專利名稱:具有提高安全性的計量系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及ー種計量系統(tǒng)�,包括度量単元,配置用于獲得對測量的物理量(例如�����,表示對公用事業(yè)(utility)的使用)加以表示的數(shù)字度量數(shù)據(jù)���;以及控制器����,配置用于向外部服務(wù)器發(fā)送基于數(shù)字度量數(shù)據(jù)的受保護使用信息。本發(fā)明還涉及ー種計量方法���,包括通過度量單元獲得對測量的物理量(表示公用事業(yè)的使用)加以表示的數(shù)字度量數(shù)據(jù)����;以及通過控制器向外部服務(wù)器發(fā)送基于數(shù)字度量數(shù)據(jù)的受保護使用信息����。
背景技術(shù):
智能計量系統(tǒng)測量公用事業(yè)(例如,電力��、水��,熱和氣)的消耗并且配置用于遠(yuǎn)程讀出�。例如,智能計量系統(tǒng)可以包括電計量器并且記錄特定時間間隔(例如�����,ー小時時間間隔或更小時間間隔)內(nèi)的電能消耗����,并且將該信息通信至用于監(jiān)測和開賬單目的的公用事業(yè)。智能計量器通常實現(xiàn)計量器與中央系統(tǒng)之間的雙向通信��,使得智能計量器可以接收命令�。關(guān)于智能計量器的關(guān)注之一是計量數(shù)據(jù)的安全性。用戶會嘗試在沒有專門授權(quán)的情況下改變計量數(shù)據(jù)�,似乎目的在于消耗較少的公用事業(yè)。這種結(jié)果是少計算個人費用�����。另ー關(guān)注在于不在與智能計量器相關(guān)聯(lián)的家庭中居住的未授權(quán)人會嘗試對智能計量服務(wù)進行遠(yuǎn)程訪問���,使得他們能夠讀取度量數(shù)據(jù)����。根據(jù)計量信息����,可以推斷各種個人數(shù)據(jù),例如推斷出某人目前是否在家中��。各種標(biāo)準(zhǔn)可用于智能計量器��。例如在“Dutch Smart Meter Requirements”�,Netbeheer Nederland, April 22nd, 2011, Version :4. 0 中給出了對智能計量器的要求。該文獻給出了針對遠(yuǎn)程可讀計量的要求�����,遠(yuǎn)程可讀計量是針對家庭消費者的電、從屬E計量器���、氣�、熱能(熱)和水���。設(shè)想的計量器具有用于向計量系統(tǒng)發(fā)送數(shù)據(jù)的針對輔助器材的接ロ����,以及向供應(yīng)商���、電カ公司等通信的端ロ���。計量器還可以具有用于在計量安裝和安裝和現(xiàn)場維護期間與外部設(shè)備(例如,手持終端)進行通信的通信端ロ�。例如已經(jīng)通過在計量器的中央控制器中合并安全性特性來嘗試解決上述關(guān)注。然而��,目前結(jié)果還不能完全令人滿意�����。US2005/033701A1公開了,在用于從多個遠(yuǎn)程計量器中接收公用事業(yè)使用報告的中央系統(tǒng)中����,提供確保實際已經(jīng)從向中央系統(tǒng)注冊了的計量器傳送接收到的報告���。在注冊過程期間���,計量器向中央系統(tǒng)傳送公共密碼代碼。利用公用事業(yè)使用的毎次報告�,計量器發(fā)送利用其私有密碼密鑰加密的消息版本。中央系統(tǒng)利用計量器的公鑰進行解密���。如果與消息的解密版本匹配����,則已知計量器發(fā)送了報告�����。解密的消息可以由中央系統(tǒng)產(chǎn)生�,并且按照報告的請求傳送至計量器,或者可以由計量器產(chǎn)生并且與加密版本一同發(fā)送
發(fā)明內(nèi)容
有利地�,實現(xiàn)具有提高安全性的計量系統(tǒng)�����。改進的ー種計量系統(tǒng)包括度量単元�����,配置用于獲得對測量的物理量(表示公用事業(yè)的使用)加以表示的數(shù)字度量數(shù)據(jù)���;控制器,配置用于向外部服務(wù)器傳送基于數(shù)字度量數(shù)據(jù)的受保護使用信息�;以及安全元件。安全元件布置在度量単元與控制器之間�,安全元件連接至度量単元以從度量単元接收數(shù)字度量數(shù)據(jù),安全元件連接至控制器以向控制器發(fā)送受保護使用信息�����。安全元件包括用于存儲依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)的本地存儲裝置���。存儲的數(shù)據(jù)表示在至少預(yù)定時間段內(nèi)接收到的數(shù)字度量數(shù)據(jù)?��,F(xiàn)有度量系統(tǒng)的問題在于,這些現(xiàn)有度量系統(tǒng)特別容易受到對它們中央控制的遠(yuǎn)程攻擊�����。一旦攻擊者對控制器建立了外部控制,度量數(shù)據(jù)會被讀取和/或破壞�����。通過在度量単元與控制器之間布置安全元件�����,在將度量數(shù)據(jù)發(fā)送到控制器之前將 度量數(shù)據(jù)存儲在本地存儲裝置中�。竄改控制器不會影響對度量數(shù)據(jù)的記錄���。安全元件配置用于將存儲依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)存儲在與控制器無關(guān)的本地存儲裝置中���。在實施例中,度量単元包括模數(shù)轉(zhuǎn)換器(ADC)�����,模數(shù)轉(zhuǎn)換器用于將對測量的物理量(表示公用事業(yè)的使用)加以表示的模擬度量數(shù)據(jù)轉(zhuǎn)換成數(shù)字度量數(shù)據(jù)�����。模數(shù)轉(zhuǎn)換器包括用于接收對測量的物理量(表示公用事業(yè)的使用)加以表示的模擬度量數(shù)據(jù),以及針對數(shù)字度量數(shù)據(jù)的輸出����。例如,度量単元從氣計量器或水計量器等接收模擬或數(shù)字信號���。度量單元還可以對數(shù)據(jù)進行其他處理���,例如濾波、積分����、算術(shù)組合等。度量單元還可以對自身執(zhí)行測量�����。例如�����,對于天然氣或水���,度量単元可以通過介質(zhì)發(fā)送超聲波并且測量反射響應(yīng)時間���。例如�,對公用事業(yè)的使用加以表示的物理量可以是流經(jīng)家庭進水管的水的公升數(shù)����。基于數(shù)字度量數(shù)據(jù)的受保護使用信息受到數(shù)字密碼元素(例如消息認(rèn)證碼(MAC)或數(shù)字簽名)的保護�����。外部服務(wù)器可以屬于供應(yīng)商�、電カ運營商���、開賬單公司等�。服務(wù)被配置為收集來自計量系統(tǒng)(典型地���,來自多個計量系統(tǒng))的受保護使用信息��。服務(wù)器可以出于開賬單而且出于技術(shù)目的來使用受保護使用信息����。例如�����,公用事業(yè)的載流容量可以根據(jù)從多個計量系統(tǒng)累加的受保護使用信息而增加或減小。外部服務(wù)器可以被配置用于通過驗證密碼元素來驗證受保護使用信息�。如果密碼元素不能驗證,例如�����,密碼元素與使用信息的內(nèi)容不匹配�,或者密碼元素與用于創(chuàng)建密碼元素的安全元件所使用的密鑰不相對應(yīng),則服務(wù)器發(fā)出警報����;基于該警報,可以發(fā)起諸如之類欺詐調(diào)查的適當(dāng)措施�����。本地存儲裝置可以包括本地存儲器(例如���,閃速存儲器)或磁存儲裝置(例如����,硬盤)。本地存儲裝置優(yōu)選地是非易失性存儲裝置���。安全元件被布置為����,使得控制器不僅不能直接訪問本地存儲裝置�����,而且也不能通過安全元件來訪問本地存儲裝置���。 本地存儲裝置優(yōu)選地通過要求對計量系統(tǒng)的本地物理訪問的接ロ可訪問�。這樣����,欺詐調(diào)查可以讀取本地存儲裝置�,而不會冒著攻擊者獲得對本地存儲裝置的遠(yuǎn)程訪問的風(fēng)險。存在各種與從度量單元獲得的數(shù)字度量數(shù)據(jù)的數(shù)量相比減少要存儲在本地存儲裝置中的數(shù)據(jù)量的方式�。例如,本地存儲裝置可以被配置作為所謂的環(huán)形緩沖器����。這樣,早在本地存儲裝置尺寸允許時,最新產(chǎn)生的數(shù)據(jù)就是可用的��。對于預(yù)定時間段是24個小吋�����,采樣大小是2個字節(jié)����,采樣速率是每秒一次,169kB存儲就足夠����。具有略微較大存儲器,例如���,256kB允許比預(yù)定時間段期間產(chǎn)生的存儲略微多的存儲量���。本領(lǐng)域技術(shù)人員可以根據(jù)公用事業(yè)的數(shù)目、要存儲的數(shù)據(jù)量以及預(yù)定時間段來調(diào)整本地存儲裝置的尺寸�。例如,可以在存儲數(shù)字度量數(shù)據(jù)之前通過無損壓縮算法對數(shù)字度量數(shù)據(jù)進行壓縮��。預(yù)定時間段取決于所要求的安全性級別����。由于由安全元件存儲度量數(shù)據(jù)��,控制器或控制器的通信子系統(tǒng)的侵入(breaking into)不會影響度量功能�。具體地�����,對計量系統(tǒng)的服務(wù)攻擊的拒絕�,控制器軟件的緩沖器上溢等不會影響度量功能。此外�����,在度量數(shù)據(jù)進入中央控制器之前通過添加保護元素來保護度量數(shù)據(jù)����。這對于控制器而言不可能既對數(shù)據(jù)進行修改又不會被服務(wù)器檢測到。即使在極端情況下��,其中攻擊者去除了全部受保護元素或數(shù)據(jù)���,這也會因受保護元素或數(shù)據(jù)的不存在而被檢測到。本發(fā)明可以應(yīng)用于所有類型的計量設(shè)備氣���、水����、電、油��、蒸汽和熱計量設(shè)備等����。依賴于接收到的度量數(shù)據(jù)的數(shù)據(jù)可以包括一段時間的累加使用。該時間段可以從計量系統(tǒng)的第一次啟動開始���。在實施例中���,計量系統(tǒng)包括第一總線和與第一總線不同的第二總線,度量単元和安全元件連接至第一總線����,控制器連接至第二總線。由于控制器使用與安全元件和度量単元不同的互通信系統(tǒng)���,因此控制器不能訪問安全元件和度量単元之間的通信���。這增進了安全元件與控制之間的分離�����。安全元件可以通過連接向控制器提供接ロ���。計量系統(tǒng)可以包括將信息從安全元件傳送到控制器的網(wǎng)關(guān)。在實施例中�,安全元件被布置為基于數(shù)字度量數(shù)據(jù)來導(dǎo)出使用信息,并且通過將密碼完整性保護元素添加至使用信息來保護使用信息���,以獲得受保護使用信息�����。使用信息可以與數(shù)字度量數(shù)據(jù)相同����。使用信息可以是數(shù)字度量數(shù)據(jù)摘要(su_ary)�����。例如���,使用信息可以包括預(yù)定時間段(例如����,一小時)期間的使用�。安全元件可以包括用于存儲密碼密鑰的密鑰存儲裝置。密碼密鑰可以是對稱密鑰����,在這種情況下,密碼完整性保護元素可以是MAC�,例如,基于SHA-256的HMAC�����。密碼密鑰可以是非對稱密鑰�,例如,公鑰-私鑰對的私鑰��;在這種情況下����,密碼完整性保護元素可以是數(shù)字簽名,例如��,基于RSA的簽名�����。密碼完整性保護元素可以通過外部服務(wù)器來驗證。這樣�����,控制器不能對受保護使用信息進行未檢測改變��。優(yōu)選地�����,受保護使用信息由控制器可讀取���,使得控制器可以在顯示屏上顯示使用信息���。在實施例中,安全元件還可以對使用信息進行加密����;這提高了私密性。在實施例中���,安全元件被配置用于執(zhí)行與外部服務(wù)器的認(rèn)證協(xié)議����,安全元件被配置用于在認(rèn)證協(xié)議成功時有條件地向控制器發(fā)送受保護使用信息。在轉(zhuǎn)發(fā)受保護使用信息之前���,安全元件可以驗證預(yù)期接收方在線。例如���,可以與外部服務(wù)器進行挑戰(zhàn)響應(yīng)協(xié)議�。例如�����,安全元件可以包括外部服務(wù)器的證書����。安全元件經(jīng)由控制器向外部服務(wù)器發(fā)送不重性(nonce)。外部服務(wù)器使用與安全元件中的證書相對應(yīng)的私鑰來標(biāo)記不重性�����。安全元件使用存儲的證書來驗證不重性上的簽名���。在實施例中��,本地存儲裝置還存儲度量單元的校準(zhǔn)參數(shù)����。可以對度量單元進行校準(zhǔn)����。校準(zhǔn)參數(shù)由于修改會導(dǎo)致不正確測量而敏感。通過將校準(zhǔn)參數(shù)存儲在控制器不能訪問的本地存儲裝置中�,這避免了對控制器的攻擊引起校準(zhǔn)參數(shù)的破壞。在該實施例中���,度量單元可以訪問本地存儲裝置��,或者安全元件提供請求校準(zhǔn)參數(shù)的接ロ�����。接ロ不允許修改����。在實施例中��,計量系統(tǒng)包括數(shù)據(jù)集中器単元。數(shù)據(jù)集中器単元被配置用于從數(shù)字度量數(shù)據(jù)中導(dǎo)出預(yù)定時間內(nèi)的累加使用�����。數(shù)字度量數(shù)據(jù)的分辨率可以比期望的更高���。通過計算累加使用�,需要將較少的數(shù)據(jù)通信至外部服務(wù)器���,或者需要在本地存儲較少的數(shù)據(jù)。數(shù)據(jù)集中器単元可以包括在安全単元中�����,并且受保護使用信息包括累加使用�。這具有安全元件可以保護累加使用的優(yōu)點。在實施例中����,安全元件可以被配置用于執(zhí)行與數(shù)據(jù)集中器単元的認(rèn)證協(xié)議,安全元件被配置用于在認(rèn)證協(xié)議成功時有條件地向數(shù)據(jù)集中器單元發(fā)送存儲的度量數(shù)據(jù)���。如果數(shù)據(jù)集中器単元沒有包括在安全元件中�����,這尤其有用���。安全元件被配置用于在至少預(yù)定時間段內(nèi)將接收到的數(shù)字度量數(shù)據(jù)本身存儲在本地存儲裝置中����,使得數(shù)據(jù)集中器単元可以獲得該數(shù)據(jù)�����。在進行本地數(shù)據(jù)集中的系統(tǒng)中�;每個單獨計量設(shè)備可以具有如本發(fā)明中所述的安全元件。此外���,數(shù)據(jù)集中器単元可以使用另ー安全元件來向計量設(shè)備認(rèn)證自己���,在計量系統(tǒng)中數(shù)據(jù)集中器単元匯聚了度量數(shù)據(jù)。在實施例中�,安全元件包括智能卡,智能開IC����、SM等���。智能卡具有增強的防竄改,并且特別適合于用作安全元件����。在實施例中,受保護使用信息包括數(shù)字度量數(shù)據(jù)�����。在實施例中��,計量系統(tǒng)包括顯示屏���。控制器被配置用于基于受保護使用信息在顯示屏上顯示累加使用���。例如�,受保護使用信息包括數(shù)字度量數(shù)據(jù)���,可以通過控制器向外部服務(wù)器發(fā)送受保護使用信息���,但是控制器產(chǎn)生用于在顯示屏上顯示的摘要��,例如累加使用�。在實施例中���,控制器通過安全元件僅與度量單元相連�����。在實施例中��,計量系統(tǒng)被實現(xiàn)為所謂封裝系統(tǒng)(system in package)�����。例如,封裝系統(tǒng)包括第一集成電路和第二集成電路����,第一集成電路包括度量単元和安全元件�����,第二集成電路包括控制器�。例如,封裝系統(tǒng)包括第一集成電路��、第二集成電路和第三集成電路,第一集成電路包括度量単元�,第三集成電路包括安全元件,并且第二集成電路包括控制器����。在特定有利實施例中,度量単元和安全元件包括在封裝系統(tǒng)中��,并且控制器包括在分離的IC中����。封裝系統(tǒng)中的不同集成電路可以通過線路在內(nèi)部連接。本發(fā)明的ー個方面關(guān)注計量方法�����。計量方法包括通過度量單元獲得對測量的物理量(表示公用事業(yè)的使用)加以表示的數(shù)字度量數(shù)據(jù)�;通過控制器向外部服務(wù)器傳送基于數(shù)字度量數(shù)據(jù)的受保護使用信息;通過安全元件從度量単元接收數(shù)字度量數(shù)據(jù)��;通過安全元件向控制器發(fā)送受保護使用信息���;通過安全元件將依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)存儲在本地存儲裝置中,存儲的數(shù)據(jù)表示至少預(yù)定時間段內(nèi)接收到的數(shù)字度量數(shù)據(jù)�����。計量系統(tǒng)是電子設(shè)備。計量系統(tǒng)可以包括外売�。外殼可以包括計量單元、控制器�����、和安全元件����。可選地���,外殼可以不包括度量単元��,度量可以包括在其他地方���,例如在公用事業(yè)計量器中。公用事業(yè)計量器與計量系統(tǒng)之間的連接可以是無線的�,例如使用無線MBUS ;優(yōu)選地可對無線連接進行安全化�����。根據(jù)本發(fā)明的方法可以在計算機上實現(xiàn)作為計算機實現(xiàn)的方法,或者可以在專用硬件中實現(xiàn)����,或者以這二者的組合來實現(xiàn)。根據(jù)本發(fā)明方法的可執(zhí)行代碼可以存儲在計算機程序產(chǎn)品上���。計算機程序產(chǎn)品的示例包括存儲 器設(shè)備�����、光學(xué)存儲設(shè)備���、集成電路、服務(wù)器��、在線軟件等��。優(yōu)選地�,計算機程序產(chǎn)品包括計算機可讀介質(zhì)上存儲的非臨時程序代碼,該非臨時程序代碼用于在計算機上執(zhí)行所述程序產(chǎn)品時執(zhí)行根據(jù)本發(fā)明的方法����。在優(yōu)選實施例中�����,計算機程序包括適合于計算機程序運行在計算機上時執(zhí)行根據(jù)本發(fā)明方法的所有步驟。優(yōu)選地��,計算機程序在計算機可讀介質(zhì)中實現(xiàn)�。
通過示例并參照附圖進一歩詳細(xì)說明本發(fā)明,在附圖中圖I是示出了其中安全元件沒有布置在度量単元與控制器之間的計量系統(tǒng)的框圖�,圖2a是示出了其中安全元件布置在度量単元與控制器之間的計量系統(tǒng)的框圖,圖2b是示出了安全元件的框圖�,圖3是示出了計量系統(tǒng)的架構(gòu)的框圖,圖4是示出了封裝系統(tǒng)的框圖���,圖5是示出了計量方法的流程圖����,圖6是示出了另ー實施例的框圖��。貫穿附圖��,類似或?qū)?yīng)的特征由相同附圖標(biāo)記來指示��。附圖標(biāo)記的列表100計量系統(tǒng)110控制器120度量單元140安全元件150通信單元200計量系統(tǒng)210公用事業(yè)220外部服務(wù)器240安全元件242認(rèn)證單元244數(shù)據(jù)集中器単元246本地存儲裝置300計量架構(gòu)310 第一總線320 第二總線330 連接400封裝系統(tǒng)410第一集成電路
420第二集成電路430 連接500計量方法510通過度量單元獲得對測量的物理量(表示公用事業(yè)的使用)加以表示的數(shù)字度量數(shù)據(jù)520通過安全元件從度量単元接收數(shù)字度量數(shù)據(jù)530通過安全元件將依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)存儲在本地存儲裝置中�,存儲的數(shù)據(jù)表示至少預(yù)定時間段內(nèi)接收到的數(shù)字度量數(shù)據(jù)540通過安全元件向控制器發(fā)送受保護使用信息 550通過控制器向外部服務(wù)器傳送基于數(shù)字度量數(shù)據(jù)的受保護使用信息610加法器620累加器630累加使用寄存器640認(rèn)證寄存器
具體實施例方式盡管本發(fā)明容許許多不同形式的實施例,但是在附圖中存在并在這里詳細(xì)描述ー個或多個特定實施例,應(yīng)理解����,本公開應(yīng)當(dāng)視為本發(fā)明原理的示例,并不應(yīng)將本發(fā)明限制于所示出和描述的特定實施例���。圖I是示出了其中安全元件沒有布置在度量単元與控制器之間的計量系統(tǒng)100的框圖��。圖I中示出了控制器110�、度量單元120����、安全元件140和通信單元150?����?刂破鲝亩攘繀g元120直接接收數(shù)字度量數(shù)據(jù)�����?����?刂破?10可以對數(shù)字度量數(shù)據(jù)進行處理,并且使用通信単元150將數(shù)字度量數(shù)據(jù)發(fā)送到外部服務(wù)器(未示出)���。在發(fā)送至通信単元150之前,控制器110可以使用針對密碼功能(例如完整性保護或加密)的安全協(xié)處理器140��。計量系統(tǒng)100具有以下缺點如果可能經(jīng)由通信単元150遠(yuǎn)程危及控制器110的安全����,則度量數(shù)據(jù)會被讀取(因此違反私密性)或者被破壞(違反系統(tǒng)的完整性)。注意�,外部服務(wù)器不能看到上述發(fā)生,這是因為攻擊者也可以添加控制器110使用安全元件140添加的任何完整性保護��。圖6示出了可以在該實施例中使用的安全元件240的實現(xiàn)方式���。圖2a是示出了其中安全元件布置在度量単元與控制器之間的計量系統(tǒng)200的框圖����。在圖2b中�,示出了安全元件的其他細(xì)節(jié)。圖2a和2b共同被稱作圖2��。圖2示出了計量系統(tǒng)200�����、公用事業(yè)210和外部服務(wù)器200。這里所示的公用事業(yè)210可能是被配置為給出對公用事業(yè)的使用加以表示的信號(模擬或數(shù)字)的任何設(shè)備���。外部服務(wù)器220是關(guān)注于接收對消耗加以表示的數(shù)據(jù)的外部服務(wù)器��。信號可以由使用本身形成���,例如,在電情況下�,這可以包括電路閉合。計量系統(tǒng)200包括度量單元120��。度量單元120包括計量設(shè)備支持的測量實際物理量的功能這可以是熱/冷流��、電消耗����、氣流、油流或水流�����。這種物理信息(示例是焦耳��、立方米、溫度��、功率��、電壓��、電流�、頻率)被稱作度量數(shù)據(jù)�。可選地�,度量單元120應(yīng)當(dāng)遠(yuǎn)離計量系統(tǒng)200,例如包括在公用事業(yè)210中����。可以將遠(yuǎn)程計量器(也被稱作子計量)擴展成多個子計量器�����。計量系統(tǒng)200包括控制器110��??刂破?10管理對計量器的總體控制?����?刂破魇褂枚攘繑?shù)據(jù),并且向外界(具體地外部服務(wù)器200)報告該信息���。計量系統(tǒng)200可以包括本地顯示屏或者可以連接至本地顯示屏(未示出)�����。顯示屏可以是IXD屏����?�?刂破?10可以使用用于顯示終端用戶信息的本地顯示器�。例如,控制器110可以被配置用于在顯示屏上顯示在一段時間內(nèi)累加的使用�����。計量系統(tǒng)200包括針對計量系統(tǒng)200與外部服務(wù)器220之間通信的通信単元�����。通信単元150可以包括用于長距離遠(yuǎn)程通信的多個通信子系統(tǒng)中的任ー個���;示例包括電カ線通信或GSM/GPRS蜂窩基礎(chǔ)設(shè)施���?�?刂破?10連接至通信単元150�,使得可以向外部服務(wù)器220發(fā)送受保護使用信息�。計量系統(tǒng)200可以包括例如使用有線或無線短距離通信與其他類型計量設(shè)備210 進行通信的本地通信系統(tǒng)。公用事業(yè)210與計量系統(tǒng)200之間的通信已經(jīng)用線來指示�,并且可以是有線或無線的。在所示實施例中��,控制器110與度量単元120不直接連接����??刂破?10不能獲得對數(shù)字度量數(shù)據(jù)的直接訪問。計量系統(tǒng)200包括安全元件240����。以下示出了安全元件240的部件認(rèn)證單元242、可選數(shù)據(jù)集中器単元244和本地存儲裝置246�����。例如,安全元件可以包括智能卡���、智能卡1C�����、S頂?shù)?���。安全元?40連接至度量単元120以接收數(shù)字度量數(shù)據(jù)��。安全元件240連接至控制器110以向控制器110發(fā)送受保護使用信息����。安全元件240包括本地存儲裝置246,本地存儲裝置246用于存儲依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)���。存儲的數(shù)據(jù)表示接收到的數(shù)字度量數(shù)據(jù)�����。安全元件240被配置為在至少預(yù)定時間段內(nèi)保持存儲的數(shù)據(jù)�。在實施例中�����,預(yù)定時間段是小時、天���、星期���、月、年中的任ー個�。存儲的數(shù)據(jù)可以是數(shù)字度量數(shù)據(jù)本身。較短或較長的周期是可能的��。安全元件240可以被配置為基于數(shù)字度量數(shù)據(jù)來導(dǎo)出使用信息��。同樣使用信息可以包括數(shù)字度量數(shù)據(jù)本身�����。安全元件240包括認(rèn)證單元242��,認(rèn)證單元242被配置為通過向使用信息添加密碼完整性保護元素來保護使用信息�,以獲得受保護使用信息����。安全元件240可以包括數(shù)據(jù)集中器単元244����。數(shù)據(jù)集中器単元244被配置用于從數(shù)字度量數(shù)據(jù)中導(dǎo)出預(yù)定時間段內(nèi)的累加使用����。例如,特定公用事業(yè)的總使用�����,例如���,上一小時內(nèi)的水�����。安全元件240可以包括使用信息的累加使用�。典型地�,計量系統(tǒng)200包括為計量設(shè)備中的所有子系統(tǒng)創(chuàng)建內(nèi)部供電的電源(圖中未示出)。使用計量系統(tǒng)200的ー種方式如下�。在使用期間,公用事業(yè)210產(chǎn)生對公用事業(yè)的使用加以表示的信號�����。度量単元120接收信號,并且如果需要�,則將該信號從模擬轉(zhuǎn)換到數(shù)字。接著�����,安全元件240接收數(shù)字度量數(shù)據(jù)���。安全元件240可以在本地存儲裝置246上存儲數(shù)字度量數(shù)據(jù)����。安全元件240計算針對所有或一部分?jǐn)?shù)字度量數(shù)據(jù)的保護元素(例如����,MAC或簽名),并且將該數(shù)字度量數(shù)據(jù)作為受保護使用信息轉(zhuǎn)發(fā)至控制器110����?��?刂破?10可以使用該數(shù)據(jù)以向用戶示出使用信息���。盡管對數(shù)據(jù)進行完整性保護��,但是控制器可以從受保護使用信息中導(dǎo)出其自身信息���,這是因為通常不對受保護使用信息進行加密(盡管這能夠提高保密性)。然而��,控制器110將包含數(shù)字度量數(shù)據(jù)的受保護使用信息轉(zhuǎn)發(fā)至外部服務(wù)器��。外部服務(wù)器可以驗證保護元素���。如果危及到控制器110的安全��,則控制器110可以僅以可檢測方式來改變數(shù)據(jù)���。安全元件240可以通過在一段時間對數(shù)據(jù)進行累加來壓縮數(shù)據(jù)。包含本地存儲裝置的安全元件安全地存儲度量數(shù)據(jù)��。這樣�,對通信系統(tǒng)或控制器的任何攻擊不會竄改度量信息的測量信息。同樣���,安全元件提供獲得訪問度量信息的唯一路徑�。控制器不能直接訪問度量��。安全元件可以使用認(rèn)證來確保經(jīng)由通信単元150請求度量數(shù)據(jù)的任何遠(yuǎn)程方被授權(quán)訪問度量數(shù)據(jù)�。安全元件也可以用作針對系統(tǒng)中度量単元的校準(zhǔn)參數(shù)的安全存儲裝置。 在實施例中����,控制器110需要訪問度量単元120才能直接獲得數(shù)字度量數(shù)據(jù)。然而�����,控制器110還接收受保護使用信息����。這在安全元件240包括數(shù)據(jù)集中器単元的情況下尤其有用?����?刂破?10訪問所有數(shù)據(jù)�����,使得控制器可以基于數(shù)據(jù)來通知用戶�。然而,控制器可以向外部服務(wù)器220發(fā)送縮減的信息���,因此降低帶寬要求�。對于控制器而言還能夠連同受保護使用信息一起發(fā)送基于度量數(shù)據(jù)的信息�����。這樣��,受保護使用信息用作對度量數(shù)據(jù)的認(rèn)證�。服務(wù)器可以驗證使用信息與從控制器接收到的其他數(shù)據(jù)是否一致。圖3是不出了計量系統(tǒng)(例如計量系統(tǒng)200)的架構(gòu)300的框圖���。圖3不出了第ー總線310和第二總線320���。度量單元120和安全元件240連接至第一總線310,并且經(jīng)由該介質(zhì)通信�����。通信単元150和控制器110連接至第二總線�,并且可以經(jīng)由該介質(zhì)通信。連接330將安全元件240連接至控制器110����,使得安全元件240可以向控制器110發(fā)送受保護
使用信息�。圖4是示出了封裝系統(tǒng)400的框圖�����。圖4示出了第一集成電路410和第二集成電路420���。度量單元120和安全元件240集成在第一集成電路410中��?���?刂破?10和通信單元150集成在第二集成電路420中��。第一集成電路410和第二集成電路420之間的連接430允許安全元件240向控制器110發(fā)送受保護使用信息�。圖5是示出了計量方法500的流程圖。流程圖示出了 步驟510�,通過度量單元獲得對測量的物理量(表示公用事業(yè)的使用)加以表示的數(shù)字度量數(shù)據(jù);步驟520�����,通過安全元件從度量単元接收數(shù)字度量數(shù)據(jù)�;步驟530�����,通過安全元件將依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)存儲在本地存儲裝置中,存儲的數(shù)據(jù)表示至少預(yù)定時間段內(nèi)接收到的數(shù)字度量數(shù)據(jù)���;步驟540��,通過安全元件向控制器發(fā)送受保護使用信息���;以及步驟550通過控制器向外部服務(wù)器傳送基于數(shù)字度量數(shù)據(jù)的受保護使用信息。典型地��,安全元件240向控制器110轉(zhuǎn)發(fā)的使用數(shù)據(jù)與存儲的數(shù)據(jù)相同�。存儲的數(shù)據(jù)就是從度量単元120接收到的數(shù)據(jù)。然而�����,該數(shù)據(jù)可以不同����。一些處理可以在本地存儲裝置246上存儲之前進行,并且可以處理可以在本地存儲裝置246上存儲之后但在發(fā)送給控制器110之前進行�����。流程圖示出了執(zhí)行所述步驟的ー種可能順序。如對本領(lǐng)域技術(shù)人員顯而易見的����,執(zhí)行方法的許多不同方式是可能的。例如���,步驟的順序可以改變���,或者ー些步驟可以并行執(zhí)行。此外�����,在步驟之間可以插入其他方法步驟���。插入的步驟可以表示如這里所描述的方法的精煉�,或者可以與所述方法無關(guān)����。此外,給定步驟可以在下個步驟開始之前還沒有完全完成。根據(jù)本發(fā)明的方法可以使用軟件來執(zhí)行�,軟件包括用于使處理器系統(tǒng)執(zhí)行方法500的指令。軟件可以僅包括系統(tǒng)的特定子實體所采用的那些步驟��。軟件可以存儲在適合的存儲介質(zhì)中��,例如���,硬盤、軟盤���、存儲器等�??梢匝刂芯€或無線,或者使用數(shù)據(jù)網(wǎng)絡(luò)(例如����,互聯(lián)網(wǎng))來發(fā)送軟件作為信號?��?梢允管浖捎糜谙螺d和/或服務(wù)器上的遠(yuǎn)程使用����。圖6示出了安全 元件240的另ー實現(xiàn)方式����?����?刂破?10從度量単元120直接接收度量數(shù)據(jù)��。同樣安全元件240接收度量數(shù)據(jù)����。利用加法器610將度量數(shù)據(jù)添加至累加器620�����。累加器620用于安全本地存儲裝置����。控制器110不能修改累加器620��。以規(guī)則的時間間隔將累加器620的內(nèi)容拷貝至累加使用寄存器630���。將相同的累加器620內(nèi)容發(fā)送至認(rèn)證單元242���。認(rèn)證單元針對累加器620的內(nèi)容導(dǎo)出保護元素�����,并且將該保護元素放在認(rèn)證寄存器640中����?���?刂破?10對寄存器具有對630和640的讀取訪問。寄存器630和640共同形成受保護使用信息�。當(dāng)控制器110基于度量數(shù)據(jù)向服務(wù)器220發(fā)送信息時�����,控制器110包括寄存器630和640的內(nèi)容�����。這樣��,服務(wù)器可以驗證數(shù)據(jù)的總趨勢����,這足以找到欺詐行為�。這種實現(xiàn)方式特別適合于智能卡��,因為智能卡僅要求較少的存儲量���。應(yīng)注意�,上述實施例示意而非限制本發(fā)明����,在不背離所附權(quán)利要求的范圍的前提下,本領(lǐng)域技術(shù)人員將能夠設(shè)計出許多備選實施例����。在權(quán)利要求中,括號之間的任何附圖標(biāo)記不應(yīng)構(gòu)成對權(quán)利要求的限制����。動詞“包括”及其變型的使用并不排除權(quán)利要求所陳述的元件或步驟以外的其他元件或步驟的存在。元件之前的不定冠詞“一”不排除多種這種元件的存在�����?��?梢岳冒ㄈ舾刹煌挠布约袄眠m當(dāng)編程的計算機來實現(xiàn)本發(fā)明���。在列舉了若干裝置的設(shè)備權(quán)利要求中���,這些裝置中的若干裝置可以由同一項硬件來實現(xiàn)。在互不相同的從屬權(quán)利要求中闡述特定措施并不表示不能有利地使用這些措施的組合���。
權(quán)利要求
1.ー種計量系統(tǒng)(200)包括 -度量単元(120)���,配置用于獲得對測量的物理量(210)加以表示的數(shù)字度量數(shù)據(jù),測量的物理量表示公用事業(yè)的使用�����; -控制器(110)�����,配置用于向外部服務(wù)器(220)傳送基于數(shù)字度量數(shù)據(jù)的受保護使用信息�,并且 所述計量系統(tǒng)的特征在于安全元件(240)���,用于安全地存儲數(shù)字度量數(shù)據(jù)�����, 其中��, -安全元件布置在度量単元與控制器之間���,安全元件連接至度量単元以從度量単元接收數(shù)字度量數(shù)據(jù)�,安全元件連接至控制器以向控制器發(fā)送受保護使用信息�,并且 -安全元件包括用于安全地存儲依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)的本地存儲裝置(246),存儲的數(shù)據(jù)表示在至少預(yù)定時間段內(nèi)接收到的數(shù)字度量數(shù)據(jù)���。
2.根據(jù)權(quán)利要求I所述的計量系統(tǒng)��,包括第一總線(310)和與第一總線不同的第二總線(320)��,度量単元和安全元件連接至第一總線�,控制器連接至第二總線���。
3.根據(jù)前述權(quán)利要求中任ー項所述的計量系統(tǒng)�����,其中�,安全元件被布置為基于數(shù)字度量數(shù)據(jù)來導(dǎo)出使用信息,并且通過將密碼完整性保護元素添加至使用信息來保護使用信息�,以獲得受保護使用信息。
4.根據(jù)前述權(quán)利要求中任ー項所述的計量系統(tǒng)�,其中,安全元件被配置用于執(zhí)行與外部服務(wù)器的認(rèn)證協(xié)議�����,安全元件被配置用于在認(rèn)證協(xié)議成功時有條件地向控制器發(fā)送受保護使用信息����。
5.根據(jù)前述權(quán)利要求中任ー項所述的計量系統(tǒng),其中����,本地存儲裝置還存儲度量単元的校準(zhǔn)參數(shù)。
6.根據(jù)前述權(quán)利要求中任ー項所述的計量系統(tǒng)��,包括數(shù)據(jù)集中器単元(244)�����,所述數(shù)據(jù)集中器単元被配置用于從數(shù)字度量數(shù)據(jù)中導(dǎo)出預(yù)定時間內(nèi)的累加使用�����。
7.根據(jù)權(quán)利要求6所述的計量系統(tǒng)��,其中�,數(shù)據(jù)集中器単元包括在安全単元中,并且受保護使用信息包括累加使用����。
8.根據(jù)權(quán)利要求6所述的計量系統(tǒng),其中����, -安全元件被配置用于將至少預(yù)定時間段內(nèi)接收到的數(shù)字度量數(shù)據(jù)存儲在本地存儲裝置中,以及 -安全元件被配置用于執(zhí)行與數(shù)據(jù)集中器単元的認(rèn)證協(xié)議�,安全元件被配置用于在認(rèn)證協(xié)議成功時有條件地向數(shù)據(jù)集中器單元發(fā)送存儲的度量數(shù)據(jù)。
9.根據(jù)前述權(quán)利要求中任ー項所述的計量系統(tǒng)�����,其中�,安全元件包括智能卡。
10.根據(jù)前述權(quán)利要求中任ー項所述的計量系統(tǒng)��,其中����,受保護使用信息包括數(shù)字度量數(shù)據(jù)�。
11.根據(jù)權(quán)利要求10所述的計量系統(tǒng)�����,包括顯示屏�,其中控制器被配置為基于受保護使用信息在顯示屏上顯示累加使用。
12.根據(jù)前述權(quán)利要求中任ー項所述的計量系統(tǒng)��,其中����,控制器通過安全元件僅與度量單元相連。
13.—種包括前述權(quán)利要求中任一項所述的計量系統(tǒng)的封裝系統(tǒng)���,所述封裝系統(tǒng)包括第一集成電路和第二集成電路�����,第一集成電路包括度量単元和安全元件���,第二集成電路包括控制器。
14.一種計量方法(500)���,包括 -通過度量單元獲得(510)對測量的物理量加以表示的數(shù)字度量數(shù)據(jù)����,測量的物理量表示公用事業(yè)的使用��, -通過控制器向外部服務(wù)器傳送(550)基于數(shù)字度量數(shù)據(jù)的受保護使用信息�, 并且其特征在干, -通過安全元件從度量単元接收(520)數(shù)字度量數(shù)據(jù)�, -通過安全元件安全地存儲數(shù)字度量數(shù)據(jù), -通過安全元件向控制器發(fā)送(540)受保護使用信息��, -通過安全元件將依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)存儲(530)在本地存儲裝置中�����,存儲的數(shù)據(jù)表示至少預(yù)定時間段內(nèi)接收到的數(shù)字度量數(shù)據(jù)�。
全文摘要
本發(fā)明提供了一種計量系統(tǒng)(200)包括度量單元(120),配置用于獲得對測量的物理量加以表示的數(shù)字度量數(shù)據(jù)�����,測量的物理量表示公用事業(yè)(210)的使用����;控制器(110),配置用于向外部服務(wù)器(220)傳送基于數(shù)字度量數(shù)據(jù)的受保護使用信息;以及安全元件(240)�����,其中��,安全元件布置在度量單元與控制器之間���,安全元件連接至度量單元以從度量單元接收數(shù)字度量數(shù)據(jù)����,安全元件連接至控制器以向控制器發(fā)送受保護使用信息����,并且安全元件包括本地存儲裝置(246),用于存儲依賴于接收到的數(shù)字度量數(shù)據(jù)的數(shù)據(jù)��,存儲的數(shù)據(jù)表示在至少預(yù)定時間段內(nèi)接收到的數(shù)字度量數(shù)據(jù)�����。
文檔編號H04L29/08GK102868675SQ20121023039
公開日2013年1月9日 申請日期2012年7月4日 優(yōu)先權(quán)日2011年7月6日
發(fā)明者帕特里克·內(nèi)森, 讓·瑞內(nèi)·布朗德 申請人:Nxp股份有限公司