趙 剛，劉 濤，李世興，張 賓

（1.北方自動控制技術研究所，太原 030006；2.駐北京地區(qū)軍代局，北京 100072；3.北京軍代局駐太原地區(qū)第二軍代室，太原 030006）

0 引言

區(qū)塊鏈技術擁有的去中心化、去信任化、可擴展和安全可靠等技術特點，可以很好地克服集中式數(shù)據(jù)管理平臺的缺陷?；趨^(qū)塊鏈技術構建的有人/無人裝備集群管理平臺，通過分布式數(shù)據(jù)存儲系統(tǒng)的應用方以及監(jiān)管方共同參與數(shù)據(jù)管理，不僅能夠確保數(shù)據(jù)完整性，而且能夠讓監(jiān)管方及時識別數(shù)據(jù)篡改風險。作為分布式、可信任的數(shù)據(jù)基礎設施，區(qū)塊鏈所構建的信任生態(tài)系統(tǒng)可以在信息不對稱、不確定的環(huán)境下生存，可以提高數(shù)據(jù)防篡改和安全可靠能力。因此，需要建立基于區(qū)塊鏈的去中心化的數(shù)據(jù)共識機制，提升武器裝備安全等級。

1 可信存儲技術研究現(xiàn)狀

分布式存儲技術是解決目前有人/無人集群下的武器系統(tǒng)存儲問題的常用方法［1］，通常利用冗余維護技術，通過分散在賽博空間網(wǎng)絡上大量存儲節(jié)點之前的協(xié)作，實現(xiàn)可靠的數(shù)據(jù)存儲服務。但在武器系統(tǒng)分布式存儲系統(tǒng)中，某些節(jié)點可能會暫時或永久失效，通常通過附加冗余數(shù)據(jù)來保證存儲系統(tǒng)的可靠性和可用性［2］。為保證系統(tǒng)的可信度，近些年來，基于TPM 安全芯片的可信存儲，逐步成為解決單武器平臺的授權和可信問題的有效手段［3］。通常在可信計算平臺上存儲信息，是經(jīng)過硬件BIOS中的信息認證，數(shù)據(jù)的存儲是通過一個可信信任源開始，依次經(jīng)過BIOS、操作系統(tǒng)再到應用程序，從而保證了數(shù)據(jù)存儲的可信度。但是可信存儲要求可信的認證過程來自于經(jīng)過認證的可信源，在實際的武器系統(tǒng)中，通常是使用基于TPM 安全芯片來保障源頭的可信性。但是這種機制存在兩個明顯的弊端：1）信息源頭節(jié)點易面臨集中式惡意攻擊，從而導致單點失效，造成數(shù)據(jù)丟失；2）信息源頭節(jié)點存儲的數(shù)據(jù)可能會被惡意篡改釀成嚴重的后果［4］。

為解決過于依賴單一源頭和中心化的安全機制，去中心化的區(qū)塊鏈技術逐步在安全領域推廣應用。區(qū)塊鏈技術是利用塊鏈式數(shù)據(jù)結構來驗證與存儲數(shù)據(jù)、利用分布式節(jié)點共識算法，來生成和更新數(shù)據(jù)、利用密碼學的方式保證數(shù)據(jù)傳輸和訪問的安全、利用由自動化腳本代碼組成的智能合約，來編程和操作數(shù)據(jù)的一種全新分布式基礎架構與計算范式［5］。該技術已經(jīng)成為全球創(chuàng)新領域最受關注的話題。目前在虛擬貨幣、金融證券、公共治理等領域開展了探索應用［6］，在軍事領域只是啟動了相關預研工作，還沒有典型的軍事應用實例。

2 有無人協(xié)同系統(tǒng)可信存儲方法

2.1 有無人系統(tǒng)敏感數(shù)據(jù)可信存儲需求分析

軍委科技委主任劉國治認為“人機混合智能將是未來智能的最高形式”，有無人協(xié)同作為混合增強智能發(fā)展的一個重要方向，成為未來高動態(tài)、強對抗、不確定任務等復雜戰(zhàn)場環(huán)境克敵制勝的關鍵。隨著信息技術、人工智能技術的加快發(fā)展，無人巡邏車、偵打一體無人車開始進入實用階段，由于其作戰(zhàn)效率高、可長期值守、即使平臺損毀也無人員傷亡等特點，在軍事領域呈現(xiàn)出廣闊的應用前景［7］。美軍已經(jīng)開始利用已有的有無人協(xié)同技術構建“系統(tǒng)族群”，進行低開支、低風險、高效率的開發(fā)，無人系統(tǒng)族群由遠程指揮系統(tǒng)指揮操控，多平臺合力完成復雜作戰(zhàn)任務，以一種顛覆性的新型作戰(zhàn)模式主導未來戰(zhàn)場［8］。俄軍在敘利亞利用“仙女座-D”自動化指揮系統(tǒng)，指揮了一場以戰(zhàn)斗機器人為主、人為輔的攻堅作戰(zhàn)。我國有無人協(xié)同系統(tǒng)研究啟動較晚，兵器xx 所等多家單位通過開展“陸用多智能體協(xié)同的控制與優(yōu)化基礎研究”項目，基本突破了有關可變自主遙操作、時延補償控制、多通道人機交互、多智能體協(xié)同控制、無人平臺指揮控制的多項理論與關鍵技術，初步構建了有無人戰(zhàn)車協(xié)同編隊、協(xié)同偵察、協(xié)同引導、協(xié)同火力打擊的體系結構與指揮控制模式。然而，由于有無人協(xié)同之后數(shù)據(jù)多源、異構、可信問題尤為突出，對于數(shù)據(jù)的可信存儲需求較為強烈。

有無人作戰(zhàn)系統(tǒng)武器裝備包括了有無人戰(zhàn)車、偵查車、無人機等各型武器系統(tǒng)。各型武器系統(tǒng)通過立體互聯(lián)的賽博空間網(wǎng)絡，進行編隊、態(tài)勢、控制指令和協(xié)同信息等數(shù)據(jù)的實時接入、共享與管理。這些武器裝備的敏感數(shù)據(jù)包括：有無人設備位置、實時態(tài)勢信息、航跡信息、火力分配與控制、協(xié)同打擊、人機交互等關鍵數(shù)據(jù)，是各型武器作戰(zhàn)的核心。為實現(xiàn)戰(zhàn)場信息的快速、實時、可靠存儲，在有無人系統(tǒng)中，需要建立去中心化的共識機制，以及通過有線/ 無線多級通信節(jié)點組成的立體賽博空間網(wǎng)絡，因此，采用區(qū)塊鏈技術解決武器裝備敏感數(shù)據(jù)的可信存儲問題，是一個有效的技術途徑。

2.2 可信存儲的區(qū)塊鏈共識機制

在武器裝備系統(tǒng)領域，區(qū)別于其他商用領域，敏感信息具有如下幾個特點：

1）節(jié)點輸出的數(shù)據(jù)難以驗證。由于應用場景的特殊性，網(wǎng)絡中的節(jié)點可能不具備對其他節(jié)點輸出的數(shù)據(jù)進行驗證的能力，如前方的探測數(shù)據(jù)在后方難以驗證，指揮中心發(fā)出的指揮信息對于被指揮節(jié)點也難以驗證。

2）節(jié)點是否有權限進行驗證。部分武器裝備的敏感數(shù)據(jù)，由于其特殊性不能像普通區(qū)塊鏈數(shù)據(jù)一樣進行廣播，不同的武器裝備之間敏感數(shù)據(jù)由于特性不同或者權限不同難以進行共享驗證。

為解決上述問題，本文中設計了一種基于分類權限的多節(jié)點容錯共識機制設計。

整個共識機制的建立基于如下模型：首先將系統(tǒng)中的節(jié)點按照權限關系進行集合劃分，同一個集合內的信息能夠互相進行共享，且同一個集合內依照投票機制進行主節(jié)點選取，當主節(jié)點出現(xiàn)后，其余節(jié)點都成為副節(jié)點；當某個節(jié)點有數(shù)據(jù)需要傳遞時會首先向主節(jié)點發(fā)起服務請求，主節(jié)點將請求分發(fā)給所有副節(jié)點，副節(jié)點處理完成后再回饋給起始節(jié)點，起始節(jié)點只要收到f+1（f 為有效閾值）節(jié)點回饋的相同結果，即認為該次數(shù)據(jù)傳輸完畢。

節(jié)點之間的關系進行分類分組，同組劃分的依據(jù)表示著同組節(jié)點能夠且需要互相進行驗證，如節(jié)點ABC 同屬探測節(jié)點中的同一組，那么ABC 之間將存在數(shù)據(jù)互相驗證的義務，驗證完畢后的數(shù)據(jù)會對其可信程度進行加權處理，例如節(jié)點A 發(fā)出的探測數(shù)據(jù)，節(jié)點B 在接收到后會進行驗證，驗證完畢后會將原探測信息中的可信置位加權，然后再次廣播，后方節(jié)點先接收到A 的探測數(shù)據(jù)，然后接收到B 的數(shù)據(jù)后，會得知該條探測信息被證真或證偽，證真/偽次數(shù)超過閾值后，會對數(shù)據(jù)進行相應處理。如圖1 所示。

圖1 節(jié)點之間共識關系原理框圖

整個共識機制的運行流程如下：

整個系統(tǒng)內的節(jié)點存儲了對系統(tǒng)每個節(jié)點劃分的集合以及分組信息，同時在每個節(jié)點內部維護消息日志用于記錄該節(jié)點接收到消息。當主節(jié)點p收到請求m 時，主節(jié)點會將該請求向其所在集合內的所有副節(jié)點進行廣播，為加速消息傳輸以及數(shù)據(jù)處理，整個傳輸分為3 個階段：

1）預準備階段

預準備階段，主節(jié)點分配一個序列號n 給收到的請求，然后向所有副節(jié)點群發(fā)預備消息，預備消息的格式為＜＜PRE-PREPARE，v，n，d＞，m＞，其中v 表示集合編號，n 表示請求序列號，d 表示消息的摘要。在這一步時，消息的傳輸并不包含具體的數(shù)據(jù)信息，而是僅僅用于在整個系統(tǒng)內將擁有權限、能夠驗證的節(jié)點進行組織，同時序列號的添加使得數(shù)據(jù)更改可以追溯；而副節(jié)點收到預備消息后，首先會進行校驗，只有滿足如下條件時，才會接收此消息。

①請求和預備信息的數(shù)字簽名正確，且摘要信息無誤；

②與本節(jié)點所在的集合相同；

③本節(jié)點從未接收過序號為n 但摘要不同的信息（用于防范泛洪攻擊）；

④預備消息的序號在合理范圍內。

滿足上述條件后，傳輸進入下一階段。

2）準備階段

準備階段時，初始節(jié)點會將信息發(fā)往所有符合要求的副節(jié)點，＜PREPARE，g，n，d，i＞，副節(jié)點通過分組信息，確認對該消息本節(jié)點是否具備驗證資質，同時所有收到的副節(jié)點都將預備消息以及準備消息記錄到本節(jié)點的消息記錄中。

3）確認階段

當副節(jié)點對請求信息進行確認之后，確認的流程條件為：

①數(shù)字簽名正確；

②消息驗證加權為正值；

③消息序號合法。

基于此種確認機制，副節(jié)點在確認完畢后會回復committed（m，v，n）消息表示其對消息確認完畢。當有f+1 個節(jié)點確認消息到達主節(jié)點時，表示該條消息被確認的次數(shù)超過了閾值，集合內所有節(jié)點同步更新該條記錄。

上述的共識機制設計是一種靜態(tài)共識，對于軍事系統(tǒng)中的應用而言，通過分類權限、集合劃分的形式，能夠降低節(jié)點的同步共識需求，在節(jié)點數(shù)量相對固定、節(jié)點性質較為穩(wěn)定的情況下，此種共識機制較為高效，當有節(jié)點退出或加入網(wǎng)絡時，所有節(jié)點均需要更新自身的集合分組列表。

2.3 鏈外數(shù)據(jù)可信接入設計

將區(qū)塊鏈應用至武器裝備存儲體系中時，數(shù)據(jù)的傳輸大多數(shù)是在不同的節(jié)點之間進行。在所有節(jié)點初始化完畢構成一個閉合網(wǎng)絡后，節(jié)點之間的數(shù)據(jù)傳輸通過之前設計的共識機制，以及安全監(jiān)管機制的方式進行通信時，能夠保證整個分布式系統(tǒng)的數(shù)據(jù)安全性甚至離線節(jié)點的安全性。但當系統(tǒng)內的數(shù)據(jù)想要導出亦或是外部的數(shù)據(jù)想要輸入到系統(tǒng)中時，就難以避免會遇到數(shù)據(jù)可信接入的問題——如何確定外部擁有數(shù)據(jù)導出的權限？以及如何確定外部導入數(shù)據(jù)的可信程度？這兩個問題如果沒有一個合適的機制進行保證，那么之前設計的機制就無法得到安全保證。

為解決鏈外數(shù)據(jù)可信接入問題，本方案擬通過如下幾種方式對鏈外數(shù)據(jù)接入進行控制：

1）專用接口硬件加密KEY 認證機制；

2）節(jié)點控制信息與存儲信息的隔離機制；

3）數(shù)據(jù)輸入輸出的多節(jié)點記錄認證機制。

2.3.1 專用接口硬件加密KEY 認證機制

針對有鏈外數(shù)據(jù)接入需求的節(jié)點，在節(jié)點上增加接口硬件加密KEY 部件（USB 或者網(wǎng)絡接口），每套硬件KEY 為互相匹配的KEY-P 與KEY-N 兩部分，每套硬件KEY 運行同樣的加解密算法，只有外部設備使用與節(jié)點相匹配的硬件KEY，才能夠與鏈內節(jié)點相連接，如圖2 所示。

圖2 專用接口硬件加密認證示意

基于此種專用的硬件加密KEY 認證機制，能夠有效防止外部設備在沒有合法KEY 的情況下進行數(shù)據(jù)接入，從物理層面上實現(xiàn)對數(shù)據(jù)鏈路的隔離控制，保證基礎的接入安全。

2.3.2 節(jié)點控制信息與存儲數(shù)據(jù)的隔離機制

鏈內節(jié)點在進行數(shù)據(jù)傳輸及驗證時，需要對本身所擁有的權限，以及所有連接的節(jié)點信息進行驗證，此部分信息存儲在節(jié)點的控制信息表內，由節(jié)點本身進行維護。由于此部分數(shù)據(jù)較為敏感，如果外部節(jié)點獲取到此部分信息，能夠針對性地對系統(tǒng)內的其他節(jié)點進行攻擊，或者更改節(jié)點控制信息，對網(wǎng)絡內傳輸?shù)奖竟?jié)點的數(shù)據(jù)進行偽造式攻擊。因此，本方案擬對節(jié)點上的數(shù)據(jù)采用控制信息與存儲數(shù)據(jù)隔離存放的機制，在進行鏈外數(shù)據(jù)輸入輸出時，只允許鏈外設備讀取/寫入存儲數(shù)據(jù)，而控制信息僅僅允許鏈內節(jié)點進行更新修改。

2.3.3 數(shù)據(jù)輸入輸出的多節(jié)點記錄認證機制

在上述兩種鏈外數(shù)據(jù)可信接入機制之外，本方案還設計了數(shù)據(jù)輸入輸出的多節(jié)點記錄認證機制。該種機制的工作方式如下：在外部設備通過上述兩種認證方式接入之后，其所連接的節(jié)點會針對修改的內容生成文件變動記錄，并將文件變動記錄同步發(fā)送至集合內相關節(jié)點，相關節(jié)點會對文件變動記錄進行記錄，防止原節(jié)點的文件記錄被篡改；源節(jié)點也會將導出的數(shù)據(jù)進行記錄，同時將導出記錄發(fā)送至集合內相關節(jié)點，進行多節(jié)點備份記錄。

通過該種機制，系統(tǒng)內的節(jié)點能夠對鏈外數(shù)據(jù)的接入進行冗余備份，實現(xiàn)對系統(tǒng)內輸入輸出數(shù)據(jù)的多節(jié)點共同記錄，保證記錄的可靠性，實現(xiàn)鏈外數(shù)據(jù)修改的可追溯性。

3 結論

針對武器裝備系統(tǒng)中的數(shù)據(jù)種類多樣、數(shù)量冗雜的特點，為在多個節(jié)點之間對數(shù)據(jù)存儲達成共識，本文設計了一種基于分類權限的多節(jié)點容錯共識機制?；诖朔N共識機制，整個分布式系統(tǒng)能夠對數(shù)據(jù)有效驗證，同時分類權限也保證了敏感數(shù)據(jù)在有限范圍內的傳播，能夠滿足武器裝備敏感數(shù)據(jù)存儲體系的需求。同時，為解決鏈外數(shù)據(jù)接入帶來的安全可信問題，本文對鏈外數(shù)據(jù)可信接入使用專用硬件加密通信接口、節(jié)點控制信息與存儲數(shù)據(jù)隔離，以及數(shù)據(jù)輸入輸出的多節(jié)點記錄機制，來解決鏈外數(shù)據(jù)可信接入問題。