主動標識載體在可信數據采集中的應用研究

摘 要：企業底層的設備數據作為物理世界與數字世界的橋梁具有重要的意義，隨著工業互聯網技術的不斷發展，數據采集也成為企業數字化轉型的基礎能力。由于企業數據具有很高的商業價值，而傳統的數據傳輸方式所采用的技術較為簡單，存在較多的安全問題。為了保障數據采集與傳輸過程的安全性，文中基于工業互聯網標識解析體系與主動標識載體設計了一套數據采集系統。該系統結合支持國密的可信標識服務平臺，采用認證密鑰來進行安全認證，可實現數據的安全防篡改，具備完善的加密與身份驗證機制，可以很好地解決傳統方式下存在的問題。

關鍵詞：數據采集；標識解析；主動標識載體；工業互聯網；數據安全；數字化轉型

中圖分類號：TP399 文獻標識碼：A 文章編號：2095-1302（2025）03-00-04

0 引 言

工業數據是物理世界與數字世界的橋梁，也是企業信息化的基礎。近些年在“工業互聯網”“工業4.0”的大背景下，多源異構的數據采集系統建設已經逐漸完善，數據安全已成為數字化發展的前提。《中華人民共和國網絡安全法》《關于加強國家網絡安全標準化工作的若干意見》等一系列法規及政策文件都對數據安全提出了明確的要求。2021年《數據安全法》正式發布，進一步表明了數據安全的重要性。如何保證工業系統數據采集過程中的數據安全已成為非常重要的課題。

1 數據采集

在工業互聯網領域，數據是企業以及整個行業最重要的資源，是實現企業信息化的基礎，也是行業發展的驅動力。對數據進行深層次的挖掘、分析能夠產生巨大的價值，而這一切的基礎就是對底層工業設備原始數據的采集。

工業數據采集過程主要包括數控機床、傳感器、攝像頭、各類DCS和PLC等工業設備的接入、協議解析、底層數據格式的解析與轉換、數據存儲與預處理等環節[1]。為實現不同廠家設備在差異較大的運行環境中對數據的實時高效采集，需要大量IT、OT和CT核心關鍵技術作為支撐。在工業數據采集領域，常用的通信網絡技術主要包括工業現場總線、工業以太網、工業光纖網絡、TSN、NB-IoT、4G/5G等。

工業數據對于企業來說具有很高的經濟價值，關鍵數據泄露會給企業帶來巨大的經濟損失，現階段海量的工業設備有著復雜多樣的通信協議，傳統數據采集系統面臨的安全防護挑戰[2]包括以下兩方面：

（1）由于企業信息化水平普遍較低，受目前的數據傳輸手段與技術限制，企業數據在傳輸過程中存在較高的泄露風險，并且存在監測溯源難的問題[3]。同時在大流量、虛擬化等環境下難以有效捕捉敏感數據和安全威脅。

（2）在數據的可信性方面，因為涉及數據安全及商業機密，目前大部分的企業數據僅支持企業自己查詢和使用。由于缺乏權威的認證體系，導致無法追溯數據流向，阻礙了數據的安全有序共享。

基于工業互聯網標識解析體系的主動標識載體可以有效解決上述問題。

2 工業互聯網標識解析體系

工業互聯網標識解析體系是工業互聯網網絡架構的重要組成部分，既是支撐工業互聯網網絡互聯互通的基礎設施，也是實現工業互聯網數據共享共用的核心[4]。工業互聯網標識解析體系由以下兩部分組成：

（1）標識：指為設備、產品等實體物品及算法、工序等虛擬資源在網絡中分配的唯一身份ID，類似于“身份證”。

（2）解析體系：指利用分配的標識ID，查詢已上傳至國家標識解析體系的物理和虛擬資源信息，實現對機器和物品的定位。

標識及解析體系是實現全球供應鏈系統和企業生產系統精準對接、產品全生命周期管理和智能化服務的前提和基礎[5]。

截至2022年年底，我國工業互聯網標識解析體系已經構建了包括“武漢、廣州、重慶、上海、北京”5個國家頂級節點和“南京、成都”2個災備節點，初步建成功能完備、自主可控的標識解析體系，開啟了工業互聯網全要素、全產業鏈、全價值鏈、全面連接的新篇章。目前，標識解析已被應用于能源、船舶、醫療、食品等多個行業，在與制造業和信息通信等多領域技術的融合集成中顯現了巨大的生命力和創造力，為進一步創造新的工業互聯網發展動能奠定了基礎[6]。

3 標識載體與主動標識載體

標識載體是用來承載標識編碼信息的物理或虛擬資源。根據其是否能夠主動與標識解析服務節點、標識應用平臺等發生通信交互，可以分為被動標識載體和主動標識載體兩類。

被動標識載體一般附著在工業設備或者產品的表面以方便讀卡器讀取，存在標識信息易被復制、被盜用和被誤用的問題。常見的被動標識載體有一維條形碼、二維碼、RFID、NFC等。

主動標識載體是指可以嵌入工業設備內部，承載工業互聯網標識編碼及其必要的安全證書、算法和密鑰，具備聯網通信能力，能夠主動向解析節點或應用平臺發起連接的新型載體技術，目前主要分為通用集成電路卡、安全芯片和通信模組3種類型[7-9]。

主動標識載體的基本能力包括：

（1）承載工業標識符及其必要的身份憑證和安全算法，能夠主動建立網絡連接通道。

（2）支持主動標識載體安全認證服務平臺的標識管理功能，能夠根據平臺的要求寫入、修改、刪除、查詢、存儲工業互聯網標識。

（3）支持主動標識載體安全認證服務平臺的身份憑證管理功能，能夠根據平臺的要求寫入、修改、刪除、存儲身份憑證；同時支持連接安全認證服務平臺進行身份認證。

（4）具備多模態，能夠處理多源異構的工業數據。

（5）" 嵌入在工業設備內部，不容易被盜取，有很高的安全性。

主動標識載體有多種集成方式，可以方便地集成到工業設備內部，采用主動標識載體進行數據采集的優勢有：

（1）能夠完全覆蓋基礎工業設備數據采集協議，支持MQTT、CoAP、Modbus、Modbus-TCP等工業現場協議。

（2）兼容各類傳統的通信技術，如3G、4G等，還支持5G、NB-loT等新型通信技術。

（3）具備強大的安全保護能力，能夠應對復雜應用環境中的各類攻擊，有效保護用戶數據。一機一密，支持多種國密算法，如RSA、AES、SM2、SM3、SM9。

（4）使用SDK嵌入的模塊化設計和層次化架構，支持二次開發。

（5）具有低功耗、小尺寸、低成本等特點。

（6）滿足多場景主動標識應用，如設備遠程運維、冷鏈運輸管理、企業數據協同、智慧交通、智慧園區等。

基于以上特點，本文設計的主動標識設備可主動向標識解析服務節點或標識數據服務平臺發起連接，利用標識解析中間件技術，實現工業設備和應用軟件之間數據的轉換、過濾、安全傳輸等功能。設備向上對接標識解析二級節點，向下為企業接入標識注冊、數據同步和解析等功能，提供標準統一服務，提升接入的便利性。主動標識設備（載體）將引領工業數字化轉型，賦能千行百業終端設備的安全接入，實現萬物互聯互通，滿足海量物聯網產品的數智化發展需要。

4 可信數據采集系統

目前的數據采集系統大多存在以下問題：

（1）傳統的采集方法通常是周期性數據采集，導致數據的更新和反饋有一定的延遲。這使得企業無法實時查看數據，無法及時采取調整和優化措施。

（2）數據在交換和傳輸時存在易篡改、易泄露等問題，給數據的安全帶來極大風險。同時數據的準確性和完整性可能會受到惡意操作、技術故障和錯誤采集等問題的威脅。

為此，本文設計了一套基于主動標識載體的可信數據采集系統。

4.1 系統架構

基于工業互聯網標識解析體系及主動標識載體技術，結合支持國密的可信標識服務平臺[10-12]，采用認證密鑰來進行安全認證[13]，可實現安全防篡改的數據采集系統。系統由工業終端（包含主動標識載體、工業應用系統）、標識解析體系企業節點（包含主動標識載體管理平臺、可信標識服務平臺、數據服務平臺）、標識解析應用平臺、國家標識解析體系等功能模塊構成。其中企業節點屬于企業信息系統，向上對接國家標識解析體系，向下對接企業內部系統，同時需要遵從企業相關規定以及標識解析體系的編碼規范、技術標準、管理規范、運營規范等管理體系要求。系統設計架構如圖1所示。

4.2 功能模塊

主動標識載體：具備主動建立網絡連接通信的能力，提供主動標識載體設備憑證存儲、企業節點信息存儲、主動標識載體標識碼存儲的能力，支持基于數字證書的數字簽名。

工業應用：調用主動標識載體接口對采集的數據進行簽名并進行數據上報，提供人機交互界面、業務流程編排定制服務，專注于業務流程的實現，是安裝于工業終端的可執行程序。

主動標識載體管理平臺：通過可信標識服務平臺實現對主動標識載體的管理操作，管理企業所有主動標識載體，負責主動標識載體標識碼的發放與維護、企業證書維護、企業節點信息維護等業務功能。

可信服務平臺：支持多種國密算法，負責主動標識載體的憑證存儲與信息管理以及證書管理、身份認證、數據加簽驗簽等功能。根據工業互聯網標識、主動標識載體標識等信息生成憑證，將工業互聯網標識、主動標識載體標識、企業CA證書、企業節點IP地址或URL等信息寫入主動標識載體中。

數據服務平臺：收集工業終端采集的數據信息，并連接可信標識服務平臺驗證數據的合法性，保證數據不可篡改及其安全性。向上對接標識解析應用平臺。

標識解析應用平臺：提供企業前綴維護、標識全生命周期管理、標識能力開放等功能。

國家標識解析體系：主要包含國家頂級節點、二級節點和公共遞歸解析節點。國家頂級節點面向全國范圍提供頂級標識解析服務，以及標識備案、標識認證等管理能力。二級節點分為面向特定行業的行業節點和泛行業的綜合節點兩類，向上對接國家頂級節點，向下為企業提供前綴申請、標識全生命周期管理等服務接口。公共遞歸解析節點是標識解析體系的關鍵性入口，能夠通過緩存等技術手段提升整體服務性能。

4.3 業務流程

流程1：包含標識解析中間件，對接國家標識解析體系，消除二級節點變動給企業帶來的影響，提升接入的便利性，完成企業接入、前綴申請、企業CA證書申請。

流程2：維護主動標識載體標識碼（支持對標識碼的增刪改查）、向可信標識服務平臺提供企業CA證書、維護企業節點信息（IP地址或URL）及主動標識載體的綁定關系，通過可信標識服務平臺實現企業節點與主動標識載體的雙向身份鑒別，保證數據的完整和防篡改，提供保證數據合法性的基礎能力。

流程3：通過工業終端產品采集工業設備數據，并連接主動標識載體模塊對數據進行加密簽名，然后上報至企業節點數據服務平臺，上報數據包含業務數據、憑證等。數據服務平臺調用安全認證服務平臺完成終端上報數據簽名值的驗簽，保證數據的合法性。

主要功能流程如圖2、圖3所示。

5 結 語

本文設計了一套基于主動標識載體的可信數據采集系統，創新點如下：

（1）設備數據采集和分析管理：對于大部分企業，數據采集工作不但繁重，同時也無法保證數據的準確性，如何實現高效、簡潔、實時的數據采集是目前企業所面臨的一大難題。

通過標識解析體系的主動標識載體能夠建立基礎數據采集分析管理機制，利用主動標識載體采集設備工作和運行狀態數據，實現對設備的監視與控制，配合標識解析企業節點上傳標識數據至用戶平臺，對采集的數據進行分析、處理與診斷，同時也可為產品生命周期管理系統（PLM）和企業資源管理系統（ERP）等其他工業軟件提供數據支持，具有助力企業數據采集、設備監控、數據分析處理等能力。

（2）數據身份認證：基于標識解析體系與主動標識載體的可信數據采集系統可有效解決數據采集過程中的數據安全問題，數據身份認證在不同的安全域之間提供身份認證和授權信息交換服務，為用戶跨平臺進行身份認證和授權提供了方便，可以解決多個系統共享認證、授權過程中的信息傳遞問題。

結合主動標識載體與工業互聯網標識解析體系、區塊鏈技術，對采集到的設備數據進行統一標識和處理，有效消除了原始數據的不確定性和誤差，有助于提高采集數據的準確性。

通過數據溯源，可以驗證數據的真實性和完整性。當數據被采集和記錄后，主動標識載體可以通過主動標識載體管理平臺與工業互聯網標識解析體系建立連接，記錄采集過程中的關鍵環節和參數。這種溯源機制能夠防止數據被篡改和偽造，提高數據的可信度。

參考文獻

[1]王琳，商周，王學偉.數據采集系統的發展與應用[J].電測與儀表， 2004， 41（8）： 4-8.

[2]馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014，37（1）：246-258.

[3]陳雪鴻，楊帥鋒，張雪瑩.淺談工業互聯網數據安全防護[J].自動化博覽， 2021， 38（1）： 15-17.

[4]任語錚， 謝人超， 曾詩欽， 等.工業互聯網標識解析體系綜述[J].通信學報，2019，40（11）：138-155.

[5]工業互聯網產業聯盟和中國通信標準化協會.工業互聯網標識解析標準化白皮書（2020年）[EB/OL]. （2021-01-25）. https：//www.aii-alliance.org/upload/202102/0222_094332_553.pdf.

[6]賈雪琴，林晨，周曉宇，等. UICC賦能基于工業互聯網標識的可信數據采集[J].信息通信技術與政策， 2019（8）： 52-55.

[7]趙春澤. UICC安全特性研究及實現[J].重慶郵電大學學報（自然科學版），2008（5）：557-560.

[8]何偉俊，黃健文，梁棟，等.基于UICC架構的CSIM卡安全機制探討[J].電子技術應用，2012，38（4）：141-144.

[9]余果，王沖華，陳雪鴻，等.認證視角下的工業互聯網標識解析安全[J].信息網絡安全， 2020（9）： 77-81.

[10]李建立，莫燕南，粟濤，等.基于國密算法SM2、SM3、SM4的高速混合加密系統硬件設計[J].計算機應用研究，2022，39（9）：2818-2825.

[11]胡景秀，楊陽，熊璐，等.國密算法分析與軟件性能研究[J].信息網絡安全，2021，21（10）：8-16.

[12]蘇彬庭，陳明志，許力，等.國密算法在工業互聯網安全中的應用研究[J].信息技術與網絡安全，2021，40（3）：28-31.

[13]張建雄，吳曉麗，楊震，等.基于工業物聯網的工業數據采集技術研究與應用[J].電信科學，2018（10）：124-129.