用于初始化被分配给智能表的存储区的方法.pdf

本发明涉及一种初始化存储区(136)的方法，其中，所述存储区(136)被分配给智能表(142；144；146；148)，其中，所述方法包括这些步骤：在第一计算机系统(150)和安全模块(100)之间建立第一通信通道，其中，所述安全模块(100)被分配给所述存储区(136)，其中，所述第一计算机系统(150)被分配给通过网络连接的计算机系统组，针对所述安全模块(100)认证所述第一计算机系统(150)，其中，初始化用于实现所述安全模块(100)与所述计算机系统组的其他计算机系统(166)通信，其中，在初始化所述存储区(136)之前，针对所述安全模块(100)仅能够成功认证所述计算机系统组的所述第一计算机系统(150)，在针对所述安全模块(100)成功认证所述第一计算机系统(150)之后，所述安全模块(100)通过安全传输从所述第一计算机系统(150)接收数据，并将该数据存储在所述存储区(136)中，用以初始化所述存储区(136)，其中，基于所存储的数据才能够在绕过所述第一计算机系统(150)的情况下实现在能源提供者和/或仪表运营方的第二计算机系统(166)与所述安全模块(100)之间的通信，其中，所述第二计算机系统(166)是来自所述计算机系统组的一个计算机系统。

1.  一种初始化存储区(136)的方法，其中，所述存储区(136)被分配给智能表(142；144；146；148)，其中，所述方法包括这些步骤：
在第一计算机系统(150)和安全模块(100)之间建立第一通信通道，其中，所述安全模块(100)被分配给所述存储区(136)，其中，所述第一计算机系统(150)被分配给通过网络连接的计算机系统组，
针对所述安全模块(100)认证所述第一计算机系统(150)，其中，初始化用于实现所述安全模块(100)与所述计算机系统组的其他计算机系统(166)通信，其中，在初始化所述存储区(136)之前，针对所述安全模块(100)仅能够成功认证所述计算机系统组的所述第一计算机系统(150)，
在针对所述安全模块(100)成功认证所述第一计算机系统(150)之后，所述安全模块(100)通过安全传输从所述第一计算机系统(150)接收数据，并将该数据存储在所述存储区(136)中，用以初始化所述存储区(136)，其中，基于所存储的数据才能够在绕过所述第一计算机系统(150)的情况下实现在能源提供者和/或仪表运营方的第二计算机系统(166)与所述安全模块(100)之间的通信，其中，所述第二计算机系统(166)是来自所述计算机系统组的一个计算机系统。

2.  根据权利要求1所述的方法，其中，所述安全传输是通过在所述第一计算机系统(150)和所述安全模块(100)之间的终端至终端加密来实施的。

3.  根据权利要求1或2所述的方法，其中，利用所述第一计算机系统(150)的第一证书(154)来实施针对所述安全模块(100)认证所述第一计算机系统(150)。

4.  根据权利要求3所述的方法，其中，在初始化所述存储区(136)之前，仅当存在所述第一证书(154)时才能针对所述安全模块(100)成功认证。

5.  根据前述权利要求之一所述的方法，其中，只有通过将数据存储 在所述存储区(136)中用于初始化所述存储区(136)，所述安全模块才允许与所述第二计算机系统(166)通信，其中，通过存储在所述存储区中的数据本身来允许与所述第二计算机系统(166)通信。

6.  根据前述权利要求之一所述的方法，其中，仅所述计算机系统组的所述第一计算机系统(150)允许写访问所述存储区(136)。

7.  根据前述权利要求之一所述的方法，其中，所述认证包括挑战响应方法。

8.  根据前述权利要求之一所述的方法，其中，
所述存储区(136)和所述安全模块(100)包含在所述智能表(142；144；146；148)中，或者
所述存储区(136)和所述安全模块(100)包含在智能表网关(138)中，其中，所述智能表(142；144；146；148)能够连接至所述智能表网关(138)。

9.  根据权利要求8所述的方法，其中，给所述智能表分配用于驱动所述智能表和/或所述网关的配置数据，其中，通过所述智能表(142；144；146；148)能够采集特定能耗的测量数据项，其中，由所述第一计算机系统(150)接收的数据包含授予能源提供者和/或仪表运营方读访问权限的测量数据项和/或配置数据的参数(125)。

10.  根据权利要求9所述的方法，其中，由所述第一计算机系统(150)接收的数据包含如下测量数据项和/或配置数据的参数(125)，所述测量数据项和/或配置数据是通过所述智能表或机构在应用所述安全模块的情况下传送至所述第二计算机系统(166)的。

11.  根据前述权利要求9或10所述的方法，其中，由所述第一计算机系统(150)接收的数据包含与所述智能表(142；144；146；148)采集测量数据项的时间频率有关的参数(125)和/或与将测量数据项和/或配置数据传送至所述第二计算机系统(166)的时间频率有关的参数(125)。

12.  根据前述权利要求之一所述的方法，其中，由所述第一计算机系统(150)接收的数据包含能源采集应用(130；132；134；174)。

13.  根据权利要求12所述的方法，其中，给所述机构分配呈所述能源采集应用(130；132；134；174)形式的参数(125)。

14.  根据权利要求13所述的方法，其中，包含在由所述第一计算机系统(150)所接收的数据中的参数(125)是包含在所述能源采集应用中的，其中，所述能源采集应用(130；132；134；174)依据所述参数(125)来监控所述第二计算机系统(166)对测量数据项和/或配置数据的访问。

15.  根据前述权利要求之一所述的方法，所述方法还具有下列步骤：
在所述第二计算机系统(166)和所述第一计算机系统(150)之间建立第三通信通道，
所述第一计算机系统(150)对所述第二计算机系统(166)进行认证，
在所述第一计算机系统(150)成功认证第二计算机系统(166)之后，所述第二计算机系统(166)通过所述第一计算机系统接收初始化所述存储区(136)的请求，其中，所述请求包括所述存储区(136)的标识(108；128)，其中，所述标识(108；128)明确地鉴别出所述存储区(136)。

16.  根据权利要求15所述的方法，其中，所述存储区(136)的所述标识(108；128)是由所述安全模块(100)的所述标识(108；128)提供的。

17.  根据权利要求16所述的方法，其中，所述安全模块(100)的所述标识(108；128)是所述安全模块(100)的公钥或者所述安全模块(100)的IPv6地址。

18.  一种安全模块(100)，其中，所述安全模块(100)被分配给存储区(136)，其中，所述存储区(136)被分配给智能表(142；144；146；148)，其中，所述安全模块(100)被构造用于初始化所述存储区(136)，其中，所述安全模块(100)还具有：
用于建立至第一计算机系统(150)的第一通信通道的装置，其中，所述第一计算机系统(150)被分配给通过网络连接的计算机系统组，
旨在针对所述安全模块(100)认证所述第一计算机系统(150)的装置(112)，其中，所述初始化用于使得所述安全模块(100)能够与所述计算机系统组的其他计算机系统(166)进行通信，其中，所述安全模块(100)如此构造，即，在初始化所述存储区(136)之前，针对所述安全模块(100)仅能够成功认证所述计算机系统组的所述第一计算机系统(150)，
用于在针对所述安全模块(100)成功认证所述第一计算机系统(150)之后通过所述安全模块(100)借助安全传输从所述第一计算机系统(150)接收数据并将该数据存储在所述存储区(136)中用以初始化所述存储区(136)的装置(116)，其中，所述安全模块(100)如此构造，即，基于所存储的数据才能够在绕开所述第一计算机系统(150)的情况下实现在能源提供者和/或仪表运营方的第二计算机系统(166)与所述安全模块(100)之间的通信，其中，所述第二计算机系统(166)是来自所述计算机系统组的一个计算机系统。

19.  根据权利要求18所述的安全模块(100)，其中，所述安全模块(100)是智能卡。

20.  一种用于初始化存储区(136)的第一计算机系统，其中，所述存储区(136)被分配给智能表(142；144；146；148)，其中，所述第一计算机系统(150)包括：
用于在所述第一计算机系统(150)和安全模块(100)之间建立第一通信通道的装置，其中，所述安全模块(100)被分配给所述存储区(136)，其中，所述第一计算机系统(150)被分配给通过网络连接的计算机系统组，
旨在针对所述安全模块(100)认证所述第一计算机系统(150)的装置(112)，
旨在在针对所述安全模块(100)成功认证所述第一计算机系统(150)之后用于把数据从所述第一计算机系统(150)通过安全传输发送至所述安全模块(100)并通过所述安全模块(100)将该数据存储在所述存储区(136)中用于初始化所述存储区(136)的装置(164)，其中，通过 所发送的数据来指定能源提供者和/或仪表运营方的第二计算机系统(166)，其中，所述指定用于允许在绕开所述第一计算机系统(150)的情况下在所述安全模块(100)和所述第二计算机系统(166)之间进行通信，其中，所述第二计算机系统(166)是来自所述计算机系统组的一个计算机系统。

21.  一种在第一计算机系统上执行的、用于初始化存储区(136)的方法，其中，所述存储区(136)被分配给智能表(142；144；146；148)，其中，所述第一计算机系统(150)上的方法包括：
在所述第一计算机系统(150)和安全模块(100)之间建立第一通信通道，其中，所述安全模块(100)被分配给所述存储区(136)，其中，所述第一计算机系统(150)被分配给通过网络连接的计算机系统组，
针对所述安全模块(100)认证所述第一计算机系统(150)，
在针对所述安全模块(100)成功认证所述第一计算机系统(150)之后，所述第一计算机系统(150)通过安全传输发送数据至所述安全模块(100)，以便通过所述安全模块(100)将该数据存储在所述存储区(136)中用于初始化所述存储区(136)，其中，通过所发送的数据来指定能源提供者和/或仪表运营方的第二计算机系统(166)，其中，所述指定用于允许在绕开所述第一计算机系统(150)的情况下在所述安全模块(100)和所述第二计算机系统(166)之间进行通信，其中，所述第二计算机系统(166)是来自所述计算机系统组的一个计算机系统。

22.  一种计算机程序产品，其具有能够由处理器执行的、用于实施根据前述权利要求之一所述的方法步骤的指令。

用于初始化被分配给智能表的存储区的方法
本发明涉及一种初始化被分配给智能表的存储区的方法、计算机程序产品和安全模块以及初始化被分配给智能表的存储区的计算机系统。
术语“智能表”通常理解为这样的想法，即，客户装有电子能耗采集设备，以便这样除了例如通过网络简单采集消耗的能量之外不仅向客户而且也向能源提供者提供其他功能。
在此可以实时向客户告知其当前能耗信息。术语“能耗”在这里可以理解为客户消耗的被送入家庭和企业的各种类型能源。除了包括电、水和燃气能源形式之外，还包括任意其他能源形式，例如集中供暖。
为了采集能耗，在各个用户处使用智能测量系统，也称为智能计数器或“智能表(Smart Meter)”。智能表是消耗能源的计数器。在此，用户可以是消耗各种不同可测量的能源形式(如电、燃气、水或暖气)的自然人或法人。使用智能表的目的是实现智能测量系统，这例如可以实现收取与总需求和网络利用率有关的可变的服务费。由此可以整体更好地充分利用能源供应网络。
根据BSI TR-03109技术指令已知，将所谓的智能表网关(也称为集中器)用作为可以与单个或多个智能表通信的中央通信单元。为此，该网关可以与所谓的“家域网(Home Area Network)”中的设备和“广域网(Wide Area Network)”中的设备通信。在此，家域网包括所有连接至网关的智能表以及例如用户的私人计算单元。私人计算单元例如可以用于告知关于当前利用智能表采集的能耗值信息。广域网构造为实现网关和授权市场参与者的通信。网关例如可以集中所有智能表的数据并将它们提供给上一级收集站点，例如能源提供者或仪表运营方。
本发明的任务在于提供一种初始化被分配给智能表的存储区的方法、计算机程序产品和安全模块以及初始化被分配给智能表的存储区的计算机系统。
本发明提出的该任务利用独立权利要求的特征解决。本发明优选实施方式在从属权利要求中说明。
实现一种初始化存储区的方法，其中，存储区被分配给智能表，其中，所述方法包括步骤：在第一计算机系统和安全模块之间建立第一通信通道，其中，安全模块被分配给存储区。在此，第一计算机系统被分配给通过网络连接的计算机系统组。所述方法还包括这一步骤：针对安全模块认证第一计算机系统，其中，初始化用于实现安全模块与计算机系统组的其他计算机系统通信，其中，在初始化存储区之前，针对安全模块仅能够成功认证计算机系统组的第一计算机系统。在针对安全模块成功完成认证第一计算机系统之后，安全模块通过安全传输从第一计算机系统接收数据，并将数据存储在存储区中以初始化存储区，其中，只有基于所存储的数据才能在绕开第一计算机系统的情况下实现“能源提供者和/或仪表运营方的第二计算机系统”与“安全模块”的通信，其中，第二计算机系统是来自计算机系统组的一个计算机系统。
本发明实施方式可以具有这样的优点，即，通过初始化过程能够以可靠、明确和可追溯的方式提供一种实现智能表和经授权的市场参与者(如能源提供者或仪表运营方)之间的可靠通信的可能性。在此，第一计算机系统优选是可信主管单位的计算机系统，其也被称为“可信服务管理系统(Trusted Service Manager)”或“TSM”。
为此，安全模块优选例如在供货状态下如此配置，即，仅可信主管单位可以在成功完成认证之后与安全模块进行通信。由此确保，尤其是与支付相关的智能表配置仅留给这样的单位，该单位不仅被经授权的市场参与者(如仪表运营方和实际的能源提供者)而且被最终用户都归入可信方。“与支付相关的配置”可以理解为以下情况，即，通过这种关于 智能表的配置确定，例如授权谁结算由智能表采集的能量。由此还可以确定，究竟允许何人(如最终用户和授权的市场参与者)在何种范围内访问这些功能和关于智能表可供使用的信息。因为在可信情形方面实施确定，由此确保排除非授权第三方滥用这些功能和信息。在此，这些信息例如可以是智能表的位置信息，通过智能表所测量的值以及包含存储区位置信息的值。
因而，通过将所接收数据存储在存储区中以初始化存储区例如可以关于一个或多个分配了所述存储区的智能表来确定：例如所采集的能量向谁报告，在时间方面应如何采集能量以及允许经授权的市场参与者关于智能表采集和/或查询哪些信息或“属性”。另外由此还可以确定，例如最终用户已访问信息到何种程度，这些信息关于智能表或者存储在智能表自身之中或者存储在给智能表分配的设备如网关或安全模块的其中之一上。
本发明实施方式整体是特别有利的，这是因为不仅关于智能表所存储的数据“配置数据”而且关于最终用户以及仪表运营方和能源提供者的、智能表所采集的测量数据项的数据保护都确保了特别高程度的可信度。
根据本发明一个实施方式，在第一计算机系统和安全模块之间通过终端至终端加密实现安全传输。这可以实现，通过任意网络建立安全模块和第一计算机系统之间的连接，这是因为基于终端至终端加密第三方无法更改通过该连接传送的数据。本发明通常可以如此实现，即，第一计算机系统和安全模块之间的整个通信可以通过任意类型的网络实施。这包括通过互联网的通信，通过无线网络连接例如移动通信的通信，应用载频系统情况下的通信。后者也以“电力线数据传输”的名称已知并且包括通过现有电网传输数据的机构。
根据本发明另一实施方式，利用第一计算机系统的第一证书来实施针对安全模块认证第一计算机系统。安全模块可以根据所述第一证书检查第一计算机系统是否已具有写访问存储区所需的权限，之后可由第一计算机系统执行这种写访问。
根据本发明另一实施方式，在初始化存储区之前，仅当存在第一证书时，才可针对安全模块成功认证。这样例如只有通过将数据存储在存储区中以初始化存储区，安全模块才允许与第二计算机系统通信，其中，通过存储在所述存储区中的数据自身允许与第二计算机系统进行通信。也就是，并非将任意数据写入存储区来促成允许通信，而是数据内容本身促成允许通信。例如可以在数据中包含用于第二计算机系统的具体授权，该授权允许安全模块将第二计算机系统识别为有权访问特定测量数据项或配置数据。因而确保了，原则上仅呈第一计算机系统形式的可信单位可以运行安全模块、进而与之配套的智能表。因而禁止了操纵或者甚至窥视企图；假如没有最初使用第一计算机系统以及所有参与者均信任的机构，那就不能与安全模块通信。
根据本发明另一实施方式，仅针对计算机系统组的第一计算机系统可以实现写访问存储区。因而确保了，绝不会出现非可信主管单位获得存储区的写访问。然而，这种限制也可以仅适用于初始化存储区之前的时间段；初始化之后，不同于第一计算机系统的其他计算机系统写访问限制为例如与智能表和/或网关的基本功能性无关的简单写功能。在此，例如可以在存储区中设置标记和写入日志条目。在这种情况下，初始化之后，不同于第一计算机系统的其他计算机系统写访问局限为非配置的写访问。当然在此还附加采取了一般性的访问控制，如其关于第二计算机系统以上所述并且按照基本方式管理：究竟是否允许第二计算机系统访问存储区。
根据本发明一个实施方式，认证包括挑战响应方法(Challenge-Response-Verfahren)。例如可以使用密码协议，例如基于对称密钥或非对称密钥对，以便相对安全模块认证第一计算机系统。
根据本发明一个实施方式，存储区和安全模块包含在智能表自身中，或者存储区和安全模块包含在智能表网关中，其中，智能表能够连接至智能表网关。智能表和智能表网关例如可以通过无线和/或有线通信连接彼此相连。
在所有情况下，存储区还用于持久存储这些数据，如证书和加密密 钥，它们保护性地确保在使用智能表的最终客户与分配给这些智能表的能源提供者或仪表运营方之间可靠和安全的数据交换。
尤其在存储区包含在智能表网关中的情况下，优点在于，可以设置单独的中央单元，该中央单元向与位于智能表网关网络之外的参与者任意通信提供了单独的中央通信接口。
根据本发明一个实施方式，给智能表分配配置数据以驱动智能表和/或网关。这些配置数据可以存储在存储区中。在此，配置数据可以理解为配置智能表和/或网关运行的任意类型数据。这也包括采集数据的方式和方法，例如测量数据采集的定时、测量数据分析、测量数据汇集、测量数据转换以及智能表和网关的特定位置的数据。
根据本发明一个实施方式，通过智能表可以采集特定能耗的测量数据项。在此，“测量数据项”可以理解为根据智能表测量能耗产生的任意类型数据。这例如包括采集能耗测量的测量数据的时间点、在相应时间点的各个测量数据点以及关于测量数据发生的信息，如电流强度、电压、水压、水温或燃气压力。
根据本发明一个实施方式，第一计算机系统接收的数据包含这样的测量数据项和/或配置数据的参数，所述测量数据项和/或配置数据通过智能表或网关在应用安全模块情况下优选自主以及进而自动地传送至第二计算机系统。
通过提供这种“参数”形式的权限规定，可以专门针对各个能源提供者和/或仪表运营方事先确定：究竟允许能源提供者和/或仪表运营方读取或采集哪些测量数据项和/或配置数据。由此确保较高程度的数据保护。这种数据保护设计的承诺尤其如此得到，即，读权限是通过可信单位(即，第一计算机系统)授予的。
第一计算机系统接收的数据例如也包含关于智能表采集测量数据项的时间频率的参数和/或关于将测量数据项和/或配置数据传送至第二计算机系统的时间频率的参数。这样可以通过第一计算机系统执行智能表或网关的完整基本配置；最终客户不需要考虑第二计算机系统是否没有执行关于其智能表的任何不期望的配置。
目标优选是实现在能源提供者和/或仪表运营方的第二计算机系统和安全模块之间建立第二通信通道。之后执行第二计算机系统和安全模块的相互认证，其中，利用第二证书和安全模块的第三证书实施认证。在成功完成相互认证之后，安全模块通过安全传输将数据中指定的测量数据项和/或配置数据的至少一部分传送至第二计算机系统。另选或附加地，也可以在第二证书中同样指定能源提供者和/或仪表运营方具有读权限的测量数据项和/或配置数据。在这种情况下附加或另选地，安全模块通过安全传输将第二证书中指定的测量数据项和/或配置数据的至少一部分传送至第二计算机系统。
通过所述方法步骤确保了，仅当能源提供者或仪表运营方和最终用户对这种数据传输有兴趣并且如果这两方面事先已经同意这种数据传输，才在能源提供者和/或仪表运营方的第二计算机系统和安全模块之间传输测量数据项和/或配置数据。仅当如此，才由可信主管单位设置具有第二计算机系统授权参数的所述存储区。因为第一计算机系统的主管单位是可信的，所以最终用户可以认为，对其智能表而言，在未经同意时第二计算机系统不会通过将所述参数相应存储在存储区中而执行不期望的启用。如果这种相对同意不存在，则能源提供者或仪表运营方例如无法确认安全模块第三证书的真实性，或者安全模块无法反过来识别能源提供者或仪表运营方的第二证书是真实可信的。优选可以在初始化存储区时向安全模块提供可以使得安全模块能够确认第二证书真实性的信息。然而即使安全模块和能源提供者或仪表运营方相互信任，对最终用户而言也要确保仪表运营方或能源提供者只能读取先前明确作为“测量数据项”和/或“配置数据”而用于此目的的数据。
这种数据保护设计的承诺尤其如此得到，即，测量数据项和/或配置数据根据本发明一个实施方式附加或另选地包含在公文中，即，证书中。因为证书是防篡改的并且最终用户很容易检查其真实性，所以由此可以实现关于告知指定的测量数据项和/或配置数据的较高程度的可信度。所述证书优选又通过第一计算机系统签署。所述证书可以是第二证书。
应当指出，在整个说明范围内，优选全部证书应当由第一计算机系 统运营方签发。由此可信度的可靠性不仅由第一和第二计算机系统确保也由安全模块确保。
根据本发明一个实施方式，通过安全模块建立第二通信通道，其中，在数据和/或第二证书中指定的部分测量数据项和/或配置数据是通过推送法传送的。由此可以实现，例如在其中例如初始化存储区所确定的时间间隔内，安全模块建立第二通信通道，以便由此定期例如将能耗值传送至第二计算机系统。在此例如也可以仅在初始化存储区所确定的某些条件下建立第二通信通道。这些条件例如可以包括汇集大于预定阈值的所采集能量。
根据本发明另一实施方式，第一计算机系统接收的数据包括能源采集应用，其中，已通过安全模块从第一计算机系统接收了包含这些数据的能源采集应用。由此可以在初始化存储区时通过第一计算机系统提供能源采集应用，所述能源采集应用以通过例如仪表运营方和/或能源提供者事先指定的方式来实现能源采集和能源结算。此外，通过这种能源采集应用还可以确定，怎样实施能源采集。例如可以准确到秒地结算或者结算预定时间段内的所汇集的能耗。另外，能源采集应用也可以提供接口如网络接口，通过所述接口，最终用户可以预定方式自己监控其能耗。
根据本发明一个实施方式，给所述机构分配呈能源采集应用形式的参数。即，能源采集应用可以利用相应程序指令监控第二计算机系统访问测量数据项和/或配置数据究竟是否得到允许或到何种程度。此外，这些程序指令可以用于在使用安全模块作为通信接口情况下自主传送测量数据项至第二计算机系统。此外，能源采集应用可以提供能源提供者特定的用户接口，用于作为安全模块使用者的最终用户。最终用户可以通过该接口(例如网络接口)了解自身的消耗细节信息。
根据本发明一个实施方式，包含在第一计算机系统所接收数据中的参数包含在能源采集应用自身中，其中，能源采集应用依据所述参数监控第二计算机系统对测量数据项和/或配置数据的访问。另选或附加地，这些参数可以包含在独立文件(如授权表)内，能源采集应用访问该独立文件以便进行访问监控。
在这一点上应当指出，本发明实施方式的特别有利之处在于，存储区和安全模块包含在智能表网关中。在这种情况下，例如智能表网关可以与各种智能表相连，从而可以在初始化过程中针对各智能表以及也许各种能源提供者或仪表运营方的各个智能表提供特定能源采集应用和/或配置数据。这也包括重新使用方法步骤，用于关于升级存储区内容(例如基于能源采集应用的更新)而初始化存储区。此外，这还包括后期添加一个或其他能源采集应用至存储区的可能性。由此通过提供单独的网关可以实现几乎无限制的、具有多个各种智能表的扩展可能性，并且可以实现对访问多个各种能源提供者和/或仪表运营方的网关的访问控制。这尤其在用于例如多家庭房屋时是重要的，其中，各参与者在各个时间和日期确定各种能源提供者或仪表运营方用于能量结算和能量供应。
另选或附加地，类似于关于配置数据和/或授权参数自身执行关于能源采集应用所述的操作方法。这例如包括通过第一计算机系统更新配置数据和通过第一计算机系统添加新的配置数据，以及通过第一计算机系统更改授权设计。应当确保，在任意时间点仅允许第一计算机系统执行更改、更新或删除授权和配置参数。
根据本发明另一实施方式，能源采集应用发起第二通信通道的建立。因而如上已述，尤其可以按照事先确定的时间间隔发送采集能量的报告至能源提供者或仪表运营方。这免除了能源提供者或仪表运营方必须执行定期查询所采集的能耗。如果例如仅当超过最小能耗时才报告给第二计算机系统，那么就免除了第二计算机系统在某些情况下的不必要的查询，这是因为整体能耗尚未超过该阈值。虽然如此当然还是可以定期地例如在创建最终结算时，从第二计算机系统方面建立与安全模块的通信，进而将测量数据项从安全模块传输至第二计算机系统。
根据本发明另一实施方式，本发明还包括这些步骤，即，在第二计算机系统和第一计算机系统之间建立第三通信通道，第一计算机系统对第二计算机系统进行认证，以及在第一计算机系统成功完成认证第二计算机系统之后，由第二计算机系统通过第一计算机系统接收初始化存储区的请求，其中，所述请求包括存储区的标识，其中，所述标识明确鉴 别出存储区。
由此可以实现能源提供者或仪表运营方的第二计算机系统在应用第一计算机系统情况下促使执行存储区的初始化。然而仅当第一计算机系统已将第二计算机系统归入可信时，第二计算机系统才建立至安全模块的第一通信通道并执行初始化过程。由于通过第二计算机系统将待初始化的存储区的明确标识传送至第一计算机系统，所以第一计算机系统也可以明确地准确为安全模块编制，该安全模块实际上也被分配给期望初始化的存储区。因而整体实现简单和有效的可能性，利用所述可能性可以通知：关于相应的仪表运营方和/或能源提供者，哪些智能表可被最终用户用于数据采集，并且哪些应被配置。
根据本发明另一实施方式，存储区的标识是通过安全模块的标识来提供的。由此确保了安全模块和存储区不可分地彼此相连。因而安全模块的明确寻址对应于存储区的明确寻址。如果存储区位于智能表网关中，就由此确保了，后期不得以未授权方式用另一网关替换所述网关。例如由此可以禁止从“被侵入”的网关向仪表运营方提供数值，而该网关只偶尔与相应智能表相连，因而实际上根本不执行真正的能耗采集。所述存储区只能由第一计算机系统通过安全模块写入，该存储区的编址基于标识是明确的。在这种情况下，另一网关与另一存储区的应用原则上是不可能的，这是因为在第一计算机系统方面绝不可能上传与能量采集相关的数据。
根据本发明一个实施方式，安全模块的标识是安全模块的公钥或安全模块的IPv6地址。安全模块的公钥用作为安全模块的标识以及进而用作为存储区的标识的优点是，由此可以提供GUID(Globally Unique Identifier：全局唯一标识符)，凭借几乎绝对可靠的概率，GUID是唯一的。例如通过简单分配尽量长的公钥可以简单管理标识。在安全模块的标识是IPv6地址的情况下，以简单方式可以实现通过现有网络实现给安全模块的明确编址。
根据本发明另一实施方式，第三证书包含安全模块的公钥。在此，所述公钥被分配给存储在安全模块的受保护存储区中的私钥。证书可以 按照公钥基础设施(PKI：Public Key Infrastructure)标准创建，例如按照X.509标准创建。
在这一点上应当指出，所述证书(第一、第二和第三证书)不必强制存储在为此设置的机构(第一计算机系统、第二计算机系统、安全模块)的存储器中。另选或附加地，证书也可以存储在公共目录服务器上。
根据本发明一个实施方式，安全模块不可分地与智能表或智能表网关相连。在此，“不可分”可以理解为安全模块与智能表或智能表网关的持久性相连，这种持久性相连确保了安全模块的功能性。一旦尝试将安全模块与智能表或智能表网关分开，安全模块就会进入不可用(即失去功能)的状态。这可以或者通过在拆下时电子自毁、自禁用或物理破坏或者禁用安全模块来确保。在最简单情况下，安全模块可以浇铸在智能表或智能表网关的壳体中，从而浇铸连接的“裂开”会造成安全模块损毁。
优选基于安全模块与智能表或智能表网关的连接在智能表或智能表网关上开始连接过程，其中，通过连接过程在安全模块与智能表或智能表网关之间建立不可分逻辑连接。这种不可分逻辑连接例如包括安全模块的第三证书或标识在存储区上的不可逆的复制过程。
根据本发明一个实施方式，提供呈智能卡形式的安全模块。呈智能卡形式的安全模块例如可以由第一计算机系统的运营方通过在智能卡上存储下述信息来预先配置，所述信息可以实现相对安全模块认证第一计算机系统，以便随后执行初始化过程。
根据本发明一个实施方式，第一计算机系统是官方认证的信任中心。
在另一方面，本发明涉及一种安全模块，其中，安全模块被分配给存储区，其中，存储区可被分配给智能表，其中，安全模块用于初始化存储区，其中，安全模块具有用于建立至第一计算机系统的第一通信通道的装置，其中，第一计算机系统被分配给通过网络连接的计算机系统组。此外，安全模块还具有用于针对安全模块认证第一计算机系统的装置，其中，该初始化用于实现安全模块与计算机系统组的其他计算机系统终端的通信，其中，安全模块如此构造，即，在初始化存储区之前， 针对所述安全模块仅能够成功认证计算机系统组的第一计算机系统。最后，安全模块还具有一装置，其用于在针对安全模块成功认证第一计算机系统之后，安全模块通过安全传输从第一计算机系统接收数据并将数据存储在存储区中以初始化存储区，其中，该安全模块如此构造，即，只基于所存储的数据可以在绕开第一计算机系统的情况下实现“能源提供者和/或仪表运营方的第二计算机系统”与“安全模块”的通信，其中，第二计算机系统是来自计算机系统组的一个计算机系统。
在本发明另一方面，本发明还涉及一种用于初始化存储区的第一计算机系统，其中，存储区被分配给智能表，其中，第一计算机系统包括：
装置，其用于在第一计算机系统和安全模块之间建立第一通信通道，其中，安全模块被分配给存储区，其中，第一计算机系统被分配给通过网络连接的计算机系统组，
装置，其用于针对安全模块认证第一计算机系统，
装置，其用于在针对安全模块成功认证第一计算机系统之后，将数据从第一计算机系统通过安全传输发送至安全模块，并通过安全模块将数据存储在存储区中以初始化存储区，其中，通过所发送数据指定能源提供者和/或仪表运营方的第二计算机系统，其中，所述指定用于允许进行在绕开第一计算机系统情况下的安全模块和第二计算机系统之间的通信，其中，第二计算机系统是来自计算机系统组的一个计算机系统。
在另一方面，本发明涉及一种在第一计算机系统上执行的、用于初始化存储区的方法，其中，存储区被分配给智能表，其中，第一计算机系统上的方法包括：
在第一计算机系统和安全模块之间建立第一通信通道，其中，安全模块被分配给存储区，其中，第一计算机系统被分配给通过网络连接的计算机系统组，
针对安全模块认证第一计算机系统，
在针对安全模块成功认证第一计算机系统之后，由第一计算机系统通过安全传输将数据发送至安全模块，以便通过安全模块将数据存储在存储区中以初始化存储区，其中，通过所发送的数据来指定能源提供者 和/或仪表运营方的第二计算机系统，其中，通过所述指定来允许在绕开第一计算机系统情况下的安全模块和第二计算机系统之间的通信，其中，第二计算机系统是来自计算机系统组的一个计算机系统。
在另一方面，本发明涉及一种具有可由处理器执行的指令的、用于执行根据上述方法步骤的计算机程序产品。
以下结合附图进一步示出优选的本发明实施方式。图中：
图1是用于实现上述方法的系统的框图；
图2是初始化存储区方法的实施方式的流程图；
图3是提供安全模块的方法的流程图。
以下，彼此相似的元件用相同附图标记标出。
图1示出用于初始化存储区的总系统的框图。以下，连同用于初始化存储区的图2所示的方法步骤一起无一般性限制地示出了，网关138的存储区136可以如何初始化，多个智能表142、144、146、148可以被分配给该网关。
在此，智能表142–148用于采集例如关于燃气(智能表142)、水(智能表144)、电(智能表146)以及其他未进一步指明的能源形式(智能表148)的各种能耗值。在这里，这些智能表通过相应通信连接192与网关138的接口118相连。
假定，安全模块100与网关138固定且不可分地相连，从而整体上通过网关138和安全模块100的组合而产生不可分的单元140。网关138和安全模块100通过相应接口118或116彼此通信。通过该接口116还可以与不在由单元140和智能表142–148构成的网络内部的、经授权的市场参与者和第三方或主管单位的通信。安全模块100的接口116与其 他通信参与者之间的通信在此通过通信连接190实施。通信连接在这里例如可以是电力线连接或者通过移动通信网络或互联网的通信连接。
安全模块100具有包括受保护存储区106和108的电子存储器102。受保护存储区106用于存储安全模块100的私钥，而存储区108用于存储安全模块的标识“GUID”(Globally Unique Identifier：全局唯一标识符)。GUID例如可以是安全模块100的IPv6地址。
电子存储器102还可以具有用于存储证书的存储区104。证书包含公钥，其被分配给存储在受保护存储区106中的私钥。证书可以按照公钥基础设施(PKI：Public Key Infrastructure)标准创建，例如按照X.509标准创建。
证书不必强制性利用安全模块100的电子存储器102来存储。另选或附加地，证书也可以存储在公共目录服务器上。
安全模块100具有用于执行程序指令112和114的处理器110。通过执行程序指令112“密码协议”，例如可以实现针对安全模块100认证可信的主管单位150或能源提供者166。密码协议例如可以是基于对称密钥或非对称密钥对的挑战响应协议。
当然安全模块和可信主管单位或能源提供者也可以相互认证。
程序指令114用于对要在安全模块100和可信主管单位150或能源提供者166之间传输的数据进行终端至终端加密。终端至终端加密可以使用对称密钥，该对称密钥例如是在安全模块100与其他参与者150或166之间执行密码协议期间约定的。
与安全模块100类似，可信主管单位150也具有电子存储器152和受保护存储区156用于存储可信主管单位的私钥。存储器152中也可以包含可信主管单位的证书154。然而该证书同样可以存储在中央证书服务器上。
可信主管单位150的处理器158又具有上面关于安全模块100所述的程序指令112和114，用于实现密码协议和实施终端至终端加密。密码协议和终端至终端加密可以被用于通过接口164与能源提供者166或安全模块100通信。证书154又包含公钥，该公钥被分配给存储在受保护 存储区156中的私钥。
“能源提供者”166是能源提供者的计算机系统，该计算机系统又具有电子存储器168和处理器178。此外，接口186属于该计算机系统，通过该接口可以实现与可信主管单位150或安全模块的通信。
能源提供者166的电子存储器168具有带私钥的受保护存储区172，其中，该私钥被分配给公钥，该公钥包含同样在电子存储器168中的证书170中。此外，在存储器168中，存储区被设置用于一个或多个应用，其中，这些应用例如可以实现与支付相关的网关138配置。同样可以在电子存储器168中存储先前已由网关138接收的测量数据176。
处理器178具有程序指令180用于采集由网关138发送的消耗数据，以及还可选地用于执行根据算出的测量数据(程序指令182)结算消耗的方法步骤。同样可以规定用于执行密码协议112步骤的程序指令以及用于执行终端至终端加密的程序指令(未示出)，其中，通过这些程序指令可以实现与可信主管单位150或安全模块100的可靠通信。
如果现在给能源提供者166分配新客户，那么例如可以在第一次安装智能表142–148和提供具有安全模块102的网关138之后进行安全模块的初始化过程。该初始化过程可以如此发起，即，新客户(最终用户)或已安装智能表的特定技术主管单位向能源提供者166报告与此相关的相应消息。该消息优选应当包括安全模块100的GUID 108，这是因为由此可以使能源提供者166明确鉴别出安全模块100。
在能源提供者166通过其接口186(例如通过相应网页的网络接口)获得该消息之后，能源提供者166建立至可信主管单位150的通信通道。此步骤在图2中利用附图标记200标出。可信主管单位在此例如可以是所谓的“Trusted Service Manager TSM(可信服务管理系统)”，即，官方认证的主管单位，其在电子通信过程中证明通信双方的相应身份。
在步骤200建立通信通道之后，在步骤202进行能源提供者166的认证。为此，可信主管单位150检查能源提供者的证书170。可信主管单位150例如可以在主动证书检查情况下执行挑战响应方法，其中生成随机数，该随机数利用证书170内包含的能源提供者166公钥被加密并被 发送给能源提供者166。能源提供者166接着可以利用其私钥172解密该随机数并以明文发回。如果现在可信主管单位150接收到的随机数与前述随机数一致，那么实际上就可以保证能源提供者166的可信度。
在执行步骤202和可选的挑战响应方法之后，接着在步骤204可以通过在能源供应者166和可信主管单位150之间的通信连接188建立具有终端至终端加密的通道。在此可以使用可信主管单位的处理器158的程序指令114。
在步骤204建立通道之后，可信主管单位150在步骤206中接收针对上传能源提供者166的能源采集应用174的请求和网关138的存储器136。为了明确地指定存储器136或网关138，连同对存储器136初始化的请求一起也将包含在存储器136中的网关138的GUID 128发送至可信主管单位。存储器136的GUID 128优选与安全模块100的存储器102的GUID 108相同。
利用在步骤206接收GUID，可信主管单位150可以明确给所期望的网关138编址以便上传应用174。为此，在下一步骤208，可信主管单位150通过通信连接190建立至安全模块100的通信通道。针对安全模块100认证可信主管单位150，其中，认证除了包括通过安全模块检查证书154例如还包括在安全模块100方面的挑战响应方法。为此，安全模块100又可以生成随机数，利用可信主管单位150公钥加密并发送给可信主管单位150。可信主管单位150利用其私钥156对经加密的随机数进行解密，解密后的随机数以明文发回至安全模块100。如果安全模块确认这样接收的已解密随机数与原来其自身加密的随机数一致，则给予可信主管单位认证。
之后，在步骤212继续该方法，即，建立在可信主管单位150和安全模块100之间具有终端至终端加密的通信通道。这又可以通过应用安全模块100的处理器110的程序指令114来实施。
在步骤214，安全模块100从可信主管单位接收能源采集应用174。
在这一点上应该指出的，有利的是，可信主管单位例如将最频繁发送的能源采集应用保持存储在可信主管单位的本地存储器中，从而不需 要在开发新客户时不断地将应用174从能源提供者166传输至可信主管单位150。
在步骤214接收能源采集应用之后，安全模块100将该应用存储在网关138的存储器136中。如果应用174例如是关于水和电采集能耗的应用，那么该应用作为应用132保存在存储器136中。该应用可以处理智能表144的能耗数据。类似地，存储器136可以包括采集燃气能源的相应应用(134)以及采集其他能源形式的其他应用130。图2通过步骤216代表了能源采集应用通过安全模块100存储在网关138中。
除了在步骤214由安全模块100接收能源采集应用之外，还可以由可信主管单位150接收呈测量数据项的准确指定或特定能源提供者授权形式的独立参数，它们同样存储在存储器136的另一区域125中。测量数据项的指定或授权可以预先确定：究竟允许能源提供者166从网关138获得哪些信息。为此例如可以提前由可信主管单位150为各个能源提供者定义特定授权，其全局适用于所有能源提供者166，并且其基本上随着传输能源采集应用被发送至安全模块、进而发送至网关138。
可信主管单位150也可以获得配置数据。在此，这些配置数据可以涉及智能表和/或网关的技术配置。
代替或除了这些独立参数形式的授权或指定之外，还可以自己执行能源采集应用中的这种授权或指定。应用自己根据其程序指令检查哪些数据传送至能源提供者166。
利用处理器126的采集数据122的程序指令，现在网关138可以采集与例如智能表144和智能表146的能耗有关的测量数据。相应测量数据存储在存储器136的存储区124中。原则上，测量数据124由各种测量数据项组成，它们例如可以包括：采集测量数据的时间点、在相应时间点的各个测量数据点，关于测量数据发生的信息(例如，电流强度、电压、水压、水温、燃气压力)。测量数据124可以通过应用130、132和134接受其他分析，由此产生经分析的测量数据，它们同样可以作为“测量数据项”存储在存储区124中。已分析的测量数据例如可以是累积的能耗值。
测量数据项的上述授权125或指定实现了从一开始就确定，究竟允许能源提供者126调用这些测量数据项124中的哪些，或者究竟这些测量数据项124中的哪些应当传送至能源提供者126。此外还可以从一开始就确定，怎样允许以何等的详细程度来进行这种调用。例如过于详细和时间准确地调用测量数据124可能是不希望的，这是因为通过短测量时间间隔可以了解电子设备的使用情况并由此创建用户资料，然而最终客户也许对此没有兴趣。
如上已述，安全模块100和网关138优选不可分地彼此相连。它们例如构成一个结构单元140，如图1中示意性示出的那样。为了生成单元140，可以执行图3所述方法步骤的流程图。
在步骤400，首先提供安全模块100。接着，在步骤402，将密钥资料和证书存储在安全模块中。安全模块为此例如可以具有相应的密码单元，利用其可以自行生成私钥106。或者也可以是，可信主管单位生成私钥并将其存储在安全模块的从外部不可访问的存储区。属于私钥的公钥被加入证书，证书随后由可信主管单位签署并存储在安全模块的存储器102中。
接着在步骤404，安全模块安装至网关，例如呈智能卡形式，并执行安全模块和网关的不可分连接。例如，安全模块和网关在电子方面是如此彼此联接的，即，安全模块与网关的分开会导致安全模块自动损毁。
在安全模块安装至网关404之后，在步骤406，实施安全模块100和网关138的自动逻辑连接。这例如可以如此实施，即，安全模块的GUID 108不可逆地写入网关138的存储器136作为GUID 128。在此应当在例如安全模块100这方面确保，仅当提供了GUID 108和128的身份，才能与网关138通信以提供测量数据项并与能源提供者166通信。
附图标记列表
100 安全模块
102 存储器
104 证书
106 私钥
108 GUID
110 处理器
112 密码协议
114 终端至终端加密
116 接口
118 接口
120 数据传送
122 数据采集
124 测量数据
125 授权
126 处理器
128 GUID
130 应用
132 应用
134 应用
136 存储器
138 存储器
140 单元
142 智能表
144 智能表
146 智能表
148 智能表
150 可信主管单位
152 存储器
154 证书
156 私钥
158 处理器
164 接口
166 能源提供者
168 存储器
170 证书
172 私钥
174 应用
176 测量数据
178 处理器
180 数据采集
182 消耗结算
186 接口
188 通信连接
190 通信连接
192 通信连接