引言/導讀
華為創立于1987年,是全球領先的ICT(信息與通信)基礎設施和智能終端提供商,致力于把數字世界帶入每個人、每個家庭、每個組織,構建萬物互聯的智能世界。目前華為有19.4萬員工,業務遍及170多個國家和地區,服務30多億人口。華為在通信網絡、IT、智能終端和云服務等領域為客戶提供有競爭力、安全可信賴的產品、解決方案與服務,與生態伙伴開放合作,持續為客戶創造價值,釋放個人潛能,豐富家庭生活,激發組織創新。華為堅持圍繞客戶需求持續創新,加大基礎研究投入,厚積薄發,推動世界進步。
北京三聯虹普新合纖技術服務股份有限公司(股票代碼:300384)——國際一流的聚酰胺新材料工程技術服務公司。公司創立于1999年,是一家專注于合成纖維及其原料生產技術及裝備領域的高新技術企業,公司集工藝技術開發、工程方案提供、主工藝設備制造及技術服務為一體,提供專業化“交鑰匙”工程技術服務,是國內提供高品質錦綸聚合及紡絲整體技術解決方案的工程公司。公司于2014年8月1日在深交所掛牌上市。三聯虹普數據科技有限公司為北京三聯虹普新合纖技術服務股份有限公司與日本TMT機械株式會社成立的合資公司,其目的是以兩家公司全面覆蓋合成纖維行業聚酯、聚酰胺兩大行業纖維及原材料領域具備技術壁壘的關鍵工藝技術,核心裝備為基礎,借助工業大數據、人工智能解決方案能力,構筑合成纖維工業互聯網平臺。
面向未來,客戶差異化定制需求日益增多,對產品品質的一致性要求更高,但當前化纖行業生產過程中預測能力欠缺,人工抽檢難度大,嚴重影響化纖產業高質量發展。隨著人工智能、大數據、云計算、邊緣計算、機器視覺等新興技術蓬勃發展,業界亟需構建有預測能力的數字化基礎設施支撐未來化纖行業的快速發展。通過工業技術(OT)與新一代信息通信技術(ICT)深度融合,推進化纖行業數字化轉型——依托智能裝備、工業互聯網與大數據技術打造端-邊-云協同智能化纖產線。
一、關鍵詞
邊緣計算、安全、化纖工業
二、發起公司和主要聯系人聯系方式
華為技術有限公司,聯系人:朱錦濤,17791596167,jintao.zhu@huawei.com
三聯虹普數據科技有限公司,聯系人:沈暉,18610686310,shenhui@slhpcn.com
三、合作公司
中國科學院沈陽自動化研究所,聯系人:王挺,18204015560,wangting1@sia.cn
四、測試床項目目標和概述
化纖行業的傳統實踐是統一標準體系下的中心控制機制,但是這一機制在應對需求更加多變、細分的需求時已經顯得困難。例如:
客戶定制化風格要求多:質量標準單一無法滿足高端客戶差異化需求;
人工抽檢負擔重:產能規模大,用工多,檢測效率低,無法在線檢測;
產品品質一致性要求高:化纖產品不同批次間質量波動不可控。
上述需求通過傳統的中心化云計算模式難以妥善解決,因此通過引入端邊云協同的“化纖工業智能體“來解決上述的需求。
本測試床基于“化纖工業智能體”業務相關的端-邊-云協同總體架構,并且著重測試其中的輕量化邊緣計算平臺的安全性。本測試床使用的輕量化邊緣計算平臺為華為Atlas500智能小站。
Atlas 500智能小站是一款性能強大,能在邊緣進行實時處理的邊緣計算產品,機頂盒大小的機身可以提供16 TOPS INT8的處理能力,同時功耗極低。Atlas 500集成了WIFI和LTE兩種無線數據接口,通過與私有云、公有云協同,云端推送應用、更新算法云端統一進行設備管理和固件升級。Atlas 500在業界第一個在邊緣計算產品中大規模應用TEC(Thermo-electric Cooling)半導體制冷散熱技術,使其支持嚴苛部署環境,在極端溫度下,Atlas 500都可以穩定運行。因此其對部署環境的要求極低,可以實現輕量化的部署與管理,同時滿足了化纖行業場景下對于邊緣計算的性能要求。
業界邊緣計算方案提出了一段時間,但是對于邊緣計算方案的安全如何保證,尤其是如何應用于化纖行業解決當前面臨的安全挑戰的業界實踐是空白,因此本測試床的主要目標就是通過展示該邊緣計算方案的安全能力,給化纖行業乃至流程制造的相關行業提供參考。
五、測試床解決方案架構
(一)測試床應用場景
測試床的應用場景主要是面向化纖行業流程生產場景下端邊云整體解決方案中輕量化邊緣計算平臺面臨的安全風險,給出合理的安全保護方案,并給出測試床的測試建議。
安全風險主要可以將歸納為:
安全性風險:邊緣設備部署在產線旁,存在潛在的生產敏感數據泄露、被篡改的風險。
可靠性風險:部署在物理環境中的邊緣設備長期運行存在業務失效的風險。
可用性風險:邊緣計算平臺被惡意攻擊或自運行出現故障時,存在業務中斷的風險。
數據隱私風險:工廠內生產制造關鍵工藝參數、生產狀態參數存在被竊取風險。
(二)測試床重點技術
針對前述的化纖行業基于邊緣計算平臺工業互聯網的不同測試床應用場景,本測試床項目提供的重點技術包括:安全性、數據隱私性、可用性和網關安全的相關關鍵技術及其測試項。
創新點 | 描述 | |
可用性 | 雙機熱備 | 雙機熱備,保證用戶業務不中斷;對外呈現只有一個IP,上層業務平臺不感知; |
無狀態運維 | 更換設備,使用設備克隆技術,實現業務無感知。 | |
安全性 | 數據加密 | 邊緣側業務數據加密,防數據丟失、防篡改 |
安全啟動 | 完善Atlas邊緣產品的安全啟動機制,支持客戶自定義開發場景下的安全啟動。 | |
隱私性 | 聯邦學習 | 產線與云端只傳遞模型參數,所有數據留在本地,保證數據隱私性 |
網關安全性 | 協議控制安全策略配置 | 南北向接口豐富,微服務靈活裁剪,安全可靠 |
(三)技術創新性及先進性
本測試床的相關技術均為化纖行業端邊云解決方案中的創新性解決方案。例如:為保障數據隱私性的聯邦學習機制,目前已經申請專利(US62897808)。而其它測試床重點技術也都是基于業界領先的安全可信的相關理念進行的特性設計,在業內的邊緣計算平臺防護上都屬于較為先進的技術方案。
(四)測試床解決方案架構
化纖行業基于輕量化邊緣計算平臺的工業互聯網場景安全測試床解決方案總體架構核心是:一站式數據采集+全景可視化監控+人工智能分析應用。具體包括如下幾個流程:
自動化產線數據采集、傳輸與匯聚,包括紡絲、卷繞、落筒、質檢、包裝和倉儲;
網關收集產線數據,并進行協議轉換,將轉換后的數據發往邊緣計算平臺;
邊緣計算平臺將產線數據安全上傳至云端(特征提取、脫敏、加密);
云端對于產線數據進行大數據分析及模型訓練;
云端將訓練優化后的模型推送至邊緣計算平臺;
邊緣計算平臺基于訓練模型對于本地數據處理進行進一步的處理;
邊緣計算平臺將推理結果反推回產線,優化產線的決策。
六、預期成果
(一)測試床的預期測試結果,針對測試項(重點)
本測試床針對基于化纖行業輕量化邊緣計算平臺的工業互聯網的4大類安全場景安全性、可靠性、可用性、韌性進行測試,下表列舉了本測試床項目的潛在測試項,但是具體的測試項可能隨項目的實際進展和測試條件變動而有所調整。
安全性
測試項 | 描述 |
安全啟動 | 補齊邊緣設備安全啟動能力,系統啟動全流程逐級校驗,確保啟動文件合法。 |
處理器提供加解密能力 |
|
本地敏感數據保護 |
|
密鑰管理 | Atlas 500密鑰管理采用“根密鑰 + 工作密鑰”的“兩層密鑰管理結構”,根密鑰用來對工作密鑰進行加密,工作密鑰對被保護數據進行加密。
|
傳輸安全 | 外部接入訪問默認使用SSH、HTTPS方式,傳輸通道通過使用安全協議進行加密。不安全協議HTTP默認關閉。
|
系統安全加固 |
|
賬號安全 | Atlas 500支持Web、Redfish、WebSocket等管理接口,并提供了統一的用戶管理功能。只支持1個外部可登錄用戶,不支持增加、刪除用戶。帳號安全措施包括:密碼復雜度檢查、密碼有效期和帳號防暴力破解。 |
認證管理 | 用戶通過Web、CLI訪問時需要進行認證,支持“用戶名 + 密碼”的認證方式。認證通過后才能進行設備的管理配置和信息查詢等操作。 |
證書管理 |
|
會話管理 |
|
用戶權限控制 | Atlas 500系統內部創建了不可登錄的普通用戶帳號,用于運行非關鍵進程。管理員賬號,默認只有普通用戶權限,降低管理員賬號泄露帶來的安全風險。 |
雙向認證 | 創建邊緣節點時,邊緣節點綁定唯一證書。與云上通信時,云端校驗邊緣節點證書,防止邊緣節點被仿冒。同時邊緣節點校驗云上證書,防止云上應用被仿冒。即通過HTTPS雙向證書認證,保證數據通道安全。(需邊云聯動測試,邊緣側單獨無法完成) |
韌性
方案 | 描述 |
容器安全隔離 | 支持指定每個容器可使用的CPU、內存等資源,限制每個容器可訪問的磁盤空間,單個容器異常不影響系統整體功能。 |
系統重啟 | 系統和關鍵進程異常都可被看門狗復位拉起。 |
邊緣自治 | 中心網管中斷不影響邊緣軟件繼續運行;提供邊緣WEBUI近端管理能力。 |
可用性
方案 | 描述 |
雙機備份 | 支持兩臺智能小站組成雙機備份系統,提供雙機軟件平臺,支持快速倒換(2s),支持主備仲裁,自動防雙主、雙備。 |
軟硬件故障主動上報 | 提供豐富的故障檢測功能,精確定位硬件故障,并支持發現容器服務異常,上報硬件/軟件告警。 |
容器故障修復 | 當邊緣部署的容器運行出現故障時,可以通過容器引擎重啟該容器。 |
進程黑匣子 | 在芯片中保存關鍵日志,以便系統或設備意外宕機時遠程獲取黑匣子日志。 |
一鍵恢復出廠設置 | 提供一鍵恢復出廠設備功能,將系統固件、配置恢復到出廠狀態。 |
可靠性
方案 | 描述 |
審計日志自動備份 | Atlas 500日志保存在Flash文件系統中,當日志文件達到指定大小后會自動進行日志文件備份。 |
固件、系統雙備份 | 支持uboot、MCU固件雙備份,以及操作系統、驅動軟件雙備份,固件、系統損壞情況下自動切換備區運行,并保持原有配置不丟失。 |
(二)商業價值
本項目研究成果可提高基于邊緣計算平臺的紡絲工業互聯網生產系統安全運行的可靠性,降低安全事件造成的經濟損失。本項目成果為邊緣計算平臺在化纖行業的應用提供綜合的安全防護方案,增強紡絲工業互聯網系統防范網絡安全攻擊的能力,保障生產系統的安全穩定運行并減少安全事件造成的損失,為用戶帶來顯著的經濟效益。
(三)經濟效益
本安全測試床項目研究成果可做為紡絲工業智能體產品的重要組成部分,為基于邊緣計算平臺的紡絲工業互聯網產線提供安全防護。
在實際生產環境中,每套紡絲工業智能體產品可為約40條卷繞機位產線提供服務,每條卷繞機位產線價值約10萬美元,因此本項目研究成果每套可為價值約400萬美元的產線提供安全防護,保障生產系統的安全穩定運行。
方案可在合成纖維行業、紡織行業推廣使用。
(四)社會價值
本項目的設計思想、核心技術、相關成果不僅適用于化纖行業的工業互聯網場景,對其他行業和相關系統也具有示范作用。通過本項目積累高等級工業互聯網生產系統安全防護體系的建設經驗,可供其他行業參考借鑒,對工業互聯網整體數字化水平的提升具有重要意義,滿足國家高質量發展的需求,也為國家網絡空間安全戰略提供支撐。
七、測試床技術可行性
(一)物理平臺
本次測試床所涉及的邊緣計算平臺硬件基于華為Atlas 500智能小站。Atlas 500是一款性能強大,能在邊緣進行實時處理的邊緣計算產品,單臺可提供16 TOPS INT8的處理能力,同時功耗極低,每天耗能小于一度電。Atlas 500集成了WIFI和LTE兩種無線數據接口,提供靈活的網絡接入和數據傳輸方案。Atlas500小站大小與電視機頂盒相近,免風扇設計,通過業界第一個在邊緣計算產品中大規模應用TEC散熱技術,使其可以在-40℃~70℃穩定運行。
(二)軟件平臺
本次測試床所涉及的邊緣計算平臺Atals500智能小站軟件基于EulerOS。EulerOS是基于開源技術的開放的企業級Linux操作系統軟件,具備高安全性、高可擴展性、高性能等技術特性,能夠滿足客戶IT基礎設施和云計算服務等多業務場景需求。
通過部署于Atlas500小站上的智能邊緣平臺IEF(Intelligent EdgeFabric )滿足客戶對邊緣計算資源的遠程管控、數據處理、分析決策、智能化的訴求, 為用戶提供完整的邊緣和云協同的一體化服務。實現隱私數據本地化、業務處理低時延、數據智能化,驅動企業數字化轉型。IEF提供海量邊緣節點安全接入、邊緣應用生命周期管理、安全可靠的邊云數據通道、豐富的邊緣AI算法等關鍵能力。
八、和AII技術的關系
(一)與AII總體架構的關系
本測試床符合AII總體架構,主要驗證內容屬于邊緣計算特設組與安全組工作范疇。
(二)AII安全(可選)
本測試床項目將化纖行業生產過程中邊緣計算面臨的安全問題作為核心測試因素,因而設計了基于邊緣計算平臺的整體安全能力解決方案,包括安全性、隱私性、可用性、可靠性和韌性等多種特性,如下圖所示:
(三)詳細清單(可選)
參與方 | 物料信息 |
華為 | 提供邊緣計算平臺; |
沈自所 | 提供工業網關,完成工業私有協議的向上轉換。 |
三聯虹普 | 提出業務安全需求; |
日本TMT | 提供卷繞機等生產設備。 |
(四)安全聯系人
華為技術有限公司,聯系人:朱錦濤,17791596167,jintao.zhu@huawei.com
(五)與已存在AII測試床的關系
本測試床定位面向工業互聯網流程中的邊緣計算平臺的安全能力測試,與現有其他測試床之間存在一定互補關系,暫未見到在應用領域上存在重復的情況。
九、交付件
測試床交付物包括前述包含邊緣計算平臺的安全解決方案以及“預期成果”中的相關測試項測試結果報告。
十、測試床使用者
本測試床歡迎更多合作伙伴加入安源安全測試驗證。非發起方的參與者可以使用驗證示范平臺的所有操作功能,但僅限于功能的操作使用,禁止泄露給同行業的第三方。
十一、知識產權說明
項目合作過程中產生的全部開發成果及其知識產權,包括但不限于申請專利的權利、專利申請權、專利權、版權、商業秘密,均歸發起方共有;未經一方書面同意,另一方不可將本協議項目合作過程中產生的任何知識產權轉讓、許可給任何第三方。
十二、部署,操作和訪問使用
本次測試部署于三聯虹普數據科技有限公司的紡絲智能試點產線,測試床資源由三聯虹普數據科技有限公司負責運營。
十三、資金
本安全測試床項目總投資xxx萬元人民幣,全部由參與單位自籌。其中,科研投資約60%,試點示范單位工程費用投資估算40%。
十四、時間軸
本方案驗證分為三個階段:
十五、附加信息
本測試床成果將不僅應用于化纖行業的工業互聯網場景,未來測試床還可以廣泛復制到各種對邊緣計算有需求的行業的工業互聯網場景中,具備規模復制性。在提升其流程建模分析效率,找出降低生產質量的因素,進而提升良品率的基礎之上,保障了其生產過程中的安全性。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
工業互聯網產業聯盟
聯系電話:010-62305887
郵箱:aii@caict.ac.cn