Определение pass/fail критериев при тестировании и анализе производительности
LoRaWAN для IoT-решений. Теория и практика в РФ · ПРИЛОЖЕНИЯ...
Transcript of LoRaWAN для IoT-решений. Теория и практика в РФ · ПРИЛОЖЕНИЯ...
1
iot-ertelecom.ru
Технология передачи данных LoRaWAN для IoT-решений.
Теория и практика в РФ
Андрей ЭкономовБлок R&D, АО "ЭР-Телеком Холдинг"
2КОМПАНИЯ «ЭР-ТЕЛЕКОМ ХОЛДИНГ»
КРУПНЕЙШАЯ
РЕГИОНАЛЬНАЯ СЕТЬ Wi-Fi
ВЕДУЩИЙ НАЦИОНАЛЬНЫЙ ОПЕРАТОР
ФИКСИРОВАННОЙ СВЯЗИ
ИННОВАЦИОННЫЕ ЦЕНТРЫ
› Санкт-Петербург
› Новосибирск
› Пермь
› Москва
52 000KMпротяженность
оптоволоконной
сети
2 МЕСТОв России по ШПД
и кабельному ТВ
4 млнчастных абонентов
18 000публичных Wi-Fi
локаций
52 ГОРОДАкрупнейшая IoT-сеть
LoRaWAN
6 800KMмагистральной
сети
ЛИДЕРпо средней скорости
доступа в интернет
566населенных
пунктов РФ
386 000корпоративных
услуг
3
Иркутск
овосибирск
То скО ск
Т ень
Курган
Челябинск
ь
Ижевск
Уфа
Оренбург
уагнитогорск
абережные ЧелныТольятти
Саратов
Сы рань Са араКраснодар
Белгород
Иваново
Ростов-на-Дону
Волгоград
ао кар-Ола
Киров
Курск
Воронеж
и е к Ря ань
ижни овгород
рен а Ульяновск
Ка ань
Тверь
С оленск
Брянск Калуга Москва
Орел
Ярославль
Тула Влади ир
Саранск Чебоксары
Улан-Удэ
Чита
Хабаровск
Калининград
Ке ерово Красноярск
Барнаул
Махачкала
уур анск
Сургут
катеринбург
Владивосток
Благовещенск
Архангельск
Адыге ск Со и
Ставро оль
Элиста
Черкесск
Астрахань
Санкт-ретербург
Костро а
Та бов
ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ИЗЛОЖЕННЫХ ПРИНЦИПОВ НА IIOT –СЕТИ LORAWANФЕДЕРАЛЬНОГО ОХВАТА ЭР-ТЕЛЕКОМ ХОЛДИНГА
IIoT СЕТЬ ФЕДЕРАЛЬНОГО ОХВАТА
ЗАПУЩЕНА В 52 ГОРОДАХ РОССИИ
ДОПОЛНИТЕЛЬНО ПРОИЗВОДСТВЕННЫЕ
ПЛОЩАДКИ КОРПОРАТИВНЫХ КЛИЕНТОВ
• Астрахань• Барнаул• Белгород• Благовещенск• Брянск• Владивосток• Волгоград• Воронеж• Екатеринбург• Иваново• Ижевск• Иркутск• Йошкар-Ола• Казань• Калининград• Кемерово• Киров• Краснодар• Красноярск• Курск• Липецк• Магнитогорск• Набережные
Челны• Находка
INDOOR–ПОКРЫТИЕ
Июнь 2018
OUTDOOR–ПОКРЫТИЕ Август 2018
• Пермь• Санкт-
Петербург• Москва• Ярославль
• Нижний Новгород
• Новокузнецк• Новосибирск• Омск• Оренбург• Пенза• Ростов-на-Дону• Рязань• Самара• Саратов• Сочи• Ставрополь• Тверь• Тольятти• Томск• Тула• Тюмень• Ульяновск• Уфа• Хабаровск• Чебоксары• Челябинск• Череповец• Чита
ЭР-Телеком – участник технического комитета LoRaAlliance, тесно взаимодействует с авторами стандарта и участвует в его дальнейшей разработке.
4АРХИТЕКТУРА IoT-РЕШЕНИЯ
ДАТЧИКИ/ОБЪЕКТ ЗАКАЗЧИКА
IIoT—СЕТЬ/ОПЕРАТОР ЭР-ТЕЛЕКОМ
ПЛАТФОРМА ПРИЛОЖЕНИЙ ЗАКАЗЧИК«ЭР-ТЕЛЕКОМ»
API
ПРИЛОЖЕНИЯ
АРМ ДИСПЕТЧЕРА
ПЛАНШЕТ ТЕХНИЧЕСКИХ СОТРУДНИКОВ
СЕТЕВОЙ СЕРВЕР
СМАРТФОН РУКОВОДИТЕЛЯ
ТЕЛЕКОММУНИКАЦИОННАЯ ПЛАТФОРМА
API
BIG DATA
СЕРВЕРА ЗАКАЗЧИКА
ВНЕШНИЕ ОБЛАКА
ВЕРТИКАЛЬНЫЕ (ОТРАСЛЕВЫЕ) СИСТЕМЫ У ЗАКАЗЧИКА
РАДИУС ДО 20 КМ
5ОБЩИЕ АСПЕКТЫ БЕЗОПАСНОСТИ ДАННЫХ В СЕТЯХ IOT
- End-to-end конфиденциальность пользовательских данных на уровне приложения;
- Взаимная идентификация абонентского устройства и сети;
- Проверка целостности данных при передачи на радиоинтерфейсе;
- Конфиденциальность сигнальной информации (управляющих команд);
- Безопасное хранение идентификаторов абонентского устройства и его полномочий;
- Оперативное устранение найденных уязвимостей на сетевой стороне и на абонентских терминалах;
- Возможность использования отечественных СКЗИ для критической инфраструктуры.
6ШИФРОВАНИЕ ДАННЫХ LoRaWAN
1-ый уровень. AES-шифрование на уровне приложения (между абонентским устройством и сервером приложений) с помощью 128-битного переменногосессионного ключа Application session key (AppSKey). Данный ключ шифрования хранится в аб. устройстве и на сервере приложений, и недоступен оператору сети(доступ к AppSKey есть только у клиента - владельца сервера приложений);
2-ой уровень. AES-шифрование и проверка целостности сообщений (вычисление MIC) на сетевом уровне (между абонентским устройством и сетевым сервером) спомощью 128-битного переменного сессионного ключа Network session key (NwkSKey). Данный ключ шифрования хранится в аб. устройстве и на сетевом сервере инедоступен клиенту (доступ к NwkSKey есть только у оператора сети – владельца сетевого сервера);
3-ий уровень. Стандартные методы аутентификации и шифрования интернет-протокола (IPsec, TLS и т.п.) при передаче данных по транспортной сети между узламисети (базовая станция, сетевой сервер, join-сервер, сервер приложений).
Уровень 1 – приложение Уровень 2 – сеть LoRaWAN Уровень 3 – транспортУровень 3 – транспорт
7
AS_URLPRSKPUSK
DevEUI
ДатчикDevEUI
Датчик• Генерирует DevNonce• Посылает запрос Join
Request включающий JoinEUI, DevEUI иDevNonce на сетевой сервер
JoinEUI
DevEUI
DevNonce
Сетевой сервер• Выбирает (формирует)
DevAddr по DevEUI• Передает Join Request с
DevAddr и NetID корректному JS по его JoinEUI
DevAddr
JoinEUI
DevEUI
DevNonce
NetID
JoinEUI
AppKey
DevEUI
Device Config
DevEUI
JoinEUI
AppKey
NetID
DevEUI
AS_URL
DevAddr
Сетевой сервер• Сохраняет ключ NwkSKey
в БД;• Формирует Joint Accept
сообщение и посылает его устройству
NetID
JoinNonce
DevAddr
DLSettingsRXDelayCFList
AppKey
DevAddr
AppSKey
NwkSKey
Датчик• Вычисляет AppSKey и
NwkSKey по: AppKey, DevNonce, JoinNonce, NetID
• Сохраняет ключи иDevAddr в своей памяти
JS –Join СерверAS – сервер приложенийNS – сетевой сервер
ПРОЦЕДУРА АКТИВАЦИИ ДАТЧИКА ОТАА V1.1
NetID
JoinNonce
DevAddr
AppKey
NwkSKey
Join сервер• Выбирает AppKey по DevEUI.• Генерирует JoinNonce• Вычисляет AppSKey and
NwkSKey по: AppKey, DevNonce, JoinNonce, NetID
• Посылает JoinNonce и ключ NwkSKey в сетевой сервер;
• Посылает AppSKey в сервер приложений.
AppSKey DBAppSKeyNwkSKey DBNwkSKey DBNwkSKey
DevAddr
AppSKey
PUSK
Сервер приложений• Сохраняет ключ AppSKey в
своей БД
8ОПЦИИ СИСТЕМЫ БЕЗОПАСНОСТИ LoRaWAN
На абонентском устройстве ключи шифрования могут защищаться специальным аппаратным элементомбезопасности (Secure Element), а Join-сервер может быть защищён HSM.
В целях дополнительной безопасности процессагенерации сессионных ключей Join-сервер может бытьфизически вынесен на территорию клиента илипроизводителя устройств. В этом случае дажесотрудники оператора не смогут получить доступ ксессионным и корневым ключам шифрования.
9ВНЕДРЕНИЕ В СЕТЬ LoRaWAN ШИФРОВАНИЯ ПО ГОСТ
Уровни шифрования AES-128 могут быть дополнены одним из стандартизованных в РФ алгоритмов,входящих в семейство ГОСТ (2012, 2015). Для этого при производстве абонентских терминалов LoRaWANпредлагается устанавливать в них дополнительный микроконтроллер СКЗИ (Средство КриптографическойЗащиты Информации), сертифицированный ФСБ России.В качестве такого микроконтроллера могут быть использованы, например, микропроцессорыотечественного производства Микрон MIK51SC72D или MIK51AD144D
10
РЕШЕНИЯ, ПРИМЕНЯЕМЫЕ В СТАНДАРТЕ LORAWAN ДЛЯ ОБЕСПЕЧЕНИЯ КРИТЕРИЕВ БЕЗОПАСНОСТИ
End-to-end конфиденциальность пользовательских данных на уровне приложения – AES-шифрование с помощью сессионного ключа AppSKey;
Взаимная идентификация устройства и сети – процесс авторизации терминала при первичном подключении к сети (или по специальной команде о повторе авторизации);
Проверка целостности данных при передаче на радиоинтерфейсе – вычисление MIC-кода на основе сессионного ключа NwkSKey;
Конфиденциальность сигнальной информации (управляющих команд) - AES-шифрование МАС-команд с помощью сессионного ключа NwkSKey;
Безопасное хранение идентификаторов абонентского устройства и его полномочий – внедрение аппаратного элемента безопасности Secure element в абонентский терминал и защита HSM-модулем Join-сервера;
Оперативное устранение найденных уязвимостей на сетевой стороне и на абонентских терминалах –дистанционная смена ПО абонентских терминалов через эфир с помощью специфицированного LoRaAllianceмеханизма FUOTA (Firmware Upgrade Over The Air) и установка обновлений на сетевой сервер и сервер приложений;
Возможность использования отечественных СКЗИ (Средства Криптографической Защиты Информации) для критической инфраструктуры – внедрение дополнительного, «нулевого» уровня end-to-end шифрования по сертифицированным ФСБ РФ алгоритмам.
11
ЭКОНОМИЯ ПОТРЕБЛЕНИЯ ЭЛЕКТРОЭНЕРГИИ
› до 65% благодаря LED, интеллектуальному выбору режимов работы и
программам диммирования (зонирование, городские события)
СНИЖЕНИЕ ЭКСПЛУАТАЦИОННЫХ РАСХОДОВ
› до 50% за счет предиктивного обслуживания
КЕЙС 1: УМНОЕ ГОРОДСКОЕ ОСВЕЩЕНИЕ
Удаленное управление каждым светильником отдельно или группой светильников по сценариям или командам сотрудника предприятия
› уменьшение интенсивности свечения в спальных районах в ночное время
› зонирование интенсивности свечения в зависимости от типа локации
› управление сценариями интенсивности свечения в зависимости от городских событий (День города, …)
› использование опор освещения в качестве инфраструктуры электропитания для городских программ 24/7
› online отображение информации о событиях на единой платформе Умного города
МУП ПЕРМЬ ГОРСВЕТ – г. Пермь, ул. Попова (72 светильника, пилотный проект)
ГУП МОССВЕТ/ ОЭК, Москва, мкр. Марьино (300 светильников, пилотный проект)
ОА «ИВГОРЭЛЕКТРОСЕТЬ», г. Иваново (6000 светильников, эксплуатация)
ГУП ЛЕНСВЕТ, СПб, ул. Кораблестроителей, 16 (6 светильников, пилотный проект)
12КЕЙС 2: АСУ ТП НЕФТЯНЫХ СКВАЖИН
ПРОБЛЕМАТИКА
Оперативные данные не поступают в системы управления верхнего уровня
(MES, ERP, интегрированные модели), что серьезно снижает качество и
скорость принятия управленческих решений
IoT-РЕШЕНИЕ
Решение позволяет передавать технические данные о процессе добычи
углеводородов в режиме реального времени и визуализировать их на
рабочих местах специалистов для поддержки принятия управленческих
решений.
DCS(ПРИЛОЖЕНИЯ)
NETWORK SERVER
БС
IoT-датчики
OPC
• DCS – АСУ ТП
• SCADA - диспетчерское управление и сбор данных
• OPC - Open Platform Communications
• INFLUX DI3 – база данных для нормализованных меток
• MES - АСУП
DATANORM
INFLUX DI3
OPS
SCADA
NS
GW
ПОВЫШЕНИЕ ДОБЫЧИ
• online мониторинг работоспособности и предиктивное обслуживание
• повышение продуктивности персонала
13КЕЙС 3: МОНИТОРИНГ СОБСТВЕННОГО И ВНЕШНЕГО ТРАНСПОРТА НА ТЕРРИТОРИИ ПРОИЗВОДИТЕЛЯ МЕТАЛЛОПРОКАТА
ЗАКАЗЧИК: крупный производитель труб
ЗАДАЧА:
› контроль передвижения собственного автотранспорта и автотранспорта подрядчиков (500 единиц ежедневно) по территории предприятия
КОНТРОЛИРУЕМ:
› положение машины с отображением на карте предприятия
› соответствие следованию маршруту передвижения (интервал – каждые 30 секунд)
› время прибытия/отбытия/простоя/погрузки в каждой точке маршрута
СОСТАВ РЕШЕНИЯ:
› LoRaWAN трекер
› индивидуальна IoT-сеть LoRaWAN с триангуляцией (определением положения датчика по базовым станциям сети)
› система отображения маршрута следования
ЭФФЕКТ ДЛЯ ЗАКАЗЧИКА ОТ ВНЕДРЕНИЯ:
› повышение эффективности логистики, снижения простоев и затрат на избыточный транспорт подрядчиков
› снижение потерь от несанкционированной загрузки/воровства продукции или активом предприятия с объектов, на которых не было разрешения к посещению
14
ИННОВАЦИИ СЕГОДНЯ[email protected]