-
Die vorliegende Erfindung betrifft ein Verfahren zum Vergebühren von Ortsnutzungen einer mobilen Station, welche fortlaufend ihre Position bestimmt und daraus Ortsnutzungsdaten erstellt, umfassend:
- Verarbeiten der Ortsnutzungsdaten anhand ortsabhängiger Nutzungsgebühren zu ortsanonymisierten Verrechnungsdaten in der Station, und
- Senden der ortsanonymisierten Verrechnungsdaten an eine Zentrale zwecks Vergebührung.
-
Derartige Verfahren werden beispielsweise in elektronischen Fahrleistungsmessungs-, Straßenmaut- oder Parkraumbewirtschaftungssystemen eingesetzt, um Ortsnutzungen wie die kilometerabhängige Benützung einer bestimmten Strecke in einem Wegenetz oder die zeitabhängige Benützung einer bestimmten Abstellfläche auf einem Parkplatz abzurechnen. Aus Datenschutz- und Vertraulichkeitsgründen werden dazu derzeit mobile Stationen mit eigener Intelligenz ("thick" Onboard-Units, OBU), eingesetzt, welche aus den ermittelten Positions- bzw. Ortsnutzungsdaten verallgemeinerte Verrechnungsdaten erzeugen, die keine detaillierten Rückschlüssen auf die Bewegungen der Station mehr zulassen, so daß die Vertraulichkeit des Bewegungsprofils des Benutzers gegenüber der Zentrale und allfälligen weiteren mit der Abrechnung betrauten Stellen gewährleistet ist. Diese Ortsanonymisierung im Verrechnungsprozeß bringt jedoch für den Benutzer auch den Nachteil mit sich, daß die Richtigkeit der Gebührenverrechnung nicht mehr schlüssig nachprüfbar ist.
-
Es wurde daher bereits vorgeschlagen, die in der mobilen Station anfallenden Ortsnutzungsdaten über eine lokale Schnittstelle an der mobilen Station dem Benutzer zugänglich zu machen, z.B. mittels einer seriellen, USB-, Bluetooth- oder WLAN-Schnittstelle. Dies erfordert jedoch die physische Nähe zur mobilen Station, was bei OBUs von Flottenfahrzeugen nicht so einfach ist, welche in der Regel nur am Wochenende in der Flottenbasis ausgelesen werden können. Auch können bei einer derart seltenen Auslesung aufgrund des begrenzten Speicherplatzes ältere Ortsnutzungsdaten verloren gehen, und überdies birgt eine lokale Schnittstelle an der mobilen Station die Gefahr von Hakkerangriffen und Manipulationsversuchen in sich, da es sich um verrechnungssensible Daten handelt.
-
Die Erfindung setzt sich zum Ziel, ein Verfahren der einleitend genannten Art zu schaffen, welches die angeführten Nachteile des Standes der Technik überwindet und hohe Transparenz des Vergebührungsprozesses mit hoher Vertraulichkeit der Benutzerbewegungsdaten verbindet.
-
Dieses Ziel wird mit einem Verfahren der einleitend genannten Art erreicht, das sich erfindungsgemäß durch die folgenden Schritte auszeichnet:
- Verschlüsseln der Ortsnutzungsdaten in der Station mit zumindest einem benutzerspezifischen Schlüssel,
- Senden der verschlüsselten Ortsnutzungsdaten an die Zentrale, und
- Zurverfügungstellen der verschlüsselten Ortsnutzungsdaten in der Zentrale zur Abfrage durch einen mit dem richtigen Schlüssel ausgestatteten Benutzer.
-
Das erfindungsgemäße Verfahren beruht auf dem neuen Ansatz, die Ortsnutzungsdaten, welche das Bewegungsprofil einer Station wiedergeben und damit eine Überprüfung der Vergebührungsgrundlagen ermöglichen, in verschlüsselter Form an die Zentrale zu senden und dort in verschlüsselter Form für Benutzerabfragen bereitzuhalten. Das Verfahren der Erfindung ermöglicht es dem Benutzer, die seiner Abrechnung zugrundeliegenden detaillierten Ortsnutzungen einzusehen, ohne daß es dazu einer lokal zugänglichen und manipulationsgefährdeten Schnittstelle an der mobilen Station bedürfte; die Abfrage kann vom Benutzer jederzeit und an einer einzigen zentralen Stelle durchgeführt werden. Nur der Benutzer selbst kennt den Schlüssel zur Entschlüsselung seiner Ortsnutzungsdaten in der Zentrale. Dadurch bleibt die volle Vertraulichkeit dieser sensiblen Benutzerdaten gegenüber dem Systembetreiber bzw. der Abrechnungsauthorität gewahrt.
-
Besonders vorteilhaft ist es, wenn die verschlüsselten Ortsnutzungsdaten von der Zentrale über eine Webschnittstelle zur Abfrage über das Internet zur Verfügung gestellt werden, sodaß der Benutzer die Überprüfung seiner Abrechnungsgrundlage auch von jedem beliebigen Ort der Welt aus durchführen kann.
-
Für die Abfrage kann der Benutzer den Schlüssel entweder direkt in die Zentrale oder über deren Web-Schnittstelle in diese eingeben, und die Entschlüsselung erfolgt direkt in der Zentrale. Eine noch höhere Vertraulichkeitsstufe wird erreicht, wenn der Benutzer von der Zentrale die verschlüsselten Ortsnutzungsdaten empfängt und diese erst in seinem Abfrageterminal entschlüsselt, in welches er den Schlüssel eingibt und welches den Schlüssel nur lokal hält, d.h. nicht an die Zentrale weitergibt.
-
Die Ortsnutzungsdaten können in der Station im Klartext abgespeichert und erst unmittelbar für das Versenden zur Zentrale verschlüsselt werden. Besonders vorteilhaft ist es jedoch, wenn die Ortsnutzungsdaten bereits in der Station nur in verschlüsselter Form abgespeichert werden, sodaß selbst eine Einsichtnahme in die mobile Station keinen Aufschluß über die Bewegungshistorie der Station gäbe.
-
Die Granularität der Ortsnutzungsdaten kann je nach den gewünschten Anforderungen beliebig gewählt werden, von "sehr fein" auf Ebene einzelner Positionen ("position fixes") bis zu "sehr grob" auf Ebene befahrener Streckenabschnitte, Kilometer pro Zeit, Verweildauer in einem Parkgebiet, Überschreiten einer Grenze, Betreten eines Gebiets usw. Demgemäß können die Ortsnutzungsdaten sowohl direkt den ermittelten Positionen ("Positionsrohdaten") der Station entsprechen als auch - bevorzugt - aus einer geographischen Zuordnung der Positionen zu Orten, Strecken oder Gebieten in einer Geodatenbank erstellt werden.
-
Gemäß einer weiteren vorteilhaften Ausführungsform der Erfindung können die verschlüsselten Ortsnutzungsdaten in einem gesonderten Bereich der Zentrale gespeichert werden, der bevorzugt von den restlichen Komponenten der Zentrale physisch getrennt ist, besonders bevorzugt als Webserver ausgegliedert. Auf diese Weise können die verschlüsselten Ortsnutzungsdaten in der Zentrale z.B. auch unter die gesonderte Verfügungsgewalt eines Dritten gestellt werden, was einerseits die Sicherheit und das Vertrauen für den Benutzer erhöhen und anderseits eine Aufteilung von Verantwortlichkeiten auf Betreiberseite ermöglichen kann.
-
Das Senden der ortsanonymisierten Verrechnungsdaten kann über jedes beliebige in der Technik bekannte Funknetz erfolgen, beispielsweise über Mobiltelephon-, WLAN- oder WAVE-Netze. Besonders bevorzugt erfolgt das Senden der ortsanonymisierten Verrechnungsdaten über ein DSRC-Netz, um die hohe Zuverlässigkeit und geschlossene Benutzergruppeneigenschaft derartiger Netze vorrangig den Verrechnungsdaten zuteil werden zu lassen.
-
Auch das Senden der verschlüsselten Ortsnutzungsdaten kann an sich über jedes beliebige in der Technik bekannte Funknetz erfolgen, beispielsweise über DSRC-, WLAN- oder WAVE-Netze. Besonders vorteilhaft ist es, wenn gemäß einem weiteren Merkmal der Erfindung das Senden der verschlüsselten Ortsnutzungsdaten über Datenpaketübermittlung in einem Mobiltelephonnetz erfolgt. Die Übertragung der Ortsnutzungsdaten zu Prüf- und Kontrollzwecken ist in der Regel niederrangig gegenüber der Verrechnungsdatenübertragung, so daß dadurch einerseits keine Ressourcen der Verrechnungsdatenkommunikation verbraucht werden und anderseits mit Datenpaketen herkömmlicher Mobiltelephonnetze das Auslangen gefunden werden kann, beispielsweise mit SMS- oder GPRS-Datentelegrammen in GMS- oder UMTS-Netzen.
-
Die mobile Station kann ihre Position nach jedem in der Technik bekannten Positionsbestimmungsverfahren ermitteln, beispielsweise durch Lokalisierung in einem Mobiltelephon-, WLAN- oder DSRC-Netz. Bevorzugt wird die Position der Station satellitengestützt bestimmt, z.B. nach dem GPS-, GLONASS-, EGNOS-, WAAS- oder GALILEO-Standard, was hohe Genauigkeit mit Autarkie verbindet. Diese Verfahren können auch landgestützte Funksysteme mitverwenden, beispielsweise zur Erhöhung der Genauigkeit oder Verbesserung der Abdeckung; der Begriff "satellitengestützt" umfaßt auch solche kombinierten Verfahren.
-
Gemäß einer ersten bevorzugten Variante des Verfahrens der Erfindung wird der Schlüssel vom Benutzer selbst in die Station eingegeben. Dieser Vorgang ist für den Benutzer sehr transparent, erfordert jedoch eine gesonderte Eingabeeinrichtung, z.B. eine Tastatur an der Station.
-
Alternativ wird der Schlüssel bevorzugt in der Station vorgespeichert und dem Benutzer mit der Station ausgehändigt, beispielsweise in einem verschlossenen Kuvert oder als "Rubbelcode".
-
Gemäß einer weiteren bevorzugten Variante kann der Schlüssel vom Benutzer in eine Programmiereinrichtung eingegeben werden, welche den Schlüssel in die Station einspeichert, was eine eigene Eingabeeinrichtung für jede Station erübrigt.
-
Eine weitere vorteilhafte Ausführungsform der Erfindung zeichnet sich dadurch aus, daß die Ortsnutzungsdaten in der Station mit verschiedenen benutzerspezifischen Schlüsseln zu verschiedenen verschlüsselten Ortsnutzungsdaten verschlüsselt werden, welche an die Zentrale für Abfragen durch jeweils mit dem richtigen Schlüssel ausgestattete Benutzer gesandt werden. Dadurch können beispielsweise unterschiedliche Schlüssel an verschiedene Arten von Benutzern verteilt werden, beispielsweise Einzelbenutzerschlüssel an die Fahrer und ein Gruppenschlüssel an den Betreiber einer Fahrzeugflotte, usw.
-
Das erfindungsgemäße Verfahren eignet sich für alle Arten von mobilen Stationen, welche zur Vergebührung von Ortsnutzungen im Rahmen eines zentralen Systems eingesetzt werden. Besonders bevorzugt ist die Station eine Onboard-Unit eines Fahrzeugs in einem Fahrleistungsmessungs-, Straßenmaut- oder Parkraumbewirtschaftungssystem.
-
Die Erfindung wird nachstehend anhand eines bevorzugten Ausführungsbeispieles unter Bezugnahme auf die begleitende Zeichnung näher erläutert, in der Fig. 1 ein Blockschaltbild der Komponenten eines satellitengestützten Straßenmaut- oder Parkraumbewirtschaftungssystems zeigt, welches nach dem Verfahren der Erfindung arbeitet.
-
In Fig. 1 ist eine mobile Station 1 ("Onboard-Unit", OBU) gezeigt, welche mit Hilfe eines GPS-Empfängers 2 fortlaufend, z.B. kontinuierlich, periodisch oder nur bei Bewegungen, die Position der Station 1 in einem (nicht gezeigten) Koordinatensystem bestimmt und als Positionsrohdaten 3 an eine Mapping-Applikation 4 übergibt. Die Positionsrohdaten 3 bestehen beispielsweise aus einer Abfolge von geographischen Längen- und Breitenkoordinaten in vorgegebenen Zeitabständen oder jeweils mit einem Zeitstempel versehen.
-
Die nachfolgend beschriebene Mapping-Applikation 4 ist optional; im einfachsten Fall kann sie entfallen und die Positionsrohdaten 3 werden direkt als Ortsnutzungsdaten 5 weiterverarbeitet.
-
Die (optionale) Mapping-Applikation 4 ordnet die Positionsrohdaten 3 vordefinierten Orten, z.B. Parkplätzen, Strecken, z.B. Autobahnabschnitten, Gebieten, z.B. Parkräumen oder Mautgebieten, Grenzen, z.B. Zutrittssperren, od.dgl. aus einer Geodatenbank 6 zu, um daraus örtlich und/oder zeitlich verallgemeinerte Ortsnutzungsdaten 5 zu erstellen. Die Ortsnutzungsdaten 5 betreffen nur mehr die für eine Vergebührung relevanten Ortsnutzungen, beispielsweise das Befahren einer bestimmten Strecke, das Abfahren einer bestimmten Streckenlänge, das Überschreiten einer bestimmten Geschwindigkeit, das Verweilen an einem bestimmten Ort, das Verweilen für eine bestimmte Zeit, das Überschreiten einer bestimmten Gebietsgrenze oder Schranke, usw. Die Ortsnutzungsdaten 5 können beispielsweise die Form einer Liste von befahrenen Streckenabschnitten oder benutzten Parkplätzen mit entsprechenden Zeitstempeln einnehmen.
-
Eine Verrechnungsapplikation 7 verarbeitet anschließend die Ortsnutzungsdaten 5 unter Verwendung ortsabhängiger Nutzungsgebühren aus einer Gebührendatenbank 8 zu ortsanonymisierten Verrechnungsdaten 9. Die ortsabhängigen Nutzungsgebühren der Gebührendatenbank 8 definieren beispielsweise eine bestimmte Gebühr für eine bestimmte Fahrleistung ("pay as you drive") oder gefahrene Wegstrecke ("Kilometergebühr"), für eine bestimmte benutzte Strecke ("Mautstreckengebühr") oder ein bestimmtes benutztes Gebiet ("Flächenmaut"), für eine bestimmte Nutzungsdauer eines Orts ("Parkgebühr"), für eine bestimmte Grenzüberschreitung ("City-Maut", "Eintrittsgebühr" usw.), od.dgl., oder beliebige Kombinationen davon.
-
Die Verrechnungsapplikation 7 ersetzt damit gleichsam die konkreten Ortsinformationen in den Ortsnutzungsdaten 5 durch Gebühreninformationen, sodaß die Verrechnungsdaten 9 keine Rückschlüsse mehr auf konkrete einzelne Ortsnutzungen zulassen, d.h. "ortsanonymisiert" sind. Optional können mehrere Ortsnutzungsdaten 5 akkumuliert in einen einzigen Verrechnungsdatensatz 9 münden, was die Bewegungshistorie der mobilen Station 1 noch weiter anonymisiert.
-
Die ortsanonymisierten Verrechnungsdaten 9 werden über eine erste Funkschnittstelle 10 der mobilen Station 1 zu einer Zentrale 11 ("central server", CS) des Systems gesendet, von wo sie an einen Verrechnungsserver 12 zur Abrechnung weitergeleitet werden können. Die Funktionen von Zentrale 11 und Verrechnungsserver 12 können auch in einer Einheit zusammengefaßt sein, oder alternativ auf mehrere vernetzte Komponenten aufgeteilt sein. Die Funkschnittstelle 10 kann von jeder in der Technik bekannten Art sein, wie bereits eingangs erörtert; bevorzugt setzt sie sich aus einer Kurzreichweiten-Funkschnittstelle ("digital short range communication", DSRC) von der Station 1 zu einem DSRC-Transponder am Straßenrand und einer anschließenden kabelgebundenen Datenleitung zur Zentrale 11 zusammen.
-
Um dem Benutzer eine Überprüfung des dargestellten Vergebührungsprozesses zu ermöglichen, ohne die Vertraulichkeit des Bewegungsprofils der Station 1 gegenüber dem Betreiber der Zentrale 11 und/oder des Verrechnungsservers 12 zu beeinträchtigen, dient der folgende Ablauf.
-
Die in der Station 1 anfallenden Ortsnutzungsdaten 5 werden in einem gesonderten Speicherbereich 13 der Station 1 gespeichert, mit einem Schlüssel 14 verschlüsselt, als verschlüsselte Ortsnutzungsdaten 15 über eine zweite Funkschnittstelle 16 an die Zentrale 11 gesandt und dort in einem gesonderten Bereich 17 gespeichert. Der Schlüssel 14 wird vom Benutzer selbst gewählt und über eine Schnittstelle 18 in die Station 1 eingegeben. Die Schnittstelle 18 ist beispielsweise eine Tastatur- und Anzeigeeinrichtung auf der mobilen Station 1.
-
Alternativ kann die Schnittstelle 18 eine von der Station 1 getrennte Programmiereinrichtung umfassen (nicht gezeigt), welche mit einer Eingabeeinrichtung ausgestattet ist, in die der Benutzer den Schlüssel 14 eingibt und welche den Schlüssel 14 über eine lokale Schnittstelle in die mobile Station 1 einspeichert.
-
Noch eine weitere Variante besteht darin, daß der Schlüssel 14 bei der Fertigung der mobilen Station 1 zufällig generiert, in die Station 1 eingespeichert und dem Benutzer zusammen mit der mobilen Station 1 z.B. in einem verschlossenen Kuvert oder als "Rubbelcode" ausgehändigt wird; auch dadurch ist gewährleistet, daß der Betreiber des Systems den Schlüssel 14 selbst nicht kennt.
-
In der Zentrale 11 werden die verschlüsselten Ortsnutzungsdaten 15 in dem Bereich 17 dem Benutzer zum Entschlüsseln mit seinem Schlüssel 14 zur Verfügung gestellt, beispielsweise über ein Abfrageterminal (nicht gezeigt) oder über eine Schnittstelle 19. Die Schnittstelle 19 ist bevorzugt eine Webschnittstelle zur Abfrage über das Internet 20. Der Benutzer greift mit einem Abfrageterminal 21 auf den Bereich 17 der Zentrale 11 zu, empfängt die verschlüsselten Ortsnutzungsdaten 15 über das Internet 20 und entschlüsselt sie mit seinem Schlüssel 14 wieder zu den Ortsnutzungsdaten 5. Das Entschlüsseln der verschlüsselten Ortsnutzungsdaten 15 mit Hilfe des Schlüssels 14 erfolgt damit direkt im Abfrageterminal 21, sodaß der Schlüssel 14 nicht zur Zentrale 11 gelangt; alternativ könnte die Entschlüsselung auch in einer Applikation der Zentrale 11 erfolgen.
-
In der Station 1 können die Ortsnutzungsdaten 5 in dem Speicherbereich 13 in noch unverschlüsselter Form oder bevorzugt in bereits verschlüsselter Form gespeichert werden. Der Speicherbereich 13 ist als "first-in/first-out"-Speicher ausgeführt, wobei jeweils die ältesten Einträge überschrieben werden. Um Speicherüberläufe zu verhindern, wird der Inhalt des Speicherbereichs 13 jeweils rechtzeitig an die Zentrale 11 über die zweite Funkschnittstelle 16 versandt, z.B. immer wenn Ortsnutzungsdaten 5 anfallen, in zeitlichen Abständen akkumuliert, oder jeweils auf Anforderung der Zentrale 11.
-
Die zweite Funkschnittstelle 16 kann von jeder in der Technik bekannten Art sein, wie bereits eingangs erörtert, und auch von der ersten Funkschnittstelle 10 physikalisch und/oder logisch getrennt oder durch dieselbe physikalische und/oder logische Schnittstelle gebildet sein. Bevorzugt ist die zweite Funkschnittstelle 16 von der ersten Funkschnittstelle 10 physikalisch und logisch getrennt und durch eine Mobiltelephonnetzverbindung zur Zentrale 11 gebildet, insbesondere eine paketvermittelte Datenverbindung, z.B. eine SMS- oder GPRS-Verbindung in einem GSM-Netz.
-
Wenn die Funkschnittstellen 10, 16 durch ein und dieselbe physikalische Schnittstelle gebildet sind, können die verschlüsselten Ortsnutzungsdaten 15 sogar gemeinsam mit den Verrechnungsdaten 9 an die Zentrale 11 gesandt werden. Bevorzugt genießt dabei jedoch die Übertragung der Verrechnungsdaten 9 logische Priorität gegenüber der Übertragung der verschlüsselten Ortsnutzungsdaten 15, um die (zeitkritische) Übersendung der Verrechnungsdaten 9 nicht zu verzögern.
-
In einer alternativen Variante kann auf das Zwischenspeichern der Ortsnutzungsdaten 6 bzw. verschlüsselten Ortsnutzungsdaten 15 im Bereich 13 verzichtet werden und die Ortsnutzungsdaten 6 werden unmittelbar für die sofortige Übertragung über die zweite Funkschnittstelle 16 verschlüsselt.
-
In einer weiteren alternativen Variante kann der Bereich 17 der Zentrale 11 auch physisch von deren restlichen Komponeten getrennt sein, beispielsweise ausgegliedert in einem gesondert angebundenen Webserver, der damit auch in einer gesonderten Verfügungsgewalt eines Dritten stehen kann. Auch jede solche physische Auf- bzw. Zerteilung der Zentrale 11 in örtlich verteilte, miteinander verbundene Komponenten fällt unter den hier verwendeten Begriff "Zentrale".
-
In noch einer weiteren Variante des Verfahrens könnten die Ortsnutzungsdaten 5 in der Station 1 auch mit verschiedenen benutzerspezifischen Schlüsseln 14 zu verschiedenen verschlüsselten Ortsnutzungsdaten 15 verschlüsselt werden, welche an die Zentrale 11 für Abfragen durch jeweils mit dem richtigen Schlüssel 14 ausgestattete Benutzer gesandt werden. Dadurch kann eine Vervielfachung bzw. Parallelisierung des Verschlüsselungspfades für die Ortsnutzungsdaten eingerichtet werden, was beispielsweise die Zuteilung unterschiedlicher Schlüssel an unterschiedliche Benutzergruppen ermöglicht, wie eingangs erläutert.
-
Die Erfindung ist nicht auf die dargestellten Ausführungsformen beschränkt, sondern umfaßt alle Varianten und Modifikationen, die in den Rahmen der anschließenden Ansprüche fallen.