[技术讨论]

场景化蓝牙Mesh网关及子设备KP申请/烧录实战概述

2022-3-9 08:15:02 5817 蓝牙mesh 网关

1. 概述

很多同学在了解场景化蓝牙Mesh网关方案的过程中，都对网关及子设备的安全接入以及对应的KP申请和烧录过程有疑问。本文在简单介绍场景化蓝牙Mesh网关方案及对应安全子系统的基础上，详细介绍网关及子设备KP的申请及烧录步骤，希望能够对正在基于全套方案开发的同学们提供帮助。

1.1 名词解释

名词	含义
网关	将多个使用不同传输协议的网络连接在一起的设备，负责不同传输协议之间的数据交互
YoC	(Yun on Chip) 以极简开发为理念，以CPU架构、芯片平台、操作系统、云服务和开发套件为基础，助力开发者从芯片到云的全链路高效设计，是面向IoT领域的全栈技术平台
OCC	（Open Chip Community）芯片开放社区，是以AI+IoT芯片为基础，面向AIoT领域的技术社区。OCC通过汇聚技术资源、产品资源和市场资源，为合作伙伴提供从芯片选型、产品开发到市场推广的全链路产业服务，降低AIoT应用开发门槛、加速AIoT产品落地
KP	（Key Package），YoC将各种鉴权需要的秘钥集合在一起来进行管理的一种文件形式

1.2 场景化蓝牙Mesh网关方案简介

平头哥分布式蓝牙Mesh网关（以下简称“网关”）作为蓝牙Mesh网络中的中心设备，将Mesh子设备统一进行管理，并扩展子设备到云端的连接能力，实现端-云的互通和协同。

网关一方面作为Mesh网络的配网器和节点，组网并接收和处理Mesh网络的数据包；另一方面具备通过Wi-Fi连接到云平台的能力，可以将Mesh中的子节点纳入到云端进行统一管理。同时，网关可以作为一个模组，外接的MCU或PC可以通过AT指令，对网关进行配置和控制，从而达到控制整张Mesh网络的目的。在这个过程中，平头哥芯片开放社区（OCC）对网关提供FOTA服务及安全等服务。网关整体方案如下图所示

1.3 YoC安全子系统简介

安全是场景化蓝牙Mesh网关方案中至关重要的一个环节。YoC安全子系统的架构图如下图所示

在场景化蓝牙Mesh网关方案中，安全接入包含以下几个方面：

子设备要接入到网关创建并管理的Mesh网络，首先需要经过OCC的安全认证。网关会将待接入子设备的MAC/UUID/CID信息（OCC所颁发的设备唯一标识符）等通过https连接提交到OCC端进行鉴权，只有鉴权通过才可以进行下一步的Mesh入网操作，增加了Mesh网络的安全性；
网关与云端（飞燕云或三方云）进行通信，必须完成云端的安全认证。以飞燕云为例，在成功建立MQTT连接进行管理控制之前，网关必须具备飞燕云平台颁发的五元组信息，并基于SSL/TLS连接完成认证。同理，子设备通过网关代理接入飞燕云，也需要网关获取到子设备的五元组信息后代为认证。

为完成上述的安全接入，在秘钥管理方面，YoC定义了KP（Key Package），将各种鉴权需要的秘钥集合在一起来进行管理。例如，前文提到，网关与飞燕云进行通信需要五元组信息来进行鉴权，而管理子设备安全接入同时也需要OCC颁发的CID信息，因此，网关的KP中就包含了接入飞燕云及OCC所需要的各种秘钥信息，结构如下

证书信息	信息说明
CID	设备唯一标识符
CID private key	设备私有密钥(256B)
MAC	设备MAC信息
Trust boot key	启动验签密钥
Message Auth key	OCC安全接入密钥 (16B)
Product key	云平台颁发证书信息(20B)
Product secret	云平台颁发证书信息(64B)
Product ID	云平台颁发证书信息(4B)
Device name	云平台颁发证书信息 (32B)
Device Secret	云平台颁发证书信息(64B)

如果网关需要对接第三方云，那么上述结构中云平台颁发证书信息等可能会有适当变化。

而对于子设备，只需要三元组信息（PK/PS/DN）网关即可代理认证成功，其KP的结构如下

证书信息	信息说明
CID	设备唯一标识符
CID private key	设备私有密钥(256B)
MAC	设备MAC信息
Trust boot key	启动验签密钥
Message Auth key	OCC安全接入密钥
Product key	云平台颁发证书信息(20B)
Product secret	云平台颁发证书信息(64B)
Device name	云平台颁发证书信息 (32B)

2. KP申请

2.1 网关的KP申请

2.1.1 创建产品

登录平头哥芯片开放社区，进入控制台->产品服务

在产品服务页签，点击添加产品，填写需申请的产品信息

注意，对于网关来讲，节点类型选择网关设备；

如果云平台选择飞燕云，则需要提前在生活物联网平台申请产品的五元组信息，具体步骤参考生活物联网帮助文档-快速入门。在创建产品和设备成功后，即可获得设备五元组信息。

创建产品成功后，点击对应产品的编辑按钮进入产品页面进行配置。如下图所示，在配置页面可以对产品的许可证（KP）、FOTA及物模型等进行编辑和配置。

2.1.2 许可证配置

通过点击编辑按钮进入上述步骤创建的对应产品后，即可申请对应设备的许可证信息。点击许可证->申请许可证

申请许可证之后，点击【生成】

将产品对应的MAC地址和事先在生活物联网平台得到的五元组信息填写到csv文件中，格式如下（对关键信息做了脱敏处理）：

然后将编辑好的csv文件上传并提交，即可生成许可证（KP）并进行下载。

下载对应的KP文件夹后，将文件夹解压，在解压文件夹下pieces目录下可看到两个分别为Hex格式及二进制格式的文件，两个文件即申请成功的KP文件，名称即为该设备的CID，如下图所示

2.2 子设备的KP申请

2.2.1 创建产品

与网关申请KP相同，申请子设备KP首先需要在OCC上创建子设备的产品，在产品服务页签，点击添加产品，填写需申请的产品信息时，节点类型需要选择网关子设备并选择对应的芯片型号。同样，如果云平台选择飞燕云，则事先需要在生活物联网平台获取三元组信息。

2.2.2 许可证配置

子设备申请许可证时，需要上传的csv文件内容及格式与网关csv文件不同，其格式内容如下

上传并提交csv格式文件后，即可下载子设备对应kp文件。子设备kp文件解压后的目录结构及文件组成与网关相同，这里不再赘述。

3. KP烧录

3.1 网关的KP烧录

打开下载并解压的KP文件夹，文件夹下二进制格式的文件就是我们用于烧录的KP文件，对于网关的KP，需要将烧录的kp文件rename为fcds，放到boards/IoTGW_CB800/bootimgs文件夹。

对于使用剑池CDK的同学，将KP文件放到对应文件夹后需要使用剑池CDK进行一次编译，剑池CDK会自动将该二进制文件加载到编译生成的image中，然后使用剑池CDK的烧录功能正常烧录image即可。

使用Linux开发环境的同学其操作类似，将KP文件放到对应文件夹，然后重新make并使用make flashall命令进行烧录。

由于KP在生成时上传了云平台的鉴权信息（如生活物联网平台的五元组），因此烧录完成并重启后固件会自动加载对应的鉴权信息，联网后完成网关到云端的鉴权注册。

3.2 子设备的KP烧录

对于子设备的KP，需要将待烧录的KP文件rename为kp，放到boardsphy6220_evbbootimgs文件夹。然后与网关类似，使用剑池CDK或Linux开发环境进行编译并烧录。对于采用PHY6220芯片的子设备，由于在编译生成的total_image.hexf文件中也包含了KP信息，因此使用PHYPlus工具进行串口烧录也可以成功烧录KP文件。

4. 结语

经过以上的步骤，小伙伴们就可以愉快地使用场景化蓝牙Mesh网关方案的安全接入功能了。小伙伴们在体验和开发的过程中有任何问题，都可以在平头哥芯片开放社区找到我们，与我们交流。

文章转载自：平头哥芯片开放社区作者：何佩奇