用于处理V2X消息的方法和电子车辆系统与流程

本发明涉及一种用于处理v2x消息的方法和对应电子车辆系统，并且涉及一种包括该车辆系统的车辆。

背景技术：

1、在被发送之前，车辆对x(v2x)消息通常经过加密签名，以使接收方能够验证接收到的消息的完整性，例如，确保发送后内容未发生篡改。术语“车辆对x”或“v2x”在本披露中可互换使用。

2、本质上，可以区分用于消息验证的两种程序或测试方案：

3、-验证所有接收到的消息(被称为全部验证)或者

4、-按需验证接收到的消息(被称为按需验证)，其中，特别是只验证那些需要接收方发出警告或采取动作的消息。

5、特别地，全部验证方法对提供用于实现所有传入消息的验证的计算资源具有相对较高的要求。通常，这些数据处理设备只能通过加密曲线和密钥长度的给定组合来处理所需消息速率。随着密钥变得越来越长或加密曲线变得越来越复杂，无法再处理足够数量的消息。另一方面，按需验证的管理越来越复杂，并且在基于传入消息做出决策后会增加等待时间。

6、通过援引并入本文的美国专利2009/047929描述了一种认证方法，该方法可以由配备有远程信息处理的车辆用来认证sms消息，并提供超出sms协议的附加安全特征。一般地，呼叫中心使用数学函数来得到安全代码，然后向配备有远程信息处理的车辆发送包含与得到的安全代码相关的信息的sms消息。配备有远程信息处理的车辆可以使用传输的信息来认证sms消息的发送方或消息的内容。

7、通过援引并入本文的美国专利6,647,270b1描述了一种用于在具有宽带rf收发器和天线的多个移动单元之间提供通信链路的系统。该系统描述了多个移动单元之间的多个数据包，其中，每个单元具有唯一标识符。数据包由多个数据字段构成，包括发射器信息和接收器信息，发射器信息具有发射器的唯一标识符和从通过gps接收器获得的位置信号得到的信息。接收器信息包括所需远程单元的地址。

8、通过援引并入本文的美国专利2011/304425披露了一种被配置为在自组织无线网络中操作的通信系统，该系统包括被配置为发送和接收消息的传输设备、被配置为使用消息生成分级签名的签名模块、以及被配置为分级验证分级签名消息的预定部分的验证模块。

9、us2011/0238997描述了一种计算高效的消息验证策略，该策略结合使用数字签名和tesla-mac的组合来认证消息的广播认证协议，实现了不拒绝和抵御计算机辅助的拒绝服务攻击，该专利通过援引并入本文。当消息由接收方接收时，验证策略将消息分成具有相同发送方标识的消息。然后，该策略确定tesla-mac认证器对每条消息是否有效，并丢弃不具有有效tesla-mac的消息。该策略收集对每个发送方标识符都具有有效tesla-mac的消息，并对消息组执行批量验证过程，以确定该组中的消息是否具有有效数字签名。如果批量验证过程示出消息组具有有效数字签名，则该策略验证消息组中的每条消息。

10、通过援引并入本文的美国专利2009/0254754a1提供了一种用于车辆对车辆通信系统的系统和方法，该系统和方法提供了使用唯一签名进行简单地理认证的主动安全应用。该系统和方法要求每个车辆创建其轨迹的离散化表示，该离散化表示以可调整的精确度和可调整的范围记录其过去的运动历史。然后用唯一签名对该轨迹信息进行签名。因此，对于每个周期性消息，发送车辆发送标准应用有效载荷、轨迹的签名版本以及所有字段的数字签名。

11、通过援引并入本文的de 102004056724 a1描述了一种用于在具有直接车辆-车辆通信的通信网络中传输数据的方法，其中，接收车辆从发射车辆接收通信信号。接收车辆确定或更新信任信息，该信任信息用于确定由发送车辆发送的数据是否可信和/或由发送车辆发送的数据的可信度。通过使用由可信机构发布的和/或由通信网络中的设备通过使用来自可信机构发布的第一证书的信息生成的用户证书来获得信任信息。

12、为了减少验证接收到的车辆对x消息所需的计算负载，在krishnan、hariharan、weimerskirch、andre于2011年4月12日出版的："verify-on-demand"-a practical andscalable approach for broadcast authentication in vehicle safetycommunication[“按需验证”——一种用于车辆安全通信中的广播认证的实用且可扩展的方法]，汽车工程师学会(sae)技术论文系列，issn 0148-7191，第1-11页(通过援引并入本文)中，描述了一种用于按需验证接收到的车辆对x消息的方法，其中，仅针对高于指定安全风险阈值的消息执行验证。

13、通过援引并入本文的de 102007053255 a1披露了一种用于在消息处理设备中处理消息的方法，其中，根据消息内容确定接收到的消息的安全性验证的优先级度量，并且根据每条消息的安全性验证的优先级度量的值，考虑这些消息的相应认证元素，定义和实施用于安全性验证的进一步消息处理的处理序列。例如，可以根据基于消息内容识别的即将发生的威胁情况来确定优先级度量。

14、通过援引并入本文的美国专利2010/0049976a1提供了一种用于在资源受限系统中对数据进行自适应验证的系统和方法，其中，选择合适的验证模式，以在成本、性能要求和安全性要求之间取得平衡。算法使用信任等级来衡量接收到的消息的有效性，并将该信任等级分配到一个刻度上，该刻度的一端是善意消息，而该刻度的另一端是恶意消息。根据信任等级的刻度和/或高速缓冲存储器中未处理数据的量，确定将使用哪种验证模式来认证消息。

15、通过援引并入本文的de 102012204880 b4涉及一种用于选择性地测试接收到的车辆对x消息的数据安全序列的方法，其中，在车辆对x通信系统的操作周期内接收和/或发送多个车辆对x消息，其中，车辆对x消息包括数据安全序列，其中，在操作周期期间通过检查数据安全序列来执行对接收到的车辆对x消息的可靠性评估，并且其中，在操作周期期间读取接收到的车辆对x消息的信息内容，而无需预先检查数据安全序列，其中，在操作周期内基于信息内容选择接收到的车辆对x消息的数量的子集，并且只检查所选择的车辆对x消息的数据安全序列，并且基于信息内容通过考虑信息内容与通过至少一个环境传感器收集的信息的信息内容的比较来进行选择，其中，不选择信息内容与通过至少一个环境传感器收集的信息的信息内容相匹配的车辆对x消息。

16、通过援引并入本文的wo 2020064066 a1涉及一种用于过滤车辆对x消息的方法，其中，接收多个车辆对x消息，并且调整用于过滤接收到的车辆对x消息的过滤参数，其方式为使得从接收到的多个车辆对x消息中丢弃多个车辆对x消息，处理剩余数量的车辆对x消息。该调整是作为校正值的函数进行的，该校正值用于描述在指定时间段内要处理的车辆对x消息的数量与旨在在指定时间段内处理的车辆对x消息的数量之间的偏差。这确保了过滤参数的连续动态适应，其方式为使得要处理的车辆对x消息的数量能够实现最佳资源利用。

技术实现思路

1、本发明的一方面可以被认为是提供一种允许实现对接收到的车辆对x消息进行资源节约型验证的手段。

2、这通过根据所描述的实施例中的至少一个的方法或电子控制设备来实现。

3、根据第一方面，本披露涉及一种用于通过电子车辆系统处理v2x消息的方法，该方法包括以下步骤：

4、-由验证设备接收v2x消息，特别是用于检查v2x通信设备的v2x消息的数据内容的完整性；

5、-确定该v2x消息是否应由该验证设备验证，并且如果未对该v2x消息执行验证：

6、o则将未验证的v2x消息或该未验证的v2x消息的至少一部分消息内容转发到处理设备，其中，该处理设备基于该部分消息内容来确定是否应发起动作；

7、o如果确定应发起动作，则验证该v2x消息。

8、基本思想是提供一种改进的方法来验证接收到的车辆对x消息，特别是通过全部验证和按需验证程序的优化组合。利用所描述的解决方案，可以实施灵活的验证，并且可以对加密算法和/或消息签名的变化执行动态响应，而无需更新基本验证方法。

9、例如，处理设备是电子控制单元和/或计算设备。根据扩展，处理设备与验证设备或车辆对x通信设备分离。例如，处理设备形成辅助驾驶系统和/或(部分)自动驾驶系统的电子控制单元。特别地，处理设备被设计为处理消息内容或接收到的消息，并基于对至少一部分消息内容的评估来发起动作。对是否应采取动作的评估不需要基于整个消息内容，但也可以基于接收到的消息内容部分的一部分。

10、处理设备基于该部分消息内容确定是否应采取动作。根据至少一个实施例，如果特别是通过考虑该部分消息内容和/或从车辆传感器和/或其他来源获得的信息，确定存在或可能即将发生可能对道路使用者造成伤害的安全关键情况，则认为应发起动作。安全关键情况例如是与另一道路使用者和/或另一对象发生碰撞。因此，要发起的动作应特别理解为为了避免事故而采取的解决安全关键情况的动作。在这个意义上，动作的发起可以包括由处理设备发出信号以向车辆的驾驶员和/或其他道路使用者输出警告信号。特别地，可以经由v2x通信设备向其他道路使用者发射警告。因此，措施的发起也可以包括通过制动器接合来干预车辆的动态，为此，处理设备可以被设计为例如向电子控制设备输出用于改变动态响应的信号以激活制动器。

11、在确定是否应对v2x消息执行验证的步骤中，区分全部验证与按需验证，其中，特别地，调用至少一个决策标准来进行确定。例如，如果验证接收到的消息的验证设备可以提供足够的资源，则全部验证方法是验证传入消息的最简单且最直接的方式。根据至少一个实施例，还可以调用至少一个替代性或补充标准，以确定接收到的v2x消息是否应由验证设备验证。在这个意义上，全部验证仅形成按需验证的一种特殊情况，所有传入消息在消息被转发之前都要经过验证，并且处理设备至少部分地使用消息所包含的消息内容来基于消息内容确定要采取的任何动作。消息内容应特别理解为意指接收到的消息的有效载荷或包含在消息中的信息。

12、当执行按需验证时，如果验证设备确定未对v2x消息执行验证，则消息或至少一部分消息内容仍然被转发到处理设备，并且处理设备基于接收到的v2x消息的消息内容来确定是否应发起动作，然后如果应发起动作，则验证v2x消息。特别地，可以确保即使在执行按需验证时，也能对需要发起动作的消息进行评估和验证，并且发起措施，这因此可以避免交通中的任何安全关键情况。

13、根据至少一个实施例，如果确定应发起动作，则通过向验证设备发出指令信号来触发处理设备对v2x消息的验证和/或处理设备本身执行验证。消息或消息内容原则上可以由处理设备和/或验证设备存储。

14、根据至少一个实施例，对是否应验证v2x消息的确定取决于描述该验证设备的计算负载的值，其中，如果描述该验证设备的计算负载的值低于第一阈值，则由该验证设备验证接收到的v2x消息，并且如果描述该验证设备的计算负载的值高于第二阈值，则使用至少一个进一步的标准来确定是否应验证该v2x消息。第一阈值与第二阈值之间的差产生滞后，这使得能够以更少的切换操作实现更一致的行为。

15、根据至少一个实施例，如果描述验证设备的计算负载的值低于第一阈值，则发生从按需验证到全部验证的切换。因此，描述计算负载的值形成了用于确定是否应验证接收到的v2x消息的标准。

16、根据至少一个实施例，如果描述验证设备的计算负载的值超过第二阈值，则执行从全部验证到按需验证的切换。有利地，第二阈值可以被设计为使得防止验证设备的计算资源由于接收速率的增加而突然过载，并且防止在全部验证仍处于启用状态时，对新传入消息的验证被大大延迟或暂时虚拟禁用，但是另一方面，全部验证也可以尽可能长时间地保持激活。

17、描述计算负载的值可以例如通过检测验证设备本身的计算负载和/或接收到的消息的速率(接收速率)和/或验证设备的温度来表示。

18、根据至少一个实施例，接收到的v2x消息的速率基于特定位置存储在数据存储器中，并且根据执行该方法的控制设备的确定位置从该数据存储器中检索。数据存储器可以是供应设备(例如，中央服务器)的一部分，或者是还包括控制设备的设备的一部分。可以通过无线数据通信接口请求中央服务器提供位置相关的接收速率，通过发射确定的位置来确定分配的接收速率。因此，接收速率也可以实施为地图的位置相关的元信息。

19、根据至少一个实施例，执行对接收到的v2x消息的速率的位置相关的确定，其中，基于特定位置确定的该速率存储在该数据存储器中。例如，这些确定的位置相关的值可以作为位置相关的元数据存储在地图中。特别地，可以生成新数据以及添加和/或更新现有值，以描述位置相关的接收速率。

20、地图和/或用于描述发生消息速率的值可以存储在基本设备(如车辆)的数据存储器中，和/或可以通过适当数据连接从供应设备(如服务器)外部提供。

21、根据至少一个实施例，确定是否应验证该v2x消息的结果取决于该v2x消息所使用的加密算法和/或所使用的曲线和/或所使用的密钥长度。所使用的加密算法和/或所使用的曲线和/或所使用的密钥长度还特别表示描述验证设备正在执行验证时验证设备上的计算负载的值的指标。

22、所使用的加密算法和/或所使用的曲线和/或所使用的密钥长度特别应意指由消息的发送方应用的加密算法和/或所使用的曲线和/或所使用的密钥长度。

23、根据至少一个实施例，作为确定是否应验证该v2x消息的结果，考虑到该验证设备的可用资源，如果其加密算法和/或曲线和/或密钥长度不允许该验证设备在等于或小于时间阈值的时间段内验证该v2x消息，则不验证该接收到的v2x消息。根据至少一个实施例，在确定是否应验证该v2x消息的步骤中，考虑到该验证设备的可用资源，如果其加密算法和/或曲线和/或密钥长度允许该验证设备在低于时间阈值的时间段内验证该v2x消息，则确认将对该接收到的v2x消息执行验证。考虑到可用的计算资源，这允许对尽可能多的接收到的消息进行验证。特别地，如果接收到的消息的验证对要提供的计算资源提出了相对较高的要求，或者如果验证设备对接收到的消息的验证甚至不可行，例如由于验证设备不支持加密算法，则不验证和/或不进一步处理和/或丢弃接收到的消息。

24、根据扩展，未被验证的接收到的消息可以被转发到基础接收设备的处理设备以进行验证。基本接收设备例如是还包括验证设备的车辆。

25、根据至少一个实施例，根据所使用的加密算法和/或曲线和/或密钥长度，该v2x消息被分配到至少两个类别中的一个类别，其中，在分配到第一类别的情况下，确定是否应验证该v2x消息的该结果是不执行验证。可以将多个加密算法和/或曲线和/或密钥长度分配给第一类别和/或至少一个附加类别。分配给第一类别的至少一个加密算法和/或分配给第一类别的至少一条曲线和/或分配给第一类别的至少一个密钥长度有利地不同于分配给至少一个附加类别的至少一个加密算法和/或曲线和/或密钥长度。根据扩展，对于第二类别的v2x消息，在确定是否应对v2x消息执行验证的步骤中，通常确定应执行验证，其中，验证的执行可以附加地取决于所描述的其他替代或补充标准中的一些替代或补充标准。

26、根据至少一个实施例，相应发送方的首次接收到的v2x消息都会无一例外地得到验证。以这种方式，就可以建立基本信任，即发送方为接收者所知。根据扩展，由已知发送方发送的接收到的消息不一定会被验证，而会根据本披露中描述的其他条件中的一些条件进行验证或处理。

27、根据至少一个实施例，该验证设备发出用于描述接收到的消息的当前验证状态和/或用于描述当前验证方案的状态信息，以供该处理设备接收。这允许告知处理设备消息是否已经被验证和/或当前哪个验证方案是活动的。验证设备还可以告知处理设备特别是关于使用哪种验证方法以及这将产生什么影响。这些状态信息项既可以在基本系统的通信网络中被普遍知晓，也可以经由消息(如果使用混合方法)被知晓。例如，在处理设备处理一个或多个消息内容或v2x消息期间，如果验证设备使用的测试方案发生变化，则由于处理设备不断获得有关v2x消息的当前验证状态的直接或间接信息，可以避免由于验证状态未知而导致的未定义状态。

28、处理设备有利地确定v2x消息的验证状态，并且如果尚未对消息执行验证且满足基于要发起的动作的验证要求，则向验证设备输出用于触发验证的指令信号。如果v2x消息的验证状态指示v2x消息已经被验证，则可以在必要时立即发起相关动作。

29、根据扩展，如果处理设备没有触发验证，则可以计划丢弃接收到的v2x消息或消息内容。替代性地，也可以提供的是，即使处理设备未触发验证，也要进一步处理消息内容或v2x消息，特别是由处理设备处理，其中，这种情况可以特别适用于不会造成任何安全风险的消息内容。也可以向验证设备发出指令信号以停止验证。

30、根据至少一个实施例，该验证设备发出用于描述该未验证的v2x消息的估计验证时间的等待时间信息，以供该处理设备接收。例如，通过考虑验证时间，即使由于第一条消息的验证失败和第二条消息的验证成功而导致接收时间不同，也可以将由处理设备接收到的具有中间时间间隔的两条消息/消息内容分配给彼此。

31、根据至少一个实施例，该等待时间信息用于确定是否应发起动作。由于等待时间可能会对作为验证结果要采取的动作的选择产生重大影响，因此在确定措施时，对等待时间的考虑已经是安全关键的。例如，如果基于未验证消息的消息内容检测到给定的动态响应可能发生碰撞，则考虑到尚未执行验证所导致的等待时间，紧急制动可能被证明不适合作为避免碰撞的措施。如果多条消息的消息内容用于或应用于评估是否得到动作，则有利地增加了这些消息的验证等待时间，至少在验证不是并行执行的情况下是这样。

32、根据另一方面，本披露涉及一种用于处理v2x消息的电子车辆系统，该电子车辆系统包括用于验证接收到的v2x消息的验证设备和用于处理v2x消息和/或接收到的v2x消息所包含的消息内容的处理设备。该电子车辆系统被配置为执行所描述的方法的至少一个实施例。

33、根据另一方面，本披露涉及一种车辆，该车辆包括所描述的电子车辆系统。车辆可以是机动车辆(特别是客运机动车辆)、重型货车、摩托车、电动机动车辆或混合动力机动车辆、水上运载车辆或飞行器。

34、在指定电子车辆系统的扩展中，该系统包括数据存储器。在这种情况下，所指定的方法以计算机程序的形式存储在存储器中，并且计算设备被提供用于当计算机程序从存储器加载到计算设备中时执行该方法。计算设备可以是被设计为处理数据的任何设备。特别地，计算设备可以是处理器，如asic、fpga、数字信号处理器、中央处理单元(cpu)、多用途处理器(mpp)等。

35、根据另一方面，一种计算机程序包括程序代码装置，以便当计算机程序在计算机或指定设备中的一个设备上执行时执行指定的方法之一的所有步骤。

36、根据本发明的另一方面，一种计算机程序产品包含存储在计算机可读数据存储介质上的程序代码，并且当在数据处理设备上执行时，该程序代码执行指定的方法之一。