初始化智能表之存储区的方法
【专利摘要】本发明公开了一种初始化存储区(136)的方法,其中,该存储区(136)分配给智能表(142、144、146、148),该方法包括以下步骤:在第一计算机系统(150)和安全模块(100)之间建立第一通讯通道,其中,所述安全模块(100)分配给存储区(136);针对安全模块(100)认证第一计算机系统(150);在针对安全模块(100)成功地认证了第一计算机系统(150)后,通过安全模块(100)借助安全传输,从第一计算机系统(150)接收数据,并将其存储到存储区(136),用于对存储区(136)执行初始化过程。
【专利说明】初始化智能表之存储区的方法
【技术领域】
[0001] 本发明涉及一种初始化分配给智能表的存储区的方法、一种计算机程序产品、一 种安全模块、以及一种用于初始化分配给智能表的存储区的计算机系统。
【背景技术】
[0002] "智能抄表"一般可以理解为,客户安装电能消耗抄表仪器,除了可以简单地例如 通过网络抄读消耗的电量外,还可以为客户或者供电公司提供其它的功能。
[0003] 通过智能表(智能电表),客户可以实时得知实际的能源消耗。此处术语"能源消 耗",可以理解为客户在家或者在公司所消耗的任何一种能源的数量。能源形式除了电、水、 气之外,还可以是任意其它的能源形式,例如集中供暖。
[0004] 为了抄读能量消耗量,可以在各个消费者处安装智能测量系统,也叫智能计数器, 或者"智能表"。智能表就是能源消耗计数器。消费者可以是自然人或者法人,消耗各种可 测量的能源,例如电、气,水或者热能。使用智能电表的目的是使用智能测量系统根据总需 要和电网负荷收取可变的费用,由此可以更好地使用网络。
[0005] 根据BSI TR-03109技术规范,所谓的智能表网关也称为集中单元,它用来作为中 央通讯单元,可以与一个或者多个智能表通讯。为此,网关在"家庭区域网络(Home Area Network)"和"广域网络(Wide Area Network)"与设备进行通讯。家庭区域网络包括所有 与网关连接的智能表以及消费者的私人计算单元。私人计算单元用于生成由智能表抄读到 的实际能源消耗值的相关信息。广域网络则可用于网关与授权市场参与者之间的通讯。例 如,网关可以将智能表的所有数据收集起来,并将其提供给一个上级收集单位,例如能源供 应商或者测量单位操作员。
【发明内容】
[0006] 本发明的目的就是提供一种用于初始化分配给智能表的存储区的方法、一种计算 机程序产品、一种安全模块、以及一种用于初始化分配给智能表的存储区的计算机系统。
[0007] 本发明的独立权利要求提供了实现上述发明目的的技术方案,而从属权利要求则 给出了本发明的优选实施方式。
[0008] 本发明提供了一种用于初始化分配给智能表的存储区的方法,该方法包括在第一 计算机系统和分配给存储区的安全模块之间建立第一通讯通道的步骤。另外,该方法还包 括针对安全模块认证第一计算机系统的步骤,在针对安全模块成功地认证了第一计算机系 统后,通过安全模块借助安全传输(受保护的传输)从第一计算机系统接收数据,并将其存 储到存储区,用于对存储区执行初始化过程。
[0009] 本发明的【具体实施方式】具有如下优点:通过初始化过程,能以更安全、更明确、更 可实施的方式,实现智能表和授权的市场参与者(例如能源供应商或者测量单位操作员) 之间的安全通讯。第一计算机系统优选是可信赖单位的计算机系统,也可称为"信任中心 (Trust Center)"或者"可信服务管理平台(Trusted Service Manager)"或者"可信服务 管理(TSM) "。
[0010] 此处,安全模块在其发货状态优选可以设置成,只有可信赖单位在成功通过认证 后才能与安全模块进行通讯。由此保证只托付这些单位来设置智能表中与费用相关的配 置,这些单位可以是授权的市场参与者,例如测量单位操作员和能源供应商本身;同样,终 端消费者也可以设为可信赖的对象。"与费用相关的配置"可作如下理解:通过智能表的这 种配置,确定谁有权计算由智能表抄读到的能源数量;另外,由此也可以确定,哪些人(例 如终端消费者和授权的市场参与者)可以使用智能表哪些范围内的功能以及信息。因为这 些设置都是由可信赖单位单方面执行的,从而保证排除未授权第三方非法使用这些功能和 信息。上述信息包括:例如智能表的地点信息、由智能表测量到的数值、存储区的地点信息 或者存储区中包含的数值。
[0011] 将接收到的数据存储到存储区,用于对存储区执行初始化过程,这样就可以规定 分配给这个存储区的一个或者多个智能表向谁报告抄读的能源量,以什么样的时间方案去 检查并抄读消耗能源量,允许授权市场参与者得到和/或查询智能表的哪些信息或者"属 性"。另外,由此还可以确定,终端消费者可以读取信息到何种程度,信息可以是关于智能 表的,也可以是存储在智能表中的,或者是分配给智能表的仪器上的,例如网关或者安全模 块。
[0012] 总体来讲,本发明的【具体实施方式】的优点在于,它保证了存储的关于智能表的数 据"配置数据"特别大程度的可信度,同时也为终端消费者以及测量单位操作员和能源供应 商最大尺度地保护由智能表抄读的测量数据。
[0013] 根据本发明一【具体实施方式】,通过点对点的加密在第一计算机系统和安全模块之 间建立了安全传输。这使得安全模块和第一计算机系统可以通过任意网络建立连接,在点 对点加密的基础上,通过此连接传输的数据不会被第三方接受或更改。一般来说,本发明可 以通过任意形式的网络实现第一计算机系统和安全模块之间的所有通讯。这包括通过因特 网实现的通讯,通过无线网络连接例如移动网络所实现的通讯,还有通过可携带的频率设 备实现的通讯。另外还可以是"电力网数据传输",其通过现有通讯网络或者电力网络来进 行数据传输的设备。
[0014] 根据本发明另一【具体实施方式】,借助第一计算机系统的第一证书,针对安全模块 来认证第一计算机系统。在第一计算机系统执行可写指令前,安全模块可以凭借第一证书 检验,第一计算机系统是否具有所必须的可写存储区的资格权利。
[0015] 根据本发明一【具体实施方式】,验证包含口令/应答方法,例如可以使用以对称密 钥或者非对称密钥对为基础的密码协议,来执行第一计算机系统针对安全模块的认证。
[0016] 根据本发明一【具体实施方式】,或者存储区和安全模块包含在智能表本身中,或者 存储区和安全模块包含在智能表的网关中,其中,智能表连接到智能表网关。例如,智能表 和智能表网关通过无线和/或有线通讯连接而相互连接。
[0017] 此外,在任何情况下,存储区都用于长期存储如证书和密钥一样的数据,它保证使 用智能表的终端客户和分配给这些智能表的能源供应商或者测量单位操作员之间可靠、安 全的数据交换是长期受保护的。
[0018] 特别是当存储区包含在智能表网关里时,其优点在于可以设置一个单独的中央单 元,它为智能表一智能表网关网络外的参与方的任意通讯准备了一个单独的中央通讯接 □。
[0019] 根据本发明一【具体实施方式】,智能表分配了配置数据,用来运行智能表和/或网 关。配置数据可以保存在存储区内。此处,配置数据可以理解为各种类型的数据,用来设置 智能表和/或网的运营状态。配置数据包括抄读数据的方式方法,例如定时抄读测量数据、 评价测量数据、集合测量数据、转换测量数据、以及针对智能表和网关的带有地点说明的数 据。
[0020] 根据本发明一【具体实施方式】,智能表可以抄读与能源消耗相关的测量数据。"测量 数据"理解为以由智能表测量出的、以能源消耗值为基础而得出的各种数据。它包括,例如 能源消耗测量数据的抄读时间、各个时间点的单个测量数据点、测量数据发生时的信息,例 如电流强度、电压、水压、水温、气压等。
[0021] 根据本发明一【具体实施方式】,从第一计算机系统接收到的数据包含测量数据的说 明和/或配置数据,通过这些数据将授予能源供应商和/或测量单位操作员读取资料的资 格。
[0022] 通过为能源供应商和/或测量单位操作员准备这样的资格证可以事先规定,能源 供应商和/或测量单位操作员允许读取或者抄读哪些测量数据和/或配置数据,由此保证 高规格的数据保护。接受这样的数据保护计划的条件是,可信任单位,也就是第一计算机系 统授予读取资格。
[0023] 根据本发明一【具体实施方式】,本发明的方法还包括在能源供应商或者测量单位操 作员的第二权利系统和安全模块之间建立第二通讯通道的步骤。借助第二证书和安全模块 的第三证书,第二计算机系统和安全模块之间进行相互验证。双方相互成功认证后,至少部 分地将带有数据说明的测量数据和/或配置数据由安全模块经安全传输发送给第二计算 机系统。可以替代或者补充的是,第二证书中同样对测量数据和/或配置数据进行了说明, 用于给能源供应商和/或测量单位操作员授予读取资格。在这种情况下,可以替代或者补 充的是,至少部分地将第二证书中说明的测量数据和/或配置数据,由安全模块经安全传 输发送给第二计算机系统。
[0024] 通过上述方法步骤可以保证,当能源供应商或者测量单位操作员和终端消费者想 要进行这样的数据传输,双方都自愿进行这样的数据传输时,才可以在能源供应商或者测 量单位操作员的第二计算机系统和安全模块之间传输测量数据和/或配置数据。例如,能 源供应商或者测量单位操作员不确定安全模块第三证书的真实性,或者安全模块不认为能 源供应商或者测量单位操作员的第二证书是真实可靠的,那么就不存在这样的相互同意。 优选在初始化存储区时就给安全模块提供这样的信息,以便安全模块能够确认第二证书的 真实性。只有当安全模块和能源供应商或者测量单位操作员相互信任之后,才能为终端消 费者提供保证,测量单位操作员或者能源供应商可以拥有针对之前就清楚定义的"测量数 据"和/或"配置数据"的数据只读权利。
[0025] 接受这样的数据保护设计的条件是,根据本发明一【具体实施方式】,可替换或者补 充的是,测量数据和/或配置数据包含在官方文件中,也就是证书中。因为证书是防伪的, 终端消费者可以轻易地检验其真实性,所以带有说明的测量数据和/或配置数据就具有相 当高的可信度。
[0026] 根据本发明一【具体实施方式】,通过安全模块建立第二通讯通道,其中,将在数据和 /或第二证书中说明的测量数据和/或配置数据通过推送方法(Push-Verfahren)部分地传 输。这样就可能实现,安全模块例如按照在初始化存储区时规定的时间顺序建立第二通讯 通道,定期将能源消耗值传输给第二计算机系统。此处也有这样的可能,只有满足在初始化 存储区时所规定的条件,才能建立第二通讯通道。这些条件可以包括:例如汇聚在预定阈值 之上的能源量。
[0027] 根据本发明另一【具体实施方式】,由第一计算机系统接收到的数据包括能量抄读应 用和/或至少一部分配置数据。这样就有可能,在初始化存储区时,第一计算机系统就可能 准备了能量抄读应用和/或配置数据,通过它们可以按照测量单位操作员或者能源供应商 事先约定好的方式来抄读和计算能源消耗量。除此之外,通过这样的能量抄读应用和/或 配置数据,还可以规定怎样抄读能量值,例如可以以秒为单位准确计算能源消耗值,或者抄 读预定的一个时间段内的能源消耗累积值。另外,能源抄读应用也可以准备一个接口,终端 消费者可以通过它按预定方式自我监控能源消耗量。
[0028] 此时需要注意的是,如果存储区和安全模块都包含在智能表网关中,就更能体现 本发明的【具体实施方式】的优势。在这种情况下,智能表网关可能与很多不同的智能表连接, 那么在初始化过程时就可以为每个智能表准备特定的能量抄读应用和/或配置数据,同样 也为每个智能表准备了不同的能源供应商或者测量单位操作员。这同样也包括方法步骤的 更新应用,例如由于升级了能源抄读应用和/或配置数据,为了更新存储区的内容就要初 始化存储区。另外还有一种可能,过一段时间后添加一个或者其它能量抄读应用和/或其 它配置数据到存储区中。这样,单个网关可以通过大量的不同的智能表,实现近乎于无限 制的扩展能力,进而再实现对大量不同的能源供应商或者测量单位操作员的读取网关的控 制。这对于多住户的住宅特别具有优势,例如不同的能源供应商或者测量单位操作员,可以 按照不同的参与者在不同的时间和居住期间,计算能源量或者提供能源。
[0029] 根据本发明另一【具体实施方式】,能源抄读应用启动第二通讯通道的建立。如前所 述,特别是按照之前所规定的时间间隔,可以向能源供应商或者测量单位操作员发送关于 所抄读到的能源量的通知。这样,能源供应商或者测量单位操作员就不需要定期去抄读需 要抄读的能源消耗量。例如,当超过最低能源消耗时,如果只向第二计算机系统通知能源消 耗量,第二计算机系统就省去了用电过量的询问,因为总用电量还没有超过阈值。尽管如 此,显然在最终计算费用时第二计算机系统还可以定期地与安全模块建立通讯联系,安全 模块由此将测量数据发送给第二计算机系统。
[0030] 根据本发明另一【具体实施方式】,本发明方法还包括如下步骤:在第二计算机系统 和第一计算机系统之间建立第三通讯通道;第二计算机系统针对第一计算机系统进行认 证;在第二计算机系统针对第一计算机系统成功认证之后,接收由第一计算机系统对第二 计算机系统的存储区进行初始化过程的请求;其中,该请求中包含了存储区的识别码,该识 别码能清楚地指示出存储区。
[0031] 这样就有可能,能源供应商或者测量单位操作员的第二计算机系统使用第一计算 机系统对存储区执行初始化过程。只有当第一计算机系统将第二计算机系统评定为可信赖 等级,第二计算机系统才可以建立通向安全模块的第一通讯通道,并执行初始化过程。这 样,第二计算机系统将即将初始化的存储区的识别码发送给第一计算机系统,此时第一计 算机系统的作用就是准确地对需要初始化的存储区所处的安全模块进行定位。如此就简 单、高效地建立了通讯联系,终端消费者的智能表被相应的测量单位操作员或者能源供应 商用于抄读数据,或者进行配置。
[0032] 根据本发明另一【具体实施方式】,安全模块的识别码确定了存储区的识别码。这样 就可以保证,安全模块和存储区不可分离地互相连接起来,进而安全模块的准确定位与存 储区的准确定位是一致的。如果存储区位于智能表网关内,就可以保证,网关在之后不会通 过非法方式被其它网关所代替,这样就可以阻止将只是偶尔与相应智能表连接、实际并没 有执行过能源消耗值抄读的"冒充"网关的值提供给测量单位营业商。上述存储区只有被 第一计算机系统通过安全元件来书写,并且在识别码的基础上清楚地定位此存储区。在这 种情况下,原则上是不可能使用带其它存储区的其它网关,因为第一计算机系统不会启动 对相关能源数据的抄读。
[0033] 根据本发明一【具体实施方式】,安全模块的识别码是指安全模块的公共密钥,或者 是安全模块的IPv6地址。使用安全模块的公共密钥作为安全模块的识别码、从而作为存储 区的识别码的优点在于,由此可以准备全球唯一标识符(GUID),它几乎是绝对安全的。简单 地分配一个尽可能长的公共密钥就可以实现对识别码的简单管理。在安全模块的识别码是 指IP v6地址的情况下,如果是通过简单的方式,就可以通过现有网络对安全模块进行准确 地定位。
[0034] 根据本发明另一【具体实施方式】,第三证书包含了安全模块的公共密钥。该公共密 钥分配给私人密钥,它保存在安全模块中受保护的存储区内。该证书也可以根据公钥基础 设施(PKI)标准生成,例如根据X. 509标准。
[0035] 此时需要注意的是,上述证书(第一、第二和第三证书)并不是强制保存在专门设 备(第一计算机系统、第二计算机系统、安全模块)的存储器内,可以替代或者补充的是,证 书也可以保存在公共索引服务器内。
[0036] 根据本发明一【具体实施方式】,安全模块与智能表或者智能表网关不可分离地连接 起来。此处"不可分离"可以理解为安全模块和智能表或者智能表网关之间建立持久的连 接,由此保证安全模块的功能性。只要尝试将安全模块与智能表或者智能表网关分离,安全 模块就进入不可用状态,也就是无功能状态。这可以通过安全模块的电子自我销毁、自我失 活、或者物理销毁或者失活来保证。在最简单的情况下,安全模块可以锁在智能表或者智能 表网关的外壳中,这样"拆开"铸件连接就销毁了安全模块。
[0037] 优选地,在安全模块与智能表或者智能表网关相互连接的基础上启动智能表或者 智能表网关的连接过程,通过连接过程在安全模块和智能表或者智能表网关之间建立不可 分离的逻辑连接。例如,这种不可分离的逻辑连接包括将安全模块的第三证书和/或识别 码不可逆转地复制到存储区中。
[0038] 根据本发明一【具体实施方式】,安全模块可以是芯片卡的形式。例如,第一计算机系 统的操作员预先设置了芯片卡形式的安全模块,它将信息存储在芯片卡中,第一计算机系 统成功认证了安全模块后,稍后执行初始化过程。
[0039] 根据本发明一【具体实施方式】,第一计算机系统是指官方认可的信任中心。
[0040] 另一方面,本发明涉及一种计算机程序产品,其具有处理器可执行的指令,以执行 上述方法的步骤。
[0041] 再一方面,本发明涉及一种安全模块,其中,该安全模块分配给一个存储区,而这 个存储区又分配给一个智能表,该安全模块设置为初始化存储区,该安全模块进一步包 括:
[0042]-与第一计算机系统建立第一通讯通道的工具,
[0043]-针对安全模块认证第一计算机系统的工具,
[0044] -在第一计算机系统针对安全模块成功认证后,通过安全模块经由安全传输由第 一计算机系统接收数据、并将数据存储到存储区中以对存储区执行初始化过程的工具。
[0045] 又一方面,本发明还涉及一种用于初始化存储区的第一计算机系统,其中,该存储 区分配给一智能表,该第一计算机系统包含:
[0046] -在第一计算机系统和安全模块之间建立通讯通道的工具,其中,该安全模块分配 给了存储区,
[0047] -针对安全模块认证第一计算机系统的工具,
[0048]-在针对安全模块成功认证第一计算机系统后,第一计算机系统经由安全传输将 数据发送给安全模块的工具,安全模块将数据存储到存储区中,对存储区执行初始化过程。 [0049] 下面,借助附图来详细地描述本发明的优选【具体实施方式】。其中:
【专利附图】
【附图说明】
[0050] 图1显示了执行上述方法的系统的方框图,
[0051] 图2显示了本发明方法一【具体实施方式】中对存储区执行初始化的流程图,
[0052] 图3显示了接收或者提取测量数据的方法的流程图,
[0053] 图4显示了准备安全模块之方法的流程图。
【具体实施方式】
[0054] 下面的【具体实施方式】中,相同的元件采用相同的附图标记。
[0055] 图1显示了用于初始化存储区的总系统的方框图。接下来,无一般化限制地一起 介绍了图2所显示的用于初始化存储区的方法步骤,例如可以初始化网关138的存储区 136,其中安装的大量的智能表142, 144, 146, 148。
[0056] 智能表142-148用于抄读各种能源的消耗值,例如气(智能表142)、水(智能表 144)、电(智能表146)以及其它没有详细介绍的能源形式(智能表148)。智能表通过相应 的通讯联系192与网关138的接口 118连接。
[0057] 安全模块100与网关138稳固地、不可分地连接起来。这样,网关138与安全模块 100的组合就形成了一个不可分的单元140。网关138和安全模块100通过各个接口 118 或者116相互通讯。通过接口 116,还可以与授权的市场参与者、第三方或者相关单位通讯, 它不在由单元140和智能表142-148所形成的网络中。安全模块100的接口 116和其它通 讯参与者之间的通讯则通过通讯联系190来实现,它可以是电源连接,或者是通过移动电 信通讯网络或因特网实现的通讯联系。
[0058] 安全模块100具有电子存储器102,它含有安全存储区106和108。安全存储区 106用于存储安全模块100的私人密钥,存储区108则用于存储安全模块的标识符"全球唯 一标识符(GUID) "的标识符。全球唯一标识符(GUID)例如可以是安全模块100的IPv6地 址。
[0059] 另外,电子存储器102可以配置存储区104,用于存储证书。证书中包含分配给安 全存储区106中的私人密钥的公共密钥。证书也可以根据公钥基础设施(PKI)标准生成, 例如根据X. 509标准。
[0060] 证书不是必须存储在安全模块100的电子存储器102中。可以替代或者可以补充 的是,将证书存储在公共索引服务器中。
[0061] 安全模块100具有一个处理器110,用于执行程序指令112和114。通过执行程序 指令112 "密码协议",例如可以认证有关单位150或者能源供应商166对于安全模块100 的可信度。密码协议例如可以是以对称密钥或者非对称密钥对为基础的口令/应答协议。 [0062] 当然也可以反过来验证安全模块对于有关单位或者能源供应商的可信度。
[0063] 程序指令114用于对安全模块100与可信赖的有关单位150或者能源供应商166 之间的数据传输进行点对点的加密。对于点对点的加密可以使用对称密钥,例如在执行安 全模块100和其它参与者150或者166之间的密码协议时商议出来。
[0064] 与安全模块100相似的是,可信赖的有关单位150也配置了一个电子存储器152 和安全存储区156,用于存储可信赖单位的私人密钥。存储器152中也可以含有可信赖单位 的证书154。此证书同时也可以存储在中央证书服务器中。
[0065] 可信赖的有关单位150的处理器158中配有上述与安全模块100有关的程序指令 112和114,用于执行密码协议和点对点加密。密码协议和点对点加密可用于通过接口 164 与能源供应商166或者安全模块100实现的通讯。证书154包含分配给存储在安全存储区 156中的私人密钥的公共密钥。
[0066] "能源供应商" 166是能源供应商的计算机系统,它配置了一个电子存储器168和 一个处理器178。另外,这个计算机系统还有一个接口 186,通过它可以实现与可信赖单位 150或者安全模块之间的通讯。
[0067] 能源供应商166的电子存储器168具有带私人密钥的安全存储区172,私人密钥还 分配了一个公共密钥,它包含在证书170中,同样也包含在电子存储器168中。另外,存储 器168中设有一个存储区用于一项或者多项应用,这些应用可以实现例如与费用相关的网 关138的配置。在电子存储器168中同样也可以存储由网关138所接收到的测量数据176。
[0068] 处理器178具有程序指令180,用于抄读由网关138送来的消耗数据和其它内容, 由此执行方法步骤,根据接收到的测量数据(程序指令182)计算能源消耗。同时也可以设 置执行密码协议112的程序指令以及未介绍的执行点对点加密的程序指令,通过这些程序 指令可以与可信赖单位150或者安全模块100建立安全通讯。
[0069] 如果现在给能源供应商166分配了一个新客户,例如可以在初次安装了智能表 142-148,并准备好带安全模块102的网关138之后再启动安全模块的初始化过程。如果新 客户(终端消费者)或者指定的技术有关单位已经安装过智能表,初始化过程就有可能出 现冲突,就会向能源供应商166发送相应的通知。通知中应该优选包含安全模块100的全 球唯一标识符(⑶ID) 108,因为安全模块100可以清楚地针对能源供应商166进行认证。
[0070] 能源供应商166通过接口 186,例如通过相应网页上的网络接口接收到通知后,就 建立了到达可信赖单位150的通讯通道。这个步骤在图2中用附图标记200标示出来了。 可信赖的有关单位可以是例如所谓的"可信服务管理(TSM) ",一家在电子通讯程序中证明 通讯伙伴身份的官方认证单位。
[0071] 在第200步建立了通讯通道后,能源供应商166在第202步进行验证。对此,可信 赖的有关单位150检查能源供应商的证书170。例如,可信赖的有关单位150在检验证书 时执行口令/应答程序,由此产生一个随机验证码,它与证书170中包含的能源供应商166 的公共密钥一起加密,并传送给能源供应商166。紧接着,能源供应商166可以用其私人密 钥172解密随机验证码,并以明文形式发回。如果可信赖单位150接收到的随机验证码与 之前所描述的随机验证码一致,实际上能源供应商166就通过了验证。
[0072] 执行了步骤202及选择性执行口令/应答程序后,紧接着在第204步,可以通过能 源供应商166和可信赖单位150之间的通讯联系,建立点对点的加密通道。对此可以使用 可信赖单位的处理器158的程序指令114。
[0073] 在第204步建立了通讯通道后,可信赖单位150在第206步接收要求开启能源供 应商166的能源抄读应用174,并传输给网关138的存储器136。为了清楚地说明存储器 136或者网关138,应要求初始化存储器136,并将存储器136中含有的网关138的全球唯一 标识符(⑶ID) 128发送给可信赖的有关单位。存储器136的全球唯一标识符(⑶ID) 128优 选与安全模块1〇〇的存储器102的全球唯一标识符(GWD) 108 -致。
[0074] 通过在第206步接收全球唯一标识符(⑶ID),可信赖的有关单位150清楚定位需 要的网关138,以启动应用174。对此,在接下来的步骤208中,可信赖单位150通过通讯联 系190建立到达安全模块100的通讯通道。可信赖单位150针对安全模块100进行验证, 验证包括安全模块100的口令/应答程序以及安全模块对证书154的检验。对此,安全模 块100生成一个随机验证码,和可信赖单位150的公共密钥一起加密,并发送给可信赖单位 150。可信赖单位150用其私人密钥156解密这个加密随机验证码,并将明文格式的解密随 机验证码发回给安全模块100。如果安全模块确定接收到的解密随机验证码与它的原始加 密随机验证码一致,则表示可信赖单位通过验证。
[0075] 程序继续进行到第212步,在可信赖单位150和安全模块100之间建立点对点加 密通讯通道。这一步可以应用安全模块100的处理器110的程序指令114。
[0076] 第214步,安全模块100从可信赖单位接收能源抄读应用174。
[0077] 此时可以发现其优点在于,如果可信赖单位将最常使用的能源抄读应用事先存放 在可信赖单位的本地存储器中,就不需要在签订新用户时总是让能源供应商166给可信赖 单位150发送应用174。
[0078] 在第214步接收到能源抄读应用后,安全模块100将应用存储到网关138的存储 器136中。如果应用174是关于抄读水电能源消耗的应用,应用就作为应用132保存在存 储器136中。应用的作用是处理智能表144的能源消耗数据。与此相似的是,存储器136 可以包含气(134)能源抄读相应的应用以及用于抄读其它能源形式的其它应用130。图2 第216步标示了网关138中的安全模块100存储能源抄读应用的过程。
[0079] 对安全模块100在第214步接收能源抄读应用可以补充的是,可以从可信赖单位 150接收能源供应商资格证书或者网络数据元素的详细规格说明,这些同样也存储在存储 器136的其它区125中。资格证书或者测量数据的详细规格说明可以事先规定允许从网关 138接收的关于能源供应商166的信息。对此,例如可以事先由可信赖单位150定义每个能 源供应商的特殊资质,这些资质对于所有的能源供应商166都全球有效,原则上来说将能 源抄读应用发送给安全模块,再发送给网关138。
[0080] 同时还可以得到可信赖单位150的配置数据。这些配置数据可以涉及智能表和/ 或其网关的技术配置。
[0081] 凭借程序指令,处理器126执行数据抄读122。此时,网关138的作用就是抄读例 如智能表144和智能表146的能源消耗测量数据。相应的测量数据则存储在存储器136 的存储区124中。原则上来说,测量数据124由很多测量数据组成,例如包括:测量数据抄 读时间,各个时间的单个测量数据点,测量数据的产生信息(例如电流强度,电压,水压,水 温,气压)。测量数据124可以通过应用130U32和134执行其它评价,这些评价同样作为 "测量数据"保存在存储区124中。例如评价出的测量数据可以是累积能源消耗值。
[0082] 上述资格证书125以及测量数据的规格说明可以事先规定,能源供应商126的哪 些测量数据124允许被读取。另外,还可以事先规定允许读取的资料的详细程度。详细地, 准时地读取测量数据124是不被大家所期望的,因为通过短暂的测量时间间隔就可以知道 电器对能源的消耗情况,并且由此可以了解到用户的特点,但是同样终端用户也得不到利
[0083] 关于图3的流程图以及网关138抄读测量数据124的设想,接下来将说明可以怎 样将用于最后计算的测量数据传输给能源供应商166。接下来从通用角度出发,能源供应商 166执行"读取"程序,也就是抄读包含在存储器136中的测量数据。但是能源供应商166 为此而委托测量单位操作员。测量单位操作员是一台计算机系统,它受能源供应商166的 委托抄读包含在网关138中的测量数据。接下来描述的步骤由能源供应商166执行,在这 种情况下,相应的测量单位操作员也可以替代能源供应商166。
[0084] 第300步,网关138开始建立与能源供应商166的通讯通道,原本由安全模块100 来执行通讯通道的建立过程。为此,需要通讯的网关138和安全模块100通过各自的接口 118或者116经由网络190,例如因特网或者电力网接连,在第302步执行安全模块100和 能源供应商166的双向认证。凭借证书104和170也可以执行双向的证书验证。另外也可 以选择性地在安全模块100和能源供应商166之间执行口令/应答程序。
[0085] 成功执行了双向认证后,在第304步建立点对点加密的通讯通道,优选是通过安 全模块100的程序指令114来启动。能源供应商166在第306步接收到安全模块的全球唯 一标识符(⑶ID) 108,它优选与网关的全球唯一标识符(⑶ID) 128相符。能源供应商166的 全球唯一标识符(GUID) 108的作用就是将接收到的测量数据分配给正确的网关,由此分配 了正在的终商消费者。
[0086] 第308步,能源供应商166接收测量数据。第308步将接下来的第310步至318 步划分成可选项。例如,安全模块100在第310步读取标志属性,也就是存储器136中的资 格证书125,从而确定哪些测量数据应该传输给能源供应商166。权利资格经由上述初始化 过程发送给安全模块100。可以替代或者补充的是,证书中也可以包含安全模块得到的能源 供应商166的权利资格。
[0087] 此时需要注意的是,可以代替或者补充的是,配置数据也可以通过相似的方式代 替测量数据发送给能源供应商166。
[0088] 如果通过上述双向的通讯,能源供应商166没有要求特定的标志属性,则在第312 步确定,将标志属性规定的测量数据的预定的一部分在第318步发送给能源供应商166。如 果通过通讯,能源供应商要求了特定的标志属性,则在第314步检验是否读取了这个标志 属性,也就是能源供应商允许相应的测量数据。反之,在第316步中断程序,向能源供应商 166发送错误报告。如果接下来允许读取标志属性,在第318步传输根据的标志属性规定的 测量数据。
[0089] 如果能源供应商具有很多权利资格来从网关中读取信息,能源供应商要求特定的 测量数据就不需要使用所有的权利资格进行能源消耗计算。通过网关或者相连智能表的有 序的功能操作,特定的测量数据也可以包含信息,在正常操作的情况下,能源供应商166对 这些用于诊断的信息几乎不感兴趣。在这种情况下,能源供应商166只要求与能源消耗计 算相关的数据。
[0090] 网关138需要借助处理器126的程序指令120通过安全模块100将数据传输人能 源供应商166。
[0091] 图3中还需要注意的是,网关138使用安全模块建立通讯通道。应用130 - 134 中的一个在建立通讯通道的基础上,例如启动相应的定时器。
[0092] 当然,能源供应商166也可以主动通过安全模块100与网关138建立通讯联系。在 这种情况下,能源供应商166主动询问测量数据144。
[0093] 如前所述,安全模块100和网关138优选是不可分离地相互连接,例如图1的图形 所示形成一个结构单元140。而形成单元140可以执行图4流程图中显示的方法步骤。
[0094] 第400步,首先要准备安全模块100。紧接着执行第402步,将密码材料和证书存 储到安全模块中。例如,为此可以给安全模块设置相应的密码单元,它可以单独由私人密钥 106产生。另一种方式,可以由可信赖单位生成私人密钥,并将其保存在一个外部不可进入 的存储区的安全模块中。从属于私人密钥的公共密钥随着证书由可信赖单位编译成信号存 储在安全模块的存储器102中。
[0095] 紧接着,在第404步将芯片卡形式的安全模块安装到网关,由此安全模块与网关 之间就建立了不可分的连接。例如,安全模块和网关可以相互电子连接,如果将安全模块与 网关分离,将会导致安全模块自动毁坏。
[0096] 在第404步将安全模块插入网关后,安全模块100和网关138在第406步自动形 成逻辑连接。例如,安全模块的全球唯一标识符(⑶ID) 108作为全球唯一标识符(⑶ID) 128 不可逆转地写入网关138的存储器136中。对此,从安全模块100出发应该保证,只有当全 球唯一标识符(⑶ID) 108与128 -致时,才可以通过能源供应商166启动与网关138之间 的通讯,准备测量数据。
[0097] 附图标记清单
[0098] ----------------------------------------------
[0099] 100 安全模块
[0100] 102 存储器
[0101] 104 证书
[0102] 106 私人密钥
[0103] 108 ⑶ ID
[0104] 110 处理器
[0105] 112 密码协议
[0106] 114 点对点加密
[0107] 116 接口
[0108] 118 接口
[0109] 120 数据传输
[0110] 122 数据抄读
[0111] 124 测量数据
[0112] 125 资格权利
[0113] 126 处理器
[0114] 128 ⑶ID
[0115] 130 应用程序
[0116] 132 应用程序
[0117] 134 应用程序
[0118] 136 存储器
[0119] 138 网关
[0120] 140 单元
[0121] 142 智能表
[0122] 144 智能表
[0123] 146 智能表
[0124] 148 智能表
[0125] 150 可信赖的单位
[0126] 152 存储器
[0127] 154 证书
[0128] 156 私人密钥
[0129] 158 处理器
[0130] 164 接口
[0131] 166 能源供应商
[0132] 168 存储器
[0133] 170 证书
[0134] 172 私人密钥
[0135] 174 应用程序
[0136] 176 测量数据
[0137] 178 处理器
[0138] 180 数据抄读
[0139] 182 消耗计算
[0140] 186 接口
[0141] 188 通讯连接
[0142] 190 通讯连接
[0143] 192 通讯连接
【权利要求】
1. 一种初始化存储区(136)的方法,其中,该存储区(136)分配给智能表(142、144、 146、148),该方法包括以下步骤: -在第一计算机系统(150)和安全模块(100)之间建立第一通讯通道,其中,所述安全 模块(100)分配给存储区(136); -针对安全模块(100)认证第一计算机系统(150); -在针对安全模块(100)成功地认证了第一计算机系统(150)后,通过安全模块(100) 借助安全传输,从第一计算机系统(150)接收数据,并将其存储到存储区(136),用于对存 储区(136)执行初始化过程。
2. 如权利要求1所述的方法,其中,通过点对点的加密在第一计算机系统(150)和安全 模块(100)之间建立所述的安全传输。
3. 如权利要求1或2所述的方法,其中,针对安全模块(100)认证第一计算机系统 (150),是借助第一计算机系统(150)的第一证书(154)实现的。
4. 如前述权利要求之一所述的方法,其中,所述的认证包括口令/应答方法。
5. 如前述权利要求之一所述的方法,其中, -存储区(136)和安全模块(100)包含在智能表(142、144、146、148)本身中;或者 -存储区(136)和安全模块(100)包含在智能表网关(138)中,其中,所述智能表(142、 144、146、148)连接到所述智能表网关(138)。
6. 如前述权利要求之一所述的方法,其中,为运行智能表和/或智能表网关,智能表 (142、144、146、148)分配了配置数据;智能表(142、144、146、148)能抄读与能源消耗相关 的测量数据;从第一计算机系统(150)接收到的数据包含测量数据的说明(125)和/或配 置数据,并由此来授予能源供应商和/或测量单位操作员读取资料的资格。
7. 如前述权利要求之一所述的方法,其进一步包括: -在能源供应商和/或测量单位操作员的第二计算机系统(166)和安全模块(100)之 间建立第二通讯通道; -第二计算机系统(166)和安全模块(100)之间进行相互认证,其中,该认证是借助能 源供应商和/或测量单位操作员的第二证书和安全模块(100)的第三证书(104)进行的; -在相互成功认证后, i、 至少部分地将带有数据说明的测量数据和/或配置数据由安全模块(100)经安全传 输发送给第二计算机系统(166);和/或 ii、 至少部分地将第二证书中说明的测量数据和/或配置数据,由安全模块(100)经安 全传输发送给第二计算机系统(166)。
8. 如权利要求7所述的方法,其中,通过安全模块(100)建立第二通讯通道,其中,部分 地将在数据和/或第二证书中说明的测量数据和/或配置数据通过推送方法进行传输。
9. 如前述权利要求之一所述的方法,其中,由第一计算机系统(150)接收到的数据包 括能量抄读应用(130、132、134、174)和/或至少一部分配置数据。
10. 如权利要求9所述的方法,其中,所述的能量抄读应用(130、132、134、174)启动了 第二通讯通道的建立。
11. 如前述权利要求之一所述的方法,其进一步包括如下步骤: -在第二计算机系统(166)和第一计算机系统(150)之间建立第三通讯通道; -针对第一计算机系统(150)来认证第二计算机系统(166); -在针对第一计算机系统(150)成功地认证了第二计算机系统(166)之后,接收由第 一计算机系统对第二计算机系统(166)的存储区(136)进行初始化的请求;其中,该请求 中包含了存储区(136)的识别码(108、128),该识别码(108U28)能清楚地指示出存储区 (136)。
12. 如权利要求11所述的方法,其中,存储区的识别码(108U28)是由安全模块(100) 的识别码(1〇8、128)所提供的。
13. 如权利要求12所述的方法,其中,所述安全模块(100)的识别码(108、128)是指安 全模块(100)的公共密钥或者是安全模块(100)的IPv6地址。
14. 如权利要求13所述的方法,其中,所述的第三证书(104)包含安全模块(100)的公 共密钥。
15. 如前述权利要求之一所述的方法,其中,所述安全模块(100)是与智能表(142、 144、146、148)或智能表网关(138)不可分离地连接的。
16. 如权利要求15所述的方法,其中,为了安全模块(100)与智能表(142、144、146、 148)或智能表网关(138)的相互连接,而启动智能表(142、144、146、148)或智能表网关 (138)的连接过程;其中,通过该连接过程在安全模块(100)与智能表(142、144、146、148) 或智能表网关(138)之间建立不可分离的逻辑连接。
17. 如权利要求16所述的方法,其中,所述的不可分离的逻辑连接包括将安全模块 (100)的第三证书(104)和/或识别码(108、128)不可逆转地复制到存储区(136)中。
18. 如权利要求15-17之一所述的方法,其中,所述的安全模块是芯片卡形式的。
19. 一种计算机程序产品,其具有处理器可执行的、用于实现前述权利要求之一所述方 法之步骤的程序指令。
20. -种安全模块(100),其中,该安全模块(100)分配给存储区(136),该存储区 (136)分配给智能表(142、144、146、148),该安全模块(100)设置为能初始化存储区(136); 所述安全模块(100)进一步包括: -与第一计算机系统(150)建立第一通讯通道的工具; -针对安全模块(100)认证第一计算机系统(150)的工具; -在第一计算机系统(150)针对安全模块(100)成功认证后,通过安全模块(100)经由 安全传输接收第一计算机系统(150)的数据、并将数据存储到存储区(136)中以对存储区 (136)执行初始化过程的工具。
21. -种用于初始化存储区(136)的第一计算机系统,其中,该存储区(136)分配给智 能表(142、144、146、148),所述的第一计算机系统9150)包括: -在第一计算机系统(150)和安全模块(100)之间建立通讯通道的工具,其中,该安全 模块(100)分配给了存储区(136); -针对安全模块(100)认证第一计算机系统(150)的工具(112); -在针对安全模块(100)成功认证第一计算机系统(150)后,第一计算机系统(150)经 由安全传输将数据发送给安全模块(1〇〇)的工具,以便通过安全模块(1〇〇)将数据存储到 存储区(136)中并对存储区(136)执行初始化过程。
【文档编号】H04W4/00GK104115156SQ201380008521
【公开日】2014年10月22日 申请日期:2013年1月22日 优先权日:2012年2月7日
【发明者】法克·迪特里克, 曼弗雷德·皮斯克 申请人:联邦印刷有限公司