CN103765945B - 无线通信装置、无线通信系统及无线通信方法 - Google Patents
无线通信装置、无线通信系统及无线通信方法 Download PDFInfo
- Publication number
- CN103765945B CN103765945B CN201280042826.3A CN201280042826A CN103765945B CN 103765945 B CN103765945 B CN 103765945B CN 201280042826 A CN201280042826 A CN 201280042826A CN 103765945 B CN103765945 B CN 103765945B
- Authority
- CN
- China
- Prior art keywords
- wireless device
- key
- information
- wireless
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种无线通信装置,其经由无线通信网络与无线设备之间进行无线通信,该无线通信装置具有:数据包处理部,其生成包含判别信息和第1控制信息的第1数据包、和包含所述判别信息和第2控制信息的第2数据包,所述判别信息用于对所述第1控制信息及所述第2控制信息的类别进行判别,所述第1控制信息用于使设定完成无线设备与所述无线通信网络连接,该设定完成无线设备是已经设定了为了加入所述无线通信网络所需的仪器信息的无线设备,所述第2控制信息用于使需要设定无线设备与所述无线通信网络连接,该需要设定无线设备是需要设定所述仪器信息的无线设备;以及无线通信部,其将由所述数据包处理部生成的所述第1数据包及所述第2数据包向所述无线通信网络发送。
Description
技术领域
本发明涉及一种无线通信装置及无线通信系统。
本申请基于在2011年9月14日提出的日本专利申请第2011-200494号及在2012年7月17日提出的日本专利申请第2012-158983号主张优先权,在此援引其内容。
背景技术
近年来,实现了一种无线通信系统,即,在车间或工厂等中,设置被称作无线现场仪器的可进行无线通信的测定器、操作器等现场仪器,将用于控制无线现场仪器的控制信号和通过无线现场仪器获得的测定信号等,经由无线通信网络进行通信。作为在上述无线通信系统中使用的通信标准,可以举出例如由国际测量控制学会(ISA:InternationalSociety of Automation)制定出的工业自动化用无线通信标准即ISA100.11a。
在此,为了使上述无线现场仪器等无线设备加入无线通信网络,需要针对无线设备进行称作“预配置(provisioning)”的仪器信息的设定作业。仪器信息是网络参数及安全参数等。作为进行该“预配置”的方法,大致分为以下两种:依照上述无线通信标准ISA100.11a进行无线通信,而进行仪器信息的设定的OTA(Over The Air)预配置;以及通过与上述无线通信不同的通信手段(例如,红外线通信等)进行通信,而进行仪器信息的设定的OOB(Out-Of-Band)预配置。
在以下的非专利文献1中,对进行上述OTA预配置的方法进行了几个规定。例如,规定出了下述方法,即,将由无线通信系统管理的无线通信网络分割为多个无线子网络,在运行用的无线子网络即目标网络上,将用于预配置的专用的无线子网络即预配置网络以逻辑上分离的状态进行构建,从目标网络经由预配置网络在现场仪器中设定 仪器信息。
非专利文献1:ISA-100.11a-2009Wireless systems for industrialautomation:Process control and related applications”,p.666-693p.306-310p.170-184
发明内容
另外,使用上述的预配置专用的无线子网络即预配置网络实施的预配置,以在逻辑上分离的目标网络和预配置网络之间能够实施通信为前提。因此,需要特殊的中继仪器(以下,称作预配置对应中继仪器),其对目标网络和预配置网络进行中继,具有预配置所需的功能。
但是,在使用上述的预配置对应中继仪器的情况下,预配置对应中继仪器本身的处理,与在子网络内进行中继的通常的中继仪器(路由器)相比变得复杂,并且,导致设置在无线通信系统中并对无线通信资源进行集中管理的管理装置的处理复杂化。第1原因在于,对不同的无线子网络进行中继的预配置对应中继仪器,需要在与通常的中继仪器相比位于上级的层、例如与数据链路层相比位于上级的网络层进行传送处理。第2原因在于,预配置网络与作为连续的1个无线子网络所构建的目标网络不同,以散布在目标网络上的状态进行构建。
在此,还想到下述方法,即,不使用上述的预配置网络,而是将目标网络与无线设备直接连接而进行预配置。但是,该方法由于需要将原本没有被允许加入的无线设备暂时地加入目标网络,因此,考虑例如在该目标网络中用于通信内容加密处理的密钥有可能被泄漏等而存在安全方面的问题。
另外,在目标网络中设置有广播路由器,其提供用于使进行了预配置的无线设备(下面,称作“预配置完成设备”)与目标网络连接的信息,作为广播数据包。此外,与成为无线通信系统基干的基干网络连接的无线访问点装置是广播路由器的一种,无线访问点装置也与广播路由器相同地,将路由器广播作为广播数据包而进行发送。如 果使需要进行预配置的无线设备(下面,称作“需要预配置设备”)与目标网络进行连接,则考虑需要在该广播路由器中设置预配置所需的功能。但是,在设置有上述功能的广播路由器和没有设置上述功能的广播路由器混用的情况下,需要预配置设备不仅针对来自前者的广播路由器的广播数据包,还要针对来自后者的广播路由器的广播数据包发送连接请求,认为可能导致不必要的电力消耗。
本发明提供一种无线通信装置及无线通信系统,其不使用预配置专用的无线子网络,能够一边抑制不必要的电力消耗并维持安全性,一边进行预配置。
本发明的一个实施方式所涉及的无线通信装置经由无线通信网络与无线设备之间进行无线通信,该无线通信装置具有:数据包处理部,其生成包含判别信息和第1控制信息的第1数据包、和包含所述判别信息和第2控制信息的第2数据包,所述判别信息用于对所述第1控制信息及所述第2控制信息的类别进行判别,所述第1控制信息用于使设定完成无线设备与所述无线通信网络连接,该设定完成无线设备是已经设定了为了加入所述无线通信网络所需的仪器信息的无线设备,所述第2控制信息用于使需要设定无线设备与所述无线通信网络连接,该需要设定无线设备是需要设定所述仪器信息的无线设备;以及无线通信部,其将由所述数据包处理部生成的所述第1数据包及所述第2数据包向所述无线通信网络发送。
所述第1数据包及所述第2数据包可以作为路由器广播而向所述无线通信网络发送。
所述无线通信装置可以还具有:存储部,其存储第1密钥和第2密钥,该第1密钥用于对与连接在所述无线通信网络中的所述设定完成无线设备之间的通信内容进行加密处理,该第2密钥用于对与连接在所述无线通信网络中的所述需要设定无线设备之间的通信内容进行加密处理;以及加密处理部,其使用存储在所述存储部中的所述第1密钥,对与连接在所述无线通信网络中的所述设定完成无线设备之间的通信内容进行加密处理,使用存储在所述存储部中的所述第2密钥,对与连接在所述无线通信网络中的所述需要设定无线设备之间 的通信内容进行加密处理。
所述无线通信装置可以还具有密钥选择部,其基于规定所述第1、第2密钥的使用方法的管理表,从存储在所述存储部中的所述第1、第2密钥中选择在所述加密处理部的加密处理中使用的密钥。
所述管理表,是将基于所述第1、第2控制信息所分配的无线通信资源、和表示密钥的信息相关联的表,该密钥用于对与使用所述无线通信资源进行通信的无线设备之间的无线通信的通信内容进行加密处理。
所述管理表,是将唯一地分配给各个无线设备的识别信息、和表示密钥的信息相关联的表,该密钥用于对与该无线设备之间的通信内容进行加密处理。
所述管理表,是将表示可向无线设备分配的识别信息的区分的区分信息、和表示密钥的信息相关联的表,该密钥用于对与被分配了由该区分信息表示的区分中所包含的识别信息的无线设备之间的通信内容进行加密处理。
所述数据包处理部可以与接收到的数据包的内容相对应而更新所述管理表的内容。
所述数据包处理部,在接收到的数据包的发送源是所述设定完成无线设备的情况下,将包含在所述数据包中的所述设定完成无线设备的识别信息、和表示所述第1密钥的信息相关联而追加在所述管理表中,在接收到的数据包的发送源是所述需要设定无线设备的情况下,将包含在所述数据包中的所述需要设定无线设备的识别信息、和表示所述第2密钥的信息相关联而追加在所述管理表中。
所述第1、第2控制信息可以是对通过经由所述无线通信网络进行的时分多址连接所实现的无线通信的时隙及通信信道进行确定的信息。
包含所述第1控制信息的数据包中存储的所述判别信息,是表示用于保证该数据包的内容完整性的消息完整性代码的信息,包含所述第2控制信息的数据包中存储的所述判别信息,是表示在所述消息完整性代码中无法得到的特别值的信息。
本发明的一个实施方式所涉及的无线通信系统经由无线通信网络进行无线通信,该无线通信系统具有:无线通信装置,该无线通信装置具有数据包处理部和无线通信部,其中,该数据包处理部生成包含判别信息和第1控制信息的第1数据包、和包含所述判别信息和第2控制信息的第2数据包,所述判别信息用于对所述第1控制信息及所述第2控制信息的类别进行判别,所述第1控制信息用于使设定完成无线设备与所述无线通信网络连接,该设定完成无线设备是已经设定了为了加入所述无线通信网络所需的仪器信息的无线设备,所述第2控制信息用于使需要设定无线设备与所述无线通信网络连接,该需要设定无线设备是需要设定所述仪器信息的无线设备,该无线通信部将由所述数据包处理部生成的所述第1数据包及所述第2数据包,作为路由器广播而向所述无线通信网络发送;以及无线设备,其基于从所述无线通信装置发送的所述路由器广播中包含的所述判别信息,对所述第1、第2控制信息的类别进行判别,在判别为是所述第2控制信息的情况下、且没有进行所述仪器信息的设定时,基于所述路由器广播中包含的所述第2控制信息而与所述无线通信网络进行连接。
所述无线通信系统可以还具有管理装置,该管理装置规定所述第1、第2控制信息并对经由所述无线通信网络进行的无线通信进行管理,并且,针对基于所述第2控制信息而与所述无线通信网络连接的无线设备,进行所述仪器信息的设定。
本发明的一个实施方式所涉及的无线通信方法经由无线通信网络与无线设备之间进行无线通信,该无线通信方法包含下述步骤:生成包含判别信息和第1控制信息的第1数据包、和包含所述判别信息和第2控制信息的第2数据包,所述判别信息用于对所述第1控制信息及所述第2控制信息的类别进行判别,所述第1控制信息用于使设定完成无线设备与所述无线通信网络连接,该设定完成无线设备是已经设定了为了加入所述无线通信网络所需的仪器信息的无线设备,所述第2控制信息用于使需要设定无线设备与所述无线通信网络连接,该需要设定无线设备是需要设定所述仪器信息的无线设备;以及将所生成的所述第1数据包及所述第2数据包向所述无线通信网络发送。
所述无线通信方法可以还包含下述步骤:存储第1密钥和第2密钥,其中,第1密钥用于对与连接在所述无线通信网络中的所述设定完成无线设备之间的通信内容进行加密处理,第2密钥用于对与连接在所述无线通信网络中的所述需要设定无线设备之间的通信内容进行加密处理;使用存储的所述第1密钥对与连接在所述无线通信网络中的所述设定完成无线设备之间的通信内容进行加密处理;以及使用存储的所述第2密钥对与连接在所述无线通信网络中的所述需要设定无线设备之间的通信内容进行加密处理。
发明的效果
根据本发明,分别将第1数据包和第2数据包向无线通信网络发送,其中,该第1数据包包含第1控制信息和判别信息,第2数据包包含第2控制信息和判别信息,第1控制信息用于使设定完成无线设备与无线通信网络连接,第2控制信息用于使需要设定无线设备与所述无线通信网络连接。由此,不使用预配置专用的无线子网络,能够一边抑制不必要的电力消耗并维持安全性,一边进行预配置。
附图说明
图1是表示本发明的第1实施方式所涉及的无线通信系统的整体结构的框图。
图2是表示作为本发明的第1实施方式所涉及的无线通信装置的预配置对应广播路由器的结构的框图。
图3是表示由作为本发明的第1实施方式所涉及的无线通信装置的预配置对应广播路由器生成的数据包的图。
图4是用于说明在本发明的第1实施方式中所分配的无线通信资源的图。
图5是表示在本发明的第1实施方式中使用的密钥管理表的图。
图6是表示在本发明的第2实施方式中使用的密钥管理表的图。
图7是表示在本发明的第3实施方式中,在加入要求时使用的数据包的图。
图8是表示本发明的第3实施方式中的密钥管理表的生成方法的流程图。
图9是用于说明在本发明的第4实施方式中使用的DL地址的图。
图10是表示在本发明的第4实施方式中使用的密钥管理表的图。
图11是表示在本发明的第5实施方式中使用的密钥管理表的图。
具体实施方式
下面,参照附图,对本发明的实施方式所涉及的无线通信装置及无线通信系统进行详细说明。
(第1实施方式)
图1是表示本发明的第1实施方式所涉及的无线通信系统的整体结构的框图。如图1所示,本实施方式的无线通信系统1具有:无线设备11a、11b、预配置对应广播路由器12(无线通信装置)、无线访问点装置13、以及系统管理器14(管理装置),能够在系统管理器14的管理控制下,经由无线通信网络N1进行无线通信。此外,在图1中,仅示出了2个无线设备11a、11b,但无线设备的数量为任意个。
具体来说,无线通信系统1能够通过TDMA(Time Division Multiple Access:时分多址连接)实现无线通信,该TDMA依照工业自动化用无线通信标准即ISA100.11a而使用多个通信信道。通信信道的数量例如为16信道。该无线通信,通过由系统管理器14对进行无线通信的无线设备11a、11b、预配置对应广播路由器12以及无线访问点装置13的各仪器进行无线通信资源(时隙及通信信道)的分配而实现。如上所述,通过系统管理器14集中地进行无线通信资源的分配,从而确保通信的实时性。
图1中的无线通信网络N1是在系统管理器14的管理控制下,由预配置对应广播路由器12及无线访问点装置13形成,用于使无线设备11a、11b加入的网络。另外,与无线访问点装置13及系统管理器14连接的基干网络N2是成为无线通信系统1的基干的有线网络或其他无线网络。
无线设备11是例如流量计或温度传感器等传感器仪器、流量控制阀或开闭阀等阀仪器、风扇或电动机等致动器仪器、其他设置在车间或工厂中的无线现场设备,依照上述的无线通信标准ISA100.11a进行无线通信。此外,为了容易理解,设无线设备11a为已进行了用于与无线通信网络N1连接的仪器信息的设定(预配置)的预配置完成设备(设定完成无线设备),设无线设备11b为需要进行预配置的需要预配置设备(需要设定无线设备)。
预配置对应广播路由器12向作为预配置完成设备的无线设备11a及作为需要预配置设备的无线设备11b,分别发送不同的广播数据包A1、A2。具体来说,向作为预配置完成设备的无线设备11a发送用于与无线通信网络N1连接的广播数据包A1,以使其与无线通信网络N1连接。与此相对,向作为需要预配置设备的无线设备11b发送用于与无线通信网络N1连接的广播数据包A2,以对其进行预配置。
上述广播数据包A1,是为了使作为预配置完成设备的无线设备11a与无线通信网络N1连接,或者为了使已加入无线通信网络N1的无线设备的时刻同步,现有技术中正在使用的广播数据包。与此相对,上述广播数据包A2是针对作为需要预配置设备的无线设备11b的、为了实现经由无线通信网络N1的预配置(OTA预配置)所使用的新的广播数据包。此外,对预配置对应广播路由器12及广播数据包A1、A2的详细说明,在后面进行叙述。
无线访问点装置13是将连接有无线设备11a、11b及预配置对应广播路由器12的无线通信网络N1、和连接有系统管理器14的基干网络N2进行连接,并对在无线设备11a、11b等和系统管理器14之间发送/接收的各种数据进行中继的装置。此外,无线访问点装置13也是广播路由器的一种,依照上述的无线通信标准ISA100.11a进行无线通信。
系统管理器14集中地进行无线通信系统1的管理控制。具体来说,系统管理器14为了经由无线通信网络N1实现无线通信,针对与无线通信网络N1连接的无线设备11a、11b、预配置对应广播路由器12、以及无线访问点装置13的各仪器,进行无线通信资源(时隙及通信信道)的分配。
另外,系统管理器14还进行是否使作为预配置完成设备的无线设备11a及作为需要预配置设备的无线设备11b与无线通信网络N1进行连接的管理控制。具体来说,分别进行用于使无线设备11a、11b与无线通信网络N1连接的无线通信资源(时隙及通信信道)的分配,并将广播数据包A1、A2分别向预配置对应广播路由器12发送,该广播数据包A1、A2用于使用所分配的无线通信资源实施向无线通信网络N1的连接。
并且,系统管理器14在从与无线通信网络N1连接的预配置完成设备即无线设备11a发送来向无线通信网络N1的加入请求(join请求)的情况下,对是否使无线设备11a加入无线通信网络N1进行控制。另外,针对与无线通信网络N1连接的需要预配置设备即无线设备11b,进行经由无线通信网络N1的预配置(OTA预配置)。
另外,系统管理器14为了确保安全,针对与无线通信网络N1连接的无线设备11a、11b、预配置对应广播路由器12以及无线访问点装置13的各仪器,发布为了通信内容的加密处理而使用的密钥(共享密钥)。具体来说,针对向无线通信网络N1的加入被允许的无线设备11a、预配置对应广播路由器12以及无线访问点装置13,发布密钥K1(第1密钥),针对与无线通信网络N1连接的无线设备11b及预配置对应广播路由器12,发布密钥K2(第2密钥)。
在此,密钥K1是为了确保无线通信网络N1的安全而使用的原本的密钥,密钥K2是仅在进行预配置时使用的密钥。将原本的密钥K1和仅在进行预配置时使用的密钥K2分开的原因在于,防止经由为了预配置而与无线通信网络N1连接的无线设备而泄漏原本的密钥K1。
下面,对上述的预配置对应广播路由器12进行详细说明。图2是表示作为本发明的第1实施方式所涉及的无线通信装置的预配置对应广播路由器的结构的框图。如图2所示,预配置对应广播路由器12具有:无线通信部21、数据包处理部22、加密处理部23、存储器24(存储部)、控制部25以及密钥选择部26,在系统管理器14的控制下,进行针对无线设备11a、11b的广播数据包A1、A2的发送等。
无线通信部21在控制部25的控制下,对经由无线通信网络N1发送来的数据(数据包)进行接收,并且,进行向无线通信网络N1的数据(数据包)的发送。数据包处理部22在控制部25的控制下,进行与由无线通信部21发送/接收的数据包相关的处理。例如,从由无线通信部21接收到的数据包提取所需数据等,并且,生成应经由无线通信部21发送的数据包(例如,作为广播数据包A1、A2发送的数据包)。
图3是表示由作为本发明的第1实施方式所涉及的无线通信装置的预配置对应广播路由器生成的数据包的图。如图3所示,由预配置对应广播路由器生成的广播数据包P具有:存储各种头部的3个区域R1至R3、存储DL(Data Link Layer)有效载荷的区域R4、存储用于保证数据包的内容完整性的信息即DL MIC(Message Integrity Code:消息完整性代码)的区域R5。
具体来说,在区域R1中存储物理层头部,在区域R2中存储MAC(Media AccessControl)头部,在区域R3中存储DL头部。在区域R4中,例如存储表示由系统管理器14分配的无线通信资源(时隙及通信信道)的信息而作为DL有效载荷。在区域R5中,存储用于保证包含R2至R4在内的保证区域R10的内容完整性的信息即DLMIC。
在此,从预配置对应广播路由器12作为广播数据包A1发送的数据包的结构如下,即,表示被分配给预配置完成设备(例如,无线设备11a)用的无线通信资源(时隙及通信信道)的信息(第1控制信息),存储在区域R4中,与该信息相对应的DL MIC(判别信息)存储在区域R5中。即,与当前作为广播数据包使用的数据包相同。此外,在区域R5中存储的DL MIC,使用密钥K1(从图1所示的系统管理器14发布至预配置对应广播路由器12的密钥)而进行计算。
与此相对,从预配置对应广播路由器12作为广播数据包A2发送的数据包的结构如下,即,表示被分配给需要预配置设备(例如,无线设备11b)用的无线通信资源(时隙及通信信道)的信息(第2控制信息),存储在区域R4中,表示分配给需要预配置设备用的无线通信资源存储在区域R4中这一情况的特别值(判别信息),存储在区域R5中。此外,所谓存储在区域R5中的特别值,例如是在上述的DL MIC 中无法得到的值“0”,或者,利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果等,该特别DL MIC是上述的DL MIC中无法得到的值。
因此,如果参照在从预配置对应广播路由器12发送来的数据包的区域R5中存储的内容,则能够对是针对预配置完成设备的广播数据包A1、还是针对需要预配置设备的广播数据包A2进行判别。例如,在从预配置对应广播路由器12发送来的数据包的区域R5中存储的值为“0”的情况下,或与利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果一致的情况下,是针对需要预配置设备的广播数据包A2,在其以外的值的情况下,是针对预配置完成设备的广播数据包A1。
将存储在数据包的区域R5中的DL MIC用于上述判别的原因在于,能够确保互换性并实现上述的判别。如上述所示,DL MIC是保证数据包的内容完整性的信息,为了确保无线通信网络N1的安全是重要的信息,但对于广播数据包来说并不使用,即使变更内容也不会产生问题。另一方面,如果在数据包中新设置存储用于进行上述判别的信息的区域,则会产生互换性的问题。因此,通过使用DL MIC,能够确保互换性并实现上述的判别。
在此,对通过系统管理器14分配的无线通信资源进行说明。图4是用于说明在本发明的第1实施方式中所分配的无线通信资源的图。此外,图4所示的图的横轴表示时间,纵轴表示通信信道。在图4中,横轴方向的1个方块表示1个时隙,纵轴方向的1个方块表示1个通信信道。但是,为了图示的简化,在图4中仅图示出了通信信道为10信道。
在图4中,标注有符号Q11的方块(标注有斜线及黑色字符“T”的方块)表示基于广播数据包A1分配的发送用的无线通信资源,标注有符号Q12的方块(标注有斜线及黑色字符“R”的方块)表示基于广播数据包A1分配的接收用的无线通信资源。与此相对,标注有符号Q21的方块(标注有斜线及白色字符“T”的方块)表示基于广播数据包A2分配的发送用的无线通信资源,标注有符号Q22的方块(标注 有斜线及白色字符“R”的方块)表示基于广播数据包A2分配的接收用的无线通信资源。
在图4所示的例子中,基于广播数据包A2分配的无线通信资源与基于广播数据包A1分配的无线通信资源相比,被分配的时隙和通信信道这两者不同。在本实施方式中,针对进行预配置的无线设备11b的无线通信资源的分配,应维持安全性,且尽量不妨碍已加入了无线通信网络N1的无线设备、或者要加入无线通信网络N1的无线设备11a的通信。
此外,在无线设备11a使用基于广播数据包A1分配的无线通信资源(图4中的标注有符号Q11、Q12的方块)而与无线通信网络N1连接后,无线设备11a和预配置对应广播路由器12之间的通信内容使用密钥K1进行加密处理。同样地,在无线设备11b使用基于广播数据包A2分配的无线通信资源(图4中的标注有符号Q21、Q22的方块)而与无线通信网络N1连接后,无线设备11b和预配置对应广播路由器12之间的通信内容使用密钥K2进行加密处理。如上所述,密钥K1、K2以基于广播数据包A1、A2分配的无线通信资源为基准而进行切换。
返回图2,加密处理部23使用存储在存储器24中的密钥K1,进行在其与加入了无线通信网络N1的无线设备11a之间的通信(进而与无线访问点装置13之间的通信)中使用的DLMIC的生成·验证。另外,使用存储在存储器24中的密钥K2,进行在其与无线通信网络N1连接的无线设备11b之间的通信(广播数据包A2以外的通信)中使用的DL MIC的生成·验证。存储器24是例如RAM(Random Access Memory)等易失性存储器,对从系统管理器14发布的密钥K1、K2等进行存储。
控制部25对预配置对应广播路由器12的动作进行集中控制。例如,在从系统管理器14发布了密钥K1、K2的情况下,进行将上述密钥K1、K2存储在存储器24中的控制。另外,对无线通信部21、数据包处理部22以及加密处理部23进行控制,进行数据的发送/接收控制,并且,进行广播数据包A1、A2的发送控制。
密钥选择部26基于规定了密钥K1、K2的使用方法的密钥管理表 TB(管理表),从存储在存储器24中的密钥K1、K2中选择在加密处理部23的加密处理中使用的密钥。图5是表示在本发明的第1实施方式中使用的密钥管理表的图。如图5所示,在本实施方式中使用的密钥管理表TB,是将基于广播数据包A1、A2而分配的无线通信资源、和表示为了使用各个无线通信资源进行无线设备之间的无线通信的通信内容的加密处理中所使用的密钥的信息相关联的表。
具体来说,基于广播数据包A1分配的无线通信资源(图4中的标注有符号Q11、Q12的方块)与密钥K1相关联,基于广播数据包A2分配的无线通信资源(图4中的标注有符号Q21、Q22的方块)与密钥K2相关联。因此,在使用基于广播数据包A1分配的无线通信资源(图4中的标注有符号Q11、Q12的方块)而在无线设备11a和预配置对应广播路由器12之间进行无线通信的情况下,密钥选择部26选择密钥K1作为在加密处理部23的加密处理中使用的密钥。与此相对,在使用基于广播数据包A2分配的无线通信资源(图4中的标注有符号Q21、Q22的方块)在无线设备11b和预配置对应广播路由器12之间进行无线通信的情况下,密钥选择部26选择密钥K2作为在加密处理部23的加密处理中使用的密钥。
下面,对上述结构中的无线通信系统的动作进行说明。此外,以下,作为预配置完成设备的无线设备11a及作为需要预配置设备的无线设备11b,均处于没有与无线通信网络N1连接的状态。在无线通信系统1进行动作的状态中,无线通信网络N1中的无线通信资源(时隙及通信信道)的分配通过系统管理器14始终进行。
表示通过系统管理器14分配的无线通信资源的信息发送至与无线通信网络N1连接的各仪器(预配置对应广播路由器12及无线访问点装置13)。如果分配给预配置完成设备的无线通信资源发送至预配置对应广播路由器12,则在图3所示的区域R4、R5中分别存储了表示该通信资源的信息和与该信息相对应的DL MIC的数据包,通过图2所示的数据包处理部22生成并作为广播数据包A1发送。
与此相对,如果分配给需要预配置设备的无线通信资源发送至预配置对应广播路由器12,则下述数据包通过图2所示的数据包处理部 22生成并作为广播数据包A2发送,该数据包的结构为:表示该无线通信资源的信息存储在图3所示的区域R4中,并且,特别值(例如,值“0”或利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果)存储在图3所示的区域R5中。此外,上述的特别值是表示下述情况的值:表示分配给需要预配置设备的无线通信资源的信息存储在区域R4中。
首先,考虑下述情况:作为预配置完成设备的无线设备11a,配置在能够接收到从预配置对应广播路由器12发送的广播数据包A1、A2的位置。如果接收到从预配置对应广播路由器12发送的广播数据包A1、A2,则无线设备11a分别参照构成广播数据包A1、A2的数据包的区域R5,将存储有值“0”或利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果的数据包(广播数据包A2)废弃,另一方面,对存储有除了值“0”或利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果以外的值的数据包(广播数据包A1)进行接收。
然后,无线设备11a使用在接收到的数据包(广播数据包A1)的区域R4(参照图3)中存储的表示无线通信资源的信息、和通过预配置预先设定的信息,与无线通信网络N1连接,并向预配置对应广播路由器12发送加入请求(join请求)。发送至预配置对应广播路由器12的加入请求,经由无线访问点装置13发送至系统管理器14,对是否使无线设备11a加入无线通信网络N1进行控制。
在允许向无线通信网络N1的加入的情况下,系统管理器14建立与无线设备11a之间的通信路径并进行针对无线设备11a的认证。在该认证成功的情况下,从系统管理器14向无线设备11a发布密钥K1,由此,结束无线设备11a向无线通信网络N1进行加入的处理。
此外,在无线设备11a加入无线通信网络N1后,使用通过系统管理器14发布的密钥K1,进行经由无线通信网络N1的通信内容的加密处理。此时,在预配置对应广播路由器12中,基于密钥管理表TB,通过密钥选择部26选择密钥K1。并且,在加密处理部23中,使用密钥K1进行通信内容的加密处理。另外,在无线设备11a加入无线通信网络N1后,还使用从预配置对应广播路由器12定期发送的广播数据 包A1,进行将无线设备11a的时刻同步的处理。
下面,考虑下述情况:作为需要预配置设备的无线设备11b配置在能够接收到从预配置对应广播路由器12发送的广播数据包A1、A2的位置。如果接收到从预配置对应广播路由器12发送的广播数据包A1、A2,则无线设备11b首先分别参照构成广播数据包A1、A2的数据包的区域R5,将存储有除了值“0”、或利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果以外的值的数据包(广播数据包A1)废弃,另一方面,对存储有值“0”、或利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果的数据包(广播数据包A2)进行接收。
然后,无线设备11b使用在接收到的数据包(广播数据包A2)的区域R4(参照图3)中存储的表示无线通信资源的信息,与无线通信网络N1连接,并经由预配置对应广播路由器12及无线访问点装置13而与系统管理器14进行通信。如果与无线设备11b的通信能够进行,则系统管理器14在将密钥K2发布至无线设备11b后进行针对无线设备11b的预配置(OTA预配置)。由于在预配置前密钥K2发布至无线设备11b,因此,还对预配置的内容进行加密处理。此时,在预配置对应广播路由器12中,基于密钥管理表TB,通过密钥选择部26选择密钥K2,在加密处理部23中使用密钥K2进行通信内容的加密处理。
如以上所述,在本实施方式中,将预配置对应广播路由器12设置在无线通信网络N1内,对针对作为预配置完成设备的无线设备11a的广播数据包A1、和针对作为需要预配置设备的无线设备11b的广播数据包A2进行发送。在此,广播数据包A1是存储有表示无线通信资源的信息和DL MIC的数据包,该无线通信资源用于使作为预配置完成设备的无线设备11a与无线通信网络N1连接,广播数据包A2是存储有表示无线通信资源的信息和特别值(例如,通过DL MIC无法获得的值“0”或利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果)的数据包,该无线通信资源用于使作为需要预配置设备的无线设备11b与无线通信网络N1连接。
由此,能够使用与为了使作为预配置完成设备的无线设备11a与 无线通信网络N1连接所使用的时隙及通信信道不同的时隙及通信信道,使作为需要预配置设备的无线设备11b与无线通信网络N1连接。作为其结果,不使用预配置专用的无线子网络,即可维持安全性并针对作为需要预配置设备的无线设备11b进行预配置。另外,无线设备11b将从预配置对应广播路由器12发送的广播数据包A1废弃而仅接收广播数据包A2,由于仅在接收到广播数据包A2的情况下进行连接请求,因此,也能够抑制不必要的消耗电力。
(第2实施方式)
下面,对本发明的第2实施方式进行说明。在以上说明的第1实施方式中,以基于广播数据包A1、A2分配的无线通信资源为基准,预配置对应广播路由器12进行密钥K1、K2的切换。与此相对,在本实施方式中,以通信对象(无线设备11a、11b)为基准,预配置对应广播路由器12进行密钥K1、K2的切换。
本实施方式中的无线通信系统,是与图1所示的无线通信系统1相同的结构。另外,本实施方式中的作为无线通信装置的预配置对应广播路由器,是与图2所示的预配置对应广播路由器大致相同的结构。但是,在本实施方式中,预配置对应广播路由器使用的密钥管理表TB的内容与图5所示的表不同。
图6是表示在本发明的第2实施方式中使用的密钥管理表的图。如图6所示,在本实施方式中使用的密钥管理表TB,是将作为唯一地分配给各个无线设备的识别信息的EUI64地址、和表示为了无线设备之间的通信内容的加密处理而使用的密钥的信息进行了关联的表。
在此,上述的EUI64地址,是为了唯一地识别无线设备而分配给各个无线设备的64位的地址。
例如,对无线访问点装置13分配由“XX:XX:XX:XX:XX:XX:XX:XX”构成的EUI64地址。另外,对无线设备11a、11b分别分配由“YY:YY:YY:YY:YY:YY:YY:YY”、“ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ”构成的EUI64地址。此外,上述X、Y、Z是16进制的任意数值。在这里,分配给无线访问点装置13的EUI64地址与密钥K1相关联。另外,分配给无线设备11a、11b的EUI64地 址分别与密钥K1、K2相关联。
因此,在与无线设备11a或无线访问点装置13之间进行无线通信的情况下,密钥选择部26选择密钥K1作为在加密处理部23的加密处理中使用的密钥。与此相对,在与无线设备11b之间进行无线通信的情况下,密钥选择部26选择密钥K2作为在加密处理部23的加密处理中使用的密钥。此外,在图6中,对将EUI64地址与表示密钥的信息相关联的密钥管理表TB进行了图示,但如果能够确定通信对象,则也可以使用EUI64地址以外的地址(例如,16位的DL地址)。
下面,对上述结构的无线通信系统的动作进行说明。此外,本实施方式中的无线通信系统的动作,除了通过预配置对应广播路由器12进行的密钥K1、K2的选择动作以外,与第1实施方式的无线通信系统1的动作相同。因此,以下,对预配置对应广播路由器12向加入了无线通信网络N1的无线设备11a、11b进行数据包的发送/接收的情况下的动作简单地进行说明。
(数据包发送时的动作)
如果数据包的发送动作开始,则首先,应向无线设备11a、11b发送的数据包的生成处理,由数据包处理部22进行。此时,由密钥选择部26对图6所示的密钥管理表TB进行检索,基于表示与分配给通信对象(无线设备11a、11b)的EUI64地址相对应的密钥的信息,从存储在存储器24中的密钥K1、K2中选择在加密处理部23的加密处理中使用的密钥。具体来说,在通信对象为无线设备11a的情况下选择密钥K1,在通信对象为无线设备11b的情况下选择密钥K2。
如果密钥选择部26选择了密钥,则将所选择的密钥传送至加密处理部23而生成DLMIC。并且,由加密处理部23生成的DL MIC附加在由数据包处理部22生成的数据包中。具体来说,在图3所示的数据包P的区域R5中存储DL MIC。如果以上的处理结束,则生成的数据包从无线通信部21经由无线通信网络N1发送至通信对象(无线设备11a、11b)。通过以上的动作,附加有使用密钥K1而生成的DL MIC的数据包发送至无线设备11a,附加有使用密钥K2而生成的DL MIC的数据包发送至无线设备11b。
(数据包接收时的动作)
如果数据包从通信对象(无线设备11a、11b)经由无线通信网络N1发送至预配置对应广播路由器12,则该数据包被无线通信部21接收。于是,由密钥选择部26对图6所示的密钥管理表TB进行检索,基于表示与分配给通信对象(无线设备11a、11b)的EUI64地址相对应的密钥的信息,对存储在存储器24中的密钥K1、K2进行选择。具体来说,在通信对象为无线设备11a的情况下选择密钥K1,在通信对象为无线设备11b的情况下选择密钥K2。
如果由密钥选择部26选择了密钥,则将所选择的密钥传送至加密处理部23而进行DL MIC的生成,并对生成的DL MIC与接收到的数据包中包含的DL MIC(具体来说,在图3所示的数据包P的区域R5中存储的DL MIC)是否一致进行验证。假设在验证出两个DL MIC一致的情况下,在数据包处理部22中进行接收到的数据包的处理。通过以上动作,从无线设备11a发送来的数据包(附加有使用密钥K1生成的DL MIC的数据包)的验证是使用由密钥选择部26选择的密钥K1而进行的,从无线设备11b发送来的数据包(附加有使用密钥K2生成的DLMIC的数据包)的验证是使用由密钥选择部26选择的密钥K2而进行的。
如以上所述,在本实施方式中,在以通信对象(无线设备11a、11b)为基准,预配置对应广播路由器12进行密钥K1、K2的切换这一点存在差异,但与第1实施方式相同地,在无线通信网络N1内设置预配置对应广播路由器12,对针对作为预配置完成设备的无线设备11a的广播数据包A1、和针对作为需要预配置设备的无线设备11b的广播数据包A2进行发送。因此,与第1实施方式相同地,不使用预配置专用的无线子网络,即可维持安全性并针对作为需要预配置设备的无线设备11b进行预配置,并且,能够抑制不必要的消耗电力。
(第3实施方式)
下面,对本发明的第3实施方式进行说明。在以上说明的第2实施方式中,预配置对应广播路由器12使用图6所示的密钥管理表TB,以通信对象(无线设备11a、11b)为基准进行密钥K1、K2的切 换。本实施方式涉及图6所示的密钥管理表TB的生成(变更)方法。由预配置对应广播路由器12使用的密钥管理表TB的生成(更新)方法具有:由用于管理无线通信系统的系统管理器14生成(变更)的方法、和由预配置对应广播路由器12自动生成(变更)的方法。以下,对后一种方法进行说明。
图6所示的密钥管理表TB如上述所示,是将分配给各个无线设备的EUI64地址与表示密钥的信息相关联的表。因此,预配置对应广播路由器12中的密钥管理表TB的生成(变更),在从要加入无线通信网络N1的无线设备具有加入请求(join请求)的定时进行。
在此,预配置对应广播路由器12,为了自动地生成图6所示的密钥管理表TB,需要对发送加入请求(join请求)的无线设备是作为预配置完成设备的无线设备11a、还是作为需要预配置设备的无线设备11b进行判别。为了进行该判别,预配置对应广播路由器12使用在图7所示的数据包P1的区域R4中存储的有效载荷中包含的应用特定MIC(ApplicationSpecific MIC)。
图7是表示在本发明的第3实施方式中,在加入要求时使用的数据包的图。如图7所示,在本实施方式中使用的数据包P1与图3所示的数据包P相同地,具有:存储各种头部的3个区域R1至R3、存储DL有效载荷的区域R4、存储DL MIC的区域R5。在此,在存储DL有效载荷的区域R4中设有分别存储网络层及传输层头部的区域R11、R12、和存储应用数据的区域R13。上述应用特定MIC是保证存储在区域R13中的应用数据中的特定应用数据的内容完整性的信息,与应用数据一起存储在区域R13中。
上述的应用特定MIC使用在无线设备11a、11b加入时使用的密钥进行计算。具体来说,在作为预配置完成设备的无线设备11a的情况下,使用通过预配置设定的加入密钥(Join Key)进行计算,在作为需要预配置设备的无线设备11b的情况下,使用预先规定的(默认的)共享密钥进行计算。
针对无线设备11a设定的加入密钥仅在无线设备11a和系统管理器14之间共享,预配置对应广播路由器12无法取得。与此相对,由 无线设备11b使用的默认的共享密钥能够由预配置对应广播路由器12取得。因此,预配置对应广播路由器12通过对应用特定MIC是否使用共享密钥生成进行判别,从而对发送了加入请求(join请求)的无线设备是作为预配置完成设备的无线设备11a、还是作为需要预配置设备的无线设备11b进行判别。
图8是表示本发明的第3实施方式中的密钥管理表的生成方法的流程图。此外,图8所示的流程图,在例如预配置对应广播路由器12的电源接通的时刻开始,在每次针对接收到的数据包的处理结束时重复地执行。如果处理开始,则在步骤S11中,预配置对应广播路由器12处于等待接收来自无线设备11a、11b的数据包的状态。在步骤S12中,在该等待接收状态中,预配置对应广播路由器12对是否由无线通信部21接收到来自无线设备11a、11b的数据包进行判断。
在判断为没有接收到数据包的情况(判断结果为“否”的情况)下,预配置对应广播路由器12返回步骤S11,继续处于数据包的等待接收状态。与此相对,在判断为接收到数据包的情况(判断结果为“是”的情况)下,在步骤S13中,预配置对应广播路由器12的数据包处理部22判断接收到的数据包是否以自身为目标(以预配置对应广播路由器12为目标)。
此外,要加入无线通信网络N1的无线设备11a、11b直至从系统管理器14发布密钥K1、K2为止,使用默认的共享密钥经由无线通信网络N1进行无线通信。因此,即使在密钥管理表TB中没有登记无线设备11a、11b的EUI64地址,也能够对存储在图3所示的数据包P的区域R5中的DL MIC进行验证。
在判断为接收到的数据包不是以自身为目标的情况(步骤S13的判断结果为“否”的情况)下,在步骤S14中,预配置对应广播路由器12进行接收到的数据包的路径控制。即,按照预先规定的路径信息,进行将接收到的数据包传送至次中继点的处理。在该路径控制结束后,图8所示的一系列的处理结束。此外,在图8所示的一系列的处理已结束的情况下,再次进行步骤S11的处理。
与此相对,在判断为接收到的数据包是以自身为目标的情况(步 骤S13的判断结果为“是”的情况)下,在步骤S15中,在预配置对应广播路由器12的数据包处理部22及加密处理部23中,进行对接收到的数据包中包含的应用特定MIC进行验证的处理。具体来说,对在图7所示的数据包P1的区域R13中存储的应用特定MIC是否使用默认的共享密钥而生成(即,是否能够使用默认的共享密钥而生成与在图7所示的数据包P1的区域R13中存储的应用特定MIC相同的信息)进行验证。
更具体地说,在步骤S15的处理中,使用默认的共享密钥而实际生成应用特定MIC的处理在加密处理部23中进行,将由加密处理部23生成的应用特定MIC、和在图7所示的数据包P1的区域R13中存储的应用特定MIC进行比较的处理,在数据包处理部22中进行。如果以上的处理结束,则在步骤S16中,由数据包处理部22对通过默认的共享密钥实现的应用特定MIC的生成是否成功(是否能够使用默认的共享密钥,生成与在图7所示的数据包P1的区域R13中存储的应用特定MIC相同的信息)进行判断。
在判断为通过默认的共享密钥实现的应用特定MIC的生成失败的情况(步骤S16的判断结果为“否”的情况)下,在步骤S17中,数据包处理部22将数据包中包含的EUI64地址和密钥K1进行关联,经由密钥选择部26登记(追加)在密钥管理表TB中。在此,将EUI64地址与密钥K1进行关联的原因在于,由于使用默认的共享密钥实现的应用特定MIC的生成失败,因此,推定出接收到的数据包的发送源是作为预配置完成设备的无线设备11a。在以上处理结束后,在步骤S18中,数据包处理部22进行接收到的数据包的处理(具体来说,向系统管理器14的代理传送处理)。
与此相对,在判断为通过默认的共享密钥实现的应用特定MIC的生成成功的情况(步骤S16的判断结果为“是”的情况)下,在步骤S19中,数据包处理部22将数据包中包含的EUI64地址和密钥K2进行关联,经由密钥选择部26登记(追加)在密钥管理表TB中。在此,将EUI64地址与密钥K2进行关联的原因在于,由于使用默认的共享密钥实现的应用特定MIC的生成成功,因此,推定出接收到的数据包 的发送源是作为需要预配置设备的无线设备11b。如果以上处理结束,则在步骤S18中,数据包处理部22进行接收到的数据包的处理(具体来说,向系统管理器14的代理传送处理)。
此外,与EUI64地址相关联的上述的密钥K1是在以下的(a)中示出密钥,与EUI64地址相关联的上述的密钥K2是在以下的(a)至(c)的任一项中示出的密钥。
(a)由预配置对应广播路由器12自身在加入无线通信网络N1时从系统管理器14取得的密钥
(b)在系统管理器14向无线设备11b发布密钥K2时,也向预配置对应广播路由器12发布的密钥
(c)预配置对应广播路由器12向系统管理器14进行密钥K2的发布请求而取得的密钥
如果从无线设备11a、11b这两者发出join要求,则通过进行以上说明的处理,将无线设备11a的EUI64地址和密钥K1相关联、将无线设备11b的EUI64地址和密钥K2相关联而登记(追加)在密钥管理表TB中。由此,在预配置对应广播路由器12中,对在与无线设备11a之间的通信时使用的密钥(密钥K1)、和在与无线设备11b之间的通信时使用的密钥(密钥K2)进行切换。
(第4实施方式)
下面,对本发明的第4实施方式进行说明。在上述说明的第2实施方式中,预配置对应广播路由器12使用图6所示的密钥管理表TB,以通信对象(无线设备11a、11b)为基准进行密钥K1、K2的切换。与此相对,本实施方式以能够分配给通信对象(无线设备11a、11b)的识别信息的区分(地址块:区分信息)为基准,由预配置对应广播路由器12进行密钥K1、K2的切换。
在上述第2实施方式中,由于需要针对通信对象的每一个EUI64地址,对表示密钥的信息进行登记,因此,导致图6所示的密钥管理表TB的大小与已加入无线通信网络N1的无线设备的数量的增加成正比地增大。在本实施方式中,不是针对每一个通信对象登记表示密钥的信息,而是针对可分配给通信对象的识别信息的每一个区分 (地址块)登记表示密钥的信息,从而抑制密钥管理表TB的大小变大。
在本实施方式中,作为上述的识别信息,取代EUI64地址而使用例如16位的DL地址。图9是用于说明在本发明的第4实施方式中使用的DL地址的图。DL地址是系统管理器14向已加入无线通信网络N1的无线设备发布的地址,如图9所示,可以取以16进制表示的0x0000~0xFFFF的范围的值。其中,值0x0000用于表示没有分配DL地址这一情况,0x8000~0xFFFF的范围的值预定用于将来的扩展使用,因此,实际作为DL地址使用的是0x0001~0x7FFF的范围的值。
因此,在本实施方式中,将16位的DL地址区分为:实际作为DL地址使用的0x0001~0x7FFF的范围的地址块B1、和预定用于将来的扩展使用的0x8000~0xFFFF的范围的地址块B2。并且,将地址块B1中包含的地址分配给作为预配置完成设备的无线设备11a,将地址块B2中包含的地址分配给作为需要预配置设备的无线设备11b。
图10是表示在本发明的第4实施方式中使用的密钥管理表的图。如图10所示,在本实施方式中使用的密钥管理表TB仅具有2个条目。第1个条目是将0x0001~0x7FFF的范围的地址块B1与密钥K1相关联的条目,第2个条目是将0x8000~0xFFFF的范围的地址块B2与密钥K2相关联的条目。因此,即使加入无线通信网络N1的无线设备的数量增大,也能够抑制密钥管理表TB的大小变大。
(第5实施方式)
下面,对本发明的第5实施方式进行说明。在上述的第1至第4实施方式中,预配置对应广播路由器12在进行运行用的无线通信的情况下使用密钥K1,在进行预配置用的无线通信的情况下使用预配置用的密钥K2。与此相对,在本实施方式中,预配置对应广播路由器12在进行预配置用的通信的情况下,取代密钥K2而使用默认的共享密钥(密钥K3)。
图11是表示在本发明的第5实施方式中使用的密钥管理表的图。如图11所示,在本实施方式中使用的密钥管理表TB,取代与分配给图6所示的密钥管理表TB的无线设备11b的由“ZZ:ZZ:ZZ:ZZ: ZZ:ZZ:ZZ:ZZ”构成的EUI64地址相关联的密钥K2,而使用密钥K3。
通过使用图11所示的密钥管理表TB,在与无线设备11a或无线访问点装置13之间进行无线通信(运行用的无线通信)的情况下,通过密钥选择部26选择密钥K1。与此相对,在与无线设备11b之间进行无线通信(预配置用的无线通信)的情况下,通过密钥选择部26选择密钥K3。
在此,在本实施方式中,从系统管理器14向无线设备11a进行密钥K1的发布,但从系统管理器14不进行向无线设备11b的密钥K3的发布。由此,能够将针对无线设备11b的密钥的设定简化,并且,由于削减通信量,因此能够抑制系统管理器14及无线设备11b的电力消耗。此外,本实施方式也能够适用于上述的第1、第3、第4实施方式。即,能够取代图5、图10所示的密钥管理表TB中的密钥K2,而使用默认的共享密钥(密钥K3)。
以上,对本发明的实施方式所涉及的无线通信装置及无线通信系统进行了说明,但本发明并不限定于上述的实施方式,在本发明的范围内能够自由地变更。例如,在上述各实施方式中,为了使说明变得简单,对形成1个无线通信网络N1的无线通信系统1进行了说明,但也能够将本发明应用于设置多个无线访问点装置13而形成多个无线通信网络(无线子网络)的无线通信系统中。
另外,在上述各实施方式中,为了对在图3所示的数据包的区域R4中存储的表示无线通信资源的信息是分配给需要预配置设备使用的信息进行判别,在区域R5存储有特别值(例如,通过DL MIC无法获得的值“0”或利用公开的专用密钥对特别DL MIC进行计算而得到的计算结果)。但是,在该判别中不一定需要使用存储DL MIC的区域,也可以将明示的标志等附加在广播数据包中。
另外,在上述各实施方式中,对预配置对应广播路由器12、无线访问点装置13以及系统管理器14作为独立的装置安装的例子进行了说明。但是,也可以将上述装置中的2个或3个作为1个装置进行安装。例如,预配置对应广播路由器12和无线访问点装置13作为1个装置进行安装的情况。在上述各实施方式中,预配置对应广播路由器12成为进行广播的状态,但无线访问点装置13也可以进行上述的广播。
工业实用性
本发明能够广泛地应用于无线通信装置及无线通信系统,不使用预配置专用的无线子网络,能够一边抑制不必要的电力消耗并维持安全性,一边进行预配置。
标号的说明
1无线通信系统
11a无线设备(设定完成无线设备)
11b无线设备(需要设定无线设备)
12预配置对应广播路由器(无线通信装置)
13无线访问点装置
14系统管理器(管理装置)
21无线通信部
22数据包处理部
23加密处理部
24存储器(存储部)
25控制部
26密钥选择部
A1、A2广播数据包
B1、B2地址块(区分信息)
K1密钥(第1密钥)
K2密钥(第2密钥)
N1无线通信网络
N2基干网络 P数据包
P1数据包
Q11、Q12、Q21、Q22方块
R1物理层头部
R2MAC(Media Access Control)头部
R3DL(Data Link Layer)头部
R4DL(Data Link Layer)有效载荷
R5DLMIC(Data Link Message Integrity Code)
R10包含R2至R4的保证区域
R11网络层头部
R12传输层头部
R13应用数据
TB密钥管理表
Claims (15)
1.一种无线通信装置,其经由无线通信网络与无线设备之间进行无线通信,
该无线通信装置具有:
数据包处理部,其配置为生成包含判别信息和第1控制信息的第1数据包、和包含所述判别信息和第2控制信息的第2数据包,所述判别信息用于对所述第1控制信息及所述第2控制信息的类别进行判别,所述第1控制信息用于使设定完成无线设备与所述无线通信网络连接,该设定完成无线设备是已经设定了为了加入所述无线通信网络所需的仪器信息的无线设备,所述第2控制信息用于使需要设定无线设备与所述无线通信网络连接,该需要设定无线设备是需要设定所述仪器信息的无线设备;以及
无线通信部,其配置为将由所述数据包处理部生成的所述第1数据包经由所述无线通信网络向所述设定完成无线设备发送,并将由所述数据包处理部生成的所述第2数据包经由所述无线通信网络向所述需要设定无线设备发送。
2.根据权利要求1所述的无线通信装置,其中,
在所述无线通信部中,配置为所述第1数据包及所述第2数据包作为路由器广播而向所述无线通信网络发送。
3.根据权利要求1所述的无线通信装置,其中,
该无线通信装置还具有:
存储部,其存储第1密钥和第2密钥,该第1密钥用于对与连接在所述无线通信网络中的所述设定完成无线设备之间的通信内容进行加密处理,该第2密钥用于对与连接在所述无线通信网络中的所述需要设定无线设备之间的通信内容进行加密处理;以及
加密处理部,其配置为使用存储在所述存储部中的所述第1密钥,对与连接在所述无线通信网络中的所述设定完成无线设备之间的通信内容进行加密处理,使用存储在所述存储部中的所述第2密钥,对与连接在所述无线通信网络中的所述需要设定无线设备之间的通信内容进行加密处理。
4.根据权利要求3所述的无线通信装置,其中,
该无线通信装置还具有密钥选择部,其配置为基于规定所述第1、第2密钥的使用方法的管理表,从存储在所述存储部中的所述第1、第2密钥中选择在所述加密处理部的加密处理中使用的密钥。
5.根据权利要求4所述的无线通信装置,其中,
所述管理表,是将基于所述第1、第2控制信息所分配的无线通信资源、和表示密钥的信息相关联的表,该密钥用于对与使用所述无线通信资源进行通信的无线设备之间的无线通信的通信内容进行加密处理。
6.根据权利要求4所述的无线通信装置,其中,
所述管理表,是将唯一地分配给各个无线设备的识别信息、和表示密钥的信息相关联的表,该密钥用于对与该无线设备之间的通信内容进行加密处理。
7.根据权利要求4所述的无线通信装置,其中,
所述管理表,是将表示可向无线设备分配的识别信息的区分的区分信息、和表示密钥的信息相关联的表,该密钥用于对与被分配了由该区分信息表示的区分中所包含的识别信息的无线设备之间的通信内容进行加密处理。
8.根据权利要求4所述的无线通信装置,其中,
所述数据包处理部,配置为与接收到的数据包的内容相对应,更新所述管理表的内容。
9.根据权利要求4所述的无线通信装置,其中,
所述数据包处理部,配置为在接收到的数据包的发送源是所述设定完成无线设备的情况下,将包含在所述数据包中的所述设定完成无线设备的识别信息、和表示所述第1密钥的信息相关联而追加在所述管理表中,在接收到的数据包的发送源是所述需要设定无线设备的情况下,将包含在所述数据包中的所述需要设定无线设备的识别信息、和表示所述第2密钥的信息相关联而追加在所述管理表中。
10.根据权利要求1所述的无线通信装置,其中,
所述第1、第2控制信息,是对通过经由所述无线通信网络进行的时分多址连接所实现的无线通信的时隙及通信信道进行确定的信息。
11.根据权利要求1所述的无线通信装置,其中,
包含所述第1控制信息的数据包中存储的所述判别信息,是表示用于保证该数据包的内容完整性的消息完整性代码的信息,
包含所述第2控制信息的数据包中存储的所述判别信息,是表示在所述消息完整性代码中无法得到的特别值的信息。
12.一种无线通信系统,其经由无线通信网络进行无线通信,
该无线通信系统具有:
无线通信装置,该无线通信装置具有数据包处理部和无线通信部,其中,该数据包处理部配置为生成包含判别信息和第1控制信息的第1数据包、和包含所述判别信息和第2控制信息的第2数据包,所述判别信息用于对所述第1控制信息及所述第2控制信息的类别进行判别,所述第1控制信息用于使设定完成无线设备与所述无线通信网络连接,该设定完成无线设备是已经设定了为了加入所述无线通信网络所需的仪器信息的无线设备,所述第2控制信息用于使需要设定无线设备与所述无线通信网络连接,该需要设定无线设备是需要设定所述仪器信息的无线设备,该无线通信部包含路由器,该路由器配置为将由所述数据包处理部生成的所述第1数据包作为路由器广播而经由所述无线通信网络向所述设定完成无线设备发送,并将由所述数据包处理部生成的所述第2数据包作为路由器广播而经由所述无线通信网络向所述需要设定无线设备发送;以及
无线设备,其配置为基于从所述无线通信装置发送的所述路由器广播中包含的所述判别信息,对所述第1、第2控制信息的类别进行判别,在判别为是所述第2控制信息的情况下、且没有进行所述仪器信息的设定时,基于所述路由器广播中包含的所述第2控制信息而与所述无线通信网络进行连接。
13.根据权利要求12所述的无线通信系统,其中,
该无线通信系统还具有管理装置,该管理装置配置为规定所述第1、第2控制信息并对经由所述无线通信网络进行的无线通信进行管理,并且,针对基于所述第2控制信息而与所述无线通信网络连接的无线设备,进行所述仪器信息的设定。
14.一种无线通信方法,其经由无线通信网络与无线设备之间进行无线通信,
该无线通信方法包含下述步骤:
生成包含判别信息和第1控制信息的第1数据包、和包含所述判别信息和第2控制信息的第2数据包,所述判别信息用于对所述第1控制信息及所述第2控制信息的类别进行判别,所述第1控制信息用于使设定完成无线设备与所述无线通信网络连接,该设定完成无线设备是已经设定了为了加入所述无线通信网络所需的仪器信息的无线设备,所述第2控制信息用于使需要设定无线设备与所述无线通信网络连接,该需要设定无线设备是需要设定所述仪器信息的无线设备;以及
将所生成的所述第1数据包经由所述无线通信网络向所述设定完成无线设备发送,并将所述第2数据包经由所述无线通信网络向所述需要设定无线设备发送。
15.根据权利要求14所述的无线通信方法,其中,
该无线通信方法还包含下述步骤:
存储第1密钥和第2密钥,其中,第1密钥用于对与连接在所述无线通信网络中的所述设定完成无线设备之间的通信内容进行加密处理,第2密钥用于对与连接在所述无线通信网络中的所述需要设定无线设备之间的通信内容进行加密处理;
使用存储的所述第1密钥对与连接在所述无线通信网络中的所述设定完成无线设备之间的通信内容进行加密处理;以及
使用存储的所述第2密钥对与连接在所述无线通信网络中的所述需要设定无线设备之间的通信内容进行加密处理。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011200494 | 2011-09-14 | ||
| JP2011-200494 | 2011-09-14 | ||
| JP2012158983A JP5472389B2 (ja) | 2011-09-14 | 2012-07-17 | 無線通信装置及び無線通信システム |
| JP2012-158983 | 2012-07-17 | ||
| PCT/JP2012/072073 WO2013038922A1 (ja) | 2011-09-14 | 2012-08-30 | 無線通信装置及び無線通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103765945A CN103765945A (zh) | 2014-04-30 |
| CN103765945B true CN103765945B (zh) | 2017-06-20 |
Family
ID=47883155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280042826.3A Active CN103765945B (zh) | 2011-09-14 | 2012-08-30 | 无线通信装置、无线通信系统及无线通信方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10321492B2 (zh) |
| EP (1) | EP2757822A4 (zh) |
| JP (1) | JP5472389B2 (zh) |
| CN (1) | CN103765945B (zh) |
| WO (1) | WO2013038922A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6111815B2 (ja) * | 2013-04-22 | 2017-04-12 | 横河電機株式会社 | 管理装置及び無線通信システム |
| JP5929890B2 (ja) | 2013-12-26 | 2016-06-08 | 横河電機株式会社 | 無線中継装置、無線通信システム、及び情報設定方法 |
| JP6273155B2 (ja) | 2014-02-19 | 2018-01-31 | 横河電機株式会社 | 情報設定装置、情報設定方法、情報設定プログラム、記録媒体、及び無線通信システム |
| JP6311636B2 (ja) * | 2015-03-31 | 2018-04-18 | 横河電機株式会社 | 無線中継装置、無線通信システム、及び無線中継方法 |
| US10142303B2 (en) * | 2015-07-07 | 2018-11-27 | Qualcomm Incorporated | Separation of software modules by controlled encryption key management |
| EP3409039B1 (en) | 2016-01-25 | 2022-10-12 | Telefonaktiebolaget LM Ericsson (PUBL) | Implicit spatial replay protection |
| EP3408997B1 (en) | 2016-01-25 | 2022-01-19 | Telefonaktiebolaget LM Ericsson (PUBL) | Explicit spatial replay protection |
| EP3340704B1 (en) | 2016-12-22 | 2020-06-10 | Volkswagen Aktiengesellschaft | Method for resource allocation in a mobile communication system and base station, and participant communication module for the use in the method |
| US10389532B2 (en) * | 2017-09-22 | 2019-08-20 | Yokogawa Electric Corporation | Secure message routing in multi-tenant system without content inspection |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1954278A (zh) * | 2004-05-18 | 2007-04-25 | 横河电机株式会社 | 通信系统和通信设备 |
| JP2007208439A (ja) * | 2006-01-31 | 2007-08-16 | I-O Data Device Inc | 暗号鍵設定方法、ネットワークシステム、無線lan用中継器、無線lanアダプタ、および暗号鍵設定プログラム |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3948455B2 (ja) * | 2003-12-12 | 2007-07-25 | ブラザー工業株式会社 | 設定処理プログラム、設定処理装置、およびネットワーク装置 |
| JP2006050321A (ja) * | 2004-08-05 | 2006-02-16 | Sharp Corp | ネットワーク機器システム、ネットワーク機器認証装置、ネットワーク機器、ネットワークコントローラ |
| US8169974B2 (en) * | 2007-04-13 | 2012-05-01 | Hart Communication Foundation | Suspending transmissions in a wireless network |
| JP4993202B2 (ja) * | 2007-12-10 | 2012-08-08 | 横河電機株式会社 | フィールドネットワークシステム |
| JP5066290B2 (ja) * | 2008-06-18 | 2012-11-07 | エマソン・プロセス・マネジメント・エルエルエルピー | 異種ネットワーク上でのワイヤレスプロセス通信のためのシステム及び方法 |
| US8898474B2 (en) * | 2008-11-04 | 2014-11-25 | Microsoft Corporation | Support of multiple pre-shared keys in access point |
| US8787828B2 (en) * | 2008-12-23 | 2014-07-22 | Qualcomm Incorporated | In-band provisioning for a closed subscriber group |
| US8861737B2 (en) * | 2009-05-28 | 2014-10-14 | Qualcomm Incorporated | Trust establishment from forward link only to non-forward link only devices |
| US8560848B2 (en) * | 2009-09-02 | 2013-10-15 | Marvell World Trade Ltd. | Galois/counter mode encryption in a wireless network |
| JP4894076B2 (ja) * | 2009-11-10 | 2012-03-07 | 横河電機株式会社 | 中継装置及びこれを用いた無線制御ネットワーク管理システム |
| US8189608B2 (en) * | 2009-12-31 | 2012-05-29 | Sonicwall, Inc. | Wireless extender secure discovery and provisioning |
| JP5168596B2 (ja) * | 2010-01-29 | 2013-03-21 | 横河電機株式会社 | 制御ネットワークシステム |
| JP5229592B2 (ja) * | 2010-06-30 | 2013-07-03 | 横河電機株式会社 | 無線フィールド機器 |
| JP5170585B2 (ja) * | 2010-08-09 | 2013-03-27 | 横河電機株式会社 | プロビジョニング装置 |
-
2012
- 2012-07-17 JP JP2012158983A patent/JP5472389B2/ja active Active
- 2012-08-30 CN CN201280042826.3A patent/CN103765945B/zh active Active
- 2012-08-30 US US14/241,516 patent/US10321492B2/en active Active
- 2012-08-30 WO PCT/JP2012/072073 patent/WO2013038922A1/ja active Application Filing
- 2012-08-30 EP EP12831563.7A patent/EP2757822A4/en not_active Withdrawn
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1954278A (zh) * | 2004-05-18 | 2007-04-25 | 横河电机株式会社 | 通信系统和通信设备 |
| JP2007208439A (ja) * | 2006-01-31 | 2007-08-16 | I-O Data Device Inc | 暗号鍵設定方法、ネットワークシステム、無線lan用中継器、無線lanアダプタ、および暗号鍵設定プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2757822A1 (en) | 2014-07-23 |
| CN103765945A (zh) | 2014-04-30 |
| US20140192766A1 (en) | 2014-07-10 |
| US10321492B2 (en) | 2019-06-11 |
| WO2013038922A1 (ja) | 2013-03-21 |
| JP5472389B2 (ja) | 2014-04-16 |
| JP2013078107A (ja) | 2013-04-25 |
| EP2757822A4 (en) | 2015-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103765945B (zh) | 无线通信装置、无线通信系统及无线通信方法 | |
| EP1748606B1 (en) | Method for automatically providing quality of service | |
| US9369490B2 (en) | Method for the secure exchange of data over an ad-hoc network implementing an Xcast broadcasting service and associated node | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| US20090034738A1 (en) | Method and apparatus for securing layer 2 networks | |
| CN104184719B (zh) | 信息设定方法及无线通信系统 | |
| US9350651B2 (en) | Packet forwarding device and wireless communication system | |
| CN109168150B (zh) | 一种蓝牙快速组网方法 | |
| CN101420686A (zh) | 基于密钥的工业无线网络安全通信实现方法 | |
| CN110858822B (zh) | 媒体接入控制安全协议报文传输方法和相关装置 | |
| CN104023022A (zh) | 一种IPSec SA的获取方法和装置 | |
| CN104022867A (zh) | 一种issu软重启预处理方法及设备 | |
| CN110290044A (zh) | 一种vpn网络和主干网络的分流方法、装置及存储介质 | |
| US8085797B2 (en) | Method and system for addressing and routing in coded communications relationships | |
| CN112383944A (zh) | 内置区块链的无人机蜂群自适应组网方法 | |
| CN114205282B (zh) | SRv6 Policy的调度方法、系统、路由器和控制器 | |
| CN101242403B (zh) | 流标签分配方法和系统以及流标签请求装置和分配装置 | |
| TW201006182A (en) | Mesh network configured to autonomously commission a network and manage the network topology | |
| CN103139027B (zh) | 中继服务器以及中继通信系统 | |
| CN115767513A (zh) | 一种WiFi Mesh的数据组网模式 | |
| CN102572829B (zh) | Wimax系统中同一接入网关下两用户通信的密钥同步方法 | |
| CN108105949B (zh) | 多联机空调系统及其控制方法 | |
| CN117896177B (zh) | 一种基于IPv6密码标识的SRv6通信方法及系统 | |
| CN104219123B (zh) | 实现应用差异化保障的方法与系统 | |
| CN109788527A (zh) | 用于衣物处理设备的配网绑定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |