物联网通常被视为“魔术”。企业期望物联网可以提高运营效率、缩短产品上市时间并降低成本，但是却往往不知道如何实现所有这些长远的目标。答案有些“语出惊人”。通过将 GE Automation and Controls 的 Predix 平台（图 1）与智能照明相结合，您可以实现什么目标？

图 1. LED 照明是连接的关键（来源：GE Automation & Controls）

照明和分析的组合看似奇怪，但它们可以协同工作来解决快速扩展的需求。我们先从照明开始说起。部署物联网传感器通常意味着重新安装传感基础设施。但是退一步来说，了解所需的基础设备中已经安装并且可能会重复使用的元素是相当明智的选择——没有什么比照明插座的分布更广泛了。Current by GE 的智能照明说明了这一点。这些灯在 LED 灯具中集成了各种各样的传感器，可以部署到现有的基础设施中。灯具使用 zigbee 或其他低功耗无线网络接口与网关或其他汇聚点进行通信，使整个设置可高度扩展并且易于部署。在软件方面，Predix 提供“平台即服务” (PaaS)，开发人员可以编写一次并随时随地部署（图 2）。

图 2.
Predix 平台可处理从数据收集到云分析的所有内容。（来源：GE Automation and Controls）

Predix 的关键要素是：

• Predix 机器：该软件层用于收集数据并将其推送至 Predix 云。它部署于网关、控制器和传感器上，也可以运行本地分析。
• Predix 服务：这些服务让开发人员建立、测试和运行行业互联网应用程序。它还提供微服务市场，开发人员可以发布自己的服务并从第三方获取服务。
• Predix 云：一个全球性、安全的云基础设施。符合重要行业（如卫生保健和航空）严格的监管标准。

为了举例说明这一切如何结合在一起，GE 为南卡罗来纳州格林维尔的燃气轮机工厂配备了智能灯具。在该案例中，照明传感器测量装配站附近的空气温度，让工厂的工人知道部件何时足够冷却，从而安全地添加下一个转子。这一见解有助于最大限度地降低缺陷，同时无需重新制作零件。该特殊设施的好处包括：能源使用量减少 24％，产值增加了数十万美元。GE facility（通用电气公司）可以算是利用现有基础设施简化物联网网络部署的一个富有吸引力的案例。通过以上方法以及 Predix 进行数据收集、分析和云连接，开发人员很快意识到物联网在执行预测分析、降低成本、改善流程和系统可靠性方面存在的潜力。

根据“物联网边缘分析”报告，企业的物联网生成数据使用率仅为 10％。更不用说进行深入分析了。存在的问题很大程度上是关于通过网络传输所有这些数据。有限的带宽使得多数物联网数据不可避免地被困在边缘。这一情况激发了雾计算的出现。雾计算强调尽可能接近数据源执行分析。这样会降低延迟，同时也不会占用网络带宽。想要充分利用这一技术，分析智能必须从云端重新分配到边缘。这意味着将处理资源进行重新分配，或双重应用传感器和云之间现有资源。虽然沿途许多节点（如路由器和网关）已拥有先进的处理和内存资源，然而其他节点却受到了更多的限制。尤其是网络边缘的传感器和其他设备受到成本、功耗以及空间约束的限制。因此，物联网网关往往是能够执行的首要分析。网关能够执行的原因有二： 首先，它们的性能和内存可满足要求。其次，它们集成了来自多个异构网络的传感器数据，因此可以分析和处理多个数据输入和来源。这种从多个来源获取数据的能力不容小觑。诸多物联网网络涵盖 Modbus、以太网、zigbee、蓝牙、Wi-Fi 和蜂窝网络等等。因此，网关分析不仅取决于网关的性能，还取决于创建可管理多种协议的软件堆栈。

异构网络的单一来源管理

Greenwave Systems AXON 分析平台是为了简化该项任务而创建。作为独立分析引擎，该平台可使 OEM 和企业可捕获、分析和处理网络中任何区域的实时性能数据。如工业控制器之类的物联网设备可以使用称为 AXON Predict 的版本（图 1）。该软件直接嵌入设备，执行持续监视并作出相应的反应。如果发生特别事件，可发送信息或直接致电员工，同时也有防止设备故障的自我修复功能。

图 1. AXON Predict 提供持续监控和实时洞察。（图片来源：Greenwave Systems）

就网络而言，物联网网关可以使用 Predixion RIOT One（凭借最低限度的配置和设置可连接至无数设备）。RIOT one 反过来与 Wind River Helix Device Cloud 的连接器预集成，支持简单的云连接。为解决连接问题，Greenwave 的物联网 AXON 平台将来自各种设备的通信所需翻译转换成通用且基于 IP 的语言，补充了公司的分析解决方案。此外，它还可以通过高级无线网关、Wi-Fi 路由器、远程控制、电源插座、感应灯、扬声器或灯控感应等跨网络的不同设备或功能提供单一来源管理。利用 AXON 分析平台和物联网，现在可以在网络的每个层面添加智能功能，这有助于解决意外停机等造成重大损失等问题，并为最终用户和制造商提供实时洞察力。

移动应用是控制物联网设备的不二之选。兼具界面的直观性和随身携带的便利性，这些应用是管理互联设备最简单的方式之一。编写移动应用并不是一件很简单的事情。应用设计涉及独特的编程语言、用户体验 (UX) 专业知识以及其他专精技能。嵌入式工程团队很可能不具备所需的技能组合。虽然团队总是能够在其技能组合中加入移动设计技能，但这样做成本高昂，且极为耗时。如果应用无法正常执行，其收益相应地也会非常惨淡。作为选择，可以将这类项目进行外包。但是，根据应用开发公司 Savvy Apps 介绍，应用开发一般起价在 50,000 美元左右，最高可超过 500,000 美元。这一费用足以让许多互联设备制造商望而却步。

创建移动应用：基础知识

为了了解期间面临的挑战，我们先来看看典型的工作流程：

• 为物联网解决方案开发移动应用时，首先应了解高级用户案例和需求。
• 由此，设计团队创建了 UX 流程，概括指出最终客户与互联产品交互的方式。
• 设计准备就绪之后，会将需求和文档交给开发人员，以便他们在设计移动应用时予以采纳。

在开发方面，iOS 和 Android 完全不同，需要采用不同的技能，因此增加了复杂性。iOS 应用采用 Objective C 和 Swift 语言编写，Android 应用则采用 Java 语言编写。这是为物联网设备开发移动应用最先遇到的挑战之一，因为 OEM 必须根据目标用户群体，决定是支持其中一种平台，还是同时支持两种平台。这种决定决不能轻率，因为一旦选定平台，就必须在互联设备部署生命周期内提供支持。

其他需求：应用基础设施

移动应用也包含两种额外的基础设施：固件（在此上下文中，是指在物联网边缘设备上运行的程序本身）和云。移动应用要想高效，在目标物联网设备上运行的固件就必须与云后端相连，且移动应用应提供状态更新并支持远程管理。这一般借由 API 和库组合实现，具体由处理器和采用的其他硬件决定。根据应用需求，例如生成数据的数量和频率、安全性或者隐私考量，移动应用可以将云部署在公开托管的云上，或者本地服务器上。当然，在做出这个决定时，必须在成本和工程资源之间进行权衡。

连接考虑因素

开发移动应用时，还应考虑连接问题。工程师必须明确指出用户连接物联网设备的方式、连接目的以及连接频率。例如，Wi-Fi 是连接至互联网以及云以通过服务器与设备远程交互的标准方式。但对于某些使用案例，比如用户在设备附近操作，且对带宽的要求较低，则云可以利用蓝牙之类的连接技术进行连接。

拖放式应用可以提升 Flash 中的物联网用户体验

对于想要快速在其物联网设备功能中加入功能性移动应用的 OEM 来说，这些元素远优于其他可用资源。幸运的是，存在其他方法：基于模板的应用工具。这些特定于物联网的工具提供了拖放式方法，可以帮助节省时间，降低成本。Blynk Inc. 提供的 Blynk 软件平台就是一个不错的示例（图 1）。这个面向 iOS 和 Android 的本地移动应用构建平台使得开发人员只需几次点击，即可创建品牌应用，并将它们发布到 App Store 或 Google Play。

图 1. Blynk 提供一个本地移动物联网软件平台。（资料来源：Blynk Inc.）

Blynk 允许开发人员使用多种功能不同的小工具来“聚合”移动 UI（图 2）。小工具多种多样，比如，开关灯光的按钮、展示传感器数据的表格、由某些事件触发的推送通知等等。这些可直接通过智能手机进行开发。

图 2.
与硬件无关的拖放式小工具允许开发人员快速轻松地添加功能。从固件方面，Blynk 提供库和 API 来将 MCU 或单板计算机连接至 Blynk 云。这些库和 API 负责建立连接、发送和接收数据。它们以小代码段的形式进行封装，可为其他关键设备功能留出足够的内存空间。目前，Blynk 支持超过 400 种类型的硬件和连接模块。其中包括大量基于英特尔® 技术的单板计算机 (SBC)，例如 ADI Engineering, Inc. 的 MinnowBoard Turbot 以及 SECO 的 UDOO X86（图 3）。

图 3. SECO UDOO X86 是 400 多种受支持平台中的一种。（资料来源：SECO）

从后端方面，开源 Blynk 云提供安全的轻量级服务器，可供使用 Blynk 平台的所有用户免费使用。公共 Blynk 云目前每月处理超过 330 亿条消息。根据应用需求，Blynk 云实例有时也可私密运行。重要的是，HTTP API 允许在 Blynk 应用中融入来自其他物联网云的数据。这样，物联网 OEM 可以构建全面的移动应用，这些应用集成来自其他业务系统和合作伙伴的信息，用于增强可用性和用户体验。为了更好地服务企业客户，Blynk 平台正在为 Microsoft Azure、Amazon AWS IoT、IBM BlueMix 及其他主要的云平台添加连接器。目前，市场上数以千计的物联网产品都在使用 Blynk 开发平台，包括智能家居、农业、机器人、医疗和精密设备监控。要抢先了解移动应用能够提供的见解、用户体验和投资回报率，请访问 Blynk 网站提供的教程和演示。

为了实现设备完整性、数据保护和设备管理，自己动手 (DIY) 安全解决方案并不可行，即使您是经验丰富的工程师仍应如此。最近的物联网设备漏洞明确地体现了这一点，代价巨大。最近发现，有超过 50 亿的蓝牙设备容易受到 BlueBorne 恶意软件攻击。只要打开蓝牙设备，黑客就能进行攻击。黑客然后可以注入恶意代码，在一些情况下，黑客可以拦截来自 Windows 电脑的网络流量，并随意修改。这不是一个孤立事件。一次快速搜索会导致数十次攻击。物联网设备因制造商使用默认密码和不必要的开放端口而易受感染，因此，此类密码和端口可被用作攻击整个物联网堆栈的手段。这正是为何物联网安全攻击如此严重的原因：犯罪者不仅可以窃取数据并关闭服务，还会对设备到云流中任意位置的设备和用户造成损害。当然，设计人员可以下载一些开源的传输和加密代码，并将其连接到应用程序，但这不可避免地会导致可被黑客发现的缺口。虽然当今市售的商业安全平台并没有彻底消除安全风险，但必定可以降低安全风险。为了获得最佳安全性，这些解决方案必须无缝集成到一个平台中，而不是作为单独发售的扩展设计。

物联网安全解决方案与传统安全解决方案

物联网安全措施与更传统的安全措施之间存在一些主要区别。传统安全解决方案假定 IT 可以控制对隔离网络上的设备和数据的访问，这两者都存在于定义的物理环境中。用于保护这些设备和数据的解决方案在端点上需要相当大的计算能力，例如防病毒软件、防火墙和入侵检测/防御系统 (IDS/IPS)。如果需要安全更新，可以轻松地在设备上下载和安装最新的补丁。而物联网安全解决方案更像是拓荒前的美国西部。设备通常存在于相对开放的网络上，往往处于没有物理保护措施的区域。计算能力更为有限 — 特别是对于电池供电的设备，如同发布软件更新的能力。而且，物联网系统的端点可能为安全软件留出很小空间或甚至未留空间。因此，物联网安全解决方案必须在边缘设备通信之前进行身份验证，并将数据从终端设备一直保护到云端。这意味着必须在设备交付之前内置安全解决方案，而不要在现场部署设备后再扩展安全解决方案。

内部 DIY 安全解决方案的缺点

为了更好地了解物联网安全遭受的巨大影响，我们以典型系统架构为例说明：

• 设备端：包括物联网设备、应用程序、数据以及与网络交换机/网关的连接
• 网络交换机/网关：包括网络交换机/网关、路由软件和其他应用程序以及与设备端和云之间的通信
• 云：包括服务器基础设施、存储数据、本机应用程序、可能访问的硬件安全模块 (HSM) 以及与网络交换机/网关或设备之间的向南通信机制

若要开发内部物联网安全解决方案来应对上述领域中的问题，设计团队必须在范围、时间和成本之间进行权衡。用于构建此类解决方案的组件通常借鉴自内部开发和开源社区，如 SSL/TLS、OpenSSH、OpenVAS、AES、TrueCrypt 等。不幸的是，在许多情况下，这些组件甚至都是在物联网产生之前开发出来的。它们通常认为物联网不会延伸到防火墙之外，并且在许多情况下不会超出所有围墙，因为物联网设备悬挂在野外电线杆和其他结构中。这便造成许多不可预见的攻击机会（图 1）。

图 1. SSL 有很多漏洞 （资料来源：Centri Technology

将由多个装置、设备、服务和软件包组成的物联网系统拼凑在一起形成的安全解决方案并不是最佳选择。一则，它可能导致安全解决方案组合庞大且缺乏整合性。每个单点解决方案必须单独管理，这增加了工程支持的负担。单点解决方案之间也难以共享数据，从而导致用户缺乏安全性整体了解，以及形成威胁检测的限制。二则，增加的复杂性可能会产生摩擦，因为新的应用程序和服务必须与一系列专门技术兼容，每种技术都具有自己的 API、策略和要求。如果选择了错误的安全解决方案，对敏捷性和上市时间的影响可能是巨大的。创建紧密集成的物联网安全解决方案的挑战通常以工作年数测量，而不是工作时数。

综合安全方法

Centri 物联网高级安全 (AS) 平台面向寻求一开始即集成安全解决方案的设计师（图 2） 该平台允许开发人员将基于标准的加密和高级密码集成到物联网解决方案堆栈中，实现从芯片到云的安全通信、静态数据保护以及数据取证的管理控制台。IoTAS 平台的主要组件包括：

• 安全通信端点：允许开发人员使用设备软件堆栈中的轻量级安全通信库或代理客户端，将其设备端安全解决方案集成到物联网应用程序中。它与安全通信服务结合使用，确保数据安全移入/移出云端。
• 数据保护工具：可以使用 API 从物联网应用程序调用轻量级数据保护库，以在数据进入设备或本地存储器之前加密数据。
• 安全通信服务：该工具在现有的应用服务器上运行，为云基础设施提供安全保障。

图 2.
CENTRI IoTAS 提供端到端保护。（资料来源：Centri Technology）

特别是，CENTRI 安全通信库和安全通信服务有助于在物联网设备和云基础设施之间立即进行加密单级握手。这降低了复杂证书管理方案的复杂性，并且消除了使用第三方证书颁发机构 (CA) 解决方案的需要。该系统还采用无保管库密钥管理技术，将加密密钥信息嵌入数据，因而无需使用 HSM 或第三方密钥存储机制。智能缓存和数据压缩技术有助于将安全解决方案的开销降至 1% 的 CPU 利用率，使平台适用于资源受限的物联网设备。CENTRI IoTAS 的每个组件都不需要设备和操作系统支持，从而经验丰富的开发人员可在一天之内将这些技术集成到应用程序代码中。

安全性：内置对比扩展

如果许多第三方商业安全解决方案提供比 DIY 替代方案更好的保护，那么后期设计阶段实施时的成本和管理开销也会显著增加。更好的选择是尽可能早地在端点和云端安装安全解决方案。这既降低了设备遭受攻击和数据泄露的风险，又缩短了上市时间。

COM Express 3.0 规范中全新的 Type 7 引脚为开发人员设计无外设服务器提供了一个重要选项。 除了其它更改之外，此引脚去除了显示和音频接口以支持四个 10GbE 端口 — 使 Type 7 非常适合用于服务器模块 (SoM) 设计。

模块供应商已经在新引脚上提供多达 16 个内核的服务器级模块。 这些模块将帮助弥补正在将越来越多的处理推向边缘的雾计算架构中的缺陷。 通过在小外形模块中填入更多的计算能力，这些 Type 7 板将支持高性能和高带宽的边缘节点。

更灵活的模块

Type 7 并非用来取代 Type 6，它而是一个针对无外设、高带宽边缘节点量身定制的补充引脚（图 1）。 为了这个目的，新标准去除了显示和音频接口，并且对 USB 2.0、SATA 和 ExpressCard 接口进行了整理。 这释放出 102 个引脚，为四个 10GbE 端口以及总共 32 个 PCI Express 通道腾出空间。

图 1. Type 7 引脚是对 Type 6 和 Type 10 引脚的补充。 （资料来源：congatec）

Type 7 规范还添加了一个网络控制器边带接口 (NC-SI)。 NC-SI 定义了基带管理控制器 (BMC) 的连接，实现带外远程可管理性，所有这些都通过运营级板实现。 Type 7 向后兼容 Type 6，它可以插入到 Type 6 运营级板中并使用旧式 I/O。

最终结果是高度灵活的 COM Express 模块，可将 10 个这样的模块集成到一个 1U 机箱中，组合后的最大传输速率可达到 0.4 兆兆位/秒。

运营级板上的以太网

Type 7 10GbE 接口通过四个 10GbE-KR 背板通道来实现，在运营级板上实际物理实施了 10GbE 接口（图 1）。 这用于高速通信，同时为开发人员提供了为最终接口使用以下任一方式的选项：

• 2 个 10GBASE-KR 通过铜线物理层 (PHY) 连接到 2 个 RJ45
• 4 个 10GBASE-KR 通过铜线 PHY 连接到 4 个 RJ45
• 4 个 10GBASE-KR 通过光纤 PHY 连接到 4 个 SFP+
• 4 个 10GBASE-KR 通过光纤 PHY/铜线 PHY 连接到 SFP+/RJ45

图 2.
COM Express 3.0 Type 7 允许在运营级板上以各种方式实施 10GbE。 （资料来源：ADLINK Technology）

早期的模块具有高性能

该模块与处理器无关，但是 ADLINK 和 congatec 已经提供了基于高级 SoC 的模块，这些 SoC 专为网络边缘处的密集、低能耗和高度优化的处理而设计。

ADLINK 的 Express-BD7 便是一个这样的模块。 该模块使用 COM Express 基本外形（95 x 125 厘米），该模块基于具有 4、8、12 或 16 个内核的英特尔® 至强® D 系列处理器或英特尔® 奔腾® D SoC，将它们与以 1867/2133/2400 MHz 运行的 32 GB 双通道 DDR4 ECC 内存相结合。

该模块支持可能的四个 10GbE 端口中的两个，以及以 6 千兆位/秒运行的 GbE、NC-SI、2 个 SATA 端口，4 个 USB 3.0/2.0 端口和多达 32 个 PCIe 通道（24 个 Gen 3，8 个 Gen 2）。 该模块支持智能嵌入式管理代理 (SEMA) 功能，ADLINK 则强化了它的环境坚固性：它可以在 -40˚C 到 +85˚C 的温度范围内运行。SEMA 功能包括电压/电流监控以及上电顺序调试支持。

图 3. Express-BD7 的功能框图在右上方显示了两个 10GbE 端口 (1x 10G KR)、在左边中间显示了连接到 NC-SI 的 GbE 控制器，还有在 AB 和 CD 接口之间左右分布的 32 个 PCIe 通道。 （资料来源：ADLINK Technology）

此外，congatec 最近也推出了它自己的 COM Express 3.0 Type 7 模块实施，即 conga-B7XD （图 4）。 与 ADLINK 的 Express-BD7 一样，conga-B7XD 采用 COM Express 基本外形，基于英特尔® 至强® D 系列处理器或英特尔® 奔腾® D SoC，也同样支持 4、8、12 或 16 个内核。 根据内核数、内存高速缓存以及内核时钟频率的组合，该 SoC 的功耗范围为 19 到 45 W。

图 4. 具有 Type 7 引脚的 conga-b7XD SoM 使用 COM Express 基本外形，尺寸为 95 x 125 毫米。 （资料来源： congatec）

在边缘或者在需要时可部署到任意位置的密集虚拟化

Express-BD7 和 conga-B7XD 均支持多达 16 个内核的英特尔至强和奔腾处理器。 在一个 1U 机架服务器中有 10 个模块，简单算起来有 160 个内核，或者可能是虚拟机，它们可部署到从边缘到数据中心的任意位置。 例如，对于工业应用，高速缓存较大的本地虚拟化系统可用来实时获取传感器和测量数据，或者根据需要快速对数据密集的视频串流进行转码和处理：只需使用更多内核。 也可以将计算能力用于深层数据包检查，确保安全性和服务质量。

这些只是通过新兴的 COM Express Type 7 模块类别实现的其中一些应用，所有这些应用都通过组合优化的、低能耗处理和高速通信来实现。

借助一致的访问技术，蜂窝网络可提供真正的全球物联网连接解决方案，但是产品部署受到当前 SIM 卡实施的阻碍，当前的 SIM 卡可能产生漫游费用或者必须被换出。 嵌入式 SIM (eSIM) 卡解决方案应运而生，尤其在与用户可配置的托管服务平台结合使用时，将有助于调配、身份验证和安全性。

峰窝网络的连接随着每一代技术的出现而发展，其中包括 5G 计划以及低功率广域网 (LPWAN)，如 LTE-M（为物联网设计的 LTE 变体）和 NarrowBand IoT (NB-IoT)。

蜂窝设备的主要特征是使用 SIM 卡，但是 SIM 卡通常归运营商所有，当产品漫游时必须交换出去，或者可能收取漫游费用。 这方面的突破从 eSIM 卡的开发开始，并得到了全球移动通讯系统协会 (GSMA) 的支持和推动。 eSIM 是集成的 SIM 芯片，不需要也不能够从设备中移除（图 1）。 它们可全球使用，支持多种订阅，可远程重新编程。 这些都是原始设备制造商 (OEM) 梦寐以求的功能，因为他们可以一次性跨越多个地域和多个移动网络运营商 (MNO) 部署物联网设备，以获得循环“服务”收入。

图 1：eSIM 卡直接焊接到印刷电路板上，不必更换，使它们更加牢固耐用。 （来源：Android 社区）

在传统的蜂窝网络、5G 和 NB-IoT 网络中使用 eSIM 时，OEM 可以自信地在全球设计和推出产品，知道它们拆箱后即可直接连接，室内/室外保持联网，在国际漫游时也能重新连接。 物联网设备通常没有用户界面 (UI)，必须自主运行，这是一个关键的属性。

eSIM 有关的设计

eSIM 在电路方面与传统 SIM 相同，但是按照 MFF2 嵌入式 SIM 外形标准构建。 这使它天生更加耐用和牢固，因为它是焊接到印刷电路板上的。 虽然焊盘功能和编号会按 MFF2 比例缩小，但是 eSIM 其它方面保持不变，与无线调制解调器/模块的本地 eSIM 交互也是如此。 标准 SIM 应用程序工具包 (SAT) 功能使得 eSIM 集成过程相当简单，因为 SAT 是 GSM/UMTS/LTE 标准中较为成熟的部分。

虽然传统 SIM 卡和 eSIM 卡都可以通过一个 SKU 提供全球连接，传统 SIM 卡只能在使用全球漫游配置文件时方可实现。 由于数据漫游与全球漫游交换网络结合使用，因此传统 SIM 卡的实施涉及到成本开销问题。

为克服这一问题，人们开发了嵌入式通用集成电路卡 (eUICC) 功能，使所有运营商都可以重写 eSIM 芯片上存储的信息。 现在，用户只需联系一个服务提供商就可以更换运营商：不需要新的 SIM 卡，切换起来也没有什么延时。 使用 eUICC 格式，设备可以存储和动态管理多个运营商配置文件。 订阅管理服务可通过远程对已部署设备上的配置文件进行重新编程，而且不需要物理更改 SIM。

这些远程调配功能支持下载本地 MNO 配置文件，消除了漫游成本。 远程切换 MNO 配置文件的功能还能帮助设备在不允许永久漫游的国家/地区遵守当地法的法规和法律。

根据应用情形，eSIM 配置文件切换可能是一次性操作，也可能是较为频繁的操作。 通过赋予 OEM 或服务提供商更多控制权，eSIM 配置文件可根据数据要求、地域、不同用户或应用程序进行管理。

但是，值得注意的是，机器对机器 (M2M) eSIM 标准与消费者的 eSIM 标准根本不同。 M2M（或物联网）版本专为没有用户操作甚至没有 UI 的设备而设计。 因此，企业/后端系统中的规则将确定配置文件选择，配置文件部署通过订阅管理器-安全漫游 (SM-SR) 操作来执行。 可使用 bootstrap 配置文件直接对 eSIM 进行此操作，该配置文件可从同样提供配置文件（订阅）管理平台和服务的 Arkessa 等供应商来获得。

eSIM 以及启用连接即服务模式

虽然蜂窝网络提供相对一致的全球连接，但是这只有在与多个移动网络运营商 (MNO) 签约完成地域部署后才会实现。 为了简化此过程，Arkessa 提供了一个商用接口来汇总对这些 MNO 网络的访问并且使其能够适应未来发展的需要。 可将其视为连接即服务 (CaaS)，目的是简化企业物联网并使其适应未来发展的需要。

此外，Arkessa 还与 OEM 合作，应用适当的 MNO 配置文件和费率并提供一个托管服务来监视和控制数据连接。 所有获取的数据，如帐单信息、数据用量和警报，可通过 Arkessa 的用户可配置仪表板发送，与正在利用的 MNO 的无关。 订阅/配置文件管理使企业能够通过混合漫游订阅和本地订阅来控制全球连接成本。 可根据业务规则，基于地区、应用程序和/或公司政策来确定适当的订阅，然后下载订阅。

Arkessa 接口可处理 SIM 配置，包括多重身份验证以及 Radius 身份验证等安全功能，专用 IP 地址分配、用户名和密码。 安全性和服务连续性则基于专用接入点名称 (APN) 技术以及安全的弹性网络架构。 该架构可涵盖 MNO 无线网络以及云和数据中心基础设施。 此拓扑确保安全的数据传输以及对物联网设备的访问。

利用 eSIM 的可重新编程功能，诸如 Arkessa 的托管服务产品可扩展到配置文件选择以及切换过程。 这可以借助合作伙伴生态系统来实现，在这个生态系统中有移动网络运营商、SIM 卡供应商、蜂窝基础设施提供商以及英特尔®（提供了Intel Atom® 处理器和英特尔® Quark™ 处理器）等芯片合作伙伴。 这些将为许多支持 eSIM 的 5G 和 NB-IoT 设备（图 2）的低成本和功率要求提供了理想的形式、拟合和功能匹配。

图 2.
eSIM 通过运营商将应用程序和技术的控制交到 OEM 和最终用户的手中。 （来源：Deutsche Telekom）

eSIM：为物联网 OEM 扩展连接和控制

通过合适的合作伙伴、技术和服务合同，更容易将物联网设备部署到全球市场。 例如，Arkessa 就是这样一家能够处理 OEM 通常面临的连接挑战的合作伙伴。 通过将这些功能与能够更多地控制远程设备、人员和资源连接的 eSIM 技术相结合，开发人员可以提供经证实的解决方案来帮助企业监控其产品和资源的使用情况并做出相应调整。