杜 蘭，陳琳琳，張 麗，戴麗麗，沈雅婷

(南京理工大學紫金學院 計算機學院，江蘇 南京 210023)

0 引言

李伯虎院士及其團隊于2009年在國際上首先定義“云制造”的概念，并開始云制造1.0的研究實踐[1-4]；2012年開始 “智慧云制造”(云制造2.0)的研究與探索[5]，提出了按智慧云制造模式和手段構建的智慧云制造系統(tǒng)(Smart Cloud Manufacturing System，SCMS)的概念。

現(xiàn)階段，越來越多的學者開展智慧云制造相關研究。肖瑩瑩[6]等綜述了對求解復雜計劃調(diào)度問題的計算智能技術的研究現(xiàn)狀。周佳軍[7]等闡述了制造物聯(lián)、信息物理融合生產(chǎn)系統(tǒng)、泛在制造、云制造、社會化企業(yè)、主動制造和智慧制造等幾種典型新興智能制造模式的產(chǎn)生背景、基本概念和支撐技術和初步應用等。

區(qū)塊鏈是使用加密算法、時間戳、樹形結(jié)構和共識機制來實現(xiàn)的分布式賬本，具有去中心化、開發(fā)共識、去信任、匿名性、可追溯性、不可篡改性、集體維護性以及公開透明性，在數(shù)據(jù)的收集、流轉(zhuǎn)、存儲和共享全過程中可以保證信息的機密性、完整性、可追溯性和匿名性。把區(qū)塊鏈技術與SCMS安全架構相融合，系統(tǒng)的安全性、可靠性和健壯性會得到極大提升。

1 SCMS的體系結(jié)構及其安全風險矩陣

1.1 SCMS的體系結(jié)構

現(xiàn)階段大多數(shù)智慧云制造體系結(jié)構的研究都是層次化體系架構，只是在分層依據(jù)上有所區(qū)別。2014年姚錫凡等提出的智慧制造的11層體系架構[8]。2016年李伯虎等提出智慧云制造系統(tǒng)的7層體系結(jié)構[5]。綜合前二者特點，總結(jié)出一種8層結(jié)構，如圖1所示。

圖1 智慧云制造系統(tǒng)體系結(jié)構

圖2 智慧云制造系統(tǒng)風險矩陣

1.2 SCMS的安全風險矩陣

針對SCMS各層所面臨的安全風險矩陣如圖2所示。

傳統(tǒng)SCMS安全體系存在如下問題：

(1)系統(tǒng)多采用中心化設計，其安全性完全依賴于中心數(shù)據(jù)庫和服務器，“單點故障”問題將會影響云制造系統(tǒng)中所有用戶。

(2)系統(tǒng)身份認證多基于公鑰基礎設施( Public Key Infrastructure，PKI)[10]體系。PKI系統(tǒng)大都依靠集中式的第三方可信的認證中心(CA)來發(fā)放、更新、撤銷和驗證證書。當前設計存在三個問題：一是CA入侵目標明顯，易發(fā)生單點故障；二是非法用戶攻擊加密通信來冒充身份；三是云計算環(huán)境下跨域身份認證和角色訪問控制等需求，當前PKI技術還不能很好滿足[11-14]。

(3)消息認證面臨重放攻擊和密鑰推測攻擊等多重威脅，網(wǎng)絡通信時的數(shù)據(jù)安全性和完整性難以保障。

(4)缺少嚴格的訪問控制，用戶有意或無意的“越獄”行為常有發(fā)生。

(5)數(shù)據(jù)泄密，云制造平臺上的非授權用戶獲取和篡改信息難度低，易非法濫用或挪用資源分配權和使用權。

(6)缺乏對從來源到終點的數(shù)據(jù)流轉(zhuǎn)全過程的追蹤與管控、安全審計和預警。

綜上，SCMS安全需求總結(jié)如表1所示。

表1 SCMS安全需求總結(jié)

2 區(qū)塊鏈應用于SCMS的可行性分析

2.1 區(qū)塊鏈原理

區(qū)塊鏈是分布式存儲、P2P網(wǎng)絡、加密算法、哈希算法、時間戳、Merkle樹形結(jié)構和共識機制等計算機技術實現(xiàn)的分布式賬本。區(qū)塊鏈包括6層基礎框架，分別是數(shù)據(jù)層、網(wǎng)絡層、共識層、激勵層、合約層和應用層，如圖3所示。

圖3 區(qū)塊鏈基礎框架

2.2 區(qū)塊鏈應用于SCMS安全架構的可行性

結(jié)合SCMS安全需求，區(qū)塊鏈應用于SCMS安全架構的可行性如表2所示。

3 基于區(qū)塊鏈的SCMS安全架構(BCSCMS架構)

3.1 BCSCMS架構

針對圖2所示SCMS各層所面臨的安全風險及漏洞，可采用如下基于區(qū)塊鏈的智慧云制造系統(tǒng)安全架構(BCSCMS)，如圖4所示。

3.2 基于區(qū)塊鏈的身份認證策略

基于區(qū)塊鏈的身份認證策略是將區(qū)塊鏈技術與PKI相結(jié)合，通過分布式總賬來記錄數(shù)字證書和公鑰，以區(qū)塊鏈交易的方式來實現(xiàn)證書的注冊、更新和撤銷，如圖5所示。使用區(qū)塊鏈各種屬性來保障PKI 的正常運行，例如利用區(qū)塊鏈分布式和去中心化，可避免CA單點故障，也省去了與認證中心的建立信道的過程；利用區(qū)塊鏈決傳統(tǒng)PKI系統(tǒng)所面臨的證書透明度及CA單點故障的問題：利用區(qū)塊鏈的可追溯性實現(xiàn)用戶身份產(chǎn)生、認證、使用以及注銷的全生命周期管理。

表2 區(qū)塊鏈應用于SCMS安全架構的可行性

圖4 基于區(qū)塊鏈的智慧云制造系統(tǒng)架構

圖5 基于區(qū)塊鏈的PKI

3.3 基于區(qū)塊鏈的消息認證策略

基于區(qū)塊鏈的消息認證策略是利用區(qū)塊鏈的數(shù)字簽名機制，它涉及公鑰、私鑰和加密技術等，它有兩個作用：一是認證數(shù)據(jù)起源，驗證發(fā)送者是不是真正的用戶而不是被冒充的；二是驗證信息在傳輸過程中是否被篡改、重放或延遲等。

3.4 基于區(qū)塊鏈的訪問控制策略

基于區(qū)塊鏈構建訪問控制系統(tǒng)，是將區(qū)塊鏈中地址、交易、區(qū)塊、賬戶、挖礦、驗證、合約等相關概念與傳統(tǒng)訪問控制中的用戶、角色、權限、屬性、環(huán)境、資源等結(jié)合，作為基于屬性的訪問控制(ABAC模型)系統(tǒng)的基礎框架，以區(qū)塊鏈交易的形式來創(chuàng)建、管理、執(zhí)行訪問控制策略/權限，利用智能合約以自動可執(zhí)行格式編碼訪問控制規(guī)則，進行自動化的權限管理，杜絕非法用戶入侵，只允許合法用戶按其訪問控制策略訪問系統(tǒng)資源，防止欺詐式拒絕承認已被策略授予的權限[15]。

區(qū)塊鏈記錄了訪問控制策略和權限從創(chuàng)建到轉(zhuǎn)移的全生命周期，在此基礎上可設計分布式、可追溯和不可篡改的安全日志審計模塊。

3.5 基于區(qū)塊鏈的數(shù)據(jù)保護策略

基于區(qū)塊鏈構建數(shù)據(jù)庫系統(tǒng)，不會因誤操作而導致數(shù)據(jù)丟失，也不會因為中心節(jié)點實效而導致整個系統(tǒng)癱瘓，也不會因為操作權限問題導致數(shù)據(jù)被竊取甚至被篡改?；趨^(qū)塊鏈的數(shù)據(jù)庫系統(tǒng)使用多種加密算法(如哈希算法和非對稱加密算法)來保證數(shù)據(jù)的機密性。數(shù)據(jù)庫不依賴于任何可信實體就可完成統(tǒng)一維護更新，任何單一實體不能修改數(shù)據(jù)，保證了數(shù)據(jù)的完整性和安全性?；趨^(qū)塊鏈構建數(shù)據(jù)庫系統(tǒng)是一種分布式系統(tǒng)，考慮到區(qū)塊容量有限，難以存儲大規(guī)模的數(shù)據(jù)，只用區(qū)塊鏈管理數(shù)據(jù)索引和操作權限，用專用的數(shù)據(jù)服務器集中存儲真實數(shù)據(jù)。

3.6 基于區(qū)塊鏈的安全審計與預警策略

基于區(qū)塊鏈的安全審計和預警策略是把數(shù)據(jù)跟蹤策略添加到可編程的智能合約，自動追蹤數(shù)據(jù)來源和數(shù)據(jù)處理過程。在獲取了從來源到使用的全生命周期數(shù)據(jù)以后，實時分析日志信息生成安全審計報告，可以發(fā)現(xiàn)攻擊者對系統(tǒng)的攻擊行為，使用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化技術，評估分析安全威脅態(tài)勢，及時預警，主動挖掘修補漏洞。

4 BCSCMS架構的安全性分析

4.1 BCSCMS架構的保密性分析

保密性是指對信息或資源的隱藏。BCSCMS有如下三個方面的安全機制來防止信息被竊取、盜用或篡改：

(1)在區(qū)塊鏈中節(jié)點之間的數(shù)據(jù)采用加密算法(如Hash256算法)加密后通過非對稱密鑰對的方式進行傳輸，防止信息被竊取。

(2)數(shù)字簽名技術使用非對稱加密技術和數(shù)字摘要技術保證信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性、交易者身份的確定性等，防止信息被盜用。

(3)共識機制保證寫入?yún)^(qū)塊鏈的數(shù)據(jù)已被全部節(jié)點驗證通過并永久保存，非法節(jié)點無法通過攻破所有節(jié)點篡改數(shù)據(jù)，防止信息被篡改。

4.2 BCSCMS架構的完整性分析

完整性是指數(shù)據(jù)或資源的可信度。BCSCMS有如下三個方面的安全機制保障存儲或傳輸過程中信息不被未經(jīng)授權的篡改和信息丟失；

(1)BCSCMS所有節(jié)點都參與記錄數(shù)據(jù)區(qū)塊，數(shù)據(jù)區(qū)塊加入時所有節(jié)點都會對其驗證，驗證通過才允許加入到區(qū)塊鏈中，保證了數(shù)據(jù)的真實性。

(2)區(qū)塊鏈是按時間順序?qū)?shù)據(jù)區(qū)塊形成首尾相連的鏈式數(shù)據(jù)結(jié)構，時間戳技術和共識機制等保證了數(shù)據(jù)信息一旦被寫入BCSMS后就不可篡改。

(3)BCSCMS利用分布式節(jié)點共同驗證，不可能被非法節(jié)點偽裝被授權節(jié)點進行欺騙性攻擊，可防止未經(jīng)授權的篡改。

4.3 BCSCMS架構的可追溯性分析

可追溯性是指信息根據(jù)時間歷史追蹤。BCSCMS架構下區(qū)塊鏈把數(shù)據(jù)分成不同的區(qū)塊，每個區(qū)塊由區(qū)塊頭和區(qū)塊體兩部分組成，其中區(qū)塊頭封裝著區(qū)塊頭值、上一區(qū)塊的哈希值、時間戳、隨機數(shù)等信息。區(qū)塊的前后順序通過記賬者加蓋時間戳來形成具有時間先后順序的鏈式結(jié)構，保證了數(shù)據(jù)的可追溯性，實現(xiàn)了數(shù)據(jù)來源和流轉(zhuǎn)過程的全周期透明化。當系統(tǒng)運行出現(xiàn)問題時，對BCSCMS中的歷史錯誤信息進行時間溯源就可查找問題原因。此外，可追溯的全生命周期數(shù)據(jù)可以作為安全審計監(jiān)管的追責依據(jù)，對不良數(shù)據(jù)和不良用戶行為雙重審計。

4.4 BCSCMS架構的匿名性分析

匿名性是指不需公開身份。BCSCMS的運行規(guī)則和數(shù)據(jù)信息是公開透明的，節(jié)點之間的數(shù)據(jù)交換遵循固定的算法，節(jié)點之間無需公開身份讓對方對自己產(chǎn)生信任，可以基于地址而非個人身份進行數(shù)據(jù)交換，保證了匿名性和用戶隱私。

5 結(jié)論

智慧云制造作為一種新信息通信技術與制造業(yè)深度融合的新模式，現(xiàn)有研究中對于系統(tǒng)安全風險鮮少研究，對于安全的擔憂將會成為SCMS發(fā)展的瓶頸。本文首先分析了SCMS的體系架構及其所涉及的安全風險，針對傳統(tǒng)SCMS安全體系存在問題提取了主要需求，初步設計了基于區(qū)塊鏈的智慧云制造系統(tǒng)安全架構方案，并重點將區(qū)塊鏈與身份認證、消息認證、訪問控制、數(shù)據(jù)保護和安全審計與預警等方面安全技術相融合，最后從保密性、完整性、可追溯性和匿名性4個維度對BCSCMS的安全性進行了分析。希望本研究能為防范SCMS的信息安全問題提供一種新思路。