JP6349347B2 - 公益事業用途向けの物理的にセキュリティ保護された認可 - Google Patents
公益事業用途向けの物理的にセキュリティ保護された認可 Download PDFInfo
- Publication number
- JP6349347B2 JP6349347B2 JP2016110199A JP2016110199A JP6349347B2 JP 6349347 B2 JP6349347 B2 JP 6349347B2 JP 2016110199 A JP2016110199 A JP 2016110199A JP 2016110199 A JP2016110199 A JP 2016110199A JP 6349347 B2 JP6349347 B2 JP 6349347B2
- Authority
- JP
- Japan
- Prior art keywords
- permission
- command
- authorization
- request
- physically secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims description 45
- 230000009471 action Effects 0.000 claims description 9
- 238000000034 method Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 3
- 241000273930 Brevoortia tyrannus Species 0.000 description 56
- 238000010586 diagram Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000006641 stabilisation Effects 0.000 description 1
- 238000011105 stabilization Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
- Selective Calling Equipment (AREA)
- Professional, Industrial, Or Sporting Protective Garments (AREA)
- Gloves (AREA)
- Materials For Medical Uses (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
Description
本発明は、公益事業会社と関連付けられた動作の管理及び制御に関し、特にそのような動作を管理及び制御するシステムのセキュリティに関する。
公益事業会社は、その動作を管理及び制御する多数の関連ソフトウェアモジュールを起動する物理サーバ上で実行する複雑で高度に相互接続されたシステムを有する。図1は、電力及び場合によっては例えばガス、水等の他の製品を顧客に供給する公益事業会社に対する一般的な管理及び制御システムにおいて見られる可能性のある構成要素のうちのいくつかを示す概略ブロック図である。システムのバックオフィス10は、公益事業の種々の動作と関連付けられた多くの個々のサブシステム、例えば顧客情報システム(CIS)12と、顧客関連モジュール(CRM)14と、停止管理システム(OMS)16と、GPS情報システム18と、請求書作成システム20と、グリッド安定モジュール22と、ユーザインタフェース24とを含む。図1には示されないが、更なる機能モジュールがバックオフィス10に存在してよい。これらのサブシステムのうちのいくつかは、供給されている製品に対して配電網の装置と通信し、且つこれらの装置と関連付けられた動作をリモート制御する機能を有してもよい。例えばバックオフィスサーバは、顧客の建物に配置された個々のメータ26と通信して請求書作成のための消費データを取得し、且つ公益事業会社により提供される1つ以上の製品の供給元に対して顧客を選択的に切断又は再接続するようにメータに指令してもよい。バックオフィスサーバから個々のメータへの他のコマンドは、顧客からのエネルギーの流出を受け入れるコマンドを含んでもよい。
図1の例において、メータは、ネットワークへの及びネットワークからの出口を提供するアクセスポイント32を有するローカルエリアネットワーク30によりバックオフィスと通信するエンドポイントノードを構成する。一実施形態において、ローカルエリアネットワークは無線メッシュネットワークであってよい。アクセスポイント32は、ワイドエリアネットワーク34又は専用の通信リンクにより、バックオフィス10においてサーバと通信する。
この種のシステムにおいて、考慮すべき1つの問題は、それぞれ、顧客が建物を引き払うか又は支払いを滞納する場合、あるいは新しい顧客が建物を手に入れる場合に発生する可能性のあるリモート切断及び再接続をセキュリティ保護して管理することである。リモートで切断及び/又は再接続するように故意に且つ/あるいは誤って発行されたコマンドは、配電グリッドを不安定にする潜在性を有するだろう。無認可の再接続は、結果として配電された電力の盗難ともなりうる。そのような可能性を制限するために、コマンド・制御動作がそのような動作を実行する認可を受けているエンティティによってのみセキュリティ保護されて行われることを保証する努力がなされなければならない。しかし、一般的な公益事業のバックオフィスが種々の相互接続されたシステムから構成されるため、セキュリティ保護されたアクセスの実行は困難になる。公益事業内の多くの異なるグループは、全て又は一部のソフトウェアシステムへのアクセスが必要であり、これにより個々のサブシステムへの論理的及び/又は物理的なアクセスを制限する機能は複雑になる。
この問題に対する1つの可能な解決策は、以下においてバンカ(bunker)と呼ばれる物理的にセキュリティ保護された環境内にある特定のシステム又はそのようなシステムの一部を配置することである。バンカの例には、密室等のアクセスが制限された部屋又はコンテナ及び保護されたシステムの周囲のタンパ防止シェル又はエンクロージャが含まれる。バンカは、システム又はシステムの保護された部分が実行しているハードウェア装置への物理的アクセスを厳しく制限する。また、バンカ内のシステムは、非常に限定された論理的なアクセスをエクスポートする。しかし、この解決策は、より融通性のあるアクセスをそれを必要とするユーザに提供するためにバンカ内に配置されるべき部分及びバンカの外側に配置してもよい部分を判定するように公益事業ソフトウェアシステムをリファクタリングするのは困難であるという困難な問題を依然として提示する。
全体的なセキュリティを公益事業管理システムに提供するために、システムの構成要素に対して発行される重要なコマンド・制御メッセージは、セキュリティ保護された権限により明示的に承認される必要がある。明示的な承認により、要求された動作を認証し、メッセージにおいて示された特定の動作の実行を認可する。アクセス制御と関連付けられる公益事業管理及び制御システムの重要な構成要素は、物理的にセキュリティ保護された環境に配置される。この手法を用いる場合、例えばバンカによりネットワーク動作を承認する役割を担うこれらのサブシステムを物理的にセキュリティ保護することのみが必要となる。換言すると、例えばCIS、CRM、OMS、請求書作成等の殆どの管理モジュールは、バンカの外側に配置されてもよく、それにより、これらのサブシステムをバンカ及び非バンカされた構成要素に区分する必要性を回避する。非バンカされたサブシステムの各々の重要な構成要素へのアクセスは、バンカされた承認システムを介して制御される。
本発明が基づいている原理を理解しやすくするために、以下において、配電システムにおけるリモート接続及び切断コマンドのセキュリティ保護された制御を参照して本発明を説明する。しかし、そのような例がこれらの原理の唯一の実際的な応用例ではないことが理解されるだろう。これらの原理は、不適当に又は誤って発行された場合にはシステムを大きく混乱又は損傷させる潜在性を有する可能性のあるあらゆる種類の重要なコマンドと併せて採用される。同様に、これらの原理は、適切な動作が常に必須であるシステムの重要な構成要素に送出された全てのコマンド・制御メッセージと組み合わせて使用可能である。
図2は、本発明の概念が実現されるデータセンタ40の一例を示す。従来のように、データセンタは、種々のアプリケーション12、14、16が実行される多くの物理サーバを含む。いくつかの代表的なアプリケーションのみを図示するが、より多くのそのようなアプリケーションがデータセンタ内で実現可能であることが理解されるだろう。逆に、アプリケーションのうちのいずれか2つ以上により実行された機能は、単一の包括的なプログラムに組み込まれてもよい。
補強壁を有する密室等の制限された物理的アクセスを有する物理バンカ42もデータセンタ内に配置される。別の例として、バンカは、ロックされることに加えあるいはその代わりに、セキュリティカメラ、動作検出器等を使用して厳密に観察又は保護される領域であってもよい。更に別の例として、バンカは物理的に配電されてもよく、セキュリティ関係は配電された部分の間で確立されている。更に別の例として、バンカは、例えばセキュリティ保護して実行しているソフトウェア及び/又はファームウェアを使用して論理的にセキュリティ保護されてもよく、その機能性は、自己破壊的な包装等の物理的タンパリングからセキュリティ保護される。バンカは、部屋である必要はないが、例えば物理的にセキュリティ保護されたボックスであってもよい。
関連ハードウェアセキュリティモジュール44を有する1つ以上の更なるサーバ装置は、認可、認証及び課金等のセキュリティ関連動作を実行するソフトウェアモジュールを有する認可エンジン46を実現するためにバンカ内に配置される。ハードウェアセキュリティモジュールは、秘密鍵又は他の共通鍵をセキュリティ保護して含む。ハードウェアセキュリティモジュールは、秘密鍵にリンクされる公開証明書を更に含んでもよい。ハードウェアセキュリティモジュールは、暗号動作を実行するために、楕円曲線暗号法等の強固なあるセキュリティアルゴリズム又は別の高度にセキュリティ保護された暗号方式を使用することが好ましい。本明細書において説明するアプリケーションに対して適切なハードウェアセキュリティモジュールの一例は、Utimaco Safeware AGからのハードウェアセキュリティモジュールのSafeGuard CryptoServerラインである。
バンカへのセキュリティ保護されたアクセス及びバンカ内に配置されたサーバ装置は、指紋検出、物理的な鍵又はトークン及び/あるいはパスワード保護等のバイオセンサ技術を用いて実行可能である。一実現例において、階層的な階層セキュリティシステムは、保護を最大限にするように採用される。セキュリティの1つの層が障害を起こす場合、例えばパスワードが偶発的に暴露又は盗難される場合、システム全体の物理的なセキュリティを維持するために、鍵又はトークンが作動させたデッドボルトロック等の高水準のセキュリティ機構が起動される。
非バンカされたバックオフィスアプリケーション12〜16からのある特定の種類のコマンドは、個別に認証されない限り実行されないように制限される。例えば、リモート切断及び再接続のコマンドは、配電グリッドの安定の深刻な中断を引き起こすという潜在性のために、これらの制限されたコマンドのうちの1つの分類である。これらの種類の動作に関係するセキュリティを強化するために、それらを実行するアプリケーションは、バンカ42内のコンソールから発生するか、あるいはバンカ42内から発行された許可により認証される場合にのみのそのように実行するコマンドを受け入れてもよい。従って、これらのコマンドを発行する権限を有し且つバンカにアクセスするために必要な手段、例えばパスワード、鍵、指紋等を処理する人員だけがアプリケーションに対して制限されたコマンドを発行できる。
コマンドを生成させる動作が開始されると、その動作は、認可エンジン46により署名又は認証されて、バンカ42の外部の適切なアプリケーションと関連付けられたアプリケーションプログラミングインタフェース(API)に転送されてもよい。例えばコマンドは、ハードウェアセキュリティモジュール44内に格納された秘密鍵により署名されてもよい。署名されたコマンドは、外部のアプリケーション、例えばアプリケーション12〜16のうちの1つ又はメータ26のうちの1つにおいて実行するアプリケーションにおいて受信されると、アプリケーションがアクセスした公開鍵により検証される。コマンドは、バンカ内から発生したものとして検証されると、外部のアプリケーションにより実行される。
状況によっては、リモート切断コマンドを発行するエンティティがバンカ内に物理的に存在しているのは実際的ではないだろう。しかし、そのようなコマンドのリモート生成が支持される場合、そのようなコマンドは、認可されたエンティティになりすましているユーザにより故意に発行される可能性がある。そのようなことが発生する可能性を制限するために、本発明に従って、ポリシーモジュール48はバンカ内で実現される。ポリシーモジュールは、図2に示されるように、別個のソフトウェアコンポーネント又はファームウェアコンポーネントであってもよく、あるいは以下において説明されるように、ハードウェアセキュリティモジュールに論理的に組み込まれてもよい。ポリシーモジュール48は、例えばバンカ内部から入力されたコマンドにより、セキュリティ保護して再設定又は再プログラムされてもよい。このモジュールは、要求された動作を検査するビジネス論理を含み、その実行が許可されるかを判定する。例えば、配電グリッドの安定を中断しうる再接続コマンドは、順番に又は相対的なタイミングで発行される場合、ポリシーにより阻止されて署名のために認可エンジンに渡されない。また、ある特定の条件が検出される場合、ポリシーフラグがオンにされ、コマンドを発行するエンティティの切断等の適切な措置がとられる。これらの条件は、例えば以下のものを含みうる。
1.配電グリッドからユーザを故意に切断することを意図する多くのリモート切断コマンドは、一度に、例えば所定の時間間隔内に発行される。
2.同一の顧客と関連付けられる一連の繰返しの接続及び切断のコマンド又は例えばまだ電力グリッドに接続していないユーザに対して切断コマンドを発行する顧客の現在の状況に一致しないコマンド等のコマンドは、疑わしい順序で発行される。
3.要求側のアプリケーションは、必要な信用証明書を提供できないか、あるいは認証されない。
4.要求側のアプリケーションは、ある特定の動作を発行する許可を有する承認されたアプリケーションの集合の間にはない。
5.実際の電力負荷及び予想された電力要求に基づいている配電網の状態。
この機能性を実現するために、バンカは、バンカの外部にあるアプリケーションのアプリケーションプログラミングインタフェース(API)に対するプロキシ50を含んでもよい。動作中、これらの「外部の」アプリケーションのうちの1つに対するAPIへの呼び出しが行われる場合、その呼び出しはバンカ内のプロキシ50に向けられる。プロキシは、要求を認可することが必要とされてもよいポリシーモジュール48において公益事業ビジネス論理を調査し、適切なビジネス論理により署名された要求を有する。その後要求は、署名のために認可エンジン46に渡される。認可されると、プロキシは、バンカの外部にある呼び出されたアプリケーションに対して正常なAPIを呼び出し、認可された呼び出しに沿って通過する。
別の一実現例において、バンカ42はプロキシを含まなくてもよい。この場合、要求は、外部のアプリケーションのAPIに対して直接行われてもよい。その結果、外部のアプリケーションは、要求された動作が署名を必要とすると判定する場合にバンカ内で認可エンジンを呼び出す。デフォルトとして、全ての要求は、認可のためにバンカに渡され、外部のアプリケーションによるあらゆる判定の必要性を回避してもよい。バンカに提供された要求は、最初にポリシーモジュールによりチェック及び署名され、次に認可エンジン46に渡される。要求が認可されると、呼び出されたアプリケーションは要求に基づいて動作する。
バンカ42に含まれたハードウェアセキュリティモジュール44は、2つのレベルで動作可能である。メータ26において実行される動作と併せて、以下において例を説明する。動作の第1のレベルにおいて、公益事業会社は、バックオフィス10におけるアプリケーションとメータ26との間の全ての通信又はネットワーク30の他のあらゆる構成要素が暗号化及び署名されなければならないというポリシーを設けてもよい。このポリシーの実現例を図3の例に示す。この例において、メータ管理アプリケーション52は、メータ26のうちの1つ以上に送出するコマンド等のメッセージを有する。メッセージの適切な暗号化及び署名を実行する要求と共に、このメッセージは、アプリケーションのメータコマンド及びインタフェースモジュール54において構成され、バンカ42のハードウェアセキュリティモジュール44に転送される。ポリシーモジュール48は、要求が認可されたソースから発生したことを確認するように最初にチェックしてもよい。そのような場合、ポリシーモジュール48は、ハードウェアセキュリティモジュールに沿って渡される。ハードウェアセキュリティモジュール44は、アプリケーションと関連付けられた適切なキーを使用して、メッセージに対して要求された動作を実行し、暗号化及び署名されたデータを返送する。その後、メータ管理アプリケーションのコマンド及びインタフェースモジュール54は、暗号化及び署名されたメッセージを組み込むデータパケットを作成し、ネットワーク30を介してそれをメータに送信する。
アプリケーション52によりネットワーク30においてノードから受信したメッセージについては、それらは、復号化されるために最初にハードウェアセキュリティモジュールに転送される。更にモジュール48は、受信したメッセージの送出者の信憑性及びデータの整合性のあらゆる適切な検証を実行できる。その後、検証及び復号化されたメッセージはアプリケーション52に返送される。
リモート接続及び切断等の重要な動作については、ハードウェアセキュリティモジュールは、そのような動作に対する速度を制限するように第2のレベルで動作可能である。図4は、ハードウェアセキュリティモジュールの内部構成の一例を示す。モジュールは多くのスロットで構成される。各スロットは、例えば署名、暗号化、復号化等の暗号サービスを実行するために、秘密鍵、証明書、共有鍵及びアクセス特権の集合を含む。種々のスロットは、種々のセキュリティコンテキストと関連付けられ、それぞれのコンテキストに関係する鍵、証明書及び他の情報を含む。秘密鍵を用いてそれに署名する等のハードウェアセキュリティモジュールを用いてコマンドに対して暗号サービスを実行することにより、関連公開鍵を使用してコマンドのソースを認証するノード26等のコマンドを受信できる。ポリシーモジュール48は、要求されたコマンドを1つ以上の暗号サービスのためにハードウェアセキュリティモジュールに対して提示できるかを最初に判定する。
各スロットは、例えばコマンドライン管理ツールにより1つ以上の速度制限で所望のビジネス論理を実行するように選択的に構成可能である。スロットを構成するコマンドの一例は以下の通りである。
HSM_configure slot=2=rate−name=”rate1” window=24h count=10000
そのようなコマンドは、24時間のスライディングウィンドウ毎に10,000個の暗号動作の最大速度制限でスロット2を構成する。この割り当てられた数を上回る暗号動作が先行する24時間内に発生する場合、スロットは、全ての更なる暗号動作を停止する。その後、管理者は、リセットコマンドを送出することでスロットをリセットすることが必要となる。
そのようなコマンドは、24時間のスライディングウィンドウ毎に10,000個の暗号動作の最大速度制限でスロット2を構成する。この割り当てられた数を上回る暗号動作が先行する24時間内に発生する場合、スロットは、全ての更なる暗号動作を停止する。その後、管理者は、リセットコマンドを送出することでスロットをリセットすることが必要となる。
スロットは、以下の通り2つ以上の速度で構成可能である。
HSM_configure slot=2=rate−name=”rate1” window=24h count=40000
HSM_configure slot=2=rate−name=”rate2” window=60m count=2000
これらの2つのコマンドは、1つが24時間のスライディングウィンドウ上の40,000個の暗号動作に対するもので、別が60分間のスライディングウィンドウ上の2000個の暗号動作に対するものである2つの速度制限ウィンドウを用いてスロット2を構成する。
HSM_configure slot=2=rate−name=”rate2” window=60m count=2000
これらの2つのコマンドは、1つが24時間のスライディングウィンドウ上の40,000個の暗号動作に対するもので、別が60分間のスライディングウィンドウ上の2000個の暗号動作に対するものである2つの速度制限ウィンドウを用いてスロット2を構成する。
スロットが速度制限で構成される場合、スロットにおいて実行された全ての暗号動作は、スライディングウィンドウ上で割り当てられた制限に対してカウントされる。先に挙げられた例において、過去24時間に40,000個を上回る暗号動作又は最後の60分に2000個を上回る暗号動作がある場合、スロットは、更なる暗号動作のいずれも停止する。
一実施形態において、閾値の侵害に対する課金は5分刻みで実行可能である。図5は、スロットが25分間のスライディングウィンドウにおいて800個の暗号動作の制限で構成されている一例を示す。スライディングウィンドウは、多段バッファ56として実現可能である。示されたバッファは、各々が5分間の時間間隔を表す5つの段階58を含む。各段階は、対応する時間間隔の間にスロットにより実行された暗号動作のカウント数を含む。以下の表は、所定の時点でバッファに含まれたデータのスナップショットを提供する。
この場合は15+0+7+1+6=29である全てのカウントの合計が閾値を超える場合、スロットは、管理上リセットされるまで全ての更なる暗号動作を停止する。警告機構は、動作が停止される時間の前に管理人に通知するように実現可能である。例えば、カウントの合計が速度制限の80%を超える時に第1の警告が生成されてもよく、カウントの合計が制限の90%に到達する場合に第2の警告が生成されてもよい。
この場合は段階5である最後の間隔と関連付けられた段階は、新しい暗号動作の各々の実行カウントを維持する。5分間の間隔の各々の最後に、格納されたカウントは次に以前の段階にシフトされる。最新の段階は、ゼロにリセットされ、次の5分間の間隔の間にもう一度新しく暗号動作をカウントし始める。
各スロットが自身の速度制限で選択的に構成可能であるため、ビジネス論理の実現例において柔軟性が与えられる。例えば以下において説明するように、ある特定の重要なコマンドは、実行可能になる前に、以下において「許可」と呼ばれる明示的な種類の認証を要求してもよい。これらのコマンドは、許可手順を実行するスロットと関連付けられるセキュリティコンテキストにマッピングされ、且つ特に厳しい速度制限を有してもよい。他の種類のコマンドは、異なるセキュリティコンテキストにマッピングされ、且つより厳しくない速度制限を有する異なるスロットを介して暗号化及び/又は署名されてもよい。
リモート切断及び再接続のコマンド等の重要なコマンドについては、各々が受信側のノードにおいて認証されなければならない多数の関係者による承認等のより高いレベルのセキュリティが適切だろう。しかし、ネットワーク効率の観点から、より高いレベルのセキュリティは、コマンドが向けられるノードがコマンドを実行するために1度接続されるだけでよい場合に望ましい。本発明の一態様において、これらの目的は、ノードがコマンドを認証できるように要求された全ての情報を提供する許可システムにより実現可能である。本質的に、メータに対する切断コマンド等のアプリケーションに送出される全ての重要なコマンドは、許可を伴うことを要求されてもよい。上述したように、種々のコマンドは種々のセキュリティコンテキストにマッピング可能である。コマンドがアプリケーションにより自動的に又はユーザインタフェースを介して発行される場合、発行側のアプリケーションはコマンドのセキュリティコンテキストをチェックする。暗号化が要求される場合、コマンドは、そのような動作のためにハードウェアセキュリティモジュールの適切なスロットに転送される。セキュリティコンテキストが許可を必要とすると判定される場合、コマンドは、許可を発行するバンカの許可サーバに転送される。一実施形態において、許可サーバの機能は、ハードウェアセキュリティモジュールにおいてスロットにより実現可能である。
配電グリッドから建物を切断するコマンドを参照して、許可を発行する構成及び手順の一例を図6に示す。この例において、課金システム等のバックオフィス10におけるビジネスモジュールのうちの1つは、口座と関連付けられた建物への切断コマンドをメータ管理アプリケーション52に対して発行する。このコマンドを受信すると、メータ管理アプリケーションは、特定の時間に切断動作をスケジュールしてもよく、次に、メッセージをセキュリティ保護されたリンクを介して負荷マネージャモジュール59に送出し、コマンドを発行する許可を要求する。負荷マネージャは、バンカ42内に配置されるビジネス論理の構成要素であり、配電グリッドへの負荷変動が有害となる可能性があるかを判定する。この例において、負荷マネージャは許可サーバの一実現例として機能する。負荷マネージャは、要求された変動が有害となる可能性があると判定される場合に要求を拒否するか、例えば非常に多くの要求が現在未処理である場合にある期間の間要求を延期するか、あるいは要求を承認できる。負荷マネージャに対する要求は、コマンドの実行を完了するために必要なターゲットノード、スケジュールされた動作時間及び時間ウィンドウのサイズ等の情報を含んでもよい。
要求が承認される場合、負荷マネージャは、コマンドが向けられるノードにより認識可能な許可を作成する。許可は、メータ管理アプリケーション52に返送される前に、負荷マネージャと関連付けられた鍵を用いて署名される。示された例において、許可サーバ、すなわち負荷マネージャ59は、ハードウェアセキュリティモジュール44から離間される。従って、この場合、許可は、負荷マネージャの秘密鍵を用いて署名されるハードウェアセキュリティモジュールに送出される。その後、署名された許可は、メータ管理アプリケーション52に転送される負荷マネージャに返送される。
署名された許可を受信すると、メータ管理アプリケーションは、署名された許可と共に、切断される建物と関連付けられるノード26に認可されたコマンドを送出する。次にノードは、負荷マネージャの信用証明書を介して、例えば許可からの証明書のチェーンに後続することにより、配電グリッドに対するシステムオペレータと関連付けられたルート権限に対する許可を検証する。ノードは、許可内の時間値が現在時刻に一致することを更に検証する。全ての情報が正確であり且つ検証される場合、ノードは、コマンドを実行し、コマンドの完了を示す署名されたレシートをメータ管理アプリケーション52に送出する。レシートのコピーは、未処理の要求を追跡し続けられるように負荷マネージャ59に送出されてもよい。
メータ管理アプリケーション52は、異なる制御エンティティ、すなわちメータ管理アプリケーション及び負荷マネージャにより発行されるコマンドに対する2つの独立した認可を提供するために、ノードに送出されるパケットのペイロードに更に署名できる。双方の形式の認可は、ノードがコマンドを実行する前にノードにより検証される必要がある。この例において、負荷マネージャ等の許可サーバは、ノード26と直接通信するために必要とされる信用証明書を処理しない。許可サーバは、認可されたコマンドを実行するために、この場合はメータ管理アプリケーション52である別の制御エンティティに信用証明書を提供する。
コマンドを承認するかを判定するビジネス論理は、相対的に単純であってよく、例えば、所定の数の切断動作の最初のバーストが許可されるリーキーバケットアルゴリズムであってよく、単位時間当たりより少ない数の動作が後続する。この場合、負荷マネージャの機能は、上述した速度制御を使用してハードウェアセキュリティモジュールのスロット内で実現されてもよい。別のより複雑なアルゴリズムは、配電網の状態に基づいていてよく、例えば電力要求の予想に基づいて実際の電力負荷を追跡し且つ判定を行う。この後者の実施形態は、ハードウェアセキュリティモジュールの外側で、図6に示されたように、例えば専用の物理システム、仮想化されたサーバ又は共有システム上のアプリケーション内で実行されてもよい。
リモート切断及び再接続に加え、他の種類のコマンドは、規定された期間にわたり消費量を減少する顧客の建物に向けられる負荷制限コマンド等の許可を有するように要求される。また、システムにおける特定の種類の装置のセキュリティ保護された動作が配電自動化構成要素等のシステムの安定に対して重要である場合、その装置に対して発行された全てのコマンドは、許可を有するように要求されてもよい。バックオフィスモジュールは、そのような装置に対してコマンドを発行する場合は常に、必要な許可を得るために許可サーバにコマンドを転送する。
メッセージのペイロード内に含まれる許可に対する例示的な形式を図7に示す。許可ペイロードの第1のフィールド60は、開始時間、すなわち許可が有効になる時間を示す。許可ペイロードを含むメッセージがノードにおいて受信される場合、ノードは開始時間を現在時刻と比較する。開始時間が現在時刻+5分等の所定の増分より遅い場合、ノードは、無効なものとして許可を拒否する。
許可ペイロードの第2のフィールド62は、許可が有効なままである間の継続時間ウィンドウを示す。このフィールドは、開始時間を超えると許可が有効である5分間のブロック等の所定の時間間隔の数を示す値である。ノードの現在時刻が許可開始時間+所定の間隔とウィンドウ値との積より大きい場合、許可は無効なものとして拒否される。例えば、開始時間が1:00:00であり、ウィンドウ値が2であり且つ現在時刻が1:12:38である場合、許可は期限が切れているものとして拒否される。
許可ペイロードの次のフィールド64は、実行が許可される動作を示す。例えばこのフィールドは、電力切断動作又は電力再接続動作を示す値を含んでもよい。多数の動作は単一の許可と関連付けられる。ターゲットの種類のフィールド66は、後続するターゲットフィールド68に対する形式を示す。ターゲットフィールド68は、すなわち許可された動作を実行するノード又は装置を指定する。例えばターゲットは、ノードのMACアドレスであってよい。ターゲットの種類のフィールド66は、DERオクテット列型等のこのアドレスが表現される形式を示す。
セキュリティを更に向上するために、切断又は再接続のコマンドが一度に1つのメータに対してのみ発行可能であるという制約が課されてもよい。許可を発行する前に、負荷マネージャは、装置に対するターゲットアドレスが単一の装置と関連付けられ、且つグループ又はブロードキャストのアドレスではないことを保証するようにチェックしてもよい。
許可ペイロードは、示された動作に対して特権を有する証明書と関連付けられた秘密鍵により署名される。許可ペイロードを含むデータパケットを受信すると、ノードは、示された動作が許可を必要とするかを確認するように最初にチェックする。許可が必要とされる場合、ノードは、許可に署名するために使用された証明書及び秘密鍵が要求された動作を実行するために必要な特権を有することを確認する。確認が肯定的である場合、ノードは、示された証明書の対応する秘密鍵により署名されているものとして、署名された許可の信憑性を検証する。次にノードは、ターゲット指定がノード自体を識別することを検証する。最後にノードは、現在時刻に対する開始時間及びウィンドウ値を調査し、許可の期限が切れていないことを確認する。
全ての検証チェックが成功した場合、動作が実行され、成功した実行を確認するために応答が返送される。検証ステップのうちのいずれかが失敗する場合、許可は拒絶され、エラーメッセージが返送される。データパケットにおける全ての動作が完了しているかあるいはエラーメッセージが返送されるとすぐ、許可は破棄されてそれ以上保持されない。
バンカへのアクセスが危険にさらされる場合には、適切な形式の救済措置が実現されてもよい。1つのそのような解決策は、バンカと関連付けられる論理的又は物理的な非常ボタンを提供することである。この非常ボタンは、非常ボタンと関連付けられたバンカが危険にさらされ且つもはや信用されるべきではないことを管理システムに通知するように起動可能である(例えば、物理ボタンを押下又はユーザインタフェース要素を起動するユーザ、あるいは自動的に適切な判定を行う論理により)。例えば、危険にさらされたバンカにより署名されるリモート切断サービスに対するいかなる要求も無視されるべきではない。
非常ボタンは種々の方法で実現可能である。適切な例には、無線又は有線の通信システムを介して送出される制御信号、ローカル又はワイドエリアネットワークに接続される従業員のデスク等の適切な場所における物理的なプッシュボタン、並びに/あるいはオーディオコマンド機能及び無線接続性を有するウェアラブルデバイスが含まれる。
図8は、非常ボタンの機能性が実現可能であるシステムの一例を示す。この例において、公益事業管理及び制御システムは、2つのデータセンタ70及び72内に収容される。例えば各データセンタは、冗長のために種々の管理及び制御サブシステムの完全なインスタンスを含んでもよい。各データセンタは、それぞれ「バンカ1」及び「バンカ2」とラベル付けされた関連バンカを含む。各バンカは、ルートが認識されている権限にある証明書チェーンを含む証明書を有する。2つのバンカに対する証明書は互いに異なる。
アクセスポイント32及びエンドポイントノード26等の制御ネットワークにおける各ノードは、証明書撤回リストを格納及びインストールする機能を有する。アクセスポイント32は、ソースアドレスをフィルタリングする機能を更に有する。
例示的な動作は、バンカ1へのアクセスが危険にさらされている状況を説明する。バンカ1と関連付けられた非常ボタンが起動され、その結果得られる非常信号は、非常ボタン機能を実現するバンカ2のサーバに送出される。この非常信号は、それが送出される装置の認証の適切な表示を含む。例えばこの非常信号は、装置と関連付けられた署名を含んでもよく、あるいは所定のアルゴリズムに従って生成されたハッシュ値を伴ってもよい。認証された非常信号を受信すると、バンカ2のサーバは、データセンタ70から発信されるパケットをドロップするように全てのアクセスポイント32に命令するファイアウォールルールを全てのアクセスポイント32に対して設定するコマンドを発行する。バンカ2のサーバは、バンカ1と関連付けられた証明書が有効ではないことを示す全てのアクセスポイント上の証明書撤回リストを構成するコマンドを更に発行する。バンカ2のサーバは、アクセスポイントから証明書撤回リストを再ロードするように全てのエンドポイントノードに命令するメッセージを全てのエンドポイントノードに更に送出する。
データセンタ70からパケットをドロップするようにアクセスポイント上のファイアウォールフィルタを構成することにより、潜在的な攻撃者は、証明書撤回リストを全てのエンドポイントノードに伝播できるような十分な期間、減速されてもよい。潜在的な違反が発生した後にバンカ1を回復するために、新しい証明書がインストールされなければならず、その証明書との新しい関連付けが行われて、制御ネットワークにおいて全てのノードに伝播される。
要約すると、開示された本発明は、公益事業会社により提供された製品の供給と関連付けられた故意の又は不適切な動作の危険性を低下させる種々のセキュリティ機能を提供する。公益事業配電網の安定を中断する潜在性を有する重要なコマンドは、そのようなコマンドの認証、署名及び暗号化のためにハードウェアセキュリティモジュールを使用することと組み合わせて、バックオフィス管理システムの影響されやすい構成要素へのアクセスを制限する物理バンカの機構を介してセキュリティ保護される。許可に基づく認可フレームワークは、特に重要なコマンドに対して細粒レベルのセキュリティを提供する。ハードウェアセキュリティモジュールは、コマンドが実行される速度を制限し、且つ不適当なコマンドのシーケンスを発行しようという試みを更に妨害するように更に構成される。
開示された概要はその趣旨又は必須の特徴から逸脱せずに他の特定の形式において実施可能であることは、当業者により理解されるだろう。本発明で開示された実施形態は、限定するものではなく例示するものとして全ての点において考慮される。本発明の範囲は、上述の説明ではなく添付の特許請求の範囲により示され、添付の特許請求の範囲の意味及び等価の範囲内の全ての変更は、特許請求の範囲に含まれることを意図する。
Claims (15)
- 公益事業用途向けのためのデータセンタのシステムであって、
物理的にセキュリティ保護された環境と、
公益事業の動作と関連付けられた1つ以上のアプリケーションプログラムを実行するように構成された少なくとも1つのサーバと、
前記物理的にセキュリティ保護された環境内に配置され且つ秘密鍵を格納するハードウェアセキュリティモジュールと、
前記アプリケーションプログラムに向けられた要求を受信し且つ前記秘密鍵に従って署名される認可されたコマンドを提供するように構成された前記物理的にセキュリティ保護された環境内に配置された認可エンジンと、
前記アプリケーションプログラムと関連付けられたビジネス論理に従って前記要求を処理し且つ前記要求が前記認可エンジンにより認可されることを選択的に可能にするように構成された前記物理的にセキュリティ保護された環境内に配置されたポリシーモジュールであって、前記物理的にセキュリティ保護された環境内の前記認可エンジンが前記認可されたコマンドを提供することを可能にすることによって前記公益事業の動作が実行可能かどうか認可する権限を有する前記ポリシーモジュールと、
を備えることを特徴とするデータセンタのシステム。 - 前記サーバは前記物理的にセキュリティ保護された環境の外部に位置しており、
前記データセンタにおいて受信され且つ前記アプリケーションプログラムに対して意図される要求を受信し、且つ前記受信した要求を前記ポリシーモジュールに転送するように動作する前記物理的にセキュリティ保護された環境内に配置されたプロキシを更に備えることを特徴とする請求項1記載のシステム。 - 前記ポリシーモジュールは、電力を接続及び/又は遮断するコマンドを含む要求が1以上の所定の条件を満たすかを判定し、且つ、前記所定の条件の何れか1つを満たす場合に当該コマンドが実行されるのを阻止するように構成されることを特徴とする請求項1記載のシステム。
- 前記ハードウェアセキュリティモジュールは、
サービスが実行されると、コマンドの受信者が実行することを許可されるものとして前記コマンドを認証することを可能にする、コマンドに対する暗号サービスを実行する機能、
規定された期間に前記ハードウェアセキュリティモジュールにより実行された暗号サービスの数をカウントする機能、及び
前記規定された期間内に実行された暗号サービスのカウント数が閾値限界を超える場合、受信したコマンドに対する更なる暗号サービスの実行を終了する機能を実行する機能、
を実施することを特徴とする請求項1乃至3の何れか1項に記載のシステム。 - 前記データセンタは、公益事業ネットワークの装置を制御する方法であって、
前記公益事業ネットワークの少なくとも1つの装置により実行される動作に対する要求を受信することと、
前記受信された要求が、生成されるコマンドに対する許可を必要とするかを判定することと、
前記受信された要求が許可を必要とする場合に前記要求を許可サーバに転送することと、
前記許可サーバ内において、(i)前記許可が有効である期間、(ii)実行される前記動作及び(iii)前記動作を実行する前記装置を規定する許可を生成することと、
前記許可を含むデータパケットを前記公益事業ネットワークの装置に送信することと、
を備える方法を実行するように構成されていることを特徴とする請求項1に記載のシステム。 - 前記許可は、前記許可が有効になる時を示す開始値と、前記許可が前記開始値から有効なままである時間の長さを示す継続時間値とを含むことを特徴とする請求項5記載のシステム。
- 前記許可は、前記動作を実行する前記装置の表示を含む第1のフィールドと、前記第1のフィールドについての形式を示す第2のフィールドとを含むことを特徴とする請求項5記載のシステム。
- 前記許可は、前記許可サーバと関連付けられた鍵を用いて署名され、前記装置は、前記許可の前記署名を検証することを特徴とする請求項5記載のシステム。
- 前記許可サーバはハードウェアセキュリティモジュール内で実現され、
前記ハードウェアセキュリティモジュールは、
規定された期間に前記ハードウェアセキュリティモジュールにより生成された許可の数をカウントする機能と、
前記規定された期間内に生成された許可のカウント数が閾値限界を超える場合、受信したコマンドに対する更なる許可の前記生成を終了する機能とを実行することを特徴とする請求項8記載のシステム。 - 生成された許可の数の前記カウントは、前記規定された期間のスライディングタイムウィンドウ上で実行されることを特徴とする請求項9記載のシステム。
- 生成された許可の数の前記カウントは、各々がそれぞれ異なる時間の長さ及び閾値限界と関連付けられる複数のスライディングタイムウィンドウに対して実行されることを特徴とする請求項10記載のシステム。
- 前記公益事業ネットワークの装置により実行される動作に対するコマンドを受信し、且つ、(i)許可が有効である期間、(ii)実行される前記動作、及び(iii)前記動作を実行する前記装置、を規定する前記許可を生成するように構成された許可サーバと、
前記許可を含むデータパケットを前記公益事業ネットワークにおける装置に送信するように構成された通信インタフェースと、
を備えることを特徴とする請求項5乃至11の何れか1項に記載のシステム。 - 前記許可サーバが収容される物理的にセキュリティ保護された環境を更に含むことを特徴とする請求項12記載のシステム。
- 公益事業ネットワークであって、
請求項12または13に記載のシステムと、
データパケットを受信する前記公益事業ネットワークに接続された複数の装置であり、前記装置の各々が、
受信したデータパケットにおいて規定された動作が許可を必要とするかを判定し、
許可を必要とする場合に前記許可が現在有効であるかを判定し、且つ
前記許可が現在有効である場合に前記規定された動作を実行するように構成される複数の装置と、
を備えることを特徴とする公益事業ネットワーク。 - 前記許可サーバは、鍵を使用して前記許可に署名するように構成され、前記複数の装置は、前記許可の前記署名を検証するように構成されることを特徴とする請求項14記載の公益事業ネットワーク。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/939,702 US9961550B2 (en) | 2010-11-04 | 2010-11-04 | Physically secured authorization for utility applications |
| US12/939,702 | 2010-11-04 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013537679A Division JP2014501955A (ja) | 2010-11-04 | 2011-10-11 | 公益事業用途向けの物理的にセキュリティ保護された認可 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016194931A JP2016194931A (ja) | 2016-11-17 |
| JP6349347B2 true JP6349347B2 (ja) | 2018-06-27 |
Family
ID=46020394
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013537679A Pending JP2014501955A (ja) | 2010-11-04 | 2011-10-11 | 公益事業用途向けの物理的にセキュリティ保護された認可 |
| JP2016110199A Active JP6349347B2 (ja) | 2010-11-04 | 2016-06-01 | 公益事業用途向けの物理的にセキュリティ保護された認可 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013537679A Pending JP2014501955A (ja) | 2010-11-04 | 2011-10-11 | 公益事業用途向けの物理的にセキュリティ保護された認可 |
Country Status (14)
| Country | Link |
|---|---|
| US (3) | US9961550B2 (ja) |
| EP (3) | EP2635994B1 (ja) |
| JP (2) | JP2014501955A (ja) |
| KR (1) | KR101430376B1 (ja) |
| CN (1) | CN103430183B (ja) |
| AU (1) | AU2011323917B2 (ja) |
| BR (1) | BR112013011804A2 (ja) |
| CA (2) | CA3077012C (ja) |
| DK (2) | DK3684007T3 (ja) |
| ES (2) | ES2911500T3 (ja) |
| MY (1) | MY168385A (ja) |
| SG (1) | SG190152A1 (ja) |
| TW (1) | TWI536285B (ja) |
| WO (1) | WO2012060979A1 (ja) |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8635036B2 (en) * | 2011-01-04 | 2014-01-21 | General Electric Company | Systems, methods, and apparatus for providing energy management utilizing a power meter |
| US8880883B2 (en) * | 2013-03-15 | 2014-11-04 | Silver Spring Networks, Inc. | Secure end-to-end permitting system for device operations |
| US9609020B2 (en) | 2012-01-06 | 2017-03-28 | Optio Labs, Inc. | Systems and methods to enforce security policies on the loading, linking, and execution of native code by mobile applications running inside of virtual machines |
| US9787681B2 (en) | 2012-01-06 | 2017-10-10 | Optio Labs, Inc. | Systems and methods for enforcing access control policies on privileged accesses for mobile devices |
| AU2013207269A1 (en) | 2012-01-06 | 2014-07-24 | Optio Labs, LLC | Systems and methods for enforcing security in mobile computing |
| US9154568B2 (en) | 2012-03-20 | 2015-10-06 | Facebook, Inc. | Proxy bypass login for applications on mobile devices |
| US9672574B2 (en) | 2012-03-20 | 2017-06-06 | Facebook, Inc. | Bypass login for applications on mobile devices |
| US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
| US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
| US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
| US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
| US9363670B2 (en) | 2012-08-27 | 2016-06-07 | Optio Labs, Inc. | Systems and methods for restricting access to network resources via in-location access point protocol |
| US9773107B2 (en) * | 2013-01-07 | 2017-09-26 | Optio Labs, Inc. | Systems and methods for enforcing security in mobile computing |
| US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
| US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
| US9547771B2 (en) * | 2013-02-12 | 2017-01-17 | Amazon Technologies, Inc. | Policy enforcement with associated data |
| US9608813B1 (en) | 2013-06-13 | 2017-03-28 | Amazon Technologies, Inc. | Key rotation techniques |
| US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
| US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
| US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
| US10210341B2 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
| US20140273857A1 (en) | 2013-03-13 | 2014-09-18 | Optio Labs, Inc. | Systems and methods to secure short-range proximity signals |
| DE102013227184A1 (de) * | 2013-12-27 | 2015-07-02 | Robert Bosch Gmbh | Verfahren zur Absicherung eines Systems-on-a-Chip |
| US20150288183A1 (en) | 2014-04-06 | 2015-10-08 | CleanSpark Technologies LLC | Establishing communication and power sharing links between components of a distributed energy system |
| US10015164B2 (en) | 2014-05-07 | 2018-07-03 | Cryptography Research, Inc. | Modules to securely provision an asset to a target device |
| US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
| CN110264182B (zh) * | 2014-06-02 | 2023-08-29 | 施拉奇锁有限责任公司 | 电子凭证管理系统 |
| US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
| CN104181886B (zh) * | 2014-08-13 | 2017-08-08 | 惠州Tcl移动通信有限公司 | 一种智能家居系统及控制方法 |
| US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
| MX364136B (es) * | 2014-12-02 | 2019-04-12 | Carrier Corp | Sistema de control de acceso con servicio de transferencia de acreditación móvil automática. |
| JP6492667B2 (ja) * | 2015-01-07 | 2019-04-03 | 東京電力ホールディングス株式会社 | 機器制御システム |
| US10712126B2 (en) | 2015-08-25 | 2020-07-14 | Axon Enterprise, Inc. | Systems and methods for cooperation among weapons, holsters, and recorders |
| US9608993B1 (en) | 2016-02-01 | 2017-03-28 | International Business Machines Corporation | Credential abuse prevention and efficient revocation with oblivious third party |
| US20180198620A1 (en) * | 2017-01-11 | 2018-07-12 | Raptor Engineering, LLC | Systems and methods for assuring data on leased computing resources |
| US10614804B2 (en) * | 2017-01-24 | 2020-04-07 | Honeywell International Inc. | Voice control of integrated room automation system |
| US10542072B1 (en) * | 2017-10-04 | 2020-01-21 | Parallels International Gmbh | Utilities toolbox for remote session and client architecture |
| DE102018003061A1 (de) * | 2018-02-03 | 2019-08-08 | Diehl Metering Systems Gmbh | Verfahren zum gesicherten Betrieb eines elektronischen Verbrauchsdaten-Moduls und Verbrauchsdaten-Modul |
| GB2575250B (en) * | 2018-06-28 | 2021-04-21 | Arm Ip Ltd | Methods for delivering an authenticatable management activity to remote devices |
| CN108879963B (zh) * | 2018-08-01 | 2023-10-20 | 南方电网科学研究院有限责任公司 | 一种电力负荷管理设备及方法 |
| CN109636116A (zh) * | 2018-11-14 | 2019-04-16 | 遵义华正电缆桥架有限公司 | 一种安全电力施工的设备 |
| CN112308354A (zh) * | 2019-07-31 | 2021-02-02 | 中兴通讯股份有限公司 | 系统过负荷控制方法及装置 |
| EP3852334B1 (en) | 2020-01-20 | 2023-06-07 | Bitfold AG | A system and a method for secure data transfer using air gapping hardware protocol |
| US11429401B2 (en) * | 2020-03-04 | 2022-08-30 | Landis+Gyr Innovations, Inc. | Navigating a user interface of a utility meter with touch-based interactions |
| US20230205935A1 (en) * | 2021-12-28 | 2023-06-29 | Ati Technologies Ulc | Software assisted acceleration in cryptographic queue processing |
| US20230370445A1 (en) * | 2022-05-12 | 2023-11-16 | Itron, Inc. | Secured authorization for demand response |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7761910B2 (en) * | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
| AUPP471098A0 (en) | 1998-07-16 | 1998-08-06 | United Technology Pty Ltd | Internet utility interconnect method and means |
| US6587032B2 (en) * | 2000-11-28 | 2003-07-01 | International Business Machines Corporation | System and method for controlling access to a computer resource |
| WO2002063847A2 (en) * | 2001-02-06 | 2002-08-15 | Certicom Corp. | Mobile certificate distribution in a public key infrastructure |
| US20020162019A1 (en) * | 2001-04-25 | 2002-10-31 | Berry Michael C. | Method and system for managing access to services |
| JP3822475B2 (ja) * | 2001-09-14 | 2006-09-20 | 三菱電機株式会社 | 電力系統管理方法及び電力系統管理システム |
| JP2003111156A (ja) * | 2001-09-27 | 2003-04-11 | Toshiba Corp | デジタル家電機器 |
| US7058807B2 (en) | 2002-04-15 | 2006-06-06 | Intel Corporation | Validation of inclusion of a platform within a data center |
| US7464272B2 (en) | 2003-09-25 | 2008-12-09 | Microsoft Corporation | Server control of peer to peer communications |
| US7711965B2 (en) | 2004-10-20 | 2010-05-04 | Intel Corporation | Data security |
| US20060095454A1 (en) * | 2004-10-29 | 2006-05-04 | Texas Instruments Incorporated | System and method for secure collaborative terminal identity authentication between a wireless communication device and a wireless operator |
| US7231280B2 (en) * | 2004-12-14 | 2007-06-12 | Costa Enterprises, L.L.C. | Dynamic control system for power sub-network |
| CN101467131A (zh) | 2005-07-20 | 2009-06-24 | 美国唯美安视国际有限公司 | 网络用户验证系统和方法 |
| US20080222714A1 (en) | 2007-03-09 | 2008-09-11 | Mark Frederick Wahl | System and method for authentication upon network attachment |
| US7770789B2 (en) | 2007-05-17 | 2010-08-10 | Shift4 Corporation | Secure payment card transactions |
| CN201118607Y (zh) | 2007-11-19 | 2008-09-17 | 上海久隆电力科技有限公司 | 统一身份认证平台系统 |
| US8321915B1 (en) * | 2008-02-29 | 2012-11-27 | Amazon Technologies, Inc. | Control of access to mass storage system |
| US8752770B2 (en) | 2008-08-19 | 2014-06-17 | Mastercard International Incorporated | Methods and systems to remotely issue proximity payment devices |
| US9037844B2 (en) * | 2009-02-27 | 2015-05-19 | Itron, Inc. | System and method for securely communicating with electronic meters |
| US8918842B2 (en) * | 2010-02-19 | 2014-12-23 | Accenture Global Services Limited | Utility grid command filter system |
| US8600575B2 (en) * | 2010-09-24 | 2013-12-03 | Synapsense Corporation | Apparatus and method for collecting and distributing power usage data from rack power distribution units (RPDUs) using a wireless sensor network |
| US8670946B2 (en) * | 2010-09-28 | 2014-03-11 | Landis+Gyr Innovations, Inc. | Utility device management |
-
2010
- 2010-11-04 US US12/939,702 patent/US9961550B2/en active Active
-
2011
- 2011-10-11 ES ES20154890T patent/ES2911500T3/es active Active
- 2011-10-11 WO PCT/US2011/055705 patent/WO2012060979A1/en active Application Filing
- 2011-10-11 EP EP11838427.0A patent/EP2635994B1/en active Active
- 2011-10-11 ES ES20154897T patent/ES2932380T3/es active Active
- 2011-10-11 CA CA3077012A patent/CA3077012C/en active Active
- 2011-10-11 AU AU2011323917A patent/AU2011323917B2/en active Active
- 2011-10-11 JP JP2013537679A patent/JP2014501955A/ja active Pending
- 2011-10-11 CN CN201180059505.XA patent/CN103430183B/zh active Active
- 2011-10-11 BR BR112013011804A patent/BR112013011804A2/pt not_active Application Discontinuation
- 2011-10-11 MY MYPI2013001610A patent/MY168385A/en unknown
- 2011-10-11 KR KR1020137014246A patent/KR101430376B1/ko active IP Right Grant
- 2011-10-11 EP EP20154897.1A patent/EP3684007B1/en active Active
- 2011-10-11 DK DK20154897.1T patent/DK3684007T3/da active
- 2011-10-11 EP EP20154890.6A patent/EP3664367B1/en active Active
- 2011-10-11 SG SG2013034319A patent/SG190152A1/en unknown
- 2011-10-11 DK DK20154890.6T patent/DK3664367T3/da active
- 2011-10-11 CA CA2816989A patent/CA2816989C/en active Active
- 2011-11-02 TW TW100139923A patent/TWI536285B/zh active
-
2016
- 2016-05-02 US US15/144,118 patent/US10455420B2/en active Active
- 2016-06-01 JP JP2016110199A patent/JP6349347B2/ja active Active
-
2018
- 2018-04-10 US US15/949,244 patent/US10609562B2/en active Active
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6349347B2 (ja) | 公益事業用途向けの物理的にセキュリティ保護された認可 | |
| US8918639B2 (en) | Smarter leveraging of the power grid to substantially improve security of distributed systems via a control plane data communication network over the smart power grid | |
| US8971537B2 (en) | Access control protocol for embedded devices | |
| AU2021394573B2 (en) | Remote management of hardware security modules | |
| KR102423178B1 (ko) | 에이전트 기반의 암호모듈 연동 시스템 및 방법 | |
| CN102412962B (zh) | 组安全连接联合密钥cak的分发方法及装置 | |
| CN114666079B (zh) | 一种基于属性证书的工控系统访问控制方法 | |
| KR102160453B1 (ko) | 전력설비 보호 시스템 및 그 방법 | |
| Paranjpe | Security and privacy in demand response systems in smart grid | |
| Edgar et al. | Cryptographic Trust Management System Design Document | |
| Asavachivanthornkul | Best practices and research for handling demand response security issues in the smart grid | |
| Paranjpe et al. | Mithila Paranjpe BE, Gujarat University, 2007 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170911 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171124 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180507 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180604 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6349347 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |