基于區塊鏈的有無人協同系統可信存儲技術

趙 剛，劉 濤，李世興，張 賓

（1.北方自動控制技術研究所，太原 030006；2.駐北京地區軍代局，北京 100072；3.北京軍代局駐太原地區第二軍代室，太原 030006）

0 引言

區塊鏈技術擁有的去中心化、去信任化、可擴展和安全可靠等技術特點，可以很好地克服集中式數據管理平臺的缺陷。基于區塊鏈技術構建的有人/無人裝備集群管理平臺，通過分布式數據存儲系統的應用方以及監管方共同參與數據管理，不僅能夠確保數據完整性，而且能夠讓監管方及時識別數據篡改風險。作為分布式、可信任的數據基礎設施，區塊鏈所構建的信任生態系統可以在信息不對稱、不確定的環境下生存，可以提高數據防篡改和安全可靠能力。因此，需要建立基于區塊鏈的去中心化的數據共識機制，提升武器裝備安全等級。

1 可信存儲技術研究現狀

分布式存儲技術是解決目前有人/無人集群下的武器系統存儲問題的常用方法［1］，通常利用冗余維護技術，通過分散在賽博空間網絡上大量存儲節點之前的協作，實現可靠的數據存儲服務。但在武器系統分布式存儲系統中，某些節點可能會暫時或永久失效，通常通過附加冗余數據來保證存儲系統的可靠性和可用性［2］。為保證系統的可信度，近些年來，基于TPM 安全芯片的可信存儲，逐步成為解決單武器平臺的授權和可信問題的有效手段［3］。通常在可信計算平臺上存儲信息，是經過硬件BIOS中的信息認證，數據的存儲是通過一個可信信任源開始，依次經過BIOS、操作系統再到應用程序，從而保證了數據存儲的可信度。但是可信存儲要求可信的認證過程來自于經過認證的可信源，在實際的武器系統中，通常是使用基于TPM 安全芯片來保障源頭的可信性。但是這種機制存在兩個明顯的弊端：1）信息源頭節點易面臨集中式惡意攻擊，從而導致單點失效，造成數據丟失；2）信息源頭節點存儲的數據可能會被惡意篡改釀成嚴重的后果［4］。

為解決過于依賴單一源頭和中心化的安全機制，去中心化的區塊鏈技術逐步在安全領域推廣應用。區塊鏈技術是利用塊鏈式數據結構來驗證與存儲數據、利用分布式節點共識算法，來生成和更新數據、利用密碼學的方式保證數據傳輸和訪問的安全、利用由自動化腳本代碼組成的智能合約，來編程和操作數據的一種全新分布式基礎架構與計算范式［5］。該技術已經成為全球創新領域最受關注的話題。目前在虛擬貨幣、金融證券、公共治理等領域開展了探索應用［6］，在軍事領域只是啟動了相關預研工作，還沒有典型的軍事應用實例。

2 有無人協同系統可信存儲方法

2.1 有無人系統敏感數據可信存儲需求分析

軍委科技委主任劉國治認為“人機混合智能將是未來智能的最高形式”，有無人協同作為混合增強智能發展的一個重要方向，成為未來高動態、強對抗、不確定任務等復雜戰場環境克敵制勝的關鍵。隨著信息技術、人工智能技術的加快發展，無人巡邏車、偵打一體無人車開始進入實用階段，由于其作戰效率高、可長期值守、即使平臺損毀也無人員傷亡等特點，在軍事領域呈現出廣闊的應用前景［7］。美軍已經開始利用已有的有無人協同技術構建“系統族群”，進行低開支、低風險、高效率的開發，無人系統族群由遠程指揮系統指揮操控，多平臺合力完成復雜作戰任務，以一種顛覆性的新型作戰模式主導未來戰場［8］。俄軍在敘利亞利用“仙女座-D”自動化指揮系統，指揮了一場以戰斗機器人為主、人為輔的攻堅作戰。我國有無人協同系統研究啟動較晚，兵器xx 所等多家單位通過開展“陸用多智能體協同的控制與優化基礎研究”項目，基本突破了有關可變自主遙操作、時延補償控制、多通道人機交互、多智能體協同控制、無人平臺指揮控制的多項理論與關鍵技術，初步構建了有無人戰車協同編隊、協同偵察、協同引導、協同火力打擊的體系結構與指揮控制模式。然而，由于有無人協同之后數據多源、異構、可信問題尤為突出，對于數據的可信存儲需求較為強烈。

有無人作戰系統武器裝備包括了有無人戰車、偵查車、無人機等各型武器系統。各型武器系統通過立體互聯的賽博空間網絡，進行編隊、態勢、控制指令和協同信息等數據的實時接入、共享與管理。這些武器裝備的敏感數據包括：有無人設備位置、實時態勢信息、航跡信息、火力分配與控制、協同打擊、人機交互等關鍵數據，是各型武器作戰的核心。為實現戰場信息的快速、實時、可靠存儲，在有無人系統中，需要建立去中心化的共識機制，以及通過有線/ 無線多級通信節點組成的立體賽博空間網絡，因此，采用區塊鏈技術解決武器裝備敏感數據的可信存儲問題，是一個有效的技術途徑。

2.2 可信存儲的區塊鏈共識機制

在武器裝備系統領域，區別于其他商用領域，敏感信息具有如下幾個特點：

1）節點輸出的數據難以驗證。由于應用場景的特殊性，網絡中的節點可能不具備對其他節點輸出的數據進行驗證的能力，如前方的探測數據在后方難以驗證，指揮中心發出的指揮信息對于被指揮節點也難以驗證。

2）節點是否有權限進行驗證。部分武器裝備的敏感數據，由于其特殊性不能像普通區塊鏈數據一樣進行廣播，不同的武器裝備之間敏感數據由于特性不同或者權限不同難以進行共享驗證。

為解決上述問題，本文中設計了一種基于分類權限的多節點容錯共識機制設計。

整個共識機制的建立基于如下模型：首先將系統中的節點按照權限關系進行集合劃分，同一個集合內的信息能夠互相進行共享，且同一個集合內依照投票機制進行主節點選取，當主節點出現后，其余節點都成為副節點；當某個節點有數據需要傳遞時會首先向主節點發起服務請求，主節點將請求分發給所有副節點，副節點處理完成后再回饋給起始節點，起始節點只要收到f+1（f 為有效閾值）節點回饋的相同結果，即認為該次數據傳輸完畢。

節點之間的關系進行分類分組，同組劃分的依據表示著同組節點能夠且需要互相進行驗證，如節點ABC 同屬探測節點中的同一組，那么ABC 之間將存在數據互相驗證的義務，驗證完畢后的數據會對其可信程度進行加權處理，例如節點A 發出的探測數據，節點B 在接收到后會進行驗證，驗證完畢后會將原探測信息中的可信置位加權，然后再次廣播，后方節點先接收到A 的探測數據，然后接收到B 的數據后，會得知該條探測信息被證真或證偽，證真/偽次數超過閾值后，會對數據進行相應處理。如圖1 所示。

圖1 節點之間共識關系原理框圖

整個共識機制的運行流程如下：

整個系統內的節點存儲了對系統每個節點劃分的集合以及分組信息，同時在每個節點內部維護消息日志用于記錄該節點接收到消息。當主節點p收到請求m 時，主節點會將該請求向其所在集合內的所有副節點進行廣播，為加速消息傳輸以及數據處理，整個傳輸分為3 個階段：

1）預準備階段

預準備階段，主節點分配一個序列號n 給收到的請求，然后向所有副節點群發預備消息，預備消息的格式為＜＜PRE-PREPARE，v，n，d＞，m＞，其中v 表示集合編號，n 表示請求序列號，d 表示消息的摘要。在這一步時，消息的傳輸并不包含具體的數據信息，而是僅僅用于在整個系統內將擁有權限、能夠驗證的節點進行組織，同時序列號的添加使得數據更改可以追溯；而副節點收到預備消息后，首先會進行校驗，只有滿足如下條件時，才會接收此消息。

①請求和預備信息的數字簽名正確，且摘要信息無誤；

②與本節點所在的集合相同；

③本節點從未接收過序號為n 但摘要不同的信息（用于防范泛洪攻擊）；

④預備消息的序號在合理范圍內。

滿足上述條件后，傳輸進入下一階段。

2）準備階段

準備階段時，初始節點會將信息發往所有符合要求的副節點，＜PREPARE，g，n，d，i＞，副節點通過分組信息，確認對該消息本節點是否具備驗證資質，同時所有收到的副節點都將預備消息以及準備消息記錄到本節點的消息記錄中。

3）確認階段

當副節點對請求信息進行確認之后，確認的流程條件為：

①數字簽名正確；

②消息驗證加權為正值；

③消息序號合法。

基于此種確認機制，副節點在確認完畢后會回復committed（m，v，n）消息表示其對消息確認完畢。當有f+1 個節點確認消息到達主節點時，表示該條消息被確認的次數超過了閾值，集合內所有節點同步更新該條記錄。

上述的共識機制設計是一種靜態共識，對于軍事系統中的應用而言，通過分類權限、集合劃分的形式，能夠降低節點的同步共識需求，在節點數量相對固定、節點性質較為穩定的情況下，此種共識機制較為高效，當有節點退出或加入網絡時，所有節點均需要更新自身的集合分組列表。

2.3 鏈外數據可信接入設計

將區塊鏈應用至武器裝備存儲體系中時，數據的傳輸大多數是在不同的節點之間進行。在所有節點初始化完畢構成一個閉合網絡后，節點之間的數據傳輸通過之前設計的共識機制，以及安全監管機制的方式進行通信時，能夠保證整個分布式系統的數據安全性甚至離線節點的安全性。但當系統內的數據想要導出亦或是外部的數據想要輸入到系統中時，就難以避免會遇到數據可信接入的問題——如何確定外部擁有數據導出的權限？以及如何確定外部導入數據的可信程度？這兩個問題如果沒有一個合適的機制進行保證，那么之前設計的機制就無法得到安全保證。

為解決鏈外數據可信接入問題，本方案擬通過如下幾種方式對鏈外數據接入進行控制：

1）專用接口硬件加密KEY 認證機制；

2）節點控制信息與存儲信息的隔離機制；

3）數據輸入輸出的多節點記錄認證機制。

2.3.1 專用接口硬件加密KEY 認證機制

針對有鏈外數據接入需求的節點，在節點上增加接口硬件加密KEY 部件（USB 或者網絡接口），每套硬件KEY 為互相匹配的KEY-P 與KEY-N 兩部分，每套硬件KEY 運行同樣的加解密算法，只有外部設備使用與節點相匹配的硬件KEY，才能夠與鏈內節點相連接，如圖2 所示。

圖2 專用接口硬件加密認證示意

基于此種專用的硬件加密KEY 認證機制，能夠有效防止外部設備在沒有合法KEY 的情況下進行數據接入，從物理層面上實現對數據鏈路的隔離控制，保證基礎的接入安全。

2.3.2 節點控制信息與存儲數據的隔離機制

鏈內節點在進行數據傳輸及驗證時，需要對本身所擁有的權限，以及所有連接的節點信息進行驗證，此部分信息存儲在節點的控制信息表內，由節點本身進行維護。由于此部分數據較為敏感，如果外部節點獲取到此部分信息，能夠針對性地對系統內的其他節點進行攻擊，或者更改節點控制信息，對網絡內傳輸到本節點的數據進行偽造式攻擊。因此，本方案擬對節點上的數據采用控制信息與存儲數據隔離存放的機制，在進行鏈外數據輸入輸出時，只允許鏈外設備讀取/寫入存儲數據，而控制信息僅僅允許鏈內節點進行更新修改。

2.3.3 數據輸入輸出的多節點記錄認證機制

在上述兩種鏈外數據可信接入機制之外，本方案還設計了數據輸入輸出的多節點記錄認證機制。該種機制的工作方式如下：在外部設備通過上述兩種認證方式接入之后，其所連接的節點會針對修改的內容生成文件變動記錄，并將文件變動記錄同步發送至集合內相關節點，相關節點會對文件變動記錄進行記錄，防止原節點的文件記錄被篡改；源節點也會將導出的數據進行記錄，同時將導出記錄發送至集合內相關節點，進行多節點備份記錄。

通過該種機制，系統內的節點能夠對鏈外數據的接入進行冗余備份，實現對系統內輸入輸出數據的多節點共同記錄，保證記錄的可靠性，實現鏈外數據修改的可追溯性。

3 結論

針對武器裝備系統中的數據種類多樣、數量冗雜的特點，為在多個節點之間對數據存儲達成共識，本文設計了一種基于分類權限的多節點容錯共識機制。基于此種共識機制，整個分布式系統能夠對數據有效驗證，同時分類權限也保證了敏感數據在有限范圍內的傳播，能夠滿足武器裝備敏感數據存儲體系的需求。同時，為解決鏈外數據接入帶來的安全可信問題，本文對鏈外數據可信接入使用專用硬件加密通信接口、節點控制信息與存儲數據隔離，以及數據輸入輸出的多節點記錄機制，來解決鏈外數據可信接入問題。