EP3188133B1 - Positionsdatenverarbeitungseinrichtung und mautsystem sowie verfahren zum betreiben einer positionsdatenverarbeitungseinrichtung und eines mautsystems - Google Patents

Positionsdatenverarbeitungseinrichtung und mautsystem sowie verfahren zum betreiben einer positionsdatenverarbeitungseinrichtung und eines mautsystems Download PDF

Info

Publication number
EP3188133B1
EP3188133B1 EP15003705.9A EP15003705A EP3188133B1 EP 3188133 B1 EP3188133 B1 EP 3188133B1 EP 15003705 A EP15003705 A EP 15003705A EP 3188133 B1 EP3188133 B1 EP 3188133B1
Authority
EP
European Patent Office
Prior art keywords
position data
trajectory
data processing
processing device
operational
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
EP15003705.9A
Other languages
English (en)
French (fr)
Other versions
EP3188133A1 (de
Inventor
Robert Krug
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toll Collect GmbH
Original Assignee
Toll Collect GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toll Collect GmbH filed Critical Toll Collect GmbH
Priority to EP15003705.9A priority Critical patent/EP3188133B1/de
Publication of EP3188133A1 publication Critical patent/EP3188133A1/de
Application granted granted Critical
Publication of EP3188133B1 publication Critical patent/EP3188133B1/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B15/00Arrangements or apparatus for collecting fares, tolls or entrance fees at one or more control points
    • G07B15/06Arrangements for road pricing or congestion charging of vehicles or vehicle users, e.g. automatic toll systems
    • G07B15/063Arrangements for road pricing or congestion charging of vehicles or vehicle users, e.g. automatic toll systems using wireless information transmission between the vehicle and a fixed station

Definitions

  • Position data processing device and toll system as well as method for operating a position data processing device and a toll system
  • the present invention relates to a position data processing device according to the preamble of claim 1 and a method for operating a toll system according to the preamble of claim 12.
  • tolling devices For the purpose of toll collection, tolling devices, so-called onboard units (OBU), are nowadays installed in vehicles, in particular in trucks.
  • a toll device installed in the vehicle records position data while the vehicle is in motion, which is indicative of the distance covered by the vehicle.
  • the recorded position data which are also referred to as trajectory or trajectory file in the following, and depending on preprogrammed vehicle data such as the emission class, vehicle weight, number of axles, etc., and depending on preprogrammed tariff data and other vehicle data that a driver has entered the toll device, in the case of previously known toll devices, the toll device itself determines the amount of the toll to be paid and stores this information in a memory of the toll device.
  • the previously known toll device sends the information about the toll amount to be paid by means of a communication device, for example via a GSM (Global System for Mobile Communications) network, to a toll center, that is to say to a central toll collection point. For example, this information is sent after a certain toll amount has been reached or after a defined time has elapsed. If the toll device is switched off at this point in time, the information is sent the next time the toll device is switched on. In the toll center, the toll amounts to be paid are assigned to a registered user on the basis of a vehicle identification number. Depending on whether the user has been granted a credit rating, invoices are then sent or the amount debited from a credit account.
  • GSM Global System for Mobile Communications
  • position data can be transmitted directly via control devices, for example so-called support beacons, based on infrared or another communication standard for short-range communication be transferred to the toll device.
  • control devices for example so-called support beacons
  • a transmission of position data to the toll device takes place, for example, by means of a short-range communication module, for example by means of a so-called DSRC (Dedicated Short Range Communication) module, which is installed, for example, near or on the windshield of the vehicle in question and in operative connection with the toll device stands.
  • DSRC Dedicated Short Range Communication
  • Such a module can also be used to transmit data from the toll device to the control device and thus to the toll center if, for example, no GSM network or other wireless communication network (e.g. UMTS or similar cellular network) is available.
  • the data on the toll devices is updated centrally via mobile communications and controlled by the toll center.
  • the EP 2 487 506 A1 a position determining device as well as a method for signaling a lack of operational readiness of a position determining device.
  • a decision is provided that affects both the position determination quality of the GNSS reception of the GNSS receiver and several acquisitions of the mobile radio reception characteristics the cellular reception of the cellular receiver is based.
  • Such a decision can be caused by the registration of insufficient GNSS reception of the GNSS receiver and by the determination of regular mobile radio reception of the mobile radio receiver and signaled by a signaling means of a signaling device comprised by the position determining device.
  • a toll collection system is known in which the toll devices do not carry out the toll identification and the calculation of the toll themselves, but forward this work to an external unit, this forwarding being carried out in an anonymous manner, whereby data protection purposes are to be pursued.
  • the DE 694 09 880 T2 describes a so-called structuring process for teletransaction objects in an on-board system.
  • a toll device for storing a toll data record comprises a physical memory space which is partitioned into four logical memory spaces, the logical spaces corresponding to different areas of the physical space.
  • a first logical space corresponds, for example, to a physical space of a chip card and is used to store objects in the chip card. It names the DE 694 09 880 T2 as one of the main fraudulent uses in a toll device, that such a chip card is swapped between a fixed toll station and the toll device being carried before a transaction is established.
  • the European patent application EP 2 690 602 A2 discloses the determination of a road section subject to toll on the basis of a sequence of several position information generated by a toll device in the vehicle, the deduction of a toll fee for driving this toll road section from a toll credit stored in the toll device and the sending of a toll data record containing the identifier of the said toll device Contains road section, by the toll device to a central toll collection device.
  • the US patent application US 2006 0 200 379 A1 discloses an on-board device that determines a toll road section based on a comparison with a vehicle position, calculates a toll for the specific toll road section and sends calculated tolls to a control center, the control center sending a warning or blocking message to the vehicle device, if a credit balance or a credit line threatens to be exhausted or is exhausted.
  • the object of the present invention is to propose means with which such a toll device can be put into a state of inoperability in the event of a manipulation or a device defect in connection with the generation and / or transmission of a trajectory, in particular in the form of a trajectory file.
  • the position data processing device forms a first aspect of the present invention.
  • the method for operating a toll system according to claim 12 forms a second aspect of the present invention.
  • the invention provides a position data processing device and a method for operating such a position data processing device, in which, with respect to trajectories generated from position data that the position data processing device has acquired, trajectory-specific transactions are carried out which are limited in number. With each trajectory-specific transaction, the number of still permissible trajectory-specific transactions is reduced, the position data processing device changing from a state of operational readiness in which it carries out trajectory-specific transactions to a state of lack of operational readiness in which it does not carry out any trajectory-specific transactions if the number of permitted trajectory-specific transactions Transactions is zero.
  • the position data processing device is suitable for being carried in or on a vehicle and is designed in a state of given operational readiness not to signal a lack of operational readiness and / or a given operational readiness, to receive or generate position data that are indicative of positions of the vehicle, depending to generate at least one trajectory from the received or generated position data which is indicative of a distance covered by the vehicle, to carry out at least one trajectory-specific transaction with respect to the at least one generated trajectory, a number of permissible trajectory-specific transactions greater than zero as a result of the at least one carried out reduce trajectory-specific transactions and switch to a state of inoperative readiness if the number of permitted trajectory-specific transactions is zero, and Trained in a state of insufficient operational readiness not to carry out any trajectory-specific transactions and to signal a lack of operational readiness and / or no given operational readiness.
  • a trajectory is considered to be a sequence of at least two different pieces of location information that represent at least approximately two locations that the vehicle has passed.
  • a trajectory thus consists of the position data of two successively generated or detected positions of the vehicle, each with a longitude and a latitude value.
  • a trajectory comprises significantly more than two points; for example, one thousand to ten thousand points, each of which represents at least approximately a location that the vehicle has passed.
  • the data for these points need not necessarily match the Position data of the recorded or generated positions match.
  • the points of the trajectory can be the result of a selection of positions, a correction of positions, an interpolation between two positions or a smoothing of several positions.
  • a trajectory can in particular be stored at least temporarily in the form of a trajectory file in the position data processing device, which includes trajectory data in the form of longitude and latitude values of each point of the trajectory.
  • trajectory file in the course of the present documents, it is implied that this can be saved, processed and transmitted in the form of a trajectory file.
  • the trajectory file is synonymous with the trajectory and thus implies - in relation to data of a trajectory - also any other form of the presence of data of any information known to a person skilled in the art, for example when saving, Processing or transferring data.
  • a transaction is considered to be a sequence of program steps that are executed, for example, by a processor of the position data processing device (for example by the recording unit listed below), which are regarded as a logical unit.
  • the data stock of the position data processing device is a consistent state after the error-free and complete execution of the transaction, which means that the transaction as such is either completely and error-free or not executed at all.
  • Examples of a transaction are the storage of data in a memory of the position data processing device, the sending of data from the position data processing device to a location at a distance from the position data processing device, the processing of a data record from a defined initial state into a defined target state - for example the encryption of a data record.
  • a trajectory-specific transaction is a transaction that takes place as a function of trajectory data, data from which the trajectory data was derived and / or data that was derived from the trajectory data, for example as a function of data from the trajectory generated according to the invention or as a function of Position data on which the trajectory was generated as a function.
  • a trajectory-specific transaction is a transaction in which data that are in the context of a trajectory generated according to the invention are processed - for example by a processor of the position data processing device.
  • the position data processing device is designed to carry out several different trajectory-specific transactions; thus at least one of the various trajectory-specific transactions is identified as that according to the invention, as a result of which, according to the invention, the number of permissible trajectory-specific transactions according to the invention is reduced.
  • the invention makes it possible to limit the number of trajectory-specific transactions in the position data processing device and thus the effects of a possible defect or any manipulation of the position data processing device.
  • the position data processing device is designed in the state of insufficient operational readiness not to carry out a trajectory-specific transaction with respect to any generated trajectory.
  • the position data processing device is designed in the state of insufficient operational readiness not to generate a trajectory as a function of the received or generated position data.
  • the position data processing device is designed in the state of insufficient operational readiness not to receive or generate any position data which are indicative of positions of the vehicle.
  • the position data processing device when it is operationally ready, the position data processing device is designed not to signal a lack of operational readiness, and in the state of insufficient operational readiness it is designed to signal an insufficient operational readiness.
  • the position data processing device is designed in the state of given operational readiness to signal a given operational readiness, and in the state of insufficient operational readiness is designed to signal no given operational readiness.
  • the position data processing device is designed in the state of given operational readiness to signal a given operational readiness by outputting an optical, acoustic and / or electromagnetic signal.
  • the electromagnetic signal can be a radio signal that is sent from the position data processing device to a central device at a distance from the vehicle (for example the operating message evaluation system or the toll office, among others) as a result of the position data processing device being switched on / supplied with an operating current once and / or repeatedly at random times or on certain occasions.
  • the position data processing device is designed in the state of insufficient operational readiness to signal an insufficient operational readiness by outputting an optical, acoustic and / or electromagnetic signal.
  • the electromagnetic signal can be a radio signal that is sent from the position data processing device to a central device at a distance from the vehicle (for example the operating message evaluation system or the toll office, among others) as a result of the change to the state of lack of operational readiness once and / or repeatedly at random times or sent on certain occasions.
  • the signaling of the lack of operational readiness or nonexistent operational readiness can serve as an indication to the driver or an employee of the operation of the central facility that measures are required in turn to restore the positional data processing facility to a state of operational readiness.
  • the signaling of a lack of operational readiness or a given operational readiness can serve as an indication to the driver or an employee of the operation of the central facility that he can rely on the intended operation of the position data processing device and that no measures are required for the position data processing device.
  • the position data processing device can, in the state of operational readiness, send the at least one generated trajectory or a first reference value determined according to at least one reference value determination method from the at least one generated trajectory as part of an operating message to an operating message evaluation system located outside and away from the vehicle.
  • the position data processing device is preferably designed in the state of lack of operational readiness, no generated trajectory and no first reference value (RWA-1, ..., RWA-n) determined according to at least one reference value determination method from the at least one generated trajectory to an outside and away from the To send the vehicle operating message evaluation system.
  • the position data processing device is designed to be operationally ready, as a result of or as part of the implementation of the trajectory-specific transaction, the at least one generated trajectory or a first reference value determined according to at least one reference value determination method from the at least one generated trajectory as part of an operational message to outside and away from the vehicle to send the operating message evaluation system located, to receive a response message that the operating message evaluation system has sent as a function of the at least one operating message sent and to modify the number of permissible trajectory-specific transactions to a number greater than zero as a function of the received response message, leaving unchanged or set to zero.
  • the position data processing device in an automated state without the involvement of the driver or an employee of the operation of the operating message evaluation system if the evaluation of the operating message sent by the operating message evaluation system shows that there is no defect and no manipulation of the position data processing device , in particular on the data of the trajectory file (in this case the response message contains, for example, the instruction to modify the specified number of permissible trajectory-specific transactions to a number greater than zero) and, on the other hand, to put the position data processing device in a state of inoperative readiness if the Evaluation of the operational message sent by the operational message evaluation system shows that a defect or manipulation of the P position data processing device, in particular on the data of the trajectory file (in this case the response message contains, for example, the instruction to leave the number of permissible trajectory-specific transactions unchanged or to set it to zero).
  • the position data processing device reaches the state of lack of operational readiness completely automatically if the defect or manipulation of the position data processing device is such that the operational message from the position data processing device is not sent to the operational message evaluation system because the position data processing device is designed to reduce the number of (remaining) permissible trajectory-specific transactions with each carried out trajectory-specific transaction until the number of permissible trajectory-specific transactions is zero without receiving a response message from the that increases the specified number of permissible trajectory-specific transactions (due to a lack of operational messages being sent) could receive operational message evaluation system.
  • the position data processing device in the state of operational readiness is designed to receive a response message which the operating message evaluation system has sent as a function of an evaluation of the at least one operating message sent.
  • the position data processing device can be designed in the state of insufficient operational readiness to receive a restarting message from the operating message evaluation system and, depending on the received restarting message, the number of permissible trajectory-specific transactions to modify to a number greater than zero and to switch back to the state of the given operational readiness.
  • the position data processing device preferably comprises a communication device or is connected to such a device.
  • the position data processing device is designed, for example, as a toll device that is designed, for example, for an arrangement in a vehicle.
  • the toll device is an on-board unit (OBU).
  • OBU on-board unit
  • the toll device can be designed as a mobile terminal device, for example as a smartphone or tablet PC, and to this extent also to be carried in a vehicle.
  • the toll device preferably has a data memory in which a user identifier is stored. This user identifier can be, for example, an identifier of the toll device, the vehicle or the driver / holder / owner of the vehicle and is used to assign data received or generated by the toll device, which represent the use of a toll road, to an entity based on which the toll payer determines can be.
  • the position data processing device is managed, for example, by an operating message evaluation system located outside the vehicle.
  • the operating message evaluation system manages, for example, a plurality of toll devices, each of which includes a position data processing device.
  • the operational notification evaluation system has, for example, a toll center and / or one or more roadside control devices, the latter being able to be mobile or stationary (for example stationary toll stations).
  • the operating message evaluation system is comprised of a toll system with such a toll center and one or more such roadside control devices.
  • the toll center is designed to calculate a toll based on data from the received trajectory that the operating message evaluation system has received from a managed position data processing device - in particular a toll device, which is assigned, for example, to the user ID that is stored in the toll device and together with or is sent independently of the trajectory by the toll device to the toll control center with the purpose of assigning the toll fee to the toll payer of the vehicle from which the position data processing device was carried.
  • a position data processing device serving as a toll device can have a user identifier stored in the position data processing device, in particular an identifier of the vehicle or the position data processing device, and be designed to send the at least one generated trajectory as part of an operational message to an operational message evaluation system located outside and away from the vehicle and to send the To send the user identifier together with the trajectory as part of the operational message or without the trajectory in an identification message independent of the operational message to the operational message evaluation system.
  • the identification message is in a context to the operational message, so that the operational message evaluation system assigns the user identifier to the trajectory or to a result generated from the trajectory by the operational message evaluation system, for example a toll, is possible.
  • a position data processing device serving as a toll device can have a user identifier stored in the position data processing device, in particular an identifier of the vehicle or the position data processing device, and be designed to determine a toll road section traveled by the vehicle and / or at least one toll fee from the at least one trajectory and to send at least one first reference value determined in accordance with at least one reference value determination method from the at least one generated trajectory within the scope of an operational message together with the user identifier to the operational message evaluation system.
  • the position data processing device preferably has a receiver which is designed to receive and / or to generate position data which are indicative of the position of the vehicle.
  • the receiver is, for example, a Global Navigation Satellite System (GNSS) receiver which is designed to receive satellite signals and to generate the position data as a function of the received satellite signals.
  • GNSS Global Navigation Satellite System
  • the satellite signals are GPS, GLONASS, GALILEO or COMPASS signals.
  • the position data can also be sent out by stationary roadside devices, for example so-called support beacons, which the vehicle passes, and received by the receiver of the position data processing device, which in this case can be designed as a DSRC receiver.
  • a recording unit comprised by the position data processing device is preferably coupled to the receiver and is designed to generate trajectories, for example in the form of trajectory files, as a function of the position data.
  • Each of the trajectory files is thus indicative of a route covered by the vehicle.
  • a trajectory file thus includes, for example, a set of position data that the recipient has generated and / or received during a period of time.
  • the trajectory files are generated by the recording unit, for example, at intervals, for example in time intervals or in distance intervals.
  • the recording unit is designed to store, in particular to store, in a trajectory file all position data that have been received and / or generated while passing a specific route interval of a specific length of, for example, 100 km.
  • the recording unit is designed, for example, to store, in particular to store, the position data that have been received and / or generated during a past time interval in a trajectory file.
  • the recording unit creates a new trajectory file for all position data that has been received and / or generated in a time interval of a few minutes or hours.
  • a memory can be provided in the position data processing device which can be operated by the recording unit.
  • the recording unit is also preferably designed to provide a communication device of the position data processing device with at least one of the trajectory files for transmission in the context of at least one operating message to the operating message evaluation system, the communication device also being designed to receive a response message from the operating message evaluation system, which the operating message evaluation system depends on an evaluation of the at least has created an operational notification.
  • the operating message evaluation system creates the response message as a function of the evaluation result of the evaluation of the operating message.
  • the communication device thus transmits the at least one trajectory file to the operating message evaluation system and receives said response message in response to it, for example.
  • the position data processing device can also have a security module. Certain processing steps of the position data processing device can be carried out with the security module.
  • a security module is designed as a chip card, for example.
  • a security module is, for example, a "specially protected" independent unit, for example a chip card, which has at least one autonomous control module and a memory area, the autonomous control module preferably being configured to receive requests for data output from the memory area and / or the change or Recording of data in the storage area can only be performed against authentication.
  • the authentication procedure can be carried out by analyzing a digital signature using a public key stored by the signer in the security module.
  • the position data processing device preferably has at least one processor - for example in the form of or comprised by the recording unit - which is designed at least in the state of operational readiness to generate the at least one trajectory as a function of the received or generated position data;
  • the position data processing device preferably has at least one security module, which is designed at least in the state of operational readiness to carry out the at least one trajectory-specific transaction, the processor being designed, at least in the state of operational readiness, to provide the security module with the generated trajectory for carrying out the trajectory-specific transaction.
  • the provision can be made by the processor storing the trajectory in a data memory of the position data processing device, from which the security module can retrieve the trajectory, for example after the security module has received a message from the processor that this trajectory has been stored in the data memory for the security module has been.
  • the provision can take place in that the processor transmits the trajectory to the security module.
  • the position data processing device for example the recording unit or the security module, according to one embodiment is also designed to determine a first reference value from the data in the trajectory (file) (trajectory data) according to a reference value determination method.
  • the reference value determination method includes, for example, a hash algorithm and the first reference value is, for example, a hash value.
  • the recording unit carries out a cyclical one Cyclic Redundancy Check (CRC).
  • CRC Cyclic Redundancy Check
  • the position data processing device can thus determine a reference value in a deterministic manner from data of the trajectory in accordance with the reference value determination method. This reference value determination can be included in the trajectory-specific transaction, form it, precede it or follow it.
  • the number of permitted trajectory-specific transactions can be specified, for example, expressly by means of a counter which, for example, indicates a number of 10 or 20 or some other number of permitted trajectory-specific transactions.
  • the number can, however, also be specified indirectly, for example by a number of available TANs or a number of available memory locations in a memory area of the security module. These variants will be discussed in more detail later.
  • the number of permissible trajectory-specific transactions is automatically reduced, in particular independently of a response message from the operational notification evaluation system. This reduced number then in turn forms the specified number for the next following trajectory-specific transaction, unless the specified number is in the meantime, for example as a function of the received response message. determined again.
  • the number of permissible trajectory-specific transactions can in particular also be zero.
  • the position data processing device, in particular the security module does not carry out any trajectory-specific transactions. She then 'refuses her service'.
  • an operational message comprising the generated trajectory is not sent to the operational message evaluation system, because such an operational message is only sent as a result of or as part of the execution of the trajectory-specific transaction.
  • the position data processing device can be designed to carry out at least one of the following steps as part of the execution of the trajectory-specific transaction or outside of it: (a) the at least temporary storage of trajectory data in a security module of the position data processing device; (b) Sending the trajectory as part of an operational message to an operational message evaluation system located outside and away from the vehicle; (c) the determination of a first reference value from the trajectory according to at least one reference value determination method, (d) the at least temporary storage of a first reference value determined from trajectory data according to at least one reference value determination method in a security module of the position data processing device.
  • the position data processing device in particular the security module, can be designed to determine a first reference value from trajectory data (data from the trajectory file) as part of the implementation of the trajectory-specific transaction or outside of it in accordance with at least one reference value determination method, and the position data processing device can be designed (a) the to send the first reference value in the context of an operational message together with the trajectory from whose data the first reference value was determined, or (b) in the context of a separate second operational message spaced apart from a first operational message as a reference value message by means of a communication device to the operational message evaluation system after or before the trajectory as part of the first operational message is sent as a trajectory message to the operational message evaluation system by means of a communication device was or is being sent.
  • the position data processing device in case (a) comprises a communication device for long-range communication with base stations of a mobile radio network connected to the operating message evaluation system and a processor - for example in the form of the recording unit or comprised by the recording unit - which is designed to provide the communication device with the trajectory (in the form of Trajectory data or as a trajectory file) and the first reference value and to instruct the first communication device to use the first.
  • a processor - for example in the form of the recording unit or comprised by the recording unit - which is designed to provide the communication device with the trajectory (in the form of Trajectory data or as a trajectory file) and the first reference value and to instruct the first communication device to use the first.
  • the position data processing device in case (b) comprises a communication device for long-range communication with base stations of a mobile radio network connected to the operating message evaluation system, the position data processing device further comprising a processor - for example in the form of the recording unit or of the recording unit - which is designed to be the communication device to provide the trajectory (in the form of trajectory data or as a trajectory file) and to instruct the first communication device to send the first operational message with the trajectory to the operational message evaluation system and to provide the communication device with the first reference value (e.g.
  • said communication device is designed, the first reference value in response to a received via the cellular network, from the operational message ngsausêtssystem sent to send the request message as part of the second operational message to the operational message evaluation system via the cellular network.
  • said communication device is a mobile radio communication device, for example a mobile radio module, for example a GSM module, a UMTS and / or an LTE module.
  • the position data processing device can comprise a first communication device for long-range communication with base stations of a mobile radio network connected to the operating message evaluation system and a second communication device for short-range communication with roadside control devices connected to the operating message evaluation system or comprised by the operating message evaluation system, the position data processing device also comprising a Processor - for example in the form of the recording unit or comprised by the recording unit - which is designed to provide the first communication device with the trajectory (in the form of trajectory data or as a trajectory file) and to instruct the first communication device to send the first operational message with the trajectory to the operational message evaluation system send, and the second Ko the first reference value (e.g. B.
  • a Processor - for example in the form of the recording unit or comprised by the recording unit - which is designed to provide the first communication device with the trajectory (in the form of trajectory data or as a trajectory file) and to instruct the first communication device to send the first operational message with the trajectory to the operational message evaluation system send, and the second Ko the first reference value (e.g. B.
  • said first communication device is a mobile radio communication device, for example a mobile radio module, for example a GSM module, a UMTS and / or an LTE module.
  • said second communication device is a DSRC communication device, for example a DSRC communication module.
  • the position data processing device in particular the security module, can be designed to determine a reference value in accordance with at least one reference value determination method by using a cryptographic function generating the first reference value, in particular a hash function or a CRC function, on trajectory data, so that the reference value as cryptographic value, in particular as a hash value or CRC value, is formed.
  • the reference value determination can be a possible trajectory-specific transaction.
  • the position data processing device in particular the security module, can be designed to carry out the trajectory-specific transaction by means of a transaction based on the first reference value that was derived from data of the trajectory.
  • This trajectory-specific transaction related to the first reference value can include the storage of the reference value in the security module, the sending of the first reference value as part of an operating message together with the trajectory or as part of an operating message as a reference value message without the trajectory.
  • the position data processing device in particular the security module, is designed to only carry out a respective trajectory-specific transaction when a response message has been successfully authenticated by the operational message evaluation system.
  • the position data processing device is preferably designed to authenticate the response message using at least one key.
  • a public key is used that is available to both the position data processing device and the operating message evaluation system, and / or a private key that is only available to the position data processing device.
  • the key or keys are according to one embodiment stored in the security module. The aspect of authentication will be discussed in more detail later.
  • the recording unit is designed, for example, to provide a communication device of the position data processing device with at least one of the trajectory files and at least one of the first reference values for transmission within the scope of the at least one operational message to the operational message evaluation system.
  • the operational message evaluation system then receives both the at least one trajectory file and the at least one first reference value that is assigned to the at least one trajectory file, which is for example determined by the recording unit or the security module for the at least one trajectory file according to the reference value determination method.
  • the operating message evaluation system comprises a message receiver which is designed to receive the operating message from the position data processing device.
  • the operating message can include a trajectory message with the at least one trajectory file and a reference value message with the at least one first reference value.
  • the message receiver comprises, for example, a number of first receiving modules for receiving the trajectory message and a number of second receiving modules for receiving the reference value message.
  • at least one of the second receiving modules is arranged on a roadside control device of the operational message evaluation system.
  • the operating message evaluation system evaluates the received operating message.
  • the operating message evaluation system determines a second reference value for each received trajectory file according to the same reference value determination method that is used in the position data processing device.
  • the operational notification evaluation system carries out a first comparison for a respective trajectory file, namely between the second reference value and the first reference value belonging to the respective trajectory file. If these two values do not coincide with one another, the operating message evaluation system can conclude that there has been an attempt at manipulation. If the first reference value and the second reference value agree with one another, the operating message evaluation system can evaluate this as an indication that there is no attempt at manipulation.
  • trajectory file Even the automated evaluation of the trajectory file alone can be sufficient to enable the operational message evaluation system to detect a deficiency in the operation of the position data processing device: For example, distances between two positions immediately following one another in the trajectory indicate which are incompatible with regard to their size normal travel speed (so-called position jumps) to spoofing, with which the receiver was supplied with incorrect satellite or position data, or to a temporary failure of the receiver. An unusually large spread within a group of several immediately consecutive positions indicates a defect in the receiver or jamming that interferes with the reception of satellite data.
  • the operating message evaluation system creates the response message as a function of the evaluation of the operating message and transmits it back to the position data processing device, for example in accordance with a wireless communication standard such as GSM, DSRC, UMTS, etc.
  • a wireless communication standard such as GSM, DSRC, UMTS, etc.
  • the communication device of the position data processing device is designed to receive the response message created and sent by the operational message evaluation system and to make this or a message content of the response message available to the recording unit and / or the security module by means of the recording unit.
  • the position data processing device provides the response message received from the operational message evaluation system by means of the communication device or a corresponding message to the security module by means of the recording unit.
  • the security module is designed to modify the number of predefined permitted trajectory-specific transactions as a function of the response message to a number greater than zero.
  • the number of permissible trajectory-specific transactions is not modified.
  • the reply message can also indicate that the number should not be modified. If, however, the operational message evaluation system-side evaluation of the at least one operational message shows that the number is to be modified, the response message contains a corresponding request and the security module modifies the number.
  • Modifying the number of permissible trajectory-specific transactions can in particular include increasing the number.
  • the number indicated by the counter reading is increased accordingly, for example from 5 to 8 or from 9 to 10, depending on the content of the response message. If the specification of the number of permitted trajectory-specific transactions is based on the number of available TANs and the response message contains one or more new TANs, the number of permitted trajectory-specific transactions is modified by including the new TANs. If the number of permissible trajectory-specific transactions is specified by a number of available storage locations, new storage locations are released as a function of the response message, for example by deleting previously occupied storage locations. The above variants will be explained in more detail later.
  • One advantage of the present invention is that it can be determined on the central side, that is, on the operating message evaluation system side, based on the evaluation of the operating message, whether or not there is an attempted manipulation and / or a defect in the position data processing device. Unlocks the operational notification evaluation system an attempt at manipulation and / or a defect, for example, it does not send a response message or a response message that prohibits modification of the number of permissible trajectory-specific transactions, in particular an increase in the number. Since the number of admissible trajectory-specific transactions is reduced in any case (regardless of the response message) with each trajectory-specific transaction, the trajectory-specific transaction is prevented when this number is zero.
  • the position data processing device changes to a state of insufficient operational readiness, which can be detected by the operational message evaluation system on the basis of the signaling of the insufficient operational readiness. Appropriate measures can then be initiated centrally.
  • the response message can also indicate directly that the position data processing device is to be put into this state, for example by requesting the position data processing device to set the number of permissible trajectory-specific transactions to zero.
  • the security module If the number of permissible trajectory-specific transactions is zero, the security module generates an error message, for example, and the position data processing device uses this error message to switch to the state of insufficient operational readiness, for example to block the operation of the position data processing device and / or to notify the operating message evaluation system of a manipulation attempt.
  • the security module uses this error message to switch to the state of insufficient operational readiness, for example to block the operation of the position data processing device and / or to notify the operating message evaluation system of a manipulation attempt.
  • These measures can also be taken if, for example, a user prevents the communication device from sending the operating message, for example by covering a transmission antenna coupled to the communication device, since the operating message evaluation system does not send out a response message if the operating message is not received, and only the response message can lead to an increase in the number of permitted trajectory-specific transactions.
  • the response message is not received and / or if the response message indicates that the number should not be increased, then due to the constant reduction in the number of permissible trajectory-specific transactions with each trajectory-specific transaction carried out, the number of permissible trajectory-specific transactions has the value Reached zero and thus for the production of the error message, so that the position data processing device and / or the operating message evaluation system can conclude that there has been an attempt at manipulation.
  • the advantage of an embodiment of the position data processing device is that a transmission of trajectory files, which or whose reference values have already been processed by the security module as part of a trajectory-specific transaction, is manipulatively or through a defect in the communication device to the operational message evaluation system in the absence of corresponding response messages without further action the number of remaining trajectory-specific transactions, which is automatically reduced with each trajectory-specific transaction, automatically leads the position-determining device into a state in which no more trajectory-specific transactions are carried out by the security module. The same applies in the event that the trajectory file is deleted before its intended transmission to the operational notification evaluation system.
  • the position data processing device is designed to pass into a state of insufficient operational readiness if the number of permissible trajectory-specific transactions is zero.
  • the security module of the recording unit refuses the requested processing of the trajectory file and / or the first reference value optionally determined for the trajectory file, whereupon the recording device generates a corresponding error signal.
  • the position data processing device is designed and configured to optically communicate such a state to a user of the position data processing device, for example by means of a signaling device provided for this purpose in the position data processing device, for example by means of a red-colored LED.
  • the position data processing device is designed to pass into a state of insufficient operational readiness if the response message indicates that the position data processing device is to be converted into this state.
  • the position data processing device thus automatically puts itself in a state of insufficient operational readiness, for example, if either the number of permissible trajectory-specific transactions is zero or because the response message immediately indicates that the position data processing device is to be transferred to this state, for example by virtue of the position data processing device being designed, depending to set the number of permitted trajectory-specific transactions equal to zero from such a response message
  • the security module is designed to initiate the transition to the state of insufficient operational readiness, for example if either the number of permissible trajectory-specific transactions is zero or because the response message immediately indicates that the position data processing device is to be transferred to this state.
  • the state of insufficient operational readiness means, for example, that the position data processing device no longer fulfills its intended function, which may be required for toll collection, for example.
  • the position data processing device omits the generation of trajectory files and / or the transmission of the operational message, for example the transmission of the trajectory message and / or the reference value message.
  • the position data processing device is preferably designed to automatically communicate the transition to the state of lack of operational readiness to the operational message evaluation system, for example by means of a message specially provided for this purpose. Centrally it can then be more easily detected that a manipulation attempt has been made in the relevant position data processing device and corresponding measures can then be administered and initiated centrally.
  • the recording unit comprises a processor which is designed to carry out the function of the recording unit, in particular to generate trajectory files as a function of the position data.
  • a computer program executed on the processor of the recording unit includes commands by means of which the optionally provided signaling device changes from a state in which it signals that it is ready for operation, for example by means of a green LED, to a state in which it indicates that the position data processing device is not ready for operation , in particular the lack of operational readiness of the recording unit, is signaled, for example by a red illuminated LED.
  • the state of insufficient operational readiness is generated and stored in the form of a data element representing this state.
  • the position data processing device is designed to transmit the data element to the operating message evaluation system by means of the communication device, for example to the relevant roadside control device upon request by a roadside control device.
  • the operating message comprises a trajectory message and a reference value message.
  • the communication device is designed to transmit one or more of the trajectory files generated by the recording unit as part of the trajectory message to the operational message evaluation system during a first communication phase.
  • the transmission of the trajectory message takes place, for example, via a wireless communication network, such as the GSM network.
  • a wireless communication network such as the GSM network.
  • other transmission paths can also be considered, for example a UMTS network or another communication network that transmits data packets.
  • the communication device transmits at least one of the first reference values by means of the reference value message during a second communication phase. Accordingly, the communication device preferably transmits the trajectory files, on the one hand, and the first reference values, on the other hand, in separate messages to the operational message evaluation system.
  • Sending first reference values on the one hand and trajectory files on the other hand in separate messages is useful because the respective file types can be of different types: Usually, a trajectory file is used to collect a toll, whereas the first reference value should be used in particular to check whether the position data processing device has a There has been an attempt at manipulation or there is or is not.
  • the communication device is designed to transmit the trajectory message according to a first message transmission standard, for example GSM, to the operational message evaluation system, and a short-range communication module comprised by the position data processing device transmits the reference value message via a second message transmission status, for example a DSRC standard , to be transmitted to the operational message evaluation system.
  • a first message transmission standard for example GSM
  • a short-range communication module comprised by the position data processing device transmits the reference value message via a second message transmission status, for example a DSRC standard
  • the position data processing device in one embodiment is expediently designed to provide a respective trajectory file and the first reference value determined for this with an identification, for example with a time stamp.
  • a trajectory file and the first reference value determined for this then receive the same time stamp.
  • another identification option or another identifier can also be provided, which ensures the assignability between first reference values on the one hand and trajectory files on the other.
  • the position data processing device for example the recording unit, is designed to integrate a position data processing device identifier within the operating message, for example within the trajectory message and / or within the reference value message. This facilitates the central administration of a large number of position data processing devices by the operational message evaluation system.
  • the position data processing device in particular a security module comprised by the position data processing device, is preferably designed to determine one or more first test values according to a test value determination method for the at least one trajectory and / or for at least one first reference value determined by the position data processing device from trajectory data according to at least one reference value determination method, and that the position data processing device is designed to transmit the at least one trajectory and / or the at least one first reference value together with the associated first test value as part of the operational notification to the operational notification evaluation system
  • the security module is designed to determine one or more first test values for the respective trajectory file and / or the respective first reference value in accordance with a test value determination method.
  • the security module stores the first test values in a memory area of the security module.
  • the security module is preferably designed to determine a first test value for each first reference value in accordance with the test value determination method and to store it together with the first reference value in the memory area of the security module.
  • This test value determination can also count as a trajectory-specific transaction according to the invention, because the first test value is determined from a first reference value, which in turn was determined as a function of data from the trajectory generated.
  • the determination of the test values according to the test value determination method is not performed by the recording unit, but by the security module itself.
  • the first test values are also preferably determined in a deterministic manner as a function of the first reference value. Nevertheless, a random number can be involved in determining the test values, as will be explained further below.
  • the position data processing device is preferably designed to transmit the at least one first reference value together with the associated at least one first check value in the context of the operating message, for example as part of the reference value message, to the operating message evaluation system.
  • the security module provides both the at least one first reference value and the at least one associated first test value by means of the recording unit of the communication device, so that the communication device can transmit this to the operational message evaluation system within the scope of the operational message, for example in the context of the reference value message.
  • the security module preferably stores exactly one first reference value and a first test value determined for this in a respective memory location of the memory area.
  • a pair of a first reference value and a first test value forms, for example, a test data record which the position data processing device transmits to the operating message evaluation system as part of the operational message, for example as part of the reference value message.
  • the security module determines a separate first test value for each first reference value. Alternatively or cumulatively, the security module determines a first test value for a plurality of first reference values.
  • the test value determination method includes, for example, a message authentication algorithm and the first test value accordingly includes, for example, a message authentication code.
  • the security module uses, for example, a Message Authentication Code (MAC) method in order to determine the first test values for the first reference values.
  • MAC Message Authentication Code
  • the operational message evaluation system is designed to calculate a second test value for each first reference value received in accordance with the same test value determination method that is used in the position data processing device, and to carry out a second comparison between the second test value and the first associated with the respective first reference value Check value and for generating the response message as a function of the second comparison result.
  • the operating message evaluation system recalculates the test value for each transmitted first reference value and compares the first test values, i.e. the test values transmitted by the position data processing device, with the second test values, i.e. with the self-calculated test values. For example, as part of the response message, the operational message evaluation system only sends a request to the position data processing device to increase the number of permissible trajectory-specific transactions if both the first reference values match the second reference values and the first test values match the second test values.
  • the determination of the first test value by the security module and the determination of the The second check value by the operating message evaluation system consequently represents a further security step with which conspicuous manipulations of the trajectory files and / or of the first reference values can be detected.
  • the position data processing device comprises a short-range communication module which is designed for coupling to the recording unit and is designed to exchange data with a control device of the operating message evaluation system passed by the vehicle, the short-range communication module preferably being designed for storing a copy of the first test values and / or the first reference values, so that the first test values and / or the first reference values can be read out by the control device and transmitted to a control center of the operational notification evaluation system.
  • the short-range communication module is, for example, a DSRC module of the position data processing device.
  • This variant also makes it easier to check the position data processing device for manipulation attempts, since the control devices passed by the vehicle can determine whether the position data processing device, for example, correctly calculates the first test values and / or the first reference values. If this is not the case, this can be communicated by the control device to the control center of the operational notification evaluation system, so that sanctioning measures can be initiated from the control center.
  • the response message contains an administration request to the security module.
  • the management request is verified by the security module before the management measure is carried out, for example, as follows:
  • the position data processing device receives, as part of the response message, a positive acknowledgment of the successful evaluation of the operating message from the operating message evaluation system together with a central MAC of this acknowledgment, which is generated centrally using a key available centrally.
  • the security module then receives the central MAC and at least parts of the acknowledgment and tries to simulate the MAC by using a key available to it on the acknowledgment or the transmitted parts of the acknowledgment. If successful, the requested administrative measure, for example modifying a counter reading, adding new TANs, releasing memory locations, is carried out; in the event of failure, the requested administrative measure is ignored or refused with an error message being sent to the operational message evaluation system.
  • the key used is formed from a master key and a random number generated by the operating message evaluation system, the master key being known to the security module and the position data processing device receiving the random number with the acknowledgment so that the security module can reproduce the key used.
  • the security module processes the first reference value as follows: The security module receives the first reference value and creates a MAC of this by means of a public key of the operational message evaluation system Reference value. It then returns the first reference value, the MAC and a sequential number and / or a TAN to the recording unit and provides the sequential number and / or TAN used with a note that prevents or deletes the sequential number and / or TAN from being used again them whole. If a unique key (session key) is generated using a random number and a basic key (master key), the random number is also transmitted back to the recording unit with this data record. In this case, it is expediently provided that the first reference value and the MAC are also used to transmit the random number to the operational message evaluation system so that it can reproduce the session key for verifying the MAC using the master key.
  • a component of the position determination device that has at least the security module has a device-side connecting element which is designed for connection to a corresponding vehicle-side receiving device for the component.
  • the security module is arranged, for example, within a housing of the position data processing device and, in order to fulfill its function, is in operative connection with further components of the position data processing device, in particular with the recording unit.
  • information about the number of permissible trajectory-specific transactions is stored in the position data processing device, in particular in a memory area (141) of a security module (14) of the position data processing device, and the position data processing device, in particular the security module (14), is designed with each trajectory-specific transaction to change the information in such a way that the changed information indicates the reduced number of permissible trajectory-specific transactions.
  • information about the number of permissible trajectory-specific transactions is stored in the security module, for example in the said memory area of the security module, the security module having, for example, said autonomous control module which is designed to change the information with each trajectory-specific transaction in such a way that the Changed information indicates the reduced number of permissible trajectory-specific transactions.
  • the number of permissible trajectory-specific transactions is predetermined by a counter reading of a counter in the position data processing device, in particular a security module in the position data processing device.
  • the security module comprises a counter which indicates a counter reading.
  • the counter reading indicated by the counter is identical to the number of permissible trajectory-specific transactions.
  • the counter reading is set to a default value when the position data processing device is first started up, such as 10, 20, 50, 100 or 200.
  • a default value when the position data processing device is first started up, such as 10, 20, 50, 100 or 200.
  • the counter is reduced by 1 with each storage of a first reference value or with each determination of a first test value and / or with each provision of a first reference value or a first test value by means of the recording unit for the communication device.
  • the response message indicates whether the counter reading is to be increased and to what extent. If no response message is received and / or the response message indicates that the counter reading is not to be increased, there is also no corresponding modification of the counter reading.
  • the position data processing device changes to the state of lack of operational readiness because no further trajectory-specific transaction is carried out by the security module.
  • the position data processing device or a security module comprised by the position data processing device is designed to access a list of transaction numbers, the number of transaction numbers contained in the list being indicative of the number of permitted trajectory-specific transactions.
  • a TAN is canceled, for example deleted, by the position data processing device or the security module.
  • the list of transaction numbers is preferably temporarily stored in a memory area of the security module.
  • the security module requires a TAN for each trajectory-specific transaction, for example for each determination or storage of a first reference value and / or for each calculation of a first check value, each TAN in the list can only be used once.
  • the response message contains in the case of a positive first comparison result (and possibly in the case of a positive second comparison result) one or more new TANs and the security module is preferably designed to add the new TAN or the new TANs to the list, thus increasing the number the permissible trajectory-specific transactions is increased. If, however, no response message is received or the response message does not contain a new TAN, there is also no increase in the number of permissible trajectory-specific transactions.
  • a respective TAN is, for example, a multi-digit number code.
  • the numeric codes can be consecutive or discontinuous.
  • Each TAN in the list can have a serial number.
  • the position data processing device is preferably designed to integrate the TAN used for a specific first reference value and / or the sequence number associated with the TAN used in the operating message. This allows an even more secure central administration of the position data processing device.
  • the order of the TANs to be used can be specified by the operational message evaluation system, for example by the response message.
  • the response message identifies the next TAN to be used or the next TANs to be used by means of the corresponding sequence numbers.
  • the TANs are not consecutively numbered combinations of characters that are always available in a limited number during normal operation and are each used by processing the first reference values by marking them accordingly or storing them together with the reference values will.
  • the security module receives new TANs from the operating message evaluation system to the extent that reference values of used TANs have been verified centrally. A lack of operational readiness is reached when the security module no longer has any TANs available.
  • the security module has a memory area, the memory area comprising a limited number of memory locations and the security module being designed to store a respective trajectory file and / or a respective first reference value in one of the memory locations, and wherein the number of free memory locations is indicative of is the number of permitted trajectory-specific transactions.
  • the limited number of storage locations is 100 storage locations. In this case, a maximum of 100 trajectory files and / or 100 first reference values can be stored in the memory area of the security module.
  • the security module is preferably designed to manage the memory area as a function of the response message of the operational message evaluation system.
  • the security module is, for example, wirelessly and / or wired to the recording unit.
  • the security module is designed to manage the memory area as a function of the response message of the operational message evaluation system.
  • the management of the memory area by the security module includes, for example, deleting one or more of the stored trajectory files and / or first reference values; releasing one or more of the memory locations so that the released memory locations can be written with a new trajectory file and / or a new first reference value; and / or imposing a or / several of the memory locations with write protection, so that the memory locations with write protection cannot be written with a new trajectory file and / or a new first reference value.
  • write protection also includes erasure protection.
  • the security module comprises, for example, an autonomous control module that is designed to manage the individual memory locations of the memory area, i.e. for example to store the trajectory files and / or the first reference values, to delete certain trajectory files and / or first reference values, to enable specific memory locations of the memory area and / or to apply write protection to specific memory locations.
  • autonomous means that the control module of the security module is designed to be operated by means of independent operating software.
  • the response message of the operational message evaluation system accordingly instructs the security module of the position data processing device to delete a number of specific trajectory files and / or first reference values identified by the response message from the memory area, so that the memory spaces released in this way for storing new trajectory files and / or new ones first reference values are available.
  • the response message can, however, also indicate that no storage space is to be released, so that the situation can arise that the security module cannot store any further trajectory files and / or first reference values in its storage area; in this case the number of permissible trajectory-specific transactions is zero.
  • the memory area of the security module of the position data processing device is consequently managed by the response message and thus centrally by the operational message evaluation system.
  • One advantage of this variant for specifying and modifying the number of permissible trajectory-specific transactions is in particular that the number of available storage spaces in the memory area of the security module is reduced by one space with each newly created trajectory file, i.e. with each newly determined first reference value, since each storage space of the memory area is designed to store only a single trajectory file and / or a single first reference value. If the response message does not indicate for a longer period of time that stored trajectory files and / or first reference values are to be deleted and thus new free storage spaces can be created for new trajectory files and / or first reference values, the storage capacity of the storage area is exceeded and thus to an error message.
  • the position data processing device uses this error message to change to the state of insufficient operational readiness, for example to block the operation of the position data processing device and / or to notify the operating message evaluation system of an attempt at manipulation.
  • These measures can also be taken if, for example, a user of the position data processing device prevents the recipient from receiving and / or generating the position data or prevents the transmission of the operating message, for example the trajectory message and / or the reference value message, for example by covering a message to the Communication device coupled transmission antenna, since then no response message is received from the operational message evaluation system and only the response message leads to that the security module releases memory locations in the memory area.
  • the memory locations of the memory area of the security module and / or the stored trajectory files and / or the stored first reference values are, for example, each provided with a consecutive serial number which is stored in the security module together with the first reference value and which is included in the operational message, for example in the context of the trajectory message and / or as part of the reference value message, is transmitted to the operating message evaluation system.
  • the operating message evaluation system can thus determine whether it has received the required trajectory files and / or reference values without any gaps. If the operational message evaluation system detects a gap due to a missing serial number, the transmission of a response message according to which one or more of the memory locations are released to the position data processing device is omitted.
  • the security module is also designed to assign transaction numbers to be used once to the individual memory locations in the memory area, which are transmitted, for example, with the response message requesting the deletion of individual entries, from the operating message evaluation system to the position data processing device and which are, for example, in the sequence in which they are received the first reference values to be sent and optionally the first test values are linked.
  • these transaction numbers form an independent identification for the comparisons between the first reference values and the second reference values carried out by the operating message evaluation system, with the operating message evaluation system, which knows the assigned transaction numbers, linking every second reference value with such a transaction number, with the expectation that the transaction numbers, which have been transmitted when the first reference values were sent, provides a comparable data pair.
  • An operating message evaluation system is used to manage at least one position data processing device according to the first aspect of the present invention, in which the position data processing device is designed to send the at least one generated trajectory as part of an operating message to the operating message evaluation system located outside and away from the vehicle and the operating message evaluation system is designed to receive the operating message sent by the position data processing device, to evaluate the received operating message and to generate a response message as a function of the evaluation of the operating message.
  • the operating message evaluation system is characterized, for example, by a message receiver which is designed to receive the operating message and to provide the operating message for an evaluation unit of the operating message evaluation system; wherein the evaluation unit is designed to evaluate the Operating message, for generating a response message as a function of the evaluation of the operating message and for providing the response message for a message sender of the operating message evaluation system.
  • the operating message evaluation system is preferably designed to send the response message preferably to the at least one position data processing device by means of the message sender.
  • the evaluation unit is preferably designed to instruct the message sender to send the response message.
  • the operational message evaluation system comprises, for example, a center in the form of a server that is integrated in a network or connected to a network in order to be able to communicate with the at least one position data processing device, for example via a wireless communication network.
  • a center in the form of a server that is integrated in a network or connected to a network in order to be able to communicate with the at least one position data processing device, for example via a wireless communication network.
  • the exact spatial and physical design of the operational notification evaluation system is less important.
  • the operational notification evaluation system receives at least one trajectory file and optionally also at least one first reference value which is assigned to the at least one trajectory file, for example the. Recording unit for which has determined at least one trajectory file according to the reference value determination method.
  • the operating message evaluation system comprises a message receiver which is designed to receive the operating message from the position data processing device.
  • the message receiver comprises, for example, a number of first receiving modules for receiving the trajectory message and a number of second receiving modules for receiving the reference value message.
  • at least one of the second receiving modules is arranged on a roadside control device of the operational message evaluation system.
  • the operating message evaluation system sorts the trajectory messages and reference value messages as a function of a position data processing device identifier contained therein.
  • the exact configuration of the message receiver of the operational message evaluation system is less important as long as it is ensured that the operational message evaluation system can receive the trajectory message and the reference value message which have been sent out by the position data processing device to be managed.
  • the operating message evaluation system also includes an evaluation unit which evaluates the received operating message and generates the response message as a function of the evaluation of the operating message.
  • the evaluation unit is designed to determine a second reference value for each received trajectory file, specifically according to the same reference value determination method that is optionally used in the position data processing device that sent the trajectory file to the operational message evaluation system as part of the operational message, for example as part of the trajectory message .
  • the evaluation unit is for example designed to carry out a first comparison between the second reference value and the first reference value belonging to the respective trajectory file and to generate the response message as a function of the first comparison result.
  • the evaluation unit is preferably designed to evaluate the received trajectory file and to provide the response message as a function of the evaluation, in particular as a function of an evaluation result.
  • the evaluation unit of the operating message evaluation system is also designed to determine a second test value for each received first reference value, namely in accordance with the same test value determination method that was used by the position data processing device that sent the operating message to the operating message evaluation system.
  • the operational notification evaluation system there is then both a first test value (generated on the decentralized side) and a second test value (generated on the centralized side) for each first reference value.
  • the evaluation unit is preferably designed to carry out a second comparison between the second test value and the first test value associated with the respective first reference value and to generate the response message also as a function of the second comparison result.
  • the evaluation unit of the operational message evaluation system is preferably designed to generate the response message as a function of the first comparison result and / or as a function of the second comparison result in such a way that the response message of the at least one position data processing device indicates that the number of permissible trajectory-specific transactions is to be increased, for example that the first reference value on which the first comparison is based is to be deleted and the corresponding memory space of the memory area is to be released, or the position data processing device is to be put into a state of inoperative readiness.
  • the security module of the managed position data processing device modifies the number of permissible trajectory-specific transactions as a function of the response message, for example by setting a counter status, by adding new TANs to a list, and / or by appropriately managing the memory area, as has been described in detail above: If the response message indicates, for example, that certain first reference values are to be deleted from the memory area (and, if applicable, the associated first test values), then the security module deletes the corresponding entries from the memory locations, whereby the memory locations for new first reference values (and possibly first test values) be released.
  • the security module does not modify the number, for example no deletion of the entries in the memory locations, and thus no new memory locations to be allocated for any further first reference values and / or trajectory files are created.
  • the number of permissible trajectory-specific transactions is Counter reading is specified and / or by a number of available TANs. In this way, it can be checked centrally in a safe and reliable manner whether or not there is an attempt to manipulate the position data processing devices managed by the operating message evaluation system.
  • a toll system which comprises at least one position data processing device designed as a toll device and an operating message evaluation system according to the invention and is characterized in that the position data processing device and / or the operating message evaluation system are / is designed based on the at least one trajectory generated by the position data processing device at least one of the user ID to determine assigned toll route section traveled by the vehicle and / or a toll charge assigned to the user identifier.
  • the position data processing device is designed to determine a first reference value from the generated trajectory in accordance with a reference value determination method and to send the first reference value and the generated trajectory to the operating message evaluation system as part of at least one operational message
  • the operational message evaluation system is designed from the position data processing device received trajectory according to the reference value determination method to determine a second reference value from the received trajectory, to compare the received first reference value with the generated second reference value, if the first reference value agrees with the second reference value, an instruction to increase the number of permissible trajectory-specific transactions is positive
  • the Position data processing device is designed to receive the response message sent by the operating message evaluation system as a function of the at least one operating message sent
  • the position data processing device in such a toll system is designed to determine a first reference value from the generated trajectory according to a reference value determination method and to determine a first test value from the first reference value according to a test value determination method and to determine the first reference value and the first test value as part of at least one operational message to the operational notification evaluation system and the operational notification evaluation system is designed to determine a second test value from the received first reference value from the reference value received by the position data processing device according to the test value determination method, including the received first test value to compare the generated second check value, if the first check value agrees with the second check value, to send an instruction to increase the number of permissible trajectory-specific transactions to the position data processing device, and if the first check value does not match the second check value, no instruction to increase the number of permissible trajectory-specific transactions comprehensive neutral response message to the position data processing device or an instruction to set the number of trajectory-specific transactions to zero comprehensive negative response message to send, the position data processing device is designed to send the response message that the operational message evaluation system
  • a second aspect of the present invention forms a method for operating a toll system according to claim 12.
  • This further aspect of the present invention shares the advantages of the above-described first aspect and the above-described operating message evaluation system and has corresponding preferred embodiments, in particular as shown in FIGS dependent claims are defined. In this respect, reference is made to the above.
  • a toll device managed by the operating message evaluation system sends one (or more) of the generated trajectory files as part of the trajectory message to the operating message evaluation system.
  • This sending of the trajectory message by the position data processing device can take place with or without a prior request by the operational message evaluation system.
  • the transmission of the trajectory message is also carried out, for example, for the purpose of having an evaluation and checking of road sections subject to tolls carried out centrally by the toll center of the operational notification evaluation system.
  • the recording unit of the position data processing device forms the first reference value from the trajectory file in accordance with the reference value determination method, for example a hash value or a CRC value.
  • the operational notification evaluation system forms a second reference value from the received trajectory file in accordance with the same reference value determination method.
  • the security module of the position data processing device determines the first test value for the determined first reference value, specifically in accordance with the test value determination method.
  • the security module stores the first reference value and the first test value together as a test data record in one of the memory locations in the memory area of the security module.
  • the security module stores the first reference value and the first test value together as a test data record in one of the memory locations in the memory area of the security module.
  • the position data processing device sends one or more of these test data records to the operational message evaluation system, specifically within the framework of the reference value message.
  • the reference value message thus contains the test data record or records. This sending of the reference value message can also take place after or without a prior request by the operational message evaluation system.
  • the operating message evaluation system determines second test values for the received first reference values according to the same test value determination method.
  • the check values are, for example, MAC values.
  • the operational message evaluation system compares the transmitted first reference values with the self-determined second reference values and, if necessary, for each transmitted first reference value the transmitted first test value with the self-determined second test value.
  • the operational message evaluation system sends a request to the position data processing device, specifically as part of the response message, to delete the transmitted test data records from the memory area and thus free up the corresponding memory locations for new test data records.
  • the operating message evaluation system does not send any such request to the position data processing device or it sends a signal to the position data processing device in the context of the response message that the position data processing device is in a state of inoperative readiness.
  • the position data processing device can visually indicate such a state, for example by flashing or lighting up a red LED.
  • the position data processing device If the position data processing device detects that the maximum number of test data records that can be stored in the memory area has been reached, i.e. the exhaustion of the memory capacity of the memory area (in this case the number of permissible trajectory-specific transactions is zero), the position data processing device puts itself in the state of inoperability, in which it refuses to carry out further trajectory-specific transactions, and indicates this status, for example, by lighting up a red LED.
  • the first reference values are preferably formed by the recording unit of the position data processing device and forwarded to the security module, which calculates the first test value for each first reference value and includes it in the test data records by means of the autonomous control module optionally provided there, which is operated by independent operating software.
  • the first test values are each formed with the aid of a random number newly determined by the security module for each first test value, which, for example, is also included in the test data record and is optionally transmitted to the operating message evaluation system.
  • a session key with which the first check value is cryptographically generated from the first reference value, can be generated from the random number using a master key that is known both to the position data processing device and to the operational message evaluation system.
  • the first check value is transmitted together with the random number to the operating message evaluation system so that the operating message evaluation system is able to reproduce the session key with the master key and the random number that is also available to it.
  • the operating message evaluation system preferably deletes the trajectory files after checking for toll relevance and determining the second reference values in order to take data protection regulations into account.
  • the communication between the position data processing device and the operating message evaluation system is preferably encrypted.
  • the messages that the position data processing device sends to the operating message evaluation system are encrypted according to asymmetrical encryption
  • messages that the operating message evaluation system sends to the position data processing device are encrypted according to symmetrical encryption.
  • the individual components, in particular the receiver, the recording unit, the communication device and the security module of the position data processing device do not necessarily have to be integrated in a housing, but can also be arranged distributed from one another and, for example, communicate wirelessly with one another according to a communication standard for short-range communication, e.g. Bluetooth.
  • a communication standard for short-range communication e.g. Bluetooth.
  • the exact arrangement of the components and the configuration of the coupling between the components of the position data processing device are less important, provided that it is ensured that the position data processing device can perform its intended function and the operational connections required for this are implemented between the components of the position data processing device.
  • Fig. 1 shows a schematic and exemplary representation of an embodiment of a position data processing device 1 that is not to be interpreted as restrictive with regard to the independently claimed invention and an embodiment of an operating message evaluation system 2 of a toll system 3 that is not to be interpreted as restrictive with regard to the independently claimed invention.
  • the position data processing device 1 is to be carried in one in the Fig.1 Not shown designed vehicle, which drives road sections subject to tolls, for the use of which a toll system 3 collects tolls by means of the position data processing device 1 and an operating message evaluation system 2 arranged apart from and outside the vehicle.
  • the position data processing device 1 includes an in Fig.1 Schematically illustrated DSRC communication module 15 which is attached, for example, to a windshield of the vehicle and is designed to exchange data with a control device 25 of the operating message evaluation system 2 passed by the vehicle.
  • the control device 25 is, for example, a control bridge under which the vehicle drives.
  • the position data processing device 1 is in operative connection with the operating message evaluation system 2, which is arranged essentially in a stationary manner and which is located outside the vehicle.
  • the operational message evaluation system 2 is designed to manage a large number of position data processing devices 1.
  • the position data processing device 1 on the one hand and the operational message evaluation system 2 on the other hand communicate with one another via a wireless communication network, for example via a GSM and / or UMTS network.
  • a wireless communication network for example via a GSM and / or UMTS network.
  • the position data processing device 1 has a receiver 11 which receives satellite data 111 and generates position data 111-1 therefrom, which are indicative of the position of the vehicle in which the position data processing device 1 is carried.
  • the receiver 11 is designed, for example, as a GNSS receiver and receives, for example, satellite data 111 in accordance with the GPS system or another global satellite navigation system.
  • the position data 111-1 can, however, also be contained in said data 151 if the reception of satellite data 111 is not possible, for example in tunnels or other shielded areas. In any case, the position data 111-1 are indicative of the position of the vehicle.
  • a recording unit 12 is coupled to the receiver 11 and receives the received or generated position data 111 - 1 and, as a function thereof, generates trajectory files TJ-1,..., TJ-n and stores them in a storage unit 122.
  • the trajectory files TJ-1 to TJ-n are generated by a processor 121 of the recording unit 12, for example at intervals, for example approximately every 100 km or at time intervals. Each trajectory file TJ-1 to TJn is thus indicative of a route covered by the vehicle.
  • the recording unit is also designed to determine a first reference value RWA-1, ..., RWA-n for each trajectory file TJ-1 to TJ-n according to a reference value determination method and to provide at least one of the trajectory files TJ-1, ..., TJ -n and at least one of the first reference values RWA-1, ..., RWA-n for a communication device 13 for transmission as part of at least one operational message 131, 132 to the operational message evaluation system 2, the communication device 13 also being designed to receive a response message 231 of the operating message evaluation system 2, which the operating message evaluation system 2 has created as a function of an evaluation of the at least one operating message 131, 132.
  • the communication device 13 is designed to communicate with the operating message evaluation system 2 located outside the vehicle, in particular to transmit the operating message 131, 132, which is a Trajectory message 131 and a reference value message 132 separate therefrom.
  • the communication device 13 transmits at least one of the stored trajectory files TJ-1 to TJ-n as part of a trajectory message 131 to the operating message evaluation system 2.
  • the trajectory message 131 can also contain an identifier of the position data processing device 1, so that the operating message evaluation system 2 can assign the received trajectory file to the position data processing device 1.
  • the operating message evaluation system 2 In order to receive the trajectory message 131, the operating message evaluation system 2 has a message receiver 21. Using the trajectory file contained in the trajectory message 131, the operating message evaluation system 2 can carry out a toll recognition and calculate a toll for the user of the vehicle in which the position data processing device 1 is being carried.
  • a security module 14 is also coupled to the recording unit 12 of the position data processing device 1.
  • the security module 14 is designed, for example, as a chip card and has in particular a memory area 141 and a control module 142 for operating this memory area 141.
  • the control module 142 is an autonomous control module, which in particular has its own operating software and in any case not exclusively from a ( in the Fig.1 not shown) control unit, in particular the recording unit 11, the position data processing device 1 is controlled.
  • the number of permitted trajectory-specific transactions can be specified in various ways, namely in particular by a counter reading of a (in the Fig. 1 not shown) counter of the security module 14, a number of available TANs and / or a number of available memory locations of the memory area 141 of the security module 14.
  • a counter reading of a (in the Fig. 1 not shown) counter of the security module 14 a number of available TANs and / or a number of available memory locations of the memory area 141 of the security module 14.
  • the recording unit 12 determines a first reference value RWA-1,..., RWA-n for each generated trajectory file TJ-1 to TJ-n.
  • a reference value is determined according to a reference value determination method.
  • the first reference values RWA-1 to RWA-n are hash values, for example CRC values.
  • the recording unit 12 stores the determined first reference values RWA-1 to RWA-n in the storage locations 141-1 to 141-n, provided that these are available for a corresponding write operation.
  • the control module 142 determines a first test value PWA-1 to PWA-n.
  • These first test values PWA-1 to PWA-n are determined in accordance with a test value determination method, for example in accordance with a MAC method:
  • the first test values PWA-1 to PWA-n are therefore MAC values, for example.
  • communication device 13 sends position data processing device 1, as part of a reference value message 132, one or more of the test data sets stored in memory area 141, each of which has a first reference value RWA-1; ...; RWA-n and a first test value PWA-1; ...; PWA-n, to the operational notification evaluation system 2.
  • the operational notification evaluation system 2 receives the reference value message 132 by means of the message receiver 21.
  • An association between the test data record on the one hand and the trajectory file on the other hand takes place, for example, by the allocation of time stamps or similar identifiers, so that the operational notification evaluation system 2 on receipt of the Trajectory message 131 and the reference value message 132 can determine which test data set is assigned to which trajectory file.
  • Both messages are received by the operational message evaluation system 2 by means of the message receiver 21.
  • the message receiver 21 can for this purpose, for example, be arranged in a distributed manner and a number of first receiving modules for receiving the Trajectory message 131 and a number of second receiving modules for receiving the reference value message 132.
  • at least one of the second receiving modules is arranged on a roadside control device of the operational message evaluation system 2
  • the operational notification evaluation system 2 comprises an evaluation unit 22 which, according to the same reference value determination method that the position data processing device 1 also uses, determines a second reference value for each received trajectory file, and according to the same test value determination method that is also used in the position data processing device 1, a second reference value for every second reference value Test value determined.
  • the operating message evaluation system 2 determines whether the position data processing device 1 has properly recorded the trajectory files TJ-1 to TJ-n.
  • proper recording of trajectory files means in particular that the position data processing device 1 on the one hand completely transmits the trajectory files to the operational notification evaluation system 2 and on the other hand records them correctly.
  • the evaluation unit 22 of the operating message evaluation system 2 generates a response message 231 and transmits this back to the position data processing device 1 by means of a message transmitter 23.
  • the operational message evaluation system 2 If the first reference values match the second reference values and the first test values match the second test values, the operational message evaluation system 2 generates the response message 231 in such a way that it prompts the control module 142 to release the corresponding memory location or locations in the memory area 141 for a new write operation.
  • the control module 142 Upon receipt of such a response message 231, the control module 142 deletes, for example, the test data records from the memory area 141 on which the central comparisons were based, so that the corresponding memory locations for a new write process, i.e. for storing new first reference values and new first test values of a new trajectory file To be available.
  • the security module 14 manages the memory area 141 as a function of the response message 231 of the operating message evaluation system 2, which the operating message evaluation system 2 has created as a function of the evaluation of the trajectory message 131 and the reference value message 132.
  • the operational message evaluation system 2 comes to the result during the evaluation that either the first test values do not match the second test values or the first reference values do not match the second reference values, it generates the response message 231, for example, in such a way that it prompts the position data processing device 1 to to pass into a state of insufficient operational readiness, but in any case in such a way that the memory locations of the memory area 141, the test data records of which were the basis of the evaluation, are not deleted by the control module 142 and thereby released.
  • the operational message evaluation system 2 comes to the result during the evaluation that either the first test values do not match the second test values or the first reference values do not match the second reference values, it generates the response message 231, for example, in such a way that it prompts the position data processing device 1 to to pass into a state of insufficient operational readiness, but in any case in such a way that the memory locations of the memory area 141, the test data records of which were the basis of the evaluation, are not deleted by the control module 142 and thereby released.
  • This state is indicated to a user of the position data processing device 1, for example, in that a red LED lights up.
  • the operational message evaluation system 2 registers that the position data processing device 1 is operating in this state and initiates appropriate measures, for example by the operational message evaluation system 2 placing the position data processing device 1 on a watch list or immediately initiating certain sanctioning measures.
  • optional configurations of the position data processing device 1 provide that the DSRC communication module 15 is designed to store a copy of the first test values PWA-1 to PWA-n and the first reference values RWA- 1 to RWA-n, so that the first test values PWA-1 to PWA-n and the first reference values RWA-1 to RWA-n are also checked by a control device 25 through which the vehicle passes, within the scope of a by the DSRC- Communication module to the control device 25 sent reference value message 132 can be read.
  • Such a control device 25 for example a control bridge, is usually also in operative connection with the operating message evaluation system 2, so that the first test values PWA1-1 to PWA-n and the first reference values RWA-1 to RWA-n are transmitted to the operating message evaluation system 2 by means of such a control device can be so that it can be checked centrally in this way, whether the position data processing device 1 is operating properly.
  • control device 25 makes an attempt to determine a respective first test value PWA- k by determining a respective second test value from the respective first reference value RWA-k, undertakes. If the attempt is unsuccessful, the control device sends an error message relating to the corresponding position data processing device 1 to the operational message evaluation system 2.
  • the operational message evaluation system 2 can therefore centrally check the integrity and authenticity of the trajectory files TJ-1, ..., TJ-n and thus the correct functioning of the position data processing device 1 check.
  • the first reference values are saved so that the operational message evaluation system 2 can check that all trajectory files have actually arrived unchanged at the operational message evaluation system 2.
  • trajectory files TJ-1 to TJ-n can be contained in a trajectory message 131.
  • An identifier of the position data processing device 1 can be contained in the trajectory message 131 and / or in the reference value message 132.
  • An assignment between the trajectory files TJ-1 to TJn on the one hand and the test data records on the other hand for example, by the toll device-side allocation of time stamps or similar identifiers, which clearly provide an assignment between the test data records and the trajectory files.
  • the position data processing device 1 sends the trajectory message 131 and / or the reference value message 132, for example when requested by the operational message evaluation system 2. It is also possible for the position data processing device 1 to transmit the trajectory message 131 and / or the reference value message 132 to the operating message evaluation system 2 without being prompted by the operating message evaluation system 2.
  • the security module 14 is designed, for example, as an independent chip card that is coupled to at least one existing component of the position data processing device 1, in particular to the recording unit 12.
  • the position data processing device 1 is designed, for example, as an on-board unit (OBU) and has a housing.
  • the security module 14 is preferably arranged within this housing.
  • the position data processing device 2 generates the response message 231 in the event of non-correspondence between the first reference values and the second reference values and / or in the event of non-correspondence between the first test values and the second test values, for example in such a way that the position data processing device 1 as a result switches to a lacking state Operational readiness passes.
  • Such a mismatch between the first and second reference values or between the first and second test values is also given in particular if a first reference value and / or a first tester value has not been transmitted to the operating message evaluation system 2 for a trajectory file.
  • a lack of correspondence can also result from the fact that the position data processing device 1 not only transmits a first reference value but several first reference values to a trajectory file.

Description

  • Positionsdatenverarbeitungseinrichtung und Mautsystem sowie Verfahren zum Betreiben einer Positionsdatenverarbeitungseinrichtung und eines Mautsystems Die vorliegende Erfindung betrifft eine Positionsdatenverarbeitungseinrichtung gemäß dem Oberbegriff des Patentanspruchs 1 und ein Verfahren zum Betreiben eines Mautsystems gemäß dem Oberbegriff des Patentanspruchs 12.
  • Für die Zwecke einer Mauterhebung werden heutzutage in Fahrzeugen, insbesondere in LKWs, Mautgeräte, sogenannte OnBoard-Units (OBU), installiert. Ein im Fahrzeug installiertes Mautgerät zeichnet während der Fahrt des Fahrzeugs Positionsdaten auf, die indikativ für die vom Fahrzeug zurückgelegte Strecke sind. Entsprechend den aufgezeichneten Positionsdaten, die im Folgenden auch als Trajektorie oder als Trajektoriendatei bezeichnet werden, und in Abhängigkeit von vorprogrammierten Fahrzeugdaten, wie beispielsweise die Emissionsklasse, das Fahrzeuggewicht, die Achsenanzahl etc., und in Abhängigkeit von vorprogrammierten Tarifdaten und weiteren Fahrzeugdaten, die ein Fahrer in das Mautgerät eingegeben hat, ermittelt bei vorbekannten Mautgeräten das Mautgerät selbst den Betrag der zu zahlenden Maut und speichert diese Informationen in einem Speicher des Mautgeräts ab.
  • Die Informationen über den zu entrichtenden Mautbetrag sendet das vorbekannte Mautgerät mittels einer Kommunikationseinrichtung, beispielsweise über ein GSM (Global System for Mobile Communications) Netz, an eine Mautzentrale, also an eine zentrale Mauterhebungsstelle. Beispielsweise erfolgt das Versenden dieser Informationen nach Erreichen eines bestimmten Mautbetrags oder nach Ablauf einer definierten Zeit. Sollte das Mautgerät zu diesem Zeitpunkt ausgeschaltet sein, so werden die Informationen nach einem nächsten Einschalten des Mautgeräts gesendet. In der Mautzentrale werden die zu zahlenden Mautbeträge anhand eines Fahrzeugkennzeichnens einem registrierten Nutzer zugeordnet. Je nachdem, ob dem Nutzer eine Bonität eingeräumt wurde, werden dann Rechnungen versendet oder der Betrag von einem kreditorischen Konto abgebucht.
  • An Orten, bei denen kein satellitengestützter Empfang von Satellitendaten, aus denen die Positionsdaten generiert werden können, möglich ist, beispielsweise in Tunneln oder anderen abgeschirmten Gegenden, können Positionsdaten direkt über Kontrolleinrichtungen, beispielsweise sogenannte Stützbaken, auf Infrarot-Basis oder einem anderen Kommunikationsstandard kurzreichweitiger Kommunikation an das Mautgerät übertragen werden. Eine derartige Übertragung von Positionsdaten an das Mautgerät erfolgt beispielsweise mittels eines Kurzreichweiten-Kommunikationsmoduls, beispielsweise mittels eines sogenannten DSRC- (Dedicated Short Range Communicätion) Moduls, das beispielsweise in der Nähe oder an der Windschutzscheibe des betreffenden Fahrzeugs installiert ist und in Wirkverbindung mit dem Mautgerät steht. Über ein derartiges Modul können auch Daten von dem Mautgerät an die Kontrolleinrichtung und damit an die Mautzentrale übertragen werden, falls beispielsweise kein GSM-Netz oder anderes Drahtloskommunikationsnetzwerk (z.B. UMTS o.ä. Mobilfunknetz) verfügbar ist.
  • Werden neue Mauttarife eingeführt, so erfolgt eine Aktualisierung der Daten auf den Mautgeräten zentral über Mobilfunk und gesteuert von der Mautzentrale.
  • Problematisch bei dem oben vorgestellten vorbekannten Ansatz ist, dass das Mautgerät selbst keine Trajektoriendateien an die Mautzentrale übermittelt, sondern nur Informationen über die zu zahlenden Gebühren, sodass bei der Mautzentrale nicht überprüft werden kann, ob die Trajektoriendatei, die bei dem Mautgerät der Berechnung der Gebühren zugrunde lag, richtig aufgezeichnet worden ist, oder ob ein Manipulationsversuch stattgefunden hat. Zum Detektieren derartiger Manipulationsversuche sind aus dem Stand der Technik einige Ansätze bekannt.
  • So beschreibt beispielsweise die EP 2 487 506 A1 eine Positionsbestimmungsvorrichtung sowie ein Verfahren zur Signalisierung einer mangelnden Betriebsbereitschaft einer Positionsbestimmungsvorrichtung. Dabei ist zur Signalisierung einer mangelnden Betriebsbereitschaft einer mit einem GNSS (Global Navigation Satellite System) - Empfänger und einem Mobilfunkempfänger ausgerüsteten Positionsbestimmungsvorrichtung eine Entscheidung vorgesehen, die sowohl auf der Positionsbestimmungsqualität des GNSS-Empfangs des GNSS-Empfängers als auch auf mehreren Erfassungen der Mobilfunk-Empfangscharakteristik des Mobilfunk-Empfangs des Mobilfunkempfängers beruht. Eine solche Entscheidung kann durch die Registrierung eines unzureichenden GNSS-Empfangs des GNSS-Empfängers und durch die Feststellung eines regulären Mobilfunk-Empfangs des Mobilfunkempfängers bedingt werden und durch ein Signalisierungsmittel einer von der Positionsbestimmungsvorrichtung umfassten Signalisierungsvorrichtung signalisiert werden.
    Aus der WO 2009/001303 A1 ist ein Mauterfassungssystem bekannt, bei dem die Mautgeräte die Mauterkennung und die Berechnung der Mautgebühr nicht selbst durchführen, sondern diese Arbeiten an eine externe Einheit weiterleiten, wobei diese Weiterleitung in anonymer Weise erfolgt, womit Datenschutzzwecke verfolgt werden sollen.
  • Die DE 694 09 880 T2 beschreibt ein sogenanntes Strukturierungsverfahren für Teletransaktionsobjekte einer Bordanlage. Dort umfasst ein Mautgerät zum Speichern eines Mautdatensatzes einen physikalischen Speicherraum, der in vier logische Speicherräume partitioniert ist, wobei die logischen Räume unterschiedlichen Bereichen des physikalischen Raums entsprechen. Ein erster logischer Raum entspricht beispielsweise einem physikalischen Raum einer Chipkarte und dient zum Speichern von Objekten in der Chipkarte. Dabei benennt es die DE 694 09 880 T2 als eine der hauptsächlichsten betrügerischen Anwendungen bei einem Mautgerät, dass eine derartige Chipkarte vor dem Herstellen einer Transaktion zwischen einer festen Mautstation und dem mitgeführten Mautgerät vertauscht werde. Um eine solche betrügerische Anwendung zu erkennen, ist vorgesehen, in einem weiteren logischen Speicherraum im Laufe einer Transaktion zwischen dem Mautgerät und.der ortsfesten Mautstation modifizierten Objekte aufzuzeichnen, wobei diese Objekte auch im ersten logischen Speicherraum zum Zwecke ihres Vergleichs mit denen des weiteren logischen Speicherraums im Moment einer nächsten Transaktion vorhanden sind. Die Hinzufügung dieses weiteren logischen Speicherraums habe den Vorteil, dass eine Verknüpfung zwischen dem Fahrzeug und der Chipkarte hergestellt werde und stelle damit eine Lösung für die Kontrolle der betrügerischen Verwendung des Mautgeräts dar.
  • Die europäische Patentanmeldung EP 2 690 602 A2 offenbart die Bestimmung eines befahrenen mautpflichtigen Straßenabschnitts anhand einer Folge von mehreren Positionsangaben, die ein Mautgerät im Fahrzeug erzeugt hat, den Abzug einer Mautgebühr für das Befahren dieses mautpflichtigen Straßenabschnitts von einem im Mautgerät gespeicherten Mautguthaben und das Versenden eines Mautdatensatzes, der die Kennung des besagten mautpflichtigen Straßenabschnitts enthält, durch das Mautgerät an eine zentrale Mauterhebungseinrichtung.
  • Die US-amerikanische Patentanmeldung US 2006 0 200 379 A1 offenbart ein Fahrzeuggerät, das die Bestimmung eines mautpflichtigen Streckenabschnitts anhand eines Vergleichs mit einer Fahrzeugposition, die Berechnung einer Mautgebühr für den bestimmten mautpflichtigen Streckenabschnitt und die Übersendung von berechneten Mautgebühren an ein Kontrollzentrum durchführt, wobei das Kontrollzentrum eine Warn- oder Blockiernachricht an das Fahrzeuggerät sendet, wenn ein Guthaben oder ein Kreditrahmen droht zu erschöpfen oder erschöpft ist.
  • Aufgabe der vorliegenden Erfindung ist es, Mittel vorzuschlagen, mit denen bei einer Manipulation oder einem Gerätedefekt im Zusammenhang mit der Erzeugung und/ oder der Übersendung einer Trajektorie, insbesondere in Form einer Trajektoriendatei, ein solches Mautgerät in einen Zustand der mangelnden Betriebsfähigkeit versetzt werden kann.
  • Gelöst wird diese Aufgabe durch einen oder durch mehrere Gegenstände der unabhängigen Ansprüche. Merkmale vorteilhafter Ausführungsformen sind in den Unteransprüchen angegeben. ,
  • Einen ersten Aspekt der vorliegenden Erfindung bildet die Positionsdatenverarbeitungseinrichtung gemäß dem unabhängigen Patentanspruch 1.
    Einen zweiten Aspekt der vorliegenden Erfindung bildet das Verfahren zum Betreiben eines Mautsystems gemäß Anspruch 12.
  • Zusammengefasst werden mit der Erfindung eine Positionsdatenverarbeitungseinrichtung und ein Verfahren für den Betrieb einer solchen Positionsdatenverarbeitungseinrichtung bereitgestellt, bei denen bezüglich aus Positionsdaten, die die Positionsdatenverarbeitungseinrichtung erfasst hat, erzeugten Trajektorien trajektorienspezifische Transaktionen durchgeführt werden, die in ihrer Anzahl beschränkt sind. Mit jeder trajektoriespezifischen Transaktion wird die Anzahl noch zulässiger trajektoriespezifischer Transaktionen reduziert, wobei die Positionsdatenverarbeitungseinrichtung aus einem Zustand der gegeben Betriebsbereitschaft, in dem sie trajektoriespezifische Transaktionen durchführt, in einen Zustand mangelnder Betriebsbereitschaft wechselt, in dem sie keine trajektoriespezifischen Transaktionen durchführt, wenn die Anzahl zulässiger trajektoriespezifischer Transaktionen Null beträgt.
  • Bei der nachfolgenden Beschreibung wird auf sämtliche Aspekte der Erfindung Bezug genommen.
  • Die erfindungsgemäße Positionsdatenverarbeitungseinrichtung ist zur Mitführung in oder an einem Fahrzeug geeignet und in einem Zustand gegebener Betriebsbereitschaft ausgebildet, keine mangelnde Betriebsbereitschaft und/ oder eine gegebene Betriebsbereitschaft zu signalisieren, Positionsdaten, die indikativ für Positionen des Fahrzeugs sind, zu empfangen oder zu erzeugen, in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten wenigstens eine Trajektorie zu erzeugen, die indikativ für eine von dem Fahrzeug zurückgelegte Strecke ist, bezüglich der wenigstens einen erzeugten Trajektorie wenigstens eine trajektoriespezifische Transaktion durchzuführen, eine Anzahl von zulässigen trajektoriespezifischen Transaktionen von größer als Null infolge der wenigstens einen durchgeführten trajektoriespezifischen Transaktion zu reduzieren und in einen Zustand mangelnder Betriebsbereitschaft zu wechseln, falls die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt, und im Zustand mangelnder Betriebsbereitschaft ausgebildet, keine trajektoriespezifische Transaktion durchzuführen und eine mangelnde Betriebsbereitschaft und/ oder keine gegebene Betriebsbereitschaft zu signalisieren.
  • Unter einer Trajektorie wird eine Folge von wenigstens zwei verschiedenen Ortsinformationen angesehen, die zumindest näherungsweise zwei Orte repräsentieren, die das Fahrzeug passiert hat. Im einfachsten Fall besteht damit eine Trajektorie aus den Positionsdaten zweier aufeinander folgend erzeugter oder erfasster Positionen des Fahrzeugs mit jeweils einem Longituden- und einem Latitudenwert. In der Praxis umfasst eine Trajektorie wesentlich mehr als zwei Punkte; beispielsweise eintausend bis zehntausend Punkte, die jeweils zumindest näherungsweise einen Ort repräsentieren, den das Fahrzeug passiert hat. Die Daten dieser Punkte müssen nicht notwendigerweise mit den Positionsdaten der erfassten oder erzeugten Positionen übereinstimmen. Beispielsweise können die Punkte der Trajektorie das Ergebnis einer Auswahl von Positionen, einer Korrektur von Positionen, einer Interpolation zwischen zwei Positionen oder einer Glättung mehrerer Positionen sein.
    Eine Trajektorie kann insbesondere zumindest zeitweise in Form einer Trajektoriendatei in der Positionsdatenverarbeitungseinrichtung gespeichert sein, die Trajektoriedaten jeweils in Form von Longituden- und Latitudenwerten eines jeden Punktes der Trajektorie umfasst. Wann immer im Laufe der vorliegenden Unterlagen die Rede von einer Trajektorie ist, ist impliziert, dass diese in Form einer Trajektoriendatei gespeichert, verarbeitet und übertragen werden kann. Wann immer im Laufe der vorliegenden Unterlagen die Rede von einer Trajektoriendatei ist, steht die Trajektoriendatei synonym für die Trajektorie und impliziert damit - bezogen auf Daten einer Trajektorie - auch jede andere dem Fachmann bekannte Form des Vorliegens von Daten einer beliebiger Information, beispielsweise beim Speichern, Verarbeiten oder Übertragen von Daten.
  • Unter einer Transaktion wird eine Folge von Programmschritten angesehen, die beispielsweise von einem Prozessor der Positionsdatenverarbeitungseinrichtung (beispielsweise von der weiter unten angeführten Aufzeichnungseinheit) ausgeführt werden, die als eine logische Einheit betrachtet werden. In diesem Sinne ist der Datenbestand der Positionsdatenverarbeitungseinrichtung nach der fehlerfreien und vollständigen Ausführung der Transaktion ein einem konsistenten Zustand, der bedingt, dass die Transaktion als solche entweder vollständig und fehlerfrei oder gar nicht ausgeführt wird. Beispiele für eine Transaktion sind die Speicherung von Daten in einem Speicher der Positionsdatenverarbeitungseinrichtung, die Versendung von Daten aus der Positionsdatenverarbeitungseinrichtung an einen von der Positionsdatenverarbeitungseinrichtung beabstandeten Ort, die Verarbeitung eines Datensatzes aus einem definierten Ausgangszustand in einen definierten Zielzustand - beispielsweise die Verschlüsselung eines Datensatzes. Unter einer trajektoriespezifischen Transaktion wird eine Transaktion angesehen, die in Abhängigkeit von Trajektoriedaten, Daten, aus denen die Trajektoriedaten abgleitet wurden und/ oder Daten, die aus den Trajektoriedaten abgeleitet wurden, erfolgt, beispielsweise in Abhängigkeit von Daten der erfindungsgemäß erzeugten Trajektorie oder in Abhängigkeit von Positionsdaten, von denen abhängig die Trajektorie erzeugt wurde. In diesem Sinne ist eine trajektoriespezifische Transaktion eine Transaktion, in der Daten, die im Kontext mit einer erfindungsgemäß erzeugten Trajektorie stehen, verarbeitet werden - beispielsweise von einem Prozessor der Positionsdatenverarbeitungseinrichtung. Ist die Positionsdatenverarbeitungseinrichtung ausgebildet, mehrere verschiedene trajektoriespezifische Transaktionen durchzuführen; so ist zumindest eine der verschiedenen trajektoriespezifischen Transaktionen als diejenige erfindungsgemäße ausgezeichnet, in deren Folge erfindungsgemäß die Anzahl von zulässigen erfindungsgemäßen trajektoriespezifischen Transaktionen reduziert wird.
  • Mit der Erfindung wird es möglich, die Anzahl trajektoriespezifischer Transaktionen in der Positionsdatenverarbeitungseinrichtung und somit die Auswirkungen von einem etwaigen Defekt oder einer etwaigen Manipulationen an der Positionsdatenverarbeitungseinrichtung zu begrenzen.
  • Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft ausgebildet, bezüglich keiner erzeugten Trajektorie eine trajektoriespezifische Transaktion durchzuführen.
    Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft ausgebildet, keine Trajektorie in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten zu erzeugen.
  • Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft ausgebildet, keine Positionsdaten, die indikativ für Positionen des Fahrzeugs sind, zu empfangen oder zu erzeugen.
  • Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, keine mangelnde Betriebsbereitschaft zu signalisieren, und im Zustand mangelnder Betriebsbereitschaft ausgebildet, eine mangelnde Betriebsbereitschaft zu signalisieren.
    Alternativ oder optional ist die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, eine gegebene Betriebsbereitschaft zu signalisieren, und im Zustand mangelnder Betriebsbereitschaft ausgebildet, keine gegebene Betriebsbereitschaft zu signalisieren.
    Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, durch Ausgabe eines optischen, akustischen und/ oder elektromagnetischen Signals eine gegebene Betriebsbereitschaft zu signalisieren. Beispielsweise kann das elektromagnetische Signal ein Funksignal sein, das von der Positionsdatenverarbeitungseinrichtung an eine, von dem Fahrzeug beabstandete zentrale Einrichtung (beispielsweise das u. a. Betriebsmitteilungsauswertungssystem oder die u. a. Mautzentrale) infolge eines Einschaltens/ Versorgung der Positionsdatenverarbeitungseinrichtung mit einem Betriebsstrom einmalig und/ oder wiederholt zu zufälligen Zeitpunkten oder bestimmten Anlässen gesendet wird.
    Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft ausgebildet, eine mangelnde Betriebsbereitschaft durch Ausgabe eines optischen, akustischen und/oder elektromagnetischen Signals zu signalisieren. Beispielsweise kann das elektromagnetische Signal ein Funksignal sein, das von der Positionsdatenverarbeitungseinrichtung an eine, von dem Fahrzeug beabstandete zentrale Einrichtung (beispielsweise das u. a. Betriebsmitteilungsauswertungssystem oder die u. a. Mautzentrale) infolge des Wechsels in den Zustand der mangelnden Betriebsbereitschaft einmalig und/ oder wiederholt zu zufälligen Zeitpunkten oder bestimmten Anlässen gesendet wird.
    Die Signalisierung der mangelnden oder keiner gegebenen Betriebsbereitschaft kann dem Fahrer oder einem Mitarbeiter des Betriebs der zentralen Einrichtung als Hinweis dienen, dass seinerseits Maßnahmen erforderlich sind, um die Positiorisdatenverarbeitungseinrichtung wieder in einen Zustand der gegebenen Betriebsbereitschaft zurück zu versetzen. Die Signalisierung keiner mangelnden oder einer gegebenen Betriebsbereitschaft kann dem Fahrer oder einem Mitarbeiter des Betriebs der zentralen Einrichtung als Hinweis dienen, dass er sich auf den bestimmungsgemäßen Betrieb der Positionsdatenverarbeitungseinrichtung verlassen kann und seinerseits keine Maßnahmen bezüglich der Positionsdatenverarbeitungseinrichtung erforderlich sind.
  • Insbesondere kann die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ferner ausgebildet sein, die wenigstens eine erzeugte Trajektorie oder einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie bestimmten ersten Referenzwert im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem zu versenden.
    In diesem Fall ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft vorzugsweise ausgebildet, keine erzeugte Trajektorie und keinen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie bestimmten ersten Referenzwert (RWA-1, ..., RWA-n) an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem zu versenden.
  • Erfindungsgemäß ist die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, infolge oder im Rahmen der Durchführung der trajektoriespezifischen Transaktion die wenigstens eine erzeugte Trajektorie oder einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie bestimmten ersten Referenzwert im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem zu versenden, eine Antwortnachricht, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung versendet hat, zu empfangen und in Abhängigkeit von der empfangenen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu einer Anzahl von größer als Null zu modifizieren, unverändert zu lassen oder gleich Null zu setzen.
  • Damit wird es einerseits möglich, die Positionsdatenverarbeitungseinrichtung automatisiert und ohne die Mitwirkung des Fahrers oder eines Mitarbeiter des Betriebs des Betriebsmitteilungsauswertungssystems in einem Zustand gegebener Betriebsbereitschaft zu halten, wenn die Auswertung der gesendeten Betriebsmitteilung durch das Betriebsmitteilungsauswertungssystem ergibt, dass kein Defekt und keine Manipulation an der Positionsdatenverarbeitungseinrichtung, insbesondere an den Daten der Trajektoriendatei vorliegt (in diesem Fall enthält die Antwortnachricht beispielsweise die Anweisung, die vorgegebene Anzahl von zulässigen trajektoriespezifischen Transaktionen zu einer Anzahl von größer als Null zu modifizieren) und andererseits die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft zu versetzen, wenn die Auswertung der gesendeten Betriebsmitteilung durch das Betriebsmitteilungsauswertungssystem ergibt, dass ein Defekt oder eine Manipulation an der Positionsdatenverarbeitungseinrichtung, insbesondere an den Daten der Trajektoriendatei vorliegt (in diesem Fall enthält die Antwortnachricht beispielsweise die Anweisung, die Anzahl der zulässigen trajektoriespezifischen Transaktionen unverändert zu lassen oder gleich Null zu setzen).
    Insbesondere - und das ist das besondere Verdienst der Erfindung - erreicht die Positionsdatenverarbeitungseinrichtung den Zustand der mangelnden Betriebsbereitschaft ganz automatisch, wenn der Defekt oder die Manipulation an der Positionsdatenverarbeitungseinrichtung derart ist, dass die Versendung der Betriebsmitteilung von der Positionsdatenverarbeitungseinrichtung an das Betriebsmitteilungsauswertungssystem ausbleibt, weil die Positionsdatenverarbeitungseinrichtung ausgebildet ist, mit jeder durchgeführten trajektoriespezifischen Transaktion die Anzahl der (noch verbleibenden) zulässigen trajektoriespezifischen zu reduzieren, bis die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt, ohne dass sie (mangels versendeter Betriebsmitteilungen) eine die vorgegebene Anzahl an zulässigen trajektoriespezifischen Transaktionen erhöhende Antwortnachricht von dem Betriebsmitteilungsauswertungssystem empfangen könnte.
  • Insbesondere ist dabei die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, eine Antwortnachricht, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von einer Auswertung der wenigstens einen gesendeten Betriebsmitteilung versendet hat, zu empfangen.
    Die Positionsdatenverarbeitungseinrichtung kann im Zustand mangelnder Betriebsbereitschaft ausgebildet sein, eine Wiederinbetriebssetzungsnachricht von den Betriebsmitteilungsauswertungssystem zu empfangen und in Abhängigkeit von der empfangenen Wiederinbetriebssetzungsnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu einer Anzahl von größer als Null zu modifizieren und in den Zustand der gegebenen Betriebsbereitschaft zurückzuwechseln.
    Zum Versenden der Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem und zum Empfang von Antwortnachrichten von dem Betriebsmitteilungsauswertungssystem umfasst die Positionsdatenverarbeitungseinrichtung bevorzugt eine Kommunikationseinrichtung oder ist an eine solche angeschlossen.
  • Die Positionsdatenverarbeitungseinrichtung ist beispielsweise als Mautgerät ausgebildet, das beispielsweise für eine Anordnung in einem Fahrzeug ausgestaltet ist. Beispielsweise handelt es sich bei dem Mautgerät um eine OnBoard-Unit (OBU). Alternativ kann das Mautgerät als mobiles Endgerät, beispielsweise als Smartphone oder Tablet-PC, und insoweit ebenfalls zum Mitführen in einem Fahrzeug ausgestaltet sein.
    Vorzugsweise weist das Mautgerät einen Datenspeicher auf, in dem eine Nutzerkennung gespeichert ist. Diese Nutzerkennung kann beispielsweise eine Kennung des Mautgerätes, des Fahrzeugs oder des Fahrers/ Halters/ Eigentümers des Fahrzeugs sein und dient zur Zuordnung von durch das Mautgerät empfangenen oder erzeugten Daten, die die Nutzung einer mautpflichtigen Straße repräsentieren, zu einer Instanz anhand derer der Mautpflichtige bestimmt werden kann.
  • Die Positionsdatenverarbeitungseinrichtung wird beispielsweise von einem außerhalb des Fahrzeugs befindlichen Betriebsmitteilungsauswertungssystem verwaltet. Das Betriebsmitteilungsauswertungssystem verwaltet beispielsweise eine Vielzahl von Mautgeräten, die jeweils eine Positionsdatenverarbeitungseinrichtung umfassen. Das Betriebsmitteilungsauswertungssystem weist für diese Zwecke beispielsweise eine Mautzentrale und/oder eine oder mehrere straßenseitige Kontrolleinrichtungen auf, wobei letztere mobil oder stationär (beispielsweise stationäre Mautstellen) sein können. Alternativ ist das Betriebsmitteilungsauswertungssystem von einem Mautsystem mit einer derartigen Mautzentrale und einen oder mehreren derartigen straßenseitigen Kontrolleinrichtungen umfasst. Beispielsweise ist die Mautzentrale ausgebildet, basierend auf Daten der empfangenen Trajektorie, die das Betriebsmitteilungsauswertungssystem von einer verwalteten Positionsdatenverarbeitungseinrichtung - insbesondere einem Mautgerät - empfangenen hat, eine Mautgebühr zu berechnen, die beispielsweise der Nutzerkennung zugeordnet wird, die in dem Mautgerät gespeichert ist und zusammen mit oder unabhängig von der Trajektorie durch das Mautgerät an die Mautzentrale versendet wird mit dem Zweck, die Mautgebühr dem Mautpflichtigen desjenigen Fahrzeugs zuzuordnen, von welchem die Positionsdatenverarbeitungseinrichtung mitgeführt worden ist.
  • So kann eine als Mautgerät dienliche Positionsdatenverarbeitungseinrichtung eine in der Positionsdatenverarbeitungseinrichtung gespeicherte Nutzerkennung, insbesondere eine Kennung des Fahrzeugs oder der Positionsdatenverarbeitungseinrichtung, aufweisen und ausgebildet sein, die wenigstens eine erzeugte Trajektorie im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem zu versenden und die Nutzerkennung zusammen mit der Trajektorie im Rahmen der Betriebsmitteilung oder ohne die Trajektorie in einer von der Betriebsmitteilung unabhängigen Identifikationsmitteilung an das Betriebsmitteilungsauswertungssystem zu senden.
    Dabei ist datentechnisch gesichert, dass die Identifikationsmitteilung in einem Kontext zu der Betriebsmitteilung steht, so dass seitens des Betriebsmitteilungsauswertungssystems eine Zuordnung der Nutzerkennung zu der Trajektorie oder zu einem aus der Trajektorie durch das Betriebsmitteilungsauswertungssystem erzeugten Ergebnis, beispielsweise einer Mautgebühr, möglich ist.
    Alternativ oder optional kann eine als Mautgerät dienliche Positionsdatenverarbeitungseinrichtung eine in der Positionsdatenverarbeitungseinrichtung gespeicherte Nutzerkennung, insbesondere eine Kennung des Fahrzeugs oder der Positionsdatenverarbeitungseinrichtung, aufweisen und ausgebildet sein, aus der wenigstens einen Trajektorie einen durch das Fahrzeug befahrenen mautpflichtigen Streckenabschnitt und/ oder wenigstens eine Mautgebühr zu bestimmen und wenigstens einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie bestimmten ersten Referenzwert im Rahmen einer Betriebsmitteilung zusammen mit der Nutzerkennung an das Betriebsmitteilungsauswertungssystem zu senden.
  • Vorzugsweise weist die Positionsdatenverarbeitungseinrichtung einen Empfänger auf, der ausgebildet ist zum Empfangen und/oder zum Erzeugen von Positionsdaten, die indikativ für die Position des Fahrzeugs sind. Bei dem Empfänger handelt es sich beispielsweise um einen Global Navigation Satellite System (GNSS) Empfänger, der ausgebildet ist zum Empfangen von Satellitensignalen und zum Erzeugen der Positionsdaten in Abhängigkeit von den empfangenen Satellitensignalen. Beispielsweise handelt es sich bei den Satellitensignalen um GPS-, GLONASS-, GALILEO- oder COMPASS-Signale. Die Positionsdaten können aber auch von stationären straßenseitigen Einrichtungen, beispielsweise sogenannte Stützbaken, die das Fahrzeug passiert, ausgesendet und vom Empfänger der Positionsdatenverarbeitungseinrichtung empfangen werden, der in diesem Falle als DSRC-Empfänger ausgebildet sein kann.
  • An den Empfänger gekoppelt ist vorzugsweise eine von der Positionsdatenverarbeitungseinrichtung umfasste Aufzeichnungseinheit, die zum Erzeugen von Trajektorien, beispielsweise in Form von Trajektoriendateien, in Abhängigkeit von den Positionsdaten ausgebildet ist. Jede der Trajektoriendateien ist insofern indikativ für eine von dem Fahrzeug zurückgelegte Strecke. Eine Trajektoriendatei umfasst also beispielsweise einen Satz von Positionsdaten, die der Empfänger während eines Zeitraums erzeugt und/oder empfangen hat. Die Erzeugung der Trajektoriendateien durch die Aufzeichnungseinheit erfolgt beispielsweise intervallmäßig, beispielsweise in Zeitintervallen oder in Streckenintervallen. Beispielsweise ist die Aufzeichnungseinheit also ausgebildet, für alle Positionsdaten, die während des Passierens eines bestimmten Streckenintervalls einer bestimmten Länge von beispielsweise 100 km empfangen und/oder erzeugt worden sind, in einer Trajektoriendatei abzulegen, insbesondere zu speichern. Bei einer anderen Ausführungsform ist die Aufzeichnungseinheit beispielsweise ausgebildet, die Positionsdaten, die während eines vergangenen Zeitintervalls empfangen und/oder erzeugt worden sind, in einer Trajektoriendatei abzulegen, insbesondere zu speichern. Beispielsweise erstellt die Aufzeichnungseinheit für alle Positionsdaten, die in einem Zeitintervall von einigen Minuten oder Stunden empfangen und/oder erzeugt worden sind, eine neue Trajektoriendatei.
  • Zum Speichern der Trajektoriendatei kann in der Positionsdatenverarbeitungseinrichtung ein Speicher vorgesehen sein, der von der Aufzeichnungseinheit betrieben werden kann.
  • Die Aufzeichnungseinheit ist außerdem bevorzugt ausgebildet, einer Kommunikationseinrichtung der Positionsdatenverarbeitungseinrichtung wenigstens eine der Trajektoriendateien zur Übermittlung im Rahmen wenigstens einer Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem bereitzustellen, wobei die Kommunikationseinrichtung ferner ausgebildet ist zum Empfangen einer Antwortnachricht des Betriebsmitteilungsauswertungssystems, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von einer Auswertung der wenigstens einen Betriebsmitteilung erstellt hat. Insbesondere erstellt das Betriebsmitteilungsauswertungssystem die Antwortnachricht in Abhängigkeit von dem Auswertungsergebnis der Auswertung der Betriebsmitteilung. Zunächst übermittelt die Kommunikationseinrichtung also die wenigstens eine Trajektoriendatei an das Betriebsmitteilungsauswertungssystem und erhält beispielsweise in Antwort darauf besagte Antwortnachricht.
  • Die Positionsdatenverarbeitungseinrichtung kann ferner ein Sicherheitsmodul aufweisen. Mit dem Sicherheitsmodul können bestimmte Verarbeitungsschritte der Positionsdatenverarbeitungseinrichtung durchgeführt werden. Ein solches Sicherheitsmodul ist beispielsweise als Chipkarte ausgestaltet. Ein Sicherheitsmodul ist beispielsweise eine "besonders geschützte" eigenständige Einheit, beispielsweise eine Chipkarte, die wenigstens ein autonomes Steuermodul und einen Speicherbereich aufweist, wobei das autonome Steuermodul bevorzugt dazu konfiguriert ist, Anfragen nach einer Herausgabe von Daten aus dem Speicherbereich und/oder der Änderung oder Aufnahme von Daten im Speicherbereich nur gegen eine Authentifizierung auszuführen. Die Durchführung der Authentifizierungsprozedur kann die Analyse einer digitalen Signatur mittels eines vom Signierenden im Sicherheitsmodul abgelegten öffentlichen Schlüssels erfolgen.
  • Die Positionsdatenverarbeitungseinrichtung weist bevorzugt wenigstens einen Prozessor - beispielsweise in Form oder umfasst von der Aufzeichnungseinheit - auf, der zumindest im Zustand gegebener Betriebsbereitschaft ausgebildet ist, in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten die wenigstens eine trajektorie zu erzeugen; zusätzlich weist die Positionsdatenverarbeitungseinrichtung bevorzugt wenigstens ein Sicherheitsmodul auf, welches zumindest im Zustand gegebener Betriebsbereitschaft ausgebildet ist, die wenigstens eine trajektoriespezifische Transaktion durchzuführen, wobei der Prozessor zumindest im Zustand gegebener Betriebsbereitschaft ausgebildet ist, dem Sicherheitsmodul die erzeugte Trajektorie zur Durchführung der trajektoriespezifischen Transaktion bereitzustellen. Die Bereitstellung kann dadurch erfolgen, dass der Prozessor die Trajektorie in einem Datenspeicher der Positionsdatenverarbeitungseinrichtung ablegt, aus dem das Sicherheitsmodul die Trajektorie abrufen kann, beispielsweise nachdem das Sicherheitsmodul von dem Prozessor eine Nachricht darüber empfangen hat, dass diese Trajektorie für das Sicherheitsmodul in dem Datenspeicher abgelegt wurde.
    Alternativ kann die Bereitstellung dadurch erfolgen, dass der Prozessor die Trajektorie an das Sicherheitsmodul übermittelt.
  • Neben dem Erzeugen der Trajektoriendateien ist die Positionsdatenverarbeitungseinrichtung, beispielsweise die Aufzeichnungseinheit oder das Sicherheitsmodul, gemäß einer Ausführungsform ferner ausgebildet zum Bestimmen eines ersten Referenzwerts aus der Daten der Trajektorie(-datei) (Trajektoriedaten) gemäß einem Referenzwertbestimmungsverfahren. Das Referenzwertbestimmungsverfahren umfasst beispielsweise einen Hash-Algorithmus und bei dem ersten Referenzwert handelt es sich beispielsweise um einen Hash-Wert. Beispielsweise führt die Aufzeichnungseinheit bei der Implementierung des Referenzwertbestimmungsverfahrens eine zyklische Redundanzprüfung (Cyclic Redundancy Check; CRC) durch. Demzufolge handelt es sich bei dem ersten Referenzwert beispielsweise um einen CRC-Wert. Damit kann die Positionsdatenverarbeitungseinrichtung gemäß dem Referenzwertbestimmungsverfahren in deterministischer Weise aus Daten der Trajektorie einen Referenzwert bestimmen. Diese Referenzwertbestimmung kann von der trajektoriespezifischen Transaktion umfasst sein, diese bilden, ihr vorangehen oder ihr nachfolgen.
  • Die Vorgabe der Anzahl der zulässigen trajektoriespezifischen Transaktionen kann beispielsweise ausdrücklich mittels eines Zählers erfolgen, der beispielsweise eine Anzahl von 10 oder 20 oder eine andere Zahl zulässiger trajektoriespezifischer Transaktionen nennt. Die Anzahl kann aber auch indirekt vorgegeben sein, beispielsweise durch eine Anzahl verfügbarer TANs oder eine Anzahl verfügbarer Speicherplätze in einem Speicherbereich des Sicherheitsmoduls. Auf diese Varianten wird an späterer Stelle näher eingegangen werden.
  • Mit jeder trajektoriespezifischen Transaktion, die das Sicherheitsmodul bezüglich einer Trajektoriendatei durchführt, wird die Anzahl der zulässigen trajektoriespezifischen Transaktionen automatisch, insbesondere unabhängig von einer Antwortnachricht des Betriebsmitteilungsauswertungssystems, reduziert. Diese reduzierte Anzahl bildet dann wiederum für die nächstfolgende trajektoriespezifische Transaktion die vorgegebene Anzahl, es sei den die vorgegebene Anzahl wird zwischenzeitlich, beispielsweise in Abhängigkeit von der empfangenen Antwortnachricht. erneut bestimmt. Die Anzahl zulässiger trajektoriespezifischer Transaktionen kann insbesondere auch Null betragen. In diesem Fall führt die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, keine trajektoriespezifischen Transaktion durch. Sie ,verweigert dann ihren Dienst'.
    Insbesondere erfolgt mangels einer Durchführung der trajektoriespezifischen Transaktion keine Versendung einer die erzeugte Trajektorie umfassenden Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem, weil die Versendung einer solchen Betriebsmitteilung nur infolge oder im Rahmen der Durchführung der trajektoriespezifischen Transaktion stattfindet.
  • Eine trajektoriespezifische Transaktion beinhaltet beispielsweise:
    • die Entgegennahme wenigstens eines der ersten Referenzwerte und/ oder einer der Trajektoriendateien von der Aufzeichnungseinheit durch das Sicherheitsmodul;
    • fakultativ das Speichern wenigstens eines der ersten Referenzwerte und/oder wenigstens einer der Trajektoriendateien in einem Speicherbereich des Sicherheitsmoduls;
    • Berechnen eines ersten Prüfwerts für wenigstens einen der ersten Referenzwerte und/oder für wenigstens eine der Trajektoriendateien;
    • fakultativ das Speichern wenigstens eines der ersten Prüfwerte in dem Speicherbereich des Sicherheitsmoduls; und/oder
    • Bereitstellen wenigstens eines der ersten Referenzwerte und/oder eines der ersten Prüfwerte für die Aufzeichnungseinheit, sodass der bereitgestellte wenigstens eine erste Referenzwert und/oder der wenigstens eine erste Prüfwert im Rahmen der Betriebsmitteilung von der Kommunikationseinrichtung an das Betriebsmitteilungsauswertungssystem übermittelt werden kann/können.
  • Insbesondere kann die Positionsdatenverarbeitungseinrichtung ausgebildet sein, im Rahmen der Durchführung der trajektoriespezifischen Transaktion oder außerhalb davon wenigstens einen der folgenden Schritte durchzuführen: (a) die zumindest zeitweilige Speicherung von Trajektoriedaten in einem Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung; (b) die Versendung der Trajektorie im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem; (c) die Bestimmung eines ersten Referenzwertes aus der Trajektorie gemäß wenigstens eines Referenzwertbestimmungsverfahrens, (d) die zumindest zeitweilige Speicherung eines ersten, aus Trajektoriedaten gemäß wenigstens eines Referenzwertbestimmungsverfahrens bestimmten, Referenzwertes in einem Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung.
  • Insbesondere kann die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, ausgebildet sein, im Rahmen der Durchführung der trajektoriespezifischen Transaktion oder außerhalb davon gemäß wenigstens eines Referenzwertbestimmungsverfahrens einen ersten Referenzwert aus Trajektorie Daten (Daten der Trajektoriendatei) zu bestimmen, und die Positionsdatenverarbeitungseinrichtung ausgebildet sein, (a) den ersten Referenzwert im Rahmen einer Betriebsmitteilung zusammen mit der Trajektorie, aus deren Daten der erste Referenzwert bestimmt wurde, oder (b) im Rahmen einer von einer ersten Betriebsmitteilung zeitlich beabstandeten, gesonderten zweiten Betriebsmitteilung als Referenzwertnachricht mittels einer Kommunikationseinrichtung an das Betriebsmitteilungsauswertungssystem zu versenden, nachdem oder bevor die Trajektorie im Rahmen der ersten Betriebsmitteilung als Trajektoriennachricht mittels einer Kommunikationseinrichtung an das Betriebsmitteilungsauswertungssystem versendet wurde oder wird. Insbesondere umfasst die Positionsdatenverarbeitungseinrichtung im Falle (a) eine Kommunikationseinrichtung zu einer langreichweitigen Kommunikation mit Basisstationen eines an das Betriebsmitteilungsauswertungssystem angeschlossenen Mobilfunknetzes und einen Prozessor - beispielsweise in Form der Aufzeichnungseinheit oder von der Aufzeichnungseinheit umfasst - der ausgebildet ist, der Kommunikationseinrichtung die Trajektorie (in Form von Trajektoriedaten oder als Trajektoriendatei) und den ersten Referenzwert bereitzustellen und die erste Kommunikationseinrichtung anzuweisen, die erste. Betriebsmitteilung mit der Trajektorie und dem ersten Referenzwert an das Betriebsmitteilungsauswertungssystem zu versenden.
    Insbesondere umfasst die Positionsdatenverarbeitungseinrichtung im Falle (b) eine Kommunikationseinrichtung zu einer langreichweitigen Kommunikation mit Basisstationen eines an das Betriebsmitteilungsauswertungssystem angeschlossenen Mobilfunknetzes, wobei die Positionsdatenverarbeitungseinrichtung ferner einen Prozessor - beispielsweise in Form der Aufzeichnungseinheit oder von der Aufzeichnungseinheit umfasst - aufweist, der ausgebildet ist, der Kommunikationseinrichtung die Trajektorie (in Form von Trajektoriedaten oder als Trajektoriendatei) bereitzustellen und die erste Kommunikationseinrichtung anzuweisen, die erste Betriebsmitteilung mit der Trajektorie an das Betriebsmitteilungsauswertungssystem zu senden, und der Kommunikationseinrichtung den ersten Referenzwert (z. B. in Form von ersten Referenzwertdaten) bereitzustellen, wobei die Kommunikationseinrichtung ausgebildet ist, den ersten Referenzwert in Antwort auf eine über das Mobilfunknetz empfangene, von dem Betriebsmitteilungsauswertungssystem versendete, Anforderungsnachricht im Rahmen der zweiten Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem über das Mobilfunknetz zu versenden. Beispielsweise ist die besagte Kommunikationseinrichtung eine Mobilfunk-Kommunikationseinrichtung, beispielsweise ein Mobilfunkmodul, beispielsweise ein GSM-Modul, ein UMTS und/ oder ein LTE-Modul.
  • Alternativ kann die Positionsdatenverarbeitungseinrichtung im Falle (b) eine erste Kommunikationseinrichtung zu einer langreichweitigen Kommunikation mit Basisstationen eines an das Betriebsmitteilungsauswertungssystem angeschlossenen Mobilfunknetzes und eine zweite Kommunikationseinrichtung zu einer kurzreichweitigen Kommunikation mit an das Betriebsmitteilungsauswertungssystem angeschlossenen oder vom Betriebsmitteilungsauswertungssystem umfassten straßenseitigen Kontrolleinrichtungen umfassen, wobei die Positionsdatenverarbeitungseinrichtung ferner einen Prozessor - beispielsweise in Form der Aufzeichnungseinheit oder von der Aufzeichnungseinheit umfasst - aufweist, der ausgebildet ist, der ersten Kommunikationseinrichtung die Trajektorie (in Form von Trajektoriedaten oder als Trajektoriendatei) bereitzustellen und die erste Kommunikationseinrichtung anzuweisen, die erste Betriebsmitteilung mit der Trajektorie an das Betriebsmitteilungsauswertungssystem zu senden, und der zweiten Kommunikationseinrichtung den ersten Referenzwert (z. B. in Form von ersten Referenzwertdaten) bereitzustellen, wobei die zweite Kommunikationseinrichtung ausgebildet ist, den ersten Referenzwert in Antwort auf eine von der straßenseitigen Kontrolleinrichtung empfangene Anforderungsnachricht im Rahmen der zweiten Betriebsmitteilung an die straßenseitige Kontrolleinrichtung zu versenden.
    Beispielsweise ist die besagte erste Kommunikationseinrichtung eine Mobilfunk-Kommunikationseinrichtung, beispielsweise ein Mobilfunkmodul, beispielsweise ein GSM-Modul, ein UMTS und/ oder ein LTE-Modul. Beispielsweise ist die besagte zweite Kommunikationseinrichtung eine DSRC-Kommunikationseinrichtung, beispielsweise ein DSRC-Kommunikationsmodul.
  • Insbesondere kann die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, ausgebildet sein, die Bestimmung eines Referenzwertes gemäß wenigstens eines Referenzwertbestimmungsverfahrens durch Anwendung einer den ersten Referenzwert erzeugenden kryptographischen Funktion, insbesondere einer Hash-Funktion oder einer CRC-Funktion, auf Trajektoriedaten durchzuführen, so dass der Referenzwert als kryptographischer Wert, insbesondere als Hash-Wert oder CRC-Wert, ausgebildet ist.
    Insbesondere kann die Referenzwertbestimmung eine mögliche trajektoriespezifische Transaktion sein.
  • Insbesondere kann die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, ausgebildet sein, die trajektoriespezifische Transaktion durch eine auf den ersten Referenzwert, der aus Daten der Trajektorie abgeleitet wurde, bezogene Transaktion durchzuführen. Diese auf den ersten Referenzwert bezogene trajektoriespezifische Transaktion kann die Speicherung des Referenzwertes in dem Sicherheitsmodul, das Versenden des ersten Referenzwertes im Rahmen einer Betriebsmitteilung zusammen mit der Trajektorie oder im Rahmen einer Betriebsmitteilung als Referenzwertnachricht ohne die Trajektorie umfassen.
  • Beispielsweise ist die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, ausgebildet, eine jeweilige trajektoriespezifische Transaktion erst dann durchzuführen, wenn eine Antwortnachricht von dem Betriebsmitteilungsauswertungssystem erfolgreich authentifiziert worden ist. Für diese Zwecke ist die Positionsdatenverarbeitungseinrichtung bevorzugt ausgebildet, die Antwortnachricht unter Verwendung wenigstens eines Schlüssels zu authentifizieren. Dabei wird beispielsweise ein öffentlicher Schlüssel verwendet, der sowohl der Positionsdatenverarbeitungseinrichtung als auch dem Betriebsmitteilungsauswertungssystem vorliegt, und/oder ein privater Schlüssel, der nur der Positionsdatenverarbeitungseinrichtung vorliegt. Der Schlüssel bzw. die Schlüssel sind gemäß einer Ausführungsform in dem Sicherheitsmodul gespeichert. Auf den Aspekt der Authentifizierung wird an späterer Stelle näher eingegangen werden.
  • Die Aufzeichnungseinheit ist beispielsweise ausgebildet, einer Kommunikationseinrichtung der Positionsdatenverarbeitungseinrichtung wenigstens eine der Trajektoriendateien und wenigstens einen der ersten Referenzwerte zur Übermittlung im Rahmen der wenigstens einen Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem bereitzustellen. Das Betriebsmitteilungsauswertungssystem empfängt dann sowohl die wenigstens eine Trajektoriendatei als auch den wenigstens einen ersten Referenzwert, der der wenigstens einen Trajektoriendatei zugeordnet ist, den also beispielsweise die Aufzeichnungseinheit oder das Sicherheitsmodul für die wenigstens eine Trajektoriendatei gemäß dem Referenzwertbestimmungsverfahren bestimmt hat. Für diese Zwecke umfasst das Betriebsmitteilungsauswertungssystem einen Nachrichtenempfänger, der zum Empfangen der Betriebsmitteilung der Positionsdatenverarbeitungseinrichtung ausgebildet ist. Dabei kann - wie weiter unten näher beschrieben ist - die Betriebsmitteilung eine Trajektoriennachricht mit der wenigstens einen Trajektoriendatei und eine Referenzwertnachricht mit dem wenigstens einen ersten Referenzwert umfassen. Der Nachrichtenempfänger umfasst beispielsweise eine Anzahl von ersten Empfangsmodulen zum Empfangen der Trajektoriennachricht und eine Anzahl von zweiten Empfangsmodulen zum Empfangen der Referenzwertnachricht. Beispielsweise ist wenigstens eines der zweiten Empfangsmodule an einer straßenseitigen Kontrolleinrichtung des Betriebsmitteilungsauswertungssystems angeordnet.
  • Das Betriebsmitteilungsauswertungssystem nimmt eine Auswertung der empfangenen Betriebsmitteilung vor.
  • Anhand der Auswertung der Betriebsmitteilung soll zentralseitig überprüft werden, ob ein Manipulationsversuch oder ein Defekt an der Positionsdatenverarbeitungseinrichtung vorliegt. Dies kann insbesondere dadurch erfolgen, dass das Betriebsmitteilungsauswertungssystem für jede empfangene Trajektoriendatei gemäß demselben Referenzwertbestimmungsverfahren, das bei der Positionsdatenverarbeitungseinrichtung zur Anwendung kommt, einen zweiten Referenzwert bestimmt.
  • Beispielsweise führt das Betriebsmitteilungsauswertungssystem für eine jeweilige Trajektoriendatei einen ersten Vergleich durch, und zwar zwischen dem zweiten Referenzwert und dem zur jeweiligen Trajektoriendatei gehörigen ersten Referenzwert. Stimmen diese beiden Werte nicht miteinander überein, so kann das Betriebsmitteilungsauswertungssystem darauf schließen, dass ein Manipulationsversuch vorliegt. Stimmen der erste Referenzwert und der zweite Referenzwert miteinander überein, so kann das Betriebsmitteilungsauswertungssystem dies als Indiz dafür werten, dass kein Manipulationsversuch vorliegt.
  • Auch bereits die beispielsweise automatisiert erfolgende Auswertung der Trajektoriendatei allein kann ausreichend sein, es dem Betriebsmitteilungsauswertungssystem zu ermöglichen, einen Mangel im Betrieb der Positionsdatenverarbeitungseinrichtung zu detektieren: Beispielsweise deuten Abstände zwischen zwei in der Trajektorie unmittelbar aufeinander folgenden Positionen, die hinsichtlich ihrer Größe nicht vereinbar sind mit einer üblichen Fahrgeschwindigkeit (sogenannte Positionssprünge) auf ein Spoofing hin, mit dem dem Empfänger falsche Satelliten- oder Positionsdaten zugeführt wurden oder auf einen zeitweiligen Ausfall des Empfängers. Eine unüblich große Streuung innerhalb einer Gruppe von mehreren, unmittelbar aufeinander folgenden Positionen deutet auf einen Defekt am Empfänger oder ein Jamming hin, mit dem der Empfang von Satellitendaten gestört wird.
  • Jedenfalls erstellt das Betriebsmitteilungsauswertungssystem in Abhängigkeit von der Auswertung der Betriebsmitteilung die Antwortnachricht und übermittelt diese zurück an die Positionsdatenverarbeitungseinrichtung, beispielsweise gemäß einem Drahtloskommunikationsstandard, wie GSM, DSRC, UMTS etc.. Auf die Erstellung dieser Antwortnachricht wird an späterer Stelle näher eingegangen werden.
  • Die Kommunikationseinrichtung der Positionsdatenverarbeitungseinrichtung ist ausgebildet, die von dem Betriebsmitteilungsauswertungssystem erstellte und versendete Antwortnachricht zu empfangen und diese bzw. einen Nachrichteninhalt der Antwortnachricht der Aufzeichnungseinheit und/oder dem Sicherheitsmodul mittels der Aufzeichnungseinheit zur Verfügung zu stellen.
  • Beispielsweise stellt Positionsdatenverarbeitungseinrichtung die mittels der Kommunikationseinrichtung die empfangene Antwortnachricht des Betriebsmitteilungsauswertungssystems oder eine sinngemäße Nachricht dem Sicherheitsmodul mittels der Aufzeichnungseinheit bereit. Das Sicherheitsmodul ist diesem Fall ausgebildet zum Modifizieren der Anzahl der vorgegebenen zulässigen trajektoriespezifischen Transaktionen in Abhängigkeit von der Antwortnachricht zu einer Anzahl von größer als Null.
  • Wird beispielsweise keine Antwortnachricht empfangen, so erfolgt auch keine Modifikation der Anzahl der zulässigen trajektoriespezifischen Transaktionen. Die Antwortnachricht kann auch anzeigen, dass die Anzahl nicht zu modifizieren ist. Ergibt die Betriebsmitteilungsauswertungssystemseitige Auswertung der wenigstens einen Betriebsmitteilung indes, dass die Anzahl zu modifizieren ist, so enthält die Antwortnachricht eine entsprechende Aufforderung und das Sicherheitsmodul modifiziert die Anzahl.
  • Das Modifizieren der Anzahl der zulässigen trajektoriespezifischen Transaktionen kann insbesondere ein Erhöhen der Anzahl beinhalten.
  • Im Falle eines Zählerstands wird die durch den Zählerstand angegebene Anzahl entsprechend erhöht, beispielsweise von 5 auf 8 oder von 9 auf 10, je nachdem, welchen Inhalt die Antwortnachricht hat. Basiert die Vorgabe der Anzahl zulässiger trajektoriespezifischer Transaktionen auf der Anzahl verfügbarer TANs und enthält die Antwortnachricht einen oder mehrerer neue TANs, so erfolgt eine Modifikation der Anzahl zulässiger trajektoriespezifischer Transaktionen durch eine Aufnahme der neuen TANs. Im Falle einer Vorgabe der Anzahl zulässiger trajektoriespezifischer Transaktionen durch eine Anzahl verfügbarer Speicherplätze werden in Abhängigkeit von der Antwortnachricht neue Speicherplätze freigegeben, beispielsweise durch Löschen vormals belegter Speicherplätze. Vorstehende Varianten werden an späterer Stelle näher erläutert werden.
  • Ein Vorteil der vorliegenden Erfindung liegt darin, dass zentralseitig, also betriebsmitteilungsauswertungssystemseitig, anhand der Auswertung der Betriebsmitteilung ermittelt werden kann, ob ein Manipulationsversuch und/oder ein Defekt bei der Positionsdatenverarbeitungseinrichtung vorliegt oder nicht. Schließt das Betriebsmitteilungsauswertungssystem auf einen Manipulationsversuch und/oder einen Defekt, so versendet es beispielsweise keine Antwortnachricht oder eine Antwortnachricht, die ein Modifizieren der Anzahl zulässiger trajektoriespezifischer Transaktionen, insbesondere ein Erhöhen der Anzahl, verbietet. Da die Anzahl zulässiger trajektoriespezifischer Transaktionen jedenfalls (unabhängig von der Antwortnachricht) mit jeder Trajektorie spezifischen Transaktion reduziert wird, wird die trajektoriespezifische Transaktion dann unterbunden, wenn diese Anzahl Null beträgt. Ist dies der Fall, so geht die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft über, was von dem Betriebsmitteilungsauswertungssystem anhand der Signalisierung der mangelnden Betriebsbereitschaft detektiert werden kann. Sodann können entsprechende Maßnahmen zentralseitig eingeleitet werden. Die Antwortnachricht kann auch unmittelbar anzeigen, dass die Positionsdatenverarbeitungseinrichtung in diesen Zustand zu versetzen ist, beispielsweise indem sie die Positionsdatenverarbeitungseinrichtung auffordert, die Anzahl der zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.
  • Beträgt die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null, wird beispielsweise vom Sicherheitsmodul eine Fehlermeldung erzeugt und die Positionsdatenverarbeitungseinrichtung nutzt diese Fehlermeldung, um in den Zustand mangelnder Betriebsbereitschaft überzugehen, beispielsweise um den Betrieb der Positionsdatenverarbeitungseinrichtung zu sperren und/oder dem Betriebsmitteilungsauswertungssystem einen Manipulationsversuch mitzuteilen. Diese Maßnahmen können auch dann ergriffen werden, wenn beispielsweise ein Benutzer das Aussenden der Betriebsmitteilung durch die Kommunikationseinrichtung, verhindert, beispielsweise durch Überdecken einer an die Kommunikationseinrichtung gekoppelten Sendeantenne, da auf das Ausbleiben der Betriebsmitteilung von dem Betriebsmitteilungsauswertungssystem keine Antwortnachricht ausgesendet wird und nur die Antwortnachricht dazu führen kann, dass die Anzahl der zulässigen trajektoriespezifischen Transaktionen erhöht wird. Unterbleibt der Empfang der Antwortnachricht und/oder zeigt die Antwortnachricht an, dass die Anzahl nicht zu erhöhen ist, so führt dies aufgrund der stetigen Reduzierung der Anzahl der zulässigen trajektoriespezifischen Transaktionen mit jeder durchgeführten trajektoriespezifischen Transaktion dazu, dass die Anzahl der zulässigen trajektoriespezifischen Transaktionen den Wert Null erreicht und damit zur Produktion der Fehlermeldung, sodass die Positionsdatenverarbeitungseinrichtung und/oder das Betriebsmitteilungsauswertungssystem auf das Vorliegen eines Manipulationsversuchs schließen können.
  • Ein herausragender. Vorteil einer Ausführungsform der Positionsdatenverarbeitungseinrichtung besteht somit darin, dass eine manipulativ oder durch Defekt an der Kommunikationseinrichtung unterbundene Übermittlung von Trajektoriendateien, die oder deren Referenzwerte bereits von dem Sicherheitsmodul im Rahmen einer trajektoriespezifischen Transaktion verarbeitet wurden, an das Betriebsmitteilungsauswertungssystem in Ermangelung entsprechender Antwortnachrichten ohne weiteres Zutun durch die mit jeder trajektoriespezifischen Transaktion automatisch reduzierte Anzahl verbleibender trajektoriespezifischer Transaktionen die Positionsbestimmungseinrichtung selbstständig in einen Zustand führt, in dem keine trajektoriespezifischen Transaktionen mehr durch das Sicherheitsmodul durchgeführt wird. Dasselbe gilt für den Fall einer Löschung der Trajektoriendatei vor ihrer vorgesehenen Übermittlung an das Betriebsmitteilungsauswertungssystem.
  • Nachfolgend werden weitere bevorzugte Ausführungsformen der vorliegenden Erfindung erläutert. Die weiteren Merkmale dieser bevorzugten Ausführungsformen können miteinander als auch mit den bereits oben beschriebenen optionalen Merkmalen zum Bilden weiterer Ausführungsbeispiele kombiniert werden, sofern sie nicht ausdrücklich als alternativ zueinander beschrieben sind.
  • Bei einer bevorzugten Ausführungsform der Positionsdatenverarbeitungseinrichtung ist die Positionsdatenverarbeitungseinrichtung ausgebildet, in einen Zustand mangelnder Betriebsbereitschaft überzugehen, falls die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt. Beispielsweise verweigert in einem solchen Fall das Sicherheitsmodul der Aufzeichnungseinheit die angefragte Verarbeitung der Trajektoriendatei und/oder des optional für die Trajektoriendatei bestimmten ersten Referenzwertes, worauf die Aufzeichnungseinrichtung ein entsprechendes Fehler-Signal erzeugt.
  • Beispielsweise ist die Positionsdatenverarbeitungseinrichtung ausgebildet und ausgestaltet, einen derartigen Zustand optisch an einen Benutzer der Positionsdatenverarbeitungseinrichtung zu kommunizieren, beispielsweise mittels einer dafür vorgesehenen Signalisierungseinrichtung der Positionsdatenverarbeitungseinrichtung, beispielsweise mittels einer rotfarbigen LED. Beispielsweise.ist die Positionsdatenverarbeitungseinrichtung ausgebildet, auch dann in einen Zustand mangelnder Betriebsbereitschaft überzugehen, falls die Antwortnachricht anzeigt, dass die Positionsdatenverarbeitungseinrichtung in diesen Zustand zu überführen ist.
  • Die Positionsdatenverarbeitungseinrichtung versetzt sich also beispielsweise automatisch in einen Zustand mangelnder Betriebsbereitschaft, falls entweder die Anzahl zulässiger trajektoriespezifischer Transaktionen Null beträgt oder weil die Antwortnachricht unmittelbar anzeigt, dass die Positionsdatenverarbeitungseinrichtung in diesen Zustand zu überführen ist, beispielsweise dadurch, dass die Positionsdatenverarbeitungseinrichtung ausgebildet ist, in Abhängigkeit von einer derartigen Antwortnachricht die Anzahl der zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.
  • Bei einer bevorzugten Ausführungsform ist das Sicherheitsmodul ausgebildet, den Übergang in den Zustand mangelnder Betriebsbereitschaft zu veranlassen, beispielsweise dann, falls entweder die Anzahl zulässiger trajektoriespezifischer Transaktionen Null beträgt oder weil die Antwortnachricht unmittelbar anzeigt, dass die Positionsdatenverarbeitungseinrichtung in diesen Zustand zu überführen ist.
  • Der Zustand mangelnder Betriebsbereitschaft bedeutet beispielsweise, dass die Positionsdatenverarbeitungseinrichtung nicht mehr ihre bestimmungsgemäße Funktion, die beispielsweise für eine Mauterhebung erforderlich sein kann, erfüllt. Beispielsweise unterlässt also die die Positionsdatenverarbeitungseinrichtung das Erzeugen von Trajektoriendateien und/oder das Übermitteln der Betriebsmitteilung, beispielsweise das Übermitteln der Trajektoriennachricht und/oder der Referenzwertnachricht.
  • Bevorzugt ist die Positionsdatenverarbeitungseinrichtung ausgebildet, automatisch den Übergang in den Zustand der mangelnden Betriebsbereitschaft an das Betriebsmitteilungsauswertungssystem zu kommunizieren, beispielsweise mittels einer eigens dafür vorgesehenen Nachricht. Zentralseitig kann dann leichter erfasst werden, dass bei der betreffenden Positionsdatenverarbeitungseinrichtung ein Manipulationsversuch vorgelegen hat und entsprechende Maßnahmen können sodann zentralseitig verwaltet und eingeleitet werden.
  • Bei einer Ausführungsform der Positionsdatenverarbeitungseinrichtung umfasst die die Aufzeichnungseinheit einen Prozessor, der zum Ausführen der Funktion der Aufzeichnungseinheit, insbesondere zum Erzeugen von Trajektoriendateien in Abhängigkeit von den Positionsdaten, ausgebildet ist.
  • Beispielsweise umfasst ein auf dem Prozessor der Aufzeichnungseinheit ausgeführtes Computerprogramm Befehle, mittels denen die optional vorgesehene Signalisierungseinrichtung aus einem Zustand, in dem sie die bestehende Betriebsbereitschaft signalisiert, beispielsweise durch eine grün leuchtende LED, in einen Zustand überführt, in dem sie die mangelnde Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung, insbesondere die mangelnde Betriebsbereitschaft der Aufzeichnungseinheit, signalisiert, beispielsweise durch eine rot leuchtende LED.
  • Beispielsweise wird der Zustand der mangelnden Betriebsbereitschaft in Form eines diesen Zustand repräsentierenden Datenelementes erzeugt und abgespeichert. Bei einer Ausführungsform ist die Positionsdatenverarbeitungseinrichtung ausgebildet, das Datenelement mittels der Kommunikationseinrichtung an das Betriebsmitteilungsauswertungssystem zu übermitteln, beispielsweise auf Aufforderung durch eine straßenseitige Kontrolleinrichtung hin an die betreffende straßenseitige Kontrolleinrichtung.
  • Bei einer weiteren Ausführungsform der Positionsdatenverarbeitungseinrichtung umfasst die Betriebsmitteilung eine Trajektoriennachricht und eine Referenzwertnachricht. Beispielsweise ist die Kommunikationseinrichtung ausgebildet, während einer ersten Kommunikationsphase eine oder mehrere der von der Aufzeichnungseinheit erzeugten Trajektoriendateien im Rahmen der Trajektoriennachricht an das Betriebsmitteilungsauswertungssystem zu übermitteln. Die Übermittlung der Trajektoriennachricht erfolgt beispielsweise über ein Drahtloskommunikationsnetzwerk, wie beispielsweise dem GSM-Netzwerk. Es kommen jedoch aber auch andere Übertragungswege in Betracht, beispielsweise ein UMTS-Netz oder ein sonstiges Datenpaket vermittelndes Kommunikationsnetzwerk.
  • Beispielsweise übermittelt die Kommunikationseinrichtung während einer zweiten Kommunikationsphase wenigstens einen der ersten Referenzwerte mittels der Referenzwertnachricht. Bevorzugt übermittelt die Kommunikationseinrichtung demnach die Trajektoriendateien einerseits und die ersten Referenzwerte andererseits in voneinander getrennten Nachrichten an das Betriebsmitteilungsauswertungssystem.
  • Die Übersendung von ersten Referenzwerten einerseits und Trajektoriendateien andererseits in voneinander getrennten Nachrichten ist zweckmäßig, weil die jeweiligen Dateitypen unterschiedlich geartet sein können: Üblicherweise dient eine Trajektoriendatei für die Erhebung einer Maut, wohingegen mittels des ersten Referenzwerts insbesondere überprüft werden soll, ob bei der Positionsdatenverarbeitungseinrichtung ein Manipulationsversuch vorgelegen hat bzw. vorliegt oder nicht. Darüber hinaus sieht eine Ausführungsform vor, dass die Kommunikationseinrichtung ausgebildet ist, die Trajektoriennachricht gemäß einem ersten Nachrichtenübertragungsstandard, beispielsweise GSM, an das Betriebsmitteilungsauswertungssystem zu übermitteln, und ein von der Positionsdatenverarbeitungseinrichtung umfasstes Kurzreichweiten-Kommunikationsmodul die Referenzwertnachricht über einen zweiten Nachrichtenübertragungsstand, beispielsweise einem DSRC-Standard, an das Betriebsmitteilungsauswertungssystem zu übermitteln.
  • Um eine eindeutige Zuordnung zwischen den ersten Referenzwerten einerseits und den Trajektoriendateien andererseits zu gewährleisten, ist die Positionsdatenverarbeitungseinrichtung bei einer Ausführungsform zweckmäßigerweise ausgebildet, eine jeweilige Trajektoriendatei und den für diese bestimmten ersten Referenzwert mit einer Identifikation, beispielsweise mit einem Zeitstempel, zu versehen. Eine Trajektoriendatei und der für diesen bestimmten ersten Referenzwert erhalten dann denselben Zeitstempel. An Stelle eines Zeitstempels kann auch eine andere Identifikationsmöglichkeit bzw. eine andere Kennung vorgesehen werden, die die Zuordnungsbarkeit zwischen ersten Referenzwerten einerseits und Trajektoriendateien andererseits gewährleistet.
  • Bei einer weiteren bevorzugten Ausführungsform der Positionsdatenverarbeitungseinrichtung ist die Positionsdatenverarbeitungseinrichtung, beispielsweise die Aufzeichnungseinheit, ausgebildet, eine Positionsdatenverarbeitungseinrichtungskennung innerhalb der Betriebsmitteilung, beispielsweise innerhalb der Trajektoriennachricht und/oder innerhalb der Referenzwertnachricht zu integrieren. Dies erleichtert die zentralseitige Verwaltung einer Vielzahl von Positionsdatenverarbeitungseinrichtungen durch das Betriebsmitteilungsauswertungssystem.
  • Vorzugsweise ist die Positionsdatenverarbeitungseinrichtung, insbesondere ein von der Positionsdatenverarbeitungseinrichtung umfasstes Sicherheitsmodul, ausgebildet, für die wenigstens eine Trajektorie und/ oder für wenigstens einen nach gemäß wenigstens eines Referenzwertbestimmungsverfahrens durch die Positionsdatenverarbeitungseinrichtung aus Trajektoriedaten bestimmten ersten Referenzwert einen oder mehrere erste Prüfwerte gemäß einem Prüfwertbestimmungsverfahren zu bestimmen, und dass
    die Positionsdatenverarbeitungseinrichtung ausgebildet ist, die wenigstens eine Trajektorie und/ oder den wenigstens einen ersten Referenzwert gemeinsam mit dem dazugehörigen ersten Prüfwert im Rahmen der Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem zu übermitteln
  • Beispielsweise ist bei einer bevorzugten Ausführungsform der Positionsdatenverarbeitungseinrichtung ist das Sicherheitsmodul ausgebildet, für die jeweilige Trajektoriendatei und/oder den jeweiligen ersten Referenzwert einen oder mehrere erste Prüfwerte gemäß einem Prüfwertbestimmungsverfahren zu bestimmen. Beispielsweise speichert das Sicherheitsmodul die ersten Prüfwerte in einem Speicherbereich des Sicherheitsmoduls.
  • Bevorzugt ist das Sicherheitsmodul ausgebildet, für jeden ersten Referenzwert je einen ersten Prüfwert gemäß dem Prüfwertbestimmungsverfahren zu ermitteln und gemeinsam mit dem ersten Referenzwert in dem Speicherbereich des Sicherheitsmoduls zu speichern.
    Auch diese Prüfwertbestimmung kann als erfindungsgemäße trajektoriespezifische Transaktion gelten, weil der erste Prüfwert aus einem ersten Referenzwert bestimmt wird, der seinerseits in Abhängigkeit von Daten der erzeugten Trajektorie bestimmt wurde.
  • Wenn die ersten Referenzwerte bevorzugt von der Aufzeichnungseinheit der Positionsdatenverarbeitungseinrichtung bestimmt werden, übernimmt die Bestimmung der Prüfwerte gemäß dem Prüfwertbestimmungsverfahren nicht die Aufzeichnungseinheit, sondern das Sicherheitsmodul selbst. Auch die Bestimmung der ersten Prüfwerte erfolgt bevorzugt in deterministischer Weise in Abhängigkeit von dem ersten Referenzwert. Dennoch kann eine Zufallszahl an der Bestimmung der Prüfwerte beteiligt sein, wie weiter unten erläutert wird.
  • Bevorzugt ist die Positionsdatenverarbeitungseinrichtung ausgebildet, den wenigstens einen ersten Referenzwert gemeinsam mit dem dazugehörigen wenigstens einen ersten Prüfwert im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Referenzwertnachricht, an das Betriebsmitteilungsauswertungssystem zu übermitteln. Dazu stellt beispielsweise das Sicherheitsmodul mittels der Aufzeichnungseinheit der Kommunikationseinrichtung sowohl den wenigstens einen ersten Referenzwert und den wenigstens einen dazugehörigen ersten Prüfwert bereit, sodass die Kommunikationseinrichtung diese im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Referenzwertnachricht, an das Betriebsmitteilungsauswertungssystem übermitteln kann.
  • Bevorzugt speichert das Sicherheitsmodul in einem jeweiligen Speicherplatz des Speicherbereichs genau jeweils einen ersten Referenzwert und einen dazu bestimmten ersten Prüfwert. Ein Paar eines ersten Referenzwerts und eines ersten Prüfwerts bildet beispielsweise ein Prüfdatensatz aus, den die Positionsdatenverarbeitungseinrichtung im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Referenzwertnachricht, an das Betriebsmitteilungsauswertungssystem übermittelt.
  • Es ist möglich, dass das Sicherheitsmodul für jeden ersten Referenzwert einen separaten ersten Prüfwert bestimmt. Alternativ oder kumulativ bestimmt das Sicherheitsmodul für eine Vielzahl von ersten Referenzwerten einen ersten Prüfwert.
  • Das Prüfwertbestimmungsverfahren umfasst beispielsweise einen Nachrichtenauthentifizierungsalgorithmus und der erste Prüfwert demnach beispielsweise einen Nachrichtenauthentifizierungscode. Konkret wendet das Sicherheitsmodul beispielsweise ein Message Authentication Code (MAC) Verfahren an, um die ersten Prüfwerte für die ersten Referenzwerte zu bestimmen.
  • Dementsprechend ist es bevorzugt, dass das Betriebsmitteilungsauswertungssystem ausgebildet ist zum Berechnen eines zweiten Prüfwerts für jeden ersten empfangenen Referenzwert gemäß demselben Prüfwertbestimmungsverfahren, das in der Positionsdatenverarbeitungseinrichtung zur Anwendung kommt, und zum Durchführen eines zweiten Vergleichs zwischen dem zweiten Prüfwert und dem zum jeweiligen ersten Referenzwert gehörigen ersten Prüfwert und zum Erzeugen der Antwortnachricht in der Abhängigkeit von dem zweiten Vergleichsergebnis.
  • Das Betriebsmitteilungsauswertungssystem berechnet beispielsweise für jeden übermittelten ersten Referenzwert den Prüfwert nach und vergleicht die ersten Prüfwerte, also die durch die Positionsdatenverarbeitungseinrichtung übermittelten Prüfwerte, mit den zweiten Prüfwerten, also mit den selbst berechneten Prüfwerten. Beispielsweise sendet das Betriebsmitteilungsauswertungssystem - im Rahmen der Antwortnachricht - erst dann eine Aufforderung an die Positionsdatenverarbeitungseinrichtung, die Anzahl der zulässigen trajektoriespezifischen Transaktionen zu erhöhen, wenn sowohl die ersten Referenzwerte mit den zweiten Referenzwerten und die ersten Prüfwerte mit den zweiten Prüfwerten übereinstimmen. Das Bestimmen des ersten Prüfwerts durch das Sicherheitsmodul und das Bestimmen des zweiten Prüfwerts durch das Betriebsmitteilungsauswertungssystem stellt folglich einen weiteren Sicherheitsschritt dar, mit dem auffällige Manipulationen an den Trajektoriendateien und/oder an den ersten Referenzwerten detektierbar werden.
  • Bei einer weiteren bevorzugten Ausführungsform ist vorgesehen, dass die Positionsdatenverarbeitungseinrichtung ein Kurzreichweiten-Kommunikationsmodul umfasst, das für eine Ankopplung an die Aufzeichnungseinheit ausgestaltet ist und ausgebildet ist zum Austauschen von Daten mit einer vom Fahrzeug passierten Kontrolleinrichtung des Betriebsmitteilungsauswertungssystems, wobei das Kurzreichweiten-Kommunikationsmodul bevorzugt ausgebildet ist zum Speichern einer Kopie der ersten Prüfwerte und/oder der ersten Referenzwerte, sodass die ersten Prüfwerte und/oder die ersten Referenzwerte von der Kontrolleinrichtung ausgelesen und an eine Zentrale des Betriebsmitteilungsauswertungssystems übertragen werden können. Bei dem Kurzreichweiten-Kommunikationsmodul handelt es sich beispielsweise um ein DSRC-Modul der Positionsdatenverarbeitungseinrichtung. Diese Variante erleichtert ebenfalls das Überprüfen der Positionsdatenverarbeitungseinrichtung auf Manipulationsversuche hin, da durch die vom Fahrzeug passierten Kontrolleinrichtungen festgestellt werden kann, ob die Positionsdatenverarbeitungseinrichtung beispielsweise die ersten Prüfwerte und/oder die ersten Referenzwerte ordnungsgemäß berechnet. Ist dies nicht der Fall, so kann dies von der Kontrolleinrichtung an die Zentrale des Betriebsmitteilungsauswertungssystems kommuniziert werden, sodass zentralseitig Sanktionsmaßnahmen eingeleitet werden können.
  • Bei einer weiteren Ausführungsform der Positionsdatenverarbeitungseinrichtung enthält die Antwortnachricht eine Verwaltungsaufforderung an das Sicherheitsmodul. Die Verwaltungsaufforderung wird durch das Sicherheitsmodul vor der Durchführung der Verwaltungsmaßnahme beispielsweise folgendermaßen verifiziert: Die Positionsdatenverarbeitungseinrichtung empfängt im Rahmen der Antwortnachricht eine positive Quittung über die erfolgreiche Auswertung der Betriebsmitteilung von dem Betriebsmitteilungsauswertungssystem zusammen mit einem zentralseitig mittels eines zentralseitig verfügbaren Schlüssels erstellten zentralen MAC dieser Quittung. Sodann empfängt das Sicherheitsmodul den zentralen MAC und zumindest Teile der Quittung und versucht, durch Anwendung eines ihm zur Verfügung stehenden Schlüssels auf die Quittung oder die übermittelten Teilen der Quittung den MAC nachzubilden. Im Erfolgsfall wird die angeforderte Verwaltungsmaßnahme, beispielsweise ein Modifizieren eines Zählerstandes, ein Hinzufügen neuer TANs, eine Freigabe von Speicherplätzen, durchgeführt; im Misserfolgsfall wird die angeforderte Verwaltungsmaßnahme ignoriert oder unter Abgabe einer Fehlermeldung an das Betriebsmitteilungsauswertungssystem verweigert.
  • Beispielsweise wird der verwendete Schlüssel aus einem Master-Schlüssel und einer von dem Betriebsmitteilungsauswertungssystem generierten Zufallszahl gebildet, wobei der Master-Schlüssel dem Sicherheitsmodul bekannt ist und die Positionsdatenverarbeitungseinrichtung die Zufallszahl mit der Quittung erhält, so dass das Sicherheitsmodul den verwendeten Schlüssel nachbilden kann.
  • Bei einer weiteren Ausführungsform der Positionsdatenverarbeitungseinrichtung verläuft ein Verarbeiten des ersten Referenzwertes durch das Sicherheitsmodul wie folgt: Das Sicherheitsmodul empfängt den ersten Referenzwert, und erstellt mittels eines öffentlichen Schlüssels des Betriebsmitteilungsauswertungssystems einen MAC dieses Referenzwertes. Anschließend gibt es den ersten Referenzwert, den MAC und eine laufende Nummer und/oder eine TAN an die Aufzeichnungseinheit zurück und versieht die verwendete laufende Nummer und/oder TAN mit einem Vermerk, der eine Wiederverwendung der laufenden Nummer und/oder TAN unterbindet, oder löscht sie ganz. Wird ein einmaliger Schlüssel (Session Key) mittels einer Zufallszahl und einem Basisschlüssel (Master Key) gebildet, so wird auch die Zufallszahl mit diesem Datensatz an die Aufzeichnungseinheit zurück übertragen. In diesem Fall ist zweckmäßigerweise vorgesehen, mit dem ersten Referenzwert und dem MAC auch die Zufallszahl an das Betriebsmitteilungsauswertungssystem zu übermitteln, damit dieses den Session Key zur Verifizierung des MAC mittels des Master Keys nachbilden kann.
  • Bei einer Ausführungsform der Positionsbestimmungseinrichtung weist eine zumindest das Sicherheitsmodul aufweisende Komponente der Positionsbestimmungseinrichtung ein geräteseitiges Verbindungselement auf, das zur Verbindung mit einer korrespondierenden fahrzeugseitigen Aufnahmeeinrichtung für die Komponente ausgebildet ist. Das Sicherheitsmodul ist beispielsweise innerhalb eines Gehäuses der Positionsdatenverarbeitungseinrichtung angeordnet und steht zur Erfüllung seiner Funktion in Wirkverbindung mit weiteren Komponenten der Positionsdatenverarbeitungseinrichtung, insbesondere mit der Aufzeichnungseinheit.
  • Insbesondere ist eine Information über die Anzahl der zulässigen trajektoriespezifischen Transaktionen in der Positionsdatenverarbeitungseinrichtung, insbesondere in einem Speicherbereich (141) eines Sicherheitsmoduls (14) der Positionsdatenverarbeitungseinrichtung, gespeichert, und ist die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul (14), ausgebildet, mit jeder trajektoriespezifischen Transaktion die Information in der Weise zu verändern, dass die veränderte Information die reduzierte Anzahl der zulässigen trajektoriespezifischen Transaktionen angibt.
  • Beispielsweise ist eine Information über die Anzahl der zulässigen trajektoriespezifischen Transaktionen im Sicherheitsmodul, beispielsweise im besagten Speicherbereich des Sicherheitsmodul, gespeichert, wobei das Sicherheitsmodul beispielsweise besagtes autonome Steuermodul aufweist, das ausgebildet ist, mit jeder trajektoriespezifischen Transaktion die Information in der Weise zu verändern, dass die veränderte Information die reduzierte Anzahl der zulässigen trajektoriespezifischen Transaktionen angibt.
  • Nachfolgend sollen mehrere Varianten vorgestellt werden, wie die Anzahl der zulässigen trajektoriespezifischen Transaktionen, die von dem Sicherheitsmodul durchgeführt werden dürfen, vorgegeben und modifiziert werden kann. Die Varianten können auch ganz oder teilweise miteinander kombiniert werden:
    • a) Zählerstand
  • Beispielsweise ist die Anzahl der zulässigen trajektoriespezifischen Transaktionen durch einen Zählerstand eines Zählers der Positionsdatenverarbeitungseinrichtung, insbesondere eines Sicherheitsmoduls der Positionsdatenverarbeitungseinrichtung, vorgegeben.
  • Bei einer Ausführungsform der Positionsdatenverarbeitungseinrichtung umfasst das Sicherheitsmodul einen Zähler, der einen Zählerstand angibt. Der durch den Zähler angegebene Zählerstand ist identisch mit der Anzahl der zulässigen trajektoriespezifischen Transaktionen.
  • Beispielsweise wird der Zählerstand mit erstmaliger Inbetriebnahme der Positionsdatenverarbeitungseinrichtung auf einen Default-Wert gesetzt, wie beispielsweise 10, 20, 50, 100 oder 200. Mit jeder vom Sicherheitsmodul auf eine oder mehrere Trajektoriendateien und/oder einen oder mehrere erste Referenzwerte angewendeten trajektoriespezifischen Transaktionen, beispielsweise mit jeder Speicherung eines ersten Referenzwerts oder mit jeder Bestimmung eines ersten Prüfwerts, und/oder mit jeder Bereitstellung eines ersten Referenzwerts bzw. eines ersten Prüfwerts mittels der Aufzeichnungseinheit für die Kommunikationseinrichtung, wird der Zähler um 1 reduziert.
  • Bei dieser Ausführungsform zeigt die Antwortnachricht an, ob der Zählerstand zu erhöhen ist und in welchem Maße. Wird keine Antwortnachricht empfangen und/oder zeigt die Antwortnachricht an, dass der Zählerstand nicht zu erhöhen ist, so erfolgt auch keine entsprechende Modifikation des Zählerstands.
  • Sinkt der Zählerstand auf Null, so geht die Positionsdatenverarbeitungseinrichtung in den Zustand mangelnder Betriebsbereitschaft über, weil keine weitere trajektoriespezifische Transaktion von dem Sicherheitsmodul mehr durchgeführt wird.
    • b) Transaktionsnummern (TAN)
  • Bei einer weiteren Ausführungsform der Positionsdatenverarbeitungseinrichtung ist das die Positionsdatenverarbeitungseinrichtung oder ein von der Positionsdatenverarbeitungseinrichtung umfasstes Sicherheitsmodul ausgebildet, auf eine Liste mit Transaktionsnummern zuzugreifen, wobei die Anzahl der in der Liste enthaltenen Transaktionsnummern indikativ für die Anzahl der zulässigen trajektoriespezifischen Transaktionen ist. Mit jeder trajektoriespezifischen Transaktion wird beispielsweise eine TAN durch die Positionsdatenverarbeitungseinrichtung oder das Sicherheitsmodul entwertet, beispielsweise gelöscht. Vorzugsweise ist die Liste mit Transaktionsnummern zeitweise in einem Speicherbereich des Sicherheitsmoduls gespeichert.
  • Bei dieser Ausführungsform benötigt beispielsweise das Sicherheitsmodul für jede trajektoriespezifische Transaktion, beispielsweise für jedes Bestimmen oder Speichern eines ersten Referenzwerts und/oder für jedes Berechnen eines ersten Prüfwerts, je eine TAN, wobei jede TAN der Liste jeweils nur einmal verwendet werden kann.
  • Bei dieser Ausführungsform enthält die Antwortnachricht im Falle eines positiven ersten Vergleichsergebnisses (und ggf. im Falle eines positiven zweiten Vergleichsergebnisses) eine oder mehrere neue TANs und das Sicherheitsmodul ist bevorzugt ausgebildet, die neue TAN bzw. die neuen TANs der Liste hinzuzufügen, womit die Anzahl der zulässigen trajektoriespezifischen Transaktionen erhöht wird. Wird indes keine Antwortnachricht empfangen oder enthält die Antwortnachricht keine neue TAN, so erfolgt auch kein Erhöhen der Anzahl der zulässigen trajektoriespezifischen Transaktionen.
  • Bei einer jeweiligen TAN handelt es sich beispielsweise um einen mehrstelligen Zahlencode. Die Zahlencodes können fortlaufend oder nicht fortlaufend sein. Jede TAN der Liste kann mit einer Laufnummer versehen sein.
  • Die Positionsdatenverarbeitungseinrichtung ist bevorzugt ausgebildet, die für einen bestimmten ersten Referenzwert verwendete TAN und/oder die zur verwendeten TAN gehörige Laufnummer in die Betriebsmitteilung zu integrieren. Dies erlaubt eine noch sichere zentralseitige Verwaltung der Positionsdatenverarbeitungseinrichtung.
  • Die Reihenfolge der zu verwendenden TANs kann durch das Betriebsmitteilungsauswertungssystem, beispielsweise durch die Antwortnachricht, vorgegeben sein. Beispielsweise identifiziert die Antwortnachricht die nächste zu verwendende TAN oder die nächsten zu verwendenden TANs mittels der entsprechenden Laufnummern.
  • Bei einer anderen Ausführungsform handelt es sich bei den TANs um nicht fortlaufend nummerierte Zeichenkombinationen, die im bestimmungsgemäßen Betrieb stets in einer begrenzten Anzahl an zur Verfügung stehen und jeweils durch die Verarbeitung der ersten Referenzwerte verbraucht werden, indem sie entsprechend markiert oder zusammen mit den Referenzwerten gespeichert werden. Im Falle des bestimmungsgemäßen Betriebs gehen dem Sicherheitsmodul in dem Maße neue TANs seitens des Betriebsmitteilungsauswertungssystems zu, wie Referenzwerte verbrauchter TANs zentralseitig verifiziert wurden. Eine mangelnde Betriebsbereitschaft ist erreicht, wenn dem Sicherheitsmodul keine TANs mehr zur Verfügung stehen.
    • c) Begrenzte Anzahl von Speicherplätzen
  • Bei einer weiteren Ausführungsform weist das Sicherheitsmodul einen Speicherbereich auf, wobei der Speicherbereich eine begrenzte Anzahl von Speicherplätzen umfasst und das Sicherheitsmodul ausgebildet ist zum Speichern einer jeweiligen Trajektoriendatei und/oder eines jeweiligen ersten Referenzwerts in einem der Speicherplätze, und wobei die Anzahl freier Speicherplätzen indikativ für die Anzahl der zulässigen trajektoriespezifischen Transaktionen ist. Beispielsweise liegt die begrenzte Anzahl der Speicherplätze bei 100 Speicherplätzen. Es können in diesem Fall maximal 100 Trajektoriendateien und/oder 100 erste Referenzwerte in dem Speicherbereich des Sicherheitsmoduls gespeichert werden.
  • Das Sicherheitsmodul ist bevorzugt ausgebildet zum Verwalten des Speicherbereichs in Abhängigkeit von der Antwortnachricht des Betriebsmitteilungsauswertungssystems.
  • Um die Trajektoriendateien und/oder die ersten Referenzwerte von der Aufzeichnungseinheit zu empfangen, ist das Sicherheitsmodul beispielsweise an die Aufzeichnungseinheit drahtlos und/oder drahtgebunden gekoppelt.
  • Das Sicherheitsmodul ist ausgebildet zum Verwalten des Speicherbereichs in Abhängigkeit von der Antwortnachricht des Betriebsmitteilungsauswertungssystems. Das Verwalten des Speicherbereichs durch das Sicherheitsmodul beinhaltet beispielsweise ein Löschen eines oder mehrerer der gespeicherten Trajektoriendateien und/oder ersten Referenzwerte; ein Freigeben eines oder mehrerer der Speicherplätze, sodass die freigegebenen Speicherplätze mit einer neuen Trajektoriendatei und/oder einem neuen ersten Referenzwert beschrieben werden können; und/oder ein Beauflagen eines oder/mehrere der Speicherplätze mit einem Schreibschutz, sodass die die mit einem Schreibschutz beaufschlagten Speicherplätze nicht mit einer neuen Trajektoriendatei und/oder einem neuen ersten Referenzwert beschrieben werden können. Beispielsweise beinhaltet der Schreibschutz auch einen Löschschutz.
  • Zum Betreiben des Speicherbereichs umfasst das Sicherheitsmodul beispielsweise ein autonomes Steuermodul, das zum Verwalten der einzelnen Speicherplätze des Speicherbereichs ausgestaltet ist, also beispielsweise zum Speichern der Trajektoriendateien und/oder der ersten Referenzwerte, zum Löschen von bestimmten Trajektoriendateien und/oder ersten Referenzwerten, zum Freigeben von bestimmten Speicherplätzen des Speicherbereichs und/oder zum Beaufschlagen von bestimmten Speicherplätzen mit einem Schreibschutz. Dabei meint der Begriff "autonom", dass das Steuermodul des Sicherheitsmoduls ausgebildet ist, mittels einer eigenständigen Betriebssoftware betrieben zu werden.
  • Die Antwortnachricht des Betriebsmitteilungsauswertungssystems instruiert bei dieser Ausführungsform demnach das Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung, eine Anzahl bestimmter Trajektoriendateien und/oder erster Referenzwerte, die durch die Antwortnachricht identifiziert werden, aus dem Speicherbereich zu löschen, sodass die so freigegebenen Speicherplätze zum Speichern neuer Trajektoriendateien und/oder neuer erster Referenzwerte zur Verfügung stehen. Die Antwortnachricht kann jedoch auch anzeigen, dass kein Speicherplatz freizugeben ist, sodass die Situation auftreten kann, dass das Sicherheitsmodul keine weiteren Trajektoriendateien und/oder ersten Referenzwerte in seinem Speicherbereich ablegen kann; in diesem Fall beträgt die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null.
  • Der Speicherbereich des Sicherheitsmoduls der Positionsdatenverarbeitungseinrichtung wird folglich durch die Antwortnachricht und damit zentralseitig durch das Betriebsmitteilungsauswertungssystem verwaltet.
  • Ein Vorteil dieser Variante zum Vorgeben und Modifizieren der Anzahl der zulässigen trajektoriespezifischen Transaktionen liegt insbesondere darin, dass die Anzahl verfügbarer Speicherplätze im Speicherbereich des Sicherheitsmoduls mit jeder neu erzeugten Trajektoriendatei, sprich mit jedem neu bestimmten ersten Referenzwert, um einen Platz verringert wird, da jeder Speicherplatz des Speicherbereichs ausgebildet ist, jeweils nur eine einzige Trajektoriendatei und/oder einen einzigen ersten Referenzwert zu speichern. Zeigt die Antwortnachricht also über einen längeren Zeitraum nicht an, dass gespeicherte Trajektoriendateien und/oder erste Referenzwerte zu löschen sind und damit neue freie Speicherplätze für neue Trajektoriendateien und/oder erste Referenzwerte ausgebildet werden können, kommt es zu einem Überschreiten der Speicherkapazität des Speicherbereichs und damit zu einer Fehlermeldung.
  • Beispielsweise nutzt die Positionsdatenverarbeitungseinrichtung diese Fehlermeldung, um in den Zustand mangelnder Betriebsbereitschaft überzugehen, beispielsweise um den Betrieb der Positionsdatenverarbeitungseinrichtung zu sperren und/oder dem Betriebsmitteilungsauswertungssystem einen Manipulationsversuch mitzuteilen. Diese Maßnahmen können auch dann ergriffen werden, wenn beispielsweise ein Benutzer der Positionsdatenverarbeitungseinrichtung das Empfangen und/oder das Erzeugen der Positionsdaten durch den Empfänger verhindert oder das Aussenden der Betriebsmitteilung, beispielsweise der Trajektoriennachricht und/oder der Referenzwertnachricht, verhindert, beispielsweise durch Überdecken einer an die Kommunikationseinrichtung gekoppelten Sendeantenne, da dann von dem Betriebsmitteilungsauswertungssystem keine Antwortnachricht empfangen wird und nur die Antwortnachricht dazu führt, dass das Sicherheitsmodul Speicherplätze in dem Speicherbereich freigibt. Unterbleibt der Empfang der Antwortnachricht und/oder zeigt die Antwortnachricht an, dass kein neuer Speichplatz freizugeben ist bzw. das keine Trajektoriendatei und/oder kein erster Referenzwert zu löschen ist, so führt dies zu einem Überschreiten der durch die begrenzte Anzahl von Speicherplätzen vorgegebenen Speicherkapazität des Speicherbereichs und damit zur Produktion der Fehlermeldung, sodass die Positionsdatenverarbeitungseinrichtung und/oder das Betriebsmitteilungsauswertungssystem auf das Vorliegen eines Manipulationsversuchs schließen können.
  • Die Speicherplätze des Speicherbereichs des Sicherheitsmoduls und/oder die gespeicherten Trajektoriendateien und/oder die gespeicherten ersten Referenzwerte sind beispielsweise jeweils mit einer fortlaufenden Seriennummer versehen, die im Sicherheitsmodul zusammen mit dem ersten Referenzwert abgespeichert ist und welche im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Trajektoriennachricht und/oder im Rahmen der Referenzwertnachricht, an das Betriebsmitteilungsauswertungssystem übermittelt wird. Damit kann das Betriebsmitteilungsauswertungssystem feststellen, ob es die erforderlichen Trajektoriendateien und/oder Referenzwerte lückenlos empfangen hat. Detektiert das Betriebsmitteilungsauswertungssystem eine Lücke aufgrund einer fehlenden Seriennummer, so wird die Übermittlung einer Antwortnachricht, gemäß der einer oder mehrere der Speicherplätze freigegebenen werden, an die Positionsdatenverarbeitungseinrichtung unterlassen.
  • Beispielsweise ist das Sicherheitsmodul ferner ausgebildet, an die einzelnen Speicherplätze des Speicherbereichs einmalig zu verwendende Transaktionsnummern zu vergeben, die beispielsweise mit der Antwortnachricht, die zum Löschen von einzelnen Einträgen auffordert, von dem Betriebsmitteilungsauswertungssystem an die Positionsdatenverarbeitungseinrichtung übertragen und die beispielsweise in der Reihe ihres Eingangs mit den zur Versendung anstehenden ersten Referenzwerten und optional ersten Prüfwerten verknüpft werden. Beispielsweise bilden diese Transaktionsnummern eine unabhängige Identifikation für die von dem Betriebsmitteilungsauswertungssystem durchgeführten Vergleiche zwischen den ersten Referenzwerten und den zweiten Referenzwerten, wobei das Betriebsmitteilungsauswertungssystem, das die vergebenen Transaktionsnummern kennt, jeden zweiten Referenzwert mit einer solchen Transaktionsnummer verknüpft, in der Erwartung, dass die Transaktionsnummern, die mit Übersendung der ersten Referenzwerte übermittelt worden sind, ein vergleichbares Datenpaar liefert.
  • Ein erfindungsgemäßes Betriebsmitteilungsauswertungssystem der vorliegenden Erfindung dient zum Verwalten wenigstens einer Positionsdatenverarbeitungseinrichtung gemäß dem ersten Aspekt der vorliegenden Erfindung, bei dem die Positionsdatenverarbeitungseinrichtung ausgebildet ist, die wenigstens eine erzeugte Trajektorie im Rahmen einer Betriebsmitteilung an das außerhalb und abseits des Fahrzeugs befindliche Betriebsmitteilungsauswertungssystem zu versenden und das Betriebsmitteilungsauswertungssystem ausgebildet ist, die von der Positionsdatenverarbeitungseinrichtung versendete Betriebsmitteilung zu empfangen, die empfangene Betriebsmitteilung auszuwerten und in Abhängigkeit von der Auswertung der Betriebsmitteilung eine Antwortnachricht zu erzeugen.
  • Das Betriebsmitteilungsauswertungssystem ist beispielsweise gekennzeichnet durch einen Nachrichtenempfänger, der zum Empfangen der Betriebsmitteilung und zum Bereitstellen der Betriebsmitteilungfür eine Auswerteeinheit des Betriebsmitteilungsauswertungssystems ausgebildet ist; wobei die Auswerteeinheit ausgebildet ist zum Auswerten der Betriebsmitteilung, zum Erzeugen einer Antwortnachricht in Abhängigkeit von der Auswertung der Betriebsmitteilung sowie zum Bereitstellen der Antwortnachricht für einen Nachrichtensender des Betriebsmitteilungsauswertungssystems.
  • Ist die Positionsdatenverarbeitungseinrichtung ausgebildet, eine Antwortnachricht von dem Betriebsmitteilungsauswertungssystem zu empfangen, so ist das Betriebsmitteilungsauswertungssystem vorzugsweise ausgebildet, die Antwortnachricht mittels des Nachrichtensenders vorzugsweise an die wenigstens eine Positionsdatenverarbeitungseinrichtung zu versenden. Dazu ist die Auswerteeinheit vorzugsweise ausgebildet, den Nachrichtensender zur Versendung der Antwortnachricht anzuweisen.
  • Das Betriebsmitteilungsauswertungssystem umfasst beispielsweise eine Zentrale in Gestalt eines Servers, der in einem Netzwerk integriert ist oder an ein Netzwerk angeschlossen ist, um mit der wenigstens einen Positionsdatenverarbeitungseinrichtung kommunizieren zu können, beispielsweise über ein Drahtloskommunikationsnetzwerk. Auf die genaue räumlich-körperliche Ausgestaltung des Betriebsmitteilungsauswertungssystems kommt es indes weniger an.
  • Das Betriebsmitteilungsauswertungssystem empfängt wenigstens eine Trajektoriendatei und optional auch wenigstens einen ersten Referenzwert, der der wenigstens einen Trajektoriendatei zugeordnet ist, den beispielsweise die . Aufzeichnungseinheit für die wenigstens eine Trajektoriendatei gemäß dem Referenzwertbestimmungsverfahren bestimmt hat. Für diese Zwecke umfasst das Betriebsmitteilungsauswertungssystem einen Nachrichtenempfänger, der zum Empfangen der Betriebsmitteilung der Positionsdatenverarbeitungseinrichtung ausgebildet ist. Der Nachrichtenempfänger umfasst beispielsweise eine Anzahl von ersten Empfangsmodulen zum Empfangen der Trajektoriennachricht und eine Anzahl von zweiten Empfangsmodulen zum Empfangen der Referenzwertnachricht. Beispielsweise ist wenigstens eines der zweiten Empfangsmodule an einer straßenseitigen Kontrolleinrichtung des Betriebsmitteilungsauswertungssystems angeordnet.
  • Beispielsweise sortiert das Betriebsmitteilungsauswertungssystem die Trajektoriennachrichten und Referenzwertnachrichten in Abhängigkeit einer darin jeweils enthaltenen Positionsdatenverarbeitungseinrichtungskennung. Auf die genaue Ausgestaltung des Nachrichtenempfängers des Betriebsmitteilungsauswertungssystems kommt es weniger an, solange sichergestellt ist, dass das Betriebsmitteilungsauswertungssystem die Trajektoriennachricht und die Referenzwertnachricht, die von der zu verwaltenden Positionsdatenverarbeitungseinrichtung ausgesendet worden sind, empfangen kann.
  • Das Betriebsmitteilungsauswertungssystem umfasst außerdem eine Auswerteeinheit, die die empfangene Betriebsmitteilung auswertet und in Abhängigkeit von der Auswertung der Betriebsmitteilung die Antwortnachricht erzeugt. Beispielsweise ist die Auswerteeinheit ausgebildet, für jede empfangene Trajektoriendatei einen zweiten Referenzwert zu bestimmen, und zwar gemäß demselben Referenzwertbestimmungsverfahren, welches optional bei der Positionsdatenverarbeitungseinrichtung zum Einsatz kommt, die die Trajektoriendatei im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Trajektoriennachricht, an das Betriebsmitteilungsauswertungssystem gesendet hat. Zu der übermittelten Trajektoriendatei liegen bei diesem Beispiel also zwei Referenzwerte vor: ein (dezentralseitig gebildeter) erster Referenzwert und ein (zentralseitig gebildeter) zweiter Referenzwert. Die Auswerteeinheit ist beispielsweise ausgebildet zum Durchführen eines ersten Vergleichs zwischen dem zweiten Referenzwert und dem zur jeweiligen Trajektoriendatei gehörigen ersten Referenzwert und zum Erzeugen der Antwortnachricht in Abhängigkeit von dem ersten Vergleichsergebnis. Erfolgt indes kein Bilden und Übersenden eines ersten Referenzwerts, sondern ,lediglich' das Übersenden der jeweiligen Trajektoriendatei, so ist die Auswerteeinheit bevorzugt ausgebildet, die empfangene Trajektoriendatei auszuwerten und in Abhängigkeit von der Auswertung, insbesondere in Abhängigkeit von einem Auswerteergebnis, die Antwortnachricht bereitzustellen.
  • Bevorzugt ist die Auswerteeinheit des Betriebsmitteilungsauswertungssystems ferner ausgebildet, für jeden empfangenen ersten Referenzwert einen zweiten Prüfwert zu bestimmen und zwar gemäß demselben Prüfwertbestimmungsverfahren, welches die Positionsdatenverarbeitungseinrichtung angewendet hat, die die Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem geschickt hat. Bei dem Betriebsmitteilungsauswertungssystem liegen dann für jeden ersten Referenzwert sowohl ein (dezentralseitig gebildeter) erster Prüfwert vor als auch ein (zentralseitig gebildeter) zweiter Prüfwert. Bevorzugt ist die Auswerteeinheit ausgebildet, einen zweiten Vergleich zwischen dem zweiten Prüfwert und dem zum jeweiligen ersten Referenzwert gehörigen ersten Prüfwert durchzuführen und zum Erzeugen der Antwortnachricht auch in Abhängigkeit von dem zweiten Vergleichsergebnis.
  • Bevorzugt ist die Auswerteeinheit des Betriebsmitteilungsauswertungssystems ausgebildet, die Antwortnachricht in Abhängigkeit des ersten Vergleichsergebnisses und/oder in Abhängigkeit des zweiten Vergleichsergebnis derart zu erzeugen, dass die Antwortnachricht der wenigstens einen Positionsdatenverarbeitungseinrichtung anzeigt, dass die Anzahl der zulässigen trajektoriespezifischen Transaktionen zu erhöhen ist, beispielsweise, dass der dem ersten Vergleich zugrundeliegenden erste Referenzwert zu löschen ist und der entsprechende Speicherplatz des Speicherbereichs freizugeben ist, oder, dass die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft zu versetzen ist.
  • Das Sicherheitsmodul der verwalteten Positionsdatenverarbeitungseinrichtung modifiziert die Anzahl der zulässigen trajektoriespezifischen Transaktionen in Abhängigkeit von der Antwortnachricht, beispielsweise durch Setzen eines Zählerstandes, durch Hinzufügen neuer TANs auf eine Liste, und/oder durch entsprechendes Verwalten des Speicherbereichs, wie es weiter oben ausführlich beschrieben worden ist: Zeigt die Antwortnachricht beispielsweise an, dass bestimmte erste Referenzwerte aus dem Speicherbereich zu löschen sind (und ggf. dazugehörige erste Prüfwerte), so löscht das Sicherheitsmodul die entsprechenden Einträge aus den Speicherplätzen, wodurch die Speicherplätze für neue erste Referenzwerte (und ggf. erste Prüfwerte) freigegeben werden.
  • Enthält die Antwortnachricht des Betriebsmitteilungsauswertungssystems keine solche Aufforderung, nimmt das Sicherheitsmodul keine Modifikation der Anzahl vor, beispielweise also keine Löschung der Einträge in den Speicherplätzen, und somit erfolgt auch keine Schaffung von neu zu vergebenden Speicherplätzen für etwaige weitere erste Referenzwerte und/oder Trajektoriendateien. Dies führt dazu, dass die Speicherkapazität Speicherbereich des Sicherheitsmoduls irgendwann, nämlich nach Ausnutzung des letzten zur Verfügung stehenden Speicherplatzes erschöpft ist, womit die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt und wodurch die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft versetzt wird. Gleiches gilt sinngemäß für die Varianten, bei der die Anzahl der zulässigen trajektoriespezifischen Transaktionen durch einen Zählerstand vorgegeben ist und/oder durch eine Anzahl verfügbarer TANs. So kann in sicherer und zuverlässiger Weise zentralseitig überprüft werden, ob bei den von dem Betriebsmitteilungsauswertungssystem verwalteten Positionsdatenverarbeitungseinrichtungen ein Manipulationsversuch vorliegt oder nicht.
  • Vorgeschlagen wird auch ein Mautsystem, das wenigstens eine als Mautgerät ausgebildete Positionsdatenverarbeitungseinrichtung und ein erfindungsgemäßes Betriebsmitteilungsauswertungssystem umfasst und dadurch gekennzeichnet ist, dass das die Positionsdatenverarbeitungseinrichtung und/ oder das Betriebsmitteilungsauswertungssystem ausgebildet sind/ ist, anhand der wenigstens einen von der Positionsdatenverarbeitungseinrichtung erzeugten Trajektorie wenigstens einen der Nutzerkennung zugeordneten durch das Fahrzeug befahrenen mautpflichtigen Streckenabschnitt und/ oder eine der Nutzerkennung zugeordnete Mautgebühr zu bestimmen.
  • Insbesondere ist in einem solchen Mautsystem die Positionsdatenverarbeitungseinrichtung ausgebildet, gemäß einem Referenzwertbestimmungsverfahren einen ersten Referenzwert aus der erzeugten Trajektorie zu bestimmen und den ersten Referenzwert und die erzeugte Trajektorie im Rahmen wenigstens einer Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem zu versenden und das Betriebsmitteilungsauswertungssystem ausgebildet, aus der von der Positionsdatenverarbeitungseinrichtung empfangenen Trajektorie gemäß des Referenzwertbestimmungsverfahrens einen zweiten Referenzwert aus der empfangenen Trajektorie zu bestimmen, den empfangenen ersten Referenzwert mit dem erzeugten zweiten Referenzwert zu vergleichen, bei gegebener Übereinstimmung des ersten Referenzwertes mit dem zweiten Referenzwert eine eine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende positive Antwortnächricht an die Positionsdatendatenverarbeitungseinrichtung zu versenden und bei mangelnder Übereinstimmung des ersten Referenzwertes mit dem zweiten Referenzwert eine keine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende neutrale Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung oder eine eine Anweisung zum Setzen der Anzahl der trajektoriespezifischen Transaktionen gleich Null umfassende negative Antwortnachricht zu versenden, wobei die Positionsdatenverarbeitungseinrichtung ausgebildet ist, die Antwortnachricht, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung versendet hat, zu empfangen und bei Empfang der positiven Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu erhöhen, bei Empfang der neutralen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen unverändert zu lassen und bei Empfang der negativen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.
  • Alternativ oder optional ist in einem solchen Mautsystem die Positionsdatenverarbeitungseinrichtung ausgebildet, gemäß einem Referenzwertbestimmungsverfahren einen ersten Referenzwert aus der erzeugten Trajektorie zu bestimmen und aus dem ersten Referenzwert gemäß einem Prüfwertbestimmungsverfahren einen ersten Prüfwert zu bestimmen und den ersten Referenzwert und den ersten Prüfwert im Rahmen wenigstens einer Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem zu versenden und das Betriebsmitteilungsauswertungssystem ausgebildet, aus der von der Positionsdatenverarbeitungseinrichtung empfangenen Referenzwert gemäß des Prüfwertbestimmungsverfahrens einen zweiten Prüfwert aus dem empfangenen ersten Referenzwert zu bestimmen, den empfangenen ersten Prüfwert mit dem erzeugten zweiten Prüfwert zu vergleichen, bei gegebener Übereinstimmung des ersten Prüfwertes mit dem zweiten Prüfwert eine eine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende positive Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung zu versenden und bei mangelnder Übereinstimmung des ersten Prüfwertes mit dem zweiten Prüfwert eine keine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende neutrale Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung oder eine eine Anweisung zum Setzen der Anzahl der trajektoriespezifischen Transaktionen gleich Null umfassende negative Antwortnachricht zu versenden, wobei die Positionsdatenverarbeitungseinrichtung ausgebildet ist, die Antwortnachricht, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung versendet hat, zu empfangen und bei Empfang der positiven Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu erhöhen, bei Empfang der neutralen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen unverändert zu lassen und bei Empfang der negativen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.
  • Einen zweiten Aspekt der vorliegenden Erfindung bildet ein Verfahren zum Betreiben eines Mautsystems gemäß dem Patentanspruch 12. Diese weitere Aspekt der vorliegenden Erfindung teilt die Vorteile des oben beschriebenen ersten Aspektes und des oben beschriebenen Betriebsmitteilungsauswertungssystems und weist entsprechende bevorzugte Ausführungsformen auf, insbesondere, wie sie in den abhängigen Ansprüchen definiert sind. Insoweit wird auf das Vorstehende verwiesen.
  • Nachfolgend wird ein beispielhaftes Verfahren zum Übertragen von positionsrelevanten Daten innerhalb eines derartigen Systems erläutert:
    Ein von dem Betriebsmitteilungsauswertungssystem verwaltetes Mautgerät sendet in einer ersten Kommunikationsphase eine (oder mehrere) der erzeugten Trajektoriendateien im Rahmen der Trajektoriennachricht an das Betriebsmitteilungsauswertungssystem. Dieses Versenden der Trajektoriennachricht durch die Positionsdatenverarbeitungseinrichtung kann mit oder ohne vorherige Aufforderung durch das Betriebsmitteilungsauswertungssystem erfolgen. Die Übersendung der Trajektoriennachricht erfolgt beispielsweise auch zu dem Zweck, eine Auswertung und Prüfung auf die Befahrung mautpflichtiger Streckenabschnitte zentralseitig durch die Mautzentrale des Betriebsmitteilungsauswertungssystems erfolgen zu lassen.
  • Die Aufzeichnungseinheit der Positionsdatenverarbeitungseinrichtung bildet aus der Trajektoriendatei den ersten Referenzwert gemäß dem Referenzwertbestimmungsverfahren, beispielsweise einen Hash-Wert oder einen CRC-Wert. Das Betriebsmitteilungsauswertungssystem bildet aus der empfangenen Trajektoriendatei einen zweiten Referenzwert gemäß demselben Referenzwertbestimmungsverfahren.
  • Darüber hinaus kann vorgesehen sein, dass das Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung zum bestimmten ersten Referenzwert den ersten Prüfwert bestimmt, und zwar gemäß dem Prüfwertbestimmungsverfahren. Das Sicherheitsmodul speichert den ersten Referenzwert und den ersten Prüfwert gemeinsam als Prüfdatensatz in einem der Speicherplätze des Speicherbereichs des Sicherheitsmoduls.
  • Das Sicherheitsmodul speichert den ersten Referenzwert und den ersten Prüfwert gemeinsam als Prüfdatensatz in einem der Speicherplätze des Speicherbereichs des Sicherheitsmoduls.
  • In einer zweiten Kommunikationsphase sendet die Positionsdatenverarbeitungseinrichtung einen oder mehrere dieser Prüfdatensätze an das Betriebsmitteilungsauswertungssystem, und zwar im Rahmen der Referenzwertnachricht. Die Referenzwertnachricht enthält also den bzw. die Prüfdatensätze. Auch dieses Versenden der Referenzwertnachricht kann nach oder ohne vorherige Aufforderung durch das Betriebsmitteilungsauswertungssystem erfolgen.
  • Hat das Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung für die ersten Referenzwerte auch erste Prüfwerte bestimmt, so bestimmt das Betriebsmitteilungsauswertungssystem für die empfangenen ersten Referenzwerte gemäß demselben Prüfwertbestimmungsverfahren zweite Prüfwerte. Bei den Prüfwerten handelt es sich beispielsweise um MAC-Werte.
  • Das Betriebsmitteilungsauswertungssystem vergleicht die übermittelten ersten Referenzwerte mit den selbstbestimmten zweiten Referenzwerten und ggf. für jeden übermittelten ersten Referenzwert den übermittelten ersten Prüfwert mit dem selbstbestimmten zweiten Prüfwert.
  • Im Falle einer festgestellten Übereinstimmung sendet das Betriebsmitteilungsauswertungssystem eine Aufforderung an die Positionsdatenverarbeitungseinrichtung, und zwar im Rahmen der Antwortnachricht, die übermittelten Prüfdatensätze aus dem Speicherbereich zu löschen und damit die entsprechenden Speicherplätze für neue Prüfdatensätze freizugeben.
  • Im Falle mangelnder Übereinstimmung sendet das Betriebsmitteilungsauswertungssystem keine solche Aufforderung an die Positionsdatenverarbeitungseinrichtung oder es sendet ein Signal an die Positionsdatenverarbeitungseinrichtung, im Rahmen der Antwortnachricht, dass die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft versetzt. Die Positionsdatenverarbeitungseinrichtung kann einen derartigen Zustand optisch anzeigen, beispielsweise durch das Aufblinken oder Aufleuchten einer roten LED.
  • Wenn die Positionsdatenverarbeitungseinrichtung das Erreichen der Maximalanzahl von in dem Speicherbereich speicherbaren Prüfdatensätzen detektiert, also das Erschöpfen der Speicherkapazität des Speicherbereichs (in diesem Fall ist die Anzahl der zulässigen trajektoriespezifischen Transaktionen gleich Null), versetzt die Positionsdatenverarbeitungseinrichtung sich in den Zustand mangelnder Betriebsbereitschaft, in dem sie die Durchführung weiterer trajektoriespezifischer Transaktionen verweigert, und zeigt beispielsweise diesen Zustand durch das Aufleuchten einer roten LED an.
  • Bevorzugt werden die ersten Referenzwerte durch die Aufzeichnungseinheit der Positionsdatenverarbeitungseinrichtung gebildet und an das Sicherheitsmodul weitergeleitet, welches mittels des dort optional vorgesehenen autonomen Steuermoduls, das durch eine eigenständige Betriebssoftware betrieben wird, zu jedem ersten Referenzwert den ersten Prüfwert berechnet und in die Prüfdatensätze aufnimmt.
  • Beispielsweise werden die ersten Prüfwerte jeweils mit Hilfe einer von dem Sicherheitsmodul für jeden ersten Prüfwert neu ermittelten Zufallszahl gebildet, die beispielsweise ebenfalls mit in den Prüfdatensatz aufgenommen wird und optional an das Betriebsmitteilungsauswertungssystem übermittelt wird. Aus der Zufallszahl kann unter Verwendung eines Masterkeys, der sowohl der Positionsdatenverarbeitungseinrichtung als auch dem Betriebsmitteilungsauswertungssystem bekannt ist, ein Sessionkey generiert werden, mit dem der erste Prüfwert aus dem ersten Referenzwert kryptografisch erzeugt wird. Der erste Prüfwert wird zusammen mit der Zufallszahl an das Betriebsmitteilungsauswertungssystem übermittelt, damit das Betriebsmitteilungsauswertungssystem in der Lage ist, mit dem ihm ebenfalls vorliegenden Masterkey und der Zufallszahl den Sessionkey nachzubilden.
  • Vorzugsweise löscht das Betriebsmitteilungsauswertungssystem die Trajektoriendateien nach der Prüfung auf Mautrelevanz und Bestimmung der zweiten Referenzwerte, um Datenschutzvorschriften zu berücksichtigen.
  • Die Kommunikation zwischen der Positionsdatenverarbeitungseinrichtung und dem Betriebsmitteilungsauswertungssystem erfolgt bevorzugt verschlüsselt. Beispielsweise erfolgt die Verschlüsselung der Nachrichten, die die Positionsdatenverarbeitungseinrichtung an das Betriebsmitteilungsauswertungssystem sendet (Betriebsmitteilung; Trajektoriennachrichten und Referenzwertnachrichten), gemäß einer asymmetrischen Verschlüsselung, und einer Verschlüsselung von Nachrichten, die das Betriebsmitteilungsauswertungssystem an die Positionsdatenverarbeitungseinrichtung sendet (Antwortnachrichten), gemäß symmetrischer Verschlüsselung.
  • Die einzelnen Komponenten, insbesondere der Empfänger, die Aufzeichnungseinheit, die Kommunikationseinrichtung und das Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung müssen nicht notwendigerweise in einem Gehäuse integriert sein, sondern können auch verteilt voneinander angeordnet sein und beispielsweise drahtlos gemäß einem Kommunikationsstandard der Kurzreichweitenkommunikation, beispielweise Bluetooth, miteinander kommunizieren. Auf die genaue Anordnung der Komponenten und Ausgestaltung der Kopplung zwischen den Komponenten der Positionsdatenverarbeitungseinrichtung kommt es weniger an, sofern sichergestellt ist, dass die Positionsdatenverarbeitungseinrichtung ihre bestimmungsgemäße Funktion ausführen kann und die dafür erforderlichen operativen Wirkverbindungen zwischen den Komponenten der Positionsdatenverarbeitungseinrichtung implementiert sind.
  • Der der Erfindung zugrunde liegende Gedanke soll nachfolgend anhand des in der Fig. 1 dargestellten Ausführungsbeispiels näher erläutert werden.
  • Fig. 1 zeigt eine schematische und exemplarische Darstellung einer bezüglich der unabhängig beanspruchten Erfindung nicht als einschränkend auszulegenden Ausführungsform einer Positionsdatenverarbeitungseinrichtung 1 und einer bezüglich der unabhängig beanspruchten Erfindung nicht als einschränkend auszulegenden Ausführungsform eines Betriebsmitteilungsauswertungssystems 2 eines Mautsystems 3.
  • Die Positionsdatenverarbeitungseinrichtung 1 ist zum Mitführen in einem in der Fig.1 nicht dargestellten Fahrzeug ausgestaltet, welches mautpflichtige Streckenabschnitte befährt, für dessen Nutzung ein Mautsystem 3 Mautgebühren mittels der Positionsdatenverarbeitungseinrichtung 1 und eines abseits und außerhalb des Fahrzeugs angeordneten Betriebsmitteilungsauswertungssystems 2 erhebt. Zu der Positionsdatenverarbeitungseinrichtung 1 gehört ein in der Fig.1 schematisch dargestelltes DSRC-Kommunikationsmodul 15, das beispielsweise an einer Windschutzscheibe des Fahrzeugs befestigt ist und zum Austauschen von Daten mit einer vom Fahrzeug passierten Kontrolleinrichtung 25 des Betriebsmitteilungsauswertungssystems 2 ausgebildet ist. Bei der Kontrolleinrichtung 25 handelt es sich beispielsweise um eine Kontrollbrücke, unter der das Fahrzeug hindurchfährt.
  • Die Positionsdatenverarbeitungseinrichtung 1 steht in Wirkverbindung mit dem im Wesentlichen stationär angeordneten Betriebsmitteilungsauswertungssystem 2, das sich außerhalb des Fahrzeugs befindet. Das Betriebsmitteilungsauswertungssystem 2 ist zum Verwalten einer Vielzahl von Positionsdatenverarbeitungseinrichtungen 1 ausgestaltet.
  • Beispielsweise kommunizieren die Positionsdatenverarbeitungseinrichtung 1 einerseits und das Betriebsmitteilungsauswertungssystem 2 andererseits über ein Drahtloskommunikationsnetzwerk miteinander, beispielsweise über ein GSM- und/oder UMTS-Netzwerk.
  • Die Positionsdatenverarbeitungseinrichtung 1 weist einen Empfänger 11 auf, der Satellitendaten 111 empfängt und daraus Positionsdaten 111-1 erzeugt, die indikativ für die Position des Fahrzeugs sind, in welchem die Positionsdatenverarbeitungseinrichtung 1 mitgeführt wird. Der Empfänger 11 ist beispielsweise als GNSS-Empfänger ausgestaltet und empfängt beispielsweise Satellitendaten 111 gemäß dem GPS-System oder einem anderen globalen Satellitennavigationssystem.
  • Die Positionsdaten 111-1 können aber auch in besagten Daten 151 enthalten sein, falls der Empfang von Satellitendaten 111 nicht möglich ist, beispielsweise in Tunneln oder anderen abgeschirmten Gegenden. Jedenfalls sind die Positionsdaten 111-1 indikativ für die Position des Fahrzeugs.
  • An den Empfänger 11 ist eine Aufzeichnungseinheit 12 gekoppelt, die die empfangene oder erzeugten Positionsdaten 111-1 erhält und in Abhängigkeit davon Trajektoriendateien TJ-1, ..., TJ-n erzeugt und in einer Speichereinheit 122 ablegt. Das Erzeugen der Trajektoriendateien TJ-1 bis TJ-n erfolgt durch einen Prozessor 121 der Aufzeichnungseinheit 12 beispielsweise intervallmäßig, beispielsweise etwa alle 100 km oder zeitintervallmäßig. Jede Trajektoriendatei TJ-1 bis TJn ist somit indikativ für eine vom Fahrzeug zurückgelegte Strecke.
  • Die Aufzeichnungseinheit ist außerdem ausgebildet zum Bestimmen eines ersten Referenzwerts RWA-1, ...,RWA-n für jede Trajektoriendatei TJ-1 bis TJ-n gemäß einem Referenzwertbestimmungsverfahren und zum Bereitstellen wenigstens einer der Trajektoriendateien TJ-1,...,TJ-n und wenigstens eines der ersten Referenzwerte RWA-1, ..., RWA-n für eine Kommunikationseinrichtung 13 zur Übermittlung im Rahmen wenigstens einer Betriebsmitteilung 131, 132 an das Betriebsmitteilungsauswertungssystem 2, wobei die Kommunikationseinrichtung 13 ferner ausgebildet ist zum Empfangen einer Antwortnachricht 231 des Betriebsmitteilungsauswertungssystems 2, die das Betriebsmitteilungsauswertungssystem 2 in Abhängigkeit von einer Auswertung der wenigstens einen Betriebsmitteilung 131, 132 erstellt hat.
  • Die Kommunikationseinrichtung 13 ist ausgebildet zum Kommunizieren mit dem außerhalb des Fahrzeugs befindlichen Betriebsmitteilungsauswertungssystem 2, insbesondere zum Übermitteln der Betriebsmitteilung 131, 132, die eine Trajektoriennachricht 131 und eine davon gesonderte Referenzwertnachricht 132 umfassen kann. Die Kommunikationseinrichtung 13 übermittelt beispielsweise während einer ersten Kommunikationsphase wenigstens eine der gespeicherten Trajektoriendateien TJ-1 bis TJ-n im Rahmen einer Trajektoriennachricht 131 an das Betriebsmitteilungsauswertungssystem 2. In der Trajektoriennachricht 131 kann darüber hinaus eine Kennung der Positionsdatenverarbeitungseinrichtung 1 enthalten sein, sodass das Betriebsmitteilungsauswertungssystem 2 die empfangene Trajektoriendatei der Positionsdatenverarbeitungseinrichtung 1 zuordnen kann.
  • Zum Empfangen der Trajektoriennachricht 131 weist das Betriebsmitteilungsauswertungssystem 2 einen Nachrichtenempfänger 21 auf. Anhand der in der Trajektoriennachricht 131 enthaltene Trajektoriendatei kann das Betriebsmitteilungsauswertungssystem 2 eine Mauterkennung durchführen und für den Nutzer des Fahrzeugs, in welchem die Positionsdatenverarbeitungseinrichtung 1 mitgeführt wird, eine Mautgebühr berechnen.
  • An die Aufzeichnungseinheit 12 der Positionsdatenverarbeitungseinrichtung 1 ist ferner ein Sicherheitsmodul 14 gekoppelt. Das Sicherheitsmodul 14 ist beispielsweise als Chipkarte ausgestaltet und verfügt insbesondere über einen Speicherbereich 141 und ein Steuermodul 142 zum Betreiben dieses Speicherbereichs 141. Beim Steuermodul 142 handelt es sich um ein autonomes Steuermodul, das insbesondere über eine eigenständige Betriebssoftware verfügt und jedenfalls nicht ausschließlich von einer (in der Fig.1 nicht dargestellten) Steuereinheit, insbesondere der Aufzeichnungseinheit 11, der Positionsdatenverarbeitungseinrichtung 1 kontrolliert wird.
  • Das Sicherheitsmodul 14 ist ausgebildet zum Durchführen einer trajektoriespezifischen Transaktion unter Verarbeiten eines jeweiligen der ersten Referenzwerte RWA-1, ..., RWA-n im Rahmen eines Verarbeitungsvorgangs oder mehrerer Verarbeitungsvorgänge, wobei die Anzahl der zulässigen trajektoriespezifischen Transaktionen variabel und vorgegebenen ist und mit jeder trajektoriespezifischen Transaktion bezüglich eines ersten Referenzwertes RWA-1, ..., RWA-n reduziert wird. Eine jeweilige trajektoriespezifische Transaktion beinhaltet beispielsweise:
    • Entgegennehmen wenigstens eines der ersten Referenzwerte RWA-1, ..., RWA-n und/oder einer der Trajektoriendateien TJ-1, ..., TJ-n von der Aufzeichnungseinheit (12);
    • Speichern wenigstens eines der ersten Referenzwerte RWA-1, ..., RWA-n und/oder wenigstens einer der Trajektoriendateien TJ-1, ..., TJ-n in dem Speicherbereich 141 des Sicherheitsmoduls 14;
    • Berechnen eines ersten Prüfwerts PWA-1, ..., PWA-n für wenigstens einen der ersten Referenzwerte RWA-1, ..., RWA-n und/oder für wenigstens eine der Trajektoriendateien TJ-1, ..., TJ-n;
    • Speichern wenigstens eines der ersten Prüfwerte PWA-1, ..., PWA-n in dem Speicherbereich 141 des Sicherheitsmoduls 14; und/oder
    • Bereitstellen wenigstens eines der ersten Referenzwerte RWA-1, ..., RWA-n und/oder eines der ersten Prüfwerte PWA-1, ..., PWA-n für die Aufzeichnungseinheit (12), sodass der bereitgestellte wenigstens eine erste Referenzwerte RWA-1, ..., RWA-n und/oder der wenigstens eine erste Prüfwert PWA-1, ..., PWA-n im Rahmen der Betriebsmitteilung 131, 132 von der Kommunikationseinrichtung 13 an das Betriebsmitteilungsauswertungssystem 2 übermittelt werden können.
  • Wie im allgemeinen Teil der Beschreibung ausführlich ausgeführt worden ist, kann die Anzahl der zulässigen trajektoriespezifischen Transaktionen in verschiedenen Weisen vorgegeben werden, nämlich insbesondere durch einen Zählerstand eines (in der Fig. 1 nicht dargestellten) Zählers des Sicherheitsmoduls 14, eine Anzahl von verfügbaren TANs und/oder eine Anzahl von verfügbaren Speicherplätzen des Speicherbereichs 141 des Sicherheitsmoduls 14. Mit Bezug auf die Fig. 1 soll nun die letztere Variante anhand eines Beispiels näher erläutert werden.
  • Der Speicherbereich 141 weist eine begrenzte Anzahl von Speicherplätzen 141-1 bis 141-n auf. Beispielsweise sind etwa 100 Speicherplätze (n = 100) dieser Art vorgesehen. In jedem Speicherplatz 141-1 bis 141-n kann genau ein erster Referenzwert RWA-1; ...; RWA-n und genau ein erster Prüfwert PWA-1; ...; PWA-n gespeichert werden. Im Folgenden wird ein Paar aus einem ersten Referenzwert und einem ersten Prüfwert auch als Prüfdatensatz bezeichnet. Damit ein neuer Prüfdatensatz in einem der Speicherplätze 141-1 bis 141-n gespeichert werden kann, muss dieser für einen entsprechenden Schreibvorgang zur Verfügung stehen. Die Anzahl der zur Verfügung stehenden Speicherplätze 141-1 bis 141-n ist also indikativ für eine zulässige Anzahl von trajektoriespezifischen Transaktionen. Dies soll nachstehend näher erläutert werden.
  • Zunächst bestimmt die Aufzeichnungseinheit 12 für jede erzeugte Trajektoriendatei TJ-1 bis TJ-n einen ersten Referenzwert RWA-1, ..., RWA-n. Das Bestimmen eines derartigen Referenzwerts erfolgt gemäß einem Referenzwertbestimmungsverfahren. Beispielsweise handelt es sich bei den ersten Referenzwerten RWA-1 bis RWA-n um Hash-Werte, beispielsweise CRC-Werte. Die Aufzeichnungseinheit 12 legt die bestimmten ersten Referenzwerte RWA-1 bis RWA-n in den Speicherplätzen 141-1 bis 141-n ab, sofern diese für einen entsprechenden Schreibvorgang zur Verfügung stehen.
  • Für jeden im Speicherbereich 141 abgelegten ersten Referenzwert RWA-1 bis RWA-n bestimmt das Steuermodul 142 einen ersten Prüfwert PWA-1 bis PWA-n. Das Bestimmen dieser ersten Prüfwerte PWA-1 bis PWA-n erfolgt gemäß einem Prüfwertbestimmungsverfahren, beispielsweise gemäß einem MAC-Verfahren: Bei den ersten Prüfwerten PWA-1 bis PWA-n handelt es sich also beispielsweise um MAC-Werte.
  • In einer zweiten Kommunikationsphase sendet die Kommunikationseinrichtung 13 der Positionsdatenverarbeitungseinrichtung 1 im Rahmen einer Referenzwertnachricht 132 eine oder mehrere der im Speicherbereich 141 abgelegten Prüfdatensätze, die jeweils einen ersten Referenzwert RWA-1; ...; RWA-n und einen ersten Prüfwert PWA-1; ...; PWA-n umfassen, an das Betriebsmitteilungsauswertungssystem 2. Das Betriebsmitteilungsauswertungssystem 2 empfängt die Referenzwertnachricht 132 mittels des Nachrichtenempfängers 21. Eine Zuordnung zwischen dem Prüfdatensatz einerseits und der Trajektoriendatei andererseits erfolgt beispielsweise durch die Vergabe von Zeitstempeln oder ähnlichen Kennungen, sodass das Betriebsmitteilungsauswertungssystem 2 auf Empfang der Trajektoriennachricht 131 und der Referenzwertnachricht 132 ermitteln kann, welcher Prüfdatensatz welcher Trajektoriendatei zugeordnet ist.
  • Beide Nachrichten, also sowohl die Trajektoriennachricht 131 als auch die Referenzwertnachricht 132, empfängt das Betriebsmitteilungsauswertungssystem 2 mittels des Nachrichtenempfängers 21. Der Nachrichtenempfänger 21 kann dazu beispielsweise verteilt angeordnet sein und eine Anzahl von ersten Empfangsmodulen zum Empfangen der Trajektoriennachricht 131 und eine Anzahl von zweiten Empfangsmodulen zum Empfangen der Referenzwertnachricht 132 umfassen. Beispielsweise ist wenigstens eines der zweiten Empfangsmodule an einer straßenseitigen Kontrolleinrichtung des Betriebsmitteilungsauswertungssystems 2 angeordnet
  • Das Betriebsmitteilungsauswertungssystem 2 umfasst eine Auswerteeinheit 22, die gemäß demselben Referenzwertbestimmungsverfahren, welches auch die Positionsdatenverarbeitungseinrichtung 1 anwendet, für jede empfangene Trajektoriendatei einen zweiten Referenzwert bestimmt, und gemäß demselben Prüfwertbestimmungsverfahren, welches auch bei der Positionsdatenverarbeitungseinrichtung 1 zur Anwendung kommt, für jeden zweiten Referenzwert einen zweiten Prüfwert ermittelt.
  • Anhand eines Vergleichs der ersten Referenzwerte mit den zweiten Referenzwerten und anhand eines Vergleichs der ersten Prüfwerte mit den zweiten Prüfwerten ermittelt das Betriebsmitteilungsauswertungssystem 2, ob die Positionsdatenverarbeitungseinrichtung 1 ordnungsgemäß die Trajektoriendateien TJ-1 bis TJ-n aufgezeichnet hat. Dabei meint ordnungsgemäßes Aufzeichnen von Trajektoriendateien insbesondere, dass die Positionsdatenverarbeitungseinrichtung 1 zum einen die Trajektoriendateien vollständig an das Betriebsmitteilungsauswertungssystem 2 übermittelt und zum anderen in korrekter Weise aufzeichnet.
  • Jedenfalls in Abhängigkeit von den durchgeführten Vergleichen zwischen den ersten Referenzwerten und den zweiten Referenzwerten und zwischen den ersten Prüfwerten und den zweiten Prüfwerten erzeugt die Auswerteeinheit 22 des Betriebsmitteilungsauswertungssystems 2 eine Antwortnachricht 231 und übermittelt diese mittels eines Nachrichtensenders 23 zurück an die Positionsdatenverarbeitungseinrichtung 1.
  • Falls die ersten Referenzwerte mit den zweiten Referenzwerten und die ersten Prüfwerte mit den zweiten Prüfwerten übereinstimmen, erzeugt das Betriebsmitteilungsauswertungssystem 2 die Antwortnachricht 231 derart, dass diese das Steuermodul 142 dazu veranlasst, den oder die entsprechenden Speicherplätze des Speicherbereichs 141 für einen neuen Schreibvorgang freizugeben. Auf den Empfang einer derartigen Antwortnachricht 231 löscht das Steuermodul 142 beispielsweise die Prüfdatensätze aus dem Speicherbereich 141, die den zentralseitigen Vergleichen zugrunde lagen, sodass die entsprechenden Speicherplätze für einen neuen Schreibvorgang, sprich zum Speichern von neuen ersten Referenzwerten und neuen ersten Prüfwerten einer neuen Trajektoriendatei zur Verfügung stehen. Auf diese Weise verwaltet das Sicherheitsmodul 14 den Speicherbereich 141 in Abhängigkeit von der Antwortnachricht 231 des Betriebsmitteilungsauswertungssystems 2, die das Betriebsmitteilungsauswertungssystem 2 in Abhängigkeit von der Auswertung der Trajektoriennachricht 131 und der Referenzwertnachricht 132 erstellt hat.
  • Kommt das Betriebsmitteilungsauswertungssystem 2 bei der Auswertung jedoch zu dem Ergebnis, dass entweder die ersten Prüfwerte nicht mit den zweiten Prüfwerten übereinstimmen oder die ersten Referenzwerte nicht mit den zweiten Referenzwerten, so erzeugt sie die Antwortnachricht 231 beispielsweise derart, dass diese die Positionsdatenverarbeitungseinrichtung 1 dazu veranlasst, in einen Zustand mangelnder Betriebsbereitschaft überzugehen, jedenfalls aber derart, dass die Speicherplätze des Speicherbereichs 141, deren Prüfdatensätze der Auswertung zugrunde lagen, nicht durch das Steuermodul 142 gelöscht und dadurch freigegeben werden. Durch die Nichtfreigabe der Speicherplätze des Speicherbereichs 141 kommt es bei dem Versuch, einen neuen Referenzwert für eine neue Trajektoriendatei im Speicherbereich 141 abzulegen, zu einem Fehler, weil eben kein Speicherplatz im Speicherbereich 141 (mehr) zur Verfügung steht. Dies führt dazu, dass die Positionsdatenverarbeitungseinrichtung 1 in einen Zustand mangelnder Betriebsbereitschaft übergeht, in dem die Positionsdatenverarbeitungseinrichtung (1) keine trajektoriespezifischen Transaktionen in Form der Speicherung erster Referenzwerte im Speicherbereich 141 mehr durchführt. Einem Benutzer der Positionsdatenverarbeitungseinrichtung 1 wird dieser Zustand beispielsweise dadurch angezeigt, dass eine rote LED aufleuchtet. Darüber hinaus registriert das Betriebsmitteilungsauswertungssystem 2, dass die Positionsdatenverarbeitungseinrichtung 1 in diesem Zustand operiert und leitet entsprechende Maßnahmen ein, beispielsweise, indem das Betriebsmitteilungsauswertungssystem 2 die Positionsdatenverarbeitungseinrichtung 1 auf eine Beobachtungsliste setzt oder gleich das Einleiten bestimmter Sanktionsmaßnahmen veranlasst.
  • Um das Detektieren von Manipulationsversuchen bei dem Mautgerät 1 noch sicherer zu gestalten, sehen optionale Ausgestaltungen der Positionsdatenverarbeitungseinrichtung 1 vor, dass das DSRC-Kommunikationsmodul 15 ausgebildet ist zum Speichern einer Kopie der ersten Prüfwerte PWA-1 bis PWA-n und der ersten Referenzwerte RWA-1 bis RWA-n, so dass die ersten Prüfwerte PWA-1 bis PWA-n und die ersten Referenzwerte RWA-1 bis RWA-n auch von einer Kontrolleinrichtung 25 , die von dem Fahrzeug passiert wird, im Rahmen von einer durch das DSRC-Kommunikationsmodul an die Kontrolleinrichtung 25 gesendeten Referenzwertnachricht 132 ausgelesen werden können. Üblicherweise steht eine derartige Kontrolleinrichtung 25, beispielsweise eine Kontrollbrücke, ebenfalls in Wirkverbindung mit dem Betriebsmitteilungsauswertungssystem 2, sodass die ersten Prüfwerte PWA1-1 bis PWA-n und die ersten Referenzwerte RWA-1 bis RWA-n mittels einer derartigen Kontrolleinrichtung an das Betriebsmitteilungsauswertungssystem 2 übertragen werden können, sodass auch auf diesem Wege zentralseitig überprüft werden kann, ob die Positionsdatenverarbeitungseinrichtung 1 ordnungsgemäß operiert.
  • Es kann auch auf die Übertragung der ersten Prüfwerte PWA1-1 bis PWA-n und der ersten Referenzwerte RWA-1 bis RWA-n von der Kontrolleinrichtung an das Betriebsmitteilungsauswertungssystem 2 verzichtet werden, wenn die Kontrolleinrichtung 25 einen Versuch, einen jeweiligen ersten Prüfwert PWA-k unter Bestimmung eines jeweiligen zweiten Prüfwertes aus dem jeweiligen ersten Referenzwert RWA-k nachzubilden, vornimmt. Ist der Versuch nicht erfolgreich, so sendet die Kontrolleinrichtung eine die entsprechende Positionsdatenverarbeitungseinrichtung 1 betreffende Fehlernachricht an das Betriebsmitteilungsauswertungssystem 2.
  • Anhand des oben dargestellten Einsatzes von ersten Referenzwerten RWA-1, ..., RWA-n kann das Betriebsmitteilungsauswertungssystem 2 demnach zentralseitig die Integrität und die Authentizität der Trajektoriendateien TJ-1, ..., TJ-n und damit die ordnungsgemäße Funktionsweise der Positionsdatenverarbeitungseinrichtung 1 überprüfen. Durch den Einsatz der ersten Prüfwerte erfolgt eine Sicherung der ersten Referenzwerte, sodass das Betriebsmitteilungsauswertungssystem 2 überprüfen kann, dass tatsächlich alle Trajektoriendateien und unverändert bei dem Betriebsmitteilungsauswertungssystem 2 angekommen sind.
  • In einer Trajektoriennachricht 131 können eine oder mehrere der Trajektoriendateien TJ-1 bis TJ-n enthalten sein. Gleiches gilt sinngemäß für die Referenzwertnachricht 132, die je nach Ausgestaltung einen oder mehrere Prüfdatensätze umfassen kann. Eine Kennung der Positionsdatenverarbeitungseinrichtung 1 kann in der Trajektoriennachricht 131 und/oder in der Referenzwertnachricht 132 enthalten sein. Eine Zuordnung zwischen den Trajektoriendateien TJ-1 bis TJn einerseits und den Prüfdatensätzen andererseits erfolgt beispielsweise durch die mautgerätseitige Vergabe von Zeitstempeln oder ähnlichen Kennungen, die eine Zuordnung zwischen den Prüfdatensätzen und den Trajektoriendateien eindeutig liefert.
  • Die Positionsdatenverarbeitungseinrichtung 1 sendet die Trajektoriennachricht 131 und/oder die Referenzwertnachricht 132 beispielsweise auf Aufforderung durch das Betriebsmitteilungsauswertungssystem 2 hin. Es ist auch möglich, dass die Positionsdatenverarbeitungseinrichtung 1 die Trajektoriennachricht 131 und/oder die Referenzwertnachricht 132 ohne Aufforderung durch das Betriebsmitteilungsauswertungssystem 2 an das Betriebsmitteilungsauswertungssystem 2 übermittelt.
  • Wie bereits oben erläutert worden ist, ist das Sicherheitsmodul 14 beispielsweise als eigenständige Chipkarte ausgestaltet, die an wenigstens eine bereits existierende Komponente der Positionsdatenverarbeitungseinrichtung 1, insbesondere an die Aufzeichnungseinheit 12, gekoppelt ist.
  • Die Positionsdatenverarbeitungseinrichtung 1 ist beispielsweise als OnBoard-Unit (OBU) ausgestaltet und weist ein Gehäuse auf. Das Sicherheitsmodul 14 ist bevorzugt innerhalb dieses Gehäuses angeordnet.
  • Weiter oben ist erläutert worden, dass die Positionsdatenverarbeitungseinrichtung 2 die Antwortnachricht 231 bei Nichtübereinstimmung zwischen den ersten Referenzwerten und den zweiten Referenzwerten und/oder bei Nichtübereinstimmung zwischen den ersten Prüfwerten und den zweiten Prüfwerten beispielsweise derart erzeugt, dass die Positionsdatenverarbeitungseinrichtung 1 im Ergebnis in einen Zustand mangelnder Betriebsbereitschaft übergeht. Eine derartige Nichtübereinstimmung zwischen den ersten und zweiten Referenzwerten bzw. zwischen den ersten und zweiten Prüfwerten ist insbesondere auch dann gegeben, wenn zu einer Trajektoriendatei ein erster Referenzwert und/oder ein erster Prüferwert nicht mit an das Betriebsmitteilungsauswertungssystem 2 übermittelt worden ist. Eine mangelnde Übereinstimmung kann sich auch dadurch ergeben, dass die Positionsdatenverarbeitungseinrichtung 1 zu einer Trajektoriendatei nicht nur einen ersten Referenzwert, sondern mehrere erste Referenzwerte übermittelt.
    • Bezugszeichenliste
    • 1
    Positionsdatenverarbeitungseinrichtung
    11
    Empfänger
    111
    Satellitendaten
    111-1
    Positionsdaten
    12
    Aufzeichnungseinheit
    121
    Prozessor
    122
    Speichereinheit
    13
    Kommunikationseinrichtung
    131
    Trajektoriennachricht
    132
    Referenzwertnachricht
    14
    Sicherheitsmodul
    141
    Speicherbereich
    141-1, ..., 141-n
    Speicherplätze
    142
    Steuermodul
    15
    DSRC-Kommunikationsmodul
    151
    Daten
    2
    Betriebsmitteilungsauswertungssystem
    21
    Nachrichtenempfänger
    22
    Auswerteeinheit
    23
    Nachrichtensender
    231
    Antwortnachricht
    25
    Kontrolleinrichtung
    3
    Mautsystem
    TJ-1, ..., TJ-n,
    Trajektorien, Trajektoriendateien
    RWA-1, ..., RWA-n
    Erste Referenzwerte
    PWA-1, ..., PWA-n
    Erste Prüfwerte

Claims (12)

  1. Positionsdatenverarbeitungseinrichtung (1) zur Mitführung in oder an einem Fahrzeug,
    wobei die Positionsdatenverarbeitungseinrichtung (1) in einem Zustand gegebener Betriebsbereitschaft ausgebildet ist,
    - Positionsdaten (111-1), die indikativ für Positionen des Fahrzeugs sind, zu empfangen oder zu erzeugen,
    - in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten (111-1) wenigstens eine Trajektorie (TJ-1, .., TJ-n) zu erzeugen, die indikativ für eine von dem Fahrzeug zurückgelegte Strecke ist,
    - bezüglich der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) wenigstens eine trajektoriespezifische Transaktion durchzuführen, und
    - infolge oder im Rahmen der Durchführung der trajektoriespezifischen Transaktion die wenigstens eine erzeugte Trajektorie (TJ-1, .., TJ-n) oder einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) bestimmten ersten Referenzwert (RWA-1, ..., RWA-n) im Rahmen einer Betriebsmitteiluhg (131, 132) an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2) zu versenden,
    dadurch gekennzeichnet, dass
    die Positionsdatenverarbeitungseinrichtung (1) im Zustand gegebener Betriebsbereitschaft ferner ausgebildet ist,
    - keine mangelnde Betriebsbereitschaft und/oder eine gegebene Betriebsbereitschaft zu signalisieren,
    - eine Anzahl von zulässigen trajektoriespezifischen Transaktionen von größer als Null infolge der wenigstens einen durchgeführten trajektoriespezifischen Transaktion zu reduzieren,
    - eine Antwortnachricht (231), die das Betriebsmitteilungsauswertungssystem (2) in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung (131, 132) versendet hat, zu empfangen,
    - in Abhängigkeit von der empfangenen Antwortnachricht (231) die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu einer Anzahl von größer als Null zu modifizieren, unverändert zu lassen oder gleich Null zu setzen und
    - in einen Zustand mangelnder Betriebsbereitschaft zu wechseln, falls die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt,
    und
    die Positionsdatenverarbeitungseinrichtung (1).im Zustand mangelnder Betriebsbereitschaft ausgebildet ist,
    - keine trajektoriespezifische Transaktion durchzuführen und
    - eine mangelnde Betriebsbereitschaft und/oder keine gegebene Betriebsbereitschaft zu signalisieren.
  2. Positionsdatenverarbeitungseinrichtung nach Anspruch 1 dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1)
    - wenigstens einen Prozessor (121) aufweist, der zumindest im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten (111-1) die wenigstens eine Trajektorie (TJ-1, ..., TJ-n) zu erzeugen, und
    die Positionsdatenverarbeitungseinrichtung (1)
    - wenigstens ein Sicherheitsmodul (14) aufweist, welches zumindest im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, die wenigstens eine trajektoriespezifische Transaktion durchzuführen,
    wobei
    - der Prozessor (121) zumindest im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, dem Sicherheitsmodul die erzeugte Trajektorie (TJ-1, .., TJ-n) oder Positionsdaten (111-1), von denen abhängig die Trajektorie (TJ-1, ..., TJ-n) erzeugt wurde, zur Durchführung der trajektoriespezifischen Transaktion bereitzustellen.
  3. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, im Rahmen der Durchführung der trajektoriespezifischen Transaktion oder außerhalb davon wenigstens einen der folgenden Schritte durchzuführen:
    - die zumindest zeitweilige Speicherung von Daten der Trajektorie (TJ-1, ..., TJ-n) in einem Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung;
    - die Versendung der Trajektorie (TJ-1, ..., TJ-n) im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2);
    - die Bestimmung eines ersten Referenzwertes (RWA-1, ..., RWA-n) aus der Trajektorie (TJ-1, ..., TJ-n) gemäß wenigstens eines Referenzwertbestimmungsverfahrens;
    - die zumindest zeitweilige Speicherung eines ersten, aus der Trajektorie (TJ-1, ..., TJ-n) gemäß wenigstens eines Referenzwertbestimmungsverfahrens bestimmten, Referenzwertes (RWA-1, ..., RWA-n) in einem Sicherheitsmodul (14) der Positionsdatenverarbeitungseinrichtung (1).
  4. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1), insbesondere ein von der Positionsdatenverarbeitungseinrichtung (1) umfasstes Sicherheitsmodul (14), ausgebildet ist,
    - im Rahmen der Durchführung der trajektoriespezifischen Transaktion oder außerhalb davon gemäß wenigstens eines Referenzwertbestimmungsverfahrens einen ersten Referenzwert (RWA-1, ,..., RWA-n) aus der Trajektorie (TJ-1, ..., TJ-n) zu bestimmen,
    und die Positionsdatenverarbeitungseinrichtung ausgebildet ist,
    - den ersten Referenzwert (RWA-1, ..., RWA-n) im Rahmen der Betriebsmitteilung (131) zusammen mit der Trajektorie (TJ-1, ..., TJ-n), aus deren Daten der erste Referenzwert (RWA-1, ..., RWA-n) bestimmt wurde, an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2) zu versenden
    oder
    - die Trajektorie (TJ-1, ..., TJ-n) im Rahmen einer ersten Betriebsmitteilung (131) an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2) zu versendenden und den ersten Referenzwert (RWA-1, ..., RWA-n) im Rahmen einer von der ersten Betriebsmitteilung (131) zeitlich beabstandeten, gesonderten zweiten Betriebsmitteilung (132) an das Betriebsmitteilungsauswertungssystem (2) zu versenden.
  5. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1), insbesondere ein von der Positionsdatenverarbeitungseinrichtung (1) umfasstes Sicherheitsmodul (14), ausgebildet ist, für die wenigstens eine Trajektorie (TJ-1, ..., TJ-n) und/ oder für wenigstens einen nach gemäß wenigstens eines Referenzwertbestimmungsverfahrens durch die Positionsdatenverarbeitungseinrichtung aus der Trajektorie (TJ-1, ..., TJ-n) bestimmten ersten Referenzwert (RWA-1, ..., RWA-n) einen oder mehrere erste Prüfwerte (PWA-1, ..., PWA-n) gemäß einem Prüfwertbestimmungsverfahren zu bestimmen, und dass
    die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, die wenigstens eine Trajektorie (TJ-1, ..., TJ-n) und/oder den wenigstens einen ersten Referenzwert (RWA-1, ..., RWA-n) gemeinsam mit dem dazugehörigen ersten Prüfwert (PWA-1, ..., PWA-n) im Rahmen der Betriebsmitteilung (131, 132) an das Betriebsmitteilungsauswertungssystem (2) zu übermitteln.
  6. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass eine Information über die Anzahl der zulässigen trajektoriespezifischen Transaktionen in der Positionsdatenverarbeitungseinrichtung (1), insbesondere in einem Speicherbereich (141) eines Sicherheitsmoduls (14) der Positionsdatenverarbeitungseinrichtung (1) gespeichert ist, und die Positionsdatenverarbeitungseinrichtung (1), insbesondere das Sicherheitsmodul (14), ausgebildet ist, mit jeder trajektoriespezifischen Transaktion die Information in der Weise zu verändern, dass die veränderte Information die reduzierte Anzahl der zulässigen trajektoriespezifischen Transaktionen angibt.
  7. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Anzahl der zulässigen trajektoriespezifischen Transaktionen durch einen Zählerstand eines Zählers der Positionsdatenverarbeitungseinrichtung (1), insbesondere eines Sicherheitsmoduls (14) der Positionsdatenverarbeitungseinrichtung (1), vorgegeben ist.
  8. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1), insbesondere ein von der Positionsdatenverarbeitungseinrichtung (1) umfasstes Sicherheitsmodul (14), ausgebildet ist, auf eine Liste mit Transaktionsnummern zuzugreifen, wobei die Anzahl der in der Liste enthaltenen Transaktionsnummern indikativ für die Anzahl der zulässigen trajektoriespezifischen Transaktionen ist.
  9. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass in der Positionsdatenverarbeitungseinrichtung (1) eine Nutzerkennung, insbesondere eine Kennung des Fahrzeugs oder der Positionsdatenverarbeitungseinrichtung (1), gespeichert ist und die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, die wenigstens eine erzeugte Trajektorie (TJ-1, ..., TJ-n) oder einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) bestimmten ersten Referenzwert (RWA-1, ..., RWA-n) im Rahmen einer Betriebsmitteilung (131) an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2) zu versenden und die Nutzerkennung im Rahmen der Betriebsmitteilung (131, 132) oder außerhalb der Betriebsmitteilung (131, 132) im Rahmen einer von der Betriebsmitteilung (131, 132) unabhängigen Identifikationsmitteilung an das Betriebsmitteilungsauswertungssystem (2) zu senden.
  10. Mautsystem (3) gekennzeichnet durch wenigstens eine Positionsdatenverarbeitungseinrichtung (1) gemäß Anspruch 9 und durch ein Betriebsmitteilungsauswertungssystem (2) zum Verwalten wenigstens einer Positionsdatenverarbeitungseinrichtung (1) nach Anspruch 9, wobei das Betriebsmitteilungsauswertungssystem (2) ausgebildet ist,
    - die von der Positionsdatenverarbeitungseinrichtung (1) versendete Betriebsmitteilung (131) zu empfangen,
    - die empfangene Betriebsmitteilung (131) auszuwerten und
    - in Abhängigkeit von der Auswertung der Betriebsmitteilung (131) die Antwortnachricht (231) zu erzeugen,
    dadurch gekennzeichnet, dass
    die Positionsdatenverarbeitungseinrichtung (1) und/ oder das Betriebsmitteilungsauswertungssystem (2) ausgebildet sind/ ist, anhand der wenigstens einen von der Positionsdatenverarbeitungseinrichtung (1) erzeugten Trajektorie (TJ-1, ..., TJn) wenigstens einen der Nutzerkennung zugeordneten durch das Fahrzeug befahrenen mautpflichtigen Streckenabschnitt und/oder eine der Nutzerkennung zugeordnete Mautgebühr zu bestimmen.
  11. Mautsystem nach Anspruch 10 dadurch gekennzeichnet, dass
    die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist,
    - gemäß einem Referenzwertbestimmungsverfahren einen ersten Referenzwert (RWA-1, ..., RWA-n) aus der erzeugten Trajektorie (TJ-1, ..., TJ-n) zu bestimmen und
    - den ersten Referenzwert (RWA-1, ..., RWA-n) und die erzeugte Trajektorie (TJ-1, ..., TJ-n) im Rahmen wenigstens einer Betriebsmitteilung (131, 132) an das Betriebsmitteilungsauswertungssystem (2) zu versenden
    und das Betriebsmitteilungsauswertungssystem (2) ausgebildet ist,
    - aus der von der Positionsdatenverarbeitungseinrichtung (1) empfangenen Trajektorie gemäß des Referenzwertbestimmungsverfahrens einen zweiten Referenzwert aus der empfangenen Trajektorie (TJ-1, ..., TJ-n) zu bestimmen,
    - den empfangenen ersten Referenzwert (RWA-1, ..., RWA-n) mit dem erzeugten zweiten Referenzwert zu vergleichen,
    - bei gegebener Übereinstimmung des ersten Referenzwertes (RWA-1, ..., RWA-n) mit dem zweiten Referenzwert eine eine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende positive Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung (1) zu versenden und
    - bei mangelnder Übereinstimmung des ersten Referenzwertes (RWA-1, ..., RWA-n) mit dem zweiten Referenzwert eine keine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende neutrale Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung (1) oder eine Anweisung zum Setzen der Anzahl der trajektoriespezifischen Transaktionen gleich Null umfassende negative Antwortnachricht zu versenden,
    wobei die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, die
    - Antwortnachricht, die das Betriebsmitteilungsauswertungssystem (1) in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung (131, 132) versendet hat, zu empfangen und
    - bei Empfang der positiven Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu erhöhen, bei Empfang der neutralen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen unverändert zu lassen und bei Empfang der negativen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.
  12. Verfahren zum Betreiben eines Mautsystems mit wenigstens einer Positionsdatenverarbeitungseinrichtung (1), die zur Mitführung in oder an einem Fahrzeug geeignet ist, und wenigstens einem außerhalb und abseits des Fahrzeugs befindlichen Betriebsmitteilungsauswertungssystem (2) mit den Schritten in einem Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) des
    - Empfangens oder Erzeugens von Positionsdaten (111-1), die indikativ für Positionen des Fahrzeugs sind, durch die Positionsdatenverarbeitungseinrichtung (1),
    - Erzeugens wenigstens einer Trajektorie (TJ-1, ..., TJ-n), die indikativ für eine von dem Fahrzeug zurückgelegte Strecke ist, in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten (111-1) durch die Positionsdatenverarbeitungseinrichtung (1),
    - Durchführens wenigstens einer trajektoriespezifischen Transaktion bezüglich der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) durch die Positionsdatenverarbeitungseinrichtung (1),
    - Versendens der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) oder eines gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) bestimmten ersten Referenzwertes (RWA-1, ..., RWA-n) im Rahmen einer Betriebsmitteilung (131, 132) an das Betriebsmitteilungsauswertungssystem infolge oder im Rahmen der Durchführung der trajektoriespezifischen Transaktion durch die Positionsdatenverarbeitungseinrichtung,
    - Empfangens der von der Positionsdatenverarbeitungseinrichtung (1) versendeten Betriebsmitteilung (131, 132) durch das Betriebsmitteilungsauswertungssystem (2) und
    - Bestimmens wenigstens eines einer Nutzerkennung der Positionsdatenverarbeitungseinrichtung zugeordneten durch das Fahrzeug befahrenen mautpflichtigen Streckenabschnitts und/ oder wenigstens einer Nutzerkennung der Positionsdatenverarbeitungseinrichtung zugeordneten Mautgebühr durch die Positionsdatenverarbeitungseinrichtung und/ oder das Betriebsmitteilungsauswertungssystem anhand der Trajektorie (TJ-1, ..., TJ-n),
    gekennzeichnet durch
    die weiteren Schritte im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) des
    - Signalisierens keiner mangelnden Betriebsbereitschaft und/ oder einer gegebenen Betriebsbereitschaft durch die Positionsdatenverarbeitungseinrichtung (1),
    - Reduzierens einer Anzahl von zulässigen trajektoriespezifischen Transaktionen von größer als Null infolge der wenigstens einen durchgeführten trajektoriespezifischen Transaktion durch die Positionsdatenverarbeitungseinrichtung (1),
    - Auswertens der empfangenen Betriebsmitteilung (131, 132) durch das Betriebsmitteilungsauswertungssystem (2),
    - Erzeugens einer Antwortnachricht (231) in Abhängigkeit von der Auswertung der Betriebsmitteilung (131, 132) durch das Betriebsmitteilungsauswertungssystem (2),
    - Versendens der Antwortnachricht (231) durch das Betriebsmitteilungsauswertungssystem (2) an die Positionsdatenverarbeitungseinrichtung (1),
    - Empfangens der Antwortnachricht, die das Betriebsmitteilungsauswertungssystem (2) versendet hat, durch die Positionsdatenverarbeitungseinrichtung (1),
    - Modifizierens der Anzahl von zulässigen trajektoriespezifischen Transaktionen (TJ-1, ..., TJ-n) zu einer Anzahl von größer als Null, Beibehaltens der Anzahl von zulässigen trajektoriespezifischen Transaktionen oder Setzens der Anzahl von zulässigen trajektoriespezifischen Transaktionen gleich Null in Abhängigkeit von der empfangenen Antwortnachricht durch die Positionsdatenverarbeitungseinrichtung,
    - selbsttätigen Wechselns der Positionsdatenverarbeitungseinrichtung (1) in einen Zustand mangelnder Betriebsbereitschaft, in dem die Positionsdatenverarbeitungseinrichtung (1) keine trajektoriespezifische Transaktion durchführt, falls die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt,
    und den Schritt im Zustand der mangelnden Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) des
    - Signalisierens einer mangelnden Betriebsbereitschaft und/ oder keiner gegebenen Betriebsbereitschaft durch die Positionsdatenverarbeitungseinrichtung (1).
EP15003705.9A 2015-12-30 2015-12-30 Positionsdatenverarbeitungseinrichtung und mautsystem sowie verfahren zum betreiben einer positionsdatenverarbeitungseinrichtung und eines mautsystems Active EP3188133B1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP15003705.9A EP3188133B1 (de) 2015-12-30 2015-12-30 Positionsdatenverarbeitungseinrichtung und mautsystem sowie verfahren zum betreiben einer positionsdatenverarbeitungseinrichtung und eines mautsystems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP15003705.9A EP3188133B1 (de) 2015-12-30 2015-12-30 Positionsdatenverarbeitungseinrichtung und mautsystem sowie verfahren zum betreiben einer positionsdatenverarbeitungseinrichtung und eines mautsystems

Publications (2)

Publication Number Publication Date
EP3188133A1 EP3188133A1 (de) 2017-07-05
EP3188133B1 true EP3188133B1 (de) 2020-12-16

Family

ID=55079933

Family Applications (1)

Application Number Title Priority Date Filing Date
EP15003705.9A Active EP3188133B1 (de) 2015-12-30 2015-12-30 Positionsdatenverarbeitungseinrichtung und mautsystem sowie verfahren zum betreiben einer positionsdatenverarbeitungseinrichtung und eines mautsystems

Country Status (1)

Country Link
EP (1) EP3188133B1 (de)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4303904A (en) * 1979-10-12 1981-12-01 Chasek Norman E Universally applicable, in-motion and automatic toll paying system using microwaves
FR2708767B1 (fr) 1993-07-29 1995-09-01 Cga Hbs Procédé pour structurer des objets de télé transactions dans un équipement embarqué.
US20060200379A1 (en) * 2001-01-31 2006-09-07 Werner Biet Road toll collection system
GB0712377D0 (en) 2007-06-26 2007-08-01 Nxp Bv Road toll system
EP2487506B1 (de) 2011-02-10 2014-05-14 Toll Collect GmbH Positionsbestimmungsvorrichtung sowie Verfahren und Computerprogrammprodukt zur Signalisierung einer Mangelnden Betriebsfähigkeit einer Positionsbestimmungsvorrichtung
PL2490183T3 (pl) * 2011-02-16 2013-10-31 Kapsch Trafficcom Ag Urządzenie do pojazdów, sieć ad-hoc oraz sposób dla systemu poboru opłat drogowych
EP2690601B1 (de) * 2012-07-23 2021-07-14 Toll Collect GmbH Mautkontrollverfahren und Mautkontrolleinrichtungen sowie Mautsystem mit derartigen Mautkontrolleinrichtungen

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None *

Also Published As

Publication number Publication date
EP3188133A1 (de) 2017-07-05

Similar Documents

Publication Publication Date Title
EP2860703B1 (de) Verfahren zum Überprüfen von Mauttransaktionen und Komponenten hierfür
EP1358635B1 (de) Verfahren zum erfassen von strassenbenutzungsgebühren
EP0741891B1 (de) Verfahren und anordnung zur ermittlung von nutzungsgebühren für verkehrswege und/oder verkehrsflächen
WO2009049859A2 (de) Verfahren zum abwickeln eines parkvorgangs mit hilfe eines mobilfunkgerätes
AT507031B1 (de) Verfahren und vorrichtung zum einheben von maut
EP2912856B1 (de) System und verfahren zur datenschutzkonformen erfassung und weiterleitung von telemetriedaten
DE102014210381A1 (de) Verfahren und Vorrichtungen zum Betrieb eines Fahrzeugflottensystems
EP2994890B1 (de) Verfahren und vorrichtung zur bereitstellung von daten zur mauterhebung und mautsystem
EP1750220A1 (de) Verfahren und System zur Erstellung und zur automatisierten Überprüfung von elektronischen Tickets
WO2000031691A1 (de) Verfahren und vorrichtungen zum erfassen, verrechnen und sperren von dienstleistungen
EP2381425B1 (de) Verfahren und Vorrichtung zum Erzeugen von ortsanonymisierten Mautdaten
EP3242206A1 (de) Verfahren zur aktualisierung der konfiguration einer fahrzeugeinrichtung, fahrzeugeinrichtung, zentrale datenverarbeitungseinrichtung und mautsystem
EP3188133B1 (de) Positionsdatenverarbeitungseinrichtung und mautsystem sowie verfahren zum betreiben einer positionsdatenverarbeitungseinrichtung und eines mautsystems
DE102014116756A1 (de) Vorrichtung zum Erheben einer Fahrzeugmaut
EP2325806B1 (de) Verfahren zum Erzeugen von Mauttransaktionen
EP2503518A1 (de) Verfahren zum Validieren einer Mauttransaktion
EP3038062B1 (de) Verfahren und Fahrzeugeinrichtungen zur DSRC-Kommunikation
EP3211605B1 (de) Fahrzeugeinrichtung, system, strassenseitige einrichtung und verfahren zur durchführung wenigstens einer transaktion
EP3817406B1 (de) Verfahren zum betreiben einer auf einem mobilen endgerät installierten dienstleistungsanwendung
EP3242205A1 (de) Verfahren zur aktualisierung der konfiguration einer fahrzeugeinrichtung, fahrzeugeinrichtung, zentrale datenverarbeitungseinrichtung und mautsystem
DE10205162A1 (de) Einrichtung zur Ermittlung von Nutzungsgebühren
EP2413292B1 (de) Verfahren zur Analyse der Funktion und/oder Daten einer Vielzahl von Vorrichtungen
EP3358533B1 (de) Verfahren zur automatischen ermittlung der nutzung von fahrzeugen
EP3174015A1 (de) Erkennung von fehlern in einer von einem fahrzeug mitgeführten fahrzeugeinrichtung eines mautsystems
EP2288197B1 (de) Verfahren zum Erzeugen von ortsspezifischen Informationsdaten

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20180105

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20190425

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTG Intention to grant announced

Effective date: 20200917

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502015014005

Country of ref document: DE

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 1346275

Country of ref document: AT

Kind code of ref document: T

Effective date: 20210115

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20210316

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20210317

REG Reference to a national code

Ref country code: NL

Ref legal event code: MP

Effective date: 20201216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20210316

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG9D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20210416

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: SM

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502015014005

Country of ref document: DE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20210416

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20201230

Ref country code: AL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20201230

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

26N No opposition filed

Effective date: 20210917

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20210416

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: MT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20201216

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: BE

Payment date: 20221220

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20230103

Year of fee payment: 8

P01 Opt-out of the competence of the unified patent court (upc) registered

Effective date: 20231207

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20231220

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20231219

Year of fee payment: 9

Ref country code: DE

Payment date: 20231214

Year of fee payment: 9

Ref country code: AT

Payment date: 20231214

Year of fee payment: 9

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: BE

Payment date: 20231218

Year of fee payment: 9