北斗时空信息在工业互联网安全保障领域的应用研究

孟 斌 史 劼 王 伟 周中华 冀宏斌

1(航天恒星科技有限公司 北京 100086)

2(中国工业互联网研究院 北京 100102)

工业互联网是新一代信息技术与工业系统深度融合形成的产业和应用生态，其核心是通过联 网化、自动化、数字化、智能化等技术手段，激发生产力[1]，优化资源配置，最终重构工业产业格局.安全和效率是工业互联网领域关注的核心和重点.随着人工智能、大数据、IoT、5G等技术的发展，信息安全问题日益凸显，安全变得越来越复杂，网络恶意攻击强度、频率、规模和影响在不断升级，安全“边界”发生巨大变化.现有的网络信息安全技术是通过密码学与防火墙等技术来对信息进行加密，防止数据泄露与病毒攻击，并对可疑访问进行有效控制.面对开放式、大融合的控制互联网络，这种传统的思维方式已显得力不从心.数字安全新生态的建设需要以全新视角去理解安全问题，并跳出传统攻防概念，以协作为基础形成体系式防御，而这种计算和物理实体单元的紧密协同配合需要高精度的时空基准.在解决安全问题的基础上，通过时空基准的统一、卫星通信的接入、地理信息的融入以及5G,NB-IoT地面通信技术的结合，促使时空或多维空间压缩，使在局域时空内处理全域时空数据成为可能，大大提升工业生产效率.近年来作者团队沿着这一途径作了有益的探索，并在国家专项的支持下形成了一定的技术成果和应用效果，希望与信息安全领域同行共同探讨.

1 北斗时空信息对于工业互联网安全领域的意义

北斗卫星导航系统(简称北斗系统)按照“3步走”战略建设：北斗1号系统采用有源定位体制，为中国用户提供定位、授时、广域差分和短报文通信服务[2]；北斗2号系统在兼容北斗1号系统技术体制基础上，增加无源定位体制，为亚太地区用户提供定位、测速、授时和短报文通信服务；北斗3号系统于2020年7月投入使用，在北斗2号系统的基础上，进一步提升性能、扩展功能.北斗3号系统提供服务包括：面向全球范围，提供定位导航授时(RNSS)、全球短报文通信(GSMC)和国际搜救(SAR)服务[3]；在中国及周边地区，提供星基增强(SBAS)、地基增强(GAS)、精密单点定位(PPP)和区域短报文通信(RSMC)服务[1].上述服务性能可参见中国卫星导航管理办公室发布的《北斗卫星导航系统公开服务性能规范》(3.0版)[4].从服务于工业互联网安全保障领域的角度，主要涉及RNSS，GSMC，GAS，PPP，RSMC这5项服务，其中构建GAS服务的地基增强系统全国基准站是为工业互联网领域提供高精度时空基准的重要基础设置，目前主要的地基增强系统全国基准站如表1所示.

表1 国内主要地基增强系统全国基准站

我国工业互联网产业处于发展初期，产业规模快速稳步增长，支撑体系初步形成，具有较大增长与发展空间.工业互联网涉及工业和互联网等信息通信技术领域的各个环节和各个主体，其焦点是通过工业互联网平台把生产、流转、消费各环节要素紧密地连接融合起来[5]，其中，高精度定位及准确授时将起到关键作用，这二者正是北斗系统相比于其他GNSS系统较为突出的优势之处；跨地域精准定位，协调同步，监控监测，北斗系统胜任完全没有问题；在中美贸易战的大背景下，通过建设基于北斗时空基准服务的工业互联网安全保障平台对实现工业互联网产品自主可控、推动国内实体经济腾飞意义重大.

经过调研，我国目前的工业互联网平台层面上，存在的问题主要有以下几个方面：

1) 设备连接能力不足.

面对工业现场多类型通信协议并存的生产设备，面对生产制造业平台化、云化水平本身较低的现实[6]，所导致的多数平台数据采集类型少，采集难度大，互联互通水平低，大多数平台数据点采集量少或无数据点，缺乏完整的数据采集集成解决方案.因此如何实现多源数据的柔性接入，实现互联互通是该平台应用的前提.

2) 工业实际经验方面严重不足.

中国现代化工业化发展历史短，国外工业软件的市场份额已占据世界工业软件市场份额的98.3%，而国内仅10%的工业软件可自研解决，这充分说明我国工业技术软件化水平和积累远远不够，缺乏短时间内把行业机理模型化、代码化的线下实力[7].这种不足短期内是无法改变的.当前国内完整的产业链激发了庞大的应用需求和发展动力，为平台培育、壮大提供了可能[7].

因此建立一个通用的、兼容共享的服务平台，让工业互联网信息化企业关注于行业机理模型、形成核心智能化软件，是解决该问题的关键.

3) 数据分析能力不足.

构建基于海量工业大数据分析模型是区分工业互联网与传统工业化、自动化解决方案的最重要的特征.工业领域的算法库、模型库、知识库等微服务需要积累.当前工业研发、生产、采购、配送、设备管理等都需要高水平的数据模型和大数据分析能力，目前国内许多平台类企业面临的共同挑战就是工业大数据分析数学模型技术积累薄弱，完全无法满足市场侧需求[6].

因此，通过时空基准的统一，将无序数据转化为有序数据，从而为数据分析、挖掘提供了可能.

4) 云化工业软件不足.

工业互联网的功能是通过搭建特定工业场景的工业软件，推动工业流程、工艺、控制算法的模型化和标准化.传统各类工业软件通过研发设计、经营管理、资产优化、代码重构的方式部署到了云端，成为企业私有“云化”软件[6].由于传统工业软件基本缺失，“云化”软件也因无数据源而无法发挥聚合作用.

因此，通过建设工业互联网保障平台，促使开发出的工业软件更聚焦、更专业，对于工业互联网软件发展意义重大.

5) 解决方案能力不足.

工业互联网平台是一个系统解决方案的平台，出发点和落脚点是解决制造业数字化、网络化、智能化的问题，提高核心竞争力.国内平台企业业务规划、基础设施、工业软件、工业模型的集成等能力远远不足，整合边缘计算、现场设备、软件工具、企业ERP软件等各类资源的能力不足，集业务咨询、基础平台部署实施、工业软件2次开发、平台运行维护等于一体的综合能力欠缺[6].

因此，具备2次开发功能、感知数据可柔性接入、空间地理信息可共享的工业互联网平台软件，可有效提升工业互联网领域行业解决方案的能力.

6) 安全保障能力不足.

工业互联网平台建设节奏逐步加快，安全建设已经摆在首位，从传统的生产控制安全演变至设备、网络、平台、数据的安全，在这个进程中，工业互联网平台安全领域相关的标准、技术、管理、规章制度方面的服务能力都不足.因此，急需融入信息安全技术，并完善相关的标准、法规[6].

7) 跨行业跨领域平台构建能力薄弱.

构建跨行业跨领域工业互联网平台，既需要具备涉及多个行业领域的共性技术、知识、工具和模型的供给能力，也需要具备数据采集、设备互联、平台管理、应用开发等一整套技术解决方案[8].国内具有明显优势融合性的跨行业跨领域的工业互联网平台仍极度缺乏，无论是ICT巨头还是互联网巨头，都没有独自构建完整的工业互联网平台的能力，包括融合性跨行业跨领域工业互联网平台的能力.

因此，工业互联网平台要有足够的通用性，并拥有跨行业、跨领域数据的适配解决方案.

8) 面向工业APP的开发生态相对滞后.

工业软件(APP)是基于工业互联网平台、承载工业数字模型、满足工业企业特定需求的应用软件.当前，平台企业对于工业APP如何认识和如何培育均存在一定问题[9].

因此，通过构建基于北斗时空基准服务的工业互联网安全保障平台，实现高精度定位、时间基准、多源传感器柔性接入和空间地理信息服务，促使工业互联网企业的信息化建设专注于模型算法、业务流程、人机交互和用户体验，由该平台提供高可靠、高安全、感知数据随遇接入、兼容共享的时空基准支撑保障服务，形成工业互联网信息化应用新生态.

2 基于北斗时空信息的工业互联网安全保障平台架构设计

作者团队在上述分析的基础上，提出基于北斗时空信息的工业互联网安全保障平台应具备以下特征：

1) 具备地基/星基高精度服务功能.可以为工业互联网应用快速构建高精度服务能力，提供从毫米级到米级的分级精度定位服务，定位服务可用率高于99.9%.

2) 具备高精度时间基准服务功能.构建基于北斗的分级时频同步系统，搭建区域以及广域的北斗时频同步基准系统，向接入节点提供分级时频同步服务.

3) 具备多源传感器柔性接入功能.平台具备智能制造生产线上多源传感器接口协议扩展和在线2次开发功能，可以实现多源传感器的插件式接入、管理，配置灵活.

4) 具有高精度空间地理信息的共享服务平台功能.支持智能制造基地/厂区的基于室内外高精度2D/3D可视化管理服务，为工业互联网应用提供2次开发接口，可根据具体需求快速构建2D/3D可视化厂区管理系统，支持在线更新.

5) 针对时空基准数据的云安全加密功能.云加密是自保式安全模式，重要的时空基准数据通过密钥对登录，有效防止密码被拦截、破解造成的账户密码泄露导致的数据泄露问题.

6) 具备天地一体化无缝通信网络保障能力.该体系融合地面移动通信网络(含5G,NB-IoT/LoRa通信)和卫星通信等技术，实现“北斗+”“+北斗”在工业互联网领域的融合应用.

北斗时空工业互联网安全保障平台的总体架构与工业互联网体系架构2.0建设纲要相一致，采用“四横三纵”式的云服务体系结构.系统总体架构如图1所示：

图1 平台总体架构图

北斗时空工业互联网平台分为4个层次3个标准，4个层次分别指的是工业现场边缘计算层、基础设施层(IaaS)、平台服务层(PaaS)、应用层(SaaS).平台基于4个层次提供的服务，通过应用终端/传感器为北斗时空工业互联网平台典型业务应用提供桌面APP服务，实现北斗时空工业互联网平台相关业务、生产数据的对外应用服务.

具体描述如下：

1) 边缘计算层.边缘层是工业现场的信息采集和汇集层，包括北斗时空平台规划的3个示范应用所配套的终端和数据采集传感器(化工、生产制造等)，不同类型的终端/传感器通过互联网、专用VPN网络、4G/5G网络、物联网(NB-IoT,LoRa)、北斗RD通信、卫星通信方式与平台进行数据交互.同时，提供与国家工业互联网大数据中心、国家基础地理信息中心地基增强CORS网等第三方数据交换接口.通过云平台接入层，实现工业生产数据、资源数据与各工业企业的数据共享，共同为北斗时空工业互联网应用赋能.

2) 基础设施层(IaaS).结合北斗时空工业互联网平台示范应用项目需求和未来承载工业应用数据量规划，进行北斗时空工业互联网平台网络和基础设施的建设，包括平台网络资源池、计算资源池、存储资源池、裸机管理、资源监管(监控、部署、管理、调度、控制)和主动防御系统(保障云平台业务数据安全)等.通过充分整合利用北斗时空基准服务和拟建的网络和基础设施，共同为北斗时空基准相关科研生产和工业互联网安全保障平台的运行环境提供保障.

3) 平台服务层(PaaS).平台服务层包括数据调度服务、数据基础服务、数据挖掘服务、元数据管理服务和北斗时空基准服务，以及数据分布式接入和分布式调度服务；数据基础服务包括关系型数据服务引擎、时序数据服务引擎、实时数据服务引擎、分布式文件系统、分布式数库存储以及ETL模型管理、数据资源管理、作业调度监控、日志系统、权限管理等；元数据管理服务包括统一日志管理、集群自动化部署监控等；北斗时空基准服务包括GIS服务、地基增强高精度分级位置服务、北斗综合位置服务和高精度授时服务.

4) 应用层(SaaS).开发北斗时空工业互联网平台示范应用业务所需的支撑服务接口.示范业务应用系统包括化工园区监管、整船运输监管、港口高精度应用管理等.应用开发支撑服务包括基础服务接口、应用服务接口、数据管理接口、资源调度接口和对外服务接口.通过云平台应用开发层为示范业务应用提供服务和开发接口.

5) 安全保障体系.贯穿北斗时空工业互联网平台的所有层次，提供各个层级、数据的安全保障.设施层面提供网络设施、安全设施、云设施、存储设施的安全防护；数据层面提供数据审计、数据隔离、数据存储防护；应用层面提供终端认证、应用审计、抗DDOS、负载均衡防护；网络层面提供边界隔离、入侵检测、漏洞扫描、流量控制等防护；用户层面提供访问控制、行为审计等防护.

6) 运维体系.贯穿北斗时空工业互联网平台的所有层次，提供各个层面的运维依据和方案，包括服务台、资源管理、监控管理、用户管理、发布管理、部署管理、服务目录、配置管理、变更管理、事件管理、问题管理.

7) 北斗时空工业互联网应用标准规范.贯穿北斗时空工业互联网平台的其他层次，确保本项目的实施有章可循，推动北斗时空基准体系在工业的规模化和标准化应用，利用标准的2次开发服务标准接口，满足工业各企业定制化需求.包括北斗时空综合应用框架体系、北斗时空基准服务数据接口类、数据传输协议类、应用设备技术规范类、设备/传感技术规范类、应用数据传输协议类.

3 基于北斗时空信息的工业大数据标识解析与溯源

工业生产环境中面临工业制造设备、控制系统、复杂网络环境、异构信息等大量复杂设备及系统.各类软硬件设备基于北斗时空基准数据服务，完成关键的时间基准、空间位置属性赋值.赋能后的生产数据基于国家工业互联网大数据中心标识解析系统形成卫星资源数字地图，实现跨地域、跨行业、跨企业的时空属性生产数据查询和共享.

3.1 数据标识解析

Handle标识体系是一种面向数字对象的标识编码方式和解析与信息管理体系，通过赋予各种对象一个唯一、永久、安全的标识，对其进行定位、追踪、查询.支持异构系统间柔性、灵活、安全的信息共享和互操作，同时能够实现商业模式创新.

目前国家工业互联网大数据中心采用的Handle标识由2部分组成：全球统一管理的Handle前缀以及跟随其后的在该前缀下唯一的自定义编码.前缀和自定义编码间通过ASCII字符“/”(0x2F)来分隔.例“hdl:86.1000.300/60574397”，“/”前面为Handle前缀(一个企业的唯一编码)，“/”后面为自定义编码(由企业根据各自系统的编码自主定义).

所采用的数据解析平台构成如下：

基础设施层.提供底层基础环境、系统级软硬资源的支撑保障、数据存储和数据分析处理功能.

数据采集层.以整机制造商为中心，覆盖企业内部及上下游企业间的核心系统数据，根据定义的数据模板及授权级别，为智能供应链平台提供基础数据支撑.

标识解析层.根据Handle技术体系，为异主、异构系统间的数据提供授权管理、信息关联、数据解析等标识解析服务.

平台应用层.为企业提供标识注册、标码解析以及基于产品追溯、订单管理、库存可视、在线跟踪、质量反馈、市场服务等覆盖供应链全过程的一体化应用.

终端访问层.为企业内部用户、市场服务人员、经销商、客户、社会公众用户提供便捷、高效、专业的增值服务.

北斗时空基准信息的接入，就是在基础设施层包含北斗定位、授时硬件，并在数据采集层增加北斗时空基准信息，综合编码到Handle标识的企业自定义编码中.

3.2 物联网数据溯源

数据溯源的主要挑战是溯源信息的可信收集、存储和校验.结合物联网的功能结构以及功能模块的划分，设计了数据溯源的功能实现架构，可为区块链提供可信的数据溯源.如图2所示，该架构由4部分组成，分别是物联网设备、区块链节点搭建的区块链网络、智能合约和应用程序的前端.

图2 数据溯源功能实现架构

在上述架构中，物联网设备中的北斗(高精度)定位和授时模块可为数据溯源提供可信的时空信息，再通过区块链技术构建出可信的数字资产地图.

4 典型应用

作者团队在上述平台架构下，完成了基于北斗时空信息的工业互联网安全保障平台的建设，平台的组成如图3所示.

图3 基于北斗时空信息的工业互联网安全保障平台PBS分解图

基于该平台，在化工园区应用场景中选取了危险化学品供应链协同管理和智能工厂管理2种典型应用.

4.1 危险化学品供应链协同管理

危险化学品供应链协同管理属于跨越企业边界的业务流程管理，即跨组织的业务流程管理，其框架主要由业务协同层、数据服务层、外部服务层和权限控制层组成.跨组织的业务流程问题之所以具有复杂性，主要是由于流程需跨越多家企业，以及企业间的关系具有松散耦合[10].

危险化学品货物种类、名称、数量、起始地、目的地、时间等得到确认后才能开始运输，需要对相关各方的资质以及运输中各个节点的流程进行规范，需要借助危险化学品供应链系统Web网页申报等方式向平台中各关联用户进行实时上报，才能筛选掉不符合国家行业要求的主体，确保责任明确、运输实时监控、流程公开透明、数据实时上报、各方高效协同.通过对危险化学品各环节的时间、位置数据的采集，实现了对化工园区内危险化学品的全链条管理，形成了危险化学品管理大数据池.

4.2 智能工厂管理

智能工厂产品面向企业决策和工业互联，专注企业管理和企业上云服务，为大规模个性化制造、网络协同制造、智慧工厂、智能制造提供解决方案；挖掘企业管理需求和痛点，帮助企业打通人、系统与设备的协同关系，建立开放透明、可视化的制造体系和管理模式.

智能工厂产品系统组成由业务基础支撑、应用领域、产品和子产品4部分组成，从下到上逐层支撑.

图4所示为当前已实现的产品内容，后续将在此基础上根据项目的积累提炼更多子产品，如工业污水处理监控系统、危化品码头气象监测和智能调度系统.

图4 智能工厂系统组成图

作者团队以嘉兴港区为试点，试运行北斗时空信息服务，为港区内危化品运输车辆安装北斗高精度定位终端，危化车辆定位精度为0.5 m，危化车辆流通率提升20%，事故违章率降低15%.危化品园区范围内监管率达到100%.基于北斗时间基准采集117个危险源监测传感器、2个大气监测站、11个雨水传感器、18个污水传感器、6个废气传感器、2个非甲烷总烃传感器、62路危险源视频、5个高空瞭望摄像头数据，实现化工监测数据精确时空属性赋值.构建嘉兴港区智慧化工园区高精度空间地理信息，完成园区人、系统、设备高精度可视化实景联动指挥调度.2018年12月完成建设，运行至今，帮助企业降低17.3%运营成本，单位产值能耗降低14.5%，通过对时空基准信息统一后的数据挖掘分析风险点，整体园区运行平稳率提升18%.

5 结 语

基于北斗时空信息的工业互联网安全保障平台，对园区应用系统、港口高精度实时定位调度系统、生产制造、车联网等重点领域提供高精度位置服务和高精度授时服务.实现了工业数据与高精度时空数据的融合，解决了工业大数据的隐匿性，同时也提升了工业互联网在系统应用方面的安全保障水平[11].面向不同行业需求，平台提供了从毫米级到米级的分级精度定位服务，定位服务可用率高于99.9%，且平台支持授时精度不低于20 ns，授时可用率高于99.9%.

工业互联网助力制造业和服务业之间的跨越发展，使工业领域各种生产要素资源能够最大程度共享，提高效率，促进创新，同时结合“北斗+智能制造”新概念，推动了制造业企业的转型升级[12].