CN101843033A - 针对自动化网络的实时通信安全性 - Google Patents
针对自动化网络的实时通信安全性 Download PDFInfo
- Publication number
- CN101843033A CN101843033A CN200780101292A CN200780101292A CN101843033A CN 101843033 A CN101843033 A CN 101843033A CN 200780101292 A CN200780101292 A CN 200780101292A CN 200780101292 A CN200780101292 A CN 200780101292A CN 101843033 A CN101843033 A CN 101843033A
- Authority
- CN
- China
- Prior art keywords
- module
- key
- fail safe
- communication
- plug
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 89
- 238000000034 method Methods 0.000 claims abstract description 20
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 238000005516 engineering process Methods 0.000 claims abstract description 10
- 230000007774 longterm Effects 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 5
- 230000000712 assembly Effects 0.000 claims description 4
- 238000000429 assembly Methods 0.000 claims description 4
- 238000004519 manufacturing process Methods 0.000 claims description 4
- 238000003860 storage Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 2
- 230000004913 activation Effects 0.000 claims 3
- 238000004886 process control Methods 0.000 claims 3
- 239000000758 substrate Substances 0.000 claims 2
- VIEYMVWPECAOCY-UHFFFAOYSA-N 7-amino-4-(chloromethyl)chromen-2-one Chemical compound ClCC1=CC(=O)OC2=CC(N)=CC=C21 VIEYMVWPECAOCY-UHFFFAOYSA-N 0.000 claims 1
- 101100217298 Mus musculus Aspm gene Proteins 0.000 claims 1
- 241001441724 Tetraodontidae Species 0.000 claims 1
- 230000005465 channeling Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 235000008331 Pinus X rigitaeda Nutrition 0.000 description 1
- 235000011613 Pinus brutia Nutrition 0.000 description 1
- 241000018646 Pinus brutia Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/4026—Bus for use in automation systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用于在自动化系统内的以太网上提供广播通信安全性的框架、设备和方法,其中集成有安全性插件以便提供对于所述自动化系统的安全工作而言所必需的功能。利用ASIC/FPGA技术实施所述安全性插件,以便提供与现有系统的兼容性并且提供直观的即插即用模型。本发明的系统通过提供一种具有最小传输等待时间的实时体系结构来解决对于自动化网络至关重要的抖动敏感性问题。本发明的安全性插件具有单独的安全性和通信模块,其规定所述安全性插件在所述网络内的独立于协议的工作。本发明的方法包括引导步骤、密钥建立步骤和安全通信步骤,从而提供了实时保证。
Description
背景
发明领域
本发明涉及针对自动化网络的实时通信安全。
现有技术讨论
鉴于针对自动化设备的安全远程服务的要求增多、在自动化网络中使用无线设备以及即将实施的政府规范等情况,与IT通信网络同等地为自动化网络提供诸如保密性和真实性等数据安全性服务已经变得非常重要。
密码学是用于在诸如以太网或因特网的不安全通信信道上实现保密且真实的通信的科技。保密性是用于确保只有预先确定的实体集合才能利用被称作密钥的参数来读取所传送的消息的密码服务。认证是用于检验只有预定的实体集合才有可能利用或者不利用密钥生成了所传送的消息的密码服务。信息安全性的第三方面是可用性,这要求系统确保任何经过授权的实体都可以按需访问可用数据,并且确保这种访问不会被阻止或扰乱。计算系统的更高响应速率对于缓解拒绝服务攻击的效应而言是至关重要的。
现今普遍可用的通信安全性机制是针对数据驱动的通信(比如通过因特网的数据通信)开发的,其不包含实时要求或者抖动敏感性要求。由于缺少为这种实时的并且对抖动敏感的自动化网络(其中通信等待时间至为关键)提供数据安全性的、有限的或者实际上不存在的安全性技术,因而促生了本发明。
在由自动化网络上的自动化应用发送请求与接收到相应的响应之间所经过的时间被称作响应时间。自动化网络上的通信通常依赖于以太网协议来实现实时的低等待时间自动化通信。对于自动化网络上的通信所需的响应时间通常是毫秒量级。由于用在自动化设备的微处理器实现方式中的RTOS的调度动作的无保证延迟,所述系统可能无法提供自动化网络所要求的严格实时性能。由于逻辑通信安全性措施涉及到通信栈中的另一个顺序处理,因此非常重要的是确保这些顺序处理对通信开销没有负面贡献。
Siemens的SCALANCE S提供了具有用以在PLC集合当中保护通信量、数据和网络活动的特征的安全性模块。905U-G无线网关在借助于几个FIELDBUS Modbus、DF1、Profibus DP、Modbus TCP和以太网TCP/IP网络相连的几个现场设备之间提供安全交互。已经提出了诸如Pine Key产品的安全登录设备以用于设备级别的通信。已经提出了Tofino安全性解决方案以保护用在自动化中的系统免于多种攻击。这些产品和解决方案没有合并诸如广播通信或设备级别冗余度的特征。此外,这些产品的实现方式没有明确要求使用FPGA或ASIC。Eagle_FW_MM_SCTX防火墙提供了设备级别冗余度,Inominate Mguard防火墙被实现在FPGA/ASIC平台上,但是这些特征被保持与诸如协议独立性之类的其他特征分离。
WO2006074436公开了一种用于工业系统的防火墙方法和设备,其中利用多种协议相连的自动化设置中的联网设备利用一种双分组协议进行交互。EP1496664公开了一种用于把用户的访问固定到自动化系统的至少一个自动化组件的系统、方法和安全性模块,其中提出一种保险设备,其被放置在自动化网络内以便为借助于所述网络相连的组件提供安全性。在该专利中,受到保护的网络结构不同于本发明。在EP1496664中,所述保险设备似乎是利用实施在该保险设备中的预先定义的访问控制规则来限制对设备的访问。US2007006292公开了一种用于在数据处理设备、相应的计算机程序产品以及相应的计算机可读存储介质之间进行透明的数据通信量传输的方法和系统,其中使用被实现为防火墙或代理的系统在自动化网络内提供安全性。该专利提出插入计算机以作为在各互连组件之间递送数据的管道,其中所述系统是仅有的安全性设备。本发明提出使用分别处于一个交换数据的数据处理设备上的两个嵌入式设备。
发明概要
本发明的目的是提供一种用于在自动化系统内提供安全性的框架,其中集成有被称作安全性插件(security plug)的设备来提供对于所述自动化系统的安全工作所需的功能。所述安全性插件是利用ASIC/FPGA技术实现的,以便提供与现有系统的兼容性。本发明的系统通过提供具有最小传输等待时间的实时体系结构而解决了对于自动化网络而言至为关键的抖动敏感性问题。本发明的系统具有以下特征:
通过解决诸如对于网络通信量的窃听以及未经授权的访问或修改的攻击来实现安全通信。本发明是基于以太网的并且将安全性服务层叠在以太网协议上以确保容易集成到现有网络中。协议独立性连同广播支持成为本发明的标志。此外,本发明的系统非常可靠,并且为在所述系统内实现安全性的关键组件中提供冗余度作好准备。在本发明中所提出的框架给出了所述安全性插件的多种使用模式、多种引导(bootstrapping)技术以及改变会话密钥服务器位置,以便提供包含自动化网络内的多种场景的多种环境和配置。
本发明的另一个目的是提供一种用于在自动化网络上安全传输数据的方法,其独立于协议、实时、对抖动敏感并且可靠。通过最小化传输等待时间,本发明的方法能够解决自动化网络的特定挑战,其中轻量型协议的框架对于适用于这些自动化网络的响应时间协同作用。
附图简述
图1示出了自动化网络中的互连组件的总体布局。
图2示出了本发明的安全性插件,其被放置用来在所述网络内提供安全通信。
图3示出了本发明的框架。
图4示出了外部密钥服务器的高级别方框图。
图5示出了内部密钥服务器的高级别方框图。
图6描绘了所述安全性插件上的密钥管理。
图7示出了利用统一的引导信道的安全性插件体系结构。
优选实施例的详细描述
图1示出了自动化网络中的互连组件的总体布局。包括操作员站1、3和工程站2在内的多个组件通过控制网络4连接到自动化网络桥接器5。该桥接器5还连接到自动化网络6,该自动化网络6将在多个现场网络10、11、12上操作的几个控制器7、8、9互连,所述现场网络10、11、12连接到一些现场设备13、远程IO设备14以及智能电子设备(IED)17。本发明提出一种按照独立于协议的方式为不同的自动化和现场网络上的实时、抖动敏感的通信提供安全性的系统、设备和方法,这是通过设计使用现场可编程门阵列(FPGA)或专用集成电路(ASIC)来实现高速计算的体系结构而实现的。所述体系结构必需高效以便支持/适应不同的密钥管理方案、密码算法以及通信协议。
图2示出了本发明的安全性插件,其被放置用于在所述网络内提供安全通信。在本发明的系统中,出于安全性原因在所述自动化网络中引入两种新组件,即一个或更多安全性插件以及一个或更多密钥服务器。在图2中,操作员站20、22和工程站21通过单独的管道(即所述安全性插件24)由控制网络23互连。此外还存在一个或更多会话密钥服务器27以及备用会话密钥服务器28,以便提供安全通信。应当注意到,当本发明的系统中的两个组件安全地交互时,需要两个安全性插件,其分别处于每一个通信组件上。举例来说,图2示出了控制网络23与自动化网络19之间通过自动化网络桥接器29进行的通信。在这种情况下,放置两个安全性插件24以便在所述两个网络之间实现这种通信。
图3示出了本发明的框架,其提出了对于安全性插件30、密钥服务器31以及引导技术32的几种操作模式。所述安全性插件可以被使用在不同模式下,比如内部模式33,在该模式下可以把所述安全性插件集成放置到网络节点中,从而使得该模块仍然串连在该网络节点与所述网络之间。在这种情况下,将把所述安全性插件硬件集成到将要提供的网络元件中:即操作员站、工程站、控制器、现场设备等等。此外还可以使用外部模式34,在该模式下可以把所述安全性插件串连放置在网络节点与所述网络之间,从而支持旧有系统。此外还可以使用混合模式35,该混合模式35是内部操作模式与外部操作模式的组合。可以把所述会话密钥服务器31放置在所述安全性插件的内部36,其中每一个安全性插件可以是主密钥服务器(key server master),或者也可以将其放置在所述安全性插件的外部37,其中所述自动化系统具有明确定义的密钥服务器机器,其可以具有备份密钥服务器会话机器,从而提供冗余度并且分布故障点。所述安全性插件的体系结构将支持通信设备群组的动态形成,其中设备可以在任何时间点决定进入或离开群组,但是将必须向存在于所述网络内的会话密钥服务器通知其动作。所述会话密钥服务器的功能将是建立/重建参与方当中的共同秘密(新会话密钥的初始化)以便安全地通信。所述会话密钥被用来为网络通信量提供安全性。所述会话密钥服务器将负责控制所述群组动态并且相应地建立会话密钥。此外还提供备用会话密钥服务器以应对主会话密钥服务器由于任何原因停止运作的情况。所述主密钥引导技术32还可以被称作密钥管理。可以利用两种模式40将所述引导信息初始化到所述自动化网络中的所有安全性插件上。相同的通信信道被用于诸如以太网38的正常通信。此外还有可能将预备的专用通信信道39仅用于引导所述安全性插件的目的。会影响具有不同通信接口的决定的主要因素将是所述引导动作所花费的时间。如果要被引导的设备的数目很多,则应当使用专用的快速且高效的通信信道。基于引导的时间41,有两种可能的密钥管理技术类型,其中包括:制造时密钥管理42,其中在把所述安全性插件运送给顾客之前对密钥进行初始化;以及安装时密钥管理43,其中在所述安全性插件的安装及试运转期间对密钥进行初始化。
图4示出了安全性插件45的高级别方框图。整个安全性逻辑46合并有几个组件比如密钥管理模块47、广播密钥建立模块48、保密性模块49以及完整性模块50。所述安全性插件45还包括带有输入引导线53的安全性引导通信逻辑52以及带有引入线(lines going in)55和引出线(lines going out)56的通信逻辑54。所述密钥管理模块47负责存储可以从所述安全性插件中的安全性引导通信逻辑52获得的安全性引导信息。其还负责为所述安全性插件中的其他模块提供必要的接口以便获取所述安全性引导信息。所述广播密钥建立模块48负责使用所述长期安全性引导信息来生成短期会话密钥,并且利用所述保密性模块49、完整性模块50、通信逻辑54以及流程管理模块51的服务来分发所述短期会话密钥。所述保密性模块49提供用于对数据进行加密及解密的接口。所述完整性模块50提供用于生成及检验数据的安全性校验和的接口。这些服务49和50将由所述广播密钥建立模块48和流程管理模块51来使用。所述流程管理模块51确保所述安全性插件45中的数据流和操作控制,并且还负责控制所述各模块以及将它们彼此连接。所述引导通信逻辑52提供近场通信信道,其可以由所述密钥管理设备使用来在所述安全性插件上执行密钥管理操作。密钥管理者应当使用所述密钥管理设备。在理想情况下,该模块应当提供诸如蓝牙的近场通信或者具有短的物理连线的受到物理保护的通信信道。这是为了确保对所述设备的物理访问对于执行所述密钥管理操作具有根本上的重要性。所述通信逻辑54为所述流程管理模块51提供数据接口,以便与诸如IP、以太网、无线LAN、基金会现场总线(Foundation Fieldbus)、Modbus等等之类的任何物理介质进行交互。为了在恰好处于通信栈的物理层之上的链路级工作,需要具有下列属性的安全性插件体系结构。
1、(利用现场可编程门阵列(FPGA)或专用集成电路(ASIC))所述体系结构的这一属性将促进最小抖动的、实时的且安全的通信。
2、(广播通信安全性)由于以太网协议固有地支持广播通信,因此很重要的是所述安全性体系结构支持广播通信的认证[3]。这一特征对于实现协议独立性而言至关重要。这一属性实质上将包括广播密钥管理机制和广播消息认证机制。所述广播密钥管理机制将要求在所述安全性插件中可获得适当形式的保密性机制[3]。
利用基于FPGA/ASIC的技术来实现所述安全性插件的做法不会在通信中引入抖动,因为所述系统仅仅执行其被编程来执行的专用功能,并且不会像微处理器的情况那样出现资源竞争问题。使用FPGA并不会消除抖动,但是当RTOS运行在基于FPGA/CPU的系统上时会显著减少抖动。
在上面的方框图中描绘的引入线55和引出线56可以使用串行或并行I/O操作。所述安全性插件的协议独立性是通过把所述安全性逻辑层叠到不同的通信逻辑平台上的能力而实现的。所述体系结构被设计成满足自动化网络的要求,其中包括实时通信、可靠性以及容错性。所述体系结构的各组件的功能应当如下:
所述安全性插件的体系结构还规定每一个安全性插件充当会话密钥服务器。在这种情况中,将在各参与设备当中执行特殊的协议以便选择主密钥服务器,主密钥服务器将负责生成及建立该群组的其他成员之间的会话密钥。所述网络中的所有其他具有内部密钥服务器的安全性插件以及所识别出的其他密钥服务器都应充当备用。在网络启动期间或者在已经识别出的主密钥服务器发生故障的情况下应当使用一种特殊协议来选择所述主密钥服务器。具有内部密钥服务器的安全性插件的高级别方框图如图5中所示。在该布局中,密钥服务器模块57处于所述安全性插件的内部。
图6描绘了所述安全性插件上的密钥管理。一个或更多安全性插件61通过不安全通信信道65、66、67、68相连。这些安全性插件与密钥管理设备69进行交互,所述密钥管理设备69通过被用于安全引导的受信任信道70、71、72、73与所述安全性插件61进行交互。在制造阶段或安装阶段期间被初始化的密钥可以被称作主密钥。所述主密钥是长期密钥,该长期密钥随后将被用来导出会话密钥,所述会话密钥将被用于保护设备之间的通信。
图7示出了利用统一的引导信道而没有额外的引导引入线的安全性插件体系结构。
参考文献
[1]Jason M.Agron的硕士论文“Run-Time Scheduling Support forHybrid CPU/FPGA SoCs(对于混合CPU/FPGA SoC的运行时间调度支持)”(University of Kansas,2006年)。本文可以在http://www.ittc.ku.edu/research/thesis/documents/jason_agron, _thesis.pdf处获得。最后访问:2006年11月20日。
[2]Loria-Inria的Ghassan Chaddoud、Isabelle Chrisment、AndreSchaff的“Dynamic Group Communication Security(动态群组通信安全性)”(iscc,p.0049,Sixth IEEE Symposium on Computers andCommunications(ISCC’01),2001年)。
[3]互联网工程任务组的“Multicast Security Working Group(多点传送安全性工作组)”。最后修改:2006年1月12日。本文可以在http://www.ietf.org/html.charters/msec-charter.html处获得。最后访问:2006年11月20日。
[4]Kapali Viswanathan、Colin Boyd、Ed Dawson的“An Analysisof Integrity Services in Protocols(关于协议中的完整性服务的分析)”(INDOCRYPT’2001,第175-187页,Lecture Notes in ComputerScience,2247卷,ISBN 3-540-43010-5,2001年)。
Claims (27)
1.一种在用于自动化网络的以太网上提供广播通信安全性的系统,所述自动化网络可以是有线的或无线的或者是有线与无线技术的组合,并且所述自动化网络包括诸如工业控制器、现场设备、连接性服务器、操作员工作站以及工程站的多个自动化组件,所述系统包括:
a、作为基于以太网并且独立于应用协议的设备的安全性插件,其合并有用于在连接到所述自动化网络上的任意自动化组件集合之间提供广播通信安全性的机制;以及
b、广播密钥服务器,其向所述安全性插件分发密钥以便安全地通信;以及
c、用来在安全性插件之间执行初始化以及密钥管理的引导装置。
2.权利要求1的系统,其中,可以利用以下模式来布置所述安全性插件:
a、内部模式,其中所述安全性插件与自动化组件集成地被放置,从而在所述安全性插件、所述自动化组件以及所述自动化网络之间存在串行连接;
b、外部模式,其中所述安全性插件被串连放置在所述自动化组件与所述自动化网络之间;以及
c、混合模式,所述混合模式是内部模式与外部模式的组合。
3.权利要求1的系统,其中,所述密钥服务器可以被放置在所述安全性插件的内部或外部。
4.权利要求1的系统,其中,所述引导装置用来建立主密钥或长期密钥,所述主密钥或长期密钥被用来导出用于通信实体的会话密钥或短期密钥,所述引导装置包括针对以下情况的多种选项:
a、引导模式,其中能够使用(a)单独的通信信道或者(b)集成的通信信道来引导所述设备;以及
b、引导时间,其中(a)在制造时配置所述主密钥或者(b)在安装或试运转期间配置所述主密钥。
5.权利要求1的系统,其中,通过广播密钥建立和广播数据安全性来支持广播通信安全性。
6.权利要求5的系统,其中,所述广播密钥建立机制将包括保密性和完整性机制。
7.权利要求5的系统,其中,通过单次广播密钥建立来使能按照单点传送、多点传送或广播方式进行的安全通信。
8.权利要求1的系统,其中,所述安全性插件具有两个操作阶段,其中包括:
a、广播密钥建立,其中:
i、所述密钥服务器模块发送及接收关于把多个密钥服务器当中的一个识别为主密钥服务器的确定消息;
ii、所述主密钥服务器在所有安全性插件之间生成并建立所述会话密钥;
iii、所述广播密钥建立模块利用所述保密性模块和完整性模块来向所述网络中的所有安全性插件发送密钥建立消息,其中,密钥管理模块的责任是把用于所述完整性和保密性模块的必要的长期密钥加载到所述广播密钥建立模块上,从而使得所述保密性和完整性模块不能并且不会与所述流程控制模块进行通信,所有通信都由所述广播密钥建立模块发送及接收;
iv、利用最新的主密钥和初始化矢量来更新所述密钥管理模块;
v、通过所述广播密钥建立模块把所述会话密钥加载到所述完整性模块和保密性模块上;
vi、所述安全性插件接收来自所述主密钥服务器的消息并且应用与所述主密钥服务器相反/相同的必要的密码处理,并且检验发送方的安全性请求;
vii、一旦接收到来自所述主密钥服务器的激活信号,则将所述会话密钥加载到所述保密性模块和完整性模块上,并且还在所述密钥管理模块中对其进行更新;以及
b、安全通信,其中由所述保密性模块和完整性模块直接处理接收自所述控制器的消息。
9.权利要求1的系统,其中,利用现场可编程门阵列来实现所述安全性插件。
10.权利要求1的系统,其中,利用专用集成电路来实现所述安全性插件。
11.一种用于在自动化网络中提供实时、可靠、安全的通信的设备,所述自动化网络可以是有线的或无线的或者是有线与无线技术的组合,并且所述自动化网络包括多个自动化组件,所述自动化组件比如是通过与多个控制器、现场设备以及智能电子设备进行交互的控制网络来连接的连接性服务器、操作员工作站以及工程站,所述用于在自动化网络中提供实时、可靠、安全的通信的设备包括:
a、合并有几个组件的安全性逻辑,其中包括:
i、密钥管理模块;
ii、广播密钥建立模块;
iii、保密性模块;以及
iv、完整性模块;
b、以太网通信逻辑,其包括:
i、安全性引导通信逻辑;以及
ii、通信逻辑。
12.权利要求11的设备,其包括流程管理模块,该流程管理模块确保所述数据流和操作控制,并且还负责控制所述各模块以及将它们彼此连接。
13.权利要求11的设备,其包括:
a、合并有几个组件的安全性逻辑,其中包括:
i、密钥服务器模块。
14.权利要求11的设备,其中,所述安全性和通信逻辑可以被安放在统一的或相异的硬件基板上。
15.权利要求11的设备,其中,所述安全性逻辑的组件可以被安放在统一的或相异的硬件基板上。
16.权利要求11的设备,其中:
a、所述密钥管理模块存储能够从所述安全性插件中的安全性引导通信逻辑获得的安全性引导信息,并且为所述安全性插件中的其他模块提供必要的接口以便获取所述安全性引导信息;
b、所述广播密钥建立模块使用长期安全性引导信息来生成短期会话广播密钥,并且利用所述通信逻辑、保密性模块、完整性模块以及流程管理模块的服务来分发所述短期会话广播密钥;
c、所述保密性模块提供用于对数据进行加密及解密的接口,并且由所述广播密钥建立模块和流程管理模块来使用;
d、所述完整性模块提供用于生成及检验数据的安全性校验和的接口,该服务将由所述广播密钥建立模块和流程管理模块来使用;以及
e、所述流程管理模块确保所述安全性插件中的数据流和操作控制,并且还负责控制各个模块以及将它们彼此连接;
f、所述安全性引导通信逻辑提供近场通信信道或受到物理保护的通信信道,其可以由所述密钥管理设备使用来在所述安全性插件上执行密钥管理操作;
g、所述通信逻辑负责为所述流程管理模块提供数据接口,以便与任何物理介质进行交互。
17.权利要求11的设备,其中,所述安全性引导通信逻辑提供诸如蓝牙的近场通信或者具有物理连线的受到物理保护的通信信道。
18.权利要求11的设备,其中,所述通信逻辑可以与诸如IP、以太网、无线LAN、基金会现场总线、Modbus的协议以及操作在以太网上的任何协议进行交互。
19.权利要求11的设备,其中,所述保密性模块可以被实施为执行利用任何已知分组密码的方法,其中所述分组密码包括AES、TDES、DES、Blowfish等等。
20.权利要求11的设备,其中,可以利用诸如MD5、SHA1和SHA2的哈希函数以及诸如HMAC、NMAC、CMAC、UMAC或CBC-MAC的消息认证代码来实施所述完整性模块。
21.权利要求11的设备,其中,利用经过认证的加密技术来实施所述完整性模块和保密性模块,其中包括使用GCM、EAX、OCB和CCM。
22.权利要求11的设备,其包括两个操作阶段,其中包括:
a、广播密钥建立,其中:
i、所述密钥服务器模块发送及接收关于把多个密钥服务器当中的一个识别为主密钥服务器的确定消息;
ii、所述主密钥服务器在所有安全性插件之间生成并建立所述会话密钥;
iii、所述广播密钥建立模块利用所述保密性模块和完整性模块来向所述网络中的所有安全性插件发送密钥建立消息,其中,密钥管理模块的责任是把用于所述完整性和保密性模块的必要的长期密钥加载到所述广播密钥建立模块上,从而使得所述保密性和完整性模块不能并且不会与所述流程控制模块进行通信,所有通信都由所述广播密钥建立模块来发送及接收;
iv、利用最新的主密钥和初始化矢量来更新所述密钥管理模块;
v、通过所述广播密钥建立模块把所述会话密钥加载到所述完整性模块和保密性模块上;
vi、所述安全性插件接收来自所述主密钥服务器的消息并且应用与所述主密钥服务器相同的必要的密码处理,并且检验发送方的安全性请求;
vii、一旦接收到来自所述主密钥服务器的激活信号,将所述会话密钥加载到所述保密性模块和完整性模块上,并且还在所述密钥管理模块中对其进行更新;以及
b、安全通信,其中由所述保密性模块和完整性模块直接处理接收自所述控制器的消息。
23.权利要求11的设备,其利用单点传送、多点传送和广播通信支持安全的通信。
24.一种用于在自动化网络中提供实时、可靠、安全的通信的方法,所述自动化网络可以是有线的或无线的或者是有线与无线技术的组合并且包括多个自动化组件,所述自动化组件比如是通过与多个控制器、现场设备以及智能电子设备进行交互的控制网络来连接的操作员工作站以及工程站,并且与利用在权利要求1的系统中概述的多种模式相连的(a)一个或更多安全性插件以及(b)一个或更多密钥服务器集成地耦合,所述方法包括以下步骤:
i、利用针对以下情况的多种选项进行引导:
ii、密钥建立;以及
iii、安全通信,其中由所述保密性模块和完整性模块直接处理接收自所述控制器的消息。
25.权利要求24的方法,其中,所述引导步骤包括在以下选项之间进行选择的步骤:
i、引导模式,其中可以使用(a)单独的通信信道或者(b)集成的通信信道来引导所述设备;以及
ii、引导时间,其中(a)在制造时配置所述主密钥或者(b)在安装或试运转期间配置所述主密钥。
26.权利要求24的方法,其中,所述密钥建立步骤包括以下步骤:
i、所述密钥服务器模块发送及接收关于把存在于所有安全性插件中的密钥服务器中的一个选择为主插件的确定信息;
ii、所述主插件在所有安全性插件之间生成并建立所述会话密钥;
iii、所述广播密钥建立模块利用所述保密性模块和完整性模块来向所述网络中的所有安全性插件发送密钥建立消息,其中,密钥管理模块的责任是把用于所述完整性和保密性模块的必要的长期密钥加载到所述广播密钥建立模块上,从而使得所述保密性和完整性模块不能并且不会与所述流程控制模块进行通信,并且所有通信都由所述广播密钥建立模块发送及接收;
iv、利用最新的主密钥和初始化矢量来更新所述密钥管理模块;
v、通过所述广播密钥建立模块把所述会话密钥加载到所述完整性模块和保密性模块上;
vi、被标明为从属插件的其他安全性插件接收来自所述主插件的消息并且应用与所述主插件相同的必要的密码处理,并且检验发送方的安全性请求;
vii、一旦接收到来自所述主插件的激活信号,把所述会话密钥加载到所述保密性模块和完整性模块上并且还在所述密钥管理模块中对其进行更新。
27.权利要求24的方法,其利用单点传送、多点传送和广播通信支持安全的通信。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2007/002497 WO2009027756A2 (en) | 2007-08-28 | 2007-08-28 | Real-time communication security for automation networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101843033A true CN101843033A (zh) | 2010-09-22 |
| CN101843033B CN101843033B (zh) | 2013-11-13 |
Family
ID=40387931
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007801012926A Active CN101843033B (zh) | 2007-08-28 | 2007-08-28 | 针对自动化网络的实时通信安全性 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9300467B2 (zh) |
| EP (1) | EP2186251B1 (zh) |
| CN (1) | CN101843033B (zh) |
| WO (1) | WO2009027756A2 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104951303A (zh) * | 2014-03-28 | 2015-09-30 | Abb技术股份公司 | 用于管理和配置自动化设施的现场设备的方法和装置 |
| CN105897713A (zh) * | 2016-04-11 | 2016-08-24 | 福州华鹰重工机械有限公司 | 车际通信系统安全协议设计方法及装置 |
| CN109491712A (zh) * | 2018-11-01 | 2019-03-19 | 北京京航计算通讯研究所 | 一种适用于VxWorks环境的可信引导方法 |
| CN111859472A (zh) * | 2014-12-19 | 2020-10-30 | 英特尔公司 | 用于片上系统平台的安全插件 |
| CN113282059A (zh) * | 2020-02-03 | 2021-08-20 | 罗克韦尔自动化技术公司 | 用于智能电气设备的自动配置的系统和方法 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8447039B2 (en) * | 2007-09-26 | 2013-05-21 | Cisco Technology, Inc. | Active-active hierarchical key servers |
| ATE534211T1 (de) * | 2008-06-26 | 2011-12-15 | Abb Research Ltd | Konfigurierung eines intelligenten elektronischen geräts |
| DE102009055247A1 (de) * | 2009-12-23 | 2011-06-30 | Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG, 70839 | Anordnung mit einer übergeordneten Steuereinheit und zumindest einem mit der Steuereinheit verbindbaren intelligenten Feldgerät |
| US8819855B2 (en) * | 2012-09-10 | 2014-08-26 | Mdi Security, Llc | System and method for deploying handheld devices to secure an area |
| US8924899B2 (en) | 2013-05-23 | 2014-12-30 | Daniel Jakob Seidner | System and method for universal control of electronic devices |
| CN103414625A (zh) * | 2013-06-14 | 2013-11-27 | 无锡拓能自动化科技有限公司 | 一种基于Modbus Tcp的以太网IO模块 |
| CN104539573B (zh) * | 2014-10-30 | 2018-07-27 | 北京科技大学 | 一种基于嵌入式系统的工业安全网关的通信方法及装置 |
| US20180219695A1 (en) * | 2017-01-30 | 2018-08-02 | Brightswitch, Inc. | System and method for distributed home automation control |
| US10802834B2 (en) * | 2018-06-11 | 2020-10-13 | Google Llc | Enabling multiple secure boot paths on a hardware platform |
| KR20200034020A (ko) | 2018-09-12 | 2020-03-31 | 삼성전자주식회사 | 전자 장치 및 그의 제어 방법 |
| KR102198178B1 (ko) * | 2018-10-31 | 2021-01-04 | 상명대학교 천안산학협력단 | 블록체인을 이용한 세션키 수립 방법 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5325432A (en) | 1993-02-04 | 1994-06-28 | Motorola, Inc. | Method for updating encryption key information in communication units |
| EP1050991A1 (en) * | 1999-04-27 | 2000-11-08 | Sientescom Developments Limited | A dynamic validation system |
| US6760752B1 (en) * | 1999-06-28 | 2004-07-06 | Zix Corporation | Secure transmission system |
| US6269349B1 (en) * | 1999-09-21 | 2001-07-31 | A6B2, Inc. | Systems and methods for protecting private information |
| US6999996B2 (en) * | 2000-03-14 | 2006-02-14 | Hussmann Corporation | Communication network and method of communicating data on the same |
| FR2841075B1 (fr) * | 2002-06-13 | 2004-12-24 | Systemig Sa | Dispositif de controle et/ou de surveillance utilisant au moins un controleur de transmission |
| US7636840B2 (en) * | 2002-07-10 | 2009-12-22 | Dresser, Inc. | Secure communications and control in a fueling environment |
| DE10305413B4 (de) | 2003-02-06 | 2006-04-20 | Innominate Security Technologies Ag | Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium |
| US20040176877A1 (en) * | 2003-03-05 | 2004-09-09 | Scott Hesse | Building automation system and method |
| US7508801B1 (en) * | 2003-03-21 | 2009-03-24 | Cisco Systems, Inc. | Light-weight access point protocol |
| CN1309208C (zh) * | 2003-05-23 | 2007-04-04 | 联想(北京)有限公司 | 一种计算机网络的网络安全系统及其控制方法 |
| US20050010649A1 (en) | 2003-06-30 | 2005-01-13 | Ray Payne | Integrated security suite architecture and system software/hardware |
| DE10331307A1 (de) * | 2003-07-10 | 2005-02-10 | Siemens Ag | Vorrichtung und Verfahren sowie Sicherheitsmodul zur Sicherung eines Datenzugriffs eines Kommunikationsteilnehmers auf mindestens eine Automatisierungskomponente eines Automatisierungssystems |
| US7421578B1 (en) * | 2003-07-22 | 2008-09-02 | Cisco Technology, Inc. | Method and apparatus for electing a leader node in a computer network |
| US7725933B2 (en) | 2003-10-07 | 2010-05-25 | Koolspan, Inc. | Automatic hardware-enabled virtual private network system |
| WO2005057341A2 (en) * | 2003-12-02 | 2005-06-23 | Koolspan, Inc. | Automatic hardware-enabled virtual private network system |
| US20060136575A1 (en) * | 2004-05-11 | 2006-06-22 | Ray Payne | Integrated security suite architecture and system software/hardware |
| US8379864B2 (en) * | 2004-07-09 | 2013-02-19 | Nokia Corporation | Software plug-in framework to modify decryption methods in terminals |
| US7530113B2 (en) * | 2004-07-29 | 2009-05-05 | Rockwell Automation Technologies, Inc. | Security system and method for an industrial automation system |
| US7370202B2 (en) * | 2004-11-02 | 2008-05-06 | Voltage Security, Inc. | Security device for cryptographic communications |
| US7990967B2 (en) | 2005-01-06 | 2011-08-02 | Rockwell Automation Technologies, Inc. | Firewall method and apparatus for industrial systems |
| US7562211B2 (en) * | 2005-10-27 | 2009-07-14 | Microsoft Corporation | Inspecting encrypted communications with end-to-end integrity |
| US7890612B2 (en) * | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| US8169974B2 (en) * | 2007-04-13 | 2012-05-01 | Hart Communication Foundation | Suspending transmissions in a wireless network |
| US8266286B2 (en) * | 2007-06-05 | 2012-09-11 | Cisco Technology, Inc. | Dynamic key management server discovery |
-
2007
- 2007-08-28 EP EP07825036.2A patent/EP2186251B1/en active Active
- 2007-08-28 WO PCT/IB2007/002497 patent/WO2009027756A2/en active Application Filing
- 2007-08-28 CN CN2007801012926A patent/CN101843033B/zh active Active
-
2010
- 2010-02-26 US US12/713,779 patent/US9300467B2/en active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104951303A (zh) * | 2014-03-28 | 2015-09-30 | Abb技术股份公司 | 用于管理和配置自动化设施的现场设备的方法和装置 |
| CN111859472A (zh) * | 2014-12-19 | 2020-10-30 | 英特尔公司 | 用于片上系统平台的安全插件 |
| CN111859472B (zh) * | 2014-12-19 | 2024-01-16 | 英特尔公司 | 用于片上系统平台的安全插件 |
| CN105897713A (zh) * | 2016-04-11 | 2016-08-24 | 福州华鹰重工机械有限公司 | 车际通信系统安全协议设计方法及装置 |
| CN109491712A (zh) * | 2018-11-01 | 2019-03-19 | 北京京航计算通讯研究所 | 一种适用于VxWorks环境的可信引导方法 |
| CN109491712B (zh) * | 2018-11-01 | 2021-09-10 | 北京京航计算通讯研究所 | 一种适用于VxWorks环境的可信引导方法 |
| CN113282059A (zh) * | 2020-02-03 | 2021-08-20 | 罗克韦尔自动化技术公司 | 用于智能电气设备的自动配置的系统和方法 |
| CN113282059B (zh) * | 2020-02-03 | 2024-01-30 | 罗克韦尔自动化技术公司 | 用于智能电气设备的自动配置的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9300467B2 (en) | 2016-03-29 |
| EP2186251A4 (en) | 2012-02-08 |
| US20100217967A1 (en) | 2010-08-26 |
| EP2186251B1 (en) | 2019-10-09 |
| CN101843033B (zh) | 2013-11-13 |
| EP2186251A2 (en) | 2010-05-19 |
| WO2009027756A2 (en) | 2009-03-05 |
| WO2009027756A3 (en) | 2009-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101843033B (zh) | 针对自动化网络的实时通信安全性 | |
| US11977622B2 (en) | Authentication between industrial elements in an industrial control system | |
| CN107976972B (zh) | 安全的过程控制通信 | |
| US9710984B2 (en) | Method for the authentication of at least one first unit on at least one second unit | |
| Dawson et al. | SKMA-A key management architecture for SCADA systems | |
| CN101300806B (zh) | 用于处理安全传输的系统和方法 | |
| CN100392626C (zh) | 网络化设备的访问和控制系统 | |
| CN101631080B (zh) | 基于epa协议的工业以太网交换机和报文转发方法 | |
| DK3245775T3 (en) | One-way switching device with sub-question device for retroactive transmission of data | |
| EP3687108A1 (en) | Industrial control system redundant communications/control modules authentication | |
| WO2003107155A1 (en) | Dongle for a secured data communications network | |
| CN101836422A (zh) | 具有增强的安全级别的双向网关 | |
| CN102984045A (zh) | 虚拟专用网的接入方法及虚拟专用网客户端 | |
| CN102761494A (zh) | 一种ike协商处理方法及装置 | |
| EP1665725B1 (en) | Remote ipsec security association management | |
| Niemann | IT security extensions for PROFINET | |
| CN110120866B (zh) | 现场设备的用户管理方法 | |
| CN112015457A (zh) | 软件更新机制 | |
| US20230359642A1 (en) | Method, devices and system for data exchange between a distributed database system and devices | |
| Åkerberg et al. | Introducing security modules in profinet io | |
| Sveda et al. | Design of networked embedded systems: An approach for safety and security | |
| CN102148704A (zh) | 一种加密型交换机通用网管接口的软件实现方法 | |
| Sveda et al. | Dependability-driven Embedded Systems Networking | |
| Adalier et al. | Cross-domain Autonomous Communication Protocol for Delay Tolerant Networks | |
| DE102020004128A1 (de) | Kryptographisches Verfahren zum sicheren und autorisierten Anmelden und Authentifizieren von Geräten in einem Netzwerk, unter Verwendung von Geheimnissen und durch den Austausch geheimer Schlüssel |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191128 Address after: Baden, Switzerland Patentee after: ABB Switzerland Co.,Ltd. Address before: Zurich Patentee before: ABB RESEARCH Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20210705 Address after: Baden, Switzerland Patentee after: ABB grid Switzerland AG Address before: Baden, Switzerland Patentee before: ABB Switzerland Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Swiss Baden Patentee after: Hitachi energy Switzerland AG Address before: Swiss Baden Patentee before: ABB grid Switzerland AG |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20231231 Address after: Zurich, SUI Patentee after: Hitachi Energy Co.,Ltd. Address before: Swiss Baden Patentee before: Hitachi energy Switzerland AG |
|
| TR01 | Transfer of patent right |