WO2018230833A1

WO2018230833A1 - V2x 통신 장치 및 그의 데이터 통신 방법

Info

Publication number: WO2018230833A1
Application number: PCT/KR2018/004629
Authority: WO
Inventors: 김소영
Original assignee: 엘지전자(주)
Priority date: 2017-06-11
Filing date: 2018-04-20
Publication date: 2018-12-20
Also published as: EP3641372A1; US20200252804A1; EP3641372A4

Abstract

V2X 통신 장치의 V2X 통신 방법이 개시된다. V2X 통신 방법은 V2X 통신 장치의 오동작을 검출하는 단계, V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하는 단계, V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 경우, V2X 통신 장치의 반응 모드를 결정하는 단계, 및 반응 모드에 따라 미리 정해진 동작을 수행하는 단계를 포함할 수 있다. 여기서, 반응 모드는 V2X 통신 장치의 V2X 통신 기능을 비활성화는 제1 모드, V2X 통신 장치의 수신 기능만을 활성화하는 제2 모드 또는 V2X 통신 장치의 수신 기능 및 제한된 송신 기능을 활성화하는 제3 모드 중 적어도 하나를 포함할 수 있다.

Description

V2X 통신 장치 및 그의 데이터 통신 방법

본 발명은 V2X 통신을 위한 장치(device) 및 데이터 통신 방법에 대한 것으로, 특히 V2X 통신 장치 상의 오동작 검출 관리에 대한 것이다.

최근 차량(vehicle)은 기계 공학 중심에서 전기, 전자, 통신 기술이 융합된 복합적인 산업 기술의 결과물이 되어 가고 있으며, 이러한 면에서 차량은 스마트카라고도 불린다. 스마트카는 운전자, 차량, 교통 인프라 등을 연결하여 교통 안전/복잡 해소와 같은 전통적인 의미의 차량 기술뿐 아니라 향후 다양한 사용자 맞춤형 이동 서비스를 제공될 것이다. 이러한 연결성은 V2X(Vehicle to Everything) 통신 기술을 사용하여 구현될 수 있다. 차량의 연결성을 제공하는 시스템을 커넥티드(connected) 차량 시스템이라고 지칭할 수도 있다.

미래형 교통 시스템에서는 차량의 OBE와 도로 주변 장치들의 RSE들 및 도로 주변의 비-차량 참여자들이 ad-hoc 기술에 기반한 V2X 통신을 수행한다. V2X 통신은 차량/비차량이 자신의 상태와 주변 환경에 대한 정보를 공유하여 도로에서 발생하는 사고나 인명 피해, 재산 손실들을 방지하기 위해 수행된다. V2X 통신 기술은 안전 관련 목적 뿐만 아니라 도로 상에서 발생하는 자원 소모(예를 들면, 교통 정체)를 최적화함으로써 전체 교통 시스템 입장에서의 자원 활용 효율성을 높이는 방향으로 발전하고 있다.

V2X 통신을 통해 공유되는 다양한 정보는 메세지 발송 주체의 사생활 노출, 메세지 발송 주체의 장치 오류로 인한 잘못된 정보 생성, 메세지 전달 주체의 이기적 의도에 의한 정보 조작, 메세지 전달 과정에서 제 3자에 의한 메세지 변조 등, 다양한 보안 이슈로부터 보호되어야 한다.

본 발명의 일 실시예에 따른, V2X 통신 장치의 V2X 통신 방법은 상기 V2X 통신 장치의 오동작을 검출하는 단계; 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하는 단계; 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 경우, 상기 V2X 통신 장치의 반응 모드를 결정하는 단계; 및 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 단계를 포함하며, 상기 반응 모드는 상기 V2X 통신 장치의 V2X 통신 기능을 비활성화는 제1 모드, 상기 V2X 통신 장치의 수신 기능만을 활성화하는 제2 모드 또는 상기 V2X 통신 장치의 수신 기능 및 제한된 송신 기능을 활성화하는 제3 모드 중 적어도 하나를 포함할 수 있다.

실시예로서, 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하는 단계는, 상기 V2X 통신 장치 자체에 의해 상기 V2X 통신 장치의 오동작이 검출된 경우 또는 상기 V2X 통신 장치의 주변의 이웃 V2X 통신 장치에 의해 상기 V2X 통신 장치의 오동작이 검출된 경우에, 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 것으로 결정할 수 있다.

실시예로서, 상기 반응 모드가 상기 제1 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 단계는: V2X 메시지를 검증하기 위한 인증서들을 폐기하는 단계; 및 상기 V2X 메시지의 송신 및 수신 기능을 비활성화하는 단계를 포함할 수 있다.

실시예로서, 상기 반응 모드가 상기 제2 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 단계는: V2X 메시지를 검증하기 위한 인증서들을 폐기하는 단계; 및 상기 V2X 메시지의 송신 기능을 비활성화하는 단계를 포함할 수 있다.

실시예로서, 상기 반응 모드가 상기 제3 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 단계는: 상기 V2X 통신 장치의 제한된 송신 기능을 활성화하는 단계를 포함하며, 상기 제한된 송신 기능은 미리 정의된 특정 V2X 메시지의 전송을 위해 사용되고, 상기 특정 V2X 메시지는 상기 V2X 통신 장치가 상기 잠재적 오동작 검출 상태에 있음을 지시하는 정보를 포함할 수 있다.

실시예로서, 상기 이웃 V2X 통신 장치는, 인증서 폐기 리스트(CRL) 정보를 생성하는 오동작 브로커로서 동작하는 V2X 통신 장치일 수 있다.

실시예로서, 상기 이웃 V2X 통신 장치는, 상기 CRL 정보를 브로드캐스팅하고, 상기 CRL 정보는 상기 V2X 통신 장치의 인증서 폐기를 위한 정보를 포함할 수 있다.

본 발명의 일 실시예에 따른 V2X 통신 장치는 데이터를 저장하는 보안/비보안 저장장치; 무선 신호를 송수신하는 통신 유닛; 및 상기 통신 유닛을 제어하는 프로세서를 포함하고, 상기 프로세서는: 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하고; 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 경우, 상기 V2X 통신 장치의 반응 모드를 결정하고; 및 상기 반응 모드에 따라 미리 정해진 동작을 수행하며, 상기 반응 모드는 상기 V2X 통신 장치의 V2X 통신 기능을 비활성화는 제1 모드, 상기 V2X 통신 장치의 수신 기능만을 활성화하는 제2 모드 또는 상기 V2X 통신 장치의 제한된 송신 기능을 활성화하는 제3 모드 중 적어도 하나를 포함할 수 있다.

실시예로서, 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하는 것은, 상기 V2X 통신 장치 자체에 의해 상기 V2X 통신 장치의 오동작이 검출된 경우 또는 상기 V2X 통신 장치의 주변의 이웃 V2X 통신 장치에 의해 상기 V2X 통신 장치의 오동작이 검출된 경우에, 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 것으로 결정할 수 있다.

실시예로서, 상기 반응 모드가 상기 제1 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 것은: V2X 메시지를 검증하기 위한 인증서들을 폐기하는 것; 및 상기 V2X 메시지의 송신 및 수신 기능을 비활성화하는 것을 포함할 수 있다.

실시예로서, 상기 반응 모드가 상기 제2 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 것은: V2X 메시지를 검증하기 위한 인증서들을 폐기하는 것; 및 상기 V2X 메시지의 송신 기능을 비활성화하는 것을 포함할 수 있다.

실시예로서, 상기 반응 모드가 상기 제3 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 것은: 상기 V2X 통신 장치의 제한된 송신 기능을 활성화하는 것을 포함하며, 상기 제한된 송신 기능은 미리 정의된 특정 V2X 메시지의 전송을 위해 사용되고, 상기 특정 V2X 메시지는 상기 V2X 통신 장치가 상기 잠재적 오동작 검출 상태에 있음을 지시하는 정보를 포함할 수 있다.

본 발명의 일 실시예에 따르면, 오동작 검출을 위한 3 가지의 오동작 검출 방법을 제안한다. 이를 통해, V2X 통신 장치는 안전하고 효율적인 오동작 검출을 수행할 수 있다.

본 발명의 일 실시예에 따르면, 오동작 검출 상태를 단순히 정상 상태와 확정 상태로 나누는 것이 아니라, 그 중간 상태인 잠재 상태를 정의하고, 잠재 상태인 V2X 통신 장치가 오동작 검출 레벨에 따라 제약된 동작을 수행하는 방법을 제안한다. 이를 통해, 오동작이 검출된 V2X 통신 장치를 바로 V2X 통신에서 배제시키기 보다는, 오동작 검출 레벨에 따라 일부 기능만을 제한시킴으로써 유연한 V2X 통신을 보장한다.

본 발명의 일 실시예에 따르면, 오동작 검출 기술과 오동작 브로커 기술의 융합을 통해, 오동작 처리에 대한 V2X 통신의 커버리지를 넓힐 수 있다.

본 발명의 일 실시예에 따르면, 오동작 검출 상태를 관리/유지하고 이에 대한 정보를 전송하는 방법을 제안한다. 이를 통해, 수신 V2X 통신 장치는 데이터를 전송한 송신 V2X 통신 장치가 오동작 검출된 V2X 통신 장치인지 여부를 확인할 수 있고, 이에 따른 적절한 동작을 수행할 수 있다.

이하에서, 본 발명의 효과에 대해 구성에 대한 설명과 함께 추가로 설명한다.

도 1은 본 발명의 실시예에 따른 지능형 교통 시스템을 나타낸다.

도 2는 본 발명의 실시예에 따른 V2X 통신 시스템의 신뢰(trust) 메시지 통신 방법을 나타낸다.

도 3은 본 발명의 실시예에 따른 V2X 통신 장치들 간의 통신을 나타낸다.

도 4는 본 발명의 실시예에 따른 V2X 통신 장치의 프로토콜 스택을 나타낸다.

도 5는 본 발명의 제1 실시예에 따른 보안 서비스를 제공하는 V2X 통신 장치의 프로토콜 스택을 나타낸다.

도 6은 본 발명의 일 실시예에 따른 V2X 통신 장치가 보안 처리를 수행하는 방법을 나타낸다.

도 7은 본 발명의 일 실시예에 따른 신뢰 계층(trust hierarchy)의 구조를 보여준다.

도 8은 본 발명의 일 실시예에 따른 엔드 엔티티로 동작하는 V2X 통신 장치의 부트스트랩 프로세싱을 나타낸다.

도 9는 본 발명의 일 실시예에 따른 엔드 엔티티로 동작하는 V2X 통신 장치의 오동작 리포팅 프로세스를 나타낸다.

도 10은 본 발명의 제2 실시예에 따른 보안 서비스를 제공하는 V2X 통신 장치의 프로토콜 스택을 나타낸다.

도 11은 본 발명의 일 실시예에 따른 V2X 통신 시스템의 신뢰 모델을 나타낸다.

도 12는 본 발명의 일 실시예에 따른 V2X 통신 시스템의 신뢰 모델에서의 정보 흐름을 나타낸다.

도 13은 본 발명의 일 실시예에 따른 V2X 통신 장치의 보안 라이프 사이클을 나타낸다.

도 14 는 본 발명의 일 실시예에 따른 ITS 시스템에서 오동작을 검출하는 방법을 나타낸다.

도 15는 본 발명의 일 실시예에 따른 PMBD ITS-S의 반응(reaction) 모드를 나타낸다.

도 16은 본 발명의 일 실시예에 따른 다중 반응 모드를 갖는 ITS-S의 동작을 나타내는 흐름도이다.

도 17은 본 발명의 일 실시예에 따른 ITS-S의 MBD 상태 및 이 MBD 상태의 변화 과정을 나타낸다.

도 18은 본 발명의 일 실시예에 따른 ITS-S의 보안 라이프사이클을 나타낸다.

도 19는 본 발명의 일 실시예에 따른 MBD 관련 정보를 포함하는 서명된 PDU를 나타낸다.

도 20은 본 발명의 일 실시예에 따른 ITS-S가 서명된 PDU를 이용하여 MBD 관련 정보를 전송하는 방법을 나타낸다.

도 21은 본 발명의 일 실시예에 따른 ITS-S이 EC를 발급받는 방법을 나타낸다.

도 22는 본 발명의 일 실시예에 따른 MBB로 동작하는 ITS-S이 EC를 발급받는 방법을 나타낸다.

도 23는 본 발명의 실시예에 따른 MBD 서비스를 제공하기 위한 ITS 레퍼런스 아키텍처를 나타낸다.

도 24는 본 발명의 일 실시예에 따른 MBB 및 MBD 통신 방법을 나타낸다.

도 25은 본 발명의 실시예에 따른 V2X 통신 장치의 구성을 나타낸다.

도 26은 본 발명의 실시예에 따른 V2X 통신 장치의 통신 방법을 나타낸다.

본 발명의 바람직한 실시예에 대해 구체적으로 설명하며, 그 예는 첨부된 도면에 나타낸다. 첨부된 도면을 참조한 아래의 상세한 설명은 본 발명의 실시예에 따라 구현될 수 있는 실시예만을 나타내기보다는 본 발명의 바람직한 실시예를 설명하기 위한 것이다. 다음의 상세한 설명은 본 발명에 대한 철저한 이해를 제공하기 위해 세부 사항을 포함하지만, 본 발명이 이러한 세부 사항을 모두 필요로 하는 것은 아니다. 본 발명은 이하에서 설명되는 실시예들은 각각 따로 사용되어야 하는 것은 아니다. 복수의 실시예 또는 모든 실시예들이 함께 사용될 수 있으며, 특정 실시예들은 조합으로서 사용될 수도 있다.

본 발명에서 사용되는 대부분의 용어는 해당 분야에서 널리 사용되는 일반적인 것들에서 선택되지만, 일부 용어는 출원인에 의해 임의로 선택되며 그 의미는 필요에 따라 다음 설명에서 자세히 서술한다. 따라서 본 발명은 용어의 단순한 명칭이나 의미가 아닌 용어의 의도된 의미에 근거하여 이해되어야 한다.

본 발명은 V2X 통신 장치에 대한 것으로, V2X 통신 장치는 ITS(Intelligent Transport System) 시스템에 포함되어, ITS 시스템의 전체 또는 일부 기능들을 수행할 수 있다. V2X 통신 장치는 차량과 차량, 차량과 인프라, 차량과 자전거, 모바일 기기 등과의 통신을 수행할 수 있다. 실시예로서 V2X 통신 장치는 차량의 온보드 유닛(OBU; On Board Unit)에 해당하거나, OBU에 포함될 수도 있다. OBU는 OBE(On Board Equipment)라고 치칭될 수도 있다. V2X 통신 장치는 인프라스트럭처의 RSU(Road Side Unit)에 해당하거나, RSU에 포함될 수도 있다. RSU는 RSE(RoadSide Equipment)라고 지칭될 수도 있다. 또는, V2X 통신 장치는 ITS 스테이션에 해당되거나, ITS 스테이션에 포함될 수 있다. V2X 통신을 수행하는 임의의 OBU, RSU 및 모바일 장비 등을 모두 ITS 스테이션이라고 지칭할 수도 있다. 또는, V2X 통신 장치는 WAVE(Wireless Access in Vehicular) 장치에 해당되거나, WAVE 장치에 포함될 수 있다. V2X 통신 장치는 V2X 장치라고 약칭될 수도 있다.

지능형 교통 시스템(C-ITS: Cooperative Intelligent Transport System)은 기존의 교통 시스템에 정보 통신, 제어, 전자 기술이 추가되어 교통 운영 관리의 효율성을 높이고 사용자 편의와 안전을 향상시킨다. 지능형 교통 시스템에서, 차량 뿐 아니라, 신호등, 전광판과 같은 교통 인프라 시스템도 V2X 통신을 수행하며, 이러한 인프라 스트럭처는 상술한 바와 같이 RSU로 약칭될 수 있다.

도 1에서와 같이, 지능형 교통 시스템에서는 V2X 통신 장치를 포함하는 보행자 디바이스(1010), RSU(1020), 차량들(1030, 1040, 1050)이 서로 통신한다. 실시예로서, V2X 통신은 IEEE 802.11p의 통신 기술에 기초하여 수행될 수 있다. IEEE 802.11p에 기초한 통신 기술을 DSRC(Dedicated Short-Range Communication)라고 지칭할 수도 있다. 실시예로서, IEEE 802.11p에 기반한 V2X 통신은 약 600m 범위의 단거리 통신 기술이 될 수 있다. V2X 통신 는 CAM(Cooperative Awareness Message) 또는 DENM(Decentralized Enviriomental Notification Message)를 방송할 수 있다.

CAM은 ITS 네트워크에서 분배(distribute)되며, ITS 스테이션의 존재(presence), 위치 또는 통신 상태 중 적어도 하나에 대한 정보를 제공한다. DENM은 감지된 이벤트에 대한 정보를 제공한다. DENM은 ITS 스테이션이 감지한 임의의 주행 상황 또는 이벤트에 대한 정보를 제공할 수 있다. 예를 들면, DENM은 비상 전자 브레이크 등, 차량 사고, 차량 문제, 교통 컨디션, 등과 같은 상황에 대한 정보를 제공할 수 있다.

도 1에서, 차량(1030) 및 차량(1040)은 RSU(1020)의 통신 커버리지 내에 존재한다. 그러나 차량(1050)는 RSU(1020)의 통신 커버리지 외에 존재하므로, RSU와 직접 통신할 수 없다.

도 2의 실시예에서, V2X 통신 시스템은 V2X 통신 장치(예컨대, ITS 스테이션 또는 WAVE 장치)들이 V2X 통신을 위한 메시지를 안전하게 송수신하기 위해 요구되는 보안 시스템일 수 있다. 이러한 V2X 통신 시스템은 신뢰성있는(trusted) 메시지의 통신을 위한 하나 이상의 엔티티(entity)를 포함할 수 있다. 예를 들면, 도시된 것처럼, V2X 통신 시스템은 루트 인증 기관(루트 CA: Root Certificate Authority), 등록 기관(EA: Enrollment Authority), 인가 기관(AA: Authorisation Authority) 및/또는 적어도 하나의 V2X 통신 장치를 포함할 수 있다. 실시예로서, V2X 통신 장치는 OBE에 해당하거나 또는 RSE에 해당할 수 있다.

루트 CA는 등록 컨피덴셜을 발급할 수 있다는 증명(proof)를 EA 및 AA에게 제공할 수 있다. 이러한 루트 CA는 EA와 AA에 대한 권한 및 의무를 정의하고, EA와 AA를 인증하고, EA와 AA의 의무 이행을 체크할 수 있다. 이처럼 EA와 AA는 루트 CA에 의해 제어될 수 있다.

EA는 등록 컨피덴셜(enrolment credentials)의 라이프 사이클 관리를 담당하는 엔티티로서, V2X 통신 장치를 인증하고 V2X 통신에 대한 접근(acess)을 승인(grant)할 수 있다. EA는 장기 인증 기관(Long-term Certificate Authority)으로 지칭될 수도 있다. 이러한 EA는 등록 인증서(EC: Enrollment Certificate)를 발행할 수 있다. V2X 통신 장치는 송신(sending) V2X 통신 장치가 적합한 V2X 송신 장치인지를 인증하기 위해 EC를 가질 수 있다. EC는 장기 인증서(LTC: Long Term Certificate)로 지칭될 수도 있다.

AA는 인가 티켓(AT: Authorisation Ticket)의 발급하고 사용을 모니터링하는 것을 담당하는 엔티티로서, V2X 통신 장치에 특정 V2X 서비스를 사용할 수 있는 권위있는 증명(authoritative proof)을 제공할 수 있다. AA는 단기 인증 기관(Short-term Certificate Authority) 또는 익명 인증 기관(Psuedonum Certificate Authority)으로 지칭될 수도 있다. 이러한 AA는 AT를 발행할 수 있다. V2X 통신 장치는 V2X 통신 장치가 수신된 V2X 메시지(예컨대, CAM, DENM)를 검증(authenticate)하기 위해 AT를 가질 수 있다. AT는 단기 인증서(Short-term Certificate) 또는 익명 인증서(PC: Psuedonum Certificate)로 지칭될 수 있다.

V2X 통신 장치는 EA로부터 V2X 통신에 접근할 수 있는 권한(right)을 획득할 수 있고, AA로부터 V2X 서비스를 호출할 수 있는 권한을 협상(negotiate)할 수 있다. 예를 들면, V2X 통신 장치는 EA로 EC(LCT)를 요청하고, EA로부터 EC를 획득할 수 있다. 또한, V2X 통신 장치는 AA로 AT(PC)를 요청하고, AA로부터 AT를 획득할 수 있다. 또한, V2X 통신 장치는 V2X 메시지를 송수신할 수 있다. 예를 들면, V2X 통신 장치는 EC 및 AT를 이용하여 다른 V2X 통신 장치와 신뢰 메시지의 통신을 수행할 수 있다. 또한, V2X 통신 장치는 수신된 V2X 메시지를 다른 V2X 통신 장치로 전달할 수 있다. 본 명세서에서는, V2X 메시지를 전송하는 V2X 통신 장치를 송신(seding) V2X 통신 장치로 지칭하고, V2X 메시지를 수신하는 V2X 통신 장치를 수신(receiving) V2X 통신 장치로 지칭하고, 수신된 V2X 통신 장치를 다른 V2X 통신 장치로 전달하는(forwarding) V2X 통신 장치를 전달(relaying) V2X 통신 장치로 지칭한다.

상술한 엔티티들을 포함하는 V2X 통신 시스템(보안 시스템) 내의 V2X 통신 장치들이 신뢰 메시지 통신을 수행하는 방법에 대하는 이하에서 각 도면을 참조하여 상세히 설명한다.

커넥티드 차량 시스템에서 차량, 인프라스트럭처, 보행자(Pedestrian)의 개인화 기기에 장착된 V2X 통신 장치들은 도 3에서 도시한 장치 구성을 포함할 수도 있다.

도 3의 실시예에서, 차량의 V2X 통신 장치에 포함된 구성에 대한 설명은 아래와 같다. 차량의 V2X 통신 장치는 OBE(On Board Equipment)를 포함할 수 있다. 실시예로서, OBE는 복수의 안테나 시스템 및 OBE 컨트롤 프로세스 ECU(Electronic Control Unit)를 포함할 수 있다. 안테나 시스템 구성은 통합되거나 별도로 구비될 수 있으며, 일부의 조합으로 포함될 수도 있다.

GNSS(Global Navigation Satellite Systems) 시스템: 인공위성에서 발신하는 전파를 이용에 지구 전역에서 움직이는 물체의 위치, 고도치, 속도를 계산하는 위성항법 시스템. 이는 차량의 V2X 통신 장치에 포함되는, 차량의 위치정보를 파악 위한 안테나 및 그 서브 시스템에 해당할 수 있음.

DSRC(edicated Short Range Communication) 라디오 서브 시스템(Radio sub system): DSRC 프로토콜에 따른 송신/수신을 위한 안테나와 해당 서브 시스템.

셀룰러 서브 시스템(Cellular Sub System): 셀룰러 데이터 통신을 위한 안테나와 해당 서브 시스템.

방송 서브 시스템(Broadcasting sub System): 방송 데이터를 송신/수신하기 위한 안테나와 해당 서브 시스템.

OBE 컨트롤 프로세스 ECU: OBE 컨트롤 프로세스 ECU는 컨트롤러 또는 프로세서로 약칭할 수 있다. 컨트롤러는 복수의 이종시스템으로부터 수신되는 데이터 메세지를 프로세싱하고, 차량 내 다른 ECU들을 컨트롤하여 적절한 동작을 수행할 수 있다. 컨트롤러는 이러한 데이터 프로세싱 및 차량 제어/구동을 위한 어플리케이션을 실행할 수 있다. 또한, 컨트롤러는 차량 내 다른 전자 장비 또는 센서들로부터 수신한 센싱 데이터를 프로세싱하여 외부 V2X 통신 장치들/차량들에게 전송할 수 있다. 실시예로서, 차량 내 모든 정보는 컨트롤러를 통하여 공유가능한 표준화된 포멧으로 변환될 수 있다. 도 3에서와 같이, 세이프티 어플리케이션(Safety Application)이 실행 되어 차량 내의 CAN, Ethernet등과 같은 버스와 정보를 송수신할 수 있다. 그리고 차량의 오디오, 디스플레이와 같은 DVI(Driver Vehicle Interface)를 통해 사용자에게 정보가 제공될 수 있다.

이와 같이 구성된 V2X 통신 장치는 다른 차량 뿐 아니라 인프라스트럭처, 보행자 및 클라우드/서버(Cloud/Server)와 같은 지원 시스템과 통신할 수 있다.

또한, 도 3의 실시예에서, 인프라스트럭처의 V2X 통신 장치에 포함된 구성에 대한 설명은 아래와 같다. 인프라스트럭처의 V2X 통신 장치는 RSE(Road Side Equipment)를 포함할 수 있다. RSE는 차량의 OBE와 마찬가지로, 복수의 안테나 시스템 및 컨트롤러(프로세서)를 포함할 수 있다. 안테나 시스템 구성은 통합되거나 별도로 구비될 수 있으며, 일부의 조합으로 포함될 수도 있다. 한편, RSE의 컨트롤러는 OBE의 컨트롤러와 동일 또는 유사한 동작을 수행할 수 있다. 예를 들면, RSE의 컨트롤러는 복수의 이종시스템으로부터 수신되는 데이터 메세지를 프로세싱하고, 인프라스트럭처 내 다른 ECU들을 컨트롤하여 적절한 동작을 수행할 수 있다.

RSE는 트래픽 컨트롤러(Traffic Controller)의 정보를 수신하여 차량과 통신할 수 있다. RSE는 고정 장치가 될 수 있으며, 백엔드(Backend) 연결되어 프로바이더로서 동작할 수 있다. 그러나 실시예에 따라서 RSE는 차량으로부터 정보를 수집하고, 이를 다시 송신할 수 있으므로, 프로바이더 장치 뿐만 아니라 사용자 장치로서 동작할 수도 있다.

또한, 도 3의 실시예에서, 보행자의 개인화 기기(VRU 장치)의 V2X 통신 장치에 포함된 구성에 대한 설명은 아래와 같다. VRU 장치의 V2X 통신 장치는 복수의 안테나 시스템 및 컨트롤러(프로세서)를 포함할 수 있다. 안테나 시스템 구성은 통합되거나 별도로 구비될 수 있으며, 일부의 조합으로 포함될 수도 있다. 한편, VRU 장치의 컨트롤러는 OBE의 컨트롤러와 동일 또는 유사한 동작을 수행할 수 있다. 예를 들면, VRU 장치의 컨트롤러는 복수의 이종시스템으로부터 수신되는 데이터 메세지를 프로세싱하고, 개인화 기기 내 다른 ECU들을 컨트롤하여 적절한 동작을 수행할 수 있다. 또한, 컨트롤러는 이러한 데이터 프로세싱 및 개인화 기기의 제어/구동을 위한 어플리케이션을 실행할 수 있다. 또한, 컨트롤러는 개인화 기기 내 다른 전자 장비 또는 센서들로부터 수신한 센싱 데이터를 프로세싱하여 외부 V2X 통신 장치들에게 전송할 수 있다. 도 3에서와 같이, 세이프티 어플리케이션(Safety Application)이 실행 되어 개인화 기기 내와 정보를 송수신할 수 있다. 그리고 개인화 기기의 오디오, 디스플레이와 같은 VRU 인터페이스를 통해 사용자에게 정보가 제공될 수 있다.

도 3에서 도시된 것처럼, 차량 간의 통신은 V2V 통신으로 지칭될 수 있고, 차량과 인프라스트럭쳐 간의 통신은 V2I 통신 또는 I2V 통신으로 지칭될 수 있고, 차량과 보행자의 개인화 기기 간의 통신은 V2P 통신 또는 P2V 통신으로 지칭될 수 있다. 예를 들면, DSRC를 이용한 차량 간의 통신은 DSRC V2V 통신으로 지칭될 수 있고, DSRC를 이용한 차량과 인프라스트럭쳐 간의 통신은 DSRC V2I 통신 또는 DSRC I2V 통신으로 지칭될 수 있고, DSRC를 이용한 차량과 보행자의 개인화 기기 간의 통신은 DSRC V2P 통신 또는 DSRC P2V 통신으로 지칭될 수 있다. 한편, 차량과 다른 V2X 통신 장치 간의 통신은 V2X 통신으로 통칠될 수 있고, V2X 통신 장치와 다른 V2X 통신 장치 간의 통신은 X2X로 통칭될 수도 있다.

도 4는 본 발명의 실시예에 따른 V2X 통신 장치의 프로토콜 스택을 나타낸다. 구체적으로, 도 4는 본 발명의 실시예에 따른 미국(US) 또는 유럽(EU)의 V2X 통신 장치의 프로토콜 스택을 나타낸다.

도 3에서 도시한 V2X 통신 장치들은 V2X 통신을 위해 도 4에서 도시한 통신 프로토콜을 사용함으로써 서로 통신할 수 있다.

도 4에 포함된 각 레이어들에 대한 설명은 아래와 같다.

어플리케이션(application) 레이어: 어플리케이션 레이어는 다양한 사용예(use case)를 구현 및 지원할 수 있다. 예를 들면, 어플리케이션은 도로 안전(Road Safety), 효율적 교통 정보(Efficient Traffic Information), 기타 어플리케이션 정보(Other application)를 제공할 수 있다.

퍼실리티(facilities) 레이어: OSI 레이어 5 (세션(session) 레이어), 레이어 6(프리젠테이션(presentation) 레이어), 레이어 7 (어플리케이션(application) 계층)에 대응하는 레이어. 퍼실리티 레이어는 어플리케이션 레이어에서 정의된 다양한 사용예를 효과적으로 실현할 수 있도록 지원할 수 있다. 예를 들면, 퍼실리티 레이어는 어플리케이션을 지원하기 위한 메시지를 인코딩/디코딩하기 위한 API를 제공할 수 있다. 실시예로서, 메시지는 ASN.1 방식에 의해 인코딩/디코딩될 수 있다.

이러한 퍼실리티 레이어에서 제공되는 서비스 및 메시지 세트가 미국에서는 SAE(Society of Automotive Engineers)에 의해 규정되며, 유럽에서는 ETSI ITS에 의해 규정된다. 예를 들면, 미국의 경우, 기본 안전 어플리케이션(Basic Safety Application)을 지원하기 위한 BSM(Basic Safety Message) 메시지, EVA(Emergency Vehicle Alert) 메시지, 교차로 안전 어플리케이션(Intersection Safety Application)을 지원하기 위한 MAP(MapData), SPAT(Signal Phase And Timing), ICA(Intersection Collision Alert) 메시지, 여행자 정보 어플리케이션(Traveler Information Application)을 지원하기 위한 RSA(Roadside Alert), TIM(Treaveler Information Message) 메시지 등이 메시지 세트로서 제공될 수 있다. 유럽의 경우, CAM(Cooperative Awareness Message), DENM(Decentralized Environmental Notification Message) 메시지 등이 메시지 세트로서 제공될 수 있다.

네트워킹 및 트랜스포트(Networking & Transport) 레이어: OSI 레이어 3 (네트워크(network) 레이어), 레이어 4 (트랜스포트(transport) 레이어)에 대응하는 레이어. 네트워킹/트랜스포트 레이어는 다양한 트랜스포트 프로토콜 및 네트워크 프로토콜을 사용함으로써 동종(homogenous)/이종(heterogenous) 네트워크 간의 차량 통신을 위한 네트워크를 구성할 수 있다. 예를 들면, 네트워킹/트랜스포트 레이어는 TCP/UDP+IPv6 등 인터넷 프로토콜을 사용한 인터넷 접속과 라우팅을 제공할 수 있다. 또는, 네트워킹/트랜스포트 레이어는 BTP(Basic Transport Protocol)/지오네트워킹(GeoNetworking) 등 지정학적 위치 정보(Geographical position) 기반 프로토콜을 사용하여 차량 네트워크를 구성할 수 있다. 또는, 네트워킹/트랜스포트 레이어는 WSMP(WAVE Short Message Protocol)(예컨대, WSMP-N 및 WSMP-T)을 사용하여 차량 네트워크를 구성할 수 있다.

또한, 네트워킹 및 트랜스포트 레이어는 제공되는 서비스들에 대한 어드버타이즈먼트(advertisement)를 제공할 수 있다. 예를 들면, 미국의 경우, WSA(WAVE Service Advertisement)를 통해 이러한 어드버타이즈먼트가 제공될 수 있고, 유럽의 경우, SAM(Service Announcement Message)를 통해 이러한 이 어드버타이즈먼트가 제공될 수 있다.

액세스(Access) 레이어: OSI 레이어 1 (피지컬(physical) 레이어), 레이어 2 (데이터 링크(data link) 레이어)에 대응하는 레이어. 액세스 레이어는 상위 레이어에서 수신한 메세지/데이터를 물리적 채널을 통해 전송할 수 있다. 예를 들면, 액세스 레이어는 IEEE 802.11 및/또는 802.11p 표준 기반 통신 기술, IEEE 802.11 및/또는 802.11p 표준의 WIFI 피지컬 전송 기술, DSRC 기술, 위성/광대역 무선 이동 통신을 포함하는 2G/3G/4G(LTE)/5G 무선 셀룰러 통신 기술, GPS(Global Positioning System) 기술, 블루투스, 또는 IEEE 1609 WAVE 기술 중 적어도 하나에 기초하여 데이터 통신을 수행/지원할 수 있다. 한편, 미국의 경우, 차량 환경에서의 통신을 지원하기 위해 IEEE 1609.4 표준 기반의 MAC 기술을 보완하여 사용한다.

시큐리티(Security) 레이어: 데이터 신뢰(data trust) 및 프라이버시를 위한 레이어. 시큐리티 레이어는 프라이버시를 보장하기 위한 인증(authentication)과 암호화 기능(encryption function)을 제공할 수 있다. 인증은 송신자(sender)가 권한이 있는 정당한 V2X 통신 장치인지와 보내진 데이터가 변경이 되지 않았는지를 나타내기 위해 사용되며, 암호화는 데이터의 비밀(secret)을 유지하기 위해 사용된다. 실시예로서, 네트워킹/트랜스포트 레이어에서 생성된 메세지나 데이터는 그 종류에 따라 시큐리티(secirity) 레이어를 거쳐 보안되어(secured) 전송되거나, 또는 비-보안되어(non-secured) 전송될 수 있다.

매니지먼트(management) 레이어: 매니지먼트 레이어는 MDCC(Multi-channel Decentralized Congestion Control)를 제공할 수 있다. 또한, 매니지먼트 레이어는 상위 레이어(Higher Layer)로부터 전달된 정보에 기초하여 서비스 어드버타이즈먼트에 대한 컨텐츠를 생성할 수 있고, 이 컨텐츠는 IP 구성(IP configuration) 정보 및 시큐리티 크리덴셜(security credential) 정보를 포함할 수 있다. 또한, 매니지먼트 레이어는 수신된 서비스 어드버타이즈먼트를 모니터링하며, 채널 품질(channel quality)을 추정하여 채널 할당/스위칭 스케쥴(channel allocation/switching schedule)을 결정할 수 있다.

이하에서는 도 5 내지 9를 참조하여 제1 타입의 V2X 통신 장치가 시큐리티 서비스를 제공하는 방법을 설명하고, 도 10 내지 13을 참조하여 제2 타입의 V2X 통신 장치가 시큐리티 서비스를 제공하는 방법을 설명한다. 실시예로서, 제1 타입의 V2X 통신 장치는 도 4의 미국(US)의 통신 프로토콜에 따라 V2X 통신을 수행하는 V2X 통신 장치일 수 있고, 제2 타입의 V2X 통신 장치는 도 4의 유럽(EU)의 통신 프로토콜에 따라 V2X 통신을 수행하는 V2X 통신 장치일 수 있다.

도 5는 본 발명의 제1 실시예에 따른 보안 서비스를 제공하는 V2X 통신 장치의 프로토콜 스택을 나타낸다. 도 5의 실시예에서, V2X 통신 장치는 IEEE 1609.2 표준 기반의 보안 서비스를 제공하는 V2X 통신 장치(예컨대, WAVE 장치)일 수 있다. 도 5의 보안 서비스는 WAVE 보안 서비스로 지칭될 수 있고, 도 5의 프로토콜 스택은 WAVE 프로토콜 스택으로 지칭될 수 있다. 도 5에서 도시한 보안 서비스는 내부(internal) 보안 서비스 및 상위 레이어 보안 서비스를 포함할 수 있다.

먼저, 내부 보안 서비스는 보안 데이터 서비스(SDS: Secure Data Service)와 보안 서비스 관리 엔티티(SSME: Security Services Management Entity)를 제공할 수 있다.

SDS는 PDU(Protocol Data Unit)를 관리할 수 있다. 예를 들면, SDS는 전송을 위해 보안되지 않은(unsecured) PDU를 SPDU(Secured Protocol Data Unit)로 변환할 수 있다. 또한, SDS는 수신시 SPDU를 처리할 수 있고, 이는 SPDU를 PDU로 변환하는 것을 포함한다. 이때, SPDU의 포맷은 서명된(signed) 데이터이거나 또는 암호화된(encrypted) 데이터일 수 있다. 보안 데이터 서비스를 사용하는 엔티티는 보안 데이터 교환 엔티티(SDEE: Secure Data Exchange Entity)로 지칭될 수 있다.

SSME는 인증서들에 대한 정보를 관리할 수 있다. 예를 들면, SSME는 SDS에 저장된 인증서와 CA들(Certificate Authoritues)에 속한 인증서에 대한 인증 정보를 저장/관리할 수 있다.

상위 레이어 보안 서비스는 인증서 폐기 리스트 검증 엔티티(CRLVE: Certificate Revocation List Veritication Entity)와 피어-투-피어 인증서 분배 엔티티(P2PCDE: Peer-to-Peer Certificate Distribution Entity)를 제공할 수 있다.

CRLVE는 들어오는(incoming) CRL을 검증할 수 있다. 예를 들면, CRLVE는 SSME로부터 수신한 또는 SSME로 전달할 인증서 폐기 리스트(Certificate Revocation List: CRL)을 검증할 수 있다. 또한, CRLVE는 저장을 위해 관련 폐기 정보를 SSME로 전달할 수 있다.

P2PCDE는 피어-투-피어 인증서 분배를 가능하게 한다. P2PCDE는 WAVE 장치가 언노운(unkown) 인증서들을 학습할 수 있게 해준다. 이때, WAVE 장치는 다른 피어 장치(Peer device)에 필요한 정보를 요청하고, 이를 이용하여 언노운 인증서들을 학습할 수 있다.

상술한 서비스를 제공하기 위해 도 5에 도시된 IEEE 1609.2 표준에서는 SAP(Service Access Point)(예컨대, Sec-SAP, SSME SAP, SSME-Sec SAP 등)를 제공하며, 이 SAP를 통해 IEEE 1609.2 표준 기반의 한 엔티티에서 다른 엔티티로의 통신이 수행될 수 있다. 이를 SDEE 간의 데이터 교환이라고 지칭할 수 있다.

도 6은 본 발명의 일 실시예에 따른 V2X 통신 장치가 보안 처리를 수행하는 방법을 나타낸다. 도 5에서와 마찬가지로, 도 6의 실시예에서, V2X 통신 장치는 IEEE 1609.2 표준 기반의 보안 서비스를 제공하는 V2X 통신 장치(예컨대, WAVE 장치)일 수 있다. 이러한 도 6의 실시예는 SDS를 사용한 보안 처리의 예시적인 처리 흐름을 보여준다.

도 6를 참조하면, SDS는 데이터를 처리하라는 요청과 함께 SDEE에 의해 호출될 수 있다. 처리된 데이터는 호출한 SDEE로 리턴될 수 있다. 보안 데이터 교환은 두 SDEE를 포함할 수 있으며, 하나는 송신(sending) SDEE이고 다른 하나는 수신(receiving) SDEE일 수 있다.

송신 SDEE는 송신측 보안 처리를 수행하기 위해 SDS를 호출할 수 있다. 이 경우, 처리의 결과는 송신 엔티티로 리턴되는 SPDU일 수 있다. 송신 SDEE는 SPDU의 송신에 앞서, 적어도 한번, 가능하게는 여러 번 SDS를 호출할 수 있다.

수신 SDEE는 수신된 SPDU의 컨텐츠에 대한 보안 처리를 수행하기 위해 SDS를 호출할 수 있다. 이 경우, SPDU를 포함할 수 있고, SPDU에 관한 추가 정보를 포함할 수 있는, 처리의 결과가 수신 SDEE로 리턴될 수 있다. 수신된 SPDU의 완전한 처리는 SDS의 다중 호출을 요구할 수 있다.

이하에서는 PKI(Public Key Ingrastructure)의 크리덴셜을 관리하기 위한 보안 관리 시스템(Security Management System)을 설명한다. 예를 들면, 보안 관리 시스템을 통한 인증서 요청, 인증서 관리 및 CRL 분배(distribution) 방안 등에 대하여 설명한다. 보안 관리 시스템은 보안 크리덴셜 관리 시스템(SCMS: Security Credentials Management System) 또는 신뢰 모델(trust model)로 지칭될 수도 있다.

보안 관리 시스템의 설명에 앞서, 먼저, 보안 관리 시스템에 의해 관리되는 다양한 종류의 인증서에 대하여 설명한다. V2X 통신 시스템은 다양한 종류의 인증서를 지원하며, 보안 관리 시스템은 이러한 인증서들을 발행하고 폐기시킬 수 있다. 각 인증서들은 상이한 라이프타임과 갱신 주기를 가질 수 있다. 예를 들면, 루트 CA는 17년의 라이프타임을 가질 수 있고, 루트 CA에 의해 제어되는 EA는 11년의 라이프타임을 가질 수 있고, EA에 의해 발행되는 EC는 6년의 라이프타임을 가질 수 있다.

먼저, 차량 또는 차량의 OBE는 OBE 등록 인증서(EC), 익명 인증서(PC) 및/또는 식별 인증서(IC: Identification Certificate)를 가질 수 있다. OBE의 EC는 인증서 요청을 검증하기 위해 사용되는 인증서로서, OBE의 패스포트(passport)와 같은 역할을 수행할 수 있다. 차량은 이 EC를 이용하여 AA로 PC 및/또는 IC를 요청할 수 있다. EC는 암호화 키를 가지고 있지 않으며, OBE가 부트스트랩 프로세스를 수행하는 동안 발급될 수 있다. 또한, EC는 유효 기간을 가지고 있다. 따라서, EC는 OBE의 전체 동작 라이프타임 동안 유효한 것은 아니고, 재설정(re-establishment) 과정이 필요할 수 있다. 또한, 각 EC는 적어도 하나의 PSID(Provider Service ID)를 가질 수 있다.

PC는 소유자(holder)의 허가(permission)를 지시하지만, 소유자의 신원(identity)은 지시하지 않는 인가 인증서(authorization certificate)로서, BSM와 같은 V2X 메시지의 인증(authentication)과 오동작 리포팅(misbehavior reporting) 등을 위해 사용될 수 있다. PC는 암호화 키를 가지지 않으며, 프라이버시의 이유로 하나의 OBE는 복수의 유효한 PC를 가질 수 있다. 따라서, PC는 필요에 따라 가능한 자주 바뀔 수 있다.

IC는 V2I 어플리케이션 내의 인증을 위해 사용될 수 있다. IC는 PC와 유사한 프로비저닝 프로세스(provisioning process)를 가지나, 상이한 PSID 및 파라미터를 가질 수 있다.

인프라스트럭쳐 또는 인프라스트럭쳐의 RSE(또는, RSU)는 RSE 등록 인증서(EC) 및/또는 어플리케이션 인증서(AC)를 가질 수 있다.

RSE의 EC는 인증서 요청을 검증하기 위해 사용되는 인증서로서, RSE의 패스포트와 같은 역할을 수행할 수 있다. 이 EC는 AC를 요청하기 위해 사용될 수 있다. OBE의 EC와 마찬가지로, RSE의 EC는 암호화 키를 가지고 있지 않으며, RSE가 부트스트랩 프로세스를 수행하는 동안 발급될 수 있다. 또한, OBE의 EC와 마찬가지로, RSE의 EC는 유효 기간을 가지고 있으므로, RSE의 전체 동작 라이프타임 동안 유효한 것은 아니고, 재설정(re-establishment) 과정이 필요할 수 있다. 또한, 각 EC는 적어도 하나의 PSID를 가질 수 있다.

AC는 인증과 암호화를 위해 하나의 RSE에 의해 사용될 수 있다. AC는 암호화 키를 가지며, RSE에 대한 프라이버시 제약(privacy constraints)이 없다. 따라서, RSE는 주어진 어플리케이션에 대하여 한번에 단지 하나의 유효한 AC를 가질 수 있다. 이하는 AC의 두가지 기간에 따른 폐기를 예시한다.

1. 짧은 유효 기간(Short Validity Periods(e.g. daily, hourly)): 자주 인증서를 갱신(renewal)해야 하므로, CRL이 요구되지 않는다.

2. 긴 유효 기간(Long Validity Periods(e.g. monthly, annually)): CRL이 요구된다.

도 7은 본 발명의 일 실시예에 따른 신뢰 계층(trust hierarchy)의 구조를 보여준다. 도 7의 실시예는 IEEE 1609.2 인증서 포맷을 이용한 일렉터-기반 방식(elector-based scheme)의 보안 관리 시스템의 일 예를 보여준다.

도 7의 실시예에서, 일렉터(elector), 루트 CA, PCA(Psuedonum Certificate Authority) 및 ICA(Intermediate Certificate Authority)에 의해 발행되는 인증서는 P2P(peer-to-peer) 분배를 지원하기 위한 명시적 타입(explicit type)의 인증서들이다. 이들은 다른 인증서들이 묵시적 타입(implicit type)이 되는 동안 혼동을 없애기 위해 명시성을 유지한다. 그리고, 이 인증서들은 프라이버시 제약을 가지지 않는다.

도 7의 실시예에 도시된 일렉터 기반 방식의 보안 관리 시스템은 일렉터들이 최상위 레벨인 레벨 0에 추가됨으로써, 루트 CA가 자신의 인증서를 변경하지 않고도 일렉터로부터 새로운 지지자를 받을 수 있다는 이점을 갖는다. 일렉터들은 루트 관리 기능을 수행할 수 있다. 즉, 일렉터는 루트 CA 인증서의 관리(예컨대, 추가 또는 삭제)를 위해 사용될 수 있다. 예를 들면, 일렉터들은 루트 CA 인증서를 추가 또는 삭제할 수 있다. 이때, 정족수는 예를 들면, 멤버의 과반 이상일 수 있다. 한편, 일렉터 인증서는 보안 관리 시스템의 PKI 계층(hierarchy)의 일부가 아니므로, 검증(verifying) 인증서 체인은 검증 일렉터 인증서를 포함하지 않는다.

루트 CA 인증서는 다른 인증서를 검증하기 위하여 신뢰 앵커(trust anchor)로서 사용될 수 있는 자체 서명된(self-signed) 인증서로서, 루트 인증서로 약칭될 수도 있다. 루트 CA 인증서는 아래와 같이 다른 인증서 타입과 상이한 특징을 갖는다.

1. 루트 CA 인증서는 신뢰 체인의 끝이다. 따라서, 보안 관리 시스템의 어떠한 인증서의 검증도 이 인증서에 종료된다.

2. 루트 CA의 서명(signature)은 어떠한 암호화 값을 가지지 않는다. 이 서명은 루트 CA 자체에 의해 생성된다.

3. 일반적으로, 루트 CA 인증서는 긴 라이프타임을 가진다. 왜냐하면, 루트 CA를 변경하는 것은 매우 시간 소모적이며, 큰 값을 요구하는 동작이기 때문이다.

4. 단지 일렉터의 정족수만이 루트 관리 메시지를 생성할 수 있고, 루트 CA 인증서의 폐기를 CRL에 추가할 수 있다.

ICA 인증서는 다른 SCSM에게 인증서를 발행하기 위해 사용될 수 있다. 루트 CA 및 ICA만이 다른 SCSM을 인증할 수 있다. ICA 인증서는 IC로 지칭될 수 있다.

ECA 인증서는 명시적 타입으로서, P2P 분배를 통해 분배될 수 있다. ECA 인증서는 OBE와 RSE를 포함하는 엔드 엔티티에게 인증서(EC)를 발행하기 위해 사용될 수 있다. ECA 인증서는 EC로 지칭될 수 있다.

PCA 인증서는 OBE와 RSE를 포함하는 엔드 엔티티에게 인증서를 발행하기 위해 사용될 수 있다. PCA 인증서는 유효 기간을 가지며, PCA 인증서의 폐기는 CRL 생성기가 발행한 CRL을 통해 이루어질 수 있다. PCA 인증서는 PC로 지칭될 수 있다.

CRL 생성기 인증서는 루트 CA에 의해 발행될 수 있고, CRL을 서명하기 위해 사용될 수 있다. 정책(policy) 생성기 인증서 역시, 루트 CA에 의해 발행될 수 있고, 보안 관리 시스템에 분배될 글로벌 정책 파일(global policy file)을 서명하기 위해 사용될 수 있다. LA(Linkage Authority) 인증서는 엔드 엔티티와 상호작용이 없을 수 있다. RA(Registration Authority) 인증서는 엔드 엔티티가 부트스트랩된 이후에 성공적으로 인증서 프로비저닝 요청을 할 수 있도록 유효 기간이 충분히 길어야 한다. MA 인증서는 엔드 엔티티가 MA 인증서를 자주 검색할 필요가 없으므로, 유효 기간이 길지 않아도 된다.

도 8은 본 발명의 일 실시예에 따른 엔드 엔티티로 동작하는 V2X 통신 장치의 부트스트랩 프로세싱을 나타낸다. 상술한 바와 같이, EC는 이러한 부트스트랩 프로세스의 수행을 통해 발행될 수 있다.

본 명세서에서, EE는 CA로서 동작하지 않는 엔티티, 즉, 인증서를 요청하거나 또는 PDU를 서명하는 엔티티일 수 있다. 예를 들면, 도 9의 차량 또는 차량의 OBE가 EE로 동작할 수 있다.

도 8에 도시된 것처럼, EE로부터 EC 요청이 수신되는 경우, 장치 구성 매니저(DCM: Device Configuration Manager)는 해당 EE가 인증되었는지 여부를 결정할 수 있다. 즉, 해당 EE가 인증된 장치인지 여부를 결정할 수 있다. 인증되지 않은 경우, DCM은 EC 요청을 거절할 수 있다.

인증된 경우, DCM은 ECA에 EC를 요청할 수 있다. 이 경우, ECA는 EC를 발행하여, DCM으로 전달할 수 있다. DCM은 ECA에서 발행된 EC, RA에서 제공된 신뢰 체인 인증서 및/또는 인증서 랩(Cerificate Lab)에서 제공된 EE 특정 인증서 정보를 EE로 전달할 수 있다. 이때, DCM은 IP 어드레스와 함께 EE로 전달할 수 있다. EE는 EC, 신뢰 체인 인증서 및/또는 IP 어드레스를 로딩할 수 있다.

도 9는 본 발명의 일 실시예에 따른 엔드 엔티티로 동작하는 V2X 통신 장치의 오동작 리포팅 프로세스를 나타낸다. 도 8의 실시예에서와 같이, 예를 들면, 차량 또는 차량의 OBE가 EE로 동작할 수 있다.

도 9에 도시된 것처럼, EE는 미리 설정된 조건의 만족(condition met)을 리포팅할 수 있다(step 1).

EE는 오동작 리포트를 생성할 수 있다. 이때, EE는 오동작 리포트를 PC를 이용하여 서명할 수 있다(step 2).

EE는 MA에게 전송될 오동작 리포트를 암호화할 수 있다(step 3).

EE는 오동작 리포트를 RA에게 제출할 수 있다(step 4).

이때, LOP(Location Obscurer Proxy)는 암호화된 오동작 리포트로부터 네트워크 주소 정보(예컨대, MAC 주소 및/또는 IP 주소)를 제거하고, 이를 RA에 전달할 수 있다(step 4.1). RA는 이 오동작 리포트를 다른 리포트들을 가지고 셔플링하고, 이를 MA에 전달할 수 있다(step 4.2). 이때, 셔플링 스레시홀드는 예컨대, 10,000 오동작 리포트 이거나 하루 일 수 있다.

MA는 오동작 리포트를 암호해제 할 수 있고, 이에 기초하여 조사(investigate)할 수 있다.

EE는 RA로부터 ACK 응답이 있는 경우, 보낸 리포트를 삭제할 수 있다. 또한, EE는 기한이 도과된(outdated) 또는 보내지지 않은(unsent) 리포트를 삭제할 수 있다. 그리고, RA는 MA로부터 ACK 응답이 있는 경우, 보낸 리포트를 삭제할 수 있다.

표 1은 미국의 보안 관련 서비스 및 서비스의 PSID를 나타낸다.

ITS service (application)
Numerical value	Description
32 = 0x20	BSM PSID
35 = 0x23	Security Manamgement PSID
38 = 0x26	Misbehavior Reporint PSID
135 = 0x87	WAVE WSA
136 = 0x88	Peer To Peer Certificate Distribution PSID

도 10은 본 발명의 제2 실시예에 따른 보안 서비스를 제공하는 V2X 통신 장치의 프로토콜 스택을 나타낸다. 도 10의 실시예에서, V2X 통신 장치는 유럽의 ETSI ITS 표준 기반의 보안 서비스를 제공하는 V2X 통신 장치(예컨대, ITS 스테이션)일 수 있다. 도 10의 보안 서비스는 ITS 보안 서비스로 지칭될 수 있고, 도 10의 시큐리티 레이어는 ITS 시큐리티 레이어로 지칭될 수 있다.

도 10은 ITS 시큐리티 아키텍쳐의 기능적 엔티티들 및 그들과 ITS 통신 레이어 간에 존재하는 관계를 보여준다. 도 10에서는, ITS 통신 레이어에 인접한 수직 레이어로서 시큐리티 레이어를 보여주지만, 사실상, 시큐리티 서비스가 레이어 단위(layer by layer basis)로 제공되므로, 시큐리티 레이어는 ITS 레이어들로 세분화될(subdivided) 수 있다. 이러한 시큐리티 서비스는 시큐리티 서비스의 각각이 하나 또는 여러(several) ITS 아키텍쳐 레이어 내에서 또는 시큐리티 매니지먼트 레이어 내에서 동작하는 방식으로, 레이어 단위로 제공될 수 있다. 도 10에 도시된 것처럼, ITS 시큐리티 아키텍처의 기능적 엔티티들과 ITS 통신 레이어들은 SAP(예컨대, SF-SAP, SN-SAP 및 SI-SAP)를 통해 통신을 수행할 수 있다.

도 11은 본 발명의 일 실시예에 따른 V2X 통신 시스템의 신뢰 모델을 나타낸다. 도 11의 실시예에서는 도 2에서 상술한 설명과 중복되는 설명은 생략한다. 도 11의 실시예의 신뢰 모델은 ITS 신뢰 모델 또는 C-ITS 신뢰 모델로 지칭될 수 있다.

도 11의 실시예에서, V2X 통신 시스템은 V2X 통신 장치(예컨대, ITS 스테이션)들이 V2X 통신을 위한 메시지를 안전하게 송수신하기 위해 요구되는 보안 시스템일 수 있다. 이러한 V2X 통신 시스템은 신뢰성있는(trusted) 메시지의 통신을 위한 하나 이상의 엔티티(entity)를 포함할 수 있다. 예를 들면, 도시된 것처럼, V2X 통신 시스템은 정책 기관(PA: Policy Autority), 신뢰 리스트 관리자(TLM: Trust List Manager), 적어도 하나의 루트 인증 기관(루트 CA: Root Certificate Authority), 등록 기관(EA: Enrollment Authority), 인가 기관(AA: Authorisation Authority) 및/또는 적어도 하나의 V2X 통신 장치를 포함할 수 있다. 실시예로서, V2X 통신 장치는 OBE에 해당하거나 또는 RSE에 해당할 수 있다. 루트 CA, EA 및 AA에 대하여는 도 2에서 상술한 바 이하에서는 PA, TLM 등에 대하여 설명한다.

PA는 ITS 신뢰 모델에 참여하는 공공 및 민간 이해관계자(예컨대, 기관, 도로 운영자, 차량 제조업체 등)의 대표자에 의해 구성되는 역할이다.

PA는 TLM를 지정할 수 있다. 구체적으로, PA는 ITS 신뢰 시스템 내에서 동작하기 위하여 TLM 및 CPOC(Central Point of Contact)를 지정(designate)하고 인가(authorize)할 수 있다. PA는 루트 CA가 신뢰가능한지를 결정할 수 있고, 승인된/폐기된 루트 CA 인증서들에 대하여 TLM에게 알림으로써 ITS 신뢰 도메인 내에서 루트 CA 동작을 승인/제거할 수 있다. 다시 말해, PA는 루트 CA 동작을 승인하고, TLM이 이 루트 CA를 신뢰할 수 있도록 확인해줄 수 있다.

TLM은 루트 CA 인증서 및 TLM 인증서의 리스트를 생성하고, 그것을 서명하는 역할을 담당한다. TLM에 의해 발행된 서명된 리스트는 ECTL(European Certificate Trust List)로 지칭될 수 있다. 이처럼, TLM은 ECTL(European Certificate Trust List)를 발행할 수 있고, ECTL은 승인된 루트 CA들의 신뢰를 제공할 수 있다.

CPOC는 PA에 의해 지정된 고유한 엔티티로서, 루트 CA들 간의 통신 교환을 보장하고, 루트 CA 인증서들을 수집하고, 그들을 TLM에 제공하는 역할을 담당한다. CPOC는 또한 신뢰 모델 내의 임의의 관심있는 엔티티로 ECTL을 분배하는 역할을 담당한다. 실시예로서, TLM은 보안 인증서 정보 및 신뢰 리스트 정보(ECTL)을 로컬 저장소에 저장할 수 있다. 이 경우, CPOC는 모든 PKI 참여자들에게 이 정보를 분배하기 위해 사용될 수도 있다.

EA는 EC를 ITS 스테이션(EE)에게 전달함으로써 EE의 동작의 신뢰를 제공할 수 있다. AA는 EA의 신뢰를 가지는 ITS 스테이션들에게 AT를 발행할 수 있다. 따라서, 수신 ITS 스테이션 또는 송신 ITS 스테이션은 다른 ITS 스테이션을 신뢰할 수 있다. 왜냐하면, AT들이 AA에 의 해 발급되었고, 해당 AA가 루트 CA에 의해 신뢰성을 인증받았고, 루트 CA가 TLM과 PA에 의해 인증받았기 때문이다.

도 12는 본 발명의 일 실시예에 따른 V2X 통신 시스템의 신뢰 모델에서의 정보 흐름을 나타낸다. 구체적으로, 도 12는 PKI에 참여하는 ITS 스테이션의 신뢰 모델에서의 정보 흐름을 보여준다. 도 12의 실시예에서는, 기본적으로 멀티플 루트 CA를 가정한다. 이 루트 CA들의 인증서들은 링크 인증서와 같은 보안 프로토콜을 통해 CPOC로 주기적으로 전송될 수 있다. 이때, 어떤 보안 프로토콜을 사용할지 여부는 CPOC 내에 정의될 수 있다.

도 12의 (1),(2)를 참조하면, PA는 TLM에게 루트 CA 어플리케이션의 승인을 수행할 수 있고, 루트 CA의 폐기 정보를 제공할 수 있다. 도 12의 (3),(4)를 참조하면, PA는 CP(Certification Policy)를 업데이트할 수 있고, 루트 CA 어플리케이션 폼/CPS(Certificate Practice Statement) 요청 변경/감사(audit) 프로세스 등의 승인이나 거절을 수행할 수 있다.

도 12의 (5)를 참조하면, TLM은 PA에게 ECTL의 변경을 알려줄 수 있다. 도 12의 (6),(7)을 참조하면, TLM은 CPOC(C-ITS Point of Contact)에게 TLM 인증서와 ECTL을 제공할 수 있다.

도 12의 (8),(9)를 참조하면, CPOC는 TLM에게 루트 CA 인증 정보와 폐기를 전달할 수 있다. 도 12의 (10)을 참조하면, CPOC는 모든 EE에게 TLM 인증서를 전달할 수 있다.

도 12의 (11),(12)를 참조하면, 루트 CA는 CPOC에게 루트 CA 인증서 정보 및 루트 CA 인증서 폐기를 전달할 수 있다. 도 12의 (13)을 참조하면, 루트 CA는 감사에게 감사 오더(order)를 전달할 수 있다. 도 12의 (14),(15),(16)을 참조하면, 루트 CA는 어플리케이션 폼을 전달하고, CPS(Certificate Practice Statement) 변경을 업데이트하고, 감사 리포트를 제공할 수 있다. 기타 동작은 도면에 의해 설명된 바와 같다.

도 13은 본 발명의 일 실시예에 따른 V2X 통신 장치의 보안 라이프 사이클을 나타낸다. 도 13의 실시예에서, V2X 통신 장치는 ETSI ITS 표준에 기반한 ITS 스테이션일 수 있다. 도 13의 보안 라이프사이클은 ITS-S 보안 라이프 사이클로 지칭될 수 있다.

도 13을 참조하면, 보안 라이프사이클은 제조 중 초기 ITS 스테이션 구성 단계, 등록 단계, 인가 단계, 운영 및 유지보수 단계 및 수명의 만료 단계를 포함할 수 있다. 본 명세서에서, 초기 ITS 스테이션 구성 단계는 초기화 이전(before initialization) 단계/상태에 해당할 수 있고, 등록 단계는 초기화되고 미등록된(initialized and unenrolled) 단계/상태에 해당할 수 있고, 인가 단계는 등록되고 미인증된(enrolled and unauthorized) 단계/상태로 지칭될 수 있고, 운영 및 유지보수 단계는 서비스를 위해 인증된(authorized for service) 단계/상태에 해당할 수 있고, 수명의 만료 단계는 수명 만료(end of life) 단계/상태에 해당할 수 있다.

초기 ITS 스테이션 구성 단계는 제조 과정의 일부로서, ITS 스테이션 자체 및 EA 내에 스테이션의 신원(identity)와 연관된 정보 요소(element)가 설정되어야 한다. 예를 들면, ITS 스테이션 내의 정보 요소는 고유한 식별자, ITS 스테이션에 대한 인증서를 발행할 수 있는 EA 및 AA에 대한 컨택 정보(예컨대, 네트워크 주소, 공개 키 인증서), ITS 스테이션이 등록 절차를 시작하기 위해 사용할 수 있는 현재 알려진 신뢰된 EA 인증서의 집합, ITS 스테이션이 다른 ITS 스테이션과의 통신을 신뢰하기 위해 사용할 수 있는 현재 알려진 신뢰된 AA 인증서의 집합 및/또는 암호 목적의 공개/개인 키 쌍 및 신뢰 앵커(루트 CA) 공개 키 및 DC 네트워크 주소를 포함할 수 있다. 또는, EA 내의 정보 요소는 ITS 스테이션의 영구(permanent) 식별자, ITS 스테이션에 대한 프로필 정보 및/또는 ITS 스테이션에 속하는 키쌍으로 부터의 공개 키를 포함할 수 있다.

등록 단계에서, ITS 스테이션은 EA로 EC를 요청할 수 있다. 성공적인 등록 절차 이후에, ITS 스테이션은 다음의 인가 요청에서 사용되어야 할 등록 크리덴셜을 처리할 수 있다. EA에서 EC를 갱신하는 경우, ITS 스테이션은 이 EA가 발행한 이전의 유효한 등록 크리덴셜에 의해 서명된 등록 요청을 전송해야 한다.

인가 단계에서, ITS 스테이션은 AA에 AT를 요청할 수 있다. "서비스 인가" 상태인 경우, ITS 스테이션은 송신 ITS 스테이션의 신원이나 등록 크리덴셜을 드러내지 않고, 임의의 다른 ITS 스테이션에 서명된 메시지의 송신을 허용하는 AT의 집합을 가질 수 있다. AT의 완전한 세트가 소진되는 경우, ITS 스테이션은 다른 ITS 스테이션으로 메시지의 송신에 서명할 수 없고, 등록 상태로 되돌아갈 수 있다.

유지보수 단계에서, EA 또는 AA가 시스템에 추가되거나 제거된다면, 루트 CA는 이 변경을 등록된 ITS 스테이션에 알릴 수 있다.

수명의 만료 단계는 ITS 스테이션의 수명이 만료되는 경우 또는 타협(발급 EA에 의해 결정된 폐기)이 발생한 경우에 수행될 수 있다. 수명 만료 단계에서, ITS 스테이션은 폐기되고, ITS G5 통신 네트워크에서 작동을 중지하여야 한다.

## 상술한 바와 같이 V2X 통신 시스템에서는 V2X 통신 장치(예컨대, ITS 스테이션, WAVE 장치)의 인증 및 V2X 통신 장치가 통신하는 V2X 메시지(예컨대, ITS 메시지)의 신뢰성을 보장하기 위해, PKI 기반의 신뢰 모델을 이용할 수 있다. 이 신뢰 모델에는 EC(또는, LTC), AT(또는, PC)와 같은 인증서가 존재하며, 각각은 V2X 통신 장치, V2X 메시지를 인증하기 위해 사용될 수 있다.

이때, V2X 통신 장치에서 오동작이 감지된 경우, 해당 V2X 통신 장치의 EC/AT 등의 보안 크리덴셜이 파기되어야 하고, V2X 통신에서 제외되어야 한다. 이를 위해, 오동작 검출(MBD: Miss Behavior Detection) 정보를 효율적으로 분배하기 위하여 CRL(Certificate Revocation List)을 생성하고 이를 분배하기 위한 방안이 필요하다. 예를 들면, 미국의 경우, 이를 위해 신뢰 모델에 MA(Misbehaviour Authority)가 추가되며, 이 MA는 EE에 대한 CRL을 방송할 수 있다. 유럽의 경우, 루트 CA가 인증서 신뢰 리스트(CTL: Certificate Trust List)과 함께 CA에 대한 CRL을 만들 수 있다. 이때, 루트 CA는 이를 서명된 리스트(CRL 및 CTL)의 형태로 생성 및 발행하여 분배 센터(DC: Distribution center)에 전달할 수 있다. 이 경우, V2X 통신 장치는 OCSP(Online Certificate Status Protocol)등과 같은 인터넷 프로토콜을 사용하여 인증서의 폐기 상태(Revocation Status)에 대한 정보를 획득할 수 있고, DC는 이를 해당 RCA가 관리하는 도메인 내의 모든 EE 들에게 분배할 수 있다.

이러한 종래의 방식은 실제 동작하기 위해 인프라스트럭처(예컨대, RSU)와의 백엔드 연결이 필요하다. 따라서, 인프라스트럭처가 주변에 없는 경우, 다음 인프라스트럭처의 영역으로 진입할 때까지, EE가 관련 정보를 수신할 수 없다. 또한, 미국의 MA나 유럽의 DC의 경우, 단지 하나의 MA나 DC로 운용되는 것이 아니라, 실제 운용되기 위하여 여러 개의 MA나 DC를 가질 수 밖에 없다. 따라서, 메커니즘이 매우 복잡해지게 된다. 또한, 만일 하나의 MA나 DC로 운용된다고 하더라도, 운용되는 MA가 해킹당하는 경우, 모든 V2X 통신에 영향을 주게 된다. 따라서, 안전한 V2X 통신을 수행하기 어렵다.

## 이하에서는 V2X 통신 시스템에서 신뢰성 있는 V2X 통신을 수행하기 위해, 오동작을 감지하는 3 가지 방법을 설명한다.

도 14 는 본 발명의 일 실시예에 따른 ITS 시스템에서 오동작을 검출하는 방법을 나타낸다. 본 명세서에서, 오동작이 검출된 ITS-S은 MBD ITS-S으로 지칭된다.

도 14(a)는 본 발명의 일 실시예에 따른 오동작 검출 방법 중 하나인 셀프 MBD 검출 방법을 나타낸다.

셀프(self) MBD 검출 방법(제1 MBD 검출 방법): ITS-S가 스스로 오동작을 검출/감지하는 방법을 의미한다. 이를 위해, ITS-S는 자신의 오동작을 검출하기 위한 라이트한(light) MBD 검출 기능을 지원해야 한다.

일반적으로, ITS-S는 이 MBD 검출 기능을 통해 자신의 이상(abnormality)을 감지할 수 있으나, 이것이 오동작에 해당하는 확신할 수 없으며, 이에 대한 정확한 원인을 알기도 어렵다. 설령 ITS-S가 강력한(powerful) MBD 검출 기능을 가지고 있다고 하더라도, 자기 스스로 획득한 정보만으로는 모든 종류의 오동작을 검출하기 어렵다. 따라서, ITS-S 주변의 다른 ITS-S로부터 수신된 정보들을 수집하고, 이에 기초하여 오동작 여부를 검출할 필요가 있다. 그러나, 이 작업은 매우 많은 시간과 노력이 드는 작업에 해당한다. 따라서, 모든 ITS-S가 이러한 작업을 수행하는 것은 불필요하다.

도 14(b)는 본 발명의 일 실시예에 따른 오동작 검출 방법 중 하나인 이웃 MBD 검출 방법을 나타낸다.

이웃(neighborhood) MBD 검출 방법(제2 MBD 검출 방법): 주변의 ITS-S(이웃 ITS-S)가 다른 ITS-S의 오동작을 검출/감지하는 방법을 의미한다. 다른 ITS-S의 오동작이 검출된 경우, 이웃 ITS-S는 오동작이 검출된 ITS-S(MBD ITS-S)에 직접 오동작 검출(MBD) 정보를 알려주거나, 주변의 ITS-S들에게 MBD 정보를 브로드캐스팅하거나, 또는 권한을 갖는 대상(예컨대, MA)에게 MBD 정보를 알려줄 수 있다.

이 이웃 ITS-S는 주변의 다른 ITS-S의 오동작을 검출하기 위한 MBD 검출 기능을 지원해야 한다. 예를 들면, 이웃 ITS-S는 V2X 통신을 통해 수신되는 CAM, DENM과 같은 ITS 메시지로부터 획득되는 정보를 이용하여 주변의 다른 ITS-S의 오동작을 검출하거나 또는 오동작 검출을 위한 추가 정보의 수집과 분석을 위한 기능을 지원해야 한다.

이 MBD 검출 방법을 이용하는 경우, 자격이 없는(not qualified) 이웃 ITS-S이 정당한 이유없이 다른 ITS-S을 MBD ITS-S로 판단할 수 있고, 이웃 ITS-S로부터 MBD ITS-S로 지적된 ITS-S이 이를 수용할지 여부가 문제된다. 또한, 이 MBD 검출 방법을 이용하는 경우, 여러 주변의 ITS-S들이 공모하여 하나의 ITS-S을 MBD ITS-S으로 만들 수 있다는 문제가 있다. 이러한 이웃 ITS-S에 의해 정상적인 ITS-S가 MBD ITS-S로 간주되는 위험성을 피하기 위해, 주변의 다른 ITS-S의 오동작을 검출 및 알리는 이웃 ITS-S은 신뢰성이 보장되는 ITS-S일 필요가 있다. 예를 들면, 후술할 MBB(Misbehavior Broker) 권한을 갖는 ITS-S이 이웃 ITS-S가 될 수 있다.

도 14(c)는 본 발명의 일 실시예에 따른 오동작 검출 방법 중 하나인 원격 MBD 검출 방법을 나타낸다.

원격(remote) MBD 검출 방법(제3 MBD 검출 방법): ITS 시스템 전체를 관리하는 스테이션이 ITS-S의 오동작을 검출하는 방법을 의미한다. ITS 시스템 전체를 관리하는 엔티티는 원격 MBD 스테이션 또는 관리 스테이션 등으로 지칭될 수 있다.

이 MBD 검출 방법을 이용하는 경우, 일정 수준 이상의 신뢰도를 갖는 오동작 검출이 보장된다는 이점이 있다. 그러나, 오동작 검출의 판단, 알림, 이후 폐기(revocation)까지의 많은 시간과 노력이 필요하다는 문제를 갖는다.

상술한 셀프 MBD 검출 방법 및/또는 이웃 MBD 검출 방법에 의해 일차적으로 오동작이 검출된 ITS-S은 잠재적(potential) MBD 상태에 놓이게 된다. 이 잠재적 MBD 상태(잠재 상태)는 정상적(healthy) MBD 상태(정상 상태)와 확정적(definite) MBD 상태(확정 상태)의 중간 상태에 해당한다. 이하에서는 잠재적 MBD 상태에 있는 ITS-S의 3 가지 동작 모드를 설명한다. 본 명세서에서, 잠재적 MBD 상태에 있는 ITS-S는 PMBD ITS-S이라고 지칭한다. 상술한 MBD ITS-S는 잠재적 MBD 상태에 있는 ITS-S와 확정적 MBD 상태에 있는 ITS-S을 포함하는 개념으로 이해될 수 있다.

도 15는 본 발명의 일 실시예에 따른 PMBD ITS-S의 반응(reaction) 모드를 나타낸다. 실시예로서, PMBD ITS-S는 3 가지의 반응 모드(동작 모드)를 가질 수 있다. 예를 들면, PMBD ITS-S는 침묵(silent) 모드, 수신 전용(receive only) 모드 및 제한된 토크(limited talk) 모드를 3 가지의 반응 모드로서 포함할 수 있다. 오동작 여부가 상술한 원격 MBD 스테이션에 의해 확정적으로 판단될때까지, PMBD ITS-S은 다음 반응 모드 중 하나의 모드로 동작할 수 있다.

도 15(a)는 본 발명의 일 실시예에 따른 PMBD ITS-S의 반응 모드 중 하나인 침묵(slient) 모드를 나타낸다.

침묵 모드(제1 반응 모드 또는 제1 동작 모드): 이 모드는 PMBD ITS-S가 V2X 통신(ITS 통신)에서 배제되어, V2X 기능을 수행하지 않는 모드를 의미한다. 즉, 침묵 모드로 동작하는 PMBD ITS-S는 V2X 통신에서 완전히 배제될 수 있다.

도 15(b)는 본 발명의 일 실시예에 따른 PMBD ITS-S의 반응 모드 중 하나인 수신 전용 모드를 나타낸다.

수신 전용 모드(제2 반응 모드 또는 제2 동작 모드): 이 모드는 PMBD ITS-S가 다른 ITS-S들로부터 데이터(예컨대, ITS 메시지)를 수신하여 처리할 수 있는 모드를 의미한다. PMBD ITS-S는 단지 본인의 정보에 문제가 있을 뿐이므로, 안전을 위해 다른 ITS-S의 정보를 받아서 처리할 수 있게 해야 하기 때문이다. 수신 전용 모드로 동작하는 PMBD ITS-S는 MBD 레벨에 의존하여 수신만을 수행할 수 있다. 즉, 수신 전용 모드로 동작하는 PMBD ITS-S는 데이터의 수신을 위한 V2X 통신(ITS 통신)을 수행할 수 있으나, 데이터의 전송을 위한 V2X 통신(ITS 통신)을 수행할 수는 없다.

도 15(c)는 본 발명의 일 실시예에 따른 PMBD ITS-S의 반응 모드 중 하나인 제한된 토크(limited talk) 모드를 나타낸다.

제한된 토크 모드(제3 반응 모드 또는 제3 동작 모드): 이 모드는 PMBD ITS-S가 V2X 통신(ITS 통신)을 유지하지만, 제한된 토크를 위한 MBD 레벨을 갖는 모드를 의미한다. 제한된 토크 모드로 동작하는 PMBD ITS-S는 MBD 레벨에 따른 제한된 토크만을 수행할 수 있다. ITS-S는 제한된 토크 모드로 동작하는 PMBD ITS-S로부터 수신한 데이터(예컨대, ITS 메시지)를 처리할지 여부를 결정할 수 있다.

제한된 토크 모드는 두 가지 서브 모드로 나뉠 수 있다. 실시예로서, PMBD ITS-S는 MBD 레벨에 따라 이 서브 모드 중 하나의 모드로 동작할 수 있다.

제1 서브 모드: 이 서브 모드는 PMBD ITS-S가 정상적인 모든 V2X 어플리케이션을 실행할 수 있는 모드를 의미한다. 다만, 이 서브 모드에서, PMBD ITS-S은 자신이 PMBD ITS-S임을 알리는 정보를 시그널링해야 한다. 이와 같이, 제1 서브 모드의 경우, PMBD ITS-S은 정상적인 모든 V2X 기능을 수행할 수 있으나, 이와 함께, 자신이 PMBD ITS-S임을 알리는 정보를 시그널링해야 한다.

실시예로서, PMBD ITS-S는 자신이 PMBD ITS-S임을 알리는 정보를 CAM, DENM과 같은 ITS 메시지의 기본 컨테이너(basic container)에 포함시키거나 또는 안전 헤더(secure header)/트레일러(trailer)에 포함시키는 방식으로 시그널링할 수 있다. 이 시그널링 정보를 포함하는 메시지를 수신한 수신 ITS-S는 이를 처리하여, 해당 ITS 메시지를 전송한 ITS-S가 PMBD ITS-S임을 확인하고, 해당 PMBD ITS-S에서 전송되는 데이터를 수신/처리할지 여부를 결정할 수 있다.

제2 서브 모드: 이 서브 모드는 PMBD ITS-S가 정상적인 V2X 통신을 수행할 수 없으며, 제한된 ITS 메시지만을 전송하도록 제약하는 모드를 의미한다. 즉, 제2 서브 모드의 경우, 제1 서브 모드와 달리, PMBD ITS-S는 정상적인 V2X 어플리케이션 모두를 실행할 수는 없다. 실시예로서, 이 제한된 ITS 메시지는 긴급 메시지, 자신이 MBD ITS-S임 알리는 메시지, 또는 RSU와 같은 인프라스트럭쳐에 전송되는 메시지 중 적어도 하나를 포함할 수 있다. 한편, 제2 서브 모드의 경우에도, 제1 서브 모드와 마찬가지로, PMBD ITS-S은 자신이 PMBD ITS-S임을 알리는 정보를 시그널링해야 한다.

도 16을 참조하면, ITS-S는 MBD 검출기(detector)를 이네블링할 수 있다.

ITS-S는 오동작이 검출되었는지 여부를 결정할 수 있다. 일 실시예에서, ITS-S는 셀프 MBD 검출 방법을 이용하여 자신의 오동작을 검출할 수 있다. 다른 실시예에서, ITS-S는 이웃 MBD 검출 방법을 주변의 다른 ITS-S의 오동작을 검출할 수 있다.

오동작이 검출되지 않은 경우, ITS-S는 셀프 및/또는 이웃 MBD 검출 방법을 수행할 수 있다. 오동작이 검출된 경우, ITS-S는 MBD 분류(classified) 테이블에 의해 MBD 리포트(MBDR)를 생성할 수 있다.

ITS-S는 암호화된(encrypt) EC를 MBDR에 포함시키고, 이 MBDR를 현재 활성화된(active) AT를 가지고 서명할 수 있다.

ITS-S는 CRL 생성기(generator)로의 전송을 위해 MBDR을 근처의 ITS-S(예컨대, OBE)로 전송할 수 있다.

ITS-S는 MBD 상태 및 레벨을 설정할 수 있다. 예를 들면, ITS-S는 MBD 상태를 정상(healty) 상태에서 잠재(potential) 상태로 변경할 수 있다.

ITS-S는 MBD 반응 모드(반응 모드)를 결정할 수 있다. 이때, 반응 모드는 정책 또는 MBD 레벨 등에 의해 선택될 수 있다.

반응 모드가 침묵 모드인 경우, ITS-S는 AT 풀 내의 모든 AT들을 제거할 수 있고, 새로운 AT 발급을 디스에이블링할 수 있다. 그리고, ITS-S는 전체 V2X 기능을 디스에이블링할 수 있다.

반응 모드가 수신 전용 모드인 경우, ITS-S는 AT 풀 내의 모든 AT들을 제거할 수 있고, 새로운 AT 발급을 디스에이블링할 수 있다. 그리고, ITS-S는 메시지 생성 및 전송을 위한 V2X 기능을 디스에이블링할 수 있다.

반응 모드가 제한된 토크 모드인 경우, ITS-S는 제한된 토크를 위해 일반적인(nomarl) V2X 기능을 디스에이블링할 수 있다. 예를 들면, ITS-S은 일부 제약된 ITS 메시지의 전송 기능만을 활성화시키고, 나머지 기능을 비활성화시킬 수 있다.

상술한 것처럼, ITS-S의 MBD 상태는 정상(healty) 상태, 잠재(potential) 상태 또는 확정(definite) 상태 중 어느 하나일 수 있다.

1) 정상 상태의 ITS-S는 스스로 오동작을 검출하거나, 또는 이웃 ITS-S에 의해 오동작이 검출될 수 있다. 이 경우, ITS-S는 MBD 상태를 정상 상태에서 잠재 상태로 변경할 수 있다.

2) 잠재 상태의 ITS-S(PMBD ITS-S)은 MBDR을 생성할 수 있다. 이 MBDR은 암호화된 EC를 포함하고, 현재 AT로 서명될 수 있다.

3) 이후, PMBD ITS-S은 MBB/DC/MA와 같이 CRL 분배의 역할을 하는 엔티티로 MBDR을 전송할 수 있다.

4) 또한, PMBD ITS-S는 AT들을 제거할 수 있고, 새로운 AT 발급이 차단될 수 있다. 한편, 원격 MBD 스테이션은 PMBD ITS-S가 MBD ITS-S인지 여부를 결정할 수 있다. 즉, ITS-S이 확정적인 MBD 상태인지 여부를 판단할 수 있다.

5) PMBD ITS-S가 MBD ITS인 것으로 결정된 경우, ITS-S는 MBD 상태를 잠재 상태에서 확정 상태로 변경할 수 있다. 확정 상태의 ITS-S의 경우, 해당 ITS-S에 대한 EC는 EA에서 디스에이블링될 수 있다.

또는, PMBD ITS-S는 SOTA에 의해 치유될(cured) 수도 있다. 이 경우, ITS-S는 MBD 상태를 잠재 상태에서 정상 상태로 변경할 수 있다.

도 18은 본 발명의 일 실시예에 따른 ITS-S의 보안 라이프사이클을 나타낸다. 도 18의 실시예에서는 도 13의 실시예와 비교하여, 두 개의 상태(단계)가 추가될 수 있다. 또한, 특정 상태들이 정상 상태, 잠재 상태 또는 확정 상태와 같은 MBD 상태로 표현될 수 있다. 도 18에서는 도 13에서 상술한 내용과 중복된 설명은 생략한다.

도 18을 참조하면, 보안 라이프사이클은 초기화 이전(before initialization) 상태, 초기화되고 미등록된(initialized and unenrolled) 상태(초기화/미등록 상태), 등록되고 미인증된(enrolled and unauthorized) 상태(등록/미인증 상태), 서비스를 위해 인증된(authorized for service) 상태(인증 상태) 및 수명 만료(end of life) 상태를 포함할 수 있다. 보안 라이프사이클의 각 상태에 대하여는 도 13에서 상술한 바와 같다.

한편, 초기화/미등록 상태는 EC가 없는 상태로서, 상술한 확정 상태에 대응될 수 있다. 인증 상태는 EC 및 AT가 있는 상태로서, 상술한 정상 상태에 대응될 수 있다.

또한, 보안 라이프사이클은 상술한 잠재 상태에 대응되는 두 가지의 상태를 더 포함할 수 있다. 예를 들면, 보안 라이프사이클은 침묵 모드 및 수신 전용 모드와 연관되는 등록되고 미인증된(enrolled and unauthorized) 상태(잠재 등록/미인증 상태), 그리고 제한된 토크 모드와 연관되는 등록되고 제한된 인증 상태(enrolled and limited unauthorized)(등록/제한된 인증 상태)를 더 포함할 수 있다.

인증 상태에서 스스로에 의해 또는 이웃 ITS-S에 의해 ITS-S가 PMBD ITS-S인 것으로 결정되는 경우(즉, MBD 상태가 정상 상태에서 잠재 상태로 변경되는 경우), 보안 라이프사이클의 상태는 인증 상태에서 등록/미인증 상태로 변경될 수 있다. 이때, MBD 레벨에 따라, 등록/미인증 상태는 잠재 등록/미인증 상태 또는 등록/제한된 인증 상태 중 하나에 해당할 수 있다. 잠재 등록/미인증 상태 또는 등록/제한된 인증 상태에서 원격 MBD 스테이션에 의해 PMBD ITS-S가 MBD ITS-S인 것으로 결정되는 경우(즉, MBD 상태가 잠재 상태에서 확정 상태로 변경되는 경우), 보안 라이프사이클의 상태는 잠재 등록/미인증 상태 또는 등록/제한된 인증 상태에서 초기화/미등록 상태로 변경될 수 있다.

도 19는 본 발명의 일 실시예에 따른 MBD 관련 정보를 포함하는 서명된 PDU를 나타낸다. 실시예로서, 도 19는 IEEE 1609.2 표준에 기초하여 MBD 관련 정보를 포함하는 서명된(singed) PDU(SPDU)를 나타낼 수 있다.

도 19를 참조하면, SPDU는 헤더 및 페이로드를 포함하는 데이터 파트를 포함한다. 오동작 검출을 관리하는 MBM(Misbehavior Detection Management)은 이 데이터 파트의 헤더에 MBD 상태를 지시하는 정보(MBD 상태 정보)를 추가할 수 있다. 이를 통해, MBD 상태 정보가 SPDU의 데이터 파트 내의 헤더에 포함되어 전송될 수 있다. ITS-S이 SPDU를 통해 MBD 정보를 전송하는 예시적인 방법에 대하여는 이하 도 20을 참조하여 설명한다.

도 20은 본 발명의 일 실시예에 따른 ITS-S가 서명된 PDU를 이용하여 MBD 관련 정보를 전송하는 방법을 나타낸다. 실시예로서, 도 20은 IEEE 1609.2 표준에 기초하여 MBD 정보를 포함하는 SPDU를 나타낼 수 있다.

도 20을 참조하면, ITS-S은 페이로드 및 헤더를 포함하는 SPDU를 구성할 수 있다. 헤더는 MBD 관련 정보를 포함하는 MBD 정보(MBD info) 필드가 옵셔널하게 추가될 수 있다. 이는 실제 메시지가 비암호화된(unencrypted), 암호화된(encrypted) 또는 서명된(signed) 메시지와 같은 세가지 종류가 있으므로, 어떠한 경우에도 해당 MBD 상태 정보와 같은 MBD 관련 정보를 포함할 수 있도록 하기 위함이다. MBD 정보 필드는 옵셔널한 필드에 해당한다. 수신된 메시지 내에 MBD 정보 필드가 없는 경우, 수신 ITS-S는 해당 메시지가 정상 상태의 ITS-S으로부터 전송된 메시지인 것으로 판단할 수 있다. 헤더에 포함된 필드들에 대한 설명은 아래와 같다.

PSID: 서비스 프로바이더 ID로서, MBD 용의 새로운 PSID 값이 할당될 수 있음

generationTime: 메세지 생성 시간

expiryTime: 메세지 만료(expiry) 시간

generationLocation: 메세지 생성 지역 정보. 실시예로서, 수신기가 너무 먼 지역의 메세지는 배제하는 용도로 사용될 수 있음.

P2PCDrequest: 피어 투 피어 학습 요청(learning request) 시에 사용되는 ID. 다중 요청에 대응하기 위한 ID 값

MissingCrlIdentifier: 분실(missing) CLR을 구분하기 위해 전송시 사용됨.

EncryptionKey: 암호화/인크립션 키

MBD info: MBD 상태를 지시하는 정보를 포함하는 MBD 정보를 포함함.

페이로드 및 헤더 정보가 구성되면, 도 16의 (1)과 같이 사인될 데이터(ToBiSignedData; 1603)가 구성된다. 사인될 데이터는 실시예로서, (2)와 같이 IEEE 1609.2의 사인된 데이터(SignedData)의 일부로 포함될 수 있다. 또한, 시그너처(signature)를 만들기 위한 입력 데이터로도 사용될 수 있다.

(3)에서, 해쉬(hash)와 사인/서명(sign)을 통해 시그너처/서명이 생성될 수 있다.

해쉬와 사인은 통상의 비대칭 암호화(Assymmetric Cryptography)를 사용한 사이닝(signing) 및 인증(verfication)과 같이 수행될 수 있다. 즉, ITS-S는 전송할 데이터를 정해진 해쉬 펑션의 입력으로 넣고, 나온 결과인 해쉬 값(value)을 획득한다. 그리고, ITS-S는 해쉬 값과 자신의 프라이빗 키(private key)를 사용하여 전자 서명 알고리즘을 사용한 시그너처를 생성한다.

결국, 이렇게 SPDU를 구성하면, ITS-S가 생성한 최종 SPDU를 수신한 수신기는 파싱(parsing)한 ToBeSignedData를 다시 동일한 해쉬 펑션의 입력으로 연산하여 해쉬 값을 획득한다. 그리고 획득된 해쉬 값, 수신된 시그너처 및 ACPD 샌더의 퍼블릭 키를 사용하여 메세지의 중간 위변조와 같은 인증(validation)을 수행할 수 있다.

도 20의 (4)에서, 송신측은 해당 메세지를 수신하는 경우 어떤 해쉬 알고리즘을 사용했는지를 알려주기 위해 HashIdentifier를 ToBeSignedData에 추가하고, 페이로드인 ToBeSignedData 뒤에는 서명자/사이너(signer)의 정보(SignerInfo)와 시그너처를 추가한다. 이렇게 최종 signedData가 생성되면, 헤더로서 버전 정보 및 타입 정보를 추가하여 전송 데이터가 생성된다.

Signed Data에 포함된 필드들에 대한 설명은 아래와 같다.

HashAlgorithm: 해쉬알고리즘 필드는 메세지를 사인하고 검증하기 위해 사용된 Hash 알고리즘을 나타낸다.

ToBeSignedData는 실제 전송할 데이터로서, 서명을 위한 HASH 펑션의 인력 데이터가 된다.

SignerIdentifier: 사이너 식별자는 메세지 인증을 위해 어떤 키 물체(material)을 사용했는지를 나타낸다. 사이너 식별자는 다이제스트(Digest), 인증서(Certificate), 셀프(self) 중 하나를 지시할 수 있다. 다이제스트는 Certi.Digest를 사용하는 경우로서, 상대가 이미 Full Certificate를 갖는 경우에 사용된다. Certifvicate는 Full Certificate를 사용하는 경우 선택된다. Self는 자기 자신인 경우 선택된다.

Signature: 전자 서명/시그너처

## 잠재적 MBD를 판단할 때, 그리고, 원격 MBD(확정적 MBD)로 최종 판단된 MBD를 주변에 알릴 때, MBB(Misbehavior Broker)가 MBD의 개념과 함께 사용될 수 있다.

모든 ITS-S은 상이한 성능, 기능, 보안 레벨을 가지고 있기 때문에, 모든 ITS-S에 대한 CRL 및 오동작 검출 리포트의 생성 및 관리는 MA/RCA 및 DC에 부담이된다. 따라서, MBB와 같은 강력하게 신뢰할 수 있는 ITS-S이 로컬 오동작 검출을 수집하고, CRL을 생성하고, 이를 분배할 능력 및 권한을 가질 필요가 있다. 이러한 MBB는 ITS-S이 EC를 발급받을 때 결정되어 권한을 가지게 된다. 이하에서는, 도 21을 참조하여 일반 ITS-S 또는 MBB로 동작하는 ITS-S이 EC를 발급받는 방법을 각각 설명한다.

도 21의 실시예에서, 차량 ITS-S는 DSRC 네트워크 연결을 이용하여 EC 및 AT를 발급받을 수 있다. 이 경우, 차량 ITS-S은 도로변 ITS-S를 거쳐 EA 및 AA에 접속하여, EA 및 AA로부터 EC 및 AT를 발급받을 수 있다. 또는, 차량 ITS-S는 셀룰러 네트워크 연결을 이용하여 EC 및 AT를 발급받을 수 있다. 이 경우, 차량 ITS-S은 직접 EA 및 AA에 접속하여, EA 및 AA로부터 EC 및 AT를 발급받을 수 있다.

도 21(a)는 본 발명의 일 실시예에 따른 ITS-S이 V2X 통신을 위한 EC만을 발급받는 방법을 나타낸다. ITS-S는 상술한 DSRC 네트워크 연결 또는 셀룰러 네트워크 연결을 이용하여 EA로부터 V2X 통신을 위한 하나의 EC를 발급받을 수 있다. 이렇게 발급된 EC는 V2X 통신을 위해 사용되며, MBB를 위한 권한을 갖지 않는다.

도 22의 각 실시예에서, 차량 ITS-S는 DSRC 네트워크 연결을 이용하여 EC 및 AT를 발급받을 수 있다. 이 경우, 차량 ITS-S은 도로변 ITS-S를 거쳐 EA 및 AA에 접속하여, EA 및 AA로부터 EC 및 AT를 발급받을 수 있다. 또는, 차량 ITS-S는 셀룰러 네트워크 연결을 이용하여 EC 및 AT를 발급받을 수 있다. 이 경우, 차량 ITS-S은 직접 EA 및 AA에 접속하여, EA 및 AA로부터 EC 및 AT를 발급받을 수 있다.

도 22(a)는 본 발명의 일 실시예에 따른 ITS-S이 V2X 통신을 위한 EC 및 MBB 동작을 위한 EC를 별도로 발급받는 방법을 나타낸다. ITS-S는 상술한 DSRC 네트워크 연결 또는 셀룰러 네트워크 연결을 이용하여 EA로부터 복수의 EC를 발급받을 수 있다. 예를 들면, ITS-S는 V2X 통신을 위한 EC 외에, MBB 동작을 위한 EC(MBB EC)를 추가적으로 발급받을 수 있다. 이렇게 발급된 MBB EC는 ITS-S가 MBB로 동작하기 위해 사용될 수 있다.

도 22(b)는 본 발명의 일 실시예에 따른 ITS-S이 V2X 통신 및 MBB 동작을 위한 하나의 EC를 발급받는 방법을 나타낸다. ITS-S는 상술한 DSRC 네트워크 연결 또는 셀룰러 네트워크 연결을 이용하여 EA로부터 V2X 통신 및 MBB 동작을 위한 하나의 EC를 발급받을 수 있다. 이렇게 발급된 EC는 MBB 승인(permission)을 가지며, V2X 통신 및 MMB 동작을 위해 사용될 수 있다. 이 경우, MBB 승인을 갖는 EC는 일반적인 V2X 동작 시에는 일반적인 EC의 역할을 수행하고, MBB 동작 시에는 MBB EC의 역할을 수행한다.

도 23은 본 발명의 실시예에 따른 MBD 서비스를 제공하기 위한 ITS 레퍼런스 아키텍처를 나타낸다.

도 23을 참조하면, 어플리케이션 레이어는 MBD 서비스를 제공하는 MDM 관련 어플리케이션을 더 포함할 수 있다. 또한, ITS-S의 퍼실리티 레이어는 오동작 검출 관리를 위한 MDM 엔티티를 더 포함할 수 있다. MDM 엔티티는 오동작 검출 및 분배를 관리할 수 있다. 예를 들면, MDM 엔티티는 MDM 관련 어플리케이션의 지시에 따라 MBD 관련 정보를 포함하는 ITS 메시지를 구성하여, 네트워킹 및 트랜스포트 레이어로 전달할 수 있다.

도 24의 실시예에서, 제1 ITS-S(OBU #1)은 MBB로 동작하는 ITS-S인 것으로 가정하고, 제3 ITS-S(OBE #3)은 스스로 또는 이웃 ITS-S를 통해 오동작이 검출된 ITS-S인 것으로 가정한다. 또한, 제2 ITS-S(OBE #2)는 제1 ITS-S 및 제3 ITS-S와 V2X 통신을 수행하는 ITS-S인 것으로 가정한다.

도 24를 참조하면, 제1 ITS-S는 MBB 어나운스먼트(MBBA)를 이용하여 자신이 MBB임을 어나운싱할 수 있다.

제3 ITS-S는 셀프 MBD 검출 방법을 이용하여 자신이 MBD임을 검출할 수 있고, MBDR을 이용하여 자신이 MBD임을 지시하는 메시지를 MBB인 제1 ITS-S로 전송할 수 있다. 또한, 제3 ITS-S는 자신의 인증서(예컨대, AT들)를 스스로 폐기할 수 있다.

제1 ITS-S은 제3 ITS-S으로부터 수신한 메시지에 기초하여 CBR을 생성할 수 있고, 생성된 CBR을 브로드캐스팅할 수 있다.

제2 ITS-S는 차량 신뢰 리스트(trust list) 내의 AT들을 삭제할 수 있다. 이때, 제2 ITS-S는 수신된 CRL에 기초하여 차량 신뢰 리스트 내의 제2 ITS-S에 대한 AT들을 삭제할 수 있다.

도 25에서, V2X 통신 장치(25000)는 통신 유닛(25010), 프로세서(25020) 및 메모리(25030)을 포함할 수 있다.

통신 유닛(25010)은 프로세서(25020)와 연결되어 무선 신호를 송신/수신할 수 있다. 통신 유닛(25010)은 프로세서(25020)로부터 수신된 데이터를 송수신 대역으로 업컨버팅하여 신호를 전송하거나, 수신 신호를 다운컨버팅할 수 있다. 통신 유닛(25010)은 피지컬 레이어 또는 액세스 레이어 중 적어도 하나의 동작을 구현할 수 있다.

통신 유닛(25010)은 복수의 통신 프로토콜에 따라 통신하기 위해 복수의 서브 RF 유닛을 포함할 수도 있다. 실시예로서, 통신 유닛(25010)은 DSRC(Dedicated Short Range Communication), IEEE 802.11 및/또는 802.11p 표준, IEEE 802.11 및/또는 802.11p 표준의 피지컬 전송 기술에 기초하는 ITS-G5 무선 통신 기술, 위성/광대역 무선 이동 통신을 포함하는 2G/3G/4G(LTE)/5G 무선 셀룰러 통신 기술, DVB-T/T2/ATSC 등 광대역 지상파 디지털 방송 기술, GPS 기술, IEEE 1609 WAVE 기술 등에 기초하여 데이터 통신을 수행할 수 있다. 통신 유닛(25010)은 각 통신 기술을 구현하는 복수의 트랜스시버를 포함할 수도 있다.

프로세서(25020)는 통신 유닛(25010)과 연결되어 ITS 시스템 또는 WAVE 시스템에 따른 레이어들의 동작을 구현할 수 있다. 프로세서(25020)는 상술한 도면 및 설명에 따른 본 발명의 다양한 실시예에 따른 동작을 수행하도록 구성될 수 있다. 또한, 상술한 본 발명의 다양한 실시예에 따른 V2X 통신 장치(25000)의 동작을 구현하는 모듈, 데이터, 프로그램 또는 소프트웨어 중 적어도 하나가 메모리(25030)에 저장되고, 프로세서(25020)에 의하여 실행될 수 있다.

메모리(25030)는 프로세서(25020)와 연결되어, 프로세서(25020)를 구동하기 위한 다양한 정보를 저장한다. 메모리(25030)는 프로세서(25020)의 내부에 포함되거나 또는 프로세서(25020)의 외부에 설치되어 프로세서(25020)와 공지의 수단에 의해 연결될 수 있다.

V2X 통신 장치(25000)의 프로세서(25020)는 본 발명에서 설명한 오동작 검출 및 그에 따른 동작을 수행할 수 있다. 이에 대해서는 이하에서 설명한다.

V2X 통신 장치는 V2X 통신 장치의 오동작을 검출할 수 있다(S26010). 실시예로서, V2X 통신 장치는 상술한 셀프 MBD 검출 방법, 이웃 MBD 검출 방법 또는 원격 MBD 검출 방법 중 하나를 이용하여 오동작을 검출할 수 있다.

V2X 통신 장치는 V2X 통신 장치가 잠재적 오동작 검출(MBD) 상태에 있는지 여부를 결정할 수 있다(S26020). 실시예로서, V2X 통신 장치 자체에 의해 V2X 통신 장치의 오동작이 검출된 경우 또는 V2X 통신 장치의 주변의 이웃 V2X 통신 장치에 의해 V2X 통신 장치의 오동작이 검출된 경우에, V2X 통신 장치는 V2X 통신 장치가 잠재적 MBD 상태에 있는 것으로 결정할 수 있다. 즉, 셀프 MBD 검출 방법 또는 이웃 MBD 검출 방법에 의해 오동작이 검출된 경우, V2X 통신 장치는 V2X 통신 장치가 잠재적 MBD 상태에 있는 것으로 결정할 수 있다.

실시예로서, 이웃 V2X 통신 장치는 인증서 폐기 리스트(CRL) 정보를 생성하는 오동작 브로커(MBB)로서 동작하는 V2X 통신 장치일 수 있다. 이 MBB로 동작하는 이웃 V2X 통신 장치는, CRL 정보를 브로드캐스팅할 수 있다. 이때, CRL 정보는 V2X 통신 장치의 인증서 폐기를 위한 정보를 포함할 수 있다.

V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 경우, V2X 통신 장치는 V2X 통신 장치의 반응 모드를 결정할 수 있다(S26030). 실시예로서, 반응 모드는 V2X 통신 장치의 V2X 통신 기능을 비활성화는 제1 모드, V2X 통신 장치의 수신 기능만을 활성화하는 제2 모드 또는 V2X 통신 장치의 수신 기능 및 제한된 송신 기능을 활성화하는 제3 모드 중 적어도 하나를 포함할 수 있다. 이때, 제1 모드, 제2 모드 및 제3 모드는 상술한 침묵 모드, 수신 전용 모드 및 제한된 토크 모드에 각각 대응된다.

V2X 통신 장치는 반응 모드에 따라 미리 정해진 동작을 수행할 수 있다(S26040). 예를 들면, 반응 모드가 제1 모드인 경우, V2X 통신 장치는 메시지를 검증하기 위한 인증서들(예컨대, AT들)을 폐기하고, V2X 메시지의 송신 및 수신 기능을 비활성화할 수 있다. 또는, 반응 모드가 제2 모드인 경우, V2X 통신 장치는 V2X 메시지를 검증하기 위한 인증서들(예컨대, AT들)을 폐기하고, V2X 메시지의 송신 기능을 비활성화할 수 있다. 또는, 반응 모드가 제3 모드인 경우, V2X 통신 장치는 V2X 통신 장치의 제한된 송신 기능을 활성화할 수 있다. 여기서, 제한된 송신 기능은 미리 정의된 특정 V2X 메시지의 전송을 위해 사용될 수 있다. 실시예로서, 특정 V2X 메시지는 V2X 통신 장치가 잠재적 오동작 검출 상태에 있음을 지시하는 정보를 포함할 수 있다.

V2X 통신 장치가 잠재적 오동작 검출 상태에 있지 않는 경우(즉, V2X 확정적 오동작 검출(MBD) 상태에 있는 경우), V2X 통신 장치는 확정적 MBD 상태 절차를 수행할 수 있다. 이에 대하여는 상술한 바와 같다.

이상에서 설명된 실시예들은 본 발명의 구성요소들과 특징들이 소정 형태로 결합된 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려되어야 한다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시예를 구성하는 것도 가능하다. 본 발명의 실시예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다. 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함시킬 수 있음은 자명하다.

본 발명에 따른 실시예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 발명의 일 실시예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.

펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 실시예는 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리는 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.

본 발명은 본 발명의 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상술한 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.

본 발명의 사상이나 범위를 벗어나지 않고 본 발명에서 다양한 변경 및 변형이 가능함은 당업자에게 이해된다. 따라서, 본 발명은 첨부된 청구항 및 그 동등 범위 내에서 제공되는 본 발명의 변경 및 변형을 포함하는 것으로 의도된다.

본 명세서에서 장치 및 방법 발명이 모두 언급되고, 장치 및 방법 발명 모두의 설명은 서로 보완하여 적용될 수 있다.

다양한 실시예가 본 발명을 실시하기 위한 최선의 형태에서 설명되었다.

본 발명은 일련의 스마트카/커낵티드카 분야 또는 V2X 통신 분야에서 사용될 수 있다.

본 발명의 사상이나 범위를 벗어나지 않고 본 발명에서 다양한 변경 및 변형이 가능함은 당업자에게 자명하다. 따라서, 본 발명은 첨부된 청구항 및 그 동등 범위 내에서 제공되는 본 발명의 변경 및 변형을 포함하는 것으로 의도된다.

Claims

V2X 통신 장치의 V2X 통신 방법에 있어서,

상기 V2X 통신 장치의 오동작을 검출하는 단계;

상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하는 단계;

상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 경우, 상기 V2X 통신 장치의 반응 모드를 결정하는 단계; 및

상기 반응 모드에 따라 미리 정해진 동작을 수행하는 단계를 포함하며, 상기 반응 모드는 상기 V2X 통신 장치의 V2X 통신 기능을 비활성화는 제1 모드, 상기 V2X 통신 장치의 수신 기능만을 활성화하는 제2 모드 또는 상기 V2X 통신 장치의 수신 기능 및 제한된 송신 기능을 활성화하는 제3 모드 중 적어도 하나를 포함하는, V2X 통신 방법.
제 1 항에 있어서,

상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하는 단계는,

상기 V2X 통신 장치 자체에 의해 상기 V2X 통신 장치의 오동작이 검출된 경우 또는 상기 V2X 통신 장치의 주변의 이웃 V2X 통신 장치에 의해 상기 V2X 통신 장치의 오동작이 검출된 경우에, 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 것으로 결정하는, V2X 통신 방법.
제 1 항에 있어서,

상기 반응 모드가 상기 제1 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 단계는:

V2X 메시지를 검증하기 위한 인증서들을 폐기하는 단계; 및

상기 V2X 메시지의 송신 및 수신 기능을 비활성화하는 단계를 포함하는, V2X 통신 방법.
제 1 항에 있어서,

상기 반응 모드가 상기 제2 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 단계는:

V2X 메시지를 검증하기 위한 인증서들을 폐기하는 단계; 및

상기 V2X 메시지의 송신 기능을 비활성화하는 단계를 포함하는, V2X 통신 방법.
제 1 항에 있어서,

상기 반응 모드가 상기 제3 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 단계는:

상기 V2X 통신 장치의 제한된 송신 기능을 활성화하는 단계를 포함하며, 상기 제한된 송신 기능은 미리 정의된 특정 V2X 메시지의 전송을 위해 사용되고, 상기 특정 V2X 메시지는 상기 V2X 통신 장치가 상기 잠재적 오동작 검출 상태에 있음을 지시하는 정보를 포함하는, V2X 통신 방법.
제 2 항에 있어서,

상기 이웃 V2X 통신 장치는,

인증서 폐기 리스트(CRL) 정보를 생성하는 오동작 브로커로서 동작하는 V2X 통신 장치인, V2X 통신 방법.
제 6 항에 있어서,

상기 이웃 V2X 통신 장치는, 상기 CRL 정보를 브로드캐스팅하고, 상기 CRL 정보는 상기 V2X 통신 장치의 인증서 폐기를 위한 정보를 포함하는, V2X 통신 방법.
V2X 통신 장치에 있어서,

데이터를 저장하는 보안/비보안 저장장치;

무선 신호를 송수신하는 통신 유닛; 및

상기 통신 유닛을 제어하는 프로세서를 포함하고,

상기 프로세서는:

상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하고;

상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 경우, 상기 V2X 통신 장치의 반응 모드를 결정하고; 및

상기 반응 모드에 따라 미리 정해진 동작을 수행하며, 상기 반응 모드는 상기 V2X 통신 장치의 V2X 통신 기능을 비활성화는 제1 모드, 상기 V2X 통신 장치의 수신 기능만을 활성화하는 제2 모드 또는 상기 V2X 통신 장치의 제한된 송신 기능을 활성화하는 제3 모드 중 적어도 하나를 포함하는, V2X 통신 장치.
제 8 항에 있어서,

상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는지 여부를 결정하는 것은,

상기 V2X 통신 장치 자체에 의해 상기 V2X 통신 장치의 오동작이 검출된 경우 또는 상기 V2X 통신 장치의 주변의 이웃 V2X 통신 장치에 의해 상기 V2X 통신 장치의 오동작이 검출된 경우에, 상기 V2X 통신 장치가 잠재적 오동작 검출 상태에 있는 것으로 결정하는, V2X 통신 장치.
제 8 항에 있어서,

상기 반응 모드가 상기 제1 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 것은:

V2X 메시지를 검증하기 위한 인증서들을 폐기하는 것; 및

상기 V2X 메시지의 송신 및 수신 기능을 비활성화하는 것을 포함하는, V2X 통신 장치.
제 8 항에 있어서,

상기 반응 모드가 상기 제2 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 것은:

V2X 메시지를 검증하기 위한 인증서들을 폐기하는 것; 및

상기 V2X 메시지의 송신 기능을 비활성화하는 것을 포함하는, V2X 통신 장치.
제 8 항에 있어서,

상기 반응 모드가 상기 제3 모드인 경우, 상기 반응 모드에 따라 미리 정해진 동작을 수행하는 것은:

상기 V2X 통신 장치의 제한된 송신 기능을 활성화하는 것을 포함하며, 상기 제한된 송신 기능은 미리 정의된 특정 V2X 메시지의 전송을 위해 사용되고, 상기 특정 V2X 메시지는 상기 V2X 통신 장치가 상기 잠재적 오동작 검출 상태에 있음을 지시하는 정보를 포함하는, V2X 통신 장치.
제 9 항에 있어서,

상기 이웃 V2X 통신 장치는,

인증서 폐기 리스트(CRL) 정보를 생성하는 오동작 브로커로서 동작하는 V2X 통신 장치인, V2X 통신 장치.
제 13 항에 있어서,

상기 이웃 V2X 통신 장치는, 상기 CRL 정보를 브로드캐스팅하고, 상기 CRL 정보는 상기 V2X 통신 장치의 인증서 폐기를 위한 정보를 포함하는, V2X 통신 장치.