WO2012062258A1 - Verfahren zum schutz von persönlichkeitsdaten bei netzmonitoring mit kunden-terminals. - Google Patents

Verfahren zum schutz von persönlichkeitsdaten bei netzmonitoring mit kunden-terminals. Download PDF

Info

Publication number
WO2012062258A1
WO2012062258A1 PCT/DE2011/001788 DE2011001788W WO2012062258A1 WO 2012062258 A1 WO2012062258 A1 WO 2012062258A1 DE 2011001788 W DE2011001788 W DE 2011001788W WO 2012062258 A1 WO2012062258 A1 WO 2012062258A1
Authority
WO
WIPO (PCT)
Prior art keywords
esa
measurement
dee
data
sta
Prior art date
Application number
PCT/DE2011/001788
Other languages
English (en)
French (fr)
Inventor
Joachim Linz
Roland Schmidt
Original Assignee
Joachim Linz
Roland Schmidt
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Joachim Linz, Roland Schmidt filed Critical Joachim Linz
Priority to EP11790857.4A priority Critical patent/EP2622896A1/de
Priority to DE112011104118T priority patent/DE112011104118A5/de
Publication of WO2012062258A1 publication Critical patent/WO2012062258A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/10Scheduling measurement reports ; Arrangements for measurement reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/16Mobility data transfer selectively restricting mobility data tracking

Definitions

  • the process presented here also takes into account the latter situation, allowing for cost-effective quality improvements that benefit customers without having to sacrifice effective protection of their personal data.
  • the inventive method described here is in the areas of quality improvement in
  • CONFIRMATION COPY Network Planning or Optimization sent The terminal at the customer acts here as a probe whose position for the further use of the data is just as important as the associated data.
  • other information or events may be initiated either automatically or by the customer. It can also be reported on events such as malfunction of increasingly complex end devices such as iPhone or devices with Androit operating system - fully automatically in the background or alternatively with a request to the customer whether the current event should be sent.
  • the appropriate reporting application Before submitting such a trouble ticket, the appropriate reporting application would provide the relevant information (especially versions) about the operating system, the affected software and / or hardware and / or a currently blocked application, and / or a spyware application against the Customers, and / or an application that uses network resources at the expense of the customer without the customer's knowledge, recorded and attached to the report.
  • the customer In the case of a trouble ticket, the customer is optionally asked if he wants to enclose his identity, eg his telephone number for further inquiries.
  • the information about the radio coverage is used in a central processing station (automatically, or manually by a specialist) to rule out a network failure or vice versa, even in the presence of an obvious or already known error in the terminal (mobile phone) a search for a network error saved.
  • the inventive method described herein aims at handling data that has been transmitted anonymously to a central data collection device (DEE) and for which
  • Network status can possibly exclude influences of the network. Knowing the distribution of causes and device types in a narrow geographic area leaves more specific
  • Error identifiers and allows the identification of errors that are due to the interaction of network and terminal type. It lays the foundation for efficient troubleshooting to improve the quality that ultimately benefits the mobile operator's customer. Particularly in the detection of the network state, a high accuracy of the spatial resolution is desirable (if possible GPS).
  • the location coordinates are associated with the field strength, for example. However, the more accurate the location coordinates and the more precise the time of day and the smaller the number of measurements made by different terminals, the greater the risk for a customer to be identified by time and location (eg if only a single terminal) involved in a particular measurement program and the recorded path begins in the morning in front of the customer's home) and ends there in the evening).
  • the inventive method described herein uses several mechanisms to statistically anonymize the records and to statistically aggregate them with those of other customers. Each of the measures described below will make an amount for anonymisation, but the interaction of all these measures is much more effective.
  • Time intervals to receive new control instructions ⁇ e.g. Measuring instructions) or updates of the terminal-side application (ESA).
  • ESA terminal-side application
  • STA Control Statements
  • ESA updates are specific to the operating system.
  • random numbers generated in the terminal ⁇ representative of terminal, mobile phone, notebook, etc.) of the terminal-side application (ESA) of the terminal-side application (ESA) optionally irregular time points of the return are generated. This provides additional security against identification by evaluating the time and / or order of registration.
  • DEE has a remaining distance to the last measurement to further dilute real time correlation or verification of locations - without specifying the actual destination, e.g. to affect the network condition detection,
  • the DEE informs the ESA when it should first contact the AME for the eventual acceptance of new measurement tasks (StA) in such a way that it can not collect any data or measurements that are currently ongoing and not yet
  • the AME can communicate with the data acquisition unit (DEE) at which the measurement results or
  • the reports are uploaded to be identical (functional unit). By separating the two units, additional protection is achieved by not knowing where the ESA has measured the AME. In this case, the AME would basically give all StA to the terminal that exist for that type of device, regardless of the current geographic location of the currently reporting terminal. The ESA will decide afterwards whether the StA is intended for their whereabouts or not - in the case of a geographically limited measurement order (measurement program).
  • the commissioned measurement period includes a minimum duration.
  • Another measure is the minimum number of measurement points to record before the ESA logs in to the DEE to deliver the measurement results. If the measurement period has expired or the time has come to upload interim results from the ESA, ESA will also check if this minimum number has been reached. If this is not the case, for whatever reason, the ESA ignores the instruction for uploading the intermediate result and continues measuring until the next time, or if the measurement period is over, discards the data.
  • Actions are implemented in such a way that either only fixed time grids are available for selection as a measurement pattern or that an editor for the StA performs this check against a corresponding set of rules. Only such audited StA reach the AME and ultimately the ESA.
  • Another process element for anonymisation is the minimum number of terminals that have to contact the AME to get the instructions
  • the DEE accepts the uploaded records from the ESA. If she receives an 11 record for the Troubie Shooting (delivered individually), she will pass it on to the Troubie Ticketing System. Other data sets are assigned to the DEE according to the measurement times (at which the measurements or the recording of events took place). If necessary, it carries out standardization of measured values, for example device-specific ones
  • the data sets present according to the previous method steps have all been currently uploaded and processed by a single terminal.
  • the identity of the terminal or the holder of the terminal is never delivered (the troubie ticket records are never shared with the network monitoring data uploaded to the DEE; they only briefly pass through the DEE and are passed on to the trouble ticketing system, where they are anonymised and processed according to other rules; they are deleted in the DEE).
  • the trouble tickets are transferred to a separate link to a trouble ticket registration unit (TTE).
  • TTE trouble ticket registration unit
  • the DEE (and the TTE) is not interactive and does not require human intervention. Access to the
  • the corresponding server must still be protected with the usual logical access controls. Only personnel with special authorization and only in particularly justifiable (incident) cases may access this server. Further protection is provided by the introduction of the server in additional mechanically / physically protected spaces z. B. reached with other servers with particularly sensitive data.
  • the records are transferred to a database. It transfers all data sets from all devices that have participated in a particular action (the name of the measurement name also called measurement program or measurement project is communicated to the participating devices in each case with the StA, and the devices in turn inform the DEE of the upload) ,
  • This database is called Measurement Program Specific Database (MPSDB). If all current data records have been transferred from an individual terminal device into the MPSDB, they are deleted from the intermediate database (ImDB) of the DEE.
  • MPSDB Measurement Program Specific Database
  • Measurement times arranged. Only when all data sets of all participating devices (how many are in a certain measuring program, is known and queried in the AME), the access to the data of the MPSDB for the next process step is released. To prevent a blockade of the MPSDB by late or never arriving terminals a timer is set. All data records for this measurement program reported to the DEE later are discarded by the DEE. Also for privacy reasons, there is a minimum number of device reports that must be reached in order to release the MPSDB for access. If this minimum number is not reached, the MPSDB is deleted. Also, the MPSDB is not sufficiently scrambled yet, so the data must remain protected from access by personnel (see above).
  • the data is transferred to the measuring program-specific state database (MPSZ).
  • MPSZ measuring program-specific state database
  • Rectangle is virtually divided into squares of, for example, 50x50 meters (the AME and the StA editor contain according to the method setting values, so that an integer subdivision without substantially smaller remnants is always possible).
  • the data records of the MPSDB are systematically entered into the MPSZ after this (virtual) subdivision (eg from northwest to southeast or from "left” to "right” and from "top” to “bottom”).
  • the more accurate GPS coordinates disappear and are replaced by corresponding grid numbers that make up the Areas of the respective dimension can be calculated again.
  • the records also get a time frame of eg 30 minutes and a weekday assignment or
  • Day category e.g., business day, weekend.
  • the different points of interest (or event records) are sorted according to this time frame.
  • Geographical and temporal rasterization are designed in such a way that they serve to further anonymise and dilute data protection without losing the actual objective of statistical network condition detection.
  • Each grid cube of the MPSZ (whether realized real or virtual based on the MPSDB) now contains measurements (e.g., field strength and / or velocities and / or
  • Reception quality quantities and / or events ("data connection used” or “voice connection established") and / or device types (eg iPhone 4, androit version xy) with which the measurements or events were recorded. Therefore, different queries are made with different data and information content, which are displayed differently, such as on geographic maps (eg Google Earth) .
  • the methodology of access methods is such that no whereabouts or patterns of movement of individuals can be evaluated.
  • Grid cubes can be filled with different numbers of records.
  • the MPSZ does not have to physically correspond to this structure. Usual available technologies are used to save space. Also a dynamic realization of the MPSZ from the MPSDB is a procedural option, i. the
  • Access methods are designed in such a way that neither the more accurate measurement times nor the more precise location coordinates can be experienced, and especially not the
  • a minimum number of queried events (or metrics) must be present. If this is not the case, the grid cube is successively increased until this is true - although with larger grid cube and higher values must be achieved, but grow less than in proportion to the grid cube. For example, when asking for the number of records with iPhone4 in a particular grid cube (location raster and a particular day and time), the access procedure accesses the rules of the procedure, which in this case say at least n must exist Records are available (also in the time frame of in this case 30 minutes) to give this information. The number n would be larger than that in this case
  • the cube is procedurally increased in a certain order (e.g., doubling of the time frame, i.e., the next 30 minutes are added) and an enlargement of the location grid (in the example: the next 50m page length of the
  • Raster cube enlargements are also the enlargement of only one dimension at a time (for example, only the enlargement of the spatial grid).
  • the access procedure learns this from the specific Einsteil print the respective installation of the method.
  • the data from several measuring programs or acquisition measures can, according to the method, be subdivided into a further database with a larger geographical area, if this matches the measuring programs previously introduced (from Position of frequency of measurement and the number of terminals involved, if necessary, an appropriate standardization must be made, which prevents, for example, distortion or misinterpretation of focal points of transport).
  • an appropriate standardization must be made, which prevents, for example, distortion or misinterpretation of focal points of transport.
  • the statistical basis grows, which makes the identification of individual customers even more difficult.
  • the accessor methods must nevertheless use the uncertainty principle (see point 4 above). This is particularly true since such a comprehensive database is also accessible to a wider range of users (it may also include temporary external forces for planning and marketing projects to the circle of users).
  • the ESA selects the GPS position last measured and marks this data record in such a way that this situation is recognized in the later evaluation in the DEE. Even if the measurement mission was not the measurement of the wireless field strength of the mobile network, the
  • Cellld Field strength and the radio cell identity (Cellld) measured or detected and, if available, the corresponding values of neighboring cells.
  • a variable is measured from which the distance from the base station (BTS) is calculated (either from the ESA or from the DEE). This size is system dependent and in the case of GSM e.g. the TimeAdvance. To capture this size, a connection must be possible (radio coverage) as well as exist or be established. If there is no connection, the ESA establishes one or sends an SMS for this purpose, e.g. to a network number set up for this purpose.
  • the ESA optionally also adopts the subsequent measurement of the measurement program (StA) for further confinement and / or interpolation such that the time interval and / or the patterns of the celllds (also of the neighboring cells) in the
  • the ESA optionally generates further measurement points at least for the GPS signal, such that the ESA is at short intervals (eg every 2 minutes). Perform a GPS measurement until a usable result is obtained or until an optionally set maximum number of additional measurements of this type has been reached (the latter, for example, to avoid the excessive load on the battery).
  • the ESA determines the velocities and direction of the speeds of the terminal (on which the ESA is located) so that the fuzzy logic has further clues to constrain the location of the measurements made without adequate GPS signal.
  • Additional movement quantities are optionally determined during the regular (StA) measurements and acquisitions and / or during the additional measurements for location determination. They are stored and used for current or future evaluations. These additional data records are either transferred to the DEE with the assigned data records or used exclusively for the fuzzy logic for location determination by the ESA and then discarded (deleted).
  • the additional records are sent to the DEE, they are marked as "extra” for their own evaluations and decisions in the DEE, which optionally locates using that data.
  • the comparison of the measured patterns of the Celllds is one Important note, for example, how far a field strength measurement can be without a sufficient GPS signal from a place where a field strength measurement was carried out before or later, often only the goal is to determine with sufficient accuracy whether the measurement is inside a building or outside a building in an area
  • the ESA decides according to the method to shorten the time intervals of the measurements, then the probability increases that more and more frequently measuring points with GPS positioning are located just outside the GPS
  • Shading skante e.g., buildings or tunnels
  • the morphological database can be used to determine the nature of the shaded area. Often, it is also safe to know how high the field strength is outside a shading area, e.g. in front of a building to detect the radio coverage, in this example, the in-house supply. However, with the aid of the method-specific fuzzy logic, it is even safer to assign the GPS-less in-house measurement to the probable position. If the ESA optionally determines the speed and direction (only for GSP signal) according to the procedure, the assignment of in-house measurement and location of the measurement in the shaded area can be made even more precisely. If there are multiple celllds and field strengths, the
  • the ESA optionally checks whether it is in the environment of the home network or in the network specified (for example in the StA). If this is not the case, it will optionally refrain from establishing a connection or sending an SMS for the purpose of determining the term (see above).
  • the ESA determines the position using known methods requiring network involvement (e.g., those used in so-called home zone applications),
  • the evaluation of the local position of (field strength) measurements or events will first be based on the data sets collected by the ESA in accordance with StA. The decision as to whether additional values need only be collected to determine or better determine the position will be made in accordance with the procedure in the ESA.
  • the evaluation according to the fuzzy logic mentioned above takes place optionally in the ESA or in the DEE, whereby a division of tasks as a further development of the
  • Labeling the records of the circumstances of their formation is essential for some applications, especially when the frequency of measurements in the DEE is used on the traffic or on
  • the ESA can optionally become active if it has changed with the terminal through a new SIM to another network operator (subscriber has changed network operator).
  • the ESA will check to see if it is in the same country (eg by checking the Celild or the Location Area), like the network of the original network operator ⁇ who installed the ESA on the terminal), and if so it is not in the network of the original network operator, it is in one
  • Competitor network refrains from contacting the AME to request measurement programs or, alternatively, to continue such that the EAS records the quality of the new network (competitor network).
  • the EAS notifies this fact to the AME, which in turn can decide according to the procedure whether to involve this terminal (ESA) in one of the current measurement or acquisition programs and, if necessary, to hand over a StA.
  • SIM Subscriber Identity
  • This SIM contains an application that checks the type of terminal in the guest's terminal so that if it matches a suitable operating system and hardware type, that application either installs a suitable ESA variant on the terminal, such that it either loads the ESA loadfile from the SIM fetches or connects to the AME or one
  • This ESA variant checks if it is located in the host network from which it received the ESA application and otherwise sends no data to the DEE and terminates its activity if it has not entered the host network for more than a set number of days, changing the preferred network setting is an option of this ESA variant.
  • Realized telecommunications value-added services that can be used by the customers of the mobile network operators. It enables monitoring services where the mobile subscribers are the observers.
  • very different things can be observed or persons supervised for their protection.
  • plants or vehicles are observed, e.g. experiencing a particular acceleration or temperature change or the like events.
  • protective orders such as e.g. Children supervised - with as much free space as possible.
  • Parents will be notified automatically as soon as their children cross a geographical area. Sick people immediately receive help at the scene as soon as certain events occur, such as Heart rate changes.
  • the application-specific terminal application determines the location coordinates (see above), if necessary application-specific, the speed and / or other variables such as temperature or heart rate.
  • the latter data and others are optionally detected in one embodiment by a configuration of sensors (eg temperature sensors, humidity meters, radiation measuring devices, gas analyzer, acceleration sensors, break detectors, etc.) and a control unit (KE), such that the KE with the application-specific logic for reading, Evaluation, monitoring and interface-compatible transmission of the signals and / or the evaluated events to the aESA according to the method.
  • sensors eg temperature sensors, humidity meters, radiation measuring devices, gas analyzer, acceleration sensors, break detectors, etc.
  • KE control unit
  • the message is optionally transmitted to one or more devices or devices.
  • the transfer takes place to an individually created list of addresses, numbers or links for each individual terminal to be monitored.
  • the transmission is optionally via SMS, e.g. to the terminal of a supervisor, e.g. to the parents or to the doctor.
  • SMS Short Message Service
  • the message according to the aforementioned link on the application-specific network-side and server-based
  • the aDEE also receives the identity (this is different from the network monitoring application) of the currently reporting terminal (aESA) with the message and, according to the procedure, arranges the data into an account-specific database for subsequent confidential access, which can be accessed using standard, appropriate methods application-specific time is controlled in a narrow circle of authorized persons registered in a database according to the method and / or terminals.
  • the aDEE prepares the data such that it can be viewed confidentially by individual users (mobile network operators) using commonly available tools (e.g., Google Earth), e.g. when did which event occur at which place? Finally, an observed person or thing (car, train wagon) or an animal can be found here as well, whereby to locate a mobile terminal equipped with the aESA and having GPS capability and / or others is sufficient
  • An embodiment of the method additionally uses a radio signal or an acoustic signal which is initiated by the aESA and transmitted by the terminal for better detection, e.g. via Beilung, so that this signal can be used for finding even if the event occurred in an unserved area of the mobile network, from which no current
  • Position data and no call for help could be placed, however.
  • the supervising persons are informed by timeout of the aDEE and, if necessary, informed about the last reported whereabouts or about the last movement trends, which are optionally displayed geographically.
  • the aESA places a text on the display of the terminal or gives an audible message e.g. Text-to-speech, so that passers-by, if necessary, become aware of the event and learn what can be done.
  • the aDEE is located on a network-side central server, which is physically and logically protected against unauthorized access.
  • the aDEE optionally performs further evaluations of the individually associated terminal (s) so as to relieve the aESA of costly processes and, when using large databases, the storage capacity of the associated terminal (s) that carries the aESA ) exceed.
  • the aDEE transmits optional (possibly also in addition to the aESA) messages or alarms to a procedural deposited list of numbers, addresses and / or links via SMS, push email, or to other portals, such that on arrived events and data or on a time-out eg since a last message of the observed person or object is made aware.
  • the entries are deleted from the account database of a single user.
  • the aDEE takes application data (eg which geographical area should be monitored and if it is exceeded trigger an alarm) via a web user interface.
  • An application-specific graphical user interface is used for this purpose, so that input errors and thus also monitoring errors are avoided by means of additional semantic checks and / or well-defined alternatives (eg in drop-down lists).
  • a map should be mentioned here (eg based on Google Maps) in which the geographical boundaries can be clearly seen with simple means and can also be easily entered and reliably entered by the inexperienced user. If necessary, warnings are given if, for example, area limits are unusually large, such as 100 km for monitoring a person with dementia.
  • the aDEE stores the entered data for later control of the input status or for reuse of monitoring patterns (eg location and / or time). It formats them into application-specific control and monitoring instructions (aStA) and transmits them in procedural format to a terminal (aESA) or to several associated with this specific account.
  • the aESA contains the logic for a very specific application, such as monitoring the whereabouts of the terminal (which is carried by a person). In this case, only a small amount of data is needed to define the surveillance area.
  • the aESA is optionally replaced, or supplied with updates or with plug-ins, to carry out new procedural logic such that the terminal or SI contains a process-specific loader and installer addressed by the aDEE and locally for safe installation or reinstalling aESA or updates or plug-ins, despite insecure (mobile) transmission, so that there is always a fallback solution and the loader and installer locally even in the absence of a connection can be brought about, and neither the terminal in its other functions and Malfunctioning or blocking applications, or preventing the re-establishment of a functioning aESA, even during a previously failed installation.
  • the aDEE is the master of the process-specific loader and installer, because of its manageable range of functions with moderate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Das hier beschriebene erfinderische Verfahren bietet eine technische Verbesserung des Schutzes von Persönlichkeitsdaten von Mobilfunkkunden bei gleichzeitig verbesserter Positioniergenauigkeit bei verschiedenen Monitoring-Anwendungen wie dem Monitoring der Funkversorgung mit Kundenterminals für die Optimierung und Planung von Mobilnetzen. Die Kunden- und Terminal-Identitäten wie Rufnummern oder IMEI werden nicht gebraucht und deshalb nicht übermittelt. Außerdem werden weitere statistische Verwässerungen der Messdaten vorgenommen, derart dass ein Tracing von einzelnen Kunden und Kundenbewegungen selbst bei unerlaubter Datennutzung und unberechtigtem Datenzugang wirksam unterbunden wird, ohne jedoch die Qualität der Funkversorgungserfassung zu gefährden.

Description

Beschreibung
Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals.
Gegenwärtige Situation
Unter der Anmeldenummer 10 2010 018 282.6-56 beim Deutschen Patentamt (des gleichen Anmelders und Erfinders) ist ein Verfahren beschrieben, das der Erfassung von Qualitätsmerkmalen der Funkversorgung mit Hilfe von Kundenterminals (Handys, Notebooks mit PC Karten, etc.) dient. Die Kundenterminals werden als Sonden für die Feldstärkemessung oder anderer Qualitätsmerkmale der Funkversorgung verwendet. Jeder Messwert wird mit der GPS-Position des Kunden bzw. mit der Position des Terminals assoziiert. Hierbei besteht die Gefahr, dass selbst bei Abwesenheit von Identifikationsmerkmalen wie MSISDN Nummer (Rufnummer) oder der Geratenummer wie I EI der Kunde identifiziert werden kann. Damit wäre auch der Weg offen sensible Daten seines
Tagesablaufes und seiner Lebensweise in Erfahrung zu bringen. Dies würde dem Recht des Kunden auf Schutz seiner Privatsphäre widersprechen - ungeachtet der Vorteile, die das oben zitierte Verfahren der Gesamtheit der Kunden des jeweiligen Netzbetreibers bringt.
Diese Gefahr besteht auch wenn andere Daten wie z.B. so genannte Trouble Reports zusammen mit Orts-Koordinaten und ggf. noch mit der Uhrzeit an den Mobilnetzbetreiber oder anderer Entitäten geschickt werden.
Obwohl Mobilnetzbetreiber oder diese anderen Entitäten nach ihren jeweiligen gesetzlichen Auflagen handeln und entsprechende Arbeitsanweisungen geben, ist ein Missbrauch durch einzelne
Mitarbeiter, die den Anweisungen zuwiderhandeln, denkbar.
Das hier vorgestellte Verfahren zieht auch letztere Situation in Betracht und ermöglicht so, kosteneffiziente Qualitätsverbesserungen, die den Kunden zugute kommen, ohne dass diese auf einen effektiven Schutz ihrer Persönlichkeitsdaten verzichten müssen.
Verbesserung
Das hier beschriebene erfinderische Verfahren ist dem Bereichen Qualitätsverbesserung in
Mobiinetzen, Trouble Shooting und Fehler Reports bei Smart-Phones, mobile Anwendungen, und allgemein der Telekommunikation zuzuordnen.
Die Wege und Orte, wo sich Kunden bewegen und aufhalten, wo und wie sie (tele-) kommunizieren, werden mit Terminals und Endgeräten (Handys, Notebooks, etc.) der Mobilfunkkunden erfasst. Zusätzlich zu den geographischen Daten werden auch die Feldstärke und der Zeitpunkt der Feldstärkemessung erfasst, und manuell durch Kundenveranlassung oder Kundenbestätigung oder automatisch zusammen zu einer Datenerfassungseinrichtung (DEE) zur weiteren Auswertung für
BESTÄTIGUNGSKOPIE Netz-Planung oder -Optimierung gesandt. Das Endgerät bei den Kunden wirkt hierbei als Sonde deren Position für die weitere Verwendung der Daten ebenso bedeutend ist, wie die damit assoziierten Daten. Anstelle oder zusätzlich zu den Feldstärkedaten können auch andere Information oder Ereignisse entweder automatisch oder vom Kunden initiiert werden. Es kann auch über Ereignisse wie Funktionsstörungen der immer komplexer werdenden Endgeräte wie iPhone oder Geräte mit Androit Betriebssystem berichtet werden - vollautomatisch im Hintergrund oder alternativ mit Anfrage beim Kunden ob das aktuelle Ereignis abgeschickt werden soll. Vor dem Abschicken eines solchen Trouble Tickets, würde die entsprechende Reporting-Applikation, die relevanten Informationen (insbesondere Versionen) über das Betriebssystem, die betroffene Software und/oder Hardware und/oder einer gerade blockierten Anwendung, und/oder einer Spionage-Anwendung gegen den Kunden, und/oder eine Anwendung die ohne Wissen des Kunden Netzressourcen auf Kosten des Kunden nutzt, erfasst und dem Report beigefügt. Im Falle eines Trouble Tickets wird der Kunde optional gefragt ob er seine Identität wie z.B. seine Rufnummer für Rückfragen beifügen möchte. Die Informationen über die Funkversorgung werden in einer zentralen Bearbeitungsstelle (automatisch, oder manuell durch eine Fachkraft) dazu verwendet, eine Netzstörung auszuschließen oder umgekehrt wird auch bei Vorliegen eines offensichtlichen oder bereits bekannten Fehlers im Terminal (Handy) eine Suche nach einem Netzfehler eingespart.
Im Falle dass der Kunde der Freigabe seiner Identität wie Rufnummer zustimmt, wird
verfahrensgemäß gewährleistet, dass nur die mit dem Trouble-Shooting befassten Stellen oder Personen diese Informationen erhalten und selbst diese nur einen anonymisierter Link zu der Rufnummer und ggf. auch zu den Orts/Zeit-Koordinaten in einer geschützten Datenbank abgelegt werden und nur dann und derjenigen Person zugänglich wird, wenn dies erforderlich wird für die weitere Bearbeitung des Vorgangs, der eher als Individual-Problem eines einzelnen Kunden zu betrachten ist.
Ansonsten zielt das hier beschriebene erfinderische Verfahren auf die Behandlung der Daten, die anonym an eine zentrale Datenerfassungseinrichtung (DEE) übermittelt wurden und für die
Verwendung im Rahmen von statistischen Methoden gedacht sind. Als Beispiele könne hier die Erfassung des {großflächigen) Zustandes eines Funknetzes oder die Gerätetyp bezogene Erfassung von Störungen genannt werden. Die statistische Erfassung und die Möglichkeit der räumlichen Zuordnung ermöglicht insbesondere die Erkennung von seltenen Fehlern. Die Kenntnis des
Netzzustandes kann ggf. Einflüsse des Netzes ausschließen. Die Kenntnis der Verteilung der Ursachen und Gerätetypen in einem engen geographischen Bereiches lässt genauere
Fehlereingrenzungen zu und ermöglicht die Identifizierung von Fehlern, die auf das Zusammenwirken von Netz und Terminaltyp zurückzuführen sind. Hiermit ist die Grundlage geschaffen für eine effiziente Fehlerbehebung zur Verbesserung der Qualität, die letztlich dem Kunden der Mobilnetzbetreiber zu Gute kommt. Insbesondere bei der Erfassung des Netzzustandes ist eine hohe Genauigkeit der Ortsauflösung erstrebenswert (möglichst GPS). Die Orts-Koordinaten werden z.B. mit der Feldstärke assoziiert. Jedoch, je genauer die Orts-Koordinaten und je genauer die beigefügte Uhrzeit und je geringer die Anzahl der Messungen durch verschiedene Terminals, umso größer ist das Risiko für einen Kunden, anhand von Uhrzeit und Ort identifiziert zu werden (z.B. wenn nur ein einziges Terminal an einem bestimmten Messprogramm beteiligt ist und der aufgezeichnete Weg morgens vor dem Wohnhaus des Kunden beginnt) und abends dort endet).
Schutz der Privatsphäre und der Persönlichkeitsdaten Das hier beschriebene erfinderische Verfahren nutzt mehrere Mechanismen, um die Datensätze statistisch zu anonymisieren und mit solchen von anderen Kunden statistisch zusammen zu fassen. Jede einzelne der nachfolgend beschriebenen Maßnahmen leistet einen Betrag zur Anonymisierung jedoch ist das Zusammenwirken all dieser Maßnahmen ungleich wirksamer.
1. Die Terminals, die an den Messungen und Erhebungen („Messprogramm") teilnehmen
melden sich von selbst bei der Applikations-Management-Entität (AME) in bestimmten
Zeitabständen, um neue Steuerungsanweisungen {z.B. Messanweisungen) oder auch Updates der endgeräteseitigen Applikation (ESA) zu erhalten. Die Terminals werden also nicht angesprochen und sie geben nur ihren Geräte-Typ an und keinerlei! Identität - weder die des Terminals noch die des Kunden. Der Geräte-Type ist wichtig, da die
Steuerungsanweisungen (StA) und die ESA Updates insbesondere Betriebssystemabhängig sind. Durch Zufallszahlen, die im Terminal ^stellvertretend für Endgerät, Handy, Notebook, etc.) von der endgeräteseitigen Applikation (ESA) erzeugt werden, werden optional unregelmäßige Zeitpunkte des Zurückmeldens generiert. Dies schafft eine zusätzliche Sicherheit gegen ein Identifizieren durch die Evaluierung des Meldezeitpunktes und/oder der -Reihenfolge. Als weitere Option hat der Zeitpunkt für das Hochladen von der ESA zur
DEE einen indestabstand zur letzten Messung, um eine Korrelation oder Überprüfung von Aufenthaltsorten in Realzeit weiter zu verwässern - ohne das eigentliche Ziel z.B. die Netzzustandserfassung zu beeinträchtigen,
2. Optional teilt die DEE der ESA mit, wann sie sich frühestens bei der AME zur eventuellen Entgegennahme von neuen Messaufträgen (StA) melden soll, derart, dass sie keine Daten oder Messungen erfassen kann, die mit dem gerade laufenden und noch nicht
abgeschlossenen Programm interferieren würden {Vermeidung von Fehlwichtungen durch Mehrfachmessungen von einzelnen Terminals, die verfahrensgemäß nicht identifizierbar und unterscheid bar sind).
3. Die AME kann mit der Datenerfassungseinheit (DEE), bei der die Messergebnisse oder
allgemein die Reports hochgeladen werden, identisch sein (funktionale Einheit). Durch die Trennung der beiden Einheiten wird ein zusätzlicher Schutz erreicht, dadurch dass die AME nicht erfahren wird, wo die ESA gemessen hat. In diesem Fall würde die AME grundsätzlich alle StA an das Terminal geben, die für diesen Gerätetyp vorliegen - unabhängig vom aktuellen geographischen Aufenthaltsort des sich gerade meldenden Terminals. Die ESA wird danach selbst entscheiden ob die StA für ihren Aufenthaltsort bestimmt ist oder nicht - im Falle von geographisch begrenztem Messauftrag (Messprogramm).
Geographisch begrenzte StA erhalten eine Mindest-Größe (z. B. in Quadratkilometer), die nicht unterschritten werden kann, derart dass die Prüfung des vermuteten Aufenthaltes einer einzelnen Person zusatzlich erschwert wird. Das Gleiche gilt auch für die zeitliche
Beschränkung, derart dass die beauftragte Messperiode eine Mindestdauer umfasst. Eine weitere Maßnahme ist die Minimum-Anzahl von Messpunkten, die aufzunehmen ist, bevor sich die ESA bei der DEE meldet, um die Mess-Ergebnisse abzuliefern. Wenn die Mess- Periode abgelaufen ist oder der Zeitpunkt gekommen ist, an dem Zwischenergebnisse von der ESA hochgeladen werden sollen, dann prüft die ESA zusatzlich ob diese Minimum-Anzahl erreicht wurde. Ist dies nicht der Fall, gleich aus welchem Grunde, dann ignoriert die ESA die Anweisung für das Hochladen des Zwischenergebnisses und misst bis zum nächsten Zeitpunkt weiter oder falls die Messperiode beendet ist, verwirft sie die Daten. Diese
Maßnahmen werden derart realisiert, dass entweder nur festgelegte Zeitraster als Mess- Muster zur Auswahl stehen oder dass ein Editor für die StA diese Überprüfung gegen einen entsprechenden Satz von Regeln vornimmt. Nur derart geprüfte StA gelangen zur AME und letztlich zur ESA. Ein weiteres Verfahrenselement zur Anonymisierung ist die Mindestzahl von Terminals, die sich bei der AME melden müssen, um sich die Anweisungen für ein
Messprogramm (StA) abzuholen, derart dass die statistische Basis für die Messergebnisse oder Erfassungsergebnisse hinreichend groß wird, um die Verfolgung und Identifizierung von einzelnen Teilnehmer (oder Terminals) hinreichend zu erschweren.
Die DEE nimmt die hochgeladenen Datensätze von der ESA entgegen. Wenn sie einen11 Datensatz für das Troubie Shooting erhält (wird einzeln geliefert), gibt sie diesen an das Troubie Ticketing System weiter. Andere Datensätze ordnet die DEE entsprechend der' Messzeiten (zu denen die Messungen oder die Erfassung von Ereignissen erfolgten). Sie nimmt ggf. eine Normierung an Messwerten vor, die z.B. gerätetypische
Messwertunterschiede aufweisen und/oder sie nimmt Formatierungen an den Datensätzen vor, die für die spätere Weiterverarbeitung definiert sind. Sie durchsucht die Datensätze nach solchen, die keine hinreichende GPS-Genauigkeit aufweisen oder zu denen das Endgerät (ESA) kein GPS-Signal erhalten hat (wird durch Markierung von der ESA oder durch das Format der GPS-Daten gekennzeichnet). Optional hat die ESA eine Evaluierung von
Ersatzwerten beigefügt oder die DEE nimmt eine solche vor oder überschreibt die von der ESA gelieferten nach eigenem algorithmischen Ablauf (siehe unten) oder sie verwirft diese Datensätze. Die Datensätze, die nicht verworfen werden aber mit evaluierten Orts- Koordinaten assoziiert sind, werden entsprechend markiert, um dies bei der späteren
Weiterverarbeitung insbesondere in Netzmonitoring- oder Planungstools zu berücksichtigen oder statistisch geringer zu wichten oder in Kartendarstellungen mit entsprechenden
Symbolen unterscheidbar zu machen. Die nach den bisherigen Verfahrensschritten vorliegenden Datensätze sind alle von einem einzelnen Endgerät aktuell hochgeladen und bearbeitet worden. Die Identität des Endgerätes oder des Halters des Endgeräte wird niemals geliefert (die Troubie Ticket Datensätze werden nie gemeinsam mit den Netz-Monitoringdaten zur DEE hochgeladen; sie durchlaufen nur kurz die DEE und werden an das Trouble Ticketing System weitergegeben, wo sie nach anderen Regeln anonymisiert und bearbeitet werden; in der DEE werden sie gelöscht). Optional werden die Trouble Tickets an einen separaten Link zu einer Trouble Ticket Erfassungseinheit (TTE) übertragen. Die DEE (und die TTE) arbeitet nicht interaktiv und benötigt kein Eingreifen durch Personal. Der Zugang zu dem
entsprechenden Server muss trotzdem mit den üblichen logischen Zugangskontrollen geschützt werden. Nur Personal mit besonderer Berechtigung und nur in besonders begründbaren (Störungs-)Fällen, darf auf diesen Server zugreifen. Ein weiterer Schutz wird durch das Einbringen des Servers in zusätzlich mechanisch/physisch geschützte Räume z. B. mit anderen Servern mit besonders sensiblen Daten erreicht.
Nach dieser Vorverarbeitung werden die Datensätze in eine Datenbank übertragen. In diese werden alle Datensätze von allen Geräten übertragen, die an einer bestimmten Maßnahme teilgenommen haben (der Name der Maßname auch Messprogramm oder Messvorhaben genannt, wird den teilnehmenden Geräten jeweils mit der StA mitgeteilt, und die Geräte wiederum teilen es der DEE beim Hochladen mit). Diese Datenbank heißt Messprogramm spezifische Datenbank (MPSDB). Sind alle aktuellen Datensätze von einem individuellen Endgerät Gerät in die MPSDB übertragen worden, werden sie in aus der intermediären Datenbank (ImDB) der DEE gelöscht.
In der MPSDB werden alle Datensätze nach ihrem Eintreffen bei der DEE und nach
Messzeiten eingeordnet. Erst wenn alle Datensätze von allen teilnehmenden Geräten (wie viele das bei einem bestimmten Messprogramm sind, ist bei der AME bekannt und wird dort abgefragt) eingeordnet sind, wird der Zugriff auf die Daten der MPSDB für den nächsten Prozessschritt freigegeben. Um eine Blockade der MPSDB durch verspätete oder nie eintreffende Endgeräte zu verhindern wird ein Timer gesetzt. Alle später an die DEE berichteten Datensätze zu diesem Messprogramm werden von der DEE verworfen. Ebenfalls aus Datenschutzgründen ist eine Minimumanzahl von Gerätereports gesetzt, die erreicht werden muss, um die MPSDB für den Zugriff freizugeben. Wird diese Minimumanzahl nicht erreicht wird die MPSDB gelöscht. Auch die MPSDB ist noch nicht hinreichend verwürfelt, so dass die Daten vor Zugriff durch Personal geschützt bleiben müssen (siehe oben).
Ist die MPSDB komplett mit den Datensätzen der notwendigen Anzahl von Messteilnehmern populiert, werden die Daten in die Messprogramm spezifische Zustandsdatenbank (MPSZ) übertragen. Jedes Messprogramm ist einem geografischen Rechteck zugeordnet. Dieses
Rechteck wird virtuell in Quadrate von z.B. 50x50 Meter unterteilt (die AME und der StA Editor enthalten verfahrensgemäß Einstellwerte, damit eine ganzzahlige Unterteilung ohne wesentlich kleinere Reste stets möglich ist). Die Datensätze der MPSDB werden systematisch nach dieser (virtuellen) Unterteilung in die MPSZ eingetragen (z.B. von Nordwest nach Südost oder von„links" nach„rechts" und von„oben" nach„unten"). Die genaueren GPS Koordinaten verschwinden und werden durch entsprechende Rasternummern ersetzt, aus denen die Bereiche der jeweiligen Dimension wieder errechnet werden können. Die Datensatze erhalten außerdem ein Zeitraster von z.B. 30 Minuten und eine Wochentagszuordnung oder
Tageskategorie (z.B. Werktag, Wochenende). Innerhalb eines geographischen Quadrates werden die verschieden esspunkte (oder Ereignisdatensätze) nach diesem Zeitraster geordnet eingebracht.
Die geographische und die zeitliche Rasterung sind derart ausgestaltet, dass sie der weiteren Anonymisierung und Verwässerung im Sine des Datenschutzes dienen, ohne das eigentliche Ziel der statistischen Netzzustandserfassung zu verfehlen.
Jeder Rasterwürfel der MPSZ (gleich ob real oder virtuell auf der Basis der MPSDB realisiert) enthält jetzt Messwerte (z.B. Feldstärke und/oder Geschwindigkeiten und/oder
Empfangsqualitätsgrößen) und/oder Ereignisse („Datenverbindung verwendet' oder „Sprachverbindung aufgebaut") und/oder Gerätetypen (z.B. iPhone 4, Androit Version x.y) mit denen die Messungen oder Ereignisse erfasst wurden. Die verschiedenen Daten werden von unterschiedlichen Anwendern (z.B. Funkplanung, Marketing) unterschiedlich verwendet. Deshalb werden unterschiedliche Abfragen vorgenommen mit unterschiedlichen Daten und Informationsinhalten, die unterschiedlich dargestellt werden, wie z.B. auf geographischen Karten (z.B. Google Earth). Verfahrensgemäß sind die Zugriffsmethoden so gestaltet, dass keine Aufenthaltsorte oder Bewegungsmuster von Individuen evaluiert werden können. Die
Rasterwürfel können mit unterschiedlich vielen Datensätzen gefüllt sein.
Die MPSZ muss keineswegs physisch dieser Struktur entsprechen. Übliche verfügbare Technologien werden hierbei Speicherplatz sparend eingesetzt. Auch eine dynamische Realisierung der MPSZ aus der MPSDB ist eine verfahrensgemäße Option, d.h. die
Zugriffsmethoden werden derart gestaltet, dass sie weder die genaueren Messzeiten noch die genaueren Ort-Koordinaten erfahrbar werden lassen und insbesondere nicht die
zusammengehörigen Mess-Sequenzen, die von einem individuellen Endgerat hochgeladen wurden.
Wenn Häufigkeiten von Kunden oder Ereignissen oder Messwertverteilitngen innerhalb eines Rasterwürfels erfragt werden, werden verschiedene Prüfungen von den (MPSZ-)
Zugriffsprozeduren durchgeführt und das Raster ggf. bei zu geringen Stichprobengrößen im Rahmen einer verfa rensgemäßen Unschärferelation verändert (typischerweise vergrößert). Die Unschärferelation wird derart angewendet, dass für eine bestimmte Rasterwürfeigröße
(kann auch mehr als 3 Dimensionen haben) eine Mindestanzahl der erfragten Ereignisse (oder Messwerte) vorliegen muss. Ist dies nicht der Fall wird der Rasterwürfel sukzessive vergrößert bis dies zutrifft - wobei jedoch bei größerem Rasterwürfel auch höhere Werte erreicht werden müssen, die jedoch weniger als proportional mit dem Rasterwürfel wachsen. Wenn z.B. nach der Anzahl der Datensätze mit iPhone4 in einem bestimmten Rasterwürfel (Orts-Raster und ein bestimmter Tag und eine bestimmte Uhrzeit) gefragt wird, wird von der Zugriffsprozedur auf die verfahrensgemäßen Regeln zugegriffen, die in diesem Fall sagen, es müssen mindestens n solcher Datensätze vorliegen (auch im Zeitraster von in diesem Fall 30 Minuten), um diese Information zu geben. Die Zahl n wäre in diesem Fall größer als die
Anzahl der Messungen die von einem einzelnen Gerät (ESA) innerhalb des Messprograrmms (der MPSZ) und innerhalb des Zeitrasters (von im Beispiel 30 Minuten) durchgeführt wurde. Ist die Zahl nicht erreicht, wird der Rasterwürfel verfahrensgemäß in bestimmter Folge vergrößert (z.B. Verdoppelung des Zeitrasters, d.h. die nächsten 30 Minuten werden hinzugefügt) und eine Vergrößerung des Ortsrasters (im Beispiel: die nächsten 50m Seitenlänge des
Rasterquadrates nach„rechts" und nach„unten" werden hinzugefügt). Die Prüfung wird jetzt gegen ein neues„n2" durchgeführt, das kleiner sein darf als das 8-fache von n (8 fachen Rasterwürfelgröße). Wenn sich nicht die hinreichend große Zahl von Datensätzen in diesem vergrößerten Raster befindet, wird die Prozedur so oft sinngemäß wiederholt, bis das
Kriterium erfüllt ist oder bis der verfahrensgemäße Einstellwert für Wiederholungen den
Abbruch veranlasst. Verfahrensgemäße Varianten für die schrittweise
Rasterwürfelvergrößerungen sind auch die Vergrößerung von nur jeweils einer Dimension (z.B. nur die Vergrößerung des Ortsrasters). Die Zugriffsprozedur erfährt dies aus den spezifischen Einsteilwerten der jeweiligen Installation des Verfahrens.
6. Die Daten von mehreren Messprogrammen oder Erfassungsmaßnamen (z.B. Feststellung dass Sprach- oder Datendienst bei Ortraster xy aktiv oder von Kunden gewünscht) können verfahrensgemäß in eine weitere Datenbank mit größerem geographischen Bereich eingeordnet werden, wenn dies zu den zuvor hier eingebrachten Messprogrammen passt (vom Standpunkt der Messhäufigkeit und der Anzahl der beteiligten Terminals; ggf. muss eine angemessene Normierung vorgenommen werden, die z.B. eine Verzerrung oder Missdeutung von Verkehrsschwerpunkten verhindert). Hierbei gewinnt man ggf. eine netzweite Darstellung von Funkversorgung oder von Verkehrswerten oder von Aussagen zur geografischen Verteilung von Sprach- oder Datendiensten. Hierbei wächst die statistische Basis was die Identifizierung von einzelnen Kunden weiter erschwert. Die Zugriffsmethoden müssen trotzdem die Unschärferelation (siehe Punkt 4. oben) verwenden. Dies gilt insbesondere da eine solche umfassende Datenbank auch einem größeren Kreis von Nutzern zugänglich ist (es können auch temporäre externe Kräfte für Planungs- und Marketing-Projekte zum Kreis der Nutzer gehören).
Verbesserung der Ortsbestimmung Zur Verbesserung der Orts-Koordinaten im Falle eines fehlenden oder unzureichenden GSP-Signals gibt es folgende Verfahrensoptionen: Die ESA wählt die zuletzt gemessene GPS-Position und markiert diesen Datensatz derart, dass dieser Sachverhalt bei der späteren Auswertung in der DEE erkannt wird. Selbst wenn der Messauftrag nicht die Messung der Funkfeldstärke des Mobilnetzes war, wird die
Feldstärke und die Funkzellenidentität (Cellld) gemessen bzw. erfasst und soweit vorhanden auch die entsprechenden Werte von Nachbarzellen. Als weitere Option wird eine Größe gemessen, aus der der Abstand von der Basisstation (BTS) errechnet wird (entweder von der ESA oder von der DEE). Diese Größe ist systemabhängig und ist im Falle von GSM z.B. das TimeAdvance. Um diese Größe zu erfassen muss eine Verbindung sowohl möglich sein (Funkversorgung) als auch bestehen bzw. aufgebaut werden. Besteht keine Verbindung baut die ESA eine solche auf oder schickt eine SMS zu diesem Zweck z.B. an eine hierfür eingerichtete Netznummer. Die ESA nimmt optional auch die nachfolgende Messung des Messprogramms (StA) zur weiteren Eingrenzung und/oder Interpolation hinzu, derart dass der zeitliche Abstand und/oder die Muster der Celllds (auch der Nachbarzellen) bei der
Entscheidung der Nutzbarkeit für eine Interpolation verwendet werden. Ein zu großer zeitlicher Abstand und/oder ein Satz von völlig anderen Celllds würde zum Verwerfen solcher GPS- Positionen (die vorherige und/oder die nachfolgende) führen. Diese Evaluierung nach der hier skizzierten Fuzzy-Logic wird optional von der ESA oder von der DEE durchgeführt.
Wenn die in der StA vorgegebenen zeitlichen Abstände der Messungen oder Ereignis- Erfassungen zu groß sind für eine hinreichende Ortsbestimmung oder Ortseingrenzung, generiert die ESA optional weitere Messpunkte zumindest für das GPS-Signal, derart dass die ESA in kurzen Zeitabständen (z.B. alle 2 Minuten) eine GPS-Messung vornimmt bis ein verwertbares Ergebnis erzielt wird oder bis eine optional gesetzte maximale Anzahl on' Zusatzmessungen dieser Art erreicht ist (Letzteres um z.B. die übermäßige Belastung des Akkus zu vermeiden). Optional ermittelt die ESA die Geschwindigkeiten und die Richtung der Geschwindigkeiten des Endgerätes (auf dem sich die ESA befindet), derart dass die Fuzzy- Logic weitere Anhaltspunkte für die Eingrenzung der Ortbestimmung der Messungen hat die ohne hinreichendes GPS-Signal durchgeführt wurden. Diese zusätzlichen Bewegungsgrößen werden optional bei den regulären (StA) Messungen und Erfassungen ermittelt und/oder bei den zusätzlichen Messungen zur Ortbestimmung. Sie werden für aktuelle oder spätere Evaluationen gespeichert und verwendet Diese zusätzlichen Datensätze werden je nach Auftrag der StA entweder mit den beauftragten Datensätzen an die DEE übertragen oder ausschließlich für die Fuzzy-Logic zur Ortsbestimmung durch die ESA verwendet und danach wieder verworfen (gelöscht). Wenn die zusätzlichen Datensätze an die DEE gesendet werden, werden sie als„zusätzlich" markiert für eigene Evaluierungen und Entscheidungen in der DEE, die optional die Ortbestimmung mithilfe dieser Daten durchführt. Der Vergleich der jeweils gemessenen Muster der Celllds (die der Umgebung) ist eine wichtiger Hinweis, wie weit z.B. eine Feldstärkemessung ohne hinreichendes GPS-Signal von einem Ort entfernt sein kann an dem zuvor oder später eine Feldstärkemessung durchgeführt wurde. Hierbei wird oft nur das Ziel verfolgt hinreichend genau zu ermitteln ob die Messung innerhalb eines Gebäudes oder außerhalb eines Gebäudes in einem Gebiet stattgefunden hat. Unter
Zuhilfenahme von topologischen und morphologischen Datenbanken lässt sich diese Entscheidung mit Hilfe der Fuzzy-Logic weiter verfeinern. Diese Option ist grundsätzlich auch von der ESA wahrnehmbar, ist jedoch für die Evaluation in der DEE vorgesehen.
Wenn die ESA im Falle unzureichendem GPS-Signais verfahrensgemäß entscheidet, die Zeitintervalle der Messungen zu verkürzen, dann erhöht sich die Wahrscheinlichkeit, dass immer häufiger Messpunkte mit GPS-Positionsbestimmung knapp außerhalb der
Abschattung skante (z.B. Gebäude oder Tunnel) aufgezeichnet werden. Da die Serie zusätzlicher Messpunkte gestoppt wird, sobald ein brauchbares GPS-Signal erfasst wird, wird verfahrensgemäß bei hinreichender Anzahl statistischer Proben immer deutlicher eine solche Kante erkennbar oder ermittelt. Mit Hilfe der morphologischen Datenbank lässt sich die Art des abgeschatteten Bereichs bestimmen. Oft genügt auch sicher zu wissen, wie hoch die Feldstärke außerhalb eines Abschattungsbereiches ist, z.B. vor einem Gebäude, um die Funkversorgung, in diesem Beispiel, der In-House-Versorgung zu ermittlen. Mit Hilfe der verfahrensgemäßen Fuzzy-Logic wird jedoch noch sicherer eine Zuordnung der GPS-losen In-House-Messung mit der wahrscheinlichen Position hergestellt. Wenn die ESA optional verfahrensgemäß Geschwindigkeit und Richtung (nur bei GSP-Signal) ermittelt, kann die Zuordnung von In-House-Messung und Lokation der Messung im abgeschatteten Bereich noch präziser erfolgen. Bei vorliegenden mehrerer Celllds und Feldstärken wird die
Zuordnung weiter durch eine zusätzliche verfahrensgemäße Plausibilitätsprüfung im Rahmen der Fuzzy-Logic erhärtet (Prüfung der Mobilfunkfeld-Umgebung).
Die ESA prüft optional, ob sie sich im Umfeld des Heimatnetzes oder im (z.B. im StA) spezifizierten Netzes befindet. Wenn dies nicht der Fall ist, wird sie optional den Aufbau einer Verbindung oder das Senden einer SMS zum Zweck der Laufzeitermittlung (siehe oben) unterlassen.
Wenn trotz fehlender GPS-Positionierung eine hohe Genauigkeit gefordert ist, ermittelt die ESA die Position mit Hilfe von bekannten Methoden, die eine Mitwirkung des Netzes erfordern (z.B. die, die bei so genannten Homezone-Anwendungen verwendet werden),
Die Evaluierung der örtlichen Position von (Feldstärke-) Messungen oder Ereignissen wird zunächst auf der Basis der Datensätze erfolgen, die von der ESA gemäß StA erhoben wurden. Die Entscheidung ob zusätzliche Werte ausschließlich zur Bestimmung oder besseren Bestimmung der Position erfasst werden müssen, wird verfahrensgemäß in der ESA getroffen. Die Evaluierung nach der oben erwähnten Fuzzy-Logic findet optional in der ESA oder in der DEE statt, wobei auch eine Aufgabenteilung als weitere Ausprägung des
Verfahrens implementiert sein kann. Eine Kennzeichnung der Datensätze zu den Umständen ihrer Entstehung ist für einige Anwendungen essentiell, insbesondere wenn die Häufigkeit von Messungen in der DEE dazu verwendet wird, auf den Verkehr oder auf
Kundenkonzentrationen zu schließen. Ohne Kennzeichnung besteht die Gefahr von falschen Wichtungen. Applikationserweiterungen, die die vorgenannten Möglichkeiten in verschiedenerweise Nutzen.
Roaming Applikationen:
1. Die ESA kann optional aktive werden wenn sie mit dem Terminal durch eine neue SIM zu einem anderen Netzbetreiber gewechselt ist (Teilnehmer hat Netzbetreiber gewechselt). Die ESA wird in einer Ausprägung prüfen, ob sie sich im gleichen Land befindet (z.B. durch Prüfung der Celild oder der Location Area), wie das Netz des ursprüngliche Netzbetreibers {der die ESA auf das Terminal installiert hat), und wenn dies so ist obwohl sie sich nicht im Netz des ursprünglichen Netzbetreibers befindet, befindet sie sich in einem
Wettbewerbernetz. Optional verzichtet die ESA darauf sich bei der AME zwecks Anfrage nach Messprogrammen zu melden oder alternativ dies fortzusetzen, derart dass die EAS die Qualität des neuen Netzes (Wettbewerbernetz) erfasst. Optional teilt die EAS diese Tatsache der AME mit, die ihrerseits verfahrensgemäß entscheiden kann ob sie dieses Terminal (ESA) an einem der aktuellen Mess- oder Erfassungsprogramme beteiligt und ggf. eine StA übergibt.
2. Zur Erfassung von Netzqualitäten aus Sicht von Gästen (z.B. Touristen) aus anderen Ländern sind folgende Verfahrensausprägungen möglich:
a. Der Netzbetreiber bietet diesen Gästen eine SIM aus seinem Netz an (z.B. Prepatd SIM). Diese SIM enthält eine Applikation, die im Terminal des Gastes den Typ des Terminals prüft, derart dass wenn eine Übereinstimmung mit einem geeigneten Betriebssystem und Hardware Typ vorliegt, diese Applikation entweder eine geeignete ESA Variante auf dem Terminal installiert, derart dass sie entweder das ESA Loadfile von der SIM holt oder eine Verbindung zur AME oder einer
vergleichbaren Einrichtung aufbaut, um die geeignete ESA Variante auf das Terminal zu laden und schließlich die Installation zu initiieren, oder dass die geeignete ESA Variante direkt auf der SIM bereits installiert ist und nach geeigneter Konfiguration oder Selbstkonfiguration die Arbeit verfahrensgemäß ausführt (z.B. bei der AME StA Anweisungen erfragt, Messungen ausführt, nach Anweisung und unter gegebenen Bedingungen die Daten zur DEE hoch lädt).
b. Bei Roamern die bei der SIM ihres Heimatnetzbetreiber bleiben wollen (d.h. sie
behalten ihre SM während sie das gastgebende Netz nutzen;„Inbound-Roaming") kann man besondere Angebote machen, damit sie ein Portal des gastgebenden Netzes nutzen und auf die Fähigkeit prüfen lassen ob das Terminal für eine Variante der Applikation (ESA) geeignet ist und falls ja diese herunter zu laden und zu installieren. Besondere Informationsangebote oder Tarife für Mobilfunkdienste könnten zur Motivation angewendet werden. Diese ESA Variante prüft ob sie sich in dem gastgebenden Netz befindet von dem sie die ESA Applikation erhalten hat und sendet andernfalls keine Daten zur DEE und beendet ihre Tätigkeit wenn sie länger als eine gesetzte Anzahl von Tagen nicht mehr in das gastgebende Netz gekommen ist. Die Änderung der Einstellung des bevorzugten Netzes ist eine Option dieser ESA Variante. Telekommunikationsdienste für Endkunden
Basierend auf dem hier dargelegten erfinderischen Verfahren werden verschiedene
Telekommunikations-Mehrwertdienste realisiert, die durch die Kunden der Mobilnetzbetreiber genutzt werden können. Es ermöglicht Monitoring-Dienste, bei den die Mobilfunkkunden die Beobachter sind. Hierbei können sehr verschiedene Dinge beobachtet oder Personen zu ihrem Schutz beaufsichtigt werden. Bei einer Ausprägung dieser Anwendungen werden Anlagen oder Fahrzeuge beobachtet, die z.B. eine besondere Beschleunigung oder Temperatur-Änderung oder dergleichen Ereignisse erfahren. In einer anderen Ausprägung werden Schutzbefohlene wie z.B. Kinder beaufsichtigt - bei möglichst großem Freiraum. So können z.B. Eltern automatisch benachrichtigt werden, sobald ihre Kinder einen geographischen Bereich überschreiten. Kranke erhalten unverzüglich Hilfe am Ort des Geschehens sobald bestimmten Ereignissen eintreten, wie z.B. Herzfrequenz-Änderungen. Hierbei bestimmt die anwendungspezifische Terminal-Applikation (aESA) die Orts-Koordinaten (siehe weiter oben), ggf. anwendungsspezifisch auch die Geschwindigkeit und/oder andere Größen wie Temperatur oder Herzfrequenz. Letztere Daten und weitere werden optional in einer Ausprägung durch eine Konfiguration von Sensoren (z.B. Temperaturfühler, Feuchtigkeitsmesser, Strahlungsmessgeräte, Gasanalysegerät, Beschleunigungssensoren, Bruchmelder, etc.) und einer Kontrolleinheiten (KE) erfasst, derart dass die KE mit der anwendungsspezifischen Logik zum Auslesen, Evaluieren, Überwachen und schnittstellengerechtem Übertragen der Signale und/oder der evaluierten Ereignisse an die aESA verfahrensgemäß ausgestattet ist. Die aESA und die KE erkennen im
verfahrensgemäßen Zusammenwirken ob und welche Meldung zu verfassen ist und mit welchen Daten und/oder evaluierten Informationen die Meldung auszustatten ist. Die Meldung wird optional an eine oder mehrere Einrichtungen oder Geräte übertragen. Die Übertragung erfolgt an eine individuell erstellte Liste von Adressen, Nummern oder Links für das jeweils individuelle Terminal das zu überwachen ist. Die Übertragung erfolgt optional via SMS z.B. an das Terminal einer Aufsichtsperson, wie z.B. an die Eltern oder an den Arzt. Als weitere Option wird die Meldung entsprechend dem vorgenannten Link über die anwendungsspezifische netzseitige und serverbasierte
Datenerfassungseinrichtung (aDEE) übermittelt. Die aDEE erhält mit der Meldung auch die Identität (dies ist anders als bei der Netzmonitoring-Anwendung) des aktuell berichtenden Terminals (aESA) und ordnet die Daten verfahrensgemäß in eine Account spezifische Datenbank für den späteren vertraulichen Zugriff, der nach üblichen angemessenen Methoden über eine anwendungsspezifische Zeit einem engen Kreis von verfahrensgemäß in einer Datenbank eingetragenen berechtigten Personen und/oder Terminals kontrolliert wird. Die aDEE bereitet die Daten derart auf, dass sie mit allgemein verfügbaren Tools (z.B. Google Earth) von den individuellen Anwendern {Kunden der Mobilnetzbetreiber) vertraulich betrachtet werden können, z.B. wann trat welches Ereignis an welchem Ort ein. Schließlich kann hiermit auch eine beobachtete Person oder eine Sache {Auto, Eisenbahnwaggon) oder ein Tier gefunden werden, wobei zum lokalisieren ein mobiles Terminal genügt, das mit der aESA ausgestattet wird und über GPS Fähigkeit verfügt und/oder andere
Ortungstechniken wie z.B. über eine mobilnetzbasierte, das heißt, für die einfache Ortung bedarf es keiner komplexen Anordnung von Terminal und Sensoren. 1.2
Eine Ausprägung des Verfahrens verwendet zusätzlich ein Funksignal oder ein akustisches Signal das von der aESA veranlasst und von dem Terminal ausgesendet wird zur besseren Auffindung z.B. via Peilung, derart dass dieses Signal auch dann zur Auffindung genutzt werden kann, wenn das Ereignis in einem unversorgten Bereich des Mobilnetzes eintrat, von dem aus keine aktuellen
Positionsdaten und kein Hilferuf abgesetzt werden konnte, jedoch . Die beaufsichtigenden Personen werden in diesem Fall jedoch durch Timeout von der aDEE benachrichtigt und ggf. über den zuletzt gemeldeten Aufenthaltsort informiert oder über die letzten Bewegungstrends, die optional geographisch dargestellt werden . Optional gibt die aESA einen Text auf das Display des Terminals oder gibt eine akustische Mitteilung z.B. Text-zu -Sprache aus, derart dass ggf. Passanten auf das Ereignis aufmerksam werden und erfahren was getan werden kann.
Die aDEE befindet sich auf einem netzseitigen zentralen Server, der vor unbefugtem Zugriff physisch und logisch geschützt ist. Die aDEE führt mit den Daten, die sie von dem oder den individuell assoziierten Terminals optional weitere Evaluierungen durch, derart dass sie die aESA von aufwendigen Prozessen entlastet und bei Verwendung von umfangreichen Datenbanken, die die Speicherkapazität des oder der assoziierten Terminals (das die aESA trägt) übersteigen. Die aDEE überträgt optional (ggf. auch zusätzlich zur aESA) Nachrichten oder Alarme an eine verfahrensgemäß hinterlegte Liste von Nummern, Adressen und/oder Links via SMS, Push-email, oder auch an andere Portale, derart dass auf eingetroffene Ereignisse und Daten oder auf einen Time-out z.B. seit einer letzten Meldung der beobachteten Person oder Objektes aufmerksam gemacht wird. Nach einer anwendungs- und anwenderspezifischen Zeit werden die Einträge aus der Account-Datenbank'eines einzelnen Anwenders gelöscht. Die aDEE nimmt Anwendungsdaten (z.B. welcher geographische Bereich soll überwacht werden und bei Überschreiten einen Alarm auslösen) über ein Web-User-Interface auf. Hierzu wird eine anwendungsspezifische grafische Benutzeroberflache verwendet, derart dass durch zusätzliche Semantik-Prüfungen und/oder wohl definierte Alternativen (z.B. in Drop-down-Listen) Eingabefehler und damit auch Überwachungsfehler vermieden werden. Beispielhaft ist hier eine Karte zu nennen {z.B. basiert auf Google Maps) in der die geographischen Grenzen mit einfachen Mitteln deutlich sichtbar und auch für den ungeübten Anwender leicht erfassbar und zuverlässig eingebbar sind. Hierbei werden ggf. Warnungen gegeben, wenn z.B. Bereichsgrenzen ungewöhnlich groß sind, wie z.B. 100km für die Überwachung eines Demenzkranken. Die aDEE speichert die eingegebenen Daten zur späteren Kontrolle des Eingabe-Status oder zur Wiederverwendung von Überwachungsmustern (z.B. Ort und/oder Zeit). Sie formatiert sie in anwendungsspezifische Steuer und Überwachungsanweisungen (aStA) und überträgt diese in verfahrensgemäßem Format an ein Terminal (aESA) oder an mehrere, die mit diesem spezifischen Account assoziiert sind. In einer Ausprägung enthält die aESA die Logik für eine ganz spezifische Anwendung wie z.B. die Überwachung des Aufenthaltsortes des Terminals (das von einer Person getragen wird). In diesem Fall werden nur wenige Daten benötigt um das Überwachungsgebiet zu definieren. Bei komplexen Überwachungsaufgaben wird optional die aESA ausgetauscht oder mit Updates oder mit Plug-ins versorgt, um eine neue Verfahrenslogik auszuführen, derart dass das Terminal oder die SI einen verfahrensspezifischen Loader und Installer enthalt, der von der aDEE adressiert wird und lokal für eine sichere Installation oder Neuinstallation von aESA oder Updates oder Plug-ins sorgt, trotz unsicherem (mobilen) Übertragungsweg, derart dass immer eine Rückfalllösung vorhanden ist und vom Loader und Installer lokal auch in Abwesenheit einer Verbindung herbeigeführt werden kann, und weder das Terminal in seinen sonstigen Funktionen und Anwendungen gestört oder blockiert wird, noch die Wiederherstellung einer funktionsfähigen aESA verhindert wird, selbst bei einer zuvor fehlgeschlagenen Installation. Hierbei ist die aDEE der Master der vom verfahrensspezifischen Loader und Installer, der wegen seines überschaubaren Funktionsumfangs mit moderatem
Implementierungs- und Test-Aufwand hinreichend stabil gemacht werden kann.

Claims

Patentansprüche
Verfahren zum Schutz von Persönüchkeitsdaten bei Netzmonitoring mit Kunden-Terminals. 1. Verfahren zum Schutz von Bewegungsmustern und Aufenthaltsorten, die in Daten enthalten sind, die von Mobilfunkkunden-Terminals zum Zwecke der Erfassung des Mobilnetzzu Standes und entsprechender Netzqualitätsmerkmale, die mit Orts- und Zeit-Koordinaten assoziiert sind, erfasst worden sind, derart dass einerseits der Mobilnetzzustand gemäß dessen Zweck statistisch dargestellt wird, andererseits jedoch die Zurückrechnung auf individuelle Bewegungsmuster und Zuordnung dieser Bewegungsmuster zu bestimmten Personen, den Haltern der an der
Netzzustandserfassung teilnehmenden Terminals, zumindest erheblich stärker erschwert wird als durch das bloße Weglassen von Identitäten des jeweiligen Terminals oder des Halters des Terminals oder gar unmöglich gemacht wird, derart dass die von den Terminals erfassten Daten auch ohne Terminalidentitäten und ohne Identitäten des Halters des jeweiligen Terminals durch eine Terminal Applikation (ESA) an eine Datenerfassungseinrichtung (DEE) übertragen wird und in einem physisch und logisch vor menschlichen Zugriffen geschützten Server oder
Datenverarbeitungseinrichtung derart verarbeitet wird, dass danach nur noch statistische Summenaussagen über die erfassten Mobilnetzqualitätsmerkmale und die damit assoziierten Orts und Zeitkoordinaten vorliegen, derart dass selbst ein nicht vertraulicher Anwenderkreis, der Zugang zu der Datenbank mit den verfahrensgemäß aufbereiteten Mobilfunkqualitätsmerkmalen hat, die Mobilfunkkunden die an dem entsprechenden Messprogramm zur Erstellung dieser Datenbank teilgenommen haben, nicht identifizieren kann und auch die individuellen
Bewegungsmuster der Mobilfunkkunden für den Anwenderkreis der Datenbank nicht mehr erkennbar sind.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass sich die ESA des jeweiligen
individuellen Terminals von selbst anonym bei der DEE zwecks Hochladen der Datensätze mit den Mess- und Ereignisdaten meldet und nicht von der DEE oder einer anderen zentralen Instanz adressiert wird, derart dass weder die DEE noch eine andere zentrale Instanz eine Identität der individuellen ESA oder des Terminals oder des Halters erfahren, jedoch zur Vermeidung von Mehrfachmessungen von einzelnen Terminals von der DEE informiert wird, wann sich die ESA frühestens wieder bei einer Applikations-Management-Entität (AME) zwecks Übernahme von neuen Steuerungsanweisungen (StA) für ein neues Messprogramm meldet, derart dass die DEE den Zeitpunkt nennt zu dem keine StA mehr zu dem noch laufenden Messprogramm von der AME vergeben werden, derart dass Wichtungsfehler bei der Auswertung der Mess- und Ereignisdaten in der DEE vermieden werden.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, sich die ESA nach einem Zufallszeitpunkt bei der AME zwecks Anfrage nach StA meldet, derart dass ein von der DEE genannter frühester Zeitpunkt nicht unterschritten wird, und die Möglichkeit unterbunden wird, anhand des
Meldezeitpunktes oder der Reihenfolge der Meldezeitpunkte die Identität eines oder mehrerer Terminals zu evaluieren.
4. Verfahren nach Anspruch 1 , 2 oder 3, dadurch gekennzeichnet, dass sich die ESA frühestens nach einem zeitlichen indestabstand zur letzten Messung bei der DEE zwecks Hoch!adens von Messdatensätzen meldet, derart dass eine Überprüfung und Zurückverfolgung der Anwesenheit von Personen an den Orts-Koordinaten der aktualitätsnahen Messung unterbunden wird.
5. Verfahren nach Anspruch 2, 3 oder 4, dadurch gekennzeichnet, dass die AME eine von der DEE physisch getrennten Entität ist, derart dass die beiden Funktionseinheiten ein Interface zum verfahrensgemäßen Austausch von Daten haben, jedoch nicht den gleichzeitigen Einblick in die Kontakte mit den ESA der jeweiligen Terminals gewähren, derart dass bei Vorkommen unberechtigter Überwindung des Zugangsschutzes (physisch und/oder logisch) bei einer der beiden Einheiten der Einblick in die Kontakte der jeweils anderen Einheit erschwert bleibt.
6. Verfahren nach Anspruch 5, dadurch gekennzeic net, dass die AME die StA an jede sich
meldende ESA des relevanten Gerätetypes übermittelt, derart dass die AME nicht übermittelt bekommt an welchem Ort sich das Terminal befindet, derart dass die ESA selbst prüft ob sie sich in dem geographischen Bereich befindet, zu dem Terminals für das Messprogramm ausgesucht sind.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass sich die ESA im Rahmen des per StA definierten Messprogramms auch dann bei der DEE meldet, wenn sie sich nicht in dem geographischen Bereich befindet der durch die StA vorgegeben ist, derart dass die ESA bei der DEE übermittelt, dass sie nicht an dem Messprogramm teilnimmt, so dass die DEE eine bessere Abschätzung der zu erwartenden Gesamtzahl von teilnehmenden Terminals trifft, derart dass sie ggf. der AME mitteilt, dass weitere Messanweisungen StA an sich meldende ESA übergeben werden.
8. Verfahren nach Anspruch 2, 3, 4, 5, 6, oder 7, dadurch gekennzeichnet, dass die StA bei
geographischer Auswahl eines Gebietes in dem zu messen ist, eine Mindestgröße ausweist, derart dass die Überprüfung der Anwesenheit von erwartungsgemäß zu geringer Anzahl von Individuen in einem dann hinreichend großen Gebiet hinreichend erschwert ist.
9. Verfahren nach Anspruch 2, 3 ,4, 5, 6, 7 oder 8, dadurch gekennzeichnet, dass die StA bei zeitlicher Begrenzung des Messprogramms eine Mindestdauer ausweist, derart dass die Prüfung der Anwesenheit von erwartungsgemäß zu geringer Anzahl von Individuen an ihren jeweiligen Orten hinreichend erschwert ist.
10. Verfahren nach Anspruch 2, 3 ,4, 5, 6, 7, 8 oder 9, dadurch gekennzeichnet, dass die AME für jedes Messprogramm eine Minimum-Anzahl von sich meldenden Terminals mit StA beauftragt, derart dass die Größe der statistischen Basis die Identifizierung einzelner Terminals oder deren Halter hinreichend erschwert.
11. Verfahren nach Anspruch 2, 3, 4, 5, 6, 7, 8, 9 oder 10, dadurch gekennzeichnet, dass die StA jeweils eine Minimum-Anzahl von Messpunkten umfasst, derart dass die Größe der statistischen Basis die Identifizierung einzelner Terminals oder deren Halter hinreichend erschwert.
12. Verfahren nach Anspruch 1 , 2, 3 ,4, 5, 6, 7, 8, 9, 10 oder 11 , dadurch gekennzeichnet, dass die ESA vor dem Berichten der Messergebnisse an die DEE prüft, ob eine definierte Minimum-Anzahl von tatsächlichen durchgeführten Messungen erreicht ist, derart dass die ESA ggf. die Meldung eines Zwischenergebnisses aussetzt und die bereits aufgenommenen Datensätze zum nächsten Meldezeitpunkt mit überträgt, und im Falle, dass das Messprogramms bereits beendet ist ohne dass die Minimalzahl von tatsächlich erfassten Messpunkten erreicht ist verwirft die ESA die Datensätze.
13. Verfahren nach Anspruch 8, 9, 10, 11, oder 12, dadurch gekennzeichnet, dass die StA mit einem Editor erstellt werden, der die Einhaltung der Regeln und Bedingungen, die an ein Messprogramm gestellt werden, bevor es in Form von StA über die AME an die Terminals (ESA) übergeben wird, gewahrleistet, derart dass der Editor
a) eine Auswahl von fest vorgegebenen Messmustern und/oder Ereigniserfassungen zur
Nutzung anbietet, derart dass zeitliche Muster und/oder geographische Muster für das aktuelle Messprogramm durch Eingabe von Anfangszeitpunkt und/oder von geographischem
Zentrumskoordinaten von geographisch vorgegebenen Bereichsrahmen konkretisiert werden, derart dass einige der noch ausstehenden Angaben schablonenhaft vorbestimmt und korrekt übernommen werden und/oder andere der noch ausstehenden Angaben aus vorgegebenen Relativwerten und den aktueller Eingabewerte errechnet werden, derart dass die Einhaltung der Regeln zur Erstellung eines regelgemäßen StA erzwungen ist; und/oder
b) zunächst eine freie Eingabe der Anweisungen zur Definition eines Messprogramms
ermöglicht, und entweder während der Eingabe oder am Ende der Eingabe eine Überprüfung stattfindet, derart dass die Regeln angemahnt und/oder nach Vorschlägen des Editors angenommen werden, derart dass sukzessiv ein regelgemäßer StA entsteht.
14. Verfahren nach einem oder mehreren der Ansprüche 1-13, derart dass die von den
Terminals/ESA hochgeladenen Datensätze in eine derart gerasterte Datenbank eingeordnet werden, dass die Raster Bereichen von Orts- und Zeit-Koordinaten entsprechen, derart dass die Rasterbereiche hinreichend genau sind für den Zweck der statistischen Netzzustandsdarstellung und/oder der Netzqualitätsaussage jedoch die ursprüngliche Genauigkeit der entsprechenden Koordinaten verlieren, derart dass die Zuordnung von insbesondere der Anwesenheit an einem Ort zu einer Zeit hinreichend unsch rfer geworden ist gegenüber den von der ESA erhaltenen Daten.
15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die Datenbank nicht die in Anspruch 14 genannte physische Struktur aufweist, sondern dynamisch logisch von den Zugriffsmethoden und -Prozeduren gewährleistet wird, derart dass die verfahrensgemäße Unscharfe stets bei jeder möglichen Abfrage von Mess- und Ereignisdaten gegeben ist.
16. Verfahren nach Anspruch 14 oder 15, dadurch gekennzeichnet, dass sich die Rasterung real oder virtuell verändert, derart dass bei Unterschreiten von einer Mindestanzahl von Mess- oder Ereigniswerten, ursprünglich benachbarte Rasterelemente für die statistische Aussage mit hinzugezogen werden, derart dass eine Aussage mit einem ggf. höheren statistischen Wert oder über eine größere Anzahl von Ereignissen über einen größeren Rasterwürfel mit weniger präzisen Koordinatenbereichen entsteht.
17. Verfahren nach einem der Ansprüche 1-16, dadurch gekennzeichnet, dass die ESA bei fehlendem oder unzureichendem GPS Signal die Methode der Ortbestimmung zu den Mess- oder
Ereigniswerten ändert, derart dass die ESA a) die Orts-Koordinaten der zuvor durchgeführten Messung oder Ereigniserfassung verwendet wenn die Zeit nicht zu lange zurückliegt und/oder die Netzumgebung in Gestalt von Cellld, Location Area, und/oder Nachbarschaftszellen eine hinreichende Nahe anzeigen, derart dass die ESA die geringere Zuverlässigkeit der so ermittelten Orts-Koordinaten für die spätere verfahrensgemäße Verarbeitung in der DEE entsprechend markiert; oder
b) zusätzliche Messpunkte in kürzeren Zeitabständen erzeugt, derart dass sie entweder eine hinreichend präzise GPS-Position erhält und optional die Netzumgebung wie unter a) mit beachtet bei der Entscheidung, ob diese Position hinreichend nahe bei dem von der StA vorgegebenen Messung oder Ereignis liegt, oder im Falle dass die ESA eine gesetzte maximale Anzahl von zusätzlichen Messpunkten erreicht hat, die Serie der Zusatzmessungen beendet, um die Akkulaufzeit des Terminals nicht übermäßig zu beeinträchtigen, oder c) Netzfunktionen anregt, derart dass die Ortsbestimmung bei fehlendem GPS Signal mit netzbasierten Methoden erfolgt, die Signallaufzeiten und umgebende Basisstationsstandorte in die Ortsbestimmung der ESA einbeziehen, oder
d) die Messdauer der GPS-Positions-Messung bis zu einer Maximalzeit erhöht, derart dass die GPS-Positionsbestimmung präziser wird ohne jedoch die Akkulaufzeit übermäßig zu beeinträchtigen.
18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass die ESA nur die entsprechend gekennzeichneten Rohdaten der zusätzlichen Messungen an die DEE liefert und die Evaluierung von der DEE durchgeführt werden, derart dass die ESA entlastet wird und die Möglichkeiten der DEE besser genutzt werden, umfangreichere Daten über die Funknetzstruktur mit Feldstärken und geographischen Positionen der Bastsstationen für die genauere Ortbestimmung von Messungen und Ereignissen nach geometrischen Algorithmen oder mit einer Fuzzy-Logic zu ermitteln.
19. Eine Anordnung von einem oder mehreren Terminals und einem oder mehreren Servern zur Erfassung des Zustandes und der Qualitätsdaten eines Mobilnetzes, derart dass das oder die Terminals je eine Applikation ESA enthalten und der oder die Server mindestens eine Applikation DEE und mindestens eine Applikation AME enthalten, derart dass die Applikation gemäß einem der Verfahren 1-18 miteinander interagieren.
PCT/DE2011/001788 2010-10-02 2011-10-02 Verfahren zum schutz von persönlichkeitsdaten bei netzmonitoring mit kunden-terminals. WO2012062258A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP11790857.4A EP2622896A1 (de) 2010-10-02 2011-10-02 Verfahren zum schutz von persönlichkeitsdaten bei netzmonitoring mit kunden-terminals.
DE112011104118T DE112011104118A5 (de) 2010-10-02 2011-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102010047117.8 2010-10-02
DE201010047117 DE102010047117A1 (de) 2010-10-02 2010-10-02 Verfahren zum Schutz von Persönlichkeitsdaten bei Netzmonitoring mit Kunden-Terminals

Publications (1)

Publication Number Publication Date
WO2012062258A1 true WO2012062258A1 (de) 2012-05-18

Family

ID=45093250

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2011/001788 WO2012062258A1 (de) 2010-10-02 2011-10-02 Verfahren zum schutz von persönlichkeitsdaten bei netzmonitoring mit kunden-terminals.

Country Status (3)

Country Link
EP (1) EP2622896A1 (de)
DE (2) DE102010047117A1 (de)
WO (1) WO2012062258A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013110261A3 (de) * 2012-01-23 2013-09-26 Joachim Linz Verfahren zum multilateralen und ganzheitlichen erfassen und verbessern der mobildienst-qualität mit hilfe von kunden-terminals mit rückmeldung an den kunden
CN117611187A (zh) * 2024-01-23 2024-02-27 杭州实在智能科技有限公司 基于rpa的客户服务及数据监控管理方法及系统

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2866484B1 (de) * 2013-10-24 2018-10-10 Telefónica Germany GmbH & Co. OHG Verfahren zur Datenanonymisierung von innerhalb eines mobilen Kommunikationsnetzes gesammelten Daten
CN115290098B (zh) * 2022-09-30 2022-12-23 成都朴为科技有限公司 一种基于变步长的机器人定位方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5987306A (en) * 1994-06-01 1999-11-16 Telefonaktiebolaget L M Ericsson System for monitoring telephone networks and/or data communication networks, especially mobile telephone networks
US20010028313A1 (en) * 2000-03-07 2001-10-11 Mcdonnell Jamesthomas Edward Distributed telemetry method and system
EP1424863A1 (de) * 2002-11-27 2004-06-02 Agilent Technologies, Inc. Mobile Sonden
WO2008080578A2 (de) * 2007-01-02 2008-07-10 T-Mobile International Ag Verfahren zur erfassung von kenngrössen eines mobilfunknetzes durch mobilfunkendgeräte mit integriertem gps-empfänger
US20090310501A1 (en) * 2008-06-13 2009-12-17 Qualcomm Incorporated Apparatus and method for generating performance measurements in wireless networks

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6236359B1 (en) * 1998-05-14 2001-05-22 Nortel Networks Limited Cellular terminal location using GPS signals in the cellular band
US7751811B2 (en) * 2004-06-08 2010-07-06 Kudelski Sa Data acquisition system and mobile terminal
EP1641302B1 (de) * 2004-09-27 2009-07-01 Panasonic Corporation Anonymer Aufwärtsrichtungsmessbericht in einem drahtlosen Kommunikationssystem

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5987306A (en) * 1994-06-01 1999-11-16 Telefonaktiebolaget L M Ericsson System for monitoring telephone networks and/or data communication networks, especially mobile telephone networks
US20010028313A1 (en) * 2000-03-07 2001-10-11 Mcdonnell Jamesthomas Edward Distributed telemetry method and system
EP1424863A1 (de) * 2002-11-27 2004-06-02 Agilent Technologies, Inc. Mobile Sonden
WO2008080578A2 (de) * 2007-01-02 2008-07-10 T-Mobile International Ag Verfahren zur erfassung von kenngrössen eines mobilfunknetzes durch mobilfunkendgeräte mit integriertem gps-empfänger
US20090310501A1 (en) * 2008-06-13 2009-12-17 Qualcomm Incorporated Apparatus and method for generating performance measurements in wireless networks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Telecommunication management; Subscriber and equipment trace: Trace concepts and requirements (Release 9)", 3GPP STANDARD; 3GPP TS 32.421, 3RD GENERATION PARTNERSHIP PROJECT (3GPP), MOBILE COMPETENCE CENTRE ; 650, ROUTE DES LUCIOLES ; F-06921 SOPHIA-ANTIPOLIS CEDEX ; FRANCE, no. V9.1.0, 1 April 2010 (2010-04-01), pages 1 - 33, XP050402308 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013110261A3 (de) * 2012-01-23 2013-09-26 Joachim Linz Verfahren zum multilateralen und ganzheitlichen erfassen und verbessern der mobildienst-qualität mit hilfe von kunden-terminals mit rückmeldung an den kunden
CN117611187A (zh) * 2024-01-23 2024-02-27 杭州实在智能科技有限公司 基于rpa的客户服务及数据监控管理方法及系统

Also Published As

Publication number Publication date
DE112011104118A5 (de) 2013-10-17
DE102010047117A1 (de) 2012-04-05
EP2622896A1 (de) 2013-08-07

Similar Documents

Publication Publication Date Title
EP2071932B1 (de) Verfahren und vorrichtung zur verwaltung von referenzumgebungsinformationen
CN110366858A (zh) 用于评估无线装置和/或无线网络性能的系统和方法
DE60100658T2 (de) Verfahren und System zur Bereitstellung von Diensten
DE60100582T2 (de) Orts- und personenabhängige Gerätekontrolle
DE112015001416B4 (de) Erkennung einer unberechtigten drahtlosen Kommunikationsvorrichtung
DE102007012053A1 (de) System und Verfahren zur Durchführung von Messungen in Kundenvorrichtungen über Netze unterschiedlicher Dienstanbieter
DE112016004969T5 (de) Erzeugen und veröffentlichen validierter standortinformationen
US20040030562A1 (en) Composite energy emission information system for improved safety to site personnel
DE202012013473U1 (de) Vorhersage von Ebene und Position in Innenbereichen
DE102009049672A1 (de) Konzept zum Generieren von Erfahrungsmeldungen zur Aktualisierung einer Referenzdatenbank
DE202013012429U1 (de) Erstellen und Teilen von privaten Lokalisierungsdatenbanken
DE10300907A1 (de) Verfahren und System für eine verbesserte Überwachung, Messung und Analyse von Kommunikationsnetzwerken unter Verwendung von dynamisch und entfernt konfigurierbaren Sonden
DE202008018008U1 (de) Standort der Basisstation
EP2116079A2 (de) Verfahren zur netzkenndaten-erfassung durch reguläre nutzer zur unterstützung von automatisierten planungs- und optimierungsprozessen in zellularen mobilfunknetzen
DE102012223468A1 (de) Ermitteln eines üblichen Startpunkts, eines üblichen Zielpunkts und einer üblichen Route aus einem Netzdatensatz
CN110209723A (zh) 一种基于物联网大数据的设备信息采集系统
DE69726380T2 (de) System und Verfahren zum Überwachen eines zellularen Funkkommunikationsnetzes mit Hilfe von Protokollanalysatoren und Mobilstationen
DE102011006180A1 (de) Verfahren und System zum funkbasierten Lokalisieren eines Endgeräts
WO2012062258A1 (de) Verfahren zum schutz von persönlichkeitsdaten bei netzmonitoring mit kunden-terminals.
DE102020204187A1 (de) Leistungseffizienter betrieb an bedeutenden standorten
EP2689615B1 (de) System und verfahren zum funkbasierten lokalisieren eines endgeräts
DE10256457B4 (de) Austausch geographischer Positionsinformation zwischen Positionsinformations-Server und Kernnetzwerk-Element
DE102007012097A1 (de) System und Verfahren zur Durchführung von Messungen in Kundenvorrichtungen über unterschiedliche Netztechnologien
EP1569483A2 (de) Verfahren und Anordnung zur Positionsbestimmung eines Endgerätes in einem Zellularen Mobilfunknetz
CN110058196A (zh) 一种用于化工厂中的位置监测系统

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11790857

Country of ref document: EP

Kind code of ref document: A1

REEP Request for entry into the european phase

Ref document number: 2011790857

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2011790857

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 112011104118

Country of ref document: DE

Ref document number: 1120111041187

Country of ref document: DE

REG Reference to national code

Ref country code: DE

Ref legal event code: R225

Ref document number: 112011104118

Country of ref document: DE

Effective date: 20131017