用于设备操作的安全端到端许可系统的制作方法
【技术领域】
[0001] 本公开涉及发布用于将被系统中的设备(诸如网络中的节点)执行的操作的命 令,并且更特别地涉及向系统内的设备发布的命令的安全端到端验证和授权。
【背景技术】
[0002] 存在各种不同类型的系统,其中向系统内的设备发布命令以执行操作,并且其中 针对发布的命令的正确授权以及对该命令的发布者的验证对于系统的正确操作至关重要。 这种系统的一个例子是配电网络。这种系统的操作模型可以改变,并且多个不同方可以对 发送到网络的不同实体的消息和控制命令的不同集合行使权力。如果未被授权的命令被发 送到网络中的设备,例如,指示配电变压器在配电网上的负载不能适应该改变时改变其输 出电压,电网可能变得不稳定并且引起停电和/或损坏。在另一个方面,补充账单到期即付 计量表的未被授权的命令可能导致经由网络分配的能量资源被盗窃。因此,向设备发布的 命令应该符合被设计为防止这些发生的商业策略,并且应当在实现命令的操作之前在设备 处检验命令的验证。
[0003] 当然,配电网络之外的系统具有类似类型的安全顾虑。例如,即使在人们具有对路 由器以及其它网络组件的物理访问并可能能够直接向它们输入命令的情况下,商业的信息 技术系统还可能需要保护其路由器以及其它网络组件的配置。
[0004] 在提交于2010年11月4日的美国申请No. 12/939702中公开了确保向设备发布 的命令的安全性的系统的一个例子。公开的系统包括实现许可操作的代理,诸如硬件安全 模块。当控制和/或管理应用具有将被发送给设备的命令时,该命令首先被转发给该代理, 在其处该命令被检查以确定它是否符合被设计为确保被命令的设备的正确操作的策略。如 果该命令符合,那么代理签署涉及该命令的数据,并且还可选择地加密该数据。然后代理发 布包含被签署的命令数据的许可。该许可被传输到设备以执行被命令的操作。
[0005] 在诸如配电网络的复杂系统中,多个负责方对发送给网络中的不同实体的消息和 控制命令的不同集合行使权力。因此,根据发布命令方和被发送命令的实体,可能需要参考 商业逻辑的不同集合以便确认该命令以及发布方符合建立的策略。久而久之,某些商业逻 辑可能需要被更新以适应系统配置的改变、新的进行发布的权威机构和/或可以改变的其 它因素。因此,希望提供灵活的许可系统,其可以经由设计良好的接口来接受来自各种来源 的许可请求,且针对每一类来源或每一个许可的发布具有可配置的规则。另外,被包含在可 配置的规则中的商业逻辑应当能针对各种应用,同时确保发布的命令的必要的安全性。
【发明内容】
[0006] 一种用于控制系统中的设备的许可系统包括发布许可的代理,该发布许可的代理 接收将被发送到设备的命令。基于命令的至少一个属性,该发布许可的代理标识与该命令 有关的一个或多个商业逻辑模块。每个商业逻辑模块具有与其相关联的各个不同的商业规 则集合。该代理针对给定命令标识出的每个商业逻辑模块确定该命令是否符合与该模块相 关联的商业规则。如果该命令被确定为符合所有被标识的商业逻辑模块的商业规则,则代 理发布针对该命令的许可,并且该许可被发送到该设备,以便执行该命令。
[0007] 在接收到该许可之后,设备检查该许可以检验该命令是由被授权的来源发布的以 及该许可是否有效。如果是,则它执行该命令并且返回被签署的应答以便确认该执行。在 一个实施例中,该应答由执行该命令的设备本身签署,而不是由与该设备相关联的通信模 块签署,从而提供用于在系统后台部门和系统中的设备之间交换的命令以及其它通信的完 整的端到端安全性。
【附图说明】
[0008] 图1是示例性系统的示意图,其中可以实现本发明的原理;
[0009] 图2A是用于发布针对命令的许可的系统和过程的框图;
[0010] 图2B是发布许可的代理的硬件实现的一个实施例的框图;
[0011] 图3是示出用于发布许可的代理的操作逻辑的操作的示例算法的流程图;
[0012] 图4A是用于签名包装的示例格式的框图;
[0013] 图4B是许可有效载荷的不例格式的框图;
[0014] 图5是示出在接收命令时在设备中执行的验证过程的示例算法的流程图;和
[0015] 图6是示出用于检查响应的代理的操作逻辑的操作的示例算法的流程图。
【具体实施方式】
[0016] 为了便于理解本发明基于的原理,在下文中参考向配电系统中的设备发布的命令 的安全控制描述其实现的实际例子。然而,应当理解,这些例子不是这些原理的仅有的实际 应用。而是这些原理可被应用于任何类型的系统,在所述系统中如果关键命令被不正确地 或错误地发布,则这些命令具有严重破坏或损坏该系统的可能。同样,这些原理可结合发送 到系统的关键部件的所有命令和控制消息而被使用,所述关键部件的正确操作始终是必须 的。
[0017] 图1示出了一种类型的管理和控制系统的示例,其中可以实现本发明的原理。该 系统的后台部门10包括与整个系统的各种操作相关联的多个单独子系统或应用12。每个 应用可以与在该系统内执行的特定操作相关联,和/或控制构成该系统的设备的子集。在 配电网络的情况下,例如,应用12可以包括顾客信息系统、顾客关系模块、停电管理系统、 计费系统、电网稳定性模块和用户接口。对于其它类型的系统,可以在后台部门中实现应用 的不同集合。
[0018] 这些应用中的至少某些应用可以具有与经由网络连接到后台部门的设备通信的 能力。例如,某些应用可以与各个端点设备14通信。在配电系统的情况下,例如,这些端点 设备中的某些可以是电表,所述电表在各个顾客的房屋处获得消耗数据并且出于计费的目 的与后台部门10通信,以便提供停电和其它异常情况的通知以及用于各种系统管理目的。 其它端点设备可以是配电网络中的装置,诸如变电站和变压器,它们提供状态信息和通知。 每个端点设备与通信模块15 (例如网络接口卡)相关联,所述通信模块15使得能够相对于 该设备传输消息。多于一个的设备可以与给定的通信模块相关联。
[0019] 端点设备可以经由它们的相关联的通信模块通过具有接入点18的局域网16而与 后台部门通信,接入点18提供进出网络的出口。局域网可以是有线网络、无线网络(例如 网状网络)或两个网络的组合。接入点18可以借助于广域网20或一个或多个专用通信链 路来与后台部门10处的服务器通信。
[0020] 在这种类型的系统中,关心的一个问题是发布至设备的命令以及从设备返回的信 息的安全管理。恶意和/或错误发布的命令可能具有破坏系统操作的可能。为了限制这些 可能性,应当努力确保以安全方式发生命令和控制操作,并且仅由被授权的实体承担这种 操作。然而,因为系统的后台部门可能由各种互连系统组成,所以安全性的实施变得困难。 许多不同的组可能需要访问所有或部分软件系统,这使得限制对各个子系统的逻辑和/或 物理访问的能力复杂化。
[0021] 为了在这种系统中提供端到端安全性,采用一种许可机制以授权将被发布至系统 内的设备的命令,并且验证那些命令的发布者。图2A示出了用于发布许可的布置和过程的 一个例子。在这个例子中,后台部门10中的商业应用12中的一个商业应用发布用于系统 中的特定设备或者设备组的命令,以执行操作。在接收到该命令之后,设备管理应用22可 以安排将被执行的操作,然后确定该操作是否需要许可。如果需要,那么它在安全链路上向 发布许可的代理24发送该命令,请求向设备发送该命令的许可。发布许可的代理可被实现 在位于后台部门10处的服务器内,或者可以是分立的设备。发布许可的代理和后台部门应 用之间的接口可以是安全的或专有的网络协议、程序化连接(例如来自请求许可的应用的 本地呼叫)、电子邮件或类似类型的信息。
[0022] 发布许可的代理(在下文中讨论)的组件可以是单个管理设备的一部分、彼此通 信的多个单独设备或两种实现的组合。参考图2B,发布许可的代理至少由处理器34、由有 形存储介质(例如,RAM、R0M、闪速存储器、磁性和/或光盘等)构成的一种或多种形式的 存储器36以及通信接口 38构成。存储器36存储由处理器执行的程序指令,以执行在下文 中描述的许可操作。存储器还存储商业逻辑,该