區(qū)塊鏈在工業(yè)控制領(lǐng)域中的應(yīng)用探討

靳志偉

(深圳圖靈奇點(diǎn)智能科技有限公司,廣東 深圳 518000)

0 引言

區(qū)塊鏈技術(shù)近幾年來(lái)越來(lái)越受到社會(huì)各行各業(yè)關(guān)注，業(yè)界和學(xué)界普遍認(rèn)為區(qū)塊鏈技術(shù)獨(dú)有的優(yōu)勢(shì)具有廣闊的應(yīng)用前景，有可能給各個(gè)產(chǎn)業(yè)乃至社會(huì)生產(chǎn)關(guān)系帶來(lái)重大變革，被廣泛認(rèn)為是第四次工業(yè)革命的重要驅(qū)動(dòng)力之一。隨著工業(yè)互聯(lián)網(wǎng)時(shí)代的來(lái)臨，工業(yè)控制系統(tǒng)作為工業(yè)生產(chǎn)的核心系統(tǒng)，其網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)互通、安全控制受到高度關(guān)注。與此同時(shí)，工業(yè)控制系統(tǒng)的安全運(yùn)行也將面臨著越來(lái)越大的挑戰(zhàn)，在網(wǎng)絡(luò)安全威脅頻發(fā)的背景下，如何在工業(yè)控制領(lǐng)域中應(yīng)用區(qū)塊鏈技術(shù)增強(qiáng)工業(yè)控制系統(tǒng)的安全性值得深入研究。

1 相關(guān)研究成果回顧

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)對(duì)于保證工業(yè)的安全、穩(wěn)定、可持續(xù)發(fā)展具有重大意義。在工業(yè)控制系統(tǒng)的安全防護(hù)方面，林楓提出工業(yè)控制是一項(xiàng)具有綜合性、技術(shù)復(fù)雜性的體系工程，工業(yè)控制系統(tǒng)本身在設(shè)計(jì)或操作中容易出現(xiàn)安全隱患；工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)化設(shè)計(jì)與應(yīng)用，使工業(yè)控制系統(tǒng)的部分結(jié)構(gòu)暴露在公共網(wǎng)絡(luò)環(huán)境中，導(dǎo)致工控系統(tǒng)受到來(lái)自網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)黑客以及有組織的惡意干擾和威脅；工控系統(tǒng)網(wǎng)絡(luò)框架多基于“以太網(wǎng)”搭建，工業(yè)控制標(biāo)準(zhǔn)OPC的開放性，使得其潛在的漏洞容易受到威脅和利用，因此有必要加強(qiáng)工控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系。陳亞亮等[6]提出，與傳統(tǒng)IT系統(tǒng)相比，工業(yè)控制系統(tǒng)必須保證可持續(xù)性運(yùn)轉(zhuǎn)，實(shí)時(shí)性、時(shí)敏性要求高，設(shè)備和通信環(huán)境復(fù)雜。鑒于這些不同特點(diǎn)，工控系統(tǒng)的安全威脅可以看作是在傳統(tǒng)網(wǎng)絡(luò)威脅基礎(chǔ)上的繼承與延伸，其安全防護(hù)需要綜合利用技術(shù)手段、管理措施、政府監(jiān)管等建立多層防護(hù)體系。

面對(duì)工控系統(tǒng)的安全性問(wèn)題，在推動(dòng)工業(yè)化和信息化融合的背景下，很多研究人員針對(duì)區(qū)塊鏈在兩化融合中的應(yīng)用意義和搭建方案進(jìn)行了研究。徐強(qiáng)[3]提出建設(shè)工業(yè)區(qū)塊鏈平臺(tái)有助于解決工業(yè)互聯(lián)網(wǎng)的安全和效率問(wèn)題，解決工業(yè)物聯(lián)網(wǎng)的通信模式問(wèn)題等。柏亮[4]從區(qū)塊鏈和工業(yè)物聯(lián)網(wǎng)的體系架構(gòu)角度出發(fā)，分析了區(qū)塊鏈在工業(yè)物聯(lián)網(wǎng)中的應(yīng)用可能性，并提出了一種區(qū)塊鏈結(jié)合工業(yè)物聯(lián)網(wǎng)的架構(gòu)，使用區(qū)塊鏈分布式系統(tǒng)替代傳統(tǒng)工業(yè)物聯(lián)網(wǎng)中信息傳輸和數(shù)據(jù)管理部分。

針對(duì)特定的工業(yè)場(chǎng)景中的區(qū)塊鏈應(yīng)用，也有學(xué)者進(jìn)行了初步梳理和研究。徐元清、卓蔚[3]通過(guò)分析煙草工控系統(tǒng)的特點(diǎn)，發(fā)現(xiàn)從網(wǎng)絡(luò)安全角度看，煙草工控系統(tǒng)這種典型的工業(yè)網(wǎng)絡(luò)環(huán)境中缺乏必要的邊界隔離及訪問(wèn)控制措施，也缺少必要的網(wǎng)絡(luò)安全監(jiān)控手段，提出可以在企業(yè)內(nèi)部建立私有區(qū)塊鏈平臺(tái)，開發(fā)工程文件防篡改及身份驗(yàn)證等應(yīng)用，來(lái)提高工控系統(tǒng)的安全性。

通過(guò)相關(guān)研究，可以發(fā)現(xiàn)當(dāng)前工業(yè)控制領(lǐng)域主要面臨的問(wèn)題有：

(1) 訪問(wèn)控制：傳統(tǒng)的身份認(rèn)證模式一旦被突破，則數(shù)據(jù)保密性和完整性很有可能遭到破壞，而當(dāng)前各種網(wǎng)絡(luò)技術(shù)越來(lái)越先進(jìn)，導(dǎo)致工業(yè)網(wǎng)絡(luò)系統(tǒng)面臨著隨時(shí)被威脅的危險(xiǎn)，甚至已經(jīng)遭受不同程度的入侵和破壞。

(2)數(shù)據(jù)安全：傳統(tǒng)中心化管理模式下，存在由于個(gè)別設(shè)備發(fā)生故障造成數(shù)據(jù)丟失的可能。在數(shù)據(jù)信息量過(guò)大時(shí)，中心服務(wù)器的負(fù)擔(dān)會(huì)大幅增加。同時(shí)，工業(yè)控制系統(tǒng)涉及平臺(tái)眾多，平臺(tái)之間的信息化系統(tǒng)很多是彼此獨(dú)立的，存在數(shù)據(jù)作偽造假的問(wèn)題。

(3)運(yùn)營(yíng)維護(hù)：當(dāng)前工業(yè)控制平臺(tái)數(shù)據(jù)流往往都匯總到單一的中心控制系統(tǒng)，未來(lái)工業(yè)化聯(lián)網(wǎng)設(shè)備數(shù)量將呈幾何級(jí)數(shù)增長(zhǎng)，中心化服務(wù)成本將變得難以負(fù)擔(dān)。

2 區(qū)塊鏈技術(shù)的特有優(yōu)勢(shì)

對(duì)于區(qū)塊鏈的技術(shù)特點(diǎn)已有較多的研究和介紹，因此本文只做概述。區(qū)塊鏈?zhǔn)且粋€(gè)開放式的、多方參與、可靠的分布式數(shù)據(jù)存儲(chǔ)系統(tǒng)，融合了P2P網(wǎng)絡(luò)、密碼學(xué)、共識(shí)機(jī)制、智能合約等技術(shù)，實(shí)現(xiàn)了去中心化交易過(guò)程中節(jié)點(diǎn)間信息可靠傳遞、交易賬戶安全、節(jié)點(diǎn)間信息不被篡改等功能。概括來(lái)講，區(qū)塊鏈具有“去中心化存儲(chǔ)”、“全網(wǎng)化驗(yàn)證”和“自動(dòng)化執(zhí)行”三大特性。其中“去中心化”是指多個(gè)“節(jié)點(diǎn)”多方記錄，共同維護(hù)；“全網(wǎng)化驗(yàn)證”是指區(qū)塊鏈網(wǎng)絡(luò)依托其對(duì)等網(wǎng)絡(luò)架構(gòu)優(yōu)勢(shì)、鏈狀數(shù)據(jù)結(jié)構(gòu)優(yōu)勢(shì)、密碼學(xué)技術(shù)優(yōu)勢(shì)以及共識(shí)算法機(jī)制，除非對(duì)全網(wǎng)進(jìn)行干預(yù)，否則無(wú)法通過(guò)干預(yù)個(gè)別節(jié)點(diǎn)而篡改數(shù)據(jù)；“自動(dòng)化執(zhí)行”即“智能合約”，是指以代碼形式封裝預(yù)定義的觸發(fā)條件、轉(zhuǎn)換規(guī)則及應(yīng)對(duì)行動(dòng)等，定下“承諾”,一旦滿足預(yù)設(shè)條件時(shí)，智能合約自動(dòng)執(zhí)行相應(yīng)的業(yè)務(wù)邏輯，進(jìn)行“兌現(xiàn)”，無(wú)法人為干預(yù)和抵賴。

從工業(yè)控制系統(tǒng)當(dāng)前存在問(wèn)題來(lái)看，區(qū)塊鏈的“去中心化”帶來(lái)的信息透明化，“全網(wǎng)驗(yàn)證”支持的不可篡改性，以及“自動(dòng)化執(zhí)行”帶來(lái)的高運(yùn)營(yíng)效率契合工業(yè)控制領(lǐng)域的現(xiàn)實(shí)需要，可能會(huì)給工業(yè)控制帶來(lái)革命性變化。

3 區(qū)塊鏈在工控領(lǐng)域中的應(yīng)用探討

著眼工控領(lǐng)域網(wǎng)絡(luò)建設(shè)、運(yùn)用需求，充分發(fā)揮區(qū)塊鏈技術(shù)可信任、可追溯、抗抵賴、可擴(kuò)展、可編程等特點(diǎn)優(yōu)勢(shì)，研制建設(shè)基于區(qū)塊鏈的密鑰管理、實(shí)驗(yàn)數(shù)據(jù)監(jiān)控管理、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、設(shè)備資產(chǎn)管理、算力基礎(chǔ)設(shè)施等系統(tǒng)和平臺(tái)，為建設(shè)高效、可擴(kuò)展、安全可信的工業(yè)互聯(lián)網(wǎng)提供有力支撐。

3.1 基于區(qū)塊鏈的密鑰管理

CA系統(tǒng)通常都要求具有靈活的認(rèn)證體系配置；具有高安全性和可靠性；具有高擴(kuò)展性，支持多級(jí)CA，支持交叉認(rèn)證；多語(yǔ)言支持，易于部署與使用。但傳統(tǒng)CA的設(shè)計(jì)中也存在著根密鑰保存風(fēng)險(xiǎn)，隨著撤銷列表變大，同步和下發(fā)變得越來(lái)越慢，多級(jí)CA的交叉認(rèn)證復(fù)雜等不足。應(yīng)用區(qū)塊鏈技術(shù)可以改善根密鑰安全存儲(chǔ)，撤銷列表的同步和下發(fā)，增強(qiáng)CA系統(tǒng)的整體安全性。

應(yīng)用密鑰分存技術(shù)將根密鑰分散存儲(chǔ)在區(qū)塊鏈的所有驗(yàn)證節(jié)點(diǎn)(假定節(jié)點(diǎn)總數(shù)為n)，密鑰被分成N個(gè)片段，獲得其中K個(gè)片段可以把密鑰重新還原。如果獲得的片段數(shù)量少于K，就無(wú)法知道關(guān)于密鑰的任何信息。每個(gè)節(jié)點(diǎn)保存一個(gè)子密鑰S。設(shè)置N≥2K-1，可以保證在丟失或者被破壞掉k-1個(gè)子密鑰的情況下，密鑰仍然是安全的，并且依然能夠由剩下的未丟失密鑰恢復(fù)，如圖1所示。

圖1 應(yīng)用密鑰分存示意圖

使用門限簽名和多重簽名技術(shù)，支持多級(jí)多節(jié)點(diǎn)CA之間的交叉認(rèn)證，如圖2所示。同時(shí)將CRL列表保存在區(qū)塊鏈的數(shù)據(jù)結(jié)構(gòu)中，既保證了CRL的唯一性，也保證了可以從各個(gè)節(jié)點(diǎn)獲取CRL。撤銷列表的傳播和生效迅速唯一。

圖2 多級(jí)多節(jié)點(diǎn)交叉認(rèn)證示意圖

場(chǎng)景如下：

(1)CA或RA的根密鑰離線保存，根密鑰的工作密鑰的子密鑰分散保存在區(qū)塊鏈各個(gè)驗(yàn)證節(jié)點(diǎn)。在不需要工作密鑰的情況下應(yīng)用多重簽名進(jìn)行交叉驗(yàn)證，需要工作密鑰的情況下，由所有節(jié)點(diǎn)中至少K個(gè)節(jié)點(diǎn)共同恢復(fù)工作密鑰。

(2)證書撤銷由各個(gè)RA節(jié)點(diǎn)受理，批準(zhǔn)后將記錄提交到區(qū)塊鏈。區(qū)塊鏈節(jié)點(diǎn)收到撤銷記錄后，迅速傳播至全網(wǎng)節(jié)點(diǎn)，可以做到準(zhǔn)實(shí)時(shí)生效。全網(wǎng)節(jié)點(diǎn)都有一份一樣的唯一撤銷列表。

(3)RA節(jié)點(diǎn)簽發(fā)證書時(shí)，發(fā)起多重簽名的交易廣播到區(qū)塊鏈，區(qū)塊鏈其他節(jié)點(diǎn)收到多重簽名要求，在投票認(rèn)可后，交叉驗(yàn)證即可生效。

3.2 基于區(qū)塊鏈的工控實(shí)驗(yàn)數(shù)據(jù)監(jiān)控管理

開展基于區(qū)塊鏈的工控實(shí)驗(yàn)數(shù)據(jù)監(jiān)控管理平臺(tái)研制建設(shè)，將著眼工控實(shí)驗(yàn)開展過(guò)程中的核心關(guān)鍵問(wèn)題——數(shù)據(jù)問(wèn)題，利用區(qū)塊鏈去中心化、開放式、防篡改等優(yōu)勢(shì)，為實(shí)驗(yàn)數(shù)據(jù)的采集、共享、保護(hù)等方面提供新的解決途徑，是工控系統(tǒng)建設(shè)的重要組成部分。

主要建設(shè)內(nèi)容是：聚焦工控實(shí)驗(yàn)數(shù)據(jù)全面采集難、按需共享難、安全防護(hù)難等問(wèn)題，研究基于區(qū)塊鏈的工控實(shí)驗(yàn)數(shù)據(jù)全維全時(shí)采集、按需分域共享、防篡改保護(hù)等技術(shù)，構(gòu)建工控實(shí)驗(yàn)數(shù)據(jù)監(jiān)控區(qū)塊鏈，并基于該鏈建設(shè)工控實(shí)驗(yàn)數(shù)據(jù)監(jiān)控管理平臺(tái)，有效解決工控實(shí)驗(yàn)數(shù)據(jù)的采集、共享、保護(hù)等方面難題，為工控系統(tǒng)的安全、有效運(yùn)行提供有力支撐。

(1)基于區(qū)塊鏈的工控實(shí)驗(yàn)數(shù)據(jù)全維全時(shí)采集。工業(yè)控制網(wǎng)絡(luò)設(shè)備由各類型軟硬件系統(tǒng)、設(shè)備通過(guò)多元異構(gòu)、柔性重組構(gòu)建而成，系統(tǒng)設(shè)備種類繁多、接口各異、運(yùn)行交互復(fù)雜，通過(guò)在各類系統(tǒng)設(shè)備接口上添加適配層，實(shí)時(shí)采集系統(tǒng)設(shè)備接口數(shù)據(jù)，并歸一處理后上傳至工控的實(shí)驗(yàn)數(shù)據(jù)監(jiān)控區(qū)塊鏈，實(shí)現(xiàn)各類軟硬件系統(tǒng)設(shè)備多源異構(gòu)運(yùn)行實(shí)驗(yàn)數(shù)據(jù)的全維全時(shí)采集。

(2)基于區(qū)塊鏈的工控實(shí)驗(yàn)數(shù)據(jù)按需分域共享。一方面，在同一工控系統(tǒng)內(nèi)，各類導(dǎo)調(diào)控制、模擬計(jì)算、指標(biāo)評(píng)估系統(tǒng)可直接實(shí)時(shí)從實(shí)驗(yàn)數(shù)據(jù)監(jiān)控區(qū)塊鏈獲取各類系統(tǒng)平臺(tái)的運(yùn)行數(shù)據(jù)，可極大提高系統(tǒng)計(jì)算、運(yùn)行效率。另一方面，多個(gè)專業(yè)工控系統(tǒng)需要協(xié)同配合時(shí)，不同工控系統(tǒng)的私有鏈可組織成聯(lián)盟鏈，并結(jié)合基于多密鑰的權(quán)限管理、數(shù)據(jù)保護(hù)技術(shù)，可實(shí)現(xiàn)多個(gè)工控實(shí)驗(yàn)數(shù)據(jù)的按需分域共享。

(3)基于區(qū)塊鏈的工控實(shí)驗(yàn)數(shù)據(jù)防篡改保護(hù)。利用區(qū)塊鏈技術(shù)防篡改技術(shù)特性，對(duì)工控實(shí)驗(yàn)數(shù)據(jù)監(jiān)控區(qū)塊鏈數(shù)據(jù)進(jìn)行檔案保護(hù)，防止實(shí)驗(yàn)數(shù)據(jù)遭偽造或篡改，保護(hù)實(shí)驗(yàn)數(shù)據(jù)安全，保障工控實(shí)驗(yàn)真實(shí)可信。

3.3 基于區(qū)塊鏈的工控關(guān)鍵設(shè)施保護(hù)

當(dāng)前，關(guān)鍵信息基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)面臨嚴(yán)峻的信息安全威脅，深入開展基于區(qū)塊鏈技術(shù)的信息安全保護(hù)技術(shù)研究，具有重要的戰(zhàn)略意義、現(xiàn)實(shí)意義和科研價(jià)值。

充分發(fā)揮區(qū)塊鏈的高可信、抗抵賴、可追溯等技術(shù)優(yōu)勢(shì)，研制建設(shè)工業(yè)控制系統(tǒng)信息安全保護(hù)平臺(tái)，為有效解決工業(yè)控制系統(tǒng)信息安全保護(hù)問(wèn)題提供新的技術(shù)途徑，以期提高關(guān)鍵基礎(chǔ)設(shè)施安全性，有效保障工業(yè)控制系統(tǒng)正常運(yùn)行。

(1)基于區(qū)塊鏈的工控高可信訪問(wèn)控制。研究基于區(qū)塊鏈的用戶身份識(shí)別驗(yàn)證、用戶行為監(jiān)控追溯等技術(shù)，有效防止單點(diǎn)故障、證書偽造、違規(guī)訪問(wèn)等安全問(wèn)題；將用戶身份驗(yàn)證與操作行為進(jìn)行強(qiáng)關(guān)聯(lián)，實(shí)現(xiàn)用戶行為的實(shí)時(shí)監(jiān)控和追蹤回溯，提高工控設(shè)施訪問(wèn)控制的可信度和安全性。

(2)基于區(qū)塊鏈的工控關(guān)鍵信息系統(tǒng)及網(wǎng)絡(luò)防護(hù)。研究基于區(qū)塊鏈的信息系統(tǒng)加固、服務(wù)去中心化、網(wǎng)絡(luò)安全配置保護(hù)等技術(shù)，對(duì)關(guān)鍵信息系統(tǒng)軟硬件平臺(tái)進(jìn)行區(qū)塊鏈檔案保護(hù)，防范惡意篡改；對(duì)關(guān)鍵服務(wù)器去中心化部署或利用區(qū)塊鏈分布式賬本直接提供關(guān)鍵服務(wù)，防范單點(diǎn)故障隱患或遭受拒絕服務(wù)攻擊；對(duì)工控核心網(wǎng)絡(luò)拓?fù)?、參?shù)配置等信息進(jìn)行區(qū)塊鏈檔案保護(hù)，防范遭受網(wǎng)絡(luò)滲透威脅。

(3)基于區(qū)塊鏈的工控核心數(shù)據(jù)保護(hù)。研究基于區(qū)塊鏈的數(shù)據(jù)防篡改、免密鑰簽名、敏感信息透明傳輸?shù)燃夹g(shù)，提供一種安全可信的數(shù)據(jù)來(lái)源和完整性驗(yàn)證技術(shù)，取代傳統(tǒng)的基于密鑰的數(shù)據(jù)驗(yàn)證方式，降低傳統(tǒng)數(shù)據(jù)存儲(chǔ)管理過(guò)程中的遭偽造和篡改風(fēng)險(xiǎn)，保護(hù)工控設(shè)施核心、敏感數(shù)據(jù)安全。

3.4 基于區(qū)塊鏈的工控設(shè)備資產(chǎn)管理

工控系統(tǒng)是一個(gè)軟硬件設(shè)備極其眾多的系統(tǒng)，需要構(gòu)建各類網(wǎng)絡(luò)環(huán)境，為技術(shù)和裝備的研究、試驗(yàn)、訓(xùn)練提供基礎(chǔ)支撐，傳感器、交換機(jī)、路由器、存儲(chǔ)陣列、服務(wù)器等資產(chǎn)的傳統(tǒng)管理方式通常為紙質(zhì)或電子媒介作為存儲(chǔ)介質(zhì)，這種傳統(tǒng)方式存在以下缺陷：一是安全保障難度較大，紙質(zhì)或電子檔案通常是集中保存，需要配備較為完善的備份機(jī)制，數(shù)據(jù)易丟失。二是轉(zhuǎn)移交接困難，資產(chǎn)轉(zhuǎn)移時(shí)，需要將檔案一并交接，容易造成遺失或損毀。三是有效監(jiān)督困難，為了防止篡改和刪除資產(chǎn)檔案，需要中心權(quán)威機(jī)構(gòu)進(jìn)行監(jiān)管，難度較大。四是資產(chǎn)流轉(zhuǎn)溯源較困難，資產(chǎn)的歷史維修情況等信息收集困難，對(duì)資產(chǎn)的健康狀況評(píng)估較困難。

引入?yún)^(qū)塊鏈技術(shù)，讓設(shè)備管理部門和設(shè)備使用方甚至設(shè)備生產(chǎn)和維修廠家參與到設(shè)備狀態(tài)更新維護(hù)環(huán)節(jié)中，共同形成一份不可篡改的設(shè)備資產(chǎn)檔案，可以有效解決上述幾個(gè)問(wèn)題。

基于區(qū)塊鏈的共識(shí)算法和交易加密，資產(chǎn)的檔案和流轉(zhuǎn)記錄不可更改，有效地支持了設(shè)備的全生命檔案管理，區(qū)塊鏈資產(chǎn)管理平臺(tái)的總體架構(gòu)如圖3所示。

圖3 區(qū)塊鏈資產(chǎn)管理平臺(tái)架構(gòu)圖

區(qū)塊鏈資產(chǎn)管理平臺(tái)主要提供兩大功能：

(1)資產(chǎn)全生命周期檔案管理。將資產(chǎn)從出廠到報(bào)廢過(guò)程中每一個(gè)流轉(zhuǎn)環(huán)節(jié)的信息都詳細(xì)記錄下來(lái)，形成一份不可更改的電子檔案。

資產(chǎn)從出廠(設(shè)備生產(chǎn)商)、使用(資產(chǎn)使用者)、故障(維修人員)、調(diào)配和審計(jì)(工控管理部門)、預(yù)算(財(cái)務(wù)部門)到報(bào)廢，全生命過(guò)程形成一份完整的不可更改的電子檔案。如圖4所示。

圖4 資產(chǎn)全生命周期檔案管理流程示意圖

(2)資產(chǎn)所有權(quán)管理。將設(shè)備資產(chǎn)數(shù)字化，作為數(shù)字資產(chǎn)保存在區(qū)塊鏈中，伴隨著實(shí)際的每一次流轉(zhuǎn)，區(qū)塊鏈中的設(shè)備數(shù)字資產(chǎn)做相應(yīng)的流轉(zhuǎn)。資產(chǎn)所有人在區(qū)塊鏈中分配公鑰和私鑰，自由資產(chǎn)所有人使用私鑰簽名才能將設(shè)備資產(chǎn)進(jìn)行轉(zhuǎn)移，同時(shí)記錄檔案。

主要的流轉(zhuǎn)過(guò)程如圖5所示。

圖5 資產(chǎn)所有權(quán)管理流程示意圖

3.5 基于國(guó)密算法的區(qū)塊鏈算力基礎(chǔ)設(shè)施

開展基于國(guó)密算法的區(qū)塊鏈算力基礎(chǔ)設(shè)施研制建設(shè)，將為各類基于區(qū)塊鏈的工控應(yīng)用提供基礎(chǔ)支撐，可有效保障區(qū)塊鏈的安全保密、可信可靠。

一是構(gòu)建工控專用區(qū)塊鏈?zhǔn)情_發(fā)基于區(qū)塊鏈工控應(yīng)用的前提基礎(chǔ)。區(qū)塊鏈的安全可靠是上層應(yīng)用穩(wěn)定運(yùn)行的基礎(chǔ)。根據(jù)不同的應(yīng)用場(chǎng)景和需求，區(qū)塊鏈技術(shù)可分為公有鏈、聯(lián)盟鏈、私有鏈3種類型，各類區(qū)塊鏈中，私有鏈的可控性最高，安全性最有保障。為確保工控應(yīng)用及數(shù)據(jù)的安全、保密、可控、可靠，基于私有鏈構(gòu)建工控專用區(qū)塊鏈?zhǔn)潜厝贿x擇。

二是基于算力的工作量證明機(jī)制是確保區(qū)塊鏈安全可靠運(yùn)行的重要關(guān)鍵。共識(shí)機(jī)制是區(qū)塊鏈機(jī)制得以可靠穩(wěn)定運(yùn)行的關(guān)鍵機(jī)制，目前有工作量證明、權(quán)益證明、委托授權(quán)的權(quán)益證明、實(shí)用拜占庭容錯(cuò)算法等多種共識(shí)機(jī)制。其中，工作量證明機(jī)制依賴機(jī)器進(jìn)行數(shù)學(xué)運(yùn)算來(lái)獲取記賬權(quán)，是抗偽造、防篡改、容錯(cuò)度較高的一種共識(shí)機(jī)制，可有效確保區(qū)塊鏈上工控應(yīng)用的安全可靠。

三是密碼學(xué)運(yùn)算是基于算力的工作量證明的核心，關(guān)乎共識(shí)機(jī)制的可靠穩(wěn)定。采用國(guó)密算法是保障算力基礎(chǔ)設(shè)施安全可靠的優(yōu)選途徑。聚焦區(qū)塊鏈工控應(yīng)用的基礎(chǔ)關(guān)鍵——算力基礎(chǔ)設(shè)施建設(shè)問(wèn)題，研究基于國(guó)密SM3的區(qū)塊鏈工作量證明機(jī)制方法，研制算力硬件裝備，部署算力池，構(gòu)建工控專用區(qū)塊鏈算力池，最終建成工控專用區(qū)塊鏈，保障各類應(yīng)用的安全可靠和效益充分發(fā)揮。

(1)基于國(guó)密SM3的工作量證明機(jī)制研究。參考借鑒比特幣體系的思路方法，并充分考慮區(qū)塊鏈工控應(yīng)用在效率、容錯(cuò)、耗費(fèi)等方面的特殊要求，研究設(shè)計(jì)基于國(guó)密SM3的工作量證明相關(guān)算法機(jī)制。

(2)構(gòu)建工控專用區(qū)塊鏈算力池。采用FPGA可編程邏輯陣列對(duì)設(shè)計(jì)完成的工作量證明算法進(jìn)行固件化、裝備化，進(jìn)行統(tǒng)一配發(fā)部署，構(gòu)建完成工控專用區(qū)塊鏈算力池。此外，可考慮將FPGA芯片進(jìn)行流片，制成專用芯片，以進(jìn)一步降低成本。

(3)構(gòu)建工控專用區(qū)塊鏈。以工控專用算力池為核心，研究私有鏈構(gòu)建相關(guān)技術(shù)，構(gòu)建專用區(qū)塊鏈，為上層各類工控區(qū)塊鏈應(yīng)用提供基礎(chǔ)支撐。

4 結(jié)論

綜上所述，工業(yè)控制領(lǐng)域與區(qū)塊鏈有良好的應(yīng)用結(jié)合點(diǎn)，雖然目前還無(wú)法準(zhǔn)確量化區(qū)塊鏈技術(shù)對(duì)工業(yè)控制領(lǐng)域會(huì)產(chǎn)生多大的影響，但是隨著工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的提速，區(qū)塊鏈技術(shù)在工業(yè)控制領(lǐng)域的應(yīng)用場(chǎng)景將更加明確，將被證明有助于解決工業(yè)控制領(lǐng)域長(zhǎng)期存在的問(wèn)題，也為工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)的長(zhǎng)遠(yuǎn)發(fā)展奠定基礎(chǔ)。