★四川公眾項目咨詢管理有限公司肖鴻耀，唐忠友

★四川大學錦江學院宋仕斌

工業(yè)互聯(lián)網(wǎng)以5G無線網(wǎng)絡為基礎，標識解析體系是其基礎設施。與DNS（Domain NameSystem，域名系統(tǒng)）在互聯(lián)網(wǎng)中的作用類似，標識解析體系在工業(yè)互聯(lián)網(wǎng)中起到了神經中樞的作用。工業(yè)互聯(lián)網(wǎng)標識用來對5G全連接工廠設備、產品等物理資源及算法工序等虛擬資源進行命名。標識解析體系負責對物品身份進行標識和解析，用戶可以根據(jù)標識信息來查詢產品、機器或原材料等物件的數(shù)據(jù)信息，并通過標識實現(xiàn)數(shù)據(jù)之間的關聯(lián)，為企業(yè)的智能制造及產品的全生命周期管理提供了服務支持。工業(yè)互聯(lián)網(wǎng)的快速發(fā)展也帶來了許多安全威脅和風險，工業(yè)互聯(lián)網(wǎng)安全問題已經成為制約其發(fā)展的重要因素之一^[1]。為應對工業(yè)互聯(lián)網(wǎng)面臨的惡意攻擊威脅、系統(tǒng)固有風險、管理威脅等，亟需對工業(yè)互聯(lián)網(wǎng)標識解析體系的物理安全、功能安全和信息安全進行系統(tǒng)、深入研究并提出解決方案。

1　工業(yè)互聯(lián)網(wǎng)標識解析體系安全風險分析

工業(yè)互聯(lián)網(wǎng)標識解析體系的對象是機器、產品等物理實體和算法、工藝等虛擬制造資源^[2]。工業(yè)互聯(lián)網(wǎng)標識解析體系通過將每一個實體物品（產品、商品、設備、零配件等）賦予一個唯一的字符串，即唯一的“ID”，從而實現(xiàn)在全互聯(lián)網(wǎng)范圍的目標區(qū)分以及信息統(tǒng)籌管理^[3]。結合國內外標識解析體系安全領域的現(xiàn)狀，本文以DNS、Handle（Digital Object，數(shù)字對象標識符）、OID（Object Identifier，對象標識符）等常用標識解析技術為出發(fā)點，技術與管理相結合，從風險分析、風險管理、風險措施等視角構建工業(yè)互聯(lián)網(wǎng)標識解析安全風險分析模型，并從架構安全風險、身份安全風險、數(shù)據(jù)安全風險和運營安全風險等維護對工業(yè)互聯(lián)網(wǎng)標識體系風險進行系統(tǒng)分析，如圖1所示。

圖1 工業(yè)互聯(lián)網(wǎng)標識解析體系風險分析

工業(yè)互聯(lián)網(wǎng)標識體系受到威脅會造成數(shù)鏡像站點和代理服務器出現(xiàn)延遲，導致數(shù)據(jù)不一致或出現(xiàn)完整性問題。關鍵節(jié)點關聯(lián)性風險是指體系中的關鍵性節(jié)點受到攻擊會導致其他節(jié)點穩(wěn)定性下降。身份安全風險主要從人、機、物分析角色的風險，不同的角色會有不同類型的權限。身份安全風險主要有身份欺騙、越權訪問、權限紊亂、身份標識與產品關聯(lián)出錯和設備漏等。身份欺騙通過偽造合法的身份來獲得相應的權限，提供虛假的信息。越權訪問是如果系統(tǒng)本身訪問控制設計混亂或遭遇攻擊，提升了權限，用戶能夠訪問超出本身權限的資源。權限紊亂是在最短時間內進行授權，會對權限造成管理上的疏漏或非法訪問。身份標識與產品關聯(lián)出錯是指身份標識與產品沒有一一對應，導致產品數(shù)據(jù)收集出現(xiàn)錯誤。設備漏洞是指攻擊者通過系統(tǒng)的漏洞繞過訪問控制，遠程控制甚至篡改數(shù)據(jù)，可能發(fā)生在數(shù)據(jù)采集、傳輸、交換和存儲環(huán)節(jié)。數(shù)據(jù)篡改是指攻擊者有機會進入工業(yè)互聯(lián)網(wǎng)的設備，對設備中的標識數(shù)據(jù)、解析數(shù)據(jù)和管理數(shù)據(jù)進行修改。隱私數(shù)據(jù)泄露主要是如果沒有安全防護措施，各種隱私和關鍵數(shù)據(jù)在使用的過程中泄露，從而給用戶個人和企業(yè)造成損失。數(shù)據(jù)丟失是指在沒有有效備份的情況下，攻擊者惡意刪除設備中的各種數(shù)據(jù)或發(fā)生自然災害，或者工作人員操作失誤導致數(shù)據(jù)丟失并無法恢復。運營安全風險主要存在于對物理環(huán)境、業(yè)務連續(xù)性、人員、機構及流程等各方面的管理中。工業(yè)互聯(lián)網(wǎng)標識解析從架構安全、身份安全、數(shù)據(jù)安全和運營安全等方面進行設計。

2　工業(yè)互聯(lián)網(wǎng)標識解析體系安全關鍵技術研究

本文從安全接入、訪問控制、數(shù)據(jù)治理、加密認證、威脅檢測、網(wǎng)絡測量、檢測審計、安全編排、安全代理及云化安全等工業(yè)互聯(lián)網(wǎng)標識解析安全關鍵技術，如圖2所示。設備層包括設備安全，邊緣層包括控制安全和網(wǎng)絡安全，企業(yè)層包括網(wǎng)絡安全、應用安全和數(shù)據(jù)安全。設備安全主要是指工業(yè)設備和智能產品的安全，包括操作系統(tǒng)和各種相關應用軟件的安全。網(wǎng)絡安全主要是指內網(wǎng)、外網(wǎng)的安全和工廠與用戶、工廠與工廠之間互聯(lián)互通的安全。應用安全覆蓋工業(yè)互聯(lián)網(wǎng)業(yè)務運行的平臺安全及應用程序安全，研究對象包括工業(yè)應用軟件、云化軟件和工業(yè)App。數(shù)據(jù)安全主要包括生產管理數(shù)據(jù)、生產操作數(shù)據(jù)和用戶數(shù)據(jù)的采集、傳輸、交換、存儲、處理及銷毀等方面的安全。為了確保數(shù)據(jù)在存儲過程中不被非法訪問者竊取，采用數(shù)據(jù)存儲加密將數(shù)據(jù)轉化為密文進行存儲^[4]。

圖2 工業(yè)互聯(lián)網(wǎng)標識解析體系安全關鍵技術

2.1　安全接入

工業(yè)互聯(lián)網(wǎng)標識解析系統(tǒng)應對接入的各種設備和標識節(jié)點進行身份認證，保證接入的合法性和安全性，對非法設備和節(jié)點進行報警。首先，基于安全芯片的標識載體可以保證標識數(shù)據(jù)的安全存儲，提供了安全的運行環(huán)境；其次，結合5G通信技術的安全芯片能夠主動向標識解析服務節(jié)點或標識數(shù)據(jù)應用平臺等發(fā)起連接；最后，使用密碼算法來確保標識信息和密鑰的完整性，抵御外部攻擊。對通信雙方進行身份認證和基于身份的消息加密能夠防止身份被偽造、數(shù)據(jù)被篡改、隱私被泄露。通過基于口令的認證、基于生物特征的認證、基于PKI體系的數(shù)字證書、基于BBC（Identity-Based Cryptography，基于身份的密碼學）的認證等實體認證技術可以建立起通信雙方之間的信任，保障了標識解析請求和響應的完整性和可靠性。

2.2　訪問控制

訪問控制是實現(xiàn)數(shù)據(jù)受控訪問、保障數(shù)據(jù)安全的關鍵措施。對于海量異構多元的工業(yè)互聯(lián)網(wǎng)標識解析信息，應采取細粒度、高靈活性和動態(tài)性的訪問控制措施。選擇基于訪問控制列表、角色、屬性、規(guī)則、業(yè)務場景、信任等要素的訪問控制及集成訪問控制技術可實現(xiàn)靈活的標識解析訪問控制，提供了大規(guī)模、高并發(fā)的訪問請求服務，同時可抵御DoS攻擊。通常使用工業(yè)防火墻將工業(yè)網(wǎng)絡劃分為若干區(qū)域，通過定義各區(qū)域之間的訪問控制策略來保證工業(yè)網(wǎng)絡數(shù)據(jù)傳輸安全，抵御網(wǎng)絡攻擊。可以在各層網(wǎng)絡之間縱向部署工業(yè)防火墻，實現(xiàn)跨層的訪問控制，同時深度過濾層間數(shù)據(jù)包，防范由上至下的惡意攻擊。對于橫向平行的生產區(qū)、生產線或業(yè)務子系統(tǒng)之間，可以劃分為不同的安全區(qū)，通過工業(yè)防火墻實現(xiàn)各安全區(qū)之間的訪問控制，減少同級安全區(qū)之間的安全風險傳播。使用區(qū)塊鏈也可以實現(xiàn)工業(yè)互聯(lián)網(wǎng)標識解析的訪問控制。通過計算待訪問標識信息的哈希值并與目標區(qū)塊鏈上存儲的哈希值進行對比，可避免解析結果失真。

2.3　OID解析安全

OID體系采用了DNS技術來識別系統(tǒng)風險，如DDoS攻擊、緩存污染、DNS劫持等工業(yè)互聯(lián)網(wǎng)系統(tǒng)風險。OID體系本身在運營管理中也存在各種風險：標識缺乏認證能力，無法從頂層設計規(guī)定統(tǒng)一的認證方式；解析系統(tǒng)缺乏解析權限控制能力，只能提供匿名查詢能力，無法進行更加細粒度的查詢，從而無法滿足更高的安全要求；標識對應身份缺乏可信證書，需要獨立的第三方提供證書才使得服務具有可信度；國際頂級節(jié)點oid-res.org在國內沒有備份節(jié)點，在對接時會產生一定的風險；很多標識授權用戶本身缺乏運營標識管理系統(tǒng)的技術能力與經驗，在監(jiān)管比較弱的情況下，容易出現(xiàn)標識濫用、濫發(fā)等情況。OID標識體系的安全防護主要依賴于DNS的安全保障機制，OID解析系統(tǒng)客戶端根據(jù)解析請求中的DNSSE（Domain Name System Security Extensions，域名系統(tǒng)安全擴展）來提供安全防護。數(shù)字簽名認證可以保證解析參與者的身份安全，信息摘要校驗雖然可以保證數(shù)據(jù)不被篡改，但無法保證數(shù)據(jù)在傳輸過程中不被泄露，也無法保證用戶對數(shù)據(jù)操作的合法性。

2.4　Ecode解析安全

Ecode解析系統(tǒng)建設及安全保障主要包括一般要求、數(shù)據(jù)編碼安全要求、身份鑒別與授權要求、安全評估等。一般要求主要包括物理安全、系統(tǒng)軟件安全及災備中心。其中，物理安全要滿足機房、數(shù)據(jù)中心的建設要求：服務器與網(wǎng)絡設備按照安全需求配置；建設完善的電子監(jiān)控和報警系統(tǒng)；數(shù)據(jù)中心邊界部署訪問控制設備，安裝防火墻、入侵檢測系統(tǒng)；進行安全風險監(jiān)控、異常訪問告警。系統(tǒng)軟件安全要通過國家規(guī)定的可信第三方機構的安全測評或認證。災備中心要選在地質條件良好的地點，與主用中心不在同一個地震帶中。數(shù)據(jù)編碼安全要求主要包括Ecode編碼數(shù)據(jù)存儲、Ecode編碼數(shù)據(jù)傳輸、標識系統(tǒng)備份與恢復、標識系統(tǒng)數(shù)據(jù)庫、敏感信息保護和Ecode編碼校驗等方面。其中，Ecode編碼數(shù)據(jù)存儲要求介質可靠穩(wěn)定，不應采用移動式介質存儲，刪除過的Ecode編碼數(shù)據(jù)介質中的數(shù)據(jù)應不可恢復。Ecode編碼數(shù)據(jù)傳輸應保證抗干擾性、保密性、完整性和正確性。標識系統(tǒng)定期檢查備份介質和信息，確保信息保存的有效期并建立異常事件緊急處理流程。標識系統(tǒng)數(shù)據(jù)庫應設置存取控制措施，可采取層次、分區(qū)、表格等多種方式；通過實體安全、備份和恢復等多種技術手段保護數(shù)據(jù)的完整性；宜建立雙副本日志，分別存儲于磁盤等介質上；建立Ecode數(shù)據(jù)庫的定期轉貯制度，并提供統(tǒng)一的介質銷毀工具。Ecode編碼應采取必要的校驗機制，確保編碼的準確性和一致性；身份鑒別與授權要求主要對用戶身份進行標識和鑒別。

2.5　Handle解析安全

Handle技術不依賴于DNS，其自主設計了全新的安全防護體系，主要體現(xiàn)在3個方面：管理員與權限設計、客戶端身份安全與操作合法、服務器身份安全。管理員與權限設計為每個Handle標識符設置管理員，只有擁有權限的管理員才可以對Handle標識符進行管理，并對管理員進行身份驗證和權限認證。客戶端身份安全與操作合法由客戶端發(fā)起解析和管理兩類請求，服務器需要對客戶端進行差異化解析或使用相應協(xié)議驗證客戶端的身份。對于服務器身份安全，客戶端可以要求Handle服務器使用私鑰對其響應進行簽名，從而驗證服務器身份。

2.6　UID解析安全

UID體系應從物理標簽安全、接入與訪問控制、通信安全、資源管理、安全更新等方面采取措施，加強其安全防護能力。物理標簽安全保證UCode編碼在物理上難以復制或偽造，并且UCode編碼在遭到破壞時會被系統(tǒng)迅速識別與檢測。接入與訪問控制只允許授權的用戶和應用訪問Code編碼。通信安全可以建立安全的數(shù)據(jù)通道與未知節(jié)點進行通信來保證數(shù)據(jù)安全^[5]。資源管理對各種數(shù)據(jù)和操作設置有效期，一旦超出有效期，所有的數(shù)據(jù)和操作都禁止被訪問。安全更新定時更新固件和安裝安全補丁來保證系統(tǒng)處于最佳狀態(tài)。

3　結束語

為應對工業(yè)互聯(lián)網(wǎng)面臨的惡意攻擊威脅、系統(tǒng)固有風險、管理威脅等，并充分考慮到物理安全、功能安全和信息安全，本文從設備安全、控制安全、網(wǎng)絡安全、應用安全和數(shù)據(jù)安全等方面全方位構建了工業(yè)互聯(lián)網(wǎng)安全體系框架，應用安全覆蓋了工業(yè)互聯(lián)網(wǎng)業(yè)務運行的平臺安全及應用程序安全。在API接口安全方面，應在開放的API接口設計和實現(xiàn)過程中充分考慮安全認證，防止出現(xiàn)未授權訪問安全漏洞，開發(fā)后應實施漏洞掃描和滲透測試^[6]。未來，我國工業(yè)互聯(lián)網(wǎng)標識生態(tài)可從融合發(fā)展、協(xié)同共建、應用牽引、強化技術等多方面部署，以促進我國工業(yè)互聯(lián)網(wǎng)標識產業(yè)生態(tài)的創(chuàng)新發(fā)展^[7]。

作者簡介：

肖鴻耀（1986-），男，四川成都人，工程師，學士，現(xiàn)就職于四川公眾項目咨詢管理有限公司，主要研究方向為云計算、物聯(lián)網(wǎng)及網(wǎng)絡安全。

唐忠友（1984-）男，四川成都人，工程師，學士，現(xiàn)就職于四川公眾項目咨詢管理有限公司，主要研究方向為5G及工業(yè)互聯(lián)網(wǎng)應用。（本文通訊作者）

宋仕斌（1976-），男，四川成都人，副教授，學士，現(xiàn)就職于四川大學錦江學院，主要研究方向為云計算、物聯(lián)網(wǎng)及網(wǎng)絡安全。

參考文獻：

[1] 季凱玉. 工業(yè)互聯(lián)網(wǎng)安全技術研究[J]. 網(wǎng)絡安全和信息化, 2024 (1) : 44 - 46.

[2] 謝家貴, 齊超, 朱佳佳. 工業(yè)互聯(lián)網(wǎng)標識解析體系架構及部署進展[J]. 信息通信技術與政策, 2020 (10) : 10 - 17.

[3] 嚴佳敏, 李波, 呂彬, 等. 食品行業(yè)工業(yè)互聯(lián)網(wǎng)標識解析應用研究[J]. 中國儀器儀表, 2022 (8) : 22 - 27.

[4] 李冰, 李陸, 張瑞, 等. 物聯(lián)網(wǎng)平臺安全體系設計[J]. 工業(yè)信息安全, 2022 (5) : 17 - 23.

[5] 陳紅松. 云計算與物聯(lián)網(wǎng)[M]. 北京: 電子工業(yè)出版社, 2022.

[6] 劉曉曼, 于青民. 5G全連接工廠安全保障體系建設研究[J]. 信息通信技術, 2023, 17 (5) : 78 - 83.

[7] 李銘巖, 譚凱, 焦宗雙. 我國工業(yè)互聯(lián)網(wǎng)標識生態(tài)發(fā)展研究[J]. 郵電設計技術, 2022 (10) : 53 - 58. 

摘自《自動化博覽》2024年7月刊