专利名称:具有提高安全性的计量系统的制作方法
技术领域:
本发明涉及ー种计量系统,包括度量単元,配置用于获得对测量的物理量(例如,表示对公用事业(utility)的使用)加以表示的数字度量数据;以及控制器,配置用于向外部服务器发送基于数字度量数据的受保护使用信息。本发明还涉及ー种计量方法,包括通过度量单元获得对测量的物理量(表示公用事业的使用)加以表示的数字度量数据;以及通过控制器向外部服务器发送基于数字度量数据的受保护使用信息。
背景技术:
智能计量系统测量公用事业(例如,电力、水,热和气)的消耗并且配置用于远程读出。例如,智能计量系统可以包括电计量器并且记录特定时间间隔(例如,ー小时时间间隔或更小时间间隔)内的电能消耗,并且将该信息通信至用于监测和开账单目的的公用事业。智能计量器通常实现计量器与中央系统之间的双向通信,使得智能计量器可以接收命令。关于智能计量器的关注之一是计量数据的安全性。用户会尝试在没有专门授权的情况下改变计量数据,似乎目的在于消耗较少的公用事业。这种结果是少计算个人费用。另ー关注在于不在与智能计量器相关联的家庭中居住的未授权人会尝试对智能计量服务进行远程访问,使得他们能够读取度量数据。根据计量信息,可以推断各种个人数据,例如推断出某人目前是否在家中。各种标准可用于智能计量器。例如在“Dutch Smart Meter Requirements”,Netbeheer Nederland, April 22nd, 2011, Version :4. 0 中给出了对智能计量器的要求。该文献给出了针对远程可读计量的要求,远程可读计量是针对家庭消费者的电、从属E计量器、气、热能(热)和水。设想的计量器具有用于向计量系统发送数据的针对辅助器材的接ロ,以及向供应商、电カ公司等通信的端ロ。计量器还可以具有用于在计量安装和安装和现场维护期间与外部设备(例如,手持終端)进行通信的通信端ロ。例如已经通过在计量器的中央控制器中合并安全性特性来尝试解决上述关注。然而,目前结果还不能完全令人满意。US2005/033701A1公开了,在用于从多个远程计量器中接收公用事业使用报告的中央系统中,提供确保实际已经从向中央系统注册了的计量器传送接收到的报告。在注册过程期间,计量器向中央系统传送公共密码代码。利用公用事业使用的毎次报告,计量器发送利用其私有密码密钥加密的消息版本。中央系统利用计量器的公钥进行解密。如果与消息的解密版本匹配,则已知计量器发送了报告。解密的消息可以由中央系统产生,并且按照报告的请求传送至计量器,或者可以由计量器产生并且与加密版本一同发送
发明内容
有利地,实现具有提高安全性的计量系统。改进的ー种计量系统包括度量単元,配置用于获得对测量的物理量(表示公用事业的使用)加以表示的数字度量数据;控制器,配置用于向外部服务器传送基于数字度量数据的受保护使用信息;以及安全元件。安全元件布置在度量単元与控制器之间,安全元件连接至度量単元以从度量単元接收数字度量数据,安全元件连接至控制器以向控制器发送受保护使用信息。安全元件包括用于存储依赖于接收到的数字度量数据的数据的本地存储装置。存储的数据表示在至少预定时间段内接收到的数字度量数据。现有度量系统的问题在于,这些现有度量系统特别容易受到对它们中央控制的远程攻击。一旦攻击者对控制器建立了外部控制,度量数据会被读取和/或破坏。通过在度量単元与控制器之间布置安全元件,在将度量数据发送到控制器之前将 度量数据存储在本地存储装置中。窜改控制器不会影响对度量数据的记录。安全元件配置用于将存储依赖于接收到的数字度量数据的数据存储在与控制器无关的本地存储装置中。在实施例中,度量単元包括模数转换器(ADC),模数转换器用于将对测量的物理量(表示公用事业的使用)加以表示的模拟度量数据转换成数字度量数据。模数转换器包括用于接收对测量的物理量(表示公用事业的使用)加以表示的模拟度量数据,以及针对数字度量数据的输出。例如,度量単元从气计量器或水计量器等接收模拟或数字信号。度量单元还可以对数据进行其他处理,例如滤波、积分、算术组合等。度量单元还可以对自身执行测量。例如,对于天然气或水,度量単元可以通过介质发送超声波并且测量反射响应时间。例如,对公用事业的使用加以表示的物理量可以是流经家庭进水管的水的公升数。基于数字度量数据的受保护使用信息受到数字密码元素(例如消息认证码(MAC)或数字签名)的保护。外部服务器可以属于供应商、电カ运营商、开账单公司等。服务被配置为收集来自计量系统(典型地,来自多个计量系统)的受保护使用信息。服务器可以出于开账单而且出于技术目的来使用受保护使用信息。例如,公用事业的载流容量可以根据从多个计量系统累加的受保护使用信息而增加或减小。外部服务器可以被配置用于通过验证密码元素来验证受保护使用信息。如果密码元素不能验证,例如,密码元素与使用信息的内容不匹配,或者密码元素与用于创建密码元素的安全元件所使用的密钥不相对应,则服务器发出警报;基于该警报,可以发起诸如之类欺诈调查的适当措施。本地存储装置可以包括本地存储器(例如,闪速存储器)或磁存储装置(例如,硬盘)。本地存储装置优选地是非易失性存储装置。安全元件被布置为,使得控制器不仅不能直接访问本地存储装置,而且也不能通过安全元件来访问本地存储装置。 本地存储装置优选地通过要求对计量系统的本地物理访问的接ロ可访问。这样,欺诈调查可以读取本地存储装置,而不会冒着攻击者获得对本地存储装置的远程访问的风险。存在各种与从度量单元获得的数字度量数据的数量相比减少要存储在本地存储装置中的数据量的方式。例如,本地存储装置可以被配置作为所谓的环形缓冲器。这样,早在本地存储装置尺寸允许时,最新产生的数据就是可用的。对于预定时间段是24个小吋,采样大小是2个字节,采样速率是每秒一次,169kB存储就足够。具有略微较大存储器,例如,256kB允许比预定时间段期间产生的存储略微多的存储量。本领域技术人员可以根据公用事业的数目、要存储的数据量以及预定时间段来调整本地存储装置的尺寸。例如,可以在存储数字度量数据之前通过无损压缩算法对数字度量数据进行压縮。预定时间段取决于所要求的安全性级别。由于由安全元件存储度量数据,控制器或控制器的通信子系统的侵入(breaking into)不会影响度量功能。具体地,对计量系统的服务攻击的拒绝,控制器软件的缓冲器上溢等不会影响度量功能。此外,在度量数据进入中央控制器之前通过添加保护元素来保护度量数据。这对于控制器而言不可能既对数据进行修改又不会被服务器检测到。即使在极端情况下,其中攻击者去除了全部受保护元素或数据,这也会因受保护元素或数据的不存在而被检测到。本发明可以应用于所有类型的计量设备气、水、电、油、蒸汽和热计量设备等。依赖于接收到的度量数据的数据可以包括一段时间的累加使用。该时间段可以从计量系统的第一次启动开始。在实施例中,计量系统包括第一总线和与第一总线不同的第二总线,度量単元和安全元件连接至第一总线,控制器连接至第二总线。由于控制器使用与安全元件和度量単元不同的互通信系统,因此控制器不能访问安全元件和度量単元之间的通信。这增进了安全元件与控制之间的分离。安全元件可以通过连接向控制器提供接ロ。计量系统可以包括将信息从安全元件传送到控制器的网关。在实施例中,安全元件被布置为基于数字度量数据来导出使用信息,并且通过将密码完整性保护元素添加至使用信息来保护使用信息,以获得受保护使用信息。使用信息可以与数字度量数据相同。使用信息可以是数字度量数据摘要(su_ary)。例如,使用信息可以包括预定时间段(例如,一小时)期间的使用。安全元件可以包括用于存储密码密钥的密钥存储装置。密码密钥可以是对称密钥,在这种情况下,密码完整性保护元素可以是MAC,例如,基于SHA-256的HMAC。密码密钥可以是非对称密钥,例如,公钥-私钥对的私钥;在这种情况下,密码完整性保护元素可以是数字签名,例如,基于RSA的签名。密码完整性保护元素可以通过外部服务器来验证。这样,控制器不能对受保护使用信息进行未检测改变。优选地,受保护使用信息由控制器可读取,使得控制器可以在显示屏上显示使用信息。在实施例中,安全元件还可以对使用信息进行加密;这提高了私密性。在实施例中,安全元件被配置用于执行与外部服务器的认证协议,安全元件被配置用于在认证协议成功时有条件地向控制器发送受保护使用信息。在转发受保护使用信息之前,安全元件可以验证预期接收方在线。例如,可以与外部服务器进行挑战响应协议。例如,安全元件可以包括外部服务器的证书。安全元件经由控制器向外部服务器发送不重性(nonce)。外部服务器使用与安全元件中的证书相对应的私钥来标记不重性。安全元件使用存储的证书来验证不重性上的签名。在实施例中,本地存储装置还存储度量单元的校准參数。可以对度量单元进行校准。校准參数由于修改会导致不正确测量而敏感。通过将校准參数存储在控制器不能访问的本地存储装置中,这避免了对控制器的攻击引起校准參数的破坏。在该实施例中,度量单元可以访问本地存储装置,或者安全元件提供请求校准參数的接ロ。接ロ不允许修改。在实施例中,计量系统包括数据集中器単元。数据集中器単元被配置用于从数字度量数据中导出预定时间内的累加使用。数字度量数据的分辨率可以比期望的更高。通过计算累加使用,需要将较少的数据通信至外部服务器,或者需要在本地存储较少的数据。数据集中器単元可以包括在安全単元中,并且受保护使用信息包括累加使用。这具有安全元件可以保护累加使用的优点。在实施例中,安全元件可以被配置用于执行与数据集中器単元的认证协议,安全元件被配置用于在认证协议成功时有条件地向数据集中器单元发送存储的度量数据。如果数据集中器単元没有包括在安全元件中,这尤其有用。安全元件被配置用于在至少预定时间段内将接收到的数字度量数据本身存储在本地存储装置中,使得数据集中器単元可以获得该数据。在进行本地数据集中的系统中;每个单独计量设备可以具有如本发明中所述的安全元件。此外,数据集中器単元可以使用另ー安全元件来向计量设备认证自己,在计量系统中数据集中器単元汇聚了度量数据。在实施例中,安全元件包括智能卡,智能开IC、SM等。智能卡具有增强的防窜改,并且特别适合于用作安全元件。在实施例中,受保护使用信息包括数字度量数据。在实施例中,计量系统包括显示屏。控制器被配置用于基于受保护使用信息在显示屏上显示累加使用。例如,受保护使用信息包括数字度量数据,可以通过控制器向外部服务器发送受保护使用信息,但是控制器产生用于在显示屏上显示的摘要,例如累加使用。在实施例中,控制器通过安全元件仅与度量单元相连。在实施例中,计量系统被实现为所谓封装系统(system in package)。例如,封装系统包括第一集成电路和第二集成电路,第一集成电路包括度量単元和安全元件,第二集成电路包括控制器。例如,封装系统包括第一集成电路、第二集成电路和第三集成电路,第一集成电路包括度量単元,第三集成电路包括安全元件,并且第二集成电路包括控制器。在特定有利实施例中,度量単元和安全元件包括在封装系统中,并且控制器包括在分离的IC中。封装系统中的不同集成电路可以通过线路在内部连接。本发明的ー个方面关注计量方法。计量方法包括通过度量单元获得对测量的物理量(表示公用事业的使用)加以表示的数字度量数据;通过控制器向外部服务器传送基于数字度量数据的受保护使用信息;通过安全元件从度量単元接收数字度量数据;通过安全元件向控制器发送受保护使用信息;通过安全元件将依赖于接收到的数字度量数据的数据存储在本地存储装置中,存储的数据表示至少预定时间段内接收到的数字度量数据。计量系统是电子设备。计量系统可以包括外売。外壳可以包括计量单元、控制器、和安全元件。可选地,外壳可以不包括度量単元,度量可以包括在其他地方,例如在公用事业计量器中。公用事业计量器与计量系统之间的连接可以是无线的,例如使用无线MBUS ;优选地可对无线连接进行安全化。根据本发明的方法可以在计算机上实现作为计算机实现的方法,或者可以在专用硬件中实现,或者以这二者的组合来实现。根据本发明方法的可执行代码可以存储在计算机程序产品上。计算机程序产品的示例包括存储 器设备、光学存储设备、集成电路、服务器、在线软件等。优选地,计算机程序产品包括计算机可读介质上存储的非临时程序代码,该非临时程序代码用于在计算机上执行所述程序产品时执行根据本发明的方法。在优选实施例中,计算机程序包括适合于计算机程序运行在计算机上时执行根据本发明方法的所有步骤。优选地,计算机程序在计算机可读介质中实现。
通过示例并參照附图进一歩详细说明本发明,在附图中图I是示出了其中安全元件没有布置在度量単元与控制器之间的计量系统的框图,图2a是示出了其中安全元件布置在度量単元与控制器之间的计量系统的框图,图2b是示出了安全元件的框图,图3是示出了计量系统的架构的框图,图4是示出了封装系统的框图,图5是示出了计量方法的流程图,图6是示出了另ー实施例的框图。贯穿附图,类似或对应的特征由相同附图标记来指示。附图标记的列表100计量系统110控制器120度量单元140安全元件150通信单元200计量系统210公用事业220外部服务器240安全元件242认证单元244数据集中器単元246本地存储装置300计量架构310 第一总线320 第二总线330 连接400封装系统410第一集成电路
420第二集成电路430 连接500计量方法510通过度量单元获得对测量的物理量(表示公用事业的使用)加以表示的数字度量数据520通过安全元件从度量単元接收数字度量数据530通过安全元件将依赖于接收到的数字度量数据的数据存储在本地存储装置中,存储的数据表示至少预定时间段内接收到的数字度量数据540通过安全元件向控制器发送受保护使用信息 550通过控制器向外部服务器传送基于数字度量数据的受保护使用信息610加法器620累加器630累加使用寄存器640认证寄存器
具体实施例方式尽管本发明容许许多不同形式的实施例,但是在附图中存在并在这里详细描述ー个或多个特定实施例,应理解,本公开应当视为本发明原理的示例,并不应将本发明限制于所示出和描述的特定实施例。图I是示出了其中安全元件没有布置在度量単元与控制器之间的计量系统100的框图。图I中示出了控制器110、度量单元120、安全元件140和通信单元150。控制器从度量単元120直接接收数字度量数据。控制器110可以对数字度量数据进行处理,并且使用通信単元150将数字度量数据发送到外部服务器(未示出)。在发送至通信単元150之前,控制器110可以使用针对密码功能(例如完整性保护或加密)的安全协处理器140。计量系统100具有以下缺点如果可能经由通信単元150远程危及控制器110的安全,则度量数据会被读取(因此违反私密性)或者被破坏(违反系统的完整性)。注意,外部服务器不能看到上述发生,这是因为攻击者也可以添加控制器110使用安全元件140添加的任何完整性保护。图6示出了可以在该实施例中使用的安全元件240的实现方式。图2a是示出了其中安全元件布置在度量単元与控制器之间的计量系统200的框图。在图2b中,示出了安全元件的其他细节。图2a和2b共同被称作图2。图2示出了计量系统200、公用事业210和外部服务器200。这里所示的公用事业210可能是被配置为给出对公用事业的使用加以表示的信号(模拟或数字)的任何设备。外部服务器220是关注于接收对消耗加以表示的数据的外部服务器。信号可以由使用本身形成,例如,在电情况下,这可以包括电路闭合。计量系统200包括度量单元120。度量单元120包括计量设备支持的测量实际物理量的功能这可以是热/冷流、电消耗、气流、油流或水流。这种物理信息(示例是焦耳、立方米、温度、功率、电压、电流、频率)被称作度量数据。可选地,度量单元120应当远离计量系统200,例如包括在公用事业210中。可以将远程计量器(也被称作子计量)扩展成多个子计量器。计量系统200包括控制器110。控制器110管理对计量器的总体控制。控制器使用度量数据,并且向外界(具体地外部服务器200)报告该信息。计量系统200可以包括本地显示屏或者可以连接至本地显示屏(未示出)。显示屏可以是IXD屏。控制器110可以使用用于显示終端用户信息的本地显示器。例如,控制器110可以被配置用于在显示屏上显示在一段时间内累加的使用。计量系统200包括针对计量系统200与外部服务器220之间通信的通信単元。通信単元150可以包括用于长距离远程通信的多个通信子系统中的任ー个;示例包括电カ线通信或GSM/GPRS蜂窝基础设施。控制器110连接至通信単元150,使得可以向外部服务器220发送受保护使用信息。计量系统200可以包括例如使用有线或无线短距离通信与其他类型计量设备210 进行通信的本地通信系统。公用事业210与计量系统200之间的通信已经用线来指示,并且可以是有线或无线的。在所示实施例中,控制器110与度量単元120不直接连接。控制器110不能获得对数字度量数据的直接访问。计量系统200包括安全元件240。以下示出了安全元件240的部件认证单元242、可选数据集中器単元244和本地存储装置246。例如,安全元件可以包括智能卡、智能卡1C、S頂等。安全元件240连接至度量単元120以接收数字度量数据。安全元件240连接至控制器110以向控制器110发送受保护使用信息。安全元件240包括本地存储装置246,本地存储装置246用于存储依赖于接收到的数字度量数据的数据。存储的数据表示接收到的数字度量数据。安全元件240被配置为在至少预定时间段内保持存储的数据。在实施例中,预定时间段是小时、天、星期、月、年中的任ー个。存储的数据可以是数字度量数据本身。较短或较长的周期是可能的。安全元件240可以被配置为基于数字度量数据来导出使用信息。同样使用信息可以包括数字度量数据本身。安全元件240包括认证单元242,认证单元242被配置为通过向使用信息添加密码完整性保护元素来保护使用信息,以获得受保护使用信息。安全元件240可以包括数据集中器単元244。数据集中器単元244被配置用于从数字度量数据中导出预定时间段内的累加使用。例如,特定公用事业的总使用,例如,上一小时内的水。安全元件240可以包括使用信息的累加使用。典型地,计量系统200包括为计量设备中的所有子系统创建内部供电的电源(图中未示出)。使用计量系统200的ー种方式如下。在使用期间,公用事业210产生对公用事业的使用加以表示的信号。度量単元120接收信号,并且如果需要,则将该信号从模拟转换到数字。接着,安全元件240接收数字度量数据。安全元件240可以在本地存储装置246上存储数字度量数据。安全元件240计算针对所有或一部分数字度量数据的保护元素(例如,MAC或签名),并且将该数字度量数据作为受保护使用信息转发至控制器110。控制器110可以使用该数据以向用户示出使用信息。尽管对数据进行完整性保护,但是控制器可以从受保护使用信息中导出其自身信息,这是因为通常不对受保护使用信息进行加密(尽管这能够提高保密性)。然而,控制器110将包含数字度量数据的受保护使用信息转发至外部服务器。外部服务器可以验证保护元素。如果危及到控制器110的安全,则控制器110可以仅以可检测方式来改变数据。安全元件240可以通过在一段时间对数据进行累加来压缩数据。包含本地存储装置的安全元件安全地存储度量数据。这样,对通信系统或控制器的任何攻击不会窜改度量信息的測量信息。同样,安全元件提供获得访问度量信息的唯一路径。控制器不能直接访问度量。安全元件可以使用认证来确保经由通信単元150请求度量数据的任何远程方被授权访问度量数据。安全元件也可以用作针对系统中度量単元的校准參数的安全存储装置。 在实施例中,控制器110需要访问度量単元120才能直接获得数字度量数据。然而,控制器110还接收受保护使用信息。这在安全元件240包括数据集中器単元的情况下尤其有用。控制器110访问所有数据,使得控制器可以基于数据来通知用户。然而,控制器可以向外部服务器220发送缩减的信息,因此降低带宽要求。对于控制器而言还能够连同受保护使用信息一起发送基于度量数据的信息。这样,受保护使用信息用作对度量数据的认证。服务器可以验证使用信息与从控制器接收到的其他数据是否一致。图3是不出了计量系统(例如计量系统200)的架构300的框图。图3不出了第ー总线310和第二总线320。度量单元120和安全元件240连接至第一总线310,并且经由该介质通信。通信単元150和控制器110连接至第二总线,并且可以经由该介质通信。连接330将安全元件240连接至控制器110,使得安全元件240可以向控制器110发送受保护
使用信息。图4是示出了封装系统400的框图。图4示出了第一集成电路410和第二集成电路420。度量单元120和安全元件240集成在第一集成电路410中。控制器110和通信单元150集成在第二集成电路420中。第一集成电路410和第二集成电路420之间的连接430允许安全元件240向控制器110发送受保护使用信息。图5是示出了计量方法500的流程图。流程图示出了 步骤510,通过度量单元获得对测量的物理量(表示公用事业的使用)加以表示的数字度量数据;步骤520,通过安全元件从度量単元接收数字度量数据;步骤530,通过安全元件将依赖于接收到的数字度量数据的数据存储在本地存储装置中,存储的数据表示至少预定时间段内接收到的数字度量数据;步骤540,通过安全元件向控制器发送受保护使用信息;以及步骤550通过控制器向外部服务器传送基于数字度量数据的受保护使用信息。典型地,安全元件240向控制器110转发的使用数据与存储的数据相同。存储的数据就是从度量単元120接收到的数据。然而,该数据可以不同。一些处理可以在本地存储装置246上存储之前进行,并且可以处理可以在本地存储装置246上存储之后但在发送给控制器110之前进行。流程图示出了执行所述步骤的ー种可能顺序。如对本领域技术人员显而易见的,执行方法的许多不同方式是可能的。例如,步骤的顺序可以改变,或者ー些步骤可以并行执行。此外,在步骤之间可以插入其他方法步骤。插入的步骤可以表示如这里所描述的方法的精炼,或者可以与所述方法无关。此外,给定步骤可以在下个步骤开始之前还没有完全完成。根据本发明的方法可以使用软件来执行,软件包括用于使处理器系统执行方法500的指令。软件可以仅包括系统的特定子实体所采用的那些步骤。软件可以存储在适合的存储介质中,例如,硬盘、软盘、存储器等。可以沿着有线或无线,或者使用数据网络(例如,互联网)来发送软件作为信号。可以使软件可用于下载和/或服务器上的远程使用。图6示出了安全 元件240的另ー实现方式。控制器110从度量単元120直接接收度量数据。同样安全元件240接收度量数据。利用加法器610将度量数据添加至累加器620。累加器620用于安全本地存储装置。控制器110不能修改累加器620。以规则的时间间隔将累加器620的内容拷贝至累加使用寄存器630。将相同的累加器620内容发送至认证单元242。认证单元针对累加器620的内容导出保护元素,并且将该保护元素放在认证寄存器640中。控制器110对寄存器具有对630和640的读取访问。寄存器630和640共同形成受保护使用信息。当控制器110基于度量数据向服务器220发送信息时,控制器110包括寄存器630和640的内容。这样,服务器可以验证数据的总趋势,这足以找到欺诈行为。这种实现方式特别适合于智能卡,因为智能卡仅要求较少的存储量。应注意,上述实施例示意而非限制本发明,在不背离所附权利要求的范围的前提下,本领域技术人员将能够设计出许多备选实施例。在权利要求中,括号之间的任何附图标记不应构成对权利要求的限制。动词“包括”及其变型的使用并不排除权利要求所陈述的元件或步骤以外的其他元件或步骤的存在。元件之前的不定冠词“一”不排除多种这种元件的存在。可以利用包括若干不同元件的硬件以及利用适当编程的计算机来实现本发明。在列举了若干装置的设备权利要求中,这些装置中的若干装置可以由同一项硬件来实现。在互不相同的从属权利要求中阐述特定措施并不表示不能有利地使用这些措施的组合。
权利要求
1.ー种计量系统(200)包括 -度量単元(120),配置用于获得对测量的物理量(210)加以表示的数字度量数据,测量的物理量表示公用事业的使用; -控制器(110),配置用于向外部服务器(220)传送基于数字度量数据的受保护使用信息,并且 所述计量系统的特征在于安全元件(240),用于安全地存储数字度量数据, 其中, -安全元件布置在度量単元与控制器之间,安全元件连接至度量単元以从度量単元接收数字度量数据,安全元件连接至控制器以向控制器发送受保护使用信息,并且 -安全元件包括用于安全地存储依赖于接收到的数字度量数据的数据的本地存储装置(246),存储的数据表示在至少预定时间段内接收到的数字度量数据。
2.根据权利要求I所述的计量系统,包括第一总线(310)和与第一总线不同的第二总线(320),度量単元和安全元件连接至第一总线,控制器连接至第二总线。
3.根据前述权利要求中任ー项所述的计量系统,其中,安全元件被布置为基于数字度量数据来导出使用信息,并且通过将密码完整性保护元素添加至使用信息来保护使用信息,以获得受保护使用信息。
4.根据前述权利要求中任ー项所述的计量系统,其中,安全元件被配置用于执行与外部服务器的认证协议,安全元件被配置用于在认证协议成功时有条件地向控制器发送受保护使用信息。
5.根据前述权利要求中任ー项所述的计量系统,其中,本地存储装置还存储度量単元的校准參数。
6.根据前述权利要求中任ー项所述的计量系统,包括数据集中器単元(244),所述数据集中器単元被配置用于从数字度量数据中导出预定时间内的累加使用。
7.根据权利要求6所述的计量系统,其中,数据集中器単元包括在安全単元中,并且受保护使用信息包括累加使用。
8.根据权利要求6所述的计量系统,其中, -安全元件被配置用于将至少预定时间段内接收到的数字度量数据存储在本地存储装置中,以及 -安全元件被配置用于执行与数据集中器単元的认证协议,安全元件被配置用于在认证协议成功时有条件地向数据集中器单元发送存储的度量数据。
9.根据前述权利要求中任ー项所述的计量系统,其中,安全元件包括智能卡。
10.根据前述权利要求中任ー项所述的计量系统,其中,受保护使用信息包括数字度量数据。
11.根据权利要求10所述的计量系统,包括显示屏,其中控制器被配置为基于受保护使用信息在显示屏上显示累加使用。
12.根据前述权利要求中任ー项所述的计量系统,其中,控制器通过安全元件仅与度量单元相连。
13.—种包括前述权利要求中任一项所述的计量系统的封装系统,所述封装系统包括第一集成电路和第二集成电路,第一集成电路包括度量単元和安全元件,第二集成电路包括控制器。
14.一种计量方法(500),包括 -通过度量单元获得(510)对测量的物理量加以表示的数字度量数据,测量的物理量表示公用事业的使用, -通过控制器向外部服务器传送(550)基于数字度量数据的受保护使用信息, 并且其特征在干, -通过安全元件从度量単元接收(520)数字度量数据, -通过安全元件安全地存储数字度量数据, -通过安全元件向控制器发送(540)受保护使用信息, -通过安全元件将依赖于接收到的数字度量数据的数据存储(530)在本地存储装置中,存储的数据表示至少预定时间段内接收到的数字度量数据。
全文摘要
本发明提供了一种计量系统(200)包括度量单元(120),配置用于获得对测量的物理量加以表示的数字度量数据,测量的物理量表示公用事业(210)的使用;控制器(110),配置用于向外部服务器(220)传送基于数字度量数据的受保护使用信息;以及安全元件(240),其中,安全元件布置在度量单元与控制器之间,安全元件连接至度量单元以从度量单元接收数字度量数据,安全元件连接至控制器以向控制器发送受保护使用信息,并且安全元件包括本地存储装置(246),用于存储依赖于接收到的数字度量数据的数据,存储的数据表示在至少预定时间段内接收到的数字度量数据。
文档编号H04L29/08GK102868675SQ20121023039
公开日2013年1月9日 申请日期2012年7月4日 优先权日2011年7月6日
发明者帕特里克·内森, 让·瑞内·布朗德 申请人:Nxp股份有限公司