-
HINTERGRUND DER ERFINDUNG
-
Gebiet der Erfindung
-
Diese Erfindung bezieht sich im Allgemeinen auf ein Verfahren zum Authentifizieren von Nachrichten.
-
Beschreibung des Standes der Technik
-
Die
US 2006 / 0 021 009 A1 beschreibt ein Verfahren, mit dem in einem sozialen Netzwerk bestimmt werden kann, ob es einem Teilnehmer A gestattet ist, einem anderen Teilnehmer B Mitteilungen zu schicken. Diese Entscheidung wird in Abhängigkeit davon getroffen, ob der Teilnehmer A auf der schwarzen Liste des Teilnehmers B oder auf einer davon abgeleiteten grauen Liste steht.
-
Die Authentifizierung, der Prozess der Feststellung von etwas oder jemandem als echt oder ehrlich, ist ein integraler Teil von einem beliebigen Sicherheitssystem. Im Zusammenhang mit Informationssicherheit sind es die Daten und ihre Anwender, die eine Authentifizierung erfordern. Datenauthentifizierungs- oder Datenüberprüfungsmechanismen wurden in den vergangenen paar Jahrzehnten umfangreich untersucht und als Ergebnis existiert nun eine Menge von Mechanismen.
-
Die Kryptographie bildet das Rückgrat der Mehrheit der Authentifizierungsmechanismen. Vielleicht ist das am besten bekannte kryptographische Verfahren die Kryptographie mit asymmetrischem Schlüssel. Jeder Vollmachtgeber, der diesen Mechanismus verwendet, besitzt ein Paar von Schlüsseln, nämlich einen privaten Schlüssel und einen öffentlichen Schlüssel. Der private Schlüssel ist nur dem Vollmachtgeber bekannt, wohingegen der öffentliche Schlüssel mit anderen Entitäten in dem System gemeinsam genutzt werden kann. Um die Nachrichtenintegrität sicherzustellen, signiert der Sender einer Nachricht die Nachricht mit seinem privaten Schlüssel und fügt seine Signatur zur Nachricht hinzu. Beim Empfang der Nachricht kann der Empfänger die Signatur der Nachricht unter Verwendung des öffentlichen Schlüssels des Senders überprüfen.
-
Das System der Infrastruktur mit öffentlichem Schlüssel (public key infrastructure, PKI) basiert auf der Kryptographie mit asymmetrischem Schlüssel. In einem PKI-System werden an die ehrlichen Anwender des Systems Zertifikate, d. h. Dokumente, die ihren öffentlichen Schlüssel bestätigen, von einer Zertifizierungsautorität ausgegeben. Wenn Informationen übertragen werden, signieren die Anwender ihren Nachrichteninhalt mit ihrem privaten Schlüssel und hängen diese Signatur an die Nachricht zusammen mit ihrem Zertifikat an. Der Empfänger kann die Rechtmäßigkeit des Senders durch Überprüfen des Zertifikats und die Authentizität oder Integrität des Nachrichteninhalts durch Überprüfen ihrer Signatur feststellen.
-
In einigen Fällen können Daten auch unter Verwendung einer kontextspezifischen Kenntnis oder von Konsistenzprüfungen authentifiziert werden, beispielsweise kann eine kinetische Echtzeit-Berechnung (real-time kinematic-, RTK-Berechnung) von GPS-Rohdaten verwendet werden, um Ortsinformationen zu authentifizieren, und Fahrzeugbahninformationen können unter Verwendung von Modellen auf physikalischer Basis authentifiziert werden.
-
Authentifizierungsmechanismen sind mit Aufwand verbunden. Kryptographische Operationen sind im Allgemeinen rechenintensiv. Sogar einige Konsistenzprüfungen können rechnerisch ebenso anspruchsvoll wie kryptographische Operationen sein, wenn nicht mehr. In Gebieten, in denen die Informationssicherheit vorrangig ist, sind dies gewöhnlich sekundäre Anliegen. Dies war im herkömmlichen Anwendungsbereich, wie z. B. beim Banking und bei Finanztransaktionen, der Fall. Neuere Anwendungsbereiche, wie z. B. industrielle Automatisierung, drahtlose Fahrzeug- und Sensornetze, werden andererseits durch Leistungs- und Aufwandszwänge getrieben. Folglich kann ein kryptographischer Mechanismus, der die Rechtmäßigkeit von Daten angesichts von Angriffen feststellen kann, die ganze Aufgabe der Nutzung eines Sensornetzes nichtig machen, da Miniatursensoren eine begrenzte Rechenleistung aufweisen und typischerweise Daten mit einer bestimmten Datenrate verarbeiten und übertragen müssen, damit sie von irgendeinem Nutzen sind. Ähnliche Zwänge gelten ebenso in einem Fahrzeugnetz. Dies heißt nicht, dass die Sicherheit oder insbesondere Authentifizierung von sekundärer Bedeutung ist, sondern dass sie für solche Systeme kein nachträglicher Einfall sein kann.
-
Es gab zwei Vorgehensweisen, um dieses Problem anzugehen. Die erste Vorgehensweise verwendet „leichtgewichtige“ Mechanismen, um den Rechen- und Kommunikationsaufwand zu verringern. Die zweite Vorgehensweise verwendet eine Authentifizierung auf Vertrauensbasis, die explizit Vertrauen zwischen zwei Parteien herstellt, bevor ihr Dialogverkehr beginnt. Ungeachtet der Effizienz eines Mechanismus misslingt es der ersten Vorgehensweise, die Tatsache zu nutzen, dass Überprüfungsmechanismen für ein spezielles Szenario geeignet sein können, wobei, wenn der Sender als ehrlich oder böswillig bekannt ist, kein Bedarf für eine Überprüfung besteht. Daten können im ersteren Fall direkt angenommen werden, während sie im letzteren verworfen werden. Überdies können leichtgewichtige Mechanismen nicht alle wünschenswerten Sicherheitsattribute bereitstellen. Mechanismen auf Vertrauensbasis können andererseits Angreifbarkeit bieten, wenn sich zu sehr auf den anfänglichen Austausch verlassen wird, wobei die Möglichkeit von Manipulation außer Acht gelassen wird. Diese Mechanismen sind auch gewöhnlich in Szenarios, in denen kommunizierende Parteien sich mit der Zeit ändern, wie z. B. in einem Fahrzeugnetz auf Grund der Mobilität, und/oder dort, wo eine Kommunikation nicht zwangsläufig Eins zu Eins ist, wie z. B. Rundsendung in drahtlosen Personen- und Fahrzeugnetzen, schwierig zu implementieren.
-
Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren zum Authentifizieren von Nachrichten zu schaffen, das mit geringstem Aufwand höchste Sicherheitsanforderungen erfüllt.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Diese Aufgabe wird mit einem Verfahren mit den Merkmalen des Anspruchs 1, des Anspruchs 2, des Anspruchs 3 oder des Anspruchs 4 gelöst.
-
Gemäß den Lehren der vorliegenden Erfindung werden Verfahren zum adaptiven Überprüfen von Daten in hinsichtlich Ressourcen eingeschränkten Systemen offenbart. Der adaptive Datenüberprüfungsmechanismus verwendet die zweckmäßige Überprüfungsbetriebsart adaptiv, um die Aufwands-/Leistungs-Anforderungen plus Sicherheitsanforderungen ins Gleichgewicht zu bringen. In einer nicht beschränkenden Ausführungsform dieses Mechanismus verwendet der Algorithmus ein Vertrauensniveau für den Sender oder für die Gültigkeit einer empfangenen Nachricht und weist das Vertrauensniveau einer Skala zwischen einer ehrlichen Nachricht an einem Ende der Skala und einer böswilligen Nachricht an einem entgegengesetzten Ende der Skala zu. In Abhängigkeit davon, wohin auf der Skala das Vertrauensniveau fällt, wählt der Algorithmus die Überprüfungsbetriebsart geeignet aus, um die Nachricht zu authentifizieren. In einer anderen nicht beschränkenden Ausführungsform werden das Vertrauensniveau relativ zu einer Skala und die Menge an Daten, die in einem Puffer auf die Verarbeitung warten, beide verwendet, um zu bestimmen, welche Betriebsart verwendet wird, um die Nachricht zu überprüfen.
-
Weitere Merkmale der vorliegenden Erfindung gehen aus der folgenden Beschreibung und den beigefügten Ansprüchen in Verbindung mit den begleitenden Zeichnungen hervor.
-
Figurenliste
-
- 1 ist ein Blockdiagramm, das einen möglichen Prozess zum Auswählen einer Betriebsart in einer adaptiven Datenüberprüfung zeigt;
- 2 ist eine Darstellung eines Systems, das einen Algorithmus auf reiner Vertrauensbasis für eine adaptive Datenüberprüfung verwendet; und
- 3 ist eine Darstellung eines Systems, das einen Algorithmus auf Vertrauens- und Warteschlangenlängenbasis für eine adaptive Datenüberprüfung verwendet.
-
AUSFÜHRLICHE BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
-
Die folgende Erörterung der Ausführungsformen der Erfindung, die sich auf ein System und ein Verfahren zum Schaffen einer adaptiven Überprüfung in einem hinsichtlich Ressourcen eingeschränkten System richtet, ist dem Wesen nach lediglich beispielhaft.
-
Die vorliegende Erfindung schlägt eine neue Vorgehensweise zum Überprüfen von Daten auf einer Überprüfungsbedarfsbasis vor. Sie führt die Idee der adaptiven Datenüberprüfung für ein hinsichtlich Ressourcen ein-geschränktes System ein, um Sicherheits- und Leistungs-/Aufwands-Anforderungen effizient ins Gleichgewicht zu bringen, und schafft zwei adaptive Überprüfungsalgorithmen als Hilfsmittel auf der Basis dieser Grundidee, die die Kosten einer anspruchsvollen Hardware, wie z. B. zweckbestimmter Chips für schnelle Kryptographieoperationen, schneller Prozessoren und großer Leistungsversorgungen, sparen können, während sie die Verarbeitungs- und Sicherheitsanforderungen erfüllen.
-
Der Bedarf an einer Datenüberprüfung für eine Entität entsteht auf Grund der Unsicherheit über die Absicht der anderen Entitäten. Wenn der Sender als entweder ehrlich oder böswillig bekannt ist, besteht kein Bedarf zur Überprüfung. Für die Zwecke hierin bezieht sich ein Überprüfungsmechanismus oder eine Überprüfungsbetriebsart auf entweder einen eigenständigen Authentifizierungsmechanismus oder auf irgendeine Kombination von Authentifizierungsmechanismen. Die blinde Annahme und die Verwerfung werden auch als Überprüfungsmechanismen behandelt. Die vorliegende Erfindung ist im Allgemeinen nicht darauf bedacht, welche Betriebsarten implementiert werden, sondern nur, dass einem Empfänger mehrere Betriebsarten zur Verfügung stehen. Diese Annahme gilt immer, da die blinde Annahme und die Verwerfung als Betriebsarten behandelt werden. Es ist jedoch zu beachten, dass eine Vielfalt von nicht trivialen Betriebsarten an sich kein undenkbares Szenario ist. Duale Signaturschemen, bei denen dieselbe Nachricht mit zwei Signaturen signiert wird, wobei eine typischerweise leichtgewichtig ist und die andere auf asymmetrischen Schlüsseln basiert, und Konsistenzprüfungen auf der Basis von lokal erhaltenen Informationen, wie z. B. von Sensoren, die am Fahrzeug angebracht sind, GPS-Informationen, Modellen auf physikalischer Basis usw., sind geeignete Beispiele. Jede Überprüfungsbetriebsart benötigt bestimmte Rechenressourcen und führt zu einer Verzögerung bei der Verarbeitung von anderen empfangenen Informationen, wodurch sie uninteressant werden. Je umfangreicher die Betriebsart ist, desto niedriger ist typischerweise ihre Angreifbarkeit und desto niedriger ist die Rate, mit der sie Nachrichten überprüfen kann.
-
Der Begriff hinsichtlich Ressourcen eingeschränktes System bezieht sich im Allgemeinen auf irgendein System, das unter begrenzten Ressourcen arbeitet und bestimmte Leistungseinschränkungen aufweist. Beispiele von Ressourcen sind die Rechenleistung auf der Kommunikationsbandbreite, die Betriebs- oder Konstruktionskosten usw. Leistungseinschränkungen könnten hinsichtlich einer erwünschten Verarbeitungsrate, Wartezeiten usw. bestehen. Ebenso könnten zusätzliche Einschränkungen bestehen. In solchen Systemen würden sich naive Implementierungen des Sicherheits- oder des Authentifizierungsmechanismus insbesondere auf die Aufwands-/Leistungs-Anforderungen negativ auswirken.
-
Ein Beispiel eines hinsichtlich Ressourcen eingeschränkten Systems bilden Fahrzeug-Bordeinheiten (on-board units, OBUs). Typische OBUs könnten durch die Rechenleistung begrenzt sein und können Mehrzweck-Prozessoren mit 400-800 MHz mit einer FPU (floating point unit) verwenden müssen, bei denen spezialisierte kryptographische Prozessoren nicht zur Verfügung stehen können. Derselbe Prozessor kann auch andere Aufgaben als Kommunikationen von Fahrzeug zu Fahrzeug (vehicle-to-vehicle, V2V) verarbeiten müssen. OBUs weisen auch strenge Leistungseinschränkungen auf. Für Anwendungen wie z. B. kooperative Kollisionswarnung (cooperative collision warning, CCW) müssen Fahrzeuge ziemlich genau einander verfolgen, indem sie kinematische Informationen (Ort, Geschwindigkeit, usw.) zueinander übertragen. An jedem Fahrzeug müssen die empfangenen Informationen unverzüglich verarbeitet werden, da sie mit der Zeit uninteressant werden. Bei Geschwindigkeiten von 100 km/h bewegt sich beispielsweise ein Fahrzeug 2,7 m, ungefähr die halbe Karosserielänge, in einer Sekunde. Der Satz von Fahrzeugen, mit dem ein spezielles Fahrzeug in Kommunikation steht, ändert sich überdies mit der Zeit und Fahrzeuge übertragen Nachrichten zu allen Fahrzeugen innerhalb der Reichweite anstatt eine nach der anderen.
-
Obwohl die folgende Erörterung Fahrzeugnetze als Beispiel verwendet, wird jedoch betont, dass die hierin vorgeschlagenen Grundideen und -mechanismen auf alle hinsichtlich Ressourcen eingeschränkten Systeme anwendbar sind. Das Folgende ist die Basisphilosophie des adaptiven Datenüberprüfungsprozesses der Erfindung.
-
Jede Betriebsart ist durch ihre Stärke und ihren Verarbeitungsaufwand/ihre Verarbeitungsrate gekennzeichnet. Qualitativ ist die Stärke einer Betriebsart ein Maß für ihre Widerstandsfähigkeit gegen Angriffe, d. h. je höher die Stärke ist, desto niedriger ist die Angreifbarkeit. Quantitativ kann sie durch Sicherheitseigenschaften erfasst werden. Die vorliegende Erfindung erfordert, dass Betriebsarten auf der Basis ihrer Stärken verglichen werden, daher kann die Stärke subjektiv definiert werden, solange die Konsistenz in den kryptographischen Eigenschaften beachtet wird, beispielsweise wird ein PKI-System mit einem Schlüssel mit 64 Bits als schwächer oder für Einbruch und Angriff zugänglich betrachtet als ein PKI-System mit Schlüsseln mit 128 Bits. Es ist auch vernünftig anzunehmen, dass in Anbetracht von zwei Betriebsarten mit verschiedenen Stärken die Betriebsart mit der höheren Stärke eine Verarbeitungszeit oder einen Verarbeitungsaufwand erfordert, die/der mindestens so hoch wie bei der anderen ist. Einer Verwerfungsbetriebsart wird eine beliebig hohe Stärke zugewiesen und einer Betriebsart mit blinder Annahme wird eine beliebig niedrige Stärke zugewiesen.
-
Beim Empfang von Nachrichten von anderen Fahrzeugen entscheidet der Empfänger, welche Betriebsart für die Überprüfung verwendet werden soll. Der Prozess der Betriebsartenauswahl kann für eine Nachricht auf einmal oder für mehrere Nachrichten, z. B. Stapel, auf einmal durchgeführt werden. Wenn beispielsweise Verwerfung, blinde Annahme, Kryptographieprüfung (auf der Basis von PKI), Konsistenzprüfung und Kryptographieprüfung, gefolgt von Konsistenzprüfung, die verfügbaren Betriebsarten sind, kann der Empfänger beispielsweise eine Betriebsart für jede eingehende Nachricht oder für einen Stapel von Nachrichten auswählen, wobei die Bestimmung der Stapelgröße der Implementierung überlassen wird. Die Betriebsartenauswahl kann auch nacheinander durchgeführt werden, wie nachstehend erörtert.
-
1 ist ein Ablaufplandiagramm 10, das ein Beispiel der Überprüfungsoptionen und Betriebsarten, wie hierin erörtert, zeigt. Das Ablaufplandiagramm 10 zeigt fünf Betriebsarten, die das Überprüfungssystem im Fahrzeug verwenden kann, sobald es Daten im Kasten 12 empfängt. Der Überprüfungsalgorithmus kann als eine Betriebsart die Daten im Kasten 14 verwerfen. In der Verwerfungsbetriebsart gehen die Informationen verloren, aber die Verarbeitungsrate ist sehr hoch und es besteht keine Anfälligkeit für einen Angriff. Wenn die Daten nicht verworfen werden, dann können sie im Kasten 16 überprüft werden. Der Überprüfungsprozess kann eine Kryptographieprüfung im Kasten 18 umfassen oder die Kryptographieprüfung kann im Kasten 20 umgangen werden. Die Kryptographieprüfung führt im Wesentlichen eine Prüfung der digitalen Signatur an der Nachricht durch, wie vorstehend erörtert. Der Algorithmus stellt fest, ob die Kryptographieprüfung durchgeführt werden soll.
-
Wenn die Kryptographieprüfung im Kasten 20 umgangen wird, dann kann der Algorithmus feststellen, ob im Kasten 22 eine Konsistenzprüfung durchgeführt werden soll oder die Konsistenzprüfung im Kasten 24 umgangen werden soll. Das Umgehen der Kryptographieprüfung und der Konsistenzprüfung im Kasten 24 bedeutet, dass sich die Überprüfung in einer Betriebsart der blinden Annahme befindet, in der die Verarbeitungsrate hoch ist und die Angreifbarkeit auch hoch ist. Die Konsistenzprüfung kann irgendwelche Informationen verwenden, die zur Verfügung stehen, wie z. B. den GPS-Ort eines Fahrzeugs, die Fahrzeuggeschwindigkeit usw. Wenn die Kryptographieprüfung im Kasten 18 durchgeführt wird, dann kann der Algorithmus bestimmen, ob eine Konsistenzprüfung im Kasten 26 durchgeführt wird oder ob die Konsistenzprüfung im Kasten 28 umgangen wird. Für die Konsistenzprüfung im Kasten 26 wurde das höchste Überprüfungsniveau durchgeführt, wobei die Verarbeitungsrate niedrig ist und die Angreifbarkeit auch niedrig ist. Im Kasten 28, in dem die Kryptographieprüfung durchgeführt wurde, aber die Konsistenzprüfung nicht durchgeführt wurde, und im Kasten 22, in dem die Kryptographieprüfung nicht durchgeführt wurde und die Konsistenzprüfung durchgeführt wurde, ist eine bedingte Annahme aufgetreten, bei der die Verarbeitungsrate niedrig bis mittel ist und die Angreifbarkeit mittel bis hoch ist. Daher umfassen die durch das Diagramm 10 dargestellten fünf Überprüfungsbetriebsarten das Verwerfen der Daten, die blinde Annahme der Daten, indem weder die Kryptographieprüfung noch die Konsistenzprüfung durchgeführt wird, die bedingte Annahme, bei der die Kryptographieprüfung und die Konsistenzprüfung durchgeführt werden, und bedingte Annahmen, bei denen die eine oder die andere der Kryptographieprüfung oder der Konsistenzprüfung durchgeführt wird.
-
Die Entscheidung darüber, welche Überprüfungsbetriebsart verwendet werden soll, basiert auf dem Vertrauen des Empfängers in die „Umgebung“ und/oder der Menge an unverarbeiteten Daten, die er in seinem Puffer hat. Die Definition und Implementierung von „Vertrauen“ wird offen gelassen. Der Fachmann war sich zum Zeitpunkt der vorliegenden Erfindung über Verfahren zum Feststellen eines Vertrauensniveaus beim Empfänger für Sender von Nachrichten hinsichtlich der Nachrichtengültigkeit bewusst, siehe hierzu beispielsweise die
US 2005 / 0 055 410 A1 und dort insbesondere die Absätze [0081], [0089] und [0094]. Eine mögliche Weise zum Darstellen von Vertrauen bestünde in einer Wahrscheinlichkeitsverteilung für die Böswilligkeit der Umgebung. Wenn ein Nachrichtenstrom einem speziellen Fahrzeug zugeordnet oder mit diesem identifiziert werden kann, wie z. B. von einem eindeutigen Identifizierer, kann jedes Fahrzeug Vertrauen bezüglich individueller Fahrzeuge verwalten. In einem solchen Fall ist das Vertrauen im Wesentlichen eine Wahrscheinlichkeitsverteilung auf der Basis von {0, 1}, wobei „0“ einen böswilligen Zustand codiert und „1“ einen ehrlichen Zustand codiert. Wenn das Vertrauen bezüglich der Umgebung verwaltet werden muss, wie z. B. infolge von Anonymitätsanforderungen, ist es am besten, den Zustandsraum in „Grade“ von Böswilligkeit zu diskretisieren (z. B. {0, 1, 2, 3}, wobei die ansteigende Sequenz zunehmende Schwere der Böswilligkeit bedeutet). Es ist auch möglich, ein Vertrauen durch eine Wahrscheinlichkeitsverteilung an diesen Graden darzustellen. Es ist wichtig zu beachten, dass das Vertrauen nicht der Ruf ist. Dies bedeutet, dass im Fall, dass ein Fahrzeug Vertrauen bezüglich individueller Fahrzeuge verwalten kann, dies nicht gespeichert wird und seine Gültigkeit verloren geht, nachdem der Dialogverkehr vorüber ist (dies ist in Anbetracht der dynamischen Art des Netzes sinnvoll). Wenn ein Fahrzeug ein Vertrauen nur bezüglich der „Fahrzeugumgebung“ haben kann, ändert sich das Vertrauen über die Zeit (infolge von Änderungen in der Mischung der Nachbarn).
-
Der Aspekt der Menge an unverarbeiteten Daten am Empfänger, die auch als Warteschlangenlänge bezeichnet wird, tritt ein, da die empfangenen Daten gepuffert werden müssen, bis sie überprüft werden, wodurch sie für die Anwendungsverarbeitung verzögert werden. Die obige Entscheidung kann auf der momentanen oder zeitlich mittleren Warteschlangenlänge basieren. Die Implementierung eines Überprüfungspuffers wird dem Hersteller überlassen. Es könnte ein einzelner Überprüfungspuffer, in dem Daten, die von allen benachbarten Fahrzeugen empfangen werden, auf die Verarbeitung warten, oder ein Überprüfungspuffer pro Sender oder es könnten sogar Anwendungsklassenpuffer (um empfangene Daten gemäß Anwendungsklassen zu verarbeiten) vorhanden sein. Die adaptive Überprüfung ist auf irgendeinen dieser Puffer anwendbar, indem der Vertrauensraum geeignet gewählt wird.
-
Das Vertrauen wird durch Beobachten der Ergebnisse der Überprüfungsmechanismen aktualisiert. Einige externe Eingaben, wie z. B. von einer Autorität, könnten auch verwendet werden, um ein Vertrauen zu aktualisieren. Entscheidungen hinsichtlich der Vertrauensaktualisierung, d. h. ob aktualisiert werden soll, wann aktualisiert werden soll und wie aktualisiert werden soll, werden der speziellen Implementierung überlassen. Die Vertrauensaktualisierungsstrategie kann ausgewählt werden, um die Sorgfalt, die jeder Empfänger ausüben will, widerzuspiegeln. Eine aggressive Strategie kann das Vertrauen langsam erhöhen, aber drastisch verringern, wenn ein Überprüfungsmechanismus Alarm schlägt (um diese Tatsache einzuschätzen, ist zu beachten, dass ein Mechanismus Fehlalarme geben kann), wodurch ein Sender vollständig blockiert wird. Eine solche Strategie ist jedoch für Manipulationsangriffe anfällig.
-
Der Verarbeitungsaufwand und die Verarbeitungsrate und die Angreifbarkeit werden effizient ins Gleichgewicht gebracht. Es ist zu beachten, dass das Ziel der adaptiven Überprüfung nicht darin besteht, böswillige Entitäten zu identifizieren und zu kennzeichnen, sondern Daten effizient zu authentifizieren, ohne für Angriffe anfällig zu sein. Die Identifikation von böswilligen Entitäten ist ein möglicherweise schwierigeres Problem, aber das ist nicht der Grund dafür, warum Fahrzeugnetze existieren. In diesen Netzen ändern sich überdies „Nachbarn“ eines Fahrzeugs dynamisch, folglich dürfen die Dialogverkehrzeiten für eine sorgfältige Untersuchung eines Senders nicht beliebig lang sein. Daher ist es sinnvoll, nur sicherzustellen, dass die empfangenen Daten nicht schädlich sind, während in diesem Prozess eine Effizienz erreicht wird, indem von Überprüfungsergebnissen der vergangenen empfangenen Daten gelernt wird.
-
Das Folgende ist eine Erörterung eines Algorithmus auf reiner Vertrauensbasis auf der Basis der Philosophie der adaptiven Datenüberprüfung. Der Algorithmus verarbeitet eine empfangene Nachricht auf einmal von einem Puffer, in dem Daten auf die Überprüfung warten. Für die folgende Erörterung wird angenommen, dass der Empfänger Vertrauen bezüglich individueller Fahrzeuge verwalten kann. Es ist zu beachten, dass dies keine Kritik an seiner Anwendbarkeit ist. In diesem Fall ist das Vertrauen die Wahrscheinlichkeit, dass der Sender ehrlich ist. Folglich bedeutet eine 0, dass der Sender böswillig ist, und 1 bedeutet, dass er ehrlich ist. Das Vertrauen ist grundsätzlich eine Zahl zwischen 0 und 1.
-
Für den Prozess auf reiner Vertrauensbasis soll angenommen werden, dass N verschiedene Überprüfungsbetriebsarten zur Verfügung stehen. Dann werden die Überprüfungsbetriebsarten in absteigender Reihenfolge ihrer Stärke und in abnehmendem Verarbeitungsaufwand eingestuft. Der Algorithmus weist den Betriebsarten in der Reihenfolge ihres Rangs Intervalle in [0, 1] zu, so dass sie die Intervalle [0, 1] abdecken und getrennt sind. Folglich liegt das einer schwächeren Betriebsart entsprechende Intervall auf der rechten Seite eines Intervalls, das einer stärkeren Betriebsart entspricht. Beim Empfang der Daten für die Überprüfung prüft der Algorithmus das Vertrauensniveau und verwendet die Betriebsart, die dem Intervall entspricht, in das das aktuelle Vertrauen fällt. Der Algorithmus aktualisiert das Vertrauen auf der Basis des Überprüfungsergebnisses und irgendwelcher externer Eingaben, falls vorhanden.
-
2 ist eine Darstellung eines Systems 30, das einen Algorithmus auf reiner Vertrauensbasis dieses Typs verwendet. Im System 30 überträgt ein sendendes Fahrzeug 32 eine Nachricht 34 zu einem empfangenden Fahrzeug 36, das die Nachricht 34 authentifiziert. Das empfangende Fahrzeug 36 verwendet den Algorithmus auf reiner Vertrauensbasis, der 0 als böswillig am unteren Ende der Skala 40 und eine ehrliche Nachricht als 1 am oberen Ende der Skala 40 festgelegt hat. Die Skala 40 ist in Intervalle aufgeteilt, wobei jedes Intervall durch einen Bereich von Vertrauensniveaus bezüglich des sendenden Fahrzeugs 32 identifiziert ist und eine entsprechende Betriebsart aufweist. In diesem Beispiel wird für ein Vertrauensniveau, das in das Intervall 42 fällt, die Nachricht verworfen, für ein Vertrauensniveau, das in das Intervall 44 fällt, wird die Nachricht mit einer PKI-Signatur überprüft, für ein Vertrauensniveau, das in das Intervall 46 fällt, wird die Nachricht mit einer leichtgewichtigen Signatur authentifiziert, und für ein Vertrauensniveau, das in das Intervall 48 fällt, wird die Nachricht direkt angenommen. Somit wird die dem Intervall entsprechende Betriebsart im Allgemeinen verwendet, um die Nachricht zu überprüfen. Wenn die Betriebsarten in Richtung böswillig ansteigen, nimmt ihr Aufwand zu. Sobald eine spezielle Betriebsart verwendet wird, um die Nachricht zu überprüfen, wird das Ergebnis der Überprüfung verwendet, um das Vertrauen zu aktualisieren. Wenn das Ergebnis positiv ist, d. h. die Nachricht als authentisch erachtet wird, dann bewegt sich das Vertrauen in Richtung dessen, dass der Sender ehrlich ist, und die Überprüfungsbetriebsart bewegt sich in Richtung leichterer/schwächerer Betriebsarten. Wenn das Ergebnis negativ ist, was bedeutet, dass die Nachricht böswillig sein kann, bewegt sich das Vertrauen in Richtung dessen, dass der Sender böswillig ist, und stärkere Überprüfungsbetriebsarten treten für die nächste Nachricht von diesem Sender in Kraft.
-
Der Algorithmus versucht, den Verarbeitungsaufwand zu minimieren, ohne für Angriffe anfällig zu sein. Hier kann der Verarbeitungsaufwand mehrere Bedeutungen besitzen. Für eine Überprüfungsbetriebsart mit Ausnahme der blinden Annahme und Verwerfung spiegelt der Aufwand typischerweise die Verarbeitungszeit wider, obwohl in einigen Fällen, wie z. B. Sensornetze, er auch die Energiekosten darstellen kann, wobei die Logik darin besteht, dass, je umfangreicher die Betriebsart ist, desto mehr sie die Rechenausrüstung verwendet und daher mehr Leistung verbraucht. Der Aufwand kann auch einem Fehler beim Verfolgen eines Fahrzeugs in Fahrzeugnetzen entsprechen. Für die blinde Annahme können die Kosten die für die Annahme einer böswilligen Nachricht zu bezahlende Strafe widerspiegeln, wohingegen für die Verwerfungsbetriebsart die Strafe das Ablehnen einer ehrlichen Nachricht ist.
-
Als einfaches Beispiel dieses Mechanismus soll bedacht werden, dass jedes Fahrzeug von drei Betriebsarten Gebrauch machen kann, nämlich blinde Annahme, Verwerfung und PKI-Signatur-Prüfung. Eine mögliche Strategie bestünde darin, Daten blind anzunehmen, wenn das Vertrauen über 0,98 liegt, zu verwerfen, wenn es unter 0,3 liegt, und ansonsten die Signatur zu überprüfen. Je höher der wahrgenommene Schaden für böswillige Daten ist, desto höher ist die Schwelle für die blinde Annahme. Je konservativer der Empfänger ist, desto höher ist ebenso die Verwerfungsschwelle.
-
Ein Algorithmus auf Vertrauens- und Warteschlangenlängenbasis für die adaptive Datenüberprüfung, der nachstehend erörtert wird, stützt die Erörterung über die Überprüfungsbetriebsarten sowohl auf das Vertrauensniveau der Fahrzeugumgebung als auch auf die Menge an unverarbeiteten Daten im Überprüfungspuffer. Für diesen Algorithmus wird angenommen, dass das Vertrauen bezüglich der Fahrzeugumgebung als Ganzes verwaltet wird, wobei eine Erweiterung auf ein Vertrauen und einen Puffer pro Fahrzeug unkompliziert ist. Für eine leichte Implementierung werden Vertrauensniveaus diskretisiert, wobei ein höheres Niveau einen niedrigeren Grad an Böswilligkeit in der Umgebung angibt. Wie vorstehend erörtert, sind die Betriebsarten durch ihre Stärken gekennzeichnet.
-
Für jedes Vertrauensniveau und jeden Warteschlangenlängenwert weist der Algorithmus Betriebsarten in einer solchen Weise zu, dass für ein festes Vertrauensniveau die schwächeren/leichteren Betriebsarten mit zunehmender Warteschlangenlänge verwendet werden und jenseits einer bestimmten Warteschlangenlänge die Betriebsart gleich bleibt. Für eine feste Warteschlangenlänge werden stärkere Betriebsarten mit abnehmendem Vertrauensniveau verwendet. Dies erstellt im Wesentlichen eine Nachschlagetabelle. Um die Daten, die im Puffer warten, zu überprüfen, verwendet der Algorithmus die Betriebsart aus der Tabelle, die dem aktuellen Vertrauensniveau und der aktuellen Warteschlangenlänge entspricht. Der Algorithmus aktualisiert das Vertrauen auf der Basis des Ergebnisses der Überprüfung und externer Eingaben, falls vorhanden.
-
3 ist eine Darstellung eines Systems 50, das den Algorithmus auf Vertrauens- und Warteschlangenlängenbasis zeigt. Ein empfangendes Fahrzeug 52 befindet sich in einer Fahrzeugempfangsumgebung, wo es Nachrichten 54 von mehreren anderen Fahrzeugen 56 empfängt. Das System 50 zeigt eine Vertrauensniveauskala 58, wobei ein Ende angibt, dass das Vertrauensniveau eine böswillige Nachricht ist, und das andere Ende angibt, dass das Vertrauensniveau eine ehrliche Nachricht ist. Das System 50 umfasst auch einen Puffer 60, der unverarbeitete Daten 62 darin speichert, wobei die unverarbeiteten Daten 62 Nachrichten darstellen, die vom empfangenden Fahrzeug 52 empfangen werden, aber noch nicht überprüft oder authentifiziert sind. Das System 50 umfasst auch eine Tabelle 64, die in Betriebsarten aufgeteilt ist, insbesondere blinde Annahme, PKI-Signatur-Überprüfung, PKI-Signatur-Überprüfung, gefolgt von Konsistenzprüfung, und Verwerfung.
-
Das Überprüfungsniveau und die Frage, welche Betriebsart verwendet wird, um die Nachricht 54 zu authentifizieren, wird auf der Basis der Kombination sowohl des Vertrauensniveaus der Fahrzeugumgebung auf der Skala 58 als auch dessen, wie viel unverarbeitete Daten 62 sich im Puffer 60 befinden, bestimmt. Wenn sich das Vertrauensniveau der Umgebung in Richtung böswillig bewegt, dann nimmt die Robustheit der Authentifizierungsprüfung zu, was hier als Betriebsart der PKI-Signatur, gefolgt von Konsistenzprüfung, gezeigt ist. Wenn sich das Vertrauensniveau der Fahrzeugumgebung in Richtung ehrlich bewegt, dann ist ebenso eine schwächere Überprüfung erforderlich, eine Überprüfungsbetriebsart unter Verwendung einer PKI-Signatur. Wenn sich viel Daten im Puffer 60 befinden, dann ist ebenso die Überprüfungsbetriebsart schwächer/leichter, was hier als PKI-Signatur-Betriebsart gezeigt ist, und wenn die Menge der Daten 62 im Puffer 60 niedrig ist, dann nimmt die Robustheit der Authentifizierungsbetriebsart zu, was hier als Betriebsart der PKI-Signatur, gefolgt von einer Konsistenzprüfung, in der Tabelle 64 gezeigt ist.
-
Es soll daran erinnert werden, dass der Aspekt der Warteschlangenlänge eintritt, da Datenüberprüfungen eine Aufgabe sind, die auf dem Hauptprozessor läuft, und die empfangenen Daten gepuffert werden müssen, bis diese Aufgabe einen Zeitschlitz gemäß irgendeinem Prozessorzeitplan erhält. Je umfangreicher der Überprüfungsmechanismus ist, desto niedriger ist die Anzahl von Nachrichten, die innerhalb des vorgeschriebenen Zeitschlitzes überprüft werden, desto höher ist daher die restliche Warteschlangenlänge und desto höher ist die Verzögerung, die die empfangenen Daten erfahren, während sie auf die Verarbeitung warten, und desto höher ist daher die Möglichkeit, dass die Daten vom Standpunkt der Anwendung untauglich sind. Der vorgeschlagene Mechanismus versucht, die mittlere Wartezeit im Wartepuffer 60 explizit zu steuern, während er die Angreifbarkeit verringert. Um dies zu erreichen, bestimmt der Überprüfungsprozess, wenn er einen Zeitschlitz erhält, die zu verwendende Betriebsart, wodurch auch die Anzahl von Nachrichten bestimmt wird, auf die er angewendet wird. Im Gegensatz zum Algorithmus auf reiner Vertrauensbasis wendet dieses Schema folglich die Betriebsart auf mehrere Nachrichten auf einmal an.
-
Durch Wählen der Verwerfung als Betriebsart für genügend große Warteschlangenlängen kann der Algorithmus einen Schutz vor Dienstverweigerungsangriffen (DOS-Angriffen) bieten.