增强隐私性的车辆数据分发的制作方法
【专利摘要】根据一些实施例,可以从车辆收集数据,并且然后将其报告给不同的订阅者,所述不同订阅者具有不同等级的访问特权并且遵循不同的安全等级。在一些实施例中,可以由云服务来对数据进行验证,而不展现车辆所有者的身份。这样可以提供增强的隐私性。同时,出于安全和隐私的原因,可以对一些类型的数据进行加密。在不同的情况下,可以将不同的信息提供给不同的订阅者,例如,政府、家庭成员、基于位置的服务提供商等。
【专利说明】增强隐私性的车辆数据分发
【背景技术】
[0001 ] 概括而言,本申请涉及来自机动车辆的信息的收集。
[0002]许多服务从机动车辆收集信息,例如机油更换时间间隔、是否检测到任何机械故障、轮胎气压等。这样的服务的示例有通用汽车安吉星(OnStar?)、尼桑车之翼(Car Wings?)和福特Sync?报务。这些服务在运行时从连接机动车辆的无线电话或因特网中收集信息,并且使所述信息可用于分析。
[0003]针对车辆之间的网络化通信共享,美国交通运输部的智能驾驶的提议是基于使用X.509证书和大量的授权许可证而对车辆挖掘的数据进行共享。
[0004]车辆收集的数据为何如此重要有多种不同的原因。可以从机动车中收集全球定位系统、速度计和里程表传感器数据,并且用于类似基于使用的税收、强制速度限制、基于位置的服务和广告、实时交通流量分析、私人调查服务、安全和家庭通信等方面。
【专利附图】
【附图说明】
[0005]参考下面的附图来描述一些实施例:
[0006]图1是本发明的一个实施例的示意性描绘;
[0007]图2是图1示出的系统的一部分的更详细的说明;
[0008]图3是根据一个实施例的用于车载数据服务的流程图;以及
[0009]图4是根据一个实施例的用于可信任的云服务的流程图。
【具体实施方式】
[0010]根据一些实施例,可以从车辆收集数据,然后将其报告给各种订阅者,所述各种订阅者具有不同级别的访问权限并且遵循不同的安全级别。在一些实施例中,可以由云服务对数据进行认证,而不展现车辆所有者的身份。这样可以提供增强的隐私性。同时,出于安全和隐私的原因,可以对一些类型的数据进行加密。在不同的情况下,可以将不同的信息提供给不同的订阅者,例如,政府、家庭成员、基于位置的服务提供商等。
[0011]参考图1,数据收集系统10可以包括车载数据服务12,该车载数据服务12包括驻留于机动车辆内部的模块。在一些实施例中,它可以是提供各种服务的车内信息娱乐系统的一部分,所述各种服务例如是音乐播放、计算机接入以及其他娱乐选项。该车载数据服务12可以是车内信息娱乐系统的附加器件,其处理向外部服务(本文称为订阅者)供应车辆收集的数据。
[0012]针对车辆信息的潜在的订阅者是各种各样的。一种类型的订阅者可以是政府机构,其希望可以将车辆信息用于各种目的,包括统计信息收集、交通管理、机动车执法、税收或其他管制功能。其他订阅者可以是家庭成员,该家庭成员想要得到关于特定的家庭成员在任何特定的时间在哪里的信息。类似地,提供基于位置的服务或广告的基于位置的服务提供商可能需要知道车辆的当前位置。
[0013]在一些实施例中,订阅者可以与可信任的云服务14、车辆制造商或这些实体的一些组合来签订订阅协定。该订阅协定确定车辆拥有者收到何种报酬、可以收获何种信息,并且在何种条件下可以收获所述信息,以及可能需要的任何安全协议。该订阅协定可以作为车载数据服务12的供应或车载数据服务12被合并于其中的装置的一部分。因此,车载数据服务可以包括硬件模块,所述硬件模块被初始化编程为将某些数据自动提供给某些预定订阅者。通过进行无线协议上的远程访问,在用户获得车辆以后所述硬件模块还可以是可编程的。这种程序设计允许在特定情况下向现有的订阅者添加额外的数据类型或者添加新的订阅者。在一些情况下,车辆所有者可以被告知订阅协定中的改变。因此不同的订阅者在不同的环境下可以获得不同类型的信息并且使用不同的安全条款。
[0014]车载数据服务12可以将加密的数据提供给云20中可信任的云服务。该可信任的云服务14还可以接收签名。该签名可以是基于增强的隐私标识符(EPID)的认证,其认证了车载数据服务12是可信的设备,并且不提供不适当的或不可靠的数据。
[0015]该EPID签名可以是将私钥提供给服务12的车载数据服务设备的制造商或其他提供商。制造商18还可以提供公钥给可信任的云服务14。因此,车载数据服务12可以利用私钥来对数据进行签名,并且可信任的云服务14可以使用公钥来确保信息来自可信任的源。
[0016]也就是说,可信任的云服务可以确定该源是硬件设计的,并且被授权以提供可靠的数据,因为车载数据服务具有仅提供给被授权的设备的私钥。被授权的设备可以由制造商进行鉴定以满足相关的规范,例如可靠性或者安全性规范以及向车辆所有者公开的关于订阅安排的标准。
[0017]概括而言,由车载数据服务12收集的信息是使用各种链路而提供给可信任的云服务14的。所述链路可以是无线链路,例如,W1-MAX链路、W1-Fi链路、卫星链路或蜂窝电话链路。所述信息传输可以是事件驱动的或周期性的。
[0018]然后,可信任的云服务14可以将加密的或非加密的数据14提供给正确的订阅者16,所述订阅者16已经进行了适当的订阅,以接收所述加密数据服务。在一些实施例中,可信任的云服务不对数据进行解密。如图1所指出的,可信任的云服务14还可以将EPID签名转发给适当的订阅者16。然后,该订阅者可以处理公钥授权。
[0019]在一个实施例中,订阅者16可以是将公钥提供给车载数据服务12以有助于对数据进行加密的一方。该公钥可以使用例如公钥编码器,例如Rivest、Shamir和Adleman(RSA)或EC算法公钥编码器。在一些实施例中,订阅者16可以使用由制造商18提供的EPID公钥来执行EPID认证。
[0020]接下来参考图2,在一个实施例中,虚线以上的每个部件都是云的一部分。虽然图2中提出了云,但是在其他实施例中,归属于云的各种功能可以通过任何服务器或计算机来实现。在一个实施例中,云可以包括可信任的云服务14、政府订阅者16a、家庭订阅者16b、基于位置的服务提供商16c以及隐私顾问16d。
[0021]基于订阅协定,可信任的云服务14可以将特定的数据提供给每一个特定的订阅者。例如,数据Gl提供给政府,数据G2提供给家庭成员,并且数据G3提供给基于位置的服务提供商。
[0022]如图2所示,附属于车内信息娱乐系统30的模块通常与车载数据服务12相对应。例如,一个模块22可以收集位置和速度信息,另一个模块26可以收集位置和用户配置文件信息。证明单元24或28可以被提供于这些模块中的每一个中。因此,位置和速度信息可以结束于数据包Gl和G2中;并且位置和配置文件信息可以结束于数据包G3和G2中。如果必须,这些数据包可以或者以加密的形式或如所期望的被转发给可信任的云服务14。在一些实施例中,数据包还可以包括EPID认证信息。包的内容可以根据提供给车载数据服务的设置来进行确定。包的数量还可以与关于每一个包的订阅者是谁的信息一起被编程到服务14中。
[0023]在一些实施例中,传感器数据到包的分配(接着被分配给特定的订阅者)可以全部在云中进行处理,例如通过可信任的云服务14而不是在车载数据服务中进行。在这样的情况下,原始形式的或者按照期望进行处理的信息可以被发送给云,然后,在云中使用与数据相关联的标识符来对信息进行标识,从而确定哪个传感器提供了该数据、哪个车辆提供了该数据,以及任何其他信息,并且然后可以将其装配成包。而后所述包可以与全部在云中的订阅者或者远离车辆本身的其他设施相关联。
[0024]可以以各种不同的方式来识别收集信息的源。服务14使用源标识来将正确的数据提供给正确的订阅者。数据服务14可以有表格,该表格指出哪个信息以何种格式发往哪个订阅者。特定的格式可以是加密类型和/或数据的特定的组织。在一个实施例中,不同类型的传感器数据可以伴随着对数据进行识别的标识符。控制器局域网(CAN)总线32是事件驱动的,并且每一个消息都被提供了关于其源或类型的标识符。还可以使用独立于CAN总线提供的这些标识符的其他标识形式。
[0025]车内信息娱乐系统可以收集各种的信息,例如,当前时间、全球定位系统坐标,以及来自CAN总线32的其他信息,例如,里程表传感器数据、速度计数据和其他这样的信息。CAN总线32还被连接到车辆引擎计算机34和制动计算机36。
[0026]模块22和26中的每一个都维护了特定的所收集的数据的验证证明以及数据是如何被匿名化的。车辆所有者可以随时检查证明,并且撤销系统中任何相对应的监视模块的报告特权。证明单元24和28本身也可以被作为一种传感器数据,车辆所有者可以将其提供给独立的车辆隐私监视服务16d,车辆隐私监视服务16d专用于分析监视器模块订阅的私有含义。以这种方式,不熟悉这样的问题的汽车所有者就可以接收专业建议,从而确定汽车所有者是否应当批准第三方订阅者的信息请求。基于反映了汽车所有者针对隐私的个人偏好的隐私监视服务等级,汽车所有者还可以建立非常高级别的默认策略。对于不精通的使用者而言,这种方法使确定同意哪些请求、拒绝哪些请求的问题更加可管理。
[0027]车载数据服务12(图1)可提供机制和监视器模块以接收与由第三方订阅者建立的组相对应的EPID证书。通过将EPID管理集中化于汽车系统中,车载数据服务可以进一步确保监视器模块不违反证书中所叙述的隐私。
[0028]每一个监视器模块的证明都包括由该模块所收集的数据的声明性表示。典型地,该表示被叙述为包含数据库查询的字符串。然而,由于性能/安全考虑,车载数据服务可以以其他方式来满足该请求,而不需要在运行时真正地执行证明中的对实际的数据库引擎进行的查询。
[0029]通过使用EPID证书,车辆可以证明其收集的数据的真实性而不展现车辆或其所有者的特定身份。被指代为本文所描述的订阅者的数据消费者可以验证数据是由进行管理的组中的成员进行签名的,但是订阅者不能确定是哪个成员实际生成的该签名。
[0030]参考图3,用于实现车载数据服务(ODS) 12的序列可以被实现于软件、固件和/或硬件中。在软件和固件实施例中,实现车载数据服务(ODS) 12的序列可以通过存储于非易失性计算机可读介质中的计算机执行的指令来实现,非易失性计算机可读介质例如是半导体、光学的或磁性的存储装置。
[0031]通过从各种数据传感器中收集各种监视器模块中的数据(块40)来开始该序列,正如订阅者请求所要求的。所收集的数据可以被归属于订阅者中的每一个,如块42中所指出的。在一些情况下,同一数据可以发往多个订阅者。
[0032]接下来,如块44所指出的,根据要求来对数据进行加密或不进行加密。一些订阅者可能提供或要求加密,并且在这样的情况下,呈现给这些订阅者的数据可以进行加密。类似地,在一些情况下,可以要求对数据进行认证,并且在这样的情况下,使用制造商所供给的EPID私钥来对数据进行签名,如块46所指出的。其后,将数据和签名信息发送到可信任的云服务14,如块48所指出的。在一些情况下,可以在可信任的云服务14中进行处理,而在其他情况下,仅仅简单地发送给适当的订阅者。
[0033]在一些情况下,数据可以具有追加于所述数据的地址信息或其他标识符,使得可信任的云服务可以确定适当的订阅者是谁。并且仍在其他实施例中,标签可以指出数据的类型,并且数据的目的地然后就可以由可信任的云服务14来进行确定。
[0034]参考图4,可信任的云服务14可以通过软件、固件和/或硬件序列来实现。在软件和固件实施例中,可信任的云服务14可以通过存储于非易失性计算机可读介质中的计算机执行的指令来实现,所述非易失性计算机可读介质例如是光学的、磁性的或半导体存储器。
[0035]在一些实施例中,通过从车载数据服务中接收数据和签名来开始序列,如块50所指出的。然后数据和EPID签名可以被归属于各种订阅者,如块52所指出的。在一些情况下,可以按照需要来对车载数据服务进行验证,如块54所指出的。
[0036]然后,可以将数据和认证转发给适当的订阅者,如块56所指出的。同样,可以使用标识符来完成上述过程,所述标识符指出当数据来自车载数据服务时适当的订阅者是谁,或者通过分析数据的类型来在在可信任的云服务中确定适当的订阅者是谁。在这些情况下,可能存在一些类型的标识符用以指出涉及的数据是何种类型的,使得可信任的云服务可以将该信息转化为哪个订阅者应当接收该数据,以及以何种形式接收,例如利用认证、利用证明或者加密的形式。因此,在一些实施例中,对数据进行的实际的加密可以在可信任的云服务中而不是在车载数据服务中完成。
[0037]贯穿本说明书中引用的“一个实施例”或“实施例”表示结合实施例所描述的特定的特征、结构或特性,包括在本发明包含的至少一个实施方式中。因此,短语“一个实施例”或“在实施例中”的出现并不一定指同一实施例。进一步地,除了所示出的特定的实施例以夕卜,特定的特征、结构或特性可以以其他合适的形式进行设定,并且所有这些形式都可以被包含在本申请的权利要求中。
[0038]虽然针对有限的实施例来对本发明进行了描述,但是相关领域的技术人员将会意识到由此引出的多种修改和变形。意指所附的权利要求覆盖所有这种修改和变形,并落入本发明的真正精神和范围中。
【权利要求】
1.一种方法,包括 从基于车辆的源收集传感器数据; 对所述传感器数据进行认证;以及 报告所收集和认证的传感器数据,而不对所述基于车辆的源进行识别。
2.根据权利要求1所述的方法,包括:使用带有嵌入式私钥的装置来收集所述数据。
3.根据权利要求2所述的方法,包括:使用公钥来对所收集的数据进行认证。
4.根据权利要求1所述的方法,包括:将传感器数据分发给多个订阅者。
5.根据权利要求4所述的方法,包括:将不同的数据分发给不同的订阅者。
6.根据权利要求4所述的方法,包括:对来自至少两个传感器中的每一个传感器的数据进行识别,并且将所述数据与所述数据的订阅者相关联。
7.根据权利要求6所述的方法,包括:将来自车辆的传感器数据发送到服务器,以分发给订阅者。
8.根据权利要求7所述的方法,包括:使用隐私保护公钥对来自车辆的预定义组的数据进行验证,从而阻止订阅者对车辆所有者进行识别。
9.根据权利要求1所述的方法,包括:利用所述数据来进行证明。
10.一种存储指令的非易失性计算机可读介质,所述指令使得计算机用于: 从基于车辆的源收集传感器数据; 对服务器数据进行认证;以及 报告所收集和认证的传感器数据,而不对所述基于车辆的源进行识别。
11.根据权利要求10所述的介质,进一步存储指令用于使用带有嵌入式私钥的装置来收集所述数据。
12.根据权利要求11所述的介质,进一步存储指令用于使用公钥来对所收集的数据进行认证。
13.根据权利要求10所述的介质,进一步存储指令用于将传感器数据分发给多个订阅者。
14.根据权利要求13所述的介质,进一步存储指令用于将不同的数据分发给不同的订阅者。
15.根据权利要求13所述的介质,进一步存储指令用于对来自至少两个传感器中的每一个传感器的数据进行识别,并且将所述数据与所述数据的订阅者相关联。
16.根据权利要求15所述的介质,进一步存储指令用于将来自车辆的传感器数据发送到服务器,以分发给订阅者。
17.根据权利要求16所述的介质,进一步存储指令用于使用隐私保护公钥对来自车辆的预定义组的数据进行验证,以阻止订阅者对车辆所有者进行识别。
18.根据权利要求11所述的介质,进一步存储指令用于利用所述数据来进行证明。
19.一种装置,包括: 器件,用于对来自基于车辆的源的传感器数据进行收集和认证;以及报告所收集和认证的传感器数据,而不对所述基于车辆的源进行识别;以及私钥,其嵌入于所述器件中。
20.根据权利要求19所述的装置,所述器件用于使用公钥来对所收集的数据进行认 证。
21.根据权利要求19所述的装置,所述器件用于将传感器数据分发给多个订阅者。
22.根据权利要求21所述的装置,所述器件用于将不同的数据分发给不同的订阅者。
23.根据权利要求21所述的装置,所述器件用于对来自至少两个传感器中的每一个传感器的数据进行识别,并且将所述数据与所述数据的订阅者相关联。
24.根据权利要求21所述的装置,所述器件用于将来自车辆的传感器数据发送到服务器,以分发给订阅者。
25.根据权利要求24所述的装置,所述器件用于使用隐私保护公钥对来自车辆的预定义组的数据进行验证,以阻止订阅者对车辆所有者进行识别。
【文档编号】H04L9/32GK104170313SQ201180075956
【公开日】2014年11月26日 申请日期:2011年12月28日 优先权日:2011年12月28日
【发明者】V·B·洛茨, A·P·兰加拉詹, X·郭, S·拉蒂, V·S·科萨万 申请人:英特尔公司