作者/Ross Yu 凌力爾特公司 Dust Networks 產(chǎn)品部產(chǎn)品市場(chǎng)經(jīng)理

　　引言

　　在工業(yè)物聯(lián)網(wǎng) (IoT) 中，從工廠和工業(yè)處理廠到建筑物能效、智能停車和商業(yè)性農(nóng)業(yè)，需要在多種應(yīng)用中使用無(wú)線檢測(cè)和控制節(jié)點(diǎn)。在所有這些應(yīng)用中，人們都希望工業(yè) IoT 無(wú)線解決方案可運(yùn)行很多年，且常常處于嚴(yán)酷的 RF 環(huán)境中和在極端大氣條件下。對(duì)于消費(fèi)類應(yīng)用而言，成本常常是最重要的系統(tǒng)屬性，與此不同，工業(yè)應(yīng)用一般視可靠性和安全性為最重要的屬性。在 OnWorld 公司對(duì)全球工業(yè)無(wú)線傳感器網(wǎng)絡(luò) (WSN) 用戶進(jìn)行的調(diào)查中，可靠性和安全性是參與調(diào)查者提到的兩個(gè)最重要的問(wèn)題 。想想看，如果一家公司的盈利能力、產(chǎn)品質(zhì)量和生產(chǎn)效率及其工人的生產(chǎn)安全常常有賴于這些網(wǎng)絡(luò)，那么這樣的調(diào)查結(jié)果就不令人意外了。確實(shí)，工業(yè) IoT 解決方案供應(yīng)商認(rèn)為，WSN 平臺(tái)的選擇對(duì)于其無(wú)線工業(yè) IoT 業(yè)務(wù)的成功是至關(guān)重要的。本文將探討數(shù)據(jù)可靠性和網(wǎng)絡(luò)安全性對(duì)工業(yè) IoT 應(yīng)用的重要性，分析真實(shí)的案例，討論在選擇工業(yè) IoT 無(wú)線解決方案時(shí)需要考慮的關(guān)鍵因素。

　　1無(wú)線傳感器網(wǎng)絡(luò)的數(shù)據(jù)可靠性

　　在工業(yè)處理廠或工廠中，需要高可靠性是很好理解的，因?yàn)閱蝹€(gè)數(shù)據(jù)丟失點(diǎn)可能導(dǎo)致工廠停工或出現(xiàn)安全問(wèn)題。在更廣泛的工業(yè)應(yīng)用中，盡管間歇性數(shù)據(jù)包丟失也許可以忍受，但是長(zhǎng)期通信中斷是不可接受的。甚至 1% 的數(shù)據(jù)誤失率都太高，因?yàn)檫@相當(dāng)于每年有 3.65 天計(jì)劃外的宕機(jī)。工業(yè) IoT 解決方案供應(yīng)商也提到，半天的通信中斷就會(huì)導(dǎo)致客戶怒氣沖天，而且技術(shù)人員去現(xiàn)場(chǎng)解決問(wèn)題也增加了費(fèi)用。如果這樣的中斷第二次發(fā)生，那么丟掉客戶的可能性就很大。因此，工業(yè)應(yīng)用需要 >99.999% 的數(shù)據(jù)可靠性，以應(yīng)對(duì)在多年運(yùn)行中可能遇到的多種 RF 問(wèn)題。

　　為了讓無(wú)線網(wǎng)絡(luò)幾乎無(wú)需維護(hù)地運(yùn)行很多年，設(shè)計(jì)時(shí)必須采取多種方法解決問(wèn)題。在設(shè)計(jì)網(wǎng)絡(luò)時(shí)，針對(duì)可靠性的一項(xiàng)總體原則是提供冗余度，在此場(chǎng)合中，針對(duì)可能發(fā)生之問(wèn)題的故障轉(zhuǎn)移機(jī)制可使系統(tǒng)在沒(méi)有數(shù)據(jù)損失的情況下從故障狀態(tài)實(shí)現(xiàn)恢復(fù)。在無(wú)線傳感器網(wǎng)絡(luò)中，提供冗余性有兩種基本方式。第一種是空間冗余概念，這時(shí)每一個(gè)無(wú)線節(jié)點(diǎn)都至少有兩個(gè)可以通信的其他節(jié)點(diǎn)，并采取一種允許數(shù)據(jù)被轉(zhuǎn)發(fā)到兩個(gè)節(jié)點(diǎn)之中任意一個(gè)的路由方法，而且無(wú)論發(fā)送到哪個(gè)節(jié)點(diǎn)，仍然會(huì)達(dá)到原本打算到達(dá)的最終目的地。在一個(gè)恰當(dāng)構(gòu)成的網(wǎng)格網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)都可以與兩個(gè)或更多相鄰節(jié)點(diǎn)通信，一個(gè)節(jié)點(diǎn)發(fā)送數(shù)據(jù)時(shí)，如果第一條通路不可用，就自動(dòng)將數(shù)據(jù)發(fā)送到另一條通路上，因此這樣的網(wǎng)格網(wǎng)絡(luò)比點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)擁有更高的可靠性。

　　第二級(jí)冗余可以用 RF 頻譜中多個(gè)可用通道實(shí)現(xiàn)。通道跳頻確保一對(duì)節(jié)點(diǎn)每次傳輸數(shù)據(jù)時(shí)都可以更換通道，因此可在工業(yè)應(yīng)用中典型的嚴(yán)酷且不斷變化的 RF 環(huán)境中，防止由于任何給定通道出現(xiàn)臨時(shí)問(wèn)題而受到影響。在 IEEE 802.15.4 2.4GHz 標(biāo)準(zhǔn)中，有 15 個(gè)擴(kuò)展頻譜通道可用于跳頻，從而使通道跳頻系統(tǒng)比非跳頻 (單通道) 系統(tǒng)的彈性大得多。有幾種無(wú)線網(wǎng)格網(wǎng)絡(luò)標(biāo)準(zhǔn)規(guī)定了空間和通道雙冗余，稱為時(shí)隙通道跳頻 (TSCH)，包括 IEC62591 (WirelessHART) 和即將發(fā)布的 IETF 6TiSCH 標(biāo)準(zhǔn)。這些網(wǎng)狀網(wǎng)絡(luò)標(biāo)準(zhǔn)采用全球可用和無(wú)需許可證的 2.4GHz 頻譜無(wú)線信號(hào)，是以凌力特爾 Dust Networks? 的工作為基礎(chǔ)發(fā)展而來(lái)的，2002 年 Dust Networks 通過(guò) SmartMesh? 產(chǎn)品，率先在低功率、資源受限的設(shè)備中采用了 TSCH 協(xié)議。

　　盡管在嚴(yán)酷的 RF 環(huán)境中，TSCH 是實(shí)現(xiàn)數(shù)據(jù)可靠性必不可少的基本構(gòu)件，但是就實(shí)現(xiàn)連續(xù)、無(wú)問(wèn)題的多年運(yùn)行而言，網(wǎng)狀網(wǎng)絡(luò)的建立和維護(hù)是關(guān)鍵。在其整個(gè)生命周期中，工業(yè)無(wú)線網(wǎng)絡(luò)將面對(duì)大量不同的 RF 挑戰(zhàn)和數(shù)據(jù)傳輸要求。因此，要提供如有線網(wǎng)絡(luò)那樣的可靠性，最后一個(gè)要素是智能網(wǎng)絡(luò)管理軟件，這種軟件動(dòng)態(tài)優(yōu)化網(wǎng)絡(luò)拓?fù)?，連續(xù)監(jiān)視鏈路質(zhì)量，以處于存在干擾或 RF 環(huán)境變化時(shí)，最大限度提高吞吐量。

　　2案例分析 1 ─ 半導(dǎo)體晶圓制造廠的 TSCH 網(wǎng)絡(luò)

　　凌力爾特已經(jīng)在自己位于美國(guó)硅谷的晶圓制造廠中部署了基于TSCH 的 SmartMesh IP?，以監(jiān)視數(shù)百個(gè)用于各種晶圓制造的蝕刻和清洗階段中專業(yè)氣缸之壓力。以前，每天對(duì)每個(gè)氣缸的壓力手工檢查3次，每天總共需完成4個(gè)小時(shí)的手工工作。部署 SmartMesh IP 網(wǎng)絡(luò)后，可自動(dòng)進(jìn)行測(cè)量，并將讀數(shù)直接發(fā)給工廠的控制中心軟件。在氣艙中部署了32個(gè)無(wú)線節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)測(cè)量一對(duì)氣缸的壓力和調(diào)節(jié)的壓力。該網(wǎng)絡(luò)每秒鐘總共產(chǎn)生 3Kb 傳感器數(shù)據(jù)。該工廠中的 RF 環(huán)境屬于典型的工業(yè)環(huán)境，無(wú)線節(jié)點(diǎn)周圍到處是金屬、混凝土，工作人員和設(shè)備整天穿梭其間。該網(wǎng)絡(luò)已經(jīng)連續(xù)運(yùn)行超過(guò)83天，發(fā)送了超過(guò)18.8Gb數(shù)據(jù)，提供超過(guò)7 個(gè)9(>99.99999%)的可靠性。

　　表1 網(wǎng)絡(luò)運(yùn)行統(tǒng)計(jì)數(shù)據(jù) ─ 凌力爾特晶圓制造廠的 SmartMesh IP 網(wǎng)絡(luò)

圖 1 稠密的金屬和混凝土環(huán)境

　　3案例分析 2 ─ 在 2016 年德國(guó)慕尼黑電子展上的 TSCH 網(wǎng)絡(luò)

　　展會(huì)場(chǎng)地是出了名的一個(gè)高噪聲 RF 環(huán)境，因此也成為衡量 WSN 可靠性的不二基準(zhǔn)。在全球最大的 2016 年德國(guó)慕尼黑電子展上，比利時(shí)的 VersaSense展示了其基于SmartMesh IP的無(wú)線系統(tǒng)。這個(gè) RF 環(huán)境極其繁忙，除了觀眾攜帶的好幾千部蜂窩和藍(lán)牙設(shè)備，還有 52個(gè)Wi-Fi網(wǎng)絡(luò)在運(yùn)行。在為期3天的展會(huì)期間，VersaSense系統(tǒng)在這個(gè)已經(jīng)飽和的 RF 環(huán)境中，以100%的數(shù)據(jù)可靠性發(fā)送了超過(guò) 75.5Mb 數(shù)據(jù) 。

　　圖2 在 2016 年德國(guó)慕尼黑電子展上展示網(wǎng)絡(luò)可靠性

　　4 網(wǎng)絡(luò)安全的重要性

　　安全性是工業(yè)無(wú)線傳感器網(wǎng)絡(luò)的另一個(gè)關(guān)鍵屬性。WSN 的主要安全目標(biāo)包括：

　　· 保密性：除了預(yù)定接收者，任何人不能讀取網(wǎng)絡(luò)中傳送的數(shù)據(jù);

　　· 完整性：任何接收到的信息都已確認(rèn)完全是所發(fā)送的信息，內(nèi)容沒(méi)有增加、刪除或修改;

　　· 真實(shí)性：一條聲稱來(lái)自給定來(lái)源的信息事實(shí)上確實(shí)是來(lái)自該來(lái)源。如果將時(shí)間作為驗(yàn)證方法的組成部分，那么真實(shí)性還保護(hù)信息免于被錄制和重放。

　　不僅安全相關(guān)的應(yīng)用需要保密，日常應(yīng)用也需要。例如，有關(guān)生產(chǎn)水平或設(shè)備狀態(tài)的傳感器信息也許有某種競(jìng)爭(zhēng)敏感性，比如美國(guó)國(guó)家安全局 (NSA) 不公布其數(shù)據(jù)中心的功耗，因?yàn)檫@種數(shù)據(jù)也許被用來(lái)估計(jì)其計(jì)算資源。

　　圖 3 工業(yè) WSN 安全性

　　INTEGRITY：完整性

　　AUTHENTICITY：真實(shí)性

　　CONFIDENTIALITY：保密性

　　INDUSTRIAL WSN SECURITY：工業(yè) WSN 安全性

　　傳感器數(shù)據(jù)應(yīng)該加密，以便只有預(yù)定接收者才能使用該數(shù)據(jù)。檢測(cè)和命令信息都需要完整且不被損壞地到達(dá)。如果傳感器說(shuō)“罐內(nèi)液位是 72cm”或控制器說(shuō)“將閥門(mén)旋轉(zhuǎn)到 90 度”，那么這兩個(gè)數(shù)據(jù)無(wú)論哪一個(gè)丟失一位數(shù)字，后果都可能非常嚴(yán)重。

　　對(duì)信息來(lái)源有信心是非常關(guān)鍵。上面兩條信息無(wú)論哪一條，如果是由惡意攻擊者發(fā)送的，后果都會(huì)非常嚴(yán)重。一個(gè)極端的例子是“這里有一個(gè)新程序供您運(yùn)行”。

　　必須納入 WSN 以應(yīng)對(duì)這些問(wèn)題的關(guān)鍵安全技術(shù)包括：具堅(jiān)固密鑰和密鑰管理的強(qiáng)加密 (例如 AES128);阻止重放攻擊、達(dá)到密碼質(zhì)量的隨機(jī)數(shù)字發(fā)生器;每條信息中置入信息完整性檢驗(yàn) (MIC);明確允許或拒絕對(duì)特定設(shè)備進(jìn)行訪問(wèn)的訪問(wèn)控制列表 (ACL)。這些最新無(wú)線安全技術(shù)也許可以毫無(wú)困難地納入很多 WSN 中目前使用的設(shè)備，但并不是所有 WSN 產(chǎn)品和協(xié)議都納入了所有安全措施 。請(qǐng)注意，將安全的 WSN 連接到不安全的網(wǎng)關(guān)是另一個(gè)脆弱點(diǎn)，在系統(tǒng)設(shè)計(jì)中必須考慮端到端的安全性。

　　安全性欠佳的結(jié)果并不總是很容易預(yù)期。例如，無(wú)線溫度傳感器或恒溫器也許看起來(lái)是一種幾乎沒(méi)有什么安全問(wèn)題的產(chǎn)品。然而，試想一下報(bào)紙上報(bào)道的罪犯利用無(wú)線電信號(hào)檢測(cè)恒溫器上的“假期”設(shè)置、然后在業(yè)主外出時(shí)入室盜竊的事情。這對(duì)客戶忠誠(chéng)度的影響會(huì)是巨大的，更不用說(shuō)銷售了。最安全的處理方法是加密所有數(shù)據(jù)。

　　在工業(yè)過(guò)程自動(dòng)化應(yīng)用中，安全攻擊的后果也許比丟失客戶嚴(yán)重得多。通過(guò)將有問(wèn)題的過(guò)程控制信息提供給控制系統(tǒng)，攻擊者可以引起物理?yè)p壞。例如，傳感器饋送給電動(dòng)機(jī)或閥門(mén)控制器的數(shù)據(jù)表明，電動(dòng)機(jī)速度或罐內(nèi)液位太低，而如果這個(gè)數(shù)據(jù)是有問(wèn)題的，那么就可能導(dǎo)致災(zāi)難性的故障，例如類似伊朗核強(qiáng)化計(jì)劃的離心機(jī)受到 Stuxnet 病毒攻擊時(shí)所發(fā)生的事情 。就純粹的客觀情況而言，即使一次失敗的攻擊或研究揭示的潛在漏洞都有可能導(dǎo)致銷售損失、需要緊急啟動(dòng)工程工作以及重大的攻關(guān)挑戰(zhàn)。

　　5實(shí)現(xiàn)新的工業(yè) IoT 解決方案

　　高可靠性和網(wǎng)絡(luò)安全性是至關(guān)重要的要求，不僅對(duì)安全相關(guān)的應(yīng)用和工業(yè)過(guò)程設(shè)置而言，對(duì)所有工業(yè) IoT 應(yīng)用而言也一樣。幸運(yùn)的是，已有經(jīng)過(guò)現(xiàn)場(chǎng)驗(yàn)證的 WSN 解決方案可用，這使工業(yè) IoT 解決方案供應(yīng)商能夠提供在富有挑戰(zhàn)性環(huán)境中順利、可靠地運(yùn)行很多年的系統(tǒng)。