用于电子耗量数据模块和耗量数据模块的安全操作的方法与流程

本发明涉及用于操作根据权利要求1的前序的电子耗量数据模块的方法。本发明还涉及根据权利要求13的前序的耗量数据模块。

背景技术：

来自测量单元(诸如传感器、耗量仪表或智能家庭控制器的部件)的数据传输在日常使用中变得越来越重要。测量单元的一个重要应用领域是智能耗量仪表(也称为智能仪表)的使用。这些通常是合并到供应网络(例如能源、电力、燃气或水的供应网络)中的耗量仪表，其向各自的连接用户指示实际耗量，并使用通信网络将耗量数据传输到供应商。智能耗量仪表提供以下优点：不再需要手动的仪表读取，并且可以根据实际耗量由供应商实施较短期计费。较短期读取间隔转而使得能够实现对电的终端客户定价与交易价格的发展之间更精确的联系。也可以实质上更有效地利用供应网络。

一般的耗量仪表通常通过无线电通信链路(例如在srd(短程设备)或ism(工业、科学、医疗)频率范围内)以数据包或数据消息的形式传输累积的数据。数据消息通常由多个数据包组成。srd或ism频率范围提供以下优点：它们是无许可的，并且仅需要来自频率机构的一般许可来使用。

有用于无线数据传输的无线电发射器的电子耗量仪表经常用于步行进入的、步行路过的、驾驶路过的或飞行路过的读取。出于该目的，测量设备由车辆中的(驾驶路过的)或步行的(步行路过的)客户服务人员通过移动无线电接收器读取，而不必进入建筑物。在智能耗量仪表的情况下，由于这些仪表主要是由电池控制的并且旨在具有最长的可能的维护间隔，所以能源耗量(一方面)和操作可靠性(另一方面)具有决定性的重要性。在上文提及的读取方法中，无线电消息在全年中频繁地传输，所述消息非常短以节省能源，使得长时间段内的频繁传输成为可能的。

智能测量设施越来越多地用于记录耗量数据。在这些测量设施(耗量数据记录系统)中，耗量仪表代表通过其在测量点捕获耗量数据的终端设备。测量数据从耗量仪表数字地传输到更高级的管理系统或前端系统。前端系统管理耗量数据并且与耗量仪表通信。智能测量设施可以包括大量耗量仪表。由于没有足够的通信装置可用或者传输带宽过窄，因此从所有耗量仪表到前端系统的同时直接通信连接常常是不可能的。然而，使用被称为数据收集器的数据收集装置，使得由耗量仪表记录和传输的数据可以尽可能可靠和无损地传输到前端系统。数据收集器布置在耗量仪表与前端系统之间的通信路径中。它们收集由通信路径上的耗量仪表传输的耗量数据，并用作缓冲存储器，直到由它们存储的耗量数据被前端系统检索。数据收集器还可以执行附加任务，诸如在耗量仪表中执行状态查询，并向所述耗量仪表提供信息和程序代码，诸如固件和软件更新和通信计划。耗量仪表可以使用无线密钥通过无线通信链路配置在该测量设施中。

最接近的现有技术

在de102015107210a1中，描述了用于经由无线电接口传输来自消耗量仪表的测量值的方法和接口设备，其中为不同的用户配置文件提供不同的耦合密钥或读取密钥。可以将不同的访问授权分配到接口设备中的用户配置文件。然而，用户配置文件仅授予关于消耗量仪表的不同读取权利。未提供写入许可或配置设施。还描述了新耦合密钥的确定。

技术实现要素：

发明目的

本发明的目的是提供用于操作耗量数据模块的新方法以及耗量数据模块，其中实现了在降低维护强度的情况下增加操作灵活性，同时具有有利的能源效率。

目的实现

以上目的由权利要求1的整个教导和由根据权利要求13的耗量数据模块来实现。本发明的适当设计在附属权利要求中记载。

根据本发明，提供用于操作电子耗量数据模块的方法，其中耗量数据被传输到接收器并且将不同的密钥提供给不同的软件授权，其中命令授权以特征化的方式限定为耗量数据模块中的软件授权。

在加密技术或密码学中，密钥是与算法一起使用的可变值，例如为了对字符串进行加密或解密。密钥和/或证书还用于认证、验证和/或特权访问的控制。使用的密钥可以是(例如)非对称加密方法(诸如rsa方法)的密钥。rsa方法可以用于加密和/或用于数字签名。本文使用由私钥和公钥组成的密钥对。数据可以用私钥解密和/或用私钥签名，而数据可以用公钥加密和/或签名可以用公钥验证。出于该目的，私钥是保密的。因此，密钥也可以是密钥对。

如果命令授权是由耗量数据模块中的软件授权限定的，则用户只能在他的授权的限制内执行命令。例如，命令可以是读取请求，使得例如给予网络供应商比终端消费者更详细的数据的读取访问权限。对于具有对配置值(特别是对于计量特性)的写入请求的命令，在安全性方面特别重要的是在执行所述命令之前验证耗量数据模块中的相关软件授权。

本方法有利地适用于电池操作的、优选地长期电池操作的耗量数据模块。由于耗量数据模块的有限的设施，在电池操作系统上，特别是在嵌入式系统上实施不同的软件授权提出了特别的挑战。有利地，不会由于本方法而导致耗量数据模块中的能源耗量增加。

设施方便地存在以通过软件授权来保护耗量数据模块的计量特性。

计量特性可以方便地单独地或以组合包括以下特性：测量、校准和/或调整。耗量仪表通常具有计量单元，其记录介质(例如水、电力或燃气)的流速，并根据其校准输出流速的值。校准指定计量单元的输出值与在预定条件下由标准件限定的测量的量的关联值之间的关系的确定。标准件是计量参考项、参考材料或用于校准其他测量设备的精密测量设备。有最高精度的标准件被称为主标准件，根据国际上有效的定义，主标准件受到根据当前现有技术的最低可能不确定度的影响。因此，国际单位制(si)的单位在世界范围内统一地可获得，从而形成了对相应物理量的法律计量中的具有法律约束力的基础。为了确保符合商业交易中的法律要求，对耗量仪表或它们的计量单元进行校准。校准是为符合基础法定校准规定(诸如校准误差限制)由立法者规定的检查。校准由校准办公室和国家认可的检验机构在联邦德国执行。因此，校准是测量设备的法律规定的校准，可参照国家标准。在调整中，对耗量数据模块进行干预，以将耗量数据模块设置到目标值。通过标准件预定目标值。例如通过调整螺丝或通过电气调整设施，对耗量数据模块进行匹配。因此，调整代表耗量数据模块中的永久干预。

耗量数据模块的计量特性可以有利地存储在耗量数据模块中的计量单元中。该计量单元可以由相应的硬件设备安全来保护，并且(例如)由校准处密封。对耗量数据模块的计量特性的访问有利地不再仅仅由相应的硬件设备安全来保护，而是可以进一步由软件授权来调节。此外，还方便地可通过软件授权来区分耗量数据记录设备的各个用户。可能的用户组例如终端消费者、测量点运营商、网络供应商、技术服务商、制造商和/或校准机构。

如果软件授权包括写入允许，则是特别方便的。这为每个用户提供单独限定写入允许的设施。例如，终端消费者方便地不被授予关于耗量数据模块的写入允许，而仅被授予读取权利。可以向测量点运营商、网络供应商、技术服务商和/或校准机构授予写入允许，其中这些写入允许可以进而配置有不同的范围。对较不关键的功能(诸如对耗量数据的传输间隔的设置)的写入允许可以授予到多个用户组。相反，关键功能(诸如将软件授权分配到用户)仅保留给高度受信任的用户组。例如，制造商和/或校准机构可被称为受信任的用户组。对耗量数据模块的计量特性的访问仅对受信任的用户组方便地可用。

无线电通信系统、有线和/或光学通信系统被方便地提供为通信系统。软件授权的使用不受通信系统类型的限制。用于特定授权(诸如警报的清除)的密钥独立于通信系统，因此可以通过任何给定的通信接口使用。可以提供光学通信系统，例如用于本地通信，即直接在耗量数据模块上的通信。无线电通信系统和/或有线系统(诸如m总线接口)可以用于对耗量数据模块的远程访问。经由无线电链路(例如经由无线m-bus)通过远程访问设施可以对耗量数据模块施加提高的安全要求。已知使用无线电密钥来保护经由无线电链路的传输。然而，已知的无线电密钥对经由无线电链路传输的数据或配置数据本身不提供单独的保护。此外，在耗量数据模块中要执行的命令未特别授权，因此，在知道无线电密钥的情况下，所有数据和每个命令通常可以在耗量数据模块中访问。

至少一个密钥可以有利地用于保护无线电传输。因此，对单独的无线电密钥的需要被消除。对无线电传输的授权可以例如由用于软件授权的相应密钥提供。用于保护无线电传输的密钥可以与已知的无线电密钥区分开来，因为它不仅调节经由无线电链路的访问，而且还调节对不同功能或较低层次水平的内部访问。

用于软件授权的至少一个密钥也可以方便地用于在无线电传输期间保护数据或配置数据。配置数据指定由应用程序生成和管理的任何类型的数据。配置数据可以包括例如配置文件、用户数据、设置、状态和/或日志。例如，密钥可用于密码加密方法的编码和解码。

可以将用于软件访问授权的至少一个密钥选择性地通知到信息接收方。信息接收方可以有利地是高度受信任方。如果关于计量特性的用于软件访问授权的密钥对相关校准机构和/或可比中立机构是已知的，则特别适当。可替代地，关于计量特性的用于软件访问授权的密钥也可仅仅为相关校准机构和/或可比中立机构独家所知。因此，可以以简单的方式保证耗量数据模块中的校准的法律遵从性。

如果不具有为该命令提供授权的密钥的命令被传输到耗量数据模块，则该命令方便地不被执行。从而确保仅源自受信任的来源的命令是可执行的。

耗量数据模块可以有利地在发生未授权命令的情况下生成错误信号。例如，如果用非授权密钥访问耗量数据模块的计量特性，则可以将错误与未提供充分授权的消息一起传输回去。

通过记录和存储对计量数据的未经授权的访问，特别是通过将计量数据存储在不可擦除的存储器中，可以以简单的方式证明对计量数据的操纵。例如，不可擦除存储器可以是校准日志。对计量数据的未授权的访问可以由耗量数据模块(例如由显示器中的符号(例如平衡符号)和/或无线电报中的状态位)指示，根据所述状态位，即使在长时间之后(例如在一年之后)也可以识别操纵。

耗量数据模块可以方便地具有单个标识符。因此，耗量数据模块可以区别于其他耗量数据模块。

在耗量数据模块的单个标识符的情况下，来自密钥组的至少一个密钥可以有利地对软件授权有效。在有不同标识符的不同耗量数据模块的情况下，密钥可能没有有效性，使得第一耗量数据模块的密钥关于该第二耗量数据模块未授予软件授权。用于软件授权的每个耗量数据模块的可能的密钥数量不受限制。

例如，在一个设计中，每个耗量数据模块可以提供五个单独的密钥。例如，这些密钥之一可用于保护无线传输，其中四个密钥用于软件授权。

在频繁地重复传输有相同密钥的耗量数据的情况下，攻击者可通过足够多数量的截获的耗量数据而确定密钥。为了防止对密钥的攻击，用于软件授权的密钥的有效性可以方便地有时限。此外，例如软件授权还可以授予不同耗量数据模块上的密钥。为了该目的，对多个耗量数据模块有效的密钥可以具有时限有效性，使得公共密钥周期性地更新，例如每刻钟一次。该类型的公共软件授权可以是时钟服务。

由于对密钥的软件授权的范围可单独地配置，所以各个不同的权利可以容易地授予到耗量数据模块上的不同用户或用户组。

耗量数据模块可以方便地是耗量仪表或耗量数据无线电模块。耗量数据无线电模块可以是例如传输仪表数据(特别是耗量数据)的无线电模块。耗量数据无线电模块中为不同的软件授权提供不同的密钥。

其次，本发明记载了耗量数据模块。根据本发明的耗量数据模块包括存储器、控制和/或调节单元以及用于耗量数据传输的通信装置。此外，不同的密钥提供给不同的软件授权，其中命令授权在耗量数据模块中以特征化的方式限定为软件授权，并且耗量数据模块(尤其)可由根据方法权利要求中至少一项的方法来操作。

耗量数据模块可以有利地包括电池，优选地包括为长期操作而设计的电池。因此，耗量数据模块可以独立于外部能源作为嵌入式系统来操作。可以方便地使用为长期操作而设计的电池，以保证系统可以自主操作，并且(例如)以延长必要维护间隔。

用于耗量数据模型的设施有利地存在以包括记录耗量数据的计量测量单元。计量测量单元可以方便地通过软件授权进行保护。

耗量数据模块的计量特性可以方便地存储在计量测量单元中。已知的耗量数据模块(诸如耗量仪表)通过硬件保护和/或校准密封来保护对计量测量单元的访问。根据本发明，通过软件保护可以有利地保护对计量测量单元的访问。除了硬件访问之外，例如，可以提供用于对耗量数据模块的计量特性的软件访问的设施。

在一个可替代设计中，对计量测量单元的访问只能通过软件保护来保护。例如硬件访问可通过制造过程已被防止，由此例如在生产期间对计量测量单元进行硬件封装。在该设计中，计量特性以及因此耗量数据模块的校准只能通过软件授权来访问。

耗量数据模块可以方便地包括用于管理用于软件授权的密钥的模块。例如，该模块可以连接在通信装置的下游，因此可以监测和控制对耗量数据模块的剩余模块的访问。因此，可以例如调节对存储器、控制和/或调节单元或处理器以及计量测量单元的访问。用于管理密钥的模块可以优选地配置为硬件和/或软件部件。

通信装置可以有利地包括无线电通信装置、有线通信装置和/或光学通信装置。

此外，设施还存在以使用密钥来保护无线电传输。因此，这样的密钥可以包括无线电功能或传送密钥的功能。无线电或传送密钥主要用于保护经由无线电路径的数据传送。

可替代地或另外，设施存在以使用密钥来保护配置数据。对耗量数据模块中的这些数据的访问可以有利地通过用于软件授权的密钥来调节和管理。例如，可以向用户或用户组授予或拒绝关于特定配置数据的读取和/或写入允许。

设施方便地存在以选择性地向信息接收方通知用于软件访问授权的密钥。可以方便地授予相关校准机构和/或可比中立机构通过用于软件授权的密钥对耗量数据模块的计量测量单元的访问权限。可替代地，可以只对相关校准机构和/或可比中立机构授予访问权限。

耗量数据模块可以有利地具有单独的标识符。一个耗量数据模块可以通过单独的标识符与其他耗量数据模块区分开来。如果耗量数据模块在无线电传输期间联合传输其标识符，则源自该耗量数据模块的数据(特别是耗量数据)可以被分配到正确的耗量数据模块。标识符可以存储在通信模块中，其结果是输出的无线电传输可以提供有标识符。关于接收的传输，可以在通信模块中执行检查(例如使用目标耗量数据模块的联合传输的标识符)以确定这些消息是否针对相应的耗量数据模块。此外，设施存在以用于密钥管理模块以检查联合传输的用于授权的标识符以及用于命令授权的密钥。如果使用的密钥未针对耗量数据模块的相应标识符被授权，则密钥可被识别为无效，并且例如可以拒绝命令执行。

通过对用于软件授权的密钥的有效性施加时间限制，可以以简单的方式增加耗量数据模块的安全性。在密钥的有效期满时，新的密钥可以例如在耗量数据模块中、例如在密钥管理模块中生成。例如，可以存储算法，通过该算法可以计算新的有效密钥。例如，设施存在以基于迄今为止有效的密钥生成新密钥。另外或可替代地，例如，设施存在以在耗量数据模块外部(优选地在安全环境中)生成新密钥。以该方式在耗量数据模块外部生成的密钥可以(例如)安全地传输到耗量数据模块上。这取决于以下条件：耗量数据模块外部的情况具有在耗量数据模块中传输新密钥的必要的生成权利和/或必要的访问权利。

用于密钥的软件授权的范围可以有利地单独可配置。例如，指示哪个密钥具有哪些授权的信息可以存储在密钥管理模块中。密钥管理模块因此可以决定例如哪些请求(特别是命令请求)被授予或拒绝。

存储器可以方便地包括不可擦除存储器。例如，不可擦除存储器可设计为校准日志。

耗量数据模块可以有利地是耗量仪表或耗量数据无线电模块。

基于示例实施例的发明的描述

附图说明

以下参照附图中的图详细解释本发明的适当设计。在图中：

图1示出两个耗量数据模块中软件授权的简化示意性表示；

图2示出作为耗量仪表的耗量数据模块及其部件的一种设计的高度简化框图；

图3示出耗量数据模块中用于软件授权的简化流程图。

具体实施方式

图1示出作为耗量仪表1a-1b的耗量数据模块的两个设计的简化示意性表示，耗量仪表1a-1b具有多个不同的软件授权。举例来说，软件授权是“读取”、“命令”、“写入”和“计量”。“读取”代表对耗量仪表1a或1b的数据的读取访问。可读数据可以包括耗量数据、配置数据和/或其他耗量仪表相关的数据。设施还存在以配置对耗量仪表1a-1b的读取访问内的进一步授权级别。例如，终端消费者可能只对耗量数据的读取访问感兴趣。终端消费者可以基于耗量数据调整其耗量，以尽可能减少其支出。相反地，终端消费者可能对耗量仪表1a-1b的配置数据的读取访问不感兴趣，使得这些权利通常不能授予终端消费者，其中配置数据可包括例如传输到分层上级数据收集器的传输间隔。

“命令”软件授权与耗量仪表1a-1b中的命令授权的权利有关。“写入”软件授权与对耗量仪表1a-1b的写入访问有关。在写入访问权利中可存在进一步的授权级别。耗量仪表1a-1b的配置数据中的写入允许可与(例如)耗量数据的传输间隔和/或耗量数据本身的格式有关。在图1中，“计量”作为软件授权级别，与关于耗量仪表的计量特性的访问授权有关。访问权利可以包括允许(例如)读出耗量仪表的当前校准的读取权利。而且，访问权利还可以包括写入允许，其允许(例如)改变耗量仪表的校准。对正在进行的操作的这样的干预仅对相关校准机构和/或可比中立机构保留。校准机构可以通过调整校准来对耗量仪表进行校准。

密钥s1和sa2-sb4授权对耗量仪表1a-1b中不同功能的访问。因此，s1在耗量仪表1a和1b二者中都允许读取访问。由于耗量仪表1a-1b具有单独的标识符，并且密钥sa2-sb4的授权依赖于单独的标识符，所以密钥sa2-sa4在第二耗量仪表1b中不允许读取访问。类似地，密钥sa2-sb4只授予对第一耗量仪表1a的访问，而不授予对第二耗量仪表1b的访问。但是，密钥sa2-sa3另外具有对耗量仪表1a的命令授权权利或写入允许。可以将密钥s1提供给(例如)有多个耗量仪表的终端消费者，使得所述终端消费者能够用一个密钥s1读出两个耗量仪表1a-1b。密钥sa2和sa3或sb2和sb3可以基于命令授权权利或写入允许来提供，例如用于测量点运营商、网络供应商、技术服务商和/或制造商。密钥sa4和sb4配备有额外的“计量”权利。例如，有密钥sa4的用户可以修改耗量仪表1a的计量测量单元13的校准。干预耗量仪表1a的核心系统的该设施仅对高度受信任的用户可用。通常仅相关校准机构或可比中立机构是该类型的受信任用户。

因此，密钥sa2-sa4只授予对第一耗量仪表1a的功能的访问，而密钥sb2-sb4类似地只允许对第二耗量仪表1b的功能的访问。相反，密钥sa2-sa4从对第二耗量仪表1b的访问权限被排除，并且密钥sb2-sb4类似地从对第一耗量仪表1a的访问权限被排除。

图2示出作为耗量仪表1的耗量数据模块的一种设计的高度简化框图。耗量仪表1包括电子模块10和连接壳体8。电子模块10进而包括天线2、通信模块11、密钥管理模块12、计量测量单元13、存储器14、处理器15和电池16。示出的耗量仪表1是设计为超声波流量计的水表。超声波测量路径7容纳在连接壳体8中。连接壳体8具有用于水连接的输入3和输出4。流动介质的流动方向在输入3和输出4处用箭头指示。以两个超声波换能器5a和5b为例，示出耗量仪表1的测量设备。超声波信号的路径在反射器6a和6b上改道为u形测量路径7。测量路径7的一个部分平行于流动介质的流动方向运行。电子模块10中的部件通过计量测量单元13到超声波换能器5a、5b的连接耦接到连接壳体8的部件。计量测量单元13根据校准来记录介质的流速或流量。

密钥管理模块12连接在通信模块11的下游。通过无线电链路的请求由通信模块11接收并转发到密钥管理模块12。密钥管理模块12监测对耗量仪表1发出的请求的密钥或授权。存储器14包括不可擦除存储器14a，此处不可擦除存储器14a被设计为校准日志。在该不可擦除存储器14a中记录并存储对计量数据的未授权的访问或对计量数据的操纵和操纵尝试。

图3示出用于在作为耗量仪表的耗量模块的一种设计中的软件授权的流程图，其中使用不同的密钥s1-n。当通过无线电链路接收到消息时，在第一步中，在耗量仪表1中验证无线电密钥的有效性。如果所述密钥已无效，则不建立到远处站的连接。无线电密钥可以同时是用于软件授权的密钥s1-n。根据打算在耗量仪表1中访问的数据的类型，(例如)在耗量数据、配置数据和计量数据之间进行区分。耗量数据是(例如)记录的耗量，例如水表情况下的消耗的水量。配置数据可以包括(例如)对耗量数据的传输间隔的设置。计量数据描述例如耗量仪表的校准或测量。在下一步中，基于用于该请求的密钥s1-n验证对于所选的数据类型的读取或写入允许。如果存在读取权利，则输出所需的数据；在写入允许的情况下，输入联合传输的数据或命令。相反，如果没有对期望数据类型的授权或者没有充分的读取或写入允许，则不执行请求。在该情况下，然后生成错误信号并将错误信号通过无线电链路传输回去。

参考标号列表

1，1a，1b耗量数据模块

2天线

3输入

4输出

5a、5b超声换能器

6a、6b反射器

7测量路径

8连接壳体

10电子模块

11通信模块

12密钥管理模块

13计量测量单元

14存储器

14a不可擦除存储器

15处理器

16电池

s1-n密钥

s1用于读取权利的密钥

s2用于命令授权的密钥

s3用于写入允许的密钥

s4用于计量特性的密钥

s5用于保护无线电传输的密钥

s6用于保护配置数据的密钥