DE102009037864B4 - Verfahren zum Authentifizieren von Nachrichten - Google Patents

Verfahren zum Authentifizieren von Nachrichten Download PDF

Info

Publication number
DE102009037864B4
DE102009037864B4 DE102009037864.2A DE102009037864A DE102009037864B4 DE 102009037864 B4 DE102009037864 B4 DE 102009037864B4 DE 102009037864 A DE102009037864 A DE 102009037864A DE 102009037864 B4 DE102009037864 B4 DE 102009037864B4
Authority
DE
Germany
Prior art keywords
mode
scale
message
honest
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102009037864.2A
Other languages
English (en)
Other versions
DE102009037864A1 (de
Inventor
Aditya R. Karnik
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102009037864A1 publication Critical patent/DE102009037864A1/de
Application granted granted Critical
Publication of DE102009037864B4 publication Critical patent/DE102009037864B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Abstract

Verfahren zum Authentifizieren von Nachrichten, die bei einem Empfänger empfangen werden, wobei das vom Empfänger durchgeführte Verfahren umfasst:Feststellen eines Vertrauensniveaus für Sender von Nachrichten, die beim Empfänger empfangen werden, hinsichtlich der Nachrichtengültigkeit;Zuweisen des Vertrauensniveaus zu einer Skala, wobei ein Ende der Skala einen ehrlichen Sender angibt, dessen Nachrichten angenommen werden, oder eine ehrliche Nachricht angibt, die angenommen wird, und das andere Ende der Skala eine böswillige Nachricht angibt, die verworfen wird, oder einen böswilligen Sender angibt, dessen Nachrichten verworfen werden;Auswählen einer Authentifizierungsbetriebsart auf der Basis zumindest teilweise des Vertrauensniveaus, wobei eine Authentifizierungsbetriebsart eine Betriebsart der blinden Annahme für ein Vertrauensniveau am oder um das ehrliche Ende der Skala, eine Verwerfungsbetriebsart für ein Vertrauensniveau am oder um das böswillige Ende der Skala und mindestens eine Betriebsart dazwischen umfasst; undDurchführen eines Authentifizierungsprozesses an der Nachricht in Abhängigkeit davon, welche Betriebsart ausgewählt wird;wobei die mindestens eine Betriebsart zwischen der Betriebsart der blinden Annahme und der Verwerfungsbetriebsart Betriebsarten zum Überprüfen einer PKI-Signatur, Überprüfen einer leichtgewichtigen Signatur und/oder Durchführen einer Konsistenzprüfung auf der Basis von lokalen Informationen umfasst; dadurch gekennzeichnet , dassdie PKI-Signatur-Betriebsart ausgewählt wird, wenn das Vertrauensniveau bei dem böswilligen Ende der Skala liegt, und die Betriebsart der leichtgewichtigen Signatur ausgewählt wird, wenn das Vertrauensniveau bei dem ehrlichen Ende der Skala liegt.

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Diese Erfindung bezieht sich im Allgemeinen auf ein Verfahren zum Authentifizieren von Nachrichten.
  • Beschreibung des Standes der Technik
  • Die US 2006 / 0 021 009 A1 beschreibt ein Verfahren, mit dem in einem sozialen Netzwerk bestimmt werden kann, ob es einem Teilnehmer A gestattet ist, einem anderen Teilnehmer B Mitteilungen zu schicken. Diese Entscheidung wird in Abhängigkeit davon getroffen, ob der Teilnehmer A auf der schwarzen Liste des Teilnehmers B oder auf einer davon abgeleiteten grauen Liste steht.
  • Die Authentifizierung, der Prozess der Feststellung von etwas oder jemandem als echt oder ehrlich, ist ein integraler Teil von einem beliebigen Sicherheitssystem. Im Zusammenhang mit Informationssicherheit sind es die Daten und ihre Anwender, die eine Authentifizierung erfordern. Datenauthentifizierungs- oder Datenüberprüfungsmechanismen wurden in den vergangenen paar Jahrzehnten umfangreich untersucht und als Ergebnis existiert nun eine Menge von Mechanismen.
  • Die Kryptographie bildet das Rückgrat der Mehrheit der Authentifizierungsmechanismen. Vielleicht ist das am besten bekannte kryptographische Verfahren die Kryptographie mit asymmetrischem Schlüssel. Jeder Vollmachtgeber, der diesen Mechanismus verwendet, besitzt ein Paar von Schlüsseln, nämlich einen privaten Schlüssel und einen öffentlichen Schlüssel. Der private Schlüssel ist nur dem Vollmachtgeber bekannt, wohingegen der öffentliche Schlüssel mit anderen Entitäten in dem System gemeinsam genutzt werden kann. Um die Nachrichtenintegrität sicherzustellen, signiert der Sender einer Nachricht die Nachricht mit seinem privaten Schlüssel und fügt seine Signatur zur Nachricht hinzu. Beim Empfang der Nachricht kann der Empfänger die Signatur der Nachricht unter Verwendung des öffentlichen Schlüssels des Senders überprüfen.
  • Das System der Infrastruktur mit öffentlichem Schlüssel (public key infrastructure, PKI) basiert auf der Kryptographie mit asymmetrischem Schlüssel. In einem PKI-System werden an die ehrlichen Anwender des Systems Zertifikate, d. h. Dokumente, die ihren öffentlichen Schlüssel bestätigen, von einer Zertifizierungsautorität ausgegeben. Wenn Informationen übertragen werden, signieren die Anwender ihren Nachrichteninhalt mit ihrem privaten Schlüssel und hängen diese Signatur an die Nachricht zusammen mit ihrem Zertifikat an. Der Empfänger kann die Rechtmäßigkeit des Senders durch Überprüfen des Zertifikats und die Authentizität oder Integrität des Nachrichteninhalts durch Überprüfen ihrer Signatur feststellen.
  • In einigen Fällen können Daten auch unter Verwendung einer kontextspezifischen Kenntnis oder von Konsistenzprüfungen authentifiziert werden, beispielsweise kann eine kinetische Echtzeit-Berechnung (real-time kinematic-, RTK-Berechnung) von GPS-Rohdaten verwendet werden, um Ortsinformationen zu authentifizieren, und Fahrzeugbahninformationen können unter Verwendung von Modellen auf physikalischer Basis authentifiziert werden.
  • Authentifizierungsmechanismen sind mit Aufwand verbunden. Kryptographische Operationen sind im Allgemeinen rechenintensiv. Sogar einige Konsistenzprüfungen können rechnerisch ebenso anspruchsvoll wie kryptographische Operationen sein, wenn nicht mehr. In Gebieten, in denen die Informationssicherheit vorrangig ist, sind dies gewöhnlich sekundäre Anliegen. Dies war im herkömmlichen Anwendungsbereich, wie z. B. beim Banking und bei Finanztransaktionen, der Fall. Neuere Anwendungsbereiche, wie z. B. industrielle Automatisierung, drahtlose Fahrzeug- und Sensornetze, werden andererseits durch Leistungs- und Aufwandszwänge getrieben. Folglich kann ein kryptographischer Mechanismus, der die Rechtmäßigkeit von Daten angesichts von Angriffen feststellen kann, die ganze Aufgabe der Nutzung eines Sensornetzes nichtig machen, da Miniatursensoren eine begrenzte Rechenleistung aufweisen und typischerweise Daten mit einer bestimmten Datenrate verarbeiten und übertragen müssen, damit sie von irgendeinem Nutzen sind. Ähnliche Zwänge gelten ebenso in einem Fahrzeugnetz. Dies heißt nicht, dass die Sicherheit oder insbesondere Authentifizierung von sekundärer Bedeutung ist, sondern dass sie für solche Systeme kein nachträglicher Einfall sein kann.
  • Es gab zwei Vorgehensweisen, um dieses Problem anzugehen. Die erste Vorgehensweise verwendet „leichtgewichtige“ Mechanismen, um den Rechen- und Kommunikationsaufwand zu verringern. Die zweite Vorgehensweise verwendet eine Authentifizierung auf Vertrauensbasis, die explizit Vertrauen zwischen zwei Parteien herstellt, bevor ihr Dialogverkehr beginnt. Ungeachtet der Effizienz eines Mechanismus misslingt es der ersten Vorgehensweise, die Tatsache zu nutzen, dass Überprüfungsmechanismen für ein spezielles Szenario geeignet sein können, wobei, wenn der Sender als ehrlich oder böswillig bekannt ist, kein Bedarf für eine Überprüfung besteht. Daten können im ersteren Fall direkt angenommen werden, während sie im letzteren verworfen werden. Überdies können leichtgewichtige Mechanismen nicht alle wünschenswerten Sicherheitsattribute bereitstellen. Mechanismen auf Vertrauensbasis können andererseits Angreifbarkeit bieten, wenn sich zu sehr auf den anfänglichen Austausch verlassen wird, wobei die Möglichkeit von Manipulation außer Acht gelassen wird. Diese Mechanismen sind auch gewöhnlich in Szenarios, in denen kommunizierende Parteien sich mit der Zeit ändern, wie z. B. in einem Fahrzeugnetz auf Grund der Mobilität, und/oder dort, wo eine Kommunikation nicht zwangsläufig Eins zu Eins ist, wie z. B. Rundsendung in drahtlosen Personen- und Fahrzeugnetzen, schwierig zu implementieren.
  • Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren zum Authentifizieren von Nachrichten zu schaffen, das mit geringstem Aufwand höchste Sicherheitsanforderungen erfüllt.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Diese Aufgabe wird mit einem Verfahren mit den Merkmalen des Anspruchs 1, des Anspruchs 2, des Anspruchs 3 oder des Anspruchs 4 gelöst.
  • Gemäß den Lehren der vorliegenden Erfindung werden Verfahren zum adaptiven Überprüfen von Daten in hinsichtlich Ressourcen eingeschränkten Systemen offenbart. Der adaptive Datenüberprüfungsmechanismus verwendet die zweckmäßige Überprüfungsbetriebsart adaptiv, um die Aufwands-/Leistungs-Anforderungen plus Sicherheitsanforderungen ins Gleichgewicht zu bringen. In einer nicht beschränkenden Ausführungsform dieses Mechanismus verwendet der Algorithmus ein Vertrauensniveau für den Sender oder für die Gültigkeit einer empfangenen Nachricht und weist das Vertrauensniveau einer Skala zwischen einer ehrlichen Nachricht an einem Ende der Skala und einer böswilligen Nachricht an einem entgegengesetzten Ende der Skala zu. In Abhängigkeit davon, wohin auf der Skala das Vertrauensniveau fällt, wählt der Algorithmus die Überprüfungsbetriebsart geeignet aus, um die Nachricht zu authentifizieren. In einer anderen nicht beschränkenden Ausführungsform werden das Vertrauensniveau relativ zu einer Skala und die Menge an Daten, die in einem Puffer auf die Verarbeitung warten, beide verwendet, um zu bestimmen, welche Betriebsart verwendet wird, um die Nachricht zu überprüfen.
  • Weitere Merkmale der vorliegenden Erfindung gehen aus der folgenden Beschreibung und den beigefügten Ansprüchen in Verbindung mit den begleitenden Zeichnungen hervor.
  • Figurenliste
    • 1 ist ein Blockdiagramm, das einen möglichen Prozess zum Auswählen einer Betriebsart in einer adaptiven Datenüberprüfung zeigt;
    • 2 ist eine Darstellung eines Systems, das einen Algorithmus auf reiner Vertrauensbasis für eine adaptive Datenüberprüfung verwendet; und
    • 3 ist eine Darstellung eines Systems, das einen Algorithmus auf Vertrauens- und Warteschlangenlängenbasis für eine adaptive Datenüberprüfung verwendet.
  • AUSFÜHRLICHE BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
  • Die folgende Erörterung der Ausführungsformen der Erfindung, die sich auf ein System und ein Verfahren zum Schaffen einer adaptiven Überprüfung in einem hinsichtlich Ressourcen eingeschränkten System richtet, ist dem Wesen nach lediglich beispielhaft.
  • Die vorliegende Erfindung schlägt eine neue Vorgehensweise zum Überprüfen von Daten auf einer Überprüfungsbedarfsbasis vor. Sie führt die Idee der adaptiven Datenüberprüfung für ein hinsichtlich Ressourcen ein-geschränktes System ein, um Sicherheits- und Leistungs-/Aufwands-Anforderungen effizient ins Gleichgewicht zu bringen, und schafft zwei adaptive Überprüfungsalgorithmen als Hilfsmittel auf der Basis dieser Grundidee, die die Kosten einer anspruchsvollen Hardware, wie z. B. zweckbestimmter Chips für schnelle Kryptographieoperationen, schneller Prozessoren und großer Leistungsversorgungen, sparen können, während sie die Verarbeitungs- und Sicherheitsanforderungen erfüllen.
  • Der Bedarf an einer Datenüberprüfung für eine Entität entsteht auf Grund der Unsicherheit über die Absicht der anderen Entitäten. Wenn der Sender als entweder ehrlich oder böswillig bekannt ist, besteht kein Bedarf zur Überprüfung. Für die Zwecke hierin bezieht sich ein Überprüfungsmechanismus oder eine Überprüfungsbetriebsart auf entweder einen eigenständigen Authentifizierungsmechanismus oder auf irgendeine Kombination von Authentifizierungsmechanismen. Die blinde Annahme und die Verwerfung werden auch als Überprüfungsmechanismen behandelt. Die vorliegende Erfindung ist im Allgemeinen nicht darauf bedacht, welche Betriebsarten implementiert werden, sondern nur, dass einem Empfänger mehrere Betriebsarten zur Verfügung stehen. Diese Annahme gilt immer, da die blinde Annahme und die Verwerfung als Betriebsarten behandelt werden. Es ist jedoch zu beachten, dass eine Vielfalt von nicht trivialen Betriebsarten an sich kein undenkbares Szenario ist. Duale Signaturschemen, bei denen dieselbe Nachricht mit zwei Signaturen signiert wird, wobei eine typischerweise leichtgewichtig ist und die andere auf asymmetrischen Schlüsseln basiert, und Konsistenzprüfungen auf der Basis von lokal erhaltenen Informationen, wie z. B. von Sensoren, die am Fahrzeug angebracht sind, GPS-Informationen, Modellen auf physikalischer Basis usw., sind geeignete Beispiele. Jede Überprüfungsbetriebsart benötigt bestimmte Rechenressourcen und führt zu einer Verzögerung bei der Verarbeitung von anderen empfangenen Informationen, wodurch sie uninteressant werden. Je umfangreicher die Betriebsart ist, desto niedriger ist typischerweise ihre Angreifbarkeit und desto niedriger ist die Rate, mit der sie Nachrichten überprüfen kann.
  • Der Begriff hinsichtlich Ressourcen eingeschränktes System bezieht sich im Allgemeinen auf irgendein System, das unter begrenzten Ressourcen arbeitet und bestimmte Leistungseinschränkungen aufweist. Beispiele von Ressourcen sind die Rechenleistung auf der Kommunikationsbandbreite, die Betriebs- oder Konstruktionskosten usw. Leistungseinschränkungen könnten hinsichtlich einer erwünschten Verarbeitungsrate, Wartezeiten usw. bestehen. Ebenso könnten zusätzliche Einschränkungen bestehen. In solchen Systemen würden sich naive Implementierungen des Sicherheits- oder des Authentifizierungsmechanismus insbesondere auf die Aufwands-/Leistungs-Anforderungen negativ auswirken.
  • Ein Beispiel eines hinsichtlich Ressourcen eingeschränkten Systems bilden Fahrzeug-Bordeinheiten (on-board units, OBUs). Typische OBUs könnten durch die Rechenleistung begrenzt sein und können Mehrzweck-Prozessoren mit 400-800 MHz mit einer FPU (floating point unit) verwenden müssen, bei denen spezialisierte kryptographische Prozessoren nicht zur Verfügung stehen können. Derselbe Prozessor kann auch andere Aufgaben als Kommunikationen von Fahrzeug zu Fahrzeug (vehicle-to-vehicle, V2V) verarbeiten müssen. OBUs weisen auch strenge Leistungseinschränkungen auf. Für Anwendungen wie z. B. kooperative Kollisionswarnung (cooperative collision warning, CCW) müssen Fahrzeuge ziemlich genau einander verfolgen, indem sie kinematische Informationen (Ort, Geschwindigkeit, usw.) zueinander übertragen. An jedem Fahrzeug müssen die empfangenen Informationen unverzüglich verarbeitet werden, da sie mit der Zeit uninteressant werden. Bei Geschwindigkeiten von 100 km/h bewegt sich beispielsweise ein Fahrzeug 2,7 m, ungefähr die halbe Karosserielänge, in einer Sekunde. Der Satz von Fahrzeugen, mit dem ein spezielles Fahrzeug in Kommunikation steht, ändert sich überdies mit der Zeit und Fahrzeuge übertragen Nachrichten zu allen Fahrzeugen innerhalb der Reichweite anstatt eine nach der anderen.
  • Obwohl die folgende Erörterung Fahrzeugnetze als Beispiel verwendet, wird jedoch betont, dass die hierin vorgeschlagenen Grundideen und -mechanismen auf alle hinsichtlich Ressourcen eingeschränkten Systeme anwendbar sind. Das Folgende ist die Basisphilosophie des adaptiven Datenüberprüfungsprozesses der Erfindung.
  • Jede Betriebsart ist durch ihre Stärke und ihren Verarbeitungsaufwand/ihre Verarbeitungsrate gekennzeichnet. Qualitativ ist die Stärke einer Betriebsart ein Maß für ihre Widerstandsfähigkeit gegen Angriffe, d. h. je höher die Stärke ist, desto niedriger ist die Angreifbarkeit. Quantitativ kann sie durch Sicherheitseigenschaften erfasst werden. Die vorliegende Erfindung erfordert, dass Betriebsarten auf der Basis ihrer Stärken verglichen werden, daher kann die Stärke subjektiv definiert werden, solange die Konsistenz in den kryptographischen Eigenschaften beachtet wird, beispielsweise wird ein PKI-System mit einem Schlüssel mit 64 Bits als schwächer oder für Einbruch und Angriff zugänglich betrachtet als ein PKI-System mit Schlüsseln mit 128 Bits. Es ist auch vernünftig anzunehmen, dass in Anbetracht von zwei Betriebsarten mit verschiedenen Stärken die Betriebsart mit der höheren Stärke eine Verarbeitungszeit oder einen Verarbeitungsaufwand erfordert, die/der mindestens so hoch wie bei der anderen ist. Einer Verwerfungsbetriebsart wird eine beliebig hohe Stärke zugewiesen und einer Betriebsart mit blinder Annahme wird eine beliebig niedrige Stärke zugewiesen.
  • Beim Empfang von Nachrichten von anderen Fahrzeugen entscheidet der Empfänger, welche Betriebsart für die Überprüfung verwendet werden soll. Der Prozess der Betriebsartenauswahl kann für eine Nachricht auf einmal oder für mehrere Nachrichten, z. B. Stapel, auf einmal durchgeführt werden. Wenn beispielsweise Verwerfung, blinde Annahme, Kryptographieprüfung (auf der Basis von PKI), Konsistenzprüfung und Kryptographieprüfung, gefolgt von Konsistenzprüfung, die verfügbaren Betriebsarten sind, kann der Empfänger beispielsweise eine Betriebsart für jede eingehende Nachricht oder für einen Stapel von Nachrichten auswählen, wobei die Bestimmung der Stapelgröße der Implementierung überlassen wird. Die Betriebsartenauswahl kann auch nacheinander durchgeführt werden, wie nachstehend erörtert.
  • 1 ist ein Ablaufplandiagramm 10, das ein Beispiel der Überprüfungsoptionen und Betriebsarten, wie hierin erörtert, zeigt. Das Ablaufplandiagramm 10 zeigt fünf Betriebsarten, die das Überprüfungssystem im Fahrzeug verwenden kann, sobald es Daten im Kasten 12 empfängt. Der Überprüfungsalgorithmus kann als eine Betriebsart die Daten im Kasten 14 verwerfen. In der Verwerfungsbetriebsart gehen die Informationen verloren, aber die Verarbeitungsrate ist sehr hoch und es besteht keine Anfälligkeit für einen Angriff. Wenn die Daten nicht verworfen werden, dann können sie im Kasten 16 überprüft werden. Der Überprüfungsprozess kann eine Kryptographieprüfung im Kasten 18 umfassen oder die Kryptographieprüfung kann im Kasten 20 umgangen werden. Die Kryptographieprüfung führt im Wesentlichen eine Prüfung der digitalen Signatur an der Nachricht durch, wie vorstehend erörtert. Der Algorithmus stellt fest, ob die Kryptographieprüfung durchgeführt werden soll.
  • Wenn die Kryptographieprüfung im Kasten 20 umgangen wird, dann kann der Algorithmus feststellen, ob im Kasten 22 eine Konsistenzprüfung durchgeführt werden soll oder die Konsistenzprüfung im Kasten 24 umgangen werden soll. Das Umgehen der Kryptographieprüfung und der Konsistenzprüfung im Kasten 24 bedeutet, dass sich die Überprüfung in einer Betriebsart der blinden Annahme befindet, in der die Verarbeitungsrate hoch ist und die Angreifbarkeit auch hoch ist. Die Konsistenzprüfung kann irgendwelche Informationen verwenden, die zur Verfügung stehen, wie z. B. den GPS-Ort eines Fahrzeugs, die Fahrzeuggeschwindigkeit usw. Wenn die Kryptographieprüfung im Kasten 18 durchgeführt wird, dann kann der Algorithmus bestimmen, ob eine Konsistenzprüfung im Kasten 26 durchgeführt wird oder ob die Konsistenzprüfung im Kasten 28 umgangen wird. Für die Konsistenzprüfung im Kasten 26 wurde das höchste Überprüfungsniveau durchgeführt, wobei die Verarbeitungsrate niedrig ist und die Angreifbarkeit auch niedrig ist. Im Kasten 28, in dem die Kryptographieprüfung durchgeführt wurde, aber die Konsistenzprüfung nicht durchgeführt wurde, und im Kasten 22, in dem die Kryptographieprüfung nicht durchgeführt wurde und die Konsistenzprüfung durchgeführt wurde, ist eine bedingte Annahme aufgetreten, bei der die Verarbeitungsrate niedrig bis mittel ist und die Angreifbarkeit mittel bis hoch ist. Daher umfassen die durch das Diagramm 10 dargestellten fünf Überprüfungsbetriebsarten das Verwerfen der Daten, die blinde Annahme der Daten, indem weder die Kryptographieprüfung noch die Konsistenzprüfung durchgeführt wird, die bedingte Annahme, bei der die Kryptographieprüfung und die Konsistenzprüfung durchgeführt werden, und bedingte Annahmen, bei denen die eine oder die andere der Kryptographieprüfung oder der Konsistenzprüfung durchgeführt wird.
  • Die Entscheidung darüber, welche Überprüfungsbetriebsart verwendet werden soll, basiert auf dem Vertrauen des Empfängers in die „Umgebung“ und/oder der Menge an unverarbeiteten Daten, die er in seinem Puffer hat. Die Definition und Implementierung von „Vertrauen“ wird offen gelassen. Der Fachmann war sich zum Zeitpunkt der vorliegenden Erfindung über Verfahren zum Feststellen eines Vertrauensniveaus beim Empfänger für Sender von Nachrichten hinsichtlich der Nachrichtengültigkeit bewusst, siehe hierzu beispielsweise die US 2005 / 0 055 410 A1 und dort insbesondere die Absätze [0081], [0089] und [0094]. Eine mögliche Weise zum Darstellen von Vertrauen bestünde in einer Wahrscheinlichkeitsverteilung für die Böswilligkeit der Umgebung. Wenn ein Nachrichtenstrom einem speziellen Fahrzeug zugeordnet oder mit diesem identifiziert werden kann, wie z. B. von einem eindeutigen Identifizierer, kann jedes Fahrzeug Vertrauen bezüglich individueller Fahrzeuge verwalten. In einem solchen Fall ist das Vertrauen im Wesentlichen eine Wahrscheinlichkeitsverteilung auf der Basis von {0, 1}, wobei „0“ einen böswilligen Zustand codiert und „1“ einen ehrlichen Zustand codiert. Wenn das Vertrauen bezüglich der Umgebung verwaltet werden muss, wie z. B. infolge von Anonymitätsanforderungen, ist es am besten, den Zustandsraum in „Grade“ von Böswilligkeit zu diskretisieren (z. B. {0, 1, 2, 3}, wobei die ansteigende Sequenz zunehmende Schwere der Böswilligkeit bedeutet). Es ist auch möglich, ein Vertrauen durch eine Wahrscheinlichkeitsverteilung an diesen Graden darzustellen. Es ist wichtig zu beachten, dass das Vertrauen nicht der Ruf ist. Dies bedeutet, dass im Fall, dass ein Fahrzeug Vertrauen bezüglich individueller Fahrzeuge verwalten kann, dies nicht gespeichert wird und seine Gültigkeit verloren geht, nachdem der Dialogverkehr vorüber ist (dies ist in Anbetracht der dynamischen Art des Netzes sinnvoll). Wenn ein Fahrzeug ein Vertrauen nur bezüglich der „Fahrzeugumgebung“ haben kann, ändert sich das Vertrauen über die Zeit (infolge von Änderungen in der Mischung der Nachbarn).
  • Der Aspekt der Menge an unverarbeiteten Daten am Empfänger, die auch als Warteschlangenlänge bezeichnet wird, tritt ein, da die empfangenen Daten gepuffert werden müssen, bis sie überprüft werden, wodurch sie für die Anwendungsverarbeitung verzögert werden. Die obige Entscheidung kann auf der momentanen oder zeitlich mittleren Warteschlangenlänge basieren. Die Implementierung eines Überprüfungspuffers wird dem Hersteller überlassen. Es könnte ein einzelner Überprüfungspuffer, in dem Daten, die von allen benachbarten Fahrzeugen empfangen werden, auf die Verarbeitung warten, oder ein Überprüfungspuffer pro Sender oder es könnten sogar Anwendungsklassenpuffer (um empfangene Daten gemäß Anwendungsklassen zu verarbeiten) vorhanden sein. Die adaptive Überprüfung ist auf irgendeinen dieser Puffer anwendbar, indem der Vertrauensraum geeignet gewählt wird.
  • Das Vertrauen wird durch Beobachten der Ergebnisse der Überprüfungsmechanismen aktualisiert. Einige externe Eingaben, wie z. B. von einer Autorität, könnten auch verwendet werden, um ein Vertrauen zu aktualisieren. Entscheidungen hinsichtlich der Vertrauensaktualisierung, d. h. ob aktualisiert werden soll, wann aktualisiert werden soll und wie aktualisiert werden soll, werden der speziellen Implementierung überlassen. Die Vertrauensaktualisierungsstrategie kann ausgewählt werden, um die Sorgfalt, die jeder Empfänger ausüben will, widerzuspiegeln. Eine aggressive Strategie kann das Vertrauen langsam erhöhen, aber drastisch verringern, wenn ein Überprüfungsmechanismus Alarm schlägt (um diese Tatsache einzuschätzen, ist zu beachten, dass ein Mechanismus Fehlalarme geben kann), wodurch ein Sender vollständig blockiert wird. Eine solche Strategie ist jedoch für Manipulationsangriffe anfällig.
  • Der Verarbeitungsaufwand und die Verarbeitungsrate und die Angreifbarkeit werden effizient ins Gleichgewicht gebracht. Es ist zu beachten, dass das Ziel der adaptiven Überprüfung nicht darin besteht, böswillige Entitäten zu identifizieren und zu kennzeichnen, sondern Daten effizient zu authentifizieren, ohne für Angriffe anfällig zu sein. Die Identifikation von böswilligen Entitäten ist ein möglicherweise schwierigeres Problem, aber das ist nicht der Grund dafür, warum Fahrzeugnetze existieren. In diesen Netzen ändern sich überdies „Nachbarn“ eines Fahrzeugs dynamisch, folglich dürfen die Dialogverkehrzeiten für eine sorgfältige Untersuchung eines Senders nicht beliebig lang sein. Daher ist es sinnvoll, nur sicherzustellen, dass die empfangenen Daten nicht schädlich sind, während in diesem Prozess eine Effizienz erreicht wird, indem von Überprüfungsergebnissen der vergangenen empfangenen Daten gelernt wird.
  • Das Folgende ist eine Erörterung eines Algorithmus auf reiner Vertrauensbasis auf der Basis der Philosophie der adaptiven Datenüberprüfung. Der Algorithmus verarbeitet eine empfangene Nachricht auf einmal von einem Puffer, in dem Daten auf die Überprüfung warten. Für die folgende Erörterung wird angenommen, dass der Empfänger Vertrauen bezüglich individueller Fahrzeuge verwalten kann. Es ist zu beachten, dass dies keine Kritik an seiner Anwendbarkeit ist. In diesem Fall ist das Vertrauen die Wahrscheinlichkeit, dass der Sender ehrlich ist. Folglich bedeutet eine 0, dass der Sender böswillig ist, und 1 bedeutet, dass er ehrlich ist. Das Vertrauen ist grundsätzlich eine Zahl zwischen 0 und 1.
  • Für den Prozess auf reiner Vertrauensbasis soll angenommen werden, dass N verschiedene Überprüfungsbetriebsarten zur Verfügung stehen. Dann werden die Überprüfungsbetriebsarten in absteigender Reihenfolge ihrer Stärke und in abnehmendem Verarbeitungsaufwand eingestuft. Der Algorithmus weist den Betriebsarten in der Reihenfolge ihres Rangs Intervalle in [0, 1] zu, so dass sie die Intervalle [0, 1] abdecken und getrennt sind. Folglich liegt das einer schwächeren Betriebsart entsprechende Intervall auf der rechten Seite eines Intervalls, das einer stärkeren Betriebsart entspricht. Beim Empfang der Daten für die Überprüfung prüft der Algorithmus das Vertrauensniveau und verwendet die Betriebsart, die dem Intervall entspricht, in das das aktuelle Vertrauen fällt. Der Algorithmus aktualisiert das Vertrauen auf der Basis des Überprüfungsergebnisses und irgendwelcher externer Eingaben, falls vorhanden.
  • 2 ist eine Darstellung eines Systems 30, das einen Algorithmus auf reiner Vertrauensbasis dieses Typs verwendet. Im System 30 überträgt ein sendendes Fahrzeug 32 eine Nachricht 34 zu einem empfangenden Fahrzeug 36, das die Nachricht 34 authentifiziert. Das empfangende Fahrzeug 36 verwendet den Algorithmus auf reiner Vertrauensbasis, der 0 als böswillig am unteren Ende der Skala 40 und eine ehrliche Nachricht als 1 am oberen Ende der Skala 40 festgelegt hat. Die Skala 40 ist in Intervalle aufgeteilt, wobei jedes Intervall durch einen Bereich von Vertrauensniveaus bezüglich des sendenden Fahrzeugs 32 identifiziert ist und eine entsprechende Betriebsart aufweist. In diesem Beispiel wird für ein Vertrauensniveau, das in das Intervall 42 fällt, die Nachricht verworfen, für ein Vertrauensniveau, das in das Intervall 44 fällt, wird die Nachricht mit einer PKI-Signatur überprüft, für ein Vertrauensniveau, das in das Intervall 46 fällt, wird die Nachricht mit einer leichtgewichtigen Signatur authentifiziert, und für ein Vertrauensniveau, das in das Intervall 48 fällt, wird die Nachricht direkt angenommen. Somit wird die dem Intervall entsprechende Betriebsart im Allgemeinen verwendet, um die Nachricht zu überprüfen. Wenn die Betriebsarten in Richtung böswillig ansteigen, nimmt ihr Aufwand zu. Sobald eine spezielle Betriebsart verwendet wird, um die Nachricht zu überprüfen, wird das Ergebnis der Überprüfung verwendet, um das Vertrauen zu aktualisieren. Wenn das Ergebnis positiv ist, d. h. die Nachricht als authentisch erachtet wird, dann bewegt sich das Vertrauen in Richtung dessen, dass der Sender ehrlich ist, und die Überprüfungsbetriebsart bewegt sich in Richtung leichterer/schwächerer Betriebsarten. Wenn das Ergebnis negativ ist, was bedeutet, dass die Nachricht böswillig sein kann, bewegt sich das Vertrauen in Richtung dessen, dass der Sender böswillig ist, und stärkere Überprüfungsbetriebsarten treten für die nächste Nachricht von diesem Sender in Kraft.
  • Der Algorithmus versucht, den Verarbeitungsaufwand zu minimieren, ohne für Angriffe anfällig zu sein. Hier kann der Verarbeitungsaufwand mehrere Bedeutungen besitzen. Für eine Überprüfungsbetriebsart mit Ausnahme der blinden Annahme und Verwerfung spiegelt der Aufwand typischerweise die Verarbeitungszeit wider, obwohl in einigen Fällen, wie z. B. Sensornetze, er auch die Energiekosten darstellen kann, wobei die Logik darin besteht, dass, je umfangreicher die Betriebsart ist, desto mehr sie die Rechenausrüstung verwendet und daher mehr Leistung verbraucht. Der Aufwand kann auch einem Fehler beim Verfolgen eines Fahrzeugs in Fahrzeugnetzen entsprechen. Für die blinde Annahme können die Kosten die für die Annahme einer böswilligen Nachricht zu bezahlende Strafe widerspiegeln, wohingegen für die Verwerfungsbetriebsart die Strafe das Ablehnen einer ehrlichen Nachricht ist.
  • Als einfaches Beispiel dieses Mechanismus soll bedacht werden, dass jedes Fahrzeug von drei Betriebsarten Gebrauch machen kann, nämlich blinde Annahme, Verwerfung und PKI-Signatur-Prüfung. Eine mögliche Strategie bestünde darin, Daten blind anzunehmen, wenn das Vertrauen über 0,98 liegt, zu verwerfen, wenn es unter 0,3 liegt, und ansonsten die Signatur zu überprüfen. Je höher der wahrgenommene Schaden für böswillige Daten ist, desto höher ist die Schwelle für die blinde Annahme. Je konservativer der Empfänger ist, desto höher ist ebenso die Verwerfungsschwelle.
  • Ein Algorithmus auf Vertrauens- und Warteschlangenlängenbasis für die adaptive Datenüberprüfung, der nachstehend erörtert wird, stützt die Erörterung über die Überprüfungsbetriebsarten sowohl auf das Vertrauensniveau der Fahrzeugumgebung als auch auf die Menge an unverarbeiteten Daten im Überprüfungspuffer. Für diesen Algorithmus wird angenommen, dass das Vertrauen bezüglich der Fahrzeugumgebung als Ganzes verwaltet wird, wobei eine Erweiterung auf ein Vertrauen und einen Puffer pro Fahrzeug unkompliziert ist. Für eine leichte Implementierung werden Vertrauensniveaus diskretisiert, wobei ein höheres Niveau einen niedrigeren Grad an Böswilligkeit in der Umgebung angibt. Wie vorstehend erörtert, sind die Betriebsarten durch ihre Stärken gekennzeichnet.
  • Für jedes Vertrauensniveau und jeden Warteschlangenlängenwert weist der Algorithmus Betriebsarten in einer solchen Weise zu, dass für ein festes Vertrauensniveau die schwächeren/leichteren Betriebsarten mit zunehmender Warteschlangenlänge verwendet werden und jenseits einer bestimmten Warteschlangenlänge die Betriebsart gleich bleibt. Für eine feste Warteschlangenlänge werden stärkere Betriebsarten mit abnehmendem Vertrauensniveau verwendet. Dies erstellt im Wesentlichen eine Nachschlagetabelle. Um die Daten, die im Puffer warten, zu überprüfen, verwendet der Algorithmus die Betriebsart aus der Tabelle, die dem aktuellen Vertrauensniveau und der aktuellen Warteschlangenlänge entspricht. Der Algorithmus aktualisiert das Vertrauen auf der Basis des Ergebnisses der Überprüfung und externer Eingaben, falls vorhanden.
  • 3 ist eine Darstellung eines Systems 50, das den Algorithmus auf Vertrauens- und Warteschlangenlängenbasis zeigt. Ein empfangendes Fahrzeug 52 befindet sich in einer Fahrzeugempfangsumgebung, wo es Nachrichten 54 von mehreren anderen Fahrzeugen 56 empfängt. Das System 50 zeigt eine Vertrauensniveauskala 58, wobei ein Ende angibt, dass das Vertrauensniveau eine böswillige Nachricht ist, und das andere Ende angibt, dass das Vertrauensniveau eine ehrliche Nachricht ist. Das System 50 umfasst auch einen Puffer 60, der unverarbeitete Daten 62 darin speichert, wobei die unverarbeiteten Daten 62 Nachrichten darstellen, die vom empfangenden Fahrzeug 52 empfangen werden, aber noch nicht überprüft oder authentifiziert sind. Das System 50 umfasst auch eine Tabelle 64, die in Betriebsarten aufgeteilt ist, insbesondere blinde Annahme, PKI-Signatur-Überprüfung, PKI-Signatur-Überprüfung, gefolgt von Konsistenzprüfung, und Verwerfung.
  • Das Überprüfungsniveau und die Frage, welche Betriebsart verwendet wird, um die Nachricht 54 zu authentifizieren, wird auf der Basis der Kombination sowohl des Vertrauensniveaus der Fahrzeugumgebung auf der Skala 58 als auch dessen, wie viel unverarbeitete Daten 62 sich im Puffer 60 befinden, bestimmt. Wenn sich das Vertrauensniveau der Umgebung in Richtung böswillig bewegt, dann nimmt die Robustheit der Authentifizierungsprüfung zu, was hier als Betriebsart der PKI-Signatur, gefolgt von Konsistenzprüfung, gezeigt ist. Wenn sich das Vertrauensniveau der Fahrzeugumgebung in Richtung ehrlich bewegt, dann ist ebenso eine schwächere Überprüfung erforderlich, eine Überprüfungsbetriebsart unter Verwendung einer PKI-Signatur. Wenn sich viel Daten im Puffer 60 befinden, dann ist ebenso die Überprüfungsbetriebsart schwächer/leichter, was hier als PKI-Signatur-Betriebsart gezeigt ist, und wenn die Menge der Daten 62 im Puffer 60 niedrig ist, dann nimmt die Robustheit der Authentifizierungsbetriebsart zu, was hier als Betriebsart der PKI-Signatur, gefolgt von einer Konsistenzprüfung, in der Tabelle 64 gezeigt ist.
  • Es soll daran erinnert werden, dass der Aspekt der Warteschlangenlänge eintritt, da Datenüberprüfungen eine Aufgabe sind, die auf dem Hauptprozessor läuft, und die empfangenen Daten gepuffert werden müssen, bis diese Aufgabe einen Zeitschlitz gemäß irgendeinem Prozessorzeitplan erhält. Je umfangreicher der Überprüfungsmechanismus ist, desto niedriger ist die Anzahl von Nachrichten, die innerhalb des vorgeschriebenen Zeitschlitzes überprüft werden, desto höher ist daher die restliche Warteschlangenlänge und desto höher ist die Verzögerung, die die empfangenen Daten erfahren, während sie auf die Verarbeitung warten, und desto höher ist daher die Möglichkeit, dass die Daten vom Standpunkt der Anwendung untauglich sind. Der vorgeschlagene Mechanismus versucht, die mittlere Wartezeit im Wartepuffer 60 explizit zu steuern, während er die Angreifbarkeit verringert. Um dies zu erreichen, bestimmt der Überprüfungsprozess, wenn er einen Zeitschlitz erhält, die zu verwendende Betriebsart, wodurch auch die Anzahl von Nachrichten bestimmt wird, auf die er angewendet wird. Im Gegensatz zum Algorithmus auf reiner Vertrauensbasis wendet dieses Schema folglich die Betriebsart auf mehrere Nachrichten auf einmal an.
  • Durch Wählen der Verwerfung als Betriebsart für genügend große Warteschlangenlängen kann der Algorithmus einen Schutz vor Dienstverweigerungsangriffen (DOS-Angriffen) bieten.

Claims (5)

  1. Verfahren zum Authentifizieren von Nachrichten, die bei einem Empfänger empfangen werden, wobei das vom Empfänger durchgeführte Verfahren umfasst: Feststellen eines Vertrauensniveaus für Sender von Nachrichten, die beim Empfänger empfangen werden, hinsichtlich der Nachrichtengültigkeit; Zuweisen des Vertrauensniveaus zu einer Skala, wobei ein Ende der Skala einen ehrlichen Sender angibt, dessen Nachrichten angenommen werden, oder eine ehrliche Nachricht angibt, die angenommen wird, und das andere Ende der Skala eine böswillige Nachricht angibt, die verworfen wird, oder einen böswilligen Sender angibt, dessen Nachrichten verworfen werden; Auswählen einer Authentifizierungsbetriebsart auf der Basis zumindest teilweise des Vertrauensniveaus, wobei eine Authentifizierungsbetriebsart eine Betriebsart der blinden Annahme für ein Vertrauensniveau am oder um das ehrliche Ende der Skala, eine Verwerfungsbetriebsart für ein Vertrauensniveau am oder um das böswillige Ende der Skala und mindestens eine Betriebsart dazwischen umfasst; und Durchführen eines Authentifizierungsprozesses an der Nachricht in Abhängigkeit davon, welche Betriebsart ausgewählt wird; wobei die mindestens eine Betriebsart zwischen der Betriebsart der blinden Annahme und der Verwerfungsbetriebsart Betriebsarten zum Überprüfen einer PKI-Signatur, Überprüfen einer leichtgewichtigen Signatur und/oder Durchführen einer Konsistenzprüfung auf der Basis von lokalen Informationen umfasst; dadurch gekennzeichnet , dass die PKI-Signatur-Betriebsart ausgewählt wird, wenn das Vertrauensniveau bei dem böswilligen Ende der Skala liegt, und die Betriebsart der leichtgewichtigen Signatur ausgewählt wird, wenn das Vertrauensniveau bei dem ehrlichen Ende der Skala liegt.
  2. Verfahren zum Authentifizieren von Nachrichten, die bei einem Empfänger empfangen werden, wobei das vom Empfänger durchgeführte Verfahren umfasst: Feststellen eines Vertrauensniveaus für Sender von Nachrichten, die beim Empfänger empfangen werden, hinsichtlich der Nachrichtengültigkeit; Zuweisen des Vertrauensniveaus zu einer Skala, wobei ein Ende der Skala einen ehrlichen Sender angibt, dessen Nachrichten angenommen werden, oder eine ehrliche Nachricht angibt, die angenommen wird, und das andere Ende der Skala eine böswillige Nachricht angibt, die verworfen wird, oder einen böswilligen Sender angibt, dessen Nachricht verworfen wird; Auswählen einer Authentifizierungsbetriebsart auf der Basis zumindest teilweise des Vertrauensniveaus, wobei eine Authentifizierungsbetriebsart eine Betriebsart der blinden Annahme für ein Vertrauensniveau am oder um das ehrliche Ende der Skala, eine Verwerfungsbetriebsart für ein Vertrauensniveau am oder um das böswillige Ende der Skala und mindestens eine Betriebsart dazwischen umfasst; und Durchführen eines Authentifizierungsprozesses an der Nachricht in Abhängigkeit davon, welche Betriebsart ausgewählt wird; wobei eine der mindestens einen Betriebsart dazwischen eine Konsistenzprüfungsbetriebsart ist, die die Authentifizierung der Nachricht auf der Basis von lokalen Informationen beim Empfänger bestimmt; dadurch gekennzeichnet , dass Sensoren, GPS-Daten oder Modelle auf physikalischer Basis verwendet werden, um die lokalen Informationen zu bestimmen.
  3. Verfahren zum Authentifizieren von Nachrichten, die bei einem Empfänger empfangen werden, wobei das vom Empfänger durchgeführte Verfahren umfasst: Feststellen eines Vertrauensniveaus für Sender von Nachrichten, die beim Empfänger empfangen werden, hinsichtlich der Nachrichtengültigkeit; Zuweisen des Vertrauensniveaus zu einer Skala, wobei ein Ende der Skala einen ehrlichen Sender angibt, dessen Nachrichten angenommen werden, oder eine ehrliche Nachricht angibt, die angenommen wird, und das andere Ende der Skala eine böswillige Nachricht angibt, die verworfen wird, oder einen böswilligen Sender angibt, dessen Nachricht verworfen wird; Auswählen einer Authentifizierungsbetriebsart auf der Basis zumindest teilweise des Vertrauensniveaus, wobei eine Authentifizierungsbetriebsart eine Betriebsart der blinden Annahme für ein Vertrauensniveau am oder um das ehrliche Ende der Skala, eine Verwerfungsbetriebsart für ein Vertrauensniveau am oder um das böswillige Ende der Skala und mindestens eine Betriebsart dazwischen umfasst; und Durchführen eines Authentifizierungsprozesses an der Nachricht in Abhängigkeit davon, welche Betriebsart ausgewählt wird; dadurch gekennzeichnet , dass festgestellt wird, wie viel unverarbeitete Daten in einem Puffer beim Empfänger vorhanden sind zum Bestimmen, welche der mindestens einen Betriebsart dazwischen ausgewählt wird, in Kombination mit dem Vertrauensniveau, wobei mehr unverarbeitete Daten in Verbindung mit einem Vertrauensniveau nahe dem böswilligen Ende der Skala die Betriebsart in Richtung der Verwerfungsbetriebsart bewegen und weniger unverarbeitete Daten in Verbindung mit einem Vertrauensniveau nahe dem ehrlichen Ende der Skala die Betriebsart in Richtung der Betriebsart der blinden Annahme bewegen.
  4. Verfahren zum Authentifizieren von Nachrichten, die bei einem Empfänger empfangen werden, wobei das vom Empfänger durchgeführte Verfahren umfasst: Feststellen eines Vertrauensniveaus für Sender von Nachrichten, die beim Empfänger empfangen werden, hinsichtlich der Nachrichtengültigkeit; Zuweisen des Vertrauensniveaus zu einer Skala, wobei ein Ende der Skala einen ehrlichen Sender angibt, dessen Nachrichten angenommen werden, oder eine ehrliche Nachricht angibt, die angenommen wird, und das andere Ende der Skala eine böswillige Nachricht angibt, die verworfen wird, oder einen böswilligen Sender angibt, dessen Nachricht verworfen wird; Auswählen einer Authentifizierungsbetriebsart auf der Basis zumindest teilweise des Vertrauensniveaus, wobei eine Authentifizierungsbetriebsart eine Betriebsart der blinden Annahme für ein Vertrauensniveau am oder um das ehrliche Ende der Skala, eine Verwerfungsbetriebsart für ein Vertrauensniveau am oder um das böswillige Ende der Skala und mindestens eine Betriebsart dazwischen umfasst; und Durchführen eines Authentifizierungsprozesses an der Nachricht in Abhängigkeit davon, welche Betriebsart ausgewählt wird; dadurch gekennzeichnet , dass die Betriebsarten zwischen der Betriebsart der blinden Annahme und der Verwerfungsbetriebsart eine Betriebsart zum Durchführen nur einer Konsistenzprüfung, eine Betriebsart zum Durchführen nur einer Kryptographieprüfung und eine Betriebsart zum Durchführen sowohl einer Kryptographieprüfung als auch einer Konsistenzprüfung umfassen.
  5. Verfahren nach Anspruch 4, wobei jede Betriebsart einem Bereich von Vertrauensniveaus entlang eines Intervalls der Skala entspricht.
DE102009037864.2A 2008-08-21 2009-08-18 Verfahren zum Authentifizieren von Nachrichten Expired - Fee Related DE102009037864B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/195,737 2008-08-21
US12/195,737 US9100418B2 (en) 2008-08-21 2008-08-21 Adaptive data verification for resource-constrained systems

Publications (2)

Publication Number Publication Date
DE102009037864A1 DE102009037864A1 (de) 2010-06-17
DE102009037864B4 true DE102009037864B4 (de) 2021-09-09

Family

ID=41697417

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009037864.2A Expired - Fee Related DE102009037864B4 (de) 2008-08-21 2009-08-18 Verfahren zum Authentifizieren von Nachrichten

Country Status (3)

Country Link
US (1) US9100418B2 (de)
CN (1) CN101656729A (de)
DE (1) DE102009037864B4 (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10839321B2 (en) 1997-01-06 2020-11-17 Jeffrey Eder Automated data storage system
DE102012204880B4 (de) 2011-03-29 2019-08-14 Continental Teves Ag & Co. Ohg Verfahren und Fahrzeug-zu-X-Kommunikationssystem zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften
DE102011101359A1 (de) 2011-05-12 2012-11-15 GM Global Technology Operations LLC (n. d. Gesetzen des Staates Delaware) Verfahren und Vorrichtung zur Klassifikation von Daten
CN103311584B (zh) * 2012-03-12 2016-03-30 联想(北京)有限公司 电池单元、终端设备以及电池验证方法
US9106611B2 (en) * 2012-06-27 2015-08-11 GM Global Technology Operations LLC Method for efficient message verification on resource-constrained platforms for real-time tracking applications
CN105684397B (zh) * 2013-08-26 2019-03-29 大陆-特韦斯贸易合伙股份公司及两合公司 用于调节计算负载的过滤方法
US10491405B2 (en) * 2016-10-04 2019-11-26 Denso International America, Inc. Cryptographic security verification of incoming messages
US10421452B2 (en) * 2017-03-06 2019-09-24 GM Global Technology Operations LLC Soft track maintenance
CN112204926B (zh) * 2018-06-01 2022-03-04 三菱电机株式会社 数据通信控制装置、非易失性存储器以及车辆控制系统
DE102018215126A1 (de) * 2018-09-06 2020-03-12 Continental Teves Ag & Co. Ohg Fahrzeug-zu-X Kommunikationsvorrichtung und Verfahren zur Verwirklichung eines Sicherheitsintegritätslevels bei Fahrzeug-zu-X Kommunikation
US20230094360A1 (en) 2021-09-29 2023-03-30 Continental Automotive Systems, Inc. Method and electronic vehicle system for processing v2x messages

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050055410A1 (en) 2003-05-09 2005-03-10 Landsman Richard A. Managing electronic messages
US20060021009A1 (en) 2004-07-22 2006-01-26 Christopher Lunt Authorization and authentication based on an individual's social network
US20070219685A1 (en) 2006-03-16 2007-09-20 James Plante Vehicle event recorders with integrated web server

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7308496B2 (en) * 2001-07-31 2007-12-11 Sun Microsystems, Inc. Representing trust in distributed peer-to-peer networks
US7191355B1 (en) * 2002-02-19 2007-03-13 Nortel Networks Limited Clock synchronization backup mechanism for circuit emulation service
US8972589B2 (en) * 2002-03-01 2015-03-03 Enterasys Networks, Inc. Location-based access control in a data network
US20040111369A1 (en) * 2002-11-20 2004-06-10 Lane Kathleen Heila Method to associate the geographic location of a participant with the content of a communications session
AU2003223015A1 (en) * 2003-04-28 2004-11-23 Nokia Corporation Method and device for operating an electronic communication network game
WO2005067234A1 (en) * 2004-01-08 2005-07-21 Agency For Science, Technology & Research A control device and a method for controlling an optical data transmission, and a shared storage network system
US8004697B2 (en) * 2005-09-30 2011-08-23 Xerox Corporation Method and system for adaptive control of IOT operation cycling
CA2609106A1 (en) * 2007-04-30 2008-10-30 Microline Technology Corporation Event tracking and monitoring system
CN101159970B (zh) 2007-09-19 2012-11-28 惠州Tcl移动通信有限公司 一种手机远程控制的方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050055410A1 (en) 2003-05-09 2005-03-10 Landsman Richard A. Managing electronic messages
US20060021009A1 (en) 2004-07-22 2006-01-26 Christopher Lunt Authorization and authentication based on an individual's social network
US20070219685A1 (en) 2006-03-16 2007-09-20 James Plante Vehicle event recorders with integrated web server

Also Published As

Publication number Publication date
CN101656729A (zh) 2010-02-24
US9100418B2 (en) 2015-08-04
US20100049976A1 (en) 2010-02-25
DE102009037864A1 (de) 2010-06-17

Similar Documents

Publication Publication Date Title
DE102009037864B4 (de) Verfahren zum Authentifizieren von Nachrichten
DE102011014560B4 (de) Effiziente Technik zum Erreichen von Nachweisbarkeit und Widerstandsfähigkeit gegen DoS-Angriffe in drahtlosen Netzen
DE102011011652A1 (de) Verfahren zum Verwenden eines Ecdsa mit Winternitzeinmalsignatur
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
DE102011014556B4 (de) Adaptiver Zertifikatverteilungsmechanismus in Fahrzeugnetzen unter Verwendung von Vorwärtsfehlerkorrekturcodes
DE60209475T2 (de) Datensicherungs-kommunikationsvorrichtung und -verfahren
DE60119857T2 (de) Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen
DE102007053255B4 (de) Verfahren zum Bearbeiten von Nachrichten und Nachrichtenbearbeitungsvorrichtung
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
DE102013211776B4 (de) Verfahren zur effizienten Nachrichtenüberprüfunq auf hinsichtlich der Ressourcen eingeschränkten Plattformen für Echtzeit-Verfolgungsanwendungen
DE102013206185A1 (de) Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors
DE102011014558A1 (de) Adaptiver Zertifikatverteilungsmechanismus in Fahrzeugnetzen unter Verwendung einer variablen Erneuerungsperiode zwischen Zertifikaten
DE112012000971B4 (de) Datenverschlüsselung
DE102011003919A1 (de) Mobilfunkgerätbetriebenes Authentifizierugssystem unter Verwendung einer asymmetrischen Verschlüsselung
EP3182318A1 (de) Signaturgenerierung durch ein sicherheitstoken
DE102009031817A1 (de) Verfahren zur Ausstellung, Überprüfung und Verteilung von digitalen Zertifikaten für die Nutzung in Public-Key-Infrastrukturen
DE102020212451A1 (de) Verfahren zum digitalen Signieren einer Nachricht
DE10124427A1 (de) System und Verfahren für einen sicheren Vergleich eines gemeinsamen Geheimnisses von Kommunikationsgeräten
DE69928519T2 (de) Protokoll zur ubereinkunft über einen authentifizierten schlüssel
DE102021119891B4 (de) Verfahren zur Authentifizierung einer Sendeeinheit durch eine Empfängereinheit
DE102004056724A1 (de) Verfahren und Anordnung für ein Fahrzeug-Fahrzeug Kommunikationsnetz
DE102005009490A1 (de) Verfahren, Vorrichtung, Gerät und System zum Schützen eines privaten Kommunikationsschlüssels für eine Fahrzeug-Umwelt-Kommunikation
DE102017204181A1 (de) Sender zum Emittieren von Signalen und Empfänger zum Empfangen von Signalen
WO2011000608A1 (de) Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats
DE102015208293A1 (de) Verfahren zum Ausschließen eines Teilnehmers aus einer Gruppe mit autorisierter Kommunikation

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: GM GLOBAL TECHNOLOGY OPERATIONS LLC , ( N. D. , US

R081 Change of applicant/patentee

Owner name: GM GLOBAL TECHNOLOGY OPERATIONS LLC (N. D. GES, US

Free format text: FORMER OWNER: GM GLOBAL TECHNOLOGY OPERATIONS, INC., DETROIT, MICH., US

Effective date: 20110323

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee