基于联盟区块链的RFID装备管控框架设计

甘 波 吴启武 高志强

1(武警工程大学研究生大队 陕西 西安 710086) 2(武警工程大学装备管理与保障学院 陕西 西安 710086) 3(武警工程大学信息工程学院 陕西 西安 710086)

0 引 言

装备物联网是物联网技术在装备工作领域的应用和拓展，其基本路径是利用RFID等技术，构造一个装备管理信息实时共享的网络，优化装备业务工作流程，提高装备业务一体化程度和装备信息化水平[1-2]。

近年来，国家、军队高度重视军事物联网基础理论研究、关键技术研发和行业应用，在政策规范、科技研发、人力资源、装备器材和基础设施等方面打下了坚实的基础[3]。然而，物联网军事应用安全保障体系仍不完善，体现在：数据记录可篡改；装备不可溯源，责任难以追溯；数据中心容灾备份能力弱；数据传输不加密；装备交接责任划分不清等方面。

区块链使用哈希函数、数字签名等密码学算法以及分布式共识机制，具有去中心化、集体维护、安全可信等特点[4-5]，在装备全生命周期管控中具有极大的应用潜力[6]。因此，本文设计了基于联盟区块链的装备管控框架，为破解上述问题带来了可行方案。

1 用例说明

装备管控框架(Equipment Management Framework,EMF)依据部队装备全生命周期将用户分为八类人员，分别是质检员、发货员、输送员、仓库管理员、装备管理员、用装官兵、监管部门人员和军级单位服务器维护员。系统用例分为四类：装备生产用例、权属交接用例、故障上报用例和系统运维用例。其中，各类人员和用例的关系如图1所示。

图1 系统框架用例

在装备全生命周期管理中，各类人员的需求可以归为对安全的需求，即通过区块链的共识机制和加密算法，达到对装备性能状态的掌控、使用人员身份的确认、装备交接过程的记录等；此外，监管人员还可以通过对数据的分析获取对装备性能、部队训练等方面的评估。

本文系统与无区块链系统相比，可以防止数据记录篡改，确保装备溯源和责任监管；强化安全机制，实现容灾备份等。

2 总体框架设计

EMF分为五层结构，分别为感知层、数据层、网络层、共识层和应用层。其中，基于联盟区块链部分去中心化的特点引入PKI体系，将包含大量安全信息的CA和KMC部署在安全可靠的环境下。分层架构如图2所示。

图2 分层架构

2.1 感知层

使用低功耗、带国密SM7算法的高频无源电子芯片，避免芯片复制和批量造假。采用易碎RFID标签，有效防止转移造假。由官兵携带存储有密钥的RFID芯片，可敌我识别、快速取装用装等，设计小巧、使用方便、安全可靠，具备防水、防撞击、抗污染、耐久性强等性能特点。调整时机，向CA申请数字证书，将密钥写入RFID芯片。

RFID读取可以采用RFID手持机和通道机配合使用的方式进行。仓库管理员和装备管理员对库房内现存装备进行检查时，由于其有效距离远，可批量读取的特点，能够极大提升检库效率。在仓库墙壁内和输送车辆内采用电磁屏蔽装置等，防止装备RFID在不知情的情况下被扫描。官兵取装用装和出入库必须经过RFID通道机，使用获取的密钥对记录进行数字签名，无须官兵额外操作，便于提高速度和效率。

2.2 数据层

区块体中包含数字签名、记录个数，以及各工厂生产、权属交接和故障上报记录，如图3所示。工厂生产记录包含时间戳、类型码1、装备代码+序列号、工厂公钥和数字签名；权属交接记录包含时间戳、类型码2、装备代码+序列号、交接人(甲方)公钥、接收人(乙方)公钥和双重签名；故障上报记录包含时间戳、类型码3、装备代码+序列号、故障说明、故障上报人(装备损坏人)公钥、管理员公钥和双重签名。

图3 区块及记录结构

区块体中的数字签名由区块写入节点签署；工厂生产记录由工厂负责人签署；权属交接记录由交接双方共同签署；故障上报记录由上报人或装备损坏人和管理员双方共同签署。在EMF中，Merkle树的各叶节点为各记录哈希值，便于恶意篡改时的快速定位。

EMF的工厂生产记录中“装备代码+序列号”由质检员公钥加密；权属交接记录中“装备代码+序列号”由交接双方中拥有服务器的一方通过其公钥加密；故障上报记录中“装备代码+序列号”由装备管理员公钥加密，故障说明由原工厂公钥加密。

人员变动时，单位所在人事部门上报人员信息情况，并由监管部门将其证书吊销，写入CRL中。

由于联盟区块链本身带有一定的中心化，因此CA可以部署在总部，KMC可以部署在信息通信局，便于实施监管，同时确保信息的安全性。公钥基础设施如图4所示。

图4 公钥基础设施PKI

2.3 网络层

EMF联盟链节点分为全节点和轻节点。全节点包括主节点和备份节点。轻节点部署在工厂服务器、仓库服务器和部队服务器上，主要作用是为各类相关人员发布记录提供了入口，能够符合广大基层单位的实际情况，减少涉密信息的暴露面。全节点中，主节点和若干备份节点通过PBFT算法可以最大容忍1/3的出错和恶意节点。网络节点部署如图5所示。

图5 网络节点部署

2.4 共识层

由于EMF中各个单位或个体都具备一定的信用基础，因此使用联盟链机制可以免除PoW机制的大算力门槛[7]，使用PBFT算法以达到可操作范围下理想的容错率[8]。PBFT算法流程如图6所示。

图6 PBFT算法流程

1) 客户端向主节点发送请求，主节点校验正确后向各备份节点广播预准备消息。各备份节点校验并决定是否接受。

2) 备份节点接收预准备消息后，向其他所有全节点广播准备消息，并进入准备阶段。各节点收取来自其他节点的准备消息，并在prepared为true时结束准备阶段。

3) 备份节点结束准备阶段后，由此生成确认消息向客户端和其他全节点广播。各节点收取来自其他节点的确认消息，并在接收到(2n+1)/3个commit消息并校验正确(committed为true)时结束确认阶段。

4) 各节点验证客户端记录的合法性，而后本地维护。每间隔时间t，通过B=L%(N-1)判断当前区块是否由自己来生成，将该段时间内记录封装并在网络中广播，完成记录的入链。其中：B为当前需要生成新区块的节点；L为当前区块链的长度；%为取余运算。

5) 各节点完成记录的验证后单独发送恢复信息至客户端。客户端接收到(n+2)/3个正确的回复消息后，便认为该记录已被验证并将在时间内存入区块链。

2.5 应用层

EMF客户端部署在各服务器之上，通过账号进行身份认证和登录。不同职能权限的人员类别分为监管部门人员，军级单位服务器维护员、质检员、发货员、输送员、仓库管理员、装备管理员、用装官兵等。

所有人员的账号和密钥都需要进行申请、上报、审核、下发。其中，输送员和用装官兵的账号和密钥信息存储于NFC或RFID中，以卡片等形式进行使用；其余人员需使用服务器登录系统。

2.5.1装备生产过程

工厂质检员负责装备生产后的质量检验，确保生产交付的装备没有存在质量问题。装备生产时，使用质检员的ID登录验证系统。在生产装备时，将RFID嵌入装备内，或者将易碎RFID贴于装备表面。将工厂公钥、装备代码、生产流水号写入RFID内。而后，生成一条装备生产记录，并发送至主节点，主节点广播至各备份节点。

各节点首先查看记录类型并判断该记录为装备生产记录，而后在本地维护的数字证书库中查看该记录的生成ID是否对应工厂质检员身份，并在CRL中查询是否过期。而后核实数字签名和记录ID(Hash)是否正确。验证合法后，各节点将该记录在本地维护，同时返回验证通过信息，等待封装入区块，完成记录的入链。

2.5.2权属交接过程

在进行权属交接时，首先由交接双方拥有服务器的一方登录管理系统客户端。而后装备接收方对装备的完好性等进行核查，验证装备完好后，扫描RFID信息，交接双方共同对该记录进行数字签名，生成一条权属交接记录。服务器将记录发送至主节点，而后主节点将该条记录广播至各备份节点。等待各节点确认记录合法，返回确认信息。

管理客户端识别装备输送和装备使用等情景后，对该装备的送达或归还入库记录进行监听，超过某一阈值(如7天)则触发装备丢失警示信息。

2.5.3故障上报过程

在进行故障上报时，首先由部队装备管理员进行登录。而后部队装备管理员对装备的故障情况进行检查，结合故障上报人的描述现场拍照留证，将装备故障情况和照片录入系统。扫描RFID信息，确定该装备的生产工厂的ID和装备型号、流水号等信息，使用工厂公钥(ID)对故障信息进行加密。故障上报人和部队装备管理员双方共同对该记录进行数字签名，生成一条故障上报记录。服务器将记录发送至主节点，而后主节点将该条记录广播至各备份节点。等待各节点确认记录合法，返回确认信息。对于故障无法在部队维修的，由管理员根据工厂ID查询确定原厂的寄送地址和联系方式等，进行返厂维修。

2.5.4系统运行维护

监管部门人员可以登录系统，使用KMC中密钥对区块链中数据进行解密、关联、查找等操作，但不具备增加、删除、修改等操作权限。

军级单位服务器属于备份节点，在本地维护了全部数字证书和全部区块链的信息。维护员可以登录系统，对服务器的运行状态进行查看，确保服务器正常稳定运行，网络畅通、磁盘充足，但不能对数据进行增删改查等操作，也不可以使用密钥对区块链内加密内容进行解密。应用流程如图7所示。

图7 应用流程

3 监管控制

军队装备需要集中化的管理，相关职能部门需要对所有装备的记录深度挖掘，获得具有军事价值的信息。设置在信息通信局的KMC拥有所有人员的密钥信息；设置在总部的CA拥有人员的具体身份信息以及数字证书，通过信息通信局和总部的保密线路进行数据的共享，即可对区块链内所有加密信息进行解密，形成一个全部队全装备全生命周期的管控数据库。

3.1 故障监管

装备故障情况包括：某型装备的故障率及多发故障；不同工厂生产同一装备故障率情况；不同部队同一装备故障率情况；某一装备服役时间及历史故障状况等。

通过检索装备代码，可以得到某型装备有关的所有记录，在检索结果中二次检索类型3记录，即可获取某型装备的故障情况，进而分析出该型装备故障率及多发故障，便于对装备进行改进。同样的方法可以用于得出不同工厂生产同一装备故障率情况，便于装备管理部门对工厂进行监管。不同部队同一装备故障率情况可以用于分析不同部队使用装备情况，结合不同部队的任务类型和任务地域便于分析该装备在不同任务条件下的性能，为装备的调度和改进提供依据。某一装备服役时间及历史故障状况可以用于判定该装备是否符合退出现役标准，为及时更新装备提供参考。

3.2 动装情况监管

动装情况包括：某部队的动装频率和次数；某装备输送单位的输送效率；某职级的官兵动装频率和次数；某装备的动用次数等。

某部队的动装频率和次数可以反映出该部队的实训情况，动装越频繁，则该部队实战化练兵越频繁。通过调取CA中该单位的所有人员的权属交接记录即可获知。某装备输送单位输送效率可以通过调取该单位输送员的记录获知，每次输送的装备类型、数量、距离、时间等信息均可作为评判依据，达到对装备输送的监管。某职级的官兵动装频率和次数能够从一个侧面体现出部队的训练情况，为衡量部队管理提供参考。某型装备的动用次数可以体现出该装备在该部队的实用性程度，可作为评判装备性能好坏的参考；某装备的动用次数可以体现该装备的折旧情况，可作为装备更替的指标。

3.3 生产库存监管

装备生产和库存情况包括：某工厂装备生产情况；某仓库装备库存情况；某型装备库存量及分布；某部队装备持有情况；某装备的在位情况等。

某工厂装备生产情况包括装备生产速度和装备积压数量，通过调取工厂质检员和发货员相关记录即可获知，可作为调控工厂生产计划的指标。某仓库装备库存情况和某型装备库存量及分布可通过仓库管理员相关权属交接记录等获知，可作为装备物资调度、生产等的依据。某部队装备持有情况和装备在位情况可以通过调取其所属装备管理员的相关记录获知，对于装备调度等决策和实力分析具有参考作用。

4 安全机制

4.1 双花攻击和重放攻击

双重消费攻击(Double Spend Attack)，由中本聪[9]提出，在本框架中指攻击者在进行某项装备操作完毕后，将装备的记录上传至主节点后，在尚未通过区块链的验证情况下，立马发布另一条与之矛盾的记录，并设法使得该条记录所在链成为最长合法链的操作，以此达到其非法目的。

在装备管控框架中，由于采用联盟区块链，且每次区块的写入都是根据B=L%(N-1)规则，由各个备份节点有序进行，并不存在竞争“记账权”的行为；而且记录中存有时间戳，发布时先发送至主节点，而后由主节点将记录广播至各备份节点，期间的通信不存在较大的延迟，各个节点通过时间戳判断恶意人员前后发布的两条记录，并将第二条认定为非法记录，不予记入区块链。除非恶意人员同时对1/3以上的备份节点的服务器或者通信进行攻击，双花攻击是不能被实施的。

在区块链技术中，重放攻击(Replay Attack)是指“一条链上的交易在另一条链上也往往是合法的”，所以重放攻击通常出现在区块链硬分叉的时候。由于一方面不能实施分叉，另一方面在不分叉的链上进行重放攻击时，由于记录中加入了时间戳和装备流水号，同时大部分节点的网络保持畅通，因此认为框架对于重放攻击也是免疫的。

4.2 女巫攻击

女巫攻击(Sybil Attack)中，少数节点通过伪造或盗用身份伪装成大量节点[10]，公有链由于采用如PoW等不依赖于节点数量的共识机制，因此不存在女巫攻击的风险；而联盟链中应对女巫风险的办法，是要重点保护身份认证服务本身，确保“女巫的分身”不会被好节点认为是区块链中正常的节点，确保身份认证服务能够将现实世界中的实体与区块链中的节点对应起来。

4.3 DDoS攻击

DDoS(Distributed Denial of Service)攻击，是通过让系统拒绝服务或者因信息过载而崩溃。由于框架中主节点服务器具有很强的中心化特征，因此对于DDoS攻击的防范尤为重要。

(1) 网络封闭，军用网络与公网物理隔绝，攻击者无法在公网上访问主节点服务器，从而无法使用公网电脑对主节点服务器发起DDoS攻击；(2) 节点备份，总部的主节点服务器和信息通信局的服务器设加密线路；(3) 过滤请求，对于恶意IP发送的请求进行拦截过滤，达到防范DDoS攻击的目的。

4.4 对内防范和容灾备份

(1) 权属交接过程中交接双方谎报、瞒报。如输送员领取了件某型装备，交付仓库时扣留1件，仓库实收件。此时交接情况将被如实记录至区块链。监管部门服务器将区块链数据解密后维护在本地的安全数据库中，由于前一条权属交接的记录甲乙双方分别为发货员和输送员，因此系统认定装备即将进行输送，而输送行为在系统中有一阈值，超过阈值则发出警告。

(2) 对装备故障情况的瞒报和谎报。装备管理员在进行接收前将对装备进行检查，从而避免了故障情况的瞒报。要求在故障上报过程填报中附带照片，同时对装备管理员实行追责，以此增加其说谎成本。

区块链的分布式机制能为数据的容灾备份创造有利条件，避免KML、人员信息等数据丢失。

5 结 语

本文从部队装备全生命周期管控需求出发，结合RFID和联盟区块链技术，提出一种五层安全装备管控框架。能够对装备生产情况、装备流动情况、装备故障情况和库存情况进行有效管控。防范双花攻击、重放攻击、DDoS攻击和内部违规等，确保数据安全。与无区块链RFID系统相比，提出的装备管控框架具有总体优势(见表1)。

表1 EMF与无区块链RFID系统对比