用于认证运输任务的方法、控制装置和车辆与流程

本公开涉及车辆上下文中的技术，并且涉及用于能够认证运输任务的方法，以及用于认证运输任务的对应方法。本公开还涉及用于执行所提出的方法的对应控制装置、计算机程序和计算机可读存储介质，并且涉及包括此类控制装置的自主车辆。

背景技术：

自主车辆可以定义为可以在没有人指挥的情况下引导自身的车辆。自主车辆也称为无驾驶员车辆、机器人车辆或自驱动车辆。

自主车辆可能为社会提供多个优点。由于车辆是无驾驶员的，且其操作不受驾驶员时间规定的影响，因此可以降低成本。自主车辆使用各种传感器来感知其周围环境，以便导航和避免障碍物。与可能因其它事情分散注意力的人类驾驶员相比，广泛的感测系统可能会提高安全性，因为传感器通常始终是聚精会神的。

然而，自主驱动也面临着问题。自主车辆通常具有高度连接性，并且通常连接到基础设施，例如交通管理系统、其它车辆和因特网。该连接性使自主车辆容易受到恶意攻击，这可能危害车辆，并危及车辆、负载(如果有的话)和乘客的安全。文章“blockchain：adistributedsolutiontoautomotivesecurityandprivacy”，alidorri等，ieee通信期刊(ieeecommunicationsmagazine)，描述了基于区块链的汽车安全和隐私架构。此处，每个车辆连接到覆盖网络，其中公共区块链由覆盖节点管理，该覆盖节点是例如智能车辆、汽车制造商、车辆组装线等。每个辆车都配备有无线车辆接口和本地存储装置。该存储装置用于存储隐私敏感数据，例如位置和维护历史。覆盖网络可以用来以安全方式将数据从车辆发送到保险公司，或用于远程软件更新。因此，所提出的架构是使用公共区块链实施的。

自主车辆通常从车外系统检索新任务。任务的详细信息(例如，最终目的地和时间表)通常包括在任务数据中。自主车辆可能潜在地从恶意发送者检索到错误任务，并且由于不知不觉地驱动到错误任务定义的目的地而被劫持。

技术实现要素：

本公开的目的是缓解现有技术的至少一些缺点。另一个目的是提供一种用于确保自主车辆仅执行真实的运输任务的方法。

这些目的和其它目的至少部分地通过独立权利要求并且通过根据从属权利要求的实施例来实现。

根据第一方面，本公开涉及一种用于能够认证运输任务的方法。该方法在包括多个自主车辆和车外系统的组的成员的控制装置中执行。该组中的每个成员包括所有其它成员已知的密码函数。该方法包括使用密码函数对定义将由该组中的至少一个自主车辆执行的至少一个运输任务的信息进行签名。该方法还包括将签名信息发送至该组的多个其它成员，以便请求它们认证运输任务。

该方法确保至少一个运输任务承载发送者的签名，从而使得接收者成员能够验证运输任务的发送者。当签名信息被发送至多个其它成员时，运输任务的真实性可以由多个成员验证，所述多个成员验证可以检测运输任务是否不真实。由此，提高了认证的可靠性。

根据第二方面，本公开涉及一种用于授权执行运输任务的包括多个自主车辆和车外系统的组的成员的控制装置。该组中的每个成员包括所有其它成员已知的密码函数。该控制装置被配置成执行根据第一方面所述的方法。

根据第三方面，本公开涉及一种用于认证运输任务的方法。该方法由包括多个自主车辆和车外系统的组的成员的控制装置执行。该组中的每个成员包括所有其它成员已知的密码函数。该方法包括从该组中的成员接收定义将由该组中的至少一个自主车辆执行的至少一个运输任务的签名信息。该方法还包括使用密码函数验证运输任务的真实性。

该方法提供了一种用于认证自主车辆的运输任务的方法。因此，可以确保自主车辆的运输任务是真实的。

根据第四方面，本公开涉及一种用于认证运输任务的包括多个自主车辆和车外系统的组的成员的控制装置。该组中的每个成员包括所有其它成员已知的密码函数。该控制装置被配置成执行根据第三方面所述的方法。

根据第五方面，本公开涉及一种自主车辆，该自主车辆包括根据第二方面所述的控制装置和/或根据第四方面所述的控制装置。

根据第六方面，本公开涉及一种包括指令的计算机程序，所述指令在所述程序由控制装置执行时，使所述控制装置执行根据第一方面所述的方法。

根据第七方面，本公开涉及一种包括指令的计算机可读存储介质，所述指令在由控制装置执行时，使所述控制装置执行根据第一方面所述的方法。

根据第八方面，本公开涉及一种包括指令的计算机程序，所述指令在所述程序由控制装置执行时，使所述控制装置执行根据第二方面所述的方法。

根据第九方面，本公开涉及一种包括指令的计算机可读存储介质，所述指令在由控制装置执行时，使所述控制装置执行根据第二方面所述的方法。

附图说明

图1示出了一组模块、由该组模块组装的车辆，以及车外系统。

图2以侧视图更详细地示意性示出了驱动模块。

图3示出了一组成员，其包括城市环境中的多个自主车辆和车外系统。

图4示出了根据一些实施例的根据第一方面的方法。

图5示出了根据一些实施例的根据第三方面的方法。

图6示出了信号方案，该信号方案包括成功地认证运输任务，并且因此授权至少一个自主车辆执行该任务。

图7示出了包括不认证运输任务的信号方案。

图8示出了包括在车外系统中的控制装置。

图9示出了包括在诸如车辆的成员中的控制装置。

具体实施方式

以下描述将从任务发送者(分配者)角度解释用于能够认证运输任务的方法，以及从任务接收者(被分配者)角度解释用于认证运输任务的方法。所述方法通常由一组成员中的成员的控制装置执行。发送者通常是车外系统，其对新任务进行签名并将其传送到组中的车辆。新任务被传达给该组的多个或所有其它成员。当成员接收到签名的任务时，该成员试图验证运输任务的真实性。从而，接收运输任务的每个成员都试图验证该运输任务的真实性，因此，在某种意义上，所有成员都试图一起验证真实性。

所述方法提供了一种验证运输任务是否真实的安全方式。因此，恶意的运输任务将被停止执行，因为它们将永远不会被认证。

在解释所述方法之前，将描述自主车辆的示例以及此类车辆的组装。因此，此示范性车辆可以是所述组中的一个成员。将参考图1和2描述的车辆是模块化车辆。本文所述的模块化车辆通常被配置成自主地操作。

图1示出了用于组装车辆1的一组示例模块20。还示出了车外系统和已组装车辆1的示例。该组模块20包括多个驱动模块30和多个功能模块40。驱动模块30的主要功能通常是驱动(例如，推进、操纵和制动)车辆1。驱动模块30包括一对轮37，并且被配置成自主地操作。功能模块40被配置成执行某种功能，例如承载诸如商品或人的负载。

该组模块20中的每个模块30、40包括至少一个接口50，所述至少一个接口能够可释放地连接到另一模块30、40上的对应接口50。由于驱动模块30可以被配置成借助于控制装置200作为独立驱动单元操作，因此驱动模块30可以与功能模块40连接或断开连接而无需手动操作。

通过组合驱动模块30和功能模块40，可以实现不同类型的车辆1。根据功能模块40的结构配置，一些车辆1需要两个驱动模块30，而一些车辆1仅需要一个驱动模块30。每个驱动模块30包括控制装置200，并且被配置成与控制中心或车外系统中的控制装置100通信。每个功能模块40可以包括控制装置300，并且因此也可以与控制中心或车外系统中的控制装置100通信。

在一些实施例中，驱动模块30的控制装置200被配置成与功能模块40的控制装置300通信，如图1中的虚线所示。模块30、40之间的通信可以是无线的或感应的或有线的。无线通信可以直接在模块之间或者经由车外系统(即，包括第一控制装置100)。已组装车辆的模块30、40可以经由4g、5g、v2v(车辆与车辆)、wi-fi或任何其它无线通信手段彼此和/或与第一控制装置通信。

考虑到已组装车辆1包括两个驱动模块，第一控制装置100可以指定一个驱动模块为主驱动模块，而另一个为从驱动模块。

在此图1中，驱动模块30被示出为仅具有一个接口50，在驱动模块30的一侧上。然而，应理解，每个驱动模块30可以包括用于与其它模块40可释放地连接的多个接口50。驱动模块30的(多个)接口50可以布置在驱动模块30的不同侧上，并且因此能够与驱动模块30的多个侧上的其它模块30、40连接。驱动模块30和功能模块40上的接口50分别适当地布置在对应位置上，以实现模块30、40之间的连接。

驱动模块30包括传感器系统250，所述传感器系统包括用于感知环境、自主地导航和躲避障碍物的各种传感器。功能模块40也可以包括用于感知环境的传感器(未示出)。

图2以侧视图更详细地示意性示出了驱动模块30。驱动模块30包括至少一个(仅示出一个)推进系统91、能量存储装置92、接口50和控制装置200。能量存储装置92将能量提供到推进系统91。推进系统91包括至少一个电力机器，因此是电动机。推进系统91被布置成推进驱动模块30的一对轮37。

下文将描述用于组装车辆1的序列的示例。操作者可以从客户接收将货物从一个地点运送到另一个地点的任务。操作者经由诸如触摸屏或类似物的用户界面将关于该任务的信息输入到第一控制装置100中。应当指出，这仅仅是示例，并且接收到的任务可以自动地被转换和/或输入到第一控制装置100。然后，第一控制装置100确定要执行哪个功能，并且因此确定需要哪种类型的车辆1来完成任务。在此示例中，所需的车辆1可以是卡车。第一控制装置100选择哪个模块30、40用于所需车辆。例如，可以基于关于货物、行进距离和/或地理位置的信息来选择完成任务所需的车辆1的类型和模块30、40。然后，第一控制装置100适当地将任务转换成将一个或两个所选驱动模块30与所选功能模块40物理地和电气地连接的命令。驱动模块30的控制装置200均接收该命令，并将该命令转换成相应驱动模块30的控制信号。由此控制驱动模块30以与功能模块40物理地和电气地连接。控制驱动模块30与功能模块40连接可以包括控制驱动模块30以识别所选功能模块40的位置并移动到该位置。可以基于在将驱动模块30与功能模块40连接的命令中接收的信息来确定所选功能模块40的位置。替代地，将连接驱动模块30和功能模块40的命令传输到驱动模块30和功能模块40两者，由此功能模块40准备进行连接并开始传输信号。驱动模块30接着可以基于此传输的信号确定功能模块的位置。于是，驱动模块30被自主地操作以找到所选功能模块40并与该功能模块40连接。布置在驱动模块30和/或功能模块40处的至少一个传感器装置60可以被配置成感测何时已经执行了物理和/或电连接。至少一个传感器装置60可以向控制装置200发送指示已执行了连接的信号。基于来自至少一个传感器装置60的信号，控制装置200可以将验证信号发送至第一控制装置100，以验证连接。

然后，第一控制装置100可以生成已组装车辆1的唯一车辆标识。这样，车辆1组装完毕，并且车辆1准备好执行任务。

现在将参考图3中的城市环境中的一组成员、图4和5的方法以及图6-8的信号方案来解释所提出的方法。

图3示出了城市环境中的一组成员。成员包括多个自主车辆1、车外系统2和移动装置3。因此，每个单个自主车辆是一个成员，车外系统是一个成员，并且移动装置3是另一个成员。图示仅仅是示例，并且该组可以包括更多或更少的成员。多个自主车辆中的一辆自主车辆例如是图1和2中的车辆1。每个成员1、2、3包括用于与其它成员1、2、3进行通信的无线通信接口(130，图8；230，图9)。车辆1沿着城市环境的街道操作，以用于执行不同的运输任务，例如，将人或负载运送到各个地点，用作出租车或公交车等。

图4示出了用于能够在一组成员，例如图3中所示的一组成员中认证运输任务的方法。该方法在成员的控制装置100、200、300中执行。该成员例如是车外系统2或移动装置3。该组中的每个成员，即其控制装置100、200、300，包括所有其它成员已知的密码函数。密码函数例如是密码算法。在一些实施例中，密码函数包括密钥对的公钥，其中密钥对还包括仅由该成员知道的私钥。然后，在方法开始之前，该组中的所有成员将宣告(例如，交换)每个成员的公钥。因此，该组中的每个成员都知道所有其它成员的公钥。在一些实施例中，密码函数包括散列函数，例如，md5、sha1、sha256、keccak-256或ripedm。散列函数取任何大小的输入，并产生固定大小的输出、散列或摘要。如果使用相同的输入和散列函数，输出总是相同的。因此，散列输出可以用作被发送数据的指纹。散列函数在组中的所有成员中是相同的。

密码散列函数可以由被视为安全的某些属性来定义。此类属性包括：确定性，意味着如果向散列函数提供某一输入，则其将始终给出相同的输出；快速计算，意味着散列函数应能够快速返回散列；以及抗原像性，意味着在给定h(a)的情况下，确定输入a是不可行的，其中h(a)是散列函数的输出散列。

执行该方法的一个成员在本文中被称为第一成员(例如，车外系统2、计算机或移动装置3，包括定义将由组中的至少一个自主车辆执行的至少一个运输任务的信息。此信息可以由操作者经由输入装置输入到车外系统。或者，操作者可以将此类信息输入到计算机或移动装置。该信息通常存储在车外系统、计算机或移动装置的存储器中。定义运输任务的信息包括例如定义车辆路线的数据。该信息可以包括起点、开始时间、目的地点、车辆应在目的地点处的目的地时间，以及任选地一个或多个路径点。该信息还可以包括任务中包括的负载的详细信息，例如，是否应运输乘客或货物，以及任选地哪种类型的货物。该信息还包括定义被分配执行运输任务的车辆的标识的信息。

该方法包括使用密码函数对定义将由组中的至少一个自主车辆执行的至少一个运输任务的信息进行签名s11。通过对信息进行签名，使得签名信息的接收者能够验证发送者的身份。签名过程包括将成员的签名，因此第一成员的签名添加到该信息，以生成包括签名和该信息的“签名信息”。该成员使用密码函数来生成签名。可以使用发送者的密钥对中的一个密钥来生成签名。例如，发送者使用发送者的私钥加密信息，从而生成签名。由此，接收者将能够通过使用发送者的公钥解密“签名信息”来验证发送者的身份。

签名还可以包括通过将信息与“签名信息”组合，并且使用接收者的公钥加密信息来创建“包装且加密的数据(wrappedandencrypteddata)”。因此，将阻止入侵者理解该信息，因为只有接收者的私钥才能解密“包装且加密的数据”。

为了减少发送的数据量，如前所述，密码散列函数可以被用作生成签名的步骤。接着，可以将实际信息输入到散列函数，以生成散列。然后，“签名信息”将包括签名加散列(而不是签名加信息)。接着，通过使用例如公开加密来对散列进行签名，来使散列的发送者成为可信发送者。

当信息已被签名时，该成员将签名信息发送s12至组的多个其它成员，以便请求它们认证运输任务。借助于第一成员2、3的通信接口(130，图8)执行发送。签名信息可以包括对签名信息进行认证的请求。

通过向多个其它成员发送签名信息，可以使用个体成员来对运输任务进行认证。因此，可以利用多个客观实例来确保运输任务是真实的，并且认证变得安全。而且，可以检测运输任务是否是真实的，并且系统(例如，车外系统)可以相应地做出反应。

在一些实施例中，签名s11包括基于定义要执行的任务的信息和与组中的自主车辆执行的先前认证的任务相关联的信息，使用密码函数来生成签名。因此，通过使用经证明的、因此经认证的任务的历史，认证甚至可以更安全。例如，如前所述，密码散列函数可以被用作生成签名的步骤。然后，将定义当前运输任务的信息和与先前认证的运输任务相关联的信息用作散列函数的输入。如先前所解释的，散列函数生成散列。散列在此处与先前认证的运输任务相关联，并且非常难以，甚至不可能被操纵。如在先前示例中那样，签名还可以包括使用接收者的公钥来加密签名加信息。

在示例性实施例中，签名s11包括使用密码函数生成包括定义要执行的任务的信息的区块，以用于区块链中。密码散列函数通常用于区块链技术中。区块链是包含数据和散列指针的链表，所述散列指针指向其前一个区块，从而生成链。散列指针类似于指针，但除了包括前一区块的地址之外，它还包含前一区块内部的数据的散列。由此，获得了经证明，因此经认证的任务的历史。当获得新的运输任务时，使用散列函数、定义运输任务的信息和先前区块内部的数据的散列，通过散列化来创建新区块或“候选区块”。新“区块”也使用例如公开加密进行签名，并被发送给其它成员。因此，发送s12包括将包括区块的签名信息发送至组中的多个其它成员。

第一成员2、3通常将签名信息存储在其控制装置100的存储器中。换句话说，该方法包括将签名信息存储s14在成员中。为了确保运输任务是真实的，在一些实施例中，第一成员2、3在从预定义数量的成员接收到运输任务的认证之前不永久地(例如，在区块链中)存储签名信息。换句话说，存储s14包括响应于从该组的至少预定义数量的其它成员接收到s13运输任务的认证而将签名信息存储在成员中，例如在区块链中。预定义数量例如是签名信息被发送至的该组的多个其它成员的50％。在一些其它示例中，预定义数量例如是签名信息被发送至的该组的多个其它成员的60％、70％、80％、90％或100％。因此，可以使认证运输任务的过程比仅要求来自一个或少数其它成员的认证更安全。

图5是示出了用于认证运输任务的方法的流程图。如先前所解释的，一个或几个运输任务通常来自车外系统的控制装置100。所述方法由一组的成员的控制装置100、200、300执行。该组例如是图3中所示的组，并且该成员通常是所述组中的自主车辆1。该方法包括从该组中的成员接收s21定义将由该组中的至少一个自主车辆执行的至少一个运输任务的签名信息。例如，从车外系统发送签名信息，其中信息也已经使用组中的所有成员已知的密码函数进行了签名。该方法还包括使用密码函数验证s22运输任务的真实性。为了验证运输任务的真实性，包括例如验证发送者的身份。这通常通过使用发送者的公钥，并且在某些情况下使用接收成员的私钥对签名信息解密来完成。例如，如果发送者使用发送者的私钥加密信息，并由此生成签名，则接收者通过使用发送者的公钥解密“签名信息”来验证发送者的身份。

如果签名信息包括“包装且加密的数据”，则接收者将使用接收者的私钥来解密“包装且加密的数据”。接收者现在可以看到“信息”，即首先解密的信息，而不是“签名信息”，因此不是签名。此后，接收者将使用发送者的公钥解密“签名信息”，并第二次看到该“信息”。可以将此稍后解密的“信息”与首先解密的“信息”进行比较。如果它们匹配，则可以确保消息的确是识别的发送者发送的。数据匹配还确保消息未被损坏。

如果“签名信息”包括签名加散列(而不是签名加信息)，则接收者可以随后使用与在发送者侧使用的相同的密码散列函数对所接收的信息进行散列化。如果在接收者侧所得的计算散列与发送的散列相同，则信息匹配，并且可以确保消息的确是识别的发送者发送的。

如果该散列也是基于与先前认证的运输任务相关联的信息计算的，则该散列非常难以，甚至不可能被操纵。接收者已经包括与先前认证的运输任务相关联的信息。接收者将如先前解释的那样解密所接收的数据，并且使用与先前认证的运输任务相关联的信息的历史以及新接收的解密信息作为散列函数的输入。如果在接收者侧所得的计算散列与接收的散列相同，则它们匹配，并且可以确保消息的确是识别的发送者发送的。

因此，每个成员可以以多种方式验证运输任务的真实性。例如，如果可以验证发送者的身份，则运输任务可以被认证为真实的。可以通过也加密签名信息，通过对信息进行散列化和/或通过使用与新运输任务组合的经认证的运输任务的历史来增强这种验证。

所述认证还可以包括对接收到的信息进行真实性检查。此检查可以包括将信息的详情与先前接收到的运输任务进行比较。例如，如果在某一天，车辆的先前运输任务的目的地在芬兰，而第二天，同一车辆的新运输任务的起点在西班牙，则可以确定该运输任务是无效的，因为所述车辆不可能及时到达起点。该组成员也可能具有所有成员都知道的一般规则。例如，这些规则可以指定允许成员操作的区域。如果运输任务指示该区域以外的位置，则可以确定该运输任务是无效的。

因此，已接收到签名信息的每个成员都尝试认证签名信息。如果该成员成功，则向被指示为要执行运输任务的车辆的至少一个自主车辆发送认证。因此，根据一些实施例，该方法包括响应于任务被验证为真实的，将运输任务的认证发送s23至至少一个自主车辆。由此，可以使至少一个自主车辆能够知道运输任务是否是真实的。

接收签名信息的成员可以是也要执行运输任务的至少一个自主车辆。换句话说，在一些实施例中，执行所述方法的控制装置200、300被布置在至少一个自主车辆中。因此，至少一个自主车辆自身执行运输任务是否可以被验证为真实的检查。然而，为了使至少一个自主车辆实际上被授权执行运输任务，除了自身认证之外，至少一个自主车辆还可以被要求接收预定义数量的个体认证。换句话说，在一些实施例中，该方法包括响应于从该组的至少预定义数量的其它成员接收到运输任务的认证，授权s25该至少一个自主车辆执行运输任务。预定义数量例如是签名信息被发送至的该组的多个其它成员的50％。在一些其它示例中，预定义数量例如是签名信息被发送至的该组的多个其它成员的60％、70％、80％、90％或100％。因此，可以使认证运输任务的过程比仅要求来自一个或少数其它成员的认证更安全。百分比可以改为是预定义数字，例如2、3、5或10个个体成员。然而，对于要由至少一个自主车辆执行的运输任务，可能不需要至少一个自主车辆验证运输任务本身是否是真实的。

如果至少一个自主车辆被授权执行运输任务，那么可以通知车外系统所述至少一个自主车辆知道要执行的授权。因此，在一些实施例中，所述方法包括向车外系统发送s26对由至少一个自主车辆执行运输任务的授权的确认。车外系统接收该确认并且通常将该确认的表示存储在控制装置100中。

除了将认证发送至要执行运输任务的至少一个自主车辆之外，还可以将认证发送至组中的其它成员。因此，在一些实施例中，该方法包括响应于任务被验证为真实的，将运输任务的认证发送s24至组中的多个成员。

该组中的成员还可以逐个监测成员接收到多少经验证的认证。如果成员接收到预定义数量的经验证的认证，则将签名信息存储在该成员中。换句话说，该方法包括响应于从该组的至少预定义数量的其它成员接收到运输任务的认证，将签名信息存储s27在控制装置100、200、300中。因此，多个成员将包括所有已认证的运输任务的信息。在一些实施例中，存储s27包括将签名信息添加到控制装置100、200、300中的区块链。因此，签名信息将是很难操纵的链表的一部分。由于该链表在该组的所有多个成员中是相同的，因此，如先前所解释的，该链接也可用于验证运输任务的真实性。链表，因此区块链包括多个区块，其中每个区块包括前一区块的散列。如果希望追溯地更改账本中的条目，必须不仅针对其所在的区块，而且还针对每个后续区块计算新散列。并且必须要能够比其它节点更快地向链添加新区块。因此，如果不是更快，任何添加的区块都将与现有区块冲突，并且其它节点将自动拒绝更改。这就是使区块链防篡改或“不可变”的原因。

根据一些实施例，成员将等待来自组中的其它成员的认证。为了避免认证过程花费太长时间，或者如果运输任务已受影响且无法被认证，成员可以实施定时器。因此，根据一些实施例，该方法包括响应于在从该组的至少预定义数量的其它成员接收到认证之前预定的时间到期，确定s28至少一个运输任务不是真实的。然后，签名信息将不会被保存在执行该方法的成员中。如果在考虑用于运输任务的至少一个自主车辆中执行所述确定，则所述至少一个车辆将不被授权执行该运输任务。例如，在发送签名信息时，或在接收对运输任务进行签名的请求时，触发定时器开始计数。

如果向组中添加成员(例如，新自主车辆)，或者如果旧成员已经一段时间不活动(例如被关闭)并且现在再次活动，在一个示例性实施例中，则该成员接收在另一活动成员(例如车外系统)中当前可用的区块链的副本。

现在将参考图6和7的信号方案来解释该方法。在图7中，示出了三个成员的示例组。该组包括第一成员(成员1)，即车外系统，第二成员(成员2)，即第一自主车辆，和第三成员(成员3)，即第二自主车辆，并且还包括要执行新的、尚未认证的运输任务的自主车辆。现在将参考图6中的信号方案来解释成功认证的示例性情境。

用户向第一成员输入新运输任务。新运输任务旨在是针对第三成员的。第一成员使用公开加密(对应于图4中的步骤s11)，可选地还使用经认证的运输任务的历史来对定义新运输任务的信息进行签名，并将签名信息发送至第二成员(对应于图4中的步骤s12)和第三成员(对应于图4中的步骤s12)。分别使用第二成员和第三成员的至少公钥来执行加密。签名信息由第二成员接收(对应于图5中的步骤s21)。第二成员验证运输任务的真实性(对应于图5中的步骤s22)。运输任务被验证为真实的，并且第二成员分别向车外系统和第三成员发送认证(对应于图5中的步骤s24)。在替代实施例中，例如，第二成员仅将认证发送至要执行运输任务的成员，此处为第三成员。这将对应于图5中的步骤23。

签名信息还由第三成员接收(对应于图5中的步骤s21)。第三成员验证运输任务的真实性(对应于图5中的步骤s22)。第三成员还检测到运输任务是针对自己的。运输任务被第三成员验证为真实的，并且第三成员分别向车外系统和第二成员发送认证(对应于图5中的步骤s24)。响应于来自第二成员的授权和自我执行的授权，第三成员授权其自身执行运输任务(对应于图5中的步骤s25)。因此，预定数量在这里是一(1)个，因为所述组较小并且仅用于例示。第三成员向第一成员发送对执行运输任务的授权的确认(对应于图5中的步骤s26)，并存储签名信息(对应于图5中的步骤s27)。

因此，第二成员已从第三成员接收到认证，并且响应于此认证，其将签名信息存储在第二成员中(对应于图5中的步骤s27)。

第一成员已从第二成员和第三成员接收到认证。响应于一个或两个认证，其将签名信息存储在第一成员中(对应于图4中的步骤s14)。第一成员还在步骤s15中从第三成员接收对运输任务的确认，并且作为对其的响应，存储与确认有关的信息。

现在将参考图7中的信号方案来解释未成功认证的示例性情境。如在图6中的情境那样，第一成员使用公开加密(对应于图4中的步骤s11)，可选地还使用经认证的运输任务的历史来对定义新运输任务的信息进行签名，并将签名信息发送至第二成员(对应于图4中的步骤s12)和第三成员(对应于图4中的步骤s12)。第二成员和第三成员试图验证运输任务的真实性，但并未成功。由于在预定时间内没有接收到来自任何其它成员的认证，因此确定运输任务是不真实的，并且因此是无效的(对应于图5中的步骤s28)。而且，由于第一成员未接收到任何认证，因此确定运输任务是不真实的，并且因此是无效的(对应于步骤s16)。第一成员现在可以尝试重复该方法，并再次发送运输任务的签名信息。

现在转到图8，该图示出了另一示例性实施方式，即被配置为实施所提出的方法的控制装置。在此示例中，控制装置被体现为例如车外系统中的控制装置100。

在一些实施例中，控制装置100是功能意义上的“单元”。因此，在一些实施例中，控制装置100是控制布置，其包括协同操作的若干物理控制装置。控制装置100包括硬件和软件。硬件基本上包括印刷电路板pcb上的各个电子部件。这些部件中最重要的部件通常是处理器110以及存储器120。

控制装置100还包括通信接口130，其使控制装置100能够与模块化车辆1的模块30、40以及诸如交通系统的其它外部实体通信。例如，通信接口130能够进行因特网连接。控制装置100的通信例如是使用网际协议(ip)实现的。

控制装置100，或更具体地控制装置100的处理器110，被配置成使控制装置100执行上文和下文描述的方法的所有方面，并且具体地，执行根据第一方面所述的方法。因此，控制装置100被配置成能够认证运输任务。这通常通过运行存储在控制装置100的处理器110中的存储器120中的计算机程序代码来完成。因此，计算机程序包括指令，所述指令在该程序由控制装置执行时，使控制装置执行根据如本文所述的实施例中的任何一个所述的方法。该程序可以存储在包括指令的计算机可读存储介质上，所述指令在由控制装置执行时，使控制装置执行根据如本文所述的实施例中的任何一个所述的方法。

现在转到图9，该图示出了另一示例性实施方式，即被配置为实施根据第三方面所提出的方法的控制装置。在此示例中，控制装置被体现为用于车辆1，例如图1到图3中描述的模块化车辆中的控制装置200、300。在一些实施例中，控制装置200、300是功能意义上的“单元”。因此，在一些实施例中，控制装置200、300是控制布置，其包括协同操作的若干物理控制装置。控制装置200、300包括硬件和软件。硬件基本上包括印刷电路板pcb上的各个电子部件。这些部件中最重要的部件通常是处理器210以及存储器220。

控制装置200、300还包括一个或多个通信接口230，其使控制装置200、300能够与模块化车辆1或其它车辆的模块30、40通信。如上所述，模块之间的通信是无线的、感应的或有线的。有线通信可以实施为标准协议，例如控制器局域网，can。can是一种稳健的车辆总线标准，其被设计为允许微控制器和装置在没有主计算机的情况下在应用中彼此通信。模块之间的无线通信可以使用诸如蓝牙或802.11的任何短程通信协议来实现。

一个或多个通信接口230还被配置成能够与控制装置100，即与车外系统进行无线通信。例如，使用4g、5g、v2v(车辆与车辆)或任何其它合适的无线通信协议来实现车辆中的控制装置200、300与车外系统中的控制装置100之间的无线通信。

控制装置200、300，或更具体地控制装置200、300的处理器210，被配置成使控制装置200、300执行上文和下文描述的方法的所有方面，并且具体地，执行根据第三方面所述的方法。因此，控制装置200、300被配置成认证运输任务。这通常通过运行存储在控制装置200、300的处理器210中的存储器220中的计算机程序代码来完成。因此，计算机程序包括指令，所述指令在该程序由控制装置执行时，使控制装置执行根据如本文所述的实施例中的任何一个所述的方法。该程序可以存储在包括指令的计算机可读存储介质上，所述指令在由控制装置执行时，使控制装置执行根据如本文所述的实施例中的任何一个所述的方法。

如附图中所示，在实施例的描述中使用的术语不旨在限制所描述的方法、控制布置或计算机程序。在不脱离由所附权利要求限定的本发明实施例的情况下，可以进行各种改变、替换和/或变更。

如本文所用，除非另外明确说明，否则术语“或”应被解释为数学or，即被解释为包含性析取，而不作为数学异或(xor)。另外，单数形式“一个”、“一种”和“该”应被解释为“至少一个”，因此，除非另外明确说明，否则还可能包括多个相同种类的实体。还应当理解，术语“包括(includes/including)”、“包含”和/或“含有”指定存在所陈述的特征、动作、整数、步骤、操作、元素和/或部件，但是不排除存在或增加一个或多个其它特征、动作、整数、步骤、操作、元素、部件和/或它们的组。单个单元诸如处理器可以实现权利要求书中所述的若干项的功能。