用于使用基于网络的应用层消息处理的降低的V2X接收器处
理负载的方法和系统
技术领域
本公开涉及智能运输系统(ITS),并且具体地涉及ITS站之间的通信。
背景技术
智能运输系统是这样一种系统,其中多个设备进行通信以允许运输系统就运输和交通管理做出更明智的决定,以及允许更安全并更协调的做出决定。ITS系统组件可以作为固定基础设施的一部分(诸如在桥梁上或交叉路口)而被提供在交通工具内,并且被提供用于运输系统的其他用户(包括行人或骑行者)。
ITS系统的部署在全球许多市场受到了广泛关注,其中射频频段被分配用于通信。除了用于安全关键和非关键应用的交通工具到交通工具通信之外,还针对交通工具到基础设施以及交通工具到便携式场景开发了另外的增强功能。
ITS站是可以提供ITS通信的任何实体,包括交通工具、基础设施组件、移动设备以及其他选项。在一些情况下,这种ITS站可以有意或无意地传输错误数据。例如,该ITS站可以具有故障传感器,故障传感器可以在ITS消息传递中提供故障数据。在其他情况下,恶意用户可以在消息中插入虚假信息,这将导致智能运输系统错误地工作。通常,当这种行为被检测到时,行为不端的ITS站的一个或多个证书的标识符可以被放在证书撤销列表(CRL)上,CRL可以被用来管理行为不端的ITS站。然后,从具有在CRL上的证书的另一ITS站接收消息的ITS站可以忽略这种消息,或者可以对这种消息内的信息的重要性不全信。
然而,使用CRL来管理行为不端的ITS端点具有缺点。具体而言,由于CRL可以属于非常大的地理区域,在这种地理区域中有许多交通工具和其他ITS站,因此CRL的长度可能很大。此外,每个ITS站可以有多个证书,因此每个ITS应用或服务类型可以有多个CRL。
附图说明
参考附图将更好地理解本公开,在附图中:
图1是智能运输系统的框图;
图2是示出了用于基于蜂窝的交通工具到万物(V2X)通信的架构的框图;
图3是示出了用于V2X通信的蜂窝广播的架构的框图;
图4是示出了用于验证发送ITS站和接收ITS站之间的消息的过程的数据流程图;
图5是示出了安全性凭证管理系统中的逻辑角色的框图;
图6是示出了在网络实体处用于验证传输到接收ITS站的V2X消息的过程的过程图;
图7是示出了在网络实体处用于为接收ITS站生成V2X消息的过程的过程图;以及
图8是能够与本公开的实施例一起被使用的示例计算设备的框图。
具体实施方式
本公开提供了一种在网络元件处用于处理去往智能运输系统站的第一消息的方法,该方法包括:在网络元件处从发送实体接收或者生成第一消息;以及基于第一消息的源或内容,执行以下中的一项:丢弃第一消息;或者修改第一消息,以向智能运输系统站提供智能运输系统不需要执行的检查的指示,从而创建第二消息;以及向智能运输系统站转发第二消息。
本公开还提供了一种网络元件,其被配置用于处理去往智能运输系统站的第一消息,网络元件包括:处理器;以及通信子系统,其中网络元件被配置为:在网络元件处从发送实体接收或者生成第一消息;以及基于第一消息的源或内容,执行以下中的一项:丢弃第一消息;或者修改第一消息,以向智能运输系统站提供智能运输系统不需要执行的检查的指示,从而创建第二消息;以及向智能运输系统站转发第二消息。
本公开还提供了一种用于存储指令代码的计算机可读介质,该指令代码用于处理去往智能运输系统站的第一消息,第一消息在由网络元件的处理器执行时使该网络元件:在网络元件处从发送实体接收或者生成第一消息;以及基于第一消息的源或内容,执行以下中的一项:丢弃第一消息;或者修改第一消息,以向智能运输系统站提供智能运输系统不需要执行的检查的指示,从而创建第二消息;以及向智能运输系统站转发第二消息。
在下面描述的实施例中,以下术语可以具有如表1所提供的以下含义。
表1:术语
智能运输系统软件和通信系统被设计来增强道路安全和道路交通效率。这种系统包括交通工具与交通工具通信(V2V)、交通工具与基础设施通信(V2I)、交通工具与网络通信(V2N)以及交通工具与行人或便携式设备通信(V2P)。交通工具与以上任何一项的通信通常可以被称为V2X。另外,其他元件可以彼此通信。因此,系统可以包括便携式设备与基础设施(P2I)的通信、基础设施到基础设施(I2I)通信、便携式设备到便携式设备(P2P)通信等。因此,如本文所使用的,V2X包括ITS站与另一ITS站之间的任何通信,其中该站与交通工具、路边单元、网络元件、行人、骑行者、动物等相关联。
这种通信允许运输系统的组件彼此通信。例如,高速公路上的交通工具可以彼此通信,从而允许第一交通工具向一个或多个其他交通工具发送消息以指示其正在制动,从而允许交通工具更紧密地彼此跟随。
通信还可以允许潜在的碰撞检测并且允许具有这种设备的交通工具采取诸如制动或急转弯的动作以避免碰撞。例如,交通工具上的主动安全系统可以采用来自诸如相机、雷达、激光雷达和V2X的传感器的输入,并且可以通过转向或制动、超越或增强人类驾驶员的动作或促进人根本不参与的自主驾驶来对这些输入采取动作。另一种高级驾驶员辅助系统(ADAS)是一种被动安全系统,其可向人类驾驶员提供警报信号以采取动作。主动和被动安全ADAS系统都可以采用来自V2X和ITS系统的输入。
在其他情况下,固定的基础设施可以向正在接近的交通工具警告它们即将进入危险的交叉路口,或者向交通工具警告正在接近交叉路口的其他交通工具或行人。该警告可以包括交叉路口的信号状态(信号阶段和定时(SPaT))以及交叉路口的交通工具或行人或危险因素的定位。ITS通信的其他示例是本领域技术人员已知的。
现在参考图1,其示出了ITS站的一个示例,如例如2010年9月的版本1.1.1中提供的欧洲电信标准协会(ETSI)的欧洲标准(EN)302665“Intelligent Transport Systems(ITS);communications architecture”中描述的。
在图1的实施例中,交通工具110包括交通工具ITS子系统112。在一些情况下,交通工具ITS子系统112可以与交通工具内载网络114通信。在图1的环境中,交通工具内载网络114可以从各种电子控制单元(ECU)116或118接收输入。
交通工具ITS子系统112可以包括交通工具ITS网关120,交通工具ITS网关120提供连接到交通工具内载网络114的功能性。
交通工具ITS子系统112还可以具有ITS-S主机122,ITS-S主机122包含ITS应用和这种ITS应用所需的功能性。
另外,ITS-S路由器124提供了互连不同的ITS协议栈(例如,在层3)的功能性。ITS-S路由器124可以能够例如针对ITS-S主机122转换协议。
另外,图1的ITS系统可以包括个人ITS子系统130,ITS子系统130可以在诸如个人数字助理(PDA)移动电话、用户设备以及其他这种设备的手持式或便携式设备中提供ITS通信(ITSC)的应用和通信功能性。
在图1的示例中示出的ITS系统的另外的组件包括路边ITS子系统140,路边ITS子系统140可以包含可以部署在桥梁、交通信号灯等上的路边ITS站。
路边子系统140包括路边ITS站142,路边ITS站142包括路边ITS网关144。这种网关可以将路边ITS站142与专有路边网络146连接。
路边ITS站还可以包括ITS-S主机150,ITS-S主机150包含ITS-S应用和这种应用所需的功能性。
路边ITS站142还可以包括ITS-S路由器152,ITS-S路由器152例如在层3提供不同ITS协议栈的互连。
ITS站142还可以包括ITS-S边界路由器154,ITS-S边界路由器154可以提供两个协议栈的互连,但是在这种情况下是与外部网络的互连。
在图1的示例中,ITS系统的另外的组件包括中央ITS子系统160,中央ITS子系统160包括中央ITS站内部网络162。
中央ITS站内部网络162包括中央ITS网关164、中央ITS-S主机166和ITS-S边界路由器168。网关164、中央ITS-S主机166和ITS边界路由器168具有与路边ITS站142的网关144、ITS主机150和ITS-S边界路由器154相似的功能性。
各个组件之间的通信可以通过ITS对等通信网络或经由网络基础设施170进行。
从上面的图1可以看出,V2X通信既可以被用于道路安全,也可以被用于提高道路运输的效率,包括交通工具移动、减少燃油消耗等。
V2X消息是由欧洲电信标准协会(ETSI)定义的,分为两类,即协作感知消息(CAM)和分散式环境通知消息(DENM)。CAM消息是周期性、时间触发的消息,其可以向相邻的ITS站提供状态信息。广播通常是在单跳上进行的,并且状态信息可能包括站类型、定位、速度、航向以及其他选项。CAM消息中的可选字段可以包括用以指示ITS站是否与道路工程、救援交通工具或运输危险货物的交通工具等相关联的信息。
通常,CAM消息每秒被传输1到10次。
DENM消息是事件触发的消息,其仅在满足触发条件时才被发送。例如,这种触发可能是道路危险或异常交通状况。DENM消息经由地理联网被广播到指配的相关区域。它可以通过若干无线跳被传送,并且事件信息可以包括关于引起事件、检测时间、事件定位、事件速度、取向等的详细信息。例如,在若干秒钟的持续时间内,每秒可以发送多达20次DENM消息。
类似的概念适用于专用短距离通信(DSRC)/交通工具环境中的无线接入(WAVE)系统,其中指定了基本安全消息而不是来自ETSI的CAM/DENM消息传递。
蜂窝V2X
各种系统或架构都可以提供V2X通信。诸如在第三代合作伙伴计划(3GPP)规范集中定义的蜂窝网络就是其中之一。如上所述,另一种备选方案是使用是电气和电子工程师协会(IEEE)802.11无线电技术的DSRC/WAVE。因此,尽管关于蜂窝V2X通信描述了本公开,但是V2X消息可以等同地通过不是3GPP蜂窝网络的网络被发送。特别地,在一种情况下,V2X通信可以使用802.11技术经由基础设施进行。
以蜂窝为例,各种选项都是可能的。这些选项包括经由基础设施的单播上行链路和/或下行链路。另外的选项包括经由基础设施的广播下行链路传输。另外的选项包括由设备广播的侧链路。
可以组合各种传输模式。例如,侧链路(PC5)或Uu单播上行链路传输可以被用来获取从交通工具到蜂窝基础设施、然后到网络元件(诸如V2X应用服务器)的V2X消息。然后,多媒体广播多播服务(MBMS)广播、ProSe广播或Uu单播中的任何一个都可以被用来获取从V2X应用服务器经由蜂窝基础设施到ITS站的V2X消息。
例如,现在参考图2,其示出了示例3GPP系统架构,该示例3GPP系统架构可以被用于Uu单播以及PC5传输的情况的上行链路和下行链路通信,这例如在第三代合作伙伴计划(3GPP)技术规范(TS)23.285“Architecture enhancements for V2X services”中被定义。
在图2的实施例中,多个ITS站中的每个ITS站被定义为用户设备(UE)。例如,这些UE被示出为可以表示交通工具ITS站的UE 210、可以表示另一交通工具ITS站的UE 212、可以表示行人ITS站的UE 214以及可以表示固定的路边单元ITS站的UE 216。
每个ITS站都具有相关联的V2X应用。因此,UE 210具有V2X应用220,UE 212具有V2X应用222,UE 214具有V2X应用224,UE 216具有V2X应用226。
每个UE可以通过PC5广播接口彼此通信。
另外,V2X应用可以使用V5参考点在彼此之间通信。
例如,蜂窝系统可以包括演进通用陆地无线电接入(E-UTRAN)230,E-UTRAN 230可以是演进型分组核心(EPC)232的基站。
演进型分组核心232可以包括移动性管理实体(MME)234和服务/分组网关(S/P-GW)236。
UE与E-UTRAN之间的通信可以在LTE-Uu单播蜂窝通信信道上发生。此外,E-UTRAN230可以经由S1接口来与EPC通信。
EPC 232,尤其是MME 234,经由S6a接口来与归属订户服务器(HSS)240通信。另外,S/P-GW 236可以利用SGi接口来与V2X应用服务器250通信。
V2X应用服务器250是经由3GPP网络可接入的应用层上的提供各种服务的网络实体,这些服务包括通过单播或PC5从UE接收上行链路数据,使用单播递送和/或PC5和/或MBMS递送向目标区域中的UE递送数据,将信息从地理位置映射到将在其上进行MBMS传输的适当目标区域,以及向MBMS系统提供所需的信息以便确保MBMS消息可以被格式化并通过适当区域被传输。
V2X应用220、222、224和226与V2X应用服务器通信。V2X控制功能被用来为UE供给必要的参数,以便使用V2X通信。
在图2的实施例中,V2X应用服务器250可以确定V2X消息是需要被与其他交通工具共享的类型,其可以使用Uu单播下行链路、PC5广播或MBMS广播或多播来实现。
例如,对于MBMS,关于图3提供了用于经由MB2的基于LTE-Uu的V2X的参考架构。
具体地,参考图3,UE 310可以利用V1参考点来与V2X应用服务器312通信。这可以利用UE 310和E-UTRAN 314之间的LTE-Uu接口来完成。
然后,E-UTRAN 314可以使用S1-MME接口和M3参考点来与MME 316通信。
另外,E-UTRAN 314可以利用M1参考点来与MBMS网关320进行通信。MBMS网关320还可以利用Sm参考点来与MME 316通信。
广播/多播服务中心(BM-SC)330可以利用SG mb或SGI-mb参考点来与MBMS网关320进行通信。
另外,BM-SC 330可以使用分别用于控制平面和用户平面业务的MB2-C和MB2-U参考点来与V2X应用服务器312通信。
因此,使用图2和图3的架构,这些架构可以被用于经由基础设施的单播上行链路和/或下行链路。特别地,诸如交通工具的ITS站可以利用V2X应用与E-UTRAN(或其他类似的增强型节点B(eNB))之间的Uu单播上行链路和下行链路消息传递。这种通信可以是针对V2X应用服务器,V2X应用服务器可以被用来使用单播消息传递将向区域中的多个用户递送数据。
在这种情况下,V2X控制功能252可以被用来向UE供给V2X通信所需的参数,并且MME 234可以被用来确定ITS站是否被授权使用V2X。
关于经由基础设施的广播下行链路传输,V2X应用服务器可以支持向适当的目标区域递送数据。在这种情况下,V2X应用服务支持MBMS的“网络边缘”部署。另外,来自上面图3的BM-SC 330提供了支持MBMS的“网络边缘”部署的功能性。
从上面的图3,MBMS网关320允许到多个eNB或E-UTRAN的IP多播,以允许同与不同e-NB通信的ITS站进行通信。
由设备进行的侧链路广播
在另外的实施例中,ITS站可以通过蜂窝V2X中的侧链路通信来通信。此通信所基于的3GPP网络特征被称为邻近服务(ProSe)。该接口被称为PC5,是一类设备到设备(D2D)通信。
与从设备到网络的“上行链路”或从网络到设备的“下行链路”相反,术语“侧链路”是指直接从设备到另一设备的通信。
侧链路通信包括设备之间的直接通信,而无需涉及任何基础架构。在V2X的情况下,这可能包括直接向附近的其他ITS站广播的第一ITS站。另外,设备可以与基础设施节点并置,从而允许设备与基础设施节点之间的ProSe通信。
因此,可以通过自主模式完成侧链路通信,在这种模式下不利用基础设施组件,并且传输ITS站自主地确定何时向其他ITS站进行广播。备选地,可以在调度模式中执行侧链路通信,其中诸如eNB的基础设施组件可以调度ITS站可以在PC5侧链路接口上传输消息的时间。
V2X中的安全性
在V2X通信中,需要克服各种安全性挑战。第一个挑战涉及ITS站之间的信任。特别地,ITS站可以有意或无意地发送内容不正确的消息。例如,无意的消息传递可以例如基于传感器故障等。
接收ITS站将通常希望避免对不正确消息采取动作。因此,接收不正确ITS消息的交通工具可能例如不必要地应用其刹车、移动等,从而引发交通问题。在一些情况下,通过对V2X消息中接收到的信息进行合理性检查并将这种信息与从其他传感器(诸如摄像机、激光雷达、雷达等)接收的信息进行比较,可以克服这一问题。然而,这并不总是可能的。
V2X中的另外的安全性挑战涉及隐私。特别地,没有任何单个实体应当仅通过V2X消息传递就能够追踪交通工具。因此,道路用户应当不能彼此追踪,并且另外,安全性凭证管理系统(SCMS)的运营方或无线网络运营方也应当不能追踪道路用户。
V2X的另外的安全性挑战是完整性和重放保护。特别地,消息应当不能例如利用“中间人”攻击而被篡改。应当检测先前被传输并被重播的消息。
V2X中对安全性的另外的考虑是不可否认性。例如,如果发生事故,则消息发送方应当不能否认他们发送了这种消息。如果这种消息直接或间接地导致事故,则尤其如此。
基于以上所述,已经并且还在继续开发安全性凭证管理系统。该系统涉及多方,包括防撞度量计划(CAMP)行业联盟、美国运输部、美国国家公路交通安全管理局、IEEE以及汽车工程师协会(SAE)。这些组织已经创建了一个基于IEEE 1609以及IEEE 802.11p的解决方案,IEEE 1609是针对专用短距离通信的一系列标准,IEEE802.11p具有SAE提供的V2X应用层规范。安全性方面在IEEE1609.2中被标准化。该解决方案有时称为DSRC/WAVE。
CAMP还已经定义了SCMS,它既影响概念试点证明,又影响各种标准下的工作。这种安全性工作通常被概述如下。
特别地,在安全性的第一方面,V2X消息具有特定格式。通常,V2X消息包含三个主要部分。第一部分是应用消息内容。第二部分是由发送ITS站提供的消息的签名。V2X消息的第三部分是由证书机构签名的证书。
CAMP使用椭圆曲线Qu-Vanstone(ECQV)隐式证书进行V2X通信。
为了解释如何使用隐式证书,首先描述了使用显式证书的较简单情况。显式证书包含发送方的公钥、适当的管理信息,诸如颁发证书机构(CA)的身份、有效期、发送方的身份、加密算法标识符等。这种信息利用证书机构的私钥被签名。在利用证书机构的公共验证密钥的受信任副本验证了随附签名之后,V2X消息的接收方继而可以简单地从数据结构中拷贝出发送方的公钥和任何需要的信息。
通过执行证书中的信息(包括发送方的公钥和管理信息)的哈希,以便产生被称为哈希的固定长度的加扰数据块,证书机构产生形成证书一部分的签名。然后,证书机构的私钥被应用于此哈希。签名的哈希被称为证书的“签名”。
为检查该证书是否真实,接收方使用证书机构的公钥来验证证书中的签名。
以此方式,接收方使用消息签名来确保该消息内容确实由发送ITS站发送,发送ITS站具有与证书中提供的公钥配对的私钥。对与显式证书一起使用的消息签名涉及首先执行以明文形式的V2X消息上下文的哈希,以便产生被称为哈希的固定长度的加扰数据块。然后,发送方的私钥被应用到该哈希,并且此签名的哈希被称为签名。为了检查签名和消息内容确实属于一起的,接收方首先执行V2X消息内容的哈希,然后使用此哈希和发送方的公钥来验证签名。
如上所指,CAMP使用椭圆曲线Q-Vanstone隐式证书而不是显式证书来进行V2X通信。这些在IEEE 1609.2中指定。
ECQV证书不包含显式发送方的公钥。ECQV证书包括管理信息(类似于上面关于显式证书所述的信息)和被称为公共重建密钥的椭圆曲线(EC)点。接收方使用简短计算来计算所预期的发送方的公钥,简短计算使用颁发证书机构的公共验证密钥、公共重建密钥以及管理信息。ECQV证书因为不包含签名而比显式证书小,因此优选地在资源受限的环境中使用。
在V2X环境中,每个ECQV证书至少比显式证书小64个字节。
在使用期间,发送方将使用其私钥对V2X消息内容进行签名,并将已签名的消息及其ECQV证书发送给接收方。然后,接收方从ECQV证书和证书机构的公钥计算发送方的验证公钥。现在,计算出的公钥可以被用于验证已签名的消息。
基于以上所述,交通工具或其他ITS站可以向接收方ITS站发送利用其私钥(称为a)和对应的隐式证书(例如,包括(P,info))之一所签名的消息。在上面,P是公共重建密钥,并且info是管理信息。接收方通过计算eP+D来提取发送方的公共验证密钥,其中e=hash(info,P),并且D是证书机构的公共验证密钥的受信任副本。
然后,接收方使用发送方的公共验证密钥来验证消息上的签名。这例如在图4中被图示。
参考图4,发送ITS站410首先在框412处形成消息。然后,如框414所示,发送ITS站用适当的密钥a对该消息签名。
然后,如框420所示,发送ITS站410发送该消息、其签名s和对应的ECQV证书(P,info)。
然后,如在框440处所示,接收ITS站430可以检查证书撤销列表中是否存在该证书。证书撤销列表将在下面被更详细地描述。
如果该证书不在撤销列表上,则接收ITS站430然后可以提取公共验证密钥A=eP+D。这在框442处被示出。
然后,如在框444处所示,接收ITS站430可以用A来验证S。
上面的一个问题是,具有单个静态证书的交通工具可能会被基础设施网络元件或其他道路用户追踪。为了避免这种情况,ITS站可以在某个时间段内为被指配多个证书,之后这样的证书被丢弃。例如,交通工具或其他ITS站可以在给定的一周内被指配二十个证书,之后这些证书被丢弃。
ITS站可以循环使用证书,仅在特定时间段内使用每个证书,然后另一证书被使用。例如,每个证书可以被使用五分钟,然后下一个证书被使用。每个证书还可以包括不同的伪名作为标识符。轮换证书的这种使用可以防止交通工具被基础设施元件追踪。
行为不端机构
行为不端机构确定来自ITS站的消息是否值得信任。如果行为不端机构确定ITS站不再受信任,则ITS站证书将被撤销。
这样,V2X消息的接收方可以能够检查接收到的证书是否仍然有效并且尚未被撤销。通常,这是通过将不能信任证书的证书标识符放在证书撤销列表上来完成的。
然而,这种证书撤销列表可能会变得非常大。每个交通工具每周都会被颁发约20张证书,并且可以被颁发有多年的证书。在这方面,其证书被撤销的每个交通工具或ITS站将向这种证书撤销列表添加许多证书。
另外,针对CRL的地理区域通常很大,导致许多ITS站潜在地处于列表上。
为了克服这一点,CAMP决定使用哈希链。哈希链从种子值开始并对其进行哈希,然后对此哈希进行哈希,然后对此哈希进行哈希,以此类推。结果是一系列值,称为链接(linkage)种子,每个链接种子都是先前链接种子的哈希。链接值可以从链接种子生成。
当生成ECQV证书时,证书机构将第k个链接值(或其一部分)置于管理第k次使用的证书的管理部分中。要撤消ITS站,行为不端机构将当前的链接种子置于CRL中。
接收方可以快速计算与CRL上的链接种子相关联的适当链接值,并将其与证书中的链接值进行比较。如果链接值相匹配,则证书及其相关联的V2X消息被拒绝。
ITS站可以每周计算与CRL上的每个链接种子相关联的链接值,并将它们保存在存储器中。
然而,以上描述被简化。出于隐私原因,CAMP需要两组哈希链。通常,每组都利用上述行为。
在CAMP中,链接值是由两个链接机构(LA1和LA2)生成的。每个链接机构分别为每个ITS站生成随机链接种子ls1(0)和ls2(0)。然后,链接机构分别在随后的时间i中迭代地生成链接种子ls1(i)和ls2(i),其中i对应于一星期的数目。
链接值是从这些链接种子生成的,并且被置于ECQV证书内。为交通工具在给定一周内可以使用的每个证书提供两个不同的链接值。对于时间值(i,j),LA1使用AES和XOR将值plv1(i,j)计算为IDLA1、ls1(i)和j的函数。在这种情况下,j对应于在第i周内使用的给定证书。
更具体地说,在AES操作中将第一链接种子用作密钥以产生比特集,该比特集与使用第二链接值提供的等效比特集进行XOR,并且这是由传输ITS站在证书中提供的。这种操作由证书机构执行。
对于每个行为不端的ITS站,CRL包含各自来自每个链接机构的两个链接种子,接收交通工具可以从中生成所有可能的链接值对,这些链接值对可能在该周或后续周期间的任何给定时间被该行为不端的交通工具使用。接收V2X消息的交通工具对从CRL中的链接种子信息得出的链接值对执行与上述相同的AES和XOR操作。
通过将此序列与在证书中接收的序列进行比较,V2X消息接收ITS站可以确定消息,是否应当被丢弃,因为该消息是由不值得信任的交通工具发送的。
利用该系统,任何一个链接机构都不能在不与另一链接机构沟通(collude)的情况下追踪特定交通工具。
基于以上原理,关于图5描述了一种CAMP系统架构。
特别地,图5的实施例提供了一种结构,其中至少两个逻辑角色需要沟通以便获得足够的信息来追踪交通工具,从而以便缓解未经授权的沟通,这两个逻辑角色可以由不同的组织执行。
在图5的实施例中,SCMS管理器510设置如框512处所示的行为不端撤销策略,并且还提供如框514处所示的技术信息。
设备配置管理器520将SCMS配置信息提供给各种设备522。例如,设备配置管理器520可以提供网络地址、网络元件证书的改变等。
登记证书机构524向设备颁布登记证书,然后该设备可以将登记证书用于伪名证书等。另外,不同的登记证书机构可以为不同的地理区域、制造商或设备类型颁发登记证书。
链接机构(诸如链接机构530和532)生成在证书中被使用并支持证书撤销的链接值。使用两个链接机构防止单个链接机构的操作员链接属于特定设备的证书,从而可以防止单个链接机构对设备进行追踪。
位置模糊代理534改变设备源地址并阻止将网络地址链接到位置。
行为不端机构540根据它接收的报告来确定哪些设备行为不端,并且将这种设备输入到由内部黑名单管理器542管理的黑名单上以及由CRL生成器544管理的CRL上。通过全局检测模块546来完成对行为不端的检测。
伪名证书机构550向设备颁布伪名证书,每个证书仅在有限且指定时间内可用。伪名证书机构可以仅限于用于特定地理区域,供特定的制造商使用或供特定的设备类型使用。
注册机构560验证、处理对伪名证书的请求并将其转发到伪名证书机构550。
中间证书机构570是返回到根CA 572的信任链的一部分,其使中间CA能够代表根CA 572来颁发证书。根证书机构572是受信任的实体,其颁布可以被用来验证由证书发送方提供的信息或身份的证书。根CA可以由根管理功能574管理。
利用图5的结构,签名的快速验证是可能的。IEEE 1609.2第5.3.1节中指定的快速签名验证是一种可以在常规DSRC系统中用来减少检查签名时的处理负担的技术。特别地,在该节中规定:
本标准指定使用联邦信息处理标准(FIPS)186-4中指定的椭圆曲线数字签名算法(ECDSA),可选地如SEC 1版本2中所指定地在签名中包含有附加信息。另请参见第6.3.29节:如果签名过程遵循SEC 1的规范并输出椭圆曲线点R以允许快速验证,则R被表示为EccP256CurvePoint,其指示发送方自行决定选择经压缩-y-0、经压缩-y-1或未经压缩。
然而,基于各种因素,使用CRL来管理行为不端的交通工具或V2X端点具有缺点。
第一因素可以是CRL的长度,其可能非常大。特别地,CRL可以涉及非常大的地理区域,并且在这样的地理区域中可以有许多交通工具。另外,每个ITS站或服务类型可以有多个CRL,这可能导致在标识行为不端的交通工具之前许多大的CRL需要被搜索。
对于作为V2X消息接收方的ITS站,使用大的CRL可能在处理和存储器方面很麻烦。每个ITS站必须将每个接收到的消息的证书的标识符与CRL指示的所有证书的身份进行比较。该比较将确定消息是否能够被信任。
例如,在都市环境中,基于100个彼此相邻的交通工具或ITS站,ITS站每秒可以接收大约1000条签名消息,其中每个ITS站每秒发送10条消息。例如,这可以是基本服务消息传递。
附加地,在向ITS站供给大的CRL或CRL集时可能会潜在地浪费蜂窝资源。在下行链路中传达仅要被ITS站接收器丢弃的蜂窝网络消息时也浪费了资源。
基于此,根据本公开的实施例,V2X应用服务器可以被用来处理消息传递并在递送到ITS站的消息传递中指示这种处理。
例如,在蜂窝V2X的情况下,其中来自发送交通工具的消息经由通过蜂窝基础设施所接入的V2X应用服务器被发送或广播到另一交通工具,继而V2X应用服务器可以首先确定发送ITS站消息是否值得信任。如果该消息不值得信任,则应用服务器可以选择不通过蜂窝基础设施将该消息转发给其他一个或多个ITS站,或者选择在将消息通过蜂窝基础设施发送回其他一个或多个ITS站之前标记该消息。
现在参考图6,其示出了在诸如V2X应用服务器的网络元件处的过程。V2X应用服务器可以是与蜂窝网络或与另一种类型的网络相关联的受信任服务器。
特别地,图6的过程在框610处开始并进行到框612,在框612中,来自诸如ITS站的发送实体的消息被应用服务器接收到。例如,在框612处的消息可以是基本安全消息。该消息可以已经由ITS站或从网络内的另一V2X应用服务器发送。如果该消息是由道路上或道路附近的ITS站发送的,则该消息可以使用Uu单播或使用侧链路ProSe(PC5)连接在上行链路上通过蜂窝网络从ITS站被传输。
过程从框612进行到框620,在框620中,对在框612处接收的消息执行检查。特别地,在框620的检查可能涉及对消息的多个检查中的一个或多个检查。
具体地,第一检查可以是在框612处接收的消息的证书中的链接值是否与在从CRL上提供的链接种子计算出的链接值相关联。更笼统地说,第一检查可以是发送交通工具的证书是否出现在CRL上。
在框620处的第二检查可以是证书是否真实。换言之,该检查可以是证书签名是否与证书内容一致。
在框620处的第三检查可以是在框612处接收的消息被正确签名的检查。换言之,第三检查可以是V2X消息签名正确地对应于V2X消息内容,并且该消息正确地关联于已经被提供的证书。如上所述,第三检查可以可选地使用快速签名验证方法来实现。
在框620处的第四检查可以是检查V2X消息中的数据合理性。例如,数据合理性检查可以是:如果交通工具报告说正在以1000km/h的速度行驶,或者海拔高度为10,000米,则这种报告是不合理的并且该消息可以被丢弃。这种合理性检查可以使用在V2X应用服务器上设置的阈值,例如,以确定消息中的数据是否在合理的阈值之内。可以理解的是,与传输原始消息的传输ITS站附近的接收交通工具的情况相比,V2X应用服务器通常具有较少的信息可供其处理以执行数据合理性检查。
在框620处,可以以任何顺序执行以上四个检查中的任意一项或其或组合,以确定消息是否有效。
如果发现消息无效,则过程可以进行到框622,在框622中该消息被丢弃。换言之,该消息将不被转发到蜂窝网络中以向前传输给其他交通工具。
备选地,该过程可以从框620进行到框624,在框624中无论如何该消息都被转发给交通工具,但是有附加信息被添加到该消息,以指示检查已经在基础设施中被执行以及该消息对于每个检查是通过还是失败。
特别地,在框612处接收的消息可以在转发之前被修改具有通知,该通知是关于检查是否已经由基础设施执行以及该检查通过与否。因此,在上述部分或全部检查已经被执行的情况下,这可以被指示给接收ITS站。这样,由于ITS站可以选择不重新执行检查,因此执行这些检查的负担可以从ITS站V2X消息接收器处理器中被移除。
通过被转发给ITS站接收器的消息的新字段,检查已经被执行的指示可以被提供。备选地,与3GPP网络相关联的由V2X应用服务器提供的V2X检查服务可以被指示给在3GPP网络广播信道上的用户。
例如,参考下面的表2,其示出V2X CAM消息中提议的新字段,这些字段提供对已经被执行的“检查服务”的指示。
表2:使用V2X CAM消息中的新字段对特定消息执行的“检查服务”的指示
在上面的表2中,新的指示以粗体显示。特别地,ProxyPerformedCRLCheck是包含两个指示符的数据结构。第一指示符指示代理是否已经检查了在CRL上未标识的证书。第二指示符可以指示检查是通过还是失败。
另外,在表2中,ProxyPerformedCertCheck字段可以是包含两个指示符的数据结构。一个指示符提供了代理是否已经检查了从最初发送CAM消息的交通工具提供的证书的真实性的指示。第二指示符可以指示检查是通过还是失败的指示符。
根据上面的表2,ProxyPerformedMsgSigCheck可以是第三字段。该字段是可以包含两个指示符的数据结构。第一指示符可以指示代理是否已经执行了检查以确保从发送原始消息的ITS站提供的关联V2X消息及其对应的消息签名是正确的。该字段中的第二指示符可以指示检查是通过还是失败。
另外,根据上面的表2,ProxyPerformedDataPlausibility字段可以是可以包含两个指示符的数据结构。一个指示符可以是代理是否已经对V2X消息内容执行了基本数据合理性检查。基本数据合理性指的是在无需接入V2X消息源交通工具所在地传感器的传感器信息的情况下,合理性检查可以可选地被执行。第二指示符可以是检查是通过还是失败。
在以上指示符中,指示符可以由1个或更多比特来表示。
然而,表2中提供的字段仅仅是示例,并且在一些情况下可以提供更多的字段。在其他情况下,可以只提供表2中的字段的子集。其他选项也是可能的。
在一个选项中,不是向接收ITS站指示哪些检查已经由网络元件执行,而是该网络元件向ITS站指示ITS站需要进行哪些检查或ITS站不需要进行哪些检查。
虽然表2标示了CAM消息,但是类似的方法可以被用于任何指定的V2X应用消息,包括ETSI DENM消息或SAE定义的基本安全消息。
另外,在其执行安全性检查之后,V2X应用服务器还可以在将安全性信息转发回蜂窝网络之前将其从V2X消息中移除。这样,会节省无线电资源。另外,安全性检查已经被执行的隐式指示将被提供给接收ITS站。可以从在框630处转发的V2X消息中被移除的安全性信息的示例可以包括证书的移除和消息签名的移除。
再次参考图6,如果如框624处所示消息被转发,则接收ITS站将需要信任这种消息的内容。特别地,为了使V2X消息接收ITS站使用V2X应用服务器已经执行的检查,或者在基础设施已完全移除某些应用层安全性信息的情况下得以满足,从而减少这种接收ITS站的处理负担,接收ITS站必须能够信任已经执行了检查和/或消息修改的基础设施。
信任可以以各种方式实现。在第一选项中,执行了检查和/或消息修改的V2X应用服务器或其至少一部分可以被视为在3GPP运营方的运营域内。在这种情况下,由于应用服务器的性质处于3GPP运营方的域内,该域将被视为受信任的,因此该应用服务器也将被视为受信任的。
ITS站与蜂窝网络和可选的V2X应用服务器是其一部分的3GPP运营方域之间的信任可以使用现有方法。具体而言,出于V2X消息传输目的与3GPP接入网通信的ITS站可以已经使用3GPP附接过程使用例如订户身份模块(SIM)凭证来将其自身与3GPP网络进行相互认证。
以这种方式,交通工具可以确信它们正在与真实的3GPP网络通信,因此可以具有必要的信任度。因此,当3GPP网络的运营方所创建的消息指示V2X消息应用程序层安全性检查已经被执行时,接收ITS站可以相信确实进行了这种检查。同样,在消息修改已经被做出的情况下,接收ITS站可以信任改在3GPP运营方的域内被做出。
在第二备选方案中,V2X应用服务器可以利用私有V2X应用服务器密钥对其生成的消息进行签名。ITS接收站可以被预先供给有V2X应用服务器的公钥。以这种方式,从网络接收V2X消息的交通工具可以验证该签名,从而对受信任的V2X应用服务器已经执行了安全性检查和/或消息修改具有附加的信心。
第二备选方案在V2X消息接收设备上引入了新的安全性处理负担。然而,与利用CRL列表的现有方案相比,这仍然会产生更少的处理负担,现有方案需要消息接收方评估是否在CRL上指示了所接收证书的标识符。另外,减轻接收设备负担的时间优化可以是在由V2X应用服务器创建的签名中包括可选信息,其允许验证能够更快地进行。
从框622或框624,过程是可以可选地进行到框626,在框626中,V2X应用服务器可以告高速缓存信息以标识与V2X消息相关联的证书或实体,该证书或实体未通过在框620处进行的一个或多个检查。换言之,V2X应用服务器可以高速缓存被用于消息的伪名标识符,以使V2X应用服务器可以使用相同或相关联的证书标识符来更有效地处理来自ITS站的未来的V2X消息。伪名标识符可以例如是链接值。高速缓存还可以包括添加具有伪名标识符的关联信息,包括安全性检查结果、消息转发行为或消息丢弃处理等中的一项或多项。在步骤620处,当具有与高速缓存中的伪名标识符相关联的第一伪名标识符的新消息在V2X应用服务器处被接收到时,则V2X应用服务器可以接入该经高速缓存的信息,以便通过避免重复地进行安全性检查、确定消息转发行为和/或确定消息丢弃处理这些操作来加速或减少处理,这些操作可能先前针对与此第一伪名标识符相关联的消息已经被执行过。确定消息转发行为可以包括确定已转发消息中已添加、移除或改变的消息字段内容。
备选地,从框620开始,如果由V2X应用服务器执行的检查全部通过,则过程可以进行到框630,在框630中,包含与在框612处接收的消息相同或基本相似的内容的新的V2X消息可以被转发到蜂窝网络以用于传输到其他ITS站。
例如,在框630处的消息转发可以使用MBMS下行链路、Uu单播下行链路或ProSePC5侧链路中的任何一种发生。
可选地,附加信息可以被添加到消息中,以指示哪些检查已经在基础设施元件内被执行,以及可选地指示哪些检查已经通过。这样,也与执行这些检查相关联的处理负担可以从ITS接收方中被移除。因此,在框630处转发的消息可以具有与在上表2中所描述的字段类似的字段。
可选地,如上所述,消息转发行为还可以在框626处被高速缓存并且在框620处被使用。
过程可以从框630进行到框640并结束。
类似地,过程可以从框622、624或626进行到框640并结束。
如本领域技术人员将理解的,图6的实施例可以要求应用服务器获得CRL。然而,由于与3GPP无线电网络接口的V2X应用服务器络将通常需要通过3GPP无线电网将CRL分发到ITS站,因此应用服务器可以简单地保留这种CRL的副本以供它自己的检查。
因此,不只是转发CRL,应用服务器还可以存储这种CRL以用于在框620处进行检查。
另外,如本领域技术人员将理解的,如果V2X消息的发起者不是交通工具或道路用户,则与3GPP运营方关联的应用服务器中的V2X消息的安全性和数据合理性检查也适用。例如,在消息由某个其他V2X应用服务器发起或经由某个其他V2X应用服务器传输的情况下,也可以应用图6的实施例。当V2X应用服务器自己已经生成消息时,框630的特征(诸如忽略安全性信息或指示安全性检查已经被执行)也可以被应用。因此,即使在V2X消息是由V2X应用服务器发起的情况下,也可以向接收ITS站指示某些检查已经被完成或忽略来自被转发的消息的某些安全性信息。
具体地,在一个实施例中,上面图2中的V2X应用服务器250可以与ITS站结合,以形成具有应用层能力的固定基础设施节点。在这种情况下,V2X应用服务器将充当ITS站并形成网络元件。
参考图7,其示出在也充当V2X应用服务器的网络实体处的过程。在这种情况下,应用服务器不会编辑在ITS站之间的传送中的消息,而是生成将要被发送给一个或多个接收ITS站的消息。就这一点而言,该过程从框710开始并进行到框712,在框712中消息被生成。
例如,在一种情况下,V2X应用服务器可以形成交通信号灯的一部分。在这种情况下,在框712处生成的消息可以包括关于信号灯的阶段和信号灯的颜色的信息,然后该信息可以被广播到接近交叉路口的交通工具。
在其他情况下,V2X应用服务器可以有其他功能性,并且出于说明目的仅提供了交通信号灯的使用的示例。
过程从框712进行到框720,在框720中安全性检查信息可以在消息中被指示。例如,该指示可以被添加与在上面关于表2所描述的信息类似的信息。特别地,被添加到该消息的信息可以使得接收ITS站能够知道哪些安全性检查需要在接收ITS站处被执行。
在其他实施例中,在框712中,网络实体可以生成消息而不包括在标准V2X消息中将出现的安全性信息,诸如签名和/或证书。
因此,例如,如果V2X应用服务器是受信任的网络元件,则ITS站知道从V2X应用服务器发送的消息中的证书将不会出现在CRL上,并且因此接收ITS站不需要用CRL来检查可以被包括在消息中的任何证书以确定消息的有效性。
类似地,如果V2X应用服务器是3GPP网络的一部分,则证书或签名可以不需要被检查,并且根据上表2,这些字段可以被指定为已经被执行,并且因此接收ITS站的负担可以被缓解。
类似地,如果V2X应用服务器具有关于数据合理性的信息,则其也可以作为字段被添加到在框712生成的消息中。
过程从框720进行到框730,在框730中,消息被转发给一个或多个接收ITS站。如在上面从图6的框624和630转发的消息一样,在一些实施例中,消息可以在框730处通过广播消息或单播消息被转发。
过程从框730进行到框740并结束。
因此,上述实施例允许某些安全性检查在网络处被执行或标记由网络生成的消息以指示不需要安全性检查,以便减轻接收ITS站的负担。
上述的应用服务器、ITS站和网络元件可以是任何计算设备或网络节点。这种计算设备或网络节点可以包括任何类型的电子设备,包括但不限于诸如智能电话或蜂窝电话的移动设备。示例还可以包括固定或移动用户设备,诸如物联网(IoT)设备、端点、家庭自动化设备、医院或家庭环境中的医疗设备、库存追踪设备、环境监测设备、能源管理设备、基础设施管理设备、交通工具或用于交通工具的设备、固定电子设备等。交通工具包括机动交通工具(例如,汽车、轿车、卡车、公共汽车、摩托车等)、飞行器(例如,飞机、无人驾驶飞机、无人飞行器系统、无人机、直升机等)、航天器(例如,航天飞机、航天飞机、太空舱、空间站、卫星等)、船只(例如,船舶、轮船、气垫船、潜艇等)、有轨交通工具(例如,火车和电车等)以及其他类型的交通工具,包括前述中的任何项的组合,无论是当前存在的还是之后出现的。
关于图8示出了计算设备的一个简化图。图8的计算设备可以是任何移动设备、便携式设备、ITS站、服务器或如上所述的其他节点。
在图8中,设备810包括处理器820和通信子系统830,其中处理器820和通信子系统830协作以执行上述实施例的方法。在一些实施例中,通信子系统820可以包括例如用于不同无线电技术的多个子系统。
处理器820被配置为执行可编程逻辑,可编程逻辑可以与数据一起被存储在设备810上,并且可编程逻辑在图8的示例中被示为存储器840。存储器840可以是任何有形的、非瞬态的计算机可读存储介质。计算机可读存储介质可以是有形的或瞬态/非瞬态介质,诸如光学(例如,CD、DVD等)、磁性(例如,磁带)、闪存驱动器,硬盘驱动器或本领域中已知的其他存储器。
作为存储器840的备选或补充,设备810可以例如通过通信子系统830从外部存储介质接入数据或可编程逻辑。
通信子系统830允许设备810与其他设备或网络元件通信,并且可以基于正在执行的通信类型而变化。另外,通信子系统830可以包括多种通信技术,包括任何有线或无线通信技术。
在一个实施例中,设备810的各个元件之间的通信可以通过内部总线860。然而,其他形式的通信也是可能的。
本文描述的实施例是具有与本申请技术的元素相对应的元素的结构、系统或方法的示例。此书面描述可以使得本领域技术人员能够制造和使用具有与本申请技术的元素同样对应的备选元素的实施例。因此,本申请的技术的预期范围包括与本文所述的本申请技术没有不同的其他结构、系统或方法,并且还包括与本文所述的本申请技术没有实质性差异的其他结构、系统或方法。
虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求以所示的特定顺序或以连续顺序来执行这种操作,或者执行所图示的所有操作来获得期望的结果。在一些状况下,可以采用多任务处理和并行处理。此外,在上述实现中的各种系统组件的分离不应被理解为在所有实现中都需要这种分离,并且应当理解,所描述的程序组件和系统通常可以被集成在单个软件产品中或被打包成到多个软件产品中。
此外,在各种实现中被描述和图示为离散或分离的技术、系统、子系统和方法可以与其他系统、模块、技术或方法进行组合或集成。被示出或讨论为耦合或直接耦合或相互通信的其他项可以通过某种接口、设备或中间组件以电气、机械或其他方式进行间接耦合或通信。改变、替换和变更的其他示例可以由本领域技术人员确定并且可以被做出。
尽管上面的具体实施方式已经示出、描述并指出了被应用到各种实施方式的本公开的基本新颖特征,但是应当理解,本领域技术人员可以对所示出的系统的形式和细节做出各种省略、替代以及改变。另外,方法步骤的顺序并不由它们在权利要求中出现的顺序所暗示。
当消息被发送到电子设备或从电子设备被发送时,这种操作可能不是立即的,也可能不是直接来自服务器。它们可以从服务器或支持本文描述的设备/方法/系统的其他计算系统基础设施同步或异步递送。前述步骤可以全部或部分地包括去往/来自设备/基础设施的同步/异步通信。此外,来自电子设备的通信可以是到网络上的一个或多个端点。这些端点可以由服务器、分布式计算系统、流处理器等提供服务。内容递送网络(CDN)也可以向电子设备提供通信。例如,除了典型的服务器响应之外,服务器还可以供给或指示用于内容递送网络(CDN)的数据,以等待电子设备稍后进行下载,诸如电子设备的后续活动。因此,数据可以作为系统的一部分或与系统分开地直接从服务器或其他基础设施(诸如分布式基础设施或CDN)被发送。
通常,存储介质可以包括以下各项的任何项或某种组合:半导体存储设备,诸如动态或静态随机存取存储器(DRAM或SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)和闪存;磁盘,诸如固定盘、软盘和可移动磁盘;另一种磁性介质,包括磁带;光学介质,诸如光盘(CD)或数字通用光盘(DVD);或另一类型的存储设备。注意,以上讨论的指令可以在一个计算机可读或机器可读的存储介质上被提供,或者备选地可以在分布在可能具有多个节点的大型系统中的多个计算机可读或机器可读的存储介质上被提供。这样的一种或多种计算机可读或机器可读的存储介质被认为是物品(或制品)的一部分。物品或制品可以指任何制造的单个组件或多个组件。一个或多个存储介质可以位于运行机器可读指令的机器中,也可以位于可以从其通过网络下载机器可读指令以执行的远程站点处。
在前面的描述中,阐述了许多细节以提供对本文公开的主题的理解。然而,可以在没有一部分这些细节的情况下实践这些实现。其他实现可以包括对上述细节的修改和变化。旨在所附权利要求涵盖这种修改和变化。