張莉，王泰，姜啟升通信作者）

（1.山東省電子信息產(chǎn)品檢驗院，山東 濟(jì)南 250014；2.青島天納克富晟汽車零部件有限公司，山東 青島 266200；3.青島明思為科技有限公司，山東 青島 266041）

0 引言

工業(yè)物聯(lián)網(wǎng)通過多源傳感器感知工業(yè)生產(chǎn)過程，采集關(guān)鍵制造信息，利用現(xiàn)代通信技術(shù)、智能分析技術(shù)使得工業(yè)生產(chǎn)智能化，從而提升制造效率及產(chǎn)品質(zhì)量，降低整個供應(yīng)鏈成本，實現(xiàn)客戶滿足度最大化[1]。工業(yè)物聯(lián)網(wǎng)設(shè)備層包括機(jī)床、控制器、機(jī)器人及傳感器等，制造裝備、主流品牌PLC的控制端接口及海量類型傳感器由獨立廠商生產(chǎn)，普遍存在通訊協(xié)議、接口不兼容等問題，形成了控制與信息化“孤島”，阻礙了現(xiàn)場關(guān)鍵數(shù)據(jù)的實時采集[2-4]。此外，工業(yè)物聯(lián)網(wǎng)設(shè)備信息數(shù)據(jù)包含企業(yè)敏感信息，在工業(yè)互聯(lián)網(wǎng)環(huán)境中信息傳輸可能會遭到攻擊、攔截，導(dǎo)致關(guān)鍵數(shù)據(jù)泄露。騰訊安全發(fā)布的《2020年公有云安全報告》中指出物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)泄露、遭受攻擊已成為主流安全風(fēng)險，現(xiàn)有的工業(yè)物聯(lián)網(wǎng)系統(tǒng)需解決好工業(yè)物聯(lián)網(wǎng)設(shè)備信息安全問題。物聯(lián)網(wǎng)網(wǎng)關(guān)采用高級加密標(biāo)準(zhǔn)算法可實現(xiàn)對網(wǎng)關(guān)操作系統(tǒng)和節(jié)點信息采集進(jìn)行驗證加密，可實現(xiàn)設(shè)備信息的保護(hù)[5-7]。許韞韜等[8]人通過改進(jìn)AES密鑰間的關(guān)聯(lián)性與初始密鑰的更換策略，基于STM32平臺驗證了改進(jìn)算法的穩(wěn)定性及運行效率。賈凡等[9]人基于MQTT框架，利用傳感器技術(shù)感知工業(yè)現(xiàn)場的多源異構(gòu)數(shù)據(jù)，實現(xiàn)工業(yè)物聯(lián)網(wǎng)通信系統(tǒng)數(shù)據(jù)的交換、設(shè)備狀態(tài)的遠(yuǎn)程監(jiān)測。

基于對工業(yè)物聯(lián)網(wǎng)設(shè)備信息采集與保護(hù)，本文分析工業(yè)物聯(lián)網(wǎng)設(shè)備層各通信協(xié)議的特點，制定基于STM32單片機(jī)的工業(yè)物聯(lián)網(wǎng)設(shè)備信息統(tǒng)一采集標(biāo)準(zhǔn)。根據(jù)工業(yè)物聯(lián)網(wǎng)中設(shè)備信息數(shù)據(jù)實時性強(qiáng)，且響應(yīng)要求高的特點，基于通用標(biāo)準(zhǔn)算法設(shè)計AES算法，實現(xiàn)工業(yè)物聯(lián)網(wǎng)設(shè)備信息敏捷安全加密。

1 基于AES算法的工業(yè)物聯(lián)網(wǎng)設(shè)備信息加密算法設(shè)計

高級加密標(biāo)準(zhǔn)AES（Advanced Encryption Standard）是對稱分組密碼算法，通常密鑰長度分別為128，192或256比特，其算法的加密輪數(shù)取決于密鑰的長度，密鑰長度越長，加密過程越復(fù)雜，算法安全性越高，破解難度越大。AES算法的數(shù)據(jù)預(yù)處理過程是將數(shù)據(jù)塊預(yù)先分組為128bit大小的數(shù)據(jù)單元，數(shù)據(jù)分組單元按先后順序填入狀態(tài)矩陣（4行4列）中，在上述狀態(tài)矩陣中通過多輪迭代實現(xiàn)算法的輪變換（字節(jié)替代、行移位、列混淆和輪密鑰加）。AES算法為消除加解密密鑰間的相關(guān)性，通過擴(kuò)展算法將種子密鑰非線性擴(kuò)展，形成每組的加密密鑰，常用的密鑰擴(kuò)展算法有非線性變換、混合函數(shù)變換等算法，密鑰的長度取決于加密算法迭代次數(shù)。輪密鑰擴(kuò)展使得算法加密每輪迭代使用不同的密鑰，提高AES算法安全性、高效性，能夠有效抵御不同的網(wǎng)絡(luò)侵入式攻擊。

AES算法的加解密效率取決于密鑰長度、加密輪數(shù)及數(shù)據(jù)明文長度，本文將在工業(yè)互聯(lián)網(wǎng)設(shè)備信息傳輸端進(jìn)行加解密，要求時間響應(yīng)快，因此選用AES-128方法，采用128bit分組，算法加密輪數(shù)為11。標(biāo)準(zhǔn)的AES算法有ECB、CBC、CTR、CFB、OFB 5種加密模式。其中CTR加密模式具有加密速度快、安全性高、不會出現(xiàn)傳輸誤差的特點，因此本文采用AES算法的CTR模式進(jìn)行加密。

傳統(tǒng)的AES算法的分組密鑰是利用初始化密鑰擴(kuò)展而成的，密鑰擴(kuò)展后分組密碼存在相關(guān)性導(dǎo)致初始密鑰被攻破的可能性將增大，同時在數(shù)據(jù)存儲和傳輸過程中出現(xiàn)解密錯誤的幾率將增高，為此本文將采用偽隨機(jī)數(shù)實現(xiàn)密鑰的擴(kuò)展，降低分組密碼的相關(guān)性，提高算法的擴(kuò)展性。密鑰擴(kuò)展的算法步驟為：①偽隨機(jī)序列生產(chǎn)，令a和b為算法選定的素數(shù)，則集合 表示為其中R為整數(shù)集合，假設(shè)則根據(jù)產(chǎn)生偽隨機(jī)序列作為初始密鑰，生產(chǎn)4＊4密鑰矩陣。②根據(jù)加密輪次擴(kuò)展密鑰，生成長度4＊4＊（10+1）的字節(jié)數(shù)組，W，W［0-15］的值等于初始密鑰4＊4矩陣值，后續(xù)W[i]有W[i-4]與W[i-1]計算生成擴(kuò)展密鑰矩陣。③將擴(kuò)展密鑰矩陣W中W［0-15］用于初始輪密鑰操作，W［16-31］用于第一輪密鑰操作，依次類推。

基于AES算法的工業(yè)物聯(lián)網(wǎng)設(shè)備信息加密算法步驟為：①將獲取到的工業(yè)物聯(lián)網(wǎng)設(shè)備信息明文信息按照128bit拆分若干個明文塊。②基于偽隨機(jī)序列生成擴(kuò)展密鑰矩陣，并將密鑰矩陣按輪次進(jìn)行分配。③通過輪密鑰加過程進(jìn)行初始輪加密。④根據(jù)輪次依次按照字節(jié)代替、行移位、列混淆、輪密鑰加過程循環(huán)加密，最終獲得密文，完成加密。

基于AES算法的工業(yè)物聯(lián)網(wǎng)設(shè)備信息解密算法步驟為：①獲取工業(yè)物聯(lián)網(wǎng)設(shè)備信息密文塊。②依照擴(kuò)展密鑰矩陣W［40-43］值通過輪密鑰加過程進(jìn)行初始輪解密。③根據(jù)擴(kuò)展密鑰矩陣W[(40-i)-(43-i)]值（1＜i＜11，i為輪次），依次按照逆向行移位、逆向字節(jié)代替、輪密鑰加、逆列混淆過程循環(huán)解密，最終獲得明文塊。④將明文塊按序排列形成完整明文信息。

2 基于STM32單片機(jī)的工業(yè)物聯(lián)網(wǎng)設(shè)備信息加密系統(tǒng)設(shè)計

工業(yè)物聯(lián)網(wǎng)的設(shè)備層包括數(shù)控機(jī)床、機(jī)器人、PLC設(shè)備、RFID設(shè)備，數(shù)據(jù)采集傳感器等，設(shè)備間數(shù)據(jù)通信協(xié)議不同，設(shè)備信息數(shù)據(jù)格式多樣，形成了多源異構(gòu)的數(shù)據(jù)模式，需要在數(shù)據(jù)分發(fā)前對其進(jìn)行結(jié)構(gòu)化數(shù)據(jù)處理以及加密。本文在分析工業(yè)物聯(lián)網(wǎng)設(shè)備層的設(shè)備通信協(xié)議及設(shè)備信息數(shù)據(jù)格式基礎(chǔ)上，設(shè)計了基于STM32單片機(jī)的工業(yè)物聯(lián)網(wǎng)設(shè)備信息加密系統(tǒng)，其架構(gòu)如圖所示。系統(tǒng)架構(gòu)分為設(shè)備層、數(shù)據(jù)適配層、業(yè)務(wù)應(yīng)用層。

圖1 基于STM32單片機(jī)的工業(yè)物聯(lián)網(wǎng)設(shè)備信息加密系統(tǒng)架構(gòu)

目前工業(yè)物聯(lián)網(wǎng)設(shè)備層中主流PLC設(shè)備均支持OPC協(xié)議，多源傳感器采用Modbus協(xié)議，其他設(shè)備多采用Ethernet、PROFINET等協(xié)議，針對上述多源、不同的復(fù)雜通信協(xié)議，本文開發(fā)的嵌入式信息系統(tǒng)設(shè)計了數(shù)據(jù)適配器，系統(tǒng)的數(shù)據(jù)適配器主要包括協(xié)議適配解析層、數(shù)據(jù)解析層、數(shù)據(jù)分發(fā)層三個模塊，協(xié)議適配解析層主要對現(xiàn)場設(shè)備通過各通訊協(xié)議得到的數(shù)據(jù)進(jìn)行采集和緩存，由數(shù)據(jù)解析層對緩存中數(shù)據(jù)進(jìn)一步加密處理和分解并存取至緩存，然后交由數(shù)據(jù)分發(fā)層進(jìn)行數(shù)據(jù)分發(fā)。數(shù)據(jù)適配器在配置文件中進(jìn)行參數(shù)設(shè)置，并設(shè)置監(jiān)控服務(wù)監(jiān)控各個層次關(guān)鍵參數(shù)（如緩存占用率、處理速度、線程數(shù)、接入業(yè)務(wù)應(yīng)用數(shù)、接入采集設(shè)備數(shù)等），通過TELNET服務(wù)實現(xiàn)遠(yuǎn)程監(jiān)控，使得系統(tǒng)具有層次化、多線程并行處理、多緩沖區(qū)等特性。

工業(yè)生產(chǎn)過程中涉及多種采集設(shè)備，采集設(shè)備支持的傳輸協(xié)議也不同，系統(tǒng)數(shù)據(jù)適配層中的配置管理模塊根據(jù)接入?yún)f(xié)議，配置協(xié)議適配解析層的具體協(xié)議解析組件。配置方式為修改配置文件的協(xié)議配置參數(shù)，無需修改程序代碼。如果新增加了一種協(xié)議，只需要按照協(xié)議適配解析層接口要求開發(fā)新的協(xié)議組件，將新協(xié)議組件部署到協(xié)議組件文件夾，配置后即可實現(xiàn)新協(xié)議的解析，開發(fā)與測試柔性程度高，且提高了系統(tǒng)穩(wěn)定性與擴(kuò)展性。

3 實例驗證及系統(tǒng)開發(fā)

工業(yè)物聯(lián)網(wǎng)中設(shè)備信息數(shù)據(jù)實時性強(qiáng)，且響應(yīng)要求高，本文開發(fā)了基于STM32單片機(jī)開發(fā)的嵌入式信息處理系統(tǒng)，通過并行處理及代碼優(yōu)化，實現(xiàn)了工業(yè)物聯(lián)網(wǎng)中設(shè)備信息的高效處理與加密。

系統(tǒng)采用經(jīng)濟(jì)型STM32F407Z6T6型ARM芯片，帶有FPU的32位Cirtex-M4 高性能CPU，主頻高達(dá)168MHz，15個通信接口，可實現(xiàn)多個設(shè)備信息采集。將改進(jìn)AES算法與數(shù)據(jù)適配器程序代碼（.hex程序文件）通過ISP軟件燒制單片機(jī)ROM。系統(tǒng)通過通信段監(jiān)控設(shè)備，將采集到的信息送入STM32F407Z6T6型ARM芯片，進(jìn)行數(shù)據(jù)處理與加密，并將其分發(fā)出去。

嵌入式信息處理系統(tǒng)監(jiān)控界面利用Visual Studio 2015工具開發(fā)，通過串口通信偵聽數(shù)據(jù)收發(fā)，解析、加密操作?；谏鲜銎脚_搭建了測試平臺，串接5臺PLC控制器、2臺機(jī)器人、2臺數(shù)控機(jī)床及6套傳感器，采集設(shè)備狀態(tài)、電壓、功率、轉(zhuǎn)速等數(shù)據(jù)，通過系統(tǒng)數(shù)據(jù)適配器的解析，獲得了統(tǒng)一結(jié)構(gòu)化的數(shù)據(jù)，并對其進(jìn)行了AES算法加密（如圖所示），系統(tǒng)實時性好，明文長度為500bit時，系統(tǒng)加密時間約0.02ms。

圖2 監(jiān)控系統(tǒng)界面

4 結(jié)語

通過分析工業(yè)物聯(lián)網(wǎng)設(shè)備層不同裝備通信協(xié)議，設(shè)計開發(fā)了設(shè)備層數(shù)據(jù)適配器，實現(xiàn)了現(xiàn)場設(shè)備信息采集、數(shù)據(jù)結(jié)構(gòu)化。針對設(shè)備層信息數(shù)據(jù)面臨的安全威脅，從保護(hù)數(shù)據(jù)機(jī)密性出發(fā)，設(shè)計了基于AES算法的工業(yè)物聯(lián)網(wǎng)設(shè)備信息加密算法。利用Visual Studio 2015工具開發(fā)了基于STM32單片機(jī)的工業(yè)物聯(lián)網(wǎng)設(shè)備信息加密系統(tǒng)，對算法進(jìn)行了性能測試，實驗證明AES算法加密系統(tǒng)實時性好，穩(wěn)定性高。