【云驻共创】Huawei iConnect使能物联终端一触即联
目录
1.物联发展带来的挑战
1.1 网络建设趋势
1.2 物联时代的挑战
2.Huawei iConnect的方案构想
3.方案的实现及流程
3.1 方案实现: WLAN弓导IoT终端接入物联网SSID
3.2 方案实现:通过华为iConnect-URL携带终端电子身份信息
3.3 方案实现:华为iConnect字段定义
3.4 方案实现:终端侧证书服务器地址获取
3.5 方案实现:端侧到控制器申请证书及再次接入配置接口
3.6 实现流程:有线终端\WLAN无线接入
4.方案小结
4.1 iConnect现有其他能力V1.0
4.2端侧方案构建方式
5.总结
1.物联发展带来的挑战
1.1 网络建设趋势
企业数字化、智能化驱动了端侧/云端,IoT/数字平台/应用层的快速发展,实现园区数字化、智能化
端侧loT的快速发展趋势向数字化、智能化、IP化、无线化方向演进。
如:物流领域的AGV、商超的电子价签、智能制造的工业以太等
• 智能终端
• 传感技术
• 智能控制系统
• 物联无线
平台化策略。
如: Cisco的Kinetic等 、H3C的绿洲物联网平台、Data Engine大数据平台、华为的ROMA、亚马逊的AWS IoT、霍尼韦尔的BPS等
• 平台作为核心能力构建
• 各类IoT平台、数据中台、边缘计算平台快速兴起
• 各类厂商都有发力包括:互联网厂家、友商、传统厂商
应用的爆发式增长
• 伴随着端侧的数字化和智能化技术成熟,上层应用也在爆发式增长
• 不仅仅关注成本,业务更关注SLA。如:各位RTLS系统、IOC系统的兴起、各种行业应用
1.2 物联时代的挑战
华为XX(总面积9800平)改造实践
• 办公设备连接数约2000个,物联设备5611个。物联设备约是办公设备连接数的2.8倍。
• 一期改造:安防、资产管理、信息发布,带来661eth接入、 236AP接入点:
• 二期改造:门禁闸机、BA、 照明、消防网,预计增加:530+Eth、583+wifi、 3687+PLC
遇到的挑战总结
• 开局复杂
• 运维复杂
• 网络容量
• 接入安全
2.Huawei iConnect的方案构想
iConnect整体框架的愿景:
以数字化/智能化契机,构筑网络为中心,覆盖云管端的高效协同体系,提升园区ICT的整体效率和体验
痛点&挑战:
• 终端/业务识别精准化:海量终端识别、规则制定,实时性、准确性。
• 终端/业务管理自动化:针对不同设备制定不同的接入、访问/管理规则,策略生成和下发自动化。
• 网络响应及时化:当终端安全状态、应用业务诉求等发生变化时准确感知,自动化进行网络策略调优调整。
解决方案:
通过四个体系的协议标准,统一云网端语言,构建一套覆盖即插即用、接入控制、业务协同、安全可信的园区ICT基础架构体系
价值:
• For客户:安全可信、高效灵活、可视可管
• For终端设备:业务优化、协同效率提升安全可靠、协议栈预集成
• For模组厂商:SDK预集成,安全扩展
• For网络厂商:自动化的设备全生命周期管理
iConnect云网协同
• 标准化物模型:标准化终端状态接口、数据接口
• 标准化业务模型:
• 标准化策略模型:终端、应用策略、行为建模,标准化映射到网络权限策略,安全策略、QoS策略
iConnect端网协同
• 自动化/安全:端侧即插即用、精准识别、
• 安全接入、隔离加密
• 无线体验优化:WIFI终端漫游化、应用加速物联射频协同
• 边缘数据协同
iConnect端侧改造方式
• 硬件模组/ SDK方式协助端侧进行IP化、无线化;
• 电子身份规约
现阶段主要关注点:
• 终端即插即用
• 终端接入安全问题
• 终端权限控制自动化
• 终端无线业务体验等问题
现状:
• 人工干预部署
• 控制器扫描(准确率低、性能占用大)
3.方案的实现及流程
• 场景:园区IoT生态的繁荣,带来了针对IoT终端即插即用、安全接入、可视可管、权限自动化等维度的诉求
• 现状:部署阶段需要人工介入;终端的识别准确率低/复杂度高(依赖监听、扫描等方式推测终端的类型和行为,准确率有提升空间) ;策略控制器需要人工识别分析配置
• 方案:联合云管端厂商构建E2E的方案体系,由以前的被动推测IoT终端是什么到推动IoT终端主动告知我们他是什么,他需要什么,最终实现四个维度的诉求
• 优点:即插即用、准确度100%,信息全,复杂度低,可扩展性强、策略自动化
方案实现的主要过程
• AP引导终端设备按约接入对应SSID,接入报文中携带iConnect-URL (携带终端电子身份)
• 进行接入认证(根据特定场景,进行特定的认证)
• (可选)定义开放接口,和应用层交互获取额外的终端信息(包括扩展信息,策略模型等)
• 根据相关信息,在网络平台上进行可视、策略生成
• 策略授权,及后续步骤(如二次接入等)
方案实现的关键技术
• 轻量级安全接入当前EAP-TLS安全性高,但对终端资源要求较高,需要研究轻量级安全接入能力
• 轻量级端侧拨测能力适用于轻量资源下的端侧拨测能力,借助端侧起始的拨测感知网络状态(接入认证、信号覆盖感知等),提升整体运维效率
3.1 方案实现: WLAN弓导IoT终端接入物联网SSID
• 主要思想:在Beacon、Probe Response报文中携带描述符:标明该SSID用于iconnect接入,以及对应的版本号,如"iconnect v1"
• 报文载体:Beacon/Probe response
• 交互行为:
(1)Beacon帧中,携带厂商私有EI取名ND (Network Description) 标示该SSID用于华为iConnect的接入,版本号为v1
(2)端侧解析Beacon帧携带的ND,按照指定的版本协议规定,进行下面的首次接入过程
• 字段定义:EI ID 211、Feature ID 9
• 优点:部署自由度提升,避免和ssid名称直接绑定,携带版本号,后续由扩展空间
3.2 方案实现:通过华为iConnect-URL携带终端电子身份信息
• 主要思想:将终端信息组装成http-url地址,借用RFC8520相关定义的协议字段
• 报文载体:参考RFC 8520定义,DHCP、LLDP、 EAP、Radius等
• 交互行为:
(1)在接入报文中携带URL字段,借助RFC定义的Option字段
(2)接入认证设备解析报文,通知到控制器
• 字段定义:https: //iconnect.com/v1(版本号)/终端信息字段
• 好处:
(1)借用标准字段,尊崇标准流程
(2)携带版本号,利于后续扩展
3.3 方案实现:华为iConnect字段定义
• 原则:专注于IoT终端的基础信息+网络信息,重点定义网络四层以下的相关字段
• 业务:覆盖可视化呈现内容、流信息(5元组)、策略权限(允许访问)、流的诉求(连通性、时延、带宽..)
• 优点:除了基本访问权限管理,增加了Q0S、隔离安全等维度考虑,对支持IoT业务的支撑更为完善
3.4 方案实现:终端侧证书服务器地址获取
DHCP获取地址
• 主要思想:通过DHCP Option字段携带证书服务器地址;便于终端去申请证书
• 报文载体:DHCP报文
• 交互行为:客户端发送DHCP报文,服务器回送的报文中携带相关字段
• 字段定义:实现在厂商125字段中,添加SubOption
• 好处:可以推送标准
静态地址接入
• 主要思想:此时无法通过DHCP Option字段携带证书服务器地址;需要管理员提前再控制器配置Redirect-ACL和Redirect-URL授权
• 交互行为:客户端访问网关ip申请证书,由AP/交换机设备进行重定向到证书服务器
• 好处:借助portal页面重定向流程
3.5 方案实现:端侧到控制器申请证书及再次接入配置接口
控制器提供restful接口用于证书申请: https://ip:port/boarding/config
IP和端口在客户端上需要支持可配置。
3.6 实现流程:有线终端\WLAN无线接入
(1)实现流程——有线终端接入
(2)实现流程——WLAN无线接入
4.方案小结
网络侧和端侧的区别如下
4.1 iConnect现有其他能力V1.0
物联协同(射频协同、信息共享)
场景:以电子价签为例
主要思路如下
• 信道级干扰协调,基于RFID信道AP生成不可用信道,调优时作为输入
• 价签有业务时通知WIFI固定时间窗内减少报文发送,减小空口占空比
漫游优化
场景:面向漫游性能要求较高的场景,如AGV等
主要思路如下
• 之前终端可能是全信道扫描,现在是AP会告知agv小车,邻近ap的信道让其扫描的更加有目的性
• 漫游时,AP缓存报文,防止漫游过程中丢包
应用加速
场景:面向游戏、语音、视频和金融等类型应用时的体验提升
主要思路如下
• 终端感知需要进行优先级调整的流量,通过协议上报AP
• AP对流量进行加速
4.2端侧方案构建方式
[模组改造适用场景]
• 终端现有控制板,增加模组连接控制板,实现即插即用、安全接入等
[模组改造适配开发]
• 终端的MCU要符合规格、安全认证要求;主控板上增加MSIP协议适配开发,适配程序的Slip源代码华为开源共享给终端厂家,方便快速、简化适配开发
• 模组选择经联盟认证的MCU, WIFI模组由模组厂家集成SDK、LiteOS、 WIFI驱动(模组厂家适配)等
[SDK集成适用场景]
• 终端现有控制板,支持WIF/IP联网
[SDK集成适配开发]
• 硬件MCU符合安全认证要求
• OS层可以选用LiteOS
• 移植SDK到终端设备控制板以实现自动联网
5.总结
从狭义的方面说,为什么需要iConnect?
因为,在智简园区场景中,物联网络如楼宇自动化BA(Building Automation)建设早于园区网络的部署,因此需要园区网络支持物联网络的局部调试。一方面,由于部分物联设备,如门禁、空调联网温控等没有网络操作界面,因此对物联设备安装调试人员的要求比较高;另一方面,物联设备接入网络后还有很多安全隐患,如门禁、闸机、摄像头等容易受到攻击、仿冒,因此物联终端还需要通过网络进行数字证书申请和下发,操作比较复杂。iConnect的出现,可以解决上述问题。使用iConnect的物联网终端也被称为iConnect终端。
从广义的方面说,为什么需要万物互联?
在物联网领域内,设备的差异表现为协议不同和数据模型不同。不同的设备,因其行业作用、实时性、可靠性等要求不同,会采用不同的通讯协议,设备生产厂家还会按需求定义出不同的私有协议。同时,即使是同一类设备,厂家在做设备联接时,会按照不同的格式来定义设备数据,造成同一类设备被系统读取的模式也不一样。华为物联网中间件平台实现不同厂商能够在同一个网络通信,实现资源共享和统一的管理。借助华为物联网的技术,未来或是一个万物互联的时代。
总而言之,Huawei iConnect的愿景,就是以数字化/智能化契机,构筑网络为中心,覆盖云管端的高效协同体系,提升园区ICT的整体效率和体验。
我不仅相信iConnect的未来,我也相信万物物联的未来!
本文参与华为云社区【内容共创】活动第17期。
https://bbs.huaweicloud.com/blogs/358780
任务 25 : Huawei iConnect使能物联终端一触即联
- 点赞
- 收藏
- 关注作者
评论(0)