用于车辆通信的隐私保护系统的制作方法

本申请总体上涉及一种用于保护车辆对车辆通信系统中的隐私的系统。

背景技术：

多年来，车辆在没有车辆对车辆通信的情况下操作。然而，随着全自主车辆的发展，结合车辆对车辆通信有一些益处。此类通信系统可以提供对附近车辆的操作的改进情景感知。另外地，车辆对车辆通信还可以提供关于附近交通管理和道路基础设施的信息。为了充分利用车辆对车辆通信系统，车辆必须以周期性间隔发射各种信息。这种信息可供所有接收器使用，所述接收器出于期望目的可以或者可以不使用所述信息。为了确保技术的广泛采用，此类车辆对车辆通信系统必须解决隐私问题以防止未经授权使用所述信息。

技术实现要素：

一种车辆包括：收发器，其用于车辆对车辆通信；和控制器，其被编程为使用私钥对多个基本安全消息(bsm)中的每一者进行数字签名，并且经由收发器根据预定功率级序列以相应发射功率级广播所述bsm中的每一者，所述预定功率级序列通过生成于所述私钥的一个或多个值来定义。

所述控制器还可以被编程为响应于所述一个或多个值的变化而改变所述预定功率级序列。所述预定功率级序列可以定义所述bsm中的每一者的相应发射功率级，使得连续广播之间的发射功率级的差异的量值(magnitude)是至少预定量值。所述预定功率级序列可以定义发射功率级相对于先前发射功率级的变化。所述变化的量值可以是每次广播的至少预定最小变化。所述控制器还可以被编程为基于生成于所述私钥的所述一个或多个值来生成起始发射功率级。所述发射功率级可以在预定范围内。所述预定功率级序列可以定义发射功率级，使得基于接收信号强度大于从并非由所述车辆发送的消息接收到的那些信号强度，附接在所述车辆上的固定位置处的接收器不能将所述基本安全消息内的证书与所述车辆相关联。

一种车辆系统包括收发器和控制器，所述控制器被编程为经由所述收发器广播以相应发射功率级多个基本安全消息中的每一者，所述多个基本安全消息使用私钥进行数字签名，所述发射功率级由预定功率级序列定义，所述预定功率级序列通过由从所述私钥导出的一个或多个值来定义并且将连续广播的发射功率级定义成相差至少预定量值。

所述控制器还可以被编程为将所述预定功率级序列定义为根据所述一个或多个值的第一函数选择的多个预定义序列中的一者。所述控制器还可以被编程为根据所述一个或多个值的第二函数从所述预定功率级序列中选择起始功率级值。所述控制器还可以被编程为根据所述一个或多个值的函数从所述预定功率级序列中选择起始功率级值。所述预定功率级序列可以定义发射功率级相对于先前发射功率级的变化。所述控制器还可以被编程为根据所述一个或多个值生成初始发射功率级。所述预定功率级序列可以定义发射功率级，使得基于接收信号强度大于从并非由车辆发送的消息接收到的那些信号强度，附接在与所述车辆系统相关联的所述车辆上的固定位置处的接收器不能将所述基本安全消息内的证书与所述车辆相关联。

一种方法包括由车辆控制器根据预定功率级序列以相应发射功率级广播多个基本安全消息(bsm)中的每一者，所述预定功率级序列通过由从用于对所述bsm进行数字签名的私钥导出的一个或多个值来定义。

所述方法还可以包括通过所述车辆控制器响应于所述一个或多个值的变化而改变所述预定功率级序列。所述方法还可以包括由所述车辆控制器通过根据所述一个或多个值的第一函数来选择多个预定发射功率序列中的一者来定义所述预定功率级序列。所述方法还可以包括由所述车辆控制器通过根据所述一个或多个值的第二函数从所述多个预定发射功率序列中的所述一者来选择起始功率级来定义所述预定功率级序列。所述预定功率级序列可以定义所述相应发射功率级，使得连续广播之间的发射功率级的差异的量值是至少预定量值。

附图说明

图1是车辆通信系统的可能配置。

图2是用于生成车辆对车辆通信系统的消息的框图。

图3是用于调整广播消息的发射功率级的框图。

图4是用于调整广播消息的发射功率级的一系列操作的可能流程图。

具体实施方式

本文中描述了本公开的实施例。然而，应当理解的是，所公开实施例仅仅是示例并且其他实施例可以呈现各种和替代形式。附图不一定按比例绘制；一些特征可以被放大或最小化以示出特定部件的细节。因此，本文公开的具体结构和功能细节并不解释为限制，而仅仅解释为用于教导所属领域技术人员以各种方式采用本发明的代表性基础。如所属领域一般技术人员将理解的是，参考任何一个附图示出并描述的各个特征可以与一个或多个其他附图中所示的特征相结合以产生未明确示出或描述的实施例。所示特征的组合提供用于典型应用的代表性实施例。然而，特定应用或实施方式可以期望与本公开的教导一致的特征的各个组合和修改。

图1示出了用于车辆131的基于车辆的计算系统100(vcs)的示例性块拓扑。这种基于车辆的计算系统100的示例是由福特汽车公司(thefordmotorcompany)制造的sync系统。启用了基于车辆的计算系统100的车辆131可以包含位于车辆131中的视觉前端界面104。如果界面104例如被设置有触摸屏显示器，则用户可能能够与所述界面进行交互。在另一个说明性实施例中，通过按钮按下、具有自动语音识别的口头对话系统和语音合成来发生交互。

在图1中所示的说明性实施例中，至少一个车辆处理器103控制基于车辆的计算系统100的操作的至少一些部分。设置在车辆131内的处理器103允许对命令和程序进行车载处理。此外，车辆处理器连接到非持性久存储装置105和持久性存储装置107这两者。在该说明性实施例中，非持久性存储装置105是随机存取存储器(ram)，而持久性存储装置107是硬盘驱动器(hdd)或快闪存储器。非暂时性存储器可以包括持久性存储器和ram这两者。通常，持久性存储装置107可以包括在计算机或其他装置断电时保存数据的所有形式的存储器。这些包括但不限于hdd、cd、dvd、磁带、固态驱动器、便携式usb驱动器和任何其他合适形式的持久性存储器。

车辆处理器103还可以包括允许用户和外部系统与车辆处理器103进行对接的若干不同输入。基于车辆的计算系统100可以包括传声器129、辅助输入端口125(用于输入133)、通用串行总线(usb)输入123、全球定位系统(gps)输入124、屏幕104以及蓝牙输入115，所述屏幕可以是触摸屏显示器。vcs100还可以包括输入选择器151，所述输入选择器被配置为允许用户在各种输入之间调换。来自传声器129和辅助连接器125这两者的输入可以在被传递到处理器103之前由模数(a/d)转换器127从模拟转换为数字。虽然未示出，但是与vcs进行通信的许多车辆部件和辅助部件可以使用车辆网络(诸如但不限于，控制器局域网(can)总线、局域互连网(lin)总线、面向媒体的系统传输(most)总线、以太网总线或flexray总线)来使数据进出vcs100(或其部件)。

来自车辆处理器103的输出可以包括但不限于可视显示器104和扬声器113或立体音响系统输出。扬声器113可以连接到放大器111，并且通过数模(d/a)转换器109从车辆处理器103接收其信号。还可以沿着分别在119和121处示出的双向数据流将输出传输到诸如个人导航装置(pnd)154等远程蓝牙装置或诸如车辆导航装置160等usb装置。

在一个说明性实施例中，系统100使用带天线117的蓝牙收发器115与用户的漫游装置153(例如，蜂窝电话、智能电话、个人数字助理(pda)或具有无线远程网络连接的任何其他装置)进行通信。然后，漫游装置153可以用于在塔式网络通信路径159上与车辆131外部的网络161例如通过与蜂窝塔157的装置塔通信路径155进行通信。在一些实施例中，蜂窝塔157可以是由电气电子工程师学会(ieee)802.11标准族定义的无线以太网或wifi接入点。漫游装置153与蓝牙收发器115之间的示例性通信由蓝牙信号路径114表示。

可以通过按钮152或类似输入来指示配对漫游装置153和蓝牙收发器115。因此，指示cpu将车载蓝牙收发器115与漫游装置153中的蓝牙收发器配对。

可以利用例如与漫游装置153相关联的数据计划、声载数据或双音多频(dtmf)音调在车辆处理器103与网络161之间传送数据。可替代地，可能希望包括具有天线118的车载调制解调器163，以便建立车辆-装置通信路径116，以用于通过语音频带在车辆处理器103与网络161之间传送数据。然后，漫游装置153可以用于在塔式网络通信路径159上与车辆131外部的网络161例如通过与蜂窝塔157的装置塔通信路径155进行通信。在一些实施例中，调制解调器163可以直接与蜂窝塔157建立车辆-塔通信路径120以用于与网络161进行通信。作为非限制性示例，调制解调器163可以是usb蜂窝调制解调器，并且车辆-塔通信路径120可以是蜂窝通信。

在一个说明性实施例中，车辆处理器103被设置有操作系统，所述操作系统包括用于与调制解调器应用软件进行通信的应用程序编程接口(api)。调制解调器应用软件可以访问蓝牙收发器115上的嵌入式模块或固件以完成与远程蓝牙收发器(诸如在漫游装置153中存在的收发器)的无线通信。蓝牙是ieee802pan(个人局网络)协议的子集。ieee802lan(局域网)协议包括wifi，并且与ieee802pan具有相当大的交叉功能性。这两者都适用于在车辆内进行无线通信。可以在该领域中使用的其他无线通信装置是自由空间光通信(诸如irda)和非标准化消费者ir协议或电感耦合装置(包括但不限于诸如rfid等近场通信系统)。

在另一个实施例中，漫游装置153包括用于语音频带或宽带数据通信的调制解调器。在声载数据实施例中，当漫游装置的所有者可以在传输数据的同时通过所述装置进行通话时，可以实施称为频分复用的技术。在其他时间，当所有者不使用所述装置时，数据传输可以使用整个带宽(在一个示例中为300hz至3.4khz)。虽然频分复用对于车辆与因特网之间的模拟蜂窝通信可能是常见的，并且仍在使用，但是它已经在很大程度上被码分多址(cdma)、时分多址(tdma)、用于数字蜂窝通信的空分多址(sdma)(包括但不限于可以包括时域统计复用的正交频分多址(ofdma))的组合替代。这些都是国际电报联盟(itu)国际移动电信(imt)2000(3g)兼容标准，并为静止或步行用户提供高达2mbps的数据速率并为移动车辆中的用户提供385kbps的数据速率。3g标准现在正被高级imt(4g)替代，所述高级imt为车辆中的用户提供100mbps并且为静止用户提供1gbps。如果用户具有与漫游装置153相关联的数据计划，则数据计划可能允许宽带传输，并且所述系统可以使用更宽的带宽(加速数据传输)。在再一个实施例中，漫游装置153被安装到车辆131的蜂窝通信装置(未示出)替代。在又另一实施例中，漫游装置153可以是能够通过例如(但不限于)ieee802.11g网络(即，wifi)或wimax网络进行通信的无线局域网(lan)装置。

在一个实施例中，传入数据可以通过漫游装置153经由声载数据或数据计划、通过车载蓝牙收发器115来传递到车辆的内部处理器103。例如，在某些临时数据的情况下，数据可以存储在hdd或其他存储介质107上直到不再需要数据为止。

可以与车辆131对接的附加源包括具有例如usb连接156和/或天线158的个人导航装置154，具有usb162或其他连接的车辆导航装置160、车载gps装置124、或与网络161连接的远程导航系统(未示出)。usb是一类串行联网协议中的一者。ieee1394(firewire^tm(苹果公司)、i.link^tm(索尼)和lynx^tm(德州仪器))、eia(电子工业协会)串行协议、ieee1284(centronics端口)、s/pdif(索尼/飞利浦数字互连格式)和usb-if(usb实施者论坛)形成了装置-装置串行标准的主要部分。大多数协议可以被实施用于电气或光学通信。

此外，车辆处理器103可以与各种其他辅助装置165进行通信。辅助装置165可以通过无线(例如，经由辅助装置天线167)或有线(例如，辅助装置usb169)连接来连接。辅助装置165可以包括但不限于个人媒体播放器、无线健康装置、便携式计算机等。

车辆处理器103可以连接到一个或多个近场通信(nfc)收发器176。nfc收发器176可以被配置为与nfc收发器176附近的兼容装置建立通信。nfc通信协议可以用于识别靠近nfc收发器176的兼容漫游装置。

此外或可替代地，车辆处理器103可以使用例如wifi(ieee802.11)收发器/天线171连接到基于车辆的无线路由器173。这可以允许车辆处理器103连接到本地路由器173的范围内的远程网络。在一些配置中，路由器173和调制解调器163可以组合为集成单元。然而，本文要描述的特征可以适用于模块分离或集成的配置。

车辆处理器103可以对接到车辆对车辆(v2v)通信系统180。v2v通信系统180可以是专用短程通信(dsrc)系统，所述系统被配置为当车辆和基础设施装置在彼此的预定范围内时直接在其间发射和接收消息。v2v通信系统180可以实施建立的通信协议。v2v通信系统108可以包括收发器，所述收发器被配置为通过指定的通信链路发射和接收消息。(例如，dsrc)。v2v通信系统180可以包括天线。虽然通信系统被称为车辆对车辆，但是通信系统还能够进行车辆对基础设施(v2i)、车辆对行人(v2p)、车辆对装置(v2d)以及车辆对电网(v2g)通信。

除了具有由位于车辆中的车辆计算系统执行的示例性过程之外，在某些实施例中，示例性过程还可以由与车辆计算系统进行通信的计算系统来执行。这样的系统可以包括但不限于无线装置(例如但不限于移动电话)或通过无线装置连接的远程计算系统(例如但不限于服务器)。此类系统可以统称为车辆相关计算系统(vacs)。在某些实施例中，vacs的特定部件可以取决于系统的特定实施方式来执行过程的特定部分。作为示例而非限制，如果过程具有与配对的无线装置进行发送或接收信息的步骤，则很可能无线装置未执行该过程，因为无线装置不会与自己进行“发送并接收”信息。所属领域普通技术人员将理解何时将特定的vacs应用于给定解决方案是不合适的。在所有解决方案中，可以预期位于车辆自身内的至少车辆计算系统(vcs)能够执行示例性过程。

v2v接口可以实施用于与其他车辆和基础设施装置进行通信的系统的硬件和软件。例如，v2v通信系统180和车辆处理器103可以被配置为实施与被称为电气电子工程师协会(ieee)802.11p(也被称为车载环境下无线接入(wirelessaccessinvehicularenvironment)(wave))的ieee标准兼容的系统。ieee802.11p标准可以定义v2v接口180的低级硬件和协议细节。更高级别的通信协议可以由其他标准定义。例如，消息格式可以按照汽车工程师协会(sae)标准saej2735。saej2735标准可以定义由v2v接口传送的各种消息的消息结构。

车辆处理器103可以被配置为经由v2v通信系统180以周期性间隔广播基本安全消息(bsm)。bsm可以包括强制和可选数据。bsm中的强制数据可以参考第1部分数据。例如，第1部分数据可以包括车辆工况，诸如位置、速度、航向以及加速度。bsm中的可选数据可以称为第2部分数据。第2部分数据可以包括各种附加数据元素。

在bsm中发送的数据可以包括可以指示驾驶员的驾驶风格的各种信号。bsm可以包括位置数据(例如，来自gps传感器)、车速以及加速度。bsm还可以指示诸如紧急制动、防抱死制动器激活和/或稳定系统激活等事件。虽然数据对于与其他车辆通信以提供情景感知是有用的，但是数据也可以对其他实体有用。可以不加密bsm以鼓励在广播网络上使用。结果，具有兼容接收器(例如，dsrc接收器)的任何个人可以在需要任何加密密钥的情况下读取数据。

国家公路交通安全管理局(nhtsa)提供了劝阻记录bsm数据的一些指南。所述指南规定，实体不能存储bsm数据超过指定处理时间。所述指南还规定，任何bsm都不应包含可以随时将消息链接回到特定用户或实体的任何数据(例如，车辆识别号码(vin)、驾驶员识别)。

bsm消息的内容可以包括证书、消息内容、数字签名以及时间戳。证书可以包括关于公钥和来自证书颁发机构的签名的信息。接收器可以使用证书来确认消息。数字签名可以包括从消息内容和私钥生成的数据串。例如，消息内容可以通过散列函数传递，然后传递给也输入私钥的签名函数。签名函数的输出可以是称为签名的一串数据或值。签名可以包括在消息中以供接收器确认消息。可以类似地处理广播的每个消息。

所述消息的接收器可以通过检查签名和消息内容来验证消息。例如，消息内容可以通过散列函数传递，并且与数字签名和从证书导出的公钥一起输入到验证函数。验证函数的输出可以指示该消息来自有效的发送者。可以类似地处理接收到的每个消息。

数字签名有助于确保通信的完整性。消息传递过程的参与者可以确保消息由适当授权的发送者发送。车辆对车辆通信系统的另一方面是接收器不应能够将特定车辆与消息数据相关联。这是为了确保车辆和车辆驾驶员的隐私。在先前描述的方案下，可以将车辆与特定消息数据相关联。如果证书没有改变，则接收器可以监控证书并最终将证书与特定车辆相关联。

可以为每辆车分配在预定时间段(例如，2周)内有效的20个证书。每个发射器可以以预定时间间隔(例如，5分钟)改变其使用的证书。通过这种方式，更加难以使接收器监控特定证书并将其与特定车辆相关联。在经过预定时间段之后，车辆可以获得另一组20个证书。重覆循环一个以上的证书使得难以在延长的时间段内识别和跟踪特定车辆。

尽管有指南，仍有可能从bsm数据中识别出特定车辆。如果可以收集和跟踪来自车辆的bsm，则可以收集关于驾驶行为的足够信息。如果攻击者设法知道从其中接收bsm的特定车辆，则攻击者可能能够识别驾驶员并确认他们的位置和他们的驾驶行为。攻击者可以将该信息出售给各个实体。例如，保险公司可能对购买驾驶行为数据感兴趣以设定保险费率。

一种攻击方法可以是基于接收信号强度的源识别。收发器可以提供被称为接收信号强度指示(rssi)的信号。rssi可以提供指示接收到的无线电信号的功率的值。攻击者可以在目标附近(例如，在目标车辆的v2v天线附近)附接兼容的v2v接收器。例如，dsrc接收器可以放置在车辆天线附近。dsrc接收器可以被配置为记录由车辆对车辆通信系统发射的任何消息。在操作期间，dsrc接收器也可以从其他发射器(例如，附近的车辆或结构)接收消息。可以通过分析接收信号的信号强度来隔离目标车辆消息。由于dsrc接收器有意放置在目标发射器附近，因此来自目标发射器的信号强度预计最高。通过收集与具有最高rssi的接收信号相关联的bsm，攻击者可以隔离bsm中的目标车辆证书。在一段时间内，这可能允许攻击者记录目标车辆使用的所有证书。攻击者可以将数据记录在dsrc接收器中，或者可以将数据传送到中央服务器。不知情况的目标车辆可以继续使用相同证书。一旦攻击者具有与目标车辆相关联的证书，攻击者就可以使用该信息来跟踪目标车辆。

例如，攻击者可能在一定区域/区中安装dsrc接收器的网络。接收器可以接收所发射的所有bsm。可以处理bsm数据以确定证书中的任一者是否与目标车辆的那些证书匹配。如果找到匹配，则攻击者可以将目标车辆与位置相关。另外地，发射数据中存在的任何附加的第2部分数据可以被记录并将与目标车辆相关联。通过这种方式，数据可以被收集并将与目标车辆相关联。然后，该数据可以出售给第三方。

所述攻击方法可以依赖于具有所有接收到的消息的最高rssi的目标车辆。这是合理的假设，前提是所有车辆都被配置为以相同功率级进行发射。如果车辆以相同功率级发射，则最靠近攻击者装置的天线将可能具有最高的rssi。为了防止此类攻击，每辆车的dsrc发射器可以被配置为改变广播消息的发射功率。典型系统可以恒定发射功率来广播消息。通过改变发射功率，攻击者可能发现难以识别由目标车辆广播的消息。改变发射功率还可以限制攻击者识别所有的车辆证书。这可能使以后的跟踪更加困难和不完整。因此，不完整识别可能使信息的价值降低。

为了防止此类攻击，车辆对车辆通信系统可以被配置为以如下方式改变发射功率：基于接收信号强度大于从并非由车辆发送的消息接收的那些信号强度，在相对于耦合到收发器的天线的固定位置处，接收器不能将bsm内的证书与车辆相关联。可以改变发射功率，使得放置在车辆上的接收器不能根据接收信号强度来可靠地识别车辆。

图2描绘了用于在车辆对车辆通信系统中生成消息的可能系统的框图。车辆控制器200可以被编程为实施用于生成消息的指令。车辆控制器200可以实施消息内容函数202。消息内容函数202可以被配置为识别用于在bsm中发射的数据。例如，消息内容函数202可以与其他函数对接以检索车速、位置以及作为bsm的一部分的其他信号。车辆控制器200可以被配置为生成并存储私钥208作为用于认证消息的公钥基础设施(pki)方案的一部分。车辆控制器200还可以被配置为生成并存储与私钥相对应的公钥。公钥和私钥可以是预定长度的字母数字串。

车辆控制器200可以包括生成消息函数204。生成消息函数204可以被配置为构造消息以供发射。生成消息函数204可以输入如从消息内容函数202输出的消息内容。生成消息函数204还可以输入私钥208。可以使用来自消息内容函数202的消息内容来构造消息。生成消息函数204可以通过变换函数(例如，散列函数)来处理消息内容。生成消息函数204可以实施签名函数，变换后的消息内容和私钥208被输入到所述签名函数中。签名函数可以输出作为消息的一部分而包括在内的数字签名。生成消息函数204可以构造包括消息内容、数字签名以及具有关于公钥的信息的证书的消息。所述消息可以被传输到v2v收发器180以进行广播。

车辆控制器200可以包括发射功率选择函数206。发射功率选择函数206可以被配置为改变v2v收发器180的发射功率。私钥208可以输入到发射功率选择函数206。可以基于私钥208来选择发射功率。针对每个广播消息，可以根据响应于私钥208的改变而改变的预定序列或模式来改变发射功率级。预定序列可以被配置为改变每个广播消息的发射功率级，使得基于接收信号强度大于从其他车辆收到的消息的接收信号强度，在车辆上的固定位置处，接收器不能将bsm内的证书与车辆相关联。预定序列可以响应于私钥208的改变而改变。此外，因为每辆车被分配了不同的私钥，所以每辆车的预定序列不同的概率可能很高。可以向v2v收发器180提供控制信号以设定发射功率级。

预定序列可以具有若干特性。应设计预定序列使得基于预定序列再现私钥是不可行的。可以使用由制造商定义的算法以规则间隔更新预定序列。例如，可以以预定间隔经由蜂窝通信链路改变预定序列。在一些配置中，可以与20个证书以相同频率更新预定序列。

图3描绘了可能的发射功率选择函数300的框图。车辆控制器200可以被配置为存储表示发射功率级的预定义数量的预定模式或序列308。预定序列308可以包括n个序列。例如，第一序列310可以存储在第一阵列314中。第n个序列312可以存储在第n个阵列316中。阵列中的每一者可以包含m个元素以定义序列。可以通过选择序列(元素1至n)和序列的特定元素(元素1至m)来选择特定序列。

在车辆控制器200中实施的发射功率选择函数300可以包括模式选择函数306。模式选择函数306可以被配置为选择预定序列308中的一者以对每个广播消息设定发射功率级。模式选择函数306可以保持用于从预定序列308中的一者中选择元素中的一者的索引。

发射功率选择函数300可以包括密钥生成函数(kgf)301，所述密钥生成函数被配置为输入私钥208并输出导出密钥。导出密钥可以是从私钥208中导出或生成的一个或多个值。密钥生成函数301允许导出密钥在车辆控制器200内使用。因为每辆车具有用于通信的不同私钥，所以预计将为每辆车产生不同的导出密钥。可以在初始化时段期间执行密钥生成函数301以生成一个或多个导出密钥。导出密钥可以存储在非易失性存储器中。响应于私钥208改变，可以执行密钥生成函数301以生成新的导出密钥。在一些配置中，密钥生成函数301可以可重新编程使得可以以预定间隔更新导出密钥。例如，可以周期性地将更新的函数上载到车辆，使得可以重新生成导出密钥。

在车辆控制器200中实施的发射功率选择函数300可以包括第一选择函数302，所述第一选择函数被配置为输入从密钥生成函数301输出的导出密钥并输出对预定序列308中的一者的选择。第二选择函数304可以被配置为输入从密钥生成函数301输出的导出密钥并输出对选定序列的特定元素的选择。可以使用各种方法来处理导出密钥并得出输出值。在一些配置中，可以将构成导出密钥的字节相加以得出输出值。然后可以缩放求和结果以生成期望选择范围内的数字。例如，可以将求和结果除以缩放因子以创建介于1至n(或1至m)之间的值。注意，可以在没有限制的情况下使用其他方法。因为每辆车具有用于通信的不同私钥，所以预计将为每辆车产生不同的索引。结果，即使在每辆车中定义了相同的预定序列308，附近车辆也很可能不以相同的发射功率级进行发射。

模式选择函数306可以接收第一选择函数302的输出。第一选择函数302的输出可以选择要使用哪个预定序列308。第一选择函数302可以被配置为根据导出密钥来生成与多个预定发射功率序列308中的一者相对应的索引。例如，从第一选择函数302输出的值可以提供从1到n的数量(预定模式的数量)。所述值可以表示选定序列318。模式选择函数306可以接收第二选择函数304的输出。第二选择函数304可以根据导出密钥来生成到选定序列318中的起始索引。第二选择函数304的输出可以定义首先输出选定序列318的哪个元素。模式选择函数306可以保持用于来自选定序列318的选定元素320的索引(例如，具有值1至m)。模式选择函数306可以在每次消息广播之后递增索引或选定元素320以选择下一次广播的下一个元素。当增量使值增加到m以上时，模式选择函数306可以将索引重置为第一元素。模式选择函数306可以将选定序列318的选定元素320处的值输出到收发器。

在一些配置中，可以存在具有表示发射功率级的预定数量的元素的单个序列。可以使用导出密钥来生成单个序列。可以在远程服务器上实施操作以基于制造商定义的算法来生成预定序列。然后可以将单个序列传输到车辆控制器200的非易失性存储器。在此类配置中，可以修改第一选择函数302和第二选择函数304。例如，可以仅执行第二选择函数304以选择起始索引。可以监控私钥208以确定是否存在需要更新导出密钥的改变。在其他配置中，远程服务器可以根据制造商定义的算法来生成预定序列308以传输到车辆控制器200。

每次广播消息时，可以通过预定序列的当前选定元素来调整发射功率级。预定序列308可以存储为要输出到v2v收发器180的值。预定序列308的发射功率级可以被配置为在连续元素之间具有至少最小差异，使得没有两个连续功率级彼此过于接近。预定序列308的连续元素之间的差异的量值可以被定义为大于预定最小值。例如，连续元素之间的差异的量值可以被定义为最大功率值的至少百分之五。在一些配置中，连续元素之间的差异的量值可以由固定值(例如，2dbm、4dbm)来定义。

在一些配置中，预定序列308可以定义发射功率级相对于先前发射水平的变化。在这样的配置中，模式选择函数306可以被配置为生成起始发射功率级，所述起始发射功率级可以是根据导出密钥导出的值。然后可以将改变值加到先前的发射功率级值。发射功率级可以被限制在由最小功率级和最大功率级限定的预定值范围内。在预定序列308中定义的功率级可以使得功率级不会下降到最小功率级以下。在预定序列308中定义的功率级可以使得功率级不超过最大功率级(例如，33dbm)。

存储预定序列308的优点在于，相对于处理器执行时间，发射功率值的查找可以更有效。例如，所描述的查找方案比必须在每个广播间隔执行随机数发生器更有效。另外地，由预定序列定义的变化值可以确保基于接收强度的攻击不成功。当导出密钥或私钥没有变化时，预定序列可以在功率循环之间保持不变。

为了防止基于接收强度的攻击，车辆的dsrc发射器可以被配置为以周期性间隔改变发射功率级。可以以bsm数据的发射速率(例如，1秒间隔)改变发射功率。通过这种方式，攻击者可能无法将bsm数据与目标车辆区分开。在给定时间，其他附近车辆或基础设施装置可以正在广播由攻击者接收的信号，所述信号的信号强度大于来自目标车辆的那些信号的信号强度。攻击者可能无法将目标车辆与其他来源有效区分开。因此，攻击者收集并按信号强度分类的数据可能包括来自许多不同来源的数据。由于数据不是特定于给定目标车辆，因此数据的价值较低。此外，由于可以表示许多不同来源，因此以后的跟踪可能是无效的并且产生令人困惑的结果。例如，通过存储与不同车辆相关联的证书，以后的跟踪可以同时显示在多个位置的目标车辆。因此，使用该数据进行的任何跟踪都是无效的。

图4描绘了用于控制器的可能操作序列的流程图400。在操作402处，控制器可以被编程为基于从私钥208导出的密钥来选择预定模式或序列，如上所述。可以在控制器加电时执行一次操作。在操作404处，控制器可以被编程为基于导出密钥来选择起始值。起始值可以是初始发射功率级，或者可以是预定序列的起始索引。可以在加电时执行一次操作。注意，在一些配置中，操作404可能不是必需的。

在操作406处，控制器可以被编程为基于如上所述的私钥来生成消息内容。例如，私钥可以用于生成包含在消息中的数字签名。在操作408处，控制器可以被编程为根据选定模式或序列来选择并输出发射功率级。可以管理和保持预定序列的索引。例如，索引可以在每个广播消息之后递增以指向下一个发射功率级。在操作410处，控制器可以被编程为以选定发射功率级广播消息。可以针对广播的每个bsm重复操作406、408以及410。

所描述的系统和方法可以改善通过车辆对车辆通信系统发射的数据的隐私。所述系统可以使得难以识别受到基于接收强度的攻击的特定车辆。所得系统可能会降低此类攻击的有效性。

本文所公开的过程、方法或算法可以交付给处理装置、控制器或计算机(可以包括任何现有的可编程电子控制装置或专用电子控制装置)/由其实施。类似地，所述过程、方法或算法可以存储为可以由控制器或计算机执行的呈许多形式的数据和指令，所述形式包括(但不限于)永久地存储在诸如rom装置等不可写存储介质上的信息以及可变地存储在诸如软盘、磁带、cd、ram装置以及其他磁性和光学介质等可写存储介质上的信息。所述过程、方法或算法还可以在软件可执行对象中实施。可替代地，所述过程、方法或算法可以全部或部分使用合适的硬件部件(诸如专用集成电路(asic)、现场可编程门阵列(fpga)、状态机、控制器或其他硬件部件或装置)或硬件、软件以及固件部件的组合来实施。

虽然上文描述了示例性实施例，但是并不希望这些实施例描述由权利要求涵盖的所有可能形式。用在说明书中的词汇是描述性词汇，而不是限制性的词汇，并且应当理解，在不脱离本公开的精神和范围的情况下可以进行各种变化。如先前所述，各种实施例的特征可以组合形成可能未明确描述或示出的本发明的另外的实施例。虽然各种实施例可能已经描述为就一个或多个期望特性而言相对于其他实施例或现有技术实施方式提供优点或为优选的，但是所属领域一般技术人员认识到，可以对一个或多个特征或特性进行折衷以实现期望的整体系统属性，这取决于具体应用和实施方式。这些属性可以包括但不限于成本、强度、耐用性、生命周期成本、市场适销性、外观、包装、尺寸、服务能力、重量、可制造性、易组装性等。因此，就一个或多个特性而言，描述为期望性不及其他实施例或现有技术实施方式的实施例不在本公开的范围之外并且对于特定应用可以为所期望的。

根据本发明，提供了一种车辆，所述车辆具有：收发器，其用于车辆对车辆通信；以及控制器，其被编程为使用私钥对多个基本安全消息(bsm)中的每一者进行数字签名，并且经由收发器根据预定功率级序列以相应发射功率级广播所述bsm中的每一者，所述预定功率级序列通过生成于所述私钥的一个或多个值来定义。

根据一个实施例，所述控制器还被编程为响应于所述一个或多个值的变化而改变所述预定功率级序列。

根据一个实施例，所述预定功率级序列定义所述bsm中的每一者的所述相应发射功率级，使得连续广播之间的发射功率级的差异的量值是至少预定量值。

根据一个实施例，所述预定功率级序列定义发射功率级相对于先前发射功率级的变化。

根据一个实施例，所述变化的量值是每次广播的至少预定最小变化。

根据一个实施例，所述控制器还被编程为基于生成于所述私钥的所述一个或多个值来生成起始发射功率级。

根据一个实施例，所述相应发射功率级在预定范围内。

根据一个实施例，所述预定功率级序列定义发射功率级，使得基于接收信号强度大于从并非由所述车辆发送的消息接收到的那些信号强度，附接在所述车辆上的固定位置处的接收器不能将所述基本安全消息内的证书与所述车辆相关联。

根据本发明，提供了一种车辆系统，所述车辆系统具有：收发器；以及控制器，所述控制器被编程为经由所述收发器以相应发射功率级广播多个基本安全消息中的每一者，所述多个基本安全消息使用私钥进行数字签名，所述发射功率级由预定功率级序列定义，所述预定功率级序列通过由从所述私钥导出的一个或多个值来定义并且将连续广播的发射功率级定义成相差至少预定量值。

根据一个实施例，所述控制器还被编程为将所述预定功率级序列定义为根据所述一个或多个值的第一函数选择的多个预定义序列中的一者。

根据一个实施例，所述控制器还被编程为根据所述一个或多个值的第二函数从所述预定功率级序列中选择起始功率级值。

根据一个实施例，所述控制器还被编程为根据所述一个或多个值的函数从所述预定功率级序列中选择起始功率级值。

根据一个实施例，所述预定功率级序列定义发射功率级相对于先前发射功率级的变化。

根据一个实施例，所述控制器还被编程为根据所述一个或多个值生成初始发射功率级。

根据一个实施例，所述预定功率级序列定义发射功率级，使得基于接收信号强度大于从并非由车辆发送的消息接收到的那些信号强度，附接在与所述车辆系统相关联的所述车辆上的固定位置处的接收器不能将所述基本安全消息内的证书与所述车辆相关联。

根据本发明，提供了一种方法，所述方法具有：由车辆控制器根据预定功率级序列以相应发射功率级广播多个基本安全消息(bsm)中的每一者，所述预定功率级序列通过由从用于对所述bsm进行数字签名的私钥导出的一个或多个值来定义。

根据一个实施例，上述发明的特征还在于，通过所述车辆控制器响应于所述一个或多个值的变化而改变所述预定功率级序列。

根据一个实施例，上述发明的特征还在于，由所述车辆控制器通过根据所述一个或多个值的第一函数来选择多个预定发射功率序列中的一者来定义所述预定功率级序列。

根据一个实施例，上述发明的特征还在于，由所述车辆控制器通过根据所述一个或多个值的第二函数从所述多个预定发射功率序列中的所述一者来选择起始功率级来定义所述预定功率级序列。

根据一个实施例，所述预定功率级序列定义所述相应发射功率级，使得连续广播之间的发射功率级的差异的量值是至少预定量值。