OPC和Modbus以及MQTT和InfluxDB构建边缘设备“安全”远程互联

摘要：

应用场景：设备远程运维、设备安全上云、设备联网采集、多协议间转换、多工厂到集团的数据互联。

协议转换：MQTT转OPC、MQTT转InfluxDB、MQTT转SQL、OPC转MQTT、Modbus转MQTT。

关键技术：MQTTBroker的应用，MQTTClient 发布和订阅数据实现数据读写操作；数据安全隧道（Tunnel）技术。

解决问题：OT和IT之间的“安全”互联。

背景：

工业互联网+；工业4.0 ；中国制造2025；智能制造。

挑战：

工业互联网大环境下的互联“安全”，包括：设备安全、工厂安全、IT系统安全。

口号：没有“安全”的工业互联，就好比在“裸奔”；现阶段的工业互联，好比是“皇帝的新装”。

请问，你想暴露在它人（黑客）的监视之下吗？

工业互联“安全”遭到入侵的案例:

案件：2021年5约13日，美国科洛尼尔管道运输公司向黑客“阴暗面”（Dark Side）支付近500万美元以恢复工业生产系统。

经过：网络犯罪组织“阴暗面”  入侵  管道运输系统  导致  美国东海岸（17个州）45%的燃油供应被迫关停。 

影响和损失：1、美国政府宣布进入紧急状态，以解除针对燃料运输限制政策；2、燃油短缺、油价上涨；车主恐慌性囤积购买汽油；3、科洛尼尔将近100GB的数据被劫持；4、支付近500万美元的赎金；数据还在解密恢复过程中。

暴露问题：这一事件暴露出了美国能源和网络安全的脆弱性；透视出全球的工业互联网及物联网运营系统的安全保护不足。

工业互联解决方案:

N0 1:常规架构（MQTT）

1. 通过MQTT协议，完成OT层（设备或工厂）和IT层（云端或集团）互联。
2. OT层具备MQTTClient功能，支持数据的发布和订阅，完成数据读写双向操作；OPC转MQTT、Modbus转MQTT。
3. IT层具备MQTTBroker功能，支持数据的聚合、存储共享、协议转换；MQTT转OPC、MQTT转ODBC、MQTT转InfluxDB等时序数据库。
4. OT层和IT层的防火墙，需要主动开放防火墙上MQTT协议传输的端口（默认1883或其它端口）

N0 2:常规架构（OPCUA）

1. 通过OPCUA协议，完成OT层（设备或工厂）和IT层（云端或集团）互联。
2. OT层具备OPCUAServer功能；OPC转OPCUAServer、Modbus转OPCUAServer。
3. IT层具备OPCUAClient功能，支持数据的读写操作；OPC转OPC、OPC转ODBC、OPC转InfluxDB等时序数据库。
4. OT层和IT层的防火墙，需要主动开放防火墙上OPCUA协议传输的端口（默认51310或其它端口）

N0 3:常规架构（Tunnel）

1. 通过隧道Tunnel，完成OT层（设备或工厂）和IT层（云端或集团）互联。
2. OT层具备Tunnel功能；OPC转Tunnel、Modbus转Tunnel。
3. IT层具备Tunnel功能，支持数据的读写操作；Tunnel转OPC、Tunnel转ODBC、Tunnel转InfluxDB等时序数据库。
4. OT层和IT层的防火墙，保持封闭不需要开放端口。原理见SkkynetDataHub官网：https://cogentdatahub.com/connect/secure-ot-it/

   SkkynetDataHub官网：用于联网过程数据的唯一封闭式防火墙解决方案

   该DataHub程序使用DHTP协议，使仅出站从工厂或过程连接。这会关闭所有入站防火墙端口，支持 DMZ 和转发代理，并且不需要 VPN — 为 IT 数据流提供安全的 OT。

SkkynetDataHub软件产品:

北京红信昭阳科技公司为Cogent DataHub 中国经销商。

 SkkynetDataHub工业物联网大数据治理平台，聚合数据到统一数据源。用于读写双向连接OT层工业自动化协议和IT层信息系统之间的数据通讯、数据共享、数据治理、数据存储，包括：Modbus、OPC DA 、OPCUA、ODBC、MQTT、InfluxDB 、OSIPI、MySQL、SQLServer、Oracle、kepware、Excel、Azure IoT Hub、Google IoT、Amazon IoT Core、Amazon Kinesis、AVEVA Historian、IFIX、WINCC、Intouch等 。

单个统一数据集

DataHub 架构提供了一个单一的、统一的数据集，通过它连接的服务器和客户端可以交换数据。每个应用程序使用自己的协议连接，例如OPC、MQTT、DHTP、Modbus、ODBC等。每当 DataHub 实例收到数据点值的更改时，它立即更新数据集，然后将新值转发给每个应用程序在该应用程序自己的协议中订阅了该点。在现代 CPU 上，每个 DataHub 实例以这种方式每秒最多可以处理 100,000 个数据点更改。

SkkynetDataHub主要功能特点，如下:

1. 支持作为OPC、Modbus、Cameras、PC计算机系统监视(CPU、磁盘、内存、进程，等)
2. 支持关系库SQL DataBase(SQL Server, MS Access、MySQL, Oracle,等)；
3. 支持时序库External Historians（InfluxDB、Amazon Kinesis、AVEVA Historian、OSIsoft PI，等）；
4. 支持云Cloud连接（Azure IoT Hub, Google IoT, Amazon IoT Core、华为云等任何标准MQTT client or broker、任何RESTful系统）；
5. 支持Microsoft Excel连接（版本支持 2010, 2013, 2016或2019）；
6. 支持脚本功能Scripting； 支持通知告警功能（电子邮件、短信等方式）； 支持Web可视化功能； 支持M2M数据桥接功能（设备到设备）
7. 支撑数据冗余、断网缓存、ETL、数据隧道、数据桥接 等。
8. OPC2MQTT
9. OPC2InfluxDB
10. OPC2SQLServer
11. OPC2MySQL
12. OPC2Oracle
13. OPC2Modbus
14. OPC2Excel

SkkynetDataHub能保护OT设备和IT系统的安全:该DataHub程序使用DHTP协议，使仅出站从工厂或过程连接。这会关闭所有入站防火墙端口，支持 DMZ 和转发代理，并且不需要 VPN — 为 IT 数据流提供安全的 OT。

• 不暴露工厂网络：没有 VPN 意味着不扩展工厂的安全网络。在网络代理、数据代理和 DMZ 服务器中无缝工作。
• IT 网络无中断：只读选项和非侵入式连接可确保工厂保持安全和正常运行，即使远程数据访问能力下降或远程位置受到威胁。
• 无法访问超出所需数据：工厂决定远程提供哪些数据。
• 不影响性能：实时数据以高于网络延迟的微秒交付，轻松扩展到每秒 50,000 多个数据点更改，同时跨网络保留数据模型。
• 单向或双向数据流：每个连接可配置为只读或读写，以支持数据监控或监督控制。
• 设计安全：借助 DataHub 程序的发布和订阅架构，安全性是内置的，并且始终在 Plant 网络中进行控制。