-
Der
Gegenstand betrifft ein Verfahren zur Kommunikation zwischen einer
Ladestation und einem Elektrofahrzeug sowie eine Vorrichtung als
auch ein System zur Kommunikation zwischen einer Ladestation und
einem Elektrofahrzeug.
-
Die
Verbreitung elektrisch betriebener Fahrzeuge wird vermutlich in
naher Zukunft rapide zunehmen. Mit der Verbreitung von Elektrofahrzeugen,
die mit einem Elektromotor betrieben werden, sollte jedoch sichergestellt
werden, dass diese in einfachster Weise mit Energie versorgt werden
können.
Hierzu sollte eine funktionierende Infrastruktur zur Verfügung gestellt
werden.
-
Insbesondere
sollte die Möglichkeit
gegeben werden, in öffentlichen
Bereichen Energie für
Elektrofahrzeuge zu beziehen. Bei den bisher verfügbaren Reichweiten
von Elektrofahrzeugen zwischen 50 und einigen 100 km ist es angebracht,
dass auch außerhalb
des häuslichen
Umfeldes ein Laden der Fahrzeuge möglich ist. Hierfür sollten
in öffentlichen
Bereichen Ladestationen zur Verfügung
gestellt werden, um eine stete Verfügbarkeit von Energie für Elektrofahrzeuge
durch ein Versorgungsnetz zur Verfügung zu stellen. Diese Verfügbarkeit
von elektrische Energie bzw. von Ladestationen ist ein entscheidendes
Kriterium für
die Akzeptanz von Elektrofahrzeugen.
-
Bei
in öffentlichen
Bereichen installierten Ladestationen muss jedoch sichergestellt
werden, dass der Kunde die bezogene Energie bezahlt. Auch sollte sichergestellt
werden, dass der Kunde vor dem Beziehen elektrischer Energie Kenntnis über die
zu erwartenden Kosten hat. Entsprechend des herkömmlichen Tankvorgangs sollte
der Kunde unmittelbar vor dem Aufladen der Batterie wissen, welche
Kosten ihn erwarten. So sollte dem Kunden beispielsweise der Preis
für eine
Kilowattstunde bekannt sein. Darüber hinaus
sollte sichergestellt sein, dass der Kunde auch tatsächlich nur
die Energiemenge in Rechnung gestellt bekommt, die er auch bezogen
hat.
-
Hierbei
ist besonders auf die Integrität
und Authentizität
der sowohl zwischen Fahrzeug und Ladestation als auch zwischen Ladestation
und Abrechnungszentrale übertragenen
Abrechungsdaten, wie beispielsweise Strommenge, Zählerstände, Ladezeiten
und Nutzeridentifikation, zu achten. Zum Einen ist es notwendig,
dass die Daten über
die Lademenge als auch den Kunden unverfälscht bleiben. Zum Anderen
ist für
Abrechnungszwecke eine Übertragung von
Messdaten (Abrechnungsdaten) wie Energiemenge, Zählerstände, Ladezeiten, Nutzeridentifikationen,
von der Ladestation an ein Abrechnungssystem vor Manipulationen
zu sichern. Der Fahrer eines Fahrzeugs muss sicherstellen und überprüfen können, dass
ihm nur die von ihm bezogene Energie in Rechnung gestellt wird.
-
Aus
diesem Grunde lag dem Gegenstand die Aufgabe zugrunde, ein Verfahren
sowie eine Vorrichtung zur Verfügung
zu stellen, welche eine sichere Kommunikation von Messdaten einer
Ladestation gewährleisten.
-
Diese
Aufgabe wird gegenständlich
durch ein Verfahren nach Anspruch 1 gelöst.
-
Beim
Ladevorgang bezieht das Elektrofahrzeug elektrische Energie von
der Ladestation. In der Ladestation wird diese elektrische Energie
mit Hilfe eines Messgerätes
(Zählers)
gemessen. Während des
Ladevorgangs als auch beim Abschluss des Ladevorgangs ist es notwendig,
dass der Benutzer des Fahrzeugs Kenntnisse über die bezogene Energiemenge
erhält.
-
Um
es dem Fahrzeug bzw. dem Nutzer des Fahrzeugs zu ermöglichen,
zumindest die bezogene Energiemenge zu bestätigen und zu überprüfen, wird das
elektronische Signieren und Übermitteln
des Datenpakets von der Ladestation an das Fahrzeug vorgeschlagen.
Im Nachfolgenden werden die Begriffe „Signatur”, „signieren” etc im Sinne einer elektronischen,
datentechnischen Signatur verwendet. Auch kann durch das elektronische
Signieren des Datenpakets sichergestellt werden, dass dieses nicht
mehr nachträglich
manipuliert wird.
-
Die
Ladestation erfasst neben der Energiemenge zumindest auch eine Identifikation
des Messgeräts.
Dies kann eine Gerätenummer
sein. Die Identifikation des Messgeräts kann auch die zusätzliche Identifikation
der Ladestation sein. Mit Hilfe zumindest dieser Werte wird ein
Datenpaket erstellt. Das Datenpaket kann neben dem Zählerstand
auch noch einen Zählerstatus,
eine Zähleridentifikation,
eine Ladestationsidentifikation, eine Zeitinformation und/oder einen öffentlichen
Messgeräteschlüssel aufweisen.
-
Ein
Datenpaket wird in der Ladestation elektronisch signiert. Dies ermöglicht es,
die Authentizität und
Integrität
des Datenpakets zu überprüfen. Das elektronisch
signierte Datenpaket wird gegenständlich an das Elektrofahrzeug übermittelt.
-
Mit
Hilfe eines eindeutigen, aus dem Datenpaket und einem dem Messgerät (Zähler) oder
der Ladestation zugeordneten Schlüssels erstellten, vorzugsweise
binären
Wertes, kann eine Signatur errechnet wird. Aus dem Datenpaket kann
ein Referenzwert, beispielsweise ein Hash-Code, errechnet werden.
Dieser Referenzwert kann auch zur Berechnung der Signatur verwendet
werden. Diese Signatur kann beispielsweise mit Hilfe des Hash-Codes
und eines dem Messgerät
(Zähler)
oder der Ladestation zugeordneten Schlüssels errechnet werden. Auch kann
eine Signatur unmittelbar aus dem Datenpaket und dem dem Messgerät (Zähler) oder
der Ladestation zugeordneten Schlüssel errechnet werden.
-
Signieren
kann ein Erstellen eines Kryptogrammes als Signatur mit Hilfe eines
vorzugsweise binären
Schlüssels
sein, wobei mit Hilfe des Schlüssels
und des zu signierenden Datenpaketes bzw. des hieraus erstellen
Referenzwertes ein vorzugsweise binäres Kryptogramm erstellt wird.
Mittels eines solchen Kryptogrammes ist eine Überprüfung möglich, ob das Datenpaket tatsächlich von
der Ladestation erstellt wurde. Hierzu kann beispielsweise mit einem empfängerseitig
bekannten, zu dem Signaturschlüssel
passendem Schlüssel
der Referenzwert oder das zu signierende Datenpaket aus der Signatur
zurück errechnet
werden. Dazu kann beispielsweise empfängerseitig ein Vergleichs-Referenzwert
ausgehend von dem Datenpaket errechnet werden. Stimmen errechneter
Referenzwert und Vergleichs-Referenzwert überein, kann von einer Datenintegrität ausgegangen
werden.
-
Beispielsweise
kann aus Nutzdaten ein Referenzwert berechnet werden. Aus diesem
Referenzwert kann mit einem privaten Schlüssel eine Signatur errechnet
werden. Die Signatur kann zusammen mit den Nutzdaten in einem Datencontainer,
als zwei getrennte Dateien oder eingebettet in die Nutzdaten, an einen
Empfänger
verschickt werden. Der Empfänger kann
mit einem zum privaten Schlüssel
passendem öffentlichen
Schlüssel
aus der Signatur den Referenzwert errechnen. Aus den ebenfalls empfangenen Nutzdaten
kann empfängerseitig
ebenfalls ein Vergleichs-Referenzwert berechnet werden. Stimmen Referenzwert
und Vergleichs-Referenzwert überein, kann
die Integrität,
Authentifizierung, Authentizität der
Nutzdaten sichergestellt werden.
-
Unter
einer elektronischen Signatur können auch
mit elektronischen Informationen verknüpfte Daten, mit denen man den
Unterzeichner bzw. Signaturersteller identifizieren und die Integrität der signierten
elektronischen Informationen prüfen
kann, verstanden werden. In der Regel handelt es sich bei den elektronischen
Informationen um elektronische Dokumente. Die elektronische Signatur
erfüllt
somit technisch gesehen den gleichen Zweck wie eine eigenhändige Unterschrift
auf Papierdokumenten. Eine elektronische Signatur kann unter anderem
auch eine digitale Signatur umfassen. Die digitale Signatur kann
die rein datentechnische, kryptographische Signatur bezeichnen,
bei der kryptographische, mathematische Methoden angewandt werden. „Elektronische
Signaturen” können Daten
in elektronischer Form, die anderen elektronischen Daten beigefügt oder
logisch mit ihnen verknüpft
sind und die der Authentifizierung dienen, sein.
-
Ändern sich
bei der Übertragung
Werte innerhalb des Datenpakets, so kann empfängerseitig, bspw. im Fahrzeug
oder der Abrechnungszentrale, festgestellt werden, dass die mit
dem Datenpaket übertragene
Signatur nicht zu dem empfangenen Datenpaket passt und eine Veränderung
des Datenpakets stattgefunden haben muss. Der Vergleich der empfangenen
Signatur mit einer errechneten Vergleichs-Signatur oder der Vergleich
eines Referenzwertes mit einem Vergleichs-Referenzwertes ergibt bei veränderten
Daten einen Unterschied zwischen diesen beiden Werten.
-
Gemäß eines
Ausführungsbeispiels
kann im Messgerät
oder der Ladestation ein Paar aus öffentlichem Messgeräteschlüssel (PuM)
und privatem Messgeräteschlüssel (PiM)
gespeichert sein. Mit Hilfe des privaten Messgeräteschlüssels (PiM) kann eine erste
Signatur (SD) des Datenpaketes erstellt werden. Hierzu kann beispielsweise
aus einem dem Datenpaket zugeordneten Referenzwert mit Hilfe des privaten
Messgeräteschlüssels (PiM)
ein Kryptogramm errechnet werden. Dieser Referenzwert kann ein Hash-Code
sein.
-
Empfängerseitig,
z. B. in einer Abrechnungszentrale kann die Authentizität und Datenintegrität des empfangenen
Datenpaketes dadurch überprüft werden,
dass das empfangene Kryptogramm mit Hilfe des empfängerseitig
bekannten öffentlichen
Messgeräteschlüssels entschlüsselt wird
und der Referenzwert somit berechnet wird. Ein Vergleich mit einem
empfängerseitig
aus dem Datenpaket errechneten Referenzwert ermöglicht die Überprüfung des Datenintegrität. Dadurch
dass mit einem eindeutig einem Benutzer, einem Fahrzeug oder einem
Vertrag zugeordneten öffentlichen
Schlüssel
das Kryptogramm entschlüsselt
wurde und bei einer entsprechenden Zertifizierung des zueinander
gehörigen Schlüsselpaares
kann auch die Authentizität
der Signatur überprüft werden.
Die Signatur kann aus einem Referenzwert oder unmittelbar aus dem
Datenpaket errechnet werden.
-
Das
Datenpaket zusammen mit der ersten Signatur (SD) kann an das Fahrzeug übermittelt
werden.
-
Beispielsweise
ist es möglich,
dass der öffentliche
Messegeräteschlüssel (PuM)
in einer Abrechnungszentrale bekannt ist. Auch kann der öffentliche
Messgeräteschlüssel (PuM)
in dem Datenpaket enthalten sein und zusammen mit der ersten Signatur (SD)
an das Fahrzeug übermittelt
werden. Auch kann der öffentliche
Schlüssel
(PuM) zusammen mit einem im Folgenden näher erläuterten qualifizierten Datenpaket
an eine Abrechnungszentrale übermittelt
werden.
-
Es
wird auch vorgeschlagen, dass das Datenpaket und die erste Signatur
(SD) im Fahrzeug empfangen wird.
-
Gemäß eines
vorteilhaften Ausführungsbeispiels
wird vorgeschlagen, dass im Fahrzeug ein Hash-Code (H) des Datensatzes
aus Datenpaket und erster Signatur (SD) erstellt wird. Ein Hash-Code kann
mittels eines eindeutigen Rechenverfahrens als ein statistisch eindeutiger
Referenzwert errechnet werden. Ein Hash-Code kann ein aus einer
endlichen Vielzahl von Werten ermittelter Wert sein. Aufgrund der
Vielzahl der möglichen
Hash-Codes kommt es bei einer Veränderung des Datensatzes zu
einem geänderten
Hash-Code.
-
Dass
zwei unterschiedliche Datensätze
einen gleichen Hash-Code
erzeugen ist, abhängig
von der Anzahl und Art der Koeffizienten zur Berechnung des Hash-Codes, äußerst unwahrscheinlich.
Für die diese
Wahrscheinlichkeit ist das Verfahren zur Berechnung des Hash-Wertes
wesentlich. Beispiele für Hash-Code
Berechnungsmethoden kkönnen
MD2, MD4, MD5, SHA, RIPEMD-160, Tiger, HAVAL, Whirlpool, LM-Hash
oder NTLM. Andere Verfahren, insbesondere kryptographische Verfahren
sind ebenso geeignet.
-
Eine
kryptologische Hashfunktion sollte zumindest eine Einwegfunktion
sein. Sogenannte Einweg-Hashfunktionen (One-Way-Hash Functions, OWHFs) erfüllen die
Bedingung, eine Einwegfunktion zu sein, d. h. zu einem gegebenen
Ausgabewert h(x) = y ist es praktisch unmöglich, einen Eingabewert x
zu finden (engl. preimage resistance). Außerdem ist eine Hashfunktion
besser für
die Kryptographie geeignet, wenn möglichst keine Kollisionen auftreten.
Das heißt,
dass für
zwei verschiedene Werte x und x' der
Hashwert (Hash-Code) möglichst
auch verschieden sein sollte: h(x) ungleich h(x'). Ist dies immer der Fall, so kann
von einer kollisionsresistenten Hashfunktion (Collision Resistant
Hash Function, CRHF) gesprochen werden.
-
Gemäß eines
Ausführungsbeispiels
wird auch vorgeschlagen, dass der Hash-Code (H) mittels eines fahrzeugseitigen
privaten Fahrzeugschlüssels (Pi2)
signiert wird womit ein kryptographischer Hash-Code (H') entsteht. Die so
gebildete zweite Signatur (SF1), welche dem kryptographischen Hash-Code
(H') entspricht,
ermöglicht
die Integrität des
Datensatzes aus Datenpaket und erster Signatur (SD) zu überprüfen. Auch
kann mit dieser zweiten Signatur (SF1) die Authentizität der Signatur überprüft werden,
wenn das entsprechende Schlüsselpaar, hier
aus dem privaten und dem öffentlichen
Fahrzeugschlüssel
gebildet, zertifiziert wurde und empfängerseitig der öffentliche
Schlüssel
bekannt ist.
-
Es
wird vorgeschlagen, dass fahrzeugseitig ein privater Fahrzeugschlüssel (Pi2)
und ein öffentlicher
Fahrzeugschlüssel
(Pu2) gespeichert sind. Zusammen mit dem Datensatz aus Datenpaket,
erster Signatur (SD) und zweiter Signatur (SF1) kann der fahrzeugseitige öffentliche
Fahrzeugschlüssel
(Pu2) an die Ladestation übermittelt
und dort empfangen werden. Die Ladestation kann diesen empfangenen Datensatz,
auch als qualifiziertes Datenpaket bezeichnet, an eine Abrechungszentrale übermitteln. Parallel
dazu kann die Ladestation einen aus Datenpaket und erster Signatur
(SD) gebildeten Datensatz an die Abrechnungszentrale übermitteln.
-
In
der Abrechnungszentrale kann mit Hilfe des empfangenen Datenpakets
der Hash-Code (H) errechnet werden. Mit Hilfe des öffentlichen
Fahrzeugschlüssels
(Pu2), der ggf. von der Ladestation bzw. dem Fahrzeug empfangen
wurde oder bereits in der Abrechnungszentrale bekannt ist, kann
aus der zweiten Signatur (SF1) bzw. dem kryptographischen Hash-Code
(H') ebenfalls ein
Hash-Code (H) errechnet werden. Die beiden errechneten Hash-Codes können in
der Abrechnungszentrale miteinander verglichen werden. Bei einem
positiven Vergleichsergebnis kann auf eine integere Datenübertragung
vom Fahrzeug über
die Ladestation an die Abrechnungszentrale geschlossen werden.
-
Mit
Hilfe einer solchen zweiten Signatur ist es möglich, dass die Richtigkeit
der Messwerte durch das Fahrzeug bestätigt wird. Zu Abrechnungszwecken
ist dies vorteilhaft, da somit eine Zuordnung des Messwertes zum
Einen zu einer bestimmten Ladestation und zum Anderen zu einem Fahrzeug
bzw. einem Vertrag, wie nachfolgend noch beschrieben wird, möglich ist.
Auch kann ein Nutzer sich sicher sein, dass die von ihm bestätigten Messdaten
auch fehlerfrei in der Abrechnungszentrale empfangen wurden.
-
Mit
Hilfe der ersten Signatur (SD) und dem in der Abrechnungszentrale
empfangenen Datenpaket kann auch die Authentizität und Integrität des von
der Ladestation erstellten Datenpaketes überprüft werden. In der Abrechnungszentrale
ist der öffentliche Messgeräteschlüssel (PuM)
bekannt oder wurde von der Ladestation empfangen. Außerdem wurde
in der Ladestation die erste Signatur empfangen. Aus der ersten
Signatur kann mit Hilfe des öffentlichen
Messgeräteschlüssels (PuM)
ein Referenzwert errechnet werden, der mit einem aus dem Datenpaket
errechneten Vergleich-Referenzwert verglichen werden kann. Hierdurch
kann überprüft werden,
ob die in dem Datenpaket enthaltenen Messdaten auf der Kommunikationsstrecke
von Ladestation zum Fahrzeug und zurück und anschließend zur
Abrechnungszentrale manipuliert wurden.
-
Zu
einem Zeitpunkt vor einem Ladevorgang, beispielsweise bei einem
Vertragsabschluss mit einem Energieversorger, können in dem Fahrzeug ein öffentlicher
Fahrzeugschlüssel
(Pu2) und ein privater Fahrzeugschlüssel (Pi2) gespeichert werden.
Mit Hilfe dieses ersten Tupels kann eine Zuordnung von vom Fahrzeug
signierten Werten zu dem Fahrzeug als auch die Integrität und Authentizität der vom
Fahrzeug in der Abrechnungszentrale empfangenen Daten gewährleistet
werden.
-
Es
kann jedoch erwünscht
sein, dass gerade eine Zuordnung zwischen einem Datensatz und einem
bestimmten Fahrzeug nicht möglich
ist. Diese Zuordnung kann aber gerade dann der Fall sein, wenn der
von der Ladestation empfangene Datensatz im Fahrzeug mit Hilfe des
fahrzeugseitigen Fahrzeugschlüsselpaares
(Pi2, Pu2) signiert wird, wie zuvor beschrieben wurde. Um diese
Zuordnung zu vermeiden, ist es möglich,
dass zum Zeitpunkt eines Vertragsabschlusses ein öffentlicher
Vertragsschlüssel
(Pu3) und ein privater Vertragsschlüssel (Pi3) erstellt werden.
Zumindest der öffentliche
Vertragsschlüssel
(Pu3) kann in einer Abrechnungszentrale gespeichert werden.
-
Darüber hinaus
kann von einem Fahrzeug für
einen Ladevorgang ein Tupel aus privatem Temporärschlüssel (Pi4) und öffentlichen
Temporärschlüssel (Pu4)
gebildet werden. Dieses Tupel kann pro Ladevorgang oder in regelmäßigen Abständen oder
in unregelmäßigen Abständen erstellt
werden.
-
Vor
einer Signatur eines Datenpaketes in dem Fahrzeug kann der private
Vertragsschlüssel (Pi3)
von dem Fahrzeug abgefragt werden. Dies kann beispielsweise durch
Nutzereingabe erfolgen. Auch kann der private Vertragsschlüssel (Pi3)
von einem Fahrzeugschlüssel
elektrisch ausgelesen werden. Dies kann beispielsweise mittels eines
Transponders erfolgen.
-
Mit
Hilfe des privaten Vertragsschlüssels kann
ein öffentlicher
Temporärschlüssel signiert
werden. Mit Hilfe eines privaten Temporärschlüssels kann der Datensatz und
die erste Signatur signiert werden. In der Abrechnungszentrale kann
mit einem bekannten öffentlichen
Vertragsschlüssel
der öffentliche
Temporärschlüssel entschlüsselt werden.
Mit diesem öffentlichen
Temporärschlüssel kann
die Signatur des Datensatzes mit der ersten Signatur entschlüsselt werden.
-
Gemäß eines
vorteilhaften Ausführungsbeispiels
wird auch vorgeschlagen, dass eine Signatur mittels eines SHA-256
Verfahrens ermittelt wird. Hierbei kann beispielsweise eine Variante
FIPS 180-2 verwendet werden.
-
Insbesondere
wird vorgeschlagen, dass eine Signatur mit Hilfe eines Elliptic-Curve
Kryptografieverfahrens ermittelt wird. Hierbei ist es beispielsweise
möglich,
dass ein ECC-Verfahren mit 192 Bit verwendet wird.
-
Gemäß eines
vorteilhaften Ausführungsbeispiels
wird auch vorgeschlagen, dass das Datenpaket mittels eines asymmetrischen
Verfahrens signiert wird. Bei diesem Verfahren wird, wie bereits
zuvor erläutert,
ein privater Schlüssel
für eine
Signatur verwendet und ein öffentlicher
Schlüssel,
der empfängerseitig
bekannt ist, für
die Entschlüsselung
der Signatur verwendet.
-
Um
eine Zuordnung eines Messwertes zu einem Mess-Zeitpunkt zu ermöglichen,
wird vorgeschlagen, dass das Datenpaket einen Zeit-Index enthält. Ein
Zeit-Index kann beispielsweise ein Sekundenindex sein, der über die
gesamte Lebensdauer des Ladegeräts
im mathematischen Sinne streng monoton wachsend ist und eine natürliche Zahl
darstellt. Mit Hilfe dieses Sekundenindexes ist es möglich, eine
ein-eindeutige Zuordnung des Mess-Zeitpunktes zu einem Messwert
vorzunehmen. Auch kann ein Betriebssekundenzähler verwendet werden, der
eine monoton wachsende natürliche
Zahl sein kann, deren Ziel die eindeutige Zuordnung des Zeitpunktes
eines Ereignisses zu der als Bezugssystem angenommenen gesetzlichen
Zeit ist.
-
Um
das Fahrzeug ständig über momentane Messwerte
zu informieren, so dass beispielsweise ein Nutzer über den
Ladezustand und die bezogene Energie informiert ist, wird vorgeschlagen,
dass zyklisch zumindest ein Messwert durch die Ladestation ermittelt
wird und dass ein zumindest den Messwert enthaltenes Datenpaket
zwischen Ladestation und Elektrofahrzeug ausgetauscht wird.
-
Auch
kann die Ladestation das zu Beginn einer Messung erstellte und signierte
Datenpaket und das zum Ende einer Messung erstellte Datenpaket an
die Abrechungszentrale übermitteln
um dort aus dem Delta der Messwerte die entnommene Energiemenge
berechnen zu können.
Auch kann in der Ladestation zum Ende eines Ladevorgangs ein Delta aus
den Messwerten errechnet werden, wobei dieses Delta zumindest Auskunft über die
bezogene Energiemenge geben kann. Ein Datenpaket mit diesem Delta
kann signiert an das Fahrzeug übermittelt
werden und dort ebenfalls signiert werden, wie zuvor beschrieben.
Das so signierte Datenpaket kann an die Abrechungszentrale übermittelt
werden.
-
Ein
weiterer Gegenstand ist ein Verfahren nach Anspruch 19.
-
In
dem Fahrzeug ist es möglich,
zu überprüfen, ob
das empfangene Datenpaket unverfälscht
ist. Hierfür
wird die empfangene Signatur verwendet. Die Signatur kann mit Hilfe des
von der Ladestation empfangenen öffentlichen
Schlüssels überprüft werden. Der öffentliche
Schlüssel
kann zur Errechnung einer Vergleichs-Signatur in dem Fahrzeug verwendet
werden. In dem Fahrzeug wird somit mit Hilfe des Datenpakets und
des öffentlichen
Schlüssels
eine zweite Signatur (Vergleichs-Signatur) errechnet, welche mit der
empfangenen Signatur des Datenpakets verglichen wird. Stimmen die
Signaturen überein,
wurde das Datenpaket unverändert
empfangen. Anderenfalls ist von einer Veränderung des Datenpaketes auszugehen.
Das Fahrzeug kann dann beispielsweise der Ladestation eine Fehlermeldung übermitteln. In
diesem Fall kann das Datenpaket zusammen mit der Signatur erneut übermittelt
werden. Auch kann nach einer bestimmten Anzahl an fehlerhaften Übertragungen
der Ladevorgang abgebrochen werden. Abrechnungsrelevant kann dann
das letzte unverfälscht
vom Fahrzeug empfangene Datenpaket sein.
-
Die
zuvor genannten Verfahren können
auch als Computerprogramm oder als auf einem Speichermedium gespeichertes
Computerprogramm realisiert werden. Hierbei kann fahrzeugseitig,
ladestationsseitig und/oder abrechnungszentralenseitig ein Mikroprozessor
zur Durchführung
der jeweiligen Verfahrensschritte durch ein Computerprogramm geeignet programmiert
sein.
-
Gemäß eines
weiteren Gegenstands wird eine Vorrichtung nach Anspruch 20.
-
Ein
weiterer Gegenstand ist eine Vorrichtung nach Anspruch 21.
-
Ein
weiterer Gegenstand ist ein System zur Kommunikation zwischen einer
Ladestation und einem Elektrofahrzeug nach Anspruch 22.
-
Die
Merkmale der Verfahren und Vorrichtungen sind frei miteinander kombinierbar.
Insbesondere können
Merkmale der abhängigen
Ansprüche
unter Umgehung der Merkmale der unabhängigen Ansprüche in Alleinstellung
oder frei miteinander kombiniert eigenständig erfinderisch sein.
-
Nachfolgend
wird der Gegenstand anhand einer Ausführungsbeispiele zeigenden Zeichnung näher erläutert. In
der Zeichnung zeigen:
-
1 einen
schematischen Aufbau eines Systems zum Laden eines Elektrofahrzeugs;
-
2a–d beispielhafte
Datenpakete und Signaturen.
-
1 zeigt
eine Ladestation 2 welche über ein Verbindungskabel 4 mit
einem Fahrzeug 6 elektrisch verbunden ist. In der Ladestation 2 ist
eine Anschlussdose 8 zum Anschluss des Verbindungskabels 4 vorgesehen. Über das
Verbindungskabel 4 werden zum Einen Energie übertragen
und zum Anderen Daten zwischen Fahrzeug 6 und Ladestation 2 ausgetauscht.
-
Die
Anschlussdose 8 ist elektrisch mit einem Messgerät 10 verbunden.
Das Messgerät 10 misst die
elektrische Leistung, die über
die Anschlussdose 8 an das Fahrzeug 6 über das
Verbindungskabel 4 abgegeben wird. Die elektrische Leistung wird über einen
elektrischen Anschluss 12 von einem elektrischen Energieversorgungsnetz 14 bezogen.
-
Gekoppelt
an das Messgerät 10 ist
eine Recheneinheit 16 mit einer Kommunikationseinheit 16a und
einer Signatureinheit 16b. Die Signatureinheit 16b kann
eine dem Ladegerät 2 bzw.
dem Messgerät 10 zugeordnete
eindeutige Identifikation, beispielsweise eine privaten Messgeräteschlüssel (PiM) 18a erfassen.
Auch kann ein öffentlicher
Messgeräteschlüssel (PuM) 18b erfasst
werden.
-
Die
Recheneinheit 16 ist über
ein Datennetz 20 mit einer Abrechnungszentrale 22 verbunden.
-
In
dem Fahrzeug 6 ist neben einer mit einem Anschluss 24 verbundenen
Batterie 26 eine Kommunikationseinheit 28 vorgesehen.
Die Kommunikationseinheit 28 ermöglicht das Senden und Empfangen
von Daten auf dem Verbindungskabel 4. Angeschlossen an
die Kommunikationseinheit 28 ist eine Signatureinheit 30.
Die Signatureinheit 30 kann von dem Fahrzeug 6 eine
eindeutige Identifikation 32 erfassen.
-
Während des
Ladevorgangs des Fahrzeugs 6 an der Ladestation 2 wird
Energie von dem Energieversorgungsnetz 14 in die Batterie 26 des
Fahrzeugs 6 gespeist. Die Menge der eingespeisten Energie
wird mittels des Messgeräts 10 erfasst.
Die Energiemenge, beispielsweise ein Zählerstand des Messgerätes 10,
als auch andere Daten, wie beispielsweise die Identifikation der
Ladestation 2 und/oder die Identifikation des Messgerätes 10,
ein Zeitstempel, ein Zeit-Index, ein Status der Ladestation 2 und/oder
ein Status des Messgerätes 10,
ein Anfangszählerstand,
ein Endzählerstand
und/oder dergleichen kann über
das Verbindungskabel 4 an das Fahrzeug 6 übermittelt
werden. Hierzu übermittelt
die Kommunikationseinheit 16 ein Datenpaket, wie es in
den 2 erläutert ist. In dem Datenpaket können die
genannten Messgrößen gespeichert
werden. In dem Datenpaket kann auch ein öffentlicher Messgeräteschlüssel (PuM) 18b gespeichert
werden. Auch können
neben dem Datenpaket der öffentliche
Messgeräteschlüssel (PuM) 18b und/oder
Signaturen zwischen Ladestation 2 und Fahrzeug 6 ausgetauscht
werden.
-
Die 2 zeigen die Berechnung eines Datenpakets
und einer Signatur, welche über
das Verbindungskabel 4 zwischen Ladestation 2 und
Fahrzeug 6 ausgetauscht werden können.
-
2a zeigt
ein beispielhaftes erstes Datenpaket 34, in dem ein Zählerstand 34a,
ein Messgerätestatus 34b,
eine Messgeräteidentifikation 34c,
eine Zeitinformation 34d, ein öffentlicher Messgeräteschlüssel (PuM) 34e und
eventuell weitere Daten 34f in einer binären Zahlenfolge
abgespeichert sind. Die Messgeräte-Identifikation 34c kann
ein eindeutiger Bezeichner des Messgerätes 10 und/oder der
Ladestation 2 sein.
-
Für eine Authentifizierung
des ersten Datenpakets 34 kann eine Signatur 36 erstellt
werden. Hierzu wird in einem Rechenschnitt 38 das erste
Datenpaket 34 zusammen mit einem privaten Messgeräteschlüssel (PiM) 18a verwendet,
um eine erste Signatur (SD) 36 zu errechnen. So kann z.
B. in dem Rechenschritt 38 ein Hash-Wert aus dem ersten
Datenpaket bestimmt werden und dieser Hash-Wert kann mit dem privaten
Messgeräteschlüssel (PiM)
in die Signatur (SD) 36 umgerechnet werden.
-
Für die Übertragung
des ersten Datenpakets 34 an das Fahrzeug 6 wird
das erste Datenpaket 34 mit der Signatur 36 in
einem Datensatz 40 verpackt. Der Datensatz 40 wird
von der Ladestation 2 über das
Verbindungskabel 4 an das Fahrzeug 6 übermittelt. 2b zeigt
den Datensatz 40 gebildet aus dem ersten Datenpaket 34 und
der Signatur 36.
-
In
dem Fahrzeug 6 kann mittels der Kommunikationseinheit 28 der
Datensatz 40 empfangen werden. In der Signatureinheit 30 kann
der Datensatz 40 ausgewertet werden. Hierbei ist es möglich, dass mit
Hilfe der ersten Signatur (SD) 36 die Authentizität des ersten
Datenpakets 34 überprüft werden
kann.
-
Hierzu
ist es beispielsweise möglich,
dass der öffentliche
Messgeräteschlüssel (PuM) 18b in dem
Fahrzeug 6 bekannt ist. Mit Hilfe dieser Information kann
aus der ersten Signatur (SD) 36 in dem Fahrzeug 6 der
Rechenschritt 38 umgekehrt werden und das Datenpaket 34 errechnet
werden. Mit Hilfe des empfangenen Datenpakets 34 und dem
errechneten Datenpaket kann ein Vergleich durchgeführt werden,
der die Datenintegrität
sicherstellt.
-
Nachdem
in dem Fahrzeug 6 das erste Datenpaket 34 überprüft wurde,
und eventuell seine Integrität
festgestellt wurde, kann, wie in 2c dargestellt
ist, in dem Fahrzeug 6 mittels der Signatureinheit 30 in
einem zweiten Rechenschritt 42 zunächst ein Hash-Code 44 aus
dem Datensatz 40 errechnet werden.
-
Mit
Hilfe des Hash-Codes 44 und einem privaten Fahrzeugschlüssel 46 (Pi1)
kann in einem Rechenschritt 48 eine zweite Signatur (SF1) 50 errechnet
werden. Hierfür
kann in Rechenschritt 48 beispielsweise ein ECC-Verschlüsselungsverfahren
verwendet werden. Beispielsweise kann ein SHA-256 Algorithmus verwendet
werden.
-
Die
zweite Signatur (SF1) 50 kann beispielsweise das erste
Datenpaket 34 zusammen mit der ersten Signatur 36 erneut
signieren.
-
Wie
in 2d dargestellt, kann die Signatureinheit 30 die
zweite Signatur (SF1) 50 an das erste Datenpaket 34 und
die erste Signatur (SD) 36 anhängen. Zusätzlich kann optional der öffentliche
Fahrzeugschlüssel
(Pu1) angehängt
werden. Das so erstellte qualifizierte Datenpaket 52 kann
von dem Fahrzeug 6 über
das Verbindungskabel 4 an die Ladestation 2 übermittelt
werden. Anschließend
kann das qualifizierte Datenpaket 52 von der Ladestation 2 mittels
der Kommunikationseinheit 16a über das Datennetz 20 an
die Abrechnungszentrale 22 übermittelt werden. Parallel
dazu kann beispielsweise die Ladestation das Datenpaket 34 zusätzlich an
die Abrechnungszentrale 22 übermitteln.
-
Mit
Hilfe des qualifizierte Datenpakets 52 ist es möglich, die
Authentizität
und Integrität
des ersten Datenpakets 34 und des Datensatzes 40 zu überprüfen.
-
Zunächst kann
in der Abrechnungszentrale 22 aus dem Datenpaket 34 und
der ersten Signatur (SD) 36 entsprechend dem Rechenschritt 42 eine Vergleichssignatur
errechnet werden. Aus der zweiten Signatur 50 kann in der Abrechnungszentrale 22 mit
Hilfe des dort bekannten oder im qualifizierten Datenpaket 52 empfangenen öffentlichen
Fahrzeugschlüssels
(Pu2) der Hash-Code 44 mit dem Verfahren des Rechenschritts 48 errechnet
werden. Ein Vergleich des in der Abrechnungszentrale errechneten
Vergleichs Hash-Code mit dem in der Abrechnungszentrale aus der
zweiten Signatur (SF1) errechneten Hash-Code ermöglicht die Überprüfung der Datenintegrität. Darüber hinaus
kann durch eine Zertifizierung des jeweiligen Schlüsselpaares,
hier des privaten Fahrzeugschlüssels
(Pi2) und des öffentlichen
Fahrzeugschlüssels
(Pu2), überprüft werden,
von wem die zweite Signatur (SF1) errechnet wurde.
-
Mit
Hilfe des Hash-Codes und des Vergleichs Hash-Code kann überprüft werden,
ob das qualifizierte Datenpaket 52 fehlerfrei in der Abrechnungszentrale 22 empfangen
wurde.
-
Anschließend kann
in der Abrechnungszentrale 22 mit Hilfe der ersten Signatur
(SD) und dem in der Abrechnungszentrale 22 bekannten öffentlichen Messgeräteschlüssels (PuM)
der Rechenschritt 38 umgekehrt und/oder erneut durchgeführt werden. Hierdurch
kann überprüft werden,
ob das Datenpaket 34 fehlerfrei von der Ladestation 2 an
das Fahrzeug 6 und von dort zurück an die Abrechnungszentrale 22 übermittelt
wurde.
-
Für einen
Kunden ist mit Hilfe der ersten Signatur (SD) bzw. dem öffentlichen
Messgeräteschlüssels (PuM)
eine Überprüfung möglich, ob
die in der Abrechnungszentrale 22 zu Abrechnungszwecken
verwendeten Datenpakete 34 auch tatsächlich von den Ladestationen 2 stammen,
an denen er Energie bezogen hat.
-
Die
Rechenschritte 38 und 48 können auf asymmetrischen Verschlüsselungsverfahren
basieren, welche durch öffentliche
und private Schlüssel die
Erstellung, den Vergleich und die Validierung von Kryptogrammen
ermöglichen.
-
Dies
gewährleistet
eine hohe Datenintegrität bei
der Abrechnung. Auch ist eine Plausibilitätsüberprüfung möglich. Schließlich wird
sichergestellt, dass das Datenpaket 34 sowohl unverfälscht in
dem Fahrzeug 6 als auch unverfälscht in der Abrechnungszentrale 22 empfangen
wurde.
-
2c zeigt
die Signatur mit einem privaten Fahrzeugschlüssel (Pi2), welcher die Rückverfolgbarkeit
eines Ladevorgangs zu einem bestimmten Fahrzeug erlaubt. Es kann
jedoch erwünscht
sein, dass gerade diese Rückverfolgbarkeit
nicht möglich ist.
-
Um
dies zu vermeiden, ist es möglich,
dass zum Zeitpunkt eines Vertragsabschlusses ein öffentlicher
Vertragsschlüssel
(Pu3) und ein privater Vertragsschlüssel (Pi3) erstellt werden.
Zumindest der öffentliche
Vertragsschlüssel
(Pu3) kann in einer Abrechnungszentrale 22 gespeichert
werden.
-
Darüber hinaus
kann von einem Fahrzeug 6 für einen Ladevorgang ein Tupel
aus privatem Temporärschlüssel (Pi4)
und öffentlichen
Temporärschlüssel (Pu4)
gebildet werden. Dieses Tupel kann pro Ladevorgang oder in regelmäßigen Abständen oder
in unregelmäßigen Abständen erstellt
werden.
-
Vor
einer Signatur des Datensatzes 40 in dem Fahrzeug 6 kann
der private Vertragsschlüssel (Pi3)
von dem Fahrzeug 6 abgefragt werden. Dies kann beispielsweise
durch Nutzereingabe erfolgen. Auch kann der private Vertragsschlüssel (Pi3)
von einem Fahrzeugschlüssel
(nicht gezeigt) elektrisch ausgelesen werden. Dies kann beispielsweise
mittels eines Transponders erfolgen.
-
Mit
Hilfe des privaten Vertragsschlüssels (Pi3)
kann ein zuvor in dem Fahrzeug 6 erstellter öffentlicher
Temporärschlüssel des
Fahrzeugs (Pu4) signiert werden. Es entsteht die dritte Signatur
(SK). Mit Hilfe des zuvor in dem Fahrzeug 6 erstellten
privaten Temporärschlüssel des
Fahrzeugs (Pi4) kann eine vierte Signatur (SF2) des Datensatz 40 aus
Datenpaket 34 und erster Signatur (SD) 36, wie
zuvor für
die zweite Signatur (SF1) 50 in den Rechenschritten 42 und/oder 48 beschrieben,
erzeugt werden.
-
Das
qualifizierte Datenpaket 50 gebildet aus Datenpaket 34,
erster Signatur (SD) 36, vierter Signatur (SF2) und dritter
Signatur (SK) kann von dem Fahrzeug 6 über die Ladestation 2 an
die Abrechnungszentrale 22 übermittelt werden.
-
In
der Abrechnungszentrale 22 kann mittels des dort bekannten öffentlichen
Vertragsschlüssels (Pu3)
aus der dritten Signatur (SK) der private Temporärschlüssel (Pi4) zurückgerechnet
werden. Mit dem so ermittelten privaten Temporärschlüssel (Pu4) kann die vierte
Signatur (SF2) überprüft werden,
entsprechend der Beschreibung der Überprüfung der zweiten Signatur (SF1)
zuvor.
-
Hierbei
kann in der Abrechnungszentrale eine Vergleichssignatur (SF2') mit Hilfe der empfangenen
Daten und des privaten Temporärschlüssels (Pi4)
errechnet werden. Diese Vergleichssignatur (SF2') kann mit der empfangenen vierten Signatur (SF2)
verglichen werden. Stimmen beide Signaturen überein, so kann darauf geschlossen
werden, dass die Daten unverfälscht
empfangen wurden. Mit Hilfe der temporären Schlüssel und der Vertragsschlüssel ist
eine Zuordnung zwischen Datensatz und Vertrag möglich, eine Rückverfolgbarkeit
auf ein bestimmtes Fahrzeug ist aber nicht mehr möglich, da
die Temporärschlüssel im
Fahrzeug verändert
werden und somit kein eindeutiger Temporärschlüssel einem Fahrzeug zuordenbar
ist.
-
Mit
Hilfe des gezeigten Verfahrens ist es möglich, Datenintegrität und Authentizität bei der Übertragung
von Messdaten zwischen einer Ladestation und einem Fahrzeug sicherzustellen.
Die Verwendung einer Signatur, welche mittels eines ECC-Verschlüsselungsverfahrens
erstellt werden kann, und beispielsweise aus einem Hash-Code errechnet
werden kann, ermöglicht
es, die Authentizität und
die Integrität
der Messwerte in den Empfangseinrichtungen zu überprüfen. Die Berechnung der Signaturen
kann mittels Public-Key-Verfahren erfolgen. Der Vorteil hiervon
ist, dass die Datenpakete, die errechnet werden, aufgrund der Signatur
nicht unnötig vergrößert werden.
Die Länge
der Datenpakete ist ein entscheidendes Kriterium für den Datenverkehr sowohl
zwischen Ladestation 2 und Fahrzeug 6, als auch
zwischen Ladestation 2 und Abrechnungszentrale 22.
Die Signatur als auch eine mögliche
Verschlüsselung
dürfen
die Datenpakete nicht zu groß werden
lassen, da ansonsten das Datenvolumen zu groß wäre. Für den massenhaften Einsatz
eignen sich somit Public-Key-Verfahren
in besonderer Weise.