KR101430376B1 - 유틸리티 애플리케이션을 위한 물리적으로 보증된 인가 - Google Patents

유틸리티 애플리케이션을 위한 물리적으로 보증된 인가 Download PDF

Info

Publication number
KR101430376B1
KR101430376B1 KR1020137014246A KR20137014246A KR101430376B1 KR 101430376 B1 KR101430376 B1 KR 101430376B1 KR 1020137014246 A KR1020137014246 A KR 1020137014246A KR 20137014246 A KR20137014246 A KR 20137014246A KR 101430376 B1 KR101430376 B1 KR 101430376B1
Authority
KR
South Korea
Prior art keywords
command
permission
data center
hardware security
security module
Prior art date
Application number
KR1020137014246A
Other languages
English (en)
Other versions
KR20130101107A (ko
Inventor
라즈 바스와니
윌슨 추엔 유 영
크리스티나 세이버트
넬슨 브루스 볼야드
벤자민 엔. 댐
마이클 씨. 스트존스
Original Assignee
실버 스프링 네트웍스, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 실버 스프링 네트웍스, 인코포레이티드 filed Critical 실버 스프링 네트웍스, 인코포레이티드
Publication of KR20130101107A publication Critical patent/KR20130101107A/ko
Application granted granted Critical
Publication of KR101430376B1 publication Critical patent/KR101430376B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/06Electricity, gas or water supply
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

유틸리티 관리 시스템에 대해 전체적인 보안을 제공하기 위해, 시스템의 컴포넌트에 발행된 중요 커맨드 및 제어 메시지들은 안전 당국에 의해 명확히 승인된다. 명확한 승인은 요청된 액션을 인증하고, 메시지에 표시된 특정 액션의 수행을 인가한다. 액세스 제어와 관련된 유틸리티 관리 및 제어 시스템의 중요 컴포넌트는 물리적 벙커에 배치된다. 이러한 접근법을 사용하면, 네트워크 액션을 승인하는데 책임이 있는 이들 서브 시스템을 벙커 내에 두는 것만이 필요하게 된다. 그 밖의 다른 관리 모듈들은 벙커 외부에 존재할 수 있는데, 이로써 이들을 벙커에 있는 컴포넌트 및 벙커에 없는 컴포넌트로 구분할 필요가 없다. 벙커에 없는 서브시스템 각각의 중요 컴포넌트들에 대한 액세스는 벙커에 있는 승인 시스템을 통해 제어된다.

Description

유틸리티 애플리케이션을 위한 물리적으로 보증된 인가{PHYSICALLY SECURED AUTHORIZATION FOR UTILITY APPLICATIONS}
본 발명은 유틸리티 회사들과 관련된 동작들의 관리 및 제어에 관한 것으로서, 더 구체적으로는 이러한 동작들을 관리 및 제어하는 시스템들의 보안에 관한 것이다.
유틸리티 회사들은 복잡하고 밀접하게 상호 연결된 시스템들을 갖는데, 이 시스템들은 유틸리티 회사의 동작들을 관리 및 제어하기 위한 관련 소프트웨어 모듈들의 대다수를 실행시키는 물리적 서버에서 실행된다. 도 1은 전기 전력을 고객들에게 공급하고, 가능하면 가스, 수도 등과 같은 다른 물자들(commodities)을 공급하는 유틸리티 회사를 위한 통상의 관리 및 제어 시스템에서 발견될 수 있는 컴포넌트들의 일부에 대한 일반적인 블록도이다. 시스템의 백오피스(back office)(10)는 유틸리티의 다양한 동작들과 관련된 여러 개별 서브시스템을 포함하는데, 예를 들어 고객 정보 시스템(CIS)(12), 고객 관계 모듈(CRM)(14), 정전 관리 시스템(OMS)(16), GPS 정보 시스템(18), 청구서 발송 시스템(20), 그리드 안정성 모듈(22), 및 사용자 인터페이스(24)를 포함한다. 비록 도 1에 예시되지는 않았지만, 추가적인 기능 모듈들이 백오피스(10)에 있을 수 있다. 이들 서브시스템 중 일부는 공급 중인 물자를 위해 분산 네트워크의 디바이스들과 통신할 수 있는 능력을 가질 수 있고 이들 디바이스와 관련된 동작들을 원격으로 제어할 수 있다. 예를 들어, 백오피스 서버는 고객의 부지에 위치하는 개별 계량기(26)와 통신하여 청구서 발송 목적으로 소비량 데이터를 획득할 수 있으며, 유틸리티 회사에 의해 제공되는 물자들 중 하나 이상의 공급으로부터/으로 고객을 선택적으로 접속 해제하거나 재접속하도록 계량기들에게 커맨드할 수 있다. 백오피스 서버로부터 개별 계량기들로의 그 밖의 커맨드들은 고객들로부터 아웃바운드 에너지 흐름(outbound energy flow)을 받아들이는 커맨드들을 포함할 수 있다.
도 1의 예시에서, 계량기들은 네트워크 내부 및 외부로의 출구를 제공하는 액세스 포인트들(32)을 갖는 로컬 영역 네트워크(30)를 이용하여 백오피스와 통신하는 엔드포인트 노드들을 구성한다. 일 실시예에서, 로컬 영역 네트워크는 무선 메쉬(mesh) 네트워크일 수 있다. 액세스 포인트(32)는 광역 네트워크(34) 또는 전용 통신 링크를 이용하여 백오피스(10)에 있는 서버와 통신한다.
이러한 타입의 시스템에서, 하나의 관심사는 고객이 부지를 비우거나 결재가 이루어지지 않을 때 또는 새로운 고객이 그 부지를 점유할 때 각각 일어날 수 있는 원격 접속 해제 및 재접속의 보안 관리이다. 부지에 원격으로 접속 해제 및/또는 재접속하라는 고의 및/또는 과실로 발행된 커맨드들은 전기 전력 분배 그리드를 불안정하게 할 잠재력을 가질 수 있다. 비인가된 재접속은 또한 분산된 전력의 도난을 초래할 수 있을 것이다. 이러한 가능성을 제한하기 위해, 커맨드 및 제어 동작들이 이러한 동작을 수행하도록 인가받은 개체들에 의해서만 안전한 방식으로 일어나는 것을 보장하기 위해 노력해야 한다. 그러나 통상의 유틸리티의 백오피스는 다양한 상호 연결된 시스템들로 구성되기 때문에, 안전한 액세스의 시행이 어렵게 된다. 유틸리티 내의 여러 상이한 그룹들은 소프트웨어 시스템의 전부 또는 일부에 대한 액세스를 필요로 하며, 이는 개별 서브시스템들에 대한 논리적 및/또는 물리적 액세스를 제한하는 능력을 복잡하게 한다.
이 사안에 대한 하나의 가능한 해결책은 벙커라고도 지칭되는 물리적 안전 환경 내에 특정 시스템들 또는 그 일부를 배치하는 것이다. 벙커의 예시에는 제한된 액세스 공간 또는 보관소, 예를 들어 잠겨진 공간, 및 보호된 시스템 주변에 탬퍼 방지(tamper-proof) 쉘(shell) 또는 인클로저(enclosure)를 포함한다. 벙커는 시스템 또는 시스템의 보호된 부분이 실행되는 하드웨어 디바이스에 대한 물리적 액세스를 엄격하게 제한한다. 또한, 벙커 내의 시스템들은 매우 제한적인 논리 액세스를 내보낸다. 그러나, 이러한 해결 방안은 유틸리티 소프트웨어 시스템을 리팩터링(refactor)하여 어떤 부분들이 벙커 내에 있을 필요가 있고, 어떤 부분들이 벙커 외부에 남길 수 있을지 여부를 판단하여 필요로 하는 사람들에게 더 유연한 액세스를 제공하는 것이 어렵다는 점에서 도전 과제를 여전히 제시한다.
유틸리티 관리 시스템에 대해 전체적인 보안을 제공하기 위해, 시스템의 컴포넌트에 발행된 중요 커맨드 및 제어 메시지들은 안전 당국에 의해 명확히 승인될 것이 요구된다. 명확한 승인은 요청된 액션을 인증하고, 메시지에 표시된 특정 액션의 수행을 인가한다. 액세스 제어와 관련된 유틸리티 관리 및 제어 시스템의 중요 컴포넌트는 물리적 안전 환경에 배치된다. 이러한 접근법을 사용하면, 예를 들어 벙커를 사용하여, 네트워크 액션들의 승인을 담당하는 이들 서브시스템을 물리적으로 안전하게 하는 것만이 필요하게 된다. 다시 말하면, CIS, CRM, OMS, 청구서 발송 등과 같은 관리 모듈의 대부분은 벙커 외부에 남을 수 있으며, 이로써 이들 서브시스템을 벙커에 있는 컴포넌트와 벙커에 없는 컴포넌트로 분류할 필요가 없다. 벙커에 없는 서브시스템 각각의 중요 컴포넌트들에 대한 액세스는 벙커에 있는 승인 시스템을 통해 제어된다.
도 1은 유틸리티 관리 및 제어 시스템의 일반적인 블록도이다.
도 2는 벙커에 있는 컴포넌트들이 있는 유틸리티 백오피스 시스템의 블록도이다.
도 3은 메시지가 계량기로 전송될 때 데이터 흐름을 개략적으로 나타낸 블록도이다.
도 4는 하드웨어 보안 모듈의 구성의 블록도이다.
도 5는 슬라이딩 윈도우를 통해 암호 동작들을 카운트하는 멀티스테이지 버퍼의 블록도이다.
도 6은 커맨드에 대한 허가를 발행하는 시스템 및 절차의 일례를 예시한다.
도 7은 허가 페이로드의 예시 포맷의 블록도이다.
도 8은 다수의 데이터 센터에 구현된 유틸리티 관리 및 제어 시스템의 블록도이다.
본 발명의 기초가 되는 원리들의 이해를 용이하게 하기 위해, 이하 전기 전력 분배 시스템에서의 원격 접속 및 접속 해제 커맨드들의 안전한 제어를 참조하여 설명된다. 그러나, 이러한 예시는 이들 원리의 유일한 실제 적용예가 아니라는 점이 이해될 것이다. 오히려, 적절하지 않거나 잘못 발행된 경우 시스템을 심각하게 붕괴시키거나 손상시킬 잠재력을 가질 수 있는 임의의 타입의 중요 커맨드과 함께 채택될 수 있다. 마찬가지로, 이들은 언제나 적절한 동작이 필수적인 시스템의 중요 컴포넌트에 전송된 모든 커맨드 및 제어 메시지들과 함께 사용될 수 있다.
도 2는 본 발명의 개념이 구현된 데이터 센터(40)의 일례를 예시한다. 종래와 같이, 데이터 센터는 다양한 애플리케이션들(12, 14, 16)이 실행되는 다수의 물리적 서버들을 포함한다. 단지 일부 대표적인 애플리케이션들만이 도면에 예시되어 있지만, 더 많은 애플리케이션이 데이터 센터 내에 구현될 수 있음을 이해할 것이다. 반대로, 애플리케이션들 중 2 이상의 임의의 애플리케이션에 의해 수행되는 기능들은 단일 종합 프로그램으로 통합될 수 있다.
또한, 강화 벽(reinforced wall)을 갖는 잠긴 공간과 같이 제한된 물리적 액세스를 갖는 물리적 벙커(42)가 데이터 센터 내에 위치한다. 다른 예시로서, 벙커는 잠기는 것에 추가하여 또는 그 대신에, 보안 카메라, 모션 검출기 등을 사용하여 가까이에서 관측 또는 보호되는 영역일 수 있다. 또 다른 예시로서, 벙커는 물리적으로 분산되어 있을 수 있는데, 분산된 부분들 사이에 보안 관계가 구축되어 있다. 또 다른 예시로서, 벙커는 예를 들어 자기-파괴적 패키징(self-destructive packaging)과 같이 물리적 탬퍼링(physical tampering)으로부터 그 기능이 안전하게 되는 소프트웨어 및/또는 펌웨어를 안전하게 실행함으로써 논리적으로 안전하게 될 수 있다. 벙커는 공간이 아니라 예를 들어 물리적 안전 박스일 수 있다.
인가, 인증, 및 계정과 같은 보안 관련 동작들을 수행하는 소프트웨어 모듈들을 갖는 인가 엔진(46)의 구현을 위해, 관련 하드웨어 보안 모듈(44)을 갖는 하나 이상의 추가 서버 디바이스가 벙커 내에 위치한다. 하드웨어 보안 모듈은 개인 키 및 그 밖의 다른 비밀 키를 안전한 방식으로 포함한다. 또한, 개인 키들과 링크된 공인 인증서를 포함할 수 있다. 하드웨어 보안 모듈은 바람직하게 타원 곡선 암호 방식 또는 그 밖의 다른 높은 안전 암호 방식과 같은 강인한 보안 알고리즘을 사용하여 암호 동작들을 수행한다. 여기에 설명된 적용예에 적합한 하드웨어 보안 모듈들의 일례는 "Utimaco Safeware AG사"로부터의 하드웨어 보안 모듈들의 "SafeGuard CryptoServer" 라인이다.
벙커 및 그 내부에 위치한 서버 디바이스들에 대한 안전한 액세스는 바이오센서 기술, 예를 들어, 지문 검출, 물리적 키 또는 토큰, 및/또는 패스워드 보호를 이용하여 시행될 수 있다. 일 구현예에서, 계층적 보안 시스템이 보호를 최대화하기 위해 채택될 수 있다. 하나의 계층의 보안이 실패하면, 예를 들어, 패스워드들이 사고로 유출되거나 절취되면, 키 또는 토큰 작동 데드볼트 록(key or token actuated deadbolt lock)과 같은 고급 보안 메커니즘이 활성화되어 전체 시스템의 물리적 보안을 유지할 수 있다.
벙커에 없는 백오피스 애플리케이션들(12 내지 16)로부터의 특정 타입의 커맨드들은 제한되며, 이로써 그들은 개별적으로 인증되지 않으면 실행되지 않을 것이다. 예를 들어, 원격 접속 해제 및 재접속 커맨드들이 이들 제한된 커맨드들의 하나의 카테고리인데, 이는 전력 분산 그리드의 안정성의 심각한 붕괴를 제공할 잠재력으로 인한 것이다. 이들 타입의 동작들에 관한 보안을 시행을 위해, 이들 동작이 벙커(42) 내의 콘솔로부터 기인한 것이면 이들을 수행하는 애플리케이션들은 그렇게 하라는 커맨드들을 받아들일 수 있거나, 그렇지 않으면 벙커(42) 내에서부터 발행된 허가에 의해 인증된다. 이에 따라, 이들 커맨드를 발행한 권한을 갖고 벙커로의 액세스를 위한 필수 수단, 예를 들어 패스워드, 키, 지문 등을 소유하는 개인만이 제한된 커맨드들을 애플리케이션에 발행할 수 있다.
커맨드가 생성되게 하는 동작이 개시되는 경우, 그것은 서명되거나, 그렇지 않으면 인가 엔진(46)에 의해 인증될 수 있으며, 그 후 벙커(42) 외부의 적절한 애플리케이션과 관련된 애플리케이션 프로그래밍 인터페이스(API)에 전달될 수 있다. 예를 들어, 커맨드가 하드웨어 보안 모듈(44) 내에 저장된 개인 키에 의해 서명될 수 있다. 외부 애플리케이션, 예를 들어 애플리케이션들(12 내지 16) 중 하나 또는 계량기들(26) 중 하나에서 실행되는 애플리케이션에서의 서명된 커맨드의 수신 시에, 이것은 애플리케이션이 액세스하는 공개 키를 이용하여 검증된다. 벙커 내부로부터 발생하였다고 검증되면, 커맨드는 외부 애플리케이션에 의해 실행된다.
일부 상황에서, 원격 접속 해제 커맨드들을 발행하는 개체가 벙커 내에 물리적으로 존재하는 것은 실제적이지 않을 수 있다. 그러나, 이러한 커맨드들의 원격 생성이 지원되면, 이러한 커맨드들은 인가받은 개체들을 사칭하는 사용자에 의해 악의적으로 발행될 수 있을 것이다. 이러한 발생 가능성을 제한하기 위해, 본 발명에 따르면, 정책 모듈(48)이 벙커 내에 구현된다. 정책 모듈은 도 2에 도시된 바와 같이, 별도의 소프트웨어 또는 펌웨어 컴포넌트이거나, 후술된 바와 같이 하드웨어 보안 모듈로 논리적으로 통합될 수 있다. 정책 모듈(48)은 예를 들어, 벙커 내부로부터 입력된 커맨드들에 의해 안전한 방식으로 재구성 또는 재프로그래밍될 수 있다. 이 모듈은 요청된 액션을 검사하는 비즈니스 로직을 포함하고, 실행되는 것이 허용될 것인지 여부를 판단한다. 예를 들어, 전력 분산 그리드의 안정성을 붕괴시킬 수 있는 재접속 커맨드가 순차적으로 또는 상대적인 시간을 가지고 발행되면, 이들 커맨드는 정책에 의해 차단되어 서명을 위해 인가 엔진으로 넘겨지지 않을 수 있다. 또한, 특정 조건들이 검출되는 경우, 정책 플래그들이 올려져서 커맨드들을 발행하는 개체를 접속 해제하는 것과 같은 적절한 액션들이 취해질 수 있다. 예를 들어 다음과 같은 조건을 포함할 수 있다.
1. 더 많은 원격 접속 해제 커맨드들이 한번에, 예를 들어, 미리 정해진 시간 간격 내에 발행되는데, 이는 전력 분산 그리드로부터 사용자들을 악의적으로 접속 해제하려는 가능한 의도를 표시한다.
2. 동일한 고객과 관련하여 반복적인 접속 및 접속 해제 커맨드들 또는 고객의 현재 상태와 부합하지 않는 커맨드들(예를 들어, 전력 그리드에 아직 접속되지 않은 사용자에 대해 접속 해제 커맨드를 발행하는 것)의 시퀀스와 같은 의심스러운 순서로 커맨드들이 발행된다.
3. 요청측 애플리케이션이 필수 크리덴셜(credential)들을 제공하지 못하거나 인증받지 못한다.
4. 요청측 애플리케이션이 특정 동작들을 발행하기 위한 허가를 갖는 승인된 애플리케이션 세트 중에 있지 않다.
5. 실제 전력 부하 및 예상된 전력 요건에 기반한 분산 네트워크의 상태.
이러한 기능성을 구현하기 위해, 벙커는 벙커의 외부에 있는 애플리케이션들의 애플리케이션 프로그래밍 인터페이스(API)를 위한 프록시(50)를 포함할 수 있다. 동작 중에, 이들 "외부" 애플리케이션들 중 하나를 위한 API에 대한 호출이 이루어진 경우, 이 호출은 벙커 내의 프록시(50)로 향한다. 프록시는 요청을 인가하는데 필요할 수 있는 정책 모듈(48) 내의 유틸리티 비즈니스 로직을 참고하며, 적절한 비즈니스 로직에 의해 서명된 요청을 갖는다. 그 후, 이 요청은 서명을 위해 인가 엔진(46)으로 넘겨진다. 일단 인가되면, 프록시는 벙커 외부에 있는 호출된 애플리케이션을 위한 노멀(normal) API를 인보크하고, 인가된 호출에 따라 넘긴다.
대체적인 구현예에서, 벙커(42)는 프록시를 포함하지 않을 수 있다. 이 경우, 외부 애플리케이션의 API에 직접 요청이 이루어질 수 있다. 차례로, 외부 애플리케이션은 요청된 동작이 서명을 요구한다고 판단하면 벙커 내의 인가 엔진을 호출한다. 디폴트로서, 모든 요청들은 인가를 위해 벙커로 넘겨질 수 있으며, 이로써 외부 애플리케이션에 의한 임의의 판단에 대한 필요성을 방지할 수 있다. 벙커에 제출된 요청들은 먼저 정책 모듈에 의해 체크 및 서명된 후, 인가 엔진(46)으로 넘겨진다. 일단 요청이 인가되면, 호출된 애플리케이션은 요청 시에 작동한다.
벙커(42)에 포함된 하드웨어 보안 모듈(44)은 2개의 레벨로 동작할 수 있다. 이하, 예시들이 계량기들(26)에서 수행되는 동작들과 함께 설명된다. 제1 동작 레벨에서, 유틸리티 회사는 백오피스(10)에서의 애플리케이션과 계량기(26) 또는 네트워크(30)의 임의의 다른 컴포넌트 사이의 모든 통신이 암호화 및 서명되어야 하는 정책을 도입할 수 있을 것이다. 이러한 정책의 구현은 도 3의 예시에서 설명된다. 이러한 예시에서, 계량기 관리 애플리케이션(52)은 계량기들(26) 중 하나 이상에 전송할 메시지, 예를 들어 커맨드를 갖는다. 이 메시지는 애플리케이션의 계량기 커맨드 및 인터페이스 모듈(54)에서 구성되어, 적절한 메시지 암호화 및 서명을 수행하라는 요청과 함께, 벙커(42) 내의 하드웨어 보안 모듈(44)에 전달된다. 정책 모듈(48)은 먼저 그 요청이 인가된 소스로부터 발생하였다고 확인하기 위해 체크할 수 있다. 그러하다면, 하드웨어 보안 모듈로 넘겨진다. 하드웨어 보안 모듈(44)은 애플리케이션과 관련된 적절한 키들을 사용하여 메시지에 대해 요청된 동작을 수행하고, 암호화 및 서명된 데이터를 반환한다. 그 후, 계량기 관리 애플리케이션의 커맨드 및 인터페이스 모듈(54)은 암호화 및 서명된 메시지를 통합한 데이터 패킷을 생성하고, 이를 네트워크(30)를 통해 계량기로 송신한다.
애플리케이션(52)에 의해 네트워크(30)의 노드들로부터 수신된 메시지들의 경우, 이들은 하드웨어 보안 모듈로 먼저 전달되어 암호 해독된다. 모듈(48)은 수신된 메시지의 전송자의 진위성(authenticity) 및 데이터의 무결성(integrity)에 대한 임의의 적절한 검증을 수행할 수도 있다. 이후, 검증되고 암호 해독된 메시지는 애플리케이션(52)에 반환된다.
원격 접속 및 접속 해제와 같은 중요 동작의 경우, 하드웨어 보안 모듈은 제2 레벨로 동작하여 이러한 동작에 대한 레이트 리미트를 시행할 수 있다. 도 4는 하드웨어 보안 모듈의 내부 구성의 일례를 도시한다. 모듈은 여러 슬롯으로 구성된다. 각각의 슬롯은 개인 키, 인증서, 비밀 키, 및 액세스 권한의 집합을 포함하여, 서명, 암호화, 암호 해독 등과 같은 암호 서비스를 수행한다. 상이한 슬롯들은 상이한 보안 정황과 관련되어 있으며, 키, 인증서, 및 이들 각각의 정황에 관한 그 밖의 정보를 포함한다. 개인 키를 이용하여 서명하는 것과 같이 하드웨어 보안 모듈을 이용하여 커맨드에 대해 암호 서비스를 수행하는 것은 커맨드의 수령인, 예를 들어 노드(26)로 하여금 관련된 공개 키를 사용하여 커맨드의 소스를 인증하게 할 수 있다. 정책 모듈(48)은 요청된 커맨드가 하나 이상의 암호 서비스를 위해 하드웨어 보안 모듈에 제시되게 하는지 여부에 대한 초기 판단을 수행한다.
각각의 슬롯은 예를 들어, 커맨드 라인 관리 도구를 이용하여 하나 이상의 레이트 리미트로 선택적으로 구성되어 원하는 비즈니스 로직을 시행할 수 있다. 슬롯을 구성하는 커맨드의 일례는 다음과 같다.
HSM_configure slot=2 rate-name="rate1" window=24h count=10000
이러한 커맨드는 24시간 슬라이딩 윈도우당 10,000개의 암호 동작인 최대 레이트 리미트로 슬롯 2를 구성한다. 이렇게 할당된 개수보다 많은 암호 동작들이 전술한 24시간 내에 일어나면, 슬롯은 모든 추가의 암호 동작들을 중단시킨다. 이후, 관리자는 리셋 커맨드를 전송함으로써 슬롯을 리셋할 필요가 있을 것이다.
하나의 슬롯은 다음과 같이 하나보다 많은 레이트로 구성될 수 있다.
HSM_configure slot=2 rate-name="rate1" window=24h count=40000
HSM_configure slot=2 rate-name="rate2" window=60m count=2000
이들 2개의 커맨드는 슬롯 2를 2개의 레이트 리미트 윈도우로 구성하는데, 하나는 24시간 슬라이딩 윈도우를 통한 40,000개의 암호 동작들에 관한 것이고, 다른 하나는 60분 슬라이딩 윈도우를 통한 2,000개의 암호 동작들에 관한 것이다.
슬롯이 레이트 리미트로 구성되면, 슬롯에서 실행되는 모든 암호 동작들은 슬라이딩 윈도우를 통해 할당된 리미트에 불리하게 작용한다. 전술한 예시에서, 과거 24시간 내에 40,000개 초과의 암호 동작이 존재하거나, 최근 60분 동안 2,000개 초과의 암호 동작들이 존재하면, 슬롯은 임의의 추가의 암호 동작들을 중단시킨다.
일 실시예에서, 임계치 위반에 대한 정산은 5분마다 수행될 수 있다. 도 5는 25분 슬라이딩 윈도우에서의 800개의 암호 동작들의 제한으로 슬롯이 구성된 일례를 예시한다. 슬라이딩 윈도우는 멀티스테이지 버퍼(56)로서 구현될 수 있다. 예시된 버퍼는 5개의 스테이지(58)를 포함하며, 이들 각각은 5분의 시간 간격을 나타낸다. 각각의 스테이지는 대응하는 시간 간격 동안 슬롯에 의해 수행되는 암호 동작들의 개수의 카운트를 포함한다. 다음의 표는 주어진 시점에 버퍼에 포함된 데이터의 스냅샷을 제공한다.
스테이지 시간 프레임 카운트
1 -25분 내지 -20분 15
2 -20분 내지 -15분 0
3 -15분 내지 -10분 7
4 -10분 내지 -5분 1
5 -5분 내지 0분 6
카운트 전부의 합(이 경우 15+0+7+1+6 = 29)이 임계치를 넘으면, 슬롯은 관리상 리셋될 때까지 추가적인 모든 암호 동작들을 중단시킨다. 동작들이 중단되기 전에 관리 직원에게 통지하도록 경고 메커니즘이 구현될 수 있다. 예를 들어, 전체 카운트가 레이트 리미트의 80%를 초과하면 제1 경고가 생성되고, 리미트의 90%를 초과하면 제2 경고가 생성될 수도 있을 것이다.
가장 최근의 간격에 관한 스테이지, 이 경우 스테이지 5에는 각각의 새로운 암호 동작의 러닝 카운트(running count)를 유지한다. 각 5분 간격의 끝에, 저장된 카운트들은 다음으로 오래된 스테이지로 시프트된다. 가장 최근 스테이지는 0으로 리셋되어 다음 5분 간격 동안 암호 동작들을 새로 카운트하기 시작한다.
각각의 슬롯이 자신의 레이트 리미트로 선택적으로 구성될 수 있기 때문에 비즈니스 로직의 구현에 유연성이 제공된다. 예를 들어, 후술되는 바와 같이, 특정 중요 커맨드들은 실행도리 수 있기 전에 명확한 타입의 인증(이하 "허가(permit)"라고 지칭됨)을 요구할 수 있다. 이들 커맨드는 허가 절차를 수행하는 슬롯과 관련된 보안 정황으로 매핑되고 특별히 엄격한 레이트 리미트를 가질 수도 있을 것이다. 그 밖의 타입의 커맨드는 상이한 보안 정황으로 매핑되어 덜 엄격한 레이트 리미트를 갖는 상이한 슬롯을 통해 암호화 및/또는 서명될 수도 있을 것이다.
원격 접속 해제 및 재접속 커맨드와 같은 중요 커맨드들의 경우, 각각이 수신 노드에서 인증되어야 하는 다수 당사자에 의한 승인과 같은 더 높은 레벨의 보안이 적절할 수 있다. 그러나, 네트워크 효율의 관점으로부터, 커맨드가 향하는 노드가 한번만 컨택되어 커맨드를 실행할 필요가 있으면 바람직할 수 있다. 본 발명의 일 측면에서, 이들 목적은 노드가 커맨드를 인증할 수 있게 하는 모든 요구 정보를 제공하는 허가 시스템을 이용하여 달성될 수 있다. 필수적으로, 계량기로의 접속 해제 커맨드과 같은 애플리케이션에 전송되는 모든 중요 커맨드에는 허가가 수반되어야 할 수 있다. 전술한 바와 같이, 상이한 타입의 커맨드들은 상이한 보안 정황에 매핑될 수 있다. 커맨드가 발행될 예정이면, 애플리케이션에 의해 자동으로 또는 사용자 인터페이스를 통해, 발행 애플리케이션은 커맨드의 보안 정황을 체크한다. 암호화가 요구되면, 이러한 동작을 위한 하드웨어 보안 모듈의 적절한 슬롯으로 커맨드가 전달된다. 보안 정황이 허가를 요구한다고 판단되면, 커맨드는 허가들을 발행하는 벙커 내의 허가 서버로 전달된다. 일 실시예에서, 허가 서버의 기능은 하드웨어 보안 모듈 내의 슬롯에 의해 구현될 수 있다.
허가를 발행하는 배열 및 절차의 일례가 도 6에 예시되며, 전력 분산 그리드로부터 부지를 접속 해제하는 커맨드를 참조한다. 이 예시에서, 백오피스(10)에 있는 비즈니스 모듈들 중 하나, 예를 들어 정산 시스템은 계량기 관리 애플리케이션(52)에게 커맨드를 발행하여 정산과 관련된 부지를 접속 해제한다. 이러한 커맨드의 수신 시에, 계량기 관리 애플리케이션은 특정 시간 동안 접속 해제 동작을 스케줄링한 후, 안전 링크를 통해 부하 관리자 모듈(59)에 메시지를 전송함으로써, 커맨드를 발행하기 위한 허가를 요청한다. 부하 관리자는 벙커(42) 내에 위치한 비즈니스 로직의 컴포넌트이고, 분산 그리드에 대한 부하 변화들이 불리한지 여부를 판단한다. 이 예시에서, 부하 관리자는 허가 서버의 일 구현예로서 기능한다. 부하 관리자는 요청된 변경이 불리할 수 있다고 판단하면 요청을 거절하거나, 예를 들어, 너무 많은 요청이 현재 미해결 중이면 일정 기간 동안 요청을 지연시키거나, 요청을 승인할 수 있다. 부하 관리자에 대한 요청은 커맨드의 실행을 완료시키는데 필요한 시간 윈도우의 사이즈, 스케줄링된 동작 시간, 및 타깃 노드와 같은 정보를 포함할 수 있다.
요청이 승인되면, 부하 관리자는 커맨드가 지향되는 노드에 의해 인식될 수 있는 허가를 생성한다. 허가가 계량기 관리 애플리케이션(52)으로 반환되기 전에, 그것은 부하 관리자와 관련된 키로 서명된다. 예시된 실시예에서, 허가 서버, 즉 부하 관리자(59)는 하드웨어 보안 모듈(44)로부터 분리된다. 이 경우, 이에 따라, 허가가 하드웨어 보안 모듈로 전송되어 부하 관리자의 개인 키를 사용하여 서명된다. 서명된 허가가 부하 관리자로 반환되어 계량기 관리 애플리케이션(52)으로 전달된다.
서명된 허가의 수신 시에, 계량기 관리 애플리케이션은 접속 해제된 부지와 관련된 노드(26)에 인가된 커맨드를 서명된 허가와 함께 전송한다. 이후, 예를 들어, 허가로부터 부하 관리자의 크리덴셜을 통해, 전력 분산 그리드를 위한 시스템 운영자와 관련된 최상위 기관(root authority)으로 일련의 인증서들을 따름으로써 노드는 허가를 검증할 수 있다. 노드는 또한 허가 내의 시간 값들이 현재 시각과 일치하는지를 검증한다. 모든 정보가 정확하고 검증되어 있으면, 노드는 커맨드를 실행하고, 커맨드의 완료를 나타내는 서명된 영수증을 계량기 관리 애플리케이션(52)으로 전송한다. 영수증 사본이 부하 관리자(59)로 전송됨으로써 미결 중인 요청들의 추적을 유지하게 할 수 있다.
계량기 관리 애플리케이션(52)은 노드로 전송된 패킷의 페이로드를 서명하여 상이한 제어 개체들, 즉 계량기 관리 애플리케이션과 부하 관리자에 의해 발행된 커맨드에 대한 2개의 별도의 인가를 제공할 수 있다. 인가 형태 모두는 커맨드를 실행하기 전에 노드에 의해 검증되어야 한다. 이 예시에서, 허가 서버, 예를 들어 부하 관리자는 노드(26)와 직접 통신하는데 필요한 크리덴셜들을 소유하지 않는다. 오히려, 계량기 관리 애플리케이션(52)의 경우, 인가된 커맨드의 실행을 위해 다른 제어 개체에게 크리덴셜들을 제공한다.
커맨드를 승인할지 여부를 판단하기 위한 비즈니스 로직은 상대적으로 간단할 수 있으며, 예를 들어, 미리 정해진 개수의 접속 해제 동작들의 초기 버스트(initial burst)가 허가되는 리키 버킷 알고리즘(leaky bucket algorithm)은 시간 단위 당 더 적은 개수의 동작들이 뒤따른다. 이 경우, 전술된 레이트 제어를 사용하여 부하 관리자의 기능이 하드웨어 보안 모듈의 슬롯 내에 구현될 수 있다. 예를 들어, 실제 전력 부하 추적 및 전력 요건들의 프로젝션(projection)에 기반한 판단과 같은 또 다른 더 복잡한 알고리즘이 전력 분산 네트워크의 상태에 기반할 수 있다. 도 6에 도시된 바와 같이, 후자의 실시예는 하드웨어 보안 모듈의 외부, 예를 들어, 전용 물리 시스템, 가상화된 서버, 또는 공유 시스템의 애플리케이션 내에서 수행될 수 있다.
원격 접속 해제 및 재접속뿐 아니라, 지정된 시간 기간 동안의 소비를 감소시키기 위해 고객의 부지로 지향되는 부하 제한 커맨드과 같이 다른 타입의 커맨드들이 허가를 갖도록 요구받을 수 있다. 또한, 분산 자동화 컴포넌트와 같이 시스템 내의 특정 타입의 디바이스의 안전한 동작이 시스템 안정성에 중요하면, 디바이스에 발행된 모든 커맨드들이 허가를 갖도록 요구될 수 있다. 백오피스 모듈이 이러한 디바이스에 커맨드를 발행할 때마다, 이 커맨드를 허가 서버로 전달하여 필요한 허가를 획득한다.
메시지의 페이로드 내에 포함된 허가에 대한 예시적인 포맷이 도 7에 표시된다. 허가 페이로드의 제1 필드(60)는 인셉션 시각, 즉 허가가 유효하게 되는 시간을 나타낸다. 허가 페이로드를 포함하는 메시지가 노드에서 수신되면, 노드는 인셉션 시각을 현재 시각과 비교한다. 인셉션 시각이 현재 시각에 미리 정해진 증분, 예를 들어 5분이 추가된 것보다 늦으면, 노드는 허가를 무효로서 거절한다.
허가 페이로드의 제2 필드(62)는 허가가 유효하게 유지되는 지속시간 윈도우를 나타낸다. 이러한 필드는 허가가 유효인 인셉션 시각을 지나 미리 정해진 시간 간격, 예를 들어 5분 블록들의 개수를 나타내는 값을 포함한다. 노드의 현재 시각이 허가 인셉션 시각에 미리 정해진 간격과 윈도우 값의 곱이 추가된 것보다 크면, 허가는 무효로서 거절된다. 예를 들어, 인셉션 시각이 1:00:00이고, 윈도우 값이 2이고, 현재 시각이 1:12:38이면, 허가는 기간 만료로서 거절될 것이다.
허가 페이로드의 다음 필드(64)는 허가받아 수행될 동작을 표시한다. 예를 들어, 이러한 필드는 전력 접속 해제 동작 또는 전력 재접속 동작을 표시하는 값을 포함할 수 있다. 다수의 동작들이 단 하나의 허가와 관련되어 있을 수 있다. 타깃 타입 필드(66)는 뒤따라 오는 타깃 필드(68)의 포맷을 표시한다. 타깃 필드(68)는 허가받은 동작을 수행하는 노드 또는 디바이스를 지정한다. 예를 들어, 타깃은 노드의 MAC 어드레스일 수 있다. 타깃 타입 필드(66)는 이러한 어드레스가 표현된 포맷, 예를 들어 DER 옥텟 스트링(octet string)을 표시한다.
보안을 더 증가시키기 위해, 접속 해제 또는 재접속 커맨드가 한번에 하나의 계량기를 위해서만 발행될 수 있다는 제약이 부과될 수도 있다. 허가를 발행하기 전에, 부하 관리자는 디바이스를 위한 타깃 어드레스가 단 하나의 디바이스와 관련되어 있으며 그룹 또는 브로드캐스트 주소가 아니라고 보장하기 위해 체크할 수 있다.
허가 페이로드는 표시된 동작을 위한 권한을 갖는 인증서와 관련된 개인 키에 의해 서명될 수 있다. 허가 페이로드를 포함하는 데이터 패킷의 수신 시에, 노드는 우선, 표시된 동작이 허가를 요구하는지 여부를 체크한다. 허가가 요구되면, 노드는 허가를 서명하는데 사용된 개인 키 및 인증서가 요청된 동작을 실행하는데 필요한 권한을 갖는지를 확인한다. 확인이 긍정적이면, 노드는 서명된 허가의 진정성을 검증하는데, 이러한 허가는 표시된 인증서의 대응 개인 키에 의해 서명된 것이다. 그 후, 노드는 타깃 목적지가 노드 자체를 식별한다고 검증한다. 마지막으로, 노드는 현재 시각과 관련하여 인셉션 시간 및 윈도우 값들을 검사하여 허가가 만료되지 않았다고 확인한다.
검증 체크 모두가 성공적이면, 동작이 실행되며, 성공적인 실행을 확인하기 위해 응답이 반환된다. 검증 단계 중 임의의 하나가 실패하면, 허가는 거절되고, 에러 메시지가 반환된다. 데이터 패킷에 있는 동작 전부가 완료되거나 에러 메시지가 반환되자마자, 허가가 폐기되어 더 유지되지 않는다.
벙커에 대한 액세스가 위태로운 이벤트에서, 적절한 형태의 치료 액션이 구현될 수 있다. 이러한 하나의 해결 방안은 벙커와 관련된 논리 또는 물리적 비상 버튼(panic button)을 제공하는 것이다. 이러한 비상 버튼은 (예를 들어, 물리적 버튼을 누르거나 사용자 인터페이스 요소를 활성화하는 사람에 의하거나 적정한 판단을 자동으로 수행하는 로직에 의해) 활성화되어 비상 버튼과 관련된 벙커가 위태롭다고 관리 시스템에 통지할 수 있으며, 이 경우 더 이상 신뢰 되지 않아야 한다. 예를 들어, 위태로워진 벙커에 의해 서명되는 원격 접속 해제 서비스를 위한 임의의 요청들은 무시되어야 한다.
비상 버튼이 다양한 방식으로 구현될 수 있다. 적절한 예시들은 유무선 통신 시스템, 로컬 영역 또는 광역 네트워크에 연결된 적절한 위치, 예를 들어 고용인 책상 위에 있는 물리적 푸쉬 버튼, 및/또는 오디오 커맨드 능력 및 무선 연결성을 구비한 착탈형 디바이스를 통해 전송되는 제어 신호들을 포함한다.
도 8은 비상 버튼의 기능성이 구현될 수 있는 시스템의 일례를 예시한다. 이 예시에서, 유틸리티 관리 및 제어 시스템은 2개의 데이터 센터(70 및 72) 내에 하우징된다. 예를 들어, 각각의 데이터 센터는 리던던시를 위해 다양한 관리 및 제어 서브시스템들의 완전한 예시를 포함할 수도 있을 것이다. 각각의 데이터 센터는 "벙커 1" 및 "벙커 2"로 각각 라벨을 붙인 관련 벙커를 포함한다. 각각의 벙커는 루트가 알려진 당국에 있는 인증서 체인(certificate chain)을 갖는 인증서를 갖는다. 2개의 벙커를 위한 인증서들은 서로 상이하다.
제어 네트워크 내의 노드, 예를 들어 액세스 포인트들(32) 및 엔드포인트 노드들(26) 각각은 인증 폐지 목록을 저장 및 설치하는 능력을 갖는다. 액세스 포인트들(32)은 또한 소스 어드레스들을 필터링하는 능력을 갖는다.
벙커 1에 대한 액세스가 위태로운 상황을 위한 예시적인 동작이 설명될 것이다. 벙커 1과 관련된 비상 버튼이 활성화되고, 이로 인한 비상 신호가 비상 버튼 기능을 구현한 벙커 2 내의 서버로 전송된다. 비상 신호는 전송된 디바이스의 인증의 적절한 표시를 포함한다. 예를 들어, 디바이스와 관련된 서명을 포함하거나 미리 정해진 알고리즘에 따라 생성된 해시 값에 의해 수반될 수도 있을 것이다. 인증된 긴급 신호의 수신 시에, 벙커 2 내의 서버는 액세스 포인트(32) 전부의 방화벽 역할을 구성하라는 커맨드들을 발행하며, 액세스 포인트 전부로 하여금 데이터 센터(70)로부터 기원한 패킷들을 드롭하도록 지시한다. 벙커 2 내의 서버는 또한 액세스 포인트 전부에 대한 인증서 폐지 목록을 구성하라는 커맨드들을 발행하는데, 이는 벙커 1과 관련된 인증서가 더 이상 유효하지 않음을 표시한다. 벙커 2 내의 서버는 또한 액세스 포인트로부터 인증서 폐지 목록을 리로딩하도록 지시하는 메시지를 모든 엔드포인트 노드에 전송한다.
액세스 포인트에 대한 방화벽 필터를 구성하여 데이터 센터(70)로부터 패킷들을 드롭시킴으로써, 인증서 폐지 목록들이 엔드포인트 노드 전부에 전파되게 하는데 충분한 시간만큼 장래의 공격자가 느려질 수 있다. 잠재적 위반이 일어난 후 벙커 1을 회복시키기 위해, 새로운 인증서가 설치되어야 하며, 인증서와의 새로운 관계가 제어 네트워크 내의 노드 전부에 수립되어 전파된다,
요약하면, 개시된 발명은 다양한 보안 특징들을 제공하여, 유틸리티에 의해 제공되는 물자의 전달과 관련된 악의적이거나 부적절한 액션들의 위험성을 감소시킨다. 유틸리티 분산 네트워크의 안정성을 붕괴시킬 잠재력을 갖는 중요 커맨드들은 이러한 커맨드들을 인증, 서명, 및 암호화하기 위한 하드웨어 보안 모듈의 사용과 함께 백오피스 관리 시스템의 민감한 컴포넌트들에 대한 액세스를 제한하는 물리적 벙커의 메커니즘을 통해 안전하게 된다. 허가 기반 인가 프레임워크는 특히 중요 커맨드들에 미세 입자 레벨(finer-grained level)의 보안을 제공한다. 하드웨어 보안 모듈은 또한 커맨드들이 실행되는 레이트를 제한하여 부적절한 커맨드 시퀀스를 발행하려는 시도를 더 방해하도록 구성될 수도 있다.
개시된 개념들이 본 발명의 사상 또는 본질 특징들로부터 벗어나지 않고 그 밖의 다른 특정 형태로 구체화될 수 있다는 점이 당업자에 의해 이해될 것이다. 여기에 개시된 실시예들은 모든 측면에서 제한적이 아니라 예시적인 것으로 간주된다. 본 발명의 범위는 전술한 상세한 설명이 아니라 첨부된 청구항에 의해 나타내지며, 본 발명의 균등물의 의미 및 범위 내에 있는 모든 변형예들을 포함하고자 한다.

Claims (45)

  1. 유틸리티 애플리케이션을 위한 데이터 센터로서,
    제한된 물리적 액세스를 갖는 물리적 영역;
    상기 물리적 영역 외부에 배치되어 유틸리티의 동작들과 관련된 하나 이상의 애플리케이션 프로그램들을 실행하도록 구성된 적어도 하나의 서버 - 상기 애플리케이션 프로그램들 중 적어도 일부는 상기 데이터 센터 외부의 위치들로부터 원격 요청들을 수신하여 상기 유틸리티의 동작들에 관한 기능들을 수행하기 위한 인터페이스를 가짐 -;
    상기 물리적 영역 내에 위치하여 비밀 키를 저장하는 하드웨어 보안 모듈;
    상기 물리적 영역 내에 위치하여 상기 애플리케이션 프로그램들로 지향된 원격 요청들을 수신하고 상기 비밀 키에 따라 서명된 인가된 요청들을 제공하도록 구성된 인가 엔진; 및
    상기 물리적 영역 내에 위치하여 상기 애플리케이션 프로그램들과 관련된 비즈니스 로직에 따라 상기 원격 요청들을 프로세싱하고, 상기 요청들이 상기 인가 엔진에 의해 선택적으로 인가될 수 있도록 구성된 정책 모듈
    을 포함하는, 데이터 센터.
  2. 제1항에 있어서, 상기 인터페이스를 위한 프록시를 더 포함하고, 상기 프록시는 상기 물리적 영역 내에 위치하며, 상기 데이터 센터에서 수신되고 상기 애플리케이션 프로그램들을 위한 원격 요청들을 수신하고 상기 수신된 요청들을 상기 정책 모듈로 전달하도록 동작하는, 데이터 센터.
  3. 제1항에 있어서, 상기 애플리케이션 프로그램들은 상기 애플리케이션 프로그램들에 의해 수신된 원격 요청들을 상기 정책 모듈로 재지향시키도록 구성되는, 데이터 센터.
  4. 제1항에 있어서, 상기 정책 모듈은 미리정해진 시간 기간 내에 발행되는 전기 전력을 접속 해제하라는 커맨드들을 포함하는 원격 요청들의 개수가 리미트 값(limit value)을 초과하는지 여부를 판단하고, 상기 요청들의 개수가 상기 리미트 값을 초과하면, 상기 커맨드들이 실행되는 것을 차단하도록 구성되는, 데이터 센터.
  5. 제1항에 있어서, 상기 정책 모듈은 전기 전력을 접속 해제 및 재접속하라는 커맨드들을 포함하는 일련의 원격 요청들이 동일한 고객과 관련되어 있는지 여부를 판단하고, 이러한 조건을 충족시키면 상기 커맨드들이 실행되는 것을 차단하도록 구성되는, 데이터 센터.
  6. 제1항에 있어서, 상기 정책 모듈은 전기 전력을 접속 해제하거나 재접속하라는 커맨드를 포함하는 원격 요청이 고객의 현재 상태와 부합하지 않는지 여부를 판단하고, 부합하지 않으면 상기 커맨드가 실행되는 것을 차단하도록 구성되는, 데이터 센터.
  7. 제1항에 있어서, 상기 정책 모듈은 인증된 소스로부터 원격 요청이 수신되는지 여부를 판단하고, 상기 소스가 인증된 것이 아니면 상기 요청이 프로세싱되는 것을 차단하도록 구성되는, 데이터 센터.
  8. 제1항에 있어서, 상기 정책 모듈은 동작을 수행하기 위한 원격 요청이 그러한 동작을 요청하기 위한 허가를 갖는 애플리케이션으로부터 수신되는지 여부를 판단하고, 요청측 애플리케이션이 그러한 허가를 갖지 않으면 상기 요청이 프로세싱되는 것을 차단하도록 구성되는, 데이터 센터.
  9. 제1항에 있어서, 상기 정책 모듈은 상기 물리적 영역 내로부터 입력된 커맨드들에 의해 재구성될 수 있는, 데이터 센터.
  10. 유틸리티 제어 통신 네트워크(utility control and communications network)로서,
    복수의 엔드포인트 노드;
    데이터 센터 - 상기 데이터 센터는,
    관련 인증서(certificate of authentication)를 갖고 제한된 물리적 액세스를 갖는 물리적 영역;
    유틸리티의 동작들과 관련된 하나 이상의 애플리케이션 프로그램을 실행하도록 구성된 적어도 하나의 서버 - 상기 애플리케이션 프로그램들 중 적어도 일부는 상기 데이터 센터의 외부의 위치들로부터 원격 요청들을 수신하여 상기 유틸리티의 동작들에 관한 기능들을 수행하기 위한 인터페이스를 가짐 -;
    상기 물리적 영역 내에 위치하여 암호 키를 저장하는 하드웨어 보안 모듈; 및
    상기 물리적 영역 내에 위치하여 상기 애플리케이션 프로그램들로 지향된 원격 요청들을 수신하고 상기 암호 키에 따라 서명된 인가된 요청들을 제공하도록 구성된 인가 엔진을 포함함 -;
    상기 엔드포인트 노드들이 상기 데이터 센터 내에 위치한 상기 애플리케이션 프로그램들과 통신하는 적어도 하나의 액세스 포인트; 및
    상기 데이터 센터에서의 상기 물리적 영역의 보안이 위태롭다는(compromise) 표시에 응답하여 보안이 위태로운 상기 물리적 영역과 관련된 인증서가 무효라고 표시하는 인증서 폐지 목록을 구성하라는 커맨드를 액세스 포인트들에 발행하고, 액세스 포인트로부터 상기 인증서 폐지 목록을 로딩하라는 커맨드를 상기 엔드포인트 노드들에 발행하는 서버
    를 포함하는, 유틸리티 제어 통신 네트워크.
  11. 제10항에 있어서, 상기 서버는 또한, 상기 데이터 센터에 있는 상기 물리적 영역의 보안이 위태롭다는 표시에 응답하여 물리적 영역이 위태로운 상기 데이터 센터로부터 발생한 통신을 무시하라는 커맨드를 상기 액세스 포인트들에 발행하는, 유틸리티 제어 통신 네트워크.
  12. 제10항에 있어서, 상기 엔드포인트 노드들은 상기 암호 키와 관련된 공개 키를 사용함으로써 수신된 커맨드가 인가되었는지 여부를 판단하도록 구성되는, 유틸리티 제어 통신 네트워크.
  13. 유틸리티 네트워크에서 디바이스들을 제어하기 위한 방법으로서,
    상기 유틸리티 네트워크 내의 디바이스에 의해 동작이 실행되라는 커맨드를 생성하는 단계;
    상기 커맨드를 하드웨어 보안 모듈로 전달하는 단계;
    상기 하드웨어 보안 모듈 내에서,
    상기 커맨드에 대해 암호 서비스를 수행하는 기능 - 상기 암호 서비스는 상기 서비스가 수행된 상기 커맨드의 수취인으로 하여금 상기 수취인이 실행하도록 허가된 것과 같이 상기 커맨드를 인증할 수 있게 함 -,
    지정된 시간 기간 내에 상기 하드웨어 보안 모듈에 의해 수행되는 암호 서비스들의 개수를 카운트하는 기능, 및
    상기 지정된 시간 기간 내에 수행된 암호 서비스들의 상기 카운트된 개수가 임계 리미트(threshold limit)를 초과하면, 수신된 커맨드들에 대한 추가의 암호 서비스들의 수행을 종료시키는 기능을 실행하는 단계; 및
    상기 암호 서비스가 수행된 상기 커맨드를 상기 유틸리티 네트워크 내의 디바이스에 송신하여 상기 동작을 실행하는 단계
    를 포함하는 방법.
  14. 제13항에 있어서, 상기 암호 서비스들의 개수를 카운트하는 기능은 상기 지정된 기간의 슬라이딩 시간 윈도우를 통해 수행되는 방법.
  15. 제14항에 있어서, 상기 암호 서비스들의 개수를 카운트하는 기능은 복수의 슬라이딩 시간 윈도우에 대해 수행되며, 상기 복수의 슬라이딩 시간 윈도우 각각은 상이한 개별 시간 길이 및 임계 리미트와 관련되어 있는 방법.
  16. 제13항에 있어서, 상기 암호 서비스는 상기 커맨드의 암호화인 방법.
  17. 제13항에 있어서, 상기 암호 서비스는 상기 커맨드의 서명(signing)인 방법.
  18. 제13항에 있어서, 상기 카운트된 암호 서비스들의 개수가 상기 임계 리미트 미만의 미리 정해진 값에 도달할 때 경고를 생성하는 단계를 더 포함하는 방법.
  19. 제13항에 있어서, 상기 하드웨어 보안 모듈은 복수의 슬롯을 포함하며, 상기 기능들은 상기 슬롯들 중 하나에서 실행되는 방법.
  20. 제19항에 있어서, 상기 기능들은 또한 상이한 개별 임계 리미트를 사용하여 제2 슬롯에서 실행되는 방법.
  21. 제13항에 있어서, 상기 디바이스는 상기 암호 서비스와 관련된 공개 키를 사용함으로써 수신된 커맨드가 인가되는지 여부를 판단하도록 구성되는 방법.
  22. 유틸리티 네트워크에서 디바이스들을 제어하기 위한 방법으로서,
    상기 유틸리티 네트워크 내의 디바이스에 의해 동작이 실행되라는 커맨드를 생성하는 단계;
    상기 생성된 커맨드가 허가를 요구하는지 여부를 판단하는 단계;
    상기 생성된 커맨드가 허가를 요구하면, 상기 커맨드를 허가 서버에 전달하는 단계;
    상기 허가 서버 내에서, (1) 상기 허가가 유효한 기간, (2) 수행될 동작, 및 (3) 상기 동작을 수행할 디바이스를 지정하는 허가를 생성하는 단계;
    상기 유틸리티 네트워크 내의 디바이스에게 상기 허가를 포함하는 데이터 패킷을 송신하는 단계;
    상기 디바이스에서 상기 데이터 패킷을 수신하면, 상기 지정된 동작이 허가를 요구하는지 여부를 판단하고, 요구한다면 상기 허가가 현재 유효한지 여부를 판단하는 단계; 및
    상기 허가가 현재 유효하면 상기 지정된 동작을 수행하는 단계
    를 포함하는 방법.
  23. 제22항에 있어서, 상기 허가는 상기 허가가 유효해지는 시점을 표시하는 인셉션 값(inception value) 및 상기 인셉션 값으로부터 상기 허가가 유효하게 유지되는 시간 길이를 표시하는 지속시간 값(duration value)을 포함하는 방법.
  24. 제22항에 있어서, 상기 허가는 상기 동작을 수행할 디바이스의 식별(identification)을 포함하는 제1 필드 및 상기 제1 필드에 대한 포맷을 표시하는 제2 필드를 포함하는 방법.
  25. 제24항에 있어서, 상기 제1 필드에 포함된 식별은 상기 디바이스의 MAC 어드레스를 포함하는 방법.
  26. 제24항에 있어서, 상기 포맷은 DER 옥텟 스트링(DER octet string)인 방법.
  27. 제22항에 있어서, 상기 허가는 상기 허가 서버와 관련된 키로 서명되고, 상기 디바이스는 상기 허가의 서명을 검증하는 방법.
  28. 제22항에 있어서, 상기 허가 서버는 하드웨어 보안 모듈 내에 구현되는 방법.
  29. 제28항에 있어서, 상기 하드웨어 보안 모듈은,
    지정된 시간 기간 내에 상기 하드웨어 보안 모듈에 의해 생성된 허가들의 개수를 카운트하는 기능, 및
    상기 지정된 시간 기간 내에 생성된 허가들의 상기 카운트된 개수가 임계 리미트를 초과하면, 수신된 커맨드들에 대한 추가의 허가들의 생성을 종료시키는 기능을 실행하는 방법.
  30. 제29항에 있어서, 상기 생성된 허가들의 개수를 카운트하는 기능은 상기 지정된 기간의 슬라이딩 시간 윈도우를 통해 수행되는 방법.
  31. 제30항에 있어서, 상기 생성된 허가들의 개수를 카운트하는 기능은 복수의 슬라이딩 시간 윈도우에 대해 수행되며, 상기 복수의 슬라이딩 시간 윈도우 각각은 상이한 개별 시간 길이 및 임계 리미트와 관련되어 있는 방법.
  32. 유틸리티 네트워크를 위한 인증 시스템으로서,
    상기 유틸리티 네트워크의 디바이스에 의해 동작이 실행되라는 커맨드를 수신하고 (1) 허가가 유효한 기간, (2) 수행될 동작, 및 (3) 상기 동작을 수행할 디바이스를 지정하는 허가를 생성하도록 구성된 허가 서버; 및
    상기 유틸리티 네트워크의 디바이스에 상기 허가를 포함하는 데이터 패킷을 송신하도록 구성된 통신 인터페이스
    를 포함하는, 인증 시스템.
  33. 제32항에 있어서, 상기 허가는 상기 허가가 유효해지는 시점을 표시하는 인셉션 값 및 상기 인셉션 값으로부터 상기 허가가 유효하게 유지되는 시간 길이를 표시하는 지속시간 값을 포함하는, 인증 시스템.
  34. 제32항에 있어서, 상기 허가 서버는 하드웨어 보안 모듈 내에 구현되는, 인증 시스템.
  35. 제34항에 있어서, 상기 하드웨어 보안 모듈은,
    지정된 시간 기간 내에 상기 하드웨어 보안 모듈에 의해 생성된 허가들의 개수를 카운트하는 기능, 및
    상기 지정된 시간 기간 내에 생성된 허가들의 상기 카운트된 개수가 임계 리미트를 초과하면, 수신된 커맨드들에 대한 추가의 허가들의 생성을 종료시키는 기능을 실행하도록 구성되는, 인증 시스템.
  36. 제35항에 있어서, 상기 생성된 허가들의 개수를 카운트하는 기능은 상기 지정된 기간의 슬라이딩 시간 윈도우를 통해 수행되는, 인증 시스템.
  37. 제36항에 있어서, 상기 생성된 허가들의 개수를 카운트하는 기능은 복수의 슬라이딩 시간 윈도우에 대해 수행되며, 상기 복수의 슬라이딩 시간 윈도우 각각은 상이한 개별 시간 길이 및 임계 리미트와 관련되어 있는, 인증 시스템.
  38. 제32항에 있어서, 상기 허가 서버가 하우징되어 있는 제한된 물리적 액세스를 갖는 물리적 영역을 더 포함하는, 인증 시스템.
  39. 유틸리티 네트워크로서,
    상기 유틸리티 네트워크 내의 디바이스에 의해 동작이 실행되라는 커맨드를 수신하고 (1) 허가가 유효한 기간, (2) 수행될 동작, 및 (3) 상기 동작을 수행할 디바이스를 지정하는 허가를 생성하도록 구성된 허가 서버;
    상기 유틸리티 네트워크를 통해 상기 허가를 포함하는 데이터 패킷을 송신하도록 구성된 통신 인터페이스; 및
    상기 유틸리티 네트워크에 접속되어 데이터 패킷들을 수신하기 위한 복수의 디바이스 - 상기 디바이스들 각각은 수신된 데이터 패킷에 지정된 동작이 허가를 요구하는지 여부를 판단하고, 요구하면 상기 허가가 현재 유효한지 여부를 판단하고, 상기 허가가 현재 유효하면 상기 지정된 동작을 수행하도록 구성됨 -
    를 포함하는, 유틸리티 네트워크.
  40. 제39항에 있어서, 상기 허가는 상기 허가가 유효해지는 시점을 표시하는 인셉션 값 및 상기 인셉션 값으로부터 상기 허가가 유효하게 유지되는 시간 길이를 표시하는 지속시간 값을 포함하는, 유틸리티 네트워크.
  41. 제39항에 있어서, 상기 허가 서버는 키를 사용하여 상기 허가를 서명하도록 구성되며, 상기 디바이스는 상기 허가의 서명을 검증하도록 구성되는, 유틸리티 네트워크.
  42. 제39항에 있어서, 상기 허가 서버는 하드웨어 보안 모듈 내에 구현되는, 유틸리티 네트워크.
  43. 제42항에 있어서, 상기 하드웨어 보안 모듈은,
    지정된 시간 기간 내에 상기 하드웨어 보안 모듈에 의해 생성된 허가들의 개수를 카운트하는 기능, 및
    상기 지정된 시간 기간 내에 생성된 허가들의 상기 카운트된 개수가 임계 리미트를 초과하면, 수신된 커맨드들에 대한 추가의 허가들의 생성을 종료시키는 기능을 실행하도록 구성되는, 유틸리티 네트워크.
  44. 제43항에 있어서, 상기 생성된 허가들의 개수를 카운트하는 기능은 상기 지정된 기간의 슬라이딩 시간 윈도우를 통해 수행되는, 유틸리티 네트워크.
  45. 제44항에 있어서, 상기 생성된 허가들의 개수를 카운트하는 기능은 복수의 슬라이딩 시간 윈도우에 대해 수행되며, 상기 복수의 슬라이딩 시간 윈도우 각각은 상이한 개별 시간 길이 및 임계 리미트와 관련되어 있는, 유틸리티 네트워크.
KR1020137014246A 2010-11-04 2011-10-11 유틸리티 애플리케이션을 위한 물리적으로 보증된 인가 KR101430376B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/939,702 US9961550B2 (en) 2010-11-04 2010-11-04 Physically secured authorization for utility applications
US12/939,702 2010-11-04
PCT/US2011/055705 WO2012060979A1 (en) 2010-11-04 2011-10-11 Physically secured authorization for utility applications

Publications (2)

Publication Number Publication Date
KR20130101107A KR20130101107A (ko) 2013-09-12
KR101430376B1 true KR101430376B1 (ko) 2014-08-13

Family

ID=46020394

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137014246A KR101430376B1 (ko) 2010-11-04 2011-10-11 유틸리티 애플리케이션을 위한 물리적으로 보증된 인가

Country Status (14)

Country Link
US (3) US9961550B2 (ko)
EP (3) EP3684007B1 (ko)
JP (2) JP2014501955A (ko)
KR (1) KR101430376B1 (ko)
CN (1) CN103430183B (ko)
AU (1) AU2011323917B2 (ko)
BR (1) BR112013011804A2 (ko)
CA (2) CA3077012C (ko)
DK (2) DK3684007T3 (ko)
ES (2) ES2932380T3 (ko)
MY (1) MY168385A (ko)
SG (1) SG190152A1 (ko)
TW (1) TWI536285B (ko)
WO (1) WO2012060979A1 (ko)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635036B2 (en) * 2011-01-04 2014-01-21 General Electric Company Systems, methods, and apparatus for providing energy management utilizing a power meter
US8880883B2 (en) * 2013-03-15 2014-11-04 Silver Spring Networks, Inc. Secure end-to-end permitting system for device operations
US9787681B2 (en) 2012-01-06 2017-10-10 Optio Labs, Inc. Systems and methods for enforcing access control policies on privileged accesses for mobile devices
WO2013103989A1 (en) 2012-01-06 2013-07-11 Optio Labs, LLC Systems and meathods for enforcing secutity in mobile computing
US9609020B2 (en) 2012-01-06 2017-03-28 Optio Labs, Inc. Systems and methods to enforce security policies on the loading, linking, and execution of native code by mobile applications running inside of virtual machines
US9154568B2 (en) * 2012-03-20 2015-10-06 Facebook, Inc. Proxy bypass login for applications on mobile devices
US9672574B2 (en) 2012-03-20 2017-06-06 Facebook, Inc. Bypass login for applications on mobile devices
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US9590959B2 (en) 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US9363670B2 (en) 2012-08-27 2016-06-07 Optio Labs, Inc. Systems and methods for restricting access to network resources via in-location access point protocol
US9773107B2 (en) * 2013-01-07 2017-09-26 Optio Labs, Inc. Systems and methods for enforcing security in mobile computing
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US9547771B2 (en) * 2013-02-12 2017-01-17 Amazon Technologies, Inc. Policy enforcement with associated data
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US9578445B2 (en) 2013-03-13 2017-02-21 Optio Labs, Inc. Systems and methods to synchronize data to a mobile device based on a device usage context
US9832171B1 (en) 2013-06-13 2017-11-28 Amazon Technologies, Inc. Negotiating a session with a cryptographic domain
DE102013227184A1 (de) * 2013-12-27 2015-07-02 Robert Bosch Gmbh Verfahren zur Absicherung eines Systems-on-a-Chip
US20150288183A1 (en) 2014-04-06 2015-10-08 CleanSpark Technologies LLC Establishing communication and power sharing links between components of a distributed energy system
US10015164B2 (en) * 2014-05-07 2018-07-03 Cryptography Research, Inc. Modules to securely provision an asset to a target device
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
CA2954758C (en) * 2014-06-02 2019-03-12 Schlage Lock Company Llc Electronic credential management system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
CN104181886B (zh) * 2014-08-13 2017-08-08 惠州Tcl移动通信有限公司 一种智能家居系统及控制方法
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
US10062226B2 (en) * 2014-12-02 2018-08-28 Carrier Corporation Access control system with automatic mobile credentialing service hand-off
JP6492667B2 (ja) * 2015-01-07 2019-04-03 東京電力ホールディングス株式会社 機器制御システム
US10712126B2 (en) 2015-08-25 2020-07-14 Axon Enterprise, Inc. Systems and methods for cooperation among weapons, holsters, and recorders
US9608993B1 (en) 2016-02-01 2017-03-28 International Business Machines Corporation Credential abuse prevention and efficient revocation with oblivious third party
US20180198620A1 (en) * 2017-01-11 2018-07-12 Raptor Engineering, LLC Systems and methods for assuring data on leased computing resources
WO2018140420A1 (en) * 2017-01-24 2018-08-02 Honeywell International, Inc. Voice control of an integrated room automation system
US10542072B1 (en) * 2017-10-04 2020-01-21 Parallels International Gmbh Utilities toolbox for remote session and client architecture
DE102018003061A1 (de) * 2018-02-03 2019-08-08 Diehl Metering Systems Gmbh Verfahren zum gesicherten Betrieb eines elektronischen Verbrauchsdaten-Moduls und Verbrauchsdaten-Modul
GB2575250B (en) * 2018-06-28 2021-04-21 Arm Ip Ltd Methods for delivering an authenticatable management activity to remote devices
CN108879963B (zh) * 2018-08-01 2023-10-20 南方电网科学研究院有限责任公司 一种电力负荷管理设备及方法
CN109636116A (zh) * 2018-11-14 2019-04-16 遵义华正电缆桥架有限公司 一种安全电力施工的设备
CN112308354A (zh) * 2019-07-31 2021-02-02 中兴通讯股份有限公司 系统过负荷控制方法及装置
US11429401B2 (en) * 2020-03-04 2022-08-30 Landis+Gyr Innovations, Inc. Navigating a user interface of a utility meter with touch-based interactions
US20230205935A1 (en) * 2021-12-28 2023-06-29 Ati Technologies Ulc Software assisted acceleration in cryptographic queue processing
US20230370445A1 (en) * 2022-05-12 2023-11-16 Itron, Inc. Secured authorization for demand response

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100044433A1 (en) * 2008-08-19 2010-02-25 Wankmueller John R Methods and systems to remotely issue proximity payment devices
US20100275016A1 (en) * 2004-10-20 2010-10-28 Zimmer Vincent J Data security

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7761910B2 (en) * 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
AUPP471098A0 (en) 1998-07-16 1998-08-06 United Technology Pty Ltd Internet utility interconnect method and means
US6587032B2 (en) * 2000-11-28 2003-07-01 International Business Machines Corporation System and method for controlling access to a computer resource
AU2002229449A1 (en) * 2001-02-06 2002-08-19 Certicom Corp. Mobile certificate distribution in a public key infrastructure
US20020162019A1 (en) * 2001-04-25 2002-10-31 Berry Michael C. Method and system for managing access to services
JP3822475B2 (ja) 2001-09-14 2006-09-20 三菱電機株式会社 電力系統管理方法及び電力系統管理システム
JP2003111156A (ja) * 2001-09-27 2003-04-11 Toshiba Corp デジタル家電機器
US7058807B2 (en) 2002-04-15 2006-06-06 Intel Corporation Validation of inclusion of a platform within a data center
US7464272B2 (en) 2003-09-25 2008-12-09 Microsoft Corporation Server control of peer to peer communications
US20060095454A1 (en) * 2004-10-29 2006-05-04 Texas Instruments Incorporated System and method for secure collaborative terminal identity authentication between a wireless communication device and a wireless operator
US7231280B2 (en) 2004-12-14 2007-06-12 Costa Enterprises, L.L.C. Dynamic control system for power sub-network
CN101467131A (zh) 2005-07-20 2009-06-24 美国唯美安视国际有限公司 网络用户验证系统和方法
US20080222714A1 (en) 2007-03-09 2008-09-11 Mark Frederick Wahl System and method for authentication upon network attachment
US7770789B2 (en) 2007-05-17 2010-08-10 Shift4 Corporation Secure payment card transactions
CN201118607Y (zh) 2007-11-19 2008-09-17 上海久隆电力科技有限公司 统一身份认证平台系统
US8321915B1 (en) * 2008-02-29 2012-11-27 Amazon Technologies, Inc. Control of access to mass storage system
EP2401835A4 (en) * 2009-02-27 2014-04-23 Certicom Corp SYSTEM AND METHOD FOR SECURE COMMUNICATION WITH ELECTRONIC COUNTERS
US8918842B2 (en) * 2010-02-19 2014-12-23 Accenture Global Services Limited Utility grid command filter system
US8600575B2 (en) * 2010-09-24 2013-12-03 Synapsense Corporation Apparatus and method for collecting and distributing power usage data from rack power distribution units (RPDUs) using a wireless sensor network
US8670946B2 (en) * 2010-09-28 2014-03-11 Landis+Gyr Innovations, Inc. Utility device management

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100275016A1 (en) * 2004-10-20 2010-10-28 Zimmer Vincent J Data security
US20100044433A1 (en) * 2008-08-19 2010-02-25 Wankmueller John R Methods and systems to remotely issue proximity payment devices

Also Published As

Publication number Publication date
TW201229932A (en) 2012-07-16
CA3077012A1 (en) 2012-05-10
EP3664367A1 (en) 2020-06-10
BR112013011804A2 (pt) 2016-11-01
TWI536285B (zh) 2016-06-01
US10455420B2 (en) 2019-10-22
CA2816989C (en) 2020-05-26
JP2014501955A (ja) 2014-01-23
ES2911500T3 (es) 2022-05-19
DK3664367T3 (da) 2022-04-11
JP2016194931A (ja) 2016-11-17
US10609562B2 (en) 2020-03-31
JP6349347B2 (ja) 2018-06-27
EP3684007A1 (en) 2020-07-22
ES2932380T3 (es) 2023-01-18
KR20130101107A (ko) 2013-09-12
AU2011323917A1 (en) 2013-05-30
EP2635994B1 (en) 2020-03-04
AU2011323917B2 (en) 2016-02-25
WO2012060979A1 (en) 2012-05-10
EP2635994A4 (en) 2016-12-28
MY168385A (en) 2018-10-31
CN103430183A (zh) 2013-12-04
CA3077012C (en) 2022-07-12
US20120116602A1 (en) 2012-05-10
US20180234850A1 (en) 2018-08-16
EP2635994A1 (en) 2013-09-11
CA2816989A1 (en) 2012-05-10
CN103430183B (zh) 2016-04-20
DK3684007T3 (da) 2022-12-19
SG190152A1 (en) 2013-06-28
EP3664367B1 (en) 2022-03-23
EP3684007B1 (en) 2022-10-19
US9961550B2 (en) 2018-05-01
US20160249220A1 (en) 2016-08-25

Similar Documents

Publication Publication Date Title
KR101430376B1 (ko) 유틸리티 애플리케이션을 위한 물리적으로 보증된 인가
US8918639B2 (en) Smarter leveraging of the power grid to substantially improve security of distributed systems via a control plane data communication network over the smart power grid
US6542993B1 (en) Security management system and method
US11263342B2 (en) Context-based access control and revocation for data governance and loss mitigation
WO2022122578A1 (en) Remote management of hardware security modules
Green et al. Grid-enabled virtual organization based dynamic firewall
JP2001350652A (ja) 動作ログ蓄積装置および動作ログ蓄積管理方法
KR102160453B1 (ko) 전력설비 보호 시스템 및 그 방법
Gunjal et al. Review of attack detection scheme for cyber physical security system
Asavachivanthornkul Best practices and research for handling demand response security issues in the smart grid
Barker et al. NIST DRAFT Special Publication 800-130

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170727

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190718

Year of fee payment: 6