一种基于区块链技术的棉纺生产CPS中M2M安全方法与流程

本发明涉及一种面向棉纺生产的cps架构中m2m的安全方法，属于通信技术领域。

背景技术：

进入工业4.0时代，信息物理系统、工业物联网(industrialinternetofthings，iiot)和机器对机器(machine-to-machine，m2m)通信等不断渗透到工业领域中。信息物理系统(cyberphysicalsystems，简称cps)是一个集计算、网络和物理世界的复杂系统，通过计算技术、通信技术和控制技术的深度融合和协作，以数字化方式在信息世界中呈现物理世界，实现信息世界和物理世界的统一。通常，cps由两个主要部分组成，一是物理世界，二是信息系统。cps旨在信息世界中挖掘和分析来自物理世界的数据，智能地监控物理世界中实体的行为，并采取行动改变其行为，使物理世界各实体更加有效地工作。iiot是一个动态网络，其物理实体和虚拟实体都具有身份和属性的特征，它用智能接口连接物理世界和虚拟世界。m2m涵盖多种技术，包括感测、通信、计算、数据处理和反馈控制等技术，并支持大量异构智能设备互联互通。如今，m2m已成为下一代网络不可或缺的组成部分而广泛应用于许多新颖的智能应用和服务，如cps、机器对人(machine-to-human，m2h)、机器对系统(machine-to-system，m2s)。

随着cps的发展和应用的深入，其安全问题也备受关注。在无线传感器网络(wirelesssensornetwork，wsn)、ad-hoc网络、移动ad-hoc网络(mobilead-hocnetworks，manet)等方面存在许多有关安全问题的相关成果，不能直接应用于cps。这是因为cps安全的内容和范围更大，涉及的技术也更多，对安全性能的要求更高。

面向棉纺生产的cps架构，其底层物理层主要是棉纺生产过程中涉及的机器、设备、能源、环境及相关操作人员；中间网络层是基于各类智能感知器、frid、wi-fi、tag等构建的工业互联网。一个棉纺生产车间需要部署几百个高性能传感器到不同的机器、设备或原料上。每个不同种类的设备会产生大量的实时数据，如生产过程中棉纱的质量数据、设备运行状态数据；同样原材料随着生产加工的进行，从棉包、棉条到粗纱、细纱，在其形态不断变化中也产生了大量数据。因此，在大数据环境下的智能棉纺生产中会遇到：第一，面向棉纺生产的cps系统虽然很庞大，且m2m技术日益成熟，但就cps本身而言，它是不断生长的。具体说就是生产设备会根据生产的实际需要有所增减，并且要确保生产设备在增减后，m2m通信仍然要稳定。第二，某粗纱机发送查询信息给上道工序的并条机，想了解并条机的工作状态及熟条的质量情况，以及时调整自己的工艺参数；由于增加了订单，m2m系统向各机器设备发出延长工作时间的指令；某梳棉机将梳条的质量信息传到精梳机上供其参考，以决定如何调整精梳机的工艺参数，这些信息或指令如何安全传送到目标设备上。

因此，在面向棉纺生产的cps架构下，在m2m系统的动态变化中，如何保证其可扩展性；在数据环境下，如何保证多点对多点间通信的及时性和安全性，是本领域技术人员致力于解决的难题。

技术实现要素：

本发明要解决的技术问题是在面向棉纺生产的cps架构下，在m2m系统的动态变化中，如何保证其可扩展性；在数据环境下，如何保证多点对多点间通信的及时性和安全性。

为了解决上述技术问题，本发明的技术方案是提供一种基于区块链技术的棉纺生产cps中m2m安全方法，其特征在于：该方法由以下6个步骤组成：

步骤1：基于区块链技术设计如下区块：

1)公共网络区

公共网络区是以工业物联网为基础，搭建设备通信平台，以保证各类设备正常通信；审核设备注册与访问认证，实现设备之间连接与通信；规范数据格式和通信规则；

2)私有区

私有区是建立记录机器设备间通信过程的区块，保存通信过程的数据，接受对外部的查询或者对外发起查询，以获取外部的相关数据。

3)设备区

设备区是连接公共网络区和私有区的通道，接收来自公共网络区的消息，传递来自私有区查询要求和查询结果；

步骤2：在公共网络区设计机器设备区块链；

公共网络区接受新设备注册后，用其公钥对加密数字证书进行验证，确认该设备身份后，接受其访问公共网络区；此时，新设备便可参与m2m通信；

步骤3：在私有区设计通信区块链；

通信区块链负责建立和记录机器设备间通信过程，保存数据以及查询相关信息；通信过程的信息是可以被共享的，从而保证其很难被篡改；

步骤4：棉纺生产cps系统中，针对设备的更换：公共网络区将新增设备的标识信息加上时间戳后作为一个新的区块加入到机器设备区块链中；如果需要更换少部分设备时，对于更换下来的设备，其相关信息仍然保存在机器设备区块链中成为历史数据，供以后查询或数据分析；如果需要更换大部分设备时，那么整个生产线作重新部署，区块链也重新建立；

步骤5：针对棉纺生产的物料的动态性维护通过物料区块链实现；工业物联网平台将物料不同形态的识别信息加上时间戳后加入到物料区块链中，物料的形态在生产加工过程中发生了物理性的改变，但物料区块链保存了贯穿物料整个生命周期的全部数据，从而对物料及成品细纱的数据分析和质量追溯提供有力的保障；

步骤6：棉纺生产过程的m2m通信时，所有设备、物料的信息都分别保存在机器设备区块链和物料区块链中；如果设备间通信或设备访问物料或者物料间相互访问，通信或访问过程的数据都保存通信区块链中，同时通信双方的设备信息、访问和被访问的物料信息也都及时备份到通信区块链中。

优选地，每个区块链均设有多个独立备份，因此，即使部分设备出现故障，其本身的数据是保存在机器设备区块链中的，而且也备份在通信区块链中，同时与之有过通信的所有记录都保存在通信区块链中；哪怕工业物联网被攻击，数据也会因为有多个备份而很难被篡改，进而保证了数据被保存的及时性和很难被篡改的安全性。

优选地，所述公共网络区对cps中的任意m2m终端的通信数据格式进行规范化定义；同时对m2m间的通信数据类型也设置如下约定：上传信息是指采集本地机器的数据，下行信息是指通信协议、网络的指令和相关参数的设置。

优选地，所述通信区块链的区块由头部信息和通信信息组成；头部信息是由①连接到前一个区块的哈希值、②目标哈希、③merkle根节点、④随机数、⑤时间戳组成。通信信息包括：①通信发送方id：识别通信发起方；②通信接收方id：识别通信接收方；③信息类型：体现机器设备之间的通信数据类型约定，是上传信息还是下行信息；④数据大小：用以规定数据单元的总字节数；⑤数据：具体的通信数据，需要被保存的；⑥数据加密类型；⑦数据检验：检验经传输后数据的准确性。

优选地，设备m1与设备m2通信时，整个查询通信过程的具体步骤如下：

步骤a：m1将查询包发到公共网络区；

步骤b：公共网络区接收到查询包后，解析查询包，根据数据检验信息检验查询包数据是否完整；若不完整，则要求m1重新发送查询包，重新进入步骤a；若查询包数据完整，则进入步骤c；

步骤c：公共网络区根据查询包中m2的id，在机器设备区块链上查看m2是否存在；若不存在，则返回给查询发送方一个空值，查询失败；若m2存在，则进入步骤d；

步骤d：公共网络区通过m2的设备区，将m1的查询包发送到m2的私有区；

步骤e：m2私有区解析查询包，鉴别m1的数字签名是否合法；如果不合法，拒绝服务，并通过公共网络区返回一个拒绝服务信息给m1，重新进入步骤a；如果合法，则进入步骤f；

步骤f：m2的私有区根据查询包中要查询的内容，用m1的公钥加密数据并封装相关数据成信息包，通过设备区将信息包发送到公共网络区；

步骤g：公共网络区接收到信息包后，根据信息包中的检验信息检查信息包数据是否完整性；如果不完整，则要求m2重新发送，进入步骤f；如果信息包数据完整，则进入步骤h；

步骤h：信息包通过m1设备区发送到m1的私有区；

步骤i：私有区解析信息包检查m2的数字签名，鉴别其合法性；如果不合法，通过公共网络区发送消息给m2，要求重新发送数据，进入步骤f；如果合法，m1的私有区则用m1的私钥解密信息包获取数据，查询完成。

本发明提供的方法克服了现有技术的不足，用区块链技术解决了面向棉纺生产的cps架构下m2m的通信安全问题，有效地解决其可扩展性和m2m通信的及时性与安全性。

附图说明

图1为面向棉纺生产的cps架构中m2m安全的区块链总体设计示意图；

图2为针对公共网络区的机器设备区块链结构示意图；

图3为针对私有区的通信区块链结构示意图；

图4为查询包格式示意图；

图5为信息包格式示意图；

图6为整个查询通信过程示意图；

图7为工业物联网平台将物料不同形态的识别信息加上时间戳后加入到物料区块链中示意图。

具体实施方式

下面结合具体实施例，进一步阐述本发明。

1、cps中m2m的区块链理念

区块链技术的特征和cps中m2m的技术要求在一定程度上是相融的，具体体现在：

(1)区块链技术和m2m都体现了分布式、去中心化思想。区块链技术中，不存在中心化的数据库，每个节点都保存了区块链的全部信息。cps物理层由能源、环境、人员及各类物理机器设备等元素组成。机器设备之间(m2m)的互联互通是cps中的关键技术，它可以是机器对机器、机器对机器集群、机器集群对机器集群。不管是那种形式的m2m，或者是点对点、或者是点对多点、或者是多点对多点的通信，无不体现分布式，去中心化。

(2)区块链和m2m都对安全要求较高。区块链技术建立的是一种无需任何信任或依赖的系统，采用数字签名、加密技术等确保信息的安全。m2m系统中，信息在传输和存储过程中的机密性、完整性、可用性、真实性及不可否认性的要求也很高。每个应用领域有其自身的特殊性，如军事系统、电力系统、医疗系统及制造系统，对信息安全的要求也有些差别，就整体而言，信息的安全还是第一要素。

(3)区块链和m2m在信息的可溯与共享上高度一致。区块链技术中可以通过连接到上一个区块的哈希值查看整个区块链交易过程的信息，历史信息得到有效共享。m2m系统中，特别是在制造领域，追溯历史数据找到可能影响产品质量的关键因素，通过改进工艺提高产品质量；筛选历史数据发现容易出现机器故障的生产环节，通过优化机器保养方法降低机器故障；共享供应链上的相关数据找出可以减少投入的环节以降低生产成本。

2、面向m2m安全问题的区块链设计

2.1面向m2m安全的区块链总体设计

在保证数据吞吐量和数据可扩展的基础上，要做到数据可靠，即数据可用、可信赖、完整、安全和可维护等，则要求数据发送方发送的数据真实、合法、规范，数据发送要保密且发送过程可记录、可查询、可追溯；接收方只能接收从发送方发送的数据不能再转发，接收数据过程可记录、可查询。在cps的m2m通信系统中，采用如图1所示的区块链设计，具体包括：

①公共网络区。在cps中，公共网络区是以工业物联网为基础，搭建设备通信平台以保证各类设备正常通信；审核设备注册与访问认证，实现设备之间连接与通信；规范数据格式和通信规则；维护公共网络区块，查询通信记录。

②设备区。设备区是连接公共网络区和私有区的通道，接收来自公共网络区的消息，传递来自私有区查询要求和查询结果。

③私有区。建立记录机器设备间通信过程的区块，保存通信过程的数据，接受对外部的查询或者对外发起查询以获取外部的相关数据。

2.2公共网络区的机器设备区块链设计

针对上述公共网络区，又设计了机器设备区块链的结构，如图2所示。

在cps中，若因设备故障无法正常工作须停机更换设备，或因生产需要更新设备时，新设备以注册新成员的方式接入到生产线中。新设备将一个标识自己身份的信息(如数字证书)发送给公共网络区，申请注册。新设备的申请被审核通过后，其注册获得成功。公共网络区将新设备的数字证书与其身份建立对应关系，并将该设备的公钥放入公共网络区的公钥池，同时将该设备作为一个新的区块链接到机器设备区块链(machine&equipmentblockchain，m-eb)中。公共网络区接受新设备注册后，用其公钥对加密数字证书进行验证，确认该设备身份后，接受其访问公共网络区。此时，新设备便可参与m2m通信。

m2m技术实现的是一种通信机制，其目标是使所有机器设备具通信能力，旨在实现机器和系统三者之间的智能化、交互式的无缝连接。为了保持数据的完整性和减少数据冗余，公共网络区对cps中的任意m2m终端的通信数据格式进行规范化定义；同时对m2m间的通信数据类型也有相关的约定：上传信息是指采集本地机器的数据，下行信息是指通信协议、网络的指令和相关参数的设置。

2.3私有区的通信区块链设计

针对上述私有区，又设计了通信区块链的结构，如图3所示。

私有区负责建立记录机器设备间通信过程的区块、保存数据以及查询相关信息。通信过程的信息是可以被共享的，这就保证它很难被篡改。

通信区块链(communicationblockchain，bc)的区块主要由头部信息和通信信息组成，其中头部信息是由①连接到前一个区块的哈希值、②目标哈希、③merkle根节点、④随机数、⑤时间戳等组成。通信信息部分有：①通信发送方id：识别通信发起方；②通信接收方id：识别通信接收方；③信息类型：体现机器设备之间的通信数据类型约定，是上传数据还是下行数据；④数据大小：用以规定数据单元的总字节数；⑤数据：具体要通信数据，需要被保存的；⑥数据加密类型；⑦数据检验：检验经传输后数据的准确性。

通信区块链主要记录设备间互通的过程。一次互通过程作为一个区块被链接到通信区块链中。互通过程中的数据，包括通信双方的id、信息类型、数据大小、加密方式等内容被保存到区块中。

假设设备m1要查询其与某个设备m2通信记录，则可发送如图4所示格式的查询包到公共网络区，若查询成功，m2通过公共网络区将查询结果的信息包返回给m1，信息包的格式如图5所示；若查询失败，公共网络区返回查询失败消息给m1。

整个查询通信过程如下图6所示，具体描述为：

步骤1：m1将查询包发到公共网络区；

步骤2：公共网络区接收到查询包后，解析查询包，根据数据检验信息检验查询包数据是否完整。若不完整，则要求m1重新发送查询包，重新进入步骤1；若查询包数据完整，则进入步骤3；

步骤3：公共网络区根据查询包中m2的id，在机器设备区块链上查看m2是否存在。若不存在，则返回给查询发送方一个空值，查询失败；若m2存在，则进入步骤4；

步骤4：公共网络区通过m2的设备区，将m1的查询包发送到m2的私有区。

步骤5：m2私有区解析查询包，鉴别m1的数字签名是否合法。如果不合法，拒绝服务，并通过公共网络区返回一个拒绝服务信息给m1，重新进入步骤1；如果合法，则进入步骤6；

步骤6：m2的私有区根据查询包中要查询的内容，用m1的公钥加密数据并封装相关数据成信息包，通过设备区将信息包发送到公共网络区；

步骤7：公共网络区接收到信息包后，根据信息包中的检验信息检查信息包数据是否完整性。如果不完整，则要求m2重新发送，进入步骤6；如果信息包数据完整，则进入步骤8。

步骤8：信息包通过m1设备区发送到m1的私有区；

步骤9：私有区解析信息包检查m2的数字签名，鉴别其合法性。如果不合法，通过公共网络区发送消息给m2，要求重新发送数据，进入步骤6；如果合法，m1的私有区则用m1的私钥解密信息包获取数据，查询完成。

3、面向棉纺生产的cps架构下m2m的安全

3.1m2m系统的可扩展性维护

刚建好的生产线，会有一批设备需要连接到工业物联网平台；根据实际生产需要升级生产线时，又要更换部分设备，这些都体现了m2m系统是动态变化的，是可扩展的，那么m2m系统的可扩展性如何维护呢？

cps的m2m系统采用了区块链技术维护其可扩展性。工业物联网平台将新增设备的标识信息加上时间戳后作为一个新的区块加入到设备区块链中，如图7所示。对于少数更换下来的设备，其相关信息仍然保存在设备区块链中成为历史数据，供以后查询或数据分析。如果需要更换大部分设备时，那么整个生产线需要作重新部署，区块链也需要重新建立。

此外，与m2m系统一样，物料也是动态变化的，即在不同的生产环节物料形态是不一样的。例如在开清棉工序之前物料是以面包的形式存在的，经过该工序后物料就以棉卷的形式存在，再经过梳棉工序后它就变成了棉条，经过一系列的加工工序后，最终成为细纱。那物料的动态性维护也可以通过区块链实现。工业物联网平台将物料不同形态的识别信息加上时间戳后加入到物料区块链中，如图7所示。物料的形态在生产加工过程中发生了物理性的改变，但物料区块链保存了贯穿物料整个生命周期的全部数据，这对物料及成品细纱的数据分析和质量追溯都提供了有力的保障。

3.2及时性和安全性维护

棉纺生产过程中，机器、物料、环境等都会产生巨大的实时数据。在大数据环境中，m2m系统中的任一设备的请求信息，或者系统本身的操作指令，或者一个相关的信息如何在规定时间内准确地传送到目标设备上体现m2m通信安全性和及时性。

如图7所示，棉纺生产过程中的m2m系统中，所有设备、物料的信息都分别保存在设备区块链和物料区块链中。如果设备间通信或设备访问物料或者物料间相互访问，这些通信或访问过程的数据都保存通信区块链中，同时通信双方的设备信息、访问和被访问的物料信息也都及时备份到通信区块链中。区块链多个独立备份是区块链的重要特点，因此，即使部分设备出现故障，其本身的数据是保存在设备区块链中的，而且也备份在通信区块链中，同时与之有过通信的所有记录都保存在通信区块链中；哪怕工业物联网被攻击，数据也会因为有多备份而很难被篡改，这都保证了数据被保存的及时性和很难被篡改的安全性。

以上所述，仅为本发明的较佳实施例，并非对本发明任何形式上和实质上的限制，应当指出，对于本技术领域的普通技术人员，在不脱离本发明方法的前提下，还将可以做出若干改进和补充，这些改进和补充也应视为本发明的保护范围。凡熟悉本专业的技术人员，在不脱离本发明的精神和范围的情况下，当可利用以上所揭示的技术内容而做出的些许更动、修饰与演变的等同变化，均为本发明的等效实施例；同时，凡依据本发明的实质技术对上述实施例所作的任何等同变化的更动、修饰与演变，均仍属于本发明的技术方案的范围内。