基于輕量化邊緣計算平臺的 工業(yè)互聯(lián)網場景安全測試床
引言/導讀
華為創(chuàng)立于1987年,是全球領先的ICT(信息與通信)基礎設施和智能終端提供商,致力于把數(shù)字世界帶入每個人、每個家庭、每個組織,構建萬物互聯(lián)的智能世界。目前華為有19.4萬員工,業(yè)務遍及170多個國家和地區(qū),服務30多億人口。華為在通信網絡、IT、智能終端和云服務等領域為客戶提供有競爭力、安全可信賴的產品、解決方案與服務,與生態(tài)伙伴開放合作,持續(xù)為客戶創(chuàng)造價值,釋放個人潛能,豐富家庭生活,激發(fā)組織創(chuàng)新。華為堅持圍繞客戶需求持續(xù)創(chuàng)新,加大基礎研究投入,厚積薄發(fā),推動世界進步。
北京三聯(lián)虹普新合纖技術服務股份有限公司(股票代碼:300384)——國際一流的聚酰胺新材料工程技術服務公司。公司創(chuàng)立于1999年,是一家專注于合成纖維及其原料生產技術及裝備領域的高新技術企業(yè),公司集工藝技術開發(fā)、工程方案提供、主工藝設備制造及技術服務為一體,提供專業(yè)化“交鑰匙”工程技術服務,是國內提供高品質錦綸聚合及紡絲整體技術解決方案的工程公司。公司于2014年8月1日在深交所掛牌上市。三聯(lián)虹普數(shù)據(jù)科技有限公司為北京三聯(lián)虹普新合纖技術服務股份有限公司與日本TMT機械株式會社成立的合資公司,其目的是以兩家公司全面覆蓋合成纖維行業(yè)聚酯、聚酰胺兩大行業(yè)纖維及原材料領域具備技術壁壘的關鍵工藝技術,核心裝備為基礎,借助工業(yè)大數(shù)據(jù)、人工智能解決方案能力,構筑合成纖維工業(yè)互聯(lián)網平臺。
面向未來,客戶差異化定制需求日益增多,對產品品質的一致性要求更高,但當前化纖行業(yè)生產過程中預測能力欠缺,人工抽檢難度大,嚴重影響化纖產業(yè)高質量發(fā)展。隨著人工智能、大數(shù)據(jù)、云計算、邊緣計算、機器視覺等新興技術蓬勃發(fā)展,業(yè)界亟需構建有預測能力的數(shù)字化基礎設施支撐未來化纖行業(yè)的快速發(fā)展。通過工業(yè)技術(OT)與新一代信息通信技術(ICT)深度融合,推進化纖行業(yè)數(shù)字化轉型——依托智能裝備、工業(yè)互聯(lián)網與大數(shù)據(jù)技術打造端-邊-云協(xié)同智能化纖產線。
一、關鍵詞
邊緣計算、安全、化纖工業(yè)
二、發(fā)起公司和主要聯(lián)系人聯(lián)系方式
華為技術有限公司,聯(lián)系人:朱錦濤,17791596167,jintao.zhu@huawei.com
三聯(lián)虹普數(shù)據(jù)科技有限公司,聯(lián)系人:沈暉,18610686310,shenhui@slhpcn.com
三、合作公司
中國科學院沈陽自動化研究所,聯(lián)系人:王挺,18204015560,wangting1@sia.cn
四、測試床項目目標和概述
化纖行業(yè)的傳統(tǒng)實踐是統(tǒng)一標準體系下的中心控制機制,但是這一機制在應對需求更加多變、細分的需求時已經顯得困難。例如:
客戶定制化風格要求多:質量標準單一無法滿足高端客戶差異化需求;
人工抽檢負擔重:產能規(guī)模大,用工多,檢測效率低,無法在線檢測;
產品品質一致性要求高:化纖產品不同批次間質量波動不可控。
上述需求通過傳統(tǒng)的中心化云計算模式難以妥善解決,因此通過引入端邊云協(xié)同的“化纖工業(yè)智能體“來解決上述的需求。
本測試床基于“化纖工業(yè)智能體”業(yè)務相關的端-邊-云協(xié)同總體架構,并且著重測試其中的輕量化邊緣計算平臺的安全性。本測試床使用的輕量化邊緣計算平臺為華為Atlas500智能小站。
Atlas 500智能小站是一款性能強大,能在邊緣進行實時處理的邊緣計算產品,機頂盒大小的機身可以提供16 TOPS INT8的處理能力,同時功耗極低。Atlas 500集成了WIFI和LTE兩種無線數(shù)據(jù)接口,通過與私有云、公有云協(xié)同,云端推送應用、更新算法云端統(tǒng)一進行設備管理和固件升級。Atlas 500在業(yè)界第一個在邊緣計算產品中大規(guī)模應用TEC(Thermo-electric Cooling)半導體制冷散熱技術,使其支持嚴苛部署環(huán)境,在極端溫度下,Atlas 500都可以穩(wěn)定運行。因此其對部署環(huán)境的要求極低,可以實現(xiàn)輕量化的部署與管理,同時滿足了化纖行業(yè)場景下對于邊緣計算的性能要求。
業(yè)界邊緣計算方案提出了一段時間,但是對于邊緣計算方案的安全如何保證,尤其是如何應用于化纖行業(yè)解決當前面臨的安全挑戰(zhàn)的業(yè)界實踐是空白,因此本測試床的主要目標就是通過展示該邊緣計算方案的安全能力,給化纖行業(yè)乃至流程制造的相關行業(yè)提供參考。
五、測試床解決方案架構
(一)測試床應用場景
測試床的應用場景主要是面向化纖行業(yè)流程生產場景下端邊云整體解決方案中輕量化邊緣計算平臺面臨的安全風險,給出合理的安全保護方案,并給出測試床的測試建議。
安全風險主要可以將歸納為:
安全性風險:邊緣設備部署在產線旁,存在潛在的生產敏感數(shù)據(jù)泄露、被篡改的風險。
可靠性風險:部署在物理環(huán)境中的邊緣設備長期運行存在業(yè)務失效的風險。
可用性風險:邊緣計算平臺被惡意攻擊或自運行出現(xiàn)故障時,存在業(yè)務中斷的風險。
數(shù)據(jù)隱私風險:工廠內生產制造關鍵工藝參數(shù)、生產狀態(tài)參數(shù)存在被竊取風險。
(二)測試床重點技術
針對前述的化纖行業(yè)基于邊緣計算平臺工業(yè)互聯(lián)網的不同測試床應用場景,本測試床項目提供的重點技術包括:安全性、數(shù)據(jù)隱私性、可用性和網關安全的相關關鍵技術及其測試項。
創(chuàng)新點 | 描述 | |
可用性 | 雙機熱備 | 雙機熱備,保證用戶業(yè)務不中斷;對外呈現(xiàn)只有一個IP,上層業(yè)務平臺不感知; |
無狀態(tài)運維 | 更換設備,使用設備克隆技術,實現(xiàn)業(yè)務無感知。 | |
安全性 | 數(shù)據(jù)加密 | 邊緣側業(yè)務數(shù)據(jù)加密,防數(shù)據(jù)丟失、防篡改 |
安全啟動 | 完善Atlas邊緣產品的安全啟動機制,支持客戶自定義開發(fā)場景下的安全啟動。 | |
隱私性 | 聯(lián)邦學習 | 產線與云端只傳遞模型參數(shù),所有數(shù)據(jù)留在本地,保證數(shù)據(jù)隱私性 |
網關安全性 | 協(xié)議控制安全策略配置 | 南北向接口豐富,微服務靈活裁剪,安全可靠 |
(三)技術創(chuàng)新性及先進性
本測試床的相關技術均為化纖行業(yè)端邊云解決方案中的創(chuàng)新性解決方案。例如:為保障數(shù)據(jù)隱私性的聯(lián)邦學習機制,目前已經申請專利(US62897808)。而其它測試床重點技術也都是基于業(yè)界領先的安全可信的相關理念進行的特性設計,在業(yè)內的邊緣計算平臺防護上都屬于較為先進的技術方案。
(四)測試床解決方案架構
化纖行業(yè)基于輕量化邊緣計算平臺的工業(yè)互聯(lián)網場景安全測試床解決方案總體架構核心是:一站式數(shù)據(jù)采集+全景可視化監(jiān)控+人工智能分析應用。具體包括如下幾個流程:
自動化產線數(shù)據(jù)采集、傳輸與匯聚,包括紡絲、卷繞、落筒、質檢、包裝和倉儲;
網關收集產線數(shù)據(jù),并進行協(xié)議轉換,將轉換后的數(shù)據(jù)發(fā)往邊緣計算平臺;
邊緣計算平臺將產線數(shù)據(jù)安全上傳至云端(特征提取、脫敏、加密);
云端對于產線數(shù)據(jù)進行大數(shù)據(jù)分析及模型訓練;
云端將訓練優(yōu)化后的模型推送至邊緣計算平臺;
邊緣計算平臺基于訓練模型對于本地數(shù)據(jù)處理進行進一步的處理;
邊緣計算平臺將推理結果反推回產線,優(yōu)化產線的決策。
六、預期成果
(一)測試床的預期測試結果,針對測試項(重點)
本測試床針對基于化纖行業(yè)輕量化邊緣計算平臺的工業(yè)互聯(lián)網的4大類安全場景安全性、可靠性、可用性、韌性進行測試,下表列舉了本測試床項目的潛在測試項,但是具體的測試項可能隨項目的實際進展和測試條件變動而有所調整。
安全性
測試項 | 描述 |
安全啟動 | 補齊邊緣設備安全啟動能力,系統(tǒng)啟動全流程逐級校驗,確保啟動文件合法。 |
處理器提供加解密能力 |
|
本地敏感數(shù)據(jù)保護 |
|
密鑰管理 | Atlas 500密鑰管理采用“根密鑰 + 工作密鑰”的“兩層密鑰管理結構”,根密鑰用來對工作密鑰進行加密,工作密鑰對被保護數(shù)據(jù)進行加密。
|
傳輸安全 | 外部接入訪問默認使用SSH、HTTPS方式,傳輸通道通過使用安全協(xié)議進行加密。不安全協(xié)議HTTP默認關閉。
|
系統(tǒng)安全加固 |
|
賬號安全 | Atlas 500支持Web、Redfish、WebSocket等管理接口,并提供了統(tǒng)一的用戶管理功能。只支持1個外部可登錄用戶,不支持增加、刪除用戶。帳號安全措施包括:密碼復雜度檢查、密碼有效期和帳號防暴力破解。 |
認證管理 | 用戶通過Web、CLI訪問時需要進行認證,支持“用戶名 + 密碼”的認證方式。認證通過后才能進行設備的管理配置和信息查詢等操作。 |
證書管理 |
|
會話管理 |
|
用戶權限控制 | Atlas 500系統(tǒng)內部創(chuàng)建了不可登錄的普通用戶帳號,用于運行非關鍵進程。管理員賬號,默認只有普通用戶權限,降低管理員賬號泄露帶來的安全風險。 |
雙向認證 | 創(chuàng)建邊緣節(jié)點時,邊緣節(jié)點綁定唯一證書。與云上通信時,云端校驗邊緣節(jié)點證書,防止邊緣節(jié)點被仿冒。同時邊緣節(jié)點校驗云上證書,防止云上應用被仿冒。即通過HTTPS雙向證書認證,保證數(shù)據(jù)通道安全。(需邊云聯(lián)動測試,邊緣側單獨無法完成) |
韌性
方案 | 描述 |
容器安全隔離 | 支持指定每個容器可使用的CPU、內存等資源,限制每個容器可訪問的磁盤空間,單個容器異常不影響系統(tǒng)整體功能。 |
系統(tǒng)重啟 | 系統(tǒng)和關鍵進程異常都可被看門狗復位拉起。 |
邊緣自治 | 中心網管中斷不影響邊緣軟件繼續(xù)運行;提供邊緣WEBUI近端管理能力。 |
可用性
方案 | 描述 |
雙機備份 | 支持兩臺智能小站組成雙機備份系統(tǒng),提供雙機軟件平臺,支持快速倒換(2s),支持主備仲裁,自動防雙主、雙備。 |
軟硬件故障主動上報 | 提供豐富的故障檢測功能,精確定位硬件故障,并支持發(fā)現(xiàn)容器服務異常,上報硬件/軟件告警。 |
容器故障修復 | 當邊緣部署的容器運行出現(xiàn)故障時,可以通過容器引擎重啟該容器。 |
進程黑匣子 | 在芯片中保存關鍵日志,以便系統(tǒng)或設備意外宕機時遠程獲取黑匣子日志。 |
一鍵恢復出廠設置 | 提供一鍵恢復出廠設備功能,將系統(tǒng)固件、配置恢復到出廠狀態(tài)。 |
可靠性
方案 | 描述 |
審計日志自動備份 | Atlas 500日志保存在Flash文件系統(tǒng)中,當日志文件達到指定大小后會自動進行日志文件備份。 |
固件、系統(tǒng)雙備份 | 支持uboot、MCU固件雙備份,以及操作系統(tǒng)、驅動軟件雙備份,固件、系統(tǒng)損壞情況下自動切換備區(qū)運行,并保持原有配置不丟失。 |
(二)商業(yè)價值
本項目研究成果可提高基于邊緣計算平臺的紡絲工業(yè)互聯(lián)網生產系統(tǒng)安全運行的可靠性,降低安全事件造成的經濟損失。本項目成果為邊緣計算平臺在化纖行業(yè)的應用提供綜合的安全防護方案,增強紡絲工業(yè)互聯(lián)網系統(tǒng)防范網絡安全攻擊的能力,保障生產系統(tǒng)的安全穩(wěn)定運行并減少安全事件造成的損失,為用戶帶來顯著的經濟效益。
(三)經濟效益
本安全測試床項目研究成果可做為紡絲工業(yè)智能體產品的重要組成部分,為基于邊緣計算平臺的紡絲工業(yè)互聯(lián)網產線提供安全防護。
在實際生產環(huán)境中,每套紡絲工業(yè)智能體產品可為約40條卷繞機位產線提供服務,每條卷繞機位產線價值約10萬美元,因此本項目研究成果每套可為價值約400萬美元的產線提供安全防護,保障生產系統(tǒng)的安全穩(wěn)定運行。
方案可在合成纖維行業(yè)、紡織行業(yè)推廣使用。
(四)社會價值
本項目的設計思想、核心技術、相關成果不僅適用于化纖行業(yè)的工業(yè)互聯(lián)網場景,對其他行業(yè)和相關系統(tǒng)也具有示范作用。通過本項目積累高等級工業(yè)互聯(lián)網生產系統(tǒng)安全防護體系的建設經驗,可供其他行業(yè)參考借鑒,對工業(yè)互聯(lián)網整體數(shù)字化水平的提升具有重要意義,滿足國家高質量發(fā)展的需求,也為國家網絡空間安全戰(zhàn)略提供支撐。
七、測試床技術可行性
(一)物理平臺
本次測試床所涉及的邊緣計算平臺硬件基于華為Atlas 500智能小站。Atlas 500是一款性能強大,能在邊緣進行實時處理的邊緣計算產品,單臺可提供16 TOPS INT8的處理能力,同時功耗極低,每天耗能小于一度電。Atlas 500集成了WIFI和LTE兩種無線數(shù)據(jù)接口,提供靈活的網絡接入和數(shù)據(jù)傳輸方案。Atlas500小站大小與電視機頂盒相近,免風扇設計,通過業(yè)界第一個在邊緣計算產品中大規(guī)模應用TEC散熱技術,使其可以在-40℃~70℃穩(wěn)定運行。
(二)軟件平臺
本次測試床所涉及的邊緣計算平臺Atals500智能小站軟件基于EulerOS。EulerOS是基于開源技術的開放的企業(yè)級Linux操作系統(tǒng)軟件,具備高安全性、高可擴展性、高性能等技術特性,能夠滿足客戶IT基礎設施和云計算服務等多業(yè)務場景需求。
通過部署于Atlas500小站上的智能邊緣平臺IEF(Intelligent EdgeFabric )滿足客戶對邊緣計算資源的遠程管控、數(shù)據(jù)處理、分析決策、智能化的訴求, 為用戶提供完整的邊緣和云協(xié)同的一體化服務。實現(xiàn)隱私數(shù)據(jù)本地化、業(yè)務處理低時延、數(shù)據(jù)智能化,驅動企業(yè)數(shù)字化轉型。IEF提供海量邊緣節(jié)點安全接入、邊緣應用生命周期管理、安全可靠的邊云數(shù)據(jù)通道、豐富的邊緣AI算法等關鍵能力。
八、和AII技術的關系
(一)與AII總體架構的關系
本測試床符合AII總體架構,主要驗證內容屬于邊緣計算特設組與安全組工作范疇。
(二)AII安全(可選)
本測試床項目將化纖行業(yè)生產過程中邊緣計算面臨的安全問題作為核心測試因素,因而設計了基于邊緣計算平臺的整體安全能力解決方案,包括安全性、隱私性、可用性、可靠性和韌性等多種特性,如下圖所示:
(三)詳細清單(可選)
參與方 | 物料信息 |
華為 | 提供邊緣計算平臺; |
沈自所 | 提供工業(yè)網關,完成工業(yè)私有協(xié)議的向上轉換。 |
三聯(lián)虹普 | 提出業(yè)務安全需求; |
日本TMT | 提供卷繞機等生產設備。 |
(四)安全聯(lián)系人
華為技術有限公司,聯(lián)系人:朱錦濤,17791596167,jintao.zhu@huawei.com
(五)與已存在AII測試床的關系
本測試床定位面向工業(yè)互聯(lián)網流程中的邊緣計算平臺的安全能力測試,與現(xiàn)有其他測試床之間存在一定互補關系,暫未見到在應用領域上存在重復的情況。
九、交付件
測試床交付物包括前述包含邊緣計算平臺的安全解決方案以及“預期成果”中的相關測試項測試結果報告。
十、測試床使用者
本測試床歡迎更多合作伙伴加入安源安全測試驗證。非發(fā)起方的參與者可以使用驗證示范平臺的所有操作功能,但僅限于功能的操作使用,禁止泄露給同行業(yè)的第三方。
十一、知識產權說明
項目合作過程中產生的全部開發(fā)成果及其知識產權,包括但不限于申請專利的權利、專利申請權、專利權、版權、商業(yè)秘密,均歸發(fā)起方共有;未經一方書面同意,另一方不可將本協(xié)議項目合作過程中產生的任何知識產權轉讓、許可給任何第三方。
十二、部署,操作和訪問使用
本次測試部署于三聯(lián)虹普數(shù)據(jù)科技有限公司的紡絲智能試點產線,測試床資源由三聯(lián)虹普數(shù)據(jù)科技有限公司負責運營。
十三、資金
本安全測試床項目總投資xxx萬元人民幣,全部由參與單位自籌。其中,科研投資約60%,試點示范單位工程費用投資估算40%。
十四、時間軸
本方案驗證分為三個階段:
十五、附加信息
本測試床成果將不僅應用于化纖行業(yè)的工業(yè)互聯(lián)網場景,未來測試床還可以廣泛復制到各種對邊緣計算有需求的行業(yè)的工業(yè)互聯(lián)網場景中,具備規(guī)模復制性。在提升其流程建模分析效率,找出降低生產質量的因素,進而提升良品率的基礎之上,保障了其生產過程中的安全性。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數(shù)據(jù)、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業(yè)互聯(lián)網產業(yè)聯(lián)盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯(lián)系本聯(lián)盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發(fā)布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數(shù)據(jù)圖表。違反上述聲明者,本聯(lián)盟將追究其相關法律責任。
工業(yè)互聯(lián)網產業(yè)聯(lián)盟
聯(lián)系電話:010-62305887
郵箱:aii@caict.ac.cn
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數(shù)據(jù)、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業(yè)互聯(lián)網產業(yè)聯(lián)盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯(lián)系本聯(lián)盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發(fā)布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數(shù)據(jù)圖表。違反上述聲明者,本聯(lián)盟將追究其相關法律責任。
AII微信公眾號
AII頭條號