特許 7433323 照明ネットワークのセキュアな動作を提供する方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-02-08

(45)【発行日】2024-02-19

(54)【発明の名称】照明ネットワークのセキュアな動作を提供する方法

(51)【国際特許分類】

   G06F 21/50 20130101AFI20240209BHJP

   G06F 21/57 20130101ALI20240209BHJP

   G06F 21/55 20130101ALN20240209BHJP

   H04L 12/28 20060101ALN20240209BHJP

【ＦＩ】

G06F21/50

G06F21/57 370

G06F21/55

H04L12/28 500

【請求項の数】 15

(21)【出願番号】P 2021540015

(86)(22)【出願日】2020-01-09

(65)【公表番号】

(43)【公表日】2022-03-14

(86)【国際出願番号】 EP2020050351

(87)【国際公開番号】W WO2020144248

(87)【国際公開日】2020-07-16

【審査請求日】2023-01-06

(31)【優先権主張番号】19151166.6

(32)【優先日】2019-01-10

(33)【優先権主張国・地域又は機関】EP

(73)【特許権者】

【識別番号】516043960

【氏名又は名称】シグニファイ ホールディング ビー ヴィ

【氏名又は名称原語表記】ＳＩＧＮＩＦＹ ＨＯＬＤＩＮＧ Ｂ．Ｖ．

【住所又は居所原語表記】Ｈｉｇｈ Ｔｅｃｈ Ｃａｍｐｕｓ ４８，５６５６ ＡＥ Ｅｉｎｄｈｏｖｅｎ，Ｔｈｅ Ｎｅｔｈｅｒｌａｎｄｓ

(74)【代理人】

【識別番号】100163821

【弁理士】

【氏名又は名称】柴田 沙希子

(72)【発明者】

【氏名】シラジ ムハンマド モーシン

(72)【発明者】

【氏名】ヴァン デ ラールショット フオン ウルバルト オジェール ノルベルト

【審査官】吉田 歩

(56)【参考文献】

【文献】米国特許出願公開第２０１６／０３１５９５５（ＵＳ，Ａ１）

【文献】特表２０１８－５１３４５７（ＪＰ，Ａ）

【文献】特開２０１８－１６３４０１（ＪＰ，Ａ）

【文献】特表２０２１－５０７３７５（ＪＰ，Ａ）

【文献】中国特許出願公開第１０７４０９０７３（ＣＮ，Ａ）

【文献】特表２０１４－５０４７６５（ＪＰ，Ａ）

【文献】特開２０１８－１９４９０９（ＪＰ，Ａ）

【文献】特開２０１８－１６０７８６（ＪＰ，Ａ）

【文献】特開２０１３－０６９０５３（ＪＰ，Ａ）

【文献】特表２０１４－５２３６６８（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／５０

Ｇ０６Ｆ ２１／５７

Ｇ０６Ｆ ２１／５５

Ｈ０４Ｌ １２／２８

(57)【特許請求の範囲】

【請求項1】

照明ネットワークのセキュアな動作を提供する方法であって、前記照明ネットワークは、環境を照らすように構成される照明デバイスと、前記照明デバイスを制御するためのローカルコントローラとを含み、前記照明ネットワークは、前記照明ネットワークの外部にある、外部コントローラによって制御可能であり、当該方法は、
前記照明ネットワークのコンフィギュレーション状態を決定するステップであって、コンフィギュレーションは、前記照明ネットワークの要素の機能的構成を含み、前記コンフィギュレーション状態は、前記要素の一部又はすべてのデバイス設定、ソフトウェア及び／又はハードウェアのバージョンを含む、ステップと、
前記決定されたコンフィギュレーション状態を分析するステップであって、前記決定されたコンフィギュレーション状態の分析は、前記照明ネットワークの脆弱性に基づく、ステップと、
前記分析に基づいて前記照明ネットワークの動作モードを通常モードとセキュアードモードとの間で切り替えるステップと、
を含み、
前記通常モードにおいて、前記照明ネットワークは、前記外部コントローラに動作可能に接続され、前記照明デバイスの光レンダリング機能は、所定の機能セットに従って前記外部コントローラによって制御され、
前記セキュアードモードにおいて、前記照明デバイスの光レンダリング機能は、前記所定の機能セットのサブセットに従って前記外部コントローラによって制御される、方法。

【請求項2】

前記分析するステップは、
前記決定されたコンフィギュレーション状態が変更を必要とするかどうかを検出すること、
を含み、当該方法は、
前記検出に基づいて前記照明ネットワークの動作モードを前記通常モードから前記セキュアードモードに切り替えることと、
前記セキュアードモードにおいて前記照明ネットワークのコンフィギュレーションを変更することと、
前記コンフィギュレーションが変更された後に前記照明ネットワークの動作モードを前記セキュアードモードから前記通常モードに切り替えることと、
を含む、請求項１に記載の方法。

【請求項3】

前記決定されたコンフィギュレーション状態が前記照明ネットワークのセキュアでない動作を示す場合、前記決定されたコンフィギュレーション状態は変更を必要とする、請求項２に記載の方法。

【請求項4】

前記コンフィギュレーションを変更することは、前記外部コントローラによって実行される、請求項２に記載の方法。

【請求項5】

前記コンフィギュレーションを変更することは、前記ローカルコントローラによって実行され、必要とされるコンフィギュレーションは前記ローカルコントローラに格納され、前記照明ネットワークのコンフィギュレーションは、前記格納された必要とされるコンフィギュレーションに基づいて変更される、請求項２に記載の方法。

【請求項6】

前記セキュアードモードにおいて、前記照明ネットワークは、前記外部コントローラから動作可能に切断されるように構成され、前記光レンダリング機能は、前記ローカルコントローラによって制御される、請求項１に記載の方法。

【請求項7】

前記セキュアードモードにおいて、前記外部コントローラに向けられる情報は、前記ローカルコントローラに格納され、前記情報は、前記通常モードの復帰時に伝達される、請求項６に記載の方法。

【請求項8】

前記照明ネットワークは、センシングデバイスを含み、前記情報は、センシングデータ、状態データ、制御データ、コンフィギュレーションデータ、診断データ、メンテナンス要求、データ処理要求のうちの１つ以上である、請求項７に記載の方法。

【請求項9】

前記セキュアードモードにおいて、前記照明ネットワークは、セキュリティハザードのタイプ及び／又は必要とされるコンフィギュレーションをアドバタイズするように構成される、請求項１に記載の方法。

【請求項10】

前記照明ネットワークのコンフィギュレーション状態を決定するステップは、トリガに基づき、トリガ生成は、前記トリガが周期的に生成されるような時間ベースのものである、請求項１に記載の方法。

【請求項11】

前記照明ネットワークのコンフィギュレーション状態を決定するステップは、トリガに基づき、トリガ生成は、悪意のあるアクティビティが前記照明ネットワークに観察される場合に前記トリガが生成されるようなイベントベースのものである、請求項１に記載の方法。

【請求項12】

前記照明ネットワークのコンフィギュレーション状態を決定するステップは、トリガに基づき、現在のコンフィギュレーションに対する更新が利用可能な場合に前記トリガが生成される、請求項１に記載の方法。

【請求項13】

前記分析は、ネットワーク挙動分析における異常検出を用いて実行され、前記異常検出は、統計的方法、ルールベースの方法、距離ベースの方法、プロファイリングベースの方法及びモデルベースの方法のうちの少なくとも１つを用いる、請求項１に記載の方法。

【請求項14】

照明ネットワークのセキュアな動作を提供するためのコントローラであって、前記照明ネットワークは、環境を照らすように構成される照明デバイスと、前記照明デバイスを制御するためのローカルコントローラとを含み、前記照明ネットワークは、前記照明ネットワークの外部にある、外部コントローラによって制御可能であり、当該コントローラは、
入力インターフェース及び出力インターフェースと、
通信ユニットと、
メモリと、
請求項１に記載の方法を実行するためのプロセッサと、
を含む、コントローラ。

【請求項15】

コンピュータプログラムであって、当該コンピュータプログラムがコンピュータによって実行された場合、前記コンピュータに請求項１乃至１３のいずれか一項に記載の方法のステップを実行させる命令を含む、コンピュータプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、照明ネットワークのセキュアな動作(secure operation)を提供する方法に関する。本発明はさらに、照明ネットワークのセキュアな動作を提供するコントローラ及びコンピュータプログラムプロダクトに関する。

【背景技術】

【0002】

コネクテッドライティング(Connected lighting)は、従来の有線、電気的オンオフ又は調光回路によって制御されるものではなく（又は制御されるだけでなく）、有線接続又はより多くは無線接続、例えば、有線又は無線ネットワークを介すデータ通信プロトコルを使用して制御される１つ以上の照明デバイスのシステムを指す。これらのコネクテッド照明ネットワークは、一般的にモノのインターネット（ＩｏＴ：Internet of Things）、より具体的には照明のインターネット（ＩｏＬ：Internet of Lighting）として知られるものを形成する。典型的には、照明デバイス、ましては照明デバイス内の個々のランプが、各々、Ｚｉｇｂｅｅ、Ｗｉ－Ｆｉ又はＢｌｕｅｔｏｏｔｈ等の無線ネットワークプロトコルに従って照明制御デバイスから照明制御コマンドを受信するための無線レシーバ又はトランシーバを備えてもよい。

【0003】

コネクテッドライティング等のＩｏＴソリューションは、データを交換し、ネットワーク及びクラウド上で制御機能を提供するデバイス及びセンサの複雑なネットワークである。より多くのデータがより多くのアプリケーションに曝されるようになると、セキュリティが大きな課題となる。照明ネットワーク内のコネクテッド照明デバイス等、ネットワーク接続性を持つネットワークデバイスは脆弱である。

【0004】

ＩｏＴ照明デバイスによって収集される個人データは、データハッカー及びなりすまし(identity thief)にとって価値のあるものである。また、ＩｏＴソリューションへのサイバー攻撃は、物理的なサービス及び照明インフラストラクチャを麻痺させる可能性がある。ＩｏＴセキュリティの重要性は広く理解され見解が一致しているが、ＩｏＴセキュリティの実際の設計及び実装は、新たな課題及び機会をもたらしている。セキュリティを向上させ、ハッカー攻撃のリスクを低減するために、エンドツーエンドの暗号アルゴリズムを使用する、セキュリティフィックス(security fix)及びソフトウェアアップデートを提供する等、異なるセキュリティ対策が用いられている。

【0005】

ＵＳ２０１６０３１５９５５Ａ１は、ネットワーク内のスマートアプライアンスから悪意のある挙動(malicious behavior)を検出する方法を開示している。ネットワーク内のスマートアプライアンスについてネットワークトラフィックデータ及び識別データが収集される。データは挙動分析エンジンに送られ、挙動分析エンジンは、悪意のある挙動に起因し得るネットワークトラフィック内の異常に対する信頼度を計算する。信頼度に基づいて、異常に関するネットワークトラフィックはブロックされる。

【発明の概要】

【発明が解決しようとする課題】

【0006】

本発明者らは、リソース制約のある照明デバイス(resource constrained lighting device)等、ＩｏＴデバイスは、計算能力及びメモリ容量が限られていることが多く、照明デバイスが提供するよりも多くのリソースを必要とする複雑な暗号アルゴリズムを使用することが困難であることを認識している。本発明者らはさらに、定期的なセキュリティフィックス及びアップデートを伴うＩｏＴ照明デバイスのアップデートは、オンタイムに(on time)実行されないことが非常に多いことを認識している。例えば、家庭ベースの環境では、ユーザは、アップデートの必要性を認識していないか、アップデートを行うのはトレーニングを受けた技術者を必要とする難しいプロセスであると思っている。オフィスベースの環境又は屋外環境ではさらに複雑になる可能性があり、このような環境では、ユーザは、アップデートを実行するための認証権を持たない可能性がある（例えば、ビル又はオフィス管理者のみがそうする可能性がある）。それゆえ、多数のＩｏＴ照明デバイスが古いソフトウェア（ファームウェア）で動作し、セキュリティ脅威をもたらす可能性がある。

【0007】

それゆえ、本発明の目的は、上記で提起された問題及びその他の関連するネットワークセキュリティ問題の少なくとも一部を克服し、特に照明ネットワークにおける照明デバイスの制限を鑑みて、照明ネットワークのセキュアな動作を提供することである。本発明の文脈において、リスクのない絶対的にセキュアな動作を提供することはほぼ不可能であるため、「セキュアな動作で(with secure operation)」とは、強化された動作のセキュリティ(enhanced security of operation)を提供することを意味すると理解されたい。

【課題を解決するための手段】

【0008】

第１の態様によれば、前記目的は、照明ネットワークのセキュアな動作を提供する方法であって、照明ネットワークは、環境を照らすように構成される照明デバイスと、照明デバイスを制御するためのローカルコントローラとを含み、照明ネットワークは、照明ネットワークの外部にある、外部コントローラによって制御可能であり、当該方法は、照明ネットワークのコンフィギュレーション状態(configuration status)を決定するステップと、決定されたコンフィギュレーション状態を分析するステップと、分析に基づいて照明ネットワークの動作モードを通常モードとセキュアードモード(secured mode)との間で切り替えるステップとを含み、通常モードにおいて、照明ネットワークは、外部コントローラに動作可能に接続され、照明デバイスの光レンダリング機能(light rendering function)が、所定の機能セット(predetermined set of functions)に従って外部コントローラによって制御され、セキュアードモードにおいて、照明デバイスの光レンダリング機能は、所定の機能セットのサブセットに従って外部コントローラによって制御される、方法によって達成される。

【0009】

当該方法は、照明ネットワークの動作に強化されたセキュリティを提供する。当該方法は、照明ネットワークのコンフィギュレーション状態を決定することを含む。コンフィギュレーションは、ソフトウェア及び／又はハードウェア等、要素の機能的構成(functional arrangement)を含んでもよく、コンフィギュレーション状態は、デバイス設定、ソフトウェア及び／又はハードウェアのバージョン等、一部又はすべてのこのような要素の表現(representation)であってもよい。一例として、ソフトウェアは、ファームウェアであってもよく、コンフィギュレーション状態は、ファームウェアのバージョンであってもよい。コンフィギュレーション状態の決定は、使用されているソフトウェアのバージョン及び／又は照明ネットワークのデバイス設定を決定することを含んでもよい。照明ネットワークのコンフィギュレーション状態は、照明ネットワークの照明デバイス又は照明デバイスの個々のコンポーネントのコンフィギュレーション状態を表してもよい。

【0010】

当該方法さらには、照明ネットワークの決定されたコンフィギュレーション状態を分析することを含む。例えば、決定されたコンフィギュレーション状態に関する分析は、決定されたコンフィギュレーション状態が、例えば、ソフトウェアに対して利用可能な最新バージョンであるかどうか、決定されたコンフィギュレーション状態が、既知のセキュリティ脅威に対して脆弱であるかどうか、ネットワークトラフィックが、ネットワークトラフィック内で動作するマルウェア等、悪意のあるアクティビティの兆候(sign)を示すかどうかのうちの１つ以上の観点から実行されてもよい。分析は、トラフィックを監視し、通常とは異なるアクション又は通常動作からの逸脱に注意することによりネットワークのセキュリティを強化するやり方である、ネットワーク挙動分析(network behavior analysis)における異常検出(anomaly detection)を用いて実行されてもよい。

【0011】

分析に基づいて、当該方法はさらに、照明ネットワークの動作モードを通常モードとセキュアードモードとの間で切り替えることを含む。通常モードにおいて、照明ネットワークは、外部コントローラに動作可能に接続され、照明デバイスの光レンダリング機能は、所定の機能セットに従って外部コントローラによって制御される。所定の機能セットは、環境を照らすこと、及び／又は、照明デバイスの１つ以上の光源の色、色温度、強度、ビーム幅、ビーム方向、照度、その他のパラメータのうちの１つ以上を変更することを含んでもよい。

【0012】

セキュアードモードにおいて、照明デバイスの光レンダリング機能は、所定の機能セットのサブセットに従って外部コントローラによって制御される。所定の機能セットのサブセットは、例えば、環境を照らすことを含んでもよい。典型的なＩｏＴシステムでは、ＩｏＴデバイスの動作は、接続性、例えば、インターネットへの接続性に基づき、そのような外部ネットワークからの切断は、完全なシステムの動作障害を引き起こす。これは、照明ネットワークにとっては異なり、照明ネットワークは、外部コントローラへの接続性が限られる又はない状態でもセキュアードモードでローカルに依然として動作することができる。したがって、当該方法は、照明ネットワーク内の照明デバイスの制限にかかわらず、照明ネットワークのセキュアな動作を提供する。

【0013】

一実施形態では、分析するステップは、決定されたコンフィギュレーション状態が変更を必要とするかどうかを検出することを含んでもよく、当該方法はさらに、セキュアードモードにおいて照明ネットワークのコンフィギュレーションを変更することと、コンフィギュレーションが変更された場合に照明ネットワークの動作モードをセキュアードモードから通常モードに切り替えることとを含んでもよい。決定されたコンフィギュレーション状態が照明ネットワークのセキュアでない動作(insecure operation)を示す場合、決定されたコンフィギュレーション状態は変更を必要としてもよい。

【0014】

セキュアでない動作は、例えば、ネットワークトラフィックに異常が検出される場合、及び／又は、決定されたコンフィギュレーション状態に関連する脆弱性についてのインディケーションを受ける場合、セキュリティリスクに対する照明ネットワークの脆弱な動作を示してもよい。このような検出に基づいて、当該方法は、照明ネットワークの動作モードを、例えば、通常モードからセキュアードモードに切り替えることを含んでもよく、さらにコンフィギュレーションを変更することを含んでもよい。コンフィギュレーションを変更することは、コンフィギュレーションの更新、アップグレード若しくはダウングレード、及び／又は、デバイス設定の変更を含んでもよい。例えば、ファームウェアを異なるバージョンに更新することであってもよい。コンフィギュレーションを変更することは、例えばセキュアードモードにおいて、外部コントローラによって実行されてもよい。照明ネットワークのセキュアな動作を示す、コンフィギュレーションが変更された後、照明ネットワークの動作モードは、通常モードに切り替えられてもよい。動作モードは、例えばネットワークセキュリティをテストするために、所定のテスト期間の間通常モードに切り替えられてもよい。ネットワークトラフィックが安全であることが確認される場合、例えば、異常が発見されない場合、動作モードは、通常モードに保たれてもよい。代替的に、動作モードはセキュアードモードに戻され、異なるコンフィギュレーションが使用されてもよい。

【0015】

一実施形態では、コンフィギュレーションを変更することは、ローカルコントローラによって実行されてもよく、必要とされるコンフィギュレーションはローカルコントローラに格納されてもよく、照明ネットワークのコンフィギュレーションは、前記格納された必要とされるコンフィギュレーションに基づいて変更されてもよい。

【0016】

外部コントローラを介してコンフィギュレーションを変更する代替例として、必要とされるコンフィギュレーションが、ローカルコントローラに格納されてもよい。例えば、ローカルコントローラは、必要とされるコンフィギュレーション、例えば、ソフトウェア及び／又はデバイス設定を外部コントローラから受けてもよく、これをメモリに格納してもよい。この場合、ローカルコントローラは、例えばセキュアードモードにおいて、照明ネットワークのコンフィギュレーションを変更するように構成されてもよい。

【0017】

セキュアードモードにおいて、照明ネットワークはさらに、外部コントローラから動作可能に切断されるように構成され、光レンダリング機能は、ローカルコントローラによって制御されてもよい。

【0018】

さらに、照明ネットワークは、照明ネットワークと外部コントローラとのいかなる形態の接続もセキュリティリスクを引き起こす可能性がある場合、外部コントローラから動作可能に切断されるように構成されてもよい。この例では、所定の機能セットのサブセットは、空のセット(empty set)であり、すなわち、外部コントローラは、照明デバイスの光レンダリング機能を制御しない。ローカルコントローラは、所定の機能セットのサブセットに従って照明デバイスの光レンダリング機能を制御するように構成されてもよく、例えば、ローカルコントローラは、環境を照らすために照明デバイスを制御するように構成されてもよい。

【0019】

セキュアードモードにおいて、外部コントローラに向けられる情報は、ローカルコントローラに格納されてもよく、前記情報は、通常モードの復帰時に伝達されてもよい。照明ネットワークはさらに、センシングデバイスを含み、前記情報は、センシングデータ、状態データ(status data)、制御データ、コンフィギュレーションデータ、診断データ、メンテナンス要求、データ処理要求のうちの１つ以上であってもよい。

【0020】

さらに、照明ネットワークは、センシングデバイス、ＨＶＡＣ機器、火災警報器等を含んでもよい。これらのデバイスは、センシング信号又は他の信号を外部コントローラに伝達する必要があってもよい。この情報は、例えば、制御、メンテナンス、診断、寿命末期（ＥｏＬ：End-of-Life）分析等のために情報が処理されるように、外部コントローラに向けられてもよい。外部コントローラは、クラウド等、リモートサーバに位置してもよく、これは、リモートサーバで情報を処理する計算上の利点を提供する。セキュアードモードにおいて、外部コントローラに向けられる情報は、ローカルコントローラに格納され、前記情報は、通常モードの復帰時に伝達されてもよい。

【0021】

セキュアードモードにおいて、照明ネットワークは、セキュリティハザード(security hazard)のタイプ及び／又は必要とされるコンフィギュレーションをアドバタイズする(advertise)ように構成されてもよい。

【0022】

例えば、分析に基づいて、照明ネットワークは、セキュリティハザードのタイプ、例えば、検出された特定の異常、及び／又は、脆弱性に対処するために最も適し得る必要とされるコンフィギュレーションをアドバタイズしてもよい。

【0023】

照明ネットワークのコンフィギュレーション状態を決定するステップは、トリガに基づいてもよく、トリガ生成は、トリガが周期的に、ランダムな時点で又は所定の時点で生成されるような時間ベースのものであってもよい。

【0024】

決定は、トリガが例えば周期的、ランダム等、タイムリーに生成され得るようなトリガに基づいて開始されることができる。このような時間ベースのトリガは、コンフィギュレーション状態のタイムリーなチェックを維持し、コンフィギュレーション状態を最新の状態に保つ。

【0025】

照明ネットワークのコンフィギュレーション状態を決定するステップは、トリガに基づいてもよく、トリガ生成は、悪意のあるアクティビティが照明ネットワークに観察される場合にトリガが生成され得るようなイベントベースのものであってもよい。

【0026】

追加的に、又は代替的に、トリガは、イベントに基づいて生成されてもよい。このようなイベントの例は、悪意のあるアクティビティが照明ネットワークに観察される場合、照明デバイスが予期せぬように挙動を始める場合、通信信号がドロップされる、及び／又は、誤った目的地にルーティングされる、照明デバイスに対する制御を欠く又は制御しない等のうちの１つ以上を含んでもよい。

【0027】

照明ネットワークのコンフィギュレーション状態を決定するステップは、トリガに基づいてもよく、現在のコンフィギュレーションに対する更新が利用可能な場合にトリガが生成されてもよい。

【0028】

追加的に、又は代替的に、コンフィギュレーションが古く、変更される必要があることをユーザに認識させるように、トリガは、更新されたコンフィギュレーションの可用性(availability)のインディケーションを受けることに基づいて生成されてもよい。

【0029】

分析は、ネットワーク挙動分析における異常検出を用いて実行されてもよく、異常検出は、統計的方法(statistical method)、ルールベースの方法(rule-based method)、距離ベースの方法(distance-based method)、プロファイリングベースの方法(profiling-based method)及びモデルベースの方法(model-based method)のうちの少なくとも１つを用いてもよい。

【0030】

第２の態様によれば、前記目的は、照明ネットワークのセキュアな動作を提供するためのコントローラであって、照明ネットワークは、環境を照らすように構成される照明デバイスと、照明デバイスを制御するためのローカルコントローラとを含み、照明ネットワークは、照明ネットワークの外部にある、外部コントローラによって制御可能であり、当該コントローラは、第１の態様による方法を実行するためのプロセッサを含む、コントローラによって達成される。コントローラはさらに、入力インターフェース及び出力インターフェースと、メモリとを含んでもよい。コントローラへの入力は、第１の態様による判定を開始するためのトリガ信号であってもよい。コントローラの出力は、コンフィギュレーションが変更されたことを示すユーザへの更新信号であってもよい。メモリは、必要とされるコンフィギュレーションを格納するために使用されてもよい。

【0031】

第３の態様によれば、前記目的は、第２の態様によるコントローラで実行された場合、第１の態様による方法を実行するように構成される命令を含むコンピュータプログラムプロダクトによって達成される。

【0032】

コンピュータプログラムプロダクト及びシステムは上述した方法と同様及び／又は同一の実施形態及び利点を有し得ることを理解されたい。

【図面の簡単な説明】

【0033】

開示されたシステム、デバイス及び方法の上記の及び追加の目的、特徴及び利点は、添付の図面を参照して、システム、デバイス及び方法の実施形態の以下の例示的且つ非限定的な詳細な説明を通してよりよく理解されるであろう。

【図1】照明ネットワークと、照明ネットワークのセキュアな動作を提供するための外部コントローラとを含むシステムを概略的且つ例示的に示す。

【図2】照明ネットワークのセキュアな動作を提供する方法の一実施形態を示すフローチャートを概略的且つ例示的に示す。

【図3】照明ネットワークのセキュアな動作を提供する方法の他の実施形態を示すフローチャートを概略的且つ例示的に示す。

【図4】照明ネットワークと、照明ネットワークのコンフィギュレーションを変更するための一実施形態を示すローカルコントローラとを概略的且つ例示的に示す。

【図5】照明ネットワークのセキュアな動作を提供するためのコントローラを概略的且つ例示的に示す。

【発明を実施するための形態】

【0034】

すべての図は概略的であり、必ずしも縮尺どおりではなく、一般に、本発明を明らかにするために必要な部分のみを示し、他の部分は省略されるか、単に示唆される場合がある。

【0035】

コネクテッドライティングシステムにおける照明デバイス等、ＩｏＴシステムにおけるＩｏＴデバイスのセキュリティには多くの課題がある。具体的には、ＩｏＴ照明デバイスに共通する課題として、エンドツーエンドの暗号化技術等の高度なセキュリティ対策を実装するために必要な計算リソースを含まないようにリソースに制約があることが多いことが挙げられる。

【0036】

前述のように、ＩｏＴ照明デバイスによって収集される個人データは、データハッカー及びなりすましにとって価値のあるものである。また、ＩｏＴソリューションへのサイバー攻撃は、物理的なサービス及び照明インフラストラクチャを麻痺させる可能性がある。家庭ベースの環境では、例えば、セキュリティの抜け穴に起因して、ユーザが自宅の照明デバイスを遠隔で制御できなくなったり、照明デバイスに対する通信及び／又は制御信号がドロップされる及び／又は誤った目的地にルーティングされる可能性がある。さらに、照明デバイスが正常でない挙動を始める可能性がある。例えば、突然、照明デバイスが夜間に最大輝度でオンされたり、ユーザ宅のすべての照明デバイスが停電する可能性がある。また、セキュリティ侵害の極限状況では、照明ネットワークがユーザの存在／不在に関する信号を未知のリモートデバイス／サーバに送信し、盗難、その他の深刻な事態が発生する可能性がある。

【0037】

オフィス環境では、停電はいくつかのセキュリティ問題につながる可能性がある。劇場又は映画館等、人が多く集まる場所では、停電、異常な明滅等、照明デバイスの正常でない挙動が群衆を混乱させ、深刻な事態につながる可能性がある。人が働いている工場では、照明デバイスのこのような異常は人命に関わる可能性がある。これらは、コネクテッドライティングシステムのセキュリティが非常に不可欠であり、セキュリティ侵害が金銭的な影響、ましては人命の危険につながる可能性があるという状況のいくつかの例にすぎない。他の例も考えられ得る。本発明は、これらのセキュリティ上の妥協が回避されることができるような、照明ネットワークの動作に対する強化されたセキュリティを提供する。

【0038】

図１は、照明ネットワーク１１０を含むシステム１００を概略的且つ例示的に示している。この例では、照明ネットワーク１１０は、３つの照明デバイス１１１～１１３を含む。照明ネットワーク１１０は、１つ以上の照明デバイスを含んでもよい。照明デバイス１１１～１１３は、環境を照らすのに適した光を放出するように構成されるデバイス又は構造であり、当該目的に適した規模の照明を提供する、又は実質的に貢献する。照明デバイス１１１～１１３は、ＬＥＤベースのランプ、ガス放電ランプ又はフィラメントバルブ等、少なくとも１つの光源又はランプ、及び、任意選択的に、任意の関連する支持体、ケーシング又は他のこのようなハウジングを含む。照明デバイス１１１～１１３の各々は、任意の様々な形態、例えば、天井取付け照明器具、壁取付け照明器具、ウォールウォッシャー(wall washer)、又は自立した照明器具等の形態をとってもよい（照明器具は、必ずしもすべてが同じタイプである必要はない）。

【0039】

照明ネットワーク１１０はさらに、ローカルコントローラ１１５と、ローカルコントローラ１１５に含まれるように例示されている通信ユニット１１６とを含む。しかしながら、通信ユニット１１６は、ローカルコントローラ１１５の外部にあることもできる。通信ユニット１１６は、照明ネットワーク１１０から通信信号を受信する及び照明ネットワーク１１０に通信信号を送信するために使用されるゲートウェイであることができる。ゲートウェイは、ある個別のネットワークから別のネットワークにデータを流すことを可能にする、ネットワークに使用されるネットワークハードウェアである。照明ネットワーク１１０はさらに、例えば、（図示しない）センシングデバイス、火災警報器、暖房、換気及び冷房のためのＨＶＡＣ機器等を含んでもよい。センシングデバイスは、（ＰＩＲセンサ等の）モーションセンサ、周囲光レベルを検出するための光センサ、温度センサ、湿度センサ、ＣＯ_２センサ等のガスセンサ、粒子計測センサ、音声センサ、カメラ等の撮像センサ等を含んでもよい。アプリケーション又は状況に応じて、複数のセンサタイプの異なる組み合わせが可能である。

【0040】

ローカルコントローラ１１５は、照明デバイス１１１～１１３の動作を制御するように構成されてもよい。ローカルコントローラ１１５は、スイッチ、例えば、レガシー壁スイッチであってもよい。ローカルコントローラ１１５は、センシングデバイス、例えば、温度センサ、存在センサであってもよく、センシング信号を生成するように構成されてもよく、照明デバイス１１１～１１３は、生成されたセンシング信号に基づいて制御されるように構成されてもよい。ローカルコントローラ１１５は、有線手段又は無線手段、例えば、Ｗｉ－Ｆｉ、Ｂｌｕｅｔｏｏｔｈ又はＺｉｇｂｅｅ等の無線プロトコルを使用して、照明デバイス１１１～１１３を制御するように構成されてもよい。ローカルコントローラ１１５は、コンピュータソフトウェアであってもよく、コンピュータソフトウェアは、プログラムされたルールに基づいてもよい。ローカルコントローラ１１５は、照明デバイス１１１～１１３の各々に実装されてもよい。また、ローカルコントローラ１１５は、照明デバイス１１１～１１３の外部に実装されてもよい。

【0041】

ローカルコントローラ１１５はさらに、プロセッサ（図示せず）及びメモリ（図示せず）を含んでもよく、ローカルコントローラ１１５は、単一のチップ若しくは集積回路、又は複数のチップ若しくは集積回路で設けられてもよく、任意選択的に、チップセット、特定用途向け集積回路（ＡＳＩＣ：application-specific integrated circuit）、フィールドプログラマブルゲートアレイ（ＦＰＧＡ：field-programmable gate array）、デジタルシグナルプロセッサ（ＤＳＰ：digital signal processor）、グラフィックスプロセッシングユニット（ＧＰＵ：graphics processing unit）等として設けられてもよい。

【0042】

システム１００はさらに、照明ネットワーク１１０の外部にある、外部ネットワーク１２０、１３０を含んでもよい。これらのネットワーク１２０～１３０は、照明ネットワークとして例示されているが、他の形態のネットワーク、例えば、コンピュータネットワークであってもよい。外部ネットワーク１２０は、３つの照明デバイス１２１～１２３と、コントローラ１２５と、コントローラ１２５に含まれるように例示されている通信ユニット１２６とを含む。しかしながら、通信ユニット１２６は、ローカルコントローラ１２５の外部にあることもできる。通信ユニット１２６は、外部ネットワーク１２０から通信信号を受信する及び外部ネットワーク１２０に通信信号を送信するために使用されるゲートウェイであることができる。外部ネットワーク１３０は、２つの照明デバイス１３１～１３２と、コントローラ１３５と、コントローラ１３５に含まれるように例示されている通信ユニット１３６とを含む。しかしながら、通信ユニット１３６は、ローカルコントローラ１３５の外部にあることもできる。通信ユニット１３６は、外部ネットワーク１３０から通信信号を受信する及び外部ネットワーク１３０に通信信号を送信するために使用されるゲートウェイであることができる。外部ネットワーク１２０～１３０はさらに、例えば、センシングデバイス（図示せず）、暖房、換気及び冷房のためのＨＶＡＣ機器（図示せず）等を含んでもよい。

【0043】

システム１００はさらに、外部コントローラ１５５と、外部コントローラ１５５に含まれるように例示されている通信ユニット１５６とを含んでもよい。外部コントローラ１５５は、照明ネットワーク１１０の外部にある。外部コントローラ１５５は、この例示的な図では、リモートサーバ１４０に位置するように示されている。外部コントローラ１５５は、外部ネットワーク１２０～１３０に位置してもよい。外部コントローラ１５５は、通信ユニット１５６を介して、照明ネットワーク１１０及び外部ネットワーク１２０～１３０と通信するように構成される。この例示的な図では、外部ネットワーク１２０～１３０は、外部コントローラ１５５を介して照明ネットワーク１１０と通信するように構成されている。代替的に、又は追加的に、照明ネットワーク１１０は、外部ネットワーク１２０～１３０との直接的な通信リンクを有してもよい。

【0044】

一例では、システム１００は、例えば、オフィス、集合住宅、ショッピングモール、食料品店、映画館、劇場、工場等の建物に位置してもよい。照明ネットワーク１１０は、建物のある部屋に位置してもよい。外部ネットワーク１２０～１３０は、建物の他の部屋に位置してもよい。外部コントローラ１５５は、例えば、携帯電話、ラップトップ又はタブレット等のユーザデバイス、クラウド、インターネット等、リモートサーバ１４０に位置してもよい。外部コントローラ１５５は、換気、照明、電力システム、消防システム、セキュリティシステム等の建物の機械及び電気機器を制御及び監視する、建物に設置されるコンピュータベースの制御システムである、ビルオートメーションシステム（ＢＡＳ：building automation system）としても知られる、ビル管理システム（ＢＭＳ：building management system）であってもよい。

【0045】

別の例では、システム１００は、屋外環境、例えば、町又は都市に位置してもよい。このようなシステム１００の例は、スマート街路灯を含む街路照明マネジメントであるＰｈｉｌｉｐｓ ＣｉｔｙＴｏｕｃｈである。照明ネットワーク１１０は、都市のある町に位置してもよく、例えば街灯として、照明デバイス１１１～１１３を含んでもよい。外部ネットワーク１２０～１３０は、都市の他の町に位置してもよい。外部コントローラ１５５は、街路照明を遠隔で監視、制御及び管理するソフトウェアシステム等、リモートサーバ１４０に位置してもよい。

【0046】

照明ネットワーク１１０は、外部コントローラ１５５及び外部ネットワーク１２０～１３０とのネットワーク接続性を有し得、これは、照明ネットワーク１１０をセキュリティ上の脅威に対して脆弱にする。照明ネットワーク１１０及び／又は外部ネットワーク１２０～１３０に対するサイバー攻撃は、物理的なサービス及び照明インフラストラクチャを麻痺させる可能性がある。具体的には、照明デバイス１１１～１１３が限られた計算能力及びメモリ容量を有することを鑑みて、照明デバイス１１１～１１３が提供し得るものより多くのリソースを必要とする複雑な暗号アルゴリズムを使用することが困難である。本発明の目的は、照明ネットワーク１１０のセキュアな動作を提供する方法を提示することであり、当該方法は、図２に概略的且つ例示的に示されている。

【0047】

図２は、照明ネットワーク１１０のセキュアな動作を提供する方法２００の一実施形態を示すフローチャートを概略的且つ例示的に示している。決定ステップ２１０では、照明ネットワーク１１０のコンフィギュレーション状態が決定される。コンフィギュレーション状態の決定は、使用されているソフトウェアのバージョン又は照明ネットワークのデバイス設定の値を決定することを含んでもよい。決定２１０は、外部コントローラ１５５及び／又はローカルコントローラ１１５で実行されてもよい。照明ネットワーク１１０のコンフィギュレーション状態は、照明ネットワーク１１０の照明デバイス１１１～１１３のコンフィギュレーション状態であってもよい。照明ネットワーク１１０のコンフィギュレーション状態は、照明デバイス１１１～１１３の個々のコンポーネント、例えば、ドライバ、ネットワークチップ（トランシーバ）、マイクロコントローラ等のコンフィギュレーション状態であってもよい。照明ネットワーク１１０のコンフィギュレーション状態は、ローカルコントローラ１１５又は照明ネットワーク１１０における他の要素のコンフィギュレーション状態であってもよい。照明ネットワーク１１０のコンフィギュレーション状態は、上記の場合のいずれかに読み替えられる。

【0048】

コンフィギュレーションは、ソフトウェア及び／又はハードウェア等、要素の機能的構成(functional arrangement)を含んでもよく、コンフィギュレーション状態は、デバイス設定、ソフトウェア及び／又はハードウェアのバージョン等、一部又はすべてのこのような要素の表現(representation)であってもよい。コンフィギュレーションは、照明ネットワーク１１０に格納されるソフトウェア又はデータを含んでもよく、コンフィギュレーション状態は、例えば、ソフトウェアのバージョン又はコンフィギュレーションパラメータ(configuration parameter)の値であってもよい。コンフィギュレーションは、照明ネットワーク１１０のファームウェアであってもよく、コンフィギュレーション状態は、ファームウェアのバージョンであってもよい。ファームウェアは、照明ネットワーク１１０の読み取り専用メモリにプログラムされる永続的なソフトウェアであり、方法２００はさらに、ファームウェアの現在のバージョンを決定すること２１０を含む。コンフィギュレーションは、コンフィギュレーションパラメータ及び／又はデバイス設定等のデータであってもよく、例えば、照明デバイスは、特定の光レンダリング機能に特定のサイズのメモリを割り当てるように構成されてもよい。

【0049】

照明ネットワーク１１０のコンフィギュレーション状態を決定するステップ２１０は、トリガに基づいてもよく、トリガ生成は、トリガが周期的に、ランダムな時点で又は所定の時点で生成されるような時間ベースのものであってもよい。トリガ生成のための所定の時点は、ユーザによって設定されてもよく、又は、照明ネットワーク１１０からの履歴データに基づいて自動的に生成されてもよい。

【0050】

トリガ生成は、悪意のあるアクティビティが照明ネットワークに観察される場合にトリガが生成され得るようなイベントベースのものであってもよい。例えば、ネットワークトラフィック内でマルウェアが動作している等、悪意のあるアクティビティを検出するためにネットワークトラフィックが監視されてもよい。マルウェアは、ネットワークに損害を与えるように意図的に設計されるソフトウェアである。マルウェアモデルは、攻撃者がネットワーク内の最初の足がかりを得るために使用するゼロデイエクスプロイト、悪意のあるツール、既知及び未知のマルウェア等のテルテール兆候(tell-tale sign)について生成される。悪意のあるアクティビティは、照明ネットワーク１１０からの異常検出を用いて観察されてもよい。ネットワークトラフィックを監視するためにビジュアライゼーションツールが使用されてもよい。システムがこのような悪意のあるアクティビティを検出する場合、照明ネットワーク１１０のコンフィギュレーション状態を決定するトリガが生成されてもよい。代替的に、イベントは、同様のネットワークに対する最近のサイバー攻撃又は脆弱なコンフィギュレーションに起因するサイバー攻撃の可能性に関する情報であってもよい。

【0051】

トリガは、例えば、ソフトウェア及び／又はデバイス設定等、更新されたコンフィギュレーションの可用性のインディケーションを受ける場合に生成されてもよい。更新されたコンフィギュレーションは、通常、パッチで提供される。パッチは、コンフィギュレーションを更新、修正、又は改善するように設計されるコンフィギュレーションに対する変更セットである。これには、セキュリティ上の脆弱性、その他のバグを修正すること（このようなパッチは、通常、バグフィックス又はバグ修正と呼ばれる）、及び、ユーザビリティ又はパフォーマンスを改善することが含まれる。

【0052】

方法２００はさらに、決定されたコンフィギュレーション状態を分析すること２２０を含んでもよい。決定されたコンフィギュレーション状態の分析２２０は、照明ネットワーク１１０の脆弱性に基づいてもよい。分析２２０は、外部コントローラ１５５及び／又はローカルコントローラ１１５において実行されることができる。分析２２０は、ネットワーク挙動分析における異常検出を用いて実行される。ネットワーク挙動分析（ＮＢＡ：Network Behavior Analysis）は、トラフィックを監視し、通常とは異なるアクション又は通常動作からの逸脱に注意することによりネットワークのセキュリティを強化するやり方である。従来の侵入防止システムのソリューションは、パケット検査、シグネチャ検出、リアルタイムブロッキングを用いてネットワークの境界を防御している。ＮＢＡプログラムは、ネットワーク内で何が起こっているかをウォッチし、オフライン分析を支援するために多くのポイントからのデータを集約する。正常なトラフィックのベンチマークを確立した後、ＮＢＡプログラムはネットワークアクティビティをパッシブに監視し、脅威の存在を示す可能性のある未知のパターン、新しいパターン又は通常とは異なるパターンにフラグを立てる。

【0053】

例えばＮＢＡにおける、異常検出は、以下に説明されるように、統計的方法、ルールベースの方法、距離ベースの方法、プロファイリングベースの方法、モデルベースの方法のうちの少なくとも１つを用いてもよい。

【0054】

統計的方法：統計的方法は、経時的に特定の変数（例えば、侵入検出ドメインにおける各セッションのログイン時間及びログアウト時間）を測定することによりユーザ又はシステム挙動を監視する。ベーシックモデルは、これらの変数の平均値を保持し、変数の標準偏差に基づいて閾値を超えるかどうかを検出する。また、より高度な統計モデルは、長期的な及び短期的なユーザアクティビティのプロファイルを比較する。

【0055】

距離ベースの方法：距離ベースのアプローチは、統計的外れ値検出アプローチの制約を克服しようとするものであり、ポイント間の距離を計算することにより外れ値を検出する。いくつかの距離ベースの外れ値検出アルゴリズムが、ネットワークトラフィックにおける異常を検出するために使用されている。

【0056】

ルールベースの方法：異常検出に用いられるルールベースのシステムは、ルールのセットによってユーザ、ネットワーク及び／又はコンピュータシステムの通常の挙動を特徴づける。

【0057】

プロファイリングベースの方法：プロファイリング方法では、異なるタイプのネットワークトラフィック、ユーザ、プログラム等について通常の挙動のプロファイルが構築され、そこからの逸脱が侵入とみなされる。

【0058】

モデルベースの方法：モデルベースのアプローチでは、異常は、通常の挙動を表すモデルに対する逸脱として検出される。

【0059】

方法２００はさらに、分析２２０に基づいて照明ネットワーク１１０の動作モードを通常モードとセキュアードモードとの間で切り替えること２３０を含んでもよい。

【0060】

通常モードにおいて、照明ネットワーク１１０は、外部コントローラ１５５に動作可能に接続され、照明デバイス１１１～１１３の光レンダリング機能は、所定の機能セットに従って外部コントローラ１５５によって制御される。外部コントローラ１５５は、１つ以上の照明デバイス１１１～１１３の光レンダリング機能を制御してもよい。所定の機能セットは、環境を照らすこと、及び／又は、照明デバイス１１１～１１３の１つ以上の光源の色、色温度、強度、ビーム幅、ビーム方向、照度、その他のパラメータのうちの１つ以上を変更することを含んでもよい。通常モードにおいて、外部コントローラ１５５は、照明ネットワーク１１０のコンフィギュレーション状態を変更してもよい。通常モードにおいて、照明ネットワーク１１０は、情報、例えば、センシングデータ、状態データ、制御データ、コンフィギュレーションデータ、診断データ、メンテナンス要求、データ処理要求を外部コントローラ１５５に伝達するように構成されてもよい。情報は、例えば、制御、メンテナンス、診断、寿命末期（ＥｏＬ：End-of-Life）分析等のために情報が処理されるように、外部コントローラ１５５に向けられる。外部コントローラ１５５は、クラウド等、リモートサーバ１４０に位置してもよく、これは、リモートサーバ１４０で情報を処理する計算上の利点を提供する。

【0061】

セキュアードモードにおいて、照明デバイス１１１～１１３の光レンダリング機能は、所定の機能セットのサブセットに従って外部コントローラ１５５によって制御される。例えば、所定の機能セットのサブセットは、環境を照らすこと、及び／又は、照明強度を変更することを含んでもよい。一例として、セキュアードモードにおいて、照明ネットワーク１１０は、外部コントローラ１５５とだけ通信するように構成されてもよく、外部ネットワーク１２０～１３０と通信するように構成されなくてもよい。別の例として、セキュアードモードにおいて、外部コントローラ１５５に向けられる情報は、ローカルコントローラ１１５に格納され、前記情報は、通常モードの復帰時に伝達されてもよい。情報は、ローカルコントローラ１１５においてローカルに処理されてもよい。照明ネットワークは、セキュリティハザードのタイプ及び／又は必要とされるコンフィギュレーションをアドバタイズするように構成されてもよい。分析２２０に基づいて、ローカルコントローラ１１５は、照明ネットワーク１１０がさらされている脆弱性及び／又は脆弱性に対処し得る潜在的なコンフィギュレーションをアドバタイズしてもよい。ネットワークにおいて、セキュリティフィックス、例えば、パッチが、コンフィギュレーション状態を変更するために使用される。パッチは、セキュリティ脆弱性の問題を修正するためのものであるが、パッチの設計が悪いと、場合によっては新たな問題を引き起こす可能性がある。したがって、ローカルコントローラ１１５は、以前のパッチ又は異なるパッチが適していることをアドバタイズしてもよい。

【0062】

セキュアードモードにおいて、照明ネットワーク１１０はさらに、外部コントローラ１５５から動作可能に切断されるように構成されてもよく、光レンダリング機能は、ローカルコントローラ１１５によって制御されてもよい。この例では、所定の機能セットのサブセットは、空のセット(empty set)であり、すなわち、外部コントローラ１５５は、照明デバイス１１１～１１３の光レンダリング機能を制御しない。空のセット又はヌルセット(null set)は、要素を持たない固有のセットである。この例では、照明ネットワーク１１０と外部ネットワーク１２０～１３０との通信が直接であっても、又は外部コントローラ１５５を介していても、照明ネットワーク１１０は、外部ネットワーク１２０～１３０からも切断されてもよい。ローカルコントローラ１１５は、照明デバイス１１１～１１３の動作を制御するように構成されてもよい。照明ネットワーク１１０は、情報、例えば、センシングデータ、状態データ、制御データ、コンフィギュレーションデータ、診断データ、メンテナンス要求、データ処理要求を外部コントローラ１５５に伝達しなくてもよい。外部コントローラ１５５に向けられる情報は、ローカルコントローラ１５５に格納されてもよく、情報は、ローカルコントローラ１５５においてローカルに、例えば、制御、メンテナンス、診断、寿命末期（ＥｏＬ：End-of-Life）分析等のために処理されてもよい。ローカルコントローラ１１５は、制御及びメンテナンス等、情報処理のサブセットを実行してもよい。情報は、通常モードで伝達されてもよい。システム１００が建物である例では、ローカルコントローラ１１５は、照明デバイス１１１～１１３の光レンダリング機能を制御するように構成される、ある部屋のスイッチであってもよい。外部コントローラ１５５、例えば、建物の中央制御と、外部ネットワーク１２０～１３０、例えば、他の部屋の照明ネットワークは、この例では、照明ネットワーク１１０から切断される。

【0063】

図３は、照明ネットワークのセキュアな動作を提供する方法３００の他の実施形態を示すフローチャートを概略的且つ例示的に示している。決定ステップ２１０において、照明ネットワーク１１０のコンフィギュレーション状態が決定され、決定されたコンフィギュレーション状態はステップ２２０で分析され、分析２２０は、決定されたコンフィギュレーション状態が変更を必要とするかどうかを検出すること３２５を含む。決定されたコンフィギュレーション状態は、照明ネットワークが脆弱であることが検出される場合、例えば、ネットワークトラフィックに異常が検出される場合、決定された構成と比較してより新しいコンフィギュレーションが利用可能である場合、決定されたコンフィギュレーション状態が性能不足の(under-performing)コンフィギュレーションであり、セキュリティリスクにさらされていることが知られている場合等に変更を必要としてもよい。異常の場合、ネットワークトラフィックが、ネットワークトラフィック内でマルウェアが動作している等、悪意のあるアクティビティを検出するために監視される。

【0064】

ローカルコントローラ１１５及び／又は外部コントローラ１５５は、更新されたコンフィギュレーションの可用性のインディケーションを受けてもよい。検出するステップ３２５では、決定されたコンフィギュレーション状態が、利用可能なコンフィギュレーション状態と比較されてもよい。例えば、コンフィギュレーションはファームウェアであってもよく、インストールされたファームウェアのバージョンが、ファームウェアの現在利用可能なバージョンと比較される。インストールされたファームウェアが古いバージョンである場合、検出ステップ３２５は、コンフィギュレーションが変更を必要としていることを示す。代替的に、例えば、決定されたコンフィギュレーションに、照明ネットワーク１１０をセキュリティ侵害に対して脆弱にするようなバグが発見される場合、検出ステップ３２５は、コンフィギュレーションが変更を必要としていることを示す。

【0065】

方法３００はさらに、検出３２５に基づいて照明ネットワークの動作モードを通常モードからセキュアードモードに切り替えること３３０を含んでもよい。ステップ３４０では、照明ネットワーク１１０のコンフィギュレーションが変更される。現在利用可能なコンフィギュレーションが決定されたコンフィギュレーションと比較して新しい場合、照明ネットワーク１１０のコンフィギュレーションは更新される。悪意のあるアクティビティが検出される場合、コンフィギュレーションは、検出された悪意のあるアクティビティに対するセキュリティを提供するより適切なバージョンに変更されてもよい。また、決定されたコンフィギュレーション状態はセキュリティ上脆弱になりがちであることが示される場合、コンフィギュレーションは、より良いセキュリティを提供し、脆弱ではない、異なるコンフィギュレーション、例えば、より新しい又はより古いコンフィギュレーションに変更されてもよい。コンフィギュレーションの変更は、ローカルコントローラ１１５及び／又は外部コントローラ１５５によって実行されてもよい。コンフィギュレーションを変更するプロセスは、図４に概略的且つ例示的に示されている。

【0066】

方法３００はさらに、コンフィギュレーションが変更された場合に動作モードをセキュアードモードから通常モードに切り替えること３５０を含んでもよい。潜在的なセキュリティ脅威が処置され、セキュリティ違反に対する照明ネットワーク１１０の脆弱性が対処されると、照明ネットワーク１１０は、通常モードに戻される。照明ネットワーク１１０は、テスト期間中通常モードに維持され、ネットワークトラフィックが厳密に観察されてもよい。脆弱性が完全に対処されない場合、照明ネットワーク１１０は、例えば、異なるコンフィギュレーションを使用するために、再びセキュアードモードに戻されてもよい。

【0067】

図４は、照明ネットワーク４１０と、照明ネットワーク４１０のコンフィギュレーションを変更するための一実施形態を示すローカルコントローラ４１５とを概略的且つ例示的に示している。照明ネットワーク４１０は、照明デバイス４１１～４１３と、ローカルコントローラ４１５と、ローカルコントローラ４１５に含まれるように例示されている通信ユニット４１６とを含んでもよい。コンフィギュレーションの変更は、例えばトリガに基づいて、自動的、又は、例えばユーザ入力に基づいて、手動であってもよい。一実施形態では、照明ネットワーク４１０のコンフィギュレーションは、コンフィギュレーションを受信及び格納するように構成されてもよい、ローカルコントローラ４１５を介して変更されてもよい。ローカルコントローラ４１５は、通常モードにおいてコンフィギュレーションを受信するように構成されてもよく、通常モードにおいて照明ネットワーク４１０のコンフィギュレーションを変更するように構成されてもよい。代替的に、ローカルコントローラ４１５は、通常モードにおいてコンフィギュレーションを受信するように構成されてもよく、セキュアモードにおいて照明ネットワーク４１０のコンフィギュレーションを変更するように構成されてもよい。さらに、ローカルコントローラ４１５は、セキュアードモードにおいてコンフィギュレーションを受信及び変更するように構成されてもよい。

【0068】

代替的に、外部コントローラ４５５が、照明ネットワーク４１０のコンフィギュレーションを変更するように構成されてもよい。この例示的な図における外部コントローラ４５５は、コンフィギュレーションの可用性を示す及びコンフィギュレーションを変更するためのユーザインターフェースを含む、ユーザデバイス４５５、例えば、携帯電話、タブレット、ラップトップに位置するように示されている。外部コントローラ４５５は、コンフィギュレーションを受信するために、リモートサーバ、例えば、インターネットに接続されてもよい。外部コントローラ４５５は、照明ネットワーク４１０の通信ユニット４１６に動作可能に接続されてもよい。一実施形態では、外部コントローラ４５５は、無線トランシーバを含み、Ｗｉ－Ｆｉ、Ｂｌｕｅｔｏｏｔｈ又はＺｉｇｂｅｅ等のプロトコルを使用して、無線周波数での通信を提供する、通信ユニット４１６に無線接続されてもよい。コンフィギュレーションは、通常モードで又はセキュアードモードで外部コントローラ４５５を介して変更されてもよい。

【0069】

システム１００の例は建物である。この例ではユーザのモバイルデバイスである外部コントローラ４５５は、Ｗｉ－Ｆｉネットワークに接続され、ソフトウェア等のコンフィギュレーションを受信する。モバイルデバイスは、例えば、Ｗｉ－Ｆｉリンクを介して、通信ユニット４１６、例えば、ゲートウェイと通信し、コンフィギュレーションの可用性を示す。照明デバイス４１１～４１３のコンフィギュレーション状態が変更を必要とすると判断される場合、ゲートウェイは、例えば、Ｚｉｇｂｅｅリンクを介して、照明デバイス４１１～４１３と通信する。モバイルデバイスは、照明ネットワーク４１６のゲートウェイを介して照明デバイス４１１～４１３のコンフィギュレーションを変更する。一実施形態では、モバイルデバイスは、コンフィギュレーション状態を変更するために認証を必要としてもよい。認証は、パスワード、ピンコード、指紋等のうちの１つ以上を必要としてもよい。認証は、単要素認証又は多要素認証であってもよい。ローカルコントローラは、照明デバイス４１１～４１３と、例えば、無線又は有線の通信リンクを有してもよい、ローカルユーザデバイス（図示せず）に含まれてもよい。ローカルユーザデバイスは、例えば、通常モードにおいて、ソフトウェア等のコンフィギュレーションを受信してもよく、例えば、セキュアードモードにおいて、照明デバイス４１１～４１３のコンフィギュレーションを変更してもよい。

【0070】

図５は、照明ネットワークのセキュアな動作を提供するためのコントローラ５１０を概略的且つ例示的に示している。ローカルコントローラ５１０は、プロセッサ５１５と、通信ユニット５１６と、入力インターフェース５１７及び出力インターフェース５１８と、メモリ５３０とを含んでもよい。プロセッサ５１５は、方法２００～３００のステップを実行するように構成される。コントローラ５１０は、壁パネル、デスクトップコンピュータ端末、ましてはラップトップ、タブレット又はスマートフォン等のポータブル端末等、照明ネットワーク１１０及び／又は外部コントローラ１５５とは別個のユニットに実装されてもよい。代替的に、コントローラ５１０は、照明ネットワーク１１０又は外部コントローラ１５５に組み込まれてもよい。さらに、コントローラ５１０は、単一のユニットで、又は、複数の別個のユニットの間で分散される分散機能（例えば、１つ以上の地理的サイトにある複数のサーバユニットを含む分散サーバ、又は照明ネットワーク１１０の間若しくは照明ネットワーク１１０及び外部コントローラ１５５の間で分散される分散制御機能）の形態で実装されてもよい。さらに、コントローラ５１０は、（１つ以上のメモリデバイスを含む）メモリ上に格納され、（１つ以上の処理ユニットを含む）プロセッサ上での実行のために構成されるソフトウェアの形態で実装されてもよく、又は、コントローラ５１０は、専用のハードウェア回路、又は、ＰＧＡ若しくはＦＰＧＡ等のコンフィギュラブル若しくはリコンフィギュラブルな回路の形態、又はこれらの任意の組み合わせで実装されてもよい。

【0071】

方法２００～３００は、コンピュータプログラムプロダクトがコントローラ５１０のプロセッサ５１５等のコンピューティングデバイスの処理ユニット上で実行された場合、コンピュータプログラムプロダクトのコンピュータプログラムコードによって実行されてもよい。

【0072】

上述した実施形態は本発明を限定するものではなく、例示するものであり、当業者は添付の特許請求の範囲から逸脱することなく多くの代替的な実施形態を設計できることに留意されたい。

【0073】

請求項では、括弧内のいかなる参照符号も、その請求項を限定するものとして解釈されるべきではない。動詞「含む（comprise）」及びその活用形の使用は、請求項に記述されたもの以外の要素又はステップが存在することを排除するものではない。要素に先行する冠詞「１つの（ａ）」又は「１つの（ａｎ）」は、複数のそのような要素が存在することを排除するものではない。本発明は、いくつかの個別要素を含むハードウェアによって、及び、好適にプログラムされたコンピュータ又は処理ユニットによって実装されてもよい。いくつかの手段を列挙するデバイスの請求項では、これらの手段のうちのいくつかは、同一のハードウェアのアイテムによって具現化されてもよい。特定の手段が、互いに異なる従属請求項内に列挙されているという単なる事実は、これらの手段の組み合わせが、有利に使用され得ないことを示すものではない。

【0074】

本発明の態様は、コンピュータにより実行され得るコンピュータ可読記憶デバイスに記憶されたコンピュータプログラム命令の集合体であってもよいコンピュータプログラムプロダクトにおいて、実施されてもよい。本発明の命令は、スクリプト、解釈可能プログラム、ダイナミックリンクライブラリ（ＤＬＬ）又はＪａｖａクラスを含むが、これらに限定されない任意の解釈可能又は実行可能コードメカニズムであってもよい。命令は、完全な実行可能プログラム、部分実行可能プログラム、既存のプログラムに対する修正（例えば更新）、又は既存のプログラムに対する拡張（例えば、プラグイン）として提供され得る。さらに、本発明の処理の一部は、複数のコンピュータ若しくはプロセッサ、又は「クラウド」にわたって分散されてもよい。

【0075】

コンピュータプログラム命令を格納するのに適した記憶媒体には、ＥＰＲＯＭ、ＥＥＰＲＯＭ及びフラッシュメモリデバイス、内部及び外部ハードディスクドライブ等の磁気ディスク、リムーバブルディスク並びにＣＤ－ＲＯＭディスクを含むが、これらに限定されないすべての形態の不揮発性メモリが含まれる。コンピュータプログラムは、斯様な記憶媒体上で頒布されてもよく、又はＨＴＴＰ、ＦＴＰ、電子メール、又はインターネット等のネットワークに接続されるサーバを介してダウンロード用に提供されてもよい。

【図1】

【図2】

【図3】

【図4】

【図5】