具体实施方式

图1示出了一种通信系统的示意图，该通信系统包括可连接网络的感测装置1，该感测装置1配置成向位于远程的服务器5远程提供给定物理量或现象的测量，特别是以数字数据的形式提供。

服务器5可以是提供所提供的测量的存储和/或分析的任意电子装置，诸如计算机、便携式计算机、智能电话、智能手表、平板电脑、便携装置或任意其他合适的装置。

图1的感测装置1包括感测单元11，用于感测一种或多种期望的(物理)现象，即感测装置或感测装置所在环境的事件或变化，或影响感测装置或感测装置所在环境的事件或变化。特别地，感测单元11可以配置成感测(测量)：(环境和/或感测装置的)温度、湿度、光、感测装置的(相对和/或绝对)位置、感测装置的加速度、或影响感测装置的碰撞、或其组合。

感测装置1包括通信单元15，用于将从感测单元11收集的数据特别是以打包数据140的形式直接或经由网关装置4传输到服务器5。通信单元15还配置成用于从服务器5、网关装置4或从另一装置2、3接收数字数据和/或信号。

网关装置可以是在感测装置1和服务器之间提供数据传输的任意装置。网关装置可以是移动的、可运输的或静态的装置。

感测装置1还包括电子电路14，其通过给定的非对称密钥的私钥提供传输数据110的签名144，以便服务器5和/或网关装置4可以通过给定的非对称密钥的公钥143验证传输数据的完整性。通过提供具有打包数据140的数字签名144和公钥143，实现公开和永久的验证。

打包数据140还包括由感测装置1的计时单元13提供的时间戳146，该时间戳也由(相同的)私钥签名。

时间戳146是用于识别发生的现象感测、数据获取和/或传输事件的符号序列(以数字格式表示)。符号可以是函数或代表给定的日期和时刻，最好精确到秒的一小部分。可选地，时间戳可以是分配给现象感测、数据获取和/或传输事件的唯一符号序列(例如，随机或伪随机符号序列)。

时间戳146的符号可以包含或包括：字母数字符号、一个或多个数字符号、一个或多个二进制数字、一个或多个印刷符号、和/或一个或多个图形符号、或其组合。

时间戳的绝对(或至少相对)唯一性确保了生成的签名的唯一性(每个打包数据的签名不同于其他打包数据的签名)，该签名基于数据复制或重新传输提供对欺骗或恶意攻击的(内在)检测。

计时单元13可以包括专用时钟，或者可以依靠感测装置1或其组件(例如电子电路14)的(共享)时钟。

有利地，专用或共享时钟可以是受控时钟131，即由连接到诸如原子钟和/或协调世界时间(UTC)的时间标准的单个或多个发射器传输的同步信号(例如时间码)自动(即由其自身同步，不受直接人为控制)同步的时钟。传输器可以是国家或地区时间传输器或世界时间传输器。多个传输器可以是诸如全球(卫星)定位系统(例如GPS、伽利略或GLONASS)的需要时间同步的相对或绝对定位系统的一部分。此类系统可用于自动设置和/或同步受控时钟。

同步信号可以是由无线电传输器发送并通过感测装置1的通信单元(15)和/或无线电天线获取的无线电同步信号。

可选地或补充地，同步信号可由感测单元11和/或感测装置1的相对或绝对定位系统17提供，该系统配置成提供具有时间参考的时钟同步。优选地，相对或绝对定位系统17是全球卫星定位系统(GNSS)，其尤其依赖于GPS、伽利略和/或GLONASS卫星星座。

可选地或补充地，同步信号可以是由通信单元15和/或由通信单元15的连接接口和/或感测装置1的连接接口提供的有线同步信号。

可连接网络的感测装置1有利地是独立装置，即离网供电的装置。

感测装置因此可以包括用于为其有源部件供电的储能模块18。储能模块18可以是不可充电的或可充电的电源组，特别是包括一个或多个蓄电池和/或电池，或由一个或多个蓄电池和/或电池构成。

感测装置可以包括保护外壳或壳10，用于保护感测装置，特别是其部件，免遭破坏。保护壳10包围感测装置的部件，并且有利地，壳可以是防水和/或气密壳。

本发明的装置预设了几种操作模式并且配置成选择性地以可用模式中的一种或另一种操作。为了增加针对基于身份替换和/或密钥替换的攻击的稳健性，感测装置1预设并且配置成至少在以下模式中选择性地操作：制造模式、未配置模式、配置模式和寿命终止模式(end-of-life mode)(参照图5)。

图2示出了在制造模式下操作的感测装置1的示例性流程图。

在制造模式中，电子电路14配置成将唯一代码149尤其是以数字格式永久地存储在感测装置1的存储介质12中。

特别地，唯一代码149可以存储在存储介质12的专用存储单元中，该专用存储单元提供唯一代码149的唯一一次存储。

唯一代码149是符号序列，其在用于其他感测装置的所有代码中被确保为是唯一的。

存储介质12是提供数据存储(以数字格式)的任意单个或多个单元(例如，具有电子电路或装置的形式)，该数据尤其被收集和/或在操作上指定用于感测装置1的组件。

特别地，尤其是响应于提供感测装置1的序列号(例如分配给感测装置1的唯一制造标识符)，可以由制造装置2提供唯一代码149。感测装置1的序列号可以在感测装置1的制造期间被硬写入(Hard-write)，或存储在可由电子电路14访问(即可读)的只读存储介质中。

特别地，感测装置1可以配置成(尤其是通过电子电路14)等待从制造装置2接收到唯一代码149一次，尤其是当感测装置例如由储能模块18首次供电时。

如图5中所示，响应于以下情况，感测装置1可以配置成从制造模式(自动地)切换到未配置模式(S1)：

在存储介质12中接收和/或存储唯一代码149；和/或

特别是通过通信单元15接收由制造装置2提供的睡眠信号20。

感测装置1和制造装置2之间的通信可以依赖于由通信单元15提供的有线和/或无线数据链路150。数据链路150可以是单向或双向的(特别是在将序列号传输至制造装置2的情况下)。

图3示出了图1的感测装置在未配置模式下操作的示例性流程图。

在未配置模式下，感测装置配置成等待接收配置信号，以生成用于对所收集的数据和打包数据的时间戳进行签名的非对称密钥对。在等待期间，感测装置有利地配置成在睡眠模式下操作，其中通信单元15配置成在仅接收模式下操作(即，不允许和/或不操作传输)。

特别地，电子电路14配置成等待接收由配置代码31构成或包括配置代码31的配置信号，并且响应于与感测装置的唯一代码149匹配的配置代码31，从而：

生成用于签名(数字)数据的私钥142，并且

推导出(生成)用于验证由该私钥142签名的数据的公钥143。

与唯一代码149匹配的配置代码31提供对提供装置的认证。

更有利地，电子电路可以配置成等待配置信号成为近场通信(NFC)信号，优选地根据NFC通信协议，例如通过将通信单元15配置为唯一地建立与配置装置3近场通信151，例如通过将感测装置和配置装置放在4cm内。

近场通信151可以通过(唯一地)激活通信单元15的NFC读取器来实现。

只要感测装置在等待(NFC)配置信号将其唤醒的同时处于睡眠模式，任何远程攻击感测装置的尝试都会被阻止。这允许更安全长久的适用期(shelf life time)。

有利地，在睡眠模式中，感测单元和/或计时单元13被禁用以减少电力消耗。这允许进一步提供更长久的适用期。

在未配置模式中，通信单元15可以配置成基于共享密钥147与所述配置装置3建立不安全的通信，或者有利地安全的通信。

可以从存储介质12中检索共享密钥147。

可选地或补充地，特别是基于感测装置的秘密数据(例如唯一代码149)和由配置装置3提供的预共享密钥30，共享密钥147可以由电子电路14生成。优选地，电子电路14可以提供相关的预共享密钥，以允许配置装置生成相同的共享密钥，而无需(直接)传输该共享密钥。特别地，可以依赖于Diffie-Hellman密钥交换协议来生成共享密钥147。

然后可以将生成的共享密钥147存储在存储介质12中，以允许以后与(相同的)提供装置进行通信。

这不仅允许在感测装置和提供装置之间创建安全连接，而且还允许在感测装置和提供设备之间建立可信配对，并进行带外预共享密钥交换。

此外，响应于与感测装置的唯一代码149匹配的配置代码31，电子电路可以配置成接收由配置装置3提供的配置设置32。一旦接收，感测装置可以配置成应用接收到的配置设置32，特别是通过将其存储在存储介质中和/或通过根据接收的配置设置32来设置感测装置的组件。

配置设置32可以包括：

待传输到打包数据中的感测装置标识符141；和/或

感测单元的设置，诸如测量速率或频率、测量精度、感测阈值、感测单元的感测元件的激活/停用；和/或

通信单元的设置；和/或

时钟和/或计时模块的设置，诸如设置和/或同步信号；和/或

触发事件，触发测量和/或收集由感测单元提供的数据；特别是所测量的运动和/或加速度的检测阈值；和/或

打包信息。

有利地，电子电路可以配置成将公钥143一旦生成就传输到配置装置，以便激活服务器5上的公钥143。

感测装置1可以配置成响应于以下事件从未配置模式(自动地)切换到配置模式(S2)：

私钥142的生成，和/或

公钥143的推导，和/或

配置设置32的应用，和/或

由配置装置3提供的唤醒信号33的接收，和/或

服务器上的公钥143的激活。

图4示出了图1的感测装置在配置模式下操作的示例性流程图。

在配置模式中，电子电路14配置成收集由感测单元11提供的数据110，并且：

通过私钥142对所收集的数据110和计时单元13提供的时间戳146进行签名，以提供数字签名144，并且

将打包数据140直接或通过网关装置4传输到服务器5，打包数据140包括所收集的数据110、时间戳146、数字签名144、公钥(143)以及最终地感测装置标识符141。

特别地，在配置模式中，电子电路14配置成收集由感测单元11提供的数据110，特别是根据:

给定的收集和/或感测规则，和/或

由配置装置提供的配置设置32，特别是根据：

提供的用于触发测量和/或数据收集的触发事件；和/或

提供的检测阈值。

有利地，电子电路14配置成将所收集的数据存储在存储介质12中，并等待由网关装置4和/或服务器5提供的请求信号40。响应于由网关装置4和/或服务器5提供的请求信号40，电子电路14配置成：

对所收集的数据110(例如存储在存储介质12中的数据)和时间戳146进行签名，并且

传输打包数据140。

特别地，电子电路14可以配置成响应于由感测装置1的加速度计19感测到的运动和/或加速度来收集和存储由感测单元11提供的数据，感测到的运动或加速度高于检测阈值，该检测阈值优选地由配置设置32提供。

电子电路14可以配置成等待由网关装置4和/或服务器5提供的确认信号41，并且响应于接收到确认打包数据的安全接收和/或签名的验证的确认信号41，将传输的数据从存储介质12移除。可选地或补充地，可以通过检查服务器5上的公钥的激活来提供确认信号41。

数据移除可以包括数据擦除(即，通过使用零和一来覆盖所选数据，以完全(绝对地)破坏存储介质12上的所选数据)。

打包数据140可以通过通信单元15、通过感测装置和网关装置之间建立的本地通信152(即依赖于感测装置和网关装置间隔不超过1km的通信，优选地在从4cm到500米的范围内)传输到网管装置。本地通信可以是：无线局域网通信、无线电无线局域通信、蓝牙通信、ANT通信、有线通信(诸如USB通信)或其组合。

可选地或补充地，可以通过感测装置和网关装置和/或服务器5之间建立的点对点通信152来传输打包数据140，其中点对点通信至少依赖于点对点计算机网络连接(诸如有线和/或无线蜂窝网络、卫星网络、有线网络)。

网关装置3可以在验证签名144之前或有利地在验证签名144之后将(整个)打包数据140传送到服务器5以进行存储，优选地利用用于提供安全记录的区块链进行存储。一旦在服务器上存储和/或区块链化(即利用区块链存储或记录)，打包数据140就可以由用户处置，该用户始终可以验证由感测装置1提供的数据的完整性，特别是通过打包数据140中提供的签名144和公钥143来验证。

如图5所示，在寿命终止模式中，感测装置(特别是通过电子电路)配置成，特别是通过永久擦除私钥142而被暂时或永久禁用。

电子电路14可以配置成永久禁用感测装置1，特别是通过触发(机械的和/或电子的)禁用感测装置1的一个或多个组件。

特别地，电子电路14可以触发：

电池的破裂或损坏，例如通过缩短电池的电极或通过执行器，和/或

电池的完全放电；和/或

密封外壳的破裂或开口，例如通过执行器；和/或

传感器单元的破裂或损坏，例如通过触发过电压或通过执行器，和/或

存储介质的破裂或损坏，例如通过触发过电压或通过执行器，和/或

破坏驻留在感测装置上(特别是在存储介质上和/或在电子电路上)的指令数据，指令数据尤其可由电子电路14读取以实现电子电路14的一项或多项任务；和/或

感测装置的电气连接的中断或短路，例如将电子电路14电连接到感测装置的其他组件的电连接的中断或短路；例如通过触发过电压或通过执行器。

可选地，为了提供感测装置1的安全再使用，在寿命终止模式中，电子电路14可以配置成从存储介质永久擦除(所收集的)数据110并将感测装置1切换到未配置模式(S31)。优选地，电子电路14可以配置成永久地擦除(例如通过数据擦除)公钥和/或配置设置。

特别地，感测装置可以配置成响应于以下情况而切换到寿命终止模式(特别是通过电子电路)：

接收由装置提供的，特别是由调节装置提供的寿命终止信号；和/或(通过电子电路)检测到存储模块18的剩余能量低于给定的能量阈值，优选地，能量阈值由制造装置和/或配置装置3提供，例如，通过配置设置32提供；和/或

检测到由感测装置1的破坏检测器16提供的破坏保护壳10。

感测装置1还可以配置成，响应于接收到由(联接的)配置装置3提供的配置代码31而从寿命终止模式或从配置模式(自动地)切换到未配置模式(S21、S31)，其中配置代码31匹配感测装置的唯一代码149。这允许对感测装置1进行可信的重新初始化。

感测装置1因此为感测装置所提供的物理实体的测量提供了更稳定的传输，因为：

永久的唯一代码防止未经授权或恶意地生成或重新生成私钥和公钥；

打包数据提供了允许验证所收集的数据(例如测量值)的完整性的公钥；并且

每个经签名的打包数据都通过时间戳而变得独一无二。

事实上，由于每次传输的打包数据不同，通过比较已经存储的和/或区块链记录的打包数据，将很容易在服务器上检测到数据复制攻击。时间戳确保生成的签名是不同的，因此打包不能被简单地复制。

由感测装置提供的公钥可以提供数据的来源，从而避免身份盗用攻击，因为(相关的)私钥在被配置时在装置本身上随机生成(即感测装置是唯一知道私钥的并且私钥是唯一的)。此外，公钥在打包数据中传输，以允许用户验证信息确实由装置签名。该签名充当鉴权认证。

通过在服务器5上激活在感测装置1上生成的公钥243，优选地通过配置装置3将公钥143传输到服务器5，可以进一步提高传输的稳健性。可以在服务器和/或网关装置上使用该激活，以验证接收到的打包数据(特别是其公钥)，并且/或者允许存储和/或区块链化所接收的打包数据。

附图中使用的数字标记：

1 感测装置

10 外壳

11 感测单元

110 数据

12 存储介质

13 计时单元

131 时钟

14 电子电路

140 打包数据

141 身份

142 私钥

143 公钥

144 签名

145 关键代码

146 时间戳

147 共享密钥

148 序列号

149 唯一代码

15 通信单元

150 数据链路

151 近场通信(NFC)数据链路

152 (无线)数据链路

16 破坏检测器

17 全球定位系统

18 储能模块

19 加速度计

2 制造装置

20 睡眠信号

3 配置装置

30 预共享密钥

31 配置代码

32 配置设置

33 唤醒信号

34 数据链路

4 网关装置

40 请求信号

41 确认信号

44 数据链路

5 服务器

51 确认信号

S1、S21、S31 切换到未配置模式

S2 切换到预配置模式

S3 切换到寿命终止模式