DE102021001378B3 - Verfahren zur Anonymisierung von Bewegungsdaten - Google Patents

Verfahren zur Anonymisierung von Bewegungsdaten Download PDF

Info

Publication number
DE102021001378B3
DE102021001378B3 DE102021001378.6A DE102021001378A DE102021001378B3 DE 102021001378 B3 DE102021001378 B3 DE 102021001378B3 DE 102021001378 A DE102021001378 A DE 102021001378A DE 102021001378 B3 DE102021001378 B3 DE 102021001378B3
Authority
DE
Germany
Prior art keywords
data
vehicle
data sets
vehicles
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102021001378.6A
Other languages
English (en)
Inventor
Viktor Friesen
Micha Koller
Benjamin Nepp
Hubert Rehborn
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Daimler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to DE102021001378.6A priority Critical patent/DE102021001378B3/de
Application filed by Daimler AG filed Critical Daimler AG
Priority to JP2023526193A priority patent/JP7480435B2/ja
Priority to KR1020227043603A priority patent/KR102613650B1/ko
Priority to CN202280005466.3A priority patent/CN115803795A/zh
Priority to KR1020237042705A priority patent/KR20230170993A/ko
Priority to KR1020237042706A priority patent/KR20230170994A/ko
Priority to PCT/EP2022/053292 priority patent/WO2022194459A1/de
Priority to US18/020,512 priority patent/US11775685B2/en
Application granted granted Critical
Publication of DE102021001378B3 publication Critical patent/DE102021001378B3/de
Priority to US18/235,413 priority patent/US20230394178A1/en
Priority to US18/235,411 priority patent/US20230394177A1/en
Priority to JP2024069369A priority patent/JP7559276B2/ja
Priority to JP2024069371A priority patent/JP7559277B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08GTRAFFIC CONTROL SYSTEMS
    • G08G1/00Traffic control systems for road vehicles
    • G08G1/01Detecting movement of traffic to be counted or controlled
    • G08G1/0104Measuring and analyzing of parameters relative to traffic conditions
    • G08G1/0108Measuring and analyzing of parameters relative to traffic conditions based on the source of data
    • G08G1/0112Measuring and analyzing of parameters relative to traffic conditions based on the source of data from the vehicle, e.g. floating car data [FCD]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/22Communication route or path selection, e.g. power-based or shortest path routing using selective relaying for reaching a BTS [Base Transceiver Station] or an access point

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Chemical & Material Sciences (AREA)
  • Analytical Chemistry (AREA)
  • Traffic Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Anonymisierung von Bewegungsdaten von mit einer Positionserfassungseinrichtung ausgestatteten Verkehrsteilnehmern (1, 2), welche über eine Kommunikationseinrichtung zur Übermittlung und zum Empfangen von Daten mit einem Backend-Server (3) und zu anderen Verkehrsteilnehmern (2, 1) verfügen. Das erfindungsgemäße Verfahren ist dadurch gekennzeichnet, dass Bewegungsdaten in Form von einzelnen zeit- und positionsbezogenen Datensätzen gesammelt und an den Backend-Server (3) übertragen werden, wobei die Übertragung zumindest einiger Datensätze mittelbar über wenigstens ein anderes Fahrzeug (1, 2) erfolgt, und/oder der Positions- und/oder Zeitbezug in zumindestens einigen Datensätzen vor der Übertragung verrauscht wird.

Description

  • Die Erfindung betrifft ein Verfahren zur Anonymisierung von Bewegungsdaten von mit einer Positionserfassungseinrichtung ausgestatteten Verkehrsteilnehmern, nach der im Oberbegriff von Anspruch 1 näher definierten Art.
  • Die Offenlegungsschrift DE 10 2015 217 793 A1 beschreibt eine Vorrichtung, ein Verfahren und ein Computerprogramm zum Bereitstellen von Stauinformationen über eine Fahrzeug-zu-Fahrzeug Schnittstelle. Ein Fahrzeug erfasst dabei Stauindikatoren, welche zumindest die Geschwindigkeit des Fahrzeugs und/oder von Fahrzeugen in der Umgebung des Fahrzeugs übermittelte Stauwarnungen umfassen. Die Fahrzeuge sind also in der Lage, die entsprechenden Daten untereinander auszutauschen und weiterzugeben.
  • Die US 2015/0160023 A1 beschreibt im Rahmen der Individualisierung von Verkehrsflussmeldungen eine Anonymisierung von Bewegungsdaten. Dazu werden die Daten über Dritte an den Backendserver übertragen, um die tatsächliche Herkunft der Daten zu verschleiern.
  • Daneben ist es aus dem allgemeinen Stand der Technik bekannt, dass Fahrzeuge einer Fahrzeugflotte zyklisch Daten mit einem Backend-Server, welcher beispielsweise über das Internet als Cloud-Lösung realisiert ist, austauschen. Auch dort kann dann direkt oder in einem nachgelagerten System aus den Bewegungsdaten der Fahrzeuge, welche ihre Datensätze zyklisch übertragen haben, eine aktuelle Verkehrslage rekonstruiert werden. Dies dient wiederum einer Steuerung des Verkehrsaufkommens und kann Stauinformationen und/oder Warnungen vor Stau beinhalten.
  • Typischerweise ist es so, dass bei der Übertragung der Datensätze an den Backend-Server das Fahrzeug sich entsprechend identifiziert, beispielsweise mit einem TLS-Client-Zertifikat. Die Genauigkeit der Rekonstruktion der Verkehrslage hängt dabei sowohl von der räumlichen als auch der zeitlichen Auflösung der von dem Fahrzeug übermittelten Datensätze ab.
  • Bewegungsdaten von Verkehrsteilnehmern, wie insbesondere Fahrzeugen, müssen jedoch als personenbezogene Daten betrachtet werden, die zum Beispiel seitens des Backend-Servers pseudonymisiert oder anonymisiert werden sollten. Übliche Anonymisierungsansätze wie zum Beispiel das Einbringen einer künstlichen räumlichen und/oder zeitlichen Unschärfe bzw. eines Zufallsrauschens können jedoch einen negativen Einfluss auf die seitens des Backends vorgesehene Verwendung der Datensätze haben, insbesondere im Hinblick auf die Qualität einer Rekonstruktion der Verkehrslage. Dies stellt dabei einen genauso großen Nachteil dar, wie der Verzicht auf eine Anonymisierung, um die Qualität der Rekonstruktion hoch zu halten.
  • Es ist daher die Aufgabe der hier vorliegenden Erfindung, ein Verfahren zur Anonymisierung von Bewegungsdaten gemäß dem Oberbegriff des Anspruchs 1 anzugeben, bei welchem sowohl die Anonymisierung gewährleitstet ist als auch eine hohe Qualität bei der Auswertung der Daten erzielt werden kann.
  • Erfindungsgemäß wird diese Aufgabe durch ein Verfahren mit den Merkmalen im Anspruch 1, und hier insbesondere im kennzeichnenden Teil des Anspruchs 1, gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen des erfindungsgemäßen Verfahrens ergeben sich aus den hiervon abhängigen Unteransprüchen.
  • Die Lösung entsprechend des erfindungsgemäßen Verfahrens beinhaltet im Wesentlichen zwei Ansätze, welche sowohl einzeln als auch kombiniert miteinander verwendet werden können, um eine Anonymisierung der Bewegungsdaten zu gewährleisten. Erfindungsgemäß bestehen diese Bewegungsdaten dabei zumindest aus einzelnen zeit- und positionsbezogenen Datensätzen, welche also beispielsweise aus einer mit einem Zeitstempel versehenen Position bestehen. Um sicherzustellen, dass die Übertragung an den Backend-Server von einem entsprechend autorisierten Fahrzeug der Fahrzeugflotte erfolgt ist, werden diese Daten typischerweise mit dem privaten Schlüssel des Fahrzeugs signiert, dessen Zugehörigkeit zu diesem Fahrzeug durch eine beispielsweise mitgeschicktes mit dem privaten Schlüssel korrespondierendes Zertifikat, beispielsweise ein TLS-Client-Zertifikat, nachgewiesen wird. Dies würde aber nun gewährleisten, dass in dem Backend-Server eine Zuordnung des entsprechenden Datensatzes zu dem entsprechenden Fahrzeug einfach möglich ist. Um genau dies zu verhindern, lässt sich nun die prinzipiell aus dem eingangs genannten Stand der Technik bekannte Übertragung von Daten zwischen verschiedenen Fahrzeugen nutzen, sodass die in Form der Datensätze gesammelten und an den Backend-Server zu übertragenden Bewegungsdaten so übertragen werden, dass erfindungsgemäß die Übertragung zumindest einiger Datensätze mittelbar über wenigstens ein anderes Fahrzeug erfolgt. Das andere Fahrzeug wird also als eine Art „Proxy“ genutzt, um so die tatsächliche Herkunft der Daten gegenüber dem Backend zu verschleiern, da diese Informationen dann nicht bei dem Backend-Server ankommen, sondern nur lokal bei dem anderen Fahrzeug, welches die Daten dann weiterübermittelt und damit die tatsächliche Herkunft der Daten verschleiert. Damit ist eine Anonymisierung möglich.
  • Ein weiteres Problem bei der Anonymisierung besteht darin, dass für den Fall, das dem Backend-Server eine mehr oder weniger vollständige Menge an Datensätzen von einem Fahrzeug vorliegt, der Backend-Server aus dieser Menge eine gesamte geordnete Bewegungshistorie dieses Fahrzeugs rekonstruieren kann, auch wenn die Teilstrecken gegebenenfalls unsortiert oder mit zurückgelegten Teilstrecken eines anderen Fahrzeugs vermischt sind. Der Grund hierfür ist, dass die einzelnen Teilstrecken sich aus lückenlos zeitlich/räumlich hintereinanderliegenden Datensätzen entsprechend rekonstruieren lassen, wenn diese in ihren Positionen und Zeitstempeln übereinstimmen und deswegen einem Fahrzeug eindeutig zugeordnet werden können.
  • Um dieser Problematik entgegenzutreten, kann es nun ergänzend oder alternativ zu der oben beschriebenen Lösung auch vorgesehen werden, dass der Positions- und/oder Zeitbezug in zumindest einigen Datensätzen vor der Übertragung verrauscht wird. Es wird hier also eine Ungenauigkeit eingebaut, um eine im oben beschriebenen Sinn erfolgende Sortierung der Daten, welche dann wieder Rückschlüsse auf eine Zugehörigkeit des gesamten Bewegungsprofils zu einem bestimmten Fahrzeug erlauben, zu verhindern. Die Stärke des Verrauschens muss dabei nur minimal sein, um so beispielsweise korrespondierende Zeitstempel soweit zu verrauschen, dass diese eben nicht mehr exakt übereinstimmen. Dasselbe gilt für Positionsdaten, welche beispielsweise so verrauscht werden können, dass zwar die Fahrt des Fahrzeugs auf einer bestimmten Straße, bei einer mehrspurigen Straße nicht jedoch die Fahrspur, erkennbar wird. Damit kann nicht mehr eindeutig sichergestellt werden, wie die Daten zueinander gehören, sodass auch hierdurch eine Anonymisierung möglich ist. Dennoch bleibt die Qualität der Daten mit einer relativ hohen Genauigkeit erhalten, um nach wie vor eine qualitativ gute Auswertung der Daten durch den Backend-Server in der gewünschten Art und Weise sicherzustellen. Dabei ist es in vielen Fällen zur Rekonstruktion der Verkehrslage nämlich nicht entscheidend, welches Fahrzeug in welchem exakten Zeitabschnitt an exakt welcher Stelle war, sondern es reicht vielmehr aus zu wissen, dass das Fahrzeug mit in etwa der und der Durchschnittsgeschwindigkeit auf dieser Straße fuhr, ohne dass es von Bedeutung ist, welche Spur genau genutzt worden ist etc.
  • Besonders günstig wird es nun, wenn die Anonymisierung durch eine Kombination beider Lösungsaspekte erreicht wird. Dann wird eine Rückverfolgung der Daten auf ein spezielles Fahrzeug anhand der zu dem Backend-Server übertragenen Daten nochmals schwieriger. Dies erhöht also letztlich die Qualität der Anonymisierung, ohne die Datenqualität bezüglich der Auswertung der Daten nachteilig zu beeinflussen.
  • Gemäß der Erfindung ist es ferner vorgesehen, dass alle Fahrzeuge einer mit dem Backend-Server in Verbindung stehenden Fahrzeugflotte ein gemeinsames geteiltes Fahrzeugzertifikat und einen dazugehörenden privaten Schlüssel aufweisen, wobei mit diesem privaten Schlüssel erstellte Signaturen zusammen mit den Datensätzen direkt oder über wenigstens ein anderes Fahrzeug zu dem Backend-Server übertragen werden. Dieser Austausch der Bewegungsdaten zusammen mit der Signatur, die mit Hilfe des von allen Fahrzeugen geteilten privaten Schlüssels erstellt wurde, gewährleistet seitens des Backend-Servers, dass die empfangenen Daten tatsächlich von einem Fahrzeug der Fahrzeugflotte aufgezeichnet und direkt oder mittelbar an den Backend-Server übertragen worden sind. Damit ist der Sicherheitsanforderung seitens des Backend-Servers genügt, ohne dass Signaturen und zu deren Prüfung verwendete zugehörige Zertifikate eine direkte Zuordnung des jeweiligen Datensatzes zu einem bestimmten Fahrzeug der Fahrzeugflotte möglich werden.
  • Gemäß einer außerordentlich günstigen Ausgestaltung des erfindungsgemäßen Verfahrens kann es ferner vorgesehen sein, dass das Verrauschen der Datensätze je nach Nähe zu einem Startpunkt der Strecke und/oder bei einer eingeschalteten Zielführung, beispielsweise eines Navigationssystems, zu einem geplanten Endpunkt der Strecke mit unterschiedlicher Stärke erfolgt. Die Stärke oder Größe des Verrauschens, also das Maß der künstlich eingefügten Unschärfe der Position und/oder Zeit in dem jeweiligen Datensatz, lässt sich also insbesondere in Abhängigkeit von Startpunkten und potenziellen Endpunkten einer Strecke anpassen. Da vor allem die Startpunkte und die Endpunkte hinsichtlich des Datenschutzes schutzbedürftiger sind als Punkte, auf denen das Fahrzeug unterwegs ist, gilt für diese eine besonders hohe Schutzfunktion. Deshalb kann es entsprechend vorgesehen sein, dass im Bereich der Startpunkte und Endpunkte, beispielsweise in einem entsprechenden Radius von einigen Kilometern oder einer entsprechenden Zykluszeit von einigen Zyklen, das Verrauschen stärker erfolgt als in den anderen Bereichen, sodass zwar in diesen Bereichen die Qualität gegebenenfalls sinkt, insgesamt jedoch durch das stärkere Verrauschen im Bereich dieser besonders „privaten“ Punkte eine verbesserte Datenschutzfunktion erzielt werden kann.
  • Gemäß einer außerordentlich günstigen Weiterbildung dieser Variante des erfindungsgemäßen Verfahrens kann es sogar vorgesehen sein, dass Datensätze zu Positionen wie dem Startpunkt und bei einer aktiven Zielführung eines Navigationssystems dem Endpunkt nicht an den Backend-Server übertragen werden sowie insbesondere auch in räumlicher Nähe zu dem Startpunkt und/oder Endpunkt erfasste Datensätze nicht übertragen werden. Damit wird also der Schutz des Startpunkts und des Endpunkts einer Strecke, welche gegebenenfalls besonders treffende Rückschlüsse auf das spezifische Fahrzeug und insbesondere die das Fahrzeug nutzenden Personen geben könnte, noch weiter verbessert.
  • Im Falle der Kombination der beiden Varianten, also im Falle des Verrauschens und der Übermittlung zumindest einiger Datensätze über wenigstens ein anderes Fahrzeug, kann es gemäß einer außerordentlich günstigen Weiterbildung der Idee auch vorgesehen sein, dass die Art und die Stärke des Verrauschens in Abstimmung zwischen den beteiligten Fahrzeugen erfolgt. Eine solche Abstimmung der Art des Verrauschens ist insbesondere bei einer Begegnung von Fahrzeugen dann sinnvoll, wenn diese Begegnung zum Austausch von Datensätzen, welche dann das jeweils andere Fahrzeug an den Backend-Server weitergibt, genutzt wird. Insbesondere in solchen Punkten kann dann durch ein vorübergehend etwas stärkeres Verrauschen eine verbesserte Anonymisierung erzielt werden.
  • Gemäß einer außerordentlich günstigen Weiterbildung hiervon kann es bei einer entsprechenden Variante des erfindungsgemäßen Verfahrens auch vorgesehen sein, dass die Datensätze zu Positionen, bei denen sich Fahrzeuge begegnen und die Datensätze von einem zum anderen Fahrzeug übertragen, dementsprechend mit einem stärkeren Verrauschen versehen werden als sonstige Datensätze. Somit werden also die unmittelbar vor und nach dem Tausch liegenden Datensätze stärker verrauscht, so dass die Position und Zeit des Tauschs besser verschleiert werden kann.
  • Für den Fall der Übermittlung einiger Datensätze über wenigstens ein anderes Fahrzeug, bei dem die Fahrzeuge die Datensätze also tauschen, kann es entsprechend vorgesehen sein, dass die Fahrzeuge die Datensätze tauschen und dabei die zum jeweils anderen Fahrzeug versandten Datensätze löschen und die eigene Strecke auf Basis der eingetauschten fremden Datensätze fortschreiben. Damit kann erreicht werden, dass ein Fahrzeug, welches eigentlich von einem Startpunkt A zu einem Endpunkt D unterwegs ist und dazwischen in einem Punkt C dem anderen Fahrzeug begegnet, gegenüber dem Backend-Server so wirkt, als würde es von B welcher eigentlich der Startpunkt des anderen Fahrzeugs ist, nach C und dann von C zum Endpunkt D fahren. Dessen Fahrstrecke vom Punkt B zum Punkt C und dann weiter zum Punkt E wird dahingegen so verfälscht, dass für den Backend-Server eine Fahrt vom Punkt A dem Startpunkt des ersten Fahrzeugs über den Punkt C zum Punkt E vorgetäuscht wird. Auch dies dient nun der verbesserten Anonymisierung der Daten und reduziert gleichzeitig die Anzahl der zu übermittelten Daten, da jedes Fahrzeug nun nicht mehr mehrere eigene und fremde Datensätze übermitteln muss, sondern nur die fremden Datensätze, welche noch nicht übermittelt waren, bis zum Zeitpunkt der Begegnung mit dem anderen Fahrzeug und ab dort wieder die eigenen Datensätze, gegebenenfalls bis zur Begegnung mit einem dritten Fahrzeug, usw.
  • Gemäß dieser besonders günstigen Ausgestaltung des erfindungsgemäßen Verfahrens kann es dann vorgesehen sein, dass der Tausch oder die Übernahme von Daten zwischen Fahrzeugen dann erfolgt, wenn diese in zeitlich und/oder räumlicher Nähe zueinander sind. Dies kann einerseits über die Übertragungstechnik der Fahrzeug-zu-Fahrzeug-Kommunikation sichergestellt werden, als auch durch die entsprechenden Positionsdaten. Fahren die Fahrzeuge beispielsweise benachbart auf einer mehrspurigen Straße, kann ein entsprechender Austausch erfolgen, um so einerseits eine einfache Kommunikation möglich zu machen und andererseits trotz des Austauschs der Daten und der damit erzielten Anonymisierung die Datenqualität beim Backend-Server entsprechend hoch zu halten.
  • Eine sehr günstige Ausgestaltung des erfindungsgemäßen Verfahrens kann es nun außerdem vorsehen, dass die Übermittlung der Datensätze anhand einer vorgegebenen parametriesierbaren Zeit und/oder Anzahl von Datensätzen erfolgt. So kann beispielsweise eine Zykluszeit vorgegeben sein, sodass alle 60 Sekunden die Daten entsprechend übertragen werden, oder es kann eine Übertragung beispielsweise nach jeweils 10 bis 20 gesammelten Datensätzen erfolgen.
  • Gemäß einer außerordentlich günstigen Ausgestaltung des erfindungsgemäßen Verfahrens kann es auch vorgesehen sein, dass die anonymisierten Bewegungsdaten als solche gekennzeichnet werden. Der Backend-Server kann dann über entsprechende Markierungen erkennen, dass er hier seine Auswertungen und Rekonstruktionen auf Basis von anonymisierten Daten vornimmt, was gegebenenfalls zu einer veränderten Interpretation der Datenlage führen kann oder muss, weil es eventuell entscheidend sein kann zu wissen, dass einzelne Teilstrecken aber nicht die gesamte Strecke von dem gleichen Fahrzeug gefahren worden ist, beispielsweise wenn für den jeweiligen Fahrzeugtyp spezifische Daten, die Geschwindigkeitsprofile oder dergleichen eine Berücksichtigung finden sollen.
  • Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens ergeben sich auch anhand des Ausführungsbeispiels, welches nachfolgend unter Bezugnahme auf die Figur näher dargestellt ist.
  • Die einzige beigefügte Figur zeigt dabei ein Streckenschema von zwei einfachen aus jeweils drei Wegpunkten bestehenden Strecken, welche von zwei unterschiedlichen Fahrzeugen befahren werden.
  • Beispielsweise kann es nun so sein, dass eines der beiden in der Figur dargestellten Fahrzeuge 1, 2 seine Bewegungsdaten als Folge von Positionsdatensätzen, bestehend aus einer Position und einem Zeitstempel, überträgt. Eine solche Folge könnte beispielsweise die Form ((Position 1, Zeitstempel 1), (Position 2, Zeitstempel 2), (Position 3, Zeitstempel 3), ...) vorsehen. Diese Datensätze werden entsprechend zum Backend-Server 3, welcher rein beispielhaft als Cloud dargestellt ist, übertragen. Anschließend gewinnt der Backend-Server 3 die für ihn wertvollen Informationen, beispielsweise die zeitlich-räumliche durchschnittliche Geschwindigkeit des Fahrzeugs 1, 2 aus den einzelnen durch zwei nachfolgende Positionsdatensätze beschriebenen Teilstrecken.
  • Dabei ist zu beachten, dass ein isolierter Datensatz in der oben beschriebenen Form für eine Verkehrsanalyse weitgehend wertlos ist, da er lediglich aussagt, dass sich zum Zeitpunkt des Zeitstempels an der genannten Position ein Fahrzeug 1, 2 befunden hat. Am wertvollsten für den Backend-Server 3 sind also Folgen von möglichst lückenlosen Datensätzen, welche idealerweise im Gegensatz zu einer unsortierten Menge von Teilstrecken bereits entsprechend vorsortiert sind und so schnell und mit geringem Aufwand von dem Backend-Server 3 verarbeitet werden können. Grundsätzlich ist dabei der Informationsgehalt unabhängig von der Sortierung gleich, da die gleichen Informationen rekonstruiert werden können, allerdings ist der Rechenaufwand für den Fall der unsortierten Datensätze entsprechend größer.
  • Somit ist die vom Backend 3 präferierte Form der Übertragung die (lückenlose) Folge von Positionsdatensätzen, die alle zum selben Fahrzeug 1, 2 gehören. Dieses ist aber auch die am wenigsten anonyme Form der erfassten Fahrzeugbewegungsdaten, denn aus dieser Folge kann die gesamte Bewegungshistorie des Fahrzeugs 1, 2 direkt abgeleitet werden.
  • Generell wird bei der Übertragung von Positionsdatensätzen die Anonymität auf zweierlei Weise verletzt.
    1. 1. Zum einen werden die Positionsdatensätze von den Fahrzeugen 1, 2 selbst an das Backend 3 übertragen. Damit sichergestellt werden kann, dass nur Daten von vertrauenswürdigen Quellen an das Backend 3 übertragen werden, müssen sich die Fahrzeuge 1, 2 vor der Übertragung am Backend 3 authentifizieren, beispielsweise mittels individueller Zertifikate und TLS. Auf diese Weise weiß das Backend 3 immer, mit welchem Fahrzeug 1, 2 es kommuniziert und dadurch auch, von welchem Fahrzeug es die jeweiligen Positionsdatensätze erhalten hat.
    2. 2. Liegt dem Backend 3 eine (mehr oder weniger) vollständige (gegebenenfalls unsortierte) Menge von einem Fahrzeug 1. 2 zurückgelegten Teilstrecken vor, so kann das Backend 3 aus dieser Menge die (mehr oder weniger) gesamte geordnete Bewegungshistorie dieses Fahrzeugs rekonstruieren, auch wenn diese Teilstrecken unsortiert und ggf. mit den von anderen Fahrzeugen zurückgelegten Teilstrecken vermengt bzw. vermischt sind. Der Grund hierfür ist, dass die einzelnen Teilstrecken einer lückenlosen Bewegungshistorie eines Fahrzeugs 1, 2 aneinander in der Hinsicht anschließen bzw. zueinander „passen“, dass die Endposition bzw. der End-Zeitstempel der Vorgänger-Teilstrecke gleich der Startposition bzw. dem Start-Zeitstempel der nachfolgenden Teilstrecke ist. Da die Position (bspw. GPS-Koordinate) und der (mindestens sekundengenaue) Zeitstempel einen Raum-Zeitpunkt sehr genau identifizieren, ist die Wahrscheinlichkeit sehr gering, besser gesagt, nahezu null, dass eine andere zu einem anderen Fahrzeug gehörende Teilstrecke einen „passenden“, das heißt in der Position und im Zeitstempel vollständig identischen, Start- bzw. Endpunkt, aufweist. Somit können die „zusammengehörenden“, also zu einem Fahrzeug 1, 2 bzw. zu einer Bewegungshistorie gehörenden, Teilstrecken sogar aus einem ggf. sehr großen „unsortierten“ Pool von verschiedenen Fahrzeugen 1, 2 stammenden Teilstrecken immer identifiziert und in eine richtige Reihenfolge gebracht und damit zu einer (vollständigen) Bewegungshistorie zusammengestellt werden.
  • Eine Abhilfe gegen die erste Schwachstelle ist die Nutzung eines „Proxys“ für die Übertragung der Positionsdatensätze, indem das Fahrzeug 1, 2 seine Positionsdatensätze nicht selbst überträgt, sondern für deren Übertragung eine „Zwischenstation“ nutzt, der das Backend 3 ebenfalls vertraut, die aber die Identität des Fahrzeugs 1, 2, von dem sie die Daten entgegengenommen hat, nicht an das Backend 3 weitergibt. Insbesondere könnte ein anderes Fahrzeug 1, 2, das sich in der Nähe befindet, diese Aufgabe übernehmen und die „fremden“ Positionsdatensätze zusammen mit den eigenen Positionsdatensätzen dem Backend 3 zukommen lassen, ohne dabei deren Ursprung anzugeben. Alternativ können Teilstrecken auch zwischen den Fahrzeugen 1, 2 getauscht werden, indem von jedem Fahrzeug 1, 2 zum Teil eigene und zum Teil fremde Teilstrecken oder Teil-Bewegungshistorien übertragen werden.
  • Werden Teilstrecken nur von Fahrzeugen 1, 2 an das Backend 3 übertragen, so muss am Ende jede Teiltrecke, die das Backend 3 erreichen soll, von irgendeinem Fahrzeug 1, 2 übertragen werden. Das Ziel sollte sein, diejenigen Teilstrecken von fremden Fahrzeugen 1, 2 an das Backend 3 übertragen zu lassen, deren „nicht-Zuordenbarkeit“ zu dem diese Teilstrecke gefahrenen Fahrzeug 1, 2 den größten Beitrag zur Anonymisierung leistet. Beispielsweise kann es sinnvoll sein, eine gewisse Anzahl der ersten oder letzten Teilstrecken einer Route, also der unmittelbar nach dem Start bzw. unmittelbar vor dem Ziel gefahrenen Teilstrecken, nicht selbst zu übertragen, denn zum einen können die den Start bzw. das Ziel einer Route betreffenden Informationen besonders sensibel sein und zum anderen können diese Teil-Bewegungshistorien, da sie nur von einem Ende an die Gesamt-Bewegungshistorie angekoppelt sind, nicht mehr mit diesem diese Teil-Bewegungshistorien gefahrenen Fahrzeug 1, 2 in Verbindung gebracht werden. Auf diese Weise kann durch das Übertragen einer gewissen Anzahl der ersten bzw. letzten Teiltrecken einer Route durch ein fremdes Fahrzeug 1, 2 ein besonders hoher technischer als auch semantischer Anonymisierungseffekt erreicht werden. Im Beispiel der Figur ist es nun so, dass das Fahrzeug 1 im Startpunkt A startet und die Wegstrecke A-C-D fährt. Das Fahrzeug 2 startet im Startpunkt B und fährt die Wegstrecke B-C-E. Die Fahrzeuge 1, 2 begegnen sich also im Begegnungspunkt C, in welchem sie zeitlich und räumlich in großer Nähe zueinander sind, beispielsweise auf einer mehrspurigen Straße nebeneinander fahren. Zu diesem Zeitpunkt der großen räumlichen und zeitlichen Nähe der beiden Fahrzeuge 1, 2 zueinander tauschen diese nun ihre Daten aus. Die noch nicht übertragenen Datensätze zwischen den Punkten A und C des Fahrzeugs 1 und zwischen den Punkten B und C des Fahrzeugs 2 werden entsprechend ausgetauscht, wobei jedes Fahrzeug 1, 2 die übertragenen Daten nach der Übertragung an das andere Fahrzeug 2, 1 entsprechend löscht und dann seinen bisher angedachten Weg fortsetzt. Am Ende der Strecke liegen nun vom Fahrzeug 1 im Bereich des Backend-Servers 3 die Bewegungsdaten bezüglich der Strecke B-C-D und vom Fahrzeug 2 entsprechend die der Strecke A-C-E vor. Die Bewegungsdatenhistorie entspricht also nicht mehr der Realität und wurde gegenüber dem Backend-Server 3 entsprechend anonymisiert.
  • Eine Maßnahme gegen die zweite oben beschriebene Schwachstelle wäre ein Verrauschen der in den Teilstrecken enthaltenen Daten, indem Positionen und/oder Zeitstempel vor der Übertragung leicht aber ausreichend verändert werden, um eine Rekonstruktion der Bewegungshistorie und/oder die Zuordnung der einzelnen Teilstrecken zu einem Fahrzeug 1, 2 signifikant zu erschweren oder gar unmöglich zu machen. Das Problem dabei ist, dass die auf diesen Fahrzeugbewegungsdaten basierende anschließende Verkehrsanalyse desto bessere Ergebnisse liefert, je genauer die Daten sind. Das bedeutet, dass ein zu starkes Verrauschen die Ergebnisse der anschließenden Verkehrsanalyse ungünstig beeinflusst. Ein zu schwaches, rein symbolisches Verrauschen, das einen rein syntaktischen Abgleich von Endpunkten unmöglich macht, deren Semantik, also deren Wert, jedoch kaum beeinflusst, reicht aber nicht aus, um eine Rekonstruktion einer Bewegungshistorie und/oder eine Zuordnung einer Teilstrecke zu einem bestimmten Fahrzeug 1, 2 zu verhindern, denn es genügt in diesem Fall, statt der Prüfung auf strenge Gleichheit, ein einfaches zeitlich-räumliches Abstandsmaß für Positionsdatensätze zu verwenden, um korrespondierende unzureichend verrauschte Teilstrecken-Endpunkte trotz ihrer formalen Ungleichheit zu identifizieren und damit die jeweiligen Zuordnungen von Teilstrecken-Endpunkten vornehmen zu können.
  • Somit sollte das Ziel sein, mit dem „Verrauschen“ sparsam umzugehen und nur die Endpunkte der Teilstrecken vor der Übertragung zu verrauschen, deren Verrauschen einen überproportionalen Beitrag zur Anonymisierung leisten würde und die anderen Teilstrecken-Endpunkte unverändert an das Backend 3 zu übertragen.
  • Es wird vorgeschlagen, wie oben bereits dargestellt, im Falle einer ausreichenden räumlich-zeitlichen Nähe von zwei Fahrzeugen 1, 2, also zwei zu einem bestimmten Zeitpunkt räumlich benachbarten Fahrzeugen 1, 2, die bis dahin angefallenen aber bis dahin noch nicht zum Backend 3 übertragenen Positionsdatensätze des einen Fahrzeugs 1 an das andere Fahrzeug 2 (das Nachbarfahrzeug) zu übermitteln und diese danach zu einem unmittelbar anschließenden oder späteren Zeitpunkt von diesem anderen Fahrzeug 2 an das Backend 3 beispielsweise in Form einer (unsortierten) Menge von Teilstrecken-Daten oder in Form einer Folge von (sortierten) Positionsdatensätzen, einer Teil-Bewegungshistorie, übertragen zu lassen.
  • Insbesondere wird vorgeschlagen, im Falle von mehr als zwei räumlich-zeitlich benachbarten Fahrzeugen 1, 2, ein Fahrzeug die Positionsdatensätze von mehr als einem anderen benachbarten Fahrzeug einzusammeln und diese dann an das Backend 3 gemeinsam zu übertragen.
  • Insbesondere wird vorgeschlagen, im Falle von zwei oder mehr räumlich-zeitlich benachbarten Fahrzeugen 1, 2, die benachbarten Fahrzeuge 1, 2 ihre bis dahin angefallenen Daten untereinander tauschen zu lassen und diese fremden Daten danach zu einem unmittelbar anschließenden oder späteren Zeitpunkt an das Backend 3 gemeinsam mit den eigenen Positionsdatensätzen beispielsweise in Form einer (unsortierten) Menge von Teilstrecken-Daten oder in Form einer Folge von (sortierten) Positionsdaten zu übertragen.
  • Des Weiteren wird vorgeschlagen, bei der Entscheidung, welches Fahrzeug 1, 2 die Daten eines welchen anderen Fahrzeugs 1, 2 zum Backend 3 überträgt, die Höhe des dadurch jeweils erzielbaren Anonymisierungseffekts zu berücksichtigen, indem beispielsweise die unmittelbar nach dem Start und unmittelbar vor dem Ziel gefahrenen Teilstrecken bzw. Teil-Bewegungshistorien nach Möglichkeit von fremden Fahrzeugen 1, 2 übertragen werden.
  • Des Weiteren wird vorgeschlagen, dass die räumlich-zeitlich benachbarten Fahrzeuge 1, 2 ihre an diesem Ort und zu diesem Zeitpunkt sehr ähnlichen Positions-Zeitstempel-Daten dahingehend gemeinsam und abgestimmt verrauschen, dass vom Backend 3 nicht mehr unmittelbar erkannt werden kann, welche zukünftige Teil-Bewegungshistorie zu welcher vergangenen (an diesem räumlich-zeitlichen Punkt von einem zum anderen Fahrzeug 1, 2 übertragenen bzw. an diesem räumlich-zeitlichen Punkt unter den Fahrzeugen ausgetauschten) Teil-Bewegungshistorie passt.
  • Des Weiteren wird vorgeschlagen, dass sich alle in diesem Ort-Zeitpunkt zueinander benachbarten Fahrzeuge 1, 2 sich an diesem Verrauschen der Positionsdatensätze beteiligen, indem sie alle einen untereinander abgestimmten Positionsdatensatz (Synchronisationsdatensatz) einführen, der das Ende der jeweils vor diesem Synchronisationspunkt zurückgelegten und den Beginn der jeweils nach diesem Synchronisationspunkt zurückzulegenden Teilstrecke definiert. Auf diese Weise wird es dem Backend 3 signifikant erschwert, die zueinander korrespondierenden, also zum gleichen Fahrzeug 1, 2 gehörenden, zeitlich-räumlich vor dem Synchronisationspunkt liegenden Teil-Bewegungshistorien und die nach dem Synchronisationspunkt liegenden Teil-Bewegungshistorien zu identifizieren.
  • Es wird des Weiteren vorgeschlagen, in allen benachbarten Fahrzeugen 1, 2 den gleichen Synchronisationsdatensatz zu nutzen, und zwar einen der Synchronisationspunkte, also einen der räumlich-zeitlichen Punkte, in denen alle betrachteten Fahrzeuge 1, 2 zueinander benachbart sind. In diesem Fall kann das Backend 3 zwar schnell erkennen, dass es sich um einen Synchronisationspunkt handelt (denn es können sich nicht mehrere Fahrzeuge 1, 2 im gleichen Raum-Zeit-Punkt befinden), eine einfache direkte Zuordnung von den vor dem Synchronisationspunkt liegenden Teil-Bewegungshistorien zu den nach dem Synchronisationspunkt liegenden Teil-Bewegungshistorien ist jedoch nicht mehr möglich.
  • Alternativ wird vorgeschlagen, in den benachbarten Fahrzeugen 1, 2 in einem Synchronisationspunkt leicht verrauschte (nah beieinander legende) aber verschiedene Synchronisationsdatensätze wählen zu können, wobei die Endpunkte der letzten Teilstrecke der potentiell von einem anderen Fahrzeug 1, 2 stammenden vor dem Synchronisationsdatensatz liegenden Teil-Bewegungshistorie an diesen künstlich erzeugten Synchronisationsdatensatz angepasst werden, um dem Backend 3 eine fortlaufende konsistente von einem Fahrzeug 1, 2 stammende Bewegungshistorie vorzutäuschen. Auf diese Weise wird es dem Backend 3 erschwert, einen potentiellen Synchronisationspunkt zu erkennen. Es wird zusätzlich vorgeschlagen, die zur Gruppe der benachbarten Fahrzeuge 1, 2 gehörenden Fahrzeuge 1, 2 die bereits zurückgelegten unmittelbar vor dem Synchronisationspunkt liegenden Teil-Bewegungshistorien zuerst nach dem oben beschriebenen Prinzip der maximalen Anonymisierung oder nach dem Zufallsprinzip untereinander auszutauschen und danach die fremde Teil-Bewegungshistorie an den jeweiligen eigenen Synchronisationsdatensatz anzupassen. Überträgt ein Fahrzeug 1, 2 vor dem Synchronisationspunkt liegende Teil-Bewegungshistorien mehrerer Fahrzeuge 1, 2, so können eine oder mehrere davon mit dem Synchronisationsdatensatz abgestimmt werden.
  • Es wird des Weiteren vorgeschlagen, die Entscheidung, welches Fahrzeug 1, 2 welche Positionsdatensätze bzw. Teil-Bewegungshistorie zum Backend 3 überträgt und welche Teil-Bewegungshistorien miteinander zu Täuschungszwecken zu plausiblen Gesamt-Bewegungshistorien zusammengesetzt werden, voneinander zu entkoppeln.
  • Des Weiteren wird vorgeschlagen, mehrere Fahrzeuge 1, 2 als räumlich-zeitlich benachbart im Synchronisationspunkt (Position, Zeitstempel) anzusehen, wenn beispielsweise für vordefinierte positive Abstandswerte AbstZeit > 0 und AbstRaum > 0 für beliebige zwei Fahrzeuge 1, 2 aus der betrachteten Menge von Fahrzeugen 1, 2 ein Zeitpunkt t aus dem Zeitintervall [Zeitstempel - AbstZeit, Zeitstempel + AbstZeit] existiert, zu dem der räumliche Abstand zwischen den beiden Fahrzeugen kleiner oder gleich AbstRaum ist.

Claims (9)

  1. Verfahren zur Anonymisierung von Bewegungsdaten von mit einer Positionserfassungseinrichtung ausgestatteten Verkehrsteilnehmern (1, 2), welche über eine Kommunikationseinrichtung zur Übermittlung und zum Empfangen von Daten mit einem Backend-Server (3) und zu anderen Verkehrsteilnehmern (2, 1) verfügen, wobei Bewegungsdaten in Form von einzelnen zeit- und positionsbezogenen Datensätzen gesammelt und an den Backend-Server (3) übertragen werden, wobei die Übertragung zumindest einiger Datensätze mittelbar über wenigstens ein anderes Fahrzeug (1, 2) erfolgt, und/oder der Positions- und/oder Zeitbezug in zumindest einigen Datensätzen vor der Übertragung verrauscht wird, dadurch gekennzeichnet, dass alle Fahrzeuge (1, 2) einer mit dem Backend-Server (3) in Verbindung stehenden Fahrzeugflotte ein gemeinsames geteiltes Fahrzeugzertifikat aufweisen, wobei eine daraus erstellte Signatur zusammen mit dem Datensatz direkt oder über wenigstens ein anderes Fahrzeug (1, 2) mittelbar zu dem Backend-Server (3) übertragen wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Verrauschen von Datensätzen je nach Nähe zu einem Startpunkt der Strecke und/oder bei aktivierter Zielführung zu einem geplanten Endpunkt der Strecke mit unterschiedlicher Stärke erfolgt.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der Startpunkt und/oder Endpunkt, sowie insbesondere auch in räumlicher Nähe zu dem Startpunkt und/oder Endpunkt erfasste Datensätze, nicht an den Backend-Server (3) übertragen werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass im Falle des Verrauschens und der Übertragung zumindest einiger Datensätze mittelbar über wenigstens ein anderes Fahrzeug (1, 2) die Art und Stärke des Verrauschens in Abstimmung zwischen den beteiligten Fahrzeugen (1, 2) erfolgt.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass Datensätze zu Positionen, bei denen sich Fahrzeuge (1, 2) begegnen und Datensätze vom einen zum anderen Fahrzeug (2, 1) übertragen, mit einem stärkeren Rauschen versehen werden als Datensätze von sonstigen Positionen.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass im Falle der Übermittlung wenigstens einiger Datensätze über wenigstens ein anderes Fahrzeug (1, 2) die Fahrzeuge (1, 2) die Datensätze tauschen, die dabei versandten Datensätze löschen und die eigene Strecke auf Basis der eingetauschten fremden Datensätze fortschreiben.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Übermittlung der Datensätze zwischen Fahrzeugen (1, 2) in zeitlicher und räumlicher Nähe zueinander erfolgt.
  8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Übertragung der Datensätze an den Backend-Server (3) anhand einer vorgegebenen parametrisierbaren Zeitspanne und/oder Anzahl von Datensätzen erfolgt.
  9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass anonymisierte Bewegungsdaten als solche gekennzeichnet werden.
DE102021001378.6A 2021-03-16 2021-03-16 Verfahren zur Anonymisierung von Bewegungsdaten Active DE102021001378B3 (de)

Priority Applications (12)

Application Number Priority Date Filing Date Title
DE102021001378.6A DE102021001378B3 (de) 2021-03-16 2021-03-16 Verfahren zur Anonymisierung von Bewegungsdaten
US18/020,512 US11775685B2 (en) 2021-03-16 2022-02-10 Method for anonymizing movement data
CN202280005466.3A CN115803795A (zh) 2021-03-16 2022-02-10 用于运动数据匿名化的方法
KR1020237042705A KR20230170993A (ko) 2021-03-16 2022-02-10 이동 데이터 익명화 방법
KR1020237042706A KR20230170994A (ko) 2021-03-16 2022-02-10 이동 데이터 익명화 방법
PCT/EP2022/053292 WO2022194459A1 (de) 2021-03-16 2022-02-10 Verfahren zur anonymisierung von bewegungsdaten
JP2023526193A JP7480435B2 (ja) 2021-03-16 2022-02-10 移動データを匿名化するための方法
KR1020227043603A KR102613650B1 (ko) 2021-03-16 2022-02-10 이동 데이터 익명화 방법
US18/235,413 US20230394178A1 (en) 2021-03-16 2023-08-18 Method for anonymizing movement data
US18/235,411 US20230394177A1 (en) 2021-03-16 2023-08-18 Method for anonymizing movement data
JP2024069369A JP7559276B2 (ja) 2021-03-16 2024-04-22 移動データを匿名化するための方法
JP2024069371A JP7559277B2 (ja) 2021-03-16 2024-04-22 移動データを匿名化するための方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021001378.6A DE102021001378B3 (de) 2021-03-16 2021-03-16 Verfahren zur Anonymisierung von Bewegungsdaten

Publications (1)

Publication Number Publication Date
DE102021001378B3 true DE102021001378B3 (de) 2022-05-25

Family

ID=80685488

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021001378.6A Active DE102021001378B3 (de) 2021-03-16 2021-03-16 Verfahren zur Anonymisierung von Bewegungsdaten

Country Status (6)

Country Link
US (3) US11775685B2 (de)
JP (3) JP7480435B2 (de)
KR (3) KR20230170993A (de)
CN (1) CN115803795A (de)
DE (1) DE102021001378B3 (de)
WO (1) WO2022194459A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022002975A1 (de) 2022-08-16 2022-10-06 Mercedes-Benz Group AG Verfahren zur Anonymisierung von Positionsdaten eines Kraftwagens
DE102023000236A1 (de) 2023-01-27 2023-03-30 Mercedes-Benz Group AG Verfahren zur Anonymisierung von Positionsdaten eines Kraftfahrzeugs
DE102022001720B3 (de) 2022-05-17 2023-08-10 Mercedes-Benz Group AG Verfahren zur Anonymisierung von Fahrzeugdaten

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2622762A (en) * 2022-05-25 2024-04-03 Mercedes Benz Group Ag A method for providing an information for a first motor vehicle by a communication system as well as a corresponding communication system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150160023A1 (en) 2008-10-21 2015-06-11 Google Inc. Personalized Traffic Alerts
DE102015217793A1 (de) 2015-09-17 2017-03-23 Volkswagen Aktiengesellschaft Vorrichtung, Verfahren und Computerprogramm zum Bereitstellen von Stauinformation über eine Fahrzeug-zu-Fahrzeug-Schnittstelle

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8463289B2 (en) 2011-06-17 2013-06-11 Microsoft Corporation Depersonalizing location traces
JP2013061351A (ja) * 2012-12-03 2013-04-04 Yupiteru Corp 位置軌跡データ処理装置、及び、そのプログラム
CN103428688B (zh) * 2013-07-23 2015-12-23 浙江工商大学 车载自组织网络的连续位置服务隐私保护方法
JP6316597B2 (ja) 2014-01-14 2018-04-25 株式会社ナビタイムジャパン 情報処理サーバ、情報処理方法及び情報処理プログラム
JP6467847B2 (ja) 2014-09-30 2019-02-13 富士通株式会社 移動経路の出力制御プログラム、移動経路の出力制御方法および情報処理装置
DE102015213393B4 (de) * 2015-07-16 2022-10-20 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtung zur Anonymisierung von Positions- und Bewegungsdaten eines Kraftfahrzeugs
DE102015219783B3 (de) * 2015-10-13 2016-12-29 Volkswagen Aktiengesellschaft Verfahren und System zur Steuerung von Daten
JP6641241B2 (ja) * 2016-07-04 2020-02-05 株式会社日立製作所 情報共有システム、計算機、及び、情報共有方法
EP3667638B1 (de) * 2017-08-10 2023-10-04 Nissan Motor Co., Ltd. Verfahren zur verwaltung von fahrspurinformationen, verfahren zur fahrtsteuerung und vorrichtung zur verwaltung von fahrspurinformationen
IL276754B1 (en) * 2018-03-05 2024-07-01 Mobileye Vision Technologies Ltd Systems and methods for obtaining anonymous navigation information
US10663305B2 (en) 2018-07-16 2020-05-26 Here Global B.V. Map matched aggregation for K-anonymity in trajectory data
DE102018008730A1 (de) * 2018-11-07 2020-05-07 Audi Ag Verfahren und Vorrichtung zum Erheben von fahrzeugbasierten Datensätzen für vorgegebene Streckenabschnitte
DE102018220307B3 (de) * 2018-11-27 2020-02-20 Audi Ag Verfahren zum anonymisierten Übermitteln von Sensordaten eines Fahrzeugs an eine fahrzeugexterne Empfangseinheit sowie ein Anonymisierungssystem, ein Kraftfahrzeug und eine fahrzeugexterne Empfangseinheit
DE102019201530B3 (de) * 2019-02-06 2020-07-02 Volkswagen Aktiengesellschaft Überwachung und Korrektur der Verschleierung fahrzeugbezogener Daten
DE102019205033A1 (de) * 2019-04-09 2020-10-15 Audi Ag Verfahren zum anonymisierten Bereitstellen von Daten eines ersten Fahrzeugs für eine fahrzeugexterne Servereinrichtung sowie Anonymisierungsvorrichtung und Kraftfahrzeug
JP7215961B2 (ja) 2019-05-24 2023-01-31 日立Astemo株式会社 車載装置および捜索システム
US11386228B2 (en) * 2019-06-04 2022-07-12 GM Global Technology Operations LLC Real-time session-based anonymization and blurring of high-resolution GPS data
DE102019209226A1 (de) * 2019-06-26 2020-12-31 Volkswagen Aktiengesellschaft Verfahren, Computerprogramm und Vorrichtung zur Verarbeitung von durch ein Kraftfahrzeug erfassten Daten
DE102019209487A1 (de) * 2019-06-28 2020-12-31 Volkswagen Aktiengesellschaft Verfahren zum Anonymisieren von Fahrzeugdaten
JP7269821B2 (ja) * 2019-08-06 2023-05-09 株式会社アイシン 走行履歴出力システム、走行履歴出力プログラム
CN111967051B (zh) * 2020-08-27 2022-10-14 安徽大学 一种基于区块链的车辆间数据安全共享方法以及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150160023A1 (en) 2008-10-21 2015-06-11 Google Inc. Personalized Traffic Alerts
DE102015217793A1 (de) 2015-09-17 2017-03-23 Volkswagen Aktiengesellschaft Vorrichtung, Verfahren und Computerprogramm zum Bereitstellen von Stauinformation über eine Fahrzeug-zu-Fahrzeug-Schnittstelle

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022001720B3 (de) 2022-05-17 2023-08-10 Mercedes-Benz Group AG Verfahren zur Anonymisierung von Fahrzeugdaten
WO2023222331A1 (de) 2022-05-17 2023-11-23 Mercedes-Benz Group AG Verfahren zur anonymisierung von fahrzeugdaten
DE102022002975A1 (de) 2022-08-16 2022-10-06 Mercedes-Benz Group AG Verfahren zur Anonymisierung von Positionsdaten eines Kraftwagens
DE102023000236A1 (de) 2023-01-27 2023-03-30 Mercedes-Benz Group AG Verfahren zur Anonymisierung von Positionsdaten eines Kraftfahrzeugs

Also Published As

Publication number Publication date
US20230394177A1 (en) 2023-12-07
US11775685B2 (en) 2023-10-03
JP7480435B2 (ja) 2024-05-09
JP2023543328A (ja) 2023-10-13
US20230229807A1 (en) 2023-07-20
JP7559276B2 (ja) 2024-10-01
KR102613650B1 (ko) 2023-12-14
JP2024095838A (ja) 2024-07-10
JP2024095837A (ja) 2024-07-10
KR20230003604A (ko) 2023-01-06
JP7559277B2 (ja) 2024-10-01
KR20230170994A (ko) 2023-12-19
CN115803795A (zh) 2023-03-14
KR20230170993A (ko) 2023-12-19
WO2022194459A1 (de) 2022-09-22
US20230394178A1 (en) 2023-12-07

Similar Documents

Publication Publication Date Title
DE102021001378B3 (de) Verfahren zur Anonymisierung von Bewegungsdaten
EP3921752B1 (de) Überwachung und korrektur der verschleierung fahrzeugbezogener daten
WO2009033546A1 (de) Verfahren zur bereitstellung von fahrbetriebsdaten
DE102011106295A1 (de) Verkehrsinformationssystem, Backend-Servervorrichtung und Verfahren zum bidirektionalen Übertragen von Daten zwischen Kraftfahrzeugen und einem Dienstanbieter
WO2020120696A1 (de) Verfahren, vorrichtung und computerprogramm für ein fahrzeug
EP2201549B1 (de) Verfahren und verkehrsnachfrage-analyseeinheit zur bestimmung von quelle-ziel-nachfragedaten von verkehrsflüssen
EP2275780A2 (de) Verfahren zur Unterstützung der Bildung von Fahrgemeinschaften
DE102019100065B4 (de) Verkehrsinformationsbereitstellungssystem und Verkehrsinformationsbereitstellungsverfahren
DE102021006525B4 (de) Verfahren zur Anonymisierung von Bewegungsdaten
EP2994890B1 (de) Verfahren und vorrichtung zur bereitstellung von daten zur mauterhebung und mautsystem
EP2541502B1 (de) Verfahren zum Ermitteln von Mautgebühren in einem Straßenmautsystem
WO2020259933A1 (de) Verfahren, computerprogramm und vorrichtung zur verarbeitung von durch ein kraftfahrzeug erfassten daten
EP3446302B1 (de) Verfahren, vorrichtung und anordnung zur spurverfolgung von sich bewegenden objekten
EP1736932B1 (de) Verfahren und Anordung zum Bestimmen eines zurückgelegten Wegs eines Fahrzeugs
DE102021006526B4 (de) Verfahren zur Anonymisierung von Bewegungsdaten
WO2022106087A1 (de) Verfahren zur übertragung von daten zwischen einem fahrzeug und einer fahrzeugexternen rechnereinheit
EP4350660A1 (de) System und verfahren zur prädiktion einer zukünftigen position eines verkehrsteilnehmers
DE102022002975A1 (de) Verfahren zur Anonymisierung von Positionsdaten eines Kraftwagens
DE102018218043A1 (de) Ermittlung einer Anzahl von Fahrspuren sowie von Spurmarkierungen auf Straßenabschnitten
DE102015216414A1 (de) Verfahren zur Erfassung von Bewegungsinformationen
DE202015102311U1 (de) Vorrichtung zum Abrechnen von Mautgebühren
DE102021003610A1 (de) Verfahren zur Absicherung der Kommunikation
EP3785236B1 (de) Verfahren zum verarbeiten von umgebungsinformationen eines kraftfahrzeugs und elektronisches informationsverarbeitungssystem
EP2325806B1 (de) Verfahren zum Erzeugen von Mauttransaktionen
DE102019218078A1 (de) Bestimmung eines Sachverhalts im Umfeld eines Kraftfahrzeugs

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R130 Divisional application to

Ref document number: 102021006525

Country of ref document: DE

Ref document number: 102021006526

Country of ref document: DE

R018 Grant decision by examination section/examining division
R081 Change of applicant/patentee

Owner name: MERCEDES-BENZ GROUP AG, DE

Free format text: FORMER OWNER: DAIMLER AG, STUTTGART, DE

R020 Patent grant now final