用于供应和处理V2X设备的地理位置信息的系统、方法和设备与流程
相关申请的交叉引用
本申请要求于2018年2月16日提交的美国临时申请no.62/631,593的权益,并且本申请是于2018年11月14日提交的美国申请no.16/191,030的部分继续;这两个申请通过引用以其整体并入本文。
本发明涉及用于安全地生成和提供诸如安全凭证和数字证书的某些类型的数字资产的系统、设备和方法。更具体地,本发明涉及用于将地理位置特定的数字资产安全地供应给v2x基础设施的计算机化设备的改进的系统、方法和技术。
背景技术:
随着计算机变得越来越小型化和商品化,制造商们正在生产越来越多的包括一个或更多个嵌入式计算机或处理器的各种设备。计算机化设备中的计算机可以控制设备的操作,收集、存储和共享数据,与其他计算机和其他计算机化设备通信,以及更新其自身的软件等。
物联网(iot)是具有(一个或更多个)嵌入式处理器、电子器件、软件、数据、传感器、执行器和/或网络连接的计算机化物理设备的网络,物联网使得这些设备能够经由包括因特网、蜂窝网络和其他无线网络的数字网络来连接和交换数据。通常,每个“物”需要通过其嵌入式计算系统是唯一可识别的,并且能够在现有的因特网基础设施内或通过使用其他通信介质来交互操作。
在iot意义上的“物”可以指各种各样的计算机化设备,诸如消费者电器、在商业和公司环境中使用的企业设备、制造机器、农业器材、家庭和建筑物中的耗能设备(开关、电源插座、电器、照明系统、灯泡、电视、车库门开启器、洒水系统、安全系统等)、医疗和保健设备、基础设施管理设备、机器人、无人机以及运输设备和车辆等。
例如,即使不是全部,在大多数现代车辆和运输机械(例如,汽车、卡车、飞行器、火车、船只、摩托车、踏板车等)在其子系统中包含若干嵌入式处理器或嵌入式计算机,并且在至少一些方面是计算机控制的。类似地,越来越多的现代运输基础设施设备(例如,交通灯、交通摄像机、交通传感器、桥梁监视器、桥梁控制系统、路侧单元等)包含至少一个并且通常是多个嵌入式处理器或嵌入式计算机系统,以及在至少一些方面是计算机控制的。
运输网络的这些计算机控制的单元通常彼此通信,来回传递各种类型的信息。例如,路侧单元(rsu)是位于路侧的计算机化设备,其与经过的车辆及其他rsu通信。rsu可以被固定在一个位置(例如,嵌入在公路旁边的盒子中),或者它可以是由道路施工队、应急工作人员等根据需要携带和部署的移动、便携式设备。运输网络的各种计算机控制的单元可以反应、响应、改变它们的操作,或者根据在车辆到车辆(v2v;也称为汽车到汽车(c2c))通信中的从/向其他车辆接收/发送的信息和/或在车辆到基础设施(v2i;也称为汽车到基础设施(c2i))通信中从/向基础设施单元(诸如rsu)接收/发送的信息来安全、正确、高效和可靠地操作。通常,将信息从车辆传递到可能影响车辆的任何实体(例如,其它车辆(v2v)和基础设施单元(v2i))称为车用无线通信技术(v2x)或汽车用无线通信技术(c2x),反之亦然。v2x的一些主要目标是道路安全、交通效率和节能。
计算机化设备中的计算机根据它们的软件和/或固件及数据来操作。为了确保安全和正确的操作,计算机化设备必须如制造商或v2x系统操作者所预期的那样用正确的软件、固件、可执行指令、数字证书(例如,公钥证书)、密钥等(以下统称为“数字资产”或“软件”)来正确地初始化和更新(例如,供应),以使得iot仅包括执行经授权的、已知为良好的软件和数据的设备。然而,当未经授权的个人或组织(例如黑客)替换或改变计算机化设备中的软件时,问题出现了。当在计算机化设备中安装较旧的软件、未测试的软件、未经批准的软件和/或具有已知漏洞的软件时,也会出现问题。
在供应被设计成在地理限制下操作的计算机化设备(例如v2x基础设施中的rsu)时会出现特定问题,如果提供给rsu的地理位置特定的数字资产不合适和/或不是最新的和/或与该rsu的实际地理操作位置不一致,则该计算机化设备不能正确地运行。
因此,期望提供用于将地理位置特定的数字资产供应给计算机化设备(例如v2x基础设施的rsu)的改进的系统、方法和技术。
技术实现要素:
本文描述了用于安全地供应包括登记证书和应用证书的计算机化设备(诸如路侧单元(rsu)设备)的系统、方法和设备,其中,根据登记证书和应用证书二者中的地理信息,计算机化设备(例如,rsu)被在地理上限制在其正确操作中。各种公开的实施例可以由增强的安全凭证管理系统(scms)实现,scms可以由一个或更多个计算系统(例如一个或更多个服务器计算机)托管。在各种实施例中,系统和设备可以执行方法,并且所述方法可以包括操作,所述操作包括:向计算机化设备(例如,rsu)提供登记证书,其中,登记证书指定计算机化设备(例如,rsu)的地理区域;以及接收对计算机化设备(例如rsu)的应用证书的请求。响应于对应用证书的请求,所述操作可以进一步包括:确定计算机化设备(例如rsu)的操作地理位置;验证操作地理位置在地理区域内;生成包括操作地理位置的应用证书;以及向计算机化设备(例如rsu)提供包括操作地理位置的应用证书。在各种实施例中,计算机化设备的正确操作根据应用证书的操作地理位置而在地理上受到限制。
在各种实施方式中,所述请求包括:计算机化设备(例如,rsu)的操作地理位置;以及响应于所述请求用于确定计算机化设备的操作地理位置的操作包括从请求获取操作地理位置。在进一步的实施方式中,从计算机化设备接收请求。在其他实施方式中,计算机化设备可以被配置有操作地理位置,并且计算机化设备在请求中包括操作地理位置。
在另外的各种实施方式中,操作可以进一步包括:接收存储计算机化设备(例如,rsu)的操作地理位置的请求,其中该请求包括计算机化设备的操作地理位置;响应于该请求,存储该计算机化设备的操作地理位置(其可以在接收对应用证书的请求之前执行);以及响应于所述请求,确定所述计算机化设备的操作地理位置可以包括获取所存储的操作地理位置。在一些这样的实施方式中,从计算机化设备的用户接收存储该操作地理位置的请求。在一些实施方式中,地理区域是国家或州,以及操作地理位置。
本文描述的其它实施方式是用于安全地供应计算机化设备(例如路侧单元(rsu)设备)的系统、方法和设备,一旦供应,该计算机化设备就包括在地理上限制计算机化设备(例如rsu设备)的操作范围的应用证书。
另外其他的实施方式包括:登记证书和增强的scms,所述登记证书指定计算机化设备(例如rsu)的地理区域;所述增强的scms接收对计算机化设备(例如rsu)的应用证书的应用证书请求,其中所述请求包含(可以在地理区域内的)期望操作地理位置;验证该操作地理位置在地理区域内;生成包括操作地理位置的(一个或更多个)应用证书;以及响应于应用证书请求,向rsu设备提供包括操作地理位置的(一个或更多个)应用证书,由此根据应用证书的操作地理位置来在地理上限制rsu设备。
附图说明
被并入本说明书并构成本说明书的一部分的附图示出了本发明的实施方式,并与说明书一起用于解释本发明的原理。在附图中:
图1是描绘根据本发明的实施方式的在安全供应系统中执行的用于供应和跟踪需要证书的实体的计算机化设备的方法的示例的示意图;
图2是描绘根据本发明的实施方式的在安全供应系统中执行的用于为计算机化设备配置和提供本地策略文件(lpf)的方法的示例的示意图;
图3是描绘根据本发明的实施方式的在安全供应系统中执行的用于向计算机化设备提供安全资产的补充(top-off)的方法的示例的示意图;
图4是描绘根据本发明的实施方式的被配置为支持多租户操作的安全供应系统的示例的示意图;
图5是描绘根据本发明的实施方式与安全供应系统的多个租户相对应的计算机化设备的示意图;
图6是描绘根据本发明的实施方式的包括证书管理系统(cms)管理门户(cmp)的安全供应系统内的示例工作流的示意图;
图7是描绘根据本发明的实施方式的被配置为支持多租户操作的安全供应系统的示例操作环境的示意图;
图8a是示出了根据本发明的实施方式的用于向多个租户安全地提供诸如证书的凭证的过程的示例的泳道图的第一部分;
图8b是示出了根据本发明的实施方式的用于向多个租户安全地提供诸如证书的凭证的过程的示例的泳道图的第二部分;
图9是可以用于托管根据本发明的实施方式的系统和方法的计算系统的示例的框图;
图10是描绘根据本发明的实施方式的用于初始供应和跟踪rsu的方法的示例的示意图;
图11是描绘根据本发明的实施方式的用于配置部署的rsu的方法的示例的示意图;
图12是描绘根据本发明的实施方式的用于向部署的rsu设备提供非初始数字资产的方法的示例的示意图;
图13a是示出了根据本发明的实施方式的用于向多个租户安全地提供诸如包含地理位置信息的应用证书的数字资产的过程的示例的泳道图的第一部分;以及
图13b是示出了根据本发明的实施方式的用于向多个租户安全地提供诸如包含地理位置信息的应用证书的数字资产的过程的示例的泳道图的第二部分。
具体实施方式
现在将详细参考本发明的示例性实施方式,其示例在附图中示出。在任何方便的地方,在所有附图中使用相同的附图标记来表示相同或相似的部件。
在各种实施方式中,可以通过在设备内供应安全资产来保护嵌入式计算机控制的设备。安全资产可以包括例如密钥、唯一标识符、数字证书和安全软件。另外,安全资产可用于与例如认证设备和执行空中下载(ota)编程软件更新的安全通信。
为了确保现场的安全和正确操作,嵌入式设备(例如,车辆中使用的电子控制单元(ecu)),需要在制造期间通过供应数字资产(例如安全资产)来正确地初始化。数字资产可以包括各种数字证书、密钥、唯一标识符和软件。在大多数情况下,为各个租户和制造工厂生成这些数字资产的scms位于不同的地理位置,这些scms传统上经由不安全的因特网通信互连。因此,期望创建从这些数字资产的起源到多个租户的设备的端到端安全信道,使得数字资产不能被恶意方或意外地访问或修改。通常,不同的制造工厂和租户(例如,客户端、顾客和订户)需要不同的scms配置。在各种实施方式中,租户可以是诸如公司或制造商、scms的客户端或scms的订户的实体。传统上,必须为每个租户配置具有专用硬件的单独scms。因此,期望最小化与使用专用的、自定义配置的scms相关联的冗余和成本以向多个租户提供这些数字资产。
在以下描述中,将参考车辆到车辆和车辆到基础设施(v2x)设备内供应的安全资产。v2x设备可以包括例如车载单元(obu)、电子控制单元(ecu)和路侧单元(rsu)。obu包括在许多(如果不是全部)自主车辆中。然而,本文描述的实施方式不限于v2x设备,所公开的原理可应用于其它类型的计算机控制的设备。例如,在附加或替代的实施方式中,多租户过程和系统可用于向诸如c2x设备的其它计算机化设备提供证书。例如,具有与图4所示的那些类似的cmp、虚拟注册机构、sms和sms数据库组件的增强的scms可以向一个或更多个obu、ecu和rsu提供证书。在各种实施方式中,obu和ecu可以被配置为安装到车辆中,所述车辆包括包括自主车辆、船只(例如,船艇)、飞行器(例如,飞机和无人机)、航天器、医疗设备、机器人、无线或有线通信模块以及iot设备。类似地,rsu可以安装到交通控制设备(例如,交通标志)、路侧内容分发系统、电子收费系统、电子标志设备和数字显示设备(例如,电子广告牌)中。
在v2x生态系统中,安全资产(例如,登记证书)可以用于识别和授权终端实体(例如,v2x设备),以从安全凭证管理系统(scms)请求和接收其他安全资产(例如,假名和/或应用证书)。与传统的x.509证书不同,v2x登记证书和假名证书在其内不携带它们对应终端实体的身份;因此,外部观察者不能将其使用与特定车辆或设备链接。另外,在v2x设备中使用的安全资产在设备的操作寿命期间周期性地改变。
在v2x设备的制造期间,安全资产供应过程可以发生在不同的位置(并且因此在不同的时间),这些位置可以属于或可以不属于不同的公司(例如,scms的第三方合同制造商、不同的租户、顾客或订户)。例如,可以进行初始安全资产供应过程以促进制造要求、遵守政府规章等。例如,v2x设备的1级制造商可向其obu供应登记证书,并在单元被安装在原始设备制造商(oem)的车辆上之后,假名证书和其它数据可随后被供应以创建完全可操作的obu。
安全资产供应过程可能发生在不同位置的事实可能产生先前系统不具有技术能力来解决的挑战。
例如,为了在不同位置处供应安全资产,一些系统可以允许安全资产在位置之间通信。然而,这可能导致制造期间的时间延迟,因为证书将需要在它们可以被安装之前首先被请求,然后被通信。
另外,与传统的x.509证书不同,v2x登记证书和假名证书在其内不携带它们对应终端实体的身份;因此,在正确的安全资产与正确的v2x设备的匹配中存在附加的挑战,特别是当在不同位置供应安全资产时。
此外,对于传统scms,每个scms都被配置为将特定的obu/rsu信息(例如,配置信息)连同正确的安全资产一起递送到v2x设备。因此,如果一个特定实体(例如,scms的租户或客户端)想要提供自定义信息,则该实体只能使用传统scms。因此,提供自定义信息的每个实体将需要其自己的自定义scms,这可能是昂贵的并且不能很好地扩展。
如本文所述,多级供应和包括cmp、sms和具有虚拟注册机构的scms(统称为“增强的scms”)的多租户安全供应系统可以解决上述技术问题。
增强的scms可以由多个实体(例如,多个租户、客户端、顾客和订户)使用,可以向每个实体提供唯一的配置能力,并可以向所部署的计算机化设备(例如,v2x或c2x设备)提供实体唯一的更新。示例实体可以是1级制造商(制造v2x或c2x设备的实体)、oem(向消费者提供设备和/或将多个v2x或c2x设备组合成更大产品(例如,车辆)的实体)以及交通管理中心(tmc)(使用或管理rsu的实体)。在各种实施方式中,实体还可以是1级制造商、oem和/或交通管理中心的组合。
根据各种实施方式,增强的scms具有通过在登记时将计算机化设备链接到特定租户(例如,客户端、顾客、订户)或部署来提供多租户操作的能力。
如本文所述,增强的scms可以通过在经由cmp的供应的第一阶段期间向v2x设备提供登记证书,然后在经由cmp识别设备之后执行供应的附加阶段,来提供安全资产的多阶段供应。
在各种实施方式中,增强的scms可以将用于在稍后的阶段识别设备的信息存储在sms数据库中,并且可以进一步将每个设备与供应该设备的终端实体相关联,如下面参考图4-6更详细地描述的。另外,在设备上供应登记证书之后,该设备可以与指示其初始供应的状态相关联。
例如,可以(例如,由1级制造商)在设备的制造阶段在设备上供应登记证书。在这个阶段,增强的scms可以请求设备标识符(例如,数字或字母数字代码、设备的微处理器的序列号等),并且可以不供应登记证书,直到接收到设备标识符。当接收到设备标识符时,增强的scms可以存储接收到的设备标识符,并将该设备标识符与为设备供应的登记证书和/或与供应该设备的终端实体相关联。
在某些实施方式中,即使登记证书已经被供应在设备上,售后设备(aftermarketdevice)也可以被包括在sms数据库中。如本文所述,售后设备可以是不由1级制造商制造和/或由不使用增强的scms的实体制造的设备。当将售后设备添加到sms数据库时,售后设备可以与指示其准备好由增强的scms供应的状态相关联。
在一些实施方式中,增强的scms能够识别设备的类型和/或设备的能力。例如,设备的类型可以由设备标识符和/或经由与在设备上供应安全资产的终端实体的通信来确定。在各种实施方式中,设备的类型可以被用于例如确定要供应的兼容的安全资产、确定要供应的安全资产的数量等。
例如,一些设备可以比其他设备具有更多的物理安全性。具有更多的物理安全性的设备不太可能被偷窃或以其他方式被盗用。因此,可以在更物理上安全的设备上供应更大量的证书,因为如果设备被盗用,安全资产将被公开的可能性更小。而且,较少数量的证书可能对较少物理安全设备是有益的,因为当设备耗尽所供应的安全资产时,它可以联系增强的scms以“补充”(即,获得更多)安全资产。如果供应了较少的安全资产,则设备将更频繁地补充。因此,如果设备被盗用,则当它联系增强的scms以“补充”时,它可以被关闭、定位或以其他方式被注意。因此,设备越频繁地补充,致力于更可能被盗用的设备的机会就越大。
在一些实施方式中,当在oem处假名和/或应用证书被供应在v2x设备上时(例如,在与车辆中的其他设备组合之后),可以发生为v2x设备供应的第二阶段。在这个阶段,可以从v2x设备接收设备标识符,并且增强的scms可以使用该设备标识符来识别v2x设备,然后基于所识别的设备(例如,基于先前供应的登记证书,基于设备的物理安全级别等)来供应假名和应用证书。在一些实施方式中,除了设备标识符之外,增强的scms还可以从第三方检索其他数据,例如指示设备被正确安装的测试数据。基于设备标识符和正确安装的确认,增强的scms然后可以供应假名和/或应用证书。
如本文附加的描述,增强的scms可以通过为租户(例如,终端实体)提供sms(或者实体管理系统)并且通过管理本地策略文件(lpf)来提供多租户操作,所述本地策略文件包含v2x生态系统内的每个终端实体独有的信息。例如,可以创建自定义工作流,可以由终端实体经由订户管理系统(sms,在本文也称为实体管理系统)来管理自定义配置。sms可操作用于管理租户以及与租户有关的信息,其中的一些信息可被发送到租户的obu、rsu和tmc设备(tmcd)。
在某些实施方式中,多个租户中的每个租户的配置信息可以作为该租户的lpf中的元素或数据字段来存储。即,lpf存储租户特定数据。例如,lpf存储与租户相关联的计算机化设备的类型或类别有关的信息,但是不存储需要证书的特定终端实体或特定计算机化设备的信息。例如,这些元素可包括诸如但不限于初始供应量(例如,最初供应给租户的设备的证书量)、密钥和证书、链接机构(即,标识租户将要使用的链接机构的信息)、以及将要用于向租户提供后端服务质量(qos)级别的专用硬件的指示等信息。在各种实施方式中,lpf中为租户指示的初始供应量可以按照某些类型的证书的数量(例如,10,000个假名证书)或按照持续时间(例如,6个月的证书供应)来指示。
根据一些实施方式,给定租户的lpf存储证书的有效性的持续时间(例如,证书有效期)、允许实体拥有的证书的数量、证书的重叠时间段、证书将在将来有效的时间量(例如,对于初始供应,证书将在将来有效多久)、以及租户将需要请求证书补充时的指示(例如,在请求附加证书之前,终端实体将等待多久来使用证书)中的一个或更多个。
自定义的工作流和自定义的配置可以被用于自定义lpf,lpf可以被传输到v2x设备以自定义v2x设备的操作和/或配置。例如,自定义的工作流和/或自定义的配置可以确定应当接收和存储什么信息以及如何供应安全资产(例如,使用哪个注册机构、向安全资产添加自定义信息、在设备上供应自定义数量的安全资产等)。
在各种实施方式中,lpf可被安装在需要证书的计算机化设备上,例如v2x设备。这可允许终端实体自定义由v2x设备执行的过程和/或为v2x设备提供自定义的接口。例如,lpf可指示v2x设备联系特定实体的服务器(例如,经由自定义的统一资源定位符(url))和/或特定scms。作为另一个示例,lpf可使v2x设备下载有限量的安全资产或定义由v2x设备下载的证书的使用期(例如,1周而不是3年)。
在一些实施方式中,lpf还可以包括基于被供应有安全资产的设备的类型自定义的工作流和/或自定义的配置。例如,使用实体管理系统,终端实体可以指定要在各种类型的设备上供应的安全资产的数量,自定义的配置可以被存储在用于实体的lpf中,并且当设备请求安全资产时,lpf可以被用于确定要供应的安全资产的数量。
可以由增强的scms执行的附加特征包括,例如:提供可以由v2x设备联系的虚拟注册机构;在scms处为每个终端实体创建自定义账户;在scms处创建新的v2x设备类型;验证如运输部(dot)或其他授权主体批准的设备类型;获取登记或其它类型的公钥(例如,签名/加密密钥、高级加密标准(aes)蝶形密钥扩展值(butterflykeyexpansionvalue)等);返回用于售后设备的公钥、lpf和本地证书链文件(lccf),返回用于现场设备的最终编程的注册机构url,基于设备标识符跟踪设备,供应售后设备等。在各个实施方式中,lccf可以是由注册机构创建的用于发布到其终端实体的证书的二进制编码阵列。
图1是描绘根据所公开的实施方式的在安全供应系统中执行的方法的示例的示意图。示例方法可以在100处开始,此时在增强的scms的实体管理系统处为实体创建自定义账户。另外,在一些实施方式中,为了关于图1描述的示例的目的,终端实体可以是v2x设备的1级制造商。
在一些实施方式中,增强的scms可以基于从终端实体接收请求来创建用于终端实体的账户。创建账户的请求可以包括例如终端实体的标识符、关于终端实体的信息、终端实体的类型(例如,1级制造商)、与终端实体相关联的安全资产等。
在110中,增强的scms可以在增强的scms的cmp处注册设备类型。例如,注册设备类型的请求可以经由终端实体的账户从终端实体接收,或者可以从增强的scms的管理员接收。在一些实施方式中,注册设备类型的请求可以包括设备类型的标识符或与设备类型相关联的安全资产。增强的scms可以通过将设备类型的标识符存储在例如sms数据库中来注册设备类型。
在120中,增强的scms可以验证设备类型是否被授权主体(例如,dot)批准。例如,scms可以将标识符和/或安全资产传输到与授权主体相关联的服务器以请求验证,和/或可以将标识符和/或安全资产与存储在sms数据库中的批准的设备类型的列表进行比较。然后,scms可以将设备类型是否被验证的指示存储在例如sms数据库中。
在130中,scms可获取设备的公钥(例如,登记证书公钥、签名密钥、加密密钥、aes蝶形密钥扩展值等),并获取或产生设备的标识符。例如,可以从设备接收公钥,或者终端实体可以经由实体管理系统访问它们的账户并输入公钥和/或输入标识符。设备的公钥和/或标识符可以被存储在sms数据库中。
在140中,基于在130中获取的公钥,增强的scms可以将登记证书返回到终端实体以在设备上供应和/或供应到设备本身。在一些实施方式中,增强的scms还可以返回用于最终编程到设备中的注册机构url和某些配置数据。例如,注册机构url可以是终端实体所独有的和/或由终端实体(经由实体管理系统)自定义的。作为进一步的示例,与url相关联的注册机构可以是与增强的scms的scms相关联的虚拟注册机构。
在各种实施方式中,增强的scms从需要证书的计算机化设备接收公钥。例如,增强的scms可以仅接收登记公钥,或者增强的scms可以接收登记公钥和其他应用/假名公钥。增强的scms可以仅返回(具有诸如lpf的其他数据的)登记证书,或者增强的scms也可以返回应用/假名证书,这取决于从设备接收的所供应的(一个或更多个)公钥。在计算机化设备是售后设备的某些实施方式中,增强的scms可以接收售后设备的公钥,并且可以将公钥、lpf、lccf和其他数据返回给售后设备。根据某些实施方式,用于计算机化设备的lpf和lccf的下载是通过表述性状态转移(rest)服务调用来实现的,且不包括登记证书(例如,已签名消息)。对于所有其他rest服务调用,增强的scms的scms主机可以执行查找以验证设备的特定登记证书由特定租户拥有或与特定租户相关联。也就是说,可以对这些服务调用进行密码校验以确保它们被允许。对于lpf和lccf下载,使用url、路由、http报头或其他机制中的租户标识符(id)来确定向计算机化设备提供哪个文件。lccf可以与增强的scms的所有租户(即,包括所有证书)一致,但是lpf可以不同于每个租户。对于其它服务调用,强加密链接确保安全地管理计算机化设备和证书管理,即使单个注册机构(例如,虚拟注册机构)或单个scms后端组件集正在处理不同的策略。
在150中,如果设备是(例如,在sms数据库中的)售后设备,则增强的scms可以将设备的状态设置为初始供应或供应,并且可以在供应的后续阶段、当由oem或交通管理中心进一步供应设备时跟踪该设备,如下面关于图2所描述的。
图2是描绘根据所公开的实施方式的在安全供应系统中执行的方法的示例的示意图。示例方法可以在200处开始,此时在增强的scms处为终端实体创建自定义账户。在各种实施方式中,自定义账户可以经由增强的scms的实体管理系统来创建和/或管理。另外,在一些实施方式中,为了关于图2所描述的示例的目的,实体可以是操作v2x设备和/或操作结合了一个或更多个v2x设备的产品的oem或交通管理中心。在其它实施方式中,当1级制造商将部分或全部供应的设备运送给oem时,该实体可以是v2x设备的1级制造商。终端实体也可以是usdot或其他批准主体,并用于创建和管理可以被颁发证书的批准设备的数据库。
在一些实施方式中,增强的scms可以基于从终端实体接收的请求来创建用于终端实体的账户。创建账户的请求可以包括例如终端实体的标识符、关于终端实体的信息、终端实体的类型(例如oem或交通管理中心)、与终端实体相关联的安全资产等。
在一些实施方式中,创建用于终端实体的账户可以包括生成用于实体的一个或更多个默认lpf。例如,不同的默认lpf可以与不同的设备类型相关联。
在210中,增强的scms可以接收配置lpf的请求。例如,配置lpf的请求可以是:配置用于特定设备类型的工作流的请求、设置注册机构的url的请求、改变或设置地理限制(例如,rsu可以操作的地理坐标)的请求、配置补充策略(例如,改变要供应的安全资产的数量、设置经授权的安全资产的类型等)的请求等。在一些实施方式中,可以使用补充策略来确定如何响应补充请求,如下面关于图3所描述的。在进一步的实施方式中,可以基于设备类型、基于与设备相关联的应用证书和/或基于设备的位置来设置补充策略。
在220中,scms可经由cmp和v2x设备的标识符接收来自v2x设备的登记证书的哈希或初始证书请求的哈希。在一些实施方式中,可以经由在200中为终端实体创建的账户来接收哈希和标识符。
在一些实施方式中,登记证书可以是由增强的scms在140中返回给设备的登记证书,如上所述。在其他实施方式中,设备可以是售后设备,登记证书可能不由增强的scms提供。
在一些实施方式中,标识符可以是由增强的scms在140中接收或生成的标识符,如上所述,并且增强的scms可以基于v2x设备的标识符来识别v2x设备和/或v2x设备的类型。
在230中,增强的scms可以向设备返回公钥包、lpf和lccf。在一些实施方式中,可以基于在220中识别设备来确定返回到设备的信息。例如,返回的lpf可对应于由与v2x设备相关联的终端实体选择和/或自定义的设备类型的lpf。基于将信息返回到v2x设备,增强的scms可将设备的状态设置为供应或部分供应。在各种实施方式中,所供应的设备状态指示设备具有其登记证书、假名/应用证书以及诸如lpf和lccf等的其他文件。部分供应的设备状态可以用于指示计算机化设备仅具有这些数据中的一些。在一些实施方式中,增强的scms可以保持对与增强的scms和/或与每个终端实体相关联的供应设备的数量的计数,并且可以基于将设备的状态设置为供应来更新该计数。例如,增强的scms可以使用供应设备的数量来确认供应设备的数量不超过生产运行的预定大小。因此,增强的scms可以验证不存在未授权的生产过剩。
在240中,增强的scms可以接收管理部署的设备的请求。在一些实施方式中,管理部署的设备的请求可以是在部署了设备之后配置lpf的请求。例如,配置lpf的请求可以是:改变或设置地理限制的请求、改变要供应的安全资产的数量的请求等。在更新lpf之后,当设备下一次联系增强的scms时,增强的scms可以将更新后的lpf传输到适当的设备。例如,如关于图3所描述的,设备可以联系增强的scms以请求安全资产的补充。
图3是描绘根据所公开的实施方式的在安全供应系统中执行的方法的示例的示意图。示例方法可以在300处开始,此时在增强的scms处接收初始假名供应请求的哈希。在各种实施方式中,初始假名供应请求的哈希可以从经由增强的scms供应的v2x设备接收,或者从未经由增强的scms供应的售后v2x设备接收。
在一些实施方式中,初始假名供应请求的哈希可以被包括作为在v2x设备处对补充安全资产的请求的一部分。
在进一步的实施方式中,内容分发网络(参见例如下面讨论的图4的内容分发网络412)可以与安全供应系统相关联。内容分发网络可包括设备的分布式网络,该设备的分布式网络可存储和/或获取安全资产,并可允许v2x设备从在物理上更接近v2x设备的设备处补充安全资产(例如,以减少网络时延)。
在310中,增强的scms可以验证设备是否被授权。例如,增强的scms能够访问与和v2x设备相关联的终端实体的账户相关联的信息,以确定设备是否被授权以及是否具有活动状态。如图3所示,310可以验证计算机化设备是被授权的。在310中,如果计算机化设备未被授权(例如,被盗、出现问题、非活动等),则设备将被拒绝补充。在310中对正被授权的设备的验证确保生态系统中的计算机化设备的正确和经授权的操作的安全目的。增强的scms将不向未授权的设备提供证书。由于支付失败、泄露、撤销状态等,设备可能是未授权的。
在各种实施方式中,终端实体可能改变与终端实体相关联的v2x设备的在活动和非活动之间的状态。例如,如果v2x设备被报告为被盗或以其他方式被泄露,则终端实体可将v2x设备的状态从活动改变为非活动。
在320中,如果v2x设备被验证为活动,则在330中,增强的scms可提供安全资产的补充。在一些实施方式中,scms可以基于由与v2x设备相关联的终端实体设置的补充策略来提供安全资产的补充。例如,如上所述,终端实体可指定在v2x设备上供应的安全资产的数量和/或指定授权在v2x设备上供应哪种类型的安全资产。另外,在一些实施方式中,如果合适,增强的scms可以向v2x设备提供更新的lpf。在进一步的实施方式中,增强的scms可以通过确定物理上更靠近v2x设备的设备,并指示v2x设备从该更靠近的设备检索补充,来指示v2x设备经由内容分发网络检索安全资产的补充。
在320中,如果v2x设备未被验证为活动,则在340中,增强的scms可不提供安全资产的补充,而是可遵循由与该设备相关联的终端实体(例如,经由cmp)设置的自定义的未验证的工作流。例如,增强的scms可以向v2x设备发送关闭请求,可以从该设备检索全球定位系统(gps)坐标,可以向v2x设备提供更新的lpf等。
在一些实施方式中,本文描述的特征可防止v2x设备的未经授权的供应或不正确的供应。例如,公共安全车辆可在v2x生态系统中具有独特的能力以控制交叉口交通信号。上述特征可以确保仅向公共安全车辆颁发具有这些能力的证书以保持v2x生态系统的总体正确操作。
在进一步的实施方式中,增强的scms可以提供重新登记功能。在一些情况下,现场设备可能需要被重置为工厂“默认”供应,其中所有最初供应的密钥和数据都被擦除。为了重新登记这样的设备,增强的scms可以使用多级过程来安全地重新指配该设备,从而防止未授权设备的重新注册。例如,增强的scms将建立到诸如oem的服务区的已知终端位置的安全通信路径。相互认证的传输层安全可以用来建立这样的安全通信路径。然后,增强的scms可以请求与新的登记密钥证书签名请求一起的、从设备被检索的设备的微处理器序列号或其他永久标识符。然后,增强的scms可以验证其先前已经向设备供应了该永久标识符。如果增强的scms可以验证这一点,则增强的scms将返回具有诸如lpf等的其它设备供应信息的登记证书。增强的cms可为设备保留指示该设备已被重新登记的状态记录。然后,该设备可以使用scms协议来请求假名/应用证书包。基于增强的scms中的配置设置,scms将使用其灵活的供应机制来仅将其授权接收的内容下载到设备。这可以允许oem和/或其服务站点被查询以验证重新登记供应是经授权的。如果可能存在欺诈活动或者如果重新登记高价值实体(例如,具有控制交叉口信号灯的特殊能力的警车),则可以执行该附加检查。
尽管示例v2x系统已被用于示出这些新能力,但它们也可与其它iot设备一起使用,例如欧洲c-its汽车到汽车(c2c)和汽车到基础设施(c2i,c2x)系统或智能医疗设备。
图4是根据所公开的实施方式描绘的安全供应系统400的示例的示意图。安全供应系统400可以包括:具有虚拟注册机构的scms主机408、cms管理门户(cmp)402、订户管理系统(sms)404、sms数据库406、制造中的一个或更多个计算机化设备410、内容分发网络412以及一个或更多个部署的设备414。在一些实施方式中,sms404用作用于管理订户实体的配置信息的实体管理系统。在各种实施方式中,sms404可用于管理租户和与租户有关的信息,该信息中的一些可被发送到租户的obu、rsu和tmc设备。如图4所示,部署的设备414可以包括具有obu的计算机化设备(例如,具有v2x或c2x设备的车辆)和/或一个或更多个rsu。在图4的示例中,cmp402可以用作订户门户。在某些实施方式中,cmp402从租户(例如,客户端)接收租户信息,然后cmp402将来自租户的参数保存在lpf中。根据这样的实施方式,为每个租户生成单独的lpf,并且每个租户使用cmp402来根据它们的需要配置它们的安全供应系统400的版本。例如,租户可以指示要存储在lpf中的参数,该参数配置证书的有效性的持续时间(例如,证书有效期)、允许租户的设备拥有的证书的数量、租户的证书的重叠时间段、租户的证书在未来将有效的时间量(例如,对于租户的设备的初始供应,证书在未来将有效多久)、以及租户将需要请求证书补充时的指示(例如,在请求附加证书之前,终端实体将等待多久来使用证书)。
继续参考图4,安全供应系统400的组件形成了增强的scms,其可以包括sms404、具有虚拟注册机构的scms主机408、cmp402和sms数据库406。在一些实施方式中,cmp402、sms404(例如,实体管理系统)、sms数据库406和具有虚拟注册机构的scms主机408中的每一个都可以是单独的设备,每一个均包括一个或更多个处理器、一个或更多个计算机可读非暂态介质等。在替代或附加的实施方式中,cmp402、sms404、sms数据库406和具有虚拟注册机构的scms主机408中的两个或更多个可以被组合到单个计算设备中。如图4所示,安全供应系统400的组件通信地耦合到安全供应系统400的其他组件。
在各种实施方式中,具有虚拟注册机构的scms主机408可以提供安全资产,并如上所述验证安全资产的哈希。在进一步的实施方式中,cmp402可以为实体(例如,租户、订户、客户端)和计算机化设备(例如,v2x或c2x设备)提供接口以与增强的scms通信。例如,cmp402可以提供通信接口,多个租户和多个租户的计算机化设备可以使用该通信接口来与scms主机408交换通信。这种通信可以包括例如供应请求、httpspost请求、请求确认、请求结果、批量证书下载和其它消息。在附加的或替代的实施方式中,sms404用作实体管理系统,其可以存储和/或管理使用增强的scms的各种实体(例如,租户、订户、客户端、顾客)的账户(例如,账户信息)。在另外进一步的实施方式中,sms数据库406可以存储用于增强的scms的信息。例如,sms数据库406可以存储用于在稍后的阶段识别计算机化设备的信息,并且还可以将每个计算机化设备与供应该计算机化设备的终端实体(例如,租户)相关联。
如图4中进一步描绘的,制造中的设备410可以表示当前与1级制造商(如上所述)相关联的v2x或c2x设备,并且部署的车辆和rsu可以表示当前与oem和/或交通管理中心相关联的设备。
在图4所示的示例性实施方式中,内容分发网络412可以是安全供应系统400的组件或与安全供应系统400相关联。内容分发网络412可以包括可存储和/或获取安全资产的设备的分布式网络,并且可允许部署的设备414从在物理上更接近部署的设备414的设备补充安全资产(例如,以减少网络时延)。例如,部署的v2x设备可通过经由内容分发网络412通信来从附近的设备补充证书。
图5是描绘根据本发明的实施方式的与安全供应系统的多个租户(例如,租户a、租户b和租户n)相对应的计算机化设备502、504、506的示意图。根据各种实施方式,增强的scms具有通过在登记时将计算机化设备链接到特定租户(例如,客户端、顾客和订户)或部署来提供多租户操作的能力。
在图5的示例中,存在n个租户的组,并且增强的scms可以将设备502链接到租户a,可以将设备504链接到租户b,并且可以将设备506链接到n个租户的组中的最后第n个租户(即,租户n)。如图5所示,设备502、504、506到它们的对应租户的这种链接可以通过解析相应的网络地址、路径或url来执行,设备502、504、506使用所述网络地址、路径或url来访问注册机构以便确定租户标识符(租户id)。在图5的示例中,url503包括附加于url503的租户a的租户id,url505包括租户b的租户id,以及url507包括租户n的租户id。这些url503、505、507可以由计算机化设备502、504、506用来访问增强的scms的注册机构。在替代或附加的实施方式中,在登记时,可以通过包括预先附加或以其他方式指示url503、505、507的租户id向设备502、504、506提供租户的租户id。在其它替换或附加实施方式中,可以在登记时在新文件中向设备(例如,设备502)提供租户的租户id,其中设备将租户id添加到新http报头元素,例如“scms租户”报头元素。根据各种实施方式,可以在消息中加密诸如租户id的租户信息,从而保护与给定设备相关联的租户的身份。
图6是描绘根据本发明的实施方式的包括证书管理系统(cms)管理门户(cmp)602、sms604和sms数据库606的安全供应系统内的示例工作流600的示意图。根据各种实施方式,经由cmp602注册租户。在cmp602内,设备所有者(例如,以上参考图5讨论的设备502、504、506之一的所有者)建立帐户,注册设备,提交设备的证书,并且由cmp602给定租户id。
示例工作流600包括向cmp602注册新顾客信息(例如,租户或订户信息)。工作流600还包括识别租户的设备、该设备的目标用途(例如,租户的计算机化设备的预期用途)以及租户提供的证明文档。然后,租户将该信息提交给cmp602以供批准。在cmp602的带外批准之后,租户随后接收所生成的租户id和帐户信息。租户id和租户的帐户信息可以被存储在sms数据库606中,随后在需要时由cmp602和sms604从sms数据库606中检索。
在图6中,cmp602可操作用于接收和配置租户的sla细节。在一些实施方式中,cmp602还可操作来配置租户所需的某些客制化服务的业务要求细节。例如,租户可以向cmp602指示租户是否想要用于证书生成的硬件分离(例如参见以下描述的图7的隔离且独立的scms后端组件集724)、用于密码计算的密码分离、用于敏感计算的硬件安全模块(hsm)分离、证书机构下的唯一证书链、每周的预期用法、(例如来自lpf的)本地策略参数以及租户的其他sla细节。在工作流600中,cmp602将这些sla细节提交给sms数据库606以存储,然后通知sms604合同和计费服务。在各种实施方式中,sms604被配置成管理租户以及与租户有关的信息,该信息中的一些可被存储在sms数据库606中并被发送到租户的obu、rsu和tmc设备。取决于新租户的配置和服务级别,可以根据租户的需要和sla细节来创建后端scms服务并为新租户部署硬件。例如,如图7所示,如下所述,专用注册机构721和独立scms后端组件724可以被部署用于具有比其他租户更高级别的服务的租户n。
图7是描绘根据本发明的实施方式的被配置为支持多租户操作的安全供应系统的示例操作环境700的示意图。如图所示,操作环境700包括:scms主机708,与一组n个租户(例如,租户a、b、…n)中的多个租户相关联的计算机化设备702、704、706,注册机构720、721,以及scms后端组件集722、724。
在示例操作环境700中,单个scms主机708是具有单个ip地址的硬件平台,其中scms主机708在n个租户的组中的租户之间共享。也就是说,scms主机708处理来自计算机化设备702、704、706的初始供应请求703、705、707。一些租户基于所需的服务级别和所购买的(例如,在服务等级协议(sla)中所捕获的)服务等级,可以选择共享scms后端组件。在图7的示例中,租户a和b已经选择使用共享的scms后端组件集722。可替代的,需要更高服务等级或对快速供应更大数量证书具有更大需求的其他租户可具有给予租户对包括单独硬件组件(例如,专用于为单个租户执行密码操作的隔离且独立的硬件组件)的单独、专用的scms后端组件的访问的sla。在图7的示例中,租户n已经选择使用隔离且独立的scms后端组件集724。在某些实施方式中,租户a、b、…n的相应lpf中的参数可以指定共享的scms后端组件集722或隔离且独立的scms后端组件集724的用途。
如图7所示,多个计算机化设备702、704、706中的每一个都可以经由scms主机708向其配置后的注册机构提交各自的初始供应请求703、705、707,其中供应请求703、705、707指示各自的租户id。根据一些实施方式,租户a、b、…n的租户id可以被包括在提交给scms主机708的路由信息中。即,在操作环境700中,计算机化设备702、704、706中的每一个都已经被特定租户(例如,租户a、b、…n中的一个)登记,并且在其各自的初始供应请求703、705、707中,租户提供其各自的租户id。在各种实施方式中,租户id可以在url中(例如,在图5的url503、505、507中)、在路由中、在http报头元素中(例如,“scms租户”元素)或通过其他机制来提供。
scms主机708是用于集中式服务的单个scms注册机构端点。scms主机708接收包括初始供应请求703、705、707的所有请求,从请求中解析出租户id,并执行验证(例如,以确定登记证书的正确租户)。scms主机708将各种请求路由到虚拟的、共享的注册机构720或专用的注册机构721。在各种实施方式中,在scms主机708从初始供应请求703、705、707中解析出租户id之后,租户id被添加到在操作环境700内传输的每个消息。根据一些实施方式,可以利用哈希或者通过将租户id映射到通用唯一标识符(uuid)来在这样的消息中模糊租户id。租户id到它们各自uuid的这种映射可以被存储在上面参考图6讨论的sms数据库606中。这种模糊帮助确保经由在多个租户(例如,租户a和b)之间共享的虚拟注册机构720传输的消息的隐私。然后在操作环境700中使用租户id来确定使用哪个密钥或哪个证书链。租户id还允许注册机构720、721确定对于特定请求(例如,供应请求703、705、707中的一个)要遵守什么策略参数。
在操作环境700中,scms主机708可以是注册机构720、721之上的抽象或虚拟层。scms主机708从初始供应请求703、705、707中解析租户id。从设备702、704、706和操作环境700外部的设备的角度来看,存在一个所有租户(例如,客户端)用来连接到scms主机708的scmsurl。以这种方式,通过使用scms主机708从初始供应请求703、705、707解析租户id,操作环境700确保探听不能用于确定计算机化设备702、704、706中的特定一个是否由特定租户拥有或与特定租户相关联。这保护了租户的身份和隐私不受可能试图对传递到操作环境700的网络流量进行探听的任何个体的影响。
在操作环境700中,scms主机708可以从路由、url、http报头或用于初始供应请求703、705、707的其他机制中解析租户id,并将初始供应请求703、705、707路由到正确的注册机构(例如,共享的注册机构720或专用的注册机构721)。如图7所示,scms主机708从初始供应请求703和705中解析租户a和b的租户id,然后基于所解析的租户id将这些请求路由到注册机构720。类似地,scms主机708从初始供应请求707中解析租户n的租户id,然后基于所解析的租户n的租户id将该请求路由到专用的注册机构721。在替代或附加的实施方式中,可以存在单个注册机构,其在scms主机708和单个注册机构之间交换的内部消息中路由具有嵌入式租户id的请求。在其他替换或附加实施方式中,可以存在完全独立的、内部虚拟的注册机构组件,其处理初始供应请求703、705、707,然后将请求路由到正确的后端组件。
在图7的示例中,共享的scms后端组件集722是在租户a和b之间共享的组件,该共享的scms后端组件集722包括向租户a和b提供证书和链接值的共享假名认证机构740、共享链接机构1750、共享链接机构2760和共享登记认证机构730。如图7所示,隔离且独立的scms后端组件集724是专用于履行来自单个租户(租户n)的证书请求的组件。一组独立的scms后端组件集724括独立的假名证书机构741、独立的链接机构1751、独立的链接机构2761和独立的登记证书机构731,它们专门向租户n提供证书和链接值。在图7的示例中,租户n具有比租户a和b更高的服务级别(例如,更高的服务等级或服务优先级),结果,租户n由独立的scms后端组件集724服务。在某些实施方式中,服务等级与n个租户的组中的每个租户相关联,每个租户的服务等级对应于从最低服务级别到最高服务级别的范围的多个等级中的一个。
在某些实施方式中,专用的注册机构721还可以使用共享的scms后端组件722。即,实施方式可以为租户n创建专用的注册机构721,其给予租户n唯一的接口,但是由租户n使用的共享的scms后端组件722可以与其他租户(例如,租户a和b)共享。在替换或附加的实施方式中,专用的注册机构721可根据需要证书的租户的计算机化设备的(一个或更多个)产品类型来访问不同的共享的scms后端组件集722。即,给定租户的obu可以使用一个共享的scms后端组件集722,并且该租户的rsu可以使用另一个共享的scms后端组件集722。
根据一些实施方式,较高的服务等级可以给予租户n对不被其他租户共享或使用的专用注册机构721的访问。在一个这样的实施方式中,可以基于租户的较高服务等级来为租户n创建和配置专用注册机构721,以使得专用注册机构721给予租户n唯一的接口。在一些实施方式中,具有较高服务等级的租户n被给予对不与其他租户共享的隔离且独立的后端scms组件724的访问。在附加或替换的实施方式中,具有更高服务等级和专用注册机构的另一租户可以访问不同的共享的scms后端组件722,这取决于需要证书的租户的设备的产品类型。即,用于租户的obu设备可以使用共享的scms后端组件722中的一个,并且rsu设备可以使用其他共享的scms后端组件722。
图8a和8b是一起根据本发明的实施方式示出的用于安全地提供诸如证书的凭证的示例性过程800的泳道图。在过程800中,虚拟注册机构被用于向多个租户提供证书。
具体地,图8a和8b中示出的示例性过程800包括增强的scms组件之间的请求和响应的交换,以便向诸如设备810的v2x设备提供证书。然而,本文描述的实施方式不限于v2x设备的多租户操作,并且所公开的原理可应用于其他类型的计算机化设备和计算机控制的设备,诸如c2x设备。也就是说,增强的scms可以用作v2x或c2x证书管理服务。图8a和8b中描述的示例性过程800在多租户环境中向v2x设备提供证书。即,图8a和8b描绘了在请求和响应的v2x流的上下文中的示例性增强的scms的组件。
在各种实施方式中,所示的过程800或操作中的一些或全部可以由在(可以包括一个或更多个处理器或一个或更多个计算子系统的)计算系统上执行的代码、由仅硬件系统、或由该两者的混合的系统来执行。如图8a和8b的顶部从一边到另一边所示,过程800所涉及的实体包括设备810、scms主机808、虚拟注册机构820、链接机构850、860和假名证书机构840。在各种实施方式中,这些实体可彼此通信以执行作为提供证书的过程800的部分的任务,如下关于图8a和8b以及整个公开所描述的。在一些实施方式中,设备810可以是位于制造商(未示出)处的v2x设备。
在某些实施方式中,scms主机808可以托管虚拟注册机构820。过程800可以由与提交供应请求的设备(例如,设备810)通信的增强的scms来执行。
增强的scms包括虚拟注册机构820、一个或更多个链接机构850、860和假名证书机构840。示例性cms可以包括运行用于虚拟注册机构820的应用的一个或更多个应用平台。这些应用平台通信地连接到一个或更多个计算引擎,该计算引擎执行虚拟注册机构820所需的密码计算。一个或更多个应用平台可以包括一个或更多个虚拟机(vm)或一个或更多个硬件平台(例如,服务器、计算机或能够托管和执行软件应用的其他计算机硬件)。增强的scms还可包括一个或更多个vm,这些vm运行登记证书机构(未示出)并且通信地连接到一个或更多个计算引擎,该计算引擎执行登记证书机构所需的密码计算。登记证书机构可操作以生成登记证书并有条件地将登记证书传输到虚拟注册机构820。托管图8a和8b的虚拟注册机构820的示例性cms主机还可包括一个或更多个vm,这些vm运行用于假名证书机构840的应用,并且通信地连接到一个或更多个计算引擎,这些计算引擎执行假名证书机构840所需的密码计算。假名证书机构840可操作以生成假名证书并有条件地将假名证书传输到虚拟注册机构820。增强的scms还可以包括一个或更多个vm,这些vm运行第一链接机构850和第二链接机构860,并且通信地连接到执行第一链接机构850和第二链接机构860所需的密码计算的一个或更多个计算引擎。第一链接机构850和第二链接机构860的相应应用可以可操作以生成链接值并且有条件地将链接值传输到虚拟注册机构820。
包括图8a和8b中所示的虚拟注册机构820的增强的scms还可以包括一个或更多个应用平台,该应用平台运行用于虚拟注册机构820的应用并且通信地连接到执行虚拟注册机构820所需的密码计算的一个或更多个计算引擎。增强的scms可附加地包括一个或更多个应用平台,这些应用平台运行登记证书机构的应用,并且通信地连接到执行登记证书机构所需的密码计算的一个或更多个计算引擎,该登记证书机构可操作以生成登记证书并将登记证书有条件地传输到虚拟注册机构820。增强的scms可进一步包括一个或更多个应用平台,这些应用平台运行用于假名证书机构840的应用,并且通信地连接到执行假名证书机构840所需的密码计算的一个或更多个计算引擎,该假名证书机构840可操作以生成假名证书并将假名证书有条件地传输到虚拟注册机构820。另外,增强的scms可以包括一个或更多个应用平台,这些应用平台运行用于第一链接机构850的应用并且通信地连接到执行第一链接机构850所需的密码计算的一个或更多个计算引擎。最后,增强的scms还可以包括一个或更多个应用平台,这些应用平台运行用于第二链接机构860的应用,并且通信地连接到执行第二链接机构860所需的密码计算的一个或更多个计算引擎。链接机构850、860可以操作用于生成链接值并将链接值有条件地传输到虚拟注册机构820。
在另外其他实施方式中,登记证书机构可操作以响应于从虚拟登记机构820接收到对登记证书的请求而生成登记证书;假名证书机构840可操作以响应于从虚拟注册机构820接收到对假名证书的请求而生成假名证书;第一链接机构850和第二链接机构860可以操作以响应于从虚拟注册机构820接收到对链接值的请求而生成链接值。在替换或附加实施方式中,登记证书机构可操作以响应于直接从计算机化设备接收请求而生成登记证书。也就是,存在多种获得证书的方式,并且图8a和8b中所示的示例性过程800仅是一个示例性方法。
如图8a的示例所示,过程800开始于操作805,其中设备810(例如,终端实体v2x设备)向scms主机808提交对假名证书的初始供应请求。如图所示,805可以包括提交具有url的httpspost命令的设备810,该url包括租户a的租户id。在一些实施方式中,在登记时向设备810提供url,操作805中的初始供应请求直接来自设备810,如图8a所示,供应请求可以是httpspost命令,所述httpspost命令具有该url和虚拟注册机构820的端口号,其中路由被定义并且租户标识符(id)被嵌入在该url中。这使得scms主机808能够识别租户,并且将请求路由到正确的虚拟注册机构820,而不必改变或重新配置设备810或过程800。
在一些实施方式中,供应请求可以指示租户的配置细节、所需的(例如,由提供者服务标识符(psid)值所标识的)应用许可、以及证书的有效性信息。这种信息可以经由路由或者在https报头中传递。例如,“scms租户”报头元素的密钥值对可以包括“租户a”的值。该信息的隐私可以在设备810和scms主机808之间的传输层安全(tls)握手内被保护。
在附加的或替换的实施方式中,供应请求可以利用域名系统(dns)来发送,其中两个不同的url或路由解析到(例如指向)相同的服务器或网页。即,通过使用dns,来自两个不同租户的指示两个租户的相应租户id的请求可以具有不同的路由或url,但是它们仍将都解析到相同的增强的scms和相同的scms主机808。在(例如,由碰撞避免度量标准合作伙伴(“camp”)有限责任公司指定的)v2x环境中,要求登记证书包含(由psid值标识的)应用许可和每个rsu和obu的允许地理区域。rsu或obu设备只能获得对应于登记证书中包含的psid值的应用证书和/或假名证书。
在操作807处,在设备810向具有虚拟注册机构820的url的scms主机808发送供应请求之后,scms主机808随后从该请求中解析租户id(例如,uuid或租户a的其他唯一标识符),以便该请求可以被路由到处理该租户的虚拟注册机构820。以这种方式,过程800可以利用单个scms主机808服务多个租户,并且处理自定义配置。在图8a的示例中,在操作807处,scms主机808从请求中解析租户a的租户id。在某些实施方式中,供应请求包括指示租户a的租户id的元数据,其中租户id可以是哈希、uuid或其它类型的不揭示租户的身份的唯一id。
然后,在809处,scms主机808参照登记证书机构验证租户,以确定对于该租户是否存在单独的登记证书机构。根据某些实施方式,设备810的lpf和lccf的下载是通过表述性状态转移(rest)服务调用来实现的,不包括登记证书(例如,签名消息)。对于过程800中的所有其他rest服务调用,scms主机808可以在操作809处执行查找,以验证设备8的特定登记证书由特定租户(例如,图8a的示例中的租户a)拥有或与特定租户(例如,图8a的示例中的租户a)相关联。因此,可以对这些服务调用进行密码验证以确保它们被允许。对于lpf和lccf下载,可以使用url(如图8a所示)中的租户a的租户id、路由、http报头或其它机制来确定向设备810提供哪个文件。下载的lccf可以在所有租户之间是一致的(即,包括所有证书)。然而,下载的lpf对于每个租户可以是不同的。对于过程800中的其他服务调用,即使单个注册机构(例如,虚拟注册机构820)或单个scms后端组件集(例如,以上参考图7讨论的共享的scms后端组件集722)正在处理不同的策略,强加密链接也能够确保设备810和证书管理被安全地管理。
登记证书机构的主要作用是满足可以源自虚拟注册机构820的、向诸如设备810等终端用户设备发布登记证书的请求。登记证书机构可以直接与scms主机808交互,以便向设备810发布所请求的登记证书。在附加的或替换的实施方式中,登记证书机构可以直接与可操作以充当增强的scms和需要登记证书的计算机化设备之间的代理的设备810通信、与需要登记证书的计算机化设备通信以及与充当请求登记证书的客户端的代理的服务器通信。例如,登记证书机构可以直接与位于制造商站点(例如,制造商的工厂)的设备810通信。登记证书是公钥证书,该公钥证书将其持有者标识为生态系统(例如,usdotv2x生态系统)中的经授权的参与者,在该生态系统中,所有参与者必须共享有效的登记证书,并且在该生态系统中,经授权的参与者们还能够接收假名证书,该假名证书使得能够在生态系统内进行设备810的通信和操作(例如,使得能够在usdot的v2x生态系统的示例中在车辆和路侧基础设施之间进行通信和操作)。
在各种实施方式中,在操作809中执行的验证可以涉及scms主机808解密和验证供应请求,包括签名验证,使用未经批准的设备的列表(例如,黑名单)检查作为证书的目的地的设备810(例如,计算机化设备)的撤销状态,以及确定是否允许请求者(例如,设备810)从scms主机808请求证书。例如,操作809可以包括确定来自制造商的用户是否是经授权的用户(例如,员工的一部分)。在一些实施方式中,scms主机808还可以在809处确定是否批准使用接收证书的计算机化设备(例如,产品)。在一些实例中,批准的设备的列表(例如,白名单)可以由监管机构提供并且由供应控制器使用以做出该确定。
接下来,在811处,scms主机808用确认已经接收到供应请求的一般确认(ack)消息向设备810返回响应。
在813处,在验证了对证书的请求之后,scms主机808启动包括租户a的租户id的供应请求。在图8a的示例中,租户id被实施为uuid。
在操作815-822处,链接机构850、860直接与虚拟注册机构820交互,以便满足对链接值的请求。在815处,在虚拟注册机构820处接收供应请求,虚拟注册机构820将对第一组链接值(la1)的请求传输到链接机构1850。
在816处,响应于接收到对第一组链接值的请求,链接机构1850将第一组链接值传输到虚拟注册机构820。链接机构1850可传输先前已经生成的第一组链接值(即,预先生成的链接值),或者链接机构1850可生成第一组链接值,然后在值不是预先生成的情况下传送该第一组链接值。在817处,在虚拟注册机构820处接收第一组链接值。在819处,虚拟注册机构820将对第二组链接值(la2)的请求发送到链接机构2860。
接下来,如图8a所示,在821处,响应于接收到对第二组链接值的请求,链接机构2860将第二组链接值传输到虚拟注册机构820。在各种实施方式中,链接机构2860可以传输第二组预先生成的链接值,或者替代地,链接机构2860可以生成并传送第二组链接值。在822处,在虚拟注册机构820处接收第二组链接值。
在某些实施方式中,图8a和8b中所示的链接机构850、860可以将证书请求者的身份(即,证书请求者的设备的唯一标识符)链接到发布的假名证书以用于撤销目的。即,作为过程800的一部分,链接机构1850和链接机构2860分别将第一组链接值和第二组链接值作为证书请求者的设备的唯一标识符提供给由假名证书机构840发布的假名证书。在操作815和819处,链接机构1850和链接机构2860接收从虚拟注册机构820发送的对链接值的请求,然后在操作816和821处,将所请求的链接值提供给虚拟注册机构820。
继续参考图8a,在823处,scms主机808检查租户a的策略参数,并且根据策略参数,生成对来自假名证书机构840的正确数量的假名证书的请求。在一个示例中,操作823可以包括scms主机808使用来自操作807的解析后的租户id来确定对于特定的假名证书请求要遵守什么策略参数。例如,823可包括从设备的lpf检索用于设备810的本地策略参数。
在825处,虚拟注册机构820向假名证书机构840发送对假名证书的请求。该请求可以作为由虚拟注册机构820创建的一批假名证书生成请求来发送。
在827处,在假名证书机构840处接收对假名证书的请求。响应于在827处接收到的请求,假名证书机构840可选地使用租户a的信息来使用不同的证书链或密钥来签署证书。在827处,假名证书机构840生成所请求的假名证书,并将生成的假名证书发送回虚拟注册机构820。在829处,在虚拟注册机构820处接收假名证书。
接下来,如图8b所示,在831处,设备810可以向scms主机808发送请求以下载一批证书。如图所示,在操作831处发送的请求可以是具有包括租户a的租户id的url的httppost请求。
在操作833处,scms主机808从一批下载请求中解析租户id。然后,在835处,scms主机808参照登记证书机构验证租户,以确定对于该租户是否存在单独的登记证书机构。
接下来,在837处,scms主机808确保执行用于租户a的策略。操作837可以包括scms主机808使用来自操作833的解析后的租户id来确定对于特定的一批假名证书下载请求要遵守什么策略参数。例如,837可以包括从设备的lpf检索用于设备810的本地策略参数。在确保对于所请求的一批假名证书执行用于租户a的策略之后,将控制传递到操作839。
在839处,当假名证书准备好时,scms主机808将带有假名证书的下载文件发送给设备810。在841处,设备810接收假名证书。此时,向设备810供应假名证书,并且设备810可以使用假名证书,供应假名证书的操作完成。
在附加的或替换的实施方式中,类似于上述过程800的过程可用于向诸如c2x设备等其它计算机化设备提供证书。例如,具有与图8a和8b中所示的那些组件类似的组件的cms可以向一个或更多个车载单元(obu)、电子控制单元(ecu)、路侧单元(rsu)和tmc设备提供证书。这种obu和ecu可以被配置为安装到车辆、船只(例如,船)、飞行器(例如,飞机和无人机)、航天器、医疗设备、机器人、无线或有线通信模块和iot设备中。类似地,rsu可以被安装到交通控制设备(例如,交通信号)、路侧内容分发系统、电子收费系统、电子标志设备和数字显示设备(例如,电子告示牌)中。tmcd可操作以安装在政府(例如,本地、州或联邦政府)交通管理中心中,用于对rsu广播或显示的消息进行数字签名。
图9是计算环境901的示例的框图,其包括可以用于实施与本发明的实施方式一致的系统和方法的计算系统900。也可以使用其它组件和/或布置。在一些实施方式中,计算系统900可以用于至少部分地实现图1-8的各种组件,例如图8a和8b的设备810、虚拟注册机构820、scms主机808、链接机构850、860和假名证书机构840,图4的安全供应系统400的组件以及图7的操作环境700的组件。例如,计算系统900可以用于至少部分地实现图4和图6的具有虚拟注册机构的scms主机408,cmp402、602,sms404、604和sms数据库406、606等。还例如计算系统900可以用于至少部分地实现图7的scms主机708,注册机构720、721和scms后端组件722、724等。在一些实施方式中,类似于计算系统900的一系列计算系统中的每一个可以用专用硬件来自定义和/或被编程为专用服务器以实现图1-8的组件之一,这些组件可以经由网络935彼此通信。
在图9所示的示例中,计算系统900包括多个组件,诸如cpu905、存储器910、(一个或更多个)输入/输出(i/o)设备925、硬件安全模块(hsm)940和非易失性存储设备920。系统900可以以各种方式实现。例如,作为集成的平台(诸如服务器、工作站、个人计算机、笔记本电脑等)的实施方式可以包括cpu905、存储器910、非易失性存储设备920和i/o设备925。在这样的配置中,组件905、910、920和925可以通过本地数据总线连接和通信,并且可以经由外部i/o连接访问(例如,实施为单独的数据源或数据库系统的)数据储存库930。i/o组件925可以通过直接通信链路(例如,硬连线或本地wifi连接)、通过诸如局域网(lan)或广域网(wan,诸如蜂窝电话网络或因特网)等的网络、和/或通过其他合适的连接来连接到外部设备。系统900可以是独立的,或者它可以是更大系统的子系统。
cpu905可以是一个或更多个已知的处理器或处理设备,例如由加利福尼亚州圣克拉拉市的inteltm公司制造的coretm系列的微处理器,或者由加利福尼亚州桑尼维尔市的amdtm公司制造的athlontm系列的微处理器。cpu905还可以是armcpu或专用cpu。存储器910可以是一个或更多个快速存储设备,其被配置为存储由cpu905执行或使用的指令和信息,以执行与本发明的实施方式相关的某些功能、方法和过程。存储设备920可以是易失性或非易失性、磁性、半导体、磁带、光或其它类型的存储设备或计算机可读介质,所述计算机可读介质包括用于长期存储的诸如cd和dvd以及固态设备等设备。
在所示的实施方式中,存储器910包含从存储设备920或从远程系统(未示出)加载的一个或更多个程序或应用915,当由cpu905执行时,其执行与本发明一致的各种操作、程序、过程或方法。或者,cpu905可以执行位于计算系统900远程的一个或更多个程序。例如,计算系统900可以经由网络935访问一个或更多个远程程序,该远程程序在被执行时,执行与本发明的实施方式相关的功能和过程。
在某些实施方式中,存储器910可以包括用于执行本文描述的具有虚拟注册机构的scms主机408,cmp402、602,sms404、604,scms主机708,注册机构720、721,scms后端组件集722、724,设备810,虚拟注册机构820,scms主机808,链接机构850、860,以及图4、6、7、8a和8b的假名证书机构840的专用功能和操作的(一个或更多个)程序915。在一些实施方式中,存储器910还可以包括实现向本发明提供辅助功能的其他方法和过程的其他程序或应用。
存储器910还可以配置有与本发明无关的其它程序(未示出)和/或当由cpu905执行时执行本领域公知的若干功能的操作系统(未示出)。作为示例,操作系统可以是microsoftwindowstm、unixtm、linuxtm、applecomputerstm操作系统或其他操作系统,包括实时操作系统。操作系统的选择,甚至操作系统的使用,对于本发明来说不是关键的。
hsm940可以是具有其自己的处理器的设备,该处理器安全地生成和存储数字安全资产和/或安全地执行各种加密和敏感计算。hsm940保护例如密钥的数字安全资产和其它敏感数据,使其免受攻击者的可能的访问。在一些实施方式中,hsm可以是直接附接到计算系统900的插入式卡或板。
(一个或更多个)i/o设备925可以包括允许计算系统900接收和/或发送的数据的一个或更多个输入/输出设备。例如,i/o设备925可以包括诸如键盘、触摸屏、鼠标等一个或更多个输入设备,其使得能够从用户输入数据。此外,i/o设备925可以包括例如显示屏、crt监视器、lcd监视器、等离子显示器、打印机、扬声器设备等一个或更多个输出设备,其使得数据能够被输出或呈现给用户。i/o设备925还可以包括一个或更多个数字和/或模拟通信输入/输出设备,其允许计算系统900例如以数字方式与其他机器和设备通信。输入和/或输出设备的其它配置和/或数量可以被并入i/o设备925。
在所示的实施方式中,计算系统900连接到网络935(诸如因特网、专用网络、虚拟专用网络、蜂窝网络或其他网络或这些网络的组合),该网络进而可连接到各种系统和计算机器,诸如服务器、个人计算机、便携式计算机、客户端设备等。一般而言,计算系统900可以经由网络935从外部机器和设备输入数据并向外部机器和设备输出数据。
在图9所示的示例性实施方式中,储存库930是系统900外部的独立数据源,诸如数据库。在其他实施方式中,储存库930可以由计算系统900托管。在各种实施方式中,储存库930可以管理和存储用于实现根据本发明的系统和方法的数据。例如,储存库930可以用于实现图4和6的sms数据库406、606以及本文描述的lpf和lccf。在一些实施方式中,储存库930可管理和存储包含具有由图4的安全供应系统400供应的证书的每个计算机化设备的状态和日志信息等的数据结构。
储存库930可以包括一个或更多个数据库,其存储信息并且通过计算系统900访问和/或管理。作为示例,储存库930可以是oracletm数据库、sybasetm数据库、其它关系数据库或非关系数据库。然而,根据本发明的系统和方法不限于分离的数据结构或数据库,或者甚至不限于数据库或数据结构的使用。
本领域普通技术人员将认识到,图9中的系统的组件和实施细节是为了简明和清楚的解释而呈现的示例。可以使用其他组件和实施细节。
在作为实施示例的v2x环境中,由碰撞避免度量标准合作伙伴(camp)有限责任公司定义的当前传统的安全凭证管理系统(scms)不能为由诸如城市或州的运输部的特定实体拥有或操作的一组v2x设备提供可自定义的配置能力。在camp机制下,对于需要这种能力的每个顾客,都需要单独的传统scms系统。提供自定义配置的能力是所期望的,但在camp机制下是不可用的。(例如,如camp所指定的)传统的v2x环境要求登记证书包含(由psid值标识的)应用许可和每个rsu与obu的允许地理区域(地理区域)。rsu或obu设备可以只获得对应于包含在登记证书中的psid值的应用证书和/或假名证书,并且随后发布的应用证书和/或假名证书(例如,补充证书)必须包含与包含在登记证书中的相同的允许地理区域信息。(例如,如camp所指定的)传统的v2x环境还要求在安全且可信的编程/供应位置中执行初始供应步骤,该初始供应步骤请求登记证书并将登记证书安装在rsu或obu设备中,该位置被保护以防止未经授权的人员,例如黑客。
下面参考图10-13描述的本发明的实施方式的示例在解决与路侧单元(rsu)(也称为路侧装置(rse))相关的一组地理限制技术问题方面特别有用。一个技术问题涉及以下事实:(例如,由碰撞规避标准合作计划(camp)有限责任公司所定义的)传统的rsu和传统的scms,仅在rsu的登记证书中存储或保持地理位置限制信息,该登记证书仅在rsu物理地连接到传统设备配置管理器(dcm)系统时由传统scms提供,该传统设备配置管理器(dcm)系统必须位于rsu制造商的位置或一些其他可接受的、安全的和可信的编程位置。
在rsu制造时,制造商实体几乎从不具有插入操作证书(例如登记和/或应用证书)所需的所有信息,并且特别是不具有描述rsu的在rsu的购买者部署和操作rsu时的未来地理位置(地理位置)的精确信息。来自设备的登记证书的这种操作地理位置信息是重要的,因为rsu在v2x环境中的正确操作被限制于该地理位置。
换句话说,rsu的精确操作地理位置信息在制造和登记证书生成时是未知的,因为精确操作地理位置通常仅在单元由制造商运送到设备购买者/所有者/操作者/用户之后才可知,然后购买者/所有者/操作者/用户将rsu置于操作状态和特定位置。当制造商在rsu设备被订购、销售和运送给用户之前很久就生产用于库存的rsu设备时,这尤其如此。在制造时,制造商通常不知道rsu最终将被卖给谁以及最终将在哪里运行。如本文所述的一些实施例中所使用的,术语“精确操作地理位置”是指小于约2,000,000平方米(2平方公里)的范围,例如900,000平方米、800,000平方米、700,000平方米、600,000平方米、500,000平方米、400,000平方米、300,000平方米、200,000平方米、100,000平方米、50,000平方米、40,000平方米、30,000平方米、20,000平方米、10,000平方米、9,500平方米、7,000平方米、5,000平方米、3,000平方米、2,000平方米、1,000平方米、600平方米、500平方米、400平方米、300平方米、200平方米、100平方米或50平方米,并且该术语包括地理点,例如纬度坐标和经度坐标的交叉点。该范围可以是任何形状。通常,地理区域是比诸如国家或州之类的更大的范围。
因此,在制造时,不可能使用传统系统来向rsu加载精确地理位置-受限的登记证书。为了解决这个问题,制造商向rsu加载登记证书,该登记证书指定rsu将可能被售出和部署的大的地理区域(地理区域),诸如整个国家(例如,美国)、一组州(例如,新英格兰州、大西洋中部的州等)或州(例如,弗吉尼亚州)。尽管这允许容易地部署rsu(例如,因为rsu将在us的任何地方正确地操作),但是指定用于rsu的操作的大的地理区域是不期望的,因为它否定或显著地降低了小的或精确的地理位置所提供的许多益处和能力,诸如使用特定道路交叉口的能力、使用物理地图信息的能力、盗窃检测和防止、丢失检测、未经授权或错误的工作地点检测、以及恶意用途防止等。
此外,对于便携式rsu设备,诸如操作地理位置的数据通常非常频繁地随时间而改变。例如,当使用rsu的工作队从一个工作地点移动到另一个工作地点时,便携式rsu的精确操作地理位置经常每天改变。工作队可以使用便携式rsu,例如向车辆广播消息,警告存在工作队或者指示由工作队关闭了高速公路的车道。在v2x环境中,来自rsu广播的信息可以用于通知或警告所连接的v2x车辆中的接近的驾驶员关于工作地点的信息和/或指导自主v2x车辆。
使用当前传统的scms和v2x供应系统和程序来向这种移动rsu提供最新的、精确的操作地理位置信息需要将rsu物理地运输到制造商(或到另一个可信的、安全编程/供应位置),在安全位置处将rsu连接到dcm设备,并且向rsu供应包含rsu和工作队的精确操作地理位置信息的新登记证书。这是不切实际的、昂贵的、耗时的和低效的,因为这需要在工作队每次想要改变工作位置时(这可能是每天)都让所有者将rsu物理地移动到安全位置和从安全位置移动。
此外,这种可信的、安全的编程/供应位置并不普遍,例如,它们当前在城市交通管理中心或在本地、州或联邦dot处不可用。并且,传统的基于登记证书的方法的显著技术缺陷在于,被提供有精确操作地理位置信息的rsu在v2x环境中基本上是不能操作以在不同的工作地点处使用的,直到它们被物理地带入到可信的安全的供应位置并且被重新供应指定新工作地点的操作地理位置的新登记证书。因此,实际上从未利用现有rsu来完成重新供应rsu登记证书以更新地理限制信息,而是由制造商供应大的地理区域(例如,美国)并保持不变。
本文描述的系统、方法和设备通过提供包括精确操作地理位置信息的改进的、容易更新的应用证书,允许请求者指定精确操作地理位置的改进的应用证书供应请求,用于生成和提供具有准确与精确地理-限制信息的应用证书的新过程和执行过程的增强的scms,以及采用来自供应给rsu的改进的、在地理上受限的应用证书的精确操作地理位置信息的改进的计算机化设备(诸如rsu)等,解决了上述问题和缺点。
图10是描绘根据本发明的实施方式的用于初始供应和跟踪rsu的方法1001的示例的示意图。在各种实施方式中,方法1001可以由增强的scms400实现,如前所述。例如,当rsu是新制造的时,方法1001可以由增强的scms400与rsu设备制造商交互来实现。
在所示的示例中,该方法在1000处开始,此时在增强的scms400的实体管理系统处为实体创建自定义账户。在各种实施方式中,为了参照图10所述的示例,终端实体可以是rsu设备的制造商,例如v2xrsu设备410的制造商。然而,普通技术人员将认识到,如本文所描述的相同或类似的设备和过程可用于使用或需要地理位置特定的数字资产的其它类型的计算机化设备(例如,iot设备或其它设备410)。
在各种实施方式中,增强的scms400可以在从rsu制造商接收到请求之后为rsu制造商创建帐户(在1000处)。创建帐户的请求可以包括例如rsu制造商的标识符、关于rsu制造商的信息、rsu制造商的订户类型(例如,1级制造商)、与rsu制造商相关联的(一个或更多个)安全资产等。
在1010中,由增强的scms400执行的方法1001可以在增强的scms400中注册设备类型。例如,注册rsu设备类型的请求可以经由其账户从rsu制造商接收,或者可以从增强的scms400的管理员接收。在一些实施方式中,注册rsu设备类型的请求可以包括rsu设备类型的标识符或与rsu设备类型相关联的安全资产。增强的scms400可以通过将rsu设备类型的标识符存储在例如sms数据库406中来注册设备类型。
在1020中,增强的scms400可以可选地验证rsu设备类型是否被授权主体(例如,在rsu的情况下的dot)批准。例如,scms400可以将标识符和/或安全资产发送到与授权主体相关联的服务器以请求验证,和/或可以将标识符和/或安全资产与先前存储在sms数据库406中的经批准的设备类型的列表进行比较。然后,scms可以将设备类型是否被验证的指示存储在例如sms数据库406中。
在1030中,scms400可以获取rsu设备的(一个或更多个)数字资产(例如,公钥)(例如,登记证书公钥、签名密钥、加密密钥、aes蝶形密钥扩展值等),并且获取或生成rsu设备的标识符。例如,可以从rsu设备接收公钥,或者rsu制造商可以经由实体管理系统404访问他们的帐户,并输入数字资产(例如公钥)和/或输入标识符。设备的数字资产和/或标识符可以被存储在sms数据库406中。
在1040中,增强的scms400可以向rsu制造商发送、传输、返回或以其他方式提供新的数字资产(例如,由scms400生成的和/或先前存储的数字资产),以便由rsu制造商在rsu设备上供应,和/或向rsu设备本身返回新的数字资产。在一些实施例中,新的数字资产可以源自在1030中获取的数字资产或基于该数字资产的其他方式,或者使用该数字资产或基于该数字资产的其他方式创建新的数字资产。在各种实施例中,增强的scms400可以在rsu的供应生命周期中的该点处传输、返回或提供登记证书和/或lpf和/或lccf。另外,增强的scms400可以向rsu传输或提供scms联系信息(例如,url),随后,rsu可以使用该scms联系信息来联系增强的scms400以获得其它数字资产。
登记证书是公钥证书,其将其持有者标识为生态系统(例如,usdotv2x生态系统)中的经授权的参与者,在该生态系统中,所有参与者必须共享有效的登记证书,并且在该生态系统中,经授权的参与者还能够接收假名证书和应用证书,该假名证书和应用证书使得能够在环境或基础设施内进行计算机化设备的通信和操作(例如,使得能够在usdot的v2x环境或基础设施的示例中在车辆和路侧基础设施设备之间进行通信和操作)。
在各种实施例中,在1040处返回的至少一个数字资产(例如登记证书)包括指定地理区域的信息,在该地理区域中,rsu设备被授权或被允许操作。在各种实施例中,地理区域信息可指定rsu设备可在其中正确地用作v2x环境的一部分的地理范围或区域。该地理区域可以被称为rsu的“允许地理区域”,并且示例包括诸如特定国家(例如,美国)、州(例如,弗吉尼亚州或新英格兰州)、县(例如,费尔法克斯县、弗吉尼亚)、城市(例如,里士满、弗吉尼亚)或由坐标、边界等定义的一些其他地理领域或区域内的区域。在这样的实施例中,rsu设备可以仅在rsu的允许地理区域中(如在返回的(例如在登记证书中指定的)数字资产中)与其它v2x设备(即在v2x环境中)正确地操作、运行和/或协作。
注意,在各种实施例中,增强的scms400在操作1040中返回的数字资产(例如登记证书)通常指定大的“允许”地理区域(例如国家、一组州或州),因为此时rsu设备通常尚未部署(例如,它仍然在rsu制造商的工厂中),因此rsu的准确的未来操作位置还不确定,如前所述。
在一些实施方式中,增强的scms400还可以返回注册机构url和用于最终编程到rsu设备中的某些配置数据。例如,注册机构url可以是终端实体所独有的和/或由终端实体(经由实体管理系统)自定义的。作为进一步的示例,与url相关联的注册机构可以是与增强的scms400的scms主机408相关联的虚拟注册机构。
在各种实施方式中,增强的scms400从最终将需要地理位置特定的应用证书的计算机化rsu设备接收公钥。例如,增强的scms400可以接收rsu设备的公钥,并且可以将公钥、lpf、lccf和其他数据返回到rsu设备。
在1050中,增强的scms可以将rsu设备的状态设置为例如在sms数据库406中的记录中为rsu设备的初始供应,并可以使用sms数据库406中的rsu的记录来跟踪未来的例如当设备在rsu的生命周期的后续阶段由所有者或操作者(例如dot)进一步供应时与rsu设备的交互,如下面关于图11所述。
图11是描绘根据本发明的实施方式的用于配置新部署的rsu的方法1101的示例的示意图。例如,方法1101可以由增强的scms400和刚从rsu设备制造商接收rsu的rsu设备所有者或用户来实现,其中所有者/用户现在需要完成配置rsu以供操作使用。
在所示的示例中,方法1101开始于1100,此时由或者为rsu购买者、用户、操作者或所有者(例如州政府的运输部等)创建设备用户的账户,该创建可以使用增强的scms400来完成。在各种实施方式中,设备用户的账户可以经由增强的scms400的实体或订户管理系统404创建和/或管理。另外,在一些实施方式中,为了参照图11所描述的示例,设备用户可以是dot的交通管理中心,其购买并操作rsuv2x设备和/或操作v2x产品或结合了一个或更多个rsu设备的设备。在一些实施方式中,创建账户的实体可以是国家政府实体,例如usdot或批准主体,其可使用scms400来创建和管理可发布数字资产的经批准的v2x设备的数据库。
在一些实施方式中,增强的scms400可以基于在来自rsu用户的请求中接收的数据来为rsu的用户创建账户。创建帐户的请求可以包括例如rsu用户的标识符、关于rsu用户的信息、描述rsu用户的类型(例如授权机构、交通管理中心、私人建筑公司等)、与rsu用户相关联的数字资产等。
在一些实施方式中,为rsu用户创建账户可以包括为rsu用户生成一个或更多个默认lpf。在一些情况下,不同的默认lpf可以与不同的设备类型相关联。
在1110中,增强的scms400可以例如响应于所接收的例如来自rsu用户的配置lpf的请求来配置lpf。例如,配置lpf的请求可以是配置rsu的工作流的请求、设置注册机构的url的请求、设置经授权的数字资产的类型的请求、配置psid的请求等。在一些实施方式中,如以上关于图3所描述的,可以使用补充策略来确定如何对补充请求进行响应。在进一步的实施方式中,可以基于设备类型、基于与设备相关联的登记证书、和/或基于与设备相关联的地理区域或精确地理位置来设置补充策略。
在1115处,可以在rsu设备中配置精确操作地理位置信息;如由形成框1115的虚线所指示的,该操作是可选的。例如,rsu所有者可以将地理位置限制信息写入或存储在rsu设备的非易失性存储器中。对于rsu是由道路施工队等使用的便携式rsu的情况,rsu所有者(例如,州的运输部门)可以写入或存储表示道路施工队当天在哪里工作或在哪里操作(即,rsu将在哪里操作)的操作地理位置,诸如一组地理坐标(例如,gps坐标或纬度和经度坐标)、特定交叉口、特定道路路段、由一组坐标定义的小范围等。在各种实施例中,rsu所有者可以根据rsu制造商的指令和/或经由增强的scms400的cmp402在rsu中输入操作地理位置信息。
在各种实施例中,rsu设备可仅在其应用证书的操作地理位置所指定的位置处或在该位置中适当地作为v2x环境的一部分来运行。在这样的实施例中,当rsu位于不同于正在操作的地理位置的位置或离该地理位置太远(例如,距离该地理位置大于10米至500米)时,与rsu设备通信的v2x设备可以识别出rsu设备正在其适当位置之外操作,并且因此可以忽略来自该rsu的信号和/或在v2x基础设施中报告rsu有故障或操作异常。
在一些实施方式中,操作1115可以由子过程或操作(未示出)替代或增补,其中地理位置信息可以由rsu的所有者/用户例如经由cms402配置或存储在增强的scms400中(例如,在smsdb406中)。例如,rsu所有者可以使用cms402登录到增强的scms400上,提交存储特定rsu设备的操作地理位置的请求,该请求可以包括该rsu设备的期望操作地理位置。在响应中,增强的scms400可以将该特定rsu的期望的或请求的操作地理位置存储到smsdb406中。在这样的实施方式中,增强的scms400可以稍后使用rsu的唯一标识符查找所存储的操作地理位置,这使得增强的scms400能够使用由所有者/用户存储在smsdb406中的操作地理位置信息生成用于该特定rsu的应用证书。
在各种实施方式中,可以从方法1101中去除可选操作1115和/或前一段的子过程。在一些实施方式中,可以在方法1101开始之前执行可选操作1115和/或替换子过程。
在1120处,根据图11所示方法的示例,scms400可以例如经由cmp402从rsu或者从rsu设备的所有者接收对rsu设备的应用证书的初始请求。在各种实施方式中,该请求可以包括rsu设备的且来自rsu设备的标识符。在一些实施方式中,可以接收标识符,并且将该标识符与在1100中为rsu设备的用户创建的账户进行匹配。
在一些实施方式中,标识符可以是在1040中由增强的scms400所接收或生成的标识符,如上所述,增强的scms400可以基于所接收的标识符识别rsu设备和/或v2x设备的类型为“rsu”。
在一些实施方式中,除了rsu标识符之外,用于rsu的应用证书的初始请求还将包括期望的或请求的操作地理位置,该操作地理位置可以成为提供给rsu的应用证书的一部分并且指定rsu将在哪里操作(例如,请求可以包括指定特定交叉口或纬度和经度坐标或其他地理或几何规范的地理位置信息)。在一些实施方式中,期望的操作地理位置可以用包括三个或更多个地理坐标形成的大于零的范围的信息或数据来指定,并且该范围可以是任何形状。另外或替代地,期望的操作地理位置可以用包括中心点(例如,纬度和经度点)和半径的信息或数据来指定,所述中心点和半径限定圆形范围。也可以使用用于指定地理范围的其它方式。
在一些这样的实施方式中,在1120处的请求中包括的所请求的操作地理位置可以与在1115处可选地输入rsu设备中的地理位置相匹配。在rsu设备正在发送在1120处接收的初始请求的一些实施例中,rsu设备可以读取在1115处被存储在rsu设备中的操作地理位置,并且使用该操作地理位置来制定或包括初始请求。
包括在1120处的应用证书的初始请求中的操作地理位置的一些实施方式可修改传统请求结构和协议(eera*证书供应请求(eera*certprovisioningrequest))(其中,星号指示任何ee-ra证书请求),以向传统eera*证书供应请求中使用的普通供应请求字段(commonprovisioningrequestfield)添加新的地理位置字段,因为该地理位置字段不存在于传统camp指定的软件和数据中。在这样的实施方式中,该新字段被用于指定设备的期望操作地理位置,该期望操作地理位置应当在rsu的登记证书中包含的地理区域(例如,其子集)内。这种新的字段和改进的eera*证书供应请求格式使得rsu能够请求具有适当的操作地理位置的应用证书,而无需使所有者/操作者必须从该字段或从tmc检索rsu,并在专用的安全编程/供应位置中对其进行传输和重新编程。
在一些实施例中(图11中未示出),增强的scms400可以在这一点(例如,在1120处接收请求之后)确定rsu设备是否被授权从增强的scms400请求和接收数字资产,如下面关于图12的操作1210、1220和1240所描述的,然后行进到1125。
在1122处,方法1101确定rsu设备的期望的或请求的操作地理位置。这可以针对不同的实施例和实施方式以不同的方式来完成。
对于在1120处接收的请求中包括rsu设备的期望操作地理位置的实施方式,增强的scms400通过从请求获得操作地理位置信息(例如通过解析接收的请求、读取请求的数据的适当字段等)来确定期望操作地理位置。
对于其中rsu的所有者/操作者/用户先前已经将rsu设备的操作地理位置存储在增强的scms400中的实施方式(例如,如上结合1115所述),增强的scms400通过从其存储位置获得操作地理位置信息(例如,通过使用或基于rsu设备的唯一标识符查找存储位置(例如,数据库查找),以及读取操作地理位置信息等)来确定期望操作地理位置。
在1125处,方法1101验证期望的操作地理位置在允许的地理区域内、在允许的地理区域的子集内、在允许的地理区域的一部分内或者以其他方式对应于允许的地理区域。在各种实施方式中,可以在rsu设备的登记证书中指定允许的地理区域,将其指定为在1120处接收的初始请求的一部分;和/或作为图10的方法1001的操作1010和/或操作1050的一部分存储在与rsu设备相关联的sms数据库406中,增强的scms400可以从这些源中的一个或更多个获得允许的地理区域。
在所示的实施方式中,增强的scms400针对允许的地理区域(例如,rsu的登记证书中指定的地理区域)比较或分析期望的操作地理位置,如果期望的地理位置不在允许的地理区域内、不在允许的地理区域的子集内或不以其他方式对应于允许的地理区域(操作1125,否),则方法1101分支到操作1127,并拒绝针对rsu的应用证书的请求。例如,如果期望的地理位置是弗吉尼亚州的一段道路,允许的地理区域是马里兰州和特拉华州,则拒绝该请求。在各种实施方式中,拒绝请求可以包括增强的scms400向请求实体或设备发送错误消息,例如向请求rsu或rsu所有者/用户发送错误消息。
另一方面,如果期望的地理位置在允许的地理区域内或以其他方式与允许的地理区域相对应(操作1125,是),则方法1101分支到操作1130,并且生成和提供或返回rsu的(一个或更多个)请求的应用证书。例如,如果期望的地理位置是马里兰州的交叉口,允许的地理区域是马里兰州和特拉华州,则scms400生成用于rsu的应用证书,并且应用证书包含将操作地理位置指定为马里兰州的交叉口的信息。scms400然后将新的应用证书发送或以其他方式提供给请求者。
在一些实施例中,在1130处,增强的scms400还可以向具有所请求的应用证书的rsu设备提供或返回lpf和/或lccf。在一些实施方式中,可以基于在1120中接收的设备标识符来确定返回到rsu设备的信息。例如,返回的lpf可以对应于由与rsu设备相关联的rsu所有者选择和/或自定义的rsu设备类型的lpf。此外,在1130处向rsu设备提供应用证书和/或其它信息之后,增强的scms400可以在sms数据库406中将该rsu设备的状态设置为“供应”或“部分供应”。在各种实施方式中,所供应的设备状态指示该设备具有其应用证书和其他文件,例如lpf和lccf。部分供应的设备状态可以用于指示计算机化设备仅具有这些数字资产中的一些。
图12是描绘根据本发明实施方式的用于向部署的rsu设备提供非初始数字资产的方法1201的示例的示意图。在各种实施例中,方法1201可以由增强的scms400和rsu或已经使用rsu的rsu设备所有者/用户来实现,并且现在需要将rsu部署到与先前部署rsu的地理位置不同的新的地理位置。例如,便携式rsu可能先前已经按照图11进行了初始供应,并且rsu可能需要重新供应例如反映新的操作地理位置的新的应用证书,在该新的操作地理位置,rsu将在那天与道路施工队一起使用。如果rsu没有被重新供应反映新的操作地理位置的新的应用证书,则v2x车辆将忽略或拒绝由rsu广播的信息,因为那些车辆将看到该信息不适用于它们的当前地理位置。
在所示的示例中,方法1201可以可选地如在1115处以在rsu设备中配置地理位置信息开始。例如,rsu所有者可以将操作地理位置信息写入或存储到rsu设备的非易失性存储器中,如前所述。
在1205处,方法1201包括接收对(一个或更多个)非初始应用证书的请求;即(在图11中描述的)不是该rsu的第一或初始证书的证书。在各种实施方式中,1205的请求可以由已经具有可能到期或者需要替换的应用证书的rsu设备发送或提供给scms400,或者该请求可以经由cmp402来自用户。在各种实施方式中,该请求可以包括rsu设备的标识符,如先前参照图11所描述的。
在一些实施方式中,对rsu的非初始应用证书的请求还将包括指示rsu的期望操作地理位置的信息,该信息将被包括在提供给rsu的非初始应用证书中或者成为该非初始应用证书的一部分,并且该信息指定rsu将在地理上在何处操作,如前所述。在rsu设备正在发送在1205处接收到的非初始请求的一些实施例中,rsu设备可以读取在1115处存储在rsu设备中的操作地理位置,并且使用该操作地理位置来制定非初始请求。在各种实施例中,非初始请求可以是添加了期望的操作地理位置字段的改进的eera*证书供应请求,其使得rsu能够请求具有适当操作地理位置的应用证书。
在1210处,例如由增强的scms400执行的方法1201可以确定或验证rsu设备是否被授权使用scms400系统和/或是否被提供有诸如非初始应用证书的数字资产。例如,增强的scms400可以访问来自rsu设备的用户的账户的信息或与rsu设备的用户的账户相关联的信息,或者访问与rsu设备相关联的信息,以确定rsu设备是否是例如具有活动状态的授权设备。
在1220处,如果rsu设备未被授权(1220,否),则方法1201分支到未授权工作流1240,其中将拒签或拒绝rsu设备接收所请求的非初始应用证书。增强的scms400将不向未授权设备提供证书。由于支付失败、盗用、撤销状态、被盗状态、出现问题状态、非活动状态等,设备可能是未授权的。在各种实施方式中,诸如rsu所有者的最终实体可改变由该实体注册或以其他方式与该实体相关联的v2x设备的状态,例如在活动状态和非活动状态之间改变。例如,如果rsu设备从工作队被盗或者以其他方式被盗用,则rsu所有者可以登录到增强的scms400中并将该rsu设备的状态从活动改变为非活动。在一些实施方式中,可以为与rsu设备相关联的最终实体(例如,所有者)自定义未授权工作流1240,如先前参照图3所述。
另一方面,如果rsu设备被授权接收数字资产(1220,是),则方法1201分支到1122。
在1122处,方法1201确定rsu设备的期望的或请求的操作地理位置。如上文关于图11所述,这可以针对不同实施例和实施方式以不同的方式来完成。
在1125处,方法1201验证在1122处确定的期望的操作地理位置在允许的地理区域内、在允许的地理区域的子集内、在允许的地理区域的一部分内或者以其他方式对应于允许的地理区域,如上面关于图11所述。
在所示的实施方式中,如果期望的操作地理位置不是允许的地理区域的子集(操作1125,否),则方法1201分支到操作1127,并且拒绝rsu对该应用证书的请求。例如,如果期望的操作地理位置由弗吉尼亚州的纬度和经度坐标指定,允许的地理区域是马里兰州和特拉华州,则在1127处拒绝该请求。
另一方面,如果期望的操作地理位置在允许的地理区域内(操作1125,是),则方法1201分支到操作1230,并且生成和提供或返回rsu的所请求的(一个或更多个)非初始应用证书。所生成的(一个或更多个)非初始应用证书可以包含或包括指示在1122处确定的操作地理位置的信息。例如,如果期望的操作地理位置由马里兰州的纬度和经度坐标指定,允许的地理区域是马里兰州和特拉华州,则scms400可以生成并发送rsu的(一个或更多个)非初始应用证书,并且所提供的(一个或更多个)应用证书可以包含将操作地理位置指定为指定的纬度和经度坐标的信息。
在图12所示的实施方式的变型中,增强的scms400可以以类似于方法1201的方式处理与部署的设备(例如部署的rsu)相关的其他请求。例如,在初始部署设备之后,增强的scms400可以接收请求以提供或配置用于诸如rsu的设备的lpf。在这样的变型中,提供或配置lpf的请求可以是改变每周要发布和使用的允许的应用证书的数目的请求,并且增强的scms400可以利用该新的配置更新用于请求rsu设备的现有lpf(或创建新的lpf),然后例如当rsu设备接下来联系增强的scms400时,将更新的或新的lpf发送或以其他方式提供给请求rsu设备。
图13a和图13b是示出了根据本发明的实施方式的用于向一个或更多个租户安全地提供诸如包含地理位置信息的应用证书的数字资产的过程1300的示例的泳道图。在由过程1300所图示的实施方式中,虚拟注册机构被用于向多个租户提供证书。
具体地,图13a和13b中示出的过程1300的示例包括增强的scms组件之间的请求和响应的交换,以便向诸如rsu设备810的v2x设备提供包含地理位置的证书。然而,本文描述的实施方式不限于v2x设备的多租户操作,并且所公开的原理可应用于其他类型的计算机化设备和计算机控制的设备,诸如iot设备。
在各种实施方式中,所示的过程1300或操作中的一些或全部可以由在计算系统(其可以包括一个或更多个处理器或一个或更多个计算子系统)上执行的代码、由仅硬件系统、或由两者的混合的系统来执行。如图13a和13b的顶部从一边到另一边所示,过程1300所涉及的实体或设备包括rsu设备1310、scms主机1308、虚拟注册机构1320和假名证书机构1340。在各种实施方式中,这些设备可以彼此通信以执行作为用于提供支持的地理位置的证书的过程1300的一部分的任务,如下面关于图13a和13b以及整个本公开所描述的。
在某些实施方式中,scms主机1308可以是一个或更多个计算系统(例如,安全或专用服务器),所述计算系统托管虚拟注册机构1320。过程1300可由与提交供应请求的计算机化设备(例如,rsu设备810)通信的增强的scms(例如,增强的scms400)来执行。
增强的scms可以包括虚拟注册机构1320、一个或更多个链接机构1350、1360和假名证书机构1340,类似于上面关于图8所描述的。
如图13a的示例所示,过程1300在1303处开始,在该步骤中,在rsu设备1310中配置地理信息。在各种实施例中,这可以通过利用地理区域信息来配置安装在rsu设备1310中的登记证书来完成,例如参照图10的操作1040所述,和/或通过将操作地理位置信息写入或存储在rsu设备1310的存储器中来完成,例如参照图11的操作1115所述。
接下来,在操作1305处,rsu设备1310向scms主机1308提交包括操作地理位置信息的应用证书的供应请求。在一些实施例中,如图所示,操作1305中的供应请求直接来自rsu设备1310,并且可以包括rsu设备1310的期望的操作地理位置以及租户标识符(id),如先前关于图8所述的。
在各种实施例中,rsu设备1310可以使用来自其登记证书的信息来形成供应请求。在(例如,如camp所指定的)v2x环境中,所需的登记证书包含(由psid值所标识的)应用许可以及每个rsu和obu的允许的地理区域。在由camp所指定的传统环境中,rsu或obu设备只能获得对应于包含在登记证书中的psid值的应用证书和/或假名证书。
在操作1307处,在rsu设备1310向具有虚拟注册机构1320的标识符的scms主机1308发送供应请求之后,scms主机1308然后从该请求解析租户id(例如,uuid或租户a的其它唯一标识符),使得该请求可以被路由到处理该租户的虚拟注册机构1320。这样,过程1300可以用单个scms主机1308服务多个租户,并处理自定义配置。在图13a的示例中,在操作1307处,scms主机1308从请求中解析租户a的租户id。在某些实施方式中,供应请求包括指示租户a的租户id的元数据,其中租户id可以是哈希、uuid或其它类型的不揭示租户的身份的唯一id。
然后,在1309处,scms主机1308参照登记证书机构验证租户,以确定是否存在针对该租户的单独的登记证书机构。例如,scms主机1308可执行查找以验证设备1310的特定登记证书由特定租户(例如,图13a的示例中的租户a)拥有或与特定租户相关联。因此,可以对这些服务调用进行密码验证,以确保它们被授权用于rsu设备1310。
在各个实施方式中,在操作1309中执行的验证或授权检查可涉及scms主机1308解密和验证供应请求,包括签名验证,使用未经批准的设备的列表(例如,黑名单)检查作为证书的目的地的rsu设备1310的撤销状态,以及确定是否允许请求者(例如,设备1310)从scms主机1308请求证书。例如,操作1309可以包括确定来自制造商的用户是否是授权用户(例如,员工的一部分)。在一些实施方式中,scms主机1308还可以在1309处确定是否批准使用接收证书的计算机化设备(例如,rsu1310)。在一些情况下,经批准的设备的列表(例如,白名单)可以由监管机构提供并且用于做出该确定。
如果租户通过验证或授权检查,则在1311处,scms主机1308发送确认已接收到供应请求的一般确认(ack)消息,该消息在1312处由rsu设备1310接收。
在1311处,scms主机1308验证或确定期望的操作地理位置在rsu设备1310的允许的地理区域内、在rsu设备1310的允许的地理区域的子集内或以其他方式与该rsu设备1310的允许的地理区域对应,如先前关于图11的操作1125所述。
在1313处,在验证了对证书的请求和期望的地理位置之后,scms主机1308启动供应请求,该供应请求包括租户a的租户id。在图13a的示例中,租户id被实现为uuid。这启动了用于生成(一个或更多个)所请求的证书的操作,所请求的证书将包括操作地理位置信息。
在图13a所示的示例中,在1323处,scms主机1308检查租户a的策略参数,并且根据策略参数,生成对来自假名证书机构1340的正确数量的地理位置受限的应用证书的请求。在示例中,操作1323可以包括scms主机1308使用来自操作1307的解析后的租户id来确定对于特定的应用证书请求要遵守什么策略参数,并且使用来自请求1305的操作地理位置来指定操作地理位置以包括在来自假名证书机构1340的应用证书中。
在1325处,虚拟注册机构1320向假名证书机构1340发送对应用证书的请求。该请求可以作为由虚拟注册机构1320创建的一批应用证书生成请求来发送。
在1327处,在假名证书机构1340处接收对应用证书的请求。响应于在1327处接收到的请求,假名证书机构1340可选地使用租户a的信息来使用不同的证书链或密钥来签署证书。在1327处,假名证书机构1340生成所请求的地理位置受限的应用证书,并且将所生成的应用证书发送回虚拟注册机构1320。在1329处,地理位置受限的应用证书在虚拟注册机构1320处被接收。
接下来,如图13b所示,在1331处,rsu设备1310可向scms主机1308发送请求,以下载一批地理位置受限的应用证书,例如,如先前参照图8b所述。
在操作1333处,scms主机1308从一批下载的请求中解析租户id。然后,在1335处,scms主机1308参照登记证书机构验证租户以确定是否存在针对租户的单独的登记证书机构。
接下来,在1337处,scms主机1308确保执行用于租户a的策略。操作1337可以包括scms主机1308使用来自操作1333的解析后的租户id来确定对于特定一批应用证书下载请求要遵守什么策略参数。例如,1337可以包括从rsu设备1310的lpf中检索该设备的本地策略参数。在确保对于所请求的一批应用证书执行用于租户a的策略之后,将控制传递到操作1339。
在1339处,当地理位置受限的应用证书例如从虚拟注册机构1320准备好时,scms主机1308将应用证书发送或返回给设备1310。在1341处,设备1310接收地理位置受限的应用证书。在这一点上,设备1310被供应有地理位置受限的应用证书,并且设备1310可以使用该应用证书。
在附加的或替代的实施方式中,与以上关于图10-13所描述的那些类似的系统、设备和过程可用于向其它计算机化设备(例如需要具有当前地理操作限制的数字资产的其它v2x设备)供应证书。
在其他附加的或替代的实施方式中,与以上关于图10-13所描述的那些类似的系统、设备和过程可以用于创建、供应和使用包括多个操作地理位置的在地理上受限的应用证书,诸如包括五个不同交叉口的地理坐标的应用证书或包括对应于10个不同路段的10个不同地理范围的规范的应用证书。在这种实施方式中,rsu设备将在rsu的应用证书中存储的多个操作地理位置的任何一个处或在rsu的应用证书中存储的多个操作地理位置的任何一个中正确地操作。在这种实施方式的使用示例中,计划在两周的时段内在10个不同位置工作的工作队可以请求并向其rsu设备供应包含这10个不同操作地理位置的应用证书,这将减少重新供应应用证书的需要和频率。
在一些这样的实施方式中,包含多个操作地理位置的应用证书还可以包括与每个操作地理位置相关联的时间段(例如,一天或一周),在该时间段期间rsu设备在每个操作地理位置处正确地操作。例如,根据应用证书中的信息,第一操作地理位置可以仅在一月1对正确操作有效,第二操作地理位置可以仅在一月2至一月4的时段期间对正确操作有效。
在另一个类似的附加的或替代的实施方式中,系统可以为rsu供应多个应用证书,并且rsu可以使用多个应用证书,每个应用证书仅包含单个操作地理位置和该证书允许rsu的正确操作的特定时间段。在这种变型的示例中,第一应用证书可以仅在一月1被rsu使用,并且仅在第一操作地理位置处对该天的正确操作有效,而包含第二操作地理位置的第二应用证书可以在从一月2到一月4的时段期间被rsu使用,用于仅在第二操作地理位置处的正确操作。在这种实施方式中,rsu用户可以为rsu供应为了接下来几天(例如,下一周或两周)的若干工作地点位置中的每一个所需的地理受限的应用证书。
如本文所述,根据本发明的各种实施例解决了当前传统供应系统的技术缺点,并满足v2x环境的技术要求。如本文的示例中所述,各种实施例提供了可由多个订户(例如,租户)使用的扩展scms400,其可向每个订户提供唯一配置能力,并且可向部署的v2x设备提供必要的订户唯一更新。根据本发明的各种实施例使得rsu能够在制造地点被初始编程/供应地理区域信息,然后在被运送给所有者/操作者之后,在所有者/操作者的地点处被安全地编程或供应适当的可操作数字资产(诸如具有当前应用许可和地理限制信息的应用证书),所述地点不需要是专门的地点。
如本文所述,根据本发明的各种实施例使得scms订户(例如,拥有或使用rsu的租户)能够经由cms管理门户402、安全电子邮件、(如本文所述的修改的)与ra通信的camp定义的终端实体,或者通过restapi使用设备的序列号并使用传统的互联网连接的计算机来请求新的地理位置受限的证书。作为所描述的多步骤供应过程的一部分,当系统在制造时获取序列号时,所描述的扩展scms400验证或确定rsu的序列号对于扩展scms400从初始制造供应步骤是已知的(例如,设备是经授权的)。在成功验证序列号时,scms验证rsu的所请求的新的地理位置在rsu的(例如,如由制造商在初始供应时设置的)允许的地理区域内,然后向rsu发布具有所请求的新的地理位置的所请求的应用证书。
根据本发明的一些实施例使得scms订户(例如,租户)能够经由cms管理门户402、安全电子邮件或restapi在扩展scms400中预注册必要的psid(供应商服务标识符)和它们将与之相关联的设备序列号。当scms400从rsu接收对应用证书的请求时(例如,在1120、1205处),它将使用登记证书来识别设备的关联序列号。然后,scms400将使用序列号来识别正确的psid和其他数据(例如地理区域信息),然后scms400将创建适当地配置的应用证书,并将它们返回给请求rsu。
尽管为了清楚的解释,上述示例使用了计算机化设备的特定示例,例如obu、ecu和rsu,但是本发明并不限于这些特定示例。除了本文用于说明这些新功能、设备和方法的v2x设备之外,它们还可应用于任何iot设备,包括需要地理操作限制的那些iot设备。因此,根据本发明的各种实施方式可以与各种计算机化设备一起使用,并且可以用于各种计算机化设备,诸如医疗设备(例如,透析机、输液泵等);机器人;无人机;自主车辆;以及无线通信模块(例如,嵌入式通用集成电路卡(euicc))等。
本文描述的应用的各种操作可以至少部分地由一个或更多个vm执行。在附加的或替代的实施方式中,本文描述的应用的操作可以至少部分地由(例如,通过软件)被临时配置或永久配置成执行相关操作的一个或更多个处理器来执行。无论是临时配置还是永久配置,这样的处理器可以构成处理器实现的模块,其操作以执行本文描述的一个或更多个应用操作、功能和角色。如本文所使用的,术语“处理器实现的模块”是指使用一个或更多个处理器实现的硬件模块。
类似地,本文描述的方法可以至少部分地由处理器实现,其中特定的一个或更多个处理器是硬件的示例。例如,方法的操作中的至少一些可以由一个或更多个处理器或由处理器实现的模块来执行。此外,一个或更多个处理器还可以操作以支持在“云计算”环境中或作为“软件即服务”(saas)的相关操作的执行。例如,至少一些操作可以由一组计算机(例如包括处理器的机器)来执行,这些操作可以经由网络(例如,因特网)和经由一个或更多个适当的接口(例如,api)来访问。
某些操作的执行可以分布在处理器之间,不仅驻留在单个机器内,而是跨多个机器部署。在一些示例性实施方式中,处理器或处理器实现的模块可以位于单个地理位置(例如,在办公室环境、制造环境或服务器场内)。在其他示例性实施方式中,处理器或处理器实现的模块可以分布在多个地理位置。
通过考虑本文公开的本发明的说明书和实践,本发明的其它实施方式对于本领域技术人员将是显而易见的。说明书和示例仅是示例性的,本发明的真正范围由所附权利要求指出。
- 还没有人留言评论。精彩留言会获得点赞!