CN105308608B - 用于设备操作的安全端到端许可系统 - Google Patents
用于设备操作的安全端到端许可系统 Download PDFInfo
- Publication number
- CN105308608B CN105308608B CN201480022857.1A CN201480022857A CN105308608B CN 105308608 B CN105308608 B CN 105308608B CN 201480022857 A CN201480022857 A CN 201480022857A CN 105308608 B CN105308608 B CN 105308608B
- Authority
- CN
- China
- Prior art keywords
- order
- equipment
- license
- business logic
- logic modules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Educational Administration (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种用于控制系统中的设备的许可系统包括发布许可的代理,该发布许可的代理接收将被发送到设备的命令。基于该命令的至少一个属性,发布许可的代理标识与该命令有关的一个或多个商业逻辑模块。每个商业逻辑模块具有与其相关联的各自不同的商业规则集合。每个被标识的商业逻辑模块确定该命令是否符合与该模块相关联的商业规则。如果该命令被确定为符合所有被标识的商业逻辑模块的商业规则,则代理发布针对该命令的许可,并且该许可被发送到该设备以执行该命令。
Description
技术领域
本公开涉及发布用于将被系统中的设备(诸如网络中的节点)执行的操作的命令,并且更特别地涉及向系统内的设备发布的命令的安全端到端验证和授权。
背景技术
存在各种不同类型的系统,其中向系统内的设备发布命令以执行操作,并且其中针对发布的命令的正确授权以及对该命令的发布者的验证对于系统的正确操作至关重要。这种系统的一个例子是配电网络。这种系统的操作模型可以改变,并且多个不同方可以对发送到网络的不同实体的消息和控制命令的不同集合行使权力。如果未被授权的命令被发送到网络中的设备,例如,指示配电变压器在配电网上的负载不能适应该改变时改变其输出电压,电网可能变得不稳定并且引起停电和/或损坏。在另一个方面,补充账单到期即付计量表的未被授权的命令可能导致经由网络分配的能量资源被盗窃。因此,向设备发布的命令应该符合被设计为防止这些发生的商业策略,并且应当在实现命令的操作之前在设备处检验命令的验证。
当然,配电网络之外的系统具有类似类型的安全顾虑。例如,即使在人们具有对路由器以及其它网络组件的物理访问并可能能够直接向它们输入命令的情况下,商业的信息技术系统还可能需要保护其路由器以及其它网络组件的配置。
在提交于2010年11月4日的美国申请No.12/939702中公开了确保向设备发布的命令的安全性的系统的一个例子。公开的系统包括实现许可操作的代理,诸如硬件安全模块。当控制和/或管理应用具有将被发送给设备的命令时,该命令首先被转发给该代理,在其处该命令被检查以确定它是否符合被设计为确保被命令的设备的正确操作的策略。如果该命令符合,那么代理签署涉及该命令的数据,并且还可选择地加密该数据。然后代理发布包含被签署的命令数据的许可。该许可被传输到设备以执行被命令的操作。
在诸如配电网络的复杂系统中,多个负责方对发送给网络中的不同实体的消息和控制命令的不同集合行使权力。因此,根据发布命令方和被发送命令的实体,可能需要参考商业逻辑的不同集合以便确认该命令以及发布方符合建立的策略。久而久之,某些商业逻辑可能需要被更新以适应系统配置的改变、新的进行发布的权威机构和/或可以改变的其它因素。因此,希望提供灵活的许可系统,其可以经由设计良好的接口来接受来自各种来源的许可请求,且针对每一类来源或每一个许可的发布具有可配置的规则。另外,被包含在可配置的规则中的商业逻辑应当能针对各种应用,同时确保发布的命令的必要的安全性。
发明内容
一种用于控制系统中的设备的许可系统包括发布许可的代理,该发布许可的代理接收将被发送到设备的命令。基于命令的至少一个属性,该发布许可的代理标识与该命令有关的一个或多个商业逻辑模块。每个商业逻辑模块具有与其相关联的各个不同的商业规则集合。该代理针对给定命令标识出的每个商业逻辑模块确定该命令是否符合与该模块相关联的商业规则。如果该命令被确定为符合所有被标识的商业逻辑模块的商业规则,则代理发布针对该命令的许可,并且该许可被发送到该设备,以便执行该命令。
在接收到该许可之后,设备检查该许可以检验该命令是由被授权的来源发布的以及该许可是否有效。如果是,则它执行该命令并且返回被签署的应答以便确认该执行。在一个实施例中,该应答由执行该命令的设备本身签署,而不是由与该设备相关联的通信模块签署,从而提供用于在系统后台部门和系统中的设备之间交换的命令以及其它通信的完整的端到端安全性。
附图说明
图1是示例性系统的示意图,其中可以实现本发明的原理;
图2A是用于发布针对命令的许可的系统和过程的框图;
图2B是发布许可的代理的硬件实现的一个实施例的框图;
图3是示出用于发布许可的代理的操作逻辑的操作的示例算法的流程图;
图4A是用于签名包装的示例格式的框图;
图4B是许可有效载荷的示例格式的框图;
图5是示出在接收命令时在设备中执行的验证过程的示例算法的流程图;和
图6是示出用于检查响应的代理的操作逻辑的操作的示例算法的流程图。
具体实施方式
为了便于理解本发明基于的原理,在下文中参考向配电系统中的设备发布的命令的安全控制描述其实现的实际例子。然而,应当理解,这些例子不是这些原理的仅有的实际应用。而是这些原理可被应用于任何类型的系统,在所述系统中如果关键命令被不正确地或错误地发布,则这些命令具有严重破坏或损坏该系统的可能。同样,这些原理可结合发送到系统的关键部件的所有命令和控制消息而被使用,所述关键部件的正确操作始终是必须的。
图1示出了一种类型的管理和控制系统的示例,其中可以实现本发明的原理。该系统的后台部门10包括与整个系统的各种操作相关联的多个单独子系统或应用12。每个应用可以与在该系统内执行的特定操作相关联,和/或控制构成该系统的设备的子集。在配电网络的情况下,例如,应用12可以包括顾客信息系统、顾客关系模块、停电管理系统、计费系统、电网稳定性模块和用户接口。对于其它类型的系统,可以在后台部门中实现应用的不同集合。
这些应用中的至少某些应用可以具有与经由网络连接到后台部门的设备通信的能力。例如,某些应用可以与各个端点设备14通信。在配电系统的情况下,例如,这些端点设备中的某些可以是电表,所述电表在各个顾客的房屋处获得消耗数据并且出于计费的目的与后台部门10通信,以便提供停电和其它异常情况的通知以及用于各种系统管理目的。其它端点设备可以是配电网络中的装置,诸如变电站和变压器,它们提供状态信息和通知。每个端点设备与通信模块15(例如网络接口卡)相关联,所述通信模块15使得能够相对于该设备传输消息。多于一个的设备可以与给定的通信模块相关联。
端点设备可以经由它们的相关联的通信模块通过具有接入点18的局域网16而与后台部门通信,接入点18提供进出网络的出口。局域网可以是有线网络、无线网络(例如网状网络)或两个网络的组合。接入点18可以借助于广域网20或一个或多个专用通信链路来与后台部门10处的服务器通信。
在这种类型的系统中,关心的一个问题是发布至设备的命令以及从设备返回的信息的安全管理。恶意和/或错误发布的命令可能具有破坏系统操作的可能。为了限制这些可能性,应当努力确保以安全方式发生命令和控制操作,并且仅由被授权的实体承担这种操作。然而,因为系统的后台部门可能由各种互连系统组成,所以安全性的实施变得困难。许多不同的组可能需要访问所有或部分软件系统,这使得限制对各个子系统的逻辑和/或物理访问的能力复杂化。
为了在这种系统中提供端到端安全性,采用一种许可机制以授权将被发布至系统内的设备的命令,并且验证那些命令的发布者。图2A示出了用于发布许可的布置和过程的一个例子。在这个例子中,后台部门10中的商业应用12中的一个商业应用发布用于系统中的特定设备或者设备组的命令,以执行操作。在接收到该命令之后,设备管理应用22可以安排将被执行的操作,然后确定该操作是否需要许可。如果需要,那么它在安全链路上向发布许可的代理24发送该命令,请求向设备发送该命令的许可。发布许可的代理可被实现在位于后台部门10处的服务器内,或者可以是分立的设备。发布许可的代理和后台部门应用之间的接口可以是安全的或专有的网络协议、程序化连接(例如来自请求许可的应用的本地呼叫)、电子邮件或类似类型的信息。
发布许可的代理(在下文中讨论)的组件可以是单个管理设备的一部分、彼此通信的多个单独设备或两种实现的组合。参考图2B,发布许可的代理至少由处理器34、由有形存储介质(例如,RAM、ROM、闪速存储器、磁性和/或光盘等)构成的一种或多种形式的存储器36以及通信接口38构成。存储器36存储由处理器执行的程序指令,以执行在下文中描述的许可操作。存储器还存储商业逻辑,该商业逻辑被参考以确定是否可以发布许可。存储商业模块的存储器可被集成在实现发布许可的代理的设备内,或者可由处理器,例如经由通信接口38在网络上远程访问。处理器与通信接口38交互34,以接收来自外部来源的针对许可的请求,并且向请求者或者适当时向其它外部资源传输响应。
发布许可的代理包括或者与多个商业逻辑模块26通信,商业逻辑模块26分别与商业逻辑的不同应用相关联。在一个实施例中,每个商业逻辑模块都被实现为被存储在发布许可的代理的存储器内的插件。借助于这种实现,通过更换与一个特定应用相关联的插件可以容易地更新用于该应用的商业逻辑,而不用重新配置整个发布许可的代理,并且不会影响用于任何其它应用的商业逻辑。
经由商业逻辑模块26实现的商业逻辑可以针对各种应用,每一个应用可以具有特定和有关的策略。给定的命令可以与这些策略中的某些有关,而不必然与它们中的所有有关。为此,发布许可的代理包括整体负责许可的安全发布的操作逻辑28。对于每个请求的许可,它确定需要参考哪个商业逻辑模块26。当针对给定命令请求许可时,操作逻辑参考配置表,以确定该命令影响哪些策略,并且查询涉及这些策略的一个或多个商业逻辑模块26。
例如,配电系统中的商业应用可以发布从配电网络断开顾客或负载的命令。商业策略之一可以限制给定时间范围内可以执行的连接和断开的数目,例如,每小时最多10次断开。因此,操作逻辑查询限制比率的商业逻辑模块,以确定在该约束下是否授权请求的断开。另一个商业逻辑模块可以与法规限制相关联,其仅允许断开发生在一年的特定时间和/或一天的特定时间期间,另一个商业逻辑模块可以负责监视电网,并且仅如果整个系统负载在预定阈值之上才允许断开。因此,响应于发布用于断开命令的许可的请求,操作逻辑确定这三个商业逻辑模块中的每一个与该命令有关,并且查询它们以确定在它们实现的相应策略之下是否授权所请求的命令。
要查询的特定商业逻辑模块26的确定可以基于该命令的一个或多个属性。这些属性可以包括(i)发布该命令的实体,例如发起该命令的特定商业应用12,和/或该应用的特定用户,(ii)被命令的特定类型的操作,和(iii)该命令被发送至的设备。
下面示出了描述与许可的发布相关联的操作的伪码的示例。在这个示例子中,该命令用于断开配电系统中的一个负载,例如,顾客的房屋。
该命令的最高层描述关于所需要的授权的操作逻辑。许可部分描述了批准发布许可必须参考的商业逻辑和许可系统。
在这个例子中,系统级管理员可以在任何时候进行断开。手动断开需要常规操作员授权。在该情况下,每小时不能有多于1500次断开,每天也不能有多于5000次断开,并且如果是冬季并且预测后续夜晚的低温为40度或更低,则不能发生断开。另外,任何给定的地区支路不能流出(shed)多于每小时1MW。许可系统强制实施这后4个条件。
特别地,操作逻辑参考比率模块、功率模块和天气模块。比率模块记录被命令的断开,并且确定过去1小时内是否发生了至少1500次断开。还确定过去24小时内是否发生了至少5000次断开。如果存在这些条件中的任一个,则许可被拒绝。功率模块记录在一个时间段期间每个地区支路中流过的负载的量。如果在过去的1小时内在所关心的地区支路中流过多于1MW,则许可被拒绝。使用当前和预测的天气情况定期地更新天气模块,以实现关于各种命令的策略。在这种情况下,如果温度低于40度,或者预测在接下来的24小时内将低于该值,则不允许断开。
在某些实施例中,设备可被分为不同组。基于设备所属的特定组,操作逻辑可以选择与该特定组有关的商业逻辑模块。作为替代地,该操作逻辑可以将特定类型的所有命令发送到同一商业逻辑以用于授权,而不论是哪个设备组,并且商业逻辑模块可以确定是否允许给定组中的设备执行被命令的操作。
如果任何被查询的商业逻辑模块指示所请求的命令因为违反它实现的策略中的一个而未被授权,则针对许可请求被拒绝。例如,在上述示例中,如果在前1小时内已经授权了1500次断开,那么比率限制模块将提供针对另一断开的请求的否定响应。在该情况下,即使其它商业逻辑模块提供肯定的响应,也不发布许可。相反地,如果操作逻辑查询的所有商业逻辑模块都指示所请求的命令被授权,那么操作逻辑产生包含该命令的许可,并且将其转发给硬件安全模块30。硬件安全模块使用与发布许可的代理相关联的私钥签署该许可,从而该许可随后可被接收它的设备验证。然后签署的许可被返回操作逻辑,以被转发到设备管理应用22。
图3是由操作逻辑28执行的示例过程的流程图。由实现该操作逻辑的处理器根据存储在相关联的存储器中的程序指令执行该过程。当接收到发布许可的请求时,在步骤44启动该过程。作为响应,首先在步骤46分析该请求以确定其属性值,例如命令发布者、目标设备、被命令的操作、设备组等。在步骤48,索引n被设置为等于包含在请求中的将由设备执行的各个操作的数目的值。然后,操作逻辑在步骤50选择请求中的操作之一,例如,第n个操作。基于该请求的一个或多个属性,操作逻辑在步骤52确定哪个商业逻辑模块或哪些商业逻辑模块与该操作有关。
在步骤54,操作逻辑选择已经被确定为有关的一个商业逻辑模块,并且向该模块发送查询、转发选择的操作和与其有关的任何其它信息,例如,命令的发布者和/或目标设备。在接收到来自被查询的商业逻辑模块的响应之后,操作逻辑在步骤56确定该模块是否批准对许可的请求。如果不,那么该操作逻辑在步骤58向请求者(例如,设备管理应用22)发送指示许可被拒绝的消息。此时,过程在步骤60结束。
如果选择的商业逻辑模块返回指示请求被批准的响应,那么操作逻辑在步骤62评估在步骤52是否识别出需要查询的任何其它商业逻辑模块。如果是,过程返回步骤54,并且查询另一个被识别的模块。以迭代的方式重复步骤54-62,直到所有被识别的商业逻辑模块已被查询为止,或者直到任一个被查询的模块以否定所请求的许可来响应为止。
一旦所有被识别的商业逻辑模块已被查询,并且每个商业逻辑模块都返回针对许可的批准,操作逻辑就进入步骤64和66,其中它减小索引n并随后确定n是否等于零。如果不等于,意味着存在将被评估的附加操作,并且过程返回步骤50,其中在步骤50选择下一个操作。随后重复步骤52-66,直到请求中的所有操作已相对于适当的商业逻辑模块被评估并批准为止。在该过程中的任一点,如果单个商业逻辑模块拒绝该请求,则在步骤58通知请求者被拒绝,并且过程结束。
如果在步骤66不存在将被评估的更多操作,并且所有被查询的商业逻辑模块已经批准了所有被请求的操作,那么在步骤68产生许可。该许可然后在步骤70被转发到硬件安全模块以被签署。在接收到签署的许可之后,操作逻辑在步骤72将其返回请求者,并且该过程结束。出于审计目的,可以在发布许可的代理处存储该许可的拷贝。
返回图2,在接收到签署的许可之后,请求者(例如,设备管理应用22)向由商业应用指定的设备32发送包含该许可的分组,以执行被命令的操作。设备可以例如通过遵从从该许可通过发布许可的代理的凭证、直到与整个系统相关联的根权威机构的一系列证书,来检验该许可。设备还可以检验关于该许可的有效性的任何时间值与当前时间一致。如果所有信息都正确并且被检验,那么设备可以执行该命令,并且向设备管理应用发送签署的收据,指示该命令的完成。
设备管理应用还可以签署被发送到该节点的分组的有效载荷,以提供用于该命令的两个不同的授权,所述授权由不同的控制实体提供,即,设备管理应用和发布许可的代理。在设备执行该命令之前,设备需要检验授权的这两种形式。在这个例子中,发布许可的代理不拥有直接与设备通信所需的凭证。而是,它向另一个控制实体(在这种情况下,即设备管理应用)提供凭证,以便将被授权的命令提供给该设备。
图4A示出了用于签署的许可的签名包装的示例格式。类型字段74标识被编码的有效载荷(例如,许可有效载荷)的类型。版本字段76、类型字段74和幻数字段78中的值明确地标识出被签署的对象的特定种类。有效载荷80可以是例如许可或收据。签名类型字段82标识被使用的签名算法的种类。密钥ID类型84和密钥ID长度86对用于该签名的标识符编码,并且密钥ID 88是实际标识符,例如,证书主体名称。签名字段90包含实际被编码的签名,其格式被签名类型82指示。
图4B示出了用于许可的示例格式,其可以是传输到设备的消息的签名包装中的有效载荷80的一种形式。许可有效载荷的第一字段92指示起始时间,即,许可成为有效的时间。当在节点处接收到包含许可有效载荷的消息时,节点对起始时间和其当前时间进行比较。如果起始时间晚于当前时间加上预定的增量(例如,5分钟),那么设备以无效来拒绝该许可。
许可有效载荷的第二字段94指示其间许可保持有效的持续窗口。该字段包含指示超出许可有效的起始时间的预定时间间隔(例如,5分钟的块)的数目的值。如果设备的当前时间大于许可起始时间加上该预定间隔和窗口值的乘积,则以无效拒绝该许可。例如,如果起始时间是1:00:00,窗口值是2,并且当前时间是1:12:38,那么许可将由于已经到期而被拒绝。
许可有效载荷的下一字段96指示允许执行的操作。多个操作可以与单个许可相关联。事件开始时间字段98和事件持续时间字段100是可选字段,它们可用于特定类型的操作(诸如可在特定时间段内执行的负载控制事件)。事件开始时间字段98指示事件何时开始,并且事件持续时间字段100指定事件将激活多长时间。
目标类型字段102指示紧跟的目标字段104的格式。目标字段104指明将执行许可的操作的设备。例如,目标可以是设备的MAC地址。目标类型字段102指示表达该地址的格式,例如DER八位字节串。
为了进一步增加安全性,可以施加一次只可向一个设备发布命令的约束。在发布许可之前,发布许可的代理可以检查以确保设备的目标地址与单个设备相关联,并且不是组或广播地址。
图5是可在该设备处被执行的示例过程的流程图。在接收到包含执行操作的命令的数据分组时,基于存储在设备内的策略,设备首先在步骤106察看指示的操作是否需要许可。如果指定的操作不需要许可,那么设备进入步骤116,并且执行该操作。如果需要许可,那么再次基于存储在设备中的信息,设备在步骤108确认用于签署该许可的证书和私钥具有执行所请求的操作的必要的权限。如果确认是肯定的,那么在步骤110,设备检验签署的许可的真实性,即已被指示的证书的对应私钥签署。然后,设备在步骤112检验字段82中的目标指定标识该设备。然后,在步骤114,设备确定当前时间Tc和起始时间Ti之间的不同是否小于预定间隔Int和窗口值W的乘积,以确认该许可没有到期。如果所有验证检查都成功了,那么在步骤116执行被命令的操作,并且在步骤118返回响应以确认成功的执行。如果设备进行的任何验证步骤不成功,则拒绝该许可,并且在步骤120返回错误消息。
从设备到后台部门的上游通信同样也被确保。以一种形式,返回给设备管理应用的收据可以是被使用设备的加密标识符签署的许可的拷贝。作为替代地,签署的收据可以包括从该许可导出的信息,例如,被命令的操作。另外,在签署和返回该收据之前,设备可以增加日志信息以指明被执行的操作,例如,将输出电压从一个值改变为另一个值,以及该操作被执行的时间。
通常,可以通过与执行该命令的设备14相关联的通信模块15(诸如网络接口卡)来执行收据的签署。在这种布置中,在执行该命令之后,设备14可以向通信模块15发送报告信息,并且响应于接收到这个信息,通信模块可以使用存储在该模块中的凭证来准备和签署该收据。
根据一个实施例,通过使得设备本身在向通信模块发送报告信息以便在网络上传输之前签署该报告信息,网络通信的安全性延至该设备。出于这个目的,设备存储创建签名的验证凭证,例如私钥和证书。在一个实现中,设备可以签署报告信息,例如仪表读数、电压值、改变的状态等,并且将签署的信息转发到通信模块,然后该通信模块基于该信息准备和传输该收据。在另一个实现中,设备可以准备完整的被签署的收据本身,在这种情况下,通信模块作为中继向预期接收人传输被签署的收据。借助于这种实施例,确保后台部门(或者其它网络节点)和最终端点设备之间的安全端到端传输。因此,可以阻挠通过从该设备发送欺诈信息来欺骗系统的尝试。
返回图2A,后台部门包括检查响应的代理122,该检查响应的代理122分析收据以及来自设备的其它通信。在接收来自设备的通信(诸如签署的收据)之后,设备管理应用22将其转发到检查响应的代理122。检查响应的代理还具有操作逻辑124和一个或多个商业逻辑模块126,该检查响应的代理利用商业逻辑模块126分析从设备接收的通信。在图6的流程图中示出了在接收到来自设备的通信之后,通过检查响应的代理实现的过程。
参考图6,在步骤130接收到来自设备的消息之后,操作逻辑124首先在步骤131评估该通信是否可信,例如,其是否被认可的设备签署。如果是,在步骤132,确定该通信是否包括签署的收据。如果是,因为收据是对许可所附带的被命令的操作的应答,所以操作逻辑在步骤134确定该收据是否对应于由发布许可的代理24产生的许可。出于这个目的,检查响应的代理的操作逻辑124和发布许可的代理的操作逻辑24彼此通信。当发布许可的代理22产生许可时,它可以向检查响应的代理提供该许可的拷贝,检查响应的代理保持所有未完成的许可的列表。在步骤134,检查响应的代理确定该收据是否对应于列表上的未完成的许可。如果是,在步骤136,操作逻辑124访问与在该许可中被标识的操作相关联的适当的商业逻辑,以便确定收据中的信息是否满足某些条件。例如,如果被命令的操作是改变变压器的输出电压,那么商业逻辑可以确定收据中所反映的改变的量是否在定义的范围内。如果在步骤137满足了所有适当的条件,那么操作逻辑可以在步骤138从未完成的许可的列表中去除对应的许可。
如果该消息未在步骤131被验证,或者如果在步骤134收据不对应于未完成的许可,或者如果在步骤137收据中的值不满足商业逻辑中提出的所有需要的条件,那么在步骤140发布警告。根据商业逻辑,该警告可被提供给设备管理应用22或另一个应用。
除了响应于许可或其它被命令的操作而返回的收据之外,设备还可以传输关于其自己的消息。例如,特定类型的设备可以配置为检测异常状态,并且在发生这种情况时产生警告消息。作为一个例子,当发生停电时,计量表或它的相关联的通信模块可以广播“最后的喘息(last gasp)”消息,以便将其区域中的断电通知后台部门。同样,如果变压器的温度上升到特定阈值之上,变压器可以产生警告。当接收到这些类型的消息时,它们还被转发到检查响应的代理122以便评估它们的有效性。如果接收到的消息在步骤132被确定为不是签署的收据,那么操作逻辑124在步骤142访问与从设备发起的消息相关联的一个或多个商业逻辑模块。如果如在步骤144确定的那样,该消息的内容符合在商业逻辑中编码的策略,那么该消息可在步骤146被转发到对该消息采取行动的适当应用,例如,断电管理系统。
如果该消息不符合所述商业逻辑策略,那么策略实施模块可以在步骤148阻断该警告消息,而不是将它们转发到通常处理它们的应用。另外,在步骤150,其可以向后台部门中的不同应用(例如,异常检测单元)发送警告消息。例如,与设备发起的消息相关联的一个模块可以是比率检查模块。如果在特定时间段内给定的设备或区域发起太多的警告消息,则这可能是篡改的征兆。在该情况下,在步骤148阻断所述消息,并且在步骤150发送警告。
从上述可以看出,公开的许可系统提供了对被发布至系统中的设备的命令的安全端到端授权和验证。因为后台部门的发布许可的代理相对于任何被命令的操作的授权和对命令发布者的验证两者,确认符合所有适用的商业逻辑策略,所以端点设备免于实现各个策略的需要。它们只需要知道特定的操作是否需要许可,并且如果是,该许可是否可信并且有效。
另外,通过实现与操作逻辑接口的相应商业逻辑模块中的不同策略集合,增强了许可系统的灵活性和可伸缩性。各个策略可被升级,而不需要修改整个策略集合。另外,可以毫不费力地增加新策略并且去除过时的策略。该操作逻辑向可能需要请求许可的所有应用提供了统一的接口,从而使得各个应用不需要熟悉适用于它们的策略。
本领域的技术人员将理解,公开的概念可被以其它特定形式表达,而不脱离其精神或者本质特性。例如,在前面的实施例中,为将由设备执行的一个操作或者一组操作发布单个许可。然而,在某些情况下,某些操作可能需要多于一个许可。例如,设备的内部策略可能要求在敏感操作可被执行之前,由两个或更多实体对其授权。在这种情况下,在执行该操作之前,可能需要来自每一个这种授权实体的单独许可。
因此当前公开的实施例被认为在所有方面都是说明性而不是限制性的。以所附权利要求而不是上述描述来指示本发明的范围,并且在其等同物的含义和范围内的所有改变旨在被包含在其中。
Claims (27)
1.一种用于控制系统中的设备的方法,包括:
产生用于将被网络中的设备执行的操作的命令;
将所述命令转发到发布许可的代理,所述发布许可的代理能够访问存储在存储器中的多个商业逻辑模块,其中每个商业逻辑模块具有与其相关联的各自不同的商业规则集合;
在所述发布许可的代理内,由被编程的处理器执行以下操作:
基于所述命令的至少一个属性,标识与所述命令有关的多个商业逻辑模块中的至少一个;
对于被标识为与所述命令有关的每个商业逻辑模块,确定所述命令是否符合与该模块相关联的商业规则;
如果所述命令被确定为符合所有被标识的商业逻辑模块的商业规则,则发布针对所述命令的许可,其中所述许可是具有可验证属性的对象,并且包含对被命令的操作的描述和被指定为执行所述被命令的操作的设备的标识;并且
将针对所述命令的许可发送到所述系统中的至少一个设备,以便执行所述命令。
2.如权利要求1所述的方法,还包括以下步骤:
在将所述许可传输到所述系统中的至少一个设备之前,使用存储在与所述发布许可的代理相关联的硬件安全模块中的密钥,对所述许可执行加密操作。
3.如权利要求2所述的方法,其中所述加密操作包括签署所述许可。
4.如权利要求1所述的方法,其中所述属性包括根据所述命令将被执行的操作。
5.如权利要求1所述的方法,其中每个设备具有相关联的类型,并且所述属性包括所述命令被发往的设备的类型。
6.如权利要求1所述的方法,其中多个设备被分为组,并且所述属性包括所述设备所属的组。
7.如权利要求1所述的方法,还包括:
接收与传输的许可有关的被签署的收据;
检验所述被签署的收据是否与所述许可被传往的设备相关联;和
检验所述命令是否被正确地执行。
8.如权利要求7所述的方法,其中所述被签署的收据包括从所述许可导出的信息,并且所述信息被根据与执行所述命令的设备相关联的密钥签署。
9.如权利要求8所述的方法,其中所述被签署的收据还包括由所述设备增加的信息,所述信息与所述命令的执行有关。
10.如权利要求7所述的方法,其中所述收据被执行所述命令的设备签署。
11.如权利要求7所述的方法,其中所述收据被由与执行所述命令的设备相关联的通信模块签署。
12.一种用于授权由设备执行的操作的系统,包括:
发布许可的代理,包括:
可访问的存储器,其中存储有一个或多个商业逻辑模块,每一个商业逻辑模块具有与其相关联的各自不同的商业规则集合,
处理器,被配置为实现操作逻辑,所述操作逻辑(i)接收将发布至设备的命令,(ii)根据所述命令的属性,标识与接收的命令有关的一个或多个商业逻辑模块,(iii)确定所述命令是否符合与每个被标识的模块相关联的商业规则,和(iv)如果所述命令符合所有被标识的模块的商业规则,则发布许可,其中所述许可是具有可验证属性的对象,并且包含对被命令的操作的描述和被指定为执行所述被命令的操作的设备的标识,和
安全模块,存储凭证并且对所述许可执行加密操作和验证操作中的至少一个;和
通信接口,被配置为将所述许可传输到设备。
13.如权利要求12所述的授权系统,其中所述操作逻辑被在所述安全模块内实现。
14.如权利要求12所述的授权系统,其中所述操作逻辑被在与所述安全模块分离并与所述安全模块通信的设备中实现。
15.如权利要求12所述的授权系统,其中所述商业逻辑模块被在所述安全模块内实现。
16.如权利要求12所述的授权系统,其中所述商业逻辑模块被在与所述安全模块分离并与所述安全模块通信的至少一个设备中实现。
17.如权利要求12所述的授权系统,其中至少一些商业逻辑模块包括所述操作逻辑的插件。
18.如权利要求12所述的授权系统,其中所述操作逻辑根据配置表来标识与接收到的命令有关的多个商业逻辑模块中的一个或多个,所述配置表将每个命令与所述商业逻辑模块中的一个或多个相关联。
19.如权利要求12所述的授权系统,其中所述安全模块是硬件设备。
20.如权利要求12所述的授权系统,其中所述通信接口是网络接口。
21.一种编码有程序的计算机可读存储介质,当执行时,所述程序使计算机响应于接收到用于将由设备执行的操作的命令而执行以下操作:
基于所述命令的至少一个属性,标识与所述命令有关的多个商业逻辑模块中的至少一个,其中每个商业逻辑模块具有与其相关联的各自不同的商业规则集合;
对于被标识为与所述命令有关的每个商业逻辑模块,确定所述命令是否符合与该模块相关联的商业规则;
如果所述命令被确定为符合所有被标识的商业逻辑模块的商业规则,则发布用于所述命令的许可,其中所述许可是具有可验证属性的对象,并且包含对被命令的操作的描述和被指定为执行所述被命令的操作的设备的标识;
使用存储在安全模块中的密钥对所述许可执行加密操作;和
在执行所述加密操作之后,将用于所述命令的许可转发到至少一个设备,以便执行所述命令。
22.如权利要求21所述的计算机可读存储介质,其中所述加密操作包括签署所述许可。
23.如权利要求21所述的计算机可读存储介质,其中所述属性包括根据所述命令将被执行的操作。
24.如权利要求21所述的计算机可读的存储介质,其中所述程序使所述计算机执行其它操作:
接收与传输的许可有关的被签署的收据;
检验被签署的收据是否与所述许可被传往的设备相关联;和
检验所述命令是否被正确地执行。
25.如权利要求24所述的计算机可读存储介质,其中所述被签署的收据包括从所述许可导出的信息,所述信息被根据与执行所述命令的设备相关联的密钥签署。
26.如权利要求25所述的计算机可读存储介质,其中所述被签署的收据还包括由所述设备增加的信息,所述信息与所述命令的执行有关。
27.一种用于验证和接受从系统中的设备接收的消息的方法,包括:
确定是否从被授权的设备接收到消息;
确定所述消息是否是对发送到所述设备的命令的响应;
如果所述消息是对命令的响应,则访问与被命令的操作相关联的第一商业逻辑模块,以确定包含在所述消息中的信息是否符合第一商业逻辑模块中的策略;
如果所述命令被确定为符合第一商业逻辑模块中的策略,则发布针对所述命令的许可,其中所述许可是具有可验证属性的对象,并且包含对被命令的操作的描述和被指定为执行所述被命令的操作的设备的标识;和
如果所述消息不是对命令的响应,则访问与设备发起的消息相关联的第二商业逻辑模块,以确定所述消息是否符合第二商业逻辑模块中的策略。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/843,156 US8880883B2 (en) | 2013-03-15 | 2013-03-15 | Secure end-to-end permitting system for device operations |
| US13/843,156 | 2013-03-15 | ||
| PCT/US2014/018968 WO2014149490A1 (en) | 2013-03-15 | 2014-02-27 | Secure end-to-end permitting system for device operations |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105308608A CN105308608A (zh) | 2016-02-03 |
| CN105308608B true CN105308608B (zh) | 2018-07-20 |
Family
ID=50424700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480022857.1A Active CN105308608B (zh) | 2013-03-15 | 2014-02-27 | 用于设备操作的安全端到端许可系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (4) | US8880883B2 (zh) |
| EP (2) | EP3851986A1 (zh) |
| CN (1) | CN105308608B (zh) |
| AU (4) | AU2014238118A1 (zh) |
| WO (1) | WO2014149490A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8880883B2 (en) * | 2013-03-15 | 2014-11-04 | Silver Spring Networks, Inc. | Secure end-to-end permitting system for device operations |
| CN108667773B (zh) * | 2017-03-30 | 2021-03-12 | 阿里巴巴集团控股有限公司 | 网络防护系统、方法、装置及服务器 |
| GB2563066B (en) * | 2017-06-02 | 2019-11-06 | Avecto Ltd | Computer device and method for managing privilege delegation |
| GB2566262B (en) | 2017-09-01 | 2020-08-26 | Avecto Ltd | Managing installation of applications on a computer device |
| GB2566305B (en) | 2017-09-08 | 2020-04-15 | Avecto Ltd | Computer device and method for controlling process components |
| GB2566949B (en) | 2017-09-27 | 2020-09-09 | Avecto Ltd | Computer device and method for managing privilege delegation |
| GB2568919B (en) | 2017-11-30 | 2020-07-15 | Avecto Ltd | Managing removal and modification of installed programs on a computer device |
| GB2570655B (en) | 2018-01-31 | 2020-12-16 | Avecto Ltd | Managing privilege delegation on a server device |
| GB2573491B (en) | 2018-02-08 | 2020-07-01 | Avecto Ltd | Managing privilege delegation on a computer device |
| GB2570924B (en) | 2018-02-12 | 2021-06-16 | Avecto Ltd | Managing registry access on a computer device |
| GB2572977B (en) | 2018-04-18 | 2020-04-22 | Avecto Ltd | Protecting a computer device from escalation of privilege attacks |
| GB2575250B (en) * | 2018-06-28 | 2021-04-21 | Arm Ip Ltd | Methods for delivering an authenticatable management activity to remote devices |
| GB2577067B (en) | 2018-09-12 | 2021-01-13 | Avecto Ltd | Controlling applications by an application control system in a computer device |
| US10834197B2 (en) * | 2018-12-31 | 2020-11-10 | Itron, Inc. | Application management service |
| CN111669386B (zh) * | 2020-05-29 | 2021-06-04 | 武汉理工大学 | 一种基于令牌且支持客体属性的访问控制方法及装置 |
| CN114157674A (zh) * | 2020-08-17 | 2022-03-08 | 中移(上海)信息通信科技有限公司 | 无线通信方法、装置、系统、服务器以及介质 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU7182701A (en) * | 2000-07-06 | 2002-01-21 | David Paul Felsher | Information record infrastructure, system and method |
| US6587032B2 (en) | 2000-11-28 | 2003-07-01 | International Business Machines Corporation | System and method for controlling access to a computer resource |
| US6801865B2 (en) * | 2002-03-21 | 2004-10-05 | Engage Networks, Inc. | Meter monitoring and tamper protection system and method |
| US7711965B2 (en) | 2004-10-20 | 2010-05-04 | Intel Corporation | Data security |
| EP1674961A1 (en) * | 2004-12-21 | 2006-06-28 | International Business Machines Corporation | Method for determining an applicable policy for an incoming message |
| US20060206433A1 (en) * | 2005-03-11 | 2006-09-14 | Elster Electricity, Llc. | Secure and authenticated delivery of data from an automated meter reading system |
| US20080222714A1 (en) | 2007-03-09 | 2008-09-11 | Mark Frederick Wahl | System and method for authentication upon network attachment |
| US7770789B2 (en) | 2007-05-17 | 2010-08-10 | Shift4 Corporation | Secure payment card transactions |
| US8321915B1 (en) | 2008-02-29 | 2012-11-27 | Amazon Technologies, Inc. | Control of access to mass storage system |
| US8752770B2 (en) | 2008-08-19 | 2014-06-17 | Mastercard International Incorporated | Methods and systems to remotely issue proximity payment devices |
| EP2401835A4 (en) * | 2009-02-27 | 2014-04-23 | Certicom Corp | SYSTEM AND METHOD FOR SECURE COMMUNICATION WITH ELECTRONIC COUNTERS |
| JP4641327B1 (ja) * | 2010-03-25 | 2011-03-02 | 慧通信技術工業 株式会社 | 計測データ管理方法、計測データ管理システム、計測データ管理装置及び端末装置 |
| US8670946B2 (en) | 2010-09-28 | 2014-03-11 | Landis+Gyr Innovations, Inc. | Utility device management |
| US9961550B2 (en) * | 2010-11-04 | 2018-05-01 | Itron Networked Solutions, Inc. | Physically secured authorization for utility applications |
| US8880883B2 (en) * | 2013-03-15 | 2014-11-04 | Silver Spring Networks, Inc. | Secure end-to-end permitting system for device operations |
-
2013
- 2013-03-15 US US13/843,156 patent/US8880883B2/en active Active
-
2014
- 2014-02-27 WO PCT/US2014/018968 patent/WO2014149490A1/en active Application Filing
- 2014-02-27 EP EP21159612.7A patent/EP3851986A1/en active Pending
- 2014-02-27 CN CN201480022857.1A patent/CN105308608B/zh active Active
- 2014-02-27 EP EP14714818.3A patent/EP2973165B1/en active Active
- 2014-02-27 AU AU2014238118A patent/AU2014238118A1/en not_active Abandoned
- 2014-09-30 US US14/502,049 patent/US9548995B2/en active Active
-
2016
- 2016-12-02 US US15/367,438 patent/US9846882B2/en active Active
-
2017
- 2017-11-27 US US15/822,618 patent/US10169764B2/en active Active
-
2020
- 2020-02-12 AU AU2020201005A patent/AU2020201005B2/en active Active
-
2021
- 2021-02-15 AU AU2021200989A patent/AU2021200989B2/en active Active
-
2022
- 2022-03-18 AU AU2022201889A patent/AU2022201889B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20170083923A1 (en) | 2017-03-23 |
| EP3851986A1 (en) | 2021-07-21 |
| US10169764B2 (en) | 2019-01-01 |
| AU2021200989A1 (en) | 2021-03-11 |
| WO2014149490A4 (en) | 2015-04-30 |
| US20140281528A1 (en) | 2014-09-18 |
| US20180082309A1 (en) | 2018-03-22 |
| AU2014238118A1 (en) | 2015-10-01 |
| AU2020201005A1 (en) | 2020-02-27 |
| AU2020201005B2 (en) | 2020-12-03 |
| EP2973165A1 (en) | 2016-01-20 |
| EP2973165B1 (en) | 2021-07-07 |
| US8880883B2 (en) | 2014-11-04 |
| AU2021200989B2 (en) | 2022-01-06 |
| WO2014149490A1 (en) | 2014-09-25 |
| CN105308608A (zh) | 2016-02-03 |
| US9846882B2 (en) | 2017-12-19 |
| US20150058918A1 (en) | 2015-02-26 |
| AU2022201889B2 (en) | 2023-02-02 |
| AU2022201889A1 (en) | 2022-04-07 |
| US9548995B2 (en) | 2017-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105308608B (zh) | 用于设备操作的安全端到端许可系统 | |
| CN108880863B (zh) | 一种基于区块链技术的智能电网设备安全诊断服务系统 | |
| CN111464518B (zh) | 一种跨链通信数据的发送、验证方法及装置 | |
| Wang et al. | Secure data sharing and customized services for intelligent transportation based on a consortium blockchain | |
| CN101965573B (zh) | 用于检测对计算装置的未授权接入和安全传送关于所述未授权接入的信息的方法和设备 | |
| CN102355461B (zh) | 一种xbrl可信数据存储方法和可信数据存储系统 | |
| US20050144437A1 (en) | System and method for assigning an identity to an intelligent electronic device | |
| CN105610871B (zh) | 一种基于半在线密钥的车辆出入控制系统和控制方法 | |
| CN109951490A (zh) | 基于区块链的网页防篡改方法、系统及电子设备 | |
| CN105590215A (zh) | 联机处理各机构间数据差错的数据处理装置及其方法 | |
| Kiruthika et al. | Fusion of IoT, blockchain and artificial intelligence for developing smart cities | |
| Javed et al. | Secure message handling in vehicular energy networks using blockchain and artificially intelligent IPFS | |
| Powell et al. | Guide to the distributed energy resources cybersecurity framework | |
| US20220368541A1 (en) | Apparatus and methods for management of controlled objects | |
| US11477027B1 (en) | Apparatus and methods for management of controlled objects | |
| CN113256448A (zh) | 一种基于区块链的电力数据处理方法及系统 | |
| McCarthy et al. | Cybersecurity Framework Profile for Electric Vehicle Extreme Fast Charging Infrastructure | |
| CN206195835U (zh) | 物联网智能无线远传水表 | |
| RU2775442C1 (ru) | Способ и система для проведения торговых операций с использованием электронных средств обработки информации | |
| CN110445255B (zh) | 一种基于批签密的智能电网系统及其构建方法 | |
| Luo et al. | A blockchain-based security framework for secure and resilient smart grid | |
| KR20240079072A (ko) | 전력량계 모니터링 시스템 및 이를 이용한 전력량계 모니터링 방법 | |
| CN118264427A (zh) | 数据处理方法和系统、车辆、云计算平台、联盟链平台 | |
| CN118074991A (zh) | 一种基于区块链的电力计量数据验证系统及方法 | |
| Asavachivanthornkul | Best practices and research for handling demand response security issues in the smart grid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: Aitong Network Solutions Company Address before: American California Patentee before: Silver Spring Networks Inc |