用于将车辆的传感器数据匿名传输给车辆外部的接收单元的方法以及匿名化系统、机动车和车辆外部的接收单元与流程

本发明涉及一种用于匿名地将车辆的传感器数据传输给车辆外部的接收单元的方法以及一种匿名化系统、一种车辆外部的接收单元和一种机动车。

背景技术：

对于车辆联网有利的是，将由一个车辆测得的传感器数据提供给其它车辆。然而，为了保证对驾驶员的数据保护，需要避免推断出发送车辆。通过匿名化，可避免将人与数据联系在一起。

从专利申请de102015226650a1中已知一种用于将车辆的至少一个行驶参数的第一值匿名地传输给外部的数据接收单元的方法。在该方法中，获取用于车辆的行驶参数的第一值。由该车辆接收行驶参数的由其它车辆传输给所述车辆的其它值。从第一值和所述其它值，计算用于行驶参数的第二值，使得外部的数据接收单元不能重构/修复第一值。第二值被传输给外部的数据接收单元。

从专利申请de102010003247a1中已知一种用于显示车辆的至少一个效率参数的方法，其中，对于预确定的行驶路程确定该至少一个效率参数，并且与至少一个参考值相联系地显示该至少一个效率参数，其中，该至少一个参考值与所述预确定的行驶路程相关联。

从专利申请de102016211352a1中已知一种用于配置移动在线服务以供车辆使用的方法。其中规定，该方法包括以下步骤：提供将数据内容与多个数据许可等级中的一个数据许可等级相关联的配置系统；通过配置系统为用户提供选择可能性，通过所述选择可能性，用户可允许一个或多个移动在线服务分别使用一个数据许可等级的数据内容；为所述一个或多个移动在线服务分别选择一个数据许可等级；以及通过配置系统准许所选择的数据许可等级的数据内容被相应的移动在线服务使用。

在目前的方法中不利的是，不是评价匿名化方法的效果，而是评价匿名化措施。由于没有关于环境的信息，不能对匿名化措施做出该匿名化以多大概率成功的评价。

技术实现要素：

本发明提出的目的是，提供一种用于车辆的匿名化方法。

该目的通过独立权利要求的主题实现。本发明的有利的改进方案通过从属权利要求、以下描述以及附图公开。

本发明所基于的认知是：来自两个不同发送者的传感器数据不再能明确地与一个发送者相关联。

通过本发明提供一种用于匿名地将车辆的传感器数据传输给车辆外部的接收单元的方法，其中，具有测量时刻数据和/或测量地点数据的传感器数据被传输。换句话说，传感器数据(除了真实的测量数据外还)包括测得该传感器数据的时间和/或地点。传感器数据可由至少一个可位于车辆中的传感器检测。例如，所述至少一个传感器可包括至少一个能探测道路特性的、电的、光学的和/或机械的传感器，尤其是车辆摄像机、车辆雷达、激光传感器(例如激光雷达)，和/或减振器中的压敏传感器。车辆外部的接收单元可为服务器，该服务器可收集多个车辆的路段信息，以对其进行评估并且提供给所有车辆。

根据本发明的方法包括，在测量时刻在车辆的测量地点处获取/确定传感器数据，获取在测量地点的环境中的交通密度，以及获取匿名化的时刻，该匿名化的时刻处于测量时刻前后预设的时间区间或预设的时间之内，和/或获取匿名化的停留地点，该匿名化的停留地点处于测量地点周围预设的距离之内。换句话说，在测量时刻和测量地点处检测传感器数据(由此产生实际的测量数据)，并且附加地获取在测量地点的环境中的交通密度。在此，交通密度例如可来源于被提供给车辆或导航设备的、导航系统的交通信息。所述环境例如可为车辆所在的道路或者地区。紧接着，可在测量时刻前后的预设时间之内确定随机的匿名化的时刻，和/或可在测量地点周围的预设距离之内确定可靠的匿名化的停留地点。

此外，该方法还包括，一方面根据交通密度和预设时间计算车辆的匿名化概率，和/或另一方面根据交通密度和预设距离计算车辆的匿名化概率。根据已知的交通密度可获取，另一车辆以多大概率在匿名化的时间和/或匿名化的停留地点处可能产生该传感器数据。相应地，确定匿名化概率是否满足预设的匿名化条件，并且如果满足匿名化条件的话，就将传感器数据传输给外部的接收单元，其中，作为测量时刻数据，不是给出真实的测量时刻，而是给出匿名化的时刻，和/或作为测量地点数据，不是给出真实的测量地点，而是给出匿名化的停留地点。换句话说，首先借助于交通密度(也就是说单位时间的车辆)以及测量时刻前后预设的时间来计算匿名化概率。预设的时间例如是可具有1分钟至24小时的长度的时间区间。备选地或附加地，也可根据交通密度和测量地点周围预设的距离来计算匿名化概率。该距离可以是在测量地点周围具有1米至2公里范围内的半径的径向空间范围，或者可以是车辆所在的道路上的相应距离。匿名化概率可借助于统计学方法确定和/或给出如下百分比概率：多少其它车辆可能作为传感器数据的潜在发送者(因为根据交通密度这些车辆同样逗留在该环境中)。紧接着，可将匿名化概率的值与预设的匿名化条件比较，并确定匿名化概率是否满足预设的匿名化条件。预设的匿名化条件例如可为至少预确定数量的车辆作为潜在发送者存在的概率值，并且当匿名化概率大于该概率值时，满足该条件。尤其是，当具有至少所述概率值的传感器数据可能来自大于或等于两个不同的车辆时，满足预设的匿名化条件。

如果满足该匿名化条件，可将传感器数据传输给外部的接收单元，其中，在传感器数据中，给出匿名化的时刻作为测量时刻数据，和/或给出匿名化的停留地点作为测量地点数据。如果不满足匿名化条件，可规定，不发送传感器数据，并且例如摒弃该传感器数据，或者可规定，如果随后满足了匿名化条件，则在稍后的时刻以重新匿名化的方式发送该传感器数据。

通过本发明得到的优点是，传感器数据不再能与确定的车辆相关联，这改善了匿名化。此外，通过该方法获得“以多大概率实现了匿名化”的信息，并且因此可给出在匿名化方法的效果方面的结论。

本发明也包括得到附加的优点的实施方式。

一种实施方式规定，以随机值发生器为基础实施对匿名化的时刻的获取，其中，随机值发生器借助于均匀分布生成处于预设时间内的值，和/或其中，以随机值发生器为基础实施对匿名化的停留地点的获取，其中，随机值发生器借助于均匀分布生成处于预设距离内的值。也就是说，借助于随机值发生器随机地确定匿名化的时刻和/或匿名化的停留地点，其中，随机值发生器可在测量时刻前后预设的时间之内和/或在测量地点周围预设的距离之内生成均匀分布的随机的值。随机值发生器可设置成在车辆计算机中的程序或功能。该实施方式具有的优点是，由此可获得具有均匀分布的概率的匿名化的值，由此可难以推断出发送车辆并且由此改善匿名化。

另一实施方式规定，当根据交通密度传感器数据也来源于与自身车辆不同的车辆的匿名化概率大于阈值时，满足匿名化条件。也就是说，可能来源于两个或更多个车辆的传感器数据不再与一个车辆相关联，并且当这种情况的概率高于阈值时满足匿名化条件。例如，“传感器数据来源于至少两个不同的车辆”的阈值为大于等于99.9％的概率。由此可保证，存在最低数量的潜在发送者。通过该实施方式得到的优点是，可改善并保证匿名化。

另一实施方式规定，借助于泊松分布计算匿名化概率。换句话说，为了计算匿名化概率，假设泊松分布，利用该泊松分布可为处于预设时间之内和/或预设距离之内的事件、也就是说车辆或者可能进入预设时间和/或预设距离中的事件、也就是说车辆的数量建模。例如，可通过泊松分布确定“传感器数据可能来源于至少两个在预设距离内和/或预设时间内逗留的车辆”的概率。由此得到的优点是，可更好地计算“传感器数据可能来自至少两个不同的车辆”的概率、尤其是匿名化概率，并且由此可改善匿名化。

另一实施方式规定，根据传感器数据和/或传感器数据的数据类型选择预设的时间和/或预设的距离。换句话说，用于确定车辆的匿名化的时刻和匿名化的停留地点的预设时间和/或预设距离与传感器数据来自哪个传感器或者由传感器接收了哪个事件相关。例如，车辆摄像机可录下在其中测量地点数据优选地与测量地点一致的事件、例如事故。在该示例中，用于使数据匿名化的预设距离可为零并且预设时间具有不为零的值、例如10分钟的时间区间。由此，通过使测量时间匿名化，可保留地点表述并且附加地保证匿名化。因此，不再能再重构出车辆何时位于该测量地点。然而也可规定，由传感器接收这样的传感器数据，即，应保留该传感器数据的时间分量并且传感器数据可与当前地点无关、例如在确定的白天时刻的当前亮度。在这种情况中，例如可仅将预设的距离用于匿名化。然而也可能的是，传感器数据在时间和地点方面都不关键，并且由此不仅可将预设的时间也可将预设的距离用于匿名化。视数据类型而定，预设的时间例如可在秒、分钟或小时的范围内，并且预设的距离可在米或公里的范围内。通过该实施方式得到的优点是，可在传感器数据中保留重要参数，并且尽管如此还是实现传感器数据的匿名化。由此，可改善匿名化。

一种实施方式规定，所述方法此外还包括通过外部的接收单元接收传感器数据，以及从传感器数据中去除允许推断出发送者的传输信息。换句话说，可通过外部的接收单元接收传感器数据，并且紧接着可从传感器数据中去除可用于识别发送者的传输信息。该传输信息例如可为车辆识别号、车辆的ip地址和/或mac地址。通过该实施方式得到的优点是，也不再能借助于传输信息推断出发送车辆，这导致传感器数据的改善的匿名化。于是，这样匿名化的数据例如可提供给外部的供应商以用于传感器数据的进一步处理，而不能推断出数据所来源的车辆。

另一实施方式规定，所述方法此外还包括以下步骤：通过外部的接收单元确定，是否存在用于环境的至少两组传感器数据，并且如果确定结果为是，提供这两组传感器数据。换句话说，通过外部的接收单元可确定，对于测量地点的环境(在该环境中也获取交通密度)来说，在外部的传感器单元中是否存在传感器数据的至少两个数据组，如果存在，则允许进一步处理传感器数据组。也就是说，外部的接收单元可包括一种中间存储器，当存在至少两个数据组时，中间存储器才释放传感器数据。如果存在仅仅一组传感器数据，可规定，外部接收单元针对另外的数据组等待预确定的时间段，并且如果在该预确定的时间段中不出现另外的数据组，则外部的接收单元摒弃该唯一的传感器数据组。预确定的时间段例如可为一小时或一天。通过该实施方式得到的优点是，使得难以明确地与发送者相关联。

根据本发明也提出一种用于匿名地将传感器数据传输给车辆外部的接收单元的匿名化系统，该匿名化系统包括所述接收单元和至少一个车辆，其中，至少一个车辆被设计成，传输具有测量时刻数据和/或测量地点数据的传感器数据，其中，车辆被设计成，获取在某一时刻在车辆的测量地点处的传感器数据、获取在该测量地点的环境中的交通密度、获取处于测量时刻前后预设的时间之内的匿名化的时刻和/或处于测量地点周围预设的距离之内的匿名化的停留地点。此外，车辆被设计成，一方面根据交通密度和预设的时间和/或另一方面根据交通密度和预设的距离来计算车辆的匿名化概率，并确定匿名化概率是否满足预设的匿名化条件，并且如果满足匿名化条件，则将该测量时刻的传感器数据传输给外部的接收单元，其中，给出匿名化的时刻作为测量时刻数据和/或给出匿名化的停留地点作为测量地点数据。在此，得到与方法中相同的优点和变型方案。

根据本发明也提出一种具有控制装置的机动车，控制装置被设计成执行所述方法。在此，机动车可为乘用车、载重汽车、客运公交车或摩托车。

本发明的另一方面涉及一种车辆外部的接收单元，该车辆外部的接收单元被设计成：接收传感器数据，去除允许推断出发送者的传输信息，并且确定对于该测量地点是否存在至少两组传感器数据，并在存在至少两组传感器数据的情况下采纳/接受并处理这两组传感器数据。换句话说，可由外部的接收单元从所接收的传感器数据中去除传输信息，并且当有至少两组传感器数据到达时，外部的接收单元才能采纳并处理传感器数据，其中，所接收的传感器数据形成一组传感器数据。由此得到的优点是，通过去除传输信息并且存在至少两组传感器数据，可实现更好的匿名化。由此，可避免与发送者明确相关联。

本发明也包括根据本发明的方法的改进方案，其具有已经结合根据本发明的机动车的改进方案描述过的特征。出于这一原因，在此不再次描述根据本发明的方法的相应的改进方案。

本发明也包括所描述的实施方式的特征的组合。

附图说明

接下来描述本发明的实施例。其中：

图1示出了根据一个实施方式的匿名化系统的示意图；

图2a示出了利用匿名化的时刻根据一个实施方式确定匿名化概率的示意图；

图2b示出了利用附加地匿名化的停留地点根据图2a的实施方式确定匿名化概率的示意图；

图3示出了根据一个实施方式的示意性的方法流程图。

具体实施方式

以下阐释的实施例为本发明的优选的实施方式。在实施例中，所描述的实施方式的部分分别表示单个的、被视为彼此独立的本发明特征，这些特征也分别彼此独立地改进本发明。因此，本公开也应包括与所示出的实施方式的特征组合不同的组合。此外，也可通过已经描述的本发明特征中的其它特征补充所描述的实施方式。

在图中，相同的附图标记分别表示功能相同的元件。

在图1中，示出了根据一个优选的实施方式的匿名化系统10的示意图。图1示出了车辆12，该车辆可位于具有多个其它车辆13的道路上。

图1中示出的实施例可举例来说基于以下情况。车辆12位于道路上，并且车辆12的传感器(例如可为驾驶员辅助系统的摄像机)可测得事件，如在该实施例中为新的交通指示牌14，其例如可示出新的限速。对交通指示牌14的测得可由摄像机以传感器数据16的形式提供给车辆12，其中，可接收具有测量时刻数据t0和测量地点数据x0的传感器数据16。

可规定，也应将新的交通指示牌14的传感器数据16提供给其它车辆13。然而应不能确定，传感器数据16来源于哪个车辆。为了使传感器数据16匿名化，在车辆12中可设置控制装置18，该控制装置使传感器数据16在传输之前匿名化。

为此，控制装置18可确定在测量地点x0的环境中的交通密度，该交通密度例如可来源于导航系统的交通信息，并且可给出每分钟或者每小时位于相同道路上的车辆的密度。附加地，控制装置18可获取匿名化的停留地点xa，该停留地点可位于测量地点x0周围的预设距离20之内。然而，备选地或附加地可获取匿名化的时刻ta，该匿名化的时刻可处于测量时刻t0左右的预设时间(在图中未示出)之内。

可根据传感器数据的形式和/或传感器数据的数据类型来设计预设距离20和预设时间。例如，在当前温度测量的情况下，可使用更大的预设距离20和更长的预设时间，由此更大概率匿名化。也可规定，例如在传感器数据16来自于摄像机的情况中，测量地点x0比测量时间t0更重要。于是可规定，预设距离20为0米，而匿名化的停留地点xa与测量地点x0重合，并且仅使时间匿名化。然而，在图1中示出的实施例中，为了更好地说清楚，仅仅示出停留地点xa的匿名化。

可通过控制装置18的随机值发生器获取匿名化的时刻和匿名化的停留地点，其中，随机值发生器从地点值的平均分布中随机产生一个值。为此，例如可将预设距离20分成多个例如一平方米大小的空间区域，从中能以均匀分布的概率生成匿名化的停留地点xa。备选地，可将预设时间分成例如在秒或分钟的范围中的时间区间，随机值发生器从中能以相同的概率生成用于匿名化的时刻ta的时间区间。

紧接着，可基于交通密度和预设距离20计算匿名化概率。为此，可使用统计学方法、尤其是泊松分布建模方法，该统计学方法可给出传感器数据16可能来源于至少两个在预设距离20内逗留的车辆的概率。备选地或附加地，也可为交通密度和预设时间确定匿名化概率。

于是，控制装置18可将如此得到的匿名化概率与预设的匿名化条件比较，以确定是否满足匿名化条件。在此，匿名化条件例如可为预设的阈值，该阈值描述了在泊松分布的确定的预期值下“多于两个车辆可能发送了传感器数据16”的例如高于99.9％的概率。

如果满足了匿名化条件，机动车12、尤其是机动车12的发送单元(其例如能通过移动无线电、wlan或蓝牙发送数据)可将传感器数据16传输给外部的接收单元22。在此，在传输之前，通过匿名化的时刻ta和匿名化的停留地点xa替代传感器数据16中的测量时刻数据和/或测量地点数据的值。

外部的接收单元22可接收传感器数据16，并且从传感器数据16中去除传输所需的传输信息、例如车辆识别号和/或ip地址。附加地，外部接收单元22可在继续处理之前扣留住传感器数据16，并且首先确定：是否有至少两组关于交通指示牌14的环境的传感器数据到达。此时，例如可暂存传感器数据16一段预设的时间段，并且外部的接收单元22等待：在该预设的时间段之内是否有其它传感器数据到达。该预设的时间段例如可为在分钟或小时范围中的时间段。如果在该时间段内没有其它传感器数据到达，则外部的接收单元22可摒弃传感器数据16。然而，如果接收到其它传感器数据，则可将这至少两组传感器数据提供用于继续处理。例如，可由外部的服务供应商继续处理传感器数据16，因为在通过所示方法使传感器数据16匿名化了之后，该外部的服务供应商不再能推断出车辆12。

在图2a中示意性地示出，可如何实现利用匿名化的时刻ta的匿名化概率。在测量地点x0处，车辆12在测量时刻t0检测传感器数据16。该测量时刻在传感器数据16内可随机地通过匿名化的时刻ta替代，其中，匿名化的时刻ta可在预设时间21内随机生成。在该预设时间21内，可借助于交通密度为在测量地点x0处的、在预设时间21内预期的车辆的数量建模。随后，通过泊松方法的建模可得到，在大于等于10个车辆的预期值下，在该时间区间内存在有多于两个车辆的概率超过99.9％，并且由此传感器数据16也可能来自另一车辆13。

在图2b中，示出了与在图2a中相同的情况，然而此时附加地通过预设距离20的区间扩大了预设时间21的区间。预设时间21的时间区间增大了随机的位置模糊性。由此，例如可一并考虑在预设时间21开始之前已经驶入测量地点的环境中的车辆在测量地点x0的环境中的平均停留时长。也就是说，在已知位于预设距离20中的车辆的速度时，可确定，多少车辆还将驶入预设时间21的区间中。由此，在匿名化概率建模时可实现更高的精度。

在图3中示出了一种实施方式的示意性的方法流程图。在步骤s10中，在测量时刻t0在车辆12的测量地点x0处测得传感器数据16。

在步骤s11中，在测量地点x0的环境中获取交通密度。

在步骤s12中，获取处于测量时刻t0左右预设的时间21内的匿名化的时刻ta，和/或获取位于测量地点x0周围预设的距离20内的匿名化的停留地点xa。

在步骤s13中，根据交通密度和预设时间21计算车辆12的匿名化概率，和/或根据交通密度和预设距离20计算匿名化概率。

在步骤s14中确定，匿名化概率是否满足预设的匿名化条件，并且如果满足该匿名化条件，在步骤s15中将传感器数据16传输给外部的接收单元22，其中，传输匿名化的时刻ta和/或匿名化的停留地点xa作为传感器数据16的测量时刻数据和/或测量地点数据被随着一起传输。

在步骤s16中，可通过外部的接收单元22接收传感器数据16，在步骤s17中，外部的接收单元可从传感器数据16中去除允许推断出发送者的传输信息。

在步骤s18中，外部的接收单元22还可确定，是否存在至少两组关于环境的传感器数据，如果是的话，在步骤s19中提供两组传感器数据以继续使用。

在另一示例性的实施方式中，一方面在于，在车辆12中设置并实现有用于获取匿名化的停留地点xa的位置异化器/位置陌生化装置以及用于获取匿名化的时刻ta的时间戳伪装器，以便能确保所述功能。当为此存在第二测量以避免明确地与发送者关联时，位于车辆12外的外部接收单元22才采纳所发送的传感器数据16作为一个测量。外部的接收单元22的附加的措施可通过去除允许推断出发送者的传输信息而防止在传输传感器数据16时识别出车辆的身份以及防止不期望地将测量地点与连贯的延伸轮廓相关联。

总地来说，示例表明，如何通过本发明便已可在车辆中提供用于保证地点和时间的匿名化的方法。