特表 2024-514375 認可されたユーザを機器、特に発電所用の機器にログインさせる方法、および機器を備えた発電所

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公表特許公報(A)

(11)【公表番号】

(43)【公表日】2024-04-02

(54)【発明の名称】認可されたユーザを機器、特に発電所用の機器にログインさせる方法、および機器を備えた発電所

(51)【国際特許分類】

   G06F 21/31 20130101AFI20240326BHJP

   G06F 21/60 20130101ALI20240326BHJP

   H04L 9/08 20060101ALI20240326BHJP

【ＦＩ】

G06F21/31

G06F21/60 360

H04L9/08 C

H04L9/08 E

【審査請求】未請求

【予備審査請求】未請求

(21)【出願番号】P 2022577103

(86)(22)【出願日】2022-04-08

(85)【翻訳文提出日】2022-12-14

(86)【国際出願番号】 EP2022059483

(87)【国際公開番号】W WO2022218868

(87)【国際公開日】2022-10-20

(31)【優先権主張番号】102021109253.1

(32)【優先日】2021-04-13

(33)【優先権主張国・地域又は機関】DE

(81)【指定国・地域】

【公序良俗違反の表示】

（特許庁注：以下のものは登録商標）

１．ＢＬＵＥＴＯＯＴＨ

２．ＺＩＧＢＥＥ

(71)【出願人】

【識別番号】515078095

【氏名又は名称】エスエムエイ ソーラー テクノロジー アクティエンゲゼルシャフト

【氏名又は名称原語表記】ＳＭＡ Ｓｏｌａｒ Ｔｅｃｈｎｏｌｏｇｙ ＡＧ

(74)【代理人】

【識別番号】110001302

【氏名又は名称】弁理士法人北青山インターナショナル

(72)【発明者】

【氏名】ベルガー，シュテファン

(72)【発明者】

【氏名】ハンケ，インゴ

(72)【発明者】

【氏名】クライン，ジェンス

(72)【発明者】

【氏名】シュローテ，ディルク

(72)【発明者】

【氏名】シーガー，マレク

(72)【発明者】

【氏名】ティール，ライムント

(72)【発明者】

【氏名】ウィッシャー，ミルコ

(57)【要約】

本出願は、サービスゲートウェイ（１２）によって、ユーザ（１４）を機器（１０）にログインさせる方法であって、ユーザ（１４）の機器（１０）に対するアクセス認可が、サービスゲートウェイ（１２）に格納される、方法において、サービスゲートウェイ（１２）でユーザ（１４）を認証するステップと、機器（１０）の識別子を指定してサービスゲートウェイ（１２）に対してユーザ（１４）による機器アクセス要求を送信するステップと、サービスゲートウェイ（１２）に格納されている機器シークレットを、機器（１０）に格納されている機器シークレットのコピーと、ＳＲＰプロトコルを介して比較するステップであって、比較は、ユーザ（１４）のアクセス機器（１６）とサービスゲートウェイ（１２）との間のデータ接続、およびアクセス機器（１６）と機器（１０）との間のデータ接続を介して実行される、ステップとを含む、方法に関する。比較が成功した場合、機器（１０）とサービスゲートウェイ（１２）との間でセッション鍵が合意される。本出願はさらに、発電所に関する。
【選択図】図２

【特許請求の範囲】

【請求項1】

サービスゲートウェイ（１２）によって、認可されたユーザ（１４）を機器（１０）、特に発電所用の機器（２０）にログインさせる方法であって、前記ユーザ（１４）の前記機器（１０）に対するアクセス認可が、前記サービスゲートウェイ（１２）に格納される、方法において、
前記サービスゲートウェイ（１２）で前記ユーザ（１４）を認証するステップと、
前記機器（１０）の識別子を指定して前記サービスゲートウェイ（１２）に対して前記ユーザ（１４）による機器アクセス要求を送信するステップと、
前記サービスゲートウェイ（１２）に格納されている機器シークレットを、前記機器シークレットを使用して生成され、前記機器（１０）に格納されている前記機器シークレットのコピーとＳＲＰプロトコルを介して比較するステップであって、前記比較は、前記ユーザ（１４）のアクセス機器（１６）と前記サービスゲートウェイ（１２）との間のデータ接続、および前記ユーザ（１４）の前記アクセス機器（１６）と前記機器（１０）との間のデータ接続を介して実行される、ステップとを含み、
前記比較が成功した場合、ＳＲＰプロトコルを介して前記機器（１０）と前記サービスゲートウェイ（１２）との間でセッション鍵が合意され、
前記ユーザ（１４）は、前記機器（１０）にログインする、方法。

【請求項2】

前記ユーザ（１４）の認可が前記サービスゲートウェイ（１２）に格納されている限り、前記サービスゲートウェイ（１２）から前記ユーザ（１４）の前記アクセス機器（１６）に前記セッション鍵を送信するステップと、
前記セッション鍵を使用して前記機器（１０）に前記ユーザ（１４）がアクセスするステップとをさらに含む、請求項１に記載の方法。

【請求項3】

前記ユーザ（１４）は、前記ユーザ（１４）の前記アクセス機器（１６）と前記機器（１０）との間の前記データ接続を介して前記機器（１０）に対するクエリによって前記機器（１０）の前記識別子を決定する、請求項１または２に記載の方法。

【請求項4】

前記サービスゲートウェイ（１２）と前記機器（１０）との間の前記合意されたセッション鍵の送信が回避される、請求項１～３のいずれか一項に記載の方法。

【請求項5】

前記機器シークレットの前記コピーは、前記機器（１０）の製造中に生成され、前記機器（１０）に格納され、前記機器シークレットは、前記サービスゲートウェイ（１２）のデータベース（ＤＢ）に格納される、請求項１～４のいずれか一項に記載の方法。

【請求項6】

前記機器シークレットの前記コピーは、前記機器（１０）のソフトウェア更新中に、前記サービスゲートウェイで新たに生成された機器シークレットから生成され、前記新しく生成された機器シークレットのコピーは、前記機器（１０）に格納され、前記新しく生成された機器シークレット自体は、前記サービスゲートウェイ（１２）、特に前記サービスゲートウェイ（１２）の前記データベース（ＤＢ）に格納される、請求項１～５のいずれか一項に記載の方法。

【請求項7】

前記ユーザ（１４）の前記認証は、所与の期間内になされたアクセス要求の数が最大数を超えるかどうかを決定するためのチェックを含む、請求項１～６のいずれか一項に記載の方法。

【請求項8】

前記サービスゲートウェイ（１２）での前記ユーザ（１４）の前記認証は、前記ユーザ（１４）の二要素認証を含む、請求項１～７のいずれか一項に記載の方法。

【請求項9】

前記ユーザ（１４）の前記アクセス機器（１６）と前記サービスゲートウェイ（１２）との間の前記データ接続、および／または前記ユーザ（１４）の前記アクセス機器（１６）と前記機器（１０）との間の前記データ接続は、Ｐｅｒｆｅｃｔ Ｆｏｒｗａｒｄ Ｓｅｃｒｅｃｙを保証する暗号スイートを使用して、暗号化および認証されたＴＬＳ接続を介して設定される、請求項１～８のいずれか一項に記載の方法。

【請求項10】

前記機器（１０）は、発電所（２０）用の機器（１０）である、請求項１～９のいずれか一項に記載の方法。

【請求項11】

前記機器（１０）への前記ユーザ（１４）のログインの成功に続いて、前記方法は、
前記発電所（２０）の発電量の履歴データを読み取るステップ、
前記発電所（２０）の発電のパラメータを読み取るステップ、および／または
前記発電所（２０）の前記発電の前記パラメータを変更するステップを含む、請求項１０に記載の方法。

【請求項12】

前記パラメータは、前記履歴データに応じて変更される、請求項１１に記載の方法。

【請求項13】

前記パラメータは、前記ユーザ（１４）の前記アクセス機器（１６）と前記機器（１０）との間の前記データ接続を介して前記機器（１０）から受信されるデータに応じて変更される、請求項１１または１２に記載の方法。

【請求項14】

前記履歴データは、前記ユーザ（１４）の前記アクセス機器（１６）と前記機器（１０）との間の前記データ接続を介して前記機器（１０）から送信される、請求項１１～１３のいずれか一項に記載の方法。

【請求項15】

機器シークレットのコピーが格納されている機器（１０）を含み、
前記機器シークレットの前記コピーは、前記機器（１０）の機器シークレットを使用して生成されたものであり、
前記機器（１０）は、前記機器（１０）に格納された前記機器シークレットの前記コピーと、前記機器シークレットのリモートに格納されたコピーまたは前記機器シークレット自体とを、ＳＲＰプロトコルを介して比較できるように構成および設計されており、
前記機器（１０）は、前記比較が成功した場合、ユーザ（１４）が前記ＳＲＰプロトコルを介して前記機器（１０）にログインできるように設計される、発電所（２０）。

【発明の詳細な説明】

【技術分野】

【0001】

本出願は、認可されたユーザを機器、特に発電所用の機器にログインさせる方法、および発電所に関する。

【背景技術】

【0002】

発電所は、発電所の機器へのデータ接続を介した（例えば、インターネットを介した）リモートアクセスを可能にする通信インターフェースを有することができる。このタイプのデータ接続は、例えば、発電所のサービス技術者が、例えば、発電所のリモートメンテナンスを実施するために使用できる。

【0003】

ＳＲＰプロトコル（ＳＲＰ：Ｓｅｃｕｒｅ Ｒｅｍｏｔｅ Ｐａｓｓｗｏｒｄ）は、通信相手同士を認証する認証・鍵合意方式に関する。通信相手の鍵合意は、通信相手間の通信セッションを保護するセッション鍵に関する。セッション鍵自体は、通信相手間で送信されない。

【0004】

文献ＤＥ１０２００６００７７９３Ｂ３は、認証が完了すると、ユーザの認証が、ユーザをターゲット機器に進めるゲートウェイへの迂回を介して実行される、ユーザのためのアクセス方法を開示している。文献ＤＥ１０ ２０１９ １３１ ７４５ Ａ１はさらに、デジタル証明書を使用してマイクロコントローラとネットワークコンピュータとの間の安全な接続を設定する方法を示している。

【発明の概要】

【0005】

本発明の目的は、機器、特に発電所用の機器へのデータ接続を介したアクセス、特にリモートアクセスを保護することである。

【0006】

この目的は、特許請求項１の構成を有する方法および特許請求項１５の構成を有する発電所によって達成される。好ましい実施形態は、特許従属請求項に示されている。

【0007】

サービスゲートウェイによって、認可されたユーザを機器、特に発電所用の機器にログインさせる方法において、ユーザの機器に対するアクセス認可が、サービスゲートウェイに格納される。この方法は、
サービスゲートウェイでユーザを認証するステップと、
機器の識別子を指定してサービスゲートウェイに対してユーザによる機器アクセス要求を送信するステップと、
サービスゲートウェイに格納されている機器シークレットを、機器に格納されている機器シークレットのコピーとＳＲＰプロトコルを介して比較するステップとを含む。比較は、ユーザのアクセス機器とサービスゲートウェイとの間のデータ接続を介して、およびユーザのアクセス機器と機器との間のデータ接続を介して実行される。比較が成功した場合、ＳＲＰプロトコルを介して機器とサービスゲートウェイとの間でセッション鍵が合意され、ユーザは、機器にログインする。

【0008】

正確に２つの通信相手を有するＳＲＰプロトコルを使用する方法とは対照的に、ここでは３つの通信相手（機器、サービスゲートウェイ、およびユーザのアクセス機器）を使用してこの方法が実装される。

【0009】

この方法により、好ましくは多数の他の機器と共に、機器が登録されているサービスゲートウェイにログインすることにより、人（例えば、サービス技術者）に、機器への不正操作防止アクセスを提供することができる。これは、例えば機器固有のログインデータを使用して、機器上で直接ユーザの個別認証を実行する必要なしにできる。サービスゲートウェイと機器との間の直接接続なしでこの方法を実行することがさらに可能である。サービスゲートウェイには、複数の機器を登録することができる。認可されていないユーザによる機器へのアクセスを続いて認可または簡素化するデータは、ここでは交換されない。

【0010】

発電所用の機器の場合、機器は、例えば、発電所のコントローラまたはインバータとすることができ、サービスゲートウェイは、発電所のオペレータによって、および／またはコントローラまたはインバータの製造業者によって、および／または、例えばリモートメンテナンスを提供するサービスプロバイダによって提供され得る。

【0011】

特に、とりわけ次の攻撃の変種による操作を防ぐことができる。
・データ通信の傍受。
・送信データの改ざん。
・記録されたデータの繰り返し再生。
・収集されたデータによる、通信相手の偽ＩＤのシミュレーション。
・許可された使用中であっても、ユーザにより収集されたデータを悪用すること。

【0012】

ＳＲＰプロトコルは、サービスゲートウェイが機器シークレットの所有の証明を機器シークレットのコピーを所有している機器に提供した後、セッション鍵の安全な合意（特に、共通生成）を可能にする。サービスゲートウェイは、この機器シークレットの所有の証明によって、機器上で少なくとも一方的に認証され得る。機器がサービスゲートウェイに機器シークレットのコピーの所有の証明を提供することも考えられるが、必須ではない。代わりに、要求と要求に対する応答のみが比較で交換され、これにより、少なくとも機器は、サービスゲートウェイが機器シークレットを所有していることを認識できる。ここでは、交換された情報から機器シークレットまたはそのコピーを推測することはできない。

【0013】

さらに、合意されたセッション鍵もその一部も、セッション鍵の合意中には同様に送信されない。代わりに、セッション鍵の生成方法を示す情報のみが、例えば、機器シークレットまたはそのコピーの内容を参照することによって、セッション鍵の合意のために交換される。その後、セッション鍵は、機器とサービスゲートウェイで互いに独立して同じ結果で生成される。シークレットの所有の証明とセッション鍵の合意は、連続して、または共に実行できる。

【0014】

機器シークレットは、サービスゲートウェイに一度だけ存在することが好ましい。これは、その後機器に格納される機器シークレットの（好ましくは機器固有の）コピーを生成するために使用される。その結果、ＳＲＰプロトコルを使用すると、たとえコピーが侵害されたとしても、誰も機器に関してサービスゲートウェイになりすますことはできない。機器シークレットのコピーは、数学的方法によって機器シークレットから一意に生成され、機器シークレットは、既知の数学的方法を使用して機器シークレットのコピーから導出することはできない。それにもかかわらず、ＳＲＰプロトコルを使用すると、コピーの所有者は、コピーの所有者自身がこの機器シークレットを知る必要なしに、コピーを生成する機器シークレットを通信相手も所有しているかどうかをチェックできる。しかしながら、これがこの方法の安全性を低下させたとしても、コピーが機器シークレットの正確なレプリカであることも排除されない。

【0015】

セッション鍵は、セッション鍵が暗号化と暗号解読の両方に使用される対称暗号化の基礎を形成することが好ましい。セッション鍵を使用して機器とサービスゲートウェイ間のセッションを保護する他の方法も同様に考えられる。

【0016】

セッション鍵に、ユーザのアクセスの認可の範囲に関する情報を含めることも考えられる。次に、合意されたセッション鍵を介したアクセスは、そこに含まれるアクセス認可情報に従って制限され得る。これにより、サービスゲートウェイを介して機器のユーザ権限を管理できる。次に、情報は、例えば、様々なユーザ権限モデルのセッション鍵をネゴシエーションすることによって、ＳＲＰプロトコルを使用してネゴシエーションされたセッション鍵に統合できるが、ユーザのアクセス認可に一致するセッション鍵のみが、サービスゲートウェイからユーザに送信される。あるいはまた、当然のことながら、機器上でユーザ権限を管理することもできる。

【0017】

機器、サービスゲートウェイ、およびユーザのアクセス機器は、互いに離れた場所に配置されることが好ましい。したがって、機器へのユーザのリモートアクセスは、サービスゲートウェイを使用する方法によって提供できる。

【0018】

しかしながら、セキュリティを強化するために、空間的に厳しく制限された範囲を有する接続を介して（例えば、ＮＦＣ（Ｎｅａｒ Ｆｉｅｌｄ Ｃｏｍｍｕｎｉｃａｔｉｏｎ）、Ｂｌｕｅｔｏｏｔｈ、またはＺｉｇｂｅｅなどの無線リンクを介して）、ユーザと機器との間にデータ接続を設定する必要がある場合もある。

【0019】

一実施形態では、この方法はまた、
ユーザの認可がサービスゲートウェイに格納されている限り、好ましくは暗号化され認証された通信接続を介して、サービスゲートウェイからユーザのアクセス機器にセッション鍵を送信するステップと、
セッション鍵を使用して機器にユーザがアクセスするステップとを含む。したがって、認可および認証が完了すると、セッション鍵がサービスゲートウェイからユーザのアクセス機器に送信される。次のさらなる通信は、セッション鍵を使用して、ユーザのアクセス機器と機器との間で直接行われる。

【0020】

サービスゲートウェイでのユーザの認可は、例えば、ユーザのアクセス機器の特徴（特に、機器のシリアル番号、機器タイプのさらなる特徴）に基づいて定義できる。新しいユーザまたは新しいアクセス機器をサービスゲートウェイに登録し、例えば機器に対して、例えば四つ目原則に従って、アクセス権を付与することができる。

【0021】

この方法の一実施形態では、ユーザは、ユーザのアクセス機器と機器との間のデータ接続を介して、機器に対するクエリによって機器の識別子を決定する。

【0022】

この方法の一実施形態では、機器シークレットは、サービスゲートウェイのデータベースに格納される。機器シークレットのコピーは、機器の製造中に生成することができ、機器シークレットのコピーは、機器に格納することができ、機器シークレット自体は、サービスゲートウェイのデータベースに格納することができる。代替的または追加的に、機器シークレットのコピーは、機器のソフトウェア更新中に、サービスゲートウェイに格納された機器シークレットから生成することができ、機器シークレットのコピーは、機器に格納することができ、機器シークレット自体は、サービスゲートウェイ、特にサービスゲートウェイのデータベースに格納することができる。

【0023】

一実施形態では、サービスゲートウェイでのユーザの認証は、所与の期間内になされたアクセス要求の数が最大数を超えるかどうかを決定するためのチェックを含む。代替的または追加的に、サービスゲートウェイでのユーザの認証は、ユーザの二要素認証を含む。認証および認可中の機器および／またはサービスゲートウェイでのユーザのログインおよびすべてのアクティビティは、記録および監視できる。機器上で許可されるユーザの認証の数は、時間セグメント（例えば、日、月、年）を参照して制限できる。

【0024】

この方法の一実施形態では、ユーザのアクセス機器とサービスゲートウェイとの間のデータ接続、および／またはユーザのアクセス機器と機器との間のデータ接続は、Ｐｅｒｆｅｃｔ Ｆｏｒｗａｒｄ Ｓｅｃｒｅｃｙを保証する暗号スイートを使用して、暗号化および認証されたＴＬＳ接続を介して設定されるその結果、この方法の安全性はさらに向上する。

【0025】

この方法の一実施形態では、機器は、発電所用の機器であり、特に発電所のコントローラおよび／またはインバータである。このタイプの機器の場合、機器へのユーザのログインの成功に続いて、方法は、
発電所の発電量の履歴データを読み取るステップ、
発電所の発電のパラメータを読み取るステップ、および／または
発電所の発電のパラメータを変更するステップを含む。

【0026】

この方法の一実施形態では、パラメータは、履歴データに応じて変更される。これにより、例えば、履歴データから得られる発電所の現地事情に応じて、パラメータを調整することができる。

【0027】

この方法の一実施形態では、パラメータは、ユーザのアクセス機器と機器との間のデータ接続を介して機器から受信されるデータに応じて変更される。これにより、例えば、発電所のオペレータによって外部から、パラメータを調整することができる。

【0028】

この方法の一実施形態では、履歴データは、ユーザのアクセス機器と機器との間のデータ接続によって機器から送信される。その結果、例えば、発電所のオペレータは、履歴データを一元的に統合可能とすることができる。

【0029】

発電所は、機器シークレットのコピーが格納されている機器を含み、機器シークレットのコピーは、機器の機器シークレットを使用して生成されたものである。機器は、機器に格納された機器シークレットのコピーと、機器シークレットのリモートに格納された機器シークレットとを、ＳＲＰプロトコルを介して比較できるように構成および設計されており、機器は、比較が成功した場合、ユーザがＳＲＰプロトコルを介して機器にログインできるように設計される。

【図面の簡単な説明】

【0030】

以下、図面を参照して本発明を説明する。

【0031】

【図1】認可されたユーザが機器にアクセスする方法の一実施形態を示す。

【図2】アクセス方法を実装するための通信相手間の通信リンクを概略的に示す。

【発明を実施するための形態】

【0032】

図２からの符号を使用して、認可されたユーザ１４を機器１０にログインさせるための方法の例示的な実施形態が図１に示されている。この方法は、機器１０に対するユーザ１４のアクセス認可が格納されているサービスゲートウェイ１２によって実行される。この方法は、
Ｓ１）サービスゲートウェイ１２でユーザ１４を認証するステップと、
Ｓ２）機器１０の識別子を指定してサービスゲートウェイ１２に対して機器アクセス要求をユーザ１４が送信するステップと、
Ｓ３）サービスゲートウェイ１２に格納されている機器シークレットを、機器シークレットを使用して生成され、機器１０に格納されている機器シークレットのコピーとＳＲＰプロトコルを介して比較するステップであって、比較は、ユーザ１４のアクセス機器１６とサービスゲートウェイ１２との間のデータ接続、およびユーザ１４のアクセス機器１６と機器１０との間のデータ接続を介して実行される、ステップとを含む。

【0033】

成功した比較（経路「＋」）に続いて、ステップＳ４）およびＳ５）が実行される。
Ｓ４）機器１０とサービスゲートウェイ１２との間でセッション鍵が合意される。
Ｓ５）ユーザ１４は、ＳＲＰプロトコルを介して機器１０にログインする。

【0034】

ＳＲＰプロトコルによれば、機器シークレットまたは機器シークレットのコピーは、データ接続を介して送信されず、テストクエリのみが機器１０とサービスゲートウェイ１２との間で交換され、回答される。これは、いわゆる「ゼロ知識法」に相当する。

【0035】

機器シークレットは、例えばサービスゲートウェイ１２のデータベースＤＢに格納できる。機器シークレットのコピーは、機器１０の製造中に生成することができ、機器シークレットのコピーは、機器１０に格納することができ、機器シークレット自体は、サービスゲートウェイのデータベースＤＢに格納することができる。代替的または追加的に、機器シークレットのコピーは、機器１０のソフトウェア更新中に機器シークレットから生成することができ、機器シークレットのコピーは、機器１０に格納することができ、機器シークレット自体は、サービスゲートウェイ１２（特に、サービスゲートウェイ１２のデータベースＤＢ）に格納することができる。機器シークレットは、機器ごとに個別に生成することができ、データベースＤＢに格納することができるか、または同じ機器シークレットが、データベースＤＢに格納され、複数の機器またはすべての機器に対して使用される。複数の機器に対して同じ機器シークレットを使用する場合、代わりに機器シークレットのコピーの生成を個別化することができる。

【0036】

機器１０、サービスゲートウェイ１２、およびユーザ１４が図２に示されている。ユーザ１４は、アクセス機器１６を介して（例えば、インターネットを介して）データ接続を設定する。機器１０は、オペレータによって操作される発電所２０の一部である。（例えば、発電所２０のオペレータまたは発電所の所有者とすることができる）人１８は、操作１によって、機器１０へのユーザ１４のアクセス許可（すなわち認可）を与える。したがって、ユーザ１４は、認可されたユーザ１４になる。

【0037】

サービスゲートウェイ１２上でのユーザ１４の認証（好ましくは、二要素認証）は、操作２で実行される。ログインデータ（すなわち、認証）は、操作３でサービスゲートウェイ１２によってチェックされ、承認の場合、肯定的なフィードバックがユーザ１４のアクセス機器１６に送信される。したがって、図１のステップＳ１）は、操作１、操作２、および操作３を含み得る。

【0038】

操作４で、ユーザ１４は、サービスゲートウェイ１２から機器１０へのアクセスを要求する。機器１０は、例えば、シリアル番号に基づいて、識別することができる。サービスゲートウェイ１２は、機器１０にアクセスするためのユーザ１４の認可をチェックする。したがって、操作４は、図１のステップＳ２）に対応する。

【0039】

操作４ａでは、サービスゲートウェイ１２は、（例えば、機器のシリアル番号１０を用いて）データベースＤＢ内の機器シークレット１２を要求する。操作４ｂでは、機器シークレットがデータベースＤＢからサービスゲートウェイ１２に返される。

【0040】

操作５では、サービスゲートウェイ１２は、ＳＲＰプロトコルを用いて機器１０上で認証される。機器シークレットはここでチェックされる、つまり、機器シークレットのコピーに基づいて機器でチェックが実行され、機器シークレットがサービスゲートウェイ１２に存在するかどうかが判断される。図２に示すように、認証は、サービスゲートウェイ１２からアクセス機器１６へ、およびアクセス機器１６から機器１０へ、２段階通信を介して実行される。したがって、操作５は、図１のステップＳ３）に対応する。

【0041】

承認の場合、操作６でセッション鍵がネゴシエーションされる。図２に示すように、このネゴシエーションは、機器１０からアクセス機器１６へ、およびアクセス機器１６からサービスゲートウェイ１２への２段階通信を介して行われる。セッション鍵は、機器とサービスゲートウェイで同時に計算される。セッション鍵は送信されない。したがって、操作６は、図１のステップＳ４）に対応する。

【0042】

操作７では、セッション鍵は、ユーザ１４のアクセス機器１６に送信される。操作８は、セッション鍵を使用して、ユーザ１４のアクセス機器１６と機器１０との間の直接的なさらなる通信を示す。したがって、図１のステップＳ５）は、操作７および操作８を含み得る。

【符号の説明】

【0043】

１、２、３、４、４ａ、４ｂ、５、６、７、８ 操作
１０ 機器
１２ サービスゲートウェイ
１４ ユーザ
１６ アクセス機器
１８ 人
２０ 発電所
ＤＢ データベース
Ｓ１、Ｓ２、Ｓ３、Ｓ４、Ｓ５ 方法ステップ

【図1】

【図2】

【国際調査報告】