EP3367320A1 - Method for increasing operational reliability and related system - Google Patents

Method for increasing operational reliability and related system Download PDF

Info

Publication number
EP3367320A1
EP3367320A1 EP17158378.4A EP17158378A EP3367320A1 EP 3367320 A1 EP3367320 A1 EP 3367320A1 EP 17158378 A EP17158378 A EP 17158378A EP 3367320 A1 EP3367320 A1 EP 3367320A1
Authority
EP
European Patent Office
Prior art keywords
components
data
control unit
units
terminal units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP17158378.4A
Other languages
German (de)
French (fr)
Inventor
Herbert Geischläger
Peter Hanak
Kurt Hochleitner
Harald Maierhofer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to EP17158378.4A priority Critical patent/EP3367320A1/en
Publication of EP3367320A1 publication Critical patent/EP3367320A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/06Electricity, gas or water supply

Definitions

  • the present invention relates to a method for increasing the reliability of a hierarchical system, in particular an energy management system, as well as a system for carrying out the method according to the invention.
  • the hierarchical system consists of at least one central control unit and a plurality of components organized in at least two hierarchical levels. These components comprise subordinate data concentration units to the central control unit and subordinate terminal units respectively to the data concentration units. In operation, control commands and data are exchanged between the central control unit and the hierarchically organized or subordinate components.
  • Hierarchically organized systems in which, for example, data and / or control commands are exchanged between components are distinguished by the fact that, starting from a central unit or a central control unit, several subordinate components are addressed. These components can be organized, for example, in hierarchy levels. This means that a part of the components is addressed directly by the central control unit, and that a number of subordinate components are accessed again from this part of the components. This instance chain or the number of hierarchy levels can be extended to any depth.
  • Such hierarchical or hierarchically organized systems are, for example, in the field of electrical energy supply in use.
  • individual consumption points such as households are equipped with a terminal unit.
  • the terminal units mounted in the households can, on the one hand, measure the amount of energy supplied to the respective consumption point or, if appropriate, the amount of energy fed into the low-voltage network by the point of consumption (for example, produced by means of photovoltaics).
  • the terminal units can also carry out switching operations (for example switching on and off all or part of the power supply to the point of consumption or energy supply to the point of consumption).
  • terminal units usually so-called smart meters or smart meters are used, which are equipped with data transmission units, for example, to transfer digital data (eg, measured data, counter readings, etc.) to hierarchically higher levels and / or control commands from higher hierarchically arranged instances to recieve.
  • digital data eg, measured data, counter readings, etc.
  • PLC power line communication
  • the hierarchically higher arranged instance - a data concentration unit - is usually arranged in a transformer station, from which the respective connected consumer points are supplied.
  • the data concentration unit collects the data received from the individual terminal units or intelligent counters and forwards them to a central control unit (the highest hierarchical level of the system).
  • a data flow for sending control commands runs in the opposite direction.
  • the transmission of control commands begins at the central control unit and usually ends at the respectively addressed component of the hierarchical system, such as in a data concentration unit or by forwarding through the respective data concentration unit in the individual terminal units or smart meters.
  • measurement data can be interrogated by the terminal units at specific times (eg, monthly change, etc.), which are used, for example, for offsetting the amount of energy consumed by the individual points of consumption.
  • switching commands can also be sent to the data concentration units and / or the terminal units, for example.
  • the transmission between the central control unit and the data concentration units arranged in the transformer stations usually runs via a conventional communications network.
  • Either wired communication networks such as e.g. a local wired network (LAN), etc. or radio networks for data transmission (e.g., wireless LAN, UMTS, or GPRS) are used for the transmission of control commands and data.
  • LAN local wired network
  • GPRS GPRS
  • the transmission of data and control commands within the energy management system - in particular between the second hierarchical level (data concentration units) and the third hierarchy levels (terminal units) - is currently largely unsafe or unsecured.
  • the terminal units can be replaced by corresponding secure terminal units difficult to read or manipulated, are replaced.
  • a procedure is very complicated and expensive - especially in existing energy management systems with a large number of terminal units or connected meters.
  • intelligent meters or terminal units can not be used.
  • the invention is therefore based on the object of specifying a method for increasing the reliability in a system and an associated system for carrying out this method, by means of which a simple and controlled manner, starting from an unsafe initial mode of the system, a switch to safe operation is enabled, whereby the components of the existing system can continue to be used.
  • the object is achieved by a method of the type mentioned above, in which a hierarchically organized system consisting of at least one central control unit and in a plurality of organized in at least two hierarchical levels components of an unsafe output mode gradually into a so-called end-to- End security mode is transferred.
  • a hierarchically organized system consisting of at least one central control unit and in a plurality of organized in at least two hierarchical levels components of an unsafe output mode gradually into a so-called end-to- End security mode is transferred.
  • the main aspect of the subject invention is that an existing system can be controlled and converted into an end-to-end security mode without much effort or replacement of components.
  • During a transitional phase from the unsafe initial mode to the end-to-end security mode there is always the possibility of operating the system completely or at least partially insecure. That In unsafe operation, transmission of control commands and data between the central control unit and, in particular, the terminal units takes place unencrypted and without checking of confidentiality and integrity.
  • a gradual transition from unsafe operation to end-to-end secure operation is particularly useful when, for an end-to-end security mode, a plurality of terminal units are pre-programmed with e.g. new control means must be provided for safe operation (e.g., uploading and / or activating a new firmware, etc.), and further testing of the operational capability of these new control means.
  • new control means e.g., uploading and / or activating a new firmware, etc.
  • the method according to the invention offers the possibility that an upgrade of the components for the end-to-end safety mode can take place step by step, in particular in the case of a large number of components in an existing system. That components upgraded with appropriate control means can then already be safely operated while components to be upgraded are still operated as in the unsafe output mode. Only when all components of the existing system are upgraded and functional are the systems switched to end-to-end security mode.
  • An expedient continuation of the invention provides that at least two intermediate modes pass through for a gradual transfer of the system into the end-to-end security mode become.
  • the system can be very easily converted into the end-to-end safety mode with the aid of defined intermediate steps.
  • intermediate modes is further considered that during the transfer, for example, only a part of the components, in particular only a part of the terminal units, executable control means for safe operation. It can be very easily taken into account that, with a large number of components, in particular at terminals, upgrading the components with the corresponding control means for safe operation can take a longer period of time.
  • the intermediate modes allow some of the components to be safely operated even before all the components have been upgraded with the control equipment for safe operation. Furthermore, in the event of an error when upgrading or malfunctioning, the new control means for safe operation can be reacted accordingly.
  • a first intermediate mode is run through, in which of at least a part of the components control means for safe operation are exhibited, and in which all components of the system continue to operate in unsafe operation as in the unsafe output mode.
  • the first intermediate mode at least some of the components, in particular a part of the terminal units, already have control means for safe operation.
  • the operation of the system is still in unsafe operation. That is, the control commands are indeed signed by the central control unit accordingly.
  • this signature is removed at the hierarchical level of the data concentration units or from the data concentration units and the respective control commands are forwarded without signature to the subordinate terminal units.
  • data is transmitted from the terminal units unencrypted to the central control unit via the respective higher-level data concentration units.
  • a second intermediate mode is run through, in which that part of the components which has executable safe-operation control means is safely operated.
  • components with control means for safe operation can already be safely operated.
  • the central control unit or the respective data concentration units knows which terminal units can be operated safely or which terminal units have executable control means for safe operation. Control commands are sent to these terminal units signed by the central control unit and forwarded signed by the respective data concentration unit. The data from these secure terminal units are sent encrypted via the respective higher-level data concentration unit to the central control unit. Furthermore, the respective lower-level terminal units without executable control means for safe operation are known to the data concentration units. The respective control commands of the central control unit are forwarded to the competent data concentration unit without signature.
  • the second intermediate mode it is possible to reset safely operated components to unsafe operation. That is, e.g. in the event of an error, one or more already safely operated components can be reset to unsafe operation, in which control commands for the terminal units are forwarded at least from the respective data concentration unit without signature or data is transmitted unencrypted by the terminals.
  • a parallel operation of secure and non-secure components, in particular terminal units is possible at any time, whereby the advantages of the end-to-end security mode can already be used for secure operation, at least for components with error-free executable and activated control means.
  • the object is achieved with a system for carrying out the method according to the invention, this system being organized hierarchically with at least two hierarchy levels.
  • the system comprises at least one central control unit, the central control unit subordinate data concentration units and the respective data concentration units subordinate terminal units.
  • the system comprises at least one central control unit, the central control unit subordinate data concentration units and the respective data concentration units subordinate terminal units.
  • on the data concentration units and / or on the terminal units for a transfer to an end-to-end security mode control means for unsafe operation and control means for safe operation executable.
  • the advantages of the system according to the invention lie in the fact that an insecure operable inventory system can be easily and without much effort into a system convertible, which can be operated in an end-to-end security mode.
  • the system can already take advantage of end-to-end security (data encryption, confidentiality and integrity) without any risk, because if an error occurs, at least malfunctioning components are restored the unsafe operation can be switched back.
  • a communication network can be used for a transmission of control commands and data between the central control unit and the data concentration units.
  • wired communication networks eg LAN, etc.
  • wireless communication networks eg mobile radio such as GPRS, UMTS, wireless LAN, etc.
  • PLC powerline communication
  • the data communication used can also be used to upgrade the components, in particular the terminal units, with the control means for safe operation or to enable the control means already located on the components for safe operation and to make them executable.
  • FIG. 1 schematically shows an exemplary system ES, which is organized in several hierarchical levels H1, H2, H3.
  • the system ES which is, for example, an energy management system ES, has a central control unit TS on a first hierarchical level H1.
  • the central control unit TS is centrally attached to an energy provider or energy network operator. From the central control unit TS control commands can be sent to these components DC1, DC2, DC3, E1 to E8, for example, for a central control (eg remote control, remote access, etc.) of the other components DC1, DC2, DC3, E1 to E8 of the system ES or it can from the central control unit TS data D of the component DC1, DC2, DC3, E1 to E8 be received, managed and / or evaluated.
  • a central control eg remote control, remote access, etc.
  • the hierarchical system ES comprises a multiplicity of exemplarily illustrated components DC1 to DC3 or E1 to E8, which are organized in further hierarchy levels H2, H3.
  • a part of the components DC1, DC2, DC3 is addressed directly by the central control unit TS.
  • DC1, DC2, DC3, which are organized in a second hierarchical level H2 access is made to a large number of subordinate components E1 to E8.
  • the components DC1, DC2, DC3 of the second hierarchical levels are embodied in the energy management system ES shown by way of example, for example as data concentration units DC1, DC2, DC3, which are usually arranged in transformer stations.
  • the data concentration units DC1, DC2, DC3 are connected via a communication network, e.g. a wired communication network (e.g., LAN, etc.) or a radio communication network (e.g., cellular network such as GPRS, UMTS, wireless LAN, etc.) for transmission and / or forwarding of control commands ST and data D are connected to the central control unit TS.
  • a communication network e.g. a wired communication network (e.g., LAN, etc.) or a radio communication network (e.g., cellular network such as GPRS, UMTS, wireless LAN, etc.) for transmission and / or forwarding of control commands ST and data D are connected to the central control unit TS.
  • a communication network e.g. a wired
  • the hierarchical system ES comprises the respective data concentration units DC1, DC2, DC3 subordinate terminal units E1 to E8, which are organized in a third hierarchical level H3.
  • terminal units E1 to E8 for example, intelligent meters E1 to E8 are provided in the hierarchically organized energy management system ES, which are arranged at the respective energy consumption points (eg, households, etc.).
  • These terminal units or intelligent counters E1 to E8 have data transmission unit to digital data D (measurement data, counter readings, etc.) to hierarchically higher instances such as each higher-level data concentration units DC1, DC2, DC3 and / or the Central control unit TS to transmit and to the central control unit TS emitted and forwarded by the respective data concentration unit DC1, DC2, DC3 control commands ST.
  • D measurement data, counter readings, etc.
  • the Central control unit TS to transmit and to the central control unit TS emitted and forwarded by the respective data concentration unit DC1, DC2, DC3 control commands ST.
  • the data concentration units DC1, DC2, DC3 and the terminal units E1 to E8 for carrying out the method according to the invention or for a transfer to a so-called end-to-end security mode EM control means for safe operation and control means for unsafe operation ,
  • the transmission of data D between the central control unit TS and the respective components DC1, DC2, DC3, E1 to E8 - especially the transmission of the data D of the terminal units E1 to E8 via the data concentration units DC1, DC2, DC3 to the central control unit TS - carried out encrypted.
  • control commands ST emitted by the central control unit TS are checked for confidentiality and integrity by respectively received components DC1, DC2, DC3, E1 to E8, in particular by remote-switchable and / or remote-requestable terminal components E1 to E8.
  • FIG. 2 schematically shows an exemplary sequence of the method according to the invention for increasing the reliability in the exemplary in FIG. 1 illustrated hierarchically organized system ES.
  • the plurality of terminal units E1 to E8 and thus the entire system ES are gradually transferred from an unsafe output mode LM into the so-called end-to-end security mode EM.
  • two intermediate modes CM, MM are passed through.
  • the modes of unsafe output mode LM via the intermediate modes CM, MM to the end-to-end security mode EM are possible per data cell - ie each data concentration unit DC1, DC2, DC3 including the respectively connected, subordinate terminal units / counters E1 to E8.
  • the hierarchical system ES is in an unsafe output mode LM.
  • the terminal units or counters E1 to E8 are not aware of any safety operation or have only control means for unsafe operation.
  • the terminal units E1 to E8 and thus the system ES can therefore only be operated in an unsafe operation. This means that the transmission of control commands ST and data D is unsecured and not confidential and integrity of control commands is not checked.
  • a first transition U1 from the insecure output mode LM to a first intermediate mode CM for example, the components DC1, DC2, DC3 and E1 to E8 - in particular the terminal units E1 to E8 - equipped with control means for safe operation.
  • old terminal units E1 to E8 can be replaced by new terminal units E1 to E8 which, in addition to control means for unsafe operation, also have control means for safe operation.
  • existing terminal units E1 to E8 already installed in the system ES can also be equipped with a new so-called firmware, which comprises control means for safe operation.
  • the first intermediate mode CM is the data concentration units DC1, DC2, DC3 of the system ES also known as safe operation.
  • control commands ST sent out by the central control unit TS in the first intermediate mode CM are already sent out with a signature for the verification of confidentiality and integrity.
  • this signature is removed on the second hierarchical level H2 from the data concentration units DC1, DC2, DC3.
  • the control commands ST are then forwarded without signature to the terminal units E1 to E8.
  • data D are sent unencrypted from the terminal units E1 to E8 to the central control unit TS.
  • a reset R1 from the first intermediate mode CM in the output mode LM is not possible after upgrading the respective terminal units E1 to E8 with the control means for safe operation.
  • a second transition U2 from the first intermediate mode CM to a second intermediate mode MM the control means for the secure operation are activated in those terminals E1 to E8 which already have control means for safe operation.
  • the second transition U2 into the second intermediate mode MM is performed, for example, when about 70 to 80% of the terminal units E1 to E8 are equipped or upgraded with the corresponding firmware. With the activation, the corresponding terminal units E1 to E8 executable control means for safe operation and can be operated safely.
  • the central control unit TS and the data concentration units DC1, DC2, DC3 know which of the respective subordinate terminal units E1 to E8 have activated or executable control means for safe operation.
  • the activation of the control means for safe operation on the terminal units E1 to E8 is triggered, for example, by a corresponding control command ST of the central control unit TS.
  • Upgrading the terminal units E1 to E8 with new firmware takes place in the energy management system ES usually by means of PLC via the low-voltage network.
  • the corresponding upgraded terminal units E1 to E8 then log on, for example, to the respective higher-level data concentration unit DC1, DC2, DC3.
  • control commands ST are sent to these terminal units E1 to E8 signed by the central control unit and forwarded signed by the respective data concentration unit DC1, DC2, DC3.
  • a data transmission from these securely operated terminal units E1 to E8 is then carried out in encrypted form, wherein for the encryption of the data, for example, a so-called Elliptic Curve Diffie-Hellman (ECDH) algorithm is used.
  • ECDH Elliptic Curve Diffie-Hellman
  • the data concentration units DC1, DC2, DC3 are each the subordinate terminal units known without executable control means for safe operation.
  • the respective control commands of the central control unit are forwarded to the competent data concentration unit without signature.
  • the system ES is switched from the second intermediate mode MM in the end-to-end security mode EM in a third transition U3. This means that the terminal units E1 to E8 can only be operated in safe operation and the data concentration units DC1, DC2, DC3 are also switched to the end-to-end security mode EM in the third transition U3.

Abstract

Die Erfindung betrifft auf ein Verfahren zur Steigerung einer Betriebssicherheit eines hierarchischen Systems (ES), insbesondere eines Energiemanagementsystems, sowie das System (ES) zur Durchführung des erfindungsgemäßen Verfahrens. Das System (ES) umfasst dabei zumindest eine zentrale Steuereinheit (TS) sowie eine Vielzahl an in zumindest zwei Hierarchieebenen (H2, H3) organisierten Komponenten (DC1, DC2, DC3, E1,...,E8), welche der zentralen Steuereinheit (TS) untergeordnete Datenkonzentrationseinheiten (DC1, DC2, DC3) sowie jeweils den Datenkonzentrationseinheiten (DC1, DC2, DC3) untergeordnete Endgeräteeinheiten (E1,...,E8) umfassen. Im Betrieb werden zwischen der zentralen Steuereinheit (TS) und den untergeordneten Komponenten (DC1, DC2, DC3, E1,...,E8) Steuerbefehle (ST) und Daten (D) ausgetauscht. Das System (ES) wird von einem unsicheren Ausgangsmodus (LM) stufenweise über zumindest zwei Zwischenmodi (CM, MM) in einen so genannten End-to-End-Sicherheitsmodus (EM) übergeführt. Während einer Überführung kann zumindest ein Teil der Komponenten (DC1, DC2, DC3, E1,...,E8), insbesondere ein Teil der Endgeräteeinheiten (E1,...,E8), in einen unsicheren Betrieb zurückgesetzt bzw. unsicher betrieben werden. Die gegenständliche Erfindung bietet damit den Vorteil die Sicherheit eines bestehenden Systems (ES), welches eine Vielzahl an Endgeräteeinheiten (E1,...,E8) aufweist wie z.B. ein Energiemanagementsystem, kontrolliert und ohne großen Aufwand stufenweise zu steigern.The invention relates to a method for increasing the reliability of a hierarchical system (ES), in particular an energy management system, as well as the system (ES) for carrying out the method according to the invention. The system (ES) in this case comprises at least one central control unit (TS) and a plurality of components (DC1, DC2, DC3, E1,..., E8) organized in at least two hierarchical levels (H2, H3). TS) subordinate data concentration units (DC1, DC2, DC3) and each of the data concentration units (DC1, DC2, DC3) subordinate terminal units (E1, ..., E8). In operation, control commands (ST) and data (D) are exchanged between the central control unit (TS) and the subordinate components (DC1, DC2, DC3, E1,..., E8). The system (ES) is transitioned from an unsafe output mode (LM) stepwise over at least two intermediate modes (CM, MM) into a so-called end-to-end safety mode (EM). During a transfer, at least some of the components (DC1, DC2, DC3, E1,..., E8), in particular a part of the terminal units (E1,..., E8), can be reset to unsafe operation or operated insecurely , The present invention thus offers the advantage of the safety of an existing system (ES) having a plurality of terminal units (E1, ..., E8) such as e.g. an energy management system, controlled and gradually increased without great effort.

Description

Technisches GebietTechnical area

Die vorliegende Erfindung betrifft ein Verfahren zur Steigerung der Betriebssicherheit eines hierarchischen Systems, insbesondere eines Energiemanagementsystems, sowie ein System zur Durchführung des erfindungsgemäßen Verfahrens. Das hierarchische System besteht dabei aus zumindest einer zentralen Steuereinheit sowie aus einer Vielzahl an in zumindest zwei Hierarchieebenen organisierten Komponenten. Diese Komponenten umfassen der zentralen Steuereinheit untergeordnete Datenkonzentrationseinheiten und jeweils den Datenkonzentrationseinheiten untergeordnete Endgeräteeinheiten. Im Betrieb werden zwischen der zentralen Steuereinheit und den hierarchisch organisierten bzw. den jeweils untergeordneten Komponenten Steuerbefehle und Daten ausgetauscht.The present invention relates to a method for increasing the reliability of a hierarchical system, in particular an energy management system, as well as a system for carrying out the method according to the invention. The hierarchical system consists of at least one central control unit and a plurality of components organized in at least two hierarchical levels. These components comprise subordinate data concentration units to the central control unit and subordinate terminal units respectively to the data concentration units. In operation, control commands and data are exchanged between the central control unit and the hierarchically organized or subordinate components.

Stand der TechnikState of the art

Hierarchisch organisierte Systeme, in welchen zwischen Komponenten beispielsweise Daten und/oder Steuerbefehle ausgetauscht werden, zeichnen sich dadurch aus, dass ausgehend von einer zentralen Einheit bzw. einer zentralen Steuereinheit mehrere untergeordnete Komponenten angesprochen werden. Diese Komponenten können beispielsweise in Hierarchieebenen organisiert sein. Das bedeutet, dass ein Teil der Komponenten von der zentralen Steuereinheit direkte angesprochen wird, und dass von diesem Teil der Komponenten wieder auf eine Mehrzahl von untergeordneten Komponenten zugegriffen wird. Diese Instanzenkette bzw. die Anzahl der Hierarchieebenen kann auf eine beliebige Tiefe erweitert werden.Hierarchically organized systems in which, for example, data and / or control commands are exchanged between components are distinguished by the fact that, starting from a central unit or a central control unit, several subordinate components are addressed. These components can be organized, for example, in hierarchy levels. This means that a part of the components is addressed directly by the central control unit, and that a number of subordinate components are accessed again from this part of the components. This instance chain or the number of hierarchy levels can be extended to any depth.

Derartige hierarchische bzw. hierarchisch organisierte Systeme sind beispielsweise im Bereich der elektrischen Energieversorgung im Einsatz. Bei dieser Anwendung werden einzelne Verbrauchsstellen wie z.B. Haushalte mit einer Endgeräteeinheit ausgestattet. Die in den Haushalten angebrachten Endgeräteeinheiten können dabei einerseits die an die jeweilige Verbrauchsstelle gelieferte Energiemenge bzw. gegebenenfalls die von der Verbrauchsstelle (z.B. mittels Photovoltaik erzeugte und) in das Niederspannungsnetz eingespeiste Energiemenge messen. Andererseits können die Endgeräteeinheiten auch Schalthandlungen (z.B. Ein- und Ausschalten der gesamten oder eines Teils der Energiezufuhr an die Verbrauchsstelle oder Energieeinspeisung der Verbrauchsstelle) vornehmen.Such hierarchical or hierarchically organized systems are, for example, in the field of electrical energy supply in use. In this application, individual consumption points such as households are equipped with a terminal unit. The terminal units mounted in the households can, on the one hand, measure the amount of energy supplied to the respective consumption point or, if appropriate, the amount of energy fed into the low-voltage network by the point of consumption (for example, produced by means of photovoltaics). On the other hand, the terminal units can also carry out switching operations (for example switching on and off all or part of the power supply to the point of consumption or energy supply to the point of consumption).

Als Endgeräteeinheiten werden meist so genannte intelligente Zähler oder Smart-Meter eingesetzt, welche beispielsweise mit Datenübertragungseinheiten ausgestattet sind, um digitale Daten (z.B. Messdaten, Zählerstände, etc.) an hierarchisch höher angeordnete Instanzen zu übermitteln und/oder um Steuerbefehle von hierarchisch höher angeordneten Instanzen zu empfangen. Als Übertragungsweg wird dabei häufig die so genannte "Powerline Communication" oder PLC eingesetzt, bei welcher die vorhandenen elektrischen Leitungen eines Niederspannungsnetzes für die Datenübertragung genutzt werden.As terminal units usually so-called smart meters or smart meters are used, which are equipped with data transmission units, for example, to transfer digital data (eg, measured data, counter readings, etc.) to hierarchically higher levels and / or control commands from higher hierarchically arranged instances to recieve. As a transmission path, the so-called "power line communication" or PLC is often used, in which the existing electrical lines of a low-voltage network are used for data transmission.

Die hierarchisch höher angeordnete Instanz - eine Datenkonzentrationseinheit - ist üblicherweise in einer Transformatorstation angeordnet, von welcher die jeweils angebundenen Verbraucherstellen versorgt werden. Von der Datenkonzentrationseinheit werden die von den einzelnen Endgeräteeinheiten bzw. intelligenten Zählern empfangenen Daten gesammelt und an eine zentrale Steuereinheit (die höchste hierarchische Ebene des Systems) weitergeleitet.The hierarchically higher arranged instance - a data concentration unit - is usually arranged in a transformer station, from which the respective connected consumer points are supplied. The data concentration unit collects the data received from the individual terminal units or intelligent counters and forwards them to a central control unit (the highest hierarchical level of the system).

Ein Datenfluss zum Aussenden von Steuerbefehlen verläuft in dazu entgegengesetzter Richtung. Die Aussendung von Steuerbefehlen beginnt bei der zentralen Steuereinheit und endet üblicherweise bei der jeweils angesprochenen Komponente des hierarchischen Systems, wie beispielsweise bei einer Datenkonzentrationseinheit oder mittels Weiterleitung durch die jeweilige Datenkonzentrationseinheit bei den einzelnen Endgeräteeinheiten bzw. intelligenten Zählern. Mittels der Steuerbefehle können beispielsweise Messdaten von den Endgeräteeinheiten zu bestimmten Zeitpunkten (z.B. Monatswechsel, etc.) abgefragt werden, welche beispielsweise für eine Verrechnung der verbrauchten Energiemenge der einzelnen Verbrauchsstellen herangezogen werden. Weiterhin können z.B. auch Schaltbefehle an die Datenkonzentrationseinheiten und/oder die Endgeräteeinheiten gesendet werden.A data flow for sending control commands runs in the opposite direction. The transmission of control commands begins at the central control unit and usually ends at the respectively addressed component of the hierarchical system, such as in a data concentration unit or by forwarding through the respective data concentration unit in the individual terminal units or smart meters. By means of the control commands, for example, measurement data can be interrogated by the terminal units at specific times (eg, monthly change, etc.), which are used, for example, for offsetting the amount of energy consumed by the individual points of consumption. Furthermore, switching commands can also be sent to the data concentration units and / or the terminal units, for example.

Die Übertragung zwischen der zentralen Steuereinheit und den in den Transformatorstationen angeordneten Datenkonzentrationseinheiten läuft dabei üblicherweise über ein herkömmliches Kommunikationsnetz. Es können entweder drahtgebundene Kommunikationsnetze wie z.B. ein lokales drahtgebundenes Netz (LAN), etc. oder Funknetze zur Datenübertragung (z.B. Wireless LAN, UMTS oder GPRS) für die Übertragung von Steuerbefehlen und Daten eingesetzt werden.The transmission between the central control unit and the data concentration units arranged in the transformer stations usually runs via a conventional communications network. Either wired communication networks such as e.g. a local wired network (LAN), etc. or radio networks for data transmission (e.g., wireless LAN, UMTS, or GPRS) are used for the transmission of control commands and data.

Die Übertragung der Daten und Steuerbefehle innerhalb des Energiemanagementsystems - insbesondere zwischen der zweiten Hierarchieebene (Datenkonzentrationseinheiten) und der dritten Hierarchieebenen (Endgeräteeinheiten) - erfolgt derzeit weitgehend unsicher bzw. ungesichert. Das bedeutet, dass z.B. eine Übertragung der von den Endgeräteeinheiten an die zentrale Steuereinheit gesendeten Daten nicht vertraulich erfolgt und z.B. Steuerbefehle, die von der zentralen Steuereinheit an die Endgeräteeinheiten gesendet werden, nicht auf Integrität und Authentizität des Absenders geprüft werden. Steuerbefehle und/oder Daten können damit sehr einfach während der Übertragung mitgelesen und/oder manipuliert werden. Weiterhin besteht die Möglichkeit durch beispielsweise gefälschte Steuerbefehle Daten der Endgeräteeinheiten (z.B. Zählerstände, etc.) auszulesen oder zu verändern.The transmission of data and control commands within the energy management system - in particular between the second hierarchical level (data concentration units) and the third hierarchy levels (terminal units) - is currently largely unsafe or unsecured. This means that e.g. a transmission of the data sent from the terminal units to the central control unit is non-confidential and e.g. Control commands sent from the central control unit to the terminal units are not checked for integrity and authenticity of the sender. Control commands and / or data can thus be easily read and / or manipulated during transmission. It is also possible, for example, to read out or modify data of the terminal units (for example counter readings, etc.) by means of for example falsified control commands.

Für eine Verbesserung der Sicherheit eines bestehenden Energiemanagementsystems können beispielsweise die Endgeräteeinheiten durch entsprechende sichere Endgeräteeinheiten, welche nur schwer auslesbar bzw. manipulierbar sind, ausgetauscht werden. Eine derartige Vorgehensweise ist allerdings sehr aufwendig und kostenintensiv - insbesondere bei bestehenden Energiemanagementsystemen mit einer großen Anzahl an Endgeräteeinheiten bzw. angeschlossenen Zählern. Weiterhin können z.B. bereits montierte und/oder im Einsatz befindliche, intelligente Zähler bzw. Endgeräteeinheiten nicht weiterverwendet werden.For improving the security of an existing energy management system, for example, the terminal units can be replaced by corresponding secure terminal units difficult to read or manipulated, are replaced. However, such a procedure is very complicated and expensive - especially in existing energy management systems with a large number of terminal units or connected meters. Furthermore, for example, already installed and / or in use, intelligent meters or terminal units can not be used.

Darstellung der ErfindungPresentation of the invention

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur Steigerung der Betriebssicherheit in einem System sowie ein zugehörige System zur Durchführung dieses Verfahrens anzugeben, durch welche auf einfache und kontrollierte Weise ausgehend von einem unsicheren Ausgangsmodus des Systems eine Umstellung auf einen sicheren Betrieb ermöglicht wird, wobei die Komponenten des bestehenden Systems weiter genutzt werden können.The invention is therefore based on the object of specifying a method for increasing the reliability in a system and an associated system for carrying out this method, by means of which a simple and controlled manner, starting from an unsafe initial mode of the system, a switch to safe operation is enabled, whereby the components of the existing system can continue to be used.

Diese Aufgabe wird durch ein Verfahren sowie durch ein System der eingangs genannten Art mit den Merkmalen gemäß den unabhängigen Patentansprüchen gelöst. Vorteilhafte Ausführungsformen der vorliegenden Erfindung sind in den abhängigen Ansprüchen beschrieben.This object is achieved by a method and by a system of the type mentioned above with the features according to the independent claims. Advantageous embodiments of the present invention are described in the dependent claims.

Erfindungsgemäß erfolgt die Lösung der Aufgabe durch ein Verfahren der eingangs erwähnten Art, bei welchem ein hierarchisch organisiertes System bestehend aus zumindest einer zentralen Steuereinheit und in einer Vielzahl von in zumindest zwei Hierarchieebenen organisierten Komponenten von einem unsicheren Ausgangsmodus stufenweise in einen so genannten End-to-End-Sicherheitsmodus übergeführt wird. Dabei kann während einer Umstellung bzw. Überführung des Systems zumindest ein Teil der Komponenten, vor allem ein Teil der Endgeräteeinheiten, bei Bedarf wieder in eine unsichere Betriebsweise zurückgeschaltet oder unsicher betrieben werden.According to the invention, the object is achieved by a method of the type mentioned above, in which a hierarchically organized system consisting of at least one central control unit and in a plurality of organized in at least two hierarchical levels components of an unsafe output mode gradually into a so-called end-to- End security mode is transferred. In this case, during a conversion or transfer of the system, at least a part of the components, especially a part of the terminal units, if necessary, switched back into an unsafe mode of operation or operated insecure.

Der Hauptaspekt der gegenständlichen Erfindung besteht darin, dass ein bestehendes System kontrolliert und ohne großen Aufwand bzw. ohne Austausch von Komponenten in einen End-to-End-Sicherheitsmodus übergeführt werden kann. Während einer Übergangsphase vom unsicheren Ausgangsmodus zum End-to-End-Sicherheitsmodus besteht immer die Möglichkeit das System gänzlich oder zumindest teilweise unsicher zu betreiben. D.h. im unsicheren Betrieb erfolgt eine Übertragung von Steuerbefehlen und Daten zwischen zentralen Steuereinheit und insbesondere den Endgeräteeinheiten unverschlüsselt sowie ohne Prüfung von Vertraulichkeit und Integrität.The main aspect of the subject invention is that an existing system can be controlled and converted into an end-to-end security mode without much effort or replacement of components. During a transitional phase from the unsafe initial mode to the end-to-end security mode, there is always the possibility of operating the system completely or at least partially insecure. That In unsafe operation, transmission of control commands and data between the central control unit and, in particular, the terminal units takes place unencrypted and without checking of confidentiality and integrity.

Ein stufenweiser Übergang von einem unsicheren Betrieb zu einem End-to-End-sicheren Betrieb ist besonders nützlich, wenn für einen End-to-End-Sicherheitsmodus eine Vielzahl an Endgeräteeinheiten vorab mit z.B. neuen Steuermitteln für einen sicheren Betrieb (z.B. Aufspielen und/oder Aktivieren einer neuen Firmware, etc.) versehen werden müssen und weiterhin die Ablauffähigkeit dieser neuen Steuermitteln getestet werden muss. Im Fehlerfall können dann z.B. betroffene Komponenten wieder in den unsicheren Betrieb zurückversetzt werden, welche im Prinzip dem unsicheren Ausgangsmodus entspricht.A gradual transition from unsafe operation to end-to-end secure operation is particularly useful when, for an end-to-end security mode, a plurality of terminal units are pre-programmed with e.g. new control means must be provided for safe operation (e.g., uploading and / or activating a new firmware, etc.), and further testing of the operational capability of these new control means. In the event of an error then, e.g. affected components are returned to the unsafe operation again, which corresponds in principle to the unsafe output mode.

Weiterhin bietet das erfindungsgemäße Verfahren die Möglichkeit, dass insbesondere bei einer Vielzahl an Komponenten in einem bestehenden System ein Aufrüsten der Komponenten für den End-to-End-Sicherheitsmodus schrittweise erfolgen kann. D.h. mit entsprechenden Steuermitteln aufgerüstete Komponenten können dann bereits sicher betrieben werden, während aufzurüstende Komponenten noch wie im unsicheren Ausgangsmodus betrieben werden. Erst wenn alle Komponenten des bestehenden Systems entsprechend aufgerüstet und funktionsfähig sind, wird das System in den End-to-End-Sicherheitsmodus geschaltet.Furthermore, the method according to the invention offers the possibility that an upgrade of the components for the end-to-end safety mode can take place step by step, in particular in the case of a large number of components in an existing system. That components upgraded with appropriate control means can then already be safely operated while components to be upgraded are still operated as in the unsafe output mode. Only when all components of the existing system are upgraded and functional are the systems switched to end-to-end security mode.

Eine zweckmäßige Weiterführung der Erfindung sieht vor, dass für eine stufenweise Überführung des Systems in den End-to-End-Sicherheitsmodus zumindest zwei Zwischenmodi durchlaufen werden. Durch einen Einsatz von zumindest zwei Zwischenmodi kann das System sehr einfach mit Hilfe von definierten Zwischenschritten in den End-to-End-Sicherheitsmodus übergeführt werden. Durch die Zwischenmodi wird weiterhin berücksichtigt, dass bei der Überführung beispielsweise nur ein Teil der Komponenten, insbesondere nur ein Teil der Endgeräteeinheiten, ablauffähige Steuermittel für einen sicheren Betrieb aufweisen. Es kann sehr einfach berücksichtigt werden, dass bei einer Vielzahl an Komponenten, insbesondere an Endgeräten, ein Aufrüsten der Komponenten mit den entsprechenden Steuermitteln für den sicheren Betrieb eine längere Zeitdauer in Anspruch nehmen kann. Durch die Zwischenmodi kann allerdings bereits ein Teil der Komponenten sicher betrieben werden, noch bevor alle Komponenten mit den Steuermitteln für den sicheren Betrieb aufgerüstet sind. Weiterhin kann im Fehlerfall beim Aufrüsten bzw. bei Fehlfunktionen der neuen Steuermittel für den sicheren Betrieb entsprechend reagiert werden.An expedient continuation of the invention provides that at least two intermediate modes pass through for a gradual transfer of the system into the end-to-end security mode become. By using at least two intermediate modes, the system can be very easily converted into the end-to-end safety mode with the aid of defined intermediate steps. By intermediate modes is further considered that during the transfer, for example, only a part of the components, in particular only a part of the terminal units, executable control means for safe operation. It can be very easily taken into account that, with a large number of components, in particular at terminals, upgrading the components with the corresponding control means for safe operation can take a longer period of time. However, the intermediate modes allow some of the components to be safely operated even before all the components have been upgraded with the control equipment for safe operation. Furthermore, in the event of an error when upgrading or malfunctioning, the new control means for safe operation can be reacted accordingly.

Beim sicheren Betrieb des Systems bzw. von Teilen des Systems bzw. der Komponenten wird eine Datenübertragung zwischen der zentralen Steuereinheit und den jeweiligen Komponenten verschlüsselt durchgeführt und Vertraulichkeit und Integrität von zwischen der zentralen Steuereinheit und den jeweiligen Komponenten übertragenen Steuerbefehlen geprüft. Sicher betriebene Komponenten bzw. Systemteile sind daher beispielsweise vor Mitlesen der Daten und/oder Steuerbefehle, vor Manipulationen/Veränderungen und/oder vor Auslesen von Daten der Endgeräteeinheiten durch nicht berechtigte Personen geschützt.During secure operation of the system or parts of the system or components, data transmission between the central controller and the respective components is encrypted, and confidentiality and integrity of control commands transmitted between the central controller and the respective components are checked. Safely operated components or system parts are therefore protected, for example, against reading-in of the data and / or control commands, against manipulation / changes and / or before reading data from the terminal units by unauthorized persons.

Weiterhin ist es vorteilhaft, wenn ein erster Zwischenmodus durchlaufen wird, bei welchem von zumindest einem Teil der Komponenten Steuermittel für den sicheren Betrieb aufgewiesen werden, und in welchen alle Komponenten des Systems weiterhin im unsicheren Betrieb wie beim unsicheren Ausgangsmodus betrieben werden. Im ersten Zwischenmodus weist zumindest ein Teil der Komponenten, insbesondere ein Teil der Endgeräteeinheiten, bereits Steuermittel für den sicheren Betrieb auf. Der Betrieb des Systems erfolgt allerdings noch im unsicheren Betrieb. D.h., die Steuerbefehle werden zwar von der zentralen Steuereinheit entsprechend signiert. Diese Signatur wird allerdings auf der Hierarchieebene der Datenkonzentrationseinheiten bzw. von den Datenkonzentrationseinheiten entfernt und die jeweiligen Steuerbefehle ohne Signatur an die untergeordneten Endgeräteeinheiten weitergesendet. Weiterhin werden im ersten Zwischenmodus Daten von den Endgeräteeinheiten unverschlüsselt über die jeweils übergeordneten Datenkonzentrationseinheiten an die zentrale Steuereinheit gesendet.Furthermore, it is advantageous if a first intermediate mode is run through, in which of at least a part of the components control means for safe operation are exhibited, and in which all components of the system continue to operate in unsafe operation as in the unsafe output mode. In the first intermediate mode, at least some of the components, in particular a part of the terminal units, already have control means for safe operation. However, the operation of the system is still in unsafe operation. That is, the control commands are indeed signed by the central control unit accordingly. However, this signature is removed at the hierarchical level of the data concentration units or from the data concentration units and the respective control commands are forwarded without signature to the subordinate terminal units. Furthermore, in the first intermediate mode, data is transmitted from the terminal units unencrypted to the central control unit via the respective higher-level data concentration units.

Zusätzlich ist es auch günstig, wenn bei der Überführung in den End-to-End-Sicherheitsmodus ein zweiter Zwischenmodus durchlaufen wird, in welchem jener Teil der Komponenten, welcher ablauffähige Steuermittel für den sicheren Betrieb aufweist, sicher betrieben wird. Insbesondere im zweiten Zwischenmodus können Komponenten mit Steuermittel für den sicheren Betrieb bereits sicher betrieben werden. Komponenten, insbesondere Endgeräteeinheiten, welche z.B. erst mit Steuermittel für den sicheren Betrieb aufgerüstet werden müssen oder bei welchen die Steuermittel für den sicheren Betrieb erst aktiviert werden müssen, können im zweiten Zwischenmodus weiterhin unsicher betrieben werden. Das bedeutet, im zweiten Zwischenmodus erfolgt ein Parallelbetrieb von Komponenten mit ablauffähigen bzw. aktivierten Steuermitteln für den sicheren Betrieb und von Komponenten, welche z.B. nur über ablauffähige Steuermittel für den unsicheren Betrieb verfügen, wobei die Komponenten mit ablauffähigen Steuermitteln für den sicheren Betrieb sicher betrieben werden.In addition, it is also advantageous if, during the transfer to the end-to-end security mode, a second intermediate mode is run through, in which that part of the components which has executable safe-operation control means is safely operated. Especially in the second intermediate mode, components with control means for safe operation can already be safely operated. Components, in particular terminal units, which are e.g. can only be upgraded with control means for safe operation or in which the control means for safe operation must first be activated, can continue to operate unsafe in the second intermediate mode. That is, in the second intermediate mode, there is a parallel operation of components having executable control means for safe operation and of components which are e.g. only have executable control means for unsafe operation, the components being safely operated with executable control means for safe operation.

Beim zweiten Zwischenmodus ist der zentralen Steuereinheit bzw. den jeweiligen Datenkonzentrationseinheiten bekannt, welche Endgeräteeinheiten sicher betreibbar sind bzw. welche Endgeräteeinheiten über ablauffähige Steuermittel für einen sicheren Betrieb verfügen. An diese Endgeräteeinheiten werden Steuerbefehle von der zentralen Steuereinheit signiert gesendet und von der jeweiligen Datenkonzentrationseinheit signiert weitergeleitet. Die Daten von diesen sicheren Endgeräteeinheiten werden verschlüsselt über die jeweils übergeordnete Datenkonzentrationseinheit an die zentrale Steuereinheit gesendet. Weiterhin sind den Datenkonzentrationseinheiten die jeweils untergeordneten Endgeräteeinheiten ohne ablauffähige Steuermittel für den sicheren Betrieb bekannt. An diese werden die jeweiligen Steuerbefehle der zentralen Steuereinheit von der zuständigen Datenkonzentrationseinheit weiterhin ohne Signatur weitergeleitet.In the second intermediate mode, the central control unit or the respective data concentration units knows which terminal units can be operated safely or which terminal units have executable control means for safe operation. Control commands are sent to these terminal units signed by the central control unit and forwarded signed by the respective data concentration unit. The data from these secure terminal units are sent encrypted via the respective higher-level data concentration unit to the central control unit. Furthermore, the respective lower-level terminal units without executable control means for safe operation are known to the data concentration units. The respective control commands of the central control unit are forwarded to the competent data concentration unit without signature.

Idealerweise wird im zweiten Zwischenmodus ein Zurücksetzen von sicher betriebenen Komponenten in den unsicheren Betrieb ermöglicht. D.h., dass z.B. im Fehlerfall ein oder mehrere bereits sicher betriebene Komponenten in den unsicheren Betrieb zurückgesetzt werden können, in welchem Steuerbefehle für die Endgeräteeinheiten zumindest von der jeweiligen Datenkonzentrationseinheit ohne Signatur weitergeleitet bzw. Daten von den Endgeräten unverschlüsselt übertragen werden. Im zweiten Zwischenmodus ist jeder Zeit eine parallele Betriebsführung von sicheren und unsicheren Komponenten, insbesondere Endgeräteeinheiten, möglich, wobei die Vorteile des End-to-End-Sicherheitsmodus zumindest bei Komponenten mit fehlerfrei ablauffähigen und aktivierten Steuermitteln für den sicheren Betrieb bereits genutzt werden können.Ideally, in the second intermediate mode, it is possible to reset safely operated components to unsafe operation. That is, e.g. in the event of an error, one or more already safely operated components can be reset to unsafe operation, in which control commands for the terminal units are forwarded at least from the respective data concentration unit without signature or data is transmitted unencrypted by the terminals. In the second intermediate mode, a parallel operation of secure and non-secure components, in particular terminal units, is possible at any time, whereby the advantages of the end-to-end security mode can already be used for secure operation, at least for components with error-free executable and activated control means.

Im End-to-End-Sicherheitsmodus wird dann nur mehr ein sicherer Betrieb der Komponenten, insbesondere Endgeräteeinheiten, ermöglicht. Ein Zurücksetzen in einen unsicheren Betrieb einzelner Komponenten, von Teilen der Komponenten oder aller Komponenten des Systems ist dann nicht mehr möglich. Im End-to-End-Sicherheitsmodus weisen daher alle Komponenten und damit auch alle Endgeräteeinheiten ablauffähige und aktivierte Steuermittel für den sicheren Betrieb auf. Eine Übertragung der Steuerbefehle von der zentralen Steuereinheit über die jeweiligen Datenkonzentrationseinheiten an die jeweils untergeordneten Endgeräteeinheiten erfolgt dann nur mehr mit Signatur, um die Integrität des Steuerbefehls überprüfen zu können. Die Daten von den Endgeräteeinheiten werden dann nur mehr verschlüsselt über die jeweiligen Datenkonzentrationseinheiten an die zentrale Steuereinheit gesendet.In the end-to-end security mode, only secure operation of the components, in particular terminal units, is then enabled. A reset to an unsafe operation of individual components, parts of the components or all components of the system is then no longer possible. In end-to-end security mode, therefore, all components and thus also all terminal units have executable and activated control means for safe operation. A transmission of the control commands from the central control unit via the respective data concentration units to the respective subordinate terminal units is then carried out only with signature in order to check the integrity of the control command can. The data from the terminal units will then only more encrypted sent over the respective data concentration units to the central control unit.

Weiterhin wird die Aufgabe mit einem System zur Durchführung des erfindungsgemäßen Verfahrens gelöst, wobei dieses System hierarchisch mit zumindest zwei Hierarchieebenen organisiert ist. Dabei umfasst das System zumindest eine zentrale Steuereinheit, der zentralen Steuereinheit untergeordnete Datenkonzentrationseinheiten sowie den jeweiligen Datenkonzentrationseinheiten untergeordnete Endgeräteeinheiten. Dabei sind auf den Datenkonzentrationseinheiten und/oder auf den Endgeräteeinheiten für eine Überführung in einen End-to-End-Sicherheitsmodus Steuermittel für einen unsicheren Betrieb und Steuermittel für einen sicheren Betrieb ablauffähig.Furthermore, the object is achieved with a system for carrying out the method according to the invention, this system being organized hierarchically with at least two hierarchy levels. In this case, the system comprises at least one central control unit, the central control unit subordinate data concentration units and the respective data concentration units subordinate terminal units. In this case, on the data concentration units and / or on the terminal units for a transfer to an end-to-end security mode control means for unsafe operation and control means for safe operation executable.

Die Vorteile des erfindungsgemäßen Systems liegen vor allem darin, dass ein unsicher betreibbares Bestandsystem auf einfache Weise und ohne großen Kostenaufwand in ein System überführbar ist, welches in einem End-to-End-Sicherheitsmodus betrieben werden kann. Während der Überführung in den End-to-End-Sicherheitsmodus können für das System ohne Risiko bereits die Vorteile der End-to-End-Sicherheit (Datenverschlüsselung, Prüfung von Vertraulichkeit und Integrität) genutzt werden, da mit Fehlerfall zumindest fehlerhaft funktionierende Komponenten wieder in den unsicheren Betrieb zurückschaltbar sind.The advantages of the system according to the invention lie in the fact that an insecure operable inventory system can be easily and without much effort into a system convertible, which can be operated in an end-to-end security mode. During the transition to end-to-end security mode, the system can already take advantage of end-to-end security (data encryption, confidentiality and integrity) without any risk, because if an error occurs, at least malfunctioning components are restored the unsafe operation can be switched back.

Es ist weiterhin vorteilhaft, wenn für eine Übertragung von Steuerbefehlen und Daten zwischen der zentralen Steuereinheit und den Datenkonzentrationseinheiten ein Kommunikationsnetz einsetzbar ist. Dabei können beispielsweise drahtgebundene Kommunikationsnetze (z.B. LAN, etc.) oder Funkkommunikationsnetze (z.B. Mobilfunk wie z.B. GPRS, UMTS, Wireless LAN, etc.) zum Einsatz kommen. Für eine Übertragung von Steuerbefehlen und Daten zwischen den jeweiligen Datenkonzentrationseinheiten und den jeweils untergeordneten Endgeräteeinheiten ist idealerweise so genannte Powerline Communication oder PLC im Einsatz, bei welcher die vorhandenen elektrischen Leitungen eines Niederspannungsnetzes für die Datenübertragung genutzt werden. Weiterhin können die genutzte Datenkommunikation auch dazu eingesetzt werden, um die Komponenten, insbesondere die Endgeräteeinheiten, mit den Steuermitteln für den sicheren Betrieb aufzurüsten oder die bereits auf den Komponenten befindlichen Steuermittel für den sicheren Betrieb zu aktivieren und ablauffähig zu machen.It is also advantageous if a communication network can be used for a transmission of control commands and data between the central control unit and the data concentration units. In this case, for example, wired communication networks (eg LAN, etc.) or wireless communication networks (eg mobile radio such as GPRS, UMTS, wireless LAN, etc.) can be used. For transmission of control commands and data between the respective data concentration units and the respective subordinate terminal units, so-called powerline communication or PLC is ideally used, in which the existing electrical lines a low-voltage network for data transmission. Furthermore, the data communication used can also be used to upgrade the components, in particular the terminal units, with the control means for safe operation or to enable the control means already located on the components for safe operation and to make them executable.

Kurzbeschreibung der ZeichnungBrief description of the drawing

Die Erfindung wird nachfolgend in beispielhafter Weise anhand der beigefügten Figuren erläutert. Dabei zeigen:

Figur 1
beispielhaft und schematisch eine Aufbau eines hierarchisch organisierten Systems für die Durchführung des erfindungsgemäßen Verfahrens zur Steigerung der Betriebssicherheit
Figur 2
schematisch einen beispielhaften Ablauf des erfindungsgemäßen Verfahrens zur Steigerung der Betriebssicherheit im beispielhaften hierarchisch organisierten System
The invention will now be described by way of example with reference to the accompanying drawings. Showing:
FIG. 1
exemplary and schematic structure of a hierarchically organized system for carrying out the method according to the invention for increasing the reliability
FIG. 2
schematically an exemplary sequence of the method according to the invention for increasing the reliability in the exemplary hierarchically organized system

Ausführung der ErfindungEmbodiment of the invention

Figur 1 zeigt schematisch ein beispielhaftes System ES, welches in mehreren Hierarchieebenen H1, H2, H3 organisiert ist. Das System ES, bei welchem es sich beispielsweise um ein Energiemanagementsystem ES handelt, weist auf einer ersten Hierarchieebene H1 eine zentrale Steuereinheit TS auf. Die zentrale Steuereinheit TS ist beispielsweise zentral bei einem Energieanbieter oder Energienetzbetreiber angebracht. Von der zentralen Steuereinheit TS können beispielsweise für eine zentrale Steuerung (z.B. Fernschaltung, Fernabfrage, etc.) der weiteren Komponenten DC1, DC2, DC3, E1 bis E8 des Systems ES Steuerbefehle an diese Komponenten DC1, DC2, DC3, E1 bis E8 ausgesendet werden bzw. es können von den zentralen Steuereinheit TS Daten D der Komponente DC1, DC2, DC3, E1 bis E8 empfangen, verwaltet und/oder ausgewertet werden. Neben der zentralen Steuereinheit TS umfasst das hierarchische System ES eine Vielzahl an beispielhaft dargestellten Komponenten DC1 bis DC3 bzw. E1 bis E8, welche in weiteren Hierarchieebenen H2, H3 organisiert sind. Dabei wird ein Teil der Komponenten DC1, DC2, DC3 von der zentralen Steuereinheit TS direkt angesprochen. Von diesen Komponenten DC1, DC2, DC3, welche in einer zweiten Hierarchieebenen H2 organisiert sind, wird auf eine große Anzahl an untergeordneten Komponenten E1 bis E8 zugriffen. FIG. 1 schematically shows an exemplary system ES, which is organized in several hierarchical levels H1, H2, H3. The system ES, which is, for example, an energy management system ES, has a central control unit TS on a first hierarchical level H1. For example, the central control unit TS is centrally attached to an energy provider or energy network operator. From the central control unit TS control commands can be sent to these components DC1, DC2, DC3, E1 to E8, for example, for a central control (eg remote control, remote access, etc.) of the other components DC1, DC2, DC3, E1 to E8 of the system ES or it can from the central control unit TS data D of the component DC1, DC2, DC3, E1 to E8 be received, managed and / or evaluated. In addition to the central control unit TS, the hierarchical system ES comprises a multiplicity of exemplarily illustrated components DC1 to DC3 or E1 to E8, which are organized in further hierarchy levels H2, H3. In this case, a part of the components DC1, DC2, DC3 is addressed directly by the central control unit TS. Of these components DC1, DC2, DC3, which are organized in a second hierarchical level H2, access is made to a large number of subordinate components E1 to E8.

Die Komponenten DC1, DC2, DC3 der zweiten Hierarchieebenen sind im beispielshaft dargestellten Energiemanagementsystem ES beispielsweise als Datenkonzentrationseinheiten DC1, DC2, DC3 ausgeführt, welche üblicherweise in Transformatorstationen angeordnet sind. Die Datenkonzentrationseinheiten DC1, DC2, DC3 sind über ein Kommunikationsnetz wie z.B. ein drahtgebundenes Kommunikationsnetz (z.B. LAN, etc.) oder ein Funkkommunikationsnetz (z.B. Mobilfunknetz wie z.B. GPRS, UMTS, Wireless LAN, etc.) für einen Übertragung und/oder Weiterleitung von Steuerbefehlen ST und Daten D an die zentrale Steuereinheit TS angebunden. Üblicherweise werden von den Datenkonzentrationseinheiten DC1, DC2, DC3 empfangenen Daten D gesammelt bzw. Steuerbefehle ST an die jeweils untergeordneten Komponenten E1 bis E8 weitergeleitet.The components DC1, DC2, DC3 of the second hierarchical levels are embodied in the energy management system ES shown by way of example, for example as data concentration units DC1, DC2, DC3, which are usually arranged in transformer stations. The data concentration units DC1, DC2, DC3 are connected via a communication network, e.g. a wired communication network (e.g., LAN, etc.) or a radio communication network (e.g., cellular network such as GPRS, UMTS, wireless LAN, etc.) for transmission and / or forwarding of control commands ST and data D are connected to the central control unit TS. Usually, data D received by the data concentration units DC1, DC2, DC3 is collected or control commands ST forwarded to the respective subordinate components E1 to E8.

Weiterhin umfasst das hierarchisch System ES den jeweiligen Datenkonzentrationseinheiten DC1, DC2, DC3 untergeordnete Endgeräteeinheiten E1 bis E8, welche in einer dritten Hierarchieebene H3 organisiert sind. Als Endgeräteeinheiten E1 bis E8 sind beim hierarchisch organisierten Energiemanagementsystem ES z.B. intelligente Zähler E1 bis E8 vorgesehen, die bei den jeweiligen Energie-Verbrauchsstellen (z.B. Haushalten, etc.) angeordnet sind. Diese Endgeräteeinheiten bzw. intelligenten Zähler E1 bis E8 weisen Datenübertragungseinheit auf, um digitale Daten D (Messdaten, Zählerstände, etc.) an hierarchisch höhere Instanzen wie z.B. jeweils übergeordnete Datenkonzentrationseinheiten DC1, DC2, DC3 und/oder die zentrale Steuereinheit TS zu übertragen und um der zentralen Steuereinheit TS ausgesendete und von der jeweiligen Datenkonzentrationseinheit DC1, DC2, DC3 weitergeleitete Steuerbefehle ST zu empfangen. Für die Übertragung zwischen den Datenkonzentrationseinheiten DC1, DC2, DC3 und den jeweils untergeordneten Endgeräteeinheiten bzw. Zählern E1 bis E8 werden üblicherweise vorhandene Leitungen eines Niederspannungsnetzes und die so genannten Powerline Communication oder PLC genutzt.Furthermore, the hierarchical system ES comprises the respective data concentration units DC1, DC2, DC3 subordinate terminal units E1 to E8, which are organized in a third hierarchical level H3. As terminal units E1 to E8, for example, intelligent meters E1 to E8 are provided in the hierarchically organized energy management system ES, which are arranged at the respective energy consumption points (eg, households, etc.). These terminal units or intelligent counters E1 to E8 have data transmission unit to digital data D (measurement data, counter readings, etc.) to hierarchically higher instances such as each higher-level data concentration units DC1, DC2, DC3 and / or the Central control unit TS to transmit and to the central control unit TS emitted and forwarded by the respective data concentration unit DC1, DC2, DC3 control commands ST. For the transmission between the data concentration units DC1, DC2, DC3 and the respective subordinate terminal units or counters E1 to E8, usually existing lines of a low-voltage network and the so-called powerline communication or PLC are used.

Weiterhin weisen die Datenkonzentrationseinheiten DC1, DC2, DC3 sowie die Endgeräteeinheiten E1 bis E8 für eine Durchführung des erfindungsgemäßen Verfahrens bzw. für einen Überführung in einen so genannten End-to-End-Sicherheitsmodus EM Steuermittel für einen sicheren Betrieb sowie Steuermittel für einen unsicheren Betrieb auf. Beim so genannten End-to-End-Sicherheitsmodus EM bzw. beim sicheren Betrieb wird die Übertragung von Daten D zwischen der zentralen Steuereinheit TS und den jeweiligen Komponenten DC1, DC2, DC3, E1 bis E8 - vor allem die Übertragung der Daten D der Endgeräteeinheiten E1 bis E8 über die Datenkonzentrationseinheiten DC1, DC2, DC3 an die zentrale Steuereinheit TS - verschlüsselt durchgeführt. Weiterhin werden von der zentralen Steuereinheit TS ausgesendete Steuerbefehle ST von jeweils empfangenen Komponenten DC1, DC2, DC3, E1 bis E8 - insbesondere von fernschaltbaren und/oder fernabfragbaren Endgerätekomponenten E1 bis E8 - auf Vertraulichkeit und Integrität geprüft. D.h. die Übertragung von Steuerbefehlen ST von der zentralen Steuereinheit TS über die weiterleitenden Datenkonzentrationseinheiten DC1, DC2, DC3 zu den Endgeräteeinheiten E1 bis E8 bzw. von Daten von den Endgeräteeinheiten E1 bis E8 über die Datenkonzentrationseinheiten DC1, DC2, DC3 zur zentralen Steuereinheit TS erfolgt im sicheren Betrieb bzw. im End-to-End-Sicherheitsmodus EM geschützt vor Manipulation, Veränderung und Auslesen von Daten D und/oder Steuerbefehlen ST durch unberechtigte Personen.Furthermore, the data concentration units DC1, DC2, DC3 and the terminal units E1 to E8 for carrying out the method according to the invention or for a transfer to a so-called end-to-end security mode EM control means for safe operation and control means for unsafe operation , In the so-called end-to-end security mode EM or in secure operation, the transmission of data D between the central control unit TS and the respective components DC1, DC2, DC3, E1 to E8 - especially the transmission of the data D of the terminal units E1 to E8 via the data concentration units DC1, DC2, DC3 to the central control unit TS - carried out encrypted. Furthermore, control commands ST emitted by the central control unit TS are checked for confidentiality and integrity by respectively received components DC1, DC2, DC3, E1 to E8, in particular by remote-switchable and / or remote-requestable terminal components E1 to E8. This means that the transmission of control commands ST from the central control unit TS via the forwarding data concentration units DC1, DC2, DC3 to the terminal units E1 to E8 or data from the terminal units E1 to E8 via the data concentration units DC1, DC2, DC3 to the central control unit TS takes place in FIG safe operation or in the end-to-end security mode EM protected against manipulation, modification and read-out of data D and / or control commands ST by unauthorized persons.

Figur 2 zeigt schematisch einen beispielhaften Ablauf des erfindungsgemäßen Verfahrens zur Steigerung der Betriebssicherheit im beispielhaften in Figur 1 dargestellten hierarchisch organisierten System ES. Dabei wird insbesondere die Vielzahl der Endgeräteeinheiten E1 bis E8 und damit das gesamte System ES von einem unsicheren Ausgangsmodus LM stufenweise in den so genannten End-to-End-Sicherheitsmodus EM übergeführt. Bei der stufenweisen Überführung werden zwei Zwischenmodi CM, MM durchlaufen. Die Modi von unsicherem Ausgangsmodus LM über die Zwischemodi CM, MM bis zum End-to-End-Sicherheitsmodus EM sind je Datenzelle - d.h. je Datenkonzentrationseinheit DC1, DC2, DC3 inklusive der jeweils angebundenen, untergeordneten Endgeräteeinheiten/Zähler E1 bis E8 - möglich. FIG. 2 schematically shows an exemplary sequence of the method according to the invention for increasing the reliability in the exemplary in FIG. 1 illustrated hierarchically organized system ES. In particular, the plurality of terminal units E1 to E8 and thus the entire system ES are gradually transferred from an unsafe output mode LM into the so-called end-to-end security mode EM. In the stepwise transfer, two intermediate modes CM, MM are passed through. The modes of unsafe output mode LM via the intermediate modes CM, MM to the end-to-end security mode EM are possible per data cell - ie each data concentration unit DC1, DC2, DC3 including the respectively connected, subordinate terminal units / counters E1 to E8.

Zu Beginn des erfindungsgemäßen Verfahrens befindet sich das hierarchische System ES in einem unsicheren Ausgangsmodus LM. Im Ausgangsmodus LM kennen vor allem die Endgeräteeinheiten bzw. Zähler E1 bis E8 keinen Sicherheitsbetrieb bzw. weisen nur Steuermittel für einen unsicheren Betrieb auf. Die Endgeräteeinheiten E1 bis E8 und damit das System ES können daher nur in einem unsicheren Betrieb betrieben werden. Das bedeutet, dass die Übertragung von Steuerbefehlen ST und Daten D ungesichert und nicht vertraulich durchgeführt wird und eine Integrität von Steuerbefehlen nicht geprüft wird.At the beginning of the method according to the invention, the hierarchical system ES is in an unsafe output mode LM. In the output mode LM, especially the terminal units or counters E1 to E8 are not aware of any safety operation or have only control means for unsafe operation. The terminal units E1 to E8 and thus the system ES can therefore only be operated in an unsafe operation. This means that the transmission of control commands ST and data D is unsecured and not confidential and integrity of control commands is not checked.

Bei einem ersten Übergang U1 vom unsicheren Ausgangsmodus LM in einen ersten Zwischenmodus CM werden beispielsweise die Komponenten DC1, DC2, DC3 bzw. E1 bis E8 - insbesondere die Endgeräteeinheiten E1 bis E8 - mit Steuermitteln für den sicheren Betrieb ausgestattet. Für den ersten Übergang U1 können beispielsweise alte Endgeräteeinheiten E1 bis E8 durch neue Endgeräteeinheiten E1 bis E8 ersetzt, welche neben Steuermittel für den unsicheren Betrieb auch Steuermittel für den sicheren Betrieb aufweisen. Alternativ oder zusätzlich können auch bestehende, im System ES bereits installierte Endgeräteeinheiten E1 bis E8 mit einer neuen so genannten Firmware ausgestattet werden, welche Steuermittel für den sicheren Betrieb umfasst. Im ersten Zwischenmodus CM ist den Datenkonzentrationseinheiten DC1, DC2, DC3 des Systems ES außerdem der sicherer Betrieb bekannt. Die Endgeräteeinheiten E1 bis E8 werden allerdings im ersten Zwischenmodus weiterhin im unsicheren Betrieb betrieben. Das bedeutet, dass im ersten Zwischenmodus CM von der zentralen Steuereinheit TS ausgesendete Steuerbefehle ST bereits mit einer Signatur für die Prüfung von Vertraulichkeit und Integrität ausgesendet werden. Diese Signatur wird allerdings auf der zweiten Hierarchieebene H2 von den Datenkonzentrationseinheiten DC1, DC2, DC3 entfernt. Die Steuerbefehle ST werden dann ohne Signatur an die Endgeräteeinheiten E1 bis E8 weitergeleitet. Weiterhin werden im ersten Zwischenmodus CM Daten D von den Endgeräteeinheiten E1 bis E8 unverschlüsselt an die zentrale Steuereinheit TS gesendet. Ein Rücksetzen R1 vom ersten Zwischenmodus CM in den Ausgangsmodus LM ist nach Aufrüsten der jeweiligen Endgeräteeinheiten E1 bis E8 mit den Steuermitteln für den sicheren Betrieb nicht möglich.In a first transition U1 from the insecure output mode LM to a first intermediate mode CM, for example, the components DC1, DC2, DC3 and E1 to E8 - in particular the terminal units E1 to E8 - equipped with control means for safe operation. For the first transition U1, for example, old terminal units E1 to E8 can be replaced by new terminal units E1 to E8 which, in addition to control means for unsafe operation, also have control means for safe operation. Alternatively or additionally, existing terminal units E1 to E8 already installed in the system ES can also be equipped with a new so-called firmware, which comprises control means for safe operation. In the first intermediate mode CM is the data concentration units DC1, DC2, DC3 of the system ES also known as safe operation. However, the terminal units E1 to E8 continue to operate in the first intermediate mode in unsafe operation. This means that control commands ST sent out by the central control unit TS in the first intermediate mode CM are already sent out with a signature for the verification of confidentiality and integrity. However, this signature is removed on the second hierarchical level H2 from the data concentration units DC1, DC2, DC3. The control commands ST are then forwarded without signature to the terminal units E1 to E8. Furthermore, in the first intermediate mode CM data D are sent unencrypted from the terminal units E1 to E8 to the central control unit TS. A reset R1 from the first intermediate mode CM in the output mode LM is not possible after upgrading the respective terminal units E1 to E8 with the control means for safe operation.

Bei einem zweiten Übergang U2 vom ersten Zwischenmodus CM zu einem zweiten Zwischenmodus MM werden bei jenen Endgeräten E1 bis E8, welche bereits Steuermittel für den sicheren Betrieb aufweisen, die Steuermittel für den sicheren Betrieb aktiviert. Der zweite Übergang U2 in den zweiten Zwischenmodus MM wird beispielsweise durchgeführt, wenn ca. 70 bis 80% der Endgeräteeinheiten E1 bis E8 mit der entsprechenden Firmware aus- bzw. aufgerüstet sind. Mit der Aktivierung weisen die entsprechenden Endgeräteeinheiten E1 bis E8 ablauffähige Steuermittel für den sicheren Betrieb auf und können sicher betrieben werden.In a second transition U2 from the first intermediate mode CM to a second intermediate mode MM, the control means for the secure operation are activated in those terminals E1 to E8 which already have control means for safe operation. The second transition U2 into the second intermediate mode MM is performed, for example, when about 70 to 80% of the terminal units E1 to E8 are equipped or upgraded with the corresponding firmware. With the activation, the corresponding terminal units E1 to E8 executable control means for safe operation and can be operated safely.

Im zweiten Zwischenmodus MM ist der zentralen Steuereinheit TS und den Datenkonzentrationseinheiten DC1, DC2, DC3 bekannt, welche der jeweils untergeordneten Endgeräteeinheiten E1 bis E8 über aktivierte bzw. ablauffähige Steuermittel für den sicheren Betrieb verfügen. Die Aktivierung der Steuermittel für den sicheren Betrieb auf den Endgeräteeinheiten E1 bis E8 wird beispielsweise durch einen entsprechenden Steuerbefehl ST der zentralen Steuereinheit TS getriggert. Das Aufrüsten der Endgeräteeinheiten E1 bis E8 mit neuer Firmware erfolgt im Energiemanagementsystem ES üblicherweise mittels PLC über das Niederspannungsnetz. Die entsprechend aufgerüsteten Endgeräteeinheiten E1 bis E8 melden sich dann beispielsweise bei der jeweils übergeordneten Datenkonzentrationseinheit DC1, DC2, DC3 an. An diese Endgeräteeinheiten E1 bis E8 werden von der zentralen Steuereinheit die Steuerbefehle ST signiert gesendet und von der jeweiligen Datenkonzentrationseinheit DC1, DC2, DC3 signiert weitergeleitet. Eine Datenübertragung von diesen sicher betriebenen Endgeräteeinheiten E1 bis E8 wird dann verschlüsselt durchgeführt, wobei für die Verschlüsselung der Daten z.B. ein so genannter Elliptic Curve Diffie-Hellman-(ECDH-)-Algorithmus verwendet wird.In the second intermediate mode MM, the central control unit TS and the data concentration units DC1, DC2, DC3 know which of the respective subordinate terminal units E1 to E8 have activated or executable control means for safe operation. The activation of the control means for safe operation on the terminal units E1 to E8 is triggered, for example, by a corresponding control command ST of the central control unit TS. Upgrading the terminal units E1 to E8 with new firmware takes place in the energy management system ES usually by means of PLC via the low-voltage network. The corresponding upgraded terminal units E1 to E8 then log on, for example, to the respective higher-level data concentration unit DC1, DC2, DC3. The control commands ST are sent to these terminal units E1 to E8 signed by the central control unit and forwarded signed by the respective data concentration unit DC1, DC2, DC3. A data transmission from these securely operated terminal units E1 to E8 is then carried out in encrypted form, wherein for the encryption of the data, for example, a so-called Elliptic Curve Diffie-Hellman (ECDH) algorithm is used.

Weiterhin sind den Datenkonzentrationseinheiten DC1, DC2, DC3 die jeweils untergeordneten Endgeräteeinheiten ohne ablauffähige Steuermittel für den sicheren Betrieb bekannt. An diese werden die jeweiligen Steuerbefehle der zentralen Steuereinheit von der zuständigen Datenkonzentrationseinheit weiterhin ohne Signatur weitergeleitet.Furthermore, the data concentration units DC1, DC2, DC3 are each the subordinate terminal units known without executable control means for safe operation. The respective control commands of the central control unit are forwarded to the competent data concentration unit without signature.

Im zweiten Zwischenmodus MM erfolgt daher ein Parallelbetrieb von sicher betriebenen Endgeräteeinheiten E1 bis E8 und unsicher betriebenen Endgeräteeinheiten E1 bis E8, welche entweder erst mit Steuermittel für den sicheren Betrieb ausgerüstet werden müssen oder deren Steuermittel für den sicheren Betrieb erst aktiviert werden müssen oder bei welchen die Steuermittel für den sicheren Betrieb nicht fehlerfrei funktionieren. Weiterhin kann im zweiten Zwischenmodus MM über ein Rücksetzen R2 das System ES oder Teile des Systems ES - z.B. eine bestimmte Datenkonzentrationseinheit DC1, DC2, DC3 mit den zugehörigen Endgeräteeinheiten E1 bis E8 - wieder in den ersten Zwischenmodus CM und damit in den unsicheren Betrieb zurückgesetzt werden.In the second intermediate mode MM, therefore, a parallel operation of securely operated terminal units E1 to E8 and unsafe operated terminal units E1 to E8, which either must first be equipped with control means for safe operation or their control means for safe operation must first be activated or in which the Control means for safe operation do not work properly. Furthermore, in the second intermediate mode MM via a reset R2, the system ES or parts of the system ES - e.g. a specific data concentration unit DC1, DC2, DC3 with the associated terminal units E1 to E8 - be reset again in the first intermediate mode CM and thus in the unsafe operation.

Erst wenn alle Endgeräteeinheiten E1 bis E8 des Systems ES über ablauffähige Steuermittel für den sicheren Betrieb verfügen und ein fehlerfreier Ablauf der Steuermittel für den sicheren Betrieb sichergestellt ist, wird in einem dritten Übergang U3 das System ES vom zweiten Zwischenmodus MM in den End-to-End-Sicherheitsmodus EM umgeschaltet. D.h. die Endgeräteeinheiten E1 bis E8 sind nur mehr im sicheren Betrieb betreibbar und die Datenkonzentrationseinheiten DC1, DC2, DC3 werden im dritten Übergang U3 ebenfalls auf den End-to-End-Sicherheitsmodus EM umgeschaltet.Only when all terminal units E1 to E8 of the system ES have executable control means for safe operation and an error-free operation of the control means for safe operation is ensured, the system ES is switched from the second intermediate mode MM in the end-to-end security mode EM in a third transition U3. This means that the terminal units E1 to E8 can only be operated in safe operation and the data concentration units DC1, DC2, DC3 are also switched to the end-to-end security mode EM in the third transition U3.

Im End-to-End-Sicherheitsmodus EM ist damit nur mehr ein sicherer Betrieb des Systems ES und der Komponenten DC1, DC2, DC3 bzw. E1 bis E8) möglich. Ein Zurücksetzen R3 in einen unsicheren Betrieb einzelner Komponenten bzw. in den zweiten Zwischenmodus MM ist dann nicht mehr möglich. Die Übertragung der Steuerbefehle ST von der zentralen Steuereinheit TS über die jeweiligen Datenkonzentrationseinheiten DC1, DC2, DC3 an die jeweils untergeordneten Endgeräteeinheiten E1 bis E8 erfolgt im End-to-End-Sicherheitsmodus EM nur mehr mit Signatur, um Vertraulichkeit und Integrität der Steuerbefehle ST überprüfen zu können. Die Daten D von den Endgeräteeinheiten werden nur mehr mittels Verschlüsselung durch z.B. den so genannten Elliptic Curve Diffie-Hellman-(ECDH-)-Algorithmus über die jeweiligen Datenkonzentrationseinheiten DC1, DC2, DC3 an die zentrale Steuereinheit TS übertragen.In the end-to-end security mode EM, this only allows a more secure operation of the system ES and the components DC1, DC2, DC3 or E1 to E8). A reset R3 in an unsafe operation of individual components or in the second intermediate mode MM is then no longer possible. The transmission of the control commands ST from the central control unit TS via the respective data concentration units DC1, DC2, DC3 to the respective subordinate terminal units E1 to E8 takes place in the end-to-end security mode EM only with signature to verify confidentiality and integrity of the control commands ST to be able to. The data D from the terminal units are only encrypted by e.g. the so-called Elliptic Curve Diffie-Hellman (ECDH) algorithm via the respective data concentration units DC1, DC2, DC3 transmitted to the central control unit TS.

Claims (9)

Verfahren zur Steigerung einer Betriebssicherheit eines hierarchischen Systems (ES), insbesondere eines Energiemanagementsystems, welches zumindest eine zentralen Steuereinheit (TS) und eine Vielzahl an in zumindest zwei Hierarchieebenen (H2, H3) organisierten Komponenten (DC1, DC2, DC3, E1,...,E8) umfasst, wobei das System (ES) als Komponenten (DC1, DC2, DC3, E1,...,E8) der zentralen Steuereinheit (TS) untergeordnete Datenkonzentrationseinheiten (DC1, DC2, DC3) und jeweils den Datenkonzentrationseinheiten (DC1, DC2, DC3) untergeordnete Endgeräteeinheiten (E1,...,E8) aufweist, und wobei im Betrieb des Systems (ES) zwischen der zentralen Steuereinheit (TS) und den untergeordneten Komponenten (DC1, DC2, DC3, E1,...,E8) Steuerbefehle (ST) und Daten (D) übertragen werden, dadurch gekennzeichnet, dass das System (ES) von einem unsicheren Ausgangsmodus (LM) stufenweise in einen so genannten End-to-End-Sicherheitsmodus (EM) übergeführt wird, wobei während einer Überführung zumindest ein Teil der Komponenten (DC1, DC2, DC3, E1,...,E8), insbesondere der Endgeräteeinheiten (E1,...,E8), in einen unsicheren Betrieb zurückgeschaltet und unsicher betrieben werden kann.Method for increasing operational reliability of a hierarchical system (ES), in particular of an energy management system, which has at least one central control unit (TS) and a multiplicity of components (DC1, DC2, DC3, E1, ..) organized in at least two hierarchical levels (H2, H3). ., E8), wherein the system (ES) as components (DC1, DC2, DC3, E1, ..., E8) of the central control unit (TS) subordinate data concentration units (DC1, DC2, DC3) and each of the data concentration units (DC1 , DC2, DC3) subordinate terminal units (E1, ..., E8), and wherein in the operation of the system (ES) between the central control unit (TS) and the subordinate components (DC1, DC2, DC3, E1, ... , E8) control commands (ST) and data (D) are transmitted, characterized in that the system (ES) from an unsafe output mode (LM) is gradually converted into a so-called end-to-end security mode (EM), wherein during a transfer at least ei n part of the components (DC1, DC2, DC3, E1, ..., E8), in particular the terminal units (E1, ..., E8), switched back to an unsafe operation and can be operated insecure. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass für eine stufenweise Überführung des Systems (ES) in den End-to-End-Sicherheitsmodus (EM) zumindest zwei Zwischenmodi (CM, MM) durchlaufen werden.A method according to claim 1, characterized in that for a stepwise transfer of the system (ES) in the end-to-end security mode (EM) at least two intermediate modes (CM, MM) are traversed. Verfahren nach einem der Ansprüche 1 bis 2, dadurch gekennzeichnet, dass bei einem sicheren Betrieb (EM) eine Datenübertragung zwischen der zentralen Steuereinheit (TS) und den jeweiligen Komponenten (DC1, DC2, DC3, E1,...,E8) verschlüsselt durchgeführt und Vertraulichkeit wie Integrität von zwischen der zentralen Steuereinheit (TS) und den jeweiligen Komponenten (DC1, DC2, DC3, E1,...,E8) übertragenen Steuerbefehlen (ST) geprüft wird.Method according to one of claims 1 to 2, characterized in that in a secure operation (EM) a data transmission between the central control unit (TS) and the respective components (DC1, DC2, DC3, E1, ..., E8) carried out encrypted and checking confidentiality such as integrity of control commands (ST) transmitted between the central control unit (TS) and the respective components (DC1, DC2, DC3, E1, ..., E8). Verfahren nach einem der Ansprüche 1 bis 3 dadurch gekennzeichnet, dass bei der Überführung in den End-to-End-Sicherheitsmodus (EM) ein erster Zwischenmodus (CM) durchlaufen wird, bei welchem von zumindest einem Teil der Komponenten (DC1, DC2, DC3, E1,...,E8) Steuermittel für den sicheren Betrieb aufgewiesen werden, und in welchen alle Komponenten (DC1, DC2, DC3, E1,...,E8) des Systems (ES) weiterhin im unsicheren Betrieb betrieben werden.Method according to one of claims 1 to 3, characterized in that during the transfer to the end-to-end safety mode (EM) a first intermediate mode (CM) is passed, in which of at least a part of the components (DC1, DC2, DC3 , E1, ..., E8) control means for safe operation, and in which all components (DC1, DC2, DC3, E1, ..., E8) of the system (ES) continue to operate in unsafe operation. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass bei der Überführung in den End-to-End-Sicherheitsmodus (EM) ein zweiter Zwischenmodus (MM) durchlaufen wird, in welchem der Teil der Komponenten (DC1, DC2, DC3, E1,...,E8), welcher ablauffähige Steuermittel für den sicheren Betrieb aufweist, sicher betrieben wird.Method according to one of Claims 1 to 4, characterized in that during the transfer to the end-to-end safety mode (EM) a second intermediate mode (MM) is run through, in which the part of the components (DC1, DC2, DC3, E1, ..., E8), which has executable control means for safe operation, is operated safely. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass im zweiten Zwischenmodus (MM) ein Zurücksetzen von sicher betriebenen Komponenten (DC1, DC2, DC3, E1,...,E8) in den unsicheren Betrieb ermöglicht wird.A method according to claim 5, characterized in that in the second intermediate mode (MM) resetting safely operated components (DC1, DC2, DC3, E1, ..., E8) is made possible in the unsafe operation. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass im End-to-End-Sicherheitsmodus (EM) nur mehr der sichere Betrieb der Komponenten (DC1, DC2, DC3, E1,...,E8) ermöglicht wird, wobei alle Komponenten (DC1, DC2, DC3, E1,...,E8) des Systems ablauffähige Steuermittel für den sicheren Betrieb aufweisen.Method according to one of claims 1 to 6, characterized in that in the end-to-end safety mode (EM) only more secure operation of the components (DC1, DC2, DC3, E1, ..., E8) is possible, wherein all components (DC1, DC2, DC3, E1, ..., E8) of the system have executable control means for safe operation. System zur Durchführung eines Verfahren nach den Ansprüchen 1 bis 7, wobei das System (ES) hierarchisch organisiert ist und zumindest umfasst: - eine zentrale Steuereinheit (TS) - der zentralen Steuereinheit (TS) untergeordnete Datenkonzentrationseinheiten (DC1, DC2, DC3) und - den jeweiligen Datenkonzentrationseinheiten (DC1, DC2, DC3) untergeordnete Endgeräteeinheiten (E1,...,E8), wobei auf den Datenkonzentrationseinheiten (DC1, DC2, DC3) und/oder auf den Endgeräteeinheiten (E1,...,E8) für eine Überführung in einen End-to-End-Sicherheitsmodus (EM) Steuermittel für einen unsicheren Betrieb und Steuermittel für eine sicheren Betrieb ablauffähig sind. System for carrying out a method according to claims 1 to 7, wherein the system (ES) is organized hierarchically and at least comprises: - a central control unit (TS) - the central control unit (TS) subordinate data concentration units (DC1, DC2, DC3) and - The respective data concentration units (DC1, DC2, DC3) subordinate terminal units (E1, ..., E8), wherein on the data concentration units (DC1, DC2, DC3) and / or on the terminal units (E1, ..., E8) for a transfer to an end-to-end security mode (EM) control means for unsafe operation and control means for safe operation are executable , System nach Anspruch 8, dadurch gekennzeichnet, dass einen Übertragung von Steuerbefehlen (ST) und Daten (D) zwischen der zentralen Steuereinheit (TS) und den Datenkonzentrationseinheiten (DC1, DC2, DC3) über ein Kommunikationsnetz erfolgt, und dass für eine Übertragung von Steuerbefehlen (ST) und Daten (D) zwischen den jeweiligen Datenkonzentrationseinheiten (DC1, DC2, DC3) und den jeweils untergeordneten Endgeräteeinheiten (E1,...,E8) so genannte Powerline Communication oder PLC im Einsatz ist.System according to claim 8, characterized in that a transmission of control commands (ST) and data (D) between the central control unit (TS) and the data concentration units (DC1, DC2, DC3) takes place via a communication network, and that for a transmission of control commands (ST) and data (D) between the respective data concentration units (DC1, DC2, DC3) and the respective subordinate terminal units (E1, ..., E8) so-called powerline communication or PLC is in use.
EP17158378.4A 2017-02-28 2017-02-28 Method for increasing operational reliability and related system Ceased EP3367320A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP17158378.4A EP3367320A1 (en) 2017-02-28 2017-02-28 Method for increasing operational reliability and related system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP17158378.4A EP3367320A1 (en) 2017-02-28 2017-02-28 Method for increasing operational reliability and related system

Publications (1)

Publication Number Publication Date
EP3367320A1 true EP3367320A1 (en) 2018-08-29

Family

ID=58428044

Family Applications (1)

Application Number Title Priority Date Filing Date
EP17158378.4A Ceased EP3367320A1 (en) 2017-02-28 2017-02-28 Method for increasing operational reliability and related system

Country Status (1)

Country Link
EP (1) EP3367320A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110046792A1 (en) * 2009-08-21 2011-02-24 Imes Kevin R Energy Management System And Method
GB2482326A (en) * 2010-07-29 2012-02-01 Toshiba Res Europ Ltd Transfer of a utility usage meter reading to a user device associated with the meter and verifying the information received from the device
US20140211939A1 (en) * 2013-01-29 2014-07-31 Itron, Inc. Zero Configuration of Security for Smart Meters
US20160171632A1 (en) * 2014-12-12 2016-06-16 Mcafee, Inc. Smart home security of metered data using a mask

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110046792A1 (en) * 2009-08-21 2011-02-24 Imes Kevin R Energy Management System And Method
GB2482326A (en) * 2010-07-29 2012-02-01 Toshiba Res Europ Ltd Transfer of a utility usage meter reading to a user device associated with the meter and verifying the information received from the device
US20140211939A1 (en) * 2013-01-29 2014-07-31 Itron, Inc. Zero Configuration of Security for Smart Meters
US20160171632A1 (en) * 2014-12-12 2016-06-16 Mcafee, Inc. Smart home security of metered data using a mask

Similar Documents

Publication Publication Date Title
EP3070556B1 (en) Method, computing device, user unit and system for parameterizing an electrical apparatus
EP0007579B1 (en) Circuit arrangement for monitoring the state of signalling systems, especially traffic light signalling systems
DE10314721A1 (en) Secure data transmission over field bus for process automation technology involves encoding data in field device and transferring key over field bus to field device
EP2988183A1 (en) Remote control assembly, system and method for observing and/or controlling a plant
EP2901224A1 (en) Assembly, comprising at least one field device, at least one sensor unit or signal detection unit associated with the at least one field device, and at least one function block
WO2009135512A1 (en) Examination of a communication connection between field devices
EP3367320A1 (en) Method for increasing operational reliability and related system
EP2247989B1 (en) Apparatus and method for projecting field devices of a technical system
EP2054782B1 (en) Data recording apparatus
WO2015062812A1 (en) Safety-related system having a supervisor
EP2369805B1 (en) Method for configuring and distributing access rights in a distributed system
DE102007039154A1 (en) Security system for railway network, has control array elements formed as slaves that are controlled by controller connected to communication system by communication interface that is uniform for all slaves
EP3182383A1 (en) Data collection device and method of operation for same utilizing hybrid security mode
EP3591342B1 (en) Method for operating a mobile read system
DE19703160B4 (en) Device for connecting and operating logging devices in an EIB system
EP3026846B1 (en) Device and method for trigger-controlled switching of configuration in a router system
DE102013004384A1 (en) Method for acquiring and displaying counter information of electricity meter on mobile device e.g. smartphone, involves transmitting power consumption values from data concentrator to display and evaluation unit of consumer
EP1102167B1 (en) Setting up and operating a communication means to a control unit
EP3599689B1 (en) Method for operating an electric network
EP2012093A2 (en) System and method for remote access of consumption information
DE102018100627B4 (en) Electrical device with a fused and an unsecured functional device
EP2088052A2 (en) Communication infrastructure for security-related applications
WO2009100733A1 (en) Secure transmission of data to a field appliance
EP4288841A1 (en) Method for operating a field device, and system for operating field devices
EP4155930A1 (en) Control arrangement and method for operating a control arrangement for an energy network

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20190218

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20200115

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20220610