-
Die Erfassung von Verkehrsaufkommen und Verkehrsflüssen ist ein wichtiges Instrument zur Steuerung von aktueller und Planung von zukünftiger Verkehrsinfrastruktur. Mit der Verbreitung von Smartphones und dem Aufkommen von „Connected Cars“ ist die Erfassung von Verkehrsflüssen mit zuvor nicht dagewesener Präzision möglich, da die Daten von sehr vielen Teilnehmern erfasst werden können.
-
Bei der Erfassung von Verkehrsdaten sollten Datenschutzanforderungen berücksichtigt werden, da aus den Daten Bewegungsprofile erstellt und persönliche Präferenzen der Fahrer abgeleitet werden können. Beispielsweise kann aus Bewegungsdaten auf die Teilnahme an einer politischen Veranstaltung und daraus auf eine bestimmte politische Einstellung geschlossen werden.
-
Bei der Analyse von Verkehrsdaten ist zum einen die lokale Auslastung von Straßenabschnitten relevant, etwa zur Umleitung bei Stau. Diese Informationen können anonym erfasst werden, sodass in der Regel nicht ohne Weiteres Rückschlüsse auf die beitragenden Fahrer möglich sind. Lokale Verkehrsdichten können mittels „Floating Car Data“ (FCD) erfasst werden, die z.B. von Mobiltelefonen oder Navigationsgeräten übermittelt werden. Weiterhin werden die Daten von Mobilfunkanbietern verwendet, ohne dass die Geräte explizit Daten zur Verfügung stellen müssen.
-
Zur makroskopischen Verkehrsplanung sind aber auch Informationen über Start- und Zielpunkte der Fahrten relevant. Beispielhafte Fragestellungen, die im Hinblick auf eine solche Verkehrsplanung analysiert werden können, sind: „Aus welchen Stadtteilen/Vororten pendeln die Mitarbeiter zum zentralen Firmenstandort?“, „Aus welchen Gebieten reisen die Teilnehmer einer Großveranstaltung an?“ und „Wohin fahren die Urlauber aus einem bestimmten Gebiet im Sommer in den Urlaub?“. Die dazu nötigen Informationen können Rückschlüsse auf die Fahrer zulassen, selbst wenn die Daten anonym erfasst werden. So kann eine Deanonymisierung von Bewegungsdaten möglich sein, z.B. könnte die Identität einer Person aus Start- und Zieldaten einer Fahrt abzuleiten sein, z.B. zwischen ihrem Arbeits- und Wohnort. Aber auch für Daten über einzelne Aufenthaltsorte eines Geräts oder Fahrzeugs ist ein zuverlässigerer Datenschutz wünschenswert.
-
Start-/Zielpaare einer Fahrt können als „Origin-Destination Matrix“ (OD-Matrix) dargestellt werden. Ein Verfahren zur automatischen Erfassung von Verkehrsdaten ist z.B. der
WO 2007031370 A2 zu entnehmen.
-
Ein Vorgehen, um auch für solche Daten die Privatsphäre der Fahrer zuverlässig zu schützen, ist die Reduktion der Genauigkeit von Orts- und Zeitdaten, sodass übermittelte Daten nicht mehr einem Fahrer zugeordnet werden können. Als Kriterium, wie stark die Genauigkeit der Daten reduziert werden muss, kann der Begriff der „k-Anonymität“ verwendet werden. Ein Fahrer ist „k-anonym“, wenn mindestens k – 1 andere Fahrer dieselben Daten übermitteln, wie er selbst. Der Fahrer könnte somit mit k – 1 anderen Fahrern verwechselt werden und taucht gewissermaßen in der Menge an k Fahrer mit dem gleichen Profil unter.
-
Das Kriterium der k-Anonymität ist beispielsweise bekannt aus,
L. Sweeney, "k-anonymity: A model for protecting privacy," International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, vol. 10, no. 5, pp. 557–570, 2002. Die Reduktion der Genauigkeit von Orts- und Zeitangaben, um eine vorgegebene k-Anonymität zu erreichen, ist ebenfalls bekannt, beispielsweise aus
M. Gruteser and D. Grunwald, "Anonymous usage of location-based services through spatial and temporal cloaking," in Proceedings of the 1st international conference on Mobile systems, applications and services, 2003.
-
Offenbarung der Erfindung
-
Die Erfindung betrifft Verfahren gemäß dem unabhängigen Verfahrensanspruch sowie Geräte oder Fahrzeuge, die dazu eingerichtet sind, eines der Verfahren durchzuführen. Des Weiteren betrifft die Erfindung ein Computerprogramm, das dazu eingerichtet ist, eines der Verfahren durchzuführen.
-
Informationen über den Aufenthaltsort oder die Bewegungen von Geräten oder Fahrzeugen aus Startgebieten in Zielgebiete sollen erfasst werden. Für die Erfassung von Informationen über den Aufenthaltsort findet ein Schlüsselaustausch zwischen sich in einem bestimmten Gebiet befindlichen Geräten oder Fahrzeugen statt. Für die Erfassung von Informationen über eine Bewegung finden insbesondere ein Schlüsselaustausch zwischen sich in einem bestimmten Startgebiet und ein Schlüsselaustausch zwischen sich in einem bestimmten Zielgebiet befindlichen Geräten oder Fahrzeugen statt. Mithilfe der ausgetauschten Schlüssel werden die Aufenthaltsinformationen oder die Bewegungsinformationen (insbesondere Informationen über das Startgebiet und das Zielgebiet) verschlüsselt. Es werden derart Informationen über die verwendeten Schlüssel der Verschlüsselung erstellt und bereitgestellt, dass eine vorbestimmte Anzahl solcher Verschlüsselungsinformationen nötig ist, um die Aufenthaltsinformationen oder die Bewegungsinformationen zu entschlüsseln.
-
Das ermöglicht eine besonders datenschutzfreundliche Erfassung von Aufenthaltsinformationen oder Bewegungsinformationen wie z.B. Verkehrsflussdaten (insbesondere Origin-Destination- bzw. Herkunfts-Ziel-Matrizen). Die Daten können einer abfragenden Stelle (z.B. einer Verkehrsbehörde) zur Verfügung gestellt werden, diese kann die Daten aber nur entschlüsseln, falls eine der vorbestimmten Anzahl an Verschlüsselungsinformationen entsprechende Anonymität gewährleistet ist (k-Anonymität der Geräte oder Fahrzeuge). Diese Anzahl k ist dabei ein vorzugebender Systemparameter und kann im Vorfeld frei gewählt werden.
-
Eine dritte Instanz hat zu keinem Zeitpunkt des Systembetriebs Zugriff auf die exakten Daten, das vorgestellte Verfahren kommt somit ohne eine zentrale, vertrauenswürdige Komponente aus. Die Datenbanken in bevorzugten Ausführungsformen der beschriebenen Verfahren müssen nicht vertrauenswürdig sein, damit der Datenschutz gewahrt bleibt.
-
Vorzugsweise sind in den Geräten oder Fahrzeugen Daten über Start- und Zielgebiete oder deren Berechnung sowie gegebenenfalls Daten über Zeiträume und deren Berechnung abgelegt. Dabei sind die Ortsdaten und gegebenenfalls die Zeitdaten in verschiedenen Genauigkeitsstufen (z.B. verschiedenen Rundungsgenauigkeiten) angegeben. Die Geräte können dann für jede Kombination aus Startgebiet-Genauigkeit (bzw. -Größe), Zielgebiet-Genauigkeit (bzw. -Größe) und Zeitraum-Genauigkeit (bzw. -Länge) einen Schlüsselaustausch durchführen. Sie stellen ebenso Informationen über Start-, Zielorte und -zeitpunkte in verschiedener Genauigkeit, jeweils verschlüsselt, bereit, z.B. in einer zentralen Datenbank. Sobald mindestens k Datensätze für eine jeweilige Genauigkeitskombination vorhanden sind, können diese entschlüsselt werden. Dazu können beispielsweise orts- und zeitspezifische Schlüssel ausgetauscht werden und mittels eines Secret-Sharing-Verfahrens entsprechende Schlüsselinformationen berechnet werden und bereit gestellt werden.
-
Ein Vorteil eines solchen Verfahrens ist, dass die Genauigkeit der Daten nur so stark reduziert wird, wie es nötig ist, um die gewünschte k-Anonymität zu wahren. Z.B. können Fahrstrecken, die stark frequentiert und deshalb für besonderes Interesse für die Verkehrsplanung sind, mit einer (relativ) hohen Genauigkeit erfasst werden.
-
Strenge Datenschutzeigenschaften können die Attraktivität derartiger Verfahren und damit deren Benutzerakzeptanz steigern. Eine höhere Anzahl an Benutzern kann wiederum die insgesamt erzielte Datenqualität steigern.
-
Zeichnungen
-
Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
-
1 schematisch Geräte oder Fahrzeuge in einem Start- und einem Zielgebiet, wobei das Start- und das Zielgebiet in jeweils drei Genauigkeitsstufen dargestellt sind,
-
2 schematisch einen Datenaustausch von zwei Fahrzeugen untereinander und von den Fahrzeugen mit einer dritten Einheit, z.B. einer Schlüsseldatenbank sowie
-
3 schematisch einen Datenaustausch von zwei Fahrzeugen mit einer dritten Einheit, z.B. einer Schlüsseldatenbank, und den Datenaustausch der Einheit mit einer vierten Einheit, die z.B. Daten aus der Datenbank abfragt. Beschreibung der Ausführungsbeispiele
-
Zur datenschutzfreundlichen Erfassung von Informationen über den Aufenthalt eines Geräts oder Fahrzeugs in einem bestimmten Gebiet oder über die Bewegung eines Geräts oder Fahrzeugs aus einem Startgebiet in ein Zielgebiet ist es wünschenswert, die Genauigkeit von Ortspunkten bzw. Start- und Zielpunkten auf Gebiete so weit zu reduzieren (und damit die Größe der betrachteten Start- und Zielgebiete so weit zu erhöhen), dass innerhalb des Betrachtungszeitraums mindestens eine vorgegebene Anzahl k an Geräten oder Fahrzeugen in einem bestimmten Gebiet detektiert werden bzw, von einem bestimmten Startgebiet in ein bestimmtes Zielgebiet bewegt werden. Entsprechend kann auch die Genauigkeit des Betrachtungszeitraum derart reduziert werden (und damit dessen Länge), um die vorgegebene Anzahl k zu erreichen. Je nachdem, wie viele Geräte oder Fahrzeuge ähnliche Aufenthaltsorte oder Start- und Zielpunkte für eine Bewegung haben, wird die Größe der sich ergebenden Gebiete größer (wenige Geräte oder Fahrzeuge) oder kleiner (viele Geräte oder Fahrzeuge) bzw. die Länge des Betrachtungszeitraums größer (wenige Geräte oder Fahrzeuge) oder kleiner (viele Geräte oder Fahrzeuge).
-
Die Entscheidung, wie stark die Genauigkeit der Daten reduziert werden muss, kann jedoch nicht im einzelnen Gerät oder Fahrzeug separat getroffen werden, da dazu Informationen über die Aufenthaltsorte oder Bewegungen anderer Geräte oder Fahrzeuge nötig sind. Die Daten könnten zwar alternativ einfach in hoher Genauigkeit an eine zentrale Stelle übermitteln, die – nachdem alle Teilnehmer ihre Daten übermittelt haben – die Reduktion der Genauigkeit der Daten derart vornimmt, dass die gewünschte Zahl k an Geräten oder Fahrzeugen mit gleichem Startgebiet und Zielgebiet erreicht wird. Allerdings entsteht dadurch das Risiko des Datenmissbrauchs durch die Stelle selbst, des Datendiebstahls oder einer anderweitigen Nutzung, die den Interessen der Benutzer der Geräte oder Fahrzeuge widerspricht.
-
Im Folgenden wird das Verfahren vorrangig anhand der bevorzugten Ausführung einer Erfassung von Informationen über eine Bewegung eines Geräts oder Fahrzeugs aus einem Start- in ein Zielgebiet beschrieben. Das Verfahren lässt sich allerdings entsprechend auch für die Erfassung von Informationen über den Aufenthaltsort eines Geräts oder Fahrzeugs in einem einzelnen bestimmten Gebiet einsetzen.
-
In 1 sind Geräte oder Fahrzeuge x, y und z als Kreise sowie das Startgebiet 1 und das Zielgebiet 2 gezeigt. Die Geräte sind dabei vorzugsweise elektronische Geräte, z.B. Mobiltelefone bzw. Smartphones, Computer etc. Die Geräte und Fahrzeuge sind insbesondere ausgestattet mit Kommunikationsmitteln zum Empfang von Daten von extern und Versenden von Daten nach extern, mit Mitteln zur Bestimmung eines Ortes, Recheneinheiten zum Verarbeiten von Daten und Rechenmitteln zur Verschlüsselung von Daten mithilfe kryptographischer Schlüssel.
-
Das Startgebiet 1 ist in 1 unterteilt in ein Startgebiet 1a mit kleinster Größe (größter Genauigkeit), ein Startgebiet 1b mit mittlerer Größe (mittlere Genauigkeit) und ein Startgebiet 1c mit größter Größe (kleinster Genauigkeit). Ebenso ist das Zielgebiet 2 unterteilt in ein Zielgebiet 2a mit kleinster Größe (größter Genauigkeit), ein Zielgebiet 1b mit mittlerer Größe (mittlere Genauigkeit) und ein Zielgebiet 1c mit größter Größe (kleinster Genauigkeit).
-
Die Geräte oder Fahrzeuge x beginnen in einem feststehenden Betrachtungszeitraum eine Bewegung in Startgebiet 1 und beenden sie in Zielgebiet 2 (dargestellt durch Pfeile). Die Geräte oder Fahrzeuge y beginnen in dem Zeitraum eine Bewegung in Startgebiet 1, beenden sie aber woanders als in Zielgebiet 2. Die Geräte oder Fahrzeuge z beenden in dem Zeitraum eine Bewegung in Zielgebiet 2, beginnen sie aber woanders als in Startgebiet 1.
-
Nun sollen mit größtmöglicher Genauigkeit die Informationen darüber erfasst werden, wie viele Geräte oder Fahrzeuge in Startgebiet 1 ihre Bewegung begonnen haben und diese in Zielgebiet 2 beendet haben. Allerdings sollen die Genauigkeiten der Gebiete derart angepasst werden, dass mindestens k Geräte oder Fahrzeuge unter die Bedingung fallen, um die entsprechende k-Anonymität der Daten zu gewährleisten.
-
Ist die vorgegebene Anzahl k gleich 9, so kann keine Erhebung erfolgen, da insgesamt nur 8 Geräte oder Fahrzeuge x ihre Bewegung in Startgebiet 1 beginnen und Zielgebiet 2 beenden. Für die Anzahl k = 8 kann eine Erhebung nur mit der geringsten Genauigkeit (größten Größe) für das Startgebiet 1, also Gebiet 1c, sowie der geringsten Genauigkeit (größten Größe) für das Zielgebiet 2, also Gebiet 2c erfolgen. Nur für diese Genauigkeitsstufen wird k = 8 erreicht. Für k = 5 könnte man entsprechend entweder das Startgebiet mit der Genauigkeit 1b und das Zielgebiet mit der Genauigkeit 2c auswerten oder das Startgebiet mit der Genauigkeit 1c und das Zielgebiet mit der Genauigkeit 2a. Für k = 3 können jeweils die größten Genauigkeiten, also die kleinsten Gebiete 1a, 2a ausgewertet werden. Die Genauigkeit einer Orts- oder Zeitangabe kann dabei beispielsweise durch Runden, Abrunden oder Aufrunden reduziert werden. Z.B. wird in einem x,y-Koordinatensystem der exakte Ort x = 1.045 m, y = 2.135 m mit einer durch Abrunden reduzierten Genauigkeit von 100 m zum ungefähren Ort x = 1.000 m, y = 2.100 m. Ebenso kann die Genauigkeit von Zeitpunkten reduziert werden. Die exakte Zeit 17:46 Uhr mit einer Genauigkeit von 60 min wird so durch Abrunden zur ungefähren Zeit 17:00 Uhr.
-
Um nun eine Datenerfassung mit der größtmöglichen Genauigkeit, aber unter Wahrung der gewünschten Anonymität der Daten zu ermöglichen, wird vorgeschlagen, dass in den beteiligten Geräten oder Fahrzeugen vorzugsweise die folgenden Parameter vorliegen:
- • k – die gewünschte Größe des Anonymitätssets, beispielsweise 10
- • Genauigkeitsgrade für Ortsangaben, beispielsweise 100 m, 1.000 m, 10.000 m
- • Genauigkeitsgrade für Zeitangaben, beispielsweise 1 h, 4 h, 12 h
-
Ein bevorzugtes Verfahren zur Datenermittlung besteht nun aus vier Schritten:
- 1. Schlüsselaustausch und Weitergabe
- 2. Schlüsselabgleich
- 3. Bereitstellung verschlüsselter Bewegungsinformationen („Trip-Reports“)
- 4. Abruf und Entschlüsselung der verschlüsselten Bewegungsinformationen („Trip-Reports“) durch eine zentrale Instanz
-
In sind zwei Fahrzeuge 20 sowie eine Schlüsseldatenbank 24 gezeigt. Diese tauschen z.B. über Car-2-Car-Kommunikation Schlüssel aus bzw. leiten sich untereinander Schlüssel weiter, bezeichnet mit Pfeil 21. Das Speichern und Abrufen von verschlüsseltem Schlüsselmaterial in der Schlüsseldatenbank 24 ist mit den Pfeilen 22 dargestellt.
-
zeigt neben den Fahrzeugen 20 und einer Datenbank für Bewegungsinformationen („Trip-Datenbank“) 34 noch eine zentrale Instanz 35, beispielsweise realisiert durch einen Server und einen zugeordneten Rechner. Das Speichern verschlüsselter Bewegungsinformationen („Trip-Reports“) in die Trip-Datenbank 34 ist durch Pfeile 31, der Abruf der verschlüsselten Bewegungsinformationen („Trip-Reports“) durch die zentrale Instanz durch Pfeil 32 dargestellt.
-
Ziel ist nun, dass alle Geräte oder Fahrzeuge, die sich innerhalb eines bestimmten Zeitraums innerhalb eines begrenzten Ortsbereichs als Startgebiet oder Zielgebiet befunden haben, einen gemeinsamen Schlüssel besitzen, den niemand sonst kennt.
-
Dieser orts- und zeitspezifische Schlüssel wird vorzugsweise jeweils bei Beginn und Ende einer Bewegung (z.B. einer Fahrt) für jede Kombination vorher festgelegter zeitlicher und örtlicher Genauigkeitsgrade erzeugt. Beispielsweise kann es einen Schlüssel geben für „Stuttgart Mitte, Umkreis 100 m, 9–10 Uhr“, einen zweiten für „Stuttgart Mitte, Umkreis 1.000 m, 8–12 Uhr“, einen dritten für „Stuttgart Mitte, Umkreis 10.000 m, 0–12 Uhr“, und so weiter.
-
Hierfür müssen der Beginn und das Ende einer Bewegung bzw. einer Fahrt bestimmt sein. Der Beginn kann dabei z.B. durch den Start einer Zielführung einer Navigation bestimmt sein (z.B. über eine Navigationssoftware auf einem Gerät oder über ein Navigationsgerät in einem Fahrzeug). Für den Schlüsselaustausch am Ende der Bewegung bzw. der Fahrt sollte bekannt sein, welchen Zielbereich das Fahrzeug hat und wann das Fahrzeug sich dem Zielbereich nähert. Diese Information kann beispielsweise ebenfalls von der Navigationssoftware oder vom Navigationsgerät kommen, insbesondere durch das eingegebene Ziel.
-
Alternativ können das Startgebiet bzw. das Zielgebiet durch ein Starten bzw. Abschalten des Geräts oder Fahrzeugs oder durch ein Starten bzw. Abschalten eines Computerprogramms auf dem Gerät oder Fahrzeugs festgelegt werden.
-
Die Schlüssel werden dann vorzugsweise wie folgt unabhängig für jede Kombination von Genauigkeitsgraden etabliert:
-
Wenn sich zwei Geräte oder Fahrzeuge in Kommunikationsreichweite befinden (z.B. zwei Fahrzeuge in Car-2-Car-Funkreichweite), tauschen sie die bisher empfangenen Schlüssel aus. Falls noch keine Schlüssel für einen Austausch vorhanden sind, wird ein neuer Schlüssel erzeugt. Schlüssel werden nur bei Start und Ende einer Bewegung bzw. einer Fahrt etabliert und weitergegeben, z.B. Schlüssel mit Genauigkeit 1.000 m und 4 h also nur innerhalb von 1.000 m Umkreis des Starts bzw. des Ziels und nur solange die aktuelle Zeit innerhalb der auf 4h gerundeten Startzeit bzw. voraussichtlichen Ankunftszeit liegt.
-
Da es vorkommen kann, dass mehrere Schlüssel für eine Parameterkombination (bspw. 01.01.2015 8–12 Uhr, Stuttgart Mitte, Umkreis 1.000 m) ausgetauscht wurden, wird vorgeschlagenen, einen maßgeblichen Schlüssel zu ermitteln. Dazu speichern in einer bevorzugten Ausgestaltung die beteiligten Geräte oder Fahrzeuge alle Schlüssel für Parameterkombination, die sie empfangen haben, verschlüsselt mit jeweils allen anderen dieser Schlüssel in der Schlüsseldatenbank. Danach rufen sie die Schlüssel ab, die sie selbst noch nicht gespeichert haben, die aber mit einem Schlüssel verschlüsselt wurden, den sie bereits besitzen. Das Speichern und Abrufen kann ggf. wiederholt werden, da nach dem Hinzufügen neuer Schlüssel ja nun wieder neue Schlüssel gespeichert und abgerufen werden können. Nach der Phase werden die Schlüssel z.B. lexikographisch sortiert. Der erste Schlüssel ist der maßgebliche Schlüssel.
-
Der Schlüsselaustausch zwischen den Geräten oder Fahrzeugen kann auch ohne Schlüsseldatenbank jeweils bilateral erfolgen. Mit einer Schlüsseldatenbank ist allerdings einfacher gewährleistet, dass jedes Fahrzeug in dem entsprechenden Gebiet jeden ausgemachten, relevanten Schlüssel kennt.
-
In der Schlüsseldatenbank werden vorzugsweise nur die verschlüsselten Schlüssel und die IDs verschlüsselnder und verschlüsselter Schlüssel gespeichert, aber keine Orts- oder Zeitinformationen. Damit stellt die Schlüsseldatenbank kein Risiko für den Schutz der Bewegungsinformationen dar.
-
Nach dem Ende einer Bewegung oder Fahrt wird für jede Kombination von orts- und zeitspezifischen Schlüsseln des Start- und Zielpunkts bzw. -bereichs ein Bericht mit Bewegungsinformationen („Trip-Report“) erstellt. Beispielsweise „Start: Stuttgart Mitte, Umkreis 100m, 9–10 Uhr; Ziel: München, Umkreis 100m, 10–11 Uhr“, „Start: Stuttgart Mitte, Umkreis 100m, 9–10 Uhr; Ziel: München, Umkreis 1.000m, 8–12 Uhr“, „Start: Stuttgart Mitte, Umkreis 1.000m, 8–12 Uhr; Ziel: München, Umkreis 1.000m, 8–12 Uhr“, usw.
-
Dabei werden die Bewegungsinformationen bzw. der Trip-Report durch die Geräte oder Fahrzeuge verschlüsselt. Sind beispielsweise s1 und s2 die Schlüssel des Start- bzw. Zielorts, so kann ein Schlüssel s0 = h(s1||s2) mit einer kryptographischen Hashfunktion h aus den Schlüsseln s1 und s2 erzeugt werden und die Bewegungsinformationen bzw. der Trip-Report (bestehend z.B. aus: Startort in der jeweiligen Auflösung, Zielort in der jeweiligen Auflösung, Beobachtungszeitraum in der jeweiligen Auflösung) können mit s0 verschlüsselt werden.
-
Die gespeicherten Bewegungsinformationen sollen nun von jedem Gerät oder Fahrzeug derart verschlüsselt werden und mit Schlüsselinformationen bereit gestellt werden, dass eine Entschlüsselung durch einen Dritten nur erfolgen kann, wenn dieser über eine bestimmte, vorgegebene Zahl k an Schlüsselinformationen zu den gleichen Schlüsseln gehören. Entsprechend gibt es k gespeicherte, verschlüsselte Bewegungsinformationen, welche gleiche Parameter wie gleicher Startbereich mit gleicher Genauigkeit und gleicher Zielbereich mit gleicher Genauigkeit aufweisen. Eine Entschlüsselung kann dann nur erfolgen, wenn k anhand der Bewegungsinformationen nicht unterscheidbare Geräte oder Fahrzeuge ihre Bewegungsinformationen derart verschlüsselt und mit Schlüsselinformationen zur Verfügung gestellt haben. Die erwünschte Anonymität k ist somit erreicht.
-
Dazu kann ein Teilnehmer einen Share sx zum Schlüssel s0 mit Hilfe eines Secret-Sharing Algorithmus derart bestimmen, dass s0 genau dann rekonstruiert werden kann, wenn die Shares von mindestens k Teilnehmern vorhanden sind. Der Secret-Sharing-Algorithmus kann zum Beispiel aufbauen auf Shamir’s Secret Sharing (Adi Shamir: How to share a secret, Communications of the ACM. 22, 1979, S. 612–613.):
- • Erzeuge k Koeffizienten ai = h(i||s0). Sei f(x) = s0 + Σ k / i=1aixi mod p (p ist eine Primzahl).
- • Erzeuge xr zufällig und berechne yr = f(xr). Das Share sx ist (xr, yr).
- • s0 kann nun aus k verschiedenen Shares berechnet werden, indem f(x) rekonstruiert und f(0) berechnet wird.
-
Die verschlüsselten Bewegungsinformationen bzw. „Trip-Reports“ werden nun von den Geräten oder Fahrzeugen gemeinsam mit den Shares sx in der Datenbank für Bewegungsinformationen („Trip-Datenbank“) gespeichert, insbesondere verknüpft über eine gemeinsame ID, die beispielsweise einem Hashwert des verschlüsselten „Trip-Reports“ entspricht.
-
Schließlich kann ein Abruf der Daten durch die zentrale Instanz erfolgen, z.B. für Fahrten-Berichte von Fahrzeugen durch eine Verkehrsbehörde. Dazu können alle Bewegungsinformationen (bzw. „Trip-Reports“) aus der entsprechenden Datenbank abgerufen werden, für die mindestens k Shares sx des benötigten Schlüssels s vorhanden sind. Damit kann der Schlüssel s rekonstruiert werden und die verschlüsselten Bewegungsinformationen („Trip-Reports“) entschlüsselt werden. Wenn Berichte mehrerer Genauigkeitsgrade vorhanden sind, können beispielsweise auch nur diejenigen mit der höchsten Genauigkeit berücksichtigt werden.
-
Ein bevorzugter Gesamtablauf eines Verfahrens zum Erfassung von Bewegungsinformationen soll an einem weiteren Beispiel für Bewegungsinformationen über Fahrten von Fahrzeugen erläutert werden.
- • Die vorbestimmten und in den Fahrzeugen abgelegten Systemparameter seien: k = 3; Genauigkeitsgrade Ort: 100 m, 1.000 m, 10.000 m; Genauigkeitsgrade Zeit: 1 h, 4 h, 12 h.
- • 8 Fahrzeuge starten ihre Fahrt am Samstagvormittag im Raum Stuttgart, 4 davon in der Innenstadt. Bei Beginn der Fahrt werden Schlüssel für die unterschiedlichen Genauigkeitsgrade via Car-2-X Kommunikation ausgetauscht und über die Schlüsseldatenbank abgeglichen.
- • 4 von den 8 Fahrzeugen und darunter 2 von den 4 aus der Innenstadt fahren zu einer Veranstaltung nach München. Die 4 anderen Fahrzeuge haben andere Ziele und spielen keine Rolle mehr. Sie können aber zum Austausch von Schlüsseln beigetragen haben.
- • Bei Ankunft in München werden wieder Schlüssel für die unterschiedlichen Genauigkeitsgrade ausgetauscht – auch mit Fahrzeugen, deren Trips andere Startpunkte hatten – und über die Schlüsseldatenbank abgeglichen.
- • Die Fahrzeuge erzeugen Trip-Reports für alle Genauigkeitsgrade und speichern sie mit den Shares der verwendeten Schlüssel in der Trip-Datenbank.
- • Die Verkehrsbehörde fragt die Datenbank ab: Für die höchste Granularität (Start: Stuttgart Innenstadt, Umkreis 100 m, 9–10 Uhr; Ziel: München, Umkreis 100 m, 10–11 Uhr) existieren z.B. nur 2 Shares des verwendeten Schlüssel. Deshalb kann der Report nicht entschlüsselt werden (und die Verkehrsbehörde erfährt nicht, dass 2 der Fahrer in der Stuttgarter Innenstadt gestartet sind). Für die Granularität (Start: Stuttgart, Umkreis 1.000 m, 9–10 Uhr; Ziel: München, Umkreis 100 m, 10–11 Uhr) existieren jedoch z.B. 4 Shares, sodass der Schlüssel rekonstruiert und der Report entschlüsselt werden kann.
-
Die Kommunikation zwischen den Geräten oder Fahrzeugen und den zentralen Datenbanken erfolgt vorzugsweise über einen anonymen Kommunikationskanal, beispielsweise über TOR. Damit wird sichergestellt, dass die Datenschutzeigenschaften des Verfahrens nicht durch das Aufzeichnen von Kommunikationsidentifizierern (z.B. IP-Adressen) beeinträchtigt werden können. Die Kommunikation zwischen Geräten oder Fahrzeugen zum Austausch und der Weitergabe erfolgt vorzugsweise verschlüsselt, z.B. mit einem per Diffie-Hellman ausgetauschten Sitzungsschlüssel. Damit wird verhindert, dass Unbeteiligte, die sich in Funkreichweite befinden, Kenntnis über die Schlüssel erlangen.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
-
Zitierte Nicht-Patentliteratur
-
- L. Sweeney, "k-anonymity: A model for protecting privacy," International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, vol. 10, no. 5, pp. 557–570, 2002 [0007]
- M. Gruteser and D. Grunwald, "Anonymous usage of location-based services through spatial and temporal cloaking," in Proceedings of the 1st international conference on Mobile systems, applications and services, 2003 [0007]
- Adi Shamir: How to share a secret, Communications of the ACM. 22, 1979, S. 612–613 [0043]