Bootstrap-Server für NMS Zertifikate-Handling
Das SPiNE Netzwerkmanagement wird ab sofort mit einem Zertifikate-Handling ausgestattet, das über den eigens entwickelten Bootstrap-Server realisiert wird. Smart Meter Gateway Hersteller und Messstellenbetreiber profitieren von höchsten IT-Sicherheits-Standards und einem standardisierten Zertifikate-Austausch bei Bedarf.
Mit dem Netzwerkmanagementsystem (NMS) bietet SPiNE eine herstelleroffene Lösung für das Monitoring von Verbindungen und Signalqualität der Smart Meter Gateways im Feld. Das NMS bildet damit eine Kernfunktion im SPiNE Device Control Center und für Messstellenbetreiber eine wichtige Hilfe im Installationsprozess sowie im Betrieb.
Die Kommunikation zwischen Gateway und NMS-Portal basiert auf einer Client-Server-Architektur. Als Protokoll kommt für LTE-Gateways das Lightweight-M2M Protokoll zum Einsatz, kurz LwM2M. LwM2M ist ressourcenschonend und daher ideal für Geräte mit begrenzter Rechenleistung und limitierter Bandbreite. Es basiert auf sicheren Transportprotokollen wie CoAP (Constrained Application Protocol) und bietet erweiterte Sicherheitsfunktionen wie DTLS (Datagram Transport Layer Security). Durch die Einhaltung globaler Standards ist es herstellerunabhängig und ermöglicht die Integration in heterogene Systeme, so dass Gateways verschiedener Hersteller über eine zentrale Plattform verwaltet werden können.
Zertifikate spielen eine zentrale Rolle bei der sicheren Authentifizierung und Verschlüsselung der Kommunikation zwischen dem NMS-Client auf den Smart Meter Gateways und dem NMS-Server. Zertifikate sind digitale Dokumente, die die Identität eines Geräts oder Servers bestätigen und von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) ausgestellt werden. Jedes Zertifikat enthält einen öffentlichen Schlüssel sowie Informationen über Inhaber und Gültigkeit des Zertifikats.
Der SPiNE Bootstrap-Server
Der Bootstrapping-Mechanismus ermöglicht es neuen IoT-Geräten (und somit auch den in Smart Meter Gateways üblicherweise verbauten LTE-Modems), die Konfiguration für den Wirkbetrieb in einer Flottenüberwachung (z.B. im SPiNE Device Control Center) von einem Bootstrap-Server zu beziehen. Die konsequente Umsetzung des Bootstrapping Prozesses nach RFC 7030 („Enrollment over Secure Transport) hat viele Vorteile:
- Privates Schlüsselmaterial wird niemals kommuniziert.
Private Schlüssel werden auf dem Endgerät erzeugt und verlassen das Gerät niemals. - Zertifikate haben eine feste Laufzeit.
Im Wirkbetrieb können Gerätezertifikate ohne vor-Ort Eingriff über Bootstrapping rolliert werden. Vom Endgerät und auch serverseitig kann ein „re-boostrapping“ angestoßen werden, damit die Geräte im Fall einer sich dem Ende nähernden Zertifikatslaufzeit rechtzeitig mit neuen Zertifikaten versorgt werden. Downtimes und nicht mehr funktionsfähige Geräte werden vermieden. - Skalieren im laufenden Wirkbetrieb.
Mit Hilfe des „re-boostrappings“ ist es möglich, Geräte im Feld auf verschiedene operative Backendsysteme zu clustern und zu verteilen. Eine Umverteilung der Geräte bei z.B. Lastengpässen („Load-balancing“) ist so jederzeit möglich und kann sogar automatisiert erfolgen.
Der Bootstrap Prozess
Beim Bootstrapping meldet sich das LTE-Modem des Gateways zunächst beim Bootstrap-Server an und authentifiziert sich mithilfe eines vom Hersteller ausgestellten Onboarding-Zertifikats. Im Bootstrap Prozess wird diese Herstellerkonfiguration durch eine Wirkkonfiguration von SPiNE getauscht und bei Bedarf rolliert.
Der Bootstrap-Server übermittelt dabei die notwendigen Informationen, wie etwa die Adresse des NMS-Wirkservers (Device Management Server), Zugangsdaten und Sicherheitsrichtlinien. Anschließend verbindet sich das Gerät mit dem NMS-Server, um seine Verwaltungsaufgaben zu starten.
Mit LwM2M und seinen Zertifikate-Handling via SPiNE Bootstrap-Server wird modernes Netzwerkmanagement zu einer robusten und skalierbaren Lösung. Messstellenbetreiber und deren Dienstleister profitieren von einer auf Operational Excellence ausgerichteten Geräteverwaltung, während gleichzeitig höchste IT-Sicherheitsstandards eingehalten werden.