CN102124301B - 基于位置的服务 - Google Patents

Abstract

一种与基于位置的服务系统一起使用的位置跟踪单元。位置跟踪单元包括：导航接收机，适于实现位置跟踪功能；数据处理装置，适于根据第一位置匹配过程来确定所占据的位置，第一位置匹配过程使用来自导航接收机的导航数据和第一组地理数据，以及数据处理装置，适于基于第二位置匹配过程来验证第一位置匹配过程的完整性，第二位置匹配过程使用导航数据和第二组地理数据。

Description

基于位置的服务

技术领域

本发明涉及实现基于设备位置的过程的基于位置的服务系统。

背景技术

基于位置的服务依赖于电信和信息学的综合使用(另外也被称作“远程信息处理”)。

利用车辆的远程信息处理应用目前是特别感兴趣的领域。例如，车辆远程信息处理系统可以用于多种目的，包括收取道路收费、管理道路使用(智能运输系统)、跟踪车队位置、恢复被盗车辆、提供自动碰撞通知、位置驱动驾驶员信息服务、以及车载早期警告通知报警系统(车辆事故预防)。

道路收费被认为是车辆远程信息处理系统的第一可能的大容量市场。远程信息处理目前正开始进入消费车辆环境，作为闭合服务的多媒体服务箱。这些市场在容量方面仍然较低，并且被认为是瞄准机会的市场。欧盟(以荷兰为领先的国家)意在从2012年开始，引入道路收费，作为每辆车的必需功能。。

迄今，道路收费已经用于高速公路记费、卡车记费以及在特定区(例如，伦敦城)驾驶车辆的记费。一般使用车辆必须停靠的收费广场，或者短距离通信系统允许在车辆通过时自动借记资金。

未来的道路收费功能要求更少的(或没有)基础设施需求，并且要求针对行驶的每一英里进行收费。设想车辆将具有车载GPS系统和GSM(移动电话网络)连接，使得能够将信息中继至集中式道路收费系统。

自动道路收费系统中的收费系统可以基于行驶距离、时间、位置和车辆特征。道路收费可以应用于所有车辆，或者可以排除特定类别的车辆(例如具有国外车号牌的车辆)。

需要提高这种系统的安全性，并使得对这种系统的欺诈性使用尽可能地困难。

基于GPS和GSM的现代道路定价系统利用GPS卫星信号的接收来确定位置、速度等。如果可以篡改GNSS信号，则用户能够假装在其他(更便宜)路线上驾驶。GPS测试发射机能够利用车辆的车载单元(OBU)接收到的测试信号令人信服地用于上述目的。

OBU收集来GNSS前端的定位信息，并且在将不同种操作的结果发送至远程服务器之前，根据在内部运行的客户端应用类型来执行不同种操作。处理密集性操作是地图匹配，地图匹配将GNSS坐标流变换成与GNSS坐标相对应的位置或路线的列表。

在道路收费系统的瘦客户端情况下，地图匹配和行程费用计算步骤可以由外部服务器来执行，因此危及到驾驶员的隐私。

在胖客户端的情况下，OBU对GPS数据进行处理以执行地图匹配。在超胖客户端的情况下，OBU不仅承担胖客户端OBU的所有处理，而且在将所获得的行程费用传输至道路收费服务器之前，承担行程费用计算的附加处理。

当与胖或超胖客户端比较时，瘦客户端具有以下优点：OBU所需的计算能力较低，并且在更新地图时仅需要更新收费服务器。

隐私、安全和成本是在设计这种OBU时必须进行仔细分析的重要因素。此外，信号篡改能够沿着接收机的信号解码路径而发生，探测和插入伪造信息。

因此，本发明涉及以成本有效方式使远程设备对抗攻击的安全的问题。使远程设备对于物理篡改而言是安全的，这是已知技术，但是这是非常昂贵且很难实现。

发明内容

根据本发明，提供了一种与基于位置的服务系统一起使用的位置跟踪单元，包括：

导航接收机，适于实现位置跟踪功能；

数据处理装置，适于根据第一位置匹配过程来确定所占据的位置，第一位置匹配过程使用来自导航接收机的导航数据和第一组地理数据。

数据处理装置，适于基于第二位置匹配过程来验证第一位置匹配过程的完整性，第二位置匹配过程使用导航数据和第二组地理数据。

本发明可以使用第一处理装置来执行位置匹配过程，位置匹配过程可以是处理密集性的。然后在安全数据处理装置中进行位置匹配过程的验证。由于与位置匹配过程相比验证的处理要求降低许多，因此验证过程足够简单/微小，以至于能够使用安全控制器(例如，在传统智能卡中找到那些安全控制器)来实现。因此实施例提供了高级别的安全性以及低成本的防篡改。

实施例可以使用安全控制器(例如，高级技术和海洋过程(ATOP)智能MX)来执行“迷你”过程，作为对第一数据处理装置中进行的位置匹配过程的镜像(mirror)，以检查结果是否匹配。不一致的结果可以提供在第一数据处理装置中发生篡改的证据。

根据本发明的另一方面，提供了一种实现位置跟踪单元中的位置跟踪功能的方法，该方法包括：

根据第一位置匹配过程确定所占据的位置，第一位置匹配过程使用来自导航接收机的导航数据和第一组地理数据；

基于第二位置匹配来验证第一位置匹配过程完整性，第二位置匹配使用导航数据和第二组地理数据。

附图说明

参照附图详细描述本发明的示例，在附图中：

图1示出了可以使用本发明系统的道路收费系统的第一示例；

图2示出了使用GNSS定位点(fixes)和路段的位置的地图匹配过程；

图3是根据本发明实施例的高级技术和海洋过程(ATOP)系统的示意图；

图4是在图3系统中实现的根据本发明实施例的方法的流程图；

图5示出了安全数据库的内容以及根据本发明实施例如何使用该内容；

图6是根据本发明备选实施例的方法的流程图；

图7示出了将GNSS点P映射到路段的问题；

图8是根据本发明实施例的如何将路段表示为直线的示意图；

图9是根据本发明实施例的如何将路段表示为多个样条(spline)的示意图；

图10是根据本发明实施例的如何将路段表示为多边形的示意图；

图11示出了根据本发明实施例的如何将路段表示为一系列圆形；以及

图12示出了根据本发明实施例的如何将路段表示为一系列交叠多边形。

具体实施方式

图1示出了可以应用本发明的道路收费系统。

GPS数据由GPS接收机1捕获。将该数据解码为位置数据(经度-纬度)。位置数据与定时(时钟)数据一起存储在智能卡形式的存储器2中。周期性地将一批存储的数据发送给后端道路收费服务器4，如批下载6所示。理想情况下，这可以使用蜂窝调制解调器8，通过GSM功能(通用分组无线服务“GPRS”或第三代移动电话“3G”)来进行。后端服务器能够从该数据中重建所行驶的路程。

服务器4还包含道路价格数据库，道路价格在特定时间上是有效的。最终，计算总价，并且驾驶员得到清单(例如，按月份地)。

为了防止数据被用户篡改，在GPS解码器与存储器2的防篡改环境之间以密码方式(例如，DES或3DES)来交换数据。智能卡提供良好的防篡改环境。

如果来自道路收费的总收入近似等于根据现有税制的实际税收，则平均费用/千米非常小。因此，每次路程非常短，这意味着连续在线交易方案可能不令人满意，因此期望批下载。

这种类型的交易方案非常符合银行业所使用的当前已知的电子钱包方案。

以前，这样系统中的隐私保护是困难的。系统存储GSM、GPS和个人身份数据的组合并将它们传输至中央服务器系统。维护隐私保护意味着，在总的端对端系统级(包括服务器基础设施)上，需要安全性。

本发明提供了对在远程设备中进行的地图匹配过程进行验证的验证措施。如图2所示，这样的验证可以通过检查GNSS定位点10与这些定位点所映射到的路段列表中路段A、B和C之间的距离是否小于可接受阈值距离dmax来完成。

本发明的基本实施例是在安全控制器中不执行完整地图匹配过程的构思，而取而代之使用轻量级额外安全控制器，轻量级额外安全控制器使用可信数据来验证是否已经正确执行在主机控制器中运行的地图匹配过程。因此，认识到这需要大量CPU能力来执行地图匹配过程，提出了随后更容易验证地图匹配过程的输出(即，道路列表)与所提交的输入数据(即，GNSS坐标列表)相对应。因此，可以使要求受到保护的系统/过程部分足够小，以在安全控制器(例如，在智能卡中找到的那些安全控制器)中实现，从而以低成本提供高级别的防篡改。

作为示例应用，如图3所示，实施例可以应用于由服务器和远程设备组成的系统，并且在该系统中，远程设备包括高级技术和海洋过程(ATOP)设备。

参照图3，ATOP是系统级封装组件，主要包含GPS前端40、2.5G移动调制解调器42、基带控制器44以及非常安全的防篡改控制器46(类似于在智能卡中找到的那些安全防篡改控制器)。远程信息处理中ATOP的主要应用目标是OBU 12的实现。ATOP支持保护这种瘦客户端OBU所需的所有安全机制。然而，还能够通过将ATOP系统与运行计算密集过程(例如包括地图匹配和费用计算)的性能更强的控制器连接，使用ATOP系统来实现“胖”或“超胖”客户端OBU。

现在参照图4，示出了实现本发明实施例的系统的过程流程。

在图4中，ATOP是OBU 12的主序列发生器(或主机控制器)。ATOP以规则间隔收集GPS数据(步骤410)，并且使用包含在规则地图数据库48中的信息找到最佳匹配路段(步骤420)。该地图匹配过程的结果是路段ID(或类似内容)的列表。

安全控制器46首先使用本领域一般已知的技术来检查所提交的GNSS数据的完整性(步骤430)。作为示例，安全控制器46可以验证以规则间隔收集到了GNSS数据，并且验证GNSS数据的两个连续GNSS定位点之间的距离和时间戳延迟小于阈值。

安全控制器然后进行步骤440，步骤440验证：(a)所提交的路段ID列表确实彼此连接(并且连接至先前提交的路段ID)，以及(b)该路段ID列表是否与GNSS数据相对应。为此，访问在验证地图数据库50中存储的专用可信数据集合，继而将该专用可信数据集合存储在安全控制器46中。换言之，安全控制器执行迷你过程作为对地图匹配过程的镜像，以检查结果是否一致。如果结果与期望的结果不一致，则有远程过程篡改的证据。

如果验证(步骤440的验证)成功，则安全控制器46借助于安全存储在安全控制器中的车费(fare)数据52的数据库，计算与提交到安全控制器46的路段ID列表相对应的费用(步骤450)。

备选地，如果验证(步骤440的验证)失败，则在步骤460中安全控制器通知其内部欺诈管理器。这里，系统被设计为使得针对内部欺诈管理器的任何通知始终被转发(即时或以规则/随机间隔)给服务器4，并且以安全的方式进行上述转发。服务器4然后可以采取适当动作。

在完成步骤450之后，由安全控制器46对总费用(或收费信息)进行签名，以指示已经安全计算了费用，并且然后在步骤460中，将该签名的费用转发至服务器。然后，服务器在正确验证给定汽车的所有费用之后总计这些费用(步骤470)，并且进行记费(步骤480)。

验证地图匹配过程的主要目的是验证(a)所提交路段的连续性，以及(b)所提交的GNSS定位点列表确实映射到所提交的路径(标识为路段ID列表)。该过程可以访问安全数据库58(图5所示)，针对每个路段56(由独有标识符ID标识)，安全数据库58包含：

表示路段所需的几何参数(开始点、结束点、几何形状...)；

给定GNSS定位点被视为在路段上正确映射时给定GNSS定位点距离该路段的最大距离dmax；以及

计算给定时间由于经过该路段所引起的行程费用部分所需的费用信息。

将理解，使用在安全数据库中包含的信息，简单地完成所提交的路段ID的连续性的认证，并且从而省略对上述的详细描述。另一方面，将给定GNSS定位点映射到给定路段的验证更精细，因此以下进行更详细描述。

与安全数据库有关的变型

极为重要的是，应保护和确保数据库58内数据的完整性，这是因为修改这样的数据使得攻击者例如能够最终影响行程费用。针对该问题的解决方案是将数据库存储在安全控制器中。备选解决方案是将数据库58存储在主机控制器44中，并且利用密码强壮签名算法(如图6所示)保护数据库58中的数据。

参照图6，在图6中安全数据存储在主机控制器44中，对运行在主机控制器中的地图匹配过程(步骤420”)进行修改，以除了路段ID列表以外，还向安全控制器46提供对应的签名验证参数列表(几何参数、距离、费用...)。安全控制器46在使用每个安全参数在步骤440”中验证地图匹配过程之前，首先验证每个安全参数上签名的有效性。为此，安全控制器46使用签名验证密钥，签名验证密钥可以在签名算法是基于公钥密码术的情况下为RP服务器公钥(或类似密钥)，或者可以是在安全控制器46与服务器4之间共享的对称秘密密钥(例如AES或3-DES)。

在将安全数据库合并到标准地图匹配数据库中的情况下，对主机控制器44的影响是最小的。在该实施例中，主机控制器44仅需要管理路段记录的单个数据库，其中，每个记录被拆分成不安全和安全部分对。不安全部分包含执行地图匹配步骤所需的有用信息，安全部分包含验证地图匹配步骤所需的信息。这种解决方案的直接优点在于，由于不需要存储数据库(并且这样的数据库典型地大小为几兆字节(MB))极大地降低了针对安全控制器46的存储要求。同样，也不需要在更新过程中涉及安全控制器46，这意味着安全参数的更新可以简单集成在例如用于更新(不安全)地图数据库48的标准机制中。

同样，由于主机控制器44可以访问用于验证过程的安全数据库58，因此主机控制器44可以实现一些额外的预计算步骤，以进一步简化安全控制器46的任务(不损害到安全性)。

与地图匹配验证有关的变型

地图匹配验证过程的目的是验证给定GNSS点P(Xp，yp)确实被映射在给定路段上(例如，如图7所示)。安全控制器46验证这种映射所采用的实际计算步骤可以取决于在安全数据库58中如何以几何方式表示路段。现在详述这种表示的若干变型以及如何相应地改变计算步骤。

校正用于距离计算的球面坐标

典型地，将GNSS坐标表示为由点的经度和纬度给定的球面坐标对。这意味着两个点(x0，y0)与(x1，y1)之间的实际距离不能够根据这些坐标而直接测量，这是因为1°经度弧度的长度取决于纬度。然而，由于路段相对于行星地球的规模而言非常小，因此可以假定该弧长在该路段周围是局部上恒定的，并因此在计算距离之前对x坐标应用校正比例因子就足够了。

为了兼容以上，一种解决方案是在安全地图数据库58中添加针对每个路段的对应的校正因子。然而，可以看出，以下所考虑的一些变型实际上不受该问题的影响，并且不需要指定这样的因子。

使用直线段

参照图8，在这种情况下，将路段表示为直线段，该直线段连接了由GNSS坐标(x₀，y₀)和(x₁，y₁)给定的两个点。如果给定GNSS点P(x_P，y_P)与与路段60之间的距离d小于指定阈值距离dmax，则认为给定GNSS点P被正确映射在路段60上。可以根据以下公式1计算距离d：

$d=\frac{|(x_1-x_0)(y_P-y_0)-(x_P-x_0)(y_1-y_0)|}{\sqrt{{(x_1-x_0)}^2+{(y_1-y_0)}^2}}\≤d_{\max }---\left(1\right)$

通过观察，分母实际上与点P无关，并因此可以将该分母移到右侧(同样也是恒定的)，从而可以极大简化上述公式1。进一步隔离取决于点P(x_P，y_P)的变量部分，可以看出，安全控制器46必须进行的实际测试由以下公式给出：A.x_P+B.y_P+C≤D，其中，A(＝y₀-y₁)、B(＝x₁-x₀)、C(＝x₀y₁-x₁y₀)和

对于给定路段60和阈值距离dmax而言是恒定参数。

上述测试假定无限长度的路段。为了完整性，安全控制器46可以考虑有限长度的实际路段。这可以通过验证所投射的点S(x_s，y_s)在路段顶点(x₀，y₀)和(x₁，y₁)来进行。更简单地，在满足精度的合理损失的情况下，这可以通过验证点P(x_P，y_P)在围绕目标路段的矩形区域x_min≤x_P≤x_max和y_min≤y_P≤y_max内来进行，其中，x_min、x_max、y_min和y_max也是与针对目标路段的其他参数一起存储的恒定参数。

应当注意，该变型不需要提供独立的校正比例因子来处理球面坐标，这是因为该因子可以直接并入线段参数A、B、C和D中。

使用样条

现在参照图9，曲线道路可以使用遵照原始曲线道路的更小的直线段的序列来近似。因此，备选方案是使用样条来表示曲线道路62，特别地，用三次样条来表示曲线道路62。针对一组n+1个点的三次样条通常表示为参数方程组：

y_i(t)＝a_i+b_it+c_it²+d_it³    (2)

其中，t是参数t∈[0，1]，并且i＝0，...，n-1。在区间[0，1]内改变参数变量t，这允许产生属于样条的所有点的坐标。例如，在图9中，y₀(0)＝a₀＝(x₀，y₀)，y₀(1)＝a₀+b₀+c₀+d₀＝(x₁，y₁)。

距离d的计算需要首先确定点S，S是样条上与GNSS定位点P最接近的点。这不一定是直接明了的任务。一种方法可以是迭代，目的在于越来越精确地近似点S的坐标。这样的方法不适于轻量级安全控制器，例如本发明实施例中优选的轻量级安全控制器。然而，假定安全地图存储在主机控制器44中，一种解决方案可以在在主机控制器44实际上辅助安全控制器46而不会折衷安全性的情况下应用。这在以下两个步骤中进行：

1.首先，主机控制器44计算点S的位置，然后将样条上与S点相对应的样条参数t(t＝t_S)的值转发至安全控制器46

2.其次，安全控制器46使用样条的参数表示来计算点S的位置(见公式3)，并且验证距离d＝|PS|是否小于阈值距离dmax(根据以下公式4)：

$(x_S,y_S)=y_0\left(t_S\right)=a_0+b_0{t}_S+c_0{t}_S^2+d_0{t}_S^3---\left(3\right)$

${(x_S-x_P)}^2+{(y_S-y_P)}^2\≤d_{\max }^2---\left(4\right)$

这种来自主机控制器44的辅助的构思可以在其他变型中应用，以便简化安全控制器46所进行处理。然而，必须小心的是，这样的辅助不包括系统的安全性。还注意到，安全控制器46不需要计算

这是因为

可以是提前预计算并存储在安全数据库58中。

该实施例不需要独立的校正比例因子来处理球面坐标，这是因为球面坐标可以直接并入样条参数中。

使用多边形

参照图10，在使用多边形的情况下，如果给定点P(x_P，y_P)在围绕给定路段64的多边形内，则认为P被映射到该路段上。

假定遵照逆时针常规来编号的N个顶点(x_i，y_i)(0≤i＜N)所标识的凸多边形，可以验证矢量v_P所标识的点P在给定多边形内，这可以通过检查以下的(部分)矢量叉积均为正：

$(x_{i+1}-x_i)(y_P-y_i)-(y_{i+1}-y_i)(x_P-x_i)\&GreaterEqual;0(\&ForAll;0\&le;i<N)---\left(5\right)$

其中所有索引对N取模。

在该变型中不需要用于处理球面坐标的校正因子。唯一的影响在于，多边形线段实际上与地面测地线(terrestrial geodesic)偏离了可忽略的量。

使用一系列圆形或方形

对给定GNSS点P(x_P，y_P)是d映射在给定路段上的验证是可以使用沿着路段的一系列圆形来进行的(见图11)。

在这种情况下，如果给定GNSS定位点P(x_P，y_P)在与给定路段相关联的至少一个圆形内，则认为给定点P被正确映射到该路段。例如，对于与N个中心为(x_i，y_i)(0≤i＜N)、阈值半径为d_i，max圆形相关联的路段，如果满足以下公式6，则认为给定点P(x_P，y_P)被映射到路段。

$\&Exists;i\&Element;0,...,N-1:{(x_i-x_P)}^2+{(y_i-y_P)}^2\&le;d_{i,\max }^2---\left(6\right)$

为了减少针对安全控制器的处理，应注意，i的实际值可以由主机控制器44连同其他安全参数一起转发，而不会以任何方式折衷安全性。

备选解决方案是适配变量，使得取而代之地考虑一系列椭圆。在这种情况下，用于处理球面坐标的比例因子可以并入椭圆轴中。

类似地，如图12所示可以使用一系列方形，这以一些精度损失为代价简化了验证步骤。

例如，对与N个中心为(x_i，y_i)(0≤i＜N)、边长为2d_i，max(针对45°旋转方形的对角线长度)的方形相关联的路段，安全控制器仅必须验证：

关于圆形，要使用的实际索引i可以由主机控制器给出，因此进一步减少了处理，而不会折衷安全性。

备选解决方案可以是考虑一系列矩形(代替方形)或菱形(代替45°旋转的方形)，并且独立地指定长边和短边的长度(在菱形的情况下指定长对角线和短对角线的长度)。

统计和置信值

典型地，GNSS接收机对于收集GNSS定位点的环境相当敏感。例如，接收到的GNSS定位点典型受到以下影响：天气状况、降低卫星信号强度或者阻止接收这些信号的遮挡的存在，以及靠近可以反射这些信号的建筑物(多径问题)。这种灵敏度的净结果是GNSS定位点可能与实际位置不同。优选地，地图匹配过程通过在收集到的GNSS定位点附近找到最佳匹配路段来降低这些离异性的影响。

然而，GNSS信号上的明显噪声有时可以显著到，使得GNSS定位点与最佳匹配路段之间的距离大于在安全地图数据库58中指定的距离阈值dmax。因此，在没有适当措施的情况下，安全控制器46可以考虑诸如欺诈尝试之类的情况，并且相应地通知服务器，然而实际上这些情况是由于不良接收状况所引起的。因此优选解决该问题，因为高错误肯定率是不可接受的。以下描述被设计为解决该问题的三种机制，所有这些机制维护客户端OBU的隐私保护特性。

1.统计分析

安全控制器并不立即向RP服务器通知每个失配，而是安全控制器实际上对地图匹配过程的结果执行统计。

例如，安全控制器46保持成功验证的行程平均百分比。将该行程平均与针对给定行程的费用信息一起传输给服务器4。如果这样的百分比低于指定的阈值，则服务器4可以采用适当措施。备选地，如果这样百分比低于给定阈值，则安全控制器46还可以通知内部欺诈通知管理器。在这种情况下，除了通知服务器4以外，欺诈通知还可以向用户(容纳OBU的车辆的驾驶员)通知已经检测到问题，并且应当联系预定的人或组织。

其次，安全控制器46还可以保持在最后提交的N个验证请求上的成功验证移动百分比。在该值低于阈值的情况下，如上所述安全控制器46通知欺诈管理器。

2.可靠性信息的使用

进一步细化可以通过在安全地图数据库58中包括GNSS可靠性信息来实现。因为GNSS定位点与实际车辆位置之间的失配的一部分是由于道路或城市基础设施，这种失配部分对于给定路段是恒定的。可以估计或测量基础设施的影响，可以利用该信息来完成针对每个路段的安全数据。

例如，考虑周围基础设施的影响，可以分别为每个路段定义距离阈值dmax。在典型的不良接收区中增加距离，在良好接收区中减小距离，以便获得最佳检测灵敏度。

备选或附加地，安全数据库还可以包含针对每个路段的可靠性因子，可靠性因子会减轻失败验证对先前机制中描述的成功百分比的影响。

3.信号中断统计

第三种机制处理信号接收丢失的问题。在这种情况下，安全控制器46检测到两个GNSS定位点之间存在中断(例如，通过观察到两个定位点之间的距离太大，或者每个定位点的时间戳高于给定阈值)。并不立即通知欺诈管理器，而是安全控制器46也可以保持对这种中断的统计。

安全控制器46可以保持每行程这种信号丢失的历史，即，丢失数目、中断距离和延迟、以及可选地，发生时间(中断前的最后有效定位点的时间)。然后可以将完整历史连同给定行程的费用信息一起传输给服务器4，或者备选地安全控制器46可以仅传输一组统计值(平均值、累加、标准偏差)。在异常大的中断的情况下，安全控制器可以触发欺诈管理器，欺诈管理器然后立即联系服务器，和/或相应地通知驾驶员。

此外，对于先前两种机制而言，安全数据库58可以包含对更容易受到信号丢失影响的区(隧道、森林...)的位置和几何信息加以指示的额外信息。在信号丢失的情况下，安全控制器使用该信息来验证最后接收到的GNSS定位点和随后第一个有效GNSS定位点确实在被标识为易受到信号丢失影响的区域，并且相应地调整统计(例如，通过分离地保持对无障碍区域中的丢失和遮挡区域中的丢失的统计)。

处理服务拒绝攻击

在安全地图数据库存储在安全控制器外部的情况下，如一些实施例已经描述的，安全控制器46无法验证GNSS定位点不在收费的路段上或在收费区域内。确实，一些路段或区在不要收费的私人区域内。攻击者能够修改在主机控制器44上运行的过程，以将GNSS定位点(尽管是正确的)传输至安全控制器，并且通知安全控制器不存在匹配的收费路段。

可以实现以下机制来对抗这样的攻击。

首先，安全控制器46可以执行以规则间隔收集GNSS定位点，并且检测GNSS定位点何时丢失。例如，这可以通过检查两个相继的GNSS定位点之间的距离以及两个GNSS时间戳之间的验证均低于最大值来进行。在GNSS传输的异常中断的情况下，安全控制器通知内部欺诈管理器。

其次，可以实现安全数据库，使得适当的不收费区覆盖所有未收费区。添加这样不收费区(例如使用多边形来表示)，使得任何位置处的给定点包括在收费区/段中或不收费区中，并且使得不收费区域与收费区不交叠(或者至少仅交叠可忽略的量)。

第三，安全控制器46可以验证每个规则地收集的GNSS定位点确实与收费的或不收费的区/段相关联。由于收费和不收费区域的完整但断开的覆盖，受骇客攻击的主机控制器不能在给定GNSS定位点在收费区内时假装该给定GNSS定位点不在收费区，这是由于主机控制器不能够提供与所提交的GNSS定位点相对应的不收费区。

已经结合单频GPS描述了本发明，但是其他GNSS系统(GLONASS、Galileo等)应当是类似的。确实，该技术也能够应用于具有用于捕获来自每个载体的IF数据的适当装置的多频系统，以及。

各种附加特征和修改对于本领域技术人员将变得显而易见。

Claims (12)

1.一种与基于位置的服务系统一起使用的位置跟踪单元，包括：

导航接收机，适于实现位置跟踪功能；

第一数据处理装置，适于根据第一位置匹配过程来确定所占据的位置，第一位置匹配过程使用来自导航接收机的导航数据以及第一组地理数据，以及

第二数据处理装置，适于基于第二位置匹配过程来验证第一位置匹配过程的完整性，第二位置匹配过程使用导航数据和第二组地理数据，其中，第二数据处理装置适于在所述第二位置匹配过程中基于以下各项中的至少一个来验证第一位置匹配过程的完整性：导航数据可靠性信息；与完整性验证成功率有关的历史信息；以及与接收到的来自导航的数据的中断有关的信息。

2.根据权利要求1所述的位置跟踪单元，其中，远程设备是车载单元，并且远程设备还包括：适于与远离位置跟踪单元的服务器进行通信的通信装置。

3.根据权利要求1所述的位置跟踪单元，还包括：适于根据加密算法存储第二组地理数据的安全数据存储装置。

4.根据权利要求1所述的位置跟踪单元，其中，地理数据包括与路段的位置有关的信息。

5.根据权利要求4所述的位置跟踪单元，其中，路段由以下各项中的至少一个表示：连接两个不同位置的直线；多个样条；多边形；一系列交叠的圆形；以及一系列交叠的多边形。

6.根据权利要求1所述的位置跟踪单元，其中，第二数据处理装置还适于实现以下防欺诈过程中的至少一个：监控导航数据的规律性；以及验证所确定的所占据的位置与地理数据相关联。

7.一种实现基于位置的服务的系统，包括：前述权利要求中任一项所述的位置跟踪单元。

8.根据权利要求7所述的系统，其中，所述系统是道路收费系统。

9.一种实现位置跟踪单元中的位置跟踪功能的方法，所述方法包括：

根据第一位置匹配过程确定所占据的位置，第一位置匹配过程使用来自导航接收机的导航数据以及第一组地理数据；

基于第二位置匹配来验证第一位置匹配过程的完整性，第二位置匹配使用导航数据和第二组地理数据，其中，验证步骤还基于以下各项中的至少一个：导航数据可靠性信息；与完整性验证成功率有关的历史信息；以及与接收到的来自导航的数据的中断有关的信息。

10.根据权利要求9所述的方法，还包括以下步骤：

实现以下防欺诈过程中的至少一个：监控导航数据的规律性；以及验证所确定的所占据的位置与地理数据相关联。

11.根据权利要求9的所述方法，其中，验证步骤包括：

确定所确定的所占据的位置是否与导航数据和第二组地理数据相一致。

12.根据权利要求9所述的方法，其中，确定所占据的位置的步骤包括以下步骤：

从导航数据中导出位置信息；

基于位置信息和第一组地理数据确定与位置的距离；

如果所述距离小于阈值，则确定所述位置是所占据的位置。

Images