DE102010047117A1 - Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals - Google Patents

Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals Download PDF

Info

Publication number
DE102010047117A1
DE102010047117A1 DE201010047117 DE102010047117A DE102010047117A1 DE 102010047117 A1 DE102010047117 A1 DE 102010047117A1 DE 201010047117 DE201010047117 DE 201010047117 DE 102010047117 A DE102010047117 A DE 102010047117A DE 102010047117 A1 DE102010047117 A1 DE 102010047117A1
Authority
DE
Germany
Prior art keywords
esa
measurement
dee
die
sta
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE201010047117
Other languages
English (en)
Inventor
wird später genannt werden Erfinder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE201010047117 priority Critical patent/DE102010047117A1/de
Priority to EP11790857.4A priority patent/EP2622896A1/de
Priority to PCT/DE2011/001788 priority patent/WO2012062258A1/de
Priority to DE112011104118T priority patent/DE112011104118A5/de
Publication of DE102010047117A1 publication Critical patent/DE102010047117A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/10Scheduling measurement reports ; Arrangements for measurement reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/16Mobility data transfer selectively restricting mobility data tracking

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Das hier beschriebene erfinderische Verfahren bietersönlichkeitsdaten von Mobilfunkkunden bei gleichzeitig verbesserter Positioniergenauigkeit bei verschiedenen Monitoring-Anwendungen wie dem Monitoring der Funkversorgung mit Kundenterminals für die Optimierung und Planung von Mobilnetzen. Die Kunden- und Terminal-Identitäten wie Rufnummern oder IMEI werden nicht gebraucht und deshalb nicht übermittelt. Außerdem werden weitere statistische Verwässerungen der Messdaten vorgenommen, derart dass ein Tracing von einzelnen Kunden und Kundenbewegungen selbst bei unerlaubter Datennutzung und unberechtigtem Datenzugang wirksam unterbunden wird, ohne jedoch die Qualität der Funkversorgungserfassung zu gefährden.

Description

  • Gegenwärtige Situation
  • Unter der Anmeldenummer 10 2010 018 282.6-56 beim Deutschen Patentamt (des gleichen Anmelders und Erfinders) ist ein Verfahren beschrieben, das der Erfassung von Qualitätsmerkmalen der Funkversorgung mit Hilfe von Kundenterminals (Handys, Notebooks mit PC Karten, etc.) dient. Die Kundenterminals werden als Sonden für die Feldstärkemessung oder anderer Qualitätsmerkmale der Funkversorgung verwendet. Jeder Messwert wird mit der GPS-Position des Kunden bzw. mit der Position des Terminals assoziiert. Hierbei besteht die Gefahr, dass selbst bei Abwesenheit von Identifikationsmerkmalen wie MSISDN Nummer (Rufnummer) oder der Gerätenummer wie IMEI der Kunde identifiziert werden kann. Damit wäre auch der Weg offen sensible Daten seines Tagesablaufes und seiner Lebensweise in Erfahrung zu bringen. Dies würde dem Recht des Kunden auf Schutz seiner Privatsphäre widersprechen – ungeachtet der Vorteile, die das oben zitierte Verfahren der Gesamtheit der Kunden des jeweiligen Netzbetreibers bringt. Diese Gefahr besteht auch wenn andere Daten wie z. B. so genannte Trouble Reports zusammen mit Orts-Koordinaten und ggf. noch mit der Uhrzeit an den Mobilnetzbetreiber oder anderer Entitäten geschickt werden. Obwohl Mobilnetzbetreiber oder diese anderen Entitäten nach ihren jeweiligen gesetzlichen Auflagen handeln und entsprechende Arbeitsanweisungen geben, ist ein Missbrauch durch einzelne Mitarbeiter, die den Anweisungen zuwiderhandeln, denkbar.
  • Das hier vorgestellte Verfahren zieht auch letztere Situation in Betracht und ermöglicht so, kosteneffiziente Qualitätsverbesserungen, die den Kunden zugute kommen, ohne dass diese auf einen effektiven Schutz ihrer Persönlichkeitsdaten verzichten müssen.
  • Verbesserung
  • Das hier beschriebene erfinderische Verfahren ist dem Bereichen Qualitätsverbesserung in Mobilnetzen, Trouble Shooting und Fehler Reports bei Smart-Phones, mobile Anwendungen, und allgemein der Telekommunikation zuzuordnen.
  • Die Wege und Orte, wo sich Kunden bewegen und aufhalten, wo und wie sie (tele-)kommunizieren, werden mit Terminals und Endgeräten (Handys, Notebooks, etc.) der Mobilfunkkunden erfasst. Zusätzlich zu den geographischen Daten werden auch die Feldstärke und der Zeitpunkt der Feldstärkemessung erfasst, und manuell durch Kundenveranlassung oder Kundenbestätigung oder automatisch zusammen zu einer Datenerfassungseinrichtung (DEE) zur weiteren Auswertung für Netz-Planung oder -Optimierung gesandt. Das Endgerät bei den Kunden wirkt hierbei als Sonde deren Position für die weitere Verwendung der Daten ebenso bedeutend ist, wie die damit assoziierten Daten. Anstelle oder zusätzlich zu den Feldstärkedaten können auch andere Information oder Ereignisse entweder automatisch oder vom Kunden initiiert werden. Es kann auch über Ereignisse wie Funktionsstörungen der immer komplexer werdenden Endgeräte wie iPhone oder Geräte mit Androit Betriebssystem berichtet werden – vollautomatisch im Hintergrund oder alternativ mit Anfrage beim Kunden ob das aktuelle Ereignis abgeschickt werden soll. Vor dem Abschicken eines solchen Trouble Tickets, würde die entsprechende Reporting-Applikation, die relevanten Informationen (insbesondere Versionen) über das Betriebssystem, die betroffene Software und/oder Hardware und/oder einer gerade blockierten Anwendung, und/oder einer Spionage-Anwendung gegen den Kunden, und/oder eine Anwendung die ohne Wissen des Kunden Netzressourcen auf Kosten des Kunden nutzt, erfasst und dem Report beigefügt. Im Falle eines Trouble Tickets wird der Kunde optional gefragt ob er seine Identität wie z. B. seine Rufnummer für Rückfragen beifügen möchte. Die Informationen über die Funkversorgung werden in einer zentralen Bearbeitungsstelle (automatisch, oder manuell durch eine Fachkraft) dazu verwendet, eine Netzstörung auszuschließen oder umgekehrt wird auch bei Vorliegen eines offensichtlichen oder bereits bekannten Fehlers im Terminal (Handy) eine Suche nach einem Netzfehler eingespart.
  • Im Falle dass der Kunde der Freigabe seiner Identität wie Rufnummer zustimmt, wird verfahrensgemäß gewährleistet, dass nur die mit dem Trouble-Shooting befassten Stellen oder Personen diese Informationen erhalten und selbst diese nur einen anonymisierter Link zu der Rufnummer und ggf. auch zu den Orts/Zeit-Koordinaten in einer geschützten Datenbank abgelegt werden und nur dann und derjenigen Person zugänglich wird, wenn dies erforderlich wird für die weitere Bearbeitung des Vorgangs, der eher als Individual-Problem eines einzelnen Kunden zu betrachten ist.
  • Ansonsten zielt das hier beschriebene erfinderische Verfahren auf die Behandlung der Daten, die anonym an eine zentrale Datenerfassungseinrichtung (DEE) übermittelt wurden und für die Verwendung im Rahmen von statistischen Methoden gedacht sind. Als Beispiele könne hier die Erfassung des (großflächigen) Zustandes eines Funknetzes oder die Gerätetyp bezogene Erfassung von Störungen genannt werden. Die statistische Erfassung und die Möglichkeit der räumlichen Zuordnung ermöglicht insbesondere die Erkennung von seltenen Fehlern. Die Kenntnis des Netzzustandes kann ggf. Einflüsse des Netzes ausschließen. Die Kenntnis der Verteilung der Ursachen und Gerätetypen in einem engen geographischen Bereiches lässt genauere Fehlereingrenzungen zu und ermöglicht die Identifizierung von Fehlern, die auf das Zusammenwirken von Netz und Terminaltyp zurückzuführen sind. Hiermit ist die Grundlage geschaffen für eine effiziente Fehlerbehebung zur Verbesserung der Qualität, die letztlich dem Kunden der Mobilnetzbetreiber zu Gute kommt.
  • Insbesondere bei der Erfassung des Netzzustandes ist eine hohe Genauigkeit der Ortsauflösung erstrebenswert (möglichst GPS). Die Orts-Koordinaten werden z. B. mit der Feldstärke assoziiert. Jedoch, je genauer die Orts-Koordinaten und je genauer die beigefügte Uhrzeit und je geringer die Anzahl der Messungen durch verschiedene Terminals, umso größer ist das Risiko für einen Kunden, anhand von Uhrzeit und Ort identifiziert zu werden (z. B. wenn nur ein einziges Terminal an einem bestimmten Messprogramm beteiligt ist und der aufgezeichnete Weg morgens vor dem Wohnhaus des Kunden beginnt) und abends dort endet).
  • Schutz der Privatsphäre und der Persönlichkeitsdaten
  • Das hier beschriebene erfinderische Verfahren nutzt mehrere Mechanismen, um die Datensätze statistisch zu anonymisieren und mit solchen von anderen Kunden statistisch zusammen zu fassen. Jede einzelne der nachfolgend beschriebenen Maßnahmen leistet einen Betrag zur Anonymisierung jedoch ist das Zusammenwirken all dieser Maßnahmen ungleich wirksamer.
    • 1. Die Terminals, die an den Messungen und Erhebungen („Messprogramm”) teilnehmen melden sich von selbst bei der Applikations-Management-Entität (AME) in bestimmten Zeitabständen, um neue Steuerungsanweisungen (z. B. Messanweisungen) oder auch Updates der endgeräteseitigen Applikation (ESA) zu erhalten. Die Terminals werden also nicht angesprochen und sie geben nur ihren Geräte-Typ an und keinerleii Identität – weder die des Terminals noch die des Kunden. Der Geräte-Type ist wichtig, da die Steuerungsanweisungen (StA) und die ESA Updates insbesondere Betriebssystemabhängig sind. Durch Zufallszahlen, die im Terminal (= stellvertretend für Endgerät, Handy, Notebook, etc.) von der endgeräteseitigen Applikation (ESA) erzeugt werden, werden optional unregelmäßige Zeitpunkte des Zurückmeldens generiert. Dies schafft eine zusätzliche Sicherheit gegen ein Identifizieren durch die Evaluierung des Meldezeitpunktes und/oder der -Reihenfolge. Als weitere Option hat der Zeitpunkt für das Hochladen von der ESA zur DEE einen Mindestabstand zur letzten Messung, um eine Korrelation oder Überprüfung von Aufenthaltsorten in Realzeit weiter zu verwässern – ohne das eigentliche Ziel z. B. die Netzzustandserfassung zu beeinträchtigen.
    • 2. Optional teilt die DEE der ESA mit, wann sie sich frühestens bei der AME zur eventuellen Entgegennahme von neuen Messaufträgen (StA) melden soll, derart, dass sie keine Daten oder Messungen erfassen kann, die mit dem gerade laufenden und noch nicht abgeschlossenen Programm interferieren würden (Vermeidung von Fehlwichtungen durch Mehrfachmessungen von einzelnen Terminals, die verfahrensgemäß nicht identifizierbar und unterscheidbar sind).
    • 3. Die AME kann mit der Datenerfassungseinheit (DEE), bei der die Messergebnisse oder allgemein die Reports hochgeladen werden, identisch sein (funktionale Einheit). Durch die Trennung der beiden Einheiten wird ein zusätzlicher Schutz erreicht, dadurch dass die AME nicht erfahren wird, wo die ESA gemessen hat. In diesem Fall würde die AME grundsätzlich alle StA an das Terminal geben, die für diesen Gerätetyp vorliegen – unabhängig vom aktuellen geographischen Aufenthaltsort des sich gerade meldenden Terminals. Die ESA wird danach selbst entscheiden ob die StA für ihren Aufenthaltsort bestimmt ist oder nicht – im Falle von geographisch begrenztem Messauftrag (Messprogramm).
    • 4. Geographisch begrenzte StA erhalten eine Mindest-Größe (z. B. in Quadratkillometer), die nicht unterschritten werden kann, derart dass die Prüfung des vermuteten Aufenthaltes einer einzelnen Person zusätzlich erschwert wird. Das Gleiche gilt auch für die zeitliche Beschränkung, derart dass die beauftragte Messperiode eine Mindestdauer umfasst. Eine weitere Maßnahme ist die Minimum-Anzahl von Messpunkten, die aufzunehmen ist, bevor sich die ESA bei der DEE meldet, um die Mess-Ergebnisse abzuliefern. Wenn die Mess-Periode abgelaufen ist oder der Zeitpunkt gekommen ist, an dem Zwischenergebnisse von der ESA hochgeladen werden sollen, dann prüft die ESA zusätzlich ob diese Minimum-Anzahl erreicht wurde. Ist dies nicht der Fall, gleich aus welchem Grunde, dann ignoriert die ESA die Anweisung für das Hochladen des Zwischenergebnisses und misst bis zum nächsten Zeitpunkt weiter oder falls die Messperiode beendet ist, verwirft sie die Daten. Diese Maßnahmen werden derart realisiert, dass entweder nur festgelegte Zeitraster als Mess-Muster zur Auswahl stehen oder dass ein Editor für die StA diese Überprüfung gegen einen entsprechenden Satz von Regeln vornimmt. Nur derart geprüfte StA gelangen zur AME und letztlich zur ESA. Ein weiteres Verfahrenselement zur Anonymisierung ist die Mindestzahl von Terminals, die sich bei der AME melden müssen, um sich die Anweisungen für ein Messprogramm (StA) abzuholen, derart dass die statistische Basis für die Messergebnisse oder Erfassungsergebnisse hinreichend groß wird, um die Verfolgung und Identifizierung von einzelnen Teilnehmer (oder Terminals) hinreichend zu erschweren.
    • 5. Die DEE nimmt die hochgeladenen Datensätze von der ESA entgegen. Wenn sie einen Datensatz für das Trouble Shooting erhält (wird einzeln geliefert), gibt sie diesen an das Trouble Ticketing System weiter. Andere Datensätze ordnet die DEE entsprechend der Messzeiten (zu denen die Messungen oder die Erfassung von Ereignissen erfolgten). Sie nimmt ggf. eine Normierung an Messwerten vor, die z. B. gerätetypische Messwertunterschiede aufweisen und/oder sie nimmt Formatierungen an den Datensätzen vor, die für die spätere Weiterverarbeitung definiert sind. Sie durchsucht die Datensätze nach solchen, die keine hinreichende GPS-Genauigkeit aufweisen oder zu denen das Endgerät (ESA) kein GPS-Signal erhalten hat (wird durch Markierung von der ESA oder durch das Format der GPS-Daten gekennzeichnet). Optional hat die ESA eine Evaluierung von Ersatzwerten beigefügt oder die DEE nimmt eine solche vor oder überschreibt die von der ESA gelieferten nach eigenem algorithmischen Ablauf (siehe unten) oder sie verwirft diese Datensätze. Die Datensätze, die nicht verworfen werden aber mit evaluierten Orts-Koordinaten assoziiert sind, werden entsprechend markiert, um dies bei der späteren Weiterverarbeitung insbesondere in Netzmonitoring- oder Planungstools zu berücksichtigen oder statistisch geringer zu wichten oder in Kartendarstellungen mit entsprechenden Symbolen unterscheidbar zu machen. Die nach den bisherigen Verfahrensschritten vorliegenden Datensätze sind alle von einem einzelnen Endgerät aktuell hochgeladen und bearbeitet worden. Die Identität des Endgerätes oder des Halters des Endgeräte wird niemals geliefert (die Trouble Ticket Datensätze werden nie gemeinsam mit den Netz-Monitoringdaten zur DEE hochgeladen; sie durchlaufen nur kurz die DEE und werden an das Trouble Ticketing System weitergegeben, wo sie nach anderen Regeln anonymisiert und bearbeitet werden; in der DEE werden sie gelöscht). Optional werden die Trouble Tickets an einen separaten Link zu einer Trouble Ticket Erfassungseinheit (TTE) übertragen. Die DEE (und die TTE) arbeitet nicht interaktiv und benötigt kein Eingreifen durch Personal. Der Zugang zu dem entsprechenden Server muss trotzdem mit den üblichen logischen Zugangskontrollen geschützt werden. Nur Personal mit besonderer Berechtigung und nur in besonders begründbaren (Störungs-)Fällen, darf auf diesen Server zugreifen. Ein weiterer Schutz wird durch das Einbringen des Servers in zusätzlich mechanisch/physisch geschützte Räume z. B. mit anderen Servern mit besonders sensiblen Daten erreicht. Nach dieser Vorverarbeitung werden die Datensätze in eine Datenbank übertragen. In diese werden alle Datensätze von allen Geräten übertragen, die an einer bestimmten Maßnahme teilgenommen haben (der Name der Maßname auch Messprogramm oder Messvorhaben genannt, wird den teilnehmenden Geräten jeweils mit der StA mitgeteilt, und die Geräte wiederum teilen es der DEE beim Hochladen mit). Diese Datenbank heißt Messprogramm spezifische Datenbank (MPSDB). Sind alle aktuellen Datensätze von einem individuellen Endgerät Gerät in die MPSDB übertragen worden, werden sie in aus der intermediären Datenbank (ImDB) der DEE gelöscht. In der MPSDB werden alle Datensätze nach ihrem Eintreffen bei der DEE und nach Messzeiten eingeordnet. Erst wenn alle Datensätze von allen teilnehmenden Geräten (wie viele das bei einem bestimmten Messprogramm sind, ist bei der AME bekannt und wird dort abgefragt) eingeordnet sind, wird der Zugriff auf die Daten der MPSDB für den nächsten Prozessschritt freigegeben. Um eine Blockade der MPSDB durch verspätete oder nie eintreffende Endgeräte zu verhindern wird ein Timer gesetzt. Alle später an die DEE berichteten Datensätze zu diesem Messprogramm werden von der DEE verworfen. Ebenfalls aus Datenschutzgründen ist eine Minimumanzahl von Gerätereports gesetzt, die erreicht werden muss, um die MPSDB für den Zugriff freizugeben. Wird diese Minimumanzahl nicht erreicht wird die MPSDB gelöscht. Auch die MPSDB ist noch nicht hinreichend verwürfelt, so dass die Daten vor Zugriff durch Personal geschützt bleiben müssen (siehe oben). Ist die MPSDB komplett mit den Datensätzen der notwendigen Anzahl von Messteilnehmern populiert, werden die Daten in die Messprogramm spezifische Zustandsdatenbank (MPSZ) übertragen. Jedes Messprogramm ist einem geografischen Rechteck zugeordnet. Dieses Rechteck wird virtuell in Quadrate von z. B. 50 × 50 Meter unterteilt (die AME und der StA Editor enthalten verfahrensgemäß Einstellwerte, damit eine ganzzahlige Unterteilung ohne wesentlich kleinere Reste stets möglich ist). Die Datensätze der MPSDB werden systematisch nach dieser (virtuellen) Unterteilung in die MPSZ eingetragen (z. B. von Nordwest nach Südost oder von „links” nach „rechts” und von „oben” nach „unten”). Die genaueren GPS Koordinaten verschwinden und werden durch entsprechende Rasternummern ersetzt, aus denen die Bereiche der jeweiligen Dimension wieder errechnet werden können. Die Datensätze erhalten außerdem ein Zeitraster von z. B. 30 Minuten und eine Wochentagszuordnung oder Tageskategorie (z. B. Werktag, Wochenende). Innerhalb eines geographischen Quadrates werden die verschieden Messpunkte (oder Ereignisdatensätze) nach diesem Zeitraster geordnet eingebracht. Die geographische und die zeitliche Rasterung sind derart ausgestaltet, dass sie der weiteren Anonymisierung und Verwässerung im Sine des Datenschutzes dienen, ohne das eigentliche Ziel der statistischen Netzzustandserfassung zu verfehlen. Jeder Rasterwürfel der MPSZ (gleich ob real oder virtuell auf der Basis der MPSDB realisiert) enthält jetzt Messwerte (z. B. Feldstärke und/oder Geschwindigkeiten und/oder Empfangsqualitätsgrößen) und/oder Ereignisse („Datenverbindung verwendet” oder „Sprachverbindung aufgebaut”) und/oder Gerätetypen (z. B. iPhone 4, Androit Version x.y) mit denen die Messungen oder Ereignisse erfasst wurden. Die verschiedenen Daten werden von unterschiedlichen Anwendern (z. B. Funkplanung, Marketing) unterschiedlich verwendet. Deshalb werden unterschiedliche Abfragen vorgenommen mit unterschiedlichen Daten und Informationsinhalten, die unterschiedlich dargestellt werden, wie z. B. auf geographischen Karten (z. B. Google Earth). Verfahrensgemäß sind die Zugriffsmethoden so gestaltet, dass keine Aufenthaltsorte oder Bewegungsmuster von Individuen evaluiert werden können. Die Rasterwürfel können mit unterschiedlich vielen Datensätzen gefüllt sein. Die MPSZ muss keineswegs physisch dieser Struktur entsprechen. Übliche verfügbare Technologien werden hierbei Speicherplatz sparend eingesetzt. Auch eine dynamische Realisierung der MPSZ aus der MPSDB ist eine verfahrensgemäße Option, d. h. die Zugriffsmethoden werden derart gestaltet, dass sie weder die genaueren Messzeiten noch die genaueren Ort-Koordinaten erfahrbar werden lassen und insbesondere nicht die zusammengehörigen Mess-Sequenzen, die von einem individuellen Endgerät hochgeladen wurden. Wenn Häufigkeiten von Kunden oder Ereignissen oder Messwertverteilungen innerhalb eines Rasterwürfels erfragt werden, werden verschiedene Prüfungen von den (MPSZ-)Zugriffsprozeduren durchgeführt und das Raster ggf. bei zu geringen Stichprobengrößen im Rahmen einer verfahrensgemäßen Unschärferelation verändert (typischerweise vergrößert). Die Unschärferelation wird derart angewendet, dass für eine bestimmte Rasterwürfelgröße (kann auch mehr als 3 Dimensionen haben) eine Mindestanzahl der erfragten Ereignisse (oder Messwerte) vorliegen muss. Ist dies nicht der Fall wird der Rasterwürfel sukzessive vergrößert bis dies zutrifft – wobei jedoch bei größerem Rasterwürfel auch höhere Werte erreicht werden müssen, die jedoch weniger als proportional mit dem Rasterwürfel wachsen. Wenn z. B. nach der Anzahl der Datensätze mit iPhone4 in einem bestimmten Rasterwürfel (Orts-Raster und ein bestimmter Tag und eine bestimmte Uhrzeit) gefragt wird, wird von der Zugriffsprozedur auf die verfahrensgemäßen Regeln zugegriffen, die in diesem Fall sagen, es müssen mindestens n solcher Datensätze vorliegen (auch im Zeitraster von in diesem Fall 30 Minuten), um diese Information zu geben. Die Zahl n wäre in diesem Fall größer als die Anzahl der Messungen die von einem einzelnen Gerät (ESA) innerhalb des Messprogramms (der MPSZ) und innerhalb des Zeitrasters (von im Beispiel 30 Minuten) durchgeführt wurde. Ist die Zahl nicht erreicht, wird der Rasterwürfel verfahrensgemäß in bestimmter Folge vergrößert (z. B. Verdoppelung des Zeitrasters, d. h. die nächsten 30 Minuten werden hinzugefügt) und eine Vergrößerung des Ortsrasters (im Beispiel: die nächsten 50 m Seitenlänge des Rasterquadrates nach „rechts” und nach „unten” werden hinzugefügt). Die Prüfung wird jetzt gegen ein neues „n2” durchgeführt, das kleiner sein darf als das 8-fache von n (8 fachen Rasterwürfelgröße). Wenn sich nicht die hinreichend große Zahl von Datensätzen in diesem vergrößerten Raster befindet, wird die Prozedur so oft sinngemäß wiederholt, bis das Kriterium erfüllt ist oder bis der verfahrensgemäße Einstellwert für Wiederholungen den Abbruch veranlasst. Verfahrensgemäße Varianten für die schrittweise Rasterwürfelvergrößerungen sind auch die Vergrößerung von nur jeweils einer Dimension (z. B. nur die Vergrößerung des Ortsrasters). Die Zugriffsprozedur erfährt dies aus den spezifischen Einstellwerten der jeweiligen Installation des Verfahrens.
    • 6. Die Daten von mehreren Messprogrammen oder Erfassungsmaßnamen (z. B. Feststellung dass Sprach- oder Datendienst bei Ortraster xy aktiv oder von Kunden gewünscht) können verfahrensgemäß in eine weitere Datenbank mit größerem geographischen Bereich eingeordnet werden, wenn dies zu den zuvor hier eingebrachten Messprogrammen passt (vom Standpunkt der Messhäufigkeit und der Anzahl der beteiligten Terminals; ggf. muss eine angemessene Normierung vorgenommen werden, die z. B. eine Verzerrung oder Missdeutung von Verkehrsschwerpunkten verhindert). Hierbei gewinnt man ggf. eine netzweite Darstellung von Funkversorgung oder von Verkehrswerten oder von Aussagen zur geografischen Verteilung von Sprach- oder Datendiensten. Hierbei wächst die statistische Basis was die Identifizierung von einzelnen Kunden weiter erschwert. Die Zugriffsmethoden müssen trotzdem die Unschärferelation (siehe Punkt 4. oben) verwenden. Dies gilt insbesondere da eine solche umfassende Datenbank auch einem größeren Kreis von Nutzern zugänglich ist (es können auch temporäre externe Kräfte für Planungs- und Marketing-Projekte zum Kreis der Nutzer gehören).
  • Verbesserung der Ortsbestimmung
  • Zur Verbesserung der Orts-Koordinaten im Falle eines fehlenden oder unzureichenden GSP-Signals gibt es folgende Verfahrensoptionen:
    • 1. Die ESA wählt die zuletzt gemessene GPS-Position und markiert diesen Datensatz derart, dass dieser Sachverhalt bei der späteren Auswertung in der DEE erkannt wird. Selbst wenn der Messauftrag nicht die Messung der Funkfeldstärke des Mobilnetzes war, wird die Feldstärke und die Funkzellenidentität (CellId) gemessen bzw. erfasst und soweit vorhanden auch die entsprechenden Werte von Nachbarzellen. Als weitere Option wird eine Größe gemessen, aus der der Abstand von der Basisstation (BTS) errechnet wird (entweder von der ESA oder von der DEE). Diese Größe ist systemabhängig und ist im Falle von GSM z. B. das TimeAdvance. Um diese Größe zu erfassen muss eine Verbindung sowohl möglich sein (Funkversorgung) als auch bestehen bzw. aufgebaut werden. Besteht keine Verbindung baut die ESA eine solche auf oder schickt eine SMS zu diesem Zweck z. B. an eine hierfür eingerichtete Netznummer. Die ESA nimmt optional auch die nachfolgende Messung des Messprogramms (StA) zur weiteren Eingrenzung und/oder Interpolation hinzu, derart dass der zeitliche Abstand und/oder die Muster der CellIds (auch der Nachbarzellen) bei der Entscheidung der Nutzbarkeit für eine Interpolation verwendet werden. Ein zu großer zeitlicher Abstand und/oder ein Satz von völlig anderen CellIds würde zum Verwerfen solcher GPS-Positionen (die vorherige und/oder die nachfolgende) führen. Diese Evaluierung nach der hier skizzierten Fuzzy-Logic wird optional von der ESA oder von der DEE durchgeführt.
    • 2. Wenn die in der StA vorgegebenen zeitlichen Abstände der Messungen oder Ereignis-Erfassungen zu groß sind für eine hinreichende Ortsbestimmung oder Ortseingrenzung, generiert die ESA optional weitere Messpunkte zumindest für das GPS-Signal, derart dass die ESA in kurzen Zeitabständen (z. B. alle 2 Minuten) eine GPS-Messung vornimmt bis ein verwertbares Ergebnis erzielt wird oder bis eine optional gesetzte maximale Anzahl von Zusatzmessungen dieser Art erreicht ist (Letzteres um z. B. die übermäßige Belastung des Akkus zu vermeiden). Optional ermittelt die ESA die Geschwindigkeiten und die Richtung der Geschwindigkeiten des Endgerätes (auf dem sich die ESA befindet), derart dass die Fuzzy-Logic weitere Anhaltspunkte für die Eingrenzung der Ortbestimmung der Messungen hat die ohne hinreichendes GPS-Signal durchgeführt wurden. Diese zusätzlichen Bewegungsgrößen werden optional bei den regulären (StA) Messungen und Erfassungen ermittelt und/oder bei den zusätzlichen Messungen zur Ortbestimmung. Sie werden für aktuelle oder spätere Evaluationen gespeichert und verwendet Diese zusätzlichen Datensätze werden je nach Auftrag der StA entweder mit den beauftragten Datensätzen an die DEE übertragen oder ausschließlich für die Fuzzy-Logic zur Ortsbestimmung durch die ESA verwendet und danach wieder verworfen (gelöscht). Wenn die zusätzlichen Datensätze an die DEE gesendet werden, werden sie als „zusätzlich” markiert für eigene Evaluierungen und Entscheidungen in der DEE, die optional die Ortbestimmung mithilfe dieser Daten durchführt. Der Vergleich der jeweils gemessenen Muster der CellIds (die der Umgebung) ist eine wichtiger Hinweis, wie weit z. B. eine Feldstärkemessung ohne hinreichendes GPS-Signal von einem Ort entfernt sein kann an dem zuvor oder später eine Feldstärkemessung durchgeführt wurde. Hierbei wird oft nur das Ziel verfolgt hinreichend genau zu ermitteln ob die Messung innerhalb eines Gebäudes oder außerhalb eines Gebäudes in einem Gebiet stattgefunden hat. Unter Zuhilfenahme von topologischen und morphologischen Datenbanken lässt sich diese Entscheidung mit Hilfe der Fuzzy-Logic weiter verfeinern. Diese Option ist grundsätzlich auch von der ESA wahrnehmbar, ist jedoch für die Evaluation in der DEE vorgesehen.
    • 3. Wenn die ESA im Falle unzureichendem GPS-Signals verfahrensgemäß entscheidet, die Zeitintervalle der Messungen zu verkürzen, dann erhöht sich die Wahrscheinlichkeit, dass immer häufiger Messpunkte mit GPS-Positionsbestimmung knapp außerhalb der Abschattungskante (z. B. Gebäude oder Tunnel) aufgezeichnet werden. Da die Serie zusätzlicher Messpunkte gestoppt wird, sobald ein brauchbares GPS-Signal erfasst wird, wird verfahrensgemäß bei hinreichender Anzahl statistischer Proben immer deutlicher eine solche Kante erkennbar oder ermittelt. Mit Hilfe der morphologischen Datenbank lässt sich die Art des abgeschatteten Bereichs bestimmen. Oft genügt auch sicher zu wissen, wie hoch die Feldstärke außerhalb eines Abschattungsbereiches ist, z. B. vor einem Gebäude, um die Funkversorgung, in diesem Beispiel, der In-House-Versorgung zu ermittlen. Mit Hilfe der verfahrensgemäßen Fuzzy-Logic wird jedoch noch sicherer eine Zuordnung der GPS-losen In-House-Messung mit der wahrscheinlichen Position hergestellt. Wenn die ESA optional verfahrensgemäß Geschwindigkeit und Richtung (nur bei GSP-Signal) ermittelt, kann die Zuordnung von In-House-Messung und Lokation der Messung im abgeschatteten Bereich noch präziser erfolgen. Bei vorliegenden mehrerer CellIds und Feldstärken wird die Zuordnung weiter durch eine zusätzliche verfahrensgemäße Plausibilitätsprüfung im Rahmen der Fuzzy-Logic erhärtet (Prüfung der Mobilfunkfeld-Umgebung).
    • 4. Die ESA prüft optional, ob sie sich im Umfeld des Heimatnetzes oder im (z. B. im StA) spezifizierten Netzes befindet. Wenn dies nicht der Fall ist, wird sie optional den Aufbau einer Verbindung oder das Senden einer SMS zum Zweck der Laufzeitermittlung (siehe oben) unterlassen.
    • 5. Wenn trotz fehlender GPS-Positionierung eine hohe Genauigkeit gefordert ist, ermittelt die ESA die Position mit Hilfe von bekannten Methoden, die eine Mitwirkung des Netzes erfordern (z. B. die, die bei so genannten Homezone-Anwendungen verwendet werden).
    • 6. Die Evaluierung der örtlichen Position von (Feldstärke-)Messungen oder Ereignissen wird zunächst auf der Basis der Datensätze erfolgen, die von der ESA gemäß StA erhoben wurden. Die Entscheidung ob zusätzliche Werte ausschließlich zur Bestimmung oder besseren Bestimmung der Position erfasst werden müssen, wird verfahrensgemäß in der ESA getroffen. Die Evaluierung nach der oben erwähnten Fuzzy-Logic findet optional in der ESA oder in der DEE statt, wobei auch eine Aufgabenteilung als weitere Ausprägung des Verfahrens implementiert sein kann. Eine Kennzeichnung der Datensätze zu den Umständen ihrer Entstehung ist für einige Anwendungen essentiell, insbesondere wenn die Häufigkeit von Messungen in der DEE dazu verwendet wird, auf den Verkehr oder auf Kundenkonzentrationen zu schließen. Ohne Kennzeichnung besteht die Gefahr von falschen Wichtungen.
  • Applikationserweiterungen, die die vorgenannten Möglichkeiten in verschiedener Weise Nutzen.
  • Roaming Applikationen:
    • 1. Die ESA kann optional aktive werden wenn sie mit dem Terminal durch eine neue SIM zu einem anderen Netzbetreiber gewechselt ist (Teilnehmer hat Netzbetreiber gewechselt). Die ESA wird in einer Ausprägung prüfen, ob sie sich im gleichen Land befindet (z. B. durch Prüfung der CellId oder der Location Area), wie das Netz des ursprüngliche Netzbetreibers (der die ESA auf das Terminal installiert hat), und wenn dies so ist obwohl sie sich nicht im Netz des ursprünglichen Netzbetreibers befindet, befindet sie sich in einem Wettbewerbernetz. Optional verzichtet die ESA darauf sich bei der AME zwecks Anfrage nach Messprogrammen zu melden oder alternativ dies fortzusetzen, derart dass die EAS die Qualität des neuen Netzes (Wettbewerbernetz) erfasst. Optional teilt die EAS diese Tatsache der AME mit, die ihrerseits verfahrensgemäß entscheiden kann ob sie dieses Terminal (ESA) an einem der aktuellen Mess- oder Erfassungsprogramme beteiligt und ggf. eine StA übergibt.
    • 2. Zur Erfassung von Netzqualitäten aus Sicht von Gästen (z. B. Touristen) aus anderen Ländern sind folgende Verfahrensausprägungen möglich: a. Der Netzbetreiber bietet diesen Gästen eine SIM aus seinem Netz an (z. B. Prepaid SIM). Diese SIM enthält eine Applikation, die im Terminal des Gastes den Typ des Terminals prüft, derart dass wenn eine Übereinstimmung mit einem geeigneten Betriebssystem und Hardware Typ vorliegt, diese Applikation entweder eine geeignete ESA Variante auf dem Terminal installiert, derart dass sie entweder das ESA Loadfile von der SIM holt oder eine Verbindung zur AME oder einer vergleichbaren Einrichtung aufbaut, um die geeignete ESA Variante auf das Terminal zu laden und schließlich die Installation zu initiieren, oder dass die geeignete ESA Variante direkt auf der SIM bereits installiert ist und nach geeigneter Konfiguration oder Selbstkonfiguration die Arbeit verfahrensgemäß ausführt (z. B. bei der AME StA Anweisungen erfragt, Messungen ausführt, nach Anweisung und unter gegebenen Bedingungen die Daten zur DEE hoch lädt). b. Bei Roamern die bei der SIM ihres Heimatnetzbetreiber bleiben wollen (d. h. sie behalten ihre SIM während sie das gastgebende Netz nutzen; „Inbound-Roaming”) kann man besondere Angebote machen, damit sie ein Portal des gastgebenden Netzes nutzen und auf die Fähigkeit prüfen lassen ob das Terminal für eine Variante der Applikation (ESA) geeignet ist und falls ja diese herunter zu laden und zu installieren. Besondere Informationsangebote oder Tarife für Mobilfunkdienste könnten zur Motivation angewendet werden. Diese ESA Variante prüft ob sie sich in dem gastgebenden Netz befindet von dem sie die ESA Applikation erhalten hat und sendet andernfalls keine Daten zur DEE und beendet ihre Tätigkeit wenn sie länger als eine gesetzte Anzahl von Tagen nicht mehr in das gastgebende Netz gekommen ist. Die Änderung der Einstellung des bevorzugten Netzes ist eine Option dieser ESA Variante.
  • Telekommunikationsdienste für Endkunden
  • Basierend auf dem hier dargelegten erfinderischen Verfahren werden verschiedene Telekommunikations-Mehrwertdienste realisiert, die durch die Kunden der Mobilnetzbetreiber genutzt werden können. Es ermöglicht Monitoring-Dienste, bei den die Mobilfunkkunden die Beobachter sind. Hierbei können sehr verschiedene Dinge beobachtet oder Personen zu ihrem Schutz beaufsichtigt werden. Bei einer Ausprägung dieser Anwendungen werden Anlagen oder Fahrzeuge beobachtet, die z. B. eine besondere Beschleunigung oder Temperatur-Änderung oder dergleichen Ereignisse erfahren. In einer anderen Ausprägung werden Schutzbefohlene wie z. B. Kinder beaufsichtigt – bei möglichst großem Freiraum. So können z. B. Eltern automatisch benachrichtigt werden, sobald ihre Kinder einen geographischen Bereich überschreiten. Kranke erhalten unverzüglich Hilfe am Ort des Geschehens sobald bestimmten Ereignissen eintreten, wie z. B. Herzfrequenz-Änderungen. Hierbei bestimmt die anwendungspezifische Terminal-Applikation (aESA) die Orts-Koordinaten (siehe weiter oben), ggf. anwendungsspezifisch auch die Geschwindigkeit und/oder andere Größen wie Temperatur oder Herzfrequenz. Letztere Daten und weitere werden optional in einer Ausprägung durch eine Konfiguration von Sensoren (z. B. Temperaturfühler, Feuchtigkeitsmesser, Strahlungsmessgeräte, Gasanalysegerät, Beschleunigungssensoren, Bruchmelder, etc.) und einer Kontrolleinheiten (KE) erfasst, derart dass die KE mit der anwendungsspezifischen Logik zum Auslesen, Evaluieren, Überwachen und schnittstellengerechtem Übertragen der Signale und/oder der evaluierten Ereignisse an die aESA verfahrensgemäß ausgestattet ist. Die aESA und die KE erkennen im verfahrensgemäßen Zusammenwirken ob und welche Meldung zu verfassen ist und mit welchen Daten und/oder evaluierten Informationen die Meldung auszustatten ist. Die Meldung wird optional an eine oder mehrere Einrichtungen oder Geräte übertragen. Die Übertragung erfolgt an eine individuell erstellte Liste von Adressen, Nummern oder Links für das jeweils individuelle Terminal das zu überwachen ist. Die Übertragung erfolgt optional via SMS z. B. an das Terminal einer Aufsichtsperson, wie z. B. an die Eltern oder an den Arzt. Als weitere Option wird die Meldung entsprechend dem vorgenannten Link über die anwendungsspezifische netzseitige und serverbasierte Datenerfassungseinrichtung (aDEE) übermittelt. Die aDEE erhält mit der Meldung auch die Identität (dies ist anders als bei der Netzmonitoring-Anwendung) des aktuell berichtenden Terminals (aESA) und ordnet die Daten verfahrensgemäß in eine Account spezifische Datenbank für den späteren vertraulichen Zugriff, der nach üblichen angemessenen Methoden über eine anwendungsspezifische Zeit einem engen Kreis von verfahrensgemäß in einer Datenbank eingetragenen berechtigten Personen und/oder Terminals kontrolliert wird. Die aDEE bereitet die Daten derart auf, dass sie mit allgemein verfügbaren Tools (z. B. Google Earth) von den individuellen Anwendern (Kunden der Mobilnetzbetreiber) vertraulich betrachtet werden können, z. B. wann trat welches Ereignis an welchem Ort ein. Schließlich kann hiermit auch eine beobachtete Person oder eine Sache (Auto, Eisenbahnwaggon) oder ein Tier gefunden werden, wobei zum lokalisieren ein mobiles Terminal genügt, das mit der aESA ausgestattet wird und über GPS Fähigkeit verfügt und/oder andere Ortungstechniken wie z. B. über eine mobilnetzbasierte, das heißt, für die einfache Ortung bedarf es keiner komplexen Anordnung von Terminal und Sensoren.
  • Eine Ausprägung des Verfahrens verwendet zusätzlich ein Funksignal oder ein akustisches Signal das von der aESA veranlasst und von dem Terminal ausgesendet wird zur besseren Auffindung z. B. via Peilung, derart dass dieses Signal auch dann zur Auffindung genutzt werden kann, wenn das Ereignis in einem unversorgten Bereich des Mobilnetzes eintrat, von dem aus keine aktuellen Positionsdaten und kein Hilferuf abgesetzt werden konnte, jedoch. Die beaufsichtigenden Personen werden in diesem Fall jedoch durch Timeout von der aDEE benachrichtigt und ggf. über den zuletzt gemeldeten Aufenthaltsort informiert oder über die letzten Bewegungstrends, die optional geographisch dargestellt werden. Optional gibt die aESA einen Text auf das Display des Terminals oder gibt eine akustische Mitteilung z. B. Text-zu-Sprache aus, derart dass ggf. Passanten auf das Ereignis aufmerksam werden und erfahren was getan werden kann.
  • Die aDEE befindet sich auf einem netzseitigen zentralen Server, der vor unbefugtem Zugriff physisch und logisch geschützt ist. Die aDEE führt mit den Daten, die sie von dem oder den individuell assoziierten Terminals optional weitere Evaluierungen durch, derart dass sie die aESA von aufwendigen Prozessen entlastet und bei Verwendung von umfangreichen Datenbanken, die die Speicherkapazität des oder der assoziierten Terminals (das die aESA trägt) übersteigen. Die aDEE überträgt optional (ggf. auch zusätzlich zur aESA) Nachrichten oder Alarme an eine verfahrensgemäß hinterlegte Liste von Nummern, Adressen und/oder Links via SMS, Push-email, oder auch an andere Portale, derart dass auf eingetroffene Ereignisse und Daten oder auf einen Time-out z. B. seit einer letzten Meldung der beobachteten Person oder Objektes aufmerksam gemacht wird. Nach einer anwendungs- und anwenderspezifischen Zeit werden die Einträge aus der Account-Datenbank eines einzelnen Anwenders gelöscht.
  • Die aDEE nimmt Anwendungsdaten (z. B. welcher geographische Bereich soll überwacht werden und bei Überschreiten einen Alarm auslösen) über ein Web-User-Interface auf. Hierzu wird eine anwendungsspezifische grafische Benutzeroberfläche verwendet, derart dass durch zusätzliche Semantik-Prüfungen und/oder wohl definierte Alternativen (z. B. in Drop-down-Listen) Eingabefehler und damit auch Überwachungsfehler vermieden werden. Beispielhaft ist hier eine Karte zu nennen (z. B. basiert auf Google Maps) in der die geographischen Grenzen mit einfachen Mitteln deutlich sichtbar und auch für den ungeübten Anwender leicht erfassbar und zuverlässig eingebbar sind. Hierbei werden ggf. Warnungen gegeben, wenn z. B. Bereichsgrenzen ungewöhnlich groß sind, wie z. B. 100 km für die Überwachung eines Demenzkranken.
  • Die aDEE speichert die eingegebenen Daten zur späteren Kontrolle des Eingabe-Status oder zur Wiederverwendung von Überwachungsmustern (z. B. Ort und/oder Zeit). Sie formatiert sie in anwendungsspezifische Steuer und Überwachungsanweisungen (aStA) und überträgt diese in verfahrensgemäßem Format an ein Terminal (aESA) oder an mehrere, die mit diesem spezifischen Account assoziiert sind.
  • In einer Ausprägung enthält die aESA die Logik für eine ganz spezifische Anwendung wie z. B. die Überwachung des Aufenthaltsortes des Terminals (das von einer Person getragen wird). In diesem Fall werden nur wenige Daten benötigt um das Überwachungsgebiet zu definieren. Bei komplexen Überwachungsaufgaben wird optional die aESA ausgetauscht oder mit Updates oder mit Plug-Ins versorgt, um eine neue Verfahrenslogik auszuführen, derart dass das Terminal oder die SIM einen verfahrensspezifischen Loader und Installer enthält, der von der aDEE adressiert wird und lokal für eine sichere Installation oder Neuinstallation von aESA oder Updates oder Plug-Ins sorgt, trotz unsicherem (mobilen) Übertragungsweg, derart dass immer eine Rückfalllösung vorhanden ist und vom Loader und Installer lokal auch in Abwesenheit einer Verbindung herbeigeführt werden kann, und weder das Terminal in seinen sonstigen Funktionen und Anwendungen gestört oder blockiert wird, noch die Wiederherstellung einer funktionsfähigen aESA verhindert wird, selbst bei einer zuvor fehlgeschlagenen Installation. Hierbei ist die aDEE der Master der vom verfahrensspezifischen Loader und Installer, der wegen seines überschaubaren Funktionsumfangs mit moderatem Implementierungs- und Test-Aufwand hinreichend stabil gemacht werden kann.

Claims (19)

  1. Verfahren zum Schutz von Bewegungsmustern und Aufenthaltsorten, die in Daten enthalten sind, die von Mobilfunkkunden-Terminals zum Zwecke der Erfassung des Mobilnetzzustandes und entsprechender Netzqualitätsmerkmale, die mit Orts- und Zeit-Koordinaten assoziiert sind, erfasst worden sind, derart dass einerseits der Mobilnetzzustand gemäß dessen Zweck statistisch dargestellt wird, andererseits jedoch die Zurückrechnung auf individuelle Bewegungsmuster und Zuordnung dieser Bewegungsmuster zu bestimmten Personen, den Haltern der an der Netzzustandserfassung teilnehmenden Terminals, hinreichend erschwert wird oder gar unmöglich gemacht wird, derart dass die von den Terminals erfassten Daten ohne Terminalidentitäten und ohne Identitäten des Halters des jeweiligen Terminals durch die Terminal Applikation (ESA) an die Datenerfassungseinrichtung (DEE) übertragen wird und in einem physisch und logisch vor menschlichen Zugriffen geschützten Server oder Datenverarbeitungseinrichtung derart verarbeitet wird, dass danach nur noch statistische Summenaussagen über die erfassten Mobilnetzqualitätsmerkmale und die damit assoziierten Orts und Zeitkoordinaten vorliegen, derart dass selbst bei nicht vertraulichem Anwenderkreis der Datenbank, mit den verfahrensgemäß aufbereiteten Mobilfunkqualitätsmerkmalen, die Mobilfunkkunden, die an dem entsprechenden Messprogramm zur Erstellung dieser Datenbank teilgenommen haben, und deren Bewegungsmuster nicht identifiziert werden können.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass sich die ESA des jeweiligen individuellen Terminals von selbst anonym bei der DEE zwecks Hochladen der Datensätze mit den Mess- und Ereignisdaten meldet und nicht adressiert wird, derart dass die DEE keine Identität erfährt, jedoch zur Vermeidung von Mehrfachmessungen von einzelnen Terminals von der DEE informiert wird, wann sich die ESA frühestens wieder bei der Applikations-Management-Entität (AME) zwecks Übernahme von neuen Steuerungsanweisungen (StA) für ein neues Messprogramm meldet, derart dass die DEE den Zeitpunkt nennt zu dem keine StA mehr zu dem noch laufenden Messprogramm von der AME vergeben werden, derart dass Wichtungsfehler bei der Auswertung der Mess- und Ereignisdaten in der DEE vermieden werden, wie z. B. bei der Ermittlung des Kundenaufkommens oder des Verkehrs oder von Ereignissen an bestimmten Orten.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, sich die ESA nach einem Zufallszeitpunkt bei der AME zwecks Anfrage nach StA meldet, derart dass ein von der DEE genannter frühester Zeitpunkt nicht unterschritten wird, und die Möglichkeit unterbunden wird, anhand des Meldezeitpunktes oder der Reihenfolge der Meldezeitpunkte die Identität eines oder mehrerer Terminals zu evaluieren.
  4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass sich die ESA frühestens nach einem zeitlichen Mindestabstand zur letzten Messung bei der DEE zwecks Hochladens von Messdatensätzen meldet, derart dass eine Überprüfung und Zückverfolgung der Anwesenheit von Personen an den Orts-Koordinaten der aktualitätsnahen Messung unterbunden wird.
  5. Verfahren nach Anspruch 1, 2, 3 oder 4, dadurch gekennzeichnet, dass die AME eine von der DEE physisch getrennten Entität ist, derart dass die beiden Funktionseinheiten ein Interface zum verfahrensgemäßen Austausch von Daten haben, jedoch nicht den gleichzeitigen Einblick in die Kontakte mit den ESA der jeweiligen Terminals gewähren, derart dass bei Vorkommen unberechtigter Überwindung des Zugangsschutzes (physisch und/oder logisch) bei einer der beiden Einheiten der Einblick in die Kontakte der jeweils anderen Einheit erschwert bleibt.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die AME die StA an jede sich meldende ESA des relevanten Gerätetypes übermittelt, derart dass die AME nicht übermittelt bekommt an welchem Ort sich das Terminal befindet, derart dass die ESA selbst prüft ob sie sich in dem geographischen Bereich befindet, zu dem Terminals für das Messprogramm ausgesucht sind.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass sich die ESA im Rahmen des per StA definierten Messprogramms auch dann bei der DEE meldet, wenn sie sich nicht in dem geographischen Bereich befindet der durch die StA vorgegeben ist, derart dass die ESA bei der DEE übermittelt, dass sie nicht an dem Messprogramm teilnimmt, so dass die DEE eine bessere Abschätzung der zu erwartenden Gesamtzahl von teilnehmenden Terminals trifft, derart dass sie ggf. der AME mitteilt, dass weitere Messanweisungen StA an sich meldende ESA übergeben werden.
  8. Verfahren nach Anspruch 1, 2, 3, 4, 5, 6, oder 7, dadurch gekennzeichnet, dass die StA bei geographischer Auswahl eines Gebietes in dem zu messen ist, eine Mindestgröße ausweist, derart dass die Überprüfung der Anwesenheit von Individuen in einem hinreichend großen Gebiet hineichend erschwert ist.
  9. Verfahren nach Anspruch 1, 2, 3, 4, 5, 6, 7 oder 8, dadurch gekennzeichnet, dass die StA bei zeitlicher Begrenzung des Messprogramms eine Mindestdauer ausweist, derart dass die Prüfung der Anwesenheit von Individuen hinreichend erschwert ist.
  10. Verfahren nach Anspruch 1, 2, 3, 4, 5, 6, 7, 8 oder 9, dadurch gekennzeichnet, dass die AME für jedes Messprogramm eine Minimum-Anzahl von sich meldenden Terminals mit StA beauftragt, derart dass die Größe der statistischen Basis die Identifizierung einzelner Terminals oder deren Halter hinreichend erschwert.
  11. Verfahren nach Anspruch 1, 2, 3, 4, 5, 6, 7, 8, 9 oder 10, dadurch gekennzeichnet, dass die StA jeweils eine Minimum-Anzahl von Messpunkten umfasst, derart dass die Größe der statistischen Basis die Identifizierung einzelner Terminals oder deren Halter hinreichend erschwert.
  12. Verfahren nach Anspruch 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 oder 11, dadurch gekennzeichnet, dass die ESA vor dem Berichten der Messergebnisse an die DEE prüft, ob eine definierte Minimum-Anzahl von tatsächlichen durchgeführten Messungen erreicht ist, derart dass die ESA ggf. die Meldung eines Zwischen-Ergebnisses aussetzt und die bereits aufgenommenen Datensätze zum nächsten Meldezeitpunkt mit überträgt, und im Falle, dass das Messprogramms bereits beendet ist ohne dass die Minimalzahl von tatsächlich erfassten Messpunkten erreicht ist verwirft die ESA die Datensätze.
  13. Verfahren nach Anspruch 8, 9, 10, 11, oder 12, dadurch gekennzeichnet, dass die StA mit einem Editor erstellt werden, der die Einhaltung der Regeln und Bedingungen, die an ein Messprogramm gestellt werden, bevor es in Form von StA über die AME an die Terminals (ESA) übergeben wird, gewährleistet, derart dass der Editor a) eine Auswahl von fest vorgegebenen Messmustern und/oder Ereigniserfassungen zur Nutzung anbietet, derart dass zeitliche Muster und/oder geographische Muster für das aktuelle Messprogramm konkretisiert werden, wie beispielsweise durch Eingabe von Anfangszeitpunkt und/oder von geographischem Zentrumskoordinaten von geographisch vorgegebenen Bereichsrahmen, derart dass einige der noch ausstehenden Angaben schablonenhaft vorbestimmt und korrekt übernommen werden und/oder andere der noch ausstehenden Angaben aus vorgegebenen Relativwerten und den aktuellen Eingabewerte errechnet werden, derart dass die Einhaltung der Regeln zur Erstellung eines regelgemäßen StA erzwungen ist; und/oder b) zunächst eine freie Eingabe der Anweisungen zur Definition eines Messprogramms ermöglicht, und entweder während der Eingabe oder am Ende der Eingabe eine Überprüfung stattfindet, derart dass die Regeln angemahnt und/oder nach Vorschlägen des Editors angenommen werden, derart dass sukzessiv ein regelgemäßer StA entsteht.
  14. Verfahren nach einem oder mehreren der Ansprüche 1–13, derart dass die von den Terminals/ESA hochgeladenen Datensätze in eine derart gerasterte Datenbank eingeordnet werden, dass die Raster Bereichen von insbesondere Orts- und Zeit-Koordinaten entsprechen, derart dass die Rasterbereiche hinreichend genau sind für den Zweck der statistischen Netzzustandsdarstellung und/oder der Netzqualitätsaussage jedoch die ursprüngliche Genauigkeit der entsprechenden Koordinaten verlieren, derart dass die Zuordnung von insbesondere der Anwesenheit an einem Ort zu einer Zeit hinreichend unschärfer geworden ist gegenüber den von der ESA erhaltenen Daten.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die Datenbank nicht die in Anspruch 14 genannte physische Struktur aufweist, sondern dynamisch logisch von den Zugriffsmethoden und -Prozeduren gewährleistet wird, derart dass die verfahrensgemäße Unschärfe stets bei jeder möglichen Abfrage von Mess- und Ereignisdaten gegeben ist.
  16. Verfahren nach Anspruch 14 oder 15, dadurch gekennzeichnet, dass sich die Rasterung real oder virtuell verändert, derart dass bei Unterschreiten von einer Mindestanzahl von Mess- oder Ereigniswerten, ursprünglich benachbarte Rasterelemente für die statistische Aussage mit hinzugezogen werden, derart dass eine Aussage mit einem ggf. höheren statistischen Wert oder über eine größere Anzahl von Ereignissen über einen größeren Rasterwürfel mit weniger präzisen Koordinatenbereichen entsteht.
  17. Verfahren nach einem der Ansprüche 1–16, dadurch gekennzeichnet, dass die ESA bei fehlendem oder unzureichendem GPS Signal die Methode der Ortbestimmung zu den Mess- oder Ereigniswerten ändert, derart dass die ESA a) die Orts-Koordinaten der zuvor durchgeführten Messung oder Ereigniserfassung verwendet wenn die Zeit nicht zu lange zurückliegt und/oder die Netzumgebung in Gestalt von CellId, Location Area, und/oder Nachbarschaftszellen eine hinreichende Nähe anzeigen, derart dass die ESA die geringere Zuverlässigkeit der so ermittelten Orts-Koordinaten für die spätere verfahrensgemäße Verarbeitung in der DEE entsprechend markiert; oder b) zusätzliche Messpunkte in kürzeren Zeitabständen erzeugt, derart dass sie entweder eine hinreichend präzise GPS-Position erhält und optional die Netzumgebung wie unter a) mit beachtet bei der Entscheidung, ob diese Position hinreichend nahe bei dem von der StA vorgegebenen Messung oder Ereignis liegt, oder im Falle dass die ESA eine gesetzte maximale Anzahl von zusätzlichen Messpunkten erreicht hat, die Serie der Zusatzmessungen beendet, um die Akkulaufzeit des Terminals nicht übermäßig zu beeinträchtigen, oder c) Netzfunktionen anregt, derart dass die Ortsbestimmung ggf. ohne GPS Signal mit Netzbasierten Methoden, wie die Bestimmung des Time-Advance beim Senden einer SMS oder eines Location Update bei GSM, derart dass die Entfernung zu einer oder mehreren Basisstationen ermittelt wird. d) die Messdauer der GPS-Positions-Messung bis zu einer Maximalzeit erhöht, derart dass die GPS-Positionsbestimmung präziser wird ohne jedoch die Akkulaufzeit übermäßig zu beanspruchen.
  18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass die ESA nur die entsprechend gekennzeichneten Rohdaten der zusätzlichen Messungen an die DEE liefert und die Evaluierung von der DEE durchgeführt werden, derart dass die ESA entlastet wird und die Möglichkeiten der DEE besser genutzt werden, umfangreichere Daten über die Funknetzstruktur mit Feldstärken und geographischen Positionen der Basisstationen für die genauere Ortbestimmung von Messungen und Ereignissen ggf. mit Fuzzy-Logic zu ermitteln.
  19. Eine Anordnung von einem oder mehreren Terminals und einem oder mehreren Servern zur Erfassung des Zustandes und der Qualitätsdaten eines Mobilnetzes, derart dass das oder die Terminals je eine Applikation ESA enthalten und der oder die Server mindestens eine Applikation DEE und mindestens eine Applikation AME enthalten, derart dass die Applikation gemäß einem der Verfahren 1–18 miteinander interagieren.
DE201010047117 2010-10-02 2010-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals Withdrawn DE102010047117A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE201010047117 DE102010047117A1 (de) 2010-10-02 2010-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals
EP11790857.4A EP2622896A1 (de) 2010-10-02 2011-10-02 Verfahren zum schutz von persönlichkeitsdaten bei netzmonitoring mit kunden-terminals.
PCT/DE2011/001788 WO2012062258A1 (de) 2010-10-02 2011-10-02 Verfahren zum schutz von persönlichkeitsdaten bei netzmonitoring mit kunden-terminals.
DE112011104118T DE112011104118A5 (de) 2010-10-02 2011-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201010047117 DE102010047117A1 (de) 2010-10-02 2010-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals

Publications (1)

Publication Number Publication Date
DE102010047117A1 true DE102010047117A1 (de) 2012-04-05

Family

ID=45093250

Family Applications (2)

Application Number Title Priority Date Filing Date
DE201010047117 Withdrawn DE102010047117A1 (de) 2010-10-02 2010-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals
DE112011104118T Withdrawn DE112011104118A5 (de) 2010-10-02 2011-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE112011104118T Withdrawn DE112011104118A5 (de) 2010-10-02 2011-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals

Country Status (3)

Country Link
EP (1) EP2622896A1 (de)
DE (2) DE102010047117A1 (de)
WO (1) WO2012062258A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012001101A1 (de) 2012-01-23 2013-07-25 Joachim Linz Verfahren zum multilateralen und ganzheitlichen Erfassen und Verbessern der Mobildienst-Qualität mit Hilfe von Kunden-Terminals mit Rückmeldung an den Kunden.
EP2866484A1 (de) * 2013-10-24 2015-04-29 Telefónica Germany GmbH & Co. OHG Verfahren zur Datenanonymisierung von innerhalb eines mobilen Kommunikationsnetzes gesammelten Daten

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115290098B (zh) * 2022-09-30 2022-12-23 成都朴为科技有限公司 一种基于变步长的机器人定位方法和系统
CN117611187A (zh) * 2024-01-23 2024-02-27 杭州实在智能科技有限公司 基于rpa的客户服务及数据监控管理方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010002822A1 (en) * 1998-05-14 2001-06-07 Watters J. Michael Cellular terminal location using GPS signals in the cellular band
US20050272437A1 (en) * 2004-06-08 2005-12-08 Rudolf Ritter Data acquisition system and mobile terminal
EP1641302A1 (de) * 2004-09-27 2006-03-29 Matsushita Electric Industrial Co., Ltd. Anonymer Aufwärtsrichtungsmessbericht in einem drahtlosen Kommunikationssystem

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO942031L (no) * 1994-06-01 1995-12-04 Ericsson As Creative Engineeri System for overvåkning av telefonnett og/eller datakommunikasjonsnett, spesielt mobiltelefonnett
GB2360173B (en) * 2000-03-07 2004-04-07 Hewlett Packard Co Distributed telemetry method and system
US7315739B2 (en) * 2002-11-27 2008-01-01 Agilent Technologies, Inc. Systems and methods for measurement and/or control using mobile probes
CN101491133B (zh) * 2007-01-02 2013-06-12 德国电信股份公司 通过集成了gps接收机的移动无线终端设备获取移动无线网的特征量的方法
US8098590B2 (en) * 2008-06-13 2012-01-17 Qualcomm Incorporated Apparatus and method for generating performance measurements in wireless networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010002822A1 (en) * 1998-05-14 2001-06-07 Watters J. Michael Cellular terminal location using GPS signals in the cellular band
US20050272437A1 (en) * 2004-06-08 2005-12-08 Rudolf Ritter Data acquisition system and mobile terminal
EP1641302A1 (de) * 2004-09-27 2006-03-29 Matsushita Electric Industrial Co., Ltd. Anonymer Aufwärtsrichtungsmessbericht in einem drahtlosen Kommunikationssystem

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012001101A1 (de) 2012-01-23 2013-07-25 Joachim Linz Verfahren zum multilateralen und ganzheitlichen Erfassen und Verbessern der Mobildienst-Qualität mit Hilfe von Kunden-Terminals mit Rückmeldung an den Kunden.
WO2013110261A2 (de) 2012-01-23 2013-08-01 Joachim Linz Verfahren zum multilateralen und ganzheitlichen erfassen und verbessern der mobildienst-qualität mit hilfe von kunden-terminals mit rückmeldung an den kunden
EP2866484A1 (de) * 2013-10-24 2015-04-29 Telefónica Germany GmbH & Co. OHG Verfahren zur Datenanonymisierung von innerhalb eines mobilen Kommunikationsnetzes gesammelten Daten
WO2015058860A1 (en) * 2013-10-24 2015-04-30 Telefónica Germany GmbH & Co. OHG A method for anonymization of data collected within a mobile communication network
US20170169252A1 (en) * 2013-10-24 2017-06-15 Telefónica Germany GmbH & Co. OHG Method for anonymization of data collected within a mobile communication network
US10762237B2 (en) 2013-10-24 2020-09-01 Telefónica Germany GmbH & Co. OHG Method for anonymization of data collected within a mobile communication network

Also Published As

Publication number Publication date
DE112011104118A5 (de) 2013-10-17
WO2012062258A1 (de) 2012-05-18
EP2622896A1 (de) 2013-08-07

Similar Documents

Publication Publication Date Title
EP2071932B1 (de) Verfahren und vorrichtung zur verwaltung von referenzumgebungsinformationen
DE69830709T2 (de) Integritätsschutz in einem telekommunikationssystem
EP2116079B1 (de) Verfahren zur netzkenndaten-erfassung durch reguläre nutzer zur unterstützung von automatisierten planungs- und optimierungsprozessen in zellularen mobilfunknetzen
DE102006020150B4 (de) System und Verfahren zur Testsondenverwaltung
DE102007012053A1 (de) System und Verfahren zur Durchführung von Messungen in Kundenvorrichtungen über Netze unterschiedlicher Dienstanbieter
DE102009049672A1 (de) Konzept zum Generieren von Erfahrungsmeldungen zur Aktualisierung einer Referenzdatenbank
CN105453121A (zh) 用于分析学的位置分析
DE69726380T2 (de) System und Verfahren zum Überwachen eines zellularen Funkkommunikationsnetzes mit Hilfe von Protokollanalysatoren und Mobilstationen
DE102012223468A1 (de) Ermitteln eines üblichen Startpunkts, eines üblichen Zielpunkts und einer üblichen Route aus einem Netzdatensatz
CN110209723A (zh) 一种基于物联网大数据的设备信息采集系统
EP3783581B1 (de) Verfahren zur zuordnung eines zu registrierenden rauchmelders und ein entsprechendes rauchmelderverwaltungssystem
DE102011006180A1 (de) Verfahren und System zum funkbasierten Lokalisieren eines Endgeräts
DE102010047117A1 (de) Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals
DE102020204187A1 (de) Leistungseffizienter betrieb an bedeutenden standorten
DE10256457B4 (de) Austausch geographischer Positionsinformation zwischen Positionsinformations-Server und Kernnetzwerk-Element
DE102007012097A1 (de) System und Verfahren zur Durchführung von Messungen in Kundenvorrichtungen über unterschiedliche Netztechnologien
DE102011006181A1 (de) System und Verfahren zum funkbasierten Lokalisieren eines Endgeräts
DE102009004358A1 (de) Verfahren zur Erneuerung von im Endgerät gespeicherten Zusatzinformationen zur Endgeräte-basierten Erkennung von Home-Basisstationen in einem zellularen Mobilfunknetz
EP2807597A2 (de) Verfahren zum multilateralen und ganzheitlichen erfassen und verbessern der mobildienst-qualität mit hilfe von kunden-terminals mit rückmeldung an den kunden
DE602004006770T2 (de) Verbesserte Fehlerbehandlung der Messkontrollprozedur in einem UMTS Funkzugriffsnetzwerk
EP2779744B1 (de) Verfahren zur Veränderung der einem Telekommunikationsendgerät zugeordneten Dienstqualität und System, umfassend ein Telekommunikationsendgerät und ein Telekommunikationsnetz, zur Veränderung der dem Telekommunikationsendgerät zugeordneten Dienstqualität
DE102015202485B4 (de) Telekommunikationsverfahren zur Authentifizierung eines Nutzers
DE60026268T2 (de) Technik zur Benachrichtigung mobiler Endgeräte mittels geografischer Koordinaten
EP2658290B1 (de) Sendeempfänger, Datenverarbeitungsvorrichtung, Verfahren zum Bereitstellen von Messinformation, Verfahren zum Bereitstellen von Information und Computerprogramm
DE102007057563B4 (de) Verfahren und Vorrichtung zum Zugriff auf ein mobiles Endgerät in einem digitalen zellulären Mobilfunknetz

Legal Events

Date Code Title Description
R016 Response to examination communication
R118 Application deemed withdrawn due to claim for domestic priority

Effective date: 20111002