1

iot-ertelecom.ru

Технология передачи данных LoRaWAN для IoT-решений.

Теория и практика в РФ

Андрей ЭкономовБлок R&D, АО "ЭР-Телеком Холдинг"

2КОМПАНИЯ «ЭР-ТЕЛЕКОМ ХОЛДИНГ»

КРУПНЕЙШАЯ

РЕГИОНАЛЬНАЯ СЕТЬ Wi-Fi

ВЕДУЩИЙ НАЦИОНАЛЬНЫЙ ОПЕРАТОР

ФИКСИРОВАННОЙ СВЯЗИ

ИННОВАЦИОННЫЕ ЦЕНТРЫ

› Санкт-Петербург

› Новосибирск

› Пермь

› Москва

52 000KMпротяженность

оптоволоконной

сети

2 МЕСТОв России по ШПД

и кабельному ТВ

4 млнчастных абонентов

18 000публичных Wi-Fi

локаций

52 ГОРОДАкрупнейшая IoT-сеть

LoRaWAN

6 800KMмагистральной

сети

ЛИДЕРпо средней скорости

доступа в интернет

566населенных

пунктов РФ

386 000корпоративных

услуг

3

Иркутск

овосибирск

То скО ск

Т ень

Курган

Челябинск

ь

Ижевск

Уфа

Оренбург

уагнитогорск

абережные ЧелныТольятти

Саратов

Сы рань Са араКраснодар

Белгород

Иваново

Ростов-на-Дону

Волгоград

ао кар-Ола

Киров

Курск

Воронеж

и е к Ря ань

ижни овгород

рен а Ульяновск

Ка ань

Тверь

С оленск

Брянск Калуга Москва

Орел

Ярославль

Тула Влади ир

Саранск Чебоксары

Улан-Удэ

Чита

Хабаровск

Калининград

Ке ерово Красноярск

Барнаул

Махачкала

уур анск

Сургут

катеринбург

Владивосток

Благовещенск

Архангельск

Адыге ск Со и

Ставро оль

Элиста

Черкесск

Астрахань

Санкт-ретербург

Костро а

Та бов

ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ ИЗЛОЖЕННЫХ ПРИНЦИПОВ НА IIOT –СЕТИ LORAWANФЕДЕРАЛЬНОГО ОХВАТА ЭР-ТЕЛЕКОМ ХОЛДИНГА

IIoT СЕТЬ ФЕДЕРАЛЬНОГО ОХВАТА

ЗАПУЩЕНА В 52 ГОРОДАХ РОССИИ

ДОПОЛНИТЕЛЬНО ПРОИЗВОДСТВЕННЫЕ

ПЛОЩАДКИ КОРПОРАТИВНЫХ КЛИЕНТОВ

• Астрахань• Барнаул• Белгород• Благовещенск• Брянск• Владивосток• Волгоград• Воронеж• Екатеринбург• Иваново• Ижевск• Иркутск• Йошкар-Ола• Казань• Калининград• Кемерово• Киров• Краснодар• Красноярск• Курск• Липецк• Магнитогорск• Набережные

Челны• Находка

INDOOR–ПОКРЫТИЕ

Июнь 2018

OUTDOOR–ПОКРЫТИЕ Август 2018

• Пермь• Санкт-

Петербург• Москва• Ярославль

• Нижний Новгород

• Новокузнецк• Новосибирск• Омск• Оренбург• Пенза• Ростов-на-Дону• Рязань• Самара• Саратов• Сочи• Ставрополь• Тверь• Тольятти• Томск• Тула• Тюмень• Ульяновск• Уфа• Хабаровск• Чебоксары• Челябинск• Череповец• Чита

ЭР-Телеком – участник технического комитета LoRaAlliance, тесно взаимодействует с авторами стандарта и участвует в его дальнейшей разработке.

4АРХИТЕКТУРА IoT-РЕШЕНИЯ

ДАТЧИКИ/ОБЪЕКТ ЗАКАЗЧИКА

IIoT—СЕТЬ/ОПЕРАТОР ЭР-ТЕЛЕКОМ

ПЛАТФОРМА ПРИЛОЖЕНИЙ ЗАКАЗЧИК«ЭР-ТЕЛЕКОМ»

API

ПРИЛОЖЕНИЯ

АРМ ДИСПЕТЧЕРА

ПЛАНШЕТ ТЕХНИЧЕСКИХ СОТРУДНИКОВ

СЕТЕВОЙ СЕРВЕР

СМАРТФОН РУКОВОДИТЕЛЯ

ТЕЛЕКОММУНИКАЦИОННАЯ ПЛАТФОРМА

API

BIG DATA

СЕРВЕРА ЗАКАЗЧИКА

ВНЕШНИЕ ОБЛАКА

ВЕРТИКАЛЬНЫЕ (ОТРАСЛЕВЫЕ) СИСТЕМЫ У ЗАКАЗЧИКА

РАДИУС ДО 20 КМ

5ОБЩИЕ АСПЕКТЫ БЕЗОПАСНОСТИ ДАННЫХ В СЕТЯХ IOT

- End-to-end конфиденциальность пользовательских данных на уровне приложения;

- Взаимная идентификация абонентского устройства и сети;

- Проверка целостности данных при передачи на радиоинтерфейсе;

- Конфиденциальность сигнальной информации (управляющих команд);

- Безопасное хранение идентификаторов абонентского устройства и его полномочий;

- Оперативное устранение найденных уязвимостей на сетевой стороне и на абонентских терминалах;

- Возможность использования отечественных СКЗИ для критической инфраструктуры.

6ШИФРОВАНИЕ ДАННЫХ LoRaWAN

1-ый уровень. AES-шифрование на уровне приложения (между абонентским устройством и сервером приложений) с помощью 128-битного переменногосессионного ключа Application session key (AppSKey). Данный ключ шифрования хранится в аб. устройстве и на сервере приложений, и недоступен оператору сети(доступ к AppSKey есть только у клиента - владельца сервера приложений);

2-ой уровень. AES-шифрование и проверка целостности сообщений (вычисление MIC) на сетевом уровне (между абонентским устройством и сетевым сервером) спомощью 128-битного переменного сессионного ключа Network session key (NwkSKey). Данный ключ шифрования хранится в аб. устройстве и на сетевом сервере инедоступен клиенту (доступ к NwkSKey есть только у оператора сети – владельца сетевого сервера);

3-ий уровень. Стандартные методы аутентификации и шифрования интернет-протокола (IPsec, TLS и т.п.) при передаче данных по транспортной сети между узламисети (базовая станция, сетевой сервер, join-сервер, сервер приложений).

Уровень 1 – приложение Уровень 2 – сеть LoRaWAN Уровень 3 – транспортУровень 3 – транспорт

7

AS_URLPRSKPUSK

DevEUI

ДатчикDevEUI

Датчик• Генерирует DevNonce• Посылает запрос Join

Request включающий JoinEUI, DevEUI иDevNonce на сетевой сервер

JoinEUI

DevEUI

DevNonce

Сетевой сервер• Выбирает (формирует)

DevAddr по DevEUI• Передает Join Request с

DevAddr и NetID корректному JS по его JoinEUI

DevAddr

JoinEUI

DevEUI

DevNonce

NetID

JoinEUI

AppKey

DevEUI

Device Config

DevEUI

JoinEUI

AppKey

NetID

DevEUI

AS_URL

DevAddr

Сетевой сервер• Сохраняет ключ NwkSKey

в БД;• Формирует Joint Accept

сообщение и посылает его устройству

NetID

JoinNonce

DevAddr

DLSettingsRXDelayCFList

AppKey

DevAddr

AppSKey

NwkSKey

Датчик• Вычисляет AppSKey и

NwkSKey по: AppKey, DevNonce, JoinNonce, NetID

• Сохраняет ключи иDevAddr в своей памяти

JS –Join СерверAS – сервер приложенийNS – сетевой сервер

ПРОЦЕДУРА АКТИВАЦИИ ДАТЧИКА ОТАА V1.1

NetID

JoinNonce

DevAddr

AppKey

NwkSKey

Join сервер• Выбирает AppKey по DevEUI.• Генерирует JoinNonce• Вычисляет AppSKey and

NwkSKey по: AppKey, DevNonce, JoinNonce, NetID

• Посылает JoinNonce и ключ NwkSKey в сетевой сервер;

• Посылает AppSKey в сервер приложений.

AppSKey DBAppSKeyNwkSKey DBNwkSKey DBNwkSKey

DevAddr

AppSKey

PUSK

Сервер приложений• Сохраняет ключ AppSKey в

своей БД

8ОПЦИИ СИСТЕМЫ БЕЗОПАСНОСТИ LoRaWAN

На абонентском устройстве ключи шифрования могут защищаться специальным аппаратным элементомбезопасности (Secure Element), а Join-сервер может быть защищён HSM.

В целях дополнительной безопасности процессагенерации сессионных ключей Join-сервер может бытьфизически вынесен на территорию клиента илипроизводителя устройств. В этом случае дажесотрудники оператора не смогут получить доступ ксессионным и корневым ключам шифрования.

9ВНЕДРЕНИЕ В СЕТЬ LoRaWAN ШИФРОВАНИЯ ПО ГОСТ

Уровни шифрования AES-128 могут быть дополнены одним из стандартизованных в РФ алгоритмов,входящих в семейство ГОСТ (2012, 2015). Для этого при производстве абонентских терминалов LoRaWANпредлагается устанавливать в них дополнительный микроконтроллер СКЗИ (Средство КриптографическойЗащиты Информации), сертифицированный ФСБ России.В качестве такого микроконтроллера могут быть использованы, например, микропроцессорыотечественного производства Микрон MIK51SC72D или MIK51AD144D

10

РЕШЕНИЯ, ПРИМЕНЯЕМЫЕ В СТАНДАРТЕ LORAWAN ДЛЯ ОБЕСПЕЧЕНИЯ КРИТЕРИЕВ БЕЗОПАСНОСТИ

End-to-end конфиденциальность пользовательских данных на уровне приложения – AES-шифрование с помощью сессионного ключа AppSKey;

Взаимная идентификация устройства и сети – процесс авторизации терминала при первичном подключении к сети (или по специальной команде о повторе авторизации);

Проверка целостности данных при передаче на радиоинтерфейсе – вычисление MIC-кода на основе сессионного ключа NwkSKey;

Конфиденциальность сигнальной информации (управляющих команд) - AES-шифрование МАС-команд с помощью сессионного ключа NwkSKey;

Безопасное хранение идентификаторов абонентского устройства и его полномочий – внедрение аппаратного элемента безопасности Secure element в абонентский терминал и защита HSM-модулем Join-сервера;

Оперативное устранение найденных уязвимостей на сетевой стороне и на абонентских терминалах –дистанционная смена ПО абонентских терминалов через эфир с помощью специфицированного LoRaAllianceмеханизма FUOTA (Firmware Upgrade Over The Air) и установка обновлений на сетевой сервер и сервер приложений;

Возможность использования отечественных СКЗИ (Средства Криптографической Защиты Информации) для критической инфраструктуры – внедрение дополнительного, «нулевого» уровня end-to-end шифрования по сертифицированным ФСБ РФ алгоритмам.

11

ЭКОНОМИЯ ПОТРЕБЛЕНИЯ ЭЛЕКТРОЭНЕРГИИ

› до 65% благодаря LED, интеллектуальному выбору режимов работы и

программам диммирования (зонирование, городские события)

СНИЖЕНИЕ ЭКСПЛУАТАЦИОННЫХ РАСХОДОВ

› до 50% за счет предиктивного обслуживания

КЕЙС 1: УМНОЕ ГОРОДСКОЕ ОСВЕЩЕНИЕ

Удаленное управление каждым светильником отдельно или группой светильников по сценариям или командам сотрудника предприятия

› уменьшение интенсивности свечения в спальных районах в ночное время

› зонирование интенсивности свечения в зависимости от типа локации

› управление сценариями интенсивности свечения в зависимости от городских событий (День города, …)

› использование опор освещения в качестве инфраструктуры электропитания для городских программ 24/7

› online отображение информации о событиях на единой платформе Умного города

МУП ПЕРМЬ ГОРСВЕТ – г. Пермь, ул. Попова (72 светильника, пилотный проект)

ГУП МОССВЕТ/ ОЭК, Москва, мкр. Марьино (300 светильников, пилотный проект)

ОА «ИВГОРЭЛЕКТРОСЕТЬ», г. Иваново (6000 светильников, эксплуатация)

ГУП ЛЕНСВЕТ, СПб, ул. Кораблестроителей, 16 (6 светильников, пилотный проект)

12КЕЙС 2: АСУ ТП НЕФТЯНЫХ СКВАЖИН

ПРОБЛЕМАТИКА

Оперативные данные не поступают в системы управления верхнего уровня

(MES, ERP, интегрированные модели), что серьезно снижает качество и

скорость принятия управленческих решений

IoT-РЕШЕНИЕ

Решение позволяет передавать технические данные о процессе добычи

углеводородов в режиме реального времени и визуализировать их на

рабочих местах специалистов для поддержки принятия управленческих

решений.

DCS(ПРИЛОЖЕНИЯ)

NETWORK SERVER

БС

IoT-датчики

OPC

• DCS – АСУ ТП

• SCADA - диспетчерское управление и сбор данных

• OPC - Open Platform Communications

• INFLUX DI3 – база данных для нормализованных меток

• MES - АСУП

DATANORM

INFLUX DI3

OPS

SCADA

NS

GW

ПОВЫШЕНИЕ ДОБЫЧИ

• online мониторинг работоспособности и предиктивное обслуживание

• повышение продуктивности персонала

13КЕЙС 3: МОНИТОРИНГ СОБСТВЕННОГО И ВНЕШНЕГО ТРАНСПОРТА НА ТЕРРИТОРИИ ПРОИЗВОДИТЕЛЯ МЕТАЛЛОПРОКАТА

ЗАКАЗЧИК: крупный производитель труб

ЗАДАЧА:

› контроль передвижения собственного автотранспорта и автотранспорта подрядчиков (500 единиц ежедневно) по территории предприятия

КОНТРОЛИРУЕМ:

› положение машины с отображением на карте предприятия

› соответствие следованию маршруту передвижения (интервал – каждые 30 секунд)

› время прибытия/отбытия/простоя/погрузки в каждой точке маршрута

СОСТАВ РЕШЕНИЯ:

› LoRaWAN трекер

› индивидуальна IoT-сеть LoRaWAN с триангуляцией (определением положения датчика по базовым станциям сети)

› система отображения маршрута следования

ЭФФЕКТ ДЛЯ ЗАКАЗЧИКА ОТ ВНЕДРЕНИЯ:

› повышение эффективности логистики, снижения простоев и затрат на избыточный транспорт подрядчиков

› снижение потерь от несанкционированной загрузки/воровства продукции или активом предприятия с объектов, на которых не было разрешения к посещению

14

ИННОВАЦИИ СЕГОДНЯ!andrei.n.ekonomov@domru.ru