用于计量设施消耗并优化上游通信的设施仪表和用于管理这些通信的方法

摘要

本发明涉及一种用于计量至少一种设施消耗的设施仪表(10)，包括：计量单元(11)，用于计量至少一种设施消耗值(V)；通信单元(12)，用于把消息(8)发送给至少一个远程设施管理中心(20)/从至少一个远程设施管理中心(20)接收消息(8)，所述至少一个远程设施管理中心(20)被分派给设施仪表(10)以由所述远程设施管理中心(20)处理所述设施消耗值(V)；存储器(13)，用于存储与设施仪表(10)相关的唯一的标识符(ID)和用于加密将要由通信单元(12)发送的消息(8)的第一密钥(K1)；加密单元(14)，用于把所述设施消耗值(V)加密为第一密文(C1)；消息产生器(15)，用于产生将要被发送给远程设施管理中心(20)的包含所述第一密文(C1)的设施消息(8)；密钥产生器(16)，用于产生将要由所述加密单元(14)使用以加密设施消耗值(V)的载荷密钥(Kp)；第二密文(C2)，由加密单元(14)通过利用所述第一密钥(K1)加密所述载荷密钥(Kp)而产生，所述第二密文(C2)预期由消息产生器(15)至少一次包括到将要被发送给远程设施管理中心(20)的设施消息(8)中。本发明还涉及一种用于管理设施仪表(10)和至少一个远程设施管理中心(20)之间的通信的方法。

说明书

技术领域

本发明涉及通过计量系统的通信网络从至少一个设施管理中心监 测并进行管理的设施仪表的领域。

背景技术

在全世界能源分配市场中正在进行的解除管制正在驱动对智能设 施分配网络和智能仪表的需求，使设施提供商和消费者都能够通过开 放式通信网络或不可靠的网络(诸如，互联网)在任何时间监测终端用 户的详细消耗。能源市场到今天为止受到特别关注，但相关问题还与 其它设施市场(诸如，水或煤气)有关。

自动化仪表能够使设施提供商远程读取定期地记录用户消耗信息 的仪表寄存器。然而，这种读取仅根据设施提供商的决定偶尔发生， 并且通常在设施提供商的紧密控制下使用专用网络(无线或有线)。下 一代的自动化仪表(所谓的智能仪表)将会使设施提供商(诸如，远程设 施管理中心)能够通过开放式通信网络在任何时间并且以精细得多的 粒度监测终端用户的详细消耗。预期这种更精细的粒度监测鼓励可能 由竞争的设施提供商实施的针对终端用户的更精确地作为目标确定的 费用和价格，因为类似于90年代的电信市场，设施市场被解除管 制。当HAN(家电网络)与智能电网互连以直接报告它们的终端使用 信息而非通过智能仪表集中这种信息报告时，这将会变得甚至更加重 要。

设施提供商还能够通过通信网络远程地管理、配置并且升级仪 表。在某些市场中，甚至需要智能仪表实现远程断线部件，从而设施 公司能够例如在未付费的情况下远程地停止服务分配。

因此，与以前的自动化仪表相比，智能仪表通常以频繁得多的速 度产生自动化读取消息或者在HAN互连情况下把自动化读取消息向 上游传递给远程设施提供商管理装备。这些消息还可携带显著地更长 的载荷，因为由设施提供商监测更多的细节。

很清楚地，所导致的设施服务和账单功能对远程通信消息的依赖 提升了对数据隐私和保密性以及针对软件错误和出现的威胁(诸如， 利用智能仪表安全设计缺陷的智能电网蠕虫和病毒)的有效系统强壮 性的新的关注。这些缺陷可能在部署时是不知道的，但可能在以后变 得严重。在远程断线部件的情况下，这一点特别明显，所述远程断线 部件是网络恐怖主义的主要破坏目标并且还是作为使一些房屋警报从 它们的电源断开的方法的本地窃贼的可能的进入点。

实际上，智能电网和智能仪表的现今的安全设计主要由电信行业 所导致，并且它们中的很大一部分经受出现的由国际委员会(诸如， ANSI或IEC)实施的标准化。敏感消息需要由经设施仪表和远程设施 提供商管理装备之间的单独点对点通信使用密码协议建立的安全验证 通道保护。因此，在该领域中的最近的标准规范(诸如，ANSI C12.22 或IEC62056/COSEM)定义通常如何通过设施管理中心或数据收集集 中器和设施仪表之间的会话密钥设置来加密消息载荷以及对消息载荷 进行签名。

如来自Itron的白皮书“OpenWay By Itron Security Overview” 中所述，由于实用的操作的原因，通常因为在大规模计量部署(例 如，一千万个仪表)中管理对应上游消息的开销，一些来自设施管理 中心或收集器集中器的下游消息可被广播或多播到设施网络，而没有 来自每个目标设施仪表的安全接收确认。然而，个体仪表设施使用消 耗信息(诸如，实际设施使用或事件日志)必须被点对点地从设施仪表 传送回至设施管理中心或收集器集中器。因此，为了调节它们的智能 计量系统以支持多达一千万个仪表，Itron报告需要在上游处理多达 每秒24000个消息，而广播/多播下游消息能够把这些消息分解为每 秒200个消息。

实际上，因为三个主要独立因素，当智能电网变为更广泛地部署 并且解除管制时，可调节性问题将会变得甚至更重要：

·解除管制使终端用户能够从可能在运行中的单个设施仪表在几 种设施提供商服务并存价格之间进行选择。在该方案中，设施仪表将 会需要在上游与几种设施管理中心或收集器集中器通信，因此基本上 把上游消息的数量乘以设施提供商的数量。

·系统地执行设施仪表安全消息发送并改进内部设施仪表安全实 现方式以防止网络恐怖分子智能电网攻击风险以及终端用户仪表黑客 攻击欺骗刺激的需要。高度敏感的设施仪表密码模块因此需要尽可能 深入地进入到仪表系统设计中，通常直至设施仪表数据和密钥寄存 器，而非在通信网络接口操作，因此除了当前标准规范之外，还需要 另外的密码协议和消息发送机制。

文件US2006/0271244公开了一种能源监测装置，该装置包括用 于从这个装置输出的数据的安全通信的过程。该能源监测装置包括用 于加密该装置的通信和/或以数字方式对该装置的通信进行签名的公 钥/私钥对。这允许这些通信的接收器验证这些通信以确保该装置和/ 或通信未泄密。然而，根据现今本领域技术人员公知的传统方案执行 公钥/私钥对和/或数字签名的使用。这种方案不优化在能源监测装置 和为能源使用开账单的实体之间交换的通信。这种能源监测装置能够 经自组织“网状”网络实现通信以方便由于物理或经济限制而基本上不 可访问的装置之间的通信。

文件US2011/0224935涉及一种测量装置，特别地，涉及一种用 于计数数据的安全检测和显示的能源计数器，并且涉及一种用于操纵 的识别的方法。它涉及这样的需要：为了消费者保护，在发票中采用 并显示的值应该毫无疑问。这些值在本地被采用，被数字化，并被传 送到中心办公室以被处理。由本文件提出的目标在于设计一种测量装 置，该测量装置的特征在于以这种方式执行与至少一个系统的数据通 信，即允许该系统识别发送回来的测量数据作为它自己的数据，包括 数据操纵检查。为此，该装置具有接收签名和或加密的测量数据、考 虑到传送回去而把所述测量数据存储在存储器中的能力，并且具有提 供与时间基准相关的时间信息的能力。

文件US2006/0206433提出：数字签名被应用于由常见数据收集 系统收集的计量的能源数据。该系统从可由一个或多个设施公司拥有 的仪表(每个仪表属于特定顾客)接收数据。由每个仪表发送的数据被 事先加密并签名。在由常见数据收集系统接收数据之后，由这个系统 使用公钥密码术存储该数据以确保它仅可由预期消费者访问。当数据 被发送给预期消费者时，它被该系统以数字方式签名以确保由消费者 接收的数据的真实性。加密和数字签名的使用允许该系统甚至在数据 已被从该系统发送(即，在外部发布)之后也确保收集的数据的完整 性。然而，为了收集由数百万个仪表计量的所有数据，常见数据收集 系统必须在一方面具有庞大的数据库，并且这些数据库必须连接到非 常强大的数据管理系统(计算机)以便以高效的方式快速地处理数据。

因此，需要一种进一步优化数据(特别地，设施使用监测装置(设 施仪表)和至少一个设施管理装置或中心之间的上游消息超载)的处理 的通信系统和方法。

发明内容

本发明涉及一种用于对至少一种设施消耗进行计量的设施仪表， 包括：

-计量单元，用于计量至少一种设施消耗值V，

-通信单元，用于把消息发送给至少一个远程设施管理中心/从至 少一个远程管理中心接收消息，所述至少一个远程管理中心被分派给 设施仪表以由远程管理中心处理所述设施消耗值V，

-存储器，用于存储与设施仪表相关的唯一的标识符ID和用于加 密将要由通信单元发送的消息的第一密钥K1，

-加密单元，用于把设施消耗值V加密为第一密文C1，

-消息产生器，用于产生将要被发送给远程管理中心的包含所述 第一密文C1的设施消息，

-密钥产生器，用于产生将要由所述加密单元使用以加密设施消 耗值V的载荷密钥Kp，

-第二密文C2，由加密单元通过利用所述第一密钥K1加密所述 载荷密钥Kp而产生，第二密文C2预期由消息产生器至少一次包括 到将要被发送给远程管理中心的所述消息之一中。

优选地，第二密文C2与第一密文C1一起被包括在与包括第一 密文C1的设施消息相同的设施消息中。因此，第一密文和第二密文 可被发送到同一消息中或发送到两个单独的消息中。

根据本发明，用于根据对称加密方案加密必须由每个设施仪表作 为上游消息频繁地报告给远程设施管理中心的设施消耗值V的载荷 密钥的使用允许优化在这些实体之间交换的消息的交通。以这种方 法，每个上游消息能够被有利地分成共享载荷消息和专用控制消息。 因此，同一加密设施消息能够作为设施报告消息被发送给多个远程管 理中心，由于由一个共享载荷密钥加密该消息，所述多个远程管理中 心能够共享这个消息。在这个设施消息由设施仪表广播的情况下，这 一点能够特别有利。本发明还提出用于产生载荷密钥的各种实施例。 在一个实施例中，设施使用监测装置在把载荷数据存储到所述装置寄 存器中时对载荷密钥产生和共享载荷加密操作进行预处理，并在稍后 时间把共享载荷消息传送给远程设施管理中心。

本发明还涉及一种用于管理用于计量至少一种设施消耗的设施仪 表和负责处理这种设施消耗的至少一部分的至少一个远程设施管理中 心之间的通信的方法。特别地在这些通信的初始化阶段期间，这个通 信网络由在通信中用作受信任实体的至少一个监管中心监管。为此， 本方法的设施仪表包括：

-计量单元，用于计量至少一种设施消耗值V，

-通信单元，用于把消息发送给至少远程设施管理中心/从至少远 程设施管理中心接收消息，

-存储器，用于存储与设施仪表相关的唯一的标识符ID和由通信 单元发送/接收的消息的加密/解密所需的第一密钥K1，

-加密单元，用于把设施消耗值V加密为第一密文C1，

-消息产生器，用于产生将要被发送给远程设施管理中心的包含 第一密文C1的设施消息。

该方法包括下述步骤：

-由远程设施管理中心通过至少包括特定设施仪表的唯一的标识 符ID的请求向监管中心请求该远程设施管理中心与所述特定设施仪 表的分配，

-由监管中心把密钥数据发送给远程设施管理中心；密钥数据被 请求用于消息的解密/加密，

-由设施仪表读取由计量单元计量的设施消耗值V，

-由设施仪表产生包括第一密文C1的设施消息，

-考虑到设施消息由这个远程设施管理中心处理而由设施仪表把 设施消息发送给远程设施管理中心。

将在下面的详细描述中描述与本方法相关的其它实施例。

附图说明

图1显示通过通信网络连接到设施使用监测仪表的远程设施管理 中心的方框图，该通信网络既支持单向广播或多播消息发送又支持双 向单播消息发送。

图2显示通过一个或多个通信网络连接到同一设施使用监测仪表 的几个远程设施管理中心的方框图，其中从仪表到设施管理中心的上 游消息发送被分成专用控制消息和共享载荷消息。

图3描述显示由密码模块对初始化值的处理的方框图，密码模块 由秘密密钥初始化以作为结果产生共享密钥。

图4描述根据本发明的一个实施例的设施使用监测装置操作的流 程图。

图5描述根据本发明的一个实施例的设施管理中心操作的流程 图。

图6a、6b和6c显示除设施仪表和远程设施管理中心之外还包括 作为第三方的监管中心的设施系统的几个变型。

具体实施方式

在提出的系统中，来自图1的远程设施管理中心20与远程仪表 管理系统合作实现各种设施管理处理21，诸如数据管理账单、负载 管理和断供控制。

来自图1的远程仪表管理系统22自身包括负责通过经通信网络 5与各仪表的安全通信6、7执行仪表使用监测、仪表固件更新和仪 表操作控制的功能组件。

来自图1的通信网络5可以是任何设施计量通信物理网络，诸如 但不限于，有线网络、电力线路线缆或无线网络，该设施计量通信物 理网络支持任何通信联网协议，诸如但不限于，互联网协议(IP)v4 或v6。位于远程设施管理中心侧和各设施仪表侧的来自图1的安全 通信处理器还需要符合共同消息发送规范。当远程设施仪表管理系统 和设施仪表10全部由同一仪表制造商提供时，该规范可以是私有 的。然而，随着设施市场解除管制，在标准化这种通信接口方面存在 增加的需要，以使各种设施销售商和各种仪表制造商能够提供符合共 同的标准规范的可相互操作的系统和装备。混合消息发送协议是另一 替代方案，其中驱动基本计量功能的标准消息发送与高级私有消息发 送扩展组合。私有方案(完全私有或混合私有)具有特定相关性以确保 随着时间变化的安全监测、维护和可更新性，因为任何标准规范一旦 公布就必须在标准使用期限期间按照规定实施，因此，不能在没有修 订标准自身的情况下在违反安全规范的情况下提供任何升级灵活性。 设施仪表数据联网标准规范的例子包括与COSEM配套规范组合的 DLMS系列IEC62056或者用于终端装置数据表的与ANSI C12.19工 业标准组合的ANSI C2.22。

来自图1的设施仪表10包括计量单元11，计量单元11具有用 于计量表示设施消耗的至少一个设施消耗值V(诸如，电功率[kWh] 或煤气或水[m3])的至少一个主计数器。设施仪表10还包括通信单元 12，通信单元12用于把消息8(即，报告消息或状态消息)发送给分派 给设施仪表的至少一个远程设施管理中心/从分派给设施仪表的至少 一个远程设施管理中心接收消息8。在许多情况下，这种设施仪表将 会仅关联到考虑到开账单而处理消耗值V的一个远程设施管理中心 (通常为设施提供商和/或开账单实体)。然而，由于在全世界能源分配 市场中正在进行的解除管制，设施仪表也能够关联到超过一个远程设 施管理中心，以便处理不同的设施消耗(例如，煤气和电)或者以便根 据不同的时隙或在一周的特定日子处理一种或多种设施消耗。设施仪 表还包括用于存储任何种类的数据(特别地，与设施仪表相关的唯一 的标识符ID和用于对将要由通信单元12发送的消息8进行加密的 第一密钥K1)的存储器13。特别地在能够执行设施消耗值V的处理 的有限持续时间期间，典型地当设施消耗值V的处理相对于由计量 单元执行的它的输入而言被推迟时，设施消耗值V也能够被存储在 这个存储器中。设施仪表10还包括加密单元14，加密单元14用于 加密将要被从设施仪表发送的消息或数据，特别地，用于考虑到密文 是密码文本或密码值而把设施消耗值V加密为第一密文C1。设施仪 表10还包括消息产生器15，消息产生器15用于产生消息8(诸如， 包含第一密文C1的设施消息)以被发送给远程设施管理中心20。负 责管理设施仪表的所有功能和组件的处理器CPU被示意性地表示在 图1的设施仪表10的中心区域中。典型地，处理器CPU一方面负责 通过网络5与设施仪表执行的通信的安全性，并且在另一方面负责管 理本地设施仪表操作。

根据本发明，设施仪表10还包括用于产生载荷密钥Kp的密钥 产生器16。这个载荷密钥Kp将会由加密单元使用以加密设施消耗 值V，产生第一密文C1。这个结果能够被标注为C1=(V)_Kp。第二密 文C2由加密单元14产生。这个第二密文C2产生于利用第一密钥 K1对载荷密钥Kp的加密并且能够被标注为C2=(Kp)_K1。这个第二 密文C2预期由消息产生器15包括在消息8中以被发送给远程设施 管理中心20。优选地，这个第二密文将会被至少一次包括到这种消 息中，例如，至少在设施仪表10被分派给远程设施管理中心20的初 始化阶段期间。更优选地，这个第二密文C2将会被定期地包括到消 息8中，至少在每次改变或更新载荷密钥Kp时。

图2通过方框图表示由本发明为了优化在设施使用监测装置10 和至少一个远程设施管理中心20之间的通信系统中的上游消息发送 超载而提出的解决方案。特别地，这个示图显示：上游消息被有利地 分成共享载荷消息和专用控制消息。载荷消息能够因此由几个远程设 施管理中心20(例如在这个示图中表示为A、B、C)通过通信网络5 共享。因此，所有的远程设施管理中心能够例如同时接收相同的消 息。

在这种情况下，设施仪表10产生：

·共享载荷消息，能够被单播、多播或广播到A、B和C管理中 心的注意；

·控制消息A，专用于设施管理中心A并被单播到设施管理中心 A；

·控制消息B，专用于设施管理中心B并被单播到设施管理中心 B；

·控制消息C，专用于设施管理中心C并被单播到设施管理中心 C。

如上所述，设施仪表产生载荷密钥Kp，通过载荷密钥Kp加密 至少一个共享载荷(典型地，设施消耗值V)以获得第一密文C1，加 密这个载荷密钥Kp以获得第二密文C2，把这个第一密文C1发送到 至少一个共享载荷消息8中，并在至少一个控制消息8中把第二密文 C2发送给至少一个远程设施管理中心20。通过使用存储在设施仪表 的存储器13中的第一密钥K1能够执行载荷密钥Kp的加密。

在一个实施例中，存储在存储器13中的第一密钥K1是所谓的 管理中心密钥，特别地，与远程设施管理中心20相关的公钥。这个 密钥能够用于加密必须被发送给远程设施管理中心20的消息8。

在另一实施例中，为了进一步的消息发送负载平衡目的，由设施 仪表根据从远程设施管理中心接收的编程指令安排由设施仪表到远程 设施管理中心的上游通信的时间，或者由预编程到所述装置固件中的 在设施仪表处的某些事件触发由设施仪表到远程设施管理中心的上游 通信的时间，或者直接由通过通信网络从远程设施管理中心接收的请 求消息触发由设施仪表到远程设施管理中心的上游通信的时间。

在另一实施例中，设施仪表10包括秘密密钥Kt(即，与这个设 施仪表10相关的个人密钥)，秘密密钥Kt能够被存储在存储器13中 或存储在另一存储装置中，优选地存储在安全区域中。根据这个实施 例，存储器13还包括初始化值I0，初始化值I0能够优选地在初始化 消息内由设施仪表10接收。这个设施仪表10还具有密码模块17， 如图1中所示。这个密码模块集成了通过采用秘密密钥Kt作为第一 输入并且采用初始化值I0作为第二输入来产生共享密钥Ks的功能， 如图3中所示。共享密钥Ks能够被视为一种具有更长寿命的会话密 钥。

在另一实施例中，设施仪表10优选地包括用于解密由通信单元 12接收的消息的解密单元14’。解密单元和加密能够能够是同一单元 (即，加密/解密单元)的部分。由于解密单元14’，设施仪表能够从它 被分派给的所有远程设施管理中心20接收加密消息，诸如加密控制 消息。在对称加密方案内，这些控制消息能够由共享密钥Ks加密， 而在非对称加密方案内，这些控制消息被利用与远程设施管理中心相 关的私钥加密并且能够由设施仪表通过使用事先存储在设施仪表的存 储器13中的远程设施管理中心20的公钥解密。

根据另一实施例，包括初始化值I0的初始化消息被利用初始化 会话密钥Ki加密。这个初始化会话密钥Ki被存储在设施仪表的存 储器13中并在由通信单元12接收到初始化消息时由解密单元14’用 来解密初始化消息。

在另一实施例中，初始化消息包括用于它的验证的签名S。因 此，设施仪表10包括用于核查签名S的验证的验证单元18。这个验 证单元允许仅在成功验证时把初始化值I0加载到密码模块17中。因 此，不能通过在接收到受到黑客攻击的初始化消息时把伪造的初始化 值I0引入到密码模块17中来篡改共享密钥Ks的产生。

图4的流程图表示执行下面的操作的一个实施例的示例性实现方 式：

·设施仪表10获取将要被报告给设施管理中心20的监测数据。 这种监测数据可包括例如使用监测信息、付费信息、仪表操作事件日 志、安全监测信息。

·设施仪表根据标准规范(诸如，ANSI C12.19数据表或IEC 62056/COSEM)把监测数据格式化为载荷消息。替代地，可在私有规 范中定义载荷格式，但它优选地具有可由所有连接的设施管理中心 A、B和C理解的格式。在某些应用中，也可使用标准和私有格式规 范的混合。

·初始化值I0产生载荷密钥Kp，把它加密，并根据设施管理中 心和设施监测装置之间的合适的安全通信协议把它作为控制信息(或 控制消息)发送给设施管理中心20。优选地，这种安全通信使用点对 点共享秘密，诸如由目标设施管理中心和设施监测装置共同计算的安 全验证信道会话Ks。例如，在ANSI C12.22或IEC62056/COSEM 标准规范中定义了这种点对点安全协议。载荷密钥Kp的产生、加密 和发送过程可与载荷格式化操作同步或异步地被执行，但优选地在异 步模式下被执行。特别地，可在一段时间中仅产生载荷密钥Kp一次 以减少把这个共享载荷密钥Ks单独发送给每个设施管理中心A、B 和C所需的必要的单播控制消息。这种操作方式还有助于上游通信 的优化。

·设施仪表通过载荷密钥Kp保护载荷数据的监测。根据威胁模 型和选择的标准或私有密码协议，这种保护操作可包括例如根据 ANSI C12.22或IEC62056/COSEM安全规范使用载荷密钥Kp对载 荷数据块执行加密和/或散列运算和/或签名的一个或多个步骤。优选 地，使用简单高效的现有技术密码，诸如利用128位载荷密钥Kp的 AES。替代地，载荷密钥Kp也可与其它私钥和/或公钥和/或种子值 组合，所述其它私钥和/或公钥和/或种子值可在制造时被存储在监测 装置中，由监测装置在本地产生，或通过任何远程或本地通信装置直 接地或作为监测装置固件升级的一部分从设施管理中心事先发送。在 特定情况下，特别地当处理敏感安全监测数据时，可应用自定义的密 码算法。

·在传送回至远程设施管理中心时，在图4的示例性实现方式 中，设施仪表10将共享载荷消息8格式化并在单播、多播或广播模 式下把它发送给设施管理中心20。

如图4中所示，共享载荷数据处理和保护操作可在发送时间之前 被执行。在这种情况下，受保护的共享载荷数据被存储在设施仪表的 存储缓冲器或寄存器中。在发送时，设施仪表从寄存器读取受保护的 共享载荷数据以便把共享载荷消息8格式化并把共享载荷消息8发送 给目标远程设施管理中心20。以这种方法进行节省设施仪表上的计 算能力和存储器，因为通过密码算法执行的载荷保护仅需要执行一次 并且能够被预先执行。此外，针对每个远程设施管理中心A、B或C 的发送能够发生在不同时间。

图5表示现在将要描述的在远程设施管理中心发生的反向操作：

·远程设施管理中心20接收控制消息8，并从这个控制消息提取 控制信息。

·远程设施管理中心根据设施管理中心和设施监测装置之间的合 适的安全通信协议解密并核查控制信息以获得载荷密钥Kp。优选 地，这种安全通信使用点对点共享秘密，诸如由设施管理中心和设施 监测装置共同计算的安全验证信道共享密钥Ks。例如，在ANSI C12.22或IEC62056/COSEM标准规范中定义了这种点对点安全协 议。

·设施管理中心接收共享载荷消息8，并从这个共享载荷消息提 取受保护的载荷。

·设施管理中心通过以前计算的载荷密钥Kp从受保护的载荷获 得明文的载荷。这种操作可包括根据由设施监测装置应用的保护方法 使用载荷密钥Kp的受保护的载荷数据块的解密和/或核查的一个或 多个步骤。

也可实现由图4和图5代表的系统和方法的另外的变型。

例如，可由设施仪表10按照不同次序执行加密和消息格式化操 作。

载荷消息8也可由设施仪表预处理并存储在存储缓冲器13或寄 存器中。

设施仪表10和远程设施管理中心20可交换另外的消息8以同步 控制消息交换或共享密钥Ks更新。

特别地在安全凭证和安全固件更新需要安全接收和执行确认消息 返回到启动升级的设施公司的情况下，除纯粹功能的监测载荷消息之 外，还需要由设施仪表在上游把许多消息发送给远程设施管理中心。 由于实用的原因，升级消息可向下游被广播或多播，意味着所有的目 标设施仪表10将会同时接收并处理这些升级消息，并且随后同时向 上游把确认消息发送回去，由此导致可能的网络交通的拥塞和在远程 设施管理中心的峰值处理可调节性问题。

为了更好地平衡多个连接的设施仪表10之间的上游负载，设施 仪表寄存器缓冲能够被编程以根据某些参数(诸如，设施仪表唯一标 识符ID(序列号)、设施仪表固件版本号、设施仪表设施费用订购或消 耗信息或者将要由设施公司在单播下游消息中单独发送给设施仪表的 明确的命令)持续或多或少较长时间。

还可以把明确的命令嵌入在固件升级广播或多播消息中，特别 地，如果智能计量消息发送协议能够定义目标组的设施仪表：则每个 组可随后共享明确的命令，并且固件升级载荷将会附加有一系列明确 的命令，每个明确的命令用于每个目标组。在该方案中，在理想情况 下，设施销售商将会基于地理/定位信息(如果存在的话)定义组成员关 系，从而上游负载也在局部电网级别被平衡。

设施仪表还能够包括用于处理由远程设施管理中心发送的更新消 息的有效性单元19(图1)。替代地，有效性单元19能够用于检查由 远程设施管理中心或任何其它中心发送的到来的消息(例如，初始化 消息、控制消息或任何数据消息)中所包括的时间戳T的有效性。

设施仪表还能够包括传输控制单元，传输控制单元负责核查例如 是否已响应于报告消息按时从远程管理中心接收到确认消息。在肯定 事件中，传输控制单元传送肯定信号，而在否定事件时，它能够传送 否定信号。

设施仪表还能够包括：有效性计数器，用于增加或减小有效性 值；和切换装置，用于把设施仪表的操作从正常操作模式(标准模式) 切换到破坏操作模式。

因为设施仪表10的秘密密钥Kt必须保持是秘密的并且从远程 设施管理中心20(设施提供商)是先验未知的，所以本发明还提出涉及 第三远程实体(即，监管中心30)的方法的实现方式，如图6a、6b和 6c中示意性所示。这个方法的目的在于管理用于计量至少一种设施 消耗的设施仪表10和负责处理这种设施消耗的至少一部分的至少一 个远程设施管理中心20之间的通信；这种通信由至少一个监管中心 30例如通过与在设施仪表10和远程设施管理中心20之间使用的通 信网络相同的通信网络5监管。为此并且如图1中已经所示，设施仪 表包括：

-计量单元11，用于计量至少一种设施消耗值V，

-通信单元12，用于把消息8发送给至少远程设施管理中心20/ 从至少远程设施管理中心20接收消息8，考虑它也可从监管中心30 接收消息(图6b)，

-存储器13，用于存储与设施仪表10相关的唯一的标识符ID和 必须由通信单元12发送/接收的消息8的加密/解密所需的第一密钥 K1，

-加密单元14，用于把所述设施消耗值V加密为第一密文C1； 特别地，第一密文C1将会产生于由第一密钥K1对设施消耗值V的 加密，

-消息产生器16，用于产生必须被发送给远程设施管理中心20 的包含所述第一密文C1的设施消息8。

这种方法包括下述步骤：

-由远程设施管理中心20通过至少包括特定设施仪表10唯一的 标识符ID的请求(例如，消息)向监管中心30请求这个远程设施管理 中心20与所述特定设施仪表10的分配(即，关联)；这个请求能够被 视为由设施仪表发送给它的选择的至少一个远程设施管理中心的登记 请求；然后，远程设施管理中心20考虑到实现这个请求而联系监管 中心30(例如，通过转发该请求)，

-由监管中心30把所谓的密钥数据(即，与密钥相关的数据)发送 给远程设施管理中心20；所述密钥数据被请求用于消息8的加密/解 密，

-由设施仪表10读取由计量单元11计量的设施消耗值V，

-由设施仪表10产生包括第一密文C1的设施消息8，

-考虑到设施消息8由远程设施管理中心20处理而由设施仪表 10把设施消息8发送给这个远程设施管理中心。

根据一种可能的方法，监管中心30能够属于设施仪表的制造 商。有利地，在这种情况下，它已经知道设施仪表的个人数据，特别 是，每个设施仪表10的唯一的标识符ID和私钥Kt。替代地，监管 中心能够是独立于任何远程设施管理中心并且有权处理设施仪表的秘 密密钥Kt的任何第三权威机构。

替代地，考虑到登记远程设施管理中心20与特定设施仪表10的 关联而发送给监管中心30的请求还能够由设施仪表而非远程设施管 理中心执行。在这种情况下，这个请求应该还包括这个远程设施管理 中心20的唯一的标识符。

根据一个实施例，由监管中心30发送给远程设施管理中心20的 密钥数据是第一密钥K1，第一密钥K1已经被存储在设施仪表10的 存储器13中并且被用作共享密钥Ks。在图6a中描述这个实施例。 由于所有的实体10、20、30具有共享密钥Ks，因此，它们能够在安 全的条件下彼此通信。

图6b显示替代的实施例，其中存储在存储器13中的第一密钥 K1是与设施仪表10相关的秘密密钥Kt。根据这个实施例，监管中 心也知道秘密密钥Kt，监管中心由于它的受信任实体状态而使这个 密钥保持为保密数据。为此，监管中心具有安全数据库，安全数据库 包括针对系统的每个设施仪表的记录，该记录至少包括它的唯一的标 识符ID以及它的秘密密钥Kt。优选地，每个记录还包括远程设施管 理中心的唯一的标识符并且可选地包括当前共享密钥Ks。在这个实 施例中，监管中心30和设施仪表10中的每一个都包括如图3中所示 的密码模块17。因此，它们中的每一个能够通过采用秘密密钥Kt作 为第一输入并且采用初始化值I0作为第二输入来产生共享密钥Ks。 为此，由监管中心30产生(例如，随机地产生)所需的初始化值I0， 并且密钥数据(以上提及的)是由监管中心的密码模块17提供的共享 密钥Ks。该方法还包括下述步骤：

-由监管中心30使用它的密码模块17产生共享密钥Ks，

-在初始化消息内把初始化值I0从监管中心30发送给设施仪表 10，

-把初始化值I0和秘密密钥Kt加载到设施仪表的密码模块，以 便获得当在设施仪表10和远程设施管理中心20之间交换通信时根据 对称加密方案必须用于消息的加密/解密的所需的共享密钥Ks。

一旦由设施仪表计算出共享密钥Ks，则共享密钥Ks能够被存 储在设施仪表的存储器13中。替代地，初始化值I0而非共享密钥 Ks能够被存储在这个存储器中，每次消息必须被加密/解密时，能够 计算共享密钥Ks。

通过这种方法，避免设施仪表的秘密密钥Kt的任何公开。当设 施仪表的新的拥有者想要由他的选择的远程设施管理中心提供的服务 时，该远程设施管理中心把用于登记的请求发送给监管中心。然后， 这个监管中心将会通过记录这个新客户的设施仪表10和这个远程设 施管理中心之间的新配对来更新它的数据库。

图6c的示图提出图6b的实施例的变型。如图6c中所示，通过 远程设施管理中心20从监管中心30执行初始化值I0的发送步骤， 远程设施管理中心20把初始化消息转发给设施仪表10。初始化值I0 和共享密钥Ks能够由监管中心在两个单独消息中或在单个消息中例 如作为密钥数据发送。

根据另一实施例，初始化消息还包括签名S，签名S通常是能够 通过把散列函数应用于初始化消息而获得的散列值。能够在所谓的签 名步骤期间由监管中心30使用签名单元执行这个签名S。作为结 果，该方法还包括由设施仪表为了核查这个签名S的验证而执行的 验证步骤。这种检查能够由验证单元18(图1)实现。在成功验证的情 况下，允许把初始化值(I0)加载到它的密码模块中。

在另一实施例中，该方法还包括第一有效性步骤，第一有效性步 骤由监管中心执行以把时间戳T(即，有效性数据)添加到初始化消 息。这个时间戳T由监管中心30基于当前时间CT定义。在这个实 施例中，该方法包括第二有效性步骤，第二有效性步骤由设施仪表 10在把初始化值I0加载到它的密码模块17中之前执行。第二有效 性步骤旨在通过比较时间戳T与当前时间CT来检查时间戳T的有 效性。在有效性检查成功的情况下，允许加载初始化值I0。

例如，时间戳T是例如由两个日期(一个开始日期和一个结束日 期)定义的有效性日期、有效性时间或有效性时间间隔。根据第一方 法，监管中心30和设施仪表10中的每一个都包括产生当前时间CT 的定时器(例如，时钟)，并且所谓的第二有效性步骤旨在核查当前时 间CT位于根据所述有效性数据T确定的有效性时间段内。这两个定 时器必须尽可能同步。根据替代的方法，当前时间CT能够由单个无 线电控制的信号提供，所述单个无线电控制的信号能够由每个定时器 接收。

在另一实施例中，设施仪表10包括用于产生载荷密钥Kp的密 钥产生器16，载荷密钥Kp必须由它的加密单元14使用以加密载荷 消息8内的设施消耗值V。在这个实施例中，该方法还包括下述步 骤：

-产生载荷密钥Kp，

-作为第一密文C1的结果，把这个载荷密钥Kp用于加密设施消 耗值V，

-作为通过使用设施仪表10的加密单元14由第一密钥K1加密 载荷密钥Kp的结果，产生第二密文C2，

-在被发送给远程设施管理中心20之前，第二密文C2被包括到 设施消息8中。优选地，在同一消息中，第二密文C2被与第一密文 C1一起发送。然而，第一密文和第二密文也能够在两个单独的消息 中被发送。优选地，这个第二密文将会被至少一次包括到这种消息 中，例如，至少在设施仪表10被分派给远程设施管理中心20的初始 化阶段期间。更优选地，这个第二密文C2将会被定期地包括到消息 8中，至少每次改变或更新载荷密钥Kp时。

根据另一实施例，本方法的第一密钥K1是与远程设施管理中心 相关的所谓的远程管理密钥Km。

根据本发明的另一实施例，设施仪表10能够由超过一个远程设 施管理中心20监测并管理。如果设施仪表将会能够同时计量不同种 类的设施(例如，同时监测电功率和水消耗)，则可能发生这种情况。 因此，图6a、6b、6c中示出的系统显然不限于仅一个设施仪表。这 也适用于远程设施管理中心20，并且甚至适用于监管中心30。替代 地，设施仪表10能够根据时间调度器工作，从而能够在一部分时间 由第一远程设施管理中心执行电功率、煤气或水的提供并且在其它部 分时间由另一提供商执行电功率、煤气或水的提供。

在以上描述中，表示设施使用监测装置的术语限定如图1中所示 的设施仪表10或者能够从远程设施管理中心20(如图1中所示)或从 收集器集中器装备远程监测并管理的家电装置。此外，表示远程设施 管理中心的术语被用于限定智能电网中的中央设施提供商管理中心或 中间收集器集中器装备节点，其中设施管理中心例如在安全房间或建 筑物中由设施提供商紧密控制。