王晨宇 鹿瑞超 陶小峰

北京郵電大學 北京 100876

引言

工業(yè)互聯(lián)網(wǎng)的提出開啟了工業(yè)4.0時代，工業(yè)互聯(lián)網(wǎng)以海量數(shù)據(jù)采集、匯聚、分析為基礎，為工業(yè)以及產(chǎn)業(yè)的數(shù)字化、網(wǎng)絡化、智能化的實現(xiàn)提供了途徑，對整個工業(yè)領域，例如制造業(yè)、航空、公路和鐵路運輸、電力、石油和天然氣、醫(yī)療保健，都產(chǎn)生了深刻的影響[1]。工業(yè)互聯(lián)網(wǎng)能夠幫助企業(yè)節(jié)約更多的成本和時間，保證工業(yè)制造中更好的互聯(lián)互通，提高了運營效率、降低了安全風險。

當前，工業(yè)互聯(lián)網(wǎng)的安全形勢日益嚴峻。2020年《工業(yè)和信息化部辦公廳關于推動工業(yè)互聯(lián)網(wǎng)加快發(fā)展的通知》[2]出臺，通知指出了加快發(fā)展工業(yè)互聯(lián)網(wǎng)基礎設施建設，健全工業(yè)互聯(lián)網(wǎng)安全保障體系的必要性。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，工業(yè)控制系統(tǒng)逐漸接入公網(wǎng)且存在大量高危漏洞，帶來了新的安全挑戰(zhàn)。工業(yè)互聯(lián)網(wǎng)中工控系統(tǒng)的協(xié)議是控制系統(tǒng)實現(xiàn)數(shù)據(jù)采集、命令傳遞和執(zhí)行、狀態(tài)監(jiān)控等工業(yè)控制功能的關鍵，工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)連接后，傳統(tǒng)工業(yè)控制系統(tǒng)的封閉環(huán)境被打破，早期協(xié)議設計缺乏安全考慮以及新威脅的引入，使得工業(yè)控制協(xié)議的安全問題尤為突出。在協(xié)議設計上存在認證機制、加密機制、完整性保護缺失或不足等問題。此外，工業(yè)互聯(lián)網(wǎng)中的聯(lián)網(wǎng)設備和平臺有許多高級別的安全漏洞，存在很多安全隱患，例如弱口令漏洞、未授權(quán)訪問漏洞、目錄遍歷漏洞、結(jié)構(gòu)化查詢語言注入漏洞等；工業(yè)企業(yè)各類應用普遍在身份認證、訪問控制和敏感信息保護等方面存在大量安全問題[3]。

工業(yè)互聯(lián)網(wǎng)通過網(wǎng)絡、平臺以及數(shù)據(jù)，實現(xiàn)人、機、物等要素之間的有機聯(lián)動，深刻變革了傳統(tǒng)的制造模式，構(gòu)建起了全新的工業(yè)生產(chǎn)制造方式，實現(xiàn)了全要素、全面連接的網(wǎng)絡體系和產(chǎn)業(yè)體系[1]。數(shù)據(jù)要素的流通是工業(yè)互聯(lián)網(wǎng)產(chǎn)生價值的重要基礎，實現(xiàn)具有不同協(xié)議和架構(gòu)的設備之間的相互連接和交互、各類數(shù)據(jù)采集/傳輸/控制的安全可靠互聯(lián)模型，以及生產(chǎn)設備、控制系統(tǒng)和云端之間安全互聯(lián)，構(gòu)建數(shù)據(jù)安全流通機制，是實現(xiàn)工業(yè)互聯(lián)網(wǎng)價值的關鍵之一。

密碼技術可以保障工業(yè)互聯(lián)網(wǎng)中信息的保密性、完整性、真實性，是保障工業(yè)互聯(lián)網(wǎng)安全的最基礎的手段之一。基于密碼技術，能夠構(gòu)建工業(yè)互聯(lián)網(wǎng)中人與制造設備、人與云、制造設備之間、制造設備與云之間的可靠互聯(lián)，保證關鍵生產(chǎn)數(shù)據(jù)和指令的安全傳輸。在此基礎上，基于隱私計算技術，可實現(xiàn)工業(yè)互聯(lián)網(wǎng)中生產(chǎn)數(shù)據(jù)的安全流通，構(gòu)建可信的“信任根”“信任鏈”和“數(shù)據(jù)流通鏈”，推動工業(yè)互聯(lián)網(wǎng)的健康安全發(fā)展。

本文立足于工業(yè)互聯(lián)網(wǎng)中數(shù)據(jù)的安全流通，從企業(yè)層和產(chǎn)業(yè)層兩個層統(tǒng)籌考慮，對企業(yè)內(nèi)部工業(yè)互聯(lián)網(wǎng)中關鍵要素的可信互聯(lián)場景與需求進行了總結(jié)，并進一步從產(chǎn)業(yè)的角度，闡述在關鍵要素的可信互聯(lián)后，數(shù)據(jù)在不同企業(yè)之間安全流通需要考慮的隱私計算問題。隨后，針對工業(yè)互聯(lián)網(wǎng)中關鍵要素的可信互聯(lián)問題，總結(jié)了目前基于密碼技術的認證與密鑰協(xié)商等協(xié)議的研究熱點及關鍵問題；針對產(chǎn)業(yè)層敏感數(shù)據(jù)的共享與計算，總結(jié)了3類隱私計算技術的實現(xiàn)思路及關鍵問題。

1 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀

1.1 工業(yè)互聯(lián)網(wǎng)體系架構(gòu)

如圖1所示，工業(yè)互聯(lián)網(wǎng)大致由邊緣層、基礎設施層、平臺層、應用層、用戶管理模塊和安全管理模塊組成。邊緣層是工業(yè)互聯(lián)網(wǎng)體系架構(gòu)的基礎，提供數(shù)據(jù)采集、數(shù)據(jù)處理、邊緣計算等功能，實現(xiàn)邊緣設備的實時連接和業(yè)務流程控制；基礎設施層為工業(yè)互聯(lián)網(wǎng)的運行提供計算、存儲、網(wǎng)絡等方面的基礎支撐；平臺層是工業(yè)互聯(lián)網(wǎng)體系架構(gòu)的核心，為應用軟件開發(fā)構(gòu)建了一個可擴展的操作系統(tǒng)，提供應用全生命周期服務環(huán)境與工具、工業(yè)大數(shù)據(jù)管理等功能；應用層與工業(yè)互聯(lián)網(wǎng)業(yè)務進行深度融合，實現(xiàn)業(yè)務模型、技術、數(shù)據(jù)等的實際落地[1]，可以解決不同細分行業(yè)的各種問題，形成滿足不同行業(yè)、不同場景的應用服務；用戶管理模塊負責管理用戶，包括用戶注冊、子賬戶管理、身份認證、角色控制等功能；安全管理模塊負責保證整個工業(yè)互聯(lián)網(wǎng)體系的安全，包括設備安全、訪問控制、隱私計算、入侵檢測等功能。

圖1 工業(yè)互聯(lián)網(wǎng)體系結(jié)構(gòu)圖

1.2 工業(yè)互聯(lián)網(wǎng)可信互聯(lián)及數(shù)據(jù)流通需求分析

與傳統(tǒng)的工控系統(tǒng)不同，工業(yè)互聯(lián)網(wǎng)打破了原來封閉可信的環(huán)境，使得工業(yè)設備逐漸智能化，業(yè)務與云不斷深入融合。一方面，傳統(tǒng)工業(yè)設備上運行的許多嵌入式固件是不安全且高度脆弱的，工業(yè)互聯(lián)網(wǎng)有較多的攻擊切入點；另一方面，工業(yè)設備與互聯(lián)網(wǎng)的融合也將傳統(tǒng)互聯(lián)網(wǎng)的安全威脅蔓延至工業(yè)網(wǎng)絡，而工業(yè)網(wǎng)絡中的信息安全問題甚至和人身安全、國家安全相關。因此，保障工業(yè)互聯(lián)網(wǎng)的安全運行至關重要。工業(yè)互聯(lián)網(wǎng)中關鍵要素的可靠互聯(lián)互通是保障工業(yè)互聯(lián)網(wǎng)安全運作的基礎。

如圖2所示，在工業(yè)互聯(lián)網(wǎng)場景下，在企業(yè)內(nèi)部，涉及到用戶、工業(yè)環(huán)境設備、控制器、網(wǎng)關以及云等要素之間的可靠互聯(lián)。這些設備之間的身份識別和認證，是工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全流通的基礎。在產(chǎn)業(yè)層，為了實現(xiàn)更好的產(chǎn)業(yè)生態(tài)，以鋼鐵行業(yè)為例，各個企業(yè)中的數(shù)據(jù)需要相互共享流通，以實現(xiàn)產(chǎn)能協(xié)同、物流管理、資金流動等。在對數(shù)據(jù)產(chǎn)生的實體的真實性進行認證后，通過消息認證、簽名等技術，可以保障數(shù)據(jù)來源的安全性和可追溯性，在此基礎上，通過隱私計算等技術，可以在保障敏感數(shù)據(jù)不泄漏的情況下，實現(xiàn)數(shù)據(jù)的安全共享。

圖2 工業(yè)互聯(lián)網(wǎng)可信互聯(lián)需求分析

因此，從工業(yè)互聯(lián)網(wǎng)關鍵要素可靠互聯(lián)互通的場景來看，主要涉及以下幾方面。

1)用戶與云/控制器/網(wǎng)關或者工業(yè)環(huán)境設備之間的可靠互聯(lián)。需要通過密碼技術保障接入的用戶身份的可信，使得企業(yè)內(nèi)的各種資源能夠安全可控地被訪問。

2)工業(yè)環(huán)境設備與設備/云/控制器/網(wǎng)關之間的可靠互聯(lián)。工業(yè)互聯(lián)網(wǎng)中存在大量的感知設備，需要通過密碼技術來保障這些設備的安全接入以及與設備/云/控制器/網(wǎng)關之間的通信的安全性。

3)工業(yè)互聯(lián)網(wǎng)中數(shù)據(jù)的安全流通。包含通過數(shù)據(jù)加密傳輸來保障數(shù)據(jù)的機密性，通過數(shù)字簽名來保障數(shù)據(jù)來源的不可抵賴性，通過隱私計算來保障數(shù)據(jù)在不同企業(yè)之間的安全流通共享等。

2 工業(yè)互聯(lián)網(wǎng)中的可信互聯(lián)機制

2.1 用戶與工業(yè)互聯(lián)網(wǎng)平臺(云)之間的可靠互聯(lián)

用戶身份認證的研究經(jīng)歷了基于用戶所知(Something the user knows)，如口令、PIN碼；基于用戶所有(Something the user has)，如智能卡、硬件令牌；基于用戶生物特征(Something the user is)，如指紋、虹膜等多因素認證的發(fā)展。在這些認證方法中，基于口令的身份認證(PAKE)由于其簡單易用、低價兼容、方便擴展，獲得了廣泛的應用。但是由于用戶口令構(gòu)造的偏好性選擇，口令重用現(xiàn)象明顯，以口令為代表的單因素認證協(xié)議面臨的安全威脅越來越嚴峻，因此，研究人員越來越關注兩種以上認證因素聯(lián)合使用的多因素認證協(xié)議的研究。

1991年，Chang等[4]首次提出了“口令+智能卡”的雙因素身份認證，在這之后，這種身份認證方式在電子銀行和電子醫(yī)療等安全攸關的場景中得到了廣泛的推廣和應用，奠定了雙因素認證的基礎。近年來，一些面向工業(yè)互聯(lián)網(wǎng)的多因素認證協(xié)議陸續(xù)被提出。例如，2016年Farash等[5]提出了面向物聯(lián)網(wǎng)的多因素認證方案，但隨后被指出該方案沒有實現(xiàn)前向安全性。Amin等[6]提出了一個面向無線傳感網(wǎng)絡的多模型基站下的認證方案。然而，Wu等[7]的研究表明，Amin等的方案易受到服務器欺騙攻擊、用戶模擬攻擊、離線口令猜測攻擊。2018年，Wazid等[8]提出了新的基于對稱密碼算法的用戶身份方案。然而，Wang等[9]的研究表明，Wazid等的方案容易受到離線字典攻擊，且沒有實現(xiàn)匿名性和前向安全性。

工業(yè)互聯(lián)網(wǎng)中用戶身份的認證需要根據(jù)具體的企業(yè)需求，設計基于不同認證因子的、滿足不同安全目標的身份認證協(xié)議，存在的挑戰(zhàn)主要在于實現(xiàn)用戶與資源受限的工業(yè)環(huán)境設備之間的認證。針對該問題，目前從密碼學角度，提出了一些只采用對稱密碼算法的方案，但這類方案通常比較容易存在協(xié)議設計問題，無法達到聲稱的安全目標；從非密碼學角度，一些基于硬件的(例如物理不可克隆函數(shù)的)認證方案被提出，這類方案對硬件特性的假設依賴較高。如何高效地實現(xiàn)用戶與資源受限的物聯(lián)網(wǎng)設備的可靠互聯(lián)，同時實現(xiàn)前向安全性、用戶匿名等安全目標，是一個尚待解決的問題。

2.2 工業(yè)環(huán)境設備與控制終端(云)之間的可靠互聯(lián)

設備接入認證是工業(yè)互聯(lián)網(wǎng)建立可靠互聯(lián)網(wǎng)絡的關鍵一步。這些終端設備承載的業(yè)務復雜敏感，十分容易吸引不法分子，為了能夠與遠端的服務器或者控制中心通信，它們需要完成自身的認證和完整性校驗。且由于這些設備通常部署于無人值守的環(huán)境中，攻擊者一方面很容易獲取設備中的密鑰來仿冒終端設備；一方面，也容易實現(xiàn)無線鏈路的竊聽和干擾，引發(fā)拒絕服務攻擊。因此，實現(xiàn)工業(yè)制造設備的安全接入，保障工業(yè)互聯(lián)網(wǎng)中的設備具有合法的身份非常關鍵。設備的接入認證主要采用基于密碼學的身份認證，傳統(tǒng)的基于密碼學的設備接入認證方式可能會使系統(tǒng)資源消耗過大導致系統(tǒng)擁塞，因此研究人員考慮將聚合簽密方案應用到工業(yè)環(huán)境設備與控制終端間的可靠互聯(lián)中。

近年來，一些面向工業(yè)互聯(lián)網(wǎng)的聚合簽密方案陸續(xù)被提出。2018年，Cao等[10]在5G環(huán)境中利用基于身份的聚合簽密技術實現(xiàn)了設備接入認證。2021年，Saddam等[11]面向工業(yè)互聯(lián)網(wǎng)提出了一種基于身份的輕量級通用代理簽密方案，該方案在選擇密文攻擊下具有不可區(qū)分性，且通信和計算成本要比其它同類型方案要好。2022年，Dohare等[12]提出了一個以云霧為中心的面向工業(yè)互聯(lián)網(wǎng)的無證書聚合簽密方案，該方案可以實現(xiàn)設備間的相互身份認證，并保證數(shù)據(jù)的保密性、完整性、真實性。

與傳統(tǒng)的先簽名后加密的聚合數(shù)字簽名技術相比，聚合簽密技術可以在一個邏輯步驟內(nèi)同時完成保密和認證操作，并且該技術的計算和通信成本較低，這可以使密碼方案的設計變得簡單。目前，面向工業(yè)互聯(lián)網(wǎng)場景的聚合簽密技術主要包括基于身份的聚合簽密和無證書的聚合簽密。在基于身份的聚合簽密技術中，用戶的公鑰由用戶的身份運算得出，用戶不再需要向PKI申請證書并向其他通信實體交換證書，可以直接使用用戶的身份進行密碼運算。該類技術相比傳統(tǒng)的PKI技術靈活性更高、可擴展性更好，解決了公鑰的真實性問題，簡化了管理密鑰的復雜程度，但在該類技術中用戶的私鑰由密鑰生成中心生成，可能會引起密鑰托管問題。在基于無證書的聚合簽密技術中，用戶的私鑰由密鑰生成中心生成的部分私鑰和用戶自己生成的部分私鑰共同組成，不會存在密鑰托管問題，且該類技術不依賴證書、計算和通信開銷小、系統(tǒng)輕量、具有強不可抵賴性，適合工業(yè)互聯(lián)網(wǎng)領域設備與控制終端間的接入認證。

3 工業(yè)互聯(lián)網(wǎng)中的敏感數(shù)據(jù)共享機制

工業(yè)互聯(lián)網(wǎng)和工業(yè)大數(shù)據(jù)的發(fā)展，加速了工業(yè)數(shù)據(jù)要素市場的發(fā)展和成形。目前，工業(yè)大數(shù)據(jù)主要在企業(yè)內(nèi)部或供應鏈間分享流通，未來會有進一步的跨域流通和交易需求。工業(yè)互聯(lián)網(wǎng)界正在探索隱私計算等技術體系，推進工業(yè)數(shù)據(jù)要素資源的交換流通與交易。

在目前工業(yè)互聯(lián)網(wǎng)用到的隱私計算技術中，主要的技術實現(xiàn)思路分為三種：以密碼學為核心的技術實現(xiàn)、融合隱私保護技術的聯(lián)合建模、依托可信硬件的技術實現(xiàn)。以密碼學為核心的技術實現(xiàn)包含了多方安全計算、同態(tài)加密等多種密碼學技術，例如馮琦[13]將混合多方計算模式與機器學習算法相結(jié)合，設計通信優(yōu)先的安全多方計算協(xié)議，并以此為基礎構(gòu)造“計算—通信”代價平衡的隱私深度神經(jīng)網(wǎng)絡訓練方案。融合隱私保護技術的聯(lián)合建模，是將聯(lián)邦學習與各類隱私保護技術相融合的技術實現(xiàn)方式，例如文獻[14]針對工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)隱私保護問題，提出了一種基于聯(lián)邦學習的高效數(shù)據(jù)隱私保護方法。依托可信硬件的技術實現(xiàn)是指基于硬件的信任根，對隱私數(shù)據(jù)的計算環(huán)境進行隔離和度量，數(shù)據(jù)和算法被加密后輸入到可信執(zhí)行環(huán)境中，僅對外輸出最終的計算結(jié)果，原始數(shù)據(jù)和過程數(shù)據(jù)就地銷毀，從而實現(xiàn)數(shù)據(jù)的“可用不可見”，例如王吾冰等[15]基于可信執(zhí)行環(huán)境技術設計了機密計算框架。

目前，以密碼學為核心的技術實現(xiàn)主要采用多方安全計算技術，它的數(shù)據(jù)加密基于嚴格的密碼理論，在該技術中由各個參與方自己掌握擁有的數(shù)據(jù)，而不依賴任何第三方，如其他參與方、操作員、系統(tǒng)、軟硬件等，但該技術大量使用密碼學算法，計算性能存在瓶頸；融合隱私保護技術的聯(lián)合建模主要采用聯(lián)邦學習技術，這項技術既可以解決訓練階段數(shù)據(jù)特征單一的問題，又可以保證各參與方計算的數(shù)據(jù)量不增加，從而減少算力成本，但在該技術中利用中心服務器收集的模型梯度及權(quán)重等信息可能會存在反推出參與方數(shù)據(jù)分布的可能，且存在各參與方計算能力不一致、網(wǎng)絡連接狀態(tài)不穩(wěn)定等影響操作效率的問題；依托可信硬件的技術實現(xiàn)主要采用可信執(zhí)行環(huán)境技術，它具有通用和高效的優(yōu)勢，既可以作為一個獨立的技術用于隱私計算，也可以和安全多方計算、聯(lián)邦學習等技術結(jié)合起來保護隱私，但該技術需要較高的硬件投入，且與國際CPU廠商綁定較深，會影響可信執(zhí)行環(huán)境技術的可信度。

4 結(jié)語

工業(yè)互聯(lián)網(wǎng)通過實現(xiàn)人、物以及數(shù)據(jù)的互聯(lián)互通，加速制造業(yè)轉(zhuǎn)型升級，提升制造業(yè)的整體競爭力，已成為新工業(yè)革命的關鍵支撐和智能制造的重要基石。文章探討工業(yè)互聯(lián)網(wǎng)中各要素之間可靠互聯(lián)需求，提供基于密碼技術和隱私計算技術的數(shù)據(jù)安全流通機制，為工業(yè)互聯(lián)網(wǎng)構(gòu)建可信的“信任根”“信任鏈”和“數(shù)據(jù)流通鏈”，推動工業(yè)互聯(lián)網(wǎng)的健康安全發(fā)展。