甘 波 吳啟武 高志強

1(武警工程大學研究生大隊 陜西 西安 710086) 2(武警工程大學裝備管理與保障學院 陜西 西安 710086) 3(武警工程大學信息工程學院 陜西 西安 710086)

0 引 言

裝備物聯(lián)網(wǎng)是物聯(lián)網(wǎng)技術在裝備工作領域的應用和拓展，其基本路徑是利用RFID等技術，構造一個裝備管理信息實時共享的網(wǎng)絡，優(yōu)化裝備業(yè)務工作流程，提高裝備業(yè)務一體化程度和裝備信息化水平[1-2]。

近年來，國家、軍隊高度重視軍事物聯(lián)網(wǎng)基礎理論研究、關鍵技術研發(fā)和行業(yè)應用，在政策規(guī)范、科技研發(fā)、人力資源、裝備器材和基礎設施等方面打下了堅實的基礎[3]。然而，物聯(lián)網(wǎng)軍事應用安全保障體系仍不完善，體現(xiàn)在：數(shù)據(jù)記錄可篡改；裝備不可溯源，責任難以追溯；數(shù)據(jù)中心容災備份能力弱；數(shù)據(jù)傳輸不加密；裝備交接責任劃分不清等方面。

區(qū)塊鏈使用哈希函數(shù)、數(shù)字簽名等密碼學算法以及分布式共識機制，具有去中心化、集體維護、安全可信等特點[4-5]，在裝備全生命周期管控中具有極大的應用潛力[6]。因此，本文設計了基于聯(lián)盟區(qū)塊鏈的裝備管控框架，為破解上述問題帶來了可行方案。

1 用例說明

裝備管控框架(Equipment Management Framework,EMF)依據(jù)部隊裝備全生命周期將用戶分為八類人員，分別是質(zhì)檢員、發(fā)貨員、輸送員、倉庫管理員、裝備管理員、用裝官兵、監(jiān)管部門人員和軍級單位服務器維護員。系統(tǒng)用例分為四類：裝備生產(chǎn)用例、權屬交接用例、故障上報用例和系統(tǒng)運維用例。其中，各類人員和用例的關系如圖1所示。

圖1 系統(tǒng)框架用例

在裝備全生命周期管理中，各類人員的需求可以歸為對安全的需求，即通過區(qū)塊鏈的共識機制和加密算法，達到對裝備性能狀態(tài)的掌控、使用人員身份的確認、裝備交接過程的記錄等；此外，監(jiān)管人員還可以通過對數(shù)據(jù)的分析獲取對裝備性能、部隊訓練等方面的評估。

本文系統(tǒng)與無區(qū)塊鏈系統(tǒng)相比，可以防止數(shù)據(jù)記錄篡改，確保裝備溯源和責任監(jiān)管；強化安全機制，實現(xiàn)容災備份等。

2 總體框架設計

EMF分為五層結構，分別為感知層、數(shù)據(jù)層、網(wǎng)絡層、共識層和應用層。其中，基于聯(lián)盟區(qū)塊鏈部分去中心化的特點引入PKI體系，將包含大量安全信息的CA和KMC部署在安全可靠的環(huán)境下。分層架構如圖2所示。

圖2 分層架構

2.1 感知層

使用低功耗、帶國密SM7算法的高頻無源電子芯片，避免芯片復制和批量造假。采用易碎RFID標簽，有效防止轉移造假。由官兵攜帶存儲有密鑰的RFID芯片，可敵我識別、快速取裝用裝等，設計小巧、使用方便、安全可靠，具備防水、防撞擊、抗污染、耐久性強等性能特點。調(diào)整時機，向CA申請數(shù)字證書，將密鑰寫入RFID芯片。

RFID讀取可以采用RFID手持機和通道機配合使用的方式進行。倉庫管理員和裝備管理員對庫房內(nèi)現(xiàn)存裝備進行檢查時，由于其有效距離遠，可批量讀取的特點，能夠極大提升檢庫效率。在倉庫墻壁內(nèi)和輸送車輛內(nèi)采用電磁屏蔽裝置等，防止裝備RFID在不知情的情況下被掃描。官兵取裝用裝和出入庫必須經(jīng)過RFID通道機，使用獲取的密鑰對記錄進行數(shù)字簽名，無須官兵額外操作，便于提高速度和效率。

2.2 數(shù)據(jù)層

區(qū)塊體中包含數(shù)字簽名、記錄個數(shù)，以及各工廠生產(chǎn)、權屬交接和故障上報記錄，如圖3所示。工廠生產(chǎn)記錄包含時間戳、類型碼1、裝備代碼+序列號、工廠公鑰和數(shù)字簽名；權屬交接記錄包含時間戳、類型碼2、裝備代碼+序列號、交接人(甲方)公鑰、接收人(乙方)公鑰和雙重簽名；故障上報記錄包含時間戳、類型碼3、裝備代碼+序列號、故障說明、故障上報人(裝備損壞人)公鑰、管理員公鑰和雙重簽名。

圖3 區(qū)塊及記錄結構

區(qū)塊體中的數(shù)字簽名由區(qū)塊寫入節(jié)點簽署；工廠生產(chǎn)記錄由工廠負責人簽署；權屬交接記錄由交接雙方共同簽署；故障上報記錄由上報人或裝備損壞人和管理員雙方共同簽署。在EMF中，Merkle樹的各葉節(jié)點為各記錄哈希值，便于惡意篡改時的快速定位。

EMF的工廠生產(chǎn)記錄中“裝備代碼+序列號”由質(zhì)檢員公鑰加密；權屬交接記錄中“裝備代碼+序列號”由交接雙方中擁有服務器的一方通過其公鑰加密；故障上報記錄中“裝備代碼+序列號”由裝備管理員公鑰加密，故障說明由原工廠公鑰加密。

人員變動時，單位所在人事部門上報人員信息情況，并由監(jiān)管部門將其證書吊銷，寫入CRL中。

由于聯(lián)盟區(qū)塊鏈本身帶有一定的中心化，因此CA可以部署在總部，KMC可以部署在信息通信局，便于實施監(jiān)管，同時確保信息的安全性。公鑰基礎設施如圖4所示。

圖4 公鑰基礎設施PKI

2.3 網(wǎng)絡層

EMF聯(lián)盟鏈節(jié)點分為全節(jié)點和輕節(jié)點。全節(jié)點包括主節(jié)點和備份節(jié)點。輕節(jié)點部署在工廠服務器、倉庫服務器和部隊服務器上，主要作用是為各類相關人員發(fā)布記錄提供了入口，能夠符合廣大基層單位的實際情況，減少涉密信息的暴露面。全節(jié)點中，主節(jié)點和若干備份節(jié)點通過PBFT算法可以最大容忍1/3的出錯和惡意節(jié)點。網(wǎng)絡節(jié)點部署如圖5所示。

圖5 網(wǎng)絡節(jié)點部署

2.4 共識層

由于EMF中各個單位或個體都具備一定的信用基礎，因此使用聯(lián)盟鏈機制可以免除PoW機制的大算力門檻[7]，使用PBFT算法以達到可操作范圍下理想的容錯率[8]。PBFT算法流程如圖6所示。

圖6 PBFT算法流程

1) 客戶端向主節(jié)點發(fā)送請求，主節(jié)點校驗正確后向各備份節(jié)點廣播預準備消息。各備份節(jié)點校驗并決定是否接受。

2) 備份節(jié)點接收預準備消息后，向其他所有全節(jié)點廣播準備消息，并進入準備階段。各節(jié)點收取來自其他節(jié)點的準備消息，并在prepared為true時結束準備階段。

3) 備份節(jié)點結束準備階段后，由此生成確認消息向客戶端和其他全節(jié)點廣播。各節(jié)點收取來自其他節(jié)點的確認消息，并在接收到(2n+1)/3個commit消息并校驗正確(committed為true)時結束確認階段。

4) 各節(jié)點驗證客戶端記錄的合法性，而后本地維護。每間隔時間t，通過B=L%(N-1)判斷當前區(qū)塊是否由自己來生成，將該段時間內(nèi)記錄封裝并在網(wǎng)絡中廣播，完成記錄的入鏈。其中：B為當前需要生成新區(qū)塊的節(jié)點；L為當前區(qū)塊鏈的長度；%為取余運算。

5) 各節(jié)點完成記錄的驗證后單獨發(fā)送恢復信息至客戶端?？蛻舳私邮盏?n+2)/3個正確的回復消息后，便認為該記錄已被驗證并將在時間內(nèi)存入?yún)^(qū)塊鏈。

2.5 應用層

EMF客戶端部署在各服務器之上，通過賬號進行身份認證和登錄。不同職能權限的人員類別分為監(jiān)管部門人員，軍級單位服務器維護員、質(zhì)檢員、發(fā)貨員、輸送員、倉庫管理員、裝備管理員、用裝官兵等。

所有人員的賬號和密鑰都需要進行申請、上報、審核、下發(fā)。其中，輸送員和用裝官兵的賬號和密鑰信息存儲于NFC或RFID中，以卡片等形式進行使用；其余人員需使用服務器登錄系統(tǒng)。

2.5.1裝備生產(chǎn)過程

工廠質(zhì)檢員負責裝備生產(chǎn)后的質(zhì)量檢驗，確保生產(chǎn)交付的裝備沒有存在質(zhì)量問題。裝備生產(chǎn)時，使用質(zhì)檢員的ID登錄驗證系統(tǒng)。在生產(chǎn)裝備時，將RFID嵌入裝備內(nèi)，或者將易碎RFID貼于裝備表面。將工廠公鑰、裝備代碼、生產(chǎn)流水號寫入RFID內(nèi)。而后，生成一條裝備生產(chǎn)記錄，并發(fā)送至主節(jié)點，主節(jié)點廣播至各備份節(jié)點。

各節(jié)點首先查看記錄類型并判斷該記錄為裝備生產(chǎn)記錄，而后在本地維護的數(shù)字證書庫中查看該記錄的生成ID是否對應工廠質(zhì)檢員身份，并在CRL中查詢是否過期。而后核實數(shù)字簽名和記錄ID(Hash)是否正確。驗證合法后，各節(jié)點將該記錄在本地維護，同時返回驗證通過信息，等待封裝入?yún)^(qū)塊，完成記錄的入鏈。

2.5.2權屬交接過程

在進行權屬交接時，首先由交接雙方擁有服務器的一方登錄管理系統(tǒng)客戶端。而后裝備接收方對裝備的完好性等進行核查，驗證裝備完好后，掃描RFID信息，交接雙方共同對該記錄進行數(shù)字簽名，生成一條權屬交接記錄。服務器將記錄發(fā)送至主節(jié)點，而后主節(jié)點將該條記錄廣播至各備份節(jié)點。等待各節(jié)點確認記錄合法，返回確認信息。

管理客戶端識別裝備輸送和裝備使用等情景后，對該裝備的送達或歸還入庫記錄進行監(jiān)聽，超過某一閾值(如7天)則觸發(fā)裝備丟失警示信息。

2.5.3故障上報過程

在進行故障上報時，首先由部隊裝備管理員進行登錄。而后部隊裝備管理員對裝備的故障情況進行檢查，結合故障上報人的描述現(xiàn)場拍照留證，將裝備故障情況和照片錄入系統(tǒng)。掃描RFID信息，確定該裝備的生產(chǎn)工廠的ID和裝備型號、流水號等信息，使用工廠公鑰(ID)對故障信息進行加密。故障上報人和部隊裝備管理員雙方共同對該記錄進行數(shù)字簽名，生成一條故障上報記錄。服務器將記錄發(fā)送至主節(jié)點，而后主節(jié)點將該條記錄廣播至各備份節(jié)點。等待各節(jié)點確認記錄合法，返回確認信息。對于故障無法在部隊維修的，由管理員根據(jù)工廠ID查詢確定原廠的寄送地址和聯(lián)系方式等，進行返廠維修。

2.5.4系統(tǒng)運行維護

監(jiān)管部門人員可以登錄系統(tǒng)，使用KMC中密鑰對區(qū)塊鏈中數(shù)據(jù)進行解密、關聯(lián)、查找等操作，但不具備增加、刪除、修改等操作權限。

軍級單位服務器屬于備份節(jié)點，在本地維護了全部數(shù)字證書和全部區(qū)塊鏈的信息。維護員可以登錄系統(tǒng)，對服務器的運行狀態(tài)進行查看，確保服務器正常穩(wěn)定運行，網(wǎng)絡暢通、磁盤充足，但不能對數(shù)據(jù)進行增刪改查等操作，也不可以使用密鑰對區(qū)塊鏈內(nèi)加密內(nèi)容進行解密。應用流程如圖7所示。

圖7 應用流程

3 監(jiān)管控制

軍隊裝備需要集中化的管理，相關職能部門需要對所有裝備的記錄深度挖掘，獲得具有軍事價值的信息。設置在信息通信局的KMC擁有所有人員的密鑰信息；設置在總部的CA擁有人員的具體身份信息以及數(shù)字證書，通過信息通信局和總部的保密線路進行數(shù)據(jù)的共享，即可對區(qū)塊鏈內(nèi)所有加密信息進行解密，形成一個全部隊全裝備全生命周期的管控數(shù)據(jù)庫。

3.1 故障監(jiān)管

裝備故障情況包括：某型裝備的故障率及多發(fā)故障；不同工廠生產(chǎn)同一裝備故障率情況；不同部隊同一裝備故障率情況；某一裝備服役時間及歷史故障狀況等。

通過檢索裝備代碼，可以得到某型裝備有關的所有記錄，在檢索結果中二次檢索類型3記錄，即可獲取某型裝備的故障情況，進而分析出該型裝備故障率及多發(fā)故障，便于對裝備進行改進。同樣的方法可以用于得出不同工廠生產(chǎn)同一裝備故障率情況，便于裝備管理部門對工廠進行監(jiān)管。不同部隊同一裝備故障率情況可以用于分析不同部隊使用裝備情況，結合不同部隊的任務類型和任務地域便于分析該裝備在不同任務條件下的性能，為裝備的調(diào)度和改進提供依據(jù)。某一裝備服役時間及歷史故障狀況可以用于判定該裝備是否符合退出現(xiàn)役標準，為及時更新裝備提供參考。

3.2 動裝情況監(jiān)管

動裝情況包括：某部隊的動裝頻率和次數(shù)；某裝備輸送單位的輸送效率；某職級的官兵動裝頻率和次數(shù)；某裝備的動用次數(shù)等。

某部隊的動裝頻率和次數(shù)可以反映出該部隊的實訓情況，動裝越頻繁，則該部隊實戰(zhàn)化練兵越頻繁。通過調(diào)取CA中該單位的所有人員的權屬交接記錄即可獲知。某裝備輸送單位輸送效率可以通過調(diào)取該單位輸送員的記錄獲知，每次輸送的裝備類型、數(shù)量、距離、時間等信息均可作為評判依據(jù)，達到對裝備輸送的監(jiān)管。某職級的官兵動裝頻率和次數(shù)能夠從一個側面體現(xiàn)出部隊的訓練情況，為衡量部隊管理提供參考。某型裝備的動用次數(shù)可以體現(xiàn)出該裝備在該部隊的實用性程度，可作為評判裝備性能好壞的參考；某裝備的動用次數(shù)可以體現(xiàn)該裝備的折舊情況，可作為裝備更替的指標。

3.3 生產(chǎn)庫存監(jiān)管

裝備生產(chǎn)和庫存情況包括：某工廠裝備生產(chǎn)情況；某倉庫裝備庫存情況；某型裝備庫存量及分布；某部隊裝備持有情況；某裝備的在位情況等。

某工廠裝備生產(chǎn)情況包括裝備生產(chǎn)速度和裝備積壓數(shù)量，通過調(diào)取工廠質(zhì)檢員和發(fā)貨員相關記錄即可獲知，可作為調(diào)控工廠生產(chǎn)計劃的指標。某倉庫裝備庫存情況和某型裝備庫存量及分布可通過倉庫管理員相關權屬交接記錄等獲知，可作為裝備物資調(diào)度、生產(chǎn)等的依據(jù)。某部隊裝備持有情況和裝備在位情況可以通過調(diào)取其所屬裝備管理員的相關記錄獲知，對于裝備調(diào)度等決策和實力分析具有參考作用。

4 安全機制

4.1 雙花攻擊和重放攻擊

雙重消費攻擊(Double Spend Attack)，由中本聰[9]提出，在本框架中指攻擊者在進行某項裝備操作完畢后，將裝備的記錄上傳至主節(jié)點后，在尚未通過區(qū)塊鏈的驗證情況下，立馬發(fā)布另一條與之矛盾的記錄，并設法使得該條記錄所在鏈成為最長合法鏈的操作，以此達到其非法目的。

在裝備管控框架中，由于采用聯(lián)盟區(qū)塊鏈，且每次區(qū)塊的寫入都是根據(jù)B=L%(N-1)規(guī)則，由各個備份節(jié)點有序進行，并不存在競爭“記賬權”的行為；而且記錄中存有時間戳，發(fā)布時先發(fā)送至主節(jié)點，而后由主節(jié)點將記錄廣播至各備份節(jié)點，期間的通信不存在較大的延遲，各個節(jié)點通過時間戳判斷惡意人員前后發(fā)布的兩條記錄，并將第二條認定為非法記錄，不予記入?yún)^(qū)塊鏈。除非惡意人員同時對1/3以上的備份節(jié)點的服務器或者通信進行攻擊，雙花攻擊是不能被實施的。

在區(qū)塊鏈技術中，重放攻擊(Replay Attack)是指“一條鏈上的交易在另一條鏈上也往往是合法的”，所以重放攻擊通常出現(xiàn)在區(qū)塊鏈硬分叉的時候。由于一方面不能實施分叉，另一方面在不分叉的鏈上進行重放攻擊時，由于記錄中加入了時間戳和裝備流水號，同時大部分節(jié)點的網(wǎng)絡保持暢通，因此認為框架對于重放攻擊也是免疫的。

4.2 女巫攻擊

女巫攻擊(Sybil Attack)中，少數(shù)節(jié)點通過偽造或盜用身份偽裝成大量節(jié)點[10]，公有鏈由于采用如PoW等不依賴于節(jié)點數(shù)量的共識機制，因此不存在女巫攻擊的風險；而聯(lián)盟鏈中應對女巫風險的辦法，是要重點保護身份認證服務本身，確?！芭椎姆稚怼辈粫缓霉?jié)點認為是區(qū)塊鏈中正常的節(jié)點，確保身份認證服務能夠?qū)F(xiàn)實世界中的實體與區(qū)塊鏈中的節(jié)點對應起來。

4.3 DDoS攻擊

DDoS(Distributed Denial of Service)攻擊，是通過讓系統(tǒng)拒絕服務或者因信息過載而崩潰。由于框架中主節(jié)點服務器具有很強的中心化特征，因此對于DDoS攻擊的防范尤為重要。

(1) 網(wǎng)絡封閉，軍用網(wǎng)絡與公網(wǎng)物理隔絕，攻擊者無法在公網(wǎng)上訪問主節(jié)點服務器，從而無法使用公網(wǎng)電腦對主節(jié)點服務器發(fā)起DDoS攻擊；(2) 節(jié)點備份，總部的主節(jié)點服務器和信息通信局的服務器設加密線路；(3) 過濾請求，對于惡意IP發(fā)送的請求進行攔截過濾，達到防范DDoS攻擊的目的。

4.4 對內(nèi)防范和容災備份

(1) 權屬交接過程中交接雙方謊報、瞞報。如輸送員領取了件某型裝備，交付倉庫時扣留1件，倉庫實收件。此時交接情況將被如實記錄至區(qū)塊鏈。監(jiān)管部門服務器將區(qū)塊鏈數(shù)據(jù)解密后維護在本地的安全數(shù)據(jù)庫中，由于前一條權屬交接的記錄甲乙雙方分別為發(fā)貨員和輸送員，因此系統(tǒng)認定裝備即將進行輸送，而輸送行為在系統(tǒng)中有一閾值，超過閾值則發(fā)出警告。

(2) 對裝備故障情況的瞞報和謊報。裝備管理員在進行接收前將對裝備進行檢查，從而避免了故障情況的瞞報。要求在故障上報過程填報中附帶照片，同時對裝備管理員實行追責，以此增加其說謊成本。

區(qū)塊鏈的分布式機制能為數(shù)據(jù)的容災備份創(chuàng)造有利條件，避免KML、人員信息等數(shù)據(jù)丟失。

5 結 語

本文從部隊裝備全生命周期管控需求出發(fā)，結合RFID和聯(lián)盟區(qū)塊鏈技術，提出一種五層安全裝備管控框架。能夠?qū)ρb備生產(chǎn)情況、裝備流動情況、裝備故障情況和庫存情況進行有效管控。防范雙花攻擊、重放攻擊、DDoS攻擊和內(nèi)部違規(guī)等，確保數(shù)據(jù)安全。與無區(qū)塊鏈RFID系統(tǒng)相比，提出的裝備管控框架具有總體優(yōu)勢(見表1)。

表1 EMF與無區(qū)塊鏈RFID系統(tǒng)對比