[网络协议]ISA100.11a节点入网流程

节点类型

ISA100.11a网络中的节点分为以下角色类型：

• I/O
• 路由器
• 配置设备
• 主干路由器
• 网关
• 系统管理器
• 安全管理器
• 系统时间源

I/O

具有I/O角色的设备应向其他设备提供数据或使用数据，并且应具有至少有一个用户应用近程(UAP)对象。只有I/O角色的设备是具有参与符合本标准的网络所需的最低特性的设备。I/O角色没有为任何其他设备转发消息或路由提供任何机制。这使得复杂性最小和潜在低能耗的设备的构建成为可能，因为它们不需要消耗能源用来路由其他设备的消息，也不需要接受和提供希望加入网络的新设备。

路由器

具有路由器角色的设备应具有路由能力，应作为代理，并应具有时钟传播能力。这些设备可以为网络和路径冗余提供范围扩展，并可以在逐消息的基础上提供不同级别的QoS。系统管理器可以禁用路由器角色的路由功能，以优化系统性能要求，如消息延迟或电池消耗。

配置设备

具有配置角色的设备（配置设备）应能够设置设备设置为出厂默认，并实现设备配置服务对象（DPSO）。配置设备将所需的配置数据插入到设备中，以允许设备加入特定的网络。实现PhL的设备应能够使用定义的物理接口配置。可以禁用此功能。

主干路由器

具有主干路由器角色的设备应具有通过主干网路由的能力，并且应作为使用主干网的代理。骨干路由器通过封装PDU进行传输，使外部网络能够携带本地协议。这将允许本标准描述的网络使用其他网络，包括更长范围或更高性能的网络。
虽然本标准中没有定义主干网络的媒体和协议套件，但人们认为主干路由器的许多实例将使用互联网协议(IP)网络。许多这些主干网络符合IPv4，而不是较新的IPv6。ISA100.11a协议的第10章描述了如何通过BBR的WISN DL接口进入BBR的WISN PDU转换为完全兼容的IPv6 PDU。如果BBR的主干接口实现了IPv6，那么PDU可以简单地使用标准的IPv6进行路由。如果BBR的主干接口实现了IPv4，那么BBR应支持使用IETF RFC 2529，以允许PDU通过IPv4主干进行路由。
实现主干路由器角色的设备除了实现BBR的主网络接口外，还应实现Type A现场介质，除非该设备还实现了网关或系统管理器或安全管理器角色，在这种情况下，Type A现场介质是可选的。

网关

具有网关角色的设备应实现高侧接口，应通过本机和/或隧道经WISN进行通信，并应具有UAP。网关角色提供WISN和工厂网络之间的接口，或直接连接到工厂网络上的终端应用程序。更通俗地说，网关标志着符合本标准的通信与其他通信之间的转换，并充当本标准的应用层与其他应用层之间的协议转换器。一个系统中可以有多个网关。
具有网关角色的设备应当实现路由器角色用来接入Type A场介质或实现主干路由器角色以接入主干介质。

系统管理器

实现系统管理器角色的设备应实现SMAP，并设置时间源树。
系统管理器是有管理网络、设备和通信的专门功能。系统管理器对网络运行时配置执行基于策略的控制，监控和报告通信配置、性能和运行状态，并提供与时间相关的服务。
当两个设备需要通信时，它们会使用合同进行通信。合同是系统管理器和网络中的设备之间的协议，它涉及到系统管理器分配网络资源，以支持该设备的特定通信需求。本合同由设备中的应用程序和系统管理器之间签订。系统管理器将为合同分配一个合同ID，设备内的应用程序将使用该合同进行通信。申请只能要求创建、修改或终止合同。系统管理器全权负责创建、维护、修改和终止合同。
实现系统管理器角色的设备应实现可访问Type A场介质的路由器角色或可访问主干介质的主干路由器角色。

安全管理器

系统安全管理功能，或安全管理器，是一个专门的功能，与系统管理器和可选的外部安全系统一起工作，以实现安全的系统操作。安全管理器在逻辑上是可分离的，在某些使用情况下将驻留在单独的设备和单独的位置。每个符合本标准的系统都应有一个安全管理器。

系统时间源

实现系统时间源角色的设备应实现系统的主时间源。时间感是本标准的一个重要方面；它用于管理设备的操作。实现系统时间源角色的设备应实现系统的主时间源。时间感是本标准的一个重要方面；它用于管理设备的操作。
实现系统时间源角色的设备应实现任意I/O、路由器、主干路由器、系统管理器或网关角色。

入网流程

概述

新设备应从配置设备中获取必要的配置信息。这一点见配置过程：

配置过程
所有符合本标准的现场设备都应实现一个称为设备配置对象(DPO)的标准对象。DBP(Device to be provisioned——即将被配置的设备)中DPO的属性应指定向目标网络发起连接请求所需的信息。该设备应通过电源循环或更换电池来保留DPO的所有属性。
PD(Provisioning device——配置设备)应实现设备配置服务对象(DPSO)，其中包含旨在为PD提供服务的DBP提供的信息。
配置包括设置DPO的属性。DPO中的属性同时包含与网络相关和与信任相关的信息。这些属性可以通过三种不同的方法来设置：

• 它们可以在设备制造商处预安装；
• 它们可以使用OOB(out-of-band——带外通信，如NFC、红外等，本标准不涉及)的方法进行设置；
• 它们可以由PD使用配置网络进行设置。该网络中的PD充当目标网络的安全管理器/系统管理器的代理，为该目标网络提供与信任相关和网络相关的信息。

所有符合本标准的设备都应支持仅使用本标准定义的完整协议套件(PhL、DL、NL和TL)形成配置网络，即不需要任何其他机制。但是，本标准不不允许通过OOB通信手段进行配置。

设备的DMO中的Join_Command属性应用于命令设备加入网络。只有配置设备可以将Join_Command属性设置为1，以此显式地触发该设备的连接过程，因为该设备与网络中的其他实体没有连接。只有在成功配置设备后，配置设备才能将Join_Command属性设置为1。广告路由器应按照DMO属性Proxy_Join_Request_Rate（属性36）所指示的速率代理连接请求。此速率确保保护网络免受通过代理路由器尝试的拒绝服务攻击。关于Proxy_Join_Request_Rate的描述，请参见表10。
系统管理器控制新设备加入网络的过程。按照本标准实现DL的非连接设备，侦听来自由系统管理器配置广告功能的本地路由器的广告消息。这种广告路由器应在新设备的连接过程中作为系统管理器的代理提供协助。此广告路由器将来自新设备的连接请求转发给系统管理器，并将来自系统管理器的连接响应转发到新设备。来自新设备的加入请求应由系统管理器处理。系统管理器应在与安全管理器沟通后生成加入响应。

新设备加入的安全控制
系统管理器控制新设备加入网络的过程。一种非连接设备，按照本标准实现DL，侦听由系统管理器配置的本地路由器的广告DPDU。广告可以通过使用主动扫描、被动扫描或两者的组合来发现。主动扫描包括从连接设备中请求DPUD，以根据请求触发广告的传输。
这种广告路由器应在新设备的连接过程中作为系统管理器的代理提供协助。
加入进程消息的构建：
来自新设备的连接请求被分成单独的消息，以将设备管理器和安全管理器之间交换的安全信息与设备和系统管理器之间交换的非安全信息分离出来。连接响应也类似地被划分为单独的消息，以将安全信息从非安全信息中分离出来。

来自新设备的连接请求应包括非安全信息，如EUI-64和设备的能力，以及设备的安全信息。来自系统管理器的连接响应应包括非安全信息，如分配的128位的地址、分配的16位的DL地址和设备的合同信息，以及会话密钥等安全信息。

广告路由器的DMO方法

新设备应使用为广告路由器的DMO定义的Proxy_System_Manager_Join方法和Proxy_System_Manager_Contract方法，发送作为连接请求一部分的非安全信息，并获取作为连接响应一部分的非安全信息。作为连接请求的一部分的非安全信息被划分为网络连接请求和合同请求。作为连接响应的一部分的非安全信息被划分为网络连接响应和合同响应。
新设备应使用7.4中定义的针对广告路由器DMO的方法来发送作为连接请求一部分的安全信息，并获取作为连接响应一部分的安全信息。在7.4中描述了新设备使用的所有这些方法。
对设备的DMAP的访问仅限于系统管理器中存在的SMAP。连接应只允许在连接过程中访问Proxy_System_Manager_Join和Proxy_System_Manager_Contract DMO方法。

新设备的能力

在设备的加入过程中，应向系统管理器提供有关新设备关于设备角色的功能的信息。
DMO属性4：Device_Role_Capability

• Bit 0 – IO
• Bit 1 – router
• Bit 2 – backbone router
• Bit 3 – gateway
• Bit 4 – system manager
• Bit 5 – security

小结

新设备加入概要流程

基于对称密钥的详细连接过程