DE102012203034A1

DE102012203034A1 - Method for personalizing smart meters and smart meter gateway for measuring consumed e.g. current of household, involves identifying meters and gateway by identifier after inseparable connection of security module to gateway and meters

Info

Publication number: DE102012203034A1
Application number: DE201210203034
Authority: DE
Inventors: Frank Dietrich; Manfred Paeschke
Original assignee: Bundesdruckerei GmbH
Current assignee: Bundesdruckerei GmbH
Priority date: 2012-02-28
Filing date: 2012-02-28
Publication date: 2013-08-29

Abstract

The method involves inseparably connecting a security module (100) e.g. chip card, to a smart meter gateway (138) and smart meters (142, 144). The module is designed as a communication interface of the gateway and the meters with an external computer system (166). A unique identifier (108) e.g. Internet protocol (IP) version 6 address, is stored in the module. The meters and the gateway are identified by the identifier after connection. Partial function disability of the meters, the gateway and/or the module is achieved by removal of the module from the meters and the gateway. Independent claims are also included for the following: (1) a computer program product for performing a method for personalizing smart meters and a smart meter gateway by a security module (2) a security module.

Description

Die Erfindung betrifft ein Verfahren zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul, ein Computerprogrammprodukt, ein Sicherheitsmodul und eine Smart Meter Vorrichtung.The invention relates to a method for personalizing a smart meter device with a security module, a computer program product, a security module and a smart meter device.

Unter dem Begriff des „Smart Metering” wird allgemein der Gedanke verstanden, Kunden mit elektronischen Energieverbrauchserfassungsgeräten auszustatten, um so neben einer einfachen Erfassung der verbrauchten Energiemenge zum Beispiel über ein Netzwerk sowohl dem Kunden als auch dem Energieversorger weitere Funktionalitäten zur Verfügung zu stellen.The term "smart metering" is generally understood as the idea of equipping customers with electronic energy consumption recording devices, in order to provide not only simple detection of the amount of energy consumed, for example via a network, to both the customer and the energy supplier.

Möglich ist dabei, dass sich der Kunde in Echtzeit über seinen aktuellen Energieverbrauch informieren kann. Unter dem Begriff des „Energieverbrauchs” wird dabei der Verbrauch des Kunden bezüglich jeglicher Art von Energie verstanden, welche in Haushalte und Unternehmen geliefert wird. Dies umfasst neben den Energieformen Strom, Wasser und Gas auch beliebige weitere Energieformen wie beispielsweise Fernwärme.It is possible that the customer can inform himself in real time about his current energy consumption. The term "energy consumption" is understood to mean the consumption of the customer with regard to any kind of energy that is delivered to households and companies. In addition to the forms of electricity, water and gas, this also includes any other forms of energy such as district heating.

Zur Erfassung des Energieverbrauchs kommen beim jeweiligen Verbraucher intelligente Messsysteme, auch intelligente Zähler oder „Smart-Meter” genannt, zum Einsatz. Smart-Meter sind Zähler für die verbrauchte Energie. Der Verbraucher kann dabei eine natürliche oder juristische Person sein, welche verschiedene messbare Energieformen wie Strom, Gas, Wasser oder Wärme verbraucht. Ziel der Verwendung von Smart-Metern ist die Implementierung intelligenter Messsysteme, was beispielsweise die Erhebung von variablen Leistungsentgelten in Abhängigkeit von Gesamtnachfrage und Netzauslastung ermöglichen würde. Dadurch können sich Energieversorgungsnetze insgesamt besser ausnutzen lassen.To record the energy consumption, smart metering systems, also called smart meters or "smart meters", are used by the respective consumer. Smart meters are meters of energy consumed. The consumer can be a natural or legal person who consumes various measurable forms of energy such as electricity, gas, water or heat. The goal of using Smart Meters is the implementation of intelligent metering systems, which would, for example, enable the levying of variable compensation depending on total demand and network load. As a result, energy supply networks can be better utilized overall.

Aus der technischen Richtlinie des BSI TR-03109 ist es bekannt, einen sogenannten Smart-Meter-Gateway, auch Konzentrator genannt, als eine zentrale Kommunikationseinheit vorzusehen, welche mit einzelnen oder mehreren Smart-Metern kommunizieren kann. Der Gateway ist dazu in der Lage, mit Geräten im sogenannten „Home Area Network” und mit Geräten im „Wide Area Network” zu kommunizieren. Das Home Area Network umfasst dabei alle Smart Meter, welche an den Gateway angekoppelt sind, sowie z. B. private Recheneinheiten der Verbraucher. Die privaten Recheneinheiten können z. B. zur Information über aktuelle, mit den Smart Metern erfasste Energieverbrauchswerte, eingesetzt werden. Das Wide Area Network ist dazu ausgebildet, um eine Kommunikation von Gateway und autorisierten Marktteilnehmern zu ermöglichen. Beispielsweise kann das Gateway die Daten aller Smart-Meter sammeln und diese an eine übergeordnete Sammelstelle, beispielsweise einen Energieversorger oder einen Messstellenbetreiber zur Verfügung stellen.From the technical Guideline of BSI TR-03109 It is known to provide a so-called smart meter gateway, also called concentrator, as a central communication unit which can communicate with single or multiple smart meters. The gateway is able to communicate with devices in the so-called "Home Area Network" and with devices in the "Wide Area Network". The Home Area Network includes all smart meters, which are coupled to the gateway, and z. B. private computing units of consumers. The private computing units can, for. B. for information about current, recorded with the smart meters energy consumption values are used. The Wide Area Network is designed to allow communication from gateway and authorized market participants. For example, the gateway can collect the data of all smart meters and provide them to a higher-level collection point, for example an energy supplier or a metering point operator.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul, ein Computerprogrammprodukt, ein Sicherheitsmodul und eine Smart Meter Vorrichtung, bereitzustellen.The invention has for its object to provide a method for personalizing a smart meter device with a security module, a computer program product, a security module and a smart meter device.

Die der Erfindung zugrunde liegenden Aufgaben werden mit den Merkmalen der unabhängigen Patentansprüche gelöst. Bevorzugte Ausführungsformen der Erfindung sind in den abhängigen Patentansprüchen angegeben.The objects underlying the invention are achieved by the features of the independent claims. Preferred embodiments of the invention are indicated in the dependent claims.

Es wird ein Verfahren zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul angegeben, wobei das Sicherheitsmodul als Kommunikationsschnittstelle der Vorrichtung mit einem externen Computersystem ausgebildet ist, wobei in dem Sicherheitsmodul eine eindeutige Kennung gespeichert ist, wobei das Verfahren ein untrennbares Verbinden des Sicherheitsmoduls mit der Vorrichtung umfasst, wobei nach dem Verbinden die Vorrichtung durch die eindeutige Kennung identifizierbar ist.The invention relates to a method for personalizing a smart meter device with a security module, wherein the security module is designed as a communication interface of the device with an external computer system, wherein a unique identifier is stored in the security module, the method comprising inseparably connecting the security module to the device comprises, wherein after connecting the device is identifiable by the unique identifier.

Ausführungsformen der Erfindung könnten den Vorteil haben, dass durch den Personalisierungsvorgang in dauerhafter Weise der Vorrichtung eine eindeutige Identität zugewiesen werden kann. Hierzu ist es nicht notwendig, z. B. die Vorrichtung selbst bei einem Herstellungsprozess mit einer Identität zu versehen. Dies wäre insbesondere im Hinblick auf zu erfüllende Sicherheitsanforderungen beim Herstellungsprozess mit hohen Kosten und hohem technischen Aufwand verbunden. Denn typischerweise ist die Vergabe von Identitäten an eine besonders gesicherte Produktionsumgebung gekoppelt, z. B. einem sogenannten Trust Center. Dies könnte insbesondere bei der Vergabe von Identitäten zu gebührentechnischen Erhebungen bezüglich der mit dem der Vorrichtung zugeordneten Smart Meter erfassten Energieverbrauchswerte erforderlich sein. Durch die irreversible Verbindung der Vorrichtung mit einem separat erhältlichen Sicherheitsmodul genügt es, lediglich das Sicherheitsmodul in der gesicherten Produktionsumgebung herzustellen und mit der Identität zu versehen. Die nachfolgende Kopplung von Sicherheitsmodul und Vorrichtung versieht die Vorrichtung dann mit derselben Identität, die auch dem Sicherheitsmodul zugewiesen wurde. Da außerdem das Sicherheitsmodul als Kommunikationsinterface für externe Computersysteme dient, ist sichergestellt, dass ein entsprechender Kommunikationsvorgang von z. B. Verbrauchsdaten an Messstellenbetreiber und/oder Energieversorger immer die identitätsstiftende Komponente „Sicherheitsmodul” einbezieht. Z. B. kann das Sicherheitsmodul in diesem Fall sicherstellen, dass übermittelte Daten grundsätzlich auch die eindeutige Kennung „Globally Unique Identifier” (GUID) aufweisen. Somit ist immer eine eindeutige Identifizierung der Vorrichtung in beliebigen Kommunikationsnetzwerken möglich.Embodiments of the invention could have the advantage that the personalization process can permanently assign a unique identity to the device. For this it is not necessary, for. B. to provide the device itself in a manufacturing process with an identity. This would be associated with high costs and high technical complexity, in particular with regard to safety requirements to be met during the production process. Because typically the assignment of identities is coupled to a particularly secure production environment, eg. B. a so-called Trust Center. This could be necessary, in particular, when assigning identities to fee-based surveys with respect to the energy consumption values recorded with the smart meter assigned to the device. Due to the irreversible connection of the device with a separately available security module, it is sufficient to produce only the security module in the secure production environment and to provide the identity. The subsequent coupling of security module and device then provides the device with the same identity that was also assigned to the security module. In addition, since the security module serves as a communication interface for external computer systems, it is ensured that a corresponding communication process of z. B. Consumption data to meter operators and / or energy suppliers always the identity-forming component "Security module" includes. In this case, for example, the security module can ensure that transmitted data basically also has the unique identifier "Globally Unique Identifier" (GUID). Thus, a unique identification of the device in any communication networks is always possible.

Nach einer Ausführungsform der Erfindung umfasst die untrennbare Verbindung des Sicherheitsmoduls mit der Vorrichtung ein mechanisches Verbinden derselben. Ein mechanisches Verbinden kann beispielsweise einen Lötvorgang, einen Schweißvorgang oder einen Klebevorgang von Sicherheitselement und Vorrichtung umfassen. Möglich ist auch eine dauerhafte mechanische Verriegelung des Sicherheitselements in der Vorrichtung. Im einfachsten Fall könnte das Sicherheitsmodul in einem Gehäuse der Vorrichtung eingegossen sein, sodass aufgrund des „Aufbrechens” dieser Gussverbindung die Zerstörung des Sicherheitsmoduls und/oder der Vorrichtung resultiert.According to one embodiment of the invention, the inseparable connection of the security module to the device comprises a mechanical connection thereof. Mechanical bonding may include, for example, a soldering operation, a welding operation, or a bonding operation of the security element and device. Also possible is a permanent mechanical locking of the security element in the device. In the simplest case, the security module could be cast in a housing of the device, so that the destruction of the security module and / or the device results due to the "breaking" of this cast connection.

Vorzugsweise sollte dabei das mechanische Verbinden dergestalt erfolgen, dass ein nachträgliches Entfernen des Sicherheitsmoduls von der Vorrichtung zu einer zumindest teilweisen – vorzugweise automatischen – Funktionsunfähigkeit der Vorrichtung und/oder des Sicherheitsmoduls führt. Z. B. könnte die mechanische Kontaktierung zwischen Sicherheitselement und Vorrichtung so ausgebildet sein, dass beim nachträglichen Entfernen des Sicherheitsmoduls von der Vorrichtung zwangsläufig und automatisch auch elektrische Kontakte in der Vorrichtung und/oder dem Sicherheitsmodul irreparabel unterbrochen werden. Im Falle eines Lötvorgangs könnte die mechanische Kontaktierung zwischen Sicherheitselement und Vorrichtung dergestalt ausgebildet sein, dass beim „Herauslöten” des Sicherheitselements aufgrund der stattfindenden Wärmeentwicklung eine irreparable Zerstörung elektronischer Komponenten der Vorrichtung und/oder des Sicherheitsmoduls stattfindet. Vorzugsweise werden im Betrieb der Vorrichtung diese elektronischen Komponenten zwingend benötigt, um die Grundfunktionen der Vorrichtung inklusive der Übermittlung von Smart Meter Messdaten an Messstellenbetreiber und/oder Energieversorger zu gewährleisten.Preferably, the mechanical connection should take place in such a way that a subsequent removal of the security module from the device leads to an at least partial - preferably automatic - functional inability of the device and / or the security module. For example, the mechanical contact between the security element and the device could be designed so that inevitably and automatically also electrical contacts in the device and / or the security module are irreparably interrupted in the subsequent removal of the security module of the device. In the case of a soldering operation, the mechanical contacting between the security element and the device could be designed such that irreparable destruction of electronic components of the device and / or the security module takes place during "desoldering" of the security element due to the heat development taking place. During operation of the device, these electronic components are preferably absolutely necessary in order to ensure the basic functions of the device, including the transmission of smart meter measurement data to metering point operators and / or energy suppliers.

Vorzugsweise tritt die Funktionsunfähigkeit der Vorrichtung und/oder des Sicherheitsmoduls automatisch im Falle eines nachträglichen Entfernens des Sicherheitsmoduls von der Vorrichtung spätestens nach erneuter Inbetriebnahme der Vorrichtung und/oder des Sicherheitsmoduls ein.Preferably, the malfunction of the device and / or the security module automatically occurs in the event of subsequent removal of the security module from the device at the latest after restarting the device and / or the security module.

Nach einer Ausführungsform der Erfindung umfasst die teilweise Funktionsunfähigkeit eine dauerhafte Störung der Kommunikationsfähigkeit der Vorrichtung mit dem externen Computersystem. Wenn es sich bei dem externen Computersystem um einen Messstellenbetreiber und/oder Energieversorger handelt, wird dieser somit aufgrund mangelnder Kommunikationsfähigkeit feststellen, dass ein Problem bei der Vorrichtung vorliegt. In diesem Fall wird der Messstellenbetreiber und/oder Energieversorger sich automatisch um diese Vorrichtung bemühen, z. B. einen Techniker vor Ort die Vorrichtung überprüfen lassen. So können Manipulationen der Vorrichtung zuverlässig und schnell erkannt werden.According to one embodiment of the invention, the partial malfunctioning comprises a permanent failure of the communication capability of the device with the external computer system. Thus, if the external computer system is a meter operator and / or utility, it will discover that there is a problem with the device due to lack of communication capability. In this case, the meter operator and / or utility will automatically seek this device, e.g. For example, have a technician on site check the device. Thus, manipulations of the device can be detected reliably and quickly.

Nach einer Ausführungsform der Erfindung resultiert die teilweise Funktionsunfähigkeit aus einer mechanischen Zerstörung der Vorrichtung und/oder des Sicherheitsmoduls aufgrund des nachträglichen Entfernens.According to one embodiment of the invention, the partial inoperability results from a mechanical destruction of the device and / or the security module due to the subsequent removal.

Nach einer Ausführungsform der Erfindung wird durch das nachträgliche Entfernen ein elektronischer Deaktivierungsprozess auf der Vorrichtung und/oder dem Sicherheitsmodul gestartet, wobei die teilweise Funktionsunfähigkeit aus dem Deaktivierungsprozess resultiert. Dieser Deaktivierungsprozess kann Hardware und/oder Software gesteuert sein. Beispielsweise kann ein Modul der Vorrichtung eine regelmäßig Überprüfung auf das Vorhandensein des Sicherheitsmoduls vornehmen. Wird festgestellt, dass das Sicherheitsmodul entfernt wurde, kann daraufhin dieses Modul die Vorrichtung oder einzelne Funktionen der Vorrichtung, wie oben beschrieben, deaktivieren. Möglich ist auch, dass das Modul eine teilweise Selbstzerstörung ihrer elektrischen Schaltkreise oder Elemente initiiert.According to one embodiment of the invention, the subsequent removal starts an electronic deactivation process on the device and / or the security module, the partial inoperability resulting from the deactivation process. This deactivation process may be hardware and / or software controlled. For example, a module of the device can make a regular check for the presence of the security module. If it is determined that the security module has been removed, then this module may deactivate the device or individual functions of the device as described above. It is also possible that the module initiates a partial self-destruction of its electrical circuits or elements.

Nach einer Ausführungsform der Erfindung wird aufgrund des Verbindens des Sicherheitsmoduls mit der Vorrichtung ein Verknüpfungsprozess auf der Vorrichtung und/oder dem Sicherheitsmodul gestartet, wobei die untrennbare Verbindung des Sicherheitsmoduls mit der Vorrichtung als Resultat des Verknüpfungsprozesses eine logische Verknüpfung des Sicherheitsmoduls mit der Vorrichtung umfasst. Unter einer logischen Verknüpfung wird dabei ein Software gesteuerter Prozess verstanden, welcher in eindeutiger Weise die Vorrichtung an das Sicherheitsmodul koppelt. Z. B. erfolgt die logische Verknüpfung über eine Kennung, welche Vorrichtung und Sicherheitsmodul miteinander verbindet. Dies kann eine Kennung sein, welche für Vorrichtung und Sicherheitsmodul identisch ist. Möglich ist aber auch, dass aus z. B. einer Geräte-ID der Vorrichtung und einer Modul-ID des Sicherheitsmoduls eine neue Kennung erzeugt wird, welche in eindeutiger Weise die Geräte-ID und die Modul-ID verknüpft. Möglich wäre hier ein Hash-Prozess über die Geräte-ID und die Modul-ID. Die Verwendung einer Kennung hat allgemein den Vorteil, dass Ausführungsformen ohne große mechanische Aufwendungen realisiert werden können, was eine hohe Kostenersparnis bewirkt.According to one embodiment of the invention, a connection process on the device and / or the security module is started due to the connection of the security module with the device, wherein the inseparable connection of the security module with the device as a result of the linking process comprises a logical connection of the security module with the device. A logical link is understood to be a software-controlled process which uniquely couples the device to the security module. For example, the logical link is via an identifier, which device and security module connects to each other. This may be an identifier which is identical for device and security module. It is also possible that from z. B. a device ID of the device and a module ID of the security module, a new identifier is generated, which uniquely links the device ID and the module ID. Possible here would be a hash process on the device ID and the module ID. The use of an identifier generally has the advantage that embodiments can be realized without great mechanical expense, which results in a high cost savings.

Z. B. kann aufgrund der Verwendung einer Kennung sichergestellt werden, dass nicht nachträglich in unbefugter Weise der Gateway durch einen anderen Gateway ersetzt werden kann. Beispielsweise könnte dadurch unterbunden werden, dass einem Messstellenbetreiber Werte von einem „gehackten” Gateway zur Verfügung gestellt werden, welcher nur sporadisch mit entsprechenden Smart-Metern verbunden ist und damit eigentlich überhaupt keine reale Energieverbrauchserfassung durchführt. For example, due to the use of an identifier, it can be ensured that the gateway can not subsequently be replaced by another gateway in an unauthorized manner. For example, this could prevent a measuring point operator from providing values from a "hacked" gateway, which is only sporadically connected to corresponding smart meters and thus actually does not carry out any real energy consumption recording at all.

Vorzugsweise kann für ein gegebenes Sicherheitsmodul nur einmal der Verknüpfungsprozess durchgeführt werden. Hierfür könnte ein interner Zähler des Sicherheitsmoduls verwendet werden, so dass eine mehrmalige – wie auch immer geartete – Verwendung des Sicherheitsmoduls z. B. in verschiedenen Vorrichtungen verhindert wird.Preferably, for a given security module, the linking process may be performed only once. For this purpose, an internal counter of the security module could be used, so that a multiple - whatever - use of the security module z. B. is prevented in various devices.

Nach einer Ausführungsform der Erfindung umfasst der Verknüpfungsprozess eine Übertragung der Kennung des Sicherheitsmoduls an die Vorrichtung und darauffolgend eine Irreversible Speicherung der durch die Vorrichtung empfangenen Kennung in der Vorrichtung. Z. B. erfolgt die Übertragung der Kennung zum Zeitpunkt der ersten Inbetriebnahme der mit dem Sicherheitsmodul verbundenen Vorrichtung automatisch. Damit ist sichergestellt, dass zum Einen jederzeit die Vorrichtung vor Inbetriebnahme mit aktuellen Sicherheitsmodulen ausgestattet werden kann, jedoch nach Inbetriebnahme eindeutig personalisiert ist.According to one embodiment of the invention, the linking process comprises a transmission of the identifier of the security module to the device and subsequently an irreversible storage of the identifier received by the device in the device. For example, the transmission of the identifier takes place automatically at the time of the first startup of the device connected to the security module. This ensures that, on the one hand, the device can be equipped with current security modules at any time prior to commissioning, but is clearly personalized after commissioning.

Nach einer Ausführungsform der Erfindung ist die Kennung des Sicherheitsmoduls und/oder die irreversibel gespeicherte Kennung nicht veränderbar. Eine Veränderung der Kennung ist damit nur durch Austausch von Sicherheitsmodul und Vorrichtung möglich.According to one embodiment of the invention, the identifier of the security module and / or the irreversibly stored identifier can not be changed. A change of the identifier is thus possible only by replacing the security module and device.

Nach einer Ausführungsform der Erfindung findet nach dem Verbinden des Sicherheitsmoduls mit der Vorrichtung eine regelmäßige automatische Überprüfung statt, ob die in dem Sicherheitsmodul gespeicherte Kennung mit der in der Vorrichtung gespeicherten Kennung noch identisch ist, wobei im Falle eines Identitätsmangels eine Mitteilung hierüber an das externe Computersystem übermittelt wird und/oder ein elektronischer Deaktivierungsprozess auf der Vorrichtung und/oder dem Sicherheitsmodul gestartet wird, wobei eine teilweise Funktionsunfähigkeit der Vorrichtung und/oder des Sicherheitsmoduls aus dem Deaktivierungsprozess resultiert. Dieser z. B. als Software oder Hardware implementierbare Deaktivierungsprozess wurde bereits oben beschrieben und kann in dieser Ausführungsform analog implementiert werden.According to one embodiment of the invention, after the security module has been connected to the device, a regular automatic check is made as to whether the identifier stored in the security module is still identical to the identifier stored in the device, in the event of a lack of identity sending a message to the external computer system is transmitted and / or an electronic deactivation process on the device and / or the security module is started, wherein a partial inoperability of the device and / or the security module results from the deactivation process. This z. B. deactivation process implemented as software or hardware has already been described above and can be implemented in this embodiment analog.

Die regelmäßige automatische Überprüfung kann zu festgelegten Zeitpunkten, zu zufälligen Zeitpunkten oder auch bei vordefinierten Ereignissen stattfinden. Ein vordefiniertes Ereignis könnte z. B. eine Übermittlung von mit dem Smart Meter erfassten Verbrauchsdaten über das Sicherheitsmodul an einen Messstellenbetreiber und/oder Energieversorger umfassen oder allgemein einen beliebigen Lesezugriff auf die erfassten Verbrauchsdaten durch externe Systeme. Externe Systeme können die Geräte im „Home Area Network” und im „Wide Area Network” sein.The regular automatic check can take place at fixed times, at random times or even with predefined events. A predefined event could, for. B. a transmission of recorded with the smart meter consumption data via the security module to a meter operator and / or energy suppliers or generally any read access to the recorded consumption data by external systems. External systems can be the devices in the "Home Area Network" and the "Wide Area Network".

Nach einer Ausführungsform der Erfindung handelt es sich bei der Vorrichtung um einen Smart Meter oder einen dem Smart Meter oder mehreren Smart Metern zugeordneten Smart Meter Gateway. Ein Gateway ist dabei einem Smart Meter zugeordnet, wenn der Smart Meter seine erfassten Energieverbrauchswerte über den Gateway einem Energieversorger oder Messstellenbetreiber zur Verfügung stellt. Der Gateway kann jedoch auch nur als die zentrale Kommunikationsschnittstelle für einen oder mehrere anschließbare Smart Meter wirken. Ob der Zugriff auf die durch die Smart Meter erfassen Messdaten Indirekt über den Gateway auf die Smart Meter erfolgt, oder ob die Smart Meter die Messdaten im Gateway ablegen ist dabei unerheblich und beides möglich.According to one embodiment of the invention, the device is a smart meter or a smart meter gateway associated with the smart meter or multiple smart meters. A gateway is assigned to a smart meter if the smart meter makes its recorded energy consumption values available via the gateway to an energy supplier or metering point operator. However, the gateway may also act only as the central communication interface for one or more connectable smart meters. Whether access to the measurement data captured by the smart meter takes place indirectly via the gateway to the smart meter, or whether the smart meter stores the measurement data in the gateway is insignificant and both possible.

Nach einer Ausführungsform der Erfindung handelt es sich bei dem Sicherheitsmodul um eine Chipkarte.According to one embodiment of the invention, the security module is a chip card.

Nach einer Ausführungsform der Erfindung handelt es sich bei der Kennung um einen öffentlichen Schlüssel des Sicherheitsmoduls und/oder eine IPv6-Adresse des Sicherheitsmoduls. Letzteres hat insbesondere den Vorteil, dass über die Kennung auch gleichzeitig eine eindeutige Adressierung des Sicherheitsmoduls und damit der Vorrichtung in Internet möglich ist. Dies könnte zur automatisierten Abfrage von mit den Smart Meter erfassten Verbrauchsdaten relevant sein. Die Verwendung des öffentlichen Schlüssels hat den Vorteil, dass hierdurch automatisch eine eindeutige und personifizierte Identifikation des Sicherheitsmoduls gewährleistet ist. Da vorzugweise ein Trust Center oder ein Trusted Service Manager auch gleichzeitig dem Sicherheitsmodul vertrauenswürdige Zertifikate zuordnen wird, ist von „offizieller Seite” sichergestellt, dass der hierzu benötigte öffentliche Schlüssel auch tatsächlich von dieser vertrauenswürdigen Stelle vergeben wurde. Die Echtheit des Schlüssels ist z. B. über öffentliche Verzeichnisserver überprüfbar. Die Verwendung von gefälschten Kennungen ist damit überprüfbar ausgeschlossen.According to one embodiment of the invention, the identifier is a public key of the security module and / or an IPv6 address of the security module. The latter has the particular advantage that it is also possible at the same time to clearly address the security module and thus the device in the Internet via the identifier. This could be relevant for the automated retrieval of consumption data collected by the smart meters. The use of the public key has the advantage that this automatically ensures a clear and personalized identification of the security module. Since preferably a trust center or a trusted service manager will at the same time allocate trustworthy certificates to the security module, the "official side" ensures that the public key required for this purpose has actually been assigned by this trusted authority. The authenticity of the key is z. B. verifiable via public directory server. The use of forged identifiers is thus excluded verifiable.

Möglich ist auch, dass es sich bei der Kennung um ein Zertifikat des Sicherheitsmoduls handelt. Das Zertifikat wiederum könnte den öffentlichen Schlüssel des Sicherheitsmoduls aufweisen. Dies hat zunächst den Vorteil, dass die Authentizität der Kennung durch Dritte überprüft werden kann. Ferner hat dies den Vorteil, dass das im Falle einer Kommunikation ohnehin zu übermittelnde Zertifikat dafür verwendet werden kann, um gleichzeitig eine eindeutige Identifizierung des Sicherheitsmoduls zu gewährleisten. Z. B. könnte zur Kommunikation von mit dem Smart Meter erfassten Messdaten grundsätzlich ein Challenge-Response-Verfahren zum Einsatz kommen, welches eine vorige gegenseitige Zertifikatsüberprüfung erfordert. Damit werden Zertifikate ohnehin verwendet, so dass die zusätzliche explizite und separate Übertragung von Kennungen entfällt.It is also possible that the identifier is a certificate of the security module. The certificate could in turn have the public key of the security module. this has First, the advantage that the authenticity of the identifier can be checked by third parties. Furthermore, this has the advantage that in the case of a communication anyway to be transmitted certificate can be used to ensure at the same time a clear identification of the security module. For example, a challenge-response method could be used to communicate measured data acquired with the smart meter, which requires a prior mutual certificate check. This certificate is used anyway, so that the additional explicit and separate transfer of identifiers deleted.

Schließlich ist es auch möglich, dass die Kennung selbst in einem Zertifikat des Sicherheitsmoduls enthalten ist. Auch dadurch ist eine offizielle Nachprüfbarkeit der Echtheit der Kennung durch Dritte gewährleistet.Finally, it is also possible that the identifier itself is included in a certificate of the security module. This also ensures an official verifiability of the authenticity of the identifier by third parties.

Grundsätzlich können die gesagten Zertifikate nach einem Public Key Infrastructure(PKI)-Standard erstellt worden sein, beispielsweise nach dem X.509-Standard . An dieser Stelle sei angemerkt, dass die beschriebenen Zertifikate auf einem öffentlichen Verzeichnisserver abgespeichert sein können.Basically, the said certificates can have been created according to a Public Key Infrastructure (PKI) standard, for example according to the X.509 standard , It should be noted that the described certificates can be stored on a public directory server.

In einem weiteren Aspekt betrifft die Erfindung ein Computerprogrammprodukt mit von einem Prozessor ausführbaren Instruktionen zur Durchführung der obig beschriebenen Verfahrensschritte.In another aspect, the invention relates to a computer program product having instructions executable by a processor for performing the method steps described above.

In einem weiteren Aspekt betrifft die Erfindung ein Sicherheitsmodul zur Verwendung in dem obig beschriebenen Verfahren.In another aspect, the invention relates to a security module for use in the method described above.

In einem weiteren Aspekt betrifft die Erfindung ein Smart Meter Vorrichtung zur Aufnahme einem obig beschriebenen Sicherheitsmodul.In another aspect, the invention relates to a smart meter device for receiving a security module as described above.

Das Sicherheitsmodul und die Smart Meter Vorrichtung haben dabei analogen Fähigkeiten und Funktionalitäten, welche hinsichtlich des Verfahrens obig beschrieben wurden.The security module and the smart meter device have analogous capabilities and functionalities, which were described above with regard to the method.

Es sei ferner angemerkt, dass vorzugsweise das Sicherheitsmodul beispielsweise in seinem Auslieferungszustand so konfiguriert ist, dass ausschließlich eine vertrauenswürdige Instanz in der Lage ist, eine Kommunikation nach erfolgreicher Authentifizierung mit dem Sicherheitsmodul durchzuführen. Diese vertrauenswürdige Instanz kann jene sein, welche das Sicherheitsmodul zuvor mit der Kennung versehen hat. Dadurch ist gewährleistet, dass insbesondere eine entgeltrelevante Konfiguration des Smart-Meterings nur einer solchen Stelle überlassen wird, welche sowohl von den autorisierten Markteilnehmern, das heißt zum Beispiel den Messstellenbetreibern und den eigentlichen Energieversorgern, als auch den Endverbrauchern als vertrauenswürdig eingestuft ist. Unter „entgeltrelevante Konfiguration” wird im Folgenden verstanden, dass durch diese Konfiguration bezüglich eines Smart-Meters festgelegt wird, wer zum Beispiel zur Abrechnung der durch das Smart-Meter erfassten Energiemengen berechtigt ist. Ferner kann dadurch auch festgelegt werden, welche Personen wie Endverbraucher und autorisierte Marktteilnehmer in welchem Umfang auf die Funktionen und bezüglich des Smart Meters verfügbaren Informationen überhaupt Zugriff haben dürfen. Da diese Festlegung von Seitens einer vertrauenswürdigen Stelle erfolgt, ist dadurch gewährleistet, dass ein Missbrauch dieser Funktionen und Informationen durch unbefugte Dritte ausgeschlossen ist. Die Informationen können dabei z. B. Standortinformationen des Smart Meters, durch das Smart Meter gemessene Werte, Standortinformationen des Speicherbereichs oder jegliche im Speicherbereich enthaltene Werte umfassen.It should also be noted that, for example, the security module is preferably configured in its delivery state such that only a trustworthy entity is able to perform a communication after successful authentication with the security module. This trusted instance may be that which the security module previously provided with the identifier. This ensures that, in particular, a charge-relevant configuration of the smart metering is only left to a point which is classified as trustworthy both by the authorized market participants, that is, for example, the metering point operators and the actual energy suppliers, as well as the end users. "Charge-relevant configuration" is understood below to mean that this configuration determines with respect to a smart meter, for example, who is entitled to charge the amount of energy detected by the smart meter. Furthermore, it can also be determined which persons, such as end users and authorized market participants, are allowed to have access to the functions and information available with respect to the smart meter to what extent. Since this determination is made on the part of a trusted body, this ensures that abuse of these functions and information by unauthorized third parties is excluded. The information can be z. Smart meter location information, values measured by the smart meter, location information of the storage area, or any values contained in the storage area.

Nach einer Ausführungsform der Erfindung erfolgt eine Kommunikation über die Kommunikationsschnittstelle der Vorrichtung mit dem externen Computersystem durch eine gesicherte Übertragung, welche eine Ende-zu-Ende-Verschlüsselung zwischen dem Computersystem und dem Sicherheitsmodul verwendet. Dies ermöglicht es, die Verbindung zwischen dem Sicherheitsmodul und dem Computersystem über beliebige Netzwerke aufzubauen, da aufgrund der Ende-zu-Ende-Verschlüsselung keine Änderungen der über die Verbindung übertragenen Daten durch Dritte vorgenommen werden können. Allgemein kann die Erfindung dadurch realisiert werden, dass die gesamte Kommunikation zwischen dem Computersystem und dem Sicherheitsmodul über beliebige Arten von Netzwerken erfolgen kann. Dies umfasst eine Kommunikation über das Internet, eine Kommunikation durch drahtlose Netzwerkverbindungen wie beispielsweise Mobilfunk, als auch eine Kommunikation unter Verwendung einer Trägerfrequenzanlage. Letztere ist auch unter dem Namen: „Powerline Datenübertragung” bekannt und umfasst Vorrichtungen zur Datenübertragung über vorhandene Kommunikations- oder Stromnetze.According to one embodiment of the invention, communication over the communication interface of the device with the external computer system is through a secure transmission using end-to-end encryption between the computer system and the security module. This makes it possible to establish the connection between the security module and the computer system over any networks, since, due to the end-to-end encryption, no changes of the data transmitted over the connection can be made by third parties. In general, the invention can be implemented by allowing all communication between the computer system and the security module to be via any type of network. This includes communication over the Internet, communication through wireless network connections such as cellular, as well as communication using a carrier-frequency system. The latter is also known under the name: "Powerline data transmission" and includes devices for data transmission over existing communication or power grids.

Im Folgenden werden bevorzugte Ausführungsformen der Erfindung anhand der Zeichnungen näher erläutert. Es zeigen:In the following, preferred embodiments of the invention are explained in more detail with reference to the drawings. Show it:

1 ein Blockdiagramm eines Systems zur Implementierung des obig beschriebenen Verfahrens, 1 a block diagram of a system for implementing the method described above,

2 ein Flussdiagramm eines Verfahrens zur Personalisierung einer Smart Meter Vorrichtung, 2 a flow chart of a method for personalization of a smart meter device,

3 ein Flussdiagramm eines Verfahrens zur Überprüfung einer Personalisierung einer Smart Meter Vorrichtung, 3 a flowchart of a method for checking a personalization of a smart meter device,

4 ein Blockdiagramm eines Smart Meter Systems, 4 a block diagram of a smart meter system,

5 ein Flussdiagramm eines Verfahrens zur Initialisierung eines Speicherbereichs, 5 a flowchart of a method for initializing a memory area,

6 ein Flussdiagramm eines Verfahrens zur Bereitstellung eines Sicherheitsmoduls. 6 a flowchart of a method for providing a security module.

Im Folgenden werden einander ähnliche Elemente mit gleichen Bezugszeichen gekennzeichnet.Hereinafter, similar elements will be denoted by like reference numerals.

Die 1 zeigt ein Blockdiagramm eines Systems zur Implementierung eines Verfahrens zur Personalisierung einer Smart Meter Vorrichtung mit einem Sicherheitsmodul. Im Folgenden sei davon ausgegangen, dass es sich bei der Smart Meter Vorrichtung um einen Smart Meter Gateway 138 handelt, welcher an Smart Meter 142, 144 über die Schnittstelle (Interface) 118 gekoppelt ist. Ein Sicherheitsmodul 100 dient als Kommunikationsschnittstelle des Gateways 138 mit einem externen Computersystem 166. Die Kommunikation erfolgt dabei über eine Schnittstelle (Interface) 116 des Sicherheitsmoduls 100. Z. B. handelt es sich bei dem Computersystem um das System eines Messstellenbetreibers und/oder eines Energieversorgers, welcher mit den Smart Metern 142, 144 erfasste Energieverbrauchsdaten vergebühren möchte. Die Datenübermittlung wird dabei z. B. durch das Softwaremodul 120 des Prozessors 126 des Gateways 138 gesteuert.The 1 shows a block diagram of a system for implementing a method for personalization of a smart meter device with a security module. In the following, it is assumed that the smart meter device is a smart meter gateway 138 which acts on smart meters 142 . 144 via the interface 118 is coupled. A security module 100 serves as communication interface of the gateway 138 with an external computer system 166 , Communication takes place via an interface 116 of the security module 100 , For example, the computer system is the system of a meter operator and / or an energy supplier, which with the smart meters 142 . 144 would like to charge collected energy consumption data. The data transfer is z. B. by the software module 120 of the processor 126 of the gateway 138 controlled.

Das Sicherheitsmodul 100 kann über das Netzwerk 600, z. B. eine Powerline Verbindung oder das Internet mit dem Computersystem 166 kommunizieren. Ebenso ist eine Kommunikation über die Schnittstelle 116 mit dem Computersystem 150 der 4 möglich. Dies ist weiter unten detailliert beschrieben.The security module 100 can over the network 600 , z. As a powerline connection or the Internet with the computer system 166 communicate. Likewise, communication is via the interface 116 with the computer system 150 of the 4 possible. This is described in detail below.

In dem Sicherheitsmodul 100 ist eine eindeutige Kennung 108 gespeichert. Das Sicherheitsmodul 100 wird z. B. in Form einer Chipkarte oder eines integrierten Schaltkreises IC, ASIC oder „Chip” vorpersonalisiert, d. h. mit Kennung 108 und hier nicht näher beschriebenem kryptografischen Schlüsselmaterial ausgestattet bereitgestellt. Dieses Schlüsselmaterial wird in 4 näher beschrieben.In the security module 100 is a unique identifier 108 saved. The security module 100 is z. B. in the form of a smart card or an integrated circuit IC, ASIC or "chip" pre-personalized, ie with identifier 108 and equipped with cryptographic key material not described here. This key material is in 4 described in more detail.

Das Sicherheitsmodul wird gemäß den in 2 beschriebenen Verfahrensschritten in Schritt 700 in den Gateway 138 eingesetzt. Der Gateway stellt hierfür eine entsprechende mit Kontakten 604 versehene Aufnahme für das Sicherheitsmodul 100 bereit. Über die Kontakte 604 kann der Prozessor 126 des Gateways 138 mittels der Schnittstelle 118 mit dem Sicherheitsmodul über dessen nicht näher gezeigten gegenstückigen Kontakte kommunizieren.The security module is used according to the in 2 described method steps in step 700 in the gateway 138 used. The gateway provides a corresponding with contacts for this purpose 604 provided receptacle for the security module 100 ready. About the contacts 604 can the processor 126 of the gateway 138 by means of the interface 118 communicate with the security module via its non-illustrated counterpart contacts.

Nach dem Einsetzen des Sicherheitsmoduls 100 in Schritt 700 erfolgt vorzugsweise in Schritt 702 ein mechanisches Verriegeln des Sicherheitsmoduls in dem Gateway 138. Dadurch ist es nicht mehr möglich, ohne Zerstörung der Kontakte 604 das Sicherheitsmodul nachträglich vom Gateway 138 zu entfernen. Damit ist automatisch auch die Kennung 108 des Sicherheitsmoduls dem Gateway 138 zugeordnet.After inserting the security module 100 in step 700 is preferably done in step 702 a mechanical locking of the security module in the gateway 138 , As a result, it is no longer possible without destroying the contacts 604 the security module later from the gateway 138 to remove. This is automatically the identifier 108 of the security module to the gateway 138 assigned.

Die Schritte 704 und 706 sind optional und könnten statt des mechanischen Verriegelungsprozesses oder zusätzlich hierzu verwendet werden. In Schritt 704 erfolgt die Inbetriebnahme des Gateways 138, wodurch automatisch in Schritt 706 ein Kopiervorgang der Kennung 108 von dem Sicherheitsmodul auf einen Speicherbereich 136 des Gateways 138 initiiert wird. Durch den Kopiervorgang wird eine Kopie 128 der Kennung 108 in dem Speicher 136 abgelegt. Der Kopiervorgang kann beispielsweise über Programminstruktionen 602 beim erstmaligen Inbetriebnehmen, d. h. Initiieren des Gateways 138 gesteuert werden.The steps 704 and 706 are optional and could be used instead of or in addition to the mechanical locking process. In step 704 the commissioning of the gateway takes place 138 , which automatically in step 706 a copy of the identifier 108 from the security module to a storage area 136 of the gateway 138 is initiated. The copy process becomes a copy 128 the identifier 108 in the store 136 stored. The copying process can be done, for example, via program instructions 602 when commissioning for the first time, ie initiating the gateway 138 to be controlled.

So ergibt sich durch die beschriebenen Schritte ein untrennbares Verbinden des Sicherheitsmoduls 100 mit dem Gateway 138, wobei nach dem Verbinden der Gateway durch die eindeutige Kennung 128 identifizierbar ist.This results in an inseparable connection of the security module by the steps described 100 with the gateway 138 , wherein after connecting the gateway by the unique identifier 128 is identifiable.

Die 3 zeigt ein Flussdiagramm eines Verfahrens zur Überprüfung einer Personalisierung einer Smart Meter Vorrichtung, im vorliegenden Fall des Gateways 138 aus 1. Z. B. kann das Modul 120 bei jedem Datenübermittlungsvorgang von Energieverbrauchsdaten an den Computer 166 über die Schnittstellen 118 und 116 in Schritt 800 eine Überprüfung durchführen, ob die Kennungen 128 und 108 identisch sind oder ob überhaupt eine Kennung 108 vorhanden ist. Würde nämlich das Sicherheitsmodul 100 durch ein anderes Sicherheitsmodul ausgetauscht werden, würden die Kennungen 128 und 108 nicht mehr übereinstimmen. Da die Kennung 128 vorzugsweise irreversibel im Speicher 136 gespeichert ist, kann durch den Austausch des Sicherheitsmoduls nicht ohne Weiteres die Kennung 128 durch eine andere ersetzt werden.The 3 shows a flowchart of a method for checking a personalization of a smart meter device, in this case the gateway 138 out 1 , For example, the module 120 at each data transfer process of energy consumption data to the computer 166 over the interfaces 118 and 116 in step 800 Make a check to see if the identifiers 128 and 108 are identical or if at all an identifier 108 is available. Would that be the security module 100 be replaced by another security module, the identifiers 128 and 108 no longer match. Because the identifier 128 preferably irreversible in the memory 136 is stored, can not easily by the replacement of the security module, the identifier 128 be replaced by another.

Die Überprüfung auf das Vorhandensein einer Kennung ist erforderlich, wenn lediglich eine untrennbare mechanische Verbindung zwischen Sicherheitsmodul und Gateway 138 besteht. Würde das Sicherheitsmodul entfernt werden, könnte eine Deaktivierung jener Funktion zur Abfrage der Kennung seitens des Gateways sicherstellen, dass der Gateway 138 keine Informationen mehr über jedwede Kennungen erhält. Dies entspricht dann dem Zustand des Nicht-Vorhandenseins einer Kennung.Checking for the presence of an identifier is required if only an inseparable mechanical connection between the security module and the gateway 138 consists. If the security module were to be removed, deactivating that function to query the identifier from the gateway could ensure that the gateway 138 no longer receives any information about any identifiers. This then corresponds to the state of non-existence of an identifier.

Wird in Schritt 802 festgestellt, dass die Kennungen identisch sind, springt das Verfahren zurück zu Schritt 800 und wird quasi in einer Schleife erneut, ggfs. zeitlich getriggert, durchgeführt. Will in step 802 If the identifiers are found to be identical, the process returns to step 800 and is quasi in a loop again, possibly time-triggered, carried out.

Wird hingegen in Schritt 802 festgestellt, dass die Kennung 108 entweder nicht vorhanden oder aber keine Identität zwischen den Kennungen 108 und 128 besteht, können die Schritte 804–808 durchgeführt werden. Schritt 804 umfasst dabei die Mitteilung des vermutlichen Vorliegens einer Manipulation oder Fehlfunktion an ein externes Computersystem, z. B. das System 166 in 1. Schritt 806 umfasst die teilweise Deaktivierung der Funktionen des Gateways, so dass insbesondere ein Energieversorger oder Messstellenbetreiber selbständig die Manipulation aufgrund z. B. fehlerhafter übermittelter Daten oder gar des Ausbleibens von Datenübermittlungen feststellen kann.Will, however, in step 802 found that the identifier 108 either missing or no identity between the identifiers 108 and 128 can pass the steps 804 - 808 be performed. step 804 This includes the notification of the probable presence of a manipulation or malfunction to an external computer system, eg. For example, the system 166 in 1 , step 806 includes the partial deactivation of the functions of the gateway, so that in particular an energy supplier or meter operator independently the manipulation due to z. B. erroneous transmitted data or even the absence of data transmission can determine.

Schritt 808 ist ebenfalls optional und umfasst das Ausgeben eines lokalen Signals am Gateway, so dass ein Benutzer optisch oder akustisch in der Lage ist, eine eingetretene teilweise Funktionsunfähigkeit zu erkennen. Ein an den Gateway 138 angeschlossener lokaler Computer des Endverbrauchers könnte ebenfalls mittels des Signals in Schritt 808 hierüber informiert werden.step 808 is also optional and involves outputting a local signal at the gateway so that a user is visually or acoustically able to detect a partial inoperability that has occurred. One to the gateway 138 Connected local computer of the end user could also by means of the signal in step 808 be informed about this.

Die 4 zeigt das Blockdiagramm der 1 in detaillierter Form. Zusammen mit den in 5 gezeigten Verfahrensschritten soll im Folgenden ohne der Beschränkung der Allgemeinheit gezeigt werden, wie ein Speicherbereich 136 eines Gateways 138, welcher einer Vielzahl von Smart-Metern 142, 144, 146, 148 zugeordnet ist, initialisiert werden kann. Dieser Initialisierungsprozess dient dabei in Verbindung mit der obig beschriebenen Personalisierung dazu, Endverbrauchern und Energieversorgern eine komfortable Möglichkeit der Kommunikation von Energieverbrauchsdaten in sicherer Weise zur Verfügung zu stellen. Durch den beschriebenen Initialisierungsvorgang kann in sicherer, eindeutiger und nachvollziehbarer Weise eine Möglichkeit bereitgestellt werden, welche eine sichere Kommunikation zwischen den Smart-Metern und einem autorisierten Marktteilnehmer wie einem Energieversorger oder einem Messstellenbetreiber ermöglicht. Vorzugsweise handelt es sich dabei bei dem beschriebenen Computersystem 150 um ein Computersystem einer vertrauenswürdigen Instanz, welche auch als „Trusted Service Manager” oder „TSM” bezeichnet wird.The 4 shows the block diagram of 1 in detailed form. Together with the in 5 The method steps shown below will be shown below without limiting the generality, such as a memory area 136 a gateway 138 , which is a variety of smart meters 142 . 144 . 146 . 148 is assigned, can be initialized. This initialization process, in conjunction with the personalization described above, serves to provide end users and utilities with a convenient way of communicating energy usage data in a secure manner. Through the described initialization process, a possibility can be provided in a secure, unambiguous and comprehensible manner which enables secure communication between the smart meters and an authorized market participant such as an energy supplier or a metering point operator. Preferably, this is the described computer system 150 a trusted instance computer system, also referred to as a trusted service manager or TSM.

Die Smart-Meter 142–148 dienen der Erfassung verschiedener Energieverbrauchswerte bezüglich zum Beispiel Gas (Smart-Meter 142), Wasser (Smart-Meter 144), Strom (Smart-Meter 146) und weiteren nicht näher spezifizierten Energieformen (Smart-Meter 148). Die Smart-Meter sind dabei über entsprechende Kommunikationsverbindungen 192 mit dem Interface 118 des Gateways 138 verbunden.The smart meter 142 - 148 serve to record various energy consumption values with respect to, for example, gas (smart meters 142 ), Water (smart meter 144 ), Electricity (smart meter 146 ) and other unspecified energy forms (smart meter 148 ). The smart meters are via appropriate communication links 192 with the interface 118 of the gateway 138 connected.

Es sei nun davon ausgegangen, dass das Sicherheitsmodul 100 bereits fest und untrennbar mit dem Gateway 138 verbunden ist, sodass insgesamt durch die Kombination des Gateways 138 und des Sicherheitsmoduls 100 eine untrennbare Einheit 140 gegeben ist. Der Gateway 138 und das Sicherheitsmodul 100 kommunizieren über jeweilige Interfaces 118 bzw. 116 miteinander. Über das Interface 116 findet ferner eine Kommunikation mit autorisierten Markteilnehmern und dritten Personen bzw. Instanzen statt, welche nicht innerhalb des durch die Einheit 140 und den Smart-Metern 142–148 gebildeten Netzwerks befindlich sind. Die Kommunikation zwischen Interface 116 des Sicherheitsmoduls 100 und weiteren Kommunikationsteilnehmern erfolgt dabei über eine Kommunikationsverbindung 190. Hierbei kann es sich beispielsweise um eine Powerline-Verbindung oder eine Kommunikationsverbindung über ein mobiles Telekommunikationsnetz oder das Internet handeln.It was now assumed that the security module 100 already fixed and inseparable from the gateway 138 connected, so in total by the combination of the gateway 138 and the security module 100 an inseparable unit 140 given is. The gateway 138 and the security module 100 communicate via respective interfaces 118 respectively. 116 together. About the interface 116 Furthermore, communication takes place with authorized market participants and third persons or entities, which are not within the scope of the entity 140 and the smart meters 142 - 148 formed network are located. The communication between interface 116 of the security module 100 and further communication participants takes place via a communication connection 190 , This may be, for example, a power line connection or a communication connection via a mobile telecommunications network or the Internet.

Das Sicherheitsmodul 100 hat einen elektronischen Speicher 102 mit geschütztem Speicherbereich 106 und 108. Der geschützte Speicherbereich 106 dient zur Speicherung eines privaten Schlüssels des Sicherheitsmoduls 100 und der Speicherbereich 108 dient zur Speicherung der Kennung des Sicherheitsmoduls „GUID” (Globally Unique Identifier). Bei dem GUID kann es sich beispielsweise um eine IPv6-Adresse des Sicherheitsmoduls 100 handeln.The security module 100 has an electronic memory 102 with protected storage area 106 and 108 , The protected memory area 106 is used to store a private key of the security module 100 and the storage area 108 is used to store the identifier of the security module "GUID" (Globally Unique Identifier). For example, the GUID may be an IPv6 address of the security module 100 act.

Der elektronische Speicher 102 kann ferner einen Speicherbereich 104 zur Speicherung eines Zertifikats aufweisen. Das Zertifikat beinhaltet einen öffentlichen Schlüssel, der dem in dem geschützten Speicherbereich 106 gespeicherten privaten Schlüssel zugeordnet ist. Das Zertifikat kann nach einem Public Key Infrastructure(PKI)-Standard erstellt worden sein, beispielsweise nach dem X.509-Standard .The electronic memory 102 may further include a memory area 104 to store a certificate. The certificate includes a public key similar to the one in the protected space 106 stored private key is assigned. The certificate may have been created according to a Public Key Infrastructure (PKI) standard, for example, the X.509 standard ,

Das Zertifikat muss nicht zwangsläufig mit dem elektronischen Speicher 102 des Sicherheitsmoduls 100 gespeichert sein. Alternativ oder zusätzlich kann das Zertifikat auch in einem öffentlichen Verzeichnisserver gespeichert sein.The certificate does not necessarily have to be with the electronic memory 102 of the security module 100 be saved. Alternatively or additionally, the certificate can also be stored in a public directory server.

Das Sicherheitsmodul 100 hat einen Prozessor 110 zur Ausführung von Programminstruktionen 112 und 114. Durch Ausführung der Programminstruktionen 112 „kryptografisches Protokoll” wird beispielsweise eine Authentifizierung einer vertrauenswürdigen Instanz 150 oder eines Energieversorgers 166 gegenüber dem Sicherheitsmodul 100 ermöglicht. Bei dem kryptografischen Protokoll kann es sich beispielsweise um ein Challenge-Response-Protokoll basierend auf einem symmetrischen Schlüssel oder einem asymmetrischen Schlüsselpaar handeln.The security module 100 has a processor 110 for executing program instructions 112 and 114 , By executing the program instructions 112 For example, "cryptographic protocol" is an authentication of a trusted entity 150 or an energy supplier 166 opposite the security module 100 allows. The cryptographic protocol may, for example, be a challenge-response protocol based on a symmetric key or an asymmetric key pair.

Möglich ist natürlich auch eine gegenseitige Authentifizierung von Sicherheitsmodul und vertrauenswürdiger Instanz bzw. Energieversorger. It is also possible, of course, mutual authentication of security module and trusted entity or energy supplier.

Die Programminstruktionen 114 dienen zur Ende-zu-Ende-Verschlüsselung von zwischen dem Sicherheitsmodul 100 und der vertrauenswürdigen Instanz 150 bzw. dem Energieversorger 166 zu übertragenden Daten. Für die Ende-zu-Ende-Verschlüsselung kann ein symmetrischer Schlüssel verwendet werden, der beispielsweise anlässlich der Ausführung des kryptografischen Protokolls zwischen dem Sicherheitsmodul 100 und den weiteren Teilnehmern 150 bzw. 166 vereinbart wird.The program instructions 114 serve for end-to-end encryption of between the security module 100 and the trusted instance 150 or the energy supplier 166 data to be transferred. For the end-to-end encryption, a symmetric key can be used, for example, when the cryptographic protocol is executed between the security module 100 and the other participants 150 respectively. 166 is agreed.

Ähnlich wie das Sicherheitsmodul 100 weist auch die vertrauenswürdige Instanz 150 den bereits beschriebenen elektronischen Speicher 152 und einen geschützten Speicherbereich 156 zur Speicherung eines privaten Schlüssels der vertrauenswürdigen Instanz auf. In dem Speicher 152 kann auch noch ein Zertifikat 154 der vertrauenswürdigen Instanz enthalten sein. Dieses Zertifikat kann jedoch ebenfalls auf einem zentralen Zertifikatserver gespeichert sein.Similar to the security module 100 also assigns the trusted instance 150 the electronic memory already described 152 and a protected storage area 156 to store a private key of the trusted instance. In the store 152 can also have a certificate 154 be included in the trusted instance. However, this certificate can also be stored on a central certificate server.

Ein Prozessor 158 der vertrauenswürdigen Instanz 150 weist wiederum die obig bezüglich des Sicherheitsmoduls 100 beschriebenen Programminstruktionen 112 und 114 zur Implementierung eines kryptografischen Protokolls und zur Durchführung einer Ende-zu-Ende-Verschlüsselung auf. Das kryptografische Protokoll und die Ende-zu-Ende-Verschlüsselung können zur Kommunikation über das Interface 164 mit dem Energieversorger 166 oder mit dem Sicherheitsmodul 100 verwendet werden. Das Zertifikat 154 beinhaltet wiederum einen öffentlichen Schlüssel, der dem in dem geschützten Speicherbereich 156 gespeicherten privaten Schlüssel zugeordnet ist.A processor 158 the trusted instance 150 again indicates the above with regard to the security module 100 described program instructions 112 and 114 to implement a cryptographic protocol and to perform end-to-end encryption. The cryptographic protocol and the end-to-end encryption can be used for communication via the interface 164 with the energy provider 166 or with the security module 100 be used. The certificate 154 in turn, contains a public key similar to the one in the protected storage area 156 stored private key is assigned.

Bei dem „Energieversorger” 166 handelt es sich um ein Computersystem des Energieversorgers, welches wiederum einen elektronischen Speicher 168 und einen Prozessor 178 aufweist. Ferner ist diesem Computersystem ein Interface 186 zugeordnet, über welches eine Kommunikation mit der vertrauenswürdigen Instanz 150 bzw. dem Sicherheitsmodul ermöglicht wird.At the "energy supplier" 166 it is a computer system of the energy supplier, which in turn has an electronic memory 168 and a processor 178 having. Furthermore, this computer system is an interface 186 assigned via which a communication with the trusted entity 150 or the security module is enabled.

Der elektronische Speicher 168 des Energieversorgers 166 weist einen geschützten Speicherbereich 172 mit einem privaten Schlüssel auf, wobei der private Schlüssel einem öffentlichen Schlüssel zugeordnet ist, welcher in einem Zertifikat 170 ebenfalls im elektronischen Speicher 168 enthalten ist. Ferner ist im Speicher 168 ein Speicherbereich für eine oder mehrere Anwendungen vorgesehen, wobei diese Anwendungen beispielsweise eine entgeltrelevante Konfiguration des Gateways 138 ermöglichen. Ebenfalls im elektronischen Speicher 168 können Messdaten 176 gespeichert sein, welche zuvor von dem Gateway 138 empfangen wurden.The electronic memory 168 of the energy supplier 166 indicates a protected storage area 172 with a private key, where the private key is associated with a public key, which is in a certificate 170 also in electronic memory 168 is included. Further, in memory 168 a memory area for one or more applications provided, these applications, for example, a fee-relevant configuration of the gateway 138 enable. Also in electronic memory 168 can measure data 176 stored previously by the gateway 138 were received.

Der Prozessor 178 weist Programminstruktionen 180 zur Erfassung der durch den Gateway 138 gelieferten Verbrauchsdaten und des Weiteren optional zur Ausführung von Verfahrensschritten zur Verbrauchsabrechnung in Abhängigkeit von den ermittelten Messdaten (Programminstruktionen 182) auf. Die Programminstruktionen zur Ausführung von Schritten eines kryptografischen Protokolls 112 sowie nicht gezeigte Programminstruktionen zur Durchführung einer Ende-zu-Ende-Verschlüsselung können ebenfalls vorgesehen sein, wobei durch diese Programminstruktionen eine sichere Kommunikation mit der vertrauenswürdigen Instanz 150 bzw. dem Sicherheitsmodul 100 ermöglicht wird.The processor 178 has program instructions 180 to capture the through the gateway 138 optionally supplied for consumption billing in dependence on the determined measurement data (program instructions 182 ) on. The program instructions for performing steps of a cryptographic protocol 112 Program instructions (not shown) for carrying out an end-to-end encryption may also be provided, whereby these program instructions provide secure communication with the trustworthy entity 150 or the security module 100 is possible.

Soll nun ein Neukunde dem Energieversorger 166 zugeordnet werden, könnte beispielsweise nach einer ersten Installation der Smart-Meter 142–148 und der Bereitstellung von Gateway 138 mit Sicherheitsmodul 102 ein Initialisierungsvorgang des Sicherheitsmoduls stattfinden. Dieser Initialisierungsvorgang könnte dadurch angestoßen werden, dass der Neukunde (ein Endverbraucher) oder eine bestimmte technische Instanz, welche die Smart-Meter installiert hatte, dem Energieversorger 166 eine entsprechende Mitteilung hierüber erstatten. Diese Mitteilung sollte vorzugsweise die GUID 108 des Sicherheitsmoduls 100 umfassen, da dadurch eine eindeutige Identifizierung des Sicherheitsmoduls 100 gegenüber dem Energieversorger 166 möglich ist.Should now a new customer to the energy supplier 166 For example, after a first installation of the smart meter could be assigned 142 - 148 and the deployment of Gateway 138 with security module 102 an initialization process of the security module take place. This initialization process could be triggered by the fact that the new customer (an end user) or a specific technical entity who had installed the smart meter, the power utility 166 to report accordingly. This message should preferably be the GUID 108 of the security module 100 include, as a result, a clear identification of the security module 100 opposite the utility 166 is possible.

Nachdem der Energieversorger 166 diese Mitteilung über sein Interface 186, beispielsweise über eine Webschnittstelle einer entsprechende Webseite erhalten hat, baut der Energieversorger 166 einen Kommunikationskanal zur vertrauenswürdigen Instanz 150 auf. Dieser Schritt ist in 5 mit Bezugszeichen 200 bezeichnet. Die vertrauenswürdige Instanz kann hierbei beispielsweise ein sogenannter „Trusted Service Manager TSM” sein, also eine behördlich zertifizierte Instanz, welche in elektronischen Kommunikationsprozessen die jeweilige Identität des Kommunikationspartners bescheinigt.After the energy provider 166 this message about his interface 186 , For example, has received a web page of a corresponding website, builds the energy supplier 166 a communication channel to the trusted entity 150 on. This step is in 5 with reference number 200 designated. In this case, the trustworthy entity can be, for example, a so-called "Trusted Service Manager TSM", ie an officially certified entity which certifies the respective identity of the communication partner in electronic communication processes.

Nach dem Aufbau des Kommunikationskanals in Schritt 200 erfolgt eine Authentifizierung des Energieversorgers 166 im Schritt 202. Hierzu wird das Zertifikat 170 des Energieversorgers durch die vertrauenswürdige Instanz 150 überprüft. Beispielsweise kann die vertrauenswürdige Instanz 150 bei positiver Zertifikatsüberprüfung ein Challenge-Response-Verfahren durchführen, bei welchem eine Zufallszahl erzeugt wird, welche mit einem im Zertifikat 170 beinhalteten öffentlichen Schlüssel des Energieversorgers 166 verschlüsselt wird und an den Energieversorger 166 übermittelt wird. Der Energieversorger 166 kann daraufhin mit seinem privaten Schlüssel 172 die Zufallszahl entschlüsseln und im Klartext zurücksenden. Stimmt die nun von der vertrauenswürdigen Instanz 150 empfangene Zufallszahl mit der zuvor beschriebenen Zufallszahl überein, ist die Authentizität des Energieversorgers 166 tatsächlich gesichert.After establishing the communication channel in step 200 an authentication of the energy supplier takes place 166 in step 202 , This is the certificate 170 of the utility by the trusted authority 150 checked. For example, the trusted instance 150 if the certificate is valid, carry out a challenge-response procedure in which a random number is generated, which is one in the certificate 170 included public key of the utility company 166 is encrypted and sent to the utility company 166 is transmitted. The energy provider 166 can then with his private key 172 decode the random number and send it back in plain text. That's right from the trustworthy instance 150 received random number with the random number described above, is the authenticity of the utility 166 actually secured.

Nach Durchführung des Schritts 202 und dem optionalen Challenge-Response-Verfahren kann daraufhin in Schritt 204 ein Kanal mit Ende-zu-Ende-Verschlüsselung über die Kommunikationsverbindung 188 zwischen Energieversorgung 166 und der vertrauenswürdigen Instanz 150 aufgebaut werden. Hierbei können die Programminstruktionen 114 des Prozessors 158 der vertrauenswürdigen Instanz zum Einsatz kommen.After completion of the step 202 and the optional challenge-response method may then in step 204 a channel with end-to-end encryption over the communication link 188 between energy supply 166 and the trusted instance 150 being constructed. Here are the program instructions 114 of the processor 158 the trusted instance are used.

Nach Aufbau des Kanals in Schritt 204 empfängt die vertrauenswürdige Instanz 150 in Schritt 206 eine Anforderung zum Aufspielen einer Energieerfassungsanwendung 174 des Energieversorgers 166 und dem Speicher 136 des Gateways 138. Um den Speicher 136 bzw. den Gateway 138 eindeutig zu spezifizieren, wird mit der Anforderung zur Initialisierung des Speichers 136 auch die GUID 128 des Gateways 138, welche im Speicher 136 enthalten ist, an die vertrauenswürdige Instanz übermittelt. Vorzugsweise ist die GUID 128 des Speichers 136 identisch mit der GUID 108 des Speichers 102 des Sicherheitsmoduls 100.After building the channel in step 204 receives the trusted instance 150 in step 206 a request to upload an energy collection application 174 of the energy supplier 166 and the memory 136 of the gateway 138 , To the memory 136 or the gateway 138 to uniquely specify is with the request to initialize the memory 136 also the GUID 128 of the gateway 138 which in the store 136 is sent to the trusted entity. Preferably, the GUID 128 of the memory 136 identical to the GUID 108 of the memory 102 of the security module 100 ,

Mit Empfang der GUID in Schritt 206 ist die vertrauenswürdige Instanz 150 in der Lage, eindeutig den gewünschten Gateway 138 zur Aufspielung der Anwendung 174 zu adressieren. Hierzu baut in einem nächsten Schritt 208 die vertrauenswürdige Instanz 150 über die Kommunikationsverbindung 190 einen Kommunikationskanal zum Sicherheitsmodul 100 auf. Die vertrauenswürdige Instanz 150 authentifiziert sich gegenüber dem Sicherheitsmodul 100, wobei die Authentifizierung nebst einer Überprüfung des Zertifikats 154 durch das Sicherheitsmodul beispielsweise wiederum ein Challenge-Response-Verfahren seitens des Sicherheitsmodul 100 umfasst. Hierzu könnte das Sicherheitsmodul 100 wiederum eine Zufallszahl erzeugen, mit dem öffentlichen Schlüssel der vertrauenswürdigen Instanz 150 verschlüsseln und an die vertrauenswürdige Instanz 150 senden. Die vertrauenswürdige Instanz 150 würde die verschlüsselte Zufallszahl mit ihrem privaten Schlüssel 156 entschlüsseln und die entschlüsselte Zufallszahl im Klartext zurück an das Sicherheitsmodul 100 senden. Stellt das Sicherheitsmodul fest, dass die so empfangene entschlüsselte Zufallszahl mit der ursprünglich seinerseits verschlüsselten Zufallszahl übereinstimmt, ist eine Authentifizierung der vertrauenswürdigen Instanz gegeben.Receiving the GUID in step 206 is the trustworthy instance 150 able to clearly identify the desired gateway 138 for recording the application 174 to address. For this builds in a next step 208 the trusted instance 150 over the communication connection 190 a communication channel to the security module 100 on. The trusted instance 150 authenticates to the security module 100 , wherein the authentication and a verification of the certificate 154 by the security module, for example, again a challenge-response procedure by the security module 100 includes. This could be the security module 100 generate a random number again with the public key of the trusted instance 150 encrypt and send to the trusted instance 150 send. The trusted instance 150 would encrypt the random number with her private key 156 decrypt and the decrypted random number in plain text back to the security module 100 send. If the security module determines that the thus-received decrypted random number matches the originally encrypted random number, authentication of the trustworthy entity is given.

Das Verfahren setzt sich dann in Schritt 212 fort, nämlich den Aufbau eines Kommunikationskanals mit Ende-zu-Ende-Verschlüsselung zwischen der vertrauenswürdigen Instanz 150 und dem Sicherheitsmodul 100. Dies kann wiederum durch Verwendung der Programminstruktionen 114 des Prozessors 110 des Sicherheitsmoduls 100 erfolgen.The process then sets in step 212 that is, establishing a communication channel with end-to-end encryption between the trusted entity 150 and the security module 100 , This in turn can be done by using the program instructions 114 of the processor 110 of the security module 100 respectively.

Im Schritt 214 empfängt das Sicherheitsmodul 100 die Energieerfassungsanwendung 174 von der vertrauenswürdigen Instanz.In step 214 receives the security module 100 the energy detection application 174 from the trusted instance.

An dieser Stelle sei angemerkt, dass es vorteilhaft sein kann, wenn beispielsweise die vertrauenswürdige Instanz die am häufigsten verschickten Energieerfassungsanwendungen in einem lokalen Speicher der vertrauenswürdigen Instanz vorrätig hält, sodass es nicht notwendig ist, bei Erschließung neuer Kunden ständig die Anwendungen 174 von dem Energieversorger 166 an die vertrauenswürdige Instanz 150 zu übertragen.It should be noted here that it may be advantageous, for example, for the trusted entity to stock the most frequently sent energy-sensing applications in a trusted instance's local store so that it is not necessary to continually open the applications as new customers are opened up 174 from the utility company 166 to the trusted instance 150 transferred to.

Nach Empfang der Energieerfassungsanwendung in Schritt 214 speichert das Sicherheitsmodul 100 die Anwendung in dem Speicher 136 des Gateways 138. Handelt es sich bei der Anwendung 174 beispielsweise um eine Anwendung, um Energieverbrauch bezüglich Wasser und Strom zu erfassen, so wird die Anwendung als die Anwendung 132 im Speicher 136 abgelegt. Diese Anwendung ist in der Lage, Energieverbrauchsdaten vom Smart-Meter 144 zu verarbeiten. Analog hierzu kann der Speicher 136 entsprechende Anwendungen für die Energieerfassung von Gas (134) sowie weitere Anwendungen 130 für die Erfassung weiterer Energieformen umfassen. Das Speichern der Energieerfassungsanwendung durch das Sicherheitsmodul 100 im Gateway 138 ist in 2 durch den Schritt 216 gekennzeichnet.Upon receipt of the energy collection application in step 214 saves the security module 100 the application in the store 136 of the gateway 138 , Is it the application 174 For example, for an application to capture power consumption in terms of water and power, the application will be considered as the application 132 In the storage room 136 stored. This application is capable of energy consumption data from the smart meter 144 to process. Analogous to this, the memory 136 corresponding applications for the energy capture of gas ( 134 ) as well as other applications 130 for the capture of other forms of energy. Storing the energy collection application by the security module 100 in the gateway 138 is in 2 through the step 216 characterized.

Zusätzlich zu dem Empfang der Energieerfassungsanwendung in Schritt 214 durch das Sicherheitsmodul 100 ist es auch möglich, dass von der vertrauenswürdigen Instanz 150 Energieversorger-spezifische Berechtigungen oder genaue Spezifizierungen von Netzdatenelementen empfangen werden, welche ebenfalls in einem weiteren Bereich 125 des Speichers 136 abgelegt werden. Diese Berechtigungen oder Spezifizierungen von Messdatenelementen ermöglichen es, im Voraus festzulegen, welche Informationen der Energieversorger 166 von dem Gateway 138 überhaupt erhalten darf. Hierzu ist es beispielsweise möglich, dass vorab von der vertrauenswürdigen Instanz 150 für jeden Energieversorger spezifische Berechtigungen definiert werden, welche global für alle Energieversorger 166 gelten und welche grundsätzlich mit der Übertragung von Energieerfassungsanwendungen dem Sicherheitsmodul und damit dem Gateway 138 übermittelt werden.In addition to receiving the energy detection application in step 214 through the security module 100 It is also possible that from the trusted instance 150 Power provider-specific entitlements or precise specifications of network data elements are received, which are also in another area 125 of the memory 136 be filed. These authorizations or specifications of measured data elements make it possible to determine in advance which information the energy supplier has 166 from the gateway 138 may receive at all. For this it is possible, for example, that in advance by the trusted entity 150 for each energy supplier specific permissions are defined which are global for all utilities 166 apply and which in principle with the transmission of energy detection applications the security module and thus the gateway 138 be transmitted.

Ebenfalls möglich ist es, dass Konfigurationsdaten von der vertrauenswürdigen Instanz 150 erhalten werden. Diese Konfigurationsdaten können dabei die technische Konfiguration der Smart Meter und/oder des Gateways betreffen.It is also possible that configuration data from the trusted instance 150 to be obtained. This configuration data may relate to the technical configuration of the smart meter and / or the gateway.

Mittels der Programminstruktionen zur Datenerfassung 122 des Prozessors 126 ist nun der Gateway 138 in der Lage, Messdaten bezüglich eines Energieverbrauchs beispielsweise von dem Smart-Meter 144 und dem Smart-Meter 146 zu erfassen. Die entsprechenden Messdaten werden in dem Speicherbereich 124 des Speichers 136 abgelegt. Grundsätzlich bestehen die Messdaten 124 aus verschiedenen Messdatenelementen, welche beispielsweise umfassen können: Zeitpunkt der Erfassung der Messdaten, einzelne Messdatenpunkte zum jeweiligen Zeitpunkt, Informationen über das Zustandekommen der Messdaten (zum Beispiel Stromstärke, Spannung, Wasserdruck, Wassertemperatur, Gasdruck). Die Messdaten 124 können über die Anwendungen 130, 132 und 134 einer weiteren Auswertung unterzogen werden, woraus sich ausgewertete Messdaten ergeben, welche ebenfalls als „Messdatenelemente” im Speicherbereich 124 abgelegt werden können. Beispielsweise kann es sich bei den ausgewerteten Messdaten um akkumulierte Energieverbrauchswerte handeln.By means of the program instructions for data acquisition 122 of the processor 126 is now the gateway 138 capable of measuring data relating to energy consumption, for example, from the smart meter 144 and the smart meter 146 capture. The corresponding measurement data are in the memory area 124 of the memory 136 stored. Basically, the measurement data exists 124 from various measurement data elements, which may include, for example: time of acquisition of the measurement data, individual measurement data points at the respective time, information on the occurrence of the measurement data (for example, current, voltage, water pressure, water temperature, gas pressure). The measured data 124 can about the applications 130 . 132 and 134 be subjected to a further evaluation, resulting in evaluated measurement data, which also as "measured data elements" in the memory area 124 can be stored. For example, the evaluated measurement data may be accumulated energy consumption values.

Die obig beschriebenen Berechtigungen 125 bzw. die Spezifizierungen der Messdatenelemente ermöglichen es, von vornherein festzulegen, welche dieser Messdatenelemente 124 der Energieversorger 126 überhaupt abrufen darf. Ferner ermöglicht dies, von vornherein festzulegen, wie detailliert ein solches Abrufen erlaubt ist. Ein so detailliertes und zeitgenaues Abrufen der Messdaten 124 könnte dabei unerwünscht sein, da sich durch kurze Zeitintervalle von Messungen Erkenntnisse der Nutzung von elektronischen Geräten gewinnen und dadurch Benutzerprofile erstellt werden können, woran ein Endkunde jedoch gegebenenfalls kein Interesse haben könnte.The permissions described above 125 or the specifications of the measured data elements make it possible to determine from the outset which of these measured data elements 124 the energy provider 126 may call at all. Furthermore, this makes it possible to determine in advance how much such retrieval is permitted. Such a detailed and timely retrieval of the measured data 124 This could be undesirable, since knowledge of the use of electronic devices gain by short time intervals of measurements and thus user profiles can be created, to which an end customer may not be interested.

Wie bereits oben erwähnt, sind das Sicherheitsmodul 100 und der Gateway 138 untrennbar miteinander verbunden. Beispielsweise bilden diese eine bauliche Einheit 140, wie dies in 1 schematisch gezeigt ist. Um diese Einheit 140 zu erzeugen, könnten die in dem Flussdiagramm der 4 nochmals vereinfacht erläuterten Verfahrensschritte durchgeführt werden.As mentioned above, the security module 100 and the gateway 138 inseparable. For example, these form a structural unit 140 like this in 1 is shown schematically. To this unit 140 that could be generated in the flowchart of FIG 4 simplified again explained method steps are performed.

In Schritt 400 wird zunächst das Sicherheitsmodul 100 bereitgestellt. Daraufhin erfolgt in Schritt 402 das Speichern von Schlüsselmaterial und von Zertifikaten in dem Sicherheitsmodul. Beispielsweise könnte hierzu das Sicherheitsmodul eine entsprechende kryptografische Einheit aufweisen, mittels welcher selbständig der private Schlüssel 106 erzeugt wird. Alternativ ist es auch möglich, dass die vertrauenswürdige Instanz den privaten Schlüssel erzeugt und in dem Sicherheitsmodul in einem von außen nicht zugänglichen Speicherbereich ablegt. Der zu dem privaten Schlüssel gehörende öffentliche Schlüssel wird dem Zertifikat beigelegt, welches dann durch die vertrauenswürdige Instanz signiert wird und in dem Speicher 102 des Sicherheitsmoduls abgelegt wird.In step 400 first becomes the security module 100 provided. This is done in step 402 storing key material and certificates in the security module. For example, for this purpose, the security module could have a corresponding cryptographic unit, by means of which independently the private key 106 is produced. Alternatively, it is also possible for the trustworthy entity to generate the private key and store it in the security module in a storage area that is not accessible from the outside. The public key belonging to the private key is attached to the certificate, which is then signed by the trusted entity and in the memory 102 of the security module is stored.

Daraufhin wird das Sicherheitsmodul in Schritt 404 in das Gateway beispielsweise in Form einer Chipkarte eingesetzt und es wird ein untrennbares Verbinden von Sicherheitsmodul und Gateway vorgenommen. Beispielsweise könnten Sicherheitsmodul und Gateway elektronisch so aneinander gekoppelt werden, dass ein Entfernen des Sicherheitsmoduls vom Gateway zum automatischen Zerstören des Sicherheitsmoduls führen würde.The security module will then step in 404 used in the gateway, for example in the form of a smart card and it is made an inseparable connection of security module and gateway. For example, security module and gateway could be electronically coupled to each other such that removal of the security module from the gateway would result in automatic destruction of the security module.

Nach Einsetzen des Sicherheitsmoduls in den Gateway 404 erfolgt im Schritt 406 eine automatische logische Verknüpfung von Sicherheitsmodul 100 und Gateway 138. Beispielsweise könnte dies dadurch erfolgen, dass die GUID 108 des Sicherheitsmoduls irreversibel in den Speicher 136 des Gateways 138 als GUID 128 geschrieben wird. Hierbei sollte seitens zum Beispiel des Sicherheitsmoduls 100 sichergestellt sein, dass eine Kommunikation mit dem Gateway 138 zur Bereitstellung von Messdatenelementen und über den Energieversorger 166 nur dann stattfindet, wenn eine Identität der GUID 108 und 128 gegeben ist.After inserting the security module in the gateway 404 done in step 406 an automatic logical link of security module 100 and gateway 138 , For example, this could be done by using the GUID 108 of the security module irreversibly in the memory 136 of the gateway 138 as a GUID 128 is written. This should be done on the part of, for example, the security module 100 Be sure to communicate with the gateway 138 for the provision of measured data elements and via the energy supplier 166 only takes place if an identity of the GUID 108 and 128 given is.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

100100: Sicherheitsmodulsecurity module
102102: SpeicherStorage
104104: Zertifikatcertificate
106106: privater Schlüsselprivate key
108108: GUIDGUID
110110: Prozessorprocessor
112112: kryptographisches Protokollcryptographic protocol
114114: Ende-zu-Ende-VerschlüsselungEnd-to-end encryption
116116: Interfaceinterface
118118: Interfaceinterface
120120: Datenübermittlungdata transmission
122122: Datenerfassungdata collection
124124: Messdatenmeasurement data
125125: Berechtigungauthorization
126126: Prozessorprocessor
128128: GUIDGUID
130130: Anwendungapplication
132132: Anwendungapplication
134134: Anwendungapplication
136136: SpeicherStorage
138138: SpeicherStorage
140140: Einheitunit
142142: Smart-MeterSmart meter
144144: Smart-MeterSmart meter
146146: Smart-MeterSmart meter
148148: Smart-MeterSmart meter
150 150: vertrauenswürdige Instanztrusted instance
152152: SpeicherStorage
154154: Zertifikatcertificate
156156: privater Schlüsselprivate key
158158: Prozessorprocessor
164164: Interfaceinterface
166166: Energieversorgerutilities
168168: SpeicherStorage
170170: Zertifikatcertificate
172172: privater Schlüsselprivate key
174174: Anwendungapplication
176176: Messdatenmeasurement data
178178: Prozessorprocessor
180180: Datenerfassungdata collection
182182: Verbrauchsabrechnungconsumption billing
186186: Interfaceinterface
188188: Kommunikationsverbindungcommunication link
190190: Kommunikationsverbindungcommunication link
192192: Kommunikationsverbindungcommunication link
600600: Netzwerknetwork
602602: Modulmodule
604604: Anschlüsseconnections

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

Guideline of BSI TR-03109 [0005]
X.509 standard [0028]
X.509 standard [0059]

Claims

Method for personalizing a smart meter device ( 138 ; 142 ; 144 ; 146 ; 148 ) with a security module, whereby the security module ( 100 ) as the communication interface of the device ( 138 ; 142 ; 144 ; 146 ; 148 ) with an external computer system ( 166 ; 150 ), wherein in the security module ( 100 ) a unique identifier ( 108 ), the method being an inseparable connection of the security module ( 100 ) with the device ( 138 ; 142 ; 144 ; 146 ; 148 ), after connecting the device ( 138 ; 142 ; 144 ; 146 ; 148 ) by the unique identifier ( 108 ) is identifiable.

Method according to claim 1, wherein the inseparable connection of the security module ( 100 ) with the device ( 138 ; 142 ; 144 ; 146 ; 148 ) comprises a mechanical connection.

The method of claim 2, wherein the mechanical connection is such that a subsequent removal of the security module ( 100 ) of the device ( 138 ; 142 ; 144 ; 146 ; 148 ) to an at least partial inability of the device ( 138 ; 142 ; 144 ; 146 ; 148 ) and / or the security module ( 100 ) leads.

The method of claim 3, wherein the partial malfunctioning is a permanent failure of the communication capability of the device ( 138 ; 142 ; 144 ; 146 ; 148 ) with the external computer system ( 166 ; 150 ).

Method according to one of the preceding claims 3-4, wherein the partial inability to function is due to a mechanical destruction of the device ( 138 ; 142 ; 144 ; 146 ; 148 ) and / or the security module ( 100 ) results due to the subsequent removal.

Method according to one of the preceding claims 3-5, wherein the subsequent removal of an electronic deactivation process on the device ( 138 ; 142 ; 144 ; 146 ; 148 ) and / or the security module ( 100 ), the partial inability resulting from the deactivation process.

Method according to one of the preceding claims, wherein due to the connection of the security module ( 100 ) with the device ( 138 ; 142 ; 144 ; 146 ; 148 ) a linking process on the device ( 138 ; 142 ; 144 ; 146 ; 148 ) and / or the security module ( 100 ), whereby the inseparable connection of the security module ( 100 ) with the device ( 138 ; 142 ; 144 ; 146 ; 148 ) as a result of the linking process a logical link of the security module ( 100 ) with the device ( 138 ; 142 ; 144 ; 146 ; 148 ).

The method of claim 7, wherein the linking process comprises: - transmitting the identifier ( 108 ) of the security module ( 100 ) to the device ( 138 ; 142 ; 144 ; 146 ; 148 ), - Irreversible storage by the device ( 138 ; 142 ; 144 ; 146 ; 148 ) received identifier ( 108 ) in the device ( 138 ; 142 ; 144 ; 146 ; 148 ).

Method according to claim 8, wherein the transmission of the identifier ( 108 ) at the time of the first commissioning of the security module ( 100 ) connected device ( 138 ; 142 ; 144 ; 146 ; 148 ) automatically.

Method according to one of the preceding claims 7-9, wherein the identifier ( 108 ) of the security module ( 100 ) and / or the irreversibly stored identifier ( 128 ) subsequently can not be changed.

Method according to one of the preceding claims 7-10, wherein after connecting the security module ( 100 ) with the device ( 138 ; 142 ; 144 ; 146 ; 148 ) a regular check is made, whether the security module ( 100 ) stored identifier ( 108 ) with the in the device ( 138 ; 142 ; 144 ; 146 ; 148 ) stored identifier ( 108 ) is identical, whereby in the case of a lack of identity, a message to the external computer system ( 166 ; 150 ) and / or an electronic deactivation process on the device ( 138 ; 142 ; 144 ; 146 ; 148 ) and / or the security module ( 100 ) is started, whereby a partial inability of the device ( 138 ; 142 ; 144 ; 146 ; 148 ) and / or the security module ( 100 ) results from the deactivation process.

Method according to one of the preceding claims, wherein the device is a smart meter ( 142 ; 144 ; 146 ; 148 ) or a smart meter gateway ( 138 ).

Method according to one of the preceding claims, wherein the security module ( 100 ) is a chip card.

Method according to one of the preceding claims, wherein the identifier ( 108 ) to a public key of the security module ( 100 ) and / or an IPv6 address of the security module ( 100 ).

Computer program product with instructions executable by a processor for carrying out the method steps according to one of the preceding claims.

Security module ( 100 ) for use in a method according to any one of the preceding claims 1-14.

Smart meter device ( 138 ; 142 ; 144 ; 146 ; 148 ) for receiving a security module ( 100 ) according to claim 16.