Verfahren und Messeinheit zur integritätsgeschützten Bereit stellung eines Messdatensatzes

Die Erfindung betrifft ein Verfahren und eine Messeinheit zur integritätsgeschützten Bereitstellung eines Messdatensatzes.

Mit einem zunehmenden Ausbau einer Ladeinfrastruktur aus un terschiedlichen öffentlichen Ladestationen wird ein erhöhtes Augenmerk auf eine Gewährleistung einer manipulationssiche ren, nachvollziehbaren und überprüfbaren Inrechnungstellung der übergebenen elektrischen Energie gelegt. Eine Basis hier für bildet ein geeichtes Messgerät zur Messung der übergebe nen elektrischen Energie an eine Energiesenke, beispielsweise an das Elektrofahrzeug.

Derzeit ist eine Entwicklung hin zu neuartigen Messgeräten zu beobachten, welche neben ihrer ureigenen Aufgabe - Messung der elektrischen Energie - erweiterte Funktionen zur Erstel lung eines Messdatensatzes aufweisen. Im Folgenden wird auf ein derartiges neues Messgerät auch mit dem Begriff Messein heit Bezug genommen. Derartige Messeinheiten verfügen über Mittel zur Erstellung eines digitalen Messdatensatzes, welche eine revisionssichere Zuordnung von Messwerten zur Messein heit und zur manipulationssicheren Aufbereitung der erfassten Messdaten dienen.

In zunehmenden Maß entsteht auch die Forderung, den bei einem Ladevorgang erhobenen Messdatensatz für eine Überprüfung durch einen Rechnungsempfänger im Nachhinein - also üblicher weise nach Erhalt einer Rechnung - unbestreitbar darzulegen und nachvollziehbar zu gestalten. Derzeitige Maßnahmen zur Aufbereitung eines Messdatensatzes sehen zwar eine verschlüsselte Übertragung zwischen einer La deinfrastruktur und einer Abrechnungszentrale vor, diese Ver schlüsselung bietet jedoch keinen Schutz vor einem betrügeri schen Betrieb von Ladestationen, welche beispielsweise eine Manipulation der Messdatensätze nach deren Erhebung und vor deren verschlüsselten Versand vorsieht. Die derzeitigen Maß nahmen sind in Bezug auf ihre Integrität - also einem Ände rungsschutz - als auch auf ihre Authentizität - also in Bezug auf einen Fälschungsschutz - verbesserungsbedürftig.

Zudem ist es für einen Rechnungsempfänger derzeit schwierig, die anhand des Messdatensatzes nachgewiesene und in Rechnung gestellte Leistung einer konkreten Ladestation zuzuordnen, da diese oftmals nur mit einer Ladestationsidentifikationsnummer belegt wird. Eine Überprüfung durch einen Rechnungsempfänger erfordert hier einen zusätzlichen Aufwand zur Nachforschung der geographischen Lage der mit der Ladestationsidentifikati onsnummer bezeichneten Ladestation.

Die vorliegende Erfindung ist vor die Aufgabe gestellt, Mit tel zur integritätsgeschützten Bereitstellung eines Messda tensatzes bereitzustellen, welche einem Empfänger des Messda tensatzes eine unmittelbarere Identifizierung des Messdaten- satzerzeugers gestatten.

Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst.

Das erfindungsgemäße Verfahren zur integritätsgeschützten Be reitstellung eines Messdatensatzes sieht in einem ersten Schritt eine Erfassung eines Messdatums als zumindest indi rektes Ergebnis einer Messung durch eine Messeinheit vor. An schließend wird ein Messdatensatz aus mindestens einem Mess- datum erzeugt, welcher zumindest teilweise mit einem privaten Signaturschlüssel der Messeinheit signiert wird, wobei dem privaten Signaturschlüssel der Messeinheit ein Zertifikat zu geordnet ist, welche mindestens ein der Messeinheit zuorden bares Identitätsmerkmal umfasst. Anschließend wird der sig nierte Messdatensatz bereitgestellt, also beispielsweise an eine Abrechnungszentrale übergeben.

Ein erster Grundgedanke der Erfindung besteht darin, die Be reitstellung des Messdatensatzes unter unmittelbarer Beteili gung der Messeinheit als Quelle des Messdatensatzes zu ge stalten. Diese Maßnahme gestattet einem weitgehenden Aus schluss manipulativer Übergriffe auf den Messdatensatzes durch nachfolgende weiterleitende oder bearbeitende Instan zen.

Eine weitere erfindungsgemäße Maßnahme sieht vor, den Messda tensatz mit einem privaten Signaturschlüssel der Messeinheit zu signieren. Die Signatur dient dazu, die Echtheit der Mess datensatz zu garantieren, dieser also unbestreitbar von der schlüsselverwendenden Messeinheit stammt - Authentizität - und nach der Signierung nicht verändert wurde - Integrität.

Eine weitere erfindungsgemäße Maßnahme sieht vor, dass zu dem privaten Signaturschlüssel der Messeinheit ein Zertifikat zu geordnet ist. Ein Rechnungsempfänger kann eine Kopie eines Zertifikats speichern, wobei das Zertifikat bis zu dessen Rückruf die Identität der Messeinheit zertifiziert. Der im Zertifikat festgehaltene öffentliche Signaturschlüssel der Messeinheit kann von einem Besitzer des Zertifikats verwendet werden, um die mit dem privaten Signaturschlüssel der Mess einheit erzeugte Signatur des Messdatensatzes zu verifizie ren. Ein solcher kryptographischer Datenaustausch trägt unter anderem zur Erreichung einer auch eichrechtlichen Unbestreit barkeit bei.

Eine weitere erfindungsgemäße Maßnahme sieht vor, dass das Zertifikat mindestens ein der Messeinheit zuordenbares Iden- titätsmerkmal umfasst. Ein solches Identitätsmerkmal ist ins besondere ein lesbares - also ein durch den Rechnungsempfän ger unmittelbar überprüfbares - Merkmal zur Charakterisierung einer Einheit - vorzugsweise einer Ladestation oder Ladeinf rastruktur - in welcher die Messeinheit verbaut ist.

Eine solche Charakterisierung kann beispielsweise eine Be schreibung umfassen, dass der Messdatensatz von einer Mess einheit generiert wurde, welcher in einer blau markierten La desäule verbaut wurde, die in einer mehrere Ladesäulen umfas senden Ladeinfrastruktur an dritter Stelle steht, wobei die Ladeinfrastruktur in einer namentlich bezeichneten Straße ei nes namentlich bezeichneten Orts installiert ist. Weitere zur Charakterisierung der Einheit umfassen beispielsweise: eine Art des Ladepunkts; ein angewandte Ladeprotokoll (CCS, CHAdeMO, etc.); eine Leistung des Ladepunkts; eine Seite, Ladepunktnummer oder Farbe farbcodierter La depunkte; ein Hersteller des Ladepunkts; ein Betreiber des Ladepunkts; und/oder; ein Standort in verschiedenen Formaten, unter anderem auch in GPS-Koordinaten.

Ein wesentlicher Vorteil der Erfindung liegt in zusätzlichen Identitätsmerkmalen, welche in das Zertifikat integriert wer den, der damit ermöglichten Plausibilisierung und vor allem in der neuartigen Verwendung von der Messeinheit zugeordneten Zertifikaten zur Bindung an deren konkreten Einsatzzweck. Da- mit ist mit den Mitteln der Erfindung eine gegenüber dem Stand der Technik deutlich zuverlässigere Bindung der Identi tät an kryptographische Schlüssel, dem damit verminderten or ganisatorischen Aufwand, insbesondere für einen Rechnungsemp fänger im Rahmen einer nachträglichen Überprüfung des Mess werte, sowie des damit ebenfalls verbundenen höheren Schutz niveaus erreichbar.

Weitere Ausgestaltungen der Erfindung sind Gegenstand der ab hängigen Patentansprüche.

Gemäß einer Ausgestaltung der Erfindung wird zur Zuordnung mindestens eines Identitätsmerkmals zur Messeinheit mindes tens ein dem Zertifikat zugeordnetes Attributzertifikat ver wendet. Ein Attributzertifikat ist ebenfalls ein digitales Zertifikat und stellt die von einer vertrauenswürdigen Stelle digital signierte Bindung zwischen bestimmten digitalen In formationen - Attributen - und dem attributierten digitalen Zertifikat dar. Das Attributzertifikat beinhaltet einen Ver weis auf das Zertifikat und eine oder mehrere Eigenschaften, die vertrauenswürdig ausgelesen werden können. Auf diese Wei se können zu einem Zertifikat im Zusammenhang mit ganz unter schiedlichen Anwendungsfällen und in unterschiedlichen Umge bungen Eigenschaften vertrauenswürdig zugeordnet werden, ohne das Originalzertifikat ändern zu müssen.

Gemäß einer Ausgestaltung der Erfindung wird auf den Messda tensatz eine kryptographische Hashfunktion angewandt, welche anschließend mit dem privaten Signaturschlüssel der Messein heit signiert wird. Dabei wird auf die Messdatensatz eine kryptographische Hashfunktion angewandt, beispielsweise SHA- 256, welche den Messdatensatz ersetzt. Durch Anwendung der kryptographischen Hashfunktion auf den Messdatensatz entsteht ein sogenannter Message Digest, also ein eindeutiges Abbild bzw. Fingerprint des Messdatensatzes, welches einen geringe ren Umfang als der Messdatensatz selbst hat, was die Generie rung der digitalen Signatur vereinfacht. Anschließend wird aus dem Message Digest unter Verwendung des privaten Schlüs sels des Senders eine Signatur erzeugt.

Gemäß einer Ausgestaltung ist die Messeinheit nicht monoli thisch gestaltet. Bestimmte Funktionen, wie beispielsweise eine Anzeige des Messwerts, werden dabei in einer oder mehre ren abgesetzten Komponenten realisiert. Solche Messeinheiten bestehen nicht nur aus einer einstückigen Messeinheit, die in einem verbaubaren Gehäuse ausgeliefert wird, sondern enthal ten gegebenenfalls eine Mehrzahl kommunikativ verbundener bzw. kommunizierender Komponenten innerhalb einer Ladestati on.

Im Folgenden werden weitere Ausführungsbeispiele und Vorteile der Erfindung anhand der Zeichnung näher erläutert. Dabei zeigt die einzige FIG ein Ausführungsbeispiel einer erfin dungsgemäßen Messeinheit in einer Arbeitsumgebung zur Vorbe reitung eines Verfahrens zur integritätsgeschützten Bereit stellung eines Messdatensatzes.

Die FIG zeigt einen Ausschnitt aus einer PKI bzw. Public-Key- Infrastruktur zur Vorbereitung und zur Durchführung eines Verfahrens für eine integritätsgeschützte Bereitstellung ei nes Messdatensatzes.

Zur Vorbereitung des erfindungsgemäßen Verfahrens wird in ei nem erstem Schritt S1 von der Messeinheit MG eine Nachricht an eine Registrierungsstelle LRA gesendet, in der seitens der Messeinheit MG ein Antrag auf Erstellung eines Zertifikat CTF gestellt wird. Dieser Antrag beinhaltet den öffentlichen Schlüssel eines zuvor durch die Messeinheit MG erzeugten - nicht dargestellten - Schlüsselpaares. Der private Signa turschlüssel PRK wird in einem geschützten Speicherbereich der Messeinheit MG gespeichert. Gleichzeitig oder daraufhin wird in einem dritten Schritt S3 von der Registrierungsstelle LRA ein digitales Zertifikat CTF erstellt und zur Verfügung gestellt. Das digitale Zertifikat CTF ist vorzugsweise in ei nem bekannten Webstandards gemäßen Format, beispielsweise ge mäß dem ITU-T-Standard X.509, aufgebaut.

Hierzu kann von der lokalen Registrierungsstelle LRA eine Be teiligung einer Zertifizierungsstelle CA2 bzw. Certificate Authority und/oder einer übergeordneten Registrierungsstelle RA2 bzw. Registration Authority vorgesehen sein. Die Zertifi zierungsstelle CA2 stellt das digitale Zertifikat CTF bereit und übernimmt eine Signatur von Zertifikatsanträgen. Die übergeordneten Registrierungsstelle RA2 dient einer automati sierten Beantragung des Zertifikats CTF durch Personen, Ma schinen oder, wie im vorliegenden Fall, durch die untergeord nete lokale Registrierungsstelle LRA. Diese prüft die Rich tigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag, der dann durch die Zertifizierungsstelle CA2 signiert wird.

Alternativ - wie in der Zeichnung links dargestellt - kann die Beantragung des digitalen Zertifikat CTF durch die Mess einheit MG direkt, also ohne Zwischenschaltung einer lokalen Registrierungsstelle LRA, erfolgen, beispielsweise bei einer alternativen Zertifizierungsstelle CA1 und/oder einer Regist rierungsstelle RAI.

Das digitale Zertifikat CTF gewährleistet eine Authentizität eines - nicht dargestellten - öffentlichen Signaturschlüssels des Schlüsselpaars. Das digitale Zertifikat CTF ist selbst durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Ausstellers, beispielsweise der Zertifizierungsstelle CA2, des Zertifikats CTF geprüft werden kann.

Das erfindungsgemäße Verfahren zur integritätsgeschützten Be reitstellung des Messdatensatzes MDS sieht die Erfassung ei nes Messdatums als zumindest indirektes Ergebnis einer Mes sung durch die Messeinheit MG vor. Anschließend wird ein Messdatensatz MDS aus mindestens einem Messdatum erzeugt, welcher zumindest teilweise mit dem privaten Signaturschlüs sel PRK der Messeinheit MG signiert wird, wobei dem privaten Signaturschlüssel PRD der Messeinheit MG gemäß der obigen Ausführungen das Zertifikat CTF zugeordnet wurde, welche min destens ein der Messeinheit MG zuordenbares Identitätsmerkmal umfasst. Anschließend wird der signierte Messdatensatz MDS bereitgestellt, also beispielsweise über eine - nicht darge stellte - Abrechnungszentrale übergeben und von dieser einem Benutzer USR als Rechnungsempfänger zur Verfügung gestellt.

Der Benutzer USR kann eine Echtheitsprüfung des signierten Messdatensatzes MDS unter Anwendung des - nicht dargestell ten - öffentlichen Signaturschlüssels veranlassen. Hierzu speichert der Benutzer USR eine Kopie des der Messeinheit MG zugeordneten digitalen Zertifikats CTF in einer dem Benutzer USR zugeordneten - nicht dargestellten- Rechnereinrichtung und verwendet den dem Zertifikat CTF beigefügten öffentlichen Signaturschlüssel, um die Signatur eines oder mehrerer von der Messeinheit MG gelieferten Messdatensätze MDS zu prüfen, die unter Verwendung des privaten Signaturschlüssels PRK der Messeinheit MG signiert wurden.

Das Zertifikat CTF umfasst mindestens ein der Messeinheit MG zuordenbares Identitätsmerkmal. Ein solches Identitätsmerkmal ist insbesondere ein lesbares - also ein durch den Rechnungs- empfänger USR unmittelbar überprüfbares - Merkmal zur Charak terisierung einer - nicht dargestellten - Einheit, in welcher die Messeinheit verbaut ist. Diese Einheit ist insbesondere eine Ladestation, ein Ladepunkt oder eine Ladeinfrastruktur.

Bevorzugt wurde das Identitätsmerkmal in einer dem erfin dungsgemäßen Verfahren vorausgehenden Zeitpunkt vor Ort von einem von der lokalen Registrierungsstelle LRA beauftragten, entsprechend ausgebildeten und zuverlässigen Techniker über prüft, bevor das Zertifikat CTF in einem zweiten Schritt S2 durch die lokale Registrierungsstelle LRA ausgegeben wird. Hierzu kommt neben dem Abruf von Standortinformationen - beispielsweise in Form von Geokoordinaten - insbesondere auch der Abruf von Datenbanken in Frage, um eine Zertifikats anfrage im ersten Schritt S1 zu plausibilisieren. Beispiels weise seien genannt: eine Liste von Inbetriebnahmeaufträgen für den Techniker bzw. für die lokalen Registrierungsstelle LRA, deren Listeneinträge den oder die Identitätsmerkmale einer zu zuordnenden Messeinheit MG umfassen; und/oder; ein Standortverzeichnis mit Zählerkennungen der jeweili gen Messeinheiten MG.

Eine solche Charakterisierung durch mindestens ein der Mess einheit MG zuordenbares Identitätsmerkmal im Zertifikat CTF umfasst eine durch den Benutzer USR lesbare Beschreibung zur Lokalisierung der Ladestation oder des Ladepunkts. Weitere zur Charakterisierung der Einheit umfassen beispielsweise: eine Art des Ladepunkts; ein angewandte Ladeprotokoll (CCS, CHAdeMO, etc.); eine Leistung des Ladepunkts; eine Seite, Ladepunktnummer oder Farbe farbcodierter La depunkte; ein Hersteller des Ladepunkts; ein Betreiber des Ladepunkts; und/oder; ein Standort in verschiedenen Formaten, unter anderem auch in GPS-Koordinaten.

Die Erfindung löst ein bislang noch nicht thematisiertes Problem mit bestehenden Zertifikaten, welches darin besteht, dass die bislang im IT-Bereich praktizierten kryptografischen Methoden zwar stark sind, eine Bindung des kryptografischen Materials an eine Identität, d.h. im Beispiel an eine be stimmte Messeinheit, aber sehr lose und schlecht zu kontrol lieren ist.

Zusätzlichen der Messeinheit zuordenbare Identitätsmerkmale, welche im Zertifikat integriert werden, gestatten einerseits eine erfindungsgemäße Plausibilisierung durch den Benutzer USR und andererseits eine Messeinheit-seitige Bindung der Verwendung der Zertifikate CTF an deren konkreten Einsatz zweck zu binden.

Mit den erfindungsgemäßen Mitteln ist eine gegenüber dem Stand der Technik deutlich zuverlässigere Bindung der Identi tät an kryptographische Schlüssel, dem damit verminderten or ganisatorischen Aufwand - insbesondere für den Benutzer USR oder im Rahmen einer nachträglichen Überprüfung der von der Messeinheit MG ermittelten Messdatensätze - mit einem höheren Schutzniveau erreichbar.

Gemäß einer Ausgestaltung der Erfindung werden in das Zerti fikat CTF eine oder mehrere persistente Adressen - z.B. MAC- Adresse, IPv6-Adresse, DNS-Eintrag - der Messeinheit MG ein getragen.

Gemäß einer weiteren Ausgestaltung der Erfindung zur Zuord nung weiterer Identitätsmerkmale der Messeinheit MG werden in das Zertifikat CTF Referenzen auf Dienste aufgenommen, welche Zusatzinformationen für den Benutzer USR anbieten. Diese Re ferenzen auf Dienste umfassend beispielsweise einen Link auf eine öffentlich zugängliche Datenbank, welche die Messeinheit MG sowie die Einheit, in welcher die Messeinheit verbaut ist, charakterisieren .