專利名稱：網(wǎng)絡系統(tǒng)和用于操作網(wǎng)絡系統(tǒng)的方法
技術(shù)領域：
本發(fā)明涉及一種控制網(wǎng)絡系統(tǒng)和設定在該控制網(wǎng)絡系統(tǒng)上的裝置。
背景技術(shù)：
近些年來，作為世界最大的電腦系統(tǒng)的因特網(wǎng)的使用已經(jīng)擴展到因特網(wǎng)上透露的信息和服務由訪問因特網(wǎng)的外部用戶日常利用并且被提供給這些用戶這樣的程度。使用因特網(wǎng)的新技術(shù)以及新的計算機業(yè)務都已經(jīng)得到發(fā)展。
另一方面，在用于建筑物的裝備控制的控制網(wǎng)絡中，以及在通常的計算機網(wǎng)絡中，IP兼容的控制系統(tǒng)的采用已經(jīng)提高了對終端裝置的IP兼容性的要求。然而在這種環(huán)境下，IP兼容性被限止在簡單的網(wǎng)絡層中的IP引進中，且裝置控制協(xié)議在許多情況下保留不變。而且，對于安全和保護沒有得到足夠的考慮。
一方面，許多用于控制裝備的裝置沒有足夠的類似個人電腦(PC)的用戶界面(UI)，另一方面，IP兼容性要求每個裝置的網(wǎng)絡設定。一旦所有在控制網(wǎng)絡上的結(jié)點變成IP可兼容，則要求設定大量的結(jié)點。在這種情況下，實體連接和設定每個結(jié)點的方法就很昂貴。另一方面，通過使用網(wǎng)絡的自動設定會引起安全問題。
在常規(guī)的控制系統(tǒng)網(wǎng)絡的裝置安裝中，裝置經(jīng)常被要求按照網(wǎng)絡設計來安放，且在一些情況下，具有唯一ID的給定的裝置總是被要求位于指定的位置。這樣就進一步引起實際構(gòu)建工作復雜化的問題。
因此，最好大量不具有足夠用戶界面的非昂貴的控制裝置可參與到具有足夠安全和保護機制的控制網(wǎng)絡系統(tǒng)中。而且，最好的是，需要預先在每個結(jié)點中設定的信息量也盡可能少，因此每個裝置可以從控制網(wǎng)絡安全和方便地設定。

發(fā)明內(nèi)容
本發(fā)明的一個方面致力于一種與具有唯一標識符的結(jié)點連接的網(wǎng)絡系統(tǒng)。在該網(wǎng)絡系統(tǒng)中，第一分配裝置發(fā)出用于密碼通信的第一密鑰、并向所述結(jié)點分配所述第一密鑰。第一提供裝置通過使用第一密鑰的密碼通信向所述結(jié)點提供功能名和相應于唯一標識符的第二密鑰。第二提供裝置根據(jù)使用來自所述結(jié)點的功能名的請求向該結(jié)點提供用于使用第二密鑰的密碼通信的設定信息。


圖1是顯示根據(jù)本發(fā)明的一個實施例的控制網(wǎng)絡的結(jié)構(gòu)的示意圖；圖2是顯示每個裝置(結(jié)點)的結(jié)構(gòu)的方框圖；圖3是顯示密鑰分配中心(KDC)的結(jié)構(gòu)的方框圖；圖4是顯示密鑰監(jiān)視器的結(jié)構(gòu)的方框圖；圖5是顯示起動階段信息提供服務器(PS4B)的結(jié)構(gòu)的方框圖；圖6是顯示控制網(wǎng)絡的一個設計實例的框圖；圖7是顯示根據(jù)本發(fā)明的一個實施例的結(jié)點設定流程的流程圖；圖8是顯示在起動階段中結(jié)點(裝置)操作的流程圖；圖9是顯示在每個結(jié)點中預設定的唯一ID和起動密鑰的示意圖；圖10是顯示在起動階段中結(jié)點N1中儲存的信息的示意圖；圖11是顯示在初始階段中結(jié)點(裝置)操作的流程圖；和圖12是顯示在初始階段中結(jié)點N1中儲存的信息的示意圖。
具體實施例方式
本發(fā)明的實施例將參考附圖進行如下描述。
圖1是顯示根據(jù)本發(fā)明的實施例的控制網(wǎng)絡的結(jié)構(gòu)的示意圖。根據(jù)該實施例的控制網(wǎng)絡1包括DHCP服務器2、起動階段密鑰分配中心(KDC4B)3、密鑰分配中心(KDC)4、集合服務器(RS)5、起動階段信息提供服務器(PS4B)6、正常設定信息提供服務器(PS)7、監(jiān)視器(I)8和密鑰監(jiān)視器(Kaudit)9。
控制網(wǎng)絡1與每一個都組成一個裝置的多個結(jié)點(N1，N2，…，Nn)連接。
圖2是顯示裝置(結(jié)點)結(jié)構(gòu)的方框圖。每一個裝置N1到Nn都包括唯一信息儲存單元10、起動信息存儲單元11和設定信息存儲單元12。每個裝置還包括用于從起動階段信息提供服務器(PS4B)6獲取起動信息、并將該起動信息寫入起動信息存儲單元11的起動信息獲取單元13，和用于從正常設定信息提供服務器(PS)7獲取設定信息、并將該設定信息寫入設定信息存儲單元12的設定信息獲取單元14。而且每個裝置還包括提供作為正常IP網(wǎng)絡裝置的功能以及負責利用KDC的通信處理的網(wǎng)絡處理單元15。
圖3是顯示密鑰分配中心(KDC)的結(jié)構(gòu)的方框圖。如上所述，KDC被分解成起動階段KDC(KDC4B)3和正常KDC 4。每一個KDC 3、4都包括作為用于實現(xiàn)通常的密鑰分配中心的功能的單元的密鑰分配處理單元16和密鑰監(jiān)視器允許獲取單元17。例如，集合服務器(RS)5通過使用DNS(域名服務器)技術(shù)被實施。圖4是顯示密鑰監(jiān)視器的結(jié)構(gòu)的方框圖。密鑰監(jiān)視器8包括密鑰監(jiān)視器允許通信單元18和密鑰監(jiān)視器允許確認單元19。圖5是顯示起動階段信息提供服務器(PS4B)的結(jié)構(gòu)的方框圖。起動階段信息提供服務器(PS4B)6包括具有通常的數(shù)據(jù)庫功能的數(shù)據(jù)庫處理單元20、通信密鑰請求單元22、通信密鑰存儲單元23和起動信息響應單元24。
在用于常規(guī)的控制系統(tǒng)的網(wǎng)絡設計中，具有給定的唯一ID(或地址)的裝置通常被要求總是位于指定的位置。這在現(xiàn)實的構(gòu)造工作中是非常麻煩的工作。例如考慮一種情況，該情況中存在作為相同類型的裝置的十臺空調(diào)器。安裝和操作這些空調(diào)器的工作涉及包括特定建筑物的控制網(wǎng)絡的設計者(下面稱為“設計者”)、進行實體安裝空調(diào)器的構(gòu)建工作的構(gòu)建公司(下面稱為“構(gòu)建公司”)和制造空調(diào)器的賣方(下面稱為“賣方”)的三方。
常規(guī)上，設計者被告知特定裝置(諸如空調(diào)器)的唯一ID，并基于該唯一ID設計控制網(wǎng)絡。構(gòu)建公司在指定位置安裝指定的裝置。但是，在存在十臺相同類型的空調(diào)器的情況下，就需要考慮“哪臺空調(diào)被安裝在哪里？”的問題。
在不存在控制網(wǎng)絡設計時，將要被安裝的特定的空調(diào)器就從庫存中的一組空調(diào)器中隨機選取。然而假設將要被安裝到十樓的空調(diào)器被錯誤地安裝到九樓，而將要被安裝到九樓的空調(diào)器被錯誤地安裝到十樓，這在構(gòu)建設計中是正確的，但在網(wǎng)絡中卻是錯誤的，因此需要重建。重建的要求并不能被不具備控制網(wǎng)絡設計特性信息的人所理解。
根據(jù)本發(fā)明的實施例，在如圖1所示的結(jié)構(gòu)中單個的裝置N1到Nn被分別指定可互相獨立管理的唯一ID(標識符)和功能名。唯一ID是賣方指定的標識符，功能名是控制網(wǎng)絡1的設計者指定的標識符。在實體構(gòu)建工作后通過控制網(wǎng)絡1的使用，前述問題通過使該兩個標識符彼此關聯(lián)而得到解決。
首先，賣方在每個裝置(空調(diào)器)N1到Nn中嵌入唯一ID?？梢栽O想，該唯一ID的特定實例為連續(xù)的號碼或以太網(wǎng)(商標)的MAC地址。
構(gòu)建公司可以隨機安排例如將要連接到控制網(wǎng)絡1上的十臺相同類型的空調(diào)器。另一方面，控制網(wǎng)絡1的設計者預先用諸如“空調(diào)器1樓”或“空調(diào)器2樓”的功能名設計控制網(wǎng)絡1?？刂凭W(wǎng)絡的設計實例如圖6所示。例如，控制網(wǎng)絡1被設計成從安裝在一樓的控制臺控制“空調(diào)器1樓”到“空調(diào)器6樓”。
假定每個裝置N1到Nn都在其中嵌入唯一的名字(ID)和起動階段密鑰(起動密鑰)。在這些裝置被作為結(jié)點連接到控制網(wǎng)絡1的情況下，在控制網(wǎng)絡1上的功能名(Dname)和用于所有后來的通信的通信密鑰在該唯一ID的基礎上獲得。這個階段被稱為“起動階段”。在該功能名的基礎上，結(jié)點N1到Nn獲得控制網(wǎng)絡1上的設定信息。該階段被稱為“初始階段”。由于安全原因，在起動和初始階段，采用基于科巴樓司(Kerberos)認證的IPsec通信(密碼通信)。關于科巴樓司(Kerberos)證明的詳細信息，請參考“RFC1510The Kerberos Network Authentication Service(V5)J.Kohl，C.Neuman.September1993”，該文的全部內(nèi)容通過引用而結(jié)合在本文中。
根據(jù)本發(fā)明的實施例，設計者可以在由他/她自己起的名字中設計控制網(wǎng)絡1。構(gòu)建公司可以在無須考慮其唯一名字的情況下安裝裝置N1到Nn。賣方可以無須考慮裝置裝運的目的地的情況下生產(chǎn)該裝置并保持裝置的庫存。
為了允許裝置的生產(chǎn)獨立于該裝置被設置在其中的控制網(wǎng)絡1，唯一ID和起動階段密鑰(起動密鑰)被要求嵌入每個裝置N1到Nn中，且裝置賣方能夠簡單地隱藏這些ID和密鑰。
裝置用戶(構(gòu)建公司等)從賣方獲得起動密鑰并將其設定在起動階段KDC(KC4B)3中。作為替代，在涉及數(shù)量很少的相當重要的裝置的情況下，可以利用實體接觸設定默認密鑰等，無須使用賣方的默認密鑰。
最后，要求在起動階段信息提供服務器(PS4B)6中設定哪一個唯一ID與哪一個功能名相關。這個方面的先決條件是由構(gòu)建公司進行的實體確認和設定。但是，在裝置位置可被自動檢測(例如通過連接到一個開關)的情況下，前述的關系可在自動裝置位置檢測的基礎上自動設定。
圖7是顯示根據(jù)該實施例的結(jié)點設定流程的流程圖。如上所述，結(jié)點設定大致被分解為起動階段ST1和初始階段ST2。
圖8是顯示在起動階段中結(jié)點(裝置)操作的流程圖，圖9是顯示在每個結(jié)點中預設定的唯一ID和起動密鑰的示意圖。如圖9所示，結(jié)點N1具有作為唯一ID的DID1和作為起動密鑰的Kb1，結(jié)點N2具有作為唯一ID的DID2和作為起動密鑰的Kb2，結(jié)點Nn具有作為唯一ID的DIDn和作為起動密鑰的Kbn。
下面將描述在例如結(jié)點N1在控制網(wǎng)絡1中被設定前的控制網(wǎng)絡1的操作方法。
如圖8所述，在步驟ST101中起動結(jié)點N1時，結(jié)點N1向DHCP服務器2發(fā)出DHCP請求。作為響應，DHCP服務器2通知結(jié)點N1起動階段KDC(KDC4B)3的地址、起動階段KDC(KDC4B)3上的信息(例如科巴樓司(Kerberos)領域)、集合服務器5的地址和時間同步服務器(圖未示)的地址。結(jié)點N1通過訪問時間同步服務器調(diào)節(jié)其時間。
接下來，在步驟ST102，結(jié)點N1的起動信息獲取單元13向集合服務器5詢問關于能夠響應結(jié)點N1的起動階段信息提供服務器(PS4B)6的問題。假定，例如集合服務器5使用DNS，唯一ID(DID)是基于IEEE的EUI-64的MAC地址，且DID1的值是“0123:4567:89ab:cdef”。唯一ID(DID1)被事先設定在結(jié)點N1的唯一信息儲存單元10中。在該處理過程中，DID1的值作為搜索密鑰被傳送到集合服務器5。而且，用于起動階段的域名也被添加。該域名也可以在DHCP的時間點被提供。假設起動階段的域名是“boot.local”，DNS的搜索密鑰是“f.e.d.c.b.a.9.8.7.6.5.4.3.2.1.0.boot.local”。
集合服務器5將相應于特定搜索密鑰的信息提供服務器(PS)的地址返回到結(jié)點N1。在這個階段，起動階段由搜索密鑰識別，且相應于指定的唯一ID(DID1)的起動階段信息提供服務器(PS4B)6的地址被返回。具體地，集合服務器(RS)5可以返回起動階段信息提供服務器(PS4B)6的地址或者諸如完全合格的域名(FQDN)的可轉(zhuǎn)變成地址的ID。
接下來，在步驟ST103，結(jié)點N1從起動階段KDC(KDC4B)3請求一個密鑰以進行與起動階段信息提供服務器(PS4B)6的安全通信。在該處理過程中，結(jié)點N1和起動階段KDC(KDC4B)3之間的密碼通信使用起動密鑰Kb1。根據(jù)該使用科巴樓司(Kerberos)認證的實施例，首先通過與起動階段KDC(KDC4B)3的互相證明發(fā)行票簽，然后提供通信密鑰。
接下來，在步驟ST104，結(jié)點N1的起動信息獲取單元11用所述票簽和從起動階段KDC(KDC4B)3獲得的密鑰進行與起動階段KDC(KDC4B)的互相證明，并且通過密碼通信請求諸如功能名和通信密鑰的起動信息。與此同時，結(jié)點N1通知起動階段信息提供服務器(PS4B)6結(jié)點N1是DID1。
結(jié)點N1的唯一ID即DID1是功能名Dname1的事實被假定在起動階段信息提供服務器(PS4B)6中預設定。在起動階段信息提供服務器(PS4B)6中，在接收到起動信息的請求時，通信密鑰請求單元22請求從密鑰分配中心(KDC)4發(fā)出Dname1的通信密鑰。順便提及，這是假定建立了可靠性并且密鑰分配中心(KDC)4和起動階段信息提供服務器(PS4B)6之間可以進行密碼通信。
在密鑰分配中心(KDC)4中，在接收到通信密鑰發(fā)出請求時，密鑰監(jiān)視器允許獲取單元17搜尋密鑰監(jiān)視器(Kaudit)8的認可。在接收到認可請求時，密鑰監(jiān)視器(Kaudit)8的密鑰監(jiān)視器允許通信單元18詢問密鑰監(jiān)視器確認單元19關于為此請求認可的通信密鑰是否能夠被發(fā)出的問題。發(fā)出允許可以如本實施例的根據(jù)現(xiàn)存的條件由密鑰監(jiān)視器確認單元19的程序自動確定，或者由人工確定。一旦通信密鑰的發(fā)出被允許，密鑰監(jiān)視器允許通信單元18作為向密鑰分配中心(KDC)4的回應通知該事實。在檢測到一些關于認可請求的非法信息時，密鑰監(jiān)視器(Kaudit)8不向密鑰分配中心(KDC)4發(fā)出密鑰允許(禁止密鑰允許)。
在接收到來自密鑰監(jiān)視器(Kaudit)8的通信密鑰發(fā)出允許時，密鑰分配中心(KDC)4產(chǎn)生通信密鑰Kn1，密鑰分配處理單元16將Kn1作為Dname1的通信密鑰通知起動階段信息提供服務器(PS4B)6。與此同時，密鑰分配中心(KDC)4將Kn1作為Dname1的通信密鑰存儲。
在起動階段信息提供服務器(PS4B)6中，在接收到來自密鑰分配中心(KDC)4的通信密鑰Kn1時，起動信息響應單元24向結(jié)點N1通知功能名Dname1和通信密鑰Kn1，如果需要還通知其他的信息。發(fā)出的通信密鑰Kn1保存在通信密鑰存儲單元23中。
結(jié)果，如圖10所示，包括功能名(Dname1)和通信密鑰(Kn1)的起動信息被應用到結(jié)點N1并儲存在結(jié)點N1的起動信息存儲單元11中。為了這個目的，出于安全考慮使用非易失性的存儲手段。
圖11是顯示初始階段中結(jié)點(裝置)操作的流程圖。
首先，在步驟ST201，結(jié)點N1的設定信息獲取單元14向集合服務器5通知作為搜索密鑰的功能名Dname1，并詢問關于指派給功能名Dname1的信息提供服務器的問題。作為對該詢問的響應，集合服務器5返回相應于給定搜索密鑰的信息提供服務器(PS)的地址。初始階段由搜索密鑰確定，且相應于指定的功能名Dname1的正常設定信息提供服務器(PS)7的地址被返回。具體地，集合服務器(RS)5可以返回正常設定信息提供服務器(PS)7的地址或者諸如完全合格的域名(FQDN)的可轉(zhuǎn)變成地址的ID。
接下來，在步驟ST202，結(jié)點N1的設定信息獲取單元14通過訪問基于從集合服務器(RS)5返回的地址規(guī)定的正常設定信息提供服務器(PS)7獲取設定信息。該設定信息用于使用通信密鑰Kn1的密碼通信，同時特定的結(jié)點進行相應于功能名的功能。
因此，如圖12所示，該設定信息被應用到結(jié)點N1，并儲存在結(jié)點N1的設定信息存儲單元12中。如果可能，為了安全原因，非易失性的存儲器被用于設定信息存儲單元12。
現(xiàn)在，初始階段結(jié)束，結(jié)點N1被完成設定。
與類似于結(jié)點N1的KDC4相關的監(jiān)視器I1可以在有規(guī)律的時間間隔下向Dname1(即結(jié)點N1)傳送生命確認消息。在該處理過程中，監(jiān)視器I1使用密碼通信路徑確認該生命期限。在沒有給出對于生命確認的響應的情況下，具有功能名Dname1的裝置可以知道與KDC4的通信是不可能的，或另外產(chǎn)生安全性錯誤并因此發(fā)出警告。
雖然上文的敘述涉及結(jié)點N1，但其他結(jié)點N2，N3，…，Nn也可通過與結(jié)點N1相同的操作被設定。
從上文對本發(fā)明的實施例的描述可以理解，即使對于具有大量結(jié)點的控制網(wǎng)絡，這些結(jié)點也可以被安全價廉地設定。
其他的優(yōu)點和改進對于本領域的熟練技術(shù)人員來說很容易實現(xiàn)。因此本發(fā)明在其廣闊的各個方面并不局限于本文顯示和敘述的具體細節(jié)和代表性實施例。因此，可以進行各種修改而不背離由附后的權(quán)利要求及其等效內(nèi)容限定的總體發(fā)明概念的精神和范圍。
權(quán)利要求
1.一種與具有唯一標識符的結(jié)點連接的網(wǎng)絡系統(tǒng)，其特征在于，包括第一分配裝置，配置成發(fā)出用于密碼通信的第一密鑰、并將所述第一密鑰分配給所述結(jié)點；第一提供裝置，配置成通過使用第一密鑰的密碼通信向所述結(jié)點提供對應于唯一標識符的功能名和第二密鑰；和第二提供裝置，配置成根據(jù)使用來自所述結(jié)點的功能名的請求向該結(jié)點提供用于使用第二密鑰的密碼通信的設定信息。
2.如權(quán)利要求1所述的控制網(wǎng)絡系統(tǒng)，其特征在于，進一步包括配置成當檢測到關于對第一密鑰的認可請求的非法信息時禁止第一分配裝置發(fā)出第一密鑰的第一監(jiān)視裝置。
3.如權(quán)利要求1所述的控制網(wǎng)絡系統(tǒng)，其特征在于，進一步包括配置成發(fā)出相應于所述功能名的通信密鑰，并將該通信密鑰作為第二密鑰分配到第一提供裝置的第二分配裝置。
4.如權(quán)利要求1所述的控制網(wǎng)絡系統(tǒng)，其特征在于，進一步包括配置成當檢測到關于對第二密鑰的認可請求的非法信息時禁止第二分配裝置發(fā)出第二密鑰的第二監(jiān)視裝置。
5.如權(quán)利要求1所述的控制網(wǎng)絡系統(tǒng)，其特征在于，進一步包括配置成通過將生命確認消息傳送到結(jié)點并確定來自結(jié)點的對生命確認信息的響應的存在或不存在來監(jiān)視所述結(jié)點以確定結(jié)點的安全性故障的第三監(jiān)視裝置。
6.如權(quán)利要求1所述的控制網(wǎng)絡系統(tǒng)，其特征在于，所述結(jié)點中嵌入有用于與第一分配裝置的密碼通信的起動階段密鑰。
7.如權(quán)利要求1所述的控制網(wǎng)絡系統(tǒng)，其特征在于，在結(jié)點和第一提供裝置之間的使用第一密鑰的密碼通信包括基于科巴樓司認證的IPsec通信。
8.如權(quán)利要求1所述的控制網(wǎng)絡系統(tǒng)，其特征在于，在結(jié)點和第二提供裝置之間的使用第二密鑰的密碼通信包括基于科巴樓司認證的IPsec通信。
9.一種操作連接到具有唯一標識符的結(jié)點的網(wǎng)絡系統(tǒng)的方法，其特征在于，該方法包括由第一分配裝置發(fā)出用于密碼通信的第一密鑰，并將來自第一分配裝置的所述第一密鑰分配給所述結(jié)點；通過使用第一密鑰的密碼通信將相應于唯一標識符的功能名和第二密鑰從第一提供裝置提供給所述結(jié)點；和根據(jù)使用來自結(jié)點的功能名的請求將用于使用第二密鑰的密碼通信的設定信息從第二提供裝置提供給所述結(jié)點。
10.如權(quán)利要求9所述的方法，其特征在于，進一步包括當檢測到關于對第一密鑰的認可請求的非法信息時禁止第一分配裝置發(fā)出第一密鑰。
11.如權(quán)利要求9所述的方法，其特征在于，進一步包括發(fā)出相應于所述功能名的通信密鑰，并將所述通信密鑰作為第二密鑰分配給第一提供裝置。
12.如權(quán)利要求9所述的方法，其特征在于，進一步包括當檢測到關于對第二密鑰的認可請求的非法信息時禁止第二分配裝置發(fā)出第二密鑰。
13.如權(quán)利要求9所述的方法，其特征在于，進一步包括通過將生命確認消息傳送到結(jié)點并確定來自結(jié)點的對生命確認信息的響應的存在或不存在來監(jiān)視結(jié)點以確定結(jié)點的安全性故障。
14.如權(quán)利要求9所述的方法，其特征在于，所述結(jié)點中嵌入有用于與第一分配裝置的密碼通信的起動階段密鑰。
15.如權(quán)利要求9所述的方法，其特征在于，在結(jié)點和第一提供裝置之間使用第一密鑰的密碼通信包括基于科巴樓司認證的IPsec通信。
16.如權(quán)利要求9所述的方法，其特征在于，在結(jié)點和第二提供裝置之間使用第二密鑰的密碼通信包括基于科巴樓司認證的IPsec通信。
全文摘要
一種與具有唯一標識符的結(jié)點(N1)連接的控制網(wǎng)絡系統(tǒng)(1)包括用于向結(jié)點(N1)分配用于密碼通信的第一密鑰的KDC4B(3)、用于通過使用第一密鑰的密碼通信向結(jié)點(N1)提供功能名和相應于唯一標識符的第二密鑰的PS4B(6)、以及用于響應使用功能名的請求向結(jié)點(N1)提供用于使用第二密鑰的密碼通信的設定信息的PS(7)。
文檔編號H04L9/32GK1874221SQ200610082008
公開日2006年12月6日 申請日期2006年5月16日 優(yōu)先權(quán)日2005年5月31日
發(fā)明者石山政浩, 井上淳, 岡部宣夫, 坂根昌一 申請人:株式會社東芝, 橫河電機株式會社