ES2828078T3 - Sistema y método para proporcionar privacidad en el despliegue de contadores inteligentes - Google Patents

Sistema y método para proporcionar privacidad en el despliegue de contadores inteligentes Download PDF

Info

Publication number
ES2828078T3
ES2828078T3 ES14701061T ES14701061T ES2828078T3 ES 2828078 T3 ES2828078 T3 ES 2828078T3 ES 14701061 T ES14701061 T ES 14701061T ES 14701061 T ES14701061 T ES 14701061T ES 2828078 T3 ES2828078 T3 ES 2828078T3
Authority
ES
Spain
Prior art keywords
credential
consumer
node
payment
privacy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES14701061T
Other languages
English (en)
Inventor
Hongquian Karen Lu
Aline Gouget
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales DIS France SA
Original Assignee
Thales DIS France SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales DIS France SA filed Critical Thales DIS France SA
Application granted granted Critical
Publication of ES2828078T3 publication Critical patent/ES2828078T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/06Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
    • G06Q20/065Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
    • G06Q20/0652Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash e-cash with decreasing value according to a parameter, e.g. time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F15/00Coin-freed apparatus with meter-controlled dispensing of liquid, gas or electricity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/383Anonymous user system
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S50/00Market activities related to the operation of systems integrating technologies related to power network operation or related to communication or information technologies
    • Y04S50/12Billing, invoicing, buying or selling transactions or other related activities, e.g. cost or usage evaluation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Un método para proporcionar recopilación de información de contadores inteligentes seguros, privados y resistentes al fraude y aplicaciones basadas en contadores inteligentes que usa contadores inteligentes con módulos de criptografía segura en una red eléctrica inteligente, que comprende: emitir una credencial de privacidad mejorada a un nodo de consumidor (100) que comprende un contador inteligente (107), a través de un proceso interactivo (607) entre un proveedor de identidad (119) y el nodo de consumidor; operar el nodo de consumidor para calcular y asociar una identificación de credencial correspondiente a la credencial de privacidad mejorada en donde la identificación de la credencial actúa como un seudónimo para el consumidor sin revelar que la identificación de la credencial está asociada con el consumidor; operar el nodo de consumidor para generar un primer testigo de presentación (507a) a partir de la credencial de privacidad mejorada que no incluye atributos de identificación del consumidor de la credencial de privacidad mejorada e incluye la identificación de la credencial como un seudónimo para el consumidor; y operar el nodo de consumidor para proporcionar información de uso utilizando el primer testigo de presentación y la identificación de credencial a un nodo de proveedor de servicios.

Description

DESCRIPCIÓN
Sistema y método para proporcionar privacidad en el despliegue de contadores inteligentes
Antecedentes de la invención
La presente invención se refiere en general a contadores de servicios públicos y más particularmente a la protección de la privacidad de contadores inteligentes.
Un objetivo inherente de la industria de la energía es hacer coincidir el consumo de energía con la generación de energía lo más cerca posible y utilizar de manera óptima las capacidades de generación de energía disponibles. Es muy difícil para las compañías eléctricas alcanzar una tasa de utilización eficiente porque, a menudo, la demanda máxima no se puede igualar con la capacidad máxima de generación.
En muchos mercados, se utiliza un marco de oferta y demanda para lograr los patrones de utilización deseados. Por ejemplo, un restaurante puede poner a la venta ciertos artículos a primera hora de la noche (por ejemplo, la Hora Feliz) para incentivar a los clientes del restaurante a llegar temprano, o una aerolínea puede reducir los precios de los vuelos con horarios de salida y llegada no deseados para alentar a los viajeros a viajar. en esos momentos en lugar de durante las horas pico, etc.
La industria de la energía es particularmente vulnerable a las fluctuaciones de la oferta y la demanda. Por ejemplo, durante las tardes calurosas, la mayoría de los consumidores encienden sus acondicionadores de aire simultáneamente. De manera similar, muchos hogares tienen patrones similares para cuando se utilizan electrodomésticos importantes como hornos, lavavajillas y lavadoras. Por otro lado, la generación de energía, en particular la generación de energía solar y eólica, puede ser muy dinámica y, por lo tanto, es particularmente difícil de adaptar a las fluctuaciones de la demanda. Incluso si las plantas tradicionales de generación de energía se pueden operar para seguir la demanda, un proveedor minorista de electricidad (REP) debe poder tener suficiente energía disponible para satisfacer también sus períodos de mayor demanda. Por lo tanto, la generación de energía disponible casi siempre estará infrautilizada, ya que es probable que la demanda máxima solo ocurra durante una pequeña parte de unos pocos días al año.
Los contadores de electricidad tradicionales solo miden el consumo total de energía de una cuenta dentro de un período de tiempo determinado y no pueden transmitir ninguna información sobre los patrones de consumo en una ubicación medida particular. Debido a que el consumo total es la única información disponible proporcionada por estos contadores, es muy difícil para un REP medir o anticipar con precisión los patrones de demanda de determinados hogares o negocios. Además, si un REP quisiera alentar el consumo durante ciertos momentos, por ejemplo, para instar a los consumidores a hacer funcionar los electrodomésticos por la noche o exigir tarifas más altas por enfriar excesivamente sus hogares durante las horas pico, un contador tradicional que solo mide el consumo total no sería compatible con ese tipo de mecanismo de cobro.
Una variedad de contadores tradicionales, los llamados contadores de doble tarifa, proporcionan una cantidad limitada de flexibilidad de tarifas. Un interruptor de tiempo con cambiador de tarifa realiza un seguimiento de la hora y cambia entre dos registros dependiendo de la hora del día o de la noche. Si bien esto hace posible que un proveedor de electricidad establezca diferentes tarifas para diferentes momentos, no proporciona suficiente granularidad para influir de manera efectiva en la demanda de electricidad. Además, tales contadores no proporcionan un mecanismo mediante el cual las tarifas eléctricas puedan cambiarse a medida que varía la demanda.
Aunque un proveedor minorista de electricidad puede tener que pagar tarifas más altas a sus proveedores durante los picos de carga, no tiene un mecanismo para transferir ese mayor costo a usuarios particulares que contribuyeron a ese pico de carga sin penalizar a los usuarios que no lo hicieron. El REP solo puede promediar el mayor costo de la carga máxima en toda su base de clientes. Por lo tanto, para mejorar esa injusticia, también es deseable tener un mecanismo que proporcione una manera de vincular los niveles de uso de energía con períodos particularmente costosos y con clientes particulares.
Contador inteligente y red inteligente son tecnologías complementarias que intentan abordar el deseo antes mencionado de igualar consumo y generación. Un contador inteligente recopila información de uso de energía en pequeños incrementos y transmite estas mediciones al proveedor minorista de electricidad. Estos incrementos pueden ser cada quince minutos, cada 15 segundos o incluso tan a menudo como cada segundo. Los proveedores minoristas de energía, las compañías de generación de energía, los almacenes de datos, los proveedores de servicios externos y otras entidades desean acceder a esta información de uso, ya sea en tiempo real o como un informe del día siguiente, para una variedad de propósitos. Por ejemplo, las compañías de servicios públicos negocian y cubren contratos de energía en función del consumo de energía en tiempo real y las previsiones para el consumo del día siguiente y del futuro cercano. Los patrones de consumo detallados pueden ser muy útiles para fijar el precio de dichos contratos. El proveedor minorista de energía puede utilizar la información de uso detallada para facturar al consumidor a diferentes tarifas en función de la hora del día y las cantidades de consumo. Además, los agentes del mercado de la electricidad pueden utilizar la información detallada para determinar los precios de mercado futuros de la electricidad.
Un contador inteligente contiene, como mínimo, los siguientes componentes conectados:
• una unidad de comunicaciones, por ejemplo, un transceptor de RF o una tarjeta de red, para comunicarse con otros nodos ubicados en una red inteligente, como un proveedor de servicios públicos y para las comunicaciones con la red privada de consumidores de servicios públicos
• un mecanismo para medir el consumo de servicios públicos en el nodo medido
• un procesador para ejecutar instrucciones de programa que controlan las operaciones del contador inteligente • una memoria para almacenar las lecturas del contador y las instrucciones del programa
• un interruptor remoto para cortar de forma remota el servicio público
• acceso a interruptores internos para apagar determinados electrodomésticos durante los períodos de carga máxima (precio alto)
Una red inteligente es una red de servicios públicos que hace uso de la información disponible, por ejemplo, a medida que se proporciona por los contadores inteligentes, incluida la comunicación bidireccional con el contador inteligente, para equilibrar de manera más eficiente la carga en una red de servicios públicos al brindar a los consumidores incentivos para cambiar los patrones de consumo para aprovechar un horario de tarifas variable que refleja los costos de generación así como la demanda. Por ejemplo, la electricidad se vende tradicionalmente en el nivel minorista, ya sea con un horario de tarifa fija o usando dos tarifas: una tarifa diurna y una tarifa nocturna. Sin embargo, la electricidad al por mayor tiene un precio en incrementos mucho más pequeños, por ejemplo, pueden variar por hora o menos. Por lo tanto, existe una desconexión entre el costo de la electricidad para el proveedor minorista de electricidad y los precios minoristas que puede cobrar el mismo proveedor minorista de electricidad. En una red inteligente, las estructuras de precios pueden variar según la demanda y permitir que el proveedor de servicios públicos minorista incentive a los consumidores a practicar ciertos comportamientos de uso de servicios públicos y hacer que la facturación del cliente refleje el costo real de los servicios públicos del producto consumido. Para ayudar aún más al consumidor a aprovechar una estructura de tarifas inteligente, un contador inteligente puede estar provisto de mecanismos para hacer funcionar ciertos electrodomésticos solo durante períodos económicos. Esto puede ser particularmente importante a medida que más y más consumidores cambian a automóviles eléctricos, que luego tendrían la opción de cargar sus automóviles cuando la electricidad sea más barata.
Si bien los contadores inteligentes y las redes inteligentes pueden proporcionar algunos beneficios tangibles tanto a los proveedores de electricidad como a los consumidores, existen varias consideraciones negativas importantes que se oponen al despliegue de contadores inteligentes, incluido el riesgo de pérdida de privacidad para el consumidor, riesgo de vandalismo electrónico y fraude.
Se ha demostrado que, con la medición detallada de los servicios públicos, en particular la electricidad, es posible analizar el consumo de una manera que infringiría la privacidad del consumidor. Un ejemplo de las preocupaciones por la privacidad fue ilustrado por los investigadores Dario Carluccio y Stephan Brinkhaus, quienes demostraron que es posible analizar el patrón de uso de un consumidor, utilizando patrones de retransmisión de dos segundos, para determinar qué película ha visto un consumidor. Carluccio, Dario y Stephan Brinkhaus, Smart Hacking for Privacy, charla presentada en el 28th Chaos Communication Congress (28C3), www*youtube*com/watch?V=YYe4SwQn2GE, visitado el 17 de diciembre 2012.
La mayoría de los contadores inteligentes contienen mecanismos para desconectar el servicio público a un sitio medido. Este acceso remoto presenta una oportunidad de piratería en la que un atacante podría apagar maliciosamente la energía (u otro servicio público) en sitios seleccionados o subredes completas. Naturalmente, estos ataques podrían tener terribles implicaciones de seguridad.
Además, debido a que los contadores inteligentes pueden ser nodos de red en una red relativamente abierta, existe el riesgo de que los contadores inteligentes puedan ser pirateados para manipular los datos de consumo o los horarios de tarifas. Por ejemplo, los investigadores Carluccio y Brinkhaus también demostraron este punto manipulando los datos y devolviendo una lectura a la compañía de servicios públicos que muestra una cantidad negativa de consumo de energía.
La investigación de Microsoft ha propuesto métodos para la medición inteligente respetuosa con la privacidad (Microsoft, "Privacy-Friendly Smart Metering", http://research*microsoft*com/en-us/projects/privacy_in_metering/1, consultado el 3 de diciembre 2012). El contador inteligente certifica las lecturas de energía mediante la firma digital de los datos, lo que da como resultado "lecturas certificadas". El contador también puede cifrar las lecturas. Para proteger la privacidad del consumidor, las lecturas certificadas nunca salen del límite de la casa, que consiste en el contador, el ordenador del usuario, la pantalla, el teléfono inteligente y/u otros dispositivos del usuario. El contador inteligente o los dispositivos de consumo realizan los cálculos sobre las lecturas certificadas para diversos fines, como la facturación, y envían los resultados al proveedor de energía u otros terceros. Para ver el consumo de energía, los consumidores obtienen las claves de cifrado de sus lectores y, por lo tanto, permiten que sus dispositivos descifren los datos. La ventaja del enfoque de Microsoft es la protección de la privacidad del consumidor. Sin embargo, en la práctica, se ha demostrado que es difícil administrar software de cliente diverso para un número potencialmente creciente de aplicaciones en una miríada de dispositivos de cliente.
Para evitar tener hipervínculos de funcionamiento inadmisible en este documento, los puntos (''.'') en los URL se reemplazan por asteriscos ("*"). Por lo tanto, cada asterisco debe reemplazarse por un punto cuando se accede al sitio referenciado.
El documento US2011267202 describe un sistema que comprende un recolector de datos y una pluralidad de consumidores finales conectados y alimentados con un servicio público por una estación de distribución de servicios públicos. Cada consumidor final comprende un dispositivo de medición dispuesto para medir el consumo del consumidor final del servicio público suministrado por la estación de distribución. El dispositivo de medición está dispuesto para informar de los datos de consumo al recolector de datos utilizando una identificación de alta frecuencia, la identificación de alta frecuencia es anónima, de modo que los datos de consumo informados por el dispositivo de medición junto con la identificación de alta frecuencia no se pueden asociar a un dispositivo de medición en particular e informar de los datos de consumo al recolector de datos usando una identificación de baja frecuencia de modo que los datos de consumo informados por el dispositivo de medición junto con la identificación de baja frecuencia puedan atribuirse a un dispositivo de medición particular. El recolector de datos almacena las identificaciones y está dispuesto para aceptar únicamente datos de consumo que lleven dicha identificación almacenada.
El documento WO0190968 describe el establecimiento de una ruta de comunicación de privacidad entre un proveedor y un consumidor utilizando múltiples seudónimos no enlazables o identidades virtuales (VID) combinados con la intermediación de canales de comunicación en línea y fuera de línea.
De lo anterior, resultará evidente que, si bien los contadores inteligentes proporcionan muchos beneficios deseables, todavía existe la necesidad de un método mejorado para proporcionar mayor seguridad a los contadores inteligentes para mejorar la privacidad del consumidor y minimizar el riesgo de fraude y ataques maliciosos que pueden afectar a la seguridad y al bienestar.
Breve descripción de los dibujos
La Figura 1 es un diagrama de red que ilustra una red inteligente que incluye hogares y negocios con contadores inteligentes, así como un emisor de credenciales de terceros y un proveedor de liquidación de terceros.
La Figura 2 es una ilustración esquemática de programas de software correspondientes a los nodos de hardware de la Figura 1.
La Figura 3 es un diagrama de bloques que ilustra una vista de alto nivel de la arquitectura de una tarjeta inteligente de la Figura 1.
La Figura 4 es un diagrama de bloques que ilustra la organización arquitectónica de los programas sobre los componentes de hardware de la tarjeta inteligente de la Figura 2, que incluye la ilustración de un agente de tarjeta almacenado en la memoria de la tarjeta inteligente para proporcionar un contador inteligente con funcionalidad para usar credenciales que mejoran la privacidad para hacer anónimos los informes de uso.
La Figura 5 es un diagrama de bloques que ilustra el uso de un testigo de privacidad para proporcionar información de uso anónima a un proveedor de servicios públicos u otro tercero interesado.
La Figura 6 es un diagrama de secuencia de tiempos que ilustra el uso de un dispositivo de seguridad para generar un testigo de credencial y uno o más testigos de presentación para su uso con un proveedor o proveedores de servicios de terceros.
La Figura 7 es un diagrama de secuencia de tiempos que ilustra el flujo de mensajes entre un sitio medido y un proveedor minorista de servicios públicos y un tercero en el que el sitio medido usa un testigo de privacidad para identificar la información de uso y el proveedor minorista de servicios públicos y el tercero usan tal información de uso identificada con testigo de privacidad para generar análisis de uso y/o facturas de servicios públicos para el sitio medido.
La Figura 8 es un diagrama de secuencia de tiempos que ilustra el flujo de mensajes entre un sitio medido, un proveedor minorista de servicios públicos y un proveedor de liquidación de terceros en el que el sitio medido, el proveedor minorista de servicios públicos y el proveedor de liquidación de terceros utilizan un testigo de privacidad para vincular una factura a un sitio medido sin revelar la información de identificación del consumidor o bien al proveedor de servicios públicos o al proveedor de liquidación de terceros.
La Figura 9 es un diagrama de secuencia de tiempos que ilustra un posible flujo de mensajes entre un proveedor minorista de servicios públicos y dos sitios medidos en los que se utilizan testigos de privacidad tanto para evaluar los datos de uso como para el proceso de facturación y pago.
La Figura 10 es un diagrama de secuencia de tiempos que ilustra un posible flujo de mensajes entre un proveedor minorista de servicios públicos, un sitio medido y un servicio de pago de terceros.
Descripción detallada de la invención
En la siguiente descripción detallada, se hace referencia a los dibujos adjuntos que muestran, a modo de ilustración, realizaciones específicas en las que se puede practicar la invención. Estas realizaciones se describen con suficiente detalle para permitir a los expertos en la técnica poner en práctica la invención. Debe entenderse que las diversas realizaciones de la invención, aunque diferentes, no son necesariamente mutuamente excluyentes. Por ejemplo, un rasgo, estructura o característica particular descrita en la presente memoria en relación con una realización puede implementarse dentro de otras realizaciones sin apartarse del alcance de la invención. Además, debe entenderse que la ubicación o disposición de los elementos individuales dentro de cada realización descrita puede modificarse sin apartarse del alcance de la invención. La siguiente descripción detallada, por lo tanto, no debe tomarse en un sentido limitativo, y el alcance de la presente invención está definido únicamente por las reivindicaciones adjuntas. En los dibujos, los mismos números se refieren a la misma o similar funcionalidad a lo largo de las distintas vistas. Muchas partes del mercado de la energía desean acceder a información detallada sobre el uso de la energía para diversos fines. Sin embargo, muchos servicios, como los de facturación, previsión y respuesta a la demanda, generalmente no necesitan conocer las identidades de los consumidores correspondientes a los registros de consumo individual. Basándose en este hecho, una realización de esta invención disocia la información de identidad del consumidor de la información de uso de energía. En un aspecto de la tecnología descrita en la presente memoria, un proveedor minorista de energía (REP) puede consolidar la información sobre el uso de energía usando un seudónimo y la factura es calculada por el REP usando el seudónimo, asumiendo que hay una factura por seudónimo.
La Figura 1 es una ilustración esquemática de aspectos de hardware de una red 111 que conecta una ubicación medida 100 a varios ordenadores servidores en una red eléctrica inteligente. La ubicación medida 100 tiene un contador inteligente 107-C conectado a través de una red de área local (LAN) 113 a un ordenador central 103-C2. La red 111 también puede conectar el contador inteligente 107-C a uno o más ordenadores servidores remotos. Estos ordenadores servidores remotos incluyen un ordenador servidor 115-C de un proveedor minorista de servicios públicos (REP3) 115-E, (opcionalmente) un ordenador servidor 117-C de un servicio de pago 117-E, un ordenador servidor 119-C de una entidad proveedora de identidad 119-E y, opcionalmente, un ordenador de un analizador de terceros 121- E que puede recibir y analizar datos obtenidos a través de la red eléctrica inteligente a la que está conectado el contador inteligente 107. El ordenador central 103-C es operado por un usuario 101 que interactúa con los servicios que se ejecutan en uno o más de los ordenadores servidores a través de una ventana de navegador web 105 de un navegador web 103-S (Figura 2) que se ejecuta en el ordenador central 103.
En esta descripción, varios elementos relacionados se denominan n-E, n-C y n-S, respectivamente. E significa entidad, C ordenador y S software. Así, n-E es la entidad n-E que opera el ordenador n-C, que se ejecuta de acuerdo con las instrucciones n-S. Por ejemplo, un Proveedor Minorista de Servicios Públicos (REP) 115-E opera un ordenador 115-C que ejecuta un software del REP 115-S. Para facilitar la descripción, a veces nos referimos a estos elementos solo con el número n, por ejemplo, proveedor de servicios 115. A menos que el contexto indique claramente lo contrario, esto debería interpretarse normalmente como una referencia a los tres elementos que desempeñan sus funciones respectivas, por ejemplo, que el ordenador 115-C del proveedor minorista de servicios públicos realiza alguna acción prescrita por el software en el programa de software minorista de servicios públicos 115-S.
En una realización, el proveedor minorista de servicios públicos es un proveedor de energía, por ejemplo, un proveedor de energía eléctrica o un proveedor de gas. Por lo tanto, el proveedor minorista de servicios públicos, en esas realizaciones, sería un proveedor minorista de energía. Para evitar tener múltiples acrónimos en la presente memoria, utilizamos el acrónimo REP para representar proveedor minorista de electricidad cuando está estrictamente limitado a energía eléctrica, proveedor minorista de energía para un caso más general, e incluso proveedor minorista de servicios públicos, para realizaciones tales como medición de agua.
El contador inteligente 107-C puede conectarse directamente a la red 111 de modo que, por ejemplo, el REP 115 pueda comunicarse directamente con el contador inteligente 107 o el contador inteligente 107 puede conectarse a través de la LAN 113 y recibir su conectividad de red de esa manera. A la inversa, el usuario 101 puede necesitar recibir información del contador inteligente 107. Esa comunicación puede ser a través de la LAN 113, o si el contador inteligente 107 no está conectado a la LAN 113, a través de la red 111.
Según una realización, el contador inteligente 107 está conectado a un dispositivo de seguridad 109, por ejemplo, un elemento seguro incrustado en el contador inteligente, una tarjeta inteligente conectada al contador inteligente (como se muestra aquí), una tarjeta inteligente en un ordenador de pasarela que proporciona al contador inteligente conectividad a la red 111 o cualquier variedad de dispositivos seguros como la memoria inteligente.
En la presente memoria no se ilustran los aparatos inteligentes del usuario 101, por ejemplo, electrodomésticos de cocina y lavandería, calentadores de agua, etc. Estos electrodomésticos pueden conectarse al contador inteligente 107, a la LAN 113 o a la red 111, para recibir información del REP 115, para permitir que los electrodomésticos estén al tanto de los horarios de tarifas o que se programen a través del ordenador central 103 para hacer un buen uso de las variaciones de tarifas.
La Figura 2 es una ilustración esquemática de programas de software correspondientes a los nodos de hardware de la Figura 1. Como se describe en la presente memoria, el usuario 101 puede interactuar con un servicio web que se ejecuta en el ordenador del REP 115-C. El papel del servicio de pago 117-S que se ejecuta en el ordenador servidor de pagos 117-C y el proveedor de identidad 119-S que se ejecuta en el ordenador proveedor de identidad 119-C se describe a continuación en la presente memoria.
En el escenario de ejemplo ilustrado en la Figura 1 y descrito en la presente memoria a continuación, el dispositivo de seguridad 109 proporciona ciertas operaciones criptográficas en nombre del contador inteligente 107, por ejemplo, para firmar criptográficamente mensajes, para descifrar mensajes recibidos de otras partes o para realizar una operación criptográfica. como parte de un mecanismo de autenticación de desafío-respuesta. El dispositivo de seguridad 109 también ejecuta un programa de agente de tarjetas 109-S que proporciona parte de una función a la que se hace referencia en la presente memoria como agente de contador y proporciona almacenamiento seguro para una credencial digital que se describe con mayor detalle a continuación.
Cada uno de los ordenadores 103-C, 115-C, 117-C, 119-C y 121 -C puede tener componentes típicos de un ordenador, por ejemplo, una unidad central de procesamiento capaz de ejecutar instrucciones almacenadas en un dispositivo de almacenamiento y la memoria utilizada durante ejecución de programas. Los detalles de tales arquitecturas se conocen generalmente y no es necesario describirlos en detalle en la presente discusión. En un escenario, los ordenadores n-C tienen sus respectivos programas de software n-S almacenados en un dispositivo de almacenamiento del ordenador n-C. Los sistemas operativos de los ordenadores n-C cargan los programas de software n-S para ser ejecutados por los procesadores de los ordenadores n-C. En la presente memoria, en donde se utiliza un lenguaje como "el navegador web 103 envía un mensaje X al proveedor de servicios 115", ese lenguaje debe interpretarse en el sentido de que las instrucciones de software del navegador web 103-S se ejecutan para provocar que el procesador del ordenador central 103-C transmita el mensaje X al ordenador servidor 115-C del proveedor de servicios que opera bajo las instrucciones del programa de servicios web 115-S.
La Figura 3 es una ilustración esquemática de un dispositivo de seguridad 109, por ejemplo, una tarjeta inteligente. El dispositivo de seguridad portátil 109 puede incluir un procesador 201 conectado a través de un bus 202 a una memoria de acceso aleatorio (RAM) 203, una memoria de solo lectura (ROM) 204 y una memoria no volátil (NVM) 205. El dispositivo de seguridad portátil 109 incluye además una interfaz 207 de entrada/salida para conectar el procesador 201, de nuevo típicamente a través del bus 202, a un conector 211 mediante el cual el dispositivo de seguridad portátil 109 puede conectarse al ordenador central 103.
La NVM 205 y/o la ROM 204 pueden incluir programas de ordenador 301 como se ilustra en la Figura 4. Si bien aquí se representa que los programas de ordenador 301 están todos colocados conjuntamente en la ROM 204 o la NVM 205, en la práctica real no existe tal restricción ya que los programas pueden distribuirse en múltiples memorias e incluso instalarse temporalmente en la RAM 203. Además, el dispositivo de seguridad portátil 109 puede incluir múltiples ROM o NVM. Los programas 301 incluyen programas del sistema operativo así como programas de aplicación cargados en el dispositivo de seguridad portátil 109. La NVM 205 o la ROM 204 también pueden contener datos privados, como una clave privada 209 o una clave secreta compartida 210, almacenados o bien en forma básica o en cantidades derivadas.
Los programas 301 del dispositivo de seguridad portátil 109 pueden incluir un módulo de criptografía 213, un módulo de autenticación 215, un módulo de comunicaciones 217 y el sistema operativo OS 219. Los programas 301 del dispositivo de seguridad portátil 109 pueden incluir además un agente de tarjeta 221 para provocar que el dispositivo de seguridad portátil 109 realice las tareas del dispositivo de seguridad portátil 109 descrito en la presente memoria, tales como interactuar con el proveedor de identidad 119 para generar y hacer uso de una credencial de preservación de la privacidad.
De acuerdo con la Guía de autenticación electrónica del NIST, una credencial es "un objeto o estructura de datos que vincula autoritariamente una identidad (y opcionalmente, atributos adicionales) a un testigo que posee y controla un abonado" (NIST, "Guía de autenticación electrónica", Publicación especial de NIST 800-63-1 (Borrador 3), junio de 2011). Una autoridad, por ejemplo, proveedor de identidad (IdP) 119, emite una credencial a un usuario 101. Ejemplos de credenciales incluyen nombre de usuario y contraseña, certificado X.509 y la clave privada correspondiente.
Una credencial anónima permite que un usuario demuestre a un proveedor de servicios (SP), por ejemplo, el REP 115, que la credencial contiene los atributos requeridos sin revelar la información almacenada dentro de la credencial. Por ejemplo, el usuario puede demostrar que es cliente del REP 115, que tiene un contador inteligente 107 en la red inteligente del REP 115, y la cantidad de consumo de los servicios públicos proporcionada por el REP 115 sin revelar su dirección, nombre, o incluso número de cuenta. La credencial anónima, por lo tanto, protege la privacidad del usuario. Una tecnología de credenciales anónimas permite a uno construir un sistema de identidad que mejora la privacidad que separa la emisión de credenciales y el uso de credenciales, permitiendo así informar del uso de servicios públicos sin revelar la identidad del usuario.
El proveedor de identidad (IdP) 119 es el emisor de la credencial. Los usuarios 101, REP 115 y otros terceros interesados confían en él, como el servicio de pago 117 o el analizador de datos de terceros 121. El IdP 119 conoce o puede conocer la información de identidad de los usuarios y puede verificar la información.
La Figura 5 es un diagrama de bloques que ilustra el caso general de emisión y uso de una credencial que de preservación de la privacidad. El proveedor de identidad (IdP) 119 emite credenciales a los usuarios finales, por ejemplo, un contador inteligente 107 de un sitio medido 100. La emisión de credenciales es un proceso interactivo entre el IdP 119 y el usuario (a través del agente de contador). El agente de contador puede ser una combinación de software conocido como agente de tarjeta 221 y software que se ejecuta en el contador inteligente 107. Al final del protocolo, el dispositivo de seguridad (por ejemplo, tarjeta inteligente) 109 del sitio medido 100 tiene el testigo de credencial 503 y lo almacena en la memoria segura del dispositivo de seguridad 109.
El proveedor de identidad 119 emite la credencial 503 en el paso 502a, participando en un protocolo de emisión de credenciales 502b con el sitio medido 100. El sitio medido 100 almacena la credencial 503. En una realización en la que se usa una credencial de preservación de la privacidad para mejorar la privacidad asociada con contadores inteligentes, el sitio medido 100 puede en efecto estar representado por el contador inteligente 107, en cuyo caso el dispositivo de seguridad 109 interactúa en nombre del usuario 101 y el contador inteligente 107 para obtener una credencial de preservación de la privacidad del proveedor de identidad 119. El sitio medido 100, representado por el dispositivo de seguridad 109, produce un testigo de presentación 507 a partir de la credencial 503 y la presenta al proveedor de servicios 501 (en donde el proveedor de servicios 501 puede ser, por ejemplo, el REP 115, el analizador de terceros 121, o el servicio de pago 117). El testigo de presentación 507 se genera en base a la política del SP 501 y, por lo tanto, presenta la prueba requerida por el SP 501, siendo el testigo, por ejemplo, una prueba de presentación UProve, una prueba idemix o una credencial firmada basada en mERA. A continuación, el proveedor de servicios 501 (que puede ser el REP 115, el servicio de pago 117 o el analizador de datos de terceros 121) verifica el testigo de presentación, paso 509, y en respuesta (asumiendo que la prueba se ha presentado como se desea) proporciona los servicios web 511.
El proveedor de servicios (SP) 501 verifica la credencial antes de proporcionar los servicios solicitados 511, paso 509, como aceptar un informe de uso del contador inteligente 107 sin ninguna identificación adicional del sitio medido. El SP 501 especifica su política de control de acceso y el contador inteligente demuestra que satisface los requisitos de la política sin presentar la credencial directamente. Para este fin, el contador inteligente presenta un testigo de presentación 509 que el SP 115 puede verificar.
El SP 115 también puede necesitar verificar si la credencial 505 es nueva (en el caso de una credencial de un solo uso) o si el número de usos permitidos aún no se ha excedido (en el caso de una credencial de usos múltiples). La solución varía dependiendo de si la credencial 505 es específica del SP o no.
El usuario 101 interactúa con entidades a través de Internet a través del navegador web 103-C. El contador inteligente 107, particularmente la tarjeta inteligente 109 del contador inteligente 107, (a través del agente de contador) obtiene una credencial 503 del IdP 119 y usa la credencial 503 en varios SP 501 en forma de testigos de presentación 507 creados en base a las políticas particulares de los SP 501.
El dispositivo de seguridad del usuario 109 obtiene la credencial del IdP 119 usando un protocolo de emisión de credenciales. Al final del protocolo, el dispositivo de seguridad 109 genera u obtiene la credencial.
El usuario 101 usa la credencial cuando interactúa con un SP 501. La tarjeta inteligente 109 genera un testigo de presentación 507 a partir de la credencial 505 en base a los requisitos del SP 501.
La Figura 6 es un diagrama de secuencia de tiempos que ilustra la generación de una credencial de preservación de la privacidad 503 para su uso en una red eléctrica inteligente. El REP 115 instala (o hace que se instale) un contador inteligente 107 en el sitio medido 100.
Luego, el emisor de la credencial 119 emite una credencial de preservación de la privacidad 503. Este puede ser el REP 115 u otro proveedor de identidad 119 externo independiente de confianza en un proceso que incluye los pasos descritos en la Figura 6. La discusión que sigue se aplica igualmente a ambos de estos escenarios y si bien la discusión aquí es con respecto a un proveedor de identidad 119 que es distinto del REP 115 que debe considerarse para incluir la realización en la que el REP 115 es el proveedor de identidad.
El sitio medido 100 se involucra en un protocolo de autenticación mutua con el proveedor de identidad 119, paso 603. La autenticación mutua puede ser dirigida por el contador inteligente 107. Sin embargo, la autenticación mutua puede usar credenciales digitales, por ejemplo, un certificado digital, almacenado de forma segura en el dispositivo de seguridad 109.
El sitio medido 100 establece un canal seguro para el proveedor de identidad 119, paso 605, por ejemplo, entre el dispositivo de seguridad 109 y el proveedor de identidad 119.
El sitio medido 100, por ejemplo, representado por el dispositivo de seguridad 109, se involucra en un protocolo interactivo de emisión de credenciales, paso 607.
La credencial para preservar la privacidad 503 puede incluir o no lo siguiente:
Id de testigo - que puede calcularse a partir de otra información
Información del emisor, es decir, identificador del proveedor de identidad 119 que emitió el testigo, por ejemplo, la clave pública del emisor.
Parámetros criptográficos
Firma del emisor
Información del consumidor, por ejemplo, nombre, dirección, número de cuenta, información de pago, número de teléfono
Información de la tarjeta inteligente, por ejemplo, número de serie, emisor
Clave privada de la credencial
Clave pública de la credencial
Por otro lado, el proveedor de identidad 119 que emitió las credenciales conoce la siguiente información: el nombre del consumidor, el identificador del contador y el identificador de la tarjeta inteligente del sitio medido. Sin embargo, el proveedor de identidad no conoce la identificación de credencial que el sitio medido 100 ha asociado con la credencial generada a través del protocolo de emisión de credenciales, paso 609, y no podría asociar los testigos de presentación 507 con un consumidor o sitio medido en particular.
Al concluir el protocolo interactivo de emisión de credenciales, el sitio medido 100 genera la credencial 503, paso 609, y calcula un identificador de credencial que el sitio medido 100, incluido el contador inteligente 107, puede usar como seudónimo que no revela la identidad real del sitio medido 100.
El sitio medido 100, por ejemplo, el dispositivo de seguridad 109, puede generar entonces uno o más testigos de presentación 507, paso 611, a partir de la credencial de preservación de la privacidad 503.
La Figura 7 es una vista de alto nivel que ilustra un sitio medido 100 que tiene un contador inteligente 107 que transmite información de uso a dos partes diferentes. En el ejemplo de la Figura 7, estas partes son el REP 115 y un tercero 121 que puede realizar algún análisis sobre los datos de uso. Para la transmisión de datos de uso al REP 115, el contador inteligente 107 usa un primer testigo de presentación 507a junto con la información de uso A 701a. Sin embargo, para la transmisión de datos de uso al tercero 121, el contador inteligente 107 usa un segundo testigo de presentación 507b junto con la información de uso B 701b. La información de uso A y B pueden ser iguales o diferentes. Los dos servidores que reciben la información de uso no pueden conectarse fácilmente de vuelta al mismo consumidor desde los testigos de presentación porque los testigos de presentación no contienen información que vincule el testigo de presentación a un sitio medido o consumidor en particular. Una credencial (testigo) de U-Prove tiene un identificador único. Por lo tanto, para evitar la vinculación entre proveedores de servicios, el probador (es decir, aquí la tarjeta inteligente 109) tiene múltiples testigos U-Prove correspondientes a diferentes proveedores de servicios. El testigo idemix, sin embargo, puede generar múltiples seudónimos. Los proveedores de servicios que reciben diferentes seudónimos del mismo testigo no pueden vincularlos. Por lo tanto, cualquier escenario evita la vinculación de los testigos de presentación criptográficamente incluso si los proveedores de servicios se confabulan. La medición de uso es enviada por el contador inteligente 107 al dispositivo de seguridad 109, paso 703a. Se puede enviar una medición de uso separada 703b por separado para el informe de uso B 701b. O ambos informes de uso pueden ser iguales. Por ejemplo, el REP 115 puede requerir informes de uso cada 15 minutos, mientras que el análisis del tercero solo requiere informes cada hora.
En cada caso, el dispositivo de seguridad genera un testigo de presentación usando la información de uso, pasos 705a y 705b y firma y cifra los testigos de presentación, pasos 707a y 707b.
Los testigos de presentación firmados y cifrados que incluyen la información de uso se transmiten luego a los servidores respectivos, pasos 709a y 709b.
En una realización, el mecanismo mencionado anteriormente de usar una credencial de preservación de la privacidad y los testigos de presentación generados a partir de ella se usan junto con el pago de facturas por servicios públicos. La Figura 8 es un diagrama de secuencia de tiempos que ilustra ese mecanismo a un alto nivel. El pago de facturas se realiza mediante un servicio de pago 117 que está autorizado por el sitio medido 100 para realizar el pago en nombre del sitio medido 100. Para vincular el pago, el sitio medido asocia un seudónimo con la credencial 503. Por lo tanto, el dispositivo de seguridad 109 genera un seudónimo, paso 801.
El dispositivo de seguridad 109 incorpora el seudónimo con el uso recibido del contador inteligente, paso 803, en un testigo de presentación transmitido al REP 115, paso 805, y firma y cifra el testigo de presentación, paso 807.
El testigo de presentación 507c firmado y cifrado se transmite al REP 115, paso 809.
Los pasos de recopilar información de uso (803), generar un testigo de presentación que incorpora el seudónimo con la información de uso (805), cifrar el testigo de presentación (807) y transmitir el testigo de presentación al REP 115 (809) se repiten (repetir bucle 811) hasta que el REP determine que ha llegado el momento de generar una factura utilizando la información de uso que se ha recogido en el bucle 811, vinculando una ID_Factura, el seudónimo y el importe adeudado, paso 813.
La factura se transmite de vuelta al sitio medido 100, paso 815, y se reenvía al dispositivo de seguridad 109, paso 817.
El dispositivo de seguridad 109 genera un testigo de presentación a partir del seudónimo, el identificador de factura y una autorización para pagar, paso 819.
El dispositivo de seguridad firma y cifra el testigo de presentación, paso 821.
El dispositivo de seguridad 109 transmite el testigo de presentación 507d al servicio de pago 117, paso 823.
El servicio de pago 117 verifica el testigo de presentación, paso 825, y si todo está bien, transmite el pago junto con el seudónimo al REP 115, paso 827. El pago puede ser o bien de una cantidad prepagada almacenada en el dispositivo de seguridad 109 como una billetera digital o bien mediante la autorización de pago de alguna forma de servicio de pago, por ejemplo, al estilo de PayPal, transferencia directa desde una cuenta bancaria o pago cargado en tarjeta de crédito.
Como se discutió anteriormente en la presente memoria, la factura del REP 115 se transmite al contador. Según el método utilizado para transferir la factura al contador, el nivel de protección de la privacidad varía.
Para un nivel "básico" de protección de la privacidad, solo se debe proteger el vínculo entre un contador y un usuario. En ese caso, el REP 115 está autorizado a conocer el vínculo entre un contador 107 y un seudónimo, mientras que el REP 115 nunca debería aprender el vínculo entre el usuario 101 y el seudónimo, o el vínculo entre un contador 107 y un usuario 101. Según una realización (denominada solución A a continuación), para lograr ese nivel de privacidad, el REP 115 autentica el contador 107 antes de enviar la factura al contador 107.
Para un nivel "mejorado" de protección de la privacidad, tanto el vínculo entre un contador 107 y su seudónimo correspondiente, como el vínculo entre un usuario 101 y el seudónimo 107 deben protegerse. En ese caso, el REP 115 puede conocer el vínculo entre el contador 107 y el usuario 101. Una solución (llamada Solución B a continuación) es que el REP 115 autentica el contador 107 usando una "autenticación anónima", por ejemplo, el método de autenticación evita la identificación de un contador inteligente 107 específico por el REP 115 dentro del grupo de contadores que comparten la misma clave de autenticación.
Otra realización (llamada Solución C) involucra a un tercero cuya función es almacenar los pares de seudónimocontador recibidos de los contadores, así como los pares de seudónimo-factura recibidos del REP 115. Opcionalmente, la factura está cifrada y solo puede ser descifrada por el contador asociado a ese seudónimo y posiblemente también por el REP 115. Este tercero sirve como pasarela entre el REP 115 y los contadores 107. La Figura 9 es un diagrama de secuencia de tiempos que ilustra un posible flujo de mensajes que cubre las Soluciones A y B. En este flujo de mensajes, solo el método de autenticación y la protección de la privacidad del método de autenticación varían entre las dos soluciones. Una marca de tiempo proporciona información al REP 115 para permitirle al REP detectar y manejar lecturas de contador que faltan o repetidas.
Un bucle 901 proporciona la iteración durante un intervalo de tiempo especificado que define la frecuencia de las lecturas del contador, por ejemplo, cada minuto o cada 10 minutos. El REP 115 solicita a todos los contadores, aquí los sitios medidos 1 y 2 (100a y 100b, respectivamente) que proporcionen lecturas de contadores, mensajes 903 y 905.
El contador 100a responde con un mensaje que incluye el seudónimo p1 del contador, un testigo de presentación t1, lectura de uso u1 y marca de tiempo, mensaje 907.
El REP 115 acumula el uso, paso 909.
Esto presenta dos alternativas, final del ciclo de facturación 911 o no finalización del ciclo de facturación 913.
Si es el final del ciclo de facturación (911), el REP 115 calcula la factura B1, paso 915 y la transmite al sitio medido 100a, paso 917.
El sitio medido 100a responde con un pago o información de pago, paso 919, y el REP 115 acusa recibo del pago, paso 921.
Si no es al final del ciclo de facturación (913), el REP simplemente acusa recibo de la recepción de la información de uso, paso 923.
Los pasos 925 - 941 ilustran que se ejecuta un flujo de mensajes similar para otros sitios medidos 100.
La Figura 10 es un diagrama de secuencia de tiempos que ilustra un posible flujo de mensajes correspondiente a la Solución C. En esta solución, el REP 115 conoce los contadores inteligentes 107 pero no conoce qué seudónimo corresponde a qué contador.
Como en la Figura 9, un bucle 151 proporciona la iteración durante un intervalo de tiempo especificado que define la frecuencia de las lecturas del contador, por ejemplo, cada minuto o cada 10 minutos. El REP 115 solicita a todos los contadores, aquí que solo se muestra un sitio medido 100, para proporcionar lecturas del contador, mensajes 153. El contador responde con un mensaje que incluye el seudónimo p1 del contador, un testigo de presentación t1, lectura de uso u1 y marca de tiempo, mensaje 157, y el REP 115 acumula el uso, paso 159.
Esto presenta dos alternativas, final del ciclo de facturación 161 o no finalización del ciclo de facturación 163.
Si es al final del ciclo de facturación (161), el REP 115 calcula la factura B1, paso 165 y transmite la factura al servicio de pago 117, paso 167. El REP 115 también transmite un mensaje al sitio medido 100 informando al sitio medido que se ha generado una factura para él, paso 169.
El sitio medido 100 responde a la información de que se ha generado una factura solicitando al servicio de pago 117 que le envíe la factura, paso 171.
El servicio de pago 117 solicita al sitio medido 100 que proporcione sus credenciales, paso 173. El sitio medido 100 responde con su seudónimo p1 y la prueba requerida en un testigo de presentación basado en la solicitud del proveedor de pagos, autenticación basada en desafío/respuesta.
El servicio de pago 117 verifica las credenciales proporcionadas por el sitio medido 100, paso 176, y si las credenciales son satisfactorias, transmite la factura al sitio medido, paso 177.
El sitio medido 100 responde con una dirección al servicio de pago 117 para realizar el pago o proporciona instrucciones del método de pago, paso 179. El servicio de pago 117 recoge el pago, paso 181, y transmite el pago al REP 115 identificando el pago por el seudónimo P1 proporcionado por el sitio medido 100 y el identificador de factura B1, paso 183. El REP 115 responde con un acuse de recibo, paso 185.
Si no es al final del ciclo de facturación (163), el REP simplemente acusa recibo de la recepción de la información de uso, paso 187.
De lo anterior, resultará evidente que se ha descrito una tecnología que proporciona protección de la identidad del consumidor en una red eléctrica inteligente utilizando contadores inteligentes, aliviando así uno de los principales obstáculos y objeciones al despliegue generalizado de contadores inteligentes.
Aunque se han descrito e ilustrado realizaciones específicas de la invención, la invención no debe limitarse a las formas o disposiciones específicas de las partes así descritas e ilustradas. La invención está limitada únicamente por las reivindicaciones.

Claims (10)

REIVINDICACIONES
1. Un método para proporcionar recopilación de información de contadores inteligentes seguros, privados y resistentes al fraude y aplicaciones basadas en contadores inteligentes que usa contadores inteligentes con módulos de criptografía segura en una red eléctrica inteligente, que comprende:
emitir una credencial de privacidad mejorada a un nodo de consumidor (100) que comprende un contador inteligente (107), a través de un proceso interactivo (607) entre un proveedor de identidad (119) y el nodo de consumidor;
operar el nodo de consumidor para calcular y asociar una identificación de credencial correspondiente a la credencial de privacidad mejorada en donde la identificación de la credencial actúa como un seudónimo para el consumidor sin revelar que la identificación de la credencial está asociada con el consumidor;
operar el nodo de consumidor para generar un primer testigo de presentación (507a) a partir de la credencial de privacidad mejorada que no incluye atributos de identificación del consumidor de la credencial de privacidad mejorada e incluye la identificación de la credencial como un seudónimo para el consumidor; y
operar el nodo de consumidor para proporcionar información de uso utilizando el primer testigo de presentación y la identificación de credencial a un nodo de proveedor de servicios.
2. El método de la reivindicación 1, que comprende además:
operar el nodo de consumidor para proporcionar repetidamente información de uso usando el testigo de presentación y la identificación de credencial a un nodo de proveedor minorista de energía;
operar el proveedor minorista de energía, al final de un ciclo de facturación, transmitir una factura electrónica al nodo de consumidor desde el nodo de proveedor minorista de energía, en donde la factura electrónica está asociada con la identificación de la credencial; y
operar el nodo de consumidor, en respuesta a la recepción de la factura electrónica, para realizar un pago de preservación de la privacidad para pagar la factura electrónica.
3. El método de la reivindicación 2, en donde el paso de realizar el pago para preservar la privacidad comprende operar el nodo de consumidor para:
transmitir un pago de factura utilizando un segundo testigo de presentación creado por el nodo consumidor e identificado por la identificación de la credencial a un transmisor de pago; y
operar el transmisor de pago para reenviar pagos y notificaciones de pago identificadas por la identificación de la credencial al proveedor minorista de energía.
4. El método de la reivindicación 3, en donde el paso de realizar el pago para preservar la privacidad comprende además operar el nodo de consumidor para:
crear el segundo testigo de presentación a partir de la credencial de privacidad mejorada.
5. El método según la reivindicación 3, en donde el segundo testigo de presentación es el mismo testigo de presentación que el primer testigo de presentación.
6. El método según la reivindicación 2, en donde el paso de realizar el pago para preservar la privacidad comprende operar el nodo de consumidor para: realizar el pago para preservar la privacidad desde una billetera digital.
7. El método según la reivindicación 2, que comprende además:
operar el nodo de proveedor minorista de energía para autenticar digitalmente el contador inteligente del nodo de consumidor antes de transmitir una factura electrónica al nodo de consumidor.
8. El método según la reivindicación 2, que comprende además:
operar el proveedor minorista de energía para autenticar el nodo de consumidor usando autenticación anónima en donde el proveedor minorista de energía tiene la seguridad de que el nodo de consumidor es un nodo correspondiente a un consumidor del proveedor minorista de energía que tiene un contador inteligente asociado con el proveedor minorista de energía.
9. El método de la reivindicación 8, en donde la autenticación anónima comprende:
usar una credencial de autenticación compartida para autenticar el nodo de consumidor ante el proveedor minorista de energía en donde la credencial de autenticación compartida se comparte entre un grupo de nodos de consumidores, cada uno de los cuales tiene un contador inteligente.
10. El método de la reivindicación 2, que comprende además:
operar un nodo de pasarela para:
vincular el contador inteligente del nodo de consumidor al seudónimo;
vincular el seudónimo a la factura electrónica;
recibir la factura electrónica identificada con el seudónimo del proveedor minorista de energía;
emparejar el seudónimo con el contador inteligente correspondiente al seudónimo y reenviar la factura electrónica al contador inteligente correspondiente al seudónimo;
recibir el pago del nodo de consumidor correspondiente al contador inteligente correspondiente al seudónimo; reenviar el pago al proveedor minorista de energía.
ES14701061T 2013-02-06 2014-01-21 Sistema y método para proporcionar privacidad en el despliegue de contadores inteligentes Active ES2828078T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/760,248 US8893227B2 (en) 2013-02-06 2013-02-06 System and method for providing privacy in smart meter deployment
PCT/EP2014/051129 WO2014122008A1 (en) 2013-02-06 2014-01-21 System and method for providing privacy in smart meter deployment

Publications (1)

Publication Number Publication Date
ES2828078T3 true ES2828078T3 (es) 2021-05-25

Family

ID=49999947

Family Applications (1)

Application Number Title Priority Date Filing Date
ES14701061T Active ES2828078T3 (es) 2013-02-06 2014-01-21 Sistema y método para proporcionar privacidad en el despliegue de contadores inteligentes

Country Status (6)

Country Link
US (1) US8893227B2 (es)
EP (1) EP2954654B1 (es)
AU (1) AU2014214234B2 (es)
CA (1) CA2897357C (es)
ES (1) ES2828078T3 (es)
WO (1) WO2014122008A1 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130311382A1 (en) * 2012-05-21 2013-11-21 Klaus S. Fosmark Obtaining information for a payment transaction
EP2843605A1 (en) * 2013-08-30 2015-03-04 Gemalto SA Method for authenticating transactions
US9213820B2 (en) * 2013-09-10 2015-12-15 Ebay Inc. Mobile authentication using a wearable device
US9703963B2 (en) * 2014-05-09 2017-07-11 Fujitsu Limited Trusted and privacy-preserving mechanism for electricity usage data disclosure using verifiable noise
WO2016072442A1 (ja) * 2014-11-07 2016-05-12 日本電気株式会社 通信システム、通信装置、その制御方法、およびプログラム
US11070082B2 (en) * 2015-09-18 2021-07-20 Carbontrack Pty Ltd. Systems and methods for managing mesh-networked power control devices using tokens
US11030595B1 (en) 2015-11-16 2021-06-08 Wells Fargo Bank, N.A. Integrated utility distribution and automated billing
US10848481B1 (en) * 2019-05-17 2020-11-24 The Florida International University Board Of Trustees Systems and methods for revocation management in an AMI network
WO2021110288A1 (en) * 2019-12-04 2021-06-10 Telefonaktiebolaget Lm Ericsson (Publ) Authentication of an entity
US11272363B2 (en) * 2020-03-25 2022-03-08 Nxp B.V. Authentication method in a communication system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6980973B1 (en) * 1999-09-07 2005-12-27 Visa International Service Association Self-paying smart utility meter and payment service
EP1290599A1 (en) 2000-05-22 2003-03-12 Stephan J. Engberg A system and method for establishing a privacy communication path
WO2010063001A1 (en) * 2008-11-26 2010-06-03 Wireless Environment, Llc Wireless lighting devices and applications
JP5412364B2 (ja) * 2009-07-16 2014-02-12 株式会社日立製作所 情報処理方法および情報処理システム
GB2479955B (en) 2010-04-29 2014-05-14 Toshiba Res Europ Ltd Data transmission apparatus and method
JP5500666B2 (ja) * 2011-01-31 2014-05-21 エヌイーシー ヨーロッパ リミテッド スマートグリッドおよびスマートグリッドの動作方法

Also Published As

Publication number Publication date
WO2014122008A1 (en) 2014-08-14
CA2897357A1 (en) 2014-08-14
CA2897357C (en) 2020-07-21
EP2954654A1 (en) 2015-12-16
AU2014214234B2 (en) 2017-11-23
EP2954654B1 (en) 2020-08-12
US8893227B2 (en) 2014-11-18
US20140223526A1 (en) 2014-08-07
AU2014214234A1 (en) 2015-07-23

Similar Documents

Publication Publication Date Title
ES2828078T3 (es) Sistema y método para proporcionar privacidad en el despliegue de contadores inteligentes
US10564661B2 (en) Power control device, power management device and power management system
Rial et al. Privacy-preserving smart metering
US20170019248A1 (en) Homomorphic Based Method For Distributing Data From One or More Metering Devices To Two or More Third Parties
US20100088236A1 (en) Secure software service systems and methods
EP2543974B1 (en) Metering system having improved security
CN103729942A (zh) 将传输密钥从终端服务器传输到密钥服务器的方法及系统
Del Pobil et al. A new representation for collision avoidance and detection
Radi et al. Privacy-preserving electric vehicle charging for peer-to-peer energy trading ecosystems
Samuel et al. A secure blockchain‐based demurrage mechanism for energy trading in smart communities
CN104182876B (zh) 安全支付交易方法和系统
US20230362002A1 (en) Systems and methods for block data security for digital communications from a physical device
KR101326732B1 (ko) 첨단계량 인프라를 위한 암호화 키를 이용한 원격검침방법
JP4753521B2 (ja) ネットワークに接続されている電気装置の許可をモニタする方法および装置
Li et al. Privacy-preserving prepayment based power request and trading in smart grid
ES2605840T3 (es) Sistema de tarificación y método para consumos de servicios dentro de una red inteligente
KR102017727B1 (ko) 검침 정보 관리 장치 및 방법
Yang et al. A lightweight anonymous mobile shopping scheme based on DAA for trusted mobile platform
EP2787464B1 (en) Data managing apparatus, meter apparatus and data managing method
KR101866693B1 (ko) 함수 암호를 이용한 안전한 전기 요금 과금 방법
Biswas Enhancing the privacy of decentralized identifiers with ring signatures
CN104113523B (zh) 聚合器和用于聚合数据的方法
Dorri et al. A Secure and Efficient Direct Power Load Control Framework Based on Blockchain
KR102092036B1 (ko) 원격 검침 시스템
Zhang et al. Privacy-preserving power request and trading by prepayment in smart grid