任务4.2 主动标识载体 知识清单1-3

知识要点任务4.2主动标识载体主动标识载体主动标识注册流程主动标识载体服务架构主动标识载体在当前的工业应用中，通常面临如下典型问题：随着万物互联时代到来，终端入网的数量急剧上升，对接入终端及相关主体的身份认证成为产业迫切解决的问题。工业现场的海量异构设备以及异构系统之间，缺乏统一标准以及接入规范体系，导致产生跨产线、跨企业、跨行业间的数据交互壁垒，数据流通亟待解决。数据在交互流转时，存在易篡改、易泄漏等问题，安全性得不到保证阻碍了数据共享交易，不利于新型应用场景的构建，资源价值无法发挥。主动标识载体按照工业互联网产业联盟给出的定义，主动标识载体一般是指可以嵌入在工业设备的内部，承载工业互联网标识编码及其必要的安全证书、算法和密钥，具备联网通信功能，能够主动向标识解析服务节点或标识数据应用平台等发起连接，而无需借助标识读写设备来触发。如图4-17所示，通用集成电路卡（UniversalIntegratedCircuitCard，UICC）、通信模组、微控制单元（MicrocontrollerUnit，MCU）、通信终端等都是主动标识载体的例子。图4-17常见的主动标识载体类型主动标识载体主动标识载体的主要特征有：嵌入在工业设备内部，不容易被盗取或者误安装。具备网络连接能力，能够主动向标识解析服务器发起标识解析请求；同时也支持被其承载的标识及其相关信息的远程增删改查。除了承载工业标识符，还具有安全区域存储必要的证书、算法和密钥，能够提供工业标识符及其相关数据的加密传输、能够支持接入认证等可信相关功能。具有防震动、防潮湿、防摩擦、防篡改等特性，适用于复杂工业环境。主动标识载体1.通用集成电路卡（UICC）UICC是在全球移动通信系统中使用的智能卡，主要用于存储用户信息、鉴权密钥、短消息、付费方式等信息，还可以包括多种逻辑应用，例如用户标识模块（SubscriberIdentityModule，SIM）、通用用户标识模块（UniversalSubscriberIdentityModule，USIM）、IP多媒体业务标识模块（IPMultimediaServiceIdentityModule，ISIM）、以及其他如电子签名认证、电子钱包等非电信应用模块。图4-18UICC及其卡应用将工业互联网标识解析系统的接入能力封装为UICC卡的一种卡应用，将有利于工业互联网标识的规模化使用，同时也有利于工业终端通过工业互联网标识及其相关数据安全接入到工业互联网应用中。类似于其他卡应用，工业互联网标识的相关应用可打包成工业标识应用，并部署在UICC的卡应用区。主动标识载体2.通信模组通信模组主要包括主功能模块、天线接口单元、功能接口单元，如图4-21所示。主功能模块包括基带处理器、射频（RadioFrequency，RF）模块及电源管理模块。基带处理器是模块中最核心的部分，主要功能为基带编解码、语音编码等，负责基带信号处理和协议处理。工业标识、密钥Applet等可以由主功能模块MCU承载。天线接口单元块通过RF天线接口为终端提供连接射频天线的接口。功能接口单元通过一系列PIN脚（或者SMT方式）与终端主板连接，提供各种信号的输入输出。图4-19通信模组的基本组成MCU天线相关接口

电源管理存储RF模块基带处理工业ID安全UARTUSBUSIM主功能模块功能接口天线接口主动标识载体3.工业互联网终端工业互联网终端是工业互联网中连接感知延伸层和网络层，实现数据采集（或汇聚）及向电信网络发送数据的设备，它担负着数据采集、预处理、加密、控制和数据传输等多种功能。从通信技术的角度，终端是网络的端节点，是消息传递的末端。从行业应用的角度，终端提供行业所需的功能，因此形态和功能差异很大。工业互联网终端架构包括主控模块、网络接入模块、数据接入模块、电源模块、外设接口模块等，如图4-20所示。图4-19通信模组的基本组成外设接口模块主控模块电源模块网络接入模块数据接入模块终端按网络技术的差异性，可分为移动终端和固定终端两类。移动终端一般指支持蜂窝无线通信技术（如2G/3G/4G/5G、NB-IoT等）的终端，如安装了4G移动通信模块的挖掘机。固定终端一般指支持有线通信技术或者近距离/短距离无线通信技术的终端，如监控摄像头。知识要点任务4.2主动标识载体主动标识载体主动标识注册流程主动标识载体服务架构主动标识注册流程以数控加工场景数据采集为例说明主动标识载体的注册流程。主动标识载体会被预写入唯一序列号、标识前缀预写号和证书授权（CertificateAuthority，CA）安全认证证书。标识载体安装至设备上首次上电激活时，会主动向安全接入管控平台传送序列号、接入IP等信息，发起CA身份认证。安全接入管控平台会以其数据库中预存的身份信息和设备信息对主动标识载体进行身份匹配认证，认证通过后，会由企业节点向二级节点发起标识注册申请，申请完成将下发的标识回传写入主动标识载体，将原来载体中预存的标识预写号补写完整，形成一个唯一的工业互联网设备标识。主动标识载体的注册流程如图4-21所示。图4-21主动标识载体注册流程主动标识注册流程完成标识载体的注册后进行设备数据上报，还是以该场景为例说明其过程。主动标识载体承担数据采集器的作用，基于其主动标识号上报数据，首先向安全接入管控平台发起身份认证，认证通过后，数据经过安全芯片传送至业务云平台，数据上报时将主动标识号前缀和数据一同上报，确保每次上报的数据都是一个唯一的数据标识。客户查询数据时需要对数据标识发起解析过程，解析过程见前面讲解。值得说明的是，通过在标识体系和业务系统中部署特定用途的中间件可以提高应用效率。如图4-22所示，通过标识解析体系寻址到ID-HUB中间件，经过ID-HUB中间件协议转换，再将业务云平台数据呈现给客户。图4-22数据主动上报和查询解析流程知识要点任务4.2主动标识载体主动标识载体主动标识注册流程主动标识载体服务架构主动标识载体服务架构上一小节学习了主动标识载体的注册流程、数据传输流程以及用户查询流程，主动标识载体如何服务解决开篇提到的业务痛点呢？我们来看如图4-23所示主动标识解析服务架构框图，其中终端设备负责感知数据，主动标识载体与终端设备进行关联，向上与标识服务平台对接，完成安全认证、数据传输、应用构建，为用户查询提供服务。图4-23主动标识载体服务架构主动标识载体服务架构1.国密算法

国密算法，全称为国家密码管理局发布的密码算法，是我国自主研发的一系列密码算法。这些算法包括SM1、SM2、SM3、SM4和SM9，在信息安全领域具有重要的应用价值，广泛应用于金融、政务、电信等领域。下面以SM1算法和SM2算法为例对其原理进行介绍：（1）SM1加密算法SM1加密算法是一种对称加密算法，即加密和解密使用相同密钥，主要用于数据加密。它采用了分组密码的加密模式，支持128位、192位和256位密钥。SM1算法的安全性较高，能够抵抗各种攻击手段。SM1算法不公开，仅以IP核（IntellectualPropertyCore）的形式存在于芯片中。IP核是一种预先做好的集成电路功能模块，可在芯片设计中直接使用。SM1算法就像一个超级安全的保险箱。这个保险箱的钥匙（密钥）既可以打开也可以关上保险箱。只有拥有这把钥匙的人才能打开保险箱并取出里面的内容。SM1算法以同样的方式工作，使用相同的密钥来加密和解密数据。该算法已广泛用于研制智能IC卡、智能密码钥匙、加密卡等安全产品。主动标识载体服务架构（2）SM2加密算法SM2是一种ECC椭圆曲线公钥密码算法，属于非对称加密算法，即加密和解密使用不同密钥。SM2算法具有较高的安全性和计算效率，适用于数字签名、密钥交换等应用场景。ECC椭圆曲线计算复杂性高，破解难度大，因此SM2算法在密钥协商和鉴别系统等安全技术领域起着关键的作用。可以把SM2算法比作一个有两个锁的保险箱。一个锁需要一把钥匙打开，另一个锁则需要另一把钥匙。在这种情况下，加密数据就像是用第一把锁把保险箱锁上，而解密则需要用第二把锁来打开，这意味着加密和解密使用的是不同的密钥。这种非对称加密方法由于其高度的安全性，被广泛应用于密钥协商和安全技术领域。主动标识载体服务架构2.主动标识行业应用相较于被动标识，主动标识可以承载工业互联网标识编码及其必要的安全证书、算法和密钥，能提供更加丰富且高质量的数据。主动标识应用场景更丰富，覆盖行业更广，切入环节更深，更显著体现标识应用价值，有助于推动标识解析体系规模化发展。最新的数据表明，2024年我国主动标识载体累计部署超过3218万枚。根据工业和信息化部、教育部等12部门发布的《工业互联网标识解析体系“贯通”行动计划（2024-2026年）》提出，到2026年，主动标识载体部署超过5000万枚。主动标识载体服务架构2.主动标识行业应用以下列举了典型行业中基于主动标识载体的应用模式：热力行业：主要面向热力室内温控面板、室内热计量表、电磁阀，以终端内的UICC卡作为主动标识载体，实现温度及供热数据采集、暖气管线压力开关控制调节、仪表远程计量检定等。燃气行业：主要面向燃气入户燃气表，以终端内的安全芯片作为主动标识载体，实现燃气表具的数据采集、远程抄表、安全监管，以