用于收集和管理车辆的事件数据的方法与流程

本发明涉及用于收集和管理车辆的事件数据的方法和系统。

背景技术：

本部分中的陈述仅提供与本发明有关的背景信息，并且不会构成现有技术。

通常，事件数据记录器(edr，eventdatarecorder)配置为检测事故等，并且在从相应时间之前的时刻至相应时间之后的时刻的预定时间段内，存储关于车辆的行驶状态或驾驶员的操作的信息。存储至少几个参数，包括速度、安全带状态和安全气囊充气状态，使得可以在司法鉴定调查中恢复这些参数。

司法鉴定调查通常通过经由obd-ii端口读取数据或通过物理提取edr的数据存储器来执行。edr中的数据可能会由于不正确的读取技术而破坏或更改，或者可能在存储之后被恶意操纵或删除。因此，可能难以完全确保存储的数据的完整性。

在调查交通事件(例如，交通事故)周围的情况时，来自政府机关或私营组织(例如，保险公司和汽车制造商)的调查人员会识别并跟踪特定的数据源(例如，事故涉及的车辆)，然后独立地从每个数据源收集他们所需的信息，以识别事故原因、缺陷、加剧和缓解。这样的信息可以包括edr中的数据。遗憾的是，以这种方式收集信息可能会花费很多时间和精力。此外，某些数据源可能无法识别，在被识别时可能不再可用，或者可能已经被删除。因此，需要一种用于收集和存储车辆的edr中的数据的系统和相关方法，以自动识别具有与交通事件有关的数据的数据源并及时地获取这样的数据。

云存储或远程服务器可以是能够防止未经授权的访问并防止数据损坏的安全空间。即，为了维持edr数据的完整性，可以考虑将edr数据存储在可靠的云存储中。然而，要将edr数据存储在云存储中，还需要考虑保护个人隐私的措施。在这种背景下，本发明提出了可以保护个人隐私的基于云的edr数据管理系统。

技术实现要素：

本发明的实施方案涉及一种用于收集和管理一个车辆或多个车辆的事件数据的方法和系统。所述实施方案可以涉及以基于云的方式管理edr数据的方法和系统。

根据本发明的一方面，一种用于收集和管理车辆的事件数据的方法可以由一个或更多个计算系统执行。所述方法包括从车辆接收事件报告消息。所述事件报告消息包括车辆识别信息和记录在车辆中的事件数据。所述方法还包括基于车辆识别信息生成假名标识符，将事件数据与假名标识符相关联，将事件数据存储在第一数据库中，并将车辆识别信息存储在第二数据库中。

所述方法的实施方案可以进一步包括以下特征中的一个或更多个。

在一些实施方案中，可以通过将单向哈希算法应用于车辆识别信息来生成假名标识符。

在一些实施方案中，可以通过将单向哈希算法应用于车辆识别信息和随机数来生成假名标识符。随机数可以与车辆识别信息相关联并存储在第二数据库中，或者随机数可以独立于第一数据库和第二数据库进行管理。

在一些实施方案中，通过将单向哈希算法应用于vii索引来生成假名标识符。在本文中，vii索引可以用于唯一地识别第二数据库中的车辆识别信息。

在一些实施方案中，事件报告消息可以进一步包括关于事件的地理位置、日期和时间中的至少一个的附加信息。所述附加信息可以存储在第一数据库或第二数据库中。

在一些实施方案中，第一数据库和第二数据库可以由不同的运营商来管理。

根据本发明的另一方面，一种系统可以用于收集和管理车辆的事件数据。所述系统包括：第一数据库；第一数据库服务器，其配置为管理第一数据库；第二数据库；第二数据库服务器，其配置为管理第二数据库；以及数据收集服务器，其通信联接至第一数据库服务器和第二数据库服务器。

所述系统的实施方案可以进一步包括以下特征中的一个或更多个。

数据收集服务器可以从车辆接收事件报告消息。事件报告消息可以包括车辆识别信息和记录在车辆中的事件数据。数据收集服务器可以基于车辆识别信息来生成假名标识符。

第一数据库服务器可以配置为将事件数据与假名标识符相关联并且将事件数据存储在第一数据库中，第二数据库服务器可以配置为将车辆识别信息存储在第二数据库中。

在一些实施方案中，数据收集服务器可以配置为通过将单向哈希算法应用于车辆识别信息来生成假名标识符。

在一些实施方案中，数据收集服务器可以配置为通过将单向哈希算法应用于车辆识别信息和随机数来生成假名标识符。数据收集服务器可以配置为安全地存储随机数。替选地，数据收集服务器可以配置为将随机数提供给第二数据库服务器，使得随机数与车辆识别信息相关联并且存储在第二数据库中。

在一些实施方案中，数据收集服务器可以配置为通过将单向哈希算法应用于vii索引来生成假名标识符，其中，vii索引可以用于唯一地识别第二数据库中的车辆识别信息。

在一些实施方案中，事件报告消息可以进一步包括关于事件的地理位置、日期和时间中的至少一个的附加信息，其中，所述附加信息可以存储在第一数据库或第二数据库中。

在一些实施方案中，数据收集服务器、第一数据库服务器和第二数据库服务器中的至少一部分可以由不同的运营商来运营。

根据所提出的方法和系统的实施方案，在网络上的数据库中存储和管理记录在每个车辆中的事件数据。为了保护个人的隐私，使允许第三方识别或跟踪相关车辆的车辆识别信息与事件数据分离。分离的车辆识别信息和事件数据各自在不同的数据库中进行管理。没有数据库将事件数据和与其相关的车辆识别信息一起存储。因此，可以保护个人的隐私。此外，通过将不同的访问权限策略应用于各个数据库，可以进一步增强个人隐私的保护。

此外，根据所提出的方法和系统的实施方案，可以通过搜索存储事件数据的网络上的数据库来及时地且容易地获得关于关注事件的数据(例如，edr数据)。另外，存储在可靠网络上的存储装置中的事件数据对于要求事件数据完整性的司法鉴定调查可能是有用的。

附图说明

图1是示出根据本发明的实施方案的用于以基于云的方式存储和管理事件数据的整个系统的示意图。

图2是示出图1中所示的系统的事件数据收集过程的流程图。

图3是示出由图1中所示的事件数据管理系统提供匿名化的事件数据的过程的流程图。

图4是示出由图1中所示的事件数据管理系统提供与特定车辆有关的事件数据的过程的流程图。

具体实施方式

在下文中，将参照附图详细描述本发明的一些实施方案。应当注意的是，在向各个附图的组成元件添加附图标记时，尽管元件示于不同附图中，但是相同的附图标记表示相同的元件。此外，在本发明的以下描述中，当并入本文中的已知功能和配置的详细描述可能使本发明的主题不清楚时，将省略该详细描述。

另外，诸如第一、第二、a、b、(a)、(b)等的各种术语仅用于将一个组件与其它组件进行区分的目的，但不隐含也不暗示组件的本质、次序或顺序。在整个说明书中，当部件“包括”或“包含”组件时，该部件可以进一步包括其他组件，不排除这样的其他组件，除非有相反的特定说明。诸如“单元”、“模块”等的术语是指用于处理至少一个功能或操作的单元，其可以通过硬件、软件或其组合来实现。

根据本发明的至少一些实施方案，记录在每个车辆中的事件数据在网络上的数据库中存储和管理。车辆识别信息与事件数据分离，所述车辆识别信息允许第三方识别或跟踪相关的车辆或个人。彼此分离的车辆识别信息和事件数据在不同的数据库中进行管理。

图1是示出根据本发明实施方案的用于以基于云的方式存储和管理事件数据的整个系统的示意图。

车载监控系统可以在从事件发生时间之前的时刻至事件发生时间之后的时刻的预定时间段内记录与车辆的行驶状态、驾驶员的操作等有关的数据。车载监控系统可以将记录的数据无线地发送至基于云的事件数据管理系统100。

车载监控系统可以包括事件数据记录器(edr)11、至少一个传感器12和通信装置13，它们可以连接到车辆数据总线(例如，控制器局域网(can)、本地互连网络(lin)、面向媒体的系统传输(most)、以太网等)。

edr11设计为在检测到一个或更多个预定义事件发生时，在从检测之前的时刻至检测之后的时刻的预定时间段内，记录和存储数据。具体地，这样的事件可以是交通碰撞。例如，当触发安全气囊的充气时，可以感测到交通碰撞。另外，事件可以进一步包括车辆的主要功能的故障。例如，当加速度/减速度发生在预定阈值之外时，可以感测到主要功能的故障。edr11可以被至少一个传感器12测量的值访问。至少一个传感器12可以设计为感测车辆速度/减速度/行驶距离等。由edr11记录的数据可以是适合于跟踪交通碰撞的数据，例如，车辆的动力、驾驶员的行为以及车辆安全系统的运行状态。edr11将记录的edr数据提供给通信装置13。

在从edr11接收到edr数据时，通信装置13可以从定位装置(未示出)、时间确定装置(未示出)等获取事件发生的日期、时间和地理位置。定位装置可以包括接收器，所述接收器配置为从诸如gps或gnss的卫星辅助定位系统接收地理位置信息和/或时间信息。通信装置13可以配置为包括定位装置和/或时间确定装置。替选地，由edr11记录的事件数据可以包括触发事件的日期、时间和地理位置。

通信装置13是将车载网络连接到外部通信网络的有线或无线通信装置。通信装置13例如可以是远程信息处理单元(tmu)，或插入在obd-ii端口中的有线或无线软件狗。通信装置13可以配置为包括无线收发器，其能够例如进行诸如gsm/wcdma/lte/5g的蜂窝通信，或者诸如wlan、c-v2x、wave、dsrc和蓝牙的短距离无线通信。

通信装置13可以通过通信网络将事件报告消息发送到事件数据管理系统100。事件报告消息包括车辆识别信息(vii)以及由事件数据记录器11在事件之前和之后记录的事件数据。这里，vii是用于唯一地识别车辆的信息，并且可以包括例如，可以从车辆中的ecu收集的车辆识别号码(vin)、通信装置13所使用的用于通信的唯一标识符、以及分配给车辆用于v2x通信的证书(长期证书或短期证书)。替选地，可以利用个人标识信息(例如，社会安全号码、驾照号码等)来代替vii，通过该个人标识信息可以识别个人(即，车主或车辆的驾驶员)。

另外，事件报告消息可以进一步包括附加信息，例如事件的地理位置、日期和时间，车辆的型号、制造年份、制造商等。附加信息的至少一部分可以与事件数据一起存储在事件数据库21中，可以与vii一起存储在vii数据库31中，或者可以存储在两个数据库21、31中。

事件数据管理系统100可以从多个车辆接收事件报告消息。为了保护个人的隐私，如下所述，事件数据管理系统100对从车辆接收的事件报告消息执行去识别(de-identification)处理，然后将vii与事件数据分离，所述vii允许第三方识别或跟踪相关车辆或相关个人。彼此分离的vii和事件数据在不同的数据库中进行管理。

事件数据管理系统100可以包括：事件数据库21；事件数据库服务器22，其配置为管理事件数据库21；vii数据库31；以及vii数据库服务器32，其配置为管理vii数据库31。事件数据管理系统100进一步包括数据收集服务器35，其通信联接到事件数据库服务器22和vii数据库服务器32。尽管图1中所示的事件数据库服务器22和vii数据库服务器32区分为单独的服务器，但是可以利用众所周知的虚拟化技术通过共享计算资源来实现这些服务器。

数据收集服务器35从多个车辆接收事件报告消息。数据收集服务器35可以对从车辆接收到的事件报告消息执行去识别处理，以生成匿名化的事件数据，第三方不能通过该匿名化的事件数据识别或跟踪相关车辆或个人。如上所述，事件报告消息包括事件数据和vii。

数据收集服务器35可以将包括在事件报告消息中的信息划分为两个数据集。一个数据集(第一数据集)包括事件数据但不包括vii，另一个数据集(第二数据集)包括vii但不包括事件数据。即，使允许识别或跟踪事件数据的相关车辆或个人的vin数据或任何其他唯一数据与事件数据分离。

数据收集服务器35生成用于事件数据的假名标识符。生成的假名标识符用于唯一地识别事件数据库中的相关事件数据。然而，该假名标识符不包括识别车辆或个人的任何有意义的信息。数据收集服务器35将添加了假名标识符的第一数据集(即，匿名化的事件数据)传送到事件数据库服务器22。

在一些实施方案中，可以通过将单向哈希算法应用于vii(例如，vin数据)来生成假名标识符。单向哈希算法不能从生成的假名标识符中提取vii或其他有用信息。可以通过将单向哈希算法应用于由数据收集服务器35生成的vii和随机数的组合来生成假名标识符。用于生成假名标识符的随机数可以在数据收集服务器35中安全地管理，或者与相关的vii一起存储在vii数据库31中。这里，尽管将单向哈希算法作为示例进行了描述，但是可以利用用于生成假名标识符的其他类型的密码算法。

在另一个实施方案中，可以通过将单向哈希算法应用于vii索引来生成假名标识符，该vii索引用于唯一地识别vii数据库中的vii。为此，数据收集服务器35可以将包括vii的第二数据集提供给事件数据库服务器22，并从事件数据库服务器22获取vii索引。

事件数据库服务器22可以将从数据收集服务器35传送的匿名化的事件数据存储在事件数据库21中。如上所述，匿名化的事件数据可以是或包括通过假名标识符识别的事件数据。

vii数据库服务器32可以将从数据收集服务器35传送的vii存储在vii数据库31中。在通过将单向哈希算法应用于vii和随机数的组合来生成假名标识符的情况下，vii数据库服务器32可以将从数据收集服务器35传送的vii和随机数存储在vii数据库31中。如上所述，可以不将用于生成假名标识符的随机数提供给vii数据库服务器32。

这样，可以通过利用假名标识符来保护个人的隐私。假名标识符本身不包括识别车辆或个人的任何有意义的信息。然而，可以至少部分地基于存储在vii数据库31中的vii，以密码的方式(重新)生成假名标识符。因此，为了进一步增强个人隐私的保护，生成假名标识符的数据收集服务器35由与事件数据库服务器22或vii数据库服务器32不同的运营商来管理，或者服务器22、32和35可以由不同的运营商来管理。另外，数据库服务器22和32的运营商可以安全地管理用于生成假名标识符的密码算法或随机数。

响应于来自第三方50的请求，事件数据管理系统100可以提供未识别特定车辆或个人的匿名化的事件数据，或者提供识别了特定车辆或个人的事件数据。第三方50可以是想要利用事件数据的服务用户，例如，保险公司或政府机关、研究人员、车辆制造商、车主等。第三方50可以指定搜索条件，例如事件的位置、事件的日期、事件的时间、所涉及的车辆的型号以及vin。事件数据管理系统100可以利用事件数据库服务器22、vii数据库服务器32和数据收集服务器35中的至少一个来提取针对第三方请求的事件数据。稍后将参照图3和图4来描述由事件数据管理系统100提供事件数据的详细过程。

为了进一步保护个人的隐私，vii数据库服务器32可以基于预设的访问权限策略来进一步控制对存储在vii数据库31中的数据的访问。例如，除非经法院命令、搜查令和/或其他适用法律和法规另行授权，否则访问权限策略只能允许由每个车主授权的调查人员或其他用户访问。换言之，预设的权限策略可以为vii数据库31的不同用户提供不同级别的访问。类似地，数据收集服务器35可以在(重新)生成用于从事件数据库21检索与特定车辆相关的事件数据的假名标识符之前，确定请求者是否为具有合法权限的人员。

另一方面，与vii数据库服务器32相比，管理匿名化的事件数据库21的事件数据库服务器22可以使用不太严格的访问权限策略。例如，事件数据库服务器22可以对请求匿名化的事件数据的第三方使用仅基于计费系统的访问权限策略。然而，在事件数据库服务器22接收到对于与特定假名标识符相对应的事件数据(即，识别的事件数据)的请求的情况下，事件数据库服务器22可能需要确定请求者是否为具有合法权限的人员。

另外，防火墙可以用于数据库服务器22和32，或者数据库加密技术可以应用于数据库21和31。具体地，为了确保vii数据的安全管理，可以对vii数据库服务器32和/或vii数据库31采用高级安全技术。

图2是示出图1中所示的系统的事件数据收集过程的流程图。

首先，车辆通信装置13从包括edr11的一个或更多个模块、ecu、组件和程序获取与事件有关的数据(s200)。例如，通信装置13可以从edr11接收事件之前和之后记录的事件数据，并且收集事件的地理位置、日期和时间，涉及的车辆的型号、vin等。

通信装置13将包括事件数据和vii的事件报告消息无线地发送到网络上的数据收集服务器35(s210)。如上所述，事件报告消息还可以包括附加信息，例如事件的地理位置、日期和时间，车辆的型号、制造年份、制造商等。另外，作为可以唯一地识别车辆的信息的vii可以包括例如，可以从车辆中的ecu收集的vin以及通信装置13用于通信的唯一标识符。

数据收集服务器35对从车辆接收到的事件报告消息执行去识别处理，并生成第三方不能识别或跟踪相关车辆或个人的匿名化的事件数据(s220)。如上所述，事件报告消息包括事件数据和vii。数据收集服务器35可以将包括在事件报告消息中的信息划分为两个数据集。一个数据集(第一数据集)包括事件数据但不包括vii，另一个数据集(第二数据集)包括vii但不包括事件数据。数据收集服务器35生成用于事件数据的假名标识符。

数据收集服务器35将添加了假名标识符的第一数据集(即，匿名化的事件数据)传送到事件数据库服务器22。事件数据库服务器22可以将从数据收集服务器35传送的匿名化的事件数据存储在事件数据库21中。如上所述，匿名化的事件数据可以是或包括由假名标识符识别的事件数据。

数据收集服务器35将包括vii的第二数据集提供给vii数据库服务器32。vii数据库服务器32可以将从数据收集服务器35传送的vii存储在vii数据库31中。在通过将单向哈希算法应用于vii和随机数的组合来生成假名标识符的情况下，vii数据库服务器32可以将从数据收集服务器35传送的vii和随机数存储在vii数据库31中。如上所述，可以不将用于生成假名标识符的随机数提供给vii数据库服务器32。

图3是示出由图1中所示的事件数据管理系统提供匿名化的事件数据的过程的流程图。

例如，事件数据管理系统100可以从政府机关调查人员或研究人员接收对于满足特定条件的匿名化的事件数据的请求，诸如在特定区域中一定时间段内发生的事件(s310)。事件数据管理系统100可以在步骤s310之前或之后确定请求者是否为具有合法权限的人员。事件数据管理系统100可以允许事件数据库服务器22查询事件数据库21并提取与事件有关的数据(s320)。在该示例中，vii数据库31不参与提取事件数据。事件数据管理系统100可以提供所提取的事件数据作为对请求的响应(s330)。如上所述，由于已经从仅根据事件数据库21提取的事件数据中去除了与车辆或个人的关联，所以提供所提取的事件数据不会损害与车主有关的隐私。

图4是示出由图1中所示的事件数据管理系统100提供与特定车辆有关的事件数据的过程的流程图。

例如，事件数据管理系统100可以从车主、保险公司或调查机构的调查人员接收对于与特定vin有关的事件数据的请求(s410)。

事件数据管理系统100可以确定请求者是否为法院命令、搜查令和/或其他适用法律和法规或相关车主授权访问的人员(s420)。

vii数据库服务器32查询vii数据库31，并提取与vin相对应的vii和随机数(s430)。数据收集服务器35至少部分地基于提取的vii和随机数来生成与vin相对应的假名标识符(s440)。事件数据库服务器22查询事件数据库21，并提取与生成的假名标识符相对应的事件数据(s450)。事件数据管理系统100提供所提取的事件数据作为对请求的响应(s460)。

当运营数据收集服务器35和事件数据库21的运营商彼此不同时，为了用于查询事件数据库21，可以将在步骤s440中生成的假名标识符提供给上述调查人员，或者直接提供给运营事件数据库21的运营商。

应当理解的是，可以采用许多不同的方式来实现上述示例实施方案。在一些示例中，可以通过具有处理器、存储器、磁盘或其他大容量存储装置、通信接口、输入/输出(i/o)装置和其他外围装置的至少一个通用计算机来实现本发明中描述的各种方法、装置、服务器和(子)系统。通用计算机可以通过将软件指令加载到处理器中然后执行指令以实现本发明中描述的功能，而用作执行上述方法的装置。

本发明中描述的各种方法可以利用存储在非易失性记录介质上的指令来实现，该指令可以由一个或更多个处理器读取和执行。非易失性记录介质包括例如以计算机系统可读的形式存储数据的所有类型的记录装置。例如，非易失性记录介质可以包括存储介质，诸如可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eprom)、闪存驱动器、光盘驱动器、磁性硬盘驱动器和固态驱动器(ssd)。

尽管已经出于说明性目的描述了示例性实施方案，但是本领域技术人员将理解的是，在不脱离实施方案的构思和范围的情况下，各种修改和改变是可能的。出于简洁和清楚起见，已经描述了示例性实施方案。因此，本领域的普通技术人员将理解的是，实施方案的范围不限于上面明确描述的实施方案，而是包括权利要求及其等同形式。