2023年初,藍牙技術聯盟(Bluetooth SIG)宣布藍牙mesh 1.1最新版本,針對韌體更新和裝置配置引入全新功能,並推出全新路由功能,同時提升mesh網路安全性。
改進的開通配置安全和私有信標
(承前文)從安全的角度來看,開通配置的過程提供未開通配置裝置存取網路的能力,至關重要。因此,配置過程的安全解決方案需要確保能夠提供安全保護。藍牙mesh 1.1引入了增強型開通配置驗證(EPA)和基於憑證的開通配置(CBP)來改善這方面的問題。
EPA可以提供更強大的驗證機制,更有效地抵禦中間人攻擊(MITM Attack),並提供從未開通配置裝置一側進行強制驗證的功能。這項功能可以防止任何開通配置方實施免驗證裝置的開通配置,也就是能夠避免惡意行為者透過第三方開通者,為一棟尚未投入使用建築中的所有裝置進行開通配置,導致需要以高昂的代價實際存取每台裝置才能恢復操作的情況發生。現在,支援藍牙mesh 1.1改進功能的未開通裝置可以選擇要求驗證,並且可以拒絕未使用驗證機制開通方的開通嘗試。
基於憑證的開通配置增加了標準化的可選頻段外(OOB)驗證步驟,以使用包含公開金鑰基礎架構(Public Key Infrastructure, PKI)的X.509憑證來驗證裝置憑證中的裝置UUID和公開金鑰。
另一項新功能,私有信標(Private Beacon),則針對mesh信標發送者未經授權的追蹤問題,提供更好的保護功能。這項功能透過混淆信標資料和改進信標結構來增加額外保護力。舉例來說,在某個工作場景,若自動照明系統透過感測員工識別證中所嵌入的藍牙mesh標籤來運作,員工可能會因此產生隱私疑慮,或者不願意在工作場所外攜帶識別證。如果沒有私有信標保護功能,標籤所傳輸的信標將包含可用於追蹤的靜態資料,可能遭到惡意觀察者利用,進行未經授權的追蹤。私有信標的混淆和結構改進功能,可以降低信標資料被識別和追蹤的風險。
mesh子網橋接和定向轉發
藍牙mesh 1.1旨在釋放全新的可能性。子網橋接(Subnet Bridging)和定向轉發(Directed Forwarding)均為全新功能,可以採用新的路由選項,並利用網路拓撲結構進行存取控制,推動實現更大型且更複雜的mesh網路。
子網可以隔離網路中的裝置群組,不需要共用主網路金鑰便可以實現存取控制、易用性和流量管理。憑藉子網橋接功能,使用者可以透過專用的橋接節點從網路的其他區域存取子網。讓我們根據這些描述,嘗試想像可以受益於新功能的用例。
例如,在飯店環境中,各房間和公共區域皆部署子網,可以定義子網來覆蓋不同的房間。客人可以透過子網來控制所住房間裡的燈光、暖氣和類似裝置。子網也可以覆蓋公共空間,例如庭院、餐廳或健身房,讓飯店員工可以控制子網範圍內的裝置。這些子網還可以用於向客人提供通知。將子網的拓撲結構與建築物的物理布局保持一致,可以實現流量最佳化和網路的高效利用。建立子網也可以簡化存取管理。針對飯店特定功能的存取,可以透過特定子網存取授權系統進行控制。
在商業建築中利用子網的先進用例中,子網橋接是關鍵的一塊拼圖。有了這項功能,使用者可以透過橋接節點從網路的其他部分與子網進行通訊,不需要處於子網的直接射頻範圍內,就可以與子網中的裝置進行互動。現在,飯店的客人可以在餐廳吃晚飯時,透過mesh網路控制房間裡的暖氣。
藍牙mesh網路定向轉發解決了藍牙mesh網路規模和複雜性不斷增加而產生的挑戰。更大型的網路需要更先進的路由機制來處理增加的網路資料流量。藍牙mesh定向轉發在網路中引入路由功能並將其標準化,透過限制無助於到達目的節點的中繼操作來減少流量,同時仍允許多個中繼操作來實現冗餘。遇到諸如網路中某些中繼操作失敗的情況,可以透過定期路由查找來確保路由正常運作,以適應網路拓撲結構的變化。
藍牙mesh設定檔和網路照明控制系統
藍牙mesh 1.1將「Mesh Profile」更名為「Mesh Protocol」。這一變化旨在突出藍牙mesh的真實性質,並與更普遍的藍牙命名慣例保持一致。從現在起,Profile將用於定義常見用例的標準化設定檔。藍牙網路化照明控制系統(NLC)設定檔是第一個引入的基於mesh拓撲結構的設定檔(圖4)。
NLC設定檔替照明系統相關的常見用例定義了設定檔。如此一來,不同廠家的裝置只要配置一組最小特徵集和性能參數,就能夠透過標準化設定檔實現互操作性。每個藍牙NLC設定檔都有一個單獨的規範檔案。雖然藍牙NLC設定檔規範尚未被採用,不過其草案內容對外公開,Nordic透過nRF Connect SDK 2.4.0演示如何實作這些設定檔。
目前藍牙NLC設定檔所規範的完整列表如下:
.基本亮度控制器
.能源監測器
.基本場景選擇器
.調光控制
.環境光感測器
.占用感測器
Nordic提供各種支援藍牙mesh的SoC組合。這些SoC具有不同的記憶體大小和功能,開發者能根據產品需求作出合適的選擇。
nRF5340 SoC為Nordic藍牙mesh旗艦產品,是nRF53系列的首款SoC,也是全球首款擁有兩個Arm Cortex-M33處理器的無線連接SoC。兩個靈活的處理器、工作溫度最高可達105°C,再加上先進的安全功能,使其成為專業照明、感測器網路和資產追蹤等藍牙mesh應用的理想選擇。
nRF5340是一款全功能SoC,具備藍牙5.2,高速SPI、QSPI、USB等優勢,並結合更高的性能、記憶體和整合度,同時實現靜態電流最小化。該產品可提供各種安全功能,如可信執行、信任根和安全金鑰儲存。另外,nRF52系列的7個SoC產品中,有四個支援藍牙mesh。
所有Nordic SoC可同時運行低功耗藍牙和藍牙mesh。無線協定間分時共用射頻資源,自主進行分時調度,可確保裝置保持互連。利用Nordic低功耗藍牙堆疊的互通性,開發人員可將低功耗藍牙裝置(例如智慧型手機)橋接至藍牙mesh網路,手機即可在新的節點中進行開通配置和除錯,並與mesh網路進行互通。
(本文作者任職於Nordic Semiconductor)
藍牙mesh 1.1全新功能一次看(1)
藍牙mesh 1.1全新功能一次看(2)