严挺:各位下午好,我只讲干货,工业互联网里面这个概念比较广泛,不同的工业环境中是完全不一样的。泛指工业互联网,工业云专业角度来说有一些陷阱在里面。工业这个东西一个电厂跟一个煤厂,跟一个港务怎么可能连接在一起,绝对是不现实的,这是一个概念。
分为三方面,我们现在讲区块链不说了,这里讲区块链请大家不要再提出工业区块链挖个矿比较低级的问题,第二我们所讲工业区块链用一些技术指我们在工业网络里面怎么采取用区块链的技术本身的特性使这个网络更安全、更高效,我们现在所有方法所不能用到这些地方,这是我们要下工夫的。
这里我们讲几个事件,频发不说了,跟攻击有关系。其实实际上遇到很多跟安全相关的问题,一个是接入,大家如果有机会去电厂,去各种各样化工厂里面,里面的网是相对很频的,不要谈安全,谈安全甲方就急了。这个网是不能停的,一个电网由于安全问题停一下重新启动一下,一个电厂点火一次这个价格非常贵。一个是接入,谁有办法接入这个网。LTE网出现之后,很多工业设备看起来是在内网里面,其实是裸露在互联网上。接个LTE网卡一插,这个就出去了,这是很现实的。很多地方看到一个员工为了自己使用方便,拿一个无线IP做一下,这事很多,屡禁不止。包括通信安全,非常重要。我们在很多工业互联网的内部网,到一个厂里看,就是一个IP网,而且是最低级共享的网络,全是洞,只是外面包着物理隔离什么的,实际内部问题非常严重。包括它现在风控主要的存储电都是一个中央的设备,共享和交易有很多问题,这些问题是现实存在的。我们今天谈标准,我们谈开源,这个东西不存在。很简单,哪怕在这个供电厂里面也是一样,这个问题不因为我们因为高大上谈其他事情而没有,显示在这边是有。
国家政策非常多,尤其是网络安全法颁布之后,把关键设施定义出来了。大家出的方案要实用,你说这不安全,你用我的系统加上就安全了,没人理你。我们做的事情非常的现实,怎样用一种很现实的技术,很好用,很轻量级,不要动网络,能解决问题。因为用户不会去说因为你用区块链技术,你这个技术很牛我就用你的。用户有一个性价比最高的技术,大家要站在地上说话。今天我转一圈很多题目非常好,但基本上都是在天上说话,神仙说话,这个不能处理人间疾苦。
我们现在说要适应工业互联网轻型区块链技术。区块链技术很重,区块链的智能合约都对CPU和网络有相当高的需求,一个常连接固定端口不停地算,不停地共识加密签名都要耗费CPU。传统的所谓区块链技术放到工业互联网上我能怎么样,基本都是扯淡,这个需要改造。改造你要真正了解工业互联网里面是什么业务,它真正需要什么技术。这里中间是一个固定网闸,联网很难连,你让人家上区块链瞎扯,还是要脚踏实地。
区块链概念不说了,相信都会了。区块链技术也是投入非常多,实际上作为我们在工业控制用区块链相对比较少,我们确实在2016年开始在某些特定工业互联网环境里面有一些具体现实跑的项目,给大家共享一下。这个项目我们原来在很多场合下没有披露,国家重点研发项目、国家重点项目在里面。发展情况不说了,非常火。这个是有节点厂家、生产企业、管理机构核心单位组成的接入认证。现在工业互联网中接入设备认证非常简单就是一个点,我认为你这个Mac地址能接入就接入 。这种接入方式是否合理,是否有故障,是否出现问题的时候容易出现其他不可收拾的情况,是有问题的。比如你这个点坏了,你这个电设备临时更换,他这个表没有临时更换怎么办?有些地方某些工业设备接入需要人为控制,那是另外一件事情。你可以在区块链上建立临时ID,是互相绑定的,根据业务专门认证,它很轻量,这是一种我们讲的认证方面的区块链。
通信之间可以讲利用P2P节点云进行通讯,这个很实用,也是我们在电网这里试用的设备。现在控制网络里面再跑一层,P2P协议都是用定制过的UDP协议。这里面你可以在现在的认证网络里面再开一个纬度网,可以监控原来认证的网,这个已经开使用了。包括在一些工业互联网分布式存储协议里,某些文件都是局域网互相可以存,比较简单。集中式文件有些地方很有意思,大家都要同时更新的时候,用无线,用有线,总会出现问题,分布式有它的好处。某个地方坏了,不要紧。信息的安全共享,这点很有意思。现在的信息安全都是单点,一个地方严防死守,实际上我们在运用的时候可以用区块链形成一个暗哨。网上12点以后有一个请求过来我临时指定要到某个地方做一个认证,把区块链布在上面,这在白天是另外一个策略。认证规则可以散布在厂区里,也是我们现在跟同类设备厂商正在做的事情。区块链思路很简单,把单点换成多点,把集中式换成分散式,一个点说了不算,三个点说了算。这在区块链里面设计很容易,这是个具体项目中遇到的事情。
这是南方很多智能配电的安全交易,民营售电公司能售电的时候遇到的环境非常复杂,区块链进行智能配电交易非常准确。
传统物联网设备的安全体系只覆盖管理中心一端,很多策略都在中心端,尤其在现在的工业互联网领域。所以说管理端放在一个服务器里面,服务器安全属于传统的安全技术。你再多的传感器,再多的安全策略都是在一个机器或者一个系统里面。你这个设备本身或者这个智能配电系统里面,国内除了像华为、中兴这些企业有足够强的能力把每一个板卡的PDU系统做好。传统厂商怎么做?定制ARM板子,跑一个自有软件内核。从2.6.31开始没有打任何补丁,端口全开。80%小厂商用的ARM板子,操作系统和驱动都是十年前,而且封装很干净,这是智能化,作为我们安全人员来看进攻它太容易。这个事情呼吁很长时间,它的板卡问题是解决不了的,这一套板生成十万张怎么解决?已经做好了。我们必须用一种方式,我们要在现在一个很烂的系统上面叠加一个动态防御的系统,这个时候区块链很多技术是可以的。区块链很简单,比特币大家都知道,比特币里面没有专用安全模块,为什么这么长时间里,一万多个节点比特币网络没有一个黑客真正能把它干死。国家都很难奈何它,这里有技术的原因。就是他用分布式方法,不在一个点解决这个问题,而是采取一种策略。这个网络中有一百个PDU节点,我的策略设置好,你一定要黑掉里面30%的点你才能进去,也是有困难的。
这里有很多新的技术,动态加密隧道技术,我们在现实网络中使用的,非常好。用信息加密包括动态隧道加密双重方式,防治暴力进行破解,进来也没用。多分片,不同路径最后拼起来,这个效率非常高,很管用,军用我们用到这个项目。包括我们怎么用基于区块链的工控管理平台,痛点很简单,如果你这个文件篡改被替换了怎么办?现在连发现机会都没有。如果这个文件发布的方式也比较容易,不可篡改,文件实时对应。
总结一句话,区块链是个技术,抛去它很多花里胡哨的东西来说,实际上它是目前很多传统技术非常重要的转变的部分。在未来几年里面尤其5G来了,有很多用户很简单,这个东西比现在好,或者开源比现在好用,便宜就可以了。区块链恰恰是这样的,因为跑起来区块链的网络非常轻,在ARM板子上也能起来,这是传统的安全的方案都是很难做到。谢谢大家。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/171239.html