【云驻共创】Huawei iConnect使能物联终端一触即联

举报
SpiderMan 发表于 2022/06/30 15:20:35 2022/06/30
【摘要】 本文主要介绍Huawei iConnect技术。通过分析物联网发展遇见的挑战、了解Huawei iConnect的方案构想、学习方案的实现及流程,开发实现物联网终端的无感接入、安全接入、可视可管,解决不同协议终端快速接入客户现网等,最终实现新业务快速上线。华为物联网中间件平台实现不同厂商能够在同一个网络通信,实现资源共享和统一的管理。借助华为物联网的技术,未来或是一个万物互联的时代。

目录

1.物联发展带来的挑战

        1.1 网络建设趋势

        1.2 物联时代的挑战

2.Huawei iConnect的方案构想

3.方案的实现及流程

        3.1 方案实现: WLAN弓导IoT终端接入物联网SSID

        3.2 方案实现:通过华为iConnect-URL携带终端电子身份信息

        3.3 方案实现:华为iConnect字段定义

        3.4 方案实现:终端侧证书服务器地址获取

        3.5 方案实现:端侧到控制器申请证书及再次接入配置接口

        3.6 实现流程:有线终端\WLAN无线接入

4.方案小结

        4.1 iConnect现有其他能力V1.0 

        4.2端侧方案构建方式

5.总结


1.物联发展带来的挑战v2-d1ef99a34a49ef89375755e612cbdf67_r.jpg

1.1 网络建设趋势

企业数字化、智能化驱动了端侧/云端,IoT/数字平台/应用层的快速发展,实现园区数字化、智能化

端侧loT的快速发展趋势向数字化、智能化、IP化、无线化方向演进

如:物流领域的AGV、商超的电子价签、智能制造的工业以太等

智能终端

传感技术

智能控制系统

物联无线

平台化策略

如: Cisco的Kinetic等 、H3C的绿洲物联网平台、Data Engine大数据平台、华为的ROMA、亚马逊的AWS IoT、霍尼韦尔的BPS等

台作为核心能力构建

各类IoT平台、数据中台、边缘计算平台快速兴起

各类厂商都有发力包括:互联网厂家、友商、传统厂商

应用的爆发式增长

伴随着端侧的数字化和智能化技术成熟上层应用也在爆发式增长

不仅仅关注成本,业务更关注SLA:各位RTLS系统、IOC系统的兴起、各种行业应用

1.2 物联时代的挑战

华为XX(总面积9800平)改造实践

办公设备连接数约2000个物联设备5611个。物联设备约是办公设备连接数的2.8倍。

期改造:安防、资产管理、信息发布,带来661eth接入、 236AP接入点:

二期改造:门禁闸机、BA、 照明、消防网,预计增加:530+Eth、583+wifi、 3687+PLC

遇到的挑战总结

开局复杂

运维复杂

网络容量

接入安全


2.Huawei iConnect方案构想

iConnect整体框架愿景:

以数字化/智能化契机,构筑网络为中心,覆盖云管端的高效协同体系,提升园区ICT的整体效率和体验

痛点&挑战

终端/业务识别精准化:海量终端识别、规则制定,实时性、准确性。

终端/业务管理自动化:针对不同设备制定不同的接入、访问/管理规则,策略生成和下发自动化。

网络响应及时化:当终端安全状态、应用业务诉求等发生变化时准确感知,自动化进行网络策略调优调整。

解决方案:

通过四个体系的协议标准,统一云网端语言,构建一套覆盖即插即用、接入控制、业务协同、安全可信的园区ICT基础架构体系

价值:

For客户:安全可信、高效灵活、可视可管

For终端设备:业务优化、协同效率提升安全可靠、协议预集成

For模组厂商:SDK预集成,安全扩展

For网络厂商:自动化的设备全生命周期管理

iConnect云网协同

标准化物模型:标准化终端状态接口、数据接口

标准化业务模型:

标准化策略模型:终端、应用策略、行为建模,标准化映射到网络权限策略,安全策略、QoS策略

iConnect端网协同

自动化/安全:端侧即插即用、精准识别、

安全接入、隔离加密

无线体验优化:WIFI终端漫游化、应用速物联射频协同

边缘数据协同

iConnect端侧改造方式

硬件模组/ SDK方式协助端侧进行IP化、无线化;

电子身份规约

现阶段主要关注点:

终端即插即用

终端接入安全问题

终端权限控制自动化

终端无线业务体验等问题

现状:

人工干预部署

控制器扫描(准确率低、性能占用大)


3.方案实现及流程

场景:园区IoT生态的繁荣,带来了针对IoT终端即插即用、安全接入、可视可管、权限自动化等维度的诉求

现状:部署阶段需要人工介入终端的识别准确率低/复杂度高(依赖监听、扫描等方式推测终端的类型和行为,准确率有提升空间) 策略控制器需要人工识别分析配置

方案:联合云管端厂商构建E2E的方案体系,由以前的被动推测IoT终端是什么到推动IoT终端主动告知我们他是什么,他需要什么,最终实现四个维度的诉求

优点:即插即用、准确度100%信息全,复杂度低,可扩展性强、策略自动化

方案实现的主要过程

AP引导终端设备按约接入对应SSID,接入报文中携带iConnect-URL (携带终端电子身份)

进行接入认证(根据特定场景,进行特定的认证)

(可选)定义开放接口,和应用层交互获取额外的终端信息(包括扩展信息,策略模型等)

根据相关信息,在网络平台上进行可视、策略生成

策略授权,及后续步骤(如二次接入等)

方案实现的关键技术

轻量级安全接入当前EAP-TLS安全性高,但对终端资源要求较高,需要研究轻量级安全接入能力

轻量级端侧拨测能力适用于轻量资源下的端侧拨测能力,借助端侧起始的拨测感知网络状态(接入认证、信号覆盖感知等),提升整体运维效率

3.1 方案实现: WLAN弓导IoT终端接入物联网SSID

主要思想:Beacon、Probe Response报文中携带描述符:标明该SSID用于iconnect接入,以及对应的版本号,如"iconnect v1"

报文载体Beacon/Probe response

交互行为

(1)Beacon帧中,携带厂商私有EI取名ND (Network Description) 标示该SSID用于华为iConnect的接入,版本号为v1

(2)端侧解析Beacon携带的ND按照指定的版本协议规定,进行下面的首次接入过程

字段定义EI ID 211Feature ID 9

优点部署自由度提升,避免和ssid名称直接绑定,携带版本号,后续由扩展空间

3.2 方案实现:通过华为iConnect-URL携带终端电子身份信息

主要思想将终端信息组装成http-url地址,借用RFC8520相关定义的协议字段

报文载体参考RFC 8520定义,DHCP、LLDP、 EAP、Radius等

交互行为

(1)在接入报文中携带URL字段,借助RFC定义的Option字段

(2)接入认证设备解析报文,通知到控制器

字段定义https: //iconnect.com/v1(版本号)/终端信息字段

好处

(1)借用标准字段,尊崇标准流程

(2)携带版本号,利于后续扩展

3.3 方案实现:华为iConnect字段定义

原则:专注于IoT终端的基础信息+网络信息,重点定义网络四层以下的相关字段

业务:覆盖可视化呈现内容、流信息(5元组)、策略权限(允许访问)、流的诉求(连通性、时延、带..)

优点:除了基本访问权限管理,增加了Q0S、隔离安全等维度考虑,对支持IoT业务的支撑更为完善

3.4 方案实现:终端侧证书服务器地址获取

DHCP获取地址

主要思想:通过DHCP Option字段携带证书服务器地址;便于终端去申请证书

报文载体:DHCP报文

交互行为:客户端发送DHCP报文,服务器回送的报文中携带相关字段

字段定义:实现在厂商125字段中,添加SubOption

好处:可以推送标准

静态地址接入

主要思想:此时无法通过DHCP Option字段携带证书服务器地址;需要管理员提前再控制器配置Redirect-ACL和Redirect-URL授权

交互行为:客户端访问网关ip申请证书,由AP/交换机设备进行重定向到证书服务器

好处:借助portal页面重定向流程

3.5 方案实现:端侧到控制器申请证书及再次接入配置接口

控制器提供restful接口用于证书申请: https://ip:port/boarding/config

IP和端口在客户端上需要支持可配置。

3.6 实现流程:有线终端\WLAN无线接入

(1)实现流程——有线终端接入

(2)实现流程——WLAN无线接入


4.方案

网络侧和端侧的区别如下

4.1 iConnect现有其他能力V1.0

物联协同(射频协同、信息共享)

场景:以电子价签为例

主要思路如下

信道级干扰协调,基于RFID信道AP生成可用信道,优时作为输入

价签有业务时通知WIFI固定时间窗内减少报文发送,减小空口占空比

漫游优化

场景:面向漫游性能要求较高的场景,如AGV等

主要思路如下

之前终端可能是全信道扫描,现在是AP会告知agv小车,邻近ap的信道让其扫描的更加有目的性

漫游时,AP缓存报文,防止漫游过程中丢包

应用加速

场景:面向游戏、语音、视频和金融等类型应用时的体验提升

主要思路如下

终端感知需要进行优先级调整的流量,通过协议上报AP

AP对流量进行加速

4.2端侧方案构建方式

[模组改造适用场景]

终端现有控制板,增加模组连接控制板,实现即插即用、安全接入等

[模组改造适配开发]

终端的MCU要符合规格、安全认证要求;主控板上增加MSIP协议适配开发,适配程序的Slip源代码华为开源共享给终端厂家,方便快速、简化适配开发

模组选择经联盟认证的MCU, WIFI模组由模组厂家集成SDK、LiteOS、 WIFI驱动(模组厂家适配)等

[SDK集成适用场景]

终端现有控制板,支持WIF/IP联网

[SDK集成适配开发]

硬件MCU符合安全认证要求

OS层可以选用LiteOS

移植SDK到终端设备控制板以实现自动联网


5.总结

从狭义的方面说,为什么需要iConnect?

因为,在智简园区场景中,物联网络如楼宇自动化BA(Building Automation)建设早于园区网络的部署,因此需要园区网络支持物联网络的局部调试。一方面,由于部分物联设备,如门禁、空调联网温控等没有网络操作界面,因此对物联设备安装调试人员的要求比较高;另一方面,物联设备接入网络后还有很多安全隐患,如门禁、闸机、摄像头等容易受到攻击、仿冒,因此物联终端还需要通过网络进行数字证书申请和下发,操作比较复杂。iConnect的出现,可以解决上述问题。使用iConnect的物联网终端也被称为iConnect终端。

从广义的方面说,为什么需要万物互联?

在物联网领域内,设备的差异表现为协议不同和数据模型不同。不同的设备,因其行业作用、实时性、可靠性等要求不同,会采用不同的通讯协议,设备生产厂家还会按需求定义出不同的私有协议。同时,即使是同一类设备,厂家在做设备联接时,会按照不同的格式来定义设备数据,造成同一类设备被系统读取的模式也不一样。华为物联网中间件平台实现不同厂商能够在同一个网络通信,实现资源共享和统一的管理。借助华为物联网的技术,未来或是一个万物互联的时代。

总而言之,Huawei iConnect的愿景,就是以数字化/智能化契机,构筑网络为中心,覆盖云管端的高效协同体系,提升园区ICT的整体效率和体验。

我不仅相信iConnect的未来,我也相信万物物联的未来!


本文参与华为云社区【内容共创】活动第17期。

https://bbs.huaweicloud.com/blogs/358780

任务 25 Huawei iConnect使能物联终端一触即联

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。