WO2015150534A2 - Einstellung des datenschutzes im fahrzeug - Google Patents

Einstellung des datenschutzes im fahrzeug Download PDF

Info

Publication number
WO2015150534A2
WO2015150534A2 PCT/EP2015/057348 EP2015057348W WO2015150534A2 WO 2015150534 A2 WO2015150534 A2 WO 2015150534A2 EP 2015057348 W EP2015057348 W EP 2015057348W WO 2015150534 A2 WO2015150534 A2 WO 2015150534A2
Authority
WO
WIPO (PCT)
Prior art keywords
data
vehicle
signal processing
access
processing device
Prior art date
Application number
PCT/EP2015/057348
Other languages
English (en)
French (fr)
Other versions
WO2015150534A3 (de
Inventor
Jochen HECHLER
Hans Gregor MOLTER
Peter Säger
Original Assignee
Continental Teves Ag & Co. Ohg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE102014206545.3A external-priority patent/DE102014206545A1/de
Application filed by Continental Teves Ag & Co. Ohg filed Critical Continental Teves Ag & Co. Ohg
Publication of WO2015150534A2 publication Critical patent/WO2015150534A2/de
Publication of WO2015150534A3 publication Critical patent/WO2015150534A3/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/46Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for vehicle-to-vehicle communication [V2V]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles

Definitions

  • the invention relates to a method for routing data in a vehicle between a data source and a signal processing device, a control device for carrying out the method and a vehicle with the control device.
  • a method for routing data in a vehicle between a data source and a signal processing device for processing the data comprises the steps
  • the specified method is based on the consideration that the aforementioned highly automated driving technically best can be implemented in the aforementioned vehicle ad hoc network, because the highly automated driving with a high degree of safety hazard must be realized.
  • the vehicles can form a largely constantly connected community and each other or with respect to a backend for example, to exchange their data from sensors or from applications for object recognition.
  • the exchange of data which in principle can be transmitted both analogue as signals and digitally in the form of data packets, also affects data protection. It is therefore proposed with the specified method, the user of a vehicle fundamentally a decision ⁇ ein ⁇ clear, with which he can control his personal privacy interests on the one hand and the influence of his privacy interests on the vehicle on the other.
  • the access authorization allows the user, such as the driver of the vehicle, to adjust their data protection requirements and their desired range of functions in the vehicle individually to one another.
  • the access authorization can be retrieved from a database.
  • the data source and the signal processing device are separated via a network connection.
  • the specified procedure should be used as a kind of secure network in this context ⁇
  • the access authorizations can be evaluated at both endpoints of the network.
  • the data can be transmitted unfiltered over the network, so that an individual filtering of the data is also possible at the network end.
  • the access authorization could be transmitted together with the data.
  • the access authorizations can also be stored in several databases distributed in the network, in which case it should then be ensured that the access authorizations in the databases are synchronized with one another.
  • the specified method in a special development comprises the step of deleting the data after forwarding as a function of the access authorization.
  • a control device is set up to carry out a method according to one of the preceding claims.
  • the specified control device has a memory and a processor.
  • the specified method is stored in the form of a computer program in the memory and the processor for carrying out the method when the computer program is loaded from the memory into the processor.
  • a computer program comprises program code means for performing all the steps of one of the stated methods when the computer program is executed on a computer or one of the specified control devices.
  • a computer program product comprises a program code which is stored on a data carrier and the compu ⁇ terlesbaren, when executed on a data processing device, carries out one of the methods specified.
  • the specified control device comprises a user interface for receiving the Materialssberechti ⁇ supply.
  • the access authorization can be specified by the user in a simple manner and also be changed afterwards.
  • the above-mentioned database can be part of the control device in a special development of the specified control device.
  • the specified control device comprises a test device for checking a necessity of the data for operating the signal processing device , wherein the necessity of the data for operating the signal processing device can be displayed on the user interface. In this way, the user can immediately see what influence his settings and assigned access permissions to the vehicle have, what him in the Coordination of data security against its desired range of functions supported in the vehicle.
  • a vehicle includes one of the specified control devices.
  • the object is according to a sixth aspect of the invention solved by a method for transmitting data between a motor vehicle, which comprises at least one, since ⁇ th access node and at least one schex ⁇ ternal terminal, wherein the of the vehicle data to be transmitted at least partially be anonymized.
  • Anonymized data are data that are modified in such a way that essentially no (possibly only with considerable effort) or only to a limited extent conclusions on particular personal and / or vehicle-related information are possible.
  • the data protection when using networked vehicles can thus be significantly improved.
  • the anonymization based on a data flow of the communication system, takes place between the data access node and a last terminal of in-vehicle data.
  • At least two operating modes are provided, wherein in a first operating mode a partial anonymization takes place and in a second operating mode an essentially complete anonymization of the data to be transmitted is undertaken.
  • first operating mode on the vehicle side, in particular apart from authentication data, preferably no substantially private data is transmitted and in the second operating mode no data is transmitted.
  • Private data is preferably data which has been previously defined as such, in particular by a user of the vehicle, the vehicle owner and / or vehicle manufacturer. This may be, for example, data which would directly permit a conclusion to the user (s) of the vehicle.
  • a third operating mode preferably no anonymization is undertaken and an essentially free exchange of data takes place. At least in the first and in the second operating mode, data is preferably received.
  • a selection of the operating mode is preferably made by at least one human-machine interface-Istelle before ⁇ . Users of a vehicle can thus advantageously influence which particular personal and / or vehicle-related information may be sent by the vehicle. In this way, privacy can also be adapted within the context of a person-specific view, and the acceptance of vehicle communication, for example of Internet services, back-end servers and / or vehicle-to-X communication, can possibly be increased.
  • vehicle communication for example of Internet services, back-end servers and / or vehicle-to-X communication, can possibly be increased.
  • a transmission according to necessary data is possible.
  • safety-relevant measures are thus not blocked.
  • the invention describes a communication system of a motor vehicle, which is suitable for the transmission of data between the motor vehicle and at least one vehicle external terminal and at least one data access node comprises, wherein at least one anonymizing means is provided, which is configured such that to be sent by the motor vehicle Data are at least partially anonymized.
  • the data access node is a vehicle antenna.
  • At least two operating modes are provided, wherein these are configured in such a way that in a first operating mode a partial and in a second operating mode an essentially complete anonymization of the data to be transmitted takes place.
  • the anonymization agent is, based on a data flow of the communication system, more preferably disposed between the As ⁇ th access node and a last vehicle data node before the data access node.
  • At least one human-machine interface is provided for selecting the respective operating mode.
  • HMI Human machine interface
  • the communication system is designed in such a way that it carries out the method according to the invention.
  • the invention further describes a data access node, in particular a motor vehicle antenna, for transmitting data between a motor vehicle and at least one vehicle-external terminal, which is designed to carry out the he ⁇ inventive method.
  • a data access node in particular a motor vehicle antenna, for transmitting data between a motor vehicle and at least one vehicle-external terminal, which is designed to carry out the he ⁇ inventive method.
  • the object is further achieved according to a seventh aspect of the invention relating to a method for routing data in a vehicle,
  • data in a vehicle is passed between a data source and at least one signal processing device for processing the data, comprising:
  • Communication interface stored reliesbe ⁇ emption which defines whether the data may be forwarded to the signal processing means ⁇ , wherein the processed data to be anonymous by the wishesregel- and communication interface at least partially.
  • the invention is based on the recognition that in addition to an introduction of an access authorization control a _
  • Anonymizing the data to the driver offers the advantage of being able to maintain the complete functionality of the signal processing ⁇ facilities while maintaining his privacy.
  • the method is further developed by the steps:
  • the method is further developed in that the exchange of data between the data source, the signal processing device and between the signal processing device and the terminal takes place exclusively via the access control and communication interface. In this way, the other ⁇ relations of the safety concept can be difficult.
  • the method is further developed, wherein at least two operating modes are provided, wherein in a first operating mode a partial anonymization takes place and in a second operating mode, an essentially complete anonymization of the data to be transmitted is performed. In this way, a more flexible adjustability of the data access is made possible.
  • the method is further developed in that the operating mode to be used is selected as a function of the terminal.
  • the operating mode to be used is selected as a function of the terminal.
  • the method is further developed in that the wishessregel- and communication interface prevents a forwarding of combinations of a plurality of data of the data source to a respective signal processing means ⁇ only partially or permits.
  • the anonymity of data can be easily implemented this way by such combinations of data allowing a conclusion to personal profiles, are un ⁇ terbunden.
  • Such combinations could be, for example, speed of the vehicle and its position, from which an accurate motion profile can be created.
  • a data source for receiving and generating vehicle data
  • At least one signal processing device for processing the data
  • the data source and the signal processing device are coupled by means of the access control and communication interface and forward the data to the signal Processing device or to an external terminal only as a function of a ⁇ stored authorization at the interface ⁇ authorization, which defines whether the data may be forwarded to the signal processing device.
  • the system is further developed in that an identification authorization is also stored at the interface, wherein the identification authorization is provided at least two operating modes, wherein a partial anonymization takes place in a first operating mode and an essentially complete anonymization in a second operating mode the data to be sent is made.
  • the system is further developed in that the system comprises a human machine interface for setting the access authorization and the identification authorization.
  • the system is further developed in that the data sources are sensors installed in a vehicle and by means of the human-machine interface, an in-vehicle processing of the sensor data or forwarding the sensor data to an external terminal based on the setting of the access authorization and identification authorization is adjustable ,
  • FIG. 1 is a schematic diagram of the vehicle of Fig. 1,
  • FIG. 3 is a schematic diagram of a vehicle ad hoc network in which the vehicle of FIGS. 1 and 2 can participate;
  • FIG. 4 is a schematic diagram of a communication system;
  • FIG. 5 shows a basic representation of a user interface for defining access authorizations in the communication system of FIG. 4 in a first state
  • FIG. 6 shows a basic representation of a user interface for defining access authorizations in the communication system of FIG. 4 in a first state
  • FIG. 7 shows a schematic representation of a user interface for defining access authorizations in the communication system of FIG. 4 in a first state
  • Fig. 8 shows two preferred embodiments of the sixth
  • Fig. 1 shows a schematic diagram of a vehicle 2 traveling on a road 2.
  • a pedestrian overpass 4 is to be located on the street 2, is controlled by a traffic light 5, whether the vehicle 3 or optionally the vehicles 8 and / or 9 on the road 2 may cross the pedestrian overpass 4 or not further represented pedestrian on the pedestrian overpass 4 the road 2.
  • a traffic light 5 is in the context of the present embodiment, an obstacle in the form of a curve 9, the pedestrian overpass 4 the driver of the vehicle 3 and a still to be described environment sensor of the vehicle 3 face down.
  • FIG. 1 In a direction of travel 7 in front of the vehicle 3, a further vehicle 8 is shown in FIG. 1, which is involved in a traffic accident 10 with a vehicle 9 shown by dots on the pedestrian overpass 4 and blocks the lane in the direction of travel 7 of the vehicle 3.
  • the pedestrian overpass 4 and the traffic accident 10 represent dangerous situations on the road 2.
  • the driver of the vehicle 3 overlooks the pedestrian overpass 4 and stops in front of it thus foul not so he could capture a pedestrian overpass 4 crossing pedestrians who trusts in crossing the pedestrian overpass 4 on the compliant behavior of the driver of the vehicle 3.
  • the driver of the vehicle 3 must stop the vehicle 3 in order to avoid a collision with the danger object in the dangerous situation, ie the pedestrian and / or the further vehicle 8.
  • the Car2X network 1 can be used, which will be discussed in more detail later.
  • GNSS receiver 11 for a global navigation satellite system
  • the vehicle 3 in a manner known per se positi ⁇ onsoire in the form of its absolute geographic Determine location 12 and, for example, in the context of a navigation system 13 can use to display them on a non-illustrated geographical maps.
  • Corresponding signals 14 of the Global Navigation Satellite System below
  • GNSS signals 14 may be received, for example via a corresponding GNSS antenna 15 and forwarded in a conventional manner to the GNSS receiver 11.
  • the vehicle further comprises, in the present embodiment, a transceiver 16 via which the vehicle 3 participates as a node on the Car2X network 1 and with other nodes, such as the further vehicle 8 and / or the traffic light 5, messages referred to below as Car2X messages 17 can exchange.
  • This transceiver 16 is to be referred to as the demarcation with respect to the GNSS receiver 11 Car2X transceiver 16 below.
  • the individual nodes 3, 5, 8 can exchange descriptive data with one another with which, for example, traffic safety on the road 2 can be increased.
  • Such Data can also be called position data. If the geographic location 12 receiving node 3, 5, 8 of the Car2X network 1 is a vehicle, such as the not involved in the traffic accident 10 vehicle 3 and involved in the accident 10 vehicle 8 then the received over the Car2X network 1 geographic Position 12, for example, on the Navigationssys ⁇ tem 13 of the receiving vehicle 3, 8 used to represent, for example, the traffic movement.
  • the traffic accident 10 is also described as information with the data in the Car2X message 17
  • certain traffic situations such as the traffic accident 10 on the navigation system 13 can be represented more concretely. Further possible interchangeable with the Car2X messages 17 information will be discussed later in the context of FIG. 2.
  • the Car2X transceiver 16 either modulates a Car2X message 17 on a transmission signal referred to below as Car2X signal 18 and sends it via an antenna referred to below as Car2X antenna 19 to the other nodes 3, 5, 8 in FIG Car2X network 1 or he receives via the Car2X antenna 19, a Car2X signal 18 and filters out of this the corresponding Car2X message 17 out.
  • Car2X signal 18 a transmission signal referred to below as Car2X signal 18
  • the Car2X transceiver 16 outputs a Car2X message 17 to the Naviga ⁇ tion system 13 on the assumption that it contains information in the manner described above, which can be displayed on this.
  • this is not restrictive.
  • the GNSS receiver 11 may also be connected directly or, as shown in FIG. 2, indirectly to the Car2X transceiver 16 in order to send its own absolute geographical position 12 in the Car2X network 1.
  • the structure of the Car2X message 17 and the Car2X signal 18 and thus the structure of the Car2X network can be defined in a communication protocol. There are already such communication protocols country-specific among others in the framework of the ETSI TC ITS at ETSI in Europe and under the IEEE 1609 at IEEE and SAE in the United States of America. Further information can be found in the mentioned specifications.
  • the vehicle 3 is to have a function called highly automated driving, hereinafter referred to as the HAF function.
  • a multiplicity of further sensors such as the above-mentioned environment sensor system in the form of a camera 20 and a radar sensor 21, are present on the vehicle 3.
  • the vehicle 3 may be within a field angle 22, an image of a view take on ⁇ , viewed in the direction of travel 7 of the vehicle 3 is ahead of the vehicle.
  • the vehicle 3 with the Ra ⁇ darsensor 21 and corresponding radar beams 23 seen in the direction of travel 7 of the vehicle 3 objects recognize and in a known manner the distance to the vehicle 3 be ⁇ vote.
  • the vehicle 3 has various which Sen ⁇ sorsignale processing applications, one of which is shown in Fig. 2 is a HAF application 24 and a known dynamics control 25th While for the HAF application 24 AI referenced with further references to DE 10 2012 112 442, DE can be found in 10 2011 080 789 AI Details Fahrdynamikre ⁇ gelung 25th
  • the vehicle 3 includes a chassis 26 and four wheels 27. Each wheel 27 may be slowed down relative to the chassis 26 by a brake 28 fixed to the chassis 26 to slow movement of the vehicle 3 on the road 2.
  • a controller 31 can determine, in a manner known to those skilled in the art, whether the vehicle 3 slips on the road or even deviates from the abovementioned predetermined trajectory and reacts accordingly with a regulator output signal 32 known per se.
  • the regulator output signal 32 can then be used by an actuator 33 to control actuators, such as the electric motors 28, which are responsive to slippage and by means of actuating signals 34 Deviation from the given trajectory in a conventional manner, for example in the context of torque vectoring respond.
  • the HAF application 24 can evaluate image data 35 acquired via the camera 20 and distance data 36 acquired via the radar sensor 21 to objects such as vehicles in the direction of travel 7 in front of the vehicle 3, track stripes on the road 2 and so on, and based on this the situations on the road 2 capture.
  • the HAF application 24 is to intervene by issuing control signals in the vehicle 3 and regulate its movement on the road in such a way that it travels on the road 2 within the aforementioned lane stripes, avoiding or hitting obstacles such as the accident 10 in a safety-compliant manner stops not shown crossings.
  • control signals include, for example, a drive signal 37 with which the electric motors 28 are driven to propel the vehicle 3 in the direction of travel, the steering signal 48 to keep the vehicle 3 on the track of the road 2 and / or obstacles, such as the accident 10th to avoid and a brake signal, not shown, to control a brake system, not shown, of the vehicle 3 for braking the vehicle 3.
  • the aforementioned Car2X messages 17 can also be evaluated, which provide further valuable information for controlling the vehicle 3 on the road 2.
  • the setting device 33 can output a report signal 38 shown dotted in FIG. 2.
  • a report signal 38 can be generated by any instance in the vehicle 3, that is, for example, by the controller 31 of the vehicle dynamics control 25.
  • a message generator 39 could then be based on the report signal 38, the absolute geo graphic layer 12 and a time stamp 41, which is output from a timer 40 and shown in FIG.
  • Car2X message 17 generate, with the intervention of the vehicle dynamics control 25 as information about the Car2X network 1 the other nodes 5, 8 can be reported.
  • the Car2X message 17 thus generated could then be sent via the Car2X antenna 19 in the Car2X network 1.
  • the information exchanged in the Car2X messages 17 about the absolute geographical position 12 of the individual nodes 3, 5, 8 and / or about events such as the traffic accident 10 and / or how an intervention of the Vehicle dynamics control 25 on the navigation system 13 as already executed in Fig. 1 can also be used for other purposes. For example, they could be displayed for the orientation of the driver or evaluated, for example, in the context of traffic control by the police, which can then determine a non-compliant by the driver of the vehicle 3.
  • the information sent in the Car2X messages 17 is therefore generally accessible to anyone, even if it is information that the driver of the vehicle 3 actually does not want to share with other road users or other potential recipients. This will be discussed later.
  • Car2X message 17 The transmission of a Car2X message 17 via the Car2X network 1 is explained below with reference to FIG. 3, which is indicated by a cloud in FIG. 3 for the sake of clarity.
  • the content of the Car2X message 17 can be assumed, for example, to trigger an occupant protection device, such as an airbag in the accident vehicle 8 involved in the traffic accident 10.
  • the Car2X message 17 according to the above-mentioned communication protocol ⁇ generate.
  • any signals and thus data from the vehicle 2 can be reported in a Car2X message 17, the above-mentioned standard specifying the format of how these signals and thus data are reported.
  • the message generator 39 can also be part of the Car2X transceiver 16.
  • the data packet generator 42 therefore corresponds to a network and transport layer, whose task is known to route the network data from different applications.
  • the structure of the data packet generator 42 depends on the above-mentioned specification of the communication protocol for the Car2X network 1.
  • the generated data packets 43 are modulated onto the Car2X signal 18 in a modulation device 44 and sent wirelessly in the Car2X network 1.
  • the modulation device 44 therefore corresponds to an interface layer whose task is to connect the accident vehicle 8 physically to the Car2X network 1.
  • the structure of the modulation device 44 is also dependent on the above-mentioned specification of the communication protocol for the Car2X network 1.
  • the Car2X signal 18 sent from the accident vehicle 8 can then be received via the Car2X antenna 19.
  • the Car2X transceiver 16 of the vehicle 3 has a demodulation device 45, which reverses the transmitter-side modulation of the data packets 43 in a manner known per se. Accordingly, a message extraction device 46 can extract the Car2X messages 17 from the data packets 43 and make them available to the applications in the vehicle 3, such as the navigation system 13 or the setting device 33.
  • the demodulator 45 and the message extractor 46 are the receiving-side counterparts corresponding to the above-mentioned network and transport layer and the interface layer, and are also dependent on the above-mentioned specification of the communication protocol for the Car2X network 1. For details of the individual network layers, reference is therefore made to the relevant specifications.
  • the vehicles 3, 8 participating in the Car2X network 1 are transparent to all subscriber nodes in the Car2X network 1. However, if the driver of one of the vehicles 3, 8 does not want certain data to be transmitted, then in principle he only has the option of disconnecting his vehicle 3 from the Car2X network 1. Separation from the Car2X network, however, could limit, if not completely block, the function of the HAF application 24. To figure 4
  • the present embodiment attacks with the pre ⁇ impact, for the individual sensors 11, 20, 21 and apply fertilize 16, 24, 25 in the vehicle 3 of FIG. 2 so-called privacy box 49 to create, on the data exchange within of the vehicle 3 between the individual components and also the data exchange via the Car2X network is regulated. This will be explained below with reference to FIG. 4.
  • FIG. 4 shows a communication system 100 comprising a plurality of data sources, which are designed as sensors 11, 20, 21, and a plurality of signal processing devices 24, 25, 39, which are designed as applications.
  • privacy box 49 is an access control and communication interface. This can for example be equipped with a persistent data storage in which the defined access rules or privacy settings are stored encrypted.
  • Privacy Box will be used for the sake of simplicity.
  • the reaction is generally carried out by output data from the individual applications 24, 25, 39 which is intervened either in the actuators of the vehicle 3 and / or with which other applications of the vehicle 3 can be controlled.
  • applications are indicated by lying on the side of squares.
  • Further examples of applications in the vehicle 3 may be a congestion assistant, a sign recognition, an automatic speed-over-charge debit fee, which automatically debits a due debit fee from the driver's account in the event of a speeding violation detected by the police.
  • the Car2X transceiver 16 can be regarded both as a sensor that detects a Car2X signal 18 in the Car2X network 1 and outputs the Car2X messages 17 as sensor data.
  • it can also be regarded as an application which responds to Car2X messages 17 generated in the vehicle 3 with the generation of the data packets 41 as output data and the transmission of the output data in the Car2X signal 18 in the Car2X network 1.
  • the output data from applications in other applications can continue to be used, as for example in the case of the aforementioned sign recognition. If the sign recognition outputs a detected road sign on the road in its output data, this output data can be used in the HAF application 24 of the control of the vehicle 3.
  • the aforementioned Privacy Box 49 now filters the data traffic between the sensors 11, 20, 21 and the applications 24, 25, 39 in the vehicle 3 with each other.
  • the user can, for example, specify which data can from the individual, connected to the PrivacyBox 49 sensors and applications forwarding destination or not or which applica ⁇ tions may access data from the sensors or not.
  • the forwarding is controlled with so-called access authorizations 50, which can be stored in a database 51 in a manner to be described.
  • access authorizations 50 can be stored in a database 51 in a manner to be described.
  • data could also be forwarded to sensors.
  • a scenario in which data from sensors and / or applications are only forwarded to other applications will be assumed below.
  • Access permissions 50 can basically be assigned in two different ways. On the one hand, the forwarding of data from a sensor 24, 25, 39 and / or an application 11, 20, 21 can be fundamentally rejected. From the perspective of the system, the respective sensor and / or the per ⁇ stays awhile application is actually switched off. On the other hand, the forwarding of data can also be allowed to be dedicated, so that the forwarding of data within the vehicle 3 and / or within the Car2X network 1 is permitted only to specific applications in the vehicle 3.
  • the privacy box can also include an ID Case ⁇ onsberecht Trent, which can be set whether on Privacy Box forwarded data is at least partially anony ⁇ mized or not.
  • a driver can in principle agree to forwarding his speed from a speed sensor of the vehicle 3, not visible in FIG. 2, to the HAF application 24, for example. However, it may specifically block the forwarding of the speed as data to the automatic speed-violation-debit charge application. This shows the basic potential PrivacyBox 49, because the driver would be forced to completely switch off the speed sensor of the vehicle 3, so that so that the HAF application 24 would no longer work.
  • the driver of the vehicle 3 could also want to make an anonymous journey with the vehicle 3.
  • he can basically issue the forwarding of his geographical position 12 as data from the GNSS receiver 11.
  • the PrivacyBox 49 then prevents forwarding.
  • the message generator 39 which requires the geographical location 12 to generate Car2X messages 38, or the navigation system, the geographic location 12 for Representation needed on a map.
  • the second example mentioned is easy to implement in the PrivacyBox 49 by basically blocking the data of the respective sensors and / or applications.
  • the first example is the main application case, which must also be regulated when data or reactions containing signals at a subscriber node in the Car2X network 2, such as a another vehicle 8, 9 or another backend 52, such as a data server to be routed dedicated.
  • the data server 52 can be, for example, a server running various applications, such as a map update application 53, via which the navigation system 13 can retrieve updated map data 54.
  • Another application would be a Protokollupdateapplikati ⁇ on 55, with the update data 56 of the Car2X transceiver 16 may update its network protocol in the vehicle. 3
  • There may be numerous other update applications 57 which will not be discussed further below.
  • the vehicle 3 can transmit the access authorizations 50 together with the corresponding data to be forwarded in a dedicated manner.
  • a separate database 51 could be performed in the backend 52 which should be synchronized with the database 51 in the vehicle 3. In this way, the traffic for exchanging the access authorizations 50 could be reduced.
  • the data can then be deleted.
  • FIGS. 5 to 7 a are illustrated in Fig. 4 at ⁇ interpreted user interface 63 with which the access permissions can be set fundamentally.
  • the user interface 63 comprises various buttons 59 on which luminous indicators 60 are arranged.
  • an access authorization 50 can be set or deleted for the data from a specific application of the vehicle 3 or a specific sensor of the vehicle 3.
  • a light indicator 60 is present on each key, which indicates whether or not an access authorization 50 is set for the data of a sensor or an application.
  • a green or black light indicator 60 stands for an access authorization 50 to the data, while a red or dashed light indicator 60 stands for the fact that the data is not released.
  • buttons 59 for applications in a first area 61 and the buttons for sensors in a second area 62 of the user interface 58 can be arranged.
  • the luminous indicator 60 can be provided with a third signal state, which is shown in yellow in FIG.
  • FIG. 7 illustrates, for example, a state in which no access authorization 50 has been assigned to the data of the GNSS receiver 11.
  • the HAF application 24 no longer works because the geographic ⁇ 12 position is essential for the function of the HAF application.
  • the light indicator 60 is also set to red or dashed, because a non-functioning application can be equated with an application to which there is no access. In both cases, no data from this application or functions is available for this application.
  • the same state can be indicated for the message generation device 39, which can not generate Car2X messages 17 without the geographic position 12. Under certain circumstances, an affected application may still be partially available, such as the navigation system, which may still show map data, but not the geographical location 12 of the vehicle 3 therein.
  • the described Car2X network 1 is just one example of a network.
  • the vehicle 3 can be connected to other networks, such as to be connected to any mobile radio network ⁇ .
  • a user of a vehicle has a possibility of directly influencing the data sent by a communication system 100 from a vehicle, whereby the user can himself determine a desired degree of anonymization of, in particular, personal information.
  • the selection is carried out by means of man-machine interface 105, such as a switch in the vehicle or on the vehicle key or by appropriate setting in a vehicle menu.
  • FIG. 8 a) shows a schematic diagram of an exemplary embodiment of the communication system 100 according to the invention, in which by means of anonymizing means 102, anonymization of the data to be transmitted by the vehicle, relative to the data flow, immediately before the central network access node
  • gateway 104 serves as an interface between access node 103 and human Machine interface 105.
  • a gateway represents an interface between different communication networks of the vehicle, whereby different network protocols may be used.
  • gateway 104 preferably part of a vehicle communication system, such as a CAN network (not shown).
  • gateway 104 can be a communication, such as with man-machine-interface site 105, thus take place by means of the driving ⁇ generating communication system.
  • an independent means of communication oriented essentially solely for this purpose may be provided for realizing the invention, which in particular limits the possibility of external access (direct and remote) to the functionality of the anonymization.
  • the function according to the invention can be achieved both by a control unit provided for this purpose and / or as an additional implementation of the function of supply.
  • node 103 executing device and / or gateway 104 are made.
  • a first operating mode is a partially Anony ⁇ mtechnik the data to be transmitted, wherein a data exchange is possible, for example, with a backend server of a service provider and / or security operator, but no private data is sent.
  • An exception may preferably form data which serve to authenticate the network subscribers, eg of the vehicle or service provider.
  • a definition of which data is considered private can be carried out in particular by a user of the vehicle and / or by manufacturer specifications.
  • This anonymization stage is a trip from a cash-in-transit vehicle, which does not locate it, but still provides up-to-date traffic services, such as a car. Traffic jam messages should come from a back-end server.
  • a second mode of operation allows as complete as possible anonymization.
  • Access node 103 does not send any data, but can still receive it.
  • HSM Hardware Security Module
  • SHE Secure Hardware Extension
  • TPM Trusted Platform Module
  • CTPM Cloud Trusted Platform Module

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Traffic Control Systems (AREA)
  • Communication Control (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Leiten von Daten (12, 35, 36) in einem Fahrzeug zwischen einer Datenquelle (11, 20, 21) und einer Signalverarbeitungseinrichtung (24, 25, 39) zur Verarbeitung der Daten (12, 35, 36), umfassend: - Empfangen (49) der Daten (12, 35, 36) aus der Datenquelle (11, 20, 21), - Weiterleiten (49) der Daten (12, 35, 36) an die Signalverarbeitungseinrichtung (24, 25, 39) in Abhängigkeit einer Zugriffsberechtigung (50), die definiert, ob die Daten (12, 35, 36) an die Signalverarbeitungseinrichtung (24, 25, 39) weitergeleitet werden dürfen.

Description

Einstellung des Datenschutzes im Fahrzeug
Die Erfindung betrifft ein Verfahren zum Leiten von Daten in einem Fahrzeug zwischen einer Datenquelle und einer Signalverar- beitungseinrichtung, eine Steuervorrichtung zur Durchführung des Verfahrens und ein Fahrzeug mit der Steuervorrichtung.
Aus der DE 10 2012 112 442 AI ist HAF genanntes hochautoma¬ tisiertes Fahren mit einem Fahrzeug bekannt. Hier werden unter anderem Daten verwendet, die aus einem Car2X-Netzwerk gennannten Fahrzeug-Ad-Hoc-Netzwerk gewonnen werden, das beispielsweise aus der WO 2010 / 139 526 AI bekannt ist.
Es ist Aufgabe die Nutzung des hochautomatisierten Fahrens zu verbessern. Ferner ist es Aufgabe der Erfindung ist es, eine Möglichkeit aufzuzeigen, womit der Datenschutz bei Benutzung vernetzter Fahrzeuge verbessert werden kann.
Die Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Bevorzugte Weiterbildungen sind Gegenstand der ab¬ hängigen Ansprüche.
Gemäß einem ersten Aspekt der Erfindung umfasst ein Verfahren zum Leiten von Daten in einem Fahrzeug zwischen einer Datenquelle und einer Signalverarbeitungseinrichtung zur Verarbeitung der Daten die Schritte
Empfangen der Daten aus der Datenquelle,
Weiterleiten der Daten an die Signalverarbeitungseinrichtung in Abhängigkeit einer Zugriffsberechtigung, die de- finiert, ob die Daten an die Signalverarbeitungseinrichtung weitergeleitet werden dürfen.
Dem angegebenen Verfahren liegt die Überlegung zugrunde, dass das eingangs genannte hochautomatisierte Fahren technisch am besten in dem eingangs genannten Fahrzeug-Ad-Hoc-Netzwerk realisierbar ist, weil das hochautomatisierte Fahren mit einem hohen Maß an Gefahrensicherheit realisiert werden muss. In dem Fahr¬ zeug-Ad-Hoc-Netzwerk können die Fahrzeuge eine weitgehend ständig vernetzte Gemeinschaft bilden und sich gegenseitig oder über ein Backend bezüglich ihrer Daten aus Sensoren oder aus Applikationen beispielsweise zur Objekterkennung austauschen. Der Austausch der Daten, die grundsätzlich sowohl analog als Signale als auch digital in Form von Datenpaketen übertragen werden können, berührt jedoch auch den Datenschutz. Es wird daher mit dem angegebenen Verfahren vorgeschlagen, dem Nutzer eines Fahrzeugs grundsätzlich eine Entscheidungsmöglichkeit einzu¬ räumen, mit der er seine persönlichen Datenschutzinteressen einerseits und den Einfluss seiner Datenschutzinteressen auf das Fahrzeug andererseits kontrollieren kann.
Hierzu wird im Rahmen des angegebenen Verfahrens eine Zu¬ griffsberechtigung eingeführt, die beim Übertragen von Daten zwischen einer Datenquelle, wie Sensor oder einer Applikation und einer die Daten verarbeitenden Signalverarbeitungseinrichtung, wie einer Applikation, überprüft, ob die Signalverarbei¬ tungseinrichtung zum Empfang der Daten vom Benutzer als berechtigt freigegeben wurde. Die Zugriffsberechtigung erlaubt es dem Benutzer, wie beispielsweise dem Fahrer des Fahrzeuges, sein Datenschutzbedürfnis und seinen gewünschten Funktionsumfang im Fahrzeug individuell aufeinander abzustimmen.
In einer Weiterbildung des angegebenen Verfahrens kann die Zugriffsberechtigung dabei aus einer Datenbank abgerufen werden.
In einer anderen Weiterbildung des angegebenen Verfahrens sind die Datenquelle und die Signalverarbeitungseinrichtung über eine Netzwerkverbindung getrennt. Das angegebene Verfahren sollte in diesem Zusammenhang wie eine Art gesichertes Netzwerk angewendet ^
werden. Hierbei können zwar alle Daten in das gesicherte Netzwerk eintreten, aber es wird sichergestellt, dass die Daten aus dem Netzwerk wieder herauskommen, die auch wirklich zur Verarbeitung freigegeben sind. Ferner wird durch das angegebene Verfahren aber auch sichergestellt, dass die aus dem gesicherten Netzwerk wieder herauskommenden Daten tatsächlich nur für die Zwecke eingesetzt werden, für die der Benutzer die Daten auch freigegeben hat.
Dabei können die Zugriffsberechtigungen an beiden Endpunkten des Netzwerkes ausgewertet werden. Auf diese Weise können die Daten ungefiltert über das Netzwerk übertragen werden, so dass auch netzwerkendseitig eine individuelle Filterung der Daten möglich ist. Dazu könnte die Zugriffsberechtigung zusammen mit den Daten übertragen werden.
Alternativ oder zusätzlich können die Zugriffsberechtigungen aber auch in mehreren, im Netzwerk verteilten Datenbanken hinterlegt werden, wobei dann sichergestellt werden sollte, dass die Zugriffsberechtigungen in den Datenbanken untereinander synchronisiert werden.
Zur Steigerung der Sicherheit umfasst das angegebene Verfahren in einer besonderen Weiterbildung den Schritt Löschen der Daten nach dem Weiterleiten in Abhängigkeit der Zugriffsberechtigung.
Gemäß einem zweiten Aspekt der Erfindung ist eine Steuervorrichtung eingerichtet, ein Verfahren nach einem der vorstehenden Ansprüche durchzuführen. In einer Weiterbildung der angegebenen Steuervorrichtung weist die angegebene Steuervorrichtung einen Speicher und einen Prozessor auf. Dabei ist das angegebene Verfahren in Form eines Computerprogramms in dem Speicher hinterlegt und der Prozessor zur Ausführung des Verfahrens vorgesehen, wenn das Computerprogramm aus dem Speicher in den Prozessor geladen ist.
Gemäß einem dritten Aspekt der Erfindung umfasst ein Compu- terprogramm Programmcodemittel, um alle Schritte eines der angegebenen Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer oder einer der angegebenen Steuervorrichtungen ausgeführt wird. Gemäß einem vierten Aspekt der Erfindung enthält ein Computerprogrammprodukt einen Programmcode, der auf einem compu¬ terlesbaren Datenträger gespeichert ist und der, wenn er auf einer Datenverarbeitungseinrichtung ausgeführt wird, eines der angegebenen Verfahren durchführt.
In einer Weiterbildung umfasst die angegebene Steuervorrichtung eine Benutzerschnittstelle zum Empfang der Zugriffsberechti¬ gung. Auf diese Weise kann die Zugriffsberechtigung durch den Benutzer in einfacher Weise vorgegeben und auch im Nachhinein geändert werden.
Dabei kann die oben genannte Datenbank in einer besonderen Weiterbildung der angegebenen Steuervorrichtung Teil der Steuervorrichtung sein.
In einer besonders bevorzugten Weiterbildung umfasst die angegebene Steuervorrichtung eine Prüfeinrichtung zum Prüfen einer Notwendigkeit der Daten zum Betrieb der Signalverarbeitungs¬ einrichtung, wobei die Notwendigkeit der Daten zum Betrieb der Signalverarbeitungseinrichtung auf der Benutzerschnittstelle darstellbar ist. Auf diese Weise kann der Benutzer unmittelbar sehen, welchen Einfluss seine Einstellungen und vergebenen Zugriffsberechtigungen auf das Fahrzeug haben, was Ihn bei der Abstimmung der Datensicherheit gegenüber seinem gewünschten Funktionsumfang im Fahrzeug unterstützt.
Gemäß einem fünften Aspekt der Erfindung umfasst ein Fahrzeug einen der angegebenen Steuervorrichtungen.
Sechster Aspekt der Erfindung
Die Aufgabe wird gemäß eines sechsten Aspektes der Erfindung gelöst mit einem Verfahren zur Übermittlung von Daten zwischen einem-Kraftfahrzeug, welches zumindest einen Da¬ ten-Zugangsknoten umfasst, und wenigstens einer fahrzeugex¬ ternen Endstelle, wobei die von dem Kraftfahrzeug zu sendende Daten zumindest teilweise anonymisiert werden.
Besonders vorteilhaft sind Kombinationen aus den zur Anony¬ misierung der Daten genannten Verfahren mit den vorgenannten Verfahren zur Regelung der Zugriffsberechtigung. Besonders vorteilhafte Kombinationen sind unter weiteren Aspekten der Erfindung abgedeckt.
Anonymisierte Daten sind dabei Daten, welche in der Weise verändert sind, dass im Wesentlichen keine (ggf. lediglich mit erheblichem Aufwand) oder nur in begrenztem Maße Rückschlüsse auf insbesondere personen- und/oder fahrzeugbezogene Informationen möglich sind. Vorteilhafterweise kann der Datenschutz bei Benutzung vernetzter Fahrzeuge somit wesentlich verbessert werden . Gemäß einer bevorzugten Ausführungsform der Erfindung erfolgt die Anonymisierung, bezogen auf einen Datenfluss des Kommunikationssystems, zwischen dem Daten-Zugangsknoten und einer letzten Endstelle fahrzeuginterner Daten. Ein Vorteil der dadurch erzielt wird ist, dass eine möglichst umfangreiche Anonymisierung der Daten realisiert und die Gefahr eines Fremdzugriffs auf Daten vermindert wird.
Bevorzugt sind zumindest zwei Betriebsmodi vorgesehen, wobei in einem ersten Betriebsmodus eine teilweise Anonymisierung erfolgt und in einem zweiten Betriebsmodus eine im Wesentlichen vollständige Anonymisierung der zu sendenden Daten vorgenommen wird. In dem ersten Betriebsmodus werden fahrzeugseitig, insbesondere abgesehen von Authentifizierungsdaten, bevorzugt im Wesentlichen keine privaten Daten und in dem zweiten Betriebsmodus keine Daten gesendet. Private Daten sind bevorzugt Daten welche insbesondere durch einen Nutzer des Fahrzeugs, den Fahrzeughalter und/oder Fahrzeughersteller vorher als solche definiert wurden. Dies können beispielsweise Daten sein, welche unmittelbar einen Rückschluss auf den oder die Nutzer des Fahrzeugs zulassen würden. Gemäß einem dritten Betriebsmodus wird bevorzugt keine Anonymisierung vorgenommen und erfolgt ein im Wesentlichen freier Austausch von Daten. Bevorzugt erfolgt zumindest in dem ersten und in dem zweiten Betriebsmodus ein Empfang von Daten. Dadurch ist es in vorteilhafter Weise möglich weiterhin Informationen, wie beispielsweise über Verkehrsmeldungen, zu erhalten. Eine Auswahl des jeweiligen Betriebsmodus wird vorzugsweise mittels wenigstens einer Mensch-Maschine-Schnitt-iStelle vor¬ genommen. Nutzer eines Fahrzeugs können in vorteilhafter Weise somit Einfluss darauf nehmen, welche insbesondere personen- und/oder fahrzeugbezogenen Informationen vom Fahrzeug gesendet werden dürfen. Damit lässt sich auch die Privatsphäre im Rahmen personenindividueller Auffassung anpassen und die Akzeptanz von Fahrzeugkommunikation, beispielsweise von Internet-Diensten, Backend-Servern und/oder Fahrzeug-zu-X Kommunikation, kann unter Umständen erhöht werden. Entsprechend einer bevorzugten Ausführungsform der Erfindung ist unabhängig von dem jeweiligen Betriebsmodus, im Falle des Auslösens eines Fahrzeug-NotrufSystems (eCall) , ein Senden entsprechend notwendiger Daten möglich. In vorteilhafter Weise werden sicherheitsrelevante Maßnahmen somit nicht blockiert.
Weiterhin beschreibt die Erfindung ein Kommunikationssystem eines Kraftfahrzeugs, welches zur Übermittlung von Daten zwischen dem Kraftfahrzeug und wenigstens einer fahrzeugexternen Endstelle geeignet ist und zumindest einen Daten-Zugangsknoten umfasst, wobei wenigstens ein Anonymisierungsmittel vorgesehen ist, welches derart ausgestaltet ist, dass von dem Kraftfahrzeug zu sendende Daten zumindest teilweise anonymisiert werden. Bevorzugt handelt es sich bei dem Daten-Zugangsknoten um eine Fahrzeugantenne.
Gemäß einer bevorzugten Ausführungsform des Kommunikationssystems sind zumindest zwei Betriebsmodi vorgesehen, wobei diese in der Weise ausgestaltet sind, dass in einem ersten Be- triebsmodus eine teilweise und in einem zweiten Betriebsmodus eine im Wesentlichen vollständige Anonymisierung der zu sendenden Daten erfolgt.
Das Anonymisierungsmittel ist, bezogen auf einen Datenfluss des Kommunikationssystems, besonders bevorzugt zwischen dem Da¬ ten-Zugangsknoten und einem letzten fahrzeuginternen Datenknoten vor dem Daten-Zugangsknoten angeordnet.
Vorzugsweise ist wenigstens eine Mensch-Maschine-Schnitt-stelle zur Auswahl des jeweiligen Betriebsmodus vorgesehen.
Gemäß einer bevorzugten Ausführungsform ist ein Umschalten zwischen den Anonymisierungsstufen und/oder ein Einschalten oder Ausschalten der Anonymisierung mittels der
Mensch-Maschine-Schnittstelle (HMI), insbesondere mittels zumindest einem Fahrzeugschlüssel und/oder Umschalter, vorgesehen .
Besonders bevorzugt ist das Kommunikationssystem in der Weise ausgestaltet, dass dieses das erfindungsgemäße Verfahren ausführt .
Die Erfindung beschreibt weiterhin einen Daten-Zugangsknoten, insbesondere eine Kraftfahrzeugantenne, zur Übermittlung von Daten zwischen einem Kraftfahrzeug und wenigstens einer fahrzeugexternen Endstelle, welcher ausgestaltet ist das er¬ findungsgemäße Verfahren auszuführen.
Siebter Aspekt der Erfindung
Die Aufgabe wird ferner gelöst gemäß einem siebten Aspekt der Erfindung betreffend ein Verfahren zum Leiten von Daten in einem Fahrzeug,
wobei Daten in einem Fahrzeug zwischen einer Datenquelle und mindestens einer Signalverarbeitungseinrichtung zur Verarbeitung der Daten geleitet werden, umfassend:
Empfangen der Daten aus der Datenquelle mittels einer Zugriffsregel- und Kommunikationsschnittstelle
Weiterleiten der Daten an die Signalverarbeitungsein- richtung in Abhängigkeit einer in der Zugriffsregel- und
Kommunikationsschnittstelle hinterlegten Zugriffsbe¬ rechtigung, die definiert, ob die Daten an die Signal¬ verarbeitungseinrichtung weitergeleitet werden dürfen, wobei die zu verarbeiteten Daten mittels der Zugriffsregel- und Kommunikationsschnittstelle zumindest teilweise anonymisiert werden .
Die Erfindung beruht dabei auf der Erkenntnis, dass zusätzlich zu einer Einführung einer Zugriffsberechtigungskontrolle eine _
y
Anonymisierung der Daten dem Fahrer gegenüber den Vorteil bietet die vollständige Funktionsfähigkeit der Signalverarbeitungs¬ einrichtungen aufrecht halten zu können und gleichzeitig seine Privatsphäre wahren zu können.
Gemäß einer bevorzugten Ausführungsform der Erfindung wird das Verfahren durch die Schritte weitergebildet:
Empfangen von verarbeiteten Daten von der Signalverarbeitungseinrichtung mittels der Zugriffsregel- und Kom- munikationsschnittstelle, und
Weiterleiten der verarbeiteten Daten an eine externe Endstelle. Die Anonymisierung kann auf diese Weise auf die an externe Endstellen weitergeleitete Daten eingeschränkt werden .
Auf diese Weise bleibt die Privatsphäre gegenüber dritten gewahrt und gleichzeitig kann die fahrzeuginterne Weiterleitung von Daten zumindest aus funktionaler Sicht weitestgehend unberührt bleiben . Gemäß einer bevorzugten Ausführungsform der Erfindung wird das Verfahren dadurch weitergebildet, dass der Austausch von Daten zwischen der Datenquelle, der Signalverarbeitungseinrichtung sowie zwischen der Signalverarbeitungseinrichtung und der Endstelle ausschließlich über die Zugriffsregel- und Kommu- nikationsschnittstelle erfolgt. Auf diese Weise können Umge¬ hungen des Sicherheitskonzeptes erschwert werden.
Gemäß einer bevorzugten Ausführungsform der Erfindung wird das Verfahren dadurch weitergebildet, wobei zumindest zwei Be- triebsmodi vorgesehen sind, wobei in einem ersten Betriebsmodus eine teilweise Anonymisierung erfolgt und in einem zweiten Betriebsmodus eine im Wesentlichen vollständige Anonymisierung der zu sendenden Daten vorgenommen wird. Auf diese Weise wird eine flexiblere Einstellbarkeit des Datenzugriffs ermöglicht. 1
Gemäß einer bevorzugten Ausführungsform der Erfindung wird das Verfahren dadurch weitergebildet, dass der zu verwendende Betriebsmodus in Abhängigkeit der Endstelle ausgewählt wird. Viele Komfortfunktionen eines Fahrzeugs können auf diese Weise realisiert werden ohne auf die Privatsphäre verzichten zu müssen.
Gemäß einer bevorzugten Ausführungsform der Erfindung wird das Verfahren dadurch weitergebildet, dass die Zugriffsregel- und Kommunikationsschnittstelle ein weiterleiten von Kombinationen aus mehreren Daten der Datenquelle an eine jeweilige Signal¬ verarbeitungseinrichtung nur teilweise zulässt oder unterbindet. Die Anonymisierung von Daten kann auf diese Weise einfach realisiert werden, indem solche Kombinationen von Daten, die einen Rückschluss auf persönliche Profile ermöglichen, un¬ terbunden werden. Solche Kombinationen könnten beispielsweise Geschwindigkeit des Fahrzeugs und dessen Position sein, aus der ein genaues Bewegungsprofil erstellbar ist. Für einige Sig¬ nalverarbeitungseinrichtungen ist es denkbar, dass zum Ausführern ihrer Funktion nur Teile der Daten obligatorisch sind, so dass in solchem Falle so wenig Daten wie möglich übermittelt werden .
Die Aufgabe wird ferner gelöst mittels eines achten Aspektes der Erfindung betreffend ein System zum Leiten von Daten in einem Fahrzeug, aufweisend
eine Datenquelle zum Empfangen und Generieren von Fahrzeugdaten,
mindestens eine Signalverarbeitungseinrichtung zur Verarbeitung der Daten,
- eine Zugriffsregel- und Kommunikationsschnittstelle um¬ fassend,
wobei die Datenquelle und die Signalverarbeitungseinrichtung mittels der Zugriffsregel- und Kommunikationsschnittstelle gekoppelt sind und ein weiterleiten der Daten an die Signal- Verarbeitungseinrichtung oder an eine externe Endstelle nur in Abhängigkeit einer an der Schnittstelle hinterlegten Zu¬ griffsberechtigung erfolgt, die definiert, ob die Daten an die Signalverarbeitungseinrichtung weitergeleitet werden dürfen.
Gemäß einer bevorzugten Ausführungsform der Erfindung wird das System dadurch weitergebildet, dass an der Schnittstelle ferner eine Identifizierungsberechtigung hinterlegt ist, wobei die Identifizierungsberechtigung zumindest zwei Betriebsmodi vorgesehen sind, wobei in einem ersten Betriebsmodus eine teilweise Anonymisierung erfolgt und in einem zweiten Betriebsmodus eine im Wesentlichen vollständige Anonymisierung der zu sendenden Daten vorgenommen wird. Gemäß einer bevorzugten Ausführungsform der Erfindung wird das System dadurch weitergebildet, dass das Systeme eine Mensch Maschine Schnittstelle zum Einstellen der Zugriffsberechtigung und der Identifizierungsberechtigung aufweist. Gemäß einer bevorzugten Ausführungsform der Erfindung wird das System dadurch weitergebildet, dass die Datenquellen in einem Fahrzeug verbaute Sensoren sind und mittels der Mensch-Maschineschnittstelle eine fahrzeuginterne Verarbeitung der Sensordaten oder ein Weiterleiten der Sensordaten an eine externe Endstelle anhand der Einstellung der Zugriffsberechtigung und Identifizierungsberechtigung einstellbar ist.
Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden, wobei : Fig. 1 eine Prinzipdarstellung eines auf einer Straße fahrenden Fahrzeuges,
Fig. 2 eine Prinzipdarstellung des Fahrzeuges der Fig. 1,
Fig. 3 eine Prinzipdarstellung eines Fahr- zeug-Ad-Hoc-Netzwerkes , an dem das Fahrzeug der Fig. 1 und 2 teilnehmen kann, Fig. 4 eine Prinzipdarstellung eines Kommunikationssystems,
Fig. 5 eine Prinzipdarstellung einer Benutzerschnittstelle zur Definition von Zugriffsberechtigungen in dem Kommunikationssystem der Fig. 4 in einem ersten Zustand,
Fig. 6 eine Prinzipdarstellung einer Benutzerschnittstelle zur Definition von Zugriffsberechtigungen in dem Kommunikationssystem der Fig. 4 in einem ersten Zustand,
Fig. 7 eine Prinzipdarstellung einer Benutzerschnittstelle zur Definition von Zugriffsberechtigungen in dem Kommunikationssystem der Fig. 4 in einem ersten Zustand zeigen, und
Fig. 8 zwei bevorzugte Ausführungsbeispiele des sechsten
Aspektes der Erfindung mit unterschiedlichen Anonymisierungspositionen .
In den Figuren werden gleiche technische Elemente mit gleichen Bezugszeichen versehen und nur einmal beschrieben. Die Erfindung soll nachstehend innerhalb eines in Fig. 3 ge¬ zeigten Fahrzeug-Ad-Hoc-Netzwerkes näher erläutert werden, das nachstehend der Einfachheit halber Car2X-Netzwerk 1 genannt wird. Zur besseren Verständlichkeit des technischen Hinter- grundes zu diesem Car2X-Netzwerk 1 soll zunächst ein nicht einschränkendes Anwendungsbeispiel zu diesem Car2X-Netzwerk 1 gegeben werden, bevor auf technische Einzelheiten zu diesem näher eingegangen wird. Es wird daher auf Fig. 1 Bezug genommen, die eine Prinzipdarstellung eines auf einer Straße 2 fahrenden Fahrzeuges 3 zeigt.
In der vorliegenden Ausführung soll sich auf der Straße 2 eine Fußgängerüberführung 4 befinden, an der mittels einer Ampel 5 geregelt wird, ob das Fahrzeug 3 oder gegebenenfalls die Fahrzeuge 8 und/oder 9 auf der Straße 2 die Fußgängerüberführung 4 überqueren darf oder ein nicht weiter dargestellter Fußgänger auf der Fußgängerüberführung 4 die Straße 2. Zwischen der Fußgängerüberführung 4 und der Ampel 5 befindet sich im Rahmen der vorliegenden Ausführung ein Hindernis in Form einer Kurve 9, die die Fußgängerüberführung 4 dem Fahrer des Fahrzeuges 3 sowie einer noch zu beschreibenden Umfeldsensorik des Fahrzeuges 3 gegenüber verdeckt.
In einer Fahrtrichtung 7 vor dem Fahrzeug 3 ist in Fig. 1 ein weiteres Fahrzeug 8 dargestellt, das mit einem gepunktet dargestellten Fahrzeug 9 auf der Fußgängerüberführung 4 in einen Verkehrsunfall 10 verwickelt ist und die Fahrspur in Fahrt- richtung 7 des Fahrzeuges 3 blockiert.
Die Fußgängerüberführung 4 und der Verkehrsunfall 10 stellen Gefahrensituationen auf der Straße 2 dar. Übersieht der Fahrer des Fahrzeuges 3 die Fußgängerüberführung 4 und hält vor dieser damit regelwidrig nicht an, so könnte er einen die Fußgängerüberführung 4 überquerenden Fußgänger erfassen, der beim Überqueren der Fußgängerüberführung 4 auf das regelkonforme Verhalten des Fahrers des Fahrzeuges 3 vertraut. In beiden Gefahrensituationen muss der Fahrer des Fahrzeuges 3 das Fahrzeug 3 anhalten, um eine Kollision mit dem Gefahrenobjekt in der Gefahrensituation, also dem Fußgänger und/oder dem weiteren Fahrzeug 8 zu vermeiden. Hierzu kann das Car2X-Netzwerk 1 verwendet werden, worauf an späterer Stelle näher eingegangen wird.
Das Fahrzeug 3, wie in Figur 2 gezeigt, weist in der vorliegenden Ausführung einen Empfänger 11 für ein globales Satellitennavigationssystem, nachstehend GNSS-Empfänger 11 genannt auf, über den das Fahrzeug 3 in einer an sich bekannten Weise Positi¬ onsdaten in Form seiner absoluten geographischen Lage 12 bestimmen und beispielsweise im Rahmen eines Navigationssystems 13 nutzen kann, um diese auf einer nicht weiter dargestellten geographischen Karten anzuzeigen. Entsprechende Signale 14 des Globalen Satellitennavigationssystems, nachstehend
GNSS-Signale 14 genannt, können beispielsweise über eine entsprechende GNSS-Antenne 15 empfangen und in an sich bekannter Weise an den GNSS-Empfänger 11 weitergeleitet werden. Das Fahrzeug weist in der vorliegenden Ausführung ferner einen Transceiver 16 auf, über den das Fahrzeug 3 als Knoten am Car2X-Netzwerk 1 teilnehmen und mit anderen Knoten, wie beispielsweise dem weiteren Fahrzeug 8 und/oder der Ampel 5 nachstehend Car2X-Nachrichten 17 genannte Nachrichten aus- tauschen kann. Dieser Transceiver 16 soll zur Abgrenzung gegenüber dem GNSS-Empfänger 11 nachstehend Car2X-Transceiver 16 genannt werden. In den über das Car2X-Netzwerk 1 ausgetauschten Car2X-Nachrichten 17, können die einzelnen Knoten 3, 5, 8 untereinander verschiedene Informationen beschreibende Daten austauschen mit denen beispielsweise die Verkehrssicherheit auf der Straße 2 erhöht werden kann. Ein Beispiel für die Informationen, die mit den Daten in den Car2X-Nachrichten 17 ausgetauscht werden können, wäre die über den GNSS-Empfänger 11 bestimmte absolute geographische Lage 12 des jeweiligen Kno¬ tens 3, 5, 8 des Car2X-Netzwerkes 1. Derartige Daten können auch als Positionsdaten bezeichnet werden. Ist der die geographische Lage 12 empfangende Knoten 3, 5, 8 des Car2X-Netzwerkes 1 ein Fahrzeug, wie beispielsweise das nicht am Verkehrsunfall 10 beteiligte Fahrzeug 3 und das am Verkehrsunfall 10 beteiligte Fahrzeug 8 dann kann die über das Car2X-Netzwerk 1 empfangene geographische Lage 12 beispielsweise auf dem Navigationssys¬ tem 13 des empfangenden Fahrzeuges 3, 8 zur Darstellung beispielsweise der Verkehrsbewegung verwendet werden. Wird neben der absoluten geographischen Lage 12 auch der Verkehrsunfall 10 als Information mit den Daten in der Car2X-Nachricht 17 be- schrieben, so können bestimmte Verkehrssituationen, wie beispielsweise der Verkehrsunfall 10 auf Navigationssystem 13 konkreter dargestellt werden. Auf weitere mögliche mit den Car2X-Nachrichten 17 austauschbare Informationen wird später im Rahmen der Fig. 2 näher eingegangen.
Zum Austausch der Car2X-Nachrichten 17 moduliert der Car2X-Transceiver 16 entweder eine Car2X-Nachricht 17 auf ein nachstehend Car2X-Signal 18 genanntes Übertragungssignal und versendet es über eine nachstehend Car2X-Antenne 19 genannte Antenne an die anderen Knoten 3, 5, 8 im Car2X-Netzwerk 1 oder er empfängt über die Car2X-Antenne 19 ein Car2X-Signal 18 und filtert aus diesem die entsprechende Car2X-Nachricht 17 heraus. Darauf wird an späterer Stelle im Rahmen der Fig. 3 näher eingegangen. In Fig. 1 ist dabei dargestellt, dass der Car2X-Transciever 16 eine Car2X-Nachricht 17 an das Naviga¬ tionssystem 13 unter der Annahme ausgibt, dass diese in der oben beschriebenen Weise Informationen enthält, die auf diesem darstellbar sind. Das ist jedoch nicht einschränkend zu ver- stehen. Insbesondere kann zweckmäßigerweise auch der GNSS-Empfänger 11 direkt oder, wie in Fig. 2 gezeigt, indirekt mit dem Car2X-Transceiver 16 verbunden sein, um die eigene absolute geographische Lage 12 im Car2X-Netzwerk 1 zu versenden. Die Struktur der Car2X-Nachricht 17 sowie des Car2X-Signals 18 und damit der Aufbau des Car2X-Netzwerkes können in einem Kommunikationsprotokoll definiert werden. Es gibt bereits derartige Kommunikationsprotokolle länderspezifisch unter anderem im Rahmen der ETSI TC ITS bei ETSI in Europa und im Rahmen der IEEE 1609 bei IEEE sowie bei SAE in den Vereinigten Staaten von Amerika. Weitere Informationen hierzu lassen sich in den genannten Spezifikationen finden.
Das Fahrzeug 3 soll im Rahmen des vorliegenden Ausführungs- beispiels eine Funktion mit dem Namen hochautomatisiertes Fahren, nachstehend HAF-Funktion genannt besitzen. Hierfür ist an dem Fahrzeug 3 eine Vielzahl weiterer Sensoren, wie die oben genannte Umfeldsensorik in Form einer Kamera 20 und eines Radarsensors 21 vorhanden. Mit der Kamera 20 kann das Fahrzeug 3 innerhalb eines Bildwinkels 22 ein Bild einer Ansicht auf¬ nehmen, die in Fahrtrichtung 7 des Fahrzeuges 3 betrachtet vor dem Fahrzeug 3 liegt. Zudem kann das Fahrzeug 3 mit dem Ra¬ darsensor 21 und entsprechenden Radarstrahlen 23 in Fahrtrichtung 7 des Fahrzeuges 3 betrachtet Objekte erkennen und in einer an sich bekannten Weise den Abstand zum Fahrzeug 3 be¬ stimmen .
Um die HAF-Funktion zu konkretisieren, soll nachstehend zunächst auf den Aufbau des Fahrzeuges 3 beispielhaft anhand des Fahrzeuges 3 eingegangen werden. Neben dem Fahrzeug 3 können auch die anderen Fahrzeuge 8 und9 auf der Straße 2 in dieser Weise aufgebaut sein. Das Fahrzeug 3 besitzt verschiedene die Sen¬ sorsignale verarbeitende Applikationen, von denen in Fig. 2 eine HAF-Applikation 24 und eine an sich bekannte Fahrdynamikregelung 25 gezeigt ist. Während für die HAF-Applikation 24 auf die DE 10 2012 112 442 AI mit weiteren Nachweisen verwiesen wird, können der DE 10 2011 080 789 AI Details zur Fahrdynamikre¬ gelung 25 entnommen werden. Das Fahrzeug 3 umfasst ein Chassis 26 und vier Räder 27. Jedes Rad 27 kann über eine ortsfest am Chassis 26 befestigte Bremse 28 gegenüber dem Chassis 26 verlangsamt werden, um eine Bewegung des Fahrzeuges 3 auf der Straße 2 zu verlangsamen. Dabei kann es in einer dem Fachmann bekannten Weise passieren, dass die Räder 27 des Fahrzeugs 3 ihre Bodenhaftung verlieren und sich das Fahrzeug 3 sogar von einer durch ein noch zu beschreibendes Lenksignal 48 vorgegebenen Trajektorie durch Untersteuern oder Übersteuern wegbewegt. Dies wird durch die Fahrdynamikregelung 25 vermieden.
In der vorliegenden Ausführung weist das Fahrzeug 4 dafür Drehzahlsensoren 29 an den Rädern 27 auf, die eine Drehzahl 30 der Räder 27 erfassen.
Basierend auf den erfassten Drehzahlen 30 kann ein Regler 31 in einer dem Fachmann bekannten Weise bestimmen, ob das Fahrzeug 3 auf der Fahrbahn rutscht oder sogar von der oben genannten vorgegebenen Trajektorie abweicht und entsprechend mit einem an sich bekannten Reglerausgangssignal 32 darauf reagieren. Das Reglerausgangssignal 32 kann dann von einer Stelleinrichtung 33 verwendet werden, um mittels Stellsignalen 34 Stellglieder, wie die Elektromotoren 28 anzusteuern, die auf das Rutschen und die Abweichung von der vorgegebenen Trajektorie in an sich bekannter Weise beispielsweise im Rahmen des Torque-Vectoring reagieren.
Der HAF-Applikation 24 kann über die Kamera 20 erfasste Bilddaten 35 und über den Radarsensor 21 erfasste Abstandsdaten 36 zu Objekten wie Fahrzeugen in Fahrtrichtung 7 vor dem Fahrzeug 3, Spurstreifen auf der Straße 2 und so weiter auswerten und basierend darauf die Situationen auf der Straße 2 erfassen. Dabei soll die HAF-Applikation 24 durch die Ausgabe von Steuersignalen in das Fahrzeug 3 eingreifen und seine Bewegung auf der Straße derart regeln, dass es innerhalb der zuvor genannten Spurstreifen auf der Straße 2 fährt, Hindernissen wie dem Unfall 10 in sicherheitskonformer Weise ausweicht oder an nicht gezeigten Kreuzungen anhält. Zu den zuvor genannten Steuersignalen zählt beispielsweise ein Antriebssignal 37 mit dem die Elektromotoren 28 zum Vortrieb des Fahrzeuges 3 in Fahrtrichtung angetrieben werden, das Lenksignal 48, um das Fahrzeug 3 auf der Spur der Straße 2 zu halten und/oder Hindernissen, wie dem Unfall 10 auszuweichen sowie ein nicht gezeigtes Bremssignal, um eine nicht gezeigte Bremsanlage des Fahrzeuges 3 zum Abbremsen des Fahrzeuges 3 anzusteuern. Darüber hinaus können in der HAF-Applikation 24 auch die zuvor genannten Car2X-Botschaften 17 ausgewertet werden, die weitere wertvolle Informationen zur Steuerung des Fahrzeuges 3 auf der Straße 2 liefern.
Anders herum kann jedes Mal, die Fahrdynamikregelung 25 über die Stelleinrichtung 33 in das Fahrzeug 4 eingreift, beispielsweise die Stelleinrichtung 33 ein in Fig. 2 gepunktet dargestelltes Berichtssignal 38 ausgeben. Ein derartiges Berichtssignal 38 kann von einer beliebigen Instanz im Fahrzeug 3, also beispielsweise auch vom Regler 31 der Fahrdynamikregelung 25 erzeugt werden . Eine Nachrichtenerzeugungseinrichtung 39 könnte dann basierend auf dem Berichtssignal 38, der absoluten geo- graphischen Lage 12 und einem in Fig.3 gezeigten aus einem Zeitgeber 40 ausgegebenen Zeitstempel 41 eine
Car2X-Nachricht 17 erzeugen, mit der der Eingriff der Fahrdynamikregelung 25 als Information über das Car2X-Netzwerk 1 den anderen Knoten 5, 8 berichtet werden kann. Die so erzeugte Car2X-Nachricht 17 könnte dann über die Car2X-Antenne 19 im Car2X-Netzwerk 1 versendet werden.
Es wird an dieser Stelle noch einmal darauf verwiesen, dass die in den Car2X-Nachrichten 17 ausgetauschten Information über die absolute geographische Lage 12 der einzelnen Knoten 3, 5, 8 und/oder über Ereignisse wie der Verkehrsunfall 10 und/oder wie ein Eingriff der Fahrdynamikregelung 25 auf dem Navigationssystem 13 wie bereits in Fig. 1 ausgeführt auch zu anderen Zwecken verwendet werden können. Beispielsweise könnten sie zur Orientierung des Fahrers dargestellt werden oder beispielsweise im Rahmen von Verkehrskontrollen durch die Polizei ausgewertet werden, die dann ein nicht regelkonformes durch den Fahrer des Fahrzeuges 3 feststellen kann. Die in den Car2X-Nachrichten 17 versendeten Informationen sind daher grundsätzlich für jedermann zugänglich, auch wenn es sich um Informationen handelt, die der Fahrer des Fahrzeuges 3 eigentlich nicht mit anderen Verkehrsteilnehmern oder anderen potentiellen Empfängern teilen möchte. Darauf wird an späterer Stelle näher eingegangen.
Nachstehend soll anhand der Fig. 3 die Übertragung einer Car2X-Nachricht 17 über das Car2X-Netzwerk 1 erläutert werden, das in Fig. 3 der Übersichtlichkeit halber mit einer Wolke angedeutet ist. Als Inhalt der Car2X-Nachricht 17 kann bei- spielsweise eine Auslösung eines Insassenschutzmittels, wie beispielsweise ein Airbag im am Verkehrsunfall 10 beteiligten Unfall-Fahrzeug 8 angenommen werden.
Wie bereits erläutert kann die Nachrichtenerzeugungseinrichtung 39 basierend auf dem Berichtssignal 38, der absoluten 2
geographischen Lage 12 und dem Zeitstempel 41 die Car2X-Nachricht 17 gemäß dem oben erwähnten Kommunikations¬ protokoll erzeugen. Grundsätzlich können in einer Car2X-Nachricht 17 jedoch beliebige Signale und damit Daten aus dem Fahrzeug 2 berichtet werden, wobei der oben genannte Standard das Format vorgibt, wie diese Signale und damit Daten berichtet werden. Die Nachrichtenerzeugungseinrichtung 39 kann dabei prinzipiell auch Teil des Car2X-Transceivers 16 sein.
Aus der Car2X-Nachricht 17 werden in dem Car2X-Transceiver 16 des Unfall-Fahrzeuges 8 in einer Datenpaketerzeugungsein- richtung 42 Datenpakete 43 erzeugt. Durch das Erzeugen von Datenpaketen 43 können Car2X-Nachrichten 17 aus verschiedenen Anwendungen in dem Unfall-Fahrzeug 8 zu einem einzigen Datenstrom zusammengefasst werden, um das Car2X-Signal 18 zu erzeugen. Die Datenpaketerzeugungseinrichtung 42 entspricht daher einer Netzwerk- und Transportschicht (eng. network and transport layer) , deren Aufgabe es bekanntlich ist die Netzwerkdaten aus verschiedenen Anwendungen zu routen. Der Aufbau der Datenpaketerzeugungseinrichtung 42 ist von der oben genannten Spezifikation des Kommunikationsprotokolls für das Car2X-Netzwerk 1 abhängig.
Die generierten Datenpakete 43 werden in einer Modulations- einrichtung 44 auf das Car2X-Signal 18 aufmoduliert und im Car2X-Netzwerk 1 drahtlos versendet. Die Modulationseinrichtung 44 entspricht daher einer Schnittstellenschicht, deren Aufgabe es ist, das Unfall-Fahrzeug 8 physikalisch an das Car2X-Netzwerk 1 anzubinden. Auch der Aufbau der Modulati- onseinrichtung 44 ist von der oben genannten Spezifikation des Kommunikationsprotokolls für das Car2X-Netzwerk 1 abhängig. Auf Seiten des nicht am Verkehrsunfall 10 beteiligten Fahr¬ zeuges 3 kann das vom Unfall-Fahrzeug 8 versendete Car2X-Signal 18 dann über die Car2X-Antenne 19 empfangen werden . Um die Car2X-Nachricht 17 aus dem Car2X-Signal 18 zu extrahieren weist der Car2X-Transceiver 16 des Fahrzeuges 3 eine Demodu- lationseinrichtung 45 auf, die die senderseitige Modulation der Datenpakete 43 in an sich bekannter Weise rückgängig macht. Entsprechend kann eine Nachrichtenextraktionseinrichtung 46 die Car2X-Nachrichten 17 aus den Datenpaketen 43 extrahieren und den Anwendungen im Fahrzeug 3, wie dem Navigationssystem 13 oder auch der Stelleinrichtung 33 zur Verfügung stellen . Letztendlich stellen die Demodulationseinrichtung 45 und die Nachrichtenextraktionseinrichtung 46 die empfangsseitigen Gegenstücke entsprechend der oben genannten Netzwerk und Transportschicht und der Schnittstellenschicht dar und sind ebenfalls von der oben genannten Spezifikation des Kommunikationsprotokolls für das Car2X-Netzwerk 1 abhängig. Zu Details der einzelnen Netzwerkschichten wird daher auf die einschlägigen Spezifikationen verwiesen.
Wie aus den zuvor erläuterten Ausführungen ersichtlich, sind die an dem Car2X-Netzwerk 1 teilnehmenden Fahrzeuge 3, 8 für alle Teilnehmerknoten in dem Car2X-Netzwerk 1 transparent. Möchte der Fahrer einer der Fahrzeuge 3, 8 jedoch nicht, dass bestimmte Daten übertragen werden so hat er grundsätzlich nur die Möglichkeit, sein Fahrzeug 3 vom Car2X-Netzwerk 1 zu trennen. Die Trennung vom Car2X-Netzwerk könnte aber die Funktion der HAF-Applikation 24 einschränken, wenn nicht sogar vollständig blockieren . Zur Figur 4
Hier greift das vorliegende Ausführungsbeispiel mit dem Vor¬ schlag an, für die einzelnen Sensoren 11, 20, 21 und Anwen- düngen 16, 24, 25 in dem Fahrzeug 3 der Fig. 2 sogenannte Privacy Box 49 zu schaffen, über die der Datenaustausch innerhalb des Fahrzeuges 3 zwischen den einzelnen Komponenten und auch der Datenaustausch über das Car2X-Netzwerk geregelt wird. Dies soll nachstehend anhand von Fig. 4 näher erläutert werden.
Figur 4 zeigt dabei ein Kommunikationssystem 100 umfassend mehrere Datenquellen, die als Sensoren 11, 20, 21 ausgeführt sind, und mehrere Signalverarbeitungseinrichtungen 24, 25, 39, die als Applikationen ausgeführt sind.
Vorzugsweise handelt es sich bei der Privacy Box 49 um eine Zugriffsregel- und Kommunikationsschnittstelle. Dieser kann beispielsweise mit einem persistenten Datenspeicher ausgestattet sein, in dem die festgelegten Zugriffsregeln bzw. Datenschutzeinstellungen verschlüsselt gespeichert sind. Nachfolgend wird hierfür der einfachkeitshalber der Begriff Privacy Box verwendet.
Innerhalb des Fahrzeuges 3 kann grundsätzlich zwischen Ap- plikationen 24, 25, 39 und Sensoren 11, 20, 21 unterschieden werden .
Unter Sensoren 11, 20, 21 sollen nachstehend technische Elemente im Fahrzeug 3 verstanden werden, die eine beliebige physika- lische Größe oder eine andere Zustandsgröße im oder außerhalb des Fahrzeuges 3 aufnehmen und durch Sensordaten 12, 35, 36 beispielsweise in Form eines Sensorsignals beschreiben. In Fig. 4 sind derartige Sensoren durch auf die Spitze gestellte Quadrate angedeutet . Demgegenüber sollen unter Applikationen 24, 25, 39 technische Einrichtungen im Fahrzeug 3 verstanden werden, die Sensordaten 12, 35, 36 und andere Daten im Fahrzeug 3 aufnehmen, verarbeiten und auf die Verarbeitung in einer bestimmten Weise reagieren. Die HAF-Applikation 24 steuert beispielsweise als Reaktion auf die Sensorsignale 30, 34 das Fahrzeug 3, während die Fahrdynamikregelung 25 als Applikation das Fahrzeug 3 in Reaktion auf die Raddrehzahlsignale 30 stabilisiert und die Nachrichtenerzeugungseinrichtung 39 bestimmte Zustände im Fahrzeug basierend auf dem Berichtssignal 38 ins Car2X-Netzwerk 1 meldet. Die Reaktion erfolgt in der Regel durch Ausgabedaten aus den einzelnen Applikationen 24, 25, 39 mit denen entweder in die Aktoren des Fahrzeuges 3 eingegriffen wird und/oder mit denen andere Applikationen des Fahrzeuges 3 ansteuerbar sind. In Fig. 4 sind Applikationen durch auf der Seite liegende Quadrate angedeutet. Weitere Beispiele für Applikationen im Fahrzeug 3 können ein Stauassistent, eine Schildererkennung, eine automatische Geschwindigkeitsüber- tretungs-Verwarngebühr-Abbuchung sein, die im Falle einer durch die Polizei erkannten Geschwindigkeitsübertretung automatisch eine fällige Verwarngebühr vom Konto des Fahrers abbucht.
Eine eindeutige Trennung zwischen Sensoren und Applikationen ist nicht immer möglich, denn der Car2X-Transceiver 16 kann sowohl als Sensor angesehen werden, der ein Car2X-Signal 18 im Car2X-Netzwerk 1 erfasst und als Sensordaten die Car2X-Botschaften 17 ausgibt. Er kann aber auch als Applikation angesehen werden, die auf im Fahrzeug 3 generierte Car2X-Botschaften 17 mit der Generierung der Datenpakete 41 als Ausgangsdaten und der Versendung der Ausgangsdaten in dem Car2X-Signal 18 im Car2X-Netzwerk 1 reagiert. Betont werden soll an dieser Stelle, dass die Ausgangsdaten aus Applikationen in anderen Applikationen weiterverwendet werden können, wie beispielsweise im Fall der zuvor genannten Schildererkennung. Gibt die Schildererkennung ein erkanntes Verkehrsschild auf der Straße in seinen Ausgangsdaten aus, können diese Ausgangsdaten in der HAF-Applikation 24 der Steuerung des Fahrzeuges 3 zugrunde gelegt werden.
Die oben genannte Privacy Box 49 filtert nun den Datenverkehr zwischen den Sensoren 11, 20, 21 und den Applikationen 24, 25, 39 im Fahrzeug 3 untereinander. Hierbei kann der Benutzer beispielsweise vorgeben, welche Daten aus den einzelnen, an die PrivacyBox 49 angeschlossenen Sensoren und Applikationen wohin weitergeleitet werden dürfen oder nicht bzw. welche Applika¬ tionen auf Daten der Sensoren zugreifen dürfen oder nicht. Das Weiterleiten wird mit sogenannten Zugriffberechtigungen 50 gesteuert, die in einer noch zu beschreibenden Weise in einer Datenbank 51 hinterlegt werden können . Prinzipiell könnten Daten auch an Sensoren weitergeleitet werden. Der Übersichtlichkeit halber soll nachstehend aber von einem Szenario ausgegangen werden, in dem Daten aus Sensoren und/oder Applikationen nur an andere Applikationen weitergeleitet werden.
Zugriffsberechtigungen 50 können dabei grundsätzlich in zwei verschiedenen Weisen vergeben werden. Einerseits kann die Weiterleitung von Daten aus einem Sensor 24, 25, 39 und/oder einer Applikation 11, 20, 21 grundsät zlich abgelehnt werden . Aus Sicht des Systems wird der jeweilige Sensor und/oder die je¬ weilige Applikation faktisch abgeschaltet. Andererseits kann die Weiterleitung von Daten aber auch dediziert zugelassen werden, so dass die Weiterleitung von Daten innerhalb des Fahrzeuges 3 und/oder innerhalb des Car2X-Netzwerkes 1 nur an bestimmte Applikationen im Fahrzeug 3 zugelassen wird.
Darüber hinaus kann die Privacy Box auch eine Identifikati¬ onsberechtigung umfassen, womit einstellbar ist, ob über die Privacy Box weitergeleitete Daten zumindest teilweise anony¬ misiert werden oder nicht.
So kann ein Fahrer beispielsweise grundsätzlich einer Wei- terleitung seiner Geschwindigkeit aus einem in Fig. 2 nicht zu sehenden Geschwindigkeitssensor des Fahrzeuges 3 beispielsweise an die HAF-Applikation 24 zustimmen. Er kann aber dediziert die Weiterleitung der Geschwindigkeit als Daten an die automatische Geschwindigkeitsübertretungs-Verwarngebühr- Abbuchungsappli- kation blockieren. Hier zeigt sich das grundsätzliche Potential PrivacyBox 49, denn wäre der Fahrer gezwungen, den Geschwindigkeitssensor des Fahrzeuges 3 vollständig abzuschalten, so dass damit auch die HAF-Applikation 24 nicht mehr funktionieren würde .
Alternativ könnte der Fahrer des Fahrzeuges 3 auch eine anonyme Fahrt mit dem Fahrzeug 3 machen wollen. Hierfür kann er die Weiterleitung seiner geographischen Lage 12 als Daten aus dem GNSS-Empfänger 11 grundsätzlich ausstellen. Die PrivacyBox 49 verhindert dann die Weiterleitung. Im Gegenzug, würden dann aber eine Reihe von Applikationen nur noch eingeschränkt oder nicht mehr zur Verfügung stehen, wie beispielsweise die Nachrichtenerzeugungseinrichtung 39, die zur Erzeugung von Car2X-Nachrichten 38 die geographische Lage 12 benötigt, oder das Navigationssystem, das die geographische Lage 12 zur Darstellung auf einer Karte benötigt.
Das zweite genannte Beispiel ist in der PrivacyBox 49 leicht zu realisieren, indem die Daten der betreffenden Sensoren und/oder Applikationen grundsätzlich blockiert werden.
Das erste Beispiel ist aber der Hauptanwendungsfall, der zudem geregelt werden muss, wenn Daten oder Reaktionen enthaltende Signale an einem Teilnehmerknoten im Car2X-Netzwerk 2, wie einem anderen Fahrzeug 8, 9 oder einem anderen Backend 52, wie beispielsweise einem Datenserver dediziert weitergeleitet werden sollen. Der Datenserver 52 kann beispielsweise ein Server sein, auf dem verschiedene Applikationen laufen, wie bei- spielsweise eine Kartenupdateapplikation 53, über die das Navigationssystem 13 aktualisierte Kartendaten 54 abrufen kann. Eine weitere Applikation wäre eine Protokollupdateapplikati¬ on 55, mit dessen Updatedaten 56 der der Car2X-Transceiver 16 im Fahrzeug 3 sein Netzwerkprotokoll aktualisieren kann. Es können zahlreiche weitere Updateapplikationen 57 vorhanden sein, auf die nachstehend nicht weiter eingegangen werden soll.
Möchte der Fahrer des Fahrzeuges 3, dass seine Daten aus dem Fahrzeug 3 nur an bestimmte Applikationen 53, 55, 57 im Ba- ckend 52 weitergeleitet werden, müssen grundsätzlich alle Daten über eine gesicherte Verbindung 58 zum Backend 52 geleitet werden. Das Backend 52 muss dann intern in einer eigenen PrivacyBox 49 über die dedizierte Weiterleitung entscheiden. Würde das Fahrzeug 3 die Weiterleitung der Daten über die gesicherte Verbindung 58 grundsätzlich ablehnen, wäre eine dedizierte Weiterleitung im Backend 52 prinzipbedingt nicht möglich .
Hierzu kann das Fahrzeug 3 die Zugriffsberechtigungen 50 zu- sammen mit dem entsprechenden, dediziert weiterzuleitenden Daten übertragen. Alternativ oder zusätzlich könnte auch eine eigene Datenbank 51 im Backend 52 geführt werden die mit der Datenbank 51 im Fahrzeug 3 synchronisiert sein sollte. Auf diese Weise könnte der Datenverkehr zum Austausch der Zugriffsberechti- gungen 50 reduziert werden.
Nach dem Aufteilen der Daten auf die einzelnen Applikationen im Fahrzeug 3 und/oder im Backend 52 können die Daten dann gelöscht werden . Nachstehend soll anhand der Fig. 5 bis 7 eine in Fig. 4 an¬ gedeutete Benutzerschnittstelle 63 erläutert werden, mit denen die Zugriffsberechtigungen grundlegend eingestellt werden können .
Die Benutzerschnittstelle 63 umfasst verschiedene Tasten 59, auf denen Leuchtindikatoren 60 angeordnet sind. Mit jeder Taste 59 kann für die Daten aus einer bestimmten Applikationen des Fahrzeuges 3 oder einem bestimmten Sensor des Fahrzeuges 3 eine Zugriffsberechtigung 50 gesetzt beziehungsweise gelöscht werden. Dabei ist auf jeder Taste ein Leuchtindikator 60 vorhanden, der anzeigt, ob für die Daten eines Sensors oder einer Applikation eine Zugriffsberechtigung 50 gesetzt ist, oder nicht. Ein grüner oder schwarzer Leuchtindikator 60 steht dabei für eine Zugriffsberechtigung 50 auf die Daten, während ein roter oder gestrichelter Leuchtindikator 60 dafür steht, dass die Daten nicht freigegeben sind.
Der Übersichtlichkeit halber können die Tasten 59 für Appli- kationen in einem ersten Bereich 61 und die Tasten für Sensoren in einem zweiten Bereich 62 der Benutzerschnittstelle 58 angeordnet werden.
Um die Daten aus einem Sensor oder einer Applikation für andere Applikationen freizugeben, wird eine dem entsprechenden Sensor oder der entsprechenden Applikation zugeordnete Taste 59 gedrückt. Basierend auf dem Tastendruck wird in der Datenbank 51 dann die entsprechende Zugriffsberechtigung 50 für die Daten gespeichert, wobei der Leuchtindikator 60 den Zustand der entsprechenden Zugriffsberechtigung 50 anzeigen kann. In Fig. 6 ist beispielshaft ein Zustand dargestellt, in dem auf die Daten der HAF-Applikation 24 und die Daten der Fahrdynamikregelung 25 keine Zugriffsberechtigung 50 vergeben wurde. Ferner kann in der Benutzerschnittstelle 63 auch geprüft werden, inwieweit sich eine nicht vergebene Zugriffsberechtigung 50 auf Daten aus einem Sensor oder einer Applikation auf andere Applikationen im Fahrzeug 3 oder gegebenenfalls sogar im Car2X-Netzwerk 1 auswirkt. Hierzu kann der Leuchtindikator 60 mit einem dritten Signalzustand versehen werden, der in Fig. 7 gelb dargestellt ist.
In Fig. 7 ist beispielsweise ein Zustand dargestellt, in dem keine Zugriffsberechtigung 50 auf die Daten des GNSS-Empfängers 11 vergeben wurde. Das hat zur Folge, dass die HAF-Applikation 24 nicht mehr funktioniert, weil die geogra¬ phische Lage 12 essentiell für die Funktion der HAF-Applikation ist. In diesem Fall wird der Leuchtindikator 60 ebenfalls auf Rot oder Gestrichelt gesetzt, denn eine nicht funktionierende Applikation kann gleichgesetzt werden mit einer Applikation auf die kein Zugriff besteht. In beiden Fällen stehen keine Daten aus dieser Applikation oder Funktionen für diese Applikation mehr zur Verfügung. Der gleiche Zustand kann für die Nachrichtener- zeugungseinrichtung 39 angedeutete werden, die ohne die geo¬ graphische Lage 12 keine Car2X-Nachrichten 17 erzeugen kann. Unter Umständen kann eine betroffene Applikation noch teilweise zur Verfügung stehen, wie beispielsweise das Navigationssystem, das zwar noch Kartendaten, aber nicht mehr die geographische Lage 12 des Fahrzeuges 3 darin anzeigen kann. Diese einge¬ schränkte Funktion als Konsequenz auf eine verweigerte Zu¬ griffsberechtigung 50 kann durch einen gelb oder gepunktet dargestellten Leuchtindikator 60 angezeigt werden. Es wäre auch möglich zunächst mit einer Taste 59 eine bestimmte Applikation auf der Benutzerschnittstelle 63 auszuwählen. Dann könnte auf den Tasten 59 der Sensoren über die Leuchtindika¬ toren 60 angezeigt werden, auf welche Daten aus welchen Sensoren die ausgewählte Applikation eine Zugriffsberechtigung 50 be- sitzt. Dann könnte der Benutzer in diesem Zustand die Zu¬ griffsberechtigungen 50 für diese Sensoren und gegebenenfalls anderen Applikationen durch Betätigen der entsprechenden Tasten 59 individuell einstellen und damit programmieren. Gegebenenfalls könnte noch eine weitere Taste eingeführt werden, um die Programmierung die Auswahl der zu programmierenden Applikation zu beenden.
Das beschriebene Car2X-Netzwerk 1 ist nur ein Beispiel für ein Netzwerk. Alternativ oder zusätzlich kann das Fahrzeug 3 an andere Netzwerke, wie beispielsweise einem beliebigen Mobil¬ funknetzwerk angeschlossen sein.
Zur Figur 8
In Figur 8 wird auf den Teil der Anonymisierung der Erfindung gesondert eingegangen. Die Ausführungen sollen jedoch auch in Kombination mit den vorgenannten Ausführungen verstanden werden. So wird das ein hiernach beschriebenes Ausführungsbeispiel des Kommunikationssystems 100 der Einfachheit halber auf die Funktionen der Anonymisierung der Daten beschränkt beschrieben. Insbesondere ist das hiernach beschriebene zentrale Netz¬ werk-Zugangsknoten auch analog zur zuvor beschriebenen Zugriffsregel- und Kommunikationsschnittstelle 49 zu verstehen.
Entsprechend der Erfindung hat ein Nutzer eines Fahrzeugs eine Möglichkeit der direkten Beeinflussung der mittels Kommunikationssystem 100 von einem Fahrzeug versendeten Daten, wodurch der Nutzer einen gewünschten Grad der Anonymisierung insbe- sondere personenbezogener Informationen selbst bestimmen kann. Die Auswahl erfolgt dabei mittels Mensch-Maschine-Schnittstelle 105, wie beispielsweise einem Umschalter im Fahrzeug oder am Fahrzeugschlüssel bzw. durch entsprechende Einstellung in einem Fahrzeugmenü . Die Fig. 8a) zeigt eine Prinzipdarstellung eines Ausführungsbeispiels des erfindungsgemäßen Kommunikationssystems 100, bei dem mittels Anonymisierungsmittel 102 eine Anonymisierung der vom Fahrzeug zu versendenden Daten, bezogen auf den Da- tenfluss, unmittelbar vor dem zentralen Netzwerk-Zugangsknoten
103 (Endstelle) , wie zum Beispiel einer Fahrzeugantenne, vorgenommen wird. Eine Umgehung von Anonymisierungsmittel 102 mittels des Fahrzeugkommunikationsnetzes (z.B. CAN-Netzwerk) von extern und/oder intern ist somit zumindest erschwert. Eine weitere Endstelle mit welcher die Kommunikation stattfindet, z.B. einen Netzwerk-Zugangsknoten eines Dienstanbieters, ist in Fig. 8 nicht dargestellt. Gemäß dem Ausführungsbeispiel der Fig. 8b) erfolgt die Anonymisierung zu sendender Daten mittels Anonymisierungsmittel 102 zwischen Zugangsknoten 103 und einem letzten fahrzeuginternen Datenknoten - im Beispiel Gateway 104. Für die Ausführungsbeispiele der Fig. 8 dient Gateway 104 dabei als Schnittstelle zwischen Zugangsknoten 103 und Mensch-Maschine-Schnittstelle 105. Im Allgemeinen stellt ein Gateway eine Schnittstelle zwischen unterschiedlichen Kommu- nikationsnetzen des Fahrzeugs dar, wobei unterschiedliche Netzwerkprotokolle zugrunde gelegt sein können. Kommunikati¬ onssystem 100 ist daher insbesondere durch Verwendung von Gateway
104 bevorzugt Teil eines Fahrzeugkommunikationssystems, wie beispielsweise eines CAN-Netzwerks (nicht dargestellt) . Aus- gehend von Gateway 104 kann eine Kommunikation, z.B. mit Mensch-Maschine-Schnitt-stelle 105, somit mittels des Fahr¬ zeugkommunikationssystems erfolgen. Alternativ dazu kann ein eigenständiges und im Wesentlichen lediglich auf diesen Zweck ausgerichtetes Kommunikationsmittel zur Realisierung der Er- findung vorgesehen sein, was insbesondere die Möglichkeit eines Fremdzugriffs (direkt und fern) auf die Funktionsfähigkeit der Anonymisierung einschränkt. Die erfindungsgemäße Funktion kann dabei sowohl durch ein dafür vorgesehenes Steuergerät und/oder als zusätzliche Implementierung des die Funktion von Zu- gangsknoten 103 ausführenden Geräts und/oder von Gateway 104 vorgenommen werden.
Bei der Anonymisierung wird beispielsgemäß zwischen zwei Be- triebsarten unterschieden, wobei erfindungsgemäß weitere Ab¬ stufungen der Anonymisierung der Daten vorgesehen sein können. Diese sind jeweils in der Weise ausgestaltet, dass weitere Funktionen des Fahrzeugs so wenig wie möglich beeinträchtigt werden. Entsprechend einer weiteren Betriebsart von Kommuni- kationssystem 100 erfolgt keine Anonymisierung der Daten des Fahrzeugs .
Gemäß einer ersten Betriebsart erfolgt eine teilweise Anony¬ misierung der zu sendenden Daten, wobei ein Datenaustausch beispielsweise mit einem Backend-Server eines Dienstanbieters und/oder Sicherheitsbetreibers möglich ist, jedoch keine privaten Daten gesendet werden. Eine Ausnahme können bevorzugt Daten bilden, welche einer Authentifizierung der Netzwerkteilnehmer, z.B. des Fahrzeugs bzw. Dienstanbieters, dienen. Eine Definition, welche Daten als privat angesehen werden, kann dabei insbesondere durch einen Nutzer des Fahrzeugs und/oder durch Herstellervorgaben erfolgen.
Ein mögliche Anwendung für diese Anonymisierungsstufe ist eine Fahrt von einem Geldtransporter, bei welcher dieser zwar nicht geortet werden, trotzdem jedoch aktuelle Verkehrsdienste, wie z.B. Staumeldungen, über einen Back-End-Server beziehen soll.
Eine zweite Betriebsart ermöglicht eine möglichst vollständige Anonymisierung. Dabei sendet Zugangsknoten 103 keine Daten, kann diese jedoch weiterhin empfangen.
Ein Anwendungsbeispiel für diese zweite Betriebsart ist die Verfolgung eines Flüchtigen durch die Polizei, bei der es notwendig sein kann, dem Flüchtigen die technische Möglichkeit einer Ortung der Polizeikräfte zu erschweren oder zu blockieren.
Zur Realisierung der Anonymisierung und um zugleich ein Umgehen dieser durch interne Funktionen oder Fremdeinwirkung („Hacker-Angriff") zu vermeiden, erfolgt eine Implementierung der diese Aufgabe ausführenden Funktion mit einer entsprechend sicheren Methodik. Die nachfolgend aufgeführten Implementierungsmöglichkeiten sind ohne Beschränkung auf diese beispielsgemäß zu verstehen und können diesbezüglich eigenständig und/oder in Kombination miteinander verwendet werden.
Implementierung in einem geschützten Speicherbereich mit entsprechender Zugriffskontrolle,
Implementierung einer Firewall,
Implementierung als gesonderter Sicherheitschip,
Implementierung parallel zur normalen Steuergeräte Applikation per Virtualisierung und/oder
Implementierung mit Hilfe eines Hardware Sicherheitsmoduls (HSM) , z.B. „Secure Hardware Extension" (SHE) , „EVITA HSM", „Trusted Platform Module" (TPM) , „Cloud Trusted Platform Module" CTPM usw.

Claims

Patentansprüche
1. Verfahren zum Leiten von Daten (12, 35, 36) in einem Fahrzeug zwischen einer Datenquelle (11, 20, 21) und einer Signalverarbeitungseinrichtung (24, 25, 39) zur Verarbeitung der Daten (12, 35, 36), umfassend:
Empfangen (49) der Daten (12, 35, 36) aus der Datenquelle (11, 20, 21),
Weiterleiten (49) der Daten (12, 35, 36) an die Signal- Verarbeitungseinrichtung (24, 25, 39) in Abhängigkeit einer Zugriffsberechtigung (50), die definiert, ob die Daten (12, 35, 36) an die Signalverarbeitungseinrichtung (24, 25, 39) weitergeleitet werden dürfen. 2. Verfahren nach Anspruch 1, umfassend:
Abrufen der Zugriffsberechtigung (50) aus einer Datenbank (51) .
3. Verfahren nach Anspruch 1 oder 2, wobei die Datenquel- le (11, 20, 21) und die Signalverarbeitungseinrichtung (24, 25,
39) über eine Netzwerkverbindung (59) getrennt sind.
4. Verfahren nach Anspruch 3, umfassend Übertragen der Daten (12, 35, 36) gemeinsam mit der Zugriffsberechtigung (50) über die Netzwerkverbindung.
5. Verfahren nach Anspruch 3 oder 4, wobei die Datenbank (51) auf einer Seite der Netzwerkverbindung (58) und eine weitere Datenbank (51) auf der anderen Seite der Netzwerkverbindung (58) vorhanden sind, und wobei die Zugriffsberechtigungen (50) in den Datenbanken (51) synchronisiert werden.
6. Verfahren nach einem der vorstehenden Ansprüche, umfassend: Löschen der Daten (12, 35, 36) nach dem Weiterleiten in Abhängigkeit der Zugriffsberechtigung (50).
7. Verfahren Leiten von Daten (12, 35, 36) in einem Fahrzeug, wobei Daten (12, 35, 36) in einem Fahrzeug zwischen einer Datenquelle (11, 20, 21) und mindestens einer Signalverar¬ beitungseinrichtung (24, 25, 39) zur Verarbeitung der Daten (12, 35, 36) geleitet werden, umfassend:
Empfangen (49) der Daten (12, 35, 36) aus der Datenquelle (11, 20, 21) mittels einer Zugriffsregel- und Kommuni¬ kationsschnittstelle (49),
Weiterleiten (49) der Daten (12, 35, 36) an die Signalverarbeitungseinrichtung (24, 25, 39) in Abhängigkeit einer in der Zugriffsregel- und Kommunikationsschnittstelle (49) hinterlegten Zugriffsberechtigung (50), die definiert, ob die Daten (12, 35, 36) an die Signalverarbeitungseinrichtung (24, 25, 39) weitergeleitet werden dürfen, dadurch gekennzeichnet, dass die verarbeiteten Daten mittels der Zugriffsregel- und Kommunikationsschnittstelle (49) zumindest teilweise anonymisiert werden.
Verfahren nach Anspruch 7, ferner aufweisend die Schritte: Empfangen von verarbeiteten Daten von der Signalverarbeitungseinrichtung (24, 25, 39) mittels der Zugriffsregel- und Kommunikationsschnittstelle (49), und
Weiterleiten der verarbeiteten Daten an eine externe Endstelle .
9. Verfahren nach Anspruch 7 oder 8, wobei der Austausch von Daten zwischen der Datenquelle (11, 20, 21), der Signalver¬ arbeitungseinrichtung (24, 25, 39) sowie zwischen der Signalverarbeitungseinrichtung (24, 25, 39) und der Endstelle ausschließlich über Zugriffsregel- und Kommunikations¬ schnittstelle (49) erfolgt.
10. Verfahren nach einem der Ansprüche 7 bis 9, wobei zumindest zwei Betriebsmodi vorgesehen sind, wobei in einem ersten Be¬ triebsmodus eine teilweise Anonymisierung erfolgt und in einem zweiten Betriebsmodus eine im Wesentlichen vollständige Ano¬ nymisierung der zu sendenden Daten vorgenommen wird.
11. Verfahren nach einem der Ansprüche 7 bis 10, wobei die Zugriffsregel- und Kommunikationsschnittstelle (49) ein wei¬ terleiten von Kombinationen aus mehreren Daten der Datenquelle (11, 20, 21) an eine jeweilige Signalverarbeitungseinrichtung (24, 25, 39) nur teilweise zulässt oder unterbindet.
12. System zum Leiten von Daten (12, 35, 36) in einem Fahrzeug, aufweisend
eine Datenquelle (11, 20, 21) zum Empfangen und Generieren von Fahrzeugdaten,
mindestens eine Signalverarbeitungseinrichtung (24, 25, 39) zur Verarbeitung der Daten (12, 35, 36),
eine Zugriffsregel- und Kommunikationsschnittstelle (49) umfassend, wobei die Datenquelle (11, 20, 21) und die Signalverarbeitungseinrichtung (24, 25, 39) mittels der Zugriffsregel- und Kommunikationsschnittstelle (49) ge¬ koppelt sind und ein weiterleiten der Daten (12, 35, 36) an die Signalverarbeitungseinrichtung (24, 25, 39) oder an eine externe Endstelle nur in Abhängigkeit einer an der Schnittstelle (49) hinterlegten Zugriffsberechtigung (50) erfolgt, die definiert, ob die Daten (12, 35, 36) an die Signalverarbeitungseinrichtung (24, 25, 39) weitergeleitet werden dürfen.
13. System nach Anspruch 12, wobei an der Schnittstelle (49) ferner eine Identifizierungsberechtigung hinterlegt ist, wobei die Identifizierungsberechtigung zumindest zwei Betriebsmodi vorgesehen sind, wobei in einem ersten Betriebsmodus eine teilweise Anonymisierung erfolgt und in einem zweiten Betriebsmodus eine im Wesentlichen vollständige Anonymisierung der zu sendenden Daten vorgenommen wird. 14. System nach Anspruch 12 oder 13, wobei das Systeme eine Mensch Maschine Schnittstelle zum Einstellen der Zugriffsbe¬ rechtigung (50) und der Identifizierungsberechtigung aufweist.
15. System nach einem der Ansprüche 12 bis 14, wobei die Datenquellen in einem Fahrzeug verbaute Sensoren sind und mittels der Mensch-Maschineschnittstelle eine fahrzeuginterne Verar¬ beitung der Sensordaten oder ein Weiterleiten der Sensordaten an eine externe Endstelle anhand der Einstellung der Zugriffs¬ berechtigung und Identifizierungsberechtigung einstellbar ist.
PCT/EP2015/057348 2014-04-04 2015-04-02 Einstellung des datenschutzes im fahrzeug WO2015150534A2 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102014206545.3A DE102014206545A1 (de) 2014-04-04 2014-04-04 Verfahren, Kommunikationssystem und Daten-Zugangsknoten zur Übermittlung von Daten
DE102014206545.3 2014-04-04
DE102014219445.8 2014-09-25
DE102014219445 2014-09-25

Publications (2)

Publication Number Publication Date
WO2015150534A2 true WO2015150534A2 (de) 2015-10-08
WO2015150534A3 WO2015150534A3 (de) 2015-11-26

Family

ID=53724291

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/057348 WO2015150534A2 (de) 2014-04-04 2015-04-02 Einstellung des datenschutzes im fahrzeug

Country Status (1)

Country Link
WO (1) WO2015150534A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086916A (zh) * 2022-05-24 2022-09-20 安徽蔚来智驾科技有限公司 车辆数据保护方法、装置、计算机可读存储介质及车辆

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010139526A1 (de) 2009-06-03 2010-12-09 Continental Teves Ag & Co. Ohg Fahrzeug-zu-x-kommunikation mit reduzierter datenmenge
DE102011080789A1 (de) 2010-08-10 2012-02-16 Continental Teves Ag & Co. Ohg Verfahren und System zur Regelung der Fahrstabilität
DE102012112442A1 (de) 2012-12-17 2014-06-18 Continental Teves Ag & Co. Ohg Verfahren zur Steuerung eines Fahrzeugs mit einem ein automatisiertes, teilautomatisiertes und ein manuelles Fahren ermöglichenden Fahrerassistenzsystem

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7401233B2 (en) * 2003-06-24 2008-07-15 International Business Machines Corporation Method, system, and apparatus for dynamic data-driven privacy policy protection and data sharing
DE102007052993A1 (de) * 2007-11-05 2009-05-07 Volkswagen Ag Kommunikationsknoten und Verfahren zur Kommunikation zwischen mindestens zwei Kommunikationsknoten in einem Car2X-Kommunikationsnetzwerk
DE102012014362A1 (de) * 2012-07-20 2014-01-23 Volkswagen Ag Verfahren, Vorrichtung und System zur Realisierung eines Anwendungsprogramms für ein Fahrzeug

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010139526A1 (de) 2009-06-03 2010-12-09 Continental Teves Ag & Co. Ohg Fahrzeug-zu-x-kommunikation mit reduzierter datenmenge
DE102011080789A1 (de) 2010-08-10 2012-02-16 Continental Teves Ag & Co. Ohg Verfahren und System zur Regelung der Fahrstabilität
DE102012112442A1 (de) 2012-12-17 2014-06-18 Continental Teves Ag & Co. Ohg Verfahren zur Steuerung eines Fahrzeugs mit einem ein automatisiertes, teilautomatisiertes und ein manuelles Fahren ermöglichenden Fahrerassistenzsystem

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115086916A (zh) * 2022-05-24 2022-09-20 安徽蔚来智驾科技有限公司 车辆数据保护方法、装置、计算机可读存储介质及车辆

Also Published As

Publication number Publication date
WO2015150534A3 (de) 2015-11-26

Similar Documents

Publication Publication Date Title
EP3036554B1 (de) Car2x-empfängerfilterung basierend auf empfangskorridor in geokoordinaten
EP3264390B1 (de) Verfahren zur spektral-effizienten ermittlung von kollektiver umfeld-information für das kooperative und/oder autonome fahren, sowie berichtendes fahrzeug und weiteres fahrzeug zur verwendung bei dem verfahren
DE112016007345T5 (de) Verfahren und vorrichtungen zum ermöglichen der fahrzeug-zu-fahrzeug-führung und -ortung
DE102015219467A1 (de) Verfahren zum Betreiben eines zentralen Servers und Verfahren zum Handhaben einer Regelkarte
EP3324385A1 (de) Verfahren zur kommunikation zwischen einer bedienstelle, welche ein automatisch fahrendes fahrzeug extern steuert, und einem weiteren verkehrsteilnehmer sowie automatisch fahrendes fahrzeug
DE102015219469A1 (de) Verfahren zum Handhaben einer Regelkarte
WO2009074655A1 (de) Übertragung von fahrzeug-relevanten daten eines fahrzeugs über mobile kommunikation
DE102012208256A1 (de) Verfahren und System zum autonomen Nachführen eines Folgefahrzeugs auf der Spur eines Leitfahrzeugs
EP3204926A1 (de) Verfahren zum handhaben einer regelkarte
DE102007024877A1 (de) Verfahren zur Bildung und Steuerung eines Fahrzeugverbandes
WO2020057887A1 (de) Verfahren zum koordinieren eines fahrzeugverbundes, auswerteeinheit, fahrzeug sowie fahrzeugverbund
DE102014216796A1 (de) Filterung von Infrastrukturbeschreibungsnachrichten
DE102021126319A1 (de) Authentifizieren einer berechtigungserhöhung bei einem beförderungsdienst
DE112015006760T5 (de) Sync und ausgewogene V2V-Kommunikation nutzende Vorrichtung
DE102021131848A1 (de) Sicherheits-gateway
DE102020211478A1 (de) Konzept zum Unterstützen eines zumindest teilautomatisiert geführten Kraftfahrzeugs
DE102018110570A1 (de) Verfahren und System zum gezielten Übermitteln einer Nachricht
DE102016009118A1 (de) Verfahren zur Fahrzeugkommunikation
WO2015150534A2 (de) Einstellung des datenschutzes im fahrzeug
EP3036885B1 (de) Iterative datenpaketerzeugung im car2x-netzwerk
DE102019202413A1 (de) Verfahren zum Durchführen einer Kommunikation zwischen einem ersten Fahrzeug und einer weiteren Einheit
DE102014219322A1 (de) Update einer Fahrzeugsteuerung per Car2X
EP2584314B1 (de) Verfahren und Vorrichtung zur Unschärfestellung einer Positionsinformation und/oder davon abgeleiteter Informationen
WO2020249357A1 (de) Kommunikationssystem mit einem kommunikationsadapter und einer koordinierungseinrichtung sowie kommunikationsadapter, koordinierungseinrichtung sowie verfahren zum durchführen einer kommunikation
DE102015218807A1 (de) Verfahren zum Ermitteln eines Fahrbahnzustands, Verfahren zum Mitteilen eines Fahrbahnzustands, Verfahren zum Übertragen eines Fahrbahnzustands und Verwendung

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15741913

Country of ref document: EP

Kind code of ref document: A2