CN113940030A - 设备管理系统以及认证方法 - Google Patents
设备管理系统以及认证方法 Download PDFInfo
- Publication number
- CN113940030A CN113940030A CN202080041617.1A CN202080041617A CN113940030A CN 113940030 A CN113940030 A CN 113940030A CN 202080041617 A CN202080041617 A CN 202080041617A CN 113940030 A CN113940030 A CN 113940030A
- Authority
- CN
- China
- Prior art keywords
- information
- information communication
- management
- authentication
- communication apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 38
- 238000004891 communication Methods 0.000 claims abstract description 346
- 230000005856 abnormality Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 4
- 230000007613 environmental effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000015654 memory Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000001186 cumulative effect Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000005057 refrigeration Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000004092 self-diagnosis Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
设备管理系统具备进行管理的管理装置(3)和信息通信装置(4)。管理装置(3)和信息通信装置(4)构成为,能够经由与通信网(NA)中的开放式网络(NB)在访问上隔离的安全的封闭式网络(NC)彼此通信。管理装置(3)在经由封闭式网络(NC)与信息通信装置(4)连接的状态下进行信息通信装置(4)的认证判定。基于信息通信装置(4)的认证完成,向信息通信装置(4)发送设备证书(13),该设备证书(13)包含信息通信装置(4)已被认证的信息以及用于对信息通信装置(4)向管理装置(3)发送的信息进行加密的加密信息。
Description
技术领域
本公开涉及管理设备的设备管理系统以及认证方法。
背景技术
作为设备管理系统,公开了专利文献1记载的技术。在该文献的技术中,移动终端和管理服务器经由因特网进行通信。
关于服务器与多个设备的连接,在专利文献2中公开了以下技术。在专利文献2中,高速附加服务中心从终端经由低速通信网接收作为上行低速数据的高速传送内容的传送请求,将接收到的上行低速数据经由虚拟专用网络和专用线发送到高速传送内容服务器。另外,高速附加服务中心参照与基于下行数据的头的属性或者数据容量有关的路径分配条件,并按照该分配条件,将经由虚拟专用网络和专用线接收到的向终端的下行数据转送到高速通信路或者低速通信线路中的某一方。
现有技术文献
专利文献
专利文献1:日本特开2016-133294号公报
专利文献2:日本特开2002-27009号公报
发明内容
发明所要解决的课题
然而,服务器与设备之间的通信优选通过安全性高的方法来进行。但是,在服务器上连接有多个设备的情况下,对于多个设备分别取得设备证书,需要花费工夫和时间,认证作业花费成本。
本公开的目的在于,提供一种能够降低认证作业的成本的设备管理系统以及认证方法。
用于解决课题的手段
解决该课题的设备管理系统具备:管理装置,其远程地对与设备相关的设备信息进行管理;以及信息通信装置,其与所述设备连接,取得所述设备信息,经由通信网与所述管理装置进行通信,由此将所述设备信息发送到所述管理装置,所述管理装置构成为,经由封闭式网络与所述信息通信装置连接,所述封闭式网络用于在与所述通信网中的开放式网络在访问上隔离的安全状态下将所述管理装置与所述信息通信装置连接,所述管理装置构成为:在所述管理装置和所述信息通信装置经由所述封闭式网络连接的状态下进行所述信息通信装置的认证判定,基于所述信息通信装置的认证完成,向所述信息通信装置发送设备证书,该设备证书包含表示所述信息通信装置已被认证的信息以及用于对所述信息通信装置向所述管理装置发送的信息进行加密的加密信息。
在通过利用者的手续来取得设备的设备证书的情况下费时费力。关于这一点,根据上述结构,在管理装置与信息通信装置连接的状态下管理装置对信息通信装置进行认证判定,因此设备的认证作业变得简单,能够降低设备的认证作业的成本。
在所述设备管理系统中,所述信息通信装置构成为,经由所述开放式网络与所述管理装置进行通信,将基于所述设备证书对所述设备信息进行加密后的分组信息发送到所述管理装置。根据该结构,能够安全地发送设备信息。
在所述设备管理系统中,在经由所述封闭式网络将所述信息通信装置与所述管理装置连接的状态下,所述信息通信装置向所述管理装置发送用于对所述信息通信装置自身进行证明的第一认证信息,所述管理装置构成为,基于用于对所述信息通信装置进行认证的预先存储于存储部的第二认证信息和从所述信息通信装置取得的所述第一认证信息来对所述信息通信装置进行认证,基于所述信息通信装置的认证完成,向所述信息通信装置发送所述设备证书。
根据该结构,管理装置基于作为用于认证信息通信装置的信息的预先存储于存储部的第二认证信息和从信息通信装置取得的第一认证信息来对信息通信装置进行认证,因此能够抑制其他的信息通信装置冒充正规的信息通信装置而取得认证。
在所述设备管理系统中,所述信息通信装置存储所述信息通信装置的固有的识别信息作为所述第一认证信息,所述管理装置存储与所述识别信息对应的认证用识别信息作为所述第二认证信息。
根据该结构,能够通过固有的识别信息对信息通信装置进行认证判定,因此认证简单。
在所述设备管理系统中,所述信息通信装置内置于所述设备中。
根据该结构,能够使包括所述设备和所述信息通信装置的整体结构紧凑。
在所述设备管理系统中,所述信息通信装置内置于作为所述设备的空调机中。
根据该结构,能够使具备信息通信装置的空调机紧凑。
在解决上述课题的认证方法中,在设备管理系统中取得信息通信装置的认证,所述设备管理系统具备:管理装置,其远程地对与设备相关的设备信息进行管理;以及所述信息通信装置,其与所述设备连接而取得所述设备信息,经由通信网与所述管理装置进行通信,由此将所述设备信息发送到所述管理装置,在所述认证方法中,所述管理装置构成为,经由封闭式网络与所述信息通信装置连接,所述封闭式网络用于在与所述通信网中的开放式网络在访问上隔离的安全状态下将所述管理装置与所述信息通信装置连接,所述认证方法具备:在所述管理装置和所述信息通信装置经由所述封闭式网络连接的状态下进行所述信息通信装置的认证判定;以及基于所述信息通信装置的认证完成,向所述信息通信装置发送设备证书,所述设备证书包含表示所述信息通信装置已被认证的信息以及用于对所述信息通信装置向所述管理装置发送的信息进行加密的加密信息。
通过利用者的手续来取得设备的设备证书,费时费力。关于这一点,根据上述结构,由于在管理装置与信息通信装置连接的状态下对信息通信装置进行认证判定,因此设备的认证作业变得简单,能够降低认证作业的成本。
在所述认证方法中,具备:在第一步骤中,在所述信息通信装置与所述管理装置经由所述封闭式网络连接的安全连接状态下,通过所述信息通信装置向所述管理装置发送用于对所述信息通信装置自身进行证明的第一认证信息;在第二步骤中,在所述安全连接状态下,通过所述管理装置,基于作为用于对所述信息通信装置进行认证的预先存储于存储部的第二认证信息以及从所述信息通信装置取得的所述第一认证信息,来对所述信息通信装置进行认证;以及在第三步骤中,在所述安全连接状态下,通过所述管理装置,基于所述信息通信装置的认证完成,向所述信息通信装置发送设备证书,该设备证书包含表示所述信息通信装置已被认证的信息以及用于对所述信息通信装置向所述管理装置发送的信息进行加密的加密信息。
根据该结构,能够抑制其他的信息通信装置冒充正规的信息通信装置而取得认证。
附图说明
图1是设备管理系统的示意图。
图2是信息通信装置的框图。
图3是管理装置所保持的表。
图4是表示管理装置与信息通信装置之间的通信的流程的时序图。
图5是初始设定处理的流程图。
具体实施方式
下面,对本实施方式的设备管理系统进行说明。
设备管理系统1针对与通信网NA连接的多个设备2,对这些设备2的设备信息10进行管理。通信网NA包括开放式网络NB和封闭式网络NC。开放式网络NB是不限制向网络连接的网络。开放式网络NB的一例是因特网。封闭式网络NC是与通信网NA中的开放式网络NB在访问上隔离的网络。
封闭式网络NC包括特定的运营商管理的专用通信线路网和虚拟专用线(VirtualPrivate Network,以下称为“VPN”)。虚拟专用线包含在互联网上动作的因特网VPN和利用特定的运营商提供的IP线路的IP-VPN。在本实施方式中,将因特网VPN示意性地表示为管道状(图1的虚线)。
作为设备2的例子,例如可举出空调机、冷冻装置、空气净化器等。设备信息10至少包含设备2的固有(唯一)的识别编号和基于设备2的动作的设备动作信息。设备动作信息中包含设备2的运转信息、诊断信息、环境信息以及故障信息中的至少一者。运转信息中包含设备2的动力源的累计驱动时间、启停频率以及动作温度中的至少一者。环境信息是设备2的周围的环境信息,包括气温、湿度以及气压中的至少一者。环境信息也可以由设置于设备2的传感器取得。在具备自我诊断用的摄像头的设备2中,摄像头的拍摄图像(包含影像)包含在设备2的诊断信息中。
参照图1,对设备管理系统1进行说明。设备管理系统1具备管理装置3和信息通信装置4。
管理装置3远程地对与设备2有关的设备信息10进行管理。管理装置3经由与设备2连接的后述的信息通信装置4来管理设备2的设备信息10。优选地,管理装置3针对多个设备2,对设备2各自的设备信息10进行管理。
在管理装置3连接有用于访问设备信息10的1个或多个终端。终端包括个人计算机、笔记本型个人计算机、移动电话以及智能电话。
列举管理装置3所管理的设备信息10的第一例。设备2是空调机,包括压缩机。设备2在每次运转或每隔规定期间时记录压缩机的运转信息。运转信息是上述的设备信息10的一种。作为运转信息,例如包括压缩机的启停频率、压缩机的累计驱动时间以及电压的最大值中的至少一者。运转信息经由信息通信装置4被转送到管理装置3。管理装置3针对多个设备2,按照每个设备2来存储运转信息的转送日期和时间以及运转信息。进而,管理装置3可以基于按照每个设备2管理的运转信息来判定设备2的异常。管理装置3可以基于设备2的异常的判定,向终端通知设备异常。另外,管理装置3可以基于按照每个设备2管理的运转信息来推定设备2的寿命。
列举管理装置3所管理的设备信息10的第二例。设备2是空调机,具有拍摄排水盘的摄像头。排水盘收集在热交换器结露的水。设备2在每次运转或每隔规定期间时对排水盘进行拍摄,记录拍摄图像。拍摄图像是上述的设备信息10的一种。拍摄图像经由信息通信装置4转送到管理装置3。管理装置3针对多个设备2,按照每个设备2来存储拍摄图像的转送日期和时间以及拍摄图像。进而,管理装置3可以基于按照每个设备2管理的拍摄图像来判定设备2的异常。管理装置3可以基于设备2的异常的判定,向终端通知设备异常。
<信息通信装置>
参照图2,对信息通信装置4进行说明。
信息通信装置4与设备2连接。信息通信装置4从设备2取得设备信息10。信息通信装置4将从设备2发送来的设备信息10发送到管理装置3。
信息通信装置4可以内置于设备2中。例如,信息通信装置4内置于作为设备2的空调机中。信息通信装置4可以收纳于覆盖设备2的壳体内。信息通信装置4可以配置在设备2的壳体之外。设备2可以通过线缆或无线与设备2连接。
信息通信装置4与通信网NA连接。信息通信装置4在初始设定时经由封闭式网络NC与管理装置3连接。初始设定表示设备2与管理装置3的连接设定。初始设定是在将设备2设置于使用设备2的设备设置场所时进行的。
在经由封闭式网络NC连接信息通信装置4和管理装置3的状态下,信息通信装置4向管理装置3发送用于证明信息通信装置4自身的第一认证信息11。
信息通信装置4作为第一认证信息11存储有信息通信装置4的固有的识别信息。信息通信装置4的识别信息可以包含与信息通信装置4连接的设备2的识别信息。信息通信装置4在发送第一认证信息11之后且如后述那样由管理装置3认证了信息通信装置4之后,从管理装置3接受设备证书13。信息通信装置4在从管理装置3取得了设备证书13之后将封闭式网络NC的连接切断。
信息通信装置4在取得设备证书13之后经由开放式网络NB与管理装置3进行通信。信息通信装置4使用设备证书13,经由开放式网络NB向管理装置3发送设备2的设备信息10。具体而言,信息通信装置4将基于设备证书13对设备信息10进行加密后的分组信息发送到管理装置3。由此,信息通信装置4能够在确保了高安全性的状态下经由开放式网络NB发送设备信息10。
以下,对信息通信装置4的具体结构的一例进行说明。
如图2所示,信息通信装置4包括通信部5和存储部6。通信部5能够执行经由开放式网络NB的第一通信和经由封闭式网络NC的第二通信,并且能够切换第一通信和第二通信。第一通信的一例是基于TCP/IP的通信。第二通信的一例是基于IPsec(SecurityArchitecture for Internet Protocol:用于因特网协议的安全架构)的VPN连接的通信。
这样的信息通信装置4包含能够通过TCP/IP以及IPsec进行连接的路由器。信息通信装置4的存储部6存储用于基于TCP/IP的通信的IP地址。进而,信息通信装置4的存储部6作为用于利用IPsec的信息存储有公共密钥信息、管理装置3的识别信息、认证方法、加密方法、以及到管理装置3为止的路径的网络信息/网络掩码信息。信息通信装置4在初始设定时通过第二通信与管理装置3进行通信。信息通信装置4基于设备证书13的取得,将信息通信装置4与管理装置3的连接从第二通信切换为第一通信。
<管理装置>
如上所述,管理装置3远程地对与设备2有关的设备信息10进行管理。进而,管理装置3在经由封闭式网络NC连接有管理装置3和信息通信装置4的状态下,进行信息通信装置4的认证判定。认证判定表示判定认证的可否。
管理装置3具备存储信息的存储部7、信息通信部8和控制部9。控制部9至少进行对是否能够认证信息通信装置4进行认证判定的认证判定处理(参照图5的步骤S13)。
控制部9能够构成为:1)按照计算机程序(软件)执行各种处理的1个以上的处理器;2)执行各种处理中的至少一部分的处理的面向特定用途的集成电路(ASIC)等的1个以上的专用的硬件电路;或者3)包含它们的组合的电路(circuitry)。处理器包含CPU以及RAM、ROM等存储器,存储器存储有构成为使CPU执行处理的程序代码或者指令。作为存储器的计算机可读介质包含能够用通用或专用的计算机访问的所有可利用的介质。
在一例中,信息通信部8包含能够通过TCP/IP以及IPsec进行连接的路由器。信息通信部8存储用于基于TCP/IP的通信的IP地址。并且,信息通信部8作为用于利用IPsec的信息存储有公共密钥信息、管理装置3的识别信息、认证方法、加密方法以及到成为通信对象的信息通信装置4为止的路径的网络信息/网络掩码信息。信息通信部8能够执行经由开放式网络NB的第一通信和经由封闭式网络NC的第二通信,并且能够切换第一通信和第二通信。信息通信部8通过第二通信与未认证的信息通信装置4进行通信。信息通信部8在认证了信息通信装置4时将与信息通信装置4的连接从第二通信切换为第一通信。共用密钥信息与信息通信装置4所具有的共用密钥信息相同。认证方法及加密方法与信息通信装置4所具有的认证方法及加密方法相同。
管理装置3具备存储设备信息10的存储部7。储存于管理装置3的设备信息10从与管理装置3连接的多个信息通信装置4发送。管理装置3按照每个设备2管理设备信息10。
管理装置3保持用于认证信息通信装置4的第二认证信息12。第二认证信息12预先存储在存储部7中。第二认证信息12经由与管理装置3连接的终端预先输入到管理装置3。管理装置3存储与管理装置3连接的多个信息通信装置4各自的第二认证信息12。
第二认证信息12是与信息通信装置4的固有的识别信息相对应的信息。第二认证信息12与第一认证信息11具有规定的关系。
第二认证信息12可以是与第一认证信息11相同的信息。第二认证信息12可以是包含第一认证信息11的信息。第二认证信息12也可以是相对于第一认证信息11具有规定的算术上的关系的信息。例如,第二认证信息12和第一认证信息11可以具有两个信息之和成为规定的整数值这样的关系。
图3是管理装置3所保持的表的一例。在表中,管理编号与第二认证信息12一对一地对应。在该示例中,第二认证信息12是信息通信装置4的序列号或MAC地址。并且,在该示例中,第二认证信息12与连接有信息通信装置4的设备2的机种编号相关联。
如图3所示,第二认证信息12可以是1个,也可以由多个数字的组构成。例如,第二认证信息12也可以构成为3个数字的组,“11”、“12”、“13”。
管理装置3的控制部9基于第二认证信息12和从信息通信装置4取得的第一认证信息11,对信息通信装置4进行认证判定。控制部9在第一认证信息11与第二认证信息12具有规定的关系的情况下对信息通信装置4进行认证。控制部9在第一认证信息11与第二认证信息12不满足规定的关系的情况下不对信息通信装置4进行认证。
在进行信息通信装置4的认证判定之前,从多个第二认证信息12中预先选择与作为认证对象的信息通信装置4对应的第二认证信息12作为成为认证判定的判定基准的信息。该选择通过来自与管理装置3连接的终端的利用者的操作来进行。
下面,列举管理装置3的认证判定的具体例。
在第二认证信息12是与第一认证信息11相同的信息的情况下,控制部9如下判定。控制部9在判定为从信息通信装置4取得的第一认证信息11和第二认证信息12是相同的信息时,基于该判定,对发送了第一认证信息11的信息通信装置4进行认证。
在第二认证信息12是包含第一认证信息11的信息的情况下,控制部9如下判定。控制部9在判定为第二认证信息12包含从信息通信装置4取得的第一认证信息11时,基于该判定,对发送了第一认证信息11的信息通信装置4进行认证。
在存在第二认证信息12与第一认证信息11之和成为规定的整数值这样的关系的情况下,控制部9如下判定。控制部9在判定为从信息通信装置4取得的第一认证信息11与第二认证信息12之和成为规定的整数值时,基于该判定,对发送了第一认证信息11的信息通信装置4进行认证。
管理装置3基于信息通信装置4的认证完成,向信息通信装置4发送设备证书13。设备证书13包含表示信息通信装置4已被认证的信息以及用于对信息通信装置4向管理装置3发送的信息进行加密的加密信息。
管理装置3的控制部9基于信息通信装置4的认证完成,生成与已被认证的信息通信装置4对应的密钥以及公钥。密钥是能够对通过公钥加密后的信息进行解密的实质上唯一的钥匙。密钥与已被认证的信息通信装置4对应地存储于存储部7。公钥被提供给已被认证的信息通信装置4。公钥是提供给信息通信装置4的设备证书13中包含的信息之一。
进而,管理装置3的控制部9在经由开放式网络NB从信息通信装置4接收加密后的设备信息10时,基于发送目的地的信息来确定信息通信装置4。管理装置3基于所确定的信息通信装置4,选择信息通信装置4所固有的密钥。管理装置3使用已选择的密钥对从信息通信装置4发送来的加密后的设备信息10进行解密。
<认证方法>
参照图4以及图5,对取得信息通信装置4的认证的认证方法进行说明。
在经由封闭式网络NC将管理装置3和信息通信装置4连接的状态下,管理装置3进行信息通信装置4的认证判定。
管理装置3基于信息通信装置4的认证完成,对信息通信装置4发送设备证书13。设备证书13包含信息通信装置4已被认证的信息以及用于对信息通信装置4向管理装置3发送的信息进行加密的加密信息。
具体而言,如图4所示,在第一步骤S1中,在信息通信装置4与管理装置3经由封闭式网络NC连接的安全连接状态下,信息通信装置4向管理装置3发送用于证明信息通信装置4自身的第一认证信息11。
在第二步骤S2中,在安全连接状态下,管理装置3基于作为用于认证信息通信装置4的信息的预先存储于存储部6的第二认证信息12和从信息通信装置4取得的第一认证信息11,对信息通信装置4进行认证判定。
在第三步骤S3中,在安全连接状态下,管理装置3基于信息通信装置4的认证完成,向信息通信装置4发送设备证书13。信息通信装置4基于设备证书13的接收,与开放式网络NB连接。
在信息通信装置4被认证之后,信息通信装置4经由开放式网络NB向管理装置3发送设备信息10。信息通信装置4可以按照预先确定的周期发送设备信息10。
图5是信息通信装置4执行的初始设定处理的流程图。初始设定处理在设备2的设置时进行。初始设定处理的程序可以内置于信息通信装置4,也可以设置于与信息通信装置4连接而控制信息通信装置4的终端。
在步骤S11中,信息通信装置4经由封闭式网络NC与管理装置3连接。例如,根据从与信息通信装置4连接的终端发出的指令,信息通信装置4经由封闭式网络NC与管理装置3连接。另一方面,在管理装置3中,根据从与管理装置3连接的终端发出的指令,选择与信息通信装置4对应的第二认证信息12。
在步骤S12中,信息通信装置4根据从与信息通信装置4连接的终端发出的指令,将第一认证信息11发送到管理装置3。信息通信装置4成为待机状态,等待从管理装置3发出的响应。在该待机期间,管理装置3基于从信息通信装置4发送的第一认证信息11和第二认证信息12,对信息通信装置4进行认证判定。在第一认证信息11和第二认证信息12具有规定的关系的情况下,对信息通信装置4进行认证,在第一认证信息11和第二认证信息12不满足规定的关系的情况下,不对信息通信装置4进行认证。管理装置3在认证信息通信装置4时向信息通信装置4发送设备证书13。
在步骤S13中,信息通信装置4接收设备证书13。
在步骤S14中,信息通信装置4基于设备证书13的接收,将经由封闭式网络NC的与管理装置3的连接切断。
在步骤S15中,信息通信装置4在发送设备2的设备信息10时与开放式网络NB连接。信息通信装置4通过公钥对设备信息10进行加密,并将加密后的设备信息10发送到管理装置3。管理装置3利用密钥对加密后的设备信息10进行解密,存储设备信息10。
对本实施方式的作用进行说明。
由从多个设备2得到的设备信息10构成的数据库有助于设备2的改良。另外,与故障以及异常有关的设备信息10若被篡改则有可能无法对设备2进行适当的应对。因此,设备2的设备信息10优选以安全的状态被发送到管理装置3。优选多个设备2分别通过专用线路与管理装置3连接,但如果连接的设备2的数量增大,则专用线路的使用费增大,专用线路的利用成本变高。
为了降低成本,考虑以下系统。通过认证机构向设备2赋予认证。已被认证的设备2在开放式网络NB上使用认证时所赋予的设备证书13与管理装置3进行通信。根据这样的系统,能够确保安全性,并且也能够降低成本。但是,在设备2出厂前,对于各个设备2取得设备2的认证费时费力。具体而言,利用者需要通过规定的手续来取得设备2的设备证书13,费时费力。另外,制造设备2的阶段中的利用者是设备2的制造者。
在本实施方式中,在设备2的设置时,在经由通信网NA连接设备2和管理装置3时,管理装置3在经由信息通信装置4将设备2连接到封闭式网络NC的状态下对信息通信装置4进行认证判定。当信息通信装置4已被认证时,经由封闭式网络NC将设备证书13发送到信息通信装置4。根据这样的认证方法,在制造时不需要将设备2或者信息通信装置4与通信网NA连接,因此能够简化制造工序。另外,在设备2的设置时,在经由信息通信装置4将设备2与通信网NA连接时,取得信息通信装置4的认证。这样,在一系列的作业工序内进行将设备2与通信网NA连接的作业和信息通信装置4的认证作业,因此信息通信装置4的认证作业效率化。
对本实施方式的优点进行说明。
(1)在设备管理系统1中,在经由封闭式网络NC将管理装置3和信息通信装置4连接的状态下,管理装置3进行信息通信装置4的认证判定,基于信息通信装置4的认证完成,向信息通信装置4发送设备证书13。
在通过利用者的手续来取得设备2的设备证书13的情况下费时费力。关于这一点,根据上述结构,管理装置3在管理装置3与信息通信装置4连接的状态下对信息通信装置4进行认证判定,因此设备2的认证作业变得简单,能够降低设备2的认证作业的成本。
(2)在设备管理系统1中,信息通信装置4经由开放式网络NB与管理装置3进行通信,将基于设备证书13对设备信息10进行加密后的分组信息发送到管理装置3。根据该结构,与不加密地发送设备信息10的情况相比,能够安全地发送设备信息10。
(3)在设备管理系统1中,在经由封闭式网络NC将信息通信装置4和管理装置3连接的状态下,信息通信装置4向管理装置3发送用于对信息通信装置4自身进行证明的第一认证信息11。管理装置3基于用于对信息通信装置4进行认证的预先存储于存储部6的第二认证信息12和从信息通信装置4取得的第一认证信息11来对信息通信装置4进行认证。管理装置3基于信息通信装置4的认证完成,向信息通信装置4发送设备证书13。
根据该结构,管理装置3基于作为用于对信息通信装置4进行认证的信息的预先存储于存储部6的第二认证信息12和从信息通信装置4取得的第一认证信息11对信息通信装置4进行认证,因此能够抑制其他的信息通信装置4冒充正规的信息通信装置4而取得认证。
(4)在设备管理系统1中,信息通信装置4存储信息通信装置4的固有的识别信息作为第一认证信息11,管理装置3存储与识别信息对应的认证用识别信息作为第二认证信息12。根据该结构,能够通过固有的识别信息对信息通信装置4进行认证判定,因此认证简单。
(5)在所述设备管理系统1中,信息通信装置4内置于设备2中。根据该结构,能够使包括设备2和信息通信装置4的整体结构紧凑。
(6)在设备2是空调机的情况下,信息通信装置4可以内置于作为设备2的空调机中。根据该结构,能够使具备信息通信装置4的空调机紧凑。
(7)在取得信息通信装置4的认证的认证方法中,在经由封闭式网络NC将管理装置3和信息通信装置4连接的状态下,管理装置3进行信息通信装置4的认证判定。接下来,管理装置3基于信息通信装置4的认证完成,向信息通信装置4发送设备证书13,该设备证书13包含信息通信装置4已被认证的信息以及用于对信息通信装置4向管理装置3发送的信息进行加密的加密信息。
通过利用者的手续来取得设备2的设备证书13费时费力。关于这一点,根据上述结构,由于管理装置3在管理装置3与信息通信装置4连接的状态下对信息通信装置4进行认证判定,因此设备2的认证作业变得简单,能够降低认证作业的成本。
(8)在认证方法中,在第一步骤中,在信息通信装置4与管理装置3经由封闭式网络NC连接的安全连接状态下,信息通信装置4向管理装置3发送用于对信息通信装置4自身进行证明的第一认证信息11。在第二步骤中,在安全连接状态下,管理装置3基于作为用于对信息通信装置4进行认证的预先存储于存储部6的第二认证信息12和从信息通信装置4取得的第一认证信息11,对信息通信装置4进行认证。在第三步骤中,在安全连接状态下,管理装置3基于信息通信装置4的认证完成,向信息通信装置4发送设备证书13,该设备证书13包含信息通信装置4已被认证的信息以及用于对信息通信装置4向管理装置3发送的信息进行加密的加密信息。
根据该结构,管理装置3基于预先存储于存储部6的第二认证信息12和从信息通信装置4取得的第一认证信息11来对信息通信装置4进行认证,因此能够抑制其他的信息通信装置4冒充正规的信息通信装置4而取得认证。
<变形例>
本公开的设备管理系统1除了上述各实施方式以外,例如也可以是组合了以下所示的变形例、以及相互不矛盾的至少两个变形例而成的方式。
·在上述实施方式中,作为经由封闭式网络NC的第二通信的一例,列举了信息通信装置4基于IPsec(Security Architecture for Internet Protocol)的VPN连接的通信,但经由封闭式网络NC的第二通信的例子并不限定于此。作为经由封闭式网络NC的第二通信的例子,例如可举出IP-VPN、专用线路等。
·在实施方式中,在信息通信装置4被认证之后,信息通信装置4经由开放式网络NB向管理装置3发送设备信息10。在该情况下,信息通信装置4发送的设备信息10可以是用于更新设备证书13的信息。
以上,对本装置的实施方式进行了说明,但应当理解,能够在不脱离权利要求书所记载的本装置的主旨及范围的情况下进行方式或详细内容的各种变更。
Claims (8)
1.一种设备管理系统,所述设备管理系统(1)具备:
管理装置(3),其远程地管理与设备(2)有关的设备信息(10);以及
信息通信装置(4),其与所述设备(2)连接,取得所述设备信息(10),经由通信网(NA)与所述管理装置(3)进行通信,由此将所述设备信息(10)发送到所述管理装置(3),
所述管理装置(3)构成为,在与所述通信网(NA)中的开放式网络(NB)在访问上隔离的安全状态下,经由用于连接所述管理装置(3)和所述信息通信装置(4)的封闭式网络(NC)与所述信息通信装置(4)连接,
所述管理装置(3)构成为:
在所述管理装置(3)和所述信息通信装置(4)经由所述封闭式网络(NC)连接的状态下,
进行所述信息通信装置(4)的认证判定,
基于所述信息通信装置(4)的认证完成,向所述信息通信装置(4)发送设备证书(13),所述设备证书(13)包含表示所述信息通信装置(4)已被认证的信息以及用于对所述信息通信装置(4)向所述管理装置(3)发送的信息进行加密的加密信息。
2.根据权利要求1所述的设备管理系统,其中,
所述信息通信装置(4)构成为,经由所述开放式网络(NB)与所述管理装置(3)进行通信,将基于所述设备证书(13)对所述设备信息(10)进行加密后的分组信息发送到所述管理装置(3)。
3.根据权利要求1或2所述的设备管理系统,其中,
在所述信息通信装置(4)和所述管理装置(3)经由所述封闭式网络(NC)连接的状态下,
所述信息通信装置(4)向所述管理装置(3)发送用于对所述信息通信装置(4)自身进行证明的第一认证信息(11),
所述管理装置(3)构成为,基于用于对所述信息通信装置(4)进行认证的预先存储于存储部(7)的第二认证信息(12)和从所述信息通信装置(4)取得的所述第一认证信息(11),对所述信息通信装置(4)进行认证,基于所述信息通信装置(4)的认证完成,向所述信息通信装置(4)发送所述设备证书(13)。
4.根据权利要求3所述的设备管理系统,其中,
所述信息通信装置(4)存储所述信息通信装置(4)的固有的识别信息作为所述第一认证信息(11),
所述管理装置(3)构成为存储与所述识别信息对应的认证用识别信息作为所述第二认证信息(12)。
5.根据权利要求1至4中任一项所述的设备管理系统,其中,
所述信息通信装置(4)内置于所述设备(2)中。
6.根据权利要求1至5中任一项所述的设备管理系统,其中,
所述信息通信装置(4)内置于作为所述设备(2)的空调机中。
7.一种认证方法,在设备管理系统(1)中取得信息通信装置(4)的认证,所述设备管理系统(1)具备:管理装置(3),其远程地管理与设备(2)有关的设备信息(10);以及所述信息通信装置(4),其与所述设备(2)连接,取得所述设备信息(10),经由通信网(NA)与所述管理装置(3)进行通信,由此将所述设备信息(10)发送到所述管理装置(3),
所述管理装置(3)构成为,在与所述通信网(NA)中的开放式网络(NB)在访问上隔离的安全状态下,经由用于连接所述管理装置(3)和所述信息通信装置(4)的封闭式网络(NC)与所述信息通信装置(4)连接,
所述认证方法包括:
在所述管理装置(3)和所述信息通信装置(4)经由所述封闭式网络(NC)连接的状态下,
进行所述信息通信装置(4)的认证判定,
基于所述信息通信装置(4)的认证完成,向所述信息通信装置(4)发送设备证书(13),所述设备证书(13)包含表示所述信息通信装置(4)已被认证的信息以及用于对所述信息通信装置(4)向所述管理装置(3)发送的信息进行加密的加密信息。
8.根据权利要求7所述的认证方法,其中,
所述认证方法包括:
在第一步骤中,在所述信息通信装置(4)和所述管理装置(3)经由所述封闭式网络(NC)连接的安全连接状态下,通过所述信息通信装置(4)向所述管理装置(3)发送用于对所述信息通信装置(4)自身进行证明的第一认证信息(11);
在第二步骤中,在所述安全连接状态下,通过所述管理装置(3),基于用于对所述信息通信装置(4)进行认证的预先存储于存储部(7)的第二认证信息(12)和从所述信息通信装置(4)取得的所述第一认证信息(11),对所述信息通信装置(4)进行认证;以及
在第三步骤中,在所述安全连接状态下,通过所述管理装置(3),基于所述信息通信装置(4)的认证完成,向所述信息通信装置(4)发送设备证书(13),所述设备证书(13)包含表示所述信息通信装置(4)已被认证的信息以及用于对所述信息通信装置(4)向所述管理装置(3)发送的信息进行加密的加密信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019-111009 | 2019-06-14 | ||
| JP2019111009A JP7315825B2 (ja) | 2019-06-14 | 2019-06-14 | 機器管理システムおよび認証方法 |
| PCT/JP2020/023055 WO2020250983A1 (ja) | 2019-06-14 | 2020-06-11 | 機器管理システムおよび認証方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113940030A true CN113940030A (zh) | 2022-01-14 |
| CN113940030B CN113940030B (zh) | 2024-03-01 |
Family
ID=73780972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080041617.1A Active CN113940030B (zh) | 2019-06-14 | 2020-06-11 | 设备管理系统以及认证方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220239642A1 (zh) |
| EP (1) | EP3985913B1 (zh) |
| JP (1) | JP7315825B2 (zh) |
| CN (1) | CN113940030B (zh) |
| WO (1) | WO2020250983A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4294032A1 (en) * | 2021-02-12 | 2023-12-20 | Fujitsu General Limited | Air conditioner, air conditioning control device, air conditioning system |
| JP7160124B2 (ja) * | 2021-03-10 | 2022-10-25 | 株式会社富士通ゼネラル | 空気調和機及び空気調和システム |
| WO2023248402A1 (ja) * | 2022-06-22 | 2023-12-28 | 三菱電機株式会社 | 空気調和システム及び異常診断方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005346630A (ja) * | 2004-06-07 | 2005-12-15 | Dainippon Printing Co Ltd | 認証システム、認証方法及び認証プログラム等 |
| CN105981352A (zh) * | 2014-02-05 | 2016-09-28 | 苹果公司 | 用于在控制器和附件之间通信的统一通信协议 |
| CN108700324A (zh) * | 2016-02-26 | 2018-10-23 | 大金工业株式会社 | 远程管理系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002027009A (ja) | 2000-07-03 | 2002-01-25 | Hitachi Ltd | 高速付加サービス方法 |
| US7788480B2 (en) | 2003-11-05 | 2010-08-31 | Cisco Technology, Inc. | Protected dynamic provisioning of credentials |
| JP2006246272A (ja) | 2005-03-07 | 2006-09-14 | Fuji Xerox Co Ltd | 証明書取得システム |
| GB2518254B (en) * | 2013-09-13 | 2020-12-16 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
| JP2016133294A (ja) | 2015-01-22 | 2016-07-25 | ジョンソンコントロールズ ヒタチ エア コンディショニング テクノロジー(ホンコン)リミテッド | 空調機の保守・メンテナンスシステム及びその方法 |
-
2019
- 2019-06-14 JP JP2019111009A patent/JP7315825B2/ja active Active
-
2020
- 2020-06-11 EP EP20822681.1A patent/EP3985913B1/en active Active
- 2020-06-11 US US17/617,792 patent/US20220239642A1/en active Pending
- 2020-06-11 WO PCT/JP2020/023055 patent/WO2020250983A1/ja active Application Filing
- 2020-06-11 CN CN202080041617.1A patent/CN113940030B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005346630A (ja) * | 2004-06-07 | 2005-12-15 | Dainippon Printing Co Ltd | 認証システム、認証方法及び認証プログラム等 |
| CN105981352A (zh) * | 2014-02-05 | 2016-09-28 | 苹果公司 | 用于在控制器和附件之间通信的统一通信协议 |
| CN108700324A (zh) * | 2016-02-26 | 2018-10-23 | 大金工业株式会社 | 远程管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020205474A (ja) | 2020-12-24 |
| EP3985913A4 (en) | 2022-08-03 |
| WO2020250983A1 (ja) | 2020-12-17 |
| US20220239642A1 (en) | 2022-07-28 |
| JP7315825B2 (ja) | 2023-07-27 |
| EP3985913B1 (en) | 2023-12-20 |
| EP3985913A1 (en) | 2022-04-20 |
| CN113940030B (zh) | 2024-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113940030B (zh) | 设备管理系统以及认证方法 | |
| US7302252B2 (en) | Authentication systems, wireless communication terminals, and wireless base stations | |
| JP3628250B2 (ja) | 無線通信システムで用いられる登録・認証方法 | |
| JP4235102B2 (ja) | 電気通信用の携帯用品と公開アクセス端末との間の認証方法 | |
| JP4130882B2 (ja) | 無線アクセスポイントの帯域外管理及びトラフィックモニター | |
| US20100122338A1 (en) | Network system, dhcp server device, and dhcp client device | |
| CN111447414B (zh) | 一种方便调度便于监控的视频监控系统及方法 | |
| US20070162748A1 (en) | Apparatus for Encrypted Communication on Network | |
| JP5030681B2 (ja) | 機器設定装置、ネットワーク機器、機器名設定方法および機器名設定プログラム | |
| JP4758095B2 (ja) | 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体 | |
| JP6766766B2 (ja) | 認証制御装置、認証制御方法および認証制御プログラム | |
| CN110958142A (zh) | 设备维护方法、维护设备、存储介质及计算机程序产品 | |
| CN107797822A (zh) | 用于认证固件的设备和相关联的方法 | |
| JP2004532543A (ja) | ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス | |
| US8341703B2 (en) | Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program | |
| KR20120140043A (ko) | 셋톱 박스 및 그 진단 방법 | |
| JP2008215637A (ja) | 空調機の遠隔管理システムおよび空調機の初期設定装置 | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| JP4755772B2 (ja) | 端末装置のプログラムデータ遠隔更新システム | |
| JP2020136863A (ja) | 通信制御システム | |
| JP7276347B2 (ja) | 情報処理装置、制御方法、及びプログラム | |
| EP2175378A1 (en) | Provision of data stored in a memory card to a user device | |
| JP2019190111A (ja) | 鍵情報生成システム及び鍵情報生成方法 | |
| EP3913603B1 (en) | Communication system | |
| KR20130125055A (ko) | 아이피(IP)주소와 맥(Mac)주소를 사용한 네트워크 정보 제어시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |