特許第6483849号(P6483849)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ノキア テクノロジーズ オサケユイチア

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ノキア テクノロジーズ オサケユイチアの特許一覧

<>
  • 特許6483849-位置プライバシー 図000002
  • 特許6483849-位置プライバシー 図000003
  • 特許6483849-位置プライバシー 図000004
  • 特許6483849-位置プライバシー 図000005
  • 特許6483849-位置プライバシー 図000006
  • 特許6483849-位置プライバシー 図000007
  • 特許6483849-位置プライバシー 図000008
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6483849
(24)【登録日】2019年2月22日
(45)【発行日】2019年3月13日
(54)【発明の名称】位置プライバシー
(51)【国際特許分類】
   G01C 21/34 20060101AFI20190304BHJP
   G09C 1/00 20060101ALI20190304BHJP
【FI】
   G01C21/34
   G09C1/00 660D
【請求項の数】21
【全頁数】17
(21)【出願番号】特願2017-548935(P2017-548935)
(86)(22)【出願日】2015年3月16日
(65)【公表番号】特表2018-510341(P2018-510341A)
(43)【公表日】2018年4月12日
(86)【国際出願番号】FI2015050174
(87)【国際公開番号】WO2016146879
(87)【国際公開日】20160922
【審査請求日】2017年11月14日
(73)【特許権者】
【識別番号】515076873
【氏名又は名称】ノキア テクノロジーズ オサケユイチア
(74)【代理人】
【識別番号】100099759
【弁理士】
【氏名又は名称】青木 篤
(74)【代理人】
【識別番号】100123582
【弁理士】
【氏名又は名称】三橋 真二
(74)【代理人】
【識別番号】100092624
【弁理士】
【氏名又は名称】鶴田 準一
(74)【代理人】
【識別番号】100141162
【弁理士】
【氏名又は名称】森 啓
(74)【代理人】
【識別番号】100196829
【弁理士】
【氏名又は名称】中澤 言一
(72)【発明者】
【氏名】デブマルヤ ビスワス
(72)【発明者】
【氏名】マシュー ジョン ローレンソン
(72)【発明者】
【氏名】ジュリアン ノラン
【審査官】 久保田 創
(56)【参考文献】
【文献】 国際公開第2014/024254(WO,A1)
【文献】 米国特許出願公開第2015/0199619(US,A1)
【文献】 特開2002−197152(JP,A)
【文献】 特開2003−214879(JP,A)
【文献】 特開2008−209345(JP,A)
【文献】 特開2014−126486(JP,A)
【文献】 特開2006−153463(JP,A)
【文献】 米国特許出願公開第2008/0091342(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G01C 21/34
G09C 1/00
(57)【特許請求の範囲】
【請求項1】
ルートの始点と終点を特定するルート標示を受信するように構成される少なくとも1つのレシーバと、
少なくとも部分的には前記ルート標示およびプライバシー選好標示に基づいて複数の候補ルートを決定し、複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルートを決定するように構成される少なくとも1つの処理コアと、
を備える装置。
【請求項2】
前記少なくとも1つの処理コアは、各々のプライバシー・オーバーヘッド・ルートに対して、関連する時間オーバーヘッド、および、関連する燃料消費オーバーヘッドのうちの1つを決定するように、更に構成される、請求項1に記載の装置。
【請求項3】
前記少なくとも1つの処理コアは、ルート標示において特定された始点で始まるルートを識別し、プライバシー選好標示を満たすグラフ横断アルゴリズムを採用することによって前記複数の候補ルートを決定するように構成される、請求項1または2に記載の装置。
【請求項4】
プライバシー選好標示は、可能なパスの最小数と結びついている、請求項1ないし3のいずれか1項に記載の装置。
【請求項5】
前記複数の候補ルートは、ルート標示において特定された前記終点を含む少なくとも1つの第1ルートを含該前記第1ルートは、前記終点のところで終わらないようなものである、請求項1ないし4のいずれか1項に記載の装置。
【請求項6】
前記少なくとも1つの第1ルートの各々に対して、前記終点から該第1ルートの終わりまで伸びるルートは、プライバシー・オーバーヘッド・ルートを含む、請求項5に記載の装置。
【請求項7】
前記複数の候補ルートは、前記終点を含まない少なくとも1つの第2ルートを含む、請求項1ないし6のいずれか1項に記載の装置。
【請求項8】
前記少なくとも1つの第2ルートの各々に対して、前記第2ルートの終点から前記終点に伸びるルートは、プライバシー・オーバーヘッド・ルートを含む、請求項7に記載の装置。
【請求項9】
前記少なくとも1つの処理コアは、少なくとも部分的に、最大時間パラメータに依存して前記複数の候補ルートを決定するように構成される、請求項1ないし8のいずれか1項に記載の装置。
【請求項10】
ルートの始点と終点とを特定するルート標示を受信するステップと、少なくと部分的には前記ルート標示およびプライバシー選好標示に基づいて複数の候補ルートを決定するステップと、複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルートを決定するステップと、を含む方法。
【請求項11】
各々のプライバシー・オーバーヘッド・ルートに対して、関連する時間オーバーヘッドの少なくとも1つ、および、関連する燃料消費オーバーヘッドを決定するステップを更に含む、請求項10に記載の方法。
【請求項12】
複数の候補ルートが、ルート標示において特定された始点で始まるルートを識別し、プライバシー選好標示を満たすために、グラフ横断アルゴリズムを採用することによって決定される、請求項10または11に記載の方法。
【請求項13】
前記プライバシー選好標示は、可能なパスの最小数と結びついている、請求項10ないし12のいずれか1項に記載の方法。
【請求項14】
前記複数の候補ルートは、ルート標示において特定された前記終点を含む少なくとも1つの第1ルートを含該前記第1ルートは、前記終点のところで終わらないようなものである、請求項10ないし13のいずれか1項に記載の方法。
【請求項15】
少なくとも1つの第1ルートに対して、前記終点から該第1ルートの終わりまで伸びるルートは、プライバシー・オーバーヘッド・ルートを含む、請求項14に記載の方法。
【請求項16】
前記複数の候補ルートは、前記終点を含まない少なくとも1つの第2ルートを含む、請求項10ないし15のいずれか1項に記載の方法。
【請求項17】
前記少なくとも1つの第2ルートの各々に対して、前記第2ルートの終点から前記終点に伸びるルートは、プライバシー・オーバーヘッド・ルートを含む、請求項16に記載の方法。
【請求項18】
前記複数の候補ルートは、少なくとも部分的に、最大時間パラメータに依存して決定される、請求項10ないし17のいずれか1項に記載の方法。
【請求項19】
ルートの始点と終点とを特定するルート標示を受信する手段と、少なくとも部分的には前記ルート標示およびプライバシー選好標示に基づいて複数の候補ルートを決定する手段と、複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルート決定する手段と、
を備える装置。
【請求項20】
少なくとも1つのプロセッサにより実行されるとき、装置に、少なくとも、
ルートの始点と終点を特定するルート標示を受信させ、
少なくとも部分的には前記ルート標示およびプライバシー選好標示に基づいて複数の候補ルートを決定させ、
複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルートを決定させる
コンピュータ可読命令のセットを格納した固定コンピュータ可読メディア。
【請求項21】
請求項10ないし18のいずれか1項に記載の方法を実行させるように構成されるコンピュータ・プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本願発明は、たとえば、セルフ・ドライビング・カーをシェアする場合などで、ユーザ位置の守秘性を確保することに関連する。
【背景技術】
【0002】
ドライバレス・カーが、テストされ、開発されている。それは、将来、それらが広範囲にわたって使用される可能性を開く。自律走行車、セルフ・ドライビング・カー、または、ロボット・カーとしても知られてもいるドライバレス・カーは、従来の車の輸送能力を達成することができる車両である。ドライバレス・カーは、少なくとも部分的に、人間の入力なしで、その環境を感知し、交通規則と、周囲の環境とにしたがって、ナビゲートすることができる。
【0003】
ドライバレス・カーは、ドライバなしでタクシーのように機能するように構成することができる。乗客は、車に、行先のアドレスを提供することができる。車は、その行先のアドレスへのルートをプランして、乗客を乗せて、自身でそこにドライブすることができる。乗客は、たとえば、その乗車に対して、クレジット・カードで支払うことができる。または、その乗客は、ドライバレス・カーシェアリング協定のメンバーシップを有することができる。その場合、乗客は、たとえば、月額料金を払うことができる。
【0004】
顧客データは、プライベートとして機密扱いでありえる。そして、ドライバレス・カーの動きは、その中の乗客の動きを明らかにすることができる。特に、個々の乗客が特定の乗車と結びついていることがあり得るならば、その乗車の終点は、その乗客に関するプライベート情報を明らかにすることができる。
【0005】
従来のタクシーにおいて、人間のドライバは、ドライブの終点を取り扱う、特に、ドライバは、任意のデジタル・システムに行き先アドレスを記録することなく、行き先アドレスまで運転することができる。対照的に、ドライバレス・カーは、ナビゲーションを行き先アドレスにインプリメントするのに、デジタル・システムに依存することができるので、そのデジタル・システムが、計画的に、または、偶然に、行き先アドレスを記録するリスクが存在する。行き先アドレスが記録される場合には、それらは、たとえば、その乗車の支払いに使用したクレジット・カードの詳細を介して、その乗客と関連付けることになり得る。
【0006】
同様に、その乗車の始点が、乗客が、ドライバレス・カーに、始点に迎車してほしいと注文する場合には、デジタル・システムに記録されることになり得る。ドライバレス・カーは、始点からスタートして行先へのルートを計画することができるので、旅行のスタートにおける乗客の所在も、危ういものとされることがあり得る。
【発明の概要】
【0007】
本願発明は、独立形式の請求項の発明特定事項によって定義される。いくつかの特定の実施形態は、独立形式の請求項において、規定されている。
【0008】
本願発明の第1の態様にしたがって、ルートの始点と終点を特定するルート標示を受信するように構成される少なくとも1つのレシーバと、少なくとも部分的には前記ルート標示およびプライバシー選好標示に基づいて複数の候補ルートを決定し、複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルートを決定するように構成される少なくとも1つの処理コアと、を備える装置が提供される。
【0009】
第1の態様の種々の実施形態は、以下のリストの少なくとも1つの特徴を備えることができる。
・ 前記少なくとも1つの処理コアは、各々のプライバシー・オーバーヘッド・ルートに対して、関連する時間オーバーヘッドの少なくとも1つ、および、関連する燃料消費オーバーヘッドを決定するように、さらに構成される。
・ 前記少なくとも1つの処理コアは、プライバシー選好標示を満たすルート標示において特定された始点で始まるルートを識別し、グラフ横断アルゴリズムを採用することによって前記複数の候補ルートを決定するように構成される。
・ プライバシー選好標示は、可能なパスの最小数と結びついている。
・ 前記複数の候補ルートは、前記第1ルートが前記終点のところで終わらないように、ルート標示において特定された前記終点を含む少なくとも1つの第1ルートを含む。
・ 前記少なくとも1つの第1ルートの各々に対して、前記終点から該第1ルートの終わりまで伸びるルートは、プライバシー・オーバーヘッド・ルートを含む。
・ 前記複数の候補ルートは、前記終点を含まない少なくとも1つの第2ルートを含む。
・ 前記少なくとも1つの第2ルートの各々に対して、前記第2ルートの終点から前記終点に伸びるルートは、プライバシー・オーバーヘッド・ルートを含む。
・ 前記少なくとも1つの処理コアは、少なくとも部分的に、最大時間パラメータに依存して前記複数の候補ルートを決定するように構成される。
【0010】
本願発明の第2の態様にしたがって、ルートの始点と終点とを特定するルート標示を受信するステップと、少なくとも部分的には前記ルート標示およびプライバシー選好標示に基づいて複数の候補ルートを決定するステップと、複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルートを決定するステップと、を含む方法が提供される。
【0011】
第2の態様の種々の実施形態は、第1の態様に関連して上であげたリストの特徴に対応する少なくとも1つの特徴を備えることができる。
【0012】
本願発明の第3の態様にしたがって、メモリに格納された暗号化鍵にアクセスするように構成されたメモリ・インタフェースと、ノード識別子のシーケンスを含む好適なルートを決定し、暗号化されたノード識別子のシーケンスを得るために前記暗号化鍵において備えられた前記装置の秘密鍵を使用して、ノード識別子の各々を暗号化し、暗号化されたノード識別子の第2のシーケンスを受信し、ノード識別子の前記シーケンスと暗号化されたノード識別子の前記第2シーケンスとの間でセキュアな比較を実行するように構成された少なくとも1つの処理コアと、を備える装置が提供される。
【0013】
第3の態様の種々の実施形態は、以下のリストの少なくとも1つの特徴を備えることができる。
・ 前記少なくとも1つの処理コアは、さらに、ノード識別子の前記シーケンスと暗号化されたノード識別子の前記第2のシーケンスとの間のシェア・ノード識別子の伝送をさせるように構成される。
・ 前記少なくとも1つの処理コアは、さらに、暗号化されたノード識別子の前記第2シーケンスと結びついた公開鍵を受信し、少なくとも部分的には、前記受信した公開鍵に基づいて、前記セキュアな比較を実行するように構成される。
・ 前記少なくとも1つの処理コアは、さらに、少なくとも部分的には前記セキュアな比較に基づいて、前記好適なルートと暗号化されたノード識別子の前記第2シーケンスによって定義されるルートとの間でシェアされる第1ルート・セグメントの長さ、前記好適なルートと暗号化されたノード識別子の前記第2シーケンスによって定義される前記ルートとの間でシェアされない第2ルート・セグメントの長さ、および、前記好適なルートと暗号化されたノード識別子の前記第2シーケンスによって定義される前記ルートとに基づいて、合成ルートに沿って移動する車両をユーザが入れ、停めるシーケンスのうちの少なくとも1つを決定するように構成される。
・ 前記少なくとも1つの処理コアは、さらに、暗号化されたノード識別子のシーケンスを伝送させるように構成される。
【0014】
本願発明の第4の態様にしたがって、ノード識別子のシーケンスを含む好適なルートを決定するステップと、前記ノード識別子の各々を暗号化するステップと、暗号化されたノード識別子のシーケンスを得るために装置の秘密鍵を使用するステップと、前記暗号化されたノード識別子のシーケンスをネットワーク・ノードに提供するステップと、暗号化されたノード識別子の第2のシーケンスを受信するステップと、ノード識別子の前記シーケンスと暗号化されたノード識別子の前記第2シーケンスとの間でセキュアな比較を実行するステップと、を含む方法が提供される。
【0015】
第4の態様の種々の実施形態は、第3の態様に関連して上であげたリストの特徴に対応する少なくとも1つの特徴を備えることができる。
【0016】
本願発明の第5の態様にしたがって、ルートの始点と終点とを特定するルート標示を受信する手段と、少なくとも部分的には前記ルート標示およびプライバシー選好標示に基づいて複数の候補ルートを決定する手段と、複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルート決定する手段と、を備える装置が提供される。
【0017】
本願発明の第6の態様にしたがって、ノード識別子のシーケンスを含む好適なルートを決定する手段と、暗号化されたノード識別子のシーケンスを得るために前記装置の秘密鍵を使用して、前記ノード識別子の各々を暗号化する手段と、前記暗号化されたノード識別子のシーケンスをネットワーク・ノードに提供する手段と、暗号化されたノード識別子の第2のシーケンスを受信する手段と、ノード識別子の前記シーケンスと暗号化されたノード識別子の前記第2シーケンスとの間でセキュアな比較を実行する手段と、を備える装置が提供される。
【0018】
本願発明の第7の態様にしたがって、少なくとも1つのプロセッサにより実行されるとき、装置に、少なくとも、ルートの始点と終点を特定するルート標示を受信させ、少なくと部分的には前記ルート標示およびプライバシー選好標示に基づいて複数の候補ルートを決定させ、複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルートを決定をさせるコンピュータ可読命令のセット格納した固定コンピュータ読取可能メディアが提供される。
【0019】
本願発明の第8の態様にしたがって、少なくとも1つのプロセッサにより実行されるとき、装置に、少なくとも、ノード識別子のシーケンスを含む好適なルートを決定させ、暗号化されたノード識別子のシーケンスを得るために前記装置の秘密鍵を使用して、前記ノード識別子の各々を暗号化させ、暗号化されたノード識別子のシーケンスをネットワーク・ノードに提供させ、暗号化されたノード識別子の第2のシーケンスを受信させ、ノード識別子の前記シーケンスと暗号化されたノード識別子の前記第2シーケンスとの間でセキュアな比較を実行させるコンピュータ可読命令のセットを格納した固定コンピュータ可読メディアが提供される。
【0020】
本願発明の第9の態様にしたがって、前記第2または第4の態様にしたがう方法を実行させるように構成されるコンピュータ・プログラムが提供される。
[産業上の利用可能性]
【0021】
少なくともいくつかの実施形態は、たとえば、位置プライバシーなどユーザ・プライバシーを確保することに産業応用を見出す。
【図面の簡単な説明】
【0022】
図1図1は、本願発明の少なくともいくつかの実施形態にしたがって、ルートを示す例示的マップを図示する。
図2A図2Aは、ルート不確実性を示すルートを図示する。
図2B図2Bは、本願発明の少なくともいくつかの実施形態にしたがって、ルートを図示する。
図3図3は、本願発明の少なくいくつかの実施形態をサポートできる例示的装置を図示する。
図4図4は、本願発明の少なくともいくつかの実施形態にしたがって、信号伝達を図示する。
図5図5は、本願発明の少なくともいくつかの実施形態にしたがう、第1の方法の第1のフローチャートである。
図6図6は、本願発明の少なくともいくつかの実施形態にしたがって、第2の方法の第2のフローチャートである。
【発明を実施するための形態】
【0023】
プライバシー・オーバーヘッド・ルートをドライバレス・カーによって取られた方法と結びつけることによって、乗客の位置プライバシーは、改善することができる。プライバシー・オーバーヘッド・ルートの影響を、プライバシーと時間との、および/または、プライバシーと燃料消費量あるいは価格との間のトレードオフを可能にするために定量化することができる。ドライバレス・カーが、同時に少なくとも2人の乗客の間でシェアされる場合には、その乗客のプライバシー選好を、その車がとるべきルートを設計する際に考慮することができる。たとえば、最も高いプライバシー選好を持つ乗客は、他の乗客が、行先を見ないように最後に降ろしてもらうことができる。
【0024】
図1は、本願発明の少なくともいくつかの実施形態にしたがって、ルートを示す例示的マップを図示する。下にあるマップは、実線で描かれている。交差している実線は、道路の交差点を示す。このマップは、1つのラウンドアバウトを含み、そこから、5つの道が出ている。そのマップは、たとえば、都市の一部に対応することができる。イラスト・マップは、本願発明の特徴の説明を容易にするためには少々単純であるが、本願発明の実施形態を、より多数の道路、交差点、ラウンドアバウトや他の特徴を有する、より複雑なマップにも、等しく適用できることが理解されるべきである。たとえば、いくつかのマップにおいて、道路のサブセットは、一方通行であり得、反対方向でなく、一方向に道路に沿って、車を走らせることができる。
【0025】
図1のマップは、始点110および終点120にマークされる。始点110および終点120は、ユーザによって、たとえば、ドライバレス・カー管理プログラムに提供することができる。そのような管理プログラムは、ドライバレス・カーのコンピュータにおいて、または、たとえば、スマートフォン、または乗客のタブレット・コンピュータのような、乗客のコンピュータにおいて動作するように配置することができる。ドライバレス・カーが、フリート・オペレータまたは別のパーティによって所有される場合には、始点および終点は、ルート標示の部分として管理プログラムに提供することができる。ルート標示は、また、任意選択的に、更なるルート情報を備えている。更なるルート情報のルート標示を例として、ルート標示は、プライバシー選好インディケータ、所望の最大の時間パラメータ、および、プライバシー・インパクト閾値を含むことができる。プライバシー選好インディケータは、ユーザが自身の位置プライバシーを守ることをどのくらい望んでいるのかについての標示を提供することができる。所望の最大時間パラメータは、乗車に利用可能な最大時間を提供することができる。すなわち、ドライバレス・カーが選択するどんなルートでも、所望の最大の時間パラメータによって示されるより少ない時間で間に合うように見積もりしなければならない。プライバシー・インパクト閾値は、時間、燃料消費量およびコスト、プライバシー選好インディケータによって示されるプライバシー選好をインプリメントすることで生じる許容可能な最大オーバーヘッド、のうちの少なくとも1つの用語で示すことができる。
【0026】
プライバシー選好インディケータは、ルート不確実性標示を備えることができる、または、ルート不確実性標示は、プライバシー選好インディケータからマッピングを適用することによって得ることができる。一般的用語において、ルート不確実性標示は、ルートの部分として通過される道路に加えて、ルートに含まれる交差点やラウンドアバウトから出て行く道路を示すことができる。したがって、たとえば、単純なルートが、始点から終点まで、 4つの出て行く道路を有する1つだけの交差点を介して進む場合には、このルートに関するルート不確実性は、4である。ルート不確実性は、図2Aおよび図2Bに関連して、より詳細に説明される。
【0027】
始点110および終点120への応答として、ドライバレス・カー管理プログラムは、たとえば、ルート112とルート114などの候補ルートを決定することができる。前記ルート112は、プライバシー・オーバーヘッド・ルート112Pを備える。前記ルート114は、プライバシー・オーバーヘッド・ルート114Pを備える。ルート112および114は、両方とも、プライバシー選好インディケータを満たし、それは、ルート112および114の両方が、プライバシー選好インディケータと結びついたルート不確実性インディケータより高いルート不確実性を有することを意味する。図示した例において、両方のルート112およびルート114は、終点120を通過する。他の候補ルートは、必ずしも終点120を通過しない。たとえば、候補ルートは、終点120から数ブロックのところで終わることができる。この場合において、乗客は、残りの距離を歩く、あるいは、さもなければ、カバーすることができる。この残りの距離は、この場合、プライバシー・オーバーヘッド・ルートと考えられる。
【0028】
プライバシー・オーバーヘッド・ルートは、終点120を隠すことに役立つ。たとえば、ドライバレス・カーは、終点120で、乗客を降ろすことができ、そして、次に、もう一度その位置を送信し始める前に、ルートの残り、すなわち、プライバシー・オーバーヘッド・ルートを運転する。このように、ドライバレス・カーは、配車システム、予約アプリケーションまたは他の管理システムにおいて、終点120から特定の距離に出現する。プライバシー・オーバーヘッド・ルートが、多数の交差点を有する領域で終わるならば、終点120の位置は、より短いプライバシー・オーバーヘッド・ルートで隠されることができる。
【0029】
図2Aは、ルート不確実性を示すルートを図示する。始点210および終点240は、交差点220および230を介してつながっている。交差点220は、3つの出て行く道路を有し、交差点230は、2つの出て行く道路を有する。したがって、ルート{210、220、230、240}全体は、3+(2−1)=4のルート不確実さを有する。更なるノード230は、ノード220から出ていく道路のうちの1つに沿って遭遇するので、1が差し引かれる。このケースでは、210から240まで4つの代替ルートが存在すると考えることができる。代替ルートは、図2Aにおいて、矢印で図示される。ルート不確実性は、他の方法もでも同様に定義することができ、本願発明は、ここで説明されたルート不確実性の定義に制限されないことを理解すべきである。むしろ、ルート不確実性を定義する他の方法は、それらがルート不確実性状態を満たすような方法で候補ルートを決定するとき、等しく使用されることができる。
【0030】
図2Bは、本願発明の少なくともいくつかの実施形態にしたがう、ルートを図示する。図2Bにおいて、始点は、250であり、そして、終点は、260である。図2Bのシステムにおいて、ドライバレス・カー管理プログラムは、プライバシー選好標示を満たす3つの候補ルート、ルート{250、280、260、270}、ルート{250、260、270}およびルート{250、290、260、270}を決定する。これらのルートの各々において、セクション{260、270}は、プライバシー・オーバーヘッド・ルートである。
【0031】
候補ルートを決定する際に、下にあるマップを、無向グラフであると考えることができるが、それは、たとえば、深さ優先探索アルゴリズム(Depth−first search algorithm)などのグラフ横断アルゴリズムによって、横断することができる。グラフの中で、エッジは、道路に対応することができ、ノードは、道路の始めと、終点に対応することができる。ノードは、また、マップの交差点およびラウンドアバウトに対応することができる。候補ルートのセットは、グラフ横断の出力に対応することができる。それは、さらに、プライバシー選好標示と結びついたルート不確実性判定基準で、フィルタ処理される。
【0032】
一旦、候補ルートが識別されると、プライバシー・オーバーヘッドを推定することができる。各候補ルートに対して、関連するプライバシー・オーバーヘッドを決定することができる。プライバシー・オーバーヘッドは、始点から終点に単に乗客を運ぶだけであることを越えて追加的な努力を反映することができる。2つのケースを識別することがあり得る。第1に、終点が候補ルートによって通過される場合、第1に、終点が候補ルートによって通過されない場合、第1のケースにおいては、プライバシー・オーバーヘッドは、プライバシー・オーバーヘッド・ルート、すなわち、ドライバレス・カーが、終点に乗客を降ろした後に空車で走行するルートのセクションと結びついている。第2のケースにおいては、プライバシー・オーバーヘッドは、ルートの端から終点まで走行することから生じる。オーバーヘッドは、また、プライバシー・オーバーヘッド・ルート以外の、候補ルートのセクションから生じることができる。プライバシー・オーバーヘッド・ルートの前の候補ルートのセクションが、必ずしも最も速い、または、最も短いルートであるというわけではないからである。
【0033】
時間的オーバーヘッド、すなわち、経過時間に関するオーバーヘッドは、始点から終点にドライバレス・カーで走行するときに、必然的に経過する時間に加えて、経過する時間を表す。たとえば、第1に、最も速いルートは、たとえば、普通の交通状況や、最も速いルートに含まれた道路に沿った予想される走行時間に基づいて、始点と終点との間で推定することができる。このように、たとえば、速度制限を考慮に入れることができる。一旦、最も速いルートをカバーするのに必要な時間が確立されると、それは、時間的オーバーヘッドを得るために、各々の候補ルートと関連した走行時間からさし引くことができる。候補ルートと結びついた走行時間は、始点から終点までドライバレス・カーが候補ルートをドライブするのにかかる時間の長さを含むことができ、そのルートのプライバシー・オーバーヘッド部分を含む。終点を通過しない候補ルートに対して、これらの候補ルートと結びついた走行時間は、候補ルートの始まりから候補ルートの終わりまで、乗客が移動するのにかかる時間を含む。
【0034】
候補ルートに対する燃料消費量オーバーヘッドを、候補ルートにかかわる燃料消費量を最短路ルートの燃料消費量と比較することによって、得ることができる。候補ルートが、プライバシー・オーバーヘッド・ルートを含む場合には、燃料消費量オーバーヘッドが、ポジティブである、すなわち、燃料消費量が、最短路ルートを使用するより多いと予想されることが予見される。他方、候補ルートが、終点を通過しない場合には、これらの候補ルートは、始点を終点とつながないから、候補ルートは、最短路ルートより短いことが起こり得る。同様に、最短路ルートが選択されるケースに対して、燃料は実際に、節約されることができるので、燃料消費量オーバーヘッドは、ネガティブでありえる。いくつかのケースにおいては、カバーする距離や、消費される燃料に比例する料金が乗客に適用される。これらのケースでは、燃料消費量オーバーヘッドは、コスト・オーバーヘッドを意味する。
【0035】
一旦、オーバーヘッドが決定されと、候補ルートの1つを選択することができる。この選択は、最大時間パラメータ、プライバシー選好インディケータを尊重しつつ、燃料消費量最適化や時間最小化などの事前定義の基準に基づいたものであることができる。いくつか実施形態において、ルートのサブセットを、最終選択のために、ユーザに提示することができる。たとえば、そのサブセットは、最も有利なルートのうちの3つを含むことができる。一旦、選択がされると、ドライバレス・カーは、選択されたルートに沿って、乗客を乗車させることができる。
【0036】
2人以上の乗客がドライバレス・カーにいる場合には、ドライバレス・カー管理プログラムは、乗客は、セキュアにルートを比較することができるようにすることができる。たとえば、各々の乗客は、たとえば、上記したプロセスを使用して、または、単純に、最短ルートを選択するなど好適なルートを編集することができる。各々の乗客は、また、プライバシー選好インディケータを適用することができる。簡単のために、以下において、プロセスは、2人の乗客のケースに対して記述される。
【0037】
第1のフェーズにおいて、両方の乗客が、彼らの好適なルートを編集する。各々の好適なルートは、ノード識別子のシーケンス、乗客Aに対して{s,s,...s、乗客Bに対して{s,s,...sからなる。両方のルートが、nノードを有すると仮定する。しかし、一般には、もちろん、長さは、異なっていることがありえる。
【0038】
第2のフェーズにおいて、両方の乗客は、彼らの好適なルートを暗号化する。いくつか実施形態において、第1のノードおよび最後のノード、すなわち、始点および終点は、暗号化から省略することができる。AおよびBの両者は、彼らの好適なルートの中間ノードを、それぞれの秘密鍵で暗号化することができる。ここで、対応する公開鍵は、公開またはその他で、ドライバレス・カー配車システム、および/または、他の潜在的ル乗客に利用可能でありえる。ユーザは、暗号化されたルート、たとえば、{E(s),...,E(sn−1)}および{E(s),...,E(sn−1)}を配車システムに提出することができる。この暗号化されたルートは、たとえば、暗号化されたノード識別子のシーケンスの形で提供することができる。
【0039】
配車システムは、乗客Aの暗号化されたルートを乗客Bに、および、その逆に提供することによって、暗号化されたルートをシェアする。代替的に、乗客Aおよび乗客Bは、たとえば、配車者を含むことなく、モバイル・アプリケーションを介して暗号化されたルートを交換することができる。
【0040】
第3のフェーズにおいて、一旦、互いのルートを所有すると、乗客は、そのルートに含まれるノードをセキュアに比較することができる。セキュアな比較を、出版物、D.Biswas,S.HallerおよびF.Kerschbaumによる「Privacy−Preserving Outsourced Profiling」、7th IEEE International Conference on E−Commerce Technology CEC’05 2010,pp.136−143,doi:10.1109/CEC.2010.39に記載されたように、実行することができる。セキュアな比較は、暗号化されたノード、非暗号化ノード、および、暗号化されたノードを暗号化するのに用いられた秘密鍵に対応する公開鍵に基づいたものであることができる。この比較を実行するために、乗客は、彼らのそれぞれ自身の好適なルートに含まれるノードごとの比較トークンを導出することができ、比較トークンを他の乗客の暗号化されたノードと比較することができる。各々の比較トークンは、比較する乗客の非暗号化ノードおよび他の乗客の公開鍵を用いて導出することができる。セキュアな比較は、暗号化ノードと非暗号化ノードが、同じノードであるときに、「イエス」を返すことができ、そうでないとき、「ノー」を返すことができる。
【0041】
第3のフェーズにおいて、乗客Aと乗客Bとの好適ルートにおけるシェア・ノードから成るシェア・ルートを抽出することができる。シェア・ルートの知識に基づいて、ルートのシェア部分の距離、ユーザの各々が車両に単独で乗車する距離ユーザが乗車し、降車するシーケンスのうちの少なくとも1つを決定することができる。乗客は、他の乗客が乗車する前の始点において、相乗りの最後の同乗客が終点で降車したあと、または、更なる相乗り乗客が、乗車する前で、他の相乗り乗客が降車したときの行程において、のいずれかに、ドライバレス・カーで単独で移動していることがあり得る。
【0042】
プライバシーの要求レベルを、問題の乗客が、ドライバレス・カーに単独で乗車しているときのルートのセグメントに関するルート不確実性に基づいて乗客に提供することができる。必要に応じて、乗客が降車するシーケンスインを、プライバシー要求、たとえば、に基づいて、選択することができる。2人の乗客が、同じ地域または郊外に乗車するときに、ドライバレス・カーは、より少ないプライバシーを要求している乗客を最初に降ろすことができる。このようにして、他の乗客が降車するときに、ドライバレス・カーに乗客が残っておらず、だれも、この降車を目撃しないからである。
【0043】
図3は、本願発明の少なくいくつかの実施形態をサポートすることができる例示的装置を図示する。図示されるデバイス300は、たとえば、乗客のコンピューティング・デバイス、ドライバレス・カー、または、たとえば、配車システムを備えることができる。デバイス300に備えられるプロセッサ310は、たとえば、シングルまたはマルチ・コア・プロセッサを備えることができる。ここで、シングル・コア・プロセッサは、1つの処理コアを備え、マルチ・コア・プロセッサは、2つ以上の処理コアを備える。プロセッサ310は、2つ以上のプロセッサを備えることができる。処理コアは、たとえば、ARMホーディングスによって製造されたCortex−A8処理コア、または、アドバンスト・マイクロ・デバイセズ社によって生産されたSteamroller処理コアを備えることができる。プロセッサ310は、少なくとも1つのクアルコムSnapdragon、インテル・コア、AMD・Opteronや、インテルAtomプロセッサを備えることができる。プロセッサ310は、少なくとも1つの特定用途向け集積回路ASICを備えることができる。プロセッサ310は、少なくとも1つのフィールド・プログラマブル・アレイFPGAを備えることができる。プロセッサ310は、デバイス300における・方法ステップを実行するための手段であることができる。プロセッサ310は、少なくとも部分的に、アクションを実行するコンピュータ命令により構成することができる。
【0044】
デバイス300は、メモリ320を備えることができる。メモリ320は、ランダムアクセスメモリーや固定メモリを含むことができる。メモリ320は、少なくとも1つのRAMチップを備えることができる。メモリ320は、ソリッドステート、たとえば、半導体、磁気、光学および/またはホログラフィック・メモリを備えることができる。メモリ320は、少なくとも部分的には、プロセッサ310にアクセス可能であることができる。メモリ320は、情報を格納するための手段であることができる。メモリ320は、プロセッサ310が実行するように構成されるコンピュータ命令を備えることができる。コンピュータ命令が、プロセッサ310に実行させるように構成されたとき、特定のアクションが、メモリ320に格納され、デバイス300は、全体的に、メモリ320からのコンピュータ命令を使用して、プロセッサ310の指示の下に動作するように構成され、プロセッサ310や、その少なくとも1つの処理コアは、前述の特定のアクションを実行するように構成されると考えることができる。メモリ320は、少なくとも、部分的に、プロセッサ310に備えられることができる。メモリ320は、少なくとも部分的には、デバイス300の外部にあることができるが、しかし、デバイス300にアクセス可能である。
【0045】
デバイス300は、トランスミッタ330を含むことができる。デバイス300は、レシーバ340を含むことができる。トランスミッタ330およびレシーバ340は、それぞれ、少なくとも1つのセルラまたは非セルラ標準に従う情報を送信、受信するように構成することができる。トランスミッタ330は、2つ以上のトランスミッタを備えることができる。レシーバ340は、2つ以上のレシーバを備えることができる。トランスミッタ330やレシーバ340は、GSM(登録商標)(global system for mobile communication)、WCDMA(登録商標)(wideband code division multiple access)、LTE(Long Term Evolution)、IS−95、WLAN(wireless local area network)、イーサネット(登録商標)や、WiMAX(worldwide interoperability for microwave access)などの標準にしたがって動作するように構成することができる。
【0046】
デバイス300は、 NFC(near−field communication)、トランシーバ350を含むことできる。NFCトランシーバ350は、NFC、ブルートゥース(登録商標)、Wibreeまたは、同様の技術など、少なくとも1つのNFC技術をサポートすることができる。
【0047】
デバイス300は、UI(ユーザ・インタフェース)360を備えることができる。UI360は、ディスプレイ、キーボード、タッチスクリーン、デバイス300を振動させることによってユーザに信号を送るように構成されたバイブレータ、スピーカおよびマイクロフォンのうちの少なくとも1つを備えることができる。ユーザは、UI360を介してデバイス300を動作させること、たとえば、ドライバレス・カーとインタラクトすることができる。
【0048】
デバイス300は、ユーザ識別モジュール370を備える、または、受け入れるように構成されることができる。ユーザ識別モジュール370は、たとえば、加入者識別モジュール、SIM、デバイス300にインストール可能なカードを備えることができる。識別モジュール370ユーザは、デバイス300のユーザの予約を識別する情報を含むことができる。ユーザ識別モジュール370は、デバイス300のユーザのアイデンティティを検証することや、通信された情報の暗号化、および、デバイス300を介してもたらされる通信に対するデバイス300のユーザの課金を容易にすることに使用可能な暗号情報を備えることができる。
【0049】
プロセッサ310は、電気的リードを介してデバイス300に、デバイス300に備えられた他のデバイスに、プロセッサ310から情報を出力するように構成されたトランスミッタに備えることができる。そのようなトランスミッタは、たとえば、少なくとも1つの電気的リードを介して、その中に格納するために、メモリ320に情報を出力するように構成されたシリアル・バス・トランスミッタを備えることができる。シリアル・バスに代替的に、トランスミッタは、並列バス・トランスミッタを備えることができる。同様に、プロセッサ310は、デバイス300の中に備えられた他のデバイスからデバイス300の内部の電気的リードを介して、プロセッサ310における情報を受信するように構成されるレシーバを含むことができ、そのようなレシーバは、たとえば、プロセッサ310における処理のためにレシーバ340から少なくとも1つの電気的リードを介して情報を受信するように構成されたシリアル・バス・レシーバを備えることができる。シリアル・バスに代替的に、レシーバは、並列バス・レシーバを含むことができる。
【0050】
デバイス300は、図3において図示されない更なるデバイスを含むことができる。たとえば、デバイス300がスマートフォンを備える場合、それは、少なくとも1つのデジタル・カメラを備えることができる。あるデバイス300は、背面カメラおよび前面カメラを含むことができる。ここで、背面カメラは、デジタル写真のため、そして、全面カメラは、ビデオ電話のためを意図したものであることができる。デバイス300は、少なくとも部分的には、デバイス300のユーザを認証するように構成された指紋センサを備えることができる。いくつか実施形態において、デバイス300は、少なくとも1つの上述のデバイスを欠いている。たとえば、あるデバイス300は、NFCトランシーバ350や、ユーザ識別モジュール370を欠くことができる。
【0051】
プロセッサ310、メモリ320、トランスミッタ330、レシーバ340、NFCトランシーバ350、UI360や、ユーザ識別モジュール370は、多様な異なる方法で、デバイス300の内部の電気的リードによって相互接続することができる。たとえば、前記のデバイスの各々を、デバイスが情報の交換をするのを可能にするために、デバイス300の内部のマスター・バスに別々に接続することができる。しかしながら、当業者が理解するように、これは、単に、1つの例であり、実施形態に依存して、少なくとも2つの前述のデバイスを相互接続する種々の方法は、本願発明の範囲を逸脱することなく選択することができる。
【0052】
図4は、本願発明の少なくともいくつかの実施形態にしたがう、信号伝達を図示する。垂直軸に、左から右に、乗客A、ドライバレス・カー配車者S、乗客B、および、最後に、ドライバレス・カーVが配置される。この図において、上部から下部に向かって、時間が進行する。乗客Aと乗客Bとによって、ここでは、それぞれ、乗客Aと乗客Bとのコンピュータ・プログラムを実際には意味する。そのようなコンピュータ・プログラムは、たとえば、スマートフォンなど乗客のコンピューティング・デバイスの上で動作するように構成することができる。
【0053】
フェーズ410において、乗客Aは、彼の好適なルートを編集する、この好適なルートは、ノード識別子のシーケンス{s,s,...sからなる。フェーズ420において、乗客Aは、好適なルートに含まれたノードを暗号化し、上記したように、暗号化されたノード識別子のシーケンス{E(s),...,E(sn−1)}を生成する。始点および終点をフェーズ420おいて、ノードの暗号化されたシーケンスから除外することができる。フェーズ430において、乗客Aは、暗号化されたノード識別子のシーケンスを配車者Sに提供する。
【0054】
フェーズ440、450および460において、乗客Bは、彼の好適なルートを編集し、彼の好適なルートに含まれるノード識別子を暗号化し、そして、暗号化されたノード識別子のシーケンスを配車者Sに提供する・乗客B側のフェーズ440、450および460は、乗客A側のフェーズ410、420および430に類似している。
【0055】
フェーズ470において、配車者Sは、シェア乗車(shared ride)の可能性がある乗客を決定することができる。これは、少なくとも部分的には、加入者クラス、都市または郊外レベル位置、または、他の適切なメトリック、などに基づいて起こることができる。図4に図示される例において、乗客Aおよび乗客Bは、可能性として乗車をシェアすることができることが決定されるのは、このフェーズにおいてである。フェーズ470の決定への応答として、配車者Sは、フェーズ480において、乗客Aに、乗客Bから受信したノードの暗号化されたシリーズを提供する。同様に、配車者Sは、フェーズ490において、乗客Bに、乗客Aから受信したノードの暗号化されたシリーズを提供する。
【0056】
一般には、2人以上の乗客のセットが、乗車を可能性としてシェアすると決定される場合には、そのセットの各々の乗客の暗号化されたノード識別子を、そのセットに含まれる乗客の各々に提供することができる。例外は、配車者から知らされる必要がない各々の乗客の自身のルートであることができる。彼ら自身の好適なルートを乗客はすでに知っているからである。
【0057】
フェーズ4100において、乗客Aは、フェーズ480において受信した暗号化されたノード識別子と、乗客Aの好適なルートに含まれるノード識別子との間でセキュアな比較を実行する。この比較を実行するために、乗客Aは、乗客Aの好適なルートに含まれる各々のノード識別子に対する比較トークンを導出することができる。そして、乗客Bの暗号化されたノード識別子に対して比較トークンを比較する。乗客Aは、乗客Aの好適なルートに含まれる暗号化されていないノード識別子の上で乗客Bの公開鍵を用いて比較トークンを導出することができる。
【0058】
フェーズ4110において、配車者Sは、フェーズ4100において、乗客Aの好適なルートと、乗客Bの好適なルートとの間でシェアされるべきと決定される少なくとも1つのノード識別子に基づいて乗客Aによって導出されるルートの詳細を知らされる。
【0059】
フェーズ4120において、乗客Bは、フェーズ490において受信された暗号化されたノード識別子の間でセキュアな比較を実行する。それらのノード識別子は、乗客Bの好適ルートに含まれる。この比較を実行するために、乗客Bは、乗客Bの好適なルートに含まれるノード識別子ごとに比較トークンを導出することができる。そして、乗客Aの暗号化されたノード識別子に対して比較トークンを比較する。乗客Bは、乗客Bの好適なルートに含まれる暗号化されていないノード識別子の上で乗客Aの公開鍵を用いて比較トークンを導出することができる。
【0060】
フェーズ4130において、配車者Sは、フェーズ4120において、乗客Bの好適ルートと、乗客Aの好適なルートとの間でシェアされるべきと決定される少なくとも1つのノード識別子に基づいて乗客Bによって導出されるルートの詳細を知らされる。
【0061】
フェーズ4140において、ドライバレス・カーVは、通過するべきルートを知らされ、そのルートが少なくとも部分的に乗客Aと乗客Bとの間でシェアされるのを可能にする。
【0062】
図5は、本願発明の少なくともいくつかの実施形態にしたがう、第1の方法の第1のフローチャートである。図示された方法のフェーズは、たとえば、パッセンジャー・デバイスで、または、パッセンジャー・デバイスの制御デバイスで、または、配車者デバイスで、実行することができる。
【0063】
フェーズ510は、ルートの始点と終点を特定するルート標示を受信するステップを含む。フェーズ520は、少なくとも部分的には、前記ルート標示およびプライバシー選好標示に基づいて、複数の候補ルートを決定するステップを含む。最後に、フェーズ530は、複数の候補ルートの各々に対して、プライバシー・オーバーヘッド・ルートを決定するステップを含む。
【0064】
図6は、本願発明の少なくともいくつかの実施形態にしたがう、第2の方法の第2のフローチャートである。図示された方法のフェーズは、たとえば、乗客デバイスで、または、乗客デバイスの制御デバイスで実行することができる。フェーズ610は、ノード識別子のシーケンスを含む好適なルートを決定するステップを含む。フェーズ620は、暗号化されたノード識別子のシーケンスを得るために装置の秘密鍵を使用してノード識別子の各々を暗号化するステップを含む。フェーズ630は、前記暗号化されたノード識別子のシーケンスをネットワーク・ノードに提供するステップを含む。フェーズ640は、暗号化されたノード識別子の第2のシーケンスを受信するステップを含む。フェーズ640は、更に、たとえば、たとえば、暗号化されたノード識別子の第2のシーケンスと関連した公開鍵のような公開鍵を得るステップを含むことができる。最後に、フェーズ650は、ノード識別子のシーケンスと、暗号化されたノード識別子の前記第2シーケンスとの間のセキュアな比較を実行するステップを含む。この方法は、暗号化されたノード識別子の第2シーケンスと結びついた公開鍵を得るステップを備えることができる。この得るステップは、フェーズ640に結びついて、または、別のフェーズに結びついて起こることができる。あるいは、フェーズ610の前でさえ起こることができる。
【0065】
開示された本願発明の実施形態は、特定の構造、処理ステップ、ここでまたは明らかにされる材料に限られておらず、当業者によって認識されるように、その均等物に拡張できることが理解されるべきである。ここで使用される用語は、特定の実施形態を記述する目的だけで、使用されており、制限することを意図するものではないことも、また、理解されなければならない。
【0066】
本願明細書を通して、「1つの実施形態」または「実施形態」の参照は、実施形態に関連して記述される特定の特徴、構造または特性が、本願発明の少なくとも1つの実施形態に含まれることを意味する。このように、本願明細書を通して種々の箇所における、「1つの実施形態で」、または、「実施形態で」というフレーズは、必ずしも、すべて、同じ実施形態を参照しているわけではない。
【0067】
ここに使われるように、複数の項目、構造要素、構成要素、および/または材料を、便宜のために共通のリストに提示することができる。しかしながら、これらのリストは、しかし、リストの各々のメンバーは、別々のユニークなメンバーとして個々に識別されるように解釈されなければならない。このように、そのようなリストの個々のメンバーは、それと反対との標示のない共通グループにおけるそれらの表現だけに基づいて同じリストの他のどのメンバーとも事実上の同等のものと解釈されてはならない。加えて、本願発明の種々の実施形態および例を、その種々のコンポーネントに対する代替物とともにここに参照することができる。そのような実施形態と例、および代替物は、互いの事実上の均等物として解釈されるべきでなく、本願発明の別々の独立した表現と考えるべきであることが理解される。
【0068】
さらにまた、記述された特徴、構造または特性は、どんな適切な、または技術的に可能な方法においても、1つ以上の実施形態において結合することができる。以下の記載において、本願発明の実施形態の完全な理解を提供するために、長さ、幅、形状、その他の例など、多数の特定の詳細が提供される。しかしながら、当業者は、本願発明は、特定の詳細の1つ以上をなしでも、または、他の方法、コンポーネント、材料、その他を用いても実施できることを認識する。他のインスタンスにおいて、周知の構造、材料、または動作が、本願発明の態様を不明瞭にすることを避けるために、詳細には示されない、または記述されない。
【0069】
先行する例は、1つ以上の特定の応用における本願発明の原理の説明であるが、当業者には、インプリメンテーションの形式、使用および詳細の多数の修正が、発明の能力の行使なしで、また、本願発明の原理と概念を逸脱しない範囲で、なすことができることは明白である。したがって、以下に述べる請求項によるものを除いて、本願発明を制限することを意図するものではない。
図1
図2A
図2B
図3
図4
図5
図6
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.