陳峰

(92493 部隊(duì)，遼寧 葫蘆島 125000)

0 引言

隨著現(xiàn)代化網(wǎng)絡(luò)技術(shù)和信息化的不斷發(fā)展，如今的裝備控制形態(tài)早已從過去傳統(tǒng)的人力控制型轉(zhuǎn)變?yōu)樾畔⒆詣?dòng)化控制型。我國也在努力研制國產(chǎn)化自主研發(fā)裝備，結(jié)合相關(guān)領(lǐng)域的快速發(fā)展，我國軍事裝備領(lǐng)域取得了穩(wěn)健的發(fā)展態(tài)勢。裝備控制主要涉及自動(dòng)控制技術(shù)、機(jī)械技術(shù)、計(jì)算機(jī)信息技術(shù)、機(jī)電一體化技術(shù)等。軍事裝備一體化技術(shù)在我國多方領(lǐng)域應(yīng)用廣泛，為軍事現(xiàn)代化的推進(jìn)提供支持和指導(dǎo)。

現(xiàn)代化軍事裝備控制系統(tǒng)牽一發(fā)而動(dòng)全身，對(duì)其各項(xiàng)組成部分，各項(xiàng)單元和指標(biāo)有極為嚴(yán)格的要求。首先是要求軍事裝備系統(tǒng)盡量自動(dòng)化，要求軍事裝備系統(tǒng)能夠提升其先進(jìn)性，利用機(jī)電一體化技術(shù)，使裝備系統(tǒng)在每一步執(zhí)行中自動(dòng)觸發(fā)，減少操作人員對(duì)系統(tǒng)的操縱和干預(yù)；其次是可靠性，由于軍事裝備的特殊性，對(duì)裝備系統(tǒng)的可靠性要求非常嚴(yán)格，可靠性的高低決定了其軍事裝備在實(shí)戰(zhàn)當(dāng)中的可用性，增強(qiáng)裝備系統(tǒng)在干擾環(huán)境下的持續(xù)可用性；第三是對(duì)裝備系統(tǒng)的準(zhǔn)確性要求，在軍事領(lǐng)域當(dāng)中，每一個(gè)裝備運(yùn)行的方向角度、軌道位置、溫度范圍等都非常嚴(yán)格，要求裝備系統(tǒng)能夠利用輔助系統(tǒng)(如自動(dòng)跟蹤系統(tǒng)、溫度反饋系統(tǒng)和自動(dòng)瞄準(zhǔn)系統(tǒng)等)提高自身的準(zhǔn)確性，保障裝備系統(tǒng)整體的精準(zhǔn)程度。

新時(shí)代中國特色社會(huì)主義思想的核心內(nèi)容的“八個(gè)明確”中指出了新時(shí)代的強(qiáng)軍目標(biāo)。軍事裝備系統(tǒng)的先進(jìn)性對(duì)實(shí)現(xiàn)強(qiáng)軍目標(biāo)具有重要意義。一旦某個(gè)軍事裝備被不法分子或敵軍控制，將對(duì)我方裝備系統(tǒng)、財(cái)產(chǎn)安全，甚至人員生命安全造成不可估量的傷害。例如2001 年的“9.11 事件”，被恐怖分子劫持的兩家民航客機(jī)撞毀美國世界貿(mào)易中心的兩幢樓，后續(xù)又撞毀位于華盛頓的美國國防部五角大樓?！?.11 事件”造成的損失十分嚴(yán)重，遇難者人數(shù)達(dá)到2 996 人，經(jīng)濟(jì)損失約2 000 億美元。因此，在軍事裝備控制系統(tǒng)中安排預(yù)設(shè)的自毀指令是十分必要的，一旦某武器裝備被敵軍所控制，自毀指令可使我方的各方面?zhèn)蛽p失最小化。

現(xiàn)有的裝備控制系統(tǒng)的檢測和審計(jì)機(jī)制主要是依賴于中心化的服務(wù)器，一旦中心化服務(wù)器遭到攻擊或破壞，對(duì)整個(gè)裝備控制系統(tǒng)將會(huì)是毀滅性的打擊。本文針對(duì)傳統(tǒng)中心化裝備控制系統(tǒng)的致命性風(fēng)險(xiǎn)，研究分布式裝備試驗(yàn)控制信息審計(jì)與監(jiān)控技術(shù)，為裝備控制系統(tǒng)的安全性提供可靠保障。

本文首先提出了基于區(qū)塊鏈的分布式裝備試驗(yàn)控制信息審計(jì)與監(jiān)控技術(shù)五層系統(tǒng)模型，并利用智能合約實(shí)現(xiàn)閉環(huán)反饋控制的全流程監(jiān)督，實(shí)現(xiàn)了分布式聯(lián)合試驗(yàn)的可信監(jiān)管；然后，以飛行器試驗(yàn)控制器為最小系統(tǒng)為例，給出了模型實(shí)現(xiàn)的方案步驟；最后，通過仿真試驗(yàn)驗(yàn)證了模型的有效性。

1 相關(guān)工作

1.1 裝備控制安全

裝備控制系統(tǒng)的安全性極為重要，許多學(xué)者接連提出解決方案和機(jī)制保護(hù)其安全性。文獻(xiàn)[1]通過分析大量的數(shù)據(jù)資源建設(shè)現(xiàn)狀，分析數(shù)據(jù)泄露的原因，建立了裝備數(shù)據(jù)安全分析方法，構(gòu)建了裝備數(shù)據(jù)全生命周期的安全防護(hù)體系；文獻(xiàn)[2]對(duì)安全射界裝置進(jìn)行了安全需求分析，構(gòu)建了軟件框架和硬件電路，對(duì)艦載設(shè)備發(fā)射的可靠性和安全性進(jìn)行驗(yàn)證；文獻(xiàn)[3]對(duì)航空裝備保障工作中的安全因素進(jìn)行了分析，理論上探討了提高航空裝備安全性的對(duì)策；文獻(xiàn)[4]提出在軍事智能化迅速發(fā)展的今天，雖然人工智能等新興技術(shù)提高了軍事裝備的戰(zhàn)斗效率，但其安全問題也日益凸顯，倡導(dǎo)消除軍事智能化帶來的安全隱患；文獻(xiàn)[5]指出現(xiàn)代化軍事裝備系統(tǒng)逐漸智能化、復(fù)雜化，在執(zhí)行過程中難免會(huì)產(chǎn)生大量的不確定性風(fēng)險(xiǎn)，調(diào)查了現(xiàn)有軍事裝備事故處理方法的局限性，提出建立軍事裝備保險(xiǎn)機(jī)制，并理論分析了其可行性及優(yōu)勢。

1.2 區(qū)塊鏈

因區(qū)塊鏈去中心化、不可篡改、永久記錄、可追溯、公開可驗(yàn)證等特性，在數(shù)據(jù)安全和可靠性方面，適用于眾多行業(yè)[6-11]。在工控系統(tǒng)的智能電網(wǎng)供電方面，文獻(xiàn)[12]提出了通過區(qū)塊鏈的分布式賬本記錄相關(guān)電力數(shù)據(jù)，并提供給礦工再匯總權(quán)限，但是執(zhí)行效率不高；文獻(xiàn)[13]提出了基于結(jié)合區(qū)塊鏈的用電數(shù)據(jù)存儲(chǔ)方案，結(jié)合區(qū)塊鏈的節(jié)點(diǎn)共識(shí)機(jī)制，實(shí)現(xiàn)了用戶對(duì)敏感用電數(shù)據(jù)的存儲(chǔ)和信息共享；文獻(xiàn)[14]在煙草行業(yè)的工控系統(tǒng)利用區(qū)塊鏈的不可篡改、可靠數(shù)據(jù)庫等特點(diǎn)設(shè)計(jì)了安全防護(hù)系統(tǒng)，實(shí)現(xiàn)從信息管理層到現(xiàn)場設(shè)備層的信息安全保護(hù)和可靠身份認(rèn)證；文獻(xiàn)[15]提出ICS-BlockOpS 的這一新型架構(gòu)，將完整性檢查機(jī)制與區(qū)塊鏈結(jié)合，保證數(shù)據(jù)的不可篡改性和冗余性，以提高工控系統(tǒng)中的數(shù)據(jù)安全性，并將該原型架構(gòu)實(shí)施在正在運(yùn)行的水處理廠中。

2 系統(tǒng)模型

基于區(qū)塊鏈技術(shù)，提出了裝備試驗(yàn)控制的五層系統(tǒng)模型，包括數(shù)據(jù)采集層、通信層、分布式存儲(chǔ)層、共識(shí)層和應(yīng)用層，如圖1 所示。

圖1 系統(tǒng)模型

2.1 數(shù)據(jù)采集層

數(shù)據(jù)采集層建立在裝備試驗(yàn)控制系統(tǒng)上，系統(tǒng)中存在大量安控裝備，應(yīng)由不同的制造商生產(chǎn)或具有不同的設(shè)計(jì)框架。由于安控裝備部署在整個(gè)裝備試驗(yàn)控制系統(tǒng)中，它們會(huì)收集飛行器的飛行狀態(tài)、方向信息和位置信息等，這些數(shù)據(jù)將通過通信層傳輸并存儲(chǔ)在分布式存儲(chǔ)層中。

2.2 通信層

通信層由基站和網(wǎng)絡(luò)路由器構(gòu)成。數(shù)據(jù)采集層中的安控裝備通過無線連接作為點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)相互聯(lián)結(jié)。通過這一層，收集到的數(shù)據(jù)將在整個(gè)網(wǎng)絡(luò)中傳播。

2.3 分布式存儲(chǔ)層

分布式存儲(chǔ)層由安全存儲(chǔ)設(shè)備組成，能夠安全地存儲(chǔ)安控裝備采集到的數(shù)據(jù)。此外，系統(tǒng)將為安控裝備在一段時(shí)間內(nèi)收集的每個(gè)數(shù)據(jù)段生成消息摘要。

2.4 共識(shí)層

共識(shí)層是區(qū)塊鏈系統(tǒng)的核心算法。在一個(gè)區(qū)塊鏈系統(tǒng)中，所有組成該系統(tǒng)的安控裝備都具有相同的共識(shí)。根據(jù)所選擇的共識(shí)，系統(tǒng)中的安控裝備首先檢查收集的數(shù)據(jù)的正確性，并將正確收集數(shù)據(jù)的消息摘要記錄在區(qū)塊鏈中。共識(shí)層能夠確保區(qū)塊鏈采用的數(shù)據(jù)得到大多數(shù)安控裝備的信任或同意。

2.5 應(yīng)用層

應(yīng)用層由共識(shí)層實(shí)現(xiàn)。裝備試驗(yàn)控制系統(tǒng)各個(gè)階段產(chǎn)生的正確數(shù)據(jù)都會(huì)被記錄在區(qū)塊中，因此，可以開發(fā)許多基于區(qū)塊鏈的智能合約來靈活地處理數(shù)據(jù)。并且，區(qū)塊鏈可以將數(shù)據(jù)處理結(jié)果與決策數(shù)據(jù)進(jìn)行對(duì)比，一旦出現(xiàn)較大差異，表明本系統(tǒng)判斷錯(cuò)誤時(shí)，智能合約會(huì)發(fā)出警報(bào)，防止系統(tǒng)受到進(jìn)一步損害。

3 具體方案

裝備試驗(yàn)安全保密要求高、時(shí)敏性強(qiáng)，涉及光、雷、遙等多類、多型測量控制設(shè)備及網(wǎng)絡(luò)通信設(shè)備，在廣泛的試驗(yàn)區(qū)域內(nèi)，存在被惡意控制、仿冒的風(fēng)險(xiǎn)，必須設(shè)計(jì)可靠有效的監(jiān)管審計(jì)方案，保證試驗(yàn)系統(tǒng)的穩(wěn)定安全運(yùn)行。

本節(jié)以飛行器試驗(yàn)控制器為最小系統(tǒng)實(shí)例，詳細(xì)描述系統(tǒng)具體實(shí)施方案。在飛行器飛行過程中，安控裝備能夠收集飛行器的飛行狀態(tài)、方向信息和位置信息，并上傳至智能合約。通過對(duì)飛行器的方向和位置判斷，若飛行器不斷靠近重點(diǎn)目標(biāo)對(duì)象，一旦超過最短距離閾值，則智能合約觸發(fā)要求飛行器自毀的指令，防止飛行器由于控制系統(tǒng)錯(cuò)亂或被敵方控制而對(duì)重點(diǎn)目標(biāo)造成傷害。

如圖2 所示，在這個(gè)最小系統(tǒng)中部署了多個(gè)安控裝備。其中，部分安控裝備用于檢測飛行器的方向信息，部分安控裝備用于檢測飛行器的位置信息。

圖2 具體裝備控制方案

在本系統(tǒng)中，安控裝備可同時(shí)作為區(qū)塊鏈的礦工，系統(tǒng)采用現(xiàn)有的委托權(quán)益證明(DPoS)共識(shí)機(jī)制。如果安控裝備的計(jì)算能力有限，也可以將高性能計(jì)算機(jī)作為礦工進(jìn)行挖礦，與安控裝備相同，這些高性能計(jì)算機(jī)也由不同的制造商生產(chǎn)或具有不同的框架。系統(tǒng)流程如下：

(1)初始化。首先，系統(tǒng)執(zhí)行該算法，以對(duì)系統(tǒng)模型的每一層進(jìn)行初始化設(shè)置。在輸入安全參數(shù)時(shí)，系統(tǒng)選擇具有相對(duì)安全級(jí)別的密碼算法，同時(shí)傳感器之間建立點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)和區(qū)塊鏈創(chuàng)世紀(jì)塊。此外，初始化區(qū)塊鏈參數(shù)，包括DPoS 共識(shí)機(jī)制中的受托人個(gè)數(shù)N。

(2)數(shù)據(jù)收集。部分安控裝備收集并檢測飛行器方向信息，部分安控裝備收集并檢測飛行器的位置信息。然后，安控裝備相互傳輸數(shù)據(jù)摘要并將數(shù)據(jù)存儲(chǔ)在分布式存儲(chǔ)設(shè)備中。

(3)數(shù)據(jù)驗(yàn)證。受托人收集數(shù)據(jù)后，將驗(yàn)證數(shù)據(jù)的正確性。首先，受托人會(huì)比較不同安控裝備收集的數(shù)據(jù)，如果收集到的某些數(shù)據(jù)與其他安控裝備的大部分?jǐn)?shù)據(jù)相差甚遠(yuǎn)，則將其丟棄。該步驟確保收集到的數(shù)據(jù)經(jīng)過可信驗(yàn)證。

(4)區(qū)塊生成。當(dāng)驗(yàn)證數(shù)據(jù)正確，即超過一半的安控裝備數(shù)據(jù)幾乎相同時(shí)，受托人將摘要記錄在區(qū)塊中，然后將新生成的區(qū)塊發(fā)布到整個(gè)系統(tǒng)。該步驟保證了分布式存儲(chǔ)設(shè)備中記錄的數(shù)據(jù)安全且不可篡改，同時(shí)為數(shù)據(jù)提供審計(jì)服務(wù)。

(5)智能判斷?；谂c裝備試驗(yàn)控制系統(tǒng)相同的反饋控制方法，可以使用許多智能合約。并且，基于卡爾曼濾波器等數(shù)據(jù)處理算法，受托人會(huì)計(jì)算平均反饋輸入數(shù)據(jù)，然后計(jì)算理論反饋輸出數(shù)據(jù)。接著，受托人會(huì)檢查飛行器與目標(biāo)對(duì)象的距離是否過近(超過閾值)。一旦兩者距離過近，智能合約將觸發(fā)自毀指令，迫使該飛行器進(jìn)行立即自毀。該步驟確保系統(tǒng)功能性，是整個(gè)框架的核心。

(6)區(qū)塊驗(yàn)證。當(dāng)指定的受托人發(fā)布區(qū)塊時(shí)，其他安控裝備會(huì)驗(yàn)證區(qū)塊中的數(shù)據(jù)是否正確以及受托人是否誠實(shí)地進(jìn)行智能判斷。一旦發(fā)現(xiàn)塊不正確，每個(gè)安控裝備都可以警告操作員，并且對(duì)受托安控裝備進(jìn)行修理或更換；如果塊被驗(yàn)證是正確的，各安控裝備會(huì)將區(qū)塊添加到現(xiàn)有區(qū)塊鏈的末尾。

4 系統(tǒng)分析

在本系統(tǒng)中，安控裝備或高性能計(jì)算機(jī)均可以作為礦工，挖礦產(chǎn)生新區(qū)塊。假設(shè)安控裝備或不同廠商不同架構(gòu)的計(jì)算機(jī)擔(dān)任礦工時(shí)，有51%以上的礦工為誠實(shí)的，攻擊者無法同時(shí)對(duì)51%以上的安控裝備或計(jì)算機(jī)攻擊成功，即系統(tǒng)不會(huì)受到51%算力攻擊。在攻擊者無法對(duì)全網(wǎng)進(jìn)行干預(yù)的情況下，智能合約能夠根據(jù)預(yù)先定義的轉(zhuǎn)換規(guī)則，在實(shí)際執(zhí)行和理論反饋數(shù)據(jù)相差較大時(shí)，自動(dòng)執(zhí)行相應(yīng)的業(yè)務(wù)邏輯，向操作員發(fā)出警示，降低人在裝備控制系統(tǒng)監(jiān)管過程中的參與度，提高信息處理和審計(jì)效率。此外，系統(tǒng)采用的區(qū)塊鏈技術(shù)，使得已上傳至鏈上的工控信息不可篡改且永久記錄，保障了信息審計(jì)的安全性。

本系統(tǒng)中，指令傳達(dá)的延遲可能會(huì)對(duì)整個(gè)系統(tǒng)的可用性造成極大的影響。在裝備控制系統(tǒng)中，延遲最主要來源于智能合約執(zhí)行的速度和區(qū)塊鏈自身的吞吐量。因此，對(duì)本文提出的裝備控制系統(tǒng)中智能合約執(zhí)行的延遲進(jìn)行測試。測試系統(tǒng)為Cent OS 7 四核處理器，具有4 GB RAM、20 GB 硬盤，使用的聯(lián)盟鏈為Hyperleger Fabric v2.3，用Go 語言編程智能合約。

如表1 所示，本測試系統(tǒng)的測試用例成功傳達(dá)指令7 627 次，無失敗的指令傳達(dá)，發(fā)送率為100%，即257.7 TPS。測試系統(tǒng)的吞吐量在257.6 TPS 左右，平均延遲為0.01 s，最大延遲為0.05 s?？紤]實(shí)際系統(tǒng)的應(yīng)用場景，智能合約的延遲較低，是可接受的。

表1 裝備控制系統(tǒng)智能合約延遲

5 結(jié)論

本文針對(duì)裝備試驗(yàn)控制系統(tǒng)中存在的裝備試驗(yàn)控制信息安全問題，提出了一種基于區(qū)塊鏈的裝備試驗(yàn)控制信息審計(jì)與監(jiān)控系統(tǒng)，利用區(qū)塊鏈的去中心化、不可篡改、永久記錄、可追溯、公開可驗(yàn)證等特性，實(shí)現(xiàn)非可信環(huán)境下裝備試驗(yàn)信息的可靠記錄和存儲(chǔ)，為裝備試驗(yàn)控制審計(jì)和統(tǒng)計(jì)提供支持。在此基礎(chǔ)上，利用區(qū)塊鏈的共識(shí)機(jī)制和算法的透明性，智能合約能夠?qū)崿F(xiàn)閉環(huán)反饋控制的全流程監(jiān)督。該系統(tǒng)能夠?qū)崿F(xiàn)分布式裝備試驗(yàn)控制的可信監(jiān)管，具有良好的效率和較高的安全性，極大地保障了裝備試驗(yàn)控制系統(tǒng)的信息安全，在實(shí)際應(yīng)用中具有很高的部署價(jià)值。