增強無線網絡中的安全性的制作方法

專利名稱：增強無線網絡中的安全性的制作方法
技術領域：
本發明總的來說涉及無線通信，更具體地說，涉及使無線網絡中的運行 安全。
背景技術：
在過程控制行業中，已知的是，使用標準通信協議使得由不同制造商制 出的設備能夠以易于使用和實現的方式彼此通信。過程控制行業中使用的一
個眾所周知的通信標準是高速可尋址遠程發射機(HART)通信基礎協議， 通常稱為HART協議。 一般而言，HART協議支持專用導線或導線組上的數 字和模擬混合信號，在專用導線或導線組上，在線過程信號(如控制信號、 傳感器測量值等)作為模擬電流信號(例如范圍從4到20毫安)被提供， 并且其中諸如設備數據、對設備數據的請求、配置數據、警報以及事件數據 等等之類的其它信號，作為疊加或復用到與模擬信號相同的導線或導線組上 的數字信號被提供。然而，HART協議當前需要使用專用、硬線通信線路， 這導致需要在加工廠內大量布線。
在過去幾年里，已經存在一種將無線技術結合到以某種有限方式包括過 程控制行業的各種行業中的發展趨勢。然而，在過程控制行業中，存在限制 無線技術的完全結合、接受和使用的巨大障礙。具體來說，過程控制工業需 要十分可靠的過程控制網絡，因為信號的丟失可能導致工廠失去控制，從而 導致災難性的后果，包括爆炸、致命化學制劑或氣體的釋放等等。例如， Tapperson等人的美國專利No. 6,236,334公開了在過程控制行業中將無線通 信作為副的或備用通信路徑使用或用于發送非關鍵性的或冗余的通信信號。 而且，在通常可以適用于過程控制行業的無線通信系統的使用上已經取得了許多進展，但是該無線通信系統尚未以在加工廠內允許或提供可靠的并且在 某些情況下完全無線的通信網絡的方式應用于過程控制行業。例如，美國專
利申請公開No. 2005/0213612、 2006/0029060和2006/0029061公開了與一般
無線通信系統相關的無線通信技術的各個方面。
顯著抑制無線通信在過程控制行業中的發展和應用的 一 個因素是改裝 與無線通信網絡一起使用的遺留設備(legacy device)的困難。在某些情況 下，設備根本不能被改裝并且需要用新的無線準備好的模型來取代。而且類 似地，由于向無線通信的轉變而致使許多支撐設施被棄用。換句話說，無線 網絡不能容易地擴展有線網絡。特別與過程控制行業有關的另外的挑戰是現 有的有線設施的高成本以及可以理.解的操作員不情愿完全用無線基礎設施 取代有線基礎設施。同時，無線網絡通常要求靜態天線或接入點以發送和接 收無線電信號，從而可能要求昂貴的基礎設施，這使得向無線通信的轉變不 太令人滿意。因此，盡管一些操作員可以認識到進行過程測量和控制的無線 方法的優點，但是許多人還是不情愿拆除現有的設施、讓完全可以運行的有 線設備退役并且購買無線設備。
造成無線標準在過程控制行業中的擴散比預期的要慢的另一因素是對 諸如過程控制系統中的技術員或操作員之類的用戶的影響。在典型的過程控 制系統運行期間，用戶可以遠程訪問用于配置、監測和控制這些設備的各種 功能的目的的獨立設備。例如，為了使得能夠通過HART協議訪問和交換信 息，根據預定的尋址方案為設備分配唯一的地址。用戶和為過程控制行業中 的操作員和技術員開發的軟件應用程序已經開始依賴于可用的無線標準不 能支持的高效尋址方案。因此，在過程控制行業中向無線標準的轉變被普遍 期望需要采用新的尋址方案、更新相應的軟件應用程序并為員工提供另外的 培訓。
另外，這些現有無線標準中的一些標準，例如IEEE 802.1 l(x) WLAN, 并不滿足過程控制行業的所有需求。例如，設備傳達通常可以具有不同傳播 延遲限制的過程和控制數據。通常，在過程控制行業中交換的關鍵數據中的一些可以要求高效、可靠、及時的傳遞，其不能總是由現有的無線協議來保 證。而且，因為過程控制行業中使用的以一些模塊用于控制非常敏感和潛在 危險的過程活動，所以適于該行業的無線標準需要提供不容易在已知無線網 絡中使用的冗余通信路徑。最后， 一些過程控制設備可以對高功率無線電信 號敏感并且可以要求無線電傳輸被限制或保持在受控良好的功率水平。同 時，可用無線標準通常依賴于發送相對較強的信號以覆蓋大的地理區域的天 線或接入點。
與有線通信協議類似，無線通信協議被期望提供高效、可靠和安全的信 息交換方法。當然，由于介質的共享和開放特征，在有線網絡中被開發以解 決這些重要問題的大多數方法并不適用于無線通信。進一步，除了在有線通 信協議之后的典型客觀事實外，無線協議還面臨關于使用無線電頻譜的同一 部分的若干網絡的干擾和共存的問題的其它要求。麻煩的是，某些無線網絡 在未得到許可或向公眾開放的頻段中運行。因此，為這種網絡服務的協議必 須能夠檢測或解決與頻率(信道)爭用、無線電資源共享和協商等等相關的 問題。
在過程控制行業中，無線通信協議的開發者面臨另外的挑戰，例如，實 現與有線設備的向后兼容、支持協議的先前有線版本，為改裝了無線通信機 的設備提供轉變服務，并且提供可同時保證可靠性和有效性的路由技術。同 時，仍然存在相當多的過程控制應用，在這些過程控制應用中存在即使有也 ^艮少的原地測量。當前，這些應用依賴于觀測的測量值(例如，水位正在上 升)或檢查(例如，空調單元、泵、風機等等的周期性維護)來發現異常情 況。為了釆取措施，操作員經常需要面對面的討論。如果利用測量和控制設 備，則可能會大大簡化這些應用中的許多應用。然而，當前的測量設備通常 需要功率、通信基礎設施、配置和支持簡直不可用的基礎設備。
在又一方面，過程控制行業要求服務特定過程控制網絡的通信協議能夠
保護該網絡免遭未經授權的訪問。無論是否惡意或無意，對過程控制網絡的
入侵可能對工廠員工產生安全風險、破壞裝置或者導致產品能力的喪失。而且，經常想要的是，保護在過程控制網絡中交換的信息免遭未經授權的讀取 或拷貝，即使當這種形式的入侵不會對網絡運行產生影響。例如，在某些行 業中的網絡設備所交換的信息可以反映產品的等級，其可以是專有性質的有 價值經濟數據。
除了保護過程控制數據免遭未經授權的讀取和寫入， 一般想要的是，保 護該數據免遭傳輸錯誤。無線通信使得某些類型的比特誤差甚至有可能更 多，當然至少是因為信號干擾和潛在的介質變化(例如障礙物的外觀、大氣 條件等等)。盡管提供無差錯通信可能在通信協議的低層上并不總是可能的， 但至少想要的是在該協議的更高層級上檢測傳輸錯誤。

發明內容
在例如過程控制工廠中使用的網狀通信網絡提供了多個網絡設備之間
(ASN )以跟蹤自從該無線網絡的形成時間以來被調度的時隙數并且通過部 分地基于ASN計數生成消息完整性編碼(MIC)來發送和接收數據。在某 些實施例中，網絡設備使用ASN值來生成服務該網狀通信網絡的通信協議 的數據鏈路層上的MIC。
在某些實施例中，該網狀通信網絡可以是無線網絡。進一步，該網絡調 度表可以包括并發重疊超幀組，并且每個超幀可以包括若干預定持續時間的 通信時隙，以便在先前的超幀循環中的所有通信時隙都發生之后每個超幀循 環馬上進行重復。直接無線連接可以形成在參與該無線網狀網絡的所述網絡 設備中的一些網絡設備對之間。在這些實施例中，網絡設備可以在永久性或 暫時性通信會話內進行通信，每個會話占用該超幀組中 一個超幀內的 一個或 更多'時隙并且使用一個或若干直接無線連接。該無線通信網絡可以通過會話 專用密鑰保護每個通信會話，并且在至少實施例中，網絡設備可以另外使用 會話專用密鑰產生該通信協議的網絡層上的MIC。
在某些實施例中，運行在該通信網絡內部或外部的安全管理器可以分配和管理會話密鑰。另外，該安全管理器可以通過管理一個或更多加入密鑰并 驗證來自正在加入的網絡設備的鑒權信息來對嘗試加入該網狀通信網絡的 網絡設備進行鑒權。該安全管理器還可以管理與來自將該網狀通信網絡連接 到外部網絡的網關管理器的單播或廣播消息相關聯的一個或更多網關密鑰。 進一步，該安全管理器可管理網絡密鑰，所有活動網絡設備可以使用該網絡 密鑰進行數據鏈路層級鑒權和/或單跳安全，即在兩個網絡設備之間的直接 無線連接的層級上的安全。在該網狀通信網絡運行期間，該安全管理器有時 可以自動地或響應于來自操作人員的命令更新該網絡密鑰。在一個特定的實
施例中，該安全管理器可以指定與未來的ASN值相關聯的時隙，每個網絡 設備可以在該未來的ASN值切換到新的網絡密鑰值。
在一方面，負責管理該網狀通信網絡的網絡管理器和/或安全管理器可 以進一步通過需要正在加入該無線網絡的設備在請求并協商進入該無線網 絡時提供加入密鑰信息來保護該無線網絡。在某些實施例中，正在加入的設 備可以對來自這些活動網絡設備之一的廣告消息作出響應，并且使用在該廣 告消息中指定的有限資源的列表與該網狀通信網絡進行通信。在一些實施例 中，每個廣告消息可以指定一個或若干加入鏈路，即特殊用途的路由和調度 資源。該正在加入的設備可以使用一個或更多加入鏈路與該安全管理器和/ 或該網絡管理器進行通信以獲得網絡密鑰、網關密鑰和會話密鑰，協商通信 資源并且提供鑒權信息。
在另 一方面，該網狀通信網絡可以隔離最近^皮允許進入該無線網絡的網 絡設備，直到操作人員批準該網絡設備，或者在其它實施例中，直到其它條 件被滿足并被自動驗證。盡管在隔離中，網絡設備可以以有限的方式與該網 狀通信網絡進行通信，從而增加該網絡的總體安全性和可靠性。在一個特定 的實施例中，隔離的設備可能不為其它網絡設備路由數據。
在又一方面，網絡管理器可支持網絡設備對之間的圖路由，并且可以定 義特殊用途的代理^各由以在正在加入的設備和活動網絡設備之間進行通信。 在某些實施例中，代理路管理器和/或該網絡管理器可以限制正在加入的設備運行的路由方面和調度 方面。在其它實施例中，該無線網狀通信網絡可以類似地要求被隔離的設備 經由代理路由進行通信。


圖i是示出使用無線HART ( WirelessHART )網絡來提供現場設備和 路由器設備之間的無線通信的系統的框圖，這些現場設備和路由器設備經由 網關設備連接到工廠自動化網絡。
圖2是根據這里所討論的實施例之一實現的無線HART協議的各層的 示意性表示。
圖3是示出根據這里論述的實施例之一定義的通信時隙的各段的框圖。 圖4是示出三隙超幀的時隙與若干個通信設備的示例性關系的框圖。 圖5示意性地示出示例性超幀的時隙與若干個通信信道的關系。 圖6是示意性地示出包括若干個不同長度的并發超幀的示意性超幀定義的框圖。
圖7是示意性地示出若干個不同長度的并發超幀與絕對隙數計數器的關系 的另一框圖。
圖8示意性地示出圖1的網絡設備的若干并發的密鑰式會話。
圖9是示出一種使用絕對時隙數產生圖2的無線協議的數據鏈路層的消 息完整性編碼的可能方法的框圖。
圖IO是示出一種產生圖2的無線協議的網絡鏈路層的消息完整性編碼 的可能方法的框圖。
圖ll示出網絡設備在圖1的無線網絡中運行時可以執行的示例性狀態機。
圖12是示出正在加入圖1的無線網絡的設備的有限的鏈路圖的框圖。 圖13是圖1的網關設備可以遵循以初始化網絡管理器和安全管理器的 示范性啟動順序。圖14是示出關于允許新網絡設備進行入圖l的無線網絡的消息交換的 消息順序圖。
圖15是示出與更新網絡密鑰相關的圖1的若干網絡設備之間的消息交 換的消息順序圖。
具體實施例方式
圖l示出示例性網絡10,在示例性網絡10中，可以使用這里所描述的 同步技術。具體來說，網絡IO可以包括與無線通信網絡14連接的工廠自動 化網絡12。工廠自動化網絡12可以包括通過通信骨干20連接的一個或更 多固定工作站16和一個或更多便攜式工作站18,其中通信骨干20可以利 用以太網、RS-485、 Profibus DP或利用適合的通信硬件和協議來實現。這 些工作站和形成工廠自動化網絡12的其它裝置可以向工廠員工提供各種控 制和監督功能，包括對無線網絡14中的設備的訪問。工廠自動化網絡12和 無線網絡14可以經由網關設備22進行連接。更為具體地，網關設備22可 以釆用有線方式連接到通信骨干20并且可以利用任何適合的(例如已知的) 通信協議與工廠自動化網絡12進行通信。可以采用任何其它想要的方式(例 如，作為單機設備、可插入工作站16或18的擴展槽的卡、作為基于PLC 或基于DCS的系統的輸入/輸出(I/O)子系統的一部分等等)來實現的網關 設備22可以提供在工廠自動化網絡12上運行且具有對無線網絡14的各種 設備的訪問權限的應用程序。除了協議和命令轉換，網關設備22還可以提 供與在無線網絡14中實現的無線協議(這里稱為無線HART協議)相關聯 的調度方案的時隙和超幀(在時間上均勻分隔開的通信時隙組)所使用的同 步計時。
在一些配置中，網絡10可以包括多于一個網關"i殳備22以才是高網絡10 的效率和可靠性。具體來說，多個網關設備22可以提供用于無線網絡14和 工廠自動化網絡12以及外部世界之間的通信的額外帶寬。另一方面，網關 設備22可根據無線網絡14內的網關通信需要向適當的網絡服務請求帶寬。可以駐留在網關設備22中的網絡管理器軟件模塊27可以在該系統在運行的同時進一步重新評價需要的帶寬。例如，網關設備22可以從駐留在無線網絡14外部的主機接收請求以檢索大量的數據。然后，網關設備22可以請求網絡管理器27分配額外帶寬以適應該事務。例如，網關設備22可以發出適當的服務請求。然后，網關設備22可以在該事務完成時請求網絡管理器27釋放該帶寬。
通常，網絡管理器27可以負責使無線網絡14適應不斷變化的狀況并且負責調度通信資源。當網絡設備加入和離開該網絡時，網絡管理器27可以更新它的無線網絡14的內部模型并且使用這種信息產生通信調度表和通信路由。另夕卜，網絡管理器27可以考慮無線網絡14的總體性能以及診斷信息，以使無線網絡14適應拓樸和通信需求的變化。 一旦網絡管理器27已經產生總體通信調度表，總體通信調度表的所有或各個部分可以通過一連串命令從
網絡管理器27傳輸到這些網絡設備。
為了進一步增加帶寬并提高可靠性，網關設備22可以在功能上被分成虛擬網關24和一個或更多網絡接入點25，網絡接入點25可以是與網關設備22進行有線通信的分立物理設備。然而，雖然圖1示出了物理上分離的網關網絡22和接入點25之間的有線連接26，但是可以理解的是，元件22-26也可以是被提供為 一體的設備。因為網絡接入點25可以與網關設備22物理分離，接入點25可以在戰略上放置在無線網絡14的幾個不同的位置。除了增加帶寬，多個接入點25可以通過利用其它接入點25補償一個接入點25處的可能差的信號質量來增加無線網絡14的總體可靠性。在一個或更多接入點25出現故障的情況下，擁有多個接入點25還提供了冗余。
除了分配帶寬，要不然的話橋接網絡12和1.4,網關設備22還可執行無線網絡14中的一個或更多管理功能。如圖1中示出的，網絡管理器27和安全管理器軟件模塊28可以存儲在網關設備22中并在網關設備22中執行。可替代地，網絡管理器27和/或安全管理器28可以在工廠自動化網絡12中的工作站16或18之一上運行。例如，網絡管理器27可以在主才幾16上運4亍而安全管理器28可以在主機18上運行。網絡管理器27可以負責配置無線網絡14、調度無線設備之間的通信、管理與這些無線設備相關聯的路由表、監測無線網絡14的總體健康、向工作站16和18"R告無線網絡14的健康，以及其它管理和監督功能。雖然在網絡14中有單個網絡管理器27運行可能就足夠了，但冗余網絡管理器27可以類似地被提供以保護無線網絡免受意料之外的設備故障。同時，安全管理器28可以負責保護無線網絡14不受到未被授權的設備的惡意或無意入侵。為了這個目的，安全管理器28可以管理鑒權代碼，驗證由嘗試加入無線網絡14的設備提供的授權信息，更新諸如到期密鑰之類的暫時性安全數據以及執行其它安全功能。
繼續參照圖1,無線網絡14可以包括一個或更多無線現場設備30-36。通常，像那些在化工、石油或其它加工廠中使用的過程控制系統包括諸如閥、閥定位器、開關、傳感器(例如溫度、壓力和流速傳感器)、泵、風機等等之類的現場設備。現場設備執行該過程內的物理控制功能，例如，開閥或關閥或獲取過程參數的測量值。在無線網絡14中，現場設備30-36為無線通信包的生成者和使用者。
現場設備30-36可以利用無線通信協議進行通信，該無線通信協議提供了類似的有線網絡的功能，具有類似或改進的運行性能。具體來說，該協議可以使得該系統能執行過程數據監測、關鍵數據監測(具有更嚴格的性能要求)、校準、設備狀態和診斷監測、現場設備故障檢修、試運轉以及監督過程控制。然而，執行這些功能的應用程序通常要求由無線網絡14支持的協議在必要時提供快速更新，在需要時移動大量的數據，并且支持加入無線網絡14的網絡設備，即使僅僅暫時用于試運轉和修護工作。
在一個實施例中，支持無線網絡14的現場設備30-36的無線協議是已知有線HART協議的擴展，這是一種被廣泛接受的行業標準，其維護有線環境的簡單工作流程和實踐。在這種意義上，現場設備30-36可以被認為是無線HART設備，并且無線網絡14可以被認為是無線HART網絡。通過簡單增加新的設備描述文件，用于有線HART設備的相同工具可以容易地適用于無線設備30-36。以這種方式，該無線協議可以借助利用有線HART協議獲得的經驗和知識的杠桿作用來使培訓最少并簡化維護和支持。 一般而言，使協議適應于無線應用，以便在設備上運行的大多數應用程序沒有"注意到"從有線網絡到無線網絡的轉變可以是方便的。顯然，這樣的透明性大大減小了升級網絡的成本，并且更為一般地，減小了與開發和支持可以和這樣的網絡一起使用的設備相關的成本。對眾所周知的HART協議進行無線擴展的一些另外的好處包括對用有線設備難以獲得或需要昂貴的代價才能獲得的測量結果的訪問以及從可以安裝在膝上型電腦、手持機、工作站等等上的系統軟件配置和操作儀器的能力。另一個好處是有能力將診斷警告從無線設備返回通過通信基礎設施送到在集中放置的診斷中心。例如，加工廠中的每個熱交換器可能與無線HART設備安裝在一起并且當交換器檢測到問題時，可以警告終端用戶和供應商。又一好處是有能力監測呈現嚴重健康和安全問題的狀況。例如，無線HART設備可能放置在路上的洪水區并用于警告當局或司機有關水位的情況。其它好處包括對寬范圍的診斷警告的訪問，和在無線HART設備處存儲趨勢值以及計算值的能力，以便當建立了與該設備的通信時，可以將這些值傳輸到主機。在這種方式下，無線HART協議可以提供使主機應用程序能夠無線訪問現有的HART使能現場設備的平臺，并且該無線HART協議可以支持電池供電的、僅限無線的HART使能現場設備的部署。該無線HART協議可以用于建立過程應用的無線通信標準，并且可以進一步通過增強基本的HART技術以支持無線過程自動化應用，來擴展HART通信的應用以及該協議提供給過程控制行業的好處。
再次參見圖1，現場設備30-36可以是無線HART現場設備，每個現場設備30-36采用整體單元的形式并且支持無線HART協議棧的所有層。例如，在無線網絡14中，現場設備30可以是無線HART流量計，現場設備32可以是無線HART壓力傳感器，現場設備34可以是無線HART閥定位器，現場設備36可以是無線HART壓力傳感器。重要的是，無線設備30-36可以支持用戶已經從有線HART協議見到的所有的HART特征。如本領域技術人員將會懂得的是，該HART協議的核心實力之一在于它的嚴格的協同工作能力要求。在一些實施例中，所有無線HART裝置包括核心的強制性能力以便允許(例如，由不同廠商制造的)同等的設備類型被互換而不會危及系統運行。而且，無線HART協議向后兼容諸如設備描述語言(DDL)之類的HART核心技術。在優選實施例中，所有的無線HART "i殳備應該支持DDL,其確保終端用戶直接具有開始使用無線HART協議的工具。
如果需要的話，無線網絡14可以包括非無線設備。例如，圖1的現場設備38可以是遺留4-20mA設備，并且現場設備40可以是傳統的有線HART設備。為了在無線網絡14內進行通信，現場設備38和40可經由無線HART適配器(WHA) 50連接到無線網絡14。另外，WHA50可以支持其它通信協議，例如，Foundation Fieldbus、 PROFIBUS、 DevicesNet等等。在這些實施例中，WHA50支持在協議棧的較下層上的協議轉換。另外，假設單個WHA 50也可以充當多路復用器并且可以支持多個HART或非HART設備。
工廠員工另外可使用手持式設備進行網絡設備的安裝、控制、監測和維護。 一般而言，手持式設備是便攜式裝置，該便攜式裝置可以直接連接到無線網絡14或通過網關設備22連接到無線網絡14作為工廠自動化網絡12上的主機。如圖1示出的，連接無線HART的手持式設備55可以直接與無線網絡14進行通信。當與形成的無線網絡14 一起運行時，手持式設備55可以只是作為另一無線HART現場設備加入無線網絡14。當與沒有連接到無線HART網絡的目標網絡設備一起運行時，手持式設備55可以通過與該目標網絡設備形成它自己的無線網絡，作為網關設備22和網絡管理器27的結合來運行。
連接工廠自動化網絡的手持式設備(未示出)可以用于通過諸如Wi-Fi之類的已知組網技術連接到工廠自動化網絡12。該設備采用與外部工廠自動化服務器(未示出)相同的方式通過網關設備22與網絡設備30-40進行通信，或者工作站16和18與設備30-40進行通信。
另外，無線網絡14可以包括路由器設備60，該路由器設備60是從一個網絡設備向另 一個網絡設備轉發包的網絡設備。正在充當路由器設備的網 絡設備使用內部路由表來指揮路由，即來決定特定的包應該被發送給哪個網 絡設備。在那些無線網絡14上的所有設備都支持路由的實施例中，可以不
需要諸如路由器60之類的單機路由器。然而，(例如為了擴展網絡，或為 了節省該網絡中的現場設備的電力)添加一個或更多專用路由器60到無線 網絡14可以是有益的。
直接連接到無線網絡14的所有設備可以被稱為網絡設備。具體來說， 無線現場設備30-36、適配器50、路由器60、網關i殳備22、接入點25以及 無線手持式設備55是為了路由和調度目的的網絡設備，這些網絡設備中的 每一個形成無線網絡14的節點。為了提供非常健壯的和容易擴展的無線網
地址之類的實質上唯一的地址來進行全局標識。網絡管理器27可以包含網 絡設備的完整列表，并且可以指派給每個設備短的、網絡唯一的16位別名。 另外，每個網絡設備可以存儲與更新速率、連接會話以及設備資源相關的信 息。簡而言之，每個網絡設備維護與無線網絡14內的路由和調度相關的最 新信息。每當新的設備加入該網絡時或每當網絡管理器27檢測到或發起無 線網絡14的拓樸或調度的改變時，網絡管理器27可以將該信息傳達到網絡 設備。
此外，每個網絡設備可以存儲并維護該網絡設備在收聽操作期間已經識 別的鄰居設備的列表。 一般而言，網絡設備的鄰居是潛在能夠根據由相應的 網絡強制實行的標準建立與該網絡設備的連接的任何類型的另 一 個網絡設 備。在為無線網絡14的情況下，該連接是直接無線連接。然而，將會理解 的是，鄰居設備還可以是以有線方式連接到特定設備的網絡設備。如稍后將 要討論的，網絡設備通過廣告或在指定的時段發出的特殊消息來促進其它網 絡設備發現它們。可操作地連接到無線網絡14的網絡設備具有一個或更多 鄰居，這些網絡設備可以根據廣告信號的強度或根據 一 些其它準則選擇這些 鄰居。在如圖l示出的實例中，由直接無線連接65連接的一對網絡設備中的
每個設備將另一個識別為鄰居。無線網絡14的網絡設備可以形成大量的設 備間連接65。建立兩個網絡設備之間的直接無線連接65的可能性和愿望由 諸如這些節點之間的物理距離、這些節點(設備)之間的障礙、這兩個節點 中的每一個節點處的信號強度等等若干因素來確定。進一步，兩個或更多直 接無線連接65可以用于形成在不能形成直接無線連接65的節點之間的通信 路徑。例如，無線HART手持式設備55和無線HART設備36之間的直接 無線連接65 ，連同無線HART設備36和路由器60之間的直接無線連接65 ， 形成設備55和60之間的通信路徑。
每個無線連接65由與發送頻率、接入無線電資源的方法等有關的一個 大的參數組特征化。本領域普通技術人員將認識到的是，通常，無線通信協 議可以在指定頻率上運行，例如由美國的聯邦電信委員會(FCC)指派的那 些頻率，或運行于無許可證的無線電頻段(例如，2.4GHz)。盡管這里討論 的系統和方法可以應用于在任何指定頻率或頻率范圍上運行的無線網絡，但 是下面討論的示例性實施例涉及與運行于無線電頻譜上的無許可證的或者 共享部分的無線網絡14。根據這個實施例，無線網絡14可以被容易地驅使 或調整為根據需要在特定的無許可證的頻率范圍中運行。
對使用無許可證的頻帶的無線網絡協議的另 一核心要求是以最小的擾 亂性與使用同一頻帶的其它裝備共存。共存一般定義為一個系統在共享環境 中執行任務的能力，在該共享環境中，其它系統能夠類似地執行它們的任務， 同時遵照同一準則組或者不同(并且可能未知的)的準則組。在無線環境中 共存的一個要求是在該環境中出現干擾時該協議維持通信的能力。另一要求 是該協議應該對其它通信系統造成盡可能小的干擾和擾亂。
換句話說，無線系統與周圍的無線環境共存的問題大體具有兩個方面。 共存的第一方面是該系統用以影響其它系統的方式。例如，特定系統的操作 員或開發者可以詢問一個發射器發送的信號對接近該特定系統運行的其它 無線電系統具有什么影響。更為具體地，該操作員可以詢問，每當該發射機播上花費過多的時間從而有效地"獨占"(hogging)該帶寬。理想地，每個
發射機應該是不被其它發射機注意到的"安靜鄰居"。盡管該理想特性(如果 有的話)很少能夠達到，但創造了其它無線通信系統可以在其中運行得相當 好的共存環境的無線系統可以被稱為"好鄰居"。無線系統的共存的第二方面 是該系統在有其它系統或無線信號源的情況下運行得相當好的能力。具體來 說，無線系統的健壯性可以取決于該無線系統防止在這些接收機處的干擾的
能力有多好，取決于這些接收機是否由于接近的RF能量源而容易超載，取 決于這些接收機對偶爾的位丟失的容忍度有多好，以及類似的因素。在某些 行業中，包括過程控制行業，有許多重要的經常不允許數據丟失的潛在應用。 能夠在嘈雜的或動態的無線電環境中提供可靠通信的無線系統可以被稱為 "寬容的鄰居"。
有效的共存(即，作為好鄰居和寬容的鄰居)部分地依賴于有效使用三 方面的自由時間、頻率和距離。當通信在1)在干擾源(或者其它通信系 統)安靜的時候發生；2)以與干擾信號不同的頻率發生；或3)在足以遠 離該干擾源的位置發生時，該通信可能是成功的。盡管這些因素中的單個因 素可能用于在無線電頻譜的共享部分提供通信方案，但是這些因素中的兩個 或所有三個的結合可以提供高度的可靠性、安全性和速度。
仍然參見圖1,網絡管理器27或在網絡14或12上運行的另一應用或 服務可以鑒于以上討論的這些因素定義無線通信網絡14的主網絡調度表 66。主網絡調度表66可以為網絡設備25和30-55指定將諸如時間,殳和無線 電頻率之類的資源的分配。具體來說，主網絡調度表66可以指定網絡設備 25和30-55中的每一個何時發送過程數據、代表其它網絡設備路由數據、收 聽從網絡管理器27傳播來的管理數據以及為了希望加入無線網絡14的設備 而發送廣告數據。為了以有效方式分配無線電資源，網絡管理器27可以鑒 于無線網絡14的拓樸定義并更新主網絡調度表66。更為具體地，網絡管理 器27可以根據在每個節點處標識的直接無線連接65來分配可用資源給無線網絡14的節點中的每一個(即，無線設備30-36、 50以及60)。在這種意 義上，網絡管理器27可以鑒于在每個節點處的發送要求和路由可能性來定 義和維護網絡調度表66。
主網絡調度表66可以將可用的無線電資源分成獨立的通信信道，并且 進一步以例如時分多址(TDMA)通信時隙為單位在每個信道上測量發送和 接收時機。具體來說，無線網絡14可以在某一頻帶內運行，該頻帶在大多 數情況下可以安全地與若干截然不同的載波頻率相關聯，以便以一個頻率進 行的通信可以與以該頻帶內的另 一頻率進行的通信同時發生。本領域普通技 術人員將會理解的是，在典型應用中的載波頻率(例如公共無線電)被充分 地分隔開以防止相鄰載波頻率之間的干擾。例如，在2.4GHz頻帶中，IEEE 指派頻率2.455給信道號21，指派頻率2.460給信道號22,從而允許2.4GHz 頻帶的兩個相鄰段之間隔開5KHz。主網絡調度表66可以因此將每個通信信 道與截然不同的載波頻率相關聯，該載波頻率可以是該頻帶的特定段的中心頻率。
同時，如使用TDMA技術的行業中通常所用的，術語"時隙"指特定的
法。例如， 一秒可以分成10等分的100毫秒時隙。雖然主網絡調度表66優 選地以單個固定持續時間的時隙分配資源，但是只要無線網絡14的每個相 關節點都被適當地通知了這種改變，那么改變這些時隙的持續時間也是可能 的。繼續10個100毫秒時隙的實例定義，兩個設備可以每秒交換一次數據， 在每秒的第一個100ms時段(即第一時隙)期間一個設備進行發送，在每秒 的第四個100ms (即第四時隙)期間，另一設備進行發送，而剩下的時隙未 被占用。因此，在無線網絡14上的節點可以通過發送頻率以及相應的設備 可以在其間發送和接收數據的時隙來標識被調度的發送時機和接收時機。
為了使網絡設備25A-25B和30-50與主網絡調度表66適當同步，網絡 管理器27可維護一計數器68來跟蹤自從無線網絡14形成以來，即第一網 絡發起形成無線網絡14的過程以來，所調度的時隙數。如以上所指示的，第一網絡設備可以是例如網關設備22。自從無線網絡14開始以來逝去的時
隙數在這里被成為絕對隙數("ASN"),與特定超幀中的時隙的相對隙數 形成對比。網絡管理器27可在形成無線網絡14時將ASN計數器68初始化 為零，然后在每次出現新時隙時將ASN計數器68遞增1。如下面更詳細地 論述的，網絡設備25A-25B和30-50中的每一個可類似地維護ASN計數器 68的本地副本，并周期性地將該本地副本與由網絡管理器27維護的主ASN 計數器68進行同步。
作為定義有效的和可靠的網絡調度表6 6的 一 部分，網絡管理器2 7可以 在將時隙在邏輯上組織成循環重復的組或超幀。如這里所使用的，超幀可以 被更為精確地理解為一連串相等的超幀循環，每個超幀循環對應于形成連續 時間段的若干相鄰接的時隙的邏輯分組。在給定超幀內的時隙的數目定義了 超幀的長度并且確定了每個時隙多久重復一次。換句話說，超幀的長度與單 個時隙的持續時間相乘，指定了一個超幀循環的持續時間。另外，為了方便 起見，可以對每個幀循環內的時隙進行連續編號。舉一個具體的實例，網絡 管理器27可以將時隙的持續時間固定在IO毫秒，并且可以定義長度為100 的超幀，以產生l秒幀循環(即，10毫秒乘以100)。在基于0的編號方案 中，該實例超幀可以包括編號為0, 1，…99的時隙。
如以下更詳細的討論，網絡管理器27減少了等待時間并且另外通過將 多個不同大小的并發超幀包括在網絡調度表66中來優化數據發送。而且， 網絡調度表66的一些或所有超幀可以跨越多個信道或載波頻率。因此，主 網絡調度表66可以指定各個超幀的各個時隙和可用信道之一之間的關聯。
因此，主網絡調度表66可以對應于獨立的設備調度表的集合。例如， 諸如閥定位器34之類的網絡設備可以具有獨立的設備調度表67A。設備調 度表67A可以僅僅包括與相應的網絡設備34相關的信息。類似地，路由器 60可以具有獨立的設備調度表67B 。相應地，網絡設備34可以根據設備調 度表67A發送和接收數據而不知道諸如該設備60的調度表67B之類的其它 網絡設備的調度表。為了這個目的，網絡管理器27可管理總的網絡調度表66和各個獨立的設備調度表67 (例如，67A和67B ),并且當需要時將獨 立的設備調度表67傳達給相應的設備。在其它實施例中，獨立的網絡設備 25和35-50可以至少部分定義或協商設備調度表67并將向網絡管理器27 報告這些調度表。根據這個實施例，網絡管理器27可以根據接收到的設備 調度表67組合網絡調度表66,同時檢查資源竟爭并解決潛在的沖突。
為了保護無線網絡14免遭入侵，并且更為具體地，免遭對任何類型的 網絡信息進行未經授權的訪問，安全管理器28可以維持密鑰組63。如以下 更為詳細地討"i侖的，密鑰組63中的一個或更多密鑰可用于對嘗試加入無線 網絡14的設備進行鑒權。其它密鑰可用于與網絡管理器27或網關設備22 建立永久性或暫時性會話。而且，網絡管理器27可使用密鑰組63中的一個 或更多密鑰以提供來自網絡管理器27的廣播消息是可信的保證。
為了進一步增強無線網絡14的安全性，網絡管理器27和/或安全管理
25A-B和30-50所執行的網絡功能中的僅僅一些網絡功能。例如，網絡設備 69可能已經在最近加入了無線網絡14,并且安全管理器28可能已經通過驗 證加入密鑰和處理諸如網絡設備69的身份或長標簽之類的信息成功地對網 絡設備69進行了鑒權。為了與無線網絡14進行有限的通信，網絡管理器 27可能已經為網絡設備69提供了足夠的通信資源來接收廣播管理數據、建 立與網絡管理器27的成對通信會話等等。然而，網絡管理器27可能不允許 網絡設備69在兩個鄰居設備34和50之間路由數據或建立與網關設備22的 通信會話，直到操作人員批準網絡設備69完全進入無線網絡14。因此，網 絡設備69可以被視為隔離的設備。在這種方式下，授權設備的成功侵入(即， 加入)無線網絡14可不導致私有數據的丟失、網絡數據包的劫取，或者不 導致對無線網絡14的運行的顯著干擾。作為替代，網絡管理器27可向工作 站16的人機界面報告例如新的網絡設備69已經加入該網絡，以便操作員可 以查看隔離的網絡設備69的身份并且允許或拒絕該設備完全進入無線網絡 14。以上在一般描述的支持無線網絡14的通信協議在這里被稱為無線
HART協議70,并且參照圖2更詳細地討論該協議的操作。如將會被理解的， 直接無線連接65中的每一個可以根據無線HART協議70的物理和邏輯要求 來傳輸數據。同時，無線HART協議70可以高效地支持在時隙內并且在與 特定設備調度表67所定義的超幀相關聯的載波頻率上進行通信。
圖2示意性地示出了無線HART協議70的一個示例性實施例的各層， 與眾所周知的通信協議的ISO/OSI7層模型的各層近似對齊。作為比較，圖 2另外示出現有的"有線"HART協議72的各層。將會理解的是，無線HART 協議70不一定要具有有線對等體。然而，如下面將要詳細討論的，無線HART 協議70可以通過與現有協議共享該協議棧的一個或更多上層來大大方便其 實現。如以上所指示的，如以上所指示的，與為類似網絡提供服務的有線協 議72相比，無線HART協議70可以提供相同或更高程度的可靠性和安全性。 同時，通過消除安裝有線的需要，無線HART協議70可以提供若干重要的 優點，例如降低與安裝網絡設備相關的成本。還將會理解的是，雖然圖2將 無線HART協議70表現為HART協議72的無線對等體，但這種特定的對 應在這里僅僅是作為實例被提供。在其它可能的實施例中，無線HART協議 70的一或更多層可以對應于其它協議，或如以上所4是及的，無線HART協 議70甚至可以不與現有協議中的任何一個共享最上面的應用層。
如圖2中示出的，HART技術的無線擴展可以將至少一個新物理層(例 如，IEEE802.15.4無線電標準)和兩個數據《連^各層(例如，有線和無線網才各) 添加給已知的HART實施。 一般而言，無線HART協議70可以是安全的、 在2.4GHzISM無線電頻帶中運行的無線網格組網技術(塊74)。在一個實 施例中，無線HART協議70可以在一個事務接一個事務的基礎上利用可兼 容IEEE 802.15.4b的直接序列擴頻通信(DSSS )無線電和信道跳頻。可以 利用TDMA對該無線HART通信進行調停以調度鏈路活動(塊76 )。同樣， 優選地，所有通信在指定的時隙內執行。 一個或更多源設備和一個或更多目 的設備可以被調度以在給定時隙中進行通信，并且每個時隙可以專門用于來自單個源設備的通信，或者這些源設備可以被調度為利用像CSMA/CA那樣 的共享通信接入模式進行通信。源設備可以發送消息到一個或更多特定的目 標設備或者可以將消息廣播到被指派時隙的所有目標設備。
因為這里描述的無線HART協議允許部署網狀拓樸，所以也可以指定 重要的網絡層78。具體來說，網絡層78可以使得單獨的設備之間能夠建立 直接無線連接65,并且使得無線網絡14的特定節點(例如設備34)和網關 設備22之間能夠通過一個或更多中間跳來路由數據。在某些實施例中，網 絡設備對25A-B和30-50可以建立包括一個或若干跳的通信路徑，而在其它 實施例中，所有數據可以要么向上游傳播到網關設備22,要么從網關設備 22向下游傳播到特定的節點。
為了增強可靠性，無線HART協議70可以將TDMA與一種將多個無線 電頻率與單個通信源相關聯的方法(例如，信道跳頻)相結合。信道跳頻提
供了最小化干擾并減少多徑衰落影響的頻率分集。具體來說，數據鏈路76 可以生成單個超幀和多個載波頻率之間的關聯，數據鏈路層76以受控的和 預定義的方式在所述多個載波頻率之間循環。例如，無線網絡14的特定場 合的可用頻帶可以具有載波頻率Fl5 F2， ... Fn。超幀S的相關幀R可以被調 度為，在循環Cn中以頻率Fi出現，在接下來循環Cn+1中以頻率F5出現，在 循環Cn+2中以頻率F2出現，等等。網絡管理器27可以利用該信息配置相 關網絡設備，以便在超幀S中進行通信的網絡設備可以根據超幀S的當前循 環調整發送頻率或接收頻率。
無線HART協議70的數據鏈路層76可以提供另外的將信道列入黑名 單的特征，其限制這些網絡設備使用該無線電頻帶中的某些信道。網絡管理 器27可以響應于檢測到信道上的過多干擾或其它問題，將無線電信道列入 黑名單。進一步，操作員或網管可以將信道列入黑名單以便保護使用無線電 頻帶的固定部分的無線服務，否則的話該無線服務要與無線HART網絡14 共享該固定部分。在一些實施例中，無線HART協議70以超幀為基礎控制 列黑名單，以便每個超幀具有獨立的被禁止信道的黑名單。在一個實施例中，網絡管理器27負責分配、指派并調整與數據鏈路層
76相關聯的時隙資源。如果網絡管理器27的單個例子支持多個無線網絡14, 網絡管理器27可以為無線網絡14的每個例子生成總體調度表。該調度表可 以被組織成包含相對于該超幀的起點進行編號的時隙的超幀。
無線HART協議70可以進一步定義鏈路或鏈路對象以便在邏輯上統一 調度和路由。具體來說，鏈路可以與具體的網絡設備、具體的超幀、相對隙 數、 一個或更多鏈路選項(發送、接收、共享)以及鏈路類型(正常、廣告、 發現)相關聯。如圖2中示出的，數據鏈路層76可以是頻率捷變的。更為 具體地，信道偏移量可以用于計算用于執行通信的具體的無線電頻率。網絡 管理器27可以鑒于每個網絡設備處的通信要求定義一組鏈路。然后，每個 網絡設備可以被配置以所定義的該組鏈路。所定義的該組鏈路可以確定該網 絡設備何時需要醒來，以及該網絡設備是否應該在醒來后即進行發送、接收 或同時發送/接收。
繼續參照圖2,無線HART協議70的傳輸層80允許有效的盡力而為的 通信和可靠的、端到端確認式通信。如本領域技術人員將會認識到的，盡力 而為的通信允許設備發送包而不進行端到端的確認，并且不保證目的設備處 的數據順序。用戶數據報協議(UDP)是這種通信策略的一個眾所周知的實 例。在過程控制行業中，該方法可以對公布過程數據是有用的。具體來說， 因為設備周期性地傳播過程數據，所以端到端確認和重試已經限制了效用， 特別是考慮到新數據是在定期的基礎上產生的。相反，可靠的通信允許設備 發送確認包。除了保證數據傳遞，傳輸層80還可以安排網絡設備間發送的 包。對于請求/響應業務，或者當發送事件通知時，這種方法可以是優選的。 當使用傳輸層80的可靠模式時，通信可以變得同步。
可靠的事務可以被建模為發出請求包的主設備和用響應包進行回復的 一個或多個從設備。例如，主設備可以產生某一請求并且可以將該請求廣播 到整個網絡。在某些實施例中，網絡管理器27可以使用可靠的廣播來告訴 無線網絡14中的每個網絡設備激活新的超幀。可替代地，諸如傳感器30之類的現場設備可以產生包并且將該請求傳播到另一現場設備，例如傳播到便
攜式設備55，該手持式設備55可以是便攜式HART通信裝置。作為另一實 例，由現場設備34產生的警報或事件可以作為指向網關設備22的請求被發 送。響應于成功接收到該請求，網關設備22可以產生響應包并且將該響應 包發送到設備34，以對接收到該警報或事件通知進行確認。
再參見圖2，會話層82可以提供網絡設備之間的基于會話的通信。可 以用會話在該網絡層上管理端到端通信。網絡設備可以具有為給定對等網絡 設備定義的多于一個會話。如果需要的話，幾乎所有網絡設備都可以具有至 少兩個與網絡管理器27建立的會話 一個用于成對通信， 一個用于從網絡 管理器27進行的網絡廣播通信。另外，所有網絡設備都可以具有網關會話 密鑰。這些會話可以通過指派給它們的網絡設備地址來區分。每個網絡設備 可以跟蹤該設備參與的每個會話的安全信息(加密密鑰、臨時計數器)以及 傳輸信息(可靠傳輸順序號、重試計數器等)。
最后，無線HART協議70和有線HART協議72可以支持公共HART 應用層84。無線HART協議70的應用層可以另外包括子層86，其支持大數 據組的自動分段傳輸。通過共享應用層84,協議70和72允許對HART命 令和數據進行公共封裝并且消除了在協議棧的最上層中進行協議轉換的需 要。
圖3-6提供了由無線HART協議70的數據鏈路層76和網絡層78支持 的信道和時隙資源分配的更詳細的圖示。如以上參照圖l所討論的，網絡管 理器27可以管理一個或更多超幀的定義并且可以將所定義的超幀中的每一 個超幀內的獨立的時隙與可用信道(例如，載波頻率)之一相關聯。作為一 個具體的實例，圖3示出了在獨立的時隙內的可用通信方案，而圖4示出了 使用某一超幀的時隙在若干設備之間進行的示例性數據交換。接下來，圖5 示出示例性時隙和若干可用信道之間的可能關聯，并且圖6是若干包括圖 3-5示出的時隙的并發超幀的示意圖。
具體參見圖3,兩個或更多網絡設備可以在通信時隙100中交換數據，時隙100可以是由一個發送設備和一個接收設備共享的專用時隙，也可以是 具有超過一個發射機和/或一個或更多接收機的共享時隙。在任一情況下，
時隙100可以具有發送調度表102和接收調度表104。換句話說， 一個或更 多發送設備可以根據發送時隙調度表102在時隙100內進行通信，而一個或 更多接收設備可以根據接收時隙調度表104在時隙100內進行通信。當然， 時隙調度表102和104實質上精確地同步并且在同一相對時刻106開始。在 時隙100的過程中，發送網絡設備在諸如載波無線電頻率的通信信道上發送 預定量的數據。在某些情況下，發送網絡設備還可以期望在同一時隙100內 接收肯定或否定的確認。
因此，如圖3中示出的，發送時隙調度表102可以包括用于發送輸出數 據的發送段110,其之前有預發送段112，并且可以包括用于接收對在段110 期間所發送的數據的確認的接收段122。發送段110與接收段122可以通過 過渡段116分隔開，在過渡段116期間，相應的網絡設備可以調整例如硬件 設置。同時，如下所討論的，接收調度表104可以包括用于執行補充段 112-122中所實施的功能的功能的段。
具體來說，該發送設備可以在段110期間發出與時隙100的容量相關聯 的整個包或者流段。如以上所提及的，網絡調度表66可以包括共享時隙， 該共享時隙并不專門屬于網絡設備25和30-55之一的獨立設備調度表67。 例如，共享時隙可以具有諸如網關22之類的專用接收機，而非單個專用發 射機。當必要時，網絡設備25-60之一可以在共享時隙中發送諸如對額外帶 寬的請求之類的未經調度的信息。在這些情況下，可能發送的設備可以通過 在預發送段112執行空閑信道評估(CCA)來檢查共享時隙是否可用。具體 來說，發送網絡設備可以在預發送段112期間收聽與時隙IOO相關聯的通信 信道上傳播的信號，以證實沒有其它網絡設備正嘗試使用時隙100。
在時隙100的接收端，該接收設備可以在包接收l殳114內接收與時隙 IOO相關聯的整個包。如圖3示出的，包接收段114可以開始于在時間上比 發送段110更早的點。接下來，在過渡段116中，發送時隙調度表102要求發送設備轉換無線電模式。類似地，接收時隙調度表104包括過渡段118。 然而，段116可以比段118更短，因為發送設備可以提早開始收聽確認數據 以避免錯過確認的開始。
更進一步，發送調度表102可以包括確認接收段122,在確認接收段122 期間，該發送設備接收在與接收調度表104相關聯的確認發送段124期間發 送的確認。該發送設備可以在接收到肯定的確認時，從相關聯的發送隊列中 刪去在發送段IIO期間發送的包。另一方面，如果沒有確認到達或確認是否 定的，則該發送設備可以嘗試在下一被調度的專用時隙或在下一可用的共享 時隙中重新發送該包。
如在圖4中示意性示出的，以上討論的若干時隙100可以組織成超幀 140。具體來說，超幀140可以包括(通常)無限的成串超幀循環150-154， 每個循環包括一組時隙，在圖4中示出為相對時隙號為0的時隙142(TS0)、 相對時隙號為1的時隙144 (TS1)和相對時隙號為2的時隙146 (TS2)。 相應地，圖4的超幀140的大小為三個時隙。換句話說，超幀140的時隙 142-146中的每一個每隔兩個中間時隙在時間上重復一次。因此，對于10 毫秒的時隙，具有特定相對時隙號的時隙的結尾和具有相同的相對時隙號的 下一個時隙的開始之間的間隔是20毫秒。在概念上，時隙142-146可以進 一步被組成超幀循環150-154。如圖4中示出的，每個超幀循環對應于時隙 142-146的序列的新例子。
主網絡調度表66可以將參與無線網絡14的網絡設備中的 一些網絡設備 的發送和接收時機與超幀140的特定時隙相關聯。再參見圖4,網絡片段160 示意性地示出了在圖l的網絡設備34、 60和36之間實施的局部通信方案。 為了簡化超幀140的圖示，網絡設備34、 60和36在圖4中分別被另外設計 為節點A、 B、 C。因此，根據圖4,節點A發送數據給節點B,節點B接 下來發送數據給節點C。如以上所述，節點A-C中的每一個節點包括設備調 度表67A-C,其指定用于在相應的設備處發送和接收數據時隙和信道(例如 無線電載波頻率)。主網絡調度表66可以包括獨立的設備調度表67A-C中存儲的所有數據信息中的一部分。更為具體地，網絡管理器27可以維護主 網絡調度表66作為與網絡設備25A-B和30-50中的每一個相關聯的調度的 集合體，包括設備調度表67A-C。
在這個實例中，時隙100 (圖3 )的持續時間可以是10毫秒，并且網絡 設備A可以每30毫秒向設備C報告一次數據。相應地，網絡管理器27可 以鑒于網絡設備A的更新速率在三個時隙處具體設定超幀140的長度。進 一步，網絡設備27可以將相對號為O的時隙142 (TSO)指派給網絡設備A 和B,設備A作為發射機而設備B作為接收機。網絡管理器27可以進一步 將相對時隙號為1 (TS1)的下一個可用時隙144分配為與/人i殳備B到i殳備 C的發送相關聯。同時，時隙146保持未指派。在這種方式下，超幀140提 供了一方案，根據該方案，網絡管理器27可以鑒于設備A、 B和C之間的 可用無線連接在網絡片段160中分配資源，以將數據從設備A發送到設備C。
在圖4中示出的實例中，節點A處的網絡設備可存儲與時隙142相關 的信息作為它的設備調度表67A的一部分。類似地，在節點B處的網絡設 備可以存儲與時隙142 (接收)和144 (發送)相關的信息作為它的設備調 度表67B的一部分。最后，網絡設備C可以將與時隙144相關的信息存儲 在設備調度表67C中。在這些實施例的至少一些實施例中，網絡管理器27 存儲關于整個超幀140的信息，包括時隙146是可用的指示。
重要的是，超幀140不需要局限于單個無線電頻率或其它單個通信信 道。換句話說，定義超幀140的獨立時隙142-146可以以永久性或浮動為基 礎與不同的無線電頻率相關聯。而且，由各種i殳備4吏用的頻率在電》茲頻譜中 不需要總是相鄰接。在一個實施例中，例如，超幀循環150-154中的每一個 超幀循環的時隙142可以與載波頻率Fi相關聯，而超幀循環150-154中的每 一個超幀循環的時隙144可以與載波頻率F2相關聯，頻率Fi和F2在電石茲頻 譜中相鄰接或不相鄰接。
在另一實施例中，時隙142-146中的至少一些時隙可以以預定義的方式 在被分配的頻帶周圍移動。圖5示出了圖4的時隙144與可用頻帶170中的
34信道172-179之間的示例性關聯(對應于頻率子帶FrF5)。具體來說，信道 172-179中的每一個信道可以對應于中心頻率F，，F2, ... Fs之一，優選地，這 些中心頻率與它們各自的鄰居相差同一偏移量。優選地，信道172-179優選 地形成覆蓋整個可用頻帶170的連續頻段，雖然在所有實施例中，信道 172-179需要是鄰接的或形成連接續的頻帶。超幀140可以使用頻帶170的 至少一部分，以便時隙142-146中的一個或更多時隙在至少兩個鄰接的循環 中被調度到不同的載波頻率上。
如圖5中示出的，在幀循環150期間，時隙144可以^使用信道176 (頻 率F",在幀循環152期間，可以^使用信道174 (頻率FJ ,并且在幀循環 154期間，可以使用信道178 (頻率F2)。然后，時隙144可以在與循環150 類似的下一超幀循環150A中"返回"到信道176。時隙144與信道172-179 之一的具體關聯中的每一個被示出為時隙/信道元組144A-C。例如，元組 144A將循環150中被調度的時隙144指定在與中心頻率F3相關聯的信道176 上。類似地，元組144B將循環152中被調度的時隙144指定在與中心頻率 F4相關聯的信道174上。同時，與中心頻率Fs相關聯的信道172可以在循 環150-152中的任何循環期間不指派給時隙144。然而，超幀140的不同時 隙，例如時隙146，可以在循環150-152中的一個或更多期間與信道172相 關聯。
在這個實例中，與超幀循環150相關聯的頻率指派可以在循環154之后 立即重復(如圖5中示出為循環150A),并且，在超幀140的兩個循環之 后，時隙144可以再次對應于元組144A。這樣，時隙144可以定期循環通 過信道176、 174和178。將會理解的是，時隙144可以類似地循環通過更 大或更小數目的信道，而不管超幀140的長度，當然，前提是在頻帶170中 有足夠的信道可用。以上關于圖5討論的并被稱為"信道跳頻"的不同超幀循 環期間的單個時隙與多個信道之間的關聯大大增加了無線網絡14的可靠 性。具體來說，信道跳頻減少信道跳頻降低了被調度在某一超幀的特定時隙 中通信的一對設備在某一信道擁塞或不可用時不能發送和接收數據的概率。因此，例如，信道174的故障阻止使用時隙144的設備在幀循環152中通信， 而不阻止其在幀循環150或154期間通信。
再參見圖4,設備調度表67b和67c可以包括關于在以上參照圖5討論 的元組144a-c中的每一個元組的信息。具體來說，設備調度表67b和67c 中的每一個設備調度表可以存儲循環150-152中的每一個循環內給信道 172-179之一的時隙144指派。主網絡調度表66 (圖1)可以類似地包括該 信息。同時，設備調度表67a不需要必需包括與時隙144相關的信息，因 為相應的節點a (設備34)在超幀140的時隙144期間不進行通信。在運 行中'與節點b和c對應的設備60和36可以在每個時隙144的開始時分 別準備數據發送和4妄收。為了確定時隙144當前對應于元組144a、 144b還 是144c,設備60和36可以應用本地存儲的asn計數器68的副本以確定 時隙144當前是在幀循環150、 152還是154中。
在定義網絡調度表66的過程中，網絡管理器27可以鑒于網絡設備25 和35-50的更新速率定義多個并發超幀。如圖6中示出的，網絡調度表66 可以包括長度為3的超幀140以及超幀190和192。超幀190可以是五隙超 幀，而超幀192可以是四隙超幀，雖然不同的超幀可以具有不同的隙數并且 各種不同的超幀可以具有相同的隙數。如圖6中示出的，這些超幀不需要必 須針對相對時隙號進行對齊。具體來說，在特定時刻194，超幀190可以調 度相對號為2的時隙(ts2),而超幀140和192可以調度具有相對號為1 的時隙(ts1)。優選地，超幀140、 190和192是時間同步的，以便在這些 超幀的每一個超幀內，每個到新時隙的過渡同時發生。
超幀140、 190和192中的每一個超幀可以主要與網絡設備30-50中的 獨立網絡設備或網絡設備25a-b和30-50的子組相關聯，或者屬于獨立網絡 設備或網絡設備30-50的子組。例如，在圖4中示出的超幀140可以屬于節 點a (即網絡設備34)，并且可以有利地選4奪超幀140的長度，以便在循 環150-154中的每一個循環期間，節點a在時隙142 (tso)期間發出測量 數據到節點b。如果無線網絡14定義了 10毫秒時隙，則節點a每30秒發送數據到節點B—次。然而，如果節點A被重新配置為每50毫秒報告測量 值一次，網絡管理器27獨自，或與與節點A—道，可以將超幀140重新配 置為具有五個時隙的長度。換句話說，每個超幀的長度可以反映特定網絡設 備25A-B或30-50的特定發送要求。
另 一方面，超過一個的網絡設備25A-B或30-50可以使用用于發送和接 收數據的超幀。再次參見圖4，雖然超幀140可以主要與節點A相關聯，但 是節點B(網絡設備60)也可以在超幀140的時隙144中定期發送數據到節 點C(網絡設備36)。因此，特定超幀的不同時隙可以被不同的網絡設備用 來發起、路由或接收數據。在某種意義上，每個超幀的時隙可以被理解為分 配給不同設備的資源，并把特定的優先級指派給擁有該超幀的設備。此外， 將會理解的是，每個網絡設備可以參與多個超幀。例如，圖4中的網絡設備 34除了由路由設備60進行傳播它自己的數據之外，還可以代表其它網絡設 備(例如，在圖1中示出的網絡設備32)路由數據。優選地，參與多個超 幀的設備并不在不同超幀中調度同時發生的通信。盡管在圖6中示出了僅僅 三個超幀，但是圖1的無線網絡14可以包括任何數目的超幀，這些不同超 幀中的每一個超幀基于在特定的設備和設備組之間或之中執行的通信的類 型和頻率而具有任何想要的或有用的長度。
如以上所指示的，ASN計數器68 (見圖1 )可反映自從無線網絡14激 活以來被連續調度的時隙總數。換句話說，只有那些跟隨在另一時隙之后發 生的時隙影響ASN計數，并且被并發調度的超幀數對ASN值沒有影響。為 了進一步概括出ASN計數器68的操作，圖7示出包括在網絡啟動時刻210 時或之后創建的若干個并發超幀202-206的調度表200。超幀202可以是其 中相對隙數從零迭代到三的四時隙超幀。類似地，超幀204可類似地在網絡 啟動時刻210時啟動，但包括編號從零到七的八個時隙。另一方面，超幀 206可例如在新網絡設備加入無線網絡14稍后的時間或在網絡管理器27為 了諸如適應塊模式傳輸之類的特殊目的而分配臨時資源時被創建。在網絡調 度表200運行期間網絡管理器27可指派給ASN計數器68的值通常用序列212表示。應當注意到，ASN計數器68的值隨著每個新時隙增加，與時隙 所關聯的超幀無關。
再參見圖1，網絡設備25A-B和30-50中的每一個可以維護ASN計數 器68的一個本地副本。在無線網絡14運行期間，網關設備22可以將ASN 計數器68的當前值傳播到每個網絡設備25A-B或30-50以進行網絡同步。 然后，每個網絡設備25A-B或30-50可以將ASN計數器的本地副本與在網 關設備22所發送的數據包中報告的值相比較，并且如果需要的話，更新該 本地副本，以匹配根據該消息的傳播延遲而調整的ASN計數器的值。例如， 在網關設備22向鄰居設備發送包時所在的時隙之后的第三時隙中，網絡調 度表66可以指定網絡節點32接收由網關設備22發起的并且與特定的超幀 相關聯的一定類型的it據包。相應地，網^各節點32可以4企查由網全各節點32 存儲的當前ASN值是否確實是包括在該數據包中的ASN的值加上3 (即自 從網關設備22發出該數據包以來被調度的時隙的數目)。
應該進一步注意到的是，通過沿多個路徑將ASN信息傳播到每個網絡 設備25A-B和30-50 (圖1 )，無線網絡14確保當直接無線連接65中的一 些直接無線連接遇到障礙物或因為其它原因故障時，網絡設備25A-B和 30-50通常訪問同步信息至少一次，從而增加無線網絡14的穩定性并提高它 的總恢復力。
作為補充或可替代地，網絡設備25A-B和30-50也使用包括在數據包中 的ASN值來確定該數據包的壽命。例如，目的網絡節點可以接收數據包、 從該ASN值的本地副本提取在發起網絡節點插入到該數據包中的ASN、并 且通過將時隙數之差乘以單個時隙的持續時間來計算該數據包的壽命。應該 注意到的是，通過依賴于包括在數據包中的該ASN值，無線網絡14可以實 施存活時間(TTL)要求、執行網絡診斷、收集傳遞延遲統計等等。
在某些實施例中，鄰居設備對之間的每個消息都可以在網絡協議數據單 元(NPDU)中包括該ASN值。如果無線網絡14使用圖2中示意性地示出 的無線HART協議70,與層78相關聯的每個幀可以包括該ASN值，以確保共享直接無線連接65的鄰居被適當地同步。在一個特定的實施例，每個
網絡設備25A-B或30-50可以在NPDU幀中僅僅包括該ASN值的一部分， 以減少在該網絡層協議的層級上發送的數據的量。更為具體地，無線網絡 14可以維護32位ASN值，但是相應的ASN片可以僅僅包括該ASN值的低 16位。將會理解的是，因為在秒或甚至毫秒內傳遞典型消息，所以該ASN 值的若干低位可以足夠測量該TTL值。當然，其它實施例可以使用甚至更 小的片。
進一步，網絡設備25A-B和30-50可以4吏用該ASN值來確定特定超幀 中的當前時隙。在某些實施例中，這些設備可以應用下列函數以計算超幀內 的相對時隙數
相對時隙數-ASN。/。(該超幀的長度)， 其中符號"％"表示模數除法函數。網絡設備25A-B或30-50可以使用該 公式來構造將要在相關超幀中發生的時隙的有序列表。將會注意到的是，在 某些實施例中，每個一定長度的新幀可以在這樣時刻開始以使整數個這種長 度的超幀在該時刻和該網絡的開始時刻之間合適。例如，再參見圖7，超幀 206可以具有/乂個時隙，并且可以相應地開始時隙0, 8， 16,…，8n,其中 n是整數。在其它實施例中，新超幀可能不在等于該超幀長度的倍數的ASN 值處開始，并且正在加入的設備可能增加另外的偏移量到應用以上公式得到 的結果中。
在另一實施例中，嘗試加入無線網絡14的那些設備可能使用該ASN值 以適當地與活動網絡調度表66同步。具體來說，每個活動的網絡設備25A-B 和30-50可以周期性地發出廣告包，這些設備的潛在新鄰居可以處理這些廣 告包以確定一個或更多新的直接無線連接65是否可以形成在正在加入的設 備和這些廣告設備中的再一個之間。除了估計與每個廣告(潛在)鄰居相關 聯的信號的強度和可選的信號的質量，該正在加入的設備在處理廣告包時可 以考慮許多其它因素。例如，每個廣告包可以包括網絡身份字段，該正在加 入的設備可以將該網絡身份字段與該正在加入的設備先前已經被規定的網絡身份相比較。如果若干無線網絡14運行在彼此相距較短的距離內運行或 者如果這些網絡所覆蓋的地理區域之間有些重疊，則該過程可確保正在加入 的設備加入正確的網絡。
圖8示意性地示出了若干組件，其運行以向無線網絡14提供若干等級 的安全性。如以上所提及的，安全管理器28可產生、維護、更新以及以別 的方式管理密鑰組63,同時網絡管理器27可進一步通過保證新加入的網絡 設備來增強網絡安全性，直到操作人員例如提供對完全加入無線網絡14的 明確批準。 一般而言，網絡管理器27和安全管理器28可通過一個或更多會 話專用密鑰來保護無線網絡14中的基于會話的通信中的至少一些通信。繼 續以圖1的隔離的網絡設備69為例，網絡定理器27最初可已經建立了加入 會話220以接收該身份并驗證網絡設備69的加入密鑰222。在這種意義上， 加入密鑰222可^^理解為網絡管理器可類似地存卩諸的正在加入的設備的密 碼。操作員可以使用維護端口 223或網絡設備69的另一本地接口來將加入 密鑰222寫入到設備存儲器中并且使用例如工作站16上的操作員接口來將 同一加入密鑰寫入到網絡管理器27。在某些實施例中，每個正在加入的網 絡設備可具有唯一的密鑰以進一步提高安全性。
具體來說，關于維護端口 223，將會注意到的是，在某些實施例中的隔 離的網絡設備69可以僅通過物理連接到維護端口 223的被正確鑒權的設備 接受配置變化。在這種方式下，手持式設備55可能不經過另一網絡設備的 維護端口 223訪問一個網絡設備的配置信息。如果想要的話，操作員可將該 加入密鑰寫入到網絡設備69，同時該設備是空閑的以便該網絡設備可在請 求并協商允許加入無線網絡14時4吏用該加入密鑰。然而，維護端口 223的 使用并不需要受限于初始配置，并且網絡設備25A-B、 30-50以及69中的至 少一些可在所有運行狀態下經由維護端口 223與維護設備(例如，手持式設 備55、膝上型電腦、工作站16等等)進行通信。除了接受諸如加入密鑰222、 網絡身份之類的基本配置，維護端口 223還可以提供診斷信息給維護設備以 及診斷、配置或校準信息給不支持無線接口的一些現有遺留工具。如果想要的話，維護端口 223可以是諸如RS-232之類的串行端口 。可替代地，維護 端口 223可以以任何其它方式，例如經由紅外或藍牙連4妻來實現。
在實施例中，維護端口 223可以支持與無線網絡14中使用的協議(例 如，無線HART協議70)共享一個或若干上層的有線協議。例如，無線HART 協議70可以支持針對網絡管理、設備管理和配置、過程數據傳輸等等的命 令，其中至少 一些還可以在諸如支持令牌傳送數據鏈路層的頻移鍵控 (FSK )、相移鍵控(PSK )或RS-485之類的有線物理鏈路層上進行分層(見 圖2 )。換句話說，維護端口 223可支持有線HART協議72或者由有線HART 協議72和無線HART協議70共享的命令中的至少一些命令。網絡設備 25A-B、 30-55或69可以經由維護端口 223接受無線HART協議70的一個 或若干配置命令，并且在至少一個實施例中，可以拒絕經由網絡設備25A-B、 30-55或69的無線接口到達的相同的一個或若干配置命令。相反地，網絡設 備25A-B、 30-55或69可以拒絕某些命令，如果這些命令經由維護端口 223 到達。在這種方式下，網絡設備25A-B、 30-55或69可以有利地僅僅支持單 組命令，但這些命令中的一些命令可能局限于特定的接口 。
在成功結束加入會話220時，網絡管理器27可給網絡設備69提供網絡 密鑰224,網絡設備25A-B和30-50中的每個網絡設備可使用該網絡密鑰224 支持成對(即一對一)網絡管理器會話225。進一步，網絡管理器27可提 供用于驗證和處理網絡廣播會話228的廣播消息的廣播密鑰226。同時，網 絡管理器27可能不給網絡設備69提供分別針對成對會話234和廣播會話 235的密鑰230和232,直到網絡設備69退出隔離模式。更為具體地， 一從 操作人員接收到相應的指令，或者作為自動決策的結果，網絡管理器27可 以將網絡設備69從隔離模式中釋放。例如，在準許完全進入無線網絡14之 前，網絡管理器27可維護隔離計時器或可只監測隔離的網絡設備69的可疑 活動。
作為補充， 一旦和如果網絡管理器27將網絡設備69從隔離中釋放，網 絡設備69可以在暫時性或永久性的基礎上獲取其它密鑰和會話。例如，由
41手持式密鑰240保護的會話238可以是用于監測或規定的手持式會話。在一 些實施例中，從隔離中釋放出的網絡設備69還可建立一些未被保護(即未 用密鑰鎖定的)會話。
在這一點上，將會注意到的是，密鑰222、 224、 226、 230、 232或240 中的一些或所有可以是適合于鑒權和/或加密的數據的任何單元。例如，一 些密鑰可以是諸如AES-128對稱密鑰之類的高級加密標準(AES) AES密 鑰。當然，也可以使用諸如由日本電報電話(NTT)和三菱公司開發的Camellia 加密算法之類的任何其它加密標準。作為替代，例如，這些密鑰可以只是作 為未加密文本存儲的密碼。作為又一替代，無線網絡14可要求對一些會話 進行加密以及僅僅進行關于其它會話的完整性檢查(即基于私鑰生成唯一的 消息摘要)。
還將會理解的是，網絡管理器27可以從安全管理器28接收密鑰組63 中的一些或所有密鑰。進一步，以上描述的運行中的一些或所有運行可以以 任何方式分布在網絡管理器27和安全管理器28中，或者可替代地，這兩個 實體可以作為單個任務來實現。
圖9-10進一步示出了在無線HART協議70的數據鏈路層76和網絡層 78 (見圖2)處的消息的鑒權和加密的使用。接下來，圖11-14示出在無線 網絡14內的各種運行階段的獨立網絡設備的運行，圖15-16示出與密鑰管 理相關的且保證新加入的設備的若干網絡設備之間交互的若干示例性場景。
具體來說，圖9示出生成數據鏈路協議數據單元(DLPDU ) 252的消息 完整性編碼(MIC)的一個實例。在這個實例中，DLPDU 252的凈荷254 可以不纟皮加密，并且MIC 250可以僅僅用來確i人還不存在對DLPDU252的 篡改。因此，MIC發生器256可以在消息輸入258處接受0長度(即空)消 息并且在非加密輸入262處接受凈荷254連同包頭260。 ASN計數計數器 68可以和源地址264合并以定義針對當前輸入266的唯一當前值。在這種 方式下，網絡設備25A-B、 30-55以及在某一點的隔離的網絡設備69可以生 成不重復的當前值。在另一方面，在一對通信網絡設備之一處的"漂移的"或相反不正確的ASN值將導致一個該通信對中的另一網絡設備可能不能復制 的當前值，從而未能確認該消息的完整性并觸發例如否定的確認。然后，發
起設備可嘗試重新使該ASN值與網絡管理器27維護并通過無線網絡14傳 播的精確的全局ASN值68同步。
繼續參照圖9, MIC發生器256可使用網絡密鑰224 (見圖8 )作為用 于生成MIC250的參數之一。然而，因為正在加入的設備仍可能具有網絡密 鑰224，所以正在加入的設備可使用已知密鑰268。操作員可經由相應的維 護端口將已知密鑰268編程到一些或所有無線設備，并且安全管理器28例
對于中斷消息，或者在網絡密鑰224可能是未知的、不可用的、折衷的、或 相反與已知密鑰268相比不太可取的其它場景中，MIC發生器256還可以 使用已知密鑰268。
同時，無線HART協議70可支持在網絡層78上進行加密以使得該凈 荷對不具有MIC發生器282 (圖10)的會話密鑰280的任何入侵的或未經 授權的參與者來說難以理解。因為網絡層78可支持多個不同類型的會話(即 網絡設備25A-B或30-55和網關設備22之間的廣播，網絡設備25A-B或 30-55和網絡管理器27之間的單播等等)，所以會話密鑰280可以是圖8 的密鑰組63中的密鑰之一。相同的密鑰280可以用于才艮據非編碼的NPDU (未示出)生成加密的網絡協議凄t據單元(NPDU ) 284。如圖10中示出的， 加密的NPDU凈荷284和包頭286分別可以是MIC發生器282的消息輸入 288和另外的未加密輸入290。
在一些實施例中，每個網絡設備25A-B、 30-55和69可以維護每個會話 的當前計數器292。不像全局性ASN計數器68,本地當前計數器292可以 僅僅對一對網絡設備有意義。因此，MIC發生器282可生成MIC294, MIC 294可以僅僅由具有會話專用密鑰280并適當地維護匹配會話專用當前計數 器292的一個或若干網絡設備25A-B、 30-55以及69來驗證。
一般而言，關于圖9和10，將會注意到的是，無線HART協議70還可以在任何一個或若干協議層76-86纟是供加密。相反地，無線HART協議70 的 一些實施例可以不提供在任何協議層進行加密，并且可以僅僅生成消息鑒 權編碼作為防御篡改的防衛。
現在參見圖11，狀態圖300示出與參與無線網絡14的網絡設備的網絡 協議層相關聯的有代表性的狀態中的一些狀態。將會注意到的是，狀態圖 300與網絡設備25A-B或30-50中的特定實施例相對應，并且在其它實施例 中，相應的狀態機可以將圖11中示出的某些狀態結合在一起，或者相反地， 實現響應于較少或更多過渡事件的更多狀態。進一步，本領域普通技術人員 將會理解的是，網絡設備25A-B或30-50可以實現與不同運行模式、會話、 網絡層等等相關聯的多個并發狀態機，并且例如， 一些假設的實施例可以將 狀態圖300中示出的一些操作與其它協議層相關聯。
如在圖11中示出的，網絡設備可以在上電時進入狀態302并且保持在 空閑狀態302直到接收到發起加入序列的命令。在狀態302，可以不規定該 網絡設備與無線網絡14的任何其它設備通信。在這些實施例的至少某些實 施例中，操作員可以經由維護端口 223給該網絡設備規定一個或更多安全密 鑰、網絡身份和或其它配置數據。
在加入狀態304中，該網絡設備可以開始收聽廣告消息并且嘗試通過將 該廣告消息中報告的網絡身份與該網絡設備已經被規定了的網絡身份值相 比較來定位無線網絡14。具體來講，加入過程可以隨著該網絡設備選擇特 定的無線電信道并開始收聽廣告包而開始。這種運行模式可以稱為混雜模 式。如果該網絡設備在一定量的時間(例如四個時隙、 一秒等等)內沒有接 收到廣告包，則該加入過程可以選"^不同的無線電信道以進行另一迭代。另 一方面，如果該網絡設備接收到廣告包，則該加入過程可以處理該包并且接 受該廣告或返回到混雜模式并收聽另外的廣告包。在可替代的實施例中，在 從積累的組中選擇最佳候選者之前，該加入過程可以積累一定數目的廣告 包。
例如，在估計廣告包時，該網絡設備可以考慮若干諸如潛在鄰居設備所發送的信號的強度之類的因素。因為定義信號質量差的鏈路可能不是想要 的，或者因為關于選擇一個或更多鄰居，網絡設備可以具有若干選擇，所以 將信號強度認為是在通過圖或源路由定義路由時以及在定義調度表時的因 素之一可能是想要的。更為具體地，該網絡設備可以計算用來指示信號的能
量而非質量的接收信號強度指示(RSSI)。為了達到RSSI值，該網絡設備 可以測量可以用檢測信號的分貝來表示的接收信號電平(RSL )。可替代地， 該網絡設備可以選擇傳統的測量信號的質量而非強度的方法。在一些實施例 中，該網絡設備可以報告信號強度測量值給網絡管理器27，并且接著可以 等待從網絡管理器27接收超幀、圖以及鏈路配置。在一些實施例中，網絡 管理器27可以進一步在圖和調度表形成期間考慮計劃的跳數、計劃的通過 每個節點傳播的業務量、每個節點的功率能力以及得到的每種類型業務的等 待時間等等這一類因素。
除了 ASN計數器68的值，每個廣告包可以指定無線網絡14的安全設 置，例如是否需要密鑰來請求允許進入、是否需要單獨的密鑰來協商會話等 等。進一步，廣告包可以指定至少一個加入鏈路，正在加入的設備可以用所 述至少一個加入鏈路來與網絡管理器27協商允許進入無線網絡14,并且如 果需要的話，與安全管理器28交換鑒權信息(優選地但并不必要地，網絡 管理器27和安全管理器28共享公共地址以簡化無線網絡14的設計和維 護)。正在加入的設備可以為了限制的目的使用這些加入鏈路，而不能夠訪 問其它網絡功能或消費其它網絡資源。在一些實施例中，這些加入^fe路中的 每個加入鏈路可以被共享，并且這些正在加入的設備可以通過應用指數后退 (exponential back-off) 4支術來解決訪問沖突。
通過處理廣告消息，該網絡設備還可以與無線網絡14同步并且更新 ASN計數器68的本地副本。 一旦同步完成，該網絡設備可以將用于準許進 入無線網絡14的請求轉發到網絡管理器27。為了這個目的，該網絡設備可 以從一個或更多廣告包提取關于可用加入會話的信息。
接下來，網絡定理器27還可以執行一個或更多鑒權過程，以確保該網絡設備被正確授權以參與無線網絡14。繼續參見圖11,該網絡設備可以在
隔離狀態306下運行，直到網絡管理器27或外部應用完全批準新加入的網 絡設備。盡管在隔離狀態306下，該網絡設備仍可以執行在無線網絡中的有 限功能。例如，網絡設備可能不被允許轉發對等網絡設備25A-B或30-50發 起的數據包，直到被允許轉換到運行狀態308。
在運行狀態308,該網絡設備可以完全參與所有網絡操作，例如，與網 關設備22進行交互以提供到外部應用對該網絡設備的不同運行參數的訪 問，在塊傳輸模式下協商用于公布被調度的過程數據或未被調度的數據的帶 寬，以及例如發出廣告包以邀請新的無線i殳備加入無線網絡14。如以上所 指示的，在運行狀態308下，該網絡設備還可以被允許在對等網絡設備25A-B 或30-50之間路由數據。
在無線網絡14運行期間的某 一點上，網關設備22可以從外部網絡接收 可能有一個爆炸性的無線電敏感設備在一個或多個無線網絡設備25A-B或 30-50附近的指示。網關設備22可以將該指示轉發給網絡管理器27，網絡 管理器27接下來可以廣播一個請求中止無線網絡14中的所有通信的中止消 息。可替代地，網關設備22可以在將網關設備22連接到工廠自動化網絡 12的有線接口上支持中止命令。例如，被正確授權的操作員可以使用工作 站16以通過直接或經由網關設備22向網絡管理器27發出某個命令來中止 無線網絡14。
在某些實施例中，該中止命令可以是從網絡管理器27或網關設備22到 每個網絡設備25A-B和30-50的攜帶相同信息的廣播消息。例如，該廣播的 中止命令可以指定這些通信應該停止的時刻，以及可選地，這些通信應該重 新開始的時刻。可替代地，該中止命令可以指定這些無線通信應該停止的時 刻以及這些通信不被允許重新開始時所在的安靜時間的持續時間。在又一替 代中，每個網絡設備25A-B或30-50在接收到該中止命令時可以啟動一計時 器并在時間期滿時重新開始通信。例如，每個網絡i殳備25A-B或30-50可以 被預先配置為在接收到該中止命令之后中斷通信五秒鐘。當然，依賴于例如設備類型，網絡設備25A-B或30-50中的一些網絡設備還可以被配置有不同 的超時值。如又一替代，該超時值可以與無線網絡14中的最快設備的更新 速率成比例。將會注意到的是，這些實例中的中止命令不需要指定這些通信 應該重新開始的時刻。
無線網絡14的某些實施例還可以將該中止命令作為單播消息或組播消 息來使用。例如，諸如工作站16之類的外部主機可以向網絡管理器27發送 報告，其指定可以要求只針對一定地理區域的無線電靜默的條件。在某些實 施例中，網絡管理器27可以不僅示意性地(例如維護基于信號強度等等的 圖)而且空間地即根據網絡設備25A-B或30-50的至少大概物理位置知道無 線網絡14的拓樸。在這些實施例中，網絡管理器27可以能夠確定如果有的 話網絡設備25A-B和30-50中的哪一個網絡設備與該條件報告中指定的地理 區域最接近。然后，網絡管理器27可以通過發送單播或組播中止命令給相 關的網絡設備25A-B和30-50來中止無線網絡14中特定部分中的通信。
再參見圖11，實現狀態機300的網絡設備可以轉換到中止狀態310。在 這種狀態下，該網絡設備至少可以中止無線電傳輸。在某些實施例中，該網 絡設備還可以停止收聽進入的數據以保存電池的壽命。然而，假設在至少一 種可能的實現中，無線網絡14中的傳輸的中止可以是不確定的，并且網絡 設備25A-B和30-50可以不發送數據直到接收到用以取消該中止命令的喚醒 命令。在這種情況下，網絡設備25A-B和30-50可以以調度的速率或以降低 的速率，例如通過每秒喚醒一次，繼續收聽傳入的數據。在圖11中示出的 特定實施例中，該網絡設備可以在轉換到中止狀態310時啟動一中止計時 器。如果想要的話，該中止計時器可以是在該中止消息中指定的傳輸重新開 始時間與當前時間之差或可替代地經過該維護端口給該網絡設備規定的預 定值。
仍然參見圖11,當該中止超時期滿時，該網絡i殳備可以乂人中止狀態310 向重新同步狀態312轉變。如以上討論的，在可替的代實施例中的一些實施 例中，這種向狀態312的轉變能夠由明確的指令來觸發。在重新同步狀態312，該網絡設備可以在相對時間106處(見圖3)確定時隙的開始，并且一旦確定了該時隙計時，該網絡設備可以在該網絡設備參與的 一個或更多超幀中計算相對時隙數。為個了這目的，該網絡設備可以應用以上提出的模數
除法公式，即該網絡設備可以基于該ASN值計算該相對時隙數。因此，基于該獨立網絡設備的內部時鐘，狀態304-312可以包括ASN計數的連續更新。在這種意義上，該網絡調度表可以前進相同時隙數，不管一個或更多網絡設備25A-B或30-50是否在中止狀態310中。
圖12示意性地示出隔離的網絡設備69可以從鄰居設備34接收的受限制鏈路圖340。受限制鏈路圖340可以在網絡廣播會話228中僅僅包括用于從網絡管理器27接收廣播命令的鏈路342、用于與網絡管理器27的成對通信會話225的專用鏈路344以及用于向網絡管理器27傳播中斷請求、帶寬請求或其它消息的共享鏈路346和348。相反，運行在狀態308 (見圖11)的網絡設備34的未受限制鏈路圖350可以包括用于建立與網關設備22的成對通信會話234的鏈路352、用于與手持式設備55 (見圖8)的成對通信會話238的鏈路354以及用于執行為無線網絡14的完全運行的設備保留的操作的其它鏈路。在另一方面，未受限制鏈路圖35還包括用于在諸如圖1的網絡設備23的50之類的其它網絡設備對之間轉發數據的一個或若干鏈路(例如鏈路356 )。在這種意義上，隔離的網絡設備69可能不被允許"看到"由其它網絡設備發起的數據，除非網絡設備69是該數據的最終接收方。雖然每個會話優選地在網絡層78上被編碼以便轉發設備不能解密被加密的NPDU凈荷284 (因為轉發設備可能不具有合適的會話密鑰或相應的當前計數器292)，但受限制的鏈路圖340提供了另外的保護等級并且進一步增強了無線網絡14的安全性。
為了進一步示出無線網絡14如何保證安全運行，圖13包括可以在對無線網絡14進行初始化時運行的示例性啟動過程400。具體來說，過程400可以包括第一步驟402,在第一步驟402期間，網關設備22啟動并初始化。在步驟404，網關設備22可以創建網絡管理器27的例子。將會注意到的是，盡管示例性步驟404包括將網絡管理器27創建為和網關設備22運行在同一物理主機上的軟件例子，不過網絡管理器27還可以運行在工作站16或18之一上或者可以分布在若干硬件組件中。在可替代實施例中，網絡管理器27可以首先啟動，并且可以創建虛擬網關24的例子。
然后在塊456,網關設備22或網絡管理器27可以創建安全管理器28的例子。在無線網絡14的運行期間，安全管理器28可以與網絡管理器27一起工作以保護無線網絡14免遭各種敵對威脅。具體來說，安全管理器28可以提供安全密鑰給網絡管理器27,該安全密鑰可用于無線網絡14中的設備鑒權和數據加密。安全管理器28可生成和管理無線網絡14所用的加密材料，并且還可負責生成、存儲和管理這些密鑰。在塊408中，安全管理器28可建立與網絡管理器27的連接。在接下來的運行中，安全管理器28可以與網絡管理器27在服務器-客戶端架構下緊密工作。在一實施例中，安全管理器28的單個例子可以服務超過一個無線網絡14。
接下來在塊410中，網關設備22可以啟動提供時鐘控制或同步。因為無線網絡14可以具有超過一個網關設備22,并且因為同步通常來自單個源，所以網絡管理器27可以明確地指派同步的源。例如，網絡管理器27可以指派網絡接入點25A作為時鐘控制源。如果想要的話，圖1的網絡接入點25A和網絡接入點25B可以提供同步的時鐘控制信號。
繼續參照圖13,在塊412中，網絡管理器27可以創建無線網絡14的第一超幀和第一網絡圖。然后，在塊414,無線網絡14開始發廣告以便現場設備30、 32等等可以處理廣告包并且發起加入該網絡的過程。如以上討論的，網關設備22可以作為網絡設備駐留在無線網絡14上。因此，現場設備可以使用與這些設備用來與相鄰現場設備進行通信的相同命令和過程與網關設備22進行通信。進一步，現場設備可以接收和響應于來自包括網關設備22在內的任何網絡設備的廣告包。
為了進一步闡明以上討論的技術，圖14是示出可選地導致隔離狀態306的加入場景430中涉及的交互中的一些交互的消息序列圖。將會注意到的是，場景430可能不包括在參與設備之間發送的每個消息，并且圖14僅僅提供加入序列的一個示例性實現的高度概括。參見圖14,維護工具440可以經由例如維護端口 223將無線網絡14的加入密鑰222和網絡身份寫入到無線設備424中。在這里示出的特定實施例中，維護工具440可以執行預定義的寫入配置命令444以規定無線設備442。再參見圖11，當接受并處理該寫入配置命令444時，無線設備422可以在空閑狀態302。
在接收到激活命令時，或者響應于來自手動開關的信號，例如，無線網絡442可以開始從一個或更多鄰居設備收聽廣告消息。為了筒單起見，圖14示出單個鄰居450的過程時間表。然而，將會注意到的是，無線設備442可類似地與若干鄰居450進行交互。如以上關于圖ll所討論的，廣告消息452可以指定全局性ASN計數68、加入鏈路的列表等等。無線設備442可以響應一個或若干過程廣告消息452,并且如果鄰居設備450是適合的且比其它鄰居設備(未示出)更可取，則無線設備442可經由鄰居450和網格460發送加入請求454給網絡管理器27。
響應于接收到加入請求454,網絡管理器27可以發起鑒權過程464。具體來說，網絡管理器27可以與安全管理器28進行交互以驗證由無線設備442提供的加入密鑰(例如，通過對用AES-128加入密鑰222編碼的消息進行解碼、通過將存儲在加入密鑰222中的未編碼的密碼數據序列與本地副本相比較等等)。進一步，網絡管理器27可以查詢數據庫(未示出)以查看在加入請求454中提供的設備身份是否與在數據庫中規定的身份之一相匹配，或者可替代地，網絡管理器27可以檢查該設備身份的格式以篩選出未識別的或不支持的身份類型。將會注意到的是，作為鑒權過程462的 一部分，網絡管理器27或安全管理器28可以請求諸如對加密詢問的響應之類的附加數據，并且可以與無線設備442交互附加消息。
接下來，在過程464中，網絡管理器27可以分配資源和有可能的話，一個或更多會話密鑰。如上所提及的，在加入狀態304,無線設備442可以獲取用于與網絡管理器27進行通信的若干加入鏈路。具體來說，無線設備442可以使用加入鏈路來協商帶寬要求、提交指示來自每個鄰居的信號的強度和/或質量的鄰居報告等等，網絡管理器27可以使用該報告調整無線網絡14。分配鏈路資源的這些消息和這些會話密鑰被分別示出為消息466和468。在某些實施例中，網絡管理器27可以在4^受加入請求454之后立即為無線設備442提供網絡密鑰224，并且可以用網絡密鑰224進行編碼或保護連續消息466-468中的至少一些消息的完整性。將會注意到的是，當無線設備442協商進入無線網絡14、接收加入密鑰222、從網絡管理器27獲取資源等等時，維護工具440可以響應于用戶請求更新或以其它任何方式通過周期性輪詢來監測無線設備442的進展。圖14示出該狀態更新過程為監測器請求469和監測器響應470。在其它實施例中，無線設備442可以生成一個或若干未經請求的監測器響應470。如果經由維護端口 223連接到無線設備442，維護工具440可以只收集監測器響應470。進一步假設維護工具440可以將狀態更新以文本表示、以圖形表示或以任何其它方便的格式呈現給用戶。
在某些實施例中，在完成加入序列時，無線"i殳備442可自動地進入隔離狀態306。在其它實施例中，網絡管理器27可以明確地指令無線設備442保持在隔離狀態306或進行到完全運行狀態308。在又一實施例中，無線設備442可以通過分析鏈路圖340 (見圖12)來確定無線設備442是否已經被隔離。
為了減小由于相同網絡密鑰224或者密鑰組63中的另一密鑰的延長使用而使得入侵者破解無線網絡14的加密的概率，安全管理器28可以不時至少更新網絡密鑰224并廣"f番新值給每個網絡設備25A-B和30-55。圖15示出網絡密鑰更新過程500。在過程500的開始，網絡管理器27可以乂人安全管理器28接收新的密鑰(塊502)。如果想要的話，安全管理器28可以運行一周期性定時器以例如每天一次或每十二小時一次更新網絡密鑰224。可
替代地，網絡管理器27可以使用手持式設備55或工作站16從操作員接收手動命令。
然后，網絡管理器27可以經由相應的鄰居450將廣播寫入密鑰命令504
51傳播到每個網絡設備432。在實施例中，廣播寫入密鑰命令504可以指定每個網絡設備25A-B、 30-55和69必須更新網絡密鑰224的時間。如果想要的話，該時間可以被指定為ASN值510。每個網絡設備可以確認接收到廣播寫入密鑰命令504并傳播響應消息512到網絡管理器27。
在對應于ASN值510的時刻，每個網絡設備25A-B、 30-55和69可以開始用網絡密鑰224的新值進行編碼或至少生成這些數據包的MIC。然而，因為在無線網絡14中可能存在用舊網絡密鑰224產生的未完成消息，所以無線網絡14可在網絡狀態520保留該舊值。在該間隔期間，網絡設備25A-B、30-50和69可以基于例如相應的數據包的時間戳來選擇地應用網絡密鑰224的兩個值之一。
最后，在過程530中，在對應于ASN值522的時刻，無線網絡14可以丟棄網絡222的舊值。在一些實施例中，ASN值522可以包括在廣播寫入密鑰命令504中。作為替代地，網絡管理器27可以向無線網絡14中的所有設備廣播清除網絡密鑰命令(未示出)。作為又一替代，可以規定每個網絡設備具有對應于ASN值522和ASN值510之差的時間間隔。在這些實施例中的任何實施例中，該時間間隔可以至少與無線網絡14中的存活最長的數據包的存活時間(TTL)一樣長。因為確定該精確值是困難的，所以無線網絡14可以只實現與存儲在TTL字段中的最大值相對應的間隔值，例如由最大的兩字節TTL值指定的216個時隙。
盡管上述內容詳細說明了多個不同的實施例，不過應該理解本發明的范圍由本專利的末尾處提出的權利要求書中的語句來限定。由于說明每一種可能的實施例即使不是不可能的，也是不切實際的，所以上述詳細說明應該被解釋為僅用于說明目的，而并沒有說明每一種可能的實施例。許多可替代實施例可以用當前的技術或本專利的申請日之后開發的技術來實施，這將仍然落入權利要求的范圍內。
權利要求
1、一種在過程控制環境下運行且包括多個無線網絡設備的無線網狀通信網絡中增強安全性的方法，該方法包括處理來自希望加入該無線網狀通信網絡的無線設備的加入請求；如果所述加入請求被準許，則提供有限的網絡功能給所述無線設備；請求完全批準所述無線設備；并且如果完全批準所述設備被接收到，則準許給所述網絡設備完全的網絡功能。
2、 根據權利要求1所述的方法，其中處理來自無線設備的加入請求包括接 收與所述無線設備相關聯的身份信息，并且其中請求完全批準所述無線設備包 括將所述身份信息提供給操作人員。
3、 根據權利要求1所述的方法，其中提供有限的網絡功能給所述無線設備 包括允許所述無線設備指定數據的來源； 允許所述無線設備接收數據；并且阻止所述無線設備將從所述多個網絡設備之一發送來的數據路由到所述多 個網絡設備中的另一個網絡設備；其中準許給所無線設備完全的網絡功能包括允許所述無線設備將從所述多個網 絡設備之一發送來的數據路由到所述多個網絡設備中的另 一個網絡設備。
4、 根據權利要求3所述的方法，其中將有限的網絡功能提供給所述無線設 備進一步包括阻止所述無線設備與將所述無線通信網絡連接到工廠自動化網絡的網關設 備建立通信會話。
5、 根據權利要求1所述的方法，其中提供有限的網絡功能給所述無線設備 包括為所述無線設備提供與所述完全的網絡功能相關聯的密鑰組的子組；其中 在所述密鑰組中但不在所述子組中的密鑰中的至少一個密鑰是用于建立與所述 多個網絡設備之一的安全通信的加密密鑰。
6、 根據權利要求1所述的方法，進一步包括 在生成所述加入請求之前，為所述無線設備規定加入密鑰；并且 為網絡管理器規定所述加入密鑰，其中所述網絡管理器負責管理所述無線網狀通信網絡。
7、 根據權利要求6所述的方法，其中為所述無線設」l、規定所述加入密鑰包 括經由維護端口將規定工具連接到所述無線設備，其中所述維護端口僅限制對 所述無線設備的訪問。
8、 根據權利要求1所述的方法，其中處理來自所述無線設備的加入請求包括建立所述無線設備和所述多個網絡設備中的至少一個網絡設備之間的直接 無線連接；并且將加入請求經由所述多個網絡設備之一從所述無線設備傳播到負責管理所 述無線通信網絡的網絡管理器。
9、 根據權利要求8所述的方法，進一步包括在所述網絡管理器維護絕對時隙數，所述絕對時隙數指示自從所述無線網 絡的啟動時間以來被調度的通信時隙數，其中所述多個網絡設備中的每個網絡 設備與所述多個網絡設備中的至少一個其它網絡設備在與各自的具有重復順序 的通信時隙的超幀相關聯的通信時隙內進行通信；并且其中 提供有限的網絡功能給所述無線設備包括提供所述絕對時隙數給所述無線設備；并且 在所述無線設備和所述多個網絡設備之一之間交換多個消息，包括 通過將所述絕對時隙數包括在用于生成消息完整性編碼的當前值中來為 所述多個消息中的至少一個消息生成該消息完整性編碼。
10、 根據權利要求1所述的方法，進一步包括驗證從所述多個無線網絡設備中的每個無線網絡設備發送來的至少一種類 型的數據包，包括將網絡密鑰應用到所述數據包；響應于檢測到第一條件，更新所述網絡密鑰；并且將更新后的網絡密鑰傳播給所述多個無線網絡設備中的每個無線網絡設備。
11、 根據權利要求IO所述的方法，其中將更新后的網絡密鑰傳播給所述多個無線網絡設備中的每個無線網絡設備包括指定更新后的網絡密鑰替換網絡密鑰的舊4直的時間。
12、 一種在過程控制環境下使用的安全無線通信網絡，包括多個完全使能無線網絡設備，各執行多個網絡功能；多個直接無線連接，其連接所述多個完全使能無線網絡設備中的完全使能網絡設備對；隔離的無線設備，其經由直接無線連接被連接到所述多個完全使能無線網絡設備之一；其中所述隔離的無線設備執行所述多個網絡功能的子組。
13、 根據權利要求12所述的安全無線通信網絡，其中所述多個網絡功能包括在所述多個網絡設備中的網絡設備對之間發起數據包、接收數據包以及轉發數據包；并且其中所述多個網絡功能的子組不包括轉發數據包。
14、 根據權利要求12所述的安全無線通信網絡，進一步包括有限的鏈路資源，其與所述直接無線連接以及定期發生的預定持續時間的通信時隙相關聯，其中所述隔離的無線設備僅僅通過所述有限的鏈路資源與所述多個完全使能無線網絡設備之一進行通信。
15、 根據權利要求12所述的安全無線通信網絡，其中所述隔離的無線設備包括用于連接到維護工具的維護端口；其中所述維護工具僅僅在通過無線設備的維護端口被連接到該無線設備時規定該無線設備。
16、 根據權利要求12所述的安全無線通信網絡，進一步包括與所述多個完全使能無線網絡設備之一相關聯的未受限制的鏈路圖；以及與所述隔離的無線設備相關聯的受限制的鏈路圖；其中所述未受限制的鏈路圖包括被所述受限制的鏈路圖排除在外的轉發鏈路，并且其中所述轉發鏈路支持將數據包轉發到所述多個完全使能無線網絡設備中的另 一個完全使能無線網絡設備。
17、 根據權利要求16所述的安全無線通信網絡，其中所述未受限制的鏈路圖進一步包括用于維護與將所述安全無線通信網絡連接到工廠自動化網絡的網關設備的通信會話的鏈路；并且其中所述受限制的鏈路圖不包括用于維護與該網關設備的通信會話的鏈路。
18、 根據權利要求12所述的安全無線通信網絡，其中所述多個完全使能無線網絡設備之一包括密鑰組，所述密鑰組中的每個密鑰用于維護多個安全通信會話中各自的安全通信會話；并且其中所述隔離的設備包括所述密鑰組中的一部分。
19、 根據權利要求18所述的安全無線通信網絡，其中所述密鑰組包括網關密鑰，用于編碼與將所述安全無線通信網絡連接到工廠自動化網絡的網關設備的通信會話；其中所述網關密鑰不包括在所述密鑰組的所述一部分中。
20、 根據權利要求18所述的安全無線通信網絡，其中所述密鑰組包括手持式密鑰，用于編碼與用于在無線通信網絡中執行監測、診斷或維護功能中的至少 一項的手持式設備的通信會話；其中所述手持式密鑰不包括在所述密鑰組中的所述一部分中。
21、 根據權利要求12所述的安全無線通信網絡，進一步包括絕對時隙數(ASN)計數器，其中所述絕對時隙數指示自從所述無線網絡的啟動時間以來被調度的通信時隙數，并且其中所述多個完全使能無線設備中的每個完全使能無線設備與所述多個完全使能無線設備中的至少一個其它完全使能無線設備在與各自的具有重復順序的通信時隙的超幀相關聯的通信時隙內進行通信；并且其中所述多個完全使能無線設備中的每一個和所述隔離的設備包括消息完整性編碼發生器，以根據數據包并且基于所述絕對時隙數產生唯一的數據字。
22、 一種在包括多個網絡設備的無線網狀網絡中增強安全性的方法，該方法包括分配可訪問所述多個網絡設備中的每個網絡設備的多個共享無線鏈路，其中每個鏈路與預定持續時間的通信時隙相關聯并且與載波頻率相關聯；通過驗證由所述多個網絡設備中的每個網絡設備提供的會話密鑰以訪問所述多個共享無線鏈路之一，來阻止對所述多個共享無線鏈路的未經授權的訪問；從鄰居設備發送廣告包，其中所述鄰居設備是所述多個網絡設備之一，包括在所述廣告包中提供標識加入鏈路組的鏈路圖，其中該加入鏈路組是所述多個共享無線鏈路的子組；通過加入鏈路組中的一個鏈路從加入設備接收加入請求，其中所述加入請求是對所述廣告包作出響應并且其中所述鄰居設備被配置為通過加入鏈路組中的所述一個鏈路接收傳入數據；并且處理所述加入請求，包括通過在加入鏈路組中的所述一個鏈路上經由所述鄰居設備與所述加入設備進行通信來鑒權所述加入i殳備；以及在所述加入設備被成功鑒權時，通過發送所述會話密鑰給所述加入設備來準許所述加入設備對所述多個共享無線鏈路的訪問。
23、 根據權利要求22所述的方法，其中發送廣告包進一步包括發送指示自從所述無線網狀網絡的形成時間以來被調度的通信時隙數的絕對時隙數。
24、 根據權利要求22所述的方法，其中發送廣告包進一步包括在所述廣告包中發送網絡身份，其中所述加入設備存儲設備網絡身份并且只有當所存儲的預定義的設備網絡身份與所述網絡身份相匹配時才開始順序加入所述無線網狀網絡。
25、 根據權利要求22所述的方法，其中有條件地準許所述加入設備對無線網狀的訪問包括發送網絡密鑰、網絡管理密鑰或網關密鑰中的至少一項給所述加入設備，其中所述網絡密鑰、網絡管理密鑰或網關密鑰中的每一個準許對所述無線網狀網絡的獨立功能的訪問。
26、 根據權利要求22所述的方法，其中接收所述加入請求包括接收存儲在所述加入設備中的加入密鑰；并且其中處理所述加入請求包括將所述加入密鑰與存儲在所述多個網絡設備之一 中的網絡加入密鑰副本相比較。
27、 根據權利要求22所述的方法，其中處理所述加入請求包括從所述加入設備接收加入當前值，其中所述加入當前值包括所述加入設備的地址和當用所述網絡身份對所述加入設備進行編程時被初始化的當前計數器。
28、 根據權利要求22所述的方法，其中在開始順序加入所述無線網狀網絡之前，所述加入設備在與所述無線網狀網絡相關聯的多個載波頻率中的每個載波頻率上在預定的時間量內收聽廣告包。
29、 根據權利要求22所述的方法，其中所述無線網狀網絡實現HART通信協議，并且其中處理所述加入請求包括接收HART標識信息。
30、 一種在過程控制環境下使用的無線現場設備，包括用于使用第一無線通信協議與多節點無線通信網絡進行通信的無線接口 ；用于使用第二通信協議支持對所述無線現場設備進行配置或監測中的至少一項的維護端口；以及用于執行過程控制功能的儀表模塊，其中該儀表模塊以可通信方式連接到所述無線-接口和所述維護端口 。
31、 根據權利要求30所述的無線現場設備，其中所述第一無線通信協議和所述第二通信協議與包括配置命令的命令組相關聯，并且其中所述無線現場設備僅經由所述維護端口接受所述配置命令。
32、 根據權利要求31所述的無線現場設備，其中所述命令組與HART⑧通信協議相關聯。
33、 根據權利要求30所述的無線現場設備，其中所述維護端口支持無線連接。
34、 根據權利要求30所述的無線現場設備，進一步包括用于存儲用來獲得對所述多節點無線通信網絡的訪問的加入密鑰的存儲單元；其中所述無線現場設備通過所述維護端口僅接受所述加入密鑰。
35、 根據權利要求30所述的無線現場設備，進一步包括用于存儲所述多節點無線通信網絡的網絡身份的存儲單元；其中所述無線現場設備通過所述維護端口僅接受所述網絡身份。
36、 根據權利要求30所述的無線現場設備，其中所述無線現場設備阻止連 接到所述維護端口的主機對所述多節點無線通信網絡的訪問。
37、 一種在過程控制環境下運行用于執行過程控制功能的無線現場設備的 方法，包括經由維護端口將配置信息寫入到所述無線現場設備的存儲器中； 請求允許所述無線現場設備進入無線通信網絡，包括經由無線接口發送所述配置信息到運行在所述無線通信網絡中的網絡設備；以及在所述無線通信網絡準許進入所述無線現場設備時，經由所述無線接口與所述無線通信網絡交換過程控制信息。
38、 根據權利要求37所述的方法，其中將配置信息寫入到所述無線現場設 備包括將加入密鑰寫入到所迷無線現場設備；并且其中請求允許所述無線現場 設備進入包括使用所述加入密鑰加密加入所述無線通信網絡的請求。
39、 根據權利要求38所述的方法，其中將配置信息寫入到所述無線現場設 備進一步包括將網絡身份寫入到所述無線現場設備。
40、 根據權利要求37所述的方法，進一步其中寫入配置信息和交換過程控 制信息中的每一項包括運行以可通信方式連接到所述維護端口的維護工具；以及限制所述維護工 具對所述無線現場設備的存儲器的訪問。
41、 根據權利要求37所述的方法，進一步包括經由所述維護端口監測所述 無線現場設備的運行，包括發送監測器請求給所述維護端口；以及接收至所述維護端口的監測器響應，其中所述監測器響應指示所述無線現 場設備的運行狀態。
42、 根據權利要求37所述的方法，其中寫入配置信息包括發出與所述無線 通信協議相關聯的第一命令；并且其中請求允許所述無線現場設備進入無線通 信網絡包括發出與所述無線通信協議相關聯的第二命令。
43、 根據權利要求42所述的方法，其中所述第一命令和所述第二命令中的 每一個命令與HART⑧通信協議相關聯。
44、 根據權利要求42所述的方法，其中所述無線現場設備被配置為拒絕經 由所述無線接口到達的第 一命令。
45、 一種增強在網狀通信網絡中服務多個無線網絡設備的無線通信協議的 安全性的方法，其中所述網狀通信網絡在過程控制環境下運行，所述方法包括定義預定持續時間的通信時隙；生成包括至少一個具有重復超幀循環的超幀的網絡調度表，每個超幀循環 具有若干通信時隙；其中所述多個無線網絡設備中的每個無線網絡設備根據所 述網絡調度表發送和接收數據；維護用來指示自從所述無線網絡的啟動時間以來被調度的通信時隙數的絕 對時隙數；并且將與關聯于所述無線通信協議的多層之一相關聯的數據包從所述多個無線 網絡設備中的一個無線網絡設備發送到所述多個無線網絡設備中的另 一個無線 網絡設備，包括基于所述絕對時隙數生成所述數據包的第 一 消息完整性編碼。
46、 根據權利要求45所述的方法，其中生成第一消息完整性編碼包括 利用所述絕對時隙數形成當前值；將所述當前值提供給消息完整性編碼發生器；以及將網絡密鑰提供給所述消息完整性編碼發生器，其中所述網絡密鑰被所述 多個無線網絡設備中每個完全運行的無線網絡設備共享。
47、 根據權利要求46所述的方法，其中所述數據包與包括在關聯于所述無 線通信協議的多層中的數據鏈路層相關聯；并且其中生成第一消息完整性編碼 進一步包括將所述數據包的凈荷提供給所述消息完整性編碼發生器的非加密輸入；以及將空字符串提供給所述消息完整性編碼發生器的加密輸入。
48、 根據權利要求45所述的方法，其中發送與關聯于所述無線通信協議的 多層之一相關聯的數據包進一步包括在與所述無線通信協議相關聯的多層中的另 一層上加密數據包，包括基于 會話專用當前計數器生成與所述多層中的該另一層相關聯的第二消息完整性編碼。
49、 根據權利要求45所述的方法，其中基于所述絕對時隙數生成所述數據 包的消息完整性編碼包括將所述絕對時隙數和與所述數據包相關聯的源地址合并。
全文摘要
一種增強在過程控制環境下運行且包括多個無線網絡設備的無線網狀通信網絡中的安全性的方法，包括處理來自希望加入該無線網狀通信網絡的無線設備的加入請求，如果所述加入請求被準許，則提供有限的網絡功能給所述無線設備，請求完全批準該無線設備；并且如果完全批準該無線設備被接收到，則準許給該無線設備完全的網絡功能。
文檔編號H04L12/28GK101682536SQ200880017903
公開日2010年3月24日 申請日期2008年4月11日 優先權日2007年4月13日
發明者華萊士·A·普拉特, 埃里克·D·羅特沃爾德, 尤里·佐奇, 托馬斯·L·菲尼, 托馬斯·P·倫瓦爾, 羅賓·S·普羅馬尼克, 里克·恩斯, 馬克·J·尼克松 申請人:Hart通信基金會