智能表的個性化方法或者智能表網(wǎng)關安全模塊的個性化方法
【專利摘要】本發(fā)明公開了一種通過第一計算機系統(tǒng)(150)對智能表或智能表網(wǎng)關安全模塊(100)進行個性化的方法�;其中,智能表(142��、144�����、146、148)能獲得與能源消耗相關的測量數(shù)據(jù)�;安全模塊(100)具有密保功能,用于執(zhí)行智能表(142���、144���、146、148)或智能表網(wǎng)關(138)所接收到的測量數(shù)據(jù)與能源供應商和/或測量單位操作員的第二計算機系統(tǒng)(166)之間的密鑰通訊�����;該方法包括以下步驟:準備安全模塊(100)����;由第一計算機系統(tǒng)生成非對稱密鑰對,并將該密鑰對儲存到安全模塊(100)�;將該密鑰對的公共密鑰進行簽注����,以獲取證書,并將該證書儲存到安全模塊(100)和/或公共索引服務器(610)中���;其中��,簽注是通過第一計算機系統(tǒng)(150)進行的����;安全模塊(100)是如此設置的,在存儲所述密鑰對之后�����,只允許智能表(142�����、144�、146、148)或智能表網(wǎng)關(138)與第一計算機系統(tǒng)(150)之間的初始通訊��;只有通過第一計算機系統(tǒng)(150)的初始通訊���,安全模塊(100)才能激活與第二計算機系統(tǒng)(166)之間的通訊���。
【專利說明】智能表的個性化方法或者智能表網(wǎng)關安全模塊的個性化方 法
【技術領域】
[0001] 本發(fā)明涉及一種智能表的個性化方法或者一種智能表網(wǎng)關安全模塊的個性化方 法、以及一種計算機程序產(chǎn)品����。
【背景技術】
[0002] 就"智能表(或稱智能電表)"而言���,一般理解為給客戶配備的電能消耗計數(shù)器, 除了可以簡單地抄讀已消耗的電量外�,還可以通過網(wǎng)絡為客戶或者供電公司提供其它的功 能。
[0003] 通過智能電表����,客戶可以實時得知實際的能源消耗。此處術語"能源消耗"���,可以理 解為客戶在家或者在公司所消耗的任何一種能源的數(shù)量�。能源形式除了電���、水����、氣之外�,還 可以是任意其它的能源形式,例如集中供暖����。
[0004] 為了抄讀能量消耗量���,可以在各個消費者處安裝智能測量系統(tǒng)���,也叫智能計數(shù)器���, 或者"智能電表"。智能電表就是能源消耗計數(shù)器���。消費者可以是自然人或者法人�,消耗各 種可測量的能源�,例如電、氣��,水或者熱能�。使用智能電表的目的是使用智能測量系統(tǒng)根據(jù) 總需要和電網(wǎng)負荷收取可變的費用,由此可以更好地使用網(wǎng)絡����。
[0005] 根據(jù)BSI TR-03109技術規(guī)范,所謂的智能電表網(wǎng)關也稱為集中單元�����,它用來作 為中央通訊單元�����,可以與一個或者多個智能電表通訊。為此��,網(wǎng)關在"家庭區(qū)域網(wǎng)絡(Home Area Network)"和"廣域網(wǎng)絡(Wide Area Network)"與設備進行通訊����。家庭區(qū)域網(wǎng)絡包括 所有與網(wǎng)關連接的智能電表以及消費者的私人計算單元。私人計算單元用于生成由智能電 表抄讀到的實際能源消耗值的相關信息�。廣域網(wǎng)絡則可用于網(wǎng)關與授權市場參與者之間的 通訊。例如�����,網(wǎng)關可以將智能電表的所有數(shù)據(jù)收集起來���,并將其提供給一個上級收集單位����, 例如能源供應商或者測量單位操作員���。
【發(fā)明內(nèi)容】
[0006] 此處�����,本發(fā)明的目的是提供一種智能電表的個性化方法或者一種智能電表網(wǎng)關安 全模塊的個性化方法��,以及相應的計算機程序產(chǎn)品�。
[0007] 本發(fā)明的獨立權利要求提供了實現(xiàn)上述發(fā)明目的的技術方案�,而從屬權利要求則 給出了本發(fā)明的優(yōu)選實施方式。
[0008] 通過第一計算機系統(tǒng)�����,可以實現(xiàn)一種智能電表安全模塊的個性化方法或者智能電 表網(wǎng)關安全模塊的個性化方法����;其中,智能電表可以獲得與能源消耗相關的測量數(shù)據(jù)����;安 全模塊具有密保功能,用于執(zhí)行智能電表或者智能電表網(wǎng)關所接收到的測量數(shù)據(jù)與能源供 應商和/或測量單位操作員的第二計算機系統(tǒng)之間的密鑰通訊��;該方法包括以下步驟:
[0009] -準備安全模塊���;
[0010]-由第一計算機系統(tǒng)生成非對稱密鑰對�����,并將其儲存到安全模塊����;
[0011]-將密鑰對的公共密鑰進行簽注,用于獲取證書�,并將證書儲存到安全模塊和/或 公共索引服務器中;其中���,簽注是通過第一計算機系統(tǒng)進行的����;安全模塊是如此設置的�����,在 儲存密鑰對之后�����,安全模塊只允許智能電表和/或智能電表網(wǎng)關與第一計算機系統(tǒng)之間的 初始通訊�;只有通過第一計算機系統(tǒng)的初始通訊,安全模塊才能激活與第二計算機系統(tǒng)之 間的通訊����。
[0012] 本發(fā)明的【具體實施方式】具有如下優(yōu)點:通過初始化過程����,能夠以更安全�����、清晰�、可 行的方式�����,實現(xiàn)智能電表和授權市場參與者(例如能源供應商或者測量單位操作員)之間 的安全通訊�。此處,第一計算機系統(tǒng)優(yōu)選是可信賴單位的計算機系統(tǒng)��,也稱為"信任中心 (Trust Center)"或者"可信服務管理平臺(Trusted Service Manager)"或者"可信服務 管理(TSM) "�����。
[0013] 安全模塊在其初始化狀態(tài)是如此設置的���,只有第一計算機系統(tǒng)的可信賴單位在成 功通過認證后��,才能與安全模塊進行通訊����。由此保證只托付這些單位來設置智能電表中與 費用相關的配置,這些單位可以是授權的市場參與者���,例如測量單位操作員和能源供應商 本身�����;同樣�,終端消費者也可以設為可信賴的對象�。"與費用相關的配置"可作如下理解:通 過智能電表的這種配置,確定誰有權計算由智能電表抄讀到的能源數(shù)量�����;另外��,由此也可以 確定�,哪些人(例如終端消費者和授權的市場參與者)可以使用智能電表哪些范圍內(nèi)的功 能以及信息。因為這些設置都是由可信賴單位單方面執(zhí)行的�,從而保證排除未授權第三方 非法使用這些功能和信息。上述信息包括:例如智能電表的地點信息����、由智能電表測量到的 數(shù)值��、儲存區(qū)的地點信息或者儲存區(qū)中包含的數(shù)值��。
[0014] 一般來說�,由誰來準備安全模塊不重要���,也就是說,此處是否由可信賴單位處理此 事不重要����。另外,一般來說�,是否由可信賴的有關單位執(zhí)行存儲過程也不重要。安全模塊在 準備階段的移交狀態(tài)下沒有設置任何的保密資料���。未授權人員通過安全模塊不能進行任何 操作����,因為在沒有證書的情況下���,第一計算機系統(tǒng)不能執(zhí)行任何授權的密碼操作���。只有在儲 存非對稱密鑰對的私人密鑰時�,必須保證安全模塊和第一計算機系統(tǒng)之間必要的通訊是安 全防竊聽的�。
[0015] 在數(shù)據(jù)存儲到安全模塊后,這些對于未授權人員來說就無意義了��,因為只有第一 計算機系統(tǒng)才能與安全模塊進行通訊�,從而修改或者執(zhí)行上述設置。
[0016] 根據(jù)本發(fā)明一【具體實施方式】�����,安全模塊具有明確的識別碼����;其中,本發(fā)明的方法還 另外包括將識別碼儲存在安全模塊中的步驟��;其中�����,簽注的步驟也包括將識別碼進行簽注�����。 這一【具體實施方式】的優(yōu)點在于,稍后憑借識別碼運行安全模塊給測量單位操作員或者能量 供應商傳輸能源消耗數(shù)據(jù)時�����,安全模塊可以清楚地驗證安全模塊���、進而驗證終端消費者���。如 果在使用識別碼的情況下,安全模塊由此與智能電表和/或網(wǎng)關建立了不可逆地自動連 接�����,那么也可以清楚地驗證智能電表和/或網(wǎng)關���,由此可以有效阻止其它智能電表或者網(wǎng) 關的"假冒"。
[0017] 根據(jù)本發(fā)明另一【具體實施方式】����,通過安全模塊的識別碼,可以直接或間接地通過 網(wǎng)關為智能電表設置了存儲區(qū)的識別碼���,由此保證安全模塊和存儲區(qū)之間不可分離地相互 連接起來�����,這樣���,安全模塊的準確定位與存儲區(qū)的準確定位是一致的�����。如果存儲區(qū)位于智能 電表網(wǎng)關內(nèi)����,就可以確保以后網(wǎng)關不會通過非法方式由其它網(wǎng)關代替��。例如����,可以阻止"黑 客"網(wǎng)關將數(shù)值提供給測量單位操作員,這些"黑客"網(wǎng)關只是偶爾地與相應的智能電表連 接�����,其根本沒有進行實際能源消耗數(shù)據(jù)的抄讀��。上述存儲區(qū)可以只通過安全模塊由第一計 算機系統(tǒng)來書寫�,并且根據(jù)識別碼可清楚地定位此存儲區(qū)���。在這種情況下,使用其它網(wǎng)關和 其它存儲區(qū)原則上是不可能的�����,因為就第一計算機系統(tǒng)而言����,其不會啟動與能源讀取的相 關數(shù)據(jù)。
[0018] 根據(jù)本發(fā)明一【具體實施方式】�����,安全模塊的識別碼是指安全模塊的公共密鑰或者安 全模塊的IPv6地址��。使用安全模塊的公共密鑰作為安全模塊的識別碼�、從而作為存儲區(qū)的 識別碼的優(yōu)點在于���,由此可以準備全球唯一標識符(GUID)�����,它幾乎是絕對安全的�。簡單地分 配一個盡可能長的公共密鑰就可以實現(xiàn)對識別碼的簡單管理。在安全模塊的識別碼是IPv6 地址的情況下��,通過簡單的方式�,就可以通過現(xiàn)有網(wǎng)絡對安全模塊進行準確地定位。
[0019] 根據(jù)本發(fā)明另一【具體實施方式】���,證書包含安全模塊的公共密鑰和/或識別碼�。該 公共密鑰是分配給私人密鑰的�,私人密鑰儲存在安全模塊的受保護的存儲區(qū)內(nèi)。該證書可 以根據(jù)公鑰基礎設施(PKI)標準生成�,例如根據(jù)X. 509標準生成。
[0020] 根據(jù)本發(fā)明一【具體實施方式】����,本發(fā)明的方法還包括在智能電表或者智能電表網(wǎng)關 中安裝安全模塊的步驟,其中���,該安裝是通過執(zhí)行在安全模塊和智能電表或者智能電表網(wǎng) 關之間的不可逆且不可分離的連接過程而實現(xiàn)的���。"不可分離"或者"不可逆"的意思可以 理解為安全模塊和智能電表或者智能電表網(wǎng)關之間建立持續(xù)地連接,由此保證安全模塊的 功能�����。只要嘗試將安全模塊與智能電表或者智能電表網(wǎng)關分離,就導致安全模塊進入不可 用狀態(tài)�,也就是無功能狀態(tài)。這可以通過安全模塊的電子自我銷毀����、自我失活、或者物理銷 毀或失活來保證�。在最簡單的情況下,安全模塊可以鎖在智能電表或者智能電表網(wǎng)關的外 殼中�����,這樣"拆開"鑄件連接�,就會導致安全模塊的銷毀。
[0021] 優(yōu)選地����,為了安全模塊與智能電表或者智能電表網(wǎng)關的相互連接,啟動智能電表 或者智能電表網(wǎng)關的連接過程�,其中,通過該連接過程在安全模塊和智能電表或者智能電 表網(wǎng)關之間建立不可分離的邏輯連接��。例如�,這種不可分離的邏輯連接包括將安全模塊的 證書和/或識別碼不可逆地復制到分配給智能電表或者網(wǎng)關的存儲區(qū)中�。
[0022] 根據(jù)本發(fā)明一【具體實施方式】����,第一計算機系統(tǒng)是安全的�����、封閉的第一自動化設施 的一部分��,其中:
[0023] -將密鑰對和/或證書和/或識別碼存儲在安全模塊中是同樣在第一自動化設施 中進行的�����;或者
[0024] -將密鑰對和/或證書和/或識別碼存儲在安全模塊中是在第二封閉的自動化設 施中進行的�����;其中����,在這種情況下,非對稱密鑰對和/或簽名和/或識別碼從第一自動化設 施通過加密的通訊連接傳輸給第二自動化設施��。
[0025] 優(yōu)選地��,安全的、封閉的第一自動化設施是指信任中心����。信任中心定義為公鑰基礎 設施(PKI)可信賴機構,它為使用者和通訊伙伴提供安全服務�����。信任中心可以接受認證單 位或者密碼管理中心的基本功能��。在上述描述中非常重要的是�,第一自動化設施是指部件 的積聚體,它在安全的��、空間封閉的自動化環(huán)境中生成不對稱密鑰對和證書��。另外�����,這還意 味著可以在第一自動化設施中,各部件以預定方式共同作用�����,能夠實現(xiàn)集中控制和中央調 控��。這同樣也適用于上述的第二封閉自動化設施���。因此�,兩個自動化設施是分離的�����,或者是 "空間分離"的���,因為兩個自動化設施中都進行各自的自動化過程����,不形成中央控制��。
[0026] 根據(jù)本發(fā)明一【具體實施方式】�����,在智能電表或者智能電表網(wǎng)關中安裝安全模塊是在 第二自動化設施之內(nèi)進行的。該安裝一定不能在第一自動設施中進行�,或者不能由第一自 動化設施來執(zhí)行���。這樣���,可以通過簡單的方式,通過儲存密鑰和證書來準備大量的安全模 ±夬����,在稍后任意的時間任意的地點與硬件"智能電表"或者"智能電表網(wǎng)關"進行邏輯連接�。 仍然可以確保���,在之后的任意時點��,只通過第一計算機系統(tǒng)激活與第二計算機系統(tǒng)的通訊。
[0027] 根據(jù)本發(fā)明一【具體實施方式】,安全模塊是以芯片卡形式提供的��。第一計算機系統(tǒng) 的操作員預先設置了芯片卡形式的安全模塊���,它將信息存儲在芯片卡中���,第一計算機系統(tǒng) 成功認證了安全模塊后��,稍后執(zhí)行初始化過程或者激活過程�����。
[0028] 根據(jù)本發(fā)明一【具體實施方式】����,準備好的安全模塊沒有進行個性化,其中�,只有將密 鑰對和/或證書儲存到安全模塊中才進行安全模塊的個性化。此處����,術語"個性化"是指清 楚地確定安全模塊的標志特征,該標志特征使得該安全模塊能夠被唯一地確定�����,從而可以 清楚地與其它安全模塊區(qū)分開來�����。
[0029] 根據(jù)本發(fā)明另一【具體實施方式】���,本發(fā)明的方法還包括將第一計算機系統(tǒng)的聯(lián)系信 息儲存在安全模塊中的步驟��,其中���,通過該聯(lián)系信息確定如此界限:只在第一計算機系統(tǒng)上 進行初始化通訊��。這樣�����,在存儲過程中同時也可以清楚地確定��,只有第一計算機系統(tǒng)被激活 用于與安全模塊建立聯(lián)系��。所有其它計算機系統(tǒng)不能進行這種初始化讀取數(shù)據(jù)���。例如�����,可以 將第一計算機系統(tǒng)的明確標識���,例如其姓名或者其公共密鑰�����,作為信息儲存在安全模塊中�。 之后��,第一計算機系統(tǒng)通過它自己的證書對安全模塊進行認證。
[0030] 另一方面�����,本發(fā)明涉及一種計算機程序產(chǎn)品�,其具有處理器可執(zhí)行的指令,以執(zhí)行 上述方法的步驟�。
[0031] 下面,借助附圖來詳細地描述本發(fā)明的優(yōu)選【具體實施方式】����。其中:
【專利附圖】
【附圖說明】
[0032] 圖1顯示了用于執(zhí)行上述方法的系統(tǒng)的框圖;
[0033] 圖2顯示了用于與智能電表之測量數(shù)據(jù)進行通訊的系統(tǒng)的框圖�;
[0034] 圖3顯示了用于初始化存儲區(qū)之方法的流程圖;
[0035] 圖4顯示了用于準備安全模塊之方法的流程圖�。
【具體實施方式】
[0036] 在下面的【具體實施方式】中,相同的元件采用相同的附圖標記�����。
[0037] 圖1顯示了用于個性化安全模塊的各種自動化設施的布局方框圖�。下面只以圖1 左側的形式為例進行敘述,其中�����,安全模塊1〇〇通過自動化設施600完全地進行個性化。
[0038] 自動化設施600配置了一臺計算機602,它具有密鑰生成模塊604和簽注模塊 606��。通過密鑰生成模塊604,計算機602可以生成不對稱密鑰對�����。通過簽注模塊606,計算 機600可以將模塊604生成的公共密鑰進行簽注��,由此生成證書104�。為此,模塊606借助 自動化設施600的私人密鑰而對所生成的公共密鑰進行加密���。
[0039] 密鑰對生成之后��,特別是私人密鑰106可以保存到安全模塊100的存儲器102中, 其中必須保證�����,在安全模塊100之外不能讀取私人密鑰106���。此處����,例如在存儲了私人密鑰 106之后,安全模塊100在一單獨步驟中直接"關閉"��。
[0040] 證書104優(yōu)選通過網(wǎng)絡608保存在公共索引服務器610中�;也可以將證書直接保 存在存儲器102中。
[0041] 將安全模塊100個性化之后��,可以在單獨的工作步驟中將其與智能電表或者智能 電表網(wǎng)關138阻隔開���。它不能安裝在自動化設施600中��,而可以在例如自動化設施611中 進行��。將安全模塊1〇〇安裝到網(wǎng)關138中��,就在網(wǎng)關和安全模塊之間建立了不可逆的邏輯 連接�,同樣也是物理連接��。關于這一點��,稍后還會詳細介紹���。
[0042] 上述個性化方法的替代方案可以是�����,取代在自動化設施600中"現(xiàn)場"個性化��,而 是通過網(wǎng)絡608在自動化設施611中執(zhí)行個性化方法���。此處���,圖1右側中用虛線示出了安 全模塊100。在這種情況下��,還像之前那樣����,由計算機602生成非對稱密鑰對。然后將私人 密鑰106傳輸給自動化設施611�,在使用網(wǎng)絡608的情況下通過密保通訊連接傳輸給安全模 塊100的存儲器102。
[0043] 兩個自動化設施600和611在空間上和邏輯上都是互相分離的��。它們是"自動化 設備"�,各自的自動化流程在空間上都是完全分開控制的����。
[0044] 因此,例如可以給自動化設施610配置傳送芯片卡的傳送帶,在自動化設施610內(nèi) 部的中央控制下����,按照特定的節(jié)奏將芯片卡輸送給閱讀器或者書寫器。在這種情況下��,芯片 卡就是安全元件�����。然后��,芯片卡閱讀器或者書寫器在芯片卡上針對私人密鑰106以及證書 104執(zhí)行上述書寫過程�。接著,還可以包裝好完成個性化的芯片卡����,準備自動發(fā)貨。
[0045] 由此����,完全分離的自動化設施611可以使用中央控制單元,且此中央控制單元只 對自動化設施611有效���,收到發(fā)貨后打開芯片卡��,并將其安裝到相應的網(wǎng)關38���。
[0046] 如果自動化設施611中的安全模塊100如之前所描述的一樣���,就減少了自動化設 施600生成密鑰并將其傳輸給自動化設施611的工作步驟。此處��,自動化設施611接受具 有這種密鑰的芯片卡所限定的上述功能�����。
[0047] 圖2顯示了一種總系統(tǒng)的方框圖�����,它使用圖1所顯示的安全模塊100對存儲區(qū)進 行初始化�����。接下來��,與圖3所顯示的用于初始化存儲區(qū)的步驟一起�����,無特殊限制地介紹了對 網(wǎng)關138的存儲區(qū)136進行初始化�,網(wǎng)關中安裝了所歸屬的大量的智能電表142���、144����、146����、 148。
[0048] 智能電表142-148用于抄讀各種能源的消耗值�����,例如氣(智能電表142)��、水(智能 電表144)��、電(智能電表146)以及其它沒有詳細介紹的能源形式(智能電表148)�。智能 電表通過相應的通訊連接192與網(wǎng)關138的接口 118連接。
[0049] 安全模塊100與網(wǎng)關138穩(wěn)固地�����、不可分地連接起來。這樣���,網(wǎng)關138與安全模塊 100的組合就形成了一個不可分的單元140��。網(wǎng)關138和安全模塊100通過各個接口 118 或者116相互通訊��。通過接口 116,還可以與授權市場參與者���、第三方或者相關單位通訊,其 不在由單元140和智能電表142-148所形成的網(wǎng)絡中�。安全模塊100和其它通訊參與者之 間的通訊則通過通訊連接190來實現(xiàn),它可以是電線連接��,或者是通過移動電信通訊網(wǎng)絡 或因特網(wǎng)實現(xiàn)的通訊連接���。
[0050] 安全模塊100具有電子存儲器102,它具有受保護的存儲區(qū)106和108�。受保護的 存儲區(qū)106用于儲存安全模塊100的私人密鑰�,存儲區(qū)108則用于儲存安全模塊的標識符 "全球唯一標識符(⑶ID)"。全球唯一標識符(⑶ID)例如可以是安全模塊100的IPv6地 址�,它可以由圖1所顯示的自動化設施610生成,并通過上述儲存私人密鑰106的方法儲存 在安全模塊中����。存儲過程可以由自動化設施610執(zhí)行�,或者由自動化設施611執(zhí)行�。
[0051] 另外��,電子存儲器102可以配置存儲區(qū)104,用于儲存證書�。證書中包含公共密鑰, 該公共密鑰分配給在受保護的存儲區(qū)106中所存儲的私人密鑰����。證書也可以根據(jù)公鑰基礎 設施(PKI)標準生成,例如根據(jù)X. 509標準����。
[0052] 證書不是必須儲存在安全模塊100的電子存儲器102中??梢蕴娲蛘呖梢匝a充 的是,將證書儲存在公共索引服務器中�����,見圖1�。
[0053] 安全模塊100具有處理器110,用于執(zhí)行程序指令112和114。通過執(zhí)行程序指令 112 "密碼協(xié)議"����,例如可以認證有關單位150或者能源供應商166對于安全模塊100的可 信度���。密碼協(xié)議例如可以是以對稱密鑰或者非對稱密鑰對為基礎的口令/應答協(xié)議。
[0054] 當然也可以反過來驗證安全模塊對于有關單位或者能源供應商的可信度���。
[0055] 程序指令114用于對安全模塊100與可信賴的有關單位150或者能源供應商166 之間的數(shù)據(jù)傳輸進行點對點的加密�。對于點對點的加密可以使用對稱密鑰��,例如在執(zhí)行安 全模塊100和其它參與者150或者166之間的密碼協(xié)議時進行約定�。
[0056] 與安全模塊100相似的是,可信賴的有關單位150也配置了一個電子存儲器152 和受保護的存儲區(qū)156,用于儲存可信賴單位的私人密鑰�����。存儲器152中也可以含有可信賴 單位的證書�。此證書同時也可以儲存在中央證書服務器中。
[0057] 另一方面��,可信賴的有關單位150的處理器158中配有上述與安全模塊100有關 的程序指令112和114,用于執(zhí)行密碼協(xié)議和點對點加密��。密碼協(xié)議和點對點加密可用于通 過接口 164與能源供應商166或者安全模塊100實現(xiàn)的通訊���。證書154包含分配給儲存在 受保護的存儲區(qū)156中的私人密鑰的公共密鑰���。
[0058] "能源供應商" 166是能源供應商的計算機系統(tǒng)�����,它配置了一個電子存儲器168和 一個處理器178���。另外,這個計算機系統(tǒng)還有一個接口 186,通過它可以實現(xiàn)與可信賴單位 150或者安全模塊之間的通訊���。
[0059] 能源供應商的電子存儲器168具有帶私人密鑰的受保護的存儲區(qū)172,私人密鑰 還分配了一個公共密鑰,它包含在證書170中�,同樣也包含在電子存儲器168中。另外����,存 儲器168中設有一個存儲區(qū)用于一項或者多項應用,這些應用可以實現(xiàn)例如與費用相關的 網(wǎng)關138配置��。在電子存儲器168中同樣也可以儲存由網(wǎng)關138所接收到的測量數(shù)據(jù)176�����。
[0060] 處理器178具有程序指令180,用于抄讀由網(wǎng)關138送來的消耗數(shù)據(jù)和其它內(nèi)容��, 由此執(zhí)行方法步驟���,根據(jù)接收到的測量數(shù)據(jù)(程序指令182)計算能源消耗���。同時也可以設 置執(zhí)行密碼協(xié)議112的程序指令以及未介紹的執(zhí)行點對點加密的程序指令�,通過這些程序 指令可以與可信賴單位150或者安全模塊100建立安全通訊�����。
[0061] 如果現(xiàn)在給能源供應商166分配了一個新客戶�����,例如可以在初次安裝了智能電表 142-148,并準備好帶安全模塊102的網(wǎng)關138之后再啟動安全模塊的初始化過程���。如果新 客戶(終端消費者)或者指定的技術有關單位已經(jīng)安裝過智能電表���,初始化過程就有可能 出現(xiàn)沖突,就會向能源供應商166發(fā)送相應的通知�����。通知中應該優(yōu)選包含安全模塊100的 全球唯一標識符(⑶ID) 108,因為安全模塊100可以清楚地針對能源供應商166進行認證���。
[0062] 能源供應商166通過接口 186,例如通過相應網(wǎng)頁上的網(wǎng)絡接口接收到通知后��,就 建立了到達可信賴單位150的通訊通道����。這個步驟在圖3中用附圖標記200標示出來了。 可信賴的有關單位可以是例如所謂的"可信服務管理(TSM) "���,一家在電子通訊程序中證明 通訊伙伴身份的官方認證單位��。
[0063] 在下面的描述中���,從原則上來說�,自動化設施600及它的計算機602與可信賴的有 關單位150是相同的。
[0064] 在第200步建立了通訊通道后���,在第202步驗證能源供應商166�����。此處��,可信賴的 有關單位150檢查能源供應商的證書170���。例如����,可信賴的有關單位150在檢驗證書時執(zhí)行 口令/應答程序����,由此產(chǎn)生一個隨機驗證碼,它與證書170中包含的能源供應商166的公共 密鑰一起加密����,并傳送給能源供應商166。緊接著���,能源供應商166可以用其私人密鑰172 解密隨機驗證碼��,并以明文形式發(fā)回���。如果可信賴單位150接收到的隨機驗證碼與之前所 描述的隨機驗證碼一致,實際上能源供應商166就通過了驗證��。
[0065] 執(zhí)行了步驟202及選擇性執(zhí)行口令/應答程序后����,緊接著在第204步�,可以通過能 源供應商166和可信賴單位150之間的通訊連接����,建立點對點的加密通道。此處可以使用 可信賴單位的處理器158的程序指令114�。
[0066] 在第204步建立了通訊通道后,可信賴單位150在第206步接收請求開啟能源供 應商166的能源抄讀應用174,并傳輸給網(wǎng)關138的存儲器136�����。為了清楚地說明存儲器136 或者網(wǎng)關138,請求中應將初始化存儲器136�����、并將存儲器136中含有的網(wǎng)關138的全球唯 一標識符(⑶ID) 128發(fā)送給可信賴的有關單位�。存儲器136的全球唯一標識符(⑶ID) 128 優(yōu)選與安全模塊100的存儲器102的全球唯一標識符(⑶ID) 108 -致。
[0067] 通過在第206步接收全球唯一標識符(⑶ID)�,可信賴的有關單位150清楚定位需 要的網(wǎng)關138,以啟動應用174���。此處�����,在接下來的步驟208中��,可信賴單位150通過通訊連 接190建立到達安全模塊100的通訊通道�����??尚刨噯挝?50針對安全模塊100進行驗證, 驗證包括安全模塊100的口令/應答程序以及安全模塊對證書154的檢驗����。此處,安全模 塊100生成一個隨機驗證碼�,和可信賴單位150的公共密鑰一起加密,并發(fā)送給可信賴單位 150��?��?尚刨噯挝?50用其私人密鑰156解密這個加密隨機驗證碼���,并將明文格式的解密隨 機驗證碼發(fā)回給安全模塊100。如果安全模塊確定接收到的解密隨機驗證碼與它的原始加 密隨機驗證碼一致���,則表示可信賴單位通過驗證��。
[0068] 本發(fā)明方法繼續(xù)進行到第212步�,在可信賴單位150和安全模塊100之間建立點 對點加密通訊通道。這一步可以應用安全模塊100的處理器110的程序指令114�。
[0069] 第214步,安全模塊100從可信賴單位接收能源抄讀應用174�。
[0070] 此時可以發(fā)現(xiàn)其優(yōu)點在于,如果可信賴單位將最常使用的能源抄讀應用事先存放 在可信賴單位的本地存儲器中����,就不需要在簽訂新用戶時總是讓能源供應商166給可信賴 單位150發(fā)送應用174。
[0071] 在第214步接收到能源抄讀應用后�����,安全模塊100將應用儲存到網(wǎng)關138的存儲 器136中�。如果應用174是關于抄讀水電能源消耗的應用,應用就作為應用132保存在存 儲器136中���。應用的作用是直接處理智能電表144的能源消耗數(shù)據(jù)��。與此相似的是��,存儲 器136可以包含氣能源抄讀應用(134)以及抄讀其它能源形式的其它應用程序130。圖2 第216步標示了網(wǎng)關138中的安全模塊100儲存能源抄讀應用的過程�����。
[0072] 對安全模塊100在第214步接收能源抄讀應用可以補充的是,可以從可信賴單位 150接收能源供應商資格證書或者網(wǎng)絡數(shù)據(jù)元件的詳細規(guī)格說明��,這些同樣也儲存在存儲 器136的其它資格125中�����。資格證書或者測量數(shù)據(jù)元件的詳細規(guī)格說明可以事先規(guī)定允許 從網(wǎng)關138接收的關于能源供應商166的信息�。此處,例如可以事先由可信賴單位150定 義每個能源供應商的特殊資質��,這些資質對于所有的能源供應商166都全球有效�,原則上 來說將能源抄讀應用發(fā)送給安全模塊,再發(fā)送給網(wǎng)關138��。
[0073] 同時還可以得到可信賴單位150的配置數(shù)據(jù)�����。這些配置數(shù)據(jù)可以涉及智能電表和 /或其網(wǎng)關的技術配置���。
[0074] 憑借程序指令��,處理器126執(zhí)行數(shù)據(jù)抄讀122����。此時,網(wǎng)關138的作用就是抄讀例如 智能電表144和智能電表146的能源消耗測量數(shù)據(jù)����。相應的測量數(shù)據(jù)則儲存在存儲器136 的儲存區(qū)124中。原則上來說���,測量數(shù)據(jù)124由很多測量數(shù)據(jù)元件組成�,例如包括:測量數(shù)據(jù) 抄讀時間�����,各個時間的單個測量數(shù)據(jù)點��,測量數(shù)據(jù)的產(chǎn)生信息(例如電流強度���、電壓��、水壓�����、 水溫�、氣壓)。測量數(shù)據(jù)124可以通過應用程序130�、132和134執(zhí)行其它評價���,這些評價同 樣作為"數(shù)據(jù)測量元件"保存在存儲區(qū)124中���。例如評價出的測量數(shù)據(jù)可以是累積能源消 耗值。
[0075] 上述資格證書125以及測量數(shù)據(jù)元件的規(guī)格說明可以事先規(guī)定��,能源供應商126 的哪些數(shù)據(jù)測量元件124允許被讀取����。另外,還可以事先規(guī)定允許讀取的資料的詳細程度�����。 詳細地�,準時地讀取測量數(shù)據(jù)124是不被大家所期望的,因為通過短暫的測量時間間隔就 可以知道電器對能源的消耗情況����,并且由此可以了解到用戶的特點,但是同樣終端用戶也 得不到利益�。
[0076] 如上所述,安全模塊100和網(wǎng)關138優(yōu)選不可分地連接在一起。例如將其形成一 個結構單元140,如圖2圖形所示��。為了形成單元140,可以執(zhí)行圖4流程圖中介紹的程序 步驟����。
[0077] 第400步,首先要準備安全模塊100��。緊接著執(zhí)行第402步����,將密鑰材料和/或證 書儲存到安全模塊中。例如���,為此可以給安全模塊設置相應的密鑰單元�,它可以單獨由私人 密鑰產(chǎn)生��。另一種方式�,可以由可信賴單位生成私人密鑰,并將其保存在一個外部不可進入 的存儲區(qū)的安全模塊中�����。從屬于私人密鑰的公共密鑰隨著證書由可信賴單位進行簽注儲存 在安全模塊的存儲器102中���,或者儲存在公共索引服務器中��。另外��,在第402步還可以將可 信賴單位的聯(lián)系方式儲存在安全模塊中����,通過聯(lián)系方式可以規(guī)定對可信賴單位的初始通訊 的限制�。也就是說,第402步將密鑰材料儲存好后�����,只有可信賴單位在初始化步驟中可以成 功讀取安全模塊��。
[0078] 緊接著����,在第404步將芯片卡形式的安全模塊安裝到網(wǎng)關,由此安全模塊與網(wǎng)關 之間就建立了不可分的連接���。例如�,安全模塊和網(wǎng)關可以相互電子連接��,如果將安全模塊與 網(wǎng)關分離,將會導致安全模塊自動毀壞�����。
[0079] 在第404步將安全模塊插入網(wǎng)關后��,安全模塊100和網(wǎng)關138在第406步自動形 成邏輯連接��。例如����,安全模塊的全球唯一標識符(⑶ID) 108作為全球唯一標識符(⑶ID) 128 不可逆地寫入網(wǎng)關138的存儲器136中。此處��,從安全模塊100出發(fā)應該保證��,只有當全球 唯一標識符(⑶ID) 108與128 -致時����,才可以通過能源供應商166啟動與網(wǎng)關138之間的 通訊,準備測量數(shù)據(jù)元件����。
[0080] 可信賴單位成功驗證安全模塊后,安全模塊現(xiàn)在就可以通過安全傳輸接收可信賴 單位的數(shù)據(jù)�����。這些數(shù)據(jù)之后可以用于初始化分配給上述網(wǎng)關的存儲區(qū)以及將數(shù)據(jù)儲存在存 儲區(qū)。在這些數(shù)據(jù)的基礎上�,就可以繞開可信賴單位與能源供應商和/或測量單位操作員 的其它任一計算機系統(tǒng)建立通訊。儲存好的數(shù)據(jù)都詳細說明了其它的計算機系統(tǒng)����。通過這 些儲存在存儲區(qū)的數(shù)據(jù),與其它計算機系統(tǒng)建立通訊連接���。
[0081] 附圖標記清單
[0082] ----------------------------------------------
[0083] 100 安全模塊
[0084] 102 存儲器
[0085] 104 證書
[0086] 106 私人密鑰
[0087] 108 ⑶ID
[0088] 110 處理器
[0089] 112 密碼協(xié)議
[0090] 114 點對點加密
[0091] 116 接口
[0092] 118 接口
[0093] 120 數(shù)據(jù)傳輸
[0094] 122 數(shù)據(jù)抄讀
[0095] 124 測量數(shù)據(jù)
[0096] 125 資格權利
[0097] 126 處理器
[0098] 128 ⑶ ID
[0099] 130 應用程序
[0100] 132 應用程序
[0101] 134 應用程序
[0102] 136 存儲器
[0103] 138 網(wǎng)關
[0104] 140 單元
[0105] 142 智能表
[0106] 144 智能表
[0107] 146 智能表
[0108] 148 智能表
[0109] 150 可信賴的單位
[0110] 152 存儲器
[0111] 154 證書
[0112] 156 私人密鑰
[0113] 158 處理器
[0114] 164 接口
[0115] 166 能源供應商
[0116] 168 存儲器
[0117] 170 證書
[0118] 172 私人密鑰
[0119] 174 應用程序
[0120] 176 測量數(shù)據(jù)
[0121] 178 處理器
[0122] 180 數(shù)據(jù)抄讀
[0123] 182 消耗計算
[0124] 186 接口
[0125] 188 通訊連接
[0126] 190 通訊連接
[0127] 192 通訊連接
[0128] 600 自動化設施
[0129] 602 計算機
[0130] 604 密鑰生成模塊
[0131] 606 簽注模塊
[0132] 608 網(wǎng)絡
[0133] 610 索引服務器
[0134] 611 自動化設施
【權利要求】
1. 一種通過第一計算機系統(tǒng)(150)對智能表或智能表網(wǎng)關安全模塊(100)進行個性化 的方法;其中�,所述智能表(142、144��、146��、148)能獲得與能源消耗相關的測量數(shù)據(jù)���;所述安 全模塊(100)具有密保功能�,用于執(zhí)行智能表(142����、144���、146、148)或智能表網(wǎng)關(138)所 接收到的測量數(shù)據(jù)與能源供應商和/或測量單位操作員的第二計算機系統(tǒng)(166)之間的密 鑰通訊�����;該方法包括以下步驟: -準備安全模塊(100); -由第一計算機系統(tǒng)生成非對稱密鑰對�����,并將該密鑰對儲存到安全模塊(1〇〇); -將該密鑰對的公共密鑰進行簽注���,以獲取證書�,并將該證書儲存到安全模塊(100)和 /或公共索引服務器(610)中���;其中����,所述的簽注是通過第一計算機系統(tǒng)(150)進行的���;所 述的安全模塊(100)是如此設置的�,在存儲所述密鑰對之后�,只允許智能表(142����、144�����、146����、 148)或智能表網(wǎng)關(138)與第一計算機系統(tǒng)(150)之間的初始通訊;只有通過第一計算機 系統(tǒng)(150)的初始通訊��,所述安全模塊(100)才能激活與第二計算機系統(tǒng)(166)之間的通 訊���。
2. 如權利要求1所述的方法,其中����,所述的安全模塊(100)分配有明確的識別碼 (128);其中,所述的方法進一步包括將所述識別碼(128)存儲在所述安全模塊(100)中的 步驟�����;其中����,所述的簽注也包括對所述識別碼(128)進行簽注���。
3. 如權利要求1或2所述的方法,其中���,所述的證書包含所述安全模塊(100)的公共密 鑰和/或明確的識別碼(128)�����。
4. 如權利要求2或3所述的方法�,其中����,所述安全模塊(100)的識別碼(128)是指安全 模塊(100)的公共密鑰或者安全模塊(100)的IPv6地址。
5. 如前述權利要求之一所述的方法��,其進一步包括在所述智能表(142��、144�、146、148) 或智能表網(wǎng)關(138)中安裝安全模塊(100)的步驟��,其中����,該安裝是通過在安全模塊(100) 和智能表(142����、144�����、146�����、148)或智能表網(wǎng)關(138)之間的不可逆的連接過程而實現(xiàn)的���。
6. 如權利要求5所述的方法�,其中����,為了安全模塊(100)與智能表(142����、144、146�����、148) 或智能表網(wǎng)關(138)的相互連接,在智能表(142��、144�����、146���、148)或智能表網(wǎng)關(138)中啟 動如此的連接過程����,其中�,通過該連接過程在安全模塊(100)與智能表(142、144��、146�����、148) 或智能表網(wǎng)關(138)之間建立不可分離的邏輯連接����。
7. 如權利要求6所述的方法���,其中,所述不可分離的邏輯連接包括將所述證書和/或安 全模塊(100)明確的識別碼(128)不可逆地復制到智能表(142���、144�、146�、148)或智能表網(wǎng) 關(138)的存儲區(qū)中。
8. 如前述權利要求之一所述的方法�����,其中���,所述的第一計算機系統(tǒng)是安全的�、封閉的第 一自動化設施¢00)的一部分����,其中: -將密鑰對和/或證書和/或識別碼(128)存儲在安全模塊(100)中是在第一自動化 設施(600)中進行的;或者 -將密鑰對和/或證書和/或識別碼(128)存儲在安全模塊(100)中是在第二封閉的 自動化設施(611)中進行的�����;其中����,在這種情況下,非對稱密鑰對和/或簽注和/或識別碼 (128)是從第一自動化設施(600)通過加密的通訊連接傳輸給第二自動化設施(611)的���。
9. 如權利要求8所述的方法����,其中��,所述的安全的���、封閉的第一自動化設施(600)是指 信任中心�����。
10. 如權利要求5-9之一所述的方法�����,其中��,在智能表(142��、144���、146����、148)或智能表網(wǎng) 關(138)中安裝安全模塊(100)是在第二自動化設施(611)之內(nèi)進行的���。
11. 如前述權利要求之一所述的方法�,其中�,準備好的安全模塊(100)沒有進行個性 化,其中��,只有將密鑰對和/或證書存儲到安全模塊(100)中才進行安全模塊(100)的個性 化��。
12. 如前述權利要求之一所述的方法����,其中,安全模塊(100)是以芯片卡形式提供的���。
13. 如前述權利要求之一所述的方法��,其進一步包括將第一計算機系統(tǒng)(150)的聯(lián)系 信息存儲在安全模塊中的步驟�����,其中��,通過該聯(lián)系信息確定如此界限:只在第一計算機系統(tǒng) 上進行初始化通訊�。
14. 一種計算機程序產(chǎn)品��,其具有處理器可執(zhí)行的����、用于實現(xiàn)前述權利要求之一所述方 法之步驟的程序指令。
【文檔編號】G06Q50/06GK104094274SQ201380008135
【公開日】2014年10月8日 申請日期:2013年1月18日 優(yōu)先權日:2012年2月7日
【發(fā)明者】法克·迪特里克, 曼弗雷德·皮斯克 申請人:聯(lián)邦印刷有限公司