TW201229932A - Physically secured authorization for utility applications - Google Patents
Physically secured authorization for utility applications Download PDFInfo
- Publication number
- TW201229932A TW201229932A TW100139923A TW100139923A TW201229932A TW 201229932 A TW201229932 A TW 201229932A TW 100139923 A TW100139923 A TW 100139923A TW 100139923 A TW100139923 A TW 100139923A TW 201229932 A TW201229932 A TW 201229932A
- Authority
- TW
- Taiwan
- Prior art keywords
- license
- command
- time
- module
- entity
- Prior art date
Links
- 238000013475 authorization Methods 0.000 title claims description 18
- 230000009471 action Effects 0.000 claims abstract description 8
- 238000000034 method Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 9
- 239000000463 material Substances 0.000 claims description 6
- 230000001010 compromised effect Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 2
- 239000007787 solid Substances 0.000 claims description 2
- 230000008901 benefit Effects 0.000 claims 2
- 238000004321 preservation Methods 0.000 claims 2
- 241001508691 Martes zibellina Species 0.000 claims 1
- 230000004888 barrier function Effects 0.000 claims 1
- 239000013078 crystal Substances 0.000 claims 1
- 125000004836 hexamethylene group Chemical group [H]C([H])([*:2])C([H])([H])C([H])([H])C([H])([H])C([H])([H])C([H])([H])[*:1] 0.000 claims 1
- 238000004519 manufacturing process Methods 0.000 claims 1
- 230000008569 process Effects 0.000 claims 1
- 238000012545 processing Methods 0.000 claims 1
- 238000012360 testing method Methods 0.000 claims 1
- 238000012546 transfer Methods 0.000 claims 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 claims 1
- 238000005192 partition Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 25
- 238000010586 diagram Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 2
- 239000010931 gold Substances 0.000 description 2
- 229910052737 gold Inorganic materials 0.000 description 2
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000001568 sexual effect Effects 0.000 description 2
- 230000006641 stabilisation Effects 0.000 description 2
- 238000011105 stabilization Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- PEDCQBHIVMGVHV-UHFFFAOYSA-N Glycerine Chemical compound OCC(O)CO PEDCQBHIVMGVHV-UHFFFAOYSA-N 0.000 description 1
- 241001465754 Metazoa Species 0.000 description 1
- 241000237536 Mytilus edulis Species 0.000 description 1
- 229910000831 Steel Inorganic materials 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 235000020638 mussel Nutrition 0.000 description 1
- 239000003345 natural gas Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 239000010959 steel Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
- Selective Calling Equipment (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Professional, Industrial, Or Sporting Protective Garments (AREA)
- Gloves (AREA)
- Materials For Medical Uses (AREA)
Description
201229932 六、發明說明: 【發明所屬之技術領域】 此揭示内容係關於與多個公共事 撰作的普挪4 4 ’系呂運公司相關聯之 紅作的“里和控制,且更特別是關 操作之系統的安全性^ ㈢理和控制此等 【先前技術】 :共事業營運公司係具有複雜且高度互連的系統,其 糸在用以運作一群相關軟體… n 丨,、s理且控制此公共事 =二 操作的實體龍器上作執行。圖Η系可 t個公共事業營運公司之-個典型管理和控制系 =所發現構件中的一些構件之一個通用方塊圖,該公共 ^運公司係對多個客戶供應電力,和諸如天然氣用 水專可打的其他商品。此系統之後端支援部門包括數 個與此公共事業之各種操作相關聯的各別子系统,例如一 個客戶資訊系統(CIS)12、一個客戶關係模組(cRM)i4、 -個服務中斷管理系統(0MS)16、一個⑽資訊系統18、 -個計費系統20、一個電網穩定模組22、和一個使用者介 面24。儘管並非如圖i所例示,額外的功能性模組係能出 現在該後端支援部門1〇中。該些子系統中的一些子系統係 可具有與分佈式網路中之多個裝置進行通訊的能力以用 於所供應的商品和與該些裝置相關聯之遠端控制操作。例 如:此後端支援伺服器係可與位於客戶住處之個別計量器 26進行通訊,以取得用於計費目的之消耗資料且命令該等 201229932 4 1器將該客戶斷開自/ 涔谨八3 客戶重新連接至由該公共事業 呂運Α司所提供之一個戋 伺服器到個別計量写之…:°°的供應。從該後端支援 墓^ …益之其匕命令係可包含用以接收來自該 專客戶之外送能量流的命令。 域網=。1之貰例中,該等計量器係組成用以經由-個區 域...罔路30與該後端支援部門進行通 區域網路3〇係且右m冬細郎點,違 點32 m 此網路提供出σ之多個存取 ,·,。该4存取點32係經由-個廣域網路34或一個專用 通輯路W該後端支援部㈣之多㈣服器進行通訊。 和重新Si型之一個系統中,憂慮的一個議題係遠端斷開 呆全管理’其可能分別發生在-個客戶搬離 有此^ 款項的時候、或者是發生在—個新客户佔 有彳處的時候。所惡意及/或錯誤發送 開及/或重新連接住處係可且右蚀〜 任定^斷 〜你了具有使電力分佈網格不穩定的可 能性。未經授權之重新連接同 t疋的了 丈设丨』樣可忐造成分散式電力的竊 取。4限制此等可能性,必須 乂肩致力於確保命令和多個控制 ㈣以一個安全方式且僅藉由經過授權以從事此等操作之 貫體所發生。然而,因為—個 „ θ ^ _ 1U,、型么共事業之後端支援部 門疋由各種互連系統所組成’所以一個保全存取之強制執 灯係泛為困難。在此公共事業内之許多不同群缸係需要存 取所有或是部份的軟體系統,其係使用以限制邏輯及/或實 體存取個別子系統的能力複雜化。 〆 對此議題之一個可行解決方宏r 丁解决方案係將某些系绩^或此等系 、.先之B置放在-個實體安全環境(在本文中稱為一個掩 201229932 體件)内。—個格 空間或容器(例如:_夕個實例係包含一個限制存取的 系統之-個防竄改扭聊個上鎖空間)、和圍繞-個經保護 該等系統或該等系:$圍體。該掩體件係嚴格地限制對 取。此外,在,㈣之保護部分所執行的硬體裝置進行存 取。然而,此解決方案…系統係輸出非常有限的邏輯存 於對公共事業^乃然呈現—個挑戰性問題’其在 部分需要在心Γ内Γ行重構(refact。 側以對需要的部分則能保持在該掩體件外 有掉性之存取係有其困難性。 【發明内容】 為了對一個公共畜蜚典 系統之多個構件所f s…统提供整體安全性’對此 地由一個保八掘 關鍵命令和控制信息係必須明確 行動且授Γ機構所核准。此明確核准係認證所請求 與存取控制相關聯之二事二之具體指定行動的實行。 係被置放在—個業官理和控制系統的金鑰構件 需要㈣1 性環境卜㈣此m變得僅 =例如經由一個掩體件。換言之,諸如 等之大模組、該服務中斷管理系統、該計費系統 °卩分的f理模組係能保持在該掩體件外側,藉此避 子系統劃分成經掩護構件和非經掩護料的需 透過二 =子系統中各者之多個關鍵構件的存取係 述取左掩蠖核准系統的控制。 201229932 【實施方式] 爲促進對本發明所基於多個原理的了解,茲在後文中 參考在一個電力分佈式系統中之遠端連接和斷開命令的安 全性控制作出敘述。然而將理解到:此一實例並非僅僅是 该些原理之實際應用。反之’該些原理係能搭配任何類型 之關鍵命令來運用,此關鍵命令假如被不當或錯誤地發出 則可能具有嚴重干擾或損壞一個系統的可能性。同樣,該 些原理係併同所發送至在所有時間下適當運作為重要之系 統的一個關鍵構件之所有命令和控制信息來使用。 圖2係例示其中實施有本發明多個觀念之一個資料中 的個貫例。傳統上,該資料中心係含有數個上執行 各種應用程式12、14、16之實體伺服器。儘管在圖式中僅 僅例示些許代表性的應用程式,然而將理解到:大量的此 等應用程式係能被實施在該資料中心内。反過來說,由該 *二用程式中之兩者或更多所實行之功能係可被整合成一 個單—且詳盡的程式。 银疋位於該資料令 n叼疋丨岡貝瓶押:瓶仟 42,其 間了有有限的實體存取,諸如具有鋼筋牆之-個上鎖空 B 為丨 <固實例’除了或是取代上鎖,該掩體件可以 管或保:用夕部保全攝像機、運動偵測器等而受到嚴密看 上:二° <區域。作為另一個實例,該掩體件係可在實體 門,而安全性關係業已建立在多個經分佈部件之 個實例’該掩體件係可在邏輯上受到保全, 籍由安全地使用執行軟體及/杨體,其功能性係保全 201229932 而免除諸如實體竄改之自毁性封裝。該掩體件並非必定是 一個空間,不過例如可以是一個實體保全隔間。 具有一個相關的硬體安全性模組44之一個或更多額外 伺服器係定位於該掩體件内以用於實施一個授權引擎4 6, 其係具有用以貫行諸如授權、認證和稽核之安全性相關操 作的軟體模組。該硬體安全性模組係含有用以鏈結到多個 私人金鑰之公開憑證。該硬體安全性模組較佳係使用一個 強固女全性演算法以實行多個密碼編譯操作,諸如橢圓曲 線密碼學或另一具高度安全之密碼編譯方法。多個硬體安 全性模组中適合用於本文中所述之多個應用程式的一個實 例係來自德國公司Utimaco Safeware之產品線SafeGuard Crypto Server的硬體安全性模組。 對於該掩體件或者是對位在該掩體件内之多個伺服器 裝置的存取係能以生物感測器技術所強化,例如指紋偵 測、貫體金鑰或符記及/或密碼防護。在一個實施例中,— 個具有階層之分層安全性系統係能被運用以最大化防護。 假如一個分層的安全性無效(例如:密碼意外地被洩漏或 迢到知竊),則諸如一個金鍮或符記所致動之多段式門栓 鎖之個較咼層級的安全性機制係能被啟動以維持整體系 統的實體安全性。 來自非經掩護後端支援應用程式12到1 6等之某些類 聖的〒令係受到約束’使得除非各自得到授權否則將不予 執行。例如:遠端斷開和重新連接命令係該些受約束命令 之個範疇,其在於對電力分佈網格之穩定性存在嚴重干 8 201229932 擾的可能性。A k Μ 一 马強制執行關於該些類型之操作的安全性, 广Χ —操作之應用程式係可僅僅在源自於該掩體件42内 之 < 個控制自或另外受到自該掩體件42内所發出之一允許 斤授權時接χ多個命令而加以進行。因此,僅僅在具有權 『、%出。亥些命令和擁有諸如密碼、金鑰、指紋等之用於 對該掩體件進行存取的必要手段之人員係將能夠對該應用 程式發出該等受約束命令。 菖初使化操作而引起一個命令的產生時,可以藉由 。玄授權引擎46進行簽署或另外授權,且接著被轉送到與該 掩體件42外部之適當應用程式相關聯的-個應用程式設計 ”面(ΑΗ )。例士。:該命令係可由儲存在該硬體安全性模 組44内之-個私人金餘進行簽署。—旦在—個外部應用程 式處收到經簽署命令(例如:該等應用程式12到16中之 -個應用程式或在該等計量器26中的_個計量器所運行之 一個應用程式),則經由該應用程式存取之一個公開金鑰 進行驗證。一旦經驗證為源自於該掩體件内,則該命令係 由該外部應用程式加以執行。 在些情況中,由一個實體發出實體上將存在於該掩 體件内之遠端斷開命令可能不實際。假如支援此命令之遠 立而產生,然而此等命令係能由冒充經授權實體之使用者所 惡意地發出。為限制此等發生的可能性,依據本發明之一 個決策模組48係被實施於該掩體件内。該決策模組如圖2 所描述係可為一個分開的軟體或韌體構件,或者邏輯上如 下文所述係可被納入該硬體安全性模組内。該決策模組48 201229932 係以一個安全方式進行重新組態或重新程式規劃,諸如藉 由自該掩體件内部所輸入之命令。此模組係含有用以檢驗 一個經請求行動且決定是否允許被落實的商業邏輯。例 如:假如依照可能干擾該電力分佈網格之穩定性的一個順 序或相對時序來SiH 4新連接命令,此等命令係能被決策 所阻隔且不會被傳遞到該授權引擎進行簽署。此外,當偵 測到前述狀況時,決策旗標係能被升起且採取適當行動, 諸如斷開發出命令之一個實體。例如’該些狀況係能包含: 1· 一次(例如··在一個預定時間間隔内)發出大量的遠 端斷開命令1以指出惡意地將多個此使用者自該電力分 佈網格斷開的一個可能意圖; 以一個可疑次序所發出的命令,諸如:與同一客戶相 關聯之-系列重複的斷開和重新連接命令,或者是與—個 用戶之當前狀態不-致的命令’例如:對已經沒有連接到 電力網格之一個使用者發出一個斷開命令; …3.-個請求應用程式無法提供必要的憑據或者是另外 得到授權; _ ^ °月求應用程式不在—組具有許可以發出某些操 作之經核准應用程式中;以及 1的:二Τ路的狀態,其係基於實際的功率負載和預計規 劉的功率需求。 為貫施此功能q 以掩體件係可含有用於其外部之多 個應用知式的應用程式 。汁)1面(API )之一個代理伺服器 呆乍上,當對該也「外邻 0 ffl 4° -¥ tb — 卜4」應用釭式中一個應用程式 10 201229932 的應用程式設計介面作出—個 ^ j ^ 該掩體件内之代理飼服器50。^ 導引到 μ代理飼服器係對該決策模 組48中的公共事業商業邏 科作4珣而可能需要授權此請 二:具有由適當商業邏輯所簽署之請求。該請求接著被 “到該授㈣擎46以進行簽署。—但經過授權,該代理 伺服器係調用處在該掩體件外部之經呼叫應用程式的常規 應用程式設計介面,且傳遞經授權呼叫。 在一個替代性實施方式中,該掩體件Η2係可不包含 一個代理伺服器。在此牵似 中,—個請求係可直接對-個 外部應用程式之應用程式嗲舛 用Λ 4介面作出。依此’該外部應 a 11 4掩體件内之授權引擎,以決定經請求操作 要一個簽章。作為-個預設條件,所有請求係能被 =該!體件内以進行授權,而避免由該外部應用程式 :可决疋的需要。提交給該掩體件之請求首先係經過該 :、模組加以檢驗和簽署,且接著被傳遞到該授權引學 旦—個請求得到授權,則㈣叫應用程式係根據該 凊求進行動作。 被包含在該掩體件42中之硬體安全性模組44係能以 兩個層級來操作。後文實例係、搭配在該等計量器26處所實 行、之操作進行敘述。於第一操作層級處’該公共事業營運 二::可'立:個決策’使在後端支援部門處的一個應用 …個什ΐ H 26或是該區域網路3〇的任何其他構件 ,間的所有通訊必須予以加密和簽署。此決策之實施方式 係被描述在圖3的實例中。在此實例中,—個計量器管理 201229932 應用程式52係使例如—個命令之—個信息發送到該等計量 ϋ 26中的-者或更多。此信息係被係建構在此應用程式之 -個計量n命令和介面模組54中,且被轉送到該掩體件42 中的硬體安全性模組44,該信息係具有一個請求以實行本 身適當的加密和簽署。呀:五结^^ «亥决桌模組48首先係可進行檢驗以 證實該請求源自於-個經授權來源。若是如此,則予以傳 遞到該硬體安全性模組。該硬體安全性模組44係使用與該 應用程式相關聯之適當金鍮以在該信息上實行所請求的操 作,且回傳經加密且簽署的資料。該計量器管理應用程式 2之命令和介面模組54接著係產生—個合併有經加密且簽 署仏息之資料封包,且經由該網路3G予以傳送到該計量^ 對於由該應用程式52自該網路巾之“所㈣評自 來說’該等信息首Μ被轉送到該硬體安全性㈣以^ ^密。此模組48係亦㈣所接收信息之發送端的真實性和 ^料^整體性實行適當驗證。經驗證且解密的^ 被回傳到該應用程式52。 心按者係 對於諸如遠端連接和斷開之關 全性模組係能以-個第二層級進赖作體安 上的:個速率限制。圖4係描述—個硬體安全性模/作 部組態配置的一個實例。此模組係以數個分:’且,内 各個分槽係含有私人金鑰、憑證、機密金鑰和存:=。 一個集合,以實行諸如簽署 '加密、解密 特權之 務。不同的分槽係關聯於不同的安全性背*,’、=編譯服 各自背景相關之金鑰、憑證和盆它資 [' a有與其 匕貝δί1 °藉由該硬體安全 12 201229932 性模組在一個命令上實行一個密碼編譯服務(諸如以一個 私人金錄對該命令進行簽署)係使該命令的接收端(例如; -個節點26)能夠使用—個相關聯的公開金鑰以認證該命 令之來源。該決策模組48係作出一個經請求命令是否允許 被呈現到該硬體安全性模έ且以·{隹;^ s^ 保、.且以進仃一個或更多密碼編譯服 務的初步裁定。 各個分槽係能以一個或更多速率限制而選擇性地進行 組態(例如經由一個命令行系統管理工具),以強化所欲 的商業邏輯。對一個分槽進行組態之一個命令的一個實例 係如下述: HSM_configure slot=2 rate-name = "rate 1" window=24h count=10000 此一命令以每24小時滑動視窗具有丨〇〇〇〇密碼編譯操 作之一個最大速率限制對分槽2進行組態。假如在先前2 4 小時内出現超此密碼編譯操作之分配數量,則該分槽係停 止所有進一步的密碼編譯操作。其後,一位系統管理者係 將需要藉由發送一個重設命令來重設該分槽。 一個分槽係能以超過一個之速率進行組態,其如下述: HSM_configure slot=2 rate-name = "rate 1" window = 24h count= 40000 HSM configure slot=2 rate-name = "rate2" window = 60m count = 2000 該些兩個命令係以兩個速率限制視窗對分槽2進行組 態:其中一個是在一個24小時滑動視窗上具有40000個密 13 201229932 碼編譯操作,而另一個則是在一個60分鐘滑動視窗上具有 2〇〇〇個密碼編譯操作。 假如以一個速率限制對一個分槽進行組態,則在該分 槽中所執行之所有密碼編譯操作係在—個滑動視窗上相對 經分配限制加以計數。在上文所給定實例中,假如在過去 24小時中存有超過4〇〇〇〇個密碼編譯操作、或在最後6〇分 鐘中存有超過2000個密碼編譯操作,則該分槽係停止任何 進一步的密碼編譯操作。 在一個實施例中,對於臨界值違例之稽核係能以每5 分鐘的增量來實行。圖5係例示其中一個分槽業已在一個 25分鐘滑動視窗中具有8〇〇個密碼編譯操作之一限制進行 組態的一個實例。該滑動視窗係能被實施作為一個多階緩 衡器56。所例示的緩衝器係包含5階58,而每一階係代表 一個5分鐘的時間間隔。每一階係含有在其相對應的時間 間隔期間由該分槽所實行之密碼編譯操作的數量之一個古十 數。下述表格係提供在一個給定時點處該緩衝器中所含有 之資料的一個快照。 「 __--- Rtt 1白 1 時間sfl框 -25到-20分鐘 ~ssiiirr~ --^^_ π ^ — 2 -20到-15分鐘 3 -15到-10分鐘 —'^~- 4 -10到-5分鐘 — 5 -5到〇分鐘 6-— -~— 假如所有該等計數之總和(在此案例中為1 5加〇加 14 201229932 加1\6等於29)超過該臨界值,則該分槽係停止所有進 一步…編譯操作直到系統管理者予以重設。一… 機制憾被實施以在停止操作的時間之前通知线管理相 關人貝。例如:一個第一鲑土筏 弟3告係可在總計數超過一個速率 :二:時加以產生,而-個第二警告則是假如總計數 達到此限制的90%時加以被產生。 與最近間隔相關聯之階(在此案例中為階5)係件持各 個新密碼編譯操作的-個持續計數。在各…=: 結束處,所儲存料數係被㈣到y —個最舊的階 的階係被重設為〇,且開始計數下一個5分 密碼編譯操作。 々另订的 由於各個分槽能以其自有的速率限制而選擇 ,態,所以對該事業邏輯之實施Μ係提供適應性。例如. 某些關鍵命令在能被執行之前可能需要一個 類i的認證,了文被稱作I個「許可證」1此命 “糸可被映射到與用以落實此許可程序 的一個忠入kθ 刀僧相關聯 王,月厅、,且具有特別嚴格的速率限制。苴 型的命令传可· i 本丨 /、匕類 較不嚴二=Γ 全性f*’且可經由具有 嚴构之逮率限制的一個不同分槽進行加密及/或簽署。 對於諸如遠端斷開和重新連接之關鍵操作來說,諸 隹之一個叫高層級的安全性可能是適當的二 …收節點處受到認證'然而從網路效率的觀 即’假如該命令所導引到之節點僅僅需要被聯繫—次 °執行該命令係理想的。在本發明的一個觀點中,前: 15 201229932 目標係能藉由用以提供所有所需f訊而使該節點能夠認證 一個命令之—個許可系統所達成》本質上,被發送至-個 應用程式(諸如到-個計量器的—個斷開命令)之每一個 關鍵命令係可被要求要伴隨一個許可證。如上文所註記, 不同類行之命令係能被映射到不同的安全性背景。當不論 是自動地由一個應用程式還是透過一個使用者介面來發: 一個命令時,發出的應用程式係檢驗該命令的安全性背 景。假如需要加密,則該命令係被轉送到該硬體安全性模 組之個適當分槽以進行此—操作。假如作出該安全性背 景需要-個許可證之一裁定,則該命令係被轉送到該掩體 件中用以發出許可證之一個許可伺服器。在一個實施例 中,該許可伺服器之功能係可藉由該硬體安全性模虹中的 一個分槽來實施。 用於發出許可證之一個佈置和程序的一個實例係心 不在圖6中,其參照一個用以將一個住處自該電力分佈《 格斷開的命令。在此實例中,該後端支援部門⑺之多個】 $模組中諸如一個稽核系統的—個商業模組係發出一個| 7 Ht量器管理應用程式52,以斷開與_個帳戶相關@ 之住處。在收到此命令時’該計量器管理應用程式係可d 私個特定時間的斷開操作。且接著經過一個保全鏈路上 將-個信息發送到一個負載管理器模•且59 ψ -.ο- X 明用U名 出令的許可。此負載管理器係位於該掩體件42内之另 業邏ϋ的—個構件,且決定對於該分佈網格之負載改變^ 否可月b有害。纟此實例中’該負載管理器係作用為一個言 16 201229932 可伺服器之一個實施大4- ^ 式。該負載管理器係拒絕該請求(假 如作出所睛求的改孿w 版 文飞忐有害之一個裁定),將該請求延 緩一段時間(例如:個a n a > 月尺延 .H ^ ^ 如目别有太多未完成的請求),吱 者疋核准該請求。對兮A ^
… ^亥負載管理器之請求係包含諸如目;P 節點、排程之操作時鬥 < 9 ^ τ间、和所需完成執行該命令之時 窗大小的資訊。 | γ 丁间視 假如該請求得到枋、知 , ^准,則該負載管理器係產生一個該 命々待導引到之節點所拂切 ,^ 〃 斤辨3,ω的许可證。在將該許可證回傳 到β亥§·)·罝器管理應用程式μ夕义 式52之刖,s亥許可證係以與該 管理器相關聯之一個金鑰 、戰 ’讀進订簽署。在所例示實例中,嗲
許可伺服器(亦即負載管採哭ς〇、〆t 〇X 益5 9 )係與該硬體安全性模組 44分開。因此在此案例中’該許可證係被發送到該硬體安 &模、’且以被4負載管理器之私人金鑰進行簽署。經簽 署許可證接著被回傳到該負載營 J欢貝戰官理态,以被轉送至該計量 器管理應用程式52。 在收到該經簽署許可證時,該計量器管理應用程式係 將该經授權命令搭配該时署許可證—起發送到與待斷開 之住處相關聯的節點26。該節點接著係能例如藉由依照一 系列憑證來驗證該許可證:從該許可證經過該負載管理器 之憑據到與該電力分佈網格之系統操作者相關聯的一個總 管權限機構。該節點亦驗證該許可證内之時間數值與當前 時間的一致性。假如所有資訊為正確且經過驗證,則該節 點係執行該命令且將一個經簽署收條發送到該計量器管理 應用裡式52,以指出該命令的完成。此收條的一個副本係 17 201229932 可被發送至該負載管理器5 9,以使得該負載管理器能夠持 續追蹤未完成的請求。 s亥計量器管理應用程式5 2係亦能對被發送到該節點之 封包的酬載進行簽署,以對由不同控制實體(也就是該計 量器管理應用程式和該負載管理器)所發出的命令提供兩 個分開的授權。兩個形式的授權皆需要在該節點執行該命 令之前先得到該節點的驗證。在此實例中,該許可伺服器 (例如:負載管理器)未必佔有與該節點26直接通訊所需 的憑據。反之’該許可伺服器係將憑據提供到另一控制實 體(在此案例令是該計量器管理應用程式52 ),以進 經授權命令的執行。 ,— •〜小以竹祐序目對簡 (例如:其令許可-個職斷開㈣數量之 的一個漏桶演算法),而後 始叢 量。在此案例中,該一個較少操作 另敕/Γ 體安全性模組的—個分槽内 另:為複雜的演算法係能基於該電力分 ❹相實際的功率負载和作出基於預計之功率需2 疋後述貫施例係可如圖6所描述被實. 性模組的外部,例如在—個專用的實體=以硬體安: 伺服器或:是在—個分享系統上之—個應用程::虛⑴ 除了遠端斷開和重新連接,其它類型之1二。 需要具有—個許可證,諸如被導引到—個客;:=心 低一段具體指定時間内的消耗之負載限制::?:;以: 18 201229932
如在#亥系統中~他1 4主令kiL 個特疋類性之裴置的安全 性至關重要(諸如一個分 未作對系統穩疋 出之所有命令可能需要具有」對该裝置發 援模组對此_侗壯 斗了证。母當—個後端支 該命令轉送到該許可錢^支援模組係將 w服器以取得必要的許可證。 用於在一個信息之酬載内 示範性格式係被描述在圖” 一個許可證的-個 俜浐出j. 斗可酬載之第一欄位60 =出-個起始時間’也就是該許可證成為有效 虽在-個節點處收到含有一個許可酬载 厂 節點係比較該起始時間和其 :::,該 於該當前時間加上-個預定增量(例如;=時間晚 點係拒絕該許可證的有效性。 ”里),則該節 料可酬载之第二攔位62係指__許可證維持有 二之-個持續期間視窗。此攔位係含有用以指出在超過該 許可證為有效之起始時間的數個 〇 鐘區間)之-個數值。假如該節點^^^如二分 證之起始時間加上該預設間隔和該視窗數值之乘η: 該許,效性。例如:假如該起始時間: 0。心“數值為2’且當前時間為1: 12: 38, 則5亥终可證係視為已過期而被拒絕。 該許可酬載之下-個攔位64係指出獲准加以執行 ;例如:此欄位係可含有用以指出-個電力斷開摔作; 個:力重新連接操作之一個數值。多項操作係能聯,單 许可證。目標類型攔位66係指“於其後隨之目標搁 19 201229932 :68的格式。該目標攔位68係指定用以實行獲准操作的 節點或褒置°例如:此目標係能為該節點之MAC位址。該 目標類型欄位66係指出其中該位址所表達之格式,例如: 個DER八位元级字串。 為進一步增加安全性,一個約束係可被強加而使得— 僅此對個计s器發出一個斷開命令或重新連接命令。 在發出-個許可證之前,該負載管理器係可進行檢驗以確 保對於該裝ft目標位址聯繫單U,而不是一群組位 址或廣播位址。 忒冻可酬載係能由與對經指示操作具有特權之一個憑 證相關聯的私人金鑰進行簽署。在收到含有該許可酬載: 資料封包時,該節點首先係進行檢驗以查看該經指示操作 是否需要-個許可證。假如需要一個許可證,則該節點係 確認被用來簽署該許可證之憑證和私人金输具有用以執行 所請求操作之必要特權。假如此確認為肯定,則該節點係 驗證經簽署許可證之真實性,當業已由經指示憑證對應之 私人金输所簽署時。該節點接著係驗證該目標之指定識別 出該節點本身。最後°㉟節點係檢查相對其當前時間之起 始時間和視窗數值以確認該許可證還未過期。 假如成功地檢驗所有的驗證,則該操作係被執行,且 一個回應係被回傳以被切拥<· 確1^執仃的成功。假如前述驗證步驟 中任-者無法達成’則該許可證係可被拒絕且一錯誤信息 係被回傳。只要是已經完成該資料封包中的所有操作或 者回傳-個錯誤信息,則該許可證係被去棄且不再保留β 20 201229932 在對該掩體件之存取遭到破壞的事件上,一合適形式 之補救行動係可加以實行。此一個解決方案係提供一個與 一個掩體件相關聯之邏輯或實體應急按鈕。此應急按鈕係 能.被啟動以對該管理系統知會與該應急按鈕相關聯之掩體 件遭到破壞,且應該不再予以信任。例如:由一個經破壞 掩體件所簽署之遠端斷開服務的任何請求係應該被忽略。 此應急按鈕係能以各種方式來實施。適合實例係包含 經由一個無線或有線通訊系統、在被連接到一個區域或無 線網路之適合位置處之實體按壓鈕(例如:在員工之辦公 桌上)、及/或具有音頻命令機能和無線連接性之可配帶裝 置所發送的控制訊號。 圖8係例示其中能實施一個應急按鈕之功能性的一個 糸統之一個實例。在此實例中,該公共事業管理和控制系 統係破安置在兩個資料中心7〇和72内。例如:各個資料 中〜係可含有用於冗餘之各種管理和控制子系統的一個完 整實例。各個資料中心係含有一個相關聯的掩體件,分別 破標不為「掩體件丨」和「掩體件2」。各個掩體件係具有 其總管在—個已知的權限機構中之一個憑證系列的一個憑 澄。對於該兩個掩體件之此等憑證彼此係不相同。 在忒控制網路中之各個節點(例如:存取點3 2和末端 ^ 6)係具有用以儲存和安裝一個憑證撤銷列表的能 力°亥等存取點32同樣具有用以過濾來源位址之能力。 一個示範性操作係將被敘述為對於掩體件丨之存取業 已遭到破壞的—個情況下。與該掩體# 1相關聯之-個應 21 201229932 急按钮係被啟動,且產生的應急訊號係被發送到該掩體件2 中的一個伺服器以實施該應急按鈕的功能。此應急訊號係 包含所予以發送之裝置的真實性之一個適當指示。例如: 該應急訊號係可包含與該裝置相關聯之一個簽章,或者是 伴隨依據一個預定演算法所產生之一個雜湊數值。在收到 一個經過認證之應急訊號時,該掩體件;2中之伺服器係發 出多個命令以組態用於所有存取點32的一個防火牆規則, 來指導該等存取點3 2將源自於資料中心7 〇的封包丟棄。 該掩體件2中之伺服器同樣發出多個命令以組態該等所有 存取點32上的一個憑證撤銷列表,來指示與該掩體件i相 關聯之憑證不再有效。該掩體件2中之伺服器同樣將一個 信息發送到每一個末端節點,以指導每一個末端節點自一 個存取點重新載入其憑證撤銷列表。 藉由組態該存取點上之防火牆過濾器以丟棄來自資料 中心70的封包,一個佯裝的攻擊者係可被減緩一段時間, 而足夠使該等憑證撤銷列表能夠被傳播到所有的末端節 點。為了在已經發生-個潛㈣透之後回復掩體件卜 新憑證係必須被安裝’且與該憑證之新關聯性係加以進行 且被傳播到該控制網路中的所有節點。 订 總結來說,本發明所揭示係提供各種的安全性特性 降低與由公共事業所提供商品之遞送相關聯的惡意行動 者另外不適當行動之風險。對一個公共事業分佈網路之 定性具有可能性干擾的關鍵命令係透過下述機制 全:用以對後端支援管理系統之敏感構件的存取有所限 22 201229932 之人個實體掩體件,搭配使用用於認證、簽署和加密此等 \之個硬體安全性模組。一個基於許可證之授權框粲 系對個特定關鍵命令提供—更加精細之安全性層級。該 硬體安全性模組同樣能經過組態以限制用以執行命令的速 率,而進一步妨礙用以發出不恰當之一連串序列的嘗試。 +熟習本項技術人士將理解到:所揭示之觀念係能以其 它具體指定形式來體現’而不會悖離其精神和基本特徵。 本發明所揭不之實施例在所有方面則被視具有例示性,而 不是具有限制性。本發明L係由後附的申請專利範圍 所指出而不是前述的發明說明,I落入等效意義和範圍内 之所有改變係預期被包含在本文中。 【圖式簡單說明】 圖1係一個公共事業管理和控制系統之一個通用方塊 圖; 圖2係具有經掩護構件之一個公共事業管理後端支援 系統的一個方塊圖; 圖3係用以不意性描述當一個信息被發送到一個計量 器時之資料流的一個方塊圖; 圖4係一個硬體安全性模組之組態的一個方塊圖; 圖5係用以在-個滑動視窗中計數多個密瑪編譯操作 之一個多級緩衝器的一個方塊圖; 圖6係例示用於斜客棚人人, 丁夕個々發出許可證之一個系統和 程序的一個實例; 23 201229932 圖7係一個許可酬載之一個示範性格式的一個方塊圖; 圖8係在多重資料中心中所實施之一個公共事業控制 和管理系統的一個方塊圖。 【主要元件符號說明】 1 〇 :後端支援部門 12 :客戶資訊系統(CIS ) 14 :客戶關係模組(CRM) 1 6 :服務中斷管理系統(OMS ) 18 : GPS資訊系統 20 :計費系統 2 2 :電網穩定模組 24 :使用者介面 26 :計量器/(末端)節點 3 0 :區域網路 3 2 :存取點 3 4 :廣域網路 40 :資料中心 42 :實體掩體件 44 :硬體安全性模組(HSM ) 46 :授權引擎 48 :決策模組 5 0 :代理伺服器 52 :計量器管理應用程式 24 201229932 54 :(計量器)命令和介面模組 56 :多階缓衝器 58 :階 59 :負載管理器(模組) 60 :第一攔位 62 :第二攔位 64 :下一個攔位 66 :目標類型欄位 6 8 :目標搁位 70 :資料中心 72 :資料中心 25
Claims (1)
- 201229932 七申5青專利範圍: ι-種用於公共事業應用程式之資料中心,盆係包括. 一個實體保全環境; ,、至少一個伺服器,其係在該實體保全環境外部,該至 個伺服斋係經組態以執行與一個公共事業之操作相關 ①的個或更多應用程式,該等應用程式中之至少一些應 用程式係具有用於接收來自該資料中心外部之多個位置的 多個遠端請求之介面,以用於實行該公共事業之操作相關 的多個功能; 個硬體安全性模組,其係位於該實體保全環境内部 且儲存一個機密金鑰; 個授權引擎,其係位於該實體保全環境内部,該授 權引擎係經組態以接收指向該等應用程式之多個遠端請 求,且提供依據該機密金鑰所簽署之經授權請求;以及 一個決策模組’其係位於該實體保全環境内部,該決 策模組係經組態以依據與該等應用程式相關聯之商業邏輯 來處理該等遠端請求,且選擇性地使該等請求能夠被該授 權引擎所授權。 2 ·如申請專利範圍第1項之資料中心,其係進—步包括 用於該介面之一個代理伺服器,其係位於該實體保全環境 内部,該代理伺服器操作上係接收在該資料中心處所接收 且用在該等應用程式之多個遠端請求,以及將該等經接收 請求轉送到該決策模組。 3.如申請專利範圍第1項之資料中心,其中該等應用程 26 201229932 式係經組態以將所接你以> & # +Α 要收的退縞S青求重新指向該決策模組。 4.如申請專利範圍第 ' ^ 第1項之貢枓中心,其中該決策模組 係經組態以決定在—個:¾¾ —卩生gn· όιί_找I 调預定時段内所發出之含有多個命令 以斷開電力的遠端請求夕勅旦县不扣、β y 月水之數里疋否超過一個限制數值,且 IF又如§亥專!§_端請求之叙旦ijj .a j-J. β〇 Α·. 数里超過该限制數值則阻擋該等命令 的執行。 5 _如申s青專利範圍第1 之眘判^ , a 阑弟1項之貢枓中心,其中該決策模組 係經組態以決定含有多個命令以斷開且重新連接電力之一 個遠端請求序列是否與相同客戶相關冑,且假如符合此一 條件則阻擋該等命令的執行β α 6·如申請專利範圍第1ΙΜ之資料中心,其中該決策模組 係經組態以決定含有一個命令以斷開或重新連接電力之一 個遠端請求是否與一個客戶之當前狀態不—致,且假如不 —致則阻擋該命令的執行。 7. 如申請專利範圍第i項之資料中心,其中該決策模組 係經組態以決定一個遠端請求是否接收自一個經認證來 源’且假如該來源未經認證則阻擋該遠端請求的處理。 8. 如申請專利範圍第i項之資料中心,其中該:策模组 係經組態以決定用以實行一個操作之一個遠端請求是否接 收自具有許可以請求此操作的一個應用程式,且假如作出 請求的應用程式不具有此許可則阻擋該遠端請求的處理。 9. 如申請專利範圍第1項之資料中心,其中該決策模組 係藉由自該實體保全環境内所輸入之命令而可重新組態’。 1 0. —種公共事業控制和通訊網路,其係包括. 27 201229932 複數個末端節點; 一個資料t心’其係包含: -個賞體保全環境,其係具有一個相關聯的認證 憑證; 至少一個飼服器,其係經組態以執行與一個公共 事業之操作相關聯的—個或更多應用程式,該等應用 %式中之至少—些應用程式係具有用於接收來自該資 料中。外之多個位置的多個遠端請求之介面,以實 行遠公共事業之操作相關的多個功能; 一個硬體安全性禮 文王f生模·,且,其係位於該實體保全環境 内部且儲存—個密碼編譯金鑰;及 -個授權引擎,其係位於該實體保全環境内部, d又權引擎係經組態以接收指向該等應用程式之多個 遠端請求,且提供依據該密碼編譯金鑰所簽署之經授 權請求; 、至少-個存取點,該等末端節點經由該至少—個存取 點以與位在該資料中心内的應用程式進行通訊;以及 -個飼服器,其係響應於處在該資料中心内之實體保 全每境的安全性業已遭到破壞的一個指示,以對多個存取 點發出-個命令來組態一個憑證撤銷列表、進而指出與安 全性遭到破壞之實體保全環境相關聯的憑證為益效,且對 料末端節點發出一個命令以自-個存取點載入該憑證撤 銷列表8 "•如申請專利範圍第10項之公共事業控制和通訊網 28 201229932 路,其令響應於處在該眘祖 _ 貝枓中心内之實體保全環培的容入 性業已遭到破壞的一個於_ 衣兄的女王 1固晶不,該伺服器係進— 取點發出一個命令以丟妾A /對^寻存 μ以丟棄源自於該實體保全 破壞之資料中心的通訊。 、兄業已乂到 12.如申請專利範nj帛1()項之 路,其中該等末端節點係❸且能…業控制和通讯網 谇左組態以決定—個經接收命令 否藉由使用與該密碼編譯金钤栩 相啐金鎗相關聯之—個公 授權。 J ™延仃 13.—種用於控制在— 方法’其係包括: 個公共事業網路中 之多個裝置的 之一個裝置所落實之一個 對待以被該公共事業網路中 操作產生一個命令; 將該命令轉送到一個硬體安全性模組; 在該硬體安全性模組内執行下述功能: 在該命令上實行一個密碼編譯服務,以在業已實 行該密碼編譯服務時,使該命令之接收端能夠將該命 令涊證為該接收端獲准執行的一個命令; 计數在一個具體指定時段中藉由該硬體安全性模 組所實行之多個密碼編譯服務的數量;及 假如在該具體指定時段内所實行之密碼編譯服務 的經計數數量超過一個臨界限制,則終止在經接收命 令上進一步密碼編譯服務的實行;以及 在業已實行該密碼編譯服務時,將該命令傳送到該公 共事業網路中之一個裝置以落實該操作。 29 201229932 14. 如申凊專利範圍第13項之方法,其中該計數該等密 碼編》睪服矛务 < 冑量係被實行纟該具體指冑時段t 一個滑動 時間視窗上。 15. 如申4專利範圍第14項之方法其中該計數該等密 碼編譯服務之數量係針對複數個滑動時間視窗來實行,該 等滑動時間視窗各者係與各自不同之時間長度和臨界限制 相關聯。 16·如申凊專利範圍第13項之方法,其中該密碼編譯服 務係對該命令的加密。 17.如申請專利範圍帛13項之方法,其中該密碼編擇服 務係簽署該命令。 18.如申請專利範圍帛131員之方法,其係進一步包括下 述步驟:在該等密碼編譯服務之經計數數量達到低於該臨 界限制之一個預定數值時產生一個警告。 19·如申請專利範圍第13項之方法,其中該硬體安全性 模組係包括複數個分槽,且其中該等功能係被執行在該等 分槽中的一個分槽。 ζυ.如曱請專利範圍第 丹甲戎4功能係使 用各自不同的臨界限制以同樣被執行在一個第二八槽中 21·如申請專利範圍第13項之方法,其中經組 態以決定-個經接收命令是否藉由使用與該密碼編譯服務 相關聯之一個公開金输進行授權。 22.-種用於控制在一個公共事業網路中之 方法,其係包括: 、豎的 201229932 對於待以被該公共事業網路令之一個裝置所落實之 個操作產生一個命令; 實之 決定產生的命彳是否請纟—個許可證; 假如該產生的命令請求— 至,丨個斗可證,則將該命令轉送 到一個5午可伺服器; 付疋 在該許可伺服器内產生— 許/ 個♦可證以具體指;t (i)該 實行該操作之裝置; )待以貫仃之操作,和(m) 路中將含有該許可證之-個資料封包傳送到該公共事举網 路中之一個裝置; ’呆巧 在σ亥裝置處收到兮咨4fiL +_l ju θ ^ ^ 身枓封包時,決定具體指定的操作 疋否需要一個許可證,且θ丄 J铞作 前是否有效;以及 假如疋如此’則決定該許可證目 又士°亥°午可證目前為有效,則實行該具體指定的操作》 2 3 .如申請專利範 右 第22項之方法,其中該許可證係含 有一個啟始數值和一個 兮4 -Γ W 寻、,只時間數值’該啟始數值係指出 成许可證何時變為有效, 俄u 且°亥持續時間數值係指出該許可 证從錢始數值開始保持有效㈣間長度。 含一:·:申:專利範圍第22項之方法,其中該許可證係包 3個第一攔位和一個笛_ 〇«日 > 弟—攔位,該第一欄位係含有要實 仃该#作之裝置的一 . 個哉別,且該第二攔位係指出該第一 攔位之格式。 25.如申請專利範圚 ψ 乾圍第24項之方法,其中在該第一攔位 干所a有之識別係包括 古遺裝置的一個mac位址。 31 201229932 26. 如申請專利範圍第24項之方法,其中該格式係一個 DER八位元組字串。 27. 如申請專利範圍第22項 7〜兵〒忒δ午可證係藉 由與S亥#可伺服器相關聯之—個金鑰進行簽署,且該裝置 係驗證該許可證之簽章。 ^ ’其中該許可伺服器 ’其中該硬體安全性 28. 如申請專利範圍第22項之方法 係被實施在一個硬體安全性模組内。 29. 如申請專利範圍第28項之方法 模組係執行下述功能: °十數在㈣具體指定時段十藉由該硬體安全性模組所 產生之多個許可證的數量;以及 —假如在該具體指定時段内所產生之許可證的經計數數 置超過-個臨界限制,則終止對於經接收命令之進—步許 可證的產生。 ^ 3〇.如申請專利範圍第29項之方法,其中該計數經產生 命可證之數量係被實行在該具體指定時段之—個滑動時度 視窗上。 3 1 ·如申請專利範圍第3〇項之方法 上 π〜々π,六甲琢訂数矬J ^可證之數量係針對複數個滑動時間視窗來實行,該秦 時間視窗各者係與各自不同之時間長度和臨界限制^ 聯Ο 業 _2*種用於一個公共事業網路之認證系統,其係包括: 午可伺服器’其係經組態為接收待以被該公共事 網路中之—個裝置所落實之-個操作的-個命令,且產 32 201229932 生厂個許可證以具體指定⑴該許可證為有效之一個時段, (U)待以貫行之操作,和(出)實行該操作之裝置;以及 一個通訊介面,其係經組態以將含有該許可證之—個 資料封包傳送到該公共事業網路中之一個裝置。 33.如申請專利範圍第32項之認證系統,其中該許可證 係合有-個啟始數值和—個持續時間數值,該啟始數值係 指出該許可證何時變為有效,且㈣續時間數值係指出該 許可證從該啟始數值開始保持有效的時間長度。 。。31如申請專利範圍第32項之認證系統’其中該許可伺 服器係被實施在一個硬體安全性模組内。 3 5 ·如申味專利範圍第3 4項之認證系統其中該硬體安 全性模組係經組態以執行下述功能: 叶數在一個具體指定時段中藉由該硬體安全性模組所 產生之多個許可證的數量;以及 作又如在該具體指定時段内所產生之許可證的經計數數 量超過一個臨界限制,則終止對於經接收命令之進一步許 可證的產生。 36.如申凊專利範圍第35項之認證系統,其中該計數經 產生許可證之數量係被實行在該具體指定時段之一個滑動 時間視窗上。 37·如申凊專利範圍第36項之認證系統,其中該計數經 產生斗可證之數量係針對複數個滑動時間視窗來實行,該 等μ動時間視窗各者係與各自不同之時間長度和臨界限制 相關聯。 33 201229932 38·如申請專利範圍帛32:員之認證系統,其係進一步勺 括其中安置有該許可伺服器之—個實體保全環境。乂。 39·一種公共事業網路,其係包括: 紫徊Π許可伺服器,其係、經組態為接收待以被該公共事 之-個裝置所落實之-個操作的-個命令,且產 二個:可證以具體指定⑴該許可證為有效之-個時段, (η)待以實行之操作,和(iii)實行該操作之裝置. ::通訊介面’其係經組態以經由該公共事業網路來 專送3有邊許可證之一個資料封包;以及 複數個裝置,其係經連接到該公共事業網路以用於接 收資料封包,該等裝置中各者係經組態以: 決定在一個經接收資料封包中所具體指定之一個 操作是否需要一個許可證; 假如是如此,則決定該許可證目前是否有效;且 假如該許可證目前為有效,則實行該具體 操作。 4〇_如申請專利範圍第39項之公共事業網路其中該許 可證係含有-個啟始數值和—個持續時間數值,該啟始數 值係指㈣許可證料變為有效,且該持續時間數值係指 出該許可證從該啟始數值開始保持有效的時間長度。 仏如申請專利範圍帛39項之公共事業網路^中該許 可祠服H係經組態以使用—個金鑰來簽㈣許可證,且該 裝置係經組態以驗證該許可證之簽章。 42.如申請專利範圍第39項之公共事業網路,其中該許 34 201229932 可伺服器係被實施在一個硬體安全性模組内。 43·如申請專利範圍第42項之公共事業網路其中該硬 體女全性模組係經組態以執行下述功能: 計數在一個具體指定時段中藉由該硬體安全性模組所 產生之多個許可證的數量;以及 假如在該具體指定時段内所產生之許可證的經計數數 罝超過一個臨界限制,則終止對於經接收命令之進一步許 可證的產生。 44_如申請專利範圍第43項之公共事業網路,其中該計 數經產生許可證之數量係被實行在該具體指定時段之一個 滑動時間視窗上。 45.如申睛專利範圍第44項之公共事業網路,其中該計 數經產生許可證之數量係針對複數個滑動時間視窗來實 行,該等滑動時間視窗各者係與各自不同之時間長度和臨 界限制相關聯。 八、圖式: (如次頁) 35
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/939,702 US9961550B2 (en) | 2010-11-04 | 2010-11-04 | Physically secured authorization for utility applications |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201229932A true TW201229932A (en) | 2012-07-16 |
TWI536285B TWI536285B (zh) | 2016-06-01 |
Family
ID=46020394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW100139923A TWI536285B (zh) | 2010-11-04 | 2011-11-02 | 用於公共事業應用程式之實體安全授權的控制方法,及用於公共事業網路的認證系統 |
Country Status (14)
Country | Link |
---|---|
US (3) | US9961550B2 (zh) |
EP (3) | EP3684007B1 (zh) |
JP (2) | JP2014501955A (zh) |
KR (1) | KR101430376B1 (zh) |
CN (1) | CN103430183B (zh) |
AU (1) | AU2011323917B2 (zh) |
BR (1) | BR112013011804A2 (zh) |
CA (2) | CA2816989C (zh) |
DK (2) | DK3684007T3 (zh) |
ES (2) | ES2932380T3 (zh) |
MY (1) | MY168385A (zh) |
SG (1) | SG190152A1 (zh) |
TW (1) | TWI536285B (zh) |
WO (1) | WO2012060979A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10712126B2 (en) | 2015-08-25 | 2020-07-14 | Axon Enterprise, Inc. | Systems and methods for cooperation among weapons, holsters, and recorders |
Families Citing this family (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8635036B2 (en) * | 2011-01-04 | 2014-01-21 | General Electric Company | Systems, methods, and apparatus for providing energy management utilizing a power meter |
US8880883B2 (en) * | 2013-03-15 | 2014-11-04 | Silver Spring Networks, Inc. | Secure end-to-end permitting system for device operations |
EP2801050A4 (en) | 2012-01-06 | 2015-06-03 | Optio Labs Llc | SYSTEMS AND METHODS FOR APPLYING SECURITY IN MOBILE COMPUTING |
US9787681B2 (en) | 2012-01-06 | 2017-10-10 | Optio Labs, Inc. | Systems and methods for enforcing access control policies on privileged accesses for mobile devices |
US9609020B2 (en) | 2012-01-06 | 2017-03-28 | Optio Labs, Inc. | Systems and methods to enforce security policies on the loading, linking, and execution of native code by mobile applications running inside of virtual machines |
US9154568B2 (en) * | 2012-03-20 | 2015-10-06 | Facebook, Inc. | Proxy bypass login for applications on mobile devices |
US9672574B2 (en) | 2012-03-20 | 2017-06-06 | Facebook, Inc. | Bypass login for applications on mobile devices |
US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
US9590959B2 (en) | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
US9363670B2 (en) | 2012-08-27 | 2016-06-07 | Optio Labs, Inc. | Systems and methods for restricting access to network resources via in-location access point protocol |
US9773107B2 (en) * | 2013-01-07 | 2017-09-26 | Optio Labs, Inc. | Systems and methods for enforcing security in mobile computing |
US9705674B2 (en) | 2013-02-12 | 2017-07-11 | Amazon Technologies, Inc. | Federated key management |
US9547771B2 (en) * | 2013-02-12 | 2017-01-17 | Amazon Technologies, Inc. | Policy enforcement with associated data |
US10467422B1 (en) | 2013-02-12 | 2019-11-05 | Amazon Technologies, Inc. | Automatic key rotation |
US10210341B2 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
US9608813B1 (en) | 2013-06-13 | 2017-03-28 | Amazon Technologies, Inc. | Key rotation techniques |
US10211977B1 (en) | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Secure management of information using a security module |
US9300464B1 (en) | 2013-02-12 | 2016-03-29 | Amazon Technologies, Inc. | Probabilistic key rotation |
US9367697B1 (en) | 2013-02-12 | 2016-06-14 | Amazon Technologies, Inc. | Data security with a security module |
US20140283136A1 (en) | 2013-03-13 | 2014-09-18 | Optio Labs, Inc. | Systems and methods for securing and locating computing devices |
DE102013227184A1 (de) * | 2013-12-27 | 2015-07-02 | Robert Bosch Gmbh | Verfahren zur Absicherung eines Systems-on-a-Chip |
US20150288183A1 (en) | 2014-04-06 | 2015-10-08 | CleanSpark Technologies LLC | Establishing communication and power sharing links between components of a distributed energy system |
US9584509B2 (en) | 2014-05-07 | 2017-02-28 | Cryptography Research, Inc. | Auditing and permission provisioning mechanisms in a distributed secure asset-management infrastructure |
US9397835B1 (en) | 2014-05-21 | 2016-07-19 | Amazon Technologies, Inc. | Web of trust management in a distributed system |
MX2018016420A (es) * | 2014-06-02 | 2021-08-13 | Schlage Lock Co Llc | Sistema de gestion de credenciales electrónicas. |
US9438421B1 (en) | 2014-06-27 | 2016-09-06 | Amazon Technologies, Inc. | Supporting a fixed transaction rate with a variably-backed logical cryptographic key |
CN104181886B (zh) * | 2014-08-13 | 2017-08-08 | 惠州Tcl移动通信有限公司 | 一种智能家居系统及控制方法 |
US9866392B1 (en) | 2014-09-15 | 2018-01-09 | Amazon Technologies, Inc. | Distributed system web of trust provisioning |
US10062226B2 (en) * | 2014-12-02 | 2018-08-28 | Carrier Corporation | Access control system with automatic mobile credentialing service hand-off |
JP6492667B2 (ja) * | 2015-01-07 | 2019-04-03 | 東京電力ホールディングス株式会社 | 機器制御システム |
US9608993B1 (en) | 2016-02-01 | 2017-03-28 | International Business Machines Corporation | Credential abuse prevention and efficient revocation with oblivious third party |
US20180198620A1 (en) * | 2017-01-11 | 2018-07-12 | Raptor Engineering, LLC | Systems and methods for assuring data on leased computing resources |
WO2018140420A1 (en) * | 2017-01-24 | 2018-08-02 | Honeywell International, Inc. | Voice control of an integrated room automation system |
US10542072B1 (en) * | 2017-10-04 | 2020-01-21 | Parallels International Gmbh | Utilities toolbox for remote session and client architecture |
DE102018003061A1 (de) * | 2018-02-03 | 2019-08-08 | Diehl Metering Systems Gmbh | Verfahren zum gesicherten Betrieb eines elektronischen Verbrauchsdaten-Moduls und Verbrauchsdaten-Modul |
GB2575250B (en) * | 2018-06-28 | 2021-04-21 | Arm Ip Ltd | Methods for delivering an authenticatable management activity to remote devices |
CN108879963B (zh) * | 2018-08-01 | 2023-10-20 | 南方电网科学研究院有限责任公司 | 一种电力负荷管理设备及方法 |
CN109636116A (zh) * | 2018-11-14 | 2019-04-16 | 遵义华正电缆桥架有限公司 | 一种安全电力施工的设备 |
CN112308354A (zh) * | 2019-07-31 | 2021-02-02 | 中兴通讯股份有限公司 | 系统过负荷控制方法及装置 |
US11429401B2 (en) * | 2020-03-04 | 2022-08-30 | Landis+Gyr Innovations, Inc. | Navigating a user interface of a utility meter with touch-based interactions |
US20230205935A1 (en) * | 2021-12-28 | 2023-06-29 | Ati Technologies Ulc | Software assisted acceleration in cryptographic queue processing |
US20230370445A1 (en) * | 2022-05-12 | 2023-11-16 | Itron, Inc. | Secured authorization for demand response |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7761910B2 (en) * | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
AUPP471098A0 (en) | 1998-07-16 | 1998-08-06 | United Technology Pty Ltd | Internet utility interconnect method and means |
US6587032B2 (en) * | 2000-11-28 | 2003-07-01 | International Business Machines Corporation | System and method for controlling access to a computer resource |
EP1360814B1 (en) * | 2001-02-06 | 2007-04-11 | Certicom Corp. | Mobile certificate distribution in a public key infrastructure |
US20020162019A1 (en) * | 2001-04-25 | 2002-10-31 | Berry Michael C. | Method and system for managing access to services |
JP3822475B2 (ja) | 2001-09-14 | 2006-09-20 | 三菱電機株式会社 | 電力系統管理方法及び電力系統管理システム |
JP2003111156A (ja) * | 2001-09-27 | 2003-04-11 | Toshiba Corp | デジタル家電機器 |
US7058807B2 (en) | 2002-04-15 | 2006-06-06 | Intel Corporation | Validation of inclusion of a platform within a data center |
US7464272B2 (en) | 2003-09-25 | 2008-12-09 | Microsoft Corporation | Server control of peer to peer communications |
US7711965B2 (en) | 2004-10-20 | 2010-05-04 | Intel Corporation | Data security |
US20060095454A1 (en) * | 2004-10-29 | 2006-05-04 | Texas Instruments Incorporated | System and method for secure collaborative terminal identity authentication between a wireless communication device and a wireless operator |
US7231280B2 (en) | 2004-12-14 | 2007-06-12 | Costa Enterprises, L.L.C. | Dynamic control system for power sub-network |
CN101467131A (zh) | 2005-07-20 | 2009-06-24 | 美国唯美安视国际有限公司 | 网络用户验证系统和方法 |
US20080222714A1 (en) | 2007-03-09 | 2008-09-11 | Mark Frederick Wahl | System and method for authentication upon network attachment |
US7770789B2 (en) | 2007-05-17 | 2010-08-10 | Shift4 Corporation | Secure payment card transactions |
CN201118607Y (zh) | 2007-11-19 | 2008-09-17 | 上海久隆电力科技有限公司 | 统一身份认证平台系统 |
US8321915B1 (en) * | 2008-02-29 | 2012-11-27 | Amazon Technologies, Inc. | Control of access to mass storage system |
US8752770B2 (en) | 2008-08-19 | 2014-06-17 | Mastercard International Incorporated | Methods and systems to remotely issue proximity payment devices |
WO2010096923A1 (en) * | 2009-02-27 | 2010-09-02 | Certicom Corp. | System and method for securely communicating with electronic meters |
US8918842B2 (en) * | 2010-02-19 | 2014-12-23 | Accenture Global Services Limited | Utility grid command filter system |
US8600575B2 (en) * | 2010-09-24 | 2013-12-03 | Synapsense Corporation | Apparatus and method for collecting and distributing power usage data from rack power distribution units (RPDUs) using a wireless sensor network |
US8670946B2 (en) * | 2010-09-28 | 2014-03-11 | Landis+Gyr Innovations, Inc. | Utility device management |
-
2010
- 2010-11-04 US US12/939,702 patent/US9961550B2/en active Active
-
2011
- 2011-10-11 MY MYPI2013001610A patent/MY168385A/en unknown
- 2011-10-11 AU AU2011323917A patent/AU2011323917B2/en active Active
- 2011-10-11 DK DK20154897.1T patent/DK3684007T3/da active
- 2011-10-11 CA CA2816989A patent/CA2816989C/en active Active
- 2011-10-11 ES ES20154897T patent/ES2932380T3/es active Active
- 2011-10-11 CN CN201180059505.XA patent/CN103430183B/zh active Active
- 2011-10-11 SG SG2013034319A patent/SG190152A1/en unknown
- 2011-10-11 EP EP20154897.1A patent/EP3684007B1/en active Active
- 2011-10-11 DK DK20154890.6T patent/DK3664367T3/da active
- 2011-10-11 BR BR112013011804A patent/BR112013011804A2/pt not_active Application Discontinuation
- 2011-10-11 EP EP20154890.6A patent/EP3664367B1/en active Active
- 2011-10-11 EP EP11838427.0A patent/EP2635994B1/en active Active
- 2011-10-11 WO PCT/US2011/055705 patent/WO2012060979A1/en active Application Filing
- 2011-10-11 JP JP2013537679A patent/JP2014501955A/ja active Pending
- 2011-10-11 ES ES20154890T patent/ES2911500T3/es active Active
- 2011-10-11 CA CA3077012A patent/CA3077012C/en active Active
- 2011-10-11 KR KR1020137014246A patent/KR101430376B1/ko active IP Right Grant
- 2011-11-02 TW TW100139923A patent/TWI536285B/zh active
-
2016
- 2016-05-02 US US15/144,118 patent/US10455420B2/en active Active
- 2016-06-01 JP JP2016110199A patent/JP6349347B2/ja active Active
-
2018
- 2018-04-10 US US15/949,244 patent/US10609562B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10712126B2 (en) | 2015-08-25 | 2020-07-14 | Axon Enterprise, Inc. | Systems and methods for cooperation among weapons, holsters, and recorders |
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW201229932A (en) | Physically secured authorization for utility applications | |
US10404670B2 (en) | Data security service | |
US11036869B2 (en) | Data security with a security module | |
US10911457B2 (en) | Immediate policy effectiveness in eventually consistent systems | |
CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
US10211977B1 (en) | Secure management of information using a security module | |
US9547771B2 (en) | Policy enforcement with associated data | |
CN109074449A (zh) | 在安全飞地中灵活地供应证明密钥 | |
CN109361668A (zh) | 一种数据可信传输方法 | |
CA2899027C (en) | Data security service | |
EP3585023B1 (en) | Data protection method and system | |
US9300639B1 (en) | Device coordination | |
WO2020023460A1 (en) | Systems and methods for secure custodial service | |
JP6906521B2 (ja) | 生体認証プロトコル標準のシステムおよび方法 | |
CN106027503A (zh) | 一种基于tpm的云存储数据加密方法 | |
CN103001976A (zh) | 一种安全的网络信息传输方法 | |
CN103003822A (zh) | 对平台资源的域认证控制 | |
CN104333545B (zh) | 对云存储文件数据进行加密的方法 | |
WO2021055999A2 (en) | Quantum communication system | |
Shen et al. | SecDM: Securing data migration between cloud storage systems | |
Anand et al. | Identity and access management systems | |
CN109644185A (zh) | 用于进行安全电子数据通信的方法和装置 | |
CN105991524A (zh) | 家庭信息安全系统 | |
Jang-Jaccard et al. | Portable key management service for cloud storage | |
KR101508439B1 (ko) | 데이터 기밀성 보장 방법, 이를 이용하는 데이터 공유 방법 및 시스템 |