JP5929834B2 - 情報設定方法及び無線通信システム - Google Patents

情報設定方法及び無線通信システム Download PDF

Info

Publication number
JP5929834B2
JP5929834B2 JP2013110252A JP2013110252A JP5929834B2 JP 5929834 B2 JP5929834 B2 JP 5929834B2 JP 2013110252 A JP2013110252 A JP 2013110252A JP 2013110252 A JP2013110252 A JP 2013110252A JP 5929834 B2 JP5929834 B2 JP 5929834B2
Authority
JP
Japan
Prior art keywords
information
provisioning
certificate
wireless
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013110252A
Other languages
English (en)
Other versions
JP2014230213A (ja
Inventor
和俊 児玉
和俊 児玉
宏紹 後藤
宏紹 後藤
和紀 宮澤
和紀 宮澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2013110252A priority Critical patent/JP5929834B2/ja
Priority to EP14163656.3A priority patent/EP2806599B1/en
Priority to US14/257,545 priority patent/US9331849B2/en
Priority to CN201410209230.9A priority patent/CN104184719B/zh
Publication of JP2014230213A publication Critical patent/JP2014230213A/ja
Application granted granted Critical
Publication of JP5929834B2 publication Critical patent/JP5929834B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25428Field device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、情報設定方法及び無線通信システムに関する。
近年、プラントや工場等においては、無線フィールド機器と呼ばれる無線通信が可能な現場機器(測定器、操作器)を設置し、無線フィールド機器を制御するための制御信号や無線フィールド機器で得られた測定信号等を、無線ネットワークを介して通信する無線通信システムが実現されている。このような無線通信システムで用いられる通信規格としては、例えばISA100.11aやWirelessHART(登録商標)等の産業用無線通信規格が挙げられる。
ここで、上記の無線フィールド機器等の無線デバイスを無線ネットワークに参入させるには、無線デバイスに対して「プロビジョニング(Provisioning)」と呼ばれる機器情報(ネットワークパラメータ及びセキュリティパラメータ)の設定作業を行う必要がある。この「プロビジョニング」を行う手法は、無線ネットワークを介した無線通信を行って機器情報の設定を行うOTA(Over The Air)プロビジョニングと、無線ネットワークを介した無線通信とは異なる通信手段(例えば、赤外線通信等)による通信を行って機器情報の設定を行うOOB(Out-Of-Band)プロビジョニングとに大別される。
プロビジョニングが行われた無線デバイスは、無線ネットワークへの参入時に、無線通信システムの管理装置に向けて、ジョイン(Join)要求(無線ネットワークへの参入要求)を送信する。ジョイン要求を受信した管理装置は、ジョイン要求に含まれる情報(具体的には、ジョインキー(Join Key))を用いて認証処理を行い、認証に成功した場合にはジョイン要求を送信した無線デバイスの参入を許可し、認証に失敗した場合には参入を拒否する。このようにして、無線ネットワークへの参入処理が行われる。
以下の非特許文献1には、無線ネットワークに参入させる無線フィールド機器に対して上述したOOBプロビジョニングを行うプロビジョニングデバイス(機器パラメータ設定ツール)が開示されている。また、以下の特許文献1には、無線フィールド機器との相互接続性の向上を図ったプロビジョニングデバイスが開示されている。
特開2012−213125号公報
山本周二,他3名,「世界初ISA100.11a準拠無線フィールド機器」,横河技報,Vol.53,No.2,2010
ところで、上述したOOBプロビジョニングは、機器情報(例えば、ジョインキー)の生成及び設定が、同一の機器により行われる第1プロビジョニング法と、異なる機器により行われる第2プロビジョニング法とに大別される。具体的に、第1プロビジョニング法では、ジョインキーの生成及び設定がプロビジョニングデバイスによって行われるのに対し、第2プロビジョニング法では、ジョインキーの生成が無線ネットワークの管理を行う管理装置(マネージャ)によって行われ、生成されたジョインキーの設定がプロビジョニングデバイスによって行われる。
上記の第1プロビジョニング法によってプロビジョニングが行われた場合には、設定されたジョインキーと無線デバイスの識別子(例えば、EUI64アドレス)との関連付けがプロビジョニングデバイスで行われ、この関連付けが行われた情報がマネージャに渡されて設定される。これに対し、上記の第2プロビジョニング法によってプロビジョニングが行われた場合には、無線デバイスの識別子がマネージャに渡され、ジョインキーと無線デバイスの識別子との関連づけがマネージャで行われ、この関連付けが行われた情報がマネージャに設定される。
ここで、上述したプロビジョニングデバイスと無線デバイスとの間では、例えば赤外線通信が行われることによって、上述したジョインキー等の各種情報が送受信される。これに対し、上述したプロビジョニングデバイスとマネージャとの間では、例えばUSB(Universal Serial Bus)メモリ等の記憶媒体を用いて各種情報のやりとりが行われる。このため、プロビジョニングデバイスと無線デバイスとの間、及びプロビジョニングデバイスとマネージャとの間の双方でセキュリティが担保されているとは言えず、例えば悪意のある者によってジョインキーが盗難されてしまう虞がある。ジョインキーが盗難されてしまうと、無線ネットワークへの侵入が可能になるためセキュリティ面での問題がある。
本発明は、上記事情に鑑みてなされたものであり、無線ネットワークに参入するために必要となる情報の盗難を防止することができ、これによりセキュリティを高めることが可能な情報設定方法及び無線通信システムを提供することを目的とする。
上記課題を解決するために、本発明の第1発明に係る情報設定方法は、管理装置(33)によって管理される無線ネットワーク(N1)に無線デバイス(11)を参入させるために必要となる情報の設定を、設定装置(50)を用いて行う情報設定方法であって、前記無線デバイスに格納されている第1証明書(C1)及び識別情報と、前記管理装置に格納されている第2証明書(C2)とを前記設定装置に入力する第1ステップ(S11、S12)と、前記無線デバイスに設定すべき機器情報を、前記第1証明書に含まれる公開鍵を用いて暗号化して前記設定装置から前記無線デバイスに出力する第2ステップ(S14、S15)と、前記機器情報と前記識別情報とを関連付けた前記管理装置に設定すべき管理情報を、前記第2証明書に含まれる公開鍵を用いて暗号化して前記設定装置から前記管理装置に出力する第3ステップ(S17、S19)とを有することを特徴としている。
また、本発明の第1発明に係る情報設定方法は、前記第2,第3ステップが、前記機器情報に含まれる情報のうち、前記設定装置に設けられた操作部の操作によって入力され、或いは前記管理装置から前記設定装置に出力される暗号化指示情報で指示された情報のみを暗号化して出力するステップであることを特徴としている。
また、本発明の第1発明に係る情報設定方法は、前記第2ステップが、前記設定装置が前記機器情報を生成するステップ(S13)を含み、前記第3ステップの後に、前記設定装置が前記第2ステップで生成した前記機器情報を消去する第4ステップ(S18)を有することを特徴としている。
本発明の第2発明に係る情報設定方法は、管理装置(33)によって管理される無線ネットワーク(N1)に無線デバイス(11)を参入させるために必要となる情報の設定を、設定装置(50)を用いて行う情報設定方法であって、前記無線デバイスに格納されている証明書(C1)及び識別情報を前記管理装置に入力する第1ステップ(S41)と、前記無線デバイスに設定すべき機器情報を、前記証明書に含まれる公開鍵を用いて暗号化して前記管理装置から前記設定装置を介して前記無線デバイスに出力する第2ステップ(S43〜S45)と、前記機器情報と前記識別情報とを関連付けた前記管理装置に設定すべき管理情報を、前記管理装置が生成する第3ステップ(S47)とを有することを特徴としている。
本発明の第3発明に係る無線通信システムは、無線ネットワーク(N1)を介した無線通信が可能な無線通信システム(1)において、第1証明書(C1)及び識別情報が格納されていて、前記無線ネットワークに参入可能な無線デバイス(11)と、第2証明書(C2)が格納されていて、前記無線ネットワークの管理を行う管理装置(33)と、前記無線デバイスに格納されている第1証明書及び識別情報と、前記管理装置に格納されている第2証明書とを取得し、前記無線デバイスに設定すべき機器情報を、前記第1証明書に含まれる公開鍵を用いて暗号化して前記無線デバイスに出力するとともに、前記機器情報と前記識別情報とを関連付けた前記管理装置に設定すべき管理情報を、前記第2証明書に含まれる公開鍵を用いて暗号化して前記管理装置に出力する設定装置(50)とを備えることを特徴としている。
本発明の第4発明に係る無線通信システムは、無線ネットワーク(N1)を介した無線通信が可能な無線通信システム(1)において、証明書(C1)及び識別情報が格納されていて、前記無線ネットワークに参入可能な無線デバイス(11)と、前記無線デバイスに格納されている証明書及び識別情報を取得し、前記無線デバイスに設定すべき機器情報を、前記証明書に含まれる公開鍵を用いて暗号化して出力するとともに、前記機器情報と前記識別情報とを関連付けた管理情報を生成する管理装置(33)と、前記管理装置からの前記機器情報を、前記無線デバイスに出力する設定装置(50)とを備えることを特徴としている。
本発明によれば、無線デバイスに設定すべき機器情報が暗号化されて無線デバイス、設定装置、及び管理装置の間で授受されるため、無線ネットワークに参入するために必要となる情報の盗難を防止することができ、これによりセキュリティを高めることが可能であるという効果がある。
本発明の第1実施形態による無線通信システムの全体構成を示すブロック図である。 本発明の第1実施形態で用いられる証明書の発行・格納手順を説明するための図である。 本発明の第1実施形態におけるプロビジョニング時の動作を示すタイミングチャートである。 本発明の第2実施形態におけるプロビジョニング時の動作を示すタイミングチャートである。 本発明の第2実施形態における暗号化指示情報の選択画面の一例を示す図である。 本発明の第3実施形態におけるプロビジョニング時の動作を示すタイミングチャートである。 本発明の第4実施形態におけるプロビジョニング時の動作を示すタイミングチャートである。
以下、図面を参照して本発明の実施形態による情報設定方法及び無線通信システムについて詳細に説明する。
〔第1実施形態〕
図1は、本発明の第1実施形態による無線通信システムの全体構成を示すブロック図である。図1に示す通り、本実施形態の無線通信システム1は、I/Oデバイス10a〜10e、I/Oデバイス11(無線デバイス)、ルーティングデバイス20a,20b、ゲートウェイ30、管理端末装置40、及びプロビジョニングデバイス50(設定装置)を備えており、無線ネットワークN1を介した無線通信が可能である。
図1中の無線ネットワークN1は、無線デバイス10a〜10e、ルーティングデバイス20a,20b、及びゲートウェイ30によって形成され、省電力で低速(通信帯域が狭い)であるという特質を有する無線のネットワークである。また、ゲートウェイ30及び管理端末装置40が接続されるプラントネットワークN2は、広帯域であるという特質を有する無線通信システム1の基幹となる有線のネットワークである。
ここで、I/Oデバイス10a〜10eは、無線ネットワークN1に参入しているI/Oデバイスを示しており、I/Oデバイス11は、これから無線ネットワークN1に参入させようとしているI/Oデバイスを示している。尚、図1に示すI/Oデバイス10a〜10e、I/Oデバイス11、及びルーティングデバイス20a,20bの各々の数は任意である。
I/Oデバイス10a〜10e及びI/Oデバイス11は、例えば流量計や温度センサ等のセンサ機器、流量制御弁や開閉弁等のバルブ機器、ファンやモータ等のアクチュエータ機器、その他のプラントや工場等の現場に設置されるフィールド機器である。これらI/Oデバイス10a〜10e及びI/Oデバイス11は、インダストリアル・オートメーション用無線通信規格であるISA100.11aに準拠した無線通信が可能である。
また、I/Oデバイス10a〜10e及びI/Oデバイス11は、赤外線通信機能を有しており、外部の赤外線通信機器との間で各種情報の送受信が可能である。このため、例えば無線ネットワークN1に参入していないI/Oデバイス11は、プロビジョニングデバイス50との間で赤外線通信を行って、無線ネットワークN1に参入するために必要な機器情報を取得することができる。尚、無線ネットワークN1に参入するために必要な機器情報としては、無線ネットワークN1に割り当てられているネットワークID、参入時に必要となるパスワードに相当するジョインキー(Join Key)等が挙げられる。
また、これらI/Oデバイス10a〜10e及びI/Oデバイス11には、自身が正規のI/Oデバイスであることを示す証明書(図3中の証明書C1:第1証明書)、及び証明書に含まれる公開鍵に対応する秘密鍵がそれぞれ格納されている。これら証明書及び秘密鍵は、無線ネットワークN1に参入するために必要となる上記の機器情報の盗難を防止して、セキュリティを高めるために用いられる。尚、これらI/Oデバイス10a〜10e及びI/Oデバイス11には、各々を識別するための識別情報(具体的には、64ビットの識別情報である「EUI64」)も格納されている。
ルーティングデバイス20a,20bは、I/Oデバイス10a〜10e及びゲートウェイ30との間でISA100.11aに準拠した無線通信を行い、無線ネットワークN1の経路情報やメッセージの伝達を行うとともに、I/Oデバイス10a〜10eとゲートウェイ30との間で送受信されるデータを中継する。これらI/Oデバイス10a〜10e、ルーティングデバイス20a,20b、及びゲートウェイ30が互いに無線接続されることにより、スター・メッシュ状の無線ネットワークN1が形成される。尚、ルーティングデバイス20a,20bに代えて、ルーティングデバイス20a,20bの機能(中継機能)を備えるI/Oデバイスが設けられていても良い。
ゲートウェイ30は、ゲートウェイ部31、システムマネージャ部32、及びセキュリティマネージャ部33(管理装置)を備えており、無線通信システム1で行われる通信の制御を行う。ゲートウェイ部31は、I/Oデバイス10a〜10e等によって形成される無線ネットワークN1と、管理端末装置40が接続されるプラントネットワークN2とを接続し、I/Oデバイス10a〜10e等と管理端末装置40との間で送受信される各種データの中継を行う。このゲートウェイ部31は、上述した無線通信規格ISA100.11aに準拠した無線通信を行う。
システムマネージャ部32は、無線ネットワークN1を介して行われる無線通信の管理及び制御を行う。具体的に、システムマネージャ部32は、無線ネットワークN1の周波数チャネル、通信スケジュール、通信経路等のリソースの管理及び制御を行う。また、システムマネージャ部32は、セキュリティマネージャ部33と協働して、I/Oデバイス11を無線ネットワークN1に参入させる参入処理を行う。
セキュリティマネージャ部33は、システムマネージャ部32の下で、セキュリティの管理を行う。例えば、セキュリティマネージャ部33には、無線ネットワークN1への参入が許可されているI/Oデバイスを示す情報であるプロビジョニング情報(管理情報)が登録されており、セキュリティマネージャ部33は、このプロビジョニング情報を参照して無線ネットワークN1に参入しているI/Oデバイスの管理を行う。尚、システムマネージャ部32は、セキュリティマネージャ部33に登録された上記のリストの内容を参照して上記の参入処理を行う。
また、セキュリティマネージャ部33には、前述したI/Oデバイス10a〜10e及びI/Oデバイス11と同様に、自身が正規のマネージャ(管理装置)であることを示す証明書(図3中の証明書C2:第2証明書)、及び証明書に含まれる公開鍵に対応する秘密鍵がそれぞれ格納されている。これら証明書及び秘密鍵も、無線ネットワークN1に参入するために必要となる上記の機器情報の盗難を防止して、セキュリティを高めるために用いられる。
管理端末装置40は、プラントネットワークN2に接続されており、例えば無線通信システム1の運転員によって操作され、運転員の指示に応じて、I/Oデバイス10a〜10eで測定された測定データの収集やI/Oデバイス10a〜10eに対するパラメータの設定等を行う。また、管理端末装置40は、運転員の指示に応じて、プロビジョニングデバイス50で作成されるプロビジョニング情報を読み込んでゲートウェイ30のセキュリティマネージャ部33に登録する処理も行う。
プロビジョニングデバイス50は、例えば無線ネットワークN1に参入していないI/Oデバイス11の設置を行う作業者によって操作され、I/Oデバイス11に対する各種情報の設定を行う。具体的に、プロビジョニングデバイス50は、無線ネットワークN1にI/Oデバイス11を参入させるために必要となるジョインキー等が含まれる機器情報を作成し、I/Oデバイス11に対するプロビジョニングを行って上記の機器情報をI/Oデバイス11に設定する。
ここで、プロビジョニングデバイス50は、赤外線通信機能、或いはRS−232C等のシリアル通信機能を備えている。このため、プロビジョニングデバイス50は、無線ネットワークN1を介した無線通信とは異なる通信手段(赤外線通信やRS−232C等のシリアル通信)を用いてプロビジョニングを行うOOBプロビジョニングが可能である。また、プロビジョニングデバイス50は、プロビジョニングを行ってI/Oデバイス11に設定したジョインキー等の機器情報と、プロビジョニングを行ったI/Oデバイス11に割り当てられた識別情報とを関連付けたプロビジョニング情報を生成する。
プロビジョニングデバイス50は、上記のOOBプロビジョニングを行う場合には、I/Oデバイス11から取得した証明書に含まれる公開鍵を用いて機器情報を暗号化した上でI/Oデバイス11に送信する。また、プロビジョニングデバイス50は、上記のプロビジョニング情報を生成した場合には、ゲートウェイ30のセキュリティマネージャ部33から取得した証明書に含まれる公開鍵を用いてプロビジョニング情報を暗号化した上で管理端末装置40に出力する。
次に、本実施形態で用いられる証明書について説明する。図2は、本発明の第1実施形態で用いられる証明書の発行・格納手順を説明するための図である。本実施形態では、PKI(Public Key Infrastructure:公開鍵基盤)を用いて、無線ネットワークN1に参入するために必要となる機器情報の盗難を防止することとしている。このため、図2に示す通り、信頼できる認証局CAから発行された証明書が、ゲートウェイ30(セキュリティマネージャ部33)並びにI/Oデバイス10(10a〜10e)及びI/Oデバイス11にそれぞれ格納される。
具体的な証明書の発行・格納手順は以下の通りである。まず、ゲートウェイ30(セキュリティマネージャ部33)を提供するシステムベンダV1、及びI/Oデバイス10,11を提供する機器ベンダV2が、信頼のおける第三者機関である認証局CAに対して、証明書の発行申請をそれぞれ行う。この証明書は、システムベンダV1が提供するゲートウェイ30や機器ベンダV2が提供するI/Oデバイス10,11が、信頼のおける正規な製品であることをそれぞれ証明するものである。
次いで、証明書の発行申請を受けた認証局CAは、申請者であるシステムベンダV1及び機器ベンダV2の確認を何らかの方法により行い、確認が得られた後にシステムベンダV1及び機器ベンダV2に対して証明書をそれぞれ発行する。この証明書は、公開鍵と所有者(システムベンダV1又は機器ベンダV2)を保証する情報とが含まれており、改竄を防ぐための認証局CAの署名が付与された証明書である。尚、証明書の発行とともに、証明書に含まれる公開鍵に対応する秘密鍵も認証局CAから発行される。
続いて、認証局CAから発行された証明書を得たシステムベンダV1は、ゲートウェイ30(セキュリティマネージャ部33)に証明書及び秘密鍵を格納した上で、ゲートウェイ30を販売する。同様に、認証局CAから発行された証明書を得た機器ベンダV2は、I/Oデバイス10,11に証明書及び秘密鍵を格納した上で、I/Oデバイス10,11を販売する。このようにして、証明書及び秘密鍵が格納されたゲートウェイ30及びI/Oデバイス10,11が、システムベンダV1及び機器ベンダV2からそれぞれ提供される。
次に、上記構成における無線通信システム1において、無線ネットワークN1に参入していないI/Oデバイス11を無線ネットワークN1に参入させる場合に行われる動作について説明する。I/Oデバイス11を無線ネットワークN1に参入させるには、まずI/Oデバイス11に対してプロビジョニングを行い、次にプロビジョニングを終えたI/Oデバイス11を無線ネットワークN1に参入させる必要がある。以下、I/Oデバイス11に対してプロビジョニングを行う場合の動作(プロビジョニング時の動作)と、プロビジョニングを終えたI/Oデバイス11を無線ネットワークN1に参入させる場合の動作(ジョイン時の動作)とを順に説明する。
〈プロビジョニング時の動作〉
図3は、本発明の第1実施形態におけるプロビジョニング時の動作を示すタイミングチャートである。まず、プロビジョニングを開始する前に、作業者がゲートウェイ30のセキュリティマネージャ部33に格納された証明書C2を取得し、取得した証明書C2をプロビジョニングデバイス50に入力する作業を行う(ステップS11:第1ステップ)。例えば、証明書C2のコピーが記憶されたUSBメモリを作業者が取得してプロビジョニングデバイス50に装着することにより、証明書C2をプロビジョニングデバイス50に入力する作業を行う。この作業が完了すると、プロビジョニングが開始される。
プロビジョニングが開始されると、まず、プロビジョニングデバイス50の操作部(図示省略)が作業者によって操作されて、I/Oデバイス11に格納された証明書C1を取得する旨の指示がプロビジョニングデバイス50に入力される。すると、プロビジョニングデバイス50とI/Oデバイス11との間で赤外線通信が行われ、I/Oデバイス11に格納された証明書C1及び識別情報(例えば、「EUI64」)がプロビジョニングデバイス50に送信されて入力される(ステップS12:第1ステップ)。
次に、I/Oデバイス11に設定すべきジョインキーがプロビジョニングデバイス50で生成される(ステップS13)。ジョインキーが生成されると、I/Oデバイス11から取得した証明書C1に含まれる公開鍵を用いて、ジョインキーを暗号化する処理がプロビジョニングデバイス50で行われる(ステップS14:第2ステップ)。暗号化が完了すると、プロビジョニングデバイス50とI/Oデバイス11との間で赤外線通信が行われ、暗号化したジョインキーがI/Oデバイス11に送信される(ステップS15:第2ステップ)。
尚、ここでは説明を簡単にするために、プロビジョニングデバイス50からI/Oデバイス11に送信される情報(機器情報)として、上記のジョインキーを代表させているが、ジョインキー以外の情報も送信される。例えば、無線ネットワークN1に割り当てられているネットワークID、I/Oデバイス11に付されるタグ情報(デバイスタグ)、その他の情報が送信される。
プロビジョニングデバイス50からの暗号化されたジョインキーを受信すると、I/Oデバイス11では、自身に格納されている秘密鍵を用いてジョインキーを復号する処理が行われる(ステップS16)。復号されたジョインキーはI/Oデバイス11に設定されて、I/Oデバイス11が無線ネットワークN1に参入する際(後述する「ジョイン時」)に用いられる。
他方、暗号化したジョインキーの送信(ステップS15)が完了したプロビジョニングデバイス50では、プロビジョニング情報を生成して暗号化する処理が行われる(ステップS17:第3ステップ)。具体的には、ステップS12でI/Oデバイス11から取得した識別情報とステップS13で生成したジョインキーとを関連付けたプロビジョニング情報を生成し、このプロビジョニング情報を、ステップS11で入力された証明書C2に含まれる公開鍵を用いて暗号化する処理が行われる。
尚、ここでは説明を簡単にするために、1つのI/Oデバイス11に対してプロビジョンングを行う例について説明している。プロビジョニングを行う必要のあるI/Oデバイス11が複数ある場合には、ステップS12〜S17の処理が、I/Oデバイス11の数だけ繰り返される。このため、プロビジョニングデバイス50では、I/Oデバイス11の数だけプロビジョニング情報が作成される。
以上の処理が終了すると、ステップS17で生成されたプロビジョニング情報(暗号化されたプロビジョニング情報)がプロビジョニングデバイス50から出力されて、管理端末装置40に入力される。例えば、暗号化されたプロビジョニング情報がプロビジョニングデバイス50に装着されたUSBメモリに出力され、このUSBメモリが管理端末装置40に装着されることによって、暗号化されたプロビジョニング情報が管理端末装置40に入力される。尚、暗号化されたプロビジョニング情報を出力すると、ステップS13で生成したジョインキーを消去する処理がプロビジョニングデバイス50で行われる(ステップS18:第4ステップ)。
暗号化されたプロビジョニング情報が管理端末装置40に入力されると、例えば運転員が管理端末装置40を操作して行った指示に基づいて、暗号化されたプロビジョニング情報がプラントネットワークN2を介してゲートウェイ30に送信され、セキュリティマネージャ部33に入力される(ステップS19:第3ステップ)。暗号化されたプロビジョニング情報が入力されると、セキュリティマネージャ部33では、自身に格納されている秘密鍵を用いてプロビジョニング情報を復号する処理が行われる(ステップS20)。復号されたプロビジョニング情報はセキュリティマネージャ部33に設定されて、I/Oデバイス11が無線ネットワークN1に参入する際(後述する「ジョイン時」)に用いられる。これにより、プロビジョニングが完了する。
〈ジョイン時の動作〉
プロビジョニングが完了すると、I/Oデバイス11は、ルーティングデバイス20a,20bから送信される広告を受信し、広告の送信元であるルーティングデバイス20a,20bに向けてジョイン要求(無線ネットワークN1への参入要求)を送信する。このジョイン要求は、ルーティングデバイス20a,20bを介してゲートウェイ30に送信される。
I/Oデバイス11からのジョイン要求を受信すると、ゲートウェイ30のシステムマネージャ部32は、受信したジョイン要求に含まれるジョインキーを用いてI/Oデバイス11の認証処理を行う。具体的には、送信されてきたジョインキーを含むプロビジョニング情報がセキュリティマネージャ部33に設定されているか否かを確認する。そして、システムマネージャ部32は、認証に成功した場合にはジョイン要求を送信したI/Oデバイス11の参入を許可し、認証に失敗した場合にはI/Oデバイス11の参入を拒否する。このようにして、ターゲットネットワークN1への参入処理が行われる。
以上の通り、本実施形態では、プロビジョニングデバイス50が、I/Oデバイス11に格納されている証明書C1及び識別情報と、ゲートウェイ30のセキュリティマネージャ部33に格納されている証明書C2とを取得している。そして、プロビジョニングデバイス50が、証明書C1に含まれる公開鍵を用いてI/Oデバイス11に設定すべき機器情報(ジョインキー)を暗号化してI/Oデバイス11に出力し、証明書C2に含まれる公開鍵を用いて機器情報と識別情報とを関連付けたプロビジョニング情報を暗号化してゲートウェイ30のセキュリティマネージャ部33に出力している。
このため、プロビジョニングデバイス50とI/Oデバイス11との間では、暗号化された機器情報が赤外線通信によって送受信されるため、無線ネットワークN1に参入するために必要となる機器情報の盗難を防止することができる。また、プロビジョニングデバイス50とゲートウェイ30のセキュリティマネージャ部33との間では、暗号化されたプロビジョニング情報がUSBメモリを介して授受され、或いはプラントネットワークN2を介して送受信されるため、プロビジョニング情報に含まれる機器情報の盗難を防止することができる。このように、プロビジョニングデバイス50とI/Oデバイス11との間、及びプロビジョニングデバイス50とゲートウェイ30のセキュリティマネージャ部33との間の双方で機器情報の盗難を防止することができることから、セキュリティを高めることが可能である。
〔第2実施形態〕
次に、本発明の第2実施形態について説明する。本実施形態の無線通信システムの全体構成及び基本的な動作は、図1に示す無線通信システム1と同様である。但し、本実施形態の無線通信システムは、プロビジョニングデバイス50からI/Oデバイス11に送信される機器情報(プロビジョニングデバイス50からセキュリティマネージャ部33に出力されるプロビジョニング情報に含まれる機器情報を含む)を暗号化する範囲を、選択可能である点が図1に示す無線通信システム1とは異なる。
図4は、本発明の第2実施形態におけるプロビジョニング時の動作を示すタイミングチャートである。尚、図4においては、図3に示す処理と同様の処理については同一の符号を付してある。図4に示す通り、プロビジョニングが開始される前には、第1実施形態と同様に、ゲートウェイ30のセキュリティマネージャ部33に格納された証明書C2を取得し、取得した証明書C2をプロビジョニングデバイス50に入力する作業が作業者によって行われる(ステップS11:第1ステップ)。
プロビジョニングが開始されると、まずプロビジョニングデバイス50に暗号化指示情報を入力する作業が作業者によって行われる(ステップS21)。ここで、上記の暗号化指示情報は、プロビジョニングデバイス50がI/Oデバイス11に送信する機器情報(プロビジョニングデバイス50からセキュリティマネージャ部33に出力されるプロビジョニング情報に含まれる機器情報を含む)に含まれる情報のうち、暗号化する情報を指定する情報である。
具体的には、図5に示す選択画面Wがプロビジョニングデバイス50の表示部(図示省略)に表示され、作業者がプロビジョニングデバイス50の操作部(図示省略)を操作して選択画面Wに表示された項目を選択することによって、上記の暗号化指示情報の入力が行われる。図5は、本発明の第2実施形態における暗号化指示情報の選択画面の一例を示す図である。図5に示す通り、選択画面Wには選択可能な項目とチェックボックスとが対応付けられており、作業者がチェックボックス(暗号化する必要のある項目に対応するチェックボックス)にチェックを付すことによって、暗号化指示情報の入力が行われる。
尚、図5に示す例では、選択可能な項目として、前述したジョインキー(Join Key)、デバイスタグ(Device Tag)、及びネットワークID(Network ID)が挙げられている。また、これらに加えて、セキュリティマネージャEUI(Security Manger EUI)、システムマネージャアドレス(System Manager Address)、及びDL Config等が挙げられている。
暗号化指示情報の入力が完了すると、作業者の指示に基づいてプロビジョニングデバイス50とI/Oデバイス11との間で赤外線通信が行われ、I/Oデバイス11に格納された証明書C1及び識別情報がプロビジョニングデバイス50に送信されて入力される(ステップS12:第1ステップ)。そして、第1実施形態と同様に、I/Oデバイス11に設定すべきジョインキーがプロビジョニングデバイス50で生成される(ステップS13)。
ジョインキーが生成されると、I/Oデバイス11から取得した証明書C1に含まれる公開鍵を用いて、I/Oデバイス11に設定すべき機器情報を暗号化する処理がプロビジョニングデバイス50で行われる。但し、ここでは、I/Oデバイス11に設定すべき機器情報のうち、ステップS21で入力された暗号化指示情報で指定される情報のみを暗号化する処理が行われる(ステップS22:第2ステップ)。
暗号化が完了すると、プロビジョニングデバイス50とI/Oデバイス11との間で赤外線通信が行われ、暗号化した機器情報がI/Oデバイス11に送信される(ステップS23:第2ステップ)。尚、プロビジョニングデバイス50からの暗号化された機器情報を受信すると、I/Oデバイス11では、自身に格納されている秘密鍵を用いて機器情報を復号する処理が行われる(ステップS16)。
続いて、プロビジョニングデバイス50とI/Oデバイス11との間で赤外線通信が行われ、I/Oデバイス11に設定すべき機器情報のうち、暗号化しなかった残りの機器情報がI/Oデバイス11に送信される(ステップS24)。この機器情報(暗号化しなかった機器情報)が受信されると、ステップS16で復号した機器情報と合わせてI/Oデバイス11に設定される。
他方、機器情報の送信(ステップS23,S24)が完了したプロビジョニングデバイス50では、プロビジョニング情報を生成して暗号化する処理が行われる。具体的には、ステップS12でI/Oデバイス11から取得した識別情報と、ステップS13で生成したジョインキーを含む機器情報とを関連付けたプロビジョニング情報を生成し、このプロビジョニング情報を、ステップS11で入力された証明書C2に含まれる公開鍵を用いて暗号化する処理が行われる。
但し、ここでは、プロビジョニング情報に含まれる機器情報のうち、ステップS21で入力された暗号化指示情報で指定される情報のみを暗号化する処理が行われる(ステップS25:第3ステップ)。尚、第1実施形態と同様に、プロビジョニングを行う必要のあるI/Oデバイス11が複数ある場合には、ステップS12,S13,S16,S22〜S25の処理が、I/Oデバイス11の数だけ繰り返される。
以上の処理が終了すると、ステップS25で生成されたプロビジョニング情報(暗号化指示情報に基づいて暗号化されたプロビジョニング情報)がプロビジョニングデバイス50から出力され、第1実施形態と同様に管理端末装置40に入力される(ステップS19:第3ステップ)。尚、暗号化されたプロビジョニング情報を出力すると、ステップS13で生成したジョインキーを消去する処理がプロビジョニングデバイス50で行われる(ステップS18:第4ステップ)。また、暗号化されたプロビジョニング情報が入力されると、セキュリティマネージャ部33では、自身に格納されている秘密鍵を用いてプロビジョニング情報を復号する処理が行われる(ステップS20)。これによりプロビジョニング情報がセキュリティマネージャ部33に設定される。
以上の通り、本実施形態においても、第1実施形態と同様に、プロビジョニングデバイス50が、証明書C1に含まれる公開鍵を用いてI/Oデバイス11に設定すべき機器情報(ジョインキー)を暗号化してI/Oデバイス11に出力し、証明書C2に含まれる公開鍵を用いて機器情報と識別情報とを関連付けたプロビジョニング情報を暗号化してゲートウェイ30のセキュリティマネージャ部33に出力している。このため、プロビジョニングデバイス50とI/Oデバイス11との間、及びプロビジョニングデバイス50とゲートウェイ30のセキュリティマネージャ部33との間の双方で機器情報の盗難を防止することができることから、セキュリティを高めることが可能である。
また、本実施形態では、作業者がプロビジョニングデバイス50を操作して、I/Oデバイス11に送信する機器情報(プロビジョニングデバイス50からセキュリティマネージャ部33に出力されるプロビジョニング情報に含まれる機器情報を含む)に含まれる情報のうち、暗号化する情報を指定することが可能である。このため、プラント管理者によって規定されるセキュリティポリシーや、各プラント或いは各フィールド機器に要求されるセキュリティレベルに合わせて、暗号化する情報を自由に選択することができる。
〔第3実施形態〕
次に、本発明の第3実施形態について説明する。本実施形態の無線通信システムの全体構成及び基本的な動作は、第1,第2実施形態の無線通信システムと同様である。また、本実施形態の無線通信システムは、第2実施形態の無線通信システムと同様に、機器情報(プロビジョニング情報に含まれる機器情報を含む)を暗号化する範囲が選択可能である。但し、本実施形態の無線通信システムは、暗号化する範囲がセキュリティマネージャ部33からの暗号化指示情報に基づいて規定される点が第2実施形態とは異なる。
図6は、本発明の第3実施形態におけるプロビジョニング時の動作を示すタイミングチャートである。尚、図6においては、図4に示す処理と同様の処理については同一の符号を付してある。図6に示す通り、本実施形態においては、図4中の暗号化指示情報の入力処理(ステップS21)に代えて、セキュリティマネージャ部33からプロビジョニングデバイス50に対して暗号化指示情報を出力する処理(ステップS31)が設けられている。
つまり、本実施形態では、例えばプラント管理者の指示によって作成された暗号化指示情報がセキュリティマネージャ部33から出力され、例えば証明書C2と同様にUSBメモリ等を介してプロビジョニングデバイス50に入力される。そして、ステップS22では、セキュリティマネージャ部33からの暗号化指示情報に基づいて機器情報が暗号化され、ステップS25では、セキュリティマネージャ部33からの暗号化指示情報に基づいて暗号化された機器情報を用いてプロビジョニング情報が生成される。
以上の通り、本実施形態においても、第1,第2実施形態と同様に、プロビジョニングデバイス50とI/Oデバイス11との間、及びプロビジョニングデバイス50とゲートウェイ30のセキュリティマネージャ部33との間の双方で機器情報の盗難を防止することができることから、セキュリティを高めることが可能である。また、本実施形態では、セキュリティマネージャ部33からの暗号化指示情報に基づいて、機器情報(プロビジョニング情報に含まれる機器情報を含む)に含まれる情報を暗号化するようにしている。このため、プロビジョニングデバイス50を操作する作業者が、プラント管理者によって規定されるセキュリティポリシーや、各プラント或いは各フィールド機器に要求されるセキュリティレベルを知らなくとも、これらセキュリティポリシーやセキュリティレベルに合わせた適切な暗号化を行うことができる。
〔第4実施形態〕
次に、本発明の第4実施形態について説明する。本実施形態の無線通信システムの全体構成及び基本的な動作は、第1〜第3実施形態の無線通信システムと同様である。但し、本実施形態の無線通信システムは、I/Oデバイス11に設定すべきジョインキーを含む機器情報が、セキュリティマネージャ部33によって生成される点が第1〜第3実施形態とは異なる。
図7は、本発明の第4実施形態におけるプロビジョニング時の動作を示すタイミングチャートである。まず、本実施形態では、プロビジョニングを開始する前に、I/Oデバイス11に格納された証明書C1及び識別情報を、ゲートウェイ30のセキュリティマネージャ部33に入力する作業が行われる(ステップS41:第1ステップ)。
例えば、プロビジョニングデバイス50を操作してI/Oデバイス11に格納された証明書C1及び識別情報を赤外線通信により取得し、USBメモリ等を用いて管理端末装置40に入力する作業が作業者によって行われる。管理端末装置40に入力された証明書C1及び識別情報は、例えば、運転員の指示に基づいて、プラントネットワークN2を介してゲートウェイ30のセキュリティマネージャ部33に送信されて入力される。尚、I/Oデバイス11に格納されている証明書C1及び識別情報が、プラント管理者によって管理される情報(例えば、プラントの設計情報)に含まれている場合には、プラント管理者が管理端末装置40を操作して、これらの情報をセキュリティマネージャ部33に入力しても良い。
次に、I/Oデバイス11に設定すべきジョインキーを含む機器情報がセキュリティマネージャ部33で生成される(ステップS42)。ジョインキーを含む機器情報が生成されると、ステップS41で入力された証明書C1に含まれる公開鍵を用いて、ジョインキーを暗号化する処理がセキュリティマネージャ部33で行われる(ステップS43:第2ステップ)。暗号化が完了すると、暗号化された機器情報がセキュリティマネージャ部33から出力されて、プラントネットワークN2を介して管理端末装置40に入力される。
暗号化された機器情報が管理端末装置40に入力されると、例えば管理端末装置40に装着されたUSBメモリに出力され、このUSBメモリがプロビジョニングデバイス50に装着されることによって、暗号化された機器情報がプロビジョニングデバイス50に入力される(ステップS44:第2ステップ)。暗号化された機器情報がプロビジョニングデバイス50に入力されると、作業者の指示に基づいてプロビジョニングデバイス50とI/Oデバイス11との間で赤外線通信が行われ、暗号化された器情報がI/Oデバイス11に送信される(ステップS45:第2ステップ)。
プロビジョニングデバイス50からの暗号化された機器情報を受信すると、I/Oデバイス11では、自身に格納されている秘密鍵を用いてジョインキーを復号する処理が行われ(ステップS46)、復号された機器情報がI/Oデバイス11に設定される。他方、セキュリティマネージャ部33では、ステップS41で入力されたI/Oデバイス11の識別情報とステップS42で生成したジョインキーを含む機器情報とを関連付けたプロビジョニング情報を生成し、このプロビジョニング情報を自身に設定する処理が行われる(ステップS47:第3ステップ)。
以上の通り、本実施形態では、ゲートウェイ30のセキュリティマネージャ部33が、I/Oデバイス11に格納されている証明書C1及び識別情報を取得している。そして、I/Oデバイス11に設定すべき機器情報(ジョインキー)を生成し、生成した機器情報を、証明書C1に含まれる公開鍵を用いて暗号化してI/Oデバイス11に出力するとともに、機器情報と識別情報とを関連付けたプロビジョニング情報を生成している。
このため、ゲートウェイ30のセキュリティマネージャ部33、プロビジョニングデバイス50、及びI/Oデバイス11の間では、暗号化された機器情報がプラントネットワークN2を介して送受信され、USBメモリを介して授受され、或いは赤外線通信によって送受信されるため、機器情報の盗難を防止することができる。また、プロビジョニング情報は、セキュリティマネージャ部33内で生成されて外部に出力されることはないため、プロビジョニング情報が盗難されることはない。これにより、本実施形態においても、セキュリティを高めることが可能である。
以上、本発明の実施形態による情報設定方法及び無線通信システムについて説明したが、本発明は上述した実施形態に制限されることなく、本発明の範囲内で自由に変更が可能である。例えば、上記第4実施形態では、セキュリティマネージャ部33から出力される機器情報の全てを暗号化する例について説明したが、第2,第3実施形態と同様に、暗号化指示情報に基づいて機器情報の暗号化を行っても良い。
また、上記実施形態では、ゲートウェイ部31、システムマネージャ部32、及びセキュリティマネージャ部33がゲートウェイ30に設けられている態様について説明した。しかしながら、ゲートウェイ部31、システムマネージャ部32、及びセキュリティマネージャ部33の機能は、それぞれ別の装置として実現されていても良い。更には、I/Oデバイス10a〜10e及びルーティングデバイス20a,20bと無線通信を行う機能をゲートウェイ部31から切り離して無線アクセスポイント装置として実現しても良い。
また、上記実施形態では、ISA100.11aに準拠した無線通信を行う無線通信システムを例に挙げて説明したが、本発明はWirelessHART(登録商標)に準拠した無線通信を行う無線通信システムにも適用することができる。
1 無線通信システム
11 I/Oデバイス
33 セキュリティマネージャ部
50 プロビジョニングデバイス
C1,C2 証明書
N1 無線ネットワーク

Claims (3)

  1. 管理装置によって管理される無線ネットワークに無線デバイスを参入させるために必要な前記管理装置及び前記無線デバイスに対する情報の設定を、設定装置を用いて行う情報設定方法であって、
    前記設定装置が、前記無線デバイスに格納されている第1証明書及び識別情報を取得する第1ステップと、
    前記設定装置が、前記無線デバイスに設定すべき機器情報を、前記第1証明書に含まれる公開鍵を用いて暗号化して前記無線デバイスに出力する第2ステップと、
    前記設定装置が、前記機器情報と前記識別情報とを関連付けた前記管理装置に設定すべき管理情報を、前記管理装置から得られた第2証明書に含まれる公開鍵を用いて暗号化して前記管理装置に出力する第3ステップと
    を有し、
    前記第2,第3ステップは、前記機器情報に含まれる情報のうち、前記設定装置に設けられた操作部の操作によって入力され、或いは前記管理装置から前記設定装置に出力される暗号化指示情報で指示された情報のみを暗号化して出力するステップである
    ことを特徴とする情報設定方法。
  2. 前記第2ステップは、前記設定装置が前記機器情報を生成するステップを含み、
    前記第3ステップの後に、前記設定装置が前記第2ステップで生成した前記機器情報を消去する第4ステップを有する
    ことを特徴とする請求項1記載の情報設定方法。
  3. 無線ネットワークを介した無線通信が可能な無線通信システムにおいて、
    第1証明書及び識別情報が格納されていて、前記無線ネットワークに参入可能な無線デバイスと、
    第2証明書が格納されていて、前記無線ネットワークの管理を行う管理装置と、
    前記無線デバイスに格納されている第1証明書及び識別情報と、前記管理装置に格納されている第2証明書とを取得し、前記無線デバイスに設定すべき機器情報を、前記第1証明書に含まれる公開鍵を用いて暗号化して前記無線デバイスに出力するとともに、前記機器情報と前記識別情報とを関連付けた前記管理装置に設定すべき管理情報を、前記第2証明書に含まれる公開鍵を用いて暗号化して前記管理装置に出力する設定装置と
    を備え
    前記設定装置は、前記機器情報に含まれる情報のうち、前記設定装置に設けられた操作部の操作によって入力され、或いは前記管理装置から前記設定装置に出力される暗号化指示情報で指示された情報のみを暗号化して出力する
    ことを特徴とする無線通信システム。
JP2013110252A 2013-05-24 2013-05-24 情報設定方法及び無線通信システム Active JP5929834B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2013110252A JP5929834B2 (ja) 2013-05-24 2013-05-24 情報設定方法及び無線通信システム
EP14163656.3A EP2806599B1 (en) 2013-05-24 2014-04-07 Information setting method and wireless communication system
US14/257,545 US9331849B2 (en) 2013-05-24 2014-04-21 Information setting method and wireless communication system
CN201410209230.9A CN104184719B (zh) 2013-05-24 2014-05-16 信息设定方法及无线通信系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013110252A JP5929834B2 (ja) 2013-05-24 2013-05-24 情報設定方法及び無線通信システム

Publications (2)

Publication Number Publication Date
JP2014230213A JP2014230213A (ja) 2014-12-08
JP5929834B2 true JP5929834B2 (ja) 2016-06-08

Family

ID=50478226

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013110252A Active JP5929834B2 (ja) 2013-05-24 2013-05-24 情報設定方法及び無線通信システム

Country Status (4)

Country Link
US (1) US9331849B2 (ja)
EP (1) EP2806599B1 (ja)
JP (1) JP5929834B2 (ja)
CN (1) CN104184719B (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106105142B (zh) * 2014-06-24 2017-12-15 谷歌公司 网状网络调试
JP6388038B2 (ja) 2015-02-03 2018-09-12 日本電気株式会社 仮想ネットワークシステム、仮想ネットワーク制御方法、統合制御装置、制御装置およびその制御方法と制御プログラム
EP3751875A1 (en) 2015-04-02 2020-12-16 Google LLC Efficient network stack for wireless application protocols
JP6419660B2 (ja) * 2015-07-29 2018-11-07 株式会社日立製作所 秘密情報設定方法、秘密情報設定システム、および秘密情報設定装置
JP6775928B2 (ja) * 2015-08-27 2020-10-28 横河電機株式会社 無線中継機器、制御装置、無線通信システム、及び参入方法
JP7035481B2 (ja) * 2017-11-22 2022-03-15 横河電機株式会社 設定システム、設定装置、設定方法、プログラム及び記録媒体
US11943731B2 (en) * 2018-09-14 2024-03-26 Telefonaktiebolaget Lm Ericsson (Publ) Registration of legacy fixed network residential gateway (FN-RG) to a 5G core network
DE102020111019A1 (de) * 2020-04-22 2021-10-28 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren zur Überprüfung der Authentizität von elektronischen Moduleneines modular aufgebauten Feldgeräts der Automatisierungstechnik

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100648064B1 (ko) * 2004-01-14 2006-11-23 주식회사 케이티프리텔 인증용 무선 단말기 및 이를 이용한 전자 거래 시스템 및그 방법
CN101170554B (zh) * 2007-09-04 2012-07-04 萨摩亚商·繁星科技有限公司 资讯安全传递系统
JP5468557B2 (ja) * 2008-02-27 2014-04-09 フィッシャー−ローズマウント システムズ インコーポレイテッド 無線デバイスの加入キー供給
JP4733167B2 (ja) * 2008-08-20 2011-07-27 フェリカネットワークス株式会社 情報処理装置、情報処理方法、情報処理プログラムおよび情報処理システム
EP2430503B1 (en) * 2009-05-15 2017-11-22 Fisher-Rosemount Systems, Inc. Method of evaluating a potential location to add a wireless field device to an existing network
JP5041257B2 (ja) * 2010-04-22 2012-10-03 横河電機株式会社 フィールド通信システムおよびフィールド通信方法
JP5799240B2 (ja) * 2010-07-27 2015-10-21 パナソニックIpマネジメント株式会社 暗号通信システム、端末装置
JP5170585B2 (ja) * 2010-08-09 2013-03-27 横河電機株式会社 プロビジョニング装置
JP5218867B2 (ja) 2011-03-31 2013-06-26 横河電機株式会社 プロビジョニングデバイス、およびプロビジョニングネットワークにおけるネットワークパラメータの設定方法
US9130837B2 (en) * 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner

Also Published As

Publication number Publication date
EP2806599B1 (en) 2017-08-09
CN104184719B (zh) 2018-01-30
US9331849B2 (en) 2016-05-03
JP2014230213A (ja) 2014-12-08
US20140351591A1 (en) 2014-11-27
CN104184719A (zh) 2014-12-03
EP2806599A1 (en) 2014-11-26

Similar Documents

Publication Publication Date Title
JP5929834B2 (ja) 情報設定方法及び無線通信システム
US11240222B2 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
US20190044957A1 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
CN101873588B (zh) 一种业务应用安全实现方法及系统
US9307405B2 (en) Method for assigning an agent device from a first device registry to a second device registry
US8837740B2 (en) Device and method for securing a negotiation of at least one cryptographic key between units
JP5533924B2 (ja) 無線通信システム
EP2899666B1 (en) Policy-based secure communication with automatic key management for industrial control and automation systems
JP6273155B2 (ja) 情報設定装置、情報設定方法、情報設定プログラム、記録媒体、及び無線通信システム
CN103999496B (zh) 用于将安全模块的控制从第一实体转移到第二实体的方法
CN105684483A (zh) 注册表装置、代理设备、应用提供装置以及相应的方法
EP2549784B1 (en) Wireless communication apparatus and method of preventing leakage of a cryptographic key
KR20100071209A (ko) 디바이스 태그 기반의 디바이스 인증 장치 및 방법
CN113613227B (zh) 蓝牙设备的数据传输方法和装置、存储介质及电子装置
US20170295488A1 (en) Method for generating a key and method for secure communication between a household appliance and an appliance
US20190349348A1 (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
CN117119012A (zh) 城市生命线数据处理方法及设备
KR101398033B1 (ko) 단문메시지를 이용한 원격제어시스템 및 방법
TW201318462A (zh) 應用於無線網路之連線方法以及應用其之無線網路裝置以及無線網路存取點
JP2019190111A (ja) 鍵情報生成システム及び鍵情報生成方法
JP2017046347A (ja) 認証システムおよび認証方法
JP6895489B2 (ja) 鍵情報生成システム及び鍵情報生成方法
KR20110080016A (ko) 이동통신 단말기의 스마트카드 정보를 이용한 무선랜의 상호 인증 방법과 그 시스템
CA2871392A1 (en) Policy- based secure communication with automatic key management for industrial control and automation systems

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150707

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20151201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160125

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20160202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160405

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160418

R150 Certificate of patent or registration of utility model

Ref document number: 5929834

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150