工业互联网是连接工业全系统、全产业链、全价值链,支撑工业智能化发展的关键基础设施,是OT(OperationTechnology)和IT(InformationTechnology)深度融合的产物,其核心是让互联网深度参与到制造业和工业生产过程中,实现工业企业及其相关要素之间的万物互联。2017 年11月27日,篮球比分发布了关于《深化“互联网+先进制造业”发展工业互联网的指导意见》,这是我国针对工业互联网发展的首个规范性意见,指明了未来发展先进制造业的方向。2018年6月7日,工信部公布了《工业互联网发展行动计划(2018—2020年)》,文件明确指出,开展工业互联网关键核心技术研发和产品研制,推进边缘计算、深度学习、区块链等新兴前沿技术在工业互联网的应用研究。边缘计算是工业互联网的重要基础,对制造业的数字化、网络化、智能化发展意义重大。
一、工业互联网发展遇到瓶颈
随着可穿戴设备、智能电表、智能家居、车联网和大规模无线传感器网络的发展,工业物联网(IndustrialInternet ofThings,IIoT)在近些年受到极大的关注,被视为是工业互联网的未来。最近几年,工业物联网设备和传感器的数量大大增加,对工业互联网的传统网络架构提出了挑战。思科保守估计,到2020年将有500亿的设备接入到网络中,万物互联的时代已经到来。由于接入网络的工业智能设备越来越多,不仅会占用大量网络带宽,而且会加重工业云数据中心的负担,数据传输和信息获取的情况将越来越糟,由此引发的服务中断、网络延迟等问题将严重制约我国工业互联网的应用和发展。此外,由于工业互联网设备和集中式的云计算数据中心的传输距离较远,工业领域一些需要移动支持、位置感知和低延迟的应用的服务质量也难以得到保证。
二、边缘计算助力工业互联网发展
为了解决以上问题,有人提出可以将边缘计算与工业互联网进行深度融合,将云计算直接在网络边缘实现计算,从而有效降低网络的传输负担,处理工业环境下对实时性有着严格要求的业务,拓展工业互联网平台收集和管理数据的范围和能力。边缘计算是将集中式的计算资源分散到数据产生源附近(被称为边缘层,如图1所示),并且将一部分计算任务分配到边缘层计算资源中,以提高计算任务的实时性。在工业控制系统中,位于底层、嵌于PLC、DCS等设备或者系统中的计算资源,即可图1工业互联网数据处理架构作为边缘计算的资源。这些纷杂、独立的边缘资源如能充分实现互联、互通、互操作,并充分标准化和平台化,将很好地满足现代工业应用场景在实时、安全、大容量、高速度、自适应计算和通信等方面的要求。
图1 工业互联网数据处理架构
图2为实际生产中的工业自动化金字塔。从图中可以看出,边缘计算位于过程控制系统层和机器控制层之间,在离工业现场最近的地方,就近提供边缘智能服务,在边缘侧直接采集、感知、分析、预测、优化、决策,实现实际生产中的工业自动化,提高工业现场的确定性和业务实时性。同时,边缘计算可以同云计算进行协同交互,并将生产数据分析结果反馈给ERP系统,满足制造企业数字化转型中在实时业务、数据优化、应用智能、安全保护等方面的需求。
图2 实际生产中的工业自动化金字塔
三、工业互联网边缘计算中存在的安全问题及解决思路
边缘计算是当前工业互联网中的重要一环,在工业互联网中部署边缘计算节点可以分解云端复杂的计算任务,并极大提高工业互联网数据计算的实时性。但是,由于计算节点通常部署在开放的环境中,使得相较于云端数据处理,边缘计算节点在数据采集、数据分析等过程中的数据安全问题更加突出。
(一)边缘计算安全问题
(1)基础网络架构的攻击导致数据保密性、完整性、可用性遭到破坏。边缘计算通过融合无线网、移动中心网、互联网等多种通信网络实现物联网设备和传感器的互联,在这一融合大网中,其网络基础设施极易受到攻击,攻击者可以从任一有漏洞的网络着手,突破整个大网的安全防线。一旦网络基础设施被攻破,数据就面临丢失、篡改、伪造等安全问题。
(2)授权实体造成的数据安全威胁。边缘计算中的授权实体并不是绝对可信的,工业互联网工况状态数据、工艺质量数据等重要数据都会通过传感器收集存储在这些授权实体图2实际生产中的工业自动化金字塔中,一旦一个实体面临信任威胁,就会造成工业互联网重要数据泄露、篡改等安全问题,极有可能威胁到工业现场的正常生产。
(3)计算结果在上传云端时的传输安全问题。边缘计算通常要先进行本地计算,对重要的计算结果上传到云端进行存储分析。但是在工业互联网重要数据上传过程中,在数据传输信道中就会面临数据劫持威胁,会导致重要数据机密性、完整性、可用性遭到破坏。工业互联网重要数据遭到攻击,严重时极有可能威胁国家安全、国计民生、公众利益。
(二)边缘计算安全问题的解决思路
(1)加强边缘计算中的数据安全保护。加快制定工业互联网中数据分类分级标准及重要敏感数据识别认定标准,明确分类规则及脱敏要求。对数据进行分类分级存储,确保工业互联网中的数据能按照相应的级别存入相应的系统中,并对重要敏感数据进行加密及脱敏处理,做到即使网络被攻破,数据也处于安全状态。
(2)使用“最小授权”原则对数据进行加密和访问控制,确保数据的可管可控。制定权限策略,对边缘计算中的节点权限进行明确划分。同时,加密时,在各节点中采用不同的密钥,确保一个节点被攻破后,其他节点的数据保密性不会遭到破坏。
(3)在数据传输时采取端到端数据加密及验签技术。在数据上传到云端前采用SM系列算法对数据进行加密和签名,在数据上传到云端后,对数据进行验签,验签未通过及时排查原因,确保工业互联网重要数据在传输过程中的保密性和完整性不会遭到破坏。
四、结语
边缘计算是制造业与互联网融合领域的新兴技术,作为新型的数据计算架构和组织形态,边缘计算将工业云的计算能力扩展到了网络的边缘,为用户就近提供智能服务,解决工业现场高实时性要求与互联网服务质量的不确定性的矛盾。在边缘计算应用到工业互联网的过程中,边缘计算也为用户带来了一定的安全隐患。因此,在工业互联网与边缘计算深度融合的过程中,解决安全问题带来的痛点、难点势在必行。
(原载于《保密科学技术》2019年11月刊)