北斗時空信息在工業互聯網安全保障領域的應用研究

孟 斌 史 劼 王 偉 周中華 冀宏斌

1(航天恒星科技有限公司 北京 100086)

2(中國工業互聯網研究院 北京 100102)

工業互聯網是新一代信息技術與工業系統深度融合形成的產業和應用生態，其核心是通過聯 網化、自動化、數字化、智能化等技術手段，激發生產力[1]，優化資源配置，最終重構工業產業格局.安全和效率是工業互聯網領域關注的核心和重點.隨著人工智能、大數據、IoT、5G等技術的發展，信息安全問題日益凸顯，安全變得越來越復雜，網絡惡意攻擊強度、頻率、規模和影響在不斷升級，安全“邊界”發生巨大變化.現有的網絡信息安全技術是通過密碼學與防火墻等技術來對信息進行加密，防止數據泄露與病毒攻擊，并對可疑訪問進行有效控制.面對開放式、大融合的控制互聯網絡，這種傳統的思維方式已顯得力不從心.數字安全新生態的建設需要以全新視角去理解安全問題，并跳出傳統攻防概念，以協作為基礎形成體系式防御，而這種計算和物理實體單元的緊密協同配合需要高精度的時空基準.在解決安全問題的基礎上，通過時空基準的統一、衛星通信的接入、地理信息的融入以及5G,NB-IoT地面通信技術的結合，促使時空或多維空間壓縮，使在局域時空內處理全域時空數據成為可能，大大提升工業生產效率.近年來作者團隊沿著這一途徑作了有益的探索，并在國家專項的支持下形成了一定的技術成果和應用效果，希望與信息安全領域同行共同探討.

1 北斗時空信息對于工業互聯網安全領域的意義

北斗衛星導航系統(簡稱北斗系統)按照“3步走”戰略建設：北斗1號系統采用有源定位體制，為中國用戶提供定位、授時、廣域差分和短報文通信服務[2]；北斗2號系統在兼容北斗1號系統技術體制基礎上，增加無源定位體制，為亞太地區用戶提供定位、測速、授時和短報文通信服務；北斗3號系統于2020年7月投入使用，在北斗2號系統的基礎上，進一步提升性能、擴展功能.北斗3號系統提供服務包括：面向全球范圍，提供定位導航授時(RNSS)、全球短報文通信(GSMC)和國際搜救(SAR)服務[3]；在中國及周邊地區，提供星基增強(SBAS)、地基增強(GAS)、精密單點定位(PPP)和區域短報文通信(RSMC)服務[1].上述服務性能可參見中國衛星導航管理辦公室發布的《北斗衛星導航系統公開服務性能規范》(3.0版)[4].從服務于工業互聯網安全保障領域的角度，主要涉及RNSS，GSMC，GAS，PPP，RSMC這5項服務，其中構建GAS服務的地基增強系統全國基準站是為工業互聯網領域提供高精度時空基準的重要基礎設置，目前主要的地基增強系統全國基準站如表1所示.

表1 國內主要地基增強系統全國基準站

我國工業互聯網產業處于發展初期，產業規?？焖俜€步增長，支撐體系初步形成，具有較大增長與發展空間.工業互聯網涉及工業和互聯網等信息通信技術領域的各個環節和各個主體，其焦點是通過工業互聯網平臺把生產、流轉、消費各環節要素緊密地連接融合起來[5]，其中，高精度定位及準確授時將起到關鍵作用，這二者正是北斗系統相比于其他GNSS系統較為突出的優勢之處；跨地域精準定位，協調同步，監控監測，北斗系統勝任完全沒有問題；在中美貿易戰的大背景下，通過建設基于北斗時空基準服務的工業互聯網安全保障平臺對實現工業互聯網產品自主可控、推動國內實體經濟騰飛意義重大.

經過調研，我國目前的工業互聯網平臺層面上，存在的問題主要有以下幾個方面：

1) 設備連接能力不足.

面對工業現場多類型通信協議并存的生產設備，面對生產制造業平臺化、云化水平本身較低的現實[6]，所導致的多數平臺數據采集類型少，采集難度大，互聯互通水平低，大多數平臺數據點采集量少或無數據點，缺乏完整的數據采集集成解決方案.因此如何實現多源數據的柔性接入，實現互聯互通是該平臺應用的前提.

2) 工業實際經驗方面嚴重不足.

中國現代化工業化發展歷史短，國外工業軟件的市場份額已占據世界工業軟件市場份額的98.3%，而國內僅10%的工業軟件可自研解決，這充分說明我國工業技術軟件化水平和積累遠遠不夠，缺乏短時間內把行業機理模型化、代碼化的線下實力[7].這種不足短期內是無法改變的.當前國內完整的產業鏈激發了龐大的應用需求和發展動力，為平臺培育、壯大提供了可能[7].

因此建立一個通用的、兼容共享的服務平臺，讓工業互聯網信息化企業關注于行業機理模型、形成核心智能化軟件，是解決該問題的關鍵.

3) 數據分析能力不足.

構建基于海量工業大數據分析模型是區分工業互聯網與傳統工業化、自動化解決方案的最重要的特征.工業領域的算法庫、模型庫、知識庫等微服務需要積累.當前工業研發、生產、采購、配送、設備管理等都需要高水平的數據模型和大數據分析能力，目前國內許多平臺類企業面臨的共同挑戰就是工業大數據分析數學模型技術積累薄弱，完全無法滿足市場側需求[6].

因此，通過時空基準的統一，將無序數據轉化為有序數據，從而為數據分析、挖掘提供了可能.

4) 云化工業軟件不足.

工業互聯網的功能是通過搭建特定工業場景的工業軟件，推動工業流程、工藝、控制算法的模型化和標準化.傳統各類工業軟件通過研發設計、經營管理、資產優化、代碼重構的方式部署到了云端，成為企業私有“云化”軟件[6].由于傳統工業軟件基本缺失，“云化”軟件也因無數據源而無法發揮聚合作用.

因此，通過建設工業互聯網保障平臺，促使開發出的工業軟件更聚焦、更專業，對于工業互聯網軟件發展意義重大.

5) 解決方案能力不足.

工業互聯網平臺是一個系統解決方案的平臺，出發點和落腳點是解決制造業數字化、網絡化、智能化的問題，提高核心競爭力.國內平臺企業業務規劃、基礎設施、工業軟件、工業模型的集成等能力遠遠不足，整合邊緣計算、現場設備、軟件工具、企業ERP軟件等各類資源的能力不足，集業務咨詢、基礎平臺部署實施、工業軟件2次開發、平臺運行維護等于一體的綜合能力欠缺[6].

因此，具備2次開發功能、感知數據可柔性接入、空間地理信息可共享的工業互聯網平臺軟件，可有效提升工業互聯網領域行業解決方案的能力.

6) 安全保障能力不足.

工業互聯網平臺建設節奏逐步加快，安全建設已經擺在首位，從傳統的生產控制安全演變至設備、網絡、平臺、數據的安全，在這個進程中，工業互聯網平臺安全領域相關的標準、技術、管理、規章制度方面的服務能力都不足.因此，急需融入信息安全技術，并完善相關的標準、法規[6].

7) 跨行業跨領域平臺構建能力薄弱.

構建跨行業跨領域工業互聯網平臺，既需要具備涉及多個行業領域的共性技術、知識、工具和模型的供給能力，也需要具備數據采集、設備互聯、平臺管理、應用開發等一整套技術解決方案[8].國內具有明顯優勢融合性的跨行業跨領域的工業互聯網平臺仍極度缺乏，無論是ICT巨頭還是互聯網巨頭，都沒有獨自構建完整的工業互聯網平臺的能力，包括融合性跨行業跨領域工業互聯網平臺的能力.

因此，工業互聯網平臺要有足夠的通用性，并擁有跨行業、跨領域數據的適配解決方案.

8) 面向工業APP的開發生態相對滯后.

工業軟件(APP)是基于工業互聯網平臺、承載工業數字模型、滿足工業企業特定需求的應用軟件.當前，平臺企業對于工業APP如何認識和如何培育均存在一定問題[9].

因此，通過構建基于北斗時空基準服務的工業互聯網安全保障平臺，實現高精度定位、時間基準、多源傳感器柔性接入和空間地理信息服務，促使工業互聯網企業的信息化建設專注于模型算法、業務流程、人機交互和用戶體驗，由該平臺提供高可靠、高安全、感知數據隨遇接入、兼容共享的時空基準支撐保障服務，形成工業互聯網信息化應用新生態.

2 基于北斗時空信息的工業互聯網安全保障平臺架構設計

作者團隊在上述分析的基礎上，提出基于北斗時空信息的工業互聯網安全保障平臺應具備以下特征：

1) 具備地基/星基高精度服務功能.可以為工業互聯網應用快速構建高精度服務能力，提供從毫米級到米級的分級精度定位服務，定位服務可用率高于99.9%.

2) 具備高精度時間基準服務功能.構建基于北斗的分級時頻同步系統，搭建區域以及廣域的北斗時頻同步基準系統，向接入節點提供分級時頻同步服務.

3) 具備多源傳感器柔性接入功能.平臺具備智能制造生產線上多源傳感器接口協議擴展和在線2次開發功能，可以實現多源傳感器的插件式接入、管理，配置靈活.

4) 具有高精度空間地理信息的共享服務平臺功能.支持智能制造基地/廠區的基于室內外高精度2D/3D可視化管理服務，為工業互聯網應用提供2次開發接口，可根據具體需求快速構建2D/3D可視化廠區管理系統，支持在線更新.

5) 針對時空基準數據的云安全加密功能.云加密是自保式安全模式，重要的時空基準數據通過密鑰對登錄，有效防止密碼被攔截、破解造成的賬戶密碼泄露導致的數據泄露問題.

6) 具備天地一體化無縫通信網絡保障能力.該體系融合地面移動通信網絡(含5G,NB-IoT/LoRa通信)和衛星通信等技術，實現“北斗+”“+北斗”在工業互聯網領域的融合應用.

北斗時空工業互聯網安全保障平臺的總體架構與工業互聯網體系架構2.0建設綱要相一致，采用“四橫三縱”式的云服務體系結構.系統總體架構如圖1所示：

圖1 平臺總體架構圖

北斗時空工業互聯網平臺分為4個層次3個標準，4個層次分別指的是工業現場邊緣計算層、基礎設施層(IaaS)、平臺服務層(PaaS)、應用層(SaaS).平臺基于4個層次提供的服務，通過應用終端/傳感器為北斗時空工業互聯網平臺典型業務應用提供桌面APP服務，實現北斗時空工業互聯網平臺相關業務、生產數據的對外應用服務.

具體描述如下：

1) 邊緣計算層.邊緣層是工業現場的信息采集和匯集層，包括北斗時空平臺規劃的3個示范應用所配套的終端和數據采集傳感器(化工、生產制造等)，不同類型的終端/傳感器通過互聯網、專用VPN網絡、4G/5G網絡、物聯網(NB-IoT,LoRa)、北斗RD通信、衛星通信方式與平臺進行數據交互.同時，提供與國家工業互聯網大數據中心、國家基礎地理信息中心地基增強CORS網等第三方數據交換接口.通過云平臺接入層，實現工業生產數據、資源數據與各工業企業的數據共享，共同為北斗時空工業互聯網應用賦能.

2) 基礎設施層(IaaS).結合北斗時空工業互聯網平臺示范應用項目需求和未來承載工業應用數據量規劃，進行北斗時空工業互聯網平臺網絡和基礎設施的建設，包括平臺網絡資源池、計算資源池、存儲資源池、裸機管理、資源監管(監控、部署、管理、調度、控制)和主動防御系統(保障云平臺業務數據安全)等.通過充分整合利用北斗時空基準服務和擬建的網絡和基礎設施，共同為北斗時空基準相關科研生產和工業互聯網安全保障平臺的運行環境提供保障.

3) 平臺服務層(PaaS).平臺服務層包括數據調度服務、數據基礎服務、數據挖掘服務、元數據管理服務和北斗時空基準服務，以及數據分布式接入和分布式調度服務；數據基礎服務包括關系型數據服務引擎、時序數據服務引擎、實時數據服務引擎、分布式文件系統、分布式數庫存儲以及ETL模型管理、數據資源管理、作業調度監控、日志系統、權限管理等；元數據管理服務包括統一日志管理、集群自動化部署監控等；北斗時空基準服務包括GIS服務、地基增強高精度分級位置服務、北斗綜合位置服務和高精度授時服務.

4) 應用層(SaaS).開發北斗時空工業互聯網平臺示范應用業務所需的支撐服務接口.示范業務應用系統包括化工園區監管、整船運輸監管、港口高精度應用管理等.應用開發支撐服務包括基礎服務接口、應用服務接口、數據管理接口、資源調度接口和對外服務接口.通過云平臺應用開發層為示范業務應用提供服務和開發接口.

5) 安全保障體系.貫穿北斗時空工業互聯網平臺的所有層次，提供各個層級、數據的安全保障.設施層面提供網絡設施、安全設施、云設施、存儲設施的安全防護；數據層面提供數據審計、數據隔離、數據存儲防護；應用層面提供終端認證、應用審計、抗DDOS、負載均衡防護；網絡層面提供邊界隔離、入侵檢測、漏洞掃描、流量控制等防護；用戶層面提供訪問控制、行為審計等防護.

6) 運維體系.貫穿北斗時空工業互聯網平臺的所有層次，提供各個層面的運維依據和方案，包括服務臺、資源管理、監控管理、用戶管理、發布管理、部署管理、服務目錄、配置管理、變更管理、事件管理、問題管理.

7) 北斗時空工業互聯網應用標準規范.貫穿北斗時空工業互聯網平臺的其他層次，確保本項目的實施有章可循，推動北斗時空基準體系在工業的規?；蜆藴驶瘧茫脴藴实?次開發服務標準接口，滿足工業各企業定制化需求.包括北斗時空綜合應用框架體系、北斗時空基準服務數據接口類、數據傳輸協議類、應用設備技術規范類、設備/傳感技術規范類、應用數據傳輸協議類.

3 基于北斗時空信息的工業大數據標識解析與溯源

工業生產環境中面臨工業制造設備、控制系統、復雜網絡環境、異構信息等大量復雜設備及系統.各類軟硬件設備基于北斗時空基準數據服務，完成關鍵的時間基準、空間位置屬性賦值.賦能后的生產數據基于國家工業互聯網大數據中心標識解析系統形成衛星資源數字地圖，實現跨地域、跨行業、跨企業的時空屬性生產數據查詢和共享.

3.1 數據標識解析

Handle標識體系是一種面向數字對象的標識編碼方式和解析與信息管理體系，通過賦予各種對象一個唯一、永久、安全的標識，對其進行定位、追蹤、查詢.支持異構系統間柔性、靈活、安全的信息共享和互操作，同時能夠實現商業模式創新.

目前國家工業互聯網大數據中心采用的Handle標識由2部分組成：全球統一管理的Handle前綴以及跟隨其后的在該前綴下唯一的自定義編碼.前綴和自定義編碼間通過ASCII字符“/”(0x2F)來分隔.例“hdl:86.1000.300/60574397”，“/”前面為Handle前綴(一個企業的唯一編碼)，“/”后面為自定義編碼(由企業根據各自系統的編碼自主定義).

所采用的數據解析平臺構成如下：

基礎設施層.提供底層基礎環境、系統級軟硬資源的支撐保障、數據存儲和數據分析處理功能.

數據采集層.以整機制造商為中心，覆蓋企業內部及上下游企業間的核心系統數據，根據定義的數據模板及授權級別，為智能供應鏈平臺提供基礎數據支撐.

標識解析層.根據Handle技術體系，為異主、異構系統間的數據提供授權管理、信息關聯、數據解析等標識解析服務.

平臺應用層.為企業提供標識注冊、標碼解析以及基于產品追溯、訂單管理、庫存可視、在線跟蹤、質量反饋、市場服務等覆蓋供應鏈全過程的一體化應用.

終端訪問層.為企業內部用戶、市場服務人員、經銷商、客戶、社會公眾用戶提供便捷、高效、專業的增值服務.

北斗時空基準信息的接入，就是在基礎設施層包含北斗定位、授時硬件，并在數據采集層增加北斗時空基準信息，綜合編碼到Handle標識的企業自定義編碼中.

3.2 物聯網數據溯源

數據溯源的主要挑戰是溯源信息的可信收集、存儲和校驗.結合物聯網的功能結構以及功能模塊的劃分，設計了數據溯源的功能實現架構，可為區塊鏈提供可信的數據溯源.如圖2所示，該架構由4部分組成，分別是物聯網設備、區塊鏈節點搭建的區塊鏈網絡、智能合約和應用程序的前端.

圖2 數據溯源功能實現架構

在上述架構中，物聯網設備中的北斗(高精度)定位和授時模塊可為數據溯源提供可信的時空信息，再通過區塊鏈技術構建出可信的數字資產地圖.

4 典型應用

作者團隊在上述平臺架構下，完成了基于北斗時空信息的工業互聯網安全保障平臺的建設，平臺的組成如圖3所示.

圖3 基于北斗時空信息的工業互聯網安全保障平臺PBS分解圖

基于該平臺，在化工園區應用場景中選取了危險化學品供應鏈協同管理和智能工廠管理2種典型應用.

4.1 危險化學品供應鏈協同管理

危險化學品供應鏈協同管理屬于跨越企業邊界的業務流程管理，即跨組織的業務流程管理，其框架主要由業務協同層、數據服務層、外部服務層和權限控制層組成.跨組織的業務流程問題之所以具有復雜性，主要是由于流程需跨越多家企業，以及企業間的關系具有松散耦合[10].

危險化學品貨物種類、名稱、數量、起始地、目的地、時間等得到確認后才能開始運輸，需要對相關各方的資質以及運輸中各個節點的流程進行規范，需要借助危險化學品供應鏈系統Web網頁申報等方式向平臺中各關聯用戶進行實時上報，才能篩選掉不符合國家行業要求的主體，確保責任明確、運輸實時監控、流程公開透明、數據實時上報、各方高效協同.通過對危險化學品各環節的時間、位置數據的采集，實現了對化工園區內危險化學品的全鏈條管理，形成了危險化學品管理大數據池.

4.2 智能工廠管理

智能工廠產品面向企業決策和工業互聯，專注企業管理和企業上云服務，為大規模個性化制造、網絡協同制造、智慧工廠、智能制造提供解決方案；挖掘企業管理需求和痛點，幫助企業打通人、系統與設備的協同關系，建立開放透明、可視化的制造體系和管理模式.

智能工廠產品系統組成由業務基礎支撐、應用領域、產品和子產品4部分組成，從下到上逐層支撐.

圖4所示為當前已實現的產品內容，后續將在此基礎上根據項目的積累提煉更多子產品，如工業污水處理監控系統、危化品碼頭氣象監測和智能調度系統.

圖4 智能工廠系統組成圖

作者團隊以嘉興港區為試點，試運行北斗時空信息服務，為港區內?；愤\輸車輛安裝北斗高精度定位終端，危化車輛定位精度為0.5 m，?；囕v流通率提升20%，事故違章率降低15%.危化品園區范圍內監管率達到100%.基于北斗時間基準采集117個危險源監測傳感器、2個大氣監測站、11個雨水傳感器、18個污水傳感器、6個廢氣傳感器、2個非甲烷總烴傳感器、62路危險源視頻、5個高空瞭望攝像頭數據，實現化工監測數據精確時空屬性賦值.構建嘉興港區智慧化工園區高精度空間地理信息，完成園區人、系統、設備高精度可視化實景聯動指揮調度.2018年12月完成建設，運行至今，幫助企業降低17.3%運營成本，單位產值能耗降低14.5%，通過對時空基準信息統一后的數據挖掘分析風險點，整體園區運行平穩率提升18%.

5 結 語

基于北斗時空信息的工業互聯網安全保障平臺，對園區應用系統、港口高精度實時定位調度系統、生產制造、車聯網等重點領域提供高精度位置服務和高精度授時服務.實現了工業數據與高精度時空數據的融合，解決了工業大數據的隱匿性，同時也提升了工業互聯網在系統應用方面的安全保障水平[11].面向不同行業需求，平臺提供了從毫米級到米級的分級精度定位服務，定位服務可用率高于99.9%，且平臺支持授時精度不低于20 ns，授時可用率高于99.9%.

工業互聯網助力制造業和服務業之間的跨越發展，使工業領域各種生產要素資源能夠最大程度共享，提高效率，促進創新，同時結合“北斗+智能制造”新概念，推動了制造業企業的轉型升級[12].