車両通信ネットワークにおいて悪質車両を検出して立ち退かせるためのシステムおよび方法
車両通信ネットワークにおいて、一部の車両は、不正情報を他の車両に送信するために攻撃者によって使用されることもあり、他の車両の安全が危うくなり得る。車両は、悪質な通信アクティビティを検出して、悪意の疑いのある車両をシステムから立ち退かせる(または排除する)ことによって悪質車両の影響を緩和することができるはずである。車両を立ち退かせることは、その車両から送信されたメッセージを一定時間期間無視することである。投票および犠牲の原理は、「マフィアゲーム」ベースの数学モデルを使用して組み合わされる。マフィアゲームモデルは、近隣のネットワーク全体を支配する(即ち、最終的にすべての無害車両を立ち退かせる)のに必要な近隣内の攻撃者グループの相対的サイズに重点を置く。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両通信ネットワークにおける悪質行為の検出および悪質車両の検出に関する。
【背景技術】
【0002】
悪質行為に関心を寄せる実行集団(agents)は、そのような行為に携わるおよび/またはそれから利益がもたらされ得るすべてのエンティティを含む。このような実行集団は、車両ネットワークに害を及ぼすことになり得るリソース量に従って3つのカテゴリに分けられる。
【0003】
第1のカテゴリの攻撃者は、主に自分達で動作する単独の攻撃者である。彼らは、限られた財源があり、インターネットを自分達の主な情報源として使用する。このカテゴリの攻撃者の例は、無節操またはご都合主義的な個人である、コンピューターハッカー、自動車、電子またはコンピュータのマニア(hobbyists)を含み、かなり組織の緩い集団である。
【0004】
第2のカテゴリの攻撃者は、典型的には、適度に協調的で、定期的に通信を行い、中程度のリソースを持つ、個人から成る1または複数の集団であり、公に知られていないまたは入手不可能な情報を得ることができる。このカテゴリの攻撃者の例は、内部汚職者および悪徳業者を含む。
【0005】
第3のカテゴリの攻撃者は、高度に組織化され、広大なリソースにアクセスでき、組織に侵入して秘匿情報(closely held secrets)を得ることができ、自分達の目的を達成するためには生活や個人を犠牲にしてもよいと考えるかもしれず、外国の統治組織によって支援されることもある。このカテゴリの攻撃者の例は、組織犯罪および外国の組織犯罪を含む。
【0006】
車両ネットワーク内で実行集団に悪質行為を示させ得る潜在的動機の一部を影響が増す順で言うと、他の車両または車両ネットワーク全体に害を及ぼして加虐的快楽を得ること、法的処罰から逃れるために犯罪動作を援助するまたは最初の攻撃から注意をそらすことで、車両ネットワークから特別扱いされること、ハッカー行為または新しいウイルスプログラムの立ち上げに成功して有名になること、交通管制局の決定を操作すること、運転状態または経済的利益に関して私利を手に入れる、例えば、保険金詐欺または自動車窃盗を行うこと、国民的、政治的および特定の関心を促すこと、および戦争を含む、市民社会、政治および経済を崩壊させること、がある。
【0007】
車両間(V2V)通信環境における通信アクティビティベースのセキュリティ攻撃および悪質行為を以下のようにカテゴリ化することができる。
【0008】
1)攻撃者は、自分達の車両のソフトウェアまたはハードウェアから来る通信内容を変更することが可能であり、その通信内容は、前方衝突、死角状況、車線変更、危険な通過に関連する不正な警告を含む不正確な交通状態と、スピード、ブレーキ、方向、位置および交差点での動きについての偽証などの不正確な運転状態または運転パターンとを含む。
【0009】
2)攻撃者は、上記の攻撃および以下の攻撃:メッセージのタイミング間隔の伝送を変更すること、メッセージの配信を遅らせること、車両に設計されたものより多くのメッセージを送信すること、時間間隔の間に十分なメッセージを送信しないこと、および例えば、プライバシーの問題のために車両のソフトウェアの機能を不能にすること、のうちの1つのような攻撃を行うために自分達の車両のソフトウェアまたはハードウェアの通信機能を変更することが可能である。攻撃者は、車両または他のネットワークエンティティ(例えば、サーバ)になりすますことを企て、車両ネットワーク動作に害を及ぼすことが可能である。攻撃者は、侵入者としての役割を果たして、車両または他のネットワークエンティティ(例えば、サーバ)上に記憶されたデータを使用することを企て、車両ネットワーク動作に害を及ぼすことが可能である。
【0010】
車両通信システムの安全を確保してその動作を保護するために、車両ネットワークに害を及ぼすための悪質な証明書の使用およびアプリケーションが検出されて、このような証明書を無効にすることができるようにする必要がある。車両ネットワークに重大な害を及ぼすのに使用される悪質な車両およびアプリケーションが検出されて、車両通信ネットワークから「立ち退かせる」必要がある。車両がインフラストラクチャネットワークの接続性を頻繁に用いる場合、その車両は、セキュリティ脅威を検出して応答するためにインフラストラクチャネットワークの信頼できるサーバに頼ることができる。このようなインフラストラクチャサーバは、多数の車両から情報を集めて悪質なアクティビティを検出するデータを分析するのに十分な処理能力を有する。しかしながら、車両の、道路に沿ったインフラストラクチャの接続性が散発的またはゼロになる時、攻撃者は、インフラストラクチャサーバなどの信頼の高いエンティティによってモニタされずに攻撃を行うことが可能である。もはや車両は、悪質なアクティビティを検出するのに役立つインフラストラクチャベースのサーバに頼ることができない。その結果、攻撃が成功する見込みがずっと高くなり、攻撃者が検出されない見込みがずっと高くなるであろう。車両は、悪質なアクティビティを検出してそれらの影響を緩和するために、自身を頼りにして、潜在的に信頼できない他の車両との相互作用を行わざるを得ない。
【0011】
V2V通信、特にインフラストラクチャネットワークの支援がない通信において、車両は、自身および悪質な通信アクティビティを検出する分散技術を頼りにして、悪意の疑いのある車両をシステムから立ち退かせる(または排除する)(即ち、悪意の疑いのある車両から送信されたメッセージを無視する)ことによって悪質車両の影響を緩和できるようにすることが不可欠である。そのような能力によって、車両がインフラストラクチャネットワークの接続性に頼らなくても悪質なアクティビティによって過度に影響されることなく安全に通信を行うようにさせる。
【0012】
先行技術において、車両が、悪意の疑いのある車両をシステムから立ち退かせるかどうかを局所的に決定するいくつかのアプローチが存在する。V2V車両通信ネットワークに対する2つの方法:投票機構(voting mechanisms)と、疑いのあるデバイスがその「告発人(accuser)」と一緒に立ち退かされる、個々の車両による「犠牲(Sacrifice)」方法とが最近考えられた。(これはしばしば「公共の利益のための自殺」と呼ばれることもある)。
【0013】
非特許文献1によって述べられているLEAVEのような投票機構において、車両は、別の車両の無作法な行為に対して合図による通報(signed claims)を交換することによって投票する。各車両はその後、このような警告メッセージをその車両の「告発リスト(accusation list)」に付加する。ひとたび閾値を越えた車両に対する警告が投票されると、告発された車両は、局所的または一時的な証明書失効リスト(CRL)と同様の「ブラックリスト」に載せられる。ブラックリストに載せられるノード対する付加的な「この車両を無視する」メッセージが他の車両に報知される。典型的には、いつ別の車両が信用できないと判断してこの信頼できない車両についての警告メッセージを送信するかを決めるために、多数決の原理が使用される。
【0014】
多数決検出機構は、「公正な大多数(honest majority)」を頼りにする:すべてのノードは、悪い隣人よりも多く良い隣人を有しなければならない。従って、局所通信のグラフ構造は、投票人力学モデル(dynamics of the voter model)に重大な効果を有することができる。例えば、非特許文献2を参照されたい。悪いノードは、それらが局所的大多数を形成する場合、良いノードを排除することができる。良いノードは、それらが局所的大多数を有する場合、良いノードを排除することができる。具体的には、それらのノードは、例えば、LEAVEにおける「警告」および/または「無視」メッセージを十分に多く送信することができる。
【0015】
V2V通信の場合、以下の脅威モデルが考えられる:攻撃者は、不正なメッセージを広めて排除機構を乱用することができる。さらに、複数の攻撃者は共謀することができる。
【0016】
「犠牲」ベースのモデルにおいて、どの車両も、その他の車両の立ち退きを、今後のV2V通信における自身の参加を限定する同意と同時に行うことができる故に、より信頼性のある決定を下すことができる。従って、このスキームにおいて、車両を立ち退かせるかどうかの決定をするために複数の車両からの多数決が使用される投票ベースの機構よりも簡単にノードを立ち退かせる。しかしながら、この機構の乱用は、告発人を同時に除去するのを強制することによってコストが増える:告発人による「無視」メッセージによって、疑いのあるノードとその告発人の両方を同時に無視させることになる。
【0017】
先行技術は、無害車両が悪質車両を検出して立ち退かせる自身の能力を失う前に、いくつの悪質車両に車両ネットワークが容認することができるかを決定する方法に取り組んでない。本発明は、システムが悪質車両を検出して立ち退かせる自身の能力を失う前に、システムが容認することができる悪質車両の数について証明可能な有界(bound)を有する。これは、悪質車両を排除するためのインフラストラクチャベースの侵入検出システムとの通信などの、他の手段に頼らなければならない前に、悪質車両の検出および立ち退かせ方法をどれくらい長く実行(run)し続けることができるかを決定するために重要である。
【先行技術文献】
【非特許文献】
【0018】
【非特許文献1】T. Moore他“Fast exclusion of errant devices from vehicular networks” IEEE SECON会報、2008年6月16−20日
【非特許文献2】V. Sood, T. Antal, S, Redner “Voter models on heterogeneous networks” フィジカルレビューE、2008年4月
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明は、「マフィアゲーム」と呼ばれる数学モデルを使用して、投票と犠牲の原理とを組み合わせたアプローチを提供する。マフィアゲームモデルは、近隣のネットワーク全体を支配する(即ち、最終的にすべての無害車両を立ち退かせる)のに必要な近隣内の攻撃者グループの相対的サイズに重点を置く。このような組み合わせのアプローチは、投票と犠牲の機構が取り組まなければならない不正決定の確率を導かない。さらに、低レベルのモバイルまたは固定インフラストラクチャネットワークの接続性は、提案されたアプローチの性能をかなり増大することが可能である。
【0020】
車両通信ネットワークにおいて、一部の車両は、不正情報を他の車両に送信するために攻撃者によって使用されることもあり、他の車両の安全が危うくなり得る。例えば、悪質車両は、誤ったブレーキ非常灯メッセージを報知して、近隣車両にその悪質車両がブレーキを強くかけるので他の車両も自分達の速度を急に落とさなければならないと思わせることによって事故を引き起こさせ得る。
【0021】
車両は、悪質な通信アクティビティを検出して、悪意の疑いのある車両をシステムから立ち退かせる(または排除する)ことによって悪質車両の影響を緩和することができるはずである。車両を立ち退かせることは、その車両から送信されたメッセージを一定時間期間無視することである。
【0022】
このような悪質行為の検出および緩和方法によって、車両にインフラストラクチャネットワークの接続性に頼らなくても悪質なアクティビティによって過度に影響されることなく安全に通信を行わせることができる。
【課題を解決するための手段】
【0023】
本発明は、「マフィアゲーム」ベースの数学モデルを使用して、投票と犠牲の原理とを組み合わせる。マフィアゲームモデルは、近隣のネットワーク全体を支配する(即ち、最終的にすべての無害車両を立ち退かせる)のに必要な近隣内の攻撃者グループの相対的サイズに重点を置く。このような組み合わせのアプローチは、投票と犠牲の機構が取り組まなければならない不正決定の確率を必要としない。さらに、低レベルのモバイルまたは固定インフラストラクチャネットワークの接続性は、提案されたアプローチの性能をかなり増大することが可能である。
【0024】
悪質車両を検出して立ち退かせる方法によって、車両が、証明局との通信を行わなければならない前に、先行技術のPKIソリューションと比較してかなり長い時間安全に通信を行うことができるようになるので、道路沿いのインフラストラクチャネットワークへの依存をかなり減らすことができる。これは、V2V通信用のPKI動作の支援に必要とされる道路沿いのネットワークアクセスポイント(基地局)の数をごくわずかにまで転じる故に、システム開発のコストをかなり減らすことができる。
【0025】
提案された方法は、システムが悪質車両を検出して立ち退かせる自身の能力を失う前に、システムが容認することができる悪質車両の数について証明可能な有界を有する。
【0026】
V2V通信用に実用的PKIソリューションを設計するマフィアゲーム理論の接続は、どこにも説明されていない。
【0027】
本発明は、添付図と共に以下の説明が読まれる時により理解されるであろう。
【図面の簡単な説明】
【0028】
【図1】発明のシステムアーキテクチャを示す図である。
【図2】無害車両によってとられる行動のフローチャートである。
【図3】検出車両による行動のフローチャートである。
【発明を実施するための形態】
【0029】
図1のシステムアーキテクチャに示すように、車両は、以下のカテゴリに分類される。
【0030】
悪質(マフィア)車両100は、車両製造会社によって設計された行為とはかなり異なる動きをすることが検出された車両である。悪質車両は、近隣の他の悪質車両が誰のものであるかを完全に知っていると思われる。つまり、悪質車両同士の衝突が起こり得る。衝突を通じて「悪質」車両は、悪質でない車両を排除するために局所的大多数を作り出すことができる。「悪質」車両は、検出を後回しにできるように、自分達の行為を無害車両の行為に合わせることができる。言い換えれば、悪質車両は、始終悪質な動きをする必要はない。
【0031】
無害車両102は、車両製造会社によって設計された通りの動きをする車両である。
【0032】
検出車両104は、別の車両が無害か悪質かどうかを検出する能力を有する無害車両である。
【0033】
自警車両は、検出車両によって無害車両と判断/認証されている車両である。
【0034】
居住車両(Resident vehicles)106は、所定の領域または近隣内ですべてのカテゴリが組み合わされた車両である。
【0035】
マフィアゲームモデルをV2V通信ネットワークに適用すると、車両は、以下の反復またはラウンドで構成されるゲームをすると見なすことができる。
【0036】
1)居住車両の番:図2を参照すると、200においてすべての居住車両は、多数決によって排除する車両を選択する。各居住車両は、202において1つの車両を排除する投票をする。居住車両からの票は、他の車両204によって受信される。最多数の票を受信する車両は、その後206において排除される。同点の場合、最大数の票を受信する車両から一律にランダムで選ばれる。排除された車両の識別子(identity)は「無視」メッセージの流布を経て公に明らかにされる。
【0037】
2)悪質車両の番:悪質車両は無害車両を選んで排除する。悪質車両によって公に表明された情報のみが、排除された車両およびその車両が検出車両であったか否かの識別子になる。再度、その結果を「無視」メッセージを経て流布することができる。
【0038】
3)検出車両の番(検出車両がある場合):各検出車両は、悪質または無害車両のステータスを手に入れる。このステータスは、その後検出車両のみに明らかにされる。検出車両は、例えば、警察車両になることができる。ここで、検出車両は、他の車両からメッセージを集め得るし、別の車両が悪質か否かを決定するのに役立てるためにインフラストラクチャベースのサーバとの通信を行い得る。
【0039】
ラウンドtの後、システム内に居住車両がRt=R−2tある。そしてマフィアゲームは起こり得る結果が2つある。
【0040】
「無害」車両は、すべての「マフィア」車両が排除されて、なおも「無害」車両が生存している場合に勝つ。
【0041】
「マフィア」車両は、なおも「マフィア」車両が生存している時に「無害」車両が排除された場合に勝つ。
【0042】
次に、そのスキームによる性能の分析結果を挙げる。分析目的で以下のように仮定される。
【0043】
a)「検出」車両がないゲームにおいて、すべての「居住」車両は他のすべての居住車両にメッセージを同時に送信することができると仮定する。これは、主に後の投票が以前の投票によって影響を受けないことを保証するためである。さもなければ、マフィア車両は、より高い可能性で無害車両を排除するために、すべてが居住車両であるラウンドの多数決に影響を与えかねない。これは、例えば、暗号プロトコルを使用して達成することができる。
【0044】
b)検出車両を有するゲームにおいて、我々は、居住車両が匿名で投票することができ、その居住車両は、例えば、匿名の証明書をPKIシステムに使用して、メッセージを安全に交換することができると仮定する。
【0045】
匿名投票は、その他の(少なくとも無害の)車両と共に自警車両の投票を調整するために使用される。各居住車両は、なおも多数投票でその投票を表明する。匿名投票は、自警でない車両に知られていない、特にマフィア車両に知られていない自警車両の識別子を保つのに必要である。そういう意味で、自警車両は、まさに「対マフィア」車両である。暗号による仮定、特に匿名の事前通信(pre-communication)ラウンドは、居住車両において自警車両が過半数である場合に除去されることができる。これは、例えば、複数の検出dがある場合に容易に達成される:特に、任意のε>0に対しても、検出dが、サイズが(1/2−ε)Rのマフィアに対して勝つ可能性が少なくとも1−εになるようにできる。
【0046】
これで投票が「居住」車両の数における多項式であるサブラウンドの有界数(bounded number)をとることは明らかである。たとえ車両の投票が数回のホップ(hops)を介して伝搬される必要があっても、即ち、すべての車両が互いに1ホップの報知範囲内にいなくてもこの仮定を満たすことができる。さらに、各車両がラウンドの間に行うことができる計算ステップ数も、居住車両の数における多項式によって有界になる。
【0047】
検出がないゲームの最適戦略(optimal strategies)は、以下のように示される:
無害車両の最適戦略:反復tにおいて、各「居住」車両1≦s≦Rtは、排除するためにランダムな車両を選択する。「無害」車両が各居住車両ラウンドにおいて大多数を有する限り、ランダムな居住車両は排除される。
【0048】
悪質車両の最適戦略:「無害」車両が大多数を有する限り、「マフィア」車両は、各居住車両ラウンドにおいてランダムな無害車両を選ぶ同じ戦略に従う方がよさそうである。
【0049】
R居住車両を有するネットワークについての以下の結果を、マフィアゲームに関連した分析に基づいて引き出すことができる。
【0050】
検出車両がないゲームにおいて:悪質車両は、その数が√Rの位数(order)よりも少ない場合に必ず負け、その数が√Rの位数内である場合、同程度に勝つ見込みがあり、その数が√Rの位数よりも大きい場合に勝つ。
【0051】
d≧1の検出車両を有するゲームにおいて、悪質車両が勝つ見込みは、いくつかの定数ηが0<η≦1を満たし、少なくともηRの悪質車両がある場合のみ、無害車両が勝つ見込みと同程度である。
【0052】
上記の結果は、道路沿いのインフラストラクチャネットワークを持たないV2Vセキュリティシステムを設計するための強固な基盤を与えるいくつかの重大な洞察を与える。このような洞察は、例えば、悪質車両の数がそれらの臨界値(critical mass)以下を保つように(例えば、ゼロまたは1つの検出車両を有する√RまたはηRの位数内)悪質車両の検出および立ち退かせアプローチを設計することが可能である場合、システムは、素早く悪質車両を立ち退かせ、安全を維持し、そして通信を継続的に保護することができるであろう。また、単一のインフラストラクチャノードの付加は、悪質車両の力をかなり減少させことができる。
【0053】
より多くの「無視」メッセージまたはCRLを分散するよりも、知られている無害車両である、自警車両から成る「ホワイトリスト」を確立することは、無害車両の勝つ見込みが増加するためのより効果的なアプローチである。
【0054】
さらに、検出車両の自殺は、他の機構において考えられる単独行動とは対照的に、特に強力である。この単独の犠牲は、多数決の後の排除処理の1つの解釈であり、不正決定の確率をモデル化する必要性を省略する(bypass)。
【0055】
検出車両を用いて、無害車両の最適ゲームを以下に示す。
【0056】
単一の検出車両があると仮定する。図3を参照すると、第1の√(ηR)ラウンドの間、300において検出車両は、ランダムに車両についての情報を集める。他の無害車両は、各ラウンドにおいて車両を排除するための投票をランダムに行う。√(ηR)ラウンドの後、302において検出車両は、無害車両に知られているいわゆる「自警」車両のリストVをまとめる。このステージにおいて、自警車両|V|の数は、悪質(マフィア)車両|M|の数よりも多いはずである(0<η<1の場合、√η>ηであるため)。自警車両のグループは、「対マフィア」として行動する。検出車両は、304において自警車両のリストを暗号化して、自警車両が、どの車両が自警車両であるかを知ることができるように、暗号化されたリストをVの各メンバーに送信する。検出車両は、その後すべての自警車両に自分の車両を排除するように頼む。排除された後、その検出車両の識別子が明らかにされるので、各自警車両は自分達が受信したメッセージおよび暗号化されたリストが本物であることが分かる。
【0057】
ひとたびその検出車両が立ち退かされると、各ラウンドにおいてVの最も高いランクの(多く数えられた)メンバーは、V以外で排除されるメンバーを選択して、排除される車両の識別子、例えば、pをVの他のメンバーに通信する。すべての無害車両は、次に排除する車両pを調整/選択するために、安全な匿名票で投票するのを棄権する。この事前通信ラウンドの後、すべてのマフィアでない車両は、「pを無視する」メッセージを送信する。
【0058】
これは、単独の検出車両が、ゲームを√RからのηR,0<η<1で支配するために必要な悪質車両の数をかなり増加することができることを示す。
【0059】
従って、強化された悪質車両の検出および立ち退かせ方法は、以下の通りである。
【0060】
[1].任意の地理的領域を考慮する。
【0061】
[2].時間は等しいまたは不定の長さの期間に分けられる。
【0062】
[3].各時間期間について
a.領域内の居住車両は、多数決によって排除するために1つの車両を選択する。各居住車両は、その車両が排除したい1つの車両を選択して、その票をメッセージによって他の車両に送信する。最多数の票を受信する車両が排除される。同点の場合、最大数の票を受信する車両から一律にランダムで選ばれる。排除された車両の識別子は「無視」メッセージの流布を経て公開される。排除された車両が検出車両の場合、この事実も明らかにされる。
【0063】
b.各時間期間Tについて:各検出車両は、ランダムに選択された単一の車両の「悪質」または「無害」ステータスを手に入れる。このステータスは、その後検出車両のみに明らかにされる。ここで、検出車両は、他の車両からメッセージを集め得るし、別の車両が悪質か否かを決定するのに役立てるためにインフラストラクチャベースのサーバとの通信を行い得る。
【0064】
[4].第1の√(ηR)時間期間(ラウンド)の間、検出車両は、「自警」車両の「ホワイトリスト」Vをまとめて最新状態を維持する。このステージにおいて、自警車両|V|の数は、悪質車両|M|の数よりも多いはずである(0<η<1の場合√ηであるため)。検出車両は、自警車両のホワイトリストを暗号化して、自警車両が、他のどの車両が自警車両であるかを知ることができるように、暗号化されたリストをVの各メンバーに送信する。検出車両は、その後自身の識別子を明らかにする「無視」メッセージを送信することによって、他の自警車両に自分の検出車両を排除するように頼む。排除された後、その検出車両の識別子が明らかにされるので、各自警車両は自分達が受信したメッセージおよび暗号化されたリストの「ホワイトリスト」が本物であることが分かる。
【0065】
[5].ひとたびその検出車両が排除されると、自警車両のホワイトリストが本物であることが分かり、それに基づいて行動することができる。各時間期間(ラウンド)において、Vの最も高いランクの(多く数えられた)メンバーは、「無視」メッセージをVのすべての車両に送信することによってV以外で排除されるメンバーを選択する。すべての無害車両は、次に排除する車両pを調整するために、安全な匿名票で投票するのを棄権する。すべての自警車両は、pに投票する。このラウンドの後、多数決でpに投票したすべての車両および「pを無視する」メッセージが送信される。これは、単独の検出車両が、ゲームを√RからのηR,0<η<1で支配するのに必要な悪質車両の数をかなり増加することができることを示す。
【0066】
本開示のさまざまな態様は、コンピュータまたはマシンが使えるまたは可読の媒体に具体化されるプログラム、ソフトウェア、またはコンピュータ命令として具体化されてもよく、それらの命令よってコンピュータまたはマシンに、コンピュータ、プロセッサ、および/またはマシン上で実行される場合にその方法のステップを行わせる。
【0067】
本開示のシステムおよび方法は、汎用のコンピュータまたはコンピュータシステム上で実装および実行されてもよい。コンピュータシステムは、任意のタイプの周知のまたは今後知られるシステムであってもよく、典型的には、プロセッサ、メモリデバイス、記憶デバイス、入力/出力デバイス、内部バス、および/または通信ハードウェアおよびソフトウェアと共に他のコンピュータシステムとの通信を行うための通信インタフェースなどを含んでもよい。モジュールは、デバイス、ソフトウェア、プログラムから成るコンポーネント、またはソフトウェア、ハードウェア、ファームウェア、電子回路などとして具体化することができる、ある「機能性」を実装するシステムであってもよい。
【0068】
本願で使用され得る用語「コンピュータシステム」および「コンピュータネットワーク」は、固定および/またはポータブルなコンピュータハードウェア、ソフトウェア、周辺機器、および記憶デバイスによるさまざまな組み合わせを含んでもよい。コンピュータシステムは、ネットワーク化されるあるいは共同で行うためにリンクされる個々のコンポーネントから成る複数のコンポーネントを含んでもよいし、または1または複数のスタンドアロン型コンポーネントを含んでもよい。本願のコンピュータシステムのハードウェアおよびソフトウェアコンポーネントは、デスクトップ型、ラップトップ型、サーバなどの固定およびポータブルデバイス、および/または組み込みシステムを含んでもよいおよびその中に含まれてもよい。
【0069】
車両通信ネットワークにおいて悪質車両を検出して立ち退かせるためのシステムおよび方法について説明したが、本原理から逸脱しなければ変更およびバリエーションが実行可能であり、本発明の広範囲の技術は、これに添付された特許請求の範囲によって唯一限定されなければならないことは当業者には明らかである。
【技術分野】
【0001】
本発明は、車両通信ネットワークにおける悪質行為の検出および悪質車両の検出に関する。
【背景技術】
【0002】
悪質行為に関心を寄せる実行集団(agents)は、そのような行為に携わるおよび/またはそれから利益がもたらされ得るすべてのエンティティを含む。このような実行集団は、車両ネットワークに害を及ぼすことになり得るリソース量に従って3つのカテゴリに分けられる。
【0003】
第1のカテゴリの攻撃者は、主に自分達で動作する単独の攻撃者である。彼らは、限られた財源があり、インターネットを自分達の主な情報源として使用する。このカテゴリの攻撃者の例は、無節操またはご都合主義的な個人である、コンピューターハッカー、自動車、電子またはコンピュータのマニア(hobbyists)を含み、かなり組織の緩い集団である。
【0004】
第2のカテゴリの攻撃者は、典型的には、適度に協調的で、定期的に通信を行い、中程度のリソースを持つ、個人から成る1または複数の集団であり、公に知られていないまたは入手不可能な情報を得ることができる。このカテゴリの攻撃者の例は、内部汚職者および悪徳業者を含む。
【0005】
第3のカテゴリの攻撃者は、高度に組織化され、広大なリソースにアクセスでき、組織に侵入して秘匿情報(closely held secrets)を得ることができ、自分達の目的を達成するためには生活や個人を犠牲にしてもよいと考えるかもしれず、外国の統治組織によって支援されることもある。このカテゴリの攻撃者の例は、組織犯罪および外国の組織犯罪を含む。
【0006】
車両ネットワーク内で実行集団に悪質行為を示させ得る潜在的動機の一部を影響が増す順で言うと、他の車両または車両ネットワーク全体に害を及ぼして加虐的快楽を得ること、法的処罰から逃れるために犯罪動作を援助するまたは最初の攻撃から注意をそらすことで、車両ネットワークから特別扱いされること、ハッカー行為または新しいウイルスプログラムの立ち上げに成功して有名になること、交通管制局の決定を操作すること、運転状態または経済的利益に関して私利を手に入れる、例えば、保険金詐欺または自動車窃盗を行うこと、国民的、政治的および特定の関心を促すこと、および戦争を含む、市民社会、政治および経済を崩壊させること、がある。
【0007】
車両間(V2V)通信環境における通信アクティビティベースのセキュリティ攻撃および悪質行為を以下のようにカテゴリ化することができる。
【0008】
1)攻撃者は、自分達の車両のソフトウェアまたはハードウェアから来る通信内容を変更することが可能であり、その通信内容は、前方衝突、死角状況、車線変更、危険な通過に関連する不正な警告を含む不正確な交通状態と、スピード、ブレーキ、方向、位置および交差点での動きについての偽証などの不正確な運転状態または運転パターンとを含む。
【0009】
2)攻撃者は、上記の攻撃および以下の攻撃:メッセージのタイミング間隔の伝送を変更すること、メッセージの配信を遅らせること、車両に設計されたものより多くのメッセージを送信すること、時間間隔の間に十分なメッセージを送信しないこと、および例えば、プライバシーの問題のために車両のソフトウェアの機能を不能にすること、のうちの1つのような攻撃を行うために自分達の車両のソフトウェアまたはハードウェアの通信機能を変更することが可能である。攻撃者は、車両または他のネットワークエンティティ(例えば、サーバ)になりすますことを企て、車両ネットワーク動作に害を及ぼすことが可能である。攻撃者は、侵入者としての役割を果たして、車両または他のネットワークエンティティ(例えば、サーバ)上に記憶されたデータを使用することを企て、車両ネットワーク動作に害を及ぼすことが可能である。
【0010】
車両通信システムの安全を確保してその動作を保護するために、車両ネットワークに害を及ぼすための悪質な証明書の使用およびアプリケーションが検出されて、このような証明書を無効にすることができるようにする必要がある。車両ネットワークに重大な害を及ぼすのに使用される悪質な車両およびアプリケーションが検出されて、車両通信ネットワークから「立ち退かせる」必要がある。車両がインフラストラクチャネットワークの接続性を頻繁に用いる場合、その車両は、セキュリティ脅威を検出して応答するためにインフラストラクチャネットワークの信頼できるサーバに頼ることができる。このようなインフラストラクチャサーバは、多数の車両から情報を集めて悪質なアクティビティを検出するデータを分析するのに十分な処理能力を有する。しかしながら、車両の、道路に沿ったインフラストラクチャの接続性が散発的またはゼロになる時、攻撃者は、インフラストラクチャサーバなどの信頼の高いエンティティによってモニタされずに攻撃を行うことが可能である。もはや車両は、悪質なアクティビティを検出するのに役立つインフラストラクチャベースのサーバに頼ることができない。その結果、攻撃が成功する見込みがずっと高くなり、攻撃者が検出されない見込みがずっと高くなるであろう。車両は、悪質なアクティビティを検出してそれらの影響を緩和するために、自身を頼りにして、潜在的に信頼できない他の車両との相互作用を行わざるを得ない。
【0011】
V2V通信、特にインフラストラクチャネットワークの支援がない通信において、車両は、自身および悪質な通信アクティビティを検出する分散技術を頼りにして、悪意の疑いのある車両をシステムから立ち退かせる(または排除する)(即ち、悪意の疑いのある車両から送信されたメッセージを無視する)ことによって悪質車両の影響を緩和できるようにすることが不可欠である。そのような能力によって、車両がインフラストラクチャネットワークの接続性に頼らなくても悪質なアクティビティによって過度に影響されることなく安全に通信を行うようにさせる。
【0012】
先行技術において、車両が、悪意の疑いのある車両をシステムから立ち退かせるかどうかを局所的に決定するいくつかのアプローチが存在する。V2V車両通信ネットワークに対する2つの方法:投票機構(voting mechanisms)と、疑いのあるデバイスがその「告発人(accuser)」と一緒に立ち退かされる、個々の車両による「犠牲(Sacrifice)」方法とが最近考えられた。(これはしばしば「公共の利益のための自殺」と呼ばれることもある)。
【0013】
非特許文献1によって述べられているLEAVEのような投票機構において、車両は、別の車両の無作法な行為に対して合図による通報(signed claims)を交換することによって投票する。各車両はその後、このような警告メッセージをその車両の「告発リスト(accusation list)」に付加する。ひとたび閾値を越えた車両に対する警告が投票されると、告発された車両は、局所的または一時的な証明書失効リスト(CRL)と同様の「ブラックリスト」に載せられる。ブラックリストに載せられるノード対する付加的な「この車両を無視する」メッセージが他の車両に報知される。典型的には、いつ別の車両が信用できないと判断してこの信頼できない車両についての警告メッセージを送信するかを決めるために、多数決の原理が使用される。
【0014】
多数決検出機構は、「公正な大多数(honest majority)」を頼りにする:すべてのノードは、悪い隣人よりも多く良い隣人を有しなければならない。従って、局所通信のグラフ構造は、投票人力学モデル(dynamics of the voter model)に重大な効果を有することができる。例えば、非特許文献2を参照されたい。悪いノードは、それらが局所的大多数を形成する場合、良いノードを排除することができる。良いノードは、それらが局所的大多数を有する場合、良いノードを排除することができる。具体的には、それらのノードは、例えば、LEAVEにおける「警告」および/または「無視」メッセージを十分に多く送信することができる。
【0015】
V2V通信の場合、以下の脅威モデルが考えられる:攻撃者は、不正なメッセージを広めて排除機構を乱用することができる。さらに、複数の攻撃者は共謀することができる。
【0016】
「犠牲」ベースのモデルにおいて、どの車両も、その他の車両の立ち退きを、今後のV2V通信における自身の参加を限定する同意と同時に行うことができる故に、より信頼性のある決定を下すことができる。従って、このスキームにおいて、車両を立ち退かせるかどうかの決定をするために複数の車両からの多数決が使用される投票ベースの機構よりも簡単にノードを立ち退かせる。しかしながら、この機構の乱用は、告発人を同時に除去するのを強制することによってコストが増える:告発人による「無視」メッセージによって、疑いのあるノードとその告発人の両方を同時に無視させることになる。
【0017】
先行技術は、無害車両が悪質車両を検出して立ち退かせる自身の能力を失う前に、いくつの悪質車両に車両ネットワークが容認することができるかを決定する方法に取り組んでない。本発明は、システムが悪質車両を検出して立ち退かせる自身の能力を失う前に、システムが容認することができる悪質車両の数について証明可能な有界(bound)を有する。これは、悪質車両を排除するためのインフラストラクチャベースの侵入検出システムとの通信などの、他の手段に頼らなければならない前に、悪質車両の検出および立ち退かせ方法をどれくらい長く実行(run)し続けることができるかを決定するために重要である。
【先行技術文献】
【非特許文献】
【0018】
【非特許文献1】T. Moore他“Fast exclusion of errant devices from vehicular networks” IEEE SECON会報、2008年6月16−20日
【非特許文献2】V. Sood, T. Antal, S, Redner “Voter models on heterogeneous networks” フィジカルレビューE、2008年4月
【発明の概要】
【発明が解決しようとする課題】
【0019】
本発明は、「マフィアゲーム」と呼ばれる数学モデルを使用して、投票と犠牲の原理とを組み合わせたアプローチを提供する。マフィアゲームモデルは、近隣のネットワーク全体を支配する(即ち、最終的にすべての無害車両を立ち退かせる)のに必要な近隣内の攻撃者グループの相対的サイズに重点を置く。このような組み合わせのアプローチは、投票と犠牲の機構が取り組まなければならない不正決定の確率を導かない。さらに、低レベルのモバイルまたは固定インフラストラクチャネットワークの接続性は、提案されたアプローチの性能をかなり増大することが可能である。
【0020】
車両通信ネットワークにおいて、一部の車両は、不正情報を他の車両に送信するために攻撃者によって使用されることもあり、他の車両の安全が危うくなり得る。例えば、悪質車両は、誤ったブレーキ非常灯メッセージを報知して、近隣車両にその悪質車両がブレーキを強くかけるので他の車両も自分達の速度を急に落とさなければならないと思わせることによって事故を引き起こさせ得る。
【0021】
車両は、悪質な通信アクティビティを検出して、悪意の疑いのある車両をシステムから立ち退かせる(または排除する)ことによって悪質車両の影響を緩和することができるはずである。車両を立ち退かせることは、その車両から送信されたメッセージを一定時間期間無視することである。
【0022】
このような悪質行為の検出および緩和方法によって、車両にインフラストラクチャネットワークの接続性に頼らなくても悪質なアクティビティによって過度に影響されることなく安全に通信を行わせることができる。
【課題を解決するための手段】
【0023】
本発明は、「マフィアゲーム」ベースの数学モデルを使用して、投票と犠牲の原理とを組み合わせる。マフィアゲームモデルは、近隣のネットワーク全体を支配する(即ち、最終的にすべての無害車両を立ち退かせる)のに必要な近隣内の攻撃者グループの相対的サイズに重点を置く。このような組み合わせのアプローチは、投票と犠牲の機構が取り組まなければならない不正決定の確率を必要としない。さらに、低レベルのモバイルまたは固定インフラストラクチャネットワークの接続性は、提案されたアプローチの性能をかなり増大することが可能である。
【0024】
悪質車両を検出して立ち退かせる方法によって、車両が、証明局との通信を行わなければならない前に、先行技術のPKIソリューションと比較してかなり長い時間安全に通信を行うことができるようになるので、道路沿いのインフラストラクチャネットワークへの依存をかなり減らすことができる。これは、V2V通信用のPKI動作の支援に必要とされる道路沿いのネットワークアクセスポイント(基地局)の数をごくわずかにまで転じる故に、システム開発のコストをかなり減らすことができる。
【0025】
提案された方法は、システムが悪質車両を検出して立ち退かせる自身の能力を失う前に、システムが容認することができる悪質車両の数について証明可能な有界を有する。
【0026】
V2V通信用に実用的PKIソリューションを設計するマフィアゲーム理論の接続は、どこにも説明されていない。
【0027】
本発明は、添付図と共に以下の説明が読まれる時により理解されるであろう。
【図面の簡単な説明】
【0028】
【図1】発明のシステムアーキテクチャを示す図である。
【図2】無害車両によってとられる行動のフローチャートである。
【図3】検出車両による行動のフローチャートである。
【発明を実施するための形態】
【0029】
図1のシステムアーキテクチャに示すように、車両は、以下のカテゴリに分類される。
【0030】
悪質(マフィア)車両100は、車両製造会社によって設計された行為とはかなり異なる動きをすることが検出された車両である。悪質車両は、近隣の他の悪質車両が誰のものであるかを完全に知っていると思われる。つまり、悪質車両同士の衝突が起こり得る。衝突を通じて「悪質」車両は、悪質でない車両を排除するために局所的大多数を作り出すことができる。「悪質」車両は、検出を後回しにできるように、自分達の行為を無害車両の行為に合わせることができる。言い換えれば、悪質車両は、始終悪質な動きをする必要はない。
【0031】
無害車両102は、車両製造会社によって設計された通りの動きをする車両である。
【0032】
検出車両104は、別の車両が無害か悪質かどうかを検出する能力を有する無害車両である。
【0033】
自警車両は、検出車両によって無害車両と判断/認証されている車両である。
【0034】
居住車両(Resident vehicles)106は、所定の領域または近隣内ですべてのカテゴリが組み合わされた車両である。
【0035】
マフィアゲームモデルをV2V通信ネットワークに適用すると、車両は、以下の反復またはラウンドで構成されるゲームをすると見なすことができる。
【0036】
1)居住車両の番:図2を参照すると、200においてすべての居住車両は、多数決によって排除する車両を選択する。各居住車両は、202において1つの車両を排除する投票をする。居住車両からの票は、他の車両204によって受信される。最多数の票を受信する車両は、その後206において排除される。同点の場合、最大数の票を受信する車両から一律にランダムで選ばれる。排除された車両の識別子(identity)は「無視」メッセージの流布を経て公に明らかにされる。
【0037】
2)悪質車両の番:悪質車両は無害車両を選んで排除する。悪質車両によって公に表明された情報のみが、排除された車両およびその車両が検出車両であったか否かの識別子になる。再度、その結果を「無視」メッセージを経て流布することができる。
【0038】
3)検出車両の番(検出車両がある場合):各検出車両は、悪質または無害車両のステータスを手に入れる。このステータスは、その後検出車両のみに明らかにされる。検出車両は、例えば、警察車両になることができる。ここで、検出車両は、他の車両からメッセージを集め得るし、別の車両が悪質か否かを決定するのに役立てるためにインフラストラクチャベースのサーバとの通信を行い得る。
【0039】
ラウンドtの後、システム内に居住車両がRt=R−2tある。そしてマフィアゲームは起こり得る結果が2つある。
【0040】
「無害」車両は、すべての「マフィア」車両が排除されて、なおも「無害」車両が生存している場合に勝つ。
【0041】
「マフィア」車両は、なおも「マフィア」車両が生存している時に「無害」車両が排除された場合に勝つ。
【0042】
次に、そのスキームによる性能の分析結果を挙げる。分析目的で以下のように仮定される。
【0043】
a)「検出」車両がないゲームにおいて、すべての「居住」車両は他のすべての居住車両にメッセージを同時に送信することができると仮定する。これは、主に後の投票が以前の投票によって影響を受けないことを保証するためである。さもなければ、マフィア車両は、より高い可能性で無害車両を排除するために、すべてが居住車両であるラウンドの多数決に影響を与えかねない。これは、例えば、暗号プロトコルを使用して達成することができる。
【0044】
b)検出車両を有するゲームにおいて、我々は、居住車両が匿名で投票することができ、その居住車両は、例えば、匿名の証明書をPKIシステムに使用して、メッセージを安全に交換することができると仮定する。
【0045】
匿名投票は、その他の(少なくとも無害の)車両と共に自警車両の投票を調整するために使用される。各居住車両は、なおも多数投票でその投票を表明する。匿名投票は、自警でない車両に知られていない、特にマフィア車両に知られていない自警車両の識別子を保つのに必要である。そういう意味で、自警車両は、まさに「対マフィア」車両である。暗号による仮定、特に匿名の事前通信(pre-communication)ラウンドは、居住車両において自警車両が過半数である場合に除去されることができる。これは、例えば、複数の検出dがある場合に容易に達成される:特に、任意のε>0に対しても、検出dが、サイズが(1/2−ε)Rのマフィアに対して勝つ可能性が少なくとも1−εになるようにできる。
【0046】
これで投票が「居住」車両の数における多項式であるサブラウンドの有界数(bounded number)をとることは明らかである。たとえ車両の投票が数回のホップ(hops)を介して伝搬される必要があっても、即ち、すべての車両が互いに1ホップの報知範囲内にいなくてもこの仮定を満たすことができる。さらに、各車両がラウンドの間に行うことができる計算ステップ数も、居住車両の数における多項式によって有界になる。
【0047】
検出がないゲームの最適戦略(optimal strategies)は、以下のように示される:
無害車両の最適戦略:反復tにおいて、各「居住」車両1≦s≦Rtは、排除するためにランダムな車両を選択する。「無害」車両が各居住車両ラウンドにおいて大多数を有する限り、ランダムな居住車両は排除される。
【0048】
悪質車両の最適戦略:「無害」車両が大多数を有する限り、「マフィア」車両は、各居住車両ラウンドにおいてランダムな無害車両を選ぶ同じ戦略に従う方がよさそうである。
【0049】
R居住車両を有するネットワークについての以下の結果を、マフィアゲームに関連した分析に基づいて引き出すことができる。
【0050】
検出車両がないゲームにおいて:悪質車両は、その数が√Rの位数(order)よりも少ない場合に必ず負け、その数が√Rの位数内である場合、同程度に勝つ見込みがあり、その数が√Rの位数よりも大きい場合に勝つ。
【0051】
d≧1の検出車両を有するゲームにおいて、悪質車両が勝つ見込みは、いくつかの定数ηが0<η≦1を満たし、少なくともηRの悪質車両がある場合のみ、無害車両が勝つ見込みと同程度である。
【0052】
上記の結果は、道路沿いのインフラストラクチャネットワークを持たないV2Vセキュリティシステムを設計するための強固な基盤を与えるいくつかの重大な洞察を与える。このような洞察は、例えば、悪質車両の数がそれらの臨界値(critical mass)以下を保つように(例えば、ゼロまたは1つの検出車両を有する√RまたはηRの位数内)悪質車両の検出および立ち退かせアプローチを設計することが可能である場合、システムは、素早く悪質車両を立ち退かせ、安全を維持し、そして通信を継続的に保護することができるであろう。また、単一のインフラストラクチャノードの付加は、悪質車両の力をかなり減少させことができる。
【0053】
より多くの「無視」メッセージまたはCRLを分散するよりも、知られている無害車両である、自警車両から成る「ホワイトリスト」を確立することは、無害車両の勝つ見込みが増加するためのより効果的なアプローチである。
【0054】
さらに、検出車両の自殺は、他の機構において考えられる単独行動とは対照的に、特に強力である。この単独の犠牲は、多数決の後の排除処理の1つの解釈であり、不正決定の確率をモデル化する必要性を省略する(bypass)。
【0055】
検出車両を用いて、無害車両の最適ゲームを以下に示す。
【0056】
単一の検出車両があると仮定する。図3を参照すると、第1の√(ηR)ラウンドの間、300において検出車両は、ランダムに車両についての情報を集める。他の無害車両は、各ラウンドにおいて車両を排除するための投票をランダムに行う。√(ηR)ラウンドの後、302において検出車両は、無害車両に知られているいわゆる「自警」車両のリストVをまとめる。このステージにおいて、自警車両|V|の数は、悪質(マフィア)車両|M|の数よりも多いはずである(0<η<1の場合、√η>ηであるため)。自警車両のグループは、「対マフィア」として行動する。検出車両は、304において自警車両のリストを暗号化して、自警車両が、どの車両が自警車両であるかを知ることができるように、暗号化されたリストをVの各メンバーに送信する。検出車両は、その後すべての自警車両に自分の車両を排除するように頼む。排除された後、その検出車両の識別子が明らかにされるので、各自警車両は自分達が受信したメッセージおよび暗号化されたリストが本物であることが分かる。
【0057】
ひとたびその検出車両が立ち退かされると、各ラウンドにおいてVの最も高いランクの(多く数えられた)メンバーは、V以外で排除されるメンバーを選択して、排除される車両の識別子、例えば、pをVの他のメンバーに通信する。すべての無害車両は、次に排除する車両pを調整/選択するために、安全な匿名票で投票するのを棄権する。この事前通信ラウンドの後、すべてのマフィアでない車両は、「pを無視する」メッセージを送信する。
【0058】
これは、単独の検出車両が、ゲームを√RからのηR,0<η<1で支配するために必要な悪質車両の数をかなり増加することができることを示す。
【0059】
従って、強化された悪質車両の検出および立ち退かせ方法は、以下の通りである。
【0060】
[1].任意の地理的領域を考慮する。
【0061】
[2].時間は等しいまたは不定の長さの期間に分けられる。
【0062】
[3].各時間期間について
a.領域内の居住車両は、多数決によって排除するために1つの車両を選択する。各居住車両は、その車両が排除したい1つの車両を選択して、その票をメッセージによって他の車両に送信する。最多数の票を受信する車両が排除される。同点の場合、最大数の票を受信する車両から一律にランダムで選ばれる。排除された車両の識別子は「無視」メッセージの流布を経て公開される。排除された車両が検出車両の場合、この事実も明らかにされる。
【0063】
b.各時間期間Tについて:各検出車両は、ランダムに選択された単一の車両の「悪質」または「無害」ステータスを手に入れる。このステータスは、その後検出車両のみに明らかにされる。ここで、検出車両は、他の車両からメッセージを集め得るし、別の車両が悪質か否かを決定するのに役立てるためにインフラストラクチャベースのサーバとの通信を行い得る。
【0064】
[4].第1の√(ηR)時間期間(ラウンド)の間、検出車両は、「自警」車両の「ホワイトリスト」Vをまとめて最新状態を維持する。このステージにおいて、自警車両|V|の数は、悪質車両|M|の数よりも多いはずである(0<η<1の場合√ηであるため)。検出車両は、自警車両のホワイトリストを暗号化して、自警車両が、他のどの車両が自警車両であるかを知ることができるように、暗号化されたリストをVの各メンバーに送信する。検出車両は、その後自身の識別子を明らかにする「無視」メッセージを送信することによって、他の自警車両に自分の検出車両を排除するように頼む。排除された後、その検出車両の識別子が明らかにされるので、各自警車両は自分達が受信したメッセージおよび暗号化されたリストの「ホワイトリスト」が本物であることが分かる。
【0065】
[5].ひとたびその検出車両が排除されると、自警車両のホワイトリストが本物であることが分かり、それに基づいて行動することができる。各時間期間(ラウンド)において、Vの最も高いランクの(多く数えられた)メンバーは、「無視」メッセージをVのすべての車両に送信することによってV以外で排除されるメンバーを選択する。すべての無害車両は、次に排除する車両pを調整するために、安全な匿名票で投票するのを棄権する。すべての自警車両は、pに投票する。このラウンドの後、多数決でpに投票したすべての車両および「pを無視する」メッセージが送信される。これは、単独の検出車両が、ゲームを√RからのηR,0<η<1で支配するのに必要な悪質車両の数をかなり増加することができることを示す。
【0066】
本開示のさまざまな態様は、コンピュータまたはマシンが使えるまたは可読の媒体に具体化されるプログラム、ソフトウェア、またはコンピュータ命令として具体化されてもよく、それらの命令よってコンピュータまたはマシンに、コンピュータ、プロセッサ、および/またはマシン上で実行される場合にその方法のステップを行わせる。
【0067】
本開示のシステムおよび方法は、汎用のコンピュータまたはコンピュータシステム上で実装および実行されてもよい。コンピュータシステムは、任意のタイプの周知のまたは今後知られるシステムであってもよく、典型的には、プロセッサ、メモリデバイス、記憶デバイス、入力/出力デバイス、内部バス、および/または通信ハードウェアおよびソフトウェアと共に他のコンピュータシステムとの通信を行うための通信インタフェースなどを含んでもよい。モジュールは、デバイス、ソフトウェア、プログラムから成るコンポーネント、またはソフトウェア、ハードウェア、ファームウェア、電子回路などとして具体化することができる、ある「機能性」を実装するシステムであってもよい。
【0068】
本願で使用され得る用語「コンピュータシステム」および「コンピュータネットワーク」は、固定および/またはポータブルなコンピュータハードウェア、ソフトウェア、周辺機器、および記憶デバイスによるさまざまな組み合わせを含んでもよい。コンピュータシステムは、ネットワーク化されるあるいは共同で行うためにリンクされる個々のコンポーネントから成る複数のコンポーネントを含んでもよいし、または1または複数のスタンドアロン型コンポーネントを含んでもよい。本願のコンピュータシステムのハードウェアおよびソフトウェアコンポーネントは、デスクトップ型、ラップトップ型、サーバなどの固定およびポータブルデバイス、および/または組み込みシステムを含んでもよいおよびその中に含まれてもよい。
【0069】
車両通信ネットワークにおいて悪質車両を検出して立ち退かせるためのシステムおよび方法について説明したが、本原理から逸脱しなければ変更およびバリエーションが実行可能であり、本発明の広範囲の技術は、これに添付された特許請求の範囲によって唯一限定されなければならないことは当業者には明らかである。
【特許請求の範囲】
【請求項1】
車両間通信ネットワークにおいてマフィアゲーム理論を使用して、車両が悪質車両の検出および立ち退きを行うための方法であって、
悪質なマフィア車両は、車両製造会社によって設計された行為とはかなり異なる動きをすることを検出され、無害車両は、前記車両製造会社によって設計された通りの動きをし、自警車両は、検出車両によって無害車両と判断または認証されており、検出車両は、別の車両が無害車両か悪質車両か自警車両かどうかを検出する能力を有し、居住車両は、領域内のすべてのカテゴリの車両であることを備えることを特徴とする方法。
【請求項2】
時間は、期間に分割され、各時間期間の間に、前記無害車両は、多数決によって排除するための車両を選択し、各無害車両は、各時間期間に1つの車両を排除するために投票することを特徴とする請求項1に記載の方法。
【請求項3】
各無害車両は、各時間期間に他の車両から票を受信し、最多数の票を受信した車両を排除し、同点の場合、車は、最大数の票を受信した前記車両から一律にランダムで選ばれることを特徴とする請求項1に記載の方法。
【請求項4】
車両は、「無視」メッセージを前記領域内の他のすべての車両に送信することによって排除される車両の識別子を明らかにすることを特徴とする請求項1に記載の方法。
【請求項5】
悪質車両は、各時間期間に前記無害車両としての動きもし、および排除するための無害車両を選ぶことができることを特徴とする請求項1に記載の方法。
【請求項6】
悪質車両は、「無視」メッセージを他の車両に送信することによって排除される車両の識別子と、前記排除される車両が検出車両か否かであったかとを明らかにすることを特徴とする請求項5に記載の方法。
【請求項7】
各検出車両は、前記悪質または無害の車両のステータスを手に入れ、およびその後で他の検出車両に安全なメッセージを送信することによって前記ステータスを前記他の検出車両にのみ明らかにすることを特徴とする請求項1に記載の方法。
【請求項8】
Rが前記領域内の車両総数およびηがゼロおよび1つの検出車両の間の定数である第1の√(ηR)時間期間の間、検出車両は、自警車両の「ホワイトリスト」をまとめ、および最新状態を維持し、前記最新状態のホワイトリストを暗号化し、および前記ホワイトリストを変更し、前記暗号化されたリストを前記ホワイトリスト上の各自警車両に送信することを特徴とする請求項1に記載の方法。
【請求項9】
前記検出車両は、「無視」メッセージを他の車両に送信することによって前記他の車両に自身の車両を排除するように要求し、および自身の識別子を明らかにすることを特徴とする請求項8に記載の方法。
【請求項10】
各時間期間において、最も高いランクに数えられたVのメンバーは、V以外で排除されるメンバーを選択し、排除される車両の識別子、例えば、pをVの他のメンバーに通信し、すべての無害車両は、この事前通信ラウンド後の次に排除する前記車両pを調整/選択するために、安全な匿名票で投票するのを棄権し、すべての(マフィアでない)車両は、「pを無視する」メッセージを送信することを特徴とする請求項1に記載の方法。
【請求項1】
車両間通信ネットワークにおいてマフィアゲーム理論を使用して、車両が悪質車両の検出および立ち退きを行うための方法であって、
悪質なマフィア車両は、車両製造会社によって設計された行為とはかなり異なる動きをすることを検出され、無害車両は、前記車両製造会社によって設計された通りの動きをし、自警車両は、検出車両によって無害車両と判断または認証されており、検出車両は、別の車両が無害車両か悪質車両か自警車両かどうかを検出する能力を有し、居住車両は、領域内のすべてのカテゴリの車両であることを備えることを特徴とする方法。
【請求項2】
時間は、期間に分割され、各時間期間の間に、前記無害車両は、多数決によって排除するための車両を選択し、各無害車両は、各時間期間に1つの車両を排除するために投票することを特徴とする請求項1に記載の方法。
【請求項3】
各無害車両は、各時間期間に他の車両から票を受信し、最多数の票を受信した車両を排除し、同点の場合、車は、最大数の票を受信した前記車両から一律にランダムで選ばれることを特徴とする請求項1に記載の方法。
【請求項4】
車両は、「無視」メッセージを前記領域内の他のすべての車両に送信することによって排除される車両の識別子を明らかにすることを特徴とする請求項1に記載の方法。
【請求項5】
悪質車両は、各時間期間に前記無害車両としての動きもし、および排除するための無害車両を選ぶことができることを特徴とする請求項1に記載の方法。
【請求項6】
悪質車両は、「無視」メッセージを他の車両に送信することによって排除される車両の識別子と、前記排除される車両が検出車両か否かであったかとを明らかにすることを特徴とする請求項5に記載の方法。
【請求項7】
各検出車両は、前記悪質または無害の車両のステータスを手に入れ、およびその後で他の検出車両に安全なメッセージを送信することによって前記ステータスを前記他の検出車両にのみ明らかにすることを特徴とする請求項1に記載の方法。
【請求項8】
Rが前記領域内の車両総数およびηがゼロおよび1つの検出車両の間の定数である第1の√(ηR)時間期間の間、検出車両は、自警車両の「ホワイトリスト」をまとめ、および最新状態を維持し、前記最新状態のホワイトリストを暗号化し、および前記ホワイトリストを変更し、前記暗号化されたリストを前記ホワイトリスト上の各自警車両に送信することを特徴とする請求項1に記載の方法。
【請求項9】
前記検出車両は、「無視」メッセージを他の車両に送信することによって前記他の車両に自身の車両を排除するように要求し、および自身の識別子を明らかにすることを特徴とする請求項8に記載の方法。
【請求項10】
各時間期間において、最も高いランクに数えられたVのメンバーは、V以外で排除されるメンバーを選択し、排除される車両の識別子、例えば、pをVの他のメンバーに通信し、すべての無害車両は、この事前通信ラウンド後の次に排除する前記車両pを調整/選択するために、安全な匿名票で投票するのを棄権し、すべての(マフィアでない)車両は、「pを無視する」メッセージを送信することを特徴とする請求項1に記載の方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2013−503403(P2013−503403A)
【公表日】平成25年1月31日(2013.1.31)
【国際特許分類】
【出願番号】特願2012−527093(P2012−527093)
【出願日】平成22年8月31日(2010.8.31)
【国際出願番号】PCT/US2010/047293
【国際公開番号】WO2011/026092
【国際公開日】平成23年3月3日(2011.3.3)
【出願人】(399047921)テルコーディア テクノロジーズ インコーポレイテッド (61)
【Fターム(参考)】
【公表日】平成25年1月31日(2013.1.31)
【国際特許分類】
【出願日】平成22年8月31日(2010.8.31)
【国際出願番号】PCT/US2010/047293
【国際公開番号】WO2011/026092
【国際公開日】平成23年3月3日(2011.3.3)
【出願人】(399047921)テルコーディア テクノロジーズ インコーポレイテッド (61)
【Fターム(参考)】
[ Back to top ]