陳峰

(92493 部隊，遼寧 葫蘆島 125000)

0 引言

隨著現(xiàn)代化網絡技術和信息化的不斷發(fā)展，如今的裝備控制形態(tài)早已從過去傳統(tǒng)的人力控制型轉變?yōu)樾畔⒆詣踊刂菩?。我國也在努力研制國產化自主研發(fā)裝備，結合相關領域的快速發(fā)展，我國軍事裝備領域取得了穩(wěn)健的發(fā)展態(tài)勢。裝備控制主要涉及自動控制技術、機械技術、計算機信息技術、機電一體化技術等。軍事裝備一體化技術在我國多方領域應用廣泛，為軍事現(xiàn)代化的推進提供支持和指導。

現(xiàn)代化軍事裝備控制系統(tǒng)牽一發(fā)而動全身，對其各項組成部分，各項單元和指標有極為嚴格的要求。首先是要求軍事裝備系統(tǒng)盡量自動化，要求軍事裝備系統(tǒng)能夠提升其先進性，利用機電一體化技術，使裝備系統(tǒng)在每一步執(zhí)行中自動觸發(fā)，減少操作人員對系統(tǒng)的操縱和干預；其次是可靠性，由于軍事裝備的特殊性，對裝備系統(tǒng)的可靠性要求非常嚴格，可靠性的高低決定了其軍事裝備在實戰(zhàn)當中的可用性，增強裝備系統(tǒng)在干擾環(huán)境下的持續(xù)可用性；第三是對裝備系統(tǒng)的準確性要求，在軍事領域當中，每一個裝備運行的方向角度、軌道位置、溫度范圍等都非常嚴格，要求裝備系統(tǒng)能夠利用輔助系統(tǒng)(如自動跟蹤系統(tǒng)、溫度反饋系統(tǒng)和自動瞄準系統(tǒng)等)提高自身的準確性，保障裝備系統(tǒng)整體的精準程度。

新時代中國特色社會主義思想的核心內容的“八個明確”中指出了新時代的強軍目標。軍事裝備系統(tǒng)的先進性對實現(xiàn)強軍目標具有重要意義。一旦某個軍事裝備被不法分子或敵軍控制，將對我方裝備系統(tǒng)、財產安全，甚至人員生命安全造成不可估量的傷害。例如2001 年的“9.11 事件”，被恐怖分子劫持的兩家民航客機撞毀美國世界貿易中心的兩幢樓，后續(xù)又撞毀位于華盛頓的美國國防部五角大樓?！?.11 事件”造成的損失十分嚴重，遇難者人數(shù)達到2 996 人，經濟損失約2 000 億美元。因此，在軍事裝備控制系統(tǒng)中安排預設的自毀指令是十分必要的，一旦某武器裝備被敵軍所控制，自毀指令可使我方的各方面?zhèn)蛽p失最小化。

現(xiàn)有的裝備控制系統(tǒng)的檢測和審計機制主要是依賴于中心化的服務器，一旦中心化服務器遭到攻擊或破壞，對整個裝備控制系統(tǒng)將會是毀滅性的打擊。本文針對傳統(tǒng)中心化裝備控制系統(tǒng)的致命性風險，研究分布式裝備試驗控制信息審計與監(jiān)控技術，為裝備控制系統(tǒng)的安全性提供可靠保障。

本文首先提出了基于區(qū)塊鏈的分布式裝備試驗控制信息審計與監(jiān)控技術五層系統(tǒng)模型，并利用智能合約實現(xiàn)閉環(huán)反饋控制的全流程監(jiān)督，實現(xiàn)了分布式聯(lián)合試驗的可信監(jiān)管；然后，以飛行器試驗控制器為最小系統(tǒng)為例，給出了模型實現(xiàn)的方案步驟；最后，通過仿真試驗驗證了模型的有效性。

1 相關工作

1.1 裝備控制安全

裝備控制系統(tǒng)的安全性極為重要，許多學者接連提出解決方案和機制保護其安全性。文獻[1]通過分析大量的數(shù)據(jù)資源建設現(xiàn)狀，分析數(shù)據(jù)泄露的原因，建立了裝備數(shù)據(jù)安全分析方法，構建了裝備數(shù)據(jù)全生命周期的安全防護體系；文獻[2]對安全射界裝置進行了安全需求分析，構建了軟件框架和硬件電路，對艦載設備發(fā)射的可靠性和安全性進行驗證；文獻[3]對航空裝備保障工作中的安全因素進行了分析，理論上探討了提高航空裝備安全性的對策；文獻[4]提出在軍事智能化迅速發(fā)展的今天，雖然人工智能等新興技術提高了軍事裝備的戰(zhàn)斗效率，但其安全問題也日益凸顯，倡導消除軍事智能化帶來的安全隱患；文獻[5]指出現(xiàn)代化軍事裝備系統(tǒng)逐漸智能化、復雜化，在執(zhí)行過程中難免會產生大量的不確定性風險，調查了現(xiàn)有軍事裝備事故處理方法的局限性，提出建立軍事裝備保險機制，并理論分析了其可行性及優(yōu)勢。

1.2 區(qū)塊鏈

因區(qū)塊鏈去中心化、不可篡改、永久記錄、可追溯、公開可驗證等特性，在數(shù)據(jù)安全和可靠性方面，適用于眾多行業(yè)[6-11]。在工控系統(tǒng)的智能電網供電方面，文獻[12]提出了通過區(qū)塊鏈的分布式賬本記錄相關電力數(shù)據(jù)，并提供給礦工再匯總權限，但是執(zhí)行效率不高；文獻[13]提出了基于結合區(qū)塊鏈的用電數(shù)據(jù)存儲方案，結合區(qū)塊鏈的節(jié)點共識機制，實現(xiàn)了用戶對敏感用電數(shù)據(jù)的存儲和信息共享；文獻[14]在煙草行業(yè)的工控系統(tǒng)利用區(qū)塊鏈的不可篡改、可靠數(shù)據(jù)庫等特點設計了安全防護系統(tǒng)，實現(xiàn)從信息管理層到現(xiàn)場設備層的信息安全保護和可靠身份認證；文獻[15]提出ICS-BlockOpS 的這一新型架構，將完整性檢查機制與區(qū)塊鏈結合，保證數(shù)據(jù)的不可篡改性和冗余性，以提高工控系統(tǒng)中的數(shù)據(jù)安全性，并將該原型架構實施在正在運行的水處理廠中。

2 系統(tǒng)模型

基于區(qū)塊鏈技術，提出了裝備試驗控制的五層系統(tǒng)模型，包括數(shù)據(jù)采集層、通信層、分布式存儲層、共識層和應用層，如圖1 所示。

圖1 系統(tǒng)模型

2.1 數(shù)據(jù)采集層

數(shù)據(jù)采集層建立在裝備試驗控制系統(tǒng)上，系統(tǒng)中存在大量安控裝備，應由不同的制造商生產或具有不同的設計框架。由于安控裝備部署在整個裝備試驗控制系統(tǒng)中，它們會收集飛行器的飛行狀態(tài)、方向信息和位置信息等，這些數(shù)據(jù)將通過通信層傳輸并存儲在分布式存儲層中。

2.2 通信層

通信層由基站和網絡路由器構成。數(shù)據(jù)采集層中的安控裝備通過無線連接作為點對點網絡相互聯(lián)結。通過這一層，收集到的數(shù)據(jù)將在整個網絡中傳播。

2.3 分布式存儲層

分布式存儲層由安全存儲設備組成，能夠安全地存儲安控裝備采集到的數(shù)據(jù)。此外，系統(tǒng)將為安控裝備在一段時間內收集的每個數(shù)據(jù)段生成消息摘要。

2.4 共識層

共識層是區(qū)塊鏈系統(tǒng)的核心算法。在一個區(qū)塊鏈系統(tǒng)中，所有組成該系統(tǒng)的安控裝備都具有相同的共識。根據(jù)所選擇的共識，系統(tǒng)中的安控裝備首先檢查收集的數(shù)據(jù)的正確性，并將正確收集數(shù)據(jù)的消息摘要記錄在區(qū)塊鏈中。共識層能夠確保區(qū)塊鏈采用的數(shù)據(jù)得到大多數(shù)安控裝備的信任或同意。

2.5 應用層

應用層由共識層實現(xiàn)。裝備試驗控制系統(tǒng)各個階段產生的正確數(shù)據(jù)都會被記錄在區(qū)塊中，因此，可以開發(fā)許多基于區(qū)塊鏈的智能合約來靈活地處理數(shù)據(jù)。并且，區(qū)塊鏈可以將數(shù)據(jù)處理結果與決策數(shù)據(jù)進行對比，一旦出現(xiàn)較大差異，表明本系統(tǒng)判斷錯誤時，智能合約會發(fā)出警報，防止系統(tǒng)受到進一步損害。

3 具體方案

裝備試驗安全保密要求高、時敏性強，涉及光、雷、遙等多類、多型測量控制設備及網絡通信設備，在廣泛的試驗區(qū)域內，存在被惡意控制、仿冒的風險，必須設計可靠有效的監(jiān)管審計方案，保證試驗系統(tǒng)的穩(wěn)定安全運行。

本節(jié)以飛行器試驗控制器為最小系統(tǒng)實例，詳細描述系統(tǒng)具體實施方案。在飛行器飛行過程中，安控裝備能夠收集飛行器的飛行狀態(tài)、方向信息和位置信息，并上傳至智能合約。通過對飛行器的方向和位置判斷，若飛行器不斷靠近重點目標對象，一旦超過最短距離閾值，則智能合約觸發(fā)要求飛行器自毀的指令，防止飛行器由于控制系統(tǒng)錯亂或被敵方控制而對重點目標造成傷害。

如圖2 所示，在這個最小系統(tǒng)中部署了多個安控裝備。其中，部分安控裝備用于檢測飛行器的方向信息，部分安控裝備用于檢測飛行器的位置信息。

圖2 具體裝備控制方案

在本系統(tǒng)中，安控裝備可同時作為區(qū)塊鏈的礦工，系統(tǒng)采用現(xiàn)有的委托權益證明(DPoS)共識機制。如果安控裝備的計算能力有限，也可以將高性能計算機作為礦工進行挖礦，與安控裝備相同，這些高性能計算機也由不同的制造商生產或具有不同的框架。系統(tǒng)流程如下：

(1)初始化。首先，系統(tǒng)執(zhí)行該算法，以對系統(tǒng)模型的每一層進行初始化設置。在輸入安全參數(shù)時，系統(tǒng)選擇具有相對安全級別的密碼算法，同時傳感器之間建立點對點網絡和區(qū)塊鏈創(chuàng)世紀塊。此外，初始化區(qū)塊鏈參數(shù)，包括DPoS 共識機制中的受托人個數(shù)N。

(2)數(shù)據(jù)收集。部分安控裝備收集并檢測飛行器方向信息，部分安控裝備收集并檢測飛行器的位置信息。然后，安控裝備相互傳輸數(shù)據(jù)摘要并將數(shù)據(jù)存儲在分布式存儲設備中。

(3)數(shù)據(jù)驗證。受托人收集數(shù)據(jù)后，將驗證數(shù)據(jù)的正確性。首先，受托人會比較不同安控裝備收集的數(shù)據(jù)，如果收集到的某些數(shù)據(jù)與其他安控裝備的大部分數(shù)據(jù)相差甚遠，則將其丟棄。該步驟確保收集到的數(shù)據(jù)經過可信驗證。

(4)區(qū)塊生成。當驗證數(shù)據(jù)正確，即超過一半的安控裝備數(shù)據(jù)幾乎相同時，受托人將摘要記錄在區(qū)塊中，然后將新生成的區(qū)塊發(fā)布到整個系統(tǒng)。該步驟保證了分布式存儲設備中記錄的數(shù)據(jù)安全且不可篡改，同時為數(shù)據(jù)提供審計服務。

(5)智能判斷?；谂c裝備試驗控制系統(tǒng)相同的反饋控制方法，可以使用許多智能合約。并且，基于卡爾曼濾波器等數(shù)據(jù)處理算法，受托人會計算平均反饋輸入數(shù)據(jù)，然后計算理論反饋輸出數(shù)據(jù)。接著，受托人會檢查飛行器與目標對象的距離是否過近(超過閾值)。一旦兩者距離過近，智能合約將觸發(fā)自毀指令，迫使該飛行器進行立即自毀。該步驟確保系統(tǒng)功能性，是整個框架的核心。

(6)區(qū)塊驗證。當指定的受托人發(fā)布區(qū)塊時，其他安控裝備會驗證區(qū)塊中的數(shù)據(jù)是否正確以及受托人是否誠實地進行智能判斷。一旦發(fā)現(xiàn)塊不正確，每個安控裝備都可以警告操作員，并且對受托安控裝備進行修理或更換；如果塊被驗證是正確的，各安控裝備會將區(qū)塊添加到現(xiàn)有區(qū)塊鏈的末尾。

4 系統(tǒng)分析

在本系統(tǒng)中，安控裝備或高性能計算機均可以作為礦工，挖礦產生新區(qū)塊。假設安控裝備或不同廠商不同架構的計算機擔任礦工時，有51%以上的礦工為誠實的，攻擊者無法同時對51%以上的安控裝備或計算機攻擊成功，即系統(tǒng)不會受到51%算力攻擊。在攻擊者無法對全網進行干預的情況下，智能合約能夠根據(jù)預先定義的轉換規(guī)則，在實際執(zhí)行和理論反饋數(shù)據(jù)相差較大時，自動執(zhí)行相應的業(yè)務邏輯，向操作員發(fā)出警示，降低人在裝備控制系統(tǒng)監(jiān)管過程中的參與度，提高信息處理和審計效率。此外，系統(tǒng)采用的區(qū)塊鏈技術，使得已上傳至鏈上的工控信息不可篡改且永久記錄，保障了信息審計的安全性。

本系統(tǒng)中，指令傳達的延遲可能會對整個系統(tǒng)的可用性造成極大的影響。在裝備控制系統(tǒng)中，延遲最主要來源于智能合約執(zhí)行的速度和區(qū)塊鏈自身的吞吐量。因此，對本文提出的裝備控制系統(tǒng)中智能合約執(zhí)行的延遲進行測試。測試系統(tǒng)為Cent OS 7 四核處理器，具有4 GB RAM、20 GB 硬盤，使用的聯(lián)盟鏈為Hyperleger Fabric v2.3，用Go 語言編程智能合約。

如表1 所示，本測試系統(tǒng)的測試用例成功傳達指令7 627 次，無失敗的指令傳達，發(fā)送率為100%，即257.7 TPS。測試系統(tǒng)的吞吐量在257.6 TPS 左右，平均延遲為0.01 s，最大延遲為0.05 s?？紤]實際系統(tǒng)的應用場景，智能合約的延遲較低，是可接受的。

表1 裝備控制系統(tǒng)智能合約延遲

5 結論

本文針對裝備試驗控制系統(tǒng)中存在的裝備試驗控制信息安全問題，提出了一種基于區(qū)塊鏈的裝備試驗控制信息審計與監(jiān)控系統(tǒng)，利用區(qū)塊鏈的去中心化、不可篡改、永久記錄、可追溯、公開可驗證等特性，實現(xiàn)非可信環(huán)境下裝備試驗信息的可靠記錄和存儲，為裝備試驗控制審計和統(tǒng)計提供支持。在此基礎上，利用區(qū)塊鏈的共識機制和算法的透明性，智能合約能夠實現(xiàn)閉環(huán)反饋控制的全流程監(jiān)督。該系統(tǒng)能夠實現(xiàn)分布式裝備試驗控制的可信監(jiān)管，具有良好的效率和較高的安全性，極大地保障了裝備試驗控制系統(tǒng)的信息安全，在實際應用中具有很高的部署價值。