用于高级计量基础设施的密钥管理的制作方法

技术特征：
1.一种用于替换公用事业仪表(102)中的现有密钥导出密钥(kdk1)的方法，该公用事业仪表布置在仪表通信基础设施(mci)中以与包括前端系统(hes)的服务器端(ss)进行通信，该方法包括以下步骤：
‑
基于存储在该服务器端的灾难恢复密钥(drk)、和密钥代信息(kgi)来在该服务器端(ss)导出新的密钥导出密钥(kdk2)；
‑
在该服务器端从该新密钥导出密钥(kdk2)导出激活密钥(ak)；
‑
从该前端系统(hes)向该公用事业仪表发射命令数据消息(cdm)，该命令数据消息包括：
‑
用于将该现有密钥导出密钥(kdk1)替换为该新密钥导出密钥(kdk2)的请求；
‑
该密钥代信息(kgi)；以及
‑
该激活密钥(ak)或基于该激活密钥(ak)计算的认证码(cdm
‑
ac)；
‑
在该公用事业仪表中接收该命令数据消息(cdm)；
‑
基于存储在该公用事业仪表中的该灾难恢复密钥(drk)的副本并且基于包括在该接收到的命令数据消息(cdm)中的该密钥代信息来在该公用事业仪表中导出该新密钥导出密钥(kdk2)；
‑
在该公用事业仪表中从该新密钥导出密钥(kdk2)导出该激活密钥(ak)；
‑
基于该导出的激活密钥(ak)在该公用事业仪表中验证在该命令数据消息(cdm)中接收的该激活密钥(ak)或该认证码(cdm
‑
ac)；以及
‑
当包括在该接收到的命令数据消息(cdm)中的该激活密钥(ak)或该认证码(cdm
‑
ac)被验证时，在该公用事业仪表中将该现有密钥导出密钥(kdk1)替换为该新密钥导出密钥(kdk2)。2.根据权利要求1所述的方法，其中，该服务器端(ss)灾难恢复密钥(drk)存储在安全环境(se)中。3.根据前述权利要求中任一项所述的方法，其中，该服务器端(ss)的该新密钥导出密钥(kdk2)在被传送到该前端系统(hes)或密钥管理系统(kms)之前在该安全环境(se)中被导出。4.根据前述权利要求中任一项所述的方法，其中，在该服务器端使用的该灾难恢复密钥(drk)以硬件安全模块(hsm)的形式存储在安全环境中。5.一种用于将公用事业仪表中的现有密钥导出密钥(kdk1)替换为新的密钥导出密钥(kdk2)的命令数据消息(cdm)，该命令数据消息(cdm)包括：
‑
用于将该现有密钥导出密钥(kdk1)替换为该新密钥导出密钥(kdk2)的请求；
‑
密钥代信息(kgi)；
‑
激活密钥(ak)或基于该激活密钥(ak)计算的认证码(cdm
‑
ac)；其特征在于，该激活密钥(ak)是基于该新密钥导出密钥(kdk2)导出的，并且该新密钥导出密钥(kdk2)是至少基于该密钥代信息导出的。6.根据权利要求5所述的命令数据消息，其中，该新密钥导出密钥(kdk2)不包括在该数据命令消息(cdm)中。7.根据权利要求5和6中任一项所述的命令数据消息，其中，该命令数据消息(cdm)作为明文发送。
8.一种被布置用于与仪表通信基础设施(mci)中的前端系统(hes)进行通信的公用事业仪表(102)，该公用事业仪表包括：
‑
用于接口连接该仪表通信基础设施的通信接口；
‑
存储在该仪表的存储器中的灾难恢复密钥(drk)；
‑
现有的密钥导出密钥(kdk1)；
‑
密钥导出函数(kdf)；其特征在于，该公用事业仪表被配置为：
‑
经由该通信接口接收根据权利要求5至7中任一项所述的命令数据消息(cdm)；
‑
通过至少将存储在该公用事业仪表中的该灾难恢复密钥(drk)和包括在该接收到的命令数据消息(cdm)中的密钥代信息(kgi)输入到该密钥导出函数(kdf)来导出新的密钥导出密钥(kdk2)；
‑
从该新密钥导出密钥(kdk2)导出激活密钥(ak)；
‑
基于该导出的激活密钥(ak)验证在该命令数据消息(cdm)中接收的激活密钥(ak)或认证码(cdm
‑
ac)；以及
‑
当包括在该接收到的命令数据消息(cdm)中的激活密钥(ak)或认证码被验证时，将该现有密钥导出密钥(kdk1)替换为该新密钥导出密钥。9.根据权利要求8所述的公用事业仪表，进一步被布置用于使用在该公用事业仪表中使用密钥导出密钥(kdk1，kdk2)导出的应用密钥(apk)来与该前端系统(hes)进行安全通信。10.一种用于替换现有密钥导出密钥(kdk1)的仪表通信基础设施(mci)，比如读表系统，该通信基础设施包括：
‑
多个现场端(fs)公用事业仪表(2)；
‑
服务器端(ss)前端系统(hes)，该服务器端前端系统被配置用于使用在该服务器端和该现场端(fs)使用密钥导出密钥(kdk)导出的应用密钥(apk)来与这些现场端公用事业仪表进行安全通信；以及
‑
服务器端安全环境(se)，用于存储灾难恢复密钥(drk)；其中，该服务器端被配置为基于存储在该安全环境中的灾难恢复密钥(drk)并且基于密钥代信息(kgi)来导出新的密钥导出密钥(kdk2)；并且其中，这些现场端公用事业仪表被配置用于从该前端系统接收命令数据消息(cdm)，该命令数据消息指示该公用事业仪表使用存储在该公用事业仪表中的灾难恢复密钥(drk)并且基于在该命令数据消息(cdm)中接收的密钥代信息来导出与在该服务器端导出的该新密钥导出密钥(kdk2)相同的新密钥导出密钥(kdk2)。11.根据权利要求10所述的仪表通信基础设施，其中，该服务器端(ss)进一步被配置用于从该公用事业仪表获取关于该现有密钥导出密钥(kdk1)的现有密钥代信息，并且至少基于所获取的现有密钥代信息来导出该新密钥导出密钥(kdk2)的密钥代信息。12.根据权利要求10和11中任一项所述的仪表通信基础设施，其中，该服务器端(ss)包括：
‑
前端系统(hes)，该前端系统被配置用于构建该命令数据消息并将其发送到这些公用事业仪表和/或从该公用事业仪表获取关于该现有密钥导出密钥(kdk1)的现有密钥代信
息；以及
‑
安全环境，该安全环境被配置用于导出该新密钥导出密钥(kdk2)。13.根据权利要求12所述的仪表通信基础设施，其中，该安全环境用于存储由硬件安全模块(hsm)保护的该灾难恢复密钥(drk)。14.根据权利要求10至13中任一项所述的仪表通信基础设施，其中，该公用事业仪表是根据权利要求8和9中任一项所述的公用事业仪表，并且该仪表通信基础设施被布置为执行如权利要求1至4中任一项所述的方法。

技术总结
一种用于以安全方式替换布置在仪表通信基础设施中的公用事业仪表中的现有密钥导出密钥的方法。提供了用于交换对称密钥的安全机制，而不需要跨仪表通信基础设施传送密钥。从前端系统向公用事业仪表发射命令数据消息，其包括用于将现有密钥导出密钥替换为新的密钥导出密钥的请求、密钥代信息、和激活密钥或基于激活密钥计算的认证码。接收命令数据消息的公用事业仪表被布置为基于存储在公用事业仪表中的灾难恢复密钥的副本并基于包括在接收的命令数据消息中的密钥代信息来导出新密钥导出密钥。公用事业仪表被布置用于从新密钥导出密钥导出激活密钥。激活密钥用于验证命令数据消息。若命令数据消息被验证，将现有密钥导出密钥替换为新密钥导出密钥。出密钥替换为新密钥导出密钥。出密钥替换为新密钥导出密钥。


技术研发人员：马丁
受保护的技术使用者：卡姆鲁普股份有限公司
技术研发日：2021.05.14
技术公布日：2021/11/19