Title:
Method for reducing data memory usage of vehicle-to-X-communication channel, involves performing data security assessment of first partial message by evaluation of second partial message
Kind Code:
A1


Abstract:
The method involves performing a data security assessment of a first partial message by an evaluation of a second partial message, where the first partial message comprises road safety-relevant information and the second partial message comprises data security-relevant information and road safety-relevant information. The partial messages are transmitted using communication links selected from one of IEEE 802.11, industrial, scientific and medical band (ISM), infrared and cellular connections. The road safety-relevant information is selected from one of a group consisting of velocity of a transmitter, position of the transmitter, acceleration of the transmitter, traveling direction of the transmitter, type of a road user, vehicle status, position of a hazard location and type of a hazard location. Independent claims are also included for the following: (1) a system for transmission of vehicle-to-X-messages (2) an information transmission apparatus (3) an information receiver.



Inventors:
Stählin, Ulrich (65760, Eschborn, DE)
Application Number:
DE102011003624A
Publication Date:
08/09/2012
Filing Date:
02/03/2011
Assignee:
Continental Teves AG & Co. OHG, 60488 (DE)
International Classes:
Domestic Patent References:
DE102009045816A1N/A2010-04-29
DE102008061304A1N/A2009-07-09
DE102008060231A1N/A2009-06-10



Foreign References:
200903106082009-12-17
Other References:
WLAN-Standards 802.11a/b/g/n
WLAN-Standards 802.11p
IEEE 802.11
Claims:
1. Verfahren zur Reduzierung der Datenauslastung eines Fahrzeug-zu-X-Kommunikationskanals, wobei eine Fahrzeug-zu-X-Botschaft in wenigstens einer ersten und einer zweiten, wenigstens teilweise nicht identischen Teilbotschaft übertragen wird dadurch gekennzeichnet, dass eine Datensicherheitsbewertung der ersten Teilbotschaft mittels einer Auswertung der zweiten Teilbotschaft durchgeführt wird.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erste Teilbotschaft zumindest anteilig verkehrssicherheitsrelevante Informationen enthält.

3. Verfahren nach mindestens einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass die zweite Teilbotschaft zumindest anteilig datensicherheitsrelevante Informationen enthält.

4. Verfahren nach mindestens einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die zweite Teilbotschaft mindestens eine verkehrssicherheitsrelevante Information umfasst.

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Datensicherheitsbewertung der ersten Teilbotschaft mittels eines Vergleichs der in der zweiten Botschaft enthaltenen verkehrssicherheitsrelevanten Information mit der entsprechenden verkehrssicherheitsrelevanten Information der ersten Botschaft durchgeführt wird.

6. Verfahren nach mindestens einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die erste Teilbotschaft keine datensicherheitsrelevanten Informationen enthält.

7. Verfahren nach mindestens einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die datensicherheitsrelevanten Informationen ein digitales Zertifikat und/oder eine digitale Signatur und/oder weitere Datensicherheitsmittel umfassen.

8. Verfahren nach mindestens einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die wenigstens erste und zweite Teilbotschaft über unterschiedliche Fahrzeug-zu-X-Kommunikationskanäle übertragen werden.

9. Verfahren nach mindestens einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass ein Fahrzeug-zu-X-Kommunikationskanal ein zur drahtlosen Datenübertragung geeignetes Frequenzband eines Fahrzeug-zu-X-Kommunikationsmittels ist.

10. Verfahren nach mindestens einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass die wenigstens erste und zweite Teilbotschaft mit unterschiedlicher Wiederholfrequenz gesendet werden.

11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Wiederholfrequenz der ersten Teilbotschaft größer ist als die Wiederholfrequenz der zweiten Teilbotschaft.

12. Verfahren nach mindestens einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass der Fahrzeug-zu-X-Kommunikationskanal zur drahtlosen Informationsübertragung zwischen Verkehrsteilnehmern, zwischen Infrastruktureinrichtungen und zwischen Verkehrsteilnehmern und Infrastruktureinrichtungen genutzt wird.

13. Verfahren nach mindestens einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass die wenigstens erste und zweite Teilbotschaft mittels unterschiedlicher Fahrzeug-zu-X-Kommunikationsmittel übertragen werden

14. Verfahren nach mindestens einem der Ansprüche 1 bis 13,
dadurch gekennzeichnet,
dass ein zur Übertragung der wenigstens ersten und zweiten Teilbotschaft genutztes Fahrzeug-zu-X-Kommunikationsmittel wenigstens eine der folgenden Kommunikationsverbindungen nutzt:
– WLAN-Verbindung, insbesondere nach IEEE 802.11,
– ISM-Verbindung (Industrial, Scientific, Medical Band),
– Infrarotverbindung und
– Mobilfunkverbindung.

15. Verfahren nach mindestens einem der Ansprüche 1 bis 14, dadurch gekennzeichnet, dass die mindestens erste und zweite Teilbotschaft jeweils mit einem Zeitstempel versehen werden.

16. Verfahren nach mindestens einem der Ansprüche 1 bis 15, dadurch gekennzeichnet, dass die Datensicherheitsbewertung die erste Teilbotschaft als sicher bewertet, wenn die mindestens jeweils eine in der ersten und zweiten Teilbotschaft enthaltene verkehrssicherheitsrelevante Information identisch ist.

17. Verfahren nach mindestens einem der Ansprüche 1 bis 16,
dadurch gekennzeichnet,
dass eine verkehrssicherheitsrelevante Information eine der folgenden Informationen ist:
– Geschwindigkeit des Senders,
– Position des Senders,
– Beschleunigung des Senders
– Bewegungsrichtung des Senders,
– Art des Verkehrsteilnehmers, an welchem der Sender angeordnet ist,
– Fahrzeugstatus,
– Position einer Gefahrenstelle,
– Ort einer Gefahrenstelle und
– Art einer Gefahrenstelle.

18. Verfahren nach mindestens einem der Ansprüche 1 bis 17, dadurch gekennzeichnet, dass die Verkehrsteilnehmer von der Art Fahrzeug, Fußgänger oder sonstiges, ein sich beweglich im Verkehrsgeschehen befindendes Objekt sind, wobei die Verkehrsteilnehmer zumindest mit einer Informationssendevorrichtung versehen sind.

19. Verfahren nach mindestens einem der Ansprüche 1 bis 18, dadurch gekennzeichnet, dass die Infrastruktureinrichtungen stationäre Einrichtungen sind, welche sich stationär im Verkehrsgeschehen befinden, wobei die Infrastruktureinrichtungen zumindest mit einer Informationssendevorrichtung versehen sind.

20. System zur Übertragung von Fahrzeug-zu-X-Botschaften, wobei das System eine Informationssendevorrichtung, eine Informationsempfangsvorrichtung, Informationsvergleichsmittel und Datensicherheitsbewertungsmittel umfasst, dadurch gekennzeichnet, dass die Datensicherheitsbewertungsmittel eine erste Teilbotschaft als sicher einstufen, wenn die Informationsvergleichsmittel mindestens eine jeweils in der ersten und einer zweiten Teilbotschaft enthaltene verkehrssicherheitsrelevante Information als identisch erkennen.

21. Informationssendevorrichtung nach Anspruch 20, dadurch gekennzeichnet, dass die Informationssendevorrichtung zum parallelen Sendender mindestens ersten und zweiten Teilbotschaft über unterschiedliche Fahrzeug-zu-X-Kommunikationskanäle und/oder über unterschiedliche Fahrzeug-zu-X-Kommunikationsmittel ausgeführt ist.

22. Informationsempfangsvorrichtung nach Anspruch 20, dadurch gekennzeichnet, dass die Informationsempfangsvorrichtung zum parallelen Empfangen der mindestens ersten und zweiten Teilbotschaft über unterschiedliche Fahrzeug-zu-X-Kommunikationskanäle und/oder über unterschiedliche Fahrzeug-zu-X-Kommunikationsmittel ausgeführt ist.

Description:

Die Erfindung betrifft ein Verfahren zur Reduzierung der Bandbreitenbelegung eines Fahrzeug-zu-X-Kommunikationskanals gemäß Oberbegriff von Anspruch 1 und ein System gemäß Oberbegriff von Anspruch 20.

Im Stand der Technik sind bereits unterschiedliche Fahrzeug-zu-X-Kommunikationssysteme bekannt, die sowohl verkehrsbezogene Daten als auch verschiedene Arten von Service-Daten, wie beispielsweise Unterhaltungsanwendungen, übertragen. Die Übertragung findet dabei sowohl zwischen verschiedenen Fahrzeugen (Fahrzeug-zu-Fahrzeug-Kommunikation) als auch zwischen Fahrzeugen und Infrastruktureinrichtungen (Fahrzeug-zu-Infrastruktur-Kommunikation) statt. Beide Möglichkeiten werden gemeinhin unter dem Begriff Fahrzeug-zu-X-Kommunikation zusammengefasst.

Die DE 10 2008 060 231 A1 beschreibt ein Verfahren zum Selektieren dieser unterschiedlichen, mittels Fahrzeug-zu-X-Kommunikation übertragenen Daten. Anhand eines Daten-Frames werden die empfangenen Daten von einem Datenfilter in der Empfangsvorrichtung unterschieden und beispielsweise an ein Fahrerassistenzsystem oder eine Unterhaltungseinrichtung weitergeleitet. Zur Übertragung der Daten werden Sende- und Empfangseinrichtungen auf Basis der WLAN-Standards 802.11a/b/g/n bei 2,4 GHz oder des WLAN-Standards 802.11p bei 5,9 GHz genutzt. Um die Daten redundant zu übertragen und die Zuverlässigkeit der Übertragung zu steigern, ist auch ein gleichzeitiges Senden auf beiden WLAN-Frequenzen möglich.

In der DE 2009 045 816 A1 wird eine Kommunikationseinheit zum Umschalten zwischen zwei unterschiedlichen Fahrzeug-zu-X-Übertragungs-Modi offenbart. Beide Übertragungs-Modi sind WLAN-basiert. Während einer der beiden Übertragungs-Modi als „Consumer-Modus” beispielsweise für den Empfang von Internetradio ausgeführt ist, ist der andere Übertragungs-Modus für die Übertragung sicherheitskritischer und verkehrsrelevanter Informationen vorgesehen. Somit definiert die DE 2009 045 816 A1 die getrennte Übertragung von unterschiedlichen Informationsarten mittels unterschiedlicher Übertragungs-Modi, wodurch die Unterscheidung der Daten anhand eines Daten-Frames, wie in der DE 10 2008 060 231 A1 vorgeschlagen, nicht mehr notwendig ist.

Die DE 10 2008 061 304 A1 schlägt eine Kommunikationseinrichtung für ein Fahrzeug zum drahtlosen Übertragen von fahrzeugrelevanten Daten vor. Die Daten werden mittels Fahrzeug-zu-X-Kommunikation an andere Fahrzeuge oder an Infrastruktureinrichtungen übertragen. Die beanspruchte Kommunikationseinrichtung umfasst zwei Kommunikationseinheiten, wovon die erste Kommunikationseinheit auf Basis von WLAN und die zweite Kommunikationseinheit auf Basis einer Remote Keyless Entry(RKE)-Verbindung ausgeführt ist. Die zweite Kommunikationseinheit bietet dabei den Vorteil, dass aufgrund der Beugungseigenschaften der genutzten Übertragungswellenlänge eine Datenübertragung um die Sichtlinie blockierende Hindernisse herum möglich ist, was mit einer WLAN-basierten Kommunikationseinheit hingegen nicht oder nur sehr eingeschränkt realisierbar ist. Der Nachteil der für die zweite Kommunikationseinheit genutzten Frequenz besteht hingegen in einer geringen Bandbreite mit entsprechend reduzierter Übertragungsrate. Um den Datenverkehr an die geringe Bandbreite anzupassen, werden mittels der zweiten Kommunikationseinrichtung nur Daten gesendet, welche sich seit der letzten Übertragung signifikant geändert haben oder denen eine besondere Priorisierung zuerkannt wird.

Allen im Stand der Technik bekannten Fahrzeug-zu-X-Kommunikationssystemen ist jedoch gemein, dass sämtliche übertragenen Daten entweder mit einem bandbreitenintensiven Security Header versehen werden oder aber die Daten ungesichert übertragen werden müssen. Sofern die Daten ungesichert übertragen und von einem Empfänger verarbeitet werden, besteht für den Empfänger ein hohes Sicherheitsrisiko, da die empfangenen Daten beispielsweise zu Eingriffen in Fahrzeugsteuergeräte genutzt werden. Um das Problem begrenzter Bandbreiten zu umgehen, werden daher im Stand der Technik entweder mehrere Übertragungs-Modi parallel genutzt oder es werden nur besonders priorisierte Daten versendet. Da auch die über einen weiteren Übertragungs-Modus gesendeten Daten mit einem Security Header versehen werden müssen, entsteht in der Summe eine Zunahme der Datenlast.

Die Aufgabe der vorliegenden Erfindung ist es daher, eine Möglichkeit zur Reduzierung der Datenlast und zur Reduzierung der Bandbreitenbelegung eines Fahrzeug-zu-X-Kommunikationskanals vorzuschlagen, ohne dabei die Datensicherheit und Datenintegrität der übertragenen Daten zu reduzieren.

Das erfindungsgemäße Verfahren zur Reduzierung der Datenauslastung eines Fahrzeug-zu-X-Kommunikationskanals, bei welchem eine Fahrzeug-zu-X-Botschaft in wenigstens einer ersten und einer zweiten, wenigstens teilweise nicht identischen Teilbotschaft übertragen wird, zeichnet sich dadurch aus, dass eine Datensicherheitsbewertung der ersten Teilbotschaft mittels einer Auswertung der zweiten Teilbotschaft durchgeführt wird. Dadurch ergibt sich der Vorteil, dass ein im Stand der Technik üblicherweise verwendeter Security Header in Form eines Datensicherheitszertifikats oder einer Datensicherheitssignatur nicht mit jeder der Teilbotschaften einzeln versendet werden muss. Stattdessen wird der für die Datensicherheit relevante Anteil einer Botschaft ausschließlich mit der zweiten Teilbotschaft versendet. Die Datensicherheit und Zuverlässigkeit der ersten Teilbotschaft kann dann vorteilhaft über die zweite Teilbotschaft erfolgen. Dadurch werden die zu übertragende Datenmenge der ersten Teilbotschaft und somit die Kanallast deutlich reduziert, da ein im Stand der Technik üblicher Security Header einen wesentlichen Anteil an der Datenmenge der übertragenen Botschaften besitzt. Dies erlaubt auch eine höhere mögliche Wiederholfrequenz beim Senden der ersten Teilbotschaft und somit eine frühere mögliche Verarbeitung durch den Empfänger.

Bevorzugt ist es vorgesehen, dass die erste Teilbotschaft zumindest anteilig verkehrssicherheitsrelevanter Informationen enthält. Das Übertragen verkehrssicherheitsrelevanter Informationen ist eine wesentliche Voraussetzung für die sinnvolle Nutzung eines Fahrzeug-zu-X-Kommunikationssystems, dessen Anwendungsziel die Erhöhung der Verkehrssicherheit ist. Nur auf diesem Weg erhalten die Fahrerassistenzsysteme der verschiedenen am Verkehrsgeschehen beteiligten Fahrzeuge einen Informationssatz, welcher die Basis für unfallvermeidende Eingriffe in die Fahrzeugsteuerung darstellen kann.

In einer weiteren bevorzugten Ausführungsform ist es vorgesehen, dass die zweite Teilbotschaft zumindest anteilig datensicherheitsrelevante Informationen enthält. Indem die zweite Teilbotschaft datensicherheitsrelevante Informationen („Security Header”) enthält, kann jederzeit die Zuverlässigkeit der zweiten Teilbotschaft verifiziert werden. Über die Zuverlässigkeit der zweiten Teilbotschaft wiederum ist eine Sicherheitsbewertung der ersten Teilbotschaft möglich. Somit können vorteilhaft die insgesamt übertragenen Daten auf ihre Zuverlässigkeit überprüft werden.

Zweckmäßigerweise ist es vorgesehen, dass die zweite Teilbotschaft mindestens eine verkehrssicherheitsrelevante Information umfasst. Daraus ergibt sich der Vorteil, dass eine verkehrssicherheitsrelevante Information direkt mit einer datensicherheitsrelevanten Information verknüpft ist und somit unmittelbar eine Datensicherheitsbewertung der verkehrssicherheitsrelevanten Information vorgenommen werden kann.

Außerdem ist es vorteilhaft, dass die Datensicherheitsbewertung der ersten Teilbotschaft mittels eines Vergleichs der in der zweiten Botschaft enthaltenen verkehrssicherheitsrelevanten Information mit der entsprechenden verkehrssicherheitsrelevanten Information der ersten Botschaft durchgeführt wird. Daraus ergibt sich der Vorteil, dass über die zweite Teilbotschaft ein bereits mittels eines Security Headers authentifizierter Dateninhalt zur Verfügung steht. Zudem wird die dem Vergleich zugrunde liegende verkehrssicherheitsrelevante Information, welche den in beiden Teilbotschaften identischen Informationsstrang darstellt, redundant übertragen. Ebenso ist es auch denkbar, den vollständigen Dateninhalt der ersten Teilbotschaft ein weiteres Mal, ggf. mit niedrigerer Wiederholfrequenz, über die zweite Teilbotschaft zu versenden.

Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung ist es vorgesehen, dass die erste Teilbotschaft keine datensicherheitsrelevanten Informationen enthält. Somit kann die Datenmenge der ersten Teilbotschaft vorteilhaft klein gehalten werden, was eine Übertragung mit hoher Wiederholfrequenz bzw. über Kanäle mit geringer Bandbreite erlaubt. So ist es auch denkbar, dass die erste Teilbotschaft in Form einer CAM (Cooperative Awareness Message) versendet wird, welche zumindest eine Positionsangabe und evtl. zusätzliche Informationen über Bewegungsrichtung, Geschwindigkeit, Fahrzeugart und Fahrzeugstatus enthält. Ein weiterer Vorteil ergibt sich im Hinblick auf die Informationsverarbeitung durch veraltete Fahrzeuge, die einen im Stand der Technik verwendeten, neuen Security Header nicht verarbeiten können. Diese Fahrzeuge erhalten über die erste Teilbotschaft keine für sie unnötigen Daten übermittelt und können die zweite Teilbotschaft ignorieren.

Außerdem ist es vorteilhaft, dass die datensicherheitsrelevanten Informationen ein digitales Zertifikat und/oder eine digitale Signatur und/oder weitere Datensicherheitsmittel umfassen. Dadurch ergibt sich der Vorteil, dass die Echtheit und Zuverlässigkeit der zweiten Teilbotschaft mittels einer in der Teilbotschaft selbst enthaltenen Information im Wesentlichen zweifelsfrei überprüft werden kann. Speziell im Fall der Verwendung von digitalen Zertifikaten oder Signaturen bietet sich zudem der Vorteil, dass diese in regelmäßigen Abständen oder auch im Fall der Entschlüsselung durch Unbefugte vergleichsweise einfach erneuert bzw. ersetzt werden können.

Weiterhin ist es bevorzugt, dass die wenigstens erste und zweite Teilbotschaft über unterschiedliche Fahrzeug-zu-X-Kommunikationskanäle übertragen werden. Dies bietet den Vorteil, dass beide Teilbotschaften gleichzeitig versendet und gleichzeitig empfangen werden können, wodurch eine sofortige Überprüfung der Zuverlässigkeit der ersten Teilbotschaft über den Vergleich mit der zweiten Teilbotschaft ermöglicht wird. Die zweite Teilbotschaft wiederum wird über einen Security Header authentifiziert. Vorteilhaft wird es somit auch ermöglicht, die zweite Teilbotschaft mit dem Security Header über eine zentrale Sicherheitsinstanz zu authentifizieren und ggf. sogar über diese zentrale Sicherheitsinstanz zu versenden. Somit kann die Datensicherheit noch weiter erhöht werden. Andererseits wird es Verkehrsteilnehmern, welche ohne Datensicherheitsvorkehrungen arbeiten, ermöglicht, ausschließlich die ungesicherten Daten über den Kommunikationskanal der ersten Teilbotschaft zu empfangen, wodurch diese weniger Rechenleistung benötigen, da sie den aufwendigen Security Header nicht verarbeiten müssen.

In einer weiteren bevorzugten Ausführungsform der Erfindung ist es vorgesehen, dass ein Fahrzeug-zu-X-Kommunikationskanal ein zur drahtlosen Datenübertragung geeignetes Frequenzband eines Fahrzeug-zu-X-Kommunikationsmittels ist. Durch die Verwendung von speziellen, zur Fahrzeug-zu-X-Kommunikation reservierten Kommunikationskanälen wird eine ungestörte und weitestgehend interferenzfreie Datenübertragung ermöglicht. Aber auch andere, nicht speziell reservierte Frequenzbereiche können zur Fahrzeug-zu-X-Kommunikation genutzt werden. Je nach Frequenz bzw. Wellenlänge des Kommunikationskanals ergeben sich unterschiedliche Vor- und Nachteile hinsichtlich der Übertragungsbandbreite und der Beugungseigenschaften der elektromagnetischen Wellen.

Weiterhin ist es bevorzugt, dass die wenigstens erste und zweite Teilbotschaft mit unterschiedlicher Wiederholfrequenz gesendet werden. Damit wird es ermöglicht, die Teilbotschaften abhängig von ihrer Datengröße und der verfügbaren Kommunikationsbandbreite mit weitestgehend optimal angepasster Frequenz zu versenden.

Weiterhin ist es insbesondere bevorzugt, dass die Wiederholfrequenz der ersten Teilbotschaft größer ist als die Wiederholfrequenz der zweiten Teilbotschaft. Die erste Teilbotschaft beinhaltet keinen datenlastigen Security Header und umfasst daher in der Regel eine deutlich kleinere Datenmenge als die zweite Teilbotschaft. Somit ergibt sich der Vorteil, dass die von der umfassten Datenmenge her kleinere Teilbotschaft mit höherer Wiederholfrequenz versendet werden kann. Dies wiederum erlaubt ein schnelleres Versenden einer verkehrssicherheitsrelevanten Information an andere Fahrzeuge und daher ein schnelleres Reagieren der empfangenden Fahrzeuge.

Vorzugsweise zeichnet sich das Verfahren dadurch aus, dass der Fahrzeug-zu-X-Kommunikationskanal zur drahtlosen Informationsübertragung zwischen Verkehrsteilnehmern, zwischen Infrastruktureinrichtungen und zwischen Verkehrsteilnehmern und Infrastruktureinrichtungen genutzt wird. Dies ermöglicht einen flexiblen Informationsaustausch zwischen den einzelnen Kommunikationsteilnehmern untereinander. Außerdem ergibt sich der Vorteil, dass die Infrastruktureinrichtungen mit einem übergeordneten Verkehrsdatenserver verbunden sein können und Informationen dieses Servers an die Fahrzeuge weiterleiten. Ebenso ist es möglich, dass eine Infrastruktureinrichtung eine von einem Fahrzeug empfangene Information über den Straßenzustand einer bestimmten Fahrbahnstelle empfängt, speichert und solange an vorbeifahrende Fahrzeuge sendet, bis sie eine anderslautende Information über den Zustand dieser Fahrbahnstelle empfängt.

Außerdem ist es vorteilhaft, dass die wenigstens erste und zweite Teilbotschaft mittels unterschiedlicher Fahrzeug-zu-X-Kommunikationsmittel übertragen werden. Dadurch ergibt sich der Vorteil, dass beide Botschaften im Wesentlichen völlig entkoppelt voneinander gesendet und empfangen werden können. Da beide Fahrzeug-zu-X-Kommunikationsmittel in der Regel über jeweils eigene Antennen verfügen, vermindert sich zusätzlich die Gefahr eines Übersprechens von einem Kommunikationskanal auf einen benachbarten Kommunikationskanal, welche beim gleichzeitigen Versenden der Botschaften über die selbe Antenne bzw. über das selbe Fahrzeug-zu-X-Kommunikationsmittel bestehen würde.

Bevorzugt zeichnet sich das erfindungsgemäße Verfahren dadurch aus, dass ein zur Übertragung der wenigstens ersten und zweiten Teilbotschaft genutztes Fahrzeug-zu-X-Kommunikationsmittel wenigstens eine der folgenden Kommunikationsverbindungen nutzt:

  • – WLAN-Verbindung, insbesondere nach IEEE 802.11,
  • – ISM-Verbindung (Industrial, Scientific, Medical Band), insbesondere im sub-GHz-Bereich,
  • – Infrarotverbindung und
  • – Mobilfunkverbindung.

Diese Verbindungsarten bieten dabei unterschiedliche Vor und Nachteile, je nach Art und Wellenlänge. WLAN-Verbindungen ermöglichen z. B. eine hohe Datenübertragungsrate. Eine Datenübertragung um ein Hindernis herum ist jedoch nur begrenzt möglich. ISM-Verbindungen hingegen bieten zwar typischerweise eine geringere Datenübertragungsrate, erlauben es aber, wenn ein sub-GHz Band benutzt wird, auch Daten um ein Sichthindernis herum auszutauschen. Infrarotverbindungen wiederum bieten eine geringe Datenübertragungsrate, die bei fehlender Sichtverbindung zudem stark eingeschränkt wird. Mobilfunkverbindungen schließlich werden durch Sichthindernisse nicht beeinträchtigt und bieten eine gute Datenübertragungsrate. Dafür ist eine Verbindung zu einer zentralen Infrastruktur zwingend notwendig. Durch die Kombination und gleichzeitige bzw. parallele Nutzung mehrerer dieser Verbindungsarten ergeben sich weitere Vorteile, da so die Nachteile einzelner Verbindungsarten ausgeglichen werden können.

Weiterhin ist es vorteilhaft, dass die mindestens erste und zweite Teilbotschaft jeweils mit einem Zeitstempel versehen werden. Bei gleichzeitigem Versenden von erster und zweiter Teilbotschaft kann so sehr einfach die Zuverlässigkeit der ersten Teilbotschaft anhand eines zur zweiten Teilbotschaft identischen Zeitstempels überprüft werden. Ebenso kann bei unterschiedlicher Sendefrequenz die zweite Teilbotschaft die Sendezeitpunkte einer Reihe von ersten Teilbotschaften beinhalten, was ebenfalls zur Bewertung der Zuverlässigkeit der ersten Teilbotschaften genutzt werden kann.

Außerdem ist es vorgesehen, dass die Datensicherheitsbewertung die erste Teilbotschaft als sicher bewertet, wenn die mindestens jeweils eine in der ersten und zweiten Teilbotschaft enthaltene verkehrssicherheitsrelevante Information identisch ist. Über den Vergleich einer in beiden Teilbotschaften enthaltenen verkehrssicherheitsrelevanten Information kann auf einfache Art und Weise auf die Zuverlässigkeit des gesamten Inhalts der ersten Teilbotschaft geschlossen werden. Sofern die in beiden Teilbotschaften enthaltene verkehrssicherheitsrelevante Information identisch ist, wird die gesamte erste Teilbotschaft als zuverlässig eingestuft. Da die zweite Teilbotschaft über Datensicherheitsmittel verfügt, kann die Datensicherheit der zweiten Teilbotschaft anhand der Datensicherheitsmittel überprüft werden. Die Zuverlässigkeit der zweiten Teilbotschaft authentifiziert somit die Zuverlässigkeit der ersten Teilbotschaft. Gemäß dem erfindungsgemäßen Verfahren wird stets davon ausgegangen, dass eine übertragene Botschaft zuverlässig ist, wenn sie ohne Security Header übertragen wird, sie jedoch über eine zugehörige Teilbotschaft mit Security Header authentifiziert werden kann.

Zweckmäßigerweise ist es vorgesehen, dass eine verkehrssicherheitsrelevante Information eine der folgenden Informationen ist:

  • – Geschwindigkeit des Senders,
  • – Position des Senders,
  • – Beschleunigung des Senders,
  • – Bewegungsrichtung des Senders,
  • – Art des Verkehrsteilnehmers, an welchem der Sender angeordnet ist,
  • – Fahrzeugstatus,
  • – Position einer Gefahrenstelle,
  • – Ort einer Gefahrenstelle und
  • – Art einer Gefahrenstelle.

Weitere verkehrssicherheitsrelevante Informationen im Sinne der Erfindung finden sich u. a. in der Standardisierung der Botschaftstypen der entsprechenden Vereinigungen, wie z. B. ETSI, CEN, SAE oder IEEE. Alle diese Informationen können erfindungsgemäß übertragen werden.

Diese Informationen umfassen sowohl eine Reihe wesentlicher Daten über das eigene Fahrzeug als auch Daten über erkannte Gefahrenstellen, die für andere Verkehrsteilnehmer von Bedeutung sind. Auf Basis dieser Informationen ist es den entsprechenden Fahrerassistenzsystemen eines die Daten empfangenden Verkehrsteilnehmers möglich, das eigene Fahrzeugverhalten derart anzupassen, dass selbst bei einer Unachtsamkeit des Fahrers Gefahrensituationen und Unfälle vermieden werden können.

Außerdem ist es vorteilhaft, dass die Verkehrsteilnehmer von der Art Fahrzeug, Fußgänger oder sonstiges, ein sich beweglich im Verkehrsgeschehen befindendes Objekt sind, wobei die Verkehrsteilnehmer zumindest mit einer Informationssendevorrichtung versehen sind. Indem nicht nur Fahrzeuge sondern auch Fußgänger und andere am Verkehrsgeschehen teilnehmende bewegliche Objekte wie z. B. Fahrradfahrer über eine erfindungsgemäße Informationssendevorrichtung verfügen, kann ein im Wesentlichen vollständiger Durchsatz und eine im Wesentlichen vollständige Informationsverteilung stattfinden. Je höher der Durchsatz des erfindungsgemäßen Verfahrens, desto mehr Informationen werden an eine desto größere Zahl von Empfängern versendet. Somit steigt die Zahl von Informationen, die zur Gefahrenvermeidung und Unfallvermeidung zur Verfügung steht, wodurch ein Zugewinn an Sicherheit erzielt wird.

Weiterhin ist es bevorzugt, dass die Infrastruktureinrichtungen stationäre Einrichtungen sind, welche sich stationär im Verkehrsgeschehen befinden, wobei die Infrastruktureinrichtungen zumindest mit einer Informationssendevorrichtung versehen sind. Durch das Miteinbeziehen von stationären Infrastruktureinrichtungen in das erfindungsgemäße Verfahren ergibt sich der Vorteil, dass ortsgebundene Informationen wie beispielsweise ein Fahrbahnzustand auch ortsgebunden versendet werden können. Dies ist besonders an wenig befahrenen Streckenabschnitten von Bedeutung, an denen die Verkehrsdichte zu gering ist, um eine ortsgebundene Information kontinuierlich von einem Verkehrsteilnehmer an den nächsten weitergeben zu können. Ohne das Festhalten in einer ortsgebundenen Infrastruktureinrichtung würde die Information sonst verloren gehen, da nicht ständig ein mobiler Verkehrsteilnehmer zur Verbreitung der Information vor Ort ist.

Die vorliegende Erfindung betrifft weiter ein System zur Übertragung von Fahrzeug-zu-X-Botschaften, wobei das System eine Informationssendevorrichtung, eine Informationsempfangsvorrichtung, Informationsvergleichsmittel und Datensicherheitsbewertungsmittel umfasst. Das erfindungsgemäße System zeichnet sich dadurch aus, dass die Datensicherheitsbewertungsmittel eine erste Teilbotschaft als sicher einstufen, wenn die Informationsvergleichsmittel mindestens eine jeweils in der ersten und einer zweiten Teilbotschaft enthaltene verkehrssicherheitsrelevante Information als identisch erkennen. Dies erlaubt eine einfache und schnelle Datensicherheitsbewertung der ersten Teilbotschaft, ohne dass diese über einen datenlastigen und verarbeitungsaufwändigen Security Header verfügt.

Die erfindungsgemäße Informationssendevorrichtung zeichnet sich dadurch aus, dass die Informationssendevorrichtung zum parallelen Senden der mindestens ersten und zweiten Teilbotschaft über unterschiedliche Fahrzeug-zu-X-Kommunikationskanäle und/oder über unterschiedliche Fahrzeug-zu-X-Kommunikationsmittel ausgeführt ist. Daraus ergibt sich der Vorteil, dass beide Teilbotschaften unabhängig voneinander versendet werden können, was ein großes Maß an Flexibilität beim Erstellen und Versenden der Botschaften ermöglicht.

Die erfindungsgemäße Informationsempfangsvorrichtung zeichnet sich dadurch aus, dass die Informationsempfangsvorrichtung zum parallelen Empfangen der mindestens ersten und zweiten Teilbotschaft über unterschiedliche Fahrzeug-zu-X-Kommunikationskanäle und/oder über unterschiedliche Fahrzeug-zu-X-Kommunikationsmittel ausgeführt ist. Damit wird es ermöglicht, beide Teilbotschaften gleichzeitig und unabhängig voneinander zu empfangen und zu verarbeiten. Dies wiederum ermöglicht eine beschleunigte Verarbeitung und ggf. Reaktion auf verkehrssicherheitsrelevante Informationen.

Weitere bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen und den nachfolgenden Beschreibungen von Ausführungsbeispielen an Hand von Figuren.

Es zeigt

1 Datenpakete, die über einen Fahrzeug-zu-X-Kommunikationskanal versendet werden,

2 zwei verschiedene Fahrzeug-zu-X-Kommunikationskanäle, die zum Versenden verschiedenartiger Datenpakete genutzt werden und

3 zwei Fahrzeuge, die über verschiedene Fahrzeug-zu-X-Kommunikationsmittel untereinander und mit einer Verkehrssicherheitszentrale Informationen austauschen.

In 1 ist die beispielhafte Datenauslastung eines einzelnen Fahrzeug-zu-X-Kommunikationskanals einer WLAN Sendevorrichtung nach IEEE 802.11p bei 5,9 GHz zu sehen. Die x-Achse stellt die Zeitachse t dar und die y-Achse gibt die Datenübertragungsrate D an. Datenpakete 1 werden mit einer Wiederholfrequenz von 10 Hz gesendet und stellen jeweils eine erste Teilbotschaft ohne Security Header dar. Da Datenpakete 1 keinen Security Header umfassen, sind sie kleiner als Datenpaket 2, welches ein Datensicherheitszertifikat beinhaltet. Datenpaket 2 ist in diesem Ausführungsbeispiel eine zweite Teilbotschaft. Datenpakete 1 können schneller versendet werden und nehmen auf der Zeitachse t weniger Raum ein als Datenpaket 2. Datenpaket 2 wird wegen seines Datenumfangs nur mit einer Frequenz von 1 Hz gesendet, um den zur Übertragung genutzten WLAN-Kommunikationskanal nicht unnötig auszulasten. Datenpakete 1 beinhalten ausschließlich verkehrssicherheitsrelevante Informationen. Beispielsgemäß werden mit Datenpaketen 1 die GPS-Koordinaten, die Bewegungsgeschwindigkeit und die Bewegungsrichtung des Senders übermittelt. Datenpaket 2 enthält neben dem Datensicherheitszertifikat noch die GPS-Koordinaten des Senders. Ein Empfänger kann nun durch Vergleich der GPS-Koordinaten beider Teilbotschaften erkennen, dass Teilbotschaft 1 und Teilbotschaft 2 vom selben Sender stammen. Über das Datensicherheitszertifikat in Teilbotschaft 2 kann vom Empfänger außerdem eine Bewertung des Senders vorgenommen werden. Sobald der Empfänger das Datensicherheitszertifikat verarbeitet hat und als gültig erkannt hat, stuft er den Sender als vertrauenswürdig ein. Dementsprechend vertraut der Empfänger auch den in Teilbotschaft 1 enthaltenen Informationen.

Gemäß einem weiteren Ausführungsbeispiel (1) erkennt ein Empfänger das in Datenpaket 2 enthaltene Datensicherheitszertifikat als ungültig. Der Sender wird daraufhin als nicht vertrauenswürdig eingestuft und die bereits empfangenen Datenpakete 1 werden nachträglich wieder verworfen.

In 2 ist beispielhaft die Datenauslastung zweier verschiedener Fahrzeug-zu-X-Kommunikationskanäle einer ISM-Sendevorrichtung bei 433 MHz zu sehen. Kanal 1 wird zum Versenden von Datenpaket 4 mit einer Wiederholfrequenz von 1 Hz genutzt, während über einen Kanal 2 Datenpakete 3 mit einer Wiederholfrequenz von 10 Hz gesendet werden. In diesem Ausführungsbeispiel sind Datenpakete 3 die ersten Teilbotschaften, welche keine datensicherheitsrelevanten Informationen transportieren. Datenpaket 4 ist eine zweite Teilbotschaft, welche eine Datensicherheitssignatur umfasst. Da die Datensicherheitssignatur eine vergleichsweise große Datenmenge umfasst, ist die Wiederholfrequenz von Datenpaket 4 kleiner als die Wiederholfrequenz von Datenpaketen 3. Die über Kanal 2 versendeten ersten Teilbotschaften enthalten neben Informationen über die GPS-Position, Bewegungsrichtung und Bewegungsgeschwindigkeit des Senders zusätzlich Informationen über den Fahrzeugstatus und den erkannten Fahrbahnzustand. Die über Kanal 1 versendete zweite Teilbotschaft enthält neben der Datensicherheitssignatur den kompletten Dateninhalt der ersten Teilbotschaft. Ein Empfänger beider Teilbotschaften kann zunächst über die Datensicherheitssignatur der zweiten Teilbotschaft feststellen, dass die zweite Teilbotschaft vertrauenswürdig ist. Über einen Vergleich der verkehrssicherheitsrelevanten Informationen der ersten Teilbotschaft mit den identischen verkehrssicherheitsrelevanten Informationen der zweiten Teilbotschaft stellt der Empfänger anschließend fest, dass der Sender vertrauenswürdig ist. Da der Sender somit als vertrauenswürdig eingestuft wurde, werden Datenpakete 3 sofort nach dem Empfang von den entsprechenden Fahrzeugsystemen verarbeitet. Durch die höhere Wiederholfrequenz von Datenpaketen 3 kann der Empfänger somit schneller auf evtl. kritische Botschaften in einem Datenpaket 3 reagieren, ohne zuvor jeweils eine Datensicherheitsüberprüfung durchführen zu müssen.

In einem weiteren Ausführungsbeispiel (2) ist der Empfänger ein veraltetes Fahrzeug, das nicht fähig ist, die vom Sender versendete Datensicherheitssignatur, welche in Datenpaket 4 enthalten ist, zu verarbeiten. Da Kanal 1 beispielsgemäß ausschließlich zum Versenden von datensicherheitsrelevanten Informationen genutzt wird, blendet der Empfänger sämtliche Kommunikation über Kanal 1 aus und verarbeitet nur noch Informationen, welche über Kanal 2 empfangen werden. Somit spart der Empfänger Rechenkapazität ein. Über ein Update in einer Werkstatt kann der Empfänger seine Datensicherheitsmittel aktualisieren und anschließend wieder an der Kommunikation über Kanal 1 teilnehmen.

Gemäß einem weiteren in 2 dargestellten Ausführungsbeispiel umfasst Datenpaket 4 nicht alle in Datenpaketen 3 beinhalteten verkehrssicherheitsrelevanten Informationen, sondern lediglich einen Ausschnitt dieser Informationen. Wenn ein Empfänger beide Datenpakete (3 und 4) vergleicht und einen in beiden Datenpaketen enthaltenen, identischen Informationsausschnitt erkennt, stuft er die in Datenpaket 3 enthaltenen Informationen und den Sender als zuverlässig ein. Grundlage dieser Einstufung ist eine in Datenpaket 4 enthaltene und zuvor als gültig erkannte Datensicherheitssignatur. Um die Datensicherheit weiter zu erhöhen, wird in Datenpaket 4 ein stets wechselnder Ausschnitt der verkehrssicherheitsrelevanten Informationen aus Datenpaketen 3 versendet. Beim ersten Senden von Datenpaket 4 besteht die verkehrssicherheitsrelevante Information aus den GPS-Koordinaten des Senders. Beim zweiten Senden hingegen ist die verkehrssicherheitsrelevante Information die Geschwindigkeit des Senders. Beim dritten Senden ist es die Bewegungsrichtung. Nach einem Durchlauf aller verkehrssicherheitsrelevanten Informationen aus Datenpaket 3 in Datenpaket 4 beginnt der Durchlauf von vorne. In einem weiteren Ausführungsbeispiel (2) der Erfindung findet der Durchlauf der in Datenpaket 4 enthaltenen verkehrssicherheitsrelevanten Informationen nicht in einer bestimmten Reihenfolge sondern zufällig statt.

Gemäß einem weiteren Ausführungsbeispiel (2) der Erfindung ist die Anzahl der in Datenpaket 4 enthaltenen verkehrssicherheitsrelevanten Informationen zufällig.

Gemäß einem weiteren Ausführungsbeispiel (2) der Erfindung werden in Datenpaket 4 diejenigen Informationen gesendet, denen die die höchste Priorität zuerkannt wird. Beispielsgemäß handelt es sich um die Daten, die seit dem letzten Sendezyklus den stärksten Veränderungen unterlegen waren.

In 3 sind Verkehrsdatenserver 5, Fahrzeug 6 und Fahrzeug 7 abgebildet. Verkehrsdatenserver 5 ist über UMTS-Antenne 51 an ein UMTS-Kommunikationsnetz angebunden und steht in Verbindung zu Fahrzeug 6 und Fahrzeug 7, die über UMTS-Antennen 61 und 71 verfügen. Fahrzeug 6 verfügt außerdem über WLAN-Antenne 62 und Fahrzeug 7 verfügt außerdem über WLAN-Antenne 72. Über WLAN-Antennen 62 und 72 sowie über UMTS-Antennen 61 und 71 ist eine Kommunikation der Fahrzeuge untereinander möglich. Fahrzeug 6 sendet über WLAN-Antenne 62 eine erste Teilbotschaft an Fahrzeug 7. Die erste Teilbotschaft enthält die GPS-Position von Fahrzeug 6, die Geschwindigkeit von Fahrzeug 6 und eine Warnung über Fahrbahnglätte. Eine zweite Teilbotschaft wird von Fahrzeug 6 über die UMTS-Antenne versendet und sowohl von Verkehrsdatenserver 5 als auch indirekt über die UMTS-Infrastruktur von Fahrzeug 7 empfangen. Diese zweite Teilbotschaft enthält beispielsgemäß alle Informationen der ersten Teilbotschaft sowie ein Datensicherheitszertifikat. Fahrzeug 7 empfängt beide Teilbotschaften und erkennt das Datensicherheitszertifikat der zweiten Teilbotschaft als gültig. Da ein Vergleich der in beiden Teilbotschaften enthaltenen verkehrssicherheitsrelevanten Informationen eine exakte Übereinstimmung ergibt, wird Fahrzeug 6 als vertrauenswürdiger Sender eingestuft. Gleichzeitig verarbeitet auch Verkehrsdatenserver 5 die empfangenen Daten. Neben einer Gültigkeitsprüfung des enthaltenen Datensicherheitszertifikats werden auch die verkehrssicherheitsrelevanten Daten überprüft. Die Überprüfung des Datensicherheitszertifikats ergibt, dass dieses gültig ist. Eine Überprüfung der verkehrssicherheitsrelevanten Daten ist durch Verkehrsdatenserver5 jedoch nur eingeschränkt möglich, da dieser nicht in der Lage ist, die erste Teilbotschaft zu empfangen. Somit ist ein Vergleich der beiden Teilbotschaften, der in Fahrzeug 7 zur Einstufung des Senders als vertrauenswürdig geführt hat, in Verkehrsdatenserver 5 nicht möglich. Verkehrsdatenserver 5 überprüft stattdessen die Plausibilität der verkehrssicherheitsrelevanten Daten der zweiten Teilbotschaft. Eine Überprüfung von GPS-Daten ist mittels einer Ortsbestimmung über das UMTS-Netz zwar mit Ungenauigkeiten behaftet, aber möglich. Diese Überprüfung führt zu einer ersten Abweichung des in der zweiten Teilbotschaft gesendeten Datensatzes mit den von Verkehrsdatenserver 5 ermittelten Daten. Eine mittels der UMTS-Position ermittelte Geschwindigkeit von Fahrzeug 6 ist ebenfalls mit großen Ungenauigkeiten behaftet, ergibt im Rahmen der Bestimmungstoleranz aber eine Übereinstimmung mit der gesendeten Geschwindigkeit. Die gesendete Warnung über eine von Fahrzeug 6 erkannte Fahrbahnglätte kann von Verkehrsdatenserver 5 hingegen ebenfalls nicht verifiziert werden, da eine im Gebiet von Fahrzeug 6 befindliche Wetterstation (nicht abgebildet) Temperaturen von über 25°C an Verkehrsdatenserver 5 übermittelt. Von Verkehrsdatenserver 5 wird daraufhin auf eine Entschlüsselung der im Datensicherheitszertifikat verwendeten Kryptographie und vorsätzlichen Datenmissbrauch geschlossen. In Folge wird das von Fahrzeug 6 verwendete Datensicherheitszertifikat durch Verkehrsdatenserver 5 gesperrt („Revocation”) und eine diesbezügliche Warnung über UMTS an Fahrzeug 7 ausgegeben. Fahrzeug 7 verwirft daraufhin alle von Fahrzeug 6 empfangenen Daten und stuft Fahrzeug 6 als nicht vertrauenswürdig ein.

ZITATE ENTHALTEN IN DER BESCHREIBUNG

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.

Zitierte Patentliteratur

  • DE 102008060231 A1 [0003, 0004]
  • DE 2009045816 A1 [0004, 0004]
  • DE 102008061304 A1 [0005]

Zitierte Nicht-Patentliteratur

  • WLAN-Standards 802.11a/b/g/n [0003]
  • WLAN-Standards 802.11p [0003]
  • IEEE 802.11 [0021]
  • IEEE 802.11p [0038]