BESCHREIBUNG:

Die vorliegende Erfindung betrifft ein Verfahren zum Nachweis eines Lade- vertrags eines Benutzers zum Freigeben eines Ladevorgangs zum Laden eines Elektrofahrzeugs an einer Ladeinfrastruktur und ein entsprechendes System.

Derzeit werden für die Authentifizierung von Ladeverträgen an einer Ladeinf- rastruktur einer Ladestation hauptsächlich RFID-Karten verwendet. Des Weiteren werden bei neuartigen Authentifizierungsarten, wie Plug and Char- ge, Ladeverträge fest im Fahrzeug eines Nutzers gespeichert. Eine weitere Variante der Authentifizierung von Ladeverträgen an einer Ladeinfrastruktur stellt eine Remote-Freischaltung dar. Hierbei kann ein Nutzer beispielsweise über eine App eine Freischaltung über ein Backend des Ladestationsbetrei- bers anstoßen.

Bei RFID-Karten besteht der Nachteil, dass diese leicht vergessen werden können, zusätzlichen Platz in einem Portemonnaie wegnehmen und leicht übertragbar sind, was Missbrauchsmöglichkeiten eröffnet. Bei Plug and Charge sieht das Sicherheitskonzept eine feste Kopplung eines Vertrags an ein Fahrzeug vor. Eine einfache Mitnahme in ein fremdes Fahrzeug ist somit nicht möglich. Die erwähnte Remote-Freischaltung benötigt zwingend eine Online-Verbindung, welche jedoch nicht immer vorhanden ist.

Aus der DE 10 2009 037 968 A1 ist in diesem Zusammenhang ein Verfahren und eine Vorrichtung zur Identifizierung eines Elektrofahrzeugs gegenüber einer Abrechnungszentrale bekannt. Dabei sendet die Abrechnungszentrale einen Vertragsschlüssel an das Elektrofahrzeug, nachdem das Elektrofahr- zeug einen Ladevorgang initiiert hat, wobei der Vertragsschlüssel auf dem Elektrofahrzeug gespeichert wird und eine spätere Abrechnung des Lade- vorgangs über den Vertragsschlüssel stattfindet.

Aus der DE 10 2009 030 091 A1 ist ein Verfahren und eine Vorrichtung zur gesicherten Kommunikation zwischen einer Ladestation und einem Elektro- fahrzeug bekannt. Dabei wird zum Zeitpunkt eines Vertragsabschlusses mit einem Energieversorger ein öffentlicher Vertragsschlüssel und ein privater Vertragsschlüssel generiert, wobei der öffentliche Vertragsschlüssel in einer Abrechnungsstelle gespeichert wird.

Aus der WO 2012/149965 A1 ist ein Verfahren und eine Vorrichtung zur Bereitstellung elektrischer Energie an ein Fahrzeug bekannt. Dabei liegen Informationen einer Vertragsart eines Fahrers des Fahrzeugs in einer zentra- len Instanz vor und werden bei einem Ladevorgang des Fahrzeugs berück- sichtigt.

Die Aufgabe der vorliegenden Erfindung besteht darin, ein eingangs genann- tes Verfahren sowie ein eingangs genanntes System derart weiterzubilden, dass ein möglichst komfortables und vor fremdem Zugriff möglichst gesicher- tes Laden eines Elektrofahrzeugs durch einen Benutzer ermöglicht wird.

Diese Aufgabe wird gelöst durch ein Verfahren mit den Merkmalen von Pa- tentanspruch 1 sowie durch ein System mit den Merkmalen von Patentan- spruch 17.

Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, dass mobile End- geräte, beispielsweise Smartphones, heute bereits die Möglichkeit bieten, sensible Informationen in einem sicheren, vor fremden Zugriff geschützten Speicher des mobilen Endgeräts zu speichern. Eine in einem sicheren Spei- cher abgelegte Information kann durch nicht berechtigte Apps nicht ausgele- sen werden und kann nicht durch unbefugten Zugriff verändert werden. Die Möglichkeit der Speicherung sensibler Informationen in einem sicheren Spei- cher eines mobilen Endgeräts wird beispielsweise bereits genutzt, um mit einem mobilen Endgerät eine Bezahlfunktion vorzunehmen oder - für die Anmelderin - beim sogenannten Audi connect Schlüssel, mit dem Audi den herkömmlichen Fahrzeugschlüssel digitalisiert und ihn beispielsweise in den sicheren Speicherbereich eines Smartphone transferiert. Somit kann mittels des Smartphones ein Zugang zu einem Kraftfahrzeug und ein Starten des Kraftfahrzeugs ermöglicht werden.

Bei Smartphones, beispielsweise der Produktreihe Galaxy der Firma Sams- ung, wird der sichere Speicher auch als sicherer Ordner bezeichnet. Er er- möglicht private Daten, wie zum Beispiel Bilder, Notizen und Anwendungen, vor dem Zugriff anderer Personen zu schützen, auch wenn das Smartphone nicht gesperrt ist. Die Funktion„sicherer Ordner“ ist ein separater und siche- rer Speicherort. Es ist nicht möglich Daten aus dem sicheren Ordner auf andere Geräte über nicht genehmigte Freigabemethoden, wie zum Beispiel Wi-Fi Direct oder USB zu übertragen. Bei inoffiziellen Anpassungen der Software oder des Betriebssystems wird die Funktion„sicherer Ordner“ au- tomatisch gesperrt und ist nicht mehr einsehbar. Wenngleich einem Fach- mann klar ist, was unter einem sicheren Speicher bzw. sicheren Ordner zu verstehen ist, so wird nachfolgend dennoch zusätzlich auf Internetadressen verwiesen, unter der weitere Informationen nachgelesen werden können: www.samsung.com/de/support/skp/faq/1126479 oder

https://praxistipps.chip.de/galaxy-s8-sicherer-ordner-ers tellen-und- nutzen_93099.

Wenn nun ein Benutzer seinen Ladestromvertrag im sicheren Speicher sei- nes mobilen Endgeräts abspeichert, kann er diesen Ladestromvertrag mit seinem mobilen Endgerät in beliebige Fahrzeuge mitnehmen und zum Nachweis an eine Lade Infrastruktur übertragen. Auf diese Weise wird kein zusätzlicher Platz im Portemonnaie benötigt und Missbrauchsmöglichkeiten werden zuverlässig unterbunden. Eine einfache Mitnahme in ein fremdes Fahrzeug ist möglich. Für eine Freischaltung ist keine Online-Verbindung nötig, vielmehr können die entsprechenden Übertragungen, wie weiter unten noch näher ausgeführt wird, mittels Nahfeldkommunikation vorgenommen werden.

Beim erfindungsgemäßen Verfahren wird demnach in einem Schritt a) zu nächst ein dem Ladevertrag des Benutzers zugeordnetes Merkmal durch einen Fahrstromanbieter erzeugt. In einem darauffolgenden Schritt b) wird das dem Ladevertrag des Benutzers zugeordnete Merkmal vom Fahrstrom- anbieter verschlüsselt in einen sicheren Speicher des mobilen Endgeräts des Benutzers übertragen. In einem folgenden Schritt c) werden Daten zumin- dest vom mobilen Endgerät zur Ladeinfrastruktur unter Verwendung des dem Ladevertrag des Benutzers zugeordneten Merkmals übertragen. In einem nachfolgenden Schritt d) werden die von der Ladeinfrastruktur empfangenen Daten unter Verwendung des dem Ladevertrag zugeordneten Merkmals überprüft und, falls die Überprüfung erfolgreich verläuft, wird in einem an- schließenden Schritt e) der Ladevorgang durch die Lade Infrastruktur freige- geben.

Ein erster öffentlicher Schlüssel, im Folgenden auch als öffentlicher Ver- tragsschlüssel bezeichnet, betrifft die Kommunikation zwischen mobilem Endgerät und Ladeinfrastruktur, während ein zweiter öffentlicher Schlüssel, im Folgenden auch als öffentlicher Geräteschlüssel bezeichnet, die Kommu- nikation zwischen mobilem Endgerät und Fahrstromanbieter betrifft.

Bevorzugt wird der öffentliche Geräteschlüssel mittels einer auf dem mobilen Endgerät installierten App vor dem ersten Ladevorgang mit dem Fahrstrom- anbieter ausgetauscht.

Im Nachfolgenden werden zwei bevorzugte Varianten des erfindungsgemä- ßen Verfahrens genauer beschrieben. Zunächst zur ersten Variante:

Hier wird in Schritt a) als das dem Ladevertrag des Benutzers zugeordnete Merkmal zumindest ein digitales Zertifikat, insbesondere ein digitales Zertifi kat und ein privater Schlüssel des Ladevertrags, für den Benutzer erzeugt. Diese werden im Folgenden als Vertragszertifikat sowie als privater Ver- tragsschlüssel bezeichnet. Für den Fall, dass der Fahrstromanbieter lediglich ein digitales Vertragszertifikat erzeugt, kann auch stattdessen ein bereits im mobilen Endgerät des Benutzers erzeugtes Schlüsselpaar verwendet wer- den. Flierzu erzeugt das mobile Endgerät in einem vorgelagerten Schritt in einem sicheren Speicherbereich ein Schlüsselpaar aus privatem Schlüssel und öffentlichem Schlüssel, in diesem Fall als privater Vertragsschlüssel und öffentlicher Vertragsschlüssel. Der privater Vertragsschlüssel verbleibt im sicheren Speicherbereich, wohingegen der öffentliche Vertragsschlüssel an den Fahrstromanbieter gesendet wird. Hierzu wird bevorzugt ein Certificate Signing Request (CSR) verwendet. Der Fahrstromanbieter kann nun für den öffentlichen Vertragsschlüssel ein digitales Vertragszertifikat, d.h. das oben erwähnte Vertragszertifikat, erstellen und dieses dem mobilen Endgerät zusenden.

Besonders vorteilhaft wird dann im sich anschließenden Schritt b) zumindest das digitale Vertragszertifikat, insbesondere das digitale Vertragszertifikat und der private Vertragsschlüssel des Ladevertrags, mit dem öffentlichen Geräteschlüssel des Benutzers verschlüsselt an das mobile Endgerät über- tragen und im mobilen Endgerät unter Verwendung eines privaten Geräte- schlüssels des mobilen Endgeräts des Benutzers entschlüsselt. Hierzu wird in einem vorgelagerten Schritt bereits der öffentliche Geräteschlüssel zwi- schen mobilem Endgerät und Fahrstromanbieter ausgetauscht. Auf diese Weise ist sichergestellt, dass nur das mobile Endgerät das digitale Vertrags- zertifikat bzw. das digitale Vertragszertifikat und den privaten Vertrags- schlüssel des Ladevertrags entschlüsseln kann. Ein Missbrauch wird dadurch zuverlässig verhindert. Der öffentliche und der private Geräte- schlüssel werden hierzu bereits vor der Übertragung des öffentlichen Gerä- teschlüssels erzeugt, beispielsweise während der Installation oder des ersten Startens einer entsprechenden App. Alternativ sind auf dem mobilen Endge- rät auch bereits ab Produktion ein öffentlicher und ein privater Geräteschlüs- sel vorhanden, werden also bei der Herstellung erzeugt.

Bevorzugt umfasst Schritt c) einen Teilschritt cO), in dem das digitale Ver- tragszertifikat vom mobilen Endgerät an die Ladeinfrastruktur übertragen wird. In diesem Zusammenhang wird bevorzugt im Schritt c) ein Challenge- Response-Verfahren zwischen der Ladeinfrastruktur und dem mobilen End- gerät unter Verwendung des privaten Vertragsschlüssels des Ladevertrags durchgeführt. Dabei umfasst Schritt c) bevorzugt weiterhin folgende Teil- sch ritte: c1 ) Empfangen einer Challenge von der Ladeinfrastruktur durch das mobile Endgerät; c2) Signieren der Challenge mit dem privaten Vertragsschlüssel des Lade- vertrags durch das mobile Endgerät; und c3) Übertragen der signierten Challenge vom mobilen Endgerät an die Lad- einfrastruktur.

In diesem Zusammenhang kann die Challenge in einem ersten Schritt von der Ladeinfrastruktur an das Elektrofahrzeug und in einem zweiten Schritt vom Elektrofahrzeug an das mobile Endgerät übertragen werden und ent- sprechend die signierte Challenge in einem ersten Schritt vom mobilen End- gerät an das Elektrofahrzeug und in einem zweiten Schritt vom Elektrofahr- zeug an die Ladeinfrastruktur.

In dem sich daran anschließenden Schritt d) wird dann von der Ladeinfra- struktur eine mittels des privaten Vertragsschlüssels erzeugte Signatur und eine Gültigkeit des digitalen Vertragszertifikats, insbesondere ein Gültigkeits zeitraum des digitalen Vertragszertifikats, überprüft.

Bei einer zweiten bevorzugten Variante wird in Schritt a) als das dem Lade- vertrag des Benutzer zugeordnete Merkmal ein Token erzeugt, insbesondere nach dem Standard OAuth 2.0. Während bei der ersten Variante unter Ver- wendung eines digitalen Vertragszertifikats beliebig viele Ladevorgänge signiert und damit freigegeben werden können - entsprechend einem Schlüssel zum Öffnen einer Tür - kann mittels eines Tokens nur ein Lade- vorgang initiiert werden - entsprechend einer Eintrittskarte. Allerdings be- steht die Möglichkeit, dass sich der Benutzer in einem Vorgang mehrere Token beschafft, die er dann sukzessive aufbrauchen kann.

Bevorzugt wird anschließend im Schritt b) ein Kommunikationskanal zwi- schen dem Fahrstromanbieter und dem mobilen Endgerät, insbesondere durch TLS-Verschlüsselung (Transport Layer Security), verschlüsselt. Der Ablauf zur Verschlüsselung eines Kommunikationskanals ist dem Fachmann einschlägig bekannt, weshalb hier auf weitere Ausführungen verzichtet wird.

Anschließend wird in Schritt b) weiterhin der Token über den verschlüsselten Kommunikationskanal vom Fahrstromanbieter an das mobile Endgerät über- tragen.

Im sich anschließenden Schritt c) wird dann der Token vom mobilen Endge- rät an die Ladeinfrastruktur übertragen. Diese fragt dann in Schritt d) eine Gültigkeit des Tokens beim Fahrstromanbieter, insbesondere einem dort angeordneten Autorisierungsserver, ab.

Für beide Varianten gilt, dass in Schritt c) die Daten in einem ersten Schritt vom mobilen Endgerät an das Elektrofahrzeug und in einem zweiten Schritt vom Elektrofahrzeug an die Ladeinfrastruktur übertragen werden können.

Die Übertragung zwischen mobilem Endgerät und Elektrofahrzeug einerseits und die Übertragung zwischen Elektrofahrzeug und Ladeinfrastruktur ande- rerseits erfolgt besonders bevorzugt durch Nahfeldkommunikation, wobei hier bevorzugt mindestens ein Übertragungsverfahren aus der nachfolgen- den Gruppe verwendet wird: WLAN (Wireless Local Area Network), Blue- tooth, RFID (Radio-Frequency Identification), NFC (Near Field Communicati- on). Alternativ kann die Übertragung zwischen mobilem Endgerät und Elekt- rofahrzeug durch Nahfeldkommunikation oder durch leitungsgebundene Kommunikation erfolgen und die Übertragung zwischen Elektrofahrzeug und Lade Infrastruktur ebenfalls durch Nahfeldkommunikation oder leitungsge- bunden, insbesondere über ein Ladekabel. Weitere vorteilhafte Ausführungsformen ergeben sich aus den Unteransprü- chen.

Die in Zusammenhang mit dem erfindungsgemäßen Verfahren vorgestellten bevorzugten Ausführungsformen und deren Vorteile gelten entsprechend, sofern anwendbar, für ein erfindungsgemäßes System zum Nachweis eines Ladevertrags eines Benutzers zum Freigeben eines Ladevorgangs zum Laden eines Elektrofahrzeugs an einer Ladestruktur. Dieses System umfasst eine Ladeinfrastruktur, einen Fahrstromanbieter sowie ein mobiles Endgerät. Das mobile Endgerät weist einen sicheren, d.h. vor fremdem Zugriff ge- schützten ersten Speicher auf, in dem ein privater Geräteschlüssel des Be- nutzers abgespeichert ist, eine Steuervorrichtung sowie eine Kommunikati- onsvorrichtung. Der Fahrstromanbieter weist eine Vorrichtung zur Erzeugung eines dem Ladevertrag des Benutzers zugeordneten Merkmals sowie eine Übertragungsvorrichtung zur Übertragung dieses Merkmals in den ersten Speicher des mobilen Endgeräts auf. Das mobile Endgerät ist ausgelegt, Daten zur Ladeinfrastruktur zu übertragen unter Verwendung des dem Lade- vertrag des Benutzers zugeordneten Merkmals. Die Ladeinfrastruktur ist ausgelegt, die empfangenen Daten unter Verwendung eines dem Ladever- trag des Benutzers zugeordneten Merkmals zu überprüfen und bei erfolgrei- cher Überprüfung den Ladevorgang freizugeben.

Im Nachfolgenden werden nunmehr Ausführungsbeispiele der vorliegenden Erfindung unter Bezugnahme auf die beigefügten Zeichnungen näher be- schrieben.

Diese zeigen:

Fig. 1 in schematischer Darstellung ein Ablaufdiagramm für eine erste

Variante des erfindungsgemäßen Verfahrens; und

Fig. 2 in schematischer Darstellung ein Ablaufdiagramm für eine zwei- te Variante des erfindungsgemäßen Verfahrens. Fig. 1 zeigt in schematischer Darstellung ein Ablaufdiagramm für ein erstes Ausführungsbeispiel eines erfindungsgemäßen Verfahrens. Dabei sind Akti- onen, wie sie bei oder zwischen den im Ausführungsbeispiel dargestellten Instanzen Fahrstromanbieter 10, mobiles Endgerät 12 und Ladeinfrastruktur 14 stattfinden, dargestellt. Die Ladeinfrastruktur 14 umfasst eine Ladestation, insbesondere mit einer Vorrichtung zum kabelgebundenen oder induktiven Laden, die vorliegend zumindest eine Steuervorrichtung und eine Kommuni- kationsvorrichtung umfasst. Der Fahrstromanbieter 10 umfasst bevorzugt eine Recheneinrichtung, eine Speichereinrichtung, eine Steuereinrichtung sowie ebenfalls eine Kommunikationseinrichtung.

Zunächst wird in einem Schritt 100 ein dem Ladevertrag des Benutzers zu- geordnetes Merkmal durch den Fahrstromanbieter 10 erzeugt. Das dem Benutzer zugeordnete Merkmal ist zumindest ein digitales Vertragszertifikat, insbesondere ein digitales Vertragszertifikat und ein privater Schlüssel des Ladevertrags.

In einem Schritt 120 wird das dem Ladevertrag des Benutzers zugeordnete Merkmal vom Fahrstromanbieter 10 in einen sicheren, insbesondere vor fremden Zugriff geschützten Speicher oder Speicherbereich des mobilen Endgeräts 12 des Benutzers verschlüsselt übertragen. Dabei wird zumindest das digitale Vertragszertifikat, insbesondere das digitale Vertragszertifikat und der private Vertragsschlüssel des Ladevertrags, mit einem zweiten öf- fentlichen Geräteschlüssel des Benutzers verschlüsselt an das mobile End- gerät 12 übertragen und im mobilen Endgerät 12 unter Verwendung eines privaten Geräteschlüssels des mobilen Endgeräts 12 des Benutzers ent- schlüsselt.

In einem sich anschließenden Schritt 140 wird das Vertragszertifikat vom mobilen Endgerät 12 an die Ladeinfrastruktur gesendet. Anschließend wird ein Challenge-Response-Verfahren zwischen der Ladeinfrastruktur 14 und dem mobilen Endgerät 12 unter Verwendung des privaten Vertragsschlüs- sels des Ladevertrags durchgeführt. Dazu wird in einem Schritt 160 eine Challenge von der Ladeinfrastruktur 14 durch das mobile Endgerät 12 emp- fangen. Im darauffolgenden Schritt 180 wird die Challenge mit dem privaten Vertragsschlüssel des Ladevertrags durch das mobile Endgerät 12 signiert und in einem darauffolgenden Schritt 200 vom mobilen Endgerät 12 an die Lade Infrastruktur 14 übertragen.

Im Schritt 220 werden die von der Ladeinfrastruktur 14 empfangenen Daten unter Verwendung eines öffentlichen Vertragsschlüssels des Benutzers aus dem Vertragszertifikat überprüft, insbesondere eine mittels des privaten Vertragsschlüssels des mobilen Endgeräts 12 des Benutzers erzeugte Sig natur und eine Gültigkeit des digitalen Vertragszertifikats, bevorzugt ein Gül- tigkeitszeitraum des digitalen Vertragszertifikats. Anschließend wird im Schritt 240 bei erfolgreicher Überprüfung der Ladevorgang durch die Ladeinf- rastruktur 14 freigeben. Erfolgreiche Überprüfung bedeutet hier, dass die Signatur als vom Benutzer kommend verifiziert werden konnte und das digi tale Vertragszertifikat noch nicht abgelaufen ist.

Fig. 2 zeigt ein zweites Ausführungsbeispiel des erfindungsgemäßen Verfah- rens, wobei die mit Bezug auf Fig. 1 eingefügten Bezugszeichen für gleiche und gleichwirkende Elemente beibehalten werden.

Hier wird in einem Schritt 300 als das dem Ladevertrag des Benutzers zuge- ordnete Merkmal durch den Fahrstromanbieter 10 ein Token erzeugt, insbe- sondere nach dem Standard OAuth 2.0. In einem anschließenden Schritt 320 wird der Token vom Fahrstromanbieter 10 verschlüsselt in einen sicheren Speicher des mobilen Endgeräts 12 des Benutzers übertragen. Hierzu wird zunächst ein Kommunikationskanal zwischen dem Fahrstromanbieter 10 und dem mobilen Endgerät 12, insbesondere durch TLS-Verschlüsselung, ver- schlüsselt. Anschließend wird dann der Token über den verschlüsselten Kommunikationskanal vom Fahrstromanbieter 10 an das mobile Endgerät 12 übertragen.

Im Schritt 340 wird der Token vom mobilen Endgerät 12 an die Ladeinfra- struktur 14 übertragen. Diese überprüft die von der Ladeinfrastruktur 14 empfangenen Daten unter Verwendung eines Autorisierungsservers des Fahrstromanbieters, wobei sie dabei insbesondere eine Gültigkeit des To- kens beim Fahrstromanbieter 10 abfragt.

Wird im Schritt 360 eine Gültigkeit des Tokens festgestellt, wird im Schritt 380 der Ladevorgang durch die Ladeinfrastruktur 14 freigegeben.

Wie bereits erwähnt, kann die Kommunikation zwischen Fahrstromanbieter 10 und mobilem Endgerät 12 einerseits sowie mobilem Endgerät 12 und Lade Infrastruktur 14 andererseits direkt oder über den Umweg des Elektro- fahrzeugs erfolgen. Die Kommunikation zwischen Fahrstromanbieter und mobilem Endgerät bzw. Elektrofahrzeug und mobilem Endgerät erfolgt be- vorzugt durch Nahfeldkommunikation, während die Kommunikation zwischen mobilem Endgerät 12 und Ladeinfrastruktur 14 durch Nahfeldkommunikation oder aber auch durch leitungsgebundene Kommunikation, insbesondere über ein Ladekabel, erfolgen kann.