CN111684764B - 使用盲激活码进行数字证书撤销的密码方法和系统 - Google Patents

使用盲激活码进行数字证书撤销的密码方法和系统 Download PDF

Info

Publication number
CN111684764B
CN111684764B CN201980011608.5A CN201980011608A CN111684764B CN 111684764 B CN111684764 B CN 111684764B CN 201980011608 A CN201980011608 A CN 201980011608A CN 111684764 B CN111684764 B CN 111684764B
Authority
CN
China
Prior art keywords
certificate
activation code
digital
entity
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201980011608.5A
Other languages
English (en)
Other versions
CN111684764A (zh
Inventor
小马科斯·A·西姆普利西
爱德华多·卢斯·科米尼特
哈什·库瓦德帕蒂尔
杰斐逊·E·里卡蒂尼
马科斯·维尼修斯·M·西尔瓦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Universidade de Sao Paulo USP
LG Electronics Inc
Original Assignee
Universidade de Sao Paulo USP
LG Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Universidade de Sao Paulo USP, LG Electronics Inc filed Critical Universidade de Sao Paulo USP
Publication of CN111684764A publication Critical patent/CN111684764A/zh
Application granted granted Critical
Publication of CN111684764B publication Critical patent/CN111684764B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Traffic Control Systems (AREA)

Abstract

为了撤销数字证书(160p),通过扣留来自证书用户(110)的激活码来阻止数字证书的激活。证书由多个实体(210、220、838)在鲁棒过程中生成,该鲁棒过程即使在一些实体合谋的情况下也保存用户隐私(例如匿名)。过程例如作为针对安全凭证管理系统(SCMS)的改进适合于连网车辆。

Description

使用盲激活码进行数字证书撤销的密码方法和系统
相关申请的交叉引用
本申请要求于2018年2月5日提交的美国临时专利申请号62/626,672“METHOD FOREFFICIENT AND SECURE REVOCATION OF PSEUDONYM CERTIFICATES USING ACTIVATIONCODES(使用激活码有效且安全地撤销假名证书的方法)”的优先权,其通过引用并入本文。
版权声明
本专利文档的公开内容的一部分包含受版权保护的材料。版权所有者不反对任何人对专利文档或专利公开内容的传真复制,因为它出现在专利商标局的专利文件或记录中,但是无论如何保留所有版权权利。
技术领域
本发明涉及安全通信,包括汽车、卡车、火车和可能的其它车辆以及行人的智能电话、交通灯和其它基础设施之间的交通相关通信。
背景技术
最近,嵌入在物理对象中的数字技术已激增,导致了现今所谓的物联网(IoT)。这种趋势也已到达汽车工业,汽车工业对利用诸如统称为车辆对一切(V2X)通信的车辆对车辆(V2V)、车辆对基础设施(V2I)和车辆对行人(V2P)的交互模型的兴趣日益增长。V2X使得能够实现旨在改进交通安全、效率和人机交互的若干应用。例如,利用V2X,车辆能够交换或传送信息(例如,以得到速率、方向和制动状态),这些信息能够帮助驾驶员在维持合适的速度的同时与其它车辆保持安全距离。
实际上,美国交通部已发起了“连网车辆”项目以“测试并评价将使得汽车、公共汽车、卡车、火车、道路和其它基础设施以及我们的智能电话和其它设备能够相互‘交谈’的技术。例如,高速公路上的汽车将使用短距离无线电信号来相互通信,所以道路上的每个车辆会知道其它附近的车辆在哪里。驾驶员会接收到危险情形(诸如有人即将在他们[正在]接近十字路口时闯红灯或弯道外看不见的迎面而来的汽车正在转向进入其车道以避开道路上的物体)的通知和警报”。美国交通部https://www.its.dot.gov/cv_basics/cv_basics_what.htm。“连网车辆能显著地减少由我们的道路和高速公路上的事故所引起的死亡和重伤数。[他们]也承诺增加交通选项并减少行程时间。交通管理人员将能够利用可用的高级通信数据更容易地控制交通流量并且防止或减轻发展中的拥堵。这能够通过帮助消减燃料消耗并减少排放对环境具有重大影响。”
虽然V2X技术和连网车辆提供提高的安全、交通流量、效率等的承诺,但此类技术的大规模部署还需要解决一些挑战,尤其是安全和隐私担忧。特别地,V2X架构预期(1)确保在车辆之间交换的消息是合法的,从而禁止行为不当的用户,同时(2)保存诚实的用户的匿名,如此其移动不能够被其它车辆或者被系统它本身容易地跟踪。
为了确保在车辆之间交换的消息是合法的,车辆可以使用车辆的私有密钥来对每个消息进行数字签名。消息接收者能够使用发送的车辆的公有密钥来验证签名。公有密钥本身是借助于数字证书来认证的,这些数字证书证明给定的公有密钥属于经授权的车辆。证书由称作证书授权机构(CA)的受信任的计算机实体分发。每个证书由CA签名,允许消息接收者通过验证CA签名来确认证书的真实性。
如果车辆行为不当,则应该撤销车辆的证书。因此,受信任的实体周期性地分发识别被撤销的证书的证书撤销列表(CRL)。然而CRL大小与被撤销的证书或被撤销的车辆的数目直接成正比,并且可能很大,尤其是因为单个车辆可以具有与不同的有效期相对应的多个证书。另外,车辆可以具有与相同的有效期相对应的多个证书,以使车辆变得难以由恶意人员追踪,并且这进一步增加CRL大小。
为了减小CRL大小,证书撤销能够使用激活码。当车辆接收到证书时,车辆不能够在没有激活码的情况下对证书进行解密。然而,用于每个证书的激活码仅在证书的有效期之前不久才被提供给车辆。参见例如E.Verheul,“Activate later certificates forV2X-combining ITS efficiency with privacy,”Cryptology ePrint Archive,Report2016/1158,2016,(“激活稍后用于V2X的证书-结合ITS效率与隐私”,密码学ePrint存档,报告2016/1158,2016年)http://eprint.iacf.org/2016/1158;以及V.Kumar,J.Petit和W.Whyte,“Binary hash tree based certificate access management for connectedvehicles,”in Proc.of the 10th ACM Conference on Security and Privacy inWireless and Mobile Networks,ser.WiSec’l7.New York,NY,USA:ACM,2017,pp.145-155(“基于二进制哈希树的用于连网车辆的证书访问管理”,第10届无线与移动网络中的安全与隐私ACM会议会报,ser.WiSec’17,纽约,NY,USA:ACM,2017,pp.145-155);两者均通过引用并入本文。为了提高证书生成过程的效率,证书是可能在它们相应的有效期之前很久分批地生成的,但是如果证书被撤销,则在尚未颁发激活码的情况下不必将它包括在CRL中。因此减小了CRL大小。
期望在提供并激活证书时减少计算成本和网络带宽。另外,证书的使用由于需要确保不诚实的或“诚实但好奇”证书管理实体即使合谋也不能够容易地损害系统而变复杂。期望减少由证书管理实体带来的安全风险。
发明内容
本部分概括了本发明的一些特征。可以在后续部分中描述其它特征。本发明由所附权利要求限定,所附权利要求通过引用并入到本部分中。
本公开的一些实施例提供了使用激活码的证书管理技术。能够改造现有的证书管理系统中的一些来以仅最小附加计算成本和带宽利用率使用根据本公开的一些实施例的激活码技术。另外,即使一些证书管理实体合谋,也保护用户隐私(匿名)。
除了由所附权利要求限定之外,本发明不限于上述特征。
附图说明
图1图示本公开的系统和方法能够操作的环境。
图2是用于在示例环境中使用的计算设备的框图。
图3A和3B两者是示例环境中的车辆和其它装备之间的通信的表示。
图4、图5A和图5B图示用于消息认证的数字证书的示例。
图6是图示适合于数字证书管理的计算机系统架构的框图。
图7和图8是图示用于生成数字证书的现有技术过程的流程图。
图9图示根据现有技术的证书撤销方案中使用的数据结构。
图10A、图10B、图11A、图11B是图示在本公开的一些实施例中使用的证书颁发技术的流程图。
图12图示包括在本公开的一些实施例中使用的一些技术的证书撤销技术的比较。
图13图示在本公开的一些实施例中使用的哈希树。
图14A、图14B图示在本公开的一些实施例中使用的数字证书管理。
具体实施方式
图示各方面、实施例、实施方式或应用的本说明书和附图不应该被视为限制性的—权利要求限定受保护的发明。在不脱离本说明书和权利要求的精神和范围的情况下,可以做出各种机械的、组成的、结构的、电气的和操作的变化。在一些实例中,未详细地示出或描述公知电路、结构或技术,因为这些对于本领域的技术人员是已知的。两个或更多个附图中相似的数字表示相同或类似的元素。
在本说明书中,阐述了描述与本公开一致的一些实施例的具体细节。阐述了许多具体细节以便提供对实施例的透彻理解。然而,对于本领域的技术人员而言将显而易见的是,可以在没有这些具体细节中的一些或全部的情况下实践一些实施例。在此公开的具体实施例意在为说明性的而不是限制性的。本领域的技术人员可以实现其它元素,这些其它元素尽管在这里未具体地描述,但是在本公开的范围和精神内。此外,为了避免不必要的重复,除非另外具体地描述或者如果一个或多个特征会使一个实施例变得不起作用,否则可以将与一个实施例关联地示出并描述的一个或多个特征并入到其它实施例中。
示例环境
图1图示本公开的系统和方法能够操作的环境。图1示出具有各种实体或对象的繁忙十字路口,这些实体或对象诸如车辆110V(汽车、卡车和可能的其它类型,例如火车或自行车)、行人110P、路边装备110L(例如,交通灯以及用于短和较长距离通信的枢纽或网关)。对象或实体110(110V、110L、110P等)中的每一个均携带或包含装备,诸如智能电话、汽车信息设备或其它计算设备。对象或实体110使用它们相应的计算设备来通信(例如,以无线方式)以共享信息、坐标等。例如,每个车辆110V可以广播其位置、速度、加速度、路线、方向、天气信息等。此类广播能够用于获得关于交通堵塞、事故、湿滑道路状况的预先信息,并且允许每个车辆知道其它车辆在哪里等。作为响应,此类信息的车辆接收者可以向其驾驶员报警,以建议驾驶员停车、减速、改变路线、绕行等。能够基于由车辆和/或其它对象110广播的交通状况自动地调整交通灯。
图2图示由车辆或其它实体和对象使用例如用于在图1的环境中通信、协调等的计算设备150的实施例。如图2中所示,计算设备150包括耦合到计算机存储(存储器)150S一个或多个计算机处理器150P和用于无线电通信的无线通信装备150W。计算设备150的操作由处理器150P控制,该处理器150P可以作为计算设备150P中的一个或多个中央处理单元、多核处理器、微处理器、微控制器、数字信号处理器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、图形处理单元(GPU)、张量处理单元(TPU)和/或类似物被实现。
存储器150S可以用于存储由计算设备150执行的软件和/或在计算设备150的操作期间使用的一种或多种数据结构。存储器150S可以包括一种或多种类型的机器可读介质。机器可读介质的一些常见形式可以包括软盘、柔性盘、硬盘、磁带、任何其它磁介质、CD-ROM、任何其它光学介质、打孔卡、纸带、带孔图案的任何其它物理介质、RAM、PROM、EPROM、EEPROM、FLASH-EPROM、任何其它存储器芯片或盒,和/或处理器或计算机适于读取的任何其它介质。
可以以任何合适的物理布置来布置处理器150P和/或存储器150S。在一些实施例中,可以在同一板上、在同一封装(例如,系统级封装)中、在同一芯片(例如,片上系统)和/或类似物上实现处理器150P和/或存储器150S。在一些实施例中,处理器150P和/或存储器150S可以包括分布式、虚拟化和/或容器化计算资源。与此类实施例一致,处理器150P和/或存储器150S可以位于一个或多个数据中心和/或云计算设施中。在一些示例中,存储器150S可以包括非暂时性、有形、机器可读介质,其包括可执行代码,该可执行代码当由一个或多个处理器(例如,处理器150P)运行时,可以使计算设备150单独或与环境中的其它计算设备相结合地执行在此进一步描述的方法中的任一种。
计算设备或装备150可以包括用户界面150i,例如诸如存在于智能电话、汽车信息设备中的用户界面,或某个其它类型设备的用户界面,以供由行人、车辆驾驶员、乘客、交通管理人员和可能的其它人们使用。
图3A和3B图示经由V2X或连网车辆技术交互的实体或对象110或其计算设备150(当不出现混淆时,可以在此互换地使用“对象110”、“用户110”和“装备150”)的通信方案的示例。在场景308处,车辆110V遇到结冰道路碎片。
车辆110V包括具有一个或多个传感器—诸如加速度计、制动监视器、对象检测器、LIDAR等—以用于感测车辆110V内和周围的状况(诸如突然制动、车轮空转、潜在碰撞等)的车载装备(OBE)304。使用这些传感器,车辆110V可以(例如)检测场景308处的结冰道路碎片。传感器向OBE的计算设备或装备150(图2)供应信息,使得它能够相应地采取动作,例如通过自动地施加制动、调整转向和/或在用户需要作出反应的情况下经由显示器150i通知用户。计算设备150可以包括用于例如对由传感器提供的信息执行诊断或分析的车载诊断模块168。
车辆110V上的装备的不同部件通过与彼此和其它车辆交换基本安全消息(BSM)和/或其它消息来通信。BSM消息在Whyte等人“Asecurity credential management systemfor V2V communications,”IEEE Vehicular Networking Conference(“用于V2V通信的安全凭证管理系统”,IEEE车辆联网会议),2013,pp.1-8和CAMP,“Security credentialmanagement system proof-of-concept implementation-EE requirements andspecifications supporting SCMS software release 1.1,”Vehicle SafetyCommunications Consortium,Tech.Rep.,May 2016(“安全凭证管理系统概念验证的实现-支持SCMS软件版本1.1的EE要求和规范”,车辆安全通信联盟,技术报告,2016年5月)(可从:https:/www.its.dot.gov/pilots/pdf/SCMS_POC_EE_Requirements.pdf获得)中有所描述,两者均通过引用被并入。
车辆或其它对象110能够(例如)通过使用GPS卫星1170或蜂窝三角测量来获得其位置。车辆110V也可以包括通信装备150W,其在一些实施例中能够包括直接短距离通信(DSRC)无线电和非DSRC无线电装备,诸如移动电话。车辆因此可以直接地,即在无需中间网络交换机的情况下,通过蜂窝系统或其它路边装备(RSE)110RSE来通信。RSE对于其他网络(例如,因特网)可以充当网关。使用通信装备150W,车辆110能够向V2X或连网车辆环境中的其它车辆、实体或对象110传送BSM消息和其它信息。因此,车辆110V/150可以向环境的其它方通知场景308处的结冰碎片。同样地,另一车辆110可以位于场景1020中,并且可以向其它车辆报警该场景处的冬季维护操作。
交通管理系统110L可以包括装备—例如,位于道路、高速公路、人行横道等中或附近的停车灯、人行横道灯等—以管理或控制车辆、人员或其它对象和实体的交通。交通管理系统110L可以包括与车辆110V相同或类似的装备中的一些,包括计算设备150、传感器、用户界面、通信装备等。
计算机系统316对发送到在V2X或连网车辆技术环境中的连同它们相应的计算设备150一起的车辆110V、交通管理系统110L和其它对象或实体110或从那里接收到的信息进行处理、聚合、生成或以其它方式操作。另外示出了旅客信息系统318。例如,计算机系统316能够作为一个或多个服务器被实现或者并入一个或多个服务器。例如,这些计算机系统316提供或支持位置和地图信息、驾驶指令、交通警报和警告、关于路边服务的信息(例如,加油站、饭店、旅馆等)。计算机系统316可以从环境中的各种车辆、实体和对象110接收信息,对该信息进行处理,并且在整个环境中传送信息或指令以便管理对象,例如,通过调整交通灯上的信令、重新路由交通、张贴警报或警告等。
连网车辆或V2X技术环境内的这种通信能力可能容易出错和滥用。恶意用户110(例如,车辆操作员或交通管理人员)和/或有缺陷的装备150可以向其它车辆发送假的或不正确的信息,以致不期望地影响交通。为了免受这种行为不当的影响,应该例如使用公有密钥基础设施(PKI)来对通信进行认证。每个车辆110V或其它装备被提供有私有密钥(例如,用于对消息进行签名)和公有密钥(例如,用于签名验证)。公有密钥被分发给公众,但是私有密钥是保密的。
图4、图5A和图5B图示能够被用于连网车辆或V2X技术环境中的消息认证的数字证书的示例。参考图4,示出了数字证书160。
数字证书160具有许多字段或参数。在一些实施例中,这些包括证书ID 161、用户ID 162(例如,车辆ID编号或用户的电子邮件地址)、车辆的(或用户的)公有密钥164和可能的其它参数(称作元数据),诸如证书的有效期165、签名方案的标识和可能的其它参数。证书160也包括由证书授权机构(CA)在证书的除签名它本身外的所有字段上形成的签名166。例如,CA可以驻留在计算机316上或被实现在计算机316中。
能够将数字证书160颁发给车辆110V以对公有密钥164进行认证。车辆110V将其证书160附加到由车辆发送的每个消息170。消息170包括消息体或内容171,以及由车辆使用其私有密钥生成的数字签名172。消息接收者使用CA的公有密钥来验证签名166,从而对包括公有密钥164的证书160进行认证。接收者然后使用公有密钥164来验证消息签名172,从而对消息进行认证。在一些实施例中,也能够组合对证书的签名166和消息签名172的验证(例如,以得到更好的性能)。
如果车辆行为不当(恶意地或由于故障),则能够撤销其证书160。另外,CA在被撤销的证书的有效期165期满之后将不会颁发新证书以供使用。
此方案的缺点是潜在地损害用户隐私:如果车辆的传输被拦截,则能够通过跟踪由车辆发送的证书ID 161或用户ID 162来跟踪车辆。为了保护用户隐私,能够向用户颁发带有随机查看字符串(“假名”)164多个假名证书160p(图5A)而不是ID 161和162。车辆然后在消息传输中使用假名证书而不是证书160。车辆能够针对不同的消息170自动地使用不同的假名证书160p以避免跟踪。
图5A图示伴随消息170的假名证书160p。证书由假名证书授权机构(PCA)生成。假名164,也表示为U,用作证书ID和公有密钥两者。类似于图4的证书160,证书160p可以包括有效期165、签名方案的标识、PCA签名167和可能的其它参数。假名证书160p也包括如下所述用于证书撤销的链接值(lv)234。(链接值可以或可以不被用于本发明的一些实施例。)
车辆将其假名证书160p中的一个附加到由车辆发送的每个消息170。消息接收者使用PCA的公有密钥来验证PCA签名167,并且使用假名164来验证消息签名172,从而对消息170进行认证。在一些实施例中,能够组合对证书的签名167和消息签名172的验证(例如,为了更好的性能)。此类假名证书在Whyte等人最初提出并之后在CAMP中扩展的安全凭证管理系统(SCMS)中被使用。
在称作“隐式证书”的变体中(图5B),代替公有密钥U,假名字段164是被表示为V的“凭证”数据(或“公有密钥重建”数据),允许具有PCA的公有密钥的任何人导出证书的公有密钥U。(U未被存储在证书160p中。)参见例如通过引用并入本文的“Certicom.Sec 4vl.0:Elliptic curve Qu-Vanstone implicit certificate scheme(ECQV).Technicalreport,Certicom Research,2013.(椭圆曲线Qu-Vanstone隐式证书方案(ECQV),技术报告,Certicom公司研究,2013年)http://www.secg.org/sec4-1.0.pdf,(在下面为“Certicom”)。
当消息接收者需要验证消息签名172时,消息接收者首先根据假名164(V)和PCA公有密钥来重建用户的公有密钥U,然后使用用户的公有密钥U来验证签名。由于此过程使用PCA公有密钥,所以此过程不仅将消息170认证为来自拥有证书160p的用户,而且还将证书160p验证为由PCA 210认证。单独的PCA签名167因此是不必要的并且被省略,从而减小证书大小。参见Certicom。
证书撤销
如上指出,当车辆行为不当(由于恶意或故障)时,可能不得不撤销其证书。能够通过将撤销假名证书的列表(“证书撤销列表”或CRL)分发给车辆的消息的潜在接收者来实现撤销。如果撤销的车辆的数目大,则CRL可能很大。大CRL花费更多的存储器、网络带宽和搜索时间来确定给定证书是否在CRL中。另外,潜在接收者设备可能难以到达,例如,如果它被断电或在网络覆盖范围区域外。因此,应该优选地减小CRL大小。
由于效率和可靠性原因,期望大批地生成假名证书,并且在证书的有效期165很早之前将证书分发给车辆。然而,此策略潜在地增加CRL大小,因为如果车辆行为不当,则CRL可能必须包括车辆的已被颁发给车辆但仍尚未生效的证书。如果“及时”,即正好在证书的有效期165之前分发证书,这可以被避免。
限制CRL大小的另一方式是在上面引用的E.Verheul参考文献中描述的先颁发后激活(IFAL)方案。在IFAL中,预先生成大批假名证书并将其提供给车辆,但是证书直到用激活码来激活才可用。激活码小,并且被“及时”,即正好在每个证书的有效期165之前被提供给车辆。单独的激活码是为每个有效期165而生成的,并且对具有相同有效期的所有证书有效。仅“诚实的”(没有行为不当的)设备110接收激活码。
此方法迫使车辆周期性地联系V2X基础设施以便获得激活码,但是由于激活码可能非常小,所以此过程与小批证书紧接在其对应的有效期之前的“及时”递送相比可能不太麻烦。然而,由于激活码能够在所对应的激活时段内与任何证书一起使用,所以必须在对撤销证书持有者不可利用的安全通信信道之上分发激活码。
任何假名证书基础设施中的另一问题是潜在包括颁发假名证书的证书授权机构(CA):即使在不用与任何其它实体合谋的情况下,在IFAL中CA也能够将假名证书链接到对应设备(到提供给CA的对应设备的登记证书);因此,用户的隐私取决于CA删除链接信息的意愿。
解决上面指出的问题中的一些的一种技术是Kumar等人描述的基于二进制哈希树的证书访问管理(BCAM)。像IFAL一样,BCAM方案“及时”分发被称作设备特定值(DSV)的相关数据,以允许车辆激活预先分发的证书。但是和IFAL对比,BCAM的DSV不仅取决于证书的有效期165,而且还取决于关联车辆的ID。任何车辆的DSV不能够激活任何其它车辆的证书,所以诚实的车辆的DSV能够通过不安全信道来广播并且由任何设备缓存以方便其后续的分发。另外,虽然为每个车辆生成单独的DSV增加计算和联网成本,但是能够使用哈希树来压缩DSV。
另外,BCAM被设计成与SCMS架构互操作,继承SCMS能力以保护诚实的用户的隐私免受不诚实的CA或任何其它非合谋系统实体的影响。
更特别地,BCAM的DSV是由证书访问管理器(CAM)广播的小片信息。颁发给给定车辆的每批证书由CAM加密,并且解密密钥能够由车辆根据由CAM从车辆的ID生成的DSV来计算。另外,能够使用二进制哈希树来压缩诚实的车辆的DSV。如果所有车辆都是诚实的,则CAM能够仅广播树的根以允许所有车辆对所对应的假名证书进行解密。
为每个有效期创建单独的树。为了在给定有效期内撤销行为不当车辆,CAM将不发送会允许行为不当车辆的DSV计算的树节点。
为了与原始SCMS相比较,BCAM创建一种高效的撤销过程,但是也创建额外合谋点:CAM获知哪一批(加密的)证书属于同一车辆,所以CAM能够与CA(“假名CA”或“PCA”)合谋以在车辆使用那些证书时将它们链接在一起。此外,在证书颁发过程中,PCA对证书进行加密以使它们对另一SCMS实体(注册机构或RA)隐藏,然后CAM再次对证书进行加密以防止它们在没有DSV的情况下激活。这种双重加密增加计算成本和网络带宽利用率(由于对比在PCA处的单次加密增加的用于对证书进行双重加密的传输次数)。
在本公开的一些实施例中,两个加密用一个加密替换。具体地,CAM不对证书进行加密。相反,CAM使用DSV来生成盲激活码。盲激活码由RA使用以生成给予PCA以对证书进行加密的加密值。DSV稍后将被用于激活证书,即DSV将充当(非盲)激活码。DSV因此是设备特定激活码(DSAC)。但是PCA既不知道DSV也不知道盲激活码,并且PCA既不能够从加密值中恢复DSV,也不能够将用于给定车辆的不同加密值相互链接。另一方面,CAM不知道加密值,并且即使CAM和PCA合谋,也不能够将加密值链接到车辆或DSV或盲激活码。此方案也使得即使PCA和CAM合谋,PCA和CAM更难以将假名证书链接到车辆或彼此。
本公开的一些实施例能够与由本文档的作者提出的被称作eSCMS的另一系统一起使用,该另一系统通过统一用于加密和签名的蝴蝶密钥的生成来改进假名提供过程。eSCMS在通过引用并入本文的2018年10月19日提交的美国专利申请号16/165,871中有所描述。
我们现在将描述相关SCMS特征。然而本发明不限于SCMS或eSCMS。
安全凭证管理系统(SCMS)
安全凭证管理系统(SCMS)是用于V2X的各种基于假名的安全解决方案当中最著名的之一。SCMS是最初在通过引用并入本文的2013年IEEE车辆联网会议第1-8页的W.Whyte、A.Weimerskirch、V.Kumar和T.Hehn的“A security credential management system forV2Vcommunications(用于V2V通信的安全凭证管理系统)”中提出的。SCMS稍后在通过引用并入本文的可从https://www.its.doLaov/pilots/pdi7SCMSPQC EE ReQuirements.pdf获得的CAMP,“Security credential management system proof-of-conceptimplementation-EE requirements and specifications supporting SCMS softwarerelease 1.1,”Vehicle Safety Communications Consortium,Tech.Rep.,May 2016(“安全凭证管理系统概念验证的实现-支持SCMS软件版本1.1的EE要求和规范”,车辆安全通信联盟,技术报告,2016年5月).[在线]中进行了扩展。SCMS目前被认为是美国用于保护V2X—车辆对车辆(V2V)和车辆对基础设施(V2I)—通信的领先车辆公有密钥基础设施(VPKI)候选设计之一。SCMS处理可撤销的隐私,同时防止任何给定证书管理实体通过该实体它本身,即在不与其它系统实体合谋的情况下跟踪设备110/150。通过这样做,SCMS在优雅地解决威胁模型的同时应付V2X的安全需要,在该威胁模型中,系统的实体能够被认为是“诚实但好奇”,即,它们遵循正确的协议,但是可能设法在能够以不可检测的方式做这个的情况下跟踪车辆,如通过引用并入的Khodaei等人,“The key to intelligent transportation:Identity and credential management in vehicular communication systems,”IEEEVehicular Technology Magazine,vol.10,no.4,pp.63-69,Dec 2015(“智能交通的关键:车辆通信系统中的身份和凭证管理”,IEEE车辆技术期刊,第10卷,第4期,63-69页,2015年12月)中所描述的。这是通过组合(A)用于车辆获得大批假名证书的高效且隐私保护方法和(B)用于在行为不当情况下撤销用户的隐私的辅助过程来完成的,所以能够将属于同一用户的多个证书容易地链接在一起。
以下描述被构造如下。我们通过介绍我们的表示法来开始。然后我们给出SCMS的概述,聚焦于SCMS的用于创建并递送成批假名证书的程序(所谓的“蝴蝶密钥扩展”)。讨论主要基于W.Whyte、A.Weimerskirch等人给出的描述。然而,一些实施例与CAMP相关,并且当相关时,我们提及CAMP在何处做了修改。
一般表示法
为了方便,下面的“符号”表包括在本公开中采用的用于包括V2X、连网车辆和/或SCMS的相关环境的符号和一般表示法的列表。
表:符号
Figure GDA0004138337100000151
Figure GDA0004138337100000161
表示法enc(key,str)表示用密钥key对比特字符串str进行加密。示例加密技术使用标准块密码,诸如高级加密标准(AES),如可从http://csrc.nist.gov/publications/fips/fipsl97/fips-l97.pdf获得的NIST,Federal Information Processing Standard(FIPS 197)-Advanced Encryption Standard(AES),National Institute of Standardsand Technology,U.S.Department of Commerce,Gaithersburg,MD,USA,November 2001(NIST,联邦信息处理标准(FIPS 197)-高级加密标准(AES),美国商务部国家标准和技术协会,美国马里兰州盖瑟斯堡,2001年11月)中更详细地描述的。类似地,表示法hash(str)使用诸如SHA-2或SHA-3的某个标准哈希函数来表示str的哈希,如NIST,FederalInformation Processing Standard(FIPS 180-4)-Secure Hash Standard(SHS),National Institute of Standards and Technology,U.S.Department of Commerce,Gaithersburg,MD,USA,August 2015,DOI:l0.6028/NIST.FlPS.180-4(NIST,联邦信息处理标准(FIPS 180-4)-安全哈希标准(SHS),美国商务部国家标准和技术协会,美国马里兰州盖瑟斯堡,2015年8月,DOI:l0.6028/NIST.FlPS.180-4)和NIST,Federal InformationProcessing Standard(FIPS 202)-SHA-3Standard:Permutation-Based Hash andExtendable-Output Functions,National Institute of Standards and Technology,U.S.Department of Commerce,Gaithersburg,MD,USA,August 2015,DOI:10.6028/NIST.F1PS.202(NIST,联邦信息处理标准(FIPS 202)-SHA-3标准:基于置换的哈希和可扩展输出函数,美国商务部国家标准和技术协会,美国马里兰州盖瑟斯堡,2015年8月,DOI:10.6028/NIST.F1PS.202)中更详细地描述的,其两者都通过引用并入本文。
以字节为单位的给定字符串str的长度被表示为|str|。我们通过G来表示椭圆曲线组的生成器点(附加地写入)。在一些公有密钥密码算法中,私有密钥是整数k,并且所对应的私有密钥是如基于Diffie-Hellman范式的密码系统中常见的k·G。
在SCMS中,每个设备(110/150)接收两种类型的证书:登记证书160,其具有长的期满时间T并且标识系统中的有效设备;和多个假名证书160p,每个假名证书具有短有效期(例如,几天),使得σ≥1个假名证书可以同时有效。为了保护其隐私,特定车辆可能频繁地改变在车辆的通信中采用的假名证书,从而避免由附近的车辆或由路边单元的跟踪。在实践中,将σ的值限制为小的数以避免“类sybil”攻击(如通过引用并入本文的Douceur,“TheSybil attack,”Proceedings of1st International Workshop on Peer-to-PeerSystems(IPTPS).Springer,January 2002(Douceur,“Sybil攻击”,第1届P2P系统国际研讨会学报(IPTPS).施普林格出版社,2002年1月)(可从:https://www.microsoft.com/en-us/research/publication/the-svbil-attack/获得)中详细地描述的)是有用的,其中一辆车辆构成旨在通过系统获得某种优势的车队(platoon)(参见通过引用并入本文的Moalla等人,“Risk analysis study of ITS communication architecture,”3rd InternationalConference and The Network of the Future,2012,pp.2036-2040(“ITS通信架构的风险分析研究”,第三届国际会议和未来网络,2012年,第2036-2040页))。例如,这样的伪造车队能最终从被编程以向拥堵道路给予较高优先级的交通灯接收优待。
示例SCMS架构
图6图示用于SCMS的示例性计算机系统架构环境。SCMS被设计成允许以高效的方式向车辆分发多个假名证书,同时提供用于在其所有者行为不当情况下容易地撤销它们的机制。
在SCMS中,注册机构(RA)220向经授权的车辆或对象110/150提供成批假名证书160p。在蝴蝶密钥扩展过程中,一批次由从车辆接收到的单个请求生成。RA 220通过车辆的登记证书160来验证车辆请求。除了登记证书之外,每个请求还包括由车辆针对假名证书提供过程生成的一些公有密钥(除164以外)。这些公有密钥在下面讨论的图7中被标记为710。RA 220然后在将密钥710单独地发送到假名证书授权机构(PCA)210之前将属于不同用户的密钥710混排在一起。因此,PCA 210不能够将一组请求链接到同一对象110/设备150。PCA210继而创建有效的证书160p,并且在将它们递送给RA以供转发到设备110/150之前对它们进行加密和签名。由于证书160p被加密,所以RA不能够将假名证书160p链接到设备110/150。除非PCA和RA合谋,否则它们不能将证书160p链接到其所有者110/150。
链接机构(LA)230或相当链接机构LA1和LA2—也标记为230.1和230.2—生成类随机比特字符串,这些类随机比特字符串被组合以创建添加到假名证书160p的链接值(图5A、图5B中的lv 234),使得能够高效地撤销假名证书。lv值对于不同的假名证书来说是不同的,但是对于给定登记证书160能够将它们链接在一起。参见例如通过引用并入本文的2017年9月21日提交的美国专利申请号62/561,667;通过引用并入本文的2018年9月20日提交的美国专利申请号16/136,621;以及通过引用并入本文的Marcos A.Simplicio Jr.等人,“Aprivacy-preserving method for temporarily linking/revokingpseudonymcertificates in vehicular networks(用于在车辆网络中临时链接/撤销假名证书的隐私保护方法)”,https://eprint.iacr.org/2018/185.pdf,2018。
行为不当机构(MA)250获得行为不当设备的证书160p并且使用该证书的lv 234以及从RA和PCA获得的数据来撤销所有同一设备的证书160p。
在一些实施例中,RA 220、PCA 210、LA 230和MA 250中的每一个均能够与一个或多个计算设备(例如,计算设备150或计算机系统316)一起实现或者并入一个或多个计算设备。
SCMS的蝴蝶密钥扩展
SMCS中的假名证书提供过程提供了用于设备110以小尺寸的请求消息获得任意大批(短期)证书160p的高效机制。过程被图示在图7中。首先,请求设备110/150生成两个“caterpillar”私有/公有密钥对710:
(5,S=S·G)和(e,E=e·G)
私有密钥s和e应该是随机的。密钥是使用椭圆曲线密码学来生成的。密钥(s,S)与假名164(图5A、图5B)的生成有关,并且被称作“签名密钥”,因为假名164被用于如上所述经由签名验证的消息认证。密钥(e,E)与为了如下所述对RA隐藏假名而执行的假名证书加密有关;这些密钥被称作“加密密钥”。
在步骤810处,设备110请求RA生成一些预定数目β的假名证书160p。发送到RA的请求包括710处所示的公有caterpillar密钥S和E。除了密钥710之外,请求还包括定义两个合适的伪随机函数(PRF)714(表示为fs和fe)的数据。(在一些实施例中,函数定义数据可以是这些函数的种子;能够根据种子来计算函数的输出。或者,虽然不太高效,但是函数定义数据可以包括PRF的整个描述,包括对用于PRF的计算算法的描述。)
RA可以从不同设备110接收此类请求,并且如下为每个设备获得β个假名证书160p。对于每个请求,在步骤814处所对应的密钥S和E由RA采用来生成公有cocoon密钥718。具体地,在步骤814处,在生成β个公有cocoon签名密钥时使用密钥S:
Figure GDA0004138337100000191
对于所有i使得0≤i<β。类似地,在同一步骤814处,RA使用密钥E用于生成β个公有cocoon加密密钥:
Figure GDA0004138337100000201
来自不同设备110的cocoon密钥对718,即
Figure GDA0004138337100000202
然后由RA 220混排在一起(步骤818)并且被单独地或分批发送到PCA 210以用于生成所对应的假名证书160p。每个cocoon密钥对伴随有所对应的元数据,诸如有效期165和计算链接值(lv)234所需要的数据;参见图4、图5A、图5B。
对于每个cocoon密钥对
Figure GDA0004138337100000203
PCA能够使用图7的方法来创建显式假名证书160p(图5A),或者参与如图8中所图示的隐式证书过程(图5B和Certicom)。显式或隐式证书160p由PCA加密并且被发送到RA(图7、图8中的步骤900)。RA“解混排(un-shuffle)”假名证书,并且将每个假名证书发送到所对应的(关联)设备110。每个设备的β个假名证书被分批发送到设备。
对于显式过程(图5A、图7),PCA在步骤822处计算随机值ri并且根据以下等式(等式1)来生成证书的公有签名密钥(假名)164:
Figure GDA0004138337100000204
在步骤826处,PCA通过以下步骤来形成也作为certi示出的证书160p:(1)将Ui与元数据例如证书的有效期165和链接值(lv)234组合;以及(2)对该组合进行数字签名以形成签名167(图5A)。
PCA然后使用所对应的cocoon密钥
Figure GDA0004138337100000205
来对证书160p连同值ri进行加密(步骤830)。加密包(证书60p和值ri)再次由PCA使用PCA的私有签名密钥来签名(步骤834)。签名在730处示出。
结果,即加密和签名包被发送到RA(步骤900)。RA将结果转发到请求设备110。
仅请求设备110能够对值进行解密:
Figure GDA0004138337100000211
(参见步骤834)因为仅请求设备110知道与cocoon密钥
Figure GDA0004138337100000212
相对应的私有密钥。此私有密钥由以下等式(等式2)给出:
Figure GDA0004138337100000213
因此,仅设备110能够获知假名Ui(作为证书160p的一部分)并且计算所对应的私有签名密钥:
ui=s+ri+fs(i) (等式3)
设备110还能够通过检查下式来验证签名密钥ui、Ui
Ui=ui·G (等式4)
设备110还验证PCA签名730以防止如下所述由RA进行的中间人攻击。
对于隐式证书160p,此过程如下(参见图8)。cocoon密钥生成(步骤810、814、818)与用于显式证书的相同。然后在步骤822处,PCA计算随机数ri,并且计算凭证164:
Figure GDA0004138337100000214
然后在步骤826处,PCA将也表示为certi的隐式证书160p创建为:
certi=(Vi,meta)
certi=Vi||meta
其中“meta”是元数据(包括有效期165等)。
另外在步骤826处,PCA对此证书进行签名以获得签名sigi如下:
sigi=hi·ri+uPCA (等式6)
其中hi=Hash(certi),并且uPCA是PCA的私有签名密钥。
证书生成的剩余步骤与图7类似。具体地,PCA使用所对应的cocoon密钥
Figure GDA0004138337100000215
来对证书160p连同签名值sigi进行加密(步骤830)。加密包(证书160p和值sigi)由PCA使用PCA的私有签名密钥来签名(步骤834)。签名在730处示出。在步骤900处,将结果(加密结构和签名730)经由RA 220发送到请求设备110。
设备110验证PCA签名730,对包certi||sigi进行解密,并且计算:
hi=Hash(certi) (等式7)
设备110然后将它自己的私有签名密钥设置为:
ui=hi·(s+fs(i))+sigi (等式8)
而所对应的公有签名密钥采取形式:
Ui=ui·G (等式9)
设备110然后能够通过确定下式来验证公有密钥Ui的有效性:
Ui=hi·Vi+UPCA (等式10)
其中UPCA是与uPCA相对应的PCA的公有签名密钥。
不管采用哪种证书模型,在图7和图8的步骤834处,都使用PCA自己的私有签名密钥uPCA来对经加密的PCA响应进行签名,旨在防止“诚实但好奇”RA参与中间人(MitM)攻击。即,在没有此签名730的情况下,能如下执行由RA进行的MitM攻击:(1)代替
Figure GDA0004138337100000221
RA在步骤818处向PCA发送伪造cocoon加密密钥/>
Figure GDA0004138337100000222
其中z为任意值;(2)在步骤900处,RA使用z来对PCA的响应进行解密,获知假名Ui(图7)或Vi(图8);以及(3)RA用正确的/>
Figure GDA0004138337100000223
对证书进行重新加密,将结果发送到设备,该设备照常继续进行协议。但是如果PCA生成签名730并且设备110验证RA的响应上的签名730,则攻击将失败,因为RA不能够为在步骤(3)中生成的经重新加密的证书提供有效的签名730。
独立于所采用的证书的类型(显式或隐式),只要RA和PCA不合谋,就在此过程中保护用户的隐私。最后,由RA执行的对公有cocoon密钥的混排(步骤818)防止PCA获知任何密钥718是否属于同一设备。继而也获得了公有密钥Ui(图7)或Vi(图8)与用于RA的设备的不可链接性,因为RA没有获知由PCA使用ri随机化的Ui或Vi的值。
密钥链接
为了避免大的证书撤销列表(CRL),以这样一种方式完成撤销:能够通过将仅少量信息插入到CRL中来将来自同一用户的许多证书160p链接在一起。出于此目的,每个证书160p(图4、图5A-B)接收通过对由l≥2个不同的链接机构(LA)提供的l个预链接值plvi(其中1≤i≤l)进行异或而计算出的链接值lv 234。由LAi生成plvi是如下在由RA在请求时完成的。
首先,如图9中所图示的,LAi挑选随机128比特链接种子1si(0)。然后,如果RA的请求覆盖τ个证书时间段,则LAi迭代地计算长τ的哈希链lsi(t)=Hash(la_idi||lsi(t-1)),其中la_idi是LAi的标识字符串并且1≤t≤τ。参见通过引用并入本文的L.Lamport,“Password authentication with insecure communication,”Commun.ACM,vol.24,no.11,pp.770-772,1981(L.Lamport,“使用不安全通信的密码认证”,美国计算机协会通讯,第24卷,第11期,第770-772页,1981)。然后在计算σ个预链接值plvi(t,c)=Enc(lsi(t),la_idi||c)(对于0≤c<σ)时使用每个lsi(t)。在上面引用的CAMP参考文献中,实际上使用Davies-Meyer构造来完成加密;参见通过引用并入本文的B.Preneel,Davies-Meyer HashFunction.Boston,MA:Springer US,2005,pp.136-136(B.Preneel,Davies-Meyer哈希函数,马萨诸塞州波士顿:美国施普林格出版社,2005年,第136-136页)。特别地,密码的输入与作为输出产生的密文进行异或。然而,因为这种小差异对我们的讨论来说不相关,所以我们在我们的表示法中忽略额外的异或。最终,每一plvi(t,c)被截断为合适的长度,使用在PCA与LAi之间共享的密钥来单独地加密和认证,然后发送到RA。(虽然在以上引用的Whyte等人的“A security credential management system for V2V communications”和CAMP两者中未显式地提及认证,但是认证对于防止RA伪造它自己的预链接值并且将它们递送到PCA好似它们来自LAi(这将允许不诚实的RA跟踪设备)是重要的。)RA将此加密信息连同所对应的cocoon密钥简单地包括在发送到PCA的请求中,所以后者能够计算要被包括在所得的证书中的链接值。在由参与此过程的两个LA构成的通常情况下,在时间段t中有效的第c个证书的链接值被计算为
Figure GDA0004138337100000241
作为此过程的结果,每当设备被行为不当机构(MA)标识为恶意时,由该设备拥有的仍然有效的证书能够被不仅单独地撤销,而且还能够被一起撤销。这经由PCA、RA和LA的协作来完成。即,PCA能够使由MA通知的lv与从RA接收到的原始假名证书请求相关联。PCA然后将此信息连同所对应的预链接值plvi(t,c)提供给RA。RA继而能够(1)标识在该证书请求后面的设备,将其登记证书放置在黑名单中以便防止它获得新的假名证书,并且(2)要求LAi标识从其计算plvi(t,c)的链接种子lsi(0)。最后,每个LAi给RA提供lsi(ts),其中ts是撤销开始有效的时间段(通常是当前时间段或首次检测到行为不当的时间段)。然后能够将从LA接收到的lsi(ts)的集合放置在要在整个系统中分发的CRL中,允许任何实体计算时间段t≥ts的lv(t,c),将所对应的证书链接到单个CRL条目。因此,由行为不当设备拥有的当前和将来的证书被撤销并且能够被链接到该设备;过去的证书仍然受到保护,但是,在检测到恶意活动之前保存设备的隐私。
在复杂性方面,此撤销过程是这样的:如果系统涉及l个链接机构230,则每个撤销的设备以l个预链接值对CRL做出贡献。因此,CRL大小随被撤销的设备的数目而不随被撤销的证书的数目线性地增长。这种大小增益的主要缺点是检查给定证书是否在CRL中要求相对于该证书的链接值来验证每一CRL条目。更准确地说,对于在时间段ts公布的每个CRL条目,验证它是否覆盖给定证书基本上涉及两个分量的计算:
a)lsi(tc):它取l·(tc-ts)哈希来根据lsi(ts)计算lsi(tc),其中1≤i≤l并且tc是当执行验证时的时间段。可以借助于预计算降低此成本,即,如果除CRL中提供的原始链接种子之外,设备总是保持链接种子lsi(tc)的更新版本。然而,为了应付系统范围的时间同步的缺乏(参见Verheul参考文献),设备可能实际上需要在存储器中保持稍微较旧的链接种子;例如,通过对于小的∈保持lsi(tc-∈),能够以仅∈哈希来计算lsi(tc)。
b)plvi(tc,c):如果用于被验证证书的c的值是已知的,则它取l个加密来根据lsi(tc)计算plvi(tc,c);例如,如果c的值是该证书的元数据的一部分,则情况是这样的。否则,总成本将高达l·σ个加密,因为被分析的证书可以是在当前时间段中有效的σ个中的任一个;然而,在足够存储器情况下,能够经由对于CRL中的每个lsi(tc)预计算具有所有σ个可能的条目的查找表来减少此过程的等待时间。一方面,除提供更好的性能之外,第一方法还有助于构建抵抗前述类sybil攻击的解决方案;这能够通过将仅对于固定值c利用证书签名的消息视为有效的来完成。另一方面,如果一个或若干应用决定仅接受特定c’,则也可以滥用此能力来允许车辆跟踪;同时,因为已知对于σ具有相同值的不同证书也被视为属于不同车辆,所以一些隐私丢失了。因此,强制在假名证书中公开c很可能引起争议,并且在实践中,可能会避免支持查找表。
总之,为了减少与撤销验证有关的成本,重要的是限制CRL中的条目的总数。然而,遗憾的是,由于每个CRL条目覆盖τ个时间段,所以它们可能必须在CRL中保留相当长的时间。为了解决这个问题,特此并在下面提出的本发明的一些实施例防止被撤销的车辆的证书被激活,如此能够更早地移除CRL上的对应条目。
统一蝴蝶密钥扩展过程(eSCMS)
在以上引用的Whyte等人的“A security credential management system forV2V communications(用于V2V通信的安全凭证管理系统)”中最初描述的蝴蝶密钥扩展(步骤814)在假名证书提供过程期间由RA执行两次:一次用于生成公有签名密钥并且另一次用于加密密钥。结果,设备它本身需要向RA发送两个caterpillar密钥(S和E)以及所对应的PRF(fs和fe),以用于计算所对应的cocoon密钥(
Figure GDA0004138337100000261
和/>
Figure GDA0004138337100000262
其中0≤i<β)。此外,由于/>
Figure GDA0004138337100000263
和/>
Figure GDA0004138337100000264
在颁发证书时被PCA视为独立密钥,所以PCA不仅需要对证书进行加密,而且还需要对所得的加密包进行签名以避免由RA操纵。即使出于此目的采用高效的签名加密算法—参见例如通过引用并入本文的Y.Zheng,“Digital signcryption or how to achieve cost(signature&encryption)<<cost(signature)+cost(encryption),”in Advances inCryptology—CRYPTO‘97:l7th Annual International Cryptology Conference.Berlin,Heidelberg:Springer Berlin Heidelberg,1997,pp.165-179(“数字签密或如何实现成本(签名&加密)<<成本(签名)+成本(加密)”,密码学学进展-CRYPTO'97:第17届年度国际密码学会议,柏林,海德堡:柏林海德堡施普林格出版社,1997年,第165-179页)—额外签名也导致附加开销:在PCA上,用于计算和传输这种签名;在RA上,用于其接收和重新传输;而在终端设备上,除了验证证书的签名它本身之外,还用于其接收和验证。
然而,结果证明能够以统一方式完成对加密和签名密钥的生成和使用。这在不损失安全或功能性的情况下,在处理和带宽使用率方面导致更好的效率。此替代过程是eSCMS的一部分;参见通过引用并入本文的2018年10月19日提交的PCT专利申请号PCT/US2018/056784。
在eSCMS(图10A、图10B、图11A、图11B)中,以统一方式完成对caterpillar密钥710的生成和使用,从而在不损失安全或功能性的情况下导致更好的效率。具体地,在一些实施例中,在图10A-B和图11A-B中设备110生成仅一个caterpillar密钥对(x,X),而不是两个密钥对(e,E)和(s,S)。此caterpillar密钥对(x,X)能够具有与(e,E)和(s,S)中的任何一个相同的大小,并且用于生成加密密钥和签名密钥两者。显式和隐式证书模型两者都是eSCMS兼容的。
eSCMS中的显式证书过程的示例
在图10A-B中描绘了一种eSCMS显式证书方案。在步骤904处,请求设备110仅生成单个caterpillar私有/公有密钥对710:(x,X=x·G)。能够随机地生成私有密钥x。如下所述,公有密钥X将由PCA既用于对证书160p进行加密又用于为证书创建公有密钥或假名164(步骤824)。
在步骤810处,设备110请求RA生成一些预定义数目β的假名证书160p。由设备发送到RA的设备请求包括唯一ID(“设备请求ID”)、唯一设备ID(例如VID)、公有统一caterpillar密钥X和定义合适的伪随机函数(PRF)714(简单地示出为f)的数据。函数f能够与SCMS中的fs或fe相同。每个设备请求的副本由设备存储在其存储器中。
在步骤814处,RA为每个设备生成β个公有统一cocoon签名密钥(类似于SCMS):
Figure GDA0004138337100000271
在步骤818处,RA混排用于不同设备的这些cocoon密钥,并且对于每个cocoon密钥
Figure GDA0004138337100000272
RA向PCA 210发送对假名证书160p的请求(“RA请求”)。能够将对不同设备110的RA请求分批发送到PCA,但这不是必需的。
对于每个RA请求,RA生成唯一请求ID(“RA请求ID”),并且创建包含RA请求ID、cocoon密钥索引i(参见等式(等式11))和关联设备请求的数据结构(“RA请求数据结构”)。RA请求ID与RA请求一起被提供给PCA。另外提供了元数据,例如证书的有效期165和链接值(lv)234。设备ID未被提供给PCA,所以PCA不能够使RA请求与设备相关联。另外,PCA不能够确定不同的RA请求是与相同的还是不同的设备相关联。
对于每个cocoon密钥
Figure GDA00041383371000002811
PCA能够创建显式或隐式假名证书160p。图10A-B图示针对显式证书的过程。在任何一种情况下,显式或隐式证书160p将稍后由PCA加密并发送到RA(步骤900)。每个加密的假名证书将伴随有RA请求ID,允许RA“解混排”假名证书,即将每个加密包与设备相关联,并且将加密包发送到关联设备。可选地,能够将每个设备的β个假名证书分批发送到设备。
对于显式证书,在步骤822处,PCA生成随机值ri,并且生成证书的公有签名密钥(假名)164作为cocoon密钥
Figure GDA0004138337100000281
的随机函数,即作为/>
Figure GDA0004138337100000282
和ri的函数。例如,能够使用以下等式(等式12)、(等式12’)中的任何一个:
Figure GDA0004138337100000283
Figure GDA0004138337100000284
另外(步骤824),PCA生成公有cocoon加密密钥
Figure GDA0004138337100000285
在一些实施例中,将/>
Figure GDA0004138337100000286
设置为等于/>
Figure GDA0004138337100000287
Figure GDA0004138337100000288
也能够使用
Figure GDA0004138337100000289
的其它表达式。例如:
Figure GDA00041383371000002810
剩余步骤可以或可以不类似于图7,但是能够省略PCA签名730的生成。具体地,在一些实施例中,在步骤826处,PCA通过以下步骤来形成也被示出为certi的证书160p:(1)将Ui与元数据例如证书的有效期165和链接值(lv)234组合;以及(2)对该组合进行数字签名以形成签名167(图5A)。
在步骤830处,PCA对包括证书160p和值ri(可能由其构成)的包进行加密。加密使用所对应的cocoon密钥
Figure GDA00041383371000002812
示例性加密方案是ECIES;参见通过引用并入本文的IEEE,IEEEStandard Specifications for Public-Key Cryptography-Amendment 1:AdditionalTechniques,IEEE Computer Society,2004(IEEE公钥密码学标准规范-修订1:附加技术,IEEE计算机协会,2004年)。也能够使用其它加密方案。
结果(即加密包)与由PCA在步骤818处接收到的RA请求ID一起被发送到RA(步骤900)。如以上指出的,省略了签名730。RA不能够对包进行解密。
RA“解混排”从PCA接收到的数据。为了执行此操作,RA使伴随每个加密包的RA请求ID与存储在RA的存储器中的RA请求ID相匹配(步骤818)。RA将针对该设备的加密包转发到各自设备110(步骤910)。对于每个加密包,RA将定义关联的cocoon密钥的对应i值发送到设备;参见等式(等式11)。RA从RA请求数据结构中获得i值。
在步骤914处,对于每个证书160p,关联设备110计算与加密(cocoon)密钥
Figure GDA0004138337100000291
相对应的解密密钥/>
Figure GDA0004138337100000292
如果将/>
Figure GDA0004138337100000293
设置为等于/>
Figure GDA0004138337100000294
(等式(等式13)),则:
Figure GDA0004138337100000295
在等式(等式13’)的情况下:
Figure GDA0004138337100000296
使用与在等式(等式13’)中使用的哈希函数相同的哈希函数“hash”。
设备110使用解密密钥
Figure GDA0004138337100000297
来对包进行解密,并且因此恢复证书160p和所对应的ri。此解密密钥起作用,因为在等式(等式13)、(等
式14)的情况下,加密公有密钥是:
Figure GDA0004138337100000298
在等式(等式13’)、(等式14’)的情况下,解密起作用,因为加密公有密钥是:
Figure GDA0004138337100000299
在步骤918处,设备使用PCA的公有签名密钥UPCA来验证PCA签名167。
在步骤922处,设备计算其与Ui相对应的私有签名密钥ui。如果如在等式(等式12)中一样计算Ui,则私有签名密钥被创建为:
ui=ri+x+f(i) (等式15)
如果使用了等式(等式12’),则私有签名密钥被创建为:
ui=ri·(x+f(i)) (等式15,)
在步骤924处,设备验证
ui·G=Ui (等式16)
如果以上检查或验证中的任一个失败,则设备可以拒绝证书160p和/或该批次中的所有证书。设备也可以向相关机构(例如行为不当机构250)通知错误,以便对不健全或不诚实的RA或PCA触发维护和/或安全操作。
eSCMS中的隐式证书过程的示例
图11A、图11B图示隐式证书方案。步骤904、810、814、818如在图10A-B中一样。然后在步骤822处,PCA计算随机数ri,并且计算凭证164:
Figure GDA0004138337100000301
在步骤824处,PCA可能例如根据等式(等式13)或(等式13’)使用与针对显式证书相同的过程来生成公有cocoon加密密钥
Figure GDA0004138337100000302
在步骤826处,PCA将也被表示为certi的隐式证书160p创建为:
certi=(Vi,meta) (等式18)
certi=Vi||meta
其中“meta”是元数据(包括有效期165等)。
另外在步骤826处,PCA对此证书进行签名以获得签名sigi如下:
sigi=hi·ri+uPCA (等式19)
其中hi=Hash(certi)。
在步骤830处,PCA对包括证书160p和签名sigi(可能由其构成)的包进行加密。加密使用所对应的cocoon密钥
Figure GDA0004138337100000311
示例性加密方案是ECIES,但是也能够使用其它方案。
在步骤900和910处,使用与在图10A-B中相同的过程和数据结构(包括RA请求数据结构)来经由RA 220将加密包发送到请求设备110,而可能没有由PCA进行签名(省略签名730)。RA不能够对包进行解密。
在步骤914处,设备110接收加密包和所对应的值i,如在等式(等式14)或(等式14’)中一样计算私有密钥
Figure GDA0004138337100000312
使用此密钥来对PCA的响应包certi||sigi进行解密,然后计算:
hi=Hash(certi) (等式20)
在步骤922处,设备将它自己的私有签名密钥设置为:
ui=hi·(x+f(i))+sigi (等式21)
并且在步骤923处将所对应的公有签名密钥计算为:
Ui=ui·G (等式22)
设备110然后能够通过在步骤924处确定下式来验证公有密钥Ui的有效性:
Ui=hi·Vi+UPCA (等式23)
其中UPCA是PCA的公有签名密钥。
一些实施例的其它特征在通过引用并入本文的Marcos A.Simplicio Jr.等人,“The Unified Butterfly Effect:Efficient Security Credential Management Systemfor Vehicular Communications”,2018,Cryptology ePrint Archive:Report 2018/089(“统一蝴蝶效应:用于车辆通信的高效安全凭证管理系统”,2018年,密码学ePrint存档:报告2018/089),https://eprint.i3cr.org/201S/Q89-pdf有所描述。
证书激活的示例实施例
在SCMS和其它基于CRL的证书撤销系统中,检查证书是否被包括在给定CRL中的成本随该CRL中包括的设备的数目线性地增长。因此,确保CRL条目的数目保持小不仅有益于节约当分发CRL时的带宽,而且还有益于允许更快且更能量高效地验证证书的撤销状态。SCMS能够使用基于链接机构的机制用于缩短CRL,该机制使若干证书关联到同一条目(lv234)。但是此机制也延长CRL中的那些条目的寿命。原因是放置到CRL中的链接种子仅能够在关联到那些种子的所有证书都期满之后才被从CRL中安全地移除。因此,即使设备撤销事件以低频率发生,CRL也可以实际上增大,因为所对应的条目将在CRL中保留与证书批次的持续时间相当的持续时间(例如,数年)。
为了避免CRL的这种增长同时保存与蝴蝶密钥推导相关联的性能增益,提供了激活码方案,其一些实施例可如下说明的那样与SCMS或eSCMS一起使用。激活码是比特字符串,在没有该比特字符串的情况下先前获取的假名证书不能够被使用(例如,不能够被解密)。每个激活码与横跨一个或多个证书有效期165的某个激活时段相对应。这被图示在图12中,其中每个激活时段覆盖3个有效期。τ个有效期在图中被标记为t:0至t:τ-1;激活时段被标记为a:0至a:(τ-1)/3。如果未使用激活码,则撤销数据将保留在CRL中直到最后时段τ-1结束为止,即直到所有颁发的假名证书都期满为止。如果使用了激活码,则撤销数据保留在CRL中仅直到激活时段结束为止,即直到所有颁发的且已经激活的假名证书都期满为止。
激活码由车辆(或其它类型的设备)在所对应的有效期165开始之前从周期性地被公开给非撤销车辆的设备特定值(DSV)导出,以允许及时激活证书。在一些实施例中,每个激活码是DSV。每个DSV与特定车辆和激活时段相对应。被撤销的车辆不会接收其DSV,并且至少在其撤销状态被移除之前,被阻止获得用于其证书的激活码。结果,不能够被激活的被撤销的证书的标识符(假名或凭证164和/或链接值234,以及允许其计算的任何信息)不需要保留在CRL中,从而减小CRL大小。例如,证书可能持续1周有效,然而激活时段可以被设置为4周并且能在实际上需要它们之前1周公有激活码。在这种情况下,来自被撤销的车辆的证书的标识符将不得不保留在CRL中至多4周,因为在那之后那些车辆将不会接收新的DSV。
所提出的方案的一些实施例解决了如下所讨论的IFAL和BCAM解决方案在性能和安全方面的主要缺点。
生成激活码:二进制哈希树
本公开的一些实施例使用如下所述的二进制哈希树840(图13)。然而树的使用是可选的。
类似于BCAM,一些实施例包括如图13中所示的一个或多个证书访问管理器(CAM)838,每个证书访问管理器可能具有不同的标识符cam_id。CAM 838是负责创建并分发设备特定值(DSV)的实体。能够在一个或多个计算机系统316上实现CAM。为了创建并分发DSV,CAM 838在其存储装置150S(图2)中为每个时间段t,即每个有效期165创建二进制哈希树treet(图13中的树840)。在一些实施例中,即使激活时段由多个有效期构成,也为每个激活时段创建仅一个树840。如果激活时段横跨n+1个有效期,则treet=···=treet+n
为了简洁将树的节点844表示为nodet(depth,count)或仅node(depth,count),其中depth≥0和0≤count<2depth-1指示节点在树中的位置。树的高度与车辆的标识符(VID)的长度(以比特为单位)匹配。结果,每个叶nodet(depth,count)可以被用作DSV以表示系统中的单个车辆110:具有VID=count的车辆。为了表示法的简洁,我们通过codet,VID来表示treet的叶,其索引与给定VID相对应,即
codet,VID=nodet(|VID|,VID) (等式24)
例如,在Kumar等人中,VID的建议长度是40比特,这足以覆盖超过1万亿辆车辆。比特长度不限制本发明。
哈希树允许压缩DSV以便分发给车辆:能够通过分发子树的根来分发任何子树的所有叶,所以如果子树的所有叶与诚实的车辆相对应,则仅需要分发子树的根。树的每个节点伴随有其(depth,count)参数,所以车辆能够根据该节点计算叶值;在根的情况下,例如,(depth,count)参数是(0,0)。
在一个示例性实施例中,假定节点844为k比特长,产生k比特安全级别(例如,在现代部署中k可能为128)。树840是以以下方式构建的。首先,将其根nodet(0,0)设置为在每个激活时段内唯一的随机比特字符串。然后根据其与“安全字符串”I、节点特定后缀组合的父节点来计算每一其它节点844。更准确地说,我们有:
Figure GDA0004138337100000341
其中安全字符串I被定义为
I=(cam_id||t||depth||count) (等式26)
如果激活时段横跨多个有效时间段165,则能够将t设置为由该激活时段覆盖的第一时间段165。此方法给予系统足够的灵活性以增加或减少激活时段的长度,而不会引发安全字符串的重复。如附录中进一步讨论的,此类不可重复的安全字符串可用于阻挠与通过引用并入本文的E.Biham,“How to decrypt or even substitute DES-encryptedmessages in 228steps,”Inf.Process.Lett.,vol.84,no.3,pp.117-124,Nov.2002(E.Biham,“如何在228个步骤中解密或甚至替换DES加密的消息”,Inf.Process.Lett.,第84卷,第3期,第117-124页,2002年11月)中描述的生日攻击类似的生日攻击。
下表示出了组成那些安全字符串的字段的建议长度,导致|I|=104。此长度足够大以在224个时间段内支持40比特长的VID,这224个时间段在时间段为1周长的情况下意味着超过300000年。同时,只要哈希函数的输入适合其块大小,就不可能对激活树840的计算产生任何可察觉的影响。例如,SHA-256在512比特块上操作,将至少65比特附加到其输入消息(用于填充的比特‘1’以及64比特长度的指示符);参见NIST,Federal InformationProcessing Standard(FIPS 180-4)-SecureHash Standard(SHS),National Instituteof Standards and Technology,U.S.Department of Commerce,National Institute ofStandards and Technology,U.S.Department of Commerce(NIST),Gaithersburg,MD,USA,August 2015,DOI:10.6028/NIST.FIPS.180-4(NIST,联邦信息处理标准(FIPS 180-4)-安全哈希标准(SHS),美国商务部国家标准和技术协会(NIST),美国马里兰州盖瑟斯堡,2015年8月,DOI:l0.6028/NIST.FlPS.180-4)。因此,即便当将128比特节点值与319比特或更小的安全字符串组合时,对其底层压缩函数的单次调用也足以处理128位节点值。
根据本公开的一些实施例的激活树中采用的安全字符串的分量
Figure GDA0004138337100000351
等式(等式25)和(等式26)以及其它树相关详情是可选的,并且不限制本发明。
将激活码整合到eSCMS证书颁发过程中
在假名证书颁发过程中采用由CAM 838生成的二进制哈希树840。在图14A和图14B中示出了一个示例。在图14A中,带圆圈的数字1至7示出步骤的顺序。
步骤904、810如在图10A-B或图11A-B中一样;带圆圈的数字1与步骤810相对应。具体地,当具有给定VID的车辆110(或其它实体)从RA请求一批假名证书时,车辆(通过其设备110)将值(X,f)提供给RA。在不失一般性的情况下,我们假定车辆正在请求一批总共β=τ*σ个证书,其由针对τ个时间段中的每个时间段的σ个证书构成(每个时间段与有效期165相对应)。
在接收到车辆的请求(步骤812,与带圆圈的数字2、3、4相对应)时,对于每个时间段,RA将车辆的VID发送到CAM,请求CAM为从0到τ-1(含)的每个时间段t提供盲激活码At。CAM计算(带圆圈的数字3)并返回(带圆圈的数字4)盲激活码At如下:
At=fa(codet,VID,t,VID)·G (等式27)
此盲激活码当被视为公有密钥分量时,与以下私有密钥分量相对应:
at=fa(codet,VID,t,VID) (等式27’)
此操作使用伪随机函数fa,其能例如使用NIST批准的PRF构造和codet,VID作为秘密种子来被实例化。结果,fa的输出是不可预测的,因为激活树的叶codet,VID仍然尚未由CAM公开。CAM还通过乘以椭圆曲线生成器G来使此值不可见,所以RA不能够从CAM的响应中获知此值。我们注意到,即使我们为了简单而假定单个CAM参与证书批次的生成,但是在实践中RA能在此过程期间联系多个CAM,从而改进系统对抗CAM受到损害的可能性的恢复力。
在步骤814(带圆圈的数字5)处,RA执行蝴蝶密钥扩展,生成cocoon密钥。此过程与eSCMS类似,但具有一个重要差异:盲码At被并入到cocoon密钥中。更准确地说,令Xt,c表示时间段t的第c个公有cocoon密钥。此密钥由RA计算为:
Figure GDA0004138337100000361
对于每个0≤c<σ和0≤t<τ。此公有密钥与以下私有密钥相对应:
Figure GDA0004138337100000371
通过在计算cocoon密钥
Figure GDA0004138337100000372
时使用伪随机函数f,RA确保即使对于使用相同At计算的密钥组,它们也不能够稍后由CAM或由PCA关联。因此,无论CAM和PCA是否合谋,此过程都保存假名证书请求的不可链接性。
在步骤818(带圆圈的数字6)处,如在图10A-B或图11A-B的情况下一样,对于每个cocoon密钥
Figure GDA0004138337100000376
RA生成RA请求,向该请求指派唯一请求ID(“RA请求ID”),并且创建包含RA请求ID、cocoon密钥索引t和c以及关联设备请求的数据结构(“RA请求数据结构”)。RA请求被混排在一起;混排过程预期将包括来自不同车辆的cocoon密钥。RA请求与RA请求ID一起被发送到PCA。另外与请求一起发送的是元数据,例如,证书的有效期165和链接值(lv)234。设备ID未被提供给PCA,所以PCA不能够将RA请求与设备相关联。另外,PCA不能够确定不同的RA请求是与相同的还是不同的设备相关联。
PCA对每个请求的处理可以如在图10A-B或图11A-B(步骤822-830)中一样,并且在图14A-B中通常示出为步骤1020(带圆圈的数字7)。图10A-B和图11A-B中的索引i与图14A-B中的对(t,c)相对应。
更特别地,在步骤1020处,PCA计算公有cocoon加密密钥
Figure GDA0004138337100000373
如在等式(等式13)或(等式13’)中一样。等式(等式13)提供:
Figure GDA0004138337100000374
等式(19’)提供:
Figure GDA0004138337100000375
PCA还计算车辆的(隐式或显式)假名证书,如在图10A-B、图11A-B中的步骤822、826处一样。
所得的证书与适当的值(图10A-B或图11A-B中的ri或sigi,其中索引i与(t,c)对相对应)级联以形成包,该包然后在步骤900处被发送回到RA之前用
Figure GDA0004138337100000386
进行加密(步骤830)。RA继而解混排包并将它们中继到所对应的车辆,而不再次联系CAM(步骤910),如在图10A-B或图11A-B中一样。
由于PCA处理(步骤1020、900)和后续RA处理(步骤910)与eSCMS相同,所以PCA处的处理成本和带宽使用率保持不变。此外,eSCMS的底层安全特性仍然适用,包括由RA执行的针对MitM攻击的保护。
作为此过程的结果,只有在车辆也获得所对应的DSV=codet,c的情况下才能够对通过
Figure GDA0004138337100000381
加密的证书进行解密。最后,在等式(等式13AC’)的情况下,现在将解密密钥计算为:
Figure GDA0004138337100000382
其中
Figure GDA0004138337100000383
由给出的等式(等式28’)定义。
所以
在等式(等式13)的情况下,解密密钥是:
Figure GDA0004138337100000384
此外,对于统一蝴蝶密钥,由PCA接收到的密钥
Figure GDA0004138337100000385
取决于codet,VID,并且私有签名密钥ut,c也是如此,无论它是在显式模型还是隐式模型中计算的。更准确地说,对于显式证书,如果处理如在等式(等式12)中一样,则我们有:/>
ut,c=x+fa(codet,VID,t,VID)+f(t*σ+c)+rt,c
其中rt,c由PCA在诸如822(图10A-B)的步骤处生成并且在步骤900处被发送(加密)到车辆。
如果处理如在等式(等式12’)中一样,则:
ut,c=rt,c(x+fa(codet,VID,t,VID)+f(t*σ+c))
对于隐式证书,私有密钥是
ut,c=ht,c(x+fa(codet,VID,t,VID)+f(t*σ+c))+sigt,c
因此,为了防止具有标识符VIDr的车辆激活其证书,防止车辆获得其
Figure GDA0004138337100000391
就足够了。在那种情况下,用于该车辆的证书的CRL条目不再需要保留在CRL中超过一个或几个激活时段。
分发激活码
如图14B中在步骤911处所示,在每个有效期t(时段165)之前的某个时间,CAM 838确定有效车辆(或其它设备)的叶节点索引(depth,count),并且确定节点索引(depth,count)的最小集合,根据其能够经由等式(等式25)和(等式26)但是不能由任何被撤销的车辆为有效车辆计算叶节点值(DSV)。能够如在例如BCAM中一样确定最小集合:最小集合中的每个节点索引都是子树的根,该子树的叶与仅“诚实的”(有效)车辆相对应。
CAM然后从与相关时段t相对应的树840分发最小集合的nodet(depth,count)值。这些值能够被分发给仅未撤销的车辆,或者能够被广播给所有车辆;在车辆与CAM之间无需双向连接。每个nodet值伴随有其t和(depth,count)参数。能够将这些值提供给中间系统(未示出)以进行缓存;每个车辆能够在车辆方便的时候从中间系统获得这些值。
如从上文清楚的,考虑到二进制哈希树的每一节点都能够从其父计算,最小集合的树的节点取决于哪些节点当前被撤销/挂起。例如,给定树的根,能够计算其所有叶,因此,所有车辆都能够获得其对应的激活码。因此,如果在时间段t中没有车辆被撤销,则CAM仅需要广播nodet(0,0)以允许系统中的所有证书被激活。这在分发激活码时将导致最佳性能。
然而,当需要撤销车辆时,CAM不会揭示所对应的叶与树的根之间的路径中的节点中的任一个。这防止由任何设备(包括可能设法与被撤销的设备合谋以允许激活后者的证书的未撤销的车辆)计算该叶。例如,考虑图13中所示的树。为了撤销VID为4的车辆,CAM将不得不仅广播以下节点:节点(1,0),其使得能够计算叶节点(3,0)至(3,3);节点(2,3),用于计算叶节点(3,6)和节点(3,7);和叶节点(3,5)。更一般地,并且如Kumar等人所提及的,当nt当中nr个用户被撤销时,由CAM广播的消息中包括的节点的数目平均为nr·lg(nt/nr),其中1≤nr≤nt/2(参见通过引用并入本文的W.Aiello,S.Lodha和R.Ostrovsky,“Fastdigital identity revocation(extended abstract),”in Proc.of the l8th AnnualInternational Cryptology Conference on Advances in Cryptology(CRYPTO’98).London,UK,UK:Springer-Verlag,1998,pp.137-152(“快速数字身份撤销(扩展的摘要)”,第十八届密码学进展的年度国际密码学会议(CRYPTO’98),英国伦敦,英国:施普林格出版社,1998年,第137-152页)的定理1)。因此,尽管比未发生撤销的场景更昂贵,但是此方法仍然比每个激活码的单独递送更高效。实际上,还存在诸如特此描述的用于对二进制哈希树进行编码的高效方法,所以广播消息中包括的每个节点的索引能够用少于|VID|比特表示(参考Kumar等人的第4.4节),从而节约一些带宽。
在步骤914处,每个未撤销的设备110根据由CAM在步骤911处分发的值来计算其叶值codet,VID(DSV)。能够根据等式(等式25)和(等式26)完成此计算。
另外在步骤914处,每个未撤销的设备110为每个加密证书160p确定每个等式(等式29)或(等式29’)的解密密钥。设备使用解密密钥来对证书进行解密。
剩余步骤能够如在eSCMS中一样,包括验证在步骤826处形成的PCA签名以及确定设备的签名密钥ut,c
证书颁发过程的安全性
在AC/PC(用于假名证书的激活码,诸如图14A-B中所示)中,CAM与PCA(各自RA)之间的合谋揭示了与在eSCMS中PCA(各自RA)可得到的信息一样多的信息。实际上,如果我们移除At对如图14A-B中所描述的那样计算的公有cocoon密钥的影响,则结果与eSCMS中的公有cocoon密钥匹配。因此,与CAM合谋能够仅移除由此实体引入的熵,同时仍然保存eSCMS的安全特性。
特别地,车辆的caterpillar私有密钥x在协议的整个执行期间仍然受到椭圆曲线离散对数问题(ECDLP)保护。因此,即使RA、PCA和CAM合谋,它们也不能恢复签名或从它导出的解密私有密钥。只要RA和PCA不合谋,就类似地保存证书之间的不可链接性:由RA完成的混排仍然对PCA隐藏任何意在用于同一车辆的证书请求之间的关系;同时,PCA的加密响应防止除适当的车辆外的任何人获知certi。最后,由于(统一)蝴蝶密钥扩展过程授予车辆验证所接收到的证书是否是以公平方式生成的能力,所以避开了(例如,由RA的)MitM攻击。
值得提及的是,前述CAM无法经由合谋创建新的威胁不仅仅是幸运的巧合。实际上,(非盲)激活码coder,VID是由CAM最初保密并且因此能在这种合谋中贡献的唯一信息。由于那些码被周期性地公开以允许车辆激活其证书,所以这种公共公开不应该负面地影响系统的安全。因此,在合谋期间的“私下公开”预期具有类似的结果。
撤销程序的安全
在下面讨论的安全特征不限制本发明。本发明可以覆盖不具有此类特征的实施例。
AC/PC的撤销程序的安全依靠用于构造激活树840的哈希函数的第一抗原像性以及由CAM对其节点的适当公开。原则上,这意味着对安全哈希函数的选择足以实施撤销。如果我们假定系统的实体通过非法不撤销车辆(即,在没有来自MA的授权的情况下)将一无所获,则至少应该是这种情况。尽管如此,评价当系统的实体中的一个受到损害时发生什么是有用的,并且结果,其能力被滥用旨在允许激活被撤销的设备。
一方面,行为异常(rogue)/受到损害的CAM能向所有车辆甚至被撤销的车辆公开每一激活树的根,允许系统中的所有证书被激活。但是,除了以高效的方式破坏攻击者撤销设备的能力之外,这也不会给予攻击者对系统的任何优势。特别地,与前一节证书颁发过程的安全中的讨论一致,这不会授予CAM或任何其它实体跟踪设备的能力。因此,CAM它本身不可能行为异常并参与这种恶意活动。此外,如果CAM的存储不知何故受到损害,则仍然能够通过使被撤销的车辆的数据保留在CRL中来遏制码的泄漏,就像在原始SCMS或eSCMS中一样。因此,攻击不会导致任何灾难性的安全漏洞,而仅抵消由激活码提供的性能增益。
另一方面,RA或PCA处的安全漏洞不应该揭示关于激活码的任何信息。原因是这些实体从未获知仅由CAM知道的此类码。然而,如果这些实体中的任一个在允许其行为由攻击者控制的级别下行为异常或受到损害,则它能够独立于激活码向被撤销的车辆提供有效的证书。具体地,不诚实的PCA至少在PCA它本身被撤销之前总是能够为车辆(包括被撤销的车辆)颁发新的假名证书。受到损害的RA能够例如通过为未撤销VIDd请求假名证书来类似地行动,并且然后将那些证书递送给其标识符为VIDr≠VIDd的被撤销的车辆。这种不当行为很可能不会引起注意,因为证书不会在其上携带任何VID。此外,如果VIDd与其假名证书尚未被请求的有效车辆相对应,则CAM将不能够注意到被RA欺诈。实际上,即使过去已经请求了VIDd,设法通过将CAM配置成拒绝对同一VIDd的第二请求来防止这种攻击也很可能产生管理问题。例如,对VIDd的初始请求的处理可能自然地失败,所以诚实的RA实际上将需要发送关于同一VIDd的第二请求。作为另一示例,不诚实的RA可能通过执行“拒绝证书”攻击来滥用此过程:RA向请求caterpillar密钥的CAM查询未撤销的VIDd,但是它不执行假名证书颁发过程;可能通过诚实的RA的关于VIDd的将来请求然后会失败。
这些观察结果表明,即使行为异常RA或PCA从未获得对激活码的访问,它们在系统中的角色也仍然使得它们能够为被撤销的车辆提供有效的证书。实际上,类似的讨论也适用于原始BCAM协议,其中行为异常RA或PCA在它们再一次由CAM加密之前能给被撤销的车辆提供PCA加密的证书。尽管如此,还是采用了AC/PC的确保仅CAM能够分发激活码的方法,因为即使这实际上不防止此类威胁,它也减少了系统的攻击面。例如,假设RA和/或PCA如Kumar等人的第5.3.3节中所提出的那样存储出于灾难恢复的目的而生成的(PCA加密的)证书。如果是这种情况,则公开为现在被撤销的车辆颁发的证书的数据漏洞不会产生任何安全担忧,因为该车辆仍然不能对那些证书进行解密。为了弥补无法将那些证书用于未撤销的设备的灾难恢复的能力,RA和PCA然后能够颁发新的假名证书,可能撤销旧证书。
在一些实施例中,激活码可被RA或PCA或两者利用。例如,盲激活码At和对应的at可以由RA根据激活码来计算。
在一些实施例中,树840没有被使用;例如CAM分发叶节点值或at值。
在一些实施例中,车辆可以配备有硬件安全模块(HSM),该HSM可能经由“软撤销”机制被停用:代替要求CAM从二叉树中省略节点,行为不当机构能周期性地颁发包含被撤销的车辆的标识符的软撤销列表(SRL);结果,SRL中列举的车辆的HSM预期简单地拒绝为所对应的证书计算解密密钥。为了启用此特征,HSM可以输出CAM加密的对称密钥k,该对称密钥k被包括在车辆对假名证书的请求中。然后,CAM能够通过将盲激活值计算为fa(k,codet,VID,t,VID)·G来确保HSM是能够对证书进行解密的唯一实体。这种方法的优点是它可能导致由CAM广播的较小消息。最后,车辆的(硬)撤销迫使CAM公开撤销树的多个节点,而不是仅仅其根。然而,如果已知那些车辆由于符合的HSM而被软撤销,则能够在对系统的安全没有负面影响情况下公开激活树的根。
与相关工作:IFAL和BCAM的比较:
当与IFAL相比较时,AC/PC(图14A-B)在至少两个重要的方面不同。首先,IFAL允许“诚实但好奇”PCA将若干证书链接到同一设备;如果我们像在原始SCMS中一样假定PCA和RA不合谋,则在特此描述的解决方案中不存在这种隐私问题。第二,AC/PC使用二进制哈希树来广播激活码而不是要求车辆单独地请求它们来允许车辆比IFAL的策略更高效地获得激活。
在架构上,AC/PC与BCAM比与IFAL共享更多的相似性,特别地因为BCAM和我们的提议都将二进制哈希树用于分发激活码。尽管如此,通过将安全字符串整合到激活树中,那些树的节点可以是128比特长,同时仍然保存128比特安全级别,而不管被撤销的设备的数目如何。当与使用256比特节点的BCAM相比较时,这表示用于分发激活树的50%带宽增益。
在处理方面,所得的设计导致成本稍微高于用BCAM获得的成本;发生这种情况是因为对于每个激活时段,通过计算一个椭圆曲线点At来替换CAM处的对称加密和车辆处的后续解密。然而,这节约RA与CAM之间的带宽,因为这些实体仅交换表示来自激活树的节点的数据,而不是成批证书。甚至更重要的是,CAM未从RA接收到证书的事实防止前者获知哪些PCA加密的证书属于同一设备。此外,如在关于撤销程序的安全的前一节末尾处讨论的,它还减少由行为异常RA或PCA的攻击面。因此,即使PCA和CAM合谋或受到损害,AC/PC也能够保护车辆的隐私。
AC/PC解决方案引入用于颁发假名证书并且为先前颁发的假名证书分发激活码、高效地防止被撤销的设备使用那些证书的新颖方法。当与最新技术相比较时,它在安全和效率方面带来优势。即,它减小CRL的大小,诸如在诸如SCMS和eSCMS的解决方案中采用的那些的大小。当与诸如BCAM的解决方案相比较时,它还降低计算成本,尤其是在带宽使用率方面的成本。最后,它避免了合谋点的创建,所以PCA单独不可能侵犯用户的隐私(与IFAL不同),PCA和CAM也不可能出于此目的而合谋(与BCAM不同)。解决方案也适合于非假名证书。
将激活码整合到其它证书颁发过程中
类似的激活技术能够与SCMS(图7、图8)一起使用。例如,RA可以像以上针对eSCMS所描述的那样计算At
Figure GDA0004138337100000451
并且按等式(等式13AC)或(等式13AC’)而确定加密密钥
Figure GDA0004138337100000452
步骤822至900可以如在图7或图8中一样。激活可以如在图14B中步骤911-914处一样。
本发明不限于上述实施例。一些实施例由以下条款限定:
条款1限定一种用于由实体(诸如RA、PCA、CAM或设备110;以下圆括号中的示例不限制条款)进行数字证书管理的方法。此类实体可操作以对数字值执行计算并且相互通信(实体可以是如在图2中一样的计算机系统)。数字证书由设备(例如车辆和非车辆设备110)在认证操作中使用,每个设备是实体中的一个。数字证书可以或可以不是假名证书。每个数字证书将通过关联的激活码(例如codet,c)来激活。该方法包括:
由第一实体(例如RA)从一个或多个设备接收一个或多个设备请求,每个设备请求为关联设备请求一个或多个数字证书(例如注意步骤810);
对于每个设备请求,执行以下操作:
由第一实体使用关于关联设备的信息(例如使用VID)来获得一个或多个盲激活码(例如At),该一个或多个盲激活码(例如At)与关联于要为设备颁发的一个或多个数字证书的一个或多个激活码(例如codet,c或at)相关联,其中,第一实体不能确定一个或多个关联的激活码;
由第一实体生成一个或多个证书生成请求,每个证书生成请求使用关联的盲激活码被生成;
由第一实体向证书授权机构(CA)发送每个证书生成请求(证书生成请求可以包括
Figure GDA0004138337100000461
),其中,CA不能将证书生成请求链接到关联设备(参见步骤818);
其中,CA可操作以根据每个证书生成请求来生成加密数字包,该加密数字包是对包括关联的数字证书的数字包的加密,所述关联的数字证书可由关联设备使用关联的激活码从加密包中恢复。
2.一种用于由可操作以对数字值执行计算并且相互通信的实体进行数字证书管理的方法,该数字证书由设备在认证操作中使用,每个设备是实体中的一个,其中,每个数字证书将通过关联的激活码来激活,该方法包括:
由第一实体从一个或多个设备接收一个或多个设备请求,每个设备请求为关联设备请求一个或多个数字证书;
对于每个设备请求,执行以下操作:
由第一实体使用关于关联设备的信息来获得一个或多个盲激活码,该一个或多个盲激活码与关联于要为设备颁发的一个或多个数字证书的一个或多个激活码相关联,其中,每个盲激活码使用伪随机函数(例如fa;参见等式(27);该伪随机函数可以是fa和其它函数的组合)的输出被确定,该伪随机函数被应用于包括关于关联设备的信息(VID)的输入(例如VID和/或codet,c和/或其它信息);
由第一实体生成一个或多个证书生成请求,每个证书生成请求使用关联的盲激活码被生成;
由第一实体向证书授权机构(CA)发送每个证书生成请求;
其中,CA可操作以根据每个证书生成请求来生成加密数字包,该加密数字包是对包括关联的数字证书的数字包的加密,该关联的数字证书可由关联设备使用关联的激活码从加密包中恢复。
3.根据条款1或2所述的方法,其中,每个激活码取决于要激活每个关联的数字证书的时间间隔。
4.根据任一前述条款所述的方法,其中,CA不能确定关联的激活码,也不能确定关联的盲激活码。
5.根据任一前述条款所述的方法,其中,一个或多个证书生成请求包括多个证书生成请求,并且CA不能确定任何证书生成请求是否被关联到单个设备。
6.根据任一前述条款所述的方法,还包括:对于每个证书生成请求,由CA生成加密数字包,该加密数字包是对包括关联的数字证书的数字包的加密,该关联的数字证书可使用与盲激活码相关联的激活码来从加密包中恢复;
其中,生成数字加密包包括:
生成数字包;
生成取决于盲激活码的加密密钥;
在加密密钥下对数字包进行加密。
7.根据任一前述条款所述的方法,其中,盲激活码由第二实体(例如CAM)提供给第一实体,第二实体生成了关联的激活码并且根据激活码计算了盲激活码。
8.根据条款7所述的方法,其中,第二实体和CA一起不能将盲激活码链接到任何关联的证书生成请求。
9.根据任一前述条款所述的方法,其中,每个数字证书是假名证书。
10.一种可操作以对数字值执行计算并且与其它实体以无线方式进行通信的第一设备,该第一设备被配置成作为根据条款1至9中的任何一项或多项的方法中的设备来执行。
11.一种计算机可读介质,该计算机可读介质包括计算机指令,这些计算机指令可操作以使一个或多个计算机处理器作为根据条款10所述的第一设备操作。
12.一种可操作以对数字值执行计算并且与其它实体进行通信的数字证书管理实体,该数字证书管理实体被配置成作为根据条款1至9中的任何一项或多项的方法中的第一实体来执行。
13.一种可操作以对数字值执行计算并且与其它实体进行通信的数字证书管理实体,该数字证书管理实体被配置成作为在根据条款7和8中的任何一项或多项的方法中的将盲激活码提供给第一实体的第二实体来执行。
14.一种可操作以对数字值执行计算并且与其它实体进行通信的数字证书管理实体,该数字证书管理实体被配置成作为根据条款1至9中的任何一项或多项的方法中的证书授权机构来执行。
15.一种计算机可读介质,该计算机可读介质包括计算机指令,这些计算机指令可操作以使一个或多个计算机处理器作为根据条款12至14中的任何一项或多项所述的数字证书管理实体来操作。
其它实施例在如由所附权利要求所限定的本发明的范围内。
附录
针对BCAM的哈希树的生日攻击
BCAM的二进制哈希树的结构是这样的:它们的k比特节点是经由对于每个分支使用恒定后缀的迭代哈希来计算的。更准确地说,从随机根nodet(0,0)开始,treet的每个节点nodet(depth,count)根据其父计算如下:
Figure GDA0004138337100000491
其中如果节点是左(相应地右)子则b=0(相应地b=1),并且p≥1是合适的填充长度。例如,当k=256并且所采用的哈希函数是SHA-256时,采用1≤p<192将允许在计算树的任何节点时仅调用底层压缩函数一次。
假设具有标识符VIDr的车辆被撤销。在那种情况下,对于t的每一将来值,不应该根据由CAM广播的消息来计算叶nodet(|VIDr|,VIDr)。这意味着根与该叶之间的路径中的所有节点的集合Nr必须保密。为了完成这个,CAM仅广播Nr中的节点的子辈。例如,如以上证书激活的描述中提及的,对nodet(3,4)的撤销导致集合Nd={nodet(1,0),nodet(2,3),nodet(3,5)}的公开。只要树是使用安全哈希函数构建的,则使用Nd中的任何节点来计算集合Nr={nodet(0,0),nodet(1,1),nodet(2,2),nodet(3,4)}中的节点是不直接的。实际上,这样做与为集合Nd中的节点寻找原像相对应。
为了克服BCAM的激活树的安全,能够采用以下攻击策略来为被撤销的车辆恢复激活码。首先,攻击者挑选一个任意k比特长的link0,并且在b=0或b=1之间任意地选取。然后将link0的值用作用于形式linkj=Hash(linkj-1||bp)的哈希链的锚点,直到执行了2n个哈希为止。为了简单,我们假定在此过程期间未发生冲突,即,对于所有j≠j′来说linkj≠linkj′。然而,这种简化在不失一般性的情况下出现,因为每当存在冲突时,攻击者能简单地(1)保存当前链,(2)挑选与任何先前计算的linkj不同的新锚点,然后(3)从此锚点启动新链。实际上,挑选不同的锚点以用于构建多个链无论如何都可能是有利的,因为这促进哈希的并行处理。只要以此方式使2n个不同的哈希可用,攻击就能够继续进行。
由于生日悖论,收集由CAM公开的2m个节点的攻击者极有可能在m+n≥k的情况下找到那些节点中的至少一个与2n个先前计算的linkj中的一些之间的匹配。假设在linkj与nodet(depth,count)之间发生匹配。在这种情况下,linkj-1是具有填充bp的nodet(depth,count)的有效原像。因此,如果攻击者挑选了b=0并且nodet(depth,count)是左子,则很可能的是,linkj-1将与激活树中的nodet(depth,count)的父匹配-除非linkj-1是第二原像而非实际原像。如果nodet(depth,count)的父也是左子,则其自己的父也很可能与linkj-2匹配,依此类推。如果b=1并且nodet(depth,count)是右子,则类似的论证适用。结果,此类冲突具有允许攻击者访问属于被撤销的集合Nr的节点的约50%的机会。然后能够激活其撤销取决于那些节点的所有证书。
考虑这种攻击场景,被撤销的设备的数目的增长对系统的安全具有两个负面影响。首先,从集合Nr中恢复一个节点变得更可能允许访问多个被撤销的设备的激活码。原因是在树的给定位置中的节点总是允许计算相同数目的叶(深度越低,此数目越高)。当被撤销的设备的数目增加时,由该节点覆盖的应该保持隐蔽以防止所对应的激活码被恢复的叶的数目也增加。第二,由CAM公开的将导致有用冲突的节点的数目也增长,即,m的值变得更大。
由于此类攻击以时间换取空间,所以一种可能的防御策略是采用足够大的k参数。例如,BCAM的作者建议k=256(参考Kumar等人第4.1.3节),意味着攻击者将不得不计算2n=2128个哈希,然后在实际上发生冲突之前从CAM收集2m=2128个节点。因此,在实践中,特此描述的攻击不会对BCAM构成实际的安全威胁。然而,存在针对此问题的更高效的防御策略,其在基于哈希的签名的背景下最初由通过引用并入本文的F.Leighton和S.Micali的1995年7月11日美国专利5,432,852“Large provably fast and secure digital signatureschemes based on secure hash functions(基于安全哈希函数的可证明的快速、安全的大型数字签名方案)”讨论(D.McGrew,M.Curcio和S.Fluhrer,“Hash-based signatures,”Internet Engineering Task Force,Internet-Draft draft-mcgrew-hashsigs-06,mar2017,work in Progress.(“基于哈希的签名”,互联网工程任务组,互联网-草稿,draft-mcgrew-hashsigs-06,2017年3月,正在进行中的工作)[在线].可从:https://datatracker.ietf.org/doc/html/draft-mcgrew-hash-sigs-06获得):以对于每个节点计算使用不同的后缀。此策略来自如下观察结果:linkj与nodet(depth,count)之间的冲突在它们用不同的后缀被计算的情况下是无用的。最后,在那种情况下linkj-1将不与nodet(depth,count)的父匹配,即,它将必定是第二原像而非该节点的实际原像。同时,攻击者不能对于给定后缀收集nodet(depth,count)的多于1个的值。因此,为了对于该后缀获得高概率的冲突,攻击者将不得不构建具有2n=2k-m=2k个条目的表。换句话说,当节点本身是128位比特长时,此方法导致具有128比特安全级别的系统。

Claims (10)

1.一种用于由可操作以对数字值执行计算并且相互通信的实体进行数字证书管理的方法,所述数字证书由设备在认证操作中使用,每个设备是所述实体中的一个,所述方法包括:
由第一实体从一个或多个设备接收一个或多个设备请求,每个设备请求为关联设备请求一个或多个数字证书,其中,每个数字证书将通过与所述关联设备相关联的各个激活码来激活;
对于每个设备请求,执行以下操作:
由所述第一实体向第二实体发送包括所述关联设备的标识信息的盲激活码请求;
响应于所述盲激活码请求,由所述第一实体从所述第二实体获得一个或多个盲激活码,每个盲激活码使用所述关联设备的标识信息来生成,并且与关联于要为所述关联设备颁发的一个或多个数字证书的一个或多个激活码相关联,其中,所述第一实体不能确定所述一个或多个关联的激活码;
由所述第一实体生成一个或多个证书生成请求,每个证书生成请求使用所述关联的盲激活码被生成;
由所述第一实体向证书授权机构(CA)发送每个证书生成请求,
其中,所述CA不能将所述证书生成请求链接到所述关联设备;
其中,所述CA可操作以从每个证书生成请求来生成加密数字包,所述加密数字包是对包括关联的数字证书的数字包的加密,所述关联的数字证书可由所述关联设备使用所述关联的激活码从加密包中恢复。
2.根据权利要求1所述的方法,
其中,每个盲激活码使用应用于包括关于所述关联设备的所述标识信息的输入的伪随机函数的输出被确定。
3.根据权利要求1所述的方法,其中,每个激活码取决于要激活每个关联的数字证书的时间间隔。
4.根据权利要求1-3的任一权利要求所述的方法,其中,所述CA不能确定所述关联的激活码,也不能确定所述关联的盲激活码。
5.根据权利要求1-3的任一权利要求所述的方法,其中,所述一个或多个证书生成请求包括多个证书生成请求,并且所述CA不能确定任何证书生成请求是否被关联到单个设备。
6.根据权利要求1-3的任一权利要求所述的方法,还包括:对于每个证书生成请求,由所述CA生成加密数字包,所述加密数字包是对包括关联的数字证书的数字包的加密,所述关联的数字证书可使用与所述盲激活码相关联的激活码从所述加密包中恢复;
其中,生成所述加密数字包包括:
生成所述数字包;
生成取决于所述盲激活码的加密密钥;
在所述加密密钥下对所述数字包进行加密。
7.根据权利要求1-3的任一权利要求所述的方法,其中,所述盲激活码由第二实体提供给所述第一实体,所述第二实体生成了所述关联的激活码并且从所述激活码计算了所述盲激活码。
8.根据权利要求7所述的方法,其中,所述第二实体和所述CA一起不能将所述盲激活码链接到任何关联的证书生成请求。
9.根据权利要求1-3的任一权利要求所述的方法,其中,每个数字证书是假名证书。
10.一种可操作以对数字值执行计算并且与其它实体无线地通信的第一设备,所述第一设备包括:
一个或多个计算机处理器;以及
计算机可读介质,其包括计算机指令,该计算机指令可操作使所述一个或多个计算机处理器执行:
从一个或多个设备接收一个或多个设备请求,每个设备请求为关联设备请求一个或多个数字证书,其中,每个数字证书将通过与所述关联设备相关联的各个激活码来激活;
对于每个设备请求,执行以下操作:
向第二实体发送包括用于所述关联设备的标识信息的盲激活码请求;
响应于所述盲激活码请求,从所述第二实体获得一个或多个盲激活码,每个盲激活码使用所述关联设备的标识信息来生成,并且与关联于要为所述关联设备颁发的一个或多个数字证书的一个或多个激活码相关联,其中,第一实体不能确定所述一个或多个关联的激活码;
生成一个或多个证书生成请求,每个证书生成请求使用所述关联的盲激活码被生成;
向证书授权机构(CA)发送每个证书生成请求,
其中,所述CA不能将所述证书生成请求链接到所述关联设备;
其中,所述CA可操作以从每个证书生成请求来生成加密数字包,所述加密数字包是对包括关联的数字证书的数字包的加密,所述关联的数字证书可由所述关联设备使用所述关联的激活码从加密包中恢复。
CN201980011608.5A 2018-02-05 2019-02-05 使用盲激活码进行数字证书撤销的密码方法和系统 Active CN111684764B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862626672P 2018-02-05 2018-02-05
US62/626,672 2018-02-05
PCT/US2019/016658 WO2019152994A1 (en) 2018-02-05 2019-02-05 Cryptographic methods and systems using blinded activation codes for digital certificate revocation

Publications (2)

Publication Number Publication Date
CN111684764A CN111684764A (zh) 2020-09-18
CN111684764B true CN111684764B (zh) 2023-07-04

Family

ID=67477151

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980011608.5A Active CN111684764B (zh) 2018-02-05 2019-02-05 使用盲激活码进行数字证书撤销的密码方法和系统

Country Status (4)

Country Link
US (2) US11184180B2 (zh)
EP (1) EP3750277A4 (zh)
CN (1) CN111684764B (zh)
WO (1) WO2019152994A1 (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111684763B (zh) * 2018-01-11 2023-10-03 Lg电子株式会社 使用激活码进行数字证书吊销的加密方法和系统
EP3750277A4 (en) * 2018-02-05 2021-12-08 Lg Electronics Inc. ENCRYPTION METHODS AND SYSTEMS USING MASKED ACTIVATION CODES FOR DIGITAL CERTIFICATE REVOCATION
US11646879B2 (en) * 2018-06-12 2023-05-09 Electronics And Telecommunications Research Institute Method and apparatus for selecting distributed consensus node based on proof of nonce
EP3970316A1 (en) * 2019-05-14 2022-03-23 Volkswagen Aktiengesellschaft Implementation of a butterfly key expansion scheme
US11576037B2 (en) * 2019-10-18 2023-02-07 Huawei Technologies Co., Ltd. Issuing offline PKI certificates in distributed V2X network
CN112822677B (zh) * 2019-10-30 2022-07-29 华为技术有限公司 一种通信方法及装置
WO2021126554A1 (en) * 2019-12-20 2021-06-24 Lg Electronics, Inc. Privacy-preserving delivery of activation codes for pseudonym certificates
US11511767B2 (en) 2020-07-23 2022-11-29 Qualcomm Incorporated Techniques for utilizing CV2X registration data
US11410551B2 (en) 2020-07-23 2022-08-09 Qualcomm Incorporated Techniques for utilizing a mobile device as a proxy for a vehicle
US11683684B2 (en) 2020-07-23 2023-06-20 Qualcomm Incorporated Obtaining a credential for V2X transmission on behalf of a vehicle
KR102281949B1 (ko) * 2020-10-29 2021-07-26 펜타시큐리티시스템 주식회사 익명 인증서 관리 방법 및 장치
CN113923651B (zh) * 2021-12-14 2022-02-25 北京金睛云华科技有限公司 车辆假名更换方法、设备和计算机可读存储介质

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5432852A (en) 1993-09-29 1995-07-11 Leighton; Frank T. Large provably fast and secure digital signature schemes based on secure hash functions
US6487658B1 (en) * 1995-10-02 2002-11-26 Corestreet Security, Ltd. Efficient certificate revocation
US8732457B2 (en) * 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US8171524B2 (en) * 1995-10-02 2012-05-01 Corestreet, Ltd. Physical access control
WO2001071463A2 (en) * 2000-03-17 2001-09-27 United States Postal Service Methods and systems for providing a secure electronic mailbox
WO2001095068A2 (en) 2000-06-09 2001-12-13 Certicom Corp. A method for the application of implicit signature schemes
US6976162B1 (en) * 2000-06-28 2005-12-13 Intel Corporation Platform and method for establishing provable identities while maintaining privacy
US8185938B2 (en) * 2001-03-29 2012-05-22 International Business Machines Corporation Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
JP2004206435A (ja) * 2002-12-25 2004-07-22 Victor Co Of Japan Ltd ライセンス管理方法、およびライセンス管理システム
WO2005038634A2 (en) * 2003-10-17 2005-04-28 International Business Machines Corporation Maintaining privacy for transactions performable by a user device having a security module
JP2007517303A (ja) * 2003-12-24 2007-06-28 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 認可証明書使用中のプライバシー保護
US20050154878A1 (en) * 2004-01-09 2005-07-14 David Engberg Signature-efficient real time credentials for OCSP and distributed OCSP
US7266692B2 (en) * 2004-12-17 2007-09-04 Ntt Docomo, Inc. Use of modular roots to perform authentication including, but not limited to, authentication of validity of digital certificates
AU2006216517A1 (en) 2005-02-25 2006-08-31 Qualcomm Incorporated Small public-key based digital signatures for authentication
US7725614B2 (en) 2006-08-08 2010-05-25 Sandisk Corporation Portable mass storage device with virtual machine activation
WO2008085201A2 (en) * 2006-12-29 2008-07-17 Prodea Systems, Inc. Managed file backup and restore at remote storage locations through multi-services gateway device at user premises
US8171283B2 (en) * 2007-03-19 2012-05-01 Telcordia Technologies, Inc. Vehicle segment certificate management using short-lived, unlinked certificate schemes
US8392713B2 (en) * 2007-06-01 2013-03-05 Microsoft Corporation Secure offline activation process for licensed software application programs
KR100962399B1 (ko) 2007-08-24 2010-06-11 한국전자통신연구원 익명 공개 키 기반구조 제공 방법 및 이를 이용한 서비스제공 방법
EP2217995A4 (en) * 2007-10-26 2012-11-21 Telcordia Tech Inc METHOD AND SYSTEM FOR ESTABLISHING SECURE SESSION USING IDENTITY BASED ENCRYPTION (VDTLS)
US8230215B2 (en) * 2008-04-11 2012-07-24 Toyota Motor Engineering & Manufacturing North America, Inc. Method for allocating multiple authentication certificates to vehicles in a vehicle-to-vehicle communication network
EP2359526B1 (en) 2008-11-04 2017-08-02 SecureKey Technologies Inc. System and methods for online authentication
EP2384562B1 (en) * 2009-01-31 2013-07-17 International Business Machines Corporation Management of cryptographic credentials in data processing systems
US8281149B2 (en) * 2009-06-23 2012-10-02 Google Inc. Privacy-preserving flexible anonymous-pseudonymous access
EP2507935B1 (en) * 2009-12-01 2020-04-29 SecureKey Technologies Inc. System and methods for identity attribute validation
US9515999B2 (en) * 2011-12-21 2016-12-06 Ssh Communications Security Oyj Automated access, key, certificate, and credential management
US9425967B2 (en) * 2013-03-20 2016-08-23 Industrial Technology Research Institute Method for certificate generation and revocation with privacy preservation
CN104901931B (zh) * 2014-03-05 2018-10-12 财团法人工业技术研究院 证书管理方法与装置
US10461933B2 (en) * 2015-01-27 2019-10-29 Visa International Service Association Methods for secure credential provisioning
WO2017106705A2 (en) 2015-12-17 2017-06-22 Security Innovation, Inc Secure vehicle communication system
GB2547472A (en) * 2016-02-19 2017-08-23 Intercede Ltd Method and system for authentication
EP3497878B1 (en) * 2016-09-06 2020-05-20 Huawei Technologies Co., Ltd. Apparatus and methods for distributed certificate enrollment
EP4254248A3 (en) * 2017-10-22 2023-11-15 LG Electronics Inc. Cryptographic methods and systems for managing digital certificates
CN111684763B (zh) * 2018-01-11 2023-10-03 Lg电子株式会社 使用激活码进行数字证书吊销的加密方法和系统
EP3750277A4 (en) * 2018-02-05 2021-12-08 Lg Electronics Inc. ENCRYPTION METHODS AND SYSTEMS USING MASKED ACTIVATION CODES FOR DIGITAL CERTIFICATE REVOCATION
US10439825B1 (en) * 2018-11-13 2019-10-08 INTEGRITY Security Services, Inc. Providing quality of service for certificate management systems

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
冯丽娟 ; 姚源 ; 张春花 ; .面向车联网的车辆可撤销群签名机制.信息技术与信息化.2017,(第09期),35-39. *

Also Published As

Publication number Publication date
US11184180B2 (en) 2021-11-23
EP3750277A4 (en) 2021-12-08
US20220158854A1 (en) 2022-05-19
WO2019152994A1 (en) 2019-08-08
CN111684764A (zh) 2020-09-18
EP3750277A1 (en) 2020-12-16
US20190245703A1 (en) 2019-08-08

Similar Documents

Publication Publication Date Title
CN111684764B (zh) 使用盲激活码进行数字证书撤销的密码方法和系统
CN111149324B (zh) 用于管理具有链接值的数字证书的密码学方法和系统
US11930123B2 (en) Cryptographic methods and systems for managing digital certificates
US11190363B2 (en) Cryptographic methods and systems using activation codes for digital certificate revocation
US20230029523A1 (en) Privacy-preserving delivery of activation codes for pseudonym certificates
Simplicio Jr et al. ACPC: Efficient revocation of pseudonym certificates using activation codes
US20220376931A1 (en) Balancing privacy and efficiency for revocation in vehicular public key infrastructures
Chim et al. MLAS: Multiple level authentication scheme for VANETs
Bayrak et al. A secure and privacy protecting protocol for VANET
EP3738272B1 (en) Cryptographic methods and systems using activation codes for digital certificate revocation
Simplicio Jr et al. A privacy-preserving method for temporarily linking/revoking pseudonym certificates in vehicular networks
Tahir et al. Privacy-preserving authentication protocol based on hybrid cryptography for VANETs

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant