Fahrzeuggerät, ad-hoc-Netzwerk und Verfahren für ein Strassenmautsystem

Beschreibung

[0001] Die vorliegende Erfindung betrifft ein Fahrzeuggerät für ein Straßenmautsystem, auch "Onboard-Unit" bzw. OBU genannt, mit einem Satellitennavigationsempfänger zur fortlaufenden Erzeugung von Ortsdaten für eine Verarbeitungs- und Sendeempfangseinheit des Fahrzeuggeräts und einem gesonderten Trusted-Element-Prozessor zur Protokollierung eines Zeitabschnitts der erzeugten Ortsdaten und zur kryptographischen Signierung desselben. Die Erfindung betrifft ferner ein ad-hoc-Netzwerk aus zumindest zwei solchen Fahrzeuggeräten sowie ein Verfahren zur Protokollierung von Ortsdaten eines ortsaufzeichnenden Fahrzeuggeräts eines Straßenmautsystems mit mehreren Fahrzeuggeräten, die drahtlos Ortsdaten austauschen können.

[0002] Aus der EP 2 017 790 A2 ist die Verwendung eines Trusted-Elements zur Signierung der von einer OBU an einen Map-Matching-Proxy abgesetzten Ortsaufzeichnungen bekannt. Das Trusted-Element dient dabei auch zur Verschlüsselung der Schnittstelle zwischen OBU und Map-Matching-Proxy.

[0003] Zur Überwachung und Kontrolle der Funktionsfähigkeit von interoperablen Straßenmautsystemen, wie dem neuen European Electronic Toll Service (EETS), werden "Secure Monitoring"-Konzepte eingesetzt, die auf einer Protokollierung und abschnittsweisen Signierung ("Real-Time Freezing") der Ortsaufzeichnungen der Fahrzeuggeräte des Straßenmautsystems beruhen. Zur Signierung werden Trusted-Element-Prozessoren verwendet, die eine kryptographische Signatur ("Trusted Element Certificate") des Kontrolleurs, z.B. eines Straßenerhalters, einer Behörde usw. ("Certificate Issuer") enthalten und daher dessen Vertrauen genießen. Details des Secure Monitoring- bzw. Secure Freezing-Konzepts sind beispielsweise in den Publikationen "Security aspects of the 1,11 EETS", Expert Group 12, Final report V1.0, 5. April 2007; "Electronic fee collection - Application interface definition for autonomous systems - Part 1: Changing", ISO Technical Specification 17575-1, 15. Juni 2010; und "An Example of a view on EETS trust and privacy in GNSS based toll systems", Vis J, Report Ministry of Transport, Public Works and Water Management of The Netherlands, 15. Dezember 2009, enthalten.

[0004] Bei den bekannten Systemen werden alle im Fahrzeuggerät anfallenden Ortsdaten protokolliert und fortlaufend abschnittsweise signiert ("freezed"); anschließend werden mit einem externen Kontrollgerät die signierten Zeitabschnitte zu Kontrollzwecken ausgelesen. Dies bedeutet einen hohen Datenanfall und erfordert einerseits einen entsprechend großen Speicherplatz für die Aufbewahrung der signierten Daten und andererseits gesonderte Kontrollgeräte zu deren Auslesung.

[0005] Die Erfindung setzt sich zum Ziel, die Nachteile des Standes der Technik zu überwinden und eine verbesserte Secure-Monitoring-Lösung für interoperable Straßenmautsysteme zu schaffen. Dieses Ziel wird in einem ersten Aspekt der Erfindung mit einem Fahrzeuggerät der einleitend genannten Art erreicht, das sich dadurch auszeichnet, dass der Trusted-Element-Prozessor dafür ausgebildet ist, die genannte Protokollierung bei Detektion einer vorgegebenen Zeit oder eines vorgegebenen Orts des Fahrzeuggeräts zu starten und für einen vorgegebenen Zeitabschnitt durchzuführen.

[0006] Auf diese Weise wird das Fahrzeuggerät selbst zu seiner eigenen Überwachung eingesetzt: Der in der genannten Weise programmierte Trusted-Element-Prozessor wirkt ähnlich einem Computer-Virus, das zu einer vorgegebenen Zeit oder an einem vorgegebenen Ort für eine begrenzte Zeit Ortsdaten im Fahrzeuggerät sammelt und für Kontrollzwecke bereitstellt. Die genannte Funktionalität des Trusted-Element-Prozessors "schläft" bis zu ihrem Einsatz und führt dann eine einzelne Abschnittsprotokollierung durch. Es erübrigt sich damit, sämtliche Ortsdaten fortlaufend zu protokollieren, zu signieren und aufzubewahren ("einzufrieren"), und es erübrigt sich auch ein gesondertes Kontrollgerät, um den Monitoring-Vorgang auszulösen.

[0007] Es versteht sich, dass der vorgegebene Ort, welcher detektiert wird, nicht notwendigerweise punktförmig sein muss, sondern auch ausgedehnt sein kann, z.B. ein Distrikt, eine bestimmte Straße usw. Gemäß einer ersten Variante der Erfindung detektiert der Trusted-Element-Prozessor den vorgegebenen Ort in den eigenen Ortsdaten seines Fahrzeuggeräts, was den Aufwand gering hält.

[0008] Eine besonders vorteilhafte Ausführungsform der Erfindung zeichnet sich dadurch aus, dass der Trusted-Element-Prozessor den vorgegebenen Ort in fremden Ortsdaten detektiert, die er über ein Drahtlosnetzwerk von benachbarten Fahrzeuggeräten empfängt. Dies stellt einen qualitativen Sprung in der Sicherheit der Überwachung dar: Die Ortsdaten anderer Fahrzeuggeräte sind unabhängig von allfälligen Manipulationen oder Fehlfunktionen des kontrollierten Fahrzeuggeräts; die Verwendung fremder Ortsdaten als Auslösekriterium für das Secure Freezing der eigenen Ortsdaten ermöglicht somit eine hochsichere Kontrolle der Funktionsfähigkeit eines Fahrzeuggeräts für den Kontrolleur bzw. Certificate Issuer. Die genannten benachbarten Fahrzeuggeräte brauchen nicht notwendigerweise von Fahrzeugen mitgeführt werden; sie können auch infrastrukturgestützt ortsfest sein.

[0009] Bevorzugt ist das Drahtlosnetzwerk ein ad-hoc-Netzwerk, insbesondere ein Vehicular-ad-hoc-Network (VANET), besonders bevorzugt nach dem WAVE- (wireless access in a vehicle environment) oder WLAN- (wireless local area network) Standard. Solche Netzwerke können spontan zwischen einer Gruppe benachbarter, sich in gegenseitiger Sendeempfangsreichweite befindlicher Fahrzeuggeräte ausgebildet werden.

[0010] Besonders günstig ist es, wenn der Trusted-Element-Prozessor die fremden Ortsdaten mehrerer benachbarter Fahrzeuggeräte empfängt und miteinander abgleicht, um in den abgeglichenen fremden Ortsdaten den vorgegebenen Ort zu detektieren.

[0011] Um Vertraulichkeitsanforderungen zu erfüllen, kann der Trusted-Element-Prozessor gemäß einem weiteren bevorzugten Merkmal die fremden Ortsdaten der benachbarten Fahrzeuggeräte anonym abfragen, z.B. unter einer zufällig gewählten (anonymen) Netzwerk-Absenderkennunq, einer - ohne Zusatzinformationen nicht weiter zuordenbaren - MAC-Adresse im ad-hoc-Netzwerk, usw.

[0012] Zur Erhöhung der Kontrollsicherheit kann der Trusted-Element-Prozessor die fremden Ortsdaten unter Austausch eines Schlüssels mit zeitlich und/oder örtlich begrenzter Gültigkeit abfragen und nur jene fremden Ortsdaten, die unter einem gültigen Schlüssel empfangen werden, berücksichtigen. Dadurch kann die Aktualität der als Auslösekriterium verwendeten Ortsdaten und/oder ihr Nachbarschaftsbereich verifiziert werden; in einem hochmobilen Umfeld wie einem VANET kann damit die Genauigkeit der Verortung des protokollierten Fahrzeuggeräts erhöht werden.

[0013] In einer weiteren Variante der Erfindung kann der Trusted-Element-Prozessor den signierten Zeitabschnitt mittels der Sendeempfangseinheit des Fahrzeuggeräts an eine Zentrale des Straßenmautsystems absenden. Alternativ kann der Trusted-Element-Prozessor den signierten Zeitabschnitt über eine Schnittstelle des Fahrzeuggeräts zur Abfrage bereitstellen.

[0014] In einem zweiten Aspekt schafft die Erfindung auch ein ad-hoc-Netzwerk aus zumindest zwei Fahrzeuggeräten von jener Art, bei der als Auslösekriterium für das Secure Freezing Daten benachbarter Fahrzeuggeräte verwendet werden, gemäß den Merkmalen des Anspruchs 10.

[0015] In einem dritten Aspekt schafft die Erfindung ein Verfahren zur Protokollierung von Ortsdaten eines ortsaufzeichnenden Fahrzeuggeräts eines Straßenmautsystems mit mehreren Fahrzeuggeräten, die drahtlos Ortsdaten austauschen können, umfassend, in einem ersten Fahrzeuggerät:

Empfangen von Ortsdaten eines zweiten Fahrzeuggeräts,

Detektieren eines vorgegebenen Orts in den empfangenen Ortsdaten des zweiten Fahrzeuggeräts,

Starten der Protokollierung eines Zeitabschnitts der Ortsdaten des ersten Fahrzeuggeräts, und

Signieren des protokollierten Zeitabschnitts mit einer kryptographischen Signatur.

[0016] Bevorzugt erfolgt das Detektieren, Protokollieren und Signieren in einem Trusted-Element-Prozessor des ersten Fahrzeuggeräts.

[0017] Wenn die Protokollierung der eigenen Ortsdaten zeitgesteuert ausgelöst wird, können die Ortsdaten der anderen Fahrzeuggeräte als zusätzliche Validierungsdaten verwendet werden, indem sie beim Secure Freezing der eigenen Ortsdaten "miteingefroren" werden. Demgemäß schafft die Erfindung in einer alternativen Ausführungsform auch ein Verfahren zur Protokollierung von Ortsdaten eines ortsaufzeichnenden Fahrzeuggeräts eines Straßenmautsystems mit mehreren Fahrzeuggeräten, die drahtlos Ortsdaten austauschen können, umfassend, in einem ersten Fahrzeuggerät:

Detektieren einer vorgegebenen Zeit,

Starten der Protokollierung eines Zeitabschnitts der Ortsdaten des ersten Fahrzeuggeräts und Empfangen von Ortsdaten eines zweiten Fahrzeuggeräts, und

Signieren des protokollierten Zeitabschnitts und der empfangenen Ortsdaten mit einer kryptographischen Signatur.

[0018] Hinsichtlich der Vorteile des ad-hoc-Netzwerks und der Verfahren der Erfindung wird auf die obigen Ausführungen zum erfindungsgemäßen Fahrzeuggerät verwiesen.

[0019] Die Erfindung wird nachstehend anhand eines in den beigeschlossenen Zeichnungen dargestellten Ausführungsbeispiels näher erläutert. In den Zeichnungen zeigt

Fig. 1 ein Straßenmautsystem mit Fahrzeuggeräten in einem erfindungsgemäßen ad-hoc-Netzwerk unter Verwendung des Verfahrens der Erfindung in Blockschaltbildform; und

Fig. 2 eines der Fahrzeuggeräte von Fig. 1 in Blockschaltbildform im Detail.

[0020] Fig. 1 zeigt ein interoperables Straßenmautsystem 1, das sich aus einer Vielzahl von Fahrzeuggeräten (onboard units, OBUs, O₁ - O₆) 2, einer Mehrzahl verschiedener Mautbetreiberzentralen (Toll Charger, TC₁, TC₂) 3 und einer Mehrzahl verschiedener Verrechnungszentralen (Certificate Issuer, CI₁ - CI₃) 4 zusammensetzt. Die Fahrzeuggeräte 2 bestimmen mittels Satellitennavigationsempfängern 5 (Fig. 2) fortlaufend ihren Ort p in einem globalen Satellitennavigationssystem (global navigation satellite system, GNSS) 6 und erzeugen daraus einen fortlaufenden Strom (track) von Ortsdaten (position fixes) p_i.

[0021] Mit Hilfe einer Verarbeitungs- und Sendeempfangseinheit 7, 8 (Fig. 2) sendet jedes Fahrzeuggerät 2 seine Ortsdaten p_i entweder in "roher Form" oder - bevorzugt - verarbeitet zu Mautdaten m über eine Betreiberzentrale 3 an eine Verrechnungszentrale 4. Der Verarbeitungsteil 7 der Einheit 7, 8 ist beispielsweise ein Mikroprozessor, und die Sendeempfangseinheit 8 der Einheit 7, 8 ein DSRC- (dedicated short range communication), WAVE-, WLAN- oder bevorzugt PLMN- (public land mobile network) Sendeempfänger.

[0022] Die Mautdaten m sind bevorzugt akkumulierte und ortsanonymisierte Mauttransaktions-Datensätze, welche beispielsweise eine Anzahl gefahrener Kilometer, ein befahrenes Streckensegment eines Straßennetzes, die Aufenthaltszeit in einem Mautgebiet (z.B. Citymaut) usw. angeben. Zur Generierung der Mautdaten m aus den Ortsdaten p_i können letztere beispielsweise mit vorgespeicherten Mautkarten abgeglichen werden ("map matching"). Zu diesem Zweck können sich die Fahrzeuggeräte 2 beispielsweise auch eines externen Kartenabgleichs-Servers (map matching proxy) 9 bedienen, an den map matching-Aufgaben unter anonymisierten Taskkennungen ausgelagert werden, um die Vertraulichkeit der Ortsdaten p_i gegenüber den Betreiber- und Abrechnungszentralen 3, 4 zu wahren, wie dem Fachmann bekannt. Die Mautdaten m können vom proxy 9 auch direkt an die Betreiber- oder Verrechnungszentralen 3, 4 gesandt werden.

[0023] Zur Überwachung und Kontrolle der Funktionen der Fahrzeuggeräte 2 und auch Betreiberzentralen 3 wird gemäß Fig. 2 jedes Fahrzeuggerät 2 mit einem Trusted-Element-Prozessor 10 ausgestattet, der eine kryptographische Signatur (trusted key) tk enthält. Die Signatur tk wird z.B. von einem Contract Issuer CI, Inhaber einer der Verrechnungszentralen 4, ausgestellt und ist für diesen vertrauenswürdig. Unter einem "Trusted-Element-Prozessor" 10 wird in der vorliegenden Beschreibung ein mit einer kryptographischen Signatur ausgestattetes und kryptographisch - bevorzugt auf Hardwareniveau - zugangsgesichertes Prozessorelement verstanden. Prozessorelemente dieser Art erfüllen hohe Sicherheitsanforderungen, wie sie beispielsweise an die auf SIM-Karten, Kreditkarten, Bankkarten usw. integrierten Single-Chip-Prozessoren gestellt werden.

[0024] Der Trusted-Element-Prozessor 10 empfängt den Strom von Ortsdaten p_i aus dem Satellitennavigationsempfänger 5 des Fahrzeuggeräts 2 direkt oder über den Verarbeitungsteil 7 und ist dafür ausgebildet bzw. programmiert, jederzeit auf spezifische Anforderungen bzw. Auslösung (Triggerung) über einen vorgegebenen Zeitabschnitt s, z.B. eine, fünf oder zehn Minuten lang, die Ortsdaten p_i aufzuzeichnen. Der aufgezeichnete Zeitabschnitt s(p_i) wird vom Trusted-Element-Prozessor 10 anschließend mit seiner kryptographischen Signatur tk signiert und damit "eingefroren".

[0025] Bei der Signierung oder auch unmittelbar davor kann eine Datenreduktion am Zeitabschnitt s vorgenommen werden, beispielsweise durch Bildung eines Hashwerts desselben. Unter einem Hashwert wird in der folgenden Beschreibung die Anwendung einer praktisch unumkehrbaren n:1-Abbildungsfunktion auf einen Eingangsdatensatz verstanden, d.h. einer Funktion, die nur (extrem) vieldeutig umkehrbar ist, so dass aus der Kenntnis des Hashwerts praktisch nicht mehr auf den Eingangsdatensatz geschlossen werden kann. Beispiele solcher Hashfunktionen sind die Quersummenfunktion, die Modulofunktion usw.

[0026] Der signierte protokollierte Zeitabschnitt, hier mit s*(p_i,tk) bezeichnet, wird anschließend über die Sendeempfangseinheit 8 des Fahrzeuggeräts 2 an eine Betreiberzentrale 3 und von dieser an eine Verrechnungszentrale 4 gesandt. Die Verrechnungszentrale 4 kann anhand der Signatur tk des signierten Zeitabschnitts s* auf dessen authentischen Ursprung aus einem Trusted-Element-Prozessor 10 ihres Vertrauens schließen. Alternativ oder zusätzlich kann der signierte protokollierte Zeitabschnitt s* auf einer Schnittstelle 11 des Fahrzeuggeräts 2 zur Abfrage bereitgestellt werden.

[0027] Das Starten des Zeitabschnitts s der Protokollierung der Ortsdaten p_i im Trusted-Element-Prozessor 10 kann auf verschiedene Arten ausgelöst werden. Eine erste Ausführungsform besteht darin, dass das Fahrzeuggerät 2 einen Zeitgeber 12 enthält, in der Art eines "Watchdog", welcher zu einem vorgegebenen Zeitpunkt T die genannte Protokollierung auslöst, d.h. den Trusted-Element-Prozessor 10 zu der genannten Funktionalität "aufweckt", wenn die aktuelle Zeit t = T ist.

[0028] Ein zweites Startkriterium besteht darin, dass der Trusted-Element-Prozessor 10 das Auftreten eines vorgegebenen Orts P in den Ortsdaten p_i detektiert. Bei dem vorgegebenen Ort P kann es sich um einen punktuellen Ort handeln, z.B. um eine "virtuelle Mautstation", oder um einen ausgedehnten Ort wie einen Parkplatz, eine Innenstadt, ein Autobahnteilstück usw. Sobald der Trusted-Element-Prozessor 10 den Ort P in den Ortsdaten p_i detektiert, d.h. feststellt, dass eine Position p in den Ortsdaten p_i in den Grenzen oder in die Nähe des vorgegebenen Orts P gelangt, startet die Protokollierung über den genannten vorgegebenen Zeitabschnitts, z.B. über zehn Minuten. Nach Abschluss der Protokollierung liegt der signierte protokollierte Zeitabschnitt s* der Ortsdaten p_i zur Versendung und Abfrage vor.

[0029] Ein weiteres, besondere Sicherheit bietendes Startkriterium besteht darin, dass der Trusted-Element-Prozessor 10 das Auftreten des vorgegebenen Orts P nicht in den eigenen Ortsdaten p_i des eigenen Fahrzeuggeräts 2, sondern in "fremden" Ortsdaten p_i' detektiert, welche ihm von anderen ("fremden") benachbarten Fahrzeuggeräten 2 mitgeteilt werden. Dies wird nun im Einzelnen erläutert.

[0030] Wie in den Fig. 1 und 2 dargestellt, können eine Gruppe von Fahrzeuggeräten 2 des Straßenmautsystems 1 ein Drahtlosnetzwerk 13 bilden, indem sie untereinander über Drahtlosverbindungen 14 in Verbindung stehen. Die Drahtlosverbindungen 14 können beispielsweise nach dem WAVE- oder WLAN-Standard aufgebaut sein und das Drahtlosnetzwerk 13 ist bevorzugt ein ad-hoc-Netzwerk oder VANET. Zu diesem Zweck verfügt jedes Fahrzeuggerät 2 über einen geeigneten Drahtlos-Sendeempfänger 15. Optional können der Drahtlos-Sendeempfänger 15 und die Sendeempfangseinheit 8 des Fahrzeuggeräts 2 ident sein.

[0031] Innerhalb des Drahtlosnetzwerks 13 können Fahrzeuggeräte 2 sich gegenseitig über ihren jeweiligen aktuellen Ort p informieren oder z. B. fortlaufend ihre Ortsdaten p_i austauschen. Ein Beispiel hiefür ist der Austausch von VST-Nachrichten (Vehicle Service Table Messages) im Rahmen eines VANETs, bei dem sich die einzelnen Netzknoten (Fahrzeuggeräte 2) bei Aufbau einer Drahtlosverbindung 14 über ihre Kommunikationsfähigkeiten und die von ihnen angebotenen Dienste gegenseitig informieren und einander ihre Orte p oder ihre Ortsdaten p_i der letzten Zeit mitteilen.

[0032] Alternativ kann ein Trusted-Element-Prozessor 10 eines Fahrzeuggeräts 2 auch von sich aus jederzeit Positionen p bzw. Ortsdaten p_i' benachbarter Fahrzeuggeräte 2 abfragen. Auch können die in einem Fahrzeuggerät 2 empfangenen Ortsdaten p_i' mehrerer benachbarter Fahrzeuggeräte 2 miteinander abgeglichen werden, z.B. auf Konsistenz, um Ausreißer-Messwerte auszublenden oder um die empfangenen Ortsdaten p_i' zu mitteln.

[0033] Beim Abfragen bzw. Empfangen der fremden Ortsdaten p_i' der benachbarten Fahrzeuggeräte 2 können Abfrage- bzw. Sendeschlüssel mit zeitlich und/oder örtlich begrenzter Gültigkeit verwendet werden, so dass nur jene fremde Ortsdaten p_i', welche innerhalb eines vorgegebenen Zeitbereichs empfangen werden oder aus einem vorgegebenen Ortsbereich rund um das Fahrzeuggerät 2 stammen, Berücksichtigung finden.

[0034] Der Trusted-Element-Prozessor 10 ist nun dafür ausgebildet bzw. programmiert, dass er das Auftreten des vorgegebenen Orts P in den fremden Ortsdaten p_i' der benachbarten Fahrzeuggeräte 2 detektiert und dies als Auslösekriterium für das Starten der Protokollierung der Ortsaufzeichnungen p_i seines eigenen Fahrzeuggeräts 2 verwendet. Dadurch bleiben allfällige Manipulationen, Korrumptionen bzw. Störungen der eigenen Ortsdaten p_i bei der Auslösung der Protokollierung des Ortsdatenabschnitts s bzw. s* unberücksichtigt, was das Aufdecken eines Fehlverhaltens erleichtert: Stimmen die im eingefrorenen Zeitabschnitt s* enthaltenen Ortsaufzeichnungen p_i nicht (annähernd) mit jenem vorgegebenen Ort P überein, der in den fremden Ortsdaten p_i' detektiert wurde, liegt eine Manipulation oder eine Fehlfunktion des Fahrzeuggeräts 2 vor.

[0035] Auch ist es möglich, die genannten Ausführungsformen zu kombinieren: So kann der Zeitgeber 12 den Trusted-Element-Prozessor 10 dazu veranlassen, zu einem bestimmten Zeitpunkt t die Ortsdaten p_i' benachbarter Fahrzeuggeräte 2 abzufragen und sie gemeinsam mit dem Zeitabschnitt s der eigenen Ortsdaten p_i aufzuzeichnen und zu signieren, d.h. s*(p_i,tk,p_i'), so dass eine Berücksichtigung der Nachbarorte p_i' bei der Überprüfung der eigenen Ortsaufzeichnungen p_i erfolgen kann.

[0036] Die benachbarten Fahrzeuggeräte 2, deren Ortsdaten p_i' verwendet werden, können unter Umständen auch ortsfest sein, z.B. nicht von einem Fahrzeug mitgeführt, sondern in einer ortsfesten Infrastruktur stationiert. In diesem Fall brauchen sie ihre Ortsdaten p_i' nicht fortlaufend neu bestimmen, sondern können diese einmal bestimmen oder vorgegeben eingespeichert enthalten. Auch solche "infrastrukturgebundene" Fahrzeuggeräte 2 fallen unter den hier verwendeten Begriff der benachbarten Fahrzeuggeräte 2.

[0037] Die vorgegebene Zeit T, der vorgegebene Ort P und/oder die Länge des Zeitabschnitts können bei der Fertigung des Fahrzeuggeräts 2 oder des Trusted-Element-Prozessors 10 in dieses bzw. diesen eingespeichert oder später über die Schnittstelle 11, die Sendeempfangseinheit 8 oder den Sendeempfänger 15 eingegeben werden.

[0038] Die Erfindung ist demgemäß nicht auf die dargestellten Ausführungsformen beschränkt, sondern umfasst alle Varianten und Modifikationen, die in den Rahmen der angeschlossenen Ansprüche fallen.

Ansprüche

1. Fahrzeuggerät für ein Straßenmautsystem (1), mit einem Satellitennavigationsempfänger (5) zur fortlaufenden Erzeugung von Ortsdaten (p_i) für eine Verarbeitungs- und Sendeempfangseinheit (7, 8) des Fahrzeuggeräts (2) und einem gesonderten Trusted-Element-Prozessor (10) zur Protokollierung (s) eines Zeitabschnitts der fortlaufend erzeugten Ortsdaten (p_i) und zur kryptographischen Signierung (s*) desselben, dadurch gekennzeichnet, dass der Trusted-Element-Prozessor (10) dafür ausgebildet ist, die genannte Protokollierung (s) bei Detektion einer vorgegebenen Zeit (T) oder eines vorgegebenen Orts (P) des Fahrzeuggeräts (2) durch Aufzeichnen der für die Verarbeitungs- und Sendeempfangseinheit (7, 8) des Fahrzeuggeräts (2) fortlaufend erzeugten Ortsdaten (p_i) zu starten, für einen vorgegebenen Zeitabschnitt durchzuführen und den aufgezeichneten Zeitabschnitt der fortlaufend erzeugten Ortsdaten (p_i) anschließend kryptographisch zu signieren.

2. Fahrzeuggerät nach Anspruch 1, dadurch gekennzeichnet, dass der Trusted-Element-Prozessor (10) den vorgegebenen Ort (P) in den erzeugten eigenen Ortsdaten (p_i) detektiert.

3. Fahrzeuggerät nach Anspruch 1, dadurch gekennzeichnet, dass der Trusted-Element-Prozessor (10) den vorgegebenen Ort (P) in fremden Ortsdaten (p_i') detektiert, die er über ein Drahtlosnetzwerk (13) von benachbarten Fahrzeuggeräten (2) empfängt.

4. Fahrzeuggerät nach Anspruch 3, dadurch gekennzeichnet, dass das Drahtlosnetzwerk (13) ein ad-hoc-Netzwerk ist, bevorzugt nach dem WAVE- oder WLAN-Standard.

5. Fahrzeuggerät nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass der Trusted-Element-Prozessor (10) die fremden Ortsdaten (p_i) mehrerer benachbarter Fahrzeuggeräte (2) empfängt und miteinander abgleicht, um in den abgeglichenen fremden Ortsdaten (p_i') den vorgegebenen Ort (P) zu detektieren.

6. Fahrzeuggerät nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, dass der Trusted-Element-Prozessor (10) die fremden Ortsdaten (p_i') anonym abfragt.

7. Fahrzeuggerät nach einem der Ansprüche 3 bis 6, dadurch gekennzeichnet, dass der Trusted-Element-Prozessor (10) die fremden Ortsdaten (pi') unter Austausch eines Schlüssels mit zeitlich und/oder örtlich begrenzter Gültigkeit abfragt und nur fremde Ortsdaten (p_i'), die unter einem gültigen Schlüssel empfangen werden, berücksichtigt.

8. Fahrzeuggerät nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Trusted-Element-Prozessor (10) den signierten Zeitabschnitt (s*) mittels der Sendeempfangseinheit (8) des Fahrzeuggeräts (2) an eine Zentrale des Straßenmautsystems (1) absendet.

9. Fahrzeuggerät nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Trusted-Element-Prozessor (10) den signierten Zeitabschnitt (s*) über eine Schnittstelle (11) des Fahrzeuggeräts (2) zur Abfrage bereitstellt.

10. Ad-hoc-Netzwerk aus zumindest zwei Fahrzeuggeräten nach einem der Ansprüche 3 bis 9, die über ihre Sendeempfangseinheiten (8) miteinander in Verbindung stehen, wobei zumindest ein Fahrzeuggerät (2) Ortsdaten (p_i) einem anderen Fahrzeuggerät (2) bereitstellt, welches einen vorgegebenen Ort (P) darin detektiert, um die Protokollierung (s) seiner eigenen Ortsdaten (p_i) zu starten.

11. Verfahren zur Protokollierung von Ortsdaten (p_i) eines ortsaufzeichnenden Fahrzeuggeräts (2) eines Straßenmautsystems (1) mit mehreren Fahrzeuggeräten (2), die drahtlos Ortsdaten (p_i) austauschen können, umfassend, in einem ersten Fahrzeuggerät (2):

Empfangen von Ortsdaten (p_i') eines zweiten Fahrzeuggeräts (2),

Detektieren eines vorgegebenen Orts (P) in den empfangenen Ortsdaten (p_i') des zweiten Fahrzeuggeräts (2),

Starten der Protokollierung (s) eines Zeitabschnitts der Ortsdaten (p_i) des ersten Fahrzeuggeräts (2) durch Aufzeichnen der für eine Verarbeitungs- und Sendeempfangseinheit (7, 8) des ersten Fahrzeuggeräts (2) mit einem Satellitennavigationsempfänger (5) des ersten Fahrzeuggeräts (2) fortlaufend erzeugten Ortsdaten (p_i), und

Signieren (s*) des protokollierten Zeitabschnitts der fortlaufend erzeugten Ortsdaten (p_i) mit einer kryptographischen Signatur.

12. Verfahren zur Protokollierung von Ortsdaten (p_i) eines ortsaufzeichnenden Fahrzeuggeräts (2) eines Straßenmautsystems (1) mit mehreren Fahrzeuggeräten (2), die drahtlos Ortsdaten (p_i) austauschen können, umfassend, in einem ersten Fahrzeuggerät (2):

Detektieren einer vorgegebenen Zeit (T),

Starten der Protokollierung (s) eines Zeitabschnitts der Ortsdaten (p_i) des ersten Fahrzeuggeräts (2) durch Aufzeichnen der für eine Verarbeitungs- und Sendeempfangseinheit (7, 8) des ersten Fahrzeuggeräts (2) mit einem Satellitennavigationsempfänger (5) des ersten Fahrzeuggeräts (2) fortlaufend erzeugten Ortsdaten (p_i), und Empfangen von Ortsdaten (p_i') eines zweiten Fahrzeuggeräts (2), und

Signieren (s*) des protokollierten Zeitabschnitts der fortlaufend erzeugten Ortsdaten (p_i) und der empfangenen Ortsdaten (p_i') mit einer kryptographischen Signatur.

Claims

1. A vehicle device for a road toll system (1), with a satellite navigation receiver (5) for continuously generating location data (p_i) for a processing and transmitting/receiving unit (7, 8) of the vehicle device (2) and a separate trusted-element processor (10) for logging (s) a time segment of the continuously generated location data (p_i) and for cryptographically signing (s*) said time segment, characterized by the fact that the trusted-element processor (10) is configured to start said logging (s) upon detection of a predefined time (T) or a predefined location (P) of the vehicle device (2) by recording the location data (p_i) continuously generated for the processing and transmitting/receiving unit (7, 8) of the vehicle device (2), to carry out this logging for a predefined time segment and, subsequently, to cryptographically sign the recorded time segment of the continuously generated location data (p_i).

2. The vehicle device according to Claim 1, characterized by the fact that the trusted-element processor (10) detects the predefined location (P) in its own generated location data (p_i).

3. The vehicle device according to Claim 1, characterized by the fact that the trusted-element processor (10) detects the predefined location (P) in external location data (p_i') that it receives from proximate vehicle devices (2) via a wireless network (13).

4. The vehicle device according to Claim 3, characterized by the fact that the wireless network (13) consists of an ad hoc network that preferably operates in accordance with the WAVE or WLAN standard.

5. The vehicle device according to Claim 3 or 4, characterized by the fact that the trusted-element processor (10) receives and matches the external location data (p_i) of several proximate vehicle devices (2) in order to detect the predefined location (P) in the matched external location data (p_i').

6. The vehicle device according to one of Claims 3 to 5, characterized by the fact that the trusted-element processor (10) anonymously retrieves the external location data (p_i').

7. The vehicle device according to one of Claims 3 to 6, characterized by the fact that the trusted-element processor (10) retrieves the external location data (p_i') by exchanging a key having temporally and/or locally limited validity and takes into consideration only external location data (p_i') that is received under a valid key.

8. The vehicle device according to one of Claims 1 to 7, characterized by the fact that the trusted-element processor (10) sends the signed time segment (s*) to a control center of the road toll system (1) by means of the transmitting/receiving unit (8) of the vehicle device (2).

9. The vehicle device according to one of Claims 1 to 7, characterized by the fact that the trusted-element processor (10) makes the signed time segment (s*) available for retrieval via an interface (11) of the vehicle device (2).

10. An ad hoc network of at least two vehicle devices according to one of Claims 3 to 9 that are connected to one another via their transmitting/receiving units (8), wherein at least one vehicle device (2) makes available location data (p_i) to another vehicle device (2) that detects a predefined location (P) therein in order to start the logging (s) of its own location data (p_i).

11. A method for logging location data (p_i) of a location-recording vehicle device (2) of a road toll system (1) with several vehicle devices (2) that can exchange location data (p_i) in a wireless fashion, wherein said method comprises the following steps in a first vehicle device (2):

receiving location data (p_i') of a second vehicle device (2),

detecting a predefined location (P) in the received location data (p_i') of the second vehicle device (2),

starting the logging (s) of a time segment of the location data (p_i) of the first vehicle device (2) by recording the location data (p_i) continuously generated for a processing and transmitting/receiving unit (7, 8) of the first vehicle device (2) with a satellite navigation receiver (5) of the first vehicle device (2), and

signing (s*) the logged time segment of the continuously generated location data (p_i) with a cryptographic signature.

12. A method for logging location data (p_i) of a location-recording vehicle device (2) of a road toll system (1) with several vehicle devices (2) that can exchange location data (p_i) in a wireless fashion, wherein said method comprises the following steps in a first vehicle device (2):

detecting a predefined time (T),

starting the logging (s) of a time segment of the location data (p_i) of the first vehicle device (2) by recording the location data (p_i) continuously generated for a processing and transmitting/receiving unit (7, 8) of the first vehicle device (2) with a satellite navigation receiver (5) of the first vehicle device (2) and receiving location data (p_i') of a second vehicle device (2), and

signing (s*) the logged time segment of the continuously generated location data (p_i) and the received location data (p_i') with a cryptographic signature.

Revendications

1. Appareil de véhicule pour un système de péage routier (1), comprenant un récepteur de navigation par satellite (5) destiné à générer en permanence des données locales (p_i) pour une unité de traitement et d'émission-réception (7, 8) de l'appareil de véhicule (2), et un processeur séparé spécial à élément de confiance (10) pour mettre en protocole (s) un tronçon temporel des données locales (p_i) générées en permanence et pour signer ce protocole (s*) par cryptographie, caractérisé en ce que le processeur à élément de confiance (10) est réalisé pour démarrer la mise en protocole précité (s) lors de la détection d'un temps prédéterminé (T) ou d'un lieu prédéterminé (P) de l'appareil de véhicule (2) par enregistrement des données locales (p_i) générées en permanence pour l'unité de traitement et d'émission-réception (7, 8) de l'appareil de véhicule (2), pour l'exécuter pendant un tronçon temporel prédéterminé, et pour signer ensuite par cryptographie le tronçon temporel enregistré des données locales (p_i) générées en permanence.

2. Appareil de véhicule selon la revendication 1, caractérisé en ce que le processeur à élément de confiance (10) détecte le lieu prédéterminé (P) dans les propres données locales générées (p_i).

3. Appareil de véhicule selon la revendication 1, caractérisé en ce que le processeur à élément de confiance (10) détecte le lieu prédéterminé (P) dans des données locales étrangères (p_i') qu'il reçoit depuis des appareils de véhicule voisins (2) via un réseau sans fil (13).

4. Appareil de véhicule selon la revendication 3, caractérisé en ce que le réseau sans fil (13) est un réseau ad hoc, de préférence selon le standard WAVE ou WLAN.

5. Appareil de véhicule selon la revendication 3 ou 4, caractérisé en ce que le processeur à élément de confiance (10) reçoit les données locales étrangères (p_i) de plusieurs appareils de véhicule voisins (2) et les aligne les unes aux autres afin de détecter le lieu prédéterminé (P) dans les données locales étrangères (p_i') alignées.

6. Appareil de véhicule selon l'une des revendications 3 à 5, caractérisé en ce que le processeur à élément de confiance (10) interroge les données locales étrangères (p_i') de manière anonyme.

7. Appareil de véhicule selon l'une des revendications 3 à 6, caractérisé en ce que le processeur à élément de confiance (10) interroge les données locales étrangères (p_i') par échange d'une clé avec une validité limitée dans le temps et/ou dans l'espace, et tient compte uniquement de données locales étrangères (p_i') qui sont reçues sous une clé valide.

8. Appareil de véhicule selon l'une des revendications 1 à 7, caractérisé en ce que le processeur à élément de confiance (10) émet le tronçon temporel signé (s*) à une centrale du système de péage routier (1) au moyen de l'unité d'émission-réception (8) de l'appareil de véhicule (2).

9. Appareil de véhicule selon l'une des revendications 1 à 7, caractérisé en ce que le processeur à élément de confiance (10) met à disposition pour interrogation le tronçon temporel signé (s*) via une interface (11) de l'appareil de véhicule (2).

10. Réseau ad hoc constitué d'au moins deux appareils de véhicule selon l'une des revendications 3 à 9, qui sont en liaison les uns avec les autres via leurs unités d'émission-réception (8), dans lequel au moins un appareil de véhicule (2) met à disposition des données locales (p_i) à un autre appareil de véhicule (2), lequel détecte dans ces données un lieu prédéterminé (P) afin de démarrer la mise en protocole (s) de ses propres données locales (p_i).

11. Procédé pour la mise en protocole de données locales (p_i) d'un appareil de véhicule (2) qui enregistre des données locales dans un système de péage routier (1) avec plusieurs appareils de véhicule (2) qui peuvent échanger des données locales (p_i) sans fil, comprenant, dans un premier appareil de véhicule (2) :

la réception de données locales (p_i') d'un second appareil de véhicule (2),

la détection d'un lieu prédéterminé (P) dans les données locales reçues (pi') du second appareil de véhicule (2),

le démarrage de la mise en protocole (s) d'un tronçon temporel des données locales (p_i) du premier appareil de véhicule (2) par enregistrement des données locales (p_i) générées en permanence avec un récepteur de navigation par satellite (5) du premier appareil de véhicule (2) pour une unité de traitement et d'émission-réception (7, 8) du premier appareil de véhicule (2), et

la signature (s*) du tronçon temporel mis en protocole des données locales (p_i) générées en permanence avec une signature cryptographique.

12. Procédé pour la mise en protocole de données locales (p_i) d'un appareil de véhicule (2) qui enregistre des données locales dans un système de péage routier (1) comprenant plusieurs appareils de véhicule (2) qui peuvent échanger des données locales (p_i) sans fil, comprenant, dans un premier appareil de véhicule (2) :

la détection d'un temps prédéterminé (T),

le démarrage de la mise en protocole (s) d'un tronçon temporel des données locales (p_i) du premier appareil de véhicule (2) par enregistrement des données locales (p_i) générées en permanence avec un récepteur de navigation par satellite (5) du premier appareil de véhicule (2) pour une unité de traitement et d'émission-réception (7, 8) du premier appareil de véhicule (2), et la réception de données locales (p_i') d'un second appareil de véhicule (2), et

la signature (s*) du tronçon temporel mis en protocole des données locales (p_i) générées en permanence et des données locales (p_i') reçues avec une signature cryptographique.

Zeichnung