Jedes Gerät, das mit dem Internet of Things (IoT) verbunden werden soll, muss zuvor mit dem Internet verbunden werden. Diese Verbindung kann über Mobilfunk, Wi-Fi oder Ethernet hergestellt werden. Dieser Artikel befasst sich mit den Herausforderungen beim Design von über die 802.11-Technologie verbundenen Geräten. Dazu gehören etwa die Bereitstellung der Wi-Fi-Verbindungsdetails, die Verbindung mit mehreren Wi-Fi-Netzwerken, Aktualisierungen der Gerätefirmware oder sicherheitsbedingte Einschränkungen. Des weiteren werden Lösungen von Lantronix vorgestellt, die diesen Herausforderungen begegnen und die schnelle Bereitstellung Wi-Fi-basierter Lösungen ermöglichen.
Bereitstellung der Wi-Fi-Verbindung
Der erste Schritt, um ein Gerät zu verbinden, besteht darin, dafür zu sorgen, dass es im Netzwerk kommunizieren kann. In einem Ethernet-Netzwerk ist dies sehr einfach. Man steckt das Kabel ein, der Dynamic Host Configuration Protocol- (DHCP) Server weist automatisch eine Adresse zu, und das Gerät ist zur Kommunikation bereit. Bei einer Mobilfunkverbindung enthält die SIM-Karte bereits sichere Identifikationsinformationen, die vom Betreiber des mobilen Netzwerks kabellos bereitgestellt werden, so dass das Gerät auf das Netzwerk zugreifen kann.
Bei der Verwendung von Wi-Fi muss das Gerät mit den Details des Netzwerks oder der Netzwerke, mit dem oder mit denen es verbunden wird, versorgt werden. Auf einfachster Ebene gehören dazu der Service Set Identifier (SSID), die Sicherheitssuite und die Passphrase bzw. die Authentifizierungsdaten, die für die Herstellung der Verbindung erforderlich sind.
Wenn das 802.11-Modul nicht über eine softwareaktivierte Zugangspunkt (SoftAP)-Eigenschaft verfügt, muss die Konfiguration über eine serielle oder eine Ethernet-Schnittstelle erfolgen. Das bedeutet, dass ein Host-Prozessor über eine Benutzeroberfläche verfügen und die Konfiguration des Geräts übernehmen muss. Dies führt zu erheblichen Kosten und höherer Komplexität des Designs, besonders wenn dem Gerät ein Display hinzugefügt werden muss. Diese Kosten und diese Komplexität können durch die Verwendung eines Wi-Fi-Geräts mit SoftAP-Eigenschaft vermieden werden. Mit dieser Eigenschaft kann sich das 802.11-Modul als Zugangspunkt präsentieren, wodurch Wi-Fi-Clients eine Verbindung zu dem Modul herstellen können, ohne dass dazu der ältere und weniger unterstützte Ad-Hoc-Modus erforderlich ist.
Verwendung von SoftAP
Die erste Überlegung, die der Designer anstellen muss, ist die Frage, ob das, was im Labor funktioniert, auch für die Bereitstellung
von Zehntausenden von Geräten durch Benutzer mit unterschiedlichen Kenntnissen und Fertigkeiten geeignet ist. Die meisten Module mit SoftAP ermöglichen die Verbindung zu einem eingeschränkten Web-Konfigurationsmanager, suchen nach verfügbaren Infrastrukturnetzwerken und wählen aus, mit welchem davon eine Verbindung hergestellt werden soll. Die typischen Anweisungen an Endbenutzer sind dabei:
-
Verbinden Sie das Wi-Fi Ihres Telefons mit dem Netzwerk: ACMEWidget
-
Geben Sie das Passwort ein: ACME_Designs
.
- .
Öffnen Sie jetzt den Browser auf Ihrem Telefon, berühren Sie die URL-Leiste (hoffentlich wissen Sie, was das ist!), geben Sie 10.10.0.1 ein
und drücken Sie die Eingabetaste
-
Suchen Sie auf dem Display den Link „Durchsuchen“
-
Warten Sie einige Sekunden, und wählen Sie Ihr Infrastruktur-Wi-Fi-Netzwerk aus
-
Geben Sie in dem angezeigten Feld das Passwort für Ihr Infrastruktur-Wi-Fi-Netzwerk ein und drücken Sie die Eingabetaste
-
Starten Sie das Gerät neu – hoffentlich zeigt der LED-Monitor dann eine Verbindung an! (wenn das ausgewählte 802.11-Modul nicht
gleichzeitig den SoftAP- und den Station-Modus ermöglicht)
Dies funktioniert im Labor vielleicht gut, die Bereitstellung eines solchen Geräts führt jedoch sicher zu erhöhten Kosten für Wartung und technischen Support. Darüber hinaus begrenzt dies die Einbeziehung der Bereitstellung des Geräts in eventuell vorhandene Konfigurationsprogramme eines Unternehmens.
Die Lösung dieses Problems besteht in der Auswahl eines Moduls, das eine einfache programmatische Bereitstellung der Wi-Fi-Details ermöglicht. Lantronix hat zum Beispiel eine Eigenschaft mit der Bezeichnung WebAPI in seinem Webserver eingerichtet, die HTTP POST-Meldungen zum direkten Zugriff auf die Konfiguration des xPico Wi-Fi-Moduls verwendet.
Darüber hinaus bietet Lantronix die Android-App xPico Wi-Fi Utilities an, bei der der Benutzer lediglich auswählt, mit welchem Netzwerk sich das xPico Wi-Fi verbinden soll, und dann das Passwort eingibt. Alle weiteren oben aufgeführten Schritte entfallen. Diese Funktionalität erleichtert die Integration der Konfiguration in ein 802.11-Modul für Endgeräte mit minimalem Benutzereingriff.
Verbindung zwischen mehreren Wi-Fi-Netzwerken
Wenn ein Gerät seinen Standort wechselt, kann es in Bereiche mit verschiedenen Wi-Fi-Netzwerken gelangen. Im Lager gilt dann vielleicht eine Kombination aus SSID und Passwort, im Frontoffice jedoch gilt eine andere. Und die Benutzer Ihres Geräts erwarten, dass dieses sich genau wie ein Smartphone oder ein Tablet verhält, d.h., dass es jedes Wi-Fi-Netzwerk einmal bereitstellt und sich nach Standortwechseln automatisch mit jedem Netzwerk verbindet, das in Reichweite ist.
Die meisten 802.11-Module können nur die Verbindungsdetails für ein Wi-Fi-Netzwerk speichern. Dies funktioniert hervorragend im Labor, in einem Krankenhaus ist es jedoch kaum akzeptabel, einen Ventilator bereitzustellen, den die IT-Abteilung jedes Mal neu konfigurieren muss, wenn er in einen anderen Bereich des Krankenhauses verschoben wird. Dies bedeutet, dass der mit dem 802.11-Modul verbundene Prozessor einen Wi-Fi-Konfigurationsmanager implementieren muss. Darüber hinaus muss der Datenfluss zwischen Prozessor und Modul periodisch unterbrochen werden, damit der Prozessor das Modul auffordern kann, nach drahtlosen Netzwerken zu suchen, und dann entscheiden kann, das 802.11-Modul über den seriellen Port neu zu konfigurieren.
Die Implementierung eines Wi-Fi-Konfigurationsmanagers am verbundenen Prozessor bedeutet, dass der Webserver des 802.11-Moduls möglicherweise nicht für die Bereitstellung verwendet werden kann, da die Daten von der Benutzeroberfläche zum Prozessor geleitet werden müssen, und nicht zu dem Modul selbst. Der verbundene Prozessor muss dann einen vollständig neuen Webserver implementieren, was die Komplexität des Designs beträchtlich erhöht.
Um diese Probleme zu vermeiden, ohne die von den Kunden erwartete Benutzerfreundlichkeit aufzugeben, verfügt das xPico Wi-Fi von Lantronix über einen erweiterten Konfigurationsmanager als Teil der Lantronix Device Server Software Suite. Dieser Konfigurationsmanager enthält die Eigenschaft WLAN Profiles, das automatisch die Bereitstellungsdetails für mehrere Wi-Fi-Netzwerke im Flash des xPico Wi-Fi speichern kann. Dies bedeutet, dass ein Endgerät zwischen Wi-Fi-Netzwerken wechseln kann, ohne dass der Endbenutzer oder der verbundene Mikrocontroller eingreifen muss.
Geräteservice und -wartung
Simultaner SoftAP
In vielen Anwendungsfällen wird ein Gerät in einer Endbenutzereinrichtung mit einem sicheren Netzwerk betrieben, in dem die Endbenutzer nicht wünschen, dass ein Techniker eines Serviceunternehmens Zugriff zu ihrem Netzwerk erhält. Das traditionelle Modell besteht darin, das Gerät aus dem Netzwerk zu nehmen und es mit einem Computer zu verbinden, den der Techniker an den Standort mitbringt, um Servicearbeiten oder Neuprogrammierungen des Geräts durchzuführen.Dies führt zu einem Problem, wenn das Gerät von einem zentralen Managementsystem überwacht wird, da ein Alarm ausgelöst wird, wenn das Gerät aus dem Netzwerk genommen wird. Darüber hinaus gilt, dass beispielsweise eine von dem Gerät gesteuerte Zugangseinrichtung, etwa eine Tür, nicht benutzt werden kann, solange das Gerät gewartet wird.
Eine Lösung dafür ist die Verwendung eines 802.11-Moduls, das nicht nur einen SoftAP hat, sondern diesen auch gleichzeitig mit der Client-Schnittstelle durchführen kann. Idealerweise ermöglicht das Modul auch den simultanen Zugriff auf die Quellen des Moduls und auf die des verbundenen Mikrocontrollers. So kann der Techniker auf das Gerät zugreifen, ohne über die Zugangsdaten zum Netzwerk des Kunden zu verfügen.
Das Lantronix xPico Wi-Fi ist ein Modul mit simultanem SoftAP, das sich dazu mit dem Wi-Fi-Netzwerk eines Unternehmens verbinden kann. Dies ermöglicht einen Datentunnel zwischen dem Endgerät und einer Cloud-Anwendung sowie die gleichzeitige Unterstützung der Konfiguration des Wi-Fi-Moduls von beiden Schnittstellen aus. Dies ist eine besondere Eigenschaft der Device Server-Anwendung von Lantronix.
Kabellose („Over the Air“) Firmwareaktualisierungen
Bisweilen muss die Firmware eines 802.11-Moduls aktualisiert werden, ob zur Bereitstellung neuer Eigenschaften oder zurBehebung von Firmwareproblemen, die seit der Bereitstellung des Geräts aufgetreten sind. Softwaretechniker sollten von Beginn an über einen Plan verfügen, wie Firmwareaktualisierungen durchgeführt werden. Die meisten Module ermöglichen solche Aktualisierungen über ein serielles oder ein JTAG-Kabel. Dazu muss das Endgerät die Verbindung zu einem Kopf bringen; dazu ist der physische Zugriff auf das Gerät erforderlich.
Eine weitere Option, die manche Module ermöglichen, besteht in kabellosen („Over the Air“, OTA) Aktualisierungen über die Wi-Fi-Verbindung des Geräts. Idealerweise wird diese Aktualisierung in ausfallsicherer Weise durchgeführt, so dass das Gerät bei einer Unterbrechung der Wi-Fi-Verbindung oder der Stromversorgung weiter funktioniert.
Das Lantronix xPico Wi-Fi enthält eine OTA-Aktualisierungsanwendung, die sich in einem anderen Teil des Flash-Speichers befindet als die Haupt-Firmwareanwendung. Dies bedeutet, dass das xPico Wi-Fi bei einer fehlgeschlagenen Aktualisierung zurück zur OTA-Aktualisierungsanwendung bootet, um ein neues Haupt-Firmwareimage zu erhalten.
Die OTA-Aktualisierungsanwendung speichert auch das WLAN-Profil des Clients, mit dem es verbunden ist, und genau wie der Konfigurationsmanager kann sie über WebAPI verwaltet werden. Dadurch kann das xPico Wi-Fi sofort ausfallsichere Aktualisierungen durchführen, die über die HTTP POST-Anfragen geskriptet sind und lokal über die SoftAP-Schnittstelle oder gerätefern über die Client-Schnittstelle durchgeführt werden können.
Sicherheit
Bei der Auswahl eines 802.11-Moduls müssen viele verschiedene Sicherheitsaspekte berücksichtigt werden. Dazu gehört die Sicherheit der drahtlosen Verbindung, aber auch die Datensicherheit.
Wireless-Sicherheit
Die Wireless-Sicherheit schränkt den Zugriff auf ein drahtloses Netzwerk durch die Erfordernis einer Passworteingabe ein und verschlüsselt Datenzwischen dem 802.11-Modul und dem Zugriffspunkt. Es ist wichtig, die Implementierung und die praktischen Unterschiede zwischen den verschiedenen Verbindungsmethoden zu verstehen.
Eine der ersten Entscheidungen betrifft die Frage, ob das Gerät die Unternehmenssicherheit (Enterprise Security) oder die persönliche Sicherheit (Personal Security) unterstützen soll. Unter „Personal Security“ versteht man gewöhnlich ein Netzwerk mit einem Pre-Shared-Schlüssel. Dies ist der verbreitetste Netzwerktyp, da er für Administratoren und Endbenutzer am einfachsten zu handhaben ist. Dabei verwenden alle Benutzer die selbe Passphrase für die Verbindung zum Netzwerk. Dies bringt das Problem mit sich, dass sich jeder, der die Passphrase kennt, mit dem Netzwerk verbinden kann, und dass bei einer Änderung alle Endbenutzer darüber benachrichtigt und die bereitgestellten Geräte neu konfiguriert werden müssen.
Bei der Enterprise Security, oder 802.1x, besteht dieses Problem nicht, da jeder Benutzer eine eigene Kombination aus Benutzername und Passwort hat; darüber hinaus wird ein Backend-RADIUS-Server für die Authentifizierung des Benutzers verwendet und der Verschlüsselungsschlüssel nach Abschluss der Authentifizierung gewechselt. Diese Art von Sicherheitskonzept ist schwieriger zu verwalten und erfordert die Authentifizierung durch den Server. In vielen Fällen müssen dazu die Endgeräte Zertifikate erhalten, damit die Authentifizierung funktionieren kann.
Ob Enterprise oder Personal Security: Die Verbindung verwendet in jedem Fall einen Verschlüsselungsschlüssel für die Daten. Der Schlüssel kann zum Zeitpunkt der Verbindung generiert werden, wie bei Wi-Fi Protected Access (WPA) oder WPA2, oder er kann mit dem Verbindungspasswort identisch sein, wie bei Wired Equivalent Privacy (WEP).
WPA2 ist das sicherste Verfahren, da dabei eine auf dem Advanced Encryption Standard (AES) basierende Verschlüsselungsmethode verwendet wird. Sowohl WPA als auch WEP haben Schwachstellen, die ausgenutzt werden können. Beachten Sie, dass die Wi-Fi Alliance WEP für veraltet erklärt hat, so dass neu bereitgestellte Zugangspunkte wahrscheinlich keine Unterstützung für WEP bieten werden.
Eine wichtige Überlegung betrifft die Tatsache, dass das bestehende Netzwerk bei der Bereitstellung eines Endgeräts eines von drei Verfahren verwenden kann, das ausgewählte 802.11-Modul also alle drei unterstützen sollte. WEP weist ein besonderes Problem auf, da es einen aus 10 (WEP64) oder 26 (WEP128) Hexadezimalstellen bestehenden Schlüssel erfordert.
Da sich Endbenutzer einen solchen Schlüssel nur schwer merken können, erlauben Hersteller von Zugangspunkten stattdessen die Eingabe einer Passphrase. Da deren Umwandlung in einen Hexadezimalschlüssel nicht Teil der WEP-Spezifikation ist, verwenden verschiedene Hersteller von Zugangspunkten unterschiedliche Umwandlungsalgorithmen. Lantronix hat 32 verschiedene Algorithmen identifiziert, die in Zugangspunkten verwendet werden.
Die Lantronix SmartConnect EasyWEP-Eigenschaft kümmert sich um die verschiedenen Umwandlungsalgorithmen, so dass Ihre Benutzer ihre Passphrase eingeben können und keinen Hexadezimalschlüssel für die Verbindung zu ihrem WEP-Netzwerk benötigen. Die SmartConnect EasyWEP-Eigenschaft verwendet das WebAPI von xPico Wi-Fi zur Akzeptanz einer Passphrase und testet dann jeden bekannten Umwandlungsalgorithmus, um eine Verbindung zum Zugangspunkt herzustellen. Wenn es den Umwandlungsalgorithmus für die Verbindung gefunden hat, speichert es das WLAN-Profil zusammen mit dem Hexadezimalschlüssel zur zukünftigen Verwendung im Flash.
Die Auswahl eines Moduls, das lediglich die Eingabe eines Hexadezimalschlüssels (und nicht einer Passphrase) erlaubt, kann zu unnötigen Anrufen beim technischen Support oder sogar zu Geräterückgaben führen, da Benutzer, die nur die Passphrase für ihr Netzwerk kennen, nicht wissen, wie sie das Gerät mit dem Netzwerk verbinden können.
Datensicherheit
Die Wireless-Sicherheit verschlüsselt lediglich die Daten, die zwischen dem Endgerät und dem nächsten Zugangspunkt ausgetauscht werden. Die nicht verschlüsselten Daten können an zwei Punkten abgefangen werden: zunächst oberhalb des Zugangspunkts, da die Daten dort nicht mehr mit dem Wireless-Sicherheitsschlüssel verschlüsselt sind, und zweitens durch ein anderes Gerät im drahtlosen Netzwerk, wenn ein nicht sicherer Schlüssel verwendet wird oder das Netzwerk nicht über Wireless-Sicherheit verfügt.
Die beiden üblichen Verfahren für die Datenverschlüsselung sind Advanced Encryption Standard (AES) und Secure Sockets Layer/Transport Layer Security (SSL/TLS). AES ist die von NIST genehmigte Methode für die Verschlüsselung mit symmetrischen Schlüsseln. Jedes Ende der Verbindung verfügt über den gleichen Schlüssel für die Ver- und Entschlüsselung von Daten. Dies erleichtert die Bereitstellung, da diese bei der Konfiguration des Geräts erfolgen kann. Die Ver- und Entschlüsselungsschritte sind CPU-intensiv, es ist daher besser, ein 802.11-Modul zu wählen, das diesen Teil übernimmt, damit er nicht in dem angeschlossenen Mikrocontroller implementiert werden muss.
Der Nachteil dieses Verschlüsselungsverfahrens besteht darin, dass der Designer beide Geräte, die miteinander kommunizieren sollen, steuern muss, da der Schlüssel beiden Endgeräten und dem Server zur Verfügung gestellt werden muss. Damit sich Clients mit nicht eigenen Servern verbinden können, kann SSL/TLS verwendet werden, das Verfahren, das bei Secure HTTP oder HTTPS zum Einsatz kommt. Bei diesem asymmetrischen Kryptographieverfahren wird die Verbindung hergestellt, und anschließend werden, für jede Verbindung neu, temporäre symmetrische Schlüssel ausgetauscht.
Die Anfälligkeit von SSL/TLS liegt im anfänglichen Austausch der Zertifikate. Da kein vorab konfigurierter Schlüssel vorhanden ist, besteht eine Anfälligkeit für einen MITM- („Man in the Middle“) Angriff durch einen Benutzer, der DNS auf seinen Server umleitet und dann ein falsches Zertifikat sendet, das vorgibt, vom Endserver zu stammen. Zum Umgang mit diesem Problem wurden die Certificate Authorities (CA) eingeführt. Dabei handelt es sich um Entitäten, die standardmäßig vertrauenswürdig sind; jedes Serverzertifikat muss mit dem Zertifikat einer CA oder einer Zwischenstelle, die die Beziehung verifizieren kann, versehen werden, man spricht dabei auch von einer „Zertifikatskette“.
Dieses Verfahren erfordert eine komplexere Konfiguration des Endgeräts. Das Gerät muss mit den Zertifikaten für die vertrauenswürdigen CAs konfiguriert werden, damit es die Zertifikatskette der Server verifizieren kann, mit denen es sich verbindet. Weil diese Zertifikate Ablaufdaten haben, muss dazu ein System vorhanden sein, dass vor diesen Ablaufdaten neue Zertifikate abruft sowie installiert und so die Vertrauenskette intakt hält und MITM-Angriffe verhindert.
Viele Aufgaben im Zusammenhang mit der Datenverschlüsselung und der Gerätekonfiguration können auf das 802.11-Modul übertragen werden. Das Lantronix xPico Wi-Fi enthält die Lantronix Device Server Software Suite, die über Verschlüsselungsfunktionen verfügt und die einfache Konfiguration erlaubt, so dass die Verschlüsselung für das Endgerät vollständig transparent ist.