當前位置:今日智造 > 智造快訊 > 新聞

原創 l 區塊鏈在工業控制領域中的應用探討

2019/11/1 19:21:29 人評論 次瀏覽 來源:信息技術與網絡安全 分類:新聞


區塊鏈技術被認為是第四次工業革命的重要驅動力之一,是構建價值互聯網的重要基石。作為新一代信息通信技術,區塊鏈加速與傳統行業融合。“區塊鏈+金融”、“區塊鏈+物流”、“區塊鏈+AI”、“區塊鏈+工控”等技術和應用層出不窮,給眾多行業帶來了機遇和挑戰,獲得國家領導人、相關主管部門的重視。2018年5月,習近平總書記在兩院院士大會上講話中指出,以人工智能、量子信息、移動通訊、物聯網、區塊鏈為代表的新一代信息技術正加速突破應用。2018年,工信部信息中心發布《2018中國區塊鏈產業白皮書》,深入分析了中國區塊鏈技術在金融領域和實體經濟中的落地應用場景; 2019年,“區塊鏈成為數字經濟競爭新高地”的表述出現在諸多地方政府工作報告中。在可以預見的未來,區塊鏈技術的應用會進一步加速,加強區塊鏈技術的研究具有現實意義和應用價值。




區塊鏈在工業控制領域中的應用探討


靳志偉


引言


區塊鏈技術近幾年來越來越受到社會各行各業關注,業界和學界普遍認為區塊鏈技術獨有的優勢具有廣闊的應用前景,有可能給各個產業乃至社會生產關系帶來重大變革,被廣泛認為是第四次工業革命的重要驅動力之一。隨著工業互聯網時代的來臨,工業控制系統作為工業生產的核心系統,其網絡互聯、數據互通、安全控制受到高度關注。與此同時,工業控制系統的安全運行也將面臨著越來越大的挑戰,在網絡威脅頻發的背景下,如何在工業控制領域中應用區塊鏈技術增強工業控制系統的安全性值得深入研究。

相關研究成果回顧


工業控制系統的網絡防護對于保證工業的安全、穩定、可持續發展具有重大意義。在工業控制系統的安全防護方面,林楓提出工業控制是一項具有綜合性、技術復雜性的體系工程,工業控制系統本身在設計或操作中容易出現安全隱患;工業控制系統的網絡化設計與應用,使工業控制系統的部分結構暴露在公共網絡環境中,導致工控系統受到來自網絡病毒、網絡黑客以及有組織的惡意干擾和威脅;工控系統網絡框架多基于“以太網”搭建,工業控制標準OPC的開放性,使得其潛在的漏洞容易受到威脅和利用,因此有必要加強工控系統網絡防護體系建設。陳亞亮等提出,與傳統IT系統相比,工業控制系統必須保證可持續性運轉,實時性、時敏性要求高,設備和通信環境復雜。鑒于這些不同特點,工控系統的安全威脅可以看作是在傳統網絡威脅基礎上的繼承與延伸,其安全防護需要綜合利用技術手段、管理措施、政府監管等建立多層防護體系。

面對工控系統的安全性問題,在推動工業化和信息化融合的背景下,很多研究人員針對區塊鏈在兩化融合中的應用意義和搭建方案進行了研究。徐強提出建設工業區塊鏈平臺有助于解決工業互聯網的安全和效率問題,解決工業物聯網的通信模式問題等。柏亮從區塊鏈和工業物聯網的體系架構角度出發,分析了區塊鏈在工業物聯網中的應用可能性,并提出了一種區塊鏈結合工業物聯網的架構,使用區塊鏈分布式系統替代傳統工業物聯網中信息傳輸和數據管理部分。

針對特定的工業場景中的區塊鏈應用,也有學者進行了初步梳理和研究。徐元清、卓蔚通過分析煙草工控系統的特點,發現煙草工控系統這種典型的工業網絡環境中缺乏必要的邊界隔離及訪問控制措施,也缺少必要的安全監控手段,提出可以在企業內部建立私有區塊鏈平臺,開發工程文件防篡改及身份驗證等應用,來提高工控系統的安全性。

通過相關研究,可以發現當前工業控制領域主要面臨的問題有:

(1) 訪問控制:傳統的身份認證模式一旦被突破,則數據保密性和完整性很有可能遭到破壞,而當前各種網絡技術越來越先進,導致工業網絡系統面臨著隨時被威脅的危險,甚至已經遭受不同程度的入侵和破壞。(2)數據安全:傳統中心化管理模式下,存在由于個別設備發生故障造成數據丟失的可能。在數據信息量過大時,中心服務器的負擔會大幅增加。同時,工業控制系統涉及平臺眾多,平臺之間的信息化系統很多是彼此獨立的,存在數據作偽造假的問題。(3)運營維護:當前工業控制平臺數據流往往都匯總到單一的中心控制系統,未來工業化聯網設備數量將呈幾何級數增長,中心化服務成本將變得難以負擔。


區塊鏈技術的特有優勢


區塊鏈是一個開放式的、多方參與、可靠的分布式數據存儲系統,融合了P2P網絡、密碼學、共識機制、智能合約等技術,實現了去中心化交易過程中節點間信息可靠傳遞、交易賬戶安全、節點間信息不被篡改等功能。概括來講,區塊鏈具有“去中心化存儲”、“全網化驗證”和“自動化執行”三大特性。其中“去中心化”是指多個“節點”多方記錄,共同維護;“全網化驗證”是指區塊鏈網絡依托其對等網絡架構優勢、鏈狀數據結構優勢、密碼學技術優勢以及共識算法機制,除非對全網進行干預,否則無法通過干預個別節點而篡改數據;“自動化執行”即“智能合約”,是指以代碼形式封裝預定義的觸發條件、轉換規則及應對行動等,定下“承諾”,一旦滿足預設條件時,智能合約自動執行相應的業務邏輯,進行“兌現”,無法人為干預和抵賴。

從工業控制系統當前存在問題來看,區塊鏈的“去中心化”帶來的信息透明化,“全網驗證”支持的不可篡改性,以及“自動化執行”帶來的高運營效率契合工業控制領域的現實需要,可能會給工業控制帶來革命性變化。


區塊鏈在工控領域中的應用探討


著眼工控領域網絡建設、運用需求,充分發揮區塊鏈技術可信任、可追溯、抗抵賴、可擴展、可編程等特點優勢,研制建設基于區塊鏈的密鑰管理、實驗數據監控管理、關鍵基礎設施保護、設備資產管理、算力基礎設施等系統和平臺,為建設高效、可擴展、安全可信的工業互聯網提供有力支撐。


基于區塊鏈的密鑰管理


CA系統通常都要求具有靈活的認證體系配置;具有高安全性和可靠性;具有高擴展性,支持多級CA,支持交叉認證;多語言支持,易于部署與使用。但傳統CA的設計中也存在著根密鑰保存風險,隨著撤銷列表變大,同步和下發變得越來越慢,多級CA的交叉認證復雜等不足。應用區塊鏈技術可以改善根密鑰安全存儲,撤銷列表的同步和下發,增強CA系統的整體安全性。應用密鑰分存技術將根密鑰分散存儲在區塊鏈的所有驗證節點(假定節點總數為n),密鑰被分成N個片段,獲得其中K個片段可以把密鑰重新還原。如果獲得的片段數量少于K,就無法知道關于密鑰的任何信息。每個節點保存一個子密鑰S。設置N≥2K-1,可以保證在丟失或者被破壞掉k-1個子密鑰的情況下,密鑰仍然是安全的,并且依然能夠由剩下的未丟失密鑰恢復,如圖1所示。

圖1 應用密鑰分存示意圖

使用門限簽名和多重簽名技術,支持多級多節點CA之間的交叉認證,如圖2所示。同時將CRL列表保存在區塊鏈的數據結構中,既保證了CRL的唯一性,也保證了可以從各個節點獲取CRL。撤銷列表的傳播和生效迅速唯一。

圖2 多級多節點交叉認證示意圖場景如下:(1)CA或RA的根密鑰離線保存,根密鑰的工作密鑰的子密鑰分散保存在區塊鏈各個驗證節點。在不需要工作密鑰的情況下應用多重簽名進行交叉驗證,需要工作密鑰的情況下,由所有節點中至少K個節點共同恢復工作密鑰。(2)證書撤銷由各個RA節點受理,批準后將記錄提交到區塊鏈。區塊鏈節點收到撤銷記錄后,迅速傳播至全網節點,可以做到準實時生效。全網節點都有一份一樣的唯一撤銷列表。(3)RA節點簽發證書時,發起多重簽名的交易廣播到區塊鏈,區塊鏈其他節點收到多重簽名要求,在投票認可后,交叉驗證即可生效。


基于區塊鏈的工控實驗數據監控管理


開展基于區塊鏈的工控實驗數據監控管理平臺研制建設,將著眼工控實驗開展過程中的核心關鍵問題——數據問題,利用區塊鏈去中心化、開放式、防篡改等優勢,為實驗數據的采集、共享、保護等方面提供新的解決途徑,是工控系統建設的重要組成部分。

聚焦工控實驗數據全面采集難、按需共享難、安全防護難等問題,研究基于區塊鏈的工控實驗數據全維全時采集、按需分域共享、防篡改保護等技術,構建工控實驗數據監控區塊鏈,并基于該鏈建設工控實驗數據監控管理平臺,有效解決工控實驗數據的采集、共享、保護等方面難題,為工控系統的安全、有效運行提供有力支撐。

(1)基于區塊鏈的工控實驗數據全維全時采集。工業控制網絡設備由各類型軟硬件系統、設備通過多元異構、柔性重組構建而成,系統設備種類繁多、接口各異、運行交互復雜,通過在各類系統設備接口上添加適配層,實時采集系統設備接口數據,并歸一處理后上傳至工控的實驗數據監控區塊鏈,實現各類軟硬件系統設備多源異構運行實驗數據的全維全時采集。(2)基于區塊鏈的工控實驗數據按需分域共享。一方面,在同一工控系統內,各類導調控制、模擬計算、指標評估系統可直接實時從實驗數據監控區塊鏈獲取各類系統平臺的運行數據,可極大提高系統計算、運行效率。另一方面,多個專業工控系統需要協同配合時,不同工控系統的私有鏈可組織成聯盟鏈,并結合基于多密鑰的權限管理、數據保護技術,可實現多個工控實驗數據的按需分域共享。(3)基于區塊鏈的工控實驗數據防篡改保護。利用區塊鏈技術防篡改技術特性,對工控實驗數據監控區塊鏈數據進行檔案保護,防止實驗數據遭偽造或篡改,保護實驗數據安全,保障工控實驗真實可信。


基于區塊鏈的工控關鍵設施保護


當前,關鍵信息基礎設施的工業控制系統面臨嚴峻的信息安全威脅,深入開展基于區塊鏈技術的信息安全保護技術研究,具有重要的戰略意義、現實意義和科研價值。充分發揮區塊鏈的高可信、抗抵賴、可追溯等技術優勢,研制建設工業控制系統信息安全保護平臺,為有效解決工業控制系統信息安全保護問題提供新的技術途徑,以期提高關鍵基礎設施安全性,有效保障工業控制系統正常運行。

(1)基于區塊鏈的工控高可信訪問控制。研究基于區塊鏈的用戶身份識別驗證、用戶行為監控追溯等技術,有效防止單點故障、證書偽造、違規訪問等安全問題;將用戶身份驗證與操作行為進行強關聯,實現用戶行為的實時監控和追蹤回溯,提高工控設施訪問控制的可信度和安全性。(2)基于區塊鏈的工控關鍵信息系統及網絡防護。研究基于區塊鏈的信息系統加固、服務去中心化、網絡安全配置保護等技術,對關鍵信息系統軟硬件平臺進行區塊鏈檔案保護,防范惡意篡改;對關鍵服務器去中心化部署或利用區塊鏈分布式賬本直接提供關鍵服務,防范單點故障隱患或遭受拒絕服務攻擊;對工控核心網絡拓撲、參數配置等信息進行區塊鏈檔案保護,防范遭受網絡滲透威脅。(3)基于區塊鏈的工控核心數據保護。研究基于區塊鏈的數據防篡改、免密鑰簽名、敏感信息透明傳輸等技術,提供一種安全可信的數據來源和完整性驗證技術,取代傳統的基于密鑰的數據驗證方式,降低傳統數據存儲管理過程中的遭偽造和篡改風險,保護工控設施核心、敏感數據安全。


基于區塊鏈的工控設備資產管理


工控系統是一個軟硬件設備極其眾多的系統,需要構建各類網絡環境,為技術和裝備的研究、試驗、訓練提供基礎支撐,傳感器、交換機、路由器、存儲陣列、服務器等資產的傳統管理方式通常為紙質或電子媒介作為存儲介質,這種傳統方式存在以下缺陷:一是安全保障難度較大,紙質或電子檔案通常是集中保存,需要配備較為完善的備份機制,數據易丟失。二是轉移交接困難,資產轉移時,需要將檔案一并交接,容易造成遺失或損毀。三是有效監督困難,為了防止篡改和刪除資產檔案,需要中心權威機構進行監管,難度較大。四是資產流轉溯源較困難,資產的歷史維修情況等信息收集困難,對資產的健康狀況評估較困難。

引入區塊鏈技術,讓設備管理部門和設備使用方甚至設備生產和維修廠家參與到設備狀態更新維護環節中,共同形成一份不可篡改的設備資產檔案,可以有效解決上述幾個問題。

基于區塊鏈的共識算法和交易加密,資產的檔案和流轉記錄不可更改,有效地支持了設備的全生命檔案管理,區塊鏈資產管理平臺的總體架構如圖3所示。

圖3 區塊鏈資產管理平臺架構圖區塊鏈資產管理平臺主要提供兩大功能:(1)資產全生命周期檔案管理。將資產從出廠到報廢過程中每一個流轉環節的信息都詳細記錄下來,形成一份不可更改的電子檔案。資產從出廠(設備生產商)、使用(資產使用者)、故障(維修人員)、調配和審計(工控管理部門)、預算(財務部門)到報廢,全生命過程形成一份完整的不可更改的電子檔案。如圖4所示。

圖4 資產全生命周期檔案管理流程示意圖

(2)資產所有權管理。將設備資產數字化,作為數字資產保存在區塊鏈中,伴隨著實際的每一次流轉,區塊鏈中的設備數字資產做相應的流轉。資產所有人在區塊鏈中分配公鑰和私鑰,自由資產所有人使用私鑰簽名才能將設備資產進行轉移,同時記錄檔案。主要的流轉過程如圖5所示。

圖5 資產所有權管理流程示意圖


基于國密算法的區塊鏈算力基礎設施


開展基于可靠技術的區塊鏈算力基礎設施研制建設,將為各類基于區塊鏈的工控應用提供基礎支撐,可有效保障區塊鏈的安全保密、可信可靠。

一是構建工控專用區塊鏈是開發基于區塊鏈工控應用的前提基礎。區塊鏈的安全可靠是上層應用穩定運行的基礎。根據不同的應用場景和需求,區塊鏈技術可分為公有鏈、聯盟鏈、私有鏈3種類型,各類區塊鏈中,私有鏈的可控性最高,安全性最有保障。為確保工控應用及數據的安全、保密、可控、可靠,基于私有鏈構建工控專用區塊鏈是必然選擇。

二是基于算力的工作量證明機制是確保區塊鏈安全可靠運行的重要關鍵。共識機制是區塊鏈機制得以可靠穩定運行的關鍵機制,目前有工作量證明、權益證明、委托授權的權益證明、實用拜占庭容錯算法等多種共識機制。其中,工作量證明機制依賴機器進行數學運算來獲取記賬權,是抗偽造、防篡改、容錯度較高的一種共識機制,可有效確保區塊鏈上工控應用的安全可靠。

三是密碼學運算是基于算力的工作量證明的核心,關乎共識機制的可靠穩定。聚焦區塊鏈工控應用的基礎關鍵——算力基礎設施建設問題,研究基于可靠技術的區塊鏈工作量證明機制方法,研制算力硬件裝備,部署算力池,構建工控專用區塊鏈算力池,最終建成工控專用區塊鏈,保障各類應用的安全可靠和效益充分發揮。


結 論

工業控制領域與區塊鏈有良好的應用結合點,雖然目前還無法準確量化區塊鏈技術對工業控制領域會產生多大的影響,但是隨著工業互聯網產業發展的提速,區塊鏈技術在工業控制領域的應用場景將更加明確,將被證明有助于解決工業控制領域長期存在的問題,也為工業互聯網產業的長遠發展奠定基礎。


(參考文獻請見紙刊)


作者簡介:

靳志偉(1984-),男,博士,主要研究方向:區塊鏈工控應用等。




免責聲明:本文系網絡轉載,版權歸原作者所有,如涉及版權,請聯系我們刪除,QQ:1138247081!

共有條評論 網友評論

驗證碼: 看不清楚?
    安徽福彩网