1、基于区块链的工业互联网动态密钥管理张泽林王化群(南京邮电大学计算机学院南京210023)(zlzh_)Dynamic Key Management of Industrial Internet Based on BlockchainZhangZelinandWangHuaqun(School of Computer Science,Nanjing University of Posts and Telecommunications,Nanjing 210023)n(n1)n(n1)AbstractAtpresent,thesecuritythreatofindustrialInternetda
2、taisbecomingmoreandmoreserious.EffectivenetworktransmissionplaysakeyroleinthedatasecurityofindustrialInternet.InordertoeffectivelyadapttothestructureoftheindustrialInternetandachievesafeandreliablecommunication,akeymanagementschemebasedonblockchaindynamicnodesisproposed.Inindustrialcommunication,ane
3、ffectivesessionkeyneedstobeestablishedbetween untrusted nodes,and the traditional key agreement is realized by using a central node in the way ofmiddleman.However,Oncethecentralnodefails,thecommunicationofthewholecommunicationsystemwillfail.Whenthenumberofnodes issmall,thecentralnodeisusuallyusedtos
4、etthekeyinadvance.Eachnodeneedstostorekeys,sothewholesystemneedstostorekeys.Oncethenodesneedtobeincreased,thekeysstoredinthewholesystemwillincreaseexponentially.Therefore,basedontheblockchain,weusepolynomialstoconstructcommunicationkeys,decentralizetogeneratesharedkeys,effectivelyresistthethreatofno
5、deaccesstothesystem,andensureeffectivegroupkeynegotiation.ThepropsosedschemehasfasterprocessingspeedthanthatoftraditionalPKI.Ifanynodelosesitskey,itcaneffectivelyrecovertheoriginalkeywiththehelpofothernodeinformation.Key wordsblockchain;industrialInternet;keymanagement;secretsharing;Katepromisesn(n1
6、)n(n1)摘要目前,工业互联网数据面临的安全威胁日益严重,有效的网络传输对工业互联网的数据安全起到关键的作用.为了能有效适应工业互联网的结构,实现安全可靠的通信,提出一种基于区块链的动态节点的密钥管理方案.工业通信中,不信任的节点之间需要建立有效的会话密钥,并且传统的借助一个中心节点采用中间人方式实现密钥协商,但是一旦中心节点失效,则会导致整个通信系统的通信失败.而当节点数 较少时,通常采用中心节点预先设置密钥的方式,每个节点均需存储个密钥,那么整个系统需要存储个密钥,一旦节点需要增加,则整个系统存储的密钥就会呈指数级增长.因此,基于区块链,利用多项式来构建通信密钥,去中心化生成共享密钥,并
7、有效抵御节点出入对系统的威胁,保证有效的组密钥协商,比传统的 PKI 具有更快的处理速度,且任何节点丢失密钥,可以借助其他节点信息有效地恢复原有密钥.关键词区块链;工业互联网;密钥管理;秘密共享;Kate 承诺中图法分类号TP309收稿日期:20211108;修回日期:20220415基金项目:国家自然科学基金项目(61872192);江苏省高等学校自然科学研究项目(19KJA310010)ThisworkwassupportedbytheNationalNaturalScienceFoundationofChina(61872192)andtheNaturalScienceFoundatio
8、noftheJiangsuHigherEducationInstitutionsofChina(19KJA310010).通信作者:王化群()计 算 机 研 究 与 发 展DOI:10.7544/issn1000-1239.202111095JournalofComputerResearchandDevelopment60(2):386397,20232020 年 4 月,“新基建”被正式提出,工业互联网技术越来越得到国家的重视,未来将成为国家经济发展的重点,也是各国发展工业的新优势.而随着工业互联网技术的发展,工业互联网数据也迅速地增长,数据安全逐渐成为工业互联网发展的重要保障1.本文主要针
9、对钢铁生产中的智能设备点检系统数据传输安全,传统设备点检工作主要是通过专业人员去现场实时采集数据、分析数据,发现问题通知专业设备人员进行处理,处理完毕再进行验收反馈.点检人员操作繁琐,工作效率低;人工输入数据,工作错误率高;各部门没有有效的监督机制,容易出现遗漏;工作环境恶劣,容易出现烫伤、密闭空间窒息等安全隐患.智能点检系统通过网络传输信息,通过传感器将设备运行状态实时传输到服务器中,工作人员可以远程实时查看设备运行数据.目前,智能点检系统在某些钢铁企业得到应用,大量的信号采集,实时传输使得设备的可靠性以及生产的效率得到了显著提升,尤其是点检人员的点检效率也得到了提高,及时发现并解决故障,使
10、设备得到更长的使用寿命,预防了设备事故的发生.由于智能点检需要大量的传感器,传感器的数据需要进行整合分析上传到服务器,并且传感器设备之间也需要进行实时有效安全的传输数据.比如:点检系统中涉及铁水脱硫、混铁炉、转炉冶炼、吹氩、精炼以及连铸等多个工序,工序之间的传感器设备之间需要有效地及时信息交互,才能准确地判断设备生产状态.因此,数据安全是保障炼钢点检智能化发展的重要前提.与普通互联网不同的是,一旦智能系统上的机密数据遭到泄露,可能将会导致企业失去核心竞争力,并且生产过程中的设备控制权限、状态参数如果被不法分子截获篡改,则会影响设备安全运行,导致严重的安全事故,危害国家安全、经济发展以及社会稳定
11、.现在的工业现场通信面对大量的节点设备,需要建立安全可靠的信息传输.密钥管理在工业互联网中便起到了重要作用2-3.近几年,互联网中的密钥管理引起了众多研究者的兴趣.密钥管理主要分为集中式密钥管理和分布式密钥管理 2 种类型.集中式密钥管理即为由单一中心节点负责生成、分发和更新系统中节点所用的加密密钥或者会话密钥4-8.Sun 等人在文献 4 中提出了一种多组密钥管理方案,实现了分层的组通信访问控制.在文献 5 中,Je 等人提出一种安全组播通信的密钥树管理协议以及一种高效计算存储的密钥树结构;接着,冯力等人在文献 6 中提出基于单项散列函数的多级密钥管理方案,根据访问控制矩阵实现安全高效的多密
12、级授权访问;然后,Gao 等人在文献 7 中提出一种基于椭圆曲线的匿名多播方案,利用多项式进行分发,具有更高的效率.分布式密钥管理即为无单一中心节点,密钥由所有成员共同管理9-12.Lou 等人在文献 9 中提出了一种基于区块链的密钥管理方案,解决通信实体之间缺乏信任的问题.Zhao 等人在文献 10 中设计了一种轻量级高效可恢复的密钥管理方案,用于保护医疗数据隐私信息.Lei 等人在文献 12 中提出一种基于车联网的组密钥管理方案,利用区块链实现了异构车辆通信系统中的分布式密钥管理方案.集中式密钥管理方案的优点是较低的计算和传输的成本开销.但是需要一个可信第三方来充当密钥生成中心(keyge
13、nerationcenter,KGC),在注册阶段与每个用户建立成对的共享密钥.在组通信阶段,由KGC 首先选择生成组密钥并通过共享密钥加密后分发给每个组用户.因此,需要可信第三方 KGC 来保证通信系统的安全.但是,一旦 KGC 被攻陷,则会导致整个通信系统的崩溃.在工业通信现场,任何节点随时都有可能遭到攻击,因此去中心化的密钥管理方案是非常有必要的.近几年,随着 5G 技术的普及,工业互联网中大多数应用程序都是将数据通过一个集中的云服务器进行存储或者处理的.然而,集中处理的服务器对于大规模系统也存在着单个中心节点被攻陷的威胁.而且对于大型应用如炼钢产业、车联网等需要低延迟网络通信来说,集中
14、式密钥管理方案可能并不是最优的.利用边缘计算结合区块链则可以解决通信延迟的问题.边缘节点一般具有较高的存储以及计算能力,可以给较低存储以及较低计算能力的传感器节点提供低延迟的服务,并且可以为云服务器减少计算负担13.区块链可以保证存储数据的公开透明以及不可篡改.两者相结合可以为工业互联网提供更高的性能以及安全性14-15.最近,新兴的边缘计算16-17以及区块链技术18已经得到了广泛的研究.Ning 等人在文献19 中提出在车联网中部署高计算、高存储的路边单元(roadsideunit,RSU),实现车辆通过路边单元进行高效的信息传输.Ning 等人在文献 20 提出一种基于 边 缘 计 算的
15、 5G 健 康 监 测 系 统.在 文 献 21 中,Yang 等人提出通过边缘节点与云之间的相互交互来处理工业互联网的大数据流;接着,Pan 等人在文献22 中设计了一种基于区块链以及智能合约的边缘张泽林等:基于区块链的工业互联网动态密钥管理387物联网框架,有效地将边缘计算以及区块链的优势整合到了物联网中.本文通过引入区块链技术结合边缘计算,有效避免中心节点会被攻陷而产生的安全问题.通过使用二元多项式产生密钥,保证较快的处理速度和时效性,并且能够有效适应节点的出入,保证节点之间的有效通信与系统通信的安全性.本文给出一种不同于传统的新的访问结构,使用非对称双变量多项式构建子份额,由初始元节点
16、(一般选择使用寿命长、工作环境较好、不会轻易下线的传感器设备)共同产生多项式,而非单个中心节点产生,使每个节点有效获得安全的子份额.在有节点丢失子份额时,可通过其他节点有效恢复子份额.非对称双变量多项式中双变量中不同的阶数提供不同的阈值,一方面保证在短时间大量节点加入时多项式密钥的安全性;另一方面保证在稳定状态,即无节点出入时期,能有效恢复份额,进行有效通信.而且,在新节点加入时,节点获得的高阈值份额不能够获取其他节点的任何有效信息,但是仍能够与已加入节点进行有效通信.本文主要贡献有 3 个方面:1)提出一种基于二元多项式的去中心化密钥管理方案.节点的份额由二元多项式生成,具有较快的处理速度以及较低的存储开销,因为无需存储大量成对的共享密钥,只需要通过存储二元多项式的系数即可.初始的二元多项式由所有元节点共同生成,并分发给其他普通节点,使密钥管理具有去中心化特点.2)通过阈值切换,有效抵御节点出入对通信系统的威胁.方案使用的是非对称二元多项式,具有 2个不同阶数的变量,能够有效地进行不同阈值的切换,提高通信系统的安全性.3)利用区块链技术以及 Kate 承诺,实现安全的点对点通信以及多
