干货 | 工业互联网标识解析体系安全技术研究

★ 四川公众项目咨询管理有限公司 肖鸿耀，唐忠友

★ 四川大学锦江学院 宋仕斌

工业互联网以5G无线网络为基础，标识解析体系是其基础设施。与DNS（Domain Name System，域名系统）在互联网中的作用类似，标识解析体系在工业互联网中起到了神经中枢的作用。工业互联网标识用来对5G全连接工厂设备、产品等物理资源及算法工序等虚拟资源进行命名。标识解析体系负责对物品身份进行标识和解析，用户可以根据标识信息来查询产品、机器或原材料等物件的数据信息，并通过标识实现数据之间的关联，为企业的智能制造及产品的全生命周期管理提供了服务支持。工业互联网的快速发展也带来了许多安全威胁和风险，工业互联网安全问题已经成为制约其发展的重要因素之一。为应对工业互联网面临的恶意攻击威胁、系统固有风险、管理威胁等，亟需对工业互联网标识解析体系的物理安全、功能安全和信息安全进行系统、深入研究并提出解决方案。

工业互联网标识解析体系的对象是机器、产品等物理实体和算法、工艺等虚拟制造资源。工业互联网标识解析体系通过将每一个实体物品（产品、商品、设备、零配件等）赋予一个唯一的字符串，即唯一的“ID”，从而实现在全互联网范围的目标区分以及信息统筹管理。结合国内外标识解析体系安全领域的现状，本文以DNS、Handle（Digital Object，数字对象标识符）、OID（Object Identifier，对象标识符）等常用标识解析技术为出发点，技术与管理相结合，从风险分析、风险管理、风险措施等视角构建工业互联网标识解析安全风险分析模型，并从架构安全风险、身份安全风险、数据安全风险和运营安全风险等维护对工业互联网标识体系风险进行系统分析，如图1所示。

图1 工业互联网标识解析体系风险分析

工业互联网标识体系受到威胁会造成数镜像站点和代理服务器出现延迟，导致数据不一致或出现完整性问题。关键节点关联性风险是指体系中的关键性节点受到攻击会导致其他节点稳定性下降。身份安全风险主要从人、机、物分析角色的风险，不同的角色会有不同类型的权限。身份安全风险主要有身份欺骗、越权访问、权限紊乱、身份标识与产品关联出错和设备漏等。身份欺骗通过伪造合法的身份来获得相应的权限，提供虚假的信息。越权访问是如果系统本身访问控制设计混乱或遭遇攻击，提升了权限，用户能够访问超出本身权限的资源。权限紊乱是在最短时间内进行授权，会对权限造成管理上的疏漏或非法访问。身份标识与产品关联出错是指身份标识与产品没有一一对应，导致产品数据收集出现错误。设备漏洞是指攻击者通过系统的漏洞绕过访问控制，远程控制甚至篡改数据，可能发生在数据采集、传输、交换和存储环节。数据篡改是指攻击者有机会进入工业互联网的设备，对设备中的标识数据、解析数据和管理数据进行修改。隐私数据泄露主要是如果没有安全防护措施，各种隐私和关键数据在使用的过程中泄露，从而给用户个人和企业造成损失。数据丢失是指在没有有效备份的情况下，攻击者恶意删除设备中的各种数据或发生自然灾害，或者工作人员操作失误导致数据丢失并无法恢复。运营安全风险主要存在于对物理环境、业务连续性、人员、机构及流程等各方面的管理中。工业互联网标识解析从架构安全、身份安全、数据安全和运营安全等方面进行设计。

本文从安全接入、访问控制、数据治理、加密认证、威胁检测、网络测量、检测审计、安全编排、安全代理及云化安全等工业互联网标识解析安全关键技术，如图2所示。设备层包括设备安全，边缘层包括控制安全和网络安全，企业层包括网络安全、应用安全和数据安全。设备安全主要是指工业设备和智能产品的安全，包括操作系统和各种相关应用软件的安全。网络安全主要是指内网、外网的安全和工厂与用户、工厂与工厂之间互联互通的安全。应用安全覆盖工业互联网业务运行的平台安全及应用程序安全，研究对象包括工业应用软件、云化软件和工业App。数据安全主要包括生产管理数据、生产操作数据和用户数据的采集、传输、交换、存储、处理及销毁等方面的安全。为了确保数据在存储过程中不被非法访问者窃取，采用数据存储加密将数据转化为密文进行存储。

图2 工业互联网标识解析体系安全关键技术

工业互联网标识解析系统应对接入的各种设备和标识节点进行身份认证，保证接入的合法性和安全性，对非法设备和节点进行报警。首先，基于安全芯片的标识载体可以保证标识数据的安全存储，提供了安全的运行环境；其次，结合5G通信技术的安全芯片能够主动向标识解析服务节点或标识数据应用平台等发起连接；最后，使用密码算法来确保标识信息和密钥的完整性，抵御外部攻击。对通信双方进行身份认证和基于身份的消息加密能够防止身份被伪造、数据被篡改、隐私被泄露。通过基于口令的认证、基于生物特征的认证、基于PKI体系的数字证书、基于BBC（Identity-Based Cryptography，基于身份的密码学）的认证等实体认证技术可以建立起通信双方之间的信任，保障了标识解析请求和响应的完整性和可靠性。

访问控制是实现数据受控访问、保障数据安全的关键措施。对于海量异构多元的工业互联网标识解析信息，应采取细粒度、高灵活性和动态性的访问控制措施。选择基于访问控制列表、角色、属性、规则、业务场景、信任等要素的访问控制及集成访问控制技术可实现灵活的标识解析访问控制，提供了大规模、高并发的访问请求服务，同时可抵御DoS攻击。通常使用工业防火墙将工业网络划分为若干区域，通过定义各区域之间的访问控制策略来保证工业网络数据传输安全，抵御网络攻击。可以在各层网络之间纵向部署工业防火墙，实现跨层的访问控制，同时深度过滤层间数据包，防范由上至下的恶意攻击。对于横向平行的生产区、生产线或业务子系统之间，可以划分为不同的安全区，通过工业防火墙实现各安全区之间的访问控制，减少同级安全区之间的安全风险传播。使用区块链也可以实现工业互联网标识解析的访问控制。通过计算待访问标识信息的哈希值并与目标区块链上存储的哈希值进行对比，可避免解析结果失真。

OID体系采用了DNS技术来识别系统风险，如DDoS攻击、缓存污染、DNS劫持等工业互联网系统风险。OID体系本身在运营管理中也存在各种风险：标识缺乏认证能力，无法从顶层设计规定统一的认证方式；解析系统缺乏解析权限控制能力，只能提供匿名查询能力，无法进行更加细粒度的查询，从而无法满足更高的安全要求；标识对应身份缺乏可信证书，需要独立的第三方提供证书才使得服务具有可信度；国际顶级节点oid-res.org在国内没有备份节点，在对接时会产生一定的风险；很多标识授权用户本身缺乏运营标识管理系统的技术能力与经验，在监管比较弱的情况下，容易出现标识滥用、滥发等情况。OID标识体系的安全防护主要依赖于DNS的安全保障机制，OID解析系统客户端根据解析请求中的DNSSE（Domain Name System Security Extensions，域名系统安全扩展）来提供安全防护。数字签名认证可以保证解析参与者的身份安全，信息摘要校验虽然可以保证数据不被篡改，但无法保证数据在传输过程中不被泄露，也无法保证用户对数据操作的合法性。

Ecode解析系统建设及安全保障主要包括一般要求、数据编码安全要求、身份鉴别与授权要求、安全评估等。一般要求主要包括物理安全、系统软件安全及灾备中心。其中，物理安全要满足机房、数据中心的建设要求：服务器与网络设备按照安全需求配置；建设完善的电子监控和报警系统；数据中心边界部署访问控制设备，安装防火墙、入侵检测系统；进行安全风险监控、异常访问告警。系统软件安全要通过国家规定的可信第三方机构的安全测评或认证。灾备中心要选在地质条件良好的地点，与主用中心不在同一个地震带中。数据编码安全要求主要包括Ecode编码数据存储、Ecode编码数据传输、标识系统备份与恢复、标识系统数据库、敏感信息保护和Ecode编码校验等方面。其中，Ecode编码数据存储要求介质可靠稳定，不应采用移动式介质存储，删除过的Ecode编码数据介质中的数据应不可恢复。Ecode编码数据传输应保证抗干扰性、保密性、完整性和正确性。标识系统定期检查备份介质和信息，确保信息保存的有效期并建立异常事件紧急处理流程。标识系统数据库应设置存取控制措施，可采取层次、分区、表格等多种方式；通过实体安全、备份和恢复等多种技术手段保护数据的完整性；宜建立双副本日志，分别存储于磁盘等介质上；建立Ecode数据库的定期转贮制度，并提供统一的介质销毁工具。Ecode编码应采取必要的校验机制，确保编码的准确性和一致性；身份鉴别与授权要求主要对用户身份进行标识和鉴别。

Handle技术不依赖于DNS，其自主设计了全新的安全防护体系，主要体现在3个方面：管理员与权限设计、客户端身份安全与操作合法、服务器身份安全。管理员与权限设计为每个Handle标识符设置管理员，只有拥有权限的管理员才可以对Handle标识符进行管理，并对管理员进行身份验证和权限认证。客户端身份安全与操作合法由客户端发起解析和管理两类请求，服务器需要对客户端进行差异化解析或使用相应协议验证客户端的身份。对于服务器身份安全，客户端可以要求Handle服务器使用私钥对其响应进行签名，从而验证服务器身份。

UID体系应从物理标签安全、接入与访问控制、通信安全、资源管理、安全更新等方面采取措施，加强其安全防护能力。物理标签安全保证UCode编码在物理上难以复制或伪造，并且UCode编码在遭到破坏时会被系统迅速识别与检测。接入与访问控制只允许授权的用户和应用访问Code编码。通信安全可以建立安全的数据通道与未知节点进行通信来保证数据安全。资源管理对各种数据和操作设置有效期，一旦超出有效期，所有的数据和操作都禁止被访问。安全更新定时更新固件和安装安全补丁来保证系统处于最佳状态。

为应对工业互联网面临的恶意攻击威胁、系统固有风险、管理威胁等，并充分考虑到物理安全、功能安全和信息安全，本文从设备安全、控制安全、网络安全、应用安全和数据安全等方面全方位构建了工业互联网安全体系框架，应用安全覆盖了工业互联网业务运行的平台安全及应用程序安全。在API接口安全方面，应在开放的API接口设计和实现过程中充分考虑安全认证，防止出现未授权访问安全漏洞，开发后应实施漏洞扫描和渗透测试。未来，我国工业互联网标识生态可从融合发展、协同共建、应用牵引、强化技术等多方面部署，以促进我国工业互联网标识产业生态的创新发展。

参考文献略。