向V2X消息中添加保证信息的方法和系统与流程

向v2x消息中添加保证信息的方法和系统
技术领域
1.本公开涉及车辆到一切(v2x)通信，并且具体地涉及v2x消息的信任。


背景技术：

2.在智能交通系统(its)中，多个设备进行通信，以便交通系统在交通和流量管理方面做出更明智的决策，以及做出更安全、更协调的决策。its系统组件可以作为固定基础设施的部分设置在车辆内，诸如在桥梁上或在十字路口，以及被设置用于交通系统的其他用户，包括行人或骑自行车者。
3.its系统部署在世界各地的多个市场都受到了极大的关注，无线电频带被分配用于通信。除了用于安全关键和非关键应用的车辆到车辆通信之外，正在为车辆到基础设施和车辆到便携场景开发进一步的增强功能，以提供交通安全和效率。
4.然而，当这样的设备通信时，接收设备需要确信所接收的消息是可信的，以便对这样的消息中的信息采取行动。接收设备在确定可信度时面临的问题的一个方面是，发送实体是否正确运行，换言之，它没有故障。接收设备在确定可信度时面临的问题的另一方面是发送实体的行为是否符合预期。
附图说明
5.参考附图可以更好地理解本公开，在附图中：
6.图1是示出v2x系统中的证书的示例公钥基础设施架构的框图；
7.图2是示出v2x架构中的证书取回和v2x通信过程的数据流图；
8.图3是示出v2x架构中具有附加保证信息的证书取回和v2x通信过程的数据流图；
9.图4是示出可以用于传递功能安全、预期功能安全或聚合信息的信令八位字节的框图；
10.图5是示出接收its实体处用于基于接收的v2x消息中的功能安全保证等级信息来确定如何对接收的v2x消息作出反应的过程的流程图；
11.图6是示出接收its实体处用于基于接收的v2x消息中的预期功能安全保证等级信息来确定如何对接收的v2x消息作出反应的过程的流程图；
12.图7是示出接收its实体处用于基于接收的v2x消息中的多个安全保证等级信息来确定如何对接收的v2x消息作出反应的过程的流程图；
13.图8是示出接收its实体处用于基于接收的v2x消息中的聚合安全保证等级信息来确定如何对接收的v2x消息作出反应的过程的流程图；以及
14.图9是能够与本公开的实施例一起使用的示例计算设备或服务器的框图。
具体实施方式
15.本公开提供了一种智能交通系统(its)实体处的方法，该方法包括：从第二its实体接收消息，该消息包含安全保证指示；以及基于安全保证指示在its实体处执行动作。
16.本公开进一步提供了一种智能交通系统(its)实体，该its实体包括：处理器；以及通信子系统，其中its实体被配置为：从第二its实体接收消息，该消息包含安全保证指示；并且基于安全保证指示在its实体处执行动作。
17.本公开进一步提供了一种用于存储指令代码的计算机可读介质，该指令代码在由智能交通系统(its)实体的处理器执行时使its实体：从第二its实体接收消息，该消息包含安全保证指示；并且基于安全保证指示在its实体处执行动作。
18.在确定是否对接收的v2x消息采取行动时，v2x实体(诸如，接收该消息的车辆)可能需要确定是否可以信任该消息。消息的信任可能因消息类型而异。例如，安全关键用例可能需要更高等级的信任，诸如紧急制动警告，其中接收车辆可能需要确定是否应当对消息内容采取行动并且用力制动，甚至可能在没有其他证实信息的情况下。例如，大型卡车可能位于发送消息的车辆与接收消息的车辆之间，从而消除任何视线证实信息。
19.接收v2x实体在确定发送v2x实体的可信度时所面临的问题的各个方面都存在。第一方面是接收实体是否能够确信传输实体是网络安全的，并且没有或不太可能被黑客攻击。
20.第二方面是接收实体是否能够确信v2x传输实体没有故障并且因此没有错误地生成消息或生成具有内容错误的消息。
21.第三方面是接收实体是否能够确信v2x传输实体按预期运行。在这个第三方面，接收实体可能需要确定它是否确信在传输实体处的复杂感知算法的设计中没有不足或者在传感器的性能和操作中没有不足，这些不足可能导致错误地生成消息或生成具有内容错误的消息。
22.目前还没有解决方案可以用于v2x接收实体建立对v2x消息是由无故障传输器生成的信任。
23.此外，v2x接收实体无法通过任何解决方案确定预期功能安全性(sotif)存在功能安全性。具体地，v2x接收实体可能需要知道v2x传输实体不会基于预期功能故障来不适当或不准确地生成消息或消息内容。v2x消息可以基于感知算法生成，诸如人工智能(ai)或机器学习(ml)算法。然而，确保这样的ai/ml感知算法始终按预期运行的过程是困难的。例如，很难完全确信用于训练ai/ml模型的数据的类型和数量足以涵盖感知算法在现场可能遇到的所有场景。从sotif的观点来看，就制造方应当遵循的一套程序和流程而言，iso 21448为这样的问题提供了答案，以便产品被视为“可接受释放”。
24.此外，在生成与不同用例相关联的消息时，可能会涉及不同的电子控制单元集(ecu)。例如，一条v2x消息(诸如，紧急制动警告)可以涉及从制动系统获取传感器信息，而诸如定期的合作意识消息(cam)或基本安全消息(bsm)等其他v2x消息可能不会。制造方可能希望避免设计具有网络安全性、功能安全性或要求最高的v2x应用的sotif保证等级的每个ecu，因为这将不必要地昂贵。因此，在某些情况下，根据与给定v2x消息相关的特定应用类型来确定可信度可能是有利的。具体地，当前与网络安全保证相关的标准化使v2x传输器能够根据应用类型(psid)指示网络安全保证等级(tal)，但这些标准不支持在应用类型中存在多种操作模式的情况下指示保证等级。
25.此外，在车辆证书中添加区分信息(包括功能安全(fusa)等级、sotif等级等)的一个问题是，该信息可以用于帮助希望跟踪车辆的人。特别是当不同的车辆具有不同的(尽管
是固定的)设置时。这可能会降低传输v2x消息的车辆的车主或驾驶员的隐私。
26.本公开的实施例解决了上述问题中的一个或多个问题。
27.本公开与v2x有关，v2x是一种提供从车辆到其他实体(也可能相反)之间的消息通信的特征，该信息可能会影响车辆和/或其他实体。因此，v2x实体是支持发送v2x消息和接收v2x消息中的一者或两者的实体，并且可以包括智能交通系统(its)站(its-s)、电子控制单元(ecu)、车载单元(obu)、用户设备(ue)、移动实体(me)、终端实体(ee)等选项。v2x实体在本文中也称为its实体，并且术语可以互换使用。
28.与车辆之间的通信可以是与各种v2x端点之间的通信。v2x端点可以包括：其他车辆，其单独称为车辆到车辆(v2v)；基础设施，诸如路边单元，其单独称为车辆到基础设施(v2i)；行人或骑自行车者，其单独称为车辆到行人(v2p)；(多个)网络，其单独称为车辆到网络(v2n)；设备，诸如车辆内的电子设备，其单独称为车辆到设备(v2d)；电网，其单独称为车辆到网络(v2g)；以及其他选项。这些统称为v2x。
29.v2x通信可以用于多种用途。在某些情况下，v2x可以用于道路安全和提高道路运输效率两者，诸如通过减少拥堵或减少燃油消耗。
30.各种系统/架构可以提供v2x通信。诸如第三代合作伙伴项目(3gpp)规范中限定的蜂窝网络就是一个这样的系统/架构。例如，其他系统/架构可以包括综合数字增强网络(iden)、电气与电子工程师协会(ieee)802.11p无线网络等。
31.目前存在各种标准可以用于在v2v消息中传达网络安全保证等级。其中包括欧洲电信标准协会(etsi)、电气与电子工程师协会(ieee)1609.2、2016年12月的“ieee wave标准——应用和管理消息安全服务——ieee 1609.2-2016合并草案及1609.2a/d8和1609.2b/d3中规定的修订”、以及car2car联盟。
32.通常，v2x通信由v2x实体发送的v2x消息和接收的v2x消息组成。v2x消息是广播消息，该广播消息包含有关车辆当前位置、速度的信息或其他信息，并且由临时密钥签名，临时密钥与属于发送实体的匿名证书相关联。证书将被完整发送，或者它的哈希将与消息一起发送。能够检测和解码这些消息的接收实体能够验证用于对其签名的证书。这些证书中可以包括网络安全保证等级。
33.例如，在欧洲its系统中，etsi技术规范(ts)103 097“its；安全；安全报头和证书格式”v1.3.1(2017年10月)和etsi ts 102941“its：安全；信任和隐私管理”v1.2.1(2018年5月)提供了这样的验证。在这个欧洲its系统中，在its站(its-s)制造时，在its-s中提供有规范的全球唯一标识符，并且在注册机构中提供有同一标识符以及与该标识符相关的其他信息，包括保证等级和its应用标识符(its aid)。此外，还可以提供服务特定权限(ssp)，以详细说明在创建和发送消息时允许车辆使用的应用或应用的特征。
34.现在参考图1，图1提供了欧洲电信标准协会(etsi)its公钥基础设施的示例概览，如etsi技术标准(ts)102 904“智能运输系统(its)安全、its通信安全架构和安全管理”v.1.2.1(1916年11月)中限定的。
35.在图1的示例中，在制造时，向v2x实体(例如，its-s 110)提供有规范标识符(id)(它是v2x系统中每个v2x实体唯一的id)，并且向注册机构112提供有相同的规范id以及与该规范id相关的其他信息，诸如保证等级。
36.在its架构中，注册机构112在接收到规范id和可能的其他数据(例如，公钥)122时
对its-s 110进行认证，并且通过颁发注册证书124来授予其参与its通信的授权。授权机构130(在美国系统(或ieee描述的系统)中也称为授权证书机构)通过提供可以用于这些服务的临时/匿名证书132(也称为授权票据或授权证书)来向its-s 100提供使用特定its服务的授权。该授权基于注册id 134，该注册id 134由注册机构112使用授权验证请求136和授权验证响应138进行验证。
37.根证书机构140可以向注册机构112提供证书142，并且向授权机构130提供证书144。
38.然后，its-s 110可以使用利用授权证书保护的消息152与其他v2x端点(诸如its-s 150)通信。
39.证书消息传递的示例关于图2进行描述。在图2的实施例中，its-s发送实体210希望与its-s接收或中继实体212通信。但是，首先必须从注册机构214接收注册凭证，并且从授权机构216接收授权票据/证书。
40.在这点上，its-s发送实体210向注册机构214发送enrollmentrequest消息220，并且包括其规范id和公钥。
41.注册机构214利用enrollmentresponse消息222响应于its-s发送实体210，并且包括结果和注册凭证。
42.its-s发送实体210然后通过向授权机构216发送authorizationrequest消息230来请求证书/授权票据。消息230包括服务参数。
43.授权机构216向注册机构214发送包括服务参数的authorizationvalidationrequest消息232。注册机构215利用带有结果的authorizeationvalidationresponse消息234响应于授权机构214。消息234还可以包括适用的保证等级。授权机构216可以在其产生的授权票据(也称为匿名证书或授权证书)中包括保证等级(如果接收到)。如本文中使用的，授权票据可以包括欧洲授权票据或美国授权证书，以前称为匿名证书。
44.这些授权票据由授权机构216在authorizationresponse消息240中提供给its-s发送实体210。
45.然后，its-s发送实体210可以将v2x消息(示出为securedmessage 250)发送给智能运输系统中的另一its-s，诸如its-s接收或中继实体212。在希望发送v2x消息时，its-s发送实体210通常创建v2x消息，v2x消息包括证书(授权票据)和有效负载(例如，车辆当前位置、速度)；使用众所周知的哈希算法计算可变长度v2x消息的固定长度哈希；使用its-s发送实体的私钥对哈希进行签名；并且将签名附加到有效负载并且发送所得到的v2x消息。
46.因此，v2x消息包含消息内容、消息的签名哈希和证书。根据etsi ts 102 940，消息内容可能受到真实性、完整性、机密性和隐私性保护。因此，有效负载可以加密，但无需加密。
47.除其他外，证书可以包括发送实体的公钥；发送实体的匿名身份；签名块，其是发送实体的身份和发送实体的公钥的哈希，该哈希由证书机构使用证书机构的私钥进行签名；对证书进行签名的证书机构的身份；以及发送v2x实体的保证等级。
48.在接收到消息250时，its-s接收或中继实体212通常会将证书机构的已知公钥应用于证书的签名块，以验证发送实体的身份和发送实体的公钥。
49.然后，its-s接收或中继实体212可以检查身份是否不在证书吊销列表(crl)中的身份列表(指向)上。如果发送实体的身份位于crl上，则该消息可以被丢弃。its-s接收或中继实体212可以执行其他合理性(非加密)检查和有效性(加密)检查。
50.然后，its-s接收或中继实体212可以使用发送实体的公钥来验证v2x消息中包括的签名。
51.虽然以上描述了接收通过证书进行验证的v2x消息，但在某些情况下，还需要传达网络安全保证等级。例如，ieee 1609.2；etsi、互联网工程任务组(ietf)和car2car联盟中描述了用于提供网络安全保证等级的各种解决方案。
52.具体地，ieee 1609.2中限定的获取注册证书和申请证书(类似于“授权票据”，以前称为“匿名证书”)的过程与etsi ts 103 097中描述的过程相似。“assurancelevel”项可以被包括在与v2x消息一起发送的ieee 16092.证书中，其中该证书的对应私钥用于对v2x消息进行签名。
53.例如，ieee 1609.2将tobesignedcertificate限定为包括各种字段，诸如id、cracaid、region和assurancelevel等字段。assurancelevel的值限定为subjectassurance，并且是可选的。
54.此外，用于接收安全数据交换实体(sdee)信息的设计还可以基于证书中的assurancelevel字段来为特定签名的安全协议数据单元(spdu)有效负载指定最低保证等级。在这种情况下，接收sdee可以检查证书中的assurancelevel是否适合接收的有效负载。例如，这在ieee 1609.2的第5.2.4.3.3节有概述。
55.在名为draft-tls-certieee1609-02.txt的文件中，“使用its etsi和ieee证书的传输层安全(tls)认证”，2018年3月，ietf被视为信任保证等级(强制性)。具体地，该草案规定：信任保证等级：ca和终端实体的c-its证书必须包含tal：(1)对于v2x通信系统的安全性，确保参与者的车内安全至关重要：消息接收方必须能够依赖于发送方正确生成消息这一事实(即，汽车传感器信息是准确和完整的)。因此，发送方的安全漏洞将对消息的所有接收方产生影响；以及(2)只有具有合理“安全等级”的车辆才能从pki获取证书。车辆到车辆通信联盟(c2c-cc)引入了不同等级的信任，限定为信任保证等级，并且车辆的授权票据(即，匿名证书)必须包括车辆tal的值。后续草案不包含该要求。
56.car2car联盟为car2car通信联盟中的v2x硬件安全模块(hsm)限定了评估保证等级(eal4)通用标准保护简档，“v2x硬件安全模件保护简档”(2018年8月)。car2汽车联盟基本简档第7.4.6节“c2c-cc基本系统简档”(2016年8月)描述了c2x站的信任保证。重点包括5个信任等级被指定为信任保证等级(tal)0到tal4，其中tal 4是最高信任保证等级。its站的最低可接受tal为tal2。根据etsi ts 103 097，每个tal映射到受试者保障表示。
57.此外，2012年在car2car联盟/camp会议上的演示有以下亮点：接收方可以基于以下概念来确保v2x消息没有错误，即，受信任方已经根据成熟的国际公认和可信的安全标准评估了发送端点，并且颁发证书，接收方可以验证其对向发送方妥协的难度的看法。会议进一步建议，不同的tal可以用于不同的应用，因为如果只有一个tal等级，则它必须是要求最高的应用所需要的tal等级。对于所有应用来说，这个等级可能很难达到。
58.car2car会议考虑了“可信国际标准”的选项，包括nist fips-140-x，该标准更多地涉及加密技术的使用，而非全面的网络安全标准；iso通用标准3.1，其耐久性有限(2年)，
这造成问题，并且成本高昂；以及cc改编的定制oem c2x评估方案。此外，iso/sae21434国际标准草案“道路车辆——网络安全工程”(2020年2月)在2012年不存在，但如下所述。
59.c2c论坛限定的信任保证等级的示例如下表1所示。
[0060][0061][0062]
表1：c2x站的信任保证等级
[0063]
在上面的表1中，tal 2是最低可接受等级。
[0064]
保证等级的另一示例是关于preserve。preserve是一个欧洲共同体资助的项目，涉及车辆到一切通信的安全和隐私方面。“preserve”(ec-dg infso资助的第七个框架计划)第2.5节(2016年1月)(“准备安全车辆到x通信系统”，可交付成果5.4，部署问题报告)的亮点包括：只有具有合理安全等级的车辆才能从c2x pki处获取证书；实体(例如，认证型公司/行业联盟/oem自行签名)应当能够验证v2x模块是否达到最低安全等级；成功的评估和认证可以作为注册机构向车辆颁发注册凭证的基础；tal应当被包括在车辆的授权票据(匿
名证书)中。
[0065]
ieee 1609.2证书的psid和ssp
[0066]
公共服务标识符(psid)类似于etsi its-aid，并且提供应用领域的标识符。ssp和psid在ieee 1609.2中进行了标准化，并且提供了以下内容。
[0067]
应用权限定义为允许证书持有人按照其证书中的规定采取的多种。这样的应用权限在标准中使用psid来表示。
[0068]
如上所述，ssp是服务特定权限，并且由字段组成，该字段指示特定证书持有人相对于特定应用领域的权限。
[0069]
使用这些定义，在证书中使用psid来指定允许的应用领域。为应用权限中的每个psid隐式或显式提供有ssp，以标识该psid的应用领域中的特定发送方权限。ssp的语法和语义特定于每个psid值。
[0070]
例如，表1示出了ieee 1609.2标准的第6.4.24节中提供的psidssp定义。
[0071][0072]
表2：psidssp格式
[0073]
表2的结构表示证书持有人对单个应用领域(由psid标识)的数据拥有的权限。如果省略servicespecificpermissions字段，则表示证书持有人具有与该psid相关联的默认权限。
[0074]
关于ssp，如ieee 1609.2的第5.2.4.3.3节所述，证书提供了两个字段，该字段用于确定单个spdu的有效负载与发送方的权限一致。psid字段指示发送方有权发送与由psid字段指示的应用领域相关联的有效负载。ssp字段指示发送方有权发送在该应用领域内的特定负载类型。应用领域内应用行为的定义包括从有效负载内容到定义有效负载有效性的权限(psid和ssp)的映射。换言之，psid所有者的职责中的一个职责是定义ssp的语法和语义并且定义特定ssp允许的有效负载。
[0075]
psid、ssp和保证等级被包含在ieee 1609.2的第6.4.8节中规定的证书中。证书格式支持包括多个(psid，ssp)对，但psid在有效证书中不会出现多次，因此正确的psid可能与签名的spdu有模糊关联。
[0076]
隐私
[0077]
智能交通系统内的一个原则是，应当尊重传输实体的隐私。然而，利用ssp传达传输车辆的能力可能会降低隐私，因为这种特殊ssp与附近其他传输实体的ssp不同。通常，匿名临时证书中的任何显著特征都会降低隐私。
[0078]
如下文更详细地描述，为了克服这一点，在某些情况下，传输实体可以有多个证书与其相关联。特别是，传输实体可以具有“普通”证书，而没有任何特殊权限，另一证书可以
具有为高级能力而设置的ssp。在这种情况下，传输实体将仅在消息授权时使用ssp证书，并且在其他任何地方使用普通证书。
[0079]
提供功能安全和/或sotif保证等级的指示
[0080]
因此，根据本公开，提供了各种解决方案，以建立对v2x消息是由无故障的传输器生成的信任。此外，上述实施例还提供了sotif功能安全的保证。在本文中的各种实施例中，解决方案可以基于ecu的功能进行定制。
[0081]
这些和其他实施例描述如下。在下面的实施例中，示例是根据欧洲合作凭证管理系统(ccms)描述的。然而，这仅仅是为了说明目的而提供的，并不具有限制性。类似的概念可以应用于任何其他类型的安全凭证管理系统(scms)，包括但不限于基于美国防撞度量合作伙伴(camp)的scms系统、中国scms系统等其他选项。
[0082]
功能安全和/或sotif保证等级的指示示例关于图3进行描述。在图3的实施例中，its-s发送实体310希望与its-s接收或中继实体312通信。然而，首先，必须从注册机构314接收注册凭证，并且从授权机构316接收授权票据。此外，在图3的实施例中，数据库315可以存储实体的验证保证等级。
[0083]
在这点上，its-s发送实体310向注册机构314发送enrollmentrequest消息320，并且包括其规范id和公钥。
[0084]
注册机构314用enrollmentresponse消息322响应于its-s发送实体310，并且包括结果和注册凭证。
[0085]
its-s发送实体310然后通过向授权机构316发送authorizationrequest消息330来请求证书/授权票据。消息330包括服务参数。
[0086]
授权机构316向注册机构314发送包括服务参数的authorizationvalidationrequest消息332。在一个实施例中，授权机构316可以请求注册机构314使用authorizeationvalidationrequest消息332中的requestedsubjectattributes字段的更新来提供新参数。特别是，提供了本文中定义为fusaassurancelevel和/或sotifassurancelevel的新参数。这些保证等级描述如下。因此，消息332内的requestedsubjectattributes可以请求fusaassurancelevel和/或sotifassurancelevel。但是，消息332中对fusaassurancelevel和/或sotifassurancelevel的请求是可选的，并且在某些情况下，注册机构314可以提供这些参数而无需请求。
[0087]
在接收到消息332之后，或预期会接收到对特定实体的授权请求时，注册机构314可以从数据库315中获取assuranceinfo，如消息334所示。如本文中使用的，assuranceinform用于表示fusaassurancelevel和/或sotifassurancelevel。
[0088]
特别是，诸如“欧洲合作智能交通系统(c-its)部署和运行的证书策略”(2017年6月，欧盟委员会发布的第1版)等策略和管理文件可能需要更新，以定义证书机构要执行的新要求。增加的要求包括，认证机构可能需要确定是否有来自独立第三方的证据表明原始设备制造方所述的与给定规范身份相关联的保证等级已经实现。所述保证等级可以处理网络安全、功能安全和/或sotif中的一个或多个。此外，可选地，所述保证等级还可以与给定v2x应用类型(诸如，psid)相关联。
[0089]
该验证的保证等级将记录在注册机构314可以访问的数据库315中。
[0090]
注册机构312利用带有结果的authorizationvalidationresponse消息340响应于授权机构316。消息340还可以包括适用的保证等级。授权机构316可以在其产生的授权票据(也称为匿名证书)中包括保证等级(如果接收到)。此外，除了当前保证等级参数，还可以提供新的参数fusaassurancelevel和/或sotifassurancelevel，在图3中表示为assuranceinfo。以上所有内容(包括网络安全保证等级)都可以被提供作为由psid表示的应用类型的函数，并且可选地，也可以作为ssp的函数。
[0091]
这些授权票据由授权机构316在authorizationresponse消息350中提供给its-s发送实体310。特别是，消息350包括将被更新以与当前assurancelevel参数一起包括fusaassurancelever和/或sotifassurancelevel的授权票据。
[0092]
特别是，当前授权票据的构成如下表3所示：
[0093][0094][0095]
表3：授权票据在第一实施例中，授权票据可以如下表4中的粗体所示进行修改：
[0096][0097]
表4：修改后的授权票据
[0098]
根据本公开的一个实施例，subjectfusaassurance可以取与汽车安全完整性等级(asil)a、b、c或d相对应的四个值中的一个值，例如国际标准组织(iso)26262中定义的。但是，subjecthusaassuration的其他选项也是可能的。
[0099]
根据本公开的一个实施例，subjectsotifassurance可以取与“sotif接受释放的证据”或“没有sotif接受释放的证据”相对应的两个等级中的一个等级(boolean)。然而，subjectsotifassurance的其他选项也是可能的。
[0100]
此外，在某些情况下，为了避免混淆，可以将当前“assurancelevel”重新标记为“cybersecurityassurancelever”或类似内容。
[0101]
在其他实施例中，为了进一步解决每应用类型/服务类型的保证等级的提供问题，授权票据的证书格式可以如下表5中的粗体和删除线所示进行修改：
[0102][0103][0104]
表5：修改后的授权票据
[0105]
因此，通过使用表5的结构，可以指定每个应用类型或服务类型的保证等级。
[0106]
在另一实施例中，可能需要避免设计具有网络安全性、功能安全性或要求最高的v2x应用的sotif保证等级的每个ecu，因为这将不必要地昂贵。因此，在某些情况下，根据与给定v2x消息相关的特定应用类型来确定可信度可能是有益的。
[0107]
因此，根据本另外的实施例，可以在为编码ssp而预留的八位字节内提供保证等级信息。现在参考图4，图4示出了传输的八位字节的格式410，其中传输了三个八位字节，即八位字节0、八位字节1和八位字节2。这些八位字节可以用于编码功能安全、网络安全和/或保
证等级，如下所述。
[0108]
用于功能安全的八位字节编码
[0109]
关于功能安全，应用的一个示例用途是应用“道路和车道拓扑(rlt)”。这种类型的信息可以由车辆发送或接收，并且对于车辆来说，相信发送方经过安全认证可能很重要，因为不正确的道路拓扑可能会导致其他车辆处出现错误，这些车辆无法使用自己的传感器确定这样的拓扑，但仍需将该信息用于机动规划。然而，该应用仅用于说明，并且其他应用也是可能的。
[0110]
为了对安全等级进行编码而不在rlt消息中不引入新字段，已定义的ssp八位字节串的最后的八位字节的四个位被设置为发信号通知最低安全认证，汽车安全完整性等级(asil)中的每个汽车安全完整性等级有一个。如果仅实现了传输车辆的asil a认证，则只有安全八位字节的位0设置为1(即，1,0,0,0)，所有其他位都设置为0。如果asil d，则所有前四位都设置为1(或者4位可以设置为0,0,0,1)。
[0111]
例如，etsi ts草案103 301v.1.3.3第5.4.3.2节可以如下表6中的粗体所示进行修改：
[0112]
八位字节#描述值0ssp版本控制11-2服务特定参数参见表7
[0113]
表6：rlt服务ssp的八位字节方案服务参数在下表7中定义，对该表的补充以粗体示出：
[0114][0115]
表7：rlt服务通信简档
[0116]
表6和表7的示例是一种可能性。但是，也可以使用其他备选编码。例如，前两位可以用于通过四个值0、1、2和3以最低安全等级值发信号通知，每个值分别表示asil a、b、c或d。
[0117]
在另一备选方案中，第一八位字节内的备用位可以用于相同目的。
[0118]
其他编码选项是可能的。
[0119]
用于网络安全的八位字节编码
[0120]
关于网络安全，应用的一个示例用途是rlt应用。这种类型的信息可以由车辆发送或接收。为了对网络安全等级进行编码而不在rlt消息中引入新字段，可以设置已定义的ssp八位字节字符串的最后的八位字节的四位，以发信号通知最低安全认证，网络安全保证等级中的每个网络安全保证等级有一个，例如iso 21434cal或etsi定义的tal提供的。根据本公开的实施例，提供了关于cal的示例，但也可以同样适用于tal。
[0121]
如果仅实现传输车辆的cal 1认证，则仅网络安全八位字节的位0设置为1，所有其他位设置为0。如果实现传输车辆的cal 4认证，则所有前四位设置为1(或者4位可以设置为0,0,0,1)。
[0122]
其他备选编码也是可能的。例如，前两位通过0、1、2和3四个值发信号通知最低网络安全等级，每个值分别表示cal 1、2、3或4。
[0123]
其他选项也是可能的。
[0124]
例如，etsi ts草案103 301v.1.3.3第5.4.3.2节可以如下表8中的粗体所示进行修改。
[0125]
八位字节#描述值0ssp版本控制11-2服务特定参数参见表9
[0126]
表8：rlt服务ssp的八位字节方案服务参数在下表9中定义，对该表的补充以粗体示出：
[0127][0128][0129]
表9：rlt服务通信简档
[0130]
为了完整性，在上面提到iso 21434cal的表9中，这也可以是其他一些网络安全保证等级，包括但不限于car2car联盟tal或通用标准iso 15408eal。
[0131]
sotif的编码也可以采用类似的方法，尽管在这种情况下只需要编码两个值：例如，“接受释放”或“不接受释放”。
[0132]
其他选项也是可能的保证等级集的八位字节编码
[0133]
如果为网络安全、fusa和sotif中的每个提供保证等级细分，则可能需要发信号通知的可能组合的数目最多为5
×5×
2＝50。因此，这需要在最有效的可能编码中使用6位。具体地，有5个网络安全等级(tal 0、1、2、3、4或cal 1、2和3、4)和5个fusa等级(qm、asil a、asil b、asil c、asil d)以及2个sotif等级(“防止向ca提交sotif相关的释放接受证据”、“没有向ca提交sotif相关的释放接受证据”)。
[0134]
然而，可能只支持这三种保证的某些组合，因此组合保证的总数实际上少于50。例如，如果行业参与者同意申请至少需要cal 2、asil b和“证明”sotif等级，则可以排除一些可能的组合。
[0135]
基于上述，可以使用各种编码来传输fusaassurancelevel和/或sotifassurancelevel。再次参考图3。
[0136]
在接收到消息350时，its-s发送实体310可以将v2x消息(示出为securedmessage 360)发送给智能运输系统中的另一its-s，诸如its-s接收或中继实体312。在希望发送v2x消息时，its-s发送实体310通常创建v2x消息，v2x消息包括证书(授权票据)和有效负载(例如，车辆当前位置、速度)；使用众所周知的哈希算法计算可变长度v2x消息的固定长度哈希；使用its-s发送实体的私钥对哈希进行签名；并且将签名附加到有效负载并且发送所得到的v2x消息。在这种情况下，授权票据包括上述新的fusa和/或sotif保证等级参数。
[0137]
在接收消息360时，its-s接收或中继实体312通常将证书机构的已知公钥应用于证书的签名块，以验证发送实体的身份和发送实体的公钥。
[0138]
its-s接收或中继实体312被预先编程有fusa(asil)等级，接收车辆的设计者认为该等级对于给定应用是必要的。如本文中使用的，该等级被指定为“demandedasil等级”。
[0139]
因此，当接收到消息360时，its-s接收或中继实体312将检查以确定消息是否满足demandedasillevel。现在参考图5。
[0140]
图5的过程从框510开始，并且进行到框512，其中its-s接收或中继实体312确定v2x消息是否已经被接收到。如果没有，则该过程将继续循环到框512，直到接收到v2x消息。
[0141]
一旦接收到v2x消息，该过程将进行到框520，其中进行检查，以确定v2x传输器的fusaassurancelevel(asil)(例如，从消息360中发现的its-s发送实体310)是否大于或等于接收实体的demandedasillevel。
[0142]
如果是，则该过程从框520进行到框530，其中接收v2x应用可以对v2x消息内容采取行动，而无需采取任何相应缓解行动，至少从fusa的角度来看是这样的。
[0143]
例如，如果v2x应用是紧急制动警告应用，则在框530，消息内容是可信的，并且可以用力踩下制动器，即使这可能会导致其他事故，比不用力踩下制动器的情况下发生的事故要轻。
[0144]
相反，如果框520的检查确定v2x传输器的fusaassurancelevel(asil)低于接收实体的demandedasillevel，则可能需要采取缓解措施，如框540所示。
[0145]
例如，在紧急制动警告应用的情况下，与框530相比，框540的消息内容可信度较低。在这种情况下，在等待进一步的确证证据(诸如前方车辆以紧急方式应用其制动器的视
觉证据)之前，仍可以更柔和地应用制动器。
[0146]
在某些情况下，认证的fusaassurancelevel与demandedasillevel之间的差异越大，接收实体对消息的反应就越谨慎，因此可以减少对消息的回应程度。例如，如果这两个等级之间存在较大差异，则车辆可能不会应用任何制动，而是可能会对制动器预充电。例如，这可能涉及启动液压系统，并且在人类驾驶员或自主机器人确实踩下制动器时，增加踩下制动器的力和速度。其他选项也是可能的。
[0147]
从框530或框540，该过程进行到框550并且结束。
[0148]
类似地，如果消息360包含sofitassurancelevel，则接收实体可以检查以确定该等级是否为“sotif接受释放的证据”。现在参考图6。
[0149]
图6的过程从框610开始，并且进行到框612，其中its-s接收或中继实体312确定v2x消息是否已经被接收到。如果没有，则该过程将继续循环到框612，直到接收到v2x消息。
[0150]
一旦接收到v2x消息，该过程将进行到框620，其中进行检查，以确定sofitassurancelevel是否为“sotif接受释放的证据”。如果是，则该过程从框620进行到框630，其中接收v2x应用可以对v2x消息内容进行到，而无需采取任何相应缓解措施。例如，使用紧急制动警告应用时，接收的消息内容值得信任，并且可以用力踩下制动器，即使这可能会导致其他事故，比不用力踩下制动器的情况下发生的事故要轻。
[0151]
相反，如果框620的检查确定sofitassurancelevel“没有sotif接受释放的证据”，则该过程从框620进行到框640，其中可能需要采取缓解措施。例如，在紧急制动警告应用的情况下，消息内容的可信度较低。在进一步证实前方车辆实际紧急制动的证据之前，可以更柔和地制动。
[0152]
从框630或框640，该过程进行到框650并且结束。
[0153]
此外，如果消息360包含保证等级的组合，诸如(网络安全)保证等级、fusaassurancelevel和/或sotifassurancelevel，则接收实体可以检查以确定这些等级是否满足最低要求。现在参考图7。
[0154]
图7的过程从框710开始，并且进行到框712，其中its-s接收或中继实体312确定v2x消息是否已经被接收到。如果没有，则该过程将继续循环到框712，直到接收到v2x消息。
[0155]
一旦接收到v2x消息，该过程将进行到框720，其中进行检查，以确定所有保证等级是否满足托管v2x接收器的实体的设计者确定的最低要求。例如，最低要求可以包括sotif保证等级“可接受释放”，asil等级超过某一值，网络安全等级超过某个值。
[0156]
如果是，则该过程从框720进行到框730，其中接收v2x应用可以对v2x消息内容采取行动，而无需采取任何相应缓解措施。例如，使用紧急制动警告应用时，接收的消息内容值得信任，并且可以用力踩下制动器，即使这可能会导致其他事故，比不用力踩下制动器的情况下发生的事故要轻。
[0157]
相反，如果框720的检查确定未满足最低要求，则该过程从框720进行到框740，其中可能需要采取缓解措施。例如，在紧急制动警告应用的情况下，消息内容的可信度较低。在进一步证实前方车辆实际紧急制动的证据之前，可以更柔和地制动。
[0158]
框740的缓解措施可以取决于未满足最低要求的程度。例如，在一个实施例中，考虑到功能安全、sotif和网络安全中的每个，要采取的缓解措施的程度是任何这些指定的“不平等测试”中的最大的缓解措施，如图5和图6中定义的。
[0159]
在另一实施例中，如果多个测试失败，则指定的缓解措施甚至大于任何个体测试失败的缓解措施。例如，在一个实施例中，当个体fusa测试或个体sotif测试失败时，可以更柔和地应用制动器。然而，如果fusa和sotif“不平等测试”均失败，则车辆根本不会应用制动器，但可能会对制动器预充电，预充电表示当人类驾驶员或自动机器最终应用制动踏板时，制动可能会更快并且具有增强的力度。
[0160]
从框730或框740，该过程进行到框750并且结束。
[0161]
聚合保证等级/信任等级
[0162]
在另一实施例中，对于网络安全、fusa和/或sotif中的每个，可以提供聚合保证等级(aal)，而不是在消息(诸如消息360)中提供保证等级细分。
[0163]
聚合保证等级的一个示例如下表10所示。
[0164][0165]
表10：可能的聚合保证等级的示例
[0166]
然而，表10的示例仅用于说明，对于本领域技术人员来说，考虑到本公开，其他类似的聚合表设计将是很清楚的。因此，表10的示例仅用于说明如何将可能较大的组合集减少为较小数目的聚合保证等级。
[0167]
在另外的实施例中，表10中的aal数字可以与指示信任等级的单词相关联，诸如“低”、“中”、“高”等。
[0168]
利用这样的聚合保证等级，ieee 1609.2中当前定义的证书格式和对应etsi规范可以保持不变，但会重新定义assurancelevel的含义。特别是，assurancelevel可以与聚合保证等级相关联，而不是与当前使用的网络安全(tal)等级相关联。
[0169]
具体地，在现有方案中，与给定v2x模块规范id相关联的保证等级存储在从注册机构可访问的数据库中。在本文中描述的实施例中，该保证等级的含义将发生变化。
[0170]
与这样的变化相关联的消息可以如下。参考图2。当授权机构216向注册机构214发送authorizationvalidationrequest消息232时，注册机构215用authorizeationvalidationresponse消息234进行响应，authorizeationvalidationresponse消息234包括confirmedsubjectattributes，其中的一个是现在具有新含义的assurancelevel。授权机
构216向it s-s发送实体210提供的授权票据中提供有该assurancelevel。
[0171]
在接收实体，需要根据新的给定“信任等级”或“聚合保证等级”决定应当采取什么措施。如本文中使用的，术语“信任等级”和“聚合保证等级”可以互换使用，也可以使用类似术语。
[0172]
基于给定信任等级的这样的决策如图8所示，图8示出了紧急制动警告应用的情况。然而，紧急制动警告应用的使用仅作为示例提供，其他应用也可以类似地使用聚合保证等级或信任等级。
[0173]
图8的过程从框810开始，并且进行到框812，其中接收实体确定v2x消息是否已经被接收到。如果没有，则该过程将继续循环到块812，直到接收到v2x消息。
[0174]
一旦接收到v2x消息，该过程将进行到框820，其中进行检查，以确定接收的消息的认证信任等级是否大于或等于3。如果是，则该过程可以从框820进行到框822，其中接收v2x应用可以对v2x消息内容采取行动，而无需采取任何相应缓解措施。在紧急制动警告应用的示例中，消息内容是可信的，并且可以用力踩下制动器，即使这可能会导致其他事故，比不用力踩下制动器的情况下发生的事故要轻。
[0175]
相反，如果认证信任等级不大于或等于3，则该过程将进行到框830，其中将进行检查以确定认证信任等级是否等于2。如果是，则该过程进行到框832，其中可以采取一些缓解措施。例如，在进一步证实(诸如，前方车辆实际紧急踩下制动器的可视化证据)之前，可以轻轻踩下制动器。
[0176]
如果框830的检查确定认证信任等级不等于2，则过程将进行到框840，其中认证信任等级必须等于1。然后，该过程进行到框842，其中可以采取更严厉的缓解措施。例如，车辆不会施加任何制动，但可能会对制动器预充电。对制动器预充电可以包括启动液压系统，并且在人类驾驶员或自主机器人确实踩下制动器时，增加踩下制动器的力和速度。
[0177]
从框822、832或842，该过程进行到框850并且结束。
[0178]
关于聚合保证等级或信任等级的编码，以上关于图3或图4讨论的所有方法都可以应用于聚合保证等级和信任等级的编码。
[0179]
这包括在一个实施例中重新定义证书中保证等级的含义。
[0180]
在另一实施例中，编码可以将聚合的保证等级或信任等级作为项目包括在apppermissionsandassurance信息元素中。
[0181]
在另一实施例中，对聚合保证等级的编码可以包括ssp信息元素中的这样的项目，例如如图4所述。具体地，如果使用聚合保证等级或信任等级方法，则也可以在与ssp相关联的八位字节内对该信息进行编码。对于每个可能的psid/ssp组合，可以选择针对(多个)保证等级使用相同编码。
[0182]
处理隐私问题
[0183]
在某些情况下，隐私可以是与上述实施例相关的问题。具体地，将fusa等级或sotif等级添加到证书可能会降低传输v2x消息的车辆的隐私。对于不同的应用，如果有不同的值，这个问题可能会更加明显。该信息与消息中的其他静态或半静态信息相结合可以提供特定车型特有的“指纹”，从而使车辆跟踪更容易。
[0184]
在第一实施例中，克服隐私问题的一个选项是向its-s颁发两倍的授权票据/匿名证书。第一票据集具有授权等级，而另一集不具有授权等级。在这种情况下，当要传输的消
[0198]
表11：可能的“信任等级”定义的示例
[0199]
然而，表11的示例仅用于说明目的，在其他实施例中，这样的信任等级的不同定义是可能的。
[0200]
硬件
[0201]
v2x实体、v2x客户端、注册机构、证书机构、授权机构或网络服务器或节点可以是任何类型的计算设备。例如，关于图9，提供了一种可以执行上述实施例的简化计算设备。
[0202]
在图9中，计算设备910包括处理器920和通信子系统930，其中处理器920和通信子系统920合作以执行本文所述实施例的方法。
[0203]
处理器920被配置为执行可编程逻辑，该可编程逻辑可以与数据一起存储在计算设备910上，并且在图9的示例中示出为存储器940。存储器940可以是任何有形的非暂态的计算机可读存储介质，诸如dram、flash、光盘(例如，cd、dvd等)、磁带(例如，磁带)、闪存驱动器、硬盘驱动器、或本领域已知的其他存储器。在一个实施例中，处理器920也可以完全用硬件实现，并且不需要任何存储程序来执行逻辑功能。
[0204]
备选地或除了存储器940，计算设备910还可以从外部存储介质访问数据或可编程逻辑，例如通过通信子系统930。
[0205]
通信子系统930允许计算设备910与其他设备或网络元素通信。
[0206]
在一个实施例中，计算设备910的各个元素之间的通信可以通过内部总线960。然而，其他形式的通信也是可能的。
[0207]
本文中描述的实施例是具有与本技术的技术的元素相对应的元素的结构、系统或方法的示例。本书面描述可以使得本领域技术人员能够制作和使用具有备选元素的实施例，备选元素同样对应于本技术技术的元素。因此，本技术的技术的预期范围包括与本文中描述的本技术的技术没有区别的其他结构、系统或方法，还包括与本文中描述的本技术技术无实质区别的其他结构、系统或方法。
[0208]
虽然在附图中以特定顺序描述了操作，但这不应当理解为要求这样的操作按照所示的特定顺序或以依次顺序执行，或者要求执行所有图示操作，以获取理想的结果。在某些情况下，可以使用多任务和并行处理。此外，上述实现中不同系统组件的分离不应当理解为在所有实现中都需要这样的分离，应当理解，所描述的程序组件和系统通常可以集成在一个软件产品中或打包成多个软件产品。在某些情况下，功能可以完全在硬件中执行，并且这样的解决方案在功能上可能等同于软件解决方案。
[0209]
此外，在各种实现中描述和说明为离散的或单独的技术、系统、子系统和方法可以与其他系统、模块、技术或方法组合或集成。示出或讨论为彼此耦合或直接耦合或通信的其他项目可以通过某种接口、设备或中间组件间接耦合或通信，无论是电气、机械还是其他。本领域技术人员可以确定并且可以进行改变、替换和变更的其他示例。
[0210]
虽然上述详细描述已经示出、描述并且指出了本公开应用于各种实现的基本新颖特征，但应当理解，本领域技术人员可以对所示系统的形式和细节进行各种省略、替换和改变。此外，方法步骤的顺序并且不取决于它们在权利要求中的出现顺序。
[0211]
当向电子设备发送消息或从电子设备发送消息时，这样的操作可能不会立即进行，也不会直接从服务器进行。它们可以从支持本文所述设备/方法/系统的服务器或其他计算系统基础设施同步或异步递送。上述步骤可以全部或部分包括与设备/基础设施的同
步/异步通信。此外，通信可以是从电子设备到网络上的一个或多个端点。这些端点可以由服务器、分布式计算系统、流处理器等提供服务。内容交付网络(cdn)也可以向电子设备提供通信。例如，与典型的服务器响应不同，服务器还可以为内容交付网络(cdn)提供或指示数据，以等待稍后由电子设备下载，例如电子设备的后续活动。因此，数据可以直接从服务器或其他基础设施(诸如分布式基础设施或cdn)发送，该基础设施是系统的部分或独立于系统。
[0212]
通常，存储介质可以包括以下中的任何或某种组合：半导体存储器设备，诸如动态或静态随机存取存储器(dram或sram)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器和闪存；磁盘，诸如固定、软盘和可移动磁盘；另一磁性介质，包括磁带；光盘(诸如，压缩光盘(cd)或数字视频光盘(dvd))；或其他类型的存储设备。注意，上述指令可以在一个计算机可读或机器可读存储介质上提供，或者也可以在分布在可能具有多个节点的大型系统中的多个计算机可读/机器可读存储介质上提供。这样的计算机可读或机器可读存储介质被视为物品(或制品)的部分。物品或制品可以是指任何制造的单个组件或多个组件。一种或多种存储介质可以位于运行机器可读指令的机器上，也可以位于远程站点处，可以通过网络从该远程站点下载机器可读指令以执行。
[0213]
在上述描述中，阐述了很多细节，以提供对本文中公开的主题的理解。然而，在实践中可以没有这些细节。其他实现可以包括对上述细节的修改和变化。所附权利要求旨在涵盖这样的修改和变化。