知財求人 - 知財ポータルサイト「IP Force」
▶ エムアッシュエム・ミクロテクニク・ソシエテ・ア・レスポンサビリテ・リミテの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-03-11
(54)【発明の名称】ネットワーク接続可能な感知装置
(51)【国際特許分類】
H04L 9/32 20060101AFI20220304BHJP
H04L 9/08 20060101ALI20220304BHJP
G06F 21/64 20130101ALI20220304BHJP
G06F 21/73 20130101ALI20220304BHJP
G06F 21/44 20130101ALI20220304BHJP
H04L 9/10 20060101ALI20220304BHJP
【FI】
H04L9/32 200B
H04L9/32 200E
H04L9/08 C
G06F21/64
G06F21/73
G06F21/44
H04L9/10 Z
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2021539980
(86)(22)【出願日】2019-12-24
(85)【翻訳文提出日】2021-07-08
(86)【国際出願番号】 IB2019061332
(87)【国際公開番号】W WO2020144527
(87)【国際公開日】2020-07-16
(31)【優先権主張番号】00029/19
(32)【優先日】2019-01-10
(33)【優先権主張国・地域又は機関】CH
(81)【指定国・地域】
(71)【出願人】
【識別番号】521249645
【氏名又は名称】エムアッシュエム・ミクロテクニク・ソシエテ・ア・レスポンサビリテ・リミテ
(74)【代理人】
【識別番号】100069556
【弁理士】
【氏名又は名称】江崎 光史
(74)【代理人】
【識別番号】100111486
【弁理士】
【氏名又は名称】鍛冶澤 實
(74)【代理人】
【識別番号】100191835
【弁理士】
【氏名又は名称】中村 真介
(74)【代理人】
【識別番号】100208258
【弁理士】
【氏名又は名称】鈴木 友子
(74)【代理人】
【識別番号】100221981
【弁理士】
【氏名又は名称】石田 大成
(72)【発明者】
【氏名】マイヤー・シュテファン
(72)【発明者】
【氏名】オルチェフスキー・イヴァン
(72)【発明者】
【氏名】バルメール・ステファーヌ
(72)【発明者】
【氏名】トリファ・ヴラド
(57)【要約】
【課題】なりすまし及び悪意のある攻撃を防いで、物理エンティティを測定して測定結果を遠隔伝送可能な感知装置を提供する。
【解決手段】本発明は製造モードと、未プロビジョンモードと、プロビジョンモードと、寿命終了モードとを選択的に操作されるべく構成されている感知装置(1)に関する。製造モードにおいて、電子回路(14)が永続的に固有コード(149)を記憶媒体(12)に格納するように構成されていて、
未プロビジョンモードにおいて、秘密鍵(142)及び公開鍵(143)を生成するため、電子回路(14)はプロビジョニングコード(31)を待つ。プロビジョンモードにおいて、電子回路(14)は、計時ユニット(13)により提供されたタイムスタンプと感知ユニットにより提供されたデータ(110)に署名する。集められたデータ(110)と、タイムスタンプ(146)と、デジタル署名(144)と、公開鍵(143)とはそれから伝送される。寿命終了モードにおいて、電子回路(14)は永続的に秘密鍵を消去する。
【解決手段】本発明は製造モードと、未プロビジョンモードと、プロビジョンモードと、寿命終了モードとを選択的に操作されるべく構成されている感知装置(1)に関する。製造モードにおいて、電子回路(14)が永続的に固有コード(149)を記憶媒体(12)に格納するように構成されていて、
未プロビジョンモードにおいて、秘密鍵(142)及び公開鍵(143)を生成するため、電子回路(14)はプロビジョニングコード(31)を待つ。プロビジョンモードにおいて、電子回路(14)は、計時ユニット(13)により提供されたタイムスタンプと感知ユニットにより提供されたデータ(110)に署名する。集められたデータ(110)と、タイムスタンプ(146)と、デジタル署名(144)と、公開鍵(143)とはそれから伝送される。寿命終了モードにおいて、電子回路(14)は永続的に秘密鍵を消去する。
【特許請求の範囲】
【請求項1】
所与の現象を少なくとも感知する感知ユニット(11)と、デジタルデータを格納する記憶媒体(12)と、
デジタルデータと信号との少なくとも一方を受信及び伝送する通信ユニット(15)と、
タイムスタンプを提供する計時ユニット(13)と、
記憶媒体(12)と、感知ユニット(11)と、通信ユニット(15)と、計時ユニット(13)とに、操作上接続されている、電子回路(14)と
を備える感知装置(1)において、
感知装置(1)は、製造モードと、未プロビジョンモードと、プロビジョンモードと、寿命終了モードとを選択的に操作されるべく構成されていて、
製造モードにおいて、電子回路(14)が永続的に固有コード(149)を記憶媒体(12)に格納するように構成されていて、
未プロビジョンモードにおいて、プロビジョニング装置(3)からプロビジョニングコード(31)を受信するように、電子回路(14)が待つように構成されていて、かつ
前記感知装置の固有コード(149)に一致しているプロビジョニングコード(31)に応答して、データに署名する秘密鍵(142)を生成して、公開鍵(143)を控除するように、
プロビジョンモードにおいて、感知ユニット(11)によって提供されるデータを集めるように、かつ
公開鍵(143)で検証可能なデジタル署名(144)を提供するように、秘密鍵(142)で、集められたデータ及び計時ユニット(13)により提供されたタイムスタンプに署名するように
電子回路(14)が構成されていて、かつ
パックされたデータ(140)をゲートウェイ装置(4)とサーバ(5)との少なくとも一方に伝送するように、電子回路(14)が構成されていて、
パックされたデータ(140)が、集められたデータ(110)と、タイムスタンプ(146)と、デジタル署名(144)と、公開鍵(143)とを備え、
寿命終了モードにおいて、電子回路(14)が永続的に秘密鍵(142)を消去するように構成されている、感知装置(1)。
【請求項2】
製造モードにおいて、電子回路(14)は固有コード(149)を製造装置(2)から受信するように構成されている、請求項1に記載の感知装置(1)。
【請求項3】
製造モードにおいて、電子回路(14)はシリアル番号(148)を製造装置(2)に送るように構成されていて、好ましくは前記シリアル番号は、感知装置(1)に割り当てられた固有の識別子である、請求項2に記載の感知装置(1)。
【請求項4】
固有コード(149)の記憶媒体(12)への格納と、製造装置(2)から提供されるスリープ信号(20)の受付との少なくとも一方に応答して、製造モードから未プロビジョンモードに切り替えるように、感知装置(1)が構成されている、請求項1から3のいずれか一項に記載の感知装置(1)。
【請求項5】
前記感知装置の固有コード(149)に一致しているプロビジョニングコード(31)に応答して、プロビジョニング装置(3)により提供されるプロビジョニング設定(32)を適用するように、電子回路(14)が構成されていて、プロビジョニング設定(32)は、
パックされたデータ内で伝送されることになっている感知装置識別子141と、
測定速度又は測定頻度と、測定精度と、感知しきい値と、感知ユニットの感知要素を有効化するしないのような、感知ユニットの設定と、
通信ユニットの設定と、
設定と同期信号との少なくとも一方のような、時計と計時ユニットとの少なくとも一方の設定と、
測定と、感知ユニットにより提供されるデータの収集との少なくとも一方を起動する起動イベントと、
パッケージ情報と
の少なくともいずれか1つを備える、請求項1から4のいずれか一項に記載の感知装置(1)。
【請求項6】
未プロビジョンモードにおいて、通信ユニット(15)は、プロビジョニング装置(3)との近距離通信(151)を設立するように構成されている、請求項1から5のいずれか一項に記載の感知装置(1)。
【請求項7】
未プロビジョンモードにおいて、通信ユニット(15)は共有鍵(147)に基づいて、プロビジョニング装置(3)との、安全が確保されていない通信か、安全な通信を設立するように構成されていて、好ましくは共有鍵(147)は電子回路(14)によって取得と生成との少なくとも一方がなされ、
好ましくは共有鍵(147)は記憶媒体(12)に格納されている、請求項1から6のいずれか一項に記載の感知装置(1)。
【請求項8】
事前共有鍵(30)をプロビジョニング装置(3)から取得するように電子回路(14)が構成されていて、共有鍵(147)を事前共有鍵(30)及び秘密データとりわけ固有コード(149)から生成するように電子回路(14)が構成されている、請求項7に記載の感知装置(1)。
【請求項9】
秘密鍵(142)の生成と、公開鍵(143)の控除と、プロビジョニング設定(32)の適用と、プロビジョニング装置(3)から提供されるウェイクアップ信号(33)の受信との少なくとも1つに応答して、感知装置(1)が未プロビジョンモードからプロビジョンモードに切り替えるように構成されてる、請求項1から8のいずれか一項に記載の感知装置(1)。
【請求項10】
プロビジョンモードにおいて、集められたデータを記憶媒体(12)に格納するように、電子回路(14)が構成されていて、
ゲートウェイ装置(4)とサーバ(5)との少なくとも一方により提供される要求信号(40)に応答して、集められたデータ(110)及びタイムスタンプ(146)に署名して、パックされたデータ(140)を伝送するように、電子回路(14)が構成されている、請求項1から9のいずれか一項に記載の感知装置(1)。
【請求項11】
プロビジョンモードにおいて、パックされたデータの安全な受け取りを確認して、確認信号(33)をゲートウェイ装置(4)とサーバ(5)との少なくとも一方から受信するように、電子回路(14)は構成されていて、
確認信号(41)の受付に応答して、集められたデータを記憶媒体(12)から除去するように、電子回路(14)は構成されている、請求項10に記載の感知装置(1)。
【請求項12】
寿命終了信号の受付に応答して、感知装置が、寿命終了モードに切り替えるように構成されている、請求項1から11のいずれか一項に記載の感知装置(1)。
【請求項13】
プロビジョンモードにおいて、通信ユニット(15)が、ゲートウェイ装置(4)とのローカル通信(152)を設立するように構成されていて、好ましくは前記ローカル通信は、無線エリアネットワーク通信と、無線ローカルエリア通信と、ブルートゥース(登録商標)通信と、ANT通信と、有線通信と、USB通信と、左記の組み合わせとのいずれかである、請求項1から12のいずれか一項に記載の感知装置(1)。
【請求項14】
プロビジョンモードにおいて、通信ユニット(15)がゲートウェイ装置(4)とのポイントツーポイント通信(152)を設立するように構成されていて、好ましくは前記ポイントツーポイント通信が、有線セルラーネットワークと無線セルラーネットワークとの少なくとも一方と、衛星ネットワークと、有線ネットワークと、左記の組み合わせとの少なくともいずれか一種類のような、少なくともポイントツーポイントコンピュータネットワーク接続に依拠している、請求項1から13のいずれか一項に記載の感知装置(1)。
【請求項15】
寿命終了モードにおいて、感知ユニット(11)により提供された集められたデータ(110)を永続的に消去して、かつ感知装置を未プロビジョンモードに切り替えるように、電子回路(14)が構成されている、請求項1から14のいずれか一項に記載の感知装置(1)。
【請求項16】
寿命終了モードにおいて、感知装置(1)を永続的に作動不能にするように電子回路(14)が構成されている、請求項1から14のいずれか一項に記載の感知装置(1)。
【請求項17】
同期信号の取得によって、基準時、とりわけ協定世界時との時計同期を提供するように、計時ユニット(13)が構成されていて、好ましくは同期信号は、
通信ユニット(15)と、全地球測位システム(17)と、無線アンテナとの少なくとも1種類により提供される、無線と、衛星と、有線との少なくともいずれか1種類の同期信号であり、
好ましくは計時ユニット(13)は、制御されている時計(131)、好ましくは無線制御されている時計(131)を、備えているか、操作上接続されている、請求項1から16のいずれか一項に記載の感知装置(1)。
【請求項18】
改造から保護する保護ケーシング(10)をさらに備え、保護ケーシング(10)は好ましくは水密と気密との少なくとも一方であり、保護ケーシング(10)は、通信ユニット(15)と、感知ユニット(11)と、記憶媒体(12)と、電子回路(14)と、計時ユニット(13)と、全地球測位システム(17)とを囲んでいて、及び/又は無線アンテナと、時計(131)とを囲んでいる、請求項1から17のいずれか一項に記載の感知装置(1)。
【請求項19】
保護ケーシング(10)の改造を検出するように構成されている改造検出器(16)をさらに備え、好ましくは改造検出器(16)は保護ケーシング(10)に囲まれていて、改造の検出に応答して、感知装置は寿命終了モードに切り替わるように構成されている、請求項18に記載の感知装置(1)。
【請求項20】
電子回路(14)と、通信ユニット(15)と、感知ユニット(11)と、記憶媒体(12)と、電子回路(14)と、計時ユニット(13)と、改造検出器(16)と、全地球測位システム(17)と、時計(13)と、及び/又は無線アンテナとに電力を供給するエネルギー貯蔵モジュール(18)をさらに備え、好ましくはエネルギー貯蔵モジュール(18)は、保護ケーシング(10)に囲まれていて、
貯蔵モジュール(18)の残りのエネルギーが所与のエネルギーしきい値を下回っていることを検出するように電子回路(14)が構成されていて、
所与のエネルギーしきい値を下回っていることの検出に応じて、感知装置(1)を寿命終了モードに切り替えるように電子回路(14)が構成されている、請求項1から19のいずれか一項に記載の感知装置(1)。
【請求項21】
電子回路(14)は、加速度計(19)により検出された動きと加速との少なくとも一方に応答して、感知ユニット(11)により提供されるデータを集めるように構成されていて、好ましくは検出しきい値を超える動きと加速との少なくとも一方に応答して、好ましくはプロビジョニング設定(32)が前記検出しきい値を備える、請求項1から20のいずれか一項に記載の感知装置(1)。
【請求項22】
固有コード(149)を、感知装置(1)の記憶媒体(12)に永続的に格納するステップと、固有コード(149)に一致しているプロビジョニングコード(31)に応答して、秘密鍵(142)及び公開鍵(143)を感知装置(1)上に生成するステップであって、固有コード(149)は好ましくはプロビジョニング装置(3)により提供される、秘密鍵(142)及び公開鍵(143)を生成するステップと、
感知ユニット(11)により提供される集められたデータと、計時ユニット(13)により提供されるタイムスタンプ(146)に感知装置(1)上で秘密鍵(142)によって署名することでデジタル署名を提供するステップと、
集められたデータ(110)と、タイムスタンプ(146)とデジタル署名(144)と公開鍵(143)とを備えるパックされているデータ(140)を、サーバ(5)に伝送するステップと、それから
感知装置の保護ケーシング(10)の改造の検出と、感知装置の貯蔵モジュール(18)の残りエネルギーが所与のエネルギーしきい値を下回っていることの検出と、寿命終了信号の受信との少なくとも1つに応答して、秘密鍵(142)を感知装置(1)上から永続的に消去するステップと
を備える、感知装置(1)からデータを伝送する方法。
【請求項23】
サーバ(5)上での、感知装置(1)により生成された公開鍵(243)の有効化をさらに備え、好ましくは前記有効化が、プロビジョニング装置(3)を通ってサーバ(5)への公開鍵(143)の伝送を含む、請求項22に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク接続可能な感知(センシング)装置、とりわけ、ネットワーク接続可能なマルチセンシング装置に関する。
【背景技術】
【0002】
物のインターネット(IoT)のようなネットワーク接続可能な感知装置は、直接又はゲートウェイを介して、物理エンティティの測定値(データ)を受信装置(サーバなど)にリモートで提供する電子機器である。それらのほとんどは、これらのデータを伝送するためにブルートゥース(登録商標)低消費電力(Bluetooth(登録商標) Low Energy(BLE))通信に依存している。
【0003】
データは制御不能な媒体で伝送されるため、データは、不快又は深刻な状況につながり得るなりすましや悪意のある攻撃に対して脆弱である。
【0004】
ネットワーク接続可能な感知装置の一部がデータを暗号化するように構成されている場合でも、ネットワーク接続可能な感知装置は、依然として、なりすましや悪意のある攻撃、特にIDの置換や、キーの置換や、過去の傍受されたデータの再伝送に基づく攻撃に対して脆弱なままである。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的は、物理エンティティを測定し、既知のシステム及び方法よりも優れてなりすまし及び悪意のある攻撃に抵抗する方法で、物理エンティティを測定可能でありかつ結果を遠隔伝送可能な感知装置を提供することである。
【課題を解決するための手段】
【0006】
本発明によれば、これらの目的は、請求項1に記載のネットワーク接続可能な感知装置、及び感知装置から請求項22に記載のサーバにデータを伝送する方法によって達成される。
【0007】
この解決手段は、
永続的な固有コードが、秘密鍵と公開鍵の不正又は悪意のある生成又は再生成を防止して、
パックされたデータが、(測定のような)集められたデータの完全性を検証可能にする公開鍵を提供して、かつ
署名された各パックされたデータが、タイムスタンプによって一意なものに作られるので、
感知装置によって提供される物理エンティティの測定値のより堅牢な伝送を提供する。
永続的な固有コードが、秘密鍵と公開鍵の不正又は悪意のある生成又は再生成を防止して、
パックされたデータが、(測定のような)集められたデータの完全性を検証可能にする公開鍵を提供して、かつ
署名された各パックされたデータが、タイムスタンプによって一意なものに作られるので、
感知装置によって提供される物理エンティティの測定値のより堅牢な伝送を提供する。
【0008】
本発明は、例として与えられ、図によって示される実施形態の説明の助けを借りて、よりよく理解されるであろう。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
図1は、所与の物理量又は事象の測定を、遠隔配置されているサーバ5に、とりわけデジタルデータの形態で遠隔提供するように構成されている、ネットワーク接続可能な感知装置1を備える通信システムの概略図を示す。
【0011】
サーバ5は、提供された手段の記憶と、分析との少なくとも一方を提供する任意の電子装置であり得る。任意の電子装置は、コンピュータ、ラップトップ、スマートフォン、スマートウォッチ、タブレット、携帯装置、又は他の任意の適切な装置のような装置である。
【0012】
図1の感知装置1は、1つ又はそれより多い所望の(物理的)事象、すなわち、感知装置又は感知装置が配置されている環境の事象、あるいは感知装置又は感知装置が配置されている環境の変化、あるいは感知装置又は感知装置が配置されている環境への影響を感知する感知ユニット11を備える。特に、感知ユニット11は、(環境と感知装置との少なくとも一方の)温度、湿度、光、感知装置の(相対的及び/又は絶対的)位置、感知装置の加速、あるいは感知装置に影響する衝撃、あるいはそれらの組み合わせを感知(測定)するように構成可能である。
【0013】
感知装置1は、感知ユニット11から収集されたデータを直接又はゲートウェイ装置4を介して、とりわけパックされたデータ140の形態でサーバ5に伝送する通信ユニット15を備える。通信ユニット15はまた、サーバ5、ゲートウェイ装置4、又は別の装置2、3から、デジタルデータと信号との少なくとも一方を受信するように構成されている。
【0014】
ゲートウェイ装置は、感知装置1とサーバとの間でデータの伝送を提供する任意の装置であり得る。ゲートウェイ装置は、モバイル、転移可能な、又は静的装置にしてもよい。
【0015】
感知装置1は、それから、所与の非対称鍵の秘密鍵による伝送データ110の署名144を提供する、電子回路14を備える。これにより、サーバ5とゲートウェイ装置4との少なくとも一方が、所与の非対称鍵の公開鍵143によって、伝送されたデータの完全性を検証可能である。公開かつ永続的な検証は、デジタル署名144及び公開鍵143にパックされたデータ140を提供することによって可能になる。
【0016】
パックされたデータ140はまた、感知装置1の計時ユニット13によって提供されるタイムスタンプ146を備え、タイムスタンプも(同じ)秘密鍵によって署名される。
【0017】
タイムスタンプ146は、発生した事象感知と、データ取得事象と、伝送事象との少なくとも1つを識別する(デジタル形式で表される)一連の記号である。記号は、特定の日時の機能又は表現し得るもので、好ましくは秒単位の正確さであり得る。代替的に、タイムスタンプは、事象感知と、データ取得と、伝送事象との少なくともいずれかに割り当てられた固有な記号の配列(例えば、記号のランダム又は疑似ランダムな配列)である。
【0018】
タイムスタンプ146の記号は、英数字記号と、1つ又は複数の数字記号と、1つ又はそれより多い数字記号、1つ又はそれより多い二進法の数字と、1つ又はそれより多い印字記号と、1つ又はそれより多いグラフィック記号と、それらの組み合わせとからなるか、あるいは含むものであり得る。
【0019】
タイムスタンプの絶対的(又は少なくとも相対的)な固有性により、(各パックデータの署名は他のパックデータの署名とは異なるという)生成された署名の固有性が保証され、データのコピー又は再伝送に基づいたなりすまし又は悪意のある攻撃の(本質的な)検出を提供する。
【0020】
計時ユニット13は、専用の時計を備るものとしてもよいし、あるいは感知装置1又はその構成要素(例えば、電子回路14)の(共有)時計に依拠するものとしてもよい。
【0021】
有利には、専用又は共有時計は、制御されている時計311、すなわち、原子時計と協定世界時(UTC)との少なくとも一方のような標準時に接続されている単一又は複数の伝送器によって伝送される同期信号(例えば、タイムコード)によって自動的に(すなわち、それ自体で、人の直接制御なしに)同期される時計であり得る。伝送器は、国又は地域の時間伝送器又はユニバーサル時間伝送器であり得る。複数伝送器は、全地球(衛星)測位システム(例、GPS、ガリレオ又はGLONASS(グロナス))のような時間同期を要する相対又は絶対位置決めシステムの一部であり得る。そのようなシステムが、制御された時計の、自動設定と自動同期との少なくとも一方に使用されてもよい。
【0022】
同期信号は、通信ユニット(15)と感知装置1の無線アンテナとの少なくとも一方を通じて、無線伝送機によって伝送されて取得される無線信号であり得る。
【0023】
代替的に又は補完的に、同期信号は、感知ユニット11と感知装置1との少なくとも一方の相対的又は絶対的位置決めシステム17によって提供可能であり、システムは、時間基準との時計同期を提供するように構成されている。好ましくは、相対的又は絶対的測位システム17は、とりわけ、GPSと、ガリレオと、GLONASS衛星コンステレーションとの少なくともいずれかに依拠する、全地球衛星測位システム(GNSS)である。
【0024】
代替的又は補完的に、同期信号は、通信ユニット15によってと、通信ユニット15と感知装置1との少なくともどちらかの接続インターフェースによってとの少なくとも一方によって提供される有線同期信号であり得る。
【0025】
ネットワーク接続可能な感知装置1は、有利には、スタンドアロン装置、すなわち、オフグリッドで給電される装置である。
【0026】
感知装置は、それゆえ、その能動的構成要素に電力を供給するエネルギー貯蔵モジュール18を備え得る。エネルギー貯蔵モジュール18は、とりわけ、蓄電池と電池との少なくとも一方の1つ又はそれより多くを含むか、又はそれらで構成されている、非充電式又は充電式の電力パックであり得る。
【0027】
感知装置は、感知装置を、とりわけその構成要素を、改変から保護する保護ケース又はケーシング10を備え得る。保護ケーシング10は、感知装置の構成要素を取り囲むものであり、有利には、ケーシングは、水密性と気密性との少なくとも一方のケーシングであり得る。
【0028】
本発明の装置は、複数の動作モードを予見し、利用可能なモードのいずれかで選択的に動作するように構成されている。アイデンティティ置換と鍵置換との少なくとも一方に基づく攻撃に対するロバスト性を高めるために、少なくとも、製造モードと、未プロビジョンモードと、プロビジョンモードと、寿命モードとを、感知装置1は予見かつ選択的に動作するべく構成されている(図5を参照)。
【0029】
図2は、製造モードで動作する感知装置1の例示的な流れ図を示す。
【0030】
製造モードでは、電子回路14は、固有コード149を感知装置1の記憶媒体12に、とりわけデジタル形式で、永続的に格納するように構成されている。
【0031】
特に、固有コード149は、記憶媒体12の専用記憶ユニットに格納可能であり、専用の記憶ユニットは、固有コード149の一意に一度だけの格納を提供する。
【0032】
固有コード149は、他の感知装置に使用される全てのコードの中で一意であることを保証する一連の記号である。
【0033】
記憶媒体12は、データ(デジタル形式で)の記憶を提供する任意の単一又は複数のユニット(例えば、電子回路又は装置の形態を有する)であり、データは、とりわけ、収集と、動作上感知装置1の構成要素への割り当てとの少なくとも一方がなされる。
【0034】
特に、固有コード149は、特に、感知装置1のシリアル番号(例えば、割り当てられた固有製造識別子)を提供することに応答して、製造装置2から提供可能である。感知装置1のシリアル番号は、感知装置1の製造中にハード書き込みしてもよいし、あるいは電子回路14によってアクセス可能な(すなわち、読み取り可能な)読み取り専用記憶媒体に記憶させてもよい。
【0035】
特に、感知装置1は、特に感知装置に初めて電力が、例えばエネルギー貯蔵モジュール18によって供給されたときに、製造装置2からの固有のコード149の受信を1回待つように(とりわけ電子回路14を介して)構成してもよい。
【0036】
図5に示されるように、感知装置1は、次の、
記憶媒体12における固有コード149の、受信と記憶との少なくとも一方をおこなうことと、
とりわけ通信ユニット15を介して、製造装置2によって提供されるスリープ信号20の受信と
の少なくともどちらかに応答して、製造モードから未プロビジョンモード(S1)に(自動的に)切り替えるように構成できる。
記憶媒体12における固有コード149の、受信と記憶との少なくとも一方をおこなうことと、
とりわけ通信ユニット15を介して、製造装置2によって提供されるスリープ信号20の受信と
の少なくともどちらかに応答して、製造モードから未プロビジョンモード(S1)に(自動的に)切り替えるように構成できる。
【0037】
感知装置1と製造装置2との間の通信は、通信ユニット15によって提供される、有線と無線との少なくともどちらかのデータリンク150に依拠してもよい。データリンク150は、単方向又は双方向であり得る(特に、製造装置2へのシリアル番号の伝送の場合)。
【0038】
【0039】
未プロビジョンモードでは、感知装置は、集められたデータ及びパックされたデータのタイムスタンプに署名するために使用される非対称鍵の対を生成するプロビジョニング信号の受信を待機するように構成されている。待機中、感知装置は、有利には、スリープモードで動作するように構成され、通信ユニット15は、受信専用モードで動作するように構成されている(すなわち、伝送は、許可されないか、動作されないかの少なくとも一方)。
【0040】
特に、電子回路14は、プロビジョニングコード31から構成されているプロビジョニング信号、又はプロビジョニングコード31を含むプロビジョニング信号の受信を待つように構成されていて、感知装置の固有コード149に一致するプロビジョニングコード31に応答して、
(デジタル)データに署名する秘密鍵142を生成することと、
前記秘密鍵142によって署名されているデータを検証する公開鍵143を差し引く(生成する)こととを
行う。
(デジタル)データに署名する秘密鍵142を生成することと、
前記秘密鍵142によって署名されているデータを検証する公開鍵143を差し引く(生成する)こととを
行う。
【0041】
固有コード149に一致するプロビジョニングコード31は、提供する装置の認証を提供する。
【0042】
より有利には、例えば、通信ユニット15を、プロビジョニング装置3との近距離無線通信151を一意に確立するべく構成する、例えば、例えば、感知装置とプロビジョニング装置を4cm以内に、好ましくはNFC通信プロトコルに従って、配置することにより、電子回路を、プロビジョニング信号が近距離無線通信(NFC)信号であるのを待つように構成してよい。
【0043】
近距離無線通信151は、通信ユニット15のNFC読取器を(一意に)有効化することによって作動されるようにしてよい。
【0044】
(NFC)プロビジョニング信号がウェイクアップするのを待っている間、感知装置がスリープモードにある限り、感知装置を遠隔攻撃しようとする試みは妨げられる。これにより、品質が保たてる期間は、より安全で長くなる。
【0045】
有利には、スリープモードでは、電力消費を低減するために、感知ユニットと計時ユニット13との少なくとも一方が無効にされる。これにより、品質が保たれる期間をさらに長く提供できる。
【0046】
未プロビジョンモードでは、通信ユニット15は、共有キー147に基づいて、前記プロビジョニング装置3とのセキュリティで保護されていない通信か、あるいは有利にはセキュリティで保護された通信を確立するように構成してよい。
【0047】
共有キー147は、記憶媒体12から取り出せるようにしてよい。
【0048】
代替的又は補完的に、共有キー147は、とりわけ、感知装置の秘密データ(例えば、固有コード149)及びプロビジョニング装置3によって提供される事前共有キー30に基づいて、電子回路14によって生成されるようにしてよい。好ましくは、電子回路14は、プロビジョニング装置が共有鍵を(直接)伝送せずに同じ共有鍵を生成することを許可する、関連した事前共有キーを提供するようにしてもよい。特に、共有鍵147は、ディフィーヘルマン(Difie-Hellman)鍵交換プロトコルに依拠して生成されるようにしてよい。
【0049】
生成された共有キー147は、それから(同じ)提供装置との後の通信を可能にするために、記憶媒体12に格納されるようにしてよい。
【0050】
これにより、感知装置と提供装置間の安全な接続の作成だけでなく、帯域外の事前共有キー交換を用いて、感知装置と提供装置間の信頼できるペアリングも可能になる。
【0051】
さらに、感知装置の固有のコード149に一致するプロビジョニングコード31に応答して、電子回路は、プロビジョニング装置3によって提供されるプロビジョニング設定32を受信するように構成されてよい。ひとたびプロビジョニング設定32が受信されると、とりわけ、受信した設定を記憶媒体に格納することと、受信されたプロビジョニング設定32に従って感知装置のコンポーネントをセットアップすることとの少なくとも一方によって、受信されたプロビジョニング設定32を適用するように、感知装置が構成されてよい。
【0052】
プロビジョニング設定32は、
パックされたデータ内で伝送される対象である感知装置識別子141と、
測定速度又は測定周波数、測定精度、感知しきい値、感知ユニットの感知要素の有効化をするしないなどの感知ユニットの設定と、
通信ユニットの設定と、
セットアップや同期信号などの、時計と計時モジュールとの少なくとも一方の設定と、
感知ユニットによって提供されるデータ、とりわけ、測定された動きと測定された加速度との少なくとも一方の検出しきい値の、測定と収集との少なくとも一方をトリガーするトリガーイベントと、
パッケージ情報と
の少なくとも1つを備え得る。
パックされたデータ内で伝送される対象である感知装置識別子141と、
測定速度又は測定周波数、測定精度、感知しきい値、感知ユニットの感知要素の有効化をするしないなどの感知ユニットの設定と、
通信ユニットの設定と、
セットアップや同期信号などの、時計と計時モジュールとの少なくとも一方の設定と、
感知ユニットによって提供されるデータ、とりわけ、測定された動きと測定された加速度との少なくとも一方の検出しきい値の、測定と収集との少なくとも一方をトリガーするトリガーイベントと、
パッケージ情報と
の少なくとも1つを備え得る。
【0053】
有利なことに、電子回路は、生成された公開鍵143をプロビジョニング装置に伝送して、サーバ5上で公開鍵143を有効化(アクティベート)するように構成してよい。
【0054】
感知装置1は、
秘密鍵142の生成と、
公開鍵143の控除と、
プロビジョニング設定32の適用と、
プロビジョニング装置3によって提供されるウェイクアップ信号33の受信と、
サーバ5での公開鍵143の起動と、
の少なくとも1つに応答して、未プロビジョンモードからプロビジョンモード(S2)に(自動的に)切り替えるように構成してよい。
秘密鍵142の生成と、
公開鍵143の控除と、
プロビジョニング設定32の適用と、
プロビジョニング装置3によって提供されるウェイクアップ信号33の受信と、
サーバ5での公開鍵143の起動と、
の少なくとも1つに応答して、未プロビジョンモードからプロビジョンモード(S2)に(自動的に)切り替えるように構成してよい。
【0055】
【0056】
プロビジョンモードでは、電子回路14は、感知ユニット11によって提供されるデータ110を集めるように構成されている。電子回路14は、さらに
デジタル署名144を提供するために、計時ユニット13によって提供される、集められたデータ110及びタイムスタンプ146に秘密鍵142によって署名して、
パックされたデータ140をサーバ5に直接又はゲートウェイ装置4を介して伝送するように構成されている。ここで、パックされたデータ140は、集められたデータ110と、タイムスタンプ146と、デジタル署名144と、公開鍵(143)と、最終的には装置識別子141とを備える。
デジタル署名144を提供するために、計時ユニット13によって提供される、集められたデータ110及びタイムスタンプ146に秘密鍵142によって署名して、
パックされたデータ140をサーバ5に直接又はゲートウェイ装置4を介して伝送するように構成されている。ここで、パックされたデータ140は、集められたデータ110と、タイムスタンプ146と、デジタル署名144と、公開鍵(143)と、最終的には装置識別子141とを備える。
【0057】
特に、プロビジョンモードでは、電子回路14は、とりわけ、
所与の収集規則と感知規則との少なくとも一方と、
プロビジョニング装置によって、提供されるプロビジョニング設定32と
の少なくとも一方に従って、感知ユニット11によって提供されるデータ110を収集するように構成されている。提供されるプロビジョニング設定32は、とりわけ、
測定とデータの収集との少なくとも一方をトリガーする、提供されたトリガーイベントと、
提供された検出しきい値と
の少なくとも一方に従って提供される。
所与の収集規則と感知規則との少なくとも一方と、
プロビジョニング装置によって、提供されるプロビジョニング設定32と
の少なくとも一方に従って、感知ユニット11によって提供されるデータ110を収集するように構成されている。提供されるプロビジョニング設定32は、とりわけ、
測定とデータの収集との少なくとも一方をトリガーする、提供されたトリガーイベントと、
提供された検出しきい値と
の少なくとも一方に従って提供される。
【0058】
有利には、電子回路14は、集められたデータを記憶媒体12に格納し、ゲートウェイ装置4とサーバ5との少なくとも一方によって提供される要求信号40を待つように構成されている。ゲートウェイ装置4とサーバ5との少なくとも一方によって提供される要求信号40に応答して、電子回路14は、
集められたデータ110(例えば、記憶媒体12に格納されたデータ)及びタイムスタンプ146に署名するように、かつ
パックされたデータ140を伝送するように
構成されている。
集められたデータ110(例えば、記憶媒体12に格納されたデータ)及びタイムスタンプ146に署名するように、かつ
パックされたデータ140を伝送するように
構成されている。
【0059】
特に、電子回路14は、感知装置1の加速度計19によって感知された動きと加速度との少なくとも一方に応答して、検出しきい値を超えていて、好ましくはプロビジョニング設定32によって提供されている、感知ユニット11によって提供されたデータを収集及び格納するように、電子回路を構成してよい。
【0060】
電子回路14は、ゲートウェイ装置4とサーバ5との少なくとも一方によって提供される確認信号41を待機し、記憶媒体12から伝送されたデータを削除するべく、確認応答信号41の受信に応答して、パックされたデータの安全な受信と署名検証との少なくとも一方を確認するように構成してよい。代替的又は補完的に、確認信号41は、サーバ5上の公開鍵の有効化(アクティベート)をチェックすることによって提供するようにしてよい。
【0061】
データ除去は、データ消去(すなわち、記憶媒体12上の選択されたデータを完全に(確実に)破壊するために複数の0及び複数の1を使って選択されたデータを上書きする)を包含し得る。
【0062】
パックされたデータ140は、感知装置とゲートウェイ装置との間に確立されたローカル通信152(すなわち、感知装置とゲートウェイ装置が最大1km離れて、好ましくは、通信ユニット15を用いて4cmから500メートルまでの範囲内)によってゲートウェイ装置に伝送してよい。ローカル通信は、ワイヤレスエリアネットワークと、無線ローカルエリア通信と、Bluetooth(登録商標)通信と、ANT通信と、(USB通信のような)有線通信と、あるいは左記の組み合わせとであり得る。
【0063】
代替的又は補完的に、パックされたデータ140は、感知装置とゲートウェイ装置及び/又はサーバ5との間に確立されたポイントツーポイント通信152によって伝送してよい。ここで、ポイントツーポイント通信は、少なくとも、(有線と無線との少なくとも一方のセルラーネットワーク、衛星ネットワーク、有線ネットワークのような)ポイントツーポイントのコンピュータネットワーク接続に依拠している。
【0064】
ゲートウェイ装置3は、署名144の検証の前又は有利に、(全体の)パックされたデータ140を、好ましくは安全な記録を提供するブロックチェーンを使用して、記憶のためにサーバ5に伝送してよい。サーバ上に、格納とブロックチェーン(すなわち、ブロックチェーンを使用して格納又は記録)化との少なくとも一方を行うと、パックされたデータ140は、とりわけ、パックされたデータ140で提供される署名144及び公開鍵143を用いて、感知装置1によって提供されるデータの完全性を常に検証できるユーザの処分にまかせてよい。
【0065】
図5に示すように、寿命終了モードでは、感知装置は(とりわけ電子回路を介して)、
とりわけ秘密鍵142を永続的に消去することにより、一時的又は永続的に無効にされるように構成されている。
とりわけ秘密鍵142を永続的に消去することにより、一時的又は永続的に無効にされるように構成されている。
【0066】
電子回路14は、特に、感知装置1の1つ又は複数の構成要素の(機械的及び/又は電子的)無効化をトリガーすることによって、感知装置1を永続的に無効にするように構成してよい。
【0067】
特に、電子回路14は、
例えば、電池の電極を短絡又は作動体を用いた、電池の破損又は破壊と、
電池の完全な放電と、
例えば、作動体を用いた、密閉されているケーシングの破損又は開放と、
例えば、過電圧を引き起こすか作動体を用いた、センサーユニットの破損又は破壊と、
例えば、過電圧を引き起こすか作動体を用いた、記憶媒体の破損又は破壊と、
感知装置(とりわけ記憶媒体上と、電子回路上との少なくとも一方)にある命令データであって、電子回路14の1つ又はそれより多いタスクを可能にするために、とりわけ電子回路14によって読み取り可能な命令データの破壊と、
例えば、過電圧を引き起こすか作動体を用いた、感知装置の電気接続、例えば、感知装置の他の構成要素への電子回路14に電気的に依拠している電気接続の中断又は短絡と、
の少なくともいずれか1つを起動してもよい。
例えば、電池の電極を短絡又は作動体を用いた、電池の破損又は破壊と、
電池の完全な放電と、
例えば、作動体を用いた、密閉されているケーシングの破損又は開放と、
例えば、過電圧を引き起こすか作動体を用いた、センサーユニットの破損又は破壊と、
例えば、過電圧を引き起こすか作動体を用いた、記憶媒体の破損又は破壊と、
感知装置(とりわけ記憶媒体上と、電子回路上との少なくとも一方)にある命令データであって、電子回路14の1つ又はそれより多いタスクを可能にするために、とりわけ電子回路14によって読み取り可能な命令データの破壊と、
例えば、過電圧を引き起こすか作動体を用いた、感知装置の電気接続、例えば、感知装置の他の構成要素への電子回路14に電気的に依拠している電気接続の中断又は短絡と、
の少なくともいずれか1つを起動してもよい。
【0068】
代替的に、感知装置1の安全な再利用を提供するために、寿命終了モードにおいて、電子回路14は、記憶媒体からデータ110を永続的に消去(収集)し、感知装置1を未プロビジョンモード(S31)に切り替えるように構成してよい。好ましくは、電子回路14は、公開鍵とプロビジョニング設定との少なくとも一方を永続的に(例えば、データ消去によって)消去するように構成してよい。
【0069】
特に、感知装置は、
装置、とりわけ条件設定装置によって提供される寿命終了信号の受信と、
(電子回路によって)与えられているエネルギー閾値を下回る、好ましくは(例えば、プロビジョニング設定32による)製造装置とプロビジョニング装置3との少なくとも一方によって提供されるエネルギー閾値を下回る、記憶モジュール18の残りのエネルギーの検出と、
感知装置1の改造検出器16によって提供される保護ケーシング10の改造の検出と
の少なくとも1つに応答して(特に電子回路によって)寿命終了モードに切り替わるように構成してよい。
装置、とりわけ条件設定装置によって提供される寿命終了信号の受信と、
(電子回路によって)与えられているエネルギー閾値を下回る、好ましくは(例えば、プロビジョニング設定32による)製造装置とプロビジョニング装置3との少なくとも一方によって提供されるエネルギー閾値を下回る、記憶モジュール18の残りのエネルギーの検出と、
感知装置1の改造検出器16によって提供される保護ケーシング10の改造の検出と
の少なくとも1つに応答して(特に電子回路によって)寿命終了モードに切り替わるように構成してよい。
【0070】
感知装置1はまた、(連結されている)プロビジョニング装置3によって提供されるプロビジョニングコード31の受信に応答して、寿命終了モードから、又はプロビジョンモードから未プロビジョンモード(S21、S31)に(自動的に)切り替えるように構成してもよい。ここで、プロビジョニングコード31は、感知装置の固有のコード149と一致する。これにより、感知装置1の信頼できる再初期化が許可される。
【0071】
感知装置1は、それゆえ、
永続的な固有コードが、秘密鍵と公開鍵の不正又は悪意のある生成又は再生成を防止して、
パックされたデータが、(測定のような)集められたデータの完全性を検証可能にする公開鍵を提供して、かつ
署名された各パックされたデータが、タイムスタンプによって一意なものに作られるので、
感知装置によって提供される物理的エンティティの測定値のよりロバストな伝送を提供する。
永続的な固有コードが、秘密鍵と公開鍵の不正又は悪意のある生成又は再生成を防止して、
パックされたデータが、(測定のような)集められたデータの完全性を検証可能にする公開鍵を提供して、かつ
署名された各パックされたデータが、タイムスタンプによって一意なものに作られるので、
感知装置によって提供される物理的エンティティの測定値のよりロバストな伝送を提供する。
【0072】
実際、パックされたデータは伝送ごとに異なるため、既に保存されているデータやブロックチェーンで記録されたパックされたデータを比較することで、サーバ上でデータ複製攻撃が簡単に検出される。タイムスタンプは、生成される署名が異なることを保証するため、パッケージは単純複製不能である。
【0073】
感知装置によって提供される公開鍵は、データの発信元を提供し、ID盗難攻撃を回避可能である。これは、プロビジョニング時に(関連する)秘密鍵が装置自体でランダムに生成されるためである(つまり、感知装置だけが秘密鍵を唯一知っていて、秘密鍵は固有である)。さらに、公開鍵はパックされたデータ内で伝送されるため、ユーザが情報が実際に装置によって署名されていることを確認可能である。この署名は、認証証明書として機能する。
【0074】
伝送のロバスト性は、サーバ5上で、感知装置1上で生成される公開鍵243、好ましくはプロビジョニング装置3によってサーバ5に伝送される公開鍵143を有効化(アクティベート)することによってさらに高められる。起動は、サーバ上とゲートウェイ装置上との少なくとも一方で、受信したパックデータ(とりわけその公開鍵)を検証するためと、受信したパックデータの格納とブロックチェーン化との少なくとも一方を許可するためとの少なくとも一方に使用可能である。
【符号の説明】
【0075】
1 感知装置
10 ケーシング
11 感知ユニット
110 データ
12 記憶媒体
13 計時ユニット
131 時計
14 電子回路
140 パックされたデータ
141 識別子(ID)
142 秘密鍵
143 公開鍵
144 署名
145 キーコード
146 タイムスタンプ
147 共有キー
148 シリアルナンバー
149 固有コード
15 通信ユニット
150 データリンク
151 近距離無線通信(NFC)データリンク
152 (無線)データリンク
16 改造検出器
17 全地球測位システム
18 エネルギー貯蔵モジュール
19 加速度計
2 製造装置
20 スリープ信号
3 プロビジョニング装置
30 事前共有鍵
31 プロビジョニングコード
32 プロビジョニング設定
33 ウェイクアップ信号
34 データリンク
4 ゲートウェイ装置
40 要求信号
41 確認信号
44 データリンク
5 サーバ
51 確認信号
S1、S21、S31 未プロビジョンモードに切り替え
S2 プロビジョンモードに切り替え
S3 寿命終了モードに切り替え
10 ケーシング
11 感知ユニット
110 データ
12 記憶媒体
13 計時ユニット
131 時計
14 電子回路
140 パックされたデータ
141 識別子(ID)
142 秘密鍵
143 公開鍵
144 署名
145 キーコード
146 タイムスタンプ
147 共有キー
148 シリアルナンバー
149 固有コード
15 通信ユニット
150 データリンク
151 近距離無線通信(NFC)データリンク
152 (無線)データリンク
16 改造検出器
17 全地球測位システム
18 エネルギー貯蔵モジュール
19 加速度計
2 製造装置
20 スリープ信号
3 プロビジョニング装置
30 事前共有鍵
31 プロビジョニングコード
32 プロビジョニング設定
33 ウェイクアップ信号
34 データリンク
4 ゲートウェイ装置
40 要求信号
41 確認信号
44 データリンク
5 サーバ
51 確認信号
S1、S21、S31 未プロビジョンモードに切り替え
S2 プロビジョンモードに切り替え
S3 寿命終了モードに切り替え
【図1】
【図2】
【図3】
【図4】
【図5】
【手続補正書】
【提出日】2021-07-13
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
所与の現象を少なくとも感知する感知ユニットと、デジタルデータを格納する記憶媒体と、
デジタルデータと信号との少なくとも一方を受信及び伝送する通信ユニットと、
タイムスタンプを提供する計時ユニットと、
記憶媒体と、感知ユニットと、通信ユニットと、計時ユニットとに、操作上接続されている、電子回路と
を備える感知装置において、
感知装置は、製造モードと、未プロビジョンモードと、プロビジョンモードと、寿命終了モードとを選択的に操作されるべく構成されていて、
製造モードにおいて、電子回路が永続的に固有コードを記憶媒体に格納するように構成されていて、
未プロビジョンモードにおいて、プロビジョニング装置からプロビジョニングコードを受信するように、電子回路が待つように構成されていて、かつ
前記感知装置の固有コードに一致しているプロビジョニングコードに応答して、データに署名する秘密鍵を生成して、公開鍵を控除するように、
プロビジョンモードにおいて、感知ユニットによって提供されるデータを集めるように、かつ
公開鍵で検証可能なデジタル署名を提供するように、秘密鍵で、集められたデータ及び計時ユニットにより提供されたタイムスタンプに署名するように
電子回路が構成されていて、かつ
パックされたデータをゲートウェイ装置とサーバとの少なくとも一方に伝送するように、電子回路が構成されていて、
パックされたデータが、集められたデータと、タイムスタンプと、デジタル署名と、公開鍵とを備え、
寿命終了モードにおいて、電子回路が永続的に秘密鍵を消去するように構成されている、感知装置。
【請求項2】
製造モードにおいて、電子回路は固有コードを製造装置から受信するように構成されている、請求項1に記載の感知装置。
【請求項3】
製造モードにおいて、電子回路はシリアル番号を製造装置に送るように構成されていて、好ましくは前記シリアル番号は、感知装置に割り当てられた固有の識別子である、請求項2に記載の感知装置。
【請求項4】
固有コードの記憶媒体への格納と、製造装置から提供されるスリープ信号の受付との少なくとも一方に応答して、製造モードから未プロビジョンモードに切り替えるように、感知装置が構成されている、請求項1に記載の感知装置。
【請求項5】
前記感知装置の固有コードに一致しているプロビジョニングコードに応答して、プロビジョニング装置により提供されるプロビジョニング設定を適用するように、電子回路が構成されていて、プロビジョニング設定は、
パックされたデータ内で伝送されることになっている感知装置識別子141と、
測定速度又は測定頻度と、測定精度と、感知しきい値と、感知ユニットの感知要素を有効化するしないのような、感知ユニットの設定と、
通信ユニットの設定と、
設定と同期信号との少なくとも一方のような、時計と計時ユニットとの少なくとも一方の設定と、
測定と、感知ユニットにより提供されるデータの収集との少なくとも一方を起動する起動イベントと、
パッケージ情報と
の少なくともいずれか1つを備える、請求項1に記載の感知装置。
【請求項6】
未プロビジョンモードにおいて、通信ユニットは、プロビジョニング装置との近距離通信を設立するように構成されている、請求項1に記載の感知装置。
【請求項7】
未プロビジョンモードにおいて、通信ユニットは、電子回路によって取得と生成との少なくとも一方がなされていてかつ記憶媒体に格納されている共有鍵に基づいて、プロビジョニング装置との、安全が確保されていない通信か、安全な通信を設立するように構成されている、請求項1に記載の感知装置。
【請求項8】
事前共有鍵をプロビジョニング装置から取得するように電子回路が構成されていて、共有鍵を事前共有鍵と、秘密データ又は固有コードとから生成するように電子回路が構成されている、請求項7に記載の感知装置。
【請求項9】
秘密鍵の生成と、公開鍵の控除と、プロビジョニング設定の適用と、プロビジョニング装置から提供されるウェイクアップ信号の受信との少なくとも1つに応答して、感知装置が未プロビジョンモードからプロビジョンモードに切り替えるように構成されてる、請求項1に記載の感知装置。
【請求項10】
プロビジョンモードにおいて、集められたデータを記憶媒体に格納するように、電子回路が構成されていて、
ゲートウェイ装置とサーバとの少なくとも一方により提供される要求信号に応答して、集められたデータ及びタイムスタンプに署名して、パックされたデータを伝送するように、電子回路が構成されている、請求項1に記載の感知装置。
【請求項11】
プロビジョンモードにおいて、パックされたデータの安全な受け取りを確認して、確認信号をゲートウェイ装置とサーバとの少なくとも一方から受信するように、電子回路は構成されていて、
確認信号の受付に応答して、集められたデータを記憶媒体から除去するように、電子回路は構成されている、請求項10に記載の感知装置。
【請求項12】
寿命終了信号の受付に応答して、感知装置が、寿命終了モードに切り替えるように構成されている、請求項1に記載の感知装置。
【請求項13】
プロビジョンモードにおいて、通信ユニットが、ゲートウェイ装置とのローカル通信又はゲートウェイ装置とのポイントツーポイント通信を設立するように構成されている、請求項1に記載の感知装置。
【請求項14】
寿命終了モードにおいて、感知ユニットにより提供された集められたデータを永続的に消去して、かつ感知装置を未プロビジョンモードに切り替え、及び/又は感知装置を永続的に作動不能にするように、電子回路が構成されている、請求項1に記載の感知装置。
【請求項15】
改造から保護する保護ケーシングをさらに備え、保護ケーシングの改造を検出するように構成されている改造検出器をさらに備え、好ましくは改造検出器は保護ケーシングに囲まれていて、改造の検出に応答して、感知装置は寿命終了モードに切り替わるように構成されている、請求項1に記載の感知装置。
【請求項16】
電子回路と、通信ユニットと、感知ユニットと、記憶媒体と、電子回路と、計時ユニットと、改造検出器と、全地球測位システムと、時計と、及び/又は無線アンテナとに電力を供給するエネルギー貯蔵モジュールをさらに備え、貯蔵モジュールの残りのエネルギーが所与のエネルギーしきい値を下回っていることを検出するように電子回路が構成されていて、
所与のエネルギーしきい値を下回っていることの検出に応じて、感知装置を寿命終了モードに切り替えるように電子回路が構成されている、請求項1に記載の感知装置。
【請求項17】
固有コードを、感知装置の記憶媒体に永続的に格納するステップと、固有コードに一致しているプロビジョニングコードに応答して、秘密鍵及び公開鍵を感知装置上に生成するステップであって、固有コードは好ましくはプロビジョニング装置により提供される、秘密鍵及び公開鍵を生成するステップと、
感知ユニットにより提供される集められたデータと、計時ユニットにより提供されるタイムスタンプに感知装置上で秘密鍵によって署名することでデジタル署名を提供するステップと、
集められたデータと、タイムスタンプとデジタル署名と公開鍵とを備えるパックされているデータを、サーバに伝送するステップと、それから
感知装置の保護ケーシングの改造の検出と、感知装置の貯蔵モジュールの残りエネルギーが所与のエネルギーしきい値を下回っていることの検出と、寿命終了信号の受信との少なくとも1つに応答して、秘密鍵を感知装置上から永続的に消去するステップと
を備える、感知装置からデータを伝送する方法。
【請求項18】
サーバ上での、感知装置により生成された公開鍵の有効化をさらに備え、好ましくは前記有効化が、プロビジョニング装置を通ってサーバへの公開鍵の伝送を含む、請求項17に記載の方法。
【国際調査報告】