JP2014501955A - 公益事業用途向けの物理的にセキュリティ保護された認可 - Google Patents

公益事業用途向けの物理的にセキュリティ保護された認可 Download PDF

Info

Publication number
JP2014501955A
JP2014501955A JP2013537679A JP2013537679A JP2014501955A JP 2014501955 A JP2014501955 A JP 2014501955A JP 2013537679 A JP2013537679 A JP 2013537679A JP 2013537679 A JP2013537679 A JP 2013537679A JP 2014501955 A JP2014501955 A JP 2014501955A
Authority
JP
Japan
Prior art keywords
command
permission
data center
authorization
hardware security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013537679A
Other languages
English (en)
Other versions
JP2014501955A5 (ja
Inventor
ラジ ヴァスワニ,
ウィルソン チェン ユー ヤン,
クリスティーナ サイバート,
ネルソン ブルース ボルヤード,
ベンジャミン エヌ. ダム,
マイケル シー. セントジョーンズ,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Itron Networked Solutions Inc
Original Assignee
Silver Spring Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Silver Spring Networks Inc filed Critical Silver Spring Networks Inc
Publication of JP2014501955A publication Critical patent/JP2014501955A/ja
Publication of JP2014501955A5 publication Critical patent/JP2014501955A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/06Electricity, gas or water supply
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

全体的なセキュリティを公益事業管理システムに提供するために、システムの構成要素に対して発行される重要なコマンド・制御メッセージは、セキュリティ保護された権限により明示的に承認される。明示的な承認により、要求された動作を認証し、メッセージにおいて示された特定の動作の実行を認可する。アクセス制御と関連付けられる公益事業管理及び制御システムの重要な構成要素は、物理的にセキュリティ保護された環境に配置される。この手法を用いる場合、ネットワーク動作を承認する役割を担うこれらのサブシステムをバンカすることのみが必要となる。他の管理モジュールは、バンカの外側に配置されてもよく、それにより、これらのサブシステムをバンカ及び非バンカされた構成要素に区分する必要性を回避する。非バンカされたサブシステムの各々の重要な構成要素へのアクセスは、バンカされた承認システムを介して制御される。

Description

本発明は、公益事業会社と関連付けられた動作の管理及び制御に関し、特にそのような動作を管理及び制御するシステムのセキュリティに関する。
公益事業会社は、その動作を管理及び制御する多数の関連ソフトウェアモジュールを起動する物理サーバ上で実行する複雑で高度に相互接続されたシステムを有する。図1は、電力及び場合によっては例えばガス、水等の他の製品を顧客に供給する公益事業会社に対する一般的な管理及び制御システムにおいて見られる可能性のある構成要素のうちのいくつかを示す概略ブロック図である。システムのバックオフィス10は、公益事業の種々の動作と関連付けられた多くの個々のサブシステム、例えば顧客情報システム(CIS)12と、顧客関連モジュール(CRM)14と、停止管理システム(OMS)16と、GPS情報システム18と、請求書作成システム20と、グリッド安定モジュール22と、ユーザインタフェース24とを含む。図1には示されないが、更なる機能モジュールがバックオフィス10に存在してよい。これらのサブシステムのうちのいくつかは、供給されている製品に対して配電網の装置と通信し、且つこれらの装置と関連付けられた動作をリモート制御する機能を有してもよい。例えばバックオフィスサーバは、顧客の建物に配置された個々のメータ26と通信して請求書作成のための消費データを取得し、且つ公益事業会社により提供される1つ以上の製品の供給元に対して顧客を選択的に切断又は再接続するようにメータに指令してもよい。バックオフィスサーバから個々のメータへの他のコマンドは、顧客からのエネルギーの流出を受け入れるコマンドを含んでもよい。
図1の例において、メータは、ネットワークへの及びネットワークからの出口を提供するアクセスポイント32を有するローカルエリアネットワーク30によりバックオフィスと通信するエンドポイントノードを構成する。一実施形態において、ローカルエリアネットワークは無線メッシュネットワークであってよい。アクセスポイント32は、ワイドエリアネットワーク34又は専用の通信リンクにより、バックオフィス10においてサーバと通信する。
この種のシステムにおいて、考慮すべき1つの問題は、それぞれ、顧客が建物を引き払うか又は支払いを滞納する場合、あるいは新しい顧客が建物を手に入れる場合に発生する可能性のあるリモート切断及び再接続をセキュリティ保護して管理することである。リモートで切断及び/又は再接続するように故意に且つ/あるいは誤って発行されたコマンドは、配電グリッドを不安定にする潜在性を有するだろう。無認可の再接続は、結果として配電された電力の盗難ともなりうる。そのような可能性を制限するために、コマンド・制御動作がそのような動作を実行する認可を受けているエンティティによってのみセキュリティ保護されて行われることを保証する努力がなされなければならない。しかし、一般的な公益事業のバックオフィスが種々の相互接続されたシステムから構成されるため、セキュリティ保護されたアクセスの実行は困難になる。公益事業内の多くの異なるグループは、全て又は一部のソフトウェアシステムへのアクセスが必要であり、これにより個々のサブシステムへの論理的及び/又は物理的なアクセスを制限する機能は複雑になる。
この問題に対する1つの可能な解決策は、以下においてバンカ(bunker)と呼ばれる物理的にセキュリティ保護された環境内にある特定のシステム又はそのようなシステムの一部を配置することである。バンカの例には、密室等のアクセスが制限された部屋又はコンテナ及び保護されたシステムの周囲のタンパ防止シェル又はエンクロージャが含まれる。バンカは、システム又はシステムの保護された部分が実行しているハードウェア装置への物理的アクセスを厳しく制限する。また、バンカ内のシステムは、非常に限定された論理的なアクセスをエクスポートする。しかし、この解決策は、より融通性のあるアクセスをそれを必要とするユーザに提供するためにバンカ内に配置されるべき部分及びバンカの外側に配置してもよい部分を判定するように公益事業ソフトウェアシステムをリファクタリングするのは困難であるという困難な問題を依然として提示する。
全体的なセキュリティを公益事業管理システムに提供するために、システムの構成要素に対して発行される重要なコマンド・制御メッセージは、セキュリティ保護された権限により明示的に承認される必要がある。明示的な承認により、要求された動作を認証し、メッセージにおいて示された特定の動作の実行を認可する。アクセス制御と関連付けられる公益事業管理及び制御システムの重要な構成要素は、物理的にセキュリティ保護された環境に配置される。この手法を用いる場合、例えばバンカによりネットワーク動作を承認する役割を担うこれらのサブシステムを物理的にセキュリティ保護することのみが必要となる。換言すると、例えばCIS、CRM、OMS、請求書作成等の殆どの管理モジュールは、バンカの外側に配置されてもよく、それにより、これらのサブシステムをバンカ及び非バンカされた構成要素に区分する必要性を回避する。非バンカされたサブシステムの各々の重要な構成要素へのアクセスは、バンカされた承認システムを介して制御される。
図1は、公益事業管理及び制御システムを示す概略ブロック図である。 図2は、バンカされた構成要素を有する公益事業バックオフィスシステムを示すブロック図である。 図3は、メッセージがメータに送出される際のデータの流れを概略的に示すブロック図である。 図4は、ハードウェアセキュリティモジュールの構成を示すブロック図である。 図5は、スライディングウィンドウ上で暗号動作をカウントする多段バッファを示すブロック図である。 図6は、コマンドに対する許可を発行するシステム及び手順の一例を示す図である。 図7は、許可ペイロードの例示的な形式を示すブロック図である。 図8は、多数のデータセンタにおいて実現された公益事業制御及び管理システムを示すブロック図である。
本発明が基づいている原理を理解しやすくするために、以下において、配電システムにおけるリモート接続及び切断コマンドのセキュリティ保護された制御を参照して本発明を説明する。しかし、そのような例がこれらの原理の唯一の実際的な応用例ではないことが理解されるだろう。これらの原理は、不適当に又は誤って発行された場合にはシステムを大きく混乱又は損傷させる潜在性を有する可能性のあるあらゆる種類の重要なコマンドと併せて採用される。同様に、これらの原理は、適切な動作が常に必須であるシステムの重要な構成要素に送出された全てのコマンド・制御メッセージと組み合わせて使用可能である。
図2は、本発明の概念が実現されるデータセンタ40の一例を示す。従来のように、データセンタは、種々のアプリケーション12、14、16が実行される多くの物理サーバを含む。いくつかの代表的なアプリケーションのみを図示するが、より多くのそのようなアプリケーションがデータセンタ内で実現可能であることが理解されるだろう。逆に、アプリケーションのうちのいずれか2つ以上により実行された機能は、単一の包括的なプログラムに組み込まれてもよい。
補強壁を有する密室等の制限された物理的アクセスを有する物理バンカ42もデータセンタ内に配置される。別の例として、バンカは、ロックされることに加えあるいはその代わりに、セキュリティカメラ、動作検出器等を使用して厳密に観察又は保護される領域であってもよい。更に別の例として、バンカは物理的に配電されてもよく、セキュリティ関係は配電された部分の間で確立されている。更に別の例として、バンカは、例えばセキュリティ保護して実行しているソフトウェア及び/又はファームウェアを使用して論理的にセキュリティ保護されてもよく、その機能性は、自己破壊的な包装等の物理的タンパリングからセキュリティ保護される。バンカは、部屋である必要はないが、例えば物理的にセキュリティ保護されたボックスであってもよい。
関連ハードウェアセキュリティモジュール44を有する1つ以上の更なるサーバ装置は、認可、認証及び課金等のセキュリティ関連動作を実行するソフトウェアモジュールを有する認可エンジン46を実現するためにバンカ内に配置される。ハードウェアセキュリティモジュールは、秘密鍵又は他の共通鍵をセキュリティ保護して含む。ハードウェアセキュリティモジュールは、秘密鍵にリンクされる公開証明書を更に含んでもよい。ハードウェアセキュリティモジュールは、暗号動作を実行するために、楕円曲線暗号法等の強固なあるセキュリティアルゴリズム又は別の高度にセキュリティ保護された暗号方式を使用することが好ましい。本明細書において説明するアプリケーションに対して適切なハードウェアセキュリティモジュールの一例は、Utimaco Safeware AGからのハードウェアセキュリティモジュールのSafeGuard CryptoServerラインである。
バンカへのセキュリティ保護されたアクセス及びバンカ内に配置されたサーバ装置は、指紋検出、物理的な鍵又はトークン及び/あるいはパスワード保護等のバイオセンサ技術を用いて実行可能である。一実現例において、階層的な階層セキュリティシステムは、保護を最大限にするように採用される。セキュリティの1つの層が障害を起こす場合、例えばパスワードが偶発的に暴露又は盗難される場合、システム全体の物理的なセキュリティを維持するために、鍵又はトークンが作動させたデッドボルトロック等の高水準のセキュリティ機構が起動される。
非バンカされたバックオフィスアプリケーション12〜16からのある特定の種類のコマンドは、個別に認証されない限り実行されないように制限される。例えば、リモート切断及び再接続のコマンドは、配電グリッドの安定の深刻な中断を引き起こすという潜在性のために、これらの制限されたコマンドのうちの1つの分類である。これらの種類の動作に関係するセキュリティを強化するために、それらを実行するアプリケーションは、バンカ42内のコンソールから発生するか、あるいはバンカ42内から発行された許可により認証される場合にのみのそのように実行するコマンドを受け入れてもよい。従って、これらのコマンドを発行する権限を有し且つバンカにアクセスするために必要な手段、例えばパスワード、鍵、指紋等を処理する人員だけがアプリケーションに対して制限されたコマンドを発行できる。
コマンドを生成させる動作が開始されると、その動作は、認可エンジン46により署名又は認証されて、バンカ42の外部の適切なアプリケーションと関連付けられたアプリケーションプログラミングインタフェース(API)に転送されてもよい。例えばコマンドは、ハードウェアセキュリティモジュール44内に格納された秘密鍵により署名されてもよい。署名されたコマンドは、外部のアプリケーション、例えばアプリケーション12〜16のうちの1つ又はメータ26のうちの1つにおいて実行するアプリケーションにおいて受信されると、アプリケーションがアクセスした公開鍵により検証される。コマンドは、バンカ内から発生したものとして検証されると、外部のアプリケーションにより実行される。
状況によっては、リモート切断コマンドを発行するエンティティがバンカ内に物理的に存在しているのは実際的ではないだろう。しかし、そのようなコマンドのリモート生成が支持される場合、そのようなコマンドは、認可されたエンティティになりすましているユーザにより故意に発行される可能性がある。そのようなことが発生する可能性を制限するために、本発明に従って、ポリシーモジュール48はバンカ内で実現される。ポリシーモジュールは、図2に示されるように、別個のソフトウェアコンポーネント又はファームウェアコンポーネントであってもよく、あるいは以下において説明されるように、ハードウェアセキュリティモジュールに論理的に組み込まれてもよい。ポリシーモジュール48は、例えばバンカ内部から入力されたコマンドにより、セキュリティ保護して再設定又は再プログラムされてもよい。このモジュールは、要求された動作を検査するビジネス論理を含み、その実行が許可されるかを判定する。例えば、配電グリッドの安定を中断しうる再接続コマンドは、順番に又は相対的なタイミングで発行される場合、ポリシーにより阻止されて署名のために認可エンジンに渡されない。また、ある特定の条件が検出される場合、ポリシーフラグがオンにされ、コマンドを発行するエンティティの切断等の適切な措置がとられる。これらの条件は、例えば以下のものを含みうる。
1.配電グリッドからユーザを故意に切断することを意図する多くのリモート切断コマンドは、一度に、例えば所定の時間間隔内に発行される。
2.同一の顧客と関連付けられる一連の繰返しの接続及び切断のコマンド又は例えばまだ電力グリッドに接続していないユーザに対して切断コマンドを発行する顧客の現在の状況に一致しないコマンド等のコマンドは、疑わしい順序で発行される。
3.要求側のアプリケーションは、必要な信用証明書を提供できないか、あるいは認証されない。
4.要求側のアプリケーションは、ある特定の動作を発行する許可を有する承認されたアプリケーションの集合の間にはない。
5.実際の電力負荷及び予想された電力要求に基づいている配電網の状態。
この機能性を実現するために、バンカは、バンカの外部にあるアプリケーションのアプリケーションプログラミングインタフェース(API)に対するプロキシ50を含んでもよい。動作中、これらの「外部の」アプリケーションのうちの1つに対するAPIへの呼び出しが行われる場合、その呼び出しはバンカ内のプロキシ50に向けられる。プロキシは、要求を認可することが必要とされてもよいポリシーモジュール48において公益事業ビジネス論理を調査し、適切なビジネス論理により署名された要求を有する。その後要求は、署名のために認可エンジン46に渡される。認可されると、プロキシは、バンカの外部にある呼び出されたアプリケーションに対して正常なAPIを呼び出し、認可された呼び出しに沿って通過する。
別の一実現例において、バンカ42はプロキシを含まなくてもよい。この場合、要求は、外部のアプリケーションのAPIに対して直接行われてもよい。その結果、外部のアプリケーションは、要求された動作が署名を必要とすると判定する場合にバンカ内で認可エンジンを呼び出す。デフォルトとして、全ての要求は、認可のためにバンカに渡され、外部のアプリケーションによるあらゆる判定の必要性を回避してもよい。バンカに提供された要求は、最初にポリシーモジュールによりチェック及び署名され、次に認可エンジン46に渡される。要求が認可されると、呼び出されたアプリケーションは要求に基づいて動作する。
バンカ42に含まれたハードウェアセキュリティモジュール44は、2つのレベルで動作可能である。メータ26において実行される動作と併せて、以下において例を説明する。動作の第1のレベルにおいて、公益事業会社は、バックオフィス10におけるアプリケーションとメータ26との間の全ての通信又はネットワーク30の他のあらゆる構成要素が暗号化及び署名されなければならないというポリシーを設けてもよい。このポリシーの実現例を図3の例に示す。この例において、メータ管理アプリケーション52は、メータ26のうちの1つ以上に送出するコマンド等のメッセージを有する。メッセージの適切な暗号化及び署名を実行する要求と共に、このメッセージは、アプリケーションのメータコマンド及びインタフェースモジュール54において構成され、バンカ42のハードウェアセキュリティモジュール44に転送される。ポリシーモジュール48は、要求が認可されたソースから発生したことを確認するように最初にチェックしてもよい。そのような場合、ポリシーモジュール48は、ハードウェアセキュリティモジュールに沿って渡される。ハードウェアセキュリティモジュール44は、アプリケーションと関連付けられた適切なキーを使用して、メッセージに対して要求された動作を実行し、暗号化及び署名されたデータを返送する。その後、メータ管理アプリケーションのコマンド及びインタフェースモジュール54は、暗号化及び署名されたメッセージを組み込むデータパケットを作成し、ネットワーク30を介してそれをメータに送信する。
アプリケーション52によりネットワーク30においてノードから受信したメッセージについては、それらは、復号化されるために最初にハードウェアセキュリティモジュールに転送される。更にモジュール48は、受信したメッセージの送出者の信憑性及びデータの整合性のあらゆる適切な検証を実行できる。その後、検証及び復号化されたメッセージはアプリケーション52に返送される。
リモート接続及び切断等の重要な動作については、ハードウェアセキュリティモジュールは、そのような動作に対する速度を制限するように第2のレベルで動作可能である。図4は、ハードウェアセキュリティモジュールの内部構成の一例を示す。モジュールは多くのスロットで構成される。各スロットは、例えば署名、暗号化、復号化等の暗号サービスを実行するために、秘密鍵、証明書、共有鍵及びアクセス特権の集合を含む。種々のスロットは、種々のセキュリティコンテキストと関連付けられ、それぞれのコンテキストに関係する鍵、証明書及び他の情報を含む。秘密鍵を用いてそれに署名する等のハードウェアセキュリティモジュールを用いてコマンドに対して暗号サービスを実行することにより、関連公開鍵を使用してコマンドのソースを認証するノード26等のコマンドを受信できる。ポリシーモジュール48は、要求されたコマンドを1つ以上の暗号サービスのためにハードウェアセキュリティモジュールに対して提示できるかを最初に判定する。
各スロットは、例えばコマンドライン管理ツールにより1つ以上の速度制限で所望のビジネス論理を実行するように選択的に構成可能である。スロットを構成するコマンドの一例は以下の通りである。
HSM_configure slot=2=rate−name=”rate1” window=24h count=10000
そのようなコマンドは、24時間のスライディングウィンドウ毎に10,000個の暗号動作の最大速度制限でスロット2を構成する。この割り当てられた数を上回る暗号動作が先行する24時間内に発生する場合、スロットは、全ての更なる暗号動作を停止する。その後、管理者は、リセットコマンドを送出することでスロットをリセットすることが必要となる。
スロットは、以下の通り2つ以上の速度で構成可能である。
HSM_configure slot=2=rate−name=”rate1” window=24h count=40000
HSM_configure slot=2=rate−name=”rate2” window=60m count=2000
これらの2つのコマンドは、1つが24時間のスライディングウィンドウ上の40,000個の暗号動作に対するもので、別が60分間のスライディングウィンドウ上の2000個の暗号動作に対するものである2つの速度制限ウィンドウを用いてスロット2を構成する。
スロットが速度制限で構成される場合、スロットにおいて実行された全ての暗号動作は、スライディングウィンドウ上で割り当てられた制限に対してカウントされる。先に挙げられた例において、過去24時間に40,000個を上回る暗号動作又は最後の60分に2000個を上回る暗号動作がある場合、スロットは、更なる暗号動作のいずれも停止する。
一実施形態において、閾値の侵害に対する課金は5分刻みで実行可能である。図5は、スロットが25分間のスライディングウィンドウにおいて800個の暗号動作の制限で構成されている一例を示す。スライディングウィンドウは、多段バッファ56として実現可能である。示されたバッファは、各々が5分間の時間間隔を表す5つの段階58を含む。各段階は、対応する時間間隔の間にスロットにより実行された暗号動作のカウント数を含む。以下の表は、所定の時点でバッファに含まれたデータのスナップショットを提供する。
Figure 2014501955
この場合は15+0+7+1+6=29である全てのカウントの合計が閾値を超える場合、スロットは、管理上リセットされるまで全ての更なる暗号動作を停止する。警告機構は、動作が停止される時間の前に管理人に通知するように実現可能である。例えば、カウントの合計が速度制限の80%を超える時に第1の警告が生成されてもよく、カウントの合計が制限の90%に到達する場合に第2の警告が生成されてもよい。
この場合は段階5である最後の間隔と関連付けられた段階は、新しい暗号動作の各々の実行カウントを維持する。5分間の間隔の各々の最後に、格納されたカウントは次に以前の段階にシフトされる。最新の段階は、ゼロにリセットされ、次の5分間の間隔の間にもう一度新しく暗号動作をカウントし始める。
各スロットが自身の速度制限で選択的に構成可能であるため、ビジネス論理の実現例において柔軟性が与えられる。例えば以下において説明するように、ある特定の重要なコマンドは、実行可能になる前に、以下において「許可」と呼ばれる明示的な種類の認証を要求してもよい。これらのコマンドは、許可手順を実行するスロットと関連付けられるセキュリティコンテキストにマッピングされ、且つ特に厳しい速度制限を有してもよい。他の種類のコマンドは、異なるセキュリティコンテキストにマッピングされ、且つより厳しくない速度制限を有する異なるスロットを介して暗号化及び/又は署名されてもよい。
リモート切断及び再接続のコマンド等の重要なコマンドについては、各々が受信側のノードにおいて認証されなければならない多数の関係者による承認等のより高いレベルのセキュリティが適切だろう。しかし、ネットワーク効率の観点から、より高いレベルのセキュリティは、コマンドが向けられるノードがコマンドを実行するために1度接続されるだけでよい場合に望ましい。本発明の一態様において、これらの目的は、ノードがコマンドを認証できるように要求された全ての情報を提供する許可システムにより実現可能である。本質的に、メータに対する切断コマンド等のアプリケーションに送出される全ての重要なコマンドは、許可を伴うことを要求されてもよい。上述したように、種々のコマンドは種々のセキュリティコンテキストにマッピング可能である。コマンドがアプリケーションにより自動的に又はユーザインタフェースを介して発行される場合、発行側のアプリケーションはコマンドのセキュリティコンテキストをチェックする。暗号化が要求される場合、コマンドは、そのような動作のためにハードウェアセキュリティモジュールの適切なスロットに転送される。セキュリティコンテキストが許可を必要とすると判定される場合、コマンドは、許可を発行するバンカの許可サーバに転送される。一実施形態において、許可サーバの機能は、ハードウェアセキュリティモジュールにおいてスロットにより実現可能である。
配電グリッドから建物を切断するコマンドを参照して、許可を発行する構成及び手順の一例を図6に示す。この例において、課金システム等のバックオフィス10におけるビジネスモジュールのうちの1つは、口座と関連付けられた建物への切断コマンドをメータ管理アプリケーション52に対して発行する。このコマンドを受信すると、メータ管理アプリケーションは、特定の時間に切断動作をスケジュールしてもよく、次に、メッセージをセキュリティ保護されたリンクを介して負荷マネージャモジュール59に送出し、コマンドを発行する許可を要求する。負荷マネージャは、バンカ42内に配置されるビジネス論理の構成要素であり、配電グリッドへの負荷変動が有害となる可能性があるかを判定する。この例において、負荷マネージャは許可サーバの一実現例として機能する。負荷マネージャは、要求された変動が有害となる可能性があると判定される場合に要求を拒否するか、例えば非常に多くの要求が現在未処理である場合にある期間の間要求を延期するか、あるいは要求を承認できる。負荷マネージャに対する要求は、コマンドの実行を完了するために必要なターゲットノード、スケジュールされた動作時間及び時間ウィンドウのサイズ等の情報を含んでもよい。
要求が承認される場合、負荷マネージャは、コマンドが向けられるノードにより認識可能な許可を作成する。許可は、メータ管理アプリケーション52に返送される前に、負荷マネージャと関連付けられた鍵を用いて署名される。示された例において、許可サーバ、すなわち負荷マネージャ59は、ハードウェアセキュリティモジュール44から離間される。従って、この場合、許可は、負荷マネージャの秘密鍵を用いて署名されるハードウェアセキュリティモジュールに送出される。その後、署名された許可は、メータ管理アプリケーション52に転送される負荷マネージャに返送される。
署名された許可を受信すると、メータ管理アプリケーションは、署名された許可と共に、切断される建物と関連付けられるノード26に認可されたコマンドを送出する。次にノードは、負荷マネージャの信用証明書を介して、例えば許可からの証明書のチェーンに後続することにより、配電グリッドに対するシステムオペレータと関連付けられたルート権限に対する許可を検証する。ノードは、許可内の時間値が現在時刻に一致することを更に検証する。全ての情報が正確であり且つ検証される場合、ノードは、コマンドを実行し、コマンドの完了を示す署名されたレシートをメータ管理アプリケーション52に送出する。レシートのコピーは、未処理の要求を追跡し続けられるように負荷マネージャ59に送出されてもよい。
メータ管理アプリケーション52は、異なる制御エンティティ、すなわちメータ管理アプリケーション及び負荷マネージャにより発行されるコマンドに対する2つの独立した認可を提供するために、ノードに送出されるパケットのペイロードに更に署名できる。双方の形式の認可は、ノードがコマンドを実行する前にノードにより検証される必要がある。この例において、負荷マネージャ等の許可サーバは、ノード26と直接通信するために必要とされる信用証明書を処理しない。許可サーバは、認可されたコマンドを実行するために、この場合はメータ管理アプリケーション52である別の制御エンティティに信用証明書を提供する。
コマンドを承認するかを判定するビジネス論理は、相対的に単純であってよく、例えば、所定の数の切断動作の最初のバーストが許可されるリーキーバケットアルゴリズムであってよく、単位時間当たりより少ない数の動作が後続する。この場合、負荷マネージャの機能は、上述した速度制御を使用してハードウェアセキュリティモジュールのスロット内で実現されてもよい。別のより複雑なアルゴリズムは、配電網の状態に基づいていてよく、例えば電力要求の予想に基づいて実際の電力負荷を追跡し且つ判定を行う。この後者の実施形態は、ハードウェアセキュリティモジュールの外側で、図6に示されたように、例えば専用の物理システム、仮想化されたサーバ又は共有システム上のアプリケーション内で実行されてもよい。
リモート切断及び再接続に加え、他の種類のコマンドは、規定された期間にわたり消費量を減少する顧客の建物に向けられる負荷制限コマンド等の許可を有するように要求される。また、システムにおける特定の種類の装置のセキュリティ保護された動作が配電自動化構成要素等のシステムの安定に対して重要である場合、その装置に対して発行された全てのコマンドは、許可を有するように要求されてもよい。バックオフィスモジュールは、そのような装置に対してコマンドを発行する場合は常に、必要な許可を得るために許可サーバにコマンドを転送する。
メッセージのペイロード内に含まれる許可に対する例示的な形式を図7に示す。許可ペイロードの第1のフィールド60は、開始時間、すなわち許可が有効になる時間を示す。許可ペイロードを含むメッセージがノードにおいて受信される場合、ノードは開始時間を現在時刻と比較する。開始時間が現在時刻+5分等の所定の増分より遅い場合、ノードは、無効なものとして許可を拒否する。
許可ペイロードの第2のフィールド62は、許可が有効なままである間の継続時間ウィンドウを示す。このフィールドは、開始時間を超えると許可が有効である5分間のブロック等の所定の時間間隔の数を示す値である。ノードの現在時刻が許可開始時間+所定の間隔とウィンドウ値との積より大きい場合、許可は無効なものとして拒否される。例えば、開始時間が1:00:00であり、ウィンドウ値が2であり且つ現在時刻が1:12:38である場合、許可は期限が切れているものとして拒否される。
許可ペイロードの次のフィールド64は、実行が許可される動作を示す。例えばこのフィールドは、電力切断動作又は電力再接続動作を示す値を含んでもよい。多数の動作は単一の許可と関連付けられる。ターゲットの種類のフィールド66は、後続するターゲットフィールド68に対する形式を示す。ターゲットフィールド68は、すなわち許可された動作を実行するノード又は装置を指定する。例えばターゲットは、ノードのMACアドレスであってよい。ターゲットの種類のフィールド66は、DERオクテット列型等のこのアドレスが表現される形式を示す。
セキュリティを更に向上するために、切断又は再接続のコマンドが一度に1つのメータに対してのみ発行可能であるという制約が課されてもよい。許可を発行する前に、負荷マネージャは、装置に対するターゲットアドレスが単一の装置と関連付けられ、且つグループ又はブロードキャストのアドレスではないことを保証するようにチェックしてもよい。
許可ペイロードは、示された動作に対して特権を有する証明書と関連付けられた秘密鍵により署名される。許可ペイロードを含むデータパケットを受信すると、ノードは、示された動作が許可を必要とするかを確認するように最初にチェックする。許可が必要とされる場合、ノードは、許可に署名するために使用された証明書及び秘密鍵が要求された動作を実行するために必要な特権を有することを確認する。確認が肯定的である場合、ノードは、示された証明書の対応する秘密鍵により署名されているものとして、署名された許可の信憑性を検証する。次にノードは、ターゲット指定がノード自体を識別することを検証する。最後にノードは、現在時刻に対する開始時間及びウィンドウ値を調査し、許可の期限が切れていないことを確認する。
全ての検証チェックが成功した場合、動作が実行され、成功した実行を確認するために応答が返送される。検証ステップのうちのいずれかが失敗する場合、許可は拒絶され、エラーメッセージが返送される。データパケットにおける全ての動作が完了しているかあるいはエラーメッセージが返送されるとすぐ、許可は破棄されてそれ以上保持されない。
バンカへのアクセスが危険にさらされる場合には、適切な形式の救済措置が実現されてもよい。1つのそのような解決策は、バンカと関連付けられる論理的又は物理的な非常ボタンを提供することである。この非常ボタンは、非常ボタンと関連付けられたバンカが危険にさらされ且つもはや信用されるべきではないことを管理システムに通知するように起動可能である(例えば、物理ボタンを押下又はユーザインタフェース要素を起動するユーザ、あるいは自動的に適切な判定を行う論理により)。例えば、危険にさらされたバンカにより署名されるリモート切断サービスに対するいかなる要求も無視されるべきではない。
非常ボタンは種々の方法で実現可能である。適切な例には、無線又は有線の通信システムを介して送出される制御信号、ローカル又はワイドエリアネットワークに接続される従業員のデスク等の適切な場所における物理的なプッシュボタン、並びに/あるいはオーディオコマンド機能及び無線接続性を有するウェアラブルデバイスが含まれる。
図8は、非常ボタンの機能性が実現可能であるシステムの一例を示す。この例において、公益事業管理及び制御システムは、2つのデータセンタ70及び72内に収容される。例えば各データセンタは、冗長のために種々の管理及び制御サブシステムの完全なインスタンスを含んでもよい。各データセンタは、それぞれ「バンカ1」及び「バンカ2」とラベル付けされた関連バンカを含む。各バンカは、ルートが認識されている権限にある証明書チェーンを含む証明書を有する。2つのバンカに対する証明書は互いに異なる。
アクセスポイント32及びエンドポイントノード26等の制御ネットワークにおける各ノードは、証明書撤回リストを格納及びインストールする機能を有する。アクセスポイント32は、ソースアドレスをフィルタリングする機能を更に有する。
例示的な動作は、バンカ1へのアクセスが危険にさらされている状況を説明する。バンカ1と関連付けられた非常ボタンが起動され、その結果得られる非常信号は、非常ボタン機能を実現するバンカ2のサーバに送出される。この非常信号は、それが送出される装置の認証の適切な表示を含む。例えばこの非常信号は、装置と関連付けられた署名を含んでもよく、あるいは所定のアルゴリズムに従って生成されたハッシュ値を伴ってもよい。認証された非常信号を受信すると、バンカ2のサーバは、データセンタ70から発信されるパケットをドロップするように全てのアクセスポイント32に命令するファイアウォールルールを全てのアクセスポイント32に対して設定するコマンドを発行する。バンカ2のサーバは、バンカ1と関連付けられた証明書が有効ではないことを示す全てのアクセスポイント上の証明書撤回リストを構成するコマンドを更に発行する。バンカ2のサーバは、アクセスポイントから証明書撤回リストを再ロードするように全てのエンドポイントノードに命令するメッセージを全てのエンドポイントノードに更に送出する。
データセンタ70からパケットをドロップするようにアクセスポイント上のファイアウォールフィルタを構成することにより、潜在的な攻撃者は、証明書撤回リストを全てのエンドポイントノードに伝播できるような十分な期間、減速されてもよい。潜在的な違反が発生した後にバンカ1を回復するために、新しい証明書がインストールされなければならず、その証明書との新しい関連付けが行われて、制御ネットワークにおいて全てのノードに伝播される。
要約すると、開示された本発明は、公益事業会社により提供された製品の供給と関連付けられた故意の又は不適切な動作の危険性を低下させる種々のセキュリティ機能を提供する。公益事業配電網の安定を中断する潜在性を有する重要なコマンドは、そのようなコマンドの認証、署名及び暗号化のためにハードウェアセキュリティモジュールを使用することと組み合わせて、バックオフィス管理システムの影響されやすい構成要素へのアクセスを制限する物理バンカの機構を介してセキュリティ保護される。許可に基づく認可フレームワークは、特に重要なコマンドに対して細粒レベルのセキュリティを提供する。ハードウェアセキュリティモジュールは、コマンドが実行される速度を制限し、且つ不適当なコマンドのシーケンスを発行しようという試みを更に妨害するように更に構成される。
開示された概要はその趣旨又は必須の特徴から逸脱せずに他の特定の形式において実施可能であることは、当業者により理解されるだろう。本発明で開示された実施形態は、限定するものではなく例示するものとして全ての点において考慮される。本発明の範囲は、上述の説明ではなく添付の特許請求の範囲により示され、添付の特許請求の範囲の意味及び等価の範囲内の全ての変更は、特許請求の範囲に含まれることを意図する。

Claims (45)

  1. 公益事業用途向けのためのデータセンタであって、
    物理的にセキュリティ保護された環境と、
    少なくともいくつかが前記データセンタの外側の場所から公益事業の動作に関係する機能を実行するリモート要求を受信するインタフェースを有する前記公益事業の前記動作と関連付けられた1つ以上のアプリケーションプログラムを実行するように構成された前記物理的にセキュリティ保護された環境の外部の少なくとも1つのサーバと、
    前記物理的にセキュリティ保護された環境内に配置され且つ秘密鍵を格納するハードウェアセキュリティモジュールと、
    前記アプリケーションプログラムに向けられたリモート要求を受信し且つ前記秘密鍵に従って署名される認可された要求を提供するように構成された前記物理的にセキュリティ保護された環境内に配置された認可エンジンと、
    前記アプリケーションプログラムと関連付けられたビジネス論理に従って前記リモート要求を処理し且つ前記要求が前記認可エンジンにより認可されることを選択的に可能にするように構成された前記物理的にセキュリティ保護された環境内に配置されたポリシーモジュールと、
    を備えることを特徴とするデータセンタ。
  2. 前記データセンタにおいて受信され且つ前記アプリケーションプログラムに対して意図されるリモート要求を受信し、且つ前記受信した要求を前記ポリシーモジュールに転送するように動作する前記物理的にセキュリティ保護された環境内に配置された前記インタフェースに対するプロキシを更に備えることを特徴とする請求項1記載のデータセンタ。
  3. 前記アプリケーションプログラムは、前記アプリケーションプログラムにより受信されるリモート要求を前記ポリシーモジュールに転送するように構成されることを特徴とする請求項1記載のデータセンタ。
  4. 前記ポリシーモジュールは、所定の期間内に発行される電力を切断するコマンドを含むリモート要求の数が限界値を超えるかを判定し、且つ当該要求の数が前記限界値を超える場合に前記コマンドが実行されるのを阻止するように構成されることを特徴とする請求項1記載のデータセンタ。
  5. 前記ポリシーモジュールは、電力を切断及び再接続するコマンドを含む一連のリモート要求が同一の顧客と関連付けられるかを判定し、且つ一連のリモート要求がそのような条件を満たす場合に前記コマンドが実行されるのを阻止するように構成されることを特徴とする請求項1記載のデータセンタ。
  6. 前記ポリシーモジュールは、電力を切断及び再接続するコマンドを含むリモート要求が顧客の現在の状況に一致しないかを判定し、且つリモート要求が一致しない場合に前記コマンドが実行されるのを阻止するように構成されることを特徴とする請求項1記載のデータセンタ。
  7. 前記ポリシーモジュールは、リモート要求が認証されたソースから受信されるかを判定し、且つ前記ソースが認証されてない場合に前記要求が処理されるのを阻止するように構成されることを特徴とする請求項1記載のデータセンタ。
  8. 前記ポリシーモジュールは、動作を実行するリモート要求がそのような動作を要求する許可を有するアプリケーションから受信されるかを判定し、且つ前記要求側のアプリケーションがそのような許可を有さない場合に前記要求が処理されるのを阻止するように構成されることを特徴とする請求項1記載のデータセンタ。
  9. 前記ポリシーモジュールは、前記物理的にセキュリティ保護された環境内から入力されたコマンドにより再設定可能であることを特徴とする請求項1記載のデータセンタ。
  10. 公益事業制御及び通信ネットワークであって、
    複数のエンドポイントノードと、
    認証の関連証明書を有する物理的にセキュリティ保護された環境、
    少なくともいくつかが前記データセンタの外側の場所から公益事業の動作に関係する機能を実行するリモート要求を受信するインタフェースを有する前記公益事業の前記動作と関連付けられた1つ以上のアプリケーションプログラムを実行するように構成された少なくとも1つのサーバ、
    前記物理的にセキュリティ保護された環境内に配置され且つ暗号鍵を格納するハードウェアセキュリティモジュール、及び
    前記アプリケーションプログラムに向けられたリモート要求を受信し且つ前記暗号鍵に従って署名される認可された要求を提供するように構成された前記物理的にセキュリティ保護された環境内に配置された認可エンジンを含むデータセンタと、
    前記エンドポイントノードが前記データセンタに配置された前記アプリケーションプログラムと通信する少なくとも1つのアクセスポイントと、
    前記データセンタにおいて前記物理的にセキュリティ保護された環境のセキュリティが危険にさらされているという表示に応答して、セキュリティが危険にさらされる前記物理的にセキュリティ保護された環境と関連付けられた前記証明書が無効であることを示す証明書撤回リストを構成するコマンドをアクセスポイントに対して発行し、且つアクセスポイントから前記証明書撤回リストをロードするコマンドを前記エンドポイントノードに対して発行するサーバと、
    を備えることを特徴とするネットワーク。
  11. 前記サーバは、データセンタにおける前記物理的にセキュリティ保護された環境の前記セキュリティが危険にさらされているという表示に応答して、物理的にセキュリティ保護された環境が危険にさらされている前記データセンタから発信される通信を無視するコマンドを前記アクセスポイントに対して更に発行することを特徴とする請求項10記載のネットワーク。
  12. 前記エンドポイントノードは、受信したコマンドが前記暗号鍵と関連付けられた公開鍵を使用して認可されるかを判定するように構成されることを特徴とする請求項10記載のネットワーク。
  13. 公益事業ネットワークの装置を制御する方法であって、
    前記公益事業ネットワークの装置により実行される動作に対するコマンドを生成することと、
    前記コマンドをハードウェアセキュリティモジュールに転送することと、
    前記ハードウェアセキュリティモジュール内において、
    前記サービスが実行されると、前記コマンドの受信者が実行することを許可されるコマンドとして前記コマンドを認証することを可能にする前記コマンドに対して暗号サービスを実行する機能、
    規定された期間に前記ハードウェアセキュリティモジュールにより実行された暗号サービスの数をカウントする機能、及び
    前記規定された期間内に実行された暗号サービスの前記カウント数が閾値限界を超える場合、受信したコマンドに対する更なる暗号サービスの実行を終了する機能を実行することと、
    前記暗号サービスが実行されると、前記動作を実行する前記コマンドを前記公益事業ネットワークの装置に送信することと、
    を備えることを特徴とする方法。
  14. 暗号サービスの数の前記カウントは、前記規定された期間のスライディングタイムウィンドウ上で実行されることを特徴とする請求項13記載の方法。
  15. 暗号サービスの数の前記カウントは、各々がそれぞれ異なる時間の長さ及び閾値限界と関連付けられる複数のスライディングタイムウィンドウに対して実行されることを特徴とする請求項14記載の方法。
  16. 前記暗号サービスは前記コマンドの暗号化であることを特徴とする請求項13記載の方法。
  17. 前記暗号サービスは前記コマンドに署名することであることを特徴とする請求項13記載の方法。
  18. 暗号サービスの前記カウント数が前記閾値限界を下回る所定の値に到達する場合に警告を生成するステップを更に備えることを特徴とする請求項13記載の方法。
  19. 前記ハードウェアセキュリティモジュールは複数のスロットを含み、前記機能は前記スロットのうちの1つにおいて実行されることを特徴とする請求項13記載の方法。
  20. 前記機能は、それぞれの異なる閾値限界を使用して第2のスロットにおいて更に実行されることを特徴とする請求項19記載の方法。
  21. 前記装置は、受信したコマンドが前記暗号サービスと関連付けられた公開鍵を使用して認可されるかを判定するように構成されることを特徴とする請求項13記載の方法。
  22. 公益事業ネットワークの装置を制御する方法であって、
    前記公益事業ネットワークの装置により実行される動作に対するコマンドを生成することと、
    前記生成されたコマンドが許可を必要とするかを判定することと、
    前記生成されたコマンドが許可を必要とする場合に前記コマンドを許可サーバに転送することと、
    前記許可サーバ内において、(i)前記許可が有効である期間、(ii)実行される前記動作及び(iii)前記動作を実行する前記装置を規定する許可を生成することと、
    前記許可を含むデータパケットを前記公益事業ネットワークの装置に送信することと、 前記装置において前記データパケットを受信すると、前記規定された動作が許可を必要とするか、且つ許可を必要とする場合に前記許可が現在有効であるかを判定することと、 前記許可が現在有効である場合に前記規定された動作を実行することと、
    を備えることを特徴とする方法。
  23. 前記許可は、前記許可が有効になる時を示す開始値と、前記許可が前記開始値から有効なままである時間の長さを示す継続時間値とを含むことを特徴とする請求項22記載の方法。
  24. 前記許可は、前記動作を実行する前記装置の表示を含む第1のフィールドと、前記第1のフィールドについての形式を示す第2のフィールドとを含むことを特徴とする請求項22記載の方法。
  25. 前記第1のフィールドに含まれた前記表示は、前記装置のMACアドレスを含むことを特徴とする請求項24記載の方法。
  26. 前記形式はDERオクテット列型であることを特徴とする請求項24記載の方法。
  27. 前記許可は、前記許可サーバと関連付けられた鍵を用いて署名され、前記装置は、前記許可の前記署名を検証することを特徴とする請求項22記載の方法。
  28. 前記許可サーバは、ハードウェアセキュリティモジュール内で実現されることを特徴とする請求項22記載の方法。
  29. 前記ハードウェアセキュリティモジュールは、
    規定された期間に前記ハードウェアセキュリティモジュールにより生成された許可の数をカウントする機能と、
    前記規定された期間内に生成された許可の前記カウント数が閾値限界を超える場合、受信したコマンドに対する更なる許可の前記生成を終了する機能とを実行することを特徴とする請求項28記載の方法。
  30. 生成された許可の数の前記カウントは、前記規定された期間のスライディングタイムウィンドウ上で実行されることを特徴とする請求項29記載の方法。
  31. 生成された許可の数の前記カウントは、各々がそれぞれ異なる時間の長さ及び閾値限界と関連付けられる複数のスライディングタイムウィンドウに対して実行されることを特徴とする請求項30記載の方法。
  32. 公益事業ネットワークに対する認証システムであって、
    前記公益事業ネットワークの装置により実行される動作に対するコマンドを受信し、且つ(i)許可が有効である期間、(ii)実行される前記動作及び(iii)前記動作を実行する前記装置を規定する前記許可を生成するように構成された許可サーバと、
    前記許可を含むデータパケットを前記公益事業ネットワークの装置に送信するように構成された通信インタフェースと、
    を備えることを特徴とする認証システム。
  33. 前記許可は、前記許可が有効になる時を示す開始値と、前記許可が前記開始値から有効なままである時間の長さを示す継続時間値とを含むことを特徴とする請求項32記載の認証システム。
  34. 前記許可サーバはハードウェアセキュリティモジュールにおいて実現されることを特徴とする請求項32記載の認証システム。
  35. 前記ハードウェアセキュリティモジュールは、
    規定された期間に前記ハードウェアセキュリティモジュールにより生成された許可の数をカウントする機能と、
    前記規定された期間内に生成された許可の前記カウント数が閾値限界を超える場合、受信したコマンドに対する更なる許可の前記生成を終了する機能とを実行するように構成されることを特徴とする請求項34記載の認証システム。
  36. 生成された許可の数の前記カウントは、前記規定された期間のスライディングタイムウィンドウ上で実行されることを特徴とする請求項35記載の認証システム。
  37. 生成された許可の数の前記カウントは、各々がそれぞれ異なる時間の長さ及び閾値限界と関連付けられる複数のスライディングタイムウィンドウに対して実行されることを特徴とする請求項36記載の認証システム。
  38. 前記許可サーバが収容される物理的にセキュリティ保護された環境を更に含むことを特徴とする請求項32記載の認証システム。
  39. 公益事業ネットワークであって、
    前記公益事業ネットワークの装置により実行される動作に対するコマンドを受信し、且つ(i)許可が有効である期間、(ii)実行される前記動作及び(iii)前記動作を実行する前記装置を規定する前記許可を生成するように構成された許可サーバと、
    前記許可を含むデータパケットを前記公益事業ネットワークを介して送信するように構成された通信インタフェースと、
    データパケットを受信する前記公益事業ネットワークに接続された複数の装置であり、前記装置の各々が、
    受信したデータパケットにおいて規定された動作が許可を必要とするかを判定し、
    許可を必要とする場合に前記許可が現在有効であるかを判定し、且つ
    前記許可が現在有効である場合に前記規定された動作を実行するように構成される複数の装置と、
    を備えることを特徴とする公益事業ネットワーク。
  40. 前記許可は、前記許可が有効になる時を示す開始値と、前記許可が前記開始値から有効なままである時間の長さを示す継続時間値とを含むことを特徴とする請求項39記載の公益事業ネットワーク。
  41. 前記許可サーバは、鍵を使用して前記許可に署名するように構成され、前記装置は、前記許可の前記署名を検証するように構成されることを特徴とする請求項39記載の公益事業ネットワーク。
  42. 前記許可サーバは、ハードウェアセキュリティモジュールにおいて実現されることを特徴とする請求項39記載の公益事業ネットワーク。
  43. 前記ハードウェアセキュリティモジュールは、
    規定された期間に前記ハードウェアセキュリティモジュールにより生成された許可の数をカウントする機能と、
    前記規定された期間内に生成された許可の前記カウント数が閾値限界を超える場合、受信したコマンドに対する更なる許可の前記生成を終了する機能とを実行するように構成されることを特徴とする請求項42記載の公益事業ネットワーク。
  44. 生成された許可の数の前記カウントは、前記規定された期間のスライディングタイムウィンドウ上で実行されることを特徴とする請求項43記載の公益事業ネットワーク。
  45. 生成された許可の数の前記カウントは、各々がそれぞれ異なる時間の長さ及び閾値限界と関連付けられる複数のスライディングタイムウィンドウに対して実行されることを特徴とする請求項44記載の公益事業ネットワーク。
JP2013537679A 2010-11-04 2011-10-11 公益事業用途向けの物理的にセキュリティ保護された認可 Pending JP2014501955A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/939,702 2010-11-04
US12/939,702 US9961550B2 (en) 2010-11-04 2010-11-04 Physically secured authorization for utility applications
PCT/US2011/055705 WO2012060979A1 (en) 2010-11-04 2011-10-11 Physically secured authorization for utility applications

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2016110199A Division JP6349347B2 (ja) 2010-11-04 2016-06-01 公益事業用途向けの物理的にセキュリティ保護された認可

Publications (2)

Publication Number Publication Date
JP2014501955A true JP2014501955A (ja) 2014-01-23
JP2014501955A5 JP2014501955A5 (ja) 2014-11-27

Family

ID=46020394

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2013537679A Pending JP2014501955A (ja) 2010-11-04 2011-10-11 公益事業用途向けの物理的にセキュリティ保護された認可
JP2016110199A Active JP6349347B2 (ja) 2010-11-04 2016-06-01 公益事業用途向けの物理的にセキュリティ保護された認可

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2016110199A Active JP6349347B2 (ja) 2010-11-04 2016-06-01 公益事業用途向けの物理的にセキュリティ保護された認可

Country Status (14)

Country Link
US (3) US9961550B2 (ja)
EP (3) EP3684007B1 (ja)
JP (2) JP2014501955A (ja)
KR (1) KR101430376B1 (ja)
CN (1) CN103430183B (ja)
AU (1) AU2011323917B2 (ja)
BR (1) BR112013011804A2 (ja)
CA (2) CA2816989C (ja)
DK (2) DK3664367T3 (ja)
ES (2) ES2911500T3 (ja)
MY (1) MY168385A (ja)
SG (1) SG190152A1 (ja)
TW (1) TWI536285B (ja)
WO (1) WO2012060979A1 (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140229739A1 (en) 2013-02-12 2014-08-14 Amazon Technologies, Inc. Delayed data access
JP2016515235A (ja) * 2013-02-12 2016-05-26 アマゾン テクノロジーズ インコーポレイテッド 関連データを有するポリシー施行
JP2016127510A (ja) * 2015-01-07 2016-07-11 東京電力ホールディングス株式会社 機器制御システム
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US9832171B1 (en) 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
US9942036B2 (en) 2014-06-27 2018-04-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US10055594B2 (en) 2012-06-07 2018-08-21 Amazon Technologies, Inc. Virtual service provider zones
US10075295B2 (en) 2013-02-12 2018-09-11 Amazon Technologies, Inc. Probabilistic key rotation
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10721075B2 (en) 2014-05-21 2020-07-21 Amazon Technologies, Inc. Web of trust management in a distributed system
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635036B2 (en) * 2011-01-04 2014-01-21 General Electric Company Systems, methods, and apparatus for providing energy management utilizing a power meter
US8880883B2 (en) 2013-03-15 2014-11-04 Silver Spring Networks, Inc. Secure end-to-end permitting system for device operations
US9787681B2 (en) 2012-01-06 2017-10-10 Optio Labs, Inc. Systems and methods for enforcing access control policies on privileged accesses for mobile devices
US9609020B2 (en) 2012-01-06 2017-03-28 Optio Labs, Inc. Systems and methods to enforce security policies on the loading, linking, and execution of native code by mobile applications running inside of virtual machines
CA2860917A1 (en) 2012-01-06 2013-07-11 Optio Labs, LLC Systems and methods for enforcing security in mobile computing
US9154568B2 (en) 2012-03-20 2015-10-06 Facebook, Inc. Proxy bypass login for applications on mobile devices
US9672574B2 (en) 2012-03-20 2017-06-06 Facebook, Inc. Bypass login for applications on mobile devices
US9363670B2 (en) 2012-08-27 2016-06-07 Optio Labs, Inc. Systems and methods for restricting access to network resources via in-location access point protocol
US9773107B2 (en) * 2013-01-07 2017-09-26 Optio Labs, Inc. Systems and methods for enforcing security in mobile computing
US20140283136A1 (en) 2013-03-13 2014-09-18 Optio Labs, Inc. Systems and methods for securing and locating computing devices
DE102013227184A1 (de) * 2013-12-27 2015-07-02 Robert Bosch Gmbh Verfahren zur Absicherung eines Systems-on-a-Chip
US20150288183A1 (en) 2014-04-06 2015-10-08 CleanSpark Technologies LLC Establishing communication and power sharing links between components of a distributed energy system
US9584509B2 (en) * 2014-05-07 2017-02-28 Cryptography Research, Inc. Auditing and permission provisioning mechanisms in a distributed secure asset-management infrastructure
CA3030129C (en) * 2014-06-02 2021-11-23 Schlage Lock Company Llc Electronic credential management system
CN104181886B (zh) * 2014-08-13 2017-08-08 惠州Tcl移动通信有限公司 一种智能家居系统及控制方法
US10062226B2 (en) * 2014-12-02 2018-08-28 Carrier Corporation Access control system with automatic mobile credentialing service hand-off
US10712126B2 (en) 2015-08-25 2020-07-14 Axon Enterprise, Inc. Systems and methods for cooperation among weapons, holsters, and recorders
US9608993B1 (en) 2016-02-01 2017-03-28 International Business Machines Corporation Credential abuse prevention and efficient revocation with oblivious third party
US20180198620A1 (en) * 2017-01-11 2018-07-12 Raptor Engineering, LLC Systems and methods for assuring data on leased computing resources
US10614804B2 (en) * 2017-01-24 2020-04-07 Honeywell International Inc. Voice control of integrated room automation system
US10542072B1 (en) * 2017-10-04 2020-01-21 Parallels International Gmbh Utilities toolbox for remote session and client architecture
DE102018003061A1 (de) * 2018-02-03 2019-08-08 Diehl Metering Systems Gmbh Verfahren zum gesicherten Betrieb eines elektronischen Verbrauchsdaten-Moduls und Verbrauchsdaten-Modul
GB2575250B (en) * 2018-06-28 2021-04-21 Arm Ip Ltd Methods for delivering an authenticatable management activity to remote devices
CN108879963B (zh) * 2018-08-01 2023-10-20 南方电网科学研究院有限责任公司 一种电力负荷管理设备及方法
CN109636116A (zh) * 2018-11-14 2019-04-16 遵义华正电缆桥架有限公司 一种安全电力施工的设备
CN112308354A (zh) * 2019-07-31 2021-02-02 中兴通讯股份有限公司 系统过负荷控制方法及装置
US11429401B2 (en) * 2020-03-04 2022-08-30 Landis+Gyr Innovations, Inc. Navigating a user interface of a utility meter with touch-based interactions
US20230205935A1 (en) * 2021-12-28 2023-06-29 Ati Technologies Ulc Software assisted acceleration in cryptographic queue processing
US20230370445A1 (en) * 2022-05-12 2023-11-16 Itron, Inc. Secured authorization for demand response

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7761910B2 (en) * 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
AUPP471098A0 (en) 1998-07-16 1998-08-06 United Technology Pty Ltd Internet utility interconnect method and means
US6587032B2 (en) * 2000-11-28 2003-07-01 International Business Machines Corporation System and method for controlling access to a computer resource
WO2002063847A2 (en) * 2001-02-06 2002-08-15 Certicom Corp. Mobile certificate distribution in a public key infrastructure
US20020162019A1 (en) * 2001-04-25 2002-10-31 Berry Michael C. Method and system for managing access to services
JP3822475B2 (ja) 2001-09-14 2006-09-20 三菱電機株式会社 電力系統管理方法及び電力系統管理システム
JP2003111156A (ja) * 2001-09-27 2003-04-11 Toshiba Corp デジタル家電機器
US7058807B2 (en) 2002-04-15 2006-06-06 Intel Corporation Validation of inclusion of a platform within a data center
US7464272B2 (en) 2003-09-25 2008-12-09 Microsoft Corporation Server control of peer to peer communications
US7711965B2 (en) 2004-10-20 2010-05-04 Intel Corporation Data security
US20060095454A1 (en) * 2004-10-29 2006-05-04 Texas Instruments Incorporated System and method for secure collaborative terminal identity authentication between a wireless communication device and a wireless operator
US7231280B2 (en) * 2004-12-14 2007-06-12 Costa Enterprises, L.L.C. Dynamic control system for power sub-network
CN101467131A (zh) 2005-07-20 2009-06-24 美国唯美安视国际有限公司 网络用户验证系统和方法
US20080222714A1 (en) 2007-03-09 2008-09-11 Mark Frederick Wahl System and method for authentication upon network attachment
US7770789B2 (en) 2007-05-17 2010-08-10 Shift4 Corporation Secure payment card transactions
CN201118607Y (zh) 2007-11-19 2008-09-17 上海久隆电力科技有限公司 统一身份认证平台系统
US8321915B1 (en) * 2008-02-29 2012-11-27 Amazon Technologies, Inc. Control of access to mass storage system
US8752770B2 (en) 2008-08-19 2014-06-17 Mastercard International Incorporated Methods and systems to remotely issue proximity payment devices
US9037844B2 (en) * 2009-02-27 2015-05-19 Itron, Inc. System and method for securely communicating with electronic meters
US8918842B2 (en) * 2010-02-19 2014-12-23 Accenture Global Services Limited Utility grid command filter system
US8600575B2 (en) * 2010-09-24 2013-12-03 Synapsense Corporation Apparatus and method for collecting and distributing power usage data from rack power distribution units (RPDUs) using a wireless sensor network
US8670946B2 (en) * 2010-09-28 2014-03-11 Landis+Gyr Innovations, Inc. Utility device management

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10834139B2 (en) 2012-06-07 2020-11-10 Amazon Technologies, Inc. Flexibly configurable data modification services
US10474829B2 (en) 2012-06-07 2019-11-12 Amazon Technologies, Inc. Virtual service provider zones
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10055594B2 (en) 2012-06-07 2018-08-21 Amazon Technologies, Inc. Virtual service provider zones
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US11372993B2 (en) 2013-02-12 2022-06-28 Amazon Technologies, Inc. Automatic key rotation
US10666436B2 (en) 2013-02-12 2020-05-26 Amazon Technologies, Inc. Federated key management
US10075295B2 (en) 2013-02-12 2018-09-11 Amazon Technologies, Inc. Probabilistic key rotation
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US11695555B2 (en) 2013-02-12 2023-07-04 Amazon Technologies, Inc. Federated key management
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US20140229739A1 (en) 2013-02-12 2014-08-14 Amazon Technologies, Inc. Delayed data access
US10382200B2 (en) 2013-02-12 2019-08-13 Amazon Technologies, Inc. Probabilistic key rotation
US10404670B2 (en) 2013-02-12 2019-09-03 Amazon Technologies, Inc. Data security service
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
JP2016515235A (ja) * 2013-02-12 2016-05-26 アマゾン テクノロジーズ インコーポレイテッド 関連データを有するポリシー施行
US10313312B2 (en) 2013-06-13 2019-06-04 Amazon Technologies, Inc. Key rotation techniques
US10601789B2 (en) 2013-06-13 2020-03-24 Amazon Technologies, Inc. Session negotiations
US9832171B1 (en) 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
US11470054B2 (en) 2013-06-13 2022-10-11 Amazon Technologies, Inc. Key rotation techniques
US11323479B2 (en) 2013-07-01 2022-05-03 Amazon Technologies, Inc. Data loss prevention techniques
US10721075B2 (en) 2014-05-21 2020-07-21 Amazon Technologies, Inc. Web of trust management in a distributed system
US10587405B2 (en) 2014-06-27 2020-03-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9942036B2 (en) 2014-06-27 2018-04-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US11368300B2 (en) 2014-06-27 2022-06-21 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
US11626996B2 (en) 2014-09-15 2023-04-11 Amazon Technologies, Inc. Distributed system web of trust provisioning
JP2016127510A (ja) * 2015-01-07 2016-07-11 東京電力ホールディングス株式会社 機器制御システム

Also Published As

Publication number Publication date
KR101430376B1 (ko) 2014-08-13
CN103430183B (zh) 2016-04-20
AU2011323917A1 (en) 2013-05-30
EP3664367B1 (en) 2022-03-23
CA3077012C (en) 2022-07-12
MY168385A (en) 2018-10-31
US20180234850A1 (en) 2018-08-16
US20120116602A1 (en) 2012-05-10
JP2016194931A (ja) 2016-11-17
EP3684007B1 (en) 2022-10-19
US9961550B2 (en) 2018-05-01
JP6349347B2 (ja) 2018-06-27
EP2635994A4 (en) 2016-12-28
CA2816989A1 (en) 2012-05-10
TWI536285B (zh) 2016-06-01
US10455420B2 (en) 2019-10-22
ES2911500T3 (es) 2022-05-19
KR20130101107A (ko) 2013-09-12
US20160249220A1 (en) 2016-08-25
SG190152A1 (en) 2013-06-28
CN103430183A (zh) 2013-12-04
ES2932380T3 (es) 2023-01-18
EP2635994A1 (en) 2013-09-11
TW201229932A (en) 2012-07-16
EP3664367A1 (en) 2020-06-10
DK3664367T3 (da) 2022-04-11
EP3684007A1 (en) 2020-07-22
CA2816989C (en) 2020-05-26
US10609562B2 (en) 2020-03-31
EP2635994B1 (en) 2020-03-04
BR112013011804A2 (pt) 2016-11-01
AU2011323917B2 (en) 2016-02-25
DK3684007T3 (da) 2022-12-19
CA3077012A1 (en) 2012-05-10
WO2012060979A1 (en) 2012-05-10

Similar Documents

Publication Publication Date Title
JP6349347B2 (ja) 公益事業用途向けの物理的にセキュリティ保護された認可
US8918639B2 (en) Smarter leveraging of the power grid to substantially improve security of distributed systems via a control plane data communication network over the smart power grid
US8971537B2 (en) Access control protocol for embedded devices
US20220191693A1 (en) Remote management of hardware security modules
Bajpai et al. Security service level agreements based authentication and authorization model for accessing cloud services
US20030200322A1 (en) Autonomic system for selective administation isolation of a secure remote management of systems in a computer network
KR102423178B1 (ko) 에이전트 기반의 암호모듈 연동 시스템 및 방법
CN114666079B (zh) 一种基于属性证书的工控系统访问控制方法
KR102160453B1 (ko) 전력설비 보호 시스템 및 그 방법
CN117294489A (zh) 一种基于授权策略的自适应动态访问控制方法及系统
Paranjpe Security and privacy in demand response systems in smart grid
Edgar et al. Cryptographic Trust Management System Design Document
Asavachivanthornkul Best practices and research for handling demand response security issues in the smart grid
Paranjpe et al. Mithila Paranjpe BE, Gujarat University, 2007

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141009

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141009

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150826

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151224

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160201