-
HINTERGRUND DER ERFINDUNG
-
Eine Ausführungsform bezieht sich allgemein auf Fahrzeug-Fahrzeug-Kommunikationen.
-
Fahrzeug-Fahrzeug-Anwendungen (V2V-Anwendungen von vehicle-to-vehicle applications) beziehen sich auf kooperative Kommunikationen für ein Fahrzeug auf der Grundlage von Zweiwegekommunikationen zum Interagieren in Echtzeit. Diese Systeme richten sich vorzugsweise auf eine Verkehrsverwaltung, eine Kollisionswarnung und eine Kollisionsvermeidung. Solche Systeme können den Kenntnisbereich eines Host-Fahrzeugs hinsichtlich Bedingungen der umliegenden Umgebung erweitern, indem eine relevante Information bezüglich des Status des Verkehrs zusätzlich zu jeglichen sicherheitsbezogenen Ereignissen, die in der Nähe des Host-Fahrzeugs auftreten oder durch Fahrzeuge in der Nähe dieses detektiert werden, bereitgestellt wird.
-
Das Einbeziehen eines Sicherheitsschutzes hinsichtlich V2V-Anwendungen verursacht erhebliche Kosten. Die hervorgerufenen Kosten sind die der Rechenleistung, die für die Prozesssicherheit erforderlich ist, insbesondere (1) zum Erzeugen einer sicheren Nachricht am Sender und (2) zum Verifizieren der Integrität dieser sicheren Nachricht an einem empfangenden Knoten. Die Information, die bei V2V-Kommunikationen zwischen den Fahrzeugen ausgetauscht wird, muss gesichert sein, um zu verhindern, dass sich ein böswilliger Nutzer in das Kommunikationssystem hackt und falsche Daten darstellt, die den V2V-Anwendungsdienst stören.
-
Nachrichten werden bei V2V-Kommunikationen durch Hinzufügen einer eindeutigen digitalen Signatur zu der Nachricht gesichert. Die digitalen Signaturen basieren typischerweise auf einer Kryptographie eines asymmetrischen Schlüssels und sind das digitale Äquivalent zu handgeschriebenen Signaturen. Am empfangenden Ende einer Fahrzeugkommunikation wird ein Algorithmus einer digitalen Signatur verwendet, um die Signatur zu verifizieren. Wenn eine digitale Signatur authentifiziert ist, werden die Nachrichten für eine Verarbeitung der Daten bei der Nachricht zu der Anwendungsschicht transferiert.
-
Ein Verifizieren der Nachricht unter Verwendung eines Algorithmus einer digitalen Signatur basiert auf einer Vielzahl von mathematisch aufwendigen Algorithmen. Die Verwendung solcher Algorithmen ist wegen einer großen Anzahl von mathematischen Berechnungen, wie beispielsweise Multiplikationen, Quadrieren und Inversionen, die für jede Signatur, die erzeugt oder verifiziert werden soll, ausgeführt werden müssen, rechenintensiv. Die Verwendung von Prozessoren in Fahrzeugkommunikationssystemen, wie beispielsweise jene, die bei Fahrzeugrechenplattformen, die für CAN- und LIN-Busse ausgerichtet sind, und flexiblen Rechenplattformen, die für Bluetooth- und USB-Kommunikationsmedien ausgerichtet sind, verwendet werden, sind nicht entworfen, um rechenintensive Operationen handzuhaben. Alternativ kann ein ASIC/FPGA (Application Specific Integrated Circuit/Field Programmable Gate Array) verwendet werden, um die Authentifizierung einer digitalen Signatur durchzuführen, kann verwendet werden. Die Kosten einer solchen Hardware für diese unabhängigen Prozessoren beseitigen den Rechenflaschenhals, der typischerweise bei Standardrechenprozessoren auftritt; die Kosten sind jedoch unerwünscht hoch.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Ein Vorteil einer Ausführungsform der Erfindung stellt eine reduzierte Anzahl von Datenpaketen bereit, die an eine Sicherheitsschicht in Ansprechen auf ein Filtern von Datenpaketen, um jegliche zu entfernen, die von einem Fahrzeug, das als sich nicht auf der gleichen Straße wie das Host-Fahrzeug befindend ermittelt wird, oder von Fahrzeugen, bei denen eine böswillige Verfälschung eines Knotens detektiert wurde, stammen, geliefert werden. Der Filterprozess verringert die Rechenlast des Sicherheitspakets und reduziert Flaschenhälse.
-
Eine Ausführungsform der Erfindung betrachtet ein Verfahren zum effizienten Verarbeiten von Nachrichten, die für eine Authentifizierung in einer Sicherheitsschicht eines Protokollstapels in einem drahtlosen Fahrzeug-Fahrzeug-Kommunikationssystem bereitgestellt werden. Das Fahrzeug-Fahrzeug-Kommunikationssystem umfasst einen Host-Fahrzeugempfänger zum Empfangen von Nachrichten, die durch ein oder mehrere entfernte Fahrzeuge gesendet werden. Der Host-Empfänger ist ausgestaltet, um empfangene Nachrichten in einer Sicherheitsschicht eines Protokollstapels zu authentifizieren. Es wird eine drahtlose Nachricht empfangen, die durch ein entferntes Fahrzeug rundgesendet wird. Die drahtlose Nachricht enthält Eigenschaftsdaten des entfernten Fahrzeugs. Die Eigenschaftsdaten des entfernten Fahrzeugs werden analysiert, um zu ermitteln, ob die durch das entfernte Fahrzeug gesendete drahtlose Nachricht mit einem vorbestimmten Parameter des Host-Fahrzeugs übereinstimmt. Die drahtlose Nachricht wird vor einem Transfer der drahtlosen Nachricht zu der Sicherheitsschicht in Ansprechen auf eine Ermittlung, dass die durch das entfernte Fahrzeug gesendete drahtlose Nachricht nicht mit dem vorbestimmten Parameter des Host-Fahrzeugs übereinstimmt, verworfen. Andernfalls wird die drahtlose Nachricht an die Sicherheitsschicht gesendet.
-
Eine Ausführungsform der Erfindung betrachtet ein Fahrzeug-Fahrzeug-Kommunikationssystem zum effizienten Verarbeiten von Nachrichten, die für eine Authentifizierung in einer Sicherheitsschicht des Protokollstapels bereitgestellt werden. Das Fahrzeug-Fahrzeug-Kommunikationssystem umfasst einen Empfänger zum Empfangen eingehender Nachrichten von entfernten Fahrzeugen. Eine Verarbeitungseinheit in dem Empfänger verarbeitet die eingehenden Nachrichten, die durch den Empfänger eines Host-Fahrzeugs empfangen werden. Ein Protokollstapel führt [engl.: ”for executes”] ein Protokoll zum Verarbeiten der empfangenen Nachrichten aus. Der Protokollstapel umfasst die Sicherheitsschicht zum Authentifizieren einer digitalen Signatur der empfangenen Nachricht. Ein Filter verarbeitet selektiv eine Anzahl von Nachrichten, die für eine Authentifizierung in einer Sicherheitsschicht des Protokollstapels bereitgestellt werden. Das Filter verwirft jeweilige drahtlose Nachrichten vor einem Transfer der jeweiligen drahtlosen Nachricht zu der Sicherheitsschicht in Ansprechen auf eine Ermittlung, dass die durch das entfernte Fahrzeug gesendete drahtlose Nachricht nicht mit einem vorbestimmten Parameter des Host-Fahrzeugs übereinstimmt.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
1 ist eine Darstellung von Fahrzeugen, die entlang einer Straße fahren, gemäß einer Ausführungsform.
-
2 zeigt eine Systemarchitektur für jeweilige Fahrzeuge des Fahrzeugempfängers eines Fahrzeug-Fahrzeug-Kommunikationssystems.
-
3 zeigt einen Protokollstapel des Stands der Technik, der bei Fahrzeug-Fahrzeug-Kommunikationen verwendet wird.
-
4–5 zeigen Flussdiagramme von Verfahren, die eine Datenpaketfilterung darstellen, gemäß der bevorzugten Ausführungsform der Erfindung.
-
6 ist eine Tabelle, die Beispiele für Eigenschaftsdaten auflistet.
-
7 zeigt einen Sektor eines Verfügbarkeitsgraphs einer Verfolgungsroutine eines entfernten Fahrzeugs.
-
DETAILLIERTE BESCHREIBUNG
-
In 1 ist allgemein ein Verkehrsflussdiagramm gezeigt, das ein Host-Fahrzeug 10 und mehrere entfernte Fahrzeuge 12 darstellt, die in die gleiche Richtung fahren. Mehrere entgegenkommende entfernte Fahrzeuge 14 fahren auf einer gegenüberliegenden Seite der Straße in eine entgegengesetzte Richtung. Viele der Fahrzeuge, die in die gleiche Richtung und in die entgegengesetzte Richtung fahren, weisen Kommunikationsfähigkeiten mit dem Host-Fahrzeug 10 auf, die als Fahrzeug-Fahrzeug-Nachrichtenübermittlung (V2V-Nachrichtenübermittlung) bekannt sind. Das Host-Fahrzeug 10 und jene jeweiligen entfernten Fahrzeuge 12, die Kommunikationsfähigkeiten aufweisen, senden periodisch drahtlose Nachrichten zueinander über ein jeweiliges Zwischenfahrzeugkommunikationsnetz rund.
-
Drahtlose V2V-Nachrichten, die zwischen den Fahrzeugen übermittelt werden, können als periodische Standard-Beacon-Nachricht gesendet werden, die Daten bezüglich Umgebungskenntnisbedingungen in Bezug auf Fahrzeugpositionen, Fahrzeugkinematik-/-dynamikparameter, Verkehrs- oder Straßenereignisse, die durch jedes jeweilige Fahrzeug erfasst werden, umfasst. Solche Umgebungskenntnisbedingungen werden zwischen Fahrzeugen über das Zwischenfahrzeugkommunikationsnetz übermittelt, um vor einem Typ von Sicherheitsbedingung, Verkehrsverzögerungen, einem Unfall oder anderen aktuellen Bedingungen vorzuwarnen, die von potentieller Wichtigkeit für einen Fahrer des Fahrzeugs oder ein sicherheitsbezogenes System des Fahrzeugs sind. Eines der Ziele ist, eine Vorabwarnung an benachbarte Fahrzeuge hinsichtlich einer Bedingung zu liefern, um zusätzliche Zeit zum Reagieren auf die Bedingung bereitzustellen. Solche Warnungen hinsichtlich Umgebungskenntnisbedingungen können einen Verkehrsstau, Unfälle, Vorwärtskollisionswarnungen (FCW von forward collision warnings), die in dem sendenden Fahrzeug in Betrieb sind, eine Seitenkollisionswarnung (LCW von lateral collision warning), eine Spurverlassenswarnung (LDW von lane departure warning), sich vorne befindende langsame/gestoppte Fahrzeuge, eine elektronische Notbremsleuchtenaktivierung (EEBL von emergency electronic brake light activation), eine Aktivierung eines hinteren zentralen hoch angebrachten Bremslichts (CHMSL-Aktivierung von rear end central high mounted stop light activation), einen Alarm eines gestoppten Fahrzeugs (SVA von stopped vehicle alert), eine Kreuzungskollisionswarnung/-vermeidung, einen geraden kreuzenden Pfad, eine Baustellenwarnung, einen toten Winkel/Spurwechsel und eine Sichtbarkeitsverbesserung von Fußgängern/Radfahrern umfassen, sind jedoch nicht darauf beschränkt. Wie es aus 1 abgeleitet werden kann, empfängt das Host-Fahrzeug Nachrichten von jedem Fahrzeug innerhalb des Rundsendungsbereichs des Host-Fahrzeugs, was Fahrzeuge auf einer Straße mit mehreren Spuren, die in die gleiche Richtung fahren, zusätzlich zu Fahrzeugen, die in eine entgegengesetzte Richtung fahren, umfasst. Ferner könnte ein Host-Fahrzeug Rundsendungsnachrichten von anderen Fahrzeugen auf einem Autobahnkreuz mit mehreren Ebenen empfangen [engl.: ”received”], wobei sich vier oder mehr Straßenebenen schneiden oder angeordnet sind, wobei Fahrzeuge zwischen den nahe beieinander liegenden, jedoch getrennten Autobahnkreuzauffahrten/-ausfahrten Rundsendungsnachrichten empfangen können.
-
2 zeigt die Systemarchitektur für den Host-Fahrzeugempfänger 10 und einen Empfänger 12 eines jeweiligen entfernten Fahrzeugs. Der Host-Fahrzeugempfänger 10 und der Empfänger 12 eines jeweiligen entfernten Fahrzeugs sind jeweils mit einer drahtlosen Funkeinrichtung 16 (z. B. hinteres Ende eines Empfängers) ausgestattet, die einen Sender und einen Empfänger (oder Transceiver) zum Rundsenden und Empfangen der drahtlosen Nachrichten über eine Antenne 18 umfasst. Der Host-Fahrzeugempfänger 10 und das jeweilige entfernte Fahrzeug 12 umfassen ferner jeweilige Verarbeitungseinheiten 20 (z. B. Protokollstapel) zum Verarbeiten der in der drahtlosen Nachricht empfangenen Daten oder andere sendende Einrichtungen, wie beispielsweise einen Empfänger 22 eines globalen Positionsbestimmungssystems (GPS-Empfänger). Alternativ kann die drahtlose Funkeinrichtung auch als GPS-Empfänger fungieren.
-
Ein GPS verwendet eine Konstellation von Satelliten, die Signale senden, die dem GPS-Empfänger 22 eines jeweiligen Fahrzeugs ermöglichen, seinen Ort, seine Geschwindigkeit, seine Richtung und die Zeit zu ermitteln. Die GPS-Daten für ein jeweiliges Fahrzeug des V2V-Kommunikationsnetzes werden als Teil der drahtlosen Nachricht zum Identifizieren des Orts des sendenden Fahrzeugs rundgesendet. Dies ermöglicht der jeweiligen Verarbeitungseinheit 20 des Host-Fahrzeugempfängers 10, die Nachrichteninhalte angesichts der Position des entfernten Fahrzeugs zu bewerten, um die Relevanz einer jeweiligen Bedingung für den Host-Fahrzeugempfänger 10 auszuwerten.
-
Bei einem Empfänger eines jeweiligen Host-Fahrzeugs muss der Empfänger eine große Anzahl von Datenpaketen aufgrund gleichzeitiger mehrerer Übertragungen von anderen Fahrzeugen in dem umliegenden Gebiet authentifizieren. Bei einer jeweiligen mehrspurigen Straße oder einem Autobahnkreuz mit mehreren Ebenen sendet jedes Fahrzeug mit V2V-Kommunikationsfähigkeit ungefähr alle 100 ms eine Nachricht. Als Ergebnis erhöht sich die Anzahl von durch das Host-Fahrzeug empfangenen Nachrichten exponentiell, auch wenn sich die Dichte der entfernten Fahrzeuge linear erhöht. Daher könnte die Anzahl an Nachrichten, die verarbeitet werden müssen, etwa 800–1200 Nachrichten pro Minute betragen. Diese Anzahl kann sich bei Vorhandensein einer böswilligen Verfälschung eines Knotens erhöhen. Eine böswillige Verfälschung eines Knotens ist ein Szenario, bei dem das Kommunikationssystem auf eine Weise manipuliert wird, die nicht im besten Interesse dessen ist, wofür ein V2V-Kommunikationssystem entworfen ist. Eine böswillige Verfälschung eines Knotens umfasst das Fälschen oder das sich Ausgeben eines einzelnen Nutzers durch Fälschungsdaten. Die Absicht ist, Empfänger zu verwirren, indem man sich selbst als mehrere Sender ausgibt, um den Eindruck zu vermitteln, dass das Signal durch mehrere Quellen gesendet wird. Dies wird ausgeführt, indem Knoten Datenpakete mit inkorrekten Daten, möglicherweise gefälschten digitalen Signaturen, erzeugen. Das V2V-Kommunikationssystem wird mit diesen Paketen geflutet, was zu einem hohen Paketkollisionsverlust an der physikalischen Schicht, einem höheren Pufferverlust an der Sicherheitsschicht und der Verteilung inkorrekter Daten an die Anwendungsschicht führt. Die akkumulative Auswirkung von legitimen V2V-Kommunikationen und einer böswilligen Verfälschung eines Knotens setzt die Verarbeitungseinheit des Host-Fahrzeugs einer erheblichen Belastung aus. Die Belastung ist stärker als es die Standardprozessoren in einer empfangenden Einheit handhaben können. Die Verwendung eines dedizierten Prozessors, wie beispielsweise eines ASIC oder eines FPGA, wäre erforderlich, um solch einen Flaschenhals von Nachrichten handzuhaben. Ferner ist die Verifizierung einer digitalen Signatur an dem empfangenden Ende rechenintensiver als das Anbringen einer digitalen Signatur an der Nachricht am sendenden Ende. Beispielsweise benötigt bei der Verwendung einer Elliptische-Kurven-Kryptographie (ECC von Elliptic Curve Crytpography) für digitale Signaturen der ECC-Algorithmus im Mittel 31 ms [engl.: ”mec”] zum Signieren einer Nachricht und 38 ms zum Verifizieren dieser Nachricht. Gekoppelt mit dem Task, dass der Empfänger mehrere hundert Nachrichten in ressourcenbeschränkten Umgebungen verarbeiten muss, würde der Task des Verringerns des Flaschenhalses des Verarbeitens der Nachrichten typischerweise durch die Verwendung von Hardware (z. B. ASICs) oder Software erreicht werden.
-
Ein ASIC wie zuvor beschrieben ist ein dedizierter Prozessor, der spezifisch für eine Anwendung entworfen ist. Somit können effiziente Realisierungen auf einer Systemebene entworfen werden, was den Hauptprozessor von einer sicherheitsbezogenen Verarbeitung befreit und den Hauptprozessor frei hält, um andere Tasks effizienter auszuführen, jedoch zusätzliche Kosten des Prozessors mit sich bringt. Softwarealgorithmen sind Realisierungen, die einen Satz von Stamm- oder Grundlagenoperationen verwenden. Diese Stammoperationen definieren Funktionen zum Realisieren von Multiplikationen, Quadrieren und Erfindungen bei großen Zahlen (> 1019 Bit). Obwohl diese Algorithmen wohldefinierte mathematische Regeln verwenden, die sowohl hinsichtlich Brute-Force-Angriffen als auch einer Kryptoanalyse stabil sind, ist der Umfang an Information zum Durchführen der Rechenanalyse zeitaufwändig.
-
3 zeigt einen Protokollstapel für V2V-Kommunikationen. Ein typischer Protokollstapel umfasst verschiedene Schichten, nämlich eine physikalische Schicht 30, eine Verbindungsschicht 32, eine Netzschicht 34, eine Sicherheitsschicht 38 und eine Anwendungsschicht 40. Die Transportschicht 36 ist zum Übermitteln von Daten an eine geeignete Anwendung in dem Fahrzeug verantwortlich. Die Sicherheitsschicht 38 ist eine künstliche Schicht, die unter der Anwendungsschicht 40, jedoch oberhalb der Transportschicht 40 existiert. In dieser Schicht sind Sicherheitsalgorithmen realisiert. Die Sicherheitsschicht 38 erlaubt die Übermittlung der Datenpakete über das Netz auf eine Weise, die ein Abhören, eine Verfälschung und eine Nachrichtenfälschung verhindert. Die Sicherheitsschicht 38 authentifiziert die Nachricht (z. B. Datenpaket) und übermittelt die Daten unter Verwendung von Kryptologie über das Netz. Die Sicherheitsschicht 38 authentifiziert die digitale Signatur des Datenpakets. Bei aktuellen V2V-Kommunikationen treten bei dieser Stufe bei der großen Menge an empfangenen Nachrichten und der Zeit, die die Transportsicherheitsschicht benötigt, um das Datenpaket zu authentifizieren, Flaschenhälse auf.
-
Bei 42 ist allgemein ein Filter gezeigt, das realisiert ist, um die Anzahl von Datenpaketen, die der Sicherheitsschicht 38 geliefert werden, effizient zu reduzieren. Das Filter 42 liegt als Satz von Algorithmen vor, der jedes Datenpaket vor der Sicherheitsschicht 38 überprüft und eine Entscheidung zum Senden des Datenpakets an die Sicherheitsschicht 38 oder zum Verwerfen des Datenpakets trifft. Das Filter 42 verletzt keine Standards und kann unabhängig von jeglichem Standard, den der V2V-Kommunikationsprozess verwendet, existieren. Das Filter 42 verwendet Eigenschaftsdaten, die entweder direkt in dem Datenpaket bereitgestellt werden oder von den Daten des Datenpakets abgeleitet werden. Die Eigenschaftsdaten werden mit vorbestimmten Parametern wie durch das Host-Fahrzeug ermittelt verglichen. Die Daten, die zum Erzeugen der vorbestimmten Parameter verwendet werden, können durch eine Fahrzeugschnittstelleneinrichtung 24 (gezeigt in 2) des Host-Fahrzeugs erfasst werden. Beispiele für durch die Fahrzeugschnittstelleneinrichtung erfasste Daten, die zum Ermitteln der vorbestimmten Parameter verwendet werden, können GPS-Daten, eine Drehzahl, eine Geschwindigkeit, eine Beschleunigung und Lenkwinkeldaten, welche das Ermitteln einer Position oder Trajektorie des Host-Fahrzeugs relativ zu den entfernten Fahrzeugen unterstützen, umfassen, sind jedoch nicht darauf beschränkt. Es sei angemerkt, dass das Filter 42 als Vorabsicherheitsverarbeitungsroutine zum Filtern und Verwerfen unerwünschter V2V-Kommunikationsnachrichten fungiert. Das Filter kann mehrere Filterstufen verwenden, um die Datenpakete zu analysieren und zu verwerfen, die durch ein Fahrzeug in einem V2V-Netz empfangen werden. Es sei ferner angemerkt, dass die Eigenschaftsdaten und vorbestimmten Parameter wie hierin zum Filtern beschrieben nicht vollständig sind und dass die Filterroutine verschiedene Eigenschaftsdaten und vorbestimmte Parameter verwenden kann, die unerwünschte Filterpakete identifizieren, um das Filterpaket zu verwerfen.
-
4 zeigt ein Flussdiagramm, das ein allgemeines Konzept zum Ermitteln, ob ein empfangenes Datenpaket verworfen werden soll, zeigt. In Schritt 50 empfängt der Empfänger des Fahrzeugs ein Datenpaket. In Schritt 51 werden Inhalte des Datenpakets vor dem Prüfen der digitalen Signatur des Datenpakets überprüft. In Schritt 52 wird durch Vergleichen der Eigenschaftsdaten des empfangenen Datenpakets mit dem vorbestimmten durch das Host-Fahrzeug festgelegten Parameter eine Filterentscheidung getroffen. Die Eigenschaftsdaten können direkt ohne zusätzliche Verarbeitung aus dem Datenpaket erhalten werden oder können unter Verwendung der Daten und anderer Inhalte in dem Datenpaket abgeleitet werden. Der vorbestimmte Parameter kann ohne Einschränkung einen vergleichbaren Parameter des Host-Fahrzeugs zum Ermitteln von Positionsdaten oder Stellungsdaten des Host-Fahrzeugs umfassen oder kann einen Parameter bezüglich unechter Daten der gesendeten Nachricht, wie beispielsweise einer böswilligen Verfälschung eines Knotens, umfassen. Der vorbestimmte Parameter kann eine Bedingung sein, die als Funktion der erfassten Information ermittelt wird, wie es oben beschrieben ist, oder kann eine Bedingung oder ein Standard sein, die oder der zuvor festgelegt wird und keine Ableitung auf der Grundlage erfasster Daten des Host-Fahrzeugs erfordert. In Schritt 53 wird, wenn die Information in den Datenpaketen mit dem vorbestimmten Parameter übereinstimmt, das Datenpaket zur Authentifizierung des Datenpakets zu der Sicherheitsschicht transferiert. In Schritt 54 wird das Datenpaket verworfen, wenn die Information in dem Datenpaket nicht mit dem vorbestimmten Parameter übereinstimmt.
-
5 zeigt ein Flussdiagramm, das eine detaillierte Beschreibung des Filterprozesses bereitstellt. In Schritt 61 empfängt der Empfänger des Fahrzeugs eine Nachricht von einem entfernten Fahrzeug in einem V2V-Kommunikationsnetz. Die Nachricht umfasst ein Datenpaket, das eine Information enthält, wie es zuvor beschrieben wurde. In Schritt 62 werden die Inhalte des Datenpakets vor dem Authentifizieren der digitalen Signatur des Datenpakets überprüft. Die Überprüfung der Eigenschaftsdaten wird verwendet, um zu ermitteln, ob das Datenpaket eine Information enthält, die für das Host-Fahrzeug nicht nützlich ist (z. B. ob das Datenpaket angibt, dass die Nachricht die Fahrt des Host-Fahrzeugs direkt betrifft oder ob die Datennachricht zu einer Unechtheit beiträgt, die bei V2V-Kommunikationen entweder fehlerhaft oder böswillig eine inkorrekte Information bereitstellt). Die in dem Datenpaket enthaltenen Eigenschaftsdaten, die beim Ermitteln, ob das Datenpaket für das Host-Fahrzeug nützlich oder nicht nützlich ist, verwendet werden können, umfassen ohne Einschränkung Daten einer globalen Positionsbestimmung, Höhendaten, die Geschwindigkeit eines entfernten Fahrzeugs, eine Beschleunigung, eine Trajektorie, eine Fahrtrichtung, eine Signalstärke, eine Übertragungszeit des Signals, Signaturen, eine Signalqualität, eine Empfängerempfindlichkeit und ein Signal-Rausch-Interferenz-Verhältnis. Die Tabelle in 6 zeigt einige beispielhafte Eigenschaftsdaten, die beim Ermitteln, ob das Datenpaket verworfen werden sollte, verwendet werden können. Die obige Information wird entweder direkt mit einem vorbestimmten Parameter verglichen oder kann eine weitere Verarbeitung zum Konfigurieren der Daten für einen Vergleich mit vorbestimmten Parametern erfordern, was in den folgenden Schritten erläutert wird.
-
In Schritt 63 wird eine Fahrtrichtung des entfernten Fahrzeugs, das die Nachricht sendet, mit der Fahrtrichtung des Host-Fahrzeugs verglichen. Wie zuvor beschrieben werden V2V-Kommunikationen bereitgestellt, um ein Host-Fahrzeug hinsichtlich Vorkommnissen eines Ereignisses zu alarmieren, das das Host-Fahrzeug betrifft. Nachrichten, wie beispielsweise eine EEBL und ein SVA, die von entfernten Fahrzeugen empfangen werden und mit Ereignissen in Beziehung stehen, die in der entgegengesetzten Fahrtrichtung stattfinden, betreffen das Host-Fahrzeug nicht. Als Ergebnis können solche Nachrichten verworfen werden. Daher kann das Host-Fahrzeug die Fahrtrichtung des entfernten Fahrzeugs, das die Datennachricht sendet, auf der Grundlage der GPS-Daten, die in der Datennachricht enthalten sind, ermitteln. V2V-Pakete weisen Positionskoordinaten auf, die als Teil der Datennachricht eingeprägt sind, und ein Analysieren dieser Information in dem Datenpaket stellt die notwendige Information zum Treffen einer gültigen Entscheidung bereit. Die Fahrtrichtung (z. B. Transitrichtung) kann durch mehrere Verfahren ermittelt werden, und solche Verfahren sind nicht nur auf die hierin beschriebenen Ausführungsformen beschränkt. Die Ermittlung der Fahrt kann unter Verwendung eines GPS-Systems durchgeführt werden. GPS-Empfänger ermitteln eine Fahrtrichtung an einem Ort von Koordinaten. Wenn solch eine Information Teil des gesendeten V2V-Datenpakets ist, kann jeder empfangende Knoten die Fahrtrichtung direkt aus der gesendeten Nachricht folgern. Wenn solch eine Information kein Teil des gesendeten V2V-Datenpakets ist, kann die Fahrtrichtung für ein entferntes Fahrzeug durch eine einfache Extrapolierung der früheren Punkte der Fahrt durch das entfernte Fahrzeug ermittelt werden.
-
Ein komplexerer Weg zum Ermitteln der Fahrtrichtung umfasst das Messen eines Ankunftswinkels (AoA von angle-of-arrival) des gesendeten Pakets an den Empfänger. Der AoA umfasst das Messen der Zeitdifferenz der Ankunft bei einzelnen Elementen einer Empfängerantennenanordnung und das Berechnen einer Einfallsrichtung auf der Grundlage von Verzögerungen, die an jedem der einzelnen [engl.: ”individuation”] Antennenanordnungselemente auftreten. Da die Anordnungselemente in Vielfachen (ganze Zahl oder Bruchteil) von Wellenlängen gleich beabstandet sind, stellt die Verzögerung zwischen den Anordnungselementen die Wellenausbreitungsrichtung dar.
-
Sobald die Fahrtrichtung ermittelt wurde, wird ein Vergleich mit der aktuellen Fahrzeugfahrtrichtung vorgenommen. Wenn eine der V2V-Anwendungen des Host-Fahrzeugs keine Information von entfernten Fahrzeugen erfordert, die in die entgegengesetzte Richtung fahren, und die Straßenbedingungen sicherstellen, dass der Gegenverkehr keinen Einfluss auf die aktuellen Fahrbedingungen hat, kann eine Entscheidung zum Verwerfen des Datenpakets auf der Grundlage des Vergleichs mit dem vorbestimmten Parameter getroffen werden. Es sei angemerkt, dass andere Verfahren als die hierin beschriebenen zum Ermitteln der Fahrtrichtung des Fahrzeugs, das die Nachricht sendet, verwendet werden können, ohne von dem Schutzumfang der Erfindung abzuweichen.
-
Bei Schritt 63 fährt die Routine, wenn die Daten in dem Datenpaket angeben, dass die Fahrtrichtung des entfernten Fahrzeugs nicht die Richtung ist, in die das Host-Fahrzeug fährt, mit Schritt 64 fort, in dem die Nachricht verworfen wird. Dann fährt die Routine mit Schritt 61 fort, um eine nächste Nachricht zu empfangen und zu analysieren. Wenn die Daten in dem Datenpaket in Schritt 63 angeben, dass die Fahrtrichtung des entfernten Fahrzeugs die gleiche Richtung ist wie die, in die das Host-Fahrzeug fährt, fährt die Routine [engl.: ”routing”] mit Schritt 65 fort.
-
In Schritt 65 wird die Höhe des entfernten Fahrzeugs mit der Höhe des Host-Fahrzeugs verglichen. Dies wird wegen Autobahnkreuzen mit mehreren Ebenen durchgeführt, bei denen, obwohl sich das entfernte Fahrzeug und das Host-Fahrzeug in naher Nähe zueinander befinden können und sie in eine im Wesentlichen gleiche Richtung fahren können, sich die jeweiligen Fahrzeuge auf verschiedenen Ebenen des Autobahnkreuzes befinden können und daher Ereignisse, die auf dem Fahrpfad des entfernten Fahrzeugs auftreten, das Host-Fahrzeug nicht betreffen können. Die Höhe kann durch verschiedene Verfahren ermittelt werden. Beispielsweise kann ein GPS im horizontalen und vertikalen Sektor bis zu einer jeweiligen Auflösung bereitstellen. Obwohl GPSs eine schlechte laterale Auflösung haben können, kann ein GPS in Kooperation mit anderen Technologien, wie beispielsweise einer eingebetteten Navigation, gemeinsam verwendet werden, um die Höhe innerhalb zulässiger Fehlergrenzen zu ermitteln. Eine eingebettete Navigation umfasst intelligente Algorithmen, die sich konstant auf eine Zuordnung (z. B. eine existierende Datenbank) beziehen, um die Höhe des Fahrzeugs zu ermitteln. Eine andere Alternative zum Ermitteln der Höhe ist die Verwendung von Luftdrucksensoren. Luftdrucksensoren stellen die höchsten Auflösungen bei geringen bis mäßigen Kosten bereit. Diese Sensoren ermitteln die Höhe durch Messen der relativen Abweichung des Luftdrucks. Noch eine weitere Alternative zum Ermitteln der Höhe ist die Verwendung des Signal-Interferenz-plus-Rausch-Verhältnisses (SINR von signal-to-interference-plus-noise-ratio). Bei Fahrzeugen, die sich auf verschiedenen Ebenen (d. h. Höhen) befinden, variiert das SINR am Host-Fahrzeug (d. h. dem empfangenden Fahrzeug) stark. Bei Fahrzeugen auf einer gleichen Ebene wird die Kommunikation nahezu vollständig durch Sichtlinien- oder Mehrwegsignale beeinflusst, die das beste SINR bereitstellen. Beiden jeweiligen Fahrzeugen auf verschiedenen Ebenen unterliegt das Signal einer schnellen Dämpfung in Ansprechen auf das Vorhandensein von Beton, und das SINR am empfangenden Fahrzeug variiert stark. Daher dient das Messen dieser Signale als Indikator für das Vorhandensein der jeweiligen Fahrzeuge auf verschiedenen Ebenen. Es sei angemerkt, dass andere Verfahren als jene, die hierin zum Ermitteln der Höhe des entfernten Fahrzeugs beschrieben sind, verwendet werden können, ohne von dem Schutzumfang der Erfindung abzuweichen.
-
In Schritt 65 wird ermittelt, ob sich die Höhe des Host-Fahrzeugs von der Höhe des entfernten Fahrzeugs unterscheidet. Wenn ermittelt wird, dass sich die Höhe des entfernten Fahrzeugs von der Höhe des Host-Fahrzeugs unterscheidet, fährt die Routine mit 64 fort, indem das Datenpaket verworfen wird. Wenn die Höhe des entfernten Fahrzeugs im Wesentlichen die gleiche ist wie die Höhe des Host-Fahrzeugs, fährt die Routine mit Schritt 66 fort.
-
In Schritt 66 wird auf der Grundlage von bekannten physikalischen Gesetzen ermittelt, ob irgendeine unechte Information vorhanden ist. Unechte Daten in V2V-Kommunikationsnetzen können auf ein fehlerhaftes Gerät oder auf eine böswillige Verfälschung eines Knotens zurückzuführen sein. Eine Unechtheit aufgrund eines fehlerhaften Geräts kann das Ergebnis eines falsch funktionierenden Sensors in einem Fahrzeug, was dazu führt, dass eine inkorrekte Information über die Umgebung an das Host-Fahrzeug berichtet wird (z. B. eine Öllache auf einer Straße wird aufgrund fehlerhafter Sensoren nicht berichtet), sein, ist jedoch nicht darauf beschränkt. Eine Unechtheit aufgrund einer Böswilligkeit umfasst böswillige Nutzer, die das V2V-Kommunikationssystem aus verschiedenen Gründen absichtlich gefährden. Beispielsweise könnte ein falsches Signal eines Alarms eines gestoppten Fahrzeugs (SVA-Signal), das durch böswillige Nutzer an andere Fahrer rundgesendet wird, erzeugt werden, um einen Unfall zu verursachen. Ein Identifizieren solcher Verhalten ist ein nicht triviales Problem und kann oftmals nicht lediglich durch die Überprüfung der Inhalte des Datenpakets ermittelt werden.
-
Es können verschiedene Verfahren verwendet werden, um einen unechten Inhalt in der Datennachricht zu detektieren. Die folgenden Verfahren sind lediglich Beispiele dafür, wie eine Unechtheit detektiert werden kann, und sollen keine vollständige Liste der Wege, auf die ein unechter Inhalt detektiert wird, darstellen. Ein erstes Verfahren umfasst das Ermitteln einer Eindeutigkeit einer Nonce. Die Nonce ist eine eindeutige Zahl, die genau einmal in einem gegebenen Protokoll verwendet wird. Jedes in einem V2V-Kommunikationsnetz rundgesendete Datenpaket weist eine in dem Datenpaket eingebettete Nonce auf. Eine Wiederholung einer Nonce gibt eine Unechtheit an, und das Filter muss sicherstellen, dass nur Datenpakete mit einer Nonce, die kleiner oder gleich der zuvor erhaltenen Nonce ist, akzeptiert werden.
-
Ein zweites Beispiel ist das Ermitteln einer Integrität der Signatur. Eine einfachste Form eines Angriffs ist ein Rechendienstverweigerungsangriff. Da ein Verifizieren einer Kryptographie eines asymmetrischen Schlüssels auf der Grundlage von Signaturen rechenintensiv ist, kann das Verifizieren einer großen Anzahl von Signaturen das Leistungsvermögen des V2V-Kommunikationsnetzes stark verschlechtern. Ein böswilliger Angreifer des Systems muss lediglich jeder gesendeten Nachricht eine Zufallszahl mit 256 Bit hinzufügen. Als Ergebnis muss das Filter sicherstellen, dass die Datenpakete mit zufälligen Datenbits, die sich als Signaturen ausgeben, aus Signaturen mit korrekten Signaturen gefiltert werden.
-
Ein drittes Beispiel umfasst Zertifikatsperrlisten (CRLs von certificate revocation lists). Ein Sperren von sich falsch verhaltenden Knoten wird durch CRLs durchgeführt, die periodisch oder in Ansprechen auf bestimmte Ereignisse an alle Teilnehmer des V2V-Kommunikationsnetzes verbreitet werden. CRLs sind im Wesentlichen Listen, die sich falsch verhaltende Knoten über eine eindeutige ID identifizieren. Wenn in den CRLs eine Knoten-ID existiert, werden die von der Knoten-ID empfangenen Datenpakete verworfen.
-
Ein viertes Beispiel zum Ermitteln eines böswilligen Verhaltens umfasst das Überprüfen, ob die rundgesendete Nachricht mit physikalischen Gesetzen im Einklang steht. Solche Angriffe sind als Manipulation (Spoofing) bekannt. Manipulation ist ein Typ von Rechendienstverweigerungsangriff, bei dem ein einzelner Funk-Transceiver Nachrichten mit mehreren in die Nachrichten eingeprägten IDs sendet, was den Eindruck verleiht, dass diese jeweiligen Pakete von mehreren Funk-Transceivern oder mehreren Fahrzeugen stammen. Das heißt, bei einem entfernten Fahrzeug, das in der Nähe des Host-Fahrzeugs fährt, müssen Trajektorie, Geschwindigkeit und Beschleunigung mit bekannten physikalischen Gesetzen im Einklang stehen. Wenn das Fahrzeug zu hüpfen scheint oder nicht mit dem synchron ist, was auf der Grundlage der Fahrattribute des Fahrzeugs erwartet wird, dann kann ermittelt werden, dass eine böswillige Verfälschung eines Knotens vorliegt. Eine böswillige Verfälschung eines Knotens kann durch Herstellen eines Verfügbarkeitssektors für das entfernte Fahrzeug ermittelt werden, was bedeutet, dass, wenn ein Fahrzeug mit einer gegebenen Geschwindigkeit oder Beschleunigung entlang einer Trajektorie fährt, aufeinanderfolgende Ortspunkte (aufgetragen an einem Zeit-Raum-Graph) eine glatte Bewegung der Trajektorie liefern sollten. Eine Kraftfahrzeugtrajektorie wird sowohl in einem Zeit- als auch in einem Raumbereich ausgeführt. Mit den Fahreigenschaften des Fahrzeugs kann ein Algorithmus einen Verfügbarkeitssektor des entfernten Fahrzeugs zum Zeitpunkt t + Δ vorhersagen oder konstruieren. Der Verfügbarkeitssektor kann unter Verwendung der folgenden Gleichungen konstruiert werden: v = u + at v2 = u2 + 2as wobei v die Endgeschwindigkeit ist, a die Beschleunigung ist, u die Anfangsgeschwindigkeit ist und s die von dem entfernten Fahrzeug zurückgelegte Distanz ist. 7 zeigt einen Verfügbarkeitssektorgraph, der die Detektion des Manipulationskonzepts darstellt. Jedes Fahrzeug in dem Sektorgraph sendet eine Nachricht durch einen Knoten, die eine ”Ortskoordinate” als Teil der Nachricht aufweist. Ein Detektionsschema umfasst das Verfolgen dieser Ortskoordinaten und das Kennzeichnen dieser hinsichtlich einer Unechtheit, wenn es scheint, dass die Trajektorie nicht mit bekannten physikalischen Gesetzen im Einklang steht. In 7 ist Fahrzeug X das sendende Fahrzeug und ist Fahrzeug A das empfangende Fahrzeug. Die Straße wird in eine Sequenz von gleichmäßig beabstandeten Blöcken im Raum-Zeit-Bereich aufgeteilt. Bei t–3 beginnt Fahrzeug A, Fahrzeug X zu verfolgen. Zum Zeitpunkt t0 weist Fahrzeug A genügend Daten auf der Grundlage der Geschwindigkeit, der Beschleunigung und des Fahrverhaltens von Fahrzeug x auf, um vorherzusagen, dass Fahrzeug x sich in einem vorgesehenen ”Verfügbarkeitssektor” befindet. Wenn sich die Ortskoordinate des Fahrzeugs x zum Zeitpunkt t0 außerhalb dieses ”Verfügbarkeitssektors” befindet, kann das Verhalten von Fahrzeug x als böswillig betrachtet werden.
-
Ein fünftes Beispiel einer Unechtheitsdetektion in der Datennachricht basiert auf einer Entsprechung einer Signalausbreitung. Es können Eigenschaften einer drahtlosen Signalausbreitung eingesetzt werden, um eine Unechtheit zu ermitteln. SINR und RSSI, die aus einem empfangenen Paket an der physikalischen Schicht eines empfangenden Knotens erhalten werden können. Unter Verwendung dieser Eigenschaften wird die ungefähre relative Distanz zwischen den sendenden und empfangenden Knoten erhalten. Das SINR kann zusätzlich zur Signalstärke und anderen Signalqualitätseigenschaften mit einem oder mehreren Schwellenwertparameterbereichen verglichen werden, um zu ermitteln, ob eine böswillige Verfälschung eines Knotens vorliegt. Beispielsweise verringert sich die Signalstärke eines drahtlosen Signals exponentiell mit der Distanz. Wenn das Signal an Signalstärke verliert, kann ermittelt werden, dass das Signal, von dem gedacht wurde, dass es von einem entfernten Fahrzeug in nächster Nähe und der gleichen Richtung wie das Host-Fahrzeug rundgesendet wurde, sich nicht wie erwartet in der Nähe des Host-Fahrzeugs befindet. Es ist auch weithin bekannt, dass sich das SINR verringert, wenn sich die Entfernung zwischen dem Sender und dem Empfänger erhöht. Wenn das SINR zu niedrig ist (d. h. niedriger als ein vorbestimmter Schwellenwertbereich), kann das Datenpaket verdächtig sein und verworfen werden. Alternativ kann das Datenpaket verdächtig sein und verworfen werden, wenn das SINR zu hoch ist (d. h. oberhalb des vorbestimmten Schwellenwertbereichs). Es können verschiedene Signalstärke- und Signalqualitätsmessungen verwendet werden, um zu ermitteln, ob ein Datenpaket von einem entfernten Fahrzeug verworfen werden soll. Zusammengefasst können, wenn die Information in Bezug auf die Trennung zwischen Fahrzeugen nicht mit den durch den sendenden Knoten rundgesendeten Ortskoordinaten übereinstimmt, Pakete von dem sendenden Knoten hinsichtlich Unechtheit gekennzeichnet und verworfen werden.
-
Wenn in Schritt 66 ermittelt wird, dass das entfernte Fahrzeug außerhalb des ermittelten Verfügbarkeitssektors liegt, kann eine böswillige Verfälschung eines Knotens abgeleitet werden und fährt die Routine mit Schritt 64 fort, in dem das Datenpaket verworfen wird. Wenn in Schritt 66 ermittelt wird, dass sich das entfernte Fahrzeug in dem Verfügbarkeitssektor befindet, fährt die Routine mit Schritt 67 fort.
-
In Schritt 67 können verschiedene andere Eigenschaften (z. B. Leistung) analysiert werden, um zu ermitteln, ob ein Datenpaket verworfen werden soll. Weitere Eigenschaftsdaten können gemessen, aufgezeichnet oder berechnet werden, um zu ermitteln, ob ein jeweiliges Datenpaket während dieser Filterstufe verworfen werden soll. Wenn die Eigenschaftsdaten nicht mit dem vorbestimmten Parameter übereinstimmen, hinsichtlich dessen sie bewertet werden, wird das Datenpaket in Schritt 64 verworfen. Wenn die bereitgestellten Eigenschaftsdaten in dem vorbestimmten Parameterbereich liegen, fährt die Routine mit Schritt 68 fort.
-
In Schritt 68 wird das Datenpaket zu der Sicherheitsschicht transferiert, um die digitale Signatur des jeweiligen Datenpakets zu authentifizieren. Die in 5 gezeigte Filterroutine ist lediglich eine Ausführungsform dessen, wie der Filterprozess ausgeführt werden kann. Beispielsweise zeigt 5 ein Verfahren, bei dem jeder der bewerteten Parameter seriell abgearbeitet wird [engl.: ”in performed”], während anzumerken sei, dass die Bewertung aller Parameter in den Schritten 63–67 in einer anderen Reihenfolge ausgeführt werden kann oder parallel ausgeführt werden kann, um die Rechenzeit zu reduzieren.
-
Es ist leicht zu verstehen, dass der Vorteil für eine reduzierte Anzahl von Datenpaketen sorgt, die an die Sicherheitsschicht geliefert werden, indem jene Datenpakete gefiltert werden, die entweder beim Verbessern von V2V-Kommunikationen zwischen den Fahrzeugen unnötig sind oder eine Unechtheit umfassen, entweder absichtlich oder durch einen Fehler. Der Filterprozess verringert die Rechenlast des Sicherheitspakets und reduziert Flaschenhälse. Die Ausführungsformen der Erfindung können wie hierin beschrieben als Software realisiert werden, wodurch die zusätzlichen Kosten, die ansonsten für unabhängige Prozessoren erforderlich wären, nicht erforderlich sind. Ferner verletzt die Kreuzungsschicht keine Standards und existiert sie unabhängig von jeglichem Standard, den das V2V-Kommunikationssystem verwendet.
-
Während bestimmte Ausführungsformen der vorliegenden Erfindung ausführlich beschrieben wurden, erkennen Fachleute, die diese Erfindung betrifft, verschiedene alternative Entwürfe und Ausführungsformen zum Ausführen der Erfindung wie durch die folgenden Ansprüche definiert.