用于从智能表机构将能耗特定测量数据项传送至能源提供者和/或仪表运营方的计算机系统的方法

摘要

本发明涉及一种用于从智能表机构(138；142；144；146；148)将利用智能表(142；144；146；148)采集的能耗特定测量数据项传送至能源提供者和/或仪表运营方的第一计算机系统(166)的方法，其中，所述机构(138；142；144；146；148)具有安全模块(100)，其中，所述安全模块(100)充当所述机构(138；142；144；146；148)与所述第一计算机系统(166)的唯一通信接口，其中，所述机构具有其运行所需的配置数据，其中，将所述第一计算机系统(166)被授予了读取访问权限的测量数据项和/或配置数据的参数(125)分配给所述机构，其中，所述方法包括：在所述第一计算机系统(166)和所述安全模块(100)之间建立第一通信通道；所述计算机系统(166)和所述安全模块(100)进行相互认证，其中，所述认证是利用所述安全模块(100)的第一证书(104)和利用所述第一计算机系统(166)的第二证书来实施的；成功完成相互认证之后，通过安全传输将在所述参数(125)中指定的测量数据项和/或配置数据的至少一部分通过所述安全模块(100)传送至所述第一计算机系统(166)。

说明书

本发明涉及一种从智能表机构将能耗特定测量数据项传送至能源提 供者和/或仪表运营方的计算机系统的方法以及计算机程序产品。

术语“智能表”通常理解为这样的想法，即，客户装有电子能耗采 集设备，以便这样除了例如通过网络简单采集消耗的能量之外不仅向客 户而且也向能源提供者提供其他功能。

在此可以实时向客户告知其当前能耗信息。术语“能耗”在这里可 以理解为客户消耗的被送入家庭和企业的各种类型能源。除了包括电、 水和燃气能源形式之外，还包括任意其他能源形式，例如集中供暖。

为了采集能耗，在各个用户处使用智能测量系统，也称为智能计数 器或“智能表(Smart Meter)”。智能表是消耗能源的计数器。在此，用 户可以是消耗各种不同可测量的能源形式(如电、燃气、水或暖气)的 自然人或法人。使用智能表的目的是实现智能测量系统，这例如可以实 现收取与总需求和网络利用率有关的可变的服务费。由此可以整体更好 地充分利用能源供应网络。

根据BSI TR-03109技术指令已知，将所谓的智能表网关(也称为集 中器)用作为可以与单个或多个智能表通信的中央通信单元。为此，该 网关可以与所谓的“家域网(Home Area Network)”中的设备和“广域 网(Wide Area Network)”中的设备通信。在此，家域网包括所有连接 至网关的智能表以及例如用户的私人计算单元。私人计算单元例如可以 用于告知关于当前利用智能表采集的能耗值信息。广域网构造为实现网 关和授权市场参与者的通信。网关例如可以集中所有智能表的数据并将 它们提供给上一级收集站点，例如能源提供者或仪表运营方。

本发明的任务在于提供一种从智能表机构将能耗特定测量数据项传 送至能源提供者和/或仪表运营方的计算机系统的方法以及计算机程序 产品。

本发明提出的该任务利用独立权利要求的特征解决。本发明优选实 施方式在从属权利要求中说明。

建议一种从智能表机构将利用智能表采集的能耗特定测量数据项传 送至能源提供者和/或仪表运营方的第一计算机系统的方法，其中，机构 具有安全模块，其中，安全模块充当机构与第一计算机系统通信的唯一 通信接口，其中，所述机构具有其运行所需的配置数据，其中，给机构 分配授权第一计算机系统读访问的测量数据项和/或配置数据的参数。所 述方法首先包括在第一计算机系统和安全模块之间建立第一通信通道。 接着计算机系统优选直接与安全模块相互认证，其中，利用安全模块的 第一证书的帮助和利用第一计算机系统的第二证书的帮助实施认证。术 语“直接相互认证”在此可以理解为，第二计算机系统为此不必参与例 如作为协调装置在安全模块和第一计算机系统之间执行认证措施。尤其 是排除了第一计算机系统和/或安全模块需要第二计算机系统，才能执行 认证措施。这样不需要第二计算机系统来检查证书真实性、通信权限或 检查身份。

在最后一个步骤，成功完成相互认证之后，通过安全传输将在参数 中指定的测量数据项和/或配置数据的至少一部分通过安全模块传送至 第一计算机系统。

在此，配置数据可以理解为配置驱动机构或属于该机构的智能表的 任意类型数据。这也包括利用测量数据项的能量测量数据采集的方式和 方法，例如测量数据采集的定时、测量数据分析、测量数据汇聚、测量 数据转换以及机构或属于机构的智能表的位置特定的数据。

在此，“测量数据项”可以理解为根据智能表测量能耗产生的任意类 型数据。这例如包括采集能耗测量的测量数据的时间点、在相应时间点 的各个测量数据点以及关于测量数据发生的信息，如，电流强度、电压、 水压、水温或燃气压力。

本发明实施方式可以有这样的优点，即，通过提供这种“参数”形 式的权限规定可以专门针对各个能源提供者和/或仪表运营方事先确定： 究竟允许能源提供者和/或仪表运营方读取或采集哪些测量数据项和/或 配置数据。由此确保较高程度的数据保护。

根据本发明一个实施方式，机构具有存储区，其中，在存储区中存 储参数的第一部分。

根据本发明一个实施方式，所述方法还包括在第二计算机系统和安 全模块之间建立第二通信通道，其中，第一计算机系统和第二计算机系 统被分配给通过网络连接的计算机系统组。接着，针对安全模块认证第 二计算机系统，其中，初始化用于实现安全模块与第一计算机系统通信， 其中，在初始化存储区之前，仅针对计算机系统组的第二计算机系统能 够实现相对于安全模块的成功认证。

安全模块成功完成认证第二计算机系统之后，通过安全模块安全传 输来接收第二计算机系统的数据并将数据存储在存储区中以初始化存储 区，其中，基于所存储的数据才可在绕开第二计算机系统的情况下在第 一计算机系统和安全模块之间进行通信。事先，安全模块以及进而机构 与第一计算机系统既无法直接通信也无法间接通信。

本发明实施方式可以具有这样的优点，即，通过初始化过程能够以 可靠、明确和可追溯的方式提供一种实现智能表和经授权的市场参与者 (如能源提供者或仪表运营方)之间的可靠通信的可能性。在此，第二 计算机系统优选是可信主管单位的计算机系统，其也被称为“可信服务 管理系统(Trusted Service Manager)”或“TSM”。

为此，安全模块优选例如在供货状态下如此配置，即，仅可信主管 单位可以在成功完成认证之后与、安全模块进行通信。由此确保，尤其 是与支付相关的智能表配置仅留给这样的单位，该单位不仅将授权的市 场参与者(如仪表运营方和/或实际的能源提供者)而且被最终用户都归 入可信方。“与支付相关的配置”可以理解为以下情况，即，通过这种关 于智能表的配置确定，例如授权谁例如怎样结算由智能表采集的能量。 由此还可以确定，究竟允许何人(如最终用户和授权的市场参与者)在 何种范围内访问这些功能和关于智能表可供使用的信息。因为在可信情 形方面实施确定，由此确保，排除非授权第三方滥用这些功能和信息。 在此，这些信息例如可以是智能表的位置信息，通过智能表所测量的值 以及包含存储区位置信息或存取区中所含的每个值。

因而，通过将所接收数据存储在存储区中以初始化存储区例如可以 关于一个或多个分配了所述存储区的智能表确定，例如所采集的能量向 谁报告，在时间方面应如何采集能量以及允许经授权的市场参与者关于 智能表采集和/或查询哪些信息或“属性”。另外由此还可以确定，例如 最终用户已访问信息到何种程度，这些信息关于智能表或者存储在智能 表自身之中或者存储在给智能表分配的机构或安全模块的其中之一上。

本发明实施方式整体是特别有利的，这是因为关于机构所存储的数 据“配置数据”而且关于最终用户以及仪表运营方和能源提供者的、由 属于机构的智能表所采集的测量数据项的数据保护都确保了特别高程度 的可信度。

通过所述方法步骤确保了，仅当能源提供者或仪表运营方和最终用 户对这种数据传输有兴趣并且如果这两方面事先已经同意这种数据传 输，才在能源提供者或仪表运营方的第二计算机系统和安全模块之间传 输测量数据项和/或配置数据。仅当如此，才由可信主管单位设置具有第 一计算机系统授权参数的所述存储区。因为第二计算机系统的主管单位 是可信的，所以最终用户可以认为，对其机构而言，在未经同意时第一 计算机系统不会通过将所述参数相应存储在存储区中而执行不期望的启 用。

应当指出，在整个说明范围内，优选全部证书应当由第二计算机系 统操作者签发。由此可信度的可靠性不仅由第一和第二计算机系统确保 也由安全模块确保。

根据本发明一个实施方式，所存储的数据包括参数的第一部分。因 而上述数据保护设计的承诺由此得到，即，访问授权(即参数)由可信 单位(即第二计算机系统)授权。

根据本发明一个实施方式，在第二计算机系统和安全模块之间通过 终端至终端加密实现安全传输。这可以实现，通过任意网络建立安全模 块和第二计算机系统之间的连接，这是因为基于终端至终端加密第三方 无法更改通过该连接传送的数据。本发明通常可以如此实现，即，第二 计算机系统和安全模块之间的整个通信可以通过任意类型的网络实施。 这包括通过互联网的通信，通过无线网络连接例如移动通信的通信，应 用载频系统情况下的通信。后者也以“电力线数据传输”的名称已知并 且包括通过现有电网传输数据的机构。这种终端至终端加密优选也用于 第一计算机系统和安全模块之间的通信。

根据本发明另一实施方式，利用第二计算机系统的第三证书的帮助 来实施针对安全模块认证第一计算机系统的认证。安全模块可以根据所 述证书检查第二计算机系统是否已具有写访问存储区所需的权限，之后 可由第二计算机系统执行这种写访问。

根据本发明一个实施方式，在初始化存储区之前，仅当存在第三证 书时，才可针对安全模块成功认证。因而确保了，原则上仅呈第二计算 机系统形式的可信单位可以运行机构。因而禁止了机构操纵或者甚至窥 视企图；假如没有最初使用第二计算机系统以及所有参与者均信任的装 置，那就不能与机构或安全模块通信。优选只有通过将数据存储在存储 区中以初始化存储区，安全模块才允许与第一计算机系统通信，其中， 通过存储在所述存储区中的数据自身允许与第一计算机系统进行通信。 因而在初始化存储区之前，仅计算机系统组的第二计算机系统能够访问 存储区。

根据本发明一个实施方式，认证包括挑战响应方法 (Challenge-Response-Verfahren)。例如可以使用密码协议，例如基于 对称密钥或非对称密钥对，以便相对安全模块认证第一或第二计算机系 统。

根据本发明一个实施方式，参数的第二部分包含在第二证书中。因 而这种数据保护设计的承诺在此尤其是由此得到，即，参数(也就是授 权)另选或附加地包含在公文(即证书中)。因为证书是防篡改的并且最 终用户很容易检查其真实性，所以由此可以实现关于告知指定的参数的 较高程度的可信度。第二证书优选又通过第二计算机系统签署。

根据本发明一个实施方式，通过安全模块建立第一通信通道，其中， 在参数中指定的部分测量数据项和/或配置数据通过推送法传送的。由此 可以实现，例如按照附加地在参数或通常在初始化存储区所确定的时间 间隔，安全模块建立第一通信通道，以便由此按照该时间间隔例如将能 耗值传送至第一计算机系统。在此例如也可以仅在初始化存储区所确定 的某些条件下建立第一通信通道。这些条件例如可以包括汇集大于预定 阈值的所采集能量。

根据本发明另一实施方式，第二计算机系统接收的数据包括能源采 集应用，其中，已通过安全模块从第二计算机系统接收了包含这些数据 的能源采集应用。由此可以在初始化存储区时通过第二计算机系统提供 能源采集应用，所述能源采集应用以通过例如仪表运营方或能源提供者 事先指定的方式来实现能源采集和/或能源结算。此外，通过这种能源采 集应用还可以确定，怎样实施能源采集。例如可以准确到秒地结算或者 结算预定时间段内的所汇集的能耗。另外，能源采集应用也可以提供接 口，通过所述接口，最终用户可以预定方式自己监控其能耗。

在这一点上应当指出，本发明实施方式的特别有利之处在于，存储 区和安全模块包含在智能表网关中。在这种情况下，例如智能表网关可 以与各种智能表相连，从而可以在初始化过程中针对各智能表以及也许 各种能源提供者或仪表运营方的各个智能表提供特定能源采集应用和/ 或配置数据。这也包括重新使用方法步骤，用于关于升级存储区内容(例 如基于能源采集应用的更新)而初始化存储区。此外，这还包括后期添 加一个或其他能源采集应用至存储区的可能性。由此通过提供单独的网 关可以实现几乎无限制的、具有多个各种智能表的扩展可能性，并且可 以实现对访问多个各种能源提供者和/或仪表运营方的网关的访问控制。 这尤其在用于例如多家庭房屋时是重要的，其中，各参与者在各个时间 和日期确定各种能源提供者或仪表运营方用于能量结算和能量供应。

另选或附加地，类似于关于配置数据和/或授权参数自身执行关于能 源采集应用所述的操作方法。这例如包括通过第二计算机系统更新配置 数据和通过第二计算机系统添加新的配置数据，以及通过第二计算机系 统更改授权设计。应当确保，仅允许第二计算机系统执行更改、更新或 删除参数。

根据本发明另一实施方式，能源采集应用发起第一通信通道的建立。 因而如上已述，尤其可以按照事先确定的时间间隔发送采集能量的报告 至能源提供者和/或仪表运营方。这免除了能源提供者或仪表运营方必须 执行定期查询所采集的能耗。如果例如仅当超过最小能耗时才报告给第 一计算机系统，那么就免除了第一计算机系统在某些情况下的不必要的 查询，这是因为整体能耗尚未超过该阈值。虽然如此当然还是可以定期 地例如在创建最终结算时，从第一计算机系统方面建立与安全模块的通 信，进而将测量数据项从安全模块传输至第一计算机系统。

根据本发明一个实施方式，机构是智能表或智能表网关。在网关情 况下，又给该网关分配至少另一智能表。然而安全模块包含在网关中。

根据本发明一个实施方式，存储区和安全模块包含在智能表自身中， 或者存储区和安全模块包含在智能表网关中，其中，智能表能够连接至 智能表网关。智能表和智能表网关例如可以通过无线和/或有线通信连接 彼此相连。

在所有情况下，存储区还用于持久存储这些数据，如证书和加密密 钥，它们保护性地确保在使用智能表的最终客户与分配给这些智能表的 能源提供者或仪表运营方之间可靠和安全的数据交换。

尤其在存储区包含在智能表网关中的情况下，优点在于，可以设置 单独的中央单元，该中央单元针对向位于智能表网关网络之外的参与者 任意通信提供了单独的中央通信接口。

根据本发明一个实施方式，安全模块具有智能卡形式。呈智能卡形 式的安全模块例如可以由第二计算机系统的运营方通过在智能卡上存储 下述信息来预先配置，所述信息可以实现相对安全模块认证第二计算机 系统，以便随后执行初始化过程。

根据本发明一个实施方式，第二计算机系统是官方认证的信任中心。

根据本发明另一实施方式，安全模块具有明确标识，其中，当传送 在所述参数中指定的测量数据项和/或配置数据的至少一部分时，通过安 全模块将所述标识添加到传送中。这可以有这样的优点，即，针对第一 计算机系统可以毫不含糊地确定，所接收的测量数据项和/或配置数据也 实际上来自机构。安全模块还可以签署具有其私钥的标识，从而防篡改 程度较高。

根据本发明一个实施方式，安全模块的标识是安全模块的公钥或安 全模块的IPv6地址。安全模块的公钥用作为安全模块的标识的优点是， 由此可以提供GUID(Globally Unique Identifier：全局唯一标识符)， 凭借几乎绝对可靠的概率，GUID是唯一的。在应用公钥形式的GUID情况 下，明确性可以通过简单分配尽量长的公钥来确保。在安全模块的标识 是IPv6地址的情况下，以简单方式可以实现通过现有网络实现给安全模 块的明确编址。

根据本发明另一实施方式，第一证书包含安全模块的公钥。在此， 所述公钥被分配给存储在安全模块的受保护存储区中的私钥。证书可以 按照公钥基础设施(PKI：Public Key Infrastructure)标准创建，例 如按照X.509标准创建。

在这一点上应当指出，所述证书(第一、第二和第三证书)不必强 制存储在为此设置的机构(安全模块、第一计算机系统、第二计算机系 统)的存储器中。另选或附加地，证书也可以存储在公共目录服务器上。

根据本发明一个实施方式，安全模块不可分地与机构相连。在此，“不 可分”可以理解为安全模块与智能表或智能表网关的持久性相连，这种 持久性相连确保了安全模块的功能性。一旦尝试将安全模块与机构分开， 安全模块就会进入不可用(即失去功能)的状态。这可以或者通过在拆 下时电子自毁、自禁用或物理破坏或者禁用安全模块来确保。在最简单 情况下，安全模块可以浇铸在机构的壳体中，从而浇铸连接的“裂开” 会造成安全模块损毁。

优选基于安全模块与机构的连接在机构和优选在属于机构的智能表 上开始连接过程，其中，通过连接过程在安全模块与机构和智能表之间 建立不可分逻辑连接。这种不可分逻辑连接例如包括安全模块的第一证 书或标识在存储区上的不可逆的复制过程。

附图说明

以下结合附图进一步示出优选的本发明实施方式。图中：

图1是用于实现上述方法的系统的框图；

图2是初始化存储区方法的实施方式的流程图；

图3是接收或调用测量数据项的方法的流程图。

具体实施方式

以下，彼此相似的元件用相同附图标记标出。

图1示出用于初始化存储区的总系统的框图。以下，连同用于初始 化存储区的图2所示的方法步骤一起无一般性限制地示出了，网关138 的存储区136可以如何初始化，多个智能表142、144、146、148可以被 分配给该网关。

在此，智能表142–148用于采集例如关于燃气(智能表142)、水(智 能表144)、电(智能表146)以及其他未进一步指明的能源形式(智能 表148)的各种能耗值。在这里，这些智能表通过相应通信连接192与网 关138的接口118相连。

假定，安全模块100与网关138固定且不可分地相连，从而整体上 通过网关138和安全模块100的组合而产生不可分的单元140。网关138 和安全模块100通过相应接口118或116彼此通信。通过该接口116还 可以与不在由单元140和智能表142–148构成的网络内部的、经授权的 市场参与者和第三方或主管单位的通信。安全模块100的接口116与其 他通信参与者之间的通信在此通过通信连接190实施。通信连接在这里 例如可以是电力线连接或者通过移动通信网络或互联网的通信连接。

安全模块100具有包括受保护存储区106和108的电子存储器102。 受保护存储区106用于存储安全模块100的私钥，而存储区108用于存 储安全模块的标识“GUID”(Globally Unique Identifier：全局唯一标 识符)。GUID例如可以是安全模块100的IPv6地址。

电子存储器102还可以具有用于存储证书的存储区104。证书包含公 钥，其被分配给存储在受保护存储区106中的私钥。证书可以按照公钥 基础设施(PKI：Public Key Infrastructure)标准创建，例如按照X.509 标准创建。

证书不必强制性利用安全模块100的电子存储器102来存储。另选 或附加地，证书也可以存储在公共目录服务器上。

安全模块100具有用于执行程序指令112和114的处理器110。通过 执行程序指令112“密码协议”，例如可以实现针对安全模块100认证可 信的主管单位150或能源提供者166。密码协议例如可以是基于对称密钥 或非对称密钥对的挑战响应协议。

当然安全模块和可信主管单位或能源提供者也可以相互认证。

程序指令114用于对要在安全模块100和可信主管单位150或能源 提供者166之间传输的数据进行终端至终端加密。终端至终端加密可以 使用对称密钥，该对称密钥例如是在安全模块100与其他参与者150或 166之间执行密码协议期间约定的。

与安全模块100类似，可信主管单位150也具有电子存储器152和 受保护存储区156用于存储可信主管单位的私钥。存储器152中也可以 包含可信主管单位的证书154。然而该证书同样可以存储在中央证书服务 器上。

可信主管单位150的处理器158又具有上面关于安全模块100所述 的程序指令112和114，用于实现密码协议和实施终端至终端加密。密码 协议和终端至终端加密可以被用于通过接口164与能源提供者166或安 全模块100通信。证书154又包含公钥，该公钥被分配给存储在受保护 存储区156中的私钥。

“能源提供者”166是能源提供者的计算机系统，该计算机系统又具 有电子存储器168和处理器178。此外，接口186属于该计算机系统，通 过该接口可以实现与可信主管单位150或安全模块的通信。

能源提供者166的电子存储器168具有带私钥的受保护存储区172， 其中，该私钥被分配给公钥，该公钥包含同样在电子存储器168中的证 书170中。此外，在存储器168中，存储区被设置用于一个或多个应用， 其中，这些应用例如可以实现与支付相关的网关138配置。同样可以在 电子存储器168中存储先前已由网关138接收的测量数据176。

处理器178具有程序指令180用于采集由网关138发送的消耗数据， 以及还可选地用于执行根据算出的测量数据(程序指令182)结算消耗的 方法步骤。同样可以规定用于执行密码协议112步骤的程序指令以及用 于执行终端至终端加密的程序指令(未示出)，其中，通过这些程序指令 可以实现与可信主管单位150或安全模块100的可靠通信。

如果现在给能源提供者166分配新客户，那么例如可以在第一次安 装智能表142–148和提供具有安全模块102的网关138之后进行安全模 块的初始化过程。该初始化过程可以如此发起，即，新客户(最终用户) 或已安装智能表的特定技术主管单位向能源提供者166报告与此相关的 相应消息。该消息优选应当包括安全模块100的GUID 108，这是因为由 此可以使能源提供者166明确鉴别出安全模块100。

在能源提供者166通过其接口186(例如通过相应网页的网络接口) 获得该消息之后，能源提供者166建立至可信主管单位150的通信通道。 此步骤在图2中利用附图标记200标出。可信主管单位在此例如可以是 所谓的“Trusted Service Manager TSM(可信服务管理系统)”，即，官 方认证的主管单位，其在电子通信过程中证明通信双方的相应身份。

在步骤200建立通信通道之后，在步骤202进行能源提供者166的 认证。为此，可信主管单位150检查能源提供者的证书170。可信主管单 位150例如可以在主动证书检查情况下执行挑战响应方法，其中生成随 机数，该随机数利用证书170内包含的能源提供者166公钥被加密并被 发送给能源提供者166。能源提供者166接着可以利用其私钥172解密该 随机数并以明文发回。如果现在可信主管单位150接收到的随机数与前 述随机数一致，那么实际上就可以保证能源提供者166的可信度。

在执行步骤202和可选的挑战响应方法之后，接着在步骤204可以 通过在能源供应者166和可信主管单位150之间的通信连接188建立具 有终端至终端加密的通道。在此可以使用可信主管单位的处理器158的 程序指令114。

在步骤204建立通道之后，可信主管单位150在步骤206中接收针 对上传能源提供者166的能源采集应用174的请求和网关138的存储器 136。为了明确地指定存储器136或网关138，连同对存储器136初始化 的请求一起也将包含在存储器136中的网关138的GUID 128发送至可信 主管单位。存储器136的GUID 128优选与安全模块100的存储器102的 GUID 108相同。

利用在步骤206接收GUID，可信主管单位150可以明确给所期望的 网关138编址以便上传应用174。为此，在下一步骤208，可信主管单位 150通过通信连接190建立至安全模块100的通信通道。针对安全模块 100认证可信主管单位150，其中，认证除了包括通过安全模块检查证书 154例如还包括在安全模块100方面的挑战响应方法。为此，安全模块 100又可以生成随机数，利用可信主管单位150公钥加密并发送给可信主 管单位150。可信主管单位150利用其私钥156对经加密的随机数进行解 密，解密后的随机数以明文发回至安全模块100。如果安全模块确认这样 接收的已解密随机数与原来其自身加密的随机数一致，则给予可信主管 单位认证。

之后，在步骤212继续该方法，即，建立在可信主管单位150和安 全模块100之间具有终端至终端加密的通信通道。这又可以通过应用安 全模块100的处理器110的程序指令114来实施。

在步骤214，安全模块100从可信主管单位接收能源采集应用174。

在这一点上应该指出的，有利的是，可信主管单位例如将最频繁发 送的能源采集应用保持存储在可信主管单位的本地存储器中，从而不需 要在开发新客户时不断地将应用174从能源提供者166传输至可信主管 单位150。

在步骤214接收能源采集应用之后，安全模块100将该应用存储在 网关138的存储器136中。如果应用174例如是关于水和电采集能耗的 应用，那么该应用作为应用132保存在存储器136中。该应用可以处理 智能表144的能耗数据。类似地，存储器136可以包括采集燃气能源的 相应应用(134)以及采集其他能源形式的其他应用130。图2通过步骤 216代表了能源采集应用通过安全模块100存储在网关138中。

除了在步骤214由安全模块100接收能源采集应用之外，还可以由 可信主管单位150接收呈测量数据项的准确指定或特定能源提供者授权 形式的独立参数，它们同样存储在存储器136的另一区域125中。测量 数据项的指定或授权可以预先确定：究竟允许能源提供者166从网关138 获得哪些信息。为此例如可以提前由可信主管单位150为各个能源提供 者定义特定授权，其全局适用于所有能源提供者166，并且其基本上随着 传输能源采集应用被发送至安全模块、进而发送至网关138。

可信主管单位150也可以获得配置数据。在此，这些配置数据可以 涉及智能表和/或网关的技术配置。

代替或除了这些独立参数形式的授权或指定之外，还可以自己执行 能源采集应用中的这种授权或指定。应用自己根据其程序指令检查哪些 数据传送至能源提供者166。

利用处理器126的采集数据122的程序指令，现在网关138可以采 集与例如智能表144和智能表146的能耗有关的测量数据。相应测量数 据存储在存储器136的存储区124中。原则上，测量数据124由各种测 量数据项组成，它们例如可以包括：采集测量数据的时间点、在相应时 间点的各个测量数据点，关于测量数据发生的信息(例如，电流强度、 电压、水压、水温、燃气压力)。测量数据124可以通过应用130、132 和134接受其他分析，由此产生经分析的测量数据，它们同样可以作为 “测量数据项”存储在存储区124中。已分析的测量数据例如可以是累 积的能耗值。

测量数据项的上述授权125或指定实现了从一开始就确定，究竟允 许能源提供者126调用这些测量数据项124中的哪些，或者究竟这些测 量数据项124中的哪些应当传送至能源提供者126。此外还可以从一开始 就确定，怎样允许以何等的详细程度来进行这种调用。例如过于详细和 时间准确地调用测量数据124可能是不希望的，这是因为通过短测量时 间间隔可以了解电子设备的使用情况并由此创建用户资料，然而最终客 户也许对此没有兴趣。

如上已述，安全模块100和网关138优选不可分地彼此相连。它们 例如构成一个结构单元140，如图1中示意性示出的那样。为了生成单元 140，可以执行图3所述方法步骤的流程图。

在步骤400，首先提供安全模块100。接着，在步骤402，将密钥资 料和证书存储在安全模块中。安全模块为此例如可以具有相应的密码单 元，利用其可以自行生成私钥106。或者也可以是，可信主管单位生成私 钥并将其存储在安全模块的从外部不可访问的存储区。属于私钥的公钥 被加入证书，证书随后由可信主管单位签署并存储在安全模块的存储器 102中。

接着在步骤404，安全模块安装至网关，例如呈智能卡形式，并执行 安全模块和网关的不可分连接。例如，安全模块和网关在电子方面是如 此彼此联接的，即，安全模块与网关的分开会导致安全模块自动损毁。

在安全模块安装至网关404之后，在步骤406，实施安全模块100和 网关138的自动逻辑连接。这例如可以如此实施，即，安全模块的GUID 108 不可逆地写入网关138的存储器136作为GUID 128。在此应当在例如安 全模块100这方面确保，仅当提供了GUID 108和128的身份，才能与网 关138通信以提供测量数据项并与能源提供者166通信。

测量数据项的上述存取授权125或指定可以实现，从一开始就确定， 究竟允许能源提供者126调用这些测量数据项124中的哪些，或者究竟 这些测量数据项124中的哪些应当传送至能源提供者126。此外还可以从 一开始就确定，怎样允许明确指明这种通信。要明确指明和时间准确地 调用测量数据124例如可能是不希望的，这是因为通过较短的测量时间 间隔可以了解电子设备的应用并由此创建用户配置，然而最终客户也许 对此没有兴趣。

关于图3的流程图并基于通过网关138采集测量数据124的设想， 以下将说明怎样可以将用于最终结算的测量数据传送至能源提供者166。 以下无一般限制地认为，能源提供者166进行“读数”，即，采集包含在 存储器136内的测量数据。然而能源提供者166也可以担当所谓的仪表 运营方。仪表运营方在此是计算机系统，其受能源提供者166的委托采 集包含在网关138中的测量数据。以下关于能源提供者166执行的所述 步骤类似地适用于由相应仪表运营方代替能源提供者166的情况。

在步骤300，在网关138方面开始建立至能源提供者166的通信通道， 其中，安全模块100执行原本的通信通道建立。为此，网关138和安全 模块100通过它们各自的接口118或116通信。通过网络190，例如通过 互联网或电力线连接，在步骤302执行安全模块100和能源提供者166 的相互认证。为此又可以利用证书104和170执行相互证书检查。附加 也可选地执行安全模块100和能源提供者166之间的挑战响应方法。

模块120例如可以执行通信通道的建立。另选地，应用130、132或 134可以发起通信通道的建立。

在成功完成相互认证之后，在步骤304，建立具有终端至终端加密的 通信通道，优选利用安全模块100的程序指令114来发起。在步骤306， 能源提供者166接收安全模块的GUID 108，其优选与网关的GUID 128一 致。根据GUID 108，能源提供者166可以将要接收的测量数据分配给正 确的网关、进而分配至正确的最终用户。GUID可以通过安全模块来签署。

在步骤308，通过能源提供者166接收测量数据项。在此，步骤308 又分为可选数量的其他步骤310至318。这样例如在步骤310通过安全模 块100从存储器136读取属性(也就是授权125)，以便确定究竟应当将 哪些测量数据项传送至能源提供者166。该授权可以通过上述初始化过程 告知安全模块100。另选或附加地，该授权也可以包含在能源提供者166 通过安全模块得到的证书中。因为证书已由可信主管单元150创建，所 以确保了安全模块100、进而网关138可以信任其中所包含的授权规定。

应当指出，在此代替或除了测量数据项之外也可以类似方式将配置 数据传送至能源提供者166。

如果伴随着上面发生的相互通信，能源提供者166没有请求特定属 性，那么步骤312决定，将通过属性指定的测量数据项的预定义部分在 步骤318一次性全部传送至能源提供者166。与之相反，如果在通信期间 能源提供者请求了特定属性，则在步骤314随之检查，究竟是否允许能 源提供者读取这种属性(相应的测量数据项)。如果不允许读取属性，那 么在步骤316中断所述方法并向能源提供者166发送错误提示。如果与 之相反，允许读取属性，那么在步骤318又传送测量数据项，该测量数 据项是通过所请求的属性来指定的。

如果能源提供者例如具有从网关读取信息的大量授权(然而在只不 过是平常的能耗结算过程中不希望使用所有其存取授权)，那么能源提供 者166请求特定测量数据项可能就是重要的。这样，被指定的测量数据 项也可以包含关于网关或所连接的智能表的正常功能的信息，其中，在 能源提供者166正常工作中根本不会对那些更可能是用于诊断目的的信 息产生兴趣。在这种情况下，能源提供者166仅请求实际与能耗结算有 关的数据。

利用处理器126的程序指令120，网关138通过安全模块100将数据 传送至能源提供者166。

关于图3还应当指出，在此认为在网关138方面的通信通道的建立 是在应用安全模块情况下实现的，例如应用130–134之一基于例如相应 计时器的到时而发起通信通道的建立。

然而，能源提供者166也可以主动发起通过安全模块100与网关138 通信。在这种情况下，由能源提供者166主动地查询测量数据144。

附图标记列表

100 安全模块

102 存储器

104 证书

106 私钥

108 GUID

110 处理器

112 密码协议

114 终端至终端加密

116 接口

118 接口

120 数据传送

122 数据采集

124 测量数据

125 授权

126 处理器

128 GUID

130 应用

132 应用

134 应用

136 存储器

138 存储器

140 单元

142 智能表

144 智能表

146 智能表

148 智能表

150 可信主管单位

152 存储器

154 证书

156 私钥

158 处理器

164 接口

166 能源提供者

168 存储器

170 证书

172 私钥

174 应用

176 测量数据

178 处理器

180 数据采集

182 消耗结算

186 接口

188 通信连接

190 通信连接

192 通信连接