-
Querverweis auf verwandte
Anmeldungen
-
Diese
Anmeldung beansprucht die Priorität des Prioritätsdatums
der vorläufigen
US-Patentanmeldung Nr. 61/042 406 mit dem Titel „Lightweight Geographic Trajectory
Authentication Via One-Time Signatures”, eingereicht am 4. April
2008.
-
Hintergrund
-
1. Gebiet der Erfindung
-
Die
Erfindung betrifft ein System und ein Verfahren zur Bereitstellung
von Sicherheitsanwendungen unter Verwendung von Fahrzeug-zu-Fahrzeug(V2V)-Kommunikationen
und im Spezielleren ein System und ein Verfahren zur Bereitstellung
von Sicherheitsanwendungen in V2V-Kommunikationen, wobei das System und
das Verfahren eine leichtgewichtige geografische Bewegungsbahnauthentifizierung
einsetzen, die Einmalsignaturen verwendet.
-
2. Erläuterung der verwandten Technik
-
Fahrzeug-zu-Fahrzeug-Sicherheitsanwendungen
wie z. B. Totwinkelwarn(BSW)-Systeme und kooperative Kollisionswarn(CCW)-Systeme
beruhen auf periodischen V2V-Kommunikationen wie z. B. dem drahtlosen
Dedicated Short Range Communications(DSRC)-Standard. Diese Nachrichten werden
typischerweise bei 10 Hz pro Fahrzeug übertragen und werden typischerweise
bei Verwendung von digitalen Signaturen auf der Basis einer zu Grunde
liegenden Infrastruktur eines öffentlichen
Schlüssels
(PKI) in Übereinstimmung
mit der IEEE 1609.2 Standard-Spezifikation authentifiziert.
-
Jeder
Prinzipal in einem PKI-System besitzt ein Paar Schlüssel, nämlich einen
privaten Schlüssel
und einen öffentlichen
Schlüssel.
Der private Schlüssel
ist nur dem Prinzipal bekannt und der öffentliche Schlüssel kann
mit weiteren Instanzen in dem System geteilt sein. Die Schlüssel können als
ein Paar Funktionen Pr und Pu visualisiert
sein, die den privaten bzw. öffentlichen
Schlüssel
repräsentieren
und die Eigenschaft M = Pr(Pu(M))
und M = Pu(Pr(M))
besitzen, wobei M die Nachricht ist, die unter Verwendung der Schlüssel gesichert werden
soll. Um die Nachrichtenintegrität
sicherzustellen, signiert der Sender der Nachricht die Nachricht
mit seinem privaten Schlüssel
und fügt
diese Signatur der Nachricht hinzu. Beim Empfang der Nachricht kann
der Empfänger
die Signatur der Nachricht unter Verwendung des öffentlichen Schlüssels des
Senders verifizieren.
-
Ein
grundsätzliches
Problem in der PKI-Architektur ist der Austausch der öffentlichen
Schlüssel,
ohne diese zu beeinträchtigen.
Eine weithin akzeptierte Lösung
für eine
vertrauliche Instanz, die als Zertifizierungsstelle (CA) bekannt
ist, besteht darin, Datenstrukturen digital zu signieren, bekannt
als Zertifikate, die das Wesen der Bindung zwischen Namen und öffentlichen
Schlüsseln
angeben. Im Fall des IEEE 1609.2 Standards umfasst ein Zertifikat
verschiedene Bereiche, und zwar den öffentlichen Schlüssel, den/das
geografische/n Umfang oder Gebiet des Zertifikats, eine zertifizierte
Sperrlisten-Seriennummer, die dem Zertifikat zugeordnet ist, die
Gültigkeitsdauer
des Zertifikats und die Signatur der CA. Um die durch die CA signierten
Zertifikate zu verifizieren, muss der öffentliche Schlüssel der
CA an jeder Instanz des PKI-Systems verfügbar sein. Da die Verteilung
aller durch die CA herausgegebenen Zertifikate unpraktisch ist,
legt der IEEE 1609.2 Standard fest, dass ein Sender sein Zertifikat
einer signierten Nachricht hinzufügen sollte.
-
Die
Erzeugung und Verifizierung von digitalen Signaturen erfordert einen
nicht unwesentlichen Betrag der gemeinsamen Nutzbarkeit eines Fahrzeugprozessors.
Da die Durchdringung von Anwendungen einer aktiven Sicherheit auf
V2V-Basis zunimmt, ist zu erwarten, dass zwei diesbezügliche Probleme
entstehen.
-
Bei
der gegebenen begrenzten Rechengeschwindigkeit des Fahrzeugprozessors
würde das
Signieren und Verifizieren jeder periodischen Nachricht durch digitale
Signaturen undurchführbar
werden, wenn die Anzahl von benachbarten Fahrzeugen zunimmt. Es
besteht daher Bedarf an effizienten Mechanismen zur Authentifizierung
von periodischen Nachrichtenausstrahlungen durch V2V-Sicherheitsanwendungen.
Auch werden, wenn die Dichte von Fahrzeugen, die mit V2V ausgestattet
sind, zunimmt, Fahrzeuge eine zunehmende Konkurrenz für das Zugreifen
auf das drahtlose Ausstrahlmedium erfahren, was potenziell zu erhöhten Datenpaketkollisionen
führt.
Dies führt
zu einem Verlust von Nachrichten und kann die Genauigkeit der Anwendungen
wie z. B. BSW und CCW beeinträchtigen,
von denen zu erwarten ist, dass sie von der kinematischen Historie
von benachbarten Fahrzeugen abhängig
sind, um Alarme zu geben. Es besteht daher Bedarf, authentische
Bewegungsbahninformation innerhalb von periodischen V2V-Nachrichten
zu transportieren, die es der in dem empfangenden Fahrzeug befindlichen
Anwendung ermöglicht,
die Bewegungs bahn des sendenden Fahrzeuges trotz häufigen Nachrichtenverlustes
wiederherzustellen.
-
Soweit
das Problem der effizienten Ausstrahlungsauthentifizierung betroffen
ist, sind in der Literatur verschiedene Techniken verfügbar, um
auf dieses Problem einzugehen. Allerdings ist keiner dieser verfügbaren Ansätze wirklich
zufriedenstellend. Im Speziellen führen digitale Signaturen zu
einem hohen Berechnungs-Overhead, während Einmalsignaturen wie
z. B. Merkle-Winternitz-Signaturen zu einem hohen Kommunikations-Overhead führen, und
leichtgewichtige Protokolle wie z. B. eine Timed Efficient Stream
Loss-tolerant Authentication (TESLA) führen zu einer verzögerten Nachrichtenauthentifizierung.
Des Weiteren besteht in Einmalsignaturen wie z. B. der Merkle-Winternitz-Signatur
ein Kompromiss zwischen dem Berechnungs-Overhead und dem Kommunikations-Overhead,
die sich beide mit der Anzahl signierter Bits verhältnismäßig vergrößern.
-
Es
wird eine Kurzbeschreibung des TESLA-Protokolls bereitgestellt,
welche seine Nachteile in Zusammenhang mit Fahrzeugen umfasst. Dies
stellt die Motivation für
Modifikationen an dem TESLA-Protokoll für Fahrzeug-Adhoc-Netze (VANETs) bereit, die dann
präsentiert
werden. Das TESLA-Protokoll
wird im Zusammenhang mit einem einzigen Sender und mehreren Empfängern beschrieben.
Das Protokoll basiert auf der verzögerten Weitergabe von symmetrischen
Schlüsseln.
Zu Beginn fügt
ein Sender jeder Nachricht einen Nachrichten-Authentifizierungscode
(MAC) auf der Basis eines symmetrischen Schlüssels, der nur ihm selbst bekannt
ist, hinzu. Der Empfänger
puffert die Nachricht, ohne in der Lage zu sein, diese zu authentifizieren, was
zu einer Nachrichtenverifizierungsverzögerung führt. Kurze Zeit später, wenn
der Sender den symmetrischen Schlüssel weitergibt, ist der Empfänger in
der Lage, gepufferte Nachrichten zu authentifizieren. Das TESLA-Protokoll
basiert auf der Eigenschaft der losen Zeitsynchronisation, d. h.,
der Empfänger
kennt eine obere Grenze der Ortszeit des Senders.
-
Der
Sender unterteilt die Zeit in L Intervalle mit der Länge TINT und berechnet eine Einweg-Hash-Kette, wie
unten beschrieben. Für
eine EinmalHash-Funktion H(.) sei H0(K)
= K und sei Hi+1(K) = H(HiK))
für ganzzahlige
Werte i ≥ 0.
Das TESLA-Protokoll besitzt auch einen Parameter, der als die Schlüsselweitergabeverzögerung d
bezeichnet wird, die in Einheiten der Intervalllänge TINT ausgedrückt wird.
Zur Startzeit T0 berechnet der Sender die
Hash-Kette, die durch [K,H (K), H2(K), ...
HL(K), ... HL+d(K)]
bezeichnet ist. Der Sender entscheidet über die symmetrischen Schlüssel, die
verwendet werden, um eine Nachricht in jedem Intervall zu signieren, und
den symmetrischen Schlüssel,
der in jedem Intervall weitergegeben wird.
-
An
dem Sender unterteilt das TESLA-Protokoll die Zeit in Intervalle
mit der Länge
TINT. Die unten stehende Fig. zeigt den
Signierschlüssel
wie auch den weitergegebenen Schlüssel in jedem Intervall. Man
beachte, dass die Sequenz von Signierschlüsseln, die jedem Zeitintervall
zugewiesen sind, in umgekehrter Reihenfolge der Hash-Kette sind.
-
Zu
Beginn jeder Runde (zum Zeitpunkt T0) überträgt der Sender
den Schlüsselweitergabeplan
auf eine authentische Weise an alle Empfänger. Diese Nachricht wird
mit einer digitalen Signatur signiert und benötigt die Unterstützung des
PKI-Sicherheitsrahmens. Der Schlüsselweitergabeplan
wird als (T0, TINT,
L, d, HL+d (K)) bezeichnet und besteht aus
einem Zeitintervallplan, einer Startzeit T0,
einer Intervalldauer TINT und einer Anzahl
von Intervallen L, einer Schlüsselweitergabeverzögerung d,
ausgedrückt
als Anzahl von Intervallen, und einer Verpflichtung zu der Hash-Kette
HL+d (K).
-
Wenn
ein Paket übertragen
wird, hängt
der Sender einen MAC auf der Basis des Signierschlüssels an, der
diesem Zeitintervall entspricht. Darüber hinaus wird der Signierschlüssel, der
d Intervallen in der Vergangenheit entspricht, weitergegeben. Beim
Empfangen eines Pakets verifiziert der Empfänger, dass der weitergegebene
Schlüssel
ein Teil der Hash-Kette ist. Der weitergegebene Schlüssel wird
dann verwendet, um gepufferte Pakete zu verifizieren und bestimmt
das Intervall i, in dem das Paket übertragen wurde, auf der Basis des
weitergegebenen Schlüssels
in dem Paket. Auf der Basis einer losen Zeitsynchronisation und
seiner aktuellen Zeit leitet der Empfänger das spätest mögliche Intervall x ab, in dem
sich der Sender aktuell befinden könnte, und wenn (x < i + d) ist, puffert
der Empfänger
das Paket für
eine verzögerte
Verifizierung. Andernfalls, wenn x ≥ i + d ist, verwirft er das Paket
als unsicher.
-
Der
Hauptvorteil von TESLA ist eine wesentliche Verbesserung in der
Signier- und Verifizierungszeit, da der Großteil der Nachrichten über einen
MAC auf der Basis eines symmetrischen Schlüssels authentifiziert wird.
Allerdings erfordert TESLA eine Taktsynchronisation an den Knoten,
und Nachrichten können
nicht verifiziert werden, bis der entsprechende symmetrische Schlüssel durch
den Sender weitergegeben ist. Man beachte, dass die Parameter d
und TINT des TESLA-Protokolls sorgfältig gewählt sein
müssen,
damit das Protokoll entsprechend arbeitet.
-
Im
Zusammenhang mit einem VANET mit hoch mobilen Knoten ist zu beachten,
dass sich für
einen gegebenen Sender der Satz von Empfängern häufig ändern wird. Somit besteht ein
Nachteil des TESLA-Protokolls, wie oben beschrieben, darin, dass
der vorgeschriebene Empfang der Schlüsselweitergabeplannachricht
nicht garantiert werden kann. Darüber hinaus übertragen V2X-Sicherheitsanwendungen
kinematische Echtzeitinformation wie z. B. eine Position, Geschwindigkeit,
Richtung etc. in den Nachrichtennutzdaten. Für die Basisversion des oben
beschriebenen TESLA-Protokolls
beträgt
der Minimalwert des Parameters d 2. Somit beträgt mit TINT =
100 ms und d = 2 die kleinste Zeitdauer, nach der eine Nachricht
verifiziert würde,
200 ms. Diese Verifizierungsverzögerung
kann zu groß für V2X-Sicherheitsanwendungen
wie z. B. Kollisionsvermeidungsanwendungen sein. Man beachte, dass
sich ein Fahrzeug, das mit 120 km/h (33,3 Meter pro Sekunde) fährt, in
200 ms 6,6 Meter bewegt haben würde.
-
Zusammenfassung
-
Ein
System und ein Verfahren für
ein Fahrzeug-zu-Fahrzeug-Kommunikationssystem sind vorgesehen, die
aktive Sicherheitsanwendungen bereitstellen, welche eine leichtgewichtige
geografische Authentifizierung einsetzen, die Einmalsignaturen verwendet.
Das System und das Verfahren erfordern, dass jedes Fahrzeug eine
diskretisierte Repräsentation
seiner Bewegungsbahn erstellt, die seine kinematische Historie bis
zu einem abstimmbaren Grad an Genauigkeit und zu einem abstimmbaren
Ausmaß in
der Vergangenheit festhält.
Diese Bewegungsbahninformation wird dann unter Verwendung einer
Einmalsignatur signiert. Somit überträgt das sendende
Fahrzeug mit jeder periodischen Nachricht die üblichen Anwendungsnutzdaten,
eine signierte Version der Bewegungsbahn wie beschrieben, und die
digitale Signatur über
alle Bereiche.
-
Weitere
Merkmale werden aus der nachfolgenden Beschreibung und den beiliegenden
Ansprüchen
in Verbindung mit den beigefügten
Zeichnungen offensichtlich.
-
Kurzbeschreibung der Zeichnungen
-
1 ist
eine Draufsicht eines Fahrzeuges, welches ein Fahrzeug-zu-Fahrzeug-Kommunikationssystem
verwendet;
-
2 ist
eine Veranschaulichung einer Knotenmobilität, die jede Nachricht zeigt,
an der zwei Authentifikatoren angehängt sind;
-
3 ist
ein Graph, welcher Fahrzeugbewegungsbahnen zeigt;
-
4 ist
eine schematische graphische Darstellung eines Nachrichtenflusses
in einer Fahrzeug-zu-Fahrzeug-Kommunikationsnachricht
von der Anwendungsschicht zu dem physikalischen Kanal;
-
5 ist
eine Draufsicht eines Merkle-Winternitz-Einmalsignaturmechanismus;
und
-
6 ist
eine Darstellung einer Nachricht, an der eine digitale Signatur
auf PKI-Basis einer TESLA-MAC- und einer digitalen Einmalsignatur
angehängt
ist.
-
Die
nachfolgende Erläuterung
der Ausführungsformen,
die sich auf ein System und ein Verfahren zur Bereitstellung von
aktiven Sicherheitsanwendungen in einem Fahrzeug-zu-Fahrzeug-Kommunikationssystem, welches
eine leichtgewichtige geografische Bewegungsbahnauthentifizierung einsetzt,
die Einmalsignaturen verwendet, bezieht, ist rein beispielhaft und
soll die Erfindung oder ihre Anwendungen oder Verwendungen keinesfalls
einschränken.
-
Detaillierte Beschreibung
-
Die
nachfolgende Erläuterung
bezieht sich auf beispielhafte Ausführungsformen eines Systems
und eines Verfahrens zur Bereitstellung von Anwendungen einer aktiven
Sicherheit in einem Fahrzeug-zu-Fahrzeug-Kommunikationssystem, welches eine leichtgewichtige
geografische Bewegungsbahnauthentifizierung einsetzt, die Einmalsignaturen
verwendet. Die hierin dargelegten Ausführungsformen sind rein beispielhaft
und sollen den Schutzumfang der Erfindung, ihre Anwendungen oder
Verwendungen keinesfalls einschränken.
-
1 veranschaulicht
eine Draufsicht eines Fahrzeugs 10 mit einer eingebauten
Einheit (OBU) 12 für ein
drahtloses V2X-Kommunikationssystem. Die OBU 12 empfängt Standortinformation
von einem GPS-Empfänger 14 und
ist in der Lage, mit weiteren OBUs in weiteren Fahrzeugen innerhalb
eines begrenzten Bereiches zu kommunizieren.
-
Das
drahtlose Kommunikationssystem verwendet eine Technik, die als Bewegungsbahnauthentifizierung
bezeichnet wird, um sich mit den oben angeführten Problemen für V2V-Kommunikationen
zu befassen. Unter Verwendung der vorgeschlagenen Technik erstellt
jedes Fahrzeug eine diskretisierte Repräsentation seiner Bewegungsbahn,
die seine kinematische Historie bis zu einem abstimmbaren Grad an
Genauigkeit und zu einem abstimmbaren Ausmaß in der Vergangenheit festhält. Diese
Bewegungsbahninformation wird dann unter Verwendung einer Merkle-Winternitz-Einmalsignatur
signiert. Derzeit überträgt das sendende
Fahr zeug mit jeder periodischen Nachricht die üblichen Anwendungsnutzdaten,
eine signierte Version der Bewegungsbahn, wie beschrieben, und die
digitale Signatur über
alle Bereiche. Je größer die
Genauigkeit und die Historie, umso größer sind die Größe oder
die Anzahl der Bits, die für
die diskretisierte Repräsentation
erforderlich sind. Dies führt
zu einem Kompromiss zwischen Genauigkeit und Historie und dem Kommunikations-Overhead der Merkle-Winternitz-Signatur.
Da Merkle-Winternitz-Signaturen
rechnerisch leichtgewichtig sind, können empfangende Fahrzeuge
nützliche
Bewegungsbahninformation effizient authentifizieren. Auf einen Nachrichtenverlust wird
durch die diskrete Bewegungsbahnrepräsentation eingegangen, die
in der Nachricht weitergeleitet wird und die kinematische Historie
des sendenden Fahrzeuges festhält.
Auf diese Weise verbessert die vorgeschlagene Technik den Betrieb
von V2V-Sicherheitsanwendungen auf der Basis periodischer Nachrichtenübertragungen
deutlich.
-
Es
wird vorausgesetzt, dass für
einen gegebenen Authentifizierungsmechanismus die durchschnittlichen
Signier- und Verifizierungszeiten in Sekunden durch Ts bzw.
Tν bezeichnet
sind. Auch kann Nout die Rate bezeichnen,
bei der die Sicherheitsschicht zu signierende ausgehende Nachrichten
pro Sekunde empfängt, und
Nin kann die Rate bezeichnen, bei der die
Sicherheitsschicht zu verifizierende ankommende Nachrichten pro
Sekunde empfängt.
Da die Nutzung der OBU 12 in dem Fahrzeug 10 höchstens
100% beträgt,
folgt, dass für
ein stabiles System NoutTs +
NinTν < 1.
-
Dauerhafte
Anwendungen wie z. B. BWS oder CCW basieren darauf, dass Fahrzeuge
auf einer kontinuierlichen Basis bei der Rate von 10 Nachrichten
pro Sekunde übertragen.
Wenn die Fahrzeugdichte zunimmt, nimmt die Rate ankommender, zu
verifizierender Nachrichten linear mit der An zahl von benachbarten Fahrzeugen
zu, vorausgesetzt es gibt keine Verluste an dem drahtlosen Medium.
Allerdings ist die Rate von ausgehenden, zu signierenden Nachrichten
immer auf 10 Nachrichten pro Sekunde begrenzt. Es ist zu beachten,
dass, während
es möglich
ist, jede ausgehende Nachricht mit einer digitalen Signatur auf
PKI-Basis zu authentifizieren, es nicht möglich ist, die digitale Signatur
jeder empfangenen Nachricht an einem Knoten zu verifizieren. Deshalb
sollte der Fokus einer effizienten Ausstrahlungsauthentifizierung
auf effizienten Verifizierungsmechanismen liegen. Man stelle sich
z. B. 50 Fahrzeuge in der Nähe
eines gegebenen markierten Fahrzeuges vor, wobei jedes 10 Nachrichten
pro Sekunde überträgt. Das
markierte Fahrzeug empfängt
jede Sekunde 500 zu verifizierende Nachrichten. Somit sollte für ein stabiles
System die durchschnittliche Verifizierungszeit weniger als 2 ms
betragen.
-
Zur
Authentifizierung von ausgesendeten Nachrichten wurde eine Vielfalt
an effizienten Mechanismen vorgeschlagen. Ausstrahlungsauthentifizierungsmechanismen
benötigen
die Eigenschaft, dass nur der Sender in der Lage ist, die Signatur
zu erzeugen, und jeder beliebige Empfänger in der Lage ist, die Signatur
nur zu verifizieren. Während
eine asymmetrische Schlüsselkryptographie
alle Grundelemente bereitstellen kann, die für eine Ausstrahlungsauthentifizierung
erforderlich sind, werden Grundelemente auf der Basis einer symmetrischen
Schlüsselkryptographie
wegen ihrer Effizienz bevorzugt. Symmetrische Schlüsselgrundelemente sind
um 3 bis 5 Größenordnungen
schneller als ihre asymmetrischen Gegenüber.
-
Ausstrahlungsauthentifizierungsmechanismen
können
als digitale Signaturen klassifiziert werden, die auf einer asymmetrischen
Schlüsselkryptographie
wie ECDSA, Timed Effizient Stream Loss-tolerant Authentication (TESLA),
und Einmalsignaturen basieren. Der Hauptnachteil von ECDSA besteht
darin, dass die Zeit zum Signieren und Verifizieren einer Nach richt
lang ist. TESLA nimmt einen digitalen Signaturmechanismus auf PKI-Basis
huckepack und der Sender leitet eine authentische Version der Schlüsselweitergabeplannachricht über die
digital signierte Nachricht weiter. Einmalsignaturen nehmen einen
digitalen Signaturmechanismus auf PKI-Basis huckepack und sind basierend
auf der Schwierigkeit, Einwegfunktionen umzukehren, aufgebaut. Zu
Beginn leitet der Sender die Verifizierung auf eine authentische
Weise an alle Empfänger
weiter und die Einmalsignatur der nachfolgenden Nachrichten basiert
auf dieser Verifizierungsinformation.
-
Ein
Authentifikator wird auf der Basis des Zeitbetrages als leichtgewichtig
eingestuft, der vergeht, um ihn zu erzeugen oder zu verifizieren.
Im Speziellen hängt
der Sender an jede ausgehende Nachricht zwei Authentifikatoren an,
einen leichtgewichtigen Authentifikator und eine digitale Signatur.
Wie zuvor erwähnt,
werden im Zusammenhang mit V2V effiziente Verifizierungstechniken
für Broadcast-Nachrichten
benötigt.
Knoten, die in den Übertragungsbereich
eines Senders gelangen, verifizieren die digitale Signatur, was
es ihnen ermöglicht,
den leichtgewichtigen Authentifikator für nachfolgende Nachrichten
zu verifizieren. Dies ist in 2 gezeigt,
wo eine Veranschaulichung einer Knotenmobilität durch Knoten 30 gezeigt
ist, wenn an jede Nachricht 32 zwei Authentifikatoren angehängt sind.
Knoten 30, die in den Übertragungsbereich 34 an
dem Sender S gelangen, verifizieren die digitale Signatur der Nachricht 32.
Dies ermöglicht
es ihnen, den leichtgewichtigen Authentifikator 36 für nachfolgende
Nachrichten zu verifizieren, die durch den Sender übertragen
werden.
-
Anwendungen
wie z. B. BSW und CCW erfordern, dass mit V2V ausgestattete Fahrzeuge
die kinematische Historie von benachbarten Fahrzeugen kennen. Dies
wird durch eine Aktiviereranwendung (d. h. einen Mechanismus zum
Einbetten und Aussenden von Bewegungsbahn- und kinema tischer Fahrzeuginformation) bewerkstelligt,
die als Nachbarfahrzeugverfolgung (NVT) bezeichnet wird. Die in
jedem mit V2V ausgestattetem Fahrzeug vorhandene NVT-Anwendung sendet
periodisch Bewegungsbahn- und
kinematische Information über
das Fahrzeug bei einer Rate von ungefähr 10 Nachrichten pro Sekunde
pro Fahrzeug aus.
-
Man
betrachte eine NVT-Anwendung, die in einem Fahrzeug läuft. Die
Anwendungsschicht sendet an die Sicherheitsschicht eine Nachricht,
welche die zweidimensionalen Koordinaten des Fahrzeuges zu diskreten
Zeiten ti enthält. Es wird vorausgesetzt,
dass die Erzeugung von Nachrichten durch die NVT-Anwendung frei
periodisch ist, d. h. ti+1 – ti ≈ T0. Zur Konkretisierung ist das Format der
unsignierten Nachricht, die durch die Anwendungsschicht an die Sicherheitsschicht
gesendet wird, unten angegeben. Es sollte einzusehen sein, dass
dieses Format keine Beschränkung
der Allgemeinheit bedingt.
-
Für eine unsignierte
Hallo-Nachricht, identifiziert als Sender-ID, eine Sequenznummer
= i, x(ti), y(ti), den
Rest der Nutzdaten, sind die Werte x(t↓i), y(t↓i) die zweidimensionalen Koordinaten
des Fahrzeuges zur Zeit ti und die Nachricht
besitzt die Sequenznummer i. Der letzte Teil der Nachricht ist der
Rest der Nutzdaten der periodischen Nachricht ohne die ersten vier
Felder. 4 zeigt eine Komponente der
Bewegungsbahn des Fahrzeuges, die unter Verwendung aller Hallo-Nachrichten
erstellt wird. Im Speziellen zeigt 3 Fahrzeugbewegungsbahnen
in der x-Koordinate des Fahrzeuges als eine Funktion der Zeit oder
Sequenznummer.
-
Die
folgenden Annahmen werden in Bezug auf die maximale Fahrzeuggeschwindigkeit
und die Auflösung
getroffen, die die NVT-Anwendung erfor dert. Die maximale Fahrzeuggeschwindigkeit
wird als
Meter/s
bezeichnet. Die Auflösung,
die die NVT-Anwendung erfordert, beträgt D Meter. Auch beträgt die Periode der
NVT-Anwendung T
0 Sekunden. Es ist zu beachten,
dass die maximale Strecke, die in einer von der x- oder y-Dimension in einer
Periode gefahren wird, gegeben ist durch
Somit ist für alle 1 ≤ m ≤ (k – 1), |x(t
i–m) – x(t
i–m+1)| ≤
und
|y((t
i–m) – y(t
i–m+1))| ≤
.
Wenn z. B. V
max = 180 Kilometer pro Stunde,
was 50 Meter/s entspricht, T
0 = 100 ms,
dann ist D
max = T
0V
max = 5 Meter.
-
Es
bezeichne ⌈y⌉ die Aufrundungsfunktion, d. h. die
kleinste ganze Zahl größer oder
gleich der realen Zahl y. Für
0 ≤ m ≤ k – 1 sei
Die ganze Zahl P
m stellt
die relative Distanz zwischen den Positionen des Fahrzeuges zu den
Zeiten t
i und t
i–m, d.
h. (x(t
i–m) – x(t
i)) bis zu einer Auflösung von D Meter dar. Eine
diskrete Repräsentation
der Bewegungsbahn des sendenden Fahrzeuges ist somit durch die Sequenz
von Zahlen Q
m, 1 ≤ m ≤ k – 1 gegeben, wobei Q
M = P
M – P
m–1.
Eine Bindung an die Sequenz der Zahlen Q
m im
Hinblick auf
ist bereitgestellt.
-
Es
wird vorausgesetzt, dass Q
m ≥ 0, was bedeutet,
dass x(t
i–m) ≥ x(
i–m+1).
Da bekannt ist, dass |x(t
i–m) – x(t
i–m+1)| ≤
impliziert
dies, dass x(t
i–m) – x(t
i–m+1) ≤
.
In diesem Fall gilt:
-
Wobei
Gleichung (2) aus der Definition von Q
m und
P
m folgt, Gleichung (3) aus der Tatsache
folgt, dass für
reale Zahlen a und b, ⌈a – b⌉ – 1 ≤ ⌈a⌉ – ⌈b⌉ ≤ ⌈a – b⌉ und
Gleichung (5), da x(t
i–m) – x(t
i–m+1) ≤
.
-
Es
wird vorausgesetzt, dass Q
m < 0, was impliziert,
dass x(t
i–m) – x(t
i–m+1).
Da bekannt ist, dass |x(t
i–m) – x(t
i–m+1)| ≤
,
impliziert dies, dass x(t
i–m) – x(t
i–m+1) ≥
.
In diesem Fall gilt:
-
Wobei
Gleichung (7) aus der Definition von Q
m und
P
m folgt, Gleichung (8) aus der Tatsache
folgt, dass für
reale Zahlen a und b, ⌈a – b⌉ – 1 ≤ ⌈a⌉ – ⌈b⌉ ≤ ⌈a – b⌉ und
Gleichung (10), da
-
Daraus
folgt somit, dass die ganzen Zahlen Qm,
1 ≤ m ≤ k – 1 höchstens
2(α + 1)
unterschiedliche Werte annehmen können, die innerhalb des Bereiches
|(α + 1) ≤ Qm ≤ α liegen.
Es sei Δ =
2(α + 1).
Somit besteht die diskretisierte Bewegungsbahnrepräsentation
der x-Koordinaten aus k – 1
ganzen Zahlen, sodass jede ganze Zahl Δ unterschiedliche Werte annehmen
kann. Da jede ganze Zahl Δ unterschiedliche
Werte annehmen kann, kann sie in ⌈log2(Δ)⌉ Bits
dargestellt sein. Ebenso können
die y-Koordinaten
mithilfe von k – 1
ganzen Zahlen dargestellt sein, sodass jede ganze Zahl höchstens Δ unterschiedliche
Werte annehmen kann. Es ist zu beachten, dass bis zu dem Ausmaß, in dem
die kinematische Historie festgehalten werden soll, diese abstimmbar
ist, indem k erhöht
oder verringert wird, und die Genauigkeit kann gesteuert werden,
indem D abgestimmt wird, um α zu
erhöhen
oder zu verringern.
-
Die
folgende Erläuterung
bezieht sich auf eine Bewegungsbahnauthentifizierung, die die Leistung
von V2V-Sicherheitsanwendungen auf der Basis von periodischen Nachrichtenübertragungen
deutlich verbessert. Zur Robustheit in Bezug auf Nachrichtenverlust
wurde authentische, diskretisierte Bewegungsbahninformation mit
periodischen Nachrichten weitergeleitet, die durch V2V-Sicherheitsanwendungen übertragen
wurden. Dies ermöglicht
es den Fahrzeugen, die periodische Nachrichten empfangen, eine ungefähre Bewegungsbahn
des sendenden Fahrzeuges trotz häufigen
Nachrichtenverlusts wiederherzustellen. Eine leichtgewichtige geografische
Authentifizierung ist erweitert, um einen leichtgewichtigen geografischen
Authentifizierungsmechanismus unter Verwendung der Technik des Merkle-Winternitz-Einmalsignaturmechanismus
zu errichten. Diesbezüglich
wird eine Signatur als leichtgewichtig auf der Basis der Menge an
Rechnerressourcen bezeichnet, die erforderlich sind, um die Signatur
zu verarbeiten. Die leichtgewichtige Signatur authentifiziert nur
die Bewegungsbahninformation, die innerhalb der Nachricht enthalten
ist. Sie authentifiziert insbesondere nur die ersten vier Felder,
d. h. die Sender-ID, die Sequenznummer und die x-Achsen- und y-Achsen-Koordinaten
der Unsignierten Hallo-Nachricht. Das allgemeine Format der Nachricht,
nachdem sie durch die Sicherheitsschicht des Senders verarbeitet
ist, ist unten stehend erläutert.
Der vorgeschlagene Authentifizierungsmechanismus hängt bis
zu zwei Signaturen an jede Nachricht an.
-
4 ist
eine Repräsentation
eines Nachrichtenprotokolls 50 mit einer Anwendungsschicht 52,
einer Sicherheitsschicht 54 und einer physikalischen Schicht 56.
-
Man
betrachte eine Signierte Hallo-Nachricht, die als eine Sender-ID,
Sequenznummer, = i, x(ti), y(ti), Rest
von Nutzdaten, Koeffizientenvektor, Verifizierer (ν), signierte
Vektoren, Signatur 1, Signatur 2, gekennzeichnet ist. Die an dem
Sender durch die Sicherheitsschicht 54 vorgenommenen Schritte
auf höherer
Ebene bei der Verarbeitung der Nachricht Unsigniertes Hallo, die
von der Anwendungsschicht 52 empfangen wird, sind unten
stehend beschrieben. Die diskrete Repräsentation der Bewegungsbahn
des sendenden Fahrzeuges ergibt die Koeffizienten Qm,
1 ≤ m ≤ k – 1. Diese
werden in dem Koeffizientenvektor angeordnet. Die leichtgewichtige
Signatur wird dann auf der Basis der oben berechneten Koeffizienten
und der Zufallszahlen, die der Sender-ID und der Sequenznummer zugeordnet
sind, berechnet. Die leichtgewichtige Signatur basiert auf dem Merkle-Winternitz-Einmalsignaturmechanismus.
Die Verifizierer werden verwendet, um die Komponenten der leichtgewichtigen
Signatur für
nachfolgende Sequenznummern auf die unten beschriebene Weise zu
authentifizieren. Es ist zu beachten, dass die Verifizierer ν nicht in
jeder Signierten Hallo-Nachricht vorhanden sein müssen. Die
digitale Signatur (sig 2) ist die digitale Standardsignatur auf
PKI-Basis über
die gesamte unsignierte Nachricht, die durch den Koeffizientenvektor,
den sign Vektor und die Verifizierer ν erweitert ist. Die Algorithmen,
die in jedem dieser Schritte involviert sind, sind unten stehend
im Detail beschrieben. Diese umfassen eine diskrete Repräsentation
der Bewegungsbahn des sendenden Fahrzeuges und den Merkle-Winternitz-Einmalsignaturmechanismus.
-
Man
betrachte die zweidimensionalen Positionen des Fahrzeuges zu der
aktuellen Zeit ti und den vorhergehenden
Zeiten ti–m,
wobei m = 1, ..., (k – 1).
-
Die
k Positionen seien durch (x(ti–m), y(ti–m)),
0 ≤ m ≤ k – 1 bezeichnet.
Um eine diskrete Repräsentation der
Bewegungsbahn des Fahrzeuges zu erhalten, berechnet der Sender die
folgenden Koeffizienten.
- 1) Jede der x- und
y-Dimensionen sollen unabhängig
als eine Funktion der Sequenznummer behandelt werden. Für die x-Achse
sei die Sequenz von Positionen x(ti–m),
0 ≤ m ≤ k – 1.
- 2) Man betrachte die Sequenz von Punkten, Qxm , 1 ≤ m ≤ k – 1,
die wie folgt berechnet wird.
- 3) Man führe
eine ähnliche
Operation für
die y-Achsen-Koordinaten y(ti–m), 0 ≤ m ≤ k – 1 durch.
Man betrachte die Sequenz von Punkten in Qym , 1 ≤ m ≤ k – 1,
die wie folgt berechnet wird.
- 4) Die Koeffizienten, die einer diskreten Repräsentation
der Bewegungsbahn des sendenden Fahrzeuges entsprechen, sind durch
den Koeffizientenvektor gegeben, der (Qx1 , ..., Qxk–1 ), (Qy1 , ..., Qyk–1 ) ist.
-
Ein
Einmalsignaturmechanismus ähnlich
dem Merkle-Winternitz-Einmalsignaturmechanismus
wird verwendet. 5 ist eine Repräsentation
eines Merkle-Winternitz-Einmalsignaturmechanismus 70, der
einen Verifiziererknoten 72 und einen verknüpften Knoten 74 umfasst.
Der Mechanismus 70 umfasst auch Spalten von x-Koordinatenknoten 76 und
Spalten von y-Koordinatenknoten 78.
-
Die
in dem leichtgewichtigen Authentifizierungsmechanismus verwendeten
Zufallszahlen werden wie folgt erzeugt und authentifiziert. An der
Sicherheitsschicht 54 erzeugt der Sender, der durch die
Sender-ID bezeichnet ist, insgesamt 2(k – 1) + 1 Zufallszahlen für jede Sequenznummer.
Die Zufallszahlen, die der Sequenznummer j entsprechen, sind durch
den Satz: Rj {rxj1 ,
..., rxjk–1 }∪{ryj1 ,
..., ryjk–1 }∪{rcj} (11)bezeichnet.
-
Man
rufe sich in Erinnerung, dass Δ =
2(α + 1).
Aus der Perspektive des Senders ist der Verifizierer ν, welcher
der Sequenznummer j zugeordnet ist, bezeichnet durch V
j,
wobei:
-
Man
betrachte die folgende Nachricht, Unsigniertes Hallo (Sender-ID,
Sequenznummer = i, x(ti), y(ti), Rest
der Nutzdaten), die durch die NVT-Anwendung an die Sicherheitsschicht
gesendet wird. Um diese Nachricht zu signieren, tut eine OBU Folgendes.
Es wird vorausgesetzt, dass zwei Koeffizienten, die der diskreten Repräsentation
der Bewegungsbahn des Fahrzeuges entsprechen, durch den Koeffizientenvektor
(Koeff Vekt) gleich (Qx1 , ..., Qxk–1 ), (Qy1 , ..., Qyk–1 ) gegeben sind.
Die leichtgewichtige Signatur an der Unsignierten Hallo-Nachricht
ist die Einmalsignatur, die den Koeffizienten der diskreten Repräsentation
der Bewegungsbahn des Senders entspricht.
-
Der
Sender bestimmt die leichtgewichtige Signatur auf der Basis der
obigen Koeffizienten wie folgt. Sign Vektor = sig 1 =
(σx1 , σx2 , ..., σxk–1 ), (σy1 , σy2 , ..., σyk–1 ), (σxyk ), wobei
für
1 ≤ m ≤ k – 1, Qxm und
Q y / m durch die Konstante (α +
1) zu inkrementieren sind, um sie nicht negativ zu machen. Für alle
für alle
-
Für jede der
nachfolgenden Sequenznummern i + j, j = 1, ... Q (wobei Q = 20)
ist die entsprechende Verifizierungsinformation Vi+j zu
berechnen. Der Verifizierer ν,
der an die unsignierte Nachricht anzuhängen ist, sei gegeben durch ν = {Vi+j, 1 ≤ j ≤ Q}. Man erinnere
sich, dass die Verifizierer ν nicht
in jeder Nachricht vorhanden sein müssen.
-
Die
digitale Signatur (sig 2) der Nachricht ist eine digitale Signatur
auf PKI-Basis an der Unsignierten Hallo-Nachricht, die mit dem/der/den
nachfolgenden Koeffizientenvektor (Koeff Vekt), leichtgewichtigen
Signatur (sign Vektor = sig 1) und Verifizierern ν angehängt ist.
-
Beim
Empfang einer signierten Nachricht Signiertes Hallo kann die Sicherheitsschicht
des Empfängers
entweder die digitale Signatur (sig 2) oder die leichtgewichtige
Signatur (sig 1) verifizieren. Die Verifizierung der digitalen Signatur
einer empfangenen Nachricht beinhaltet die üblichen PKI-basierten Operationen. Wie
erläutert,
umfasst die digitale Signatur der Nachricht die aus der diskreten
Repräsentation
der Bewegungsbahn der Fahrzeuges berechneten Koeffizienten. Nach
Verifizierung der digitalen Signatur einer Nachricht erhält der Empfänger authentische
Information betreffend die Position des die Nachricht sendenden
Fahrzeuges während
der k Zeitpunkte in der unmittelbaren Vergangenheit. Diese Auflösung dieser
Standortinformation beträgt
D Meter. Das Verfahren zur Wiederherstellung ungefährer Standortinformation
beinhaltet die folgenden Schritte und ist nur für die x-Achsen-Koordinaten
festgelegt. Da die digitale Signatur auf PKI-Basis dieser Nachricht
verifiziert wurde, wurde bestimmt, dass die Koeffizienten
(Qx1 ,
..., Qxk–1 ) authentisch sind. Als Nächstes wird P
m aus
diesen authentischen Werten mithilfe der Gleichung
berechnet; schließlich bis
zu innerhalb einer Auflösung
von D Metern, x(t
i–m) ≈ x(t
i)
+ D·P
m; um präziser
zu sein, x(t
i) + D·(P
m – 1) ≤ x[((t)]
i–m) ≤ x(t
i) + D·P
m.
-
Um
die leichtgewichtige Signatur der empfangenen Nachricht zu verifizieren,
führt der
Empfänger
die folgenden Aktionen aus. Die Verifizierung der leichtgewichtigen
Signatur ist nur durchführbar,
wenn der Empfänger
im Vorhinein den authentischen Wert des Verifizierers, welcher dieser
Sequenznummer und der Sender-ID entspricht, über eine Verifizierung mittels
digitaler Signatur einer den Verifizierer ν enthaltenden Nachricht erhalten
hat. Darüber
hinaus ist die Verifizierung der leichtgewichtigen Sig natur nur
durchführbar,
wenn der Empfänger
im Vorhinein die Position des sendenden Fahrzeuges, die durch (x'S (i – m), y'S (i – m)) bezeichnet ist,
für einen
früheren
Zeitpunkt ti–m für einige
1 ≤ m ≤ (k – 1) authentifiziert
hat. Diese Authentifizierung zu dem Zeitpunkt ti–m könnte mithilfe
einer Verifizierung mittels digitaler Signatur oder leichtgewichtiger
Authentifizierung erfolgt sein. Eine leichtgewichtige Authentifizierung
schafft nur Vertrauen in die Verschiebung von einer zuvor authentifizierten
Referenzposition bis zu einer Auflösung von D Metern. Somit kann,
wenn die Referenzposition digital authentifiziert wurde, der angezeigte
Standort in der aktuellen Nachricht dann bis zu einer Auflösung von
D Metern als korrekt angenommen werden. Wenn die Referenzposition
hingegen auf eine leichtgewichtige Art, mit der Auflösung von
lD Metern für
eine ganze Zahl l authentifiziert wurde, dann kann darauf vertraut
werden, dass der Standort in der aktuellen Nachricht bis zu einer
Auflösung
von (l + 1)D Metern richtig ist.
-
Die
Komponenten der leichtgewichtigen Signatur, die der Nachricht zugeordnet
sind, seien durch den Koeffizientenvektor
und sign Vekt
gegeben.
-
Die
Zufallszahlen, die innerhalb der leichtgewichtigen Signatur mit
der Sender ID und der Sequenznummer i enthalten sind, sind auf die
unten beschriebene Weise zu authentifizieren:
Jeder der Werte
Q x' / m und Q y' / m ist durch die Konstante α +
1 zu inkrementieren, um sie nicht negativ zu machen;
für 1 ≤ m ≤ k – 1 berechne
man
-
-
Man
berechne (νx'1 || νx'2 || ... || νx'k–1 || νy'1 || νy'2 || ... || νy'k–1 || ν'k );
-
Man
verifiziere, dass H(z) = Verifizierer (Sender-ID, Sequenznummer
= i); und
die obigen Schritte implizieren, dass der Koeffizientenvektor (Qx'1 ,
..., Qx'k–1 ), (Qy'1 , ..., Qy'k–1 ) authentisch ist.
-
Die
Verifizierung der leichtgewichtigen Signatur ist durchführbar, wenn
der Empfänger
im Vorhinein die durch (x'S (i – m),
y'S (i – m)) bezeichnete
Position des sendenden Fahrzeuges für einen früheren Zeitpunkt ti–m für einige
(d. h. zumindest ein) 1 ≤ m ≤ (k – 1) authentifiziert
hat.
-
-
Nun
wird, abhängig
davon, wie die Referenzposition
(x'S (i – m), y'S (i – m)) authentifiziert wurde,
der Verifizierungsschritt wie folgt ausgeführt:
Zur Verifizierung
mittels digitaler Signatur ist zu verifizieren, dass
wobei
(x'S (i), y'S (i)) die
angezeigte Position in der aktuellen Nachricht bezeichnet; zur leichtgewichtigen
Authentifizierung ist zu verifizieren, dass
und
wobei
(x'S (i), y'S (i)) die
angezeigte Position in der aktuellen Nachricht bezeichnet; und
hier
ist
x'S–LB (i – m) die
untere Grenze des Vertrauensintervalls für die x-Koordinate der Position zum Zeitpunkt t
i–m,
während
x'S–UB (i – m) die
obere Grenze des Vertrauensintervalls ist. Die y-Koordinatengrenzen
sind ähnlich definiert.
Die Art und Weise in der das Vertrauensintervall bei der leichtgewichtigen
Authentifizierung festgelegt wird, ist in dem nächsten Schritt beschrieben.
-
Nun
sind x ' / S–LB(i), x ' / S–UB(i), y ' / S–LB(i) und y ' / S–UB(i) abhängig von dem Vertrauen der
leichtgewichtigen Authentifizierung entsprechend festzulegen. Dies
ist unten stehend im Detail beschrieben.
-
Die
Erzeugung und Verifizierung der leichtgewichtigen Signatur können kontrolliert
werden, um die Leistung des vorgeschlagenen Authentifizierungsmechanismus
in Bezug auf die Zeit zu bestimmen, die erforderlich ist, um die
leichtgewichtige Signatur zu erzeugen und zu verifizieren. An dem
Sender zieht die Erzeugung der digitalen Signatur und der leichtgewichtigen
Signatur die folgenden Berechnungszeiten nach sich. Das Erzeugen
der digitalen Signatur beinhaltet eine Erzeugung einer digitalen
Signatur auf PKI-Basis pro Paket. Das Erzeugen der leichtgewichtigen
Signatur beinhaltet die folgenden Berechnungen. Für ein einziges
Paket muss der Sender 2(k – 1)
Hash-Ketten mit einer Länge
von jeweils Δ und
einer Länge
von 2Δ(k – 1) berechnen.
Dies entspricht 4Δ(k – 1) Hash- Funktionsberechnungen
einer Blockgröße, die
dem Ausgang der Hash-Funktion
entspricht. Überdies
muss der Sender 2k – 1
gehashte Werte verknüpfen
und einen weiteren Hash des Ergebnisses berechnen. Dies entspricht
2k – 1
Hash-Berechnungen einer Blockgröße, die
dem Ausgang der verwendeten Hash-Funktion entspricht. Somit muss
der Sender für
ein einziges Paket insgesamt 2(2Δ +
1)(k – 1)
+ 1 Hash-Berechnungen durchführen.
-
An
dem Empfänger
zieht die Verifizierung der digitalen Signatur und der leichtgewichtigen
Signatur die folgenden Berechnungszeiten nach sich. Die Verifizierung
der digitalen Signatur beinhaltet eine Verifizierung einer digitalen
Signatur auf PKI-Basis pro Paket. Die Verifizierung der leichtgewichtigen
Signatur beinhaltet exakt die Hälfte
der Zahl von Hash-Operationen,
die der Sender ausgeführt
hat, um alle Hash-Werte zu erhalten, um den Verifizierer zu berechnen,
wonach es exakt dieselbe Anzahl von Hash-Operationen beinhaltet,
um den Verifizierer ν tatsächlich zu
berechnen. Somit entspricht der Berechnungs-Overhead 2(Δ + 1)(k – 1) + 1 Hash-Berechnungen
einer Blockgröße, die
dem Ausgang der Hash-Funktion
entspricht.
-
Für ein Bündel von
Q Paketen überträgt der Sender
anfänglich
die entsprechende Verifizierungsinformation, welche Q Verifizierer
enthält.
Wenn die Verifiziererinformation nur ein Mal für jeweils Q Pakete gesendet
wird, dann wäre
der Berechnungs-Overhead gering, wenn jedoch Paketverluste vorhanden
wären,
dann müssten
die Empfänger
auf eine große
Anzahl von PKI-Verifizierungen zurückgreifen. Wenn sie ein Mal
in Q ~ Nachrichten gesendet wird, wobei Q ~ < Q, dann wäre der Overhead infolge der
Verifizie rer
Der Overhead, der in der
leichtgewichtigen Signatur pro Paket übernommen wird, besteht aus
insgesamt 2(k – 1)
Koeffizienten und insgesamt 2k – 1
Hash-Werten, wodurch bis zu 2·(k – 1)·⌈log
2 (Δ)⌉ +
(2k – 1)·|H(.)|
Bits hinzugefügt
sind.
-
Die
Sicherheitsmerkmale des leichtgewichtigen Authentifizierungsmechanismus
werden nun überprüft. Man
erinnere sich, dass die leichtgewichtige Signatur die in der Signierten
Hallo-Nachricht vorhandene Standortinformation schützt. Es
wird vorausgesetzt, dass ein Knoten A authentische Standortinformation
betreffend den Knoten B für
die Zeitpunkte ti–m, 1 ≤ m < k aufweist. Es
wird angenommen, dass die Stanortinformation authentisch ist, aber
ungefähr
bis innerhalb eines Fehlers von D Metern liegt. Die Standortinformation zu
demselben Zeitpunkt ist mit ti–m, 1 ≤ m < k als (xB(ti–m), yB(ti–m))
bezeichnet.
-
Es
wird angenommen, dass ein Empfänger
R eine Nachricht mit den folgenden Feldern empfängt: Sender-ID = S, Sequenznummer =
i, (x(ti), y(ti)
= (x'S (i), y'S (i)). Es wird angenommen, dass der Empfänger R im Vorhinein
den authentischen Wert des Verifizierers ν, welcher der Sender-ID = S und der Sequenznummer
= i entspricht, über
eine Verifizierung mittels digitaler Signatur einer den Verifizierer ν enthaltenden
Nachricht erhalten hat. Darüber
hinaus wird angenommen, dass der Empfänger R über eine Verifizierung mittels
digitaler Signatur im Vorhinein die Position des sendenden Fahrzeuges,
die durch (x'S (i – m),
y'S (i – m)) bezeichnet
ist, für
einen früheren
Zeitpunkt ti–m für einige
oder zumindest ein 1 ≤ m ≤ (k – 1) authentifiziert
hat. Wenn die Verifizierung mittels leichtgewichtiger Signatur dieser
Nachricht erfolgreich ist, dann ist der Empfänger R in der Lage, die x-Achsen-
und y-Achsen-Koordinaten der Position des sendenden Fahrzeugs zu
einem Zeitpunkt ti bis zu einer Genauigkeit
von D Metern abzuleiten. Insbesondere gilt: x'S (i)∊(x'S–LB (i), x'S–UB (i)) (13) y'S (i)∊(y'S–LB (i), y'S–UB (i)) (14)
-
Wobei x'S–LB (i) = D·(Px'm (i) – 1) + x'S (i – m) (15) x'S–UB (i) = D·Px'm (i)
+ x'S (i – m) (16) y'S–LB (i) = D·(Py'm (i) – 1) + y'S (i – m) (17) y'S–UB (i) = D·Py'm (i)
+ y'S (i – m) (18)
-
Für jedes
1 ≤ u ≤ k – 1 (u ≠ m) ist der
Empfänger
R in der Lage, die x-Achsen- und
y-Achsen-Koordinaten der Position des sendenden Fahrzeugs zu einem
Zeitpunkt ti–u bis
zu einer Genauigkeit von 2·D
Metern abzuleiten. Insbesondere gilt: x'S (i – u)∊(x'S–LB (i – u), x'S–UB (i – u)) (19) y'S (i – u)∊(y'S–LB (i – u), y'S–UB (i – u)) (20)
-
Wobei x'S–LB (i – u)
= D·(Px'm (i) – (Px'u (i))
+ x'S (i – m) – D (21) x'S–UB (i – u)
= D·(Px'm (i) – (Px'u (i))
+ x'S (i – m)
+ D (22) y'S–LB (i – u)
= D·(Py'm (i) – (Py'u (i))
+ y'S (i – m) – D (23) y'S–LB (i – u)
= D·(Py'm (i) – (Px'u (i))
+ y'S (i – m)
+ D (24)
-
Man
erinnere sich, dass der Empfänger
R über
eine Verifizierung mittels digitaler Signatur auf PKI-Basis im Vorhinein
die Position des sendenden Fahrzeuges, die durch (x'S (i – m), y'S (i – m)) bezeichnet
ist, für einen
früheren
Zeitpunkt ti–m für einige
1 ≤ m ≤ (k – 1) authentifiziert
hat. Diese Position (x'S (i – m),
y'S (i – m)) ist der
Anker oder die Referenz, über
den/die der Empfänger
Grenzen an der Position des Senders S zum Zeitpunkt ti und
zu den Zeitpunkten ti–u, 1 ≤ u ≤ k – 1 ableitet.
-
Es
wird vorausgesetzt, dass die Koeffizienten, die in der Bewegungsbahnrepräsentation
der durch den Sender S übertragenen
NVT-Nachricht mit der Sequenz i eingebettet sind, durch den Koeffizientenvektor
= (Qx'1 (i),
..., Qx'k–1 (i)), (Qy'1 (i), ..., Qy'k–1 (i)) bezeichnet sind. Wenn die leichtgewichtige
Signatur auf der Basis des Merkle-Winternitz-Einmalsignaturmechanismus
verifiziert wird, dann impliziert dies, dass der Koeffizientenvektor
(Qx'1 (i),
..., Qx'k–1 (i), (Qy'1 (i), ..., Qy'k–1 (i)) authentisch ist. Es folgt, dass
die Werte P x' / u(i) und P y' / U ebenfalls authentisch für jeden Wert von 1 ≤ u ≤ (k – 1) sind,
wobei
-
Über eine
Verifizierung mittels digitaler Signatur auf PKI-Basis der Nachricht
mit der Sequenznummer i – m
leitet der Empfänger
ab, dass
(x'S (i – m),
y'S (i – m)) authentisch
ist. Über
eine Verifizierung mittels leichtgewichtiger Signatur der Nachricht
mit der Sequenznummer i leitet der Empfänger ab, dass P x' / m(i) und P y' / m(i)
authentisch sind. Man rufe sich in Erinnerung, dass per Definition
Somit kann der Empfänger R die
folgende Grenze an x ' / S(i) ableiten als:
D·(Px'm (i) – 1) < x'S (i) – x'S (i – m) ≤ D·Px'm (i) (25) D·(Px'm (i) – 1) + x'S (i – m) < x'S (i) ≤ D·Px'm (i) +
x'S (i – m) (26) -
Die
Verifizierung mittels leichtgewichtiger Signatur impliziert, dass
der gesamte Koeffizientenvektor authentisch ist. Somit sind P x' / u(i)
und P x' / u(i) für
jedes 1 ≤ u ≤ k – 1 authentisch.
Man rufe sich in Erinnerung, dass per Definition
Somit kann der Empfänger die
folgende Grenze an
x'S (i – u) ableiten:
D·(Px'u (i) – 1) < x'S (i) – x'S (i – u) ≤ D·Px'u (i) (27) -
Durch
Kombinieren der obigen Sätze
von Ungleichungen bestimmt der Empfänger die folgenden Grenzen
an der Position (x'S (i – u)),
(y'S (i – u)),
(1 ≤ u ≤ k – 1, u ≠ m) in
Bezug auf die Ankerposition (x'S (i – m)), (y'S (i – m)).
Insbesondere gilt: D·(Px'u (i) – Px'u (i))
+ x'S (i – m) – D < x'S (i – u) (28) x'S (i – u) < D·(Px'm (i) – Px'u (i))
+ x'S (i – m)
+ D (29)
-
Eine
Sequenz von Verifizierungen mittels leichtgewichtiger Signatur wird
zu einem linearen Anstieg in der Unsicherheit im Zusammenhang mit
der Position des sendenden Fahrzeuges in jeder der x-Achsen- und y-Achsen-Koordinaten
führen.
Die Unsicherheit in der Position des Fahrzeuges ist bezüglich eines
Positionsankers vorhanden, der mithilfe einer Verifizierung mittels
digitaler Signatur auf PKI-Basis durch den Empfänger authentifiziert wurde.
-
Es
wird angenommen, dass ein Empfänger
R eine Nachricht mit den folgenden Feldern empfängt: Sender-ID = S, Sequenznummer =
i, (x(ti), y(ti))
= (x'S (i), y'S (i)). Es wird angenommen, dass der Empfänger R im
Vorhinein den authentischen Wert des Verifizierers ν, welcher
der Sender-ID =
S und der Sequenznummer = i entspricht, über eine Verifizierung mittels
digitaler Signatur einer den Verifizierer ν enthaltenden Nachricht erhalten
hat. Darüber
hinaus wird angenommen, dass der Empfänger R über eine Verifizierung mittels
leichtgewichtiger Signatur im Vorhinein die Position des sendenden
Fahrzeuges, die durch (x'S (i – m),
y'S (i – m)) bezeichnet
ist, für
einen früheren
Zeitpunkt ti–m für einige
oder zumindest ein 1 ≤ m ≤ (k – 1) authentifiziert
hat. Das Vertrauensintervall für
die leichtge wichtige Authentifizierung sei durch x'S (i)∊(x'S–LB (i),
x'S–UB (i)) für
die x-Koordinate
und durch y'S (i)∊(y'S–LB (i), y'S–UB (i)) für die y-Koordinate bezeichnet.
Wenn die Verifizierung mittels leichtgewichtiger Signatur dieser
Nachricht erfolgreich ist, dann ist der Empfänger R in der Lage, die x-Achsen- und y-Achsen-Koordinaten
der Position des sendenden Fahrzeugs zu einem Zeitpunkt ti bis zu einer Genauigkeit von D Metern abzuleiten.
Insbesondere gilt: x'S (i)∊(x'S–LB (i),
x'S–UB (i)) (30) y'S (i)∊(y'S–LB (i), y'S–UB (i)) (31)
-
Wobei x'S–LB (i) = D·(Px'm (i) – 1) + x'S–LB (i – m) (32) x'S–UB (i) = D·Px'm (i)
+ x'S–UB (i – m) (33) y'S–LB (i) = D·(Py'm (i) – 1) + y'S–LB (i – m) (34) y'S–UB (i) = D·Py'm (i)
+ y'S–UB (i – m) (35)
-
Für jedes
1 ≤ u ≤ k – 1(u ≠ m) ist der
Empfänger
R in der Lage, die x-Achsen- und
y-Achsen-Koordinaten der Position des sendenden Fahrzeugs zu einem
Zeitpunkt ti–u bis
zu einer Genauigkeit von 2·D
Metern abzuleiten. Insbesondere gilt: x'S (i – u)∊(x'S–LB (i – u), x'S–UB (i – u)) (36) y'S (i – u)∊(y'S–LB (i – u), y'S–UB (i – u)) (37)
-
Wobei x'S–LB (i – u)
= D·(Px'm (i) – Px'u (i))
+ x'S–LB (i – m) – D (38) x'S–UB (i – u)
= D·Px'm (i) – Px'u (i) +
x'S–UB (i – m)
+ D (39) y'S–LB (i – u)
= D·(Py'm (i) – Py'u (i))
+ y'S–LB (i – m) – D (40) y'S–UB (i – u)
= D·Py'm (i) – Py'u (i) +
y'S–UB (i – m)
+ D (41)
-
Die
Technik der Bewegungsbahnauthentifizierung, die bisher beschrieben
wurde, sieht eine Anzahl von Parametern vor, die abstimmbar sind.
Diese Parameter können
abgestimmt werden, um einen wünschenswerten
Kompromiss zwischen dem Overhead für die Berechnung, den Speicher
und die Kommunikation zu erzielen.
-
Die
oben stehende Erläuterung
stand unter der Annahme, dass die Anwendungsschicht Pakete beinahe
periodisch erzeugt. Allerdings ist die Technik ohne weiteres auf
ein Szenario erweiterbar, in dem die Anwendungsschicht Pakete periodisch
erzeugt. In diesem Fall ist eine zusätzliche Annahme notwendig,
insbesondere, dass eine obere Grenze an den Zwischenpaket-Erzeugungszeiten
vorhanden ist. Dann gibt es zwei Modifikationen, die erforderlich
sind, damit die Technik entsprechend arbeitet.
-
Erstens
muss der Parameter
durch
neu definiert werden, wobei
die
maximale Zwischenpaket-Erzeugungszeit ist. Zweitens, da die Paketerzeugungszeiten
nicht in den Sequenznummern inbegriffen sind, könnte der Sender optional diskretisierte Koeffizienten
weiterleiten, die den Erzeugungszeiten der Pakete entsprechen. Somit
könnte
Q t' / S ähnlich
definiert sein wie Q x' / S und Q y' / S und dann wäre die Merkle-Winternitz-Signatur
an der diskretisierten Repräsentation von
(x, y, t) und nicht an der diskretisierten Repräsentation von (x, y) vorhanden.
-
Die
hierin präsentierten
Techniken sehen ein einfaches und relativ lockeres Akzeptanzkriterium
zum Verifizieren des leichtgewichtigen Authentifikators auf der
Basis der Merkle-Winternitz-Signatur vor. Im Wesentlichen wurde
vorgeschlagen, dass der leichtgewichtige Authentifikator akzeptiert
wird, vorausgesetzt, dass der angezeigte Standort und die Nachricht
innerhalb einer bestimmten Grenze eines zuvor authentifizierten Referenzstandortes
gelegen sind. Allerdings, wenn mehrere Standorte verfügbar sind,
denen zuvor vertraut wurde, dann könnte das Akzeptanzkriterium
strenger gemacht werden. Im Fall von Unstimmigkeiten, d. h. Übereinstimmung
mit einem Standort aber keine Übereinstimmung
in Bezug auf einen anderen, könnte
das Paket gespeichert und die digitale Signatur später verifiziert
werden. Wenn die Unstimmigkeiten weiter vorhanden sind, dann könnte das
Paket als ein schädliches
Paket an das Backend gemeldet werden.
-
Der
Parameter D kann erhöht
werden, wenn die Anwendungsschicht bei einem gegebenen Fahrzeug nicht
auf Standortinformation außerhalb
einer bestimmten Distanz von dem gegebenen Fahrzeug anspricht. Im
Speziellen lautet eine wirksame Strategie der Wahl zwischen Verifizierungen
mit tels leichtgewichtiger Signatur und Verifizierungen mittels schwergewichtiger
PKI wie folgt. Die grundlegende Idee ist die, dass selbst wenn die
Unsicherheit in der Position des Senders S relativ groß ist, wie
z. B. innerhalb eines Quadrats von 10 m × 10 m, nach einer Sequenz
von 5 leichtgewichtigen Verifizierungen, wenn D = 2 m, keine Notwendigkeit bestehen
kann, dass der Empfänger
R den genauen Standort des Senders S aus der Perspektive der CCW-Anwendung
bestimmt, wenn der nächste
Punkt auf diesem Quadrat betreffend den Sender S etwa 200 m von
dem Empfänger
R liegt. Ein Empfängerknoten
R führt
eine Sequenz von leichtgewichtigen Verifizierungen für einen
gegebenen Senderknoten S aus. Nach einer leichtgewichtigen Verifizierung
nimmt die Unsicherheit in der Position des Knotens S in sowohl der
x- als auch der y-Dimension linear zu. Der Knoten R berechnet die
Distanz zwischen seiner aktuellen Position und dem nächstmöglichen
Standort des Knotens S. Wenn dieser kleiner ist als eine bestimmte
Schwelle, dann ruft er eine schwergewichtige Verifizierung auf PKI-Basis
auf, um den genauen Standort des Senders S zu bestimmen. Andernfalls
besteht keine Notwendigkeit, die Verifizierung auf PKI-Basis aufzurufen.
-
6 ist
eine Repräsentation
einer Nachricht 80, an die eine PKI-Signatur, ein TESLA-Code und eine digitale
Einmalsignatur angehängt
sind, gemäß einer
weiteren Ausführungsform,
wobei die Nachrichtenverifizierung ferner erhöht ist, indem der TESLA-Code
der Nachricht 80 hinzugefügt ist. Die Nachricht 80 umfasst einen
Verifizierer (ν) 82,
der Verbindlichkeitsinformation betreffend die durch die Bewegungsbahn-authentifizierung
verwendete Einmalsignatur-Technik bereitstellt. Die Nachricht 80 umfasst
auch einen Schlüsselweitergabeplan
(A) 84, der Verbindlichkeitsinformation für den TESLA-Code
bereitstellt. Der Schlüsselweiterga beplan
(A) 84 und ein digitales Zertifikat des Senders 86 müssen nicht
in jeder Nachricht vorhanden sein.
-
Es
sollte einzusehen sein, dass die obige Beschreibung illustrativ
und nicht einschränkend
sein soll. Für
einen Fachmann werden beim Lesen der obigen Beschreibung viele alternative
Ansätze
oder Anwendungen als die bereitgestellten Beispiele offensichtlich
sein. Der Schutzumfang der Erfindung soll nicht mit Bezug auf die
obige Beschreibung festgelegt sein, sondern soll vielmehr mit Bezug
auf die beiliegenden Ansprüche zusammen
mit dem vollen Schutzumfang der Äquivalente
festgelegt sein, deren Recht durch diese Ansprüche eingeräumt ist. Es wird vorweggenommen
und beabsichtigt, dass weitere Entwicklungen auf dem hierin erläuterten
technischen Gebiet stattfinden werden, und dass die offenbarten
Systeme und Verfahren in solche weitere Beispiele aufgenommen werden.
Zusammenfassend sollte einzusehen sein, dass die Erfindung modifiziert
und verändert
werden kann und nur durch die nachfolgenden Ansprüche begrenzt
ist.
-
Die
vorliegenden Ausführungsformen,
die rein illustrativ für
die besten Modi sind, wurden speziell gezeigt und beschrieben. Ein
Fachmann sollte einsehen, dass verschiedene Alternativen an den
hierin beschriebenen Ausführungsformen
verwendet werden können,
um die Ansprüche
praktisch auszuführen,
ohne von dem Geist und Schutzumfang der Erfindung abzuweichen, und
dass das Verfahren und das System innerhalb des Schutzumfanges dieser
Ansprüche
liegen und deren Äquivalente
davon abgedeckt sein sollen. Es sollte einzusehen sein, dass die
Beschreibung alle neuen und nicht offensichtlichen Kombinationen
der hierin beschriebenen Elemente umfassen soll, und Ansprüche in dieser
oder einer späteren
Anmeldung für
jede neue und nicht offensichtliche Kombination die ser Elemente
präsentiert
werden können.
Des Weiteren sind die vorhergehenden Ausführungsformen illustrativ und
kein einzelnes Merkmal oder Element ist für alle möglichen Kombinationen wesentlich,
die in dieser oder einer späteren
Anmeldung beansprucht werden können.
-
Alle
in den Ansprüchen
verwendeten Ausdrücke
sollen ihren umfassendsten Aufbau und deren übliche Bedeutung beinhalten,
wie für
einen Fachmann verständlich,
sofern hierin kein expliziter Hinweis auf das Gegenteil vorhanden
ist. Im Speziellen ist die Verwendung von Einzahlartikeln wie z.
B. „ein/e/r”, „der/die/das”, „besagte/r/s” etc. so
zu verstehen, dass ein oder mehrere der angegebenen Elemente gemeint
sind, es sei denn, ein Anspruch erklärt eine explizite Begrenzung
auf das Gegenteil.
Somit ist für alle 1 ≤ m ≤ (k – 1), |x(ti–m) – x(ti–m+1)| ≤
und |y((ti–m) – y(ti–m+1))| ≤
. Wenn z. B. Vmax = 180 Kilometer pro Stunde, was 50 Meter/s entspricht, T0 = 100 ms, dann ist Dmax = T0Vmax = 5 Meter.
ist bereitgestellt.
. In diesem Fall gilt:
. In diesem Fall gilt:
gegeben.
und
wobei
neu definiert werden, wobei
die maximale Zwischenpaket-Erzeugungszeit ist. Zweitens, da die Paketerzeugungszeiten nicht in den Sequenznummern inbegriffen sind, könnte der Sender optional diskretisierte Koeffizienten weiterleiten, die den Erzeugungszeiten der Pakete entsprechen. Somit könnte Q t' / S ähnlich definiert sein wie Q x' / S und Q y' / S und dann wäre die Merkle-Winternitz-Signatur an der diskretisierten Repräsentation von (x, y, t) und nicht an der diskretisierten Repräsentation von (x, y) vorhanden.