用于对通信网络中的第一参与者进行授权的方法、处理器设备、机动车和基础设施设备与流程

本发明涉及一种用于对通信网络中的第一参与者进行授权的方法，多个参与者经由该通信网络进行通信，其中为参与者分别分配了身份信息。此外，本发明还涉及一种处理器设备、一种机动车和一种基础设施设备。

背景技术：

1、有利的是，机动车能够基本上自动地实现能涉及支付过程的、与基础设施设备的交互。例如，在公共充电设备处为机动车充电时，这一点尤为重要，因为例如在公共空间中停车的情况下这一过程会经常进行，且因此应尽可能减少用户的工作量。例如，自动化还能使全自动的车辆自己驶近充电设备，并在没有用户干预或类似情况下完成充电过程。

2、对其它过程来说，例如对于驶过仅受限地或者例如支付费用才能驶过的区域来说，例如停车场或者特定的内城区域，有利地使相应的过程自动化。然而同时也应该避免，将车辆拥有者的个人数据、账户详细信息等提供给大量可能不值得信任的设备。

3、至少使支付过程自动化并且同时实现高度数据经济性的一种可行方法是使用基于区块链的支付系统，如例如由文献de 10 2017 212 904 a1已知的那样。这种支付系统的优势在于，在高度数据经济性的情况下，通过所用的数据结构保证了区块链内的交易，从而例如能够确保，分配给用户的信用额度/贷方余额只能使用一次。

4、然而，一方面，仍然存在缺点：由于该系统的性质，它是一个基于信用额度的系统，这意味着用户必须提前将信用额度转移到区块链中，特别是转移到分配给用户的所谓的“钱包”中，且例如无法从外部帐户直接借记。此外，通过区块链只能保障区块链内部的交易，从而例如在对车辆充电时交易参与者之间可能对例如实际提供的充电量、预先给定的参数的遵守、安全标准的遵守等产生争议。

5、如果对各个参与者进行认证，则可以在很大程度上避免第二个问题，所述认证例如可能涉及能量记录的测量精度和其它技术参数。为了能够自动检查这种认证，可以使用例如数字证书，其尤其可以借助非对称加密方法来生成。

6、然而，如果要实现相应的证书的撤销，例如当识别到技术故障或有针对性的滥用时，则需要中央证书管理。然而，这是涉及到“单点故障”(single point of failure)，这意味着它必须设计为高度可用的和高度冗余的。由此产生高的运营成本。此外，使用中央证书管理还会导致潜在问题，例如当运营者意外地停止其运营时。

技术实现思路

1、因此，本发明的目的是，给出一种与此对应的改进的、用于对通信网络中的参与者进行授权的方法，所述方法尤其避免了中央证书管理的缺点。

2、该目的通过开头提到类型的方法来实现，该方法包括以下步骤：

3、-在通信网络中将第一参与者的身份信息传输到第二参与者，该第二参与者是或包括处理器设备；

4、-通过处理器设备检查，是否在数据结构中存在分配给身份信息的授权数据，其中使用被复制到多个作为参与者经由通信网络进行通信的处理器设备上的数据结构，所述数据结构包括多个数据区块，所述数据区块按顺序排列并且彼此链接，使得相应在后的数据区块的内容取决于至少一个在前的数据区块的内容，

5、-仅当满足对授权数据进行评估的授权条件时才开通第二参与者的功能，仅当存在分配给身份信息的授权数据时，才能满足所述授权条件。

6、本发明基于这样的思想：不再借助中央设备执行授权，而是通过在不同的处理器设备，尤其在通信网络中所有可能的处理器设备中复制需要的数据结构而将需要的数据结构保持在相应的处理器设备中。同时通过所述的数据区块的链接还能够实现，通过分散地存储数据结构且通过使用合适的方法以用于添加其它数据区块或者说用于复制数据结构而使该数据结构尽可能地防篡改。对此的各种实施可能方案尤其是从区块链或者说加密货币领域中已知，其中在那里存储信用额度或者说金融交易而不是授权数据。

7、由于使用分散的且尤其是防篡改的系统以检查授权，因此能够省去使用值得信赖的中央证书管理系统。相反，所需的数据安全性以及对数据结构的内容的信任可以通过技术措施来实现。由此即使在个别参与者被剔除时，系统也始终保持鲁棒，并且取消了中央证书管理的成本。

8、数据区块的序列通常可以由一维或多维的非循环图表来定义。在最简单的情况下使用一维布置，从而确定块的明确的顺序。在此，后续的数据区块尤其能够依赖于在该顺序中紧邻在前的数据区块。

9、后续的数据区块对至少一个在前的数据区块的内容的依赖性尤其是可以在于，后续的数据区块包括在前的一个数据区块或者说多个在前的数据区块的哈希值，特别是密码哈希值，或者依赖于此的信息。由此必要时以极高的计算花费才能实现找到数据区块的修改，所述修改不导致哈希值的变化且进而不导致与后续的数据区块的不一致。因此如果攻击者想要更改一个数据区块，他还必须重新生成所有后续的数据区块。

10、如果向数据结构中添加有效的数据区块的计算量相对较大(这涉及被称为“工作量证明(proof of work)”的区块链)，或者由于进一步的要求(特别是所谓的“权益证明(proof of stake)”)而受到限制，并且通过处理器设备分别将具有最多块数量的数据结构识别并复制为当前有效的数据结构，则总体上可以实现极高的防篡改性。

11、例如，可以选择进一步的要求，使得特定参与者在特定时间区间内只能生成特定数量的块。通过特定参与者能生成块的频度尤其可以取决于相应的参与者在数据结构的可靠性中的经济利益。例如，经济利益可以根据数据结构本身来确定，例如通过考虑其中描述的经济价值或根据交易量等来确定。这种应用也被称为“权益证明”。

12、数据结构尤其可以是存储各个交易的区块链和/或分布式交易数据库(“分布式账本”distributed ledger)。在最简单的情况下，每个数据区块可以存储一个交易。然而，在交易数量较高的情况下，有利的是，可以将多个交易综合在一个数据区块中。具体地，将较早的交易存储在序列的较早的数据区块中，而较晚的交易存储在序列的较晚的数据区块中。因此，可以根据存储交易的数据区块来估计交易的粗略的时间点。然而，各个交易优选额外地配备有时间戳。

13、每个交易优选地由相应的参与者借助于加密/秘密信息、特别是以非对称加密方法中密钥对的加密密钥来签署。交易也可以由所谓的“智能合约”(即作为数据结构的一部分，尤其是作为数据区块提供的计算机程序)触发并可选地签署。在此，通过这种智能合约触发交易尤其要求证明，参与者具有加密信息，即例如私钥。该证明可以通过签署智能合约的请求来提供，然而也可以使用质询-响应程序等。

14、在简单的例子中，授权数据可以包括相应的身份信息和指示参与者是否被授权使用该身份信息的变量或者说标识。然而，授权数据优选额外地包括信息：哪个参与者创建和/或更改了授权数据，和/或该参与者的数字签名和/或时间戳。

15、原则上，所有参与者都可以是或包括处理器设备。然而，也可能存在没有自己的或固定分配的处理器设备的参与者。例如，可以为用户分配身份信息，以便当即使多个用户使用相同的处理器设备或者说同一用户使用不同的处理器设备时也能识别和授权该用户。

16、如果数据结构也在第一参与者的处理器设备中被复制，则借助根据本发明的方法还能够实现两个参与者的双方授权并因此实现双方功能开通。例如这样可以实现，仅当一方面在车辆侧已经确定充电设备被授权并且另一方面在充电设备侧已经确定机动车被授权，才能够开通机动车在充电设备处的充电操作。

17、所有参与者能够始终连接到通信网络。然而，下述应用情况也是可行的：其中各个参与者或所有参与者暂时与通信网络断开，并且例如在重新连接到通信网络之后，在需要时首先更新内部数据结构。例如，如果其他参与者提供了具有较多块数量的有效数据结构，则可能发生这种情况。接着可以将此时当前的数据结构根据需要授权其他参与者。

18、通过处理器设备(其是参与者或参与者的一部分)将额外的数据区块添加到数据结构，由此能够在数据结构中创建/或更改授权数据，该额外的数据区块依赖于数据结构的在前的数据区块中的至少一个。当授权条件始终仅评估最新的授权数据或者说最新有效的授权数据时，这种做法是特别有利的。随后仍将解释用于存储在数据结构或者说授权数据中的交易的有效性的条件。

19、在最简单的情况下，所述块的添加可以由触发了授权数据的创建和/或更改的那个参与者进行。然而也可以实现多个交易(这在区块链或者说分布式交易数据库的实现中极为常见)，尤其是不同参与者的多个交易综合在一个数据区块中。

20、例如，这可以通过如下方式实现：触发了相应的交易或者说触发了授权数据的创建和/或更改的参与者将该交易写入交易池中，该交易池在参与者之间或至少在要生成块的那些参与者之间被复制。在那里可以选择性地进行交易有效性的检查，其中例如可以检查，交易是否通过参与者有效地签署，是否参与者被授权执行该过程等。在成功检查之后或者说如果并未进行这种检查，则可以将多个交易综合为一个数据区块，将该数据区块引用到数据结构中。

21、授权数据可以包括触发了授权数据的创建和/或更改的参与者的身份信息，和/或与身份信息链接的签名，其中授权条件的满足依赖于于身份信息和/或签名。具体地，仅特定的参与者可以被授权创建和/或更改授权数据。仅当身份信息或者说签名被分配给这种授权的参与者时，才满足或才能满足授权条件。

22、签名与身份信息的链接可以是从数据结构中可获取的或者可以是基于数据结构和/或身份信息可验证的。例如，可以在使用私钥的情况下通过各种已知的加密签名方法来创建签名。如果身份信息与该密钥对的公钥相对应，则可以直接根据身份信息来检查签名。由于公钥通常相对较长，因此使用较短的别名作为身份信息可能是有利的，其中可以将该别名相对于私钥的分配存储在数据结构中。

23、能够只有当在数据结构中存在分配给身份信息和/或签名的资格数据时，才满足或才能满足授权条件，所述资格数据指示了对授权数据进行创建和/或更改的参与者的资格。在此，资格数据本身就能够指示这种资格。

24、然而，间接给予资格也是可行的。例如，资格数据可以给予参与者更高级别的资格，其使该参与者有资格创建或者说更改子资格数据。在这种情况下，当子资格数据对于创建或者更改了授权数据的参与者来说表明了，为此给予该参与者资格时，则能够满足或者说能够满足授权条件，其中子资格数据具有身份信息和/或参与者的签名，该参与者通过资格数据被给予资格以创建或者说更改子资格数据。资格的多级层次等级结构也是可行的。

25、可以通过如下方式在数据结构中创建和/或更改资格数据：通过是参与者或是参与者的一部分的处理器设备向数据结构添加额外的数据区块，该额外的数据区块依赖于数据结构的在前数据区块的至少一个。像上文关于授权数据解释的那样，能够分别仅考虑最新有效的资格数据。同样像关于授权数据已经解释的那样，参与者或者说其处理器设备可以通过交易来触发创建或者说更改，该交易本身或与其它交易一起作为数据区块被附加到数据结构。

26、资格数据的所述或一种创建和/或更改可以通过由至少一个参与者的处理器设备执行的程序自动地完成，该程序尤其存储在数据结构中。将程序存储在由链接的数据区块组成的数据结构中，例如在区块链中，本身是已知的，其中这种程序也被称为“智能合约”。程序代码通常以与机器无关的脚本语言存储，并且可以存储在相对较早的数据区块中，以便由此实现高度的防篡改性。可选地，对于与数据结构或者说区块链交互的每个参与者来说，程序的程序代码可以是统一的。这样实现了一组固定的规则并在参与者之间建立了信任。

27、资格数据的创建和/或更改可以取决于由多个参与者向执行程序的处理器设备提供的、尤其作为数据结构的一部分的协调数据。换句话说，程序或者说智能合约通过被授权进行选择的特定参与者控制，由此能够完全省去中央权威机构。自动地创建和/或更改资格数据的程序近似代表中央权威机构，且因此也可以称为“根合约”。

28、协调数据的收集可以有针对性地触发，例如通过参与者调用该程序，其中例如可以向有资格投票的参与者发送相应的请求，他们据此进行投票并例如通过签名对其进行授权。

29、然而，补充地和替代地，同样会有利的是，在特定时间点自动执行程序，例如每次将新数据区块附加到数据结构时或者在一定数量的附加数据区块之后。协调数据可以由有资格投票的参与者在此时间点之前附加到数据结构中或存储在交易缓冲区中，从而程序可以自动评估投票。

30、例如，仅当存在最小数量的赞成票且反对票少于赞成票时，才可以创建和/或更改资格数据。在此还可以向不同的参与者分配不同的投票权重，例如基于他们对数据结构的鲁棒性的经济利益。参与者的投票权也可以通过数据结构进行管理。例如，可以在那里为各个参与者存储投票权数据，所述投票权数据表明，他们是否有资格投票或者他们拥有多少票。

31、资格数据、授权数据、投票权等可以彼此独立地存储在数据结构中。然而，也可以将这些数据中的多个组合成公共的数据组，该公共的数据组例如描述相应的参与者的身份信息及其权利。取代明确地存储单个权利，还可以向单个参与者分配特定的角色，该角色又例如通过数据结构中的数据组被分配了特定的权利。

32、创建和/或修改授权数据组的资格可以是普遍适用的或者可以针对特定的参与者组。例如，如果充电站、机动车和车辆用户作为参与者参与该方法，则作为参与者的车辆制造商可以例如仅被给予资格创建和/或更改与机动车和/或其用户相关的授权数据。而充电设备的运营者只能被给予资格创建或者说更改关于这些充电站的授权数据。

33、例如同样可以实现的是，仅已经创建了特定的另外参与者的授权数据的那个参与者，或者可选地被该参与者给予资格的参与者可以更改该授权数据。由此例如可以排除车辆制造商修改另一制造商的车辆的授权数据的情况。

34、尤其是通过对数据的加密，使得存储在数据结构中的该数据的至少一部分可以对于一部分参与者来说是不能读取的或者不能以纯文本形式读取。由此尤其可以针对不同的参与者实施不同的阅读权限。

35、例如，数据可以通过有权访问该数据的所有参与者的公钥进行加密，并且数据不能以纯文本形式存储。因此只有那些知道相应的分配的私钥的参与者才能访问存储的数据。

36、如果在应用中确保，特定的程序或程序部分(例如智能合约)在防篡改环境中执行，则对写入权或者说读取权的控制也可以通过程序或者说程序部分进行。

37、有利的是，数据结构的写入权同样通过程序，尤其是智能合约来检查，该智能合约例如能够检查应该执行特定的动作的交易的签署。例如当不同的交易综合成一个数据区块时，可能会发生这种情况，其中未签署或未有效签署的交易会被摒弃。

38、与这种检查在更改数据结构之前进行无关地，在评估时，例如在授权条件的框架下检查发起交易的参与者的资格或者说其签名也可以是有利的，以便进一步增强防篡改性。

39、可以有利地相对于相应的身份信息保持元数据，所述元数据例如可以涉及作为参与者的用户或者说参与车辆的车主的个人数据。出于数据保护和数据经济的原因，在此至关重要的是，不得对这些数据进行未经授权的访问，并且可以例如应与这些数据相关的人员的请求将这些数据删除或至少使其不可读取。

40、如果这种元数据被存储在数据结构中，则可以例如通过参与者的公钥对其进行加密，使得只有在知道该参与者的私钥的情况下才可以将其读出。在这种情况下，删除私钥将会导致数据的不可读性。

41、如果希望真正删除数据，或者例如出于数据保护原因要求真正删除数据，可以单独地由数据结构存储相应的元数据，其中例如直接地经由身份信息或者经由存储在数据结构中的指示实现对该数据库中元数据的访问，其中这些元数据优选如上所述被加密，以便当攻击者获得对数据库本身的访问，也能防止未经授权的读取。因此，删除该数据库中分配给身份信息的数据组会导致元数据的完全删除。

42、参与者可以拥有自己的公钥和元数据的读取权。被(特别是如上所述通过存储在数据结构中的资格数据)给予资格创建和/或更改资格数据的参与者也可以被称为管理员。管理员可以具有对其授权数据由他创建的参与者的公钥和元数据的读取权。管理员还可以具有对与由其授权的参与者进行交互(即例如向其或与其进行交易)的参与者的身份信息和/或公钥的读取权。可选地，还可以访问这些参与者的元数据或至少访问这些参与者的部分元数据。例如，机动车制造商和充电设备运营者可以具有对形成参与者的相应的彼此交互的对象和用户的读取权。然而，机动车制造商优选不能从其它机动车制造商读取关于参与者，即特别是关于机动车或者说用户的任何信息，或者说充电设备运营者不能从其它充电设备运营者读取关于参与者，特别是充电设备或者说用户的任何信息。

43、管理员可以为参与者创建身份信息，特别是通过为该参与者生成密钥。通过管理员创建或者说如此更改相应的授权数据，使得功能被开通，管理员能够激活参与者或者说分配给参与者的身份信息。在此，不同的功能、服务等作为功能还能够被单独或共同地开通。相应的管理员可以通过如下方式触发相应的参与者的状态更改：管理员改变授权数据，例如将标识或变量设置为真(true)或假(false)。

44、管理员可以删除已由他们授权或者说创建的参与者的元数据。通过删除元数据以及元数据与身份信息或者说公钥之间的链接，实现了高水平的数据保护，因为之后不再存在直接个人相关的信息并且存储在数据结构中的交易不再能够分配给特定的人员。

45、机动车可以用作第一参与者，而基础设施设备可以用作第二参与者，或者反之亦然。例如，可以通过栅栏等阻止驶入特定的区域，并且仅当机动车被授权后才被开通。相反，例如，仅当基础设施设备被授权后，才能满足基础设施设备的支付请求，例如用于驶过特定区域或停车。例如当为了自动化的泊车过程等要把对机动车的监控转交给基础设施设备，以便确保基础设施设备满足预先给定的要求时，对基础设施设备的授权也会是重要的。基础设施设备尤其可以是用于对机动车的能量存储器进行充电的充电设备。

46、特别有利的是，可以使用机动车作为第一参与者，并且可以使用用于对机动车的能量存储器进行充电的充电设备作为第二参与者，或者反之亦然，其中第二参与者的功能对于通过充电设备向能量存储器充电来说是必要的。如上所述，尤其可以进行双方的授权，从而仅当充电设备相对于机动车以及机动车相对于充电设备都被授权时，才进行充电。因此，作为充电设备的功能，可以开通电力输出或者说在机动车方面开通充电控制和/或支付功能。

47、该数据结构还可以存储参与者之间的交易，特别是关于已开通的功能。与充电过程相关的交易例如可以包括将交易标记为充电过程，涉及机动车的和充电设备的身份信息以及传输的能量的量。此外，这种交易可以可选地包括机动车的能量存储器的当前的充电状态、机动车或者说机动车的用户以数字货币表示的信用额度、充电站的质量标准，例如功率测量的精度、可以提供的最大功率等。

48、交易还可以包括通过第二参与者评价第一参与者，或者反之亦然，即例如通过机动车或者说充电桩评价充电过程。该信息可以是有利的，以便例如向车辆制造商或者说充电设备运营者提供关于可能的改进的信息。例如，车辆制造商方面可以评估相应的数据，以便由此补充有关车辆方面提供的关于充电设备的信息或者说在规划路线时考虑相应的信息。

49、除了根据本发明的方法之外，本发明还涉及一种处理器设备，该处理器设备设计用于作为参与者或作为参与者的一部分参与本发明的方法。处理器设备尤其可以包括：用于与其它参与者通信、尤其用于复制数据结构的通信设备；用于存储数据结构的存储设备，以及用于执行方法步骤的运算器。在满足授权条件时被开通的功能可以是处理器设备本身的功能，例如在数据结构上执行交易。然而，该功能还可以是或包括对处理器设备外部的组件—例如机动车的充电控制装置或者说充电设备的组件、栅栏的或其它障碍物的致动器、交通灯控制装置或类似的设备—的控制。

50、本发明还涉及一种机动车，所述机动车包括根据本发明的处理器设备，以及涉及一种基础设施设备，尤其是充电设备，其包括根据本发明的处理器设备。