無線通信装置及び無線通信システム
【課題】プロビジョニング専用の無線サブネットを用いることなく、無駄な電力消費を抑えてセキュリティを維持しつつプロビジョニングを行うことができる無線通信装置及び無線通信システムを提供する。
【解決手段】無線通信システム1は、プロビジョニング済デバイスである無線デバイス11aを無線通信ネットワークN1に接続させるための無線通信リソースを示す情報とDL MICとが格納されたパケットを広告A1として送信するとともに、要プロビジョニングデバイスである無線デバイス11bを無線通信ネットワークN1に接続させるための無線通信リソースを示す情報とDL MICでは取り得ない特別な値とが格納されたパケットを広告A2として送信するプロビジョニング対応広告ルータ12と、無線デバイス11bに対するプロビジョニングを行うシステムマネージャ14とを備える。
【解決手段】無線通信システム1は、プロビジョニング済デバイスである無線デバイス11aを無線通信ネットワークN1に接続させるための無線通信リソースを示す情報とDL MICとが格納されたパケットを広告A1として送信するとともに、要プロビジョニングデバイスである無線デバイス11bを無線通信ネットワークN1に接続させるための無線通信リソースを示す情報とDL MICでは取り得ない特別な値とが格納されたパケットを広告A2として送信するプロビジョニング対応広告ルータ12と、無線デバイス11bに対するプロビジョニングを行うシステムマネージャ14とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信装置及び無線通信システムに関する。
【背景技術】
【0002】
近年、プラントや工場等においては、無線フィールド機器と呼ばれる無線通信が可能な現場機器(測定器、操作器)を設置し、無線フィールド機器を制御するための制御信号や無線フィールド機器で得られた測定信号等を、無線通信ネットワークを介して通信する無線通信システムが実現されている。このような無線通信システムで用いられる通信規格としては、例えば国際計測制御学会(ISA:International Society of Automation)で策定されたインダストリアル・オートメーション用無線通信規格であるISA100.11aが挙げられる。
【0003】
ここで、上記の無線フィールド機器等の無線デバイスを無線通信ネットワークに参入させるには、無線デバイスに対して「プロビジョニング(Provisioning)」と呼ばれる機器情報(ネットワークパラメータ及びセキュリティパラメータ)の設定作業を行う必要がある。この「プロビジョニング」を行う手法としては、上記の無線通信規格ISA100.11aに準拠した無線通信を行って機器情報の設定を行うOTA(Over The Air)プロビジョニングと、この無線通信とは異なる通信手段(例えば、赤外線通信等)による通信を行って機器情報の設定を行うOOB(Out-Of-Band)プロビジョニングとに大別される。
【0004】
以下の非特許文献1には、上記のOTAプロビジョニングを行う方法が幾つか規定されている。例えば、無線通信システムで管理する無線通信ネットワークを複数の無線サブネットに分割し、運用用の無線サブネット(ターゲットネットワーク)上に、プロビジョニングに用いる専用の無線サブネット(プロビジョニングネットワーク)を論理的に分離した状態に構築し、ターゲットネットワークからプロビジョニングネットワークを介してフィールド機器に機器情報を設定する方法が規定されている。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】“ISA-100.11a-2009 Wireless systems for industrial automation: Process control and related applications”,p.666-693 p.306-310 p.170-184
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、上述したプロビジョニング専用の無線サブネットであるプロビジョニングネットワークを用いたプロビジョニングは、論理的に分離されたターゲットネットワークとプロビジョニングネットワークとの間の通信が可能であることが前提となる。このため、ターゲットネットワークとプロビジョニングネットワークとを中継してプロビジョニングに必要な機能を備える特殊な中継機器(以下、プロビジョニング対応中継機器という)が必要になる。
【0007】
しかしながら、上記のプロビジョニング対応中継機器を用いる場合には、プロビジョニング対応中継機器自体の処理がサブネット内で中継を行う通常の中継機器(ルータ)よりも複雑になるとともに、無線通信システムに設けられる管理装置(無線通信リソースを統括管理する装置)の処理が複雑化してしまうという問題がある。その理由は、異なる無線サブネットを中継するプロビジョニング対応中継機器は、通常の中継機器よりも上位の層(例えば、データリンク層よりも上位のネットワーク層)で転送処理を行う必要があるからである。また、プロビジョニングネットワークは、連続した1つの無線サブネットとして構築されるターゲットネットワークとは異なり、ターゲットネットワーク上に点在した状態に構築されるからである。
【0008】
ここで、上述したプロビジョニングネットワークを用いずに、ターゲットネットワークに無線デバイスを直接接続してプロビジョニングを行う方法も考えられる。しかしながら、かかる方法は、本来であれば参入が許可されていない無線デバイスを一時的ではあるがターゲットネットワークに参入させる必要があることから、例えばそのターゲットネットワークで通信内容の暗号処理に用いられる鍵情報が漏洩する可能性が考えられる等のセキュリティ面での問題がある。
【0009】
また、ターゲットネットワークには、プロビジョニングが行われた無線デバイス(以下、「プロビジョニング済デバイス」という)をターゲットネットワークに接続させるための情報を広告として提供する広告ルータが設けられている。プロビジョニングが必要な無線デバイス(以下、「要プロビジョニングデバイス」という)をターゲットネットワークに接続させようとすると、この広告ルータにプロビジョニングに必要な機能を設ける必要があると考えられる。しかしながら、このような機能が設けられている広告ルータと設けられていない広告ルータが混在する場合には、要プロビジョニングデバイスは、前者の広告ルータからの広告のみならず、後者の広告ルータからの広告に対しても接続要求を送信する必要があり、無駄に電力が消費されてしまう虞も考えられる。
【0010】
本発明は上記事情に鑑みてなされたものであり、プロビジョニング専用の無線サブネットを用いることなく、無駄な電力消費を抑えてセキュリティを維持しつつプロビジョニングを行うことができる無線通信装置及び無線通信システムを提供することを目的とする。
【課題を解決するための手段】
【0011】
上記課題を解決するために、本発明の無線通信装置は、無線通信ネットワーク(N1)を介して無線デバイス(11a,11b)との間で無線通信が可能な無線通信装置(12)において、前記無線通信ネットワークに参入するために必要な機器情報の設定が行われた無線デバイスである設定済無線デバイス(11a)を前記無線通信ネットワークに接続させるための第1制御情報と、前記機器情報の設定を行う必要のある無線デバイスである要設定無線デバイス(11b)を前記無線通信ネットワークに接続させるための第2制御情報との何れか一方と、前記第1,第2制御情報の別を判別するための判別情報とが含まれるパケットを生成するパケット処理部(22)と、前記パケット処理部で生成されるパケットを広告として前記無線通信ネットワークに向けて送信する無線通信部(21)とを備えることを特徴としている。
この発明によると、設定済無線デバイスを無線通信ネットワークに接続させるための第1制御情報と判別情報とが含まれるパケットと、要設定無線デバイスを無線通信ネットワークに接続させるための第2制御情報と判別情報とが含まれるパケットとが、無線通信ネットワークに向けて広告としてそれぞれ送信される。
また、本発明の無線通信装置は、前記無線通信ネットワークに接続された前記設定済無線デバイスとの間の通信内容の暗号処理のための第1暗号鍵(K1)と、前記無線通信ネットワークに接続された前記要設定無線デバイスとの間の通信内容の暗号処理のための第2暗号鍵(K2)とを記憶する記憶部(24)と、前記記憶部に記憶された前記第1,第2暗号鍵を用いて前記無線通信ネットワークに接続された前記設定済無線デバイス及び前記要設定無線デバイスとの間の通信内容をそれぞれ暗号処理する暗号処理部(23)とを備えることを特徴としている。
また、本発明の無線通信装置は、前記第1,第2暗号鍵の使用方法を規定する管理テーブル(TB)に基づいて、前記記憶部に記憶された前記第1,第2暗号鍵から前記暗号処理部の暗号処理に用いられる暗号鍵を選択する暗号鍵選択部(26)を備えることを特徴としている。
ここで、本発明の無線通信装置は、前記管理テーブルが、前記第1,第2制御情報に基づいて割り当てられた無線通信リソースと、該無線通信リソースを用いて行われる無線デバイスとの間の無線通信の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴としている。
若しくは、本発明の無線通信装置は、前記管理テーブルが、無線デバイスの各々に一意に割り当てられた識別情報と、該無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴としている。
或いは、本発明の無線通信装置は、前記管理テーブルが、無線デバイスに割り当て得る識別情報の区分を示す区分情報(B1,B2)と、該区分情報で示される区分に含まれる識別情報が割り当てられた無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴としている。
また、本発明の無線通信装置は、前記パケット処理部が、受信したパケットの内容に応じて前記管理テーブルの内容を更新することを特徴としている。
ここで、本発明の無線通信装置は、前記パケット処理部が、受信したパケットの送信元が前記設定済無線デバイスである場合には、前記パケットに含まれる前記設定済無線デバイスの識別情報と前記第1暗号鍵を示す情報とを対応付けて前記管理テーブルに追加し、受信したパケットの送信元が前記要設定無線デバイスである場合には、前記パケットに含まれる前記要設定無線デバイスの識別情報と前記第2暗号鍵を示す情報とを対応付けて前記管理テーブルに追加することを特徴としている。
また、本発明の無線通信装置は、前記第1,第2制御情報が、前記無線通信ネットワークを介して行われる時分割多元接続による無線通信のタイムスロット及び通信チャネルを特定する情報であることを特徴としている。
また、本発明の無線通信装置は、前記第1制御情報が含まれるパケットに格納される前記判別情報が、当該パケットの内容の完全性を保証するメッセージ完全性符号を示す情報であり、前記第2制御情報が含まれるパケットに格納される前記判別情報が、前記メッセージ完全性符号で取り得ない特別な値を示す情報であることを特徴としている。
本発明の無線通信システムは、無線通信ネットワーク(N1)を介した無線通信が行われる無線通信システム(1)において、前記広告を前記無線通信ネットワークに向けて送信する上記の何れかに記載の無線通信装置(12)と、前記無線通信装置から送信される広告に含まれる前記判別情報に基づいて前記第1,第2制御情報の別を判別し、前記第2制御情報であると判別した場合であって前記機器情報の設定が行われていないときには、前記広告に含まれる前記第2制御情報に基づいて前記無線通信ネットワークに接続する無線デバイス(11b)とを備えることを特徴としている。
また、本発明の無線通信システムは、前記第1,第2制御情報を規定して前記無線通信ネットワークを介して行われる無線通信の管理を行うとともに、前記第2制御情報に基づいて前記無線通信ネットワークに接続した無線デバイスに対して前記機器情報の設定を行う管理装置(14)を備えることを特徴としている。
【発明の効果】
【0012】
本発明によれば、設定済無線デバイスを無線通信ネットワークに接続させるための第1制御情報と判別情報とが含まれるパケットと、要設定無線デバイスを無線通信ネットワークに接続させるための第2制御情報と判別情報とが含まれるパケットとを、無線通信ネットワークに向けて広告としてそれぞれ送信しているため、プロビジョニング専用の無線サブネットを用いることなく、無駄な電力消費を抑えてセキュリティを維持しつつプロビジョニングを行うことができるという効果がある。
【図面の簡単な説明】
【0013】
【図1】本発明の第1実施形態による無線通信システムの全体構成を示すブロック図である。
【図2】本発明の第1実施形態による無線通信装置としてのプロビジョニング対応広告ルータの構成を示すブロック図である。
【図3】本発明の第1実施形態による無線通信装置としてのプロビジョニング対応広告ルータで生成されるパケットを示す図である。
【図4】本発明の第1実施形態において割り当てられる無線通信リソースを説明するための図である。
【図5】本発明の第1実施形態で用いられる暗号鍵管理テーブルを示す図である。
【図6】本発明の第2実施形態で用いられる暗号鍵管理テーブルを示す図である。
【図7】本発明の第3実施形態において参入要求時に用いられるパケットを示す図である。
【図8】本発明の第3実施形態における暗号鍵管理テーブルの作成方法を示すフローチャートである。
【図9】本発明の第4実施形態で用いられるDLアドレスを説明するための図である。
【図10】本発明の第4実施形態で用いられる暗号鍵管理テーブルを示す図である。
【図11】本発明の第5実施形態で用いられる暗号鍵管理テーブルを示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施形態による無線通信装置及び無線通信システムについて詳細に説明する。
【0015】
〔第1実施形態〕
図1は、本発明の第1実施形態による無線通信システムの全体構成を示すブロック図である。図1に示す通り、本実施形態の無線通信システム1は、無線デバイス11a,11b、プロビジョニング対応広告ルータ12(無線通信装置)、無線アクセスポイント装置13、及びシステムマネージャ14(管理装置)を備えており、システムマネージャ14の管理制御の下で、無線通信ネットワークN1を介した無線通信が可能である。尚、図1では2つの無線デバイス11a,11bのみを示しているが、無線デバイスの数は任意である。
【0016】
具体的に、無線通信システム1は、インダストリアル・オートメーション用無線通信規格であるISA100.11aに準拠した複数の通信チャネル(例えば、16チャネル)を用いたTDMA(Time Division Multiple Access:時分割多元接続)による無線通信が可能である。かかる無線通信は、システムマネージャ14が無線通信を行う各機器(無線デバイス11a,11b、プロビジョニング対応広告ルータ12、及び無線アクセスポイント装置13)に対し、無線通信リソース(タイムスロット及び通信チャネル)の割り当てを行うことによって実現される。このように、システムマネージャ14が無線通信リソースの割り当てを一括して行うことにより、通信の実時間性が確保される。
【0017】
図1中の無線通信ネットワークN1は、システムマネージャ14の管理制御の下でプロビジョニング対応広告ルータ12及び無線アクセスポイント13によって形成され、無線デバイス11a,11bが参入すべきネットワークである。また、無線アクセスポイント装置13及びシステムマネージャ14が接続されるバックボーンネットワークN2は、無線通信システム1の基幹となる有線ネットワーク又は他の無線ネットワークである。
【0018】
無線デバイス11は、例えば流量計や温度センサ等のセンサ機器、流量制御弁や開閉弁等のバルブ機器、ファンやモータ等のアクチュエータ機器、その他のプラントや工場に設置される無線フィールドデバイスであり、上述した無線通信規格ISA100.11aに準拠した無線通信を行う。尚、理解を容易にするために、無線デバイス11aは、無線通信ネットワークN1に接続するための機器情報の設定(プロビジョニング)が行われたプロビジョニング済デバイス(設定済無線デバイス)であり、無線デバイス11bは、プロビジョニングを行う必要のある要プロビジョニングデバイス(要設定無線デバイス)であるとする。
【0019】
プロビジョニング対応広告ルータ12は、プロビジョニング済デバイスである無線デバイス11a及び要プロビジョニングデバイスである無線デバイス11bに対して、それぞれ異なる広告A1,A2を送信する。具体的に、プロビジョニング済デバイスである無線デバイス11aに対しては、無線通信ネットワークN1に接続させるために無線通信ネットワークN1に接続させるための広告A1を送信する。これに対し、要プロビジョニングデバイスである無線デバイス11bに対しては、プロビジョニングを行うために無線通信ネットワークN1に接続させるための広告A2を送信する。
【0020】
上記の広告A1は、プロビジョニング済デバイスである無線デバイス11aを無線通信ネットワークN1に接続させるため、或いは無線通信ネットワークN1に参入している無線デバイスの時刻を同期させるために従来から用いられている広告である。これに対し、上記の広告A2は、要プロビジョニングデバイスである無線デバイス11bに対する無線通信ネットワークN1を介したプロビジョニング(OTAプロビジョニング)を実現するために用いる新たな広告である。尚、プロビジョニング対応広告ルータ12及び広告A1,A2の詳細については後述する。
【0021】
無線アクセスポイント装置13は、無線デバイス11a,11b及びプロビジョニング対応広告ルータ12が接続される無線通信ネットワークN1と、システムマネージャ14が接続されるバックボーンネットワークN2とを接続し、無線デバイス11a,11b等とシステムマネージャ14との間で送受信される各種データの中継を行う装置である。尚、無線アクセスポイント装置13も、上述した無線通信規格ISA100.11aに準拠した無線通信を行う。
【0022】
システムマネージャ14は、無線通信システム1の管理制御を統括して行う。具体的に、システムマネージャ14は、無線通信ネットワークN1を介した無線通信を実現するために、無線通信ネットワークN1に接続される各機器(無線デバイス11a,11b、プロビジョニング対応広告ルータ12、及び無線アクセスポイント装置13)に対し、無線通信リソース(タイムスロット及び通信チャネル)の割り当てを行う。
【0023】
また、システムマネージャ14は、プロビジョニング済デバイスである無線デバイス11a及び要プロビジョニングデバイスである無線デバイス11bを無線通信ネットワークN1に接続させるか否かの管理制御も行う。具体的には、無線デバイス11a,11bを無線通信ネットワークN1に接続させるための無線通信リソース(タイムスロット及び通信チャネル)の割り当てをそれぞれ行い、割り当てを行った無線通信リソースを用いた無線通信ネットワークN1への接続を実施させるための広告A1,A2をプロビジョニング対応広告ルータ12にそれぞれ送信させる。
【0024】
更に、システムマネージャ14は、無線通信ネットワークN1に接続されたプロビジョニング済デバイスである無線デバイス11aから、無線通信ネットワークN1への参入要求(ジョイン要求)が送信されてきた場合に、無線デバイス11aを無線通信ネットワークN1に参入させるか否かを制御する。また、無線通信ネットワークN1に接続された要プロビジョニングデバイスである無線デバイス11bに対し、無線通信ネットワークN1を介したプロビジョニング(OTAプロビジョニング)を行う。
【0025】
また更に、システムマネージャ14は、セキュリティを確保するために、無線通信ネットワークN1に接続された各機器(無線デバイス11a,11b、プロビジョニング対応広告ルータ12、及び無線アクセスポイント装置13)に対し、通信内容の暗号処理のために用いる暗号鍵(共有鍵)を配布する。具体的には、無線通信ネットワークN1への参入が許可された無線デバイス11a、プロビジョニング対応広告ルータ12、及び無線アクセスポイント装置13に対して暗号鍵K1(第1暗号鍵)を配布し、無線通信ネットワークN1に接続された無線デバイス11b及びプロビジョニング対応広告ルータ12に対して暗号鍵K2(第2暗号鍵)を配布する。
【0026】
ここで、暗号鍵K1は、無線通信ネットワークN1のセキュリティを確保するために用いられる本来の暗号鍵であり、暗号鍵K2は、プロビジョニングを行う際にのみ用いられる暗号鍵である。本来の暗号鍵K1とプロビジョニングを行う際にのみ用いられる暗号鍵K2とを分けるのは、プロビジョニングのために無線通信ネットワークN1に接続された無線デバイスを介して、本来の暗号鍵K1が漏洩するのを防止するためである。
【0027】
次に、上述したプロビジョニング対応広告ルータ12について詳細に説明する。図2は、本発明の第1実施形態による無線通信装置としてのプロビジョニング対応広告ルータの構成を示すブロック図である。図2に示す通り、プロビジョニング対応広告ルータ12は、無線通信部21、パケット処理部22、暗号処理部23、メモリ24(記憶部)、制御部25、及び暗号鍵選択部26を備えており、システムマネージャ14の制御の下で、無線デバイス11a,11bに対する広告A1,A2の送信等を行う。
【0028】
無線通信部21は、制御部25の制御の下で、無線通信ネットワークN1を介して送信されてくるデータ(パケット)を受信するとともに、無線通信ネットワークN1に向けたデータ(パケット)の送信を行う。パケット処理部22は、制御部25の制御の下で、無線通信部21で送受信されるパケットに関する処理を行う。例えば、無線通信部21で受信されたパケットから必要なデータの抽出等を行うとともに、無線通信部21を介して送信すべきパケット(例えば、広告A1,A2として送信されるパケット)の生成を行う。
【0029】
図3は、本発明の第1実施形態による無線通信装置としてのプロビジョニング対応広告ルータで生成されるパケットを示す図である。図3に示す通り、プロビジョニング対応広告ルータで生成されるパケットPは、各種ヘッダが格納される3つの領域R1〜R3と、DL(Data Link)ペイロードが格納される領域R4と、パケットの内容の完全性を保証する情報であるDL MIC(Message Integrity Code:メッセージ完全性符号)が格納される領域R5とを有する。
【0030】
具体的に、領域R1には物理層ヘッダが格納され、領域R2にはMAC(Media Access Control)ヘッダが格納され、領域R3にはDLヘッダが格納される。領域R4には、例えばシステムマネージャ14によって割り当てられた無線通信リソース(タイムスロット及び通信チャネル)を示す情報がDLペイロードとして格納される。領域R5には、領域R2〜R4が含まれる保証領域R10の内容の完全性を保証するための情報であるDL MICが格納される。
【0031】
ここで、プロビジョニング対応広告ルータ12から広告A1として送信されるパケットは、プロビジョニング済デバイス(例えば、無線デバイス11a)用に割り当てられた無線通信リソース(タイムスロット及び通信チャネル)を示す情報(第1制御情報)が領域R4に格納され、その情報に応じたDL MIC(判別情報)が領域R5に格納されたものである。つまり、従来から広告として用いられているパケットと同じものである。尚、領域R5に格納されるDL MICは、暗号鍵K1(図1に示すシステムマネージャ14からプロビジョニング対応広告ルータ12に配布された暗号鍵)を用いて算出される。
【0032】
これに対し、プロビジョニング対応広告ルータ12から広告A2として送信されるパケットは、要プロビジョニングデバイス(例えば、無線デバイス11b)用に割り当てられた無線通信リソース(タイムスロット及び通信チャネル)を示す情報(第2制御情報)が領域R4に格納され、要プロビジョニングデバイス用に割り当てられた無線通信リソースが領域R4に格納されていることを示す特別な値(判別情報)が領域R5に格納されたものである。尚、領域R5に格納される特別な値とは、例えば上記のDL MICでは取り得ない値「0」、或いは、上記のDL MICでは取り得ない値を取る特別なDL MICを計算する公開された専用の鍵による計算結果等である。
【0033】
従って、プロビジョニング対応広告ルータ12から送信されてきたパケットの領域R5に格納されている内容を参照すれば、プロビジョニング済デバイスに対する広告A1であるのか、或いは、要プロビジョニングデバイスに対する広告A2であるのかが判別可能である。例えば、プロビジョニング対応広告ルータ12から送信されてきたパケットの領域R5に格納されている値が「0」である場合や、特別なDL MICを計算する公開された専用の鍵による計算結果と一致した場合には要プロビジョニングデバイスに対する広告A2であり、それら以外の値である場合にはプロビジョニング済デバイスに対する広告A1であるといった具合である。
【0034】
パケットの領域R5に格納されるDL MICを上記の判別に用いるのは、互換性を確保しつつ上記の判別を可能にするためである。前述した通り、DL MICは、パケットの内容の完全性を保証する情報であり、無線通信ネットワークN1のセキュリティを確保するためには重要なものであるが、広告については用いられておらず内容を変更しても問題は生じない。他方、上記の判別を行うための情報を格納する領域をパケットに新たに設けることとすると、互換性の問題が生ずる。このため、DL MICを用いることによって、互換性を確保しつつ上記の判別を可能にしている。
【0035】
ここで、システムマネージャ14によって割り当てられる無線通信リソースについて説明する。図4は、本発明の第1実施形態において割り当てられる無線通信リソースを説明するための図である。尚、図4に示す図は、横軸に時間をとり、縦軸に通信チャネルをとっている。図4において、横軸方向の1マスは1つのタイムスロットを示しており、縦軸方向の1マスは1つの通信チャネルを示している。但し、図示の簡単化のために、図4においては通信チャネルを10チャネルのみ図示している。
【0036】
図4において、符号Q11を付したマス(斜線及び黒字の文字「T」が付されたマス)は、広告A1に基づいて割り当てられる送信用の無線通信リソースを示しており、符号Q12を付したマス(斜線及び黒字の文字「R」が付されたマス)は、広告A1に基づいて割り当てられる受信用の無線通信リソースを示している。これに対し、符号Q21を付したマス(斜線及び白抜きの文字「T」が付されたマス)は、広告A2に基づいて割り当てられる送信用の無線通信リソースを示しており、符号Q22を付したマス(斜線及び白抜きの文字「R」が付されたマス)は、広告A2に基づいて割り当てられる受信用の無線通信リソースを示している。
【0037】
図4に示す例では、広告A2に基づいて割り当てられる無線通信リソースは、広告A1に基づいて割り当てられる無線通信リソースと、タイムスロットと通信チャネルとの双方が異なるように割り当てられている。本実施形態では、セキュリティを維持しつつ、無線通信ネットワークN1に参入している無線デバイス或いは無線通信ネットワークN1に参入しようとしている無線デバイス11aの通信を極力妨げることがないよう、プロビジョニングを行う無線デバイス11bに対する無線通信リソースの割り当てが行われる。
尚、広告A1に基づいて割り当てられた無線通信リソース(図4中の符号Q11,Q12を付したマス)を用いて無線デバイス11aが無線通信ネットワークN1に接続された後は、無線デバイス11aとプロビジョニング対応広告ルータ12との間の通信内容は暗号鍵K1を用いて暗号処理される。同様に、広告A2に基づいて割り当てられた無線通信リソース(図4中の符号Q21,Q22を付したマス)を用いて無線デバイス11bが無線通信ネットワークN1に接続された後は、無線デバイス11bとプロビジョニング対応広告ルータ12との間の通信内容は暗号鍵K2を用いて暗号処理される。このように、暗号鍵K1,K2は、広告A1,A2に基づいて割り当てられた無線通信リソースを基準として切り替えられることになる。
【0038】
図2に戻り、暗号処理部23は、メモリ24に格納された暗号鍵K1を用いて、無線通信ネットワークN1に参入した無線デバイス11aとの間の通信(加えて、無線アクセスポイント装置13との間の通信)で用いられるDL MICの生成・検証を行う。また、メモリ24に格納された暗号鍵K2を用いて、無線通信ネットワークN1に接続した無線デバイス11bとの間の通信(広告A2以外の通信)で用いられるDL MICの生成・検証を行う。メモリ24は、例えばRAM(Random Access Memory)等の揮発性のメモリであり、システムマネージャ14から配布される暗号鍵K1,K2等を記憶する。
【0039】
制御部25は、プロビジョニング対応広告ルータ12の動作を統括して制御する。例えば、システムマネージャ14から暗号鍵K1,K2が配布された場合には、これらの暗号鍵K1,K2をメモリ24に記憶させる制御を行う。また、無線通信部21、パケット処理部22、及び暗号処理部23を制御して、データの送受信制御を行うとともに、広告A1,A2の送信制御を行う。
【0040】
暗号鍵選択部26は、暗号鍵K1,K2の使用方法を規定する暗号鍵管理テーブルTB(管理テーブル)に基づいて、メモリ24に記憶された暗号鍵K1,K2から、暗号処理部23の暗号処理に用いられる暗号鍵を選択する。図5は、本発明の第1実施形態で用いられる暗号鍵管理テーブルを示す図である。図5に示す通り、本実施形態で用いられる暗号鍵管理テーブルTBは、広告A1,A2に基づいて割り当てられる無線通信リソースと、各々の無線通信リソースを用いて行われる無線デバイスとの間の無線通信の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルである。
【0041】
具体的に、広告A1に基づいて割り当てられた無線通信リソース(図4中の符号Q11,Q12を付したマス)には暗号鍵K1が対応付けられており、広告A2に基づいて割り当てられた無線通信リソース(図4中の符号Q21,Q22を付したマス)には暗号鍵K2が対応付けられている。従って、広告A1に基づいて割り当てられた無線通信リソース(図4中の符号Q11,Q12を付したマス)を用いて無線デバイス11aとプロビジョニング対応広告ルータ12との間で無線通信が行われる場合には、暗号鍵選択部26は、暗号処理部23の暗号処理に用いられる暗号鍵として暗号鍵K1を選択する。これに対し、広告A2に基づいて割り当てられた無線通信リソース(図4中の符号Q21,Q22を付したマス)を用いて無線デバイス11bとプロビジョニング対応広告ルータ12との間で無線通信が行われる場合には、暗号鍵選択部26は、暗号処理部23の暗号処理に用いられる暗号鍵として暗号鍵K2を選択する。
【0042】
次に、上記構成における無線通信システムの動作について説明する。尚、以下では、プロビジョニング済デバイスである無線デバイス11a及び要プロビジョニングデバイスである無線デバイス11bは何れも、無線通信ネットワークN1に接続されていない状態であるとする。無線通信システム1が動作している状態においては、無線通信ネットワークN1における無線通信リソース(タイムスロット及び通信チャネル)の割り当てがシステムマネージャ14によって常時行われている。
【0043】
システムマネージャ14によって割り当てられた無線通信リソースを示す情報は、無線通信ネットワークN1に接続されている各機器(プロビジョニング対応広告ルータ12及び無線アクセスポイント装置13)に送信される。プロビジョニング済デバイス用に割り当てられた無線通信リソースがプロビジョニング対応広告ルータ12に送信されると、この無線通信リソースを示す情報と、この情報に応じたDL MICとが図3に示す領域R4,R5にそれぞれ格納されたパケットが図2に示すパケット処理部22で生成されて広告A1として送信される。
【0044】
これに対し、要プロビジョニングデバイス用に割り当てられた無線通信リソースがプロビジョニング対応広告ルータ12に送信されると、この無線通信リソースを示す情報が図3に示す領域R4に格納されるとともに、特別な値(例えば、値「0」や特別なDL MICを計算する公開された専用の鍵による計算結果)が図3に示す領域R5に格納されたパケットが図2に示すパケット処理部22で生成されて広告A2として送信される。尚、上記の特別な値は、要プロビジョニングデバイス用に割り当てられた無線通信リソースを示す情報が領域R4に格納されていることを示す値である。
【0045】
まず、プロビジョニング済デバイスである無線デバイス11aが、プロビジョニング対応広告ルータ12から送信される広告A1,A2を受信することができる位置に配置された場合を考える。プロビジョニング対応広告ルータ12から送信される広告A1,A2を受信すると、無線デバイス11aは、広告A1,A2をなすパケットの領域R5をそれぞれ参照し、値「0」又は特別なDL MICを計算する公開された専用の鍵による計算結果が格納されているパケット(広告A2)を廃棄する一方で、「0」又は特別なDL MICを計算する公開された専用の鍵による計算結果以外の値が格納されているパケット(広告A1)を受信する。
【0046】
次いで、無線デバイス11aは、受信したパケット(広告A1)の領域R4(図3参照)に格納されている無線通信リソースを示す情報とプロビジョニングによって予め設定されている情報を用いて無線通信ネットワークN1に接続し、プロビジョニング対応広告ルータ12に対して参入要求(ジョイン要求)を送信する。プロビジョニング対応広告ルータ12に送信された参入要求は、無線アクセスポイント装置13を介してシステムマネージャ14に送信され、無線デバイス11aを無線通信ネットワークN1に参入させるか否かを制御する。
【0047】
無線通信ネットワークN1への参入を許可する場合には、システムマネージャ14は、無線デバイス11aとの間の通信経路を確立して無線デバイス11aに対する認証を行う。この認証が成功した場合には、システムマネージャ14から無線デバイス11aに対して暗号鍵K1が配布され、これにより無線デバイス11aが無線通信ネットワークN1に参入する処理が終了する。
【0048】
尚、無線デバイス11aが無線通信ネットワークN1に参入した後は、システムマネージャ14によって配布された暗号鍵K1を用いて、無線通信ネットワークN1を介した通信内容の暗号処理が行われる。このとき、プロビジョニング対応広告ルータ12では、暗号鍵管理テーブルTBに基づき、暗号鍵選択部26によって暗号鍵K1が選択される。そして、暗号処理部23において、暗号鍵K1を用いた通信内容の暗号処理が行われる。また、無線デバイス11aが無線通信ネットワークN1に参入した後は、プロビジョニング対応広告ルータ12から定期的に送信される広告A1を用いて、無線デバイス11aの時刻を同期する処理も行われる。
【0049】
次に、要プロビジョニングデバイスである無線デバイス11bが、プロビジョニング対応広告ルータ12から送信される広告A1,A2を受信することができる位置に配置された場合を考える。プロビジョニング対応広告ルータ12から送信される広告A1,A2を受信すると、無線デバイス11bは、まず広告A1,A2をなすパケットの領域R5をそれぞれ参照し、「0」又は特別なDL MICを計算する公開された専用の鍵による計算結果以外の値が格納されているパケット(広告A1)を廃棄する一方で、値「0」又は特別なDL MICを計算する公開された専用の鍵による計算結果が格納されているパケット(広告A2)を受信する。
【0050】
次いで、無線デバイス11bは、受信したパケット(広告A2)の領域R4(図3参照)に格納されている無線通信リソースを示す情報を用いて無線通信ネットワークN1に接続し、プロビジョニング対応広告ルータ12及び無線アクセスポイント装置13を介してシステムマネージャ14と通信を行う。無線デバイス11bとの通信が可能になると、システムマネージャ14は、無線デバイス11bに暗号鍵K2を配布してから無線デバイス11bに対するプロビジョニング(OTAプロビジョニング)を行う。プロビジョニングの前に暗号鍵K2が無線デバイス11bに配布されるため、プロビジョニングの内容も暗号処理される。このとき、プロビジョニング対応広告ルータ12では、暗号鍵管理テーブルTBに基づき、暗号鍵選択部26によって暗号鍵K2が選択され、暗号処理部23において暗号鍵K2を用いた通信内容の暗号処理が行われる。
【0051】
以上の通り、本実施形態では、無線通信ネットワークN1内にプロビジョニング対応広告ルータ12を設け、プロビジョニング済デバイスである無線デバイス11aに対する広告A1と、要プロビジョニングデバイスである無線デバイス11bに対する広告A2とを送信するようにしている。ここで、広告A1は、プロビジョニング済デバイスである無線デバイス11aを無線通信ネットワークN1に接続させるための無線通信リソースを示す情報とDL MICとが格納されたパケットであり、広告A2は、要プロビジョニングデバイスである無線デバイス11bを無線通信ネットワークN1に接続させるための無線通信リソースを示す情報と特別な値(例えば、DL MICでは取り得ない値「0」や特別なDL MICを計算する公開された専用の鍵による計算結果)とが格納されたパケットである。
【0052】
これにより、プロビジョニング済デバイスである無線デバイス11aを無線通信ネットワークN1に接続するために用いられるタイムスロット及び通信チャネルとは異なるタイムスロット及び通信チャネルを用いて、要プロビジョニングデバイスである無線デバイス11bを無線通信ネットワークN1に接続することができる。その結果として、プロビジョニング専用の無線サブネットを用いることなく、セキュリティを維持しつつ要プロビジョニングデバイスである無線デバイス11bに対するプロビジョニングを行うことができる。また、無線デバイス11bは、プロビジョニング対応広告ルータ12から送信される広告A1を破棄して広告A2のみを受信しており、広告A2を受信した場合のみ接続要求を行っているため、無駄な電力消費を抑えることもできる。
【0053】
〔第2実施形態〕
次に、本発明の第2実施形態について説明する。以上説明した第1実施形態は、広告A1,A2に基づいて割り当てられた無線通信リソースを基準として、プロビジョニング対応広告ルータ12が、暗号鍵K1,K2の切り替えを行うものであった。これに対し、本実施形態は、通信相手(無線デバイス11a,11b)を基準として、プロビジョニング対応広告ルータ12が、暗号鍵K1,K2の切り替えを行うものである。
【0054】
本実施形態における無線通信システムは、図1に示す無線通信システム1と同様の構成である。また、本実施形態における無線通信装置としてのプロビジョニング対応広告ルータは、図2に示すプロビジョニング対応広告ルータとほぼ同様の構成である。但し、本実施形態では、プロビジョニング対応広告ルータで用いられる暗号鍵管理テーブルTBの内容が、図5に示すものとは異なる。
【0055】
図6は、本発明の第2実施形態で用いられる暗号鍵管理テーブルを示す図である。図6に示す通り、本実施形態で用いられる暗号鍵管理テーブルTBは、無線デバイスの各々に一意に割り当てられた識別情報としてのEUI64アドレスと、無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルである。ここで、上記のEUI64アドレスとは、無線デバイスを一意に識別するために無線デバイスの各々に割り当てられた64ビットのアドレスである。
【0056】
例えば、無線アクセスポイント装置13には「XX:XX:XX:XX:XX:XX:XX:XX」なるEUI64アドレスが割り当てられている。また、無線デバイス11a,11bには「YY:YY:YY:YY:YY:YY:YY:YY」,「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」なるEUI64アドレスがそれぞれ割り当てられている。尚、上記X,Y,Zは、16進数の任意の数値である。ここで、無線アクセスポイント装置13に割り当てられたEUI64アドレスには、暗号鍵K1が対応付けられている。また、無線デバイス11a,11bに割り当てられたEUI64アドレスには、暗号鍵K1,K2がそれぞれ対応付けられている。
【0057】
従って、無線デバイス11a又は無線アクセスポイント装置13との間で無線通信が行われる場合には、暗号鍵選択部26は、暗号処理部23の暗号処理に用いられる暗号鍵として暗号鍵K1を選択する。これに対し、無線デバイス11bとの間で無線通信が行われる場合には、暗号鍵選択部26は、暗号処理部23の暗号処理に用いられる暗号鍵として暗号鍵K2を選択する。尚、図6では、EUI64アドレスと暗号鍵を示す情報とが対応付けられている暗号鍵管理テーブルTBを図示しているが、通信相手を特定できるのであれば、EUI64アドレス以外のアドレス(例えば、16ビットのDLアドレス)を用いても良い。
【0058】
次に、上記構成における無線通信システムの動作について説明する。尚、本実施形態における無線通信システムの動作は、プロビジョニング対応広告ルータ12で行われる暗号鍵K1,K2の選択動作を除いて、第1実施形態における無線通信システム1の動作と同様である。このため、以下では、プロビジョニング対応広告ルータ12が、無線通信ネットワークN1に参入している無線デバイス11a,11bに対してパケットの送受信を行う場合の動作について簡単に説明する。
【0059】
〈パケット送信時の動作〉
パケットの送信動作が開始されると、まず無線デバイス11a,11bに対して送信すべきパケットの生成処理がパケット処理部22で行われる。このとき、図6に示す暗号鍵管理テーブルTBが暗号鍵選択部26によって検索され、通信相手(無線デバイス11a,11b)に割り当てられているEUI64アドレスに対応している暗号鍵を示す情報に基づいて、メモリ24に記憶された暗号鍵K1,K2から、暗号処理部23の暗号処理に用いられる暗号鍵が選択される。具体的に、通信相手が無線デバイス11aである場合には暗号鍵K1が選択され、通信相手が無線デバイス11bである場合には暗号鍵K2が選択される。
【0060】
暗号鍵選択部26で暗号鍵が選択されると、選択された暗号鍵が暗号処理部23に渡されてDL MICが生成される。そして、暗号処理部23で生成されたDL MICが、パケット処理部22で生成されたパケットに付加される。具体的に、図3に示すパケットPの領域R5にDL MICが格納される。以上の処理が終了すると、生成されたパケットが無線通信部21から無線通信ネットワークN1を介して通信相手(無線デバイス11a,11b)に送信される。以上の動作によって、暗号鍵K1を用いて生成されたDL MICが付加されているパケットは無線デバイス11aに送信され、暗号鍵K2を用いて生成されたDL MICが付加されているパケットは無線デバイス11bに送信される。
【0061】
〈パケット受信時の動作〉
通信相手(無線デバイス11a,11b)から無線通信ネットワークN1を介してプロビジョニング対応広告ルータ12にパケットが送信されてくると、このパケットは、無線通信部21で受信される。すると、図6に示す暗号鍵管理テーブルTBが暗号鍵選択部26によって検索され、通信相手(無線デバイス11a,11b)に割り当てられているEUI64アドレスに対応している暗号鍵を示す情報に基づいて、メモリ24に記憶された暗号鍵K1,K2が選択される。具体的に、通信相手が無線デバイス11aである場合には暗号鍵K1が選択され、通信相手が無線デバイス11bである場合には暗号鍵K2が選択される。
【0062】
暗号鍵選択部26で暗号鍵が選択されると、選択された暗号鍵が暗号処理部23に渡されてDL MICの生成が行われ、生成されたDL MICと受信したパケットに含まれるDL MIC(具体的には、図3に示すパケットPの領域R5に格納されているDL MIC)とが一致するかが検証される。仮に、両DL MICが一致することが検証された場合には、受信されたパケットの処理がパケット処理部22で行われる。以上の動作によって、無線デバイス11aから送信されてきたパケット(暗号鍵K1を用いて生成されたDL MICが付加されているパケット)の検証が暗号鍵選択部26で選択された暗号鍵K1を用いて行われ、無線デバイス11bから送信されてきたパケット(暗号鍵K2を用いて生成されたDL MICが付加されているパケット)の検証が暗号鍵選択部26で選択された暗号鍵K2を用いて行われる。
【0063】
以上の通り、本実施形態では、通信相手(無線デバイス11a,11b)を基準として、プロビジョニング対応広告ルータ12が暗号鍵K1,K2の切り替えを行う点が相違するものの、第1実施形態と同様に、無線通信ネットワークN1内にプロビジョニング対応広告ルータ12を設け、プロビジョニング済デバイスである無線デバイス11aに対する広告A1と、要プロビジョニングデバイスである無線デバイス11bに対する広告A2とを送信するようにしている。このため、第1実施形態と同様に、プロビジョニング専用の無線サブネットを用いることなく、セキュリティを維持しつつ要プロビジョニングデバイスである無線デバイス11bに対するプロビジョニングを行うことができるとともに、無駄な電力消費を抑えることができる。
【0064】
〔第3実施形態〕
次に、本発明の第3実施形態について説明する。以上説明した第2実施形態は、プロビジョニング対応広告ルータ12が、図6に示す暗号鍵管理テーブルTBを用いて、通信相手(無線デバイス11a,11b)を基準として、暗号鍵K1,K2の切り替えを行うものであった。本実施形態は、図6に示す暗号鍵管理テーブルTBの作成(変更)方法に係るものである。プロビジョニング対応広告ルータ12で用いられる暗号鍵管理テーブルTBの作成(更新)方法は、無線通信システムを管理するシステムマネージャ14が行う方法と、プロビジョニング対応広告ルータ12が自動的に行う方法とがある。以下では、後者の方法について説明する。
【0065】
図6に示す暗号鍵管理テーブルTBは、前述した通り、無線デバイスの各々に割り当てられたEUI64アドレスと暗号鍵を示す情報とが対応付けられたテーブルである。このため、プロビジョニング対応広告ルータ12における暗号鍵管理テーブルTBの作成(変更)は、無線通信ネットワークN1に参入しようとしている無線デバイスから参入要求(ジョイン要求)があったタイミングで行われる。
【0066】
ここで、プロビジョニング対応広告ルータ12が、図6に示す暗号鍵管理テーブルTBを自動的に作成するためには、参入要求(ジョイン要求)を送信した無線デバイスがプロビジョニング済デバイスである無線デバイス11aであるのか、要プロビジョニングデバイスである無線デバイス11bであるのかを判別する必要がある。この判別を行うために、プロビジョニング対応広告ルータ12は、図7に示すパケットP1の領域R4に格納されるペイロードに含まれるアプリケーション特定MIC(Application Specific MIC)を用いる。
【0067】
図7は、本発明の第3実施形態において参入要求時に用いられるパケットを示す図である。図7に示す通り、本実施形態で用いられるパケットP1は、図3に示すパケットPと同様に、各種ヘッダが格納される3つの領域R1〜R3と、DLペイロードが格納される領域R4と、DL MICが格納される領域R5とを有する。ここで、DLペイロードが格納される領域R4には、ネットワーク層及びトランスポート層のヘッダがそれぞれ格納される領域R11,R12と、アプリケーションデータが格納される領域R13とが設けられている。上記のアプリケーション特定MICは、領域R13に格納されたアプリケーションデータのうちの、特定のアプリケーションデータの内容の完全性を保証する情報であり、アプリケーションデータとともに領域R13に格納される。
【0068】
上記のアプリケーション特定MICは、無線デバイス11a,11bが参入時に用いる鍵を用いて算出される。具体的に、プロビジョニング済デバイスである無線デバイス11aの場合には、プロビジョニングによって設定されたジョインキー(Join Key)を用いて算出され、要プロビジョニングデバイスである無線デバイス11bの場合には、予め規定された(デフォルトの)共有鍵を用いて算出される。
【0069】
無線デバイス11aに設定されたジョインキーは、無線デバイス11aとシステムマネージャ14との間でのみ共有され、プロビジョニング対応広告ルータ12が取得することはできない。これに対し、無線デバイス11bで用いられるデフォルトの共有鍵は、プロビジョニング対応広告ルータ12が取得可能である。このため、プロビジョニング対応広告ルータ12は、アプリケーション特定MICが共有鍵を用いて作成されているか否かを判別することによって、参入要求(ジョイン要求)を送信した無線デバイスが、プロビジョニング済デバイスである無線デバイス11aであるのか、要プロビジョニングデバイスである無線デバイス11bであるのかを判別する。
【0070】
図8は、本発明の第3実施形態における暗号鍵管理テーブルの作成方法を示すフローチャートである。尚、図8に示すフローチャートは、例えばプロビジョニング対応広告ルータ12の電源が投入された時点で開始され、受信したパケットに対する処理が終了する度に繰り返し行われる。処理が開始されると、プロビジョニング対応広告ルータ12は、無線デバイス11a,11bからのパケットを待ち受ける状態になる(ステップS11)。かかる待ち受け状態において、プロビジョニング対応広告ルータ12は、無線デバイス11a,11bからのパケットを無線通信部21で受信したか否かを判断する(ステップS12)。
【0071】
パケットを受信していないと判断した場合(判断結果が「NO」の場合)には、プロビジョニング対応広告ルータ12は、パケットの待ち受け状態を継続する(ステップS11)。これに対し、パケットを受信したと判断した場合(判断結果が「YES」の場合)には、プロビジョニング対応広告ルータ12のパケット処理部22は、受信したパケットが自身宛(プロビジョニング対応広告ルータ12宛)であるか否かを判断する(ステップS13)。
【0072】
尚、無線通信ネットワークN1に参入しようとしている無線デバイス11a,11bは、システムマネージャ14から暗号鍵K1,K2が配布されるまでは、デフォルトの共有鍵を用いて無線通信ネットワークN1を介した無線通信を行う。このため、暗号鍵管理テーブルTBに無線デバイス11a,11bのEUI64アドレスが登録されていなくとも、図3に示すパケットPの領域R5に格納されたDL MICを検証することは可能である。
【0073】
受信したパケットが自身宛ではないと判断した場合(ステップS13の判断結果が「NO」の場合)には、プロビジョニング対応広告ルータ12は、受信したパケットの経路制御を行う(ステップS14)。つまり、予め規定された経路情報に従って、受信したパケットを次中継点に転送する処理を行う。かかる経路制御が終了すると、図8に示す一連の処理が終了する。尚、図8に示す一連の処理が終了した場合には、再度ステップS11の処理が行われる。
【0074】
これに対し、受信したパケットが自身宛であると判断した場合(ステップS13の判断結果が「YES」の場合)には、プロビジョニング対応広告ルータ12のパケット処理部22及び暗号処理部23において、受信したパケットに含まれるアプリケーション特定MICを検証する処理が行われる(ステップS15)。具体的には、図7に示すパケットP1の領域R13に格納されたアプリケーション特定MICが、デフォルトの共有鍵を用いて生成されたものであるか(つまり、デフォルトの共有鍵を用いて、図7に示すパケットP1の領域R13に格納されたアプリケーション特定MICと同じものを生成することができるか)が検証される。
【0075】
より具体的に、ステップS15の処理では、デフォルトの共有鍵を用いてアプリケーション特定MICを実際に生成する処理が暗号処理部23において行われ、暗号処理部23で生成されたアプリケーション特定MICと、図7に示すパケットP1の領域R13に格納されたアプリケーション特定MICとを比較する処理がパケット処理部22において行われる。以上の処理が終了すると、デフォルトの共有鍵でアプリケーション特定MICの生成に成功したか否か(デフォルトの共有鍵を用いて、図7に示すパケットP1の領域R13に格納されたアプリケーション特定MICと同じものを生成することができたか否か)がパケット処理部22で判断される(ステップS16)。
【0076】
デフォルトの共有鍵でアプリケーション特定MICの生成に失敗したと判断した場合(ステップS16の判断結果が「NO」の場合)には、パケット処理部22は、パケットに含まれるEUI64アドレスと暗号鍵K1とを対応付けて、暗号鍵選択部26を介して暗号鍵管理テーブルTBに登録(追加)する。ここで、EUI64アドレスに暗号鍵K1を対応付けるのは、デフォルトの共有鍵を用いたアプリケーション特定MICの生成に失敗しているため、受信したパケットの送信元がプロビジョニング済デバイスである無線デバイス11aと推定されるからである。以上の処理が終了すると、パケット処理部22は、受信したパケットの処理(具体的には、システムマネージャ14への代理転送処理)を行う(ステップS18)。
【0077】
これに対し、デフォルトの共有鍵でアプリケーション特定MICの生成に成功したと判断した場合(ステップS16の判断結果が「YES」の場合)には、パケット処理部22は、パケットに含まれるEUI64アドレスと暗号鍵K2とを対応付け、暗号鍵選択部26を介して暗号鍵管理テーブルTBに登録(追加)する。ここで、EUI64アドレスに暗号鍵K2を対応付けるのは、デフォルトの共有鍵を用いたアプリケーション特定MICの生成に成功しているため、受信したパケットの送信元が要プロビジョニングデバイスである無線デバイス11bと推定されるからである。以上の処理が終了すると、パケット処理部22は、受信したパケットの処理(具体的には、システムマネージャ14への代理転送処理)を行う(ステップS18)。
【0078】
尚、EUI64アドレスに対応付けられる上記の暗号鍵K1は、以下の(a)に示すものであり、EUI64アドレスに対応付けられる上記の暗号鍵K2は、以下の(a)〜(c)の何れかに示すものである。
(a)プロビジョニング対応広告ルータ12自身が無線通信ネットワークN1に参入する際にシステムマネージャ14から取得したもの
(b)システムマネージャ14が無線デバイス11bに対して暗号鍵K2を配布する際にプロビジョニング対応広告ルータ12にも配布されたもの
(c)プロビジョニング対応広告ルータ12がシステムマネージャ14に対して暗号鍵K2の配布要求を行って取得したもの
【0079】
無線デバイス11a,11bの双方からジョイン要求がなされると、以上説明した処理が行われることによって、無線デバイス11aのEUI64アドレスと暗号鍵K1とが対応付けられたものと、無線デバイス11bのEUI64アドレスと暗号鍵K2とが対応付けられたものとが暗号鍵管理テーブルTBに登録(追加)される。これにより、プロビジョニング対応広告ルータ12では、無線デバイス11aとの間の通信時に用いられる暗号鍵(暗号鍵K1)と、無線デバイス11bとの間の通信時に用いられる暗号鍵(暗号鍵K2)との切り替えが行われることになる。
【0080】
〔第4実施形態〕
次に、本発明の第4実施形態について説明する。前述した第2実施形態は、プロビジョニング対応広告ルータ12が、図6に示す暗号鍵管理テーブルTBを用いて、通信相手(無線デバイス11a,11b)を基準として、暗号鍵K1,K2の切り替えを行うものであった。これに対し、本実施形態は、通信相手(無線デバイス11a,11b)に割り当て得る識別情報の区分(アドレスブロック:区分情報)を基準として、プロビジョニング対応広告ルータ12が、暗号鍵K1,K2の切り替えを行うものである。
【0081】
前述した第2実施形態では、通信相手のEUI64アドレス毎に暗号鍵を示す情報を登録する必要があるため、無線通信ネットワークN1に参入している無線デバイスの数の増加に比例して図6に示す暗号鍵管理テーブルTBの大きさが大きくなってしまう。本実施形態では、通信相手毎に暗号鍵を示す情報を登録するのではなく、通信相手に割り当て得る識別情報の区分(アドレスブロック)毎に暗号鍵を示す情報を登録することで、暗号鍵管理テーブルTBの大きさが大きくなるのを抑制している。
【0082】
本実施形態では、上記の識別情報として、EUI64アドレスに代えて、例えば16ビットのDLアドレスを用いている。図9は、本発明の第4実施形態で用いられるDLアドレスを説明するための図である。DLアドレスは、システムマネージャ14が、無線通信ネットワークN1に参入した無線デバイスに対して配布するアドレスであり、図9に示す通り、16進数表記で0x0000〜0xFFFFの範囲の値を取り得る。但し、値0x0000は、DLアドレスが割り当てられていないことを示すために用いられ、0x8000〜0xFFFFの範囲の値は、将来の拡張用に予約されているため、実際にDLアドレスとして用いられるのは、0x0001〜0x7FFFの範囲の値である。
【0083】
そこで、本実施形態では、16ビットのDLアドレスを、実際にDLアドレスとして用いられる0x0001〜0x7FFFの範囲のアドレスブロックB1と、将来の拡張用に予約されている0x8000〜0xFFFFの範囲のアドレスブロックB2とに区分する。そして、アドレスブロックB1に含まれるアドレスをプロビジョニング済デバイスである無線デバイス11aに割り当て、アドレスブロックB2に含まれるアドレスを要プロビジョニングデバイスである無線デバイス11bに割り当てる。
【0084】
図10は、本発明の第4実施形態で用いられる暗号鍵管理テーブルを示す図である。図10に示す通り、本実施形態で用いられる暗号鍵管理テーブルTBは、2つのエントリのみを有するものである。1つ目のエントリは、0x0001〜0x7FFFの範囲のアドレスブロックB1と暗号鍵K1とが対応付けられたエントリであり、2つ目のエントリは、0x8000〜0xFFFFの範囲のアドレスブロックB2と暗号鍵K2とが対応付けられたエントリである。このため、無線通信ネットワークN1に参入する無線デバイスの数が増大しても、暗号鍵管理テーブルTBの大きさが大きくなるのを抑制することができる。
【0085】
〔第5実施形態〕
次に、本発明の第5実施形態について説明する。前述した第1〜第4実施形態は、プロビジョニング対応広告ルータ12が、運用用の無線通信を行う場合には暗号鍵K1を用い、プロビジョニング用の無線通信を行う場合にはプロビジョニング用の暗号鍵K2を用いるものであった。これに対し、本実施形態は、プロビジョニング対応広告ルータ12が、プロビジョニング用の通信を行う場合には、暗号鍵K2に代えてデフォルトの共有鍵(暗号鍵K3)を用いるものである。
【0086】
図11は、本発明の第5実施形態で用いられる暗号鍵管理テーブルを示す図である。図11に示す通り、本実施形態で用いられる暗号鍵管理テーブルTBは、図6に示す暗号鍵管理テーブルTBの無線デバイス11bに割り当てられた「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」なるEUI64アドレスに対応付けられている暗号鍵K2を暗号鍵K3に代えたものである。
【0087】
図11に示す暗号管理テーブルTBを用いることにより、無線デバイス11a又は無線アクセスポイント装置13との間で無線通信(運用用の無線通信)が行われる場合には、暗号鍵選択部26によって暗号鍵K1が選択される。これに対し、無線デバイス11bとの間で無線通信(プロビジョニング用の無線通信)が行われる場合には、暗号鍵選択部26によって暗号鍵K3が選択される。
【0088】
ここで、本実施形態では、システムマネージャ14から無線デバイス11aへの暗号鍵K1の配布は行われるものの、システムマネージャ14から無線デバイス11bへの暗号鍵K3の配布は行われない。これにより、無線デバイス11bに対する暗号鍵の設定を簡略化することができるとともに、通信量が削減されることからシステムマネージャ14及び無線デバイス11bの電力消費を抑えることができる。尚、本実施形態は、前述した第1,第3,第4実施形態に適用することも可能である。即ち、図5,図10に示す暗号管理テーブルTB中の暗号鍵K2に代えてデフォルトの共通鍵(暗号鍵K3)を用いることも可能である。
【0089】
以上、本発明の実施形態による無線通信装置及び無線通信システムについて説明したが、本発明は上述した実施形態に制限されることなく、本発明の範囲内で自由に変更が可能である。例えば、上記各実施形態では、説明を簡単にするために、1つの無線通信ネットワークN1が形成される無線通信システム1について説明したが、無線アクセスポイント装置13が複数設けられて複数の無線通信ネットワーク(無線サブネット)が形成される無線通信システムにも本発明を適用することができる。
【0090】
また、上記各実施形態では、図3に示すパケットの領域R4に格納された無線通信リソースを示す情報が要プロビジョニングデバイス用に割り当てられたものであることを判別するために、領域R5に特別な値(例えば、DL MICでは取り得ない値「0」や特別なDL MICを計算する公開された専用の鍵による計算結果)を格納していた。しかしながら、かかる判別にDL MICが格納される領域を用いる必要は必ずしも無く、明示的なフラグ等を広告に付加したものであっても良い。
【0091】
また、上記各実施形態では、プロビジョニング対応広告ルータ12、無線アクセスポイント装置13、及びシステムマネージャ14が別個の装置として実装されている例について説明した。しかしながら、これらの装置のうちの2つ又は3つが1つの装置として実装されていても良い。例えば、プロビジョニング対応広告ルータ12と無線アクセスポイント装置13とが1つの装置として実装されている場合である。
【符号の説明】
【0092】
1 無線通信システム
11a,11b 無線デバイス
12 プロビジョニング対応広告ルータ
14 システムマネージャ
21 無線通信部
22 パケット処理部
23 暗号処理部
24 メモリ
26 暗号鍵選択部
B1,B2 アドレスブロック
K1,K2 暗号鍵
TB 暗号鍵管理テーブル
N1 無線通信ネットワーク
【技術分野】
【0001】
本発明は、無線通信装置及び無線通信システムに関する。
【背景技術】
【0002】
近年、プラントや工場等においては、無線フィールド機器と呼ばれる無線通信が可能な現場機器(測定器、操作器)を設置し、無線フィールド機器を制御するための制御信号や無線フィールド機器で得られた測定信号等を、無線通信ネットワークを介して通信する無線通信システムが実現されている。このような無線通信システムで用いられる通信規格としては、例えば国際計測制御学会(ISA:International Society of Automation)で策定されたインダストリアル・オートメーション用無線通信規格であるISA100.11aが挙げられる。
【0003】
ここで、上記の無線フィールド機器等の無線デバイスを無線通信ネットワークに参入させるには、無線デバイスに対して「プロビジョニング(Provisioning)」と呼ばれる機器情報(ネットワークパラメータ及びセキュリティパラメータ)の設定作業を行う必要がある。この「プロビジョニング」を行う手法としては、上記の無線通信規格ISA100.11aに準拠した無線通信を行って機器情報の設定を行うOTA(Over The Air)プロビジョニングと、この無線通信とは異なる通信手段(例えば、赤外線通信等)による通信を行って機器情報の設定を行うOOB(Out-Of-Band)プロビジョニングとに大別される。
【0004】
以下の非特許文献1には、上記のOTAプロビジョニングを行う方法が幾つか規定されている。例えば、無線通信システムで管理する無線通信ネットワークを複数の無線サブネットに分割し、運用用の無線サブネット(ターゲットネットワーク)上に、プロビジョニングに用いる専用の無線サブネット(プロビジョニングネットワーク)を論理的に分離した状態に構築し、ターゲットネットワークからプロビジョニングネットワークを介してフィールド機器に機器情報を設定する方法が規定されている。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】“ISA-100.11a-2009 Wireless systems for industrial automation: Process control and related applications”,p.666-693 p.306-310 p.170-184
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところで、上述したプロビジョニング専用の無線サブネットであるプロビジョニングネットワークを用いたプロビジョニングは、論理的に分離されたターゲットネットワークとプロビジョニングネットワークとの間の通信が可能であることが前提となる。このため、ターゲットネットワークとプロビジョニングネットワークとを中継してプロビジョニングに必要な機能を備える特殊な中継機器(以下、プロビジョニング対応中継機器という)が必要になる。
【0007】
しかしながら、上記のプロビジョニング対応中継機器を用いる場合には、プロビジョニング対応中継機器自体の処理がサブネット内で中継を行う通常の中継機器(ルータ)よりも複雑になるとともに、無線通信システムに設けられる管理装置(無線通信リソースを統括管理する装置)の処理が複雑化してしまうという問題がある。その理由は、異なる無線サブネットを中継するプロビジョニング対応中継機器は、通常の中継機器よりも上位の層(例えば、データリンク層よりも上位のネットワーク層)で転送処理を行う必要があるからである。また、プロビジョニングネットワークは、連続した1つの無線サブネットとして構築されるターゲットネットワークとは異なり、ターゲットネットワーク上に点在した状態に構築されるからである。
【0008】
ここで、上述したプロビジョニングネットワークを用いずに、ターゲットネットワークに無線デバイスを直接接続してプロビジョニングを行う方法も考えられる。しかしながら、かかる方法は、本来であれば参入が許可されていない無線デバイスを一時的ではあるがターゲットネットワークに参入させる必要があることから、例えばそのターゲットネットワークで通信内容の暗号処理に用いられる鍵情報が漏洩する可能性が考えられる等のセキュリティ面での問題がある。
【0009】
また、ターゲットネットワークには、プロビジョニングが行われた無線デバイス(以下、「プロビジョニング済デバイス」という)をターゲットネットワークに接続させるための情報を広告として提供する広告ルータが設けられている。プロビジョニングが必要な無線デバイス(以下、「要プロビジョニングデバイス」という)をターゲットネットワークに接続させようとすると、この広告ルータにプロビジョニングに必要な機能を設ける必要があると考えられる。しかしながら、このような機能が設けられている広告ルータと設けられていない広告ルータが混在する場合には、要プロビジョニングデバイスは、前者の広告ルータからの広告のみならず、後者の広告ルータからの広告に対しても接続要求を送信する必要があり、無駄に電力が消費されてしまう虞も考えられる。
【0010】
本発明は上記事情に鑑みてなされたものであり、プロビジョニング専用の無線サブネットを用いることなく、無駄な電力消費を抑えてセキュリティを維持しつつプロビジョニングを行うことができる無線通信装置及び無線通信システムを提供することを目的とする。
【課題を解決するための手段】
【0011】
上記課題を解決するために、本発明の無線通信装置は、無線通信ネットワーク(N1)を介して無線デバイス(11a,11b)との間で無線通信が可能な無線通信装置(12)において、前記無線通信ネットワークに参入するために必要な機器情報の設定が行われた無線デバイスである設定済無線デバイス(11a)を前記無線通信ネットワークに接続させるための第1制御情報と、前記機器情報の設定を行う必要のある無線デバイスである要設定無線デバイス(11b)を前記無線通信ネットワークに接続させるための第2制御情報との何れか一方と、前記第1,第2制御情報の別を判別するための判別情報とが含まれるパケットを生成するパケット処理部(22)と、前記パケット処理部で生成されるパケットを広告として前記無線通信ネットワークに向けて送信する無線通信部(21)とを備えることを特徴としている。
この発明によると、設定済無線デバイスを無線通信ネットワークに接続させるための第1制御情報と判別情報とが含まれるパケットと、要設定無線デバイスを無線通信ネットワークに接続させるための第2制御情報と判別情報とが含まれるパケットとが、無線通信ネットワークに向けて広告としてそれぞれ送信される。
また、本発明の無線通信装置は、前記無線通信ネットワークに接続された前記設定済無線デバイスとの間の通信内容の暗号処理のための第1暗号鍵(K1)と、前記無線通信ネットワークに接続された前記要設定無線デバイスとの間の通信内容の暗号処理のための第2暗号鍵(K2)とを記憶する記憶部(24)と、前記記憶部に記憶された前記第1,第2暗号鍵を用いて前記無線通信ネットワークに接続された前記設定済無線デバイス及び前記要設定無線デバイスとの間の通信内容をそれぞれ暗号処理する暗号処理部(23)とを備えることを特徴としている。
また、本発明の無線通信装置は、前記第1,第2暗号鍵の使用方法を規定する管理テーブル(TB)に基づいて、前記記憶部に記憶された前記第1,第2暗号鍵から前記暗号処理部の暗号処理に用いられる暗号鍵を選択する暗号鍵選択部(26)を備えることを特徴としている。
ここで、本発明の無線通信装置は、前記管理テーブルが、前記第1,第2制御情報に基づいて割り当てられた無線通信リソースと、該無線通信リソースを用いて行われる無線デバイスとの間の無線通信の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴としている。
若しくは、本発明の無線通信装置は、前記管理テーブルが、無線デバイスの各々に一意に割り当てられた識別情報と、該無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴としている。
或いは、本発明の無線通信装置は、前記管理テーブルが、無線デバイスに割り当て得る識別情報の区分を示す区分情報(B1,B2)と、該区分情報で示される区分に含まれる識別情報が割り当てられた無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴としている。
また、本発明の無線通信装置は、前記パケット処理部が、受信したパケットの内容に応じて前記管理テーブルの内容を更新することを特徴としている。
ここで、本発明の無線通信装置は、前記パケット処理部が、受信したパケットの送信元が前記設定済無線デバイスである場合には、前記パケットに含まれる前記設定済無線デバイスの識別情報と前記第1暗号鍵を示す情報とを対応付けて前記管理テーブルに追加し、受信したパケットの送信元が前記要設定無線デバイスである場合には、前記パケットに含まれる前記要設定無線デバイスの識別情報と前記第2暗号鍵を示す情報とを対応付けて前記管理テーブルに追加することを特徴としている。
また、本発明の無線通信装置は、前記第1,第2制御情報が、前記無線通信ネットワークを介して行われる時分割多元接続による無線通信のタイムスロット及び通信チャネルを特定する情報であることを特徴としている。
また、本発明の無線通信装置は、前記第1制御情報が含まれるパケットに格納される前記判別情報が、当該パケットの内容の完全性を保証するメッセージ完全性符号を示す情報であり、前記第2制御情報が含まれるパケットに格納される前記判別情報が、前記メッセージ完全性符号で取り得ない特別な値を示す情報であることを特徴としている。
本発明の無線通信システムは、無線通信ネットワーク(N1)を介した無線通信が行われる無線通信システム(1)において、前記広告を前記無線通信ネットワークに向けて送信する上記の何れかに記載の無線通信装置(12)と、前記無線通信装置から送信される広告に含まれる前記判別情報に基づいて前記第1,第2制御情報の別を判別し、前記第2制御情報であると判別した場合であって前記機器情報の設定が行われていないときには、前記広告に含まれる前記第2制御情報に基づいて前記無線通信ネットワークに接続する無線デバイス(11b)とを備えることを特徴としている。
また、本発明の無線通信システムは、前記第1,第2制御情報を規定して前記無線通信ネットワークを介して行われる無線通信の管理を行うとともに、前記第2制御情報に基づいて前記無線通信ネットワークに接続した無線デバイスに対して前記機器情報の設定を行う管理装置(14)を備えることを特徴としている。
【発明の効果】
【0012】
本発明によれば、設定済無線デバイスを無線通信ネットワークに接続させるための第1制御情報と判別情報とが含まれるパケットと、要設定無線デバイスを無線通信ネットワークに接続させるための第2制御情報と判別情報とが含まれるパケットとを、無線通信ネットワークに向けて広告としてそれぞれ送信しているため、プロビジョニング専用の無線サブネットを用いることなく、無駄な電力消費を抑えてセキュリティを維持しつつプロビジョニングを行うことができるという効果がある。
【図面の簡単な説明】
【0013】
【図1】本発明の第1実施形態による無線通信システムの全体構成を示すブロック図である。
【図2】本発明の第1実施形態による無線通信装置としてのプロビジョニング対応広告ルータの構成を示すブロック図である。
【図3】本発明の第1実施形態による無線通信装置としてのプロビジョニング対応広告ルータで生成されるパケットを示す図である。
【図4】本発明の第1実施形態において割り当てられる無線通信リソースを説明するための図である。
【図5】本発明の第1実施形態で用いられる暗号鍵管理テーブルを示す図である。
【図6】本発明の第2実施形態で用いられる暗号鍵管理テーブルを示す図である。
【図7】本発明の第3実施形態において参入要求時に用いられるパケットを示す図である。
【図8】本発明の第3実施形態における暗号鍵管理テーブルの作成方法を示すフローチャートである。
【図9】本発明の第4実施形態で用いられるDLアドレスを説明するための図である。
【図10】本発明の第4実施形態で用いられる暗号鍵管理テーブルを示す図である。
【図11】本発明の第5実施形態で用いられる暗号鍵管理テーブルを示す図である。
【発明を実施するための形態】
【0014】
以下、図面を参照して本発明の実施形態による無線通信装置及び無線通信システムについて詳細に説明する。
【0015】
〔第1実施形態〕
図1は、本発明の第1実施形態による無線通信システムの全体構成を示すブロック図である。図1に示す通り、本実施形態の無線通信システム1は、無線デバイス11a,11b、プロビジョニング対応広告ルータ12(無線通信装置)、無線アクセスポイント装置13、及びシステムマネージャ14(管理装置)を備えており、システムマネージャ14の管理制御の下で、無線通信ネットワークN1を介した無線通信が可能である。尚、図1では2つの無線デバイス11a,11bのみを示しているが、無線デバイスの数は任意である。
【0016】
具体的に、無線通信システム1は、インダストリアル・オートメーション用無線通信規格であるISA100.11aに準拠した複数の通信チャネル(例えば、16チャネル)を用いたTDMA(Time Division Multiple Access:時分割多元接続)による無線通信が可能である。かかる無線通信は、システムマネージャ14が無線通信を行う各機器(無線デバイス11a,11b、プロビジョニング対応広告ルータ12、及び無線アクセスポイント装置13)に対し、無線通信リソース(タイムスロット及び通信チャネル)の割り当てを行うことによって実現される。このように、システムマネージャ14が無線通信リソースの割り当てを一括して行うことにより、通信の実時間性が確保される。
【0017】
図1中の無線通信ネットワークN1は、システムマネージャ14の管理制御の下でプロビジョニング対応広告ルータ12及び無線アクセスポイント13によって形成され、無線デバイス11a,11bが参入すべきネットワークである。また、無線アクセスポイント装置13及びシステムマネージャ14が接続されるバックボーンネットワークN2は、無線通信システム1の基幹となる有線ネットワーク又は他の無線ネットワークである。
【0018】
無線デバイス11は、例えば流量計や温度センサ等のセンサ機器、流量制御弁や開閉弁等のバルブ機器、ファンやモータ等のアクチュエータ機器、その他のプラントや工場に設置される無線フィールドデバイスであり、上述した無線通信規格ISA100.11aに準拠した無線通信を行う。尚、理解を容易にするために、無線デバイス11aは、無線通信ネットワークN1に接続するための機器情報の設定(プロビジョニング)が行われたプロビジョニング済デバイス(設定済無線デバイス)であり、無線デバイス11bは、プロビジョニングを行う必要のある要プロビジョニングデバイス(要設定無線デバイス)であるとする。
【0019】
プロビジョニング対応広告ルータ12は、プロビジョニング済デバイスである無線デバイス11a及び要プロビジョニングデバイスである無線デバイス11bに対して、それぞれ異なる広告A1,A2を送信する。具体的に、プロビジョニング済デバイスである無線デバイス11aに対しては、無線通信ネットワークN1に接続させるために無線通信ネットワークN1に接続させるための広告A1を送信する。これに対し、要プロビジョニングデバイスである無線デバイス11bに対しては、プロビジョニングを行うために無線通信ネットワークN1に接続させるための広告A2を送信する。
【0020】
上記の広告A1は、プロビジョニング済デバイスである無線デバイス11aを無線通信ネットワークN1に接続させるため、或いは無線通信ネットワークN1に参入している無線デバイスの時刻を同期させるために従来から用いられている広告である。これに対し、上記の広告A2は、要プロビジョニングデバイスである無線デバイス11bに対する無線通信ネットワークN1を介したプロビジョニング(OTAプロビジョニング)を実現するために用いる新たな広告である。尚、プロビジョニング対応広告ルータ12及び広告A1,A2の詳細については後述する。
【0021】
無線アクセスポイント装置13は、無線デバイス11a,11b及びプロビジョニング対応広告ルータ12が接続される無線通信ネットワークN1と、システムマネージャ14が接続されるバックボーンネットワークN2とを接続し、無線デバイス11a,11b等とシステムマネージャ14との間で送受信される各種データの中継を行う装置である。尚、無線アクセスポイント装置13も、上述した無線通信規格ISA100.11aに準拠した無線通信を行う。
【0022】
システムマネージャ14は、無線通信システム1の管理制御を統括して行う。具体的に、システムマネージャ14は、無線通信ネットワークN1を介した無線通信を実現するために、無線通信ネットワークN1に接続される各機器(無線デバイス11a,11b、プロビジョニング対応広告ルータ12、及び無線アクセスポイント装置13)に対し、無線通信リソース(タイムスロット及び通信チャネル)の割り当てを行う。
【0023】
また、システムマネージャ14は、プロビジョニング済デバイスである無線デバイス11a及び要プロビジョニングデバイスである無線デバイス11bを無線通信ネットワークN1に接続させるか否かの管理制御も行う。具体的には、無線デバイス11a,11bを無線通信ネットワークN1に接続させるための無線通信リソース(タイムスロット及び通信チャネル)の割り当てをそれぞれ行い、割り当てを行った無線通信リソースを用いた無線通信ネットワークN1への接続を実施させるための広告A1,A2をプロビジョニング対応広告ルータ12にそれぞれ送信させる。
【0024】
更に、システムマネージャ14は、無線通信ネットワークN1に接続されたプロビジョニング済デバイスである無線デバイス11aから、無線通信ネットワークN1への参入要求(ジョイン要求)が送信されてきた場合に、無線デバイス11aを無線通信ネットワークN1に参入させるか否かを制御する。また、無線通信ネットワークN1に接続された要プロビジョニングデバイスである無線デバイス11bに対し、無線通信ネットワークN1を介したプロビジョニング(OTAプロビジョニング)を行う。
【0025】
また更に、システムマネージャ14は、セキュリティを確保するために、無線通信ネットワークN1に接続された各機器(無線デバイス11a,11b、プロビジョニング対応広告ルータ12、及び無線アクセスポイント装置13)に対し、通信内容の暗号処理のために用いる暗号鍵(共有鍵)を配布する。具体的には、無線通信ネットワークN1への参入が許可された無線デバイス11a、プロビジョニング対応広告ルータ12、及び無線アクセスポイント装置13に対して暗号鍵K1(第1暗号鍵)を配布し、無線通信ネットワークN1に接続された無線デバイス11b及びプロビジョニング対応広告ルータ12に対して暗号鍵K2(第2暗号鍵)を配布する。
【0026】
ここで、暗号鍵K1は、無線通信ネットワークN1のセキュリティを確保するために用いられる本来の暗号鍵であり、暗号鍵K2は、プロビジョニングを行う際にのみ用いられる暗号鍵である。本来の暗号鍵K1とプロビジョニングを行う際にのみ用いられる暗号鍵K2とを分けるのは、プロビジョニングのために無線通信ネットワークN1に接続された無線デバイスを介して、本来の暗号鍵K1が漏洩するのを防止するためである。
【0027】
次に、上述したプロビジョニング対応広告ルータ12について詳細に説明する。図2は、本発明の第1実施形態による無線通信装置としてのプロビジョニング対応広告ルータの構成を示すブロック図である。図2に示す通り、プロビジョニング対応広告ルータ12は、無線通信部21、パケット処理部22、暗号処理部23、メモリ24(記憶部)、制御部25、及び暗号鍵選択部26を備えており、システムマネージャ14の制御の下で、無線デバイス11a,11bに対する広告A1,A2の送信等を行う。
【0028】
無線通信部21は、制御部25の制御の下で、無線通信ネットワークN1を介して送信されてくるデータ(パケット)を受信するとともに、無線通信ネットワークN1に向けたデータ(パケット)の送信を行う。パケット処理部22は、制御部25の制御の下で、無線通信部21で送受信されるパケットに関する処理を行う。例えば、無線通信部21で受信されたパケットから必要なデータの抽出等を行うとともに、無線通信部21を介して送信すべきパケット(例えば、広告A1,A2として送信されるパケット)の生成を行う。
【0029】
図3は、本発明の第1実施形態による無線通信装置としてのプロビジョニング対応広告ルータで生成されるパケットを示す図である。図3に示す通り、プロビジョニング対応広告ルータで生成されるパケットPは、各種ヘッダが格納される3つの領域R1〜R3と、DL(Data Link)ペイロードが格納される領域R4と、パケットの内容の完全性を保証する情報であるDL MIC(Message Integrity Code:メッセージ完全性符号)が格納される領域R5とを有する。
【0030】
具体的に、領域R1には物理層ヘッダが格納され、領域R2にはMAC(Media Access Control)ヘッダが格納され、領域R3にはDLヘッダが格納される。領域R4には、例えばシステムマネージャ14によって割り当てられた無線通信リソース(タイムスロット及び通信チャネル)を示す情報がDLペイロードとして格納される。領域R5には、領域R2〜R4が含まれる保証領域R10の内容の完全性を保証するための情報であるDL MICが格納される。
【0031】
ここで、プロビジョニング対応広告ルータ12から広告A1として送信されるパケットは、プロビジョニング済デバイス(例えば、無線デバイス11a)用に割り当てられた無線通信リソース(タイムスロット及び通信チャネル)を示す情報(第1制御情報)が領域R4に格納され、その情報に応じたDL MIC(判別情報)が領域R5に格納されたものである。つまり、従来から広告として用いられているパケットと同じものである。尚、領域R5に格納されるDL MICは、暗号鍵K1(図1に示すシステムマネージャ14からプロビジョニング対応広告ルータ12に配布された暗号鍵)を用いて算出される。
【0032】
これに対し、プロビジョニング対応広告ルータ12から広告A2として送信されるパケットは、要プロビジョニングデバイス(例えば、無線デバイス11b)用に割り当てられた無線通信リソース(タイムスロット及び通信チャネル)を示す情報(第2制御情報)が領域R4に格納され、要プロビジョニングデバイス用に割り当てられた無線通信リソースが領域R4に格納されていることを示す特別な値(判別情報)が領域R5に格納されたものである。尚、領域R5に格納される特別な値とは、例えば上記のDL MICでは取り得ない値「0」、或いは、上記のDL MICでは取り得ない値を取る特別なDL MICを計算する公開された専用の鍵による計算結果等である。
【0033】
従って、プロビジョニング対応広告ルータ12から送信されてきたパケットの領域R5に格納されている内容を参照すれば、プロビジョニング済デバイスに対する広告A1であるのか、或いは、要プロビジョニングデバイスに対する広告A2であるのかが判別可能である。例えば、プロビジョニング対応広告ルータ12から送信されてきたパケットの領域R5に格納されている値が「0」である場合や、特別なDL MICを計算する公開された専用の鍵による計算結果と一致した場合には要プロビジョニングデバイスに対する広告A2であり、それら以外の値である場合にはプロビジョニング済デバイスに対する広告A1であるといった具合である。
【0034】
パケットの領域R5に格納されるDL MICを上記の判別に用いるのは、互換性を確保しつつ上記の判別を可能にするためである。前述した通り、DL MICは、パケットの内容の完全性を保証する情報であり、無線通信ネットワークN1のセキュリティを確保するためには重要なものであるが、広告については用いられておらず内容を変更しても問題は生じない。他方、上記の判別を行うための情報を格納する領域をパケットに新たに設けることとすると、互換性の問題が生ずる。このため、DL MICを用いることによって、互換性を確保しつつ上記の判別を可能にしている。
【0035】
ここで、システムマネージャ14によって割り当てられる無線通信リソースについて説明する。図4は、本発明の第1実施形態において割り当てられる無線通信リソースを説明するための図である。尚、図4に示す図は、横軸に時間をとり、縦軸に通信チャネルをとっている。図4において、横軸方向の1マスは1つのタイムスロットを示しており、縦軸方向の1マスは1つの通信チャネルを示している。但し、図示の簡単化のために、図4においては通信チャネルを10チャネルのみ図示している。
【0036】
図4において、符号Q11を付したマス(斜線及び黒字の文字「T」が付されたマス)は、広告A1に基づいて割り当てられる送信用の無線通信リソースを示しており、符号Q12を付したマス(斜線及び黒字の文字「R」が付されたマス)は、広告A1に基づいて割り当てられる受信用の無線通信リソースを示している。これに対し、符号Q21を付したマス(斜線及び白抜きの文字「T」が付されたマス)は、広告A2に基づいて割り当てられる送信用の無線通信リソースを示しており、符号Q22を付したマス(斜線及び白抜きの文字「R」が付されたマス)は、広告A2に基づいて割り当てられる受信用の無線通信リソースを示している。
【0037】
図4に示す例では、広告A2に基づいて割り当てられる無線通信リソースは、広告A1に基づいて割り当てられる無線通信リソースと、タイムスロットと通信チャネルとの双方が異なるように割り当てられている。本実施形態では、セキュリティを維持しつつ、無線通信ネットワークN1に参入している無線デバイス或いは無線通信ネットワークN1に参入しようとしている無線デバイス11aの通信を極力妨げることがないよう、プロビジョニングを行う無線デバイス11bに対する無線通信リソースの割り当てが行われる。
尚、広告A1に基づいて割り当てられた無線通信リソース(図4中の符号Q11,Q12を付したマス)を用いて無線デバイス11aが無線通信ネットワークN1に接続された後は、無線デバイス11aとプロビジョニング対応広告ルータ12との間の通信内容は暗号鍵K1を用いて暗号処理される。同様に、広告A2に基づいて割り当てられた無線通信リソース(図4中の符号Q21,Q22を付したマス)を用いて無線デバイス11bが無線通信ネットワークN1に接続された後は、無線デバイス11bとプロビジョニング対応広告ルータ12との間の通信内容は暗号鍵K2を用いて暗号処理される。このように、暗号鍵K1,K2は、広告A1,A2に基づいて割り当てられた無線通信リソースを基準として切り替えられることになる。
【0038】
図2に戻り、暗号処理部23は、メモリ24に格納された暗号鍵K1を用いて、無線通信ネットワークN1に参入した無線デバイス11aとの間の通信(加えて、無線アクセスポイント装置13との間の通信)で用いられるDL MICの生成・検証を行う。また、メモリ24に格納された暗号鍵K2を用いて、無線通信ネットワークN1に接続した無線デバイス11bとの間の通信(広告A2以外の通信)で用いられるDL MICの生成・検証を行う。メモリ24は、例えばRAM(Random Access Memory)等の揮発性のメモリであり、システムマネージャ14から配布される暗号鍵K1,K2等を記憶する。
【0039】
制御部25は、プロビジョニング対応広告ルータ12の動作を統括して制御する。例えば、システムマネージャ14から暗号鍵K1,K2が配布された場合には、これらの暗号鍵K1,K2をメモリ24に記憶させる制御を行う。また、無線通信部21、パケット処理部22、及び暗号処理部23を制御して、データの送受信制御を行うとともに、広告A1,A2の送信制御を行う。
【0040】
暗号鍵選択部26は、暗号鍵K1,K2の使用方法を規定する暗号鍵管理テーブルTB(管理テーブル)に基づいて、メモリ24に記憶された暗号鍵K1,K2から、暗号処理部23の暗号処理に用いられる暗号鍵を選択する。図5は、本発明の第1実施形態で用いられる暗号鍵管理テーブルを示す図である。図5に示す通り、本実施形態で用いられる暗号鍵管理テーブルTBは、広告A1,A2に基づいて割り当てられる無線通信リソースと、各々の無線通信リソースを用いて行われる無線デバイスとの間の無線通信の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルである。
【0041】
具体的に、広告A1に基づいて割り当てられた無線通信リソース(図4中の符号Q11,Q12を付したマス)には暗号鍵K1が対応付けられており、広告A2に基づいて割り当てられた無線通信リソース(図4中の符号Q21,Q22を付したマス)には暗号鍵K2が対応付けられている。従って、広告A1に基づいて割り当てられた無線通信リソース(図4中の符号Q11,Q12を付したマス)を用いて無線デバイス11aとプロビジョニング対応広告ルータ12との間で無線通信が行われる場合には、暗号鍵選択部26は、暗号処理部23の暗号処理に用いられる暗号鍵として暗号鍵K1を選択する。これに対し、広告A2に基づいて割り当てられた無線通信リソース(図4中の符号Q21,Q22を付したマス)を用いて無線デバイス11bとプロビジョニング対応広告ルータ12との間で無線通信が行われる場合には、暗号鍵選択部26は、暗号処理部23の暗号処理に用いられる暗号鍵として暗号鍵K2を選択する。
【0042】
次に、上記構成における無線通信システムの動作について説明する。尚、以下では、プロビジョニング済デバイスである無線デバイス11a及び要プロビジョニングデバイスである無線デバイス11bは何れも、無線通信ネットワークN1に接続されていない状態であるとする。無線通信システム1が動作している状態においては、無線通信ネットワークN1における無線通信リソース(タイムスロット及び通信チャネル)の割り当てがシステムマネージャ14によって常時行われている。
【0043】
システムマネージャ14によって割り当てられた無線通信リソースを示す情報は、無線通信ネットワークN1に接続されている各機器(プロビジョニング対応広告ルータ12及び無線アクセスポイント装置13)に送信される。プロビジョニング済デバイス用に割り当てられた無線通信リソースがプロビジョニング対応広告ルータ12に送信されると、この無線通信リソースを示す情報と、この情報に応じたDL MICとが図3に示す領域R4,R5にそれぞれ格納されたパケットが図2に示すパケット処理部22で生成されて広告A1として送信される。
【0044】
これに対し、要プロビジョニングデバイス用に割り当てられた無線通信リソースがプロビジョニング対応広告ルータ12に送信されると、この無線通信リソースを示す情報が図3に示す領域R4に格納されるとともに、特別な値(例えば、値「0」や特別なDL MICを計算する公開された専用の鍵による計算結果)が図3に示す領域R5に格納されたパケットが図2に示すパケット処理部22で生成されて広告A2として送信される。尚、上記の特別な値は、要プロビジョニングデバイス用に割り当てられた無線通信リソースを示す情報が領域R4に格納されていることを示す値である。
【0045】
まず、プロビジョニング済デバイスである無線デバイス11aが、プロビジョニング対応広告ルータ12から送信される広告A1,A2を受信することができる位置に配置された場合を考える。プロビジョニング対応広告ルータ12から送信される広告A1,A2を受信すると、無線デバイス11aは、広告A1,A2をなすパケットの領域R5をそれぞれ参照し、値「0」又は特別なDL MICを計算する公開された専用の鍵による計算結果が格納されているパケット(広告A2)を廃棄する一方で、「0」又は特別なDL MICを計算する公開された専用の鍵による計算結果以外の値が格納されているパケット(広告A1)を受信する。
【0046】
次いで、無線デバイス11aは、受信したパケット(広告A1)の領域R4(図3参照)に格納されている無線通信リソースを示す情報とプロビジョニングによって予め設定されている情報を用いて無線通信ネットワークN1に接続し、プロビジョニング対応広告ルータ12に対して参入要求(ジョイン要求)を送信する。プロビジョニング対応広告ルータ12に送信された参入要求は、無線アクセスポイント装置13を介してシステムマネージャ14に送信され、無線デバイス11aを無線通信ネットワークN1に参入させるか否かを制御する。
【0047】
無線通信ネットワークN1への参入を許可する場合には、システムマネージャ14は、無線デバイス11aとの間の通信経路を確立して無線デバイス11aに対する認証を行う。この認証が成功した場合には、システムマネージャ14から無線デバイス11aに対して暗号鍵K1が配布され、これにより無線デバイス11aが無線通信ネットワークN1に参入する処理が終了する。
【0048】
尚、無線デバイス11aが無線通信ネットワークN1に参入した後は、システムマネージャ14によって配布された暗号鍵K1を用いて、無線通信ネットワークN1を介した通信内容の暗号処理が行われる。このとき、プロビジョニング対応広告ルータ12では、暗号鍵管理テーブルTBに基づき、暗号鍵選択部26によって暗号鍵K1が選択される。そして、暗号処理部23において、暗号鍵K1を用いた通信内容の暗号処理が行われる。また、無線デバイス11aが無線通信ネットワークN1に参入した後は、プロビジョニング対応広告ルータ12から定期的に送信される広告A1を用いて、無線デバイス11aの時刻を同期する処理も行われる。
【0049】
次に、要プロビジョニングデバイスである無線デバイス11bが、プロビジョニング対応広告ルータ12から送信される広告A1,A2を受信することができる位置に配置された場合を考える。プロビジョニング対応広告ルータ12から送信される広告A1,A2を受信すると、無線デバイス11bは、まず広告A1,A2をなすパケットの領域R5をそれぞれ参照し、「0」又は特別なDL MICを計算する公開された専用の鍵による計算結果以外の値が格納されているパケット(広告A1)を廃棄する一方で、値「0」又は特別なDL MICを計算する公開された専用の鍵による計算結果が格納されているパケット(広告A2)を受信する。
【0050】
次いで、無線デバイス11bは、受信したパケット(広告A2)の領域R4(図3参照)に格納されている無線通信リソースを示す情報を用いて無線通信ネットワークN1に接続し、プロビジョニング対応広告ルータ12及び無線アクセスポイント装置13を介してシステムマネージャ14と通信を行う。無線デバイス11bとの通信が可能になると、システムマネージャ14は、無線デバイス11bに暗号鍵K2を配布してから無線デバイス11bに対するプロビジョニング(OTAプロビジョニング)を行う。プロビジョニングの前に暗号鍵K2が無線デバイス11bに配布されるため、プロビジョニングの内容も暗号処理される。このとき、プロビジョニング対応広告ルータ12では、暗号鍵管理テーブルTBに基づき、暗号鍵選択部26によって暗号鍵K2が選択され、暗号処理部23において暗号鍵K2を用いた通信内容の暗号処理が行われる。
【0051】
以上の通り、本実施形態では、無線通信ネットワークN1内にプロビジョニング対応広告ルータ12を設け、プロビジョニング済デバイスである無線デバイス11aに対する広告A1と、要プロビジョニングデバイスである無線デバイス11bに対する広告A2とを送信するようにしている。ここで、広告A1は、プロビジョニング済デバイスである無線デバイス11aを無線通信ネットワークN1に接続させるための無線通信リソースを示す情報とDL MICとが格納されたパケットであり、広告A2は、要プロビジョニングデバイスである無線デバイス11bを無線通信ネットワークN1に接続させるための無線通信リソースを示す情報と特別な値(例えば、DL MICでは取り得ない値「0」や特別なDL MICを計算する公開された専用の鍵による計算結果)とが格納されたパケットである。
【0052】
これにより、プロビジョニング済デバイスである無線デバイス11aを無線通信ネットワークN1に接続するために用いられるタイムスロット及び通信チャネルとは異なるタイムスロット及び通信チャネルを用いて、要プロビジョニングデバイスである無線デバイス11bを無線通信ネットワークN1に接続することができる。その結果として、プロビジョニング専用の無線サブネットを用いることなく、セキュリティを維持しつつ要プロビジョニングデバイスである無線デバイス11bに対するプロビジョニングを行うことができる。また、無線デバイス11bは、プロビジョニング対応広告ルータ12から送信される広告A1を破棄して広告A2のみを受信しており、広告A2を受信した場合のみ接続要求を行っているため、無駄な電力消費を抑えることもできる。
【0053】
〔第2実施形態〕
次に、本発明の第2実施形態について説明する。以上説明した第1実施形態は、広告A1,A2に基づいて割り当てられた無線通信リソースを基準として、プロビジョニング対応広告ルータ12が、暗号鍵K1,K2の切り替えを行うものであった。これに対し、本実施形態は、通信相手(無線デバイス11a,11b)を基準として、プロビジョニング対応広告ルータ12が、暗号鍵K1,K2の切り替えを行うものである。
【0054】
本実施形態における無線通信システムは、図1に示す無線通信システム1と同様の構成である。また、本実施形態における無線通信装置としてのプロビジョニング対応広告ルータは、図2に示すプロビジョニング対応広告ルータとほぼ同様の構成である。但し、本実施形態では、プロビジョニング対応広告ルータで用いられる暗号鍵管理テーブルTBの内容が、図5に示すものとは異なる。
【0055】
図6は、本発明の第2実施形態で用いられる暗号鍵管理テーブルを示す図である。図6に示す通り、本実施形態で用いられる暗号鍵管理テーブルTBは、無線デバイスの各々に一意に割り当てられた識別情報としてのEUI64アドレスと、無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルである。ここで、上記のEUI64アドレスとは、無線デバイスを一意に識別するために無線デバイスの各々に割り当てられた64ビットのアドレスである。
【0056】
例えば、無線アクセスポイント装置13には「XX:XX:XX:XX:XX:XX:XX:XX」なるEUI64アドレスが割り当てられている。また、無線デバイス11a,11bには「YY:YY:YY:YY:YY:YY:YY:YY」,「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」なるEUI64アドレスがそれぞれ割り当てられている。尚、上記X,Y,Zは、16進数の任意の数値である。ここで、無線アクセスポイント装置13に割り当てられたEUI64アドレスには、暗号鍵K1が対応付けられている。また、無線デバイス11a,11bに割り当てられたEUI64アドレスには、暗号鍵K1,K2がそれぞれ対応付けられている。
【0057】
従って、無線デバイス11a又は無線アクセスポイント装置13との間で無線通信が行われる場合には、暗号鍵選択部26は、暗号処理部23の暗号処理に用いられる暗号鍵として暗号鍵K1を選択する。これに対し、無線デバイス11bとの間で無線通信が行われる場合には、暗号鍵選択部26は、暗号処理部23の暗号処理に用いられる暗号鍵として暗号鍵K2を選択する。尚、図6では、EUI64アドレスと暗号鍵を示す情報とが対応付けられている暗号鍵管理テーブルTBを図示しているが、通信相手を特定できるのであれば、EUI64アドレス以外のアドレス(例えば、16ビットのDLアドレス)を用いても良い。
【0058】
次に、上記構成における無線通信システムの動作について説明する。尚、本実施形態における無線通信システムの動作は、プロビジョニング対応広告ルータ12で行われる暗号鍵K1,K2の選択動作を除いて、第1実施形態における無線通信システム1の動作と同様である。このため、以下では、プロビジョニング対応広告ルータ12が、無線通信ネットワークN1に参入している無線デバイス11a,11bに対してパケットの送受信を行う場合の動作について簡単に説明する。
【0059】
〈パケット送信時の動作〉
パケットの送信動作が開始されると、まず無線デバイス11a,11bに対して送信すべきパケットの生成処理がパケット処理部22で行われる。このとき、図6に示す暗号鍵管理テーブルTBが暗号鍵選択部26によって検索され、通信相手(無線デバイス11a,11b)に割り当てられているEUI64アドレスに対応している暗号鍵を示す情報に基づいて、メモリ24に記憶された暗号鍵K1,K2から、暗号処理部23の暗号処理に用いられる暗号鍵が選択される。具体的に、通信相手が無線デバイス11aである場合には暗号鍵K1が選択され、通信相手が無線デバイス11bである場合には暗号鍵K2が選択される。
【0060】
暗号鍵選択部26で暗号鍵が選択されると、選択された暗号鍵が暗号処理部23に渡されてDL MICが生成される。そして、暗号処理部23で生成されたDL MICが、パケット処理部22で生成されたパケットに付加される。具体的に、図3に示すパケットPの領域R5にDL MICが格納される。以上の処理が終了すると、生成されたパケットが無線通信部21から無線通信ネットワークN1を介して通信相手(無線デバイス11a,11b)に送信される。以上の動作によって、暗号鍵K1を用いて生成されたDL MICが付加されているパケットは無線デバイス11aに送信され、暗号鍵K2を用いて生成されたDL MICが付加されているパケットは無線デバイス11bに送信される。
【0061】
〈パケット受信時の動作〉
通信相手(無線デバイス11a,11b)から無線通信ネットワークN1を介してプロビジョニング対応広告ルータ12にパケットが送信されてくると、このパケットは、無線通信部21で受信される。すると、図6に示す暗号鍵管理テーブルTBが暗号鍵選択部26によって検索され、通信相手(無線デバイス11a,11b)に割り当てられているEUI64アドレスに対応している暗号鍵を示す情報に基づいて、メモリ24に記憶された暗号鍵K1,K2が選択される。具体的に、通信相手が無線デバイス11aである場合には暗号鍵K1が選択され、通信相手が無線デバイス11bである場合には暗号鍵K2が選択される。
【0062】
暗号鍵選択部26で暗号鍵が選択されると、選択された暗号鍵が暗号処理部23に渡されてDL MICの生成が行われ、生成されたDL MICと受信したパケットに含まれるDL MIC(具体的には、図3に示すパケットPの領域R5に格納されているDL MIC)とが一致するかが検証される。仮に、両DL MICが一致することが検証された場合には、受信されたパケットの処理がパケット処理部22で行われる。以上の動作によって、無線デバイス11aから送信されてきたパケット(暗号鍵K1を用いて生成されたDL MICが付加されているパケット)の検証が暗号鍵選択部26で選択された暗号鍵K1を用いて行われ、無線デバイス11bから送信されてきたパケット(暗号鍵K2を用いて生成されたDL MICが付加されているパケット)の検証が暗号鍵選択部26で選択された暗号鍵K2を用いて行われる。
【0063】
以上の通り、本実施形態では、通信相手(無線デバイス11a,11b)を基準として、プロビジョニング対応広告ルータ12が暗号鍵K1,K2の切り替えを行う点が相違するものの、第1実施形態と同様に、無線通信ネットワークN1内にプロビジョニング対応広告ルータ12を設け、プロビジョニング済デバイスである無線デバイス11aに対する広告A1と、要プロビジョニングデバイスである無線デバイス11bに対する広告A2とを送信するようにしている。このため、第1実施形態と同様に、プロビジョニング専用の無線サブネットを用いることなく、セキュリティを維持しつつ要プロビジョニングデバイスである無線デバイス11bに対するプロビジョニングを行うことができるとともに、無駄な電力消費を抑えることができる。
【0064】
〔第3実施形態〕
次に、本発明の第3実施形態について説明する。以上説明した第2実施形態は、プロビジョニング対応広告ルータ12が、図6に示す暗号鍵管理テーブルTBを用いて、通信相手(無線デバイス11a,11b)を基準として、暗号鍵K1,K2の切り替えを行うものであった。本実施形態は、図6に示す暗号鍵管理テーブルTBの作成(変更)方法に係るものである。プロビジョニング対応広告ルータ12で用いられる暗号鍵管理テーブルTBの作成(更新)方法は、無線通信システムを管理するシステムマネージャ14が行う方法と、プロビジョニング対応広告ルータ12が自動的に行う方法とがある。以下では、後者の方法について説明する。
【0065】
図6に示す暗号鍵管理テーブルTBは、前述した通り、無線デバイスの各々に割り当てられたEUI64アドレスと暗号鍵を示す情報とが対応付けられたテーブルである。このため、プロビジョニング対応広告ルータ12における暗号鍵管理テーブルTBの作成(変更)は、無線通信ネットワークN1に参入しようとしている無線デバイスから参入要求(ジョイン要求)があったタイミングで行われる。
【0066】
ここで、プロビジョニング対応広告ルータ12が、図6に示す暗号鍵管理テーブルTBを自動的に作成するためには、参入要求(ジョイン要求)を送信した無線デバイスがプロビジョニング済デバイスである無線デバイス11aであるのか、要プロビジョニングデバイスである無線デバイス11bであるのかを判別する必要がある。この判別を行うために、プロビジョニング対応広告ルータ12は、図7に示すパケットP1の領域R4に格納されるペイロードに含まれるアプリケーション特定MIC(Application Specific MIC)を用いる。
【0067】
図7は、本発明の第3実施形態において参入要求時に用いられるパケットを示す図である。図7に示す通り、本実施形態で用いられるパケットP1は、図3に示すパケットPと同様に、各種ヘッダが格納される3つの領域R1〜R3と、DLペイロードが格納される領域R4と、DL MICが格納される領域R5とを有する。ここで、DLペイロードが格納される領域R4には、ネットワーク層及びトランスポート層のヘッダがそれぞれ格納される領域R11,R12と、アプリケーションデータが格納される領域R13とが設けられている。上記のアプリケーション特定MICは、領域R13に格納されたアプリケーションデータのうちの、特定のアプリケーションデータの内容の完全性を保証する情報であり、アプリケーションデータとともに領域R13に格納される。
【0068】
上記のアプリケーション特定MICは、無線デバイス11a,11bが参入時に用いる鍵を用いて算出される。具体的に、プロビジョニング済デバイスである無線デバイス11aの場合には、プロビジョニングによって設定されたジョインキー(Join Key)を用いて算出され、要プロビジョニングデバイスである無線デバイス11bの場合には、予め規定された(デフォルトの)共有鍵を用いて算出される。
【0069】
無線デバイス11aに設定されたジョインキーは、無線デバイス11aとシステムマネージャ14との間でのみ共有され、プロビジョニング対応広告ルータ12が取得することはできない。これに対し、無線デバイス11bで用いられるデフォルトの共有鍵は、プロビジョニング対応広告ルータ12が取得可能である。このため、プロビジョニング対応広告ルータ12は、アプリケーション特定MICが共有鍵を用いて作成されているか否かを判別することによって、参入要求(ジョイン要求)を送信した無線デバイスが、プロビジョニング済デバイスである無線デバイス11aであるのか、要プロビジョニングデバイスである無線デバイス11bであるのかを判別する。
【0070】
図8は、本発明の第3実施形態における暗号鍵管理テーブルの作成方法を示すフローチャートである。尚、図8に示すフローチャートは、例えばプロビジョニング対応広告ルータ12の電源が投入された時点で開始され、受信したパケットに対する処理が終了する度に繰り返し行われる。処理が開始されると、プロビジョニング対応広告ルータ12は、無線デバイス11a,11bからのパケットを待ち受ける状態になる(ステップS11)。かかる待ち受け状態において、プロビジョニング対応広告ルータ12は、無線デバイス11a,11bからのパケットを無線通信部21で受信したか否かを判断する(ステップS12)。
【0071】
パケットを受信していないと判断した場合(判断結果が「NO」の場合)には、プロビジョニング対応広告ルータ12は、パケットの待ち受け状態を継続する(ステップS11)。これに対し、パケットを受信したと判断した場合(判断結果が「YES」の場合)には、プロビジョニング対応広告ルータ12のパケット処理部22は、受信したパケットが自身宛(プロビジョニング対応広告ルータ12宛)であるか否かを判断する(ステップS13)。
【0072】
尚、無線通信ネットワークN1に参入しようとしている無線デバイス11a,11bは、システムマネージャ14から暗号鍵K1,K2が配布されるまでは、デフォルトの共有鍵を用いて無線通信ネットワークN1を介した無線通信を行う。このため、暗号鍵管理テーブルTBに無線デバイス11a,11bのEUI64アドレスが登録されていなくとも、図3に示すパケットPの領域R5に格納されたDL MICを検証することは可能である。
【0073】
受信したパケットが自身宛ではないと判断した場合(ステップS13の判断結果が「NO」の場合)には、プロビジョニング対応広告ルータ12は、受信したパケットの経路制御を行う(ステップS14)。つまり、予め規定された経路情報に従って、受信したパケットを次中継点に転送する処理を行う。かかる経路制御が終了すると、図8に示す一連の処理が終了する。尚、図8に示す一連の処理が終了した場合には、再度ステップS11の処理が行われる。
【0074】
これに対し、受信したパケットが自身宛であると判断した場合(ステップS13の判断結果が「YES」の場合)には、プロビジョニング対応広告ルータ12のパケット処理部22及び暗号処理部23において、受信したパケットに含まれるアプリケーション特定MICを検証する処理が行われる(ステップS15)。具体的には、図7に示すパケットP1の領域R13に格納されたアプリケーション特定MICが、デフォルトの共有鍵を用いて生成されたものであるか(つまり、デフォルトの共有鍵を用いて、図7に示すパケットP1の領域R13に格納されたアプリケーション特定MICと同じものを生成することができるか)が検証される。
【0075】
より具体的に、ステップS15の処理では、デフォルトの共有鍵を用いてアプリケーション特定MICを実際に生成する処理が暗号処理部23において行われ、暗号処理部23で生成されたアプリケーション特定MICと、図7に示すパケットP1の領域R13に格納されたアプリケーション特定MICとを比較する処理がパケット処理部22において行われる。以上の処理が終了すると、デフォルトの共有鍵でアプリケーション特定MICの生成に成功したか否か(デフォルトの共有鍵を用いて、図7に示すパケットP1の領域R13に格納されたアプリケーション特定MICと同じものを生成することができたか否か)がパケット処理部22で判断される(ステップS16)。
【0076】
デフォルトの共有鍵でアプリケーション特定MICの生成に失敗したと判断した場合(ステップS16の判断結果が「NO」の場合)には、パケット処理部22は、パケットに含まれるEUI64アドレスと暗号鍵K1とを対応付けて、暗号鍵選択部26を介して暗号鍵管理テーブルTBに登録(追加)する。ここで、EUI64アドレスに暗号鍵K1を対応付けるのは、デフォルトの共有鍵を用いたアプリケーション特定MICの生成に失敗しているため、受信したパケットの送信元がプロビジョニング済デバイスである無線デバイス11aと推定されるからである。以上の処理が終了すると、パケット処理部22は、受信したパケットの処理(具体的には、システムマネージャ14への代理転送処理)を行う(ステップS18)。
【0077】
これに対し、デフォルトの共有鍵でアプリケーション特定MICの生成に成功したと判断した場合(ステップS16の判断結果が「YES」の場合)には、パケット処理部22は、パケットに含まれるEUI64アドレスと暗号鍵K2とを対応付け、暗号鍵選択部26を介して暗号鍵管理テーブルTBに登録(追加)する。ここで、EUI64アドレスに暗号鍵K2を対応付けるのは、デフォルトの共有鍵を用いたアプリケーション特定MICの生成に成功しているため、受信したパケットの送信元が要プロビジョニングデバイスである無線デバイス11bと推定されるからである。以上の処理が終了すると、パケット処理部22は、受信したパケットの処理(具体的には、システムマネージャ14への代理転送処理)を行う(ステップS18)。
【0078】
尚、EUI64アドレスに対応付けられる上記の暗号鍵K1は、以下の(a)に示すものであり、EUI64アドレスに対応付けられる上記の暗号鍵K2は、以下の(a)〜(c)の何れかに示すものである。
(a)プロビジョニング対応広告ルータ12自身が無線通信ネットワークN1に参入する際にシステムマネージャ14から取得したもの
(b)システムマネージャ14が無線デバイス11bに対して暗号鍵K2を配布する際にプロビジョニング対応広告ルータ12にも配布されたもの
(c)プロビジョニング対応広告ルータ12がシステムマネージャ14に対して暗号鍵K2の配布要求を行って取得したもの
【0079】
無線デバイス11a,11bの双方からジョイン要求がなされると、以上説明した処理が行われることによって、無線デバイス11aのEUI64アドレスと暗号鍵K1とが対応付けられたものと、無線デバイス11bのEUI64アドレスと暗号鍵K2とが対応付けられたものとが暗号鍵管理テーブルTBに登録(追加)される。これにより、プロビジョニング対応広告ルータ12では、無線デバイス11aとの間の通信時に用いられる暗号鍵(暗号鍵K1)と、無線デバイス11bとの間の通信時に用いられる暗号鍵(暗号鍵K2)との切り替えが行われることになる。
【0080】
〔第4実施形態〕
次に、本発明の第4実施形態について説明する。前述した第2実施形態は、プロビジョニング対応広告ルータ12が、図6に示す暗号鍵管理テーブルTBを用いて、通信相手(無線デバイス11a,11b)を基準として、暗号鍵K1,K2の切り替えを行うものであった。これに対し、本実施形態は、通信相手(無線デバイス11a,11b)に割り当て得る識別情報の区分(アドレスブロック:区分情報)を基準として、プロビジョニング対応広告ルータ12が、暗号鍵K1,K2の切り替えを行うものである。
【0081】
前述した第2実施形態では、通信相手のEUI64アドレス毎に暗号鍵を示す情報を登録する必要があるため、無線通信ネットワークN1に参入している無線デバイスの数の増加に比例して図6に示す暗号鍵管理テーブルTBの大きさが大きくなってしまう。本実施形態では、通信相手毎に暗号鍵を示す情報を登録するのではなく、通信相手に割り当て得る識別情報の区分(アドレスブロック)毎に暗号鍵を示す情報を登録することで、暗号鍵管理テーブルTBの大きさが大きくなるのを抑制している。
【0082】
本実施形態では、上記の識別情報として、EUI64アドレスに代えて、例えば16ビットのDLアドレスを用いている。図9は、本発明の第4実施形態で用いられるDLアドレスを説明するための図である。DLアドレスは、システムマネージャ14が、無線通信ネットワークN1に参入した無線デバイスに対して配布するアドレスであり、図9に示す通り、16進数表記で0x0000〜0xFFFFの範囲の値を取り得る。但し、値0x0000は、DLアドレスが割り当てられていないことを示すために用いられ、0x8000〜0xFFFFの範囲の値は、将来の拡張用に予約されているため、実際にDLアドレスとして用いられるのは、0x0001〜0x7FFFの範囲の値である。
【0083】
そこで、本実施形態では、16ビットのDLアドレスを、実際にDLアドレスとして用いられる0x0001〜0x7FFFの範囲のアドレスブロックB1と、将来の拡張用に予約されている0x8000〜0xFFFFの範囲のアドレスブロックB2とに区分する。そして、アドレスブロックB1に含まれるアドレスをプロビジョニング済デバイスである無線デバイス11aに割り当て、アドレスブロックB2に含まれるアドレスを要プロビジョニングデバイスである無線デバイス11bに割り当てる。
【0084】
図10は、本発明の第4実施形態で用いられる暗号鍵管理テーブルを示す図である。図10に示す通り、本実施形態で用いられる暗号鍵管理テーブルTBは、2つのエントリのみを有するものである。1つ目のエントリは、0x0001〜0x7FFFの範囲のアドレスブロックB1と暗号鍵K1とが対応付けられたエントリであり、2つ目のエントリは、0x8000〜0xFFFFの範囲のアドレスブロックB2と暗号鍵K2とが対応付けられたエントリである。このため、無線通信ネットワークN1に参入する無線デバイスの数が増大しても、暗号鍵管理テーブルTBの大きさが大きくなるのを抑制することができる。
【0085】
〔第5実施形態〕
次に、本発明の第5実施形態について説明する。前述した第1〜第4実施形態は、プロビジョニング対応広告ルータ12が、運用用の無線通信を行う場合には暗号鍵K1を用い、プロビジョニング用の無線通信を行う場合にはプロビジョニング用の暗号鍵K2を用いるものであった。これに対し、本実施形態は、プロビジョニング対応広告ルータ12が、プロビジョニング用の通信を行う場合には、暗号鍵K2に代えてデフォルトの共有鍵(暗号鍵K3)を用いるものである。
【0086】
図11は、本発明の第5実施形態で用いられる暗号鍵管理テーブルを示す図である。図11に示す通り、本実施形態で用いられる暗号鍵管理テーブルTBは、図6に示す暗号鍵管理テーブルTBの無線デバイス11bに割り当てられた「ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ」なるEUI64アドレスに対応付けられている暗号鍵K2を暗号鍵K3に代えたものである。
【0087】
図11に示す暗号管理テーブルTBを用いることにより、無線デバイス11a又は無線アクセスポイント装置13との間で無線通信(運用用の無線通信)が行われる場合には、暗号鍵選択部26によって暗号鍵K1が選択される。これに対し、無線デバイス11bとの間で無線通信(プロビジョニング用の無線通信)が行われる場合には、暗号鍵選択部26によって暗号鍵K3が選択される。
【0088】
ここで、本実施形態では、システムマネージャ14から無線デバイス11aへの暗号鍵K1の配布は行われるものの、システムマネージャ14から無線デバイス11bへの暗号鍵K3の配布は行われない。これにより、無線デバイス11bに対する暗号鍵の設定を簡略化することができるとともに、通信量が削減されることからシステムマネージャ14及び無線デバイス11bの電力消費を抑えることができる。尚、本実施形態は、前述した第1,第3,第4実施形態に適用することも可能である。即ち、図5,図10に示す暗号管理テーブルTB中の暗号鍵K2に代えてデフォルトの共通鍵(暗号鍵K3)を用いることも可能である。
【0089】
以上、本発明の実施形態による無線通信装置及び無線通信システムについて説明したが、本発明は上述した実施形態に制限されることなく、本発明の範囲内で自由に変更が可能である。例えば、上記各実施形態では、説明を簡単にするために、1つの無線通信ネットワークN1が形成される無線通信システム1について説明したが、無線アクセスポイント装置13が複数設けられて複数の無線通信ネットワーク(無線サブネット)が形成される無線通信システムにも本発明を適用することができる。
【0090】
また、上記各実施形態では、図3に示すパケットの領域R4に格納された無線通信リソースを示す情報が要プロビジョニングデバイス用に割り当てられたものであることを判別するために、領域R5に特別な値(例えば、DL MICでは取り得ない値「0」や特別なDL MICを計算する公開された専用の鍵による計算結果)を格納していた。しかしながら、かかる判別にDL MICが格納される領域を用いる必要は必ずしも無く、明示的なフラグ等を広告に付加したものであっても良い。
【0091】
また、上記各実施形態では、プロビジョニング対応広告ルータ12、無線アクセスポイント装置13、及びシステムマネージャ14が別個の装置として実装されている例について説明した。しかしながら、これらの装置のうちの2つ又は3つが1つの装置として実装されていても良い。例えば、プロビジョニング対応広告ルータ12と無線アクセスポイント装置13とが1つの装置として実装されている場合である。
【符号の説明】
【0092】
1 無線通信システム
11a,11b 無線デバイス
12 プロビジョニング対応広告ルータ
14 システムマネージャ
21 無線通信部
22 パケット処理部
23 暗号処理部
24 メモリ
26 暗号鍵選択部
B1,B2 アドレスブロック
K1,K2 暗号鍵
TB 暗号鍵管理テーブル
N1 無線通信ネットワーク
【特許請求の範囲】
【請求項1】
無線通信ネットワークを介して無線デバイスとの間で無線通信が可能な無線通信装置において、
前記無線通信ネットワークに参入するために必要な機器情報の設定が行われた無線デバイスである設定済無線デバイスを前記無線通信ネットワークに接続させるための第1制御情報と、前記機器情報の設定を行う必要のある無線デバイスである要設定無線デバイスを前記無線通信ネットワークに接続させるための第2制御情報との何れか一方と、前記第1,第2制御情報の別を判別するための判別情報とが含まれるパケットを生成するパケット処理部と、
前記パケット処理部で生成されるパケットを広告として前記無線通信ネットワークに向けて送信する無線通信部と
を備えることを特徴とする無線通信装置。
【請求項2】
前記無線通信ネットワークに接続された前記設定済無線デバイスとの間の通信内容の暗号処理のための第1暗号鍵と、前記無線通信ネットワークに接続された前記要設定無線デバイスとの間の通信内容の暗号処理のための第2暗号鍵とを記憶する記憶部と、
前記記憶部に記憶された前記第1,第2暗号鍵を用いて前記無線通信ネットワークに接続された前記設定済無線デバイス及び前記要設定無線デバイスとの間の通信内容をそれぞれ暗号処理する暗号処理部と
を備えることを特徴とする請求項1記載の無線通信装置。
【請求項3】
前記第1,第2暗号鍵の使用方法を規定する管理テーブルに基づいて、前記記憶部に記憶された前記第1,第2暗号鍵から前記暗号処理部の暗号処理に用いられる暗号鍵を選択する暗号鍵選択部を備えることを特徴とする請求項2記載の無線通信装置。
【請求項4】
前記管理テーブルは、前記第1,第2制御情報に基づいて割り当てられた無線通信リソースと、該無線通信リソースを用いて行われる無線デバイスとの間の無線通信の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴とする請求項3記載の無線通信装置。
【請求項5】
前記管理テーブルは、無線デバイスの各々に一意に割り当てられた識別情報と、該無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴とする請求項3記載の無線通信装置。
【請求項6】
前記管理テーブルは、無線デバイスに割り当て得る識別情報の区分を示す区分情報と、該区分情報で示される区分に含まれる識別情報が割り当てられた無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴とする請求項3記載の無線通信装置。
【請求項7】
前記パケット処理部は、受信したパケットの内容に応じて前記管理テーブルの内容を更新することを特徴とする請求項5記載の無線通信装置。
【請求項8】
前記パケット処理部は、受信したパケットの送信元が前記設定済無線デバイスである場合には、前記パケットに含まれる前記設定済無線デバイスの識別情報と前記第1暗号鍵を示す情報とを対応付けて前記管理テーブルに追加し、受信したパケットの送信元が前記要設定無線デバイスである場合には、前記パケットに含まれる前記要設定無線デバイスの識別情報と前記第2暗号鍵を示す情報とを対応付けて前記管理テーブルに追加することを特徴とする請求項7記載の無線通信装置。
【請求項9】
前記第1,第2制御情報は、前記無線通信ネットワークを介して行われる時分割多元接続による無線通信のタイムスロット及び通信チャネルを特定する情報であることを特徴とする請求項1から請求項8の何れか一項に記載の無線通信装置。
【請求項10】
前記第1制御情報が含まれるパケットに格納される前記判別情報は、当該パケットの内容の完全性を保証するメッセージ完全性符号を示す情報であり、
前記第2制御情報が含まれるパケットに格納される前記判別情報は、前記メッセージ完全性符号で取り得ない特別な値を示す情報である
ことを特徴とする請求項1から請求項9の何れか一項に記載の無線通信装置。
【請求項11】
無線通信ネットワークを介した無線通信が行われる無線通信システムにおいて、
前記広告を前記無線通信ネットワークに向けて送信する請求項1から請求項10の何れか一項に記載の無線通信装置と、
前記無線通信装置から送信される広告に含まれる前記判別情報に基づいて前記第1,第2制御情報の別を判別し、前記第2制御情報であると判別した場合であって前記機器情報の設定が行われていないときには、前記広告に含まれる前記第2制御情報に基づいて前記無線通信ネットワークに接続する無線デバイスと
を備えることを特徴とする無線通信システム。
【請求項12】
前記第1,第2制御情報を規定して前記無線通信ネットワークを介して行われる無線通信の管理を行うとともに、前記第2制御情報に基づいて前記無線通信ネットワークに接続した無線デバイスに対して前記機器情報の設定を行う管理装置を備えることを特徴とする請求項11記載の無線通信システム。
【請求項1】
無線通信ネットワークを介して無線デバイスとの間で無線通信が可能な無線通信装置において、
前記無線通信ネットワークに参入するために必要な機器情報の設定が行われた無線デバイスである設定済無線デバイスを前記無線通信ネットワークに接続させるための第1制御情報と、前記機器情報の設定を行う必要のある無線デバイスである要設定無線デバイスを前記無線通信ネットワークに接続させるための第2制御情報との何れか一方と、前記第1,第2制御情報の別を判別するための判別情報とが含まれるパケットを生成するパケット処理部と、
前記パケット処理部で生成されるパケットを広告として前記無線通信ネットワークに向けて送信する無線通信部と
を備えることを特徴とする無線通信装置。
【請求項2】
前記無線通信ネットワークに接続された前記設定済無線デバイスとの間の通信内容の暗号処理のための第1暗号鍵と、前記無線通信ネットワークに接続された前記要設定無線デバイスとの間の通信内容の暗号処理のための第2暗号鍵とを記憶する記憶部と、
前記記憶部に記憶された前記第1,第2暗号鍵を用いて前記無線通信ネットワークに接続された前記設定済無線デバイス及び前記要設定無線デバイスとの間の通信内容をそれぞれ暗号処理する暗号処理部と
を備えることを特徴とする請求項1記載の無線通信装置。
【請求項3】
前記第1,第2暗号鍵の使用方法を規定する管理テーブルに基づいて、前記記憶部に記憶された前記第1,第2暗号鍵から前記暗号処理部の暗号処理に用いられる暗号鍵を選択する暗号鍵選択部を備えることを特徴とする請求項2記載の無線通信装置。
【請求項4】
前記管理テーブルは、前記第1,第2制御情報に基づいて割り当てられた無線通信リソースと、該無線通信リソースを用いて行われる無線デバイスとの間の無線通信の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴とする請求項3記載の無線通信装置。
【請求項5】
前記管理テーブルは、無線デバイスの各々に一意に割り当てられた識別情報と、該無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴とする請求項3記載の無線通信装置。
【請求項6】
前記管理テーブルは、無線デバイスに割り当て得る識別情報の区分を示す区分情報と、該区分情報で示される区分に含まれる識別情報が割り当てられた無線デバイスとの間の通信内容の暗号処理のために用いる暗号鍵を示す情報とが対応付けられたテーブルであることを特徴とする請求項3記載の無線通信装置。
【請求項7】
前記パケット処理部は、受信したパケットの内容に応じて前記管理テーブルの内容を更新することを特徴とする請求項5記載の無線通信装置。
【請求項8】
前記パケット処理部は、受信したパケットの送信元が前記設定済無線デバイスである場合には、前記パケットに含まれる前記設定済無線デバイスの識別情報と前記第1暗号鍵を示す情報とを対応付けて前記管理テーブルに追加し、受信したパケットの送信元が前記要設定無線デバイスである場合には、前記パケットに含まれる前記要設定無線デバイスの識別情報と前記第2暗号鍵を示す情報とを対応付けて前記管理テーブルに追加することを特徴とする請求項7記載の無線通信装置。
【請求項9】
前記第1,第2制御情報は、前記無線通信ネットワークを介して行われる時分割多元接続による無線通信のタイムスロット及び通信チャネルを特定する情報であることを特徴とする請求項1から請求項8の何れか一項に記載の無線通信装置。
【請求項10】
前記第1制御情報が含まれるパケットに格納される前記判別情報は、当該パケットの内容の完全性を保証するメッセージ完全性符号を示す情報であり、
前記第2制御情報が含まれるパケットに格納される前記判別情報は、前記メッセージ完全性符号で取り得ない特別な値を示す情報である
ことを特徴とする請求項1から請求項9の何れか一項に記載の無線通信装置。
【請求項11】
無線通信ネットワークを介した無線通信が行われる無線通信システムにおいて、
前記広告を前記無線通信ネットワークに向けて送信する請求項1から請求項10の何れか一項に記載の無線通信装置と、
前記無線通信装置から送信される広告に含まれる前記判別情報に基づいて前記第1,第2制御情報の別を判別し、前記第2制御情報であると判別した場合であって前記機器情報の設定が行われていないときには、前記広告に含まれる前記第2制御情報に基づいて前記無線通信ネットワークに接続する無線デバイスと
を備えることを特徴とする無線通信システム。
【請求項12】
前記第1,第2制御情報を規定して前記無線通信ネットワークを介して行われる無線通信の管理を行うとともに、前記第2制御情報に基づいて前記無線通信ネットワークに接続した無線デバイスに対して前記機器情報の設定を行う管理装置を備えることを特徴とする請求項11記載の無線通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2013−78107(P2013−78107A)
【公開日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願番号】特願2012−158983(P2012−158983)
【出願日】平成24年7月17日(2012.7.17)
【出願人】(000006507)横河電機株式会社 (4,443)
【Fターム(参考)】
【公開日】平成25年4月25日(2013.4.25)
【国際特許分類】
【出願日】平成24年7月17日(2012.7.17)
【出願人】(000006507)横河電機株式会社 (4,443)
【Fターム(参考)】
[ Back to top ]