專利名稱:促進安全通信的制作方法
技術領域:
本發(fā)明涉及用于促進本地設備與遠程服務器之間的安全通信的設備���。
背景技術:
諸如氣體�、電力和水的公用事業(yè)的供應商越來越多地在消費者的家庭和營業(yè)場所中安裝“智能儀表”���。這些智能儀表包括允許公用事業(yè)供應商遠程地監(jiān)視使用的通信接口��。 然而���,此類智能儀表由于用戶或第三方篡改的危險而不能被用于任何其它地方。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的方面�����,因此提供了用于促進多個服務器與多個本地設備之間的通信的設備��,包括用于與所述服務器通信的第一網(wǎng)絡接口、用于與所述本地設備通信的第二網(wǎng)絡接口以及具有處理器�、存儲器、用于執(zhí)行密碼計算的密碼引擎和被配置為抵抗對所述設備篡改的防篡改元件的微控制器��,其中��,每個包括指令和數(shù)據(jù)的多個程序被存儲在所述存儲器中���,并且所述處理器被配置為針對第一本地設備�����,識別與所述設備相關聯(lián)的第一程序��,并使用所述第一程序來提供所述第一本地設備與第一服務器之間的安全通信信道��,其中��,所述處理器不能接受來自任何其它所述程序的命令以訪問或改變所述第一程序����,并且所述處理器不能通過所述安全通信信道來路由不是來自或到所述第一本地設備和所述第一服務器的消息�。
圖1舉例說明其中可以使用本發(fā)明的實施例的環(huán)境; 圖2舉例說明圖1所示的家庭���;
圖3是體現(xiàn)本發(fā)明的圖2所示的儀表的方框圖��; 圖4是圖3所示的安全微控制器的方框圖���; 圖5舉例說明圖4所示的存儲器的內(nèi)容����; 圖6詳述圖5所示的小程序(applet)���; 圖7詳述圖6所示的小程序�����; 圖8詳述圖6所示的安全域小程序; 圖9詳述用于圖3所示的儀表的操作步驟��;
圖10舉例說明圖2所示的本地設備與圖1所示的遠程服務器之間的安全通信�; 圖11是體現(xiàn)本發(fā)明的智能儀表的替換實施例; 圖12是體現(xiàn)本發(fā)明的智能儀表的另一替換實施例�; 圖13舉例說明包括圖3、12和13所示的智能儀表的網(wǎng)狀網(wǎng)絡�;以及圖14是體現(xiàn)本發(fā)明的通信設備的另一實施例。
具體實施方式
圖 1
圖1舉例說明其中可以使用本文所述的本發(fā)明的實施例的環(huán)境�����。服務器101、102�����、103��、 104和118被連接到因特網(wǎng)105�。服務器101是電力供應商的服務器,服務器102是氣體供應商的服務器���,服務器103是遠程護理提供商(telecare provider)的服務器�,并且服務器 104是超市連鎖店的服務器�����。各種家庭和營業(yè)場所也被連接到因特網(wǎng)105�。家庭106、107和108經(jīng)由主電力線連接到變電站109���。從其中����,它們從國家電網(wǎng)110抽取其功率。變電站109還包括接收從電力線發(fā)送下來的來自家庭的信號并將其以適當?shù)母袷睫D送至因特網(wǎng)105的集中器����。每個變電站通常可以為一百至兩百個地產(chǎn)提供服務����,雖然這里僅示出了三個。家庭111��、112和113被連接到變電站114���,經(jīng)由變電站114�,它們從國家電網(wǎng)110 抽取電力���。然而,這些家庭不經(jīng)由變電站向因特網(wǎng)進行通信�。相反,它們使用無線網(wǎng)狀網(wǎng)絡來與本地集中器115無線通信����。工廠119經(jīng)由變電站116來抽取功率。然而��,其不使用變電站116進行通信。相反����,其經(jīng)由GPRS調(diào)制解調(diào)器與GPRS網(wǎng)關117進行通信,其經(jīng)由所述GPRS網(wǎng)關117來訪問因特網(wǎng)105�����。用于家庭和營業(yè)場所連接到因特網(wǎng)的許多其它方式是可用的��。例如���,可以使用 WiMax無線電�、以太網(wǎng)�����、電話調(diào)制解調(diào)器����、ASDL寬帶或任何其它適當方法。在圖1所示的網(wǎng)絡中�,家庭或營業(yè)場所內(nèi)的設備可以安全地與服務器101至104 進行通信。因特網(wǎng)105的替換包括移動電話網(wǎng)絡�����、虛擬私用網(wǎng)絡或適合于設備與服務器之間的通信的另一網(wǎng)絡。圖 2
家庭106包括與遠程服務器通信的多個設備��。電力經(jīng)由主電力線201向家庭106提供并且房屋電力配線(premises electricity wiring) 202向在家庭中的設備提供功率�����。智能儀表203監(jiān)視電力的使用并且與電力供應商的服務器101通信以提供使用的細節(jié)��。智能儀表203包括與家庭中的其它設備通信的無線通信接口��。便攜式無線用戶接口 206向用戶顯示電力使用�,并且在本示例中被機械地附接于電冰箱205。家庭中的其它設備也與儀表203通信�����。氣體儀表204監(jiān)視氣體使用�����,磅秤207用來測量用戶的體重���,應急按鈕208用來在必要時發(fā)出警報�,并且太陽能電池組209和變壓器 210向住宅提供在必要時可以被輸出到國家電網(wǎng)110的附加功率���。這些設備中的每一個無線地與儀表203通信����,雖然對于與至相連的那些設備而言經(jīng)由配線202的通信也是可能的�����。這些設備中的每一個與相關遠程服務器通信��。因此�,氣體儀表204與氣體供應商服務器102通信,磅秤207和應急按鈕208與遠程護理提供商服務器103通信����,并且變壓器 210與電力供應商服務器101通信。由儀表203來促進并經(jīng)由主電源201���、變電站109處的集中器和因特網(wǎng)105來路由全部的此通信�。因此��,可以使用諸如電量表的家庭內(nèi)必須安裝的單個設備來使得能夠實現(xiàn)許多家庭設備與相關服務器之間的通信。然而����,極其重要的是每個通信鏈路是獨立且安全的,使得儀表203不能被用戶篡改���,并且由任何設備產(chǎn)生���、接收或存儲的數(shù)據(jù)不可被任何第三方訪問,包括家庭中的另一設備的制造商和不與通信設備相關聯(lián)的服務器的所有者��。圖 3在圖3中詳述儀表203�。其包括通信塊301、用戶接口 302�、計量設備303和電源單元 304。通信塊301包括廣域網(wǎng)(WAN)接口 305���、安全微控制器306和局域網(wǎng)(LAN)接口 307�。 安全微控制器306被連接到儀表的其它元件中的每一個���。計量設備303連接在輸入市電(mains electricity) 201與房屋電力配線202之間�����,并測量房屋106內(nèi)的電力消耗����。關于電力使用的信息在用戶接口 302上被顯示給用戶���。 電源單元304從輸入電力線201為智能儀表中的電子設備提供低壓電源���。在本實施例中,WAN接口 305經(jīng)由電力線201來促進通信����。LAN接口 307使用諸如 ZigBee 的協(xié)議來無線地促進通信。因此���,通過微控制器306來路由本地設備中的一個與服務器中的一個之間的任何通信���。在本示例中,通信塊301被實現(xiàn)為儀表203內(nèi)的模塊或子系統(tǒng)�����。通信塊301還可以被實現(xiàn)為被焊接到與儀表203的其它組件相同的印刷電路板的一組組件�。雖然在本示例中,儀表203是電量表,但其可以是用于任何公用事業(yè)(諸如氣體�、 水、熱等)的儀表����。此外,儀表的許多其它實施例是可能的��,并將參考圖11和12對這些實施例來進行討論�����。圖 4
圖4是安全微控制器306的方框圖���。其通常被如圖4所示地實現(xiàn)�����,但是應理解的是存在在某些細節(jié)方面與圖4不同的微控制器架構的許多變化�����。由中央處理單元406提供的處理器通過內(nèi)部總線408連接到可以用來存儲通常頻繁地改變的數(shù)據(jù)的RAM存儲器402和可以用來存儲通常很少或根本不改變的程序和數(shù)據(jù)的 ROM存儲器403���。外部接口元件401允許微控制器306通過外部接口 409與其它外部電路通信�����?���?蛇x地�����,一個或多個輸入-輸出元件405可以存在并通過輸入-輸出接口 410連接到其它組件�����。安全微控制器306還包括能夠執(zhí)行密碼學所需的計算的密碼元件404�。其還包括篡改檢測和防止元件407�,該篡改檢測和防止元件407被設計為檢測并擊敗由已確定且有技術的攻擊者進行的危害安全微控制器306的操作的嘗試。此類攻擊者可能設法讀取或修改存儲在RAM 402或ROM 403內(nèi)的程序和數(shù)據(jù)�。例如,如果攻擊者能夠讀取存儲在微控制器內(nèi)的密碼密鑰��,則他們將能夠讀取或修改正在交換加密消息的各方已假定為私用的加密消息�。此外,攻擊者還可能能夠修改數(shù)據(jù)或生成錯誤消息���,使得數(shù)據(jù)或消息的接收者不正確地相信該數(shù)據(jù)或消息是準確的�����。此外��,攻擊者隨后可能能夠制造偽造產(chǎn)
P
ΡΠ O對常規(guī)微控制器的攻擊被已知包括在極端的溫度下或極端的電源電壓下或極端的時鐘頻率下操作微控制器���。攻擊還包括使微控制器暴露于電磁場并向其外部接口或輸入-輸出接口上注入脈沖���。此外,攻擊包括能夠允許通過監(jiān)視能夠隨著微控制器執(zhí)行不同的內(nèi)部操作而發(fā)生的功率消耗方面的差來確定微控制器的內(nèi)部操作的功率分析�����。存在于安全微控制器內(nèi)的篡改檢測和防止元件407提供針對此類攻擊的保護����, 該保護在針對常規(guī)微控制器部署時可能是成功的,因此防止攻擊者讀取或修改包含在RAM 402或ROM 403內(nèi)的程序和數(shù)據(jù)�����。諸如微控制器306的安全微控制器被頻繁地在信用卡和智能卡中和在移動電話SIM卡中使用�����。這些常常稱為通用集成電路卡(UICC)。安全微控制器還可以在與個人計算機一起使用的安全存儲棧(memory stack)和加密狗(dongle)中和在某些計算機中發(fā)現(xiàn)的可信任平臺模塊中使用�。在一種實施方式中,在信用卡和智能卡中和在移動電話SIM卡中使用安全微控制器��,其中�,微控制器硅芯片被封閉在塑料卡中,并且其中��,通過在卡的面中的暴露金屬觸點來進行到卡的電連接����。然而��,安全微控制器還可以采取其它形式�����,包括其中硅芯片被封閉在塑料卡中且其中導電材料的線圈形成變壓器的一部分的無接觸卡形式�,所述變壓器允許向安全微控制器供應功率,并且還允許與安全微控制器的消息交換���。在另一實施方式中�����,安全微控制器被封裝在常規(guī)集成電路封裝中���,并且被焊接至印刷電路板�。在又另一實施方式中��, 安全微控制器被封裝在常規(guī)集成電路封裝中�����,并被焊接至構成把插頭插入個人計算機中的模塊的一部分的印刷電路板���。USB存儲棧和加密狗是此實施方式的示例���。可以使用任何實施方式作為本文所述的本發(fā)明的實施例的一部分�����。圖 5
圖5舉例說明由RAM 402和ROM 403體現(xiàn)的安全微控制器306的存儲器的內(nèi)容�����。存儲器中的程序加由WAN接口 305和LAN接口 307運行的程序控制通過WAN接口 305與遠程服務器101至104和118及通過LAN接口 307與本地設備的消息交換。在某些實施方式中���, 這些程序僅僅用于在遠程服務器與本地設備之間路由消息��。在其它實施方式中�����,程序用于存儲在從服務器和本地設備接收到的消息內(nèi)接收到的數(shù)據(jù)�、對數(shù)據(jù)執(zhí)行計算或另外處理該數(shù)據(jù)�����。安全操作系統(tǒng)501管理安全微控制器306的硬件資源�����。虛擬機502允許在實現(xiàn)相同虛擬機的任何安全微控制器上執(zhí)行對該虛擬機所寫的軟件���。虛擬機有時稱為字節(jié)代碼解釋器。每個包括指令和數(shù)據(jù)的許多程序也被存儲在存儲器中���。在本示例中�,這些是小程序505,其為在安全微控制器306上運行的應用程序�����。小程序505可以調(diào)用被實現(xiàn)為應用編程接口(API)504的標準化軟件功能��。運行時間環(huán)境503負責資源管理�、數(shù)據(jù)的通信和安全及與小程序505的數(shù)據(jù)交換。操作系統(tǒng)501���、虛擬機502���、運行時間環(huán)境503和API 504是由或代表安全微控制器306的制造商所寫的。這些軟件元件在安全微控制器306的壽命期間不變���。然而�����,小程序505是由或代表使用安全微控制器306的產(chǎn)品的制造商所寫的�����。小程序505定義專用于儀表203的軟件并定義其功能�。圖5所示的存儲器還包括被操作系統(tǒng)501、虛擬機502����、運行時間環(huán)境503和API 504使用的數(shù)據(jù)506。圖 6
在圖6中進一步詳述小程序505��。住宅106中的每個本地設備被與小程序中的一個鏈接在一起����。因此,遠程用戶接口 206如計量設備303所做的一樣與電力小程序601通信��,計量設備303可以被視為容納在儀表203內(nèi)的本地設備。氣體儀表204與氣體小程序602通信,而磅秤207和應急按鈕208與遠程護理小程序603通信�����。變壓器201與能量輸出小程序604通信�����。所有此通信經(jīng)由LAN接口 307發(fā)生��。還可以存在其它小程序605。某些小程序還可以促進與遠程服務器的通信���,而其它的小程序可以僅提供控制���、數(shù)據(jù)存儲或到本地設備的用戶接口。因此��,小程序601記錄來自計量設備303的連續(xù)電力消耗測量并將電力消耗的日常概要發(fā)送到電力供應商服務器101��,以及在檢測到異常時發(fā)送報警消息�����。電力供應商還可以使用小程序601以允許容易的帳單支付����,或者在帳單未被支付的情況下切斷電力。小程序601還發(fā)送信息以便顯示給遠程用戶接口 206�。變壓器210 還與電力供應商服務器101通信,但是經(jīng)由電力輸出小程序604���。氣體儀表204經(jīng)由小程序602與氣體供應商服務器102通信���。小程序603每天累計來自體重計207的重量測量并按周進度表將重量讀數(shù)的概要發(fā)送到遠程護理提供商服務器103。然而,如果應急按鈕208 被按下���,則向服務器103發(fā)送即時警報��。因此�����,許多小程序提供本地設備與相關服務器之間的安全通信信道�����。由于消息被直接從設備路由到服務器或相反��,這可以是直接信道���。然而,其還可以是間接信道����,其中,來自遠程設備的信息或消息被存儲����、改變或累積并隨后向服務器發(fā)送不同的消息。因此可以將通信信道視為僅僅是信息從一個點到另一點的路由�����。然而�,重要方面是消息、數(shù)據(jù)�����、信息等未被與任何其它小程序�����、任何其它本地設備��、或任何其它服務器共享�,并且因此信道是安全的。即使在安裝儀表203之后�,也可以由基礎設施管理機構來遠程地管理小程序501。 可以由在安全微控制器306外部的計算機程序來下載�����、安裝��、啟用或禁用或卸載小程序。由運行時間環(huán)境503和在基礎設施管理機構服務器118上運行的卡外計算機程序來執(zhí)行小程序管理進程�����。通過采用適當?shù)拿艽a協(xié)議��,可以由運行時間環(huán)境503來檢驗由卡外計算機程序發(fā)送的小程序管理指令���,保證只有在基礎設施管理機構控制下的已授權卡外計算機程序能夠管理小程序505的部署��。小程序管理進程還提供了一種將安全微控制器306上的軟件從一個版本更新至另一版本的安全且可靠的方法��。每個小程序被映射到稱為安全域的附加小程序����。因此��,小程序601被映射到安全域606���,小程序602被映射到安全域607�,小程序603被映射到安全域608�,并且小程序604 被映射到安全域609?���?梢源嬖谄渌踩?10。每個安全域執(zhí)行用于其相應小程序的密碼操作��?���?梢詫⒉恢挂粋€小程序映射到單個安全域。圖 7 和 8
這在圖7和8中進一步詳述�����。小程序601包含指令701和數(shù)據(jù)702����,而安全域606包含指令801和數(shù)據(jù)802,其包括密碼密鑰803���。當小程序601需要安全地與本地設備或與遠程服務器101通信時���,安全域606使用密碼密鑰803來執(zhí)行密碼操作以保證通信是安全且經(jīng)授權的。因此����,小程序601不可訪問用于其自己的通信的密碼密鑰���。此外,安全域606將不會從除小程序601之外的任何其它小程序接受指令�����。與小程序601相關聯(lián)的指令701和數(shù)據(jù)702被針對所有其它小程序保密���。由其它軟件元件來實行此安全�。此外��,由于每個小程序與其自己的密碼密鑰相關聯(lián)�,所以其它小程序不能對小程序601的消息解密。這允許小程序601和在其相關服務器上運行的其相關卡外程序建立它們自己的邏輯安全通信信道���。這允許多個小程序共存于同一個安全微控制器上��,并且甚至在小程序由不同的軟件供應商所寫的情況下保持安全��。由于微控制器306不能被篡改�,并且由于每個小程序不能訪問其它小程序的指令�����、數(shù)據(jù)或通信信道,所以本地設備���、小程序和遠程服務器之間的所有通信都是安全的�。這意味著第三方可以使用儀表203來促進其自己的設備與服務器之間的通信而不擔心可能已經(jīng)安裝或日后安裝的任何其它軟件�。在沒有此知識的情況下��,所有第三方將不得不同意更多的軟件安裝���,并且將需要完全的信任�����。這將是不太可能的���。例如, 電力供應商不會信任氣體供應商而不分析電力使用以便為消費者提供更好的交易�����。遠程護理提供商將根本不能提供任何服務�,除非其可以肯定數(shù)據(jù)被保持機密。數(shù)據(jù)保護法通常意味著公司有義務對某些消費者細節(jié)保密�����,其只有當一個程序被保證不能訪問在相同計算機上運行的另一程序時才是可能的。本文所述的發(fā)明提供此類保證�����。應理解的是還可以由使用不同軟件元件的替換方法來實現(xiàn)由這里所述的安全微控制器軟件實現(xiàn)的功能���?��?梢允褂镁哂忻總€包括指令和數(shù)據(jù)的多個程序的任何軟件棧,只要處理器能夠使用這些程序中的一個來提供本地設備與相關服務器之間的安全通信信道即可��,其中���,所述處理器不能從任何其它所述程序接受命令以訪問或改變程序��,也不能通過不是來自或到本地設備和相關服務器的所述安全通信信道來路由消息���。圖 9
圖9示出用于儀表203的操作步驟。在步驟901處��,儀表被安裝在家庭106中,并且在步驟902處�����,由工程師使用委托小程序來對其進行委托�。一旦對儀表進行委托,該委托小程序在步驟903處被基礎設施管理機構根據(jù)來自電力供應商的指令刪除����。在步驟904處,計量小程序601提供電力供應商服務器101與計量設備303和遠程用戶接口 206之間的安全通信信道���。這涉及從計量設備303接收消費數(shù)據(jù)并將其存儲, 在用戶接口 206上顯示消費數(shù)據(jù)���,周期性地將消費數(shù)據(jù)發(fā)送到服務器101��,周期性地從服務器101接收使用費數(shù)據(jù)(tariff data)并將其存儲���,并且在遠程用戶接口 206上顯示使用費數(shù)據(jù)。小程序601還可以執(zhí)行其它功能�。在步驟905處,基礎設施管理機構服務器代表第三方來添加或刪除其它小程序���。 這些可以是與任何種類的服務器或本地設備通信的任何種類的小程序��。通常��,這些是經(jīng)由因特網(wǎng)105和主電力線201遠程地安裝的�����。然而���,還可以經(jīng)由本地接口來本地地安裝小程序����。在步驟906處����,所有安裝的小程序提供在它們各自本地設備與服務器之間的安全通信信道。此后�,用添加新的小程序、刪除舊的小程序和安裝的小程序繼續(xù)提供安全通信信道來重復步驟905和906�。圖 10
在圖10中舉例說明本地設備與遠程服務器之間的安全通信。電力供應商服務器101 與計量設備303和遠程用戶接口 206通信����。儀表203內(nèi)的計量小程序601經(jīng)由由安全微控制器306和LAN接口 307內(nèi)的另一軟件提供的共享平臺來與計量設備303和遠程用戶接口 206通信�����。計量小程序601類似地經(jīng)由由安全微控制器306和WAN接口 305內(nèi)的另一軟件提供的共享平臺與電力供應商服務器101通信�。因此��,在服務器101與本地設備303和206 之間提供安全的通信信道1001�。類似地,電力輸出小程序604提供服務器101與變壓器210之間的安全通信信道
1002���。氣體小程序602提供氣體供應商服務器102與氣體儀表204之間的安全通信信道
1003����。遠程護理小程序603提供遠程護理提供商服務器103與磅秤207和應急按鈕208之間的安全通信信道1004�??梢栽O想許多可能的小程序。例如���,本地設備可能是與安全微控制器306上的地理圍欄(geo-fencing)小程序無線地通信的昂貴的消費者項目(item)����。規(guī)則的通信確認該項目在儀表203的范圍內(nèi)�。然而,如果該項目未能與儀表通信達到預定時間長度,則基于其已被從家庭106帶出��,其停止工作���。另外�����,可能要求裝配有可聽報警機制的項目用小程序來識別其本身����?��?梢詫V許可證小程序連接到家庭內(nèi)的TV��。如果TV許可證未被付費�,則可以命令TV停止工作����。還可以這樣管理其它每次使用付費(pay-per-use)服務?��?梢蕴峁┫蛴脩籼峁┓盏母鞣N金融服務小程序�����。例如�����,儀表203可以與作為本地設備的信用卡閱讀器通信���。信用卡閱讀器可以是接觸式閱讀器或使用NFC通信的非接觸式閱讀器�����。當用戶在線進行購買時�,可以使用金融服務小程序來驗證所使用的信用卡或記帳卡��。用戶可以在信用卡閱讀器本地設備上插入該卡并輸入PIN����,其將顯示用于進入賣方的網(wǎng)站的一次性口令�����。該小程序可以檢驗PIN并執(zhí)行口令的計算���。儀表可以替換地與作為本地設備的全芯片和PIN終端通信���,允許在金融服務小程序的控制下通過與銀行服務器的通信來進行支付���。可以使用儀表203來對預付費項目進行續(xù)費(top up)���,例如旅行卡或移動電話����。 這可以經(jīng)由用戶接口 302來完成���,或者如果儀表203包括近場通信(NFC)閱讀器����,則可以簡單地使NFC使能項目觸摸至儀表����。NFC閱讀器可以替換地位于諸如遠程用戶接口 206的遠程設備中。然后���,小程序可以與相關服務器通信以向帳戶添加信貸���??梢匀缟纤龅貓?zhí)行支付�,將其添加到電子帳單,或者由某種其它方法來執(zhí)行�����。NFC閱讀器被視為本地設備�����,無論其位于遠程用戶接口 206中還是儀表203中��。為無線使能項目提供NFC標簽���,并使其觸摸至NFC使能儀表或NFC使能遠程用戶接口以使得委托小程序能夠對該項目進行委托���,允許其加入無線網(wǎng)絡。如果被保持�����,可以在所有者搬家時使用NFC標簽來將該項目委托至新的網(wǎng)絡��。這將提供在儀表與本地設備之間建立通信的容易的方式�����?����?梢允褂冒ㄖT如硬盤驅動器�����、FLASH驅動器或其它適當裝置的存儲器的本地設備來允許其它本地設備備份數(shù)據(jù)�����,諸如移動電話通訊錄�。小程序將控制此類數(shù)據(jù)的存儲和訪問。該存儲設備可以被包含在儀表內(nèi)或遠離它���?�?梢允褂冒l形碼閱讀器或RFID閱讀器的本地設備來讀取從超市購買的項目上的條形碼或RFID標簽�����。小程序將與服務器通信以識別項目并向用戶返回信息��。這對于有部分近視的人來說將是有用的�����。類似的小程序可以向超市訂購該項目以進行家庭遞送�。 閱讀器件可以被包含在儀表內(nèi)或遠離它?���?梢允褂昧硪恍〕绦騺碓试S兩個用戶之間的通信。例如���,可以從一個儀表向另一個儀表發(fā)送文本消息�����、電子郵件或圖像�����。將被有用地連接到儀表203上的小程序以便與遠程服務器通信的其它本地設備是火警���、煙氣報警器���、移動傳感器或防盜報警器�。樓宇管理小程序可以與家庭106周圍的各種傳感器和致動器通信以便提供能量管理。如果LAN接口 307和WAN接口 305的帶寬是足夠的�����,則可以使用儀表203上的小程序來提供到計算機和家庭106中的其它因特網(wǎng)連接設備的因特網(wǎng)連接����。圖 11
在圖11中示出體現(xiàn)本發(fā)明的智能儀表的替換實施例。智能儀表1101被安裝在家庭107中�����,并且被改造為具有實現(xiàn)本文所述的本發(fā)明的能力���。其包括連接到計量設備1103��、用戶接口 1104和WAN接口 1105的常規(guī)微控制器1102��。WAN接口經(jīng)由主電力線1106與變電站109處的集中器通信���。房屋電力配線1107向家庭107內(nèi)的設備提供電力�。這些組件單獨地提供當前稱為“智能儀表”的東西���。常規(guī)微控制器1102存儲來自計量設備1103的數(shù)據(jù)并經(jīng)由WAN接口 1105和主電力線1106將其發(fā)送至電力供應商服務器101����。然而�,儀表1101不能用來體現(xiàn)本發(fā)明,因為不能在其上面安裝將提供本地設備與服務器之間的安全通信信道���、甚至不能安全地存儲從本地設備接收到的數(shù)據(jù)的多個程序���。因此,添加包括安全微控制器1109和無線LAN接口 1110的通信塊1108��。安全微控制器1109在很大程度上與安全微控制器306相同并以相同的方式運行包括小程序的程序�����。然而�����,經(jīng)由常規(guī)微控制器1102來路由WAN通信。由于通信已被加密��,所以這對安全沒有影響�����。再次地��,WAN接口可以是另一類型的接口����,如可以是LAN接口�����。通信塊1108可以被實現(xiàn)為儀表1101內(nèi)的附加電路板��,作為把插頭插入到儀表1101的智能卡�����,或作為在儀表 1101內(nèi)部或外部的任何其它類型的適當附加模塊��。圖 12
在圖12中示出了本發(fā)明的另一實施例���。儀表1201被包含在家庭111內(nèi)�。其包括計量塊1202和通信塊1203。計量塊1202包括被連接到用戶接口 1205和計量設備1206的常規(guī)微控制器1204��。主電力線1207經(jīng)由電源單元1208向儀表1201提供功率�����。房屋電力配線向家庭111提供功率�。計量塊1202等效于現(xiàn)有技術“非智能”儀表并簡單地測量功率消耗并將其顯示給用戶。通信塊1203包括安全微控制器1210�、WAN接口 1211和LAN接口 1212。在本實施例中����,接口 1211和接口 1212兩者是無線的。LAN在本示例中是ZigBee 網(wǎng)絡�����,而WAN是適合于與集中器115的無線電通信的無線網(wǎng)狀網(wǎng)絡無線電����。在本實施例中,通信塊1203和計量塊1202被容納在它們自己的外殼中并使用以太網(wǎng)連接通過連接1213進行通信���。然而���,可以使用任何適當?shù)募夹g��,諸如通用串行總線 (USB)����、RS232串行端口�����、多個無線局域網(wǎng)技術中的一個以及其它�。安全微控制器1210在功能上與安全微控制器1109相同�,并且運行小程序以提供到家庭111內(nèi)的本地設備和遠程服務器的安全通信信道。圖 13
如上文所討論的���,經(jīng)由諸如ZigBee 的無線網(wǎng)絡來促進安全微控制器306�、1109和1210 與它們本地設備之間的通信����。每個微控制器僅經(jīng)由其各自的LAN接口來與其自己的設備通信。然而��,每個還能夠與其它設備通信和相互通信。這允許創(chuàng)建社區(qū)區(qū)域網(wǎng)絡(CAN)1301�。 CAN可以具有本地集線器,或者可以是涉及端到端通信的“網(wǎng)狀網(wǎng)絡”�,如圖13所示。在CAN 中���,將體現(xiàn)本發(fā)明的每個儀表或其它設備視為節(jié)點����,并且每個具有執(zhí)行下述方法的一個或多個小程序�����。上文已參考圖10討論了可以使用儀表上的小程序來對本地設備進行定位或地理圍欄����。此原理也適用于CAN內(nèi)的設備。被盜設備1304可能要求定位���,或者年輕人或糊涂的人1302可以裝配有被配置為與任何附近節(jié)點通信的定位設備1303�。這些通信包括接收信號強度指示(RSSI)測量����,指示信號強度并因此指示與節(jié)點的距離�,并被存儲以供稍后考慮�。如果人走失,則護理者可以在其自己的節(jié)點處送出對已與設備1303通信的任何節(jié)點的請求以發(fā)送這些通信的細節(jié)����。然后,使用最近通信的三角測量能夠對人1302進行定位�。對于將與節(jié)點通信的設備而言,其通常需要通過委托來與該節(jié)點相關聯(lián)���。本地設備通常僅僅與其自己的儀表相關聯(lián)���。然而,對關聯(lián)的請求無論是成功的還是不成功的���,對于此目的而言是足夠的。此方法具有用于個人隱私的問題���。解決方案是保證所述設備不廣播其自己的唯一設備ID���,而是廣播隨機、頻繁變化的號碼以避免跟蹤��。來自設備1303的每個關聯(lián)請求包含加密信息,在這種情況下為設備的唯一 ID和RSSI數(shù)據(jù)�����,但是看起來來自這些號碼中的一個��。節(jié)點拒絕該請求并將其存儲����。因此,可以將該請求視為錯誤形成的��,因為其包括節(jié)點所不知道的設備ID��。錯誤形成請求的其它方法也有效�。—旦人1302被注意到走失�,則護理者的儀表上的小程序向其它節(jié)點發(fā)送密碼密鑰。這些節(jié)點上的小程序嘗試使用這些密鑰將被拒絕的關聯(lián)請求內(nèi)的數(shù)據(jù)解密�。如果解密是成功的,則向護理者的節(jié)點返回信息�,并且能夠對設備1303進行定位。這防止由不可訪問與設備1303相關聯(lián)的節(jié)點的任何人進行的人1302的定位�。CAN中的某些節(jié)點可能是不合作的,因為其不具有安裝的正確小程序。在這種情況下��,設備1303仍可以收集位置數(shù)據(jù)���,因為從由所有節(jié)點傳送的信標幀獲得RSSI測量�����。此數(shù)據(jù)隨后被包括在到協(xié)作節(jié)點的下一個關聯(lián)請求中�??商鎿Q地,設備1303可能簡單地收集RSSI信息且根本不嘗試聯(lián)系任何節(jié)點����。當護理者希望對人1302進行定位時,護理者的節(jié)點上的小程序向接近于人1302的假定位置的節(jié)點送出消息�����。然后其向設備的ID廣播“你在那里嗎”消息��。如果設備接收到它���,則其可以請求加入網(wǎng)絡并獲得認可,然后返回其RSSI數(shù)據(jù),使得能夠對其進行定位�。可以有用于估計到節(jié)點的距離的其它方法�,諸如超寬帶和線性調(diào)頻擴頻 (chirp-spread-spectrum)ο允許本地設備使其本身與另一節(jié)點相關聯(lián)也是有用的。例如��,體重計207的用戶可能想要在拜訪的同時將其與朋友的住宅處的節(jié)點相關聯(lián)�。在本示例中,可以例如通過按下按鈕或使用NFC標簽將設備207委托到朋友的住宅處的LAN上����。此外,擁有將跌倒通知遠程護理提供商的遠程護理設備的容易受傷的人將想要在處于住宅之外以及其中的同時使用該遠程護理設備����。在這種情況下,設備必須在沒有委托的情況下立即加入網(wǎng)絡����。另一節(jié)點上的委托小程序將被編程以允許特定種類的設備加入網(wǎng)絡,但是應注意避免允許偽裝成這些特殊設備的設備加入�����。應使用加密操作來保證設備的真實性��。圖 14
在圖14中示出了體現(xiàn)本發(fā)明的另一方式的示例。超市119包含與超市連鎖店服務器 104通信的通信設備1401�。在功能上類似于微控制器306的安全微控制器1402與LAN接口 1403和GPRS無線電模塊1404通信。監(jiān)視電冰箱溫度的設備被連接到LAN接口且是本地設備的示例�����。SIM卡1405被連接到無線電模塊1404��。無線電模塊1404和SIM卡1405在本示例中體現(xiàn)WAN接口�,并且GPRS無線電模塊1404通過GPRS網(wǎng)關117進行通信。SIM卡 1405的功能是參與GPRS無線電網(wǎng)絡的認證過程以識別GPRS無線電模塊1404����,以允許GPRS 無線電1404和GPRS網(wǎng)絡相互認證,并確定密碼密鑰以保證跨越GPRS網(wǎng)絡的無線通信的安全����。SIM卡1405本身是一種安全微控制器的形式。
另一實施例類似于設備1401�,但是沒有SIM卡。在本實施例中��,由安全微控制器來執(zhí)行SIM卡的功能�。因此,WAN接口包括GPRS無線電和安全微控制器本身�����。通信設備1401允許在已經(jīng)由電冰箱溫度傳感器的制造商提供的小程序的控制下在這些傳感器與服務器104之間的通信����。然而,由于其體現(xiàn)本發(fā)明��,所以可以安裝其它小程序并允許與超市內(nèi)的其它設備的通信�����。例如��,可以在安全微控制器內(nèi)安裝照明小程序以及檢測故障燈泡的傳感器�����。作為另一示例�,可以安裝供熱、通風和空調(diào)(HVAC)小程序�,并用來與HVAC設備中的傳感器和致動器通信。這些小程序中的每一個與單個超市服務器104或與每個跟一個小程序相關聯(lián)的多個服務器通信����?��?梢岳斫獾氖峭ㄐ旁O備1401以能夠在任何時間在通信設備1401中部署新服務的方式來促進一個或多個服務器、一個或多個小程序和一組或多組本地設備之間的通信��?��?梢耘c其相關本地設備和服務器一起添加這些新的小程序以便實現(xiàn)新的功能�。隨著添加了新的小程序���,現(xiàn)有小程序的操作將不會受到新的小程序的干擾����,并且與每個小程序相關聯(lián)的數(shù)據(jù)將保持私密�����。體現(xiàn)本發(fā)明的設備的其它示例是汽車中的機載計算機(onboard computer)����,其中每個小程序提供諸如導航、保險和道路收費的另一工具或從多個賣主出售真實或虛擬產(chǎn)品的自動售貨機���。促進本地設備與遠程服務器之間的直接或間接的安全通信并保持本地程序和數(shù)據(jù)相互安全且在篡改之外的任何設備將是適當?shù)摹?br>
權利要求
1.一種用于促進多個服務器與多個本地設備之間的通信的裝置�,包括用于與所述服務器通信的第一網(wǎng)絡接口、用于與所述本地設備通信的第二網(wǎng)絡接口和具有處理器�����、存儲器����、用于執(zhí)行密碼計算的密碼引擎和被配置為抵抗對所述設備篡改的防篡改元件的微控制器��,其中���,每個包括指令和數(shù)據(jù)的多個程序被存儲在所述存儲器中�����,并且所述處理器被配置為針對第一本地設備�����,識別與所述設備相關聯(lián)的第一程序��,并使用所述第一程序提供在所述第一本地設備與第一服務器之間的安全通信信道��,其中��,所述處理器不能從任何其它所述程序接受命令以訪問或改變所述第一程序����,并且所述處理器不能通過所述安全通信信道來路由不是來自或到所述第一本地設備和所述第一服務器的消息。
2.根據(jù)權利要求1所述的裝置�����,其中����,所述處理器被配置為當使用所述第一程序時處理在通過所述安全通信信道發(fā)送的消息內(nèi)接收到的數(shù)據(jù)。
3.根據(jù)權利要求1或2中的任一項所述的裝置�,還包括所述本地設備中的一個。
4.根據(jù)權利要求3所述的裝置�,其中,所述本地設備是計量設備���。
5.根據(jù)權利要求1至4中的任一項所述的裝置�����,其中���,所述第一網(wǎng)絡接口沿著主電力線發(fā)送信號���。
6.根據(jù)權利要求1至4中的任一項所述的裝置,其中�,所述第一網(wǎng)絡接口是無線接口。
7.根據(jù)權利要求1至6中的任一項所述的裝置����,其中,所述程序中的一個提供用于遠程護理系統(tǒng)的連接性�����。
8.根據(jù)權利要求1至6中的任一項所述的裝置���,其中,所述程序中的一個將所述處理器配置為基于來自服務器的指令來禁用本地設備�����。
9.根據(jù)權利要求1至6中的任一項所述的裝置��,其中�,所述程序中的一個將所述處理器配置為監(jiān)視本地設備,并且如果其不再在本地網(wǎng)絡內(nèi)�,則通知服務器����。
10.根據(jù)權利要求1至6中的任一項所述的裝置�����,其中���,所述程序中的一個提供用于金融服務的連接性��。
11.根據(jù)權利要求1至6中的任一項所述的裝置����,其中��,所述程序中的一個將所述處理器配置為將存儲在本地設備上的數(shù)據(jù)備份到遠程服務器��。
12.根據(jù)權利要求1至6中的任一項所述的裝置����,其中,所述程序中的一個提供在移動電話上增加信貸的連接性��。
13.根據(jù)權利要求1至6中的任一項所述的裝置,其中�����,所述程序中的一個提供在貨幣取代卡上增加信貸的連接性��。
14.根據(jù)權利要求1至6中的任一項所述的裝置��,還包括條形碼閱讀器和可視顯示器��, 其中���,所述程序中的一個將所述處理器配置為讀取項目上的條形碼���,從服務器獲得與所述條形碼相關聯(lián)的信息���,并將所述信息輸出到所述可視顯示器����。
15.根據(jù)權利要求1至6中的任一項所述的裝置���,還包括條形碼閱讀器�����,其中���,所述程序中的一個將所述處理器配置為讀取項目上的條形碼并在服務器上訂購類似項目����。
16.根據(jù)權利要求1至6中的任一項所述的裝置����,還包括RFID閱讀器和可視顯示器,其中����,所述程序中的一個將所述處理器配置為識別項目上的RFID標簽,從服務器獲得與所述條形碼相關聯(lián)的信息����,并將所述信息輸出到可視顯示器。
17.根據(jù)權利要求1至6中的任一項所述的裝置��,還包括RFID閱讀器��,其中��,所述程序中的一個將所述處理器配置為識別項目上的RFID標簽并在服務器上訂購類似項目。
18.根據(jù)權利要求1至6中的任一項所述的裝置���,其中��,所述程序中的一個將所述處理器配置為從感測設備接收消息并向服務器發(fā)送消息以產(chǎn)生警報����。
19.根據(jù)權利要求1至6中的任一項所述的裝置����,其中,所述設備還被連接到多個傳感器�,并且所述程序中的一個將所述處理器配置為根據(jù)從所述傳感器接收到的信號來控制本地設備。
20.根據(jù)權利要求1至6中的任一項所述的裝置�����,還包括手動輸入裝置���,其中,所述程序中的一個將所述處理器配置為接收手動輸入并向本地設備發(fā)送請求其可聽地識別其本身的信號�����。
21.根據(jù)權利要求1至20中的任一項所述的裝置,其中��,所述程序中的一個將所述處理器配置為經(jīng)由電力線與本地設備通信�����。
22.根據(jù)權利要求1至20中的任一項所述的裝置�����,還包括近程無線通信接口�����。
23.根據(jù)權利要求22所述的裝置����,其中,所述程序中的一個將所述處理器配置為與包括類似近程無線通信接口的本地設備通信��。
24.根據(jù)權利要求1至23中的任一項所述的裝置��,其中��,所述程序中的一個將所述處理器配置為與多個類似設備通信��。
25.—種包括多個節(jié)點的網(wǎng)絡,其中�,所述節(jié)點中的每一個是根據(jù)權利要求M所述的裝置。
26.—種在根據(jù)權利要求25所述的網(wǎng)絡內(nèi)對設備進行定位的方法���,其中���,所述設備具有唯一標識符,包括步驟在所述設備處�����,廣播被錯誤形成且包括表示所述唯一標識符的加密數(shù)據(jù)和位置數(shù)據(jù)的消息���;在所述節(jié)點中的一個處��,接收所述消息��,當被錯誤形成時將其拒絕���,并將它記錄;在所述節(jié)點處�,接收包括密碼密鑰的消息���;嘗試將所述加密數(shù)據(jù)解密�����;以及如果所述解密是成功的�,則使用所述位置數(shù)據(jù)來對所述設備進行定位。
27.根據(jù)權利要求沈所述的方法���,其中�����,所述消息被錯誤形成�,因為其包括無效的用戶標識符�。
28.根據(jù)權利要求沈或27中的任一項所述的方法,其中���,所述設備和所述節(jié)點無線地通信����,并且所述位置數(shù)據(jù)包括指示所述本地設備與所述節(jié)點之間的信號強度的數(shù)據(jù)��。
29.根據(jù)權利要求沈或27中的任一項所述的方法���,其中�����,存儲在多個節(jié)點處的用于所述設備的位置數(shù)據(jù)被組合以對所述設備進行定位�����。
30.一種在根據(jù)權利要求25所述的網(wǎng)絡內(nèi)對設備進行定位的方法����,其中,所述設備具有唯一標識符��,包括步驟在所述設備處存儲多個位置數(shù)據(jù)���,其中�����,所述位置數(shù)據(jù)中的每一個指示相對于所述節(jié)點中的一個的位置����;在所述節(jié)點中的一個處,接收包括所述唯一標識符的消息�;在所述節(jié)點處向所述唯一標識符廣播信號,從所述設備接收答復并從所述設備接收所述位置數(shù)據(jù)�����。
全文摘要
促進多個服務器(101�,102�����,103)與多個本地設備(204���,206��,207����,208���,210)之間的通信��。一種設備包括用于與服務器通信的第一網(wǎng)絡接口��、用于與本地設備通信的第二網(wǎng)絡接口和具有處理器�����、存儲器�����、用于執(zhí)行密碼計算的密碼引擎和被配置為抵抗對所述設備篡改的防篡改元件的微控制器�。每個包括指令和數(shù)據(jù)的多個程序被存儲在存儲器中。處理器被配置為針對第一本地設備識別與第一本地設備相關聯(lián)的第一程序�,并使用第一程序來提供第一本地設備與第一服務器之間的安全通信信道。處理器不能從任何其它程序接受命令以訪問或改變第一程序���,并且處理器不能通過安全通信信道來路由不是來自或到第一本地設備和第一服務器的消息�����。
文檔編號H04L12/28GK102204214SQ200980143964
公開日2011年9月28日 申請日期2009年9月4日 優(yōu)先權日2008年9月5日
發(fā)明者C·G·帕爾默 申請人:翁佐有限公司