基于區(qū)塊鏈的智慧云制造系統(tǒng)安全架構(gòu)*

杜 蘭，陳琳琳，張 麗，戴麗麗，沈雅婷

(南京理工大學(xué)紫金學(xué)院 計算機(jī)學(xué)院，江蘇 南京 210023)

0 引言

李伯虎院士及其團(tuán)隊于2009年在國際上首先定義“云制造”的概念，并開始云制造1.0的研究實踐[1-4]；2012年開始 “智慧云制造”(云制造2.0)的研究與探索[5]，提出了按智慧云制造模式和手段構(gòu)建的智慧云制造系統(tǒng)(Smart Cloud Manufacturing System，SCMS)的概念。

現(xiàn)階段，越來越多的學(xué)者開展智慧云制造相關(guān)研究。肖瑩瑩[6]等綜述了對求解復(fù)雜計劃調(diào)度問題的計算智能技術(shù)的研究現(xiàn)狀。周佳軍[7]等闡述了制造物聯(lián)、信息物理融合生產(chǎn)系統(tǒng)、泛在制造、云制造、社會化企業(yè)、主動制造和智慧制造等幾種典型新興智能制造模式的產(chǎn)生背景、基本概念和支撐技術(shù)和初步應(yīng)用等。

區(qū)塊鏈?zhǔn)鞘褂眉用芩惴?、時間戳、樹形結(jié)構(gòu)和共識機(jī)制來實現(xiàn)的分布式賬本，具有去中心化、開發(fā)共識、去信任、匿名性、可追溯性、不可篡改性、集體維護(hù)性以及公開透明性，在數(shù)據(jù)的收集、流轉(zhuǎn)、存儲和共享全過程中可以保證信息的機(jī)密性、完整性、可追溯性和匿名性。把區(qū)塊鏈技術(shù)與SCMS安全架構(gòu)相融合，系統(tǒng)的安全性、可靠性和健壯性會得到極大提升。

1 SCMS的體系結(jié)構(gòu)及其安全風(fēng)險矩陣

1.1 SCMS的體系結(jié)構(gòu)

現(xiàn)階段大多數(shù)智慧云制造體系結(jié)構(gòu)的研究都是層次化體系架構(gòu)，只是在分層依據(jù)上有所區(qū)別。2014年姚錫凡等提出的智慧制造的11層體系架構(gòu)[8]。2016年李伯虎等提出智慧云制造系統(tǒng)的7層體系結(jié)構(gòu)[5]。綜合前二者特點，總結(jié)出一種8層結(jié)構(gòu)，如圖1所示。

圖1 智慧云制造系統(tǒng)體系結(jié)構(gòu)

圖2 智慧云制造系統(tǒng)風(fēng)險矩陣

1.2 SCMS的安全風(fēng)險矩陣

針對SCMS各層所面臨的安全風(fēng)險矩陣如圖2所示。

傳統(tǒng)SCMS安全體系存在如下問題：

(1)系統(tǒng)多采用中心化設(shè)計，其安全性完全依賴于中心數(shù)據(jù)庫和服務(wù)器，“單點故障”問題將會影響云制造系統(tǒng)中所有用戶。

(2)系統(tǒng)身份認(rèn)證多基于公鑰基礎(chǔ)設(shè)施( Public Key Infrastructure，PKI)[10]體系。PKI系統(tǒng)大都依靠集中式的第三方可信的認(rèn)證中心(CA)來發(fā)放、更新、撤銷和驗證證書。當(dāng)前設(shè)計存在三個問題：一是CA入侵目標(biāo)明顯，易發(fā)生單點故障；二是非法用戶攻擊加密通信來冒充身份；三是云計算環(huán)境下跨域身份認(rèn)證和角色訪問控制等需求，當(dāng)前PKI技術(shù)還不能很好滿足[11-14]。

(3)消息認(rèn)證面臨重放攻擊和密鑰推測攻擊等多重威脅，網(wǎng)絡(luò)通信時的數(shù)據(jù)安全性和完整性難以保障。

(4)缺少嚴(yán)格的訪問控制，用戶有意或無意的“越獄”行為常有發(fā)生。

(5)數(shù)據(jù)泄密，云制造平臺上的非授權(quán)用戶獲取和篡改信息難度低，易非法濫用或挪用資源分配權(quán)和使用權(quán)。

(6)缺乏對從來源到終點的數(shù)據(jù)流轉(zhuǎn)全過程的追蹤與管控、安全審計和預(yù)警。

綜上，SCMS安全需求總結(jié)如表1所示。

表1 SCMS安全需求總結(jié)

2 區(qū)塊鏈應(yīng)用于SCMS的可行性分析

2.1 區(qū)塊鏈原理

區(qū)塊鏈?zhǔn)欠植际酱鎯Α2P網(wǎng)絡(luò)、加密算法、哈希算法、時間戳、Merkle樹形結(jié)構(gòu)和共識機(jī)制等計算機(jī)技術(shù)實現(xiàn)的分布式賬本。區(qū)塊鏈包括6層基礎(chǔ)框架，分別是數(shù)據(jù)層、網(wǎng)絡(luò)層、共識層、激勵層、合約層和應(yīng)用層，如圖3所示。

圖3 區(qū)塊鏈基礎(chǔ)框架

2.2 區(qū)塊鏈應(yīng)用于SCMS安全架構(gòu)的可行性

結(jié)合SCMS安全需求，區(qū)塊鏈應(yīng)用于SCMS安全架構(gòu)的可行性如表2所示。

3 基于區(qū)塊鏈的SCMS安全架構(gòu)(BCSCMS架構(gòu))

3.1 BCSCMS架構(gòu)

針對圖2所示SCMS各層所面臨的安全風(fēng)險及漏洞，可采用如下基于區(qū)塊鏈的智慧云制造系統(tǒng)安全架構(gòu)(BCSCMS)，如圖4所示。

3.2 基于區(qū)塊鏈的身份認(rèn)證策略

基于區(qū)塊鏈的身份認(rèn)證策略是將區(qū)塊鏈技術(shù)與PKI相結(jié)合，通過分布式總賬來記錄數(shù)字證書和公鑰，以區(qū)塊鏈交易的方式來實現(xiàn)證書的注冊、更新和撤銷，如圖5所示。使用區(qū)塊鏈各種屬性來保障PKI 的正常運行，例如利用區(qū)塊鏈分布式和去中心化，可避免CA單點故障，也省去了與認(rèn)證中心的建立信道的過程；利用區(qū)塊鏈決傳統(tǒng)PKI系統(tǒng)所面臨的證書透明度及CA單點故障的問題：利用區(qū)塊鏈的可追溯性實現(xiàn)用戶身份產(chǎn)生、認(rèn)證、使用以及注銷的全生命周期管理。

表2 區(qū)塊鏈應(yīng)用于SCMS安全架構(gòu)的可行性

圖4 基于區(qū)塊鏈的智慧云制造系統(tǒng)架構(gòu)

圖5 基于區(qū)塊鏈的PKI

3.3 基于區(qū)塊鏈的消息認(rèn)證策略

基于區(qū)塊鏈的消息認(rèn)證策略是利用區(qū)塊鏈的數(shù)字簽名機(jī)制，它涉及公鑰、私鑰和加密技術(shù)等，它有兩個作用：一是認(rèn)證數(shù)據(jù)起源，驗證發(fā)送者是不是真正的用戶而不是被冒充的；二是驗證信息在傳輸過程中是否被篡改、重放或延遲等。

3.4 基于區(qū)塊鏈的訪問控制策略

基于區(qū)塊鏈構(gòu)建訪問控制系統(tǒng)，是將區(qū)塊鏈中地址、交易、區(qū)塊、賬戶、挖礦、驗證、合約等相關(guān)概念與傳統(tǒng)訪問控制中的用戶、角色、權(quán)限、屬性、環(huán)境、資源等結(jié)合，作為基于屬性的訪問控制(ABAC模型)系統(tǒng)的基礎(chǔ)框架，以區(qū)塊鏈交易的形式來創(chuàng)建、管理、執(zhí)行訪問控制策略/權(quán)限，利用智能合約以自動可執(zhí)行格式編碼訪問控制規(guī)則，進(jìn)行自動化的權(quán)限管理，杜絕非法用戶入侵，只允許合法用戶按其訪問控制策略訪問系統(tǒng)資源，防止欺詐式拒絕承認(rèn)已被策略授予的權(quán)限[15]。

區(qū)塊鏈記錄了訪問控制策略和權(quán)限從創(chuàng)建到轉(zhuǎn)移的全生命周期，在此基礎(chǔ)上可設(shè)計分布式、可追溯和不可篡改的安全日志審計模塊。

3.5 基于區(qū)塊鏈的數(shù)據(jù)保護(hù)策略

基于區(qū)塊鏈構(gòu)建數(shù)據(jù)庫系統(tǒng)，不會因誤操作而導(dǎo)致數(shù)據(jù)丟失，也不會因為中心節(jié)點實效而導(dǎo)致整個系統(tǒng)癱瘓，也不會因為操作權(quán)限問題導(dǎo)致數(shù)據(jù)被竊取甚至被篡改?；趨^(qū)塊鏈的數(shù)據(jù)庫系統(tǒng)使用多種加密算法(如哈希算法和非對稱加密算法)來保證數(shù)據(jù)的機(jī)密性。數(shù)據(jù)庫不依賴于任何可信實體就可完成統(tǒng)一維護(hù)更新，任何單一實體不能修改數(shù)據(jù)，保證了數(shù)據(jù)的完整性和安全性。基于區(qū)塊鏈構(gòu)建數(shù)據(jù)庫系統(tǒng)是一種分布式系統(tǒng)，考慮到區(qū)塊容量有限，難以存儲大規(guī)模的數(shù)據(jù)，只用區(qū)塊鏈管理數(shù)據(jù)索引和操作權(quán)限，用專用的數(shù)據(jù)服務(wù)器集中存儲真實數(shù)據(jù)。

3.6 基于區(qū)塊鏈的安全審計與預(yù)警策略

基于區(qū)塊鏈的安全審計和預(yù)警策略是把數(shù)據(jù)跟蹤策略添加到可編程的智能合約，自動追蹤數(shù)據(jù)來源和數(shù)據(jù)處理過程。在獲取了從來源到使用的全生命周期數(shù)據(jù)以后，實時分析日志信息生成安全審計報告，可以發(fā)現(xiàn)攻擊者對系統(tǒng)的攻擊行為，使用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化技術(shù)，評估分析安全威脅態(tài)勢，及時預(yù)警，主動挖掘修補(bǔ)漏洞。

4 BCSCMS架構(gòu)的安全性分析

4.1 BCSCMS架構(gòu)的保密性分析

保密性是指對信息或資源的隱藏。BCSCMS有如下三個方面的安全機(jī)制來防止信息被竊取、盜用或篡改：

(1)在區(qū)塊鏈中節(jié)點之間的數(shù)據(jù)采用加密算法(如Hash256算法)加密后通過非對稱密鑰對的方式進(jìn)行傳輸，防止信息被竊取。

(2)數(shù)字簽名技術(shù)使用非對稱加密技術(shù)和數(shù)字摘要技術(shù)保證信息傳輸?shù)谋Ｃ苄浴?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份的確定性等，防止信息被盜用。

(3)共識機(jī)制保證寫入?yún)^(qū)塊鏈的數(shù)據(jù)已被全部節(jié)點驗證通過并永久保存，非法節(jié)點無法通過攻破所有節(jié)點篡改數(shù)據(jù)，防止信息被篡改。

4.2 BCSCMS架構(gòu)的完整性分析

完整性是指數(shù)據(jù)或資源的可信度。BCSCMS有如下三個方面的安全機(jī)制保障存儲或傳輸過程中信息不被未經(jīng)授權(quán)的篡改和信息丟失；

(1)BCSCMS所有節(jié)點都參與記錄數(shù)據(jù)區(qū)塊，數(shù)據(jù)區(qū)塊加入時所有節(jié)點都會對其驗證，驗證通過才允許加入到區(qū)塊鏈中，保證了數(shù)據(jù)的真實性。

(2)區(qū)塊鏈?zhǔn)前磿r間順序?qū)?shù)據(jù)區(qū)塊形成首尾相連的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，時間戳技術(shù)和共識機(jī)制等保證了數(shù)據(jù)信息一旦被寫入BCSMS后就不可篡改。

(3)BCSCMS利用分布式節(jié)點共同驗證，不可能被非法節(jié)點偽裝被授權(quán)節(jié)點進(jìn)行欺騙性攻擊，可防止未經(jīng)授權(quán)的篡改。

4.3 BCSCMS架構(gòu)的可追溯性分析

可追溯性是指信息根據(jù)時間歷史追蹤。BCSCMS架構(gòu)下區(qū)塊鏈把數(shù)據(jù)分成不同的區(qū)塊，每個區(qū)塊由區(qū)塊頭和區(qū)塊體兩部分組成，其中區(qū)塊頭封裝著區(qū)塊頭值、上一區(qū)塊的哈希值、時間戳、隨機(jī)數(shù)等信息。區(qū)塊的前后順序通過記賬者加蓋時間戳來形成具有時間先后順序的鏈?zhǔn)浇Y(jié)構(gòu)，保證了數(shù)據(jù)的可追溯性，實現(xiàn)了數(shù)據(jù)來源和流轉(zhuǎn)過程的全周期透明化。當(dāng)系統(tǒng)運行出現(xiàn)問題時，對BCSCMS中的歷史錯誤信息進(jìn)行時間溯源就可查找問題原因。此外，可追溯的全生命周期數(shù)據(jù)可以作為安全審計監(jiān)管的追責(zé)依據(jù)，對不良數(shù)據(jù)和不良用戶行為雙重審計。

4.4 BCSCMS架構(gòu)的匿名性分析

匿名性是指不需公開身份。BCSCMS的運行規(guī)則和數(shù)據(jù)信息是公開透明的，節(jié)點之間的數(shù)據(jù)交換遵循固定的算法，節(jié)點之間無需公開身份讓對方對自己產(chǎn)生信任，可以基于地址而非個人身份進(jìn)行數(shù)據(jù)交換，保證了匿名性和用戶隱私。

5 結(jié)論

智慧云制造作為一種新信息通信技術(shù)與制造業(yè)深度融合的新模式，現(xiàn)有研究中對于系統(tǒng)安全風(fēng)險鮮少研究，對于安全的擔(dān)憂將會成為SCMS發(fā)展的瓶頸。本文首先分析了SCMS的體系架構(gòu)及其所涉及的安全風(fēng)險，針對傳統(tǒng)SCMS安全體系存在問題提取了主要需求，初步設(shè)計了基于區(qū)塊鏈的智慧云制造系統(tǒng)安全架構(gòu)方案，并重點將區(qū)塊鏈與身份認(rèn)證、消息認(rèn)證、訪問控制、數(shù)據(jù)保護(hù)和安全審計與預(yù)警等方面安全技術(shù)相融合，最后從保密性、完整性、可追溯性和匿名性4個維度對BCSCMS的安全性進(jìn)行了分析。希望本研究能為防范SCMS的信息安全問題提供一種新思路。