DE102012203518B4 - Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers - Google Patents

Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers Download PDF

Info

Publication number
DE102012203518B4
DE102012203518B4 DE102012203518.4A DE102012203518A DE102012203518B4 DE 102012203518 B4 DE102012203518 B4 DE 102012203518B4 DE 102012203518 A DE102012203518 A DE 102012203518A DE 102012203518 B4 DE102012203518 B4 DE 102012203518B4
Authority
DE
Germany
Prior art keywords
computer system
security module
memory area
energy
guid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102012203518.4A
Other languages
English (en)
Other versions
DE102012203518A1 (de
Inventor
Frank Dietrich
Manfred Paeschke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Priority to DE102012203518.4A priority Critical patent/DE102012203518B4/de
Priority to EP13701949.3A priority patent/EP2812839B2/de
Priority to PCT/EP2013/050908 priority patent/WO2013117408A1/de
Priority to CN201380008117.8A priority patent/CN104094272B/zh
Priority to US14/376,667 priority patent/US9491172B2/en
Publication of DE102012203518A1 publication Critical patent/DE102012203518A1/de
Application granted granted Critical
Publication of DE102012203518B4 publication Critical patent/DE102012203518B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2209/00Arrangements in telecontrol or telemetry systems
    • H04Q2209/60Arrangements in telecontrol or telemetry systems for transmitting utility meters data, i.e. transmission of data from the reader of the utility meter
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Verfahren zur Kommunikation von mit einem Smart Meter (142; 144; 146; 148) erfassten energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung (138) an ein erstes Computersystem (166) eines Energieversorgers und/oder Messstellenbetreibers, wobei die Vorrichtung (138) ein Sicherheitsmodul (100) aufweist, wobei das Sicherheitsmodul (100) eine GUID (108) aufweist, welche in einem Speicher (102) des Sicherheitsmoduls (100) gespeichert ist und das Sicherheitsmodul (100) eindeutig identifiziert, und wobei das Sicherheitsmodul (100) als einzige Kommunikationsschnittstelle der Vorrichtung (138) mit dem ersten Computersystem (166) dient, wobei die Vorrichtung für ihren Betrieb notwendige Konfigurationsdaten aufweist, wobei der Vorrichtung eine Angabe (125) derjenigen Messdatenelemente und/oder Konfigurationsdaten zugeordnet ist, für welche das erste Computersystem (166) für einen Lesezugriff berechtigt ist, wobei es sich bei der Vorrichtung (138) um ein Smart Meter Gateway handelt, in deren Speicherbereich (136) eine GUID (128) gespeichert ist, wobei die GUID (128) des Speicherbereichs (136) des Smart Meter Gateways identisch mit der GUID (108) des Speichers (102) des Sicherheitsmoduls (100) ist, wobei das Verfahren umfasst:- Aufbau eines ersten Kommunikationskanals zwischen dem ersten Computersystem (166) und dem Sicherheitsmodul (100),- direkte gegenseitige Authentifizierung des ersten Computersystems (166) und des Sicherheitsmoduls (100), wobei die Authentifizierung mit Hilfe eines ersten Zertifikats (104) des Sicherheitsmoduls (100) und mit Hilfe eines zweiten Zertifikats (170) des ersten Computersystems (166) erfolgt,- Nach erfolgreicher gegenseitiger Authentifizierung, Übermitteln zumindest eines Teils der in der Angabe (125) spezifizierten Messdatenelemente und/oder Konfigurationsdaten über das Sicherheitsmodul (100) an das erste Computersystem (166) durch eine gesicherte Übertragung, wobei in dem Speicherbereich (136) der Vorrichtung ein erster Teil der Angabe (125) gespeichert ist, wobei das Verfahren ferner die Schritte zur Initialisierung aufweist:- Aufbau eines zweiten Kommunikationskanals zwischen dem ersten Computersystem (166) und einem zweiten Computersystem (150), wobei das erste Computersystem (166) und das zweite Computersystem (150) einem über ein Netzwerk verbundenen Satz von Computersystemen zugeordnet ist,- Authentifizierung des ersten Computersystems (166) gegenüber dem zweiten Computersystem (150),- Nach erfolgreicher Authentifizierung des ersten Computersystems (166) gegenüber dem zweiten Computersystem (150), Empfang einer Anforderung zum Aufspielen einer Energieerfassungsanwendung (130; 132; 134; 174) des ersten Computersystem (166) in dem Speicher (136) des Smart Meter Gateways (138), sowie der GUID (108; 128) des Sicherheitsmoduls (100) von dem ersten Computersystem (166) durch das zweite Computersystem (150) durch eine mittels Ende-zu-Ende-Verschlüsselung zwischen dem ersten Computersystem (166) und dem zweiten Computersystem (150) gesicherte Übertragung,- Zuordnung der GUID (108; 128) zu dem zugehörigen Sicherheitsmodul (100) durch das zweite Computersystem (150),- Aufbau eines dritten Kommunikationskanals zwischen dem zweiten Computersystem (150) und dem Sicherheitsmodul (100),- Authentifizierung des zweiten Computersystems (150) gegenüber dem Sicherheitsmodul (100), wobei die Initialisierung der Ermöglichung einer Kommunikation des Sicherheitsmoduls (100) mit dem ersten Computersystem (166) dient, wobei vor der Initialisierung des Speicherbereichs (136) ausschließlich für das zweite Computersystem (150) des Satzes von Computersystemen eine erfolgreiche Authentifizierung gegenüber dem Sicherheitsmodul (100) möglich ist,- Nach erfolgreicher Authentifizierung des zweiten Computersystems (150) gegenüber dem Sicherheitsmodul (100), Empfang von Daten von dem zweiten Computersystem (150) durch das Sicherheitsmodul (100) durch eine gesicherte Übertragung und Speicherung der Daten in dem Speicherbereich (136) zur Initialisierung des Speicherbereichs (136), wobei erst aufgrund der gespeicherten Daten die Kommunikation des ersten Computersystems (166) und dem Sicherheitsmodul (100) unter Umgehung des zweiten Computersystems (150) ermöglicht wird, wobei die gespeicherten Daten den ersten Teil der Angabe (125) und eine Energieerfassungsanwendung (130; 132; 134; 174) umfassen, wobei es sich bei dem zweiten Computersystem (150) um ein Computersystem einer vertrauenswürdigen Instanz handelt, wobei die Initialisierung dadurch angestoßen wird, dass eine Übermittlung der GUID (108; 128) des Sicherheitsmoduls (100) an das erste Computersystem (166) erfolgt.

Description

  • Die Erfindung betrifft ein Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers, sowie ein Computerprogram m produkt.
  • Unter dem Begriff des „Smart Metering“ wird allgemein der Gedanke verstanden, Kunden mit elektronischen Energieverbrauchserfassungsgeräten auszustatten.
  • Möglich ist dabei, dass sich der Kunde in Echtzeit über seinen aktuellen Energieverbrauch informieren kann. Unter dem Begriff des „Energieverbrauchs“ wird dabei der Verbrauch des Kunden bezüglich jeglicher Art von Energie verstanden, welche in Haushalte und Unternehmen geliefert wird. Dies umfasst neben den Energieformen Strom, Wasser und Gas auch beliebige weitere Energieformen wie beispielsweise Fernwärme.
  • Zur Erfassung des Energieverbrauchs kommen beim jeweiligen Verbraucher intelligente Messsysteme, auch intelligente Zähler oder „Smart-Meter“ genannt, zum Einsatz. Smart-Meter sind Zähler für die verbrauchte Energie. Der Verbraucher kann dabei eine natürliche oder juristische Person sein, welche verschiedene messbare Energieformen wie Strom, Gas, Wasser oder Wärme verbraucht. Ziel der Verwendung von Smart-Metern ist die Implementierung intelligenter Messsysteme, was beispielsweise die Erhebung von variablen Leistungsentgelten in Abhängigkeit von Gesamtnachfrage und Netzauslastung ermöglichen würde. Dadurch können sich Energieversorgungsnetze insgesamt besser ausnutzen lassen.
  • Aus der technischen Richtlinie des BSI TR-03109 „Anforderungen an die Interoperabilität der Kommunikationseinheit eines intelligenten Messsystems für Stoff- und Energiemengen“, Version 0.20, 10. Oktober 2011, des Bundesamts für Sicherheit in der Informationstechnik ist es bekannt, einen sogenannten Smart-Meter-Gateway, auch Konzentrator genannt, als eine zentrale Kommunikationseinheit vorzusehen, welche mit einzelnen oder mehreren Smart-Metern kommunizieren kann. Der Gateway ist dazu in der Lage, mit Geräten im sogenannten „Home Area Network“ und mit Geräten im „Wide Area Network“ zu kommunizieren. Das Home Area Network umfasst dabei alle Smart Meter, welche an den Gateway angekoppelt sind, sowie z.B. private Recheneinheiten der Verbraucher. Die privaten Recheneinheiten können z.B. zur Information über aktuelle, mit den Smart Metern erfasste Energieverbrauchswerte, eingesetzt werden. Das Wide Area Network ist dazu ausgebildet, um eine Kommunikation von Gateway und autorisierten Marktteilnehmern zu ermöglichen. Beispielsweise kann das Gateway die Daten aller Smart-Meter sammeln und diese an eine übergeordnete Sammelstelle, beispielsweise einen Energieversorger oder einen Messstellenbetreiber zur Verfügung stellen. Anhang B „Anforderungen an die Interoperabilität des Sicherheitsmoduls“ zur technischen Richtlinie des BSI TR-03109, 24. November 2011, beschreibt ein Sicherheitsmodul eines Smart Metering Gateways. Dabei fokussiert sich der Anhang B auf vom Sicherheitsmodul bereitzustellende Funktionalität in seiner Betriebsphase, um eine Interoperabilität zwischen den Sicherheitsmodulen verschiedener Hersteller zu gewährleisten.
  • Die DE 101 16 703 A1 beschreibt ein Sicherheitsmodul mit einem nichtflüchtigen Speicher zur Speicherung temporär gültiger Tarife, welche programmiert ist, eine Abgabegebühr, basierend auf dem Verbrauchswert, tarifabhängig zu berechnen. Ferner wird ein Verfahren zur Aufzeichnung eines Verbrauchswertes beschrieben, welches umfasst: nichtflüchtige Speicherung von Tarifwerten, Analog/Digital-Wandlung und Verarbeitung der Messwerte, Liefern und Auswerten von Zeitdaten zur Ermittlung mindestens eines Verbrauchswertes, eine tarifabhängige Ermittlung mindestens einer Abgabegebühr entsprechend des vorgenannten Verbrauchswertes, Bildung einer Nachricht, welche mindestens die Abgabegebühr einschließt, Sichern der Nachricht mittels eines Überprüfungscodes, Aufzeichnung einer Mitteilung, welche die Nachricht und den Überprüfungscode enthält, Kommunikation mit einem entfernten Server zur Übermittlung der kryptographisch gesicherten Nachricht in Form eines ersten Datensatzes
  • Die DE 10 2012 203 356 A1 beschreibt ein Verfahren zur Initialisierung eines Speicherbereichs, wobei der Speicherbereich einem Smart Meter zugeordnet ist, wobei das Verfahren die Schritte umfasst: Aufbau eines ersten Kommunikationskanals zwischen einem ersten Computersystem und einem Sicherheitsmodul, wobei das Sicherheitsmodul dem Speicherbereich zugeordnet ist, wobei das erste Computersystem einem über ein Netzwerk verbundenen Satz von Computersystemen zugeordnet ist; Authentifizierung des ersten Computersystems gegenüber dem Sicherheitsmodul, wobei die Initialisierung der Ermöglichung einer Kommunikation des Sicherheitsmoduls mit weiteren Computersystemen des Satzes von Computersystemen dient, wobei vor der Initialisierung des Speicherbereichs ausschließlich für das erste Computersystem des Satzes von Computersystemen eine erfolgreiche Authentifizierung gegenüber dem Sicherheitsmodul möglich ist; nach erfolgreicher Authentifizierung des ersten Computersystems gegenüber dem Sicherheitsmodul, Empfang von Daten von dem ersten Computersystem durch das Sicherheitsmodul durch eine gesicherte Übertragung und Speicherung der Daten in dem Speicherbereich zur Initialisierung des Speicherbereichs, wobei erst aufgrund der gespeicherten Daten eine Kommunikation eines zweiten Computersystems eines Energieversorgers und/oder Messstellenbetreibers und dem Sicherheitsmodul unter Umgehung des ersten Computersystems ermöglicht wird, wobei das zweite Computersystem ein Computersystem aus dem Satz von Computersystemen ist.
  • Die Norm 3GPP TR 33.812 V.9.2.0: „3rd Generation Partnership Project, Technical Specification Group Services and System Aspects, Feasibility Study on the Security Aspects of Remote Provisioning and Change of Subscription for Machine to Machine (M2M) Equipment“, Juni 2010 beschreibt ein Remote-Subscription-Management für M2M-Ausrüstung (M2ME) untersucht, wenn sich eine MCIM-Anwendung (Machine Communications Identity Module) in einer UICC befindet und wenn sich die MCIM-Anwendung in der M2M-Ausrüstung befindet. Das Remote-Subscription-Management umfasst Aufgaben wie ein Bereitstellen von Remote-Abonnements und/oder die ein Remote-Änderung von Abonnements. Es wird ein Vertrauensmodell für das Remote-Subscription-Management von M2ME definiert. Sicherheitsbedrohungen und Sicherheitsanforderungen werden identifiziert und eine Bewertung von Lösungskandidaten bereitgestellt.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers sowie ein Computerprogrammprodukt, bereitzustellen.
  • Die der Erfindung zugrunde liegenden Aufgaben werden mit den Merkmalen der unabhängigen Patentansprüche gelöst. Bevorzugte Ausführungsformen der Erfindung sind in den abhängigen Patentansprüchen angegeben.
  • Es wird ein Verfahren zur Kommunikation von mit einem Smart Meter erfassten energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein erstes Computersystem eines Energieversorgers und/oder Messstellenbetreibers vorgeschlagen, wobei die Vorrichtung ein Sicherheitsmodul aufweist, wobei das Sicherheitsmodul als einzige Kommunikationsschnittstelle der Vorrichtung mit dem ersten Computersystem dient, wobei die Vorrichtung für ihren Betrieb notwendige Konfigurationsdaten aufweist, wobei der Vorrichtung eine Angabe derjenigen Messdatenelemente und/oder Konfigurationsdaten zugeordnet ist, für welche das erste Computersystem für einen Lesezugriff berechtigt ist. Das Verfahren umfasst zunächst den Aufbau eines ersten Kommunikationskanals zwischen dem ersten Computersystem und dem Sicherheitsmodul. Dem folgt eine direkte gegenseitige Authentifizierung des Computersystems und des Sicherheitsmoduls, wobei die Authentifizierung mit Hilfe eines ersten Zertifikats des Sicherheitsmoduls und mit Hilfe eines zweiten Zertifikats des ersten Computersystems erfolgt. Unter dem Begriff der „direkten gegenseitigen Authentifizierung“ wird dabei verstanden, dass ein zweites Computersystem hierzu nicht involviert sein muss, um z.B. als vermittelnde Einrichtung zwischen dem Sicherheitsmodul und dem ersten Computersystem Authentifizierungsmaßnahmen durchzuführen. Insbesondere schließt dies aus, dass das erste Computersystem und/oder das Sicherheitsmodul ein zweites Computersystem benötigen, um überhaupt Authentifizierungsmaßnahmen durchführen zu können. So ist ein zweites Computersystem zur Überprüfung der Echtheit von Zertifikaten, von Rechten zur Kommunikation oder zu Identitätsüberprüfungen nicht notwendig.
  • Im letzten Schritt erfolgt nach erfolgreicher gegenseitiger Authentifizierung ein Übermitteln zumindest eines Teils der in der Angabe spezifizierten Messdatenelemente und/oder Konfigurationsdaten über das Sicherheitsmodul an das erste Computersystem durch eine gesicherte Übertragung.
  • Unter Konfigurationsdaten werden dabei jegliche Arten von Daten verstanden, welche den Betrieb der Vorrichtung oder der der Vorrichtung zugeordneten Smart Meter konfigurieren. Dies umfasst auch die Konfiguration der Art und Weise einer Energie-Messdatenerfassung mittels der Messdatenelemente wie z.B. die Taktung der Messdatenerfassung, Messdatenauswertung, Messdatenaggregation, Messdatenumwandlung, sowie standortspezifische Daten für die Vorrichtung oder der Vorrichtung zugeordnete Smart Meter.
  • Unter „Messdatenelemente“ wird jegliche Art von Daten verstanden, welche aus einer Energieverbrauchsmessung mit einem Smart Meter resultieren. Dies umfasst z.B. einen Zeitpunkt der Erfassung von Messdaten der Energieverbrauchsmessung, einzelne Messdatenpunkte zum jeweiligen Zeitpunkt und Informationen über das Zustandekommen der Messdaten wie zum Beispiel Stromstärke, Spannung, Wasserdruck, Wassertemperatur oder Gasdruck.
  • Ausführungsformen der Erfindung können den Vorteil haben, dass durch die Bereitstellung des beschriebenen Berechtigungskonzepts in Form der Angaben spezifisch für jeden Energieversorger und/oder Messstellenbetreiber im Voraus festgelegt werden kann, welche Messdatenelemente und/oder Konfigurationsdaten überhaupt durch diesen Energieversorger und/oder Messstellenbetreiber ausgelesen oder erfasst werden dürfen. Dadurch ist ein Datenschutz in hohem Maß gewährleistet.
  • Erfindungsgemäß weist die Vorrichtung einen Speicherbereich auf, wobei in dem Speicherbereich ein erster Teil der Angabe gespeichert ist.
  • Erfindungsgemäß umfasst das Verfahren ferner den Aufbau eines zweiten Kommunikationskanals zwischen einem zweiten Computersystem und dem Sicherheitsmodul, wobei das erste Computersystem und das zweite Computersystem einem über ein Netzwerk verbundenen Satz von Computersystemen zugeordnet ist. Es folgt eine Authentifizierung des zweiten Computersystems gegenüber dem Sicherheitsmodul, wobei die Initialisierung der Ermöglichung einer Kommunikation des Sicherheitsmoduls mit dem ersten Computersystem dient, wobei vor der Initialisierung des Speicherbereichs ausschließlich für das zweite Computersystem des Satzes von Computersystemen eine erfolgreiche Authentifizierung gegenüber dem Sicherheitsmodul möglich ist. Nach erfolgreicher Authentifizierung des zweiten Computersystems gegenüber dem Sicherheitsmodul erfolgt ein Empfang von Daten von dem zweiten Computersystem durch das Sicherheitsmodul durch eine gesicherte Übertragung und Speicherung der Daten in dem Speicherbereich zur Initialisierung des Speicherbereichs, wobei erst aufgrund der gespeicherten Daten die Kommunikation des ersten Computersystems und dem Sicherheitsmodul unter Umgehung des zweiten Computersystems ermöglicht wird. Zuvor ist eine Kommunikation des Sicherheitsmoduls und damit der Vorrichtung mit dem ersten Computersystem weder direkt, noch indirekt überhaupt möglich.
  • Ausführungsformen der Erfindung könnten den Vorteil haben, dass durch den Initialisierungsvorgang in sicherer, eindeutiger und nachvollziehbarer Weise eine Möglichkeit bereitgestellt werden kann, welche eine sichere Kommunikation zwischen dem Smart-Meter und einem autorisierten Marktteilnehmer wie einem Energieversorger oder einem Messstellenbetreiber ermöglicht. Vorzugsweise handelt es sich dabei bei dem zweiten Computersystem um ein Computersystem einer vertrauenswürdigen Instanz, welche auch als „Trusted Service Manager“ oder „TSM“ bezeichnet wird.
  • Vorzugsweise ist hierfür das Sicherheitsmodul beispielsweise in seinem Auslieferungszustand so konfiguriert, dass ausschließlich diese vertrauenswürdige Instanz in der Lage ist, eine Kommunikation nach erfolgreicher Authentifizierung mit dem Sicherheitsmodul durchzuführen. Dadurch ist gewährleistet, dass insbesondere eine entgeltrelevante Konfiguration des Smart-Meterings nur einer solchen Stelle überlassen wird, welche sowohl von den autorisierten Markteilnehmern, das heißt zum Beispiel den Messstellenbetreibern und/oder den eigentlichen Energieversorgern, als auch den Endverbrauchern als vertrauenswürdig eingestuft ist. Unter „entgeltrelevante Konfiguration“ wird im Folgenden verstanden, dass durch diese Konfiguration bezüglich eines Smart-Meters festgelegt wird, wer zum Beispiel wie zur Abrechnung der durch das Smart-Meter erfassten Energiemengen berechtigt ist. Ferner kann dadurch auch festgelegt werden, welche Personen wie Endverbraucher und autorisierte Marktteilnehmer in welchem Umfang auf die Funktionen und bezüglich des Smart Meters verfügbaren Informationen überhaupt Zugriff haben dürfen. Da diese Festlegung von Seitens einer vertrauenswürdigen Stelle erfolgt, ist dadurch gewährleistet, dass ein Missbrauch dieser Funktionen und Informationen durch unbefugte Dritte ausgeschlossen ist. Die Informationen können dabei z.B. Standortinformationen des Smart Meters, durch das Smart Meter gemessene Werte, Standortinformationen des Speicherbereichs oder jegliche im Speicherbereich enthaltene Werte umfassen.
  • Durch die Speicherung der empfangenen Daten in dem Speicherbereich zur Initialisierung des Speicherbereichs können somit bezüglich einem oder mehrerer diesem Speicherbereich zugeordneter Smart-Meter z.B. festgelegt werden, an wen zum Beispiel erfasste Energiemengen gemeldet werden, wie die Energiemengen zeitlich gesehen zu erfassen sind, welche Informationen oder „Attribute“ ein autorisierter Marktteilnehmer bezüglich des Smart-Meters erfassen und/oder abfragen darf. Ferner kann dadurch auch festgelegt werden, inwieweit ein zum Beispiel Endverbraucher Zugriff auf die Informationen hat, welche bezüglich des Smart-Meters entweder im Smart-Meter selber oder an einer dem Smart-Meter zugeordneten Vorrichtung oder dem Sicherheitsmodul hinterlegt sind.
  • Ausführungsformen der Erfindung sind also insgesamt besonders vorteilhaft, da ein besonders hohes Maß an Vertrauenswürdigkeit hinsichtlich der bezüglich der Vorrichtung hinterlegten Daten „Konfigurationsdaten“ als auch hinsichtlich des Datenschutzes der von durch der Vorrichtung zugeordneten Smart-Metern erfassten Messdatenelemente sowohl für Endverbraucher als auch für Messstellenbetreiber und Energieversorger gewährleistet ist.
  • Durch die genannten Verfahrensschritte wird sichergestellt, dass ausschließlich dann Messdatenelemente und/oder Konfigurationsdaten zwischen dem zweiten Computersystem des Energieversorgers oder Messstellenbetreibers und dem Sicherheitsmodul übertragen werden, wenn sowohl Energieversorger oder Messstellenbetreiber und Endverbraucher an einer solchen Datenübertragung überhaupt interessiert sind und wenn beide Seiten in eine solche Datenübertragung zuvor eingewilligt haben. Nur dann wird der besagte Speicherbereich mit den Berechtigungs-Angaben für das erste Computersystem durch die vertrauenswürdige Instanz versehen sein. Da die Instanz des zweiten Computersystems ja vertrauenswürdig ist, können Endverbraucher davon ausgehen, dass für ihre Vorrichtung ohne Einwilligung keine ungewollte Freischaltung von ersten Computersystemen durch entsprechende Hinterlegung der besagten Angaben in dem Speicherbereich erfolgt.
  • Es sei angemerkt, dass im Rahmen der gesamten Beschreibung vorzugsweise sämtliche Zertifikate durch den Betreiber des zweiten Computersystems ausgestellt sein sollten. Auch dadurch wird die Sicherung der Vertrauenswürdigkeit sowohl von erstem und zweiten Computersystem, als auch des Sicherheitsmoduls gewährleistet.
  • Erfindungsgemäß umfassen die gespeicherten Daten den ersten Teil der Angabe. Eine Akzeptanz eines obig beschriebenen Datenschutzkonzepts ist somit insbesondere dadurch gegeben, dass die Zugriffsberechtigungen, d.h. die Angabe durch die vertrauenswürdige Stelle, nämlich das zweite Computersystem autorisiert wird.
  • Nach einer Ausführungsform der Erfindung erfolgt die gesicherte Übertragung durch eine Ende-zu-Ende-Verschlüsselung zwischen dem zweiten Computersystem und dem Sicherheitsmodul. Dies ermöglicht es, die Verbindung zwischen dem Sicherheitsmodul und dem zweiten Computersystem über beliebige Netzwerke aufzubauen, da aufgrund der Ende-zu-Ende-Verschlüsselung keine Änderungen der über die Verbindung übertragenen Daten durch Dritte vorgenommen werden können. Allgemein kann die Erfindung dadurch realisiert werden, dass die gesamte Kommunikation zwischen dem zweiten Computersystem und dem Sicherheitsmodul über beliebige Arten von Netzwerken erfolgen kann. Dies umfasst eine Kommunikation über das Internet, eine Kommunikation durch drahtlose Netzwerkverbindungen wie beispielsweise Mobilfunk, als auch eine Kommunikation unter Verwendung einer Trägerfrequenzanlage. Letztere ist auch unter dem Namen: „Powerline Datenübertragung“ bekannt und umfasst Vorrichtungen zur Datenübertragung über vorhandene Stromnetze. Vorzugsweise findet diese Ende-zu-Ende Verschlüsselung auch für die Kommunikation zwischen erstem Computersystem und Sicherheitsmodul statt.
  • Nach einer weiteren Ausführungsform der Erfindung erfolgt die Authentifizierung des ersten Computersystems gegenüber dem Sicherheitsmodul mit Hilfe eines dritten Zertifikats des zweiten Computersystems. Das Sicherheitsmodul kann dann anhand dieses Zertifikats überprüfen, ob das zweite Computersystem die erforderliche Berechtigung für einen Schreibzugriff auf den Speicherbereich hat, bevor ein solcher Schreibzugriff durch das zweite Computersystem durchgeführt werden kann.
  • Nach einer Ausführungsform der Erfindung ist vor der Initialisierung des Speicherbereichs ausschließlich bei Vorliegen des dritten Zertifikats die erfolgreiche Authentifizierung gegenüber dem Sicherheitsmodul möglich. Damit ist sichergestellt, dass grundsätzlich nur die vertrauenswürdige Stelle in Form des zweiten Computersystems zur Inbetriebnahme der Vorrichtung in der Lage ist. Damit werden Manipulationen oder gar Ausspähversuche der Vorrichtung unterbunden - ohne initiale Verwendung des zweiten Computersystems und damit einer Einrichtung, welcher alle Teilnehmer vertrauen, ist eine Kommunikation mit der Vorrichtung bzw. dem Sicherheitsmodul nicht möglich. Vorzugsweise wird erst durch die Speicherung der Daten in dem Speicherbereich zur Initialisierung des Speicherbereichs das Sicherheitsmodul für eine Kommunikation mit dem ersten Computersystem freigeschaltet, wobei durch die in dem Speicherbereich gespeicherten Daten selbst die Kommunikation mit dem ersten Computersystem freigeschaltet wird. Vor der Initialisierung des Speicherbereichs ist somit ausschließlich für das zweite Computersystem des Satzes von Computersystemen ein Zugriff auf den Speicherbereich möglich.
  • Nach einer Ausführungsform der Erfindung umfasst die Authentifizierung ein Challenge-Response-Verfahren. Z.B. kann ein kryptografisches Protokoll, beispielsweise basierend auf einem symmetrischen Schlüssel oder einem asymmetrischen Schlüsselpaar zum Einsatz kommen, um eine Authentifizierung des ersten bzw. zweiten Computersystems gegenüber dem Sicherheitsmodul vorzunehmen.
  • Nach einer Ausführungsform der Erfindung ist ein zweiter Teil der Angabe in dem zweiten Zertifikat enthalten. Eine Akzeptanz eines solchen Datenschutzkonzepts ist hier insbesondere dadurch gegeben, dass also die Angaben, d.h. die Berechtigungen zusätzlich oder alternativ in einem amtlichen Dokument, nämlich einem Zertifikat, enthalten sind. Da das Zertifikat fälschungssicher ist und dessen Echtheit ohne Weiteres durch den Endverbraucher überprüft werden kann wird auch dadurch ein besonders hohes Maß an Vertrauenswürdigkeit hinsichtlich der spezifizierten Angaben ermöglicht. Vorzugsweise ist wiederum das zweite Zertifikat durch das zweite Computersystem signiert.
  • Nach einer Ausführungsform der Erfindung erfolgt der Aufbau des ersten Kommunikationskanals durch das Sicherheitsmodul, wobei die Übermittlung des Teils der in der Angabe spezifizierten Messdatenelemente und/oder Konfigurationsdaten durch ein Push-Verfahren erfolgt. Dadurch ist es also möglich, dass beispielsweise in zusätzlich in der Angabe oder allgemein bei der Initialisierung des Speicherbereichs festgelegten zeitlichen Abständen das Sicherheitsmodul den ersten Kommunikationskanal aufbaut, um dadurch in diesen zeitlichen Abständen zum Beispiel Energieverbrauchswerte an das erste Computersystem zu übermitteln. Möglich ist dabei auch zum Beispiel, dass der erste Kommunikationskanal nur unter bestimmten bei Initialisierung des Speicherbereichs festgelegten Bedingungen aufgebaut wird. Solche Bedingungen können zum Beispiel eine Aggregation der erfassten Energiemengen oberhalb eines vorbestimmten Schwellwertes umfassen.
  • Nach einer weiteren Ausführungsform der Erfindung umfassen die von dem zweiten Computersystem empfangenen Daten eine Energieerfassungsanwendung, wobei die Energieerfassungsanwendung mit den Daten von dem zweiten Computersystem durch das Sicherheitsmodul empfangen wurde. Dadurch ist es möglich, bei der Initialisierung des Speicherbereichs durch das zweite Computersystem eine Energieerfassungsanwendung bereitzustellen, welche in durch beispielsweise den Messstellenbetreiber oder den Energieversorger zuvor spezifizierter Weise eine Energieerfassung und/oder Energieabrechnung ermöglichen. Außerdem könnte durch eine solche Energieerfassungsanwendung festgelegt werden, wie eine Energieerfassung zu erfolgen hat. Diese kann beispielsweise eine sekundengenaue Abrechnung oder aber eine Abrechnung mit aggregiertem Energieverbrauch über einen vorbestimmten Zeitraum erfassen. Ferner kann die Energieerfassungsanwendung auch eine Schnittstelle bereitstellen, über welcher ein Endverbraucher in vordefinierter Weise eine Überwachung seines Energieverbrauchs selbst vornehmen kann.
  • Es sei an dieser Stelle angemerkt, dass Ausführungsformen der Erfindung besonders dann vorteilhaft sind, wenn der Speicherbereich und das Sicherheitsmodul in einem Smart-Meter-Gateway enthalten sind. In diesem Fall ist z.B. möglich, den Smart-Meter-Gateway mit verschiedenen Smart-Metern zu koppeln, sodass bei einem Initialisierungsvorgang spezifische Energieerfassungsanwendungen und/oder Konfigurationsdaten für jeden Smart-Meter und gegebenenfalls pro Smart-Meter für verschiedene Energieversorger oder Messstellenbetreiber bereitgestellt werden können. Dies umfasst auch die erneute Verwendung der Verfahrensschritte zur Initialisierung des Speicherbereichs bezüglich eines Updates des Inhalts des Speicherbereichs, beispielsweise aufgrund einer Aktualisierung einer Energieerfassungsanwendung. Ferner umfasst dies die Möglichkeit des späteren Hinzufügens von einer oder weiterer Energieerfassungsanwendungen zu dem Speicherbereich. Dadurch ist durch die Bereitstellung eines einzelnen Gateways eine nahezu unbegrenzte Erweiterungsfähigkeit mit einer Vielzahl verschiedener Smart-Meter und die Möglichkeit einer Zugriffskontrolle auf den Gateway für eine Vielzahl von verschiedenen Energieversorgern und/oder Messstellenbetreibern möglich. Dies ist insbesondere im Hinblick auf die Verwendung beispielsweise in Mehrfamilienhäusern relevant, in welchen verschiedene Teilnehmer zu verschiedenen Uhrzeiten und Wochentagen verschiedene Energieversorger oder Messstellenbetreiber zur Energieabrechnung und -versorgung bestimmt haben.
  • Die bezüglich der Energieerfassungsanwendung beschriebene Vorgehensweise kann alternativ oder zusätzlich analog auch bezüglich der Konfigurationsdaten und/oder der Berechtigungs-Angaben selbst vorgenommen werden. Dies umfasst also z.B. ein Update der Konfigurationsdaten durch das zweite Computersystem und das Hinzufügen neuer Konfigurationsdaten durch das zweite Computersystem, sowie eine Änderung des Berechtigungskonzepts durch das zweite Computersystem. Gesichert werden sollte, dass ausschließlich das zweite Computersystem eine Veränderung, Aktualisierung oder Löschung der Angaben vornehmen darf.
  • Nach einer weiteren Ausführungsform der Erfindung initiiert die Energieerfassungsanwendung den Aufbau des ersten Kommunikationskanals. Wie bereits oben erwähnt ist es damit möglich, insbesondere in zuvor festgelegten Zeitabständen, eine Meldung der erfassten Energiemengen an den Energieversorger und/oder Messstellenbetreiber zu senden. Dies erspart also dem Energieversorger oder Messstellenbetreiber die Notwendigkeit, eine zeitlich sinnvolle Abfrage des erfassten Energieverbrauchs vorzunehmen. Wird beispielsweise der Energieverbrauch nur dann an das erste Computersystem gemeldet, wenn ein Mindest-Energieverbrauch überschritten wird, erspart sich somit das erste Computersystem eine unter Umständen überflüssige Abfrage, weil der Gesamtenergieverbrauch noch nicht diesen Schwellwert überschritten hat. Nichtsdestotrotz ist es selbstverständlich möglich, in regelmäßigen Abständen, zum Beispiel bei Erstellung einer Endabrechnung, von Seitens des ersten Computersystems eine Kommunikation mit dem Sicherheitsmodul aufzubauen und damit die Messdatenelemente von dem Sicherheitsmodul an das erste Computersystem zu übertragen.
  • Erfindungsgemäß handelt es sich bei der Vorrichtung um einen Smart Meter Gateway. Im Falle eines Gateways ist diesem Gateway wiederum mindestens ein weiterer Smart Meter zugeordnet. Das Sicherheitsmodul ist jedoch im Gateway enthalten.
  • Nach einer Ausführungsform der Erfindung sind entweder der Speicherbereich und das Sicherheitsmodul im dem Smart-Meter selbst enthalten oder aber der Speicherbereich und das Sicherheitsmodul sind in einem Smart-Meter-Gateway enthalten, wobei das Smart-Meter an dem Smart-Meter-Gateway ankoppelbar ist. Möglich ist beispielsweise, dass das Smart-Meter und der Smart-Meter-Gateway über eine drahtlose und/oder drahtgebundene Kommunikationsverbindung miteinander gekoppelt sind.
  • In allen Fällen dient der Speicherbereich unter anderem dazu, solche Daten wie Zertifikate und kryptografische Schlüssel dauerhaft zu speichern, welche einen zuverlässigen und sicheren Datenaustausch zwischen den die Smart-Meter betreibenden Endkunden und den diesen Smart-Metern zugeordneten Energieversorgern oder Messstellenbetreibern geschützt gewährleisten.
  • Insbesondere im Falle dessen der Speicherbereich in dem Smart-Meter-Gateway enthalten ist, ergibt sich der Vorteil, dass eine einzelne zentrale Einheit vorgesehen werden kann, welche für beliebige Kommunikationen mit außerhalb des Netzwerks Smart-Meter-Smart-Meter-Gateway befindlichen Teilnehmern ein einzelnes zentrales Kommunikations-Interface bereitstellt..
  • Nach einer Ausführungsform der Erfindung hat das Sicherheitsmodul die Form einer Chipkarte. Beispielsweise könnte das Sicherheitsmodul in Form einer Chipkarte durch den Betreiber des zweiten Computersystems vorkonfiguriert werden, indem auf der Chipkarte diejenige Informationen gespeichert werden, welche es ermöglichen, eine Authentifizierung des zweiten Computersystems gegenüber dem Sicherheitsmodul zur späteren Durchführung des Initialisierungsvorgangs zu ermöglichen.
  • Nach einer Ausführungsform der Erfindung handelt es sich bei dem zweiten Computersystem um ein behördlich zertifiziertes Trustcenter.
  • Erfindungsgemäß weist das Sicherheitsmodul eine eindeutige Kennung „GUID“ (Globally Unique Identifier) auf. Nach einer weiteren Ausführungsform der Erfindung wird bei der Übermittelung des zumindest einen Teils der in der Angabe spezifizierten Messdatenelemente und/oder Konfigurationsdaten die Kennung durch das Sicherheitsmodul der Übermittelung hinzugefügt. Dies könnte den Vorteil haben, dass für das erste Computersystem zweifelsfrei feststellbar ist, dass die empfangenen Messdatenelemente und/oder Konfigurationsdaten auch tatsächlich von der Vorrichtung stammen. Das Sicherheitsmodul könnte zudem noch die Kennung mit seinem privaten Schlüssel signieren, so dass eine hohe Fälschungssicherheit gegeben ist.
  • Nach einer Ausführungsform der Erfindung handelt es sich bei der Kennung des Sicherheitsmoduls um einen öffentlichen Schlüssel des Sicherheitsmoduls oder eine IPv6-Adresse des Sicherheitsmoduls. Die Verwendung des öffentlichen Schlüssels des Sicherheitsmoduls als Kennung des Sicherheitsmoduls hat den Vorteil, dass dadurch ein GUID (Globally Unique Identifier) bereitgestellt werden kann, welcher mit nahezu absolut sicherer Wahrscheinlichkeit eindeutig ist. Im Falle der Verwendung der GUID in Form des öffentlichen Schlüssels könnte die Eindeutigkeit durch einfache Vergabe eines möglichst langen öffentlichen Schlüssels gewährleistet werden. Im Falle dessen es sich bei der Kennung des Sicherheitsmoduls um eine IPv6-Adresse handelt, wäre es in einfacher Weise möglich, über bestehende Netzwerke eine eindeutige Adressierung des Sicherheitsmoduls vorzunehmen.
  • Nach einer weiteren Ausführungsform der Erfindung beinhalten das erste Zertifikat den öffentlichen Schlüssel des Sicherheitsmoduls. Dieser öffentliche Schlüssel ist dabei einem privaten Schlüssel zugeordnet, welcher in einem geschützten Speicherbereich im Sicherheitsmodul gespeichert ist. Das Zertifikat kann nach einem Public Key Infrastructure (PKI)-Standard erstellt worden sein, beispielsweise nach dem X.509-Standard.
  • An dieser Stelle sei angemerkt, dass die beschriebenen Zertifikate (erstes, zweites und drittes Zertifikat) nicht zwangsläufig in einem Speicher der hierfür vorgesehenen Vorrichtung (Sicherheitsmodul, erstes Computersystem, zweites Computersystem) gespeichert sein müssen. Alternativ oder zusätzlich ist es auch möglich, dass die Zertifikate auf einem öffentlichen Verzeichnisserver abgespeichert sind.
  • Nach einer Ausführungsform der Erfindung ist das Sicherheitsmodul untrennbar mit der Vorrichtung verbunden. Unter „untrennbar“ wird dabei eine dauerhafte Verknüpfung von Sicherheitsmodul und Vorrichtung verstanden, welche eine Funktionsfähigkeit des Sicherheitsmoduls gewährleistet. Sobald versucht wird, das Sicherheitsmodul von der Vorrichtung zu entfernen, geht das Sicherheitsmodul in einen unbrauchbaren, d.h. funktionsunfähigen Zustand über. Dies kann entweder durch eine elektronische Selbstzerstörung, Selbstdeaktivierung oder eine physikalische Zerstörung oder Deaktivierung des Sicherheitsmoduls gewährleistet sein. Im einfachsten Fall könnte das Sicherheitsmodul in einem Gehäuse der Vorrichtung eingegossen sein, sodass aufgrund des „Aufbrechens“ dieser Gussverbindung die Zerstörung des Sicherheitsmoduls resultiert.
  • Vorzugsweise wird aufgrund des Verbindens des Sicherheitsmoduls mit der Vorrichtung ein Verknüpfungsprozess auf der Vorrichtung und vorzugweise auch auf den der Vorrichtung zugeordneten Smart-Meters gestartet, wobei durch den Verknüpfungsprozess eine untrennbare logische Verknüpfung zwischen dem Sicherheitsmodul und der Vorrichtung und den Smart-Meters hergestellt wird. Zum Beispiel umfasst diese untrennbare logische Verknüpfung einen irreversiblen Kopiervorgang des ersten Zertifikats oder der Kennung des Sicherheitsmoduls auf dem Speicherbereich.
  • In einem weiteren Aspekt betrifft die Erfindung ein Computerprogrammprodukt mit von einem Prozessor ausführbaren Instruktionen zur Durchführung der oben beschriebenen Verfahrensschritte.
  • Im Folgenden werden bevorzugte Ausführungsformen der Erfindung anhand der Zeichnungen näher erläutert. Es zeigen:
    • 1 ein Blockdiagramm eines Systems zur Implementierung des obig beschriebenen Verfahrens,
    • 2 ein Flussdiagramm einer Ausführungsform eines Verfahrens zur Initialisierung eines Speicherbereichs,
    • 3 ein Flussdiagramm eines Verfahrens zum Empfangen bzw. Abrufen von Messdatenelementen,
  • Im Folgenden werden einander ähnliche Elemente mit gleichen Bezugszeichen gekennzeichnet.
  • Die 1 zeigt ein Blockdiagramm eines Gesamtsystems zur Initialisierung eines Speicherbereichs. Zusammen mit den in 2 gezeigten Verfahrensschritten zur Initialisierung eines Speicherbereichs soll im Folgenden ohne Beschränkung der Allgemeinheit gezeigt werden, wie ein Speicherbereich 136 eines Gateways 138, welcher einer Vielzahl von Smart-Metern 142, 144, 146, 148 zugeordnet ist, initialisiert werden kann.
  • Die Smart-Meter 142 - 148 dienen dabei der Erfassung verschiedener Energieverbrauchswerte bezüglich zum Beispiel Gas (Smart-Meter 142), Wasser (Smart-Meter 144), Strom (Smart-Meter 146) und weiteren nicht näher spezifizierten Energieformen (Smart-Meter 148). Die Smart-Meter sind dabei über entsprechende Kommunikationsverbindungen 192 mit dem Interface 118 des Gateways 138 verbunden.
  • Es sei davon ausgegangen, dass ein Sicherheitsmodul 100 fest und untrennbar mit dem Gateway 138 verbunden ist, sodass insgesamt durch die Kombination des Gateways 138 und des Sicherheitsmoduls 100 eine untrennbare Einheit 140 gegeben ist. Der Gateway 138 und das Sicherheitsmodul 100 kommunizieren über jeweilige Interfaces 118 bzw. 116 miteinander. Über das Interface 116 findet ferner eine Kommunikation mit autorisierten Markteilnehmern und dritten Personen bzw. Instanzen statt, welche nicht innerhalb des durch die Einheit 140 und den Smart-Metern 142 - 148 gebildeten Netzwerks befindlich sind. Die Kommunikation zwischen Interface 116 des Sicherheitsmoduls 100 und weiteren Kommunikationsteilnehmern erfolgt dabei über eine Kommunikationsverbindung 190. Hierbei kann es sich beispielsweise um eine Powerline-Verbindung oder eine Kommunikationsverbindung über ein mobiles Telekommunikationsnetz oder das Internet handeln.
  • Das Sicherheitsmodul 100 hat einen elektronischen Speicher 102 mit geschütztem Speicherbereich 106 und 108. Der geschützte Speicherbereich 106 dient zur Speicherung eines privaten Schlüssels des Sicherheitsmoduls 100 und der Speicherbereich 108 dient zur Speicherung einer Kennung des Sicherheitsmoduls „GUID“ (Globally Unique Identifier). Bei dem GUID kann es sich beispielsweise um eine IPv6-Adresse des Sicherheitsmoduls 100 handeln.
  • Der elektronische Speicher 102 kann ferner einen Speicherbereich 104 zur Speicherung eines Zertifikats aufweisen. Das Zertifikat beinhaltet einen öffentlichen Schlüssel, der dem in dem geschützten Speicherbereich 106 gespeicherten privaten Schlüssel zugeordnet ist. Das Zertifikat kann nach einem Public Key Infrastructure (PKI)-Standard erstellt worden sein, beispielsweise nach dem X.509-Standard.
  • Das Zertifikat muss nicht zwangsläufig mit dem elektronischen Speicher 102 des Sicherheitsmoduls 100 gespeichert sein. Alternativ oder zusätzlich kann das Zertifikat auch in einem öffentlichen Verzeichnisserver gespeichert sein.
  • Das Sicherheitsmodul 100 hat einen Prozessor 110 zur Ausführung von Programm instruktionen 112 und 114. Durch Ausführung der Programminstruktionen 112 „kryptografisches Protokoll“ wird beispielsweise eine Authentifizierung einer vertrauenswürdigen Instanz 150 oder eines Energieversorgers 166 gegenüber dem Sicherheitsmodul 100 ermöglicht. Bei dem kryptografischen Protokoll kann es sich beispielsweise um ein Challenge-Response-Protokoll basierend auf einem symmetrischen Schlüssel oder einem asymmetrischen Schlüsselpaar handeln.
  • Möglich ist natürlich auch eine gegenseitige Authentifizierung von Sicherheitsmodul und vertrauenswürdiger Instanz bzw. Energieversorger.
  • Die Programminstruktionen 114 dienen zur Ende-zu-Ende-Verschlüsselung von zwischen dem Sicherheitsmodul 100 und der vertrauenswürdigen Instanz 150 bzw. dem Energieversorger 166 zu übertragenden Daten. Für die Ende-zu-Ende-Verschlüsselung kann ein symmetrischer Schlüssel verwendet werden, der beispielsweise anlässlich der Ausführung des kryptografischen Protokolls zwischen dem Sicherheitsmodul 100 und den weiteren Teilnehmern 150 bzw. 166 vereinbart wird.
  • Ähnlich wie das Sicherheitsmodul 100 weist auch die vertrauenswürdige Instanz 150 einen elektronischen Speicher 152 und einen geschützten Speicherbereich 156 zur Speicherung eines privaten Schlüssels der vertrauenswürdigen Instanz auf. In dem Speicher 152 kann auch noch ein Zertifikat 154 der vertrauenswürdigen Instanz enthalten sein. Dieses Zertifikat kann jedoch ebenfalls auf einem zentralen Zertifikatserver gespeichert sein.
  • Ein Prozessor 158 der vertrauenswürdigen Instanz 150 weist wiederum die obig bezüglich des Sicherheitsmoduls 100 beschriebenen Programminstruktionen 112 und 114 zur Implementierung eines kryptografischen Protokolls und zur Durchführung einer Ende-zu-Ende-Verschlüsselung auf. Das kryptografische Protokoll und die Ende-zu-Ende-Verschlüsselung können zur Kommunikation über das Interface 164 mit dem Energieversorger 166 oder mit dem Sicherheitsmodul 100 verwendet werden. Das Zertifikat 154 beinhaltet wiederum einen öffentlichen Schlüssel, der dem in dem geschützten Speicherbereich 156 gespeicherten privaten Schlüssel zugeordnet ist.
  • Bei dem „Energieversorger“ 166 handelt es sich um ein Computersystem des Energieversorgers, welches wiederum einen elektronischen Speicher 168 und einen Prozessor 178 aufweist. Ferner ist diesem Computersystem ein Interface 186 zugeordnet, über welches eine Kommunikation mit der vertrauenswürdigen Instanz 150 bzw. dem Sicherheitsmodul ermöglicht wird.
  • Der elektronische Speicher 168 des Energieversorgers 166 weist einen geschützten Speicherbereich 172 mit einem privaten Schlüssel auf, wobei der private Schlüssel einem öffentlichen Schlüssel zugeordnet ist, welcher in einem Zertifikat 170 ebenfalls im elektronischen Speicher 168 enthalten ist. Ferner ist im Speicher 168 ein Speicherbereich für eine oder mehrere Anwendungen vorgesehen, wobei diese Anwendungen beispielsweise eine entgeltrelevante Konfiguration des Gateways 138 ermöglichen. Ebenfalls im elektronischen Speicher 168 können Messdaten 176 gespeichert sein, welche zuvor von dem Gateway 138 empfangen wurden.
  • Der Prozessor 178 weist Programminstruktionen 180 zur Erfassung der durch den Gateway 138 gelieferten Verbrauchsdaten und des Weiteren optional zur Ausführung von Verfahrensschritten zur Verbrauchsabrechnung in Abhängigkeit von den ermittelten Messdaten (Programminstruktionen 182) auf. Die Programminstruktionen zur Ausführung von Schritten eines kryptografischen Protokolls 112 sowie nicht gezeigte Programminstruktionen zur Durchführung einer Ende-zu-Ende-Verschlüsselung können ebenfalls vorgesehen sein, wobei durch diese Programm instruktionen eine sichere Kommunikation mit der vertrauenswürdigen Instanz 150 bzw. dem Sicherheitsmodul 100 ermöglicht wird.
  • Soll nun ein Neukunde dem Energieversorger 166 zugeordnet werden, könnte beispielsweise nach einer ersten Installation der Smart-Meter 142 - 148 und der Bereitstellung von Gateway 138 mit Sicherheitsmodul 100 ein Initialisierungsvorgang des Sicherheitsmoduls stattfinden. Dieser Initialisierungsvorgang könnte dadurch angestoßen werden, dass der Neukunde (ein Endverbraucher) oder eine bestimmte technische Instanz, welche die Smart-Meter installiert hatte, dem Energieversorger 166 eine entsprechende Mitteilung hierüber erstatten. Diese Mitteilung sollte vorzugsweise die GUID 108 des Sicherheitsmoduls 100 umfassen, da dadurch eine eindeutige Identifizierung des Sicherheitsmoduls 100 gegenüber dem Energieversorger 166 möglich ist.
  • Nachdem der Energieversorger 166 diese Mitteilung über sein Interface 186, beispielsweise über eine Webschnittstelle einer entsprechenden Webseite erhalten hat, baut der Energieversorger 166 einen Kommunikationskanal zur vertrauenswürdigen Instanz 150 auf. Dieser Schritt ist in 2 mit Bezugszeichen 200 bezeichnet. Die vertrauenswürdige Instanz kann hierbei beispielsweise ein sogenannter „Trusted Service Manager TSM“ sein, also eine behördlich zertifizierte Instanz, welche in elektronischen Kommunikationsprozessen die jeweilige Identität des Kommunikationspartners bescheinigt.
  • Nach dem Aufbau des Kommunikationskanals in Schritt 200 erfolgt eine Authentifizierung des Energieversorgers 166 im Schritt 202. Hierzu wird das Zertifikat 170 des Energieversorgers durch die vertrauenswürdige Instanz 150 überprüft. Beispielsweise kann die vertrauenswürdige Instanz 150 bei positiver Zertifikatsüberprüfung ein Challenge-Response-Verfahren durchführen, bei welchem eine Zufallszahl erzeugt wird, welche mit einem im Zertifikat 170 beinhalteten öffentlichen Schlüssel des Energieversorgers 166 verschlüsselt wird und an den Energieversorger 166 übermittelt wird. Der Energieversorger 166 kann daraufhin mit seinem privaten Schlüssel 172 die Zufallszahl entschlüsseln und im Klartext zurücksenden. Stimmt die nun von der vertrauenswürdigen Instanz 150 empfangene Zufallszahl mit der zuvor beschriebenen Zufallszahl überein, ist die Authentizität des Energieversorgers 166 tatsächlich gesichert.
  • Nach Durchführung des Schritts 202 und dem optionalen Challenge-Response-Verfahren kann daraufhin in Schritt 204 ein Kanal mit Ende-zu-Ende-Verschlüsselung über die Kommunikationsverbindung 188 zwischen Energieversorgung 166 und der vertrauenswürdigen Instanz 150 aufgebaut werden. Hierbei können die Programminstruktionen 114 des Prozessors 158 der vertrauenswürdigen Instanz zum Einsatz kommen.
  • Nach Aufbau des Kanals in Schritt 204 empfängt die vertrauenswürdige Instanz 150 in Schritt 206 eine Anforderung zum Aufspielen einer Energieerfassungsanwendung 174 des Energieversorgers 166 und dem Speicher 136 des Gateways 138. Um den Speicher 136 bzw. den Gateway 138 eindeutig zu spezifizieren, wird mit der Anforderung zur Initialisierung des Speichers 136 auch die GUID 128 des Gateways 138, welche im Speicher 136 enthalten ist, an die vertrauenswürdige Instanz übermittelt. Die GUID 128 des Speichers 136 ist identisch mit der GUID 108 des Speichers 102 des Sicherheitsmoduls 100.
  • Mit Empfang der GUID in Schritt 206 ist die vertrauenswürdige Instanz 150 in der Lage, eindeutig den gewünschten Gateway 138 zur Aufspielung der Anwendung 174 zu adressieren. Hierzu baut in einem nächsten Schritt 208 die vertrauenswürdige Instanz 150 über die Kommunikationsverbindung 190 einen Kommunikationskanal zum Sicherheitsmodul 100 auf. Die vertrauenswürdige Instanz 150 authentifiziert sich gegenüber dem Sicherheitsmodul 100, wobei die Authentifizierung nebst einer Überprüfung des Zertifikats 154 durch das Sicherheitsmodul beispielsweise wiederum ein Challenge-Response-Verfahren seitens des Sicherheitsmodul 100 umfasst. Hierzu könnte das Sicherheitsmodul 100 wiederum eine Zufallszahl erzeugen, mit dem öffentlichen Schlüssel der vertrauenswürdigen Instanz 150 verschlüsseln und an die vertrauenswürdige Instanz 150 senden. Die vertrauenswürdige Instanz 150 würde die verschlüsselte Zufallszahl mit ihrem privaten Schlüssel 156 entschlüsseln und die entschlüsselte Zufallszahl im Klartext zurück an das Sicherheitsmodul 100 senden. Stellt das Sicherheitsmodul fest, dass die so empfangene entschlüsselte Zufallszahl mit der ursprünglich seinerseits verschlüsselten Zufallszahl übereinstimmt, ist eine Authentifizierung der vertrauenswürdigen Instanz gegeben.
  • Das Verfahren setzt sich dann in Schritt 212 fort, nämlich den Aufbau eines Kommunikationskanals mit Ende-zu-Ende-Verschlüsselung zwischen der vertrauenswürdigen Instanz 150 und dem Sicherheitsmodul 100. Dies kann wiederum durch Verwendung der Programminstruktionen 114 des Prozessors 110 des Sicherheitsmoduls 100 erfolgen.
  • Im Schritt 214 empfängt das Sicherheitsmodul 100 die Energieerfassungsanwendung 174 von der vertrauenswürdigen Instanz.
  • An dieser Stelle sei angemerkt, dass es vorteilhaft sein kann, wenn beispielsweise die vertrauenswürdige Instanz die am häufigsten verschickten Energieerfassungsanwendungen in einem lokalen Speicher der vertrauenswürdigen Instanz vorrätig hält, sodass es nicht notwendig ist, bei Erschließung neuer Kunden ständig die Anwendungen 174 von dem Energieversorger 166 an die vertrauenswürdige Instanz 150 zu übertragen.
  • Nach Empfang der Energieerfassungsanwendung in Schritt 214 speichert das Sicherheitsmodul 100 die Anwendung in dem Speicher 136 des Gateways 138. Handelt es sich bei der Anwendung 174 beispielsweise um eine Anwendung, um Energieverbrauch bezüglich Wasser und Strom zu erfassen, so wird die Anwendung als die Anwendung 132 im Speicher 136 abgelegt. Diese Anwendung ist in der Lage, Energieverbrauchsdaten vom Smart-Meter 144 zu verarbeiten. Analog hierzu kann der Speicher 136 entsprechende Anwendungen für die Energieerfassung von Gas (134) sowie weitere Anwendungen 130 für die Erfassung weiterer Energieformen umfassen. Das Speichern der Energieerfassungsanwendung durch das Sicherheitsmodul 100 im Gateway 138 ist in 2 durch den Schritt 216 gekennzeichnet.
  • Zusätzlich zu dem Empfang der Energieerfassungsanwendung in Schritt 214 durch das Sicherheitsmodul 100 ist es auch möglich, dass von der vertrauenswürdigen Instanz 150 separate Angaben in Form Energieversorger-spezifische Berechtigungen oder genaue Spezifizierungen von Messdatenelementen empfangen werden, welche ebenfalls in einem weiteren Bereich 125 des Speichers 136 abgelegt werden. Diese Berechtigungen oder Spezifizierungen von Messdatenelementen ermöglichen es, im Voraus festzulegen, welche Informationen der Energieversorger 166 von dem Gateway 138 überhaupt erhalten darf. Hierzu ist es beispielsweise möglich, dass vorab von der vertrauenswürdigen Instanz 150 für jeden Energieversorger spezifische Berechtigungen definiert werden, welche global für alle Energieversorger 166 gelten und welche grundsätzlich mit der Übertragung von Energieerfassungsanwendungen dem Sicherheitsmodul und damit dem Gateway 138 übermittelt werden.
  • Ebenfalls möglich ist es, dass Konfigurationsdaten von der vertrauenswürdigen Instanz 150 erhalten werden. Diese Konfigurationsdaten können dabei die technische Konfiguration der Smart Meter und/oder des Gateways betreffen.
  • Anstatt oder zusätzlich zu diesen Berechtigungen oder Spezifizierungen in Form einer separaten Angabe ist es auch möglich, diese Berechtigungen oder Spezifizierungen in der Energieerfassungsanwendung selbst zu implementieren. Die Anwendung kontrolliert also selbständig anhand ihrer Programminstruktionen, welche Daten an den Energieversorger 166 kommuniziert werden.
  • Mittels der Programminstruktionen zur Datenerfassung 122 des Prozessors 126 ist nun der Gateway 138 in der Lage, Messdaten bezüglich eines Energieverbrauchs beispielsweise von dem Smart-Meter 144 und dem Smart-Meter 146 zu erfassen. Die entsprechenden Messdaten werden in dem Speicherbereich 124 des Speichers 136 abgelegt. Grundsätzlich bestehen die Messdaten 124 aus verschiedenen Messdatenelementen, welche beispielsweise umfassen können: Zeitpunkt der Erfassung der Messdaten, einzelne Messdatenpunkte zum jeweiligen Zeitpunkt, Informationen über das Zustandekommen der Messdaten (zum Beispiel Stromstärke, Spannung, Wasserdruck, Wassertemperatur, Gasdruck). Die Messdaten 124 können über die Anwendungen 130, 132 und 134 einer weiteren Auswertung unterzogen werden, woraus sich ausgewertete Messdaten ergeben, welche ebenfalls als „Messdatenelemente“ im Speicherbereich 124 abgelegt werden können. Beispielsweise kann es sich bei den ausgewerteten Messdaten um akkumulierte Energieverbrauchswerte handeln.
  • Die obig beschriebenen Berechtigungen 125 bzw. die Spezifizierungen der Messdatenelemente ermöglichen es, von vornherein festzulegen, welche dieser Messdatenelemente 124 der Energieversorger 126 überhaupt abrufen darf, bzw. welche dieser Messdatenelemente 124 an den Energieversorger 126 überhaupt übermittelt werden sollen. Ferner ermöglicht dies, von vornherein festzulegen, wie detailliert ein solches Kommunizieren erlaubt ist. Ein zu detailliertes und zeitgenaues Abrufen der Messdaten 124 könnte z.B. unerwünscht sein, da sich durch kurze Zeitintervalle von Messungen Erkenntnisse der Nutzung von elektronischen Geräten gewinnen und dadurch Benutzerprofile erstellt werden können, woran ein Endkunde jedoch gegebenenfalls kein Interesse haben könnte.
  • Im Hinblick auf das Flussdiagramm der 3 und der Annahme, dass Messdaten 124 durch den Gateway 138 erfasst wurden, sei nun im Folgenden beschrieben, wie die Messdaten zur Endabrechnung an den Energieversorger 166 übermittelt werden können. Im Folgenden wird dabei ohne Beschränkung der Allgemeinheit davon ausgegangen, dass der Energieversorger 166 die „Ablesung“, das heißt die Erfassung der im Speicher 136 enthaltenen Messdaten vornimmt. Jedoch ist es auch möglich, dass der Energieversorger 166 hierfür einen sogenannten Messstellenbetreiber beauftragt. Ein Messstellenbetreiber ist dabei ein Computersystem, welches im Auftrag des Energieversorgers 166 eine Erfassung der im Gateway 138 enthaltenen Messdaten vornimmt. Die im Folgenden beschriebenen Schritte, welche bezüglich des Energieversorgers 166 durchgeführt werden, gelten dabei analog im Falle des Ersetzens des Energieversorgers 166 durch einen entsprechenden Messstellenbetreiber.
  • In Schritt 300 wird seitens des Gateways 138 der Aufbau eines Kommunikationskanals mit dem Energieversorger 166 initiiert, wobei den eigentlichen Aufbau des Kommunikationskanals das Sicherheitsmodul 100 vornimmt. Hierzu kommunizierende Gateway 138 und das Sicherheitsmodul 100 über ihre jeweiligen Interfaces 118 bzw. 116. Über das Netzwerk 190, beispielsweise das Internet oder eine Powerline-Verbindung, findet in Schritt 302 eine gegenseitige Authentifizierung des Sicherheitsmoduls 100 und des Energieversorgers 166 statt. Hierzu kann wiederum eine gegenseitige Zertifikatsüberprüfung mittels der Zertifikate 104 und 170 durchgeführt werden. Zusätzlich ist es auch optional möglich, ein Challenge-Response-Verfahren zwischen Sicherheitsmodul 100 und Energieversorger 166 durchzuführen.
  • Die Initiierung des Aufbaus des Kommunikationskanals kann beispielsweise das Modul 120 vornehmen. Alternativ ist es möglich, dass die Anwendung 130, 132 oder 134 den Aufbau des Kommunikationskanals initiiert.
  • Nach erfolgreicher gegenseitiger Authentifizierung erfolgt in Schritt 304 der Aufbau eines Kommunikationskanals mit Ende-zu-Ende-Verschlüsselung, vorzugsweise initiiert mittels der Programminstruktion 114 des Sicherheitsmoduls 100. Der Energieversorger 166 empfängt in Schritt 306 die GUID 108 des Sicherheitsmoduls, welche mit der GUID 128 des Gateways übereinstimmt. Anhand der GUID 108 ist der Energieversorger 166 in der Lage, die zu empfangenden Messdaten auf dem richtigen Gateway und damit dem richtigen Endverbraucher zuzuordnen. Die GUID kann durch das Sicherheitsmodul signiert sein.
  • In Schritt 308 erfolgt der Empfang der Messdatenelemente durch den Energieversorger 166. Schritt 308 gliedert sich dabei wiederum in eine optionale Zahl weiterer Schritte 310 bis 318 auf. So findet beispielsweise in Schritt 310 durch das Sicherheitsmodul 100 ein Auslesen der Attribute, das heißt der Berechtigungen 125 aus dem Speicher 136 statt, um festzustellen, welche Messdatenelemente überhaupt an den Energieversorger 166 übermittelt werden sollen. Die Berechtigungen können dem Sicherheitsmodul 100 durch den obig beschriebenen Initialisierungsvorgang mitgeteilt worden sein. Alternativ oder zusätzlich ist es auch möglich, dass die Berechtigungen in einem Zertifikat enthalten sind, welches von dem Energieversorger 166 durch das Sicherheitsmodul erhalten wird. Da das Zertifikat von der vertrauenswürdigen Instanz 150 erstellt wurde, ist sichergestellt, dass das Sicherheitsmodul 100 und damit der Gateway 138 den darin enthaltenen Berechtigungsangaben vertrauen kann.
  • Es sei angemerkt, dass hier anstatt oder zusätzlich zu den Messdatenelementen auch in analoger weise Konfigurationsdaten an den Energieversorger 166 übermittelt werden können.
  • Wurden mit der soeben stattfindenden gegenseitigen Kommunikation keine spezifischen Attribute durch den Energieversorger 166 angefordert, so entscheidet Schritt 312, dass pauschal ein vordefinierter Teil der durch die Attribute spezifizierten Messdatenelemente in Schritt 318 an den Energieversorger 166 übermittelt werden. Wurde hingegen im Zuge der Kommunikation ein spezielles Attribut durch den Energieversorger angefordert, folgt in Schritt 314 eine Überprüfung, ob das Auslesen eines solchen Attributs, das heißt eines entsprechenden Messdatenelements durch den Energieversorger überhaupt zulässig ist. Ist dies nicht der Fall, erfolgt im Schritt 316 ein Abbruch des Verfahrens und Ausgabe einer Fehlermeldung an den Energieversorger 166. Ist hingegen das Auslesen der Attribute zulässig, erfolgt in Schritt 318 wiederum das Übermitteln der Messdatenelemente, welche durch dieses angeforderte Attribut spezifiziert werden.
  • Das Anfordern spezifischer Messdatenelemente durch den Energieversorger 166 könnte dann relevant sein, wenn beispielsweise der Energieversorger über eine Vielzahl von Berechtigungen zum Auslesen von Informationen aus dem Gateway besitzt, jedoch von all seinen Berechtigungen im Zuge einer bloßen üblichen Energieverbrauchsabrechnung überhaupt keinen Gebrauch machen möchte. So könnten die spezifizierten Messdatenelemente auch Informationen über einen ordnungsgemäßen Funktionsbetrieb des Gateways oder der angeschlossenen Smart-Meter enthalten, wobei im normalen Betrieb der Energieversorger 166 überhaupt nicht an diesen eher zu diagnostischen Zwecken dienenden Informationen interessiert ist. In diesem Fall würde vom Energieversorger 166 lediglich die Daten angefordert werden, welche auch tatsächlich zu einer Energieverbrauchsabrechnung relevant sind.
  • Die Datenübermittlung vom Gateway 138 über das Sicherheitsmodul 100 an den Energieversorger 166 erfolgt mittels Programminstruktionen 120 des Prozessors 126.
  • Bezüglich 3 sei noch angemerkt, dass hier davon ausgegangen wurde, dass der Aufbau des Kommunikationskanals seitens des Gateways 138 unter Verwendung des Sicherheitsmoduls erfolgte. Z.B. initiierte eine der Anwendungen 130 - 134 den Aufbau des Kommunikationskanals aufgrund, beispielsweise Ablauf eines entsprechenden Timers.
  • Allerdings ist es auch möglich, dass der Energieversorger 166 auf eigene Initiative eine Kommunikation mit dem Gateway 138 über das Sicherheitsmodul 100 initiiert. In diesem Fall wird also aktiv eine Abfrage der Messdaten 144 durch den Energieversorger 166 vorgenommen.

Claims (16)

  1. Verfahren zur Kommunikation von mit einem Smart Meter (142; 144; 146; 148) erfassten energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung (138) an ein erstes Computersystem (166) eines Energieversorgers und/oder Messstellenbetreibers, wobei die Vorrichtung (138) ein Sicherheitsmodul (100) aufweist, wobei das Sicherheitsmodul (100) eine GUID (108) aufweist, welche in einem Speicher (102) des Sicherheitsmoduls (100) gespeichert ist und das Sicherheitsmodul (100) eindeutig identifiziert, und wobei das Sicherheitsmodul (100) als einzige Kommunikationsschnittstelle der Vorrichtung (138) mit dem ersten Computersystem (166) dient, wobei die Vorrichtung für ihren Betrieb notwendige Konfigurationsdaten aufweist, wobei der Vorrichtung eine Angabe (125) derjenigen Messdatenelemente und/oder Konfigurationsdaten zugeordnet ist, für welche das erste Computersystem (166) für einen Lesezugriff berechtigt ist, wobei es sich bei der Vorrichtung (138) um ein Smart Meter Gateway handelt, in deren Speicherbereich (136) eine GUID (128) gespeichert ist, wobei die GUID (128) des Speicherbereichs (136) des Smart Meter Gateways identisch mit der GUID (108) des Speichers (102) des Sicherheitsmoduls (100) ist, wobei das Verfahren umfasst: - Aufbau eines ersten Kommunikationskanals zwischen dem ersten Computersystem (166) und dem Sicherheitsmodul (100), - direkte gegenseitige Authentifizierung des ersten Computersystems (166) und des Sicherheitsmoduls (100), wobei die Authentifizierung mit Hilfe eines ersten Zertifikats (104) des Sicherheitsmoduls (100) und mit Hilfe eines zweiten Zertifikats (170) des ersten Computersystems (166) erfolgt, - Nach erfolgreicher gegenseitiger Authentifizierung, Übermitteln zumindest eines Teils der in der Angabe (125) spezifizierten Messdatenelemente und/oder Konfigurationsdaten über das Sicherheitsmodul (100) an das erste Computersystem (166) durch eine gesicherte Übertragung, wobei in dem Speicherbereich (136) der Vorrichtung ein erster Teil der Angabe (125) gespeichert ist, wobei das Verfahren ferner die Schritte zur Initialisierung aufweist: - Aufbau eines zweiten Kommunikationskanals zwischen dem ersten Computersystem (166) und einem zweiten Computersystem (150), wobei das erste Computersystem (166) und das zweite Computersystem (150) einem über ein Netzwerk verbundenen Satz von Computersystemen zugeordnet ist, - Authentifizierung des ersten Computersystems (166) gegenüber dem zweiten Computersystem (150), - Nach erfolgreicher Authentifizierung des ersten Computersystems (166) gegenüber dem zweiten Computersystem (150), Empfang einer Anforderung zum Aufspielen einer Energieerfassungsanwendung (130; 132; 134; 174) des ersten Computersystem (166) in dem Speicher (136) des Smart Meter Gateways (138), sowie der GUID (108; 128) des Sicherheitsmoduls (100) von dem ersten Computersystem (166) durch das zweite Computersystem (150) durch eine mittels Ende-zu-Ende-Verschlüsselung zwischen dem ersten Computersystem (166) und dem zweiten Computersystem (150) gesicherte Übertragung, - Zuordnung der GUID (108; 128) zu dem zugehörigen Sicherheitsmodul (100) durch das zweite Computersystem (150), - Aufbau eines dritten Kommunikationskanals zwischen dem zweiten Computersystem (150) und dem Sicherheitsmodul (100), - Authentifizierung des zweiten Computersystems (150) gegenüber dem Sicherheitsmodul (100), wobei die Initialisierung der Ermöglichung einer Kommunikation des Sicherheitsmoduls (100) mit dem ersten Computersystem (166) dient, wobei vor der Initialisierung des Speicherbereichs (136) ausschließlich für das zweite Computersystem (150) des Satzes von Computersystemen eine erfolgreiche Authentifizierung gegenüber dem Sicherheitsmodul (100) möglich ist, - Nach erfolgreicher Authentifizierung des zweiten Computersystems (150) gegenüber dem Sicherheitsmodul (100), Empfang von Daten von dem zweiten Computersystem (150) durch das Sicherheitsmodul (100) durch eine gesicherte Übertragung und Speicherung der Daten in dem Speicherbereich (136) zur Initialisierung des Speicherbereichs (136), wobei erst aufgrund der gespeicherten Daten die Kommunikation des ersten Computersystems (166) und dem Sicherheitsmodul (100) unter Umgehung des zweiten Computersystems (150) ermöglicht wird, wobei die gespeicherten Daten den ersten Teil der Angabe (125) und eine Energieerfassungsanwendung (130; 132; 134; 174) umfassen, wobei es sich bei dem zweiten Computersystem (150) um ein Computersystem einer vertrauenswürdigen Instanz handelt, wobei die Initialisierung dadurch angestoßen wird, dass eine Übermittlung der GUID (108; 128) des Sicherheitsmoduls (100) an das erste Computersystem (166) erfolgt.
  2. Verfahren nach Anspruch 1, wobei die gesicherte Übertragung durch eine Ende-zu-Ende Verschlüsselung zwischen dem zweiten Computersystem (150) und dem Sicherheitsmodul (100) erfolgt.
  3. Verfahren nach einem der vorigen Ansprüche 1-2, wobei die Authentifizierung des zweiten Computersystems (150) gegenüber dem Sicherheitsmodul (100) mit Hilfe eines dritten Zertifikats (154) des zweiten Computersystems (150) erfolgt.
  4. Verfahren nach Anspruch 3, wobei vor der Initialisierung des Speicherbereichs (136) ausschließlich bei Vorliegen des dritten Zertifikats (154) die erfolgreiche Authentifizierung gegenüber dem Sicherheitsmodul (100) möglich ist.
  5. Verfahren nach einem der vorigen Ansprüche 1-4, wobei erst durch die Speicherung der Daten in dem Speicherbereich (136) zur Initialisierung des Speicherbereichs (136) das Sicherheitsmodul für eine Kommunikation mit dem ersten Computersystem (166) freigeschaltet wird, wobei durch die in dem Speicherbereich gespeicherten Daten selbst die Kommunikation mit dem ersten Computersystem (166) freigeschaltet wird.
  6. Verfahren nach einem der vorigen Ansprüche 1-5, wobei vor der Initialisierung des Speicherbereichs (136) ausschließlich für das zweite Computersystem (150) des Satzes von Computersystemen ein Schreibzugriff auf den Speicherbereich (136) möglich ist.
  7. Verfahren nach einem der vorigen Ansprüche, wobei die Authentifizierung des ersten und/oder zweiten Computersystems ein Challenge-Response-Verfahren umfasst.
  8. Verfahren nach einem der vorigen Ansprüche, wobei ein zweiter Teil der Angabe (125) in dem zweiten Zertifikat (170) enthalten ist.
  9. Verfahren nach einem der vorigen Ansprüche 1-8, wobei das zweite Zertifikat (170) durch das zweite Computersystem (150) signiert ist.
  10. Verfahren nach einem der vorigen Ansprüche, wobei der Aufbau des ersten Kommunikationskanals durch das Sicherheitsmodul (100) erfolgt, wobei die Übermittlung des Teils der in der Angabe (125) spezifizierten Messdatenelemente und/oder Konfigurationsdaten durch ein Push-Verfahren erfolgt.
  11. Verfahren nach Anspruch 1, wobei der Vorrichtung die Angabe (125) in Form der Energieerfassungsanwendung (130; 132; 134; 174) zugeordnet ist, wobei die Energieerfassungsanwendung (130; 132; 134; 174) den Zugriff des ersten Computersystems (166) auf die Messdatenelemente und/oder Konfigurationsdaten anhand der Angabe (125) überwacht.
  12. Verfahren nach Anspruch 1 oder 11, wobei die Energieerfassungsanwendung (130; 132; 134; 174) den Aufbau des ersten Kommunikationskanals initiiert.
  13. Verfahren nach einem der vorigen Ansprüche 1 bis 12, wobei die in dem Speicherbereich (136) gespeicherten Daten die Energieerfassungsanwendung (130; 132; 134; 174) umfassen, wobei die Energieerfassungsanwendung (130; 132; 134; 174) mit den Daten von dem zweiten Computersystem (150) durch das Sicherheitsmodul (100) empfangen wurde.
  14. Verfahren nach einem der vorigen Ansprüche, wobei das Sicherheitsmodul (100) die Form einer Chipkarte hat.
  15. Verfahren nach einem der vorigen Ansprüche, wobei bei der Übermittelung des zumindest einen Teils der in der Angabe (125) spezifizierten Messdatenelemente und/oder Konfigurationsdaten die GUID (108; 128) durch das Sicherheitsmodul (100) der Übermittelung hinzugefügt wird.
  16. Computerprogrammprodukt mit von einem Prozessor ausführbaren Instruktionen zur Durchführung der Verfahrensschritte gemäß einem der vorigen Ansprüche.
DE102012203518.4A 2012-02-07 2012-03-06 Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers Active DE102012203518B4 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102012203518.4A DE102012203518B4 (de) 2012-03-06 2012-03-06 Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers
EP13701949.3A EP2812839B2 (de) 2012-02-07 2013-01-18 Verfahren zur kommunikation von energieverbrauchsspezifischen messdatenelementen von einer smart meter vorrichtung an ein computersystem eines energieversorgers und/oder messstellenbetreibers
PCT/EP2013/050908 WO2013117408A1 (de) 2012-02-07 2013-01-18 Verfahren zur kommunikation von energieverbrauchsspezifischen messdatenelementen von einer smart meter vorrichtung an ein computersystem eines energieversorgers und/oder messstellenbetreibers
CN201380008117.8A CN104094272B (zh) 2012-02-07 2013-01-18 用于从智能表机构将能耗特定测量数据项传送至能源提供者和/或仪表运营方的计算机系统的方法
US14/376,667 US9491172B2 (en) 2012-02-07 2013-01-18 Method for communication of energy consumption-specific measurement data elements between a smart meter device and a computer system of a utility company and/or operator of a measuring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012203518.4A DE102012203518B4 (de) 2012-03-06 2012-03-06 Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers

Publications (2)

Publication Number Publication Date
DE102012203518A1 DE102012203518A1 (de) 2013-09-12
DE102012203518B4 true DE102012203518B4 (de) 2021-06-17

Family

ID=49029545

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012203518.4A Active DE102012203518B4 (de) 2012-02-07 2012-03-06 Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers

Country Status (1)

Country Link
DE (1) DE102012203518B4 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017008593A1 (de) * 2017-09-13 2019-03-14 Diehl Metering Systems Gmbh Verfahren zum Betrieb eines Verbrauchszählersystems
DE102018003061A1 (de) * 2018-02-03 2019-08-08 Diehl Metering Systems Gmbh Verfahren zum gesicherten Betrieb eines elektronischen Verbrauchsdaten-Moduls und Verbrauchsdaten-Modul
EP3521766B1 (de) * 2018-02-03 2021-06-30 Diehl Metering Systems GmbH Verfahren zum gesicherten betrieb eines elektronischen verbrauchsdaten-moduls und verbrauchsdaten-modul
DE102018002822A1 (de) * 2018-04-07 2019-10-10 Diehl Metering Systems Gmbh Verfahren zum Betrieb eines Verbrauchsdatenerfassungssystems und Datensammler
DE102019208283A1 (de) * 2019-06-06 2020-12-10 Siemens Aktiengesellschaft Modular aufgebaute Messeinheit und Authentifizierungseinrichtung

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10116703A1 (de) * 2001-03-29 2002-10-10 Francotyp Postalia Ag Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber
DE102012203356A1 (de) * 2012-03-02 2013-09-05 Bundesdruckerei Gmbh Verfahren zur Initialisierung eines Speicherbereichs, welcher einem Smart-Meter zugeordnet ist

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10116703A1 (de) * 2001-03-29 2002-10-10 Francotyp Postalia Ag Verfahren zur Aufzeichnung eines Verbrauchswertes und Verbrauchszähler mit einem Meßwertgeber
DE102012203356A1 (de) * 2012-03-02 2013-09-05 Bundesdruckerei Gmbh Verfahren zur Initialisierung eines Speicherbereichs, welcher einem Smart-Meter zugeordnet ist

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
BSI Bundesamt für Sicherheit in der Informationstechnik, Technische Richtlinie BSI TR-03109: Anforderungen an die Interoperabilität der Kommunikationseinheit eines intelligenten Messsystems für Stoff- und Energiemengen, Version 0.20, 10.10.2011. *
BSI Bundesamt für Sicherheit in der Informationstechnik, Technische Richtlinie BSI TR-03109: Anhang B: Anforderungen an die Interoperabilität des Sicherheitsmoduls, Stand 24.11.2011. *
Norm: 3GPP TR 33.812 V9.2.0: 3rd Generation Partnership Project, Technical Specification Group Services and System Aspects, Feasibility Study on the Security Aspects of Remote Provisioning and Change of Subscription for Machine to Machine (M2M) Equipment, Release 9, Juni 2010. *

Also Published As

Publication number Publication date
DE102012203518A1 (de) 2013-09-12

Similar Documents

Publication Publication Date Title
EP2812839B2 (de) Verfahren zur kommunikation von energieverbrauchsspezifischen messdatenelementen von einer smart meter vorrichtung an ein computersystem eines energieversorgers und/oder messstellenbetreibers
DE102017212618B3 (de) Hardwaresystem mit Blockchain
DE102010033231B4 (de) Verfahren und Vorrichtung zur manipulationssicheren Bereitstellung eines Schlüssel-Zertifikates
DE102012203518B4 (de) Verfahren zur Kommunikation von energieverbrauchsspezifischen Messdatenelementen von einer Smart Meter Vorrichtung an ein Computersystem eines Energieversorgers und/oder Messstellenbetreibers
WO2017032541A1 (de) Versorgungssystem und verfahren zum betreiben eines versorgungssystems
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
EP2781058A1 (de) Smart home-gerät, smart home-steuereinheit, smart home-system und verfahren zur einbindung eines smart home-geräts in ein smart home-system
EP3595238B1 (de) Nachladen kryptographischer programminstruktionen
EP2850860B1 (de) Sicherung eines energiemengenzählers gegen unbefugten zugriff
EP2812837B1 (de) Verfahren zur personalisierung eines smart meter oder smart meter gateway sicherheitsmoduls
EP2812840B1 (de) Verfahren zur initialisierung eines speicherbereichs, welcher einem smart-meter zugeordnet ist
DE102012203354B4 (de) Verfahren zur Personalisierung eines Smart Meter oder Smart Meter Gateway Sicherheitsmoduls
DE102012203356B4 (de) Verfahren zur Initialisierung eines Speicherbereichs, welcher einem Smart-Meter zugeordnet ist
WO2016091415A1 (de) Verfahren und vorrichtung zur überwachung einer zertifizierungsstelle
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
EP2812838B1 (de) Verfahren zur initialisierung eines speicherbereichs, welcher einem smart-meter zugeordnet ist
EP3457625B1 (de) Verfahren zur datenübertragung
EP3267619B1 (de) Verfahren zur herstellung einer ausfallsicherung in einem netzwerk
EP4220462A2 (de) Verfahren zur personalisierung einer smart meter vorrichtung mit einem sicherheitsmodul
DE102012203034A1 (de) Verfahren zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul
EP3905731A1 (de) Verfahren zur synchronisierung von frame-counter und anordnung
DE102019114840A1 (de) Verfahren und Vorrichtung zum Übertragen von Daten mittels Funktelegrammen in einem gemeinsamen Funknetz eines Verbrauchsablesesystems und eines Energie-Effizienz-Systems

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R130 Divisional application to

Ref document number: 102012025697

Country of ref document: DE

Effective date: 20120306

Ref document number: 102012025697

Country of ref document: DE

Effective date: 20131125

R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final