汪允敏，李 挥，王 菡，白永杰，宁崇辉

1.北京大学 信息工程学院，广东 深圳518055

2.鹏城实验室，广东 深圳518033

3.深圳市信息论与未来网络体系重点实验室，广东 深圳518055

4.维沃移动通信（深圳）有限公司，广东 深圳518104

1 引言

随着万物互联的智能时代到来，近年来互联网对产业的影响正在凸显，互联网主体已经从传统的销售、物流等产品级服务，逐渐渗透到制造企业生产过程和全产业链、全生命周期当中。物联网技术在工业4.0 中得以广泛应用，工业互联网受到越来越多的重视[1]。今年两会政府工作报告明确提出“打造工业互联网平台，拓展‘智能+’，为制造业转型升级赋能”。根据《工业互联网平台白皮书（2019）》提供的数据，预计2023年全球工业互联网平台市场规模将增长至138.2 亿美元，预期年均复合增长率达33.4%。企业家们发现，向数字化、网络化、智能化转型是保证企业未来生存的唯一方式，而工业互联网平台就是企业数字化转型的重要抓手。

工业互联网的发展亟待解决如下两个问题，一是在实现万物互联后，其通信技术的问题；二是联网物体之间的价值发现问题[2-4]。万物互联需要万物标识，万物标识需要万物解析。工业互联网解析体系是工业互联网的重要网络基础设施，是设备、系统、数据、网络互联互通，解决“信息孤岛”现象的关键，关系到我国互联网的安全运行。标识解析体系由标识编码和解析系统组成。标识通过编码成为设备或产品、零件等物理资源，和算法、工序等虚拟资源在网络互联中的唯一身份证。而标识的解析则是类似于传统互联网中的DNS 系统，对机器、原材料、零部件和产品进行唯一性的定位和信息查询。标识解析为跨行业/跨领域的工业互联网平台提供统一的网络层技术支撑，实现了异构、异地、异主信息的智能互联，实现不同系统间数据的互操作。然而，目前的工业互联网中安全风险叠出，安全事件层出不穷。而在标识解析和使用过程中存在着数据风险[5]，如何实现系统不瘫、数据不丢、业务不断的运营目标成为迫在眉睫的问题。

区块链技术随着比特币[6]的流行被人们所熟知。区块链技术的实质是借助密码学技术实现去中心化、分布式存储和点对点传输，其核心在于信任机制[7]。区块链技术的特性能够很好地解决工业互联网价值发现过程中，对价值不可复制和篡改的分享问题。依托区块链技术建立起来的标识价值互联网是一个覆盖广阔的分布式账本。区块链技术的数据存储和传输过程解决了拜占庭将军问题，即在无需第三方增信的基础上，让众多完全平等的节点对某一状态达成共识，从而极大提高工业互联网标识数据的真实性。所有数据都被加密，用密码学和智能合约保证解析数据的不可篡改性和不可伪造。同时通过允许所有网络参与者共同拥有和验证数据来确保交易记录的完整性和可靠性，每笔交易都是有迹可循，证据充分，从而彻底改变了信息分享的方式[8]。这些正是解决在工业互联网标识解析体系中存在的安全和隐私保护问题所需的技术[9]。

本文将基于区块链技术，提出一套工业互联网标识解析的安全防护策略，通过对数据权限控制，加密管理，接口安全，从而保护互联网标识数据的安全。此外，采用雾计算的网络计算方式，因为雾计算比云计算更加适用于在资源受限的环境中提供安全、经济高效和实时的工业互联网服务[10-11]。雾计算去中心化的对等网络拓扑结构和区块链的思想完美契合。系统在记录标识信息时会产生一条交易记录，通过区块保存在雾计算节点中，使得敏感标识信息得以安全储存和管理。

2 相关背景知识介绍

2.1 标识解析技术

随着工业互联网的发展，标识对象已经从以往的域名，延伸到一个产品、一个零部件、一次交易、一次服务等更为具体和广阔的对象。工业互联网的标识可以视为物品、智能制造设备或者物联网对象的“身份证”。标识的解析则用于在整个工业互联网系统中实现对该对象进行跨地域、跨行业、跨企业的从标识到地址的映射，进而实现定位和信息查询等功能，类似于传统互联网领域的域名解析系统（DNS）（如图1 所示）。通过标识解析，使得物理世界的每一个实体对象，都可以在数字世界中拥有其相对应的标识，同时得到关于该对象的数字描述，达到智能化的异构信息价值分享。用通俗的话来讲，标识解决的是“我是谁”的问题，标识解析解决的是“我在哪里”的问题，而解析的结果告知对方“我能干什么”。通过标识的解析和管理，可以完成供应链管理、重要产品追溯、智能化产品全生命周期管理、全产业链、全要素、智能化生产等应用[12]。

图1 标识解析过程类似互联网DNS过程

目前全球存在着多种标识技术，如Handle、GS1、OID（Object Identifier，对象标识符）、ECode（Entity Code for IoT，物联网统一标识）、EPC、UCode等，其中Handle体系可兼容GS1、ECode、UID等标识体系。一套完整的标识体系包含如下流程：对标识进行编码，通过硬件或者数字形式的载体进行传输，在应用端将该对象的标识信息映射到实际所需的服务，以及对标识的共享使用（如图2所示）。

图2 标识数据管理过程

在具体标识使用过程中，存在着多种不同的数据风险：（1）架构风险，海量标识数据采集过程中，编码被篡改，所采集的数据完整性被破坏；通过洪范攻击和枚举[13]，探测联网企业的敏感信息。（2）隐私泄露，标识采用异构的混合存储架构，容易被恶意攻击，敏感标识数据被窃取。（3）运营风险，在标识数据的运营使用过程中，数据的接口存在若干漏洞而被非法越权访问、滥用或误用。通过区块链技术结合雾计算实现可信的数据编码、传输和解析是解决上述风险的良好方案。

2.2 区块链技术

区块链技术是分布式数据存储、P2P 技术、共识机制、加密算法等计算机技术综合应用的新型模式[14]。区块链可以视作一个分布式账本，通过去中心化、去信任的方式让参与各方共同实现对账本的维护。

作为一种分布式数据库，区块链的分布式不仅体现在对数据的分布式存储，同时体现在所有参与者共同对数据的分布式记录，从而实现一套完全分布式的信用体系[15]。任何一个节点的损坏或者缺失都不会影响到整个系统的运行。系统具有极高的可靠性，全网争夺记账权，而破坏整个系统需要攻破51%以上的节点，作恶成本极高，这需要拥有很大的算力。由于每一区块均包含上一个区块的Hash 信息，任何对数据的修改都会导致整条链的改变，因此区块链具有不可篡改性。

在区块中包含有该区块的时间戳，通过时间戳和比特币中的UXTO（未花费的交易输出[6]）或者以太坊Ethereum 中的账户模型和智能合约机制[16]进行交易的生成和验证。区块链还具有去信任性，这体现为参与整个系统的每个节点之间进行数据交换无需相互信任，因为每个节点都具有整条区块链上的所有数据，每一笔交易都有全网节点共同背书。同时整条链的运行规则和数据账本都是公开透明的，可以进行实时清算和审计。

区块链在解决CAP 定理（一致性Consistence、可用性Availability 和分区容忍性Partition tolerance）时，优先保证整个系统上数据的一致性。而共识机制作为保障整条链数据一致性的基础，是区块链解决去中心化或多中心化问题的核心引擎。共识机制是一种多方协作机制，用于协调系统中多个参与方达成共同接受的唯一结果，在保证此过程难以被欺骗的同时，还可以持续稳定运行。简单来讲，就是多方参与，各方博弈，结论唯一。区块链的智能合约是基于密码学技术的数字化合同，在满足一定要求的情况下，合约中的义务得以在安全和去信任的网络中执行，提高了成本效率，而且避免了恶意行为对合约正常执行的干扰。

根据上述描述可知，区块链技术可以很好地解决在工业互联网标识数据应用过程中遇到的数据易被篡改和伪造、不可追溯、隐私泄漏和非法越权访问等风险[17]。

区块链根据网络中心化程度不同，分化出公有链、私有链和联盟链。在所设计的方案中，将采用联盟链的方式，这是因为联盟链具有部分去中心化的特征，数据处理效率较快，交易成本相对较低，容易进行权限控制，能够提供更好的隐私保护[18]。联盟链参与的工业互联网单位在组成多方共管的联盟的同时，通过API向公众提供限定查询服务。

2.3 雾计算

雾计算将云计算扩展到网络的边缘，使得任何计算设备都能够承载软件服务和过程，处理和存储智能连接到离需求最近的分布式计算资源[19-20]，就地进行数据分析和数据转换，从而降低了云服务器的计算和存储开销，减少对于云端处理的依赖，并提高了应用系统的响应速度和网络带宽，能够更好地做出决策，支持高移动性和低带宽要求，支持广泛的地理分布[21]，实现云-边-端的无缝协同计算。以上特征能够和区块链进行很好的融合，符合工业互联网对象标识的管理需求。

3 基于区块链的标识管理系统

3.1 系统概览

在所设计的管理策略中，机构节点被存放在云中。这里的机构按照管理对象不同，可以是不同企业，也可以是同一企业内部不同生产部门。雾计算中的代理节点因为具有充足的存储空间和计算能力，被用作联盟链的共识节点，每轮共识会选举一个记账节点来将交易打包成区块进行共识；雾计算中的物联网终端相连的处理设备，如PC、iPhone、iPad 或其他专用数据处理设备等，可以视为联盟链中的参与节点，这些节点不参与联盟链的共识操作，只会在其上发生标识交易和初步的交易验证。

系统采用面向CA 的层次化准入机制，以保障信息保密性、真实性、完整性和不可抵赖性。整条链具有由认证服务器管理的一个链证书及其对应的链私钥，如图3所示。认证服务器可以使用链证书来签发记账节点的证书。记账节点可以对其下属参与节点签发节点证书或者提供SDK证书。节点与其他节点或者通过SDK对外提供服务时，使用自己的私钥对消息进行签名，并发送自己的节点证书进行验证。

图3 管理策略分层机制

当一个新节点加入到区块链时，将通过随机数生成私钥，再由私钥生成对应的公钥，最后公钥的哈希将作为这个节点的地址。这个新节点会向其上级节点申请认证证书，从而构成这个节点在区块链系统中的唯一身份证明，杜绝了终端设备随意接入及恶意替换、破坏所带来的终端数据污染问题。

参与节点创建交易后，请求记账节点和其他参与节点验证此次交易。当一个新的区块被创建并得到其他节点的验证，此次交易被写入链中。最终用户可以通过系统提供的SDK 访问区块链并请求所需的标识数据。整个节点注册和交易流程如图4所示。

图4 系统流程图

3.2 共识机制的选择

区块链实质上是由交易驱动的有限确定性状态机。共识机制的目的在于商定确定性交易的顺序，同时过滤掉无效交易。由于工业互联网标识应用对共识机制的要求相对较高，如果采用公链中的工作量证明（PoW）或股权证明（PoS）共识算法，会牺牲节点算力和消耗大量广播时间；而且在工业互联网标识管理中，不存在奖励机制，因此在标识数据管理策略中，采用实用拜占庭容错共识算法（PFBT）[22]。PFBT 共识算法在节省物理计算资源的同时，缩短了共识时间。在参与节点新创建交易时，仅需要其对应的记账节点进行共识验证。除此情况以外，所有的记账节点和参与节点都需要遵循共识协议。

3.3 交易和区块生成

在工业互联网标识管理系统中，任何节点对标识的采集、传输、解析和分享都可以视作对标识数据的一次交易。确保全网对此次交易进行确认，达成共识后，才会写入区块链之中。在所定义的交易中，有些交易拥有相应的交易对象，比如张三在某天把标识分享给李四；而有些交易则不需要交易对象，如张三于某天创建了一个标识。交易的具体格式定义如图5 所示。机构、节点、交易类型和标识数据字段采用固定长度的储存方式，而具体交易信息会根据交易类型采用TLV的灵活存储方式。

图5 一次交易的结构

所有将被记录到区块链上的信息通过一条交易信息来进行记录。标识被视作关键字段。当某个物联网设备完成对标识的一次操作，会通知与其相连接的区块链上的节点。该节点会将此次对标识的操作视为一笔交易发生，它利用私钥对前一次交易和下一目标节点签署一次数字签名，并将签名附在交易尾部，制成交易单，之后将交易单广播到全网。

网络中通过PBFT共识算法取得记账权的记账节点在收到此次交易单后，会进行交易有效性的验证。该记账节点会使用这笔交易生成者的公钥，解密这笔交易，并进行交易者的签名信息的验证。如果能够顺利进行解密，证明这笔交易的有效性，对已经收到的交易进行排序并放入交易列表中。记账节点将自己交易池中数笔验证通过的交易的哈希值收集在区块的Merkle树中，每个区块可以包含数百笔或者上千笔交易，同时写入前一区块的哈希值和Merkle树的根哈希值以及随机数（如图6所示）。

记账节点将会把自己产生的区块记录连同盖有时间戳的所有交易广播到全网，交由网络中其他节点核对。其他区块链节点接收到记账节点所产生的交易列表后，根据其中所包含的排序模拟执行这些交易。所有交易执行完后，基于交易结果计算新区块的哈希摘要，并向全网广播。当某个节点收到两倍于可容错的拜占庭节点数的消息中所包含的哈希摘要和自己所计算的哈希摘要相等时，会向全网广播一个提交信息。当一个节点收到超过两倍于可容错的拜占庭节点数的提交消息后，就会提交该区块及其所包含的交易信息到本地的区块链和状态数据库，此时区块正式接入链中，形成一条合法的区块记录。

图6 工业互联网标识数据管理的分布式区块链

3.4 智能隐私合约的设计

为了更好地发挥区块链在工业互联网标识数据安全和隐私保护方面的作用，除了采用认证中心CA对标识解析节点进行身份管理、访问管理外，引入可信计算3.0技术。可信计算3.0采用主动防御技术，可以根据区块链中各参与节点的历史行为记录和当前行为特征，来判断当前节点的行为是否违法、越权等[23]。

在工业互联网标识数据管理系统中，使用零知识证明以及符合国家密码管理规定的密码算法，如对称密钥算法SM1、椭圆双曲线密钥算法SM2等，构建从可信根节点开始的自上而下的逐层认证、逐层信任的完整可信计算信任链，确保接入区块链的节点是可信的，节点中所运行的智能合约程序也是可信的。同时，标识数据和交易在存储、流转和处理中全程加密，防止非法用户、进程的访问和攻击。

通过可信计算技术，在系统中实现了图灵完备的智能隐私合约，通过合约的触发，既保证区块链交易的可靠进行，又不会泄漏未经授权的数据和交易信息。每笔交易运行在可信计算节点中。智能合约在节点安全区内执行，保证数据不会泄漏。伴随交易的进行，安全区会同时产生一份密码学证明，以便交易参与方验证交易执行的可靠性与保密性。数据在加密情况下进行多方安全计算，全程上链存证，从而实现对工业互联网标识解析服务节点的规模化跨行业认证和标识数据、服务的信息保护。

4 标识管理策略的应用

工业互联网标识解析体系和区块链，在本身的体系架构的完善和应用领域的支撑，两者都有着很多互补的地方。

4.1 在国家标识管理体系的创新应用

在我国工业互联网标识解析体系中，国家顶级节点既是对外互联的国际关口，同时也是对内统筹的核心枢纽。二级节点则是面向行业提供标识注册和解析服务。公共递归解析节点通过缓存等手段实现公共查询和访问入口，如图7所示。

图7 标识管理策略与国家标识管理体系的融合

使用区块链技术可以从顶级DNS层解决传统DNS单一主体主导的格局，将DNS 层次化管理架构变为扁平化管理架构，使得多个利益参与方共同进行DNS 根节点的管理，从而提高了更新效率，增强了数据安全，并用户隐私安全也得以保障。

在集成创新应用层面，可以在二级节点以下的节点中，应用联盟链进行工业互联网标识数据的共管共治，使得二级企业节点或者联盟企业节点既能够达到标识解析支撑互联互通的目的，又能够满足标识解析请求包在一定范围内流动的需求，实现产品追溯、供应链管理和产品生命周期管理等。

4.2 在二级节点中的应用案例

依据工业互联网标识解析体系的建设需求[24]，本管理策略已经在广东省内某二级节点所辖部分企业节点中进行试点部署。系统部署基本框架如图8 所示。系统通过具有传感器的终端设备经由OPC 通讯协议、Modbus通讯协议、CAN总线等工业互联网总线协议，进行数据采集和传输，进而使用WIFI、蓝牙、ZigBee、NBIoT等方式接入工业互联网联盟链所在的互联网中。

自从该二级节点今年5月份上线运行以来，目前系统运营稳定，日处理标识服务请求数十万次，可以自动完成上料、组装、仓储等十多个工序，同时可以追溯从研发、质检、装配到出厂使用整个生命周期的数据，并实现成品及配件防伪、设备运维，提高设备的可靠性。因为区块链参与标识的管理，标识查询与解析节点身份可信认证、解析资源不可篡改性、解析数据完整性保护等方面得到了很好的保障。

图8 某二级节点部署实例

5 优劣势分析

针对工业互联网标识安全管理问题，当前已经有一些应对措施，特别是在防伪和物流上。一般的防伪，较常见方式的是在商品包装上印刷条形码、贴防伪二维码，或者通过RFID 无线射频技术。但是这些技术，还是可能会被复制和转移，从而造假。而且这些标识后台往往依赖于传统的中心化数据库，如SQL Server、MySQL等。

采用区块链技术进行工业互联网标识数据的管理，具有如下优势：

（1）降低数据采集压力。利用区块链技术，将中心化的高频标签数据采集过程转换为分布式的各个参与节点中的数据采集过程，有效地减轻了平台数据存储及边缘层数据缓存设备的压力。

（2）全流程跟踪记录。一件商品从原型设计、原材料采购、加工等生产环节开始，到检验、运输、入库、上架销售等，每一道对标识进行操作的工序，可以依据时间顺序上链，形成一个完整的过程记录。

（3）链上信息的不可篡改。传统的中心化数据库存储方式，从技术的角度来讲，后台标识信息是可以被篡改的，但是有了区块链以后，标识信息一旦上链，就无法抹去，而且这些信息分散的存储在各参与节点中，这无形中消解了中心化机构的权力。

（4）增加信用背书。在联盟链的信息记录中，参与的机构远不止一家，仅对联盟内部的节点开放发起交易权，通过合理的权限管理可以更好的进行网络标识的日常运维。节点之间彼此能够相互监督，而且因为信息上链的环节多，增加了作假的风险与难度。

（5）更好明确职责，加强信用建档。因为区块链具备实时记录以及不可篡改、公开透明的特征，一旦某个环节出了问题，事发后很容易查出来：到底是在哪一步出了问题，该环节到底谁是责任人。此外，还可以在区块链中设置智能合约，智能提醒信用安全隐患。

区块链能够为工业互联网标识管理提供新的解决方案，增加了信任的强度，还存在一些问题：

（1）区块链技术的部署和实施需要由多个节点共同参与，对于带宽、存储空间等资源的消耗会造成较大的成本，同时工业互联网节点设备的存储能力和计算能力普遍有限，联网能力也相对较弱。

（2）区块链本身的交易效率问题。目前的公有链来说，3 000 TPS（每秒处理交易笔数）是一个瓶颈。而引入联盟链后，可以很好地解决这一问题。如沃尔玛采用基于联盟链开发平台Hyperledger Fabric的区块链食品生态系统IBM Food Trust 后，能够缩短产品追踪时间：从7天减少到2.2秒[25]。

6 结束语

提出了一种通过区块链管理工业互联网标识数据的策略。区块链不可篡改、不可抵赖、可溯源的特性为工业互联网标识数据管理过程中交易的真实性、交易的可信度提供了稳妥的支持。同时，通过联盟链的方式，逐级对接入节点进行身份认证和可信认证，各参与企业互为交易结构的管理者、风险的管理者和流动性提供者以获取更多服务型增益，从而实现工业制造升级改造。雾计算和边缘计算很好地与区块链技术去中心化的思想相结合，解决了工业互联网标识管理中标识信息异地、异主、异构的问题。