工業(yè)區(qū)塊鏈DIPNET能否解決工業(yè)數(shù)據(jù)安全問題

　　——作者：DIPNET社區(qū)志愿者Justice Bit

　　近年來，隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)和人工智能為代表的新一代信息技術(shù)與傳統(tǒng)產(chǎn)業(yè)的加速融合，全球新一輪科技革命和產(chǎn)業(yè)革命正蓬勃興起，一系列新的生產(chǎn)方式、組織方式和商業(yè)模式不斷涌現(xiàn)，工業(yè)互聯(lián)網(wǎng)應(yīng)運(yùn)而生。

　　所謂工業(yè)互聯(lián)網(wǎng)，是指全球工業(yè)系統(tǒng)與高級(jí)計(jì)算、分析、感應(yīng)技術(shù)以及互聯(lián)網(wǎng)連接融合的結(jié)果。它通過智能機(jī)器間的連接并最終將人機(jī)連接，結(jié)合軟件和大數(shù)據(jù)分析，重構(gòu)全球工業(yè)、激發(fā)生產(chǎn)力。為了提供生產(chǎn)效率和效益，工業(yè)網(wǎng)絡(luò)會(huì)越來越開放，但是薄弱的防護(hù)，暴露了工業(yè)網(wǎng)絡(luò)安全領(lǐng)域的諸多問題。工業(yè)互聯(lián)網(wǎng)的安全作為一個(gè)工業(yè)信息安全當(dāng)中的新挑戰(zhàn)，帶了問題和威脅有：

　　(1) 工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全;

　　(2) 工業(yè)互聯(lián)網(wǎng)設(shè)備和控制層的安全問題;

　　(3) 工業(yè)大數(shù)據(jù)安全問題;

　　(4) 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)的安全問題。

　　目前諸多領(lǐng)域應(yīng)用了工業(yè)互聯(lián)網(wǎng)，包括市政供水供熱、能源管理、智能交通、智能家居、智能電網(wǎng)等，由于安全性問題，一旦被入侵，整個(gè)系統(tǒng)就會(huì)癱瘓。過去的網(wǎng)絡(luò)病毒也許只能控制一部手機(jī)，如今可以控制一家工廠，近年來，工業(yè)數(shù)據(jù)平臺(tái)被曝出的漏洞日益增多，且大量集中在裝備制造、交通、能源等重要領(lǐng)域。一些黑客正是利用這些漏洞，竊取了大量的工業(yè)信息。2007年，加拿大一個(gè)水利SCADA控制系統(tǒng)被攻擊者入侵，取水調(diào)度的控制計(jì)算機(jī)癱瘓;2008年，波蘭某城市地鐵系統(tǒng)被攻擊者入侵，攻擊者通過電視遙控器改變軌道扳道器，導(dǎo)致四節(jié)車廂脫軌;2012年，攻擊多個(gè)中東國家的惡意程序Flame火焰病毒，它能收集各行業(yè)的敏感信息;2016年，烏克蘭電力公司的網(wǎng)絡(luò)系統(tǒng)遭到黑客攻擊，導(dǎo)致大規(guī)模的停電。

　　從全球發(fā)展趨勢(shì)來看，工業(yè)互聯(lián)網(wǎng)和工業(yè)數(shù)據(jù)日益成為黑客攻擊的重點(diǎn)目標(biāo)。

　　而工業(yè)區(qū)塊鏈DIPNET作為新型的網(wǎng)絡(luò)安全模式，應(yīng)用到工業(yè)互聯(lián)網(wǎng)上能解決這些安全問題嗎?

　　工業(yè)區(qū)塊鏈DIPNET是一種基于區(qū)塊鏈技術(shù)所帶來的價(jià)值傳輸生產(chǎn)方式構(gòu)建出的一個(gè)云鏈混合的分布式智能生產(chǎn)網(wǎng)絡(luò)，對(duì)制造業(yè)商業(yè)模式進(jìn)行整體重構(gòu)。工業(yè)區(qū)塊鏈?zhǔn)欠植际綌?shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等計(jì)算機(jī)技術(shù)的新型應(yīng)用模式，其按照時(shí)間順序?qū)?shù)據(jù)區(qū)塊以鏈條的方式組合成特定數(shù)據(jù)結(jié)構(gòu)，利用加密鏈?zhǔn)絽^(qū)塊結(jié)構(gòu)來驗(yàn)證與存儲(chǔ)數(shù)據(jù)、利用分布式節(jié)點(diǎn)共識(shí)算法來生成和更新數(shù)據(jù)、利用自動(dòng)化腳本代碼(智能合約)來編程和操作數(shù)據(jù)。總的來說，工業(yè)區(qū)塊鏈具有去中心化、安全性、匿名性等特性，使得區(qū)塊鏈技術(shù)可以在工業(yè)互聯(lián)網(wǎng)各領(lǐng)域可以大有作為。

　　為了更好保證工業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全，工業(yè)區(qū)塊鏈DIPNET在架構(gòu)上采用分層模式，　　

　　圖1 工業(yè)區(qū)塊鏈(DIPNET)分層圖

　　(源自《工業(yè)區(qū)塊鏈(DIPNET)白皮書》)

　　工業(yè)區(qū)塊鏈DIPNET主要分為網(wǎng)絡(luò)層、基礎(chǔ)服務(wù)層、合約層和接口層。其中，前三者與工業(yè)數(shù)據(jù)安全密切相關(guān)。

　　網(wǎng)絡(luò)層：

　　其基于以太坊 devp2p 協(xié)議(DPT、IPFS等)，實(shí)現(xiàn)工業(yè)區(qū)塊鏈(DIPNET)底層網(wǎng)絡(luò)。devp2p 協(xié)議是以P2P協(xié)議為基礎(chǔ)，是對(duì)等網(wǎng)絡(luò)中節(jié)點(diǎn)間通信的網(wǎng)絡(luò)協(xié)議，節(jié)點(diǎn)支持任意數(shù)量的子協(xié)議，并處理子協(xié)議與子協(xié)議之間的協(xié)商，記錄單個(gè)連接上的消息。其主要特點(diǎn)是：1)分布式網(wǎng)絡(luò)，無中央服務(wù)器，非中心化;2)用戶之間互聯(lián)并分享文件;3)可擴(kuò)展：全分布系統(tǒng);4)健壯性：耐攻擊、高容錯(cuò);5)隱私保護(hù);6)負(fù)載均衡;這些特點(diǎn)為工業(yè)區(qū)塊鏈保證工業(yè)數(shù)據(jù)安全提供了絕佳的網(wǎng)絡(luò)環(huán)境特性和通信協(xié)議。

　　基礎(chǔ)服務(wù)層：

　　其一，工業(yè)區(qū)塊鏈DIPNET采用股權(quán)授權(quán)證明(DPOS)共識(shí)的鏈?zhǔn)絽^(qū)塊結(jié)構(gòu)。DPOS共識(shí)機(jī)制中，持有股份的用戶通過投票來選取超級(jí)節(jié)點(diǎn)，由選出的超級(jí)節(jié)點(diǎn)來產(chǎn)生區(qū)塊并記錄區(qū)塊鏈，保障系統(tǒng)安全運(yùn)行。一旦超級(jí)節(jié)點(diǎn)作惡，例如出現(xiàn)宕機(jī)、延遲等情況，它就會(huì)被投票出局。DPOS要求21個(gè)超級(jí)節(jié)點(diǎn)的三分之二以上確認(rèn)后，區(qū)塊才能生效。所以，一旦工業(yè)網(wǎng)絡(luò)中出現(xiàn)個(gè)別入侵者，就會(huì)被踢出系統(tǒng)網(wǎng)絡(luò)，從而保證系統(tǒng)網(wǎng)絡(luò)的安全。

　　其二，工業(yè)區(qū)塊鏈DIPNET使用ECDSA-secp256k1數(shù)字簽名方案，涉及一種橢圓曲線數(shù)字簽名加密技術(shù)，如圖為算法公式曲線，是不是看著有點(diǎn)詭異?

　　圖2 secp256k1算法曲線圖

　　加密算法一般分為對(duì)稱加密和公開密鑰加密。對(duì)稱加密就是使用同一密鑰進(jìn)行數(shù)據(jù)的加密和解密;而DIPNET的加密方式選擇的ECDSA-secp256k1數(shù)字簽名為公開密鑰加密，公開密鑰加密也稱非對(duì)稱加密，即加密和解密使用不同的密鑰，分別是公開密鑰和私有密鑰，簡稱公鑰和私鑰。

　　非對(duì)稱加密算法實(shí)現(xiàn)機(jī)密信息交換的基本過程是：A用戶生成一對(duì)密鑰(公鑰和私鑰)并將其中的一把作為公鑰向其它方公開;得到該公鑰的B用戶使用該公鑰對(duì)機(jī)密信息進(jìn)行加密后再發(fā)送給A用戶;A用戶再用自己保存的私鑰對(duì)加密后的信息進(jìn)行解密。簡單地說，就是公鑰用于加密和認(rèn)證，私鑰用于解密和簽名。

　　那么，我們來看看采用區(qū)塊鏈技術(shù)的公鑰是怎么產(chǎn)生的?

　　第一步，隨機(jī)選取一個(gè)32字節(jié)的數(shù)、大小介于1 ~ 0xFFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFE BAAE DCE6 AF48 A03B BFD2 5E8C D036 4141之間，作為私鑰。

　　18E14A7B6A307F426A94F8114701E7C8E774E7F9A47E2C2035DB29A206321725

　　第二步，使用橢圓曲線加密算法(ECDSA-secp256k1)計(jì)算私鑰所對(duì)應(yīng)的非壓縮公鑰。 (共65字節(jié)， 1字節(jié) 0x04, 32字節(jié)為x坐標(biāo)，32字節(jié)為y坐標(biāo))關(guān)于公鑰壓縮、非壓縮的問題不做詳解。

　　0450863AD64A87AE8A2FE83C1AF1A8403CB53F53E486D8511DAD8A04887E5B 23522CD470243453A299FA9E77237716103ABC11A1DF38855ED6F2EE187E9C582BA6

　　第三步，計(jì)算公鑰的 SHA-256 哈希值

　　600FFE422B4E00731A59557A5CCA46CC183944191006324A447BDB2D98D4B408

　　第四步，取上一步結(jié)果，計(jì)算 RIPEMD-160 哈希值

　　010966776006953D5567439E5E39F86A0D273BEE

　　第五步，取上一步結(jié)果，前面加入地址版本號(hào)(比特幣主網(wǎng)版本號(hào)“0x00”)

　　00010966776006953D5567439E5E39F86A0D273BEE

　　第六步，取上一步結(jié)果，計(jì)算 SHA-256 哈希值

　　445C7A8007A93D8733188288BB320A8FE2DEBD2AE1B47F0F50BC10BAE845C094

　　第七步，取上一步結(jié)果，再計(jì)算一下 SHA-256 哈希值(哈哈)

　　D61967F63C7DD183914A4AE452C9F6AD5D462CE3D277798075B107615C1A8A30

　　第八步，取上一步結(jié)果的前4個(gè)字節(jié)(8位十六進(jìn)制)

　　D61967F6

　　第九步，把這4個(gè)字節(jié)加在第五步的結(jié)果后面，作為校驗(yàn)(這就是比特幣地址的16進(jìn)制形態(tài))。

　　00010966776006953D5567439E5E39F86A0D273BEED61967F6

　　第十步，用base58表示法變換一下地址(這就是最常見的比特幣地址形態(tài))。

　　1M8DPUBQXsVUNnNiXw5oFdRciguXctWpUD

　　如果你想破解，建議先算一下，用一臺(tái)較快的計(jì)算機(jī)，運(yùn)行多久才能破解。

　　合約層：

　　工業(yè)區(qū)塊鏈DIPNET通過VM實(shí)現(xiàn)智能合約，智能合約是部署在區(qū)塊鏈上的一段可自動(dòng)執(zhí)行的程序，廣泛意義上的智能合約包含編程語言、編譯器、虛擬機(jī)、事件、狀態(tài)機(jī)、容錯(cuò)機(jī)制等。其中，對(duì)應(yīng)用程序開發(fā)影響較大的是編程語言以及智能合約的執(zhí)行引擎，即虛擬機(jī)。虛擬機(jī)作為沙箱被封裝起來，整個(gè)執(zhí)行環(huán)境都被完全隔離。虛擬機(jī)內(nèi)部執(zhí)行的智能合約不能接觸網(wǎng)絡(luò)、文件系統(tǒng)或者系統(tǒng)中的其他線程等系統(tǒng)資源。

　　工業(yè)區(qū)塊鏈DIPNET是全球首個(gè)分布式智能生產(chǎn)網(wǎng)絡(luò)，是全球最大的工業(yè)垂直公鏈，擁有全球最大的工業(yè)區(qū)塊鏈社區(qū)，應(yīng)用于多方協(xié)同生產(chǎn)、供應(yīng)鏈清結(jié)算，工業(yè)資產(chǎn)數(shù)字化等領(lǐng)域，具有去中心化、安全、高效等特點(diǎn)。在工業(yè)4.0、智能制造、智能生產(chǎn)的大趨勢(shì)下，工業(yè)區(qū)塊鏈DIPNET將是工業(yè)數(shù)據(jù)安全問題的一種良好的解決方案，應(yīng)用到工業(yè)控制、工業(yè)數(shù)據(jù)、工業(yè)網(wǎng)絡(luò)系統(tǒng)的各個(gè)領(lǐng)域和行業(yè)中，相信工業(yè)區(qū)塊鏈DIPNET可以推動(dòng)整個(gè)工業(yè)的轉(zhuǎn)型及新型模式的發(fā)展。

（轉(zhuǎn)載）