Title:
Dezentrale Datenspeicherung
Kind Code:
A1


Abstract:

Verfahren zur Speicherung von vorzugsweise besonders schutzwürdigenden Daten, z.B. sicherheitsrelevanten oder personenbezogenen Daten, in einem Netzwerk, insbesondere einem Außenleuchtennetzwerk, wobei das Netzwerk eine Mehrzahl von jeweils einer insbesondere als Außenleuchte ausgebildeten Leuchte zugehörigen, dezentralen EDV-Einheiten aufweist, die jeweils Mittel zur Kommunikation aufweisen, wobei zumindest einem Teil der EDV-Einheiten jeweils wenigstens eine Sensoranordnung zugeordnet ist und die Sensoranordnung einer ersten EDV-Einheit Daten erfasst, wobei ein Datensatz (1), der die von der Sensoranordnung einer ersten EDV-Einheit erfassten Daten umfasst oder aus diesen Daten erzeugt wurde, auf mehreren der dezentralen EDV-Einheiten (2, 12, 3, 13, 4, 14, 5, 15, 6, 7, 8, 9, 10, 11) verteilt gespeichert sowie nach der Verteilung auf der ersten EDV-Einheit (5) zumindest teilweise gelöscht wird. Des Weiteren betrifft die Erfindung eine zur Durchführung des Verfahrens geeignete Leuchte und ein Netzwerk solcher Leuchten.
embedded image




Inventors:
Brand, Daniel (30900, Wedemark, DE)
Schröder, Helmut (65201, Wiesbaden, DE)
Application Number:
DE102017102712A
Publication Date:
08/16/2018
Filing Date:
02/10/2017
Assignee:
Schréder S.A. (Brüssel, BE)
International Classes:



Foreign References:
200600261642006-02-02
201303467482013-12-26
201402939932014-10-02
Other References:
Sensornetz. In: Wikipedia, Die freie Enzyklopädie. Bearbeitungsstand: 22. November 2016. URL: https://de.wikipedia.org/w/index.php?title=Sensornetz&oldid=159963872 [abgerufen am 30. November 2017]
Attorney, Agent or Firm:
Busse & Busse Patent- und Rechtsanwälte Partnerschaft mbB, 49084, Osnabrück, DE
Claims:
Verfahren zur Speicherung von vorzugsweise besonders schutzwürdigenden Daten, z.B. sicherheitsrelevanten oder personenbezogenen Daten, in einem Netzwerk, insbesondere einem Außenleuchtennetzwerk, wobei das Netzwerk eine Mehrzahl von jeweils einer insbesondere als Außenleuchte ausgebildeten Leuchte zugehörigen, dezentralen EDV-Einheiten aufweist, die jeweils Mittel zur Kommunikation aufweisen, wobei zumindest einem Teil der EDV-Einheiten jeweils wenigstens eine Sensoranordnung zugeordnet ist und die Sensoranordnung einer ersten EDV-Einheit Daten erfasst, dadurch gekennzeichnet, dass ein Datensatz (1), der die von der Sensoranordnung einer ersten EDV-Einheit erfassten Daten umfasst oder aus diesen Daten erzeugt wurde, auf mehreren der dezentralen EDV-Einheiten (2, 12, 3, 13, 4, 14, 5, 15, 6, 7, 8, 9, 10, 11) verteilt gespeichert sowie nach der Verteilung auf der ersten EDV-Einheit (5) zumindest teilweise gelöscht wird.

Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die erfassten Daten temporär in der ersten EDV-Einheit (5) gespeichert werden.

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der komplette Datensatz (1) nur temporär gespeichert wird.

Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Datensatz (1) vor oder während der Verteilung in Datensatzteile (A, B, C, D) zerlegt wird.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Datensatzteile (A, B, C, D) durch Kopieren von Teilen des Datensatzes (1) erzeugt werden.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Datensatz (1) verschlüsselt verteilt gespeichert wird.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Datensatz (1) auf eine Anfrage einer übergeordneten Instanz auf einer EDV-Einheit, insbesondere der ersten EDV-Einheit (5), oder auf der übergeordneten Instanz zusammengeführt wird.

Verfahren nach Anspruch 6 und 7, dadurch gekennzeichnet, dass von der übergeordneten Instanz mindestens ein zur Entschlüsselung notwendiger Schlüssel an die EDV-Einheit (5) übertragen wird.

Verfahren nach einem der vorherigen Ansprüche unter Einschluss von Anspruch 6, dadurch gekennzeichnet, dass ein Schlüssel zur Verschlüsselung des Datensatzes (1) von einer/der übergeordneten Instanz zur Verfügung gestellt oder automatisiert generiert wird.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die zu einem Zeitpunkt aufgenommenen Daten der Sensoranordnung auf der ersten oder einer weiteren EDV-Einheit zu einer Mehrzahl von Datensätzen verarbeitet werden.

Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Datensätze der Mehrzahl von Datensätzen aufgrund einer Kategorisierung jeweils unterschiedlich stark verschlüsselt auf den EDV-Einheiten (2, 12, 3, 13, 4, 14, 5, 15, 6, 7, 8, 9, 10, 11) verteilt gespeichert wird.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass zu zumindest einem weiteren, späteren Zeitpunkt aufgenommenen Daten gemeinsam mit den vorherigen Daten zur Erstellung des Datensatzes (1) verwendet werden.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass das Netzwerk als Mesh-Netzwerk ausgebildet ist.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die EDV-Einheiten (2, 12, 3, 13, 4, 14, 5, 15, 6, 7, 8, 9, 10, 11) jeweils einen Controller zum Betreiben einer Leuchte umfassen, über den die NetzwerkKommunikation erfolgt.

Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die Erstellung und/oder Verteilung des Datensatzes (1) über denselben oder einen weiteren Controller der Leuchte erfolgt.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass jeder Teil des Datensatzes (1) mit einer UID und/oder einem Zeitstempel versehen wird.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der Datensatz (1) vor der Verteilung komprimiert wird.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Sensoranordnung eine 2D- oder eine 3D-Kamera aufweist, deren Daten insbesondere von einer Bildverarbeitungssoftware der EDV-Einheit ausgewertet werden.

Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Verteilung des Datensatzes (1) von der ersten EDV-Einheit und zumindest einer weiteren EDV-Einheit vorgenommen wird.

Leuchte zur Durchführung eines Verfahrens nach einem der vorherigen Ansprüche, wobei die Leuchte eine EDV-Einheit (2, 12, 3, 13, 4, 14, 5, 15, 6, 7, 8, 9, 10, 11) mit zumindest einem Controller zum Betrieb der Leuchte und Mittel zur Kommunikation mit weiteren EDV-Einheiten und/oder einer übergeordneten Instanz aufweist sowie eine der Leuchte zugeordnete eine Sensoranordnung umfasst, dadurch gekennzeichnet, dass der Controller dazu ausgebildet ist, einen Datensatz, der von der Sensoranordnung einer ersten EDV-Einheit erfasste Daten enthält oder aus diesen Daten erzeugt wurde, auf mehrere der weiteren EDV-Einheiten (2, 12, 3, 13, 4, 14, 5, 6, 7, 8, 9, 10, 11) zu verteilen und anschließend auf dieser ersten EDV-Einheit zumindest teilweise zu löschen.

Netzwerk von Leuchten, gekennzeichnet durch eine Mehrzahl von Leuchten gemäß Anspruch 20.

Description:

Die vorliegende Erfindung betrifft ein Verfahren zur Speicherung von besonders zu schützenden Daten in einem Netzwerk, insbesondere einem Außenleuchtennetzwerk, wobei das Netzwerk eine Mehrzahl von jeweils einer insbesondere als Außenleuchte ausgebildeten Leuchte zugehörigen, dezentralen EDV-Einheiten aufweist, die jeweils Mittel zur Kommunikation aufweisen, wobei zumindest einem Teil der EDV-Einheiten jeweils wenigstens eine Sensoranordnung zugeordnet ist und die Sensoranordnung einer ersten EDV-Einheit Daten erfasst. Die Sensoranordnung arbeitet somit als Datenquelle. Bei den Daten handelt es sich vorzugsweise um besonders schutzwürdige, insbesondere sicherheitsrelevante und/oder personenbezogene Daten. Sicherheitsrelevante Daten können z.B. Daten von Nummernschildern von Fahrzeugen sein. Zu den besonders schutzwürdigen Daten gehören insbesondere Daten von Personen, welche biometrische Daten enthalten oder aus denen biometrische Daten gewonnen werden können. Dezentrale EDV-Einheiten sind EDV-Einheiten, die in einem Netzwerk an verschiedenen Positionen und somit räumlich voneinander getrennt angeordnet sind, beispielsweise entsprechend dem Abstand von Straßenleuchten entlang einer Straße.

Leuchtennetzwerke, wie sie beispielsweise zur Beleuchtung von Straßenzügen oder Parkplätzen zum Einsatz kommen können mit Sensoren versehen sein, die jeweils einer EDV-Einheit zugeordnet. Dies umfasst sowohl Sensoren, die drahtlos über Funk angebunden oder unmittelbar in die EDV-Einheit kabelgebunden integriert sind. Beispielsweise kann ein Leuchtenkopf einer Außenleuchte eine Kamera aufweisen, die den beleuchteten Bereich überwacht und über Kabel der EDV-Einheit zugeordnet und somit Teil dieser ist. Die EDV-Einheiten sind durch die Mittel zur Kommunikation in der Lage, unmittelbar oder mittelbar z.B. über einen Server oder weitere EDV-Einheiten miteinander zu kommunizieren. Vorzugsweise können alle EDV-Einheiten eines Netzwerks miteinander kommunizieren. Es kann jedoch z.B. netzwerkspezifisch auch nur um eine Teilmenge der EDV-Einheiten eines Netzwerks handeln, die miteinander kommunizieren.

Netzwerke beispielsweise von Leuchten für Straßen oder Wege werden weiterhin zunehmend mit Sensoren ausgestattet, die sowohl Betriebsdaten der Leuchte wie auch Umgebungsdaten aufnehmen können, die für die Betreiber oder Inhaber der Leuchtennetzwerke interessant sind. Beispielsweise können Verkehrsdichteinformationen zur Steuerung der Lichtstärke oder Temperatur- und andere Umweltdaten aufgenommen werden. Die Speicherung solcher Daten kann temporär lokal erfolgen oder nach dem Transfer der Daten auf einem zentralen Speichermedium. Beispielsweise können die Daten von Verkehrskameras zu einer Verkehrsleitstelle übermittelt werden. Entsprechend den zunehmend einer Leuchte zugewiesenen Aufgaben weisen diese zunehmend komplexe, zugehörige EDV-Einheiten auf, die beispielsweise in einem Leuchtenkopf integriert und/oder an diesen angesetzt sind.

Bei der Aufnahme besonders schutzwürdiger Daten, insbesondere sicherheitsrelevanter und/oder personenbezogener Daten sind in unterschiedlichen Ländern unterschiedliche, rechtliche Rahmenbedingungen z.B. im Rahmen einer Vorratsdatenspeicherung zu berücksichtigen. Hierbei wird nicht immer gewünscht oder gestattet, die von einer Datenquelle kontinuierlich oder abschnittsweise erzeugten Daten an einen zentralen Server zu übermitteln, da bei einer Vielzahl von Datenquellen hiermit ein hohes Datentransfervolumen einhergeht.

Darüber hinaus kann die Speicherung direkt nutzbarer personenbezogener Daten an dem Ort der Datenquelle und/oder im Wege der Vorratsdatenspeicherung rechtlich problematisch sein, da oftmals für die Speicherung personenbezogener Daten an einem Ort bestimmte Sicherheitsvorkehrungen getroffen werden müssen. Der Verlust der Datenquelle durch Beschädigung oder Entwendung führt gleichwohl zu dem Verlust der Daten mit unter Umständen rechtlichen Konsequenzen für den Eigentümer der Datenquelle.

Es ist Aufgabe der vorliegenden Erfindung, die von einer Datenquelle in einem insbesondere als Leuchtennetzwerk ausgebildeten Netzwerk aufgenommenen Daten sicher und gleichwohl nicht direkt nutzbar zu speichern und die vorbeschriebenen Probleme zu vermeiden.

Die Aufgabe wird gelöst durch ein Verfahren gemäß Anspruch 1 sowie durch eine zur Durchführung des im Anspruch 1 festgelegten Verfahrens ausgebildete Leuchte gemäß Anspruch 20 bzw. einem Netzwerk von entsprechenden Leuchten gemäß Anspruch 21. Vorteilhafte Ausgestaltungen der Erfindung finden sich in den auf diese Ansprüche rückbezogenen Unteransprüchen sowie der nachfolgenden Beschreibung.

Erfindungsgemäß ist vorgesehen, dass ein Datensatz, der von der Sensoranordnung einer ersten EDV-Einheit erfasste Daten umfasst bzw. enthält oder aus diesen Daten erzeugt wurde, auf mehreren der dezentralen EDV-Einheiten verteilt und insbesondere redundant gespeichert wird sowie nach der Verteilung und insbesondere anschließend an die Speicherung auf den mehreren dezentralen EDV-Einheiten auf dieser ersten EDV-Einheit zumindest teilweise gelöscht wird. Gegebenenfalls werden ein oder mehrere und insbesondere nicht zusammenhängende Teile des Datensatzes auch auf der ersten EDV-Einheit gespeichert und entsprechend nicht gelöscht. Auf keiner der EDV-Einheiten des Netzwerks ist der Datensatz, dessen Datensatzteile ggf. kopiert und verteilt wurden, nach der Löschung und bis zu seiner Wiederherstellung vollständig vorhanden.

Mit dem erfindungsgemäßen Verfahren wird es möglich, ein aufzubauendes oder bereits vorhandenes Netzwerk zur Erhebung und Speicherung von insbesondere schutzwürdigen Daten zu nutzen, ohne dass die Daten ständig an eine zentrale Instanz über oftmals teure z.B. GSM-Verbindungen übermittelt werden, und dort im Rahmen einer Vorratsdatenspeicherung für Dritte unbeschränkt zur Verfügung stehen. Die insbesondere schutzwürdigen Daten können somit nur anlassbezogen aus dem Netzwerk abgerufen werden und sind aufgrund der dezentralen Speicherung sicher verwahrt. Da auf lokaler oder regionaler (Netzwerk-) Ebene die Kommunikationskosten in der Regel niedriger sind, werden ebenfalls Betriebskosten gespart.

Der Datensatz kann Daten jeglicher Art enthalten. Hierbei kann es sich um Daten eines Sensors oder mehrerer Sensoren einer Leuchte handeln. Als Sensoren einer Sensoranordnung kommen zum Beispiel Umgebungsdaten wie Temperatur, Feuchte, Lautstärke, Feinstaub und/oder Stickoxide erfassende Sensoren oder elektromagnetische Wellen verarbeitende Sensoren wie 1D-, 2D und/oder 3D-digitalisierte Daten erzeugende, insbesondere optische Sensoren zum Einsatz. Auch kann es sich um Schallsensoren zur Erfassung akustischer Signale, insbesondere von Sprache, handeln. Bei den Daten kann es sich z.B. um Daten von Nummernschildern handeln oder von einer im Bereich der Sensoren einer Sensoranordnung aufgenommenen und ggf. erkannten Person oder sogar um Bewegungsabläufe oder Filmsequenzen einer bestimmten Zeit handeln, die von einer Bildverarbeitungssoftware der EDV-Einheit ausgewertet werden. Ebenfalls kann es sich um durch Tracking von Smartphone-Daten z.B. über Bluetooth-, Wifi-, oder NFC-Beacons erworbene Daten handeln.

Insbesondere werden die erfassten Daten aus Sicherheitsgründen nur temporär in der ersten EDV-Einheit gespeichert, insbesondere nur solange, bis sie zu einem Datensatz verarbeitet wurden. Die erfassten Daten können gemäß einer weiteren Ausbildung auch in der Sensoranordnung selbst außerhalb der EDV-Einheit, wenn die Sensoreinheit nicht unmittelbar in die EDV-Einheit integriert ist, temporär gespeichert werden, werden jedoch auch dort spätestens nach der Verteilung der Datensatzteile gelöscht.

Ebenfalls wird der komplette Datensatz, der die aufgenommen Daten zumindest umfasst oder den erfassten Daten entsprechen kann, nur temporär und zwar vorzugsweise in der EDV-Einheit, gespeichert.

Es kann aus Gründen der EDV-Struktur vorteilhaft sein, wenn der Datensatz vor der Verteilung in Datensatzteile zerlegt wird und somit die einzelnen Datensatzteile sukzessive abgespalten werden. Insbesondere werden die Datensatzteile hierbei oder auch allgemein durch Kopieren von Teilen des Datensatzes erzeugt werden. Gemäß der zweiten Alternative verbleibt der Datensatz bis zu seiner Löschung vollständig, so dass nach der Zerlegung deutlich mehr Speicherplatz benötigt wird als in der ersten Variante, in der der Datensatz bereits während der Zerlegung bezüglich seines Speichervolumens reduziert wird. Es versteht sich, dass die Zerlegung und Verteilung in das Netzwerk miteinander verwoben sein kann, so dass ein bereits abgespaltener Datensatzteil bereits verteilt (und ggf. vorher verschlüsselt) wird, während noch andere Datensatzteile auf der ersten EDV-Einheit erzeugt werden.

Die mit einer Sensoranordnung versehenen EDV-Einheiten sind vorzugsweise mit einer Bildverarbeitungssoftware versehen, die die von einer Kamera aufgenommenen Daten auswertet. Die hiermit gewonnenen Datensätze können dann insbesondere weniger Speicherbedarf benötigen als die unbehandelten und insbesondere nicht segmentierten Daten.

Beispielsweise umfasst die Sensoranordnung einen Bewegungsmelder und eine Kamera, so dass bei Detektion einer Bewegung die Kamera ein Bild oder eine Bildsequenz macht. Um Speicherplatz zu sparen, kann erfindungsgemäß gegebenenfalls ergänzend vorgegeben werden, in welchen minimalen Zeitabständen aufeinander folgende Bilder oder Bildsequenzen aufgenommen werden.

Der Datensatz wird in der EDV-Einheit entweder direkt nach seiner Erfassung geteilt oder aus den aufgenommenen Daten wird zunächst ein Datensatz (bearbeiteter Daten) erzeugt, der anschließend in Datensatzteile zerlegt wird. Diese Datensatzteile werden insgesamt oder in zumindest überwiegenden Anteilen auf die anderen EDV-Einheiten des Leuchtennetzwerks verteilt und dort gespeichert. Gegebenenfalls können wie beschrieben ein oder wenige Datensatzteile auf der ersten EDV-Einheit verbleiben. Die Zerteilung oder Zerlegung eines Datensatzes erfolgt vorzugsweise so, dass aus einem einzelnen Datensatzteil keine Rückschlüsse auf den Inhalt des Datensatzes gewonnen werden können. Es kann sich zum Beispiel um eine Zerlegung in zufällig ausgewählte, aus nicht zusammenhängenden Datenbereichen zusammengestellte Datensatzteile handeln, zu denen zusätzlich eine Zuordnungsvorschrift erstellt wird. Gleichfalls kann es sich alternativ oder ergänzend um verschlüsselte Teile des Datensatzes handeln. Bevorzugt wird der Datensatz aufgeteilt mit anschließender Verschlüsselung der Datensatzteile, bevorzugt lokal am Ort der Aufteilung. Alternativ kann der Datensatz erst lokal am Ort Datengenerierung verschlüsselt und anschließend aufgeteilt werden.

Je nach Art der Aufteilung und Speicherung können die Daten redundant gespeichert werden, so dass eine Datensicherung z.B. ähnlich einem Raid 5-Speicherverbund realisiert wird. Alternativ können die Datenteile auch gespiegelt, ähnlich einem RAID 1 oder RAID 2-Verbund, d.h. mehrfach identisch im Leuchtennetzwerk verteilt gespeichert werden. Ein möglicherweise datenschutzrechtlich kritischer Datensatz wird somit in der EDV-Einheit, z.B. einer Leuchte, nur temporär zum Zeitpunkt des Erfassens bzw. unmittelbar danach vollständig behalten. Er wird dann umgehend oder gegebenenfalls nach einer vorgebbaren Zeitspanne dergestalt verteilt, dass beispielsweise kein Datensatz durch einen Ausfall einer EDV-Einheit vollständig vernichtet oder durch Entwendung einer EDV-Einheit insbesondere entwendet werden kann.

Eine oder mehrere Vorschriften für die Zerlegung und Verteilung der Daten, nachfolgend auch Zerlegungs- bzw. Verteilungsschlüssel genannt, kann an einer zentralen, vertrauenswürdigen Stelle gespeichert werden. Hierbei kann es sich um einen speziell eingerichteten Server, beispielsweise des Betreibers des Netzwerks oder einer insbesondere speziell bestimmbaren vertrauenswürdigen Instanz (z.B. einen Trust-Center) handeln. Der Zerlegungs- und/oder Verteilungsschlüssel kann vorgegeben und/oder automatisiert generiert werden. Sowohl der Verteilungsschlüssel wie auch der Entschlüsselungsschlüssel können zum Schutz vor Missbrauch ebenfalls zerlegt und an verschiedene Instanzen verteilt werden.

Durch die Verteilung der Daten wird zwar lokal ein höheres Datenaufkommen erzeugt, gleichwohl wird aus dem lokalen oder regionalen Netzwerk heraus in Richtung des Betriebsservers des Netzwerks die Kommunikation minimiert. Sofern der Datensatz zur Verfügung gestellt werden muss, beispielsweise auf behördliche Anordnung oder einer Anfrage einer vertrauenswürdigen Person oder Instanz, kann der Datensatz entweder auf der EDV-Einheit, von der er verteilt wurde, auf einer beliebigen anderen EDV-Einheit oder auf einer übergeordneten Instanz wieder zusammengesetzt werden. Hierfür können die jeweiligen Teile entsprechend dem Zerlegungs- bzw. Verteilungsschlüssel an die zusammenführende Instanz übermittelt wurden.

Oftmals werden die Datensatzteile drahtlos zwischen z.B. einzelnen Leuchten und deren EDV-Einheiten übertragen. Um ein ungewünschtes Auslesen der Datensätze und/oder deren Teile zu vermeiden, kann der Datensatz oder die Datensatzteile zusätzlich verschlüsselt werden. Entsprechend kann der Datensatz oder auch ein Datensatzteil bereits verschlüsselt verteilt gespeichert werden. Ergänzend kann die Verteilung über eine verschlüsselte Kommunikation erfolgen.

Vorzugsweise kann ein Schlüssel zur Verschlüsselung des Datensatzes von einer/der übergeordneten Instanz zur Verfügung gestellt und/oder automatisiert generiert werden. Gleiches gilt für dann für die Entschlüsselungsvorschrift bzw. einen für die Entschlüsselung notwendigen Schlüssel. Bei der jeweiligen, die Echtheit bzw. Integrität der jeweiligen Schlüssel bestätigenden Stelle kann es sich ebenfalls wieder um ein Trust-Center oder eine andere vertrauenswürdige Instanz handeln. Diese können jeweils auch zur Speicherung der Schlüssel verwendet werden.

Je nach Art des Datensatzes kann dieser gemäß einer erfindungsgemäßen Weiterbildung in der EDV-Einheit über vorgegebene Algorithmen oder Einstufungen kategorisiert werden. So können beispielsweise personenbezogene Datensätze besonders gesichert und mit einer starken Verschlüsselung wie derzeit z.B. AES-256 verschlüsselt sowie verschlüsselt übertragen werden. Diese Daten bzw. Datensätze können vorzugsweise nur mit einer hohen, z.B. behördlichen Berechtigungsstufe zusammengesetzt und wiedergewonnen werden, während die Leuchtendaten wie Stromstärke, Stromverbrauch, Temperaturen etc. eine in der Regel niedrigere Betreiber-Berechtigungsstufe besitzen. Vorteilhafterweise können auch für eine verteilte Speicherung etwaiger Datensatzteile und/oder der Entschlüsselungs- und Verteilungsschlüssel verschiedene Sicherheitslevel bzw. Berechtigungsstufen vergeben werden, so dass eine Zusammenführung von Datensatzteilen zu einem beispielsweise aufgrund von Gesichtserkennung gewonnenen Datensatz insbesondere erst durch Freigabe mehrerer berechtigter Nutzer, z.B. eines Justiz-Nutzers und eines Betreiber-Nutzers ermöglicht wird.

Vorteilhafterweise erfolgt die Verteilung und Verschlüsselung der Daten im Netzwerk somit in Abhängigkeit von gewünschten und vorgebbaren oder vorgegebenen Sicherheitsstufen.

Die übergeordnete Instanz kann beispielsweise auf einem Projektserver, einen Managementserver oder einem anderer Server realisiert bzw. durch diesen gebildet sein, die jeweils über gängige Protokolle mit dem Netzwerk verbunden sein können, beispielsweise über Mobilfunk, WLAN, LAN oder andere Kommunikationsprotokolle. Auf diese übergeordnete Instanz können dann Nutzer unterschiedlicher Berechtigungsstufen zugreifen und in Abhängigkeit ihrer Berechtigungsstufen unterschiedlich stark schutzwürdige Daten abrufen. Die Verteilung der Daten innerhalb des Netzwerks können vorzugsweise über eher lokal agierende Kommunikationsprotokolle bewegt werden, beispielsweise auf ZigBee-, 6LoWPAN bzw. IEEE 802.15.4 oder Thread-Basis bzw. insbesondere auf TCP/IP aufsetzenden Standards. Es versteht sich, dass die jeweilige EDV-Einheit hierfür entweder selbst über entsprechende Kommunikationsschnittstellen verfügt oder auf solche Zugriff hat. Nach einer Zusammenführung der Datensatzteile zu einem Datensatz können die jeweiligen Datensatzteile auf den unterschiedlichen EDV-Einheiten gelöscht werden.

Es kann gemäß einer weiteren Ausbildung des erfindungsgemäßen Verfahrens für einzelne Datensatzteile eine maximale Lebensdauer vorgegeben werden. Diese kann auch vorab für bestimmte Datensätze definiert werden und kann den Datensatzteilen bei deren Verteilung mitgegeben werden. Nach Ablauf dieser Lebensdauer werden die Datensatzteile und somit der Datensatz gelöscht, insbesondere ohne dass eine vorherige Zusammenführung inkl. einer etwaigen Entschlüsselung der Datensatzteile erfolgt. Die Lebensdauer der Datensatzteile kann gemäß einer Weiterbildung der Erfindung in Abhängigkeit von dem im Netzwerk für die Datensatzteile vorhandenen Speicherplatz vergeben werden.

So kann sich bei einer weiteren erfindungsgemäßen Weiterbildung bei Hinzufügen von EDV-Einheiten ohne zugehörige Sensoranordnung jedoch mit Speichereinheit ein größerer Speicher für schutzwürdige Daten ergeben. Dies ist insbesondere für Außenleuchtennetzwerke von Vorteil, bei denen beispielsweise entlang einer Straße nicht jede Leuchte mit einem Sensor, z.B. einer Kamera, bestückt ist, die Leuchten jedoch darüber hinaus identische EDV-Einheiten in Form der jeweiligen Controller besitzen. Eine EDV-Einheit wird somit insbesondere durch einen Controller der jeweiligen Leuchte ausgebildet, wobei in dem Controllern Speicher zur Verfügung gestellt wird. Die Controller umfassen typischerweise zumindest eine Mikroprozessoreinheit mit zugehörigem Speicher, Mittel zur Kommunikation über vorzugsweise Nah-, Mittel- und/oder Ferndistanzen (z.B. Bluetooth-, LAN-, WLAN-, und/oder GSM-Einheiten) und Mittel zum Betreiben des insbesondere als LED ausgebildeten Leuchtmittels. Die jeweiligen Mittel können je nach Controller unterschiedlich stark miteinander und ineinander integriert sein.

Um den in Leuchtennetzwerken vorhandenen Speicherplatz bestmöglich auszunutzen, können die Datensatzteile gemäß einer weiteren erfindungsgemäßen Ausbildung vorzugsweise in einem zirkulierenden Speicher abgelegt werden. Dieser kann beispielweise dergestalt aufgebaut sein, dass das älteste Element bei Erreichen der Speichergrenze oder der vorgegebenen Lebensdauer von beispielsweise 31 Tagen aus dem Speicher gelöscht wird, um ein neues Datensatzteil speichern zu können.

Durch Synchronisation der Speicher der einzelnen EDV-Einheiten werden jeweils die gleichalten Datensatzteile eines Datensatzes gelöscht.

Sofern ein Datensatz wieder zusammengeführt werden soll, kann von einer übergeordneten Instanz mindestens ein zur Entschlüsselung des Datensatzes bzw. der Datensatzteile notwendiger Schlüssel vorzugsweise an die entsprechende EDV-Einheit übertragen werden oder die jeweiligen Datensatzteile werden gemäß dem Verteilungsschlüssel von den jeweiligen EDV-Einheiten abgerufen und auf der übergeordneten Instanz entschlüsselt. Gleiches gilt nicht nur für eine Entschlüsselung, sondern auch für eine Zusammensetzung inkrementell oder anders verteilter Datensatzteile.

Vorzugsweise werden die insgesamt von einer EDV-Einheit zu verarbeitenden Daten der Datenquellen, insbesondere der Sensoranordnung, auf der ersten oder auch einer weiteren EDV-Einheit zu einer Mehrzahl von Datensätzen verarbeitet. So können beispielsweise unterschiedliche Filteralgorithmen verwendet werden, um aus beispielsweise einem Bild Nummernschilder, Gesichter, Fahrzeuge oder andere Merkmale zu separieren und mit z.B. unterschiedlichen Berechtigungen speichern zu können.

Alternativ und ergänzend können zumindest zu einem weiteren, späteren Zeitpunkt aufgenommene Daten, zusammen mit den vorherigen Daten zur Erstellung des Datensatzes verwendet werden. Hierüber lassen sich beispielsweise zeitlich Änderungen in der Verkehrsdichte abbilden und speichern. Ebenfalls ist es möglich, Bewegungsprofile von sich im Rahmen des Netzwerks der EDV-Einheiten befindlichen Objekten zu erzeugen.

Falls aus erfassten Daten eine Mehrzahl von Datensätzen erzeugt wird, z.B. aufgrund von unterschiedlich Bildanalyseverfahren, können diese unterschiedlichen Datensätze vorteilhafterweise unterschiedlich stark verschlüsselt bzw. unterschiedlich weit verteilt auf den EDV-Einheiten gespeichert werden, wobei der lokale Netzwerkverkehr optimiert werden kann. Nur besonders stark zu schützende Daten werden dann mit hohem Netzwerkverkehr weit und z.B. mehrfach redundant verteilt. Für die Entscheidung, wie welche Datensätze verschlüsselt und ggf. auch verteilt werden, können die Daten wie vorbeschrieben kategorisiert werden. Eine Kategorisierung erfolgt somit beispielsweise durch die Anwendung unterschiedlicher Filter in einer Bildauswertung und/oder allgemeiner durch eine Vorgabe, welche Datensätze oder Daten besonders schutzwürdig sind.

Vorzugsweise handelt es sich bei dem Netzwerk um ein als Mesh-Netzwerk ausgebildetes Netzwerk, in welchem eine Vielzahl von Leuchten lokal oder regional organisiert ist. Dieses agiert insbesondere auf Basis von 6LoWPAN oder ZigBee bzw. Thread. Alternativ kann es sich auch um ein weiter verteiltes, z.B. internetbasiertes Netzwerk handeln, das insbesondere verschlüsselt miteinander, z.B. über IEEE 801.15.4 oder Powerline Communication kommuniziert.

Vorzugsweise umfassen die EDV-Einheiten somit jeweils einen Controller zum Betreiben einer Leuchte, wobei über den Controller die Netzwerkkommunikation gesteuert wird. Gleichzeitig können die Erstellung und/oder die Verteilung des Datensatzes über denselben oder einen weiteren Controller der Leuchte erfolgen. Zwecks Kennzeichnung der jeweiligen Datensatzteile werden diese vorzugsweise mit einer eindeutigen Kennung (einer UID) und/oder einem Zeitstempel versehen, wobei diese Informationen zentral auf einem Speicher, beispielsweise einem Server gespeichert werden können. Über den Zeitstempel kann dann auch ein automatisiertes Löschen erfolgen.

Um die Datenkommunikation und den zur Speicherung der Daten notwendigen Platz möglichst zu reduzieren, werden die Datensatzteile insbesondere komprimiert verteilt gespeichert.

Vorteilhaft für Verkehrsbehörden und die Strafverfolgung ist insbesondere eine Sensoranordnung, die wenigstens eine 2D- oder 3D-Kamera aufweist, deren Daten insbesondere von einer Bildverarbeitungssoftware der EDV-Einheit ausgewertet werden.

Insbesondere bei großen Datensätzen kann bei einer erfindungsgemäßen Weiterbildung die Verteilung des Datensatzes nicht nur von einer ersten EDV-Einheit, sondern zumindest noch von einer weiteren EDV-Einheit ggf. einer weiteren Leuchte übernommen werden. Zunächst wird hierzu der Datensatz auf der die Datenquelle bzw. Sensoranordnung aufweisenden EDV-Einheit in beispielsweise zwei Datensatzteile aufgeteilt, von denen der zweite dann auf eine weitere EDV-Einheit übertragen wird. Von dort wird dieser Datensatzteil dann weiter geteilt bzw. verschlüsselt und im Netzwerk verteilt, während die erste EDV-Einheit mit ihrem verbliebenen Datensatzteil analog verfährt. So werden die Daten schneller im Netzwerk insbesondere verschlüsselt verteilt abgelegt.

Die eingangs gestellte Aufgabe wird auch durch eine Leuchte zur Durchführung eines vor- oder nachbeschriebenen Verfahrens gelöst, wobei die Leuchte eine EDV-Einheit mit wenigstens einem Mittel zur Kommunikation mit weiteren EDV-Einheiten und/oder einer übergeordneten Instanz und insbesondere zumindest einen Controller zum Betrieb der Leuchte aufweist, wobei der Controller dazu ausgebildet ist, einen Datensatz, der von der Sensoranordnung einer ersten EDV-Einheit erfasste Daten enthält oder aus diesen Daten erzeugt wurde, auf mehrere der weiteren EDV-Einheiten zu verteilen und anschließend auf dieser ersten EDV-Einheit zumindest teilweise zu löschen. Entsprechend umfasst die Leuchte auch eine der Leuchte zugeordnete Sensoranordnung mit zumindest einem Sensor zur Aufnahme von Daten. Mit einer solchen Leuchte lässt sich ein nachfolgend in Bezug genommenes Netzwerk aufbauen, welches ebenfalls die eingangs gestellte Aufgabe löst.

Erfindungsgemäß ist somit ein Netzwerk von Leuchten vorgesehen, welches eine Mehrzahl von vor- oder nachstehend beschriebenen Leuchten aufweist, gelöst.

Weitere Vorteile und Einzelheiten der Erfindung sind der nachfolgenden Beschreibung zu entnehmen. In den Abbildungen zeigt

  • 1 einen Teil des erfindungsgemäßen Verfahrens,
  • 2 einen weiteren Teil des erfindungsgemäßen Verfahrens,
  • 3 einen Teil eines weiteren erfindungsgemäßen Verfahrens.

Einzelne technische Merkmale der nachbeschriebenen Ausführungsbeispiele können auch in Kombination mit vorbeschriebenen Ausführungsbeispielen sowie den Merkmalen der unabhängigen Ansprüche und etwaig weiterer Ansprüche zu erfindungsgemäßen Gegenständen kombiniert werden. Sofern sinnvoll, werden funktional gleichwirkende Elemente mit identischen Bezugsziffern versehen.

Erfindungsgemäß ist vorgesehen, dass ein vorstehend als Rechteck dargestellter Datensatz 1 nach seiner Erstellung aufgrund von Daten einer Sensoranordnung in beispielsweise vier Teile A, B, C, D aufgeteilt wird (1). Nach einer erfolgreichen Aufteilung kann der Datensatz 1 bereits gelöscht werden, so dass er in der EDV-Einheit nur temporär gespeichert wird. Der Datensatz selbst kann durch die von der Sensoranordnung ursprünglich erzeugten Daten gebildet werden, beispielsweise durch ein 2D- oder 3D-Bild einer Kamera. Es kann sich auch um einen durch diese Daten erzeugten Datensatz handeln, beispielsweise durch Filtern bestimmter Teile eines 2D- oder 3D-Bildes, so dass A, B, C und D z.B. in ihrer Gesamtheit einen biometrischen Datensatz oder ein Auto-Kennzeichen ergeben.

Die Aufteilung in die vier Datenblöcke A, B, C, D muss nicht inkrementell erfolgen. Vielmehr kann eine Zerlegungsvorschrift gerade darauf ausgerichtet sein, nicht zusammenhängende Datensatzteile zu schaffen, so dass ein einzelner Datensatzteil A,B,C oder D keinen Rückschluss zulässt auf insbesondere größere, zusammenhängende Bereiche des ursprünglichen Datensatzes 1, aus denen sich die gewünschten Informationen bereits ergeben können.

In einem nachfolgenden Schritt werden die Datensatzteile auf der EDV-Einheit verschlüsselt, dargestellt durch die geschlossenen Bügelschlösser an den einzelnen Datensatzteilen A,B,C,D in den 1 oder 2.

Anschließend erfolgt gemäß 2 die Verteilung der verschlüsselten Datensatzteile auf mehrere der im Netzwerk vorhandenen dezentralen EDV-Einheiten 2, 12, 3, 13, 4, 14 und 15. Hierbei werden die Datensätze A, B, C und D redundant verteilt, d.h., sie liegen mehrfach vor, so dass der Ausfall einer der EDV-Einheiten 2, 12, 3, 13, 4, 14 und 15 nicht dadurch zu einem Verlust des Datensatzes 1 führt, dass dieser nicht vollständig zusammengesetzt werden kann. Die Verteilung der Datensatzteile erfolgt über verschlüsselte Kommunikation, indiziert durch die von dem Bügelschloss 16 ausgehenden Pfeile. Die Verteilung muss nicht gleichmäßig erfolgen, es können EDV-Einheiten im Netzwerk ohne Datensatzteile A, B, C, D oder EDV-Einheiten mit einer geringeren Anzahl an Datensatzteilen als andere EDV-Einheiten vorhanden sein. Hierdurch kann beispielsweise einer ungleichmäßigen Ausstattung der EDV-Einheiten hinsichtlich Speicher- und Prozessorausstattung Rechnung getragen werden.

Da die Daten optional komprimiert werden können, wird der Speicherbedarf optimiert. Die Komprimierung kann bereits vor der Verschlüsselung vorgenommen werden.

Bei dem Netzwerk handelt es sich insbesondere um ein Mesh-Netzwerk von Außenleuchten, die jeweils mit einer EDV-Einheit ausgestattet sind (3). Diese wird durch den Controller der jeweiligen Leuchte ausgebildet, der entweder in beispielsweise den Leuchtenkopf integriert ist oder auch an das Leuchtenkopfgehäuse angesetzt sein kann. Nicht alle der Leuchten bzw. EDV-Einheiten müssen mit einer Sensoranordnung versehen sein. Auch die Verteilung der Datensätze A,B,C,D in dem in der 3 dargestellten Netzwerkausschnitt mit insgesamt elf EDV-Einheiten erfolgt dergestalt, dass nicht alle EDV-Einheiten mit dem zu verteilenden Datensatz versehen sind.

Die durch gestrichelte Doppelpfeile dargestellten Verbindungen der einzelnen EDV-Einheiten sind sämtlich verschlüsselt. Beispielsweise erfolgt die Verteilung der von einer mit einer Sensoreinheit versehenen EDV-Einheit 5 stammenden verschlüsselten Datensatzteile A,B,C,D hin zu einer weiteren dezentralen EDV-Einheit 6 über verschlüsselte Verbindungen zwischen den weiteren EDV-Einheiten 7,8 und 9. EDV-Einheiten 8, 11 und 12 weisen keine Datensatzteile auf. Während und/oder nach der Verteilung wartet die EDV-Einheit 5 vorzugsweise auf den Eingang einer Empfangs- und ggf. einer Speicherungsbestätigung („Acknowledge“) von den jeweiligen EDV-Einheiten und löscht dann vorzugsweise zu zumindest überwiegenden Teilen die Datensatzteile A, B, C und D. Für die Wiederherstellung erfolgt die Kommunikation vorzugsweise zurück entlang der Pfeile, falls der Datensatz auf der EDV-Einheit 5 wiederhergestellt werden soll.

Die Verteilung der redundanten Datensatzteile der Datensätze A, B, C, D erfolgt vorzugsweise gemäß den Regeln eines Mesh-Netzwerks, welches beispielsweise auf ZigBee-Basis aufgesetzt ist. Durch die Kombination einer redundanten Speicherung der Daten mit einem auch zur Selbstorganisation fähigen ZigBee-Netzwerk bzw. Mesh-Netzwerk ist eine maximale Ausfallsicherung des Leuchten-Netzwerkes bzw. ein hoher Schutz der Daten möglich, ohne dass diese zentral zusammengeführt sind. Dies ist insbesondere für Außenleuchtennetzwerke vorteilhaft, die aufgrund der oftmals weitflächigen Verbreitung und schwierigen Leuchtenpositionierung besonders ausfallsicher betrieben werden müssen.