JP7254822B2 - コンピュータ化された装置の地理位置情報をプロビジョニング及び処理するためのシステム、方法、並びに装置 - Google Patents

コンピュータ化された装置の地理位置情報をプロビジョニング及び処理するためのシステム、方法、並びに装置 Download PDF

Info

Publication number
JP7254822B2
JP7254822B2 JP2020543374A JP2020543374A JP7254822B2 JP 7254822 B2 JP7254822 B2 JP 7254822B2 JP 2020543374 A JP2020543374 A JP 2020543374A JP 2020543374 A JP2020543374 A JP 2020543374A JP 7254822 B2 JP7254822 B2 JP 7254822B2
Authority
JP
Japan
Prior art keywords
request
rsu
geographic
certificate
rsu device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020543374A
Other languages
English (en)
Other versions
JP2021514083A (ja
Inventor
ダニエル アール. フィナールト
ウィリアム エル. ラッティン
アラン ティー. マイヤー
Original Assignee
インテグリティ セキュリティ サービシーズ エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US16/191,030 external-priority patent/US10476679B2/en
Application filed by インテグリティ セキュリティ サービシーズ エルエルシー filed Critical インテグリティ セキュリティ サービシーズ エルエルシー
Publication of JP2021514083A publication Critical patent/JP2021514083A/ja
Application granted granted Critical
Publication of JP7254822B2 publication Critical patent/JP7254822B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

(関連出願の相互参照)
本出願は、2018年2月16日に出願された米国仮特許出願第62/631,593号の利益を主張し、また本出願は、2018年11月14日に出願された米国特許出願第16/191,030号の一部継続出願であり、これらの両方は、その全体が参照により本明細書に組み込まれるものとする。
本発明は、セキュリティ証明書及びデジタル証明書などの特定のタイプのデジタル資産を安全に生成し、かつ提供するためのシステム、装置、及び方法に関する。より詳細には、本発明は、V2Xインフラストラクチャのコンピュータ化装置に対して、地理位置固有のデジタル資産を安全にプロビジョニングするための改良されたシステム、方法、及び技術に関する。
コンピュータの小型化及びコモディティ化が進むにつれ、メーカーは、1つ又はそれ以上の組込みコンピュータ又はプロセッサを含むさまざまな装置をますます製造するようになっている。コンピュータ化装置内のコンピュータは、とりわけ装置の動作の制御、データの収集、保存、及び共有、他のコンピュータ及び他のコンピュータ化装置との通信、並びに当該コンピュータ自体が有するソフトウェアの更新を行うことができる。
モノのインターネット(IoT)は、1つ又はそれ以上の組込みプロセッサ、電子機器、ソフトウェア、データ、センサ、アクチュエータ、及び/又はこれらの装置が、たとえばインターネット、携帯電話ネットワーク、及び他の無線ネットワークを含むデジタルネットワーク経由で接続され、かつデータ交換できるようにするネットワーク接続を有する、コンピュータ化された物理的装置のネットワークである。通常、「モノ」はそれぞれ、各自の組込みコンピューティングシステムを通じて一意に識別可能であり、かつ既存のインターネットインフラストラクチャ内で、又は他の通信媒体を使用することで、相互に作動できる状態となる必要がある。
「モノ」とは、IoT的な意味では多種多様なコンピュータ化装置、たとえば民生機器、ビジネスや企業環境で使用される企業向け装置、製造機械、耕作機械、住宅や建物内のエネルギー消費装置(スイッチ、コンセント、電化製品、照明装置、電球、テレビ、ガレージドア開閉装置、スプリンクラー装置、防犯装置など)、医療機器及び健康管理装置、インフラ管理装置、ロボット、ドローン、並びに輸送用機器及び輸送車両などの多数のコンピュータ化装置を指している可能性がある。
たとえば、最新の車両及び輸送用機械(たとえば、自動車、トラック、航空機、列車、船艇、オートバイ、及びスクーターなど)は、全てとまではいかなくとも、ほとんどがそのサブシステムにいくつかの組込みプロセッサ又は組込みコンピュータを含み、少なくとも一部の側面では、これらはコンピュータ制御されている。同様に、増加の一途をたどる最新の交通インフラストラクチャ装置(たとえば、信号機、交通カメラ、交通センサ、ブリッジモニタ、ブリッジ制御装置、及び路側機など)には、少なくとも1つ、そして多くの場合、多数の組込みプロセッサ又は組込みコンピュータが含まれており、少なくとも一部の側面では、これらはコンピュータ制御されている。
交通網におけるこれらのコンピュータ制御要素は通常、相互に通信し合い、さまざまなタイプの情報をやり取りしている。たとえば、路側機(roadside unit:RSU)は、道路沿いにあるコンピュータ化装置であり、通過する車両や他のRSUと通信している。RSUは1つの場所(たとえば、高速道路沿いに埋め込まれたボックス内)に固定することもでき、あるいは道路工事作業員や救急隊員などが必要に応じて持ち運び、配備する移動式の可搬型装置であってもよい。交通網におけるさまざまなコンピュータ制御要素は、安全で正確、かつ効率的で確実な操作を行うために、車車間(Vehicle‐to‐Vehicle:V2V、車両間(Car‐to‐Car:C2C)とも呼ばれる)通信を行う他の車両、及び/又は路車間(Vehicle‐to‐Infrastructure:V2I、道路・車両間(Car‐to‐Infrastructure:C2I)とも呼ばれる)通信を行うインフラストラクチャ要素(RSUなど)との間で送受信される情報に反応し、応答し、あるいはこれに応じてその動作を変更することができる。通常、車両からその車両に影響を与える可能性のあるエンティティ(たとえば、他の車両(V2V)及びインフラストラクチャ要素(V2I))への情報の受渡し、及びその逆は車車間・路車間通信(Vehicle‐to‐everything:V2X)又は道路・車両間通信(Car‐to‐everything:C2X)と呼ばれている。V2Xが目指すいくつかの主要な目標は、交通安全、高い交通効率、及び省エネルギーを実現することである。
これらのコンピュータ化装置内のコンピュータは、そのソフトウェア並びに/又はファームウェア及びデータに従って動作している。安全で正常な操作を確実に行うために、これらのコンピュータ化装置は、正常なソフトウェア、ファームウェア、実行可能命令、デジタル証明書(たとえば、公開キー証明書など)、及び暗号化キーなど(以下、「デジタル資産」又は「ソフトウェア」と総称する)を使用して、製造元又はV2Xシステムのオペレータが意図したとおりに正常に初期化され、かつ更新され(たとえば、プロビジョニングされる)、その結果当該IoTが、承認済みの、優良であることが確認されているソフトウェア及びデータを実行する装置のみで構成されるようにする必要がある。ただし、非承認の人物又は組織(たとえば、ハッカー)がコンピュータ化装置のソフトウェアを置換又は変更すると、いくつかの課題が発生することになる。古いソフトウェア、未検証のソフトウェア、非承認のソフトウェア、及び/又は既知のバグのあるソフトウェアがコンピュータ化装置にインストールされている場合にも、いくつかの課題が発生する。
V2XインフラストラクチャのRSUなど、RSUに提供される地理位置固有のデジタル資産が適切でないか、かつ/又は最新のものでないか、かつ/又は当該RSUの実際の地理的動作位置と一致していない場合は、これらのRSUは正常に機能しないようになるなど、地理的制限下で動作するように設計されたコンピュータ化装置のプロビジョニングにおいて、特定の課題が発生することになる。
したがって、地理位置固有のデジタル資産を、V2XインフラストラクチャのRSUなどのコンピュータ化装置にプロビジョニングするための、改良されたシステム、方法、及び技術を提供することが望ましい。
本明細書には、登録証明書及びアプリケーション証明書を含む、路側機(RSU)装置などのコンピュータ化装置を安全にプロビジョニングするためのシステム、方法、及び装置について記載しており、これらのコンピュータ化装置(たとえば、RSU)は、この登録証明書及びアプリケーション証明書の両方の地理情報に従って、地理的に制限されることで正常に動作している。開示しているさまざまな実施形態は、1つ又はそれ以上のサーバコンピュータなどの1つ又はそれ以上のコンピューティングシステムによってホストされ得る、拡張セキュリティ証明書管理システム(security credential management system:SCMS)によって実現されてもよい。さまざまな実施形態では、コンピュータ化装置(たとえば、RSU)に対して登録証明書を提供することであって、この登録証明書は、コンピュータ化装置(たとえば、RSU)の地理領域を指定している、ことと、コンピュータ化装置(たとえば、RSU)のアプリケーション証明書を求める要求を受信することとを含む操作を、本システム及び装置が実行してもよく、また本方法が含んでいてもよい。アプリケーション証明書を求める要求に応答して、これらの操作は、コンピュータ化装置(たとえば、RSU)の地理的動作位置を特定することと、この地理的動作位置が当該地理領域内にあるかどうかを確認することと、この地理的動作位置の情報を含むアプリケーション証明書を生成することと、この地理的動作位置の情報を含むアプリケーション証明書をコンピュータ化装置(たとえば、RSU)に対して提供することとをさらに含んでいてもよい。さまざまな実施形態では、このコンピュータ化装置の正常な動作は、アプリケーション証明書の地理的動作位置の情報に従って地理的に制限される。
さまざまな実装形態では、この要求は、コンピュータ化装置(たとえば、RSU)の地理的動作位置の情報を含み、またこの要求に応答して、コンピュータ化装置の地理的動作位置を特定する操作は、この要求から地理的動作位置の情報を取得することを含む。別の実装形態では、この要求はコンピュータ化装置から受信される。さらに別の実装形態では、コンピュータ化装置は地理的動作位置の情報で構成されていてもよく、またこのコンピュータ化装置は、当該要求内に地理的動作位置の情報を含む。
別のさまざまな実装形態では、これらの操作は、コンピュータ化装置(たとえば、RSU)の地理的動作位置の情報の保存を求める要求を受信することであって、この要求は、当該コンピュータ化装置の地理的動作位置の情報を含む、ことと、この要求に応答して、コンピュータ化装置の地理的動作位置の情報を保存すること(これは、アプリケーション証明書を求める要求を受信する前に実行されてもよい)とをさらに含んでいてもよく、この要求に応答して、コンピュータ化装置の地理的動作位置を特定することは、保存された地理的動作位置の情報を取得することを含んでいてもよい。いくつかのそのような実装形態では、地理的動作位置の情報の保存を求める要求は、当該コンピュータ化装置のユーザから受信される。いくつかの実装形態では、この地理領域は国又は州であり、また地理的動作位置でもある。
本明細書に記載のさらに別の実装形態は、ひとたびプロビジョニングされると、コンピュータ化装置の(たとえば、路側機(RSU)装置の)動作領域を地理的に制限するアプリケーション証明書を含む、RSU装置などのコンピュータ化装置を安全にプロビジョニングするためのシステム、方法、及び装置である。
別のさらなる実装形態は、コンピュータ化装置(たとえば、RSU)の地理領域を指定している登録証明書と、コンピュータ化装置(たとえば、RSU)のアプリケーション証明書を求めるアプリケーション証明書要求を受信し、この要求は、所望の地理的動作位置の情報を含み(この地理的動作位置は当該地理領域内にあり得る)、この地理的動作位置が当該地理領域内にあるかどうかを確認し、この地理的動作位置の情報を含む1つ又はそれ以上のアプリケーション証明書を生成し、アプリケーション証明書要求に応答して、この地理的動作位置の情報を含む1つ又はそれ以上のアプリケーション証明書をRSU装置に対して提供し、これにより、アプリケーション証明書の地理的動作位置の情報に従って、当該RSU装置は地理的に制限される、拡張SCMSとを備える。
本明細書に組み込まれ、その一部を構成している添付の図面は、本発明の実装形態を例示し、本明細書と共に、本発明の原理を説明する役割を果たすものである。図では、
本発明の実装形態と一致する、セキュア・プロビジョニング・システムで実行される、証明書を必要とするエンティティのコンピュータ化装置をプロビジョニングし、かつ追跡するための方法の一実施例を示した図である。 本発明の実装形態と一致する、セキュア・プロビジョニング・システムで実行される、コンピュータ化装置のローカル・ポリシー・ファイル(local policy file:LPF)を構成し、かつ提供するための方法の一実施例を示した図である。 本発明の実装形態と一致する、セキュア・プロビジョニング・システムで実行される、コンピュータ化装置にセキュリティ資産の補充を行うための方法の一実施例を示した図である。 本発明の実装形態と一致する、マルチテナント操作をサポートするように構成された、セキュア・プロビジョニング・システムの一実施例を示した図である。 本発明の実装形態と一致する、セキュア・プロビジョニング・システムのマルチテナントに対応している、コンピュータ化装置を示した図である。 本発明の実装形態と一致する、証明書管理システム(certificate management system:CMS)管理ポータル(management portal:CMP)を備える、セキュア・プロビジョニング・システム内の例示的なワークフローを示した図である。 本発明の実装形態と一致する、マルチテナント操作をサポートするように構成された、セキュア・プロビジョニング・システムの例示的な操作環境を示した図である。 本発明の実装形態と一致する、証明書などの資格情報を複数のテナントに対して安全に提供するためのプロセスの一実施例を示す、スイムレーン図の第1の部分である。 本発明の実装形態と一致する、証明書などの資格情報を複数のテナントに対して安全に提供するためのプロセスの一実施例を示す、スイムレーン図の第2の部分である。 本発明の実装形態と一致する、ホスティングシステム及び方法に使用できる、コンピューティングシステムの一実施例を示したブロック図である。 本発明の実装形態と一致する、RSUを初期プロビジョニングし、かつ追跡するための方法の一実施例を示した図である。 本発明の実装形態と一致する、配備されるRSUを構成するための方法の一実施例を示した図である。 本発明の実装形態と一致する、配備されるRSU装置に対して非初期のデジタル資産を提供するための方法の一実施例を示した図である。 本発明の実装形態と一致する、地理位置情報を含むアプリケーション証明書などのデジタル資産を、複数のテナントに対して安全に提供するためのプロセスの一実施例を示す、スイムレーン図の第1の部分である。 本発明の実装形態と一致する、地理位置情報を含むアプリケーション証明書などのデジタル資産を、複数のテナントに対して安全に提供するためのプロセスの一実施例を示す、スイムレーン図の第2の部分である。
ここで、本発明の例示的な実装形態を詳細に参照するが、これらの実装形態の実施例を添付の図面に例示している。同一又は同様の部品に言及するために、図面全体を通して可能な限り、同一の参照番号を使用するものとする。
さまざまな実装形態では、組込みコンピュータ制御装置を、その装置内にセキュリティ資産をプロビジョニングすることによって保護することができる。これらのセキュリティ資産としては、たとえば暗号化キー、一意識別子、デジタル証明書、及びセキュリティソフトウェアなどが挙げられる。さらに、これらのセキュリティ資産は、たとえば装置の認証や無線プログラミング(over‐the‐air programming:OTA)ソフトウェアの更新などを行うための安全な通信に使用することができる。
現場で安全かつ正常な動作が確実に行われるようにするために、たとえば車両に使用される電子制御装置(Electronic Control Units:ECUs)などの組込み機器は、セキュリティ資産などのデジタル資産をプロビジョニングすることにより、製造中に正常に初期化される必要がある。デジタル資産としては、さまざまなデジタル証明書、暗号化キー、一意識別子、及びソフトウェアが挙げられる。多くの場合、さまざまなテナントや製造工場向けにこれらのデジタル資産を生成しているSCMSは地理的に異なる場所にあり、これらは従来方式では、安全でないインターネット通信を介して相互接続されている。したがって、これらのデジタル資産の出所から複数のテナントの装置へと至るエンド・ツー・エンドの安全なチャネルを形成して、悪意のある当事者によって、又は偶然によってこれらのデジタル資産にアクセスされたり、若しくは改変されたりできないようにすることが望ましい。通常、個々の製造工場やテナント(たとえば、クライアント、顧客、加入者)では、別々のSCMS構成が必要になる。さまざまな実装形態では、テナントは、会社又はメーカー、SCMSのクライアント、あるいはSCMSの加入者などのエンティティとすることができる。従来方式では、専用ハードウェアを備える別個のSCMSを、テナントごとに構成する必要がある。したがって、専用のカスタム構成されたSCMSを使用して、これらのデジタル資産を複数のテナントへと提供することに関連した冗長性及びコストを、最小限に抑えることが望ましい。
以下の説明では、車車間通信及び路車間通信(V2X)装置内でプロビジョニングされるセキュリティ資産を参照する。V2X装置としては、たとえば車載装置(On Board Unit:OBU)、電子制御装置(ECU)、及び路側機(RSU)が挙げられる。OBUは、全てとまではいかなくとも、多くの自動運転車に含まれている。ただし、本明細書に記載の実装形態はV2X装置に限定されるものではないので、開示している原理も、他のタイプのコンピュータ制御装置に適用することができる。たとえば、付加的な又は代替的な実装形態では、マルチテナントプロセス及びシステムを使用して、たとえばC2X装置などの他のコンピュータ化装置に対して証明書を提供することができる。たとえば、図4に示すものと同様のCMP、仮想登録局、SMS、及びSMSデータベースコンポーネントを備える拡張SCMSは、1つ又はそれ以上のOBU、ECU、及びRSUに対して証明書を提供することができる。さまざまな実装形態では、自動運転車、船艇(たとえば、ボート)、航空機(たとえば、飛行機やドローン)、宇宙船を含む車両や、医療機器、ロボット、無線又は有線通信モジュール、及びIoT装置にこれらのOBUとECUとが設置されるように、これらを構成することができる。同様に、交通制御装置(たとえば、交通信号)、路側コンテンツ配信システム、自動料金収受システム、電子サイネージ装置、及びデジタル表示装置(たとえば、電子掲示板)にRSUを設置することができる。
V2Xエコシステムでは、セキュリティ資産(たとえば、登録証明書)を使用して、エンドエンティティ(たとえば、V2X装置)を識別し、またこのエンドエンティティが他のセキュリティ資産(たとえば、仮名(pseudonym)証明書及び/又はアプリケーション証明書)をセキュリティ証明書管理システム(SCMS)に要求し、かつ当該システムからこれらを受信することを許可することができる。従来のX.509証明書とは異なり、V2X登録証明書及び仮名証明書には、これらに一致するエンドエンティティの識別情報が含まれておらず、したがって外部のオブザーバはこれらの使用を、特定の車両又は装置と関連付けることができない。また、V2X装置で使用されるセキュリティ資産は、当該装置の動作期間中に定期的に変更される。
V2X装置の製造中、セキュリティ資産プロビジョニングプロセスが別々の場所で(したがって、別々のタイミングで)行われてもよく、またこれらの場所は、別々の会社(たとえば、SCMSのサードパーティの委託製造業者、別々のテナント、顧客、又は加入者など)に属していてもよいし、属していなくてもよい。たとえば、製造要件を満たしやすくしたり、政府の規制に準拠したりするために、初期のセキュリティ資産プロビジョニングプロセスが行われてもよい。たとえば、V2X装置のティア1メーカーは、自社のOBUに登録証明書をプロビジョニングし、当該装置が相手先ブランド供給業者(original equipment manufacturer:OEM)の車両に設置された後、仮名証明書及びその他のデータをプロビジョニングして、完全に機能するOBUを形成することができる。
セキュリティ資産プロビジョニングプロセスが別々の場所で行われ得るという事実によって、従前のシステムではその技術的能力を欠いているために対処できないような課題が生じる可能性がある。
たとえば、セキュリティ資産を別々の場所にプロビジョニングするために、一部のシステムでは、当該場所間でセキュリティ資産を送信し合うことができる。ただし、証明書がインストール可能となる前に、まず証明書を要求し、次いでこれが送信される必要があるため、製造中に時間遅延が発生する可能性がある。
その上、従来のX.509証明書とは異なり、V2X登録証明書及び仮名証明書には、これらと一致するエンドエンティティの識別情報が含まれておらず、したがって、とりわけ別々の場所にセキュリティ資産がプロビジョニングされる場合は、正しいセキュリティ資産を正しいV2X装置と照合する際に、別途課題が発生することになる。
また、従来のSCMSでは、SCMSはそれぞれ、特定のOBU/RSU情報(たとえば、構成情報)を正しいセキュリティ資産と共にV2X装置へと配信するように構成されている。したがって、従来のSCMSは、特定のエンティティ(たとえば、SCMSのテナントやクライアント)がカスタム情報を提供したい場合にのみ、その1つの特定のエンティティによって使用され得る。したがって、カスタム情報を提供するエンティティは全て、それぞれが独自のカスタマイズされたSCMSを必要とすることになり、これには費用がかかり、容易に規模を拡大できない。
本明細書に記載しているように、CMP、SMS、及び仮想登録局を備えるSCMS(総称して、「拡張SCMS」)を含む、マルチステージ型プロビジョニング及びマルチテナント型セキュア・プロビジョニング・システムは、上記の技術的な課題に対処することができる。
拡張SCMSは、複数のエンティティ(たとえば、複数のテナント、クライアント、顧客及び加入者)によって使用することができ、各エンティティに対して固有の構成機能をもたらすことができ、また配備されたコンピュータ化装置(たとえば、V2X装置又はC2X装置)に対して、エンティティ固有の更新を行うことができる。例示的なエンティティとしては、ティア1メーカー(V2X装置又はC2X装置を製造しているエンティティ)、OEM(消費者に装置を提供したり、かつ/又は複数のV2X装置又はC2X装置を組み合わせて、大型の製品(たとえば、車両)にしたりしているエンティティ)、及び交通管理センター(traffic management center:TMC(RSUを使用又は管理しているエンティティ))が挙げられる。さまざまな実装形態では、エンティティを、ティア1メーカー、OEM、及び/又は交通管理センターの組み合わせとすることもできる。
さまざまな実装形態によれば、拡張SCMSは、登録時にコンピュータ化装置を特定のテナント(たとえば、クライアント、顧客、加入者)又は配備にリンクすることにより、マルチテナント操作をもたらす機能を有する。
本明細書に記載しているように、拡張SCMSは、プロビジョニングの第1の段階でCMPを介して登録証明書をV2X装置に提供し、次いでこのCMPを介した当該装置の識別後に、プロビジョニングの別の段階を実行することにより、セキュリティ資産のマルチステージ型プロビジョニングをもたらすことができる。
さまざまな実装形態では、図4~図6を参照して以下でさらに詳述しているように、拡張SCMSは、後の段階で装置を識別するための情報をSMSデータベースに保存することができ、また各装置を、その装置をプロビジョニングしているエンドエンティティとさらに関連付けることができる。さらに、装置に登録証明書がプロビジョニングされた後、当該装置を、初期プロビジョニングが完了したことを示すステータスと関連付けることができる。
たとえば、登録証明書は、装置の製造段階で当該装置にプロビジョニングすることができる(たとえば、ティア1メーカーによって)。この段階で、拡張SCMSが装置識別子(たとえば、数字コード又は英数字コード、当該装置のマイクロプロセッサのシリアル番号など)を要求できるので、装置識別子が受信されるまで、登録証明書をプロビジョニングすることができない場合がある。装置識別子を受信すると、拡張SCMSは、受信した装置識別子を保存し、この装置識別子を、当該装置用にプロビジョニングされた登録証明書、及び/又は当該装置をプロビジョニングしたエンドエンティティと関連付けることができる。
特定の実装形態では、登録証明書がすでに装置にプロビジョニングされている場合でも、アフターマーケット装置をSMSデータベースに含めることができる。本明細書に記載しているように、アフターマーケット装置は、ティア1メーカーによって製造されておらず、かつ/又は拡張SCMSを使用していないエンティティによって製造されている装置とすることができる。アフターマーケット装置がSMSデータベースに追加された場合、このアフターマーケット装置を、拡張SCMSによるプロビジョニングができる状態にあることを示すステータスと関連付けることができる。
いくつかの実装形態では、拡張SCMSは、当該装置のタイプ及び/又は当該装置の機能を識別することができる場合がある。たとえば、装置のタイプは装置識別子によって、かつ/又は装置にセキュリティ資産をプロビジョニングしているエンドエンティティとの通信を介して、特定することができる。さまざまな実装形態では、装置のタイプを使用して、たとえばプロビジョニングする対象として互換性のあるセキュリティ資産を指定したり、プロビジョニングするセキュリティ資産の数を決定したりすることができる。
たとえば、一部の装置の物理的セキュリティは、他の装置よりも高い場合がある。物理的セキュリティがより高い装置は、盗まれたり、又は侵害されたりする可能性が低くなる。したがって、装置が侵害された場合にセキュリティ資産が開示される可能性が低くなるため、物理的により安全な装置に対しては、より多くの証明書をプロビジョニングすることができる。また、プロビジョニングされたセキュリティ資産を装置が使い果たすと、当該装置は拡張SCMSに接続してセキュリティ資産を「補充」(すなわち、より多く取得する)することができるため、物理的に安全でない装置にとっては、証明書の数が少ないほど有利となり得る。プロビジョニングされるセキュリティ資産の数が少ない場合、装置はセキュリティ資産をより頻繁に補充することになる。したがって、装置が侵害された場合、拡張SCMSに接続して「補充」するときに、当該装置をシャットダウンしたり、その位置を特定したり、あるいは対応したりすることができる。したがって、装置が補充を受ける頻度が高いほど、侵害される可能性の高い装置に対応する見込みが高くなる。
いくつかの実装形態では、V2X装置のプロビジョニングにおける第2の段階は、OEMで仮名証明書及び/又はアプリケーション証明書がV2X装置にプロビジョニングされたときに(たとえば、車両内の他の装置と組み合わされた後)、行われ得る。この段階で、V2X装置から装置識別子を受信することができ、拡張SCMSは、この装置識別子を使用してV2X装置を識別し、次いで識別した装置に基づいて(たとえば、従前にプロビジョニングされた登録証明書に基づいてや、当該装置の物理的セキュリティのレベルに基づいてなど)、仮名証明書及びアプリケーション証明書をプロビジョニングすることができる。いくつかの実装形態では、拡張SCMSはこの装置識別子に加えて、当該装置が正常に設置されたことを示すテストデータなどの他のデータを、サードパーティからさらに取得することができる。拡張SCMSは、装置識別子と正しく設置されたことの確認とに基づいて、その後仮名証明書及び/又はアプリケーション証明書をプロビジョニングすることができる。
本明細書にさらに記載しているように、拡張SCMSは、テナント(たとえば、エンドエンティティ)用のSMS(又はエンティティ管理システム)を設けることにより、またV2Xエコシステム内の各エンドエンティティに固有の情報を含むローカル・ポリシー・ファイル(LPF)を管理することにより、マルチテナント操作をもたらすことができる。たとえば、カスタマイズされたワークフローを作成することができ、加入者管理システム(subscriber management system:SMS、本明細書ではエンティティ管理システムとも呼ぶ)を介して、エンドエンティティによってカスタマイズされた構成を管理することができる。SMSは、テナント及び当該テナントに関連する情報を管理するように動作可能であり、この情報の一部は、当該テナントのOBU、RSU、及びTMC装置(TMC devices:TMCD)に送信されてもよい。
特定の実装形態では、複数のテナントのうちの各テナントの構成情報を、そのテナントのLPFに要素又はデータフィールドとして保存することができる。つまり、LPFはテナント固有のデータを保存している。たとえば、LPFは、テナントと関連付けられたコンピュータ化装置のタイプ又はクラスに関連する情報を保存しているが、証明書を必要とする特定のエンドエンティティ又は特定のコンピュータ化装置の情報は保存していない。たとえば、これらの要素は、初期プロビジョニング量(たとえば、テナントの装置に初期プロビジョニングする証明書の量)、暗号化キー及び証明書、リンケージ認証局(すなわち、テナントが使用するリンケージ認証局を特定した情報)、並びに当該テナントにバックエンドのサービス品質(Quality of Service:QoS)レベルをもたらすために使用される専用ハードウェアの有無の表示などを含み得るが、これらに限定されない。さまざまな実装形態では、テナントのLPFに示される初期プロビジョニング量は、特定の種類の証明書(たとえば、10,000通の仮名証明書)の数によって、又は期間(たとえば、6か月にわたる証明書の供給)によって示すことができる。
いくつかの実装形態によれば、所定のテナントのLPFは、証明書の有効期間(たとえば、証明書有効期限)、当該エンティティが所有できる証明書の数、証明書のオーバーラップ期間、証明書が将来有効になる期間(たとえば、初期プロビジョニングの場合、将来のどの時点まで証明書が有効となるか)、及び当該テナントが証明書の補充をいつ要求する必要があるのかを示す指標(たとえば証明書を使用する場合、エンドエンティティは、追加の証明書を要求する前にどのくらいの期間待機することになるのか)のうちの1つ又はそれ以上を保存する。
カスタマイズされたワークフロー及びカスタマイズされた構成を使用して、LPFをカスタマイズすることができ、またこれらのLPFをV2X装置に対して送信して、V2X装置の動作及び/又は構成をカスタマイズすることができる。たとえば、カスタマイズされたワークフロー及び/又はカスタマイズされた構成により、受信して保存する必要のある情報や、セキュリティ資産のプロビジョニング方法(たとえば、使用すべき登録局、セキュリティ資産に追加すべきカスタム情報、装置にプロビジョニングすべきセキュリティ資産のカスタム数量など)を決定することができる。
さまざまな実装形態では、LPFは、たとえばV2X装置など、証明書を必要とするコンピュータ化装置にインストールすることができる。これにより、エンドエンティティはV2X装置によって実行されるプロセスをカスタマイズしたり、かつ/又はV2X装置用にカスタマイズされたインターフェースを設けたりすることができる。たとえば、LPFはV2X装置に対し、特定のエンティティのサーバ(たとえば、カスタムのユニフォーム・リソース・ロケータ(Uniform Resource Locator:URL)経由で)及び/又は特定のSCMSに接続するように指示することができる。別の実施例として、LPFは、V2X装置に限られた量のセキュリティ資産をダウンロードさせたり、あるいはV2X装置によってダウンロードされる証明書の有効期間を定義させたり(たとえば、3年ではなく1週間)することができる。
いくつかの実装形態では、LPFは、セキュリティ資産がプロビジョニングされる装置のタイプに基づいて、カスタマイズされたワークフロー及び/又はカスタマイズされた構成をさらに含み得る。たとえば、エンティティ管理システムを使用すると、エンドエンティティはさまざまなタイプの装置にプロビジョニングすべきセキュリティ資産の数を指定でき、カスタマイズされた構成をエンティティのLPFに保存でき、また装置がセキュリティ資産を要求した場合は、このLPFを使用して、プロビジョニングすべきセキュリティ資産の数を決定することができる。
拡張SCMSで実行できる追加の機能には、たとえばV2X装置が接続できる仮想登録局を設けること、SCMSで、各エンドエンティティのカスタムアカウントを作成することと、SCMSで、新規のV2X装置のタイプを形成すること、運輸省(Department of Transportation:DOT)又は承認されているその他の認定機関として装置のタイプを検証すること、登録又はその他のタイプの公開キー(たとえば、署名キー/暗号化キー、高度暗号化標準(Advanced Encryption Standard:AES)バタフライキー拡張値など)を取得すること、アフターマーケット装置の公開キー、LPF、及びローカル証明書チェーンファイル(Local Certificate Chain Files:LCCF)を返送すること、フィールド装置の最終プログラミング用の登録局URLを返送すること、装置識別子に基づいて装置を追跡すること、及びアフターマーケット装置をプロビジョニングすることなどが含まれる。さまざまな実装形態では、LCCFを、そのエンドエンティティに公開するために登録局によって作成される、バイナリエンコードされた証明書の配列とすることができる。
図1は、開示している実装形態と一致する、セキュア・プロビジョニング・システムで実行される方法の一実施例を示した図である。例示的な本方法は、拡張SCMSのエンティティ管理システムでエンティティのカスタムアカウントが作成される100で開始することができる。さらに、いくつかの実装形態では、図1に関して記載したものを例示するために、当該エンドエンティティを、V2X装置のティア1メーカーとすることができる。
いくつかの実装形態では、この拡張SCMSは、エンドエンティティからの要求を受信したことに基づいて、当該エンドエンティティのアカウントを作成することができる。当該アカウントの作成を求める要求には、たとえば、エンドエンティティの識別子、エンドエンティティに関する情報、エンドエンティティのタイプ(たとえば、ティア1メーカー)、エンドエンティティと関連付けられたセキュリティ資産などを含めることができる。
110では、拡張SCMSは、この拡張SCMSのCMPにおいて装置のタイプを登録することができる。たとえば、装置のタイプの登録を求める要求は、エンドエンティティからそれらのアカウント経由で受信したり、拡張SCMSの管理者から受信したりすることができる。いくつかの実装形態では、この装置のタイプの登録を求める要求は、当該装置のタイプの識別子又は当該装置のタイプと関連付けられたセキュリティ資産を含み得る。拡張SCMSは、装置のタイプの識別子を、たとえばSMSデータベースなどに保存することで、装置のタイプを登録することができる。
120では、拡張SCMSは、当該装置のタイプが認定機関(たとえば、DOT)によって承認済みであるかどうかを確認することができる。たとえば、本SCMSは、認定機関と関連付けられたサーバに識別子及び/又はセキュリティ資産を送信して検証を要求したり、かつ/又は識別子及び/又はセキュリティ資産を、SMSデータベースに保存されている承認済み装置のタイプのリストと照合したりすることができる。次いで、本SCMSは、当該装置のタイプが検証されたかどうかの表示を、たとえばSMSデータベースに保存することができる。
130で、本SCMSは、装置の公開キー(たとえば、登録証明書公開キー、署名キー、暗号化キー、及びAESバタフライキー拡張値など)を取得し、次いで当該装置の識別子を取得又は生成することができる。たとえば、これらの公開キーを装置から受信するか、又はエンドエンティティがエンティティ管理システムを介してアカウントにアクセスし、これらの公開キーを入力したり、かつ/又は識別子を入力したりすることができる。装置の公開キー及び/又は識別子は、SMSデータベースに保存することができる。
140では、拡張SCMSは、130で取得した公開キーに基づいて、登録証明書を装置にプロビジョニングするエンドエンティティ及び/又は装置自体に返送することができる。いくつかの実装形態では、拡張SCMSは、最終プログラミング用の登録局URL及び特定の構成データを装置に返送することもできる。たとえば、登録局URLはエンドエンティティに固有であってもよく、かつ/又は(エンティティ管理システムを介して)エンドエンティティによってカスタマイズされてもよい。別の実施例として、URLと関連付けられた登録局を、拡張SCMSのうちの1つのSCMSと関連付けられた仮想登録局とすることができる。
さまざまな実装形態では、拡張SCMSは、証明書を必要としているコンピュータ化装置から公開キーを受信する。たとえば、拡張SCMSは登録公開キーのみを受信してもよく、又は拡張SCMSは、登録公開キー及び他のアプリケーション公開キー/仮名公開キーを受信してもよい。拡張SCMSは、装置から受信される1つ又はそれ以上の公開キーに応じて、登録証明書(LPFなどの他のデータを含む)のみを返送するか、又は拡張SCMSは、アプリケーション証明書/仮名証明書も同様に返送してもよい。コンピュータ化装置がアフターマーケット装置である特定の実装形態では、拡張SCMSはアフターマーケット装置の公開キーを受信してもよく、次いで公開キー、LPF、LCCF、及びその他のデータをアフターマーケット装置に返送してもよい。特定の実装形態によれば、コンピュータ化装置のLPF及びLCCFのダウンロードは、Representational State Transfer(REST)サービス呼び出しを通じて行われ、このダウンロードには登録証明書(たとえば、署名付きメッセージ)は含まれない。他の全てのRESTサービス呼び出しの場合は、拡張SCMSのSCMSホストが検索を実行して、装置の特定の登録証明書が特定のテナントによって所有されているか、又はこれと関連付けられているかどうかを確認することができる。つまり、これらのサービス呼び出しの暗号化検証を行って、これらが許可されているかどうかを確認することができる。LPF及びLCCFのダウンロードの場合、URLのテナント識別子(ID)、ルート、HTTPヘッダ、又はその他のメカニズムを使用して、コンピュータ化装置に提供すべきファイルを決定する。LCCFは、拡張SCMSの全てのテナント(すなわち、含まれる全ての証明書)で共通している可能性があるが、LPFはテナントごとに異なっている場合がある。他のサービス呼び出しの場合、強力な暗号化リンクにより、単一の登録局(たとえば、仮想登録局)又はSCMSのバックエンドコンポーネントの単一のセットが別々のポリシーを処理していても、コンピュータ化装置及び証明書の管理が確実に安全に行われるようにしている。
150では、拡張SCMSは、当該装置の状態を初期プロビジョニング済みと設定し、あるいは当該装置がアフターマーケット装置である場合はプロビジョニング済みと設定する(たとえば、SMSデータベース内に)ことができ、また、図2に関して以下に記載しているように、プロビジョニングの後続の段階でOEM又は交通管理センターによって当該装置がさらにプロビジョニングされる場合に備えて、当該装置を追跡することができる。
図2は、開示している実装形態と一致する、セキュア・プロビジョニング・システムで実行される方法の一実施例を示した図である。例示的な方法は、拡張SCMSでエンドエンティティのカスタムアカウントが作成される200で開始することができる。さまざまな実装形態では、このカスタムアカウントを、拡張SCMSのエンティティ管理システムを介して作成し、かつ/又は管理することができる。さらに、いくつかの実装形態では、図2に関して記載したものを例示するために、当該エンティティを、V2X装置を運用し、かつ/又は1つ又はそれ以上のV2X装置を搭載した製品を運用しているOEM又は交通管理センターとすることができる。他の実装形態では、ティア1メーカーが部分的に、又は完全にプロビジョニングされた装置をOEMに対して出荷している場合、当該エンティティをV2X装置のティア1メーカーとすることができる。また、当該エンドエンティティは、USDOT又はその他の認定機関であってもよく、また当該エンティティを使用して、証明書が発行され得る承認済み装置のデータベースを作成し、かつ管理してもよい。
いくつかの実装形態では、この拡張SCMSは、エンドエンティティからの要求を受信したことに基づいて、当該エンドエンティティのアカウントを作成することができる。当該アカウントの作成を求める要求には、たとえばエンドエンティティの識別子、エンドエンティティに関する情報、エンドエンティティのタイプ(たとえば、OEM又は交通管理センター)、エンドエンティティと関連付けられたセキュリティ資産などを含めることができる。
いくつかの実装形態では、エンドエンティティのアカウントを作成することは、当該エンティティの1つ又はそれ以上のデフォルトLPFを生成することを含み得る。たとえば、個々のデフォルトLPFを個々の装置のタイプと関連付けることができる。
210では、拡張SCMSは、LPFを構成することを求める要求を受信することができる。たとえば、このLPFを構成することを求める要求は、特定の装置のタイプのワークフローを構成することを求める要求、登録局のURLの設定を求める要求、地理的制限の変更又は設定を求める要求(たとえば、RSUが作動できる地理座標)、及び補充ポリシーを構成することを求める要求(たとえば、プロビジョニングすべきセキュリティ資産の数を変更する、承認されるセキュリティ資産のタイプを設定するなど)などとすることができる。いくつかの実装形態では、補充ポリシーを使用して、以下の図3に関して記載しているように、補充要求への応答方法を決定することができる。別の実装形態では、装置のタイプに基づいて、あるいは装置と関連付けられたアプリケーション証明書に基づいて、かつ/又は当該装置の位置に基づいて、補充ポリシーを設定することができる。
220では、本SCMSはCMP及びV2X装置の識別子を介して、V2X装置から登録証明書のハッシュ又は初期証明書要求のハッシュを受信することができる。いくつかの実装形態では、このハッシュと識別子とを、200でエンドエンティティ用に作成されたアカウントを介して受信することができる。
いくつかの実装形態では、この登録証明書を、上記の140で拡張SCMSによって当該装置に返送される登録証明書とすることができる。他の実装形態では、当該装置をアフターマーケット装置とすることができ、またこの場合登録証明書は、拡張SCMSによって提供されなかったものであってもよい。
いくつかの実装態様では、当該識別子を、上記の140で拡張SCMSによって受信され、又は生成された識別子とすることができ、また拡張SCMSはV2X装置の識別子に基づいて、V2X装置及び/又はタイプV2X装置を識別することができる。
230では、拡張SCMSは、公開キーのバンドル、LPF、及びLCCFを装置に返送することができる。いくつかの実装形態では、装置に返送すべき情報を、220で装置を識別したことに基づいて決定することができる。たとえば、ここで返送されるLPFは、V2X装置と関連付けられたエンドエンティティによって選択され、かつ/又はカスタマイズされた装置のタイプのLPFと一致している可能性がある。V2X装置に情報を返送したことに基づいて、拡張SCMSは、当該装置の状態をプロビジョニング済み、又は部分的にプロビジョニング済みに設定することができる。さまざまな実装形態では、プロビジョニング済みの装置の状態とは、装置が自身の登録証明書の仮名/アプリケーション証明書、並びに、たとえばLPF及びLCCFなどの他のファイルを有することを示すものである。部分的にプロビジョニング済みの装置の状態を使用して、コンピュータ化装置がこのデータの一部のみを有することを示すことができる。いくつかの実装形態では、拡張SCMSは、この拡張SCMS及び/又は各エンドエンティティと関連付けられたプロビジョニング済み装置の数をカウントしていてもよく、また当該装置の状態をプロビジョニング済みに設定したことに基づいて、そのカウントを更新してもよい。たとえば、拡張SCMSは、プロビジョニング済み装置の数を使用して、プロビジョニング済み装置の数が所定の生産実行サイズを超えていないかどうかを確認することができる。したがって、拡張SCMSは、許可されない過剰生産が発生していないかどうかを確認することができる。
240では、拡張SCMSは、配備された装置の管理を求める要求を受信することができる。いくつかの実装形態では、この配備された装置の管理を求める要求は、当該装置が配備された後にLPFを構成することを求める要求とすることができる。たとえば、このLPFを構成することを求める要求を、地理的制限の変更又は設定を求める要求、プロビジョニングすべきセキュリティ資産の数の変更を求める要求などとすることができる。LPFが更新された後、拡張SCMSは、更新済みのLPFを適切な装置に、当該装置が次にこの拡張SCMSに接続するときに送信することができる。たとえば、図3に関して記載しているように、当該装置は拡張SCMSに接続して、セキュリティ資産の補充を要求してもよい。
図3は、開示している実装形態と一致する、セキュア・プロビジョニング・システムで実行される方法の一実施例を示した図である。例示的な方法は、仮ID初期プロビジョニング要求のハッシュが拡張SCMSで受信される300で開始することができる。さまざまな実装形態では、仮ID初期プロビジョニング要求のハッシュは、拡張SCMSを介してプロビジョニングされたV2X装置から、又は拡張SCMSを介してプロビジョニングされなかったアフターマーケットV2X装置から受信することができる。
いくつかの実装形態では、仮ID初期プロビジョニング要求のハッシュを、V2X装置でのセキュリティ資産の補充を求める要求の一部として含めることができる。
別の実装形態では、コンテンツ配信ネットワーク(たとえば、以下で述べる図4のコンテンツ配信ネットワーク412を参照のこと)を、セキュア・プロビジョニング・システムと関連付けることができる。このコンテンツ配信ネットワークは、セキュリティ資産を保存し、かつ/又は取得できる装置の分散ネットワークを含み得、また、V2X装置が、これらV2X装置の近傍に物理的に接近している装置からセキュリティ資産を補充できるようにすることができる(たとえば、ネットワーク遅延を低減するために)。
310で、拡張SCMSは、当該装置が承認済みであるかどうかを確認することができる。たとえば、拡張SCMSは、V2X装置と関連付けられたエンドエンティティのアカウントと関連付けられた情報にアクセスして、当該装置が承認済みであり、またアクティブステータスであるかどうかを判定することができる。図3に示すように、310で、コンピュータ化装置が承認済みであるかどうかを確認することができる。310で、コンピュータ化装置が承認されていない(たとえば、盗難、誤動作、非アクティブなど)場合、その装置は補充を拒否されることになる。310で当該装置が承認済みであるかどうかを確認することにより、エコシステムにおけるコンピュータ化装置の正常かつ承認された動作に関するセキュリティ意図が保証される。拡張SCMSは、非承認の装置に対して証明書を提供することはない。支払いの失敗、侵害、ステータスの失効などにより、装置が非承認となる場合がある。
さまざまな実装形態では、エンドエンティティは、このエンドエンティティと関連付けられたV2X装置のステータスを、アクティブと非アクティブとの間で変更できる場合がある。たとえば、V2X装置が盗難又は侵害されたものであると報告された場合、当該エンドエンティティはV2X装置のステータスをアクティブから非アクティブへと変更してもよい。
320でV2X装置がアクティブであると確認された場合、拡張SCMSは、330でセキュリティ資産の補充を行うことができる。いくつかの実装形態では、本SCMSは、V2X装置と関連付けられたエンドエンティティによって設定された補充ポリシーに基づいて、セキュリティ資産の補充を行うことができる。たとえば、エンドエンティティは、V2X装置にプロビジョニングすべきセキュリティ資産の数を指定したり、かつ/又は上記のように、V2X装置にプロビジョニングを許可すべきセキュリティ資産のタイプを指定したりすることができる。さらに、いくつかの実装形態では、拡張SCMSは必要に応じて、更新済みのLPFをV2X装置に提供することができる。別の実装形態では、拡張SCMSは、当該V2X装置に物理的に接近している装置を特定し、またその接近中の装置から補充を得るように当該V2X装置に指示することにより、コンテンツ配信ネットワークを介してセキュリティ資産の補充を得るように、当該V2X装置に指示することができる。
320でV2X装置がアクティブであると確認されなかった場合、拡張SCMSは340で、セキュリティ資産の補充を行わなくてもよいが、その代わりに、当該装置と関連付けられたエンドエンティティによって設定された、未検証のカスタムワークフローに従うことができる(たとえば、CMPを介して)。たとえば、拡張SCMSはV2X装置に対してシャットダウン要求を送信してもよいし、当該装置から全地球測位システム(global positioning system:GPS)座標を取得してもよいし、またV2X装置に対して更新済みLPFを提供するなどしてもよい。
いくつかの実装形態では、本明細書に記載している機能により、V2X装置の無許可のプロビジョニング又は不正なプロビジョニングを防止することができる。たとえば、公共安全車両は、V2Xエコシステムにおいて、交差点の交通信号を制御するための独自の機能を備えている場合がある。上記の機能により、V2Xエコシステムの正常動作を全体的に維持するこれらの機能を備えていることを示す証明書が、公共安全車両に対してのみ確実に発行されるようにすることができる。
別の実装形態では、拡張SCMSは再登録機能を提供してもよい。場合によっては、フィールド装置は、工場出荷時の「デフォルト」のプロビジョニングにリセットする必要があり、このプロビジョニングでは、当初プロビジョニングされた全てのキー及びデータが消去される。このような装置を再登録するために、拡張SCMSは、マルチステージプロセスを使用してこの装置を安全に再プロビジョニングし、これによって、非承認の装置が再登録されるのを防止することができる。たとえば、拡張SCMSは、OEMの修理工場など、既知のエンドロケーションへのセキュア通信パスを確立する。相互認証済みのトランスポート層セキュリティを使用して、このようなセキュア通信パスを確立することができる。拡張SCMSは、次いで装置のマイクロプロセッサのシリアル番号又はその他の永久識別子が、新規の登録キー証明書署名要求と共に当該装置から取得されるように要求することができる。次いで拡張SCMSは、この永久識別子を使用して従前に装置をプロビジョニングしたかどうかを確認することができる。このことを確認できた場合、拡張SCMSは、LPFなどの他の装置プロビジョニング情報を含む登録証明書を返送する。拡張CMSは、当該装置が再登録されたことを示す装置の状態記録を保持することができる。当該装置は、次いでSCMSプロトコルを使用して、仮名/アプリケーション証明書バンドルを要求することができる。拡張SCMSの構成設定に基づき、本SCMSはその柔軟なプロビジョニングメカニズムを使用して、受信が許可されているものだけを当該装置にダウンロードする。これにより、OEM及び/又はその修理現場に照会して、再登録プロビジョニングが許可されているかどうかを確認することができる。この追加の確認は、不正行為が発生している可能性がある場合、又は重要なエンティティ(たとえば、交差点の信号を制御する特別な機能を備えるパトカーなど)を再登録する場合に実行してもよい。
例示的なV2Xシステムを使用して、これらの新たな機能を例示してきたが、これらの機能は、たとえば欧州C‐ITSの車両間通信(C2C)や道路・車両間通信(C2I、C2X)システム、又はインテリジェント医療機器などの他のIoT装置で同様に使用してもよい。
図4は、開示している実装形態と一致する、セキュア・プロビジョニング・システム400の一実施例を示した図である。セキュア・プロビジョニング・システム400は、仮想登録局を含むSCMSホスト408と、CMS管理ポータル(CMP)402と、加入者管理システム(SMS)404と、SMSデータベース406と、製造中の1つ又はそれ以上のコンピュータ化装置410と、コンテンツ配信ネットワーク412と、1つ又はそれ以上の配備された装置414とを備え得る。いくつかの実装形態では、SMS404は、加入者エンティティの構成情報を管理するためのエンティティ管理システムとして機能している。さまざまな実装形態では、SMS404は、テナント及び当該テナントに関連する情報を管理するように動作可能であり、その情報の一部は、当該テナントのOBU、RSU、及びTMC装置へと送信されてもよい。図4に示すように、配備された装置414は、OBUを備えるコンピュータ化装置(たとえば、V2X装置又はC2X装置を備える車両)及び/又は1つ又はそれ以上のRSUを含み得る。図4の実施例では、CMP402は加入者ポータルとして機能することができる。特定の実装形態では、CMP402は、テナント(たとえば、クライアント)からテナント情報を受信し、次いでCMP402は、このテナントからのパラメータをLPFに保存する。そのような実装形態によれば、テナントごとに別個のLPFが生成され、必要に応じて各テナントがCMP402を使用して、セキュア・プロビジョニング・システム400のテナントそれぞれのバージョンを構成する。たとえば、テナントは、証明書の有効期間(たとえば、証明書有効期限)、当該テナントの装置が所有できる証明書の数、当該テナントの証明書のオーバーラップ期間、当該テナントの証明書が将来有効になる期間(たとえば、当該テナントの装置における初期プロビジョニングの場合、将来のどの時点まで証明書が有効となるか)、及び当該テナントが証明書の補充をいつ要求する必要があるのかを示す指標(たとえば証明書を使用する場合、エンドエンティティは、追加の証明書を要求する前にどのくらいの期間待機することになるのか)を構成している、LPFに保存すべきパラメータを指定することができる。
引き続き図4を参照すると、セキュア・プロビジョニング・システム400のコンポーネントは、SMS404と、仮想登録局を含むSCMSホスト408と、CMP402と、SMSデータベース406とを備え得る、拡張SCMSを形成している。いくつかの実装形態では、CMP402、SMS404(たとえば、エンティティ管理システム)、SMSデータベース406、及び仮想登録局を含むSCMSホスト408のそれぞれを、それぞれが1つ又はそれ以上のプロセッサ、及び1つ又はそれ以上のコンピュータで読み取り可能な非一時的媒体などを含む、別個の装置とすることができる。代替的な又は付加的な実装形態では、CMP402、SMS404、SMSデータベース406、及び仮想登録局を含むSCMSホスト408のうちの2つ以上を、単一のコンピューティング装置へと統合することができる。図4に示すように、セキュア・プロビジョニング・システム400のコンポーネントは、セキュア・プロビジョニング・システム400の他のコンポーネントに通信可能に結合された。
さまざまな実装形態では、仮想登録局を含むSCMSホスト408は、セキュリティ資産を提供し、また上記のようなセキュリティ資産のハッシュを検証してもよい。別の実装形態では、CMP402は、エンティティ(たとえば、テナント、加入者、クライアント)及びコンピュータ化装置(たとえば、V2X装置又はC2X装置)が拡張SCMSと通信するためのインターフェースを提供してもよい。たとえば、CMP402は、複数のテナント、及びこれら複数のテナントのコンピュータ化装置がSCMSホスト408と交信するために使用できる、通信インターフェースを提供することができる。このような通信は、たとえば、プロビジョニング要求、HTTPS POST要求、要求確認、要求結果、バッチ証明書のダウンロード、及びその他のメッセージを含み得る。代替的な又は付加的な実装形態では、SMS404は、拡張SCMSを使用するさまざまなエンティティ(たとえば、テナント、加入者、クライアント、顧客)のアカウント(たとえば、アカウント情報)を保存し、かつ/又は管理できるエンティティ管理システムとして機能する。さらに別の実装形態では、SMSデータベース406は、拡張SCMSに関する情報を保存してもよい。たとえば、SMSデータベース406は、後の段階でコンピュータ化装置を識別するための情報を保存でき、また各コンピュータ化装置を、このコンピュータ化装置をプロビジョニングするエンドエンティティ(たとえば、テナント)とさらに関連付けることができる。
図4にさらに示すように、製造中の装置410は、(上記のような)ティア1メーカーと現在関連付けられているV2X装置又はC2X装置を表すことができ、また配備された車両及びRSUは、OEM及び/又は交通管理センターと現在関連付けられている装置を表すことができる。
図4に示す例示的な実装形態では、コンテンツ配信ネットワーク412は、セキュア・プロビジョニング・システム400のコンポーネントとするか、又はこれと関連付けることができる。コンテンツ配信ネットワーク412は、セキュリティ資産を保存し、かつ/又は取得することができる装置の分散ネットワークを含み得、また配備された装置414が、これら配備された装置414の近傍に物理的に接近している装置からセキュリティ資産を補充できるようにすることができる(たとえば、ネットワーク遅延を低減するために)。たとえば、配備されたV2X装置は、コンテンツ配信ネットワーク412を介して通信することにより、近傍の装置からの証明書を補充することができる。
図5は、本発明の実装形態と一致する、セキュア・プロビジョニング・システムのマルチテナント(たとえば、テナントA、テナントB、及びテナントN)に対応している、コンピュータ化装置502、504、506を示した図である。さまざまな実装形態によれば、拡張SCMSは、登録時にコンピュータ化装置を特定のテナント(たとえば、クライアント、顧客、及び加入者)又は配備にリンクすることにより、マルチテナント操作をもたらす機能を有する。
図5の実施例では、n個のテナントグループがあり、また拡張SCMSは装置502をテナントAにリンクでき、装置504をテナントBにリンクでき、装置506をn個のテナントグループの最後のn番目のテナント(すなわち、テナントn)にリンクすることができる。図5に示すように、装置502、504、506をそれらが対応しているテナントにリンクすることは、装置502、504、506が登録局にアクセスしてテナント識別子(テナントID)を特定するために使用する、それぞれのネットワークアドレス、パス、又はURLを解析することによって実行され得る。図5の実施例では、URL503は、URL503に追加されたテナントAのテナントIDを含み、URL505は、テナントBのテナントIDを含み、URL507は、テナントnのテナントIDを含む。これらのURL503、505、507は、コンピュータ化装置502、504、506が使用し、これによって拡張SCMSの登録局にアクセスすることができる。代替的な又は付加的な実装形態では、追加されたか、あるいはURL503、505、507で示されているテナントIDを含めることにより、登録時に装置502、504、506に対してテナントのテナントIDを提供することができる。他の代替的な又は付加的な実装形態では、テナントのテナントIDを、登録時に新規のファイルで装置(たとえば、装置502)に提供することができ、その際当該装置は、たとえば「SCMSテナント」ヘッダ要素などの新規のHTTPヘッダ要素にテナントIDを追加する。さまざまな実装形態によれば、テナントIDなどのテナント情報をメッセージ内で暗号化して、これにより、特定の装置と関連付けられたテナントの識別情報を保護することができる。
図6は、本発明の実装形態と一致する、証明書管理システム(CMS)管理ポータル(CMP)602と、SMS604と、SMSデータベース606とを備える、セキュア・プロビジョニング・システム内の例示的なワークフロー600を示した図である。
さまざまな実装形態によれば、テナントはCMP602を介して登録される。CMP602内で、装置所有者(たとえば、図5を参照して上述した装置502、504、506のうちの1つの所有者)は、アカウント登録装置を設定し、装置の証明書を送信し、次いでCMP602によってテナントIDを付与される。
例示的なワークフロー600は、CMP602に新規の顧客情報(たとえば、テナント情報又は加入者情報)を登録することを含む。ワークフロー600は、テナントの装置、当該装置のターゲット用途(たとえば、当該テナントのコンピュータ化装置の意図された用途)、及び証明書を提供するテナントを識別することをさらに含む。この情報は、次いで認証を行うためにテナントからCMP602へと送信される。CMP602で帯域外認証が行われると、次いでテナントは、生成されたテナントID及びアカウント情報を受信する。テナントID及びそのテナントのアカウント情報をSMSデータベース606に保存することでき、その後、必要に応じてCMP602とSMS604とがこれらをSMSデータベース606から検索取得することができる。
図6では、CMP602を、テナントのSLA詳細を受信し、かつ構成するように動作可能とすることができる。いくつかの実装形態では、CMP602を、テナントが要求する、特定のカスタマイズのビジネス要件に関する詳細を構成するようにさらに動作可能とすることもできる。たとえば、テナントは、証明書作成のためのハードウェアの分離(たとえば、以下に記載している、図7の分離され、かつ独立しているSCMSのバックエンドコンポーネント724のセットを参照のこと)、暗号化計算のための暗号分離、機密計算のためのハードウェア・セキュリティ・モジュール(hardware security module:HSM)の分離、証明書認証局下での一意の証明書チェーン、1週間あたりの予想使用量、ローカルポリシーのパラメータ(たとえば、LPFなどからの)、及び当該テナントの他のSLA詳細を当該テナントが要求しているかどうかを、CMP602に示すことができる。ワークフロー600では、CMP602はこれらのSLA詳細をSMSデータベース606に送信してこれに保存し、次いでSMS604に通知して、契約及び決済業務を実行させる。さまざまな実装形態では、SMS604は、テナント及び当該テナントに関連する情報を管理するように構成されており、その情報の一部はSMSデータベース606に保存され、かつ当該テナントのOBU、RSU、及びTMC装置へと送信されてもよい。新規のテナントの構成及びサービスレベルに応じて、SCMSのバックエンドサービスを形成することができ、また当該テナントのニーズ及びSLA詳細に応じて、当該新規テナント用にハードウェアを配備することができる。たとえば、以下に記載の図7に示すように、専用の登録局721及び独立したSCMSのバックエンドコンポーネント724は、他のテナントよりも上位のサービスレベルを有するテナントN用に配備することができる。
図7は、本発明の実装形態と一致する、マルチテナント操作をサポートするように構成された、セキュア・プロビジョニング・システムの例示的な操作環境700を示した図である。図示のように、操作環境700は、SCMSホスト708と、n個のテナントのグループのうちの複数のテナント(たとえば、テナントA、B、…N)と関連付けられたコンピュータ化装置702、704、706と、登録局720、721と、SCMSのバックエンドコンポーネント722、724のセットとを備える。
例示的な操作環境700では、単一のSCMSホスト708は、単一のIPアドレスを有するハードウェアプラットフォームであり、SCMSホスト708は、n個のテナントのグループのうちのテナント間で共有されている。つまり、SCMSホスト708は、コンピュータ化装置702、704、706からの初期プロビジョニング要求703、705、707を処理する。一部のテナントは、必要なサービスレベル及び購入したサービスティア(たとえば、サービスレベル契約(service level agreement:SLA)で取得されたものなど)に基づいて、SCMSのバックエンドコンポーネントを共有することを選択してもよい。図7の実施例では、テナントA及びBは、SCMSの共有バックエンドコンポーネント722のセットを使用することを選択している。あるいは、上位のサービスティアが必要であるか、又はより多くの証明書を迅速にプロビジョニングする必要性が高い他のテナントは、当該テナントに対し、個別のハードウェアコンポーネントを含む個別の専用SCMSのバックエンドコンポーネント(たとえば、単一のテナントに対して暗号化操作を実行する専用の分離され、かつ独立しているハードウェアコンポーネント)にアクセス権を付与するSLAを有し得る。図7の実施例では、テナントNは、分離され、かつ独立しているSCMSのバックエンドコンポーネント724のセットを使用することを選択している。特定の実装形態では、テナントA、B、…NのそれぞれのLPFのパラメータは、SCMSの共有バックエンドコンポーネント722のセット又は分離され、かつ独立しているSCMSのバックエンドコンポーネント724のセットのいずれの使用も指定することができる。
図7に示すように、複数のコンピュータ化装置702、704、706のそれぞれは、SCMSホスト708を介して、それぞれの初期プロビジョニング要求703、705、707をそれらの構成済み登録局へと送信することができ、ここでプロビジョニング要求703、705、707はそれぞれのテナントIDを示している。いくつかの実装形態によれば、テナントA、B、…NのテナントIDは、SCMSホスト708に送信されるルート情報に含めることができる。つまり、操作環境700では、コンピュータ化装置702、704、706のそれぞれは、特定のテナント(たとえば、テナントA、B、…Nのうちの1つ)によって登録されており、またそれぞれの初期プロビジョニング要求703、705、707において、当該テナントはそれぞれのテナントIDを提供する。さまざまな実装形態では、これらのテナントIDはURL(たとえば、図5のURL 503、505、507など)内、ルート内、又はHTTPヘッダ要素(たとえば、「SCMSテナント」要素)内に、あるいは他のメカニズムによって設けることができる。
SCMSホスト708は、中央集権型サービスのための単一のSCMS登録局のエンドポイントである。SCMSホスト708は、初期プロビジョニング要求703、705、707を含む全ての要求を受信し、これらの要求からのテナントIDを解析し、かつ検証を実行する(たとえば、登録証明書の正しいテナントを特定するために)。SCMSホスト708は、仮想の共有登録局720、又は専用登録局721に対して、さまざまな要求をルーティングする。さまざまな実装形態では、SCMSホスト708が初期プロビジョニング要求703、705、707からのテナントIDを解析した後に、操作環境700内で送信される全てのメッセージにこのテナントIDが追加される。いくつかの実装形態によれば、このテナントIDは、ハッシュを使用して、又はこのテナントIDを汎用一意識別子(universally unique identifier:UUID)にマッピングすることにより、そのようなメッセージで難読化されてもよい。これらのテナントIDをそれらのUUIDに各自マッピングすることにより、図6を参照して上述したSMSデータベース606に保存することができる。このような難読化により、複数のテナント(たとえば、テナントA及びB)間で共有される仮想登録局720を介して送信される、メッセージのプライバシーを確保するのが支援される。次いで、このテナントIDを操作環境700で使用して、使用すべきキー又は証明書チェーンを決定する。このテナントIDにより、登録局720、721は、特定の要求(たとえば、プロビジョニング要求703、705、707のうちの1つ)に関して準拠すべきポリシーパラメータをさらに決定することができる。
操作環境700では、SCMSホスト708を、登録局720、721の上方にある抽象化レイヤ又は仮想レイヤとすることができる。SCMSホスト708は、初期プロビジョニング要求703、705、707からのテナントIDを解析する。装置702、704、706及び操作環境700の外部にある装置の視点から見ると、全てのテナント(たとえば、クライアント)がSCMSホスト708に接続するために使用するSCMS URLが1つ設定されている。このようにして、またSCMSホスト708を使用して、初期プロビジョニング要求703、705、707からのテナントIDを解析することにより、操作環境700は、コンピュータ化装置702、704、706のうちの特定の1つを特定のテナントが所有しているかどうか、又はこれと関連付けられているかどうかを判定する際に、確実にスヌーピングが使用できないようにしている。これにより、操作環境700に渡されたネットワークトラフィックをスヌープしようと試みる恐れのあるユーザから、テナントの識別情報及びプライバシーが保護されることになる。
操作環境700では、SCMSホスト708が、初期プロビジョニング要求703、705、707に使用されるルート、URL、HTTPヘッダ、又は他のメカニズムからのテナントIDを解析し、これらの初期プロビジョニング要求703、705、707を正しい登録局(たとえば、共有登録局720又は専用登録局721)へとルーティングすることができる。図7に示すように、SCMSホスト708は、初期プロビジョニング要求703及び705からのテナントA並びにBのテナントIDを解析し、次いで解析したこれらのテナントIDに基づいて、それらの要求を登録局720へとルーティングする。同様に、SCMSホスト708は、初期プロビジョニング要求707からのテナントNのテナントIDを解析し、次いで解析したこのテナントNのテナントIDに基づいて、その要求を専用登録局721へとルーティングする。代替的な又は付加的な実装形態では、SCMSホスト708と単一の登録局との間で交換される内部メッセージに埋め込まれたテナントIDを使用して要求をルーティングする登録局を、ただ1つ設けている可能性がある。他の代替的な又は付加的な実装形態では、初期プロビジョニング要求703、705、707をフィールドし、次いでこれらの要求を正しいバックエンドコンポーネントへとルーティングする、完全に独立した内部仮想登録局コンポーネントを設けている可能性がある。
図7の実施例では、SCMSの共有バックエンドコンポーネント722のセットは、テナントAとテナントBとの間で共有されるコンポーネントである。このSCMSの共有バックエンドコンポーネント722のセットは、仮名証明書共有認証局740と、リンケージ共有認証局1の750と、リンケージ共有認証局2の760と、登録証明書共有認証局730とを備え、これらはテナントA及びBに証明書とリンケージ値とを提供している。図7にさらに示すように、分離され、かつ独立しているSCMSのバックエンドコンポーネント724のセットは、単一のテナント、すなわちテナントNからの証明書要求を実行する専用のコンポーネントである。このSCMSの独立バックエンドコンポーネント724のセットは、仮名証明書独立認証局741と、リンケージ独立認証局1の751と、リンケージ独立認証局2の761と、登録証明書独立認証局731とを備え、これらはテナントNのみに証明書とリンケージ値とを提供している。図7の実施例では、テナントNのサービスレベルがテナントA及びBのサービスレベルよりも上位となっており(たとえば、上位のサービスティア又はサービス優先度)、その結果、テナントNは、SCMSの独立バックエンドコンポーネント724のセットによりサービスを受けることになる。特定の実装形態では、サービスティアは、N個のテナントのグループのうちの各テナントと関連付けられ、また各テナントのサービスティアは、最下位のサービスレベルから最上位のサービスレベルまでの範囲にある複数のティアのうちの1つに対応している。
特定の実装形態では、専用登録局721は、SCMSの共有バックエンドコンポーネント722をさらに使用することができる。つまり、いくつかの実装形態では、テナントNに一意のインターフェースを付与するテナントNの専用登録局721を形成することができるが、テナントNによって使用されるSCMSの共有バックエンドコンポーネント722は、他のテナント(たとえば、テナントA及びB)と共有されてもよい。代替的な又は付加的な実装形態では、この専用登録局721は、証明書を必要とするテナントのコンピュータ化装置の1つ又はそれ以上の製品タイプに応じて、SCMSの別の共有バックエンドコンポーネント722のセットにアクセスすることができる。つまり、所定のテナントのOBUはSCMSの1つの共有バックエンドコンポーネント722のセットを使用してもよく、そのテナントのRSUは、SCMSの別の共有バックエンドコンポーネント722のセットを使用することができる。
いくつかの実装形態によれば、上位のサービスティアは、他のテナントによって共有又は使用されていない専用登録局721へのアクセス権を、テナントNに付与することができる。そのような実装形態の1つでは、専用登録局721を形成し、そのテナントの上位のサービスティアに基づいて、テナントN用にこれを構成することにより、専用登録局721がテナントNに一意のインターフェースを付与するようにすることができる。いくつかの実装形態では、上位のサービスティアを有するテナントNには、他のテナントと共有されていない、分離され、かつ独立しているSCMSのバックエンドコンポーネント724へのアクセス権が付与される。付加的な又は代替的な実装形態では、上位のサービスティアと専用登録局とを有する別のテナントが、証明書を必要とするそのテナントの装置の製品タイプに応じて、SCMSの別の共有バックエンドコンポーネント722へとアクセスすることができる。つまり、テナントのOBU装置はSCMSの共有バックエンドコンポーネント722のうちの1つを使用してもよく、またRSU装置は、SCMSの別の共有バックエンドコンポーネント722を使用することができる。
図8A及び図8Bは共に、本発明の実装形態と一致する、証明書などの資格情報を安全に提供するための例示的なプロセス800を示す、スイムレーン図である。プロセス800では、仮想登録局を使用して、複数のテナントに証明書を提供する。
具体的には、図8A及び図8Bに示す例示的なプロセス800は、装置810などのV2X装置に証明書を提供するために、拡張SCMSのコンポーネント間で発生する要求及び応答の交換を含む。ただし、本明細書に記載の実装形態はV2X装置のマルチテナント操作に限定されるものではないので、開示している原理も、C2X装置などの他のタイプのコンピュータ化装置及びコンピュータ制御装置に適用することができる。つまり、拡張SCMSは、V2X又はC2X証明書管理サービスとして機能してもよい。図8A及び図8Bに示す例示的なプロセス800は、マルチテナント環境においてV2X装置に証明書を提供している。つまり、図8A及び図8Bは、要求及び応答のV2Xフローのコンテキストにおける例示的な拡張SCMSのコンポーネントを示す。
さまざまな実装形態では、プロセス800又は示している操作の一部若しくは全部は、コンピューティングシステム(1つ又はそれ以上のプロセッサあるいは1つ又はそれ以上のコンピューティングサブシステムを含んでいてもよい)上で実行されるコードによって、又はハードウェアのみのシステムによって、あるいはこれら2つを組み合わせたシステムによって実行されてもよい。図8A及び図8Bの上部に示すように、プロセス800に関与するエンティティは、装置810と、SCMSホスト808と、仮想登録局820と、リンケージ認証局850、860と、仮名証明書認証局840とを備える。さまざまな実装形態では、図8A及び図8Bに関して以下に、また本開示全体を通して記載しているように、これらのエンティティは、証明書を提供するためのプロセス800の一部としてタスクを実行するために、互いと通信し合ってもよい。いくつかの実装形態では、装置810は、ある製造元(図示せず)に配置されたV2X装置であってもよい。
特定の実装形態では、SCMSホスト808は、仮想登録局820をホストしてもよい。プロセス800は、拡張SCMSによって実行することができ、この拡張SCMSはプロビジョニング要求を送信する装置(たとえば、装置810)と通信している。
拡張SCMSは、仮想登録局820と、1つ又はそれ以上のリンケージ認証局850、860と、仮名証明書認証局840とを備える。例示的なCMSは、仮想登録局820用のアプリケーションを実行している1つ又はそれ以上のアプリケーションプラットフォームを備えていてもよい。これらのアプリケーションプラットフォームは、仮想登録局820が要求する暗号化計算を実行している、1つ又はそれ以上の計算エンジンに通信可能に接続されている。これら1つ又はそれ以上のアプリケーションプラットフォームは、1つ又はそれ以上の仮想マシン(VM)あるいは1つ又はそれ以上のハードウェアプラットフォーム(たとえば、サーバ、コンピュータ、又はソフトウェアアプリケーションをホストし、かつ実行することができる他のコンピュータハードウェア)を含んでいてもよい。拡張SCMSは、登録証明書認証局(図示せず)を運用し、かつこの登録証明書認証局が要求する暗号化計算を実行している1つ又はそれ以上の計算エンジンに通信可能に接続された、1つ又はそれ以上のVMをさらに備えていてもよい。この登録証明書認証局は登録証明書を生成し、かつ仮想登録局820に条件付きでこれらを送信するように動作可能である。図8A及び図8Bの仮想登録局820をホストしている例示的なCMSホストは、仮名証明書認証局840のアプリケーションを実行し、かつこの仮名証明書認証局840が要求する暗号化計算を実行している1つ又はそれ以上の計算エンジンに通信可能に接続された、1つ又はそれ以上のVMをさらに含んでいてもよい。仮名証明書認証局840は仮名証明書を生成し、かつ仮想登録局820に条件付きでこれらを送信するように動作可能である。拡張SCMSは、第1及び第2のリンケージ認証局850、860を運用し、かつこれらの第1及び第2のリンケージ認証局850、860が要求する暗号化計算を実行している1つ又はそれ以上の計算エンジンに通信可能に接続された、1つ又はそれ以上のVMをさらに備えていてもよい。第1のリンケージ認証局850及び第2のリンケージ認証局860のそれぞれのアプリケーションは、リンケージ値を生成し、かつ仮想登録局820に条件付きでこれらを送信するように動作可能であってもよい。
図8A及び図8Bに示す仮想登録局820を備える拡張SCMSは、仮想登録局820のアプリケーションを実行し、かつこの仮想登録局820が要求する暗号化計算を実行している1つ又はそれ以上の計算エンジンに通信可能に接続された、1つ又はそれ以上のアプリケーションプラットフォームをさらに備え得る。拡張SCMSは、登録証明書認証局のアプリケーションを実行し、かつこの登録証明書認証局が要求する暗号化計算を実行している1つ又はそれ以上の計算エンジンに通信可能に接続された、1つ又はそれ以上のアプリケーションプラットフォームをさらに備え得、この登録証明書認証局は登録証明書を生成し、かつ仮想登録局820に条件付きでこれらを送信するように動作可能であってもよい。拡張SCMSは、仮名証明書認証局840のアプリケーションを実行し、かつこの仮名証明書認証局840が要求する暗号化計算を実行している1つ又はそれ以上の計算エンジンに通信可能に接続された、1つ又はそれ以上のアプリケーションプラットフォームをさらに備え得、この仮名証明書認証局840は仮名証明書を生成し、かつ仮想登録局820に条件付きでこれらを送信するように動作可能であってもよい。さらに、拡張SCMSは、第1のリンケージ認証局850のアプリケーションを実行し、かつこの第1のリンケージ認証局850が要求する暗号化計算を実行している1つ又はそれ以上の計算エンジンに通信可能に接続された、1つ又はそれ以上のアプリケーションプラットフォームをさらに備え得る。最後に、拡張SCMSは、第2のリンケージ認証局860のアプリケーションを実行し、かつこの第2のリンケージ認証局860が要求する暗号化計算を実行している1つ又はそれ以上の計算エンジンに通信可能に接続された、1つ又はそれ以上のアプリケーションプラットフォームをさらに備え得る。リンケージ認証局850、860はリンケージ値を生成し、かつ仮想登録局820に条件付きでこれらを送信するように動作可能であってもよい。
さらに他の実装形態では、登録証明書認証局は、仮想登録局820から登録証明書を求める要求を受信したことに応答して、登録証明書を生成するように動作可能であってもよく、仮名証明書認証局840は、仮想登録局820から仮名証明書を求める要求を受信したことに応答して、仮名証明書を生成するように動作可能であってもよく、また、第1のリンケージ認証局850及び第2のリンケージ認証局860は、仮想登録局820からリンケージ値を求める要求を受信したことに応答して、リンケージ値を生成するように動作可能であってもよい。代替的な又は付加的な実装形態では、登録証明書認証局は、コンピュータ化装置から直接要求を受信したことに応答して、登録証明書を生成するように動作可能であってもよい。つまり、証明書を取得する複数の方法があり、図8A及び図8Bに示す例示的なプロセス800は、単に1つの例示的な方法にすぎない。
図8Aの実施例に示すように、プロセス800は、装置810(たとえば、エンドエンティティのV2X装置)が仮名証明書を求める初期プロビジョニング要求をSCMSホスト808へと送信する操作805で開始される。図示のように、805は、テナントAのテナントIDを含むURLを備えるHTTPS POSTコマンドを装置810が送信することを含み得る。いくつかの実装形態では、装置810は登録時にURLを付与されており、操作805の初期プロビジョニング要求は、装置810から直接送信されており、また図8Aに示すように、このプロビジョニング要求は、そのURL及び仮想登録局820のポート番号を含むHTTPS POSTコマンドとすることができ、その際、ルートが定義され、テナント識別子(ID)がそのURLに埋め込まれた状態となっている。これにより、SCMSホスト808は、装置810又はプロセス800を変更若しくは再構成する必要なく、テナントを識別し、かつ当該要求を正しい仮想登録局820へとルーティングすることができる。
いくつかの実装形態では、このプロビジョニング要求は、当該テナントの構成の詳細、必要となるアプリケーションのアクセス許可(たとえば、プロバイダーサービス識別子(Provider Service Identifier:PSID)値で示される)、及び証明書の有効期間情報を示すことができる。このような情報は、ルート又はHTTPSヘッダで渡すことができる。たとえば、「SCMSテナント」ヘッダ要素のキーと値とのペアには、「テナントA」という値を含めることができる。この情報のプライバシーは、装置810とSCMSホスト808との間のトランスポート層セキュリティ(Transport Layer Security:TLS)ハンドシェイク内で保護することができる。
付加的な又は代替的な実装形態では、2つの異なるURL又はルートが同じサーバ若しくはウェブページに解決される(たとえば、ポイントする)形式のドメイン・ネーム・システム(Domain Name System:DNS)で、プロビジョニング要求を送信することができる。つまり、DNSを使用することにより、2つのテナントそれぞれのテナントIDを示す2つの異なるテナントからの要求は、別々のルート又はURLを有する可能性があるが、これらは両方とも、依然として同じ拡張SCMS及び同じSCMSホスト808に解決されることになる。V2X環境(たとえば、衝突回避メトリクスパートナー、LLC(Crash Avoidance Metrics Partners,LLC(「CAMP」)で規定されている)では、登録証明書には、アプリケーションのアクセス許可(PSID値で識別される)と、RSU及びOBUそれぞれに許可された地理的領域とを含める必要がある。RSU装置又はOBU装置は、当該登録証明書に含まれるPSID値と一致しているアプリケーション証明書及び/又は仮名証明書のみを取得することができる。
操作807で、装置810が仮想登録局820のURLと共に、プロビジョニング要求をSCMSホスト808へと送信した後、SCMSホスト808は、次いで当該要求からのテナントID(たとえば、テナントAのUUID又は他の一意識別子)を解析し、これにより、そのテナントを処理している仮想登録局820に対して、当該要求をルーティングできるようにする。このように、プロセス800では、単一のSCMSホスト808で複数のテナントにサービスを提供し、かつカスタム構成を処理することができる。図8Aの実施例では、操作807で、SCMSホスト808は当該要求からのテナントAのテナントIDを解析する。特定の実装形態では、プロビジョニング要求には、テナントAのテナントIDを示すメタデータが含まれ、この場合、このテナントIDをハッシュ、UUID、又はテナントの識別情報を表示しない他のタイプの一意IDとすることができる。
次いで、809でSCMSホスト808は、登録証明書認証局に照らして当該テナントの検証を行って、当該テナントに別個の登録証明書認証局が存在しているかどうかを判定する。特定の実装形態によれば、装置810のLPF及びLCCFのダウンロードは、Representational State Transfer(REST)サービス呼び出しを通じて行われ、このダウンロードには登録証明書(たとえば、署名付きメッセージ)は含まれない。プロセス800内の他の全てのRESTサービス呼び出しの場合、操作809でSCMSホスト808が検索を実行して、装置8の特定の登録証明書が特定のテナント(たとえば、図8Aの実施例ではテナントA)によって所有されているか、又はこれと関連付けられているかどうかを確認することができる。したがって、これらのサービス呼び出しの暗号化検証を行って、これらが認証されているかどうかを確認することができる。LPF及びLCCFのダウンロードの場合、URLのテナントAのテナントID(図8Aに示す)、ルート、HTTPヘッダ、又はその他のメカニズムを使用して、装置810に提供すべきファイルを決定する。ダウンロードされるLCCFは、全てのテナント(すなわち、含まれる全ての証明書)で共通している可能性がある。ただし、ダウンロードされるLPFは、テナントごとに異なっている場合がある。プロセス800内の他のサービス呼び出しの場合、強力な暗号化リンクにより、単一の登録局(たとえば、仮想登録局820)又はSCMSのバックエンドコンポーネントの単一のセット(たとえば、図7を参照して上述したSCMSの共有バックエンドコンポーネント722のセット)が別々のポリシーを処理していても、装置810及び証明書の管理が確実に安全に行われるようにすることができる。
登録証明書認証局の主要な役割は、仮想登録局820で発生する可能性のある要求を実行し、たとえば装置810などのエンドユーザ装置に対して登録証明書を発行することである。この登録証明書認証局は、要求されている登録証明書を装置810に対して発行するために、SCMSホスト808と直接対話してもよい。付加的な又は代替的な実装形態では、登録証明書認証局は、拡張SCMSと登録証明書を必要とするコンピュータ化装置との間でプロキシとして機能するように動作可能である、装置810と直接通信することができ、その際、これらコンピュータ化装置が登録証明書を必要としており、またサーバが、登録証明書を要求するクライアントのプロキシとして機能している。たとえば、登録証明書認証局は、製造元の現場(たとえば、製造元の工場)にある装置810と直接通信することができる。登録証明書とは、全ての参加者が有効な登録証明書を共有する必要があり、またその内部で承認済み参加者が、装置810の通信及び操作を可能にする(たとえば、USDOTのV2Xエコシステムの実施例では、車両と路側インフラストラクチャとの間での通信及び操作を可能にする)仮名証明書をさらに受信することができるエコシステム(たとえば、USDOT V2Xエコシステムなど)で、承認済み参加者としてその所有者を識別する公開キー証明書のことである。
さまざまな実装形態では、操作809で実行される検証は、SCMSホスト808が、署名の検証を含む、プロビジョニング要求を復号化して検証することと、非承認の装置のリスト(たとえば、ブラックリスト)を使用して、当該証明書の送信先である装置810(たとえば、コンピュータ化装置)の失効ステータスを確認することと、当該要求者(たとえば、装置810)がSCMSホスト808から証明書を要求することを許可されているかどうかを判定することとを含んでいてもよい。たとえば、操作809は、メーカー所属のユーザが承認済みユーザ(たとえば、スタッフの一部)であるかどうかを判定することを含んでいてもよい。いくつかの実装形態では、SCMSホスト808は809で、証明書を受信するためのコンピュータ化装置(たとえば、ある製品)が、その使用を承認されているかどうかをさらに判定してもよい。場合によっては、承認済み装置のリスト(たとえば、ホワイトリスト)が規制者によって提供され、この判定を行うために、プロビジョニング制御部がこのリストを使用してもよい。
次いで811で、SCMSホスト808は、プロビジョニング要求が受信されたことを確認する一般的な確認応答(ACK)メッセージで装置810に返信する。
証明書を求める要求が検証された後、813でSCMSホスト808は、テナントAのテナントIDを含むプロビジョニング要求を開始する。図8Aの実施例では、このテナントIDはUUIDとして具体化されている。
操作815~822で、リンケージ値を求める要求を実行するために、リンケージ認証局850、860は仮想登録局820と直接対話する。815で、プロビジョニング要求が仮想登録局820において受信され、この仮想登録局820は、リンケージ値の第1のセット(LA1)を求める要求をリンケージ認証局1の850に送信する。
816で、リンケージ値の第1のセットを求める要求を受信したことに応答して、リンケージ認証局1の850は、このリンケージ値の第1のセットを仮想登録局820へと送信する。リンケージ認証局1の850は、従前に生成されたリンケージ値の第1のセット(すなわち、事前に生成されたリンケージ値)を送信することができ、又はこれらの値が事前に生成されていない場合、リンケージ認証局1の850は、リンケージ値の第1のセットを生成し、次いで送信することができる。817で、リンケージ値の第1のセットが仮想登録局820において受信される。819で、仮想登録局820は、リンケージ値の第2のセット(LA2)を求める要求をリンケージ認証局2の860へと送信する。
次いで図8Aに示すように、821で、リンケージ値の第2のセットを求める要求を受信したことに応答して、リンケージ認証局2の860は、このリンケージ値の第2のセットを仮想登録局820へと送信する。さまざまな実装形態では、リンケージ認証局2の860は、事前に生成されたリンケージ値の第2のセットを送信することができ、又は、リンケージ認証局2の860は、リンケージ値の第2のセットを生成し、次いで送信することができる。822で、リンケージ値の第2のセットが仮想登録局820において受信される。
特定の実装形態では、図8A及び図8Bに示すリンケージ認証局850、860は、証明書要求者の識別情報(すなわち、証明書要求者の装置の一意識別子)を、失効を理由に発行された仮名証明書にリンクすることができる。つまり、リンケージ認証局1の850及びリンケージ認証局2の860は、リンケージ値の第1及び第2のセットを、証明書要求者の装置の一意識別子として、プロセス800の一部として仮名証明書認証局840によって発行される仮名証明書にそれぞれ提供する。これらリンケージ認証局1の850及びリンケージ認証局2の860は、操作815及び819で仮想登録局820から送信されるリンケージ値を求める要求を受信し、次いで操作816及び821で、これらの要求されているリンケージ値を仮想登録局820へと提供する。
図8Aを引き続き参照すると、823でSCMSホスト808は、テナントAのポリシーパラメータを確認し、これらのポリシーパラメータに応じて、仮名証明書認証局840から正しい量の仮名証明書を求める要求を生成する。一実施例では、操作823は、操作807から解析されたテナントIDを使用して、SCMSホスト808が、特定の仮名証明書要求に関して準拠すべきポリシーパラメータを決定することを含んでいてもよい。たとえば、823は、装置810のローカルポリシーパラメータをその装置のLPFから取得することを含んでいてもよい。
825で、仮想登録局820は、仮名証明書を求める要求を仮名証明書認証局840に対して送信する。この要求は、仮想登録局820によって作成される仮名証明書生成要求のバッチとして送信されてもよい。
827で、仮名証明書を求める要求が仮名証明書認証局840において受信される。827で当該要求を受信したことに応答して、仮名証明書認証局840は、テナントAが異なる証明書チェーン又はキーを使用して証明書に署名するための情報を、必要に応じて使用する。827で、仮名証明書認証局840は、要求されている仮名証明書を生成し、次いで生成された仮名証明書を仮想登録局820へと返送する。829で、仮名証明書が仮想登録局820において受信される。
次いで図8Bに示すように、831で装置810は、証明書のバッチのダウンロードを求める要求をSCMSホスト808に対して送信してもよい。図示のように、操作831で送信される要求は、テナントAのテナントIDを含むURLを備えるHTTP POST要求であってもよい。
操作833で、SCMSホスト808は、バッチのダウンロード要求からのテナントIDを解析する。次いで835で、SCMSホスト808は、登録証明書認証局に照らして当該テナントの検証を行って、当該テナントに別個の登録証明書認証局が存在しているかどうかを判定する。
次いで837で、SCMSホスト808は、テナントAのポリシーが実施されていることを確認する。操作837は、操作833から解析されたテナントIDを使用して、SCMSホスト808が、特定のバッチの仮名証明書ダウンロード要求に関して準拠すべきポリシーパラメータを決定することを含み得る。たとえば、837は、装置810のローカルポリシーパラメータをその装置のLPFから取得することを含んでいてもよい。テナントAのポリシーが、要求されている仮名証明書のバッチに関して実施されていることを確認した後、制御が操作839へと渡される。
仮名証明書が準備されると、839でSCMSホスト808は、仮名証明書を含むダウンロード済みファイルを装置810へと送信する。841で、装置810は仮名証明書を受信する。この時点で、装置810は仮名証明書をプロビジョニングされ、また装置810は、これらの仮名証明書を使用することができるようになり、また仮名証明書をプロビジョニングする操作が完了する。
付加的な又は代替的な実装形態では、上記のプロセス800と同様のプロセスを使用して、たとえばC2X装置などの他のコンピュータ化装置に対して証明書を提供することができる。たとえば、図8A及び図8Bに示すものと同様のコンポーネントを備えるCMSは、1つ又はそれ以上の車載装置(OBU)、電子制御装置(ECU)、路側機(RSU)、及びTMC装置に対して証明書を提供することができる。このようなOBU及びECUが車両、船艇(たとえば、ボート)、航空機(たとえば、飛行機やドローン)、宇宙船、医療機器、ロボット、無線又は有線通信モジュール、及びIoT装置に設置されるように、これらを構成することができる。同様に、交通制御装置(たとえば、交通信号)、路側コンテンツ配信システム、自動料金収受システム、電子サイネージ装置、及びデジタル表示装置(たとえば、電子掲示板)にRSUを設置することができる。TMCDは、政府(地方自治体、州政府、又は連邦政府など)の交通管理センターに設置され、RSUによるブロードキャスト又は表示を行うために、メッセージへのデジタル署名時に使用されるように動作可能である。
図9は、本発明の実装形態と一致するシステム及び方法を実装するのに使用できる、コンピューティングシステム900を含む、コンピューティング環境901の一実施例を示したブロック図である。他のコンポーネント及び/又は配置を同様に使用してもよい。いくつかの実装形態では、コンピューティングシステム900を使用して、たとえば図8A及び図8Bにおける装置810、仮想登録局820、SCMSホスト808、リンケージ認証局850、860、及び仮名証明書認証局840、図4におけるセキュア・プロビジョニング・システム400のコンポーネント、並びに図7における操作環境700のコンポーネントなど、図1~図8におけるさまざまなコンポーネントを少なくとも部分的に実装してもよい。たとえば、コンピューティングシステム900を使用して、とりわけ図4及び図6における仮想登録局を含むSCMSホスト408、CMP402、602、SMS404、604、及びSMSデータベース406、606を少なくとも部分的に実装してもよい。また、たとえばコンピューティングシステム900を使用して、とりわけ図7のSCMSホスト708、登録局720、721、及びSCMSのバックエンドコンポーネント722、724を少なくとも部分的に実装してもよい。いくつかの実装形態では、コンピューティングシステム900と同様の一連のコンピューティングシステムをそれぞれ専用ハードウェアでカスタマイズし、かつ/又は専用サーバとしてプログラムすることにより、ネットワーク935を介して互いと通信し合うことができる、図1~図8におけるコンポーネントのうちの1つを実装してもよい。
図9に示す実施例では、コンピューティングシステム900は、CPU905、メモリ910、1つ又はそれ以上の入力/出力(I/O)装置925、ハードウェア・セキュリティ・モジュール(HSM)940、及び不揮発性ストレージ装置920などのいくつかのコンポーネントを備える。システム900はさまざまな方法で実装することができる。たとえば、統合プラットフォーム(サーバ、ワークステーション、パーソナルコンピュータ、ラップトップなど)としての実装は、CPU905、メモリ910、不揮発性ストレージ920、及びI/O装置925を備えていてもよい。そのような構成において、コンポーネント905、910、920、及び925は、ローカル・データ・バスを介して接続され、かつ通信してもよく、また外部I/O接続を介して、データリポジトリ930(たとえば、別個のデータソース又はデータベースシステムとして実装される)にアクセスしてもよい。1つ又はそれ以上のI/Oコンポーネント925を、直接通信リンク(たとえば、有線又はローカルのWiFi(登録商標)接続)を介して、またローカル・エリア・ネットワーク(LAN)又はワイド・エリア・ネットワーク(WAN、たとえば携帯電話ネットワークやインターネットなど)などのネットワークを介して、かつ/又は他の適切な接続を介して、外部装置に接続してもよい。システム900は、スタンドアロンであってもよいし、大型のシステムのサブシステムであってもよい。
CPU905は、たとえばカリフォルニア州サンタクララのIntel(商標)社によって製造されているCore(商標)ファミリーのマイクロプロセッサ、カリフォルニア州サニーベールのAMD(商標)社によって製造されているAthlon(商標)ファミリーのマイクロプロセッサなど、1つ又はそれ以上の既知のプロセッサ又は処理装置であってもよい。CPU905は、ARM CPU又は専用CPUとすることもできる。メモリ910は、本発明の実装形態に関連する特定の機能、方法、及びプロセスを実行するために、CPU905によって実行又は使用される命令と情報とを保存するように構成された、1つ又はそれ以上の高速ストレージ装置であってもよい。ストレージ920は、揮発性若しくは不揮発性装置、磁気装置、半導体装置、テープ装置、又は光学装置、あるいは長期保存を意図したCD及びDVD、並びにソリッドステート装置などの装置を含む、他のタイプのストレージ装置又はコンピュータで読み取り可能な媒体であってもよい。
図示している実装形態では、メモリ910は、ストレージ920又はリモートシステム(図示せず)からロードされ、CPU905によって実行されると、本発明と一致するさまざまな操作、手順、プロセス、又は方法を実行する、1つ又はそれ以上のプログラム若しくはアプリケーション915を含む。あるいは、CPU905は、コンピューティングシステム900から遠隔配置された1つ又はそれ以上のプログラムを実行してもよい。たとえば、コンピューティングシステム900はネットワーク935を介して、実行時に本発明の実装形態に関連する機能及びプロセスを実行する、1つ又はそれ以上の遠隔プログラムにアクセスしてもよい。
特定の実装形態では、メモリ910は、図4、図6、図7、図8A及び図8Bにおける仮想登録局を含むSCMSホスト408、CMP402、602、SMS404、604、SCMSホスト708、登録局720、721、SCMSのバックエンドコンポーネント722、724のセット、装置810、仮想登録局820、SCMSホスト808、リンケージ認証局850、860、及び仮名証明書認証局840に関する、本明細書に記載の特殊機能及び操作を実行する1つ又はそれ以上のプログラム915を含んでいてもよい。いくつかの実装形態では、メモリ910は、本発明に補助的機能をもたらす他の方法及びプロセスを実行する、他のプログラム又はアプリケーションをさらに含んでいてもよい。
メモリ910は、本発明に関連していない他のプログラム(図示せず)、及び/又はCPU905によって実行されると、当技術分野で周知のいくつかの機能を実行するオペレーティングシステム(図示せず)でさらに構成されていてもよい。一例として、このオペレーティングシステムは、Microsoft Windows(登録商標)、Unix(登録商標)、Linux(登録商標)、Apple Computers(商標)のオペレーティングシステム、又はリアルタイム・オペレーティング・システムを含む他のオペレーティングシステムであってもよい。オペレーティングシステムの選択、及びオペレーティングシステムの使用さえも、本発明にとって重要ではない。
HSM940は、デジタルセキュリティ資産を安全に生成及び保存し、かつ/又はさまざまな暗号及び機密計算を安全に実行する、それ自体のプロセッサを備える装置であってもよい。このHSM940は、暗号化キーなどのデジタルセキュリティ資産やその他の機密データを、想定される攻撃者によるアクセスから保護している。いくつかの実装形態では、このHSMは、コンピューティングシステム900に直接接続するプラグインカード又はプラグインボードであってもよい。
1つ又はそれ以上のI/O装置925は、コンピューティングシステム900によるデータの受信及び/又は送信を可能にする、1つ又はそれ以上の入力/出力装置を含んでいてもよい。たとえばこのI/O装置925は、ユーザからのデータ入力を可能にする、キーボード、タッチスクリーン、及びマウスなどの1つ又はそれ以上の入力装置を含んでいてもよい。さらに、I/O装置925は、ユーザに対するデータの出力又は表示を可能にする、ディスプレイ画面、CRTモニタ、LCDモニタ、プラズマディスプレイ、プリンタ、及びスピーカ装置などの1つ又はそれ以上の出力装置を含んでいてもよい。I/O装置925は、たとえばデジタルで他の機械及び装置とコンピューティングシステム900とが通信することを可能にする、1つ又はそれ以上のデジタル及び/又はアナログ通信入力/出力装置をさらに含んでいてもよい。他の構成及び/又は他の個数の入力及び/又は出力装置を、I/O装置925に搭載していてもよい。
図示している実装形態では、コンピューティングシステム900はネットワーク935(インターネット、プライベートネットワーク、仮想プライベートネットワーク、携帯電話ネットワーク又は他のネットワークあるいはこれらの組み合わせなど)に接続され、一方でこのネットワーク935は、たとえばサーバ、パーソナルコンピュータ、ラップトップコンピュータ、クライアント装置などのさまざまなシステム及びコンピュータに接続されていてもよい。コンピューティングシステム900は通常、ネットワーク935を介して、外部マシン及び装置からデータを入力し、外部マシン及び装置に対してデータを出力してもよい。
図9に示す例示的な実装形態では、リポジトリ930は、データベースなど、システム900の外部にあるスタンドアロンのデータソースである。他の実装形態では、このリポジトリ930は、コンピューティングシステム900によってホストされていてもよい。さまざまな実装形態では、リポジトリ930は、本発明と一致するシステム及び方法を実装するために使用されるデータを管理し、かつ保存してもよい。たとえば、リポジトリ930を使用して、図4及び図6のSMSデータベース406、606、並びに本明細書に記載のLPF及びLCCFを実装してもよい。いくつかの実装形態では、リポジトリ930は、図4のセキュア・プロビジョニング・システム400などによってプロビジョニングされた証明書を有する各コンピュータ化装置のステータス及びログ情報を含むデータ構造を管理し、かつ保存してもよい。
リポジトリ930は、情報を保存し、またコンピューティングシステム900を通じてアクセスされ、かつ/又は管理される1つ又はそれ以上のデータベースを含んでいてもよい。一例として、リポジトリ930は、Oracle(商標)データベース、Sybase(商標)データベース、他のリレーショナルデータベース、又は非リレーショナルデータベースであってよい。ただし、本発明と一致するシステム及び方法は、別個のデータ構造又はデータベースに限定されるものではなく、あるいはデータベース又はデータ構造を使用することにさえ限定されるものではない。
当業者であれば、図9の本システムのコンポーネント及び実装の詳細が、説明を簡潔かつ明瞭にするために提示している実施例であることを認識する。他のコンポーネント及び実装の詳細を使用してもよい。
一実装形態例としてのV2X環境では、衝突回避メトリクスパートナー、LLC(CAMP)によって規定されている現行(従来)のセキュリティ証明書管理システム(SCMS)は、都市や州の運輸省などの特定のエンティティが所有又は運用しているV2X装置のグループに対して、カスタマイズ可能な構成機能を提供できていない。CAMPメカニズムでは、そのような機能を求める顧客ごとに、従来のものが独立したSCMSシステムが必要となる。カスタム構成を提供する機能があることが望ましいが、このCAMPメカニズムでは利用できていない。従来のV2X環境(たとえば、CAMPで規定されている)では、登録証明書には、アプリケーションのアクセス許可(PSID値で識別される)と、RSU及びOBUそれぞれに許可された地理的領域(地理領域)とを含める必要がある。RSU装置又はOBU装置は、当該登録証明書に含まれるPSID値と一致しているアプリケーション証明書及び/又は仮名証明書のみを取得することができ、また、その後発行されるアプリケーション証明書及び/又は仮名証明書(たとえば、補充証明書)には、当該登録証明書に含まれているのと同様に許可された地理領域の情報を含める必要がある。
従来のV2X環境(たとえば、CAMPで規定されている)では、登録証明書が要求され、これがRSU装置又はOBU装置に設置される初期プロビジョニング手順を、たとえばハッカーなどの非承認の個人から保護された、安全で信頼できるプログラミング/プロビジョニング場所で実行する必要がある。
以下の図10~図13に関して記載している本発明の実装形態の例は、路側機器(Roadside Equipment:RSE)としても知られる路側機(RSU)に関連する一連の地理的制限による技術的課題を解決するのに、とりわけ有用である。技術的な課題の1つは、従来のRSU及び従来のSCMS(たとえば、衝突回避メトリクスパートナー、LLC(CAMP)によって規定されている)が地理的位置制限情報をRSUの登録証明書にのみ保存又は維持しているという事実に関連して生じており、この登録証明書は、RSUが従来のデバイス構成マネージャ(Device Configuration Manager:DCM)システムに物理的に接続されている場合に限り、従来のSCMSによって提供されるものであり、またこのデバイス構成マネージャは、RSUの製造元の、又は他の何らかの許容可能な安全で信頼できるプログラミング場所に配置されている必要がある。
RSUの製造時に、製造エンティティは運用証明書に挿入する必要のある全ての情報(たとえば、登録証明書及び/又はアプリケーション証明書)をほとんど有することがなく、とりわけRSUがその購入者によって配備され、かつ運用される時点でのRSUのその後の地理的な位置(地理位置)を記載した正確な情報を有することもない。V2X環境でのRSUの正常な動作はその地理位置に制限されているため、装置の登録証明書から得られるこの地理的動作位置情報が重要となる。
つまり、RSUの正確な地理的動作位置情報は、製造時及び登録証明書の生成時には不明であり、これはなぜなら、正確な地理的動作位置は、通常当該ユニットが製造元によって装置の購入者/所有者/オペレータ/ユーザへと出荷された後にのみ知られることになるためであり、その後、この装置の購入者/所有者/オペレータ/ユーザがRSUを特定の位置で稼働状態にすることになる。これは、注文されユーザに販売かつ出荷されるかなり前に、製造元が在庫用のRSU装置を製造する場合にとりわけ当てはまる。製造時、製造元は通常、RSUの最終的な販売先や、RSUの最終的な稼働位置を認識していない。本明細書に記載しているいくつかの実施形態で使用する場合、「正確な地理的動作位置」という用語は、たとえば900,000平方メートル、800,000平方メートル、700,000平方メートル、600,000平方メートル、500,000平方メートル、400,000平方メートル、300,000平方メートル、200,000平方メートル、100,000平方メートル、50,000平方メートル、40,000平方メートル、30,000平方メートル、20,000平方メートル、10,000平方メートル、9,500平方メートル、7,000平方メートル、5,000平方メートル、3,000平方メートル、2,000平方メートル、1,000平方メートル、600平方メートル、500平方メートル、400平方メートル、300平方メートル、200平方メートル、100平方メートル、又は50平方メートルなど、約2,000,000平方メートル(2平方キロメートル)未満の地域を指し、またこの用語には、緯度座標と経度座標との交点などの地理的位置が含まれる。この地域を任意の形状とすることができる。通常地理領域は、国又は州など、これよりも広範な地域となる。
したがって、従来のシステムを使用して、製造時にRSUに正確な地理位置制限付きの登録証明書をロードすることはできない。この課題に対処するために、製造元は、たとえば国全体(たとえば、米国)、州のグループ(たとえば、ニューイングランド、中部大西洋岸諸州など)又は州(たとえば、バージニア)など、RSUが販売され、かつ配備される可能性の高い広範な地理的領域(地理領域)を指定する登録証明書を、RSUにロードしている。これにより、RSUを容易に配備できる(たとえば、このRSUが米国の至る所で正常に稼働するようになるため)が、このRSUの運用に広範な地理領域を指定するのは望ましいことではなく、これはなぜなら、特定の道路交差点を使用する機能、物理的な地図情報を使用する機能、盗難の検出及び防止、紛失物の検出、許可されていないか、又は誤った作業現場の検出、並びに悪意のある使用の防止など、狭くすることで正確になる地理位置がもたらす多くの利点や機能が無効になるか、あるいは大幅に低減してしまうためである。
また、可搬型RSU装置の場合、地理的動作位置情報などのデータは、時間の経過とともに頻繁に変化することが多い。たとえば、RSUを使用する作業員が作業現場から作業現場へと移動するにつれて、可搬型RSUの正確な地理的動作位置が日々変化することはよくある。作業員は、たとえば作業員がいることを警告したり、あるいは高速道路の車線が作業員によって閉鎖されていることを示したりするメッセージを車両にブロードキャストするために、可搬型RSUを使用してもよい。V2X環境では、RSUによるブロードキャストからの情報を使用して、接続されているV2X車両で接近中のドライバーに対し、作業現場について通知又は警告したり、あるいは自律走行型V2X車両を誘導したりしてもよい。
現行(従来)のSCMS及びV2Xのプロビジョニングシステムと手順とを使用して、最新の正確な地理的動作位置情報をそのような移動式RSUに提供するには、当該RSUを製造元に(又は信頼でき、かつ安全な別のプログラミング/プロビジョニング場所に)物理的に搬送することと、当該RSUを安全な場所にあるDCM装置に接続することと、当該RSU及び作業員の正確な地理的動作位置情報を含む新規の登録証明書を、当該RSUにプロビジョニングすることとが必要になる。これは、作業員が毎日のように作業場所の変更を要求するたびに、所有者がその安全な場所との間でRSUを物理的に移動させる必要があるため、実現困難であり、費用がかかり、時間もかかり、かつ非効率的である。
さらに、そのような信頼できる安全なプログラミング/プロビジョニング場所は広く普及してはおらず、たとえば、現在、都市交通管理センターや地方のDOT、州のDOT又は連邦のDOTではこれらを利用できない。また、従来の登録証明書ベースの手法における重大な技術的欠点は、正確な地理的動作位置情報を提供されたRSUが、信頼できる安全なプロビジョニング場所に物理的に搬入されて、なおかつ新たな作業現場の地理的動作位置を指定している新規の登録証明書を再プロビジョニングされるまでは、V2X環境ではこれらのRSUが別の作業現場での使用に際し、基本的に動作不能になるということである。その結果、地理的制限情報を更新するためにRSUに登録証明書を再プロビジョニングすることは、既存のRSUでは事実上決して行われず、代わりに広範な地理領域(たとえば、米国)が製造元によってプロビジョニングされ、それが変更されないままとなる。
本明細書に記載のシステム、方法、及び装置は、とりわけ正確な地理的動作位置情報を含む改良された、容易に更新可能なアプリケーション証明書、要求者が正確な地理的動作位置を指定できるようにする、改良されたアプリケーション証明書のプロビジョニング要求、精度が高く正確な地理的制限情報を有するアプリケーション証明書を生成かつ提供するための新たなプロセス、及びこれらのプロセスを実行する拡張SCMS、並びに自身にプロビジョニングされる地理的に制限された改良済みのアプリケーション証明書から得られる正確な地理的動作位置情報を使用する、RSUなどの改良されたコンピュータ化装置を提供することにより、上記の課題及び欠点に対処している。
図10は、本発明の実装形態と一致する、RSUを初期プロビジョニングし、かつ追跡するための方法1001の一実施例を示した図である。さまざまな実装形態では、方法1001は前述のように、拡張SCMS400によって実行されてもよい。たとえば、方法1001は、RSUが新規製造されたときにRSU装置の製造元と連携して、拡張SCMS400によって実行されてもよい。
図示している実施例では、本方法は、拡張SCMS400のエンティティ管理システムで、あるエンティティ用にカスタマイズされたアカウントが作成される1000で開始される。さまざまな実装形態では、そして図10に関して記載したものを例示するために、当該エンドエンティティは、V2X RSU装置410の製造元などの、RSU装置の製造元であってもよい。ただし、当業者であれば、本明細書に記載しているものと同じ又は同様の装置及びプロセスが、地理位置固有のデジタル資産を使用するか、又は必要とする他のタイプのコンピュータ化装置(たとえば、IoT装置又は他の装置410)に使用されてもよいことを認識する。
さまざまな実装形態では、拡張SCMS400は、RSUの製造元からの要求を受信した後、RSUの製造元のアカウントを(1000で)作成することができる。当該アカウントの作成を求める要求には、たとえばRSUの製造元の識別子、RSUの製造元に関する情報、RSUの製造元の加入者タイプ(たとえば、ティア1メーカー)、RSUの製造元と関連付けられた1つ又はそれ以上のセキュリティ資産などを含めることができる。
1010では、拡張SCMS400によって実行される方法1001により、拡張SCMS400に装置のタイプを登録することができる。たとえば、RSU装置のタイプの登録を求める要求は、RSUの製造元からそのアカウントを介して受信するか、又は拡張SCMS400の管理者から受信することができる。いくつかの実装形態では、このRSU装置のタイプの登録を求める要求は、RSU装置のタイプの識別子又はRSU装置のタイプと関連付けられたセキュリティ資産を含み得る。拡張SCMS400は、たとえばSMSデータベース406にRSU装置のタイプの識別子を保存することにより、装置のタイプを登録することができる。
1020では、拡張SCMS400は、RSU装置のタイプが認定機関(たとえば、RSUの場合はDOT)によって承認済みであるかどうかを必要に応じて確認することができる。たとえば、SCMS400は、認定機関と関連付けられたサーバに識別子及び/又はセキュリティ資産を送信して、検証を要求するか、かつ/又は識別子及び/又はセキュリティ資産を、SMSデータベース406内に従前に保存された承認済み装置のタイプのリストと照合することができる。次いで本SCMSは、たとえばSMSデータベース406内に、当該装置のタイプが検証されたかどうかの表示を保存することができる。
1030では、SCMS400は、RSU装置用の1つ又はそれ以上のデジタル資産(たとえば、公開キー)(たとえば、登録証明書公開キー、署名キー、暗号化キー、及びAESバタフライキー拡張値など)を取得し、次いで当該RSU装置の識別子を取得又は生成することができる。たとえば、これらの公開キーをRSU装置から受信するか、又はRSUの製造元がエンティティ管理システム404を介して自身のアカウントにアクセスし、これらの1つ又はそれ以上のデジタル資産(たとえば、公開キー)を入力したり、かつ/又は識別子を入力したりすることができる。当該装置のこれら1つ又はそれ以上のデジタル資産及び/又は識別子は、SMSデータベース406に保存することができる。
1040では、拡張SCMS400は、新規のデジタル資産(たとえばSCMS400によって従前に生成かつ/又は保存されたデジタル資産)をRSUの製造元へと送信、転送、返送、又は提供して、このデジタル資産がRSUの製造元によってプロビジョニングされ、かつ/又はRSU装置それ自体に新規のデジタル資産が返送されるようにすることができる。いくつかの実施形態では、これら新規のデジタル資産は、1030で取得された1つ又はそれ以上のデジタル資産から導出されてもよいし、又はこれを使用して、あるいはこれに基づいて作成されてもよい。さまざまな実施形態では、拡張SCMS400は、RSUのプロビジョニングライフサイクルのこの時点で、登録証明書並びに/又はLPF及び/又はLCCFを送信、返送、若しくは提供してもよい。さらに、拡張SCMS400は、SCMS接続情報(たとえば、URL)を当該RSUへと送信又は提供してもよく、当該RSUはその後この情報を使用して、拡張SCMS400に接続することにより、他のデジタル資産を取得することができる。
登録証明書とは、全ての参加者が有効な登録証明書を共有する必要があり、またその内部で承認済み参加者が、当該環境又はインフラストラクチャでのコンピュータ化装置の通信及び操作を可能にする(たとえば、USDOTのV2X環境又はインフラストラクチャの実施例では、車両と路側インフラストラクチャ装置との間での通信及び操作を可能にする)仮名証明書及びアプリケーション証明書をさらに受信することができるエコシステム(たとえば、USDOT V2Xエコシステムなど)で、承認済み参加者としてその所有者を識別する公開キー証明書のことである。
さまざまな実施形態では、1040で返送される、登録証明書などの少なくとも1つのデジタル資産は、当該RSU装置が稼働することを承認又は許可される地理領域を指定している情報を含む。さまざまな実施形態では、この地理領域情報は、当該RSU装置がV2X環境の一部として正常に機能することができる、地理的地域又は領域を指定してもよい。この地理的領域は、当該RSUの「許可された地理領域」と呼ばれる場合があり、これらの例には、特定の国(たとえば、米国)、1つ又はそれ以上の州(たとえば、バージニア州又はニューイングランド州)、郡(たとえば、バージニア州フェアファックス郡)、都市(たとえば、バージニア州リッチモンド)、あるいは座標、又は境界などで画定された他の何らかの地理的地域若しくは領域が含まれる。そのような実施形態では、RSU装置は、返送されるデジタル資産、たとえば登録証明書内で指定されるように、当該RSUの許可された地理領域内でのみ、他のV2X装置(すなわち、V2X環境内)で正常に動作、機能、かつ/又は協働することができる。
なお、さまざまな実施形態では、操作1040で拡張SCMS400によって返送されるデジタル資産(たとえば、登録証明書)は通常、国、州のグループ、又は州などの広範な「許可された」地理的領域を指定しており、これはなぜなら、この時点では通常、RSU装置はいまだ配備されておらず(たとえば、RSUの製造元の工場に依然としてある)、このために前述のように、当該RSUのその後の正確な稼働位置がいまだ不明であるためである。
いくつかの実装形態では、拡張SCMS400は、RSU装置に対する最終プログラミング用の登録局URL及び特定の構成データをさらに返送してもよい。たとえば、登録局URLはエンドエンティティに固有であってもよく、かつ/又は(エンティティ管理システムを介して)エンドエンティティによってカスタマイズされてもよい。別の実施例として、当該URLと関連付けられた登録局を、拡張SCMS400のSCMSホスト408と関連付けられた仮想登録局とすることができる。
さまざまな実装形態では、拡張SCMS400は、最終的に地理位置固有のアプリケーション証明書を必要とするコンピュータ化RSU装置から公開キーを受信する。たとえば、拡張SCMS400は、RSU装置の公開キーを受信することができ、また公開キー、LPF、LCCF、及び他のデータをRSU装置に返送することができる。
1050では、拡張SCMSは、当該RSU装置の状態を、たとえば当該RSU装置のSMSデータベース406の記録に初期プロビジョニング済みと設定することができ、またこのSMSデータベース406内の当該RSUの記録を使用して、たとえば図11に関して以下に記載しているように、当該RSUのライフサイクルにおける後続の段階で所有者又はオペレータ(たとえば、DOT)によって当該装置がさらにプロビジョニングされる場合に備えて、当該RSU装置とのその後の対話を追跡することができる。
図11は、本発明の実装形態と一致する、新たに配備されるRSUを構成するための方法1101の一実施例を示した図である。たとえば、方法1101は、拡張SCMS400及び、RSU装置をその製造元から受け取ったばかりのRSU装置の所有者又はユーザによって実行されてもよく、ここでこの所有者/ユーザは、操作使用を行うための当該RSUの構成を完了する必要がある。
図示している実施例では、方法1101は、州政府の運輸省などのRSUの購入者、ユーザ、オペレータ、又は所有者によって、又はそれらのために装置のユーザ用アカウントが作成される1100で開始され、このアカウントの作成は、拡張SCMS400を使用して行われてもよい。さまざまな実装形態では、エンティティ又は拡張SCMS400の加入者管理システム404を介して、当該装置のユーザ用アカウントを作成し、かつ/又は管理することができる。さらにいくつかの実装形態では、そして図11に関して記載したものを例示するために、当該装置のユーザを、RSU V2X装置を購入して操作し、かつ/又は1つ又はそれ以上のRSU装置を搭載したV2X製品若しくは装置を操作しているDOTの交通管理センターとすることができる。いくつかの実装形態では、当該アカウントを作成するエンティティを、USDOT又は認定機関などの政府のエンティティとすることができ、これらのエンティティはSCMS400を使用して、デジタル資産を発行できる承認済みV2X装置のデータベースを作成し、かつ管理してもよい。
いくつかの実装形態では、拡張SCMS400は、RSUユーザからの要求において受信されたデータに基づいて、当該RSUのユーザ用アカウントを作成することができる。当該アカウントの作成を求める要求には、たとえば当該RSUユーザの識別子、当該RSUユーザに関する情報、当該RSUユーザを表すタイプ(たとえば、認可機関、交通管理センター、民間建設会社など)、当該RSUユーザと関連付けられたデジタル資産などを含めることができる。
いくつかの実装形態では、当該RSUユーザ用アカウントを作成することは、当該RSUユーザの1つ又はそれ以上のデフォルトLPFを生成することを含み得る。場合によっては、別々のデフォルトLPFを別々の装置のタイプと関連付けることができる。
1110では、拡張SCMS400は、たとえばLPFを構成することを求める要求を、一例として当該RSUユーザから受信したことに応答して、LPFを構成することができる。たとえば、このLPFを構成することを求める要求は、RSUのワークフローを構成することを求める要求、登録局のURLの設定を求める要求、承認されるデジタル資産のタイプを設定するなど)、及びPSIDを構成することを求める要求などとすることができる。いくつかの実装形態では、補充ポリシーを使用して、上記の図3に関して記載したように、補充要求への応答方法を決定することができる。別の実装形態では、装置のタイプに基づいて、あるいは装置と関連付けられた登録証明書に基づいて、かつ/又は当該装置と関連付けられた地理領域若しくは正確な地理位置に基づいて、補充ポリシーを設定することができる。
1115で、正確な地理的動作位置情報がRSU装置で構成されてもよく、1115のボックスを形成する破線で示しているように、この操作は任意選択である。たとえば、そのRSU所有者は、地理的位置制限情報を当該RSU装置の不揮発性メモリに書き込んだり、保存したりしてもよい。当該RSUが道路工事作業員などが使用する可搬型RSUである場合、当該RSUの所有者(たとえば、州の運輸省)は、道路工事作業員がその日に作業又は稼働している場所(すなわち、当該RSUが稼働する予定の場所)を表す地理的動作位置情報を書き込んだり、保存したりしてもよく、この場所としては、たとえば一連の地理座標(たとえば、GPS座標又は緯度座標及び経度座標)、特定の交差点、特定の道路区間、又は一連の座標によって画定された狭い領域などが挙げられる。さまざまな実施形態では、当該RSU所有者は、RSUの製造元の指示に従って、かつ/又は拡張SCMS400のCMP402を介して、当該RSUに地理的動作位置情報を入力してもよい。
さまざまな実施形態では、当該RSU装置は、そのアプリケーション証明書の地理的動作位置情報によって指定されている場所で、又はその場所内でのみ、V2X環境の一部として正常に機能することができる。そのような実施形態では、当該RSUが地理的動作位置以外の場所にあるか、又はこれから遠方に離隔し過ぎている(たとえば、これから10~500メートルを超えて)場合に、当該RSU装置と通信するV2X装置は、当該RSU装置がその正常な位置の外側で動作していることを認識でき、またその結果、当該RSUからの信号を無視したり、かつ/又は当該RSUに関して、V2Xインフラストラクチャ内で正常に機能していないか、あるいは異常動作していると報告したりしてもよい。
いくつかの実装形態では、操作1115は、サブプロセス又はサブ操作(図示せず)によって置換若しくは補足されてもよく、ここで地理位置情報は、当該RSUの所有者/ユーザによって、たとえばCMS402を介して拡張SCMS400内に(たとえば、SMSデータベース406内に)構成又は保存されてもよい。たとえば、当該RSU所有者は、CMS402を使用して拡張SCMS400へとログオンし、かつ特定のRSU装置の地理的動作位置情報の保存を求める要求を送信してもよく、この要求には、当該RSU装置の所望の地理的動作位置情報を含めていてもよい。これに応じて、拡張SCMS400は、その特定のRSUの所望の、又は要求されている地理的動作位置をSMSデータベース406内に保存してもよい。そのような実装形態では、拡張SCMS400は、当該RSUの一意識別子を使用して、保存された地理的動作位置情報を後で検索することができ、これにより拡張SCMS400は、当該所有者/ユーザによってSMS406内に保存された地理的動作位置情報を使用して、その特定のRSUのアプリケーション証明書を生成することができる。
さまざまな実装形態では、任意選択の操作1115及び/又は前段落のサブプロセスを、方法1101から削除してもよい。いくつかの実装形態では、任意選択の操作1115及び/又は置換したサブプロセスを、方法1101が開始される前に実行してもよい。
図11に示す方法の実施例による1120では、SCMS400は、たとえば当該RSUから、又は当該RSU装置の所有者から、CMP402を介して当該RSU装置のアプリケーション証明書を求める初期要求を受信してもよい。さまざまな実装形態では、この要求は当該RSU装置の識別子を含んでいてもよく、また当該RSU装置から受信してもよい。いくつかの実装形態では、この識別子を受信して、1100で当該RSU装置ユーザ用に作成されたアカウントと照合することができる。
いくつかの実装形態では、当該識別子を、上記の1040で拡張SCMS400によって受信され、又は生成された識別子とすることができ、また拡張SCMS400はこの受信した識別子に基づいて、RSU装置及び/又は「RSU」であるV2X装置のタイプを識別することができる。
いくつかの実装形態では、当該RSUのアプリケーション証明書を求める初期要求は、RSU識別子に加えて、RSUに提供されるアプリケーション証明書の一部になる可能性があり、また当該RSUの稼働予定の場所を指定している(たとえば、この要求は、特定の交差点又は緯度座標及び経度座標あるいは他の地理的若しくは幾何仕様を指定している地理位置情報を含んでいてもよい)所望の、又は要求されている地理的動作位置をさらに含むことになる。いくつかの実装形態では、所望の地理的動作位置を、ゼロより大きい領域を形成している3つ以上の地理座標を含む情報又はデータを使用して指定してもよく、この領域は任意の形状であってもよい。付加的に又は代替的な、所望の地理的動作位置を、中心点(たとえば、緯度点及び経度点)、及び円形領域を画定している半径を含む情報又はデータを使用して指定してもよい。地理的領域を指定するための他の形式も使用することができる。
そのようないくつかの実装形態では、1120で当該要求に含まれる、要求されている地理的動作位置情報は、1115で当該RSU装置に任意選択で入力される地理位置情報と一致していてもよい。1120で受信される初期要求をRSU装置が送信しているいくつかの実施形態では、当該RSU装置は、1115で当該RSU装置に保存される地理的動作位置情報を読み取り、その地理的動作位置情報を使用して、初期要求を定式化又は含めてもよい。
1120でアプリケーション証明書を求める初期要求に地理的動作位置情報を含むいくつかの実装形態では、従来の要求構造とプロトコルであるEeRa*証明書プロビジョニング要求(星印はあらゆるEE証明書及びRA証明書の要求を示す)とを修正して、新規の地理位置情報フィールドを、従来のEeRa*証明書プロビジョニング要求で使用される共通プロビジョニング要求フィールドに追加してもよく、これはなぜなら、この地理位置情報フィールドは従来のCAMPで規定されたソフトウェア及びデータには存在しないためである。そのような実装形態では、この新規のフィールドを使用して、当該RSUの登録証明書に含まれている地理領域(たとえば、これのサブセットなど)内にあるはずの、当該装置の所望の地理的動作位置を指定する。この新規のフィールドと改良されたEeRa*証明書プロビジョニング要求の形式により、当該RSUは、その所有者/オペレータがこのフィールド又はTMCから当該RSUを検索取得して転送し、これを専用の安全なプログラミング/プロビジョニング場所で再プログラミングする必要を生じさせることなく、適切な地理的動作位置情報を含むアプリケーション証明書を要求することができる。
いくつかの実施形態(図11には図示せず)では、拡張SCMS400はこの時点で(たとえば、1120で要求を受信した後)、図12の操作1210、1220、及び1240に関して以下で記載しているように、1125に進む前に当該RSU装置が拡張SCMS400からデジタル資産を要求し、かつ受信することを許可されているかどうかを判定してもよい。
1122で、方法1101は、当該RSU装置の所望の、又は要求されている地理的動作位置を特定する。これは、個々の実施形態及び実装形態のために別々の方法で行ってもよい。
1120で受信した要求内に当該RSU装置の所望の地理的動作位置を含む実装形態の場合、拡張SCMS400は、たとえばこの受信した要求を解析するか、あるいはこの要求のデータの適切なフィールドを読み取るなどして、この要求から地理的動作位置情報を取得することにより、所望の地理的動作位置を特定する。
当該RSUの所有者/オペレータ/ユーザが従前に拡張SCMS400内に当該RSU装置の地理的動作位置情報を保存している(たとえば、1115に関連して上述したように)実装形態の場合、拡張SCMS400は、たとえば当該RSU装置の一意識別子を使用するか、又はこれに基づいて保存場所を検索したり(たとえば、データベース検索)、地理的動作位置情報を読み取ったりするなどして、その保存場所から地理的動作位置情報を取得することにより、所望の地理的動作位置を特定する。
1125で、方法1101は、所望の地理的動作位置が許可された地理領域内にあるか、そのサブセットであるか、その一部であるか、あるいはこれと一致しているかを確認する。さまざまな実装形態では、この許可された地理領域は、当該RSU装置の登録証明書内で指定されているか、1120で受信した初期要求の一部として指定されているか、かつ/又は図10の方法1001の操作1010若しくは操作1050の一部として、当該RSU装置と関連付けられたSMSデータベース406内に保存されていてもよく、また拡張SCMS400は、許可された地理領域をそれらのソースのうちの1つ又はそれ以上から取得してもよい。
図示している実装形態では、拡張SCMS400は、所望の地理的動作位置を許可された地理領域(たとえば、当該RSUの登録証明書で指定されている地理領域)と照合するか、又は解析し、この所望の地理位置が許可された地理領域内にないか、そのサブセットでないか、あるいはこれと一致していない場合(操作1125で「いいえ」)、方法1101は操作1127へと分岐して、当該RSU用のそのアプリケーション証明書を求める要求を却下する。たとえば、この所望の地理位置がバージニア州の道路の一区間であり、なおかつ許可された地理領域がメリーランド州及びデラウェア州である場合、この要求は却下される。さまざまな実装形態では、この要求を却下することは、要求側RSU若しくは当該RSUの所有者/ユーザなどの要求側エンティティ又は装置に対して、拡張SCMS400がエラーメッセージを送信することを含んでいてもよい。
一方、この所望の地理位置が許可された地理領域内にあるか、あるいはこれと一致している場合(操作1125で「はい」)、方法1101は操作1130へと分岐し、当該RSU用に要求されている1つ又はそれ以上のアプリケーション証明書を生成して、提供又は返送する。この所望の地理位置がメリーランド州にある交差点であり、なおかつ許可された地理領域がメリーランド州及びデラウェア州である場合、SCMS400は当該RSUのアプリケーション証明書を生成することになり、またこのアプリケーション証明書には、当該地理的動作位置をメリーランド州にある交差点として指定する情報が含まれることになる。SCMS400は、次いで新規のアプリケーション証明書を要求者に送信するか、又は提供する。
いくつかの実施形態では、1130で拡張SCMS400は、要求されているアプリケーション証明書と共に、LPF及び/又はLCCFを当該RSU装置に対してさらに提供又は返送してもよい。いくつかの実装形態では、当該RSU装置に返送される情報を、1120で受信される装置識別子に基づいて決定することができる。たとえば、ここで返送されるLPFは、当該RSU装置と関連付けられた当該RSUの所有者によって選択かつ/又はカスタマイズされる、当該RSU装置のタイプのLPFと一致させることができる。さらに、1130でアプリケーション証明書及び/又は他の情報を当該RSU装置に提供した後、拡張SCMS400は当該RSU装置の状態を、SMSデータベース406において「プロビジョニング済み」、又は「部分的にプロビジョニング済み」に設定してもよい。さまざまな実装形態では、プロビジョニング済みの装置の状態とは、装置が自身のアプリケーション証明書、並びにたとえばLPF及びLCCFなどの他のファイルを有することを示すものである。部分的にプロビジョニング済みの装置の状態を使用して、コンピュータ化装置がこれらのデジタル資産の一部のみを有することを示すことができる。
図12は、本発明の実装形態と一致する、配備されるRSU装置に対して非初期のデジタル資産を提供するための方法1201の一実施例を示した図である。さまざまな実施形態では、方法1201は、拡張SCMS400、及び当該RSUを使用しており、なおかつ現時点で、従前に配備された場所とは異なる新たな地理位置へと当該RSUを配備する必要のある当該RSU又は当該RSU装置の所有者/ユーザによって実行されてもよい。たとえば、可搬型RSUは従前に図11で初期プロビジョニングされていてもよく、また当該RSUは、たとえば当該RSUがその日に道路工事作業員によって使用される予定の新たな地理的動作位置を反映している、1つ又はそれ以上の新規のアプリケーション証明書での再プロビジョニングを要求してもよい。当該RSUが、新たな地理的動作位置を反映している1つ又はそれ以上の新規のアプリケーション証明書で再プロビジョニングされていない場合、V2X車両は当該RSUによってブロードキャストされる情報を無視又は却下することになり、これはなぜなら、その現在の地理位置にその情報が該当しないことを、これらの車両が認識するためである。
図示している実施例では、方法1201を、1115にあるように、RSU装置内に地理位置情報を構成することから任意で開始することができる。たとえば、当該RSU所有者は、前述したように、地理的動作位置情報を当該RSU装置の不揮発性メモリに書き込んだり、保存したりしてもよい。
1205で、方法1201は、1つ又はそれ以上の非初期のアプリケーション証明書、すなわちそのRSUの最初又は初期の証明書(図11に記載したもの)ではない証明書を求める要求を受信することを含む。さまざまな実装形態では、この1205の要求は、期限が切れているか、又は交換が必要である可能性のあるアプリケーション証明書をすでに有するRSU装置によって、SCMS400に対して送信又は提供されるか、あるいはCMP402を介してユーザからこの要求が送信されてもよい。さまざまな実装形態では、この要求は、図11に関して前述したように、当該RSU装置の識別子を含んでいてもよい。
いくつかの実装形態では、当該RSUの非初期のアプリケーション証明書を求める要求は、当該RSUに提供される非初期のアプリケーション証明書に含まれるか、又はその一部になり、また前述したように、当該RSUの地理的に稼働予定の場所を指定している、当該RSUの所望の地理的動作位置を示す情報をさらに含むことになる。1205で受信される非初期要求をRSU装置が送信しているいくつかの実施形態では、当該RSU装置は、1115で当該RSU装置に保存される地理的動作位置情報を読み取り、その地理的動作位置情報を使用して、非初期要求を定式化してもよい。さまざまな実施形態では、この非初期要求は、所望の地理的動作位置情報フィールドが追加されて改良されたEeRa*証明書プロビジョニング要求であってもよく、これにより、当該RSUは、適切な地理的動作位置情報を含むアプリケーション証明書を要求することができる。
1210で、たとえば拡張SCMS400によって実行されるような方法1201は、当該RSU装置がSCMSシステム400を使用すること、及び/又は非初期のアプリケーション証明書などのデジタル資産の提供を受けることを許可されているかどうかを判定又は確認することができる。たとえば、拡張SCMS400は、当該RSU装置のユーザ、又はこれと関連付けられたユーザのアカウントからの情報、あるいはこれと関連付けられた情報にアクセスして、当該RSU装置が、たとえばアクティブステータスの承認済み装置であるかどうかを判定することができる。
1220で、当該RSU装置が承認済みでない場合(1220で「いいえ」)、方法1201は非承認のワークフロー1240へと分岐し、この場合当該RSU装置は、要求されている非初期のアプリケーション証明書の受信を拒否又は却下される。拡張SCMS400は、非承認の装置に対して証明書を提供することはない。支払いの失敗、侵害、失効ステータス、盗難ステータス、誤操作ステータス、非アクティブステータスなどにより、装置が非承認となる場合がある。さまざまな実装形態では、RSU所有者などのエンドエンティティは、このエンティティによって登録されたか、又はこれと関連付けられたV2X装置のステータスを、アクティブと非アクティブとの間で変更してもよい。たとえば、RSU装置が作業員から盗まれたり、又は侵害された場合、当該RSUの所有者は拡張SCMS400へとログインして、そのRSU装置のステータスをアクティブから非アクティブへと変更してもよい。いくつかの実装形態では、非承認のワークフロー1240を、図3に関して前述したように、当該RSU装置と関連付けられたエンドエンティティ(たとえば、所有者)用にカスタマイズしてもよい。
一方、当該RSU装置がデジタル資産を受信することを許可されている場合(1220で「はい」)、方法1201は1122へと岐する。
1122で、方法1201は、当該RSU装置の所望の、又は要求されている地理的動作位置を特定する。これは、図11に関して上述したように、個々の実施形態及び実装形態のために別々の方法で行ってもよい。
1125で、方法1201は、図11に関して上述したように、1122で特定された所望の地理的動作位置が許可された地理領域内にあるか、そのサブセットであるか、その一部であるか、あるいはこれと一致しているかを確認する。
図示している実装形態では、この所望の地理的動作位置が許可された地理領域のサブセットでない場合(操作1125で「いいえ」)、方法1201は操作1127へと分岐して、当該RSU用のそのアプリケーション証明書を求める要求を却下する。たとえば、この所望の地理的動作位置がバージニア州の緯度座標と経度座標とによって指定されており、なおかつ許可された地理領域がメリーランド州及びデラウェア州である場合、この要求は1127で却下される。
一方、この所望の地理的動作位置が許可された地理領域内にある場合(操作1125で「はい」)、方法1201は操作1230へと分岐し、当該RSU用に要求されている1つ又はそれ以上の非初期のアプリケーション証明書を生成して、提供又は返送する。ここで生成される1つ又はそれ以上の非初期のアプリケーション証明書は、1122で特定された地理的動作位置を示す情報を包含しているか、又は含んでいてもよい。たとえば、この所望の地理的動作位置がメリーランド州の緯度座標と経度座標とによって指定されており、なおかつ許可された地理領域がメリーランド州及びデラウェア州である場合、SCMS400は当該RSUの1つ又はそれ以上の非初期のアプリケーション証明書を生成して送信してもよく、またここで提供される1つ又はそれ以上のアプリケーション証明書には、当該地理的動作位置を緯度座標と経度座標とによって指定されたものとして指定する情報が含まれていてもよい。
図12に示す実装形態の変形形態では、拡張SCMS400は、方法1201と同様の方法で、配備されたRSUなどの配備された装置に関連する他の要求を処理してもよい。たとえば、拡張SCMS400は、当該装置が初期配備された後、RSUなどの装置に対してLPFを提供又は構成することを求める要求を受信してもよい。そのような変形形態では、このLPFを提供又は構成することを求める要求は、1週間あたりに発行して使用すべき許可済みのアプリケーション証明書の数の変更を求める要求であってもよく、また拡張SCMS400は、要求側RSU装置の既存のLPFをこの新たな構成で更新し(又は新規のLPFを作成した)、次いでこの更新済みの、又は新規のLPFを要求側RSUに対し、たとえば当該RSU装置が次に拡張SCMS400に接続するときに送信するか、あるいは提供してもよい。
図13A及び図13Bは、本発明の実装形態と一致する、地理位置情報を含むアプリケーション証明書などのデジタル資産を、1つ又はそれ以上のテナントに対して安全に提供するためのプロセス1300の一実施例を示す、スイムレーン図である。プロセス1300によって示す実装形態では、仮想登録局を使用して、複数のテナントに証明書を提供する。
具体的には、図13A及び図13Bに示すプロセス1300の実施例は、RSU装置810などのV2X装置に地理位置情報を含む証明書を提供するために拡張SCMSのコンポーネント間で発生する、要求及び応答の交換を含む。ただし、本明細書に記載の実装形態は、V2X装置のマルチテナント操作に限定されるものではなく、また開示している原理は、たとえばIoT装置など、他のタイプのコンピュータ化装置及びコンピュータ制御装置に適用することができる。
さまざまな実装形態では、プロセス1300又は示している操作の一部若しくは全部は、コンピューティングシステム(1つ又はそれ以上のプロセッサあるいは1つ又はそれ以上のコンピューティングサブシステムを含んでいてもよい)上で実行されるコードによって、又はハードウェアのみのシステムによって、あるいはこれら2つを組み合わせたシステムによって実行されてもよい。図13A及び図13Bの上部に示すように、プロセス1300に関与するエンティティ又は装置は、RSU装置1310と、SCMSホスト1308と、仮想登録局1320と、仮名証明書認証局1340とを備える。さまざまな実装形態では、これらの装置は、図13A及び図13Bに関して以下に、かつ本開示全体にわたって記載しているように、地理位置情報付き証明書を提供するプロセス1300の一部としてタスクを実行するために、互いに通信し合ってもよい。
いくつかの実装形態では、SCMSホスト1308は、仮想登録局1320をホストする1つ又はそれ以上のコンピューティングシステム(たとえば、安全なサーバ又は専用サーバ)であってもよい。プロセス1300は、プロビジョニング要求を送信するコンピュータ化装置(たとえば、RSU装置810)と通信している拡張SCMS(たとえば、拡張SCMS400)によって実行することができる。
拡張SCMSは、図8に関して上述したものと同様に、仮想登録局1320と、1つ又はそれ以上のリンケージ認証局1350、1360と、仮名証明書認証局1340とを備えていてもよい。
図13Aの実施例に示すように、プロセス1300は、RSU装置1310において地理情報を構成することを含む1303で開始される。さまざまな実装形態では、これは、たとえば図10の操作1040に関して記載したように、RSU装置1310に地理領域情報と共にインストールされる登録証明書を構成することによって、かつ/又は、たとえば図11の操作1115に関して記載したように、RSU装置1310のメモリに地理的動作位置情報を書き込むか、若しくは保存することによって行われてもよい。
次いで操作1305で、RSU装置1310は、地理的動作位置情報を含むアプリケーション証明書を求めるプロビジョニング要求を、SCMSホスト1308に対して送信する。いくつかの実施形態では、図示のように、操作1305におけるプロビジョニング要求はRSU装置1310から直接送信され、また図8に関して前述したように、テナント識別子(ID)と共にRSU装置1310の所望の地理的動作位置を含んでいてもよい。
さまざまな実施形態では、RSU装置1310は、その登録証明書からの情報を使用して、プロビジョニング要求を形成してもよい。V2X環境(たとえば、CAMPで規定されている)では、登録証明書には、アプリケーションのアクセス許可(PSID値で識別される)と、RSU及びOBUそれぞれに許可された地理領域とを含める必要がある。CAMPで規定されている従来の環境では、RSU装置又はOBU装置は、当該登録証明書に含まれるPSID値と一致しているアプリケーション証明書及び/又は仮名証明書のみを取得することができる。
RSU装置1310が仮想登録局1320の識別子を含むプロビジョニング要求をSCMSホスト1308に対して送信した後、操作1307でSCMSホスト1308は、次いで当該要求からのテナントID(たとえば、テナントAのUUID又は他の一意識別子)を解析し、これによってそのテナントを処理する仮想登録局1320に対して当該要求をルーティングできるようにする。このように、プロセス1300では、単一のSCMSホスト1308で複数のテナントにサービスを提供し、カスタム構成を処理することができる。図13Aの実施例では、SCMSホスト1308は操作1307で、当該要求からのテナントAのテナントIDを解析する。特定の実装形態では、プロビジョニング要求には、テナントAのテナントIDを示すメタデータが含まれ、この場合、このテナントIDをハッシュ、UUID、又はテナントの識別情報を表示しない他のタイプの一意IDとすることができる。
次いで1309で、SCMSホスト1308は、登録証明書認証局に照らして当該テナントの検証を行って、当該テナントに別個の登録証明書認証局が存在しているかどうかを判定する。たとえば、SCMSホスト1308は検索を実行して、装置1310の特定の登録証明書が特定のテナント(たとえば、図13Aの実施例ではテナントA)によって所有されているか、又はこれと関連付けられているかどうかを確認することができる。したがって、これらのサービス呼び出しの暗号化検証を行って、これらがRSU装置1310に対して認証されているかどうかを確認することができる。
さまざまな実装形態では、操作1309で実行される検証又は認証チェックは、SCMSホスト1308が、署名の検証を含む、プロビジョニング要求を復号化して検証することと、非承認の装置のリスト(たとえば、ブラックリスト)を使用して、当該証明書の送信先であるRSU装置1310の失効ステータスを確認することと、当該要求者(たとえば、装置1310)がSCMSホスト1308から証明書を要求することを許可されているかどうかを判定することとを含んでいてもよい。たとえば、操作1309は、メーカー所属のユーザが承認済みユーザ(たとえば、スタッフの一部)であるかどうかを判定することを含んでいてもよい。いくつかの実装形態では、SCMSホスト1308は1309で、証明書を受信するためのコンピュータ化装置(たとえば、RSU1310)が、その使用を承認されているかどうかをさらに判定してもよい。場合によっては、承認済み装置のリスト(たとえば、ホワイトリスト)が規制者によって提供され、この判定を行うために使用されてもよい。
当該テナントが検証又は認証チェックに合格した場合、次いで1311で、SCMSホスト1308は、プロビジョニング要求が受信されたことを確認する一般的な確認応答(ACK)メッセージを送信し、このメッセージはRSU装置1310が1312で受信することになる。
1311で、SCMSホスト1308は、図11の操作1125に関して前述したように、所望の地理的動作位置がRSU装置1310の許可された地理領域内にあるか、そのサブセットであるか、あるいはこれと一致しているかを確認又は判定する。
1313で、証明書を求める要求及び所望の地理的動作位置が検証された後、SCMSホスト1308は、テナントAのテナントIDを含むプロビジョニング要求を開始する。図13Aの実施例では、テナントIDはUUIDとして具体化されている。これにより、要求されている1つ又はそれ以上の証明書を生成するための操作が開始され、この証明書には、地理的動作位置情報が含まれることになる。
図13Aに示す実施例では、1323でSCMSホスト1308は、テナントAのポリシーパラメータを確認し、これらのポリシーパラメータに応じて、仮名証明書認証局1340から正しい量の地理位置制限付きアプリケーション証明書を求める要求を生成する。一実施例では、操作1323は、操作1307から解析されたテナントIDを使用して、SCMSホスト1308が、特定のアプリケーション証明書要求に関して準拠すべきポリシーパラメータを決定することと、要求1305からの地理的動作位置情報を使用して、仮名証明書認証局1340からのアプリケーション証明書に含めるべき地理的動作位置を指定することとを含んでいてもよい。
1325で、仮想登録局1320は、アプリケーション証明書を求める要求を仮名証明書認証局1340に対して送信する。この要求は、仮想登録局1320によって作成されるアプリケーション証明書生成要求のバッチとして送信されてもよい。
1327で、アプリケーション証明書を求める要求が仮名証明書認証局1340において受信される。1327で当該要求を受信したことに応答して、仮名証明書認証局1340は、テナントAが異なる証明書チェーン又はキーを使用して証明書に署名するための情報を、必要に応じて使用する。1327で、仮名証明書認証局1340は、要求されている地理位置制限付きアプリケーション証明書を生成し、次いで生成されたアプリケーション証明書を仮想登録局1320へと返送する。1329で、地理位置制限付きアプリケーション証明書が仮想登録局1320において受信される。
次いで図13Bに示すように、1331でRSU装置1310は、たとえば図8Bに関して前述したように、地理位置制限付きアプリケーション証明書のバッチのダウンロードを求める要求をSCMSホスト1308に対して送信してもよい。
操作1333で、SCMSホスト1308は、バッチのダウンロード要求からのテナントIDを解析する。次いで1335で、SCMSホスト1308は、登録証明書認証局に照らして当該テナントの検証を行って、当該テナントに別個の登録証明書認証局が存在しているかどうかを判定する。
次いで1337で、SCMSホスト1308は、テナントAのポリシーが実施されていることを確認する。操作1337は、操作1333から解析されたテナントIDを使用して、SCMSホスト1308が、特定のバッチアプリケーション証明書ダウンロード要求に関して準拠すべきポリシーパラメータを決定することを含み得る。たとえば、1337は、RSU装置1310のローカルポリシーパラメータをその装置のLPFから取得することを含んでいてもよい。テナントAのポリシーが、要求されているアプリケーション証明書のバッチに関して実施されていることを確認した後、制御が操作1339へと渡される。
1339で、地理位置制限付きアプリケーション証明書が、たとえば仮想登録局1320から準備されると、SCMSホスト1308は、このアプリケーション証明書を装置1310へと送信又は返送する。1341で、装置1310は地理位置制限付きアプリケーション証明書を受信する。この時点で、装置1310は地理位置制限付きアプリケーション証明書をプロビジョニングされ、また装置1310は、これらのアプリケーション証明書を使用することができるようになる。
付加的な又は代替的な実装形態では、上記の図10~図13に関して記載したものと同様のシステム、装置、及びプロセスを使用して、たとえば現在の地理的動作制限を含むデジタル資産を必要としている他のV2X装置などの他のコンピュータ化装置に対して証明書をプロビジョニングすることができる。
他の付加的な又は代替的な実装形態では、上記の図10~図13に関して記載したものと同様のシステム、装置、及びプロセスを使用して、5つの異なる交差点の地理座標を含むアプリケーション証明書、又は10個の異なる道路区間と一致している10個の異なる地理的領域の仕様を含むアプリケーション証明書など、複数の地理的動作位置情報を含む地理的制限付きアプリケーション証明書を作成し、プロビジョニングし、かつ使用することができる。そのような実装形態では、RSU装置は、当該RSUのアプリケーション証明書に保存されている複数の地理的動作位置のいずれかで、又はその中で正常に稼働することになる。そのような実装形態の使用例では、2週間にわたって10か所の異なる場所で作業することを計画している作業員は、それら10か所の異なる地理的動作位置情報を含むアプリケーション証明書を要求し、かつそのRSU装置にプロビジョニングしてもよく、これにより、アプリケーション証明書を再プロビジョニングする必要性及び頻度が低下することになる。
いくつかのそのような実装形態では、複数の地理的動作位置情報を含むアプリケーション証明書は、当該RSU装置が地理的動作位置のそれぞれにおいて正常に稼働している間の各地理的動作位置と関連付けられた期間(たとえば、1日又は1週間)をさらに含んでいてもよい。たとえば、アプリケーション証明書の情報に従って、第1の地理的動作位置情報は1月1日に正常に稼働させる場合にのみ有効となってもよく、第2の地理的動作位置情報は1月2日~1月4日までの期間に正常に稼働させる場合にのみ有効となってもよい。
別の同様の付加的な又は代替的な実装形態では、本システムは、当該RSUに複数のアプリケーション証明書をプロビジョニングすることができ、また当該RSUは複数のアプリケーション証明書を使用することができ、これら複数のアプリケーション証明書はそれぞれ、単一の地理的動作位置情報、及びその証明書によって当該RSUが正常な稼働を許可される特定の期間のみが含まれる。この変形形態の実施例では、第1のアプリケーション証明書は当該RSUが1月1日にのみ使用してもよく、またその日に第1の地理的動作位置で正常に稼働させる場合にのみ有効であってもよく、一方で第2の地理的動作位置情報を含む第2のアプリケーション証明書は、当該RSUを1月2日~1月4日までの期間中、第2の地理的動作位置で正常に稼働させる場合にのみ使用してもよい。本実装形態では、RSUユーザは、その後数日間(たとえば、その後1~2週間)にいくつかの作業現場の場所それぞれに必要な地理的制限付きアプリケーション証明書をRSUにプロビジョニングすることができる。
本明細書に記載しているように、本発明と一致するさまざまな実装形態は、現行(従来)のプロビジョニングシステムの技術的欠点を解決し、またV2X環境の技術的要件を満たすものである。本明細書の実施例に記載しているように、さまざまな実装形態は、複数の加入者(たとえば、テナント)が使用でき、各加入者に一意の設定機能を付与することができ、なおかつ配備されるV2X装置に必要な加入者固有の更新をもたらすことができる拡張SCMS400を提供する。本発明と一致するさまざまな実装形態により、RSUが製造現場で地理領域情報を初期プログラム/プロビジョニングされ、次いで所有者/オペレータに出荷された後、当該所有者/オペレータの現場(特別な現場である必要はない)において、たとえば現在のアプリケーションのアクセス許可及び地理的制限情報などを有するアプリケーション証明書など、正常に運用されるデジタル資産を安全にプログラム又はプロビジョニングされるようになる。
本明細書に記載しているように、本発明と一致するさまざまな実施形態により、SCMS加入者(たとえば、RSUを所有又は使用しているテナント)が、CMS管理ポータル402、安全な電子メール、CAMP規定のエンドエンティティからRAへの通信(本明細書に記載しているように修正された)を介して、又は当該装置のシリアル番号を使用し、かつ従来のインターネット接続されたコンピュータを使用することでREST APIにより、1つ又はそれ以上の新規の地理位置制限付き証明書を要求できるようになる。ここに記載している拡張SCMS400は、初期の製造プロビジョニング手順から、当該シリアル番号が拡張SCMS400に認識されているかどうかを(たとえば、当該装置が承認済みであるかどうかを)確認又は判定しており、これはなぜなら、本システムが製造時に、記載している我々のマルチステップ型プロビジョニングプロセスの一部として、このシリアル番号を取得しているためである。シリアル番号の検証に成功すると、本SCMSは、当該RSUに関して要求されている新たな地理位置が当該RSUの許可された地理領域内にある(たとえば、初期プロビジョニング時に製造元が設定したとおり)ことを確認し、次いで要求されている新たな地理位置を含む要求されたアプリケーション証明書を、当該RSUに対して発行する。
本発明と一致するいくつかの実装形態により、SCMS加入者(たとえば、テナント)は、CMS管理ポータル402、安全な電子メール、又はREST APIを介して、拡張SCMS400においてそれらが関連付けられる元となる、必要なPSID(プロバイダーサービス識別子)及び当該装置のシリアル番号を事前登録することができるようになる。当該RSUからアプリケーション証明書を求める要求を受信すると(たとえば、1120、1205で)、SCMS400は登録証明書を使用して、当該装置の関連付けられたシリアル番号を識別することになる。SCMS400は、次いでシリアル番号を使用して、正しいPSIDと、地理領域情報などの他のデータとを識別し、その後SCMS400は、適切に構成されたアプリケーション証明書を作成し、それらを要求側RSUへと返送することになる。
前述の実施例では、説明を明確にするために、OBU、ECU、及びRSUなどのコンピュータ化装置の特定の例を使用しているが、本発明はそれらの特定の例に限定されない。これらの新たな機能、装置、及び方法を例示するために本明細書で使用しているV2X装置に加えて、地理的な動作制限が必要な装置を含むあらゆるIoT装置に対して、これらを同様に適用してもよい。したがって、本発明と一致するさまざまな実装形態を、とりわけ医療機器(たとえば、透析装置、輸液ポンプなど)、ロボット、ドローン、自動運転車、及び無線通信モジュール(たとえば、埋込みユニバーサル集積回路カード(embedded Universal Integrated Circuit Cards:eUICC))などの多種多様なコンピュータ化装置と共に、かつそれらのために使用してもよい。
本明細書に記載のアプリケーションのさまざまな操作は、1つ又はそれ以上のVMによって少なくとも部分的に実行されてもよい。付加的な又は代替的な実装形態では、本明細書に記載のアプリケーションの操作は、関連する操作を実行するように一時的に(たとえばソフトウェアによって)構成されているか、又は永続的に構成されている1つ又はそれ以上のプロセッサによって、少なくとも部分的に実行されてもよい。一時的に又は永続的に構成されているかどうかにかかわらず、そのようなプロセッサは、本明細書に記載している1つ又はそれ以上のアプリケーション操作、機能、及び役割を実行するように動作するプロセッサ実装モジュールを構成していてもよい。本明細書で使用する場合、「プロセッサ実装モジュール」という用語は、1つ又はそれ以上のプロセッサを使用して実装されたハードウェアモジュールを指す。
同様に、本明細書に記載している方法は、少なくとも部分的にプロセッサ実装されていてもよく、ここで特定のプロセッサ又は複数のプロセッサは、ハードウェアの例である。たとえば、ある方法の操作の少なくとも一部は、1つ又はそれ以上のプロセッサ若しくはプロセッサ実装モジュールによって実行されてもよい。さらに、これら1つ又はそれ以上のプロセッサは、「クラウドコンピューティング」環境で、あるいは「サービスとしてのソフトウェア」(software as a service:SaaS)として関連する操作の実行性をサポートするように動作してもよい。たとえば、これらの操作の少なくとも一部は、コンピュータのグループによって実行されてもよく(プロセッサを含む機械の例として)、これらの操作はネットワーク(たとえば、インターネット)を介して、かつ1つ又はそれ以上の適切なインターフェース(たとえば、API)を介して利用可能である。
これらの操作のある部分の実行性はプロセッサ間で分散し、単一のマシン内に存在するだけでなく、複数のマシンを横断してもたらされる場合がある。いくつかの例示的な実装形態では、プロセッサ又はプロセッサ実装モジュールは単一の地理的位置(たとえば、オフィス環境、製造環境、又はサーバファーム内)に配置されてもよい。他の例示的な実装形態では、これらのプロセッサ又はプロセッサ実装モジュールは、複数の地理的位置にわたって分配されてもよい。
本発明の他の実装形態は、本明細書に開示している本発明の仕様及び実施を考慮すれば、当業者には明らかとなる。本明細書及び実施例は例示としてのみ考慮されることを意図しており、本発明の真の範囲は以下の特許請求の範囲によって示される。

Claims (20)

  1. 拡張セキュリティ証明書管理システム(SCMS)ホストによって実行される、登録証明書及びアプリケーション証明書を含む路側機(RSU)装置を安全にプロビジョニングするための方法であって、前記RSU装置は、前記登録証明書及び前記アプリケーション証明書の両方に従って地理的に制限されており、前記方法は、
    前記RSU装置に対して前記登録証明書を提供することであって、前記登録証明書は、前記RSU装置の地理領域を指定している、ことと、
    前記RSU装置のアプリケーション証明書を求める要求を受信することと、
    前記要求に応答して、前記RSU装置の地理的動作位置を特定することと、
    前記地理的動作位置が前記地理領域内にあるかどうかを確認することと、
    前記地理的動作位置の情報を含むアプリケーション証明書を生成することと、
    前記要求に応答して、前記地理的動作位置の情報を含む前記アプリケーション証明書を前記RSU装置に対して提供することとを含み、これにより前記RSU装置は、前記アプリケーション証明書の前記地理的動作位置の情報に従って地理的に制限される、
    登録証明書及びアプリケーション証明書を含む路側機(RSU)装置を安全にプロビジョニングするための方法。
  2. 前記要求が、前記RSU装置の前記地理的動作位置の情報を含み、また前記要求に応答して、前記RSU装置の地理的動作位置を特定することが、前記要求から前記地理的動作位置の情報を取得することを含む、請求項1に記載の方法。
  3. 前記要求が前記RSU装置から受信される、請求項2に記載の方法。
  4. 前記RSU装置が前記地理的動作位置の情報で構成されており、また前記RSU装置が、前記要求内に前記地理的動作位置の情報を含む、請求項3に記載の方法。
  5. 前記アプリケーション証明書を求める前記要求を受信する前に、前記RSU装置の前記地理的動作位置の情報の保存を求める要求を受信することであって、前記要求が、前記RSU装置の前記地理的動作位置の情報を含む、ことと、
    前記要求に応答して、前記RSU装置の前記地理的動作位置の情報を保存することとをさらに含み、
    前記要求に応答して、前記RSU装置の地理的動作位置を特定することが、保存された前記地理的動作位置の情報を取得することを含む、
    請求項1に記載の方法。
  6. 前記地理的動作位置の情報の保存を求める前記要求が、前記RSU装置のユーザから受信される、請求項5に記載の方法。
  7. 前記地理領域が国又は州である、請求項1に記載の方法。
  8. 1つ又はそれ以上のプロセッサによって実行されると、登録証明書及びアプリケーション証明書を含む路側機(RSU)装置を安全にプロビジョニングするための方法を実行する命令を含む、コンピュータで読み取り可能な非一時的媒体であって、前記RSU装置は前記アプリケーション証明書に従って地理的に制限されており、前記方法は、
    前記RSU装置に対して前記登録証明書を提供することであって、前記登録証明書は、前記RSU装置の地理領域を指定している、ことと、
    前記RSU装置のアプリケーション証明書を求める要求を受信することと、
    前記要求に応答して、前記RSU装置の地理的動作位置を特定することと、
    前記地理的動作位置が前記地理領域内にあるかどうかを確認することと、
    前記地理的動作位置の情報を含むアプリケーション証明書を生成することと、
    前記要求に応答して、前記地理的動作位置の情報を含む前記アプリケーション証明書を前記RSU装置に対して提供することとを含み、これにより前記RSU装置は、前記アプリケーション証明書の前記地理的動作位置の情報に従って地理的に制限される、
    コンピュータで読み取り可能な非一時的媒体。
  9. 前記要求が、前記RSU装置の前記地理的動作位置の情報を含み、また前記要求に応答して、前記RSU装置の地理的動作位置を特定することが、前記要求から前記地理的動作位置の情報を取得することを含む、請求項8に記載のコンピュータで読み取り可能な非一時的媒体。
  10. 前記要求が前記RSU装置から受信される、請求項9に記載のコンピュータで読み取り可能な非一時的媒体。
  11. 前記RSU装置が前記地理的動作位置の情報で構成されており、また前記RSU装置が、前記要求内に前記地理的動作位置の情報を含む、請求項10に記載のコンピュータで読み取り可能な非一時的媒体。
  12. 前記方法が、
    前記アプリケーション証明書を求める前記要求を受信する前に、前記RSU装置の前記地理的動作位置の情報の保存を求める要求を受信することであって、前記要求が、前記RSU装置の前記地理的動作位置の情報を含む、ことと、
    前記要求に応答して、前記RSU装置の前記地理的動作位置の情報を保存することとをさらに含み、
    前記要求に応答して、前記RSU装置の地理的動作位置を特定することが、保存された前記地理的動作位置の情報を取得することを含む、
    請求項8に記載のコンピュータで読み取り可能な非一時的媒体。
  13. 前記地理的動作位置の情報の保存を求める前記要求が、前記RSU装置のユーザから受信される、請求項12に記載のコンピュータで読み取り可能な非一時的媒体。
  14. 前記地理領域が国又は州である、請求項8に記載のコンピュータで読み取り可能な非一時的媒体。
  15. 登録証明書及びアプリケーション証明書を含む路側機(RSU)装置を安全にプロビジョニングするためのシステムであって、前記RSU装置は前記アプリケーション証明書に従って地理的に制限されており、前記システムは、
    命令を含む1つ又はそれ以上のメモリと、
    以下の操作を実施する命令を実行する、前記1つ又はそれ以上のメモリと動作可能に結合された、1つ又はそれ以上のプロセッサとを備え、前記操作は、
    前記RSU装置に対して前記登録証明書を提供することであって、前記登録証明書は、前記RSU装置の地理領域を指定している、ことと、
    前記RSU装置のアプリケーション証明書を求める要求を受信することと、
    前記要求に応答して、前記RSU装置の地理的動作位置を特定することと、
    前記地理的動作位置が前記地理領域内にあるかどうかを確認することと、
    前記地理的動作位置の情報を含むアプリケーション証明書を生成することと、
    前記要求に応答して、前記地理的動作位置の情報を含む前記アプリケーション証明書を前記RSU装置に対して提供することとを含み、これにより前記RSU装置は、前記アプリケーション証明書の前記地理的動作位置の情報に従って地理的に制限される、
    登録証明書及びアプリケーション証明書を含む路側機(RSU)装置を安全にプロビジョニングするためのシステム。
  16. 前記要求が、前記RSU装置の前記地理的動作位置の情報を含み、また前記要求に応答して、前記RSU装置の地理的動作位置を特定することが、前記要求から前記地理的動作位置の情報を取得することを含む、請求項15に記載のシステム。
  17. 前記要求が前記RSU装置から受信される、請求項16に記載のシステム。
  18. 前記RSU装置が前記地理的動作位置の情報で構成されており、また前記RSU装置が、前記要求内に前記地理的動作位置の情報を含む、請求項17に記載のシステム。
  19. 前記操作が、
    前記アプリケーション証明書を求める前記要求を受信する前に、前記RSU装置の前記地理的動作位置の情報の保存を求める要求を受信することであって、前記要求が、前記RSU装置の前記地理的動作位置の情報を含む、ことと、
    前記要求に応答して、前記RSU装置の前記地理的動作位置の情報を保存することとをさらに含み、
    前記要求に応答して、前記RSU装置の地理的動作位置を特定することが、保存された前記地理的動作位置の情報を取得することを含む、
    請求項15に記載のシステム。
  20. 前記地理的動作位置の情報の保存を求める前記要求が、前記RSU装置のユーザから受信される、請求項19に記載のシステム。
JP2020543374A 2018-02-16 2019-02-15 コンピュータ化された装置の地理位置情報をプロビジョニング及び処理するためのシステム、方法、並びに装置 Active JP7254822B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862631593P 2018-02-16 2018-02-16
US62/631,593 2018-02-16
US16/191,030 US10476679B2 (en) 2017-11-14 2018-11-14 Systems, methods, and devices for multi-stage provisioning and multi-tenant operation for a security credential management system
US16/191,030 2018-11-14
PCT/US2019/018355 WO2019161306A1 (en) 2018-02-16 2019-02-15 Systems, methods, and devices for provisioning and processing geolocation information for v2x devices

Publications (2)

Publication Number Publication Date
JP2021514083A JP2021514083A (ja) 2021-06-03
JP7254822B2 true JP7254822B2 (ja) 2023-04-10

Family

ID=67620041

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020543374A Active JP7254822B2 (ja) 2018-02-16 2019-02-15 コンピュータ化された装置の地理位置情報をプロビジョニング及び処理するためのシステム、方法、並びに装置

Country Status (6)

Country Link
EP (1) EP3753198A4 (ja)
JP (1) JP7254822B2 (ja)
KR (3) KR102537712B1 (ja)
CN (1) CN111989890A (ja)
AU (1) AU2019221764A1 (ja)
WO (1) WO2019161306A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111491274A (zh) * 2020-04-08 2020-08-04 高新兴物联科技有限公司 一种车载通信过程中的隐私保护方法、装置以及设备
CN113190830B (zh) * 2021-05-19 2022-03-25 郑州信大捷安信息技术股份有限公司 区域判别方法、车联网安全通信方法、系统及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012227672A (ja) 2011-04-19 2012-11-15 Hitachi Ltd 車車/路車間通信システム
WO2014167872A1 (ja) 2013-04-12 2014-10-16 株式会社日立産機システム 位置情報発信装置および位置情報発信装置の認証システム
US20160119151A1 (en) 2014-10-22 2016-04-28 Hyundai Motor Company Method and system for detecting misbehavior for vehicle-to-anything communication

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9742569B2 (en) * 2014-05-05 2017-08-22 Nxp B.V. System and method for filtering digital certificates
US9692748B2 (en) * 2014-09-24 2017-06-27 Oracle International Corporation Unified provisioning of applications on devices in an enterprise system
US20160105539A1 (en) 2014-10-14 2016-04-14 The Regents Of The University Of Michigan Vehicle interface docking system for dsrc-equipped user devices in a vehicle
US10523441B2 (en) * 2015-12-15 2019-12-31 Visa International Service Association Authentication of access request of a device and protecting confidential information
WO2017161570A1 (zh) 2016-03-25 2017-09-28 华为技术有限公司 一种通信方法、装置和系统
US11032707B2 (en) 2016-05-06 2021-06-08 Intel IP Corporation Service authorization and credential provisioning for V2X communications
WO2018002904A1 (en) 2016-07-01 2018-01-04 Cnathanson Martin D System for authenticating and authorizing access to and accounting for wireless access vehicular environment consumption by client devices
KR20180012658A (ko) * 2016-07-27 2018-02-06 삼성전자주식회사 근접-기반 서비스 직접 통신에 기반하여 v2x 서비스를 제공하는 장치 및 방법
JP6187888B2 (ja) * 2016-08-03 2017-08-30 パナソニックIpマネジメント株式会社 処理装置
WO2018031458A1 (en) * 2016-08-09 2018-02-15 Intel IP Corporation Systems, methods, and devices for identifying locations of nearby road side units for vehicle-to-anything communications
CN106411878B (zh) * 2016-09-23 2020-02-14 杭州华为数字技术有限公司 访问控制策略的制定方法、装置及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012227672A (ja) 2011-04-19 2012-11-15 Hitachi Ltd 車車/路車間通信システム
WO2014167872A1 (ja) 2013-04-12 2014-10-16 株式会社日立産機システム 位置情報発信装置および位置情報発信装置の認証システム
US20160119151A1 (en) 2014-10-22 2016-04-28 Hyundai Motor Company Method and system for detecting misbehavior for vehicle-to-anything communication

Also Published As

Publication number Publication date
EP3753198A4 (en) 2021-11-10
EP3753198A1 (en) 2020-12-23
KR102652092B1 (ko) 2024-03-27
KR20240042198A (ko) 2024-04-01
JP2021514083A (ja) 2021-06-03
KR20230074832A (ko) 2023-05-31
KR20200121820A (ko) 2020-10-26
CN111989890A (zh) 2020-11-24
WO2019161306A1 (en) 2019-08-22
KR102537712B1 (ko) 2023-05-26
AU2019221764A1 (en) 2020-09-03

Similar Documents

Publication Publication Date Title
US11757661B2 (en) Systems, methods, and devices for multi-stage provisioning and multi-tenant operation for a security credential management system
US10805313B2 (en) Systems, methods, and devices for provisioning and processing geolocation information for V2X devices
US11586709B2 (en) Secure provisioning and management of devices
JP7254822B2 (ja) コンピュータ化された装置の地理位置情報をプロビジョニング及び処理するためのシステム、方法、並びに装置
JP2021530169A (ja) 拡張可能な証明書管理システムアーキテクチャ

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201028

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230228

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230329

R150 Certificate of patent or registration of utility model

Ref document number: 7254822

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150