工業互聯網概述

工業互聯網是利用資訊化手段將工業全產業線進行有機的整合，是實作傳統工業走向智能化的基礎，作為先進資訊技術和傳統制造業彼此交融新的應用方式，使互聯網模式由科技金融領域走向物體經濟領域，帶動了傳統制造業思維方式和運行模式的升級改造，注入新的經濟動力和活力，
工業互聯網的本質是將多種技術進行融合，通過機器學習、大資料分析、傳感器資料、端到端通信和自動化技術，把工業生產、運輸、售賣資訊進行互聯互通，通過資料建模分析的結果，對全流程的弊端和劣勢進行及時的改進和優化，提高行業的質量、安全性和效率，傳統工業互聯網架構如圖所示：

IaaS、PaaS、SaaS，這是云計算的三種主要型別，隨著越來越多的企業遷移到云中，它們都在普及，SaaS約占所有企業作業負載的24％（2016年為14％）；IaaS徘徊在12％左右（高于6％）；PaaS是目前最受歡迎的模型，徘徊在32％左右，并有望在2020年實作增長，

SaaS，PaaS，IaaS之間的主要區別：

不久之前，公司的所有IT系統都是本地部署，而云也只是天空中蓬松的白色物體，現在，幾乎所有系統和行程都可以使用云平臺，SaaS，PaaS和IaaS只是描述如何在企業中使用云的三種方式，

IaaS（基礎架構即服務）：基于云的服務，按需付費，用于存盤，網路和虛擬化等服務，

PaaS（平臺即服務）： Internet上可用的硬體和軟體工具，

SaaS（軟體即服務）： 可通過互聯網通過第三方獲得的軟體，

本地：與您的企業安裝在同一建筑物中的軟體，

在托管定制應用程式時，IaaS可以為您提供最大程度的靈活性，并為資料存盤提供通用資料中心，

PaaS通常建立在IaaS平臺之上，以減少系統管理的需求，它使您可以專注于應用程式開發，而不是基礎架構管理，

SaaS提供滿足特定業務需求的即用型解決方案，大多數現代SaaS平臺都建立在IaaS或PaaS平臺上，

您可能選擇從一種云計算服務模型開始，或者找到對這三種模型的需求：這取決于業務的規模和復雜性，

平臺設計原則：

1、合適性，業務需求是平臺設計的源頭，這是設計一個平臺的開始，評價
一個平臺好壞的第一標準就是“合適性”，工業互聯網的資料安全是制約其發展
的主要原因之一，而區塊鏈技術獨特是資料結構和存盤方式，可以保證資料資訊
的安全，可以完美契合解決當前工業互聯網的痛點，
2、可擴展性，隨著工業互聯網需求的不斷變化和資料量的急劇增加，本平
臺可以通過模塊化的機制快速的在原有基礎上進行增加新的業務，滿足不斷變化
的業務需求，
3、可靠性，本平臺的可靠性包括兩個方面，一是能夠有效的保障平臺資料
安全可靠，而是可以保障平臺長期安全、穩定運行，
4、平臺性，本平臺空間資料和屬性資料能夠有機的結合和互動，各個模塊
之間的資料資訊能夠進行相互傳輸，實作順暢的互動，
5、易操作性，本平臺采用可視化的頁面設計，流程式的結構化設計，用戶
經過簡單的業務培訓后能夠快速上崗，節約企業培訓成本，節約時間，提高人員
使用效率，
6、隱私性，本平臺采用基于角色的資料訪問和管理方式，對于非隱私資料，
可以實作資料的共享，提高各部門之間協作密切度，對于隱私資料，通過非對稱
性加密方式，把資料加密上鏈，只有擁有私鑰者才能訪問和查看資料， -

在傳統工業互聯網的平臺的體系架構中加入了區塊鏈網路，并使用區塊鏈技術對終端設備、資料資源以及準入規則進行管理，主要的改動體現在在 IaaS 層中添加了區塊鏈平臺，通過區塊鏈網路連接邊緣層和平臺層，對邊緣層終端設備的管理主要通過鏈碼來控制，鏈碼運行在區塊鏈網路中，終端設備可以實時去鏈碼中獲取更新的配置資訊，在平臺層對資料管理主要通過非對稱加密技術，把資料進行打包加密后存盤在分布式資料庫中，以保障資料資源的安全，具體的操作流程如圖所示，

用戶使用自己的數字證書通過客戶端進行身份認證后來進入區塊鏈網路，用戶可以根據自己的操作權限做以下幾個操作：（1）用戶可以訪問自己權限范圍內的資訊資料，**在區塊鏈上的資料有些是隱私加密資料，只有擁有特定密鑰的用戶才能查看這一部分資料資訊，另一部分是公開資料集，區塊鏈上的所有用戶都可以對資料進行查看和審計，（2）用戶可以對自己權限內的設備進行特定的操作，比如查看或者更新設備的組態檔，當然，用戶這些操作的記錄都將被寫入區塊鏈中，如果設備出現例外可以快速的修復和責任的認定，
終端設備產生的資料通過設備自身唯一的 Mac 地址經過加密運算后形成唯一的一對公私鑰，這樣具備敏感資料的資訊就可以通過自身的公鑰對資料進行加密后，上傳到區塊鏈網路中，然后只有擁有設備私鑰的操作人員才能對終端資料解密，查看隱私資料，**一旦資料上鏈后，資料不但可以追溯，還是不可篡改的，這樣不僅可以增加企業的公信力，還保障了資料的完整性和可信性，

權限管理：

所有使用該平臺的用戶，例如管理員用戶，定義訪問控制策略和其他經過身份驗證的用戶需要訪問特定資源的用戶已被定義為模型檔案的參與者，參與者有唯一身份標志 ID 及其屬性，不同的身份的用戶擁有的屬性和操作權限也不盡相同，普通用戶扮演資訊訪問的請求者，通過組織管理者分配權限獲取資料資訊，

組織管理員相比普通用戶而言，擁有管理普通用戶、用戶證書安全認證、通道管理等權限，組織管理員保證了整個平臺的安全運行，

基于 ACP 策略的角色訪問控制機制是通過鏈碼來實作的，在Hyperledger 中鏈碼作用可以視其為智能合約.鏈碼的主要任務是定義每個事務的邏輯和需要滿足的條件，這些邏輯和規則一旦被寫入鏈碼中將自動執行不再改變，除非用新的鏈碼來代替舊的鏈碼上的規則，提交相應的事務時，將自動呼叫相應的事務處理器功能，

上圖是基于 ACP 的訪問權限控制流程，首先用戶提交訪問權限事務，平臺根據 ACP 訪問權限策略首先檢查用戶的權限，如果用戶提交的事務沒有權限訪問，平臺將發送錯誤資訊并回傳，如果用戶通過了 ACP 機制，那么平臺將從區塊鏈上呼叫鏈碼事先寫好的授權規則進行再次判斷，如果通過授權規則的判斷，將呼叫授權 API 進行授權，否則將發送錯誤資訊并回傳，在權限訪問流程中需要通過兩次權限審核，那是因為如果每次權限檢查都直接呼叫區塊鏈上的鏈碼進行判斷的話，效率是十分低下了，如果先通過 ACP 策略過濾到一些沒有權限的事務訪問，將會大大的提高平臺的效率，保證平臺的順暢運行，

網路管理協議：

syslog是一種標準的協議，分為客戶端和服務器端，客戶端是產生日志訊息的一方，而服務器端負責接收客戶端發送來的日志訊息，并做出保存到特定的日志檔案中或者其他方式的處理，

在工業互聯網平臺中，有很多種網路設備管理的方式，大部分的工業互聯網平臺都是通過命令列界面(CLI)進行直接管理的，但這種方式也是最需要人工勞動的，因此不具備經濟效益和不能有效地擴展設備，規模和復雜性不斷增加的管理網路需要更平臺化和自動化的解決方案，SNMPv3 協議增加遠端設備配置規則，然而 SNMP 協議仍然主要用于監視，因為該協議對修改設備屬性的支持非常有限，需要依賴生產商的技術支持才能實作，另一方面NETCONF 專注于通過使用基于可擴展標記語言(XML)的設備行為模型的開放應用程式編程介面(API)進行設備配置，

終端設備組態檔更改的程序的具體時序如下：

1. 管理員 Ax(a1,an) 從區塊鏈網路中獲取特定設備 Dy(d1,dn) 或設備組Gz(g1,gn)的舊組態檔,通過自身的私鑰 Sx 對新的組態檔進行解密，
2. 管理員 Ax 對舊的組態檔進行修改，
3. 對修改后的組態檔進行語意驗證，使修改后的組態檔符合語法規則，
4. 經過語意驗證的組態檔被加密后寫入新的區塊中，經過排序節點排序后區塊被添加到區塊鏈中，
5. 管理員收到組態檔成功分發到區塊鏈網路中的通知，
6. 設備 Dy 去區塊鏈網路中查詢組態檔資訊，如果被選中下載該組態檔，并用自身私鑰解密組態檔進行加載，
7. 設備 Dy 加載應用后將新區塊資訊包括新的組態檔是否已應用成功、組態檔的散列值以及下載和應用的時間戳打包寫入區塊中，以供安全審計，