专利名称:网络信息设置方法、网络系统和通信设备的制作方法
技术领域:
本发明涉及一种在基于IP的控制网络中的网络信息设置方法、网络系统和通信设备。
背景技术:
在建筑物网络或FA(工厂自动化)网络中使用的控制网络技术基本上与因特网同时开始提供,它在最近几年迅速普及。然而,它只能根据自身线路基于诸如成本限制的特殊条件而改进。大多数的控制网络技术都具有基于不同于因特网技术的专有技术协议层。此外,在传输层中部分采用诸如TCP或UDP等因特网技术的控制网络技术被提供。例如,BACnet(商标)和MODBUS TCP/IP(商标)作为典型例子提供。其被称为基于IP的控制网路。
这样的基于IP的控制网络未向公众公开且目前为止是封闭的。由于要使用其自身协议,因此一开始就很少关注其安全性。然而,如果控制网络和因特网之间相互连接,保持高安全性就变得尤为重要。即使控制网络具有其自身协议并且未向公众公开,有效地保护网络不被怀有明显恶意的第三方攻击也是非常困难的。当控制系统被分散来配置广域控制网络环境时,如果在控制网络之间提供因特网,则包会在公共空间上流动。因此,假定封闭的网络是不现实的。此外,当在第2层中使用了无线技术时,即使配置了封闭的网络,也可能发生第三方利用无线层安全保护的松懈而轻易地访问网络的情况。但是,为了有效利用因特网技术,获得特殊的第2层技术是不可能的。因此,依靠特殊第2层的安全技术缩小了系统配置的选择范围并且增加了工程成本。作为结果,希望提供一种不依赖特殊第2层的安全方法。
当前,允许在控制网络上操作设备的网络信息设置是手工且静态进行的。手工设置操作有关分布在控制网络上的大量设备所需的信息是低效的。此外,也可能导致错误。场地设备的外围设备是受限制的。另外,可使用的外围设备类型根据设备而不同的可能性也是很高的。
发明内容
当设备连接到控制网络之上并且控制网络被配置时,希望安全且自主地设置设备而不是手工设置设备。因为即使在大量设备连接到控制网络上时,它也不需要花费大量的时间用于设置,并且方便的配置在很大空间内广泛安排的控制网络也成为可能。
因此,本发明目的在于提供一种网络信息设置方法,网络系统和通信设备,其允许安全和自主地设置连接在控制网络上的设备。
根据本发明的实施例,当通信设备连接到控制网络上时,通信设备的属性信息在第二服务器中被初始化,所述控制网络连接了存储有密钥信息的第一服务器和存储有属性信息的第二服务器。从第一服务器处获得针对第二服务器的安全通信所需的密钥信息,以及通过使用密钥信息的安全通信向第二服务器发送至少包括所述通信设备的标识符和网络地址的所述属性信息。
图1示出了根据本发明第一实施例的网络系统的方框图;图2示出了根据本发明第一实施例的通信设备的方框图;图3示出了在本发明第一实施例中用来执行设置(初始化)的消息序列的图示;图4示出了在本发明第一实施例中在实体间进行通信时所使用的消息序列的图示;图5示出了根据本发明第二实施例的控制网络系统的视图;图6示出了根据本发明第二实施例的消息序列概要(在启动阶段)的图示;图7示出了根据本发明第二实施例的消息序列概要(在发现(检测)阶段)的图示;图8示出了用于搜索使用DHCP的Kerberos KDC的消息通信序列的图示;图9示出了用于验证Kerberos KDC的消息通信序列的图示;图10示出了用于搜索属性服务器的部分消息通信序列的图示;图11示出了用于搜索属性服务器的另一部分消息通信序列的图示;图12示出了用于搜索属性服务器的另一部分消息通信序列的图示;图13示出了用于注册自身信息的部分消息通信序列的图示;图14示出了用于注册自身信息的另一部分消息通信序列的图示;图15示出了用于注册自身信息的另一部分消息通信序列的图示;图16示出了用于获得启动信息的消息通信序列的图示;图17示出了用于获得通信伙伴地址的消息通信序列的图示;图18示出了用于所希望的通信的部分消息通信序列的图示图19示出了用于所希望的通信的另一部分消息通信序列的图示;图20示出了用于所希望的通信的另一部分消息通信序列的图示;图21示出了根据在本发明中的BACnet(商标)应用实例的协议组的图示;以及图22示出了根据在本发明中的MODBUS TCP/IP(商标)应用实例的协议组的图示。
具体实施例方式
下面将参考随附的附图描述本发明的实施例。
(第一实施例)本发明的第一实施例涉及一网络系统,其实现在工厂或建筑物内的自动控制(监视/控制生产设备、预防灾难性破坏、照明控制等等)。对于自动控制而言,该系统包括一具有若干设备的子系统。相应于监视系统、数据记录器、传感器/致动器组的子系统设备物理地或逻辑地广泛排列在设施之中,与控制网络连接并被操作。对于该控制网络,网络可以基于现有的BACnet(商标)、MODBUS(商标)来实现或者可以重新配置一IP网络。最好在IP网络中使用IPv6。应该注意本发明并不局限于应用在工厂或建筑物内用于自动控制的网络系统。
本实施例的网络系统实现了一种自主设置,使得将一组设备连接到基于IP的控制网络上不需要手工且繁琐的信息设置。为了安全地执行信息设置,将考虑安全性问题。即,提供一种配置可以使得被系统充分验证的设备从被充分验证的服务器处获得所需的数据成为可能。
图1示出了根据本发明第一实施例的网络系统的方框图。诸如监视器1a、记录器1b和控制器5、6的一组设备连接到基于IP的控制网络4上。KDC 2和属性服务器3同样也连接到所述基于IP的控制网络4上。居于所述基于IP的控制网络4上的服务或设备被称为“实体”。在这种情况下,一个设备相当于一个节点。此外,具有仅提供一种服务的单一功能的节点相当于一个实体,但是也提供诸如服务器的节点用于提供多个服务。在这种情况下,每个服务相当于一个实体。也就是说,一个节点可以配置多个实体。
在本说明书下面的描述中,术语“节点”表示一个对象,即为连接到基于IP的控制网络4上的一个设备,以及术语“实体”表示一个节点,其是将被验证的对象。
对于在实体间的通信而言,安全性可以使用图1所示的KDC 2通过互相验证来获得。KDC 2是第一服务器,其验证实体的实质(标识符)并且当成功实现了多个实体间的相互验证时,其产生实体间进行安全通信所需的密钥信息。其被称为验证服务器或密钥管理服务器。所述KDC的定义在参考文献中具体描述,即,C.Kaufman,R.Perlman,M.Spenciner的“网络安全”,Prentice Hall,7.7.1部分,在此引用作为参考。例如,如果KDC 2验证了某一实体的标识符,它就确保了其它实体的标识符的验证。
多个彼此验证的实体通过使用通常作为验证结果而获得的密钥来保护通信安全。对于通信安全而言,例如可以利用作为IP层保护的IPsec。
在本实施例的网络系统中,提供下述服务(1)至(3)是必要的。
(1)提供允许每个实体与KDC进行通信所需的信息的服务例如,该服务可以通过使该实体以多点传送方式发送KRB_AS_REQ信息以及使DHCP传送KDC信息来获得。一个提供DHCP服务的DHCP服务器配置实例将在第二实施例中描述。
(2)提供与自主地操作在网络上的每个实体所需的资源有关的属性信息的属性信息提供服务为了实现上述服务,将使用图1所示的属性服务器(PS)3。该属性服务器3是第二服务器,其提供有关资源的属性信息。
属性信息至少包含为实体的相互验证所需的信息(标识符以及网络地址)。即,每个实体可以将其固有信息登记到所述属性服务器3中并从该属性服务器3中取回另一实体的信息。
当各设备的IP地址由DHCP或IPv6的自动地址配置动态分配时,各标识符和IP地址可以不必预先静态的设置以使彼此符合。甚至在这种情况下,所需的IP地址可以通过从属性服务器3中取回而获得。
另外,建议通过登记除了相互验证所需信息之外的信息,例如作为选择将实体具有的功能列表登记到所述属性服务器3中,来有效的设置参数。
(3)提供每个实体与属性服务器进行通信所需的属性服务器信息的服务例如,KDC 2可提供属性服务器信息。作为选择,属性服务器信息也可从DHCP服务器发送。
在本实施例的网络系统中,每个节点都具有下述功能。即,与某一节点相对应的通信设备检测基于IP的控制网络4上的KDC 2,并且利用KDC 2提供的密钥进行相互验证。此外,其检测在基于IP的控制网络4上的属性服务器3,并且利用KDC 2在节点和属性服务器3之间进行相互验证。再有,节点的信息可被登记到所述属性服务器3中,并且可以产生一个对属性服务器3的询问,以获得另一节点的信息。而后,节点利用KDC 2进行有关另一节点的相互验证并且获得一个安全的通信路径。
图2示出了根据本发明第一实施例的连接到控制网络系统上的通信设备的方框图。如图2所示,该通信设备包括通信处理器80、服务器检测器81、验证服务器地址寄存器82、属性服务器地址寄存器83、自身配置文件存储器84、通信伙伴信息寄存器85和安全参数表86。
所述服务器检测器81通过使用在基于IP的控制网络4上的某一网络服务(如,DHCP、多点传送)检测验证服务器(KDC)2和属性服务器3。被检测的服务器的IP地址被存储在所述验证服务器地址寄存器82和属性服务器地址寄存器83中。
在自身配置文件存储器84中,存储了表示通信设备的节点名称(标识符)、IP地址、功能等等的配置文件数据。至少节点名称和IP地址存储在自身配置文件存储器84中。对于向属性服务器3登记信息,可以存储与上述数据不同的且涉及设备属性的所希望的信息。通过将获得每个节点配置的信息所需的最少必要数据登记到所述属性服务器3中,使得不必要对表示如何与所选节点进行连接的网络连接信息以及对表示每个节点操作模式的控制信息进行硬加密。
在通信伙伴信息寄存器85中,存储所希望的通信伙伴的节点(实体)属性信息,所述信息是在属性服务器3处作为对该节点询问的结果而获得。此外,通过验证服务器(KDC)2交换的有关通信伙伴的安全参数(包括密码密钥)存储于安全参数表86中。由此,通过利用安全参数表能够在节点之间建立起有安全性支持的通信。
当每个实体都被连接到基于IP的控制网络4上时,根据下述消息序列,通过使用KDC 2和属性服务器3执行自主设置(初始化)。该消息序列示意性的包括(1)KDC的检测和验证,(2)属性服务器(PS)的检测,(3)自身信息的登记以及(4)获取设置信息。接下来,将参考图3详细描述所述消息序列。该序列用于对实体A进行设置(图1所示的控制器5)。
如图3所示,用于访问KDC 2的信息通过使用KDC检测服务而获得(步骤S1)。而后,根据在步骤S1获得的信息,向KDC 2产生用于与KDC 2通信的标签(ticket)请求(步骤S2)。在这种情况下,该标签表示在KDC的控制下被设置以进行互相验证的两个实体所使用的信息。该产生标签的KDC存储为验证而产生标签的所有实体的机密信息。仅仅KDC可以形成验证实体的标签。通过确认所产生的标签的内容来验证KDC 2(步骤S3)。在此时,在步骤S2和S3中,与KDC 2的通信由KDC 2提供安全保护。
接下来,通过使用属性服务器检测服务,获得访问属性服务器3的信息(步骤S4)。而后,根据在步骤S4获得的信息,向KDC 2发出用于与所述属性服务器3进行通信的标签的请求(步骤S5)。此后,获得与属性服务器3通信的标签(步骤S6)。在此时,在步骤S5和S6中,与KDC 2的通信由KDC 2提供安全保护。
接下来,通过使用所获得的标签,建立有关属性服务器3的安全通信路径(步骤S7)。此后,在实体A和属性服务器3之间的通信将有安全保护。
此后,实体A的信息(地址、标识符等等)将登记到属性服务器3中(步骤S8)。此外,实体A的网络操作所需的信息也从该属性服务器3处获得(步骤S9)。其他实体也执行相同的处理过程。
对于登记到属性服务器3中的信息而言,如上所述,实体A所使用的用于互相验证的IP地址和名称信息是必要的。此外,可以登记除上述信息外的所希望的可选信息。例如,如果登记了包含功能列表的信息,就使搜索可提供特定服务的实体或者搜索由某一终端所控制的实体成为可能。更具体来说,对于登记到属性服务器3中的信息,可以假定下述信息,例如·每个节点的标识符和IP地址上述信息的登记过程在本发明的实施例中所期望,并且每个节点都将其固有标识符和动态分配IP地址登记到所述属性服务器3中。当另一实体访问上述节点时,将向属性服务器3提供伙伴节点的标识符,并且可以获得相应于该伙伴节点标识符的适当IP地址。
·每个节点的位置信息如果通过某一方法每个节点都可以获得其固有位置信息,则将该位置信息登记到所述属性服务器3中。在从属性服务器3获得的位置信息的监视下,监视系统可以动态形成一个所有节点的物理映射。本方法的另一优点是允许监视系统自主地应对节点的设置位置的变化。由于节点的位置信息在传统的监视系统中被静态的设置,因此,当提供大量节点时设置位置信息将花费很多时间,并且当节点位置变化时,也不可能自动应对节点位置的变化。
·每个节点的制造信息每个节点都将其固有制造信息(制造者名称、型号、版本号等等)登记到所述属性服务器3中。通过从属性服务器3中读出所有节点的制造信息,系统管理员可以很容易的进行维护和管理(修理、更换、更新等等),并且由此获得稳定且低成本的系统运转。
·每个节点的访问控制信息通过利用属性服务器3,系统管理员统一管理每个节点的授权。当某一节点被其他节点访问时,其从属性服务器3获得该伙伴节点的授权,并且比较该授权与所请求的服务。如果该请求超出了授权,节点拒绝伙伴节点的请求。在本发明的实施例中,由于可靠的属性服务器3被配置统一管理每个节点的授权,因此可以实现安全和高效的节点访问控制并且提供安全的系统。
·每个节点的控制参数通过使用属性服务器3,系统管理员统一管理为操作每个节点所需的控制参数。在开始操作后,节点从属性服务器3获得其固有控制参数并开始实际的控制操作。在现有技术中配置实际系统时,必须预先在每个节点中设置控制参数。在节点被实际安装后,当该节点的控制参数改变时,在现有技术中将产生下列问题。即,(1)在一些情况下必须使用特殊的工具,(2)必须预先设置特殊线路以便更改设置,(3)在一些情况下,系统的部分或全部操作可能被暂时中断,以及(4)在线改变自身设置的装置可能导致安全问题。另一方面,本发明的实施例利用了属性服务器3来设置和改变所述控制参数。因此,这将是很好的,因为不需要特殊的工具和线路,该过程也可以不中断系统的部分或全部操作而被执行并且也考虑了通信的安全。
在对所有实体都完成将其自身信息登记到所述属性服务器3中后,实体中所希望的一个可以经由属性服务器3检测伙伴实体并且经由KDC2建立一个安全通信路径。
图4示出了当在实体A和实体B之间建立通信时所使用的消息序列。首先,实体A向属性服务器3询问有关伙伴实体B的信息,由此其可基于实体B的标识符要求与其通信(步骤S10)。在属性服务器3处,基于实体B的标识符获得实体B的IP地址并通报给实体A。
接下来,向KDC 2发出为与实体B之间进行通信所用标签的请求(步骤S12)。当获得实体B的标签时(步骤S13),通过使用该获得的标签,建立在实体A和实体B之间的安全通信路径(步骤S14)。此后,与实体B的通信被保护并且所希望的实体A与实体B之间的通信被实现(步骤S15)。
根据上述本发明的第一实施例,可以实现连接到所述控制网络的设备的安全并且自主的设置操作。此外,其还具有下述好处。即,仅互相验证的一对实体可以在控制网络中建立通信,并且保证在实体间通信一致性和可靠性的安全保护可以以端对端的方式获得。
某一实体可以灵活方便地指定检测一个或多个伙伴的条件并保护主要在设备搜索一侧的检测处理过程中所实现的通信内容的保密性。
此外,可以实现设置,其中被适当验证的实体从被适当验证的服务器处取得在控制网络上进行操作所需的信息。此时,从服务器获得的信息可以在实体一侧被自由指定,并且在上述过程中所进行的通信内容的保密性可以得到保护。
此外,通过在属性服务器3处登记并集体管理每个节点的诸如名称、IP地址、功能等属性信息,在相应节点间通信参数的传输可以被自动进行,甚至例如当在建筑或工厂中安装的大量节点都由于建筑物房间的重新装修或工厂的重新布线而被改变时,也不需要手动操作,举例来说。因此,整个控制网络的管理成本可以压缩到一个非常低的成本。
在将来,可以通过使用RF标志和控制诸如PC和PDA等使用IP终端的设施网络设备使控制网络和诸如因特网的通信网络适当结合来提供诸如入口/出口管理的服务,举例来说。由于本发明的该实施例在IP终端具有极大的相似性,并且可以和通常操作的控制网络一同被提供,因此,其在安装成本等方面具有优势。
(第二实施例)本发明的第二实施例将比上述第一实施例更加具体。图5示出了根据本发明第二实施例的网络系统的视图。在第二实施例中,应用了IPv6。此外,为设备的相互验证所需,使用了Kerberos;为检测作为Kerberos的密钥分配服务器的KDC,使用了DHCP;以及为实体间通信的安全保护使用了IPsec。此外,为操作IPsec所需的动态密钥的交换,使用了KINK。
Kerberos是一种通信协议,其由RFC1510定义。Kerberos提供了允许在网络上的实体通过使用标识符进行相互验证的服务。在这种情况下,术语“标识符”不表示IP地址而表示一个名称。在Kerberos中,设备(实体)的实质是指“主旨(principal)”。此外,在某一Kerberos管理下的逻辑区域是指“领域(realm)”。该领域具有一领域名称。属于某一领域的主旨具有一主旨名称。由此,主旨的标识符由主旨名称和领域名称的结合来配置。
KDC作为Kerberos的服务器通常具有每一个设备的机密信息。Kerberos KDC集体管理所有设备的机密信息并且通过使用“标签”服务来提供实体间的相互验证。利用标签和Kerberos KDC的设备间的相互验证将在下文描述(指图9的AS_REQ/AS_REP交换)。此外,利用标签的实体间的相互验证将在下文描述(指图10的TGS_REQ/TGS_REP交换和AP_REQ/AP_REP交换)。
DHCP是由RFC2131定义的通信协议并且是用于允许连接到网络的设备检测网络上的资源的协议。连接到网络上的设备向网络上广播DHCP请求。网络上的DHCP服务器检测该广播请求并且通知其所知道的网络资源(例如,DNS服务器的IP地址、设备可用的IP地址等等)。由于DHCP协议自身不具有验证功能,其有可能欺骗DHCP服务器。
IPsec是由RFC2401定义的通信协议并且提供IP层包的安全保护。IPsec提供了对IP包的有效负荷进行加密(encipher)的功能,以及防止伪造IP包的功能。为了允许进行通信的两个终端实现由IPsec保护的通信,它们通常必须具有被称为安全关联(SA)的机密信息。提供涉及SA信息的通常的方法被称为密钥交换方法。对于密钥交换方法而言,提供了手工静态交换方法和使用密钥交换协议的动态交换方法。当考虑实际操作时的方便问题时,使用密钥交换协议的动态交换方法时很有效的。
KINK是用于IPsec的密钥交换协议,目前在IEFT标准化过程中获得。在KINK中,设置IPsec的全部两个终端通过使用Kerberos的互相验证服务交换涉及SA的信息。
在上述基于KINK的验证平台中,每个相应于IPv6节点的实体安全地进行自主设置并根据下述消息序列检测伙伴设备。
图6和7分别示出了根据本发明第二实施例的消息序列概要的图示。该消息序列被粗略分为图6的在启动阶段的消息序列和在发现(检测)阶段的消息序列。
如图6所示,在启动阶段,首先,开关(“X”)用于经由DHCP服务器(“D”)来搜索存在于基于IP的控制网络4上的Kerberos KDC(“K”)以获得其信息(更具体而言,IP地址)(步骤S101)。通常,Kerberos KDC的标识符是固定的并且不需要从DHCP服务器(“D”)处取得。接下来,由于不能确保从DHCP服务器(“D”)处获得的Kerberos KDC的信息是否正确,因此需要验证Kerberos KDC的正确性。此时,通过Kerberos的AS_REQ/AS_REP交换来选择可靠的Kerberos KDC(“K”)(步骤S102)。此后,从可靠Kerberos KDC(“K”)处获得属性服务器(“P”)的信息(标识符以及IP地址)(步骤S103)。从可靠Kerberos KDC(“K”)处获得的属性服务器(“P”)的信息被认为是可靠的。此后,开关(“X”)的自身信息(标识符和IP地址)被登记到所述属性服务器(“P”)中(步骤S104)。
当作为节点的开关(“X”)建立了与属性服务器(“P”)之间的通信时,通过Kerberos来进行相互验证并且通过IPsec来保护通信,并且由此,作为实质的属性服务器(“P”)被认为是可靠的。此外,属性(“P”)可以以同样的理由依赖开关(“X”)。而后,开关(“X”)从属性服务器(“P”)获取其操作所需的启动信息(步骤S105)。
如图7所示,在发现(检测)阶段,开关(“X”)首先利用可靠属性服务器(“P”)获取通信伙伴的信息(标识符和IP地址)。在这种情况下,假定作为连接到基于IP的控制网络4上的设备(节点)的照明设备(“Y”)是通信伙伴(步骤S106)。此外,由于属性服务器(“P”)是可靠的,假定伙伴的信息,即从属性服务器(“P”)获取的照明设备(“Y”)的信息也是可靠的。此后,开关(“X”)与作为伙伴设备的所述照明设备(“Y”)进行所希望的通信(步骤S107)。当通信被建立时,利用Kerberos进行相互验证并且利用IPsec对通信进行保护。由此,作为伙伴的照明设备(“Y”)作为实质是可靠的。此时,照明设备(“Y”)以同样的理由将开关(“X”)看作可靠的设备。
下面将参考图8至20更具体的描述图6和7所示的消息序列。在这种情况下,假定利用DHCP搜索Kerberos KDC。
(步骤S101利用DHCP搜索Kerberos KDC)如图8所示,在利用DHCP对Kerberos KDC搜索的过程中,消息m1(“DHCP请求”)从开关(“X”)发送到DHCP服务器。响应该消息,DHCP服务器返回消息m2(“DHCP回答”,Kerberos名称K,IP地址IPk,Kerberos名称K2,IP地址IPk2,Kerberos,名称K3,IP地址IPk3,…)。
(步骤S102验证Kerberos KDC)如图9所示,在Kerberos的AS_REQ/AS_REP交换过程中,开关(“X”)向Kerberos KDC(“K”)发送请求特殊标签TGT的消息m3。开关(“X”)根据向其提供的作为回答的消息m4获得TGTx以及会话密钥Sx。此时,由于开关(“X”)知道Kx,其可解密TGTx并由此验证Kerberos KDC(“K”)。
(步骤S103搜索属性服务器)如图10所示,在Kerberos的TGS_REQ/TGS_REP交换过程中,开关(“X”)利用TGTx向Kerberos KDC(“K”)发送用于请求搜索属性服务器的标签的消息m5。开关(“X”)从Kerberos KDC(“K”)接收回答消息m6并获得用于搜索属性服务器的标签。
接下来,如图11所示,在Kerberos的AP_REQ/AP_REP交换过程中,开关(“X”)向Kerberos KDC(“K”)发送包含验证数据和标签的消息m7。Kerberos KDC(“K”)基于所接收的标签和验证数据验证开关(“X”)并且向开关(“X”)发送包含新的验证数据的消息m8。
响应该消息,开关(“X”)基于所接收的验证数据验证Kerberos KDC(“K”)。作为结果,可以实现开关(“X”)和Kerberos KDC(“K”)的相互验证。
而后,如图12所示,开关(“X”)利用其固有协议通过使用基于TICKETxk的Kerberos的KRB_PRIV消息向Kerberos KDC(“K”)发送查询有关属性服务器信息(名称和IP地址)的消息m9。响应该消息,Kerberos KDC向开关(“X”)返回所知道的表示涉及属性服务器信息的消息m10。由此,开关(“X”)可以获得配合属性服务器(“P”)的设置IPsec所需的信息(名称和IP地址)。
(步骤S104登记自身信息)首先,如图13所示,在Kerberos的TGS_REQ/TGS_REP交换过程中,开关(“X”)利用TGTx向Kerberos KDC(“K”)发送请求有关属性服务器(“P”)的KINK-交换的标签的消息m11。开关(“X”)接收回答消息m12并获得有关属性服务器(“P”)的KINK-交换的标签。
接下来,如图14所示,在KINK-交换过程中,开关(“X”)形成并建立输入一侧SA[IPx←IPp,Sxp]。此后,其基于KINK-交换过程利用消息m13向属性服务器(“P”)传送信息。属性服务器(“P”)建立SA[IPx→IPp,Sxp]。此外,属性服务器(“P”)形成并建立输入一侧SA[IPx←IPp,Sxp]。此后,其基于KINK-交换过程利用消息m14向开关(“X”)传送信息。开关(“X”)建立SA[IPx→IPp,Sxp]。在此之后,在开关(“X”)和属性服务器(“P”)之间的所有通信都由IPsec保护。
然后,如图15所示,开关(“X”)向属性服务器(“P”)发送请求登记自身信息的消息m15(“登记本方信息”名称“X”,IP地址IPx)。此时,在开关(“X”)和属性服务器(“P”)之间的所有通信都由IPsec保护。
(步骤S105获得启动信息)首先,如图16所示,开关(“X”)向属性服务器(“P”)发送请求启动信息的消息m16(“请求本方启动信息”)。响应该消息,属性服务器(“P”)向开关(“X”)发送表示启动信息的消息m17(“启动信息”“任何数据”)。此时,在开关(“X”)和属性服务器(“P”)之间的所有通信都由IPsec保护。
(步骤S106获得伙伴地址)首先,如图17所示,开关(“X”)向属性服务器(“P”)发送请求作为通信伙伴的照明设备(“Y”)的IP地址的消息m18(“请求IP地址”名称“Y”)。响应该消息,属性服务器(“P”)向开关(“X”)返回表示照明设备(“Y”)的IP地址的消息m19(“返回IP地址”名称“Y”IP地址“IPy”)。此时,在开关(“X”)和属性服务器(“P”)之间的所有通信都由IPsec保护。
(步骤S107所希望的通信)首先,如图18所示,在Kerberos的TGS_REQ/TGS_REP交换过程中,开关(“X”)利用TGTx向Kerberos KDC(“K”)发送请求有关照明设备(“Y”)的KINK-交换的标签的消息m20。开关(“X”)从Kerberos KDC(“K”)接收并获得表示有关照明设备(“Y”)的KINK-交换的标签的回答消息m21。
接下来,如图19所示,在KINK-交换过程中,开关(“X”)形成并建立输入一侧SA[IPx←IPy,Sxy]。此后,其基于KINK-交换过程利用消息m22向照明设备(“Y”)传送信息。照明设备(“Y”)在输出一侧建立SA[IPx→IPy,Sxy]。此外,照明设备(“Y”)形成并建立输入一侧SA[IPx←IPy,Sxy]。然后,其基于KINK-交换过程利用消息m23向开关(“X”)传送信息。响应该信息,开关(“X”)建立SA[IPx→IPy,Sxy]。此后,在开关(“X”)和照明设备(“Y”)之间的所有通信都由IPsec保护。
然后,如图20所示,在开关(“X”)和照明设备(“Y”)之间传送所希望的消息m24。
根据上述第二实施例,可以实现连接到控制网络上的设备的安全且自主的设置。此外,为了和现有的基于IP的控制网络一起应用本发明,建议依据下述描述应用本发明。例如,如图21的BACnet(商标)应用实例以及图22的MODBUS TCP/IP(商标)应用实例所示,在IP层的上层位置配置有独立的虚构网络层的系统中,提供在上述附图中所示的基于IPsec的一些协议层。在这种情况下,在应用层中,本发明所体现的功能将得到扩充。例如,所述功能包括利用标识符识别通信伙伴的功能,获得并登记自身信息的功能,以及检测通信伙伴的功能等等。
附加的优点和修改对本领域的普通技术人员而言是显而易见的。因此,本发明更广泛的方面并不局限于在此示出的并描述的具体细节和典型的实施例。因此,在不背离由随附的权利要求及其等同物所定义的通用发明概念的精神和范围下,可以作出各种修改。
权利要求
1.一种当第一通信设备(5)连接到包含第一服务器(2)和第二服务器(3)的控制网络(4)上时、第一通信设备(5)的设置网络信息的方法,其特征在于包含第一通信设备(5)检测在控制网络(4)上的第一服务器(2);在第一通信设备(5)和第一服务器(2)之间执行相互验证;如果相互验证成功,从第一服务器(2)向第一通信设备(5)传送针对第二服务器(3)的安全通信所需的密钥信息;控制网络(4)上的第一通信设备(5)识别第二服务器(3);通过使用密钥信息的安全通信从第一通信设备(5)向第二服务器(3)传送网络信息;以及将该网络信息存储到第二服务器(3)中,以使第一通信设备(5)在控制网络(4)中被初始化。
2.根据权利要求1所述的方法,其特征在于,所述网络信息包括以第一通信设备(5)的网络地址和标识符为代表的属性信息。
3.根据权利要求2所述的方法,其特征在于,还包括当第二通信设备发出有关第一通信设备(5)的标识符的询问时,将第一通信设备(5)的属性信息从第二服务器(3)发送到第二通信设备。
4.根据权利要求3所述的方法,其特征在于,通过使用密钥信息的安全通信进行询问,该密钥信息是针对第二服务器(3)的安全通信所需的密钥信息且第二通信设备已经从第一服务器(2)处获得。
5.根据权利要求1所述的方法,其特征在于,第一通信设备(5)根据DHCP服务检测第一服务器(2)。
6.根据权利要求1所述的方法,其特征在于,第一通信设备(5)根据多点传送服务检测第一服务器(2)。
7.根据权利要求1所述的方法,其特征在于,第一服务器(2)包括Kerberos的密钥管理服务器。
8.根据权利要求7所述的方法,其特征在于,第一和第二通信设备的标识符是Kerberos的主旨,且该主旨用于相互验证。
9.根据权利要求1所述的方法,其特征在于,安全通信包括IPsec并且第一通信设备(5)根据IPsec的密钥交换协议交换关于第二服务器(3)和第二通信设备之一的安全信息。
10.一种网络系统,其特征在于包括控制网络(4),其包括第一服务器(2)和第二服务器,该第一服务器(2)存储针对第二服务器(3)的安全通信所需的密钥信息;以及第一通信设备(5),其存储网络信息,并被配置当第一通信设备(5)连接到所述控制网络(4)上时,检测在控制网络(4)上的第一服务器(2)和第二服务器(3);执行与第一服务器(2)的验证,以便从第一服务器(2)获得密钥信息;以及通过使用密钥信息的安全网络向第二服务器(3)发送网络信息,其中所述网络信息存储在第二服务器上,以使第一通信设备(5)在控制网络(4)中被初始化。
11.根据权利要求10所述的系统,其特征在于,所述网络信息包括以第一通信设备(5)的网络地址和标识符为代表的属性信息。
12.根据权利要求11所述的系统,其特征在于,当第二通信设备发出有关第一通信设备(5)的标识符的询问时,将第一通信设备(5)的属性信息从第二服务器(3)发送到第二通信设备。
13.根据权利要求12所述的系统,其特征在于,通过使用密钥信息的安全通信进行询问,该密钥信息是针对第二服务器(3)的安全通信所需的密钥信息且第二通信设备已经从第一服务器(2)处获得。
14.根据权利要求10所述的系统,其特征在于,第一通信设备(5)根据DHCP服务检测第一服务器(2)。
15.根据权利要求10所述的系统,其特征在于,第一通信设备(5)根据多点传送服务检测第一服务器(2)。
16.根据权利要求10所述的系统,其特征在于,第一服务器(2)包括Kerberos的密钥管理服务器。17.根据权利要求16所述的系统,其特征在于,第一和第二通信设备的标识符是Kerberos的主旨,且该主旨用于相互验证。
18.根据权利要求10所述的系统,其特征在于,安全通信包括IPsec并且第一通信设备(5)根据IPsec的密钥交换协议交换关于第二服务器(3)和第二通信设备之一的安全信息。
19.一种通信设备,可连接到包括第一服务器(2)和第二服务器(3)的控制网络(4)上,第一服务器(2)存储安全通信所需的密钥信息,第二服务器(3)存储网络信息,其特征在于包括存储器,用于存储将要存储到第二服务器(3)中的网络信息;服务器检测单元,用于检测在控制网络(4)上的第一服务器(2)和第二服务器(3);通信单元,被配置执行与第一服务器(2)的验证,以便获得有关第二服务器(3)的密钥信息;通过使用密钥信息的安全网络向第二服务器(3)发送网络信息,由此在控制网络(4)中设置;从第二服务器(3)接收另一通信设备的网络信息;从第一服务器(2)接收有关另一通信设备的安全通信所需的密钥信息;以及通过利用有关另一通信设备的密钥信息的安全通信,执行与另一通信设备所希望的通信。
20.根据权利要求19所述的通信设备,其特征在于,根据DHCP服务检测第一服务器(2)。
21.根据权利要求19所述的通信设备,其特征在于,根据多点传送服务检测第一服务器(2)。
22.根据权利要求19所述的通信设备,其特征在于,安全通信包括IPsec并且根据IPsec的密钥交换协议交换关于第二服务器(3)和另一通信设备之一的安全信息。
全文摘要
当通信设备连接到控制网络(4)上时,该通信设备的属性信息在第二服务器(3)中被初始化,所述控制网络(4)连接了存储有密钥信息的第一服务器(2)和存储有属性信息的第二服务器(3)。从第一服务器(2)处获得针对第二服务器(3)的安全通信所需的密钥信息,以及通过使用密钥信息的安全通信向第二服务器(3)发送至少包括所述通信设备的标识符和网络地址的所述属性信息。
文档编号H04L12/66GK1612533SQ20041008800
公开日2005年5月4日 申请日期2004年10月28日 优先权日2003年10月28日
发明者井上淳, 冈部宣夫, 石山政浩, 坂根昌一 申请人:株式会社东芝, 横河电机株式会社