基于工业互联网的数据安全传输方法设计

刘心怡

（柳州市地理信息中心，广西 柳州 545000）

0 引言

现代化工业领域内互联网的表现形式主要包括三种，分别为安全体系、平台体系与网络系统，在进行工业互联网的调度与使用中，由于传统开发技术受限，导致网络层级结构较为简单。

尽管现有的TCP/IP部署已相对完善，但考虑到工业互联网是一种结构部署十分复杂的网络，其中不仅涉及超过1 000种缺失安全通信机制的工业控制程序，也包括通信现场总线与工业协调等内容[1]。同时，不同终端企业的数据通信接口与网络接口存在差异，且多个终端通信网络具有封闭式特点，这些特点都会对网络数据安全协议的深度分析造成影响。

下面提出三个针对工业互联网的安全问题。一是现有的网络通信协议较多，但大部分通信协议缺乏安全机制支撑，协议之间的融通较为困难。二是现有的工业互联网种类较多，但网络传输信道缺少专项保护机制，导致安全传输工作无法完全落实[2]。三是工业互联网在运行中仍缺少对于终端接入用户的身份验证体系，用户之间的身份无法被有效识别，极易为一些网络不法分子提供可乘之机。为了全面落实并推进此项工作，本文以工业互联网在运行中的现存问题作为切入点，设计了一种针对网络数据的安全传输方法，以此种方式，为面向此类互联网的终端企业单位提供技术层面的指导与帮助。

1 基于工业互联网的数据安全传输方法设计

1.1 基于工业互联网的前端数据加密

为了实现对工业互联网中数据的安全传输，需要在开展相关设计前，对工业互联网内前端数据流进行重组。在此过程中，根据TCP对端连接信息的该结构，获取传输两端的信息所属IP地址信息，通过对该信息在节点中逻辑状态的描述，提取回调函数中的链表信息、客户端数据状态信息、服务端数据状态信息[3]。在此基础上，使用HASH函数，对相同节点上不同的位置进行获取，根据HASH中的索引值，对数据流对端进行TCP连接，根据数据缓存与TCP通信会话的需求，进行数据的重新拼接，通过此种方式，实现对工业互联网前端数据流的重组。

在重组数据流的基础上，设定加密系数，通过分组加密的方式处理数据。在此过程中，将加密系数设定为DFS，明确此系数在网络节点中大多以分块存在的方式呈现[4]。为了确保加密后的网络信息可以均匀分布在网络节点中，将加密系数与每一个数据流明文分组进行匹配，以“明文→加密→密文”的方式呈现，其过程描述如图1所示。

图1 基于工业互联网的前端数据加密

将上述过程与定制密码加密模块进行匹配，使用专用的数据接口与明文分组数据进行匹配，确保数据接口与工控端保持通信连接后，对明文进行加密处理。以此种方式，实现基于工业互联网的前端数据加密处理。

1.2 数据安全传输

完成上述设计后，对加密处理的工业互联网数据进行安全传输，数据安全传输前，需要进行数据安全性与完整性的校验。在此过程中，以MD5技术与PoR技术作为支撑，对提出的两种技术进行融合，当工业互联网节点中任意一个云端数据发生改变时，对应的MD5数值也将发生改变[5]。因此，只需要在检验中进行MD5数值的变化即可实现对数据流是否完整的精准分析，检验时，选取一部分工业互联网节点，获取节点中的数据，将数据划分成若干个数据块，对数据块进行元数据的分析，并将识别到的有效元数据存储到第三方空间，由供应商与第三方进行数据可靠性检验[6]。检验流程如图2所示。

图2 数据流完整性标准化校验流程

完成了上述对数据流的完整性校验后，在重组的数据组中增加数据安全协议，此次选择的通信协议为SSL协议，将此协议作为参照，实现对通信数据的安全代理保障。在此过程中，应明确此次选择的SSL协议，在工业互联网中是一个在TCP基础上衍生的全新协议。通过对此协议的端点认证，实现对数据在传输过程中的流通信道的加密处理。在基于此种协议进行数据安全传输代理时，需要先在客户端配置SSL协议，确保客户端与Web端通信服务器保持良好的通信连接，然后在工业互联网公开信道上进行密文协议的传递，并在网络中的私有信道上，进行代理服务的加密处理。当外网区域存在通信任务请求时，代理服务器将启动代理模块，通过协议认证的安全数据将主动被存储到服务器中，反之，呈现公开状态的隐患数据将需要进行证书的授权，当多方条件均达到后，即可实现对数据在工业互联网中的安全传输。

1.3 后端数据落盘加密

在解密前端加密数据的基础上，设定新的加密系数，在引入落盘加密技术的基础上，对后端数据进行加密，以此种方式，确保对端数据在通信中的安全性。具体而言，后端数据落盘加密的基本流程如下：

首先，后端用户需要在工业互联网上完成对账号的注册，并在通过验证后，获取到用于解密的公钥PB。利用这一公钥PB完成对明文DA的落盘加密，并以此得到密文MA。

然后，使用SHA556散列加密的方式将标识符从CA转变为HC，并利用HC作为AES的密钥，完成对CA和MA的加密，以此获取到后端用户的加密文件。将HC和MB进行打包处理，并结合URL安全编码，将处理后的数据包传输到工业互联网的后台。

当工业互联网后台接收到数据包后，以HC作为密钥完成对CA和MA的识别，并判断其散列结果是否与HC相符。若数值相同，则说明公钥一致，可打开密文，获取数据信息；若数值不相同，则说明公钥不一致，无法打开密文获取数据信息，以此实现对后端数据的加密，确保后端数据信息的安全性。

2 对比实验

本文在引入工业互联网技术的基础上，提出了一种全新的数据传输方法。为了能够更加直观地对本文介绍的数据传输方法的应用效果进行分析，选择本文介绍基于工业互联网的传输方法和传统的Hadoop平台的传输方法分别作为实验组和对照组。

为了确保实验的客观性，两种传输方法均采用相同的传输协议，并通过RS-485发送装置对其进行差动传输。在这一过程中，将双绞线的驱动长度设置为220.0 m。接收端采用FPG完成对发送端发出实验测试数据的接收。实验持续时间为1.0 h，在传输过程中，将两种传输过程中产生的相关数据上传到监测计算机，并设置读取实验数据的间隔时间为5.0 s。针对两种传输方法的有效传输速率进行计算，其公式为

式中，v表示有效传输速率；m表示成功被接收端接收到的有效数据信息；s表示传输总耗时。由此计算得出两种传输方法的有效传输速率，并将得出的实验结果绘制成图3。

图3 实验组与对照组传输方法有效传输速率记录图

从图3中可以看出，随着传输时间的不断增加，应用实验组传输方法的接收端接收到的数据量逐渐增加，而应用对照组传输方法的接收端接收到的数据量逐渐减少。从有效传输速率也能够看出，在相同的传输时间内，实验组的有效传输速率数值更高，而对照组的有效传输速率数值较低。因此，通过上述实验结果的初步证明，本文提出的基于工业互联网的传输方法在实际应用中具有更高的有效传输速率。

为了能够实现对两种传输方法安全性能的检验，再针对两种传输方法在应用过程中接收端和发送端数据的安全系数进行对比，数据安全系数的计算公式为

式中，γ表示接收端或发送端数据的安全系数；T表示数据中隐私信息总量；T'表示传输过程中没有实现脱敏的隐私信息总量；M表示数据总量。结合式（2）对实验组和对照组两种传输方法发送端和接收端数据安全系数计算，并得到表1的结果。

从表1中的数据可以看出，应用实验组的传输方法无论是接收端还是发送端其安全系数均明显高于对照组，实验组最高安全系数为98.2%，而对照组最高安全系数仅为60.1%这一实验数据具有十分重要的现实意义，安全系数越高说明数据的安全性越强。因此，上述实验结果表明，本文提出的基于工业互联网的传输方法在实际应用中能够在确保数据安全的前提条件下，实现对数据的快速传输，充分体现传输的安全性和时效性。

表1 实验组与对照组数据安全系数记录表

3 结束语

本文从前端数据加密、数据安全传输、后端数据落盘加密三个方面，对基于工业互联网的数据安全传输方法展开了研究与设计，并将此方法与传统方法进行比对，证明了本文设计的传输方法能够保证数据传输过程中的安全性，达到预期安全目标。总之，工业互联网数据的安全性，是保证基于工业互联网企业全面转型的前提条件，也是实现企业在市场内稳定运行发展与安全生产经营的关键。尽管此次研究证明了设计的方法具有一定实用性，但要在真正意义上将设计的方法在市场内进行推广，还需要在后续的设计中，对本文设计成果进行多次实验，通过大量实验找出设计成果的不足，以此种方式，实现对安全传输方法的全面优化。