POSITIONSDATENVERARBEITUNGSEINRICHTUNG UND MAUTSYSTEM SOWIE VERFAHREN ZUM BETREIBEN EINER POSITIONSDATENVERARBEITUNGSEINRICHTUNG UND EINES MAUTSYSTEMS

Abstract

 Es werden eine Positionsdatenverarbeitungseinrichtung (1) und ein Verfahren für den Betrieb einer solchen Positionsdatenverarbeitungseinrichtung (1) bereitgestellt, bei denen bezüglich aus Positionsdaten, die die Positionsdatenverarbeitungseinrichtung (1) erfasst hat, erzeugten Trajektorien (TJ-1, ..., TJ-n) trajektorienspezifische Transaktionen durchgeführt werden, die in ihrer Anzahl beschränkt sind. Mit jeder trajektoriespezifischen Transaktion wird die Anzahl noch zulässiger trajektoriespezifischer Transaktionen reduziert, wobei die Positionsdatenverarbeitungseinrichtung (1) aus einem Zustand der gegeben Betriebsbereitschaft, in dem sie trajektoriespezifische Transaktionen durchführt, in einen Zustand mangelnder Betriebsbereitschaft wechselt, in dem sie keine trajektoriespezifischen Transaktionen durchführt, wenn die Anzahl zulässiger trajektoriespezifischer Transaktionen Null beträgt.
Gemäß einer bevorzugten Ausführungsform kann die Anzahl zulässiger trajektoriespezifischer Transaktionen in Abhängigkeit von einer Antwortnachricht (231), die die Positionsdatenverarbeitungseinrichtung (1) von einem Betriebsmitteilungsauswertungssystem (2) empfängt, an welches sie zuvor die erzeugte Trajektorie (TJ-1, ..., T J-n) gesendet hat, festgelegt, insbesondere erhöht werden.

Beschreibung

[0001] Die vorliegende Erfindung betrifft eine Positionsdatenverarbeitungseinrichtung gemäß dem Oberbegriff des Patentanspruchs 1, ein Betriebsmitteilungsauswertungssystem gemäß dem Oberbegriff des Patentanspruchs 11, ein Verfahren zum Betreiben einer Positionsdatenverarbeitungseinrichtung gemäß dem Oberbegriff des Patentanspruchs 14 und ein Verfahren zum Betreiben eines Mautsystems gemäß dem Oberbegriff des Patentanspruchs 15.

[0002] Für die Zwecke einer Mauterhebung werden heutzutage in Fahrzeugen, insbesondere in LKWs, Mautgeräte, sogenannte OnBoard-Units (OBU), installiert. Ein im Fahrzeug installiertes Mautgerät zeichnet während der Fahrt des Fahrzeugs Positionsdaten auf, die indikativ für die vom Fahrzeug zurückgelegte Strecke sind. Entsprechend den aufgezeichneten Positionsdaten, die im Folgenden auch als Trajektorie oder als Trajektoriendatei bezeichnet werden, und in Abhängigkeit von vorprogrammierten Fahrzeugdaten, wie beispielsweise die Emissionsklasse, das Fahrzeuggewicht, die Achsenanzahl etc., und in Abhängigkeit von vorprogrammierten Tarifdaten und weiteren Fahrzeugdaten, die ein Fahrer in das Mautgerät eingegeben hat, ermittelt bei vorbekannten Mautgeräten das Mautgerät selbst den Betrag der zu zahlenden Maut und speichert diese Informationen in einem Speicher des Mautgeräts ab.

[0003] Die Informationen über den zu entrichtenden Mautbetrag sendet das vorbekannte Mautgerät mittels einer Kommunikationseinrichtung, beispielsweise über ein GSM (Global System for Mobile Communications) Netz, an eine Mautzentrale, also an eine zentrale Mauterhebungsstelle. Beispielsweise erfolgt das Versenden dieser Informationen nach Erreichen eines bestimmten Mautbetrags oder nach Ablauf einer definierten Zeit. Sollte das Mautgerät zu diesem Zeitpunkt ausgeschaltet sein, so werden die Informationen nach einem nächsten Einschalten des Mautgeräts gesendet.

[0004] In der Mautzentrale werden die zu zahlenden Mautbeträge anhand eines Fahrzeugkennzeichnens einem registrierten Nutzer zugeordnet. Je nachdem, ob dem Nutzer eine Bonität eingeräumt wurde, werden dann Rechnungen versendet oder der Betrag von einem kreditorischen Konto abgebucht.

[0005] An Orten, bei denen kein satellitengestützter Empfang von Satellitendaten, aus denen die Positionsdaten generiert werden können, möglich ist, beispielsweise in Tunneln oder anderen abgeschirmten Gegenden, können Positionsdaten direkt über Kontrolleinrichtungen, beispielsweise sogenannte Stützbaken, auf Infrarot-Basis oder einem anderen Kommunikationsstandard kurzreichweitiger Kommunikation an das Mautgerät übertragen werden. Eine derartige Übertragung von Positionsdaten an das Mautgerät erfolgt beispielsweise mittels eines Kurzreichweiten-Kommunikationsmoduls, beispielsweise mittels eines sogenannten DSRC- (Dedicated Short Range Communication) Moduls, das beispielsweise in der Nähe oder an der Windschutzscheibe des betreffenden Fahrzeugs installiert ist und in Wirkverbindung mit dem Mautgerät steht. Über ein derartiges Modul können auch Daten von dem Mautgerät an die Kontrolleinrichtung und damit an die Mautzentrale übertragen werden, falls beispielsweise kein GSM-Netz oder anderes Drahtloskommunikationsnetzwerk (z.B. UMTS o.ä. Mobilfunknetz) verfügbar ist.

[0006] Werden neue Mauttarife eingeführt, so erfolgt eine Aktualisierung der Daten auf den Mautgeräten zentral über Mobilfunk und gesteuert von der Mautzentrale.

[0007] Problematisch bei dem oben vorgestellten vorbekannten Ansatz ist, dass das Mautgerät selbst keine Trajektoriendateien an die Mautzentrale übermittelt, sondern nur Informationen über die zu zahlenden Gebühren, sodass bei der Mautzentrale nicht überprüft werden kann, ob die Trajektoriendatei, die bei dem Mautgerät der Berechnung der Gebühren zugrunde lag, richtig aufgezeichnet worden ist, oder ob ein Manipulationsversuch stattgefunden hat. Zum Detektieren derartiger Manipulationsversuche sind aus dem Stand der Technik einige Ansätze bekannt.

[0008] So beschreibt beispielsweise die EP 2 487 506 A1 eine Positionsbestimmungsvorrichtung sowie ein Verfahren zur Signalisierung einer mangelnden Betriebsbereitschaft einer Positionsbestimmungsvorrichtung. Dabei ist zur Signalisierung einer mangelnden Betriebsbereitschaft einer mit einem GNSS (Global Navigation Satellite System) - Empfänger und einem Mobilfunkempfänger ausgerüsteten Positionsbestimmungsvorrichtung eine Entscheidung vorgesehen, die sowohl auf der Positionsbestimmungsqualität des GNSS-Empfangs des GNSS-Empfängers als auch auf mehreren Erfassungen der Mobilfunk-Empfangscharakteristik des Mobilfunk-Empfangs des Mobilfunkempfängers beruht. Eine solche Entscheidung kann durch die Registrierung eines unzureichenden GNSS-Empfangs des GNSS-Empfängers und durch die Feststellung eines regulären Mobilfunk-Empfangs des Mobilfunkempfängers bedingt werden und durch ein Signalisierungsmittel einer von der Positionsbestimmungsvorrichtung umfassten Signalisierungsvorrichtung signalisiert werden.
Aus der WO 2009/001303 A1 ist ein Mauterfassungssystem bekannt, bei dem die Mautgeräte die Mauterkennung und die Berechnung der Mautgebühr nicht selbst durchführen, sondern diese Arbeiten an eine externe Einheit weiterleiten, wobei diese Weiterleitung in anonymer Weise erfolgt, womit Datenschutzzwecke verfolgt werden sollen.

[0009] Die DE 694 09 880 T2 beschreibt ein sogenanntes Strukturierungsverfahren für Teletransaktionsobjekte einer Bordanlage. Dort umfasst ein Mautgerät zum Speichern eines Mautdatensatzes einen physikalischen Speicherraum, der in vier logische Speicherräume partitioniert ist; wobei die logischen Räume unterschiedlichen Bereichen des physikalischen Raums entsprechen. Ein erster logischer Raum entspricht beispielsweise einem physikalischen Raum einer Chipkarte und dient zum Speichern von Objekten in der Chipkarte. Dabei benennt es die DE 694 09 880 T2 als eine der hauptsächlichsten betrügerischen Anwendungen bei einem Mautgerät, dass eine derartige Chipkarte vor dem Herstellen einer Transaktion zwischen einer festen Mautstation und dem mitgeführten Mautgerät vertauscht werde. Um eine solche betrügerische Anwendung zu erkennen, ist vorgesehen, in einem weiteren logischen Speicherraum im Laufe einer Transaktion zwischen dem Mautgerät und der ortsfesten Mautstation modifizierten Objekte aufzuzeichnen, wobei diese Objekte auch im ersten logischen Speicherraum zum Zwecke ihres Vergleichs mit denen des weiteren logischen Speicherraums im Moment einer nächsten Transaktion vorhanden sind. Die Hinzufügung dieses weiteren logischen Speicherraums habe den Vorteil, dass eine Verknüpfung zwischen dem Fahrzeug und der Chipkarte hergestellt werde und stelle damit eine Lösung für die Kontrolle der betrügerischen Verwendung des Mautgeräts dar.

[0010] Aufgabe der vorliegenden Erfindung ist es, Mittel vorzuschlagen, mit denen bei einer Manipulation oder einem Gerätedefekt im Zusammenhang mit der Erzeugung und/ oder der Übersendung einer Trajektorie, insbesondere in Form einer Trajektoriendatei, ein solches Mautgerät in einen Zustand der mangelnden Betriebsfähigkeit versetzt werden kann. Gelöst wird diese Aufgabe durch einen oder durch mehrere Gegenstände der unabhängigen Ansprüche. Merkmale vorteilhafter Ausführungsformen sind in den Unteransprüchen angegeben.

[0011] Einen ersten Aspekt der vorliegenden Erfindung bildet die Positionsdatenverarbeitungseinrichtung gemäß dem unabhängigen Patentanspruch 1.
Einen zweiten Aspekt der vorliegenden Erfindung bildet das
BetriebsmitteilungsauswertungssystemBetriebsmitteilungsauswertungssystem des Anspruchs 11, das zum Verwalten wenigstens einer Positiorisdatenverarbeitungseinrichtung gemäß dem ersten Aspekt der vorliegenden Erfindung ausgebildet ist. Dritte und Vierte Aspekte der vorliegenden Erfindung bilden Verfahren zum Betreiben einer Positionsdatenverarbeitungseinrichtung bzw. eines Mautsystems gemäß den Ansprüchen 14 und 15.

[0012] Zusammengefasst werden mit der Erfindung eine Positionsdatenverarbeitungseinrichtung und ein Verfahren für den Betrieb einer solchen Positionsdatenverarbeitungseinrichtung bereitgestellt, bei denen bezüglich aus Positionsdaten, die die Positionsdatenverarbeitungseinrichtung erfasst hat, erzeugten Trajektorien trajektorienspezifische Transaktionen durchgeführt werden, die in ihrer Anzahl beschränkt sind. Mit jeder trajektoriespezifischen Transaktion wird die Anzahl noch zulässiger trajektoriespezifischer Transaktionen reduziert, wobei die Positionsdatenverarbeitungseinrichtung aus einem Zustand der gegeben Betriebsbereitschaft, in dem sie trajektoriespezifische Transaktionen durchführt, in einen Zustand mangelnder Betriebsbereitschaft wechselt, in dem sie keine trajektoriespezifischen Transaktionen durchführt, wenn die Anzahl zulässiger trajektoriespezifischer Transaktionen Null beträgt.

[0013] Bei der nachfolgenden Beschreibung wird auf sämtliche Aspekte der Erfindung Bezug genommen.

[0014] Die erfindungsgemäße Positionsdatenverarbeitungseinrichtung ist zur Mitführung in oder an einem Fahrzeug geeignet und in einem Zustand gegebener Betriebsbereitschaft ausgebildet, keine mangelnde Betriebsbereitschaft und/ oder eine gegebene Betriebsbereitschaft zu signalisieren, Positionsdaten, die indikativ für Positionen des Fahrzeugs sind, zu empfangen oder zu erzeugen, in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten wenigstens eine Trajektorie zu erzeugen, die indikativ für eine von dem Fahrzeug zurückgelegte Strecke ist, bezüglich der wenigstens einen erzeugten Trajektorie wenigstens eine trajektoriespezifische Transaktion durchzuführen, eine Anzahl von zulässigen trajektoriespezifischen Transaktionen von größer als Null infolge der wenigstens einen durchgeführten trajektoriespezifischen Transaktion zu reduzieren und in einen Zustand mangelnder Betriebsbereitschaft zu wechseln, falls die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt, und im Zustand mangelnder Betriebsbereitschaft ausgebildet, keine trajektoriespezifische Transaktion durchzuführen und eine mangelnde Betriebsbereitschaft und/ oder keine gegebene Betriebsbereitschaft zu signalisieren.

[0015] Unter einer Trajektorie wird eine Folge von wenigstens zwei verschiedenen Ortsinformationen angesehen, die zumindest näherungsweise zwei Orte repräsentieren, die das Fahrzeug passiert hat. Im einfachsten Fall besteht damit eine Trajektorie aus den Positionsdaten zweier aufeinander folgend erzeugter oder erfasster Positionen des Fahrzeugs mit jeweils einem Longituden- und einem Latitudenwert. In der Praxis umfasst eine Trajektorie wesentlich mehr als zwei Punkte, beispielsweise eintausend bis zehntausend Punkte, die jeweils zumindest näherungsweise einen Ort repräsentieren, den das Fahrzeug passiert hat. Die Daten dieser Punkte müssen nicht notwendigerweise mit den Positionsdaten der erfassten oder erzeugten Positionen übereinstimmen. Beispielsweise können die Punkte der Trajektorie das Ergebnis einer Auswahl von Positionen, einer Korrektur von Positionen, einer Interpolation zwischen zwei Positionen oder einer Glättung mehrerer Positionen sein.
Eine Trajektorie kann insbesondere zumindest zeitweise in Form einer Trajektoriendatei in der Positionsdatenverarbeitungseinrichtung gespeichert sein, die Trajektoriedaten jeweils in Form von Longituden- und Latitudenwerten eines jeden Punktes der Trajektorie umfasst. Wann immer im Laufe der vorliegenden Unterlagen die Rede von einer Trajektorie ist, ist impliziert, dass diese in Form einer Trajektoriendatei gespeichert, verarbeitet und übertragen werden kann. Wann immer im Laufe der vorliegenden Unterlagen die Rede von einer Trajektoriendatei ist, steht die Trajektoriendatei synonym für die Trajektorie und impliziert damit- bezogen auf Daten einer Trajektorie - auch jede andere dem Fachmann bekannte Form des Vorliegens von Daten einer beliebiger Information, beispielsweise beim Speichern, Verarbeiten oder Übertragen von Daten.

[0016] Unter einer Transaktion wird eine Folge von Programmschritten angesehen, die beispielsweise von einem Prozessor der Positionsdatenverarbeitungseinrichtung (beispielsweise von der weiter unten angeführten Aufzeichnungseinheit) ausgeführt werden, die als eine logische Einheit betrachtet werden. In diesem Sinne ist der Datenbestand der Positionsdatenverarbeitungseinrichtung nach der fehlerfreien und vollständigen Ausführung der Transaktion ein einem konsistenten Zustand, der bedingt, dass die Transaktion als solche entweder vollständig und fehlerfrei oder gar nicht ausgeführt wird. Beispiele für eine Transaktion sind die Speicherung von Daten in einem Speicher der Positionsdatenverarbeitungseinrichtung, die Versendung von Daten aus der Positionsdatenverarbeitungseinrichtung an einen von der Positionsdatenverarbeitungseinrichtung beabstandeten Ort, die Verarbeitung eines Datensatzes aus einem definierten Ausgangszustand in einen definierten Zielzustand - beispielsweise die Verschlüsselung eines Datensatzes. Unter einer trajektoriespezifischen Transaktion wird eine Transaktion angesehen, die in Abhängigkeit von Trajektoriedaten, Daten, aus denen die Trajektoriedaten abgleitet wurden und/ oder Daten, die aus den Trajektoriedaten abgeleitet wurden, erfolgt, beispielsweise in Abhängigkeit von Daten der erfindungsgemäß erzeugten Trajektorie oder in Abhängigkeit von Positionsdaten, von denen abhängig die Trajektorie erzeugt wurde. In diesem Sinne ist eine trajektoriespezifische Transaktion eine Transaktion, in der Daten, die im Kontext mit einer erfindungsgemäß erzeugten Trajektorie stehen, verarbeitet werden - beispielsweise von einem Prozessor der Positionsdatenverarbeitungseinrichtung. Ist die Positionsdatenverarbeitungseinrichtung ausgebildet, mehrere verschiedene trajektoriespezifische Transaktionen durchzuführen, so ist zumindest eine der verschiedenen trajektoriespezifischen Transaktionen als diejenige erfindungsgemäße ausgezeichnet, in deren Folge erfindungsgemäß die Anzahl von zulässigen erfindungsgemäßen trajektoriespezifischen Transaktionen reduziert wird.

[0017] Mit der Erfindung wird es möglich, die Anzahl trajektoriespezifischer Transaktionen in der
Positionsdatenverarbeitungseinrichtung und somit die Auswirkungen von einem etwaigen Defekt oder einer etwaigen Manipulationen an der Positionsdatenverarbeitungseinrichtung zu begrenzen.

[0018] Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft ausgebildet, bezüglich keiner erzeugten Trajektorie eine trajektoriespezifische Transaktion durchzuführen.
Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft ausgebildet, keine Trajektorie in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten zu erzeugen.

[0019] Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft ausgebildet, keine Positionsdaten, die indikativ für Positionen des Fahrzeugs sind, zu empfangen oder zu erzeugen.

[0020] Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, keine mangelnde Betriebsbereitschaft zu signalisieren, und im Zustand mangelnder Betriebsbereitschaft ausgebildet, eine mangelnde Betriebsbereitschaft zu signalisieren.
Alternativ oder optional ist die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, eine gegebene Betriebsbereitschaft zu signalisieren, und im Zustand mangelnder Betriebsbereitschaft ausgebildet, keine gegebene Betriebsbereitschaft zu signalisieren.
Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, durch Ausgabe eines optischen, akustischen und/ oder elektromagnetischen Signals eine gegebene Betriebsbereitschaft zu signalisieren. Beispielsweise kann das elektromagnetische Signal ein Funksignal sein, das von der Positionsdatenverarbeitungseinrichtung an eine, von dem Fahrzeug beabstandete zentrale Einrichtung (beispielsweise das u.a. Betriebsmitteilungsauswertungssystem oder die u. a. Mautzentrale) infolge eines Einschaltens/ Versorgung der Positionsdatenverarbeitungseinrichtung mit einem Betriebsstrom einmalig und/ oder wiederholt zu zufälligen Zeitpunkten oder bestimmten Anlässen gesendet wird.
Insbesondere ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft ausgebildet, eine mangelnde Betriebsbereitschaft durch Ausgabe eines optischen, akustischen und/ oder elektromagnetischen Signals zu signalisieren. Beispielsweise kann das elektromagnetische Signal ein Funksignal sein, das von der Positionsdatenverarbeitungseinrichtung an eine, von dem Fahrzeug beabstandete zentrale Einrichtung (beispielsweise das u. a. Betriebsmitteilungsauswertungssystem oder die u. a. Mautzentrale) infolge des Wechsels in den Zustand der mangelnden Betriebsbereitschaft einmalig und/ oder wiederholt zu zufälligen Zeitpunkten oder bestimmten Anlässen gesendet wird.
Die Signalisierung der mangelnden oder keiner gegebenen Betriebsbereitschaft kann dem Fahrer oder einem Mitarbeiter des Betriebs der zentralen Einrichtung als Hinweis dienen, dass seinerseits Maßnahmen erforderlich sind, um die Positiorisdatenverarbeitungseinrichtung wieder in einen Zustand der gegebenen Betriebsbereitschaft zurück zu versetzen. Die Signalisierung keiner mangelnden oder einer gegebenen Betriebsbereitschaft kann dem Fahrer oder einem Mitarbeiter des Betriebs der zentralen Einrichtung als Hinweis dienen, dass er sich auf den bestimmungsgemäßen Betrieb der Positionsdatenverarbeitungseinrichtung verlassen kann und seinerseits keine Maßnahmen bezüglich der Positionsdatenverarbeitungseinrichtung erforderlich sind.

[0021] Insbesondere kann die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ferner ausgebildet sein, die wenigstens eine erzeugte Trajektorie oder einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie bestimmten ersten Referenzwert im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem zu versenden.
In diesem Fall ist die Positionsdatenverarbeitungseinrichtung im Zustand mangelnder Betriebsbereitschaft vorzugsweise ausgebildet, keine erzeugte Trajektorie und keinen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie bestimmten ersten Referenzwert (RWA-1, ..., RWA-n) an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem zu versenden.

[0022] Einer vorteilhaften Weiterbildung zufolge ist die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, infolge oder im Rahmen der Durchführung der trajektoriespezifischen Transaktion die wenigstens eine erzeugte Trajektorie oder einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie bestimmten ersten Referenzwert im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem zu versenden, eine Antwortnachricht, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung versendet hat, zu empfangen und in Abhängigkeit von der empfangenen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu einer Anzahl von größer als Null zu modifizieren, unverändert zu lassen oder gleich Null zu setzen.

[0023] Damit wird es einerseits möglich, die Positionsdatenverarbeitungseinrichtung automatisiert und ohne die Mitwirkung des Fahrers oder eines Mitarbeiter des Betriebs des Betriebsmitteilungsauswertungssystems in einem Zustand gegebener Betriebsbereitschaft zu halten, wenn die Auswertung der gesendeten Betriebsmitteilung durch das Betriebsmitteilungsauswertungssystem ergibt, dass kein Defekt und keine Manipulation an der Positionsdatenverarbeitungseinrichtung, insbesondere an den Daten der Trajektoriendatei vorliegt (in diesem Fall enthält die Antwortnachricht beispielsweise die Anweisung, die vorgegebene Anzahl von zulässigen trajektoriespezifischen Transaktionen zu einer Anzahl von größer als Null zu modifizieren) und andererseits die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft zu versetzen, wenn die Auswertung der gesendeten Betriebsmitteilung durch das Betriebsmitteilungsauswertungssystem ergibt, dass ein Defekt oder eine Manipulation an der Positionsdatenverarbeitungseinrichtung, insbesondere an den Daten der Trajektoriendatei vorliegt (in diesem Fall enthält die Antwortnachricht beispielsweise die Anweisung, die Anzahl der zulässigen trajektoriespezifischen Transaktionen unverändert zu lassen oder gleich Null zu setzen).
Insbesondere - und das ist das besondere Verdienst der Erfindung - erreicht die Positionsdatenverarbeitungseinrichtung den Zustand der mangelnden Betriebsbereitschaft ganz automatisch, wenn der Defekt oder die Manipulation an der Positionsdatenverarbeitungseinrichtung derart ist, dass die Versendung der Betriebsmitteilung von der Positionsdatenverarbeitungseinrichtung an das Betriebsmitteilungsauswertungssystem ausbleibt, weil die Positionsdatenverarbeitungseinrichtung ausgebildet ist, mit jeder durchgeführten trajektoriespezifischen Transaktion die Anzahl der (noch verbleibenden) zulässigen trajektoriespezifischen zu reduzieren, bis die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt, ohne dass sie (mangels versendeter Betriebsmitteilungen) eine die vorgegebene Anzahl an zulässigen trajektoriespezifischen Transaktionen erhöhende Antwortnachricht von dem Betriebsmitteilungsauswertungssystem empfangen könnte.

[0024] Insbesondere ist dabei die Positionsdatenverarbeitungseinrichtung im Zustand gegebener Betriebsbereitschaft ausgebildet, eine Antwortnachricht, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von einer Auswertung der wenigstens einen gesendeten Betriebsmitteilung versendet hat, zu empfangen.
Die Positionsdatenverarbeitungseinrichtung kann im Zustand mangelnder Betriebsbereitschaft ausgebildet sein, eine Wiederinbetriebssetzungsnachricht von den Betriebsmitteilungsauswertungssystem zu empfangen und in Abhängigkeit von der empfangenen Wiederinbetriebssetzungsnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu einer Anzahl von größer als Null zu modifizieren und in den Zustand der gegebenen Betriebsbereitschaft zurückzuwechseln.
Zum Versenden der Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem und zum Empfang von Antwortnachrichten von dem Betriebsmitteilungsauswertungssystem umfasst die Positionsdatenverarbeitungseinrichtung bevorzugt eine Kommunikationseinrichtung oder ist an eine solche angeschlossen.

[0025] Die Positionsdatenverarbeitungseinrichtung ist beispielsweise als Mautgerät ausgebildet, das beispielsweise für eine Anordnung in einem Fahrzeug ausgestaltet ist. Beispielsweise handelt es sich bei dem Mautgerät um eine OnBoard-Unit (OBU). Alternativ kann das Mautgerät als mobiles Endgerät, beispielsweise als Smartphone oder Tablet-PC, und insoweit ebenfalls zum Mitführen in einem Fahrzeug ausgestaltet sein.
Vorzugsweise weist das Mautgerät einen Datenspeicher auf, in dem eine Nutzerkennung gespeichert ist, Diese Nutzerkennung kann beispielsweise eine Kennung des Mautgerätes, des Fahrzeugs oder des Fahrers/ Halters/ Eigentümers des Fahrzeugs sein und dient zur Zuordnung von durch das Mautgerät empfangenen oder erzeugten Daten, die die Nutzung einer mautpflichtigen Straße repräsentieren, zu einer Instanz anhand derer der Mautpflichtige bestimmt werden kann.

[0026] Die Positionsdatenverarbeitungseinrichtung wird beispielsweise von einem außerhalb des Fahrzeugs befindlichen Betriebsmitteilungsauswertungssystem verwaltet. Das Betriebsmitteilungsauswertungssystem verwaltet beispielsweise eine Vielzahl von Mautgeräten, die jeweils eine Positionsdatenverarbeitungseinrichtung umfassen. Das Betriebsmitteilungsauswertungssystem weist für diese Zwecke beispielsweise eine Mautzentrale und/oder eine oder mehrere straßenseitige Kontrolleinrichtungen auf, wobei letztere mobil oder stationär (beispielsweise stationäre Mautstellen) sein können. Alternativ ist das Betriebsmitteilungsauswertungssystem von einem Mautsystem mit einer derartigen Mautzentrale und einen oder mehreren derartigen straßenseitigen Kontrolleinrichtungen umfasst. Beispielsweise ist die Mautzentrale ausgebildet, basierend auf Daten der empfangenen Trajektorie, die das Betriebsmitteilungsauswertungssystem von einer verwalteten Positionsdatenverarbeitungseinrichtung - insbesondere einem Mautgerät - empfangenen hat, eine Mautgebühr zu berechnen, die beispielsweise der Nutzerkennung zugeordnet wird, die in dem Mautgerät gespeichert ist und zusammen mit oder unabhängig von der Trajektorie durch das Mautgerät an die Mautzentrale versendet wird mit dem Zweck, die Mautgebühr dem Mautpflichtigen desjenigen Fahrzeugs zuzuordnen, von welchem die Positionsdatenverarbeitungseinrichtung mitgeführt worden ist.

[0027] So kann eine als Mautgerät dienliche Positionsdatenverarbeitungseinrichtung eine in der Positionsdatenverarbeitungseinrichtung gespeicherte Nutzerkennung, insbesondere eine Kennung des Fahrzeugs oder der Positionsdatenverarbeitungseinrichtung, aufweisen und ausgebildet sein, die wenigstens eine erzeugte Trajektorie im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem zu versenden und die Nutzerkennung zusammen mit der Trajektorie im Rahmen der Betriebsmitteilung oder ohne die Trajektorie in einer von der Betriebsmitteilung unabhängigen Identifikationsmitteilung an das Betriebsmitteilungsauswertungssystem zu senden.
Dabei ist datentechnisch gesichert, dass die Identifikationsmitteilung in einem Kontext zu der Betriebsmitteilung steht, so dass seitens des Betriebsmitteilungsauswertungssystems eine Zuordnung der Nutzerkennung zu der Trajektorie oder zu einem aus der Trajektorie durch das Betriebsmitteilungsauswertungssystem erzeugten Ergebnis, beispielsweise einer Maütgebühr, möglich ist.
Alternativ oder optional kann eine als Mautgerät dienliche Positionsdatenverarbeitungseinrichtung eine in der Positionsdatenverarbeitungseinrichtung gespeicherte Nutzerkennung, insbesondere eine Kennung des Fahrzeugs oder der Positionsdatenverarbeitungseinrichtung, aufweisen und ausgebildet sein, aus der wenigstens einen Trajektorie einen durch das Fahrzeug befahrenen mautpflichtigen Streckenabschnitt und/ oder wenigstens eine Mautgebühr zu bestimmen und wenigstens einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie bestimmten ersten Referenzwert im Rahmen einer Betriebsmitteilung zusammen mit der Nutzerkennung an das Betriebsmitteilungsauswertungssystem zu senden.

[0028] Vorzugsweise weist die Positionsdatenverarbeitungseinrichtung einen Empfänger auf, der ausgebildet ist zum Empfangen und/oder zum Erzeugen von Positionsdaten, die indikativ für die Position des Fahrzeugs sind. Bei dem Empfänger handelt es sich beispielsweise um einen Global Navigation Satellite System (GNSS) Empfänger, der ausgebildet ist zum Empfangen von Satellitensignalen und zum Erzeugen der Positionsdaten in Abhängigkeit von den empfangenen Satellitensignalen. Beispielsweise handelt es sich bei den Satellitensignalen um GPS-, GLONASS-, GALILEO- oder COMPASS-Signale. Die Positionsdaten können aber auch von stationären straßenseitigen Einrichtungen, beispielsweise sogenannte Stützbaken, die das Fahrzeug passiert, ausgesendet und vom Empfänger der Positionsdatenverarbeitungseinrichtung empfangen werden, der in diesem Falle als DSRC-Empfänger ausgebildet sein kann.

[0029] An den Empfänger gekoppelt ist vorzugsweise eine von der Positionsdatenverarbeitungseinrichtung umfasste Aufzeichnungseinheit, die zum Erzeugen von Trajektorien, beispielsweise in Form von Trajektoriendateien, in Abhängigkeit von den Positionsdaten ausgebildet ist. Jede der Trajektoriendateien ist insofern indikativ für eine von dem Fahrzeug zurückgelegte Strecke. Eine Trajektoriendatei umfasst also beispielsweise einen Satz von Positionsdaten, die der Empfänger während eines Zeitraums erzeugt und/oder empfangen hat. Die Erzeugung der Trajektoriendateien durch die Aufzeichnungseinheit erfolgt beispielsweise intervallmäßig, beispielsweise in Zeitintervallen oder in Streckenintervallen. Beispielsweise ist die Aufzeichnungseinheit also ausgebildet, für alle Positionsdaten, die während des Passierens eines bestimmten Streckenintervalls einer bestimmten Länge von beispielsweise 100 km empfangen und/oder erzeugt worden sind, in einer Trajektoriendatei abzulegen, insbesondere zu speichern. Bei einer anderen Ausführungsform ist die Aufzeichnungseinheit beispielsweise ausgebildet, die Positionsdaten, die während eines vergangenen Zeitintervalls empfangen und/oder erzeugt worden sind, in einer Trajektoriendatei abzulegen, insbesondere zu speichern. Beispielsweise erstellt die Aufzeichnungseinheit für alle Positionsdaten, die in einem Zeitintervall von einigen Minuten oder Stunden empfangen und/oder erzeugt worden sind, eine neue Trajektoriendatei.

[0030] Zum Speichern der Trajektoriendatei kann in der Positionsdatenverarbeitungseinrichtung ein Speicher vorgesehen sein, der von der Aufzeichnungseinheit betrieben werden kann.

[0031] Die Aufzeichnungseinheit ist außerdem bevorzugt ausgebildet, einer Kommunikationseinrichtung der Positionsdatenverarbeitungseinrichtung wenigstens eine der Trajektoriendateien zur Übermittlung im Rahmen wenigstens einer Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem bereitzustellen, wobei die Kommunikationseinrichtung ferner ausgebildet ist zum Empfangen einer Antwortnachricht des Betriebsmitteilungsauswertungssystems, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von einer Auswertung der wenigstens einen Betriebsmitteilung erstellt hat. Insbesondere erstellt das Betriebsmitteilungsauswertungssystem die Antwortnachricht in Abhängigkeit von dem Auswertungsergebnis der Auswertung der Betriebsmitteilung. Zunächst übermittelt die Kommunikationseinrichtung also die wenigstens eine Trajektoriendatei an das Betriebsmitteilungsauswertungssystem und erhält beispielsweise in Antwort darauf besagte Antwortnachricht.

[0032] Die Positionsdatenverarbeitungseinrichtung kann ferner ein Sicherheitsmodul aufweisen. Mit dem Sicherheitsmodul können bestimmte Verarbeitungsschritte der Positionsdatenverarbeitungseinrichtung durchgeführt werden. Ein solches Sicherheitsmodul ist beispielsweise als Chipkarte ausgestaltet. Ein Sicherheitsmodul ist beispielsweise eine "besonders geschützte" eigenständige Einheit, beispielsweise eine Chipkarte, die wenigstens ein autonomes Steuermodul und einen Speicherbereich aufweist, wobei das autonome Steuermodul bevorzugt dazu konfiguriert ist, Anfragen nach einer Herausgabe von Daten aus dem Speicherbereich und/oder der Änderung oder Aufnahme von Daten im Speicherbereich nur gegen eine Authentifizierung auszuführen. Die Durchführung der Authentifizierungsprozedur kann die Analyse einer digitalen Signatur mittels eines vom Signierenden im Sicherheitsmodul abgelegten öffentlichen Schlüssels erfolgen.

[0033] Die Positionsdatenverarbeitungseinrichtung weist bevorzugt wenigstens einen Prozessor - beispielsweise in Form oder umfasst von der Aufzeichnungseinheit- auf, der zumindest im Zustand gegebener Betriebsbereitschaft ausgebildet ist, in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten die wenigstens eine Trajektorie zu erzeugen; zusätzlich weist die Positionsdatenverarbeitungseinrichtung bevorzugt wenigstens ein Sicherheitsmodul auf, welches zumindest im Zustand gegebener Betriebsbereitschaft ausgebildet ist, die wenigstens eine trajektoriespezifische Transaktion durchzuführen, wobei der Prozessor zumindest im Zustand gegebener Betriebsbereitschaft ausgebildet ist, dem Sicherheitsmodul die erzeugte Trajektorie zur Durchführung der trajektoriespezifischen Transaktion bereitzustellen. Die Bereitstellung kann dadurch erfolgen, dass der Prozessor die Trajektorie in einem Datenspeicher der Positionsdatenverarbeitungseinrichtung ablegt, aus dem das Sicherheitsmodul die Trajektorie abrufen kann, beispielsweise nachdem das Sicherheitsmodul von dem Prozessor eine Nachricht darüber empfangen hat, dass diese Trajektorie für das Sicherheitsmodul in dem Datenspeicher abgelegt wurde.
Alternativ kann die Bereitstellung dadurch erfolgen, dass der Prozessor die Trajektorie an das Sicherheitsmodul übermittelt.

[0034] Neben dem Erzeugen der Trajektoriendateien ist die Positionsdatenverarbeitungseinrichtung, beispielsweise die Aufzeichnungseinheit oder das Sicherheitsmodul, gemäß einer Ausführungsform ferner ausgebildet zum Bestimmen eines ersten Referenzwerts aus der Daten der Trajektorie(-datei) (Trajektoriedaten) gemäß einem Referenzwertbestimmungsverfahren. Das Referenzwertbestimmungsverfahren umfasst beispielsweise einen Hash-Algorithmus und bei dem ersten Referenzwert handelt es sich beispielsweise um einen Hash-Wert. Beispielsweise führt die Aufzeichnungseinheit bei der Implementierung des Referenzwertbestimmungsverfahrens eine zyklische Redundanzprüfung (Cyclic Redundancy Check; CRC) durch. Demzufolge handelt es sich bei dem ersten Referenzwert beispielsweise um einen CRC-Wert. Damit kann die Positionsdatenverarbeitungseinrichtung gemäß dem Referenzwertbestimmungsverfahren in deterministischer Weise aus Daten der Trajektorie einen Referenzwert bestimmen. Diese Referenzwertbestimmung kann von der trajektoriespezifischen Transaktion umfasst sein, diese bilden, ihr vorangehen oder ihr nachfolgen.

[0035] Die Vorgabe der Anzahl der zulässigen trajektoriespezifischen Transaktionen kann beispielsweise ausdrücklich mittels eines Zählers erfolgen, der beispielsweise eine Anzahl von 10 oder 20 oder eine andere Zahl zulässiger trajektoriespezifischer Transaktionen nennt. Die Anzahl kann aber auch indirekt vorgegeben sein, beispielsweise durch eine Anzahl verfügbarer TANs oder eine Anzahl verfügbarer Speicherplätze in einem Speicherbereich des Sicherheitsmoduls. Auf diese Varianten wird an späterer Stelle näher eingegangen werden.

[0036] Mit jeder trajektoriespezifischen Transaktion, die das Sicherheitsmodul bezüglich einer Trajektoriendatei durchführt, wird die Anzahl der zulässigen trajektoriespezifischen Transaktionen automatisch, insbesondere unabhängig von einer Antwortnachricht des Betriebsmitteilungsauswertungssystems, reduziert. Diese reduzierte Anzahl bildet dann wiederum für die nächstfolgende trajektoriespezifische Transaktion die vorgegebene Anzahl, es sei den die vorgegebene Anzahl wird zwischenzeitlich, beispielsweise in Abhängigkeit von der empfangenen Antwortnachricht erneut bestimmt. Die Anzahl zulässiger trajektoriespezifischer Transaktionen kann insbesondere auch Null betragen. In diesem Fall führt die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, keine trajektoriespezifischen Transaktion durch. Sie ,verweigert dann ihren Dienst'.
Insbesondere erfolgt mangels einer Durchführung der trajektoriespezifischen Transaktion keine Versendung einer die erzeugte Trajektorie umfassenden Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem, weil die Versendung einer solchen Betriebsmitteilung nur infolge oder im Rahmen der Durchführung der trajektoriespezifischen Transaktion stattfindet.

[0037] Eine trajektoriespezifische Transaktion beinhaltet beispielsweise:

• die Entgegennahme wenigstens eines der ersten Referenzwerte und/ oder einer der Trajektoriendateien von der Aufzeichnungseinheit durch das Sicherheitsmodul;
• fakultativ das Speichern wenigstens eines der ersten Referenzwerte und/oder wenigstens einer der Trajektoriendateien in einem Speicherbereich des Sicherheitsmoduls;
• Berechnen eines ersten Prüfwerts für wenigstens einen der ersten Referenzwerte und/oder für wenigstens eine der Trajektoriendateien;
• fakultativ das Speichern wenigstens eines der ersten Prüfwerte in dem Speicherbereich des Sicherheitsmoduls; und/oder
• Bereitstellen wenigstens eines der ersten Referenzwerte und/oder eines der ersten Prüfwerte für die Aufzeichnungseinheit, sodass der bereitgestellte wenigstens eine erste Referenzwert und/oder der wenigstens eine erste Prüfwert im Rahmen der Betriebsmitteilung von der Kommunikationseinrichtung an das Betriebsmitteilungsauswertungssystem übermittelt werden kann/können.

[0038] Insbesondere kann die Positionsdatenverarbeitungseinrichtung ausgebildet sein, im Rahmen der Durchführung der trajektoriespezifischen Transaktion oder außerhalb davon wenigstens einen der folgenden Schritte durchzuführen: (a) die zumindest zeitweilige Speicherung von Trajektoriedaten in einem Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung; (b) die Versendung der Trajektorie im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem; (c) die Bestimmung eines ersten Referenzwertes aus der Trajektorie gemäß wenigstens eines Referenzwertbestimmungsverfahrens, (d) die zumindest zeitweilige Speicherung eines ersten, aus Trajektoriedaten gemäß wenigstens eines Referenzwertbestimmungsverfahrens bestimmten, Referenzwertes in einem Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung.

[0039] Insbesondere kann die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, ausgebildet sein, im Rahmen der Durchführung der trajektoriespezifischen Transaktion oder außerhalb davon gemäß wenigstens eines Referenzwertbestimmungsverfahrens einen ersten Referenzwert aus Trajektorie Daten (Daten der Trajektoriendatei) zu bestimmen, und die Positionsdatenverarbeitungseinrichtung ausgebildet sein, (a) den ersten Referenzwert im Rahmen einer Betriebsmitteilung zusammen mit der Trajektorie, aus deren Daten der erste Referenzwert bestimmt wurde, oder (b) im Rahmen einer von einer ersten Betriebsmitteilung zeitlich beabstandeten, gesonderten zweiten Betriebsmitteilung als Referenzwertnachricht mittels einer Kommunikationseinrichtung an das Betriebsmitteilungsauswertungssystem zu versenden, nachdem oder bevor die Trajektorie im Rahmen der ersten Betriebsmitteilung als Trajektoriennachricht mittels einer Kommunikationseinrichtung an das Betriebsmitteilungsauswertungssystem versendet wurde oder wird. Insbesondere umfasst die Positionsdatenverarbeitüngseinrichtung im Falle (a) eine Kommunikationseinrichtung zu einer langreichweitigen Kommunikation mit Basisstationen eines an das Betriebsmitteilungsauswertungssystem angeschlossenen Mobilfunknetzes und einen Prozessor - beispielsweise in Form der Aufzeichnungseinheit oder von der Aufzeichnungseinheit umfasst-der ausgebildet ist, der Kommunikationseinrichtung die Trajektorie (in Form von Trajektoriedaten oder als Trajektoriendatei) und den ersten Referenzwert bereitzustellen und die erste Kommunikationseinrichtung anzuweisen, die erste Betriebsmitteilung mit der Trajektorie und dem ersten Referenzwert an das Betriebsmitteilungsauswertungssystem zu versenden. Insbesondere umfasst die Positionsdatenverarbeitungseinrichtung im Falle (b) eine Kommunikationseinrichtung zu einer langreichweitigen Kommunikation mit Basisstationen eines an das Betriebsmitteilungsauswertungssystem angeschlossenen Mobilfunknetzes, wobei die Positionsdatenverarbeitungseinrichtung ferner einen Prozessor-beispielsweise in Form der Aufzeichnungseinheit oder von der Aufzeichnungseinheit umfasst - aufweist, der ausgebildet ist, der Kommunikationseinrichtung die Trajektorie (in Form von Trajektoriedaten oder als Trajektoriendatei) bereitzustellen und die erste Kommunikationseinrichtung anzuweisen, die erste Betriebsmitteilung mit der Trajektorie an das Betriebsmitteilungsauswertungssystem zu senden, und der Kommunikationseinrichtung den ersten Referenzwert (z. B. in Form von ersten Referenzwertdaten) bereitzustellen, wobei die Kommunikationseinrichtung ausgebildet ist, den ersten Referenzwert in Antwort auf eine über das Mobilfunknetz empfangene, von dem Betriebsmitteilungsauswertungssystem versendete, Anforderungsnachricht im Rahmen der zweiten Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem über das Mobilfunknetz zu versenden.
Beispielsweise ist die besagte Kommunikationseinrichtung eine Mobilfunk-Kommunikationseinrichtung, beispielsweise ein Mobilfunkmodul, beispielsweise ein GSM-Modul, ein UMTS und/ oder ein LTE-Modul.

[0040] Alternativ kann die Positionsdatenverarbeitungseinrichtung im Falle (b) eine erste Kommunikationseinrichtung zu einer langreichweitigen Kommunikation mit Basisstationen eines an das Betriebsmitteilungsauswertungssystem angeschlossenen Mobilfunknetzes und eine zweite Kommunikationseinrichtung zu einer kurzreichweitigen Kommunikation mit an das Betriebsmitteilungsauswertungssystem angeschlossenen oder vom Betriebsmitteilungsauswertungssystem umfassten straßenseitigen Kontrolleinrichtungen umfassen, wobei die Positionsdatenverarbeitungseinrichtung ferner einen Prozessor - beispielsweise in Form der Aufzeichnungseinheit oder von der Aufzeichnungseinheit umfasst - aufweist, der ausgebildet ist, der ersten Kommunikationseinrichtung die Trajektorie (in Form von Trajektoriedaten oder als Trajektoriendatei) bereitzustellen und die erste Kommunikationseinrichtung anzuweisen, die erste Betriebsmitteilung mit der Trajektorie an das Betriebsmitteilungsauswertungssystem zu senden, und der zweiten Kommunikationseinrichtung den ersten Referenzwert (z. B. in Form von ersten Referenzwertdaten) bereitzustellen, wobei die zweite Kommunikationseinrichtung ausgebildet ist, den ersten Referenzwert in Antwort auf eine von der straßenseitigen Kontrolleinrichtung empfangene Anforderungsnachricht im Rahmen der zweiten Betriebsmitteilung an die straßenseitige Kontrolleinrichtung zu versenden.
Beispielsweise ist die besagte erste Kommunikationseinrichtung eine Mobilfunk-Kommunikationseinrichtung, beispielsweise ein Mobilfunkmodul, beispielsweise ein GSM-Modul, ein UMTS und/oder ein LTE-Modul Beispielsweise ist die besagte zweite Kommunikationseinrichtung eine DSRC-Kommunikationseinrichtung, beispielsweise ein DSRC-Kommunikationsmodul.

[0041] Insbesondere kann die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, ausgebildet sein, die Bestimmung eines Referenzwertes gemäß wenigstens eines Referenzwertbestimmungsverfahrens durch Anwendung einer den ersten Referenzwert erzeugenden kryptographischen Funktion, insbesondere einer Hash-Funktion oder einer CRC-Funktion, auf Trajektoriedaten durchzuführen, so dass der Referenzwert als kryptographischer.Wert, insbesondere als Hash-Wert oder CRC-Wert, ausgebildet ist.
Insbesondere kann die Referenzwertbestimmung eine mögliche trajektoriespezifische Transaktion sein.

[0042] Insbesondere kann die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, ausgebildet sein, die trajektoriespezifische Transaktion durch eine auf den ersten Referenzwert, der aus Daten der Trajektorie abgeleitet wurde, bezogene Transaktion durchzuführen. Diese auf den ersten Referenzwert bezogene trajektoriespezifische Transaktion kann die Speicherung des Referenzwertes in dem Sicherheitsmodul, das Versenden des ersten Referenzwertes im Rahmen einer Betriebsmitteilung zusammen mit der Trajektorie oder im Rahmen einer Betriebsmitteilung als Referenzwertnachricht ohne die Trajektorie umfassen.

[0043] Beispielsweise ist die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul, ausgebildet, eine jeweilige trajektoriespezifische Transaktion erst dann durchzuführen, wenn eine Antwortnachricht von dem Betriebsmitteilungsauswertungssystem erfolgreich authentifiziert worden ist. Für diese Zwecke ist die Positionsdatenverarbeitungseinrichtung bevorzugt ausgebildet, die Antwortnachricht unter Verwendung wenigstens eines Schlüssels zu authentifizieren. Dabei wird beispielsweise ein öffentlicher Schlüssel verwendet, der sowohl der Positionsdatenverarbeitungseinrichtung als auch dem Betriebsmitteilungsauswertungssystem vorliegt, und/oder ein privater Schlüssel, der nur der Positionsdatenverarbeitungseinrichtung vorliegt. Der Schlüssel bzw. die Schlüssel sind gemäß einer Ausführungsform in dem Sicherheitsmodul gespeichert. Auf den Aspekt der Authentifizierung wird an späterer Stelle näher eingegangen werden.

[0044] Die Aufzeichnungseinheit ist beispielsweise ausgebildet, einer Kommunikationseinrichtung der Positionsdatenverarbeitungseinrichtung wenigstens eine der Trajektoriendateien und wenigstens einen der ersten Referenzwerte zur Übermittlung im Rahmen der wenigstens einen Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem bereitzustellen. Das Betriebsmitteilungsauswertungssystem empfängt dann sowohl die wenigstens eine Trajektoriendatei als auch den wenigstens einen ersten Referenzwert, der der wenigstens einen Trajektoriendatei zugeordnet ist, den also beispielsweise die Aufzeichnungseinheit oder das Sicherheitsmodul für die wenigstens eine Trajektoriendatei gemäß dem Referenzwertbestimmungsverfahren bestimmt hat. Für diese Zwecke umfasst das Betriebsmitteilungsauswertungssystem einen Nachrichtenempfänger, der zum Empfangen der Betriebsmitteilung der Positionsdatenverarbeitungseinrichtung ausgebildet ist. Dabei kann - wie weiter unten näher beschrieben ist - die Betriebsmitteilung eine Trajektoriennachricht mit der wenigstens einen Trajektoriendatei und eine Referenzwertnachricht mit dem wenigstens einen ersten Referenzwert umfassen. Der Nachrichtenempfänger umfasst beispielsweise eine Anzahl von ersten Empfangsmodulen zum Empfangen der Trajektoriennachricht und eine Anzahl von zweiten Empfangsmodulen zum Empfangen der Referenzwertnachricht. Beispielsweise ist wenigstens eines der zweiten Empfangsmodule an einer straßenseitigen Kontrolleinrichtung des Betriebsmitteilungsauswertungssystems angeordnet.

[0045] Das Betriebsmitteilungsauswertungssystem nimmt eine Auswertung der empfangenen Betriebsmitteilung vor.

[0046] Anhand der Auswertung der Betriebsmitteilung soll zentralseitig überprüft werden, ob ein Manipulationsversuch oder ein Defekt an der Positionsdatenverarbeitungseinrichtung vorliegt. Dies kann insbesondere dadurch erfolgen, dass das Betriebsmitteilungsauswertungssystem für jede empfangene Trajektoriendatei gemäß demselben Referenzwertbestimmungsverfahren, das bei der Positionsdatenverarbeitungseinrichtung zur Anwendung kommt, einen zweiten Referenzwert bestimmt.

[0047] Beispielsweise führt das Betriebsmitteilungsauswertungssystem für eine jeweilige Trajektoriendatei einen ersten Vergleich durch, und zwar zwischen dem zweiten Referenzwert und dem zur jeweiligen Trajektoriendatei gehörigen ersten Referenzwert. Stimmen diese beiden Werte nicht miteinander überein, so kann das Betriebsmitteilungsauswertungssystem darauf schließen, dass ein Manipulationsversuch vorliegt. Stimmen der erste Referenzwert und der zweite Referenzwert miteinander überein, so kann das Betriebsmitteilungsauswertungssystem dies als Indiz dafür werten, dass kein Manipulationsversuch vorliegt.

[0048] Auch bereits die beispielsweise automatisiert erfolgende Auswertung der Trajektoriendatei allein kann ausreichend sein, es dem Betriebsmitteilungsauswertungssystem zu ermöglichen, einen Mangel im Betrieb der Positionsdatenverarbeitungseinrichtung zu detektieren: Beispielsweise deuten Abstände zwischen zwei in der Trajektorie unmittelbar aufeinander folgenden Positionen, die hinsichtlich ihrer Größe nicht vereinbar sind mit einer üblichen Fahrgeschwindigkeit (sogenannte Positionssprünge) auf ein Spoofing hin, mit dem dem Empfänger falsche Satelliten- oder Positionsdaten zugeführt wurden oder auf einen zeitweiligen Ausfall des Empfängers. Eine unüblich große Streuung innerhalb einer Gruppe von mehreren, unmittelbar aufeinander folgenden Positionen deutet auf einen Defekt am Empfänger oder ein Jamming hin, mit dem der Empfang von Satellitendaten gestört wird.

[0049] Jedenfalls erstellt das Betriebsmitteilungsauswertungssystem in Abhängigkeit von der Auswertung der Betriebsmitteilung die Antwortnachricht und übermittelt diese zurück an die Positionsdatenverarbeitungseinrichtung, beispielsweise gemäß einem Drahtloskommunikationsstandard, wie GSM, DSRC, UMTS etc.. Auf die Erstellung dieser Antwortnachricht wird an späterer Stelle näher eingegangen werden.

[0050] Die Kommunikationseinrichtung der Positionsdatenverarbeitungseinrichtung ist ausgebildet, die von dem Betriebsmitteilungsauswertungssystem erstellte und versendete Antwortnachricht zu empfangen und diese bzw. einen Nachrichteninhalt der Antwortnachricht der Aufzeichnungseinheit und/oder dem Sicherheitsmodul mittels der Aufzeichnungseinheit zur Verfügung zu stellen.

[0051] Beispielsweise stellt Positionsdatenverarbeitungseinrichtung die mittels der Kommunikationseinrichtung die empfangene Antwortnachricht des Betriebsmitteilungsauswertungssystems oder eine sinngemäße Nachricht dem Sicherheitsmodul mittels der Aufzeichnungseinheit bereit. Das Sicherheitsmodul ist diesem Fall ausgebildet zum Modifizieren der Anzahl der vorgegebenen zulässigen trajektoriespezifischen Transaktionen in Abhängigkeit von der Antwortnachricht zu einer Anzahl von größer als Null.

[0052] Wird beispielsweise keine Antwortnachricht empfangen, so erfolgt auch keine Modifikation der Anzahl der zulässigen trajektoriespezifischen Transaktionen. Die Antwortnachricht kann auch anzeigen, dass die Anzahl nicht zu modifizieren ist. Ergibt die Betriebsmitteilungsauswertungssystemseitige Auswertung der wenigstens einen Betriebsmitteilung indes, dass die Anzahl zu modifizieren ist, so enthält die Antwortnachricht eine entsprechende Aufforderung und das Sicherheitsmodul modifiziert die Anzahl.

[0053] Das Modifizieren der Anzahl der zulässigen trajektoriespezifischen Transaktionen kann insbesondere ein Erhöhen der Anzahl beinhalten.

[0054] Im Falle eines Zählerstands wird die durch den Zählerstand angegebene Anzahl entsprechend erhöht, beispielsweise von 5 auf 8 oder von 9 auf 10, je nachdem, welchen Inhalt die Antwortnachricht hat. Basiert die Vorgabe der Anzahl zulässiger trajektoriespezifischer Transaktionen auf der Anzahl verfügbarer TANs und enthält die Antwortnachricht einen oder mehrerer neue TANs, so erfolgt eine Modifikation der Anzahl zulässiger trajektoriespezifischer Transaktionen durch eine Aufnahme der neuen TANs. Im Falle einer Vorgabe der Anzahl zulässiger trajektoriespezifischer Transaktionen durch eine Anzahl verfügbarer Speicherplätze werden in Abhängigkeit von der Antwortnachricht neue Speicherplätze freigegeben, beispielsweise durch Löschen vormals belegter Speicherplätze. Vorstehende Varianten werden an späterer Stelle näher erläutert werden.

[0055] Ein Vorteil der vorliegenden Erfindung liegt darin, dass zentralseitig, also betriebsmitteilungsauswertungssystemseitig, anhand der Auswertung der Betriebsmitteilung ermittelt werden kann, ob ein Manipulationsversuch und/oder ein Defekt bei der Positionsdatenverarbeitungseinrichtung vorliegt oder nicht. Schließt das Betriebsmitteilungsauswertungssystem auf einen Manipulationsversuch und/oder einen Defekt, so versendet es beispielsweise keine Antwortnachricht oder eine Antwortnachricht, die ein Modifizieren der Anzahl zulässiger trajektoriespezifischer Transaktionen, insbesondere ein Erhöhen der Anzahl, verbietet. Da die Anzahl zulässiger trajektoriespezifischer Transaktionen jedenfalls (unabhängig von der Antwortnachricht) mit jeder Trajektorie spezifischen Transaktion reduziert wird, wird die trajektoriespezifische Transaktion dann unterbunden, wenn diese Anzahl Null beträgt. Ist dies der Fall, so geht die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft über, was von dem Betriebsmitteilungsauswertungssystem anhand der Signalisierung der mangelnden Betriebsbereitschaft detektiert werden kann. Sodann können entsprechende Maßnahmen zentralseitig eingeleitet werden. Die Antwortnachricht kann auch unmittelbar anzeigen, dass die Positionsdatenverarbeitungseinrichtung in diesen Zustand zu versetzen ist, beispielsweise indem sie die Positionsdatenverarbeitungseinrichtung auffordert, die Anzahl der zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.

[0056] Beträgt die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null, wird beispielsweise vom Sicherheitsmodul eine Fehlermeldung erzeugt und die Positionsdatenverarbeitungseinrichtung nutzt diese Fehlermeldung, um in den Zustand mangelnder Betriebsbereitschaft überzugehen, beispielsweise um den Betrieb der Positionsdatenverarbeitungseinrichtung zu sperren und/oder dem Betriebsmitteilungsauswertungssystem einen Manipulationsversuch mitzuteilen. Diese Maßnahmen können auch dann ergriffen werden, wenn beispielsweise ein Benutzer das Aussenden der Betriebsmitteilung durch die Kommunikationseinrichtung, verhindert, beispielsweise durch Überdecken einer an die Kommunikationseinrichtung gekoppelten Sendeantenne, da auf das Ausbleiben der Betriebsmitteilung von dem Betriebsmitteilungsauswertungssystem keine Antwortnachricht ausgesendet wird und nur die Antwortnachricht dazu führen kann, dass die Anzahl der zulässigen trajektoriespezifischen Transaktionen erhöht wird. Unterbleibt der Empfang der Antwortnachricht und/oder zeigt die Antwortnachricht an, dass die Anzahl nicht zu erhöhen ist, so führt dies aufgrund der stetigen Reduzierung der Anzahl der zulässigen trajektoriespezifischen Transaktionen mit jeder durchgeführten trajektoriespezifischen Transaktion dazu, dass die Anzahl der zulässigen trajektoriespezifischen Transaktionen den Wert Null erreicht und damit zur Produktion der Fehlermeldung, sodass die Positionsdatenverarbeitungseinrichtung und/oder das Betriebsmitteilungsauswertungssystem auf das Vorliegen eines Manipulationsversuchs schließen können.

[0057] Ein herausragender Vorteil einer Ausführungsform der Positionsdatenverarbeitungseinrichtung besteht somit darin, dass eine manipulativ oder durch Defekt an der Kommunikationseinrichtung unterbundene Übermittlung von Trajektoriendateien, die oder deren Referenzwerte bereits von dem Sicherheitsmodul im Rahmen einer trajektoriespezifischen Transaktion verarbeitet wurden, an das Betriebsmitteilungsauswertungssystem in Ermangelung entsprechender Antwortnachrichten ohne weiteres Zutun durch die mit jeder trajektoriespezifischen Transaktion automatisch reduzierte Anzahl verbleibender trajektoriespezifischer Transaktionen die Positionsbestimmungseinrichtung selbstständig in einen Zustand führt, in dem keine trajektoriespezifischen Transaktionen mehr durch das Sicherheitsmodul durchgeführt wird. Dasselbe gilt für den Fall einer Löschung der Trajektoriendatei vor ihrer vorgesehenen Übermittlung an das Betriebsmitteilungsauswertungssystem.

[0058] Nachfolgend werden weitere bevorzugte Ausführungsformen der vorliegenden Erfindung erläutert. Die weiteren Merkmale dieser bevorzugten Ausführungsformen können miteinander als auch mit den bereits oben beschriebenen optionalen Merkmalen zum Bilden weiterer Ausführungsbeispiele kombiniert werden, sofern sie nicht ausdrücklich als alternativ zueinander beschrieben sind.

[0059] Bei einer bevorzugten Ausführungsform der Positionsdatenverarbeitungseinrichtung ist die Positionsdatenverarbeitungseinrichtung ausgebildet, in einen Zustand mangelnder Betriebsbereitschaft überzugehen, falls die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt. Beispielsweise verweigert in einem solchen Fall das Sicherheitsmodul der Aufzeichnungseinheit die angefragte Verarbeitung der Trajektoriendatei und/oder des optional für die Trajektoriendatei bestimmten ersten Referenzwertes, worauf die Aufzeichnungseinrichtung ein entsprechendes Fehler-Signal erzeugt.

[0060] Beispielsweise ist die Positionsdatenverarbeitungseinrichtung ausgebildet und ausgestaltet, einen derartigen Zustand optisch an einen Benutzer der Positionsdatenverarbeitungseinrichtung zu kommunizieren, beispielsweise mittels einer dafür vorgesehenen Signalisierungseinrichtung der Positionsdatenverarbeitungseinrichtung, beispielsweise mittels einer rotfarbigen LED. Beispielsweise ist die Positionsdatenverarbeitungseinrichtung ausgebildet, auch dann in einen Zustand mangelnder Betriebsbereitschaft überzugehen, falls die Antwortnachricht anzeigt, dass die Positionsdatenverarbeitungseinrichtung in diesen Zustand zu überführen ist.

[0061] Die Positionsdatenverarbeitungseinrichtung versetzt sich also beispielsweise automatisch in einen Zustand mangelnder Betriebsbereitschaft, falls entweder die Anzahl zulässiger trajektoriespezifischer Transaktionen Null beträgt oder weil die Antwortnachricht unmittelbar anzeigt, dass die Positionsdatenverarbeitungseinrichtung in diesen Zustand zu überführen ist, beispielsweise dadurch, dass die Positionsdatenverarbeitungseinrichtung ausgebildet ist, in Abhängigkeit von einer derartigen Antwortnachricht die Anzahl der zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.

[0062] Bei einer bevorzugten Ausführungsform ist das Sicherheitsmodul ausgebildet, den Übergang in den Zustand mangelnder Betriebsbereitschaft zu veranlassen, beispielsweise dann, falls entweder die Anzahl zulässiger trajektoriespezifischer Transaktionen Null beträgt oder weil die Antwortnachricht unmittelbar anzeigt, dass die Positionsdatenverarbeitungseinrichtung in diesen Zustand zu überführen ist.

[0063] Der Zustand mangelnder Betriebsbereitschaft bedeutet beispielsweise, dass die Positionsdatenverarbeitungseinrichtung nicht mehr ihre bestimmungsgemäße Funktion, die beispielsweise für eine Mauterhebung erforderlich sein kann, erfüllt. Beispielsweise unterlässt also die die Positionsdatenverarbeitungseinrichtung das Erzeugen von Trajektoriendateien und/oder das Übermitteln der Betriebsmitteilung, beispielsweise das Übermitteln der Trajektoriennachricht und/oder der Referenzwertnachricht.

[0064] Bevorzugt ist die Positionsdatenverarbeitungseinrichtung ausgebildet, automatisch den Übergang in den Zustand der mangelnden Betriebsbereitschaft an das Betriebsmitteilungsauswertungssystem zu kommunizieren, beispielsweise mittels einer eigens dafür vorgesehenen Nachricht. Zentralseitig kann dann leichter erfasst werden, dass bei der betreffenden Positionsdatenverarbeitungseinrichtung ein Manipulationsversuch vorgelegen hat und entsprechende Maßnahmen können sodann zentralseitig verwaltet und eingeleitet werden.

[0065] Bei einer Ausführungsform der Positionsdatenverarbeitungseinrichtung umfasst die die Aufzeichnungseinheit einen Prozessor, der zum Ausführen der Funktion der Aufzeichnungseinheit, insbesondere zum Erzeugen von Trajektoriendateien in Abhängigkeit von den Positionsdaten, ausgebildet ist.

[0066] Beispielsweise umfasst ein auf dem Prozessor der Aufzeichnungseinheit ausgeführtes Computerprogramm Befehle, mittels denen die optional vorgesehene Signalisierungseinrichtung aus einem Zustand, in dem sie die bestehende Betriebsbereitschaft signalisiert, beispielsweise durch eine grün leuchtende LED, in einen Zustand überführt, in dem sie die mangelnde Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung, insbesondere die mangelnde Betriebsbereitschaft der Aufzeichnungseinheit, signalisiert, beispielsweise durch eine rot leuchtende LED.

[0067] Beispielsweise wird der Zustand der mangelnden Betriebsbereitschaft in Form eines diesen Zustand repräsentierenden Datenelementes erzeugt und abgespeichert. Bei einer Ausführungsform ist die Positionsdatenverarbeitungseinrichtung ausgebildet, das Datenelement mittels der Kommunikationseinrichtung an das Betriebsmitteilungsauswertungssystem zu übermitteln, beispielsweise auf Aufforderung durch eine straßenseitige Kontrolleinrichtung hin an die betreffende straßenseitige Kontrolleinrichtung.

[0068] Bei einer weiteren Ausführungsform der Positionsdatenverarbeitungseinrichtung umfasst die Betriebsmitteilung eine Trajektoriennachricht und eine Referenzwertnachricht. Beispielsweise ist die Kommunikationseinrichtung ausgebildet, während einer ersten Kommunikationsphase eine oder mehrere der von der Aufzeichnungseinheit erzeugten Trajektoriendateien im Rahmen der Trajektoriennachricht an das Betriebsmitteilungsauswertungssystem zu übermitteln. Die Übermittlung der Trajektoriennachricht erfolgt beispielsweise über ein Drahtloskommunikationsnetzwerk, wie beispielsweise dem GSM-Netzwerk. Es kommen jedoch aber auch andere Übertragungswege in Betracht, beispielsweise ein UMTS-Netz oder ein sonstiges Datenpaket vermittelndes Kommunikationsnetzwerk.

[0069] Beispielsweise übermittelt die Kommunikationseinrichtung während einer zweiten Kommunikationsphase wenigstens einen der ersten Referenzwerte mittels der Referenzwertnachricht. Bevorzugt übermittelt die Kommunikationseinrichtung demnach die Trajektoriendateien einerseits und die ersten Referenzwerte andererseits in voneinander getrennten Nachrichten an das Betriebsmitteilungsauswertungssystem.

[0070] Die Übersendung von ersten Referenzwerten einerseits und Trajektoriendateien andererseits in voneinander getrennten Nachrichten ist zweckmäßig, weil die jeweiligen Dateitypen unterschiedlich geartet sein können: Üblicherweise dient eine Trajektoriendatei für die Erhebung einer Maut, wohingegen mittels des ersten Referenzwerts insbesondere überprüft werden soll, ob bei der Positionsdatenverarbeitungseinrichtung ein Manipulationsversuch vorgelegen hat bzw. vorliegt oder nicht. Darüber hinaus sieht eine Ausführungsform vor, dass die Kommunikationseinrichtung ausgebildet ist, die Trajektoriennachricht gemäß einem ersten Nachrichtenübertragungsstandard, beispielsweise GSM, an das Betriebsmitteilungsauswertungssystem zu übermitteln, und ein von der Positionsdatenverarbeitungseinrichtung umfasstes Kurzreichweiten-Kommunikationsmodul die Referenzwertnachricht über einen zweiten Nachrichtenübertragungsstand, beispielsweise einem DSRC-Standard, an das Betriebsmitteilungsauswertungssystem zu übermitteln.

[0071] Um eine eindeutige Zuordnung zwischen den ersten Referenzwerten einerseits und den Trajektoriendateien andererseits zu gewährleisten, ist die Positionsdatenverarbeitungseinrichtung bei einer Ausführungsform zweckmäßigerweise ausgebildet, eine jeweilige Trajektoriendatei und den für diese bestimmten ersten Referenzwert mit einer Identifikation, beispielsweise mit einem Zeitstempel, zu versehen. Eine Trajektoriendatei und der für diesen bestimmten ersten Referenzwert erhalten dann denselben Zeitstempel. An Stelle eines Zeitstempels kann auch eine andere Identifikationsmöglichkeit bzw. eine andere Kennung vorgesehen werden, die die Zuordnungsbarkeit zwischen ersten Referenzwerten einerseits und Trajektoriendateien andererseits gewährleistet.

[0072] Bei einer weiteren bevorzugten Ausführungsform der Positionsdatenverarbeitungseinrichtung ist die Positionsdatenverarbeitungseinrichtung, beispielsweise die Aufzeichnungseinheit, ausgebildet, eine Positionsdatenverarbeitungseinrichtungskennung innerhalb der Betriebsmitteilung, beispielsweise innerhalb der Trajektoriennachricht und/oder innerhalb der Referenzwertnachricht zu integrieren. Dies erleichtert die zentralseitige Verwaltung einer Vielzahl von Positionsdatenverarbeitungseinrichtungen durch das Betriebsmitteilungsauswertungssystem.

[0073] Vorzugsweise ist die Positionsdatenverarbeitungseinrichtung, insbesondere ein von der Positionsdatenverarbeitungseinrichtung umfasstes Sicherheitsmodul, ausgebildet, für die wenigstens eine Trajektorie und/ oder für wenigstens einen nach gemäß wenigstens eines Referenzwertbestimmungsverfahrens durch die Positionsdatenverarbeitungseinrichtung aus Trajektoriedaten bestimmten ersten Referenzwert einen oder mehrere erste Prüfwerte gemäß einem Prüfwertbestimmungsverfahren zu bestimmen, und dass
die Positionsdatenverarbeitungseinrichtung ausgebildet ist, die wenigstens eine Trajektorie und/ oder den wenigstens einen ersten Referenzwert gemeinsam mit dem dazugehörigen ersten Prüfwert im Rahmen der Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem zu übermitteln

[0074] Beispielsweise ist bei einer bevorzugten Ausführungsform der Positionsdatenverarbeitungseinrichtung ist das Sicherheitsmodul ausgebildet, für die jeweilige Trajektoriendatei und/oder den jeweiligen ersten Referenzwert einen oder mehrere erste Prüfwerte gemäß einem Prüfwertbestimmungsverfahren zu bestimmen. Beispielsweise speichert das Sicherheitsmodul die ersten Prüfwerte in einem Speicherbereich des Sicherheitsmoduls.

[0075] Bevorzugt ist das Sicherheitsmodul ausgebildet, für jeden ersten Referenzwert je einen ersten Prüfwert gemäß dem Prüfwertbestimmungsverfahren zu ermitteln und gemeinsam mit dem ersten Referenzwert in dem Speicherbereich des Sicherheitsmoduls zu speichern.
Auch diese Prüfwertbestimmung kann als erfindungsgemäße trajektoriespezifische Transaktion gelten, weil der erste Prüfwert aus einem ersten Referenzwert bestimmt wird, der seinerseits in Abhängigkeit von Daten der erzeugten Trajektorie bestimmt wurde.

[0076] Wenn die ersten Referenzwerte bevorzugt von der Aufzeichnungseinheit der Positionsdatenverarbeitungseinrichtung bestimmt werden, übernimmt die Bestimmung der Prüfwerte gemäß dem Prüfwertbestimmungsverfahren nicht die Aufzeichnungseinheit, sondern das Sicherheitsmodul selbst. Auch die Bestimmung der ersten Prüfwerte erfolgt bevorzugt in deterministischer Weise in Abhängigkeit von dem ersten Referenzwert. Dennoch kann eine Zufallszahl an der Bestimmung der Prüfwerte beteiligt sein, wie weiter unten erläutert wird.

[0077] Bevorzugt ist die Positionsdatenverarbeitungseinrichtung ausgebildet, den wenigstens einen ersten Referenzwert gemeinsam mit dem dazugehörigen wenigstens einen ersten Prüfwert im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Referenzwertnachricht, an das Betriebsmitteilungsauswertungssystem zu übermitteln. Dazu stellt beispielsweise das Sicherheitsmodul mittels der Aufzeichnungseinheit der Kommunikationseinrichtung sowohl den wenigstens einen ersten Referenzwert und den wenigstens einen dazugehörigen ersten Prüfwert bereit, sodass die Kommunikationseinrichtung diese im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Referenzwertnachricht, an das Betriebsmitteilungsauswertungssystem übermitteln kann.

[0078] Bevorzugt speichert das Sicherheitsmodul in einem jeweiligen Speicherplatz des Speicherbereichs genau jeweils einen ersten Referenzwert und einen dazu bestimmten ersten Prüfwert. Ein Paar eines ersten Referenzwerts und eines ersten Prüfwerts bildet beispielsweise ein Prüfdatensatz aus, den die Positionsdatenverarbeitungseinrichtung im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Referenzwertnachricht, an das Betriebsmitteilungsauswertungssystem übermittelt.

[0079] Es ist möglich, dass das Sicherheitsmodul für jeden ersten Referenzwert einen separaten ersten Prüfwert bestimmt. Alternativ oder kumulativ bestimmt das Sicherheitsmodul für eine Vielzahl von ersten Referenzwerten einen ersten Prüfwert.

[0080] Das Prüfwertbestimmungsverfahren umfasst beispielsweise einen Nachrichtenauthentifizierungsalgorithmus und der erste Prüfwert demnach beispielsweise einen Nachrichtenauthentifizierungscode. Konkret wendet das Sicherheitsmodul beispielsweise ein Message Authentication Code (MAC) Verfahren an, um die ersten Prüfwerte für die ersten Referenzwerte zu bestimmen.

[0081] Dementsprechend ist es bevorzugt, dass das Betriebsmitteilungsauswertungssystem ausgebildet ist zum Berechnen eines zweiten Prüfwerts für jeden ersten empfangenen Referenzwert gemäß demselben Prüfwertbestimmungsverfahren, das in der Positionsdatenverarbeitungseinrichtung zur Anwendung kommt, und zum Durchführen eines zweiten Vergleichs zwischen dem zweiten Prüfwert und dem zum jeweiligen ersten Referenzwert gehörigen ersten Prüfwert und zum Erzeugen der Antwortnachricht in der Abhängigkeit von dem zweiten Vergleichsergebnis.

[0082] Das Betriebsmitteilungsauswertungssystem berechnet beispielsweise für jeden übermittelten ersten Referenzwert den Prüfwert nach und vergleicht die ersten Prüfwerte, also die durch die Positionsdatenverarbeitungseinrichtung übermittelten Prüfwerte, mit den zweiten Prüfwerten, also mit den selbst berechneten Prüfwerten. Beispielsweise sendet das Betriebsmitteilungsauswertungssystem - im Rahmen der Antwortnachricht - erst dann eine Aufforderung an die Positionsdatenverarbeitungseinrichtung, die Anzahl der zulässigen trajektoriespezifischen Transaktionen zu erhöhen, wenn sowohl die ersten Referenzwerte mit den zweiten Referenzwerten und die ersten Prüfwerte mit den zweiten Prüfwerten übereinstimmen. Das Bestimmen des ersten Prüfwerts durch das Sicherheitsmodul und das Bestimmen des zweiten Prüfwerts durch das Betriebsmitteilungsauswertungssystem stellt folglich einen weiteren Sicherheitsschritt dar, mit dem auffällige Manipulationen an den Trajektoriendateien und/oder an den ersten Referenzwerten detektierbar werden.

[0083] Bei einer weiteren bevorzugten Ausführungsform ist vorgesehen, dass die Positionsdatenverarbeitungseinrichtung ein Kurzreichweiten-Kommunikationsmodul umfasst, das für eine Ankopplung an die Aufzeichnungseinheit ausgestaltet ist und ausgebildet ist zum Austauschen von Daten mit einer vom Fahrzeug passierten Kontrolleinrichtung des Betriebsmitteilungsauswertungssystems, wobei das Kurzreichweiten-Kommunikationsmodul bevorzugt ausgebildet ist zum Speichern einer Kopie der ersten Prüfwerte und/oder der ersten Referenzwerte, sodass die ersten Prüfwerte und/oder die ersten Referenzwerte von der Kontrolleinrichtung ausgelesen und an eine Zentrale des Betriebsmitteilungsauswertungssystems übertragen werden können. Bei dem Kurzreichweiten-Kommunikationsmodul handelt es sich beispielsweise um ein DSRC-Modul der Positionsdatenverarbeitungseinrichtung. Diese Variante erleichtert ebenfalls das Überprüfen der Positionsdatenverarbeitungseinrichtung auf Manipulationsversuche hin, da durch die vom Fahrzeug passierten Kontrolleinrichtungen festgestellt werden kann, ob die Positionsdatenverarbeitungseinrichtung beispielsweise die ersten Prüfwerte und/oder die ersten Referenzwerte ordnungsgemäß berechnet. Ist dies nicht der Fall, so kann dies von der Kontrolleinrichtung an die Zentrale des Betriebsmitteilungsauswertungssystems kommuniziert werden, sodass zentralseitig Sanktionsmaßnahmen eingeleitet werden können.

[0084] Bei einer weiteren Ausführungsform der Positionsdatenverarbeitungseinrichtung enthält die Antwortnachricht eine Verwaltungsaufforderung an das Sicherheitsmodul. Die Verwaltungsaufforderung wird durch das Sicherheitsmodul vor der Durchführung der Verwaltungsmaßnahme beispielsweise folgendermaßen verifiziert: Die Positionsdatenverarbeitungseinrichtung empfängt im Rahmen der Antwortnachricht eine positive Quittung über die erfolgreiche Auswertung der Betriebsmitteilung von dem Betriebsmitteilungsauswertungssystem zusammen mit einem zentralseitig mittels eines zentralseitig verfügbaren Schlüssels erstellten zentralen MAC dieser Quittung. Sodann empfängt das Sicherheitsmodul den zentralen MAC und zumindest Teile der Quittung und versucht, durch Anwendung eines ihm zur Verfügung stehenden Schlüssels auf die Quittung oder die übermittelten Teilen der Quittung den MAC nachzubilden. Im Erfolgsfall wird die angeforderte Verwaltungsmaßnahme, beispielsweise ein Modifizieren eines Zählerstandes, ein Hinzufügen neuer TANs, eine Freigabe von Speicherplätzen, durchgeführt; im Misserfolgsfall wird die angeforderte Verwaltungsmaßnahme ignoriert oder unter Abgabe einer Fehlermeldung an das Betriebsmitteilungsauswertungssystem verweigert.

[0085] Beispielsweise wird der verwendete Schlüssel aus einem Master-Schlüssel und einer von dem Betriebsmitteilungsauswertungssystem generierten Zufallszahl gebildet, wobei der Master-Schlüssel dem Sicherheitsmodul bekannt ist und die Positionsdatenverarbeitungseinrichtung die Zufallszahl mit der Quittung erhält, so dass das Sicherheitsmodul den verwendeten Schlüssel nachbilden kann.

[0086] Bei einer weiteren Ausführungsform der Positionsdatenverarbeitungseinrichtung verläuft ein Verarbeiten des ersten Referenzwertes durch das Sicherheitsmodul wie folgt: Das Sicherheitsmodul empfängt den ersten Referenzwert, und erstellt mittels eines öffentlichen Schlüssels des Betriebsmitteilungsauswertungssystems einen MAC dieses Referenzwertes. Anschließend gibt es den ersten Referenzwert, den MAC und eine laufende Nummer und/oder eine TAN an die Aufzeichnungseinheit zurück und versieht die verwendete laufende Nummer und/oder TAN mit einem Vermerk, der eine Wiederverwendung der laufenden Nummer und/oder TAN unterbindet, oder löscht sie ganz. Wird ein einmaliger Schlüssel (Session Key) mittels einer Zufallszahl und einem Basisschlüssel (Master Key) gebildet, so wird auch die Zufallszahl mit diesem Datensatz an die Aufzeichnungseinheit zurück übertragen. In diesem Fall ist zweckmäßigerweise vorgesehen, mit dem ersten Referenzwert und dem MAC auch die Zufallszahl an das Betriebsmitteilungsauswertungssystem zu übermitteln, damit dieses den Session Key zur Verifizierung des MAC mittels des Master Keys nachbilden kann.

[0087] Bei einer Ausführungsform der Positionsbestimmungseinrichtung weist eine zumindest das Sicherheitsmodul aufweisende Komponente der Positionsbestimmungseinrichtung ein geräteseitiges Verbindungselement auf, das zur Verbindung mit einer korrespondierenden fahrzeugseitigen Aufnahmeeinrichtung für die Komponente ausgebildet ist. Das Sicherheitsmodul ist beispielsweise innerhalb eines Gehäuses der Positionsdatenverarbeitungseinrichtung angeordnet und steht zur Erfüllung seiner Funktion in Wirkverbindung mit weiteren Komponenten der Positionsdatenverarbeitungseinrichtung, insbesondere mit der Aufzeichnungseinheit.

[0088] Insbesondere ist eine Information über die Anzahl der zulässigen trajektoriespezifischen Transaktionen in der Positionsdatenverarbeitungseinrichtung, insbesondere in einem Speicherbereich (141) eines Sicherheitsmoduls (14) der Positionsdatenverarbeitungseinrichtung, gespeichert, und ist die Positionsdatenverarbeitungseinrichtung, insbesondere das Sicherheitsmodul (14), ausgebildet, mit jeder trajektoriespezifischen Transaktion die Information in der Weise zu verändern, dass die veränderte Information die reduzierte Anzahl der zulässigen trajektoriespezifischen Transaktionen angibt.

[0089] Beispielsweise ist eine Information über die Anzahl der zulässigen trajektoriespezifischen Transaktionen im Sicherheitsmodul, beispielsweise im besagten Speicherbereich des Sicherheitsmodul, gespeichert, wobei das Sicherheitsmodul beispielsweise besagtes autonome Steuermodul aufweist, das ausgebildet ist, mit jeder trajektoriespezifischen Transaktion die Information in der Weise zu verändern, dass die veränderte Information die reduzierte Anzahl der zulässigen trajektoriespezifischen Transaktionen angibt.

[0090] Nachfolgend sollen mehrere Varianten vorgestellt werden, wie die Anzahl der zulässigen trajektoriespezifischen Transaktionen, die von dem Sicherheitsmodul durchgeführt werden dürfen, vorgegeben und modifiziert werden kann. Die Varianten können auch ganz oder teilweise miteinander kombiniert werden:

a) Zählerstand

[0091] Beispielsweise ist die Anzahl der zulässigen trajektoriespezifischen Transaktionen durch einen Zählerstand eines Zählers der Positionsdatenverarbeitungseinrichtung, insbesondere eines Sicherheitsmoduls der Positionsdatenverarbeitungseinrichtung, vorgegeben.

[0092] Bei einer Ausführungsform der Positionsdatenverarbeitungseinrichtung umfasst das Sicherheitsmodul einen Zähler, der einen Zählerstand angibt. Der durch den Zähler angegebene Zählerstand ist identisch mit der Anzahl der zulässigen trajektoriespezifischen Transaktionen.

[0093] Beispielsweise wird der Zählerstand mit erstmaliger Inbetriebnahme der Positionsdatenverarbeitungseinrichtung auf einen Default-Wert gesetzt, wie beispielsweise 10, 20, 50, 100 oder 200. Mit jeder vom Sicherheitsmodul auf eine oder mehrere Trajektoriendateien und/oder einen oder mehrere erste Referenzwerte angewendeten trajektoriespezifischen Transaktionen, beispielsweise mit jeder Speicherung eines ersten Referenzwerts oder mit jeder Bestimmung eines ersten Prüfwerts, und/oder mit jeder Bereitstellung eines ersten Referenzwerts bzw. eines ersten Prüfwerts mittels der Aufzeichnungseinheit für die Kommunikationseinrichtung, wird der Zähler um 1 reduziert.

[0094] Bei dieser Ausführungsform zeigt die Antwortnachricht an, ob der Zählerstand zu erhöhen ist und in welchem Maße. Wird keine Antwortnachricht empfangen und/oder zeigt die Antwortnachricht an, dass der Zählerstand nicht zu erhöhen ist, so erfolgt auch keine entsprechende Modifikation des Zählerstands.

[0095] Sinkt der Zählerstand auf Null, so geht die Positionsdatenverarbeitungseinrichtung in den Zustand mangelnder Betriebsbereitschaft über, weil keine weitere trajektoriespezifische Transaktion von dem Sicherheitsmodul mehr durchgeführt wird.

b) Transaktionsnummern (TAN)

[0096] Bei einer weiteren Ausführungsform der Positionsdatenverarbeitungseinrichtung ist das die Positionsdatenverarbeitungseinrichtung oder ein von der Positionsdatenverarbeitungseinrichtung umfasstes Sicherheitsmodul ausgebildet, auf eine Liste mit Transaktionsnummern zuzugreifen, wobei die Anzahl der in der Liste enthaltenen Transaktionsnummern indikativ für die Anzahl der zulässigen trajektoriespezifischen Transaktionen ist. Mit jeder trajektoriespezifischen Transaktion wird beispielsweise eine TAN durch die Positionsdatenverarbeitungseinrichtung oder das Sicherheitsmodul entwertet, beispielsweise gelöscht. Vorzugsweise ist die Liste mit Transaktionsnummern zeitweise in einem Speicherbereich des Sicherheitsmoduls gespeichert.

[0097] Bei dieser Ausführungsform benötigt beispielsweise das Sicherheitsmodul für jede trajektoriespezifische Transaktion, beispielsweise für jedes Bestimmen oder Speichern eines ersten Referenzwerts und/oder für jedes Berechnen eines ersten Prüfwerts, je eine TAN, wobei jede TAN der Liste jeweils nur einmal verwendet werden kann.

[0098] Bei dieser Ausführungsform enthält die Antwortnachricht im Falle eines positiven ersten Vergleichsergebnisses (und ggf. im Falle eines positiven zweiten Vergleichsergebnisses) eine oder mehrere neue TANs und das Sicherheitsmodul ist bevorzugt ausgebildet, die neue TAN bzw. die neuen TANs der Liste hinzuzufügen, womit die Anzahl der zulässigen trajektoriespezifischen Transaktionen erhöht wird. Wird indes keine Antwortnachricht empfangen oder enthält die Antwortnachricht keine neue TAN, so erfolgt auch kein Erhöhen der Anzahl der zulässigen trajektoriespezifischen Transaktionen.

[0099] Bei einer jeweiligen TAN handelt es sich beispielsweise um einen mehrstelligen Zahlencode. Die Zahlencodes können fortlaufend oder nicht fortlaufend sein. Jede TAN der Liste kann mit einer Laufnummer versehen sein.

[0100] Die Positionsdatenverarbeitungseinrichtung ist bevorzugt ausgebildet, die für einen bestimmten ersten Referenzwert verwendete TAN und/oder die zur verwendeten TAN gehörige Laufnummer in die Betriebsmitteilung zu integrieren. Dies erlaubt eine noch sichere zeniralseitige Verwaltung der Positionsdatenverarbeitungseinrichtung.

[0101] Die Reihenfolge der zu verwendenden TANs kann durch das Betriebsmitteilungsauswertungssystem, beispielsweise durch die Antwortnachricht, vorgegeben sein. Beispielsweise identifiziert die Antwortnachricht die nächste zu verwendende TAN oder die nächsten zu verwendenden TANs mittels der entsprechenden Laufnummern.

[0102] Bei einer anderen Ausführungsform handelt es sich bei den TANs um nicht fortlaufend nummerierte Zeichenkombinationen, die im bestimmungsgemäßen Betrieb stets in einer begrenzten Anzahl an zur Verfügung stehen und jeweils durch die Verarbeitung der ersten Referehzwerte verbraucht werden, indem sie entsprechend markiert oder zusammen mit den Referenzwerten gespeichert werden. Im Falle des bestimmungsgemäßen Betriebs gehen dem Sicherheitsmodul in dem Maße neue TANs seitens des Betriebsmitteilungsauswertungssystems zu, wie Referenzwerte verbrauchter TANs zentralseitig verifiziert wurden. Eine mangelnde Betriebsbereitschaft ist erreicht, wenn dem Sicherheitsmodul keine TANs mehr zur Verfügung stehen.

c) Begrenzte Anzahl von Speicherplätzen

[0103] Bei einer weiteren Ausführungsform weist das Sicherheitsmodul einen Speicherbereich auf, wobei der Speicherbereich eine begrenzte Anzahl von Speicherplätzen umfasst und das Sicherheitsmodul ausgebildet ist zum Speichern einer jeweiligen Trajektoriendatei und/oder eines jeweiligen ersten Referenzwerts in einem der Speicherplätze, und wobei die Anzahl freier Speicherplätzen indikativ für die Anzahl der zulässigen trajektoriespezifischen Transaktionen ist. Beispielsweise liegt die begrenzte Anzahl der Speicherplätze bei 100 Speicherplätzen. Es können in diesem Fall maximal 100 Trajektoriendateien und/oder 100 erste Referenzwerte in dem Speicherbereich des Sicherheitsmoduls gespeichert werden.

[0104] Das Sicherheitsmodul ist bevorzugt ausgebildet zum Verwalten des Speicherbereichs in Abhängigkeit von der Antwortnachricht des Betriebsmitteilungsauswertungssystems.

[0105] Um die Trajektoriendateien und/oder die ersten Referenzwerte von der Aufzeichnungseinheit zu empfangen, ist das Sicherheitsmodul beispielsweise an die Aufzeichnungseinheit drahtlos und/oder drahtgebunden gekoppelt.

[0106] Das Sicherheitsmodul ist ausgebildet zum Verwalten des Speicherbereichs in Abhängigkeit von der Antwortnachricht des Betriebsmitteilungsauswertungssystems. Das Verwalten des Speicherbereichs durch das Sicherheitsmodul beinhaltet beispielsweise ein Löschen eines oder mehrerer der gespeicherten Trajektoriendateien und/oder ersten Referenzwerte; ein Freigeben eines oder mehrerer der Speicherplätze, sodass die freigegebenen Speicherplätze mit einer neuen Trajektoriendatei und/oder einem neuen ersten Referenzwert beschrieben werden können; und/oder ein Beauflagen eines oder/mehrere der Speicherplätze mit einem Schreibschutz, sodass die die mit einem Schreibschutz beaufschlagten Speicherplätze nicht mit einer neuen Trajektoriendatei und/oder einem neuen ersten Referenzwert beschrieben werden können. Beispielsweise beinhaltet der Schreibschutz auch einen Löschschutz.

[0107] Zum Betreiben des Speicherbereichs umfasst das Sicherheitsmodul beispielsweise ein autonomes Steuermodul, das zum Verwalten der einzelnen Speicherplätze des Speicherbereichs ausgestaltet ist, also beispielsweise zum Speichern der Trajektoriendateien und/oder der ersten Referenzwerte, zum Löschen von bestimmten Trajektoriendateien und/oder ersten Referenzwerten, zum Freigeben von bestimmten Speicherplätzen des Speicherbereichs und/oder zum Beaufschlagen von bestimmten Speicherplätzen mit einem Schreibschutz. Dabei meint der Begriff "autonom", dass das Steuermodul des Sicherheitsmoduls ausgebildet ist, mittels einer eigenständigen Betriebssoftware betrieben zu werden.

[0108] Die Antwortnachricht des Betriebsmitteilungsauswertungssystems instruiert bei dieser Ausführungsform demnach das Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung, eine Anzahl bestimmter Trajektoriendateien und/oder erster Referenzwerte, die durch die Antwortnachricht identifiziert werden, aus dem Speicherbereich zu löschen, sodass die so freigegebenen Speicherplätze zum Speichern neuer Trajektoriendateien und/oder neuer erster Referenzwerte zur Verfügung stehen. Die Antwortnachricht kann jedoch auch anzeigen, dass kein Speicherplatz freizugeben ist, sodass die Situation auftreten kann, dass das Sicherheitsmodul keine weiteren Trajektoriendateien und/oder ersten Referenzwerte in seinem Speicherbereich ablegen kann; in diesem Fall beträgt die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null.

[0109] Der Speicherbereich des Sicherheitsmoduls der Positionsdatenverarbeitungseinrichtung wird folglich durch die Antwortnachricht und damit zentralseitig durch das Betriebsmitteilungsauswertungssystem verwaltet.

[0110] Ein Vorteil dieser Variante zum Vorgeben und Modifizieren der Anzahl der zulässigen trajektoriespezifischen Transaktionen liegt insbesondere darin, dass die Anzahl verfügbarer Speicherplätze im Speicherbereich des Sicherheitsmoduls mit jeder neu erzeugten Trajektoriendatei, sprich mit jedem neu bestimmten ersten Referenzwert, um einen Platz verringert wird, da jeder Speicherplatz des Speicherbereichs ausgebildet ist, jeweils nur eine einzige Trajektoriendatei und/oder einen einzigen ersten Referenzwert zu speichern. Zeigt die Antwortnachricht also über einen längeren Zeitraum nicht an, dass gespeicherte Trajektoriendateien und/oder erste Referenzwerte zu löschen sind und damit neue freie Speicherplätze für neue Trajektoriendateien und/oder erste Referenzwerte ausgebildet werden können, kommt es zu einem Überschreiten der Speicherkapazität des Speicherbereichs und damit zu einer Fehlermeldung.

[0111] Beispielsweise nutzt die Positionsdatenverarbeitungseinrichtung diese Fehlermeldung, um in den Zustand mangelnder Betriebsbereitschaft überzugehen, beispielsweise um den Betrieb der Positionsdatenverarbeitungseinrichtung zu sperren und/oder dem Betriebsmitteilungsauswertungssystem einen Manipulationsversuch mitzuteilen. Diese Maßnahmen können auch dann ergriffen werden, wenn beispielsweise ein Benutzer der Positionsdatenverarbeitungseinrichtung das Empfangen und/oder das Erzeugen der Positionsdaten durch den Empfänger verhindert oder das Aussenden der Betriebsmitteilung, beispielsweise der Trajektoriennachricht und/oder der Referenzwertnachricht, verhindert, beispielsweise durch Überdecken einer an die Kommunikationseinrichtung gekoppelten Sendeantenne, da dann von dem Betriebsmitteilungsauswertungssystem keine Antwortnachricht empfangen wird und nur die Antwortnachricht dazu führt, dass das Sicherheitsmodul Speicherplätze in dem Speicherbereich freigibt. Unterbleibt der Empfang der Antwortnachricht und/oder zeigt die Antwortnachricht an, dass kein neuer Speichplatz freizugeben ist bzw. das keine Trajektoriendatei und/oder kein erster Referenzwert zu löschen ist, so führt dies zu einem Überschreiten der durch die begrenzte Anzahl von Speicherplätzen vorgegebenen Speicherkapazität des Speicherbereichs und damit zur Produktion der Fehlermeldung, sodass die Positionsdatenverarbeitungseinrichtung und/oder das Betriebsmitteilungsauswertungssystem auf das Vorliegen eines Manipulationsversuchs schließen können.

[0112] Die Speicherplätze des Speicherbereichs des Sicherheitsmoduls und/oder die gespeicherten Trajektoriendateien und/oder die gespeicherten ersten Referenzwerte sind beispielsweise jeweils mit einer fortlaufenden Seriennummer versehen, die im Sicherheitsmodul zusammen mit dem ersten Referenzwert abgespeichert ist und welche im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Trajektoriennachricht und/oder im Rahmen der Referenzwertnachricht, an das Betriebsmitteilungsauswertungssystem übermittelt wird. Damit kann das Betriebsmitteilungsauswertungssystem feststellen, ob es die erforderlichen Trajektoriendateien und/oder Referenzwerte lückenlos empfangen hat. Detektiert das Betriebsmitteilungsauswertungssystem eine Lücke aufgrund einer fehlenden Seriennummer, so wird die Übermittlung einer Antwortnachricht, gemäß der einer oder mehrere der Speicherplätze freigegebenen werden, an die Positionsdatenverarbeitungseinrichtung unterlassen.

[0113] Beispielsweise ist das Sicherheitsmodul ferner ausgebildet, an die einzelnen Speicherplätze des Speicherbereichs einmalig zu verwendende Transaktionsnummern zu vergeben, die beispielsweise mit der Antwortnachricht, die zum Löschen von einzelnen Einträgen auffordert, von dem Betriebsmitteilungsauswertungssystem an die Positionsdatenverarbeitungseinrichtung übertragen und die beispielsweise in der Reihe ihres Eingangs mit den zur Versendung anstehenden ersten Referenzwerten und optional ersten Prüfwerten verknüpft werden. Beispielsweise bilden diese Transaktionsnummern eine unabhängige Identifikation für die von dem Betriebsmitteilungsauswertungssystem durchgeführten Vergleiche zwischen den ersten Referenzwerten und den zweiten Referenzwerten, wobei das Betriebsmitteilungsauswertungssystem, das die vergebenen Transaktionsnummern kennt, jeden zweiten Referenzwert mit einer solchen Transaktionsnummer verknüpft, in der Erwartung, dass die Transaktionsnummern, die mit Übersendung der ersten Referenzwerte übermittelt worden sind, ein vergleichbares Datenpaar liefert.

[0114] Einen zweiten Aspekt der vorliegenden Erfindung bildet ein Betriebsmitteilungsauswertungssystem zum Verwalten wenigstens einer Positionsdatenverarbeitungseinrichtung gemäß dem ersten Aspekt der vorliegenden Erfindung, bei dem die Positionsdatenverarbeitungseinrichtung ausgebildet ist, die wenigstens eine erzeugte Trajektorie im Rahmen einer Betriebsmitteilung an das außerhalb und abseits des Fahrzeugs befindliche Betriebsmitteilungsauswertungssystem zu versenden und das Betriebsmitteilungsauswertungssystem ausgebildet ist, die von der Positionsdatenverarbeitungseinrichtung versendete Betriebsmitteilung zu empfangen, die empfangene Betriebsmitteilung auszuwerten und in Abhängigkeit von der Auswertung der Betriebsmitteilung eine Antwortnachricht zu erzeugen.

[0115] Das Betriebsmitteilungsauswertungssystem ist beispielsweise gekennzeichnet durch einen Nachrichtenempfänger, der zum Empfangen der Betriebsmitteilung und zum Bereitstellen der Betriebsmitteilung für eine Auswerteeinheit (22) des Betriebsmitteilungsauswertungssystems ausgebildet ist; wobei die Auswerteeinheit ausgebildet ist zum Auswerten der Betriebsmitteilung, zum Erzeugen einer Antwortnachricht in Abhängigkeit von der Auswertung der Betriebsmitteilung sowie zum Bereitstellen der Antwortnachricht für einen Nachrichtensender des Betriebsmitteilungsauswertungssystems.

[0116] Ist die Positionsdatenverarbeitungseinrichtung ausgebildet, eine Antwortnachricht von dem Betriebsmitteilungsauswertungssystem zu empfangen, so ist das Betriebsmitteilungsauswertungssystem vorzugsweise ausgebildet, die Antwortnachricht mittels des Nachrichtensenders vorzugsweise an die wenigstens eine Positionsdatenverarbeitungseinrichtung zu versenden. Dazu ist die Auswerteeinheit vorzugsweise ausgebildet, den Nachrichtensender zur Versendung der Antwortnachricht anzuweisen.

[0117] Das Betriebsmitteilungsauswertungssystem umfasst beispielsweise eine Zentrale in Gestalt eines Servers, der in einem Netzwerk integriert ist oder an ein Netzwerk angeschlossen ist, um mit der wenigstens einen Positionsdatenverarbeitungseinrichtung kommunizieren zu können, beispielsweise über ein Drahtloskommunikationsnetzwerk. Auf die genaue räumlich-körperliche Ausgestaltung des Betriebsmitteilungsauswertungssystems kommt es indes weniger an.

[0118] Das Betriebsmitteilungsauswertungssystem empfängt wenigstens eine Trajektoriendatei und optional auch wenigstens einen ersten Referenzwert, der der wenigstens einen Trajektoriendatei zugeordnet ist, den beispielsweise die Aufzeichnungseinheit für die wenigstens eine Trajektoriendatei gemäß dem Referenzwertbestimmungsverfahren bestimmt hat. Für diese Zwecke umfasst das Betriebsmitteilungsauswertungssystem einen Nachrichtenempfänger, der zum Empfangen der Betriebsmitteilung der Positionsdatenverarbeitungseinrichtung ausgebildet ist. Der Nachrichtenempfänger umfasst beispielsweise eine Anzahl von ersten Empfangsmodulen zum Empfangen der Trajektoriennachricht und eine Anzahl von zweiten Empfangsmodulen zum Empfangen der Referenzwertnachricht. Beispielsweise ist wenigstens eines der zweiten Empfangsmodule an einer straßenseitigen Kontrolleinrichtung des Betriebsmitteilungsauswertungssystems angeordnet.

[0119] Beispielsweise sortiert das Betriebsmitteilungsauswertungssystem die Trajektoriennachrichten und Referenzwertnachrichten in Abhängigkeit einer darin jeweils enthaltenen Positionsdatenverarbeitungseinrichtungskennung. Auf die genaue Ausgestaltung des Nachrichtenempfängers des Betriebsmitteilungsauswertungssystems kommt es weniger an, solange sichergestellt ist, dass das Betriebsmitteilungsauswertungssystem die Trajektoriennachricht und die Referenzwertnachricht, die von der zu verwaltenden Positionsdatenverarbeitungseinrichtung ausgesendet worden sind, empfangen kann.

[0120] Das Betriebsmitteilungsauswertungssystem umfasst außerdem eine Auswerteeinheit, die die empfangene Betriebsmitteilung auswertet und in Abhängigkeit von der Auswertung der Betriebsmitteilung die Antwortnachricht erzeugt. Beispielsweise ist die Auswerteeinheit ausgebildet, für jede empfangene Trajektoriendatei einen zweiten Referenzwert zu bestimmen, und zwar gemäß demselben Referenzwertbestimmungsverfahren, welches optional bei der Positionsdatenverarbeitungseinrichtung zum Einsatz kommt, die die Trajektoriendatei im Rahmen der Betriebsmitteilung, beispielsweise im Rahmen der Trajektoriennachricht, an das Betriebsmitteilungsauswertungssystem gesendet hat. Zu der übermittelten Trajektoriendatei liegen bei diesem Beispiel also zwei Referenzwerte vor: ein (dezentralseitig gebildeter) erster Referenzwert und ein (zentralseitig gebildeter) zweiter Referenzwert. Die Auswerteeinheit ist beispielsweise ausgebildet zum Durchführen eines ersten Vergleichs zwischen dem zweiten Referenzwert und dem zur jeweiligen Trajektoriendatei gehörigen ersten Referenzwert und zum Erzeugen der Antwortnachricht in Abhängigkeit von dem ersten Vergleichsergebnis. Erfolgt indes kein Bilden und Übersenden eines ersten Referenzwerts, sondern lediglich' das Übersenden der jeweiligen Trajektoriendatei, so ist die Auswerteeinheit bevorzugt ausgebildet, die empfangene Trajektoriendatei auszuwerten und in Abhängigkeit von der Auswertung, insbesondere in Abhängigkeit von einem Auswerteergebnis, die Antwortnachricht bereitzustellen.

[0121] Bevorzugt ist die Auswerteeinheit des Betriebsmitteilungsauswertungssystems ferner ausgebildet, für jeden empfangenen ersten Referenzwert einen zweiten Prüfwert zu bestimmen und zwar gemäß demselben Prüfwertbestimmungsverfahren, welches die Positionsdatenverarbeitungseinrichtung angewendet hat, die die Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem geschickt hat. Bei dem Betriebsmitteilungsauswertungssystem liegen dann für jeden ersten Referenzwert sowohl ein (dezentralseitig gebildeter) erster Prüfwert vor als auch ein (zentralseitig gebildeter) zweiter Prüfwert. Bevorzugt ist die Auswerteeinheit ausgebildet, einen zweiten Vergleich zwischen dem zweiten Prüfwert und dem zum jeweiligen ersten Referenzwert gehörigen ersten Prüfwert durchzuführen und zum Erzeugen der Antwortnachricht auch in Abhängigkeit von dem zweiten Vergleichsergebnis.

[0122] Bevorzugt ist die Auswerteeinheit des Betriebsmitteilungsauswertungssystems ausgebildet, die Antwortnachricht in Abhängigkeit des ersten Vergleichsergebnisses und/oder in Abhängigkeit des zweiten Vergleichsergebnis derart zu erzeugen, dass die Antwortnachricht der wenigstens einen Positionsdatenverarbeitungseinrichtung anzeigt, dass die Anzahl der zulässigen trajektoriespezifischen Transaktionen zu erhöhen ist, beispielsweise, dass der dem ersten Vergleich zugrundeliegenden erste Referenzwert zu löschen ist und der entsprechende Speicherplatz des Speicherbereichs freizugeben ist, oder, dass die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft zu versetzen ist.

[0123] Das Sicherheitsmodul der verwalteten Positionsdatenverarbeitungseinrichtung modifiziert die Anzahl der zulässigen trajektoriespezifischen Transaktionen in Abhängigkeit von der Antwortnachricht, beispielsweise durch Setzen eines Zählerstandes, durch Hinzufügen neuer TANs auf eine Liste, und/oder durch entsprechendes Verwalten des Speicherbereichs, wie es weiter oben ausführlich beschrieben worden ist: Zeigt die Antwortnachricht beispielsweise an, dass bestimmte erste Referenzwerte aus dem Speicherbereich zu löschen sind (und ggf. dazugehörige erste Prüfwerte), so löscht das Sicherheitsmodul die entsprechenden Einträge aus den Speicherplätzen, wodurch die Speicherplätze für neue erste Referenzwerte (und ggf. erste Prüfwerte) freigegeben werden.

[0124] Enthält die Antwortnachricht des Betriebsmitteilungsauswertungssystems keine solche Aufforderung, nimmt das Sicherheitsmodul keine Modifikation der Anzahl vor, beispielweise also keine Löschung der Einträge in den Speicherplätzen, und somit erfolgt auch keine Schaffung von neu zu vergebenden Speicherplätzen für etwaige weitere erste Referenzwerte und/oder Trajektoriendateien. Dies führt dazu, dass die Speicherkapazität Speicherbereich des Sicherheitsmoduls irgendwann, nämlich nach Ausnutzung des letzten zur Verfügung stehenden Speicherplatzes erschöpft ist, womit die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt und wodurch die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft versetzt wird. Gleiches gilt sinngemäß für die Varianten, bei der die Anzahl der zulässigen trajektoriespezifischen Transaktionen durch einen Zählerstand vorgegeben ist und/oder durch eine Anzahl verfügbarer TANs. So kann in sicherer und zuverlässiger Weise zentralseitig überprüft werden, ob bei den von dem Betriebsmitteilungsauswertungssystem verwalteten Positionsdatenverarbeitungseinrichtungen ein Manipulationsversuch vorliegt oder nicht.

[0125] Erfindungsgemäß vorgeschlagen wird auch ein Mautsystem, das wenigstens eine als Mautgerät ausgebildete Positionsdatenverarbeitungseinrichtung und ein erfindungsgemäßes Betriebsmitteilungsauswertungssystem umfasst und dadurch gekennzeichnet ist, dass das die Positionsdatenverarbeitungseinrichtung und/ oder das Betriebsmitteilungsauswertungssystem ausgebildet sind/ ist, anhand der wenigstens einen von der Positionsdatenverarbeitungseinrichtung erzeugten Trajektorie wenigstens einen der Nutzerkennung zugeordneten durch das Fahrzeug befahrenen mautpflichtigen Streckenabschnitt und/ oder eine der Nutzerkennung zugeordnete Mautgebühr zu bestimmen.

[0126] Insbesondere ist in einem solchen Mautsystem die Positionsdatenverarbeitungseinrichtung ausgebildet, gemäß einem Referenzwertbestimmungsverfahren einen ersten Referenzwert aus der erzeugten Trajektorie zu bestimmen und den ersten Referenzwert und die erzeugte Trajektorie im Rahmen wenigstens einer Betriebsmitteilung an das Betriebsmitteilungsauswertungssystem zu versenden und das Betriebsmitteilungsauswertungssystem ausgebildet, aus der von der Positionsdatenverarbeitungseinrichtung empfangenen Trajektorie gemäß des Referenzwertbestimmungsverfahrens einen zweiten Referenzwert aus der empfangenen Trajektorie zu bestimmen, den empfangenen ersten Referenzwert mit dem erzeugten zweiten Referenzwert zu vergleichen, bei gegebener Übereinstimmung des ersten Referenzwertes mit dem zweiten Referenzwert eine eine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende positive Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung zu versenden und bei mangelnder Übereinstimmung des ersten Referenzwertes mit dem zweiten Referenzwert eine keine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende neutrale Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung oder eine eine Anweisung zum Setzen der Anzahl der trajektoriespezifischen Transaktionen gleich Null umfassende negative Antwortnachricht zu versenden, wobei die Positionsdatenverarbeitungseinrichtung ausgebildet ist, die Antwortnachricht, die das Betriebsmitteilungsauswertungssystem in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung versendet hat, zu empfangen und bei Empfang der positiven Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu erhöhen, bei Empfang der neutralen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen unverändert zu lassen und bei Empfang der negativen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.

[0127] Alternativ oder optional ist in einem solchen Mautsystem die Positionsdatenverarbeitungseinrichtung ausgebildet, gemäß einem Referenzwertbestimmungsverfahren einen ersten Referenzwert aus der erzeugten Trajektorie zu bestimmen und aus dem ersten Referenzwert gemäß einem Prüfwertbestimmungsverfahren einen ersten Prüfwert zu bestimmen und den ersten Referenzwert und den ersten Prüfwert im Rahmen wenigstens einer Betriebsmitteilung an das Betriebsmitteilungsauswetungssystem zu versenden und das Betriebsmitteilungsauswertungssystem ausgebildet, aus der von der Positionsdatenverarbeitungseinrichtung empfangenen Referenzwert gemäß des Prüfwertbestimmungsverfahrens einen zweiten Prüfwert aus dem empfangenen ersten Referenzwert zu bestimmen, den empfangenen ersten Prüfwert mit dem erzeugten zweiten Prüfwert zu vergleichen, bei gegebener Übereinstimmung des ersten Prüfwertes mit dem zweiten Prüfwert eine eine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende positive Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung zu versenden und bei mangelnder Übereinstimmung des ersten Prüfwertes mit dem zweiten Prüfwert eine keine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende neutrale Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung oder eine eine Anweisung zum Setzen der Anzahl der trajektoriespezifischen Transaktionen gleich Null umfassende negative Antwortnachricht zu versenden, wobei die Positionsdatenverarbeitungseinrichtung ausgebildet ist, die Antwortnachricht, die das Betriebsmitteilungsauswertungssystem in.Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung versendet hat, zu empfangen und bei Empfang der positiven Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu erhöhen, bei Empfang der neutralen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen unverändert zu lassen und bei Empfang der negativen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.

[0128] Einen dritten Aspekt der vorliegenden Erfindung bildet ein Verfahren zum Betreiben einer Positionsdatenverarbeitungseinrichtung gemäß dem Patentanspruch 14. Einen vierten Aspekt der vorliegenden Erfindung bildet ein Verfahren zum Betreiben eines Mautsystems gemäß dem Patentanspruch 15. Diese weiteren Aspekte der vorliegenden Erfindung teilen die Vorteile des oben beschriebenen ersten Aspektes und des oben beschriebenen zweiten Aspektes der vorliegenden Erfindung und weisen entsprechende bevorzugte Ausführungsformen auf, insbesondere, wie sie in den abhängigen Ansprüchen definiert sind. Insoweit wird auf das Vorstehende verwiesen.

[0129] Nachfolgend wird ein beispielhaftes Verfahren zum Übertragen von positionsrelevanten Daten innerhalb eines derartigen Systems erläutert:

[0130] Ein von dem Betriebsmitteilungsauswertungssystem verwaltetes Mautgerät sendet in einer ersten Kommunikationsphase eine (oder mehrere) der erzeugten Trajektoriendateien im Rahmen der Trajektoriennachricht an das Betriebsmitteilungsauswertungssystem. Dieses Versenden der Trajektoriennachricht durch die Positionsdatenverarbeitungseinrichtung kann mit oder ohne vorherige Aufforderung durch das Betriebsmitteilungsauswertungssystem erfolgen. Die Übersendung der Trajektoriennachricht erfolgt beispielsweise auch zu dem Zweck, eine Auswertung und Prüfung auf die Befahrung mautpflichtiger Streckenabschnitte zentralseitig durch die Mautzentrale des Betriebsmitteilungsauswertungssystems erfolgen zu lassen.

[0131] Die Aufzeichnungseinheit der Positionsdatenverarbeitungseinrichtung bildet aus der Trajektoriendatei den ersten Referenzwert gemäß dem Referenzwertbestimmungsverfahren, beispielsweise einen Hash-Wert oder einen CRC-Wert. Das Betriebsmitteilungsauswertungssystem bildet aus der empfangenen Trajektoriendatei einen zweiten Referenzwert gemäß demselben Referenzwertbestimmungsverfahren.

[0132] Darüber hinaus kann vorgesehen sein, dass das Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung zum bestimmten ersten Referenzwert den ersten Prüfwert bestimmt, und zwar gemäß dem Prüfwertbestimmungsverfahren. Das Sicherheitsmodul speichert den ersten Referenzwert und den ersten Prüfwert gemeinsam als Prüfdatensatz in einem der Speicherplätze des Speicherbereichs des Sicherheitsmoduls.

[0133] In einer zweiten Kommunikationsphase sendet die Positionsdatenverarbeitungseinrichtung einen oder mehrere dieser Prüfdatensätze an das Betriebsmitteilungsauswertungssystem, und zwar im Rahmen der Referen-zwertnachricht. Die Referenzwertnachricht enthält also den bzw. die Prüfdatensätze. Auch dieses Versenden der Referenzwertnachricht kann nach oder ohne vorherige Aufforderung durch das Betriebsmitteilungsauswertungssystem erfolgen.

[0134] Hat das Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung für die ersten Referenzwerte auch erste Prüfwerte bestimmt, so bestimmt das Betriebsmitteilungsauswertungssystem für die empfangenen ersten Referenzwerte gemäß demselben Prüfwertbestimmungsverfahren zweite Prüfwerte. Bei den Prüfwerten handelt es sich beispielsweise um MAC-Werte.

[0135] Das Betriebsmitteilungsauswertungssystem vergleicht die übermittelten ersten Referenzwerte mit den selbstbestimmten zweiten Referenzwerten und ggf. für jeden übermittelten ersten Referenzwert den übermittelten ersten Prüfwert mit dem selbstbestimmten zweiten Prüfwert.

[0136] Im Falle einer festgestellten Übereinstimmung sendet das Betriebsmitteilungsauswertungssystem eine Aufforderung an die Positionsdatenverarbeitungseinrichtung, und zwar im Rahmen der Antwortnachricht, die übermittelten Prüfdatensätze aus dem Speicherbereich zu löschen und damit die entsprechenden Speicherplätze für neue Prüfdatensätze freizugeben.

[0137] Im Falle mangelnder Übereinstimmung sendet das Betriebsmitteilungsauswertungssystem keine solche Aufforderung an die Positionsdatenverarbeitungseinrichtung oder es sendet ein Signal an die Positionsdatenverarbeitungseinrichtung, im Rahmen der Antwortnachricht, dass die Positionsdatenverarbeitungseinrichtung in einen Zustand mangelnder Betriebsbereitschaft versetzt. Die Positionsdatenverarbeitungseinrichtung kann einen derartigen Zustand optisch anzeigen, beispielsweise durch das Aufblinken oder Aufleuchten einer roten LED.

[0138] Wenn die Positionsdatenverarbeitungseinrichtung das Erreichen der Maximalanzahl von in dem Speicherbereich speicherbaren Prüfdatensätzen detektiert, also das Erschöpfen der Speicherkapazität des Speicherbereichs (in diesem Fall ist die Anzahl der zulässigen trajektoriespezifischen Transaktionen gleich Null), versetzt die Positionsdatenverarbeitungseinrichtung sich in den Zustand mangelnder Betriebsbereitschaft, in dem sie die Durchführung weiterer trajektoriespezifischer Transaktionen verweigert, und zeigt beispielsweise diesen Zustand durch das Aufleuchten einer roten LED an.

[0139] Bevorzugt werden die ersten Referenzwerte durch die Aufzeichnungseinheit der Positionsdatenverarbeitungseinrichtung gebildet und an das Sicherheitsmodul weitergeleitet, welches mittels des dort optional vorgesehenen autonomen Steuermoduls, das durch eine eigenständige Betriebssoftware betrieben wird, zu jedem ersten Referenzwert den ersten Prüfwert berechnet und in die Prüfdatensätze aufnimmt.

[0140] Beispielsweise werden die ersten Prüfwerte jeweils mit Hilfe einer von dem Sicherheitsmodul für jeden ersten Prüfwert neu ermittelten Zufallszahl gebildet, die beispielsweise ebenfalls mit in den Prüfdatensatz aufgenommen wird und optional an das Betriebsmitteilungsauswertungssystem übermittelt wird. Aus der Zufallszahl kann unter Verwendung eines Masterkeys, der sowohl der Positionsdatenverarbeitungseinrichtung als auch dem Betriebsmitteilungsauswertungssystem bekannt ist, ein Sessionkey generiert werden, mit dem der erste Prüfwert aus dem ersten Referenzwert kryptografisch erzeugt wird. Der erste Prüfwert wird zusammen mit der Zufallszahl an das Betriebsmitteilungsauswertungssystem übermittelt, damit das Betriebsmitteilungsauswertungssystem in der Lage ist, mit dem ihm ebenfalls vorliegenden Masterkey und der Zufallszahl den Sessionkey nachzubilden.

[0141] Vorzugsweise löscht das Betriebsmitteilungsauswertungssystem die Trajektoriendateien nach der Prüfung auf Mautrelevanz und Bestimmung der zweiten Referenzwerte, um Datenschutzvorschriften zu berücksichtigen.

[0142] Die Kommunikation zwischen der Positionsdatenverarbeitungseinrichtung und dem Betriebsmitteilungsauswertungssystem erfolgt bevorzugt verschlüsselt. Beispielsweise erfolgt die Verschlüsselung der Nachrichten, die die Positionsdatenverarbeitungseinrichtung an das Betriebsmitteilungsauswertungssystem sendet (Betriebsmitteilung; Trajektoriennachrichten und Referenzwertnachrichten), gemäß einer asymmetrischen Verschlüsselung, und einer Verschlüsselung von Nachrichten, die das Betriebsmitteilungsauswertungssystem an die Positionsdatenverarbeitungseinrichtung sendet (Antwortnachrichten), gemäß symmetrischer Verschlüsselung.

[0143] Die einzelnen Komponenten, insbesondere der Empfänger, die Aufzeichnungseinheit, die Kommunikationseinrichtung und das Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung müssen nicht notwendigerweise in einem Gehäuse integriert sein, sondern können auch verteilt voneinander angeordnet sein und beispielsweise drahtlos gemäß einem Kommunikationsstandard der Kurzreichweitenkommunikation, beispielweise Bluetooth, miteinander kommunizieren. Auf die genaue Anordnung der Komponenten und Ausgestaltung der Kopplung zwischen den Komponenten der Positionsdatenverarbeitungseinrichtung kommt es weniger an, sofern sichergestellt ist, dass die Positionsdatenverarbeitungseinrichtung ihre bestimmungsgemäße Funktion ausführen kann und die dafür erforderlichen operativen Wirkverbindungen zwischen den Komponenten der Positionsdatenverarbeitungseinrichtung implementiert sind.

[0144] Der der Erfindung zugrunde liegende Gedanke soll nachfolgend anhand des in der Fig. 1 dargestellten Ausführungsbeispiels näher erläutert werden.

[0145] Fig. 1 zeigt eine schematische und exemplarische Darstellung einer bezüglich der unabhängig beanspruchten Erfindung nicht als einschränkend auszulegenden Ausführungsform einer Positionsdatenverarbeitungseinrichtung 1 und einer bezüglich der unabhängig beanspruchten Erfindung nicht als einschränkend auszulegenden Ausführungsform eines Betriebsmitteilungsauswertungssystems 2 eines Mautsystems 3.

[0146] Die Positionsdatenverarbeitungseinrichtung 1 ist zum Mitführen in einem in der Fig.1 nicht dargestellten Fahrzeug ausgestaltet, welches mautpflichtige Streckenabschnitte befährt, für dessen Nutzung ein Mautsystem 3 Mautgebühren mittels der Positionsdatenverarbeitungseinrichtung 1 und eines abseits und außerhalb des Fahrzeugs angeordneten Betriebsmitteilungsauswertungssystems 2 erhebt. Zu der Positionsdatenverarbeitungseinrichtung 1 gehört ein in der Fig.1 schematisch dargestelltes DSRC-Kommunikationsmodul 15, das beispielsweise an einer Windschutzscheibe des Fahrzeugs befestigt ist und zum Austauschen von Daten mit einer vom Fahrzeug passierten Kontrolleinrichtung 25 des Betriebsmitteilungsauswertungssystems 2 ausgebildet ist. Bei der Kontrolleinrichtung 25 handelt es sich beispielsweise um eine Kontrollbrücke, unter der das Fahrzeug hindurchfährt.

[0147] Die Positionsdatenverarbeitungseinrichtung 1 steht in Wirkverbindung mit dem im Wesentlichen stationär angeordneten Betriebsmitteilungsauswertungssystem 2, das sich außerhalb des Fahrzeugs befindet. Das Betriebsmitteilungsauswertungssystem 2 ist zum Verwalten einer Vielzahl von Positionsdatenverarbeitungseinrichtungen 1 ausgestaltet.

[0148] Beispielsweise kommunizieren die Positionsdatenverarbeitungseinrichtung 1 einerseits und das Betriebsmitteilungsauswertungssystem 2 andererseits über ein Drahtloskommunikationsnetzwerk miteinander, beispielsweise über ein GSM- und/oder UMTS-Netzwerk.

[0149] Die Positionsdatenverarbeitungseinrichtung 1 weist einen Empfänger 11 auf, der Satellitendaten 111 empfängt und daraus Positionsdaten 111-1 erzeugt, die indikativ für die Position des Fahrzeugs sind, in welchem die Positionsdatenverarbeitungseinrichtung 1 mitgeführt wird. Der Empfänger 11 ist beispielsweise als GNSS-Empfänger ausgestaltet und empfängt beispielsweise Satellitendaten 111 gemäß dem GPS-System oder einem anderen globalen Satellitennavigationssystem.

[0150] Die Positionsdaten 111-1 können aber auch in besagten Daten 151 enthalten sein, falls der Empfang von Satellitendaten 111 nicht möglich ist, beispielsweise in Tunneln oder anderen abgeschirmten Gegenden. Jedenfalls sind die Positionsdaten 111-1 indikativ für die Position des Fahrzeugs.

[0151] An den Empfänger 11 ist eine Aufzeichnungseinheit 12 gekoppelt, die die empfangene oder erzeugten Positionsdaten 111-1 erhält und in Abhängigkeit davon Trajektoriendateien TJ-1, ..., TJ-n erzeugt und in einer Speichereinheit 122 ablegt. Das Erzeugen der Trajektoriendateien TJ-1 bis TJ-n erfolgt durch einen Prozessor 121 der Aufzeichnungseinheit 12 beispielsweise intervallmäßig, beispielsweise etwa alle 100 km oder zeitintervallmäßig. Jede Trajektoriendatei TJ-1 bis TJn ist somit indikativ für eine vom Fahrzeug zurückgelegte Strecke.

[0152] Die Aufzeichnungseinheit ist außerdem ausgebildet zum Bestimmen eines ersten Referenzwerts RWA-1, ..., RWA-n für jede Trajektoriendatei TJ-1 bis TJ-n gemäß einem Referenzwertbestimmungsverfahren und zum Bereitstellen wenigstens einer der Trajektoriendateien TJ-1,...,TJ-n und wenigstens eines der ersten Referenzwerte RWA-1, ..., RWA-n für eine Kommunikationseinrichtung 13 zur Übermittlung im Rahmen wenigstens einer Betriebsmitteilung 131, 132 an das Betriebsmitteilungsauswertungssystem 2, wobei die Kommunikationseinrichtung 13 ferner ausgebildet ist zum Empfangen einer Antwortnachricht 231 des Betriebsmitteilungsauswertungssystems 2, die das Betriebsmitteilungsauswertungssystem 2 in Abhängigkeit von einer Auswertung der wenigstens einen Betriebsmitteilung 131, 132 erstellt hat.

[0153] Die Kommunikationseinrichtung 13 ist ausgebildet zum Kommunizieren mit dem außerhalb des Fahrzeugs befindlichen Betriebsmitteilungsauswertungssystem 2, insbesondere zum Übermitteln der Betriebsmitteilung 131, 132, die eine Trajektoriennachricht 131 und eine davon gesonderte Referenzwertnachricht 132 umfassen kann. Die Kommunikationseinrichtung 13 übermittelt beispielsweise während einer ersten Kommunikationsphase wenigstens eine der gespeicherten Trajektoriendateien TJ-1 bis TJ-n im Rahmen einer Trajektoriennachricht 131 an das Betriebsmitteilungsauswertungssystem 2. In der Trajektoriennachricht 131 kann darüber hinaus eine Kennung der Positionsdatenverarbeitungseinrichtung 1 enthalten sein, sodass das Betriebsmitteilungsauswertungssystem 2 die empfangene Trajektoriendatei der Positionsdatenverarbeitungseinrichtung 1 zuordnen kann.

[0154] Zum Empfangen der Trajektoriennachricht 131 weist das Betriebsmitteilungsauswertungssystem 2 einen Nachrichtenempfänger 21 auf. Anhand der in der Trajektoriennachricht 131 enthaltene Trajektoriendatei kann das Betriebsmitteilungsauswertungssystem 2 eine Mauterkennung durchführen und für den Nutzer des Fahrzeugs, in welchem die Positionsdatenverarbeitungseinrichtung 1 mitgeführt wird, eine Mautgebühr berechnen.

[0155] An die Aufzeichnungseinheit 12 der Positionsdatenverarbeitungseinrichtung 1 ist ferner ein Sicherheitsmodul 14 gekoppelt. Das Sicherheitsmodul 14 ist beispielsweise als Chipkarte ausgestaltet und verfügt insbesondere über einen Speicherbereich 141 und ein Steuermodul 142 zum Betreiben dieses Speicherbereichs 141. Beim Steuermodul 142 handelt es sich um ein autonomes Steuermodul, das insbesondere über eine eigenständige Betriebssoftware verfügt und jedenfalls nicht ausschließlich von einer (in der Fig.1 nicht dargestellten) Steuereinheit, insbesondere der Aufzeichnungseinheit 11, der Positionsdatenverarbeitungseinrichtung 1 kontrolliert wird.

[0156] Das Sicherheitsmodul 14 ist ausgebildet zum Durchführen einer trajektoriespezifischen Transaktion unter Verarbeiten eines jeweiligen der ersten Referenzwerte RWA-1, ..., RWA-n im Rahmen eines Verarbeitungsvorgangs oder mehrerer Verarbeitungsvorgänge, wobei die Anzahl der zulässigen trajektoriespezifischen Transaktionen variabel und vorgegebenen ist und mit jeder trajektoriespezifischen Transaktion bezüglich eines ersten Referenzwertes RWA-1, ..., RWA-n reduziert wird. Eine jeweilige trajektoriespezifische Transaktion beinhaltet beispielsweise:

• Entgegennehmen wenigstens eines der ersten Referenzwerte RWA-1, ..., RWA-n und/oder einer der Trajektoriendateien TJ-1, ..., TJ-n von der Aufzeichnungseinheit (12);
• Speichern wenigstens eines der ersten Referenzwerte RWA-1, ..., RWA-n und/oder wenigstens einer der Trajektoriendateien TJ-1, ..., TJ-n in dem Speicherbereich 141 des Sicherheitsmoduls 14;
• Berechnen eines ersten Prüfwerts PWA-1, ..., PWA-n für wenigstens einen der ersten Referenzwerte RWA-1, ..., RWA-n und/oder für wenigstens eine der Trajektoriendateien TJ-1, ...,TJ-n;
• Speichern wenigstens eines der ersten Prüfwerte PWA-1, ..., PWA-n in dem Speicherbereich 141 des Sicherheitsmoduls 14; und/ oder
• Bereitstellen wenigstens eines der ersten Referenzwerte RWA-1, ..., RWA-n und/oder eines der ersten Prüfwerte PWA-1, ..., PWA-n für die Aufzeichnungseinheit (12), sodass der bereitgestellte wenigstens eine erste Referenzwerte RWA-1, ..., RWA-n und/oder der wenigstens eine erste Prüfwert PWA-1, ..., PWA-n im Rahmen der Betriebsmitteilung 131, 132 von der Kommunikationseinrichtung 13 an das Betriebsmitteilungsauswertungssystem 2 übermittelt werden können.

[0157] Wie im allgemeinen Teil der Beschreibung ausführlich ausgeführt worden ist, kann die Anzahl der zulässigen trajektoriespezifischen Transaktionen in verschiedenen Weisen vorgegeben werden, nämlich insbesondere durch einen Zählerstand eines (in der Fig. 1 nicht dargestellten) Zählers des Sicherheitsmoduls 14, eine Anzahl von verfügbaren TANs und/oder eine Anzahl von verfügbaren Speicherplätzen des Speicherbereichs 141 des Sicherheitsmoduls 14. Mit Bezug auf die Fig. 1 soll nun die letztere Variante anhand eines Beispiels näher erläutert werden.

[0158] Der Speicherbereich 141 weist eine begrenzte Anzahl von Speicherplätzen 141-1 bis 141-n auf. Beispielsweise sind etwa 100 Speicherplätze (n = 100) dieser Art vorgesehen. In jedem Speicherplatz 141-1 bis 141-n kann genau ein erster Referenzwert RWA-1; ...; RWA-n und genau ein erster Prüfwert PWA-1; ...; PWA-n gespeichert werden. Im Folgenden wird ein Paar aus einem ersten Referenzwert und einem ersten Prüfwert auch als Prüfdatensatz bezeichnet. Damit ein neuer Prüfdatensatz in einem der Speicherplätze 141-1 bis 141-n gespeichert werden kann, muss dieser für einen entsprechenden Schreibvorgang zur Verfügung stehen. Die Anzahl der zur Verfügung stehenden Speicherplätze 141-1 bis 141-n ist also indikativ für eine zulässige Anzahl von trajektoriespezifischen Transaktionen. Dies soll nachstehend näher erläutert werden.

[0159] Zunächst bestimmt die Aufzeichnungseinheit 12 für jede erzeugte Trajektoriendatei TJ-1 bis TJ-n einen ersten Referenzwert RWA-1, ..., RWA-n. Das Bestimmen eines derartigen Referenzwerts erfolgt gemäß einem Referenzwertbestimmungsverfahren. Beispielsweise handelt es sich bei den ersten Referenzwerten RWA-1 bis RWA-n um Hash-Werte, beispielsweise CRC-Werte. Die Aufzeichnungseinheit 12 legt die bestimmten ersten Referenzwerte RWA-1 bis RWA-n in den Speicherplätzen 141-1 bis 141-n ab, sofern diese für einen entsprechenden Schreibvorgang zur Verfügung stehen.

[0160] Für jeden im Speicherbereich 141 abgelegten ersten Referenzwert RWA-1 bis RWA-n bestimmt das Steuermodul 142 einen ersten Prüfwert PWA-1 bis PWA-n. Das Bestimmen dieser ersten Prüfwerte PWA-1 bis PWA-n erfolgt gemäß einem Prüfwertbestimmungsverfahren, beispielsweise gemäß einem MAC-Verfahren: Bei den ersten Prüfwerten PWA-1 bis PWA-n handelt es sich also beispielsweise um MAC-Werte.

[0161] In einer zweiten Kommunikationsphase sendet die Kommunikationseinrichtung 13 der Positionsdatenverarbeitungseinrichtung 1 im Rahmen einer Referenzwertnachricht 132 eine oder mehrere der im Speicherbereich 141 abgelegten Prüfdatensätze, die jeweils einen ersten Referenzwert RWA-1; ...; RWA-n und einen ersten Prüfwert PWA-1; ...; PWA-n umfassen, an das Betriebsmitteilungsauswertungssystem 2. Das Betriebsmitteilungsauswertungssystem 2 empfängt die Referenzwertnachricht 132 mittels des Nachrichtenempfängers 21. Eine Zuordnung zwischen dem Prüfdatensatz einerseits und der Trajektoriendatei andererseits erfolgt beispielsweise durch die Vergabe von Zeitstempeln oder ähnlichen Kennungen, sodass das Betriebsmitteilungsauswertungssystem 2 auf Empfang der Trajektoriennachricht 131 und der Referenzwertnachricht 132 ermitteln kann, welcher Prüfdatensatz welcher Trajektoriendatei zugeordnet ist.

[0162] Beide Nachrichten, also sowohl die Trajektoriennachricht 131 als auch die Referenzwertnachricht 132, empfängt das Betriebsmitteilungsauswertungssystem 2 mittels des Nachrichtenempfängers 21. Der Nachrichtenempfänger 21 kann dazu beispielsweise verteilt angeordnet sein und eine Anzahl von ersten Empfangsmodulen zum Empfangen der Trajektoriennachricht 131 und eine Anzahl von zweiten Empfangsmodulen zum Empfangen der Referenzwertnachricht 132 umfassen. Beispielsweise ist wenigstens eines der zweiten Empfangsmodule an einer straßenseitigen Kontrolleinrichtung des Betriebsmitteilungsauswertungssystems 2 angeordnet

[0163] Das Betriebsmitteilungsauswertungssystem 2 umfasst eine Auswerteeinheit 22, die gemäß demselben Referenzwertbestimmungsverfahren, welches auch die Positionsdatenverarbeitungseinrichtung 1 anwendet, für jede empfangene Trajektoriendatei einen zweiten Referenzwert bestimmt, und gemäß demselben Prüfwertbestimmungsverfahren, welches auch bei der Positionsdatenverarbeitungseinrichtung 1 zur Anwendung kommt, für jeden zweiten Referenzwert einen zweiten Prüfwert ermittelt.

[0164] Anhand eines Vergleichs der ersten Referenzwerte mit den zweiten Referenzwerten und anhand eines Vergleichs der ersten Prüfwerte mit den zweiten Prüfwerten ermittelt das Betriebsmitteilungsauswertungssystem 2, ob die Positionsdatenverarbeitungseinrichtung 1 ordnungsgemäß die Trajektoriendateien TJ-1 bis TJ-n aufgezeichnet hat. Dabei meint ordnungsgemäßes Aufzeichnen von Trajektoriendateien insbesondere, dass die Positionsdatenverarbeitungseinrichtung 1 zum einen die Trajektoriendateien vollständig an das Betriebsmitteilungsauswertungssystem 2 übermittelt und zum anderen in korrekter Weise aufzeichnet.

[0165] Jedenfalls in Abhängigkeit von den durchgeführten Vergleichen zwischen den ersten Referenzwerten und den zweiten Referenzwerten und zwischen den ersten Prüfwerten und den zweiten Prüfwerten erzeugt die Auswerteeinheit 22 des Betriebsmitteilungsauswertungssystems 2 eine Antwortnachricht 231 und übermittelt diese mittels eines Nachrichtensenders 23 zurück an die Positionsdatenverarbeitungseinrichtung 1.

[0166] Falls die ersten Referenzwerte mit den zweiten Referenzwerten und die ersten Prüfwerte mit den zweiten Prüfwerten übereinstimmen, erzeugt das Betriebsmitteilungsauswertungssystem 2 die Antwortnachricht 231 derart, dass diese das Steuermodul 142 dazu veranlasst, den oder die entsprechenden Speicherplätze des Speicherbereichs 141 für einen neuen Schreibvorgang freizugeben. Auf den Empfang einer derartigen Antwortnachricht 231 löscht das Steuermodul 142 beispielsweise die Prüfdatensätze aus dem Speicherbereich 141, die den zentralseitigen Vergleichen zugrunde lagen, sodass die entsprechenden Speicherplätze für einen neuen Schreibvorgang, sprich zum Speichern von neuen ersten Referenzwerten und neuen ersten Prüfwerten einer neuen Trajektoriendatei zur Verfügung stehen. Auf diese Weise verwaltet das Sicherheitsmodul 14 den Speicherbereich 141 in Abhängigkeit von der Antwortnachricht 231 des Betriebsmitteilungsauswertungssystems 2, die das Betriebsmitteilungsauswertungssystem 2 in Abhängigkeit von der Auswertung der Trajektoriennachricht 131 und der Referenzwertnachricht 132 erstellt hat.

[0167] Kommt das Betriebsmitteilungsauswertungssystem 2 bei der Auswertung jedoch zu dem Ergebnis, dass entweder die ersten Prüfwerte nicht mit den zweiten Prüfwerten übereinstimmen oder die ersten Referenzwerte nicht mit den zweiten Referenzwerten, so erzeugt sie die Antwortnachricht 231 beispielsweise derart, dass diese die Positionsdatenverarbeitungseinrichtung 1 dazu veranlasst, in einen Zustand mangelnder Betriebsbereitschaft überzugehen, jedenfalls aber derart, dass die Speicherplätzezdes Speicherbereichs 141, deren Prüfdatensätze der Auswertung zugrunde lagen, nicht durch das Steuermodul 142 gelöscht und dadurch freigegeben werden. Durch die Nichtfreigabe der Speicherplätze des Speicherbereichs 141 kommt es bei dem Versuch, einen neuen Referenzwert für eine neue Trajektoriendatei im Speicherbereich 141 abzulegen, zu einem Fehler, weil eben kein Speicherplatz im Speicherbereich 141 (mehr) zur Verfügung steht. Dies führt dazu, dass die Positionsdatenverarbeitungseinrichtung 1 in einen Zustand mangelnder Betriebsbereitschaft übergeht, in dem die Positionsdatenverarbeitungseinrichtung (1) keine trajektoriespezifischen Transaktionen in Form der Speicherung erster Referenzwerte im Speicherbereich 141 mehr durchführt. Einem Benutzer der Positionsdatenverarbeitungseinrichtung 1 wird dieser Zustand beispielsweise dadurch angezeigt, dass eine rote LED aufleuchtet. Darüber hinaus registriert das Betriebsmitteilungsauswertungssystem 2, dass die Positionsdatenverarbeitungseinrichtung 1 in diesem Zustand operiert und leitet entsprechende Maßnahmen ein, beispielsweise, indem das Betriebsmitteilungsauswertungssystem 2 die Positionsdatenverarbeitungseinrichtung 1 auf eine Beobachtungsliste setzt oder gleich das Einleiten bestimmter Sanktionsmaßnahmen veranlasst.

[0168] Um das Detektieren von Manipulationsversuchen bei dem Mautgerät 1 noch sicherer zu gestalten, sehen optionale Ausgestaltungen der Positionsdatenverarbeitungseinrichtung 1 vor, dass das DSRC-Kommunikationsmodul 15 ' ausgebildet ist zum Speichern einer Kopie der ersten Prüfwerte PWA-1 bis PWA-n und der ersten Referenzwerte RWA-1 bis RWA-n, so dass die ersten Prüfwerte PWA-1 bis PWA-n und die ersten Referenzwerte RWA-1 bis RWA-n auch von einer Kontrolleinrichtung 25 , die von dem Fahrzeug passiert wird, im Rahmen von einer durch das DSRC-Kommunikationsmodul an die Kontrolleinrichtung 25 gesendeten Referenzwertnachricht 132 ausgelesen werden können. Üblicherweise steht eine derartige Kontrolleinrichtung 25, beispielsweise eine Kontrollbrücke, ebenfalls in Wirkverbindung mit dem Betriebsmitteilungsauswertungssystem 2, sodass die ersten Prüfwerte PWA1-1 bis PWA-n und die ersten Referenzwerte RWA-1 bis RWA-n mittels einer derartigen Kontrolleinrichtung an das Betriebsmitteilungsauswertungssystem 2 übertragen werden können, sodass auch auf diesem Wege zentralseitig überprüft werden kann, ob die Positionsdatenverarbeitungseinrichtung 1 ordnungsgemäß operiert.

[0169] Es kann auch auf die Übertragung der ersten Prüfwerte PWA1-1 bis PWA-n und der ersten Referenzwerte RWA-1 bis RWA-n von der Kontrolleinrichtung an das Betriebsmitteilungsauswertungssystem 2 verzichtet werden, wenn die Kontrolleinrichtung 25 einen Versuch, einen jeweiligen ersten Prüfwert PWA-k unter Bestimmung eines jeweiligen zweiten Prüfwertes aus dem jeweiligen ersten Referenzwert RWA-k nachzubilden, vornimmt. Ist der Versuch nicht erfolgreich, so sendet die Kontrolleinrichtung eine die entsprechende Positionsdatenverarbeitungseinrichtung 1 betreffende Fehlernachricht an das Betriebsmitteilungsauswertungssystem 2.

[0170] Anhand des oben dargestellten Einsatzes von ersten Referenzwerten RWA-1, ..., RWA-n kann das Betriebsmitteilungsauswertungssystem 2 demnach zentralseitig die Integrität und die Authentizität der Trajektoriendateien TJ-1, ..., TJ-n und damit die ordnungsgemäße Funktionsweise der Positionsdatenverarbeitungseinrichtung 1 überprüfen. Durch den Einsatz der ersten Prüfwerte erfolgt eine Sicherung der ersten Referenzwerte, sodass das Betriebsmitteilungsauswertungssystem 2 überprüfen kann, dass tatsächlich alle Trajektoriendateien und unverändert bei dem Betriebsmitteilungsauswertungssystem 2 angekommen sind.

[0171] In einer Trajektoriennachricht 131 können eine oder mehrere der Trajektoriendateien TJ-1 bis TJ-n enthalten sein. Gleiches gilt sinngemäß für die Referenzwertnachricht 132, die je nach Ausgestaltung einen oder mehrere Prüfdatensätze umfassen kann. Eine Kennung der Positionsdatenverarbeitungseinrichtung 1 kann in der Trajektoriennachricht 131 und/oder in der Referenzwertnachricht 132 enthalten sein. Eine Zuordnung zwischen den Trajektoriendateien TJ-1 bis TJn einerseits und den Prüfdatensätzen andererseits erfolgt beispielsweise durch die mautgerätseitige Vergabe von Zeitstempeln oder ähnlichen Kennungen, die eine Zuordnung zwischen den Prüfdatensätzen und den Trajektoriendateien eindeutig liefert.

[0172] Die Positionsdatenverarbeitungseinrichtung 1 sendet die Trajektoriennachricht 131 und/oder die Referenzwertnachricht 132 beispielsweise auf Aufforderung durch das Betriebsmitteilungsauswertungssystem 2 hin. Es ist auch möglich, dass die Positionsdatenverarbeitungseinrichtung 1 die Trajektoriennachricht 131 und/oder die Referenzwertnachricht 132 ohne Aufforderung durch das Betriebsmitteilungsauswertungssystem 2 an das Betriebsmitteilungsauswertungssystem 2 übermittelt.

[0173] Wie bereits oben erläutert worden ist, ist das Sicherheitsmodul 14 beispielsweise als eigenständige Chipkarte ausgestaltet, die an wenigstens eine bereits existierende Komponente der Positionsdatenverarbeitungseinrichtung 1, insbesondere an die Aufzeichnungseinheit 12, gekoppelt ist.

[0174] Die Positionsdatenverarbeitungseinrichtung 1 ist beispielsweise als OnBoard-Unit (OBU) ausgestaltet und weist ein Gehäuse auf. Das Sicherheitsmodul 14 ist bevorzugt innerhalb dieses Gehäuses angeordnet.

[0175] Weiter oben ist erläutert worden, dass die Positionsdatenverarbeitungseinrichtung 2 die Antwortnachricht 231 bei Nichtübereinstimmung zwischen den ersten Referenzwerten und den zweiten Referenzwerten und/oder bei Nichtübereinstimmung zwischen den ersten Prüfwerten und den zweiten Prüfwerten beispielsweise derart erzeugt, dass die Positionsdatenverarbeitungseinrichtung 1 im Ergebnis in einen Zustand mangelnder Betriebsbereitschaft übergeht. Eine derartige Nichtübereinstimmung zwischen den ersten und zweiten Referenzwerten bzw. zwischen den ersten und zweiten Prüfwerten ist insbesondere auch dann gegeben, wenn zu einer Trajektoriendatei ein erster Referenzwert und/oder ein erster Prüferwert nicht mit an das Betriebsmitteilungsauswertungssystem 2 übermittelt worden ist. Eine mangelnde Übereinstimmung kann sich auch dadurch ergeben, dass die Positionsdatenverarbeitungseinrichtung 1 zu einer Trajektoriendatei nicht nur einen ersten Referenzwert, sondern mehrere erste Referenzwerte übermittelt.

Bezugszeichenliste

[0176] 

1

Positionsdatenverarbeitungseinrichtung

11

Empfänger

111

Satellitendaten

111-1

Positionsdaten

12

Aufzeichnungseinheit

121

Prozessor

122

Speichereinheit

13

Kommunikationseinrichtung

131

Trajektoriennachricht

132

Referenzwertnachricht

14

Sicherheitsmodul

141

Speicherbereich

141-1, ..., 141-n

Speicherplätze

142

Steuermodul

15

DSRC-Kommunikationsmodul

151

Daten

2

Betriebsmitteilungsauswertungssystem

21

Nachrichtenempfänger

22

Auswerteeinheit

23

Nachrichtensender

231

Antwortnachricht

25

Kontrolleinrichtung

3

Mautsystem

TJ-1, ...,TJ-n

Trajektorien, Trajektoriendateien

RWA-1, ...., RWA-n

Erste Referenzwerte

PWA-1, ..., PWA-n

Erste Prüfwerte

Ansprüche

1. Positionsdatenverarbeitungseinrichtung (1) zur Mitführung in oder an einem Fahrzeug,
wobei die Positionsdatenverarbeitungseinrichtung (1) in einem Zustand gegebener Betriebsbereitschaft ausgebildet ist,

- keine mangelnde Betriebsbereitschaft und/ oder eine gegebene Betriebsbereitschaft zu signalisieren,

- Positionsdaten (111-1), die indikativ für Positionen des Fahrzeugs sind, zu empfangen oder zu erzeugen und

- in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten (111-1) wenigstens eine Trajektorie (TJ-1, ..., TJ-n) zu erzeugen, die indikativ für eine von dem Fahrzeug zurückgelegte Strecke ist,

dadurch gekennzeichnet, dass
die Positionsdatenverarbeitungseinrichtung (1) im Zustand gegebener Betriebsbereitschaft ferner ausgebildet ist,

- bezüglich der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) wenigstens eine trajektoriespezifische Transaktion durchzuführen,

- eine Anzahl von zulässigen trajektoriespezifischen Transaktionen von größer als Null infolge der wenigstens einen durchgeführten trajektoriespezifischen Transaktion zu reduzieren und

- in einen Zustand mangelnder Betriebsbereitschaft zu wechseln, falls die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt,

und
die Positionsdatenverarbeitungseinrichtung (1) im Zustand mangelnder Betriebsbereitschaft ausgebildet ist,

- keine trajektoriespezifische Transaktion durchzuführen und

- eine mangelnde Betriebsbereitschaft und/ oder keine gegebene Betriebsbereitschaft zu signalisieren..

2. Positionsdatenverarbeitungseinrichtung (1) nach Anspruch 1 dadurch gekennzeichnet, dass
die Positionsdatenverarbeitungseinrichtung (1) im Zustand gegebener Betriebsbereitschaft ausgebildet ist,

- infolge oder im Rahmen der Durchführung der trajektoriespezifischen Transaktion die wenigstens eine erzeugte Trajektorie (TJ-1, ..., TJ-n) oder einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) bestimmten ersten Referenzwert (RWA-1, ..., RWA-n) im Rahmen einer Betriebsmitteilung (131,132) an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2) zu versenden,

- eine Antwortnachricht (231), die das Betriebsmitteilungsauswertungssystem (2) in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung (131, 132) versendet hat, zu empfangen und

- in Abhängigkeit von der empfangenen Antwortnachricht (231) die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu einer Anzahl von größer als Null zu modifizieren, unverändert zu lassen oder gleich Null zu setzen.

3. Positionsdatenverarbeitungseinrichtung nach Anspruch 1 oder 2 dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1)

- wenigstens einen Prozessor (121) aufweist, der zumindest im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten (111-1) die wenigstens eine Trajektorie (TJ-1, ..., TJ-n) zu erzeugen, und

die Positionsdatenverarbeitungseinrichtung (1)

- wenigstens ein Sicherheitsmodul (14) aufweist, welches zumindest im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, die wenigstens eine trajektoriespezifische Transaktion durchzuführen,

wobei

- der Prozessor (121) zumindest im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, dem Sicherheitsmodul die erzeugte Trajektorie (TJ-1, ..., TJ-n) oder Positionsdaten (111-1), von denen abhängig die Trajektorie (TJ-1, ..., TJ-n) erzeugt wurde, zur Durchführung der trajektoriespezifischen Transaktion bereitzustellen.

4. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, im Rahmen der Durchführung der trajektoriespezifischen Transaktion oder außerhalb davon wenigstens einen der folgenden Schritte durchzuführen:

- die zumindest zeitweilige Speicherung von Daten der Trajektorie (TJ-1, ..., TJ-n) in einem Sicherheitsmodul der Positionsdatenverarbeitungseinrichtung;

- die Versendung der Trajektorie (TJ-1, ..., TJ-n) im Rahmen einer Betriebsmitteilung an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2);

- die Bestimmung eines ersten Referenzwertes (RWA-1, ..., RWA-n) aus der Trajektorie (TJ-1, ..., TJ-n) gemäß wenigstens eines Referenzwertbestimmungsverfahrens;

- die zumindest zeitweilige Speicherung eines ersten, aus der Trajektorie (TJ-1, ..., TJ-n) gemäß wenigstens eines Referenzwertbestimmungsverfahrens bestimmten, Referenzwertes (RWA-1, ..., RWA-n) in einem Sicherheitsmodul (14) der Positionsdatenverarbeitungseinrichtung (1).

5. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1), insbesondere ein von der Positionsdatenverarbeitungseinrichtung (1) umfasstes Sicherheitsmodul (14), ausgebildet ist,

- im Rahmen der Durchführung der trajektoriespezifischen Transaktion oder außerhalb davon gemäß wenigstens eines Referenzwertbestimmungsverfahrens einen ersten Referenzwert (RWA-1, ,..., RWA-n) aus der Trajektorie (TJ-1, ..., TJ-n) zu bestimmen,

und die Positionsdatenverarbeitungseinrichtung ausgebildet ist,

- den ersten Referenzwert (RWA-1, ..., RWA-n) im Rahmen der Betriebsmitteilung (131) zusammen mit der Trajektorie (TJ-1,'..., TJ-n), aus deren Daten der erste Referenzwert (RWA-1, ..., RWA-n) bestimmt wurde, an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2) zu versenden
oder

- die Trajektorie (TJ-1, ..., TJ-n) im Rahmen einer ersten Betriebsmitteilung (131) an ein außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2) zu versendenden und den ersten Referenzwert (RWA-1, ..., RWA-n) im Rahmen einer von der ersten Betriebsmitteilung (131) zeitlich beabstandeten, gesonderten zweiten Betriebsmitteilung (132) an das Betriebsmitteilungsauswertungssystem (2) zu versenden.

6. Positionsdätenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1), insbesondere ein von der Positionsdatenverarbeitungseinrichtung (1) umfasstes Sicherheitsmödul (14), ausgebildet ist, für die wenigstens eine Trajektorie (TJ-1, ..., TJ-n) und/ oder für wenigstens einen nach gemäß wenigstens eines Referenzwertbestimmungsverfahrens durch die Positionsdatenverarbeitungseinrichtung aus der Trajektorie (TJ-1, ..., TJ-n) bestimmten ersten Referenzwert (RWA-1, ..., RWA-n) einen oder mehrere erste Prüfwerte (PWA-1, ..., PWA-n) gemäß einem Prüfwertbestimmungsverfahren zu bestimmen, und dass
die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, die wenigstens eine Trajektorie (TJ-1, ..., TJ-n) und/ oder den wenigstens einen ersten Referenzwert (RWA-1, ..., RWA-n) gemeinsam mit dem dazugehörigen ersten Prüfwert (PWA-1, ..., PWA-n) im Rahmen der Betriebsmitteilung (131, 132) an das Betriebsmitteilungsauswertungssystem (2) zu übermitteln.

7. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass eine Information über die Anzahl der zulässigen trajektoriespezifischen Transaktionen in der Positionsdatenverarbeitungseinrichtung (1), insbesondere in einem Speicherbereich (141) eines Sicherheitsmoduls (14) der Positionsdatenverarbeitungseinrichtung (1) gespeichert ist, und die Positionsdatenverarbeitungseinrichtung (1), insbesondere das Sicherheitsmodul (14), ausgebildet ist, mit jeder trajektoriespezifischen Transaktion die Information in der Weise zu verändern, dass die veränderte Information die reduzierte Anzahl der zulässigen trajektoriespezifischen Transaktionen angibt.

8. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Anzahl der zulässigen trajektoriespezifischen Transaktionen durch einen Zählerstand eines Zählers der Positionsdatenverarbeitungseinrichtung (1), insbesondere eines Sicherheitsmoduls (14) der Positionsdatenverarbeitungseinrichtung (1), vorgegeben ist.

9. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet, dass die Positionsdatenverarbeitungseinrichtung (1), insbesondere ein von der Positionsdatenverarbeitungseinrichtung (1) umfasstes Sicherheitsmodul (14), ausgebildet ist, auf eine Liste mit Transaktionsnummern zuzugreifen, wobei die Anzahl der in der Liste enthaltenen Transaktionsnummern indikativ für die Anzahl der zulässigen trajektoriespezifischen Transaktionen ist.

10. Positionsdatenverarbeitungseinrichtung (1) nach einem der vorhergehenden Ansprüche dadurch gekennzeichnet,
dass in der Positionsdatenverarbeitungseinrichtung (1) eine Nutzerkennung, insbesondere eine Kennung des Fahrzeugs oder der Positionsdatenverarbeitungseinrichtung (1), gespeichert ist und die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, die wenigstens eine erzeugte Trajektorie (TJ-1, ..., TJ-n) oder einen gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie (TJ- 1, ..., TJ-n) bestimmten ersten Referenzwert (RWA-1, ..., RWA-n) im Rahmen einer Betriebsmitteilung (131) an ein-außerhalb und abseits des Fahrzeugs befindliches Betriebsmitteilungsauswertungssystem (2) zu versenden und die Nutzerkennung im Rahmen der Betriebsmitteilung (131, 132) oder außerhalb der Betriebsmitteilung (131, 132) im Rahmen einer von der Betriebsmitteilung (131, 132) unabhängigen Identifikationsmitteilung an das Betriebsmitteilungsauswertungssystem (2) zu senden.

11. Betriebsmitteilungsauswertungssystem (2) zum Verwalten wenigstens einer Positionsdatenverarbeitungseinrichtung (1) nach einem der vorstehenden Ansprüche, die ausgebildet ist, die wenigstens eine erzeugte Trajektorie (TJ-1, ..., TJ-n) im Rahmen einer Betriebsmitteilung (131) an das Betriebsmitteilungsauswertungssystem (2) zu versenden,
dadurch gekennzeichnet ist, dass das Betriebsmitteilungsauswertungssystem (2) ausgebildet ist,

- die von der Positionsdatenverarbeitungseinrichtung (1) versendete Betriebsmitteilung (131) zu empfangen,

- die empfangene Betriebsmitteilung (131) auszuwerten und

- in Abhängigkeit von der Auswertung der Betriebsmitteilung (131) eine Antwortnachricht (231) zu erzeugen.

12. Mautsystem (3) gekennzeichnet durch wenigstens eine Positionsdatenverarbeitungseinrichtung (1) gemäß Anspruch 10 und durch ein Betriebsmitteilungsauswertungssystem (2) gemäß Anspruch 11,
dadurch gekennzeichnet, dass das die Positionsdatenverarbeitungseinrichtung (1) und/ oder das Betriebsmitteilungsauswertungssystem (2) ausgebildet sind/ ist, anhand der wenigstens einen von der Positionsdatenverarbeitungseinrichtung (1) erzeugten Trajektorie (TJ-1, ..., TJ-n) wenigstens einen der Nutzerkennung zugeordneten durch das Fahrzeug befahrenen mautpflichtigen Streckenabschnitt und/ oder eine der Nutzerkennung zugeordnete Mautgebühr zu bestimmen.

13. Mautsystem nach Anspruch 12 dadurch gekennzeichnet, dass
die Positionsdatenverarbeitungseinrichtung ausgebildet ist,

- gemäß einem Referenzwertbestimmungsverfahren einen ersten Referenzwert (RWA-1, ..., RWA-n) aus der erzeugten Trajektorie (TJ-1, ..., TJ-n) zu bestimmen und

- den ersten Referenzwert (RWA-1, ..., RWA-n) und die erzeugte Trajektorie (TJ-1, ..., TJ-n) im Rahmen wenigstens einer Betriebsmitteilung (131, 132) an das Betriebsmitteilungsauswertungssystem (2) zu versenden

und das Betriebsmitteilungsauswertungssystem (2) ausgebildet ist,

- aus der von der Positionsdatenverarbeitungseinrichtung empfangenen Trajektorie gemäß des Referenzwertbestimmungsverfahrens einen zweiten Referenzwert aus der empfangenen Trajektorie (TJ-1, ..., TJ-n) zu bestimmen,

- den empfangenen ersten Referenzwert (RWA-1, ..., RWA-n) mit dem erzeugten zweiten Referenzwert zu vergleichen,

- bei gegebener Übereinstimmung des ersten Referenzwertes (RWA-1, ..., RWA-n) mit dem zweiten Referenzwert eine eine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende positive Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung zu versenden und

- bei mangelnder Übereinstimmung des ersten Referenzwertes (RWA-1, ..., RWA-n) mit dem zweiten Referenzwert eine keine Anweisung zur Erhöhung der Anzahl der zulässigen trajektoriespezifischen Transaktionen umfassende neutrale Antwortnachricht an die Positionsdatendatenverarbeitungseinrichtung oder eine eine Anweisung zum Setzen der Anzahl der trajektoriespezifischen Transaktionen gleich Null umfassende negative Antwortnachricht zu versenden,

wobei die Positionsdatenverarbeitungseinrichtung (1) ausgebildet ist, die

- Antwortnachricht, die das Betriebsmitteilungsauswertungssystem (1) in Abhängigkeit von der wenigstens einen gesendeten Betriebsmitteilung (131, 132) versendet hat, zu empfangen und

- bei Empfang der positiven Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen zu erhöhen, bei Empfang der neutralen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen unverändert zu lassen und bei Empfang der negativen Antwortnachricht die Anzahl von zulässigen trajektoriespezifischen Transaktionen gleich Null zu setzen.

14. Verfahren zum Betreiben einer Positionsdatenverarbeitungseinrichtung (1), die zur Mitführung in oder an einem Fahrzeug geeignet ist, mit den Schritten in einem Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) des

- Signalisierens keiner mangelnden Betriebsbereitschaft und/ oder einer gegebenen Betriebsbereitschaft durch die Positionsdatenverarbeitungseinrichtung (1),

- Empfangens oder Erzeugens von Positionsdaten (111-1), die indikativ für Positionen des Fahrzeugs sind, durch die Positionsdatenverarbeitungseinrichtung (1),

- Erzeugens wenigstens einer Trajektorie (TJ-1, ..., TJ-n), die indikativ für eine von dem Fahrzeug zurückgelegte Strecke ist, in Abhängigkeit von den empfangenen oder erzeugten Positionsdaten (111-1) durch die Positionsdatenverarbeitungseinrichtung (1),

gekennzeichnet durch
die weiteren Schritten im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) des

- Durchführens wenigstens einer trajektoriespezifischen Transaktion bezüglich der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) durch die Positionsdatenverarbeitungseinrichtung (1);

- Reduzierens einer Anzahl von zulässigen trajektoriespezifischen Transaktionen von größer als Null infolge der wenigstens einen durchgeführten trajektoriespezifischen Transaktion und

- selbsttätigen Wechselns der Positionsdatenverarbeitungseinrichtung (1) in einen Zustand mangelnder Betriebsbereitschaft, in dem die Positionsdatenverarbeitungseinrichtung (1) keine trajektoriespezifische Transaktion durchführt, falls die Anzahl der zulässigen trajektoriespezifischen Transaktionen Null beträgt,

und den Schritt im Zustand der mangelnden Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung (1) des

- Signalisierens einer mangelnden Betriebsbereitschaft und/ oder keiner gegebenen Betriebsbereitschaft durch die Positionsdatenverarbeitungseinrichtung (1).

15. Verfahren zum Betreiben eines Mautsystems mit wenigstens einer Positionsdatenverarbeitungseinrichtung und wenigstens eines außerhalb und abseits des Fahrzeugs befindlichen Betriebsmitteilungsauswertungssystems umfassend ein Verfahren nach Anspruch 14 und die weiteren Schritte im Zustand gegebener Betriebsbereitschaft der Positionsdatenverarbeitungseinrichtung des

- Versendens der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) oder eines gemäß wenigstens eines Referenzwertbestimmungsverfahrens aus der wenigstens einen erzeugten Trajektorie (TJ-1, ..., TJ-n) bestimmten ersten Referenzwertes (RWA-1, ..., RWA-n) im Rahmen einer Betriebsmitteilung (131, 132) an das Betriebsmitteilungsauswertungssystem infolge oder im Rahmen der Durchführung der trajektoriespezifischen Transaktion durch die Positionsdatenverarbeitungseinrichtung,

- Empfangens der von der Positionsdatenverarbeitungseinrichtung (1) versendeten Betriebsmitteilung (131, 132) durch das Betriebsmitteilungsauswertungssystem (2);

- Bestimmens wenigstens eines einer Nutzerkennung der Positionsdatenverarbeitungseinrichtung zugeordneten durch das Fahrzeug befahrenen mautpflichtigen Streckenabschnitts und/ oder wenigstens einer einer Nutzerkennung der Positionsdatenverarbeitungseinrichtung zugeordneten Mautgebühr durch die Positionsdatenverarbeitungseinrichtung und/ oder das Betriebsmitteilungsauswertungssystem anhand der Trajektorie (TJ-1, ..., TJ-n);

- Auswertens der empfangenen Betriebsmitteilung (131, 132) durch das Betriebsmitteilungsauswertungssystem (2);

- Erzeugens einer Antwortnachricht (231) in Abhängigkeit von der Auswertung der Betriebsmitteilung (131, 132) durch das Betriebsmitteilungsauswertungssystem (2);

- Versendens der Antwortnachricht (231) durch das Betriebsmitteilungsauswertungssystem (2) an die Positionsdatenverarbeitungseinrichtung (1);

- Empfangens der Antwortnachricht, die das Betriebsmitteilungsauswertungssystem (2) versendet hat, durch die Positionsdatenverarbeitungseinrichtung (1) und

- Modifizierens der Anzahl von zulässigen trajektoriespezifischen Transaktionen (TJ-1, ..., TJ-n) zu einer Anzahl von größer als Null, Beibehaltens der Anzahl von zulässigen trajektoriespezifischen Transaktionen oder Setzens der Anzahl von zulässigen trajektoriespezifischen Transaktionen gleich Null in Abhängigkeit von der, empfangenen Antwortnachricht durch die Positionsdatenverarbeitungseinrichtung.

Zeichnung