趙丹丹 闞哲 高一飛 韓建民 彭浩

摘? ?要：信息物理融合系統(tǒng)（Cyber-Physics Fusion System，CPS）架構逐漸成為工業(yè)互聯網建構的重要途徑，對未來的智聯網建設也具有重要的研究價值。由于在區(qū)塊鏈環(huán)境下，CPS呈現高度分布式、異構耦合等特點，如何對耦合CPS面臨的級聯失效等風險進行有效地評估變得至關重要。文章首先對耦合CPS進行了建模，并給出了該系統(tǒng)模式下級聯失效過程的理論分析;在此基礎上，基于仿真實驗對比分析，給出影響耦合CPS風險的主要因素及分析;最后，文章探討了區(qū)塊鏈環(huán)境下CPS的風險挑戰(zhàn)和下一步研究工作的延伸方向。

關鍵詞：信息物理融合系統(tǒng);級聯失效過程;風險評估;區(qū)塊鏈

Abstract： The CPS system architecture has gradually become an essential way for the construction of the Industrial Internet and has important research value for future intelligent networking construction. Due to the highly distributed and heterogeneous coupling characteristics of the CPS system under the blockchain en-vironment， how to effectively evaluate the risks such as cascading failures of coupled CPS becomes critical. This paper first models the coupled CPS system and gives a theoretical analysis of the cascading failure process under this system mode. Based on this， based on the comparative analysis of simulation experiments， the primary factors and analysis of the risks affecting the coupled CPS system are given; finally， this article explores the risks and challenges of the CPS system in the blockchain environment and the direction of future research work.

Key words： cyber-physics fusion system; cascading failures process; risk assessment; blockchain

1 引言

信息物理融合系統(tǒng)（Cyber-Physical Fusion Systems，CPS）[1，2]是工業(yè)互聯網的核心架構，它是一個綜合計算、網絡和物理環(huán)境的多維復雜系統(tǒng)，實現了大型工程系統(tǒng)的實時感知、動態(tài)控制和信息服務。隨著CPS的廣泛普及與縱深發(fā)展，基于區(qū)塊鏈技術的CPS[3，4]，越來越多的應用到工業(yè)互聯網應用中。與傳統(tǒng)的計算模式不同，基于區(qū)塊鏈技術的CPS具有一定的安全屬性和安全保障[5]。在區(qū)塊鏈環(huán)境下，CPS各個子系統(tǒng)之間要通過有線或無線的通信方式相互協(xié)調工作[7]，但是由于區(qū)塊鏈環(huán)境下CPS具有異構融合、高分布式等新特點[6，7]，因而具有潛在的級聯失效風險[8，9]?，F有的CPS風險分析，主要圍繞單個CPS的可靠性問題[10～12]進行研究，缺乏面向區(qū)塊鏈環(huán)境的異構耦合CPS的安全性分析。本文通過對現有的區(qū)塊鏈環(huán)境下的耦合CPS進行建模分析，探討了區(qū)塊鏈環(huán)境下CPS的級聯失效機理，并基于仿真實驗分析了CPS失效風險的主要影響因素。

2 系統(tǒng)建模與分析

本節(jié)首先對CPS進行建模，通過對組成CPS的多個子網絡間的關聯分析，將CPS抽象成兩個子網絡組成的耦合系統(tǒng);然后，對耦合系統(tǒng)中節(jié)點連接的特性進行分析，將連接節(jié)點的邊分成兩種，即網絡內的連接和網絡間的連接（簡稱網內連接和網間連接）;最后，對攻擊的模式進行建模。

2.1? 網絡模型

通過分析區(qū)塊鏈環(huán)境下CPS的特性，該系統(tǒng)由通信子網絡和物理子網絡兩部分組成，且通信子網絡的節(jié)點規(guī)模比物理子網絡中節(jié)點的規(guī)模大得多。不失一般性，本文網絡模型是由兩個節(jié)點規(guī)模不同的子網絡組成，為定性對CPS進行研究與分析，本文假設兩個子網絡節(jié)點的連接均為等比連接。

2.2 基本概念

當通信子網絡遭受攻擊后，需滿足兩個條件，系統(tǒng)中的節(jié)點才能具備正常通信功能[9]：

（1）一個子網絡中的節(jié)點，至少與對應的另外一個子網絡中相依賴的節(jié)點保持有效連接;

（2）任一子網絡中的節(jié)點，必須保持在網絡內部的最大連通組件中。

可以看出，在耦合網絡滲流理論框架中，級聯故障是一個很重要的網絡特性：當耦合網絡中，任意一個子網絡中節(jié)點遭受攻擊失效后，由于兩個子網絡間的相互耦合關聯，一個子網絡中節(jié)點的故障會傳遞到另一個子網絡中相應節(jié)點從而會發(fā)生級聯故障。當兩個子網絡中都沒有節(jié)點失效或者兩個網絡完全崩潰，網絡就達到了穩(wěn)態(tài)，這種迭代失效過程，研究人員稱之為級聯故障。

3 理論分析

不失一般性，這里基于網絡的生成函數和網絡滲流理論[6，7]，對級聯故障的迭代過程，進行理論分析?；谏珊瘮道碚摚W絡A的生成函數可以表示為：

當隨機攻擊（1-p）比例A網絡中節(jié)點后，剩余節(jié)點度分布對應的生成函數也會發(fā)生相應的變化[6，7]。隨機攻擊這些節(jié)點，網絡A中剩余節(jié)點數量變，其中屬于最大連通組件的節(jié)點的比例是：

3.1 子網絡A中節(jié)點的隨機故障

根據上述理論分析級聯失效過程的每個步驟中節(jié)點數量的變化。假設隨機失效或隨機攻擊發(fā)生在網絡A中，在初始階段，假定（1-p）比例的節(jié)點受到隨機攻擊而發(fā)生失效，則網絡中剩余節(jié)點數量為：

3.2 子網絡B中相應節(jié)點的級聯故障

由于網絡B中部分節(jié)點，需要依賴網絡A中的相應節(jié)點，因而網絡A中節(jié)點的故障會引起網絡B中相應節(jié)點的級聯故障?；谇懊娴姆治龊图僭O，網絡B中的一個節(jié)點需要與網絡A中三個節(jié)點保持相互依賴的關系，因而網絡B中有依賴屬性的節(jié)點數量為：

3.3 子網絡A中節(jié)點的進一步故障

經過第一步的隨機失效，可以推知網絡B中的一個節(jié)點，可能與網絡A中的多個節(jié)點連接，也可能與零個節(jié)點連接。由于CPS中子網絡內部的連接和子網絡之間的連接沒有直接關系，因而研究人員需要計算網絡A中有依賴關系的節(jié)點數量為：

3.4 子網絡B中節(jié)點的再次失效

在3.3小節(jié)中子網絡A中節(jié)點的隨機故障，會導致子網絡B中節(jié)點的再次發(fā)生級聯故障。依據子網絡間相互依賴的連接關系，可以得到子網絡B中剩余節(jié)點具有相互依賴屬性的節(jié)點數量為：

4 實驗結果分析

本節(jié)主要內容，是求解前面分析得到的迭代方程，并且對求得的理論結果進行仿真實驗驗證。

4.1 迭代方程

在上小節(jié)的理論分析中，可以得出在CPS中兩個子網絡間的級聯故障過程，具有明顯的迭代屬性：子網絡間相互依賴的節(jié)點間不斷傳遞了故障失效。當級聯故障終止的時候，子網絡間不會再產生進一步的級聯故障效應。為方便分析級聯失效的迭代公式，其定義：

4.2 實驗驗證

為了進一步驗證區(qū)塊鏈環(huán)境下CPS的級聯故障過程的有效性，分析得出影響系統(tǒng)風險的臨界閾值，本文用幾組仿真實驗來驗證。在仿真實驗中，首先根據指定的最小度、節(jié)點數量和參數λ構建兩個無標度網絡建立兩個網絡之間的關系，即子網絡B中任一節(jié)點都與子網絡A中的相應的三個節(jié)點保持連接，從而兩個子網絡保持相互依賴的關系。其中，隨機攻擊過程，這里用節(jié)點的隨機刪除來表示，實驗仿真會有效模擬子網絡間級聯故障的過程。換言之，每一步級聯故障發(fā)生后，子網絡中剩余節(jié)點的數量都相應輸出，直到子網絡中沒有節(jié)點被刪除，CPS的級聯故障過程才會停止。在如圖1所示，輸出每一步級聯故障過程發(fā)生后，子網絡中功能節(jié)點的比例情況。

這里對比λ取不同的值的時候網絡中剩余的節(jié)點的數量與初始網絡的節(jié)點的數量的比值，如圖1所示。不失一般性，這里在臨界閾值附近取不同的p值，進一步對臨界閾值的正確性進行驗證，通過多次模擬CPS級聯故障過程的仿真實驗，子網絡中存在最大連通組件的概率如圖2所示。在圖2的仿真實驗中，取λ=2.8，子網絡的最小度為3，節(jié)點數量按照比例有效遞增。可以看到，隨著子網絡中節(jié)點數量的不斷變化，系統(tǒng)在臨界的閾值pc附近發(fā)生相變，這與耦合網絡理論中級聯失效的結論是對應的，充分說明了本文CPS級聯故障的理論分析正確有效的。根據圖3中曲線的變化規(guī)律，可以得出隨著節(jié)點數量越來越龐大，仿真曲線在級聯失效的臨界閾值附近會越來越陡，說明了隨著子網絡中節(jié)點的規(guī)模足夠大，CPS將在級聯故障的臨界閾值附近發(fā)生一階相變。換言之，當初始階段攻擊比例的p值小于臨界閾值pc，耦合CPS會發(fā)生崩潰現象;當初始p值大于級聯故障的臨界閾值pc，耦合CPS即使發(fā)生級聯故障，系統(tǒng)中子網絡內部也會存在最大連通組件。特別說明的是，當p與pc的值相同的時候，可能存在最大連通組件，也可能不存在，這是系統(tǒng)發(fā)生級聯故障的一個臨界狀態(tài)和分水嶺。

根據研究人員對區(qū)塊鏈環(huán)境下異構耦合CPS的研究與分析[5，6]，其冪率分布的參數λ一般處于2和3之間，對于不同的λ其臨界閾值也是不一樣的，臨界閾值和λ之間的變化關系如圖3所示。從圖3中可以看到隨著λ的不斷增大，網絡中的集聚程度越來愈大，pc的值不斷增大，臨界閾值的增大在一定程度上說明網絡的可靠性不斷增強的趨向。換言之，在區(qū)塊鏈環(huán)境下設計異構耦合的CPS架構時，可以通過提高網絡的無標度屬性，以保證系統(tǒng)面對隨機攻擊時具有一定的抗風險性，從而使得區(qū)塊鏈環(huán)境下耦合CPS具有一定的安全保障。

5 結束語

目前，區(qū)塊鏈環(huán)境下耦合CPS的風險評估研究還處在初始階段，尚缺乏安全、有效、徹底的解決方案，本文的研究工作只是一個初步探索。本文首先對區(qū)塊鏈環(huán)境下耦合異構CPS進行了建模，并對起級聯失效過程進行了風險分析，同時結合仿真過程，對隨機攻擊下影響系統(tǒng)風險的相關因素進行了對比分析，最后指明了下一步研究的方向。

基金項目：

1.國家自然科學基金項目（項目編號：61902359、61602418、61672468、61872323）;

2.教育部人文社科研究項目（項目編號：15YJCZH125）;

3.浙江省公益技術研究社會發(fā)展項目（項目編號：2016C33168）;

4.浙江省自然科學基金（項目編號：LQ16F020002）;

5.上海市信息安全綜合管理技術研究重點實驗室開放課題（項目編號：AGK2018001）。

參考文獻

[1] 周興社，楊亞磊，楊剛.信息物理融合系統(tǒng)動態(tài)行為模型構建方法[J].計算機學報， 2014， 37（6）：1411-1423.

[2] Jia D，Lu K，Wang J，et al.A Survey on Platoon-Based Vehicular Cyber-Physical Systems[J]. IEEE Communications Surveys & Tutorials， 2017，18（1）：263-284.

[3] 詹乃松，喬振亞.工業(yè)控制系統(tǒng)信息安全防護的研究[J].網絡空間安全，2015， 94（12）：70-74.

[4] Imbault F，Swiatek M，Beaufort R D，et al.The green blockchain： Managing decentralized energy produc-tion and consumption[C]// IEEE International Conference on Environment and Electrical Engineering and 2017 IEEE Industrial and Commercial Power Systems Europe. IEEE， 2017：1-5.

[5] 王繼業(yè)，高靈超，董愛強，等.基于區(qū)塊鏈的數據安全共享網絡體系研究[J].計算機研究與發(fā)展， 2017， 54（4）：742-749.

[6] Amin S， Schwartz G A， Hussain A. In quest of benchmarking security risks to cyber-physical systems[J]. IEEE Network， 2013， 27（1）：19-24.

[7] Shin D H， Qian D， Zhang J. Cascading effects in interdependent networks[J].IEEE Network， 2014， 28（4）：82-87.

[8] Rungger M，Tabuada P.A Notion of Robustness for Cyber-Physical Systems[J].IEEE Transactions on Au-tomatic Control， 2016， 61（8）：2108-2123.

[9] 鄧良辰，劉艷麗，柏天緣.考慮分布式發(fā)電的配電網CPS可靠性評估[J].電力系統(tǒng)及其自動化學報， 2017， 29（11）：32-38.

[10] 杜德慧，昝慧，姜凱強，等.一種面向CPS的自適應統(tǒng)計模型檢測方法[J].軟件學報， 2017， 28（5）：1128-1143.

[11] 李淼，馬楠，周椿入.物聯網系統(tǒng)應用層協(xié)議安全性研究[J].網絡空間安全， 2017， 94（12）：44-48.

[12] Tan F， Wang Y， Wang Q， et al. A Lease based Hybrid Design Pattern for Proper-Temporal-Embedding of Wireless CPS Interlocking [J].IEEE Transactions on Parallel & Distributed Systems， 2015， 26（10）：2630-2642.