用于公用事業(yè)應(yīng)用的物理安全授權(quán)的制作方法
【專利摘要】為了對公用事業(yè)管理系統(tǒng)提供整體安全性,要發(fā)布到該系統(tǒng)的部件的關(guān)鍵命令和控制消息是由安全授權(quán)機(jī)構(gòu)明確批準(zhǔn)的�。明確批準(zhǔn)認(rèn)證所請求的動作并授權(quán)消息中所指示的具體動作的執(zhí)行。公用事業(yè)管理與控制系統(tǒng)中與訪問控制關(guān)聯(lián)的關(guān)鍵部件放在物理掩體中��。利用這種方法�,變成只需要把負(fù)責(zé)批準(zhǔn)網(wǎng)絡(luò)動作的那些子系統(tǒng)放在掩體中。其它管理模塊可以仍然留在掩體外面�����,由此避免把它們分割成放在掩體中的和不放在掩體中的部件的需求。對每個不放在掩體中的子系統(tǒng)的關(guān)鍵部件的訪問是通過放在掩體中的批準(zhǔn)系統(tǒng)來控制的��。
【專利說明】用于公用事業(yè)應(yīng)用的物理安全授權(quán)
【技術(shù)領(lǐng)域】
[0001]本公開涉及與公用事業(yè)公司關(guān)聯(lián)的操作的管理與控制�,尤其涉及管理和控制這種操作的系統(tǒng)的安全性。
【背景技術(shù)】
[0002]公用事業(yè)公司具有復(fù)雜的�、高度互連的系統(tǒng),這種系統(tǒng)在運(yùn)行大量關(guān)聯(lián)軟件模塊的物理服務(wù)器上執(zhí)行��,用于管理和控制公用事業(yè)公司的操作��。圖1是可以在用于為消費(fèi)者提供電力而且還有可能提供諸如氣���、水等的其它商品的公用事業(yè)公司的典型管理與控制系統(tǒng)中找到的部件中的一些的通用框圖。系統(tǒng)的后端支援部門10包括與公用事業(yè)的各種操作關(guān)聯(lián)的多個單獨(dú)的子系統(tǒng)�,例如消費(fèi)者信息系統(tǒng)(CIS) 12、消費(fèi)者關(guān)系模塊(CRM) 14�、停電管理系統(tǒng)(OMS) 16、GPS信息系統(tǒng)18���、計費(fèi)系統(tǒng)20�、電網(wǎng)穩(wěn)定模塊22與用戶接口 24����。盡管在圖1中沒有說明��,但是在后端支援部門10中還可以存在附加的功能性模塊�。這些子系統(tǒng)中的一些可以具有與分配網(wǎng)絡(luò)中的設(shè)備通信的能力以便給其提供商品�����,并且遠(yuǎn)程控制與那些設(shè)備關(guān)聯(lián)的操作�����。例如��,后端支援部門服務(wù)器可以與位于消費(fèi)者住所的單獨(dú)的儀表26通信����,以便為了計費(fèi)而獲得消費(fèi)數(shù)據(jù),并且命令儀表選擇性地斷開消費(fèi)者與由公用事業(yè)公司提供的一種或多種商品的供給或者重新連接到由公用事業(yè)公司提供的一種或多種商品的供給�。從后端支援部門服務(wù)器到單獨(dú)儀表的其它命令可以包括從消費(fèi)者接受外送(outbound)能量流的命令。
[0003]在圖1的例子中����,儀表構(gòu)成通過局域網(wǎng)30與后端支援部門通信的終端節(jié)點(diǎn),其中局域網(wǎng)30具有把能量提供到網(wǎng)絡(luò)中或者網(wǎng)絡(luò)外面的接入點(diǎn)32。在一種實(shí)施例中��,局域網(wǎng)可以是無線網(wǎng)狀網(wǎng)絡(luò)�����。接入點(diǎn)32通過廣域網(wǎng)34或者專用通信鏈路與位于后端支援部門10的服務(wù)器通信��。
[0004]在這種類型的系統(tǒng)中�,所關(guān)心的一個問題是遠(yuǎn)程斷開與重新連接的安全管理,斷開和重新連接分別會在消費(fèi)者騰出住所或拖欠費(fèi)用時或者當(dāng)新消費(fèi)者占有該住所時發(fā)生����。惡意和/或錯誤發(fā)出的遠(yuǎn)程斷開和/或重新連接住所的命令有可能使配電網(wǎng)絡(luò)不穩(wěn)定。未授權(quán)的重新連接也會導(dǎo)致所分配電力的竊取��。為了限制這種可能性���,必須努力確保命令和控制操作都以安全的方式發(fā)生,而且只能由被授權(quán)采取這種操作的實(shí)體進(jìn)行����。但是,由于典型公用事業(yè)的后端支援部門包括許多互聯(lián)的系統(tǒng)��,因此安全訪問的實(shí)施變得很困難。公用事業(yè)中許多不同的組需要訪問軟件系統(tǒng)的全部或者部分����,這使得限制對單個子系統(tǒng)的邏輯和/或物理訪問的能力復(fù)雜化。
[0005]對這個問題的一種可能的解決辦法是把某些系統(tǒng)���,或者這些系統(tǒng)的部分���,放到物理上安全的環(huán)境中,在下文中稱之為掩體(bunker)���。掩體的例子包括訪問受限的房間或容器����,例如上鎖的房間�����,及被保護(hù)系統(tǒng)周圍的防篡改外殼或封裝����。掩體嚴(yán)格地限制對在其上執(zhí)行所述系統(tǒng)或者所述系統(tǒng)的被保護(hù)部分的硬件設(shè)備的物理訪問。此外�,掩體中的系統(tǒng)輸出非常有限的邏輯訪問。但是,這種解決辦法仍然存在具有挑戰(zhàn)性的問題�,因?yàn)楹茈y重構(gòu)公用事業(yè)軟件系統(tǒng)來確定哪些部分需要放在掩體中,哪些部分可以保留在其外面���,以便為需要它的人提供更靈活的訪問��。
【發(fā)明內(nèi)容】
[0006]為了對公用事業(yè)公司管理系統(tǒng)提供整體安全性���,發(fā)布到該系統(tǒng)的部件的關(guān)鍵命令與控制消息需要被安全授權(quán)機(jī)構(gòu)明確批準(zhǔn)。明確批準(zhǔn)認(rèn)證所請求的動作并且授權(quán)消息中所指示的具體動作的執(zhí)行�。公用事業(yè)管理與控制系統(tǒng)中與訪問控制關(guān)聯(lián)的關(guān)鍵部件放在物理上安全的環(huán)境中。利用這種方法���,變成只需要物理上保護(hù)負(fù)責(zé)批準(zhǔn)網(wǎng)絡(luò)動作的那些子系統(tǒng)���,例如通過掩體。換句話說�,大部分的管理模塊,諸如CIS�、CRM����、0MS、計費(fèi)等,可以留在掩體的外面����,由此避免把這些子系統(tǒng)分割成放到掩體中和不放到掩體中的部件的需求。對每個不放到掩體中的子系統(tǒng)的關(guān)鍵部件的訪問是通過放到掩體中的批準(zhǔn)系統(tǒng)來控制的�����。
【專利附圖】
【附圖說明】
[0007]圖1是公用事業(yè)管理與控制系統(tǒng)的通用框圖���;
[0008]圖2是具有放到掩體中的部件的公用事業(yè)后端支援部門系統(tǒng)的框圖���;
[0009]圖3是示意性地繪出當(dāng)消息發(fā)送到儀表時的數(shù)據(jù)流的框圖;
[0010]圖4是硬件安全模塊的配置的框圖���;
[0011]圖5是經(jīng)滑動窗口計數(shù)密碼操作的多級緩沖區(qū)的框圖�����;
[0012]圖6說明了用于發(fā)布對于命令的許可的系統(tǒng)與過程的例子���;
[0013]圖7是許可的有效載荷的示例性格式的框圖;及
[0014]圖8是在多個數(shù)據(jù)中心中實(shí)現(xiàn)的公用事業(yè)控制與管理系統(tǒng)的框圖��。
具體實(shí)施例
[0015]為了方便對本發(fā)明所基于的原理的理解,下文參考電力配送系統(tǒng)中遠(yuǎn)程連接與斷開命令的安全控制來描述����。但是,應(yīng)當(dāng)認(rèn)識到�,這個例子不是這些原理的僅有的實(shí)踐應(yīng)用。相反����,它們可以聯(lián)系任何類型的關(guān)鍵命令采用,這些關(guān)鍵命令如果被不正確地或者錯誤地發(fā)布的話�,有可能嚴(yán)重干擾或損害系統(tǒng)。同樣���,它們可以結(jié)合發(fā)送到系統(tǒng)的關(guān)鍵部件的所有命令與控制消息一起使用����,這些關(guān)鍵部件的正確操作在任何時候都是必需的���。
[0016]圖2說明了其中實(shí)現(xiàn)本發(fā)明概念的數(shù)據(jù)中心40的例子����。就像常規(guī)的那樣��,數(shù)據(jù)中心包含多個物理服務(wù)器��,各種應(yīng)用12�����、14�����、16在所述物理服務(wù)器上執(zhí)行����。盡管圖中只說明了幾個代表性的應(yīng)用,但是應(yīng)當(dāng)認(rèn)識到�,大量的此類應(yīng)用可以在數(shù)據(jù)中心中實(shí)現(xiàn)。相反�,由任意兩個或多個這種應(yīng)用執(zhí)行的功能可以集成到單個全面的程序中。
[0017]位于數(shù)據(jù)中心中的還有具有受限物理訪問的物理掩體42���,諸如具有加固的墻壁的上鎖房間���。作為另一個例子,除了上鎖之外或者代替上鎖�,掩體可以是利用安全攝像機(jī)�����、運(yùn)動檢測器等密切觀察或保護(hù)的區(qū)域�����。作為還有另一個例子���,掩體可以是物理上分布的,在分布的部分之間建立了安全關(guān)系���。作為還有另一個例子����,掩體可以是諸如通過使用安全執(zhí)行軟件和/或固件從邏輯上保護(hù)的�����,其中所述軟件和/或固件的功能性被保護(hù)不受物理篡改���,諸如自毀滅包裝����。掩體不需要是房間,還可以是例如物理上安全的盒子��。
[0018]具有關(guān)聯(lián)的硬件安全模塊44的一個或多個附加服務(wù)器設(shè)備位于掩體中���,用于授權(quán)引擎46的實(shí)現(xiàn),其中授權(quán)引擎46具有執(zhí)行與安全性相關(guān)的操作���,諸如授權(quán)��、認(rèn)證和記賬���,的軟件模塊。硬件安全模塊44包含以安全方式的私有和其它秘密密鑰�����。它還可以包含鏈接到私鑰的公共證書��。硬件安全模塊優(yōu)選地使用健壯的安全算法�,諸如橢圓曲線密碼或者另一種高度安全的密碼方法,來執(zhí)行密碼操作�����。適于在此所述的應(yīng)用的硬件安全模塊的一個例子是來自Utimaco Safeware AG的硬件安全模塊的SafeGuard CryptoServer產(chǎn)品線。
[0019]對掩體及位于其中的服務(wù)器設(shè)備的安全訪問可以利用生物傳感器技術(shù)�,例如指紋檢測、物理密鑰或令牌和/或口令保護(hù)����,來加強(qiáng)。在一種實(shí)現(xiàn)中�,可以采用有層次結(jié)構(gòu)的分層的安全系統(tǒng)來最大化保護(hù)。如果安全性中的一層失敗���,例如口令意外泄漏或被竊��,那么更高級的安全機(jī)制可以被激活��,諸如密鑰或令牌啟動死鎖�����,來維護(hù)整個系統(tǒng)的物理安全性����。
[0020]來自不放在掩體中的后端支援部門應(yīng)用12-16等中的某些類型的命令是受約束的��,使得它們除非被單獨(dú)認(rèn)證否則將被不執(zhí)行。例如�����,遠(yuǎn)程斷開和重新連接命令是這些受限命令中的一類��,由于它們會嚴(yán)重干擾電力配電網(wǎng)絡(luò)穩(wěn)定性的可能性����。為了加強(qiáng)與這些類型的操作有關(guān)的安全性����,執(zhí)行它們的應(yīng)用可以只在命令源自掩體42中的控制臺或者以別的方式被從掩體42中發(fā)布的許可認(rèn)證的時候才接受命令這么進(jìn)行。因而����,只有有權(quán)利發(fā)布這些命令和擁有訪問掩體的必要手段,例如口令����、密鑰、指紋等����,的人員才能夠?qū)?yīng)用發(fā)布受限的命令。
[0021]當(dāng)啟動生成命令的操作時,它可以被授權(quán)引擎46簽名或者以別的方式認(rèn)證���,然后轉(zhuǎn)發(fā)到與在掩體42外面的適當(dāng)應(yīng)用關(guān)聯(lián)的應(yīng)用編程接口(API)���。例如,命令可以由存儲在硬件安全模塊44中的私鑰來簽名�。當(dāng)在外部應(yīng)用,例如應(yīng)用12-16中的一個或者運(yùn)行在儀表26之一中的應(yīng)用處接收到經(jīng)簽名的命令時���,通過該應(yīng)用可以訪問的公鑰來驗(yàn)證該命令�。一旦得到驗(yàn)證該命令是源自掩體內(nèi)����,該命令就由所述外部應(yīng)用執(zhí)行。
[0022]在有些情況下�,讓發(fā)布遠(yuǎn)程斷開命令的實(shí)體物理地位于掩體中可能是不實(shí)際的。但是����,如果支持這種命令的遠(yuǎn)程生成,那么這種命令可能是由假扮被授權(quán)實(shí)體的用戶惡意發(fā)布的�����。為了限制這種事件的可能性,根據(jù)本發(fā)明�����,在掩體中實(shí)現(xiàn)策略模塊48����。策略模塊可以是單獨(dú)的軟件或固件部件,如圖2中所繪出的�,或者邏輯地結(jié)合到硬件安全模塊中,如下文將描述的��。策略模塊48可以以安全的方式一一諸如通過從掩體內(nèi)部輸入的命令——被重新配置或者重新編程����。這個模塊包含檢查所請求的動作并且確定是否允許其執(zhí)行的業(yè)務(wù)邏輯��。例如��,如果重新連接命令是在可能干擾配電網(wǎng)絡(luò)穩(wěn)定性的序列中或者具有利用定時發(fā)布的�,它們就可以通過策略被阻塞而且不傳遞到授權(quán)引擎進(jìn)行簽名。此外����,策略標(biāo)記可以出現(xiàn)并且執(zhí)行適當(dāng)?shù)膭幼鳎T如在檢測到某些條件的時候斷開與發(fā)布命令的實(shí)體。這些條件可以包括�����,例如:
[0023]1.例如在預(yù)定的時間間隔內(nèi)��,同時發(fā)布了大量的遠(yuǎn)程斷開命令����,這指示把用戶從配電網(wǎng)絡(luò)惡意斷開的可能意圖;
[0024]2.命令是以可疑的次序發(fā)布的�����,諸如與同一消費(fèi)者關(guān)聯(lián)的重復(fù)的連接與斷開命令序列���,或者與消費(fèi)者的當(dāng)前狀態(tài)不一致的命令����,例如向還沒有連接到電網(wǎng)的用戶發(fā)布斷開命令�;
[0025]3.發(fā)出請求的應(yīng)用未能提供必要的憑證,或者以別的方式被認(rèn)證����;
[0026]4.發(fā)出請求的應(yīng)用不在具有發(fā)布某些操作的許可的一組被批準(zhǔn)的應(yīng)用之內(nèi) '及
[0027]5.基于實(shí)際的電力負(fù)荷和計劃的電力需求����,配送網(wǎng)絡(luò)的狀態(tài)�。
[0028]為了實(shí)現(xiàn)這種功能性,掩體可以包含代理服務(wù)器50��,用于在掩體外面的應(yīng)用的應(yīng)用編程接口(API)�。在操作中,當(dāng)對用于這些“外部”應(yīng)用中的一個的API進(jìn)行調(diào)用時���,該調(diào)用被指向掩體中的代理服務(wù)器50��。代理服務(wù)器咨詢策略模塊48中的授權(quán)所述請求可能需要的公用事業(yè)業(yè)務(wù)邏輯����,并且讓適當(dāng)?shù)臉I(yè)務(wù)邏輯對請求進(jìn)行簽名�����。然后����,請求被傳遞到授權(quán)引擎46進(jìn)行簽名���。一旦被授權(quán)���,代理服務(wù)器就可以為在掩體外面的被調(diào)用應(yīng)用啟用正常的API�����,并且與被授權(quán)的調(diào)用一起傳遞��。
[0029]在一種可供選擇的實(shí)現(xiàn)中����,掩體42可以不包括代理服務(wù)器��。在這種情況下�����,請求可以直接對外部應(yīng)用的API進(jìn)行���。反過來���,如果確定所請求的操作需要簽名的話,外部應(yīng)用就調(diào)用掩體中的授權(quán)引擎���。缺省地��,所有請求都可以為了授權(quán)而傳遞到掩體中�����,以避免需要由外部應(yīng)用作出任何決定���。提交給掩體的請求首先被檢查并且由策略模塊簽名��,然后傳遞到授權(quán)引擎46���。一旦請求得到授權(quán),被調(diào)用的應(yīng)用就可以對該請求起作用��。
[0030]掩體42中所包括的硬件安全模塊44可以在兩個層次上操作���。下文聯(lián)系在儀表26執(zhí)行的操作來描述例子�。在操作的第一層����,公用事業(yè)公司可以制定位于后端支援部門10和儀表26處的應(yīng)用或者網(wǎng)絡(luò)30的任何其它部件之間的所有通信都必須被加密和簽名的策略����。這種策略的實(shí)現(xiàn)在圖3的例子中繪出����。在這個例子中����,儀表管理應(yīng)用52具有要發(fā)送到一個或多個儀表26的消息,例如命令。這種消息是在所述應(yīng)用的儀表命令與接口模塊54中構(gòu)造的��,并且轉(zhuǎn)發(fā)到掩體42中的硬件安全模塊44����,具有執(zhí)行該消息的適當(dāng)加密與簽署的請求。策略模塊48可以首先做檢查���,以確認(rèn)請求是否是源自被授權(quán)的來源����。如果是���,請求就一路傳遞到硬件安全模塊��。利用與應(yīng)用關(guān)聯(lián)的適當(dāng)密鑰��,硬件安全模塊44對消息執(zhí)行所請求的操作����,并且返回加密和簽名后的數(shù)據(jù)。然后�,儀表管理應(yīng)用的命令與接口模塊54創(chuàng)建結(jié)合了加密和簽名后的消息的數(shù)據(jù)包,并且經(jīng)網(wǎng)絡(luò)30把它發(fā)送到儀表���。
[0031]對于由應(yīng)用52從網(wǎng)絡(luò)30中的節(jié)點(diǎn)接收到的消息����,它們首先轉(zhuǎn)發(fā)到硬件安全模塊���,以被解密�����。模塊48還可以對接收到的消息的發(fā)送方的可靠性和數(shù)據(jù)的完整性執(zhí)行適當(dāng)?shù)尿?yàn)證���。然后,經(jīng)過驗(yàn)證和解密的消息返回到應(yīng)用52�����。
[0032]對于關(guān)鍵操作����,諸如遠(yuǎn)程連接與斷開�,硬件安全模塊可以在第二層操作,以便加強(qiáng)對這種操作的速率限制�。圖4繪出了硬件安全模塊的內(nèi)部配置的一個例子�。該模塊配置成具有多個槽。每個槽都包含私鑰�����、證書、秘密密鑰和訪問特權(quán)的集合��,來執(zhí)行諸如簽名���、力口密�����、解密等的密碼服務(wù)��。不同的槽與不同的安全上下文關(guān)聯(lián)���,而且包含與其對應(yīng)上下文有關(guān)的密鑰�����、證書和其它信息���。利用硬件安全模塊對命令執(zhí)行密碼服務(wù)�����,諸如用私鑰對其簽名�����,使得命令的接收方����,例如節(jié)點(diǎn)26�,能夠利用關(guān)聯(lián)的公鑰來認(rèn)證命令的來源���。策略模塊48作出對于所請求的命令是否被允許提供給硬件安全模塊以獲得一個或多個密碼服務(wù)的初始決定�。
[0033]為了加強(qiáng)期望的業(yè)務(wù)邏輯�,例如通過命令行管理工具��,每個槽可以選擇性地配置成具有一個或多個速率限制。配置槽的命令的一個例子如下:
[0034]HSM_configure slot=2rate-name=���,���,ratel,����,window=24h count=10000
[0035]這個命令把槽2配置成具有每個24小時的滑動窗口有10,000次密碼操作的最大速率限制�。如果在前面的24小時內(nèi)出現(xiàn)了多于這個分配次數(shù)的密碼操作�,那么該槽將暫停全部進(jìn)一步的密碼操作��。其后,管理員有必要通過發(fā)送復(fù)位命令來復(fù)位該槽���。
[0036]槽可以配置成具有多于一個速率,如下:
[0037]HSM_configure slot=2rate-name=�,�,ratel�,��,window=24h count=40000[0038]HSM_configure slot=2rate_name=�����,���,rate2��,�,window=60m count=2000
[0039]這兩個命令把槽2配置成具有兩個速率限制窗口�����,一個是24小時的滑動窗口有
40,000次密碼操作�,另一個是60分鐘的滑動窗口有2000次密碼操作��。
[0040]如果槽配置成具有速率限制��,那么在滑動窗口上針對所分配的限制對在該槽中執(zhí)行的所有密碼操作計數(shù)。在以上給出的例子中��,如果在過去的24小時內(nèi)有多于40,000次密碼操作�����,或者在過去的60分鐘內(nèi)有多于2000次密碼操作,那么該槽就暫停任何進(jìn)一步的密碼操作�。
[0041]在一種實(shí)施例中,對違反閾值的記賬可以5分鐘的增量執(zhí)行�。圖5說明了一個例子,其中槽配置成在25分鐘的滑動窗口內(nèi)有800次密碼操作的限制�����?��;瑒哟翱诳梢詫?shí)現(xiàn)為多級緩沖區(qū)56�。所說明的緩沖區(qū)包括五個級58����,每個級代表5分鐘的時間間隔。每個級包含在其對應(yīng)時間間隔內(nèi)槽所執(zhí)行的密碼操作的次數(shù)的計數(shù)�。下表提供了給定時間點(diǎn)緩沖區(qū)中所包含的數(shù)據(jù)的快照。
[0042]
【權(quán)利要求】
1.一種用于公用事業(yè)應(yīng)用的數(shù)據(jù)中心����,包括: 物理上安全的環(huán)境; 在所述物理上安全的環(huán)境之外的至少一臺服務(wù)器�����,配置成執(zhí)行與公用事業(yè)的操作關(guān)聯(lián)的一個或多個應(yīng)用程序,所述應(yīng)用程序中的至少一些具有用于從位于數(shù)據(jù)中心之外的位置接收遠(yuǎn)程請求以執(zhí)行和公用事業(yè)的操作有關(guān)的功能的接口�; 硬件安全模塊,位于所述物理上安全的環(huán)境中并且存儲秘密密鑰���; 位于所述物理上安全的環(huán)境中的授權(quán)引擎�����,配置成接收指向所述應(yīng)用程序的遠(yuǎn)程請求并且提供授權(quán)請求�,所述授權(quán)請求是根據(jù)所述秘密密鑰簽名的 '及 位于所述物理上安全的環(huán)境中的策略模塊����,配置成根據(jù)與所述應(yīng)用程序關(guān)聯(lián)的業(yè)務(wù)邏輯處理遠(yuǎn)程請求并且選擇性地使請求能夠被所述授權(quán)引擎授權(quán)���。
2.如權(quán)利要求1所述的數(shù)據(jù)中心�����,還包括: 用于所述接口的代理服務(wù)器���,位于所述物理上安全的環(huán)境中���,所述代理服務(wù)器操作以接收在所述數(shù)據(jù)中心接收到的并且要針對所述應(yīng)用程序的遠(yuǎn)程請求,并且把所述接收到的請求轉(zhuǎn)發(fā)到所述策略模塊����。
3.如權(quán)利要求1所述的數(shù)據(jù)中心,其中所述應(yīng)用程序配置成把由所述應(yīng)用程序接收到的遠(yuǎn)程請求重定向到所述策略模塊����。
4.如權(quán)利要求1所述的數(shù)據(jù)中心,其中策略模塊配置成確定在預(yù)定時間段內(nèi)發(fā)布的���、包含斷開電力的命令的遠(yuǎn)程請求的次數(shù)是否超過限制值����,并且�����,如果請求的次數(shù)超過限制值��,就阻止命令的執(zhí)行�����。
5.如權(quán)利要求1所述 的數(shù)據(jù)中心,其中策略模塊配置成確定包含斷開和重新連接電力的命令的遠(yuǎn)程請求序列是否與同一個消費(fèi)者關(guān)聯(lián)���,并且����,如果它們滿足這一條件����,就阻止命令的執(zhí)行。
6.如權(quán)利要求1所述的數(shù)據(jù)中心��,其中策略模塊配置成確定包含斷開或重新連接電力的命令的遠(yuǎn)程請求是否與消費(fèi)者的當(dāng)前狀態(tài)不一致��,并且�,如果不一致,就阻止命令的執(zhí)行����。
7.如權(quán)利要求1所述的數(shù)據(jù)中心�����,其中策略模塊配置成確定遠(yuǎn)程請求是否是從經(jīng)認(rèn)證的來源接收到的���,并且���,如果所述來源未通過認(rèn)證�,就阻止請求被處理�。
8.如權(quán)利要求1所述的數(shù)據(jù)中心,其中策略模塊配置成確定執(zhí)行操作的遠(yuǎn)程請求是否是從具有對請求這種操作的許可的應(yīng)用接收到的�����,并且如果發(fā)出請求的應(yīng)用不具有這種許可���,就阻止請求被處理�。
9.如權(quán)利要求1所述的數(shù)據(jù)中心���,其中策略模塊能夠由從物理上安全的環(huán)境中輸入的命令重新配置��。
10.一種公用事業(yè)控制與通信網(wǎng)絡(luò)����,包括: 多個終端節(jié)點(diǎn)�����; 數(shù)據(jù)中心,包括: 物理上安全的環(huán)境����,具有關(guān)聯(lián)的認(rèn)證證書; 至少一臺服務(wù)器���,配置成執(zhí)行與公用事業(yè)的操作關(guān)聯(lián)的一個或多個應(yīng)用程序�,所述應(yīng)用程序中的至少一些具有用于從位于數(shù)據(jù)中心之外的位置接收遠(yuǎn)程請求以執(zhí)行與公用事業(yè)的操作有關(guān)的功能的接口����;硬件安全模塊,位于所述物理上安全的環(huán)境中并且存儲密碼密鑰����;及位于所述物理上安全的環(huán)境中的授權(quán)引擎,配置成接收指向所述應(yīng)用程序的遠(yuǎn)程請求并且提供根據(jù)所述密碼密鑰簽名的授權(quán)請求��; 至少一個接入點(diǎn)���,所述終端節(jié)點(diǎn)經(jīng)過所述接入點(diǎn)與位于所述數(shù)據(jù)中心中的應(yīng)用程序通信�;及 服務(wù)器����,響應(yīng)于數(shù)據(jù)中心處的物理上安全的環(huán)境的安全性已經(jīng)受損的指示,向接入點(diǎn)發(fā)布配置證書撤銷列表的命令�,所述命令指示與其安全性受損的物理上安全的環(huán)境關(guān)聯(lián)的證書無效,并且向所述終端節(jié)點(diǎn)發(fā)布從接入點(diǎn)加載證書撤銷列表的命令�����。
11.如權(quán)利要求10所述的網(wǎng)絡(luò)�,其中,響應(yīng)于在數(shù)據(jù)中心處的物理上安全的環(huán)境的安全性已經(jīng)受損的指示��,所述服務(wù)器還向接入點(diǎn)發(fā)布忽略源自其物理上安全的環(huán)境已經(jīng)受損的數(shù)據(jù)中心的通信的命令��。
12.如權(quán)利要求10所述的網(wǎng)絡(luò)�����,其中終端節(jié)點(diǎn)配置成確定接收到的命令是否是通過使用與密碼密鑰關(guān)聯(lián)的公鑰授權(quán)的�����。
13.一種用于控制公用事業(yè)網(wǎng)絡(luò)中的設(shè)備的方法���,包括: 生成對于要由公用事業(yè)網(wǎng)絡(luò)中的設(shè)備執(zhí)行的操作的命令���; 把命令轉(zhuǎn)發(fā)到硬件安全模塊�����; 在硬件安全模塊中���,執(zhí)行以下功能: 對命令執(zhí)行密碼服務(wù),使得對其執(zhí)行了該服務(wù)的命令的接收方能夠認(rèn)證所述命令是允許接收方執(zhí)行的命令�, 計數(shù)在規(guī)定時間段內(nèi)硬件安 全模塊執(zhí)行密碼服務(wù)的次數(shù),及 如果在規(guī)定時間段內(nèi)執(zhí)行密碼服務(wù)的所計數(shù)的次數(shù)超過閾值限制����,就終止對接收到的命令執(zhí)行進(jìn)一步密碼服務(wù);及 把對其執(zhí)行了密碼服務(wù)的命令發(fā)送到公用事業(yè)網(wǎng)絡(luò)中的設(shè)備���,以便執(zhí)行該操作�。
14.如權(quán)利要求13所述的方法����,其中密碼服務(wù)次數(shù)的計數(shù)是在規(guī)定時段的滑動時間窗口上執(zhí)行的。
15.如權(quán)利要求14所述的方法��,其中密碼服務(wù)次數(shù)的計數(shù)是針對多個滑動時間窗口執(zhí)行的�����,每個窗口都與不同的相應(yīng)時間長度和閾值限制關(guān)聯(lián)����。
16.如權(quán)利要求13所述的方法,其中密碼服務(wù)是命令的加密�����。
17.如權(quán)利要求13所述的方法���,其中密碼服務(wù)是對命令進(jìn)行簽名��。
18.如權(quán)利要求13所述的方法���,還包括步驟: 當(dāng)密碼服務(wù)的所計數(shù)的次數(shù)達(dá)到小于所述閾值限制的預(yù)定值時生成報警。
19.如權(quán)利要求13所述的方法�,其中硬件安全模塊包括多個槽,而且其中所述功能是在所述槽中的一個中執(zhí)行的����。
20.如權(quán)利要求19所述的方法,其中所述功能還利用不同的相應(yīng)閾值限制在第二個槽中執(zhí)行��。
21.如權(quán)利要求13所述的方法,其中設(shè)備配置成確定接收到的命令是否是通過使用與密碼服務(wù)關(guān)聯(lián)的公鑰授權(quán)的��。
22.一種用于控制公用事業(yè)網(wǎng)絡(luò)中的設(shè)備的方法��,包括: 生成對于要由公用事業(yè)網(wǎng)絡(luò)中的設(shè)備執(zhí)行的操作的命令����;確定所生成的命令是否需要許可; 如果所生成的命令需要許可��,就把命令轉(zhuǎn)發(fā)到許可服務(wù)器�; 在許可服務(wù)器中,生成許可�����,所述許可規(guī)定(i)許可有效的時段�,(ii)要執(zhí)行的操作,及(iii)要執(zhí)行所述操作的設(shè)備�; 把包含許可的數(shù)據(jù)包發(fā)送到公用事業(yè)網(wǎng)絡(luò)中的設(shè)備; 當(dāng)在設(shè)備處接收到數(shù)據(jù)包時����,確定所規(guī)定的操作是否需要許可,而且����,如果需要的話就確定許可當(dāng)前是否有效�;及 如果許可當(dāng)前有效����,就執(zhí)行所規(guī)定的操作��。
23.如權(quán)利要求22所述的方法��,其中許可包含指示許可何時變得有效的開始值�����,及指示從開始值開始許可保持有效的時間長度的持續(xù)時間值�。
24.如權(quán)利要求22所述的方法,其中許可包括第一字段和第二字段���,所述第一字段包含要執(zhí)行操作的設(shè)備的標(biāo)識���,而所述第二字段指示第一字段的格式。
25.如權(quán)利要求24所述的方法���,其中第一字段中所包含的標(biāo)識包括設(shè)備的MAC地址��。
26.如權(quán)利要求24所述的方法��,其中格式是DER八位字節(jié)串���。
27.如權(quán)利要求22所述的方法�,其中許可是利用與許可服務(wù)器關(guān)聯(lián)的密鑰簽名的����,而且設(shè)備驗(yàn)證許可的簽名。
28.如權(quán)利要求22所述的方法��,其中許可服務(wù)器是在硬件安全模塊中實(shí)現(xiàn)的���。
29.如權(quán)利要求28所述的方法����,其中硬件安全模塊執(zhí)行以下功能: 計數(shù)在規(guī)定時間段內(nèi)由硬件安全模塊生成許可的次數(shù)�����,及 如果在規(guī)定時間段內(nèi)生成許可的所計數(shù)的次數(shù)超過閾值限制�����,對于接收到的命令就終止進(jìn)一步許可的生成。
30.如權(quán)利要求29所述的方法��,其中生成許可的次數(shù)的計數(shù)是在規(guī)定時段的滑動時間窗口上執(zhí)行的����。
31.如權(quán)利要求30所述的方法,其中生成許可的次數(shù)的計數(shù)是針對多個滑動時間窗口執(zhí)行的��,每個窗口都與不同的相應(yīng)時間長度和閾值限制關(guān)聯(lián)���。
32.一種用于公用事業(yè)網(wǎng)絡(luò)的認(rèn)證系統(tǒng),包括: 許可服務(wù)器��,配置成接收對于要由公用事業(yè)網(wǎng)絡(luò)中的設(shè)備執(zhí)行的操作的命令��,并且生成許可�,所述許可規(guī)定(i)許可有效的時段,(ii)要執(zhí)行的操作��,及(iii)要執(zhí)行所述操作的設(shè)備���;及 通信接口��,配置成把包含許可的數(shù)據(jù)包發(fā)送到公用事業(yè)網(wǎng)絡(luò)中的設(shè)備�����。
33.如權(quán)利要求32所述的認(rèn)證系統(tǒng)���,其中許可包含指示許可何時變得有效的開始值���,及指示從開始值開始許可保持有效的時間長度的持續(xù)時間值。
34.如權(quán)利要求32所述的認(rèn)證系統(tǒng)���,其中許可服務(wù)器是在硬件安全模塊中實(shí)現(xiàn)的����。
35.如權(quán)利要求34所述的認(rèn)證系統(tǒng)�����,其中硬件安全模塊配置成執(zhí)行以下功能: 計數(shù)在規(guī)定時間段內(nèi)由硬件安全模塊生成許可的次數(shù)���,及 如果在規(guī)定時間段內(nèi)生成許可的所計數(shù)的次數(shù)超過閾值限制����,對于接收到的命令就終止進(jìn)一步許可的生成。
36.如權(quán)利要求35所述的認(rèn)證系統(tǒng)���,其中生成許可的次數(shù)的計數(shù)是在規(guī)定時段的滑動時間窗口上執(zhí)行的����。
37.如權(quán)利要求36所述的認(rèn)證系統(tǒng)����,其中生成許可的次數(shù)的計數(shù)是針對多個滑動時間窗口執(zhí)行的,每個窗口都與不同的相應(yīng)時間長度和閾值限制關(guān)聯(lián)�。
38.如權(quán)利要求32所述的認(rèn)證系統(tǒng),還包括其中放置了許可服務(wù)器的物理上安全的環(huán)境����。
39.一種公用事業(yè)網(wǎng)絡(luò),包括: 許可服務(wù)器�,配置成接收對于要由公用事業(yè)網(wǎng)絡(luò)中的設(shè)備執(zhí)行的操作的命令�����,并且生成許可�,所述許可規(guī)定(i)許可有效的時段,(ii)要執(zhí)行的操作���,及(iii)要執(zhí)行所述操作的設(shè)備�; 通信接口,配置成經(jīng)公用事業(yè)網(wǎng)絡(luò)發(fā)送包含許可的數(shù)據(jù)包 '及 連接到公用事業(yè)網(wǎng)絡(luò)的多個設(shè)備�����,用于接收數(shù)據(jù)包����,每個所述設(shè)備都配置成: 確定在接收到的數(shù)據(jù)包中所規(guī)定的操作是否需要許可, 如果需要��,就確定 許可當(dāng)前是否有效�����,及 如果許可當(dāng)前有效��,就執(zhí)行所規(guī)定的操作���。
40.如權(quán)利要求39所述的公用事業(yè)網(wǎng)絡(luò)�����,其中許可包含指示許可何時變得有效的開始值�����,及指示從開始值開始許可保持有效的時間長度的持續(xù)時間值�����。
41.如權(quán)利要求39所述的公用事業(yè)網(wǎng)絡(luò)�����,其中許可服務(wù)器配置成利用密鑰對許可進(jìn)行簽名�,并且設(shè)備配置成驗(yàn)證許可的簽名。
42.如權(quán)利要求39所述的公用事業(yè)網(wǎng)絡(luò)�����,其中許可服務(wù)器是在硬件安全模塊中實(shí)現(xiàn)的���。
43.如權(quán)利要求42所述的公用事業(yè)網(wǎng)絡(luò)�,其中硬件安全模塊配置成執(zhí)行以下功能: 計數(shù)在規(guī)定時間段內(nèi)由硬件安全模塊生成許可的次數(shù)��,及 如果在規(guī)定時間段內(nèi)生成許可的所計數(shù)的次數(shù)超過閾值限制���,對于接收到的命令就終止進(jìn)一步許可的生成���。
44.如權(quán)利要求43所述的公用事業(yè)網(wǎng)絡(luò),其中生成許可的次數(shù)的計數(shù)是在規(guī)定時段的滑動時間窗口上執(zhí)行的�。
45.如權(quán)利要求44所述的公用事業(yè)網(wǎng)絡(luò),其中生成許可的次數(shù)的計數(shù)是針對多個滑動時間窗口執(zhí)行的�����,每個窗口都與不同的相應(yīng)時間長度和閾值限制關(guān)聯(lián)��。
【文檔編號】G06F21/71GK103430183SQ201180059505
【公開日】2013年12月4日 申請日期:2011年10月11日 優(yōu)先權(quán)日:2010年11月4日
【發(fā)明者】R·瓦斯瓦尼, W·C·Y·尤恩格, C·賽伯特, N·B·波爾亞德, B·N·達(dá)姆, M·C·圣約翰斯 申請人:思飛信智能電網(wǎng)公司