系统可以顺利地将可替代能源（风能、太阳能等）整合到电网中。它还使得能源生产可以更靠近消耗地，不仅节省了输配电成本，还节省了支持更高输配电量所需消耗的化石燃料。

在边缘管理

inGRID AGM 的核心是基于英特尔凌动® 处理器的智能边缘节点。网关实时收集电网能源资产的信息，并对这些数据进行分析。Prieto 解释道：“因为具备边缘智能功能，所以不需要向运营商发送大量原始数据进行决策。您可以对这些数据进行过滤和分析，仅发送与运营商相关的信息供其参考。”

有关系统的信息可以通过 Indra 的总线架构在边缘节点、云端和传统操作技术系统之间共享。此类共享有助于监控、分析和资产优化。在云端，可以通过仪表板和报告的形式展现这些数据，反过来，又可以将其用于模拟资产变化或使用 Indra 的分析软件应用大数据分析。inGRID AGM 套件为运营商提供了大量优势。举例来说，Indra 的 iSpeed 总线可以提高各种供应商和协议的兼容性。此外，Indra 的监控门户还可以对所有电压水平执行集中化、实时电网资产监控，并生成早期预警。该套件还具有内置的假设分析工具，用于在执行更改前模拟更改，以及用于发现趋势并根据历史和实时信息预测结果的强大分析功能。而且，该套件可以处理多种使用案例，例如中低压监控、资产状况监控、分布式能源以及 DR 集成。Indra 的边缘节点还可以向资产（如电池）发布纠正性指令，使其能够“自我修复”，并自动配置资产以补偿故障资产或将电源重定向到最需要的地方。

与英特尔合作

芯片制造商 Indra 自 2015 年起与英特尔开展合作，并在处理物联网部署产生的大量数据方面取得了可圈可点的业绩。Prieto 说道：“一切都与电网信息处理有关。如果不能处理这些信息，就不能做出足够快速的反应。也就不能增加价值以及改进系统管理方法。”

英特尔^® 的硬件和软件使得 Indra 能够为电力供应商提供端到端解决方案。基于英特尔^® 技术的网关提供智能电网所需的边缘处理，从而通过边缘设备管理和强大的安全功能提高可靠性。英特尔还通过以英特尔® 至强® 处理器为依托打造的 Amazon Web Services 服务器提供强大的云计算能力。英特尔组件还设计用于在各种条件下运行。Prieto 解释道：“有些人必须在现场工作，在极端的外部条件下处理变电站和配电变压器中产生的信息。这些信息需要保护，因为当您通过开放基础设施来监控更多元素时，越开放，风险就越大。英特尔芯片采用硬件加密技术来确保系统信息安全交换。”

开创新机遇

通过更好地控制电网，新的业务模式可能开始出现。组织可能希望拥有自己的智能电网。运营商可以提供与这些“微电网”相关的服务。在某个时候，即使是个人消费者也可以成为能源经纪人。如果个人消费者的太阳能电池板有剩余电量或他们正在度假，智能电网便可以帮助他们向邻居出售电力。Prieto 说道：“这样的基础设施将催生新的市场。这不是科幻小说。现实生活已然发生。”

对高效、低成本建筑至关重要的灵活物联网软件

Posted on 3月 26, 20184月 11, 2018 by pberta

设施管理者寻求通过将建筑自动化系统 (BAS) 连接到物联网 (IoT) 分析和数据可视化平台来降低成本和提高效率。但是，把 HVAC、照明、供水和其他老旧建筑基础设施接入物联网要求克服资源限制和现有 BAS 系统的网络互操作性问题（图 1）。

图 1. 智能 BAS 对一系列设施子系统实现了远程监控和管理。（资料来源：TechiExpert）

如今，建筑占全球能源使用的大约 40%，占全球水消耗的 25%，约占温室气体排放的三分之一。应用物联网原则和技术有助于更好地保护自然资源和降低建筑带来的环境影响，同时还能降低运营成本。

应用物联网，打造更智能的建筑

应用物联网的流程始于实时或以预定时间间隔汇总 BAS 传感器和子系统的数据。使用适当的软件可以对这些数据进行分析，然后以有效、易于理解的形式向建筑管理者展示。随后，建筑管理者便可在边缘对 BAS 控制设备实施调整、改进或纠正措施。但是，建筑连接协议的多样性引发了互操作性方面的挑战。在数十种行业标准和专有技术中，许多都没有本地 IP 支持。因此，要想被基于云的分析和可视化平台成功收集，就必须转换为没有任何数据包丢失的 IP。此外，许多建筑自动化设备受到严重的资源限制，从而妨碍使用本地软件代理来转换协议。第二个挑战是灵活性。将建筑连接到云端的平台本身必须十分灵活，才能集成各种传感器数据，并与业务系统或第三方的其他信息结合起来。为提高效率，该云平台还必须能够容纳非常细化的数据点，以便迅速识别异常现象和趋势。当然，云平台的任何往来通信都必须得到保护，以防止 BAS 受到威胁。

解决从边缘到云端的 BAS 互操作性挑战

如上所述，将老旧 BAS 接入物联网需要各种技术，一家供应商通常无法满足这种需求，所以，合作势在必行。举例来说，企业设计服务公司 Altair Engineering, Inc. 与建筑自动化公司 CANDI Controls, Inc. 合作开发 Carriots Analytics for CANDI Controls（图 2）。

图 2.
Carriots Analytics for CANDI Controls 是一个端到端软件堆栈，为 BAS 提供物联网功能。（资料来源：Altair Engineering, Inc.）

Carriots Analytics for CANDI Controls 是一款边缘到云端的软件解决方案，可以解决 BAS 互操作性挑战。在边缘，CANDI 的物联网服务器网关集成软件提供一个驻留在网关或工业 PC 上的转换层，建筑自动化设备本身并不需要设置转换层。无需在设备上嵌入软件代理。因此，老旧控制系统在过渡到物理网环境时不必进行改造或更换。CANDI 物联网服务器为 BACnet、Modbus、Zigbee、Wi-Fi、以太网、Z-Wave、串行、电力线和制造商特定协议提供设备驱动程序。此外，它还由与 IEEE 802.11 (Wi-Fi) 通信规格（例如 Dell iSeries Wyse 3290）兼容的英特尔® 物联网网关提供支持（图 3）。除智能建筑系统发现自动化及其调配简化之外，物联网服务器还可以对现场设备的数据执行标准化，并安全地将其链接至基于云的服务（例如 Carriots Analytics 平台）。该软件还与 McAfee Embedded Control 紧密集成，保护老旧 BAS 设备的固定功能，并防止针对目标设备执行未经授权的软件或硬件更改。

图 3. 采用英特尔^® 物联网网关技术的 Dell iSeries Wyse 3290 支持 CANDI BAS 驱动程序，可自动发现已连接的建筑系统并简化其调配。（资料来源：Dell OEM）

就 Carriots Analytics 平台而言，它基于从 CANDI 软件收到的数据提供全面的设备、传感器和数据诊断分析及可视化界面。因此，HVAC 系统、照明、自来水主管道和其他建筑基础设施系统的实时及历史数据可以汇总在一个统一的存储库中。系统还支持自由分析，以便工程师能够深入细致地分别调查具有时间戳的应用程序 BAS 数据包（例如预测性维护），而现场经理则可以详细监控跨多处现场的总体资源利用率（图 4）。

图 4. Altair Engineering, Inc. 的 Carriots Analytics 平台可以自由分析各种 BAS 用户的数据。（资料来源：Altair Engineering, Inc.）

除了 BAS 数据，Carriots Analytics 平台还提供很多数据接口，能够与外部企业资源规划 (ERP) 系统对接。这包括与关系数据存储、Web 服务、安全和身份验证套件及其他分析引擎通信的预配。所有这些预配与 Carriots Analytics 中的信息集成，可以从总体上查看业务运营。CANDI 软件套件支持双向通信，意味着基于此数据得出的建筑管理决策随后会在现场的 BAS 控制设备上执行。

高效建筑节省资金

Carriots Analytics for CANDI Controls 很好地诠释了工程师和高管们如何利用物联网提高效率、削减成本以及提供新服务。例如，Carriots Analytics 平台利用的数据有助于基于峰值需求来优化建筑功耗，或者揭示特定类型的阀门在各种压力水平和流速下易于泄漏。在这两种情况下，这些物联网数据和先验的知识可以提高建筑的功效，减少基础设施生命周期内的维护和维修成本。

网关匹配智能城市的解决方案要求

Posted on 3月 19, 20183月 28, 2018 by pberta

基于物联网 (IoT) 概念的智能城市部署仍在继续，但设计人员和系统集成商面临着控制成本和提供更多功能的挑战。许多现成的硬件和软件解决方案可帮助实现这些相互冲突的目标，但设计人员和系统集成商必须确保它们坚固、安全、可扩展、易于管理，并且易于同已部署的网络和 IT 基础设施相集成。智能路灯是智能城市中应用越来越广泛、最引人注目的元素之一，也是功能要求不断增加的应用示例。

路灯发挥的作用不断扩大

典型的智能路灯包含用于检测阳光的太阳辐射传感器、用于检测车辆或行人存在的运动传感器，以及用于连接回中央管理系统的一些元件。最开始的想法是让城市照明更高效、更具成本效益，也正是这样一个简单的想法让不起眼的路灯变成了智能城市的关键元素。在很大程度上，由于路灯无处不在，它们也就成为智能城市其他传感应用（例如空气质量、湿度、风力、温度、振动、风速计及交通监控和安防用 IP 摄像头）的自然聚集点（图 1）。

图 1. 借助空气监测和视频摄像头，街道照明已从基本的照明控制发展为智能城市中举足轻重的角色。（资料来源：Advantech）

Advantech 产品经理 Brook Lee 表示，随着互联汽车的兴起以及车辆对基础设施 (V2I) 技术的发展，路灯还将继续扮演越来越重要的角色。根据所有这些新增的功能和要求，确定支持路灯的正确硬件和软件是设定和匹配智能城市需求中要好好研究的方面。

适用于智能城市的智能网关

Lee 表示，随着功能的增加，需要重新考虑数据收集和处理的方式，先前将所有数据发送到云进行分析已不再合乎情理。这会带来不必要的延迟和带宽使用，同时会限制可扩展性和可管理性。随着传感器和功能的不断增加，新设备和传感器需要进行安全配置和管理。这些扩展功能不仅需要在边缘具有更多的处理能力，还需要在射频前端具有更高的灵活性，以便适应多个无线接口。Lee 认为，除了安全和远程管理外，满足这些要求还需要智能网关。他以 Advantech UTX-3117 物联网网关为例（图 2）。该网关采用英特尔凌动^® 处理器 E3900，该处理器拥有多达四个内核，工作频率高达 1.6 GHz，同时还具有 8 GB LPDDR4 内存。Lee 表示，利用这种计算能力，“我们可以在本地进行数据分析”。

图 2.
Advantech UTX-3117 物联网网关可在宽温度范围内运行，并可容纳三个射频模块以实现灵活连接。（资料来源：Advantech）

从视频和图像处理角度来看，处理器的亮点包括超高清 4K 支持，以及以 30 fps 的速度同时分析多达 15 个 1080p 解码流的能力。“借助更高的性能，您现在可以进行图像和视频分析。”Lee 指出。该网关还支持三个射频模块，可用于实施 Zigbee、6LoWPAN 或窄带物联网等选项。灵活的射频支持可以实现面向不同用途的混合网络。例如，网关可以使用：

蜂窝网络，适用于以相对较高的数据速率进行广域连接
LoRaWAN，适用于低数据速率、远程控制和传感应用
Wi-Fi 或蓝牙，适用于本地维护和更新，而无需爬杆

其他 I/O 包括两个 USB 3.0 端口和 2 个 COM 端口，允许持续添加更多的传感器或摄像头。为了简化这些新功能的添加和配置，Advantech 的 WISE-PaaS 以及远程监控和管理 (RMM) 服务为 UTX-3117 提供支持。这是一种预配置的云服务软件，可将传感器连接到云并推送固件更新（图 3）。

图 3. Advantech WISE-PaaS/RMM 专门针对远程管理和监控。（资料来源：Advantech）

Lee 表示，为了确保安全，UTX-3117 使用 TPM 2.0，并实施了“能够防止黑客入侵，确保安全”的 Wind River PulsarOS。Pulsar 是一款容器化 Linux 操作系统，可以从 Wind River 存储库即时提供补丁和安全修复程序。据 Lee 介绍，这可以保护设备免受与未受管的开源技术相关联的风险。Wind River 致力于为 Pulsar 操作系统提供长期支持，从而确保长期的安全更新。PulsarOS 还通过了 Microsoft Azure 和 Amazon Web Services (AWS) 认证，可以轻松连接这些服务。在这里，开发人员可以实施各种云应用程序，例如

预测性维护或大数据分析。

坚固性对于智能城市网关至关重要

虽然性能和安全很重要，但系统还需要能够在宽温度范围内运行。在典型部署中，UTX-3117 会被放置在一个机箱内以保护其免受元件的影响，但这种封闭环境确实会使其暴露在更高的温度下，Lee 指出。因此，网关设计的工作温度范围为 -20˚C 至 +60˚C。在处理器级别，Advantech 选择英特尔凌动处理器 E3900，因为它的工作温度范围为 -20˚C 至 +105˚C，同时提供 7 年质保，可靠性长达 15 年，Lee 说。UTX-3117 还采用紧凑型设计，尺寸为 128 x 152 x 37 毫米。Lee 认为，使用照明基础设施进行智能城市部署的下一步措施包括连接停车场以发出空位通知，以及连接移动车辆。与此同时，提供可在边缘执行分析的可扩展且易于管理的安全物联网网关解决方案，是新一代智能城市解决方案的基础。

让安全可靠的物联网计算变得经济高效

Posted on 2月 26, 20183月 7, 2018 by pberta

物联网应用的设计人员一直承受着巨大压力，他们必须以经济高效的方式来满足超出典型消费系统要求的坚固性、空间、性能和可靠性要求。从头开始设计以满足所有这些要求可能需要高昂成本，因此物联网的一种绝佳替代途径就是为 PC 配备高性能主板，将其置于精心设计的机箱中，并提供高效的散热管理、EMI/ESD 保护和 I/O端口设计。除了节省成本和缩短开发时间外，随着新处理器的出现以及应用要求变得越来越严苛，这种方法也能支持可扩展性。适合使用这种替代方法的计算平台的一个示例就是外形小巧的 Next Unit of Computing (NUC) 电脑。该主板可通过最新的英特尔处理器进行扩展，从而满足空间和性能要求。只要对机箱设计和散热性能予以一定程度的重视，即可轻而易举地将其转变成坚固耐用、相对便宜的物联网计算平台。下文将介绍 Logic Supply 如何围绕物联网开发坚固耐用的机箱，并始终保持靓丽外观。

NUC 让空间和可扩展性能实现平衡

英特尔® NUC 主板（例如 NUC7i3DNBE）专为将高性能计算组合在小巧的 4×4 英寸空间内而设计（图 1）。它使用最近推出的英特尔® 酷睿^TM i3-7100U (Kaby Lake) 处理器，后者采用英特尔® 核芯显卡 620，其热设计功耗 (TDP) 为 15 W，并采用焊接式 BGA 封装来实现坚固耐用。

图 1. 英特尔® NUC 主板（例如 NUC7i3DNBE）可满足工业应用的空间、性能和可扩展性要求，但需要进行修改才能满足工业、标牌、物联网以及环境和可靠性挑战。（资料来源：英特尔）

添加各种功能，例如使用直接拧到主板上的固态盘内存、0˚ 到 55˚C 的工作温度范围、默认风扇和塑料机箱，而且 NUC 通常足够坚固耐用，可满足消费级和工作站应用的要求。但是，消费级和工业使用模式与设计要求之间存在很大差距。消费者可以容忍甚至是享受打开计算机系统来更换组件、排除问题的过程，并且会耐心等待系统冷却下来（如果系统过热）。但工业和物联网应用却并非如此。“对于我们的客户来说，宕机是一件棘手的事情，”加固型计算机系统提供商 Logic Supply Inc. 的产品经理 JP Ishaq 说道。许多客户都会将他们的电脑安装在天花板上方，或者放在橱柜或工作台下面。“他们甚至不想看到电脑，更不用说因为系统过热而打开它了，”他说道。

面向工业和物联网的加固型 NUC

虽然 NUC 在尺寸、连接性、功能和性能（包括高清媒体功能）方面达成了合理平衡，但下一步是要使其满足工业领域客户的需求。这意味着需要尽可能多地消除故障点。这个过程从取缔风扇开始，风扇往往是最便宜的组件，但可能会有灰尘透过风扇进入并堵塞系统，或者是有金属屑进入，导致系统出现故障或短路。“我们希望完全取缔风扇，”Ishaq 说道。“我们需要一个完全固态的解决方案。”最重要的是，他表示必须消除所有通风口，并减少或密封 I/O 端口以防止湿气、灰尘和 EMI 进入。在取缔风扇后，Logic Supply 专注于采用先进散热器和机箱设计的被动式散热技术，旨在让系统内部尽可能保持低温。“有些公司可能会在主板上安装一个散热器，并将其置于机箱内。”Ishaq 说道。他补充说道：“我们会尝试不同的做法，确保使用定制的散热解决方案来最大限度地提高处理器的散热量，以便为其提供充足的散热空间。”

这让 ML100-G-31 之类的设计具有非常有趣的外观（图 2）。“它还具有非常强大的功能。”Ishaq 说道。“我们认为功能第一、外形第二，但所有事情都是平等的，我们还要让它拥有靓丽外观。”Logic Supply 还包括了用于屏蔽或密封通风口以及在机箱上添加品牌信息的选项。

图 2.
ML100-G-31 包含定制的散热器设计和用于屏蔽或密封通风口的选项。（资料来源：Logic Supply Inc。）

散热器的设计取决于客户的应用要求，例如可用空间和操作环境。但它们都涉及到使用具有良好放射率的高质量铝材，并结合了可实现稳定接触的良好热性能以及使其保持就位的理想压力。“有些散热器解决方案的热升华和热导管非常复杂，但我们试着让它保持非常简单，而且无任何间隙，能够紧密地安装在一起。”Ishaq 说道。虽然 NUC 平台允许用户使用最新的英特尔处理器根据应用需求进行扩展，但相对于之前的 Sky Lake 和 Broadwell 实施，Kaby Lake 系列确实要求对散热器进行一些额外的修改。例如，该团队将更多散热器元件放在主板上。“通常，我们会尽量减少主板与 CPU 的接触，但是我们也会让某些组件与调节器接触。”Ishaq 说道。该团队使用散热垫直接接触调节器，然后将散热器延伸到散热垫以外。“采用新解决方案后，在额定温度上我们实现了 10˚ 至 15˚C 的温降。”Ishaq 表示。成功的秘诀就是广泛试验，并以保守的态度指定规格。这意味着需要充分利用所有组件 — 从 CPU 到内存以及 Wi-Fi 或其他网络连接。Logic Supply 还根据铁路电子设备标准（例如 EN 50155）进行测试，并且会对温度、湿度、冲击和振动进行测试。该公司甚至会根据需要进行减振设计，以防止主板承受过大的重力。Logic Supply 还将采用标准 ML100-G-31 坚固机箱，并屏蔽端口或拆下消费者通常不会使用的端口，包括 COM 端口和数字 I/O。Ishaq. 表示，为了解决 EMI 问题，该团队会确保端口周围的垫圈紧凑并避免使用基本背板。

面向工业和物联网的加固型 NUC

虽然性能、可扩展性、尺寸和可靠性要求通常意味着工业和物联网应用的成本高企，但并非总是如此。在可扩展处理器和定制散热器及机箱设计专家的支持下，通过选择具有合适外形的主板，该终端解决方案可以及时并在预算内满足设计和环境要求。

使用英特尔® SSF 消除人工智能瓶颈

Posted on 2月 26, 20183月 7, 2018 by pberta

机器学习和人工智能揭示了高性能计算 (HPC) 的局限性。从理论上讲，随着资源的增加，HPC 的并行架构可以进行线性扩展 — 但实际情况却并非如此。由于处理、数据传输和存储之间的不平衡，HPC 系统通常会遇到瓶颈。此外，缺乏标准化的硬件和软件会导致脱节、次优的实施。结果怎样？随着系统规模的扩大，效率会降低并且成本会升高。

新兴的可扩展系统架构

为了解决瓶颈问题，英特尔引入了英特尔^® 可扩展系统架构（英特尔^® SSF）。SSF 旨在为 HPC 提供更为全面、平衡和可扩展的方法。为了实现这一目标，SSF 将围绕内存、处理和网络传输调用特定元素，这些元素可与管理软件和支持参考架构配合工作（图 1）。

图 1. SSF 将围绕内存、处理和网络传输调用特定元素，这些元素可与管理软件和支持参考架构配合工作，从而消除 HPC 瓶颈。（资料来源：英特尔公司）

可以在 SSF 中使用的硬件元素包括：

英特尔^® 至强^® 处理器 E5-2600 v4 和英特尔^® 至强融核^™ 处理器
使用 NVMe（非易失性内存高速）标准构建的英特尔^® 傲腾^™ 固态盘
英特尔^® Omni-Path 架构（英特尔^® OPA）光纤和 10/40-Gbit/s 以太网

它们受面向 Lustre* 软件的英特尔^® 企业版（面向 Lustre 软件的英特尔^® EE）的支持。Lustre 是一种专为满足并行存储架构需求而设计的开源文件系统。英特尔在这种广受欢迎的文件系统基础上进行了增强，其中包括：

面向 Lustre 的英特尔^® 管理器，可以简化安装和配置
面向 Hadoop* MapReduce* 的集成支持
全球全天候技术支持

英特尔 SSF 还为操作系统制定了标准，包括 Linux 内核、访问控制、编程接口、运行时环境、存储和文件系统等等。举两个例子来说，它指定了 Linux 标准库 (LSB) 命令系统以及每个节点上的最小 RAM 容量。值得注意的是，SSF 为其 API 使用 LP64 编程模型。这意味着它与常见的 HPC 编程模型兼容，并且可以利用现有的代码。它支持集成原本彼此脱节的各种 HPC 功能。SSF 的优势令人印象深刻。“借助 SSF，与上一代[non-SSF-enabled]产品相比，速度提高了 25% 到 30%。”Premio Inc 的服务器和存储产品经理 Andy Lee 说道，该公司是基于 SSF 的存储解决方案的提供商。一个实际例子就是自动驾驶汽车，随着它们的发展，它们已经产生了 TB 级的数据量。“上一代至强处理器需要一个月的时间来分析所有数据并进行对象培训；现在，针对自动驾驶汽车的所有对象的培训时间可以缩短一半，”Lee 说道。Premio 已经实施了 SSF，并将其用作 FlacheSAN2N24U-D5 存储服务器的基础（图 2）。该服务器使用两个英特尔^® 至强^®可扩展处理器，并且支持 24 个前端访问热插拔 NVMe PCIe 3 x4 2.5 英寸驱动器。通过使用 SSF 原理以及 Omni-Path 和 100G 接口等其他元素，FlacheSAN2N24U-D5 可实现 60 Gbytes/s 的吞度量和 1200 万次 IOPS。

图 2.
来自 Premio Inc. 的 FlacheSAN2N24U-D5 存储服务器使用 SSF 来消除瓶颈，它可以达到 60 Gbytes/s 的吞吐量和 1200 万次 IOPS。（资料来源：Premio Inc.）

FlacheSAN2N24U-D5 是一种超级计算应用，Lee 表示，“您可以借助它快速分析数据，例如钻井、天气预报、石油和天然气、农业和安全数据。”

并非所有 SSF 实施都相同

虽然看起来，SSF 使得开发或选择基于 SSF 的 HPC 变得相对容易，但设计人员或潜在客户在实施或选择供应商时需要谨慎。Lee 表示，Premio 的附加价值就在于其实施了 SSF，因为它使用自制的主板，负责完成所有布线，并将其直接绑定到存储设备的驱动器（图 3）。Lee 还表示，它为实现低延迟和高吞吐量提供了正确的组件。但成本仍是一个重要因素，所以 Lee 表示他们非常重视使用现成的组件。

图 3. Premio 通过采用自主的主板设计和布线让其 SSF 实施变得与众不同，并通过其自身的组件实现了低延迟和高吞吐量。（资料来源：Premio Inc.）

设计 HPC 系统是一种好的做法，但更改和升级的需求总是在所难免。Premio 直接解决了这一问题。Lee 说道：“我们按照与未来处理器兼容的方式来设计服务器。” “您所要做的只是交换[older]计算节点并使用 Skylake [now called Xeon Scalable processors]。”Lee 表示，使用这种模块化的换入方法可以大幅节省时间，不再需要 6 个月到一年重新设计主板时间。Lee 还表示，另一个需要注意的问题是，如果不能保证设计团队花时间正确地构建基于 SSF 的新系统，那么最终会出现更多瓶颈。“我们创建了一个平衡架构来消除网络中的所有瓶颈。”他说道。例如，Premio 可以充分利用至强可扩展处理器，它能够运行全部五个 PCIe 通道，而其他处理器则只能运行两个。为了管理这些通道，Premio 还采用了 RoCE（基于融合以太网的 RDMA）网络协议。这是一种链路层协议，因此允许同一个以太网广播域中的任何两台主机之间进行通信。Premio 具有可用的和正在开发的其他 SSF 实施。人工智能如今正处于快速发展阶段，这一架构的推出正当其时。

机器学习缩小至物联网范围

Posted on 2月 6, 20182月 22, 2018 by pberta

尽管机器学习在嵌入式应用方面具有潜力，但是由于其本身较为复杂，采用起来并非一件易事。迄今为止，仅有一少部分在数学和计算机科学领域具有专业背景的专家在推动机器学习领域的发展。因此，典型的最终用户在尝试在自己的应用程序中利用机器学习时，往往没有头绪，不知何去何从。没有经验的开发人员面临的主要挑战是缺乏数据。在典型的工作流中，培训数据被输入到“学习算法”当中，从而生成一个“假设函数”，并尝试复制所需行为（如图 1）。然后，通过假设函数运行测试数据，得出的结果用于优化函数的性能。

图 1. 随着时间的推移，机器学习发展需要培训初始模型和调整生成算法的数据。（资料来源：Skymind.ai）

培训数据一般由领域专家构建，他们通常都是勉强利用手头上现有的数据。使用处于开发阶段的目标系统实时数据测试假设函数是一件难事，而从该领域获取数据则通常更加困难。这一点阻碍了机器学习算法的发展，使其无法发挥最大潜在效能。机器学习建模部分的开发更加需要数据中心级计算、嵌入式处理器的输出算法并未得到调整等问题都阻碍了机器学习的发展。幸运的是，开发工具和硬件平台已浮出水面，可为嵌入式系统定制机器学习。

机器学习原型和原则

例如，SECO 的 UDOO App Inventor (UAPPI) 工具套件中包含适用于机器学习模型构建和算法培训的集成元件。UAPPI 是基于 Web 的网络的集成开发环境 (IDE)（基于 MIT）的开源 App Inventor 2 平台

无需写入任何传统源代码，UAPPI 就能让用户设计系统和应用程序（如图 2）。相反，UAPPI 环境中的功能则需要为每个逻辑能力使用可视构建模块，才能开发和执行。因此，开发速度以及带有核心功能（包括图形用户界面[GUI]、网络连接性和数据库存储以及机器学习建模和算法培训）的原型设计速度都上了一个新台阶。

图 2.
UDOO App Inventor (UAPPI) 是基于 Web 的集成开发环境。（资料来源：SECO）

UAPPI 中的核心机器学习组件是 UdooSvm，它是一种监督式学习模型，是基于支持向量机 (SVM) 的关联数据集分类算法组。当提供包含特征向量和标签的培训数据集时，UdooSvm 会使用映射函数，将无标记的特征分类。为了更好地理解 UdooSvm 如何生成适合嵌入式系统使用的机器学习算法，让我们来看个例子。

凭借机器学习，种植出更优质的香蕉

思考一下，一个系统可以通过测量细菌散发出的气体，检测香蕉何时成熟。此假设系统包括一个在容器中的香蕉（戳了一些气孔）以及一个气体传感器阵列（用于每五分钟测量一次空气成分）。系统第一次接受培训时对与“成熟度”相关的气体种类和级别一无所知。因此，气体传感器阵列收集的数据最初会被标记为“优质水果”。随着时间的推移，香蕉已经完全成熟，空气成分发生变化，数据样本被标记为“即将腐烂”。香蕉最终变黑，散发出不同的混合气体，此数据被标记为“腐烂水果”。利用此数据集，便可以通过不同的支持向量机内核（包括线性、多项式或径向基函数[RBF]内核）创建学习模型。为判断其精确度，可从原始培训数据集中提取测试数据，并与每个模型（如图 3）产生的算法进行对比。

图 3. 不同的内核会产生具有不同精确度的模型。（资料来源：SECO）*nSV = 支持向量的数量

一旦选中最精确的学习模型，便可以使用它为“成熟度”系统生成一个 UdooSvm 算法。优化的 UdooSvm 算法可在嵌入式处理器目标上运行，但还是不太清楚具体特征向量代表什么，甚至不清楚它们如何生成。这意味着基于元件（如嵌入式传感器）中数据的特征向量和标签可并入算法中，如此一来，问题便会随着时间的推移迎刃而解。

只需添加智能

将 UAPPI 和 UdooSvm 算法优化，以用于与 SECO UDOO 开发主板（包括 UDOO x86 Arduino 101 主板，如图 4）配合工作。由于 UDOO x86 与 Arduino 库和防护板完全兼容，所以开发人员可快速从 Arduino 生态系统获得一系列传感器，从而为 UdooSvm 算法提供实时输入数据。

图 4. UDOO x86 是一种 Arduino 101 开发主板。（资料来源：SECO）

UDOO x86 适用的处理器包括英特尔凌动^® 处理器 X5-E8000、英特尔^® 赛扬^® 处理器 N3160 或英特尔^® 奔腾^® 处理器 N3710。无论是仅有几个向量的算法还是具有多个数据源的复杂应用程序，这一组可扩展处理器都能支持。

机器学习的个性发展之路

UAPPI、UdooSvm 和 UDOO x86 不是唯一可用的机器学习原型开发工具，但却提供了某种意义上的抽象概念，从而使各种背景的开发人员都能更快地熟悉和了解机器学习。同时，通过访问 Arduino 生态系统，可以快速轻松地开发更为复杂的机器学习系统。不难想象，在不久的将来，人们就能在机器学习系统中部署初始工厂算法，然后根据他们在该领域获取的环境数据不断进行自我完善。当自动化成为紧跟技术世界快速发展步伐的唯一途径时，可独立学习的系统便势不可挡。

智能信息亭让社区紧密相连

Posted on 2月 2, 20182月 16, 2018 by pberta

城市生活忙忙碌碌，城市管理亦是如此。人口不断增长，因此人们需要做出更好的出行选择。居民们希望能更轻松地获取企业和政府服务。在紧急情况下，邻里之间需要知道如何作出回应。所有人都期望手机信号在任何地方都覆盖良好，Wi-Fi 接入方便。

将人与服务相连

为满足这些期望，政府领导必须力争实现更为现代化的服务、信息和基础设施交付方式。而且，解决方案必须因地制宜，针对城市内不同社区类型采取相应的措施。BCC 研究调查显示，到 2021 年，智能城市支出方面综合年增长率将达到 17.7%，而上述需求便是根本原因。Verizon 智能社区营销总监 Victoria Dower 表示：“在提供高效服务和为居民提供即时信息等问题上，社区通常会面临挑战。” “我们正在使用新方法来寻找解决方案。”

一个不错的例子便是 Verizon 数字信息亭，它是与英特尔合作建立的可定制化中心（图 1）社区可以通过该信息亭寻找当地企业和活动、连接高速 Wi-Fi、接入紧急服务以及参与居民活动。

图 1. Verizon 数字信息亭可以让城市通过正确的方式帮助居民。

每个信息亭都是当地社区的中心。例如，在中转站，信息亭可以为旅客实时更新行程，并帮助他们规划旅行时间。抵达目的地后，旅行者可以使用另一个信息亭获取共乘和共享单车项目，并获取前往当地景观（根据需求将信息发送至电话）的路线信息。或者考虑给城市广场带来的无限可能。游客可以了解当地企业的特别优惠、令人流连忘返的相关活动，甚至直接在信息亭购买产品（例如购买活动门票）。

通信升级

中心的通信能力显著。千兆位 Wi-Fi 可以让人们在享受本地便利设施的同时了解城市服务或完成工作，当地政府办公室或企业无需再提供 Wi-Fi。另外，集成式蜂窝基站可提供超高的移动服务质量。这对于拥挤的城市环境来说是一个福音，因为高层建筑可能会严重影响信号接收。当电池电量所剩不多时，各个信息亭甚至有电话充电终端。

安全至上

信息亭还提供内置的安全功能。凭借高分辨率摄像头和环境传感器，安保人员可以监控任何信息亭周围的情况。照明设备灯火通明，为售货亭周围营造出一片“安全绿洲”，而备用电源在电力中断时可确保售货亭正常运行。信息亭还可以进行应急通信。居民可以使用信息亭联系紧急服务，城市则可以通过信息亭广播紧急信息。信息亭的广播性能远超传统技术。通过收音机、电视、甚至手机发布的紧急警报不能预测某个人在城市中的具体位置，这就使得警报效用大打折扣。例如，部分地区会因暴雨产生洪水的风险，而其他地区则安全无虞。相比之下，信息亭可以接收和传递最恰当的警告和针对他们位置的指示。信息亭附近的居民可能会被告知撤离该地区，而较高海拔的人可能被告知留在家中。

定制化服务

除了标准服务外，信息亭还通过开放式应用程序编程界面 (API) 支持功能扩展。这些 API 支持来自社区的数据和服务整合。例如，一个城市可借助自身资源提供公共汽车和火车的实时时刻表。这些数据可与来自出租车和共乘服务的信息以及来自城市周围物联网传感器的交通状况相结合。最终，旅客会得到一份信息充足的交通选项（并带有预估费用）以供选择。在公立大学中，学生们可在接受学校膳食计划的食品供应商处下单，然后在返回房间学习之前领取晚餐。在回家的路上，当地企业的工人可通知停车场他们想要取车。除了以前所未有的方式扩展服务外，信息亭还能作为中央数据收集点进行工作。这些设备能够帮助规划人员更好地了解人们认为有价值的服务。Dower 说，“我们与各城市紧密合作，继续策划并完善系统，并利用分析和反馈来提升每一次改进。”

英特尔助力

Verizon 已经与英特尔紧密合作，让信息亭变为现实。如图 2 所示，英特尔^® NUC 作为系统的核心，可为运行信息亭提供安全可靠的性能保障。英特尔 FPGA 搭载摄像头单元，并支持先进的人工智能，例如统计通过信息亭的人数或对危险情况进行监测。

图 2.
Verizon 数字信息亭可以让城市通过正确的方式帮助居民。

除了提供硬件外，英特尔还帮助 Verizon 深化了信息亭和其他物联网应用的战略愿景。“经常有城市向英特尔咨询关于物联网的信息，”Dower 说，这也促进了公司对智能城市的需求有了更加深刻的见解。

现实和未来之门已经敞开

基于硬件服务面临的一项挑战，便是在不进行设备物理升级的情况下集成更先进的功能。但基础设计的力量与 API 支持能相互融合，未来之门已经敞开。随着根据软件和云实现部署现代基于信息的服务，城市可以帮助信息亭在发展过程中挖掘具有创意的新服务。相同的定制化服务为初始安装服务的 API 支持也能让城市面向未来。另外，基于信息亭的解决方案扩展更加容易，这意味着城市可以从一个试点计划开始，进而快速轻松地推广至整个区域，跟上未来城市的发展和扩张步伐。此外，城市还能监测和分析信息亭的数据，并获得公众的反馈，进而了解哪些服务正在按预期工作，哪些服务发挥预期的效果。Dower 说：“我们与城市密切合作，继续策划和改进系统。”

来自城市的初期反馈显示，Verizon 数字信息亭概念是一个有效的解决方案。“真正令他们兴奋的是，信息亭里有很多内置设施，实施起来非常灵活，”Dower 说道。“我们并非强迫他们以特定的方式发布信息。配套的免费 Wi-Fi 有助于提供重要的服务，人们不必担心连接问题。”

广告收入补贴成本

除了拥有的全部灵活性和技术优势之外，社区还发现 Verizon 数字信息亭在扩展服务的同时可以降低成本。该显示器具备以静态形式或视频形式提供定向广告的功能，其中内置的绝对位置识别还能提供额外的收入来源。广告收入可满足安装成本和持续运营支出的多数需求。当预算受限时，寻找增量收入至关重要。城市、企业或机构可以试用并推出解决方案，同时减少财务问题。此外，承包商和第三方供应商网络可用于快速有效的部署。

老问题，新方法

在通知和服务居民方面，城市一直都面临着挑战。现代信息亭为解决这些挑战做出了巨大的贡献。它们不仅可以直接联系政府和居民，还让周边社区活力十足，创造出真正令人愉悦的体验。信息亭已经成为智慧城市的核心技术，也成为当地社区中心枢纽，这理解起来并不难。

从智能建筑到智慧建筑

Posted on 1月 10, 20181月 23, 2018 by pberta

建筑拥有者面临着成本和租户舒适度之间的矛盾。一方面，能源使用量仅减少 10% 就足以为美国每年节省 400 亿美元的商业建筑开销。另一方面，为了防止租户抱怨，您对恒温器的操作空间非常有限。智能建筑技术可以帮助解决问题，但部署起来却困难重重。多年来，众多供应商为绝大多数建筑安装了繁杂的设备。仅从这些系统中提取数据就是一项挑战，而让它们共同工作几乎是不可能的。

整合建筑系统

Rudin 管理公司在曼哈顿运营着最大规模的商业建筑组合，对这个问题有着第一手经验。该公司想改善资产的运营状况，却找不到能与所有建筑系统协作的解决方案。所以该公司提出了自己的解决方案：NANTUM。NANTUM 平台没有制造商依赖性，不受制造商、型号或制造年份的制约，能直接连接任何建筑系统。设备是否装有建筑管理系统 (BMS) 并不重要。通过公开所有建筑系统的数据，NANTUM 让该公司紧密有序地优化整个建筑的运营。结果，公司节省了大量成本，租户也更加满意。

成效显著

Rudin 首先将 NANTUM 部署在一个位于纽约市公园大道 345 号的建筑中，该建筑占地 180 万平方英尺。效果立竿见影：能源使用量降低了 9%，每年节省 60 万美元。同时，推销电话和陌拜电话减少了 70%（图 1）。

图 1. 最初的部署产生了可观的成果。

看到这些可观的成果后，Rudin 决定将技术转移至一家新公司：Prescriptive Data。通过与世界分享 NANTUM，新公司旨在帮助其他建筑所有者和运营人员打破分割建筑系统的孤岛。为了将该平台从单一建筑扩展为全行业解决方案，Prescriptive Data 与英特尔合作，进行了三项主要升级：

将 NANTUM 从本地安装软件转变为基于云的解决方案。
建立 Prescriptive Data 宣称业界最大的建筑 API 库。
增加人工智能 (AI)，根据建筑物的占用率、天气和热特性优化运营。

无须猜测

升级平台的优势始于消除猜测。“如果您接到 40 楼租户打来的电话，抱怨温度过低，您必须上楼看一下才能决定怎么做,”Prescriptive Data 营销主管 Matthew Stetson 介绍到。“现在您只需看一眼机房的读数并做出相应调整即可。”

当然，NANTUM 不是唯一一个可以公开建筑物数据的平台。但是其他建筑自动化平台往往局限于单一供应商的设备，这意味着运营者仍需在许多系统中摇摆不定。“人们已经应用疲劳了，”Stetson 说道。“我们的平台消除了使用 18 种不同应用处理 18 种不同事务的压力。”

因为 NANTUM 没有制造商依赖性，它可以集合整个系统的数据。无论是针对独立建筑还是整个建筑组合，运营人员和管理人员都可以通过高效的仪表板让数据变得可视化。此外，随着向云平台的迁移，无论是建筑物的地下室还是管理公司的会议室，您都可以随时随地访问这些仪表盘。

增加 AI

但是，仅仅收集数据还不足以控制成本。您仍需要分析数据，这才是主要的挑战。“在一幢 40 层的大楼里，您可以轻松拥有 3 万个传感器，这些传感器每 1 至 5 秒收集一次数据。”Stetson 说道。每天可能有多达 4300 万个数据点在多个系统中分离。为了充分利用所有数据，NANTUM 与英特尔的人工智能专家密切合作，共同开发一款先进的机器学习系统。这种设置能学习建筑物的节奏、观察入住模式和其他建筑动态，以便每天推荐建筑设定点（图 2）。

图 2.
NANTUM 自动推荐设定点。

例如，NANTUM 能检测出员工离开建筑去享用午餐，并使用此模式降低午间的能耗。又如，该平台能监测建筑的热度动态，并确定在一天较晚的时候启动 HVAC 系统，同时还能在租户抵达之前保持合适的温度。人工智能 (AI) 系统从现有的建筑以及类似的建筑中学习。“无需花费一年的时间了解建筑的节奏，我们能应用类似建筑的数据来迅速获得提升”，Stetson 说道。NANTUM 甚至可以利用天气数据和实时占用率来实时调整建议。所有这些智能都运用到了直观的显示屏当中，供建筑操作人员利用并进一步优化性能。

面向未来创新

NANTUM 最重要的一点就是它能像建筑操作系统一样运行。开放式架构和易于整合的独立系统意味着，无论是技术还是业务战略，设施经营都能紧追未来的脚步。让支持新技术变得轻松。“现在，智能建筑在新建筑中最为常见，类似百叶窗的东西可用来调节阳光”，Stetson 说道。NANTUM 的平台性质还保持了业务战略的灵活性。想在组合中加入新建筑？没问题。构建管理 API 可能存在于 NANTUM 库中——如果没有，Prescriptive Data 可进行构建（图 3）。

图 3. NANTUM 拥有高度的可交互性。

英特尔引领的神经元革命

英特尔的合作关系在实现所有这些优势的过程中发挥了关键作用。例如，这家科技巨头的物联网 (IoT) 网关允许 Prescriptive Data 移动到云端。NANTUM 的第一个版本需要在每个建筑中都部署一个服务器。通过采用轻盈灵活的英特尔^® 物联网网关取代服务器，Prescriptive Data 可以将其平台核心移动到云端，加快部署速度，并将智能水平提升到新高度。“英特尔能让我们快速、高效地进行扩展”，Stetson 说道。“我们利用物联网网关在建筑中的系统与云端之间建立连接。这是一种近似于即插即用的可扩展性。通过连接互联网并访问建筑的传感器网络，我们可以马上显示并分析数据”。Stetson 表示，安装通常需要 3 到 6 周的时间，可快速提升初始节约成本。传统的建筑自动化软件需要 2 年才能实现投资回报 (ROI)。有了 NANTUM，建筑通常仅需 3 到 6 个月就能实现 ROI。

快速的 ROI

事实上，自新平台发布以来，公司的 ROI 一直趋于稳定。重新设计后，Prescriptive Data 的总公司 Rudin 能在一年内为 17 家大型公司部署技术。那么结果如何呢？能耗降低 31%，每年节省 540 万美元。Stetson 表示，这是相当典型的数字。一般来说，客户每年每平方英尺可节省 0.55 美元。且不仅仅是节约成本。提升租户舒适度、运营更加环保，这也是一种强有力的市场工具。

“零接触”物联网安全性是帮助企业实现业务持续增长的关键条件

Posted on 1月 4, 20181月 22, 2018 by pberta

按照当前形势推算，人们此前所宣扬的到 2020 年达到 500 亿台设备互联的物联网目标显然无法实现。问题出在哪里？安全性。因为 IT 经理非常担心安全问题，所以他们要求手动调配物联网设备。这样做会减缓安装速度，导致原始设备制造商 (OEM)、原始设计制造商 (ODM) 和云计算平台提供商的收入减少。该问题的解决方案是采用物联网身份识别与访问管理 (IAM) 技术。物联网身份识别与访问管理 (IAM) 技术变得越来越重要，据 MarketsandMarkets 预测，这部分市场市值将从 2016 年的 11 亿美元增长到 2021 年的 49.7亿美元。在本文中，我们将了解：

物联网设备部署与 IT 处理方法之间的区别
设备调配速度缓慢会减少收入的原因
新的“零接触”载入平台如何在满足物联网要求的同时满足 IT 需求

可扩展性或安全性

早期在网络上安装物联网设备时，需要通过自我发现方式来找到设备。这种方法对于安装者而言很简单，但却令 IT 部门头疼不已。没有哪个 IT 专业人士希望在毫无预警的情况下看到网络中出现不安全的设备。对于这种情况，IT 部门的做法是强制要求运营部门先对每台设备采取安防措施，再允许设备联网上线。此举虽然提高了设备安全性，但是减缓了物联网系统的部署速度。为确保每台物联网设备都是安全的，IT 部门探索了多种解决方案，然而不论是哪种解决方案，都存在严重弊端。其中一种解决方案是为所有物联网设备提供统一镜像，使所有设备都采用已知配置。尽管该解决方案对于“普通”PC 而言十分有效，但却不适合高度多元化的物联网设备环境。第二种方法是要求运营工作人员联系 IT 部门，以获取每台物联网设备的唯一密钥。这种手动调配方式极易出错，而且相当耗时，每调配一台设备通常需要花费一个小时（图 1）。

图 1. 手动调配物联网网关设备。第三种解决方案是鼓励物联网设备的原始设备制造商 (OEM) 和原始设计制造商 (ODM) 针对具体云计算平台提供商，预先配置其生产的物联网设备。这样就可以把调配设备的重担转移到云计算提供商身上。但是由于市场上存在许多家云计算提供商，例如亚马逊、微软、IBM 以及 Honeywell，因此，这种方法给 OEM/ODM 带来了沉重负担，他们必须针对每种云计算平台来验证、记录归档以及追踪具有唯一性的 SKU。

动机：损失收入和数据保护

物联网设备面市速度减缓意味着整个物联网生态系统都会损失收入，其中包括云计算平台提供商。英特尔物联网事业部 (IoTG) 物联网安全性高级总监 Jen Gilburg 表示：“如果不能及时载入物联网设备，无疑会在很大程度上影响相关设备的营收效益。[That’s true]这与平台提供商是否能通过自身管理举措将数据量或设备量转化为货币并无关联。”

对于 OEM 和 ODM，问题则在于不可预测的销售情况。Gilburg 通过一种典型的情形对此进行了阐述：假设有一位客户需要 10 万台设备。OEM/ODM 投入生产，但在交付了第一批 5,000 台设备后，由于需要兼顾安全性需求而放缓生产速度，导致余下订单产品交付延迟。这会使生产计划陷入一片混乱。

基于生态系统的解决方案

由于一开始的问题在于物联网部署模式跟 IT 模式不同，因此，我们需要一种既能提高可扩展性又能自动保障安全性的新解决方案。英特尔® 安全设备载入 (Intel® SDO) 正是不二之选。这项载入服务旨在实现不受平台约束的快速调配操作，具备以下特点：

零接触载入，能够自动发现和调配
通电启动后只需数秒钟即可运行
借助英特尔® 增强隐私身份 (Intel® EPID) 功能，实现免密码身份验证
可通过单个 SKU 支持多个云计算平台
可追溯数字所有权，涵盖从制造商到客户的各个环节

依靠这款新平台，OEM 和 ODM 只需为其设备创建单个映像。随后，设备便可由安装者在初始通电启动时进行全面调配，接下来随时可以移交给后端平台提供商进行操作（图 2）。

图 2.
英特尔® 安全设备载入 (Intel® SDO) 精简了调配工作。下文介绍了该平台是如何工作的：

芯片提供商 – 使用英特尔 EPID 2.0 开源 SDK，在生产期间将英特尔 EPID 身份嵌入到芯片的可信执行环境 (TEE) 中。
网关/设备制造商 – 使用工具包将客户端软件插入启动代码，以支持通向物联网平台的直接匿名认证通信通道，该通道可以传送设备 GUID、英特尔 SDO 服务 URL 以及数字所有权凭据。
设备所有者 – 当所有权的分布发生变化后，最终的所有者可以自动将其数字所有权收据加载到物联网平台中。
物联网平台 – 使用 API 来帮助平台或 VM 商城容器将设备注册到所有者帐户中，并启用能够共享目标 IP 地址的集合协议。
设备激活 – 通电启动后的设备会与英特尔 SDO 服务进行联系以证明其真实性，随后，设备将收到符合新所有者调配需求的 URL。

为创建该平台，英特尔与诸多芯片、设备及平台提供商开展了合作（图 3）。第一款支持该平台的设备预计将由英特尔® 物联网解决方案联盟成员（比如 Nexcom）推出。此外，英特尔还与开放式连接基金会 (OCF)、IoTivity 项目，以及其他物联网标准组织机构合作，基于其使用载入设备而获得的真实体验来打造相关概念与工具包。

图 3. 生态系统支持对于全面的物联网设备载入系统而言至关重要。除了安全性，基于全局生态系统的方法还必须满足隐私需求。对于任何与欧盟打交道的企业或组织机构而言，这意味着他们必须遵守即将出台的“通用数据保护条例”（General Data Protection Regulation，简称 GDPR）。该条例要求：收集任意类型数据的任何公司都必须确保提供数据保护，并保障数据安全。这也是促使英特尔 SDO 使用英特尔 EPID 的原因之一。该身份验证方法允许设备根据其经批准后所享有的访问权限级别来访问系统，而不是基于像 MACID 这类身份信息进行访问。换句话说，假设验证了 100 个真实签名，但验证程序可能并不能确定是验证了 100 台设备的身份，还是把同一台设备验证了 100 次。传统数字证书和身份验证技术（如公钥基础结构 (PKI)）在授予访问权限时无法保持匿名（图 4）。给定的公共证书中包含主要所有者的名称和信息，用于表明安全信息的所有权情况。如果对同一设备进行了多次验证，该设备的活动可能会被跟踪，使黑客可以借此在其他设备之间创建威胁分布图来发起拒绝服务攻击。

图 4. 与传统 PKI 不同，英特尔® 增强隐私身份 (Intel® EPID) 是匿名的。从另一方面而言，英特尔 EPID 并不收集此类身份数据。除了能阻止黑客，缺乏身份数据也意味着英特尔 EPID 不会受 GDPR 方案的影响。“随着整个行业转向借助 GDPR 这类条例来保护数据隐私，英特尔 EPID 的实际用例会越来越多。”Gilburg 表示，“这将超出英特尔以及我们的合作伙伴所遵循的行业标准，指代更丰富的内涵。”

从制造到最终产品调配

如需了解所有环节是如何融合协作的，请参考图 5 所示的情形。英特尔 EPID 身份是在制造芯片时嵌入可信执行环境中的。

图 5. 智能灯泡的例子很好地展示了典型的情形。芯片在生产出来之后就被交给了 OEM/ODM，其主板中存储着名为 GUID 的唯一标识符以及一个公钥。公钥中含有构成设备所有权的签名链。将主板嵌入产品后（即 GUID 为 123 的智能灯泡），产品便可通过不同渠道发货，最终送到最终客户的手中。在每个环节中，签名链的内容都在增加。最后，物联网设备安装完毕。此时，英特尔 SDO 会提供一项代理服务（确实只是一个集合点，通常为 URL），设备可通过该服务发现所有者的 IP 地址。这时，设备和所有者会相互证明各自的身份。“英特尔其实不会在云计算环境中验证身份可信度。”Gilburg 解释道，“我们只是会把设备重新路由给其预期的新所有者，到了那个环节才会通过原始英特尔 EPID 签名来验证身份。一旦双方同意，则会在可以执行调配操作的设备和平台之间建立加密的安全通道。”

调配是在保障设备安全性与实施设备限制措施之间谋得平衡的重要一环。比方说，如果把设备嵌入到使用 RTOS 的系统中，那么，物联网平台管理系统就可能使用简单 RSA 密钥。假如设备使用的是完整网关并且具备更高的内存配置和处理能力，则可使用更加安全的网关映像。无论该设备正常运转需要满足什么要求，平台管理服务都会作出这样的决定。

可扩展的安全性

这种“零接触”载入概念使安装者能够轻松装配设备并验证其位置。随后，网络管理员即可控制该设备。身份验证和安全性是由与多个物联网云计算平台提供商中某个平台相连的云代理服务建立的。安全连接之后，云服务中的用户帐户就会自动调配该设备，其中，用户并不需要配置密码、密钥或唯一标识符。最后这一步能确保设备隐私性，是使英特尔方法脱颖而出的重要特征。潜在的黑客无法通过在不同所有者之间跟踪设备来创建攻击地图。英特尔 EPID 技术建立一种匿名安全通道，其中，端点身份验证处于隐藏状态，这跟可以跟踪所有权的传统公钥方式（比如 PKI）是不一样的。简而言之，英特尔的物联网设备载入方法不仅安全，而且能轻松扩展，快速部署成百上千万设备。

亚马逊如何在预算之内实现安全性扩展

Posted on 12月 17, 20171月 3, 2018 by pberta

物联网对于安全的需求是显而易见的，安全的核心原则众人皆知。但开发人员往往缺乏时间和资源来制作安全解决方案。上市时间和成本压力是“罪魁祸首”。开发者经常面临着“艰苦的斗争”，他们试图说服管理层，在安全方面的投资是有价值的。甚至指出生产线停工或后端网络被黑客攻击等风险都不奏效。如果您的公司是刚接触网络连接设备，并缺乏安全故障的第一手经验，这种情况会更加明显。然而，安全建立的最佳做法是设置为默认项，而不是“亡羊补牢”，因为攻击向量的数量会持续增加。同时，物联网的网络复杂性也在增加。真正的安全措施不仅可以保护您自己的设备免受直接攻击，还可以防范来自物联网数据链中受保护程度较低的子系统的后门攻击。威胁正在不断演变。所以，开发人员需要使用最新的补丁来及时更新安全解决方案。除了上述问题外，可扩展性是一个问题。但是对于小型部署来说，自主研发的安全解决方案难以应对不断扩大的威胁，而商业解决方案则可能过于昂贵，显得“小题大做”。

物联网服务平台在成本和功能方面的扩展

Amazon Web Services (AWS) 物联网平台为这些挑战提供了一个富有吸引力的答案。作为完整的端到端服务，该平台允许用户将设备连接至 AWS 服务和其他设备，保护数据和交互、处理并操作设备数据，还能让应用程序与设备进行交互（即使在离线状态下）（图 1）。

图 1. 亚马逊网络服务 (AWS) 物联网平台可确保端到端的安全性。（来源：Amazon Web Services）

它由六个主要要素组成，依次为：

设备端 SDK，具有连接性和身份验证库
身份验证和授权服务，可限制交换到具有可靠身份的设备
注册表，可为每个设备建立唯一标识并追踪关于设备的元数据
设备网关，可确保安全、高效通信（一对一和一对多）
规则引擎，可在全球范围内收集、处理、分析和操作数据
设备镜像，可让用户为每个设备创建持续的虚拟版本或“镜像”

AWS IoT 平台由来自 AWS 的高级安全、身份和合规性产品提供支持。其中包括 SSL/TLS 证书、云目录、密钥存储和管理、访问控制以及敏感数据分类等，不再一一赘述。对于希望加快开发速度，确保在连接的所有点进行身份验证以及实现端到端加密的开发人员，AWS IoT 平台都具有许多必要的元素。此外，它还可以扩展至数十亿台设备和数万亿条消息，从而满足大多数用户的需求。