摘 要：企業(yè)底層的設備數據作為物理世界與數字世界的橋梁具有重要的意義，隨著工業(yè)互聯網技術的不斷發(fā)展，數據采集也成為企業(yè)數字化轉型的基礎能力。由于企業(yè)數據具有很高的商業(yè)價值，而傳統(tǒng)的數據傳輸方式所采用的技術較為簡單，存在較多的安全問題。為了保障數據采集與傳輸過程的安全性，文中基于工業(yè)互聯網標識解析體系與主動標識載體設計了一套數據采集系統(tǒng)。該系統(tǒng)結合支持國密的可信標識服務平臺，采用認證密鑰來進行安全認證，可實現數據的安全防篡改，具備完善的加密與身份驗證機制，可以很好地解決傳統(tǒng)方式下存在的問題。

關鍵詞：數據采集；標識解析；主動標識載體；工業(yè)互聯網；數據安全；數字化轉型

中圖分類號：TP399 文獻標識碼：A 文章編號：2095-1302（2025）03-00-04

0 引 言

工業(yè)數據是物理世界與數字世界的橋梁，也是企業(yè)信息化的基礎。近些年在“工業(yè)互聯網”“工業(yè)4.0”的大背景下，多源異構的數據采集系統(tǒng)建設已經逐漸完善，數據安全已成為數字化發(fā)展的前提?！吨腥A人民共和國網絡安全法》《關于加強國家網絡安全標準化工作的若干意見》等一系列法規(guī)及政策文件都對數據安全提出了明確的要求。2021年《數據安全法》正式發(fā)布，進一步表明了數據安全的重要性。如何保證工業(yè)系統(tǒng)數據采集過程中的數據安全已成為非常重要的課題。

1 數據采集

在工業(yè)互聯網領域，數據是企業(yè)以及整個行業(yè)最重要的資源，是實現企業(yè)信息化的基礎，也是行業(yè)發(fā)展的驅動力。對數據進行深層次的挖掘、分析能夠產生巨大的價值，而這一切的基礎就是對底層工業(yè)設備原始數據的采集。

工業(yè)數據采集過程主要包括數控機床、傳感器、攝像頭、各類DCS和PLC等工業(yè)設備的接入、協(xié)議解析、底層數據格式的解析與轉換、數據存儲與預處理等環(huán)節(jié)[1]。為實現不同廠家設備在差異較大的運行環(huán)境中對數據的實時高效采集，需要大量IT、OT和CT核心關鍵技術作為支撐。在工業(yè)數據采集領域，常用的通信網絡技術主要包括工業(yè)現場總線、工業(yè)以太網、工業(yè)光纖網絡、TSN、NB-IoT、4G/5G等。

工業(yè)數據對于企業(yè)來說具有很高的經濟價值，關鍵數據泄露會給企業(yè)帶來巨大的經濟損失，現階段海量的工業(yè)設備有著復雜多樣的通信協(xié)議，傳統(tǒng)數據采集系統(tǒng)面臨的安全防護挑戰(zhàn)[2]包括以下兩方面：

（1）由于企業(yè)信息化水平普遍較低，受目前的數據傳輸手段與技術限制，企業(yè)數據在傳輸過程中存在較高的泄露風險，并且存在監(jiān)測溯源難的問題[3]。同時在大流量、虛擬化等環(huán)境下難以有效捕捉敏感數據和安全威脅。

（2）在數據的可信性方面，因為涉及數據安全及商業(yè)機密，目前大部分的企業(yè)數據僅支持企業(yè)自己查詢和使用。由于缺乏權威的認證體系，導致無法追溯數據流向，阻礙了數據的安全有序共享。

基于工業(yè)互聯網標識解析體系的主動標識載體可以有效解決上述問題。

2 工業(yè)互聯網標識解析體系

工業(yè)互聯網標識解析體系是工業(yè)互聯網網絡架構的重要組成部分，既是支撐工業(yè)互聯網網絡互聯互通的基礎設施，也是實現工業(yè)互聯網數據共享共用的核心[4]。工業(yè)互聯網標識解析體系由以下兩部分組成：

（1）標識：指為設備、產品等實體物品及算法、工序等虛擬資源在網絡中分配的唯一身份ID，類似于“身份證”。

（2）解析體系：指利用分配的標識ID，查詢已上傳至國家標識解析體系的物理和虛擬資源信息，實現對機器和物品的定位。

標識及解析體系是實現全球供應鏈系統(tǒng)和企業(yè)生產系統(tǒng)精準對接、產品全生命周期管理和智能化服務的前提和基礎[5]。

截至2022年年底，我國工業(yè)互聯網標識解析體系已經構建了包括“武漢、廣州、重慶、上海、北京”5個國家頂級節(jié)點和“南京、成都”2個災備節(jié)點，初步建成功能完備、自主可控的標識解析體系，開啟了工業(yè)互聯網全要素、全產業(yè)鏈、全價值鏈、全面連接的新篇章。目前，標識解析已被應用于能源、船舶、醫(yī)療、食品等多個行業(yè)，在與制造業(yè)和信息通信等多領域技術的融合集成中顯現了巨大的生命力和創(chuàng)造力，為進一步創(chuàng)造新的工業(yè)互聯網發(fā)展動能奠定了基礎[6]。

3 標識載體與主動標識載體

標識載體是用來承載標識編碼信息的物理或虛擬資源。根據其是否能夠主動與標識解析服務節(jié)點、標識應用平臺等發(fā)生通信交互，可以分為被動標識載體和主動標識載體兩類。

被動標識載體一般附著在工業(yè)設備或者產品的表面以方便讀卡器讀取，存在標識信息易被復制、被盜用和被誤用的問題。常見的被動標識載體有一維條形碼、二維碼、RFID、NFC等。

主動標識載體是指可以嵌入工業(yè)設備內部，承載工業(yè)互聯網標識編碼及其必要的安全證書、算法和密鑰，具備聯網通信能力，能夠主動向解析節(jié)點或應用平臺發(fā)起連接的新型載體技術，目前主要分為通用集成電路卡、安全芯片和通信模組3種類型[7-9]。

主動標識載體的基本能力包括：

（1）承載工業(yè)標識符及其必要的身份憑證和安全算法，能夠主動建立網絡連接通道。

（2）支持主動標識載體安全認證服務平臺的標識管理功能，能夠根據平臺的要求寫入、修改、刪除、查詢、存儲工業(yè)互聯網標識。

（3）支持主動標識載體安全認證服務平臺的身份憑證管理功能，能夠根據平臺的要求寫入、修改、刪除、存儲身份憑證；同時支持連接安全認證服務平臺進行身份認證。

（4）具備多模態(tài)，能夠處理多源異構的工業(yè)數據。

（5）" 嵌入在工業(yè)設備內部，不容易被盜取，有很高的安全性。

主動標識載體有多種集成方式，可以方便地集成到工業(yè)設備內部，采用主動標識載體進行數據采集的優(yōu)勢有：

（1）能夠完全覆蓋基礎工業(yè)設備數據采集協(xié)議，支持MQTT、CoAP、Modbus、Modbus-TCP等工業(yè)現場協(xié)議。

（2）兼容各類傳統(tǒng)的通信技術，如3G、4G等，還支持5G、NB-loT等新型通信技術。

（3）具備強大的安全保護能力，能夠應對復雜應用環(huán)境中的各類攻擊，有效保護用戶數據。一機一密，支持多種國密算法，如RSA、AES、SM2、SM3、SM9。

（4）使用SDK嵌入的模塊化設計和層次化架構，支持二次開發(fā)。

（5）具有低功耗、小尺寸、低成本等特點。

（6）滿足多場景主動標識應用，如設備遠程運維、冷鏈運輸管理、企業(yè)數據協(xié)同、智慧交通、智慧園區(qū)等。

基于以上特點，本文設計的主動標識設備可主動向標識解析服務節(jié)點或標識數據服務平臺發(fā)起連接，利用標識解析中間件技術，實現工業(yè)設備和應用軟件之間數據的轉換、過濾、安全傳輸等功能。設備向上對接標識解析二級節(jié)點，向下為企業(yè)接入標識注冊、數據同步和解析等功能，提供標準統(tǒng)一服務，提升接入的便利性。主動標識設備（載體）將引領工業(yè)數字化轉型，賦能千行百業(yè)終端設備的安全接入，實現萬物互聯互通，滿足海量物聯網產品的數智化發(fā)展需要。

4 可信數據采集系統(tǒng)

目前的數據采集系統(tǒng)大多存在以下問題：

（1）傳統(tǒng)的采集方法通常是周期性數據采集，導致數據的更新和反饋有一定的延遲。這使得企業(yè)無法實時查看數據，無法及時采取調整和優(yōu)化措施。

（2）數據在交換和傳輸時存在易篡改、易泄露等問題，給數據的安全帶來極大風險。同時數據的準確性和完整性可能會受到惡意操作、技術故障和錯誤采集等問題的威脅。

為此，本文設計了一套基于主動標識載體的可信數據采集系統(tǒng)。

4.1 系統(tǒng)架構

基于工業(yè)互聯網標識解析體系及主動標識載體技術，結合支持國密的可信標識服務平臺[10-12]，采用認證密鑰來進行安全認證[13]，可實現安全防篡改的數據采集系統(tǒng)。系統(tǒng)由工業(yè)終端（包含主動標識載體、工業(yè)應用系統(tǒng)）、標識解析體系企業(yè)節(jié)點（包含主動標識載體管理平臺、可信標識服務平臺、數據服務平臺）、標識解析應用平臺、國家標識解析體系等功能模塊構成。其中企業(yè)節(jié)點屬于企業(yè)信息系統(tǒng)，向上對接國家標識解析體系，向下對接企業(yè)內部系統(tǒng)，同時需要遵從企業(yè)相關規(guī)定以及標識解析體系的編碼規(guī)范、技術標準、管理規(guī)范、運營規(guī)范等管理體系要求。系統(tǒng)設計架構如圖1所示。

4.2 功能模塊

主動標識載體：具備主動建立網絡連接通信的能力，提供主動標識載體設備憑證存儲、企業(yè)節(jié)點信息存儲、主動標識載體標識碼存儲的能力，支持基于數字證書的數字簽名。

工業(yè)應用：調用主動標識載體接口對采集的數據進行簽名并進行數據上報，提供人機交互界面、業(yè)務流程編排定制服務，專注于業(yè)務流程的實現，是安裝于工業(yè)終端的可執(zhí)行程序。

主動標識載體管理平臺：通過可信標識服務平臺實現對主動標識載體的管理操作，管理企業(yè)所有主動標識載體，負責主動標識載體標識碼的發(fā)放與維護、企業(yè)證書維護、企業(yè)節(jié)點信息維護等業(yè)務功能。

可信服務平臺：支持多種國密算法，負責主動標識載體的憑證存儲與信息管理以及證書管理、身份認證、數據加簽驗簽等功能。根據工業(yè)互聯網標識、主動標識載體標識等信息生成憑證，將工業(yè)互聯網標識、主動標識載體標識、企業(yè)CA證書、企業(yè)節(jié)點IP地址或URL等信息寫入主動標識載體中。

數據服務平臺：收集工業(yè)終端采集的數據信息，并連接可信標識服務平臺驗證數據的合法性，保證數據不可篡改及其安全性。向上對接標識解析應用平臺。

標識解析應用平臺：提供企業(yè)前綴維護、標識全生命周期管理、標識能力開放等功能。

國家標識解析體系：主要包含國家頂級節(jié)點、二級節(jié)點和公共遞歸解析節(jié)點。國家頂級節(jié)點面向全國范圍提供頂級標識解析服務，以及標識備案、標識認證等管理能力。二級節(jié)點分為面向特定行業(yè)的行業(yè)節(jié)點和泛行業(yè)的綜合節(jié)點兩類，向上對接國家頂級節(jié)點，向下為企業(yè)提供前綴申請、標識全生命周期管理等服務接口。公共遞歸解析節(jié)點是標識解析體系的關鍵性入口，能夠通過緩存等技術手段提升整體服務性能。

4.3 業(yè)務流程

流程1：包含標識解析中間件，對接國家標識解析體系，消除二級節(jié)點變動給企業(yè)帶來的影響，提升接入的便利性，完成企業(yè)接入、前綴申請、企業(yè)CA證書申請。

流程2：維護主動標識載體標識碼（支持對標識碼的增刪改查）、向可信標識服務平臺提供企業(yè)CA證書、維護企業(yè)節(jié)點信息（IP地址或URL）及主動標識載體的綁定關系，通過可信標識服務平臺實現企業(yè)節(jié)點與主動標識載體的雙向身份鑒別，保證數據的完整和防篡改，提供保證數據合法性的基礎能力。

流程3：通過工業(yè)終端產品采集工業(yè)設備數據，并連接主動標識載體模塊對數據進行加密簽名，然后上報至企業(yè)節(jié)點數據服務平臺，上報數據包含業(yè)務數據、憑證等。數據服務平臺調用安全認證服務平臺完成終端上報數據簽名值的驗簽，保證數據的合法性。

主要功能流程如圖2、圖3所示。

5 結 語

本文設計了一套基于主動標識載體的可信數據采集系統(tǒng)，創(chuàng)新點如下：

（1）設備數據采集和分析管理：對于大部分企業(yè)，數據采集工作不但繁重，同時也無法保證數據的準確性，如何實現高效、簡潔、實時的數據采集是目前企業(yè)所面臨的一大難題。

通過標識解析體系的主動標識載體能夠建立基礎數據采集分析管理機制，利用主動標識載體采集設備工作和運行狀態(tài)數據，實現對設備的監(jiān)視與控制，配合標識解析企業(yè)節(jié)點上傳標識數據至用戶平臺，對采集的數據進行分析、處理與診斷，同時也可為產品生命周期管理系統(tǒng)（PLM）和企業(yè)資源管理系統(tǒng)（ERP）等其他工業(yè)軟件提供數據支持，具有助力企業(yè)數據采集、設備監(jiān)控、數據分析處理等能力。

（2）數據身份認證：基于標識解析體系與主動標識載體的可信數據采集系統(tǒng)可有效解決數據采集過程中的數據安全問題，數據身份認證在不同的安全域之間提供身份認證和授權信息交換服務，為用戶跨平臺進行身份認證和授權提供了方便，可以解決多個系統(tǒng)共享認證、授權過程中的信息傳遞問題。

結合主動標識載體與工業(yè)互聯網標識解析體系、區(qū)塊鏈技術，對采集到的設備數據進行統(tǒng)一標識和處理，有效消除了原始數據的不確定性和誤差，有助于提高采集數據的準確性。

通過數據溯源，可以驗證數據的真實性和完整性。當數據被采集和記錄后，主動標識載體可以通過主動標識載體管理平臺與工業(yè)互聯網標識解析體系建立連接，記錄采集過程中的關鍵環(huán)節(jié)和參數。這種溯源機制能夠防止數據被篡改和偽造，提高數據的可信度。

參考文獻

[1]王琳，商周，王學偉.數據采集系統(tǒng)的發(fā)展與應用[J].電測與儀表， 2004， 41（8）： 4-8.

[2]馮登國，張敏，李昊.大數據安全與隱私保護[J].計算機學報，2014，37（1）：246-258.

[3]陳雪鴻，楊帥鋒，張雪瑩.淺談工業(yè)互聯網數據安全防護[J].自動化博覽， 2021， 38（1）： 15-17.

[4]任語錚， 謝人超， 曾詩欽， 等.工業(yè)互聯網標識解析體系綜述[J].通信學報，2019，40（11）：138-155.

[5]工業(yè)互聯網產業(yè)聯盟和中國通信標準化協(xié)會.工業(yè)互聯網標識解析標準化白皮書（2020年）[EB/OL]. （2021-01-25）. https：//www.aii-alliance.org/upload/202102/0222_094332_553.pdf.

[6]賈雪琴，林晨，周曉宇，等. UICC賦能基于工業(yè)互聯網標識的可信數據采集[J].信息通信技術與政策， 2019（8）： 52-55.

[7]趙春澤. UICC安全特性研究及實現[J].重慶郵電大學學報（自然科學版），2008（5）：557-560.

[8]何偉俊，黃健文，梁棟，等.基于UICC架構的CSIM卡安全機制探討[J].電子技術應用，2012，38（4）：141-144.

[9]余果，王沖華，陳雪鴻，等.認證視角下的工業(yè)互聯網標識解析安全[J].信息網絡安全， 2020（9）： 77-81.

[10]李建立，莫燕南，粟濤，等.基于國密算法SM2、SM3、SM4的高速混合加密系統(tǒng)硬件設計[J].計算機應用研究，2022，39（9）：2818-2825.

[11]胡景秀，楊陽，熊璐，等.國密算法分析與軟件性能研究[J].信息網絡安全，2021，21（10）：8-16.

[12]蘇彬庭，陳明志，許力，等.國密算法在工業(yè)互聯網安全中的應用研究[J].信息技術與網絡安全，2021，40（3）：28-31.

[13]張建雄，吳曉麗，楊震，等.基于工業(yè)物聯網的工業(yè)數據采集技術研究與應用[J].電信科學，2018（10）：124-129.