專利名稱：基于位置的服務(wù)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及實現(xiàn)基于設(shè)備位置的過程的基于位置的服務(wù)系統(tǒng)。
背景技術(shù)：
基于位置的服務(wù)依賴于電信和信息學的綜合使用(另外也被稱作“遠程信息處 理”)。利用車輛的遠程信息處理應(yīng)用目前是特別感興趣的領(lǐng)域。例如，車輛遠程信息處 理系統(tǒng)可以用于多種目的，包括收取道路收費、管理道路使用(智能運輸系統(tǒng))、跟蹤車隊 位置、恢復被盜車輛、提供自動碰撞通知、位置驅(qū)動駕駛員信息服務(wù)、以及車載早期警告通 知報警系統(tǒng)(車輛事故預(yù)防)。道路收費被認為是車輛遠程信息處理系統(tǒng)的第一可能的大容量市場。遠程信息處 理目前正開始進入消費車輛環(huán)境，作為閉合服務(wù)的多媒體服務(wù)箱。這些市場在容量方面仍 然較低，并且被認為是瞄準機會的市場。歐盟(以荷蘭為領(lǐng)先的國家)意在從2012年開始， 引入道路收費，作為每輛車的必需功能。。迄今，道路收費已經(jīng)用于高速公路記費、卡車記費以及在特定區(qū)(例如，倫敦城) 駕駛車輛的記費。一般使用車輛必須?？康氖召M廣場，或者短距離通信系統(tǒng)允許在車輛通 過時自動借記資金。未來的道路收費功能要求更少的(或沒有)基礎(chǔ)設(shè)施需求，并且要求針對行駛的 每一英里進行收費。設(shè)想車輛將具有車載GPS系統(tǒng)和GSM(移動電話網(wǎng)絡(luò))連接，使得能夠 將信息中繼至集中式道路收費系統(tǒng)。自動道路收費系統(tǒng)中的收費系統(tǒng)可以基于行駛距離、時間、位置和車輛特征。道路 收費可以應(yīng)用于所有車輛，或者可以排除特定類別的車輛(例如具有國外車號牌的車輛)。需要提高這種系統(tǒng)的安全性，并使得對這種系統(tǒng)的欺詐性使用盡可能地困難?；贕PS和GSM的現(xiàn)代道路定價系統(tǒng)利用GPS衛(wèi)星信號的接收來確定位置、速度 等。如果可以篡改GNSS信號，則用戶能夠假裝在其他(更便宜)路線上駕駛。GPS測試發(fā) 射機能夠利用車輛的車載單元(OBU)接收到的測試信號令人信服地用于上述目的。OBU收集來GNSS前端的定位信息，并且在將不同種操作的結(jié)果發(fā)送至遠程服務(wù)器 之前，根據(jù)在內(nèi)部運行的客戶端應(yīng)用類型來執(zhí)行不同種操作。處理密集性操作是地圖匹配， 地圖匹配將GNSS坐標流變換成與GNSS坐標相對應(yīng)的位置或路線的列表。在道路收費系統(tǒng)的瘦客戶端情況下，地圖匹配和行程費用計算步驟可以由外部服 務(wù)器來執(zhí)行，因此危及到駕駛員的隱私。在胖客戶端的情況下，OBU對GPS數(shù)據(jù)進行處理以執(zhí)行地圖匹配。在超胖客戶端 的情況下，OBU不僅承擔胖客戶端OBU的所有處理，而且在將所獲得的行程費用傳輸至道路 收費服務(wù)器之前，承擔行程費用計算的附加處理。當與胖或超胖客戶端比較時，瘦客戶端具有以下優(yōu)點0BU所需的計算能力較低， 并且在更新地圖時僅需要更新收費服務(wù)器。
隱私、安全和成本是在設(shè)計這種OBU時必須進行仔細分析的重要因素。此外，信號 篡改能夠沿著接收機的信號解碼路徑而發(fā)生，探測和插入偽造信息。因此，本發(fā)明涉及以成本有效方式使遠程設(shè)備對抗攻擊的安全的問題。使遠程設(shè) 備對于物理篡改而言是安全的，這是已知技術(shù)，但是這是非常昂貴且很難實現(xiàn)。

發(fā)明內(nèi)容
根據(jù)本發(fā)明，提供了一種與基于位置的服務(wù)系統(tǒng)一起使用的位置跟蹤單元，包 括導航接收機，適于實現(xiàn)位置跟蹤功能；數(shù)據(jù)處理裝置，適于根據(jù)第一位置匹配過程來確定所占據(jù)的位置，第一位置匹配 過程使用來自導航接收機的導航數(shù)據(jù)和第一組地理數(shù)據(jù)。數(shù)據(jù)處理裝置，適于基于第二位置匹配過程來驗證第一位置匹配過程的完整性， 第二位置匹配過程使用導航數(shù)據(jù)和第二組地理數(shù)據(jù)。本發(fā)明可以使用第一處理裝置來執(zhí)行位置匹配過程，位置匹配過程可以是處理密 集性的。然后在安全數(shù)據(jù)處理裝置中進行位置匹配過程的驗證。由于與位置匹配過程相比 驗證的處理要求降低許多，因此驗證過程足夠簡單/微小，以至于能夠使用安全控制器(例 如，在傳統(tǒng)智能卡中找到那些安全控制器)來實現(xiàn)。因此實施例提供了高級別的安全性以 及低成本的防篡改。實施例可以使用安全控制器(例如，高級技術(shù)和海洋過程(ATOP)智能MX)來執(zhí)行 “迷你”過程，作為對第一數(shù)據(jù)處理裝置中進行的位置匹配過程的鏡像(mirror)，以檢查結(jié) 果是否匹配。不一致的結(jié)果可以提供在第一數(shù)據(jù)處理裝置中發(fā)生篡改的證據(jù)。根據(jù)本發(fā)明的另一方面，提供了一種實現(xiàn)位置跟蹤單元中的位置跟蹤功能的方 法，該方法包括根據(jù)第一位置匹配過程確定所占據(jù)的位置，第一位置匹配過程使用來自導航接收 機的導航數(shù)據(jù)和第一組地理數(shù)據(jù)；基于第二位置匹配來驗證第一位置匹配過程完整性，第二位置匹配使用導航數(shù)據(jù) 和第二組地理數(shù)據(jù)。


參照附圖詳細描述本發(fā)明的示例，在附圖中圖1示出了可以使用本發(fā)明系統(tǒng)的道路收費系統(tǒng)的第一示例；圖2示出了使用GNSS定位點(fixes)和路段的位置的地圖匹配過程；圖3是根據(jù)本發(fā)明實施例的高級技術(shù)和海洋過程(ATOP)系統(tǒng)的示意圖；圖4是在圖3系統(tǒng)中實現(xiàn)的根據(jù)本發(fā)明實施例的方法的流程圖；圖5示出了安全數(shù)據(jù)庫的內(nèi)容以及根據(jù)本發(fā)明實施例如何使用該內(nèi)容；圖6是根據(jù)本發(fā)明備選實施例的方法的流程圖；圖7示出了將GNSS點P映射到路段的問題；圖8是根據(jù)本發(fā)明實施例的如何將路段表示為直線的示意圖；圖9是根據(jù)本發(fā)明實施例的如何將路段表示為多個樣條(spline)的示意5
圖10是根據(jù)本發(fā)明實施例的如何將路段表示為多邊形的示意圖；圖11示出了根據(jù)本發(fā)明實施例的如何將路段表示為一系列圓形；以及圖12示出了根據(jù)本發(fā)明實施例的如何將路段表示為一系列交疊多邊形。
具體實施例方式圖1示出了可以應(yīng)用本發(fā)明的道路收費系統(tǒng)。GPS數(shù)據(jù)由GPS接收機1捕獲。將該數(shù)據(jù)解碼為位置數(shù)據(jù)(經(jīng)度-緯度)。位置 數(shù)據(jù)與定時(時鐘)數(shù)據(jù)一起存儲在智能卡形式的存儲器2中。周期性地將一批存儲的數(shù) 據(jù)發(fā)送給后端道路收費服務(wù)器4，如批下載6所示。理想情況下，這可以使用蜂窩調(diào)制解調(diào) 器8，通過GSM功能(通用分組無線服務(wù)“GPRS”或第三代移動電話“3G”)來進行。后端服 務(wù)器能夠從該數(shù)據(jù)中重建所行駛的路程。服務(wù)器4還包含道路價格數(shù)據(jù)庫，道路價格在特定時間上是有效的。最終，計算總 價，并且駕駛員得到清單(例如，按月份地)。為了防止數(shù)據(jù)被用戶篡改，在GPS解碼器與存儲器2的防篡改環(huán)境之間以密碼方 式(例如，DES或3DES)來交換數(shù)據(jù)。智能卡提供良好的防篡改環(huán)境。如果來自道路收費的總收入近似等于根據(jù)現(xiàn)有稅制的實際稅收，則平均費用/千 米非常小。因此，每次路程非常短，這意味著連續(xù)在線交易方案可能不令人滿意，因此期望 批下載。這種類型的交易方案非常符合銀行業(yè)所使用的當前已知的電子錢包方案。以前，這樣系統(tǒng)中的隱私保護是困難的。系統(tǒng)存儲GSM、GPS和個人身份數(shù)據(jù)的組 合并將它們傳輸至中央服務(wù)器系統(tǒng)。維護隱私保護意味著，在總的端對端系統(tǒng)級(包括服 務(wù)器基礎(chǔ)設(shè)施)上，需要安全性。本發(fā)明提供了對在遠程設(shè)備中進行的地圖匹配過程進行驗證的驗證措施。如圖2 所示，這樣的驗證可以通過檢查GNSS定位點10與這些定位點所映射到的路段列表中路段 A、B和C之間的距離是否小于可接受閾值距離dmax來完成。本發(fā)明的基本實施例是在安全控制器中不執(zhí)行完整地圖匹配過程的構(gòu)思，而取而 代之使用輕量級額外安全控制器，輕量級額外安全控制器使用可信數(shù)據(jù)來驗證是否已經(jīng)正 確執(zhí)行在主機控制器中運行的地圖匹配過程。因此，認識到這需要大量CPU能力來執(zhí)行地 圖匹配過程，提出了隨后更容易驗證地圖匹配過程的輸出(即，道路列表)與所提交的輸入 數(shù)據(jù)(即，GNSS坐標列表)相對應(yīng)。因此，可以使要求受到保護的系統(tǒng)/過程部分足夠小， 以在安全控制器(例如，在智能卡中找到的那些安全控制器)中實現(xiàn)，從而以低成本提供高 級別的防篡改。作為示例應(yīng)用，如圖3所示，實施例可以應(yīng)用于由服務(wù)器和遠程設(shè)備組成的系統(tǒng)， 并且在該系統(tǒng)中，遠程設(shè)備包括高級技術(shù)和海洋過程(ATOP)設(shè)備。參照圖3，ATOP是系統(tǒng)級封裝組件，主要包含GPS前端40、2. 5G移動調(diào)制解調(diào)器 42、基帶控制器44以及非常安全的防篡改控制器46 (類似于在智能卡中找到的那些安全防 篡改控制器)。遠程信息處理中ATOP的主要應(yīng)用目標是OBU 12的實現(xiàn)。ATOP支持保護這 種瘦客戶端OBU所需的所有安全機制。然而，還能夠通過將ATOP系統(tǒng)與運行計算密集過程 (例如包括地圖匹配和費用計算)的性能更強的控制器連接，使用ATOP系統(tǒng)來實現(xiàn)“胖”或“超胖”客戶端0BU?，F(xiàn)在參照圖4，示出了實現(xiàn)本發(fā)明實施例的系統(tǒng)的過程流程。在圖4中，ATOP是OBU 12的主序列發(fā)生器(或主機控制器)。ATOP以規(guī)則間隔 收集GPS數(shù)據(jù)(步驟410)，并且使用包含在規(guī)則地圖數(shù)據(jù)庫48中的信息找到最佳匹配路段 (步驟420)。該地圖匹配過程的結(jié)果是路段ID (或類似內(nèi)容)的列表。安全控制器46首先使用本領(lǐng)域一般已知的技術(shù)來檢查所提交的GNSS數(shù)據(jù)的完整 性(步驟430)。作為示例，安全控制器46可以驗證以規(guī)則間隔收集到了 GNSS數(shù)據(jù)，并且驗 證GNSS數(shù)據(jù)的兩個連續(xù)GNSS定位點之間的距離和時間戳延遲小于閾值。安全控制器然后進行步驟440，步驟440驗證(a)所提交的路段ID列表確實彼此 連接(并且連接至先前提交的路段ID)，以及(b)該路段ID列表是否與GNSS數(shù)據(jù)相對應(yīng)。 為此，訪問在驗證地圖數(shù)據(jù)庫50中存儲的專用可信數(shù)據(jù)集合，繼而將該專用可信數(shù)據(jù)集合 存儲在安全控制器46中。換言之，安全控制器執(zhí)行迷你過程作為對地圖匹配過程的鏡像， 以檢查結(jié)果是否一致。如果結(jié)果與期望的結(jié)果不一致，則有遠程過程篡改的證據(jù)。如果驗證(步驟440的驗證)成功，則安全控制器46借助于安全存儲在安全控制 器中的車費(fare)數(shù)據(jù)52的數(shù)據(jù)庫，計算與提交到安全控制器46的路段ID列表相對應(yīng) 的費用(步驟450)。備選地，如果驗證(步驟440的驗證)失敗，則在步驟460中安全控制器通知其內(nèi) 部欺詐管理器。這里，系統(tǒng)被設(shè)計為使得針對內(nèi)部欺詐管理器的任何通知始終被轉(zhuǎn)發(fā)(即 時或以規(guī)則/隨機間隔)給服務(wù)器4，并且以安全的方式進行上述轉(zhuǎn)發(fā)。服務(wù)器4然后可以 采取適當動作。在完成步驟450之后，由安全控制器46對總費用(或收費信息)進行簽名，以指 示已經(jīng)安全計算了費用，并且然后在步驟460中，將該簽名的費用轉(zhuǎn)發(fā)至服務(wù)器。然后，服 務(wù)器在正確驗證給定汽車的所有費用之后總計這些費用(步驟470)，并且進行記費(步驟 480)。驗證地圖匹配過程的主要目的是驗證(a)所提交路段的連續(xù)性，以及(b)所提交 的GNSS定位點列表確實映射到所提交的路徑(標識為路段ID列表)。該過程可以訪問安 全數(shù)據(jù)庫58 (圖5所示)，針對每個路段56 (由獨有標識符ID標識)，安全數(shù)據(jù)庫58包含表示路段所需的幾何參數(shù)(開始點、結(jié)束點、幾何形狀...)；給定GNSS定位點被視為在路段上正確映射時給定GNSS定位點距離該路段的最大 距離dmax ；以及計算給定時間由于經(jīng)過該路段所引起的行程費用部分所需的費用信息。將理解，使用在安全數(shù)據(jù)庫中包含的信息，簡單地完成所提交的路段ID的連續(xù)性 的認證，并且從而省略對上述的詳細描述。另一方面，將給定GNSS定位點映射到給定路段 的驗證更精細，因此以下進行更詳細描述。 極為重要的是，應(yīng)保護和確保數(shù)據(jù)庫58內(nèi)數(shù)據(jù)的完整性，這是因為修改這樣的數(shù) 據(jù)使得攻擊者例如能夠最終影響行程費用。針對該問題的解決方案是將數(shù)據(jù)庫存儲在安全 控制器中。備選解決方案是將數(shù)據(jù)庫58存儲在主機控制器44中，并且利用密碼強壯簽名 算法(如圖6所示)保護數(shù)據(jù)庫58中的數(shù)據(jù)。
7
參照圖6，在圖6中安全數(shù)據(jù)存儲在主機控制器44中，對運行在主機控制器中的地 圖匹配過程(步驟420”)進行修改，以除了路段ID列表以外，還向安全控制器46提供對應(yīng) 的簽名驗證參數(shù)列表(幾何參數(shù)、距離、費用...)。安全控制器46在使用每個安全參數(shù)在 步驟440”中驗證地圖匹配過程之前，首先驗證每個安全參數(shù)上簽名的有效性。為此，安全 控制器46使用簽名驗證密鑰，簽名驗證密鑰可以在簽名算法是基于公鑰密碼術(shù)的情況下 為RP服務(wù)器公鑰(或類似密鑰)，或者可以是在安全控制器46與服務(wù)器4之間共享的對稱 秘密密鑰(例如AES或3-DES)。在將安全數(shù)據(jù)庫合并到標準地圖匹配數(shù)據(jù)庫中的情況下，對主機控制器44的影 響是最小的。在該實施例中，主機控制器44僅需要管理路段記錄的單個數(shù)據(jù)庫，其中，每個 記錄被拆分成不安全和安全部分對。不安全部分包含執(zhí)行地圖匹配步驟所需的有用信息， 安全部分包含驗證地圖匹配步驟所需的信息。這種解決方案的直接優(yōu)點在于，由于不需要 存儲數(shù)據(jù)庫(并且這樣的數(shù)據(jù)庫典型地大小為幾兆字節(jié)(MB))極大地降低了針對安全控制 器46的存儲要求。同樣，也不需要在更新過程中涉及安全控制器46，這意味著安全參數(shù)的 更新可以簡單集成在例如用于更新(不安全)地圖數(shù)據(jù)庫48的標準機制中。同樣，由于主機控制器44可以訪問用于驗證過程的安全數(shù)據(jù)庫58，因此主機控制 器44可以實現(xiàn)一些額外的預(yù)計算步驟，以進一步簡化安全控制器46的任務(wù)(不損害到安 全性)。與地圖匹配驗證有關(guān)的變型地圖匹配驗證過程的目的是驗證給定GNSS點P (Xp, yp)確實被映射在給定路段上 (例如，如圖7所示)。安全控制器46驗證這種映射所采用的實際計算步驟可以取決于在 安全數(shù)據(jù)庫58中如何以幾何方式表示路段?，F(xiàn)在詳述這種表示的若干變型以及如何相應(yīng) 地改變計算步驟。校正用于距離計算的球面坐標典型地，將GNSS坐標表示為由點的經(jīng)度和緯度給定的球面坐標對。這意味著兩個 點(xO，yO)與(xl，yl)之間的實際距離不能夠根據(jù)這些坐標而直接測量，這是因為1°經(jīng) 度弧度的長度取決于緯度。然而，由于路段相對于行星地球的規(guī)模而言非常小，因此可以假 定該弧長在該路段周圍是局部上恒定的，并因此在計算距離之前對χ坐標應(yīng)用校正比例因 子就足夠了。為了兼容以上，一種解決方案是在安全地圖數(shù)據(jù)庫58中添加針對每個路段的對 應(yīng)的校正因子。然而，可以看出，以下所考慮的一些變型實際上不受該問題的影響，并且不 需要指定這樣的因子。使用直線段參照圖8，在這種情況下，將路段表示為直線段，該直線段連接了由GNSS坐標(X(l， Y0)和U1, Y1)給定的兩個點。如果給定GNSS點P(Xp，yP)與與路段60之間的距離d小于 指定閾值距離dmax，則認為給定GNSS點P被正確映射在路段60上?？梢愿鶕?jù)以下公式1 計算距離d d='--,-^max、丄人
V(X1-X0) +(^1 -J0)通過觀察，分母實際上與點P無關(guān)，并因此可以將該分母移到右側(cè)(同樣也是恒定的)，從而可以極大簡化上述公式1。進一步隔離取決于點PUp，yP)的變量部分，可以看出， 安全控制器46必須進行的實際測試由以下公式給出A. Xp+B. yP+C彡D，其中，A( = Υο-Υι)、 Β( = X1-X0)、C( = X0Y1-Xiyo)和乃(=dm」A2+B2 )對于給定路段60和閾值距離dmax而 言是恒定參數(shù)。上述測試假定無限長度的路段。為了完整性，安全控制器46可以考慮有限長度的 實際路段。這可以通過驗證所投射的點S0cs，ys)在路段頂點( ，y0)和(xi; Y1)來進行。 更簡單地，在滿足精度的合理損失的情況下，這可以通過驗證點P(Xp，yP)在圍繞目標路段 的矩形區(qū)域^ Xp^ Xmax和ymin ^ Yp^ ymax內(nèi)來進行，其中，xmin> xmax> ymin和ymax也是與 針對目標路段的其他參數(shù)一起存儲的恒定參數(shù)。應(yīng)當注意，該變型不需要提供獨立的校正比例因子來處理球面坐標，這是因為該 因子可以直接并入線段參數(shù)A、B、C和D中。使用樣條現(xiàn)在參照圖9，曲線道路可以使用遵照原始曲線道路的更小的直線段的序列來近 似。因此，備選方案是使用樣條來表示曲線道路62，特別地，用三次樣條來表示曲線道路 62。針對一組n+1個點的三次樣條通常表示為參數(shù)方程組Yi (t) = Bi+bit+Ci^+dit3 (2)其中，t是參數(shù)t e
，并且i = 0，...，n-l。在區(qū)間W，1]內(nèi)改變參數(shù)變量 t，這允許產(chǎn)生屬于樣條的所有點的坐標。例如，在圖9中，yQ(0) =a0= (x0,y0), y0(l)=
a0+b0+c0+d0 = (X1, Y1)。距離d的計算需要首先確定點S，S是樣條上與GNSS定位點P最接近的點。這不 一定是直接明了的任務(wù)。一種方法可以是迭代，目的在于越來越精確地近似點S的坐標。這 樣的方法不適于輕量級安全控制器，例如本發(fā)明實施例中優(yōu)選的輕量級安全控制器。然而， 假定安全地圖存儲在主機控制器44中，一種解決方案可以在在主機控制器44實際上輔助 安全控制器46而不會折衷安全性的情況下應(yīng)用。這在以下兩個步驟中進行1.首先，主機控制器44計算點S的位置，然后將樣條上與S點相對應(yīng)的樣條參數(shù) t(t = ts)的值轉(zhuǎn)發(fā)至安全控制器462.其次，安全控制器46使用樣條的參數(shù)表示來計算點S的位置(見公式3)，并且 驗證距離d= PS是否小于閾值距離dmax (根據(jù)以下公式4)(xs,ys) = y0(ts) = ii0+b0ts+c0t2s+d0 t3s(3)(Xs-Xpf+(ys-ypf<d2max(4)這種來自主機控制器44的輔助的構(gòu)思可以在其他變型中應(yīng)用，以便簡化安全控 制器46所進行處理。然而，必須小心的是，這樣的輔助不包括系統(tǒng)的安全性。還注意到，安 全控制器46不需要計算CZix，這是因為^ix可以是提前預(yù)計算并存儲在安全數(shù)據(jù)庫58中。該實施例不需要獨立的校正比例因子來處理球面坐標，這是因為球面坐標可以直 接并入樣條參數(shù)中。使用多邊形參照圖10，在使用多邊形的情況下，如果給定點P(xP，yP)在圍繞給定路段64的多 邊形內(nèi)，則認為P被映射到該路段上。
假定遵照逆時針常規(guī)來編號的N個頂點(Xi，Yi) (0 ^ i < N)所標識的凸多邊形， 可以驗證矢量Vp所標識的點P在給定多邊形內(nèi)，這可以通過檢查以下的(部分)矢量叉積 均為正(xi+i — Xi)(yP -yt) - (yi+i -γΟ(χΡ — xt) >0 (V0< i<N)(5)其中所有索引對N取模。在該變型中不需要用于處理球面坐標的校正因子。唯一的影響在于，多邊形線段 實際上與地面測地線(terrestrial geodesic)偏離了可忽略的量。使用一系列圓形或方形對給定GNSS點P(Xp，yP)是d映射在給定路段上的驗證是可以使用沿著路段的一 系列圓形來進行的(見圖11)。在這種情況下，如果給定GNSS定位點P (xP, yP)在與給定路段相關(guān)聯(lián)的至少一個圓 形內(nèi)，則認為給定點P被正確映射到該路段。例如，對于與N個中心為(X^yi) (0 ^ i < N), 閾值半徑為^max圓形相關(guān)聯(lián)的路段，如果滿足以下公式6，則認為給定點P (Xp，yP)被映射 到路段。3/eO,...,iV-l: (χ,-Xi,)2+(^)2 < J^max(6)為了減少針對安全控制器的處理，應(yīng)注意，i的實際值可以由主機控制器44連同 其他安全參數(shù)一起轉(zhuǎn)發(fā)，而不會以任何方式折衷安全性。備選解決方案是適配變量，使得取而代之地考慮一系列橢圓。在這種情況下，用于 處理球面坐標的比例因子可以并入橢圓軸中。類似地，如圖12所示可以使用一系列方形，這以一些精度損失為代價簡化了驗證步驟。例如，對與N個中心為(Xi，yi)(0彡i<N)、邊長為2di,max(針對45°旋轉(zhuǎn)方形的 對角線長度)的方形相關(guān)聯(lián)的路段，安全控制器僅必須驗證
3 i e 0 N-1· <PXi ~Xpl-di，醒 and lYi ~yp|- d 丨，瞻 對于標準方形
"“‘“· [Κ-xp| + |y,-yP|<d1>max對于 45° 旋轉(zhuǎn)的方形關(guān)于圓形，要使用的實際索引i可以由主機控制器給出，因此進一步減少了處理， 而不會折衷安全性。備選解決方案可以是考慮一系列矩形(代替方形)或菱形(代替45°旋轉(zhuǎn)的方 形)，并且獨立地指定長邊和短邊的長度(在菱形的情況下指定長對角線和短對角線的長 度)。統(tǒng)計和置信倌典型地，GNSS接收機對于收集GNSS定位點的環(huán)境相當敏感。例如，接收到的GNSS 定位點典型受到以下影響天氣狀況、降低衛(wèi)星信號強度或者阻止接收這些信號的遮擋的 存在，以及靠近可以反射這些信號的建筑物(多徑問題)。這種靈敏度的凈結(jié)果是GNSS定 位點可能與實際位置不同。優(yōu)選地，地圖匹配過程通過在收集到的GNSS定位點附近找到最 佳匹配路段來降低這些離異性的影響。然而，GNSS信號上的明顯噪聲有時可以顯著到，使得GNSS定位點與最佳匹配路段
10之間的距離大于在安全地圖數(shù)據(jù)庫58中指定的距離閾值dmax。因此，在沒有適當措施的情 況下，安全控制器46可以考慮諸如欺詐嘗試之類的情況，并且相應(yīng)地通知服務(wù)器，然而實 際上這些情況是由于不良接收狀況所引起的。因此優(yōu)選解決該問題，因為高錯誤肯定率是 不可接受的。以下描述被設(shè)計為解決該問題的三種機制，所有這些機制維護客戶端OBU的 隱私保護特性。1.統(tǒng)計分析安全控制器并不立即向RP服務(wù)器通知每個失配，而是安全控制器實際上對地圖 匹配過程的結(jié)果執(zhí)行統(tǒng)計。例如，安全控制器46保持成功驗證的行程平均百分比。將該行程平均與針對給定 行程的費用信息一起傳輸給服務(wù)器4。如果這樣的百分比低于指定的閾值，則服務(wù)器4可 以采用適當措施。備選地，如果這樣百分比低于給定閾值，則安全控制器46還可以通知內(nèi) 部欺詐通知管理器。在這種情況下，除了通知服務(wù)器4以外，欺詐通知還可以向用戶(容納 OBU的車輛的駕駛員)通知已經(jīng)檢測到問題，并且應(yīng)當聯(lián)系預(yù)定的人或組織。其次，安全控制器46還可以保持在最后提交的N個驗證請求上的成功驗證移動百 分比。在該值低于閾值的情況下，如上所述安全控制器46通知欺詐管理器。2.可靠性信息的使用進一步細化可以通過在安全地圖數(shù)據(jù)庫58中包括GNSS可靠性信息來實現(xiàn)。因為 GNSS定位點與實際車輛位置之間的失配的一部分是由于道路或城市基礎(chǔ)設(shè)施，這種失配部 分對于給定路段是恒定的?？梢怨烙嫽驕y量基礎(chǔ)設(shè)施的影響，可以利用該信息來完成針對 每個路段的安全數(shù)據(jù)。例如，考慮周圍基礎(chǔ)設(shè)施的影響，可以分別為每個路段定義距離閾值dmax。在典型 的不良接收區(qū)中增加距離，在良好接收區(qū)中減小距離，以便獲得最佳檢測靈敏度。備選或附加地，安全數(shù)據(jù)庫還可以包含針對每個路段的可靠性因子，可靠性因子 會減輕失敗驗證對先前機制中描述的成功百分比的影響。3.信號中斷統(tǒng)計第三種機制處理信號接收丟失的問題。在這種情況下，安全控制器46檢測到兩個 GNSS定位點之間存在中斷(例如，通過觀察到兩個定位點之間的距離太大，或者每個定位 點的時間戳高于給定閾值)。并不立即通知欺詐管理器，而是安全控制器46也可以保持對 這種中斷的統(tǒng)計。安全控制器46可以保持每行程這種信號丟失的歷史，S卩，丟失數(shù)目、中斷距離和 延遲、以及可選地，發(fā)生時間(中斷前的最后有效定位點的時間)。然后可以將完整歷史連 同給定行程的費用信息一起傳輸給服務(wù)器4，或者備選地安全控制器46可以僅傳輸一組統(tǒng) 計值(平均值、累加、標準偏差)。在異常大的中斷的情況下，安全控制器可以觸發(fā)欺詐管理 器，欺詐管理器然后立即聯(lián)系服務(wù)器，和/或相應(yīng)地通知駕駛員。此外，對于先前兩種機制而言，安全數(shù)據(jù)庫58可以包含對更容易受到信號丟失影 響的區(qū)(隧道、森林...)的位置和幾何信息加以指示的額外信息。在信號丟失的情況下， 安全控制器使用該信息來驗證最后接收到的GNSS定位點和隨后第一個有效GNSS定位點確 實在被標識為易受到信號丟失影響的區(qū)域，并且相應(yīng)地調(diào)整統(tǒng)計(例如，通過分離地保持 對無障礙區(qū)域中的丟失和遮擋區(qū)域中的丟失的統(tǒng)計)。
處理服各柜絕攻擊在安全地圖數(shù)據(jù)庫存儲在安全控制器外部的情況下，如一些實施例已經(jīng)描述的， 安全控制器46無法驗證GNSS定位點不在收費的路段上或在收費區(qū)域內(nèi)。確實，一些路段 或區(qū)在不要收費的私人區(qū)域內(nèi)。攻擊者能夠修改在主機控制器44上運行的過程，以將GNSS 定位點(盡管是正確的)傳輸至安全控制器，并且通知安全控制器不存在匹配的收費路段?？梢詫崿F(xiàn)以下機制來對抗這樣的攻擊。首先，安全控制器46可以執(zhí)行以規(guī)則間隔收集GNSS定位點，并且檢測GNSS定位 點何時丟失。例如，這可以通過檢查兩個相繼的GNSS定位點之間的距離以及兩個GNSS時 間戳之間的驗證均低于最大值來進行。在GNSS傳輸?shù)漠惓Ｖ袛嗟那闆r下，安全控制器通知 內(nèi)部欺詐管理器。其次，可以實現(xiàn)安全數(shù)據(jù)庫，使得適當?shù)牟皇召M區(qū)覆蓋所有未收費區(qū)。添加這樣不 收費區(qū)(例如使用多邊形來表示)，使得任何位置處的給定點包括在收費區(qū)/段中或不收費 區(qū)中，并且使得不收費區(qū)域與收費區(qū)不交疊(或者至少僅交疊可忽略的量)。第三，安全控制器46可以驗證每個規(guī)則地收集的GNSS定位點確實與收費的或不 收費的區(qū)/段相關(guān)聯(lián)。由于收費和不收費區(qū)域的完整但斷開的覆蓋，受駭客攻擊的主機控 制器不能在給定GNSS定位點在收費區(qū)內(nèi)時假裝該給定GNSS定位點不在收費區(qū)，這是由于 主機控制器不能夠提供與所提交的GNSS定位點相對應(yīng)的不收費區(qū)。已經(jīng)結(jié)合單頻GPS描述了本發(fā)明，但是其他GNSS系統(tǒng)(GLONASS、Galileo等)應(yīng) 當是類似的。確實，該技術(shù)也能夠應(yīng)用于具有用于捕獲來自每個載體的IF數(shù)據(jù)的適當裝置 的多頻系統(tǒng)，以及。各種附加特征和修改對于本領(lǐng)域技術(shù)人員將變得顯而易見。
權(quán)利要求
1.一種與基于位置的服務(wù)系統(tǒng)一起使用的位置跟蹤單元，包括導航接收機，適于實現(xiàn)位置跟蹤功能；數(shù)據(jù)處理裝置，適于根據(jù)第一位置匹配過程來確定所占據(jù)的位置，第一位置匹配過程 使用來自導航接收機的導航數(shù)據(jù)以及第一組地理數(shù)據(jù)，以及數(shù)據(jù)處理裝置，適于基于第二位置匹配過程來驗證第一位置匹配過程的完整性，第二 位置匹配過程使用導航數(shù)據(jù)和第二組地理數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的單元，其中，數(shù)據(jù)處理裝置還適于基于以下各項中的至少一 個來驗證第一位置匹配過程的完整性導航數(shù)據(jù)可靠性信息；與完整性驗證成功率有關(guān)的 歷史信息；以及與接收到的來自導航的數(shù)據(jù)的中斷有關(guān)的信息。
3.根據(jù)前述權(quán)利要求中任一項所述的單元，其中，遠程設(shè)備是車載單元，并且遠程設(shè)備 還包括適于與遠離位置跟蹤單元的服務(wù)器進行通信的通信裝置。
4.根據(jù)前述權(quán)利要求中任一項所述的單元，還包括適于根據(jù)加密算法存儲第二組地 理數(shù)據(jù)的安全數(shù)據(jù)存儲裝置。
5.根據(jù)權(quán)利要求2至4中任一項所述的單元，其中，地理數(shù)據(jù)包括與路段的位置有關(guān)的 fn息ο
6.根據(jù)權(quán)利要求5所述的單元，其中，路段由以下各項中的至少一個表示連接兩個不 同位置的直線；多個樣條；多邊形；一系列交疊的圓形；以及一系列交疊的多邊形。
7.根據(jù)前述權(quán)利要求中任一項所述的單元，其中，數(shù)據(jù)處理裝置還適于實現(xiàn)以下防欺 詐過程中的至少一個監(jiān)控導航數(shù)據(jù)的規(guī)律性；以及驗證所確定的所占據(jù)的位置與地理數(shù) 據(jù)相關(guān)聯(lián)。
8.一種實現(xiàn)基于位置的服務(wù)的系統(tǒng)，包括前述權(quán)利要求中任一項所述的位置跟蹤單兀。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)，其中，所述系統(tǒng)是道路收費系統(tǒng)。
10.一種實現(xiàn)位置跟蹤單元中的位置跟蹤功能的方法，所述方法包括根據(jù)第一位置匹配過程確定所占據(jù)的位置，第一位置匹配過程使用來自導航接收機的 導航數(shù)據(jù)以及第一組地理數(shù)據(jù)；基于第二位置匹配來驗證第一位置匹配過程的完整性，第二位置匹配使用導航數(shù)據(jù)和 第二組地理數(shù)據(jù)。
11.根據(jù)權(quán)利要求10所述的方法，其中，驗證步驟還基于以下各項中的至少一個導航 數(shù)據(jù)可靠性信息；與完整性驗證成功率有關(guān)的歷史信息；以及與接收到的來自導航的數(shù)據(jù) 的中斷有關(guān)的信息。
12.根據(jù)權(quán)利要求10或11所述的方法，還包括以下步驟實現(xiàn)以下防欺詐過程中的至少一個監(jiān)控導航數(shù)據(jù)的規(guī)律性；以及驗證所確定的所占 據(jù)的位置與地理數(shù)據(jù)相關(guān)聯(lián)。
13.根據(jù)權(quán)利要求10、11或12的所述方法，其中，驗證步驟包括確定所確定的所占據(jù)的位置是否與導航數(shù)據(jù)和第二組地理數(shù)據(jù)相一致。
14.根據(jù)權(quán)利要求10至13中任一項所述的方法，其中，確定所占據(jù)的位置的步驟包括 以下步驟從導航數(shù)據(jù)中導出位置信息；基于位置信息和第一組地理數(shù)據(jù)確定與位置的距離； 如果所述距離小于閾值，則確定所述位置是所占據(jù)的位置。
15. 一種計算機程序，包括計算機程序代碼，適于當所述程序在計算機上運行時執(zhí)行 權(quán)利要求10至14中任一項所述所有步驟。
全文摘要
一種與基于位置的服務(wù)系統(tǒng)一起使用的位置跟蹤單元。位置跟蹤單元包括導航接收機，適于實現(xiàn)位置跟蹤功能；數(shù)據(jù)處理裝置，適于根據(jù)第一位置匹配過程來確定所占據(jù)的位置，第一位置匹配過程使用來自導航接收機的導航數(shù)據(jù)和第一組地理數(shù)據(jù)，以及數(shù)據(jù)處理裝置，適于基于第二位置匹配過程來驗證第一位置匹配過程的完整性，第二位置匹配過程使用導航數(shù)據(jù)和第二組地理數(shù)據(jù)。
文檔編號G01C21/30GK102124301SQ200980132330
公開日2011年7月13日 申請日期2009年8月21日 優(yōu)先權(quán)日2008年8月22日
發(fā)明者克勞德·德巴, 提姆·弗洛德科伊爾, 米夏埃爾·佩特斯 申請人:Nxp股份有限公司