趙丹丹 闞哲 高一飛 韓建民 彭浩

摘? ?要：信息物理融合系統(tǒng)（Cyber-Physics Fusion System，CPS）架構(gòu)逐漸成為工業(yè)互聯(lián)網(wǎng)建構(gòu)的重要途徑，對未來的智聯(lián)網(wǎng)建設(shè)也具有重要的研究價值。由于在區(qū)塊鏈環(huán)境下，CPS呈現(xiàn)高度分布式、異構(gòu)耦合等特點(diǎn)，如何對耦合CPS面臨的級聯(lián)失效等風(fēng)險進(jìn)行有效地評估變得至關(guān)重要。文章首先對耦合CPS進(jìn)行了建模，并給出了該系統(tǒng)模式下級聯(lián)失效過程的理論分析;在此基礎(chǔ)上，基于仿真實(shí)驗(yàn)對比分析，給出影響耦合CPS風(fēng)險的主要因素及分析;最后，文章探討了區(qū)塊鏈環(huán)境下CPS的風(fēng)險挑戰(zhàn)和下一步研究工作的延伸方向。

關(guān)鍵詞：信息物理融合系統(tǒng);級聯(lián)失效過程;風(fēng)險評估;區(qū)塊鏈

Abstract： The CPS system architecture has gradually become an essential way for the construction of the Industrial Internet and has important research value for future intelligent networking construction. Due to the highly distributed and heterogeneous coupling characteristics of the CPS system under the blockchain en-vironment， how to effectively evaluate the risks such as cascading failures of coupled CPS becomes critical. This paper first models the coupled CPS system and gives a theoretical analysis of the cascading failure process under this system mode. Based on this， based on the comparative analysis of simulation experiments， the primary factors and analysis of the risks affecting the coupled CPS system are given; finally， this article explores the risks and challenges of the CPS system in the blockchain environment and the direction of future research work.

Key words： cyber-physics fusion system; cascading failures process; risk assessment; blockchain

1 引言

信息物理融合系統(tǒng)（Cyber-Physical Fusion Systems，CPS）[1，2]是工業(yè)互聯(lián)網(wǎng)的核心架構(gòu)，它是一個綜合計(jì)算、網(wǎng)絡(luò)和物理環(huán)境的多維復(fù)雜系統(tǒng)，實(shí)現(xiàn)了大型工程系統(tǒng)的實(shí)時感知、動態(tài)控制和信息服務(wù)。隨著CPS的廣泛普及與縱深發(fā)展，基于區(qū)塊鏈技術(shù)的CPS[3，4]，越來越多的應(yīng)用到工業(yè)互聯(lián)網(wǎng)應(yīng)用中。與傳統(tǒng)的計(jì)算模式不同，基于區(qū)塊鏈技術(shù)的CPS具有一定的安全屬性和安全保障[5]。在區(qū)塊鏈環(huán)境下，CPS各個子系統(tǒng)之間要通過有線或無線的通信方式相互協(xié)調(diào)工作[7]，但是由于區(qū)塊鏈環(huán)境下CPS具有異構(gòu)融合、高分布式等新特點(diǎn)[6，7]，因而具有潛在的級聯(lián)失效風(fēng)險[8，9]?，F(xiàn)有的CPS風(fēng)險分析，主要圍繞單個CPS的可靠性問題[10～12]進(jìn)行研究，缺乏面向區(qū)塊鏈環(huán)境的異構(gòu)耦合CPS的安全性分析。本文通過對現(xiàn)有的區(qū)塊鏈環(huán)境下的耦合CPS進(jìn)行建模分析，探討了區(qū)塊鏈環(huán)境下CPS的級聯(lián)失效機(jī)理，并基于仿真實(shí)驗(yàn)分析了CPS失效風(fēng)險的主要影響因素。

2 系統(tǒng)建模與分析

本節(jié)首先對CPS進(jìn)行建模，通過對組成CPS的多個子網(wǎng)絡(luò)間的關(guān)聯(lián)分析，將CPS抽象成兩個子網(wǎng)絡(luò)組成的耦合系統(tǒng);然后，對耦合系統(tǒng)中節(jié)點(diǎn)連接的特性進(jìn)行分析，將連接節(jié)點(diǎn)的邊分成兩種，即網(wǎng)絡(luò)內(nèi)的連接和網(wǎng)絡(luò)間的連接（簡稱網(wǎng)內(nèi)連接和網(wǎng)間連接）;最后，對攻擊的模式進(jìn)行建模。

2.1? 網(wǎng)絡(luò)模型

通過分析區(qū)塊鏈環(huán)境下CPS的特性，該系統(tǒng)由通信子網(wǎng)絡(luò)和物理子網(wǎng)絡(luò)兩部分組成，且通信子網(wǎng)絡(luò)的節(jié)點(diǎn)規(guī)模比物理子網(wǎng)絡(luò)中節(jié)點(diǎn)的規(guī)模大得多。不失一般性，本文網(wǎng)絡(luò)模型是由兩個節(jié)點(diǎn)規(guī)模不同的子網(wǎng)絡(luò)組成，為定性對CPS進(jìn)行研究與分析，本文假設(shè)兩個子網(wǎng)絡(luò)節(jié)點(diǎn)的連接均為等比連接。

2.2 基本概念

當(dāng)通信子網(wǎng)絡(luò)遭受攻擊后，需滿足兩個條件，系統(tǒng)中的節(jié)點(diǎn)才能具備正常通信功能[9]：

（1）一個子網(wǎng)絡(luò)中的節(jié)點(diǎn)，至少與對應(yīng)的另外一個子網(wǎng)絡(luò)中相依賴的節(jié)點(diǎn)保持有效連接;

（2）任一子網(wǎng)絡(luò)中的節(jié)點(diǎn)，必須保持在網(wǎng)絡(luò)內(nèi)部的最大連通組件中。

可以看出，在耦合網(wǎng)絡(luò)滲流理論框架中，級聯(lián)故障是一個很重要的網(wǎng)絡(luò)特性：當(dāng)耦合網(wǎng)絡(luò)中，任意一個子網(wǎng)絡(luò)中節(jié)點(diǎn)遭受攻擊失效后，由于兩個子網(wǎng)絡(luò)間的相互耦合關(guān)聯(lián)，一個子網(wǎng)絡(luò)中節(jié)點(diǎn)的故障會傳遞到另一個子網(wǎng)絡(luò)中相應(yīng)節(jié)點(diǎn)從而會發(fā)生級聯(lián)故障。當(dāng)兩個子網(wǎng)絡(luò)中都沒有節(jié)點(diǎn)失效或者兩個網(wǎng)絡(luò)完全崩潰，網(wǎng)絡(luò)就達(dá)到了穩(wěn)態(tài)，這種迭代失效過程，研究人員稱之為級聯(lián)故障。

3 理論分析

不失一般性，這里基于網(wǎng)絡(luò)的生成函數(shù)和網(wǎng)絡(luò)滲流理論[6，7]，對級聯(lián)故障的迭代過程，進(jìn)行理論分析?；谏珊瘮?shù)理論，網(wǎng)絡(luò)A的生成函數(shù)可以表示為：

當(dāng)隨機(jī)攻擊（1-p）比例A網(wǎng)絡(luò)中節(jié)點(diǎn)后，剩余節(jié)點(diǎn)度分布對應(yīng)的生成函數(shù)也會發(fā)生相應(yīng)的變化[6，7]。隨機(jī)攻擊這些節(jié)點(diǎn)，網(wǎng)絡(luò)A中剩余節(jié)點(diǎn)數(shù)量變，其中屬于最大連通組件的節(jié)點(diǎn)的比例是：

3.1 子網(wǎng)絡(luò)A中節(jié)點(diǎn)的隨機(jī)故障

根據(jù)上述理論分析級聯(lián)失效過程的每個步驟中節(jié)點(diǎn)數(shù)量的變化。假設(shè)隨機(jī)失效或隨機(jī)攻擊發(fā)生在網(wǎng)絡(luò)A中，在初始階段，假定（1-p）比例的節(jié)點(diǎn)受到隨機(jī)攻擊而發(fā)生失效，則網(wǎng)絡(luò)中剩余節(jié)點(diǎn)數(shù)量為：

3.2 子網(wǎng)絡(luò)B中相應(yīng)節(jié)點(diǎn)的級聯(lián)故障

由于網(wǎng)絡(luò)B中部分節(jié)點(diǎn)，需要依賴網(wǎng)絡(luò)A中的相應(yīng)節(jié)點(diǎn)，因而網(wǎng)絡(luò)A中節(jié)點(diǎn)的故障會引起網(wǎng)絡(luò)B中相應(yīng)節(jié)點(diǎn)的級聯(lián)故障。基于前面的分析和假設(shè)，網(wǎng)絡(luò)B中的一個節(jié)點(diǎn)需要與網(wǎng)絡(luò)A中三個節(jié)點(diǎn)保持相互依賴的關(guān)系，因而網(wǎng)絡(luò)B中有依賴屬性的節(jié)點(diǎn)數(shù)量為：

3.3 子網(wǎng)絡(luò)A中節(jié)點(diǎn)的進(jìn)一步故障

經(jīng)過第一步的隨機(jī)失效，可以推知網(wǎng)絡(luò)B中的一個節(jié)點(diǎn)，可能與網(wǎng)絡(luò)A中的多個節(jié)點(diǎn)連接，也可能與零個節(jié)點(diǎn)連接。由于CPS中子網(wǎng)絡(luò)內(nèi)部的連接和子網(wǎng)絡(luò)之間的連接沒有直接關(guān)系，因而研究人員需要計(jì)算網(wǎng)絡(luò)A中有依賴關(guān)系的節(jié)點(diǎn)數(shù)量為：

3.4 子網(wǎng)絡(luò)B中節(jié)點(diǎn)的再次失效

在3.3小節(jié)中子網(wǎng)絡(luò)A中節(jié)點(diǎn)的隨機(jī)故障，會導(dǎo)致子網(wǎng)絡(luò)B中節(jié)點(diǎn)的再次發(fā)生級聯(lián)故障。依據(jù)子網(wǎng)絡(luò)間相互依賴的連接關(guān)系，可以得到子網(wǎng)絡(luò)B中剩余節(jié)點(diǎn)具有相互依賴屬性的節(jié)點(diǎn)數(shù)量為：

4 實(shí)驗(yàn)結(jié)果分析

本節(jié)主要內(nèi)容，是求解前面分析得到的迭代方程，并且對求得的理論結(jié)果進(jìn)行仿真實(shí)驗(yàn)驗(yàn)證。

4.1 迭代方程

在上小節(jié)的理論分析中，可以得出在CPS中兩個子網(wǎng)絡(luò)間的級聯(lián)故障過程，具有明顯的迭代屬性：子網(wǎng)絡(luò)間相互依賴的節(jié)點(diǎn)間不斷傳遞了故障失效。當(dāng)級聯(lián)故障終止的時候，子網(wǎng)絡(luò)間不會再產(chǎn)生進(jìn)一步的級聯(lián)故障效應(yīng)。為方便分析級聯(lián)失效的迭代公式，其定義：

4.2 實(shí)驗(yàn)驗(yàn)證

為了進(jìn)一步驗(yàn)證區(qū)塊鏈環(huán)境下CPS的級聯(lián)故障過程的有效性，分析得出影響系統(tǒng)風(fēng)險的臨界閾值，本文用幾組仿真實(shí)驗(yàn)來驗(yàn)證。在仿真實(shí)驗(yàn)中，首先根據(jù)指定的最小度、節(jié)點(diǎn)數(shù)量和參數(shù)λ構(gòu)建兩個無標(biāo)度網(wǎng)絡(luò)建立兩個網(wǎng)絡(luò)之間的關(guān)系，即子網(wǎng)絡(luò)B中任一節(jié)點(diǎn)都與子網(wǎng)絡(luò)A中的相應(yīng)的三個節(jié)點(diǎn)保持連接，從而兩個子網(wǎng)絡(luò)保持相互依賴的關(guān)系。其中，隨機(jī)攻擊過程，這里用節(jié)點(diǎn)的隨機(jī)刪除來表示，實(shí)驗(yàn)仿真會有效模擬子網(wǎng)絡(luò)間級聯(lián)故障的過程。換言之，每一步級聯(lián)故障發(fā)生后，子網(wǎng)絡(luò)中剩余節(jié)點(diǎn)的數(shù)量都相應(yīng)輸出，直到子網(wǎng)絡(luò)中沒有節(jié)點(diǎn)被刪除，CPS的級聯(lián)故障過程才會停止。在如圖1所示，輸出每一步級聯(lián)故障過程發(fā)生后，子網(wǎng)絡(luò)中功能節(jié)點(diǎn)的比例情況。

這里對比λ取不同的值的時候網(wǎng)絡(luò)中剩余的節(jié)點(diǎn)的數(shù)量與初始網(wǎng)絡(luò)的節(jié)點(diǎn)的數(shù)量的比值，如圖1所示。不失一般性，這里在臨界閾值附近取不同的p值，進(jìn)一步對臨界閾值的正確性進(jìn)行驗(yàn)證，通過多次模擬CPS級聯(lián)故障過程的仿真實(shí)驗(yàn)，子網(wǎng)絡(luò)中存在最大連通組件的概率如圖2所示。在圖2的仿真實(shí)驗(yàn)中，取λ=2.8，子網(wǎng)絡(luò)的最小度為3，節(jié)點(diǎn)數(shù)量按照比例有效遞增。可以看到，隨著子網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量的不斷變化，系統(tǒng)在臨界的閾值pc附近發(fā)生相變，這與耦合網(wǎng)絡(luò)理論中級聯(lián)失效的結(jié)論是對應(yīng)的，充分說明了本文CPS級聯(lián)故障的理論分析正確有效的。根據(jù)圖3中曲線的變化規(guī)律，可以得出隨著節(jié)點(diǎn)數(shù)量越來越龐大，仿真曲線在級聯(lián)失效的臨界閾值附近會越來越陡，說明了隨著子網(wǎng)絡(luò)中節(jié)點(diǎn)的規(guī)模足夠大，CPS將在級聯(lián)故障的臨界閾值附近發(fā)生一階相變。換言之，當(dāng)初始階段攻擊比例的p值小于臨界閾值pc，耦合CPS會發(fā)生崩潰現(xiàn)象;當(dāng)初始p值大于級聯(lián)故障的臨界閾值pc，耦合CPS即使發(fā)生級聯(lián)故障，系統(tǒng)中子網(wǎng)絡(luò)內(nèi)部也會存在最大連通組件。特別說明的是，當(dāng)p與pc的值相同的時候，可能存在最大連通組件，也可能不存在，這是系統(tǒng)發(fā)生級聯(lián)故障的一個臨界狀態(tài)和分水嶺。

根據(jù)研究人員對區(qū)塊鏈環(huán)境下異構(gòu)耦合CPS的研究與分析[5，6]，其冪率分布的參數(shù)λ一般處于2和3之間，對于不同的λ其臨界閾值也是不一樣的，臨界閾值和λ之間的變化關(guān)系如圖3所示。從圖3中可以看到隨著λ的不斷增大，網(wǎng)絡(luò)中的集聚程度越來愈大，pc的值不斷增大，臨界閾值的增大在一定程度上說明網(wǎng)絡(luò)的可靠性不斷增強(qiáng)的趨向。換言之，在區(qū)塊鏈環(huán)境下設(shè)計(jì)異構(gòu)耦合的CPS架構(gòu)時，可以通過提高網(wǎng)絡(luò)的無標(biāo)度屬性，以保證系統(tǒng)面對隨機(jī)攻擊時具有一定的抗風(fēng)險性，從而使得區(qū)塊鏈環(huán)境下耦合CPS具有一定的安全保障。

5 結(jié)束語

目前，區(qū)塊鏈環(huán)境下耦合CPS的風(fēng)險評估研究還處在初始階段，尚缺乏安全、有效、徹底的解決方案，本文的研究工作只是一個初步探索。本文首先對區(qū)塊鏈環(huán)境下耦合異構(gòu)CPS進(jìn)行了建模，并對起級聯(lián)失效過程進(jìn)行了風(fēng)險分析，同時結(jié)合仿真過程，對隨機(jī)攻擊下影響系統(tǒng)風(fēng)險的相關(guān)因素進(jìn)行了對比分析，最后指明了下一步研究的方向。

基金項(xiàng)目：

1.國家自然科學(xué)基金項(xiàng)目（項(xiàng)目編號：61902359、61602418、61672468、61872323）;

2.教育部人文社科研究項(xiàng)目（項(xiàng)目編號：15YJCZH125）;

3.浙江省公益技術(shù)研究社會發(fā)展項(xiàng)目（項(xiàng)目編號：2016C33168）;

4.浙江省自然科學(xué)基金（項(xiàng)目編號：LQ16F020002）;

5.上海市信息安全綜合管理技術(shù)研究重點(diǎn)實(shí)驗(yàn)室開放課題（項(xiàng)目編號：AGK2018001）。

參考文獻(xiàn)

[1] 周興社，楊亞磊，楊剛.信息物理融合系統(tǒng)動態(tài)行為模型構(gòu)建方法[J].計(jì)算機(jī)學(xué)報， 2014， 37（6）：1411-1423.

[2] Jia D，Lu K，Wang J，et al.A Survey on Platoon-Based Vehicular Cyber-Physical Systems[J]. IEEE Communications Surveys & Tutorials， 2017，18（1）：263-284.

[3] 詹乃松，喬振亞.工業(yè)控制系統(tǒng)信息安全防護(hù)的研究[J].網(wǎng)絡(luò)空間安全，2015， 94（12）：70-74.

[4] Imbault F，Swiatek M，Beaufort R D，et al.The green blockchain： Managing decentralized energy produc-tion and consumption[C]// IEEE International Conference on Environment and Electrical Engineering and 2017 IEEE Industrial and Commercial Power Systems Europe. IEEE， 2017：1-5.

[5] 王繼業(yè)，高靈超，董愛強(qiáng)，等.基于區(qū)塊鏈的數(shù)據(jù)安全共享網(wǎng)絡(luò)體系研究[J].計(jì)算機(jī)研究與發(fā)展， 2017， 54（4）：742-749.

[6] Amin S， Schwartz G A， Hussain A. In quest of benchmarking security risks to cyber-physical systems[J]. IEEE Network， 2013， 27（1）：19-24.

[7] Shin D H， Qian D， Zhang J. Cascading effects in interdependent networks[J].IEEE Network， 2014， 28（4）：82-87.

[8] Rungger M，Tabuada P.A Notion of Robustness for Cyber-Physical Systems[J].IEEE Transactions on Au-tomatic Control， 2016， 61（8）：2108-2123.

[9] 鄧良辰，劉艷麗，柏天緣.考慮分布式發(fā)電的配電網(wǎng)CPS可靠性評估[J].電力系統(tǒng)及其自動化學(xué)報， 2017， 29（11）：32-38.

[10] 杜德慧，昝慧，姜凱強(qiáng)，等.一種面向CPS的自適應(yīng)統(tǒng)計(jì)模型檢測方法[J].軟件學(xué)報， 2017， 28（5）：1128-1143.

[11] 李淼，馬楠，周椿入.物聯(lián)網(wǎng)系統(tǒng)應(yīng)用層協(xié)議安全性研究[J].網(wǎng)絡(luò)空間安全， 2017， 94（12）：44-48.

[12] Tan F， Wang Y， Wang Q， et al. A Lease based Hybrid Design Pattern for Proper-Temporal-Embedding of Wireless CPS Interlocking [J].IEEE Transactions on Parallel & Distributed Systems， 2015， 26（10）：2630-2642.