無線デバイスへの安全な自動鍵ロードを用いる無線メッシュネットワーク
無線メッシュネットワークは、1つまたは複数の暗号鍵を使用してデータを暗号化することによって安全な通信を実現する。ネットワークのセキュリティマネージャと通信を行う構成デバイスは、セキュリティマネージャとメッシュネットワークに加えられる新しいフィールドデバイスとの間に安全な一時的通信経路を形成する。次いで、構成デバイスを介して安全にネットワークのセキュリティマネージャと新しいフィールドデバイスとの間で暗号材料および他の構成データを転送することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線メッシュネットワークを介して通信するデバイスに関する。特に、本発明は、無線メッシュネットワークへのデバイスの加入前に暗号鍵をデバイス内に自動的に、安全にロード(load)することに関する。
【背景技術】
【0002】
無線データ通信および制御は、未来のセンサ自動化、プロセス制御、セキュリティ、および安全規制に重要な役割を担う。無線データ通信および制御にとって重要な要件の1つは、ネットワークを介して通信するデバイスの消費電力を最小限に抑えることである。
【0003】
低電力のセンサ/アクチュエータベースのアプリケーション向けに設計された無線メッシュネットワークシステムでは、ネットワーク内の多くのデバイスが、寿命の長い電池または低電力エネルギースカベンジング電源によって電力を供給されなければならない。120VAC電源などのコンセントは、典型的には、大きな据え付け費を負うことなく器具(センサ)およびアクチュエータが配置されなければならない危険な場所に隣接して配置されることはなく、またはその中には許可されないことがある。据え付け費の低減が必要であることから、無線メッシュネットワークの一部として通信する電池式のデバイスが必要になる。再充電できない一次電池などの有限電源の効果的使用が、無線デバイスがうまく機能するうえで極めて重要である。電池は5年より長く、好ましくは製品の寿命まで持続することが期待される。
【0004】
自己組織化マルチホップネットワークとも称されうる、真の無線メッシュネットワークでは、それぞれのデバイスは、ネットワーク内でそれ自体ならびに他のデバイスに対してメッセージをルーティングできなければならない。ネットワーク経由でノードからノードへメッセージがホッピングするという概念は、低電力のRFラジオが使用される可能性があり、しかも、メッシュネットワークが一端から他端へメッセージを配送する重要な物理的領域にまたがる可能性があるため有益である。メッシュネットワークにおいては、大電力ラジオは必要でなく、中央基地局と直接交信する遠隔デバイスを採用するポイントツーポイントシステムとは対照的である。
【0005】
メッシュネットワークプロトコルは、デバイス間、およびデバイスとデータコレクタとの間のメッセージング、またはある程度高水準の高速データバスへのブリッジまたはゲートウェイのメッセージングのための代替経路の形成を可能にする。無線メッセージのための代替の冗長経路があれば、環境の影響により、または干渉により、他の経路がブロックされたり、または低下した場合でも、メッセージが流れる少なくとも1つの代替経路があることを保証することによって、データ信頼性が高まる。
【0006】
いくつかのメッシュネットワークプロトコルは、すべてのデバイスが割り当て済みの親および少なくとも1つの代替親を有するように決定論的にルーティングされる。メッシュネットワークの階層内では、人間の家族の場合と同様に、親は子を持ち、子はその親に対する孫を持ち、というような構成をとる。それぞれのデバイス(または「ノード」)は、その子孫に対するメッセージをネットワーク経由でゲートウェイなどのある種の最終目的地に中継する。親デバイスは、電池式デバイスまたは有限エネルギー電力を供給されるデバイスとすることができる。ノードがより多くの子孫を持てば持つほど、より多くのトラヒックをルーティングしなければならず、延いては、直接的にそれ自体の消費電力を増加させ電池寿命を縮めることになる。
【0007】
節電のために、いくつかのプロトコルでは、メッセージをリスンする限定された時間の間だけ、ノードのラジオをオンにすることによって、どのノードも任意の期間中に扱うことができるトラヒック量を制限する。したがって、平均電力を削減するために、このプロトコルによって、ラジオのデューティサイクル動作のオン、オフを繰り返し切り換えることができる。いくつかのプロトコルでは、節電のために、ネットワーク全体が同時にオンとオフになるように、グローバルデューティサイクルを使用する。他のプロトコル(例えば、TDMAベースのプロトコル)では、一緒にリンクされるノードの通信する対のみが所定の時間にオンとオフを同期して切り換えるようにスケジュールされるローカルデューティサイクルを使用する。典型的には、リンクは、一組のノードに、通信のための特定のタイムスロット、ラジオによって使用されるRF周波数チャネル、その時点で誰が受信しているか(Rx)、および誰が送信しているか(Tx)を割り当てることにより、予め定められる。
【0008】
メッシュネットワークでは、安全なネットワーク内に新しいデバイスを組み込むために「加入」と呼ばれるプロセスを使用する。この加入プロセス中に、いくつかの情報交換が行われ、構成が設定される。
【0009】
新しいデバイスでは、ラジオ範囲内にある類似のデバイスを発見するためにネットワーク既定チャネルを使用する。これらは、新しいデバイスがネットワークへの加盟を求めるために利用可能な、新しいデバイスが有する既存のネットワークノードである。範囲内にあるそれぞれのデバイスの存在が記録される。新しいデバイスは、隣接デバイスとのハンドシェークプロトコルを確立するためのメッセージを送信し、ネットワークへの加入を求め、デバイス番号およびネットワークIDを提供する。隣接デバイスは、例えば、ネットワークゲートウェイまたはそのゲートウェイに接続されているサーバ上で動作しているソフトウェアプログラムであってもよい、ネットワークマネージャに要求を伝達する。新しいデバイスは、その「隣接デバイス」リストをネットワークマネージャに提供し、このリストによって、ネットワークマネージャがネットワークに新しいデバイスが参加できるように確立されなければならないリンクを決定することができる。
【0010】
新しいデバイスは、ネットワークマネージャから加入メッセージを受信する。次いで、新しいデバイスは、ネットワークマネージャがネットワーク内の新しいデバイスから他のデバイスへのリンクを確立するために必要な他の情報とともに期待される応答を送り返す。
【0011】
新しいデバイスならびにその新しい親および子は、必要なリンクを確立するためにネットワークマネージャから構成情報を受け取って実装する。次いで、新しいデバイスは、ネットワークに完全に加入し、参加している。
【0012】
無線メッシュネットワークでは、通信のセキュリティおよび使い勝手が2つの重要な特徴である。これら2つの特徴は、対立する特徴となる可能性があるが、それは、通信のセキュリティは複雑さを暗示しており、物事がうまくいかなくなる機会のあることを示唆しているからである。
【0013】
無線メッシュネットワークにおいて使用される一アプローチでは、セキュリティは、対称加入鍵機構に基礎を置いている。正しい加入鍵をデバイスにロードすることによって、次いで、そのデバイスは、その隣接デバイスと通信し、またメッシュネットワークのゲートウェイと安全な方法で通信することができる。このアプローチでは、加入プロセス中に、隣接デバイスへのメッセージは、格納されている加入鍵を使用して新しいデバイスによって暗号化される。新しいデバイスが間違った加入鍵を持っている場合、加入要求は、隣接デバイスによって拒絶され、ネットワークマネージャには送信されない。また、新しいデバイスは、ネットワークマネージャから加入メッセージを復号化するために加入鍵を使用する。対称加入鍵機構を必要としないセキュリティに対する他のアプローチも可能である。これらの他のアプローチでは、非対称もしくは対称暗号鍵またはデバイス内に格納されている他の暗号材料を使用して、ネットワークセキュリティを確保する。
【0014】
無線メッシュネットワークの問題の1つは、暗号材料(加入鍵または他の対称もしくは非対称鍵など)を初回に無線デバイスにどのようにロードするかである。ロードが手動で実行される場合、人間の誤りが生じうる。ロードがデバイスとの無線通信を通じて実行される場合、通信は安全ではなく、また範囲内にある他の無線デバイスがロードされる新しいデバイスを宛先としていた暗号材料を受信して、場合によっては誤用することもありうる。
【発明の概要】
【発明が解決しようとする課題】
【0015】
無線メッシュネットワーク経由で通信する際に無線デバイスによって使用される暗号材料(暗号鍵または加入鍵など)は、構成デバイスを使用することで無線デバイス内にロードされる。新しい無線デバイスが、無線メッシュネットワーク内にインストールされることを予想して構成される場合、構成デバイスは、無線メッシュネットワークのセキュリティマネージャと無線デバイスとの間に安全な通信経路を形成する。暗号材料、さらには他の構成データは、構成デバイスを介してセキュリティマネージャと無線デバイスとの間で転送される。
【課題を解決するための手段】
【0016】
一実施形態では、構成デバイスと無線デバイスとの間の接続は、無線デバイスのアンテナの周りを囲む遮蔽されたアンテナを通じて無線通信プロトコルによってなされる。遮蔽されたアンテナは、構成デバイスと無線デバイスとの間の無線伝送が、近隣無線デバイスによって受信されるのを防ぐ。
【0017】
他の実施形態では、構成デバイスと無線デバイスとの間に一時的な有線接続が確立される。構成データおよび暗号材料は、無線デバイスへの有線接続を介して構成デバイスから供給される。制御システム通信プロトコル(例えば、HARTプロトコルなど)を使用して、構成データと暗号材料とを無線デバイスに供給することができる。
【図面の簡単な説明】
【0018】
【図1】ホストとフィールドデバイスとの間で無線メッシュネットワークによりメッセージのルーティングが行われるプロセス制御/監視システムを示す図である。
【図2A】安全な無線通信経路を形成するために構成デバイスを使用して図1のシステムに加えられるフィールドデバイス内に暗号材料をロードすることを示す図である。
【図2B】安全な無線通信経路を形成するために構成デバイスを使用して図1のシステムに加えられるフィールドデバイス内に暗号材料をロードすることを示す図である。
【図3】安全な有線通信経路を形成するために構成デバイスを使用して図1のシステムに加えられるフィールドデバイス内に暗号材料をロードすることを示す図である。
【発明を実施するための形態】
【0019】
図1は、ホストコンピュータ12、高速ネットワーク14、無線メッシュネットワーク16(ゲートウェイ18および無線フィールドデバイスまたはノード20a〜20iを含む)、構成デバイス30、およびネットワークコンピュータ32を備える、プロセス制御/監視システム10を示している。ゲートウェイ18は、高速ネットワーク14を介してメッシュネットワーク16とホストコンピュータ12とのインターフェースとなる。メッセージは、ネットワーク14を介してホストコンピュータ12からゲートウェイ18に伝送することができ、次いで、複数の異なる経路のうちの1つの経路を経由してメッシュネットワーク16の選択されたノードに送信される。同様に、メッシュネットワーク16の個別のノードからのメッセージは、それらがゲートウェイ18に到達し、次いで、高速ネットワーク14を介してホスト12に送信されるまで、複数の経路のうちの1つの経路を介してノードツーノードからメッシュネットワーク16を通じてルーティングされる。
【0020】
加入プロセスを使用して、新しい無線フィールドデバイスをネットワーク16に追加することができる。一実施形態では、ネットワーク16内のセキュリティは、対称加入鍵機構に基礎を置いている。デバイスが他のフィールドデバイスによって、またゲートウェイによって受け入れられるように、正しい加入鍵をフィールドデバイス内にロードしなければならない。加入鍵は、安全にロードされなければならないので、範囲内にある他の無線デバイスは、加入鍵を受信して、場合によっては間違って使用することはできない。加入鍵は、手動でそれぞれの新しいフィールドデバイス内にロードできるが、手動ロードは、誤りを起こしがちであり、人間のオペレータに暗号材料を曝すおそれがある。
【0021】
目標は、鍵などの暗号材料を安全な方法で新しいフィールドデバイス内にロードすることである。これは、ゲートウェイ18と新しいフィールドデバイスと間の安全な無線通信経路(図2Aおよび2Bに関して後で説明されるような)または安全な有線通信経路(図3に関して説明されているような)を通じて実現されうる。両方の場合において、構成デバイス30は、例えば、ウェブブラウザを含むことができるグラフィカルユーザインターフェース(GUI)を備えるネットワークコンピュータ32とともに、ネットワーク14に接続される。構成デバイス30とコンピュータ32上のGUIとを使用することで、技術者は、ネットワークセキュリティマネージャ(例えば、ゲートウェイ18またはホストコンピュータ12上で実行されているアプリケーションプログラムであってもよい)に問い合わせを行い、新しいフィールドデバイスに対する正しい加入鍵(または他の暗号材料)を取得し、加入鍵を新しいフィールドデバイス内に安全にロードすることができる。加入鍵および他の必要な情報がロードされた後、新しいフィールドデバイスをフィールド内にインストールすることができ、そこで、格納されている加入鍵を加入プロセスの一部として使用して、無線ネットワーク16の一部になることができる。
【0022】
ホストコンピュータ12は、フィールドデバイス20a〜20iにメッセージを送信すること、およびフィールドデバイス20a〜20iからのメッセージに含まれているデータを受信し、分析することを容易にするアプリケーションプログラムを実行する分散型制御システムオンホストとしてもよい。ホストコンピュータ12は、例えば、AMS(商標)デバイスマネージャをアプリケーションプログラムとして使用し、ユーザ側でフィールドデバイス20a〜20iを監視し、対話操作することを可能にすることができる。
【0023】
ゲートウェイ18は、いくつかの異なる通信プロトコルを使用してネットワーク14を介してホストコンピュータ12と通信することができる。一実施形態において、ネットワーク14は、2線式通信リンクであるRS485であり、これにより、ゲートウェイ18は、MODBUSプロトコルを使用してホストコンピュータ12と通信することができる。他の実施形態では、ネットワーク14は、イーサネットネットワークであり、ネットワーク14を介した通信は、イーサネットインターフェースを使用してMODBUD TCP/IPをサポートすることができる。
【0024】
ゲートウェイ18は、ウェブサーバとしても使用することができ(または関連するウェブサーバを有することができ)、これにより、ネットワーク14上のユーザは無線ネットワーク16のフィールドデバイス20a〜20iにアクセスし、データを処理することができる。ウェブサーバにおいて、ゲートウェイ18は、標準のウェブブラウザおよびネットワーク14との安全なイーサネット接続を備えるコンピュータを使用して構成することができる。ゲートウェイ18によって生成されるユーザ構成可能な監視ページを使用することで、フィールドデバイス20a〜20iからの測定された値をグループ化し、ウェブインターフェースに容易に表示することができる。ゲートウェイ18によって生成されたウェブページは、ホストコンピュータ12、またはネットワーク14に接続されている他のコンピュータもしくはネットワークデバイス(コンピュータ32など)を通じてネットワーク14にアクセスすることによって表示することができる。ゲートウェイ18の機能を実行するのに適しているデバイスの例としては、Rosemount Inc.社のRosemount 1420無線ゲートウェイがある。他の実施形態では、ウェブブラウザおよびウェブサーバがなくても、他のフォーマットでGUIを通じて情報を提供することができる。
【0025】
システム10は、有線分散型制御システム用に設計された、また使用されているフィールドデバイス、さらには無線メッシュネットワークで使用するように無線送信機として専用設計されたフィールドデバイスを使用することができる。無線送信機の例としては、Rosemount Inc.社のRosemount 3051S無線レベル送信機、Rosemount 648無線温度送信機、およびRosemount 3051S無線圧力送信機が挙げられる。これらの無線送信機は、有線システムで使用することも可能である。
【0026】
無線ネットワーク16は、好ましくは、ノードの多くが寿命の長い電池または低電力エネルギースカベンジング電源によって電力を供給される低電力ネットワークである。無線ネットワーク16を介した通信は、メッシュネットワーク構成に従って行うことができ、その場合、メッセージは、ネットワーク16を通じてノードツーノードから送信される。これにより、低電力RFラジオを使用することができるが、その一方で、ネットワーク16が重要な物理的領域にまたがり、ネットワークの一方端から他端へメッセージを配送することができる。
【0027】
有線制御/監視システムでは、ホストコンピュータとフィールドデバイスとの間の対話は、HART、Foundation Fieldbus、Profibus、または同様のものなどの制御システム通信プロトコルによるよく知られている制御メッセージを使用して実行される。有線システムと無線システムの両方で使用することができるフィールドデバイスは、知られている制御メッセージプロトコルのうちの1つに従って制御メッセージを使用することができる。いくつかの場合において、無線ネットワーク16の一部である、無線フィールドデバイス20a〜20iは、ネットワーク16上の無線通信が本質的に汎用である無線プロトコルに従って実行されるためホストコンピュータ12とこれらのよく知られている制御メッセージを直接交換することができない場合がある。
【0028】
無線プロトコルを使用してホストコンピュータ12およびフィールドデバイス20a〜20iが通信しなくても、無線ネットワーク16を介してホストコンピュータ12とフィールドデバイス20a〜20iとの間でよく知られているフィールドデバイス制御メッセージの送受信を行うことができるようにする方法を提供することができる。よく知られているフィールドデバイス制御メッセージは、フィールドデバイス20a〜20iとの対話の制御を行うために、ホストコンピュータ12とフィールドデバイス20a〜20iとの間で制御メッセージングを交換できるように汎用無線プロトコル中に埋め込むことができる。その結果、無線ネットワーク16およびその無線通信プロトコルは、ホストコンピュータ12およびフィールドデバイス20a〜20iに対し本質的に透過的である。以下の説明では、HARTプロトコルが、知られている制御システム通信プロトコルの一例として使用されるが、ただし、他のプロトコル(例えば、Foundation Fieldbus、Profibusなど)も使用することができる。
【0029】
同様の問題が、メッセージをフィールドデバイス20a〜20iに送るためにホストコンピュータ12によって使用されるアドレスに関係する。有線システムでは、ホストコンピュータは、一意的なフィールドデバイスアドレスを持つそれぞれのフィールドデバイスを処理する。アドレスは、使用される特定の通信プロトコルの一部として定義され、典型的には、ホストコンピュータによってフィールドデバイスに送信される制御メッセージの一部をなす。
【0030】
図1に示されているネットワーク16などの無線ネットワークが、ホストコンピュータからフィールドデバイスにメッセージをルーティングするために使用される場合、ホストコンピュータによって使用されるフィールドデバイスアドレスは、無線ネットワークの通信プロトコルによって使用される無線アドレスと互換性がない場合がある。
【0031】
アドレスを処理する一方法では、ホストコンピュータ12はフィールドデバイスアドレスではなく無線アドレスを使用する必要がある。しかし、このアプローチでは、フィールドデバイスと有線通信リンクを介して通信するのか、あるいは少なくとも一部は無線ネットワークを介して通信するのかによって、ホストコンピュータ12には異なるプログラミングが必要になる。それに加えて、典型的には異なる目的を有する、また個別に処理される必要がある、複数のフィールドデバイスの問題が残っている。
【0032】
代替アプローチでは、ホストコンピュータ12によって供給されるフィールドデバイスアドレスを対応する無線アドレスに変換するためにゲートウェイ18を使用する。無線メッセージは、無線アドレスに送信され、メッセージを受信するノードがメッセージを該当するフィールドデバイスに送ることができるようにフィールドデバイスアドレスも含む。フィールドデバイスアドレスを対応する無線アドレスに変換することによって、ホストコンピュータ12は、フィールドデバイスと対話するときにその固有のフィールドアドレスドメイン内で機能しうる。
【0033】
一実施形態では、ホストコンピュータ12は、拡張マークアップ言語(XML)形式のメッセージを使用してゲートウェイ18と通信する。フィールドデバイス20a〜20i宛の制御メッセージは、HARTプロトコルに従って送り出され、XML形式でゲートウェイ18に伝達される。
【0034】
一実施形態では、ゲートウェイ18は、ゲートウェイインターフェース、ネットワーク(またはメッシュ)マネージャ、およびラジオトランシーバを備える。ゲートウェイインターフェースは、ホストコンピュータ12からXMLドキュメントを受信し、HART制御メッセージを抽出し、制御メッセージを、無線ネットワーク16を介して送信される無線メッセージ内に埋め込まれる形式に修正する。
【0035】
ネットワークまたはメッシュマネージャは、HART制御メッセージが埋め込まれ、ノードのアドレスがHARTメッセージの送り先となるフィールドデバイスに対応している、無線メッセージを形成する。メッシュマネージャは、例えば、それぞれのフィールドデバイスアドレスを、そのフィールドデバイスアドレスに対応するフィールドデバイスが配置されているノードの無線アドレスに相関させるルックアップテーブルを維持している場合がある。無線プロトコルによる無線メッセージは、ネットワーク16を通じて無線メッセージをルーティングするために使用される、無線ノードアドレスを含む。フィールドデバイスアドレスは、無線メッセージ内に埋め込まれているHARTメッセージに格納され、ネットワーク16を通じて無線メッセージをルーティングするためには使用されない。その代わりに、フィールドデバイスアドレスは、無線メッセージが意図されたノードに到達した後に使用される。
【0036】
メッシュマネージャによって、ゲートウェイ18内のラジオは無線メッセージを送信することになり、これにより、無線メッセージは、ネットワーク16内で1つまたは複数のホップにより意図されたフィールドデバイスに送信される。例えば、フィールドデバイス20fへのメッセージは、ゲートウェイ18からフィールドデバイス20aに送信され、次いで、フィールドデバイス20fに送信されうるか、あるいはゲートウェイ18からフィールドデバイス20bに送信され、次いで、フィールドデバイス20fに送信されうる。ネットワーク16内では、他のルートも可能である。
【0037】
無線メッセージ(無線プロトコルの)内に埋め込まれた制御メッセージ(制御メッセージプロトコルの)を使用することで、分散型制御システムのホストコンピュータは無線通信ネットワークを通じてフィールドデバイスと対話することができる。無線ネットワークを介した制御メッセージの伝送に対応できるようにホストコンピュータまたはフィールドデバイスのいずれかによって修正しなくても、HART、Fieldbus、または同様のものなどの知られている制御メッセージ形式を使用してホストコンピュータとフィールドデバイスとの間で制御メッセージを交換することができる。制御メッセージは無線通信プロトコル内に埋め込まれ、これにより、ホストコンピュータとフィールドデバイスとの間で交換される制御メッセージの実体は、無線ネットワークを通過した結果として変更されずそのままである。
【0038】
大きすぎて無線通信プロトコルを通じてルーティングできない制御メッセージをいくつかのパートに分けて、マルチパートとして送信することができる。それぞれのパートが1つの無線メッセージ内に埋め込まれ、マルチパートは、無線ネットワークを出るときに元の制御メッセージに組み立て直すことができる。埋め込まれている制御メッセージ内のメッセージIDを使用することによって、元の制御メッセージの埋め込まれた部分を有する個別の無線メッセージが無線ネットワークを通る異なる経路を採ることができるとしても、マルチパートを適切な順序で組み立て直すことができる。
【0039】
フィールドデバイスアドレスを対応する無線アドレスに変換することによって、ホスト12は、その固有のフィールドデバイスアドレスドメインにおいて機能することができ、その一方で、無線アドレスドメイン内でフィールドデバイスと対話することができる。無線ネットワーク16を使用して、メッセージをフィールドデバイスとの間でルーティングすることは、ホスト12に対し透過的である。無線メッセージ内の無線アドレスとフィールドデバイスアドレスの両方のアドレス変換および包含により、単一のノード(例えば、単一の無線アドレス)に関連付けられている複数のフィールドデバイスを個別に処理することができる。
【0040】
図2Aおよび2Bは、無線ネットワーク16に加えられるように暗号材料(加入鍵など)をロードすることによって構成される必要がある、新しいフィールドデバイス20jを示している。この実施形態では、技術者が、構成デバイス30、コンピュータ32、チューブ状のアンテナ34、および同軸ケーブル36を使用して、ゲートウェイ18に問い合わせを行い、必要な加入鍵を取得し、フィールドデバイス20jのアンテナ34とアンテナ40との間の無線通信を通じて新しいフィールドデバイス20jに加入鍵を供給する。
【0041】
典型的な慣例では、加入鍵などの暗号材料を新しいデバイス20jにロードすることは、現場にデバイス20jをインストールする前に技術者によって実験室または工場で実行されうる。構成デバイス30およびコンピュータ32は、工場または実験室でネットワーク14に接続される。加入鍵ロードプロセスは、無線ネットワーク16に対しゲートウェイ18との通信を確立することによって開始され、新しいフィールドデバイスはこの中に追加される。いくつかの場合において、複数のゲートウェイがネットワーク14に常駐することができ、同じ無線ネットワークまたは異なる無線ネットワークと対話することができる。
【0042】
技術者は、コンピュータ32上で実行されるGUIを使用して情報にアクセスすることができる。例えば、情報は、ゲートウェイ18のウェブサーバによって生成されるウェブページ内にフォーマットされうる。ゲートウェイ18によって供給されるウェブページの1つを使用することで、技術者は、新しいフィールドデバイスを無線ネットワーク16に追加することができる。これは、ウェブページ上の「add」ボタンの形で存在しうる。追加機能が要求された場合(つまり、addボタンがクリックされた場合)、ゲートウェイ18は、構成デバイス30によって確立された安全な通信経路を通じて新しいフィールドデバイス20jによって使用される暗号材料(加入鍵など)を送信する。暗号材料は、例えば、ゲートウェイ18またホストコンピュータ12上で実行されるプログラムであってもよい、ネットワークのセキュリティマネージャによって供給される。
【0043】
チューブ状のアンテナ34は、図2Bに示されているように、新しいフィールドデバイス20jのアンテナ40上に置かれる。チューブ状のアンテナ34が適所に置いた状態で、アンテナ34とアンテナ40との間で無線通信を行うことができ、したがって、暗号材料を安全にロードすることができる。チューブ状のアンテナ34は、例えば、金属パイプ(銅など)またはプラスチックコーティングを施した金属メッシュチューブとすることができる。同軸ケーブル36によってチューブ34の内部に送られるRF信号は、金属パイプまたはメッシュチューブによって周りのデバイスから遮蔽され、したがって、アンテナ40のみが、構成デバイス30からRF信号を受信することができる。
【0044】
図2Aおよび2Bに示されている実施形態では、構成デバイス30は、例えば、発光ダイオードであってもよい、ステータスインジケータ42および44を備える。あるいは、ディスプレイ(液晶ディスプレイなど)を、インジケータ42および44の代わりに、またはそれに加えて使用することができる。構成デバイス30は、新しいフィールドデバイス20jが有効であるという認証を供給することもでき、またゲートウェイ18によって維持されるフィールドデバイスのリストに追加されるべきである。インジケータ42および44は、この認証プロセス中にステータスおよびセキュリティ情報を供給することができる。例えば、一実施形態では、インジケータ42は、インジケータ42が点灯しているときにデバイス20jのステータスが未知であることを示し、インジケータ42が点滅しているときにデバイス20jのステータスが検証中であることを示すことができる。同様に、インジケータ44は、点滅することによってフィールドデバイス20jが有効なデバイスであることを示すことができ、インジケータ44が連続的に点灯しているときにセキュリティ鍵がロードされていることを示すことができる。
【0045】
認証プロセス中に、情報は、アンテナ34、同軸ケーブル36、および構成デバイス30によって確立された安全な通信経路を通じてセキュリティマネージャと新しいフィールドデバイス20jとの間で交換されうる。例えば、デバイス番号およびネットワークID情報を交換することができる。
【0046】
図3は、加入鍵を新しいフィールドデバイスにダウンロードすることに対する代替実施形態を示している。この実施形態では、構成デバイス30は、2線式バス50を介してメッセージを無線デバイス20jに供給することができる。説明されている実施形態では、フィールドデバイス20a〜20jは、有線構成だけでなく無線ネットワークでも動作する能力を有する。図3に示されている実施形態は、HARTなどの制御システム通信プロトコルでメッセージを送信できるフィールドデバイス20jとの一時的な2線式接続を可能にすることによってその能力を利用する。構成デバイス30は、ゲートウェイ18またはホストコンピュータ12から、高速ネットワーク14上で配送されるメッセージを受信し、それらのメッセージをHARTプロトコルに変換し、2線式通信バス50を介して配送する。フィールドデバイス20jからの返信メッセージは、HARTプロトコルのメッセージであり、そのHARTメッセージを変換するか、または埋め込んで高速ネットワーク14を介して伝送する構成デバイス30に配送される。メッセージをイーサネット形式からHARTプロトコル(図3)または無線プロトコル(図2Aおよび2B)に変換するための構成デバイス30内のアプリケーションプログラムは、高速ネットワーク14と無線ネットワーク16との間で類似の形式変換を実行するためにゲートウェイ18によって使用されるアプリケーションプログラムに類似したものとすることができる。
【0047】
図2Aおよび2Bに示されている実施形態のように、図3の実施形態では、暗号材料のロードとともに新しいフィールドデバイス20jの認証を可能にする。図3の構成デバイス30のインジケータ42および44は、図2Aおよび2Bを参照しつつ説明されているのと同じステータスおよびセキュリティ情報を供給することができる。
【0048】
構成デバイス30によってダウンロードされた暗号材料は、それぞれのフィールドデバイスについて一意的であるか、またはそれぞれのネットワークについて一意的であるものとすることができる。単一のメッセージに対する一意的な鍵の使用は、歴史的に、「ワンタイムパッド」と称されてきた。これは、ネットワークセキュリティに対するしらみつぶし的な攻撃に対抗する最良の保護形態を実現するが、それは、この攻撃が基づく統計的データがないからである。この技術を使用することによって、加入鍵を、1回しか使用されないように、また事前に承認されているデバイスのみによって使用されるように設定することができる。
【0049】
ゲートウェイ18またはホストコンピュータ12からダウンロードできる他の構成データとしては、ネットワークIDおよびネットワーク鍵が挙げられる。構成データ30を通じて新しいフィールドデバイスに転送される構成データの範囲は、コンピュータ32上のGUIを通じて技術者によって選択可能なものとすることができる。他の場合には、転送される構成データは、ゲートウェイ18によって自動的に決定することができる。
【0050】
ゲートウェイ18と新しいフィールドデバイス(フィールドデバイス20jなど)との間の安全な通信経路を確立する構成デバイスを使用することで、暗号材料をロードし、無線ネットワーク16内にフィールドデバイス20jをインストールするために必要な他の構成および認証を実行する自動化プロセスが可能になる。暗号材料および他の構成データの転送、および認証プロセスは、技術者による手動入力がなくても、自動的に実行することができる。このプロセスは、ネットワーク14に接続されたコンピュータ32上のGUIを通じて技術者によって制御されうる。いくつかの場合において、GUIは、ゲートウェイ18のウェブサーバが供給するウェブページを使用するウェブブラウザを含むことができる。
【0051】
構成デバイス30は、単純なものであり、最小限度の接続数を使用する。構成デバイス30によって実行される機能は、専用のものであり、また制限されており、したがって、必要なアプリケーションプログラムは比較的小さく、必要なハードウェアも比較的安価である。いくつかの場合において、安全な無線通信およびフィールドデバイスとの有線通信の両方に対する機能は、同じ構成デバイス内に備えることができる。他の場合には、必要な安全な通信の形態のみが備えられうる。
【0052】
同じ構成デバイスを、複数のゲートウェイとともに使用することができる。特定のゲートウェイ(および無線ネットワーク)を、新しいフィールドデバイスが加入している特定の無線ネットワークを選択することによってコンピュータ32上のGUIを通じて選択することができる。
【0053】
他の実施形態では、構成デバイス30およびコンピュータ32の機能を単一デバイスに組み合わせることができる。例えば、構成デバイス30は、セキュリティマネージャを直接表示し、対話するためのユーザインターフェース(ディスプレイおよびキーボードまたはタッチスクリーン入力)を備えることも可能である。
【0054】
本発明は、好ましい実施形態を参照しつつ説明されているが、当業者であれば、本発明の精神および範囲から逸脱することなく形態および詳細に変更が加えられうることを理解するであろう。
【技術分野】
【0001】
本発明は、無線メッシュネットワークを介して通信するデバイスに関する。特に、本発明は、無線メッシュネットワークへのデバイスの加入前に暗号鍵をデバイス内に自動的に、安全にロード(load)することに関する。
【背景技術】
【0002】
無線データ通信および制御は、未来のセンサ自動化、プロセス制御、セキュリティ、および安全規制に重要な役割を担う。無線データ通信および制御にとって重要な要件の1つは、ネットワークを介して通信するデバイスの消費電力を最小限に抑えることである。
【0003】
低電力のセンサ/アクチュエータベースのアプリケーション向けに設計された無線メッシュネットワークシステムでは、ネットワーク内の多くのデバイスが、寿命の長い電池または低電力エネルギースカベンジング電源によって電力を供給されなければならない。120VAC電源などのコンセントは、典型的には、大きな据え付け費を負うことなく器具(センサ)およびアクチュエータが配置されなければならない危険な場所に隣接して配置されることはなく、またはその中には許可されないことがある。据え付け費の低減が必要であることから、無線メッシュネットワークの一部として通信する電池式のデバイスが必要になる。再充電できない一次電池などの有限電源の効果的使用が、無線デバイスがうまく機能するうえで極めて重要である。電池は5年より長く、好ましくは製品の寿命まで持続することが期待される。
【0004】
自己組織化マルチホップネットワークとも称されうる、真の無線メッシュネットワークでは、それぞれのデバイスは、ネットワーク内でそれ自体ならびに他のデバイスに対してメッセージをルーティングできなければならない。ネットワーク経由でノードからノードへメッセージがホッピングするという概念は、低電力のRFラジオが使用される可能性があり、しかも、メッシュネットワークが一端から他端へメッセージを配送する重要な物理的領域にまたがる可能性があるため有益である。メッシュネットワークにおいては、大電力ラジオは必要でなく、中央基地局と直接交信する遠隔デバイスを採用するポイントツーポイントシステムとは対照的である。
【0005】
メッシュネットワークプロトコルは、デバイス間、およびデバイスとデータコレクタとの間のメッセージング、またはある程度高水準の高速データバスへのブリッジまたはゲートウェイのメッセージングのための代替経路の形成を可能にする。無線メッセージのための代替の冗長経路があれば、環境の影響により、または干渉により、他の経路がブロックされたり、または低下した場合でも、メッセージが流れる少なくとも1つの代替経路があることを保証することによって、データ信頼性が高まる。
【0006】
いくつかのメッシュネットワークプロトコルは、すべてのデバイスが割り当て済みの親および少なくとも1つの代替親を有するように決定論的にルーティングされる。メッシュネットワークの階層内では、人間の家族の場合と同様に、親は子を持ち、子はその親に対する孫を持ち、というような構成をとる。それぞれのデバイス(または「ノード」)は、その子孫に対するメッセージをネットワーク経由でゲートウェイなどのある種の最終目的地に中継する。親デバイスは、電池式デバイスまたは有限エネルギー電力を供給されるデバイスとすることができる。ノードがより多くの子孫を持てば持つほど、より多くのトラヒックをルーティングしなければならず、延いては、直接的にそれ自体の消費電力を増加させ電池寿命を縮めることになる。
【0007】
節電のために、いくつかのプロトコルでは、メッセージをリスンする限定された時間の間だけ、ノードのラジオをオンにすることによって、どのノードも任意の期間中に扱うことができるトラヒック量を制限する。したがって、平均電力を削減するために、このプロトコルによって、ラジオのデューティサイクル動作のオン、オフを繰り返し切り換えることができる。いくつかのプロトコルでは、節電のために、ネットワーク全体が同時にオンとオフになるように、グローバルデューティサイクルを使用する。他のプロトコル(例えば、TDMAベースのプロトコル)では、一緒にリンクされるノードの通信する対のみが所定の時間にオンとオフを同期して切り換えるようにスケジュールされるローカルデューティサイクルを使用する。典型的には、リンクは、一組のノードに、通信のための特定のタイムスロット、ラジオによって使用されるRF周波数チャネル、その時点で誰が受信しているか(Rx)、および誰が送信しているか(Tx)を割り当てることにより、予め定められる。
【0008】
メッシュネットワークでは、安全なネットワーク内に新しいデバイスを組み込むために「加入」と呼ばれるプロセスを使用する。この加入プロセス中に、いくつかの情報交換が行われ、構成が設定される。
【0009】
新しいデバイスでは、ラジオ範囲内にある類似のデバイスを発見するためにネットワーク既定チャネルを使用する。これらは、新しいデバイスがネットワークへの加盟を求めるために利用可能な、新しいデバイスが有する既存のネットワークノードである。範囲内にあるそれぞれのデバイスの存在が記録される。新しいデバイスは、隣接デバイスとのハンドシェークプロトコルを確立するためのメッセージを送信し、ネットワークへの加入を求め、デバイス番号およびネットワークIDを提供する。隣接デバイスは、例えば、ネットワークゲートウェイまたはそのゲートウェイに接続されているサーバ上で動作しているソフトウェアプログラムであってもよい、ネットワークマネージャに要求を伝達する。新しいデバイスは、その「隣接デバイス」リストをネットワークマネージャに提供し、このリストによって、ネットワークマネージャがネットワークに新しいデバイスが参加できるように確立されなければならないリンクを決定することができる。
【0010】
新しいデバイスは、ネットワークマネージャから加入メッセージを受信する。次いで、新しいデバイスは、ネットワークマネージャがネットワーク内の新しいデバイスから他のデバイスへのリンクを確立するために必要な他の情報とともに期待される応答を送り返す。
【0011】
新しいデバイスならびにその新しい親および子は、必要なリンクを確立するためにネットワークマネージャから構成情報を受け取って実装する。次いで、新しいデバイスは、ネットワークに完全に加入し、参加している。
【0012】
無線メッシュネットワークでは、通信のセキュリティおよび使い勝手が2つの重要な特徴である。これら2つの特徴は、対立する特徴となる可能性があるが、それは、通信のセキュリティは複雑さを暗示しており、物事がうまくいかなくなる機会のあることを示唆しているからである。
【0013】
無線メッシュネットワークにおいて使用される一アプローチでは、セキュリティは、対称加入鍵機構に基礎を置いている。正しい加入鍵をデバイスにロードすることによって、次いで、そのデバイスは、その隣接デバイスと通信し、またメッシュネットワークのゲートウェイと安全な方法で通信することができる。このアプローチでは、加入プロセス中に、隣接デバイスへのメッセージは、格納されている加入鍵を使用して新しいデバイスによって暗号化される。新しいデバイスが間違った加入鍵を持っている場合、加入要求は、隣接デバイスによって拒絶され、ネットワークマネージャには送信されない。また、新しいデバイスは、ネットワークマネージャから加入メッセージを復号化するために加入鍵を使用する。対称加入鍵機構を必要としないセキュリティに対する他のアプローチも可能である。これらの他のアプローチでは、非対称もしくは対称暗号鍵またはデバイス内に格納されている他の暗号材料を使用して、ネットワークセキュリティを確保する。
【0014】
無線メッシュネットワークの問題の1つは、暗号材料(加入鍵または他の対称もしくは非対称鍵など)を初回に無線デバイスにどのようにロードするかである。ロードが手動で実行される場合、人間の誤りが生じうる。ロードがデバイスとの無線通信を通じて実行される場合、通信は安全ではなく、また範囲内にある他の無線デバイスがロードされる新しいデバイスを宛先としていた暗号材料を受信して、場合によっては誤用することもありうる。
【発明の概要】
【発明が解決しようとする課題】
【0015】
無線メッシュネットワーク経由で通信する際に無線デバイスによって使用される暗号材料(暗号鍵または加入鍵など)は、構成デバイスを使用することで無線デバイス内にロードされる。新しい無線デバイスが、無線メッシュネットワーク内にインストールされることを予想して構成される場合、構成デバイスは、無線メッシュネットワークのセキュリティマネージャと無線デバイスとの間に安全な通信経路を形成する。暗号材料、さらには他の構成データは、構成デバイスを介してセキュリティマネージャと無線デバイスとの間で転送される。
【課題を解決するための手段】
【0016】
一実施形態では、構成デバイスと無線デバイスとの間の接続は、無線デバイスのアンテナの周りを囲む遮蔽されたアンテナを通じて無線通信プロトコルによってなされる。遮蔽されたアンテナは、構成デバイスと無線デバイスとの間の無線伝送が、近隣無線デバイスによって受信されるのを防ぐ。
【0017】
他の実施形態では、構成デバイスと無線デバイスとの間に一時的な有線接続が確立される。構成データおよび暗号材料は、無線デバイスへの有線接続を介して構成デバイスから供給される。制御システム通信プロトコル(例えば、HARTプロトコルなど)を使用して、構成データと暗号材料とを無線デバイスに供給することができる。
【図面の簡単な説明】
【0018】
【図1】ホストとフィールドデバイスとの間で無線メッシュネットワークによりメッセージのルーティングが行われるプロセス制御/監視システムを示す図である。
【図2A】安全な無線通信経路を形成するために構成デバイスを使用して図1のシステムに加えられるフィールドデバイス内に暗号材料をロードすることを示す図である。
【図2B】安全な無線通信経路を形成するために構成デバイスを使用して図1のシステムに加えられるフィールドデバイス内に暗号材料をロードすることを示す図である。
【図3】安全な有線通信経路を形成するために構成デバイスを使用して図1のシステムに加えられるフィールドデバイス内に暗号材料をロードすることを示す図である。
【発明を実施するための形態】
【0019】
図1は、ホストコンピュータ12、高速ネットワーク14、無線メッシュネットワーク16(ゲートウェイ18および無線フィールドデバイスまたはノード20a〜20iを含む)、構成デバイス30、およびネットワークコンピュータ32を備える、プロセス制御/監視システム10を示している。ゲートウェイ18は、高速ネットワーク14を介してメッシュネットワーク16とホストコンピュータ12とのインターフェースとなる。メッセージは、ネットワーク14を介してホストコンピュータ12からゲートウェイ18に伝送することができ、次いで、複数の異なる経路のうちの1つの経路を経由してメッシュネットワーク16の選択されたノードに送信される。同様に、メッシュネットワーク16の個別のノードからのメッセージは、それらがゲートウェイ18に到達し、次いで、高速ネットワーク14を介してホスト12に送信されるまで、複数の経路のうちの1つの経路を介してノードツーノードからメッシュネットワーク16を通じてルーティングされる。
【0020】
加入プロセスを使用して、新しい無線フィールドデバイスをネットワーク16に追加することができる。一実施形態では、ネットワーク16内のセキュリティは、対称加入鍵機構に基礎を置いている。デバイスが他のフィールドデバイスによって、またゲートウェイによって受け入れられるように、正しい加入鍵をフィールドデバイス内にロードしなければならない。加入鍵は、安全にロードされなければならないので、範囲内にある他の無線デバイスは、加入鍵を受信して、場合によっては間違って使用することはできない。加入鍵は、手動でそれぞれの新しいフィールドデバイス内にロードできるが、手動ロードは、誤りを起こしがちであり、人間のオペレータに暗号材料を曝すおそれがある。
【0021】
目標は、鍵などの暗号材料を安全な方法で新しいフィールドデバイス内にロードすることである。これは、ゲートウェイ18と新しいフィールドデバイスと間の安全な無線通信経路(図2Aおよび2Bに関して後で説明されるような)または安全な有線通信経路(図3に関して説明されているような)を通じて実現されうる。両方の場合において、構成デバイス30は、例えば、ウェブブラウザを含むことができるグラフィカルユーザインターフェース(GUI)を備えるネットワークコンピュータ32とともに、ネットワーク14に接続される。構成デバイス30とコンピュータ32上のGUIとを使用することで、技術者は、ネットワークセキュリティマネージャ(例えば、ゲートウェイ18またはホストコンピュータ12上で実行されているアプリケーションプログラムであってもよい)に問い合わせを行い、新しいフィールドデバイスに対する正しい加入鍵(または他の暗号材料)を取得し、加入鍵を新しいフィールドデバイス内に安全にロードすることができる。加入鍵および他の必要な情報がロードされた後、新しいフィールドデバイスをフィールド内にインストールすることができ、そこで、格納されている加入鍵を加入プロセスの一部として使用して、無線ネットワーク16の一部になることができる。
【0022】
ホストコンピュータ12は、フィールドデバイス20a〜20iにメッセージを送信すること、およびフィールドデバイス20a〜20iからのメッセージに含まれているデータを受信し、分析することを容易にするアプリケーションプログラムを実行する分散型制御システムオンホストとしてもよい。ホストコンピュータ12は、例えば、AMS(商標)デバイスマネージャをアプリケーションプログラムとして使用し、ユーザ側でフィールドデバイス20a〜20iを監視し、対話操作することを可能にすることができる。
【0023】
ゲートウェイ18は、いくつかの異なる通信プロトコルを使用してネットワーク14を介してホストコンピュータ12と通信することができる。一実施形態において、ネットワーク14は、2線式通信リンクであるRS485であり、これにより、ゲートウェイ18は、MODBUSプロトコルを使用してホストコンピュータ12と通信することができる。他の実施形態では、ネットワーク14は、イーサネットネットワークであり、ネットワーク14を介した通信は、イーサネットインターフェースを使用してMODBUD TCP/IPをサポートすることができる。
【0024】
ゲートウェイ18は、ウェブサーバとしても使用することができ(または関連するウェブサーバを有することができ)、これにより、ネットワーク14上のユーザは無線ネットワーク16のフィールドデバイス20a〜20iにアクセスし、データを処理することができる。ウェブサーバにおいて、ゲートウェイ18は、標準のウェブブラウザおよびネットワーク14との安全なイーサネット接続を備えるコンピュータを使用して構成することができる。ゲートウェイ18によって生成されるユーザ構成可能な監視ページを使用することで、フィールドデバイス20a〜20iからの測定された値をグループ化し、ウェブインターフェースに容易に表示することができる。ゲートウェイ18によって生成されたウェブページは、ホストコンピュータ12、またはネットワーク14に接続されている他のコンピュータもしくはネットワークデバイス(コンピュータ32など)を通じてネットワーク14にアクセスすることによって表示することができる。ゲートウェイ18の機能を実行するのに適しているデバイスの例としては、Rosemount Inc.社のRosemount 1420無線ゲートウェイがある。他の実施形態では、ウェブブラウザおよびウェブサーバがなくても、他のフォーマットでGUIを通じて情報を提供することができる。
【0025】
システム10は、有線分散型制御システム用に設計された、また使用されているフィールドデバイス、さらには無線メッシュネットワークで使用するように無線送信機として専用設計されたフィールドデバイスを使用することができる。無線送信機の例としては、Rosemount Inc.社のRosemount 3051S無線レベル送信機、Rosemount 648無線温度送信機、およびRosemount 3051S無線圧力送信機が挙げられる。これらの無線送信機は、有線システムで使用することも可能である。
【0026】
無線ネットワーク16は、好ましくは、ノードの多くが寿命の長い電池または低電力エネルギースカベンジング電源によって電力を供給される低電力ネットワークである。無線ネットワーク16を介した通信は、メッシュネットワーク構成に従って行うことができ、その場合、メッセージは、ネットワーク16を通じてノードツーノードから送信される。これにより、低電力RFラジオを使用することができるが、その一方で、ネットワーク16が重要な物理的領域にまたがり、ネットワークの一方端から他端へメッセージを配送することができる。
【0027】
有線制御/監視システムでは、ホストコンピュータとフィールドデバイスとの間の対話は、HART、Foundation Fieldbus、Profibus、または同様のものなどの制御システム通信プロトコルによるよく知られている制御メッセージを使用して実行される。有線システムと無線システムの両方で使用することができるフィールドデバイスは、知られている制御メッセージプロトコルのうちの1つに従って制御メッセージを使用することができる。いくつかの場合において、無線ネットワーク16の一部である、無線フィールドデバイス20a〜20iは、ネットワーク16上の無線通信が本質的に汎用である無線プロトコルに従って実行されるためホストコンピュータ12とこれらのよく知られている制御メッセージを直接交換することができない場合がある。
【0028】
無線プロトコルを使用してホストコンピュータ12およびフィールドデバイス20a〜20iが通信しなくても、無線ネットワーク16を介してホストコンピュータ12とフィールドデバイス20a〜20iとの間でよく知られているフィールドデバイス制御メッセージの送受信を行うことができるようにする方法を提供することができる。よく知られているフィールドデバイス制御メッセージは、フィールドデバイス20a〜20iとの対話の制御を行うために、ホストコンピュータ12とフィールドデバイス20a〜20iとの間で制御メッセージングを交換できるように汎用無線プロトコル中に埋め込むことができる。その結果、無線ネットワーク16およびその無線通信プロトコルは、ホストコンピュータ12およびフィールドデバイス20a〜20iに対し本質的に透過的である。以下の説明では、HARTプロトコルが、知られている制御システム通信プロトコルの一例として使用されるが、ただし、他のプロトコル(例えば、Foundation Fieldbus、Profibusなど)も使用することができる。
【0029】
同様の問題が、メッセージをフィールドデバイス20a〜20iに送るためにホストコンピュータ12によって使用されるアドレスに関係する。有線システムでは、ホストコンピュータは、一意的なフィールドデバイスアドレスを持つそれぞれのフィールドデバイスを処理する。アドレスは、使用される特定の通信プロトコルの一部として定義され、典型的には、ホストコンピュータによってフィールドデバイスに送信される制御メッセージの一部をなす。
【0030】
図1に示されているネットワーク16などの無線ネットワークが、ホストコンピュータからフィールドデバイスにメッセージをルーティングするために使用される場合、ホストコンピュータによって使用されるフィールドデバイスアドレスは、無線ネットワークの通信プロトコルによって使用される無線アドレスと互換性がない場合がある。
【0031】
アドレスを処理する一方法では、ホストコンピュータ12はフィールドデバイスアドレスではなく無線アドレスを使用する必要がある。しかし、このアプローチでは、フィールドデバイスと有線通信リンクを介して通信するのか、あるいは少なくとも一部は無線ネットワークを介して通信するのかによって、ホストコンピュータ12には異なるプログラミングが必要になる。それに加えて、典型的には異なる目的を有する、また個別に処理される必要がある、複数のフィールドデバイスの問題が残っている。
【0032】
代替アプローチでは、ホストコンピュータ12によって供給されるフィールドデバイスアドレスを対応する無線アドレスに変換するためにゲートウェイ18を使用する。無線メッセージは、無線アドレスに送信され、メッセージを受信するノードがメッセージを該当するフィールドデバイスに送ることができるようにフィールドデバイスアドレスも含む。フィールドデバイスアドレスを対応する無線アドレスに変換することによって、ホストコンピュータ12は、フィールドデバイスと対話するときにその固有のフィールドアドレスドメイン内で機能しうる。
【0033】
一実施形態では、ホストコンピュータ12は、拡張マークアップ言語(XML)形式のメッセージを使用してゲートウェイ18と通信する。フィールドデバイス20a〜20i宛の制御メッセージは、HARTプロトコルに従って送り出され、XML形式でゲートウェイ18に伝達される。
【0034】
一実施形態では、ゲートウェイ18は、ゲートウェイインターフェース、ネットワーク(またはメッシュ)マネージャ、およびラジオトランシーバを備える。ゲートウェイインターフェースは、ホストコンピュータ12からXMLドキュメントを受信し、HART制御メッセージを抽出し、制御メッセージを、無線ネットワーク16を介して送信される無線メッセージ内に埋め込まれる形式に修正する。
【0035】
ネットワークまたはメッシュマネージャは、HART制御メッセージが埋め込まれ、ノードのアドレスがHARTメッセージの送り先となるフィールドデバイスに対応している、無線メッセージを形成する。メッシュマネージャは、例えば、それぞれのフィールドデバイスアドレスを、そのフィールドデバイスアドレスに対応するフィールドデバイスが配置されているノードの無線アドレスに相関させるルックアップテーブルを維持している場合がある。無線プロトコルによる無線メッセージは、ネットワーク16を通じて無線メッセージをルーティングするために使用される、無線ノードアドレスを含む。フィールドデバイスアドレスは、無線メッセージ内に埋め込まれているHARTメッセージに格納され、ネットワーク16を通じて無線メッセージをルーティングするためには使用されない。その代わりに、フィールドデバイスアドレスは、無線メッセージが意図されたノードに到達した後に使用される。
【0036】
メッシュマネージャによって、ゲートウェイ18内のラジオは無線メッセージを送信することになり、これにより、無線メッセージは、ネットワーク16内で1つまたは複数のホップにより意図されたフィールドデバイスに送信される。例えば、フィールドデバイス20fへのメッセージは、ゲートウェイ18からフィールドデバイス20aに送信され、次いで、フィールドデバイス20fに送信されうるか、あるいはゲートウェイ18からフィールドデバイス20bに送信され、次いで、フィールドデバイス20fに送信されうる。ネットワーク16内では、他のルートも可能である。
【0037】
無線メッセージ(無線プロトコルの)内に埋め込まれた制御メッセージ(制御メッセージプロトコルの)を使用することで、分散型制御システムのホストコンピュータは無線通信ネットワークを通じてフィールドデバイスと対話することができる。無線ネットワークを介した制御メッセージの伝送に対応できるようにホストコンピュータまたはフィールドデバイスのいずれかによって修正しなくても、HART、Fieldbus、または同様のものなどの知られている制御メッセージ形式を使用してホストコンピュータとフィールドデバイスとの間で制御メッセージを交換することができる。制御メッセージは無線通信プロトコル内に埋め込まれ、これにより、ホストコンピュータとフィールドデバイスとの間で交換される制御メッセージの実体は、無線ネットワークを通過した結果として変更されずそのままである。
【0038】
大きすぎて無線通信プロトコルを通じてルーティングできない制御メッセージをいくつかのパートに分けて、マルチパートとして送信することができる。それぞれのパートが1つの無線メッセージ内に埋め込まれ、マルチパートは、無線ネットワークを出るときに元の制御メッセージに組み立て直すことができる。埋め込まれている制御メッセージ内のメッセージIDを使用することによって、元の制御メッセージの埋め込まれた部分を有する個別の無線メッセージが無線ネットワークを通る異なる経路を採ることができるとしても、マルチパートを適切な順序で組み立て直すことができる。
【0039】
フィールドデバイスアドレスを対応する無線アドレスに変換することによって、ホスト12は、その固有のフィールドデバイスアドレスドメインにおいて機能することができ、その一方で、無線アドレスドメイン内でフィールドデバイスと対話することができる。無線ネットワーク16を使用して、メッセージをフィールドデバイスとの間でルーティングすることは、ホスト12に対し透過的である。無線メッセージ内の無線アドレスとフィールドデバイスアドレスの両方のアドレス変換および包含により、単一のノード(例えば、単一の無線アドレス)に関連付けられている複数のフィールドデバイスを個別に処理することができる。
【0040】
図2Aおよび2Bは、無線ネットワーク16に加えられるように暗号材料(加入鍵など)をロードすることによって構成される必要がある、新しいフィールドデバイス20jを示している。この実施形態では、技術者が、構成デバイス30、コンピュータ32、チューブ状のアンテナ34、および同軸ケーブル36を使用して、ゲートウェイ18に問い合わせを行い、必要な加入鍵を取得し、フィールドデバイス20jのアンテナ34とアンテナ40との間の無線通信を通じて新しいフィールドデバイス20jに加入鍵を供給する。
【0041】
典型的な慣例では、加入鍵などの暗号材料を新しいデバイス20jにロードすることは、現場にデバイス20jをインストールする前に技術者によって実験室または工場で実行されうる。構成デバイス30およびコンピュータ32は、工場または実験室でネットワーク14に接続される。加入鍵ロードプロセスは、無線ネットワーク16に対しゲートウェイ18との通信を確立することによって開始され、新しいフィールドデバイスはこの中に追加される。いくつかの場合において、複数のゲートウェイがネットワーク14に常駐することができ、同じ無線ネットワークまたは異なる無線ネットワークと対話することができる。
【0042】
技術者は、コンピュータ32上で実行されるGUIを使用して情報にアクセスすることができる。例えば、情報は、ゲートウェイ18のウェブサーバによって生成されるウェブページ内にフォーマットされうる。ゲートウェイ18によって供給されるウェブページの1つを使用することで、技術者は、新しいフィールドデバイスを無線ネットワーク16に追加することができる。これは、ウェブページ上の「add」ボタンの形で存在しうる。追加機能が要求された場合(つまり、addボタンがクリックされた場合)、ゲートウェイ18は、構成デバイス30によって確立された安全な通信経路を通じて新しいフィールドデバイス20jによって使用される暗号材料(加入鍵など)を送信する。暗号材料は、例えば、ゲートウェイ18またホストコンピュータ12上で実行されるプログラムであってもよい、ネットワークのセキュリティマネージャによって供給される。
【0043】
チューブ状のアンテナ34は、図2Bに示されているように、新しいフィールドデバイス20jのアンテナ40上に置かれる。チューブ状のアンテナ34が適所に置いた状態で、アンテナ34とアンテナ40との間で無線通信を行うことができ、したがって、暗号材料を安全にロードすることができる。チューブ状のアンテナ34は、例えば、金属パイプ(銅など)またはプラスチックコーティングを施した金属メッシュチューブとすることができる。同軸ケーブル36によってチューブ34の内部に送られるRF信号は、金属パイプまたはメッシュチューブによって周りのデバイスから遮蔽され、したがって、アンテナ40のみが、構成デバイス30からRF信号を受信することができる。
【0044】
図2Aおよび2Bに示されている実施形態では、構成デバイス30は、例えば、発光ダイオードであってもよい、ステータスインジケータ42および44を備える。あるいは、ディスプレイ(液晶ディスプレイなど)を、インジケータ42および44の代わりに、またはそれに加えて使用することができる。構成デバイス30は、新しいフィールドデバイス20jが有効であるという認証を供給することもでき、またゲートウェイ18によって維持されるフィールドデバイスのリストに追加されるべきである。インジケータ42および44は、この認証プロセス中にステータスおよびセキュリティ情報を供給することができる。例えば、一実施形態では、インジケータ42は、インジケータ42が点灯しているときにデバイス20jのステータスが未知であることを示し、インジケータ42が点滅しているときにデバイス20jのステータスが検証中であることを示すことができる。同様に、インジケータ44は、点滅することによってフィールドデバイス20jが有効なデバイスであることを示すことができ、インジケータ44が連続的に点灯しているときにセキュリティ鍵がロードされていることを示すことができる。
【0045】
認証プロセス中に、情報は、アンテナ34、同軸ケーブル36、および構成デバイス30によって確立された安全な通信経路を通じてセキュリティマネージャと新しいフィールドデバイス20jとの間で交換されうる。例えば、デバイス番号およびネットワークID情報を交換することができる。
【0046】
図3は、加入鍵を新しいフィールドデバイスにダウンロードすることに対する代替実施形態を示している。この実施形態では、構成デバイス30は、2線式バス50を介してメッセージを無線デバイス20jに供給することができる。説明されている実施形態では、フィールドデバイス20a〜20jは、有線構成だけでなく無線ネットワークでも動作する能力を有する。図3に示されている実施形態は、HARTなどの制御システム通信プロトコルでメッセージを送信できるフィールドデバイス20jとの一時的な2線式接続を可能にすることによってその能力を利用する。構成デバイス30は、ゲートウェイ18またはホストコンピュータ12から、高速ネットワーク14上で配送されるメッセージを受信し、それらのメッセージをHARTプロトコルに変換し、2線式通信バス50を介して配送する。フィールドデバイス20jからの返信メッセージは、HARTプロトコルのメッセージであり、そのHARTメッセージを変換するか、または埋め込んで高速ネットワーク14を介して伝送する構成デバイス30に配送される。メッセージをイーサネット形式からHARTプロトコル(図3)または無線プロトコル(図2Aおよび2B)に変換するための構成デバイス30内のアプリケーションプログラムは、高速ネットワーク14と無線ネットワーク16との間で類似の形式変換を実行するためにゲートウェイ18によって使用されるアプリケーションプログラムに類似したものとすることができる。
【0047】
図2Aおよび2Bに示されている実施形態のように、図3の実施形態では、暗号材料のロードとともに新しいフィールドデバイス20jの認証を可能にする。図3の構成デバイス30のインジケータ42および44は、図2Aおよび2Bを参照しつつ説明されているのと同じステータスおよびセキュリティ情報を供給することができる。
【0048】
構成デバイス30によってダウンロードされた暗号材料は、それぞれのフィールドデバイスについて一意的であるか、またはそれぞれのネットワークについて一意的であるものとすることができる。単一のメッセージに対する一意的な鍵の使用は、歴史的に、「ワンタイムパッド」と称されてきた。これは、ネットワークセキュリティに対するしらみつぶし的な攻撃に対抗する最良の保護形態を実現するが、それは、この攻撃が基づく統計的データがないからである。この技術を使用することによって、加入鍵を、1回しか使用されないように、また事前に承認されているデバイスのみによって使用されるように設定することができる。
【0049】
ゲートウェイ18またはホストコンピュータ12からダウンロードできる他の構成データとしては、ネットワークIDおよびネットワーク鍵が挙げられる。構成データ30を通じて新しいフィールドデバイスに転送される構成データの範囲は、コンピュータ32上のGUIを通じて技術者によって選択可能なものとすることができる。他の場合には、転送される構成データは、ゲートウェイ18によって自動的に決定することができる。
【0050】
ゲートウェイ18と新しいフィールドデバイス(フィールドデバイス20jなど)との間の安全な通信経路を確立する構成デバイスを使用することで、暗号材料をロードし、無線ネットワーク16内にフィールドデバイス20jをインストールするために必要な他の構成および認証を実行する自動化プロセスが可能になる。暗号材料および他の構成データの転送、および認証プロセスは、技術者による手動入力がなくても、自動的に実行することができる。このプロセスは、ネットワーク14に接続されたコンピュータ32上のGUIを通じて技術者によって制御されうる。いくつかの場合において、GUIは、ゲートウェイ18のウェブサーバが供給するウェブページを使用するウェブブラウザを含むことができる。
【0051】
構成デバイス30は、単純なものであり、最小限度の接続数を使用する。構成デバイス30によって実行される機能は、専用のものであり、また制限されており、したがって、必要なアプリケーションプログラムは比較的小さく、必要なハードウェアも比較的安価である。いくつかの場合において、安全な無線通信およびフィールドデバイスとの有線通信の両方に対する機能は、同じ構成デバイス内に備えることができる。他の場合には、必要な安全な通信の形態のみが備えられうる。
【0052】
同じ構成デバイスを、複数のゲートウェイとともに使用することができる。特定のゲートウェイ(および無線ネットワーク)を、新しいフィールドデバイスが加入している特定の無線ネットワークを選択することによってコンピュータ32上のGUIを通じて選択することができる。
【0053】
他の実施形態では、構成デバイス30およびコンピュータ32の機能を単一デバイスに組み合わせることができる。例えば、構成デバイス30は、セキュリティマネージャを直接表示し、対話するためのユーザインターフェース(ディスプレイおよびキーボードまたはタッチスクリーン入力)を備えることも可能である。
【0054】
本発明は、好ましい実施形態を参照しつつ説明されているが、当業者であれば、本発明の精神および範囲から逸脱することなく形態および詳細に変更が加えられうることを理解するであろう。
【特許請求の範囲】
【請求項1】
無線デバイス内に暗号材料をロードして前記無線デバイスを無線ネットワークの一部として動作させることを可能にする方法であって、
無線メッシュネットワークの構成デバイスとセキュリティマネージャとの間にネットワーク接続を確立することと、
前記構成デバイスを介して前記セキュリティマネージャと前記無線デバイスとの間に安全な通信経路を確立することと、
前記安全な通信経路を通じて前記セキュリティマネージャから前記暗号材料を前記無線デバイスにロードすることとを含む方法。
【請求項2】
前記安全な通信経路は、前記構成デバイスと前記無線デバイスとの間の遮蔽された無線リンクを備える請求項1に記載の方法。
【請求項3】
前記遮蔽された無線リンクは、前記構成デバイスに接続され、前記無線デバイスのアンテナ上に装着可能なチューブ状アンテナを備える請求項2に記載の方法。
【請求項4】
前記構成デバイスは、前記ネットワーク接続を介して前記セキュリティマネージャから受信されたメッセージを無線通信プロトコルに変換する請求項2に記載の方法。
【請求項5】
前記安全な通信経路は、前記構成デバイスと前記無線デバイスとの間の一時的有線接続を備える請求項1に記載の方法。
【請求項6】
前記構成デバイスは、制御システム通信プロトコルを使用して前記一時的有線接続を介して前記無線デバイスと通信する請求項5に記載の方法。
【請求項7】
前記構成デバイスは、前記ネットワーク接続を介して前記セキュリティマネージャから受信されたメッセージを前記制御システム通信プロトコルに変換する請求項6に記載の方法。
【請求項8】
前記安全な通信経路を通じて前記暗号材料に加えて構成データをロードすることをさらに含む請求項1に記載の方法。
【請求項9】
グラフィカルユーザインターフェースを表示することと、
前記グラフィカルユーザインターフェースを通じて前記暗号材料のロードを開始することとを含む請求項1に記載の方法。
【請求項10】
前記ネットワーク接続は、前記構成デバイスの接続先となる有線デジタル通信ネットワークを含む請求項1に記載の方法。
【請求項11】
前記暗号材料は、ワンタイムパッド技術を使用して生成される鍵を含む請求項1に記載の方法。
【請求項12】
無線ネットワークを有線デジタル通信ネットワークとインターフェースするゲートウェイを含む前記無線ネットワーク内にインストールされる無線デバイスに対する初期構成データを供給するための構成デバイスであって、
前記有線デジタル通信ネットワークへの有線接続と、
前記無線デバイスと通信するための安全な通信リンクと、
前記ゲートウェイと前記無線デバイスとの間に、前記初期構成データの転送に使用される安全な通信経路を確立するためのインターフェースとを備える構成デバイス。
【請求項13】
前記構成データは、暗号材料およびネットワークIDのうちの少なくとも一方を含む請求項12に記載の構成デバイス。
【請求項14】
前記安全な通信リンクは、前記構成デバイスと前記無線デバイスとの間の遮蔽された無線リンクを含む請求項12に記載の構成デバイス。
【請求項15】
前記遮蔽された無線リンクは、前記無線デバイスのアンテナ上に装着可能なチューブ状アンテナを備える請求項14に記載の構成デバイス。
【請求項16】
前記インターフェースは、前記ネットワーク接続を介して前記ゲートウェイから受信されたメッセージを無線通信プロトコルに変換する請求項14に記載の構成。
【請求項17】
前記安全な通信リンクは、前記構成デバイスと前記無線デバイスとの間の一時的な有線接続を備える請求項12に記載の構成デバイス。
【請求項18】
前記構成デバイスは、制御システム通信プロトコルを使用して前記一時的有線接続を介して前記無線デバイスと通信する請求項17に記載の構成デバイス。
【請求項19】
前記インターフェースは、前記ネットワーク接続を介して前記ゲートウェイから受信されたメッセージを前記制御システム通信プロトコルに変換する請求項18に記載の構成デバイス。
【請求項1】
無線デバイス内に暗号材料をロードして前記無線デバイスを無線ネットワークの一部として動作させることを可能にする方法であって、
無線メッシュネットワークの構成デバイスとセキュリティマネージャとの間にネットワーク接続を確立することと、
前記構成デバイスを介して前記セキュリティマネージャと前記無線デバイスとの間に安全な通信経路を確立することと、
前記安全な通信経路を通じて前記セキュリティマネージャから前記暗号材料を前記無線デバイスにロードすることとを含む方法。
【請求項2】
前記安全な通信経路は、前記構成デバイスと前記無線デバイスとの間の遮蔽された無線リンクを備える請求項1に記載の方法。
【請求項3】
前記遮蔽された無線リンクは、前記構成デバイスに接続され、前記無線デバイスのアンテナ上に装着可能なチューブ状アンテナを備える請求項2に記載の方法。
【請求項4】
前記構成デバイスは、前記ネットワーク接続を介して前記セキュリティマネージャから受信されたメッセージを無線通信プロトコルに変換する請求項2に記載の方法。
【請求項5】
前記安全な通信経路は、前記構成デバイスと前記無線デバイスとの間の一時的有線接続を備える請求項1に記載の方法。
【請求項6】
前記構成デバイスは、制御システム通信プロトコルを使用して前記一時的有線接続を介して前記無線デバイスと通信する請求項5に記載の方法。
【請求項7】
前記構成デバイスは、前記ネットワーク接続を介して前記セキュリティマネージャから受信されたメッセージを前記制御システム通信プロトコルに変換する請求項6に記載の方法。
【請求項8】
前記安全な通信経路を通じて前記暗号材料に加えて構成データをロードすることをさらに含む請求項1に記載の方法。
【請求項9】
グラフィカルユーザインターフェースを表示することと、
前記グラフィカルユーザインターフェースを通じて前記暗号材料のロードを開始することとを含む請求項1に記載の方法。
【請求項10】
前記ネットワーク接続は、前記構成デバイスの接続先となる有線デジタル通信ネットワークを含む請求項1に記載の方法。
【請求項11】
前記暗号材料は、ワンタイムパッド技術を使用して生成される鍵を含む請求項1に記載の方法。
【請求項12】
無線ネットワークを有線デジタル通信ネットワークとインターフェースするゲートウェイを含む前記無線ネットワーク内にインストールされる無線デバイスに対する初期構成データを供給するための構成デバイスであって、
前記有線デジタル通信ネットワークへの有線接続と、
前記無線デバイスと通信するための安全な通信リンクと、
前記ゲートウェイと前記無線デバイスとの間に、前記初期構成データの転送に使用される安全な通信経路を確立するためのインターフェースとを備える構成デバイス。
【請求項13】
前記構成データは、暗号材料およびネットワークIDのうちの少なくとも一方を含む請求項12に記載の構成デバイス。
【請求項14】
前記安全な通信リンクは、前記構成デバイスと前記無線デバイスとの間の遮蔽された無線リンクを含む請求項12に記載の構成デバイス。
【請求項15】
前記遮蔽された無線リンクは、前記無線デバイスのアンテナ上に装着可能なチューブ状アンテナを備える請求項14に記載の構成デバイス。
【請求項16】
前記インターフェースは、前記ネットワーク接続を介して前記ゲートウェイから受信されたメッセージを無線通信プロトコルに変換する請求項14に記載の構成。
【請求項17】
前記安全な通信リンクは、前記構成デバイスと前記無線デバイスとの間の一時的な有線接続を備える請求項12に記載の構成デバイス。
【請求項18】
前記構成デバイスは、制御システム通信プロトコルを使用して前記一時的有線接続を介して前記無線デバイスと通信する請求項17に記載の構成デバイス。
【請求項19】
前記インターフェースは、前記ネットワーク接続を介して前記ゲートウェイから受信されたメッセージを前記制御システム通信プロトコルに変換する請求項18に記載の構成デバイス。
【図1】
【図2A】
【図2B】
【図3】
【図2A】
【図2B】
【図3】
【公表番号】特表2011−504684(P2011−504684A)
【公表日】平成23年2月10日(2011.2.10)
【国際特許分類】
【出願番号】特願2010−534029(P2010−534029)
【出願日】平成20年11月12日(2008.11.12)
【国際出願番号】PCT/US2008/012697
【国際公開番号】WO2009/064409
【国際公開日】平成21年5月22日(2009.5.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(597115727)ローズマウント インコーポレイテッド (240)
【Fターム(参考)】
【公表日】平成23年2月10日(2011.2.10)
【国際特許分類】
【出願日】平成20年11月12日(2008.11.12)
【国際出願番号】PCT/US2008/012697
【国際公開番号】WO2009/064409
【国際公開日】平成21年5月22日(2009.5.22)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(597115727)ローズマウント インコーポレイテッド (240)
【Fターム(参考)】
[ Back to top ]