Módulo de control de medición segura de servicios públicos.

Dispositivo de control de medición separable (DM) por ser conectado con un contador de servicios (LM) para controlar al menos un consumo de servicios públicos medido por dicho contador de servicios (LM),

comprendiendo:

- una interfaz de lectura de uso (READ) para adquirir un valor de consumo de servicios medido por dicho contador de servicios,

- una primera memoria segura (SMEM) para memorizar al menos un identificador único ID y una clave personal, ambos pertenecientes a dicho dispositivo,

- un procesador cripto (CRYPTO) para generar un criptograma a partir de datos informativos que comprende al menos el valor de consumo de servicios, siendo dicho criptograma encriptado con dicha clave personal,

- un generador de mensaje (MGEN) para generar un mensaje informativo que incluya al menos dicho criptograma y el identificador único ID,

- una interfaz de red de comunicación (GRID) que comprenda una unidad de envío para enviar dicho mensaje informativo a un centro de gestión remoto.

Módulo de control de medición segura de servicios públicos

Campo de la invención 5

Esta invención se refiere al campo de la aseguración del uso de servicios públicos contra varias amenazas de hacking mediante programas adicionales de medidores de lectura.

Fondo técnico 10

La desregulación en curso en los mercados de distribución de energía a nivel mundial está impulsando la necesidad de cuadros de distribución de servicios inteligentes y contadores inteligentes, permitiendo a ambos proveedores de servicios y consumidores controlar el consumo detallado de un usuario final en cualquier momento a través de redes de comunicación abiertas. El mercado de la energía está particularmente afectado hoy en día pero 15 las salidas relacionadas son también pertinentes para otros mercados de servicios públicos tales como agua o gas.

Mientras varios contadores existentes ya implementan algunos protocolos de lectura automatizada punto a punto utilizando por ejemplo óptico estándar o interfaces de módem, no son capaces de interactuar con los dispositivos de red de área de hogar del usuario final o el uso de instalaciones remotas de control de servicios 20 públicos usando redes de comunicación inalámbricas o por tendido eléctrico. La respuesta de la industria para este requisito regulador en la siguiente década consistirá por lo tanto en sustituir los contadores existentes por los denominados contadores inteligentes, lo que aumenta costes formidables para los vendedores de servicios públicos y los consumidores al fin y al cabo.

Además, la dependencia resultante de la funcionalidad de medida básica en los mensajes de comunicación remota alza intereses significativos en la robustez eficaz en defectos de software al igual que amenazas emergentes tales como gusanos de red inteligentes y virus aprovechándose de defectos de diseño de seguridad del contador inteligente que pueden no conocerse en el momento de su uso, pero pueden volverse críticos más tarde. Esto es particularmente evidente en el caso de la característica remota de desconexión, como objetivos serios para el ciber-30 terrorismo pero también un posible punto de entrada para ladrones locales como una vía para desconectar algunas alarmas de hogar de su fuente de energía.

En la práctica, los diseños de seguridad de hoy en día para cuadros inteligentes y contadores inteligentes están en gran medida inspirados por la industria de la telecomunicación y una gran parte de estos están sujetos a 35 una emergente estandarización por comités internacionales tales como ANSI o IEC. No obstante los requisitos son muy diferentes, puesto que dispositivos finales de telecomunicación tales como teléfonos móviles, decodificadores o incluso receptores de televisión raramente exceden una vida operativa de 10 a 20 años. En cambio, el equipamiento de medición es típicamente instalado en el momento de construcción de una casa y destinado a durar al menos 20 años, si no 50 a 100 años. 40

Una vez que las especificaciones estándar son definidas, ya no es posible actualizar el diseño (por ejemplo, algoritmos criptográficos, longitudes de clave y sistemas de gestión de clave) sin romper el acuerdo, que es un tema importante en mercados desregulados donde cualquier modelo del dispositivo de medición de cualquier fabricante necesita operar con cualquier infraestructura proveedora de servicios y esto posiblemente para los siguientes 50 a 45 100 años.

Hay por lo tanto una necesidad de soluciones alternativas para separar claramente la funcionalidad avanzada pero compleja y la funcionalidad de control sensible de seguridad de la entrega de servicios básica pero probada y funcionalidad de medición de consumo. En este método, los contadores existentes completamente 50 operativos no necesitan ser mejorados, lo que también ayuda al ahorro de costes de mejora y energía de fabricación de contadores inteligentes.

La separación de la funcionalidad de control remoto de la funcionalidad de medida ligada básica requiere típicamente un dispositivo de control separable, incluyendo al menos: 55

una interfaz de lectura por sensor para ser conectado a la pantalla del contador existente o interfaz de lectura eléctrica (en serie, óptica etc) .

una memoria para el almacenamiento de información de uso de servicios antes de informar sobre esta. 60

una o más interfaces de comunicación de red para informar de los datos tanto a la red de servicios y/o a la red de área de hogar del usuario final, conforme a reglamentos existentes y estándares técnicos pertinentes.

un procesador a cargo del control de la lectura, almacenamiento y reporte de operaciones. 65

Tales soluciones de control separables y sistemas de gestión de datos asociados ya han sido descritos, por ejemplo en WO07134397 o GB 2460517. Algunos dispositivos relacionados son también ahora comercializados por ejemplo por PilotSystems (http://www.pilotsystems.com) y Xemtec (http://www.xemtec.ch) , pero ninguno con este estado de la técnica se dirige a la funcionalidad de ejecución de seguridad.

Para abordar completamente la amenaza de hacking de consumo de uso de servicios públicos, es importante prevenir el hacking en todos los componentes individuales en la cadena de comunicación de extremo a extremo. A diferencia de los contadores inteligentes, los contadores existentes LM como el primer componente en la cadena de comunicación de extremo a extremo no tienen interfaces para abrir redes, por lo tanto su hacking requiere una operación mecánica local con cierta preocupación por la seguridad y evidencia de alteración, ya que los contadores 10 están típicamente sellados por los vendedores de servicios públicos en todas partes del mundo. En el otro extremo de la cadena, el estado del diseño criptográfico de la técnica se aplica para comunicaciones entre el módulo de control y la infraestructura de servicios públicos sobre redes abiertas, pero esta seguridad es tan segura como la clandestinidad de claves subyacentes. Un diseño a prueba de manipulaciones en el lado del dispositivo de módulo de control es por lo tanto de importancia fundamental. 15

Resumen de la invención

El objetivo de la invención es por lo tanto eliminar los inconvenientes de la técnica anterior y proporcionar un dispositivo de control seguro de servicios públicos separable para ser anexado a un equipo de medida de servicios 20 para controlar al menos un consumo de uso de servicios.

Esto se consigue gracias a un dispositivo de control de medición separable para ser conectado con un contador de servicios para controlar al menos un consumo de servicios medido por dicho contador de servicios, comprendiendo: 25

- una interfaz de lectura de uso para adquirir un valor de consumo de servicios públicos medido por dicho contador de servicios,

- una primera memoria segura para almacenar al menos un identificador único ID y una clave personal, ambos 30 pertenecientes a dicho dispositivo,

- un procesador cripto para generar un criptograma de datos informativos que comprenda al menos el valor de consumo de servicios, dicho criptograma siendo encriptado con dicha clave personal, 35

- un generador de mensajes para generar un mensaje informativo que incluya al menos dicho criptograma y el identificador único ID,

- una unidad de envío para mandar el mensaje informativo a un centro de gestión remoto.

El equipo contador de servicios permanentemente (o periódicamente) mide el consumo de uso de servicios mientras el dispositivo de control de medida separable lee el consumo de uso de servicios de dicho equipo sobre una base regular con una interfaz de lectura de uso o cualquier medio para adquirir al menos un consumo de servicios medido por el equipo contador de servicios. El dispositivo de control de medición separable puede almacenar el consumo de servicios y es capaz de informar a una infraestructura de control de uso de servicios a 45 través de una interfaz de comunicación, en particular a un centro de gestión remoto mediante una unidad de envío. El dispositivo de control de medición separable está por lo tanto provisto de una primera memoria segura para almacenar al menos un identificador único ID y una clave personal; este identificador único y esta clave privada pertenecientes a este dispositivo. El dispositivo de control de medición separable dispone de un procesador cripto para generar un criptograma a partir de datos informativos que comprende al menos el valor de consumo de 50 servicios; estando este criptograma encriptado con la clave personal del dispositivo de control de medición separable. Este dispositivo también comprende un generador de mensajes o cualquiera de los... [Seguir leyendo]

1. Dispositivo de control de medición separable (DM) por ser conectado con un contador de servicios (LM) para controlar al menos un consumo de servicios públicos medido por dicho contador de servicios (LM) , comprendiendo:

- una interfaz de lectura de uso (READ) para adquirir un valor de consumo de servicios medido por dicho contador de servicios, - una primera memoria segura (SMEM) para memorizar al menos un identificador único ID y una clave personal, ambos pertenecientes a dicho dispositivo, - un procesador cripto (CRYPTO) para generar un criptograma a partir de datos informativos que comprende al 10 menos el valor de consumo de servicios, siendo dicho criptograma encriptado con dicha clave personal, - un generador de mensaje (MGEN) para generar un mensaje informativo que incluya al menos dicho criptograma y el identificador único ID, - una interfaz de red de comunicación (GRID) que comprenda una unidad de envío para enviar dicho mensaje informativo a un centro de gestión remoto. 15

2. Dispositivo según la reivindicación 1, donde dichos datos informativos comprendan además unos datos complementarios predefinidos.

3. Dispositivo según la reivindicación 1, donde dichos datos informativos comprenden además el identificador único 20 ID.

4. Dispositivo de cualquiera de las reivindicaciones 1 a 3, donde el criptograma es un resultado de una función hash en los datos informativos, donde dicho mensaje informativo comprende además el valor de consumo de servicios.

5. Dispositivo de cualquiera de las reivindicaciones 1 a 3, donde dicho mensaje informativo incluye además una versión de firmware de dicho dispositivo.

6. Dispositivo de cualquiera de las reivindicaciones 1 a 5, donde la clave personal es una clave asimétrica en un esquema de encriptación público/privado, teniendo el centro de gestión remoto la clave asimétrica correspondiente. 30

7. Dispositivo de cualquiera de las reivindicaciones 1 a 6, donde la interfaz de lectura de uso (READ) comprende una conexión eléctrica proporcionada por dicho contador de servicios para transmitir el valor de consumo de servicios públicos.

8. Dispositivo de cualquiera de las reivindicaciones 1 a 6, donde la interfaz de lectura de uso (READ) comprende una interfaz de lectura OCR para leer el consumo de servicio medido por dicho contador de servicios.

9. Dispositivo de cualquiera de las reivindicaciones 1 a 8, que comprende además:

- pluralidad de memorias de tarifas para almacenar el consumo de servicios según diferentes estados del dispositivo, - una memoria actualizada a la última para almacenar el valor de consumo de servicios mientras se actualiza al menos una memoria de tarifa, - una unidad de selección para seleccionar una de las memorias de tarifa según el estado actual, - un calculador de consumo para calcular un valor de consumo actual de la última memoria actualizada y el valor de 45 consumo del servicio adquirido, - una unidad de actualización de memoria para aplicar el valor de consumo calculado actual a la memoria de tarifa seleccionada por la unidad de selección y para actualizar la última memoria actualizada con el valor de consumo del servicio adquirido.

10. Dispositivo según la reivindicación 9, donde la unidad de selección que selecciona el estado del dispositivo y la memoria de tarifa se conducen por un planificador temporal.

11. Dispositivo según la reivindicación 9, donde la interfaz de red de comunicación (GRID) comprende una unidad de recepción y donde la unidad de selección, para seleccionar una de las memorias de tarifas y el estado del 55 dispositivo, se conduce por la recepción de un mensaje del centro de gestión remoto.

12. Dispositivo de cualquiera de las reivindicaciones 9 a 11, donde la unidad de actualización de memoria comprende una unidad de procesamiento para leer la memoria de la tarifa seleccionada, para añadir el valor de consumo actual a la memoria de la tarifa seleccionada y para escribir dicha suma en la memoria de la tarifa 60 seleccionada.

13. Dispositivo de cualquiera de las reivindicaciones 9 a 12, donde dicho mensaje informativo comprende además los valores de los memorias de las tarifas.

14. Dispositivo de cualquiera de las reivindicaciones 1 o 13, donde el dispositivo comprende además:

- una unidad de autenticación para autenticar mensajes recibidos del centro de gestión remoto a través de la unidad de recepción usando dicha clave personal y, en caso de autentificación exitosa, para ejecutar este mensaje.

15. Dispositivo de cualquiera de las reivindicaciones 1 a 14, donde dicho mensaje es un mensaje de renovación y 5 dicho dispositivo comprende además:

- un contador de validez para incrementar/disminuir un valor de validez según el consumo del servicio o un tiempo, - una unidad de restablecimiento para sustituir un valor del contador de validez por un valor nuevo, - un interruptor para intercambiar el funcionamiento del dispositivo de un modo de funcionamiento estándar a un 10 modo de funcionamiento interrumpido, dependiendo de si el valor del contador de validez alcanza al menos un valor umbral predeterminado.