工业互联网标识解析：主动标识载体应用白皮书-工业互联网产业联盟.pdf

工工业业互互联联网网标标识识解解析析主主动动标标识识载载体体应应用用白白皮皮书书工业互联网产业联盟（AII）2021 年 12 月声明本报告所载的材料和信息，包括但不限于文本、图片、数据、观点、建议，不构成法律建议，也不应替代律师意见。本报告所有材料或内容的知识产权归工业互联网产业联盟所有（注明是引自其他文献的内容除外），并受法律保护。如需转载，需联系本联盟并获得授权许可。未经授权许可，任何人不得将报告的全部或部分内容以发布、转载、汇编、转让、出售等方式使用，不得将报告的全部或部分内容通过网络方式传播，不得在任何公开场合使用报告内相关描述及相关数据图表。违反上述声明者，本联盟将追究其相关法律责任。工业互联网产业联盟联系电话：010-62305887邮箱：编编写写说说明明工业互联网标识解析体系建设是我国工业互联网发展战略的重要任务之一，国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见、工业互联网发展行动计划（2018-2020 年）、工业和信息化部办公厅关于推动工业互联网加快发展的通知等政策文件均对工业互联网标识解析体系的建设进行了部署，包括各级标识解析节点建设，标识解析产业生态培育，标识应用创新发展。在工业和信息化部的指导与各地方政府的支持推动下，我国工业互联网标识解析体系建设已步入快车道。全国各地加快二级节点部署和应用探索，积极抢抓工业互联网发展的窗口期和机遇期，产业界对标识解析体系建设的认知不断加深。其中，主动标识载体技术作为产业界与学术界针对工业互联网标识解析技术的创新探索获得广泛关注。2020年4月，工业互联网产业联盟标识工作组组织编写工业互联网标识解析-主动标识载体技术白皮书明确了主动标识载体基本概念。区别于传统被动标识载体需要附着在设备和产品表面通过读卡器等设备才能获取数据信息，主动标识载体具备联网通信能力，能够与标识服务节点或标识数据应用平台主动建立连接，并承载必要的证书、算法与密钥。目前主要分为通用集成电路卡、安全芯片和通信模组三种类型。主动标识载体的发展，有助于扩大工业互联网标识解析的覆盖面，促进标识产业及工业企业向智能化、网络化、数字化方向发展。同时，这种发展离不开产业界的持续探索。为进一步扩展应用模式，促进产业生态构建，工业互联网产业联盟标识组再次组织编写工业互联网标识解析主动标识载体应用白皮书。本白皮书希望明确主动标识载体技术框架、推动主动标识载体的规模化落地应用，为参与企业提供主动标识载体应用新思路，为标识解析体系与主动标识载体在企业内应用发展提供参考和指引。白皮书主要分为四个部分，第一部分为概述，主要介绍主动标识相关政策趋势、基本概念介绍以及主动标识载体发展态势与推进挑战；第二部分为主动标识载体应用系统架构，主要对主动标识载体在工业互联网标识解析体系中应用的总体架构进行描述，包括整体架构、主要功能模块及相关接口定义等；第三部分为主动标识载体应用模式，从载体数据订阅、载体身份认证和载体命令直达三方面描述主动标识载体应用的新功能、新场景，同时提供具体案例，给参与企业提供应用参考；第四部分为对主动标识载体技术和产业发展提出若干建议。组组 织织 单单 位位：工业互联网产业联盟牵牵头头编编制制单单位位：（排名不分先后）中国信息通信研究院参参与与编编制制单单位位：（排名不分先后）中移物联网有限公司中国联合网络通信集团有限公司中国信息通信科技集团有限公司浪潮集团有限公司中金数据集团有限公司紫光国芯微电子股份有限公司苏州协同创新智能制造装备有限公司上海复旦微电子集团股份有限公司郑州信大捷安信息技术股份有限公司武汉亚为电子科技有限公司江苏日盈电子股份有限公司千里马(武汉)信息科技有限公司机械工业仪器仪表综合技术经济研究所清控数联（山西）工业技术有限公司北京理工大学江苏东大集成电路系统工程技术有限公司编编写写组组成成员员：罗松、刘阳、刘澍、刘巍、董超、赵伟成、尹子航、田娟、刘东坡、曾西平、时晓光、叶子豪、霍航宇、柳耀勇、贾雪琴、袁雪腾、张晓、柴森春、高绩、黄少珉目 录一、概述.2（一）政策趋势.2（二）基本概念.4（三）发展态势.6（三）推进挑战.7二、主动标识载体应用架构.8（一）基本能力界定.8（二）应用架构设计.8（三）业务接口描述.11三、主动标识载体应用模式.13（一）载体数据订阅.13（二）载体身份认证.19（三）载体命令直达.24四、发展建议.31（一）加快出台核心标准，规范产业应用模式.31（二）开展试点示范工作，打造产业标杆企业.31（三）完善供应体系建设，促进产业生态发展.31（四）加强核心技术研究，聚焦安全体系建设.322一、概述主动标识载体的应用，主要是通过工业互联网标识解析体系赋予设备终端唯一数字身份，发挥终端自身的通信能力，自动向标识解析体系或其他系统发起标识解析等操作请求，通过解析网络，完成终端寻址、身份验证、指令下发等操作，从而增强数据安全性和操作性，实现载体数据订阅、载体身份认证、载体命令直达等应用场景，是工业生产经营场景中，实现同一主体和多个主体终端数据访问及数据共享的重要支撑，是万物互联的基础和保障。（一一）政政策策趋趋势势近年来，政府主管部门高度重视主动标识载体应用发展，相继出台了一系列政策推进主动标识载体应用规模化发展。2021 年 1 月，工业和信息化部印发了工业互联网创新发展行动计划（2021-2023 年），明确了 2021-2023 年推进工业互联网创新发展的总体要求、重点任务和保障措施，其中在主动标识载体技术与应用方面提出了“加加快快主主动动标标识识载载体体规规模模化化部部署署，推推进进工工业业设设备备和和产产品品加加标标识识。增强标识读写适配能力，推动标识在公共领域应用”，并且明确了“推动主动标识载体规模部署。面向汽车、船舶、仪器仪表等重点领域，加快推动基于 5G、窄带物联网（NB-IoT）等技术的主动标识载体规模化应用，部署不少于 3000 万枚，建设各类主动标识载体可信管理平台。”32021 年 5 月工业互联网专项工作组发布 2021 年工作计划，明确在标识解析增强行动，加速标识规模应用推广重点工作中，由工业和信息化部（信管局）牵头推进主动标识载体规模化部署，2021 年 12 月完成标识注册量 150 亿，部署不少于 300 万枚主动标识载体。各地方主管部门也相继推出相关鼓励政策。苏州、武汉、广州等地也出台了有地方特色的鼓励政策。苏州市工信局发布关于进一步做好工业互联网标识解析二级节点建设工作的通知，把 2021 年至 2023 年作为苏州工业互联网的快速成长期，加快二级节点建设和运营推广，推进工业企业智能化改造和数字化转型，打响“工业互联网看苏州”品牌。通知中明确“打打造造 2 2 个个以以上上典典型型的的主主动动标标识识载载体体应应用用试试点点，组组织织开开展展市市级级标标识识数数据据服服务务资资源源池池建建设设；2022 年，建成 12 个以上二级节点，部署主动标识载体不少于 100 万枚”。2021 年 3 月 19 日，武汉市经信局发布了武汉市“5G+工业互联网”创新发展三年行动计划（2021-2023 年）（征求意见稿），现面向社会征求意见。计划中提出“支持市内二级节点开展标识解析标杆应用建设，单个二级节点形成不少于两项智能化生产、网络化协同、个性化定制、服务化延伸、数字化管理等典型集成创新应用，或主动标识载体、工业 APP 等标识融合解决方案。”2021 年 1 月 7 日，广东省通信管理局发布了关于开展广东省工业互联网标识解析创新项目入库申报的通知，组4织开展广东省工业互联网标识解析创新项目入库工作。入库支持的方向包括支持建设标识解析应用服务平台，支持建设标识解析标杆应用。通知中还明确了“围绕工业互联网标识解析二级节点建设，支持基于物联网网络技术，利用物联网卡、可信芯片、5G 通信模组、物联网终端等作为载体，为设备/产品提供高效、可靠、实时的数据采集和系统互通服务，主动向标识解析二级节点/企业节点或标识应用服务平台等发起连接，推动工业互联网标识产品和应用的规模化、标准化和低成本化。”（二二）基基本本概概念念工工业业互互联联网网标标识识解解析析体体系系是工业互联网网络体系的重要组成部分，是支撑工业互联网互联互通的神经枢纽。工业互联网标识解析体系的核心要素包括标识编码、标识解析系统和标识数据服务三部分。其中，标标识识编编码码是指能够唯一识别物料、机器、产品等物理资源和工序、软件、模型、数据等虚拟资源的身份符号，类似于“身份证”，标识编码通常存储在标识载体中，包括主动标识载体和被动标识载体；标标识识解解析析系系统统是指能够根据标识编码查询目标对象网络位置或者相关信息的系统，对物理对象和虚拟对象进行唯一性的逻辑定位和信息查询，是实现全球供应链系统和企业生产系统精准对接、产品全生命周期管理和智能化服务的前提和基础；标标识识数数据据服服务务是指能够借助标识编码资源和标识解析系统开展工业标识数据管理和跨企业、跨行业、跨地区、跨国家的数据共享共用服务。5标标识识载载体体，是指承载标识编码的物理实体。根据标识载体是否能够主动与标识数据读写设备、标识解析服务节点、标识数据应用平台等发生通信交互，可以将标识载体分为主动标识载体和被动标识载体两类。（1 1）被被动动标标识识载载体体，一般是附着在工业设备或者产品的表面以方便读卡器读取。在工业互联网中，被动标识载体一般只承载工业互联网标识编码，而远程网络连接能力缺乏，需要依赖标识读写器才能向标识解析服务器发起标识解析请求，安全能力较弱，缺乏证书、算法和密钥等所需的必要安全能力。常见的被动标识载体有一维条形码、二维条形码、RFID、NFC 等。（2 2）主主动动标标识识载载体体，一般是指可以嵌入在工业设备的内部，承载工业互联网标识编码及其必要的安全证书、算法和密钥，具备联网通信功能，能够主动向标识解析服务节点或标识数据应用平台等发起连接，而无需借助标识读写设备来触发。通用集成电路卡（UICC）、安全芯片、通信模组和终端等都是主动标识载体的例子。主动标识载体的主要特征有，一是嵌入在工业设备内部，不容易被盗取或者误安装；二是具备网络连接能力，能够主动向标识解析服务器发起标识解析请求；同时也支持被其承载的标识及其相关信息的远程增删改查；三是除了承载工业标识编码，还具有安全区域存储必要的证书、算法和密钥，能够提供工业标识符及其相关数据的加密传输、能够支持接入认证等可信相关功能。6（三三）发发展展态态势势主动标识载体涉及的通用集成电路卡（UICC）、安全芯片、通信模组等产业长期存在，并持续发展。根据 GSMA 发布的The mobile economy 2020（2020 年移动经济）报告显示，预计到 2025 年，全球物联网总连接数规模将达到246 亿，年复合增长率高达 13%。其中，中国物联网连接数全球占比高达 30%，预计到 2025 年，中国物联网连接数将达到 80.1 亿，年复合增长 14.1%。2021 年 5 月，工信部发布了2021 年 14 月通信业经济运行情况，根据数据显示，截至 4 月末，三家基础电信企业发展蜂窝物联网终端用户12.36 亿户。图 1 2020-2021 年 4 月末蜂窝物联网终端用户情况工业互联网赋能不同行业转型升级，成为数字化转型最主要的方法论和推进路径。在工业互联网的数据采集环节中，不同类型的主动标识载体长期存在，并形成协同发展态势。但应用场景和需求碎片化导致终端异构、网络通信方式多样、工业互联网平台林立、不同厂家设备和产品之间的互联互通7和互可操作性差、相互之间竞争性很强，亟需标识作为抓手，凝聚共识，整合推进。（三三）推推进进挑挑战战主主动动标标识识载载体体属属于于新新概概念念，对对具具体体实实现现技技术术认认知知模模糊糊，导导致致产产业业界界无无法法形形成成大大规规模模应应用用。目前对主动标识载体定义及介绍，可公开检索的最多内容仍是 2020 年 4 月份发布的工业互联网标识解析-主动标识载体技术白皮书，相关技术标准仍在制定过程中。整体技术与发展路线不明晰导致宣传上缺乏针对性，特别是对主动标识载体应用的认识不统一进一步导致推动力度不足和推动重点不聚焦。主主动动标标识识载载体体价价值值创创造造模模式式仍仍在在探探索索，应应用用模模式式和和实实践践案案例例的的总总结结不不足足，导导致致大大部部分分企企业业难难以以快快速速加加入入应应用用探探索索。主动标识载体赋能行业转型升级更多停留在理论的层面，从企业降本增效方向出发，额外改装或者引入器件若未能收到可观的投资回报，大部分企业是无法接受的。目前主动标识载体仅在个别行业、个别场景中开展应用，还缺乏强有力的数据支撑和价值体现，使得企业对主动标识载体望而却步。主主动动标标识识载载体体缺缺乏乏产产业业化化发发展展规规划划，在在芯芯片片产产业业的的资资本本市市场场中中尚尚未未收收到到足足够够的的关关注注。虽然主动标识载体概念新颖，但其核心要素来自传统的集成电路产业，这也是现阶段全球数字经济发展的产业链核心重点，正在受到各国政府和产业界高度关注。主动标识载体如果无法形成特有的产业化发展规划，就无法真正汇聚资本力量去形成针对性的投融资活动。这在芯片产业快速发展的过程中，必然容易失去焦点，不利8于获得产业政策和产业资金支持，使得主动标识载体应用的推进力度与效率受限。二、主动标识载体应用架构（一一）基基本本能能力力界界定定主动标识载体可以嵌入到工业设备内部，能够主动向标识解析服务节点或标识数据服务平台发起连接，而无需借助标识读写设备来触发，主动标识载体的主要能力有:一是具备主动建立网络连接通道的能力，具备承载工业互联网标识编码及其必要的身份凭证和安全算法能力；二是支持主动标识载体安全认证服务平台的标识管理，根据平台的要求写入、修改、删除、查询、存储工业互联网标识；三是支持主动标识载体安全认证服务平台的身份凭证管理，根据平台的要求写入、修改、删除、存储身份凭证；四是支持主动标识载体安全认证服务平台的身份认证。（二二）应应用用架架构构设设计计主动标识载体应用架构主要包括：主动标识载体、工业终端（含主动标识载体 SDK）、主动标识载体管理模块、主动标识载体安全认证服务平台、终端管理与数据采集模块、标识解析体系国家顶级节点、标识解析体系二级节点、标识解析体系企业节点等功能模块，具体可参考图 2。9图 2 主动标识载体应用架构参考图（1 1）主主动动标标识识载载体体，包括但不限于具备主动建立网络连接通信能力、承载工业互联网编码及必要身份凭证与安全算法能力、根据主动标识载体安全认证服务平台的请求，完成工业互联网标识的增、删、改、查等操作，同时支持主动标识载体安全认证服务平台的身份验证流程。（2 2）工工业业终终端端（含含主主动动标标识识载载体体 S SD DK K），支持平台侧通过主动标识载体 SDK 与主动标识载体完成互操作（含终端身份验证操作），其次工业应用 APP 发起终端业务数据上报，待主动标识载体身份验证通过后，业务数据由终端发送给终端管理与数据采集模块。（3 3）主主动动标标识识载载体体管管理理模模块块，通过主动标识载体安全认证服务平台实现对主动标识载体的管理操作，主要包括向主动标识载体写入工业互联网标识、删除主动标识载体中的工业互联网标识、修改主动标识载体中的工业互联网标识以10及查询主动标识载体中的工业互联网标识，即对工业互联网标识的增、删、改、查操作。（4 4）主主动动标标识识载载体体安安全全认认证证服服务务平平台台，根据工业互联网标识、主动标识载体标识等信息生成凭证 C1，并通过主动标识载体 SDK 将工业互联网标识、主动标识载体、企业 CA证书、企业节点 IP 地址或 URL 等信息写入主动标识载体中。同时，服务平台可以响应主动标识载体管理模块的请求，完成工业互联网标识的增、删、改、查等命令的下发。此外，服务平台还承担着管理工业互联网标识与主动标识载体标识的关系的任务，为主动标识载体分配身份凭证，依据身份凭证完成主动标识载体的身份验证，并将身份验证结果提供给终端管理与数据采集模块，最终反馈给主动标识载体。（5 5）终终端端管管理理与与数数据据采采集集模模块块，向主动标识载体安全认证服务平台发起对主动标识载体的身份验证，根据验证结果，判断是否支持接收终端上报的业务数据、存储数据、分析数据。（6）标标识识解解析析体体系系国国家家顶顶级级节节点点，是一个国家或地区内部最顶级的标识服务节点，能够面向全国范围提供顶级标识解析服务，以及标识备案、标识认证等管理能力。国家顶级节点作为标识解析的“第一跳”，既要与各种标识体系的国际根节点保持连通，又要连通国内的各种二级及以下其他标识服务节点。为二级节点分配工业互联网标识二级节点前缀，并通过二级节点向企业节点颁发企业 CA。11（7 7）标标识识解解析析体体系系二二级级节节点点，是面向特定行业或者多个行业提供标识服务的公共节点。二级节点既要向上与国家顶级节点对接，又要向下为企业分配标识编码及提供标识注册、标识解析服务、标识数据服务等，同时满足安全性、稳定性和扩展性等方面的要求。作为推动标识产业应用规模性发展的主要抓手，二级节点是打造有价值的行业级标识应用、探索可持续发展业务模式的关键，为企业节点分配工业互联网标识企业节点前缀，并支持企业节点向顶级节点申请企业CA。（8 8）标标识识解解析析体体系系企企业业节节点点，是指一个企业内部的标识服务节点，能够面向特定企业提供标识注册、标识解析服务、标识数据服务等，既可以独立部署，也可以作为企业信息系统的组成要素，企业节点需要与二级节点对接，从而接入标识解析体系中。支持企业端的标识解析服务,为主动标识载体分配工业互联网标识，通过二级节点申请企业 CA，并完成与二级节点的对接。（三三）业业务务接接口口描描述述（1 1）企企业业 C CA A 管管理理接接口口：包括企业节点与二级节点接口、二级节点与顶级节点接口、顶级节点与主动标识载体安全认证服务平台接口。主要完成企业节点通过二级节点向顶级节点注册、申请企业 CA；二级节点向企业节点颁发企业 CA；根据企业节点向顶级节点申请企业 CA；顶级节点通过二级节点向企业节点颁发企业 CA；同时，顶级节点还会向主动标识载体安全认证服务平台同步企业 CA 信息。12（2 2）主主动动标标识识载载体体管管理理接接口口：包括企业节点与主动标识载体管理模块接口、主动标识载体管理模块与主动标识载体安全认证服务平台接口、主动标识载体安全认证服务平台与主动标识载体 SDK 接口以及主动标识载体 SDK 与主动标识载体间接口。主要完成企业节点向主动标识载体管理模块提供标识；主动标识载体管理模块向主动标识载体安全认证服务平台提供企业 CA、企业节点 IP 地址或 URL、主动标识载体标识等；主动标识载体管理模块完成主动标识载体中标识的增、删、改、查操作；将主动标识载体唯一标识同步给载体服务平台；主动标识载体安全认证服务平台应通过主动标识载体 SDK 向主动标识载体写入凭证 C1；主动标识载体安全认证服务平台通过主动标识载体 SDK 向主动标识载体写入企业 CA、企业节点 IP 地址或 URL、主动标识载体标识等；主动标识服务平台通过主动标识载体 SDK 对主动标识载体进行标识的增、删、改、查操作；主动标识载体 SDK 将主动标识载体平台凭证 C1 写入主动标识载体；主动标识载体 SDK 接收来自服务平台的操作指令，完成对主动标识载体的操作。（3 3）主主动动标标识识载载体体业业务务接接口口：包括主动标识载体 SDK与终端管理与数据采集模块接口、终端管理与数据采集模块与主动标识载体安全认证服务平台接口。主要完成主动标识载体 SDK 应向终端管理与数据采集模块发起数据上报，上报数据不限于终端业务数据、凭证 C1 等；终端管理与数据采集模块向主动标识载体安全认证服务平台发起主动标识载体身份认证请求。13三、主动标识载体应用模式（一一）载载体体数数据据订订阅阅1 1.应应用用需需求求制制造造行行业业在在产产品品的的过过程程中中，存存在在设设备备身身份份无无法法有有效效查查询询的的情情况况。由于主要生产设备负载的身份标识载体多为铭牌、喷码以及 RFID 标签等被动标识，在设备长期使用过程中容易发生脱落、磨损及因表面异物遮挡导致设备身份信息无法有效查询。当设备状态发生变更时，被动标识也不具备主动建立通信连接的能力，无法实时反馈可标识设备状态数据，企业对生产设备的状态信息获取难，无法有效掌握设备动态，常因未能及时有效的依据工单数量和设备状况协调产线而导致生产周期加长，存在高时间成本、低生产效率的情况，导致企业生产效率提升难、生产制造协同难的现状。当当前前传传统统制制造造行行业业对对设设备备和和数数控控机机床床的的管管理理水水平平较较低低，无无法法实实时时按按需需获获取取设设备备状状态态信信息息。设备的故障处理目前大多依靠故障发生后人工上报人工控制处理等手段，对于设备运行过程中的潜在风险，故障隐患不能及时预警和排除，导致设备和数控机床运行效率低下。随着技术的发展，开始出现使用远程监控技术来统一管理和监控所有设备，但目前已有解决方案往往监控软件运行环境单一，无法随时随地进行设备和数控机床的信息查看与管理。此外，当前的解决方案往往针对特定设备或者数控系统，无法实现多种类、多系统的集中整合，增加成本的同时，也提高了使用的复杂性。142 2.技技术术方方案案载体数据订阅是指主动标识载体按照一定的策略持续地向平台、终端或其他系统发送用户订阅的数据，策略可以是定时，例如每 2 分钟发送数据，也可以是在终端状态发生变化时发送数据，一般应用于价值较高的设备或物品。一一是是被动标识载体需要人为的扫码识别，不能实时地了解设备状态；二二是是在物品数量大，特别是形成物品积压时，人为扫码识别困难，被动标识载体难以满足对积压物品的管理与信息搜集；三三是是对于偏远地区、环境恶劣等情况，人为扫码获取信息困难，主动标识载体可以主动采集信息并发送到需求端。图 3 载体数据订阅技术方案3 3.典典型型案案例例及及实实施施成成效效案案例例 1 1：企企业业模模具具生生产产协协同同中中的的载载体体数数据据订订阅阅应应用用（苏苏州州协协同同）苏州协同创新智能制造装备有限公司在模具行业产线中注塑机、机械手、模温机、干燥机、冲压模等关键设备中嵌入主动标识载体，打造设备可标识、数据可标识的智能化数字孪生工厂，通过载体数据订阅实现标识设备定位及其状态信息的高度可视化，形成了关键设备可标识、状态数据实时上云的生态体15系，为企业的智能决策能力提供有效可靠的数据支撑，实现了面向模具行业产业集群生产协同的新模式。主动标识载体数据订阅应用服务助力于模具行业企业工厂的生产协同，弥补现有技术对设备身份标识不清与设备实时信息上传联网设备部署复杂等问题，而且随着 5G 通信技术的在工业互联网中的推广应用，为主动标识载体的主动通信能力带来了质的提升，通过标识注册为设备和主动标识载体进行标识赋码，绑定生产设备与主动标识载体，串联标识设备的标识数据，通过载体数据订阅实时掌控设备的实时状态信息，给出有效的智能决策，高效指导设备维护、生产协同，快速推动企业的决策速度和执行能力。载体数据订阅提升模具行业智能化工厂生产协同与智能决策能力。有效的生产设备预防性维护提升了设备 6%的开机率，以及 5%的设备运行效率；高效的生产协同决策和执行效率，依托标识解析体系，同时也提升了工厂、仓库之间的柔性调配，物料、人员、生产等各环节的调度效率，使批次产品生产的周期缩短 8 天以上，订单交付效率提升约 10%，在模具制造行业产能提升、设备维护效率提升的同时，通过从产业链层面实现模具全制造流程的智能决策，使得企业整体生产协同能力得到大幅度提升，设备维护的成本得以降低。以模具16行业生产企业为例，通过主动标识载体技术的落实应用，年均降本可达 300 万元以上，生产效率提升 5%以上。案案例例 2 2：鼓鼓风风机机设设备备联联网网智智能能化化升升级级改改造造应应用用（浪浪潮潮）在工业智能设备的通信模组中嵌入主动标识技术，通过内置主动标识载体，注册并关联地址、设备名称、操作指令等信息，通信模组定时发送解析请求实现载体数据订阅，通过标识解析体系查询到各终端设备的地址、操作信息，达到实时监控车间设备运行、远程核验设备运行质量及故障状态，解决地址暴露、身份验证等安全问题。结合主动标识载体的工业设备在上电后立即联网，持续向工业物联网平台发送工业智能设备状态数据，平台可根据设备运行的状态主动发起读取反向请求，支持有针对性、策略性地设置数据上传周期频次。升级前：由于该鼓风机厂使用的生产设备年代跨度较大，设备通信能力参差不齐，大批量设备本身不具备联网条件，无法实时进行网络联动化管理。因此对设备的运行状态、健康指数、用能信息、维修售后等情况都缺乏详细数据，难以实现精准的控制与管理。解决办法：经过对生产现场的设备调研及研究分析，基于主动标识载体数据订阅的智能化升级改造思路，在工业现场设备中嵌入主动标识载体且对其赋予数据采集能力，并关联设备采集的信息。通过标识解析体系查询到各终端设备的地址、操作信息、关联信息等，与现场大屏及物联网管理平台进行展示及远程操作。达到基于载体数据订阅的实时监控车间设备运行、远程核验设备运行质量及故障状态。升级后：全新系统上线后，对鼓风机厂而言，通过设备的主动标识，实现设备自读实时监控设备状态且企业各级用户可远程统一调配，减轻了生产到售17后各环节的人力、物力资源；降低设备故障率提高产能，同时降低企业能耗，实现设备精细化、智慧化管理服务增值。对当地政府而言，低成本共享企业生产运行状态全量数据，消除“信息孤岛”、“监管盲区”等实际问题，实现各级部门的透明化监管。实施成效：?减少换模调机时间：25%；?减少设备故障率：18%?减少故障维修时间：40%?节约现场设备耗能：50%案案例例 3 3：机机要要物物资资全全流流程程监监管管应应用用（紫紫光光）在机要物资上嵌入具有主动标识载体的跟踪装置，装置内置主动标识载体，注册并关联地址、设备名称、操作指令等信息，主动标识载体定时发送解析请求实现载体数据订阅，通过标识解析体系查询到各跟踪装置的地址、状态信息，解决机要物资的全流程不间断跟踪问题。具有主动标识载体的跟踪装置上电后立即联网，持续向监管平台发送跟踪装置的位置信息和状态数据，平台可根据装置的状态主动发起读取反向请求，支持有针对性、策略性地设置数据上传周期频次。18升级前：机要物资本身不具备主动联网条件，无法实时进行网络联动化管理。因次，机要物资的位置信息、运行状态等情况都缺乏详细数据，难以实现精准的全流程不间断跟踪与管理。解决办法：经过对不同敏感物资、机要设备的调研及研究分析，基于主动标识载体数据订阅的智能化升级改造思路，开发跟踪装置、在其中嵌入主动标识载体且对其赋予数据采集能力，并关联设备采集的信息。通过标识解析体系查询到各装置的地址、操作信息、关联信息等，支持监管平台进行实时不间断的跟踪及远程操作。达到基于载体数据订阅的机要物资监控与管理。升级后：全新系统上线后，对于机要物资生产者、收发者、管理者而言，通过跟踪装置的主动标识，实现物资的自主实时监控及远程统一调配，减轻物资、设备流通过程中的人力、物力资源投入，实现物资的精细化、智慧化管理。对于管理部门而言，低成本共享机要物资的状态全量数据，消除“信息孤岛”、“监管盲区”等实际问题，实现透明化监管。19（二二）载载体体身身份份认认证证1 1.应应用用需需求求在在网网络络化化、信信息息化化和和智智能能化化的的大大趋趋势势下下，工工业业控控制制系系统统传传统统物物理理封封闭闭的的安安全全措措施施已已经经很很难难保保证证安安全全。特别是大量已经运行多年的工业控制系统在经过网络化、信息化改造后，将面临较大风险。因此边缘层不仅要具备采集工业实时数据接入云端等业务功能外，更应该具备保护工业现场基础设施的能力。攻击者常常综合先进网络攻击手段围绕“边缘层”脆弱点进行攻击，由内而外、层层渗透，最终突破安全防线挟持工业控制系统，使其执行错误命令引发重大事故。在在设设备备的的接接入入认认证证方方面面，企企业业缺缺乏乏一一套套完完整整、安安全全的的设设备备接接入入管管理理机机制制保保障障设设备备接接入入安安全全。在权限管理方面，大部分制造企业对接入设备的数据访问权限未做管理，可能存在越权访问、数据泄露；在行为监控方面，无法实时监控接入设备的异常流量，设备易被通过协议漏洞攻击或被非法控制。2 2.应应用用需需求求标识载体身份认证是指对于主动标识载体的标识或发出的数据真实有效未经篡改的认证。通过主动标识载体安全认证服务平台实现对标识的认证，并结合黑白名单、物理不可克隆、非对称加密等技术，实现载体身份认证，有效规范标识载体的统一管理服务，促进标识生态的构建，减少恶意替换载体、串改标识等导致的数据安全性风险，助力标识体系健康发展。20图 4 载体身份认证技术方案3 3.典典型型案案例例及及实实施施成成效效案案例例 4 4：智智能能门门锁锁的的安安全全（中中移移物物联联网网）智能门锁目前广泛应用于个人客户及长租公寓中，存在业务后台对门锁的远程密钥更新/远程开锁及门锁向业务后台上传终端数据等应用场景。为防范攻击者对数据进行窃听获取敏感数据，中移物联网在自有某款智能门锁产品中集成了主动标识载体物联卡的身份认证的安全能力，可以实现智能门锁终端与业务平台的双向身份认证及数据的加密传输，保障智能门锁终端的接入安全及终端敏感数据的安全传输。主动标识载体物联卡需预置唯一密钥及证书，一卡一密，物联卡为密钥及证书提供安全存储环境，基于密钥与证书构建可信身份认证体系。终端安全SDK 为终端提供调用卡内安全应用的能力，实现终端的身份认证及数据加密。密钥管理中心提供密钥的生成及管理，并与卡产线建立安全传输机制，确保密钥的安全传输及安全烧录到物联卡内。安全认证中心提供平台侧的身份认证及数据加解密的能力。21中国移动主动标识载体安全认证解决方案如下图所示。主动标识载体物联卡内预置密钥及证书，物联卡可以为密钥及证书提供安全的存储环境，基于密码算法实现身份认证及数据加密传输。终端侧通过调用终端安全 SDK 来发起身份认证及数据加密请求。平台侧通过安全认证中心提供的身份认证及数据解密能力来验证终端主动标识载体的身份及数据的有效性。实施成效：为智能门锁提供了硬件级的密钥保护，保障智能门锁的接入安全和数据安全，提升产品的安全能力，增强产品的竞争力。22案案例例 5 5：重重型型柴柴油油车车排排放放治治理理场场景景（复复旦旦微微电电子子）为推进机动车污染治理，对重型柴油车实现排放诊断远程监控管理，数据安全是系统成效的基石，数据的泄露和篡改会导致排放控制系统在实际使用过程中无法正常发挥作用。在车载终端上使用安全芯片可提供技术可行的安全策略，保证产品各种性能和功能处于安全范围内容，可从以下方面提供需要的防护措施，一是存储、传输的数据应是加密的，应采用非对称加密算法，可使用国密 SM2 算法或 RSA 算法，并且需要采用硬件方式对私钥进行严格保护；二是存储、传输的数据应是完整的；三是数据传输过程应当对数据进行扫描，及时发现恶意的数据及攻击行为，如对 ECU 等 CAN 总线设备的写命令，或其他超出正常数据读取的指令，安全检测应当检出 95%以上的攻击，误报率小于 1%，在攻击开始后 10s 内发现并启动防护措施；四是只能读取车辆数据，不能向 ECU发送除诊断请求外的其他任何指令；五是只向外发送数据，不应接受除生产企业外的操作指令。重型柴油车车载排放诊断系统远程监控管理平台分层级进行管理，由国家平台、省级平台、市级平台和车企平台组成，对车载终端所发送的数据进行收集、展示和管理。前装的车载终端，出厂后对接车企平台，采集的车辆数据直接由车企平台上传到国家平台；后装的车载终端，在终端厂商为车辆安装后，采集数据直接上传省平台、市平台，再对接到国家平台。对接平台需完成登记注册过程，符合资质要求的终端所属企业需要向对接平台提交企业基本信息、车载终端基本信息（包括但不限于品牌型号、终端说明、协议参数等）等静态信息进行注册登记，登记完成后可获得准入许可，与对接平台进行联调。获得准入许可的终端所属企业应在安装终端前将安全芯片基本信息和安全芯片符合车载终端相关要求的证明材料提交至对接平台进行登记。23车载终端上存储和使用的数据信息包括静态信息和动态信息。静态信息由对接平台采集到的企业、终端、车辆信息，包括企业注册信息、安全芯片登记信息、车载终端登记信息、车型登记信息、发动机登记信息、车辆登记信息等；动态信息包括车辆 OBD 信息和车辆发动机数据等。车载终端 TBox 主要包含 MCU 主控芯片，LTE 通讯模块和国密 SE。国密 SE是符合国密安全算法的安全芯片，具备存储唯一的标识 ID 的载体，作为主动标识载体，经 MCU 通过总线 CAN 与车机连接获取车辆 OBD 信息和车辆发动机数据等，再通过 I2C/SPI 接口与安全芯片连接。安全芯片上存储私钥可对采集到的排放相关信息进行数据传输前的加密和签名，可回传处理后的数据到 MCU 或直接连接通讯模块实时上传。安全芯片作为主动标识载体实现身份认证功能，确保数据的正确性、完整性和不可篡改性。案案例例 6 6：工工业业碳碳排排放放在在线线自自动动监监控控应应用用（紫紫光光）在生产系统、能耗系统、仪器仪表等现场设备中嵌入主动标识技术，通过内置主动标识载体，注册并关联地址、设备名称、操作指令等信息，主动标识载体定时发送解析请求，实现碳排放数据定时上报，标识的唯一性、不可篡改性保障设备身份的可靠性，区块链凭证保障企业身份的合法性，国密传输/智能合约保障数据的安全性和可靠性。具有主动标识载体的现场设备在上电后立即联网，持续向企业碳排放专用网关发送碳排放相关数据，企业碳排放专用网关对碳排放相关数据进行实时处理，并利用企业的区块链存证将碳数据通过国密传输/智能合约发送给全国碳24（三三）载载体体命命令令直直达达1 1.应应用用需需求求通通过过第第三三方方平平台台传传输输数数据据时时，受受通通信信轮轮询询机机制制的的约约束束，对对实实时时性性要要求求高高的的数数据据不不能能够够及及时时传传达达，延延迟迟过过长长导导致致数数据据排放报送系统，区块链存证保障数据的不可篡改性。升级前：由于企业使用的生产设备年代跨度较大，设备通信能力参差不齐，大批量设备本身不具备联网条件，无法实时进行网络联动化管理，无法对企业的碳排放进行全流程的可信监管。解决办法：经过对企业生产现场设备的调研及研究分析，基于主动标识载体身份认证的智能化升级改造思路，在工业现场设备中嵌入主动标识载体且对其赋予碳排放数据采集能力，并关联设备采集的信息。达到基于工业互联网标识身份认证和区块链凭证的碳排放实时、可靠监控。升级后：全新系统上线后，对于碳排放监管平台而言，通过工业现场设备的主动标识，实现现场设备碳排放数据的实时、有效采集，通过企业区块链凭证，实现企业碳排放数据的安全、可靠上报，实现智能的碳监管，减轻碳监管各环节的人力、物力资源投入，低成本共享企业生成运行全量碳数据，实现碳监管的透明化，支持便捷、可靠的碳交易。25失失效效。当前物联网终端多是需要通过平台来实现终端之间以及终端与企业标识应用系统之间的通信，在实际的应用中，甚至存在通过多个平台转发才能实现系统之间通信的情况。由由于于第第三三方方平平台台之之间间竞竞争争关关系系，跨跨服服务务商商的的数数据据传传输输质质量量得得不不到到很很好好的的保保障障。主动标识载体向企业标识应用系统完成数据传输的直达功能，提升数据传输效率，依靠加密算法，保障数据传输过程的安全性。2 2.技技术术方方案案载体命令直达通过标识解析体系实现主动标识载体的标识编码与平台的 IP 地址或标识编码建立映射关系，当主动标识载体上传平台所订阅的设备信息时发起解析动作，获取目标平台的地址信息，上传验签完成的可信采集数据，实现设备与平台的直连。平台、终端或其他系统与主动标识载体直接通信，不依赖于第三方平台，通过数据加密等形式保障数据的安全性。提升设备数据集成度的同时也提升了设备采集装置部署的灵活性