JP6702347B2 - プロビジョニングシステム、プロビジョニング方法、プロビジョニングプログラム、およびネットワークデバイス - Google Patents

プロビジョニングシステム、プロビジョニング方法、プロビジョニングプログラム、およびネットワークデバイス Download PDF

Info

Publication number
JP6702347B2
JP6702347B2 JP2018033316A JP2018033316A JP6702347B2 JP 6702347 B2 JP6702347 B2 JP 6702347B2 JP 2018033316 A JP2018033316 A JP 2018033316A JP 2018033316 A JP2018033316 A JP 2018033316A JP 6702347 B2 JP6702347 B2 JP 6702347B2
Authority
JP
Japan
Prior art keywords
delivery
identification information
network device
target network
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018033316A
Other languages
English (en)
Other versions
JP2019148991A (ja
Inventor
研児 鳥越
研児 鳥越
圭介 澤田
圭介 澤田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Priority to JP2018033316A priority Critical patent/JP6702347B2/ja
Priority to EP19710807.9A priority patent/EP3759666A1/en
Priority to CN201980015286.1A priority patent/CN111771217A/zh
Priority to PCT/JP2019/006076 priority patent/WO2019167720A1/en
Publication of JP2019148991A publication Critical patent/JP2019148991A/ja
Application granted granted Critical
Publication of JP6702347B2 publication Critical patent/JP6702347B2/ja
Priority to US16/992,147 priority patent/US20200374276A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/08Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
    • G06Q10/083Shipping
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/08Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
    • G06Q10/087Inventory or stock management, e.g. order filling, procurement or balancing against orders
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • G06Q30/0185Product, service or business identity fraud
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/04Manufacturing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/75Information technology; Communication
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Description

本発明は、プロビジョニングシステム、プロビジョニング方法、プロビジョニングプログラム、およびネットワークデバイスに関する。
従来、プラント等は、プラントの各部に設置したセンサおよびアクチュエータ等のフィールド機器と、これらを制御する制御装置とを備える分散制御システム(DCS:Distributed Control System)により制御されている。また、工業分野以外の様々な分野においても、多数のセンサ等を分散配置して測定・監視等を行うシステムが用いられている。近年、モノのインターネット(IoT)および産業用IoT(IIoT)が注目されており、上記のようなシステムのクラウド化が進められている。
特許文献1は、工業アプリケーションにおけるクラウドコンピューティングの使用に関連するシステムおよび方法を開示する。特許文献2は、システム開発環境をクラウドコンピューティング環境によりサービスとして提供する仕組みにおいて、営業活動として、ユーザの開発状況に応じて適切な商材を適切なタイミングで提供することを支援するアプリケーション開発営業システムを開示する。
特許文献1 特表2012−523038号公報
特許文献2 特許第5792891号公報
IoTまたはIIoTを導入したシステムでは、フィールド機器またはセンサ等の多数の機器がネットワークに接続され、インターネット上のクラウドコンピュータ、及び/又はローカルネットワーク上のフォグコンピュータによって制御される。従来、このような多数の機器を購入し、ネットワークに接続し、設定をして、クラウドコンピュータ等に認識させる作業は負担が大きく、セキュリティの確保も不十分であった。
上記課題を解決するために、本発明の第1の態様においては、プロビジョニングシステムを提供する。プロビジョニングシステムは、納入先でネットワークに接続される納入対象ネットワークデバイスの納入前に、納入対象ネットワークデバイスに固有のデバイス識別情報を決定する識別情報決定部を備えてよい。プロビジョニングシステムは、納入前に、納入先でネットワークに接続された納入対象ネットワークデバイスを認証するためのデバイス認証情報を生成する認証情報生成部を備えてよい。プロビジョニングシステムは、納入前に、デバイス識別情報を納入対象ネットワークデバイスの設定装置へと送信して、納入先で納入対象ネットワークデバイスの本体または付属品からデバイス識別情報を取得可能に設定させる識別情報送信部を備えてよい。プロビジョニングシステムは、納入前に、デバイス認証情報を設定装置へと送信して、納入対象ネットワークデバイスの記憶領域に記憶させる認証情報送信部を備えてよい。
プロビジョニングシステムは、納入前に、デバイス識別情報をコーディングした、納入対象ネットワークデバイスの本体または付属品上に貼付または印刷されるべきコードを生成するコード生成部を更に備えてよい。識別情報送信部は、デバイス識別情報をコーディングしたコードを設定装置へと送信してよい。
プロビジョニングシステムは、認証情報送信部は、デバイス認証情報を含むファイルを設定装置へと送信してよい。
プロビジョニングシステムは、納入前に、納入対象ネットワークデバイスを設定する設定者のログインを第1端末から受け付ける設定者ログイン処理部を更に備えてよい。識別情報送信部および認証情報送信部は、設定者のログイン中に、デバイス識別情報およびデバイス認証情報を第1端末へと送信してよい。
プロビジョニングシステムは、納入先でネットワークに接続された納入対象ネットワークデバイスを、デバイス認証情報を用いて認証するデバイス認証部を更に備えてよい。
プロビジョニングシステムは、納入対象ネットワークデバイスが正しく認証されたことに応じて、納入対象ネットワークデバイスに対して、複数のネットワークデバイスを接続したネットワークシステムを構築するサービスに接続するための暗号鍵を送信する暗号鍵送信部を更に備えてよい。
プロビジョニングシステムは、納入先で使用される第2端末が納入対象ネットワークデバイスの本体または付属品から取得したデバイス識別情報を受信する識別情報受信部を備えてよい。プロビジョニングシステムは、受信されたデバイス識別情報が割り当てられた納入対象ネットワークデバイスをアクティベーションするアクティベーション処理部を備えてよい。
プロビジョニングシステムは、第2端末から、納入先のテナントのログインを受け付けるテナントログイン処理部を更に備えてよい。識別情報受信部は、テナントのログイン中に第2端末が取得したデバイス識別情報を受信してよい。アクティベーション処理部は、テナントのログイン中に、デバイス識別情報が割り当てられた納入対象ネットワークデバイスを、テナントのネットワークデバイスとしてアクティベーションしてよい。
本発明の第2の態様においては、プロビジョニング方法を提供する。プロビジョニング方法においては、コンピュータが、納入先でネットワークに接続される納入対象ネットワークデバイスの納入前に、納入対象ネットワークデバイスに固有のデバイス識別情報を決定してよい。プロビジョニング方法においては、コンピュータが、納入前に、納入先でネットワークに接続された納入対象ネットワークデバイスを認証するためのデバイス認証情報を生成してよい。プロビジョニング方法においては、コンピュータが、納入前に、デバイス識別情報を納入対象ネットワークデバイスの設定装置へと送信して、納入先で納入対象ネットワークデバイスの本体または付属品からデバイス識別情報を取得可能に設定させてよい。プロビジョニング方法においては、コンピュータが、納入前に、デバイス認証情報を設定装置へと送信して、納入対象ネットワークデバイスの記憶領域に記憶させてよい。
本発明の第3の態様においては、プロビジョニングプログラムを提供する。プロビジョニングプログラムは、コンピュータにより実行され、コンピュータを、納入先でネットワークに接続される納入対象ネットワークデバイスの納入前に、納入対象ネットワークデバイスに固有のデバイス識別情報を決定する識別情報決定部として機能させてよい。プロビジョニングプログラムは、コンピュータを、納入前に、納入先でネットワークに接続された納入対象ネットワークデバイスを認証するためのデバイス認証情報を生成する認証情報生成部として機能させてよい。プロビジョニングプログラムは、コンピュータを、納入前に、デバイス識別情報を納入対象ネットワークデバイスの設定装置へと送信して、納入先で納入対象ネットワークデバイスの本体または付属品からデバイス識別情報を取得可能に設定させる識別情報送信部として機能させてよい。プロビジョニングプログラムは、コンピュータを、納入前に、デバイス認証情報を設定装置へと送信して、納入対象ネットワークデバイスの記憶領域に記憶させる認証情報送信部として機能させてよい。
本発明の第4の態様においては、ネットワークデバイスを提供する。ネットワークデバイスは、ネットワークデバイスの本体または付属品に設けられ、ネットワークデバイスのデバイス識別情報を端末が取得可能に提供するデバイス識別情報提供部を備えてよい。ネットワークデバイスは、ネットワークに接続されたネットワークデバイスを認証するためのデバイス認証情報を、ネットワークデバイスの納入前に格納するためのデバイス認証情報記憶部を備えてよい。ネットワークデバイスは、ネットワークデバイスがネットワークに接続されたことに応じて、デバイス認証情報を用いて、ネットワークデバイスをネットワークに接続されたシステムにより認証させるデバイス認証処理部を備えてよい。ネットワークデバイスは、ネットワークデバイスを認証したシステムから、複数のネットワークデバイスを接続したネットワークシステムを構築するサービスにアクセスするための暗号鍵を受信する暗号鍵受信部を備えてよい。ネットワークデバイスは、暗号鍵を記憶する暗号鍵記憶部を備えてよい。
ネットワークデバイスは、暗号鍵を用いて、サービスを提供するサービス提供システムに接続するサービス接続処理部を更に備えてよい。
ネットワークデバイスは、ネットワークに接続可能なセンサ装置または少なくとも1つのセンサをネットワークに接続するセンサゲートウェイ装置であってよい。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。
本実施形態に係るデバイスプロビジョニング環境10を示す。 本実施形態に係るネットワークデバイス100の一例であるセンサ装置200を示す。 本実施形態に係るネットワークデバイス100の一例であるセンサゲートウェイ装置300を示す。 本実施形態に係るプロビジョニングシステム120および端末130の構成を示す。 本実施形態に係るプロビジョニングシステム120および端末130の処理フローを示す。 本実施形態に係るプロビジョニングシステム140および端末150の構成を示す。 本実施形態に係る端末150、ネットワークデバイス100、プロビジョニングシステム140、および基盤システム160の処理フローを示す。 本実施形態に係る基盤システム160の構成を示す。 本実施形態に係る基盤システム160の処理フローを示す。 本実施形態に係るコンピュータ2200の構成の一例を示す。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、本実施形態に係るデバイスプロビジョニング環境10を示す。本実施形態において、デバイスプロビジョニング環境10は、ネットワークデバイス100に対して出荷前の設定をするプロビジョニングシステム120と、ネットワークデバイス100に対して設置時の設定をするプロビジョニングシステム140とを備え、クラウドコンピュータまたはフォグコンピュータ等(以下「クラウドコンピュータ等」と示す。)である基盤システム160にネットワークデバイス100を簡単かつセキュアに接続可能とする。
デバイスプロビジョニング環境10は、ネットワークデバイス100に対して出荷前の設定・準備をするためのプロビジョニングシステム120、ネットワーク125、端末130、およびプリンタ135と、ユーザへと届けられたネットワークデバイス100に対して設置時の設定をするためのプロビジョニングシステム140および端末150と、1または複数のネットワークデバイス100の監視・制御等を行うクラウドコンピューティングシステムまたはフォグコンピューティングシステム(以下「クラウドコンピューティングシステム等」と示す。)を構築するための基盤システム160および端末165とを備える。
ネットワークデバイス100は、インターネット、ワイドエリアネットワーク、ローカルエリアネットワーク、及び/又は携帯回線網等のネットワーク145に接続可能なフィールド機器若しくはセンサ等、または、このような機器とネットワーク145との間に設けられるゲートウェイ若しくはハブ等である。ネットワークデバイス100は、プロビジョニングシステム120により提供される、納入対象ネットワークデバイス100に固有のデバイス識別情報を含むコードを印刷したコードラベル102と、デバイス識別情報を記憶するための識別情報記憶領域104と、プロビジョニングシステム120により提供される、納入先でネットワーク145に接続された納入対象ネットワークデバイス100を認証するためのデバイス認証情報を記憶するための認証情報記憶領域106と、納入対象ネットワークデバイス100が基盤システム160に接続するための暗号鍵を記憶するための暗号鍵記憶領域108とを備える。
プロビジョニングシステム120は、納入先でネットワーク125に接続される納入対象ネットワークデバイス100の納入前に、納入対象ネットワークデバイス100を予め設定しておくことにより、納入対象ネットワークデバイス100を簡単かつセキュアに基盤システム160に接続可能とするプロビジョニングサービスを提供するためのコンピュータシステムである。プロビジョニングシステム120は、このプロビジョニングサービスを提供するサービス業者によって運用される。プロビジョニングシステム120は、クラウドコンピューティングシステム等であってよく、1または複数のサーバコンピュータ等によって実現されてよい。本実施形態において、このサービス業者は、ネットワークデバイス100の製造者または販売者等のプロバイダ(またはベンダ)とは別である。これに代えて、このサービス業者は、ネットワークデバイス100のプロバイダと同一であってもよい。また、このサービス業者は、基盤システム160によるサービスを提供するサービス業者と同一であってもよく、異なっていてもよい。なお、本実施形態に係る基盤システム160は、複数のプロバイダが各々製造・販売するネットワークデバイス100についてプロビジョニングサービスを提供するべく、各々のプロバイダに対して固有のアカウントを設ける。
プロビジョニングシステム120は、納入先でネットワーク145に接続される納入対象のネットワークデバイス100のプロバイダの端末130からの要求に応じて、納入対象ネットワークデバイス100の納入前に、基盤システム160が納入対象ネットワークデバイス100を識別可能な固有のデバイス識別情報、納入先でネットワークに接続された納入対象ネットワークデバイス100を認証するためのデバイス認証情報、およびその他の必要な情報を納入対象ネットワークデバイス100に設定するサービスを提供する。
ネットワーク125は、プロビジョニングシステム120および端末130の間を有線または無線により接続する。ネットワーク125は、インターネット、ワイドエリアネットワーク、またはローカルエリアネットワーク等であってよく、携帯回線網を含んでもよい。
端末130は、納入対象ネットワークデバイス100のプロバイダが使用する端末であり、納入対象ネットワークデバイス100の設定装置として機能する。端末130は、PC(パーソナルコンピュータ)、タブレット型コンピュータ、スマートフォン、ワークステーション、サーバコンピュータ、または汎用コンピュータ等のコンピュータであってよく、複数のコンピュータが接続されたコンピュータシステムであってもよい。端末130は、プロビジョニングシステム120が提供するプロビジョニングサービスを利用するために用いられ、プロビジョニングシステム120により提供されるデバイス識別情報およびデバイス認証情報を納入対象ネットワークデバイス100の識別情報記憶領域104および認証情報記憶領域106に設定する。
プリンタ135は、有線または無線により端末130に接続され、端末130からの指示に応じてデバイス識別情報を含むコードを例えばシール等に印刷する。本実施形態において、印刷されたコードを含むコードラベル102は、納入対象ネットワークデバイス100に貼付される。
プロビジョニングシステム140は、ネットワークデバイス100を簡単かつセキュアに基盤システム160に接続するプロビジョニングサービスを提供するサービス業者が有するコンピュータシステムである。プロビジョニングシステム140は、クラウドコンピューティングシステム等であってよく、1または複数のサーバコンピュータ等によって実現されてよい。本実施形態において、プロビジョニングシステム120によるサービスを提供するサービス業者(出荷プロビジョニングサービスのサービス業者)と、プロビジョニングシステム140によるサービスを提供するサービス業者(設置プロビジョニングサービスのサービス業者)とは、同一であり、ネットワークデバイス100のプロバイダとは異なる。これに代えて、これらのサービス業者とネットワークデバイス100のプロバイダとは同一であってよく、出荷プロビジョニングサービスのサービス業者と設置プロビジョニングサービスのサービス業者とが異なってもよい。なお、本実施形態に係るプロビジョニングシステム140は、各々ネットワークデバイス100を購入して使用する複数のテナント(企業、企業内の部署、その他のグループ)のそれぞれに対して、固有のアカウントを設ける。
プロビジョニングシステム140は、納入対象ネットワークデバイス100を納入先で設定する設定者のアクティベーション要求を端末150から受けて、納入先でネットワーク145に接続された納入対象ネットワークデバイス100を、デバイス認証情報を用いて認証する。そして、プロビジョニングシステム140は、正しく認証できたことを条件として、基盤システム160が提供するサービスにネットワークデバイス100を登録し、基盤システム160に接続するための暗号鍵を納入対象ネットワークデバイス100に提供する。プロビジョニングシステム140が提供した暗号鍵は、ネットワークデバイス100内の暗号鍵記憶領域108に格納される。
ネットワーク145は、ネットワークデバイス100、プロビジョニングシステム140、端末150、基盤システム160、および端末165の間を無線または有線により接続する。ネットワーク145は、インターネット、ワイドエリアネットワーク、またはローカルエリアネットワーク等であってよく、携帯回線網を含んでもよい。本図においてネットワーク125およびネットワーク145は、別のネットワークとしているが、これに代えて、ネットワーク125およびネットワーク145は同一のネットワークであってよい。
端末150は、納入対象ネットワークデバイス100の納入先で納入対象ネットワークデバイス100を設定する設定者が使用する端末である。この設定者は、一例としてネットワークデバイス100を使用するテナントまたは設置業者等の構成員である。本実施形態において端末150は一例としてスマートフォン、タブレット型コンピュータ、またはPC等である。端末150は、プロビジョニングシステム140が提供するプロビジョニングサービスを利用するために用いられ、納入対象ネットワークデバイス100のコードラベル102からデバイス識別情報等を取得して、納入対象ネットワークデバイス100のアクティベーションをプロビジョニングシステム140に要求する。
基盤システム160(ファンデーションシステム160)は、納入対象ネットワークデバイス100を含む複数のネットワークデバイス100を接続したネットワークシステムを構築するサービス(ネットワークシステム構築サービス)を提供するサービス提供システムとして機能するコンピューティングシステムである。基盤システム160は、クラウドコンピューティングシステム等であってよく、1または複数のサーバコンピュータ等によって実現されてよい。基盤システム160を用いて構築されるネットワークシステムは、例えばIoTまたはIIoTシステム等のデバイスネットワークである。基盤システム160は、ネットワークシステムにおいて複数のネットワークデバイス100を制御するクラウドコンピュータ等として機能する。基盤システム160は、センサ等を搭載した1または複数のネットワークデバイス100からセンスデータを取得して、端末165を介してユーザまたは監視者等に情報を提示するインターフェイスを提供し、及び/又は、センスデータに応じて制御演算を行って、アクチュエータ等を搭載したネットワークデバイス100を制御する等の情報処理を行う。なお、本実施形態に係る基盤システム160は、各々ネットワークデバイス100を購入して使用する複数のテナント(のそれぞれに対して、固有のアカウントを設ける。
端末165は、複数のネットワークデバイス100を接続したネットワークシステムのユーザが使用する端末である。端末165は、PC(パーソナルコンピュータ)、タブレット型コンピュータ、スマートフォン、ワークステーション、サーバコンピュータ、または汎用コンピュータ等のコンピュータであってよく、複数のコンピュータが接続されたコンピュータシステムであってもよい。端末165は、ネットワーク145を介して基盤システム160に接続され、基盤システム160が提供するネットワークシステム構築サービスを利用するために用いられる。
以上に示したデバイスプロビジョニング環境10によれば、プロビジョニングシステム120が提供するプロビジョニングサービスを利用して、出荷前に納入対象ネットワークデバイス100を基盤システム160に接続するためのデバイス識別情報等の設定を行い、プロビジョニングシステム140が提供するプロビジョニングサービスを利用して、設定者が端末150によって簡単に納入対象ネットワークデバイス100を設定できるようにする。これにより、デバイスプロビジョニング環境10は、ネットワークデバイス100のプラグ・アンド・プレイまたはこれに近い利便性を提供することができる。また、出荷前にプロビジョニングシステム120がデバイス認証情報をネットワークデバイス100に格納し、納入後にプロビジョニングシステム140がデバイス認証情報を用いてネットワークデバイス100を認証することにより、納入対象ネットワークデバイス100とは異なるネットワークデバイスが不正に基盤システム160に接続されてネットワークシステムのセキュリティが脅かされるのを防止することができる。
図2は、本実施形態に係るネットワークデバイス100の一例であるセンサ装置200を示す。センサ装置200は、コードラベル102と、設定記憶部210と、センサ220と、センスデータ取得部230と、センスデータ記憶部240と、アクセス制御部250と、ネットワークインターフェイス260とを備える。コードラベル102は、ネットワークデバイス100の本体または付属品上に貼付された、デバイス識別情報等をコーディングしたコードを示すラベルであり、センサ装置200のデバイス識別情報を端末150が取得可能に提供するデバイス識別情報提供部として機能する。このコードは、バーコードまたは2次元コード(QRコード(登録商標))等であってよく、文字列等の端末150によって画像から読み取り可能な任意のコードであってもよい。これに代えて、センサ装置200は、端末150が近距離無線通信等により取得可能な形態、すなわち例えば非接触ICカード等の形態でデバイス識別情報等を保持してもよい。
設定記憶部210は、センサ装置200内の設定情報を記憶する。センサ装置200は、識別情報記憶領域104と、パスコード記憶領域212と、宛先情報記憶領域214と、認証情報記憶領域106と、暗号鍵記憶領域108と、宛先情報記憶領域216とを有する。識別情報記憶領域104は、プロビジョニングシステム120によって決定されるセンサ装置200のデバイス識別情報をセンサ装置200の納入前に格納するための領域であり、デバイス識別情報記憶部として機能する。
パスコード記憶領域212は、端末150がプロビジョニングシステム140に対してセンサ装置200のアクティベーション処理を要求するときに用いるパスコードをセンサ装置200の納入前に格納するための領域であり、パスコード記憶部として機能する。なお、本実施形態に係るセンサ装置200等のネットワークデバイス100は、デバイス識別情報に加えてパスコードを用いてアクティベーションされるが、これに代えて、センサ装置200等は、パスコード記憶領域212を有さずパスコードを用いずにアクティベーションされるようにしてもよい。宛先情報記憶領域214は、プロビジョニングシステム140の宛先情報、すなわち例えばプロビジョニングシステム140のURL等をセンサ装置200の納入前に格納するための領域であり、プロビジョニングシステム140用の宛先情報記憶部として機能する。
認証情報記憶領域106は、プロビジョニングシステム140によりセンサ装置200を認証させるために用いるデバイス認証情報をセンサ装置200の納入前に格納するための領域であり、デバイス認証情報記憶部として機能する。暗号鍵記憶領域108は、センサ装置200を基盤システム160に接続するための暗号鍵を格納するための領域であり、暗号鍵記憶部として機能する。宛先情報記憶領域216は、基盤システム160の宛先情報を格納するための領域であり、基盤システム160用の宛先情報記憶部として機能する。設定記憶部210の記憶領域のうち、少なくとも認証情報記憶領域106および暗号鍵記憶領域108は、不正読出ができないセキュアな記憶領域であってよい。
センサ220は、例えば温度センサ、湿度センサ、流速センサ、圧力センサ、電圧センサ、電流センサ等の物理量を測定するセンサである。センサ装置200は、2以上のセンサ220を備えてもよい。
センスデータ取得部230は、センサ220からの信号をセンスデータに変換する。例えば、センスデータ取得部230は、センサ220から入力されるアナログ信号をデジタル信号に変換してセンスデータを得る。センスデータ記憶部240は、センスデータを記憶する。アクセス制御部250は、ネットワークインターフェイス260からの要求に応じて設定記憶部210およびセンスデータ記憶部240内のデータをアクセスし、ネットワークインターフェイス260へと提供する。また、アクセス制御部250は、ネットワークインターフェイス260からの要求に応じて、設定記憶部210に各種の設定データを書き込む。
ネットワークインターフェイス260は、ネットワーク125およびネットワーク145等のネットワークに接続され、ネットワークを介して受信する要求等に応じて設定記憶部210またはセンスデータ記憶部240をアクセスすることをアクセス制御部250に指示する。ネットワークインターフェイス260は、イーサネット(登録商標)等の通信回線、3G回線、4G回線、若しくはLTE回線等の携帯回線、またはLoRa等のIoT向け通信回線等に接続可能であってよい。
ネットワークインターフェイス260は、設定格納処理部262と、デバイス認証処理部264と、暗号鍵受信部266と、サービス接続処理部268とを有する。設定格納処理部262は、センサ装置200の納入前にセンサ装置200が端末130に接続された状態において、端末130からデバイス識別情報、パスコード、プロビジョニングシステム140の宛先情報、およびデバイス認証情報等の出荷前にセンサ装置200に設定すべき情報を受信して識別情報記憶領域104、パスコード記憶領域212、宛先情報記憶領域214、および認証情報記憶領域106等に格納する。デバイス認証処理部264は、センサ装置200がネットワーク145に接続されたことに応じて、認証情報記憶領域106に記憶されたデバイス認証情報を用いて、センサ装置200をプロビジョニングシステム140により認証させる。暗号鍵受信部266は、センサ装置200を認証したプロビジョニングシステム140から、基盤システム160が提供するネットワークシステム構築サービスにアクセスするための暗号鍵を受信して、暗号鍵記憶領域108に格納する。サービス接続処理部268は、暗号鍵記憶領域108に格納された暗号鍵を用いて、ネットワークシステム構築サービスを提供する基盤システム160に接続する。
以上に示したセンサ装置200によれば、センサ装置200の出荷前にプロビジョニングシステム120から提供されるデバイス認証情報をセンサ装置200内の認証情報記憶領域106に格納し、格納したデバイス認証情報を用いてセンサ装置200の設置時にセンサ装置200を基盤システム160に認証させることができる。したがって、センサ装置200は、ユーザが発注してプロバイダにより設定された正規品である場合に限ってプロビジョニングシステム140および基盤システム160に接続可能となり、センサ装置200に付されたデバイス識別情報を盗んで別のネットワークデバイスに設定する等した不正品はプロビジョニングシステム140および基盤システム160に接続できなくなる。
図3は、本実施形態に係るネットワークデバイス100の一例であるセンサゲートウェイ装置300を示す。センサゲートウェイ装置300は、コードラベル102と、設定記憶部210と、有線センサ接続部320と、無線センサ接続部330と、センスデータ記憶部340と、アクセス制御部250と、ネットワークインターフェイス260とを備える。本図に示した各部材のうち、図2と同じ符号を付した部材は図2と同様の機能・構成をとるので、以下相違点を除き説明を省略する。
有線センサ接続部320は、ローカルエリアネットワーク、およびUSB等を用いる有線接続により1または複数のセンサ装置に接続され、センサ装置との間で通信を行う。無線センサ接続部330は、LoRa、携帯回線、無線LAN、またはBluetooth(登録商標)等の無線接続によりセンサ装置等と接続され、1または複数のセンサ装置との間で通信を行う。
センスデータ記憶部340は、有線センサ接続部320および無線センサ接続部330に接続される1または複数のセンサからのセンスデータを記憶する。アクセス制御部250は、ネットワークインターフェイス260からの要求に応じて設定記憶部210およびセンスデータ記憶部340内のデータをアクセスし、ネットワークインターフェイス260へと提供する。また、アクセス制御部250は、ネットワークインターフェイス260からの要求に応じて、設定記憶部210に各種の設定データを書き込む。
なお、ネットワークデバイス100は、アクチュエータ等の制御対象を有するフィールド機器を接続可能であってもよい。このようなネットワークデバイス100は、ネットワークインターフェイス260が制御対象を制御するための制御データを受信し、アクセス制御部250が制御データをメモリ等の制御データ記憶部に格納し、有線センサ接続部320または無線センサ接続部330が制御データをフィールド機器へと送信する構成をとりうる。
図4は、本実施形態に係るプロビジョニングシステム120および端末130の構成を示す。プロビジョニングシステム120は、設定者ログイン処理部410と、識別情報決定部415と、デバイスDB420と、認証情報生成部425と、コード生成部430と、識別情報送信部435と、認証情報送信部440と、デバイス登録送信部445とを備える。
設定者ログイン処理部410は、納入対象ネットワークデバイス100の納入前に、納入対象ネットワークデバイス100を設定する設定者のログインを端末130から受け付ける。この設定者は、納入対象ネットワークデバイス100のプロバイダの社員等の納入対象ネットワークデバイス100を設定する者であってよく、設定者ログイン処理部410は、そのプロバイダのアカウントに対するログインを端末130から受け付ける。
識別情報決定部415は、納入対象ネットワークデバイス100の納入前に、設定者の指示に応じて端末130が取得した、納入対象ネットワークデバイス100に関するデバイス情報を受信して、デバイス識別情報を決定する。識別情報決定部415は、納入対象ネットワークデバイス100のデバイス情報にデバイス識別情報を追加してデバイスDB420に書き込むことにより、納入対象ネットワークデバイス100をデバイスDB420に登録する。ここで識別情報決定部415は、納入対象ネットワークデバイス100に設定するパスコードを乱数等により決定し、デバイス情報に追加してデバイスDB420に書き込む。
デバイスDB420は、プロビジョニングサービスの対象となる複数のネットワークデバイス100に関するデバイス情報を記憶する。デバイスDB420が記憶するデバイス情報は、デバイス識別情報および認証情報生成部425により設定されるデバイス認証情報を含む。デバイス情報は、プロバイダ識別情報、シリアル番号、機種名等の機種識別情報、およびテナント識別情報等の端末130から受信するデバイス情報に含まれる各情報を任意で含んでもよく、納入対象ネットワークデバイス100に設定されるべきパスコード、プロビジョニングシステム140の宛先情報、および基盤システム160の宛先情報を含んでもよい。また、デバイス情報は、プロビジョニングシステム140に対する納入対象ネットワークデバイス100のPKI(Public−Key Infrastructure)認証、および納入対象ネットワークデバイス100と他の機器との間の暗号化通信に用いる納入対象ネットワークデバイス100の公開鍵等を含んでもよい。
認証情報生成部425は、納入対象ネットワークデバイス100のデバイス情報がデバイスDB420に登録されたことに応じて、納入先で納入対象ネットワークデバイス100を認証するためのデバイス認証情報を生成する。認証情報生成部425は、生成したデバイス認証情報をデバイスDB420に書き込んで、納入対象ネットワークデバイス100のデバイス情報に追加する。
コード生成部430は、デバイス識別情報をコーディングした、納入対象ネットワークデバイス100の本体または付属品上に貼付または印刷されるべきコードを生成する。本実施形態において、コード生成部430は、デバイス識別情報に加えて、パスコードおよびプロビジョニングシステム140の宛先情報を更にコーディングしたコードを生成する。
識別情報送信部435は、デバイス識別情報を納入対象端末130へと送信して、納入先で納入対象ネットワークデバイス100の本体または付属品からデバイス識別情報を取得可能に設定させる。本実施形態においては、識別情報送信部435は、コード生成部430が生成したコードを端末130へと送信して端末130によりプリンタ135へと印刷させて、設定者により納入対象ネットワークデバイス100の本体または付属品に貼付させる。また、識別情報送信部435は、納入対象ネットワークデバイス100のデバイス識別情報、パスコード、およびプロビジョニングシステム140の宛先情報を端末130へと送信し、納入対象ネットワークデバイス100内の識別情報記憶領域104、パスコード記憶領域212、および宛先情報記憶領域214へと書き込ませる。
認証情報送信部440は、デバイス認証情報を端末130へと送信して、納入対象ネットワークデバイス100の認証情報記憶領域106に記憶させる。また、認証情報送信部440は、基盤システム160の宛先情報を端末130へと送信して、納入対象ネットワークデバイス100の宛先情報記憶領域216に記憶させる。
デバイス登録送信部445は、デバイスDB420に登録されたデバイス情報をプロビジョニングシステム140へと送信する。
端末130は、ログイン処理部450と、デバイス情報取得部455と、デバイス情報送信部460と、識別情報受信部465と、識別情報設定部470と、認証情報受信部475と、認証情報設定部480とを備える。これらの機能は、端末130がプロビジョニングシステム120のプロビジョニングサービスに関するWebページの処理を行うことによって実現されてよい。
ログイン処理部450は、端末130を操作する設定者の指示に応じて、プロビジョニングシステム120へのログイン処理を行う。デバイス情報取得部455は、設定者のログイン中に、納入対象ネットワークデバイス100のデバイス情報を取得する。デバイス情報送信部460は、取得されたデバイス情報をプロビジョニングシステム120内の識別情報決定部415へと送信する。
識別情報受信部465は、プロビジョニングシステム120の識別情報送信部435からデバイス識別情報を受信する。本実施形態に係る識別情報受信部465は、プロビジョニングシステム120内のコード生成部430が生成したコードと、デバイス識別情報、パスコード、およびプロビジョニングシステム140の識別情報とを受信する。
識別情報設定部470は、納入先で納入対象ネットワークデバイス100の本体または付属品からデバイス識別情報を取得可能となるように、納入対象ネットワークデバイス100にデバイス識別情報を設定する。本実施形態において、識別情報設定部470は、識別情報受信部465が受信したコードを、プリンタ135によりラベル上に印刷させ、設定者によりコードラベル102を納入対象ネットワークデバイス100の本体に貼付させる。また、識別情報設定部470は、デバイス識別情報、パスコード、およびプロビジョニングシステム140の識別情報をプロビジョニングシステム120から受信して、納入対象ネットワークデバイス100内の識別情報記憶領域104、パスコード記憶領域212、および宛先情報記憶領域214に書き込む。
認証情報受信部475は、プロビジョニングシステム120からデバイス認証情報を受信する。認証情報設定部480は、受信したデバイス認証情報を、納入対象ネットワークデバイス100の認証情報記憶領域106に記憶させる。
図5は、本実施形態に係るプロビジョニングシステム120および端末130の処理フローを示す。S510(ステップS510)において、端末130内のログイン処理部450は、設定者の指示に応じて、プロビジョニングシステム120へのアクセスを発行する。S515において、プロビジョニングシステム120内の設定者ログイン処理部410は、プロビジョニングシステム120からのアクセスに応じてログイン画面を端末130へと送信し、ログインを要求する。
S520において、端末130内のログイン処理部450は、設定者からログインIDおよびパスワードの入力を受けて、ログインIDおよびパスワードをプロビジョニングシステム120へと送信する。S525において、プロビジョニングシステム120内の設定者ログイン処理部410は、ログインIDおよびパスワードに基づくユーザ認証を行い、正しく認証されたことに応じてそのログインIDに対応するアカウントへのログインを行わせる。以後、S530からS580までの処理は、設定者のログイン中に行われる。
S530において、プロビジョニングシステム120は、納入対象ネットワークデバイス100のデバイス情報を入力するための画面を端末130へと送信して、デバイス情報の入力を要求する。これを受けて、端末130内のデバイス情報取得部455は、S535において、デバイス情報を入力するための画面に対する入力を受け付けて、納入対象ネットワークデバイス100のデバイス情報を取得する。デバイス情報取得部455は、納入対象ネットワークデバイス100との間で通信を行って納入対象ネットワークデバイス100からデバイス情報を取得してもよい。デバイス情報送信部460は、取得されたデバイス情報をプロビジョニングシステム120へと送信する。
S540において、プロビジョニングシステム120内の識別情報決定部415は、デバイス情報を受信して、デバイス識別情報を決定する。また、識別情報決定部415は、納入対象ネットワークデバイス100のパスコードを更に決定してもよい。識別情報決定部415は、決定したデバイス識別情報等をデバイス情報送信部460から受信したデバイス情報に追加して、デバイスDB420に登録する。ネットワーク上でユニークに納入対象ネットワークデバイス100を識別可能とするために、識別情報決定部415は、納入対象ネットワークデバイス100のプロバイダに固有のプロバイダ識別情報および納入対象ネットワークデバイス100のシリアル番号等のデバイス情報に含まれる情報、および必要に応じてその他の納入対象ネットワークデバイス100を特定するのに十分な情報を組み合わせる等により、デバイス識別情報を決定してよい。
S545において、プロビジョニングシステム120内の認証情報生成部425は、納入対象ネットワークデバイス100のデバイス認証情報を生成して、デバイスDB420内のデバイス情報に追加する。一例として、認証情報生成部425は、デバイス認証情報として、納入対象ネットワークデバイス100のデバイス情報の少なくとも一部に対してプロビジョニングシステム120が電子署名をしたデジタル証明書を生成してもよい。一例として、認証情報生成部425は、納入対象ネットワークデバイス100をPKI認証によりプロビジョニングシステム140に認証させるためのデジタル証明書を生成してよい。S550において、コード生成部430は、デバイス識別情報、パスコード、およびプロビジョニングシステム140の宛先情報を含む情報をコーディングしたコードを生成する。
S555において、プロビジョニングシステム120内の識別情報送信部435は、デバイス識別情報を端末130へと送信する。ここで、識別情報送信部435は、S550において生成されたコードと、納入対象ネットワークデバイス100のデバイス識別情報、パスコード、およびプロビジョニングシステム140の宛先情報とを、端末130へ送信する。
S560において、端末130内の識別情報受信部465は、S555において送信されたデバイス識別情報等を受信する。識別情報設定部470は、S550において生成されたコードをプリンタ135を用いて印刷し、設定者によりネットワークデバイス100の本体等に貼付させる。また、識別情報設定部470は、納入対象ネットワークデバイス100のデバイス識別情報、パスコード、およびプロビジョニングシステム140の宛先情報を、納入対象ネットワークデバイス100に設定する。
S570において、プロビジョニングシステム120内の認証情報送信部440は、納入対象ネットワークデバイス100のデバイス認証情報を送信する。ここで、認証情報送信部440は、デバイス認証情報を含むファイルを端末130へと送信してもよい。S580において、認証情報受信部475はデバイス認証情報を受信し、認証情報設定部480はデバイス認証情報を納入対象ネットワークデバイス100に設定する。S585において、デバイス登録送信部445は、デバイスDB420に登録されたネットワークデバイス100のデバイス情報をプロビジョニングシステム140へと送信する。
以上に示したプロビジョニングシステム120および端末130によれば、端末130からプロビジョニングサービスへのログインおよびインタラクティブな作業を通じて、納入先で納入対象ネットワークデバイス100の本体または付属品から取得可能なデバイス識別情報と、納入先でネットワークに接続された納入対象ネットワークデバイス100を認証するためのデバイス認証情報とを設定することができる。これにより、納入対象ネットワークデバイス100は、納入後の設定処理において、簡単かつセキュアにプロビジョニングシステム140に接続することができる。
以上においては、プロビジョニングシステム120および端末130は、ログインおよびその後のインタラクティブな処理を通じて納入対象ネットワークデバイス100を設定する。これに代えて、端末130は、インタラクティブな処理無しに自動的にプロバイダ情報およびデバイス情報をプロビジョニングシステム120へと送信し、プロビジョニングシステム120から受信されるコードを印刷し、プロビジョニングシステム120から受信される納入対象ネットワークデバイス100のデバイス識別情報、パスコード、およびプロビジョニングシステム140の宛先情報を納入対象ネットワークデバイス100へと書き込んでもよい。
図6は、本実施形態に係るプロビジョニングシステム140および端末150の構成を示す。プロビジョニングシステム140は、デバイス登録受信部610と、デバイスDB615と、デバイス認証部620と、テナントログイン処理部625と、識別情報受信部630と、アクティベーション処理部635と、デバイス登録要求部640と、暗号鍵取得部645と、基盤宛先取得部650と、暗号鍵送信部655と、基盤宛先送信部660とを備える。
デバイス登録受信部610は、プロビジョニングシステム120内のデバイス登録送信部445によって送信されたデバイス情報を受信して、デバイスDB615に登録する。デバイスDB615は、プロビジョニングサービスの対象となる複数のネットワークデバイス100に関するデバイス情報を記憶する。デバイスDB615が記憶するデバイス情報は、デバイスDB420が記憶するデバイス情報に加え、納入対象ネットワークデバイス100が基盤システム160に接続するための暗号鍵、および納入対象ネットワークデバイス100が接続すべき基盤システム160の宛先情報を記憶してよい。
デバイス認証部620は、納入先でネットワーク125に接続された納入対象ネットワークデバイス100を、納入対象ネットワークデバイス100に記憶されたデバイス認証情報を用いて認証する。デバイス認証部620は、納入対象ネットワークデバイス100が正しく認証されたことに応じて、納入対象ネットワークデバイス100が認証済みであることを示す認証済情報をデバイスDB615内のデバイス情報に追加する。
テナントログイン処理部625は、納入対象ネットワークデバイス100の納入先で、納入先のテナントのユーザである設置者によって使用される端末150から、テナントのログインを受け付ける。識別情報受信部630は、納入先で使用される端末150が納入対象ネットワークデバイス100の本体または付属品から取得したデバイス識別情報およびパスコードを受信する。アクティベーション処理部635は、納入対象ネットワークデバイス100のデバイス識別情報が受信されたことに応じて、受信されたデバイス識別情報が割り当てられた納入対象ネットワークデバイス100をアクティベーションする処理を行う。
デバイス登録要求部640は、アクティベーション処理中である納入対象ネットワークデバイス100のデバイス情報を基盤システム160へと送信し、基盤システム160が提供するネットワークシステム構築サービスに納入対象ネットワークデバイス100を登録することを基盤システム160に要求する。暗号鍵取得部645は、ネットワークシステム構築サービスに接続するために納入対象ネットワークデバイス100が使用すべき暗号鍵を基盤システム160から取得して、デバイスDB615内における納入対象ネットワークデバイス100のデバイス情報に追加する。基盤宛先取得部650は、納入対象ネットワークデバイス100が基盤システム160に接続するために用いる基盤システム160の宛先情報を基盤システム160から取得して、デバイスDB615内における納入対象ネットワークデバイス100のデバイス情報に追加する。
暗号鍵送信部655は、納入対象ネットワークデバイス100が正しく認証されたことに応じて、暗号鍵取得部645が取得した暗号鍵を、納入対象ネットワークデバイス100に対して送信し、暗号鍵記憶領域108へと記憶させる。基盤宛先送信部660は、納入対象ネットワークデバイス100が正しく認証されたことに応じて、基盤宛先取得部650が取得した宛先情報を、納入対象ネットワークデバイス100に対して送信し、宛先情報記憶領域216へと記憶させる。
端末150は、ログイン処理部670と、識別情報取得部675と、識別情報送信部680と、アクティベーション結果通知部685とを備える。ログイン処理部670は、納入対象ネットワークデバイス100の納入後に納入対象ネットワークデバイス100を設置する設置者の指示に応じて、プロビジョニングシステム140へのログイン処理を行う。
識別情報取得部675は、テナントの設置者のログイン中に、納入対象ネットワークデバイス100の本体または付属品から、納入対象ネットワークデバイス100のデバイス識別情報を取得する。本実施形態において、識別情報取得部675は、設置者の操作を受けて、納入対象ネットワークデバイス100の本体に貼付されたコードラベル102を撮像し、撮像画像に含まれるコードを認識してコーディングされたデバイス識別情報、パスコード、およびプロビジョニングシステム140の宛先情報を復元する。
識別情報送信部680は、識別情報取得部675が取得したデバイス識別情報およびパスコードを、識別情報取得部675が取得した宛先情報によって指定されるプロビジョニングシステム140へと送信して、納入対象ネットワークデバイス100のアクティベーションを要求する。アクティベーション結果通知部685は、納入対象ネットワークデバイス100のアクティベーション結果をプロビジョニングシステム140から受信して、端末150を使用する設置者に通知する。
なお、本実施形態においては、プロビジョニングシステム120およびプロビジョニングシステム140が異なるコンピュータシステムである場合を例として示したが、プロビジョニングシステム120およびプロビジョニングシステム140は同一のコンピュータシステムで実現され、出荷プロビジョニングサービスおよび設置プロビジョニングサービスが同一のサービス業者によって提供されてもよい。このような構成においては、基本的には、図4のプロビジョニングシステム120および図6のプロビジョニングシステム140の各構成要素がプロビジョニングシステムに含まれてよい。この場合、プロビジョニングシステム120内のデバイスDB420とプロビジョニングシステム140内のデバイスDB615とが共通化されてよく、デバイス登録送信部445およびデバイス登録受信部610は設けられなくてもよい。
図7は、本実施形態に係る端末150、ネットワークデバイス100、プロビジョニングシステム140、および基盤システム160の処理フローを示す。S705において、プロビジョニングシステム140内のデバイス登録受信部610は、プロビジョニングシステム120内のデバイス登録送信部445からデバイス情報を受信して、デバイスDB615に登録する。S710において、納入対象ネットワークデバイス100は、ネットワーク145に接続されてパワーオンされ、初期化処理を行う。
S715において、納入対象ネットワークデバイス100は、プロビジョニングシステム140に対して、納入対象ネットワークデバイス100のデバイス認証を要求する。具体的には、納入対象ネットワークデバイス100内のネットワークインターフェイス260は、アクセス制御部250を介して設定記憶部210をアクセスして、宛先情報記憶領域214に記憶されたプロビジョニングシステム140の宛先情報、識別情報記憶領域104に記憶されたデバイス識別情報、パスコード記憶領域212に記憶されたパスコード、および認証情報記憶領域106に記憶されたデバイス認証情報を読み出す。ネットワークインターフェイス260は、読み出したデバイス識別情報、パスコード、およびデバイス認証情報を含むデバイス認証要求を、宛先情報記憶領域214から読み出された宛先情報で指定されるプロビジョニングシステム140へと送信する。
S720において、プロビジョニングシステム140内のデバイス認証部620は、納入対象ネットワークデバイス100からのデバイス認証要求を受信して、納入対象ネットワークデバイス100に記憶されたデバイス認証情報を用いて認証する。本実施形態に係るプロビジョニングシステム140は、デバイス認証情報を用いたPKI認証によって納入対象ネットワークデバイス100がプロビジョニングシステム120によって正しく出荷処理がされた正規品であるか否かをチェックする。納入対象ネットワークデバイス100が正しく認証されたことに応じて、デバイス認証部620は、認証済情報を、デバイスDB615内における納入対象ネットワークデバイス100のデバイス情報に追加する。
S725において、端末150内のログイン処理部670は、テナントのユーザである設置者の指示に応じて、プロビジョニングシステム140へのアクセスを発行する。S730において、端末150内のログイン処理部670は、端末150からのアクセスに応じてログイン画面を端末150へと送信し、ログインを要求する。
S735において、端末150は、設置者からログインIDおよびパスワードの入力を受けて、ログインIDおよびパスワードを端末150へと送信する。S740において、基盤システム160内のテナントログイン処理部625は、ログインIDおよびパスワードに基づくユーザ認証を行い、正しく認証されたことに応じてそのログインIDに対応するテナントのアカウントへのログインを行わせる。以後、S745からS785までの処理は、テナントの設置者のログイン中に行われる。
S745において、端末150内の識別情報取得部675は、納入対象ネットワークデバイス100のデバイス識別情報を取得する。本実施形態において、識別情報取得部675は、コードラベル102を撮像し、撮像画像に含まれるコードを認識してコーディングされたデバイス識別情報、パスコード、およびプロビジョニングシステム140の宛先情報を復元する。端末150内の識別情報送信部680は、識別情報取得部675が取得したデバイス識別情報およびパスコードを、識別情報取得部675が取得した宛先情報によって指定されるプロビジョニングシステム140へと送信して、納入対象ネットワークデバイス100のアクティベーションを要求する。
S750において、プロビジョニングシステム140内の識別情報受信部630は、端末150から送信されたデバイス識別情報等を含むアクティベーション要求を受信する。プロビジョニングシステム140内のアクティベーション処理部635は、受信されたデバイス識別情報が割り当てられた納入対象ネットワークデバイス100をテナントのネットワークデバイス100としてアクティベーションする処理を行う。本実施形態に係るアクティベーション処理部635は、当該デバイス識別情報に対応するデバイスDB615内のデバイス情報に、納入対象ネットワークデバイス100がアクティベーション処理中であることを示すステータス情報を追加して、プロビジョニングシステム140内でアクティベーション処理が進むようにする。アクティベーション処理部635は、端末150から受信したデバイス識別情報およびパスコードがデバイスDB615内のデバイス情報に含まれるデバイス識別情報およびパスコードと一致したことを条件として、納入対象ネットワークデバイス100のアクティベーションを開始してよい。デバイス登録要求部640は、アクティベーション処理中で基盤システム160から暗号鍵および基盤システム160の宛先情報を未取得である納入対象ネットワークデバイス100のデバイス情報をデバイスDB615から取得する。デバイス登録要求部640は、取得したデバイス情報を基盤システム160へと送信し、基盤システム160が提供するネットワークシステム構築サービスに納入対象ネットワークデバイス100を登録することを基盤システム160に要求する。
S752において、プロビジョニングシステム140から納入対象ネットワークデバイス100のデバイス登録要求を受けた基盤システム160は、納入対象ネットワークデバイス100のデバイス情報を登録する。S754において、基盤システム160は、デバイス登録要求に応じて、基盤システム160が提供するネットワークシステム構築サービスに納入対象ネットワークデバイス100を接続するための暗号鍵を発行する。S757において、基盤システム160は、納入対象ネットワークデバイス100が基盤システム160に接続するために用いる基盤システム160の宛先情報を発行する。なお、基盤システム160の構成および具体的な動作は、図8〜9を用いて後述する。
S755において、プロビジョニングシステム140内の暗号鍵取得部645は、基盤システム160により発行された暗号鍵を取得して、デバイスDB615内のデバイス情報に追加する。S760において、プロビジョニングシステム140内の基盤宛先取得部650は、基盤システム160の宛先情報を基盤システム160から取得して、デバイスDB615内のデバイス情報に追加する。
S765において、プロビジョニングシステム140内の暗号鍵送信部655は、暗号鍵取得部645が取得した暗号鍵を、納入対象ネットワークデバイス100に対して送信する。暗号鍵送信部655は、暗号鍵が納入対象ネットワークデバイス100以外の機器によって不正に取得されないように、納入対象ネットワークデバイス100の公開鍵によって暗号鍵を暗号化してから送信してよい。S770において、納入対象ネットワークデバイス100の暗号鍵受信部266は、プロビジョニングシステム140から送信された暗号鍵を受信し、アクセス制御部250によって設定記憶部210内の暗号鍵記憶領域108へと登録する。
S775において、プロビジョニングシステム140内の基盤宛先送信部660は、基盤宛先取得部650が取得した宛先情報を、納入対象ネットワークデバイス100に対して送信する。S780において、納入対象ネットワークデバイス100のサービス接続処理部268は、プロビジョニングシステム140から送信された宛先情報を受信し、アクセス制御部250によって設定記憶部210内の宛先情報記憶領域216へと登録する。
S785において、プロビジョニングシステム140内のアクティベーション処理部635は、S750〜S780の処理が正常終了したことに応じて、納入対象ネットワークデバイス100が正しくアクティベーションできたことを示すアクティベーション結果を端末150へと通知する。S790において、端末150内のアクティベーション結果通知部685は、納入対象ネットワークデバイス100のアクティベーション結果をプロビジョニングシステム140から受信して、端末150を使用する設置者に通知する。
以上に示したプロビジョニングシステム140および端末150によれば、納入前に納入対象ネットワークデバイス100に格納されたデバイス認証情報を用いて納入対象ネットワークデバイス100を認証し、出荷プロビジョニングサービスによって設定されたネットワークデバイス100に対してセキュアに設置プロビジョニングサービスを提供することができる。また、プロビジョニングシステム140および端末150によれば、端末150が納入対象ネットワークデバイス100の本体または付属品からデバイス識別情報等を取得してプロビジョニングシステム140へと提供することにより、簡単に納入対象ネットワークデバイス100のアクティベーションを進めることができる。
図8は、本実施形態に係る基盤システム160の構成を示す。基盤システム160は、デバイスネットワーク管理部800と、デバイス管理DB820と、デバイスルータ830と、1または複数のデータ変換器840と、データ記憶部850と、ユーザログイン処理部860と、アプリケーション処理部870とを備える。
デバイスネットワーク管理部800は、ネットワーク145を介してプロビジョニングシステム140および1または複数のネットワークデバイス100に接続され、1または複数のネットワークデバイス100を管理する。デバイスネットワーク管理部800は、基盤システム160からのデバイス登録要求を受けて、納入対象ネットワークデバイス100のデバイス情報をデバイス管理DB820に格納する。デバイスネットワーク管理部800は、暗号鍵発行部805と、基盤宛先発行部810とを有する。暗号鍵発行部805は、デバイス登録要求に応じて、新たに登録する納入対象ネットワークデバイス100が基盤システム160のネットワークシステム構築サービスに接続するための暗号鍵を発行し、プロビジョニングシステム140へと送信する。基盤宛先発行部810は、デバイス登録要求に応じて、新たに登録する納入対象ネットワークデバイス100が基盤システム160に接続するために用いる基盤システム160の宛先情報を発行し、プロビジョニングシステム140へと送信する。また、デバイスネットワーク管理部800は、登録が完了している1または複数のネットワークデバイス100のそれぞれからセンスデータ等のネットワークシステムで使用するデータを受信し、デバイスルータ830へと供給する。
デバイス管理DB820は、デバイスネットワーク管理部800に接続され、プロビジョニングシステム140からデバイス登録要求を受けた各ネットワークデバイス100のデバイス情報を記憶する。デバイスルータ830は、基盤宛先発行部810に接続され、1または複数のネットワークデバイス100のそれぞれから受信されたデータを、テナントのネットワークシステムで使用するデータ形式に変換すべく、1または複数のデータ変換器840のうち目的とするデータ変換を行うデータ変換器840へとルーティングする。1または複数のデータ変換器840のそれぞれは、デバイスルータ830に接続され、デバイスルータ830から受け取ったデータを目的とするデータ形式に変換して出力する。データ記憶部850は、1または複数のデータ変換器840に接続され、1または複数のデータ変換器840が出力する変換後のデータを格納する。
ユーザログイン処理部860は、ネットワーク145を介してテナントのユーザ等が使用する端末165に接続され、テナントのユーザ等からのログインを受け付ける。アプリケーション処理部870は、端末165およびデバイス管理DB820に接続され、ログインしたユーザ等が属するテナントの1または複数のネットワークデバイス100からのデータを処理するアプリケーションの開発環境を提供する。また、アプリケーション処理部870は、開発されたアプリケーションを実行して、実行結果を端末165を介してテナントのユーザ等に提供する。
図9は、本実施形態に係る基盤システム160の処理フローを示す。S900において、ユーザログイン処理部860は、テナントのユーザ等が使用する端末165からのログインを受け付ける。ユーザログイン処理部860は、端末165から受け取ったログインIDおよびパスワードに基づくユーザ認証を行い、正しく認証されたことに応じてそのログインIDに対応するテナントのアカウントへのログインを行わせる。
S910において、アプリケーション処理部870は、基盤システム160を介してアプリケーションの開発環境を提供し、テナントのユーザがネットワークシステム用のアプリケーションを開発するのを支援する。例えば、アプリケーション処理部870は、アプリケーションで使用する各ネットワークデバイス100の選択、各ネットワークデバイス100からのデータを変換するために用いるデータ変換器840の選択、各ネットワークデバイス100からのデータに対する処理・制御演算を行うロジックの作成・記述、アプリケーションの処理結果を端末165に表示するためのウィジェット等の作成・選択、端末165の表示レイアウトの作成、および各種のテンプレートの選択等を行うことができる開発環境を提供する。
S920において、アプリケーション処理部870は、端末165を介してユーザからアプリケーションの実行指示を入力する。S930において、デバイスネットワーク管理部800は、複数のネットワークデバイス100のそれぞれからデータを取得する。例えば、デバイスネットワーク管理部800は、各ネットワークデバイス100に対してデータの読出要求を予め指定された周期で送信して、各ネットワークデバイス100からデータを収集してよい。これに代えて、各ネットワークデバイス100は、予め定められた周期で宛先情報記憶領域216に登録された基盤システム160の宛先へとデータを送信し、デバイスネットワーク管理部800は、各ネットワークデバイス100から送信されたデータを受信してもよい。ここで、各ネットワークデバイス100は、各ネットワークデバイス100が有する秘密鍵でデータを暗号化して基盤システム160へと送信し、デバイスネットワーク管理部800は、各ネットワークデバイス100からのデータを各ネットワークデバイス100の公開鍵で復号化して取得してよい。これにより、各ネットワークデバイス100が送信するセンスデータが傍受されるのを防ぐことができる。
S940において、デバイスルータ830は、各ネットワークデバイス100から受信したデータを、各ネットワークデバイス100に割り当てられたデータ変換器840へとルーティングする。S950において、ネットワークデバイス100からのデータを受け取ったデータ変換器840は、そのデータ変換器840に対応するデータ変換を行う。このようなデータ変換は、例えば、温度センサから取得された温度データ値を摂氏温度を表すデータ形式に変換すること、および、センサから取得されたセンスデータを平滑化/積分/微分等すること等のような、ネットワークデバイス100からのデータをアプリケーション処理部870が実行するアプリケーションで要求される任意のデータ形式に変換するものであってよい。
S960において、データ変換器840によって変換されたデータをデータ記憶部850に記憶する。データ記憶部850は、ネットワークデバイス100毎に、変換されたデータを時系列データとして記憶してもよい。S970において、アプリケーション処理部870は、実行中のアプリケーションに実装されたアルゴリズム等にしたがって、データ記憶部850に記憶されたデータを用いたアプリケーション処理を行う。
S980において、アプリケーション処理部870は、アプリケーションの処理結果を表示する表示画面を端末165へと出力し、端末165により処理結果を端末165のユーザへと表示させる。アプリケーションの内容によっては、アプリケーション処理部870は、時間の経過に応じて変化していく各ネットワークデバイス100からのデータに応じて、継続的に端末165への表示画面を更新していく。
以上に示した基盤システム160によれば、プロビジョニングシステム120およびプロビジョニングシステム140によるプロビジョニングサービスを用いてセキュアに設置された納入対象ネットワークデバイス100に対してネットワークシステム構築サービスに接続するための暗号鍵を配布する。これにより、基盤システム160は、不正なネットワークデバイス100がネットワークシステム構築サービスに接続するのを防ぐことができ、セキュアなアプリケーション開発・実行環境を提供することができる。
本発明の様々な実施形態は、フローチャートおよびブロック図を参照して記載されてよく、ここにおいてブロックは、(1)操作が実行されるプロセスの段階または(2)操作を実行する役割を持つ装置のセクションを表わしてよい。特定の段階およびセクションが、専用回路、コンピュータ可読媒体上に格納されるコンピュータ可読命令と共に供給されるプログラマブル回路、および/またはコンピュータ可読媒体上に格納されるコンピュータ可読命令と共に供給されるプロセッサによって実装されてよい。専用回路は、デジタルおよび/またはアナログハードウェア回路を含んでよく、集積回路(IC)および/またはディスクリート回路を含んでよい。プログラマブル回路は、論理AND、論理OR、論理XOR、論理NAND、論理NOR、および他の論理操作、フリップフロップ、レジスタ、フィールドプログラマブルゲートアレイ(FPGA)、プログラマブルロジックアレイ(PLA)等のようなメモリ要素等を含む、再構成可能なハードウェア回路を含んでよい。
コンピュータ可読媒体は、適切なデバイスによって実行される命令を格納可能な任意の有形なデバイスを含んでよく、その結果、そこに格納される命令を有するコンピュータ可読媒体は、フローチャートまたはブロック図で指定された操作を実行するための手段を作成すべく実行され得る命令を含む、製品を備えることになる。コンピュータ可読媒体の例としては、電子記憶媒体、磁気記憶媒体、光記憶媒体、電磁記憶媒体、半導体記憶媒体等が含まれてよい。コンピュータ可読媒体のより具体的な例としては、フロッピー(登録商標)ディスク、ディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、消去可能プログラマブルリードオンリメモリ(EPROMまたはフラッシュメモリ)、電気的消去可能プログラマブルリードオンリメモリ(EEPROM)、静的ランダムアクセスメモリ(SRAM)、コンパクトディスクリードオンリメモリ(CD-ROM)、デジタル多用途ディスク(DVD)、ブルーレイ(RTM)ディスク、メモリスティック、集積回路カード等が含まれてよい。
コンピュータ可読命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、またはSmalltalk、JAVA(登録商標)、C++等のようなオブジェクト指向プログラミング言語、および「C」プログラミング言語または同様のプログラミング言語のような従来の手続型プログラミング言語を含む、1または複数のプログラミング言語の任意の組み合わせで記述されたソースコードまたはオブジェクトコードのいずれかを含んでよい。
コンピュータ可読命令は、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサまたはプログラマブル回路に対し、ローカルにまたはローカルエリアネットワーク(LAN)、インターネット等のようなワイドエリアネットワーク(WAN)を介して提供され、フローチャートまたはブロック図で指定された操作を実行するための手段を作成すべく、コンピュータ可読命令を実行してよい。プロセッサの例としては、コンピュータプロセッサ、処理ユニット、マイクロプロセッサ、デジタル信号プロセッサ、コントローラ、マイクロコントローラ等を含む。
図10は、本発明の複数の態様が全体的または部分的に具現化されてよいコンピュータ2200の例を示す。コンピュータ2200にインストールされたプログラムは、コンピュータ2200に、本発明の実施形態に係る装置に関連付けられる操作または当該装置の1または複数のセクションとして機能させることができ、または当該操作または当該1または複数のセクションを実行させることができ、および/またはコンピュータ2200に、本発明の実施形態に係るプロセスまたは当該プロセスの段階を実行させることができる。そのようなプログラムは、コンピュータ2200に、本明細書に記載のフローチャートおよびブロック図のブロックのうちのいくつかまたはすべてに関連付けられた特定の操作を実行させるべく、CPU2212によって実行されてよい。
本実施形態によるコンピュータ2200は、CPU2212、RAM2214、グラフィックコントローラ2216、およびディスプレイデバイス2218を含み、それらはホストコントローラ2210によって相互に接続されている。コンピュータ2200はまた、通信インターフェイス2222、ハードディスクドライブ2224、DVD−ROMドライブ2226、およびICカードドライブのような入/出力ユニットを含み、それらは入/出力コントローラ2220を介してホストコントローラ2210に接続されている。コンピュータはまた、ROM2230およびキーボード2242のようなレガシの入/出力ユニットを含み、それらは入/出力チップ2240を介して入/出力コントローラ2220に接続されている。
CPU2212は、ROM2230およびRAM2214内に格納されたプログラムに従い動作し、それにより各ユニットを制御する。グラフィックコントローラ2216は、RAM2214内に提供されるフレームバッファ等またはそれ自体の中にCPU2212によって生成されたイメージデータを取得し、イメージデータがディスプレイデバイス2218上に表示されるようにする。
通信インターフェイス2222は、ネットワークを介して他の電子デバイスと通信する。ハードディスクドライブ2224は、コンピュータ2200内のCPU2212によって使用されるプログラムおよびデータを格納する。DVD−ROMドライブ2226は、プログラムまたはデータをDVD−ROM2201から読み取り、ハードディスクドライブ2224にRAM2214を介してプログラムまたはデータを提供する。ICカードドライブは、プログラムおよびデータをICカードから読み取り、および/またはプログラムおよびデータをICカードに書き込む。
ROM2230はその中に、アクティブ化時にコンピュータ2200によって実行されるブートプログラム等、および/またはコンピュータ2200のハードウェアに依存するプログラムを格納する。入/出力チップ2240はまた、様々な入/出力ユニットをパラレルポート、シリアルポート、キーボードポート、マウスポート等を介して、入/出力コントローラ2220に接続してよい。
プログラムが、DVD−ROM2201またはICカードのようなコンピュータ可読媒体によって提供される。プログラムは、コンピュータ可読媒体から読み取られ、コンピュータ可読媒体の例でもあるハードディスクドライブ2224、RAM2214、またはROM2230にインストールされ、CPU2212によって実行される。これらのプログラム内に記述される情報処理は、コンピュータ2200に読み取られ、プログラムと、上記様々なタイプのハードウェアリソースとの間の連携をもたらす。装置または方法が、コンピュータ2200の使用に従い情報の操作または処理を実現することによって構成されてよい。
例えば、通信がコンピュータ2200および外部デバイス間で実行される場合、CPU2212は、RAM2214にロードされた通信プログラムを実行し、通信プログラムに記述された処理に基づいて、通信インターフェイス2222に対し、通信処理を命令してよい。通信インターフェイス2222は、CPU2212の制御下、RAM2214、ハードディスクドライブ2224、DVD−ROM2201、またはICカードのような記録媒体内に提供される送信バッファ処理領域に格納された送信データを読み取り、読み取られた送信データをネットワークに送信し、またはネットワークから受信された受信データを記録媒体上に提供される受信バッファ処理領域等に書き込む。
また、CPU2212は、ハードディスクドライブ2224、DVD−ROMドライブ2226(DVD−ROM2201)、ICカード等のような外部記録媒体に格納されたファイルまたはデータベースの全部または必要な部分がRAM2214に読み取られるようにし、RAM2214上のデータに対し様々なタイプの処理を実行してよい。CPU2212は次に、処理されたデータを外部記録媒体にライトバックする。
様々なタイプのプログラム、データ、テーブル、およびデータベースのような様々なタイプの情報が記録媒体に格納され、情報処理を受けてよい。CPU2212は、RAM2214から読み取られたデータに対し、本開示の随所に記載され、プログラムの命令シーケンスによって指定される様々なタイプの操作、情報処理、条件判断、条件分岐、無条件分岐、情報の検索/置換等を含む、様々なタイプの処理を実行してよく、結果をRAM2214に対しライトバックする。また、CPU2212は、記録媒体内のファイル、データベース等における情報を検索してよい。例えば、各々が第2の属性の属性値に関連付けられた第1の属性の属性値を有する複数のエントリが記録媒体内に格納される場合、CPU2212は、第1の属性の属性値が指定される、条件に一致するエントリを当該複数のエントリの中から検索し、当該エントリ内に格納された第2の属性の属性値を読み取り、それにより予め定められた条件を満たす第1の属性に関連付けられた第2の属性の属性値を取得してよい。
上で説明したプログラムまたはソフトウェアモジュールは、コンピュータ2200上またはコンピュータ2200近傍のコンピュータ可読媒体に格納されてよい。また、専用通信ネットワークまたはインターネットに接続されたサーバーシステム内に提供されるハードディスクまたはRAMのような記録媒体が、コンピュータ可読媒体として使用可能であり、それによりプログラムを、ネットワークを介してコンピュータ2200に提供する。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
特許請求の範囲、明細書、および図面中において示した装置、システム、プログラム、および方法における動作、手順、ステップ、および段階等の各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。特許請求の範囲、明細書、および図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順で実施することが必須であることを意味するものではない。
10 デバイスプロビジョニング環境、100 ネットワークデバイス、102 コードラベル、104 識別情報記憶領域、106 認証情報記憶領域、108 暗号鍵記憶領域、120 プロビジョニングシステム、125 ネットワーク、130 端末、135 プリンタ、140 プロビジョニングシステム、145 ネットワーク、150 端末、160 基盤システム、165 端末、200 センサ装置、210 設定記憶部、212 パスコード記憶領域、214 宛先情報記憶領域、216 宛先情報記憶領域、220 センサ、230 センスデータ取得部、240 センスデータ記憶部、250 アクセス制御部、260 ネットワークインターフェイス、262 設定格納処理部、264 デバイス認証処理部、266 暗号鍵受信部、268 サービス接続処理部、300 センサゲートウェイ装置、320 有線センサ接続部、330 無線センサ接続部、340 センスデータ記憶部、410 設定者ログイン処理部、415 識別情報決定部、420 デバイスDB、425 認証情報生成部、430 コード生成部、435 識別情報送信部、440 認証情報送信部、445 デバイス登録送信部、450 ログイン処理部、455 デバイス情報取得部、460 デバイス情報送信部、465 識別情報受信部、470 識別情報設定部、475 認証情報受信部、480 認証情報設定部、610 デバイス登録受信部、615 デバイスDB、620 デバイス認証部、625 テナントログイン処理部、630 識別情報受信部、635 アクティベーション処理部、640 デバイス登録要求部、645 暗号鍵取得部、650 基盤宛先取得部、655 暗号鍵送信部、660 基盤宛先送信部、670 ログイン処理部、675 識別情報取得部、680 識別情報送信部、685 アクティベーション結果通知部、800 デバイスネットワーク管理部、805 暗号鍵発行部、810 基盤宛先発行部、820 デバイス管理DB、830 デバイスルータ、840 データ変換器、850 データ記憶部、860 ユーザログイン処理部、870 アプリケーション処理部、2200 コンピュータ、2201 DVD−ROM、2210 ホストコントローラ、2212 CPU、2214 RAM、2216 グラフィックコントローラ、2218 ディスプレイデバイス、2220 入/出力コントローラ、2222 通信インターフェイス、2224 ハードディスクドライブ、2226 DVD−ROMドライブ、2230 ROM、2240 入/出力チップ、2242 キーボード

Claims (11)

  1. 納入先でネットワークに接続される納入対象ネットワークデバイスの納入前に、前記納入対象ネットワークデバイスに固有のデバイス識別情報を決定する識別情報決定部と、
    前記納入前に、納入先でネットワークに接続された前記納入対象ネットワークデバイスを認証するためのデバイス認証情報を生成する認証情報生成部と、
    前記納入前に、前記デバイス識別情報を前記納入対象ネットワークデバイスの設定装置へと送信して、納入先で前記納入対象ネットワークデバイスの本体または付属品から前記デバイス識別情報を取得可能に設定させる識別情報送信部と、
    前記納入前に、前記デバイス認証情報を前記設定装置へと送信して、前記納入対象ネットワークデバイスの記憶領域に記憶させる認証情報送信部と
    納入先でネットワークに接続された前記納入対象ネットワークデバイスを、前記納入対象ネットワークデバイスから送信された前記デバイス識別情報および前記デバイス認証情報を用いて認証するデバイス認証部と、
    納入先で使用される第2端末が前記納入対象ネットワークデバイスの本体または付属品から取得した前記デバイス識別情報を受信する識別情報受信部と、
    受信された前記デバイス識別情報が割り当てられた前記納入対象ネットワークデバイスをアクティベーションするアクティベーション処理部と
    を備えるプロビジョニングシステム。
  2. 前記納入前に、前記デバイス識別情報をコーディングした、前記納入対象ネットワークデバイスの本体または付属品上に貼付または印刷されるべきコードを生成するコード生成部を更に備え、
    前記識別情報送信部は、前記デバイス識別情報をコーディングした前記コードを前記設定装置へと送信する請求項1に記載のプロビジョニングシステム。
  3. 前記認証情報送信部は、前記デバイス認証情報を含むファイルを前記設定装置へと送信する請求項1または2に記載のプロビジョニングシステム。
  4. 前記納入前に、前記納入対象ネットワークデバイスを設定する設定者のログインを第1端末から受け付ける設定者ログイン処理部を更に備え、
    前記識別情報送信部および前記認証情報送信部は、前記設定者のログイン中に、前記デバイス識別情報および前記デバイス認証情報を前記第1端末へと送信する
    請求項1から3のいずれか一項に記載のプロビジョニングシステム。
  5. 前記納入対象ネットワークデバイスが正しく認証されたことに応じて、前記納入対象ネットワークデバイスに対して、複数のネットワークデバイスを接続したネットワークシステムを構築するサービスに接続するための暗号鍵を送信する暗号鍵送信部を更に備える請求項1から4のいずれか一項に記載のプロビジョニングシステム。
  6. 前記第2端末から、前記納入先のテナントのログインを受け付けるテナントログイン処理部を更に備え、
    前記識別情報受信部は、前記テナントのログイン中に前記第2端末が取得した前記デバイス識別情報を受信し、
    前記アクティベーション処理部は、前記テナントのログイン中に、前記デバイス識別情報が割り当てられた前記納入対象ネットワークデバイスを、前記テナントのネットワークデバイスとしてアクティベーションする
    請求項1から5のいずれか一項に記載のプロビジョニングシステム。
  7. コンピュータが、納入先でネットワークに接続される納入対象ネットワークデバイスの納入前に、前記納入対象ネットワークデバイスに固有のデバイス識別情報を決定し、
    前記コンピュータが、前記納入前に、納入先でネットワークに接続された前記納入対象ネットワークデバイスを認証するためのデバイス認証情報を生成し、
    前記コンピュータが、前記納入前に、前記デバイス識別情報を前記納入対象ネットワークデバイスの設定装置へと送信して、納入先で前記納入対象ネットワークデバイスの本体または付属品から前記デバイス識別情報を取得可能に設定させ、
    前記コンピュータが、前記納入前に、前記デバイス認証情報を前記設定装置へと送信して、前記納入対象ネットワークデバイスの記憶領域に記憶させ
    前記コンピュータが、納入先でネットワークに接続された前記納入対象ネットワークデバイスを、前記納入対象ネットワークデバイスから送信された前記デバイス識別情報および前記デバイス認証情報を用いて認証し、
    前記コンピュータが、納入先で使用される第2端末が前記納入対象ネットワークデバイスの本体または付属品から取得した前記デバイス識別情報を受信し、
    前記コンピュータが、受信された前記デバイス識別情報が割り当てられた前記納入対象ネットワークデバイスをアクティベーションする
    プロビジョニング方法。
  8. コンピュータにより実行され、前記コンピュータを、
    納入先でネットワークに接続される納入対象ネットワークデバイスの納入前に、前記納入対象ネットワークデバイスに固有のデバイス識別情報を決定する識別情報決定部と、
    前記納入前に、納入先でネットワークに接続された前記納入対象ネットワークデバイスを認証するためのデバイス認証情報を生成する認証情報生成部と、
    前記納入前に、前記デバイス識別情報を前記納入対象ネットワークデバイスの設定装置へと送信して、納入先で前記納入対象ネットワークデバイスの本体または付属品から前記デバイス識別情報を取得可能に設定させる識別情報送信部と、
    前記納入前に、前記デバイス認証情報を前記設定装置へと送信して、前記納入対象ネットワークデバイスの記憶領域に記憶させる認証情報送信部と
    納入先でネットワークに接続された前記納入対象ネットワークデバイスを、前記納入対象ネットワークデバイスから送信された前記デバイス識別情報および前記デバイス認証情報を用いて認証するデバイス認証部と、
    納入先で使用される第2端末が前記納入対象ネットワークデバイスの本体または付属品から取得した前記デバイス識別情報を受信する識別情報受信部と、
    受信された前記デバイス識別情報が割り当てられた前記納入対象ネットワークデバイスをアクティベーションするアクティベーション処理部と
    して機能させるためのプロビジョニングプログラム。
  9. ネットワークデバイスであって、
    前記ネットワークデバイスの本体または付属品に設けられ、前記ネットワークデバイスのデバイス識別情報を端末が取得可能に提供することにより、ネットワークに接続されたシステムによって、前記デバイス識別情報を前記端末から受信させて前記ネットワークデバイスをアクティベーションさせるデバイス識別情報提供部と、
    ネットワークに接続された前記ネットワークデバイスを認証するためのデバイス認証情報を、前記ネットワークデバイスの納入前に格納するためのデバイス認証情報記憶部と、
    前記デバイス識別情報を、前記ネットワークデバイスの納入前に格納するためのデバイス識別情報記憶部と、
    前記ネットワークデバイスが前記ネットワークに接続されたことに応じて、前記デバイス識別情報記憶部に記憶された前記デバイス識別情報および前記デバイス認証情報記憶部に記憶された前記デバイス認証情報を用いて、前記ネットワークデバイスを前記ネットワークに接続されたシステムにより認証させるデバイス認証処理部と、
    前記ネットワークデバイスを認証した前記システムから、複数のネットワークデバイスを接続したネットワークシステムを構築するサービスにアクセスするための暗号鍵を受信する暗号鍵受信部と、
    前記暗号鍵を記憶する暗号鍵記憶部と
    を備えるネットワークデバイス。
  10. 前記暗号鍵を用いて、前記サービスを提供するサービス提供システムに接続するサービス接続処理部を更に備える請求項に記載のネットワークデバイス。
  11. 前記ネットワークデバイスは、ネットワークに接続可能なセンサ装置または少なくとも1つのセンサをネットワークに接続するセンサゲートウェイ装置である請求項または10に記載のネットワークデバイス。
JP2018033316A 2018-02-27 2018-02-27 プロビジョニングシステム、プロビジョニング方法、プロビジョニングプログラム、およびネットワークデバイス Active JP6702347B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2018033316A JP6702347B2 (ja) 2018-02-27 2018-02-27 プロビジョニングシステム、プロビジョニング方法、プロビジョニングプログラム、およびネットワークデバイス
EP19710807.9A EP3759666A1 (en) 2018-02-27 2019-02-19 Provisioning system, provisioning method, provisioning program, and, network device
CN201980015286.1A CN111771217A (zh) 2018-02-27 2019-02-19 配置系统、配置方法、配置程序和网络设备
PCT/JP2019/006076 WO2019167720A1 (en) 2018-02-27 2019-02-19 Provisioning system, provisioning method, provisioning program, and, network device
US16/992,147 US20200374276A1 (en) 2018-02-27 2020-08-13 Provisioning system, provisioning method, provisioning program, and, network device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018033316A JP6702347B2 (ja) 2018-02-27 2018-02-27 プロビジョニングシステム、プロビジョニング方法、プロビジョニングプログラム、およびネットワークデバイス

Publications (2)

Publication Number Publication Date
JP2019148991A JP2019148991A (ja) 2019-09-05
JP6702347B2 true JP6702347B2 (ja) 2020-06-03

Family

ID=65763698

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018033316A Active JP6702347B2 (ja) 2018-02-27 2018-02-27 プロビジョニングシステム、プロビジョニング方法、プロビジョニングプログラム、およびネットワークデバイス

Country Status (5)

Country Link
US (1) US20200374276A1 (ja)
EP (1) EP3759666A1 (ja)
JP (1) JP6702347B2 (ja)
CN (1) CN111771217A (ja)
WO (1) WO2019167720A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022142911A (ja) * 2021-03-17 2022-10-03 アズビル株式会社 ネットワーク構成検証装置および方法
CN113033231B (zh) * 2021-05-21 2021-08-06 宜科(天津)电子有限公司 基于ptl电子标签的信息交互系统
CN114444904A (zh) * 2022-01-12 2022-05-06 广东利元亨智能装备股份有限公司 自动匹配数据的方法、设备以及存储介质

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6094600A (en) * 1996-02-06 2000-07-25 Fisher-Rosemount Systems, Inc. System and method for managing a transaction database of records of changes to field device configurations
US6428220B1 (en) * 2000-01-07 2002-08-06 Monarch Marking Systems, Inc. Portable barcode printer with improved control and display for a small number of function keys
US6540142B1 (en) * 2001-12-17 2003-04-01 Zih Corp. Native XML printer
JP2005149284A (ja) * 2003-11-18 2005-06-09 Yokogawa Electric Corp ファシリティ管理システム
JP4640311B2 (ja) * 2006-10-06 2011-03-02 コニカミノルタビジネステクノロジーズ株式会社 認証装置、認証システム、認証方法、および認証装置を制御するためのプログラム
US7970830B2 (en) * 2009-04-01 2011-06-28 Honeywell International Inc. Cloud computing for an industrial automation and manufacturing system
EP2472451A1 (en) * 2010-12-30 2012-07-04 Philip Morris Products S.A. Method and apparatus for marking manufactured items
JP5924013B2 (ja) * 2011-09-16 2016-05-25 株式会社リコー 情報処理システム、情報処理装置、情報処理方法、及びプログラム
US20150051930A1 (en) 2012-03-28 2015-02-19 Hitachi Systems, Ltd. Application development sales support system
US9189187B2 (en) * 2013-07-30 2015-11-17 Ricoh Company, Ltd. Service providing system and service providing method for providing a service to a service usage device connected via a network
EP3256995A1 (en) * 2015-02-09 2017-12-20 Koninklijke Philips N.V. Wearable devices as a service

Also Published As

Publication number Publication date
EP3759666A1 (en) 2021-01-06
JP2019148991A (ja) 2019-09-05
WO2019167720A1 (en) 2019-09-06
CN111771217A (zh) 2020-10-13
US20200374276A1 (en) 2020-11-26

Similar Documents

Publication Publication Date Title
JP6927136B2 (ja) 管理装置、管理方法およびプログラム
US9608972B2 (en) Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output
US8745390B1 (en) Mutual authentication and key exchange for inter-application communication
US8681350B2 (en) Systems and methods for enterprise sharing of a printing device
JP6702347B2 (ja) プロビジョニングシステム、プロビジョニング方法、プロビジョニングプログラム、およびネットワークデバイス
KR101745706B1 (ko) 생체 정보 기반 인증 장치 그리고 이의 동작 방법
KR102105735B1 (ko) 제한적 사용 인증 코드 생성 및 사용 기법
JP6380009B2 (ja) 情報処理システム、認証方法、および情報処理装置
JP5360192B2 (ja) 個人認証システムおよび個人認証方法
JP2015028704A (ja) サービス提供システム、サービス提供方法及びプログラム
JP6303312B2 (ja) サービス提供システム及び画像提供方法
JP6624251B1 (ja) インターフェイスモジュール、ネットワークデバイス、およびネットワークシステム
KR102269085B1 (ko) 통합 식별 정보를 이용하여 복수의 프로그램에 로그인을 수행하는 전자 장치의 동작 방법
KR102257874B1 (ko) 맞춤형 o4o 서비스 구축 플랫폼 제공 방법, 장치 및 컴퓨터-판독가능 기록매체
US20180144331A1 (en) Information processing apparatus and information processing method
JP6065161B2 (ja) 産業機器生産システム、産業機器生産方法、プログラム、及び情報記憶媒体
JP2015028740A (ja) サービス提供システム、サービス提供方法及びプログラム
JP6910166B2 (ja) 認証仲介装置及び認証仲介プログラム
JP5928190B2 (ja) 認証システム及び認証方法
JP2018036801A (ja) 情報処理装置、情報処理方法、およびコンピュータプログラム
JP2005122259A (ja) 電子契約方法、電子契約システム、電子契約プログラムおよび記憶媒体
JP2017167947A (ja) 情報処理装置、情報処理システム、情報処理方法、及びプログラム
JP2015099480A (ja) 決済端末装置、更新プログラム
JP2015082211A (ja) 情報処理装置、情報処理方法、およびプログラム
JP2009134667A (ja) 耐タンパデバイス発行システム及び発行方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190222

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200420

R150 Certificate of patent or registration of utility model

Ref document number: 6702347

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150