-
Die vorliegende Erfindung betrifft ein Authentifizierungs- und Berichterstattungssystem zur Authentifizierung eines Benutzers an einer Ladevorrichtung und zur Berichterstattung über die Verwendung derselben, insbesondere ein sicheres Ende-zu-Ende-Authentifizierungs- und Berichterstattungssystem zwischen einer Datenbankeinheit und einer Ladevorrichtung. Weiterhin bezieht sich die vorliegende Erfindung auf ein Verfahren zur Authentifizierung eines Benutzers an einer Ladevorrichtung und zur Berichterstattung über die Verwendung derselben. Des Weiteren betrifft die vorliegende Erfindung die Verwendung eines Authentifizierungs- und Berichterstattungssystems und eine Ladevorrichtung.
-
In der Praxis erfordert eine Ladevorrichtung oder Vorrichtung, die Elektrofahrzeuge auflädt und Benutzern den verbrauchten Strom abrechnet und in Rechnung stellt, eine Kommunikation zwischen einem zentralen System (über das der Zugang verwaltet wird, die Rechnungen konsolidiert werden und die Zahlungen erfolgen) und den einzelnen Ladepunkten oder Vorrichtungen.
-
Im Allgemeinen wird bei Ladevorrichtungen, die von einer bestimmten Gruppe von Benutzern verwendet werden und die für den geladenen Strom bezahlen, eine Echtzeit-Client-Server-Architektur (die eine IP-Verbindung erfordert) mit einem Protokoll namens Open Charge Point Protocol (OCPP) verwendet. Mehrere Hersteller von Ladevorrichtungen unterstützen ihre eigenen proprietären Steuerungsprotokolle, manchmal anstelle von oder ansonsten zusätzlich zu OCPP. Allen diesen Lösungen ist gemeinsam, dass sie einen zentralen Server benötigen, der der Ladevorrichtung mitteilt, ob ein bestimmter Benutzer laden darf (oder, wenn der Benutzer den Ladevorgang über eine Anwendung startet, die direkt mit dem zentralen Server kommuniziert, teilt der Server der Ladevorrichtung einfach mit, den Ladevorgang zu starten). Das bedeutet, dass jede Installation, die dieses System verwendet, eine infrastrukturseitige Internetverbindung benötigt - entweder eine pro Ladevorrichtung (im Falle eines eingebetteten 3G/4G-Funkmoduls in der Ladevorrichtung) oder eine Verbindung, die von allen Ladevorrichtungen gemeinsam genutzt wird (möglich z. B. mit einer DSL-Leitung zum Standort (DSL = Digital subscriber line)).
-
OCPP und ähnliche proprietäre Protokolle umgehen das Problem des Benutzerzugangs in Gebieten ohne Mobilfunk-Netzabdeckung, indem sie die Ladevorrichtung um ein RFID-Lesegerät (RFID = Radio-frequency identification) erweitern und dem Benutzer eine RFID-Karte geben. Bei Vorlage einer RFID-Karte kann die Ladevorrichtung beim OCPP-Server abfragen, ob der Karteninhaber eine Ladesitzung oder einen Ladevorgang starten darf.
-
Die weit verbreiteten Echtzeit-Kommunikationssysteme, die dies ermöglichen (Standards wie OCPP, gesendet über IP-Netzwerke, unter Verwendung von physikalischen Verbindungen wie 3/4/5G-Funk, DSL, usw.) haben jedoch mehrere große Nachteile:
- - Betriebskosten: 3/4/5G-SIMs kosten mindestens mehrere €/Monat, je nachdem, wie viele Daten genutzt werden. Eine DSL-Leitung zu einem Installationsort kann etwa 20 €/Monat kosten.
- - Installationskosten/Aufwand: Es können mehrere Besuche an einem Standort erforderlich sein, um den am besten geeigneten Kommunikationskanal zu bestimmen, mit dem Installationstechniker zurechtzukommen und mit ihm in Kontakt zu treten sowie unterstützende Hardware wie Router und Schränke zu installieren. Auch die Konfiguration von Ladegeräten für die Verbindung mit einem zentralen System unter Verwendung moderner Standards wie OCPP ist komplex und erfordert einen geschulten Techniker.
- - Benutzerfreundlichkeit: Es ist eine inhärente Voraussetzung dieser Architektur, dass sich der Benutzer mit seiner mobilen Vorrichtung oder einer RFID-Karte an den Ladepunkten authentifiziert. In einer Tiefgarage hat der Benutzer häufig keine Mobilfunk-Netzabdeckung, so dass er nicht in der Lage ist, seine mobile Anwendung zu nutzen, um auf sein
-
Ladegerät zuzugreifen. Lösungen wie RFID-Karten lösen zwar das Netzabdeckungsproblem, haben aber eine schlechte Verbraucherakzeptanz (eine Karte zum Laden herausfischen zu müssen, ist eine schreckliche Benutzererfahrung) und erhöhen die Kosten der Hardware der Ladepunkte (Hinzufügung eines RFID-Lesegeräts).
-
Es ist eine Aufgabe der vorliegenden Erfindung, ein System und ein Verfahren der eingangs genannten Art weiterzuentwickeln, insbesondere so, dass die Authentifizierung und die Berichterstattung auch ohne Mobilfunk-Netzabdeckung am Ort der Ladevorrichtung benutzerfreundlicher, zuverlässiger und sicherer ist.
-
Diese Aufgabe in Bezug auf das Authentifizierungs- und Berichterstattungssystem wird durch das System nach Anspruch 1 gelöst. Vorteilhafte Ausführungsformen der vorliegenden Erfindung in Bezug auf das System und das Verfahren sind in den abhängigen Ansprüchen 2 bis 10 und auch nachfolgend beschrieben.
-
Gemäß der vorliegenden Erfindung wird ein Authentifizierungs- und Berichterstattungssystem zur Authentifizierung eines Benutzers an einer Ladevorrichtung und zur Berichterstattung über die Verwendung derselben bereitgestellt. Das Authentifizierungs- und Berichterstattungssystem weist Folgendes auf:
- - mindestens eine Datenbankeinheit, die Folgendes aufweist:
- - mindestens ein Kryptographiemodul, das dafür ausgelegt ist, Authentifizierungselemente zu signieren und/oder zu verschlüsseln und Ladeberichtelemente zu entschlüsseln, und
- - mindestens ein Sende- und Empfangsmodul, das dafür ausgelegt ist, verschlüsselte Authentifizierungselemente zu senden und verschlüsselte Ladeberichtelemente zu empfangen;
- - mindestens eine Ladevorrichtung, die Folgendes aufweist:
- - mindestens ein drahtloses Kommunikationsmodul,
- - mindestens eine Verschlüsselungs- und Entschlüsselungseinheit,
- - mindestens ein Speichermodul, und
- - mindestens ein Steuermodul,
wobei die mindestens eine Ladevorrichtung dafür ausgelegt ist, die Authentifizierungselemente zu entschlüsseln, einen Ladevorgang einer angeschlossenen aufladbaren Vorrichtung zu steuern, verschlüsselte Ladeberichtelemente bereitzustellen und einen Zeitstempelparameter eines gesendeten verschlüsselten Ladeberichtelements oder einer Gruppe von gesendeten verschlüsselten Ladeberichtelementen zu speichern; und - mindestens eine mobile Vorrichtung, die dafür ausgelegt ist, die Authentifizierungselemente von der Datenbankeinheit auf die Ladevorrichtung und die Ladeberichtelemente von der Ladevorrichtung auf die Datenbankeinheit zu übertragen.
-
Die Erfindung basiert auf dem Grundgedanken, dass die Ladevorrichtungen in die Lage versetzt werden, autorisierte Benutzer zu authentifizieren und Ladeberichte an eine zentrale Datenbankeinheit oder einen Backend-Server ohne eine infrastrukturseitige Internetverbindung oder mobile Netzwerkverbindung zurückzusenden. Mit anderen Worten, das System arbeitet teilweise ohne jegliche Netzwerkverbindung, d. h. das System ist auch in einem teilweise abgekoppelten Zustand betriebsfähig, was darauf zurückzuführen ist, dass verschlüsselte Authentifizierungselemente zur Freigabe und Entsperrung der Ladestation für einen authentifizierten Benutzer gesendet und verschlüsselte Ladeberichtelemente zur Sicherstellung eines korrekten Abrechnungsvorgangs empfangen werden können. Das System ist auch in einer Umgebung ohne Internetverbindung, wie z.B. in Tiefgaragen oder in Bereichen mit schlechter Internet- oder Mobilfunkverbindung, einsetzbar. Es ist so konfiguriert, dass es eine unabhängige Verbindung zur Ladevorrichtung aufbaut und über diese unabhängige Verbindung den notwendigen Datentransfer zur Authentifizierung und Abrechnung durchführt. Sobald die Internetverbindung wieder verfügbar ist (z. B. über WiFi oder über das Mobilfunknetz), verbindet sich die mobile Vorrichtung des Systems wieder mit der Serverinfrastruktur des Gesamtsystems, um den Gesamtprozess, insbesondere den Abrechnungsprozess, abzuschließen. Weiterhin erlaubt die asynchrone (nicht auf Echtzeit basierende) Natur des Systems, dass die mobile Vorrichtung des Benutzers die Ladevorrichtung mittels eines Einweg-Authentifizierungselements oder Tokens, das auf der mobilen Vorrichtung des Benutzers gespeichert wurde, solange eine mobile Netzwerkverbindung verfügbar war, aktivieren kann, auch wenn die mobile Vorrichtung in der Nähe der Ladevorrichtung außerhalb der Mobilfunk-Netzabdeckung ist, wie z.B. in einer Tiefgarage.
-
Folglich kann diese Lösung mit einer mobilen Anwendung, die auf der mobilen Vorrichtung des Benutzers installiert ist, verwendet werden, und zwar unabhängig davon, ob es eine Mobilfunk-Netzabdeckung an dem Ort gibt, an dem die Ladevorrichtung installiert ist. Dementsprechend profitiert das System von der Tatsache, dass keine WiFi- und/oder 3G/4G/5G-Funkhardware, kein OCPP-Client und keine RFID-Karte und -Lesegerät benötigt werden. Außerdem können die Ladevorrichtungen mit kleineren Prozessoren ausgestattet werden, da keine Kombination aus TCP/IP-Netzwerkstack und OCPP-Client-Implementierung benötigt wird, was die Kosten der Vorrichtung senkt.
-
Weiterhin arbeitet diese Lösung ohne Kosten- und Installationsaufwand. Darüber hinaus wird die Komplexität des gesamten Systemlayouts reduziert. Die Notwendigkeit einer Internetverbindung auf der Infrastrukturseite der Ladevorrichtung ist nicht mehr zwingend erforderlich, da das System auch ohne Netzwerkverbindung funktioniert.
-
Was das System der vorliegenden Erfindung im Vergleich zu den oben beschriebenen Nachteilen bekannter Systeme unterscheidet, ist die Art und Weise, wie es Public-Key-Kryptographie verwendet, um den Zugriff auf eine entfernte, nicht angeschlossene Ressource aus der Ferne bereitzustellen und zu sichern, und die Rückgabe von Ladeberichtsdaten von dieser Ladevorrichtung oder Ressource zu garantieren, indem der weitere Zugriff beschränkt wird, bis sichere Ladeberichte an die Datenbankeinheit zurückgegeben sind.
-
Unter anderem authentifiziert die Datenbankeinheit oder der Backend-Server Benutzer, kommuniziert mit OCPP-Ladegeräten, generiert Einweg-Authentifizierungselemente, verarbeitet Ladeberichtelemente und kann monatlich Rechnungen generieren sowie die Abrechnung der vorgesehenen Zahlungsarten verwalten.
-
Vorzugsweise und in einer möglichen Ausführungsform hat die Datenbankeinheit eine hierarchische Struktur mit mindestens zwei Ebenen, wobei die obere Ebene auf einer High-Level-Echtzeit-Datenbankplattform wie Firebase basiert (könnte aber auch auf jeder anderen geeigneten Plattform realisiert werden), die die gesamte direkte Benutzerkommunikation, Authentifizierungsverfahren, Persistenz oder Datenspeicherung und die Kernanwendungslogik, wie Benutzerverwaltung, Ladevorgangsbestimmung, Rechnungserstellung oder Abrechnung, etc. abwickelt. Die untere Ebene kann auf einer OCPP-Plattform basieren, die die gesamte Kommunikation mit OCPP-Wallboxen abwickelt, wobei die untere Ebene High-Level-Nachrichten an/von der High-Level-Firebase-Plattform weiterleitet.
-
Die Signierung des Kryptographiemoduls wird u.a. durch Verschlüsseln erreicht. Die Signierung verfolgt den Zweck, dass der Empfänger eines von der Datenbankeinheit gesendeten Elements validieren kann, dass der Absender des Elements den privaten Schlüssel hatte, der einer lokal gespeicherten Kopie des öffentlichen Schlüssels des Absenders entspricht, und dass während der Datenübertragung keine Daten verändert wurden, wobei das Verschlüsseln verhindert, dass Zwischenparteien oder Entitäten die übertragenen Daten lesen können.
-
Das Sende- und Empfangsmodul kann so konfiguriert sein, dass es eine drahtlose und/oder drahtgebundene Netzwerkverbindung zum Senden und Empfangen von Elementen oder Nachrichten herstellt. Es ist auch denkbar, dass das Sende- und Empfangsmodul ein Verbindermodul umfasst, das das Sende- und Empfangsmodul in die Lage versetzt, eine drahtlose und/oder drahtgebundene Netzwerkverbindung herzustellen. Der Verbinder kann entweder in das Sende- und Empfangsmodul integriert oder durch eine permanente oder temporäre drahtlose und/oder drahtgebundene Verbindung daran angeschlossen sein.
-
Das System gemäß der vorliegenden Erfindung ist mit OCPP-fähigen Ladevorrichtungen und/oder einer Ladevorrichtung betreibbar, wie sie weiter unten beschrieben ist. Insbesondere ist das System (auch) in der Lage, OCPP (oder äquivalente, damit zusammenhängende Ladegerätprotokolle) zu ersetzen oder zu verdrängen.
-
Zum Aufbau einer mobilen Netzwerkverbindung zwischen der mobilen Vorrichtung und der Datenbankeinheit können drahtlose 3G/4G/5G- oder WiFi-Netzwerkverbindungen oder dergleichen verwendet werden.
-
Das Authentifizierungselement oder Token ist quasi ein Einweg-„Gutschein“, der von der Datenbankeinheit für eine bestimmte Kombination aus Benutzer und Ladevorrichtung generiert wird, zu der dem Benutzer Zugriff gewährt wird. Jedes Authentifizierungselement kann von einem bestimmten Benutzer für einen Ladevorgang an der vorgesehenen Ladevorrichtung verwendet werden.
-
Das Ladeberichtelement wird bei Beendigung des Ladevorgangs von der Ladevorrichtung zur Rückübertragung an die Datenbankeinheit generiert und enthält alle Informationen, die erforderlich sind, um dem Benutzer den durchgeführten Ladevorgang in Rechnung zu stellen, darunter u.a. die verbrauchte Energiemenge, die Länge des Ladevorgangs, einen Ladevorrichtungs-Identifikationsparameter, die reale (Uhr-)Zeit, zu der der Ladevorgang gestartet/gestoppt wurde, einen dem Ladevorgang zugeordneten Benutzer-Identifikationsparameter und einen Sequenzparameter des zum Auslösen des Ladevorgangs verwendeten Authentifizierungselements.
-
Bei der Ladevorrichtung kann es sich um einen Ladepunkt, eine Ladebuchse oder eine andere Vorrichtung handeln, die an eine wiederaufladbare Vorrichtung angeschlossen werden kann und diese mit einer Ressource wie z. B. Strom auflädt.
-
Die mobile Vorrichtung kann ein Smartphone, ein Laptop, ein Tablet oder dergleichen sein. Der Begriff mobile Vorrichtung gilt für jedes mobile Element, d. h. auch für ein Fahrzeug wie z. B. ein Elektroauto.
-
Die Verschlüsselungs- und Entschlüsselungseinheit kann eine einzelne Einheit sein, die sowohl ein Verschlüsseln als auch Entschlüsseln bereitstellt, oder die Einheit kann ein Verschlüsselungsmodul und ein Entschlüsselungsmodul umfassen.
-
Eine aufladbare Vorrichtung kann an die Ladevorrichtung angeschlossen werden, indem eine physische Steckverbindung mittels eines Ladekabels hergestellt wird. Aber auch andere Verbindungen sind denkbar, wie z. B. die magnetfeldinduzierte, drahtlose Aufladung.
-
Die Kommunikation zwischen Datenbankeinheit, mobiler Vorrichtung mit (mobiler) Anwendung und Ladevorrichtung kann asynchron und opportunistisch im Hintergrund durchgeführt werden. Möglicherweise ist die einzige Ausnahme von der angepassten Hintergrundkommunikation die Kommunikation im Zusammenhang mit einer vom Benutzer ausgelösten Operation mittels der auf der mobilen Vorrichtung laufenden Anwendung, wie z. B. das Beginnen eines Ladevorgangs, was im Vordergrund und synchron erfolgt. Im Endeffekt bedeutet dies, dass alle Daten, d. h. insbesondere Ladeberichtelemente, die auf der Ladevorrichtung gespeichert sind, welche an die Datenbankeinheit gebunden ist, opportunistisch an eine mobile Vorrichtung gesendet werden, wenn ein Benutzer in die Reichweite der Ladevorrichtung kommt. Ebenso werden alle Daten von einer Ladevorrichtung, die auf einer an die Datenbankeinheit gebundenen mobilen Vorrichtung zwischengespeichert sind, an diese Datenbankeinheit gesendet, sobald eine brauchbare mobile Netzwerkverbindung (und damit die Datenbankeinheit) verfügbar wird. Darüber hinaus werden Daten, d. h. insbesondere Authentifizierungselemente auf der Datenbankeinheit, die auf eine mobile Vorrichtung warten, wann immer möglich gesendet, da sie wahrscheinlich auf der mobilen Vorrichtung in einer Situation benötigt werden, in der keine mobile Netzwerkverbindung zu der Datenbankeinheit verfügbar ist.
-
In einer anderen möglichen Ausführungsform sind die Authentifizierungselemente Einweg-Elemente, die jeweils für einen Ladevorgang verwendbar sind.
-
Die Einweg-Authentifizierungselemente oder Token können einem bestimmten Benutzer und/oder einer bestimmten Ladevorrichtung zugeordnet werden.
-
Gemäß einem Kernaspekt der vorliegenden Erfindung wird, nachdem ein erstes Einweg-Authentifizierungselement einem Benutzer zur Verfügung gestellt wurde, ein zweites oder weiteres Einweg-Authentifizierungselement nur im Austausch gegen ein Ladeberichtelement oder ein Bündel von Ladeberichtelementen bereitgestellt, das sich auf das vorhergehende Authentifizierungselement bzw. die vorhergehenden Authentifizierungselemente bezieht.
-
In einer weiteren möglichen Ausführungsform umfasst ein Authentifizierungselement Folgendes:
- - einen Ladevorrichtungs-Identifikationsparameter,
- - einen Sequenzparameter,
- - einen Benutzer-Identifikationsparameter, und
- - einen Bestätigungszeitstempel eines Ladeberichtelements.
-
Das System kann ein oder mehrere Authentifizierungselemente beim Systemstart bereitstellen. Die genaue Anzahl ist ein Systemparameter, der das Gesamtrisiko im Falle eines böswilligen Benutzers bestimmt. Typische Zahlen wären 1, 2 oder 3, aber auch jede andere Zahl.
-
Durch den Ladevorrichtungs-Identifikationsparameter wird das Authentifizierungselement einer bestimmten Ladevorrichtung zugeordnet. Ebenso ordnet der Benutzer-Identifikationsparameter das Authentifizierungselement einem bestimmten Benutzer zu, so dass zum Beispiel bei Verwendung des Authentifizierungselements zur Initiierung eines Ladevorgangs der Benutzer zum Adressaten der Rechnung wird.
-
Der Sequenzparameter wird von der Ladevorrichtung im Rahmen der Validierung des Authentifizierungselements überprüft, um sicherzustellen, dass ein neues, nachfolgendes Authentifizierungselement für den Ladevorgang verwendet wird. Dazu wird geprüft, ob der Wert des Sequenzparameters größer ist als der Wert des letzten in der Ladevorrichtung gespeicherten Sequenzparameters. Der Wert der Sequenzparameter kann also einfach eine ganze Zahl sein.
-
Es können Authentifizierungselemente erzeugt werden, die mit einer oder mehreren Ladevorrichtungen verwendet werden.
-
Sobald die Ladevorrichtung bei der Validierung des Authentifizierungselements den Bestätigungszeitstempel registriert, verwirft sie alle zuvor geöffneten Ladeberichtelemente vom Speichermodul, da der Zeitstempel als Bestätigung dient, dass die zuvor geöffneten Ladeberichtelemente sicher auf die Datenbankeinheit zur Rechnungserstellung gesendet wurden.
-
In einer anderen möglichen Ausführungsform umfasst das Authentifizierungselement darüber hinaus Konfigurationsdaten einer zugeordneten Ladevorrichtung.
-
Konfigurationsdaten können alle Werte sein, die von der Ladevorrichtung in Bezug auf die angeschlossene aufladbare Vorrichtung des Benutzers vor Beginn des Ladevorgangs eingestellt werden müssen.
-
In einer weiteren möglichen Ausführungsform synchronisiert sich die mindestens eine mobile Vorrichtung immer dann mit der Datenbankeinheit, wenn eine Mobilfunk-Netzabdeckung verfügbar ist.
-
Um sicherzustellen, dass der Benutzer stets ein gültiges Authentifizierungselement auf der mobilen Vorrichtung hat, mit dem er ggf. einen Ladevorgang an der Ladevorrichtung durchführen kann, auf deren Installationsseite ggf. keine Mobilfunk-Netzverbindung besteht, synchronisiert sich die mobile Vorrichtung regelmäßig mit der Datenbankeinheit, wenn eine ausreichende Mobilfunk-Netzverbindung besteht.
-
Es kann vorgesehen sein, dass die Synchronisation in regelmäßigen Zeitabständen erfolgt, wenn die mobile Netzwerkverbindung ausreichend ist, oder mindestens einmal, damit das nächste gültige Authentifizierungselement auf die mobile Vorrichtung übertragen wird.
-
In einer weiteren möglichen Ausführungsform wird die Ladevorrichtung vorab mit der Datenbankeinheit gepaart bzw. zu einem Paar zusammengefasst.
-
„Vorab gepaart“ bedeutet, dass während des Herstellungsprozesses von Ladevorrichtungen einerseits der öffentliche Schlüssel aus jeder hergestellten Ladevorrichtung extrahiert (oder anderweitig aufgezeichnet) und in einer Datenbankeinheit gemäß der vorliegenden Erfindung gespeichert oder aufgezeichnet wird. Zum anderen wird der öffentliche Schlüssel der Datenbankeinheit vorab in das Speichermodul der jeweiligen Ladevorrichtungen geladen, insbesondere in den nichtflüchtigen Bereich des Speichermoduls.
-
Weiterhin kann die vorab erfolgende Paarbildung darin bestehen, dass eine Zuordnung zwischen einer bestimmten gefertigten Ladevorrichtung und einem bestimmten Benutzer in der Datenbankeinheit gespeichert wird, bevor die jeweilige Ladevorrichtung an den Benutzer ausgeliefert wird. Dies führt zu einer Ladevorrichtung, die bereits so konfiguriert ist, dass sie von Anfang bis Ende funktioniert, sobald sie eingeschaltet wird, so dass kein geschulter Techniker für die Einrichtung und Konfiguration des Produkts benötigt wird. Mit anderen Worten, die gelieferte Ladevorrichtung ist eine „Plug-and-Play“-Vorrichtung, die nur noch an den Strom angeschlossen werden muss, da es nichts Spezifisches zu konfigurieren gibt, wie z. B. Kommunikationseinstellungen oder -kanäle, und die notwendigen Verschlüsselungsschlüssel, um eine Ende-zu-Ende-Verbindung mit der Ladevorrichtung herzustellen, wurden bereits zum Zeitpunkt der Herstellung extrahiert, wodurch die Notwendigkeit des Austauschs von Schlüsseln während eines Einrichtungsprozesses vor Ort vermieden wird.
-
In noch einer weiteren Ausführungsform verwenden das Kryptographiemodul der Datenbankeinheit und das Verschlüsselungs- und Entschlüsselungsmodul eine Public-Key-Kryptographie.
-
Sowohl die Ladevorrichtung als auch die Datenbankeinheit sind mit einem Public-Key-Kryptographiemodul ausgestattet, wobei vorzugsweise symmetrische Verschlüsselungsschlüssel verwendet werden.
-
In einer weiteren möglichen Ausführungsform umfasst die mobile Vorrichtung eine Anwendung, die zum Zusammenwirken mit der Datenbankeinheit und der Ladevorrichtung konfiguriert ist.
-
Es sind verschiedene Anwendungen vorgesehen, die jeweils für eine unterschiedliche Benutzergruppe bestimmt sind:
- Im Falle von Benutzern einer aufladbaren Vorrichtung, wie z. B. Fahrern eines Elektrofahrzeugs, kann die mobile Anwendung Folgendes umfassen:
- - Beginnen eines Ladevorgangs, wobei unterschieden werden muss, ob die Ladevorrichtung eine Netzwerkverbindung hat oder nicht. Wenn das Ladegerät an ein Netzwerk angeschlossen ist, z. B. an das Internet über eine drahtlose 3G/4G/5G-Verbindung oder eine LAN-Verbindung, wird der Ladevorgang direkt von der Datenbankeinheit über diese Verbindung freigegeben. Im Falle einer unzureichenden Netzabdeckung wird ein gültiges Authentifizierungselement an die Ladevorrichtung gesendet, um den Ladevorgang zu starten. Es versteht sich jedoch von selbst, dass das Authentifizierungselement auch bei bestehender Netzwerkverbindung verwendet werden kann, also zum Starten des Ladevorgangs per Übertragung verwendet werden kann. Dementsprechend ist die Initiierung des Ladevorgangs durch die Datenbankeinheit bei einer bestehenden Netzwerkverbindung optional (z.B. kann ein Einweg-Element auf der mobilen Vorrichtung mit oder ohne Netzwerkverbindung verfügbar sein, und es kann unabhängig davon verwendet werden, ob irgendeine Art einer Internetverbindung besteht oder nicht);
- - den Ladevorgang beenden, wobei die gleichen Bedingungen gelten wie für das Beginnen des Ladevorgangs;
- - Zahlungsarten eingeben/aktualisieren;
- - die Ladevorgang-Historie zusammen mit den Rechnungen einsehen; und
- - den Ladevorgang überwachen.
-
Im Falle des Eigentumsverwalters kann die Anwendung, die eine mobile oder eine Web-Anwendung sein kann, Folgendes umfassen:
- - neu installierte Ladevorrichtungen konfigurieren;
- - neue Benutzer einladen;
- - bestehende Benutzer entfernen;
- - Berechtigungen zur Nutzung bestimmter Ladevorrichtungen hinzufügen/entfernen;
- - die Nutzung von Ladevorrichtungen des Eigentums überwachen; und
- - Preise (falls zutreffend) für die Nutzung der Ladevorrichtungen des Eigentums festlegen.
-
Weiterhin kann eine Back-Office-Administrator-Anwendung bereitgestellt werden, die Folgendes aufweist:
- - Onboarding, Bearbeitung und/oder Pflege von Eigentum und Ladevorrichtungen aufseiten dieses Eigentums;
- - Einladen von Eigentums-Administratoren für ein bestimmtes Eigentum; und
- - Bereitstellen von Kundenservice, wie z. B. Abrechnung oder Behandlung von Ausnahmen bei der Rechnungserstellung.
-
Gemäß einer weiteren möglichen Ausführungsform ist die Anwendung ferner so konfiguriert, dass sie den Ladevorgang startet und stoppt, den Ladevorgang überwacht und Ladeberichtelemente anzeigt.
-
Es ist weiterhin möglich, dass die mobile Vorrichtung und/oder die Anwendung nicht vertrauenswürdig sind.
-
„Nicht vertrauenswürdig“ bedeutet, dass die mobile Vorrichtung und insbesondere die auf der mobilen Vorrichtung laufende Anwendung als unsicher angesehen werden. Dementsprechend kann nicht garantiert werden, dass die Anwendung nicht von böswilligen Parteien aufgerufen, missbraucht oder nachgemacht wird.
-
Durch die Verwendung von verschlüsselten Authentifizierungselementen sowie von verschlüsselten Ladeberichtelementen ist es jedoch unmöglich, die durch das System gemäß der vorliegenden Erfindung bereitgestellten Ende-zu-Ende-Garantien zu umgehen, selbst wenn man uneingeschränkten Zugriff hat, um die mobile Vorrichtung und/oder die mobile Anwendung zu untersuchen, zu modifizieren oder zu unterwandern.
-
Die Aufgabe der vorliegenden Erfindung kann ferner durch ein Verfahren zur Authentifizierung eines Benutzers an einer Ladevorrichtung und zur Berichterstattung über die Verwendung derselben gelöst werden, umfassend die Schritte:
- - Erzeugen mindestens eines ersten verschlüsselten Authentifizierungselements in einer Datenbankeinheit;
- - Übertragen des ersten verschlüsselten Authentifizierungselements auf eine Ladevorrichtung über eine erste mobile Vorrichtung;
- - Entschlüsseln des ersten verschlüsselten Authentifizierungselements in der Ladevorrichtung;
- - Validieren des entschlüsselten Authentifizierungselements, um einen ersten Ladevorgang auszulösen;
- - Erzeugen eines ersten verschlüsselten Ladeberichtelements in der Ladevorrichtung nach dem Beenden des ersten Ladevorgangs;
- - Speichern des ersten verschlüsselten Ladeberichtelements in einem Speichermodul der Ladevorrichtung;
- - Übertragen des ersten verschlüsselten Ladeberichtelements auf die Datenbankeinheit über die erste mobile Vorrichtung oder eine andere mobile Vorrichtung; und
- - Bereitstellen eines zweiten verschlüsselten Authentifizierungselements nach dem Verarbeiten des ersten verschlüsselten Ladeberichtelements.
-
Das Verfahren ist insbesondere dazu ausgebildet, das oben beschriebene System zu betreiben. Es hat daher die gleichen Vorteile wie das oben beschriebene System.
-
Da im Allgemeinen der Benutzer und seine mobile Vorrichtung als nicht vertrauenswürdig angesehen werden, kann nicht sichergestellt werden, dass Daten für abgeschlossene Ladevorgänge zurückgegeben werden. Ein böswilliger Benutzer könnte die Anwendung modifizieren (oder manipulieren, indem er sie zwischen Ladevorgängen löscht und neu installiert), um zu verhindern, dass Ladeberichtelemente an die Datenbankeinheit zurückgegeben werden, und so die Rechnungserstellung unterlaufen. Das Verfahren gemäß der vorliegenden Erfindung basiert daher auf der Idee, dass nur Einweg-Authentifizierungselemente als Gegenleistung für vollendete Ladeberichtelemente bereitgestellt werden. Daher ist die maximale Haftung pro Benutzer und Ladevorrichtung durch das maximal zulässige Ladevorgangsvolumen multipliziert mit der Anzahl der zulässigen ausstehenden Authentifizierungselemente (typischerweise ein oder zwei) begrenzt. Auf diese Weise wird die weitere Nutzung des Dienstes durch einen Benutzer solange beeinträchtigt, bis er (oder ggf. ein anderer Benutzer des Systems) die Nutzungsinformationen für den vorherigen Ladevorgang bereitstellt.
-
Die einzelnen Schritte lassen sich in die folgenden zwei Gruppen unterteilen:
- - Sichere, offline erfolgende Authentifizierung:
- Die Datenbankeinheit generiert ein Einweg-Authentifizierungselement, das jeweils für einen einzelnen Ladevorgang mit festgelegter (maximaler) Länge und Volumen mit der vorgesehenen Ladevorrichtung, für die es generiert wurde, ausgetauscht werden kann. Die Datenbankeinheit generiert für jede Kombination aus berechtigtem Benutzer und Ladevorrichtung eine bestimmte Anzahl (typischerweise 1 oder 2) dieser Authentifizierungselemente, und die auf der mobilen Vorrichtung des Benutzers ausgeführte mobile Anwendung synchronisiert alle verfügbaren Authentifizierungselemente für den angemeldeten Benutzer, wann immer sie eine Mobilfunk-Netzabdeckung hat. Damit ist gewährleistet, dass vollberechtigte Benutzer über Einweg-Authentifizierungselemente für die Ladevorrichtung(en) verfügen, für deren Benutzung sie autorisiert sind, auch wenn sie am Standort der Ladevorrichtungen keinen Zugang zum Mobilfunknetz haben.
- Ein Authentifizierungselement wird erzeugt, indem ein (unsicheres) Klartext-Authentifizierungselement erstellt wird, das einen Benutzer-Identifikationsparameter, einen Ladevorrichtungs-Identifikationsparameter, einige Konfigurationsdaten der Ladevorrichtung, eine Sequenznummer und einen Ladebericht-Bestätigungszeitstempel enthält. Dieses Authentifizierungselement wird dann signiert (dies ermöglicht dem Empfänger, zu überprüfen, dass der Absender den privaten Schlüssel hatte, der der lokal gespeicherten Kopie des öffentlichen Schlüssels des Absenders entspricht, und dass keine Daten geändert wurden) und verschlüsselt (was verhindert, dass zwischengeschaltete Parteien die Daten lesen können).
- Wenn das Authentifizierungselement der bezeichneten Ladevorrichtung vorgelegt wird, entschlüsselt die Ladevorrichtung die Daten, überprüft die Signatur und leicht die Sequenznummer mit einer lokalen Tabelle von Benutzern und zuletzt gespeicherten Sequenznummern ab. Wenn die Signatur validiert wird und die Sequenznummer größer ist als die zuletzt gespeicherte Sequenznummer, wird der Ladevorgang gestartet (und die gespeicherte Sequenznummer für diesen Benutzer wird auf die vorgelegte Sequenznummer aktualisiert).
- - Sichere, offline erfolgende Abrechnung:
- Am Ende eines Ladevorgangs (unabhängig davon, ob dieser explizit von einem Benutzer mit der mobilen Anwendung beendet wurde, oder implizit aufgrund einer abgekoppelten aufladbaren Vorrichtung oder einer Überschreitung der Ladevorgangsparameter wie z.B. der maximalen Zeit oder des maximalen Volumens) bereitet die Ladevorrichtung ein sicheres, signiertes Ladeberichtelement vor und generiert es, das alle Daten enthält, die für die Abrechnung des Benutzers für diesen Ladevorgang erforderlich sind. Die Ladevorrichtung sendet ein Paket aller unbestätigten Ladeberichtelemente an jeden verfügbaren Systembenutzer, dessen mobile Vorrichtung sich zu irgendeinem Zweck mit der Ladevorrichtung verbindet (Beenden des Ladevorgangs, Beginnen eines neuen Ladevorgangs usw.). Die Ladevorrichtung behält einen Bestätigungszeitstempel, der es ihr ermöglicht, gespeicherte Ladeberichtelemente, die bereits von der Datenbankeinheit empfangen wurden, zu verwerfen (und nicht mehr zu versuchen, sie zurückzusenden). Mit anderen Worten, um die Integrität der Ladeberichtelemente zu gewährleisten, wird ein Ladeberichtelement erzeugt und über die mobile Vorrichtung an die Datenbankeinheit gesendet, die Datenbankeinheit entschlüsselt das Ladeberichtelement und speichert das Element. Nachdem das Element aufgezeichnet wurde, erzeugt die Datenbankeinheit eine Bestätigungsnachricht und/oder einen Zeitstempel für die Ladevorrichtung, dass sie das Ladeberichtelement erfolgreich verarbeitet hat. Erst nach Erhalt dieser Bestätigung darf die Ladevorrichtung alle gespeicherten Ladeberichtelemente verwerfen. Jede mobile Vorrichtung, die Zugriff auf diese Ladevorrichtung hat, greift diese Nachricht auf, und sobald sie sich in der Nähe der Ladevorrichtung befindet, wird die mobile Vorrichtung die Bestätigungsnachricht an die Ladevorrichtung weiterleiten. Die Ladevorrichtung empfängt die Bestätigung von der Datenbankeinheit, verwirft die gespeicherten Ladeberichtelemente und erzeugt eine weitere Nachricht, dass die Bestätigung erfolgreich war. Diese Nachricht dient dazu, der Datenbankeinheit und den mobilen Vorrichtungen mitzuteilen, damit aufzuhören, die Bestätigungsnachrichten (aus dem vorherigen Schritt) an die Ladevorrichtung zu senden, da die Bestätigung bereits verarbeitet wurde. Zusätzlich oder alternativ können, wenn die Ladevorrichtung das nächste Einweg-Authentifizierungselement mit einem Bestätigungszeitstempel empfängt, alle anstehenden Ladeberichtelemente vor dem Bestätigungszeitstempel verworfen werden.
-
Um zu verhindern, dass das Authentifizierungselement durch einen Dritten manipuliert wurde, ist mindestens einer der Schritte des Entschlüsselns und Validierens des gesendeten Authentifizierungselements in der Ladevorrichtung zwingend erforderlich.
-
In einer weiteren möglichen Ausführungsform des Verfahrens umfasst das Validieren des entschlüsselten Authentifizierungselements das Überprüfen, ob ein Sequenzparameter des entschlüsselten Authentifizierungselements höher ist als ein zuletzt im Speichermodul der Ladevorrichtung gespeicherter Sequenzparameter.
-
Zusätzlich oder alternativ umfasst das Validieren des entschlüsselten Authentifizierungselements das Überprüfen, ob ein Ladevorrichtungs-Identifikationsparameter des entschlüsselten Authentifizierungselements mit einem im Speichermodul der Ladevorrichtung gespeicherten Ladevorrichtungs-Identifikationsparameter übereinstimmt.
-
Dies gewährleistet eine weitere Sicherheitsprüfung vor der Freigabe des Ladevorgangs, um unbefugten Zugriff zu vermeiden und um zu verhindern, dass der Benutzer seine aufladbare Vorrichtung versehentlich an die falsche Ladevorrichtung anschließt.
-
In einer weiteren möglichen Ausführungsform wird beim Entschlüsseln ein gemeinsames Kennwort verwendet, das sich aus einem öffentlich-privaten Diffie-Hellman-(ECDH)-Schlüsselpaar mit elliptischer Kurve ableitet. Mit anderen Worten, beim Entschlüsseln wird ein gemeinsames Kennwort verwendet, das sich aus dem öffentlichen ECDH-Schlüssel der Datenbankeinheit und dem privaten ECDH-Schlüssel der Ladevorrichtung ableitet, welches auf einem Kryptochip gespeichert werden kann, d. h. für eine mobile Anwendung nicht zugänglich ist. Weiterhin kann das gemeinsame Kennwort auch in einem Kryptochip-Hardware-Slot gespeichert sein, der darüber hinaus zur Entschlüsselung von Elementen, die von der Datenbankeinheit empfangen werden, verwendet wird.
-
Die Aufgabe der vorliegenden Erfindung kann des Weiteren durch eine Ladevorrichtung gelöst werden, die Folgendes aufweist:
- - mindestens ein drahtloses Kommunikationsmodul, das dafür ausgelegt ist, Ladeberichtelemente zu senden und Authentifizierungselemente zu empfangen;
- - mindestens ein Speichermodul, das dafür ausgelegt ist, einen Sequenzparameter von empfangenen Authentifizierungselementen zu speichern;
- - mindestens ein Steuermodul, das dafür ausgelegt ist, einen Ladevorgang einer an die Ladevorrichtung angeschlossenen, aufladbaren Vorrichtung zu steuern; und
- - mindestens eine Verschlüsselungs- und Entschlüsselungseinheit, die dafür ausgelegt ist, verschlüsselte Authentifizierungselemente zu entschlüsseln und Ladeberichtelemente zu verschlüsseln.
-
Möglicherweise kann die Ladevorrichtung des Weiteren ein vorprogrammiertes öffentlich-privates Schlüsselpaar oder ein selbst generiertes öffentlich-privates Schlüsselpaar umfassen.
-
In einer weiteren möglichen Ausführungsform der Ladevorrichtung verwendet das drahtlose Kommunikationsmodul Bluetooth Low Energy.
-
Damit eine Verbindung zu einer mobilen Vorrichtung hergestellt werden kann, muss die Ladevorrichtung mit einem drahtlosen Kommunikationskanal ausgestattet sein. Bevorzugt wird Bluetooth Low Energy (BLE) verwendet, da es in jedem Smartphone weitgehend verfügbar ist und einfach und kostengünstig in einer Ladevorrichtung implementiert werden kann. Es sollte aber klar sein, dass der drahtlose Kommunikationskanal nicht auf BLE beschränkt ist. Es können auch andere drahtlose Kommunikationskanäle vorgesehen sein, wie zum Beispiel Nahfeldkommunikation (NFC), Ultrabreitband (UWB) oder dergleichen.
-
Die Erfindung bezieht sich ferner auf eine Verwendung eines wie oben definierten Authentifizierungs- und Berichterstattungssystems.
-
Im Folgenden werden weitere Vorteile und Ausführungsformen der vorliegenden Erfindung in Verbindung mit den beigefügten Zeichnungen beschrieben. Dabei beziehen sich die Ausdrücke „links“, „rechts“, „unten“ und „oben“ auf die Zeichnungen in einer Orientierung der Zeichnungen, die das normale Lesen der Bezugszeichen ermöglicht. Die Zeichnungen sollen die Ausführungsformen nicht unbedingt maßstabsgetreu darstellen. Vielmehr sind die Zeichnungen, wo es zur Erläuterung sinnvoll ist, in schematischer und/oder leicht verzerrter Form ausgeführt. Die in der Beschreibung, in den Zeichnungen und in den Ansprüchen offenbarten Merkmale der Erfindung können einzeln oder in beliebiger Kombination für jede Weiterführung der Erfindung wesentlich sein. Der Grundgedanke der Erfindung ist nicht auf die genaue Form oder die Details der gezeigten und nachfolgend beschriebenen, bevorzugten Ausführungsformen oder auf einen Gegenstand beschränkt, der im Vergleich zum Gegenstand der Ansprüche eingeschränkt wäre. Der Einfachheit halber sind gleiche oder ähnliche Teile oder Teile mit gleichen oder ähnlichen Funktionen im Folgenden mit den gleichen Bezugszeichen bezeichnet.
-
In den Zeichnungen zeigen:
- 1 eine Ausführungsform des erfindungsgemäßen Authentifizierungs- und Berichterstattungssystems in Verbindung mit einer Ausführungsform des erfindungsgemäßen Verfahrens;
- 2 eine Ausführungsform des Verfahrens, das mit dem in 1 gezeigten System ausgeführt wird; und
- 3 eine Ausführungsform des Authentifizierungselements, das in dem in 1 gezeigten System verwendet wird.
-
1 zeigt eine Ausführungsform des Authentifizierungs- und Berichterstattungssystems gemäß der vorliegenden Erfindung in Verbindung mit einer Ausführungsform des Verfahrens gemäß der vorliegenden Erfindung.
-
Das System 10 umfasst eine Datenbankeinheit 20.
-
In der Ausführungsform umfasst die Datenbankeinheit 20 ihrerseits ein Kryptographiemodul 22, ein Speichermodul 24 und ein drahtloses Sende- und Empfangsmodul 26. In weiteren Ausführungsformen können einige oder alle dieser Module 22 bis 26 aus separaten Einheiten bestehen oder anderweitig als separate Einheiten ausgebildet sein.
-
Das System 10 umfasst ferner eine mobile Vorrichtung 30.
-
In der Ausführungsform umfasst die mobile Vorrichtung 30 eine mobile Anwendung 32.
-
Das System 10 umfasst des Weiteren eine Ladevorrichtung 40.
-
In der Ausführungsform umfasst die Ladevorrichtung 40 einen Verbinder 41, ein drahtloses Kommunikationsmodul 44, ein Speichermodul 42, eine Verschlüsselungs- und Entschlüsselungseinheit 46 und ein Steuermodul (nicht dargestellt).
-
Der Verbinder 41 ist an eine aufladbare Vorrichtung (nicht dargestellt) angeschlossen, vorzugsweise über eine drahtlose Daten- oder Netzwerkverbindung.
-
Zwischen der Datenbankeinheit 20 und der mobilen Vorrichtung 30 besteht zumindest zeitweise eine Netzwerkverbindung 27, vorzugsweise drahtlos, die in bekannter Weise hergestellt wird. In dieser Ausführungsform sind die Datenbankeinheit 20 und die mobile Vorrichtung 30 an ein gemeinsames Netzwerk angeschlossen, das zum Herstellen einer Datenverbindung genutzt wird, insbesondere das Internet und/oder eine mobile Netzwerkverbindung. In verschiedenen Ausführungsformen können drahtlose und drahtgebundene Verbindungen vorgesehen sein, wobei drahtlose Verbindungen bevorzugt sind. Über die Netzwerkverbindung wird ein in der Datenbankeinheit 20 generiertes und verschlüsseltes Authentifizierungselement 28 an die mobile Vorrichtung 30 gesendet.
-
Zwischen der mobilen Vorrichtung 30 und der Ladevorrichtung 40 wird zumindest temporär eine drahtlose Verbindung 34, wie z.B. über BLE, aufgebaut, um das Authentifizierungselement 28 von der mobilen Vorrichtung 30 an die Ladevorrichtung 40 zu senden oder zu übertragen.
-
Des Weiteren wird die drahtlose Verbindung zwischen der Ladevorrichtung 40 und der mobilen Vorrichtung 30 dafür genutzt, ein Ladeberichtelement 48 zu übertragen, welches weiterhin über eine mobile Netzwerkverbindung von der mobilen Vorrichtung 30 auf die Datenbankeinheit 20 übertragen wird.
-
Unter Bezugnahme auf 2 wird eine Ausführungsform dessen beschrieben, wie das Verfahren auszuführen ist. Diese basiert auf der vorstehend erwähnten Ausführungsform des Systems, das wiederum in den folgenden Erläuterungen näher spezifiziert wird.
-
In der Ausführungsform wird ein einzelner Ladevorgang einer aufladbaren Vorrichtung eines Benutzers beschrieben. An entsprechender Stelle wird jedoch darauf hingewiesen, inwieweit das Verfahren auch weitere Schritte bzw. Zwischenschritte umfasst, wenn mehrere Benutzer ihre jeweiligen aufladbaren Vorrichtungen mit dem System gemäß der vorliegenden Erfindung aufladen wollen.
-
In einem Schritt S1 wird auf Anforderung eines Benutzers ein Authentifizierungselement 28 in der Datenbankeinheit 20 erzeugt. Es ist aber auch denkbar, dass die Datenbankeinheit 20 bereits ein entsprechendes Authentifizierungselement im Speichermodul 24 gespeichert hat, das beispielsweise bei der Registrierung des Benutzers hinterlegt wurde.
-
Wie in 3 dargestellt, kann ein Authentifizierungselement 28, das vorzugsweise als Datenstruktur ausgebildet ist, einen Benutzer-Identifikationsparameter 50, einen Ladevorrichtungs-Identifikationsparameter 52, eine Sequenznummer 56 und einen Ladebericht-Bestätigungszeitstempel 58 umfassen. Weiterhin kann das Authentifizierungselement 28 einige Konfigurationsdaten 54 umfassen.
-
Wiederum Bezug nehmend auf 2 wird in einem Schritt S2 das Authentifizierungselement 28 dann im Kryptographiemodul 22 der Datenbankeinheit 20 signiert, was es dem Empfänger, d. h. der Ladevorrichtung 40, ermöglicht, zu validieren, dass der Absender, also die Datenbankeinheit 20, den privaten Schlüssel hatte, der der lokal gespeicherten Kopie des öffentlichen Schlüssels des Absenders entspricht, und dass keine Daten verändert wurden. Außerdem ist das Authentifizierungselement 28 im Kryptographiemodul 22 verschlüsselt, was verhindert, dass zwischengeschaltete Parteien die Daten oder den Inhalt des Authentifizierungselements 28 lesen können. Beide Sicherheitsmaßnahmen können auch als unabhängige Verfahrensschritte betrachtet werden.
-
In einem nachfolgenden Schritt S3 wird das signierte und verschlüsselte Authentifizierungselement 28 zunächst an die mobile Vorrichtung 30 des Benutzers übertragen, auf der vorzugsweise eine mobile Anwendung 32 zur Betreibung des Ladevorgangs betriebsbereit installiert ist, sobald eine ausreichend gute mobile Netzwerkverbindung, vorzugsweise eine drahtlose Netzwerkverbindung 27, zwischen der Datenbankeinheit 20 und der mobilen Vorrichtung 30 hergestellt ist. Dadurch erhält der Benutzer ein gültiges Authentifizierungselement 28, um den Ladevorgang an einer bestimmten Ladevorrichtung 40 zu starten, und kann sich zu der bestimmten Ladevorrichtung 40 begeben, die im Falle einer Tiefgarage üblicherweise an einem Ort installiert ist, an dem keine direkte Netzwerkverbindung zwischen der Datenbankeinheit 20 und der mobilen Vorrichtung 30 hergestellt werden kann. Daher wird eine drahtlose Verbindung 34, vorzugsweise eine drahtlose BLE-Verbindung, zwischen der mobilen Vorrichtung 30 und der Ladevorrichtung 40 aufgebaut, und das Authentifizierungselement 28 wird über diese drahtlose Verbindung 34 an die Ladevorrichtung 40 übertragen.
-
In einem Schritt S4 wird das empfangene Authentifizierungselement 28 zunächst von der Verschlüsselungs- und Entschlüsselungseinheit 46 der Ladevorrichtung 40 entschlüsselt. Weiterhin wird das entschlüsselte Authentifizierungselement 28 in der Verschlüsselungs- und Entschlüsselungseinheit 46 validiert, indem geprüft wird, ob der im Authentifizierungselement 28 enthaltene Ladevorrichtungs-Identifikationsparameter 50 mit der Ladevorrichtung 40 übereinstimmt, auf die das Authentifizierungselement 28 übertragen wurde und an die die aufladbare Vorrichtung des Benutzers angeschlossen ist oder angeschlossen werden soll. Außerdem wird bei der Validierung geprüft, ob der ebenfalls im Authentifizierungselement 28 enthaltene Sequenzparameter 56 größer oder höher ist als der im Speichermodul 42 der Ladevorrichtung 40 gespeicherte Sequenzparameter. Dadurch wird unter anderem sichergestellt, dass das Authentifizierungselement 28 des letzten Ladevorgangs nicht erneut zum Starten des Ladevorgangs verwendet wird, sondern dass ein nachfolgendes Authentifizierungselement 28 von der Datenbankeinheit 20 erzeugt wurde.
-
Wenn das Authentifizierungselement 28 die Prüfungen in Schritt S4 erfolgreich durchlaufen hat, kann in einem Schritt S5 der Ladevorgang gestartet werden. Dieser Vorgang kann z. B. beginnen, sobald der Benutzer seine aufladbare Vorrichtung an die Ladevorrichtung 40 anschließt. Im Falle eines Elektrofahrzeugs würde dies bedeuten, dass der Benutzer das Ladekabel in die Ladevorrichtung 40 einsteckt. Es ist aber auch möglich, dass der Ladevorgang über die mobile Anwendung 32 an der mobilen Vorrichtung 30 durch Benutzereingabe gestartet wird. Der Ladevorgang endet, wenn z. B. der Benutzer das Beenden des Ladevorgangs durch Eingabe in die mobile Anwendung 32 auslöst oder die Verbindung zwischen der aufladbaren Vorrichtung und der Ladevorrichtung 40 trennt oder wenn die maximale Ladezeit oder das maximale Ladevolumen erreicht ist.
-
Nach Beenden des Ladevorgangs wird in einem Schritt S6 in der Ladevorrichtung 40 ein Ladeberichtelement 48 erzeugt, das alle erforderlichen Daten enthält, um dem Benutzer den Ladevorgang in Rechnung zu stellen.
-
In einem folgenden Schritt S7 wird das Ladeberichtelement 48 dann in der Ver- und Entschlüsselungseinheit 46 verschlüsselt, so dass dieses Element 48 auch bei der Übertragung an die Datenbankeinheit 20 gegen Manipulationen oder dergleichen geschützt ist.
-
In einem Schritt S8 wird das verschlüsselte Ladeberichtelement 48 über die drahtlose Verbindung 34 auf die mobile Vorrichtung 30 übertragen. Vorzugsweise wird nicht nur das letzte Ladeberichtelement 48, sondern alle im Speichermodul der Ladevorrichtung 40 gespeicherten und noch nicht gesendeten Berichte an die mobile Vorrichtung 30 gesendet. Dabei ist es nicht wichtig, dass das Ladeberichtelement 48 genau an die mobile Vorrichtung 30 gesendet wird, die das entsprechende Authentifizierungselement 28 an die Ladevorrichtung 40 gesendet hat, um den Ladevorgang auszulösen. Vielmehr wird das Ladeberichtelement 48 bzw. das Berichtsbündel an die mobile Vorrichtung 30 gesendet, die daraufhin eine drahtlose Verbindung 34 zur Ladevorrichtung 40 herstellt, nachdem der Ladevorgang abgeschlossen oder beendet ist. Vom Endgerät wird dann das Ladeberichtelement 48 bzw. das Berichtsbündel über die drahtlose Netzwerkverbindung 27 an die Datenbankeinheit 20 gesendet, sobald diese Verbindung 27 hergestellt ist, d. h. sobald eine ausreichende Mobilfunk-Netzabdeckung vorhanden ist.
-
In einem Schritt S9 wird dann das von der Datenbankeinheit 20 empfangene verschlüsselte Ladeberichtelement 48 bzw. das Bündel von verschlüsselten Berichten im Kryptographiemodul 22 der Datenbankeinheit 20 entschlüsselt.
-
Schließlich wird in einem Schritt S10, der auch in zwei separate Teilschritte unterteilt sein kann, das entschlüsselte Ladeberichtelement 48 bzw. das Bündel von Berichten verarbeitet, so dass einerseits die Rechnung(en) an den/die Benutzer ausgestellt werden kann/können und andererseits das/die nächste(n) Authentifizierungselement(e) 28 für einen oder mehrere weitere Ladevorgänge erzeugt werden kann/können. Darüber hinaus erzeugt die Datenbankeinheit 20 nach der Erfassung bzw. Speicherung des Ladeberichtelements 48 eine Bestätigungsnachricht und/oder einen Zeitstempel für die Ladevorrichtung 40, dass sie das Ladeberichtelement 48 erfolgreich verarbeitet hat. Erst nach Erhalt dieser Bestätigungsnachricht und/oder des Zeitstempels darf die Ladevorrichtung 40 alle im Speichermodul 42 gespeicherten Ladeberichtelemente 48 verwerfen. Jede mobile Vorrichtung 30, die Zugriff auf diese Ladevorrichtung 40 hat, greift diese Nachricht auf, und sobald sie sich in der Nähe der Ladevorrichtung 40 befindet, wird die mobile Vorrichtung die Bestätigungsnachricht auf die Ladevorrichtung übertragen. Die Ladevorrichtung 40 empfängt also die Bestätigung von der Datenbankeinheit 20, verwirft das/die gespeicherte(n) Ladeberichtelement(e) 48 und erzeugt eine weitere Nachricht, dass die Bestätigung erfolgreich war. Diese Nachricht dient dazu, der Datenbankeinheit 20 und der/den mobilen Vorrichtung(en) 30 mitzuteilen, dass sie aufhören sollen, die Bestätigungsnachrichten an die Ladevorrichtung 40 zu senden, da die Bestätigung bereits verarbeitet wurde.
-
Bezugszeichenliste
-
- 10
- System
- 20
- Datenbankeinheit
- 22
- Kryptographiemodul
- 24
- Speichermodul
- 26
- drahtloses Sende- und Empfangsmodul
- 27
- drahtlose Netzwerkverbindung
- 28
- Authentifizierungselement
- 30
- mobile Vorrichtung
- 32
- mobile Anwendung
- 34
- drahtlose Verbindung
- 40
- Ladevorrichtung
- 41
- Verbinder
- 42
- Speichermodul
- 44
- drahtloses Kommunikationsmodul
- 46
- Verschlüsselungs- und Entschlüsselungseinheit
- 48
- Ladeberichtelement
- 50
- Ladevorrichtungs-Identifikationsparameter
- 52
- Benutzer-Identifikationsparameter
- 54
- Konfigurationsdaten
- 56
- Sequenzparameter
- 58
- Bestätigungszeitstempel eines Ladeberichtelements
- S1
- Anfordern und Erzeugen eines Authentifizierungselements an einer Datenbankeinheit
- S2
- Verschlüsseln des Authentifizierungselements in der Datenbankeinheit
- S3
- drahtloses Übertragen des Authentifizierungselements auf die Ladevorrichtung mittels einer mobilen Vorrichtung
- S4
- Entschlüsseln und Validieren des Authentifizierungselements in der Ladevorrichtung
- S5
- Beginnen und Beenden eines Ladevorgangs
- S6
- Erzeugen eines Ladeberichtelements
- S7
- Verschlüsseln des Ladeberichtelements
- S8
- drahtloses Übertragen des Authentifizierungselements auf die Datenbankeinheit mittels der mobilen Vorrichtung
- S9
- Entschlüsseln des Ladeberichtelements
- S10
- Rechnungserstellung und Erzeugen eines nachfolgenden Authentifizierungselements