Verfahren und Messeinheit zur identitätsgesicherten Bereit stellung eines Messdatensatzes

Die Erfindung betrifft ein Verfahren und eine Messeinheit zur identitätsgesicherten Bereitstellung eines Messdatensatzes.

Mit einem zunehmenden Ausbau einer Ladeinfrastruktur aus un terschiedlichen öffentlichen Ladeeinrichtungen wird ein er höhtes Augenmerk auf eine Gewährleistung einer manipulations sicheren, nachvollziehbaren und überprüfbaren Inrechnungstel lung der übergebenen elektrischen Energie gelegt. Eine Basis hierfür bildet ein geeichtes Messgerät zur Messung der über gebenen elektrischen Energie an ein Elektrofahrzeug.

Derzeit ist eine Entwicklung hin zu neuartigen Messgeräten zu beobachten, welche neben ihrer ureigenen Aufgabe - Messung der elektrischen Energie - erweiterte Funktionen zur Erstel lung eines Messdatensatzes aufweisen. Im Folgenden wird auf ein derartiges neues Messgerät auch mit dem Begriff Messein heit Bezug genommen. Derartige Messeinheiten verfügen über Mittel zur Erstellung eines digitalen Messdatensatzes, welche eine revisionssichere Zuordnung von Messwerten zur Messein heit und zur manipulationssicheren Aufbereitung der erfassten Messdaten dienen.

In zunehmenden Maß entsteht die Forderung, den bei einem La devorgang erhobenen Messdatensatz für eine Überprüfung durch einen Rechnungsempfänger im Nachhinein - also üblicherweise nach Erhalt einer Rechnung - unbestreitbar darzulegen und nachvollziehbar zu gestalten. Aufgrund komplexerer Vertragsbeziehungen - zur Regelung der Schuldverhältnisse zwischen Nutzern, Haltern und Eigentümern von Elektrofahrzeugen, von Eigentümern und Betreibern einer Ladeeinrichtung sowie von Elektromobilitätsanbietern - unter Beibehaltung von bekannten Identifizierungsverfahren zur Identifizierung des Nutzers ergeben sich häufig Situationen, in denen der eigentliche Leistungsempfänger, also der Nutzer einer Ladeinrichtung, in Frage stehen kann.

Unter einem Identifizierungsverfahren wird im Allgemeinen ei ne Authentifizierung hinsichtlich einer Identität verstanden, wobei die Authentifizierung eine Erbringung eines Nachweises hinsichtlich spezifischer oder behaupteter Eigenschaften - im Fall einer Identifizierung also der Identität des Nutzers - verstanden wird.

Bekannten Identifizierungsverfahren sehen eine Entgegennahme einer Nutzerkennung des Nutzers an der Ladeeinrichtung vor. Die Nutzerkennung wird üblicherweise auf einer dem Nutzer zu geordneten Benutzerkarte - oftmals auch als Ladekarte be zeichnet - gespeichert und im Zuge des Identifizierungsver fahren an die Ladeeinrichtung übergeben. In üblichen Ladekar ten erfolgt ein Übergeben der darauf gespeicherten Nutzerken nung oftmals drahtlos, beispielsweise unter Verwendung einer bekannten RFID-Technik (Radio Frequency Identification).

Dieses Identifizierungsverfahren stellt sich angesichts kom plexer Vertragsbeziehungen oftmals bezüglich seiner Unbe streitbarkeit als unzureichend heraus, ist also im datenver arbeitungstechnischen Sprachgebrauch zu schwach. Illustriert werden soll dies an einem Beispiel mit mehreren Beteiligten: Ein Mitarbeiter M eines Betriebs S mietet für eine Dienstrei se bei einer Fahrzeugvermietung V ein Fahrzeug F, dem eine Ladekarte L zugeordnet ist. Eine Anwendung dieser Ladekarte L ermöglicht ihren Bediener auch, sich durch ein Callcenter A eines Elektromobilitätsanbieters E und deren Beschäftigte B unter Vermittlung von Roamingplattformen R und D eine Lade einrichtung eines Ladeeinrichtungsbetreibers C freischalten zu lassen, um dort elektrische Energie zu beziehen. An einer Ladeeinrichtung, welche abseits einer durch die Dienstreise vorgegebenen Route liegt, kommt es zu einem Ladevorgang. Aus dem Messdatensatz ergibt sich, dass die Freischaltung per Callcenter A erfolgte und der Ladevorgang der Karte L zuge ordnet werden soll. Der Ladeeinrichtungsbetreiber C verrech net seine Leistung an den Elektromobilitätsanbieter E, dieser an die Fahrzeugvermietung V und diese wiederum an den Betrieb S. Der Betrieb S möchte die Kosten allerdings nicht tragen möchte. Deren Mitarbeiter M erklärt nämlich, die Ladeeinrich tung mit dem Fahrzeug F gar nicht angefahren zu sein. Zusätz lich streitet der Ladeeinrichtungsbetreiber C ab, die Frei schaltung vorgenommen zu haben. Es stellt sich die Frage, welcher der genannten Beteiligten A, B, C, D, E, M, R, S, V nun für die verursachten Kosten aufkommen soll, wobei die Identität von B nicht geklärt ist.

Das obige Beispiel verdeutlicht, dass die derzeitigen Maßnah men zur Bereitstellung eines Messdatensatzes in Bezug auf ih re Identitätssicherung verbesserungsbedürftig sind.

Die vorliegende Erfindung ist vor die Aufgabe gestellt, Mit tel zur identitätsgesicherten Bereitstellung eines Messdaten satzes bereitzustellen, mit denen die derzeitige Identifizie rung durch Entgegennahme einer Nutzerkennung sicherer authen tifizierbar ist.

Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst. Das erfindungsgemäße Verfahren zur identitätsgesicherten Be reitstellung eines Messdatensatzes sieht eine Entgegennahme einer Nutzerkennung eines Nutzers an einer Ladeeinrichtung vor. Unter Verwendung zumindest der Nutzerkennung wird ein Nutzerdatensatz bereitgestellt, welcher zumindest teilweise mit einem einer Messeinheit der Ladeeinrichtung zugordneten privaten Signaturschlüssel signiert wird. Das Ergebnis dieser Signierung ist eine digitale Signatur des Nutzerdatensatzes, ein signierter Nutzerdatensatz oder beides. Nach einer Auto- risierung des Ladevorgangs erfasst die Messeinheit zumindest ein Messdatum als zumindest indirektes Ergebnis einer elektrischen Messung - üblicherweise also die von der Lade einrichtung übergebene elektrische Leistung - wobei mindes tens ein Messdatum zur Erzeugung des Messdatensatzes herange zogen wird. Diesem Messdatensatz wird die Signatur des Nut zerdatensatzes und/oder der signierten Nutzerdatensatzes zu geordnet.

Gemäß einem wesentlichen Aspekt der vorliegenden Erfindung ist eine Bereitstellung des Nutzerdatensatzes vorgesehen, welcher zumindest die Nutzerkennung umfasst. Bevorzugt ent hält der Nutzerdatensatz neben der Nutzerkennung auch weitere Daten oder Informationen umfasst, welche beispielsweise den Nutzer, das Fahrzeug, die Ladeeinrichtung, den Ladevorgang oder dergleichen beschreiben können. Dieser Nutzerdatensatz wird mit einem privaten Signaturschlüssel der Messeinheit di gital signiert.

Hierbei wird mittels des Signaturschlüssels zu dem Nutzerda tensatz ein digitales Datum berechnet, das auch als Signatur oder digitale Signatur bezeichnet wird. Durch die Signatur wird es ermöglicht, mithilfe eines entsprechenden öffentli chen Signaturschlüssels oder Verifikationsschlüssels Urheber schaft und Integrität des signierten Nutzerdatensatzes zu prüfen. Dabei ist der dem privaten Signaturschlüssel zugehö rige öffentliche Signaturschlüssel der Messeinheit eindeutig zugeordnet. Erfindungsgemäß wird also anstelle einer einfa chen Nutzerkennung ein durch die Messeinheit signierter Nut zerdatensatz verwendet.

Die durch die Messeinheit vorgenommene Signatur führt zu ei ner gegenüber dem Stand der Technik unbestreitbareren Identi fizierung des Nutzers im Rahmen einer nachträglichen Überprü fung des Messdatensatzes. Die Unbestreitbarkeit wird erfin dungsgemäß dadurch hergestellt, dass eine durch eine Karte übergebene Nutzerkennung kryptographisch unbestreitbar mit der Signatur der den Messdatensatz erzeugenden Messeinheit verbunden wird und diese Verbindung nach der Signierung nicht veränderbar ist.

Ein Vorteil der Erfindung besteht also auch darin, die iden- titätsgesicherte Bereitstellung des Messdatensatzes unter un mittelbarer Beteiligung der Messeinheit als Quelle des Mess datensatzes zu gestalten. Diese Maßnahme gestattet einem weitgehenden Ausschluss manipulativer Übergriffe auf den Messdatensatzes durch nachfolgende weiterleitende oder bear beitende Instanzen.

Als gegenständliche Verkörperung der Erfindung ist des Weite ren eine Messeinheit zur integritätsgeschützten Bereitstel lung des Messdatensatzes gebildet, welche Mittel zur Durch führung der oben erläuterten Verfahrensschritte beinhaltet.

Weitere Ausgestaltungen sind Gegenstand der abhängigen An sprüche.

Gemäß einer Ausgestaltung der Erfindung wird der Messdaten satz mit der Signatur des Nutzerdatensatzes versehen und an eine Abrechnungsstelle übertragen, während der signierte Nut zerdatensatz lokal gespeichert wird. Dies ist eine vorteil hafte Auswahl aus drei grundsätzlich bestehenden Varianten des erfindungsgemäßen Verfahrens, bei denen dem Messdatensatz entweder die Signatur des Nutzerdatensatzes, der komplette signierte Nutzerdatensatz oder auch beide zugeordnet werden. In der hier beschriebenen Ausgestaltung der Erfindung wird lediglich die Signatur des Nutzerdatensatzes dem Messdaten satz zugeordnet, was den Nutzerdatensatz in vorteilhafter Weise speicherplatzsparender gestaltet und eine Übertragung an die Abrechnungsstelle folglich mit weniger Übertragungska pazitäten verbunden ist. Sollte zu Revisionszwecken ein Rück griff auf den kompletten signierte Nutzerdatensatz erforder lich sein, ist dieser in vorteilhafter Weise für einen ein stellbaren Zeitraum lokal - d.h. in einem Speicherbereich der Messeinheit oder der Ladeeinrichtung - gespeichert.

Eine weitere Ausgestaltung der Erfindung verbessert die er findungsgemäße kryptographisch unbestreitbare Bindung der - z.B. in einer Ladekarte hinterlegten - Nutzerkennung mit der Signatur der den Messdatensatz erzeugenden Messeinheit noch weiter in Richtung einer Bindung der Nutzerkennung an den berechtigten Nutzer der Ladekarte. Hierzu werden weitere Authentifizierungsdaten zur Autorisierung des Ladevorgangs erhoben. Dazu zählen zum Beispiel ein oder mehrere über die Nutzerkennung hinausgehende Identitätsnachweise des Nutzers, insbesondere eine Erhebung einer PIN (Persönliche Identifika tionsnummer), eines Geburtsdatums oder einer Telefonnummer des Nutzers. Diese zusätzlichen Identitätsnachweise werden beispielsweise zur Eingabe in einer Eingabevorrichtung der Ladeeinrichtung angefordert.

Weitere Authentifizierungsdaten umfassen die Erhebung von durch ein mobiles Endgerät des Nutzers bestimmten Geokoordi- naten des Nutzers, welche durch Datenübertragung über die La deeinrichtung an die Messeinheit übertragen werden. Die vor teilhafte Bestimmung der Geokoordinaten durch ein mobiles Endgerät gewährleisten eine zusätzliche Unbestreitbarkeit verbunden mit einem Ausschluss einer manuellen - eventuell unbewusst fehlerhaft oder auch bewusst falschen - Eingabe der Geokoordinaten. Weitere Authentifizierungsdaten umfassen die Erhebung zumindest eines Identitätsnachweises eines am Lade vorgang vertraglich beteiligten Elektromobilitätsanbieters.

Gemäß einer weiteren Ausgestaltung der Erfindung wird die Bindung der Nutzerkennung an den berechtigten Nutzer fortge bildet, indem die weiteren Authentifizierungsdaten zur Auto- risierung des Ladevorgangs zumindest teilweise durch den ver traglich beteiligten Elektromobilitätsanbieter angefordert werden.

Gemäß einer weiteren Ausgestaltung der Erfindung wird die Bindung der Nutzerkennung an den berechtigten Nutzer fortge bildet, indem die Anforderung der Authentifizierungsdaten zu mindest teilweise vom Elektromobilitätsanbieter an ein mobi les Endgerät des Nutzers gestellt oder weitergereicht wird. Das mobile Endgerät des Nutzers umfasst insbesondere ein Smartphone, einen Tablet-Computer oder eine Smartwatch.

Gemäß einer weiteren Ausgestaltung der Erfindung erfolgt das Signieren lediglich für einen ersten Teilbereich des Nutzer datensatzes, während ein verbleibender zweiter Teilbereich des Nutzerdatensatzes lokal - d.h. in einem Speicherbereich der Messeinheit oder der Ladeeinrichtung - gespeichert wird. Diesem lokal gespeicherten zweiten Teilbereich des Nutzerda tensatzes wird gemäß einer weiteren Ausgestaltung eine Vor gangsnummer zugordnet. Bei dem Verfahrensschritt der Erzeu gung des Messdatensatzes aus mindestens einem Messdatum er- folgt dann lediglich eine Zuordnung des signierten ersten Teilbereichs des Nutzerdatensatzes und eine Aufnahme eines Verweises auf die Vorgangsnummer in den gemäß diesem Ausfüh rungsbeispiel erzeugten Messdatensatz. Diese Maßnahme trägt in vorteilhafter Weise dazu bei, den Nutzerdatensatz spei- cherplatzsparender zu gestalten, wodurch auch - wie im oben erläuterten Ausführungsbeispiel - die Übertragung an die Ab rechnungsstelle mit weniger Übertragungskapazitäten verbunden ist. Sollte zu Revisionszwecken ein Rückgriff auf den lokal gespeicherten zweiten Teilbereich des Nutzerdatensatzes er forderlich sein, ist dieser für einen einstellbaren Zeitraum lokal - d.h. in einem Speicherbereich der Messeinheit oder der Ladeeinrichtung - gespeichert.

Gemäß einer weiteren Ausgestaltung der Erfindung ist dem pri vaten Signaturschlüssel der Messeinheit ein digitales Zerti fikat zugeordnet. Das digitale Zertifikat ist vorzugsweise in einem bekannten Webstandards gemäßen Format, beispielsweise gemäß dem ITU-T-Standard X.509, aufgebaut. Ein Rechnungsemp fänger kann eine Kopie des Zertifikats speichern, wobei das Zertifikat bis zu dessen Rückruf die Identität der Messein heit zertifiziert. Der im Zertifikat festgehaltene öffentli che Signaturschlüssel der Messeinheit kann von einem Besitzer des Zertifikats verwendet werden, um die mit dem privaten Signaturschlüssel der Messeinheit erzeugte Signatur des Mess datensatzes zu verifizieren. Eine weitere Ausgestaltung sieht vor, dass das Zertifikat mindestens ein der Messeinheit zu ordenbares Identitätsmerkmal umfasst. Ein solches Identitäts merkmal ist insbesondere ein durch den Rechnungsempfänger un mittelbar überprüfbares Merkmal zur Charakterisierung der La deinrichtung, in welcher die Messeinheit verbaut ist.

Gemäß einer weiteren Ausgestaltung der Erfindung ist vorgese hen, dass auf den Nutzerdatensatz - oder zumindest auf einen Teil des Nutzerdatensatzes - eine kryptographische Hashfunk- tion angewandt wird, deren Ergebnis anschließend mit dem pri vaten Signaturschlüssel signiert wird. Durch Anwendung einer kryptographischen Hashfunktion, beispielsweise SHA-256, auf den Nutzerdatensatzes wird der Nutzerdatensatz ersetzt durch einen sogenannter Message Digest, also ein eindeutiges Abbild bzw. Fingerprint des Nutzerdatensatzes, welches einen gerin geren Umfang als der Nutzerdatensatz selbst hat, was die Ge nerierung der digitalen Signatur vereinfacht und zudem den bereits oben erläuterten Vorteil einer Übertragung mit weni ger Übertragungskapazitäten unterstützt.

Gemäß einer weiteren Ausgestaltung der Erfindung ist vorgese hen, dass der Nutzerdatensatz zusätzlich eine aktuelle Zeit, einen Zeitpunkt für einen Beginn des Ladevorgangs, einen Zeitpunkt für ein Ende des Ladevorgangs und/oder eine Zeit dauer für den Ladevorgang enthält. Durch Mitwirkung der Mess einheit kann die aktuelle Zeit bestimmt werden und Daten, die die aktuelle Zeit beschreiben, in den Nutzerdatensatz aufge nommen werden. Ferner können ein beabsichtigter Beginn des Ladevorganges, ein beabsichtigtes Ende des Ladevorgangs und/oder eine beabsichtigte Zeitdauer des Ladevorgangs in Folge einer Bedieneingabe durch den Nutzer erhoben werden. Hieraus können entsprechende Daten bestimmt werden und in den Nutzerdatensatz aufgenommen werden. Durch diese zusätzlichen Daten im Nutzerdatensatz kann die Unbestreitbarkeit abrech nungsrelevanter Daten weiter verbessert werden.

Die mit Bezug auf das erfindungsgemäße Verfahren vorgestell ten bevorzugten Ausführungsformen und deren Vorteile gelten entsprechend für die erfindungsgemäße Messeinheit sowie für das erfindungsgemäße Ladeeinrichtung. Gemäß einer Ausgestaltung der erfindungsgemäßen Messeinheit ist die Messeinheit nicht notwendigerweise einstückig ausge führt. Bestimmte Funktionen, wie beispielsweise eine Anzeige des Messwerts, werden dabei in einer oder mehreren abgesetz ten Komponenten realisiert. Eine solche Messeinheit besteht also nicht notwendigerweise aus einem einstückig verbaubaren Gehäuse. Stattdessen umfasst die Messeinheit gegebenenfalls eine Mehrzahl kommunikativ verbundener bzw. kommunizierender Komponenten, welche innerhalb einer Ladeeinrichtung montiert werden. Alternativ umfasst die Messeinheit gegebenenfalls ei ne Mehrzahl bereits in der Ladeeinrichtung verbaute Komponen ten, welche gemeinsam mit anderen Funktionseinheiten der La deeinrichtung auch von der Messeinheit benutzt oder mitbe nutzt werden.

Im Folgenden werden weitere Ausführungsbeispiele und Vorteile der Erfindung anhand der Zeichnung näher erläutert. Dabei zeigt die einzige FIG ein Ausführungsbeispiel zur Durchfüh rung des erfindungsgemäßen Verfahrens in einer exemplarischen Ladeinfrastruktur .

Die einzige FIG zeigt eine schematische Darstellung einer La deeinrichtung CHP, welche dazu dient, einen elektrischen Energiespeicher BAT eines Fahrzeugs VEH zu laden. Je nach Ausmaß und Gestaltung der Ladeeinrichtung CHP wird diese auch als Ladestation oder Ladepunkt bezeichnet.

Bei dem Fahrzeug VEH, welches vorliegend als Personenkraftwa gen ausgebildet ist, handelt es sich um ein elektrisch ange triebenes Fahrzeug. Der elektrische Energiespeicher BAT des Fahrzeugs VEH ist insbesondere als Batterie beziehungsweise Traktionsbatterie ausgebildet und dient zur Speicherung von elektrischer Energie, mittels welcher ein Antriebsmotor es Fahrzeugs VEH versorgt werden kann. Das Fahrzeug VEH ist vor- liegend zum Laden des elektrischen Energiespeichers BAT durch ein schematisch dargestelltes Ladekabel CCB mit der Ladeein richtung CHP verbunden.

Darüber hinaus zeigt die Figur ein mobiles Endgerät MOP, wel ches einem Nutzer USR zugeordnet ist und beispielsweise als Smartphone, Tablet Computer oder als Smartwatch ausgebildet ist.

Der Ladeeinrichtung CHP ist eine Schnittstelleneinheit IF zu geordnet oder in dieser integriert. Die Schnittstelleneinheit IF umfasst eine - nicht dargestellte - Ein-/Ausgabeeinheit zum Empfang von Eingaben des Nutzers USR. Eine Eingabe kann sowohl durch den Nutzer USR manuell erfolgen als auch durch drahtgebundenen oder drahtlosen Empfang von Eingabedaten, welche am mobile Endgerät MOP des Nutzers USR eingegeben und an die Schnittstelleneinheit IF übertragen werden. Eine Ein gabe kann auch durch eine - nicht dargestellte - Benutzerkar te bzw. Ladekarte des Nutzers USR erfolgen.

Entsprechend kann eine Ausgabe von Daten sowohl über eine Ausgabeeinheit der Schnittstelleneinheit IF als auch über ei ne drahtgebundene oder drahtlose Übertragung von Ausgabedaten auf das mobile Endgerät MOP oder auf die Ladekarte des Nut zers USR erfolgen.

Des Weiteren umfasst die Ladeeinrichtung CHP eine Messeinheit MG. Die Messeinheit MG beinhaltet eine Steuereinheit CTR und ein Messgerät MET, wobei das Messgerät MET vorzugsweise eine elektrische Energiemenge während des Ladevorgangs zum Laden des elektrischen Energiespeichers BAT erfasst. Die mit dem Messgerät MET kommunikativ gekoppelte Steuereinheit CTR der Messeinheit MG empfängt entsprechende Messdaten zur Messung einer elektrischen Spannung und/oder einer elektrischen Stromstärke, die während des Ladevorgangs vom Messgerät MET bereitgestellt werden.

Gemäß der hier beschriebenen Ausgestaltung der Messeinheit MG umfasst diese eine Mehrzahl kommunikativ verbundener bzw. kommunizierender Komponenten MET,CTR innerhalb der Ladeein richtung CHP, wobei die Aufteilung und Aufgabenverteilung der Komponenten der Messeinheit MG und der Komponenten der Lade einrichtung CHP auch weitergehender sein kann als in der Zeichnung dargestellt.

Weitere fachübliche Funktionskomponenten innerhalb der Lade einrichtung CHP, welche die Bereitstellung und Aufbereitung des elektrischen Ladestromstroms betreffen, sind aus Über- sichtlichkeitsgründen nicht dargestellt.

Bekannte Identifizierungsverfahren sehen eine Entgegennahme der Nutzerkennung des Nutzers USR an der Ladeeinrichtung CHP vor. Die Nutzerkennung wird üblicherweise auf der dem Nutzer USR zugeordneten Ladekarte oder dessen mobilen Endgerät MOP gespeichert und im Zuge des Identifizierungsverfahren an die Ladeeinrichtung CHP übergeben. In üblichen Ladekarten erfolgt ein Übergeben der darauf gespeicherten Nutzerkennung draht los, beispielsweise unter Verwendung einer bekannten RFID- Technik bzw. Radio Frequency Identification.

Dieses Identifizierungsverfahren stellt sich angesichts kom plexer Vertragsbeziehungen oftmals als unzureichend heraus. Besagte komplexe Vertragsbeziehungen entstehen unter anderem durch Trennung wirtschaftlicher Einheiten für das Anbieten elektrischer Ladeenergie. Bereits seit einiger Zeit ist es gängig, für eine Bewirtschaftung einer Ladeeinrichtung CHP zwischen einem - nicht dargestellten - Ladepunktbetreiber o- der CPO (»Charge Point Operator«) und einem - nicht darge- stellten - Elektromobilitätsanbieter oder EMP (»Electro Mobi- lity Provider«) zu unterscheiden.

Während der Elektromobilitätsanbieter traditionell einen fes ten Vertragspartner für den Nutzer USR bildet, der dem Nutzer USR einen Zugang zu unterschiedlichen Ladeeinrichtungen CHP anbietet und die dort bezogene Ladeleistung in Rechnung stellt, ist der Ladepunktbetreiber für die technische In standhaltung, die Stromversorgung und den Zugang zur Ladeinf rastruktur verantwortlich.

Insbesondere die Fortschritte in der Digitalisierung führen dazu, dass eine Vertragsbeziehung zwischen dem Nutzer USR und einem Elektromobilitätsanbieter zunehmend indirekter wird und auf diese Weise indirekten, ad hoc gebildeten Vertragsbezie hungen den Weg ebnen, welche in der Fachwelt - in Anlehnung an ein bekanntes Roaming in der Mobilkommunikation - auch als »E-Roaming« bezeichnet werden. E-Roaming ermöglicht es einem Nutzer USR, sein Elektrofahrzeug VEH an Ladeeinrichtungen CHP zu laden, welche nicht notwendigerweise durch den Elektromo bilitätsanbieter selbst betrieben werden und bei denen auch nicht notwendigerweise eine vorab geschlossene Vertragsbezie hung zwischen dem Ladepunktbetreiber und einem Elektromobili tätsanbieter besteht.

Das erfindungsgemäße Verfahren zur identitätsgesicherten Be reitstellung eines - nicht dargestellten - Messdatensatzes sieht eine Entgegennahme einer - nicht dargestellten - Nut zerkennung des Nutzers USR an der Schnittstelleneinheit IF der Ladeeinrichtung CHP vor. Die Schnittstelleneinheit IF übermittelt diese Nutzerkennung an die Steuereinheit CTR.

Daraufhin erfolgt in der Steuereinheit CTR ein Bereitstellen eines zumindest die Nutzerkennung umfassenden - nicht darge- stellten - Nutzerdatensatzes. Der Nutzerdatensatzes kann da bei insbesondere folgende die Nutzerkennung ergänzende Anga ben beinhalten:

Identitätsnachweise vorgelagerter Dienstleister;

Authentizitätsnachweise, insbesondere Signaturen über Tei le des Datensatzes;

Referenzen auf ergänzende Datensätze; und/oder;

Kundenmerkmale (z.B. Telefonnummer, Geburtsdatum)

Gemäß einem einfach gestalteten Ausführungsbeispiel zur Bil dung eines Nutzerdatensatzes liest ein - nicht dargestell ter - Kartenleser der Schnittstelleneinheit IF die Nutzerken nung der RFID-Ladekarte des Nutzers USR aus und übergibt die se an die Steuereinheit CTR. Die Steuereinheit CTR fügt eine Information hinzu, mit welchen Verfahren die Kennung der RFID-Ladekarte ausgelesen wurde und wie sicher diese Verfah ren eingestuft wurden. Diese Informationen werden mit der Nutzerkennung des Nutzers USR als Nutzerdatensatz hinterlegt.

Gemäß einem komplexer gestalteten Ausführungsbeispiel zur Bildung eines Nutzerdatensatzes liest der Kartenleser der Schnittstelleneinheit IF die Nutzerkennung der RFID-Ladekarte des Nutzers USR aus und übergibt diese an die Steuereinheit CTR. Die Steuereinheit CTR entscheidet aufgrund des unsiche ren Verfahrens und des die Ladekarte ausgebenden - nicht dar gestellten - Elektromobilitätsanbieters, dass von diesem Elektromobilitätsanbieter eine weitere Autorisierung einge holt werden soll. Eine entsprechende Anforderung wird darauf hin von der Steuereinheit CTR an einen - nicht dargestell ten - Server des Elektromobilitätsanbieter gesendet. Gemäß dieser Ausgestaltung wird also die Bindung der Nutzerkennung an den berechtigten Nutzer USR fortgebildet, indem weitere Authentifizierungsdaten zur Autorisierung des Ladevorgangs zumindest teilweise vom Elektromobilitätsanbieter angefordert werden.

Die Anforderung der Authentifizierungsdaten wird daraufhin zumindest teilweise vom Elektromobilitätsanbieter an das mo bile Endgerät MOP des Nutzers USR weitergereicht, indem der Server des Elektromobilitätsanbieters durch Sendung einer An frage an das mobile Endgerät MOP des Nutzers USR die Authen tifizierungsdaten durch Auswahl oder Eingabe des Nutzers USR veranlasst .

Insbesondere kann vorgesehen sein, dass der Nutzer USR zur authentischen Bestätigung seines Standorts aufgefordert wird. Authentisch bedeutet hier insbesondere, dass der Standort durch das mobile Endgerät MOP des Nutzers USR in Form von Ge- okoordinaten bestimmt werden, welche durch drahtlose Daten übertragung vom mobilen Endgerät MOP des Nutzers USR an die Steuereinheit CTR der Messeinheit MG oder an den Server des Elektromobilitätsanbieters übertragen werden. Im erstgenann ten Fall einer Datenübertragung an die Steuereinheit CTR wer den die Geokoordinaten als zusätzliche Authentifizierungsda ten dem Nutzerdatensatz hinzugefügt; Im zweitgenannten Fall einer Datenübertragung an den Server des Elektromobilitätsan bieters werden die Geokoordinaten seitens des Elektromobili tätsanbieters zu Revisionszwecken hinterlegt.

Nachdem die Generierung des Nutzerdatensatzes abgeschlossen ist, werden zumindest Teile dieses Nutzerdatensatzes mit ei nem der Messeinheit MG der Ladeeinrichtung CHP zugordneten - nicht dargestellten - privaten Signaturschlüssel zur Be reitstellung einer - nicht dargestellten - Signatur des Nut zerdatensatzes oder eines - nicht dargestellten - signierten Nutzerdatensatzes oder auch einer Kombination aus beiden sig niert. Nachdem der Ladevorgang von der Messeinheit MG oder einer an deren - nicht dargestellten - Komponente der Ladeeinrichtung CHP autorisiert wurde, erfolgt mit Beginn des Ladevorgangs ein laufendes Erfassen zumindest eines - nicht dargestell ten - Messdatums als zumindest indirektes Ergebnis einer elektrischen Messung durch die Messeinheit MG. Aus einem oder mehreren Messdaten wird ein Messdatensatz erzeugt, welchem die Signatur des Nutzerdatensatzes und/oder der signierte Nutzerdatensatz zugeordnet wird.

Anschließend wird der Messdatensatz bereitgestellt, also bei spielsweise an eine - nicht dargestellte - Abrechnungszentra le übergeben und von dieser dem Nutzer USR als Rechnungsemp fänger zur Verfügung gestellt.

Der Nutzer USR kann eine Echtheitsprüfung der im Messdaten satz enthaltenen signierten Nutzerkennung unter Anwendung ei nes - nicht dargestellten - öffentlichen Signaturschlüssels veranlassen. Hierzu speichert der Nutzer USR eine Kopie des der Messeinheit MG zugeordneten öffentlichen Signaturschlüs sels, welche er beispielsweise einem - nicht dargestellten - digitalen Zertifikat der Messeinheit MG entnimmt, in einer dem Nutzer USR zugeordneten - nicht dargestellten - Rechner einrichtung und verwendet den dem Zertifikat beigefügten öf fentlichen Signaturschlüssel, um die signierte Nutzerkennung eines oder mehrerer von der Messeinheit MG gelieferten Mess datensätze zu prüfen.

Das erfindungsgemäße Verfahren sieht eine Verwendung eines signierten Nutzerdatensatzes in einem Messdatensatz vor. Der Nutzerdatensatz umfasst neben der eigentlichen Nutzerkennung weitere Autorisierungsinformationen, welche eine Identität des Nutzers zusätzlich festigen. Somit kann ein Missbrauch der Nutzerkennung eingeschränkt werden und/oder die Manipula tion von abrechnungsrelevanten Daten verhindert werden.

Die durch die Messeinheit vorgenommene Signatur führt zu eine gegenüber dem Stand der Technik unbestreitbareren Identifi zierung des Nutzers im Zuge einer nachträglichen Überprüfung des Messdatensatzes. Die Unbestreitbarkeit wird erfindungsge mäß dadurch hergestellt, dass eine übergebene Nutzerkennung kryptographisch unbestreitbar mit der Signatur einer den Messdatensatz erzeugenden Messeinheit verbunden wird und die se Verbindung nach der Signierung nicht veränderbar ist.

Die vorgestellten Verfahren sehen zusammenfassend eine Kodie rung der Nutzerkennung mit zusätzlichen Autorisierungsinfor- mationen vor. Die zusätzlichen Autorisierungsinformationen schränken einen Missbrauch der Nutzerkennung ein und verhin dern eine Manipulation abrechnungsrelevanter Daten. Gleich zeitig erleichtern diese eine Zuordnung schädigenden Verhal tens zu einem Beteiligten. In vorteilhafter Weise kann das erfindungsgemäße Verfahren mit aus dem Stand der Technik be kannten Messeinheiten eingesetzt werden.

Ein wesentlicher Vorteil der vorgestellten Verfahren liegt in der Erzielung eines höheren Schutzniveau gegen verschiedene Arten von Manipulation und Datenmissbrauch seitens unter schiedlicher Beteiligter sowie in der höheren Unbestreitbar keit von Forderungen.