杜 蘭，陳琳琳，張 麗，戴麗麗，沈雅婷

(南京理工大學(xué)紫金學(xué)院 計(jì)算機(jī)學(xué)院，江蘇 南京 210023)

0 引言

李伯虎院士及其團(tuán)隊(duì)于2009年在國(guó)際上首先定義“云制造”的概念，并開(kāi)始云制造1.0的研究實(shí)踐[1-4]；2012年開(kāi)始 “智慧云制造”(云制造2.0)的研究與探索[5]，提出了按智慧云制造模式和手段構(gòu)建的智慧云制造系統(tǒng)(Smart Cloud Manufacturing System，SCMS)的概念。

現(xiàn)階段，越來(lái)越多的學(xué)者開(kāi)展智慧云制造相關(guān)研究。肖瑩瑩[6]等綜述了對(duì)求解復(fù)雜計(jì)劃調(diào)度問(wèn)題的計(jì)算智能技術(shù)的研究現(xiàn)狀。周佳軍[7]等闡述了制造物聯(lián)、信息物理融合生產(chǎn)系統(tǒng)、泛在制造、云制造、社會(huì)化企業(yè)、主動(dòng)制造和智慧制造等幾種典型新興智能制造模式的產(chǎn)生背景、基本概念和支撐技術(shù)和初步應(yīng)用等。

區(qū)塊鏈?zhǔn)鞘褂眉用芩惴?、時(shí)間戳、樹(shù)形結(jié)構(gòu)和共識(shí)機(jī)制來(lái)實(shí)現(xiàn)的分布式賬本，具有去中心化、開(kāi)發(fā)共識(shí)、去信任、匿名性、可追溯性、不可篡改性、集體維護(hù)性以及公開(kāi)透明性，在數(shù)據(jù)的收集、流轉(zhuǎn)、存儲(chǔ)和共享全過(guò)程中可以保證信息的機(jī)密性、完整性、可追溯性和匿名性。把區(qū)塊鏈技術(shù)與SCMS安全架構(gòu)相融合，系統(tǒng)的安全性、可靠性和健壯性會(huì)得到極大提升。

1 SCMS的體系結(jié)構(gòu)及其安全風(fēng)險(xiǎn)矩陣

1.1 SCMS的體系結(jié)構(gòu)

現(xiàn)階段大多數(shù)智慧云制造體系結(jié)構(gòu)的研究都是層次化體系架構(gòu)，只是在分層依據(jù)上有所區(qū)別。2014年姚錫凡等提出的智慧制造的11層體系架構(gòu)[8]。2016年李伯虎等提出智慧云制造系統(tǒng)的7層體系結(jié)構(gòu)[5]。綜合前二者特點(diǎn)，總結(jié)出一種8層結(jié)構(gòu)，如圖1所示。

圖1 智慧云制造系統(tǒng)體系結(jié)構(gòu)

圖2 智慧云制造系統(tǒng)風(fēng)險(xiǎn)矩陣

1.2 SCMS的安全風(fēng)險(xiǎn)矩陣

針對(duì)SCMS各層所面臨的安全風(fēng)險(xiǎn)矩陣如圖2所示。

傳統(tǒng)SCMS安全體系存在如下問(wèn)題：

(1)系統(tǒng)多采用中心化設(shè)計(jì)，其安全性完全依賴于中心數(shù)據(jù)庫(kù)和服務(wù)器，“單點(diǎn)故障”問(wèn)題將會(huì)影響云制造系統(tǒng)中所有用戶。

(2)系統(tǒng)身份認(rèn)證多基于公鑰基礎(chǔ)設(shè)施( Public Key Infrastructure，PKI)[10]體系。PKI系統(tǒng)大都依靠集中式的第三方可信的認(rèn)證中心(CA)來(lái)發(fā)放、更新、撤銷(xiāo)和驗(yàn)證證書(shū)。當(dāng)前設(shè)計(jì)存在三個(gè)問(wèn)題：一是CA入侵目標(biāo)明顯，易發(fā)生單點(diǎn)故障；二是非法用戶攻擊加密通信來(lái)冒充身份；三是云計(jì)算環(huán)境下跨域身份認(rèn)證和角色訪問(wèn)控制等需求，當(dāng)前PKI技術(shù)還不能很好滿足[11-14]。

(3)消息認(rèn)證面臨重放攻擊和密鑰推測(cè)攻擊等多重威脅，網(wǎng)絡(luò)通信時(shí)的數(shù)據(jù)安全性和完整性難以保障。

(4)缺少嚴(yán)格的訪問(wèn)控制，用戶有意或無(wú)意的“越獄”行為常有發(fā)生。

(5)數(shù)據(jù)泄密，云制造平臺(tái)上的非授權(quán)用戶獲取和篡改信息難度低，易非法濫用或挪用資源分配權(quán)和使用權(quán)。

(6)缺乏對(duì)從來(lái)源到終點(diǎn)的數(shù)據(jù)流轉(zhuǎn)全過(guò)程的追蹤與管控、安全審計(jì)和預(yù)警。

綜上，SCMS安全需求總結(jié)如表1所示。

表1 SCMS安全需求總結(jié)

2 區(qū)塊鏈應(yīng)用于SCMS的可行性分析

2.1 區(qū)塊鏈原理

區(qū)塊鏈?zhǔn)欠植际酱鎯?chǔ)、P2P網(wǎng)絡(luò)、加密算法、哈希算法、時(shí)間戳、Merkle樹(shù)形結(jié)構(gòu)和共識(shí)機(jī)制等計(jì)算機(jī)技術(shù)實(shí)現(xiàn)的分布式賬本。區(qū)塊鏈包括6層基礎(chǔ)框架，分別是數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層和應(yīng)用層，如圖3所示。

圖3 區(qū)塊鏈基礎(chǔ)框架

2.2 區(qū)塊鏈應(yīng)用于SCMS安全架構(gòu)的可行性

結(jié)合SCMS安全需求，區(qū)塊鏈應(yīng)用于SCMS安全架構(gòu)的可行性如表2所示。

3 基于區(qū)塊鏈的SCMS安全架構(gòu)(BCSCMS架構(gòu))

3.1 BCSCMS架構(gòu)

針對(duì)圖2所示SCMS各層所面臨的安全風(fēng)險(xiǎn)及漏洞，可采用如下基于區(qū)塊鏈的智慧云制造系統(tǒng)安全架構(gòu)(BCSCMS)，如圖4所示。

3.2 基于區(qū)塊鏈的身份認(rèn)證策略

基于區(qū)塊鏈的身份認(rèn)證策略是將區(qū)塊鏈技術(shù)與PKI相結(jié)合，通過(guò)分布式總賬來(lái)記錄數(shù)字證書(shū)和公鑰，以區(qū)塊鏈交易的方式來(lái)實(shí)現(xiàn)證書(shū)的注冊(cè)、更新和撤銷(xiāo)，如圖5所示。使用區(qū)塊鏈各種屬性來(lái)保障PKI 的正常運(yùn)行，例如利用區(qū)塊鏈分布式和去中心化，可避免CA單點(diǎn)故障，也省去了與認(rèn)證中心的建立信道的過(guò)程；利用區(qū)塊鏈決傳統(tǒng)PKI系統(tǒng)所面臨的證書(shū)透明度及CA單點(diǎn)故障的問(wèn)題：利用區(qū)塊鏈的可追溯性實(shí)現(xiàn)用戶身份產(chǎn)生、認(rèn)證、使用以及注銷(xiāo)的全生命周期管理。

表2 區(qū)塊鏈應(yīng)用于SCMS安全架構(gòu)的可行性

圖4 基于區(qū)塊鏈的智慧云制造系統(tǒng)架構(gòu)

圖5 基于區(qū)塊鏈的PKI

3.3 基于區(qū)塊鏈的消息認(rèn)證策略

基于區(qū)塊鏈的消息認(rèn)證策略是利用區(qū)塊鏈的數(shù)字簽名機(jī)制，它涉及公鑰、私鑰和加密技術(shù)等，它有兩個(gè)作用：一是認(rèn)證數(shù)據(jù)起源，驗(yàn)證發(fā)送者是不是真正的用戶而不是被冒充的；二是驗(yàn)證信息在傳輸過(guò)程中是否被篡改、重放或延遲等。

3.4 基于區(qū)塊鏈的訪問(wèn)控制策略

基于區(qū)塊鏈構(gòu)建訪問(wèn)控制系統(tǒng)，是將區(qū)塊鏈中地址、交易、區(qū)塊、賬戶、挖礦、驗(yàn)證、合約等相關(guān)概念與傳統(tǒng)訪問(wèn)控制中的用戶、角色、權(quán)限、屬性、環(huán)境、資源等結(jié)合，作為基于屬性的訪問(wèn)控制(ABAC模型)系統(tǒng)的基礎(chǔ)框架，以區(qū)塊鏈交易的形式來(lái)創(chuàng)建、管理、執(zhí)行訪問(wèn)控制策略/權(quán)限，利用智能合約以自動(dòng)可執(zhí)行格式編碼訪問(wèn)控制規(guī)則，進(jìn)行自動(dòng)化的權(quán)限管理，杜絕非法用戶入侵，只允許合法用戶按其訪問(wèn)控制策略訪問(wèn)系統(tǒng)資源，防止欺詐式拒絕承認(rèn)已被策略授予的權(quán)限[15]。

區(qū)塊鏈記錄了訪問(wèn)控制策略和權(quán)限從創(chuàng)建到轉(zhuǎn)移的全生命周期，在此基礎(chǔ)上可設(shè)計(jì)分布式、可追溯和不可篡改的安全日志審計(jì)模塊。

3.5 基于區(qū)塊鏈的數(shù)據(jù)保護(hù)策略

基于區(qū)塊鏈構(gòu)建數(shù)據(jù)庫(kù)系統(tǒng)，不會(huì)因誤操作而導(dǎo)致數(shù)據(jù)丟失，也不會(huì)因?yàn)橹行墓?jié)點(diǎn)實(shí)效而導(dǎo)致整個(gè)系統(tǒng)癱瘓，也不會(huì)因?yàn)椴僮鳈?quán)限問(wèn)題導(dǎo)致數(shù)據(jù)被竊取甚至被篡改?；趨^(qū)塊鏈的數(shù)據(jù)庫(kù)系統(tǒng)使用多種加密算法(如哈希算法和非對(duì)稱加密算法)來(lái)保證數(shù)據(jù)的機(jī)密性。數(shù)據(jù)庫(kù)不依賴于任何可信實(shí)體就可完成統(tǒng)一維護(hù)更新，任何單一實(shí)體不能修改數(shù)據(jù)，保證了數(shù)據(jù)的完整性和安全性?；趨^(qū)塊鏈構(gòu)建數(shù)據(jù)庫(kù)系統(tǒng)是一種分布式系統(tǒng)，考慮到區(qū)塊容量有限，難以存儲(chǔ)大規(guī)模的數(shù)據(jù)，只用區(qū)塊鏈管理數(shù)據(jù)索引和操作權(quán)限，用專(zhuān)用的數(shù)據(jù)服務(wù)器集中存儲(chǔ)真實(shí)數(shù)據(jù)。

3.6 基于區(qū)塊鏈的安全審計(jì)與預(yù)警策略

基于區(qū)塊鏈的安全審計(jì)和預(yù)警策略是把數(shù)據(jù)跟蹤策略添加到可編程的智能合約，自動(dòng)追蹤數(shù)據(jù)來(lái)源和數(shù)據(jù)處理過(guò)程。在獲取了從來(lái)源到使用的全生命周期數(shù)據(jù)以后，實(shí)時(shí)分析日志信息生成安全審計(jì)報(bào)告，可以發(fā)現(xiàn)攻擊者對(duì)系統(tǒng)的攻擊行為，使用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化技術(shù)，評(píng)估分析安全威脅態(tài)勢(shì)，及時(shí)預(yù)警，主動(dòng)挖掘修補(bǔ)漏洞。

4 BCSCMS架構(gòu)的安全性分析

4.1 BCSCMS架構(gòu)的保密性分析

保密性是指對(duì)信息或資源的隱藏。BCSCMS有如下三個(gè)方面的安全機(jī)制來(lái)防止信息被竊取、盜用或篡改：

(1)在區(qū)塊鏈中節(jié)點(diǎn)之間的數(shù)據(jù)采用加密算法(如Hash256算法)加密后通過(guò)非對(duì)稱密鑰對(duì)的方式進(jìn)行傳輸，防止信息被竊取。

(2)數(shù)字簽名技術(shù)使用非對(duì)稱加密技術(shù)和數(shù)字摘要技術(shù)保證信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份的確定性等，防止信息被盜用。

(3)共識(shí)機(jī)制保證寫(xiě)入?yún)^(qū)塊鏈的數(shù)據(jù)已被全部節(jié)點(diǎn)驗(yàn)證通過(guò)并永久保存，非法節(jié)點(diǎn)無(wú)法通過(guò)攻破所有節(jié)點(diǎn)篡改數(shù)據(jù)，防止信息被篡改。

4.2 BCSCMS架構(gòu)的完整性分析

完整性是指數(shù)據(jù)或資源的可信度。BCSCMS有如下三個(gè)方面的安全機(jī)制保障存儲(chǔ)或傳輸過(guò)程中信息不被未經(jīng)授權(quán)的篡改和信息丟失；

(1)BCSCMS所有節(jié)點(diǎn)都參與記錄數(shù)據(jù)區(qū)塊，數(shù)據(jù)區(qū)塊加入時(shí)所有節(jié)點(diǎn)都會(huì)對(duì)其驗(yàn)證，驗(yàn)證通過(guò)才允許加入到區(qū)塊鏈中，保證了數(shù)據(jù)的真實(shí)性。

(2)區(qū)塊鏈?zhǔn)前磿r(shí)間順序?qū)?shù)據(jù)區(qū)塊形成首尾相連的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，時(shí)間戳技術(shù)和共識(shí)機(jī)制等保證了數(shù)據(jù)信息一旦被寫(xiě)入BCSMS后就不可篡改。

(3)BCSCMS利用分布式節(jié)點(diǎn)共同驗(yàn)證，不可能被非法節(jié)點(diǎn)偽裝被授權(quán)節(jié)點(diǎn)進(jìn)行欺騙性攻擊，可防止未經(jīng)授權(quán)的篡改。

4.3 BCSCMS架構(gòu)的可追溯性分析

可追溯性是指信息根據(jù)時(shí)間歷史追蹤。BCSCMS架構(gòu)下區(qū)塊鏈把數(shù)據(jù)分成不同的區(qū)塊，每個(gè)區(qū)塊由區(qū)塊頭和區(qū)塊體兩部分組成，其中區(qū)塊頭封裝著區(qū)塊頭值、上一區(qū)塊的哈希值、時(shí)間戳、隨機(jī)數(shù)等信息。區(qū)塊的前后順序通過(guò)記賬者加蓋時(shí)間戳來(lái)形成具有時(shí)間先后順序的鏈?zhǔn)浇Y(jié)構(gòu)，保證了數(shù)據(jù)的可追溯性，實(shí)現(xiàn)了數(shù)據(jù)來(lái)源和流轉(zhuǎn)過(guò)程的全周期透明化。當(dāng)系統(tǒng)運(yùn)行出現(xiàn)問(wèn)題時(shí)，對(duì)BCSCMS中的歷史錯(cuò)誤信息進(jìn)行時(shí)間溯源就可查找問(wèn)題原因。此外，可追溯的全生命周期數(shù)據(jù)可以作為安全審計(jì)監(jiān)管的追責(zé)依據(jù)，對(duì)不良數(shù)據(jù)和不良用戶行為雙重審計(jì)。

4.4 BCSCMS架構(gòu)的匿名性分析

匿名性是指不需公開(kāi)身份。BCSCMS的運(yùn)行規(guī)則和數(shù)據(jù)信息是公開(kāi)透明的，節(jié)點(diǎn)之間的數(shù)據(jù)交換遵循固定的算法，節(jié)點(diǎn)之間無(wú)需公開(kāi)身份讓對(duì)方對(duì)自己產(chǎn)生信任，可以基于地址而非個(gè)人身份進(jìn)行數(shù)據(jù)交換，保證了匿名性和用戶隱私。

5 結(jié)論

智慧云制造作為一種新信息通信技術(shù)與制造業(yè)深度融合的新模式，現(xiàn)有研究中對(duì)于系統(tǒng)安全風(fēng)險(xiǎn)鮮少研究，對(duì)于安全的擔(dān)憂將會(huì)成為SCMS發(fā)展的瓶頸。本文首先分析了SCMS的體系架構(gòu)及其所涉及的安全風(fēng)險(xiǎn)，針對(duì)傳統(tǒng)SCMS安全體系存在問(wèn)題提取了主要需求，初步設(shè)計(jì)了基于區(qū)塊鏈的智慧云制造系統(tǒng)安全架構(gòu)方案，并重點(diǎn)將區(qū)塊鏈與身份認(rèn)證、消息認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保護(hù)和安全審計(jì)與預(yù)警等方面安全技術(shù)相融合，最后從保密性、完整性、可追溯性和匿名性4個(gè)維度對(duì)BCSCMS的安全性進(jìn)行了分析。希望本研究能為防范SCMS的信息安全問(wèn)題提供一種新思路。