EP2423885A1 - Device and method for monitoring the function of a road toll system - Google Patents

Abstract

A stationary proxy server (7) receives the raw position data (3) of a vehicle, from a vehicle unit (2) and carries out toll collection process using the toll data (8) which is matched beforehand with a signature (10') equipped in a separate processor element (10), the raw position data or distance data (9) extracted from the vehicle unit. The toll data, raw position data and the distance data are compared with the signature equipped in the separate processor element, for carrying out toll collection with respect to the vehicle. An independent claim is included for method for monitoring function of road toll system.

Description

Die vorliegende Erfindung betrifft eine Vorrichtung und ein Verfahren zur Funktionsüberwachung eines Straßenmautsystems, das zumindest ein seine Position in Form von rohen Positionsdaten aufzeichnendes Fahrzeuggerät und einen stationären Proxyrechner umfaßt, der die rohen Positionsdaten vom Fahrzeuggerät empfängt und daraus durch Mautkartenabgleich kartenabgeglichene Mautdaten erzeugt.The present invention relates to a device and a method for monitoring the operation of a road toll system comprising at least one vehicle device recording its position in the form of raw position data and a stationary proxy computer which receives the raw position data from the vehicle device and generates toll-related toll data by toll map matching.

Derartige Straßenmautsysteme werden auch als Thin-client-Systeme bezeichnet. Das Fahrzeuggerät, auch On-board-Unit bzw. OBU genannt, kann kostengünstig mit geringer Rechenleistung ("thin-client") ausgeführt werden, weil der rechenintensive Mautkartenabgleich, d.h. der Abgleich der Positionsdaten mit für die Mauterhebung relevanten geographischen Elementen z.B. auf einer entsprechend vorbereiteten oder geeigneten digitalen Straßenkarte, in leistungsfähige stationäre Proxyrechner des Straßenmautsystems ausgelagert ist. Thin-Client-OBUs ermitteln dabei ihre Position beispielsweise mit Hilfe von Satellitennavigation oder Funklokalisierung in terrestrischen Funkbaken- oder Mobilfunknetzen.Such road toll systems are also referred to as thin-client systems. The vehicle device, also called on-board unit or OBU, can be carried out cost-effectively with low computing power ("thin-client"), because the compute-intensive toll card matching, i. the comparison of the position data with the toll collection relevant geographical elements, e.g. on a suitably prepared or suitable digital road map, is outsourced to powerful stationary proxy computer of the road toll system. Thin-client OBUs determine their position, for example, by means of satellite navigation or radio localization in terrestrial radio beacon or mobile networks.

Auch wenn Thin-client-Mautsysteme für den einzelnen Benutzer aufgrund der geringen Kosten einer Thin-client-OBU erhebliche Vorteile bringen, haben sie für den Betreiber des Stra-βenmautsystems den Nachteil, daß eine durchgehende sichere Funktionsüberprüfung ("secure monitoring") nicht möglich ist: So ist z.B. die Zuverlässigkeit des Mautkartenabgleichs im Proxyrechner für den Mautbetreiber nicht nachprüfbar und damit auch für Systemlieferanten schwer oder nicht nachweisbar.Although thin-client toll systems bring significant benefits to the individual user due to the low cost of a thin-client OBU, they have the disadvantage for the operator of the road toll toll system that a continuous secure function check ("secure monitoring") is not possible is: For example the reliability of toll card matching in the proxy computer for the toll operator unverifiable and therefore difficult or impossible for system suppliers.

Hingegen ist eine solche Funktionsüberwachung bei sog. Thick-client-Mautsystemen möglich: Bei diesen Mautsystemen werden kostspielige Thick-client-OBUs eingesetzt, welche über ihr eigenes Mautkartenmaterial und hohe Rechenleistung verfügen, um selbst den Mautkartenabgleich durchzuführen und die kartenabgeglichenen Mautdaten an ein Zentralsystem abzusetzen. Für solche Systeme sind Konzeptüberlegungen bekannt, die von den Thick-client-OBUs berechneten Mautdaten mit einer vom Mautbetreiber ausgegebenen und in der OBU installierten Signatur zu versehen, um die Authentizität der Daten gegenüber dem Zentralsystem des Mautbetreibers zu gewährleisten. Diese Lösung erfordert OBUs mit hoher Rechenleistung, welche die vom Mautbetreiber geforderten Authentifizierungsfunktionen ausführen können, und ist für herkömmliche Thin-client-Systeme nicht geeignet.By contrast, such a function monitoring in so-called. Thick-client toll systems possible: In these toll systems costly thick-client OBUs are used, which over have their own toll card material and high computing power to carry out their own toll card reconciliation and send the card-adjusted toll data to a central system. For such systems, concept considerations are known to provide the toll data calculated by the thick-client OBUs with a signature issued by the toll operator and installed in the OBU to ensure the authenticity of the data to the toll collection operator's central system. This solution requires high-performance OBUs that can perform the authentication functions required by the toll operator and is not suitable for traditional thin-client systems.

Die Erfindung setzt sich zum Ziel, eine Secure-Monitoring-Lösung für Thin-client-Straßenmautsysteme zu schaffen, welche die Vorteile der Betreibersicherheit von signierenden Thick-client-Systemen mit den Kostenvorteilen von Thin-client-Systemen verbindet.The invention has as its object to provide a secure monitoring solution for thin-client road toll systems, which combines the advantages of operator security of signing thick-client systems with the cost advantages of thin-client systems.

Dieses Ziel wird in einem ersten Aspekt der Erfindung mit einer Vorrichtung der eingangs genannten Art erreicht, die sich gemäß der Erfindung durch zumindest ein erstes mit einer Signatur ausgestattetes und kryptographisch zugangsgesichertes Prozessorelement auszeichnet, welches einerseits die rohen Positionsdaten oder daraus extrahierte Streckendaten vom Fahrzeuggerät und anderseits die kartenabgeglichenen Mautdaten vom Proxyrechner empfängt und dafür ausgebildet ist, die kartenabgeglichenen Mautdaten gegenüber den rohen Positions- bzw. den daraus extrahierten Streckendaten zu plausibilisieren und bei erfolgreicher Plausibilisierung mit seiner Signatur versehen auszugeben.This object is achieved in a first aspect of the invention with a device of the type mentioned, which is characterized according to the invention by at least a first equipped with a signature and cryptographically access secured processor element, on the one hand, the raw position data or extracted therefrom route data from the vehicle unit and on the other hand the toll card data is received from the proxy computer and configured to plausibilize the card-compensated toll data against the raw item data or the route data extracted therefrom and output it with a signature if successful.

Die Erfindung schafft damit erstmals eine durchgehende Zertifizierungslösung für von Thin-client-OBUs erzeugte Mautdaten. Ein mit einer Signatur ausgestattetes und kryptographisch zugangsgesichertes Prozessorelement stellt ein "trusted element" für den Mautbetreiber dar, welches mit einer ihm vertrauenswürdigen Signatur, z.B. einem Zertifikat einer vertrauenswürdigen Ausgabestelle, ausgestattet und für seinen alleinigen Zugang gesichert werden kann. Prozessorelemente dieser Art können kostengünstig als Single-Chip-Module hergestellt werden, wie sie bei SIM-Karten, Chipkarten usw. in breitem Umfang verwendet werden. Im Gegensatz zu dem bei Thick-client-OBUs erforderlichen Kartenabgleich in der OBU erfordert die erfindungsgemäße Plausibilitätsprüfung der kartenabgeglichenen Mautdaten gegenüber den Positions- bzw. Streckendaten eine nur geringe Rechenleistung des Trusted Elements, wie sie von handelsüblichen SIM- bzw. Chipkarten-Prozessorelementen ohne weiteres aufgebracht werden kann.For the first time, the invention thus provides a continuous certification solution for toll data generated by thin-client OBUs. An equipped with a signature and cryptographically access secured processor element is set "Trusted element" for the toll operator, which can be equipped with a trusted signature, such as a certificate of a trusted issuing office, and secured for its sole access. Processor elements of this type can be inexpensively manufactured as single-chip modules, as they are widely used in SIM cards, smart cards, etc. In contrast to the map matching in the OBU required for thick-client OBUs, the plausibility check according to the invention of the card-compensated toll data compared to the position or route data requires only a low computing power of the trusted element, as readily available from commercially available SIM or chip card processor elements can be applied.

Unter dem Begriff "Plausibilisieren" wird in der vorliegenden Beschreibung eine grobe Überprüfung bzw. ein ungefährer Vergleich verstanden, ob die vom Proxyrechner erstellten Mautdaten den Positionsdaten bzw. daraus extrahierten Streckendaten entspringen können, d.h. plausibel sind: So lassen sich beispielsweise gebietsbezogene Mautdaten plausibilisieren, indem überprüft wird, ob die zugrundegelegenen Positionsdaten in dem Gebiet der Mautdaten liegen. Wenn die Mautdaten auf einer zurückgelegten Wegstrecke oder Wegzeit beruhen, kann die Plausibilität z.B. mit Hilfe einer überschlagsmäßigen Kumulierung der zwischen einzelnen Positionen der Positionsdaten liegenden Entfernungen geprüft werden.In the present description, the term "plausibility check" is understood to mean a rough check or an approximate comparison as to whether the toll data generated by the proxy computer can originate from the position data or from the route data extracted therefrom, ie are plausible : For example, area-related toll data can be made plausible by a check is made as to whether the underlying position data lies in the area of the toll data. If the toll data is based on a distance traveled or a travel time, the plausibility can be checked, for example, by means of a rough accumulation of the distances lying between individual positions of the position data.

In einer ersten bevorzugten Ausführungsform der Erfindung ist das erste Prozessorelement im Proxyrechner des Mautbetreibers angeordnet. Dadurch kann das Prozessorelement direkt in der Verfügungsgewalt des Betreibers (oder eines vertrauenswürdigen Dritten) stehen und auch betreiberspezifisch ausgeführt werden.In a first preferred embodiment of the invention, the first processor element is arranged in the proxy computer of the toll operator. As a result, the processor element can be directly in the control of the operator (or a trusted third party) and can also be executed operator-specifically.

Eine alternative bevorzugte Ausführungsform der Erfindung für ein Straßenmautsystem, dessen Proxyrechner die kartenabgeglichenen Mautdaten zurück an das Fahrzeuggerät sendet, zeichnet sich dadurch aus, daß das erste Prozessorelement im Fahrzeuggerät angeordnet ist. Diese Lösung hat den Vorteil, daß das Prozessorelement mit verschiedenen Proxyrechnern unterschiedlicher Mautbetreiber zusammenarbeiten kann. Darüber hinaus sind dadurch die von einer Thin-client-OBU abgegebenen Mautdaten in derselben Art und Weise zertifiziert, wie sie von einer herkömmlichen zertifizierten Thick-client-OBU erhaltbar sind.An alternative preferred embodiment of the invention for a road toll system, the proxy computer, the card-balanced Toll data sent back to the vehicle unit, characterized in that the first processor element is arranged in the vehicle unit. This solution has the advantage that the processor element can work together with different proxy computers of different toll operators. It also certifies the toll data submitted by a thin-client OBU in the same manner as that obtainable from a traditional certified thick-client OBU.

Besonders günstig ist es, wenn das erste Prozessorelement in das Fahrzeuggerät modular austauschbar eingesetzt ist, beispielsweise in der Art einer SIM-Karte. Dadurch können z.B. von Drittlieferanten gefertigte Thin-client-OBUs vom Betreiber mit Prozessorelementen seines Vertrauens ausgestattet werden.It is particularly favorable when the first processor element is inserted into the vehicle device in a modularly exchangeable manner, for example in the manner of a SIM card. Thereby, e.g. third-party manufactured thin-client OBUs are equipped by the operator with processor elements of his confidence.

Wie bereits erörtert, kann das Prozessorelement entweder die rohen Positionsdaten oder daraus extrahierte Streckendaten mit den Mautdaten abgleichen. Bevorzugt werden aus den Positionsdaten extrahierte Streckendaten verwendet, d.h. das Fahrzeuggerät ist dafür ausgebildet, aus den rohen Positionsdaten Streckendaten zu extrahieren und an das erste Prozessorelement zu senden, welches die kartenabgeglichenen Mautdaten gegenüber den extrahierten Streckendaten plausibilisiert. Dies stellt einen Zugewinn an Vertraulichkeit ("privacy") dar: Das dem Mautbetreiber zur Zertifizierung dienende Prozessorelement erfährt damit nicht die rohen Positionsdaten der OBU ("position fix track"), sondern nur Auszüge bzw. Verallgemeinerungen derselben, was die Bewegungshistorie des Benutzers vor Datenmißbrauch schützt.As already discussed, the processor element may either match the raw position data or route data extracted therefrom with the toll data. Preferably, route data extracted from the position data is used, i. the vehicle device is designed to extract route data from the raw position data and to send it to the first processor element, which makes the card-adjusted toll data plausible with respect to the extracted route data. This represents a gain in privacy. The processor element serving the certification for the toll operator thus does not experience the position position of the OBU but only excerpts or generalizations of the same, as far as the movement history of the user is concerned Data abuse protects.

Zu diesem Zweck sind bevorzugt die extrahierten Streckendaten aus den rohen Positionsdaten akkumulierte Wegstrecken oder Wegzeiten, aus welchen sich keine direkten Rückschlüsse auf die einzelnen Bewegungen des Benutzers mit seinem Fahrzeuggerät ziehen lassen.For this purpose, the extracted route data from the raw position data are preferably accumulated travel distances or travel times, from which no direct conclusions can be drawn about the individual movements of the user with his vehicle device.

Bei Verwendung solcher Streckendaten zeichnet sich eine weitere bevorzugte Ausführungsform der Erfindung durch zumindest ein zweites mit einer Signatur ausgestattetes und kryptographisch zugangsgesichertes Prozessorelement aus, das im Fahrzeuggerät angeordnet und dafür ausgebildet ist, die genannten extrahierten Streckendaten aus den rohen Positionsdaten zu erzeugen und mit seiner Signatur zu versehen. Dadurch kann eine zusätzliche Funktionsüberwachungsstufe eingeführt werden, welche auch den Schritt der Extrahierung der Streckendaten umfaßt.When using such route data, a further preferred embodiment of the invention is characterized by at least a second equipped with a signature and cryptographically access secured processor element which is arranged in the vehicle unit and adapted to generate said extracted route data from the raw position data and with its signature Provided. Thereby, an additional function monitoring stage can be introduced, which also includes the step of extracting the route data.

Bevorzugt ist auch das zweite Prozessorelement in das Fahrzeuggerät modular austauschbar eingesetzt, und besonders bevorzugt können das erste und das zweite Prozessorelement sogar ident sein.Preferably, the second processor element is used in the vehicle unit modular interchangeable, and particularly preferably, the first and the second processor element may even be ident.

Eine weitere besonders vorteilhafte Ausführungsform der Erfindung zeichnet sich dadurch aus, daß das Fahrzeuggerät dafür ausgebildet ist, die mit der Signatur versehenen extrahierten Streckendaten auf einer Schnittstelle zur Abfrage durch eine straßenseitige Infrastruktur bereitzustellen. Dadurch ermöglicht das Prozessorelement bzw. "trusted element" gleichzeitig auch einen "secure freezing service" für die im Fahrzeuggerät fortlaufend anfallenden Positions- bzw. daraus extrahierten Streckendaten. Straßenseitige Infrastruktur wie Mautbaken, Kontrollfahrzeuge usw. können auf diese Weise vertrauenswürdige ("trusted") Kontrolldaten von passierenden Fahrzeuggeräten einholen.A further particularly advantageous embodiment of the invention is characterized in that the vehicle device is designed to provide the extracted route data provided with the signature on an interface for interrogation by a roadside infrastructure. As a result, the processor element or "trusted element" simultaneously also enables a "secure freezing service" for the position data or path data continuously extracted therefrom in the vehicle device. Roadside infrastructure such as toll bills, control vehicles, etc., can in this way obtain trusted control data from passing vehicle equipment.

In einem zweiten Aspekt schafft die Erfindung ein Verfahren zur Funktionsüberwachung eines Straßenmautsystems der genannten Art, welches sich dadurch auszeichnet, daß in einem mit einer Signatur ausgestatteten und kryptographisch zugangsgesicherten Prozessorelement die kartenabgeglichenen Mautdaten des Proxyrechners gegenüber den rohen Positionsdaten des Fahrzeuggeräts oder daraus extrahierten Streckendaten plausibilisiert und bei erfolgreicher Plausibilisierung mit der Signatur versehen ausgegeben werden.In a second aspect, the invention provides a method for monitoring the operation of a road toll system of the type mentioned, which is plausibilized in a equipped with a signature and cryptographically secured processor element, the card-adjusted toll data of the proxy computer against the raw position data of the vehicle unit or extracted therefrom route data and be issued with a successful plausibility with the signature provided.

Wenn der Proxyrechner die kartenabgeglichenen Mautdaten zurück an das Fahrzeuggerät sendet, erfolgt das genannte Plausibilisieren bevorzugt in einem Prozessorelement des Fahrzeuggeräts.If the proxy computer sends the card-compensated toll data back to the vehicle unit, said plausibility check preferably takes place in a processor element of the vehicle unit.

Gemäß einem weiteren Merkmal der Erfindung werden im Fahrzeuggerät aus den rohen Positionsdaten die Streckendaten extrahiert und im Prozessorelement die kartenabgeglichenen Mautdaten gegenüber den extrahierten Streckendaten plausibilisiert.According to a further feature of the invention, in the vehicle device, the route data is extracted from the raw position data and the plausibility of the map-matched toll data in the processor element with respect to the extracted route data.

Dabei sind bevorzugt die extrahierten Streckendaten Wegstrecken oder Wegzeiten, die aus den Positionsdaten akkumuliert werden.In this case, the extracted route data is preferably distances or travel times which are accumulated from the position data.

Besonders günstig ist es, wenn in demselben oder einem weiteren mit einer Signatur ausgestatteten und kryptographisch zugangsgesicherten Prozessorelement die extrahierten Streckendaten aus den rohen Positionsdaten erzeugt und mit der Signatur versehen werden.It is particularly advantageous if the extracted route data is generated from the raw position data and provided with the signature in the same or another processor element equipped with a signature and secured cryptographically.

Bevorzugt werden die mit der Signatur versehenen extrahierten Streckendaten im Fahrzeuggerät für eine Abfrage durch eine straßenseitige Infrastruktur bereitgestellt.Preferably, the extracted route data provided with the signature is provided in the vehicle device for interrogation by a roadside infrastructure.

Hinsichtlich weiterer Merkmale und Vorteile des erfindungsgemäßen Verfahrens wird auf die obigen Ausführungen zur erfindungsgemäßen Vorrichtung verwiesen.With regard to further features and advantages of the method according to the invention, reference is made to the above statements on the device according to the invention.

Die Erfindung wird nachstehend anhand von in den beigeschlossenen Zeichnungen dargestellten Ausführungsbeispielen näher erläutert. In den Zeichnungen zeigt

• Fig. 1 ein Blockschaltbild einer ersten Vorrichtung der Erfindung, in dem gleichzeitig die Datenflüsse des erfindungsgemäßen Verfahrens dargestellt sind; und
• Fig. 2 ein Blockschaltbild einer zweiten Ausführungsform der Vorrichtung der Erfindung, welches gleichzeitig die Datenflüsse einer zweiten Ausführungsform des erfindungsgemäßen Verfahrens wiedergibt.

The invention will be explained in more detail with reference to embodiments illustrated in the accompanying drawings. In the drawings shows

• Fig. 1 a block diagram of a first device of the invention, in which the data flows of the inventive method are simultaneously shown; and
• Fig. 2 a block diagram of a second embodiment of the device of the invention, which simultaneously the data flows a second embodiment of the method according to the invention.

Fig. 1 zeigt eine Vorrichtung und ein Verfahren zur sicheren Funktionsüberwachung ("secure monitoring") im Rahmen eines schematisch dargestellten Straßenmautsystems 1. Das Straßenmautsystem 1 umfaßt eine Vielzahl von Fahrzeuggeräten bzw. O-BUs 2 (nur eine OBU stellvertretend dargestellt) in Form von Thin-Clients, welche auf an sich bekannte Weise fortlaufend ihr eigene geographische Position bestimmen, z.B. mit Hilfe von Satellitennavigation oder Funklokalisation in einem Netz von Funkbaken, Mobilfunkstationen usw. Die von einer OBU 2 bestimmten Positionen ("position fixes") werden als "rohe" Positionsdaten ("position fix tracks") 3 in einem Speicher der OBU aufgezeichnet. Die Positionsdaten 3 können durch die Kombination der Sensordaten verschiedenster Sensoren des Fahrzeuges, in dem die OBU 2 verbaut ist, wie Tachometer-, Kompaß- oder Beschleunigungsmeßdaten, ergänzt oder verbessert werden, wie dem Fachmann bekannt. Fig. 1 shows a device and a method for secure function monitoring ("secure monitoring") in the context of a schematically illustrated road toll system 1. The road toll system 1 comprises a plurality of vehicle devices or O-BUs 2 (only one OBU representatively shown) in the form of thin clients which continuously determine their own geographical position in a manner known per se, eg by means of satellite navigation or radio localization in a network of radio beacons, mobile radio stations, etc. The positions determined by an OBU 2 are referred to as "raw" position data ( "position fix tracks") 3 recorded in a memory of the OBU. The position data 3 can be supplemented or improved by the combination of the sensor data of various sensors of the vehicle in which the OBU 2 is installed, such as speedometer, compass or acceleration measurement data, as known to those skilled in the art.

Die OBUs 2 können über eine Funkschnittstelle 4 z.B. nach dem DSRC-Standard (dedicated short range communication) mit einer straßenseitigen Infrastruktur 5 (roadside equipment, RSE) in Verbindung stehen, beispielsweise DSRC-Funkbaken, WLAN-Accesspoints (wireless local aerea network), WAVE-Basisstationen (wireless access in a vehicle environment) usw., die sie auf ihrem Weg passieren und an welche sie eine Kopie der Positionsdaten 3 zu Kontrollzwecken übermitteln können.The OBUs 2 can be connected via a radio interface 4 e.g. dedicated short range communication (DSRC) standard associated with roadside equipment (RSE) 5, such as DSRC radio beacons, wireless local aerea network (WNA), wireless access in a vehicle (WAVE) base stations environment) etc., which they pass on their way and to which they can transmit a copy of the position data 3 for control purposes.

Über dieselbe Funkschnittstelle 4 oder über eine weitere Funkschnittstelle 6, z.B. eine Datenverbindung in einem Mobilfunknetz, stehen die OBUs 2 ferner mit (zumindest) einem Proxyrechner 7 des Straßenmautsystems 1 in Verbindung, welchem sie - fortlaufend oder stapelweise, z.B. periodisch oder im Anlaßfall - ihre Positionsdaten 3 übermitteln. Der Proxyrechner 7 verfügt über eine hohe Rechenleistung, z.B. in Form einer Serverfarm, und umfangreiches Land- bzw. Mautkartenmaterial, um einen Kartenabgleich ("map matching") zwischen den rohen Positionsdaten 3 einerseits und vorgegebenen geographischen Positionen wie Straßenverläufen, virtuellen Mauterhebungsstellen usw. durchzuführen. Durch diesen Mautkartenabgleich wird die Genauigkeit der Positionsbestimmung der OBU 2 verbessert, weil streuende bzw. abweichende Positionsbestimmungen (position fixes) jeweils korrekten Positionen in einem Straßennetz zugeordnet werden können. Beispielsweise könnte die Genauigkeit der rohen Positionsdaten 3 hinsichtlich der zurückgelegten Wegstrecke ("driven distance") bei herkömmlicher GPS-Bestimmung etwa ± 5% betragen, wogegen sie nach dem Kartenabgleich im Proxyrechner 7 eine Genauigkeit von ± 1% aufweisen könnte.Via the same radio interface 4 or via a further radio interface 6, for example a data connection in a mobile radio network, the OBUs 2 are also connected to (at least) a proxy computer 7 of the road toll system 1, to which they - continuously or in batches, eg periodically or in case of need - their Transmit position data 3. The proxy computer 7 has a high computing power, eg in the form of a server farm, and extensive land or toll card material to perform a map matching between the raw position data 3 on the one hand and given geographical positions such as road progressions, virtual toll collection points, etc. By means of this toll card matching, the accuracy of the position determination of the OBU 2 is improved because scattering or position fixes can each be assigned to correct positions in a road network. For example, the accuracy of the raw position data 3 with respect to the distance traveled ("driven distance") in conventional GPS determination could be about ± 5%, whereas it could have an accuracy of ± 1% after the map matching in the proxy computer 7.

Die derart kartenabgeglichenen, verbesserten Positionsdaten werden im Proxyrechner 7 als Grundlage für kartenabgeglichen Mautdaten 8 verwendet. Diese Mautdaten lassen in der Regel keine individuellen Rückschlüsse mehr auf die einzelnen Positionen der Positionsdaten 3 zu, denn sie stellen je nach Prinzip und Ausführungsform des Mautsystems eine zusammenfassende bzw. abstrahierende und "ortsanonymisierte" Auswertung derselben dar, beispielsweise in Form der befahrenen Streckenabschnitte eines Straßennetzes oder der zurückgelegten Wegstrecke ("driven distance") oder Wegzeit. Letztere können z.B. zur wegeabhängigen Vergebührung von Mautstraßen ("pay as you drive") oder zeitabhängigen Vergebührung von gebührenpflichtigen Parkplätzen usw. verwendet werden. Die kartenabgeglichenen Mautdaten 8 können im Proxyrechner 7 optional mit solchen Mautgebühreninformationen versehen werden.The card-adjusted, improved position data of this type are used in the proxy computer 7 as the basis for card-adjusted toll data 8. As a rule, these toll data do not permit any individual conclusions to be drawn about the individual positions of the position data 3, since they represent a summarizing or "abstract-anonymous" evaluation of the same, for example in the form of the traveled sections of a road network, depending on the principle and embodiment of the toll system or the distance traveled ("driven distance") or travel time. The latter can e.g. for toll-related charging of toll roads ("pay as you drive") or time-dependent charging of paid parking lots, etc. The card-adjusted toll data 8 can optionally be provided in the proxy computer 7 with such toll information.

Die kartenabgeglichenen, ortsanonymisierten Mautdaten 8 werden vom Proxyrechner 7 in der Ausführungsform von Fig. 1 zurück an die OBU 2 gesandt, siehe Pfeil 8'. Wie dem Fachmann bekannt, kann auf diese Weise, wenn sich die OBU 2 gegenüber dem Proxyrechner 7 für den Mautdatenabgleich mit einer anonymen temporären Kennung identifiziert, Anonymität ("privacy") für die sensiblen Positionsdaten 3 und damit den Weg des Fahrzeuges gewährleistet werden.The card-matched, location-anonymized toll data 8 are from the proxy computer 7 in the embodiment of Fig. 1 sent back to the OBU 2, see arrow 8 '. As the expert In this way, if the OBU 2 identifies itself to the proxy computer 7 for toll data matching with an anonymous temporary identifier, anonymity ("privacy") for the sensitive position data 3 and thus the path of the vehicle can be ensured in this way.

Um diesen Vorgang für einen Mautbetreiber, welcher die Mautdaten 8 zur Vergebührung benötigt, in seiner Funktionsweise nachprüfbar zu machen und die Systemfunktionalität ihm gegenüber gewährleisten zu können, dienen die folgenden Vorrichtungen und Verfahren.In order to be able to verify the operation of this procedure for a toll operator, who needs the toll data 8 for billing, and to be able to ensure the system functionality against him, the following devices and methods are used.

Die OBU 2 erzeugt unabhängig vom Proxyrechner 7 - ohne Mautkartenabgleich und nur mit einfachen Rechenmitteln, u.zw. bevorzugt mit einem später noch ausführlich beschriebenen Prozessorelement 13 - eine grobe Schätzung der Mautdaten, in weiterer Folge als aus den Positionsdaten 3 extrahierte Streckendaten 9 bezeichnet. Die Streckendaten 9 dienen dazu, eine Plausibilitätsprüfung der vom Proxyrechner 7 erzeugten Mautdaten 8 durchführen zu können. Die Streckendaten sind demgemäß mit den Mautdaten 8 vergleichbar, wenn auch weit weniger genau, weil sie ja auf den unverbesserten, rohen Positionsdaten 3 beruhen. Wenn die Mautdaten 8 z.B. die zurückgelegte Wegstrecke ("driven distance") bzw. Wegzeit wiedergeben, dann sind die von der OBU 2 aus den Positionsdaten 3 extrahierten Streckendaten 9 ebenfalls eine daraus berechnete zurückgelegte Wegstrecke bzw. Wegzeit. In dem zuvor genannten Beispiel von GPS-bestimmten Positionsdaten 3 und mautkartenabgeglichenen Mautdaten 8 ist die Genauigkeit der Streckendaten 9 z.B. ± 5% und jene der Mautdaten 8 z.B. ± 1%.The OBU 2 generates independently of the proxy computer 7 - without toll card matching and only with simple calculation means, u.zw. preferably with a processor element 13 to be described later in detail - a rough estimate of the toll data, subsequently referred to as route data 9 extracted from the position data 3. The route data 9 serve to be able to carry out a plausibility check of the toll data 8 generated by the proxy computer 7. The route data are accordingly comparable to the toll data 8, albeit far less accurately because they are based on the unrefined, raw position data 3. If the toll data 8 reproduces, for example, the distance traveled ("driven distance") or travel time, then the route data 9 extracted from the OBU 2 from the position data 3 is likewise a distance traveled or travel time calculated therefrom. In the aforementioned example of GPS-determined position data 3 and toll-set toll data 8, the accuracy of the route data 9 is, for example, ± 5% and that of the toll data 8 is, for example, ± 1%.

Die Mautdaten 8 können aufgrund dieser Genauigkeitsunterschiede damit zwar nicht direkt mit den Streckendaten 9 verglichen werden, jedoch gegenüber diesen plausibilisiert werden, d.h. es kann geprüft werden, ob die Mautdaten 8 auf Grundlage der Streckendaten 9 plausibel sind.Although the toll data 8 can not be directly compared with the route data 9 due to these differences in accuracy, however, it can be made plausible, ie it can be checked whether the toll data 8 is plausible on the basis of the route data 9.

Zu diesem Zweck ist in der OBU 2 ein speziell geschütztes Prozessorelement 10 vorgesehen, das z.B. vom Mautbetreiber selbst in die OBU 2 eingesetzt werden kann, beispielsweise in Form einer SIM- oder Chipkarte. Das Prozessorelement 10 ist auf Hardwareniveau kryptographisch zugangsgesichert, sodaß beispielsweise nur der Mautbetreiber Zugang zu den darin enthaltenen Daten und Programmen hat. Das Prozessorelement 10 stellt damit ein für den Mautbetreiber vertrauenswürdiges Element ("trusted element") dar und erfüllt ähnlich hohe Sicherheitsanforderungen, wie sie beispielsweise an die auf SIM-Karten, Kreditkarten, Bankkarten usw. integrierten Single-Chip-Prozessoren gestellt werden.For this purpose, a specially protected processor element 10 is provided in the OBU 2, e.g. can be used by the toll operator itself in the OBU 2, for example in the form of a SIM or smart card. The processor element 10 is cryptographically secured at hardware level, so that, for example, only the toll operator has access to the data and programs contained therein. The processor element 10 thus represents a trusted element for the toll operator and satisfies similarly high security requirements, such as those imposed on the SIM cards, credit cards, bank cards, etc., integrated single-chip processors.

Das kryptographisch zugangsgesicherte Prozessorelement 10 ist ferner in an sich bekannter Weise mit einer kryptographischen Signatur 10', z.B. einem kryptographischen Zertifikat, ausgestattet, d.h. einem kryptographischen Datenelement 10', welches vom Prozessorelement 10 all seinen Datenausgaben hinzugefügt werden kann, um deren Authentizität gegenüber der Ausgabestelle der Signatur bzw. des Zertifikats, z.B. dem Mautbetreiber, nachweisen zu können.The cryptographically secured processor element 10 is further provided in a manner known per se with a cryptographic signature 10 ', e.g. a cryptographic certificate, i. e. a cryptographic data element 10 ', which can be added by the processor element 10 all its data outputs to their authenticity to the issuing authority of the signature or certificate, e.g. the toll operator to prove.

In dem Prozessorelement 10 wird der geschilderte Plausibilitätsvergleich der Mautdaten 8 mit den Streckendaten 9 durchgeführt. Für diesen Plausibilitätsvergleich ist keine hohe Rechenleistung - wie sie etwa für den Mautkartenabgleich im Proxyrechner 7 erforderlich ist - notwendig, weil hier lediglich z.B. eine grobe Abschätzungsrechnung zwischen einer in den Mautdaten 8 genau und in den Streckendaten 9 ungenau angegebenen Wegstrecke durchgeführt werden muß. Die Plausibilitäts- überprüfung im Prozessorelement 10 kann daher mit der in einem einfachen Trusted-Element-Single-Chip-Prozessor zur Verfügung stehenden Rechenleistung durchgeführt werden.In the processor element 10, the described plausibility comparison of the toll data 8 with the route data 9 is performed. For this plausibility comparison, high computing power is not necessary, as is required, for example, for the toll card matching in the proxy computer 7, because here only e.g. a rough estimation calculation between a precisely in the toll data 8 and in the route data 9 inaccurately specified distance must be performed. The plausibility check in the processor element 10 can therefore be carried out with the computing power available in a simple trusted element single-chip processor.

Bei erfolgreicher Plausibilisierung der Mautdaten 8 versieht das Prozessorelement 10 diese mit seiner Signatur 10' und gibt sie als signierte Mautdaten 11 aus, siehe Pfad 11'. Die signierten Mautdaten 11 können vom Prozessorelement 10 der OBU 2 beispielsweise wieder über die Funkschnittstelle 6 an den Proxyrechner 7 zurückgesandt und von diesem an einen Zentralrechner 12 des Straßenmautsystems 1 weitergeleitet werden, siehe Pfad 11'. Alternativ können sie auch direkt von der OBU 2 an den Zentralrechner 12 abgesetzt werden, u.zw. sowohl "online" z.B. über die Funkschnittstelle 4 oder 6 als auch "offline" über einen Datenträger.Upon successful plausibility of the toll data 8, the processor element 10 provides it with its signature 10 '. and outputs it as signed toll data 11, see path 11 '. The signed toll data 11 can be sent back by the processor element 10 of the OBU 2, for example via the radio interface 6 to the proxy computer 7 and forwarded by the latter to a central computer 12 of the road toll system 1, see path 11 '. Alternatively, they can also be sent directly from the OBU 2 to the central computer 12, u.zw. both "online" eg via the radio interface 4 or 6 as well as "offline" via a data carrier.

Auf diese Weise plausibilisiert und signiert bzw. zertifiziert das Prozessorelement 10 die in einem fortlaufenden Strom einlangenden Mautdaten 8 jeweils einzeln oder fortlaufend abschnittsweise.In this way, the processor element 10 plausibility checks and signs or certifies the toll data 8 arriving in a continuous stream individually or continuously in sections.

In einer alternativen, vereinfachten Ausführungsform könnte die OBU 2 auf die Extraktion der Streckendaten 9 aus den Positionsdaten 3 verzichten und die Positionsdaten 3 könnten dem Prozessorelement 10 direkt zugeführt werden. In diesem Fall plausibilisiert das Prozessorelement 10 die Mautdaten 8 direkt gegenüber den Positionsdaten 3, wobei das Prozessorelement 10 dann vermehrte Rechenschritte ausführen muß oder eine stärker vereinfachte Plausibilisierung durchführt, z.B. lediglich überprüft, ob einzelne Positionen aus den Positionsdaten 3 in eine in den Mautdaten 8 angegebenen Gebietsmaut fallen, USW.In an alternative, simplified embodiment, the OBU 2 could dispense with the extraction of the route data 9 from the position data 3 and the position data 3 could be fed directly to the processor element 10. In this case, the processor element 10 plausibility checks the toll data 8 directly relative to the position data 3, the processor element 10 then having to perform increased computation steps or perform a more simplified plausibility check, e.g. only checks whether individual positions from the position data 3 fall in a specified in the toll data 8 area toll, USW.

In einer bevorzugten Ausführungsform wird in der OBU 2 ein zweites kryptographisch zugangsgesichertes Prozessorelement ("trusted element") 13 vorgesehen werden, um aus den Positionsdaten 3 die Streckendaten 9 zu extrahieren. Das Prozessorelement 13 ist mit einer eigenen Signatur 13' ausgestattet, mit welcher es die von ihm erzeugten Streckendaten 9 versieht (signiert).In a preferred embodiment, a second cryptographically access-secured processor element ("trusted element") 13 is provided in the OBU 2 in order to extract the route data 9 from the position data 3. The processor element 13 is provided with its own signature 13 ', with which it provides the track data 9 generated by it (signed).

Die vom Prozessorelement 13 signierten Streckendaten 9 können überdies in der OBU 2 zur Abfrage durch die Infrastruktur 5 über die Schnittstelle 4 bereitgestellt werden. Dadurch leistet das Prozessorelement ("trusted element") 13 einen "secure freezing service" für die Positionsdaten 3 bzw. die daraus extrahierten Streckendaten 9. Die Signierung bzw. Zertifizierung der Streckendaten 9 gewährleistet gegenüber der Infrastruktur 5, daß die über die Schnittstelle 4 abgefragten Streckendaten 9 von einem entsprechend vertrauenswürdigen Rechenelement, u.zw. Prozessorelement ("trusted element") 13, erzeugt und signiert wurden.Moreover, the route data 9 signed by the processor element 13 can be queried by the infrastructure in the OBU 2 5 are provided via the interface 4. As a result, the processor element ("trusted element") 13 provides a "secure freezing service" for the position data 3 or the route data 9 extracted therefrom. The signing or certification of the route data 9 ensures that the data queried via the interface 4 Route data 9 from a correspondingly trustworthy computing element, u.zw. Processor element ("trusted element") 13, generated and signed.

In Fig. 1 können das erste und das zweite Prozessorelement 10, 13 auch ein und dasselbe physische Prozessorelement sein, in der nachfolgend beschriebenen Ausführungsform von Fig. 2 ist dies nicht möglich. In Fig. 2 bezeichnen gleiche Bezugszeichen gleiche Elemente wie in Fig. 1 und es wird nur auf die Unterschiede gegenüber Fig. 1 eingegangen.In Fig. 1 For example, in the embodiment described below, the first and second processor elements 10, 13 may also be one and the same physical processor element Fig. 2 is this not possible. In Fig. 2 like reference characters designate like elements as in FIG Fig. 1 and it is only compared to the differences Fig. 1 received.

In der Ausführungsform von Fig. 2 sendet der Proxyrechner 7 die kartenabgeglichenen Mautdaten 8 nicht mehr zurück an die OBU 2. Das erste Prozessorelement 10 ist daher im Proxyrechner 7 angeordnet bzw. mit diesem verbunden, und die OBU 2 sendet hier zusätzlich zu den rohen Positionsdaten 3 auch die extrahierten Streckendaten 9 an den Proxyrechner 7, siehe Pfeil 9'. Die Streckendaten 9 können optional wieder von dem zweiten, in der OBU 2 angeordneten Prozessorelement 13 aus den rohen Positionsdaten 3 erzeugt und mit der Signatur 13' signiert worden sein, sodaß der Proxyrechner 7 bzw. das erste Prozessorelement 10 sicher sein kann, daß die Streckendaten 9 korrekt in der OBU 2 extrahiert wurden. Auch hier können wieder die signierten Streckendaten 9 von der OBU 2 über die Schnittstelle 4 für Kontrollabfragen bereitgestellt werden.In the embodiment of Fig. 2 The first processor element 10 is therefore arranged in the proxy computer 7 or connected thereto, and the OBU 2 sends here in addition to the raw position data 3 and the extracted route data 9 to the proxy computer 7, see arrow 9 '. The route data 9 can optionally be generated again from the second, arranged in the OBU 2 processor element 13 from the raw position data 3 and signed with the signature 13 ', so that the proxy computer 7 and the first processor element 10 can be sure that the route data 9 were correctly extracted in the OBU 2. Again, the signed route data 9 can be provided again from the OBU 2 via the interface 4 for control queries.

Das erste Prozessorelement 10 im Proxyrechner 7 plausibilisiert nun wieder die im Proxyrechner 7 kartenabgeglichenen Mautdaten 8 gegenüber den (optional signierten) Streckendaten 9 und versieht sie im Plausibilisierungsfall mit seiner Signatur 10', um signierte Mautdaten 11 auszugeben (Pfeil 11").The first processor element 10 in the proxy computer 7 now again plausibility checks the toll card data 8, which have been card-matched in the proxy computer 7, with respect to the (optionally signed) route data 9 and provides them in the case of plausibility with his signature 10 'to issue signed toll data 11 (arrow 11 ").

Die Erfindung ist nicht auf die dargestellten Ausführungsformen beschränkt, sondern umfaßt alle Varianten und Modifikationen, die in den Rahmen der angeschlossenen Ansprüche fallen.The invention is not limited to the illustrated embodiments, but includes all variants and modifications that fall within the scope of the appended claims.

Claims (16)

Vorrichtung zur Funktionsüberwachung eines Straßenmautsystems (1), das zumindest ein seine Position in Form von rohen Positionsdaten (3) aufzeichnendes Fahrzeuggerät (2) und einen stationären Proxyrechner (7) umfaßt, der die rohen Positionsdaten (3) vom Fahrzeuggerät (2) empfängt und daraus durch Mautkartenabgleich kartenabgeglichene Mautdaten (8) erzeugt, gekennzeichnet durch zumindest ein erstes mit einer Signatur (10') ausgestattetes und kryptographisch zugangsgesichertes Prozessorelement (10), welches einerseits die rohen Positionsdaten (3) oder daraus extrahierte Streckendaten (9) vom Fahrzeuggerät (2) und anderseits die kartenabgeglichenen Mautdaten (8) vom Proxyrechner (7) empfängt und dafür ausgebildet ist, die kartenabgeglichenen Mautdaten (8) gegenüber den rohen Positions- bzw. den daraus extrahierten Streckendaten (3, 9) zu plausibilisieren und bei erfolgreicher Plausibilisierung mit seiner Signatur (10') versehen auszugeben.Device for monitoring the operation of a road toll system (1) comprising at least one vehicle device (2) recording its position in the form of raw position data (3) and a stationary proxy computer (7) receiving the raw position data (3) from the vehicle device (2) and generated toll card data (8) therefrom by toll card matching, characterized by at least one first processor element (10) equipped with a signature (10 ') and containing on the one hand the raw position data (3) or route data (9) extracted therefrom by the vehicle unit (2 ) and on the other hand receives the toll card data (8) matched by the proxy computer (7) and is designed to make the card-adjusted toll data (8) plausible in relation to the raw item data or the route data extracted therefrom (3, 9) and if successful Signature (10 ') provided output. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß das erste Prozessorelement (10) im Proxyrechner (7) angeordnet ist.Device according to Claim 1, characterized in that the first processor element (10) is arranged in the proxy computer (7). Vorrichtung nach Anspruch 1 für ein Straßenmautsystem (1), dessen Proxyrechner (7) die kartenabgeglichenen Mautdaten (8) zurück an das Fahrzeuggerät (2) sendet, dadurch gekennzeichnet, daß das erste Prozessorelement (10) im Fahrzeuggerät (2) angeordnet ist.Apparatus according to claim 1 for a road toll system (1), the proxy computer (7) sends the card-adjusted toll data (8) back to the vehicle unit (2), characterized in that the first processor element (10) in the vehicle unit (2) is arranged. Vorrichtung nach Anspruch 3, dadurch gekennzeichnet, daß das erste Prozessorelement (10) in das Fahrzeuggerät (2) modular austauschbar eingesetzt ist.Apparatus according to claim 3, characterized in that the first processor element (10) in the vehicle unit (2) is used modularly interchangeable. Vorrichtung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß das Fahrzeuggerät (2) dafür ausgebildet ist, aus den rohen Positionsdaten (3) die Streckendaten (9) zu extrahieren und an das erste Prozessorelement (10) zu senden, welches die kartenabgeglichenen Mautdaten (8) gegenüber den extrahierten Streckendaten (9) plausibilisiert.Device according to one of Claims 1 to 4, characterized in that the vehicle device (2) is designed to extract the route data (9) from the raw position data (3) and to send it to the first processor element (10), which makes the card-adjusted toll data (8) plausible with respect to the extracted route data (9). Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, daß die extrahierten Streckendaten (9) aus den rohen Positionsdaten (3) akkumulierte Wegstrecken oder Wegzeiten sind.Apparatus according to claim 5, characterized in that the extracted route data (9) from the raw position data (3) are accumulated distances or travel times. Vorrichtung nach Anspruch 5 oder 6, dadurch gekennzeichnet, gekennzeichnet durch zumindest ein zweites mit einer Signatur (13') ausgestattetes und kryptographisch zugangsgesichertes Prozessorelement (13), das im Fahrzeuggerät (2) angeordnet und dafür ausgebildet ist, die extrahierten Streckendaten (9) aus den rohen Positionsdaten (3) zu erzeugen und mit seiner Signatur (13') zu versehen.Device according to claim 5 or 6, characterized in characterized by at least a second with a signature (13 ') equipped and cryptographically access secure processor element (13) which is arranged in the vehicle device (2) and adapted to the extracted route data (9) from to generate the raw position data (3) and to provide it with its signature (13 '). Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, daß das zweite Prozessorelement in das Fahrzeuggerät modular austauschbar eingesetzt ist.Apparatus according to claim 7, characterized in that the second processor element is inserted in the vehicle unit modular exchangeable. Vorrichtung nach den Ansprüchen 3 und 7, dadurch gekennzeichnet, daß das erste und das zweite Prozessorelement (10, 13) ident sind.Device according to claims 3 and 7, characterized in that the first and the second processor element (10, 13) are identical. Vorrichtung nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, daß das Fahrzeuggerät (12) dafür ausgebildet ist, die mit der Signatur (13') versehenen extrahierten Streckendaten (9) auf einer Schnittstelle (4) zur Abfrage durch eine straßenseitige Infrastruktur (5) bereitzustellen.Device according to one of claims 7 to 9, characterized in that the vehicle device (12) is adapted to the extracted route data (9) provided with the signature (13 ') on an interface (4) for interrogation by a roadside infrastructure (5 ). Verfahren zur Funktionsüberwachung eines Straßenmautsystems (1), das zumindest ein seine Position in Form von rohen Positionsdaten (3) aufzeichnendes Fahrzeuggerät (2) und einen stationären Proxyrechner (7) umfaßt, der die rohen Positionsdaten (3) vom Fahrzeuggerät (2) empfängt und daraus durch Mautkartenabgleich kartenabgeglichene Mautdaten (8) erzeugt, dadurch gekennzeichnet, daß in einem mit einer Signatur (10') ausgestatteten und kryptographisch zugangsgesicherten Prozessorelement (10) die kartenabgeglichenen Mautdaten (8) des Proxyrechners (7) gegenüber den rohen Positionsdaten (3) des Fahrzeuggeräts (2) oder daraus extrahierten Streckendaten (9) plausibilisiert und bei erfolgreicher Plausibilisierung mit der Signatur (10') versehen ausgegeben werden.Method for monitoring the operation of a road toll system (1) comprising at least one vehicle device (2) recording its position in the form of raw position data (3) and a stationary proxy computer (7) receiving the raw position data (3) from the vehicle device (2) and therefrom toll card data (8) compensated by toll card adjustment, characterized in that in a processor element (10) equipped with a signature (10 ') and secured cryptographically, the card - compensated toll data (8) of the proxy computer (7) relative to the raw item data (3) of the Vehicle device (2) or extracted therefrom route data (9) plausibility and issued in a successful plausibility check with the signature (10 '). Verfahren nach Anspruch 11 für ein Straßenmautsystem (1), dessen Proxyrechner (7) die kartenabgeglichenen Mautdaten (8) zurück an das Fahrzeuggerät (2) sendet, dadurch gekennzeichnet, daß das genannte Plausibilisieren in einem Prozessorelement (10) des Fahrzeuggeräts (2) erfolgt.Method according to Claim 11 for a road toll system (1) whose proxy computer (7) sends the card-adjusted toll data (8) back to the vehicle unit (2), characterized in that said plausibility check is carried out in a processor element (10) of the vehicle unit (2) , Verfahren nach Anspruch 11 oder 12, dadurch gekennzeichnet, daß im Fahrzeuggerät (2) aus den rohen Positionsdaten (3) die Streckendaten (9) extrahiert und im Prozessorelement (10) die kartenabgeglichenen Mautdaten (8) gegenüber den extrahierten Streckendaten (9) plausibilisiert werden.Method according to Claim 11 or 12, characterized in that the route data (9) is extracted from the raw position data (3) in the vehicle unit (2) and the card-compensated toll data (8) compared to the extracted route data (9) is made plausible in the processor element (10) , Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß die extrahierten Streckendaten (9) Wegstrecken oder Wegzeiten sind, die aus den Positionsdaten (3) akkumuliert werden.Method according to Claim 13, characterized in that the extracted route data (9) are travel paths or travel times which are accumulated from the position data (3). Verfahren nach einem der Ansprüche 11 bis 14, dadurch gekennzeichnet, daß in demselben oder einem weiteren mit einer Signatur (10', 13') ausgestatteten und kryptographisch zugangsgesicherten Prozessorelement (10, 13) die extrahierten Streckendaten (9) aus den rohen Positionsdaten (3) erzeugt und mit der Signatur (10', 13') versehen werden.Method according to one of Claims 11 to 14, characterized in that in the same or another processor element (10, 13) equipped with a signature (10 ', 13') and secured cryptographically, the extracted route data (9) is retrieved from the raw position data (3 ) and provided with the signature (10 ', 13'). Verfahren nach Anspruch 15, dadurch gekennzeichnet, daß die mit der Signatur (10', 13') versehenen extrahierten Streckendaten (9) im Fahrzeuggerät (2) für eine Abfrage durch eine straßenseitige Infrastruktur (5) bereitgestellt werden.Method according to Claim 15, characterized in that the extracted route data (9) provided with the signature (10 ', 13') is provided in the vehicle device (2) for interrogation by a roadside infrastructure (5).

Images