为了对公用事业管理系统提供整体安全性,要发布到该系统的部件的关键命令和控制消息是由安全授权机构明确批准的。明确批准认证所请求的动作并授权消息中所指示的具体动作的执行。公用事业管理与控制系统中与访问控制关联的关键部件放在物理掩体中。利用这种方法,变成只需要把负责批准网络动作的那些子系统放在掩体中。其它管理模块可以仍然留在掩体外面,由此避免把它们分割成放在掩体中的和不放在掩体中的部件的需求。对每个不放在掩体中的子系统的关键部件的访问是通过放在掩体中的批准系统来控制的。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】为了对公用事业管理系统提供整体安全性,要发布到该系统的部件的关键命令和控制消息是由安全授权机构明确批准的。明确批准认证所请求的动作并授权消息中所指示的具体动作的执行。公用事业管理与控制系统中与访问控制关联的关键部件放在物理掩体中。利用这种方法,变成只需要把负责批准网络动作的那些子系统放在掩体中。其它管理模块可以仍然留在掩体外面,由此避免把它们分割成放在掩体中的和不放在掩体中的部件的需求。对每个不放在掩体中的子系统的关键部件的访问是通过放在掩体中的批准系统来控制的。【专利说明】用于公用事业应用的物理安全授权
本公开涉及与公用事业公司关联的操作的管理与控制,尤其涉及管理和控制这种操作的系统的安全性。
技术介绍
公用事业公司具有复杂的、高度互连的系统,这种系统在运行大量关联软件模块的物理服务器上执行,用于管理和控制公用事业公司的操作。图1是可以在用于为消费者提供电力而且还有可能提供诸如气、水等的其它商品的公用事业公司的典型管理与控制系统中找到的部件中的一些的通用框图。系统的后端支援部门10包括与公用事业的各种操作关联的多个单独的子系统,例如消费者信息系统(CIS) 12、消费者关系模块(CRM) 14、停电管理系统(OMS) 16、GPS信息系统18、计费系统20、电网稳定模块22与用户接口 24。尽管在图1中没有说明,但是在后端支援部门10中还可以存在附加的功能性模块。这些子系统中的一些可以具有与分配网络中的设备通信的能力以便给其提供商品,并且远程控制与那些设备关联的操作。例如,后端支援部门服务器可以与位于消费者住所的单独的仪表26通信,以便为了计费而获得消费数据,并且命令仪表选择性地断开消费者与由公用事业公司提供的一种或多种商品的供给或者重新连接到由公用事业公司提供的一种或多种商品的供给。从后端支援部门服务器到单独仪表的其它命令可以包括从消费者接受外送(outbound)能量流的命令。在图1的例子中,仪表构成通过局域网30与后端支援部门通信的终端节点,其中局域网30具有把能量提供到网络中或者网络外面的接入点32。在一种实施例中,局域网可以是无线网状网络。接入点32通过广域网34或者专用通信链路与位于后端支援部门10的服务器通信。在这种类型的系统中,所关心的一个问题是远程断开与重新连接的安全管理,断开和重新连接分别会在消费者腾出住所或拖欠费用时或者当新消费者占有该住所时发生。恶意和/或错误发出的远程断开和/或重新连接住所的命令有可能使配电网络不稳定。未授权的重新连接也会导致所分配电力的窃取。为了限制这种可能性,必须努力确保命令和控制操作都以安全的方式发生,而且只能由被授权采取这种操作的实体进行。但是,由于典型公用事业的后端支援部门包括许多互联的系统,因此安全访问的实施变得很困难。公用事业中许多不同的组需要访问软件系统的全部或者部分,这使得限制对单个子系统的逻辑和/或物理访问的能力复杂化。对这个问题的一种可能的解决办法是把某些系统,或者这些系统的部分,放到物理上安全的环境中,在下文中称之为掩体(bunker)。掩体的例子包括访问受限的房间或容器,例如上锁的房间,及被保护系统周围的防篡改外壳或封装。掩体严格地限制对在其上执行所述系统或者所述系统的被保护部分的硬件设备的物理访问。此外,掩体中的系统输出非常有限的逻辑访问。但是,这种解决办法仍然存在具有挑战性的问题,因为很难重构公用事业软件系统来确定哪些部分需要放在掩体中,哪些部分可以保留在其外面,以便为需要它的人提供更灵活的访问。
技术实现思路
为了对公用事业公司管理系统提供整体安全性,发布到该系统的部件的关键命令与控制消息需要被安全授权机构明确批准。明确批准认证所请求的动作并且授权消息中所指示的具体动作的执行。公用事业管理与控制系统中与访问控制关联的关键部件放在物理上安全的环境中。利用这种方法,变成只需要物理上保护负责批准网络动作的那些子系统,例如通过掩体。换句话说,大部分的管理模块,诸如CIS、CRM、0MS、计费等,可以留在掩体的外面,由此避免把这些子系统分割成放到掩体中和不放到掩体中的部件的需求。对每个不放到掩体中的子系统的关键部件的访问是通过放到掩体中的批准系统来控制的。【专利附图】【附图说明】图1是公用事业管理与控制系统的通用框图;图2是具有放到掩体中的部件的公用事业后端支援部门系统的框图;图3是示意性地绘出当消息发送到仪表时的数据流的框图;图4是硬件安全模块的配置的框图;图5是经滑动窗口计数密码操作的多级缓冲区的框图;图6说明了用于发布对于命令的许可的系统与过程的例子;图7是许可的有效载荷的示例性格式的框图;及图8是在多个数据中心中实现的公用事业控制与管理系统的框图。具体实施例为了方便对本专利技术所基于的原理的理解,下文参考电力配送系统中远程连接与断开命令的安全控制来描述。但是,应当认识到,这个例子不是这些原理的仅有的实践应用。相反,它们可以联系任何类型的关键命令采用,这些关键命令如果被不正确地或者错误地发布的话,有可能严重干扰或损害系统。同样,它们可以结合发送到系统的关键部件的所有命令与控制消息一起使用,这些关键部件的正确操作在任何时候都是必需的。图2说明了其中实现本专利技术概念的数据中心40的例子。就像常规的那样,数据中心包含多个物理服务器,各种应用12、14、16在所述物理服务器上执行。尽管图中只说明了几个代表性的应用,但是应当认识到,大量的此类应用可以在数据中心中实现。相反,由任意两个或多个这种应用执行的功能可以集成到单个全面的程序中。位于数据中心中的还有具有受限物理访问的物理掩体42,诸如具有加固的墙壁的上锁房间。作为另一个例子,除了上锁之外或者代替上锁,掩体可以是利用安全摄像机、运动检测器等密切观察或保护的区域。作为还有另一个例子,掩体可以是物理上分布的,在分布的部分之间建立了安全关系。作为还有另一个例子,掩体可以是诸如通过使用安全执行软件和/或固件从逻辑上保护的,其中所述软件和/或固件的功能性被保护不受物理篡改,诸如自毁灭包装。掩体不需要是房间,还可以是例如物理上安全的盒子。具有关联的硬件安全模块44的一个或多个附加服务器设备位于掩体中,用于授权引擎46的实现,其中授权引擎46具有执行与安全性相关的操作,诸如授权、认证和记账,的软件模块。硬件安全模块44包含以安全方式的私有和其它秘密密钥。它还可以包含链接到私钥的公共证书。硬件安全模块优选地使用健壮的安全算法,诸如椭圆曲线密码或者另一种高度安全的密码方法,来执行密码操作。适于在此所述的应用的硬件安全模块的一个例子是来自Utimaco Safeware AG的硬件安全模块的SafeGuard CryptoServer产品线。对掩体及位于其中的服务器设备的安全访问可以利用生物传感器技术,例如指纹检测、物理密钥或令牌和/或口令保护,来加强。在一种实现中,可以采用有层次结构的分层的安全系统来最大化保护。如果安全性中的一层失败,例如口令意外泄漏或被窃,那么更高级的安全机制可以被激活,诸如密钥或令牌启动死锁,来维护整个系统的物理安全性。来自不放在掩体中的后端支援部门应用12-16等中的某些类型的命令是受约束的,使得它们除非被单独认证否则将被不执行。例如,远程断开和重新连接本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:R·瓦斯瓦尼,W·C·Y·尤恩格,C·赛伯特,N·B·波尔亚德,B·N·达姆,M·C·圣约翰斯,
申请(专利权)人:思飞信智能电网公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。