藍牙網狀(Mesh)拓撲可實現多跳和多對多通訊,自推出以來徹底改變物聯網(IoT)設備連接和網路通訊方式。近期藍牙技術聯盟(Bluetooth SIG)宣布的網狀網路強化功能將提高安全性、降低功耗、簡化設置、提高網狀網路效率和可擴充性。
自從數年前藍牙技術聯盟(SIG)推出Bluetooth網狀(Mesh)拓撲以來,物聯網(IoT)設備連接和網路通訊已經徹底改變。網狀拓撲可實現多跳和多對多通訊,非常適合大規模網路設備應用。網狀網路簡化智慧家庭網路通訊,使網路工程師和IT人員能夠更輕鬆地管理樓宇自動化和工業資產追蹤。
Bluetooth SIG宣布的新藍牙網狀網路強化功能將提高安全性、降低功耗、簡化設置、提高網狀網路效率和可擴充性。本文將探討六項關鍵新功能:定向轉發(Directed Forwarding)、子網橋接、遠端配置、基於證書的配置、設備韌體更新、專用信標以及對現有功能新增的一些細微強化。
定向轉發
Bluetooth網狀網路是資訊定向的。在傳統的網狀網路中,資訊是以泛洪傳遞,意味著資訊並不會從直接的路徑中路由,並且資訊可通過多種路徑到達預期的目的地。
為了消除資訊泛洪的常見問題,例如迴圈資訊、可擴展性和高功耗,mesh 1.0導入了託管洪災的概念。然而,託管洪災仍然存在一些問題,因為資訊需要跨越網路的許多部分裝置,無法有效地定位其傳輸的目的地。
新的藍牙網狀網路強化功能,將透過名為定向轉發的新資訊傳遞概念,來緩解此一問題並提高資訊傳遞效率。透過定向轉發,利用中繼節點的收集並使用附加的多跳資訊傳遞方法,從確定的訊號源到目的地來建立直接路徑。直接路徑可以由一個或多個通道組成,通道是一組節點,可以為源位址、目標位址或子網,提供定向轉發服務。節點可以將資訊直接傳播到預期目的地,而不是在整個網路中大幅廣泛地傳播資訊。這種方法優化了中繼資訊所需的跳數—節省電力並提高網路效率。
圖1 定向轉發(Directed Forwarding)機制
子網橋接
在藍牙網狀網路中,可以使用網路安全金鑰安全地將網路建構中不同的部分進行隔離,以創建子網。在Mesh 1.0中,一旦設備被隔離到不同的子網中,除非該設備是公共子網的成員並且可以訪問子網的網路金鑰(NetKey),否則就無法通訊。雖然此設置更安全,但可能會導致網路中的通訊效率低下。
為了經由隔離持續提供網路安全性,同時允許不同子網中的設備能夠有效通訊,這些增強功能導入了子網橋接功能。子網橋接允許網路包含用於區域隔離的子網,還允許不同相鄰子網中的特定設備之間,進行選擇性通訊,而無需知道NetKey。
要使節點成為子網橋接,必須在該節點上啟用名為子網橋接的狀態,並且必須使用配置該節點的子網橋接功能布滿各個接入口,稱為橋接表的進一步狀態。橋接表包含接入口的定義來源,以及網路中所允許的子網橋接目標位址。通過子網橋接,網路中所需的通訊可以執行,無須犧牲使用子網和隔離所提供的安全功能。
圖2 子網橋接運作模式
遠端配置
使用網狀網路1.0向網路增加新設備的配置,只能透過單跳完成。此意謂著配置器需要位於新設備的直接範圍內,這在複雜網路的大型建築物中具有挑戰性。新的遠端配置特性可經由添加遠端配置功能,免除了需位於配置器無線電範圍內的要求。因此,配置器和未配置設備可以位於建築物內的任何位置,並且可以透過網狀網路執行配置,因為配置資訊可以經由一跳或多跳而到達遠端的未配置設備。
圖3 未增加遠端配置功能(上);增加遠端配置功能(下)
更具體而言,為了啟動遠端配置過程,配置承載遠端伺服器(Provisioning Bearer PB-Remote Server)需要根據PB-遠端用戶(PB-Remote Client)的請求建立到選定、未配置設備的連結。然後,接收封裝在遠端配置資訊中配置的協定資料單元(PDU),提取這些PDU,並透過鏈路發送PDU。接收到配置協定的PDU將封裝在其他遠端配置資訊中,以發送回PB-遠端用戶作為回應。PB-Remote Server代表PB-遠端用戶位於網路中的某個位置,使用選定、未配置的設備執行一般的配置過程。如圖4所示,行動電話可以用作PB-遠端用戶進行遠端配置,即使行動電話是低功耗藍牙(BLE)設備而非網狀網路。
圖4 遠端配置執行示意圖 (資料來源:藍牙SIG)
遠端設置還為複雜設備(例如大型辦公網路、大學校園或多樓層酒店中使用的設備)提供隨插即用配置功能。這意謂著如果檢測到其物理組成發生變化,則不再需要重置、重新配置和重新設置該複雜設備。整體而言,遠端配置簡化了配置過程,並使其更加高效,特別是在大型建築中具有廣泛分布的網狀網路工作時。
基於證書的配置
配置過程的另一項改善是增加了基於證書的配置,這應該是大多數網路工程師熟悉的作法,因為它與網路伺服器配置使用的方法相同。透過基於證書的配置,設備製造商或供應商可以提供X.509格式的數位憑證,並使用在配置過程中。該數位憑證驗證設備的身分,只有經過身分驗證的設備才允許連接到網路。
新的增強功能允許在配置過程中,使用X.509數位憑證來驗證添加到網路中的設備真實性。這不僅使設備配置更加安全,而且支援批量Commissioning,因為配置器在配置過程中不需要看到或聽到設備。當與新的遠端配置功能結合使用時,這尤其有用。
對於基於證書的配置,設備製造商或供應商必須為配置到網路的每台設備,提供X.509格式的數位憑證。設備證書包含設備的UUID及其公開金鑰。網狀網路節點必須包含並安全地儲存秘密金鑰,並與證書中的公開金鑰相匹配。然後,使用該資訊驗證設備的身分,並且只有經過驗證的設備才允許連接到網路,防止將未經授權和偽造的設備配置到網路中。
X.509證書可以儲存在節點、配置器中,或者最常見的是配置器可以訪問的雲端中。
圖5 使用X.509數位憑證驗證網路中裝置的流程
強化藍牙Mesh簡化智慧家庭 多對多通訊時代翩然降臨(1)
強化藍牙Mesh簡化智慧家庭 多對多通訊時代翩然降臨(2)