DE102015216414A1 - Verfahren zur Erfassung von Bewegungsinformationen - Google Patents

Verfahren zur Erfassung von Bewegungsinformationen Download PDF

Info

Publication number
DE102015216414A1
DE102015216414A1 DE102015216414.4A DE102015216414A DE102015216414A1 DE 102015216414 A1 DE102015216414 A1 DE 102015216414A1 DE 102015216414 A DE102015216414 A DE 102015216414A DE 102015216414 A1 DE102015216414 A1 DE 102015216414A1
Authority
DE
Germany
Prior art keywords
vehicle
area
information
data
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102015216414.4A
Other languages
English (en)
Inventor
Hans LOEHR
David Foerster
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102015216414.4A priority Critical patent/DE102015216414A1/de
Publication of DE102015216414A1 publication Critical patent/DE102015216414A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W4/046
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Traffic Control Systems (AREA)

Abstract

Vorgestellt wird ein Verfahren zur Erfassung von Informationen über eine Bewegung eines ersten Geräts oder Fahrzeugs (20) von einem Startgebiet zu einem Zielgebiet. Dabei tauscht das erste Gerät oder Fahrzeug (20) in dem Startgebiet mit mindestens einem zweiten Gerät oder Fahrzeug (20), das sich in dem Startgebiet befindet, mindestens einen ersten Schlüssel aus (21) und tauscht in dem Zielgebiet mit mindestens einem dritten Gerät oder Fahrzeug (20), das sich in dem Zielgebiet befinden, mindestens einen zweiten Schlüssel aus (21). Weiterhin verschlüsselt das erste Gerät oder Fahrzeug (20) erste Informationen über die Bewegung, insbesondere über das Startgebiet und das Zielgebiet der Bewegung, unter Verwendung des ersten Schlüssels und des zweiten Schlüssels und speichert diese gemeinsam mit zweiten Informationen über die Verschlüsselung ab, so dass die verschlüsselten ersten Informationen nur mithilfe einer festgelegten Anzahl weiterer Informationen über die Verschlüsselung entschlüsselt werden können.

Description

  • Die Erfassung von Verkehrsaufkommen und Verkehrsflüssen ist ein wichtiges Instrument zur Steuerung von aktueller und Planung von zukünftiger Verkehrsinfrastruktur. Mit der Verbreitung von Smartphones und dem Aufkommen von „Connected Cars“ ist die Erfassung von Verkehrsflüssen mit zuvor nicht dagewesener Präzision möglich, da die Daten von sehr vielen Teilnehmern erfasst werden können.
  • Bei der Erfassung von Verkehrsdaten sollten Datenschutzanforderungen berücksichtigt werden, da aus den Daten Bewegungsprofile erstellt und persönliche Präferenzen der Fahrer abgeleitet werden können. Beispielsweise kann aus Bewegungsdaten auf die Teilnahme an einer politischen Veranstaltung und daraus auf eine bestimmte politische Einstellung geschlossen werden.
  • Bei der Analyse von Verkehrsdaten ist zum einen die lokale Auslastung von Straßenabschnitten relevant, etwa zur Umleitung bei Stau. Diese Informationen können anonym erfasst werden, sodass in der Regel nicht ohne Weiteres Rückschlüsse auf die beitragenden Fahrer möglich sind. Lokale Verkehrsdichten können mittels „Floating Car Data“ (FCD) erfasst werden, die z.B. von Mobiltelefonen oder Navigationsgeräten übermittelt werden. Weiterhin werden die Daten von Mobilfunkanbietern verwendet, ohne dass die Geräte explizit Daten zur Verfügung stellen müssen.
  • Zur makroskopischen Verkehrsplanung sind aber auch Informationen über Start- und Zielpunkte der Fahrten relevant. Beispielhafte Fragestellungen, die im Hinblick auf eine solche Verkehrsplanung analysiert werden können, sind: „Aus welchen Stadtteilen/Vororten pendeln die Mitarbeiter zum zentralen Firmenstandort?“, „Aus welchen Gebieten reisen die Teilnehmer einer Großveranstaltung an?“ und „Wohin fahren die Urlauber aus einem bestimmten Gebiet im Sommer in den Urlaub?“. Die dazu nötigen Informationen können Rückschlüsse auf die Fahrer zulassen, selbst wenn die Daten anonym erfasst werden. So kann eine Deanonymisierung von Bewegungsdaten möglich sein, z.B. könnte die Identität einer Person aus Start- und Zieldaten einer Fahrt abzuleiten sein, z.B. zwischen ihrem Arbeits- und Wohnort. Aber auch für Daten über einzelne Aufenthaltsorte eines Geräts oder Fahrzeugs ist ein zuverlässigerer Datenschutz wünschenswert.
  • Start-/Zielpaare einer Fahrt können als „Origin-Destination Matrix“ (OD-Matrix) dargestellt werden. Ein Verfahren zur automatischen Erfassung von Verkehrsdaten ist z.B. der WO 2007031370 A2 zu entnehmen.
  • Ein Vorgehen, um auch für solche Daten die Privatsphäre der Fahrer zuverlässig zu schützen, ist die Reduktion der Genauigkeit von Orts- und Zeitdaten, sodass übermittelte Daten nicht mehr einem Fahrer zugeordnet werden können. Als Kriterium, wie stark die Genauigkeit der Daten reduziert werden muss, kann der Begriff der „k-Anonymität“ verwendet werden. Ein Fahrer ist „k-anonym“, wenn mindestens k – 1 andere Fahrer dieselben Daten übermitteln, wie er selbst. Der Fahrer könnte somit mit k – 1 anderen Fahrern verwechselt werden und taucht gewissermaßen in der Menge an k Fahrer mit dem gleichen Profil unter.
  • Das Kriterium der k-Anonymität ist beispielsweise bekannt aus, L. Sweeney, "k-anonymity: A model for protecting privacy," International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, vol. 10, no. 5, pp. 557–570, 2002. Die Reduktion der Genauigkeit von Orts- und Zeitangaben, um eine vorgegebene k-Anonymität zu erreichen, ist ebenfalls bekannt, beispielsweise aus M. Gruteser and D. Grunwald, "Anonymous usage of location-based services through spatial and temporal cloaking," in Proceedings of the 1st international conference on Mobile systems, applications and services, 2003.
  • Offenbarung der Erfindung
  • Die Erfindung betrifft Verfahren gemäß dem unabhängigen Verfahrensanspruch sowie Geräte oder Fahrzeuge, die dazu eingerichtet sind, eines der Verfahren durchzuführen. Des Weiteren betrifft die Erfindung ein Computerprogramm, das dazu eingerichtet ist, eines der Verfahren durchzuführen.
  • Informationen über den Aufenthaltsort oder die Bewegungen von Geräten oder Fahrzeugen aus Startgebieten in Zielgebiete sollen erfasst werden. Für die Erfassung von Informationen über den Aufenthaltsort findet ein Schlüsselaustausch zwischen sich in einem bestimmten Gebiet befindlichen Geräten oder Fahrzeugen statt. Für die Erfassung von Informationen über eine Bewegung finden insbesondere ein Schlüsselaustausch zwischen sich in einem bestimmten Startgebiet und ein Schlüsselaustausch zwischen sich in einem bestimmten Zielgebiet befindlichen Geräten oder Fahrzeugen statt. Mithilfe der ausgetauschten Schlüssel werden die Aufenthaltsinformationen oder die Bewegungsinformationen (insbesondere Informationen über das Startgebiet und das Zielgebiet) verschlüsselt. Es werden derart Informationen über die verwendeten Schlüssel der Verschlüsselung erstellt und bereitgestellt, dass eine vorbestimmte Anzahl solcher Verschlüsselungsinformationen nötig ist, um die Aufenthaltsinformationen oder die Bewegungsinformationen zu entschlüsseln.
  • Das ermöglicht eine besonders datenschutzfreundliche Erfassung von Aufenthaltsinformationen oder Bewegungsinformationen wie z.B. Verkehrsflussdaten (insbesondere Origin-Destination- bzw. Herkunfts-Ziel-Matrizen). Die Daten können einer abfragenden Stelle (z.B. einer Verkehrsbehörde) zur Verfügung gestellt werden, diese kann die Daten aber nur entschlüsseln, falls eine der vorbestimmten Anzahl an Verschlüsselungsinformationen entsprechende Anonymität gewährleistet ist (k-Anonymität der Geräte oder Fahrzeuge). Diese Anzahl k ist dabei ein vorzugebender Systemparameter und kann im Vorfeld frei gewählt werden.
  • Eine dritte Instanz hat zu keinem Zeitpunkt des Systembetriebs Zugriff auf die exakten Daten, das vorgestellte Verfahren kommt somit ohne eine zentrale, vertrauenswürdige Komponente aus. Die Datenbanken in bevorzugten Ausführungsformen der beschriebenen Verfahren müssen nicht vertrauenswürdig sein, damit der Datenschutz gewahrt bleibt.
  • Vorzugsweise sind in den Geräten oder Fahrzeugen Daten über Start- und Zielgebiete oder deren Berechnung sowie gegebenenfalls Daten über Zeiträume und deren Berechnung abgelegt. Dabei sind die Ortsdaten und gegebenenfalls die Zeitdaten in verschiedenen Genauigkeitsstufen (z.B. verschiedenen Rundungsgenauigkeiten) angegeben. Die Geräte können dann für jede Kombination aus Startgebiet-Genauigkeit (bzw. -Größe), Zielgebiet-Genauigkeit (bzw. -Größe) und Zeitraum-Genauigkeit (bzw. -Länge) einen Schlüsselaustausch durchführen. Sie stellen ebenso Informationen über Start-, Zielorte und -zeitpunkte in verschiedener Genauigkeit, jeweils verschlüsselt, bereit, z.B. in einer zentralen Datenbank. Sobald mindestens k Datensätze für eine jeweilige Genauigkeitskombination vorhanden sind, können diese entschlüsselt werden. Dazu können beispielsweise orts- und zeitspezifische Schlüssel ausgetauscht werden und mittels eines Secret-Sharing-Verfahrens entsprechende Schlüsselinformationen berechnet werden und bereit gestellt werden.
  • Ein Vorteil eines solchen Verfahrens ist, dass die Genauigkeit der Daten nur so stark reduziert wird, wie es nötig ist, um die gewünschte k-Anonymität zu wahren. Z.B. können Fahrstrecken, die stark frequentiert und deshalb für besonderes Interesse für die Verkehrsplanung sind, mit einer (relativ) hohen Genauigkeit erfasst werden.
  • Strenge Datenschutzeigenschaften können die Attraktivität derartiger Verfahren und damit deren Benutzerakzeptanz steigern. Eine höhere Anzahl an Benutzern kann wiederum die insgesamt erzielte Datenqualität steigern.
  • Zeichnungen
  • Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
  • 1 schematisch Geräte oder Fahrzeuge in einem Start- und einem Zielgebiet, wobei das Start- und das Zielgebiet in jeweils drei Genauigkeitsstufen dargestellt sind,
  • 2 schematisch einen Datenaustausch von zwei Fahrzeugen untereinander und von den Fahrzeugen mit einer dritten Einheit, z.B. einer Schlüsseldatenbank sowie
  • 3 schematisch einen Datenaustausch von zwei Fahrzeugen mit einer dritten Einheit, z.B. einer Schlüsseldatenbank, und den Datenaustausch der Einheit mit einer vierten Einheit, die z.B. Daten aus der Datenbank abfragt. Beschreibung der Ausführungsbeispiele
  • Zur datenschutzfreundlichen Erfassung von Informationen über den Aufenthalt eines Geräts oder Fahrzeugs in einem bestimmten Gebiet oder über die Bewegung eines Geräts oder Fahrzeugs aus einem Startgebiet in ein Zielgebiet ist es wünschenswert, die Genauigkeit von Ortspunkten bzw. Start- und Zielpunkten auf Gebiete so weit zu reduzieren (und damit die Größe der betrachteten Start- und Zielgebiete so weit zu erhöhen), dass innerhalb des Betrachtungszeitraums mindestens eine vorgegebene Anzahl k an Geräten oder Fahrzeugen in einem bestimmten Gebiet detektiert werden bzw, von einem bestimmten Startgebiet in ein bestimmtes Zielgebiet bewegt werden. Entsprechend kann auch die Genauigkeit des Betrachtungszeitraum derart reduziert werden (und damit dessen Länge), um die vorgegebene Anzahl k zu erreichen. Je nachdem, wie viele Geräte oder Fahrzeuge ähnliche Aufenthaltsorte oder Start- und Zielpunkte für eine Bewegung haben, wird die Größe der sich ergebenden Gebiete größer (wenige Geräte oder Fahrzeuge) oder kleiner (viele Geräte oder Fahrzeuge) bzw. die Länge des Betrachtungszeitraums größer (wenige Geräte oder Fahrzeuge) oder kleiner (viele Geräte oder Fahrzeuge).
  • Die Entscheidung, wie stark die Genauigkeit der Daten reduziert werden muss, kann jedoch nicht im einzelnen Gerät oder Fahrzeug separat getroffen werden, da dazu Informationen über die Aufenthaltsorte oder Bewegungen anderer Geräte oder Fahrzeuge nötig sind. Die Daten könnten zwar alternativ einfach in hoher Genauigkeit an eine zentrale Stelle übermitteln, die – nachdem alle Teilnehmer ihre Daten übermittelt haben – die Reduktion der Genauigkeit der Daten derart vornimmt, dass die gewünschte Zahl k an Geräten oder Fahrzeugen mit gleichem Startgebiet und Zielgebiet erreicht wird. Allerdings entsteht dadurch das Risiko des Datenmissbrauchs durch die Stelle selbst, des Datendiebstahls oder einer anderweitigen Nutzung, die den Interessen der Benutzer der Geräte oder Fahrzeuge widerspricht.
  • Im Folgenden wird das Verfahren vorrangig anhand der bevorzugten Ausführung einer Erfassung von Informationen über eine Bewegung eines Geräts oder Fahrzeugs aus einem Start- in ein Zielgebiet beschrieben. Das Verfahren lässt sich allerdings entsprechend auch für die Erfassung von Informationen über den Aufenthaltsort eines Geräts oder Fahrzeugs in einem einzelnen bestimmten Gebiet einsetzen.
  • In 1 sind Geräte oder Fahrzeuge x, y und z als Kreise sowie das Startgebiet 1 und das Zielgebiet 2 gezeigt. Die Geräte sind dabei vorzugsweise elektronische Geräte, z.B. Mobiltelefone bzw. Smartphones, Computer etc. Die Geräte und Fahrzeuge sind insbesondere ausgestattet mit Kommunikationsmitteln zum Empfang von Daten von extern und Versenden von Daten nach extern, mit Mitteln zur Bestimmung eines Ortes, Recheneinheiten zum Verarbeiten von Daten und Rechenmitteln zur Verschlüsselung von Daten mithilfe kryptographischer Schlüssel.
  • Das Startgebiet 1 ist in 1 unterteilt in ein Startgebiet 1a mit kleinster Größe (größter Genauigkeit), ein Startgebiet 1b mit mittlerer Größe (mittlere Genauigkeit) und ein Startgebiet 1c mit größter Größe (kleinster Genauigkeit). Ebenso ist das Zielgebiet 2 unterteilt in ein Zielgebiet 2a mit kleinster Größe (größter Genauigkeit), ein Zielgebiet 1b mit mittlerer Größe (mittlere Genauigkeit) und ein Zielgebiet 1c mit größter Größe (kleinster Genauigkeit).
  • Die Geräte oder Fahrzeuge x beginnen in einem feststehenden Betrachtungszeitraum eine Bewegung in Startgebiet 1 und beenden sie in Zielgebiet 2 (dargestellt durch Pfeile). Die Geräte oder Fahrzeuge y beginnen in dem Zeitraum eine Bewegung in Startgebiet 1, beenden sie aber woanders als in Zielgebiet 2. Die Geräte oder Fahrzeuge z beenden in dem Zeitraum eine Bewegung in Zielgebiet 2, beginnen sie aber woanders als in Startgebiet 1.
  • Nun sollen mit größtmöglicher Genauigkeit die Informationen darüber erfasst werden, wie viele Geräte oder Fahrzeuge in Startgebiet 1 ihre Bewegung begonnen haben und diese in Zielgebiet 2 beendet haben. Allerdings sollen die Genauigkeiten der Gebiete derart angepasst werden, dass mindestens k Geräte oder Fahrzeuge unter die Bedingung fallen, um die entsprechende k-Anonymität der Daten zu gewährleisten.
  • Ist die vorgegebene Anzahl k gleich 9, so kann keine Erhebung erfolgen, da insgesamt nur 8 Geräte oder Fahrzeuge x ihre Bewegung in Startgebiet 1 beginnen und Zielgebiet 2 beenden. Für die Anzahl k = 8 kann eine Erhebung nur mit der geringsten Genauigkeit (größten Größe) für das Startgebiet 1, also Gebiet 1c, sowie der geringsten Genauigkeit (größten Größe) für das Zielgebiet 2, also Gebiet 2c erfolgen. Nur für diese Genauigkeitsstufen wird k = 8 erreicht. Für k = 5 könnte man entsprechend entweder das Startgebiet mit der Genauigkeit 1b und das Zielgebiet mit der Genauigkeit 2c auswerten oder das Startgebiet mit der Genauigkeit 1c und das Zielgebiet mit der Genauigkeit 2a. Für k = 3 können jeweils die größten Genauigkeiten, also die kleinsten Gebiete 1a, 2a ausgewertet werden. Die Genauigkeit einer Orts- oder Zeitangabe kann dabei beispielsweise durch Runden, Abrunden oder Aufrunden reduziert werden. Z.B. wird in einem x,y-Koordinatensystem der exakte Ort x = 1.045 m, y = 2.135 m mit einer durch Abrunden reduzierten Genauigkeit von 100 m zum ungefähren Ort x = 1.000 m, y = 2.100 m. Ebenso kann die Genauigkeit von Zeitpunkten reduziert werden. Die exakte Zeit 17:46 Uhr mit einer Genauigkeit von 60 min wird so durch Abrunden zur ungefähren Zeit 17:00 Uhr.
  • Um nun eine Datenerfassung mit der größtmöglichen Genauigkeit, aber unter Wahrung der gewünschten Anonymität der Daten zu ermöglichen, wird vorgeschlagen, dass in den beteiligten Geräten oder Fahrzeugen vorzugsweise die folgenden Parameter vorliegen:
    • • k – die gewünschte Größe des Anonymitätssets, beispielsweise 10
    • • Genauigkeitsgrade für Ortsangaben, beispielsweise 100 m, 1.000 m, 10.000 m
    • • Genauigkeitsgrade für Zeitangaben, beispielsweise 1 h, 4 h, 12 h
  • Ein bevorzugtes Verfahren zur Datenermittlung besteht nun aus vier Schritten:
    • 1. Schlüsselaustausch und Weitergabe
    • 2. Schlüsselabgleich
    • 3. Bereitstellung verschlüsselter Bewegungsinformationen („Trip-Reports“)
    • 4. Abruf und Entschlüsselung der verschlüsselten Bewegungsinformationen („Trip-Reports“) durch eine zentrale Instanz
  • In sind zwei Fahrzeuge 20 sowie eine Schlüsseldatenbank 24 gezeigt. Diese tauschen z.B. über Car-2-Car-Kommunikation Schlüssel aus bzw. leiten sich untereinander Schlüssel weiter, bezeichnet mit Pfeil 21. Das Speichern und Abrufen von verschlüsseltem Schlüsselmaterial in der Schlüsseldatenbank 24 ist mit den Pfeilen 22 dargestellt.
  • zeigt neben den Fahrzeugen 20 und einer Datenbank für Bewegungsinformationen („Trip-Datenbank“) 34 noch eine zentrale Instanz 35, beispielsweise realisiert durch einen Server und einen zugeordneten Rechner. Das Speichern verschlüsselter Bewegungsinformationen („Trip-Reports“) in die Trip-Datenbank 34 ist durch Pfeile 31, der Abruf der verschlüsselten Bewegungsinformationen („Trip-Reports“) durch die zentrale Instanz durch Pfeil 32 dargestellt.
  • Ziel ist nun, dass alle Geräte oder Fahrzeuge, die sich innerhalb eines bestimmten Zeitraums innerhalb eines begrenzten Ortsbereichs als Startgebiet oder Zielgebiet befunden haben, einen gemeinsamen Schlüssel besitzen, den niemand sonst kennt.
  • Dieser orts- und zeitspezifische Schlüssel wird vorzugsweise jeweils bei Beginn und Ende einer Bewegung (z.B. einer Fahrt) für jede Kombination vorher festgelegter zeitlicher und örtlicher Genauigkeitsgrade erzeugt. Beispielsweise kann es einen Schlüssel geben für „Stuttgart Mitte, Umkreis 100 m, 9–10 Uhr“, einen zweiten für „Stuttgart Mitte, Umkreis 1.000 m, 8–12 Uhr“, einen dritten für „Stuttgart Mitte, Umkreis 10.000 m, 0–12 Uhr“, und so weiter.
  • Hierfür müssen der Beginn und das Ende einer Bewegung bzw. einer Fahrt bestimmt sein. Der Beginn kann dabei z.B. durch den Start einer Zielführung einer Navigation bestimmt sein (z.B. über eine Navigationssoftware auf einem Gerät oder über ein Navigationsgerät in einem Fahrzeug). Für den Schlüsselaustausch am Ende der Bewegung bzw. der Fahrt sollte bekannt sein, welchen Zielbereich das Fahrzeug hat und wann das Fahrzeug sich dem Zielbereich nähert. Diese Information kann beispielsweise ebenfalls von der Navigationssoftware oder vom Navigationsgerät kommen, insbesondere durch das eingegebene Ziel.
  • Alternativ können das Startgebiet bzw. das Zielgebiet durch ein Starten bzw. Abschalten des Geräts oder Fahrzeugs oder durch ein Starten bzw. Abschalten eines Computerprogramms auf dem Gerät oder Fahrzeugs festgelegt werden.
  • Die Schlüssel werden dann vorzugsweise wie folgt unabhängig für jede Kombination von Genauigkeitsgraden etabliert:
  • Wenn sich zwei Geräte oder Fahrzeuge in Kommunikationsreichweite befinden (z.B. zwei Fahrzeuge in Car-2-Car-Funkreichweite), tauschen sie die bisher empfangenen Schlüssel aus. Falls noch keine Schlüssel für einen Austausch vorhanden sind, wird ein neuer Schlüssel erzeugt. Schlüssel werden nur bei Start und Ende einer Bewegung bzw. einer Fahrt etabliert und weitergegeben, z.B. Schlüssel mit Genauigkeit 1.000 m und 4 h also nur innerhalb von 1.000 m Umkreis des Starts bzw. des Ziels und nur solange die aktuelle Zeit innerhalb der auf 4h gerundeten Startzeit bzw. voraussichtlichen Ankunftszeit liegt.
  • Da es vorkommen kann, dass mehrere Schlüssel für eine Parameterkombination (bspw. 01.01.2015 8–12 Uhr, Stuttgart Mitte, Umkreis 1.000 m) ausgetauscht wurden, wird vorgeschlagenen, einen maßgeblichen Schlüssel zu ermitteln. Dazu speichern in einer bevorzugten Ausgestaltung die beteiligten Geräte oder Fahrzeuge alle Schlüssel für Parameterkombination, die sie empfangen haben, verschlüsselt mit jeweils allen anderen dieser Schlüssel in der Schlüsseldatenbank. Danach rufen sie die Schlüssel ab, die sie selbst noch nicht gespeichert haben, die aber mit einem Schlüssel verschlüsselt wurden, den sie bereits besitzen. Das Speichern und Abrufen kann ggf. wiederholt werden, da nach dem Hinzufügen neuer Schlüssel ja nun wieder neue Schlüssel gespeichert und abgerufen werden können. Nach der Phase werden die Schlüssel z.B. lexikographisch sortiert. Der erste Schlüssel ist der maßgebliche Schlüssel.
  • Der Schlüsselaustausch zwischen den Geräten oder Fahrzeugen kann auch ohne Schlüsseldatenbank jeweils bilateral erfolgen. Mit einer Schlüsseldatenbank ist allerdings einfacher gewährleistet, dass jedes Fahrzeug in dem entsprechenden Gebiet jeden ausgemachten, relevanten Schlüssel kennt.
  • In der Schlüsseldatenbank werden vorzugsweise nur die verschlüsselten Schlüssel und die IDs verschlüsselnder und verschlüsselter Schlüssel gespeichert, aber keine Orts- oder Zeitinformationen. Damit stellt die Schlüsseldatenbank kein Risiko für den Schutz der Bewegungsinformationen dar.
  • Nach dem Ende einer Bewegung oder Fahrt wird für jede Kombination von orts- und zeitspezifischen Schlüsseln des Start- und Zielpunkts bzw. -bereichs ein Bericht mit Bewegungsinformationen („Trip-Report“) erstellt. Beispielsweise „Start: Stuttgart Mitte, Umkreis 100m, 9–10 Uhr; Ziel: München, Umkreis 100m, 10–11 Uhr“, „Start: Stuttgart Mitte, Umkreis 100m, 9–10 Uhr; Ziel: München, Umkreis 1.000m, 8–12 Uhr“, „Start: Stuttgart Mitte, Umkreis 1.000m, 8–12 Uhr; Ziel: München, Umkreis 1.000m, 8–12 Uhr“, usw.
  • Dabei werden die Bewegungsinformationen bzw. der Trip-Report durch die Geräte oder Fahrzeuge verschlüsselt. Sind beispielsweise s1 und s2 die Schlüssel des Start- bzw. Zielorts, so kann ein Schlüssel s0 = h(s1||s2) mit einer kryptographischen Hashfunktion h aus den Schlüsseln s1 und s2 erzeugt werden und die Bewegungsinformationen bzw. der Trip-Report (bestehend z.B. aus: Startort in der jeweiligen Auflösung, Zielort in der jeweiligen Auflösung, Beobachtungszeitraum in der jeweiligen Auflösung) können mit s0 verschlüsselt werden.
  • Die gespeicherten Bewegungsinformationen sollen nun von jedem Gerät oder Fahrzeug derart verschlüsselt werden und mit Schlüsselinformationen bereit gestellt werden, dass eine Entschlüsselung durch einen Dritten nur erfolgen kann, wenn dieser über eine bestimmte, vorgegebene Zahl k an Schlüsselinformationen zu den gleichen Schlüsseln gehören. Entsprechend gibt es k gespeicherte, verschlüsselte Bewegungsinformationen, welche gleiche Parameter wie gleicher Startbereich mit gleicher Genauigkeit und gleicher Zielbereich mit gleicher Genauigkeit aufweisen. Eine Entschlüsselung kann dann nur erfolgen, wenn k anhand der Bewegungsinformationen nicht unterscheidbare Geräte oder Fahrzeuge ihre Bewegungsinformationen derart verschlüsselt und mit Schlüsselinformationen zur Verfügung gestellt haben. Die erwünschte Anonymität k ist somit erreicht.
  • Dazu kann ein Teilnehmer einen Share sx zum Schlüssel s0 mit Hilfe eines Secret-Sharing Algorithmus derart bestimmen, dass s0 genau dann rekonstruiert werden kann, wenn die Shares von mindestens k Teilnehmern vorhanden sind. Der Secret-Sharing-Algorithmus kann zum Beispiel aufbauen auf Shamir’s Secret Sharing (Adi Shamir: How to share a secret, Communications of the ACM. 22, 1979, S. 612–613.):
    • • Erzeuge k Koeffizienten ai = h(i||s0). Sei f(x) = s0 + Σ k / i=1aixi mod p (p ist eine Primzahl).
    • • Erzeuge xr zufällig und berechne yr = f(xr). Das Share sx ist (xr, yr).
    • • s0 kann nun aus k verschiedenen Shares berechnet werden, indem f(x) rekonstruiert und f(0) berechnet wird.
  • Die verschlüsselten Bewegungsinformationen bzw. „Trip-Reports“ werden nun von den Geräten oder Fahrzeugen gemeinsam mit den Shares sx in der Datenbank für Bewegungsinformationen („Trip-Datenbank“) gespeichert, insbesondere verknüpft über eine gemeinsame ID, die beispielsweise einem Hashwert des verschlüsselten „Trip-Reports“ entspricht.
  • Schließlich kann ein Abruf der Daten durch die zentrale Instanz erfolgen, z.B. für Fahrten-Berichte von Fahrzeugen durch eine Verkehrsbehörde. Dazu können alle Bewegungsinformationen (bzw. „Trip-Reports“) aus der entsprechenden Datenbank abgerufen werden, für die mindestens k Shares sx des benötigten Schlüssels s vorhanden sind. Damit kann der Schlüssel s rekonstruiert werden und die verschlüsselten Bewegungsinformationen („Trip-Reports“) entschlüsselt werden. Wenn Berichte mehrerer Genauigkeitsgrade vorhanden sind, können beispielsweise auch nur diejenigen mit der höchsten Genauigkeit berücksichtigt werden.
  • Ein bevorzugter Gesamtablauf eines Verfahrens zum Erfassung von Bewegungsinformationen soll an einem weiteren Beispiel für Bewegungsinformationen über Fahrten von Fahrzeugen erläutert werden.
    • • Die vorbestimmten und in den Fahrzeugen abgelegten Systemparameter seien: k = 3; Genauigkeitsgrade Ort: 100 m, 1.000 m, 10.000 m; Genauigkeitsgrade Zeit: 1 h, 4 h, 12 h.
    • • 8 Fahrzeuge starten ihre Fahrt am Samstagvormittag im Raum Stuttgart, 4 davon in der Innenstadt. Bei Beginn der Fahrt werden Schlüssel für die unterschiedlichen Genauigkeitsgrade via Car-2-X Kommunikation ausgetauscht und über die Schlüsseldatenbank abgeglichen.
    • • 4 von den 8 Fahrzeugen und darunter 2 von den 4 aus der Innenstadt fahren zu einer Veranstaltung nach München. Die 4 anderen Fahrzeuge haben andere Ziele und spielen keine Rolle mehr. Sie können aber zum Austausch von Schlüsseln beigetragen haben.
    • • Bei Ankunft in München werden wieder Schlüssel für die unterschiedlichen Genauigkeitsgrade ausgetauscht – auch mit Fahrzeugen, deren Trips andere Startpunkte hatten – und über die Schlüsseldatenbank abgeglichen.
    • • Die Fahrzeuge erzeugen Trip-Reports für alle Genauigkeitsgrade und speichern sie mit den Shares der verwendeten Schlüssel in der Trip-Datenbank.
    • • Die Verkehrsbehörde fragt die Datenbank ab: Für die höchste Granularität (Start: Stuttgart Innenstadt, Umkreis 100 m, 9–10 Uhr; Ziel: München, Umkreis 100 m, 10–11 Uhr) existieren z.B. nur 2 Shares des verwendeten Schlüssel. Deshalb kann der Report nicht entschlüsselt werden (und die Verkehrsbehörde erfährt nicht, dass 2 der Fahrer in der Stuttgarter Innenstadt gestartet sind). Für die Granularität (Start: Stuttgart, Umkreis 1.000 m, 9–10 Uhr; Ziel: München, Umkreis 100 m, 10–11 Uhr) existieren jedoch z.B. 4 Shares, sodass der Schlüssel rekonstruiert und der Report entschlüsselt werden kann.
  • Die Kommunikation zwischen den Geräten oder Fahrzeugen und den zentralen Datenbanken erfolgt vorzugsweise über einen anonymen Kommunikationskanal, beispielsweise über TOR. Damit wird sichergestellt, dass die Datenschutzeigenschaften des Verfahrens nicht durch das Aufzeichnen von Kommunikationsidentifizierern (z.B. IP-Adressen) beeinträchtigt werden können. Die Kommunikation zwischen Geräten oder Fahrzeugen zum Austausch und der Weitergabe erfolgt vorzugsweise verschlüsselt, z.B. mit einem per Diffie-Hellman ausgetauschten Sitzungsschlüssel. Damit wird verhindert, dass Unbeteiligte, die sich in Funkreichweite befinden, Kenntnis über die Schlüssel erlangen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2007031370 A2 [0005]
  • Zitierte Nicht-Patentliteratur
    • L. Sweeney, "k-anonymity: A model for protecting privacy," International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, vol. 10, no. 5, pp. 557–570, 2002 [0007]
    • M. Gruteser and D. Grunwald, "Anonymous usage of location-based services through spatial and temporal cloaking," in Proceedings of the 1st international conference on Mobile systems, applications and services, 2003 [0007]
    • Adi Shamir: How to share a secret, Communications of the ACM. 22, 1979, S. 612–613 [0043]

Claims (28)

  1. Verfahren zur Erfassung von Informationen über eine Bewegung eines ersten Geräts oder Fahrzeugs (20) von einem Startgebiet zu einem Zielgebiet, dadurch gekennzeichnet, dass das erste Gerät oder Fahrzeug (20) in dem Startgebiet mit mindestens einem zweiten Gerät oder Fahrzeug (20), das sich in dem Startgebiet befindet, mindestens einen ersten Schlüssel austauscht (21), dass das erste Gerät oder Fahrzeug (20) in dem Zielgebiet mit mindestens einem dritten Gerät oder Fahrzeug (20), das sich in dem Zielgebiet befinden, mindestens einen zweiten Schlüssel austauscht (21) und dass das erste Gerät oder Fahrzeug (20) erste Informationen über die Bewegung, insbesondere über das Startgebiet und das Zielgebiet der Bewegung, unter Verwendung des ersten Schlüssels und des zweiten Schlüssels verschlüsselt und gemeinsam mit zweiten Informationen über die Verschlüsselung abspeichert, so dass die verschlüsselten ersten Informationen nur mithilfe einer festgelegten Anzahl (k) weiterer Informationen über die Verschlüsselung entschlüsselt werden können.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das erste Gerät oder Fahrzeug (20) die verschlüsselten ersten Informationen versendet (31) oder zum Auslesen bereit stellt.
  3. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die weiteren Informationen von weiteren Geräten oder Fahrzeugen (20) stammen, die sich aus dem gleichen Startgebiet wie das erste Gerät oder Fahrzeug (20) in das gleiche Zielgebiet wie das erste Gerät oder Fahrzeug (20) bewegen.
  4. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass in dem ersten Gerät oder Fahrzeug (20) erste Daten über Gebiete und Gebietsgrenzen oder Berechnungsvorschriften für das Berechnen von Gebieten abgelegt sind und das erste Gerät oder Fahrzeug (20) das Startgebiet und das Zielgebiet anhand der ersten Daten bestimmt.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die ersten Daten Genauigkeitsstufen für die Größen der Gebiete aufweisen.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass für das Startgebiet und für das Zielgebiet für jeweils mindestens zwei Ortsgenauigkeitsstufen jeweils der Schlüsselaustausch mit den anderen Geräten oder Fahrzeugen stattfindet und dass für jede Kombination aus Startgebietsgenauigkeit und Zielgebietsgenauigkeit die entsprechenden ersten Informationen verschlüsselt werden.
  7. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Startgebiet durch den Beginn einer Start-Ziel-Führung eines Navigationsprogramms festgelegt wird.
  8. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass das Startgebiet durch ein Starten des ersten Geräts oder Fahrzeugs (20) oder durch ein Starten eines Computerprogramms auf dem ersten Gerät oder Fahrzeug (20) festgelegt wird.
  9. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass ein Erreichen des Zielgebietes anhand einer Zielvorgabe in einem Navigationsprogramm erkannt wird.
  10. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass ein Erreichen des Zielgebiets durch ein Abschalten des ersten Geräts oder Fahrzeugs (20) oder durch eine Beendigung eines Computerprogramms auf dem ersten Gerät oder Fahrzeug (20) erkannt wird.
  11. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass ein Erreichen des Zielgebiets immer erkannt wird, wenn das erste Gerät oder Fahrzeug (20) nach dem Startgebiet in ein neues Gebiet wechselt.
  12. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass für den zwischen dem ersten Gerät oder Fahrzeug (20) und dem zweiten Gerät oder Fahrzeug (20) in dem Startgebiet ausgetauschten ersten Schlüssel erste Zeitinformationen erfasst werden, so dass der erste Schlüssel mindestens einem ersten Zeitabschnitt zugeordnet werden kann und dass für den zwischen dem ersten Gerät oder Fahrzeug (20) und dem dritten Gerät oder Fahrzeug (20) in dem Zielgebiet ausgetauschten ersten Schlüssel zweite Zeitinformationen erfasst werden, so dass der zweite Schlüssel mindestens einem zweiten Zeitabschnitt zugeordnet werden kann.
  13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dadurch gekennzeichnet, dass in dem ersten Gerät oder Fahrzeug (20) zweite Daten über Zeitabschnitte oder Berechnungsvorschriften für das Berechnen von Zeitabschnitten abgelegt sind und das erste Gerät oder Fahrzeug (20) den mindestens einen ersten Zeitabschnitt und den mindestens einen zweiten Zeitabschnitt anhand der zweiten Daten bestimmt.
  14. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die zweiten Daten Genauigkeitsstufen für die Länge der Zeitabschnitte aufweisen.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass für das Startgebiet und für das Zielgebiet für jeweils mindestens zwei festgelegte Genauigkeitsstufen für die Länge der Zeitabschnitte jeweils der Schlüsselaustausch mit den anderen Geräten oder Fahrzeugen (20) stattfindet und dass für jede Kombination aus Startgebiet, Zielgebiet und Genauigkeitsstufe für die Länge der Zeitabschnitte die entsprechenden ersten Informationen verschlüsselt werden.
  16. Verfahren zur Erfassung von Informationen über einen Aufenthalt eines ersten Geräts oder Fahrzeugs (20) in einem Gebiet, dadurch gekennzeichnet, dass das erste Gerät oder Fahrzeug (20) in dem Gebiet mit mindestens einem zweiten Gerät oder Fahrzeug (20), das sich in dem Gebiet befindet, mindestens einen ersten Schlüssel austauscht (21) und dass das erste Gerät oder Fahrzeug (20) erste Informationen über den Aufenthalt, insbesondere über das Gebiet, unter Verwendung des ersten Schlüssels verschlüsselt und gemeinsam mit zweiten Informationen über die Verschlüsselung abspeichert, so dass die verschlüsselten ersten Informationen nur mithilfe einer festgelegten Anzahl (k) weiterer Informationen über die Verschlüsselung entschlüsselt werden können.
  17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass das erste Gerät oder Fahrzeug (20) die verschlüsselten ersten Informationen versendet (31) oder zum Auslesen bereit stellt.
  18. Verfahren nach einem Ansprüche 16 und 17, dadurch gekennzeichnet, dass die weiteren Informationen von weiteren Geräten oder Fahrzeugen (20) stammen, die sich in dem Gebiet aufhalten.
  19. Verfahren nach einem Ansprüche 16 bis 18, dadurch gekennzeichnet, dass in dem ersten Gerät oder Fahrzeug (20) erste Daten über Gebiete und Gebietsgrenzen oder Berechnungsvorschriften für das Berechnen von Gebieten abgelegt sind und das erste Gerät oder Fahrzeug (20) das Gebiet anhand der ersten Daten bestimmt.
  20. Verfahren nach Anspruch 19, dadurch gekennzeichnet, dass die ersten Daten Genauigkeitsstufen für die Größen der Gebiete aufweisen.
  21. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass für das Gebiet für jeweils mindestens zwei Ortsgenauigkeitsstufen jeweils der Schlüsselaustausch mit den anderen Geräten oder Fahrzeugen stattfindet und dass für jede Ortsgenauigkeitsstufe die entsprechenden ersten Informationen verschlüsselt werden.
  22. Verfahren nach einem Ansprüche 16 bis 21, dadurch gekennzeichnet, dass für den zwischen dem ersten Gerät oder Fahrzeug (20) und dem zweiten Gerät oder Fahrzeug (20) in dem Gebiet ausgetauschten ersten Schlüssel erste Zeitinformationen erfasst werden, so dass der erste Schlüssel mindestens einem ersten Zeitabschnitt zugeordnet werden.
  23. Verfahren nach Anspruch 22, dadurch gekennzeichnet, dadurch gekennzeichnet, dass in dem ersten Gerät oder Fahrzeug (20) zweite Daten über Zeitabschnitte oder Berechnungsvorschriften für das Berechnen von Zeitabschnitten abgelegt sind und das erste Gerät oder Fahrzeug (20) den mindestens einen ersten Zeitabschnitt und den mindestens einen zweiten Zeitabschnitt anhand der zweiten Daten bestimmt.
  24. Verfahren nach Anspruch 19, dadurch gekennzeichnet, dass die zweiten Daten Genauigkeitsstufen für die Länge der Zeitabschnitte aufweisen.
  25. Verfahren nach Anspruch 24, dadurch gekennzeichnet, dass für das Gebiet für mindestens zwei festgelegte Genauigkeitsstufen für die Länge der Zeitabschnitte jeweils der Schlüsselaustausch mit den anderen Geräten oder Fahrzeugen (20) stattfindet und dass für jede Kombination aus Gebiet und Genauigkeitsstufe für die Länge der Zeitabschnitte die entsprechenden ersten Informationen verschlüsselt werden.
  26. Computerprogramm, welches dazu eingerichtet ist, die Schritte eines Verfahrens nach einem der Ansprüche 1 bis 25 durchzuführen.
  27. Gerät oder Fahrzeug mit einem elektronischen Datenträger, auf welchem ein Computerprogramm nach Anspruch 26 gespeichert ist.
  28. Gerät oder Fahrzeug nach Anspruch 27 umfassend Kommunikationsmittel zum Empfang von Daten von extern und Versenden von Daten nach extern, Mittel zur Bestimmung eines Ortes, Recheneinheiten zum Verarbeiten von Daten sowie Rechenmittel zur Verschlüsselung von Daten mithilfe kryptographischer Schlüssel.
DE102015216414.4A 2015-08-27 2015-08-27 Verfahren zur Erfassung von Bewegungsinformationen Pending DE102015216414A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015216414.4A DE102015216414A1 (de) 2015-08-27 2015-08-27 Verfahren zur Erfassung von Bewegungsinformationen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015216414.4A DE102015216414A1 (de) 2015-08-27 2015-08-27 Verfahren zur Erfassung von Bewegungsinformationen

Publications (1)

Publication Number Publication Date
DE102015216414A1 true DE102015216414A1 (de) 2017-03-02

Family

ID=58010847

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015216414.4A Pending DE102015216414A1 (de) 2015-08-27 2015-08-27 Verfahren zur Erfassung von Bewegungsinformationen

Country Status (1)

Country Link
DE (1) DE102015216414A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019209485A1 (de) * 2019-06-28 2020-12-31 Volkswagen Aktiengesellschaft Verfahren, Computerprogramm und Vorrichtung zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten
DE102019209711A1 (de) * 2019-07-02 2021-01-07 Volkswagen Aktiengesellschaft Verfahren, Computerprogramm und Vorrichtung zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten, sowie zum Bereitstellen von Parametern für eine solche Verarbeitung
WO2023030627A1 (en) 2021-09-02 2023-03-09 Volkswagen Aktiengesellschaft Methods, vehicles, and systems for exchanging information between vehicles and a vehicle-external communication system
US12026282B2 (en) 2019-07-02 2024-07-02 Volkswagen Aktiengesellschaft Method, computer program, and device for processing data recorded by a motor vehicle, and for providing parameters for such processing

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007031370A2 (de) 2005-09-14 2007-03-22 Siemens Aktiengesellschaft Verfahren zur automatischen ermittlung von verkehrsnachfragedaten sowie ein empfangsgerät und ein verkehrssteuerungssystem zur durchführung des verfahrens

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007031370A2 (de) 2005-09-14 2007-03-22 Siemens Aktiengesellschaft Verfahren zur automatischen ermittlung von verkehrsnachfragedaten sowie ein empfangsgerät und ein verkehrssteuerungssystem zur durchführung des verfahrens

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Adi Shamir: How to share a secret, Communications of the ACM. 22, 1979, S. 612–613
L. Sweeney, "k-anonymity: A model for protecting privacy," International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, vol. 10, no. 5, pp. 557–570, 2002
M. Gruteser and D. Grunwald, "Anonymous usage of location-based services through spatial and temporal cloaking," in Proceedings of the 1st international conference on Mobile systems, applications and services, 2003

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019209485A1 (de) * 2019-06-28 2020-12-31 Volkswagen Aktiengesellschaft Verfahren, Computerprogramm und Vorrichtung zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten
CN114008694A (zh) * 2019-06-28 2022-02-01 大众汽车股份公司 用于处理通过机动车探测到的数据的方法、计算机程序和设备
DE102019209711A1 (de) * 2019-07-02 2021-01-07 Volkswagen Aktiengesellschaft Verfahren, Computerprogramm und Vorrichtung zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten, sowie zum Bereitstellen von Parametern für eine solche Verarbeitung
WO2021001207A1 (de) 2019-07-02 2021-01-07 Volkswagen Aktiengesellschaft Verfahren, computerprogramm und vorrichtung zur verarbeitung von durch ein kraftfahrzeug erfassten daten, sowie zum bereitstellen von parametern für eine solche verarbeitung
CN114097011A (zh) * 2019-07-02 2022-02-25 大众汽车股份公司 用于处理通过机动车探测到的数据以及用于提供用于这种处理的参数的方法、计算机程序和设备
CN114097011B (zh) * 2019-07-02 2024-05-24 大众汽车股份公司 用于处理通过机动车探测到的数据以及用于提供用于这种处理的参数的方法、计算机程序和设备
US12026282B2 (en) 2019-07-02 2024-07-02 Volkswagen Aktiengesellschaft Method, computer program, and device for processing data recorded by a motor vehicle, and for providing parameters for such processing
WO2023030627A1 (en) 2021-09-02 2023-03-09 Volkswagen Aktiengesellschaft Methods, vehicles, and systems for exchanging information between vehicles and a vehicle-external communication system

Similar Documents

Publication Publication Date Title
US11914676B2 (en) Monitoring and correcting the obfuscation of vehicle related data
DE69830709T2 (de) Integritätsschutz in einem telekommunikationssystem
EP2389641B1 (de) Einrichtung zur generierung eines virtuellen netzgängers
DE102012223468A1 (de) Ermitteln eines üblichen Startpunkts, eines üblichen Zielpunkts und einer üblichen Route aus einem Netzdatensatz
DE102016202659B3 (de) Verfahren und Vorrichtung zur Bereitstellung von aufgezeichneten, anonymisierten Routen
EP3782132B1 (de) Verfahren zum anonymisierten übermitteln von sensordaten eines fahrzeugs an eine fahrzeugexterne empfangseinheit sowie ein anonymisierungssystem und ein kraftfahrzeug
DE102015216414A1 (de) Verfahren zur Erfassung von Bewegungsinformationen
DE602004000214T2 (de) Verfahren zum Überwachen des Verkehrsflusses mobiler Nutzer
DE60304146T2 (de) Verfahren, Ortungsagent, verteiltes Ortungssytem und Computer Softwareprodukt zur Koordinierung von positionsabhängigen Informationen, Diensten und Aufgaben
DE102021132317A1 (de) Teilen von daten zwischen verschiedenen dienstanbietern auf edge-ebene durch kollaborationskanäle
EP1245019B1 (de) Verfahren zur ermittlung von verkehrsinformationen sowie zentrale und endgerät
DE112016006810T5 (de) Fahrzeugbordeinrichtung, Bodendaten-Managementeinrichtung, Boden-zu-Fahrzeug-Kommunikationssicherheitssystem und Boden-zu-Fahrzeugkommunikationsverfahren
EP1921588A2 (de) System zur Verkehrserfassung
DE102004056724B4 (de) Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz
DE102018104971A1 (de) Ein system und verfahren zum optimieren eines fahrzeugfuhrparks
DE102022002975A1 (de) Verfahren zur Anonymisierung von Positionsdaten eines Kraftwagens
DE10225033A1 (de) Verfahren zur Gewinnung von Verkehrsinformationen, wie Stau, Verkehrsdichte oder Geschwindigkeit
EP3238196B1 (de) Verfahren und system zur förderung umweltfreundlicher verkehrsmittel
DE102021003610A1 (de) Verfahren zur Absicherung der Kommunikation
DE102020122894A1 (de) Bereitstellung von Daten eines Kraftfahrzeugs
DE102021109517A1 (de) Blockchain-basiertes system für vernetzte fahrzeuge
DE102020006571A1 (de) Verfahren zur Übermittlung von Fahrzeugdaten an einen Dienstanbieter
EP2503518A1 (de) Verfahren zum Validieren einer Mauttransaktion
DE60204096T2 (de) Bereitstellung von standortabhängigen Diensten für einen Teilnehmer
EP1339247B1 (de) Verfahren zum Erzeugen von Informationsdaten für mobile Nutzer eines Informations-Übertragungssystems

Legal Events

Date Code Title Description
R012 Request for examination validly filed