0 引言

    工业互联网打破了传统孤立封闭的制造环境，为不同实体间建立信任关系，并将网络的连接对象从人延伸到机器设备、工业产品和工业服务。但工业互联网为生产生活带来便利的同时，由于其数据具有多源异构、强关联、高通量的特点，也为跨行业、跨企业之间的数据交换和共享带来了风险^[1-2]。安全数据共享交换技术能为生产数据的分布式安全存储、流转控制、权益保护等提供重要支持，是生产制造安全的重要组成部分。因此各国都在寻求技术突破，比如：德国工业4.0战略，美国工业互联网联盟等^[3-4]。

    近几年来，国家陆续出台了“中国制造2025”、“互联网+”等产业政策，以推动我国制造业转型升级。《关于深化“互联网+经济制造业”发展工业互联网的指导意见》、《工业互联网发展行动计划（2018—2020年）》、《中国制造2025》等国家政策规划提出“创建网络协同制造支撑平台，探索引领智能制造发展的制造与服务新模式”，为技术发展提供支持。

1 国内外发展分析及安全存储交换模式

1.1 国内外发展现状

    工业数据的共享交换促进了多元制造数据的高效协同，提高了产业资源整合能力，故成为各国关注的重点。近年大数据快速发展并不断向传统制造业渗透，将设计、制造、运行、维护等环节相关联，打破产业链各环节的数据孤岛，优化生产要素也大幅降低了成本。

    德国Fraunhofer智能分析和信息系统研究所联合30家重点国际企业在德国工业4.0中领导了工业数据空间项目(Industry Data Space，IDS)，关注跨域数据代理、交换及应用，将分散孤立的工业数据(比如来自工厂、物流公司、政府部门的数据)转换为一个可信数据网络空间整体，促进数据开放和共享。相比之下，中国的数据共享交换理念显得滞后^[5-7]，国内环境多期望由政府主导搭建中心式数据共享交换平台，主流公司参与实现共享，但迟迟未能落地，而德国Fraunhofer则聚焦于用技术实现诚信体系。以中国的三大运营商为例，虽然积累平台建设经验并采取了对外开放措施，但都过于以自我为中心，即只允许外部数据进入而限制自己平台的数据向外流通，且这种单向流通仅限于点对点的方式，缺乏全局、去中心的、多点、经过认证的数据共享交换方式。

    在以上数据共享交换的迫切需求下，航天云网、石化盈科、海尔、富士康等都构建了面向数据共享交换需求的解决方案。以航天云网为例^[8]，其工业大数据平台将基础设施和解决方案以云方式提供给工业用户，涉及基础算法、数据管理、开放环境等多个层面，实现了不同部门协同研发设计，将研发周期大大缩短并提高了资源利用率。沈阳机床通过工业数据平台向公司提供机床租赁服务，按照制造能力付费，有效降低用户资金门槛，释放产能。生意帮社群的协同制造平台让62家中小企业盘活了闲置产能，获得470万额外车牌生产订单，也将交付周期缩短为原来的1/5以下。至天公司I-Martix平台对企业信用数据和生产设备数据进行分析，实现精准放贷等。

1.2 安全存储交换模式

    制造数据安全存储交换模式是指对存储在云端的工业数据进行密态存储，使得诚实但有好奇心的存储服务提供方无法获得数据拥有者的任何隐私。这种安全存储模式不面向特定对象，任何具有敏感数据存储需求的用户都可选择该安全存储模式，从而掌握用户数据的主动权。具体存储交换模式如图1所示。步骤如下：

    (1)安全存储服务获取：企业用户选择所需存储服务的安全等级，获得相应密钥管理系统的授权密钥(可搜索加密密钥可实现保密和主动授权)，用于对所产生的数据加密；其次企业用户根据目标用户(数据使用方)需求设置相应访问控制策略用于被动授权。

    (2)安全存储及授权：企业用户(客户端2)使用密钥对产生的敏感数据加密并上传云端，具有好奇心的存储服务提供方没有密钥无法获得任何用户信息。

    授权时，数据使用方(客户端1)根据预设访问控制策略验证权限，实现云端数据库访问权限(安全级别较低的被动授权)；再向数据拥有方申请可搜索加密密钥和解密密钥(主动授权)，对云端数据进行数据关键词的密文检索，获得所需密文数据后解密。

    (3)数据更新及删除：企业用户定期生产的数据存在多用户分享过度、时间过长导致密钥泄露问题，也存在数据过期，需要删除数据，节约存储开销的需求。因此需要删除及更新数据。企业用户上传数据关键词密文，云端执行密文检索并删除数据。

    整个敏感制造数据的存储交换过程均在密文状态下处理，实现数据拥有者对自己数据的完全掌控。

2 面向制造大数据的安全存储交换关键技术

    制造大数据平台为用户提供数据存储、使用、协同服务。用户数据在流转过程中存在被非法访问和泄露风险^[9-11]。类似三大运营商过于保守的做法，又不利于数据流通。一方面，制造大数据环境下业务规模和复杂度提升带来了数据泄露、非法授权使用等安全问题，迫切需要有效的安全存储关键技术和权限策略描述规范对云端存储数据进行有效保护和合理授权，因此本文研究可搜索加密和属性基加密的安全共享交换方法。另一方面，数据在共享交换时的进程面临溢出攻击、恶意代码窃取数据等风险。因此需要对进程本身及其环境进行可信度量。

    制造数据的存储交换模型如图2所示，数据所有者将产生的敏感数据以密态存储于云端。通过安全信道传输检索密钥和加密密钥给共享用户，实现数据的主动授权；对普通明文数据制定基于属性的访问控制策略，对目标属性群体实现被动授权，促进数据流通。

2.1 可搜索加密技术

    随着云存储云计算的快速发展，用户逐渐将本地数据存储到云端服务器，以节约本地存储开销。然而，用户数据由于脱离本地控制而存储在云端，具有被泄露、非法使用的风险，因此需要密码对云端数据加密存储^[12]。与此同时，海量数据单纯加密存储面临着以下问题，如果将数据下载到用户端再解密搜索，会导致下载时带宽资源消耗和解密时计算开销过大，进而导致搜索效率低下；如果将加密数据在服务端解密后搜索，则服务端具有用户密钥，数据解密也使得安全性降低，以上问题使得简单的加密存储难以适应生产制造的需求。可搜索加密技术由此应运而生^[13]。

    可搜索加密技术原理如图3所示。数据生产者通过大数据存储平台发布经过可搜索加密技术处理过的生产制造数据，并将数据存储在大数据平台。该技术允许合法用户具有检索关键字能力，提供密文检索方法，让服务器在无法知晓用户数据明文的情况下，根据请求返回相应密文文件，既能保护用户隐私也能节约带宽和计算资源^[14-15]。

2.2 访问控制技术(属性基加密)

    相比可搜索加密主动授权的特点，合理的访问控制策略则能为更广泛的工业数据安全交换和共享提供支撑^[16]，传统的访问控制技术主要分为DAC(自主访问控制)、MAC(强制访问控制)和RBAC基于角色的访问控制。但这些访问控制技术都基于固定标识，用于封闭集中的制造环境，难以应用于多源异构的大数据环境，不利于数据的安全共享和交换。相比之下，基于属性的访问控制(Attribute Based Access Control，ABAC)面向群体而非封闭环境的单个对象，以属性作为公钥，并将私钥、密文与属性关联，为解决制造大数据的存储交换提供了重要手段^[17]。

    属性基加密^[18-19](Attribution Based Encryption，ABE)将访问控制与身份加密IBE结合，其中，访问控制策略源于秘密共享门限方法(t，n)，即只有用户属性与密文属性的交集大于等于门限t时，用户能够解密密文。ABE以属性为公钥，通过公钥生成相应私钥，通过属性集合生成密文，对满足预设条件的用户鉴权。使用门限方法，数据拥有者可将解密所需条件通过密码学表达，目前ABE已能实现较为复杂的细粒度控制(涉及范围如图4所示)，其技术拓展主要有与门访问结构、树访问结构、线性秘密共享等。在数据访问控制的效果上，可以实现与、或、非操作，提供数据拥有者细粒度的属性基加密策略。

    ABE从上分为中心式和非中心两种授权机构^[20]，前者信任关系简单，但工作负载大；后者抗单点故障，冗余度高，但机构间需秘密共享，密钥协商复杂，也增加了通信和计算开销。除此之外，现实应用中部门、企业通常需要层次分明的分布式管理方式，需要采用联盟唯一标识GID(依赖管理中心)与分布式授权结合的方式，这类混合结构既回避了中心式性能瓶颈和可扩展问题，也回避了分布式拓扑复杂，难以管理的问题，但依然存在秘密共享困难等问题^[21-23]。除此之外，基于区块链的分布式访问控制引出了新型无中心基于共识的信任关系模型，也有助于推动混合式模型的发展^[24-26]。随着更多访问控制、属性加密的应用落地，混合结构的ABE将为细粒度的访问控制需求提供支撑，促进数据的安全交换。

2.3 交换进程及度量方法

    在存储交换的代码层面，由于进程序列的出现具有模糊性、概率性，对交换进程进行可信度量可以为监管实时数据提供支持，规范数据交换行为。此外，进程执行环境依赖软件包和系统内核，执行环境中的安全漏洞存在被利用的可能，导致数据安全交换被破坏，因此合理的可信度量机制有助于保障数据安全交换。由于进程在正常运行时具有规律性和稳定性，但在被攻击时，原有的规律性和稳定性被破坏，会出现异常的短序列^[27]。基于进程的以上特点，人们使用定长序列描绘进程正常运行时数据库各类别行为序列的出现概率，以鉴别异常行为。

    进程本身运行时的可信度量包含代码、堆、栈等方面。比如，在返回地址前设置检测字段，设置影子堆栈^[28]；在可执行文件写入监管代码监管程序动态事件，监控返回地址检测堆栈溢出攻击^[29]；使用可信计算、系统调用分析等技术对进程动态运行中的完整性进行度量等^[30]。但进程本身的完整性度量，解决方法主要针对静态代码段，对动态运行中的堆栈部分缺乏有效衡量。对以上可信度量方法归纳，主要包括：变长序列行为模式、变长时间窗提取方法、基于马尔科夫链描述进程行为、数据挖掘的评估方法、基于熵描绘不确定性等^[31-34]。此外，运行环境的可信度量方面，主要包括：基于进程相关文件完整性度量方法，分级分类的软件包完整性标识方法等^[35-36]。但以上方法对进程执行时的内核度量、间接依赖软件包度量方面的研究仍有待深入。

3 结论

    面向制造大数据的安全存储与交换技术主要用于解决工业互联网背景下跨行业企业的数据存储和交换问题，保护用户云端数据的存储和共享安全，防止提供存储服务的具有好奇心的第三方侵犯用户数据，包括非法授权使用、数据泄露等。通过可搜索加密技术实现用户主动授权第三方使用数据，通过属性基加密对数据申请方进行鉴权，实现细粒度的访问控制策略，打破数据孤岛，有助于数据流通。可信度量交换进程则能为数据交换时数据所有方的监管需求提供支持。因此研究工业互联网下制造大数据的密态安全存储、密态高效检索、安全共享、访问控制、实时监管具有重要意义。

参考文献

[1] 徐颖，李莉.制造业大数据的发展与展望[J].信息与控制，2018，47(4)：41-47.

[2] 何文韬，邵诚.工业大数据分析技术的发展及其面临的挑战[J].信息与控制，2018，47(4)：18-30.

[3] 数据开放与共享：德国工业4.0中的大数据[EB/OL].[2019-07-17].https：//blog.csdn.net/pippas/article/details/80122952.

[4] 中国电子技术标准化研究院，全国信息技术标准化技术委员会大数据标准工作组.工业大数据白皮书[R].2017.

[5] 刘强，秦泗钊.过程工业大数据建模研究展望[J].自动化学报，2016(2)：161-171.

[6] WAN J，TANG S，DI L，et al.A manufacturing big data solution for active preventive maintenance[J].IEEE Transactions on Industrial Informatics，2017，13(4)：2039-2047.

[7] 陈芳，张萍，李丹.基于云计算的医疗信息共享平台的设计[J].信息技术，2019(2)：148-151.

[8] 航天云网[EB/OL].[2019-07-17].http：//www.casicloud.com/.

[9] 张鹏飞.云存储的数据安全问题研究[J].科学导报，2016(6)：286.

[10] 李晓娟.物联网中海量数据管理技术研究[D].广州：广东工业大学，2015.

[11] 孟祥曦，张凌，郭皓明，等.一种面向工业互联网的云存储方法[J].北京航空航天大学学报，2019，45(1)：133-143.

[12] ALI M，KHAN S U，VASILAKOS A V.Security in cloud computing：opportunities and challenges[J].Information Sciences，2015，305(6)：357-383.

[13] SONG D X，WAGNER D，PERRIG A.Practical techniques for searches on encrypted data[C].Proceedings of S & P，2000：44-55.

[14] 李双，徐茂智.基于属性的可搜索加密方案[J].计算机学报，2016，37(5)：1017-1024.

[15] 倪绿林，许春根.基于身份的动态可搜索加密方案[J].计算机工程，2019，45(1)：142-146.

[16] 赵志远，王建华，朱智强，等.云存储环境下属性基加密综述[J].计算机应用研究，2018，35(4)：961-968.

[17] 物联网中基于属性密文策略更新的访问控制研究与实现[D].西安：西安电子科技大学，2018.

[18] 房梁，殷丽华，郭云川，等.基于属性的访问控制关键技术研究综述[J].计算机学报，2017，40(7)：1680-1698.

[19] 苏金树，曹丹，王小峰，等.属性基加密机制[J].软件学报，2011，22(6)：1299-1315.

[20] 余洋，孙林夫，马亚花.基于属性的云制造协同平台访问控制模型[J].计算机集成制造系统，2017，23(1)：196-202.

[21] 周超，任志宇.结合属性与角色的访问控制模型综述[J].小型微型计算机系统，2018，39(4)：782-786.

[22] 岳玮.基于属性的访问控制模型及策略研究[D].淄博：山东理工大学，2017.

[23] 马星晨，朱建涛，邵婧，等.一种基于属性的去中心化访问控制模型[J].计算机技术与发展，2018(9)：118-122.

[24] ZHANG Y Y，KASAHARA S，SHEN Y L，et al.Smart contract-based access control for the Internet of Things[J].IEEE Internet of Things Journal，2019，6(2)：1594-1605.

[25] 朱孝兵.基于区块链的跨域认证与访问控制的研究[D].武汉：华中科技大学，2017.

[26] 陈永丰.基于区块链的数据访问控制方法及应用研究[D].成都：电子科技大学，2018.

[27] FORREST S，HOFMEYR S A，SOMAYAJI A，et al.A sense of self for unix processes[C].Proceedings of IEEE Symposium on Computer Security & Privacy，1996：120-128.

[28] Stack shield[EB/OL].(2000-01-08).http：//www.angelfire.com/sk/stackshield/.

[29] ABADI M，BUDIU M，ERLINGSSON U，et al.Control-flow integrity principles, implementations，and applications[J].ACM Transactions on Information & System Security，2009，13(1)：1-40.

[30] 刘孜文，冯登国.基于可信计算的动态完整性度量架构[J].电子与信息学报，2010，32(4)：875-879.

[31] DEBAR H，BECKER M，SIBONI D.A neural network component for an intrusion detection system[C].IEEE Symposium on Security & Privacy，1992：256-266.

[32] ESKIN E，LEE W，STOLFO S J.Modeling system calls for intrusion detection with dynamic window sizes[C].Proceedings DARPA Information Survivability Conference & Exposition，2001：165-175.

[33] WARRENDER C，FORREST S，PEARLMUTTER B.Detecting intrusions using system calls：alternative data models[C].IEEE Symposium on Security & Privacy，2002：133-145.

[34] LEE W，STOLFO S J，MOK K W.A data mining framework for building intrusion detection models[C].Proceedings of IEEE Symposium on Security & Privacy，1999：120-132.

[35] 孙奕.数据安全交换若干关键技术研究[D].北京：北京交通大学，2016.

[36] 陈亮.数据安全交换若干关键技术研究[D].郑州：解放军信息工程大学，2015.

[37] ADDO-TENKORANG R，HELO P T.Big data applications in operations/supply-chain management：a literature review[J].Computers & Industrial Engineering，2016，101：528-543.

[38] LEE J.Industrial big data：The revolutionary transformation and value creation in industry 4.0 era[M].Beijing：China Machine Press，2015.

作者信息:

陈宇翔1，2，郝  尧1，2，赵  越1，2，成  林3，吴开均1，2，廖思捷1

(1.中国电子科技集团公司第三十研究所，四川 成都610041；

2.保密通信重点实验室，四川 成都610041；3.中国信息安全评测中心，北京100085)