-
QUERVERWEIS AUF VERWANDTE ANMELDUNGEN
-
Diese Anmeldung basiert auf und beansprucht die Priorität der am 22. April 2010 eingereichten
japanischen Patentanmeldung Nr. 2010-98951 , auf deren Offenbarung hiermit vollinhaltlich Bezug genommen wird.
-
HINTERGRUND
-
(Technisches Gebiet der Erfindung)
-
Die vorliegende Erfindung betrifft ein Kommunikationssystem zum Senden und Empfangen von Kommunikationsdaten zusammen mit diesen beigefügten Signaturdaten zur Verifizierung der Kommunikationsdaten.
-
(Stand der Technik)
-
Im Laufe der letzten Jahren wurde erwogen, ein System einzuführen, das dazu ausgelegt ist, Fahrzeuginformation über das eigene Fahrzeug, wie beispielsweise eine Fahrzeugpasition, eine Fahrzeuggeschwindigkeit, eine Fahrtrichtung und einen Betätigungszustand einer Bremse, mit in der Umgebung befindlichen Fahrzeugen im Bereich des eigenen Fahrzeugs durch eine Inter-Vehicle- bzw. Fahrzeug-Fahrzeug-Kommunikation auszutauschen, um den Fahrer über das Risiko einer Kollision mit einem oder mehreren der in der Umgebung befindlichen Fahrzeuge zu benachrichtigen, um so eine bevorstehende Kollision an einer verdeckten Kreuzung zu vermeiden, bevor die Kollision erfolgt. Die
JP 2009-081524 offenbart solch ein System.
-
Bei dem obigen System besteht eine der Hauptaufgaben darin, die Validität von Kommunikationsdaten zu gewährleisten. Bekannt ist eine Lösung, gemäß der ein Verfahren mit einer elektronischen Signatur basierend auf einem Verschlüsselungssystem mit einem öffentlichen Schlüssel angewandt wird.
-
Bei einem Verfahren mit einer elektronischen Signatur werden die Kommunikationsdaten zusammen mit Daten für die elektronische Signatur (nachstehend als Signaturdaten bezeichnet), die ihnen beigefügt sind, übertragen, um so die Verifizierung des öffentlichen Schlüssels zu ermöglichen und zu überprüfen, ob die Kommunikationsdaten mittels eines über eine Hash-Funktion generierten Message Digest geändert worden sind oder nicht.
-
Bei dem Verfahren mit einer elektronischen Signatur auf der Grundlage des Verschlüsselungssystems mit einem öffentlichen Schlüssel ist es jedoch ein großer öffentlicher Schlüssel erforderlich, um eine höhere Zuverlässigkeit zu gewährleisten, was eine höhere Menge an Signaturdaten zur Folge hat.
-
Bei dem obigen Verfahren tritt der folgende Nachteil auf. In Fällen, in denen nur eine verhältnismäßig geringe Menge von Kommunikationsdaten bei jeder Kommunikation gesendet/empfangen werden darf und diese Kommunikationsdaten von der Datenmenge mit den Signaturdaten vergleichbar sind, wird ein Overhead für die Signaturdaten vergrößert, was zu einer Verringerung der Kommunikationseffizienz führt (siehe 8).
-
Insbesondere ist bei dem obigen Fahrzeug-Fahrzeug-Kommunikationssystem ein regelmäßiger Austausch von Daten erforderlich. Ferner wird angenommen, dass die bei jeder Kommunikation auszutauschenden Daten (d. h. die Fahrzeuginformation) eine Datenmenge von 100 Byte aufweisen, während die Signaturdaten eine Datenmenge von wenigstens 200 Byte aufweisen. D. h., wenn die Signaturdaten den auszutauschenden Daten beigefügt werden, wird sich eine Gesamtdatenmenge, die für jede Kommunikation erforderlich ist, auf das Zwei- oder Dreifache erhöhen.
-
Eine Datenmenge, die bei jeder Kommunikation ausgetauscht werden kann (d. h. die Größe eines Kommunikationsrahmens), wird durch eine Baud-Rate und eine zulässige Anzahl von gleichzeitigen Kommunikationspartnern und anderen Bedingungen bestimmt.
-
Ein Radius eines Fahrzeug-Fahrzeug-Kommunikationsbereichs wird in diesem Fall als 200 m angenommen, dessen Mitte sich an einer Verkehrskreuzung von vier Straßen befindet, die jeweils drei Fahrspuren auf einer Seite aufweisen. In der Annahme, dass mehrere Fahrzeuge beabstandet voneinander mit einem mittleren Fahrzeug-Fahrzeug-Abstand von 10 m fahren, sind 20 Fahrzeuge pro Fahrspur innerhalb eines 200 m langen Segments jeder Straße vorhanden. Folglich ergeben drei Fahrspuren auf einer Seite × 2 Fahrspuren auf der anderen Seite × vier Richtungen × 20 Fahrzeuge pro Fahrspur = 480 Fahrzeuge innerhalb des Bereichs mit dem Radius von 200 m, was jedoch verkehrsabhängig sein kann.
-
In der Annahme, dass jede Straße eine Hochgeschwindigkeitsstraße ist, auf welcher die Fahrzeuggeschwindigkeit 30 m/s beträgt, und wenn ein potentieller Datenverlust aufgrund von Kommunikationsfehlern oder dergleichen berücksichtigt wird, ist ein Datenübertragungszyklus vorzugsweise auf kleiner oder gleich 100 ms beschränkt, so dass der Effekt eines Datenverlusts auf die Kommunikationssteuerung zulässig ist. Ferner kann angenommen werden, dass die Baud-Rate bei ungefähr 10 Mbit/s liegt, was jedoch von einer zugeordneten Bandbreite der Funkwellen abhängt.
-
Unter solch einer Bedingung kann eine Menge von Daten, die bei jeder Kommunikation übertragen werden kann, über die folgende Gleichung bestimmt werden. 10 × 106 [bit/s] × 0.1 [s]/480 [Fahrzeuge] = 2083 [bit]
-
D. h., selbst wenn kein Übertragungsverlust vorliegt, kann die Datenmenge einen Wert von 260 Byte nicht überschreiten. Ferner führt eine zunehmende Paketdichte zu einer signifikanten Verringerung der Kommunikationseffizienz bedingt durch das häufige Auftreten von Paketkollisionen. Folglich kann behauptet werden, dass die Datenmenge tatsächlich auf einen Wert von unter ungefähr 30% von 260 Byte beschränkt wird.
-
D. h. ein Nachteil des obigen Fahrzeug-Fahrzeug-Kommunikationssystems liegt darin, dass es, da die Signaturdaten ungefähr eine Größe von 200 Byte aufweisen, wahrscheinlich nicht möglich ist, auch nur 100 Byte Daten zu übertragen, die ursprünglich übertragen werden sollten.
-
In Anbetracht der obigen Argumentation sind die beispielhaften Ausführungsformen der vorliegenden Erfindung darauf ausgerichtet, ein Kommunikationssystem bereitzustellen, das dazu ausgelegt ist, eine signifikante Verringerung des Durchsatzes von Kommunikationsdaten aufgrund der zusätzlichen Signaturdaten zu verhindern.
-
ZUSAMMENFASSUNG
-
Gemäß einer beispielhaften Ausgestaltung der vorliegenden Erfindung wird ein Kommunikationssystem zum Senden und Empfangen von Kommunikationsdaten zusammen mit diesen beigefügten Signaturdaten zur Verifizierung der Kommunikationsdaten bereitgestellt.
-
Ein sendeseitiger Anschluss des Systems erzeugt die Signaturdaten für jede Einheit von Kommunikationsdaten bestehend aus M (positive ganze Zahl, wobei M ≥ 2, wobei X ≥ Y für ganze Zahlen X, Y bedeutet, dass „X größer oder gleich Y ist”) Teilen von zu sendenden Kommunikationsdaten, teilt die erzeugten Signaturdaten in N (positive ganze Zahl, wobei M ≥ N ≥ 2) Teile von geteilten Signaturdaten und sendet die N Teile von geteilten Signaturdaten, die N entsprechenden Teilen von Kommunikationsdaten beigefügt sind.
-
Ein empfangsseitiger Anschluss des Systems stellt jede Einheit von Kommunikationsdaten aus M Teilen von empfangenen Kommunikationsdaten wieder her, stellt die Signaturdaten für die wiederherstellte Einheit von Kommunikationsdaten aus N Teilen von empfangenen geteilten Signaturdaten, welche den empfangenen Kommunikationsdaten beigefügt sind, wieder her, und verifiziert die wiederherstellte Einheit von Kommunikationsdaten auf der Grundlage der wiederherstellten Signaturdaten, um so die Kommunikationsdaten der wiederherstellten Einheit von Kommunikationsdaten zu verifizieren.
-
Bei dem Kommunikationssystem dieser Ausführungsform werden die Signaturdaten zur Verifizierung der Einheit von Kommunikationsdaten nicht in einer nicht geteilten Form gesendet, sondern derart in einer geteilten Form, dass N Teile von geteilten Signaturdaten N entsprechenden Teilen von Kommunikationsdaten beigefügt übertragen werden. Hierdurch kann eine signifikante Erhöhung der Datenmenge von zusätzlichen Daten in jedem Kommunikationsrahmen zur Verifizierung der Kommunikationsdaten verhindert werden.
-
Folglich wird es möglich, das elektronische Signatur erfahren zu realisieren, ohne den Durchsatz der Kommunikationsdaten signifikant zu verringern, so dass sowohl der Datendurchsatz als auch das Sicherheitsniveau, das erforderlich ist, damit das Kommunikationssystem sicher ist, gewährleistet werden.
-
Gemäß einer Ausführungsform, bei welcher der sendeseitige Anschluss die Signaturdaten für jede Einheit von Kommunikationsdaten erzeugt (M Teile von Kommunikationsdaten) und die erzeugten Signaturdaten (N Teile von geteilten Signaturdaten) in Echtzeit übertragen muss, können die Signaturdaten (N Teile von geteilten Signaturdaten) gesendet werden, nachdem die Einheit von Kommunikationsdaten für die Signaturdaten (oder für welche die Signaturdaten erzeugt werden) gesendet worden ist, da die Signaturdaten nicht parallel zur Einheit von Kommunikationsdaten für die Signaturdaten gesendet werden können.
-
Folglich können, am empfangsseitigen Anschluss, die empfangene Einheit von Kommunikationsdaten und folglich die empfangenen Kommunikationsdaten nicht verifiziert werden, sofern nicht alle der N Teile von geteilten Signaturdaten empfangen worden sind. Gemäß einer Ausführungsform, bei der verhindert wird, dass die Kommunikationsdaten verwendet werden, bevor die Verifikation der empfangen Einheit von Daten abgeschlossen ist, ist es nicht möglich, Echtzeitsteuerungen und Echtzeitprozesse anzuwenden, welche die verhinderten Kommunikationsdaten nutzen.
-
Gemäß einer Ausführungsform, die vorzugsweise für Echtzeitkommunikationen verwendet wird, bei welchen die vom sendeseitige Anschluss zu sendenden Kommunikationsdaten einen variablen Wert aufweisen, der sich über die Zeit unter einer vorbestimmten Bedingung ändert, bestimmt der empfangsseitige Anschluss, dass nicht verifizierte empfangene Kommunikationsdaten gültig sind, wenn der in den nicht verifizierten empfangenen Kommunikationsdaten enthaltene variable Wert innerhalb eines vorbestimmten Bereichs liegt, der auf der Grundlage eines in verifizierten empfangenen Kommunikationsdaten enthaltenen variablen Werts und der vorbestimmten Bedingung erwartet wird. Die nicht verifizierten empfangenen Kommunikationsdaten sind Kommunikationsdaten, die mit den wiederhergestellten Signaturdaten nicht für gültig verifiziert worden sind, und die verifizierten empfangenen Kommunikationsdaten sind Kommunikationsdaten, die mit den wiederhergestellten Signaturdaten für gültig verifiziert worden sind.
-
D. h., bei dem Kommunikationssystem der obigen Ausführungsform können dann, wenn die nicht verifizierten Kommunikationsdaten mit den verifizierten Kommunikationsdaten übereinstimmen, die nicht verifizierten Kommunikationsdaten für gültig erachtet werden, so dass die Echtzeitsteuerungen und Echtzeitprozesse parallel zur Verifizierung der Kommunikationsdaten ausgeführt werden können. Eine höhere Sicherheit kann ebenso gewährleistet werden.
-
Gemäß einer Ausführungsform, bei welcher der sendeseitige Anschluss und der empfangsseitige Anschluss beide in jedem von mehreren Fahrzeugen befestigt sind, so dass die Fahrzeuge miteinander kommunizieren können, und die vom sendeseitigen Anschluss zu erzeugenden Kommunikationsdaten wenigstens Positionsinformation, die eine Position eines Fahrzeugs anzeigen, in welchem der sendeseitige Anschluss befestigt ist, und Korrekturinformation aufweisen, die anzeigt, ob eine Positionskorrektur, bei welcher die Positionsinformation korrigiert wird, um mit Karteninformation übereinzustimmen, die im Voraus vorbereitet wird, ausgeführt worden ist oder nicht, erachtet der empfangsseitige Anschluss die in den nicht verifizierten empfangenen Kommunikationsdaten enthaltene Positionsinformation für gültig, wenn die Korrekturinformation anzeigt, dass die Positionsinformation korrigiert worden ist, auch wenn die Positionsinformation (d. h. die Fahrzeuginformation) außerhalb eines vorbestimmten Bereichs liegt, der auf der Grundlage der in den verifizierten empfangenen Kommunikationsdaten enthaltenen Positionsinformation und der vorbestimmten Bedingung erwartet wird.
-
Die vorbestimmte Bedingung kann einen oberen Grenzwert einer Verschiebung der Fahrzeugposition sein, der auf der Grundlage der Fahrzeuggeschwindigkeit und eines Sendezyklus der Kommunikationsdaten erwartet werden kann.
-
Wenn die aus der autonome Navigation erfasste Positionsinformation durch ein bekanntes Kartenabgleichsverfahren korrigiert worden ist, kann die Verschiebung der Fahrzeugposition den Bereich, der auf der Grundlage der vorbestimmten Bedingung erwartet werden kann, deutlich überschreiten. Folglich kann die Positionsinformation dann, wenn bekannt ist, dass die Positionsinformation korrigiert worden ist, genutzt und nicht unnötigerweise verworfen werden.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
In den beigefügten Zeichnungen zeigt:
-
1 schematisch ein Blockdiagramm eines Kommunikationssystems mit einer Fahrzeug-Vorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung;
-
2 schematisch einen Kommunikationsrahmen zur Verwendung im Kommunikationssystem;
-
3 schematisch Speicherbereiche für verschiedene Arten von Daten;
-
4 schematisch ein Ablaufdiagramm eines Sendeprozesses, der von einem Prozessor in der Fahrzeug-Vorrichtung ausgeführt wird;
-
5 schematisch Kommunikationsrahmen, die im Sendeprozess zu erzeugen sind;
-
6 schematisch ein Ablaufdiagramm eines Empfangsprozesses, der vom Prozessor in der Fahrzeug-Vorrichtung ausgeführt wird;
-
7 schematisch ein Ablaufdiagramm eines Verifizierungsprozesses im Empfangsprozess; und
-
8 schematisch einen Kommunikationsrahmen zur Verwendung in einem herkömmlichen Kommunikationssystem.
-
BESCHREIBUNG DER BESTIMMTEN AUSFÜHRUNGSFORMEN
-
Die vorliegende Erfindung wird nachstehend unter Bezugnahme auf die beigefügten Zeichnungen näher beschrieben. Gleiche Elemente sind durchgehend mit den gleichen Bezugszeichen versehen.
-
1 zeigt ein Blockdiagramm eines Kommunikationssystems mit einer In-Vehicle- bzw. Fahrzeug-Vorrichtung gemäß einer Ausführungsform der vorliegenden Erfindung.
-
Das Kommunikationssystem der vorliegenden Ausführungsform weist, wie in 1 gezeigt, mehrere Fahrzeug-Vorrichtungen 1 auf, die jeweils in einem entsprechenden Fahrzeug C befestigt sind und drahtlos miteinander kommunizieren können.
-
Die Fahrzeug-Vorrichtung 1 eines Eigenfahrzeugs C tauscht Fahrzeuginformation des Eigenfahrzeugs, wie beispielsweise eine Position, eine Geschwindigkeit, eine Beschleunigung, eine Winkelgeschwindigkeit und Korrekturinformation für die Position, mit anderen Fahrzeug-Vorrichtungen 1 von in der Umgebung befindlichen Fahrzeugen C um das Eigenfahrzeug herum (wie beispielsweise innerhalb eines Bereichs mit einem Radius von 200 m mit dem Eigenfahrzeug als Mittelpunkt) über eine Fahrzeug-Fahrzeug-Kommunikation aus, um so Kollisionen mit den in der Umgebung befindlichen Fahrzeugen zu vermeiden.
-
(Kommunikationsrahmen)
-
Nachstehend wird ein im Kommunikationssystem der vorliegenden Ausführungsform zu sendender und zu empfangender Kommunikationsrahmen unter Bezugnahme auf die 2 näher beschrieben.
-
Jeder Kommunikationsrahmen weist, wie in 2 gezeigt, einen Header, einen Datenabschnitt (Payload) und einen Footer auf. Der Header und der Footer sind bekannt und in Übereinstimmung mit einem bestimmten Kommunikationsprotokoll zur Verwendung im Kommunikationssystem definiert. Der Header weist wenigstens Information zur Erkennung einer Quelle des Kommunikationsrahmens auf.
-
Der Datenabschnitt weist Kommunikationsdaten, welche die Fahrzeuginformation umfassen, und zusätzliche Daten, die zur Verifizierung der Kommunikationsdaten verwendet werden, auf.
-
Für jeden Rahmen weisen die zusätzlichen Daten einen Signatur-Header und einen Teil von geteilten Signaturdaten auf. M (positive ganze Zahl, wobei M ≥ 2) Teile von geteilten Signaturdaten werden erhalten, indem die Signaturdaten in M Teile geteilt werden, wobei die Signaturdaten für jede Einheit von Kommunikationsdaten erzeugt werden, die aus M Teilen von Kommunikationsdaten bestehen. Dieser Signatur-Header weist Information auf, die zur Wiederherstellung der ursprünglichen Signaturdaten aus den M Teilen von geteilten Signaturdaten verwendet werden.
-
Der Signatur-Header weist eine Kennung zur Erkennung eines Typs eines Typs des Signaturobjekts (wie beispielsweise ein Zertifikat oder Daten), eine Signaturnummer k (k = 1, 2, ...) zur Erkennung, zu welchen Signaturdaten die geteilten Signaturdaten gehören, und eine Blocknummer i (i = 1, 2, ..., M) zum Anzeigen, wo die vorliegenden geteilten Signaturdaten in den durch die Signaturnummer k erkannten Signaturdaten in absteigender Reihenfolge vorhanden sind.
-
(Fahrzeug-Vorrichtung)
-
Die Fahrzeug-Vorrichtung 1 weist, wie in 1 gezeigt, auf: einen Positionsdetektor 2, der eine momentane Position des Eigenfahrzeugs erfasst, einen Zustandsdetektor 3, der einen Fahrzeugzustand des Eigenfahrzeugs über verschiedene im Detektor 3 enthaltene Sensoren erfasst, wie beispielsweise einen Geschwindigkeitssensor, einen Beschleunigungssensor und einen Winkelgeschwindigkeitssensor (die Position, die Geschwindigkeit, die Beschleunigung und die Winkelgeschwindigkeit sind (Zustands-)Variablen, deren Werte sich über die Zeit ändern, wie beispielsweise während einer Fahrt des Eigenfahrzeugs), einen Speicher 4, der verschiedene Information speichert, die wenigstens Karteninformation umfasst, und eine Mensch-Maschine-Schnittstelle (HIF) 5, die beispielsweise ein Bedienfeld zur Eingabe verschiedener Befehle durch einen Benutzer, eine Anzeige zum Anzeigen einer Karte und verschiedener Information und einen Lautsprecher zur Erzeugung einer Sprachführung oder eines akustischen Alarms aufweist.
-
Die Fahrzeug-Vorrichtung 1 weist ferner auf: eine Funkkommunikationseinheit 6 zur drahtlosen Kommunikation mit den anderen Fahrzeugen, einen Kryptographie-Prozessor 7 zur Erzeugung der Signaturdaten zur Verifizierung der über die Funkkommunikationseinheit 6 zu sendenden Kommunikationsdaten und zum Ausführen eines Verifizierungsprozesses zur Verifizierung der über die Funkkommunikationseinheit 6 empfangenen Kommunikationsdaten, und einen Prozessor 8 zum Ausführen verschiedener Prozesse unter Verwendung der Einheiten 2 bis 7, und einen Fahrzeug-Controller 9 zum Ausführen verschiedener Fahrzeugsteuerprozesse, wie beispielsweise einer Bremssteuerung, in Übereinstimmung mit Befehlen vom Prozessor 8.
-
Der Positionsdetektor 2 erfasst eine momentane Position, eine momentane Fahrrichtung und dergleichen des Eigenfahrzeugs auf der Grundlage von Funkwellen, die von GPS-Satelliten empfangen werden. Komplementär zur GPS-Navigation erfasst der Positionsdetektor 2 ferner die momentane Position bei der sogenannten autonomen Navigation auf der Grundlage einer Fahrstrecke, die über die Beschleunigung, die Winkelgeschwindigkeit und dergleichen gewonnen wird, die vom Zustandsdetektor 3 erfasst werden, und einer Fahrtrichtung, die über Ausgangssignale eines Erdmagnetismussensors gewonnen wird. Es sollte beachtet werden, dass sich die GPS-Navigation und die autonome Navigation gegenseitig ergänzen.
-
Die Funkkommunikationseinheit 6 überträgt einen Kommunikationsrahmen gemäß der 2 zu Fahrzeugvorrichtungen 1 anderer Fahrzeuge C. Insbesondere erzeugt die Funkkommunikationseinheit 6 auf einen Empfang von Daten vom Prozessor 8 folgend den Kommunikationsrahmen mit den Daten (Payload) vom Prozessor 8 und dem Header und dem Footer, welche den Daten beigefügt sind, und sendet diesen anschließend aus. Demgegenüber meldet die Funkkommunikationseinheit 6 auf einen Empfang des Kommunikationsrahmens von anderen Fahrzeug-Vorrichtungen folgend den Empfang des Rahmens an den Prozessor 8.
-
Der Kryptographie-Prozessor 7 erzeugt Signaturdaten, die einen öffentlichen Schlüssel, ein elektronisches Zertifikat zur Verifizierung des öffentlichen Schlüssels und verschlüsselte Daten, die erhalten werden, indem ein Message Digest der zu sendenden Kommunikationsdaten mit einem privaten Schlüssel verschlüsselt wird, aufweisen, und führt ferner einen ersten und einen zweiten Verifizierungsprozess aus. Bei dem ersten Verifizierungsprozess verifiziert der Kryptographie-Prozessor 7 den öffentlichen Schlüssel unter Verwendung des elektronischen Zertifikats. Bei dem zweiten Verifizierungsprozess verifiziert der Kryptographie-Prozessor 7 die Kommunikationsdaten (d. h. überprüft, ob die Kommunikationsdaten geändert bzw. manipuliert worden sind oder nicht), indem er einen Message Digest, der erhalten wird, indem die verschlüsselten Daten mit dem öffentlichen Schlüssel entschlüsselt werden, der im ersten Verifizierungsprozess für gültig verifiziert worden ist, mit einem Message Digest vergleicht, der aus den empfangenen Kommunikationsdaten extrahiert wird.
-
Der Prozessor 8 kann ein Mikrocomputer bekannter Bauart mit einer CPU, einem ROM und einem RAM sein und führt als Navigationsvorrichtung in Übereinstimmung mit Befehlen, die über die HIF 5 eingegeben werden, einen navigationsbezogenen Prozess zum Einstellen oder Herstellung eines Fahrtwegs aus und zeigt oder führt anschliellend entlang der eingestellten Fahrtroute unter Verwendung einer vom Positionsdetektor 2 des Eigenfahrzeugs erfassten momentanen Position und im Speicher 4 gespeicherter Karteninformation. Ferner führt der Prozessor 8 einen Sendeprozess zum Senden der Fahrzeuginformation des Eigenfahrzeugs machstehend als „Eigenfahrzeuginformation” bezeichnet) über die Funkkommunikationseinheit 6 und einen Empfangsprozess zum Empfangen der Fahrzeuginformation von den anderen Fahrzeugen (nachstehend als „Fremdfahrzeuginformation” bezeichnet) über die Funkkommunikationseinheit 6 aus und schätzt anschließend einen Grad eines Kollisionsrisikos mit den anderen Fahrzeugen auf der Grundlage der Eigenfahrzeuginformation und der Fremdfahrzeuginformation.
-
Der navigationsbezogene Prozess umfasst einen Positionsinformationskorrekturprozess (Kartenabgleichsprozess), bei welchem der Prozessor 8 regelmäßig oder periodisch Positionsinformation vom Positionsdetektor 2 erfasst, die erfasste Information mit der im Speicher 4 gespeicherten Karteninformation vergleicht und anschließend die Positionsinformation derart korrigiert, dass das Eigenfahrzeug auf einer Straße der Karte positioniert wird.
-
Das RAM des Prozessors 8 weist, wie in 3 gezeigt, einen Sendeverarbeitungsspeicherbereich und einen Empfangsverarbeitungsspeicherbereich bzw. Empfangsverarbeitungsspeicherbereiche auf, die im RAM reserviert sind.
-
Der Sendeverarbeitungsspeicherbereich weist einen sendeseitigen Speicherbereich für eine Einheit von Kommunikationsdaten zur Speicherung einer Einheit von Kommunikationsdaten bestehend aus M Teilen von zu sendenden Kommunikationsdaten und einen sendeseitigen Speicherbereich für Signaturdaten zur Speicherung der vom Kryptographie-Prozessor 7 erzeugten Signaturdaten für die Einheit von Kommunikationsdaten auf. Der sendeseitige Speicherbereich für Signaturdaten weist M Blöcke zur aufeinander folgenden Speicherung von M Teilen von geteilten Signaturdaten auf.
-
D. h., der sendeseitige Speicherbereich für eine Einheit von Kommunikationsdaten weist M Blöcke zur sukzessiven Speicherung von M Teilen von Kommunikationsdaten auf, wo die M Teile von Kommunikationsdaten eine Einheit von Kommunikationsdaten bilden, und der sendeseitige Speicherbereich für Signaturdaten weist M Blöcke zur sukzessiven Speicherung von M Teilen von geteilten Signaturdaten auf, wobei die M Teile von geteilten Signaturdaten einen Teil von Signaturdaten bilden, der für die Einheit von Kommunikationsdaten erzeugt wird.
-
Die Funkkommunikationseinheit 6 reserviert im RAM einen Empfangsverarbeitungsspeicherbereich für jeden einer maximalen Anzahl von gleichzeitigen Kommunikationspartnern (nachstehend als „zulässige Kommunikationsanzahl” bezeichnet). Jeder Empfangsverarbeiturigsspeicherbereich weist auf: zwei empfangsseitige Speicherbereiche für eine Einheit von Kommunikationsdaten, die jeweils dem sendeseitigen Speicherbereich für eine Einheit von Kommunikationsdaten gleichen, einen empfangsseitigen Speicherbereich für Signaturdaten gleich dem sendeseitigen Speicherbereich für Signaturdaten und einen Zertifikat-Speicherbereich zur Speicherung eines öffentlichen Schlüssels, der vom Kryptographie-Prozessor 7 für gültig verifiziert worden ist, und eines elektronischen Zertifikats für den öffentlichen Schlüssel.
-
(Sendeprozess)
-
Nachstehend wird ein von der CPU des Prozessors 8 auszuführender Sendeprozess unter Bezugnahme auf das In der 4 gezeigte Ablaufdiagramm beschrieben.
-
Der Sendeprozess wird wiederholt in einem festen Zeitintervall (bei der vorliegenden Ausführungsform 100 ms) gestartet, während der Motor läuft. Vor dem ersten Start des Sendeprozesses wird der Parameter i zur Verwendung in dem Prozess auf 1 initialisiert.
-
Jedes Mal, wenn der Prozess gestartet wird, erfasst der Prozessor 8 in Schritt S110 die Fahrzeuginformation (bei der vorliegenden beispielhaften Ausführungsform eine Position, eine Geschwindigkeit, eine Beschleunigung, eine Winkelgeschwindigkeit und Korrekturinformation des Eigenfahrzeugs) vom Positionsdetektor 2 und vom Zustandsdetektor 3, erzeugt der Prozessor 8 Kommunikationsdaten aus der Fahrzeuginformation und speichert der Prozessor 8 die erzeugten Kommunikationsdaten anschließend im i-ten Block des sendeseitigen Speicherbereichs für eine Einheit von Kommunikationsdaten.
-
Hierauf folgend bestimmt der Prozessor 8 in Schritt S120, ob Signaturdaten zum Senden im sendeseitigen Speicherbereich für Signaturdaten gespeichert sind oder nicht.
-
Wenn keine Signaturdaten im sendeseitigen Speicherbereich für Signaturdaten gespeichert sind, schreitet der Prozess zu Schritt S130 voran, in welchem die in Schritt S110 erfassten Kommunikationsdaten zusammen mit diesen beigefügten Dummy-Daten (die im Voraus vorbereitet werden) über die Funkkommunikationseinheit 6 gesendet werden. Anschließend schreitet der Prozess zu Schritt S150 voran. Da M Teile von Kommunikationsdaten erforderlich sind, um die Signaturdaten zu erzeugen, sind während eine Zeitspanne vom ersten Start bis zum M-ten Start des Sendeprozesses (d. h. während einer Zeitspanne T0 bis T1) keine Signaturdaten zum Senden im sendeseitigen Speicherbereich für Signaturdaten vorhanden.
-
Wenn die Signaturdaten im sendeseitigen Speicherbereich für Signaturdaten gespeichert sind, schreitet der Prozess zu Schritt S140 voran, in welchem die in Schritt S110 erfassten Kommunikationsdaten und die zusätzlichen Daten, die aus den geteilten Signaturdaten erzeugt werden, die im i-ten Block im sendeseitigen Speicherbereich für Signaturdaten gespeichert werden, über die Funkkommunikationseinheit 6 gesendet werden. Anschließend schreitet der Prozess zu Schritt S150 voran. Da der Kommunikationsrahmen unmittelbar nach den Schritten S130, S140 für jeden Sendeprozess zu senden ist, stimmt der Kommunikationsrahmensendezyklus im Wesentlichen mit dem Startzyklus des Prozesses überein.
-
In Schritt S150 wird der Parameter i inkrementiert (i ← i + 1). Anschließend wird in Schritt S160 bestimmt, ob der Parameter i größer als M ist oder nicht, wobei M eine Teilungszahl der Signaturdaten ist. Wenn der Parameter i kleiner oder gleich M ist, wird bestimmt, dass ein voller Satz von M Teilen von Kommunikationsdaten, der zur Erzeugung der Signaturdaten erforderlich ist, bis jetzt noch nicht vorbereitet worden ist, woraufhin der Prozess unmittelbar beendet wird.
-
Wenn der Parameter i größer als M ist, kann berücksichtigt werden, dass ein voller Satz von M Teilen von Kommunikationsdaten, der erforderlich ist, um Signaturdaten zu erzeugen, vorbereitet worden ist, woraufhin der Prozess zu Schritt S170 voranschreitet, in welchem die Signaturdaten vom Kryptographie-Prozessor 7 für eine Einheit von Kommunikationsdaten bestehend aus M Teilen von Kommunikationsdaten erzeugt wird, die im sendeseitigen Speicherbereich für eine Einheit von Kommunikationsdaten gespeichert werden. Die erzeugten Signaturdaten werden im sendeseitigen Speicherbereich für Signaturdaten gespeichert.
-
Im anschließenden Schritt S180 wird der Parameter i auf 1 gesetzt, woraufhin der Prozess beendet wird.
-
5 zeigt schematisch Kommunikationsrahmen, die bei jedem Sendeprozess zu senden sind.
-
Wenn der Sendeprozess das erste Mal gestartet wird (T0), sind, wie in 5 gezeigt, keine Signaturdaten im sendeseitigen Speicherbereich für Signaturdaten gespeichert. Folglich werden dem ersten bis M-ten Kommunikationsrahmen (Kommunikationsdaten 1-M in der 5) Dummy-Daten beigefügt, bis die ersten Signaturdaten 1 erzeugt werden (T0–T1).
-
Nach dem Senden des M-ten Kommunikationsrahmens (T1) werden die Signaturdaten 1 für die M Teile von Kommunikationsdaten 1 bis M, die eine Einheit von Kommunikationsdaten bilden, erzeugt. Die erzeugten Signaturdaten 1 für die Einheit von Kommunikationsdaten werden in einer geteilten Form im sendeseitigen Speicherbereich für Signaturdaten gespeichert. Folglich werden M Teile von geteilten Signaturdaten 1-1 bis 1-M, die erhalten werden, indem die Signaturdaten 1 in M Teile geteilt werden, nacheinander dem (M + 1)-ten bis 2M-ten Kommunikationsrahmen (Kommunikationsdaten M + 1 bis 2M) beigefügt, bis die anschließenden Signaturdaten 2 erzeugt werden (T1–T2).
-
In gleicher Weise werden im anschließenden Sendeprozess M Teile von geteilten Signaturdaten k – 1 bis k – M, die erhalten werden, indem die Signaturdaten k in M Teile geteilt werden, nacheinander gesendet, und zwar dem (k·M + 1)-ten bis (k + 1)·M-ten Kommunikationsrahmen beigefügt (k = 1, 2, ...).
-
(Empfangsprozess)
-
Nachstehend wird ein von der CPU des Prozessors 8 auszuführender Empfangsprozess unter Bezugnahme auf das in der 6 gezeigte Ablaufdiagramm beschrieben.
-
Der Prozess wird jedes Mal gestartet, wenn der Kommunikationsrahmen von der Fahrzeug-Vorrichtung 1 empfangen wird, während der Fahrzeugmotor läuft. Ein Gültigkeitsflag, das anzeigt, ob die empfangenen Kommunikationsdaten mit den Signaturdaten für gültig verifiziert worden sind oder nicht, wird bei dem Prozess verwendet, wobei das Flag während des nachstehend noch beschriebenen Verifizierungsprozesses gesetzt/gelöscht (EIN/AUS) wird. Bevor der Empfangsprozess das erste Mal gestartet wird, wird das Gültigkeitsflag gelöscht (AUS) (nicht verifiziert).
-
Sobald der Prozess gestartet ist, erkennt der Prozessor 8 in Schritt S210 eine Quelle des empfangenen Kommunikationsrahmens aus dem Header und bestimmt anschließend in Schritt S220, ob der Empfangsverarbeitungsspeicherbereich für die erkannte Quelle (nachstehend als „Kommunikationspartner” bezeichnet) reserviert worden ist oder nicht. Wenn er nicht reserviert worden ist, schreitet der Prozess zu Schritt S230 voran. Wenn er reserviert worden ist, schreitet der Prozess zu Schritt S260 voran.
-
In Schritt S230 bestimmt der Prozessor 8, indem er auf Information in diesem Signatur-Header (die Blocknummer) der zusätzlichen Daten Bezug nimmt, ob die empfangenen Kommunikationsdaten und die empfangenen geteilten Signaturdaten von den entsprechenden führenden Blöcken für die Einheit von Kommunikationsdaten und die Signaturdaten stammen. Ist dies nicht der Fall, wird der Prozess unmittelbar beendet und werden die empfangenen Kommunikationsdaten und die empfangenen zusätzlichen Daten anschließend verworfen.
-
Wenn die empfangenen Kommunikationsdaten und die empfangenen geteilten Signaturdaten von den entsprechenden führenden Blöcken für die Einheit von Kommunikationsdaten und die Signaturdaten stammen, reserviert der Prozessor 8 in Schritt S240 einen Empfangsverarbeitungsspeicherbereich für den Kommunikationspartner und setzt der Prozessor 8 anschließend den Parameter j auf 1. Der Parameter j wird verwendet, um einen Block in sowohl dem empfangsseitigen Speicherbereich für eine Einheit von Kommunikationsdaten als auch dem empfangsseitigen Speicherbereich für Signaturdaten zu bestimmen. Anschließend schreitet der Prozess zu Schritt S260 voran.
-
Nachstehend beziehen sich der empfangsseitige Speicherbereich für eine Einheit von Kommunikationsdaten und der empfangsseitige Speicherbereich für Signaturdaten auf den empfangsseitigen Speicherbereich für eine Einheit von Kommunikationsdaten und den empfangsseitigen Speicherbereich für Signaturdaten im Empfangsverarbeitungsspeicherbereich, der für den Kommunikationspartner reserviert wird, der in Schritt S210 als Quelle erkannt wird.
-
In Schritt S260 speichert der Prozessor 8 die empfangenen Kommunikationsdaten im j-ten Block des empfangsseitigen Speicherbereichs für eine Einheit von Kommunikationsdaten und die geteilten Signaturdaten in den empfangenen zusätzlichen Daten im j-ten Block des empfangsseitigen Speicherbereichs für Signaturdaten.
-
Anschließend wird in Schritt S270 überprüft, ob das Gültigkeitsflag gesetzt ist (EIN) oder nicht (AUS). Wenn das Flag gesetzt ist (EIN), schreitet der Prozess zu Schritt S280 voran. Wenn das Flag nicht gesetzt ist (AUS), schreitet der Prozess zu Schritt S300 voran.
-
In Schritt S280 wird überprüft, ob die empfangenen Kommunikationsdaten konsistent sind oder nicht. Insbesondere wird bestimmt, dass die empfangenen Kommunikationsdaten konsistent sind, wenn eine Verschiebung zwischen Positionsinformation, die in den empfangenen Kommunikationsdaten (insbesondere der Fahrzeuginformation) enthalten ist, und Positionsinformation, die in den neusten empfangenen Kommunikationsdaten enthalten ist, die bereits mit den Signaturdaten für gültig verifiziert worden sind, innerhalb eines vorbestimmten erwarteten Bereichs liegt. Wenn die Verschiebung außerhalb des erwarteten Bereichs liegt, wird bestimmt, dass die empfangenen Kommunikationsdaten inkonsistent sind. Wenn die Korrekturinformation, die in den empfangenen Kommunikationsdaten (nicht verifiziert) enthalten ist, jedoch anzeigt, dass die Positionsinformation korrigiert worden sind, kann berücksichtigt werden, dass die empfangenen Kommunikationsdaten konsistent sind, auch wenn die Verschiebung außerhalb des erwarteten Bereichs liegt.
-
Der erwartete Bereich kann in Übereinstimmung mit der Fahrzeuggeschwindigkeit des Kommunikationspartners und dem Übertragungszyklus des Kommunikationsrahmens und dergleichen variable eingestellt werden.
-
Wenn bestimmt wird, dass die empfangenen Kommunikationsdaten inkonsistent sind, schreitet der Prozess zu Schritt S300 voran. Wenn bestimmt wird, dass die Kommunikationsdaten konsistent sind, schreitet der Prozess zu Schritt S290 voran, in welchem der Prozessor 8 ein Kollisionsrisiko mit anderen Fahrzeugen auf der Grundlage der empfangenen Kommunikationsdaten (insbesondere der Fahrzeuginformation) schätzt und anschließend auf der Grundlage der Schätzung einen Kollisionsvermeidurigsprozess zur Vermeidung potentieller Kollisionen ausführt, bei dem verschiedene Steuervorgänge, wie beispielsweise die Generierung eines Alarms, ein automatisches Bremsen oder dergleichen, ausgeführt werden. Anschließend schreitet der Prozess zu Schritt S300 voran.
-
In Schritt S300 wird der Parameter j inkrementiert (j ← j + 1). Anschließend wird in Schritt S310 bestimmt, ob der Parameter j größer als M ist oder nicht, wobei jede Einheit von Kommunikationsdaten aus M Teilen von Kommunikationsdaten aufgebaut ist (M ist ebenso die Teilungszahl der Signaturdaten). Wenn der Parameter j kleiner oder gleich M ist, wird bestimmt, dass die Einheit von Kommunikationsdaten noch nicht aus M Teilen von empfangenen Kommunikationsdaten wiederhergestellt worden ist, und dass auch die Signaturdaten noch nicht aus M Teilen von empfangenen geteilten Signaturdaten wiederhergestellt worden sind. Anschließend wird der Prozess unmittelbar beendet.
-
Wenn der Parameter j größer als M ist, kann berücksichtigt werden, dass die Einheit von Kommunikationsdaten bereits aus M Teilen von empfangenen Kommunikationsdaten wiederhergestellt worden ist, und dass auch die Signaturdaten bereits aus M Teilen von empfangenen geteilten Signaturdaten wiederhergestellt worden sind. Anschließend schreitet reitet der Prozess zu Schritt S320 voran, in welchem der Verifizierungsprozess vom Kryptographie-Prozessor 7 ausgeführt wird, unter Verwendung der wiederhergestellten Signaturdaten, die im empfangsseitigen Speicherbereich für Signaturdaten gespeichert werden, und der wiederhergestellten Einheit von Kommunikationsdaten, die im empfangsseitigen Speicherbereich für eine Einheit von Kommunikationsdaten gespeichert wird, der momentan nicht gewählt wird, um die Kommunikationsdaten zu speichern.
-
Anschießend wird in Schritt S330 der empfangsseitige Speicherbereich für eine Einheit von Kommunikationsdaten, welcher die wiederhergestellte Einheit von Kommunikationsdaten aufweist, die im Verifizierungsprozess in Schritt S320 zu verwenden ist, als nächstes gewählt, um die empfangenen Kommunikationsdaten zu speichern. In Schritt S340 wird der Parameter j auf 1 gesetzt, woraufhin die Verarbeitung beendet wird.
-
Genauer gesagt, die anschließend empfangenen Kommunikationsdaten werden in dem anschließend gewählten Speicherbereich der zwei empfangsseitigen Speicherbereiche für eine Einheit von Kommunikationsdaten gespeichert werden, und die anschließend empfangenen geteilten Signaturdaten werden im empfangsseitigen Speicherbereich für Signaturdaten gespeichert werden.
-
Der Verifizierungsprozess wird jedes Mal ausgeführt, wenn die Einheit von Kommunikationsdaten aus M aufeinander folgenden gespeicherten Teilen von empfangenen Kommunikationsdaten wiederhergestellt wird und die Signaturdaten aus M aufeinander folgenden gespeicherten Teilen von empfangenen geteilten Signaturdaten wiederhergestellt werden. Es sollte beachtet werden, dass die Einheit von Kommunikationsdaten, die im Verifizierungsprozess zu verwenden ist, nicht von der letzten empfangenen Einheit von Kommunikationsdaten stammt, sondern von der vorher empfangenen Einheit von Kommunikationsdaten, die in dem momentan nicht gewählten Speicherbereich der zwei empfangsseitigen Speicherbereiche für eine Einheit von Kommunikationsdaten gespeichert worden ist.
-
Die Einheit von Kommunikationsdaten B1 (Kommunikationsdaten 1-M) ist, wie in 5 gezeigt, zum Zeitpunkt T1 in dem gewählten Speicherbereich der zwei empfangsseitigen Speicherbereiche für eine Einheit von Kommunikationsdaten, der momentan gewählt wird, um die Kommunikationsdaten zu speichern, gespeichert worden, während keine Daten in dem nicht gewählten Speicherbereich der zwei empfangsseitigen Speicherbereiche für eine Einheit von Kommunikationsdaten gespeichert sind. Ferner sind Dummy-Daten im empfangsseitigen Speicherbereich für Signaturdaten gespeichert. Folglich kann der Verifizierungsprozess nicht ausgeführt werden, da zum Zeitpunkt T1 keine Signaturdaten vorhanden sind.
-
Anschließend ist zum Zeitpunkt T2 die Einheit von Kommunikationsdaten B2 (Kommunikationsdaten M + 1 bis 2M) im gewählten Speicherbereich der zwei empfangsseitigen Speicherbereiche für eine Einheit von Kommunikationsdaten, der momentan gewählt wird, um die Kommunikationsdaten zu speichern, gespeichert worden, und ist die Einheit von Kommunikationsdaten B1 (Kommunikationsdaten 1 bis M) bereits in dem nicht gewählten Speicherbereich der zwei empfangsseitigen Speicherbereiche für eine Einheit von Kommunikationsdaten gespeichert worden ist. Ferner sind die Signaturdaten 1 (geteilte Signaturdaten 1-1 bis 1-M) für die Einheit von Kommunikationsdaten B1 im empfangsseitigen Speicherbereich für Signaturdaten gespeichert worden. Folglich kann der Verifizierungsprozess zum Zeitpunkt T2 für die wiederhergestellte Einheit von Kommunikationsdaten B1 ausgeführt werden, indem die wiederhergestellten Signaturdaten 1 verwendet werden.
-
Die zum Zeitpunkt T2 verifizierten Daten sind die Kommunikationsdaten 1 bis M, die während einer Zeitspanne T0–T1 empfangen werden. Die Kommunikationsdaten M + 1 bis 2M, die während einer Zeitspanne T1–T2 empfangen werden, werden in dem nicht gewählten Speicherbereich der zwei empfangsseitigen Speicherbereiche für eine Einheit von Kommunikationsdaten nicht verifiziert übrig sein, bis der Zeitpunkt T3 erreicht wird, an dem eine Verifizierung der Kommunikationsdaten M + 1 bis 2M möglich wird.
-
Der Empfangsverarbeitungsspeicherbereich kann zur Speicherung der Kommunikationsdaten von den anderen Fahrzeugen offen sein, sofern nicht durch einen anderen Prozess, der sich vom Empfangsprozess unterscheidet, während einer vorbestimmten maximalen Zeitspanne auf den Empfangsverarbeitungsspeicherbereich zugriffen wird, um Daten zu speichern.
-
(Verifizierungsprozess)
-
Nachstehend wird der in Schritt S320 auszuführende Verifizierungsprozess unter Bezugnahme auf das in der 7 gezeigte Ablaufdiagramm beschrieben.
-
Wenn der Prozess gestartet wird, wird in Schritt S310 bestimmt, ob die wiederhergestellten Signaturdaten Dummy-Daten sind oder nicht. Wenn die wiederhergestellten Signaturdaten Dummy-Daten sind, wird der Prozess unmittelbar beendet.
-
Wenn die wiederhergestellten Signaturdaten keine Dummy-Daten sind, schreitet der Prozess zu Schritt S320 voran, in dem bestimmt wird, ob das aus den wiederhergestellten Signaturdaten extrahierte elektronische Zertifikat mit dem im Zertifikat-Speicherbereich gespeicherten elektronischen Zertifikat übereinstimmt oder nicht. Wenn das elektronische Zertifikat aus den wiederhergestellten Signaturdaten mit dem elektronischen Zertifikat aus dem Zertifikat-Speicherbereich übereinstimmt, wird der anschließende Vorgang in Schritt S360 unter Verwendung des öffentlichen Schlüssels ausgeführt, der im Zertifikat-Speicherbereich gespeichert ist, zusammen mit dem elektronischem Zertifikat für den öffentlichen Schlüssel.
-
Wenn in Schritt S320 bestimmt wird, dass das aus den wiederhergestellten Signaturdaten extrahierte elektronische Zertifikat nicht mit dem im Zertfikat-Speicherbereich gespeicherten elektronischen Zertifikat übereinstimmt, wird der erste Verifizierungsprozess zur Verifizierung des öffentlichen Schlüssels, der aus den wiederhergestellten Signaturdaten extrahiert wird, vom Kryptographie-Prozessor 7 unter Verwendung des aus den wiederhergestellten Signaturdaten extrahierten elektronischen Zertifikats ausgeführt.
-
Anschließend schreitet der Prozess in Schritt S340 dann, wenn der öffentliche Schlüssel im ersten Verifizierungsprozess nicht vom Kryptographie-Prozessor 7 verifiziert werden kann, zu Schritt S390 voran, in welchem das Gültigkeitsflag gelöscht (AUS) wird. Anschließend wird der Prozess beendet.
-
Demgegenüber schreitet der Prozess dann, wenn der öffentliche Schlüssel in Schritt S340 erfolgreich verifiziert wird, zu Schritt S350 voran, in welchem das elektronische Zertifikat und der verifizierte öffentliche Schlüssel, die beide aus den wiederhergestellten Signaturdaten extrahiert werden, im Zertifikat-Speicherbereich gespeichert werden. Anschließend schreitet der Prozess zu Schritt S360 voran.
-
In Schritt S360 wird der zweite Verifizierungsprozess zur Verifizierung der empfangenen Kommunikationsdaten vom Kryptographie-Prozessor 7 ausgeführt, wobei die verschlüsselten Daten, die aus den wiederhergestellten Signaturdaten extrahiert werden, unter Verwendung des im ersten Verifizierungsprozess verifizierten öffentlichen Schlüssels entschlüsselt werden und der entschlüsselte Message Digest anschließend mit dem aus den empfangenen Kommunikationsdaten (eigentlich der Einheit von Kommunikationsdaten) generierten Message Digest verglichen wird.
-
Anschließend wird in Schritt S370, wenn die Kommunikationsdaten im zweiten Verifizierungsprozess vom Kryptographie-Prozessor 7 erfolgreich verifiziert werden, das Gültigkeitsflag in Schritt S380 gesetzt (EIN). Anschließend wird der Prozess beendet. Wenn die Kommunikationsdaten nicht verifiziert werden können, wird das Gültigkeitsflag in Schritt S390 gelöscht (AUS). Anschließend wird der Prozess beendet.
-
Wenn die Kommunikationsdaten 1 bis M beispielsweise, wie in 5 gezeigt, zum Zeitpunkt T2 nicht für gültig verifiziert sind, wird das Gültigkeitsflag gelöscht (AUS) bleiben, bevor der Zeitpunkt T3 erreicht wird. Folglich werden die Kommunikationsdaten 2M + 1 bis 3M im Kollisionsvermeidungsprozess (S290) nicht verwendet werden. Wenn die Kommunikationsdaten M + 1 bis 2M zum Zeitpunkt T3 für gültig verifiziert sind, können die Kommunikationsdaten 3M + 1 bis 4M, die während einer Zeitspanne T3–T4 empfangen werden, als gültige Daten betrachtet werden, vorausgesetzt, dass die Kommunikationsdaten 3M + 1 bis 4M mit den letzten verifizierten Kommunikationsdaten 2M konsistent sind. Dementsprechend können die Kommunikationsdaten 3M + 1 bis 4M im Kollisionsvermeidungsprozess verwendet werden (S290).
-
Bei dem Kommunikationssystem gemäß der obigen Ausführungsform erzeugt die Fahrzeug-Vorrichtung 1 auf der Sendeseite, wie vorstehend beschrieben, Signaturdaten für jede Einheit von Kommunikationsdaten bestehend aus M Teilen von zu sendenden Kommunikationsdaten, teilt die Fahrzeug-Vorrichtung 1 die erzeugten Signaturdaten in M Teile von geteilten Signaturdaten und sendet die Fahrzeug-Vorrichtung 1 die M Teile von geteilten Signaturdaten, welche den aufeinanderfolgenden Teilen von Kommunikationsdaten beigefügt sind, nacheinander aus.
-
Demgegenüber stellt die Fahrzeug-Vorrichtung 1 auf der Empfangsseite jede Einheit von Kommunikationsdaten aus M Teilen von empfangenen Kommunikationsdaten wieder her, stellt die Fahrzeug-Vorrichtung 1 auf der Empfangsseite die Signaturdaten für die wiederhergestellte Einheit von Kommunikationsdaten aus M Teilen von empfangenen geteilten Signaturdaten wieder her (die jeweils aus empfangenen zusätzlichen Daten extrahiert werden), und verifiziert die Fahrzeug-Vorrichtung 1 auf der Empfangsseite die wiederhergestellte Einheit von Kommunikationsdaten auf der Grundlage der wiederhergestellten Signaturdaten, um so die Kommunikationsdaten der wiederhergestellten Einheit von Kommunikationsdaten zu verifizieren.
-
Auf diese Weise werden, im Kommunikationssystem der vorliegenden Ausführungsform, die Signaturdaten zur Verifizierung der Einheit von Kommunikationsdaten nicht in einer nicht geteilten Form übertragen, sondern in einer geteilten Form, bei welcher die Signaturdaten in M zu übertragende Teile geteilt sind, welche den Kommunikationsdaten beigefügt werden. Hierdurch kann eine signifikante Erhöhung der Datenmenge von zusätzlichen Daten in jedem Kommunikationsrahmen zur Verifizierung der Kommunikationsdaten verhindert werden.
-
Folglich wird es möglich, das elektronische Signaturverfahren zu realisieren, ohne den Durchsatz der Kommunikationsdaten signifikant zu verringern, so dass sowohl der Durchsatz als auch das Sicherheitsniveau, die für das Kommunikationssystem erforderlich sind, gewährleistet werden können.
-
In der Annahme beispielsweise der Kommunikationsdaten von 100 Byte, der Signaturdaten von 200 Byte (das Zertifikat von 100 Byte, die elektronische Signatur von 100 Byte), der Anzahl von Teilen von Kommunikationsdaten, welche die Einheit von Kommunikationsdaten bilden (= die Teilungszahl der Signaturdaten) von M = 10, des Signatur-Headers von 2 Byte (die Kennung von 4 bit, die Signaturnummer von 4 bit, die Blocknummer von 8 bit), ergeben die zusätzlichen Daten 22 Byte (die geteilten Signaturdaten von 20 Byte, der Signatur-Header von 2 Byte).
-
D. h., unter dieser Bedingung ist es nicht nur möglich, die zusätzlichen Daten für jeden Kommunikationsrahmen von 200 Byte aus 22 Byte zu verringern, sondern ebenso möglich, eine Verarbeitungslast, die für den Verifizierungsprozess erforderlich ist, signifikant zu verringern, da der Verifizierungsprozess nur alle 10 sukzessive empfangenen Kommunikationsrahmen ausgeführt werden muss.
-
Ferner bestimmt die empfangsseitige Fahrzeug-Vorrichtung 1, dass die empfangenen Kommunikationsdaten, die mit den wiederhergestellten Signaturdaten nicht verifiziert sind, konsistent sind, wenn eine Verschiebung zwischen Positionsinformation, die in den nicht verifizierten Kommunikationsdaten enthalten ist, und Positionsinformation, die in den letzten verifizierten (für gültig erklärten) Kommunikationsdaten enthalten ist, innerhalb eines vorbestimmten erwarteten Bereichs liegt. Wenn die nicht verifizierten Kommunikationsdaten konsistent sind, darf die empfangsseitige Fahrzeug-Vorrichtung 1 anschließend die nicht verifizierten Kommunikationsdaten im Kollisionsvermeidungsprozess verwenden.
-
Folglich kann die Fahrzeug-Vorrichtung 1 der vorliegenden Ausführungsform sich selbst auf der Grundlage der nicht verifizierten nicht fehlerhaften Kommunikationsdaten in Echtzeit steuern.
-
Ferner kann bei der Fahrzeug-Vorrichtung 1 der vorlegenden Ausführungsform, wenn die Korrekturinformation anzeigt, dass die Positionsinformation korrigiert worden ist, angenommen werden, dass die Kommunikationsdaten konsistent sind, auch wenn die Verschiebung außerhalb des erwarteten Bereichs liegt. Hierdurch können eigentlich normal empfangene Kommunikationsdaten genutzt werden, ohne dass diese unnötigerweise als fehlerhaft verworfen werden.
-
Wenn eine Kommunikation mit der Fahrzeug-Vorrichtung 1 des Kommunikationspartners gestartet wird, befindet sich das Eigenfahrzeug im Wesentlichen in einem bestimmten Abstand (in etwa einen Radius des Abdeckungsbereichs der Funkkommunikationseinheit 6, wie beispielsweise 200 m) vom Fahrzeug des Kommunikationspartners entfernt. Folglich verbleibt ein Kollisionsrisiko zwischen dem Eigenfahrzeug und dem Fahrzeug des Kommunikationspartners auch nach einem Verstreichen einer Zeitspanne vom Start eines Empfangs von Kommunikationsdaten vom Fahrzeug des Kommunikationspartners bis zum Abschluss der ersten Verifizierung von empfangenen Kommunikationsdaten nach dem Start des Empfangs gering.
-
Die vorliegende Erfindung ist nicht auf die vorstehend beschriebenen Ausführungsformen beschränkt, sondern kann, wie Fachleuten ersichtlich sein wird, auf verschiedene Weise modifiziert werden, ohne ihren Schutzumfang zu verlassen, so wie er in den beigefügten Ansprüchen dargelegt wird. Die hierin verwendeten bestimmten Begriffe sollen nicht als beschränkend, sondern lediglich als die Erfindung beschreibend verstanden werden.
-
Bei den vorstehend offenbarten Ausführungsformen ist die Teilungszahl der Signaturdaten gleich der Anzahl von Teilen von Kommunikationsdaten, welche die Einheit von Kommunikationsdaten (M) bilden. Alternativ kann die Teilungszahl der Signaturdaten durch N beschrieben werden, wobei N kleiner als M ist (M > N ≥ 2). Bei dieser Ausführungsform kann eine Zeitspanne vom Start eines Empfangs von Kommunikationsdaten vom Kommunikationspartner bis zum Abschluss einer Verifizierung der empfangenen Kommunikationsdaten durch die wiederhergestellten Signaturdaten verringert werden.
-
Bei den vorstehend beschriebenen Ausführungsformen ist der Kryptographie-Prozessor 7 dazu ausgelegt, den ersten Verifizierungsprozess (S330) und den zweiten Verifizierungsprozess (S360) auszuführen. Alternativ kann der Kryptographie-Prozessor 7 dazu ausgelegt sein, alle der Verifizierungsprozesse auszuführen.
-
Bei den vorstehend offenbarten Ausführungsformen dient die Fahrzeug-Vorrichtung 1 als Transceiver. Alternativ kann die Fahrzeug-Vorrichtung 1 entweder als Sender oder als Empfänger dienen.
-
Bei den vorstehend offenbarten Ausführungsformen ist das Fahrzeug-Fahrzeug-Kommunikationssystem beschrieben worden. Die Erfindung ist jedoch auf jedes beliebige Kommunikationssystem anwendbar, das zusätzliche Daten zur Verifizierung der Kommunikationsdaten den Kommunikationsdaten beifügt und die Kommunikationsdaten zusammen mit den diesen Kommunikationsdaten beigefügten zusätzlichen Daten sendet und empfängt.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- JP 2010-98951 [0001]
- JP 2009-081524 [0003]