區塊鏈技術在工業互聯網平臺安全領域探索應用

黃忠義

摘 要：隨著工業互聯網平臺的快速發展，平臺安全問題越來越受到重視，傳統的工業互聯網平臺仍采用中心化的IT網絡安全防護措施，無法保證數據的完整性和可用性，且平臺底層的終端設備管理混亂，造成較大的數據污染，區塊鏈技術具有分布式存儲、防篡改、身份準入等優勢。論文設計了基于區塊鏈的工業互聯網平臺方案，利用分布式數據存儲及終端設備認證技術，從根本上保證了平臺數據的完整性和可用性，避免了數據泄露及終端數據污染，有助于提供平臺安全性。

關鍵詞：區塊鏈；工業互聯網平臺；數據完整性；身份準入

中圖分類號：TP309 文獻標識碼：C

1 引言

工業互聯網平臺是面向制造業數字化、網絡化、智能化需求，構建基于海量數據采集、匯聚、分析的服務體系，支撐制造資源泛在連接、彈性供給、高效配置的工業云平臺。其本質是通過構建精準、實時、高效的數據采集互聯體系，建立面向工業大數據存儲、集成、訪問、分析、管理的開發環境，實現工業技術、經驗、知識的模型化、標準化、軟件化、復用化，不斷優化研發設計、生產制造、運營管理等資源配置效率，形成資源富集、多方參與、合作共贏、協同演進的制造業新生態。

2 工業互聯網平臺介紹

工業互聯網平臺是工業云平臺的迭代延伸，包括邊緣、平臺（工業PaaS）、應用三大核心層級，其本質是在傳統云平臺的基礎上疊加物聯網、大數據、人工智能等新興技術，構建更精準、實時、高效的數據采集體系，建設包括存儲、集成、訪問、分析、管理功能的智能平臺，實現工業技術、經驗、知識模型化、軟件化、復用化，以工業APP的形式為制造企業各類創新應用，最終形成資源富集、多方參與、合作共贏、協同演進的制造業生態。

邊緣層通過大范圍、深層次的數據采集，以及異構數據的協議轉換與邊緣處理，構建工業互聯網平臺的數據基礎。IaaS層提供基本的通用的云服務，包括服務器、網絡架構及數據存儲等。平臺層（PaaS層），基于通用PaaS疊加大數據處理、工業數據分析、工業微服務等創新功能，構建可擴展的開放式云操作系統。應用層（SaaS層）形成滿足不同行業、不同場景的工業SaaS和工業APP，形成工業互聯網平臺的最終價值，總體的工業互聯網平臺架構如圖1所示。

工業互聯網平臺已成為企業智能化轉型重要踏板，能夠有效集成海量工業設備與系統數據，實現業務與資源的智能管理，促進知識和經驗的積累和傳承，驅動應用和服務的開放創新。可以認為，工業互聯網平臺是新型制造系統的數字化神經中樞，在制造企業轉型中發揮核心支撐作用。

工業互聯網平臺需要解決多類工業設備接入、多渠道工業數據集成、海量數據管理與處理、工業數據建模分析、工業應用創新與集成、工業知識積累迭代實現等一系列問題，涉及七大類關鍵技術，具體技術結構如圖2所示。

3 工業互聯網平臺安全問題

自2000年1月截至到2017年12月，根據我國國家信息安全漏洞共享平臺（CNVD）統計，所有的信息安全漏洞總數為101734個，其中工業控制系統漏洞總數為1437個。2017年CNVD統計的新增信息安全漏洞4798個，工控系統新增漏洞數351個，均比去年同期有顯著增長；其中，高危漏洞占比最高，達到53.6%。中危漏洞占比42.4%，其余4.0%為低危漏洞。

對于傳統IT網絡安全，保密性優先級最高，其次是完整性、可用性。工業網絡則有明顯的不同，工業網絡更為關注的是系統設備的可用性、實時性。由于IT系統和OT系統之間存在的眾多差異，當工業互聯網的IT/OT進行融合時會帶來很多安全挑戰，包括暴露在外的攻擊面越來越大，操作系統安全漏洞難以修補，軟件漏洞容易被黑客利用，惡意代碼不敢殺、不能殺，DDoS攻擊隨時可能中斷生產，高級持續性威脅時刻環伺等。

工業互聯網平臺安全防護的總體要求主要包括邊緣層安全、平臺IaaS層安全、平臺PaaS層安全、平臺SaaS層安全等方面。我國工業互聯網平臺在IaaS層的發展較為領先，PaaS層的發展也處于起步階段，但平臺安全發展問題一直被各大寡頭公司所忽略，平臺僅從數據接入防護、訪問控制、平臺網絡安全監測及防御等幾個方面保障平臺的網絡安全、數據安全、代碼安全及應用安全是遠遠不夠的。

目前工業互聯網平臺主要存在三點安全問題：

（1）仍然采用互聯網IT領域的網絡安全措施，無法從根本上保證數據的安全完整性；

（2）數據接入過程中采用傳統的工控網絡防火墻和工業網閘進行網絡隔離，但無法應對工業協議惡意代碼的攻擊；

（3）現有的工業互聯網平臺沒有考慮到邊緣層終端設備的安全問題，一旦終端設備遭到惡意破壞或攻擊，無法保證數據的安全性。

在工業互聯網平臺中數據是核心，如果平臺無法保證數據完整性、防篡改以及防止數據泄露，那平臺所有的應用及服務將整體崩潰。平臺使用被惡意篡改的數據進行的服務很可能為企業造成不可估量的損失且嚴重威脅到生產安全。

4 基于區塊鏈技術的工業互聯網平臺

數據安全問題是工業互聯網平臺的重中之重，傳統的中心化數據庫一旦被入侵，將導致大規模的數據泄露和數據篡改問題，從而引發嚴重的信息安全問題，導致整個平臺上層應用的癱瘓，最終影響生產作業及人身安全。另外，邊緣層終端設備的安全問題也逐漸成為平臺安全的一大隱患。區塊鏈技術所采用的數據存儲模式及共享數據方法與傳統的數據安全防護措施是截然不同的，本文重點介紹區塊鏈技術在工業互聯網平臺信息安全的架構設計及方案。

4.1 基于區塊鏈技術的工業互聯網平臺架構設計

區塊鏈技術的核心價值在于其分布式的對等網絡結構（P2P）及數據存儲、不可篡改的賬本數據信息以及基于密碼學的身份證書（公私鑰）。區塊鏈在工業互聯網平臺安全領域具有三點優勢：

（1）利用高冗余、分布式的數據存儲保障平臺數據信息的完整性；

（2）利用密碼學相關技術保障存儲數據的不可篡改和可追溯性；

（3）利用身份管理功能對終端設備進行管理，防止終端設備遭到惡意攻擊造成的數據污染。

區塊鏈技術在鞏固工業互聯網平臺信息安全完整的同時，也借助平臺提供的海量分布式數據存儲空間和強大的云計算能力，充分挖掘了數據的價值，基于區塊鏈技術的工業互聯網平臺架構如圖3所示。

整個架構在原有工業互聯網平臺的基礎上將IaaS層中的網絡與數據存儲用區塊鏈系統代替，將邊緣層采集的數據已交易的形式寫入區塊鏈賬本中，從而確保數據的存儲安全及不可篡改。PaaS層與SaaS層調用區塊鏈中的數據進行數據挖掘、數據管理和智能分析。

4.2 基于區塊鏈技術的工業互聯網平臺具體方案

從整體架構看，區塊鏈技術在工業互聯網平臺的應用主要在邊緣層和IaaS層，具體的方案主要涉及的是數據的采集及數據的存儲兩部分，上層的應用及服務只需切換數據來源即可，無需過多改動，方案詳細流程圖如圖4所示。

整個流程可以分為數據采集、網絡隔離與緩存、數據打包簽名、邊緣層數據處理、服務器節點共識及數據存儲六個階段，本文重點介紹與區塊鏈相關的數據采集、打包簽名、節點共識和數據分布式存儲四個環節。

（1）終端數據采集

利用區塊鏈的身份權限功能，為終端設備生產不同的公私鑰，每一個終端設備都具有自己的IP地址及該地址在區塊鏈系統中所對應的身份證明，可以形成一張設備終端（IP）與公私鑰的對應列表。杜絕了終端設備隨意接入及惡意替換、破壞所帶來的終端數據污染問題。此外，工業生產過程中高頻數據采集，往往會對網絡傳輸、數據緩存等方面帶來性能和成本上的巨大壓力，利用區塊鏈技術將中心化的采集過程轉換為分布式的采集過程，明顯地減輕了平臺數據存儲壓力及邊緣層數據緩存設備的壓力。

（2）數據打包簽名

所謂數據打包簽名就是將緩存數據利用不同終端設備的公鑰對其進行加密的過程。這一過程的實現可以調用區塊鏈系統的SDK接口函數實現，加密的數據具有其自身的數字身份，被惡意替換或是破壞的設備不具備數字身份，在邊緣層的數據處理過程中可以將其刪除。后續的數據存儲階段或PaaS層中需要對數據進行處理分析時，可以通過設備的公私鑰對應表找到不同設備的私鑰對加密數據進行解密，無法解密的數據即無效數據，平臺可以在數據處理過程中將其丟棄。通過數據的打包簽名和加密存儲可以有效地控制平臺數據的泄露，同時提高了終端接入設備的安全性。

（3）服務器節點共識

共識是區塊鏈系統性能的重要決定因素，區塊鏈技術與工業互聯網平臺結合的決定性因素，如何選擇符合工業互聯網平臺業務場景的共識算法是整個方案的關鍵環節。工業采集系統的采集頻率一般在HZ級別，所以工業互聯網平臺對共識機制的運行時間具有較高的要求，目前在公鏈范圍內較為流行的共識機制如POW、POS這類共識機制是通過某種激勵方法實現共識。實際是以犧牲用戶各自計算機算力和大量的廣播時間來達到區塊鏈網絡中的共識，這顯然無法在工業互聯網平臺中應用。工業互聯網平臺中的區塊鏈系統不存在激勵機制，可以采用容錯或排序類的共識算法，如Hyperledger Fabric采用的PBFT（實際拜占庭容錯）及Kafka排序共識，在節省物理資源的同時可以大大降低共識時間，緩解采集過程中數據緩存的壓力。

（4）分布式存儲

傳統工業互聯網平臺采用中心式的數據存儲方法，一旦中心服務器遭受攻擊，將導致大量數據泄露及破壞，甚至造成整個平臺癱瘓。區塊鏈技術采用分布式的數據存儲，每個服務器節點都存在一份完成的數據備份，在各服務器節點實現共識后，將加密數據存儲到區塊鏈上，利用這種高冗余分布式的數據存儲機制可以有效的保證平臺核心數據的完整性。此外，區塊鏈技術采用密碼學算法存儲數據，實現了數據的不可篡改，從根本上提高了平臺數據安全性。

5 結束語

區塊鏈技術并不是技術上的突破創新，而是不同技術的創新融合。區塊鏈技術在數據安全性上具有天然的優勢，本文嘗試將區塊鏈技術與工業互聯網平臺進行融合，從而提高工業互聯網平臺數據完整性，防止數據泄露、篡改，同時利用區塊鏈技術自身的身份認證功能，改善了終端設備接入混亂、易被惡意攻擊的現狀。此外，借助云平臺高存儲，高運算的優勢，也為區塊鏈技術提供了較為合適的落地應用場景，二者的結合不但能改善工業互聯網平臺的安全狀況，也助推了區塊鏈技術的發展。

參考文獻

[1] 申屠青春.區塊鏈開發指南[M].北京：機械工業出版社，2018.

[2] 楊保華，陳昌.區塊鏈原理、設計與應用[M].北京：機械工業出版社，2018.

[3] 工業互聯網產業聯盟.工業互聯網平臺白皮書 [DB/OL].（2017-11） [2018-6-5]. http：//www.aii-alliance.org/index.php？m=content&c;=index&a;=show&catid;=23&id;=186.

[4] 王紹剛，劉海法.基于區塊鏈的商城積分系統方法研究[J].網絡空間安全，2017（8）10-11：51-55.

[5] 周劍，肖琳琳.工業互聯網平臺發展現狀、趨勢與對策[J].智慧中國，2017（12）：56-58.

[6] Roger Wattenhofer.區塊鏈核心算法解析[M].北京：電子工業出版社，2018.