ISA100.11a节点入网流程
节点类型
ISA100.11a网络中的节点分为以下角色类型:
- I/O
- 路由器
- 配置设备
- 主干路由器
- 网关
- 系统管理器
- 安全管理器
- 系统时间源
I/O
具有I/O角色的设备应向其他设备提供数据或使用数据,并且应具有至少有一个用户应用近程(UAP)对象。只有I/O角色的设备是具有参与符合本标准的网络所需的最低特性的设备。I/O角色没有为任何其他设备转发消息或路由提供任何机制。这使得复杂性最小和潜在低能耗的设备的构建成为可能,因为它们不需要消耗能源用来路由其他设备的消息,也不需要接受和提供希望加入网络的新设备。
路由器
具有路由器角色的设备应具有路由能力,应作为代理,并应具有时钟传播能力。这些设备可以为网络和路径冗余提供范围扩展,并可以在逐消息的基础上提供不同级别的QoS。系统管理器可以禁用路由器角色的路由功能,以优化系统性能要求,如消息延迟或电池消耗。
配置设备
具有配置角色的设备(配置设备)应能够设置设备设置为出厂默认,并实现设备配置服务对象(DPSO)。配置设备将所需的配置数据插入到设备中,以允许设备加入特定的网络。实现PhL的设备应能够使用定义的物理接口配置。可以禁用此功能。
主干路由器
具有主干路由器角色的设备应具有通过主干网路由的能力,并且应作为使用主干网的代理。骨干路由器通过封装PDU进行传输,使外部网络能够携带本地协议。这将允许本标准描述的网络使用其他网络,包括更长范围或更高性能的网络。
虽然本标准中没有定义主干网络的媒体和协议套件,但人们认为主干路由器的许多实例将使用互联网协议(IP)网络。许多这些主干网络符合IPv4,而不是较新的IPv6。ISA100.11a协议的第10章描述了如何通过BBR的WISN DL接口进入BBR的WISN PDU转换为完全兼容的IPv6 PDU。如果BBR的主干接口实现了IPv6,那么PDU可以简单地使用标准的IPv6进行路由。如果BBR的主干接口实现了IPv4,那么BBR应支持使用IETF RFC 2529,以允许PDU通过IPv4主干进行路由。
实现主干路由器角色的设备除了实现BBR的主网络接口外,还应实现Type A现场介质,除非该设备还实现了网关或系统管理器或安全管理器角色,在这种情况下,Type A现场介质是可选的。
网关
具有网关角色的设备应实现高侧接口,应通过本机和/或隧道经WISN进行通信,并应具有UAP。网关角色提供WISN和工厂网络之间的接口,或直接连接到工厂网络上的终端应用程序。更通俗地说,网关标志着符合本标准的通信与其他通信之间的转换,并充当本标准的应用层与其他应用层之间的协议转换器。一个系统中可以有多个网关。
具有网关角色的设备应当实现路由器角色用来接入Type A场介质或实现主干路由器角色以接入主干介质。
系统管理器
实现系统管理器角色的设备应实现SMAP,并设置时间源树。
系统管理器是有管理网络、设备和通信的专门功能。系统管理器对网络运行时配置执行基于策略的控制,监控和报告通信配置、性能和运行状态,并提供与时间相关的服务。
当两个设备需要通信时,它们会使用合同进行通信。合同是系统管理器和网络中的设备之间的协议,它涉及到系统管理器分配网络资源,以支持该设备的特定通信需求。本合同由设备中的应用程序和系统管理器之间签订。系统管理器将为合同分配一个合同ID,设备内的应用程序将使用该合同进行通信。申请只能要求创建、修改或终止合同。系统管理器全权负责创建、维护、修改和终止合同。
实现系统管理器角色的设备应实现可访问Type A场介质的路由器角色或可访问主干介质的主干路由器角色。
安全管理器
系统安全管理功能,或安全管理器,是一个专门的功能,与系统管理器和可选的外部安全系统一起工作,以实现安全的系统操作。安全管理器在逻辑上是可分离的,在某些使用情况下将驻留在单独的设备和单独的位置。每个符合本标准的系统都应有一个安全管理器。
系统时间源
实现系统时间源角色的设备应实现系统的主时间源。时间感是本标准的一个重要方面;它用于管理设备的操作。实现系统时间源角色的设备应实现系统的主时间源。时间感是本标准的一个重要方面;它用于管理设备的操作。
实现系统时间源角色的设备应实现任意I/O、路由器、主干路由器、系统管理器或网关角色。
概述入网流程
概述
新设备应从配置设备中获取必要的配置信息。这一点见配置过程:
配置过程
所有符合本标准的现场设备都应实现一个称为设备配置对象(DPO)的标准对象。DBP(Device to be provisioned——即将被配置的设备)中DPO的属性应指定向目标网络发起连接请求所需的信息。该设备应通过电源循环或更换电池来保留DPO的所有属性。
PD(Provisioning device——配置设备)应实现设备配置服务对象(DPSO),其中包含旨在为PD提供服务的DBP提供的信息。
配置包括设置DPO的属性。DPO中的属性同时包含与网络相关和与信任相关的信息。这些属性可以通过三种不同的方法来设置:
- 它们可以在设备制造商处预安装;
- 它们可以使用OOB(out-of-band——带外通信,如NFC、红外等,本标准不涉及)的方法进行设置;
- 它们可以由PD使用配置网络进行设置。该网络中的PD充当目标网络的安全管理器/系统管理器的代理,为该目标网络提供与信任相关和网络相关的信息。
所有符合本标准的设备都应支持仅使用本标准定义的完整协议套件(PhL、DL、NL和TL)形成配置网络,即不需要任何其他机制。但是,本标准不不允许通过OOB通信手段进行配置。
设备的DMO中的Join_Command属性应用于命令设备加入网络。只有配置设备可以将Join_Command属性设置为1,以此显式地触发该设备的连接过程,因为该设备与网络中的其他实体没有连接。只有在成功配置设备后,配置设备才能将Join_Command属性设置为1。公告路由器应按照DMO属性Proxy_Join_Request_Rate(属性36)所指示的速率代理连接请求。此速率确保保护网络免受通过代理路由器尝试的拒绝服务攻击。关于Proxy_Join_Request_Rate的描述,请参见表10。
系统管理器控制新设备加入网络的过程。按照本标准实现DL的非连接设备,侦听来自由系统管理器配置广告功能的本地路由器的广告消息。这种公告路由器应在新设备的连接过程中作为系统管理器的代理提供协助。此公告路由器将来自新设备的连接请求转发给系统管理器,并将来自系统管理器的连接响应转发到新设备。来自新设备的加入请求应由系统管理器处理。系统管理器应在与安全管理器沟通后生成加入响应。
新设备加入的安全控制
系统管理器控制新设备加入网络的过程。一种非连接设备,按照本标准实现DL,侦听由系统管理器配置的本地路由器的广告DPDU。广告可以通过使用主动扫描、被动扫描或两者的组合来发现。主动扫描包括从连接设备中请求DPUD,以根据请求触发广告的传输。
这种公告路由器应在新设备的连接过程中作为系统管理器的代理提供协助。
加入进程消息的构建:
来自新设备的连接请求被分成单独的消息,以将设备管理器和安全管理器之间交换的安全信息与设备和系统管理器之间交换的非安全信息分离出来。连接响应也类似地被划分为单独的消息,以将安全信息从非安全信息中分离出来。
来自新设备的连接请求应包括非安全信息,如EUI-64和设备的能力,以及设备的安全信息。来自系统管理器的连接响应应包括非安全信息,如分配的128位的地址、分配的16位的DL地址和设备的合同信息,以及会话密钥等安全信息。
公告路由器的DMO方法
新设备应使用为公告路由器的DMO定义的Proxy_System_Manager_Join方法和Proxy_System_Manager_Contract方法,发送作为连接请求一部分的非安全信息,并获取作为连接响应一部分的非安全信息。作为连接请求的一部分的非安全信息被划分为网络连接请求和合同请求。作为连接响应的一部分的非安全信息被划分为网络连接响应和合同响应。
新设备应使用7.4中定义的针对公告路由器DMO的方法来发送作为连接请求一部分的安全信息,并获取作为连接响应一部分的安全信息。在7.4中描述了新设备使用的所有这些方法。
对设备的DMAP的访问仅限于系统管理器中存在的SMAP。连接应只允许在连接过程中访问Proxy_System_Manager_Join和Proxy_System_Manager_Contract DMO方法。
新设备的能力
在设备的加入过程中,应向系统管理器提供有关新设备关于设备角色的功能的信息。
DMO属性4:Device_Role_Capability
- Bit 0 – IO
- Bit 1 – router
- Bit 2 – backbone router
- Bit 3 – gateway
- Bit 4 – system manager
- Bit 5 – security
小结
新设备加入概要流程
详细入网流程
基于对称密钥的入网流程
概述
在加入设备上,对称密钥加入过程应以 DMO.Proxy_Security_Sym_Join().Request 开始,并以有效的 PSMO.Security_Confirm().Response 结束。 在安全管理器上,对称密钥加入过程应以从 PSMO.Security_Sym_Join().Request 派生的有效消息开始,并以从 PSMO.Security_Confirm().Request 派生的有效消息结束。
新设备应使用为公告路由器的 DMO 定义的方法来发送和接收加入请求和加入响应消息。
与非安全信息相关的方法 P124 表19;20
与安全信息相关的方法 P201 表59;60;61
DMO.Proxy_Security_Sym_Join.Request()传输后,新设备开始计数加入定时器T1。
公告路由器应使用为系统管理器的 DMSO 定义的方法来发送和接收与安全无关的加入请求和响应消息。
P128 表23;24定义了System_Manager_Join与System_Manager_Contract
为系统管理器的代理安全管理对象 (PSMO) 定义的方法应由公告路由器用于发送和接收与安全相关的加入请求和响应消息。
P201 表59;60;61定义了Proxy_Security_Sym_Join;Security_Sym_Join;Security_Confirm
PSMO 接收与安全相关的加入请求并将其转发给安全管理器。安全管理器可以检查设备的白名单或黑名单,并在决定允许或拒绝加入的设备之前要求人工验证。如果结果是肯定的,则安全管理器验证加入请求的密码信息。如果检查失败,则指示系统管理器撤销分配给新设备的资源。如果测试成功,安全管理器将执行以下操作:
- 开始计数加入计时器T2
- 为新设备生成一个新的主密钥。
- 为系统管理器和新设备之间的合同创建一个新的安全会话。
- 检索新设备子网的当前DL密钥和加密密钥标识符。
- 为新设备生成一个新的、独特的challenge。
- 以密码方式保护上述密钥,并在整个响应上形成消息完整性检查代码。
- 将与安全相关的响应,包括消息完整性检查代码,发送回PSMO。
PSMO将这个与安全相关的响应发送回公告路由器,而公告路由器又将其转发给新设备。
新设备将检查此安全相关响应的加密完整性。如果测试失败,则会删除接收到的响应。如果测试成功,则设备将处理与安全相关的响应。
由系统管理器DMSO生成的与非安全相关的连接响应被转发给安全管理器,以便以加密方式保护此响应中的信息。一旦DMSO收到这个受保护的响应,它就会将这个受保护的响应发送回公告路由器,而公告路由器又将其转发给新设备。在使用此响应中的信息来完成连接过程之前,新设备将检查此受保护响应的加密完整性。此响应包括关于系统管理器在新设备和系统管理器之间建立的合同的信息。
作为连接过程的最后一步的一部分,新设备应向安全管理器发送安全确认,其中包括来自安全管理器的challenge,在新的主密钥下进行身份验证。此安全确认将发送给PSMO,PSMO将其转发给安全管理器。
安全管理器会检查确认消息。如果测试失败,应删除接收到的确认响应、连接状态和新设备的缓存信息。如果测试成功,则安全管理器停止计数T2,并向新设备发送确认响应。
如果新设备接收到针对其确认请求的正响应,则新设备停止计数T1。
在连接过程中,新设备和系统管理器之间建立的合同用于支持这些消息。
小结
基于对称密钥的详细连接过程
基于非对称密钥的入网流程
概述
在加入设备上,非对称密钥加入过程应通过发送DMO.Proxy_Security_Pub_Join().Request并通过接收有效的 PSMO.Network_Information_Confirmation().Response来完成。 在安全管理器上,非对称密钥加入过程应通过接收源于PSMO.Security_Pub_Join().Request的有效消息启动,并由源于PSMO.Network_Information_Confirmation().Response的传输消息完成。
小结
基于非对称密钥的详细连接过程
2044
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
