◆馬剛

基于區(qū)塊鏈技術(shù)的工業(yè)數(shù)據(jù)安全防護(hù)的研究

◆馬剛

（中國(guó)核工業(yè)電機(jī)運(yùn)行技術(shù)開(kāi)發(fā)有限公司 北京 100043）

數(shù)據(jù)庫(kù)作為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中的重要節(jié)點(diǎn)，用于接收、解析和保存通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)和命令，此數(shù)據(jù)至少有兩種用途：一種用途是檢查因組件故障和網(wǎng)絡(luò)攻擊而可能發(fā)生的流程異常；另一種用途是作為工業(yè)數(shù)據(jù)安全分析的重要輸入，這也是本文研究的重點(diǎn)。為了保護(hù)數(shù)據(jù)庫(kù)的工業(yè)數(shù)據(jù)安全，本文提出了一種新的體系架構(gòu)，從完整性和冗余性這兩個(gè)方面來(lái)增強(qiáng)工業(yè)數(shù)據(jù)安全性。完整性檢查機(jī)制與區(qū)塊鏈技術(shù)相結(jié)合，用于確保數(shù)據(jù)完整性。數(shù)據(jù)冗余性通過(guò)應(yīng)用動(dòng)態(tài)復(fù)制機(jī)制來(lái)實(shí)現(xiàn)的，用以在遭受網(wǎng)絡(luò)攻擊后恢復(fù)數(shù)據(jù)。

區(qū)塊鏈；工業(yè)數(shù)據(jù)安全；網(wǎng)絡(luò)攻擊

2010年伊朗布什爾核電站的“震網(wǎng)病毒”攻擊、2015年底烏克蘭電力部門遭受到惡意代碼攻擊等安全事件表明，針對(duì)工業(yè)控制系統(tǒng)[1]的漏洞攻擊正朝著關(guān)鍵基礎(chǔ)設(shè)施攻擊的趨勢(shì)發(fā)展。數(shù)據(jù)庫(kù)作為核電站儀控系統(tǒng)中的重要設(shè)備，通過(guò)可編程邏輯控制器（PLC）、傳感器和執(zhí)行器接收、解析和保存通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)和命令。數(shù)據(jù)庫(kù)的數(shù)據(jù)可用于對(duì)儀控系統(tǒng)中的故障進(jìn)行根本原因分析，也可用于確定是否對(duì)工廠控制器發(fā)生了攻擊行為。因此，保護(hù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)至關(guān)重要。

為了保護(hù)數(shù)據(jù)庫(kù)中的工業(yè)數(shù)據(jù)安全，重點(diǎn)主要考慮以下兩個(gè)方面：不變性和冗余。設(shè)計(jì)的數(shù)據(jù)安全防護(hù)方案要求是可用、可靠以及一致的，也就意味著：（1）將數(shù)據(jù)庫(kù)與網(wǎng)絡(luò)隔離是不可行的；（2）不得影響核電站的任何控制邏輯；（3）必須與現(xiàn)有儀控系統(tǒng)集成部署。以下從數(shù)據(jù)完整性和冗余兩方面，通過(guò)對(duì)比多個(gè)不同方案，闡述適用于工業(yè)數(shù)據(jù)安全防護(hù)的具體方法和措施。

1 數(shù)據(jù)完整性方案

加密哈希主要用于完整性檢查。下面的解決方案可以提供數(shù)據(jù)完整性，但是，每種解決方案都有自己的優(yōu)點(diǎn)和缺點(diǎn)。

解決方案 1：每個(gè)向量的加密散列。使用加密哈希函數(shù)生成每個(gè)向量的散列，例如SHA256算法。每個(gè)散列存儲(chǔ)在同一臺(tái)計(jì)算機(jī)或不同計(jì)算機(jī)上的另一個(gè)數(shù)據(jù)庫(kù)中。知道這種機(jī)制的攻擊者在繞過(guò)的同時(shí)，會(huì)破壞向量的同時(shí)覆蓋相應(yīng)的散列。

解決方案 2：哈希鏈。每個(gè)向量對(duì)應(yīng)一個(gè)散列：按照上面討論的解決方案1的方法生成每個(gè)向量的加密散列。但是，在這種情況下，加密哈希函數(shù)的輸入不僅是當(dāng)前的向量，而且也將前一個(gè)向量的加密散列與當(dāng)前的向量一起作為輸入。但是，如果攻擊者蓋寫整個(gè)哈希鏈而未被發(fā)現(xiàn)，那么此解決方案就無(wú)法檢測(cè)到攻擊。當(dāng)攻擊者未更改向量數(shù)據(jù)庫(kù)中的任何內(nèi)容，但刪除部分或全部散列時(shí)，由于缺乏哈希有效性校驗(yàn)，解決方案1和解決方案2都無(wú)法確保數(shù)據(jù)完整性。

解決方案 3：去中心化哈希鏈。保留了解決方案2的哈希生成機(jī)制，但哈希鏈的存儲(chǔ)在架構(gòu)上是分散的，在邏輯上是集中的。這意味著相同的哈希鏈存儲(chǔ)在多臺(tái)計(jì)算機(jī)中，而不是單個(gè)計(jì)算機(jī)中。然而，在設(shè)計(jì)這種去中心化存儲(chǔ)時(shí)會(huì)遇到幾個(gè)挑戰(zhàn)：如何在網(wǎng)絡(luò)上安全地同步哈希鏈？當(dāng)不同的計(jì)算機(jī)上有不同的哈希鏈時(shí)，如何選擇正確的哈希鏈？這些問(wèn)題可通過(guò)區(qū)塊鏈[2]得到解決。

解決方案 4：區(qū)塊鏈作為去中心化哈希存儲(chǔ)。區(qū)塊鏈?zhǔn)潜忍貛诺牡讓蛹夹g(shù)，一種分布式賬本。每個(gè)區(qū)塊可能包含一個(gè)或多個(gè)事務(wù)。由于每個(gè)區(qū)塊都包含前一個(gè)區(qū)塊的散列，因此攻擊者幾乎不可能更改每個(gè)區(qū)塊內(nèi)的數(shù)據(jù)（事務(wù)）。

區(qū)塊鏈在架構(gòu)上是分散的，在邏輯上是集中的。一個(gè)相同的區(qū)塊鏈存儲(chǔ)在網(wǎng)絡(luò)中的多臺(tái)計(jì)算機(jī)上。這些計(jì)算機(jī)之間的塊同步是通過(guò)使用共識(shí)機(jī)制來(lái)實(shí)現(xiàn)的。共識(shí)規(guī)則的選擇可以改變區(qū)塊鏈去中心化的行為，即公有或私有區(qū)塊鏈。區(qū)塊的加密鏈與共識(shí)協(xié)議一起保護(hù)區(qū)塊鏈免受網(wǎng)絡(luò)攻擊。

區(qū)塊鏈?zhǔn)褂玫讓蛹軜?gòu)提供事務(wù)防篡改功能，同時(shí)，通過(guò)應(yīng)用運(yùn)行在區(qū)塊鏈之上的基于事務(wù)的狀態(tài)機(jī)來(lái)實(shí)現(xiàn)數(shù)字資產(chǎn)的跟蹤，即包含任何信息的交易。在這種情況下，交易是觸發(fā)區(qū)塊鏈內(nèi)部狀態(tài)機(jī)的輸入。狀態(tài)機(jī)的狀態(tài)變量通過(guò)處理交易的輸入而改變。狀態(tài)機(jī)將其狀態(tài)變量存儲(chǔ)在區(qū)塊鏈的塊中。區(qū)塊鏈為這些狀態(tài)變量提供防篡改功能。這種基于交易的狀態(tài)機(jī)最初是由以太坊引入，并稱為智能合約。

從上面的方案對(duì)比可以看出，通過(guò)使用區(qū)塊鏈和共識(shí)機(jī)制，可以解決上述去中心化問(wèn)題。此外，任何類型的數(shù)據(jù)都可以使用智能合約存儲(chǔ)在區(qū)塊鏈中。通過(guò)使用區(qū)塊鏈可以更輕松地實(shí)現(xiàn)去中心化哈希鏈架構(gòu)。向量的散列存儲(chǔ)在區(qū)塊鏈的塊中，如圖1所示。

圖1 區(qū)塊鏈用于哈希存儲(chǔ)

哈希鏈和去中心化是在底層區(qū)塊鏈層完成的。因此，只有向量的單個(gè)散列需要存儲(chǔ)在防篡改的區(qū)塊鏈中。這種使用區(qū)塊鏈作為底層來(lái)提供數(shù)據(jù)完整性的概念，如圖2所示。

圖2 區(qū)塊鏈用于數(shù)據(jù)完整性概念圖

除了上面提到的方案，還有其他機(jī)制來(lái)保證數(shù)據(jù)庫(kù)的數(shù)據(jù)完整性。數(shù)據(jù)二極管[3]是提供只讀數(shù)據(jù)庫(kù)的解決方案。數(shù)據(jù)二極管提供來(lái)自底層網(wǎng)絡(luò)層的單向數(shù)據(jù)流。但是，在數(shù)據(jù)庫(kù)網(wǎng)絡(luò)中使用數(shù)據(jù)二極管可能會(huì)影響儀控系統(tǒng)的當(dāng)前網(wǎng)絡(luò)架構(gòu)。

另一種方法將數(shù)據(jù)庫(kù)配置為向其添加值，并且不允許對(duì)數(shù)據(jù)進(jìn)行任何其他操作。但是，攻擊者可能不會(huì)使用數(shù)據(jù)庫(kù)引擎蓋寫數(shù)據(jù)。相反，攻擊者可能會(huì)更改操作系統(tǒng)較低層的值。這種操縱將給檢測(cè)數(shù)據(jù)完整性帶來(lái)重大挑戰(zhàn)。

2 數(shù)據(jù)冗余性方案

為儀控系統(tǒng)的工業(yè)數(shù)據(jù)提供冗余可快速實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。在儀控系統(tǒng)中，數(shù)據(jù)根據(jù)核電站的規(guī)模存儲(chǔ)在一個(gè)或多個(gè)數(shù)據(jù)庫(kù)中。下面將闡述數(shù)據(jù)冗余的方法及其優(yōu)缺點(diǎn)。

解決方案 1：傳統(tǒng)備份系統(tǒng)。備份系統(tǒng)可以定期將數(shù)據(jù)從數(shù)據(jù)庫(kù)復(fù)制到存檔文件和另一個(gè)存儲(chǔ)設(shè)備上。此類備份的目的是在發(fā)生數(shù)據(jù)丟失事件后恢復(fù)原始數(shù)據(jù)。

解決方案 2：靜態(tài)復(fù)制。在靜態(tài)復(fù)制中數(shù)據(jù)從數(shù)據(jù)庫(kù)實(shí)時(shí)復(fù)制到另一個(gè)類似的設(shè)備中。然而，由于每個(gè)數(shù)據(jù)庫(kù)都需要存儲(chǔ)整個(gè)狀態(tài)數(shù)據(jù)，因此，需要配備大量的數(shù)據(jù)庫(kù)。然而，大多數(shù)儀控系統(tǒng)只配備少量的數(shù)據(jù)庫(kù)。攻擊者可以更改所有復(fù)制的數(shù)據(jù)庫(kù)中的數(shù)據(jù)，或者攻擊者可以選擇性地清除所有數(shù)據(jù)庫(kù)中的數(shù)據(jù)。

解決方案 3：動(dòng)態(tài)復(fù)制。在動(dòng)態(tài)復(fù)制中，要復(fù)制的數(shù)據(jù)被分割成更小的數(shù)據(jù)塊。網(wǎng)絡(luò)中的多臺(tái)計(jì)算機(jī)（稱為節(jié)點(diǎn)）復(fù)制數(shù)據(jù)塊。每個(gè)數(shù)據(jù)塊都被復(fù)制到網(wǎng)絡(luò)中所有節(jié)點(diǎn)中的一組動(dòng)態(tài)選擇的節(jié)點(diǎn)?？梢栽趦x控系統(tǒng)中配置要復(fù)制的節(jié)點(diǎn)數(shù)量，例如，在Hadoop分布式文件系統(tǒng)（HDFS）[4]中每個(gè)數(shù)據(jù)塊被復(fù)制到三個(gè)不同的節(jié)點(diǎn)，如圖3所示。

圖3 HDFS架構(gòu)

在HDFS架構(gòu)中，有Namenode、Datanodes和Client。Datanodes 負(fù)責(zé)存儲(chǔ)文件的數(shù)據(jù)塊，而Namenode 負(fù)責(zé)跨不同數(shù)據(jù)節(jié)點(diǎn)的數(shù)據(jù)塊復(fù)制。Client為最終用戶提供了一個(gè)接口來(lái)操作系統(tǒng)中的文件。HDFS中的每個(gè)文件都存儲(chǔ)為塊序列。文件中除最后一個(gè)塊外的所有塊的大小相同。文件中的塊在大型集群中的不同數(shù)據(jù)節(jié)點(diǎn)之間動(dòng)態(tài)復(fù)制。存儲(chǔ)文件數(shù)據(jù)塊副本的數(shù)據(jù)節(jié)點(diǎn)列在Namenode內(nèi)該文件的元數(shù)據(jù)中。每個(gè)文件的塊大小和復(fù)制因子是可配置的。

在儀控系統(tǒng)中，上述描述的動(dòng)態(tài)復(fù)制用于核電站網(wǎng)絡(luò)中的不同數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)中的數(shù)據(jù)收集為多個(gè)時(shí)間序列的向量形式。數(shù)據(jù)庫(kù)中的每個(gè)向量都可以通過(guò)電廠網(wǎng)絡(luò)復(fù)制到其他數(shù)據(jù)庫(kù)中，標(biāo)記為副本。例如，假設(shè)考慮工廠中有100個(gè)數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)1的向量1被復(fù)制到數(shù)據(jù)庫(kù)3和4，而數(shù)據(jù)庫(kù)1的向量2被復(fù)制到數(shù)據(jù)庫(kù)6和10。當(dāng)一個(gè)向量被篡改時(shí)，它可以從任何一個(gè)副本節(jié)點(diǎn)中恢復(fù)。攻擊者必須知道要損壞的向量的所有副本的位置或所有數(shù)據(jù)庫(kù)都必須受到攻擊，而這使攻擊者的任務(wù)變得極具挑戰(zhàn)性。在三種冗余機(jī)制中，動(dòng)態(tài)冗余被認(rèn)為最優(yōu)。

3 工業(yè)數(shù)據(jù)安全防護(hù)架構(gòu)與設(shè)計(jì)

采用區(qū)塊鏈和動(dòng)態(tài)復(fù)制相結(jié)合的方式來(lái)實(shí)現(xiàn)工業(yè)數(shù)據(jù)安全的防護(hù)。區(qū)塊鏈用于去中心化的散列存儲(chǔ)架構(gòu)，以保證數(shù)據(jù)完整性。通過(guò)動(dòng)態(tài)復(fù)制實(shí)現(xiàn)對(duì)數(shù)據(jù)完整性攻擊的恢復(fù)能力。工業(yè)控制系統(tǒng)每一階段的數(shù)據(jù)都保存到相應(yīng)的數(shù)據(jù)庫(kù)中。傳感器的測(cè)量值按時(shí)間序列存為向量。每個(gè)向量的生成相應(yīng)的散列并將其存儲(chǔ)在區(qū)塊鏈中。散列大小和區(qū)塊鏈中塊大小的組合是數(shù)據(jù)安全防護(hù)的主要開(kāi)銷。為了減少存儲(chǔ)開(kāi)銷，例如為一分鐘間隔收集的向量組生成散列。

向量分組可實(shí)現(xiàn)跨多個(gè)存儲(chǔ)節(jié)點(diǎn)執(zhí)行動(dòng)態(tài)復(fù)制。每組向量被復(fù)制到電廠網(wǎng)絡(luò)中的不同存儲(chǔ)節(jié)點(diǎn)。與在HDFS中一樣，存儲(chǔ)節(jié)點(diǎn)以及每個(gè)向量組的副本必須存儲(chǔ)在媒體上，以備恢復(fù)使用。由于每個(gè)向量組的散列都存儲(chǔ)在區(qū)塊鏈中，因此每個(gè)組對(duì)應(yīng)的存儲(chǔ)節(jié)點(diǎn)可以與散列一起存儲(chǔ)在區(qū)塊鏈中。散列、時(shí)間范圍和存儲(chǔ)節(jié)點(diǎn)列表共同構(gòu)成了向量組的索引。索引存儲(chǔ)在區(qū)塊鏈的區(qū)塊內(nèi)。來(lái)自儀控系統(tǒng)中每個(gè)數(shù)據(jù)存儲(chǔ)在相應(yīng)的存儲(chǔ)節(jié)點(diǎn)內(nèi)，并動(dòng)態(tài)復(fù)制到其他存儲(chǔ)節(jié)點(diǎn)。圖4顯示了基于區(qū)塊鏈技術(shù)的工業(yè)數(shù)據(jù)安全防護(hù)的架構(gòu)。

使用智能合約在區(qū)塊鏈的區(qū)塊內(nèi)存儲(chǔ)索引。智能合約可以保存任何類型的狀態(tài)變量，例如整數(shù)、字符串、數(shù)組、映射和結(jié)構(gòu)。結(jié)構(gòu)數(shù)據(jù)類型用于包含向量組的散列、時(shí)間范圍和存儲(chǔ)節(jié)點(diǎn)列表的索引。可以使用具有動(dòng)態(tài)長(zhǎng)度的空索引數(shù)組初始化智能合約。當(dāng)存儲(chǔ)節(jié)點(diǎn)存儲(chǔ)向量組的索引時(shí)，索引會(huì)附加到數(shù)組中。

智能合約包含存儲(chǔ)新索引的函數(shù)。該函數(shù)的參數(shù)包括向量組的散列和時(shí)間范圍。為了存儲(chǔ)向量組的索引，存儲(chǔ)節(jié)點(diǎn)發(fā)送一個(gè)事務(wù)，其中包含對(duì)智能合約的函數(shù)調(diào)用以及相應(yīng)的參數(shù)。在索引通過(guò)智能合約的狀態(tài)變量成功存儲(chǔ)在區(qū)塊鏈中后復(fù)制該向量組。

在此架構(gòu)中，每個(gè)存儲(chǔ)節(jié)點(diǎn)都有自己的加密密鑰對(duì)。存儲(chǔ)節(jié)點(diǎn)的公鑰在部署時(shí)被標(biāo)記為授權(quán)在智能合約中存儲(chǔ)索引。然后，存儲(chǔ)節(jié)點(diǎn)發(fā)送事務(wù)以存儲(chǔ)向量組的索引。此方法可以防止從未知資源存儲(chǔ)接收的索引。

總之，本框架以有效的方式利用區(qū)塊鏈，為工業(yè)數(shù)據(jù)的完整性檢查提供不可變的散列。通過(guò)使用動(dòng)態(tài)復(fù)制以有效實(shí)現(xiàn)向量的冗余。

圖4 基于區(qū)塊鏈技術(shù)的工業(yè)數(shù)據(jù)安全防護(hù)架構(gòu)

4 結(jié)束語(yǔ)

本文研究了為抵御網(wǎng)絡(luò)攻擊維護(hù)數(shù)據(jù)完整性以及冗余的解決方案，并通過(guò)對(duì)比優(yōu)缺點(diǎn)，設(shè)計(jì)了基于區(qū)塊鏈技術(shù)的工業(yè)數(shù)據(jù)安全防御的架構(gòu)。使用區(qū)塊鏈作為數(shù)據(jù)存儲(chǔ)機(jī)制可以保證數(shù)據(jù)防篡改，提高數(shù)據(jù)的真實(shí)性。

[1]K. Stouffer， J. Falco， K. Scarfone， Guide to industrial control systems （ICS） security， in： NIST Special Publication， vol. 800，2011.

[2]S. Nakamoto，Bitcoin：A Peer-to-Peer Electronic Cash System，2010，https://bitcoin.org/bitcoin.pdf.

[3]王文宇，劉玉紅.基于數(shù)據(jù)二極管技術(shù)的百度木馬防御研究[J].信息安全與通信保密，2011.

[4]趙波，郭瑞.Hadoop框架核心技術(shù)在高校大數(shù)據(jù)教學(xué)系統(tǒng)中的應(yīng)用[J].無(wú)線互聯(lián)科技，2017.