用于智能输送系统凭证吊销列表减少的方法和系统与流程
本公开涉及智能输送系统(its),具体地涉及智能输送系统中的凭证吊销列表。
背景技术:
凭证吊销列表(crl)当前在智能输送系统中被用于检查在its消息中接收到的凭证的吊销状况,从而确定接收到的消息是否可以被信任。换言之,该检查确定消息不是来自已知的行为异常its端点。
然而,出于该目的对crl的使用可能会出现多种问题。通常,crl可能覆盖非常大的地理区域,因此crl的大小可能很大。尚不清楚谁将提供凭证权威(包括根凭证权威),然而它可能是以下各项的组合之一:its端点原始设备制造商(oem)、区域监管权威、代表its端点oem的第三方、区域道路运营商、等等。由于这些中的每一个都可能需要自己的crl,因此这可能会导致需要在its端点中供应许多crl,而每个crl可能非常大。进一步地,如果区域监管权威、区域道路运营商和/或代表区域监管权威或区域道路运营商的第三方提供crl,那么由于its端点可以跨不同区域(诸如国界)移动,因此在its端点中可能需要多个crl。例如,针对所遍历的每个区域可能需要一个或多个crl。
例如,如果许多its端点被确定为行为异常,并且因此导致它们的凭证被吊销,则crl的大小也可能非常大。例如,在美国有2.7亿辆车辆的系统可能会产生非常大的crl,即使这些车辆中的仅1%被确定为行为异常并且因此导致它们的凭证被吊销。在该情况下,针对这样的系统的crl将有270万个条目。此外,其他类型的端点(包括路边单元(rsu))也可能被吊销其凭证,并且可能还需要被包括在crl上。
在这方面,对于its端点,在处理和存储器方面检查其crl可能是一项繁重的任务。大型crl的本地存储可能需要将非常大的存储器添加到its端点。进一步地,消息的处理可能很耗时。例如,在城市环境中,基于彼此邻近的100个its端点,its端点每秒可能接收大约1000个签署消息,其中每个its端点每秒发送10个消息。
进一步地,就数据连接资源而言,为了向its中的所有its端点供应多个大型crl,检查(多个)crl可能是繁重的。具体地,数据连接将需要将大量数据输送给大量接收者,这可能在诸如带宽、无线电接入、竞争比以及其他因素等资源上代价高昂。而且,只要crl需要下载,端点就需要访问数据连接,这可能时间长,因为诸如要下载的大量crl、要下载的crl大小、用于输送crl的数据连接的可用带宽、到its端点的可用数据连接覆盖范围以及其他因素等因素而导致。
附图说明
参照附图将更好地理解本公开,其中:
图1是智能输送系统的框图;
图2是示出了用于基于蜂窝的车联万物(v2x)通信的架构的框图;
图3是示出了用于针对v2x通信的蜂窝广播的架构的框图;
图4是示出了使用crl的消息安全性的数据流图;
图5是示出了campscms架构中的凭证发行权威的框图;
图6是与crl供应代理或crl供应服务器交互的its端点的框图;
图7是与单个crl供应服务器/代理交互的多个its端点的框图;
图8是与多个crl供应服务器/代理交互的多个its端点的框图;
图9是示出了its端点从crl供应服务器接收一个或多个定制crl的数据流图;
图10是示出了its端点从crl供应服务器接收一个或多个完整crl并且确定一个或多个定制crl的数据流图;
图11是示出了its端点从crl供应代理接收一个或多个定制crl的数据流图;
图12是示出了its端点从crl供应代理接收一个或多个完整crl并且确定一个或多个定制crl的数据流图;以及
图13是能够与本公开的实施例一起被使用的简化计算设备的框图。
具体实施方式
本公开提供了一种在智能输送系统(its)内的计算设备处的方法,所述方法包括:接收第一消息,所述第一消息至少包括针对第一its端点的定制信息和针对所述第一its端点的预期行程细节;存储来自所述第一消息的数据的全部或子集;获得完整凭证吊销列表;基于所述第一消息中的数据和所述完整凭证吊销列表来创建定制凭证吊销列表,所述定制凭证吊销列表包含如下针对its端点的凭证或凭证的标识符,当导航所述预期行程细节中所提供的路线时,针对its端点的所述凭证或所述凭证的所述标识符可能由所述第一its端点遇到;以及向所述第一its端点提供所述定制凭证吊销列表。
本公开还提供了一种智能输送系统(its)内的计算设备,所述计算设备包括:处理器;以及通信子系统,其中所述计算设备被配置为:接收第一消息,所述第一消息至少包括针对第一its端点的定制信息和针对所述第一its端点的预期行程细节;存储来自所述第一消息的数据的全部或子集;获得完整凭证吊销列表;基于所述第一消息中的数据和所述完整凭证吊销列表来创建定制凭证吊销列表,所述定制凭证吊销列表包含如下针对its端点的凭证或凭证的标识符,当导航所述预期行程细节中所提供的路线时,针对its端点的所述凭证或所述凭证的所述标识符可能由所述第一its端点遇到;以及向所述第一its端点提供所述定制凭证吊销列表。
本公开还提供了一种用于存储指令代码的计算机可读介质,所述指令代码在由智能输送系统(its)内的计算设备的处理器执行时使所述计算设备:接收第一消息,所述第一消息至少包括针对第一its端点的定制信息和针对所述第一its端点的预期行程细节;存储来自所述第一消息的数据的全部或子集;获得完整凭证吊销列表;基于所述第一消息中的数据和所述完整凭证吊销列表来创建定制凭证吊销列表,所述定制凭证吊销列表包含如下针对its端点的凭证或凭证的标识符,当导航所述预期行程细节中所提供的路线时,针对its端点的所述凭证或所述凭证的所述标识符可能由所述第一its端点遇到;以及向所述第一its端点提供所述定制凭证吊销列表。
在下面描述的实施例中,如表1中所提供的,以下术语可以具有以下含义。
表1:术语
智能输送系统(its)软件和通信系统被设计为例如增强道路安全和道路交通效率。这样的系统包括车辆与车辆(v2v)通信、车辆与基础设施(v2i)通信、车辆与网络(v2n)通信、车辆与行人或便携式计算机(v2p)通信以及车辆到网络到车辆(v2n2v)。从车辆与以上任何一个的通信通常可以被称为v2x。
进一步地,系统中的其他元件可以彼此通信。因此,系统可以包括便携式计算机与基础设施(p2i)通信、基础设施到基础设施(i2i)通信、便携式计算机到便携式计算机(p2p)通信(也称为对等通信)等。因此,如本文所使用的,v2x包括its站与另一its站之间的任何通信,其中该站可以与车辆、路边单元、网络元件、行人、骑自行车者、动物等相关联。例如,高速公路上的车辆可以彼此通信,从而允许第一车辆向一个或多个其他车辆发送消息以指示它正在制动,从而允许车辆更紧密地跟随彼此。
its的元件之间的通信还可以允许潜在的碰撞检测并且允许具有这样的设备的车辆采取动作(诸如制动或转弯等)以避免碰撞。例如,车辆上的主动安全系统可以从诸如摄像头、radar、lidar和v2x等传感器获取输入,并可以通过转向或制动、覆盖或增强人类驾驶员的行动或在完全不涉及人类的情况下促进自动驾驶来对它们采取动作。另一类型的高级驾驶员辅助系统(adas)是被动安全系统,其向人类驾驶员提供警告信号以采取动作。主动和被动安全adas系统都可以从v2x和its系统获取输入。
在其他情况下,固定的基础设施可以向接近的车辆给出它们即将进入危险的交叉路口的警报,或者向接近该交叉路口的其他车辆或行人警报该车辆。该警报可以包括交叉路口处的信号状态(信号相位和定时(spat))以及车辆或行人的位置或交叉路口中的障碍。its通信的其他示例对于本领域技术人员而言是已知的。
现在参照图1,图1示出了its站的一个示例,如欧洲电信标准协会(etsi)欧洲标准(en)302665“智能输送系统(its);通信架构”所描述的,如在例如2010年9月的版本1.1.1中所提供的。
在图1的实施例中,车辆110包括车辆its子系统112。在一些情况下,车辆its子系统112可以与车载网络114通信。车载网络114可以在图1的环境中接收来自各种电子控制单元(ecu)116或ecu118的输入。
车辆its子系统112可以包括车辆its网关120,车辆its网关120提供连接至车载网络114的功能性。
车辆its子系统112还可以具有its-s主机122,its-s主机122包含its应用和这样的its应用所需的功能性。
进一步地,its-s路由器124提供互连不同its协议栈的功能性,例如在第3层处。its-s路由器124可能能够转换协议,例如针对its-s主机122。
进一步地,图1的its系统可以包括个人its子系统130,其可以在手持式或便携式设备(诸如个人数字助理(pda)、移动电话、用户设备以及其他这样的设备)中提供its通信(itsc)的应用和通信功能性。
图1的示例中所示的its系统的另一组件包括路边its子系统140,路边its子系统140可以包含路边its站,该路边its站可以被部署在桥梁、红绿灯等上。
路边its子系统140包括路边its站142,该路边its站142包括路边its网关144。这样的网关可以将路边its站142与一个或多个路边网络146连接。
路边its站142还可以包括its-s主机150,its-s主机150可以包含its-s应用和这样的应用所需的功能性。
路边its站142还可以包括its-s路由器152,该its-s路由器152提供不同its协议栈的互连,例如在第3层处。
路边its站142还可以包括its-s边界路由器154,its-s边界路由器154可以提供两个协议栈的互连以及到外部网络的互连中的一项或两项。
在图1的示例中,its系统的另一组件包括中央its子系统160,中央its子系统160包括中央its站内部网络162。
中央its站内部网络162包括中央its网关164、中央its-s主机166和its-s边界路由器168。中央its网关164、中央its-s主机166和its-s边界路由器168具有与路边its站142的路边its网关144、its-s主机150和its-s边界路由器154类似的功能性。
各个组件之间的通信可以通过its对等通信网络或经由网络基础设施170发生。
从上面的图1,v2x通信既可以用于道路安全,也可以用于提高道路输送的效率,包括车辆的移动、燃料消耗减少以及其他因素等。
欧洲电信标准协会(etsi)定义的v2x消息分为两个类别,即,协作意识消息(cam)和分散式环境通知消息(denm)。cam消息是周期性的、时间触发的消息,其可以向相邻的its站提供状况信息。广播通常是在单跳上进行的,并且状况信息可以包括站类型、位置、速度、朝向、等。cam消息中的可选字段可以包括指示its站是否与道路工程、救援车辆或输送危险货物的车辆相关联的信息、以及其他这样的信息。
通常,cam消息每秒传输1至10次之间。
denm消息是事件触发的消息,仅当触发条件被满足时才发送。例如,这样的触发可能是道路障碍或异常交通条件。经由地理联网将denm消息广播给所指派的相关区域。它可以在若干无线跃点上输送,并且事件信息可以包括关于引起事件、检测时间、事件位置、事件速度、朝向以及其他因素等的细节。例如,在若干秒的持续时间内,每秒可以发送denm消息多达20次。
类似的概念适用于车辆环境(wave)系统中的专用短程通信(dsrcy无线接入,其中指定了基础安全消息(bsm)而不是来自etsi的cam/denm消息收发。
蜂窝v2x
各种系统或架构可以提供v2x通信。诸如在第三代合作伙伴计划(3gpp)规范集中定义的那些蜂窝网络就是其中之一。如上面所定义的,另一替代方案是dsrc/wave,它利用电气和电子工程师协会(ieee)802.11无线电技术。因此,尽管关于蜂窝v2x通信描述了本公开,然而v2x消息可以等同地通过不是3gpp蜂窝网络的网络被发送。具体地,在一种情况下,v2x通信可以使用802.11技术经由基础设施进行
使用蜂窝示例,各种选项是可能的。这些包括经由基础设施的单播上行链路和/或下行链路。又一选项包括经由基础设施的广播下行传输。又一选项包括利用设备的侧链路广播。
可以组合各种传输模式。例如,侧链路(pc5)或uu单播上行传输可以用于使v2x消息从车辆到蜂窝基础设施,然后再到网络元件(诸如v2x应用服务器)。多媒体广播多播服务(mbms)广播、prose广播或uu单播中的任何一个然后都可以用于使v2x消息从v2x应用服务器经由蜂窝基础设施到its站。
例如,现在参照图2,其示出了示例3gpp系统架构,该示例3gpp系统架构可以被用于针对uu单播情况以及pc5传输情况的上行和下行通信,如例如在第三代合作伙伴计划(3gpp)技术规范(ts)23.285,“v2x服务的架构增强”中定义的。
在图2的实施例中,多个its站中的每个its站被定义为用户设备(ue)。这些ue被示出为例如可以表示车辆its站的ue210、可以表示另一车辆its站的ue212、可以表示行人its站的ue214和可以表示静止的路边单元its站的ue216。
每个its站具有关联的v2x应用。因此,ue210具有v2x应用220,ue212具有v2x应用222,ue214具有v2x应用224,并且ue216具有v2x应用226。
ue中的每个ue可以例如通过pc5广播接口而彼此通信。
进一步地,v2x应用可以使用v5参考点在彼此之间进行通信。
蜂窝系统可以包括例如演进型通用陆地无线电接入(e-utran)230,其可以提供连接至演进分组核心(epc)232的一个或多个基站。
演进分组核心232可以包括移动性管理实体(mme)234和服务/分组网关(s/p-gw)236。
ue与e-utran之间的通信可以在lte-uu单播蜂窝通信信道上发生。进一步地,e-utran230可以经由s1接口与epc232通信。
epc232(尤其是mme234)经由s6a接口与家庭订户服务器(hss)240通信。进一步地,s/p-gw236可以利用sgi接口与v2x应用服务器250通信。
v2x应用服务器250是经由3gpp网络可访问的应用层上的网络实体,该网络实体提供各种服务,包括通过单播或pc5从ue接收上行数据,使用单播递送和/或pc5和/或mbms递送将数据递送给目标区域中的ue,从地理地点信息映射到在其上将进行mbms传输的合适目标区域,并且向mbms系统提供所需的信息,以确保mbms消息可以被格式化并且在合适的区域上被传输。
v2x应用220、222、224和226与v2x应用服务器通信。v2x控制功能被用于向ue供应必要的参数,以使用v2x通信。
在图2的实施例中,v2x应用服务器250可以确定v2x消息是需要与其他车辆共享的类型,这可以使用uu单播下行链路、pc5广播或mbms广播或多播来实现。
例如,针对mbms,关于经由mb2的基于lte-uu的v2x的图3提供了参考架构。
具体地,参照图3,ue310可以利用v1参考点与v2x应用服务器312通信。这可以利用例如ue310和e-utran314之间的lte-uu接口来完成。
e-utran314然后可以使用s1-mme接口和m3参考点与mme316通信。
进一步地,e-utran314可以利用m1参考点与mbms网关320通信。mbms网关320还可以利用sm参考点与mme316通信。
广播/多播服务中心(bm-sc)330可以利用sgmb或sgi-mb参考点与mbms网关320通信。
进一步地,bm-sc330可以使用分别用于控制平面和用户平面业务的mb2-c和mb2-u参考点与v2x应用服务器312通信。
因此,使用图2和图3的架构,这些架构可以用于经由基础设施的单播上行链路和/或下行链路。具体地,its站(诸如车辆)可以利用v2x应用与e-utran(或其他类似的增强型节点b(enb))之间的uu单播上行和下行消息收发。可以将这样的通信引导到v2x应用服务器,该v2x应用服务器可以用于使用单播消息收发将数据递送给区域中的多个用户。
在该情况下,v2x控制功能252可以被用于向ue供应v2x通信所需的参数,并且mme234可以被用于确定its站是否被授权使用v2x。
关于经由基础设施的广播下行传输,v2x应用服务器可以支持将数据递送给合适的目标区域。在该情况下,v2x应用服务支持mbms的“网络边缘”部署。进一步地,来自上面图3的bm-sc330提供了支持mbms的“网络边缘”部署的功能性。
从上面的图3,mbms网关320允许ip多播到多个enb或e-utran,以允许与不同e-nb进行通信的its站的通信。
尽管上面的实施例示出了e-utran和epc,但是根据本文的实施例的蜂窝v2x系统不限于e-utran和epc。例如,蜂窝v2x系统可以是连接至epc的5g-nr(新无线电)、连接至5gcn(5g核心网络)的e-utran、连接至5gcn的5g-nr、非3gpp蜂窝系统以及其他选项和组合。
通过设备进行侧链路广播
在又一实施例中,its站可以通过蜂窝v2x中的侧链路通信进行通信。该通信所基于的3gpp特征被称为邻近服务(prose)。该接口称为pc5,并且是一种设备到设备(d2d)通信的类型。
与从设备到网络的“上行链路”或从网络到设备的“下行链路”形成对比,术语“侧链路”是指从设备直接到另一设备的通信。
侧链路通信包括设备之间的直接通信,而不必涉及任何基础设施。在v2x的情况下,这可能包括第一its站直接向邻近的其他its站广播。另外,设备可以与基础设施节点并置,从而允许设备与基础设施节点之间的prose通信。
因此,可以利用自主模式来完成侧链路通信,其中不使用基础设施组件,并且传输its站自主地确定何时向其他its站广播。备选地,可以以调度模式执行侧链路通信,其中基础设施组件(诸如enb)可以调度its站可以在pc5侧链路接口上传输消息的时间。
v2x中的安全性
在v2x通信中,需要克服各种安全性挑战。第一挑战涉及its站之间的信任。具体地,its站可能有意或无意地发出内容不正确的消息。无意的消息收发可能例如基于传感器故障等。
接收its站通常会希望避免对不正确的消息作用。因此,接收到不正确的its消息的车辆可能例如不必要地应用其制动器、挪开等,从而导致交通问题。在一些情况下,这可以通过对v2x消息中接收的信息进行合理性检查并将这样的信息与从其他传感器(诸如摄像机、lidar、radar等)接收到的信息进行比较来克服。但是,这并不总是可能的。
v2x中的又一安全性挑战涉及隐私。具体地,可能希望没有单个实体能够仅通过v2x消息收发来追踪车辆。因此,道路使用者应当无法彼此追踪,并且进一步地,安全性凭证管理系统(scms)的运营商或无线网络运营商也应当无法追踪道路使用者。
v2x的又一安全性挑战是完整性和重放保护。具体地,消息应当无法被篡改,例如利用“中间人”攻击。先前传输和重放的消息应当被检测。
对v2x中的安全性的又一考虑是不可否认性。例如,如果发生事故,消息的发送者应当无法否认他们发送了这样的消息。如果这样的消息在事故中可能是直接或间接的因果关系,则尤其如此。
基于上文,安全性凭证管理系统已经并且将继续被开发。该系统涉及多方,包括防撞度量标准程序(camp)行业联盟、美国运输部、美国国家公路交通安全管理局、ieee和汽车工程师学会(sae)。这样的群组已创建了基于ieee1609以及由sae提供的具有v2x应用层规范的ieee802.11p的解决方案,该解决方案是针对专用短程通信的一系列标准。安全性方面在ieee1609.2中被标准化。该解决方案有时使用名称dsrc/wave。
camp还定义了既影响概念导频的试验又影响各种标准的工作的scms。下面大体上概述了这样的安全性工作。
具体地,在安全性的第一方面中,v2x消息具有特定格式。通常,v2x消息包含三个主要部分。第一部分是应用消息内容。第二部分是由发送its站提供的消息的签名。v2x消息的第三部分是由凭证权威签署的凭证。
camp针对v2x通信使用椭圆曲线qu-vanstone(ecqv)隐式凭证。
基于上文,车辆或其他its站可以发送利用其私钥中的一个私钥所签署的消息(称为a)和对应的隐式凭证,包括例如到接收者its站的(p,info)。在上文中,p是公共重构密钥,并且info是管理信息。接收者通过计算ep+d来提取发送者的公共验证密钥,其中e=hash(info,p),并且d是凭证权威的公共验证密钥的受信副本,
然后,接收者使用发送者的公共验证密钥来验证消息上的签名。例如,这在图4中进行了图示。
参照图4,发送its站410首先在框412中形成消息。然后,发送its站利用由框414所示的合适密钥a对该消息进行签署。
如框420所示,发送its站410然后发送消息、其签名s和对应的ecqv凭证(p,info)。
接收its站430然后可以检查凭证吊销列表中是否存在凭证,如框440所示。凭证吊销列表在下面更详细地描述。
如果凭证不在凭证吊销列表上,则接收its站430然后可以提取公共验证密钥a=ep+d。这在框442中示出。
接收its站430然后可以利用a验证s,如框444所示。
上面的一个问题是,具有单个静态凭证的车辆可以被基础设施网络元件或其他道路使用者追踪。为了避免这样的情况,its站可以被指派某个时间段的若干凭证,此后丢弃这样的凭证。例如,车辆或另一its站可以被指派给定的一周内的二十个凭证,此后丢弃这些凭证。
its站可以循环通过凭证,使用另一凭证之前,仅使用每个凭证特定时间段。例如,每个凭证可以使用五分钟,此后使用下一凭证。每个凭证还可以包括不同的假名作为标识符。轮换凭证的这样的使用可以防止基础设施元件追踪车辆。
行为异常权威
行为异常权威确定来自its站的消息是否可信。如果行为异常权威确定its站不再受信,那么its站凭证被吊销。
通过这样的方式,v2x消息的接收者可能能够检查接收到的凭证是否仍然有效并且尚未被吊销。通常,这是通过将不可信凭证的凭证标识符放在凭证吊销列表上来完成的。
然而,这样的凭证吊销列表可能变得非常大。在该示例中,每个车辆每周都会被发行约20个凭证,并且可能会被发行多年的凭证。在这方面,其凭证被吊销的每个车辆或its站将向这样的凭证吊销列表添加许多凭证。
进一步地,针对crl的地理区域可能很大,导致许多its站可能在列表上。
为了克服这一点,camp已经决定使用散列链。散列链以种子值开始并且对其进行散列,然后对该散列进行散列,然后对该散列进行散列,依此类推。结果是值的序列,称为链接种子,每个值都是前一链接种子的散列。链接值可以从链接种子生成。
当生成ecqv凭证时,凭证权威将第k个链接值(或其一部分)放置在管治第k次使用的凭证的管理部分中。要吊销its站,行为异常权威会将当前的链接种子放入crl中。
接收者可以快速计算与crl上的链接种子相关联的合适链接值,并将其与凭证中的链接值进行比较。如果链接值匹配,则凭证及其关联的v2x消息被拒绝。
its站可以每周计算与crl上的每个链接种子相关联的链接值,并将它们保存在存储器中。
然而,以上描述被简化。出于隐私原因,camp需要两个散列链集。每个通常都利用以上行为。
在camp中,链接值由两个链接权威(la1和la2)生成。每个its站分别生成随机链接种子lsi(0)和ls2(0)。然后,链接权威分别在随后的时间i内迭代生成链接种子isi(i)和is2o),其中/对应于针对周的数字。
链接值是从这些链接种子生成的,并且被放置在ecqv凭证内。为车辆在给定的一周内可以使用的凭证中的每个凭证提供两个不同的链接值。针对时间值(ij),la1使用aes和xor根据/dlai、lsi(i),和j来计算值plvi(i,j)。在该情况下,/对应于第i.周内使用的给定凭证。
更具体地,第一链接种子被用作aes操作中的密钥,以产生与使用第二链接值所提供的等效比特集进行xor运算的比特集,这是由传输its站在凭证中提供的。这样的操作由凭证权威执行。
针对每个行为异常的its站,crl包含两个链接种子,一个链接种子来自每个链接权威,接收车辆可以从其生成所有可能的链接值对,这些链接值对可能在该周或随后的几周期间的任何给定时间被该行为异常的车辆使用。接收到v2x消息的车辆对从crl中的链接种子信息导出的链接值对执行与上述相同的aes和xor操作。
通过将该序列与凭证中接收的序列进行比较,v2x消息接收its站可以确定是否应当丢弃消息,因为该消息是由不可信车辆发送的。
利用该系统,链接权威都无法在不与另一链接权威共谋的情况下追踪特定的车辆。
基于以上原理,关于图5描述了camp系统架构。
具体地,图5的实施例提供了一种结构,其中至少两个逻辑角色需要共谋以获得足够的信息来追踪车辆,从而减轻未经授权的共谋,这两个逻辑角色可以通过不同的组织执行。
在图5的实施例中,scms管理器510设置在框512中所示的行为异常吊销策略,并且还提供在框514中所示的技术信息。
设备配置管理器520将scms配置信息提供给各个设备522。例如,设备配置管理器520可以提供网络地址、网络元件凭证的变化以及其他信息。
登记凭证权威524向设备发行登记凭证,然后该设备可以将其用于获得假名凭证以及其他信息。进一步地,不同的登记凭证权威可以针对不同的地理区域、制造商或设备类型发行登记凭证。
链接权威(诸如链接权威530和链接权威532)生成在凭证中使用的链接值并且支持凭证吊销。对两个链接权威的使用防止单个链接权威的运营商链接属于特定设备的凭证,从而防止单个链接权威追踪设备。
地点模糊代理534改变设备源地址,并且防止将网络地址链接至地点。
行为异常权威540根据其接收到的报告来确定哪些设备行为异常,并在由内部黑名单管理器542管理的黑名单上以及在由crl生成器544管理的crl上录入这样的设备。行为异常的检测通过全局检测模块546完成。
假名凭证权威550向设备发行假名凭证,每个凭证仅在有限的指定时间内可用。假名凭证权威可能仅限于用于特定地理区域、由特定制造商使用或由特定设备类型使用。
登记权威560确认(validate)、处理对假名凭证的请求并且将对假名凭证的请求转发给假名凭证权威550。
中间凭证权威570是返回到根ca572的信任链的一部分,其使中间ca能够代表根ca572发行凭证。根凭证权威572是发行凭证的受信实体,其可以被用于验证由凭证的发送者提供的信息或身份。根ca可以由根管理功能574来管理。
利用图5的结构,签名的快速验证是可能的。ieee1609.2章节5.3.1中指定的快速签名验证是一种可以在常规dsrc系统中用于减少检查签名时的处理负担的技术。具体地,该章节声明:
该标准指定使用联邦信息处理标准(fips)186-4中指定的椭圆曲线数字签名算法(ecdsa),可选地在sec1版本2中指定的签名中包括附加信息。还参见章节6.3.29:如果签名过程遵循sec1的规范并且输出椭圆曲线点r以允许快速验证,则r被表示为eccp256curvepoint,指示由发送者自行决定选择压缩y-0、压缩y-1还是未压缩。
crl
如上所述,凭证可以被用于验证诸如v2x消息中所包含的数据等数据。然而,凭证可以在其到期日期之前被吊销,因此,接收实体需要能够确定未到期的凭证尚未被吊销。凭证吊销列表(crl)为此提供了解决方案。
基础形式的crl是数字凭证的列表,其凭证权威(ca)已决定在凭证的到期日期/时间之前吊销。crl由针对该凭证的凭证权威根据其权力产生,并且需要被分发给需要处置由该ca发行的凭证的实体(例如its端点)或由需要处置由该ca发行的凭证的实体获取。crl通常被签署以提供完整性和真实性。接收凭证的实体需要检查以查看已接收的凭证在从凭证的craca所获得的crl中(每个凭证都包含其craca的指示,例如cracaid)是否被指示为吊销,如果已吊销,则应将数据视为不可信的,例如就像接收到了未经签署的数据一样。
crl上仅存在未到期的凭证。具体地,一旦凭证到期,就不再需要在crl上存在,因为接收到到期凭证的实体已经将这样的凭证视为已吊销。
crl可以随时被分发给需要它们的实体(通常在该实体预计开始接收凭证之前)。然而,当接收到具有如下craca的凭证时:该craca标识crl,该实体不具有针对该craca的crl,或者当该实体标识已经被获得并且已到期的crl时,该实体将始终需要获取/获得新的crl。
在v2x中,crl是用于吊销与its端点相关联的凭证的唯一机制。its端点针对每个v2x服务可以使用多于一个凭证,其中在特定时间点通常存在20至100个凭证有效,但是每个凭证可以具有不同的开始和持续时间/到期时间。因此,定义v2xcrl,使得提供足够的信息来吊销its端点的v2x服务的所有凭证,通常从某个日期/时期开始。
通常,its端点针对每个v2x服务具有一个凭证集,因此允许每个its端点的单个v2x服务针对该its端点被吊销。
crl或crl集被供应给its端点。例如,在etsits102941“智能输送系统;安全性;信任和隐私管理’(如例如在2018年5月的版本1.2.1中找到)中指定了etsiits中的crl的生成和分发。这样的crl的结构例如可以在本技术规范的附件a中找到。
在另一示例中,ieee在1609.2“车辆环境中的无线接入的ieee标准-应用和管理消息的安全性服务”1013中定义了crl。
一旦被供应了crl,那么its端点就可以在每次从其他its端点接收到v2x消息收发时询问crl,以确定是否已吊销在v2x消息中从另一its端点接收到的凭证,并且因此,是否可以信任发送its端点。如果发现接收的v2x消息收发包含crl上存在的凭证,那么接收its端点将发送its端点视为不可信,并可以采取合适的行为。例如,这样的行为可以包括忽略或静默丢弃从该its端点接收的v2x消息收发。
不受信的its端点也称为“行为异常车辆”或“行为异常its端点”。针对一个或多个v2x服务,可能可以将its端点视为不受信的/行为异常,而针对一个或多个其他v2x服务,则可能会将其视为可信的/行为正常的/未行为异常的。
取决于ca发行了多少凭证,持续了多长时间(即,有效性周期)以及被认为针对一个或多个v2x服务行为异常的its端点的数量,crl可能也很广泛以及进行多次/频繁的更新。
在线凭证状况协议(ocsp)和ocsp装订
ocsp是客户端-服务器协议,客户端使用该协议来从服务器获得数字凭证的吊销状况。例如,ocsp在2013年6月的互联网工程任务组(ietf)请求评议(rfc)6960,“x.509互联网公钥基础设施在线凭证状况协议–ocsp’中被定义。
在一些情况下,被吊销的凭证可以是例如x.509数字凭证。
在接收到例如作为经签署消息的一部分的数字凭证时,ocsp客户端查询ocsp服务器,以确定凭证是否有效并且尚未被吊销。
根据2011年1月的ietfrfc6066,“输送层安全性(tls)扩展:扩展定义”,ocsp服务器然后可以提供ocsp响应,指示接收到的凭证的以下状态中的一种状态:良好、已吊销、未知。
与crl中所包含的字段类似,ocsp服务器还可以包括其他信息,包括“thisupdate”字段和“nextupdate”字段。该其他信息一起提供ocsp响应有效性的开始和结束时间/日期。换言之,这些字段定义了ocsp响应的有效性的周期。
ocsp服务器可以备选地例如基于格式错误的ocsp请求来提供错误。
ocsp装订也被称为“tls凭证状况请求扩展”。例如,这可以在2013年6月的ietfrfc6066以及ietfrfc6961,“输送层安全性(tls)多凭证状况请求扩展”中进行定义。
ocsp装订修改了ocsp,其中代替接收必须与ocsp服务器联系的凭证的实体,旨在发送凭证的实体首先使用上述机制与ocsp服务器联系,接收具有时间戳的ocsp响应,然后将具有时间戳的ocsp响应附加或“装订”到它发出的凭证。附加的/装订的具有时间戳的ocsp响应向所有接收实体证明所接收的凭证在特定的有效性周期内有效。换言之,凭证还没有被吊销。
因此,装订否定了接收数字凭证或由数字凭证签署的数据的客户端与如下凭证权威联系的要求,或者实际上针对crl检查接收到的凭证,上述凭证权威自己使用ocsp发行了该凭证。
ietfrfc6066描述了在web客户端访问服务器的典型情况下被用作tls机制的一部分的消息收发的更多细节。在tls握手期间,web客户端可能会请求服务器提供ocsp响应,服务器会将其装订到服务器提供给客户端的凭证。客户端通过在tls握手中包括certificatestatusrequest\n来进行该请求。
ocsp响应的内容在ietfrfc6960中被定义。
常规ocsp请求的内容也在ietfrfc6960中被定义。
定制crl
针对作为v2x消息的接收者的its站,无论是处理还是存储器方面,使用大型crl可能都会很繁琐。每个its站必须将每个接收到的消息的凭证的标识符与crl指示的所有凭证的身份进行比较。比较将确定该消息是否可以被信任。
例如,在城市环境中,基于彼此相邻的100个车辆或its站,its站每秒可以接收大约1000个签署消息,其中每个its站每秒发送10个消息。该消息例如可以是基础服务消息收发。
附加地,在向its站供应大型crl或crl集时,可能会浪费蜂窝资源。在下行链路中传达蜂窝网络消息时也浪费了资源,这些消息仅将被its站接收器丢弃。
基于此,根据本公开的实施例,可以基于时间、地点和/或目的地以及其他因素将定制crl提供给its端点。
具体地,不是向its端点发送包含已知被吊销或未知的所有凭证的一个或多个crl,在本文中称为“完整crl”,其可以包含请求端点可能永远不需要的数据,因为车辆不太可能靠近其凭证位于主crl上的多个its端点,而是提供针对请求its端点的定制crl。该crl可以被称为“定制crl”,并且与完整crl相比可以具有相同或较小的大小。
此外,定制crl可以为空或不包含数据,因为crl请求its端点根本不需要来自完整crl的任何crl。例如,如果crl上的所有凭证都与crl请求its端点可能永远不需要进行通信的its端点相关,则定制crl可能为空。
通过在定制crl中仅包括属于其他its端点的吊销凭证,可以将完整crl修改为定制crl,crl请求its端点在特定时间段内和/或在its端点位于特定地理区域内时可能遇到其他its端点。进一步地,在一些情况下,可以创建定制crl以适应v2x车辆的完整路线。因此,如果服务器知道v2x车辆将要走的路线,那么crl可以包括目标车辆在该路线上驾驶时可能遇到的所有车辆的凭证。如要了解的,这同时考虑了地理和时间。
为了获得一个或多个定制crl,crl请求its端点可以利用一个或多个crl供应服务器以及可选的一个或多个crl供应代理,两者都经由数据连接访问。然后,为its端点提供定制crl或者包含its端点本身创建定制crl所需的数据的完整crl。下面描述用于提供定制crl或允许its端点创建其自己的crl的实施例。
定制crl可以由crl供应服务器、crl供应代理和/或its端点基于以下一项或多项来确定:
●crl请求its端点的当前地点;
●其一个或多个凭证在完整crl上的its端点的当前或最后已知地点;
●crl请求its端点的预期行程;
●一个或多个凭证位于完整crl上的its端点的预期行程;以及
●crl请求its端点最近或在指定时间段内以及可选地在距其他its端点的特定地点内接收到的一个或多个凭证的字段或身份字段。
crl供应服务器和/或crl供应代理可以确定其他its端点的地点,从而创建一个或多个定制crl。基于从crl请求its端点接收到的上述信息为crl请求its端点创建这样的定制crl,该crl在来自路边单元以及其他实体的一个或多个完整crl上具有一个或多个凭证。
针对在完整crl上指示的凭证,其关联的its端点地点和预期行程细节未知,这样的凭证可以始终被包括在从完整crl导出的定制crl中。
架构
根据本公开的实施例,用于执行本文的实施例的架构包括以下节点中的至少一个。
在一些实施例中,第一节点可以是its端点。具体地,its端点可以是可以发送和/或接收与v2x相关的消息收发的任何实体。its端点的示例包括车辆、路边单元、用户设备等。
该架构中的第二节点可以是crl供应服务器。具体地,crl供应服务器是向its端点提供一个或多个crl的功能实体,并且可以与craca相关联或被称为craca。crl供应服务器也可以被称为crl商店、分发中心、等等。在一些实施例中,crl供应服务器可以是rsu。
该架构中潜在的第三节点可以是crl供应代理。具体地,crl供应代理是在车辆和crl供应服务器之间代理消息的功能实体,并且可以向它代理的消息添加附加数据/信息。crl供应代理可以与crl供应服务器并置。进一步地,在一些情况下,crl供应代理可以是rsu。
现在参照图6。在图6的实施例中,its端点610和its端点612可以是具有与v2x服务器通信的能力的任何端点。具体地,在图6的实施例中,its端点是车辆。然而,在其他情况下,可以使用不同的its端点。
its端点610可以经由crl供应代理630与crl供应服务器620通信。在其他情况下,its端点612可以与crl供应服务器620直接通信。
在两种情况下,其他节点或网络元件两者都可以存在于通信路径中,并且为了简单起见在图6的实施例中未示出。
用于its端点与crl供应代理和/或crl供应服务器进行通信的各种部署架构是可能的。
例如,现在参照图7。图7的实施例示出了第一部署架构,其中单个crl供应服务器或crl供应代理710可以服务于its端点720、722、724、726、728或730,无论这样的端点的地点如何。
在图8的实施例中,示出了第二部署架构。在这样的情况下,crl供应服务器或代理810可以服务于its端点820、822和824。第二crl供应服务器或代理830可以服务于its端点840、842和844。在一些情况下,划分可以基于不同的地理位置或地点。在其他情况下,its端点的特性可以被绑定至特定的crl供应服务器或代理。
在图6、图7和图8的实施例中,crl供应服务器可以包括多个物理节点,这些物理节点可以被用于允许故障转移、负载平衡等。换言之,当上文参照crl供应服务器时,可以提供crl供应服务器的集群。
图6、图7和图8的crl供应服务器和crl供应代理可以位于蜂窝或移动网络运营商的网络内,或者可以属于车辆制造商或服务提供者等等。
its端点与crl供应服务器通信
在本公开的一个实施例中,its端点可以与crl供应服务器通信,并且crl供应服务器可以被用于向its端点提供一个或多个定制crl。
因此,现在参照图9。在图9的实施例中,its端点910与crl供应服务器912通信。又一或另一服务器914也可以是网络的一部分。
图9的实施例是简化图,并且在its端点和crl供应服务器之间可以存在一个或多个附加节点。例如,在一些情况下,这样的附加节点可以被用于路由或代理消息。
在图9的实施例中,its端点910可以具有触发事件920。触发事件可以是its端点接收到指示和/或在its端点中发生的触发事件。触发事件可以是以下一项或多项。在第一情况下,触发事件可以是先前从crl供应服务器接收的已超过或到期的crl的时间限制。
在又一情况下,触发事件可以是先前从crl供应服务器接收的基于its端点的当前地点已超过或到期的crl的地理区域限制。
触发的第三情况可能是its端点已确定它需要它没有的crl。例如,its端点可以从不同的its端点接收v2x消息,该v2x消息包含具有凭证权威字段的凭证,its端点没有针对该凭证的关联的crl。
触发事件的其他选项是可能的。
在触发事件发生时,图9的过程进行到框922,其中its端点确定要连接至的crl供应服务器的一个或多个地址。确定可以包括以下一项或多项。在第一实例中,可以通过从对its端点可用的存储装置读取配置数据来找到信息,该配置数据可能已经经由单播、多播或广播到its端点被接收。例如,该消息可能已经经由蜂窝无线电接入网络,经由wi-fi802.11无线电网络,经由以太网连接,经由电源连接(诸如通过有线插座、无线充电站)等被接收。
在另一实例中,可以通过使用特定格式和特定输入参数构造完全合格域名(fqdn)来找到地址。输入参数可以用于确定fqdn的各个方面,诸如标签,并且使用配置数据或以下一项或多项来确定参数:地点数据、公共陆地移动网络(plmn)id、plmn区域id(例如地点区域身份(lai)、追踪区域身份(tai)、路由区域身份(rai)、小区全局身份(cgi)等)、gnss坐标以及其他这样的信息。在其他情况下,可以基于当前可用的无线电接入网络来确定地点。例如,可以通过诸如移动国家代码(mcc)和移动网络代码(mnc)等plmnid来标识蜂窝网络。可以通过服务集标识符(ssid)、扩展ssid(essid)、广播ssid(bssid)等来标识wi-fi网络。
在其他情况下,标识符可以是日期、时期和/或一天中的时间。
从以上的一项或组合获得的一个或多个地址可以例如是ip地址、完全合格域名、可以使用dns服务器进一步解析的域名等。在一些情况下,例如使用dns,可能需要解析所确定的一个或多个地址。
从上述读取或构造的一种或组合获得的一个或多个地址还可以与以下一项或多项相关联,这将导致获得不同的一个或多个地址,取决于诸如地点、日期、时间、可用的无线电接入网络等因素。这样的信息或因素可以包括地点数据,诸如plmnid、包括lai、tai、rai、cgi的plmn区域id或其他类似的标识符、gnss坐标以及其他因素。包括由例如针对plmnid标识的蜂窝网络(诸如mcc和mnc)、由ssid、essid、bssid标识的wi-fi网络等当前可用的无线电接入网络也可以是因素。
日期、时期和/或一天中的时间也可以用于标识服务器,并且在一些情况下,可以允许新服务器的正常调试、现有服务器的正常停用、等等。
框922中的行为通常在its端点已经确定craca之后执行。例如,可以使用接收到的凭证中的cracaid进行确定。
在框922之后,its端点910将消息930发送给crl供应服务器912。消息930可以是crl请求消息。在一些情况下,请求消息可能包含如下所述的定制数据。
在一些情况下,如果基于每个地点联系crl供应服务器,则可以从定制数据中省略its端点地点,例如如上面的图8所描绘的。
如框940所示,在接收到消息930时,crl供应服务器912然后可以验证定制数据和/或crl请求its端点。验证可以涉及crl供应服务器确定在定制数据中未接收到的附加数据。
由crl供应服务器912确定附加数据的益处是可以潜在地减轻诸如行为异常its端点插入不正确的地点信息、不正确的源its端点身份或标识符以及其他因素等问题。
在接收消息930并且可选地验证接收到的数据时,crl供应服务器可以在框942中将its端点的接收和/或确定和/或验证的地点信息与its端点身份或标识符进行结合,然后存储该结合。然后,例如当crl供应服务器从其他its端点接收针对定制crl的一个或多个请求并且需要确定其他its端点的定制crl的内容时,可以使用所存储的数据。具体地,地点、时间、目的地和/或其他数据与its端点相关联,并且可以在创建针对其他its端点的(多个)定制crl时使用。
在一些情况下,crl供应服务器912然后可以可选地向其他服务器914发送信息消息944。例如,在接收到crl请求消息时,信息消息944可以通知其他实体(诸如crl供应服务器、中心地点数据服务器或其他网络节点)its端点的地点,并且可以包括地点信息数据、目的地数据和/或its端点身份或its端点的标识符。这可以在诸如用上面的图8描述的多crl供应服务器架构中使用。
在接收到消息944时,另一服务器914然后可以存储所接收的地点信息数据、路线数据和/或its端点标识符。
然后,如框950所示,crl供应服务器912可以确定用于its端点的完整crl。具体地,crl供应服务器可以在零个和多个完整crl之间确定crl请求its端点。例如,可以通过在消息930中接收定制数据来完成该确定。
如果没有完整crl被确定,那么crl供应服务器912可以发送指示没有完整crl对crl请求its端点910可用的消息,并且没有进一步的步骤被处理。这通常是错误消息。
相反,如果一个或多个完整crl被确定,那么过程进行到框952,其中针对每个完整crl的定制crl可以被确定。可以使用在消息930中接收到的完整crl和定制数据来确定定制crl,并且还可以可选地使用在crl请求消息930中接收到的其他数据来确定。
例如,定制crl可以仅包含its端点910在特定时间段内在特定地理区域内沿着指定路线可能遇到的其他its端点的凭证等等。
在确定定制crl时,crl供应服务器912然后可以将响应消息960发送给its端点910。响应消息960包括定制crl和到期数据。crl供应服务器在crl响应消息960中包括的到期数据可以取决于在crl请求消息930中接收到的数据,诸如定制数据或其他数据。到期数据可能包含以下的组合的一项或多项:
●时间限制,可以但不必须与完整crl中包含的时间限制相同。例如,该信息可能在下一更新字段中,在下一crl字段中,等等。
○在一些情况下,时间限制可以是相对于its端点接收crl响应消息的时间的相对到期日期或时间。在其他情况下,时间限制可以是绝对到期时间或日期。
●在一些情况下,crl供应服务器可能会接收到地理区域限制。例如,这可以包括相对于在crl请求消息930中报告的its端点的位置的相对位置变化。在其他情况下,地理区域限制可以基于绝对位置。
its端点912从crl供应服务器接收crl响应消息,然后存储这样的信息。
在一个替代实施例中,its端点910可以确定其定制crl,而不是在crl供应服务器处进行的框960中的确定。在该程序中,its端点与crl供应服务器进行通信,并且crl供应服务器可以为its端点提供一个或多个完整crl。its端点然后可以确定并存储一个或多个定制crl。
具体地,现在参照图10。在图10的实施例中,its端点1010与crl供应服务器1012通信。crl供应服务器可以与其他服务器1014通信。
与上面参照图9描述的那些类似的框和消息收发在图10中用相同的附图标记来引用。具体地,its端点1010可以具有由框912所示的触发事件。
然后,在框922中,its端点1012可以确定要连接的crl供应服务器。
its端点912然后可以向crl供应服务器1012发送crl请求消息930。crl请求消息930可以包含定制数据和其他数据。
crl供应服务器然后在框940处可以验证接收到的数据,并在框942处存储该数据。
crl供应服务器然后可以将信息消息944提供给另一服务器1014。
在图10的实施例中,crl供应服务器然后在框950处可以确定完整crl。
在图10的实施例中,crl供应服务器1012然后可以将crl响应消息1062提供回its端点1010。在该情况下,crl响应消息1062包括一个或多个完整crl。这样的一个或多个完整crl可能包含关于允许its端点做出定制决策的每个凭证的信息,诸如完整crl中的每个端点的最新地点、端点上次通信的时间和/或端点的路线、等等。如果crl不包含针对一个或多个端点的这样的信息,则可以将这样的一个或多个端点保留在定制crl中。
在一些情况下,crl响应消息1062可以是仅包含自最后一个完整crl被发送给its端点1010以来已改变的信息的增量。因此,本文使用的增量仅包含已改变的信息,并且因此小于完整crl。可以这样做以节省与its端点1010进行消息收发时的带宽。
在接收到crl响应消息1062时,its端点1010可以确定和存储针对每个完整crl的定制crl,其包含在消息1062中接收到的一个或多个实体的地点数据。在图10的实施例中的框1070中示出了定制crl的确定和存储。框1070中的确定还可以使用在响应消息1062内所提供的其他信息。
作为图10的实施例的变型,可以由crl供应服务器1012将crl响应消息1062发送给一个或多个its端点,而无需首先接收crl请求消息930。换言之,消息1062可以是作为广播或多播消息发送给多个its端点的。在该情况下,在该变型中,crl请求消息930可以被称为its端点crl报告消息,并且crl响应消息1062可以被称为crl供应服务器报告。
its端点1010可以周期性地向crl供应服务器发送消息930,以便提供定制数据,使得crl供应服务器能够提供针对crl供应服务器报告中所包括的一个或多个完整crl内的一个或多个实体的地点数据。然而,crl供应服务器可以使用其他方式来确定针对crl供应服务器报告中所包括的一个或多个完整crl内的一个或多个实体的地点数据,诸如从路边单元、其他its端点等接收的信息。
its端点与crl供应代理通信
在又一实施例中,its端点可以与crl供应代理进行通信。crl供应代理可以从crl供应服务器获得一个或多个完整crl,并且确定一个或多个定制crl。然后,crl供应代理可以向its端点提供一个或多个定制crl。
利用供应代理的一个优点是,对于crl的定制,不需要升级或增强现有或传统的crl供应服务器。相反,crl供应代理可以由已经具有针对its端点的供应或地点信息的实体提供。
在这方面,在一个实施例中,crl供应代理可以充当针对its端点可能需要的所有可能的crl的单个联系点。
尽管下面描述的实施例示出了its端点与crl设置代理之间的通信,但实际上,在its端点与crl供应代理之间可能存在一个或多个附加节点。进一步地,在crl供应代理之间以及在crl供应服务器之间可能存在一个或多个附加节点。为了清楚起见,这样的附加节点未在下面的附图中示出。
现在参照图11。在图11的实施例中,its端点1110与crl供应代理1112通信。进一步地,crl供应服务器1114可以向crl供应代理1112提供完整crl。
在框920,its端点1110可以接收触发事件。框920可以具有与上面关于图9和图10描述的功能性相同的功能性。
基于触发事件,its端点1110可以在框922确定与哪个crl供应服务器联系。框922的功能性可以与上面关于图9和图10描述的功能性相同。
its端点1110然后可以向crl供应代理1112发送crl请求消息1120。消息1120可以包含各种信息,诸如关于地点的数据以及针对its端点的定制数据。
然而,在一些实施例中,如果基于每个地点联系crl供应代理,则可以从定制数据省略its端点的地点。例如,如果使用上面的图8中所示的架构,则可能就是这样的情况。
一旦crl供应代理1112接收到消息1120,则crl供应代理可以在框1130验证接收到的数据。crl供应代理可以验证消息1120和/或crl请求its端点内的定制数据,这可能涉及crl供应代理找到定制数据中未接收到的附加数据。
在框1130的验证可以具有潜在地减轻诸如行为异常ue提供不正确的地点信息、its端点标识符的不正确源以及其他这样的行为异常ue数据等问题的益处。
然后,在框1132,供应代理1112的crl可以存储数据。具体地,crl供应代理1112可以将its端点的接收和/或确定和/或验证的地点信息与its端点标识符结合,并在框1132中存储该结合。例如,当crl供应代理从其他its端点接收到针对定制crl的一个或多个请求并且需要确定如下所述的其他its端点的定制crl的内容时,可以使用该信息。
在一些实施例中,crl供应代理1112可以发送crl通知消息1140以向另一实体1116通知its端点1110的地点。该另一实体例如可以是crl供应服务器、中央地点数据服务器或任何其他网络节点。
例如,可以在消息1120被crl供应代理1112接收时发送消息1140。消息1140可以包括地点信息数据、路线或目的地信息和/或its端点标识符。例如,在使用多crl供应服务器架构的情况下,可以使用消息1140。例如,这样的多crl供应服务器架构可以包括以上图8的实施例。
然后,在框1150,crl供应代理1112可以确定零个或多个crl供应服务器以获得用于请求its端点的crl的零个或多个完整crl。例如,可以基于在消息1120中接收到的定制数据来做出确定。在其他情况下,除了其他选项外,还可以基于其他数据(诸如its端点的凭证权威)进行确定。
如果没有crl供应服务器被确定,那么crl供应代理1112可以将没有完整crl可用的消息发送给its端点1110。可以将这视为错误消息,然后没有其他步骤被crl供应代理1112处理。
如果一个或多个crl供应服务器被确定,那么处理继续。
具体地,crl供应代理1112可以将crl请求消息1152发送给一个或多个所确定的crl供应服务器1114。消息1152可以包含指示想要或需要的一个或多个完整crl的数据,并且还可以包括例如在消息1120中接收到的其他数据。
crl供应服务器1114接收消息1152,然后可以在框1160确定完整crl列表。如果没有完整crl被确定,那么crl供应服务器1114可以向crl供应代理1112发送指示错误的消息,并且不采取其他步骤。
相反,如果一个或多个完整crl被确定,那么crl供应服务器1114将消息1162发送回crl供应代理1112。消息1162可以包含its端点1110的一个或多个完整crl。
在一些情况下,crl响应消息1162可以是仅包含自最后一个完整crl被发送给crl供应代理1112以来已经改变的信息的增量。可以这样做以节省与crl供应代理1112进行消息收发时的带宽。
crl供应代理1112接收消息1162,然后可以在框1170确定针对its端点1110的定制crl。具体地,可以使用在消息1120处接收的定制数据来确定定制crl,并且可以可选地使用在crl请求消息中接收到的其他数据来确定。
因此,例如定制crl可能仅包含关于its端点1110在预定时间段内可能遇到的车辆或its端点的数据,并且因此小于完整crl。
在其他情况下,如果its端点1110向crl供应代理1112提供预期行程细节,那么定制crl可以用于整个路线以及its端点1110针对该路线可能遇到的车辆或其他its端点。如本领域技术人员将了解的,这涉及外推旅行时间和路线选择,以确定在该时间段期间以及在该路线上可能遇到哪些车辆或其他its端点。
在确定了定制crl之后,crl供应代理1112可以向its端点1110发送消息1172,其包含针对its端点的一个或多个定制crl。
消息1172还可以包含到期数据。由crl供应代理在crl响应消息1172中包括的到期数据可以取决于在消息1120中接收到的数据,并且可能受到时间限制。在这样的情况下,时间限制可以但不一定必须与完整crl中包含的时间限制相同。例如,这样的完整crl可以在nextupdate字段或nextcrl字段中包含时间限制。
到期时间或时间限制可以相对于its端点1110接收消息1172的时间。备选地,该时间可以是绝对时间或日期。
在其他情况下,到期数据可以包括地理区域限制。同样,这样的地理区域限制可以相对于its端点1110的当前位置。因此,如果its端点1110移动的距离超过阈值距离,那么可能需要请求新的定制crl。在其他情况下,地理区域限制可以基于绝对位置。
在替代实施例中,当在代理环境中时,its端点可以确定定制crl。在这方面,现在参照图12。
在图12的实施例中,its端点1210与crl供应代理1212通信。
进一步地,crl供应代理1212与供应服务器1214通信。
其他服务器1216可以类似于来自图11的其他服务器1116。
在图12的实施例中,框920、922、1130、1132、1150和1160以及消息1120、1140和1152具有与上面关于图11描述的功能性类似的功能性。
一旦在框1160确定了完整crl,crl供应服务器1214就可以向crl供应代理1212提供消息1270。
crl供应代理1212接收包含一个或多个完整crl的消息1270,一个或多个完整crl包含一个或多个完整crl内的针对一个或多个条目的地点数据。
在一些情况下,crl响应消息1270可以是仅包含自最后一个完整crl被发送给crl供应代理1212以来已经改变的信息的增量。可以这样做以节省与crl供应代理1212进行消息收发时的带宽。
如果一个或多个完整crl不包含针对一个或多个条目的地点数据,那么crl供应代理可以在一个或多个完整crl内添加针对一个或多个条目的地点数据。
crl供应代理1212然后可以将crl响应消息1272发送给its端点1210。消息1272包含一个或多个完整crl,一个或多个完整crl包含一个或多个完整crl内的针对一个或多个条目的地点数据。
在一些情况下,crl响应消息1272可以是仅包含自最后一个完整crl被发送给its端点1210以来已经改变的信息的增量。可以这样做以节省与its端点1210进行消息收发时的带宽。
its端点1210接收响应消息1272,然后可以基于一个或多个完整crl内的针对一个或多个条目的地点数据来确定定制crl,如框1280所示。可以使用对于its端点可用的定制数据、接收到的一个或多个完整crl中的针对一个或多个条目的地点数据来确定定制crl,并且还可以可选地使用在crl响应消息1272中接收到的其他数据来确定。
在又一变型中,crl供应代理可以将crl响应消息1272发送给一个或多个its端点1210,而无需代理首先接收请求消息1120。因此,请求消息1120可以被称为its端点crl报告消息,并且crl响应消息1272可以被称为crl供应代理报告。its端点1210可以发送定制数据以使crl供应代理和/或crl供应服务器能够提供crl供应代理报告中所包括的一个或多个完整crl内的针对一个或多个条目的地点数据。然而,crl供应代理和/或crl供应服务器可以使用其他方法来确定crl供应代理报告中所包括的一个或多个完整crl内的针对一个或多个条目的地点数据。例如,除其他选项之外,该信息可以从路边单元信息获得或从诸如警车等公共车辆获得。
信息收发
在以上图9至图12的实施例中,可以使用各种消息收发。具体地,诸如消息930、1120和1152等crl请求消息可以使用超文本传送协议(http)/http安全(https)方法。例如,这样的方法可以包括get、head等等。
备选地,这样的方法可以使用会话发起协议(sip)方法,包括注册、邀请、消息、订阅、通知等等。
crl响应消息960、1062、1162、1172、1270和/或1272可以使用各种消息收发。例如,这样的消息收发可以包括http/https响应,诸如200ok。
在其他一些实施例中,消息收发可以使用诸如200ok等sip响应。
在其他一些实施例中,响应可以使用http/https方法,诸如get、head等。
在其他一些实施例中,响应消息可以包括诸如邀请、消息、订阅、通知等sip方法。
可以使用诸如安全套接字层(ssl)、输送层安全性(tls)、互联网协议安全性(ipsec)、互联网密钥交换(ike)等附加与安全性相关的机制来保护上述消息收发。
此外,在图9至图12中描述的消息收发中,its端点的身份或标识符可以是唯一标识its端点的任何标识符。例如,端点身份可以是以下一项或多项:
●与its端点相关联的一个或多个凭证或凭证字段(例如链接id、链接种子、hashid8等);
●一个或多个国际移动订户身份(imsi)、临时移动订户身份(tmsi)、分组tmsi(p-tmsi)、全球唯一临时ue身份(guti)、第五代guti(5g-guti);
●一个或多个设备身份,例如imei;
●一个或多个移动台国际订户目录号(msisdn);
●一个或多个ip地址或ip地址的一部分;
●一个或多个介质访问控制(mac)地址;
●一个或多个sip通用资源标识符(uri);或者
●一个或多个teluri。
如本领域技术人员将了解的,上述一些身份或标识符可能会发生变化,因此可能仅提供its端点的临时身份或标识符。这样的临时身份或标识符可能仍然是有益的,因为它可以通过防止对its端点的长期追踪来增强its端点的隐私。
定制数据
进一步地,通过以上图9至图12的实施例,its端点可以将定制数据发送给crl代理或crl服务器,以获得定制crl。定制数据是由its端点发送的,并且可以包含以下一项或以下的组合:
●请求its端点的地点信息;
●请求its端点的预期行程细节;
●所发行的/属于crl请求its端点的一个或多个its端点身份/标识符;或者
●请求its端点在某个时间段内已从其他its端点接收到的一个或多个凭证和/或一个或多个凭证的一个或多个字段(例如标识符字段(例如id、凭证id等)、公钥字段(例如encryptionkey、publicencryptionkey、verifykeyindicator等)等)。
定制crl
定制crl包括一个或多个完整crl的crl条目的子集以及到期时间和到期地点。
到期时间字段可以但不一定包含与来自完整crl的等效字段(诸如nextupdate字段和nextcrl字段)相同的值。
到期地点可以包括以下一项或多项:
●标识地理形状的坐标集和/或距离集(例如半径、直径、长度等),例如矩形、多边形、圆形等
●一个或多个plmn身份的列表
●一个或多个plmn区域身份的列表(例如rai、tai等)
对定制crl的各种标准的改变的示例在下面的表2和表3中示出。
例如,表2示出了对ieee1609.2,“车载环境中的无线接入的ieee标准-应用和管理消息的安全性服务”2016规范的改变,其中该规范的改变以粗体示出。
表2:对ieee1609.2的示例改变
表3示出了对2018年5月的etsits102941,“智能输送系统(its);安全性;信任和隐私管理’,v.1.2.1的示例改变,其中改变以粗体示出。
表3:对etsits102941的示例改变
在上面的表3中,所使用的地理区域数据类型是从2017规范ieee802.16,“宽带无线接入系统的空中接口的ieee标准”的章节6.4.17中导入并定义的数据类型。
当从its端点接收消息收发时,crl供应服务器和/或crl供应代理使用接收和/或确定的crl请求its端点的地点信息以及(如果提供的话)接收的预期行程细节,来确定定制的一个或多个crl的内容,以包括在对its端点的响应中。即,crl供应服务器或代理将其他its端点的数据包括在定制crl中,其中其他its端点是以下一项或多项:
●在请求车辆附近/距其一定距离内。
●确定在一定时间段内在请求车辆附近/距其一定距离内,例如crl供应服务器预计请求车辆要请求的时间段,以获得又一crl/crl集。
●其地点未知。
在上文中,所确定的数据可以包括通过联系一个或多个地点服务服务器(诸如符合3gpp的地点服务器、符合开放移动联盟(oma)的地点服务器等)以获得its端点的地点信息而获得的数据以及(如果提供的话)接收到的预期行程细节。
数据的验证和保证
为了保证crl请求its端点的地点,crl供应服务器或代理可以联系另一服务器(诸如地点服务服务器)、蜂窝网络内的另一实体(诸如家庭地点寄存器(hlr)、家庭订户服务器(hss)、应用编程接口(api)端点、网关移动地点中心(gmlc)等)和/或由于crl供应服务器或代理的地理地点而由crl供应服务器或代理推断以验证这样的地点数据。例如,地理地点可以用于crl供应服务器的不同实例部署在不同地点的部署中,诸如上面的图8所描述的。
在另一its端点接收到its端点身份并将其转发给供应服务器或代理的情况下,为了为这样的身份提供更多的保证,可能要求请求crl的its端点在定制数据消息中提供身份。进一步地,crl供应服务器或代理可以不更新与从另一its端点接收到的身份或标识符相关联的its端点的地点,直到来自某个地点的该its端点身份的报告数量超过阈值为止。换言之,如果由阈值数量的其他its端点报告,则可以验证its端点身份。
阈值可以是任何整数,并且通常在零到任何任意数字之间,诸如10、100、65535等。地点数据的值可以是标识地点的数字值。
替代实施例
在一些情况下,代替请求和接收定制crl,its端点可以请求和接收已知未被吊销的凭证列表。换言之,代替凭证吊销列表,可以接收指示凭证仍然有效的“白”列表。可以以与上面针对crl的实施例类似的方式来定制这样的白列表。换言之,its端点可能会请求具有定制信息的白名单,然后接收定制的白名单。
在其他情况下,its端点可以以与上面图10和12的实施例类似的方式接收完整的白名单并创建定制白名单。
在又一替代实施例中,为了增加its端点的地点的隐私,可以将crl拆分为不同的地理区或区域,并且crl请求its端点被提供或配置有crl的不同地理区或区域的信息。crl请求its端点可以基于预期行程细节为一个或多个crl请求crl请求its端点当前在某个相邻范围内和/或一定相邻范围内的一个或多个地理区内的一个或多个地理地点。
crl请求its端点包括其当前在请求内(诸如在定制数据内)所在的当前地理区或区域。
在某些区域中,地理区的地理大小可以大于其他地理区。例如,由于缺少基站,缺少路边单元以及其他因素,已知v2x服务相关数据连接覆盖稀疏的地理区可能更大。在其他情况下,已知数据覆盖范围不太稀疏或更扩散的地理区可能会更小。
在又一替代实施例中,its端点可以从crl供应代理或crl供应服务器接收its端点应当执行行为作为检查crl的替代或补充的指示。例如,这样的行为可以是对一个或多个接收到的凭证执行ocsp查找程序。例如,在数据覆盖范围良好且ocsp查找成功的可能性很高,可以快速完成等情况下,可以使用该方法。
在其他情况下,可以指示its端点使用ocsp装订进行消息收发,以缓和其他its端点进行crl检查的负担。
如将了解的,利用ocsp装订允许在its端点上使用较少的存储装置,并且可能是有益的,尤其是当定制crl对于its端点变得太大时。
也可以使用利用以上技术的其他替代方案。
上述的its端点、its站和网络元件可以是任何计算设备或网络节点。这样的计算设备或网络节点可以包括任何类型的电子设备,包括但不限于诸如智能电话或蜂窝电话等移动设备。示例还可以包括固定或移动用户设备,诸如物联网(iot)设备、端点、家庭自动化设备、医院或家庭环境中的医疗设备、库存追踪设备、环境监测设备、能源管理设备、基础设施管理设备、车辆或用于车辆的设备、固定电子设备、引擎控制单元(ecu)等。车辆包括机动车辆(例如汽车、轿车、卡车、公共汽车、摩托车等)、飞行器(例如飞机、无人驾驶飞行器、无人飞机系统、无人机、直升机等)、航天器(例如航天飞机、太空梭、太空舱、空间站、卫星等)、船只(例如舰船、船、气垫船、潜艇等)、有轨车辆(例如火车和电车等)以及其他类型的车辆,包括前述任何一项的任何组合,无论是当前存在的还是之后出现的。
关于图13示出了计算设备的一个简化图。图13的计算设备可以是任何移动设备、便携式设备、网络节点、its站、服务器或上述其他节点。
在图13中,设备1310包括处理器1320和通信子系统1330,其中处理器1320和通信子系统1330协作以执行上述实施例的方法。在一些实施例中,通信子系统1320可以包括例如用于不同无线电技术的多个子系统。
处理器1320被配置为执行可编程逻辑,该可编程逻辑可以与数据一起被存储在设备1310上,并且在图13的示例中被示出为存储器1340。存储器1340可以是任何有形的非瞬态计算机可读存储介质。计算机可读存储介质可以是有形的或瞬态/非瞬态介质,诸如光学(例如cd、dvd等)、磁性(例如磁带)、闪存驱动、硬盘驱动或本领域已知的其他存储器。
备选地或除了存储器1340之外,设备1310可以例如通过通信子系统1330从外部存储介质访问数据或可编程逻辑。
通信子系统1330允许设备1310与其他设备或网络元件进行通信,并且可以基于所执行的通信类型而变化。进一步地,通信子系统1330可以包括多种通信技术,包括任何有线或无线通信技术。
在一个实施例中,设备1310的各个元件之间的通信可以通过内部总线1360进行。然而,其他形式的通信也是可能的。
本文描述的实施例是具有与本申请技术的元件相对应的元件的结构、系统或方法的示例。该书面描述可以使本领域技术人员能够制造和使用具有与本申请的技术的元件同样相对应的替代元件的实施例。因此,本申请技术的预期范围包括与本文描述的本申请技术没有不同的其他结构、系统或方法,并且还包括与本文描述的本申请技术没有实质性差异的其他结构、系统或方法。
虽然在附图中按照特定顺序描绘了操作,但是不应当将其理解为需要按照所示的特定顺序或者按照相继顺序来执行这样的操作,或者执行所有图示的操作以实现希望的结果。在某些情况下,可以采用多任务处理和并行处理。而且,在上述实施方式中的各种系统组件的分离不应被理解为在所有实施方式中都需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在信号软件产品中或打包为多个软件产品。
而且,在各种实施方式中描述和图示为离散或分离的技术、系统、子系统和方法可以与其他系统、模块、技术或方法组合或集成。被示出或讨论为耦合或直接耦合或彼此通信的其他项目可以通过一些接口、设备或中间组件间接耦合或通信,无论是电气地、机械地或者以其他方式。本领域技术人员可确定并且可以进行改变、替换和更改的其他示例。
尽管上面的详细描述已经示出、描述和指出了应用于各种实施方式的本公开的基本新颖特征,但是要理解的是,本领域技术人员可以进行所图示的系统的形式和细节的各种省略、替换和改变。另外,方法步骤在权利要求中出现的顺序并未暗示它们的顺序。
当消息被发送给电子设备或从电子设备发送消息时,这样的操作可能不是立即的或者是直接来自服务器的。它们可以从支持本文描述的设备/方法/系统的服务器或其他计算系统基础设施同步或异步地递送。前述步骤可以全部或部分地包括去往/来自设备/基础设施的同步/异步通信。而且,来自电子设备的通信可以是到网络上的一个或多个端点。这些端点可以由服务器、分布式计算系统、流处理器等提供服务。内容递送网络(cdn)也可以提供可以向电子设备提供通信。例如,除了典型的服务器响应之外,服务器还可以供应或指示用于内容递送网络(cdn)的数据,以等待电子设备在稍后的时间下载,诸如电子设备的后续活动。因此,数据可以作为系统的一部分或与系统分开直接从服务器或其他基础设施(诸如分布式基础设施或cdn)发送。
通常,存储介质可以包括以下中的任何或某种组合:半导体存储器设备,诸如动态或静态随机存取存储器(dram或sram)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)和闪存;磁盘,诸如固定盘、软盘和可移除盘;另一磁性介质,包括磁带;诸如光盘(cd)或数字视频盘(dvd)等光学介质;或另一类型的存储设备。要注意的是,上面讨论的指令可以被提供在一个计算机可读或机器可读存储介质上,或者备选地,可以被提供在分布在可能具有多个节点的大型系统中的多个计算机可读或机器可读存储介质上。这样的一个或多个计算机可读或机器可读存储介质被认为是物品(或制品)的一部分。物品或制品可以指任何制造的单个组件或多个组件。一个或多个存储介质可以位于运行机器可读指令的机器中,或者位于可以通过网络下载机器可读指令以执行的远程站点处。
在前述描述中,陈述了许多细节以提供对本文公开的主题的理解。然而,可以在没有这些细节中的一些细节的情况下实践实施方式。其他实施方式可以包括对上面讨论的细节的修改和变型。其意图是所附权利要求覆盖这样的修改和变型。
- 还没有人留言评论。精彩留言会获得点赞!