专利名称:用来验证道路交通控制事务的方法
技术领域:
本发明涉及ー种用来验证道路交通控制事务的方法,该道路交通控制事务通过在道路交通控制系统的控制站中记录车辆的图像并借助于OCR读取在记录的图像中车辆的标识而产生,其中,然后将所述控制事务发送到道路交通控制系统的事务接收器。
背景技术:
这种类型的道路交通控制系统也称作“视频控制系統”,因为控制事务基于在控制站处交通的视频记录。系统可用于各种控制目的,像例如用来控制车辆在一定位置中的存在,以便以道路收费、区收费或停车费的形式计算使用这个位置的费用;用于在限速执行或其它交通违章方面的证据目的;用来监视对于危险材料运输法规的遵守、冬季道路维护或街道清洁任务的适当执行、进入和离开事务所的车队或进入和离开汽车租赁设施的出租汽
本.坐坐
-P ;寸寸ο在这种情况下,基于在记录的图像中的车辆标识的光学字符识别(OpticalCharacter Recognition,OCR)而识别车辆。在实际中,道路交通控制系统的操作人员(在道路收费系统中“通行费收费者(Toll Charger)”,TC)与控制事务的接收方和处理人员不是相同实体,该接收方和处理人员通常是道路交通控制系统的拥有者或政府机构(“合同发布者(Contract Issuer)”,Cl)。对于后者,就合法性或真实性而论,从操作人员接收的控制事务的验证是至关重要的,以便防止没有发生的事务被记账、收费或归因于负责控制的用户或人。EP 2 088 568公开了ー种控制站,该控制站使用其它车辆记录和使用附加数据准备电子文档,例如,在违章情况下借助于OCR读取的车辆标识或探測的车辆类型。在将如此准备的文档经可能不安全通信链路发送到中心办公室之前,将它按照常规私人-公共-密钥过程签名。尽管这使得有可能探测到传输链路的操纵,但按这种方式不能实现包括文档准备的整个控制事务的验证或认证,从而控制站的每ー个需要用附加传感器系统复杂地保护。至今,不能实现这样ー种事务验证或认证。本发明的目的是开发这样ー种解决方案。
发明内容
根据本发明,这个目的用最初描述类型的方法实现,该方法的特征在于如下步骤将分配给事务接收器的密码密钥存储在事务接收器中和在控制站的分离(separate)处理兀件中;在控制站中,记录车辆的图像,借助于OCR读取在记录的图像中车辆的标识,及产生该车辆的控制事务;在分离处理元件中,产生随机密钥,并且用随机密钥和密码密钥将记录的图像加密成认证数据;将记录的图像、控制事务、随机密钥及认证数据发送到事务接收器;在事务接收器中用接收的随机密钥和存储的密码密钥将接收的图像加密成名义认证数据;及将接收的认证数据与名义认证数据相比较,其中,如果两个数据集相同,则验证控制事务。发明的方法使事务接收方(合同发布者)能够检查控制事务,并且能够在与控制系统操作人员(像例如收费系统操作人员(通行费收费者))的接ロ处直接拒绝未认证控制事务。本发明基于分离处理元件的利用,该分离处理元件由事务 接收器委托,并因此在控制站中提供有事务接收器的密码密钥。与控制站的随机密钥相关地产生用于事务接收器的认证数据,该随机密钥对于每个事务或记录的图像是唯一的,并且使事务接收器能够基于原始记录的图像验证原始控制事务,方式为在其侧以自主方式检查认证数据。上述控制站可以实施成静止或活动的,特征为ー个或多个相机,及也可以具有地理分布部件,像例如用于车辆标识的OCR评估的远程代理计算机。根据本发明的优选实施例,将分配给不同事务接收器的几个密码密钥存储在处理元件中,并且依据借助于OCR读取的车辆标识,选择待被相应使用的密码密钥。按这种方式,用于各种事务接收方(像例如不同机构、警察局、消防部门、道路维护者、等等)的控制事务可分别在它们的起点处个别地直接认证,并且然后验证。将认证数据和随机密钥优选地与控制事务一起发送到事务接收器,从而控制事务直接携帯允许其验证的数据。作为替代,也可以将认证数据和随机密钥与记录的图像一起发送到事务接收器,其中,在这种情况下提供对于控制事务的对应參考。根据本发明的另ー个特别优选实施例,随机密钥限定在记录的图像中的图像段,并且上述用随机密钥加密记录的图像包括如下步骤从记录的图像提取图像段;和形成图像段的第一散列值。因此,向处理元件提供极低计算能力就足够了,因为发生在其中的加密,就随机密钥而论,限于随机图像段从记录的图像的提取和其散列值的形成。图像段的提取显著地减少数据量,并且散列值的形成是ー种非常简单的计算过程。上述散列值因此已经以显著減少的输入数据集的形式是可得到的,用于用密码密钥进ー步加密,其中,用很小努力可应用从适当技术已知的任何加密方法。提取的图像段也优选地包含车辆的标识,从而提高验证安全性。特别有利的是,如果这种第二加密也借助于散列值形成而进行,S卩,上述用密码密钥加密记录的图像包括形成第一散列值和密码密钥的第二散列值的步骤,其中,第二散列值然后代表认证数据。上述图像段可以包括可由随机密钥限定的记录的图像的任一部分。例如,随机密钥限定周缘轮廓的角部点,该周缘轮廓包围平坦的图像段。作为替代,随机密钥可限定用于图像像素的颜色值,并且具有这些颜色值的所有图像像素联合形成上述图像段。在本说明书的上下文中,术语“散列值的形成”是指实际上不可逆η :1变换函数对于输入值的应用,即仅按(极为)模糊形式才是可逆的函数,从而散列值的获知实际上使得不可能推导出初始值(在这种情况下图像段)。这样的散列函数的例子是校验和函数、模函数、等等。
在本发明的其它有利实施例中,可以将时间戳、控制站的标识、处理元件的标识、及/或串行计数值集成到认证数据中。这些特性的每ー个可用于随后似真性检查,并因此提高验证的安全性。此外可能的是,将几个密码密钥以及分配的密钥标识存储在事务接收器中和处理元件中,以及将使用的密钥的密钥标识集成到认证数据中,并且使用集成的密钥标识来确定在事务接收器中的分配的密钥。这也可提高系统的安全性。用作认证单元的处理元件可以包括软件元件、以及硬件元件。优选的是使用硬件元件,该硬件元件经物理接ロ,例如像密码安全硬件模块(安全访问模块(Secure AccessModule), SAM)、USB_Token、等等,连接到控制站。在这方面,优选地也可设想的是,接 ロ的分离使硬件元件不可用,以便阻止操纵,并且为事务接收器提供改进的置信度保护。根据本发明的另ー种优选特性,将补充控制事务从控制站经第一信道发送到事务接收器,并且将记录的图像从控制站经第二信道发送到事务接收器,其中,将补充控制事务和对应的记录的图像在事务接收器中借助于在其中提供的至少ー个相互參考而彼此分配。因此,不是绝对必要的是,控制事务和记录的图像同时到达事务接收器;例如,可将记录的图像存储在数据库中,并且为了这种形式的验证目的,使得对于事务接收器是可得到的。
下面參照在附图中表明的一个示范实施例将更详细地描述本发明。在这些图中,图I表示根据本发明的示范道路交通控制系统的方块图,该示范道路交通控制系统为可互操作的道路收费系统的形式;图2示意地表示根据图I的道路收费系统的控制站之ー;及图3表示在根据图I的道路收费系统内用来验证控制事务的发明方法的信号流程图。
具体实施例方式根据图1,控制事务tr由在可互操作的道路交通控制系统(在这种情况下的道路收费系统I)中的多个不同控制站(在这种情况下收费实体)TE产生,并且为了处理和/或记账目的经操作人员特定中心办公室(在这种情况下通行费收费者)TC发送到事务接收方Cl (合同发布者)。事务接收器Cl可从操作人员的各种中心办公室TC接收控制事务tr,并且这些中心办公室TC又可连接到多个不同控制站TE,这些不同控制站TE之一以示范方式表示在图2中。根据图2的控制站TE包括可选的无线电信号台2、和摄影或视频相机3,该无线电信号台2例如按照DSRC(专用短距离通信)标准或WAVE (在车辆环境中的无线访问)标准操作,其中,无线电信号台和摄影或视频相机连接到站计算机4,该站计算机4又连接到中心办公室TC (图I)。无线电信号台2使得可能的是,基于其与车辆装置(车载単元(OnboardUnit)、0BU)6的无线电通信5产生例如基于DSRC的通行费事务,这些车辆装置6由在道路8上通过站TE的车辆7携帯。相机3使得可能的是,产生基于视频的控制事务,因为相机3记录车辆7的图像pic,其中,在车辆7的车牌上车辆标识9随后借助于光学字符识别(Optical CharacterRecognition, OCR)读取。以车辆标识9的形式OCR评估记录的图像pic的结果,例如,在它补充有当前时间戳、车辆的测量的速度值及/或控制站TE或相机3的标识之后,形成基于视频的控制事务tr的基础,并且经中心办公室TC发送到事务接收器Cl。借助于OCR可读取的车辆标识9可以包括车辆的登记车牌号;或可借助于OCR读取的车辆的另ー种标识,像例如危险材料标识、车队标识、等等。为了使事务接收器Cl能够进行这样的基于视频的事务tr的验证(认证),基于视频的控制站TE装有分离处理元件(认证实体)AE,该分离处理元件AE可以分配给整个控制站,或者个别地分配给其ー个或每个相机3。在第一步骤11中,将由事务接收器Cl专门分配和委托的密码密钥(委托密钥)tk存储在事务接收器Cl中,以及存储在每个控制站TE中,控制事务tr应该从该控制站TE接收,特别是存储在控制站TE的相应处理元件AE中(图I)。 图3接着表示当车辆7通过控制站TE时执行的信号流程或处理步骤,该控制站TE装有这样ー种处理元件AE,并且产生控制事务tr,该控制事务tr经操作人员的中心办公室TC发送到示范事务接收器Cl。不同事务接收器Cl的密码密钥tk已经存储在处理元件AE中,控制站TE可将控制事务tr发送到这些事务接收器Cl ;见tk数据集12。在车辆7通过控制站TE时,相机3记录车辆7的图像pic,并且基于借助于OCR读取车辆标识9的结果,在OCR过程13中从记录的图像产生控制事务tr。控制事务tr可以包含其它数据,如时间戳、控制站TE和/或相机3的标识、处理元件AE的标识、串行增量计数值(事务计数器)、等等。当然,在要分配给控制站的地理远程(未表示)代理计算机中也可计算OCR过程13。处理元件AE接收记录的图像pic,并为其产生随机密钥rd。基于这个随机密钥rd,从记录的图像pic提取随机图像段P,并且例如借助于在图像段P中的图像像素的模相カロ,即在过程14中,形成图像段P的散列值h (P)。为此,随机密钥rd直接指定例如在记录的图像Pic中的至少三个图像像素的图像坐标,这些图像坐标产生或限定图像段P。作为替代,随机密钥rd也可指定图像像素的某些性质,像例如颜色值,其中,具有这些性质的所有图像像素然后形成图像段P。随机图像段P从记录的图像pic中的提取和图像段P的散列值h的形成只要求最小计算能力,并因此也可实时地实现,例如用在处理元件AE中的简单处理器装置,像例如在芯片卡或SM卡处理器上提供的类型的处理器装置。在过程15中,如此形成的散列值h随后用相应事务接收器TE的密码密钥tk再次加密[sic],控制事务tr被发送到该相应事务接收器TE。然而,加密过程15也可以通过再次形成上述散列值h和密码密钥tk的散列值而实现。例如基于车辆标识9的分配清单(“白色清単”)和适当事务接收器Cl,可选择正确密钥tk,S卩,OCR过程13的结果控制密码密钥tk从集12中的选择(箭头16)。在处理器15的输出或末端处得到的生成认证数据au与随机密钥rd —起添加到控制事务tr,从而它扩展成补充控制事务{tr,rd,au} 17。在这种情况下,其它数据,如时间戳、控制站TE和/或相机3的标识、处理元件AE的标识、串行増量计数值(事务计数器)、等等,也可以添加到认证数据au,或者集成到其中。补充控制事务17随后经第一传输信道18发送到事务接收器Cl,该第一传输信道18例如也沿其路径包括操作人员的中心办公室TC。也将以记录的图像pic形式的控制事务tr的基础经第二传输信道19发送到事务接收器Cl。经第一和第二传输信道18、19的传输不必同时发生;例如,补充控制事务17和优选地记录的图像pic也可中间存储在例如操作人员的中心办公室TC的数据库20中,并且由事务接收器Cl检索,其中,这个过程也落在本上文中的术语“发送”的范围内。另ー种选择包括将认证数据au和随机密钥rd添加到图像数据pic,而不是控制事务tr。所有数据tr、rd、au、pic也可经同一传输信道发送。当然,仅单个加密过程或加密步骤也可以在简化实施例中在处理元件AE中进行,代替表示的优选过程14、15,其中,在这个单一加密过程期间,在一个步骤中用随机密钥rd和密码密钥tk将记录的图像pic加密成认证数据au。例如,随机密钥rd和密码密钥tk可组合成共用密钥,该共用密钥应用于记录的图像Pic,以便获得认证数据au。接收的补充控制事务17和形成其基础的记录的图像pic随后在事务接收器Cl中被组合,即彼此分配,例如基于在这些数据集之一中的至少ー个相互參考,如在控制事务tr中对于记录的图像Pic的特定标识的參考、或在记录的图像Pic中对于控制事务tr的特定标识的參考、或两者。事务接收器Cl也可仅仅随机地验证控制事务tr,因为它在有原因的 情况下,依据对应请求,只处理或接收例如来自操作人员的中心办公室TC的数据库20的对应分配的记录的图像pic。如果记录的图像pic与补充控制事务17—起接收,贝U分配是不必要的。在第一步骤21中,现在在事务接收器Cl中从补充控制事务17中提取随机密钥rd,并且在与在处理元件AE中的过程14相同的过程22中,将随机密钥rd应用于接收的和分配的记录的图像pic,以便再次获得随机图像段P,并且形成其散列值h。后者在过程23中用事务接收器Cl的密码密钥tk再次加密,以便获得參考或名义认证数据au,,该过程23与在处理元件AE中进行的过程15相同。随后在步骤或过程24中将这个数据与从补充控制事务17中提取的认证数据au相比较,并且如果两个认证数据集是相同的,则验证事务tr,即认为事务对于在事务接收器Cl中的进ー步处理和/或记账是经认证的和认清的。如果两个认证数据集不相同,则错误或操纵已经发生,并且不验证(无效)并丢弃事务tr;在这种情况下,可输出和记录对应警报消息。可选地也可能的是(尽管未表示),将用于每个事务接收器Cl的几个不同密码密钥tkp以及相应分配的密钥标识tkID,存储在处理元件AE的数据库12中和在事务接收器Cl中。然后在处理元件AE中选择相应事务接收器Cl的密钥tkp以及其密钥标识tkID,并且用于加密。然后将使用的密钥的密钥标识tkID添加到认证数据au,并且用来识别在事务接收器Cl中的正确密钥tkit)处理元件AE可以以密码安全软件模块的形式实现,或者优选地以物理安全硬件元件的形式实现。处理元件AE可经物理接ロ 25连接到特别地控制站TE,该控制站TE也可以简单地仅包括相机3。保证的是,接ロ 25的未授权分离使硬件元件形式的处理元件AE不可用,例如,因为接ロ 25的分离不可恢复地擦除处理元件AE的存储器,或者至少永久地阻止对于其中存储的密码密钥rd、tk的任何访问。本发明不限于表明的实施例,而是也包括在附属权利要求书的范围内的所有变更和修改。
权利要求
1.一种用来在事务接收器(Cl)中验证道路交通控制事务(tr)的方法,该道路交通控制事务(tr)从道路交通控制系统(I)的控制站(TE)发送到道路交通控制系统(I)的事务接收器(Cl),该方法的特征在于如下步骤 将分配给事务接收器(Cl)的密码密钥(tk)存储在事务接收器(Cl)中和在控制站(TE)的分离处理元件(AE)中; 在控制站(TE)中,记录车辆(7)的图像(pic)、借助于OCR读取在记录的图像(pic)中车辆(7)的标识(9)、及产生该车辆(7)的控制事务(tr); 在分离处理元件(AE)中,产生随机密钥(rd),并且用随机密钥(rd)和密码密钥(tk)将记录的图像(Pic)加密成认证数据(au); 将记录的图像(pic)、控制事务(tr)、随机密钥(rd)及认证数据(au)发送到事务接收器(Cl); 在事务接收器(Cl)中用接收的随机密钥(rd)和存储的密码密钥(tk)将接收的记录的图像(pic)加密成名义认证数据(aur) '及 将接收的认证数据(au)与名义认证数据(aur)相比较, 其中,如果两个数据集相同,则验证接收的控制事务(tr)。
2.根据权利要求I所述的方法,其特征在于如下事实将分配给不同事务接收器(Cl)的几个密码密钥(tk)存储在处理元件中,并且依据借助于OCR读取的标识(9),选择待被相应使用的密码密钥(tk)。
3.根据权利要求I或2所述的方法,其特征在于如下事实将认证数据(au)和随机密钥(rd)与控制事务(tr) 一起发送到事务接收器(Cl)。
4.根据权利要求I或2所述的方法,其特征在于如下事实将认证数据(au)和随机密钥(rd)与记录的图像(pic) —起发送到事务接收器(Cl)。
5.根据权利要求1-4之一所述的方法,其特征在于如下事实随机密钥(rd)限定在记录的图像(PiC)中的图像段(P),其中,上述用随机密钥(rd)加密记录的图像(Pic)包括从记录的图像(Pic)提取图像段(P)的步骤、和形成图像段(P)的第一散列值(h)的步骤。
6.根据权利要求5所述的方法,其特征在于如下事实上述用密码密钥(tk)加密记录的图像(Pic)包括形成第一散列值(h)和密码密钥(tk)的第二散列值的步骤,其中,第二散列值代表认证数据(au)。
7.根据权利要求1-6之一所述的方法,其特征在于如下事实将时间戳、控制站(TE)的标识、处理元件(AE)的标识、及/或串行计数值集成到认证数据(au)中。
8.根据权利要求1-7之一所述的方法,其特征在于如下事实将几个密码密钥(tkj与分配的密钥标识(tkID) —起存储在事务接收器(Cl)中和处理元件(AE)中,其中,将使用的密钥(tkj的密钥标识(tkID)集成到认证数据(au)中,并且用来在事务接收器(Cl)中确定分配的密钥Uki)。
9.根据权利要求1-8之一所述的方法,其特征在于如下事实将硬件元件用作上述处理元件(AE),并且经物理接ロ(25)连接到控制站(TE)。
10.根据权利要求9所述的方法,其特征在于如下事实接ロ(25)的分离使硬件元件(AE)不可用。
全文摘要
本发明涉及用来验证道路交通控制事务的方法,道路交通控制事务通过在道路交通控制系统的控制站中记录车辆的图像并借助于OCR读取车辆的标识而产生,其中将控制事务发送到事务接收器,并且其中所述方法包括如下步骤记录车辆的图像,借助于OCR读取在记录的图像中的车辆标识,及产生其控制事务;在控制站的分离处理元件中产生随机密钥,并且用随机密钥和事务接收器的密码密钥将记录的图像加密成认证数据;将记录的图像、控制事务、随机密钥及认证数据发送到事务接收器;在事务接收器中用接收的随机密钥和密码密钥将接收的图像加密成名义认证数据;及将接收的认证数据与名义认证数据相比较,其中,如果两个数据集相同,则验证控制事务。
文档编号G07B15/06GK102693559SQ20121006910
公开日2012年9月26日 申请日期2012年3月16日 优先权日2011年3月22日
发明者A·哈芬切尔 申请人:卡波施交通公司