《用于公用事业应用的物理安全授权.pdf》由会员分享,可在线阅读,更多相关《用于公用事业应用的物理安全授权.pdf(17页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103430183 A(43)申请公布日 2013.12.04CN103430183A*CN103430183A*(21)申请号 201180059505.X(22)申请日 2011.10.1112/939,702 2010.11.04 USG06F 21/57(2013.01)G06F 21/71(2013.01)H04L 9/32(2006.01)(71)申请人思飞信智能电网公司地址美国加利福尼亚(72)发明人 R瓦斯瓦尼 WCY尤恩格C赛伯特 NB波尔亚德BN达姆 MC圣约翰斯(74)专利代理机构中国国际贸易促进委员会专利商标事务所 11038代理人鲍进(54)。
2、 发明名称用于公用事业应用的物理安全授权(57) 摘要为了对公用事业管理系统提供整体安全性,要发布到该系统的部件的关键命令和控制消息是由安全授权机构明确批准的。明确批准认证所请求的动作并授权消息中所指示的具体动作的执行。公用事业管理与控制系统中与访问控制关联的关键部件放在物理掩体中。利用这种方法,变成只需要把负责批准网络动作的那些子系统放在掩体中。其它管理模块可以仍然留在掩体外面,由此避免把它们分割成放在掩体中的和不放在掩体中的部件的需求。对每个不放在掩体中的子系统的关键部件的访问是通过放在掩体中的批准系统来控制的。(30)优先权数据(85)PCT申请进入国家阶段日2013.06.09(86)。
3、PCT申请的申请数据PCT/US2011/055705 2011.10.11(87)PCT申请的公布数据WO2012/060979 EN 2012.05.10(51)Int.Cl.权利要求书4页 说明书8页 附图4页(19)中华人民共和国国家知识产权局(12)发明专利申请权利要求书4页 说明书8页 附图4页(10)申请公布号 CN 103430183 ACN 103430183 A1/4页21.一种用于公用事业应用的数据中心,包括:物理上安全的环境;在所述物理上安全的环境之外的至少一台服务器,配置成执行与公用事业的操作关联的一个或多个应用程序,所述应用程序中的至少一些具有用于从位于数据中心之外。
4、的位置接收远程请求以执行和公用事业的操作有关的功能的接口;硬件安全模块,位于所述物理上安全的环境中并且存储秘密密钥;位于所述物理上安全的环境中的授权引擎,配置成接收指向所述应用程序的远程请求并且提供授权请求,所述授权请求是根据所述秘密密钥签名的;及位于所述物理上安全的环境中的策略模块,配置成根据与所述应用程序关联的业务逻辑处理远程请求并且选择性地使请求能够被所述授权引擎授权。2.如权利要求1所述的数据中心,还包括:用于所述接口的代理服务器,位于所述物理上安全的环境中,所述代理服务器操作以接收在所述数据中心接收到的并且要针对所述应用程序的远程请求,并且把所述接收到的请求转发到所述策略模块。3.如。
5、权利要求1所述的数据中心,其中所述应用程序配置成把由所述应用程序接收到的远程请求重定向到所述策略模块。4.如权利要求1所述的数据中心,其中策略模块配置成确定在预定时间段内发布的、包含断开电力的命令的远程请求的次数是否超过限制值,并且,如果请求的次数超过限制值,就阻止命令的执行。5.如权利要求1所述的数据中心,其中策略模块配置成确定包含断开和重新连接电力的命令的远程请求序列是否与同一个消费者关联,并且,如果它们满足这一条件,就阻止命令的执行。6.如权利要求1所述的数据中心,其中策略模块配置成确定包含断开或重新连接电力的命令的远程请求是否与消费者的当前状态不一致,并且,如果不一致,就阻止命令的执行。
6、。7.如权利要求1所述的数据中心,其中策略模块配置成确定远程请求是否是从经认证的来源接收到的,并且,如果所述来源未通过认证,就阻止请求被处理。8.如权利要求1所述的数据中心,其中策略模块配置成确定执行操作的远程请求是否是从具有对请求这种操作的许可的应用接收到的,并且如果发出请求的应用不具有这种许可,就阻止请求被处理。9.如权利要求1所述的数据中心,其中策略模块能够由从物理上安全的环境中输入的命令重新配置。10.一种公用事业控制与通信网络,包括:多个终端节点;数据中心,包括:物理上安全的环境,具有关联的认证证书;至少一台服务器,配置成执行与公用事业的操作关联的一个或多个应用程序,所述应用程序中的。
7、至少一些具有用于从位于数据中心之外的位置接收远程请求以执行与公用事业的操作有关的功能的接口;权 利 要 求 书CN 103430183 A2/4页3硬件安全模块,位于所述物理上安全的环境中并且存储密码密钥;及位于所述物理上安全的环境中的授权引擎,配置成接收指向所述应用程序的远程请求并且提供根据所述密码密钥签名的授权请求;至少一个接入点,所述终端节点经过所述接入点与位于所述数据中心中的应用程序通信;及服务器,响应于数据中心处的物理上安全的环境的安全性已经受损的指示,向接入点发布配置证书撤销列表的命令,所述命令指示与其安全性受损的物理上安全的环境关联的证书无效,并且向所述终端节点发布从接入点加载证。
8、书撤销列表的命令。11.如权利要求10所述的网络,其中,响应于在数据中心处的物理上安全的环境的安全性已经受损的指示,所述服务器还向接入点发布忽略源自其物理上安全的环境已经受损的数据中心的通信的命令。12.如权利要求10所述的网络,其中终端节点配置成确定接收到的命令是否是通过使用与密码密钥关联的公钥授权的。13.一种用于控制公用事业网络中的设备的方法,包括:生成对于要由公用事业网络中的设备执行的操作的命令;把命令转发到硬件安全模块;在硬件安全模块中,执行以下功能:对命令执行密码服务,使得对其执行了该服务的命令的接收方能够认证所述命令是允许接收方执行的命令,计数在规定时间段内硬件安全模块执行密码服。
9、务的次数,及如果在规定时间段内执行密码服务的所计数的次数超过阈值限制,就终止对接收到的命令执行进一步密码服务;及把对其执行了密码服务的命令发送到公用事业网络中的设备,以便执行该操作。14.如权利要求13所述的方法,其中密码服务次数的计数是在规定时段的滑动时间窗口上执行的。15.如权利要求14所述的方法,其中密码服务次数的计数是针对多个滑动时间窗口执行的,每个窗口都与不同的相应时间长度和阈值限制关联。16.如权利要求13所述的方法,其中密码服务是命令的加密。17.如权利要求13所述的方法,其中密码服务是对命令进行签名。18.如权利要求13所述的方法,还包括步骤:当密码服务的所计数的次数达到小于所。
10、述阈值限制的预定值时生成报警。19.如权利要求13所述的方法,其中硬件安全模块包括多个槽,而且其中所述功能是在所述槽中的一个中执行的。20.如权利要求19所述的方法,其中所述功能还利用不同的相应阈值限制在第二个槽中执行。21.如权利要求13所述的方法,其中设备配置成确定接收到的命令是否是通过使用与密码服务关联的公钥授权的。22.一种用于控制公用事业网络中的设备的方法,包括:生成对于要由公用事业网络中的设备执行的操作的命令;权 利 要 求 书CN 103430183 A3/4页4确定所生成的命令是否需要许可;如果所生成的命令需要许可,就把命令转发到许可服务器;在许可服务器中,生成许可,所述许可规。
11、定(i)许可有效的时段,(ii)要执行的操作,及(iii)要执行所述操作的设备;把包含许可的数据包发送到公用事业网络中的设备;当在设备处接收到数据包时,确定所规定的操作是否需要许可,而且,如果需要的话就确定许可当前是否有效;及如果许可当前有效,就执行所规定的操作。23.如权利要求22所述的方法,其中许可包含指示许可何时变得有效的开始值,及指示从开始值开始许可保持有效的时间长度的持续时间值。24.如权利要求22所述的方法,其中许可包括第一字段和第二字段,所述第一字段包含要执行操作的设备的标识,而所述第二字段指示第一字段的格式。25.如权利要求24所述的方法,其中第一字段中所包含的标识包括设备的M。
12、AC地址。26.如权利要求24所述的方法,其中格式是DER八位字节串。27.如权利要求22所述的方法,其中许可是利用与许可服务器关联的密钥签名的,而且设备验证许可的签名。28.如权利要求22所述的方法,其中许可服务器是在硬件安全模块中实现的。29.如权利要求28所述的方法,其中硬件安全模块执行以下功能:计数在规定时间段内由硬件安全模块生成许可的次数,及如果在规定时间段内生成许可的所计数的次数超过阈值限制,对于接收到的命令就终止进一步许可的生成。30.如权利要求29所述的方法,其中生成许可的次数的计数是在规定时段的滑动时间窗口上执行的。31.如权利要求30所述的方法,其中生成许可的次数的计数是针。
13、对多个滑动时间窗口执行的,每个窗口都与不同的相应时间长度和阈值限制关联。32.一种用于公用事业网络的认证系统,包括:许可服务器,配置成接收对于要由公用事业网络中的设备执行的操作的命令,并且生成许可,所述许可规定(i)许可有效的时段,(ii)要执行的操作,及(iii)要执行所述操作的设备;及通信接口,配置成把包含许可的数据包发送到公用事业网络中的设备。33.如权利要求32所述的认证系统,其中许可包含指示许可何时变得有效的开始值,及指示从开始值开始许可保持有效的时间长度的持续时间值。34.如权利要求32所述的认证系统,其中许可服务器是在硬件安全模块中实现的。35.如权利要求34所述的认证系统,其中。
14、硬件安全模块配置成执行以下功能:计数在规定时间段内由硬件安全模块生成许可的次数,及如果在规定时间段内生成许可的所计数的次数超过阈值限制,对于接收到的命令就终止进一步许可的生成。36.如权利要求35所述的认证系统,其中生成许可的次数的计数是在规定时段的滑动时间窗口上执行的。权 利 要 求 书CN 103430183 A4/4页537.如权利要求36所述的认证系统,其中生成许可的次数的计数是针对多个滑动时间窗口执行的,每个窗口都与不同的相应时间长度和阈值限制关联。38.如权利要求32所述的认证系统,还包括其中放置了许可服务器的物理上安全的环境。39.一种公用事业网络,包括:许可服务器,配置成接收对。
15、于要由公用事业网络中的设备执行的操作的命令,并且生成许可,所述许可规定(i)许可有效的时段,(ii)要执行的操作,及(iii)要执行所述操作的设备;通信接口,配置成经公用事业网络发送包含许可的数据包;及连接到公用事业网络的多个设备,用于接收数据包,每个所述设备都配置成:确定在接收到的数据包中所规定的操作是否需要许可,如果需要,就确定许可当前是否有效,及如果许可当前有效,就执行所规定的操作。40.如权利要求39所述的公用事业网络,其中许可包含指示许可何时变得有效的开始值,及指示从开始值开始许可保持有效的时间长度的持续时间值。41.如权利要求39所述的公用事业网络,其中许可服务器配置成利用密钥对许。
16、可进行签名,并且设备配置成验证许可的签名。42.如权利要求39所述的公用事业网络,其中许可服务器是在硬件安全模块中实现的。43.如权利要求42所述的公用事业网络,其中硬件安全模块配置成执行以下功能:计数在规定时间段内由硬件安全模块生成许可的次数,及如果在规定时间段内生成许可的所计数的次数超过阈值限制,对于接收到的命令就终止进一步许可的生成。44.如权利要求43所述的公用事业网络,其中生成许可的次数的计数是在规定时段的滑动时间窗口上执行的。45.如权利要求44所述的公用事业网络,其中生成许可的次数的计数是针对多个滑动时间窗口执行的,每个窗口都与不同的相应时间长度和阈值限制关联。权 利 要 求 书。
17、CN 103430183 A1/8页6用于公用事业应用的物理安全授权技术领域0001 本公开涉及与公用事业公司关联的操作的管理与控制,尤其涉及管理和控制这种操作的系统的安全性。背景技术0002 公用事业公司具有复杂的、高度互连的系统,这种系统在运行大量关联软件模块的物理服务器上执行,用于管理和控制公用事业公司的操作。图1是可以在用于为消费者提供电力而且还有可能提供诸如气、水等的其它商品的公用事业公司的典型管理与控制系统中找到的部件中的一些的通用框图。系统的后端支援部门10包括与公用事业的各种操作关联的多个单独的子系统,例如消费者信息系统(CIS)12、消费者关系模块(CRM)14、停电管理系统。
18、(OMS)16、GPS信息系统18、计费系统20、电网稳定模块22与用户接口24。尽管在图1中没有说明,但是在后端支援部门10中还可以存在附加的功能性模块。这些子系统中的一些可以具有与分配网络中的设备通信的能力以便给其提供商品,并且远程控制与那些设备关联的操作。例如,后端支援部门服务器可以与位于消费者住所的单独的仪表26通信,以便为了计费而获得消费数据,并且命令仪表选择性地断开消费者与由公用事业公司提供的一种或多种商品的供给或者重新连接到由公用事业公司提供的一种或多种商品的供给。从后端支援部门服务器到单独仪表的其它命令可以包括从消费者接受外送(outbound)能量流的命令。0003 在图1的。
19、例子中,仪表构成通过局域网30与后端支援部门通信的终端节点,其中局域网30具有把能量提供到网络中或者网络外面的接入点32。在一种实施例中,局域网可以是无线网状网络。接入点32通过广域网34或者专用通信链路与位于后端支援部门10的服务器通信。0004 在这种类型的系统中,所关心的一个问题是远程断开与重新连接的安全管理,断开和重新连接分别会在消费者腾出住所或拖欠费用时或者当新消费者占有该住所时发生。恶意和/或错误发出的远程断开和/或重新连接住所的命令有可能使配电网络不稳定。未授权的重新连接也会导致所分配电力的窃取。为了限制这种可能性,必须努力确保命令和控制操作都以安全的方式发生,而且只能由被授权采。
20、取这种操作的实体进行。但是,由于典型公用事业的后端支援部门包括许多互联的系统,因此安全访问的实施变得很困难。公用事业中许多不同的组需要访问软件系统的全部或者部分,这使得限制对单个子系统的逻辑和/或物理访问的能力复杂化。0005 对这个问题的一种可能的解决办法是把某些系统,或者这些系统的部分,放到物理上安全的环境中,在下文中称之为掩体(bunker)。掩体的例子包括访问受限的房间或容器,例如上锁的房间,及被保护系统周围的防篡改外壳或封装。掩体严格地限制对在其上执行所述系统或者所述系统的被保护部分的硬件设备的物理访问。此外,掩体中的系统输出非常有限的逻辑访问。但是,这种解决办法仍然存在具有挑战性的。
21、问题,因为很难重构公用事业软件系统来确定哪些部分需要放在掩体中,哪些部分可以保留在其外面,以便为需要说 明 书CN 103430183 A2/8页7它的人提供更灵活的访问。发明内容0006 为了对公用事业公司管理系统提供整体安全性,发布到该系统的部件的关键命令与控制消息需要被安全授权机构明确批准。明确批准认证所请求的动作并且授权消息中所指示的具体动作的执行。公用事业管理与控制系统中与访问控制关联的关键部件放在物理上安全的环境中。利用这种方法,变成只需要物理上保护负责批准网络动作的那些子系统,例如通过掩体。换句话说,大部分的管理模块,诸如CIS、CRM、OMS、计费等,可以留在掩体的外面,由此避。
22、免把这些子系统分割成放到掩体中和不放到掩体中的部件的需求。对每个不放到掩体中的子系统的关键部件的访问是通过放到掩体中的批准系统来控制的。附图说明0007 图1是公用事业管理与控制系统的通用框图;0008 图2是具有放到掩体中的部件的公用事业后端支援部门系统的框图;0009 图3是示意性地绘出当消息发送到仪表时的数据流的框图;0010 图4是硬件安全模块的配置的框图;0011 图5是经滑动窗口计数密码操作的多级缓冲区的框图;0012 图6说明了用于发布对于命令的许可的系统与过程的例子;0013 图7是许可的有效载荷的示例性格式的框图;及0014 图8是在多个数据中心中实现的公用事业控制与管理系统。
23、的框图。具体实施例0015 为了方便对本发明所基于的原理的理解,下文参考电力配送系统中远程连接与断开命令的安全控制来描述。但是,应当认识到,这个例子不是这些原理的仅有的实践应用。相反,它们可以联系任何类型的关键命令采用,这些关键命令如果被不正确地或者错误地发布的话,有可能严重干扰或损害系统。同样,它们可以结合发送到系统的关键部件的所有命令与控制消息一起使用,这些关键部件的正确操作在任何时候都是必需的。0016 图2说明了其中实现本发明概念的数据中心40的例子。就像常规的那样,数据中心包含多个物理服务器,各种应用12、14、16在所述物理服务器上执行。尽管图中只说明了几个代表性的应用,但是应当认。
24、识到,大量的此类应用可以在数据中心中实现。相反,由任意两个或多个这种应用执行的功能可以集成到单个全面的程序中。0017 位于数据中心中的还有具有受限物理访问的物理掩体42,诸如具有加固的墙壁的上锁房间。作为另一个例子,除了上锁之外或者代替上锁,掩体可以是利用安全摄像机、运动检测器等密切观察或保护的区域。作为还有另一个例子,掩体可以是物理上分布的,在分布的部分之间建立了安全关系。作为还有另一个例子,掩体可以是诸如通过使用安全执行软件和/或固件从逻辑上保护的,其中所述软件和/或固件的功能性被保护不受物理篡改,诸如自毁灭包装。掩体不需要是房间,还可以是例如物理上安全的盒子。0018 具有关联的硬件安。
25、全模块44的一个或多个附加服务器设备位于掩体中,用于授权引擎46的实现,其中授权引擎46具有执行与安全性相关的操作,诸如授权、认证和记账,说 明 书CN 103430183 A3/8页8的软件模块。硬件安全模块44包含以安全方式的私有和其它秘密密钥。它还可以包含链接到私钥的公共证书。硬件安全模块优选地使用健壮的安全算法,诸如椭圆曲线密码或者另一种高度安全的密码方法,来执行密码操作。适于在此所述的应用的硬件安全模块的一个例子是来自Utimaco Safeware AG的硬件安全模块的SafeGuard CryptoServer产品线。0019 对掩体及位于其中的服务器设备的安全访问可以利用生物传。
26、感器技术,例如指纹检测、物理密钥或令牌和/或口令保护,来加强。在一种实现中,可以采用有层次结构的分层的安全系统来最大化保护。如果安全性中的一层失败,例如口令意外泄漏或被窃,那么更高级的安全机制可以被激活,诸如密钥或令牌启动死锁,来维护整个系统的物理安全性。0020 来自不放在掩体中的后端支援部门应用12-16等中的某些类型的命令是受约束的,使得它们除非被单独认证否则将被不执行。例如,远程断开和重新连接命令是这些受限命令中的一类,由于它们会严重干扰电力配电网络稳定性的可能性。为了加强与这些类型的操作有关的安全性,执行它们的应用可以只在命令源自掩体42中的控制台或者以别的方式被从掩体42中发布的许。
27、可认证的时候才接受命令这么进行。因而,只有有权利发布这些命令和拥有访问掩体的必要手段,例如口令、密钥、指纹等,的人员才能够对应用发布受限的命令。0021 当启动生成命令的操作时,它可以被授权引擎46签名或者以别的方式认证,然后转发到与在掩体42外面的适当应用关联的应用编程接口(API)。例如,命令可以由存储在硬件安全模块44中的私钥来签名。当在外部应用,例如应用12-16中的一个或者运行在仪表26之一中的应用处接收到经签名的命令时,通过该应用可以访问的公钥来验证该命令。一旦得到验证该命令是源自掩体内,该命令就由所述外部应用执行。0022 在有些情况下,让发布远程断开命令的实体物理地位于掩体中可。
28、能是不实际的。但是,如果支持这种命令的远程生成,那么这种命令可能是由假扮被授权实体的用户恶意发布的。为了限制这种事件的可能性,根据本发明,在掩体中实现策略模块48。策略模块可以是单独的软件或固件部件,如图2中所绘出的,或者逻辑地结合到硬件安全模块中,如下文将描述的。策略模块48可以以安全的方式诸如通过从掩体内部输入的命令被重新配置或者重新编程。这个模块包含检查所请求的动作并且确定是否允许其执行的业务逻辑。例如,如果重新连接命令是在可能干扰配电网络稳定性的序列中或者具有利用定时发布的,它们就可以通过策略被阻塞而且不传递到授权引擎进行签名。此外,策略标记可以出现并且执行适当的动作,诸如在检测到某些。
29、条件的时候断开与发布命令的实体。这些条件可以包括,例如:0023 1.例如在预定的时间间隔内,同时发布了大量的远程断开命令,这指示把用户从配电网络恶意断开的可能意图;0024 2.命令是以可疑的次序发布的,诸如与同一消费者关联的重复的连接与断开命令序列,或者与消费者的当前状态不一致的命令,例如向还没有连接到电网的用户发布断开命令;0025 3.发出请求的应用未能提供必要的凭证,或者以别的方式被认证;0026 4.发出请求的应用不在具有发布某些操作的许可的一组被批准的应用之内;及0027 5.基于实际的电力负荷和计划的电力需求,配送网络的状态。0028 为了实现这种功能性,掩体可以包含代理服务器。
30、50,用于在掩体外面的应用的应说 明 书CN 103430183 A4/8页9用编程接口(API)。在操作中,当对用于这些“外部”应用中的一个的API进行调用时,该调用被指向掩体中的代理服务器50。代理服务器咨询策略模块48中的授权所述请求可能需要的公用事业业务逻辑,并且让适当的业务逻辑对请求进行签名。然后,请求被传递到授权引擎46进行签名。一旦被授权,代理服务器就可以为在掩体外面的被调用应用启用正常的API,并且与被授权的调用一起传递。0029 在一种可供选择的实现中,掩体42可以不包括代理服务器。在这种情况下,请求可以直接对外部应用的API进行。反过来,如果确定所请求的操作需要签名的话,外。
31、部应用就调用掩体中的授权引擎。缺省地,所有请求都可以为了授权而传递到掩体中,以避免需要由外部应用作出任何决定。提交给掩体的请求首先被检查并且由策略模块签名,然后传递到授权引擎46。一旦请求得到授权,被调用的应用就可以对该请求起作用。0030 掩体42中所包括的硬件安全模块44可以在两个层次上操作。下文联系在仪表26执行的操作来描述例子。在操作的第一层,公用事业公司可以制定位于后端支援部门10和仪表26处的应用或者网络30的任何其它部件之间的所有通信都必须被加密和签名的策略。这种策略的实现在图3的例子中绘出。在这个例子中,仪表管理应用52具有要发送到一个或多个仪表26的消息,例如命令。这种消息是。
32、在所述应用的仪表命令与接口模块54中构造的,并且转发到掩体42中的硬件安全模块44,具有执行该消息的适当加密与签署的请求。策略模块48可以首先做检查,以确认请求是否是源自被授权的来源。如果是,请求就一路传递到硬件安全模块。利用与应用关联的适当密钥,硬件安全模块44对消息执行所请求的操作,并且返回加密和签名后的数据。然后,仪表管理应用的命令与接口模块54创建结合了加密和签名后的消息的数据包,并且经网络30把它发送到仪表。0031 对于由应用52从网络30中的节点接收到的消息,它们首先转发到硬件安全模块,以被解密。模块48还可以对接收到的消息的发送方的可靠性和数据的完整性执行适当的验证。然后,经过。
33、验证和解密的消息返回到应用52。0032 对于关键操作,诸如远程连接与断开,硬件安全模块可以在第二层操作,以便加强对这种操作的速率限制。图4绘出了硬件安全模块的内部配置的一个例子。该模块配置成具有多个槽。每个槽都包含私钥、证书、秘密密钥和访问特权的集合,来执行诸如签名、加密、解密等的密码服务。不同的槽与不同的安全上下文关联,而且包含与其对应上下文有关的密钥、证书和其它信息。利用硬件安全模块对命令执行密码服务,诸如用私钥对其签名,使得命令的接收方,例如节点26,能够利用关联的公钥来认证命令的来源。策略模块48作出对于所请求的命令是否被允许提供给硬件安全模块以获得一个或多个密码服务的初始决定。00。
34、33 为了加强期望的业务逻辑,例如通过命令行管理工具,每个槽可以选择性地配置成具有一个或多个速率限制。配置槽的命令的一个例子如下:0034 HSM_configure slot=2rate-name=”rate1”window=24h count=100000035 这个命令把槽2配置成具有每个24小时的滑动窗口有10,000次密码操作的最大速率限制。如果在前面的24小时内出现了多于这个分配次数的密码操作,那么该槽将暂停全部进一步的密码操作。其后,管理员有必要通过发送复位命令来复位该槽。0036 槽可以配置成具有多于一个速率,如下:0037 HSM_configure slot=2rate-n。
35、ame=”rate1”window=24h count=40000说 明 书CN 103430183 A5/8页100038 HSM_configure slot=2rate-name=”rate2”window=60m count=20000039 这两个命令把槽2配置成具有两个速率限制窗口,一个是24小时的滑动窗口有40,000次密码操作,另一个是60分钟的滑动窗口有2000次密码操作。0040 如果槽配置成具有速率限制,那么在滑动窗口上针对所分配的限制对在该槽中执行的所有密码操作计数。在以上给出的例子中,如果在过去的24小时内有多于40,000次密码操作,或者在过去的60分钟内有多于20。
36、00次密码操作,那么该槽就暂停任何进一步的密码操作。0041 在一种实施例中,对违反阈值的记账可以5分钟的增量执行。图5说明了一个例子,其中槽配置成在25分钟的滑动窗口内有800次密码操作的限制。滑动窗口可以实现为多级缓冲区56。所说明的缓冲区包括五个级58,每个级代表5分钟的时间间隔。每个级包含在其对应时间间隔内槽所执行的密码操作的次数的计数。下表提供了给定时间点缓冲区中所包含的数据的快照。0042 级时间帧计数1 -25至-20分钟152 -20至-15分钟03 -15至-10分钟74 -10至-5分钟15 -5至0分钟60043 如果所有计数之和,在这个例子中是15+0+7+1+6=29。
37、,超过阈值,槽就暂停所有进一步的密码操作,直到它被管理员复位。为了在暂停操作之前通知管理人员,可以实现报警机制。例如,当总的计数超过速率限制的80%时生成第一报警,并且在其到达限制的90%时生成第二报警。0044 与最近间隔关联的级,在这个例子中是级5,保持对每个新密码操作的运行计数。在每个5分钟间隔结束时,所存储的计数移到下一个最旧的级中。最后一个级复位成零,并且开始为下一个5分钟间隔重新开始对密码操作进行计数。0045 由于每个槽可以选择性地配置成具有其自己的速率限制,因此在业务逻辑的实现中提供了灵活性。例如,如下文中所描述的,某些关键命令可以在执行之前需要显式类型的认证,下文中称为“许可”。这些命令可以映射到与执行许可过程的槽关联的安全上下文,并且具有特别严格的速率限制。其它类型的命令可以映射到不同的安全上下文并且可以经具有不太严格的速率限制的不同槽加密和/或签名。0046 对于关键命令,诸如远程断开和重新连接命令,更高级的安全性可能是合适的,诸如由多方批准,每一方都必须在接收节点通过认证。但是,从网络效率的角度看,如果为了执行命令只需要接触该命令所指向的节点一次,这将是期望的。在本发明的一方面,这些目标可以通过允许提供所有所需信息的系统使节点能够认证命令来实现。本质上,发送到应说 明 书CN 103430183 A10。