説明

限られた数のインフラ・サーバを有する自動車ネットワーク向け公開鍵インフラに関する方法

自動車通信ネットワークの公開鍵インフラを提供するためのシステム、およびそれに関連する方法である。当該システムは、複数の通信インフラ・ノードと、各々が通信コンポーネントを有する複数の自動車を備える。当該通信コンポーネントは自動車間(V2V)通信と、インフラ・ノードを介した通信を提供する。当該複数の自動車の各々における通信セキュリティ・コンポーネントが、複数のセキュリティ・モジュールを用いて複数の自動車間の通信にセキュリティを提供する。当該セキュリティ・モジュールは、証明書管理モジュールを備える。公開鍵インタフェース・モジュールは、公開鍵、秘密鍵、匿名鍵、および管理鍵を含んでもよい。当該システムはさらに、攻撃検出と攻撃緩和のための検出応答モジュールを備える。通信セキュリティ・コンポーネントは、少なくとも1つのセキュリティ・キー、動作証明書、および最新の証明書失効リストを割り当てて組み込む。通信コンポーネントは複数の自動車間の安全な通信を提供する。

【発明の詳細な説明】
【技術分野】
【0001】
本出願は、合衆国法典35章第119条(e)の規定により、2009年10月7日出願の米国仮特許出願第61/249,473号の優先権を主張する。当該仮特許出願の開示内容は、参照により全体として本明細書に取り込まれる。
【0002】
本発明は、自動車通信ネットワークに関し、特に、自動車通信ネットワークにセキュリティを提供することに関する。
【背景技術】
【0003】
自動車ネットワークにより自動車間の通信が提供される。しかし、ネットワークは、様々な動機を有する様々なソースを起点とする、多数の脅威または攻撃にさらされている。ネットワークの攻撃には、ネットワーク通信を攻撃するコンピュータ・ウィルスが含まれうる。また、ネットワーク攻撃には、プライバシに対する攻撃と、スパムのような悪意行為(malicious behavior)攻撃が含まれうる。自動車ネットワークに対してセキュリティを提供するための従来の試みでは、PKI(public−key infrastructure)を提供するサーバとして動作する沿道の装置との絶え間ない通信に依存していた。一般に、従来のソリューションでは、自動車ネットワークに対するPKIでの複数の分散サーバの役割を考慮していなかったか、または、例えば各自動車の無線範囲内にサーバが存在することを考慮することによって上記サーバの数に関する非現実的な仮定をしていた。したがって、自動車ネットワークに対する公知のセキュリティ・ソリューションでは、様々な種類の高価なインフラ・サーバの必要性を排除または最小限に抑えるという課題が無視されていた。特に、従来式のPKIでは一般に、PKIに属することを認められたユーザまたはクライアントが保持する(公開鍵暗号化またはデジタル署名に用いられる)暗号化鍵を管理するための、信頼されたCA(Certificate Autorities)またはサーバに依存する。証明書を用いて、信頼されたCAが暗号化鍵を特定のユーザに結び付けて、他のユーザが当該証明書を読み取ることによって或る鍵が或るPKIユーザに属することを検証できるようにする。CAは、ユーザの証明書を公的に利用可能なCRL(Certificate Revocation List)に提供することによって、悪意行為を行ったPKIのユーザをグループから排除することができる。したがって、他のユーザは、最新のCRLをCAから取得することによって、グループ・メンバの特権が失効していないPKIのユーザに或る鍵が属することを検証することができる。ユーザがCAと通信する必要がある別の理由は、これらの証明書が一般には(CRLのサイズが大きくなりすぎるのを回避するために)時間的に制限されているため、これらの証明書を更新する必要があるということである。自動車が広範囲の地理的領域を移動するがその無線範囲が有限であるため短距離間でしかメッセージを送信できない場合、自動車ネットワークでCAとPKIユーザの間の通信を実現するのが特に難しくなる。したがって、移動中の自動車がある自動車ネットワーク内でPKIを適用すると、広範囲の地理的領域にわたってCAサーバに接続し、CAサーバとの接続を維持する問題が少なくとも生じ、このことが、不合理に多数のCAサーバを必要とするソリューションをもたらしうる。
【0004】
メッセージ・セキュリティとは、メッセージ認証または完全性保護、およびリプレイ・アタックに対する保護を指す。自動車ネットワークのような分散型の、グループ・ベースの設定では、認証されたグループ・メンバ(即ち、不正なコンピュータではなく認証された自動車)から送信されているものとしてメッセージを認証することがメッセージ・セキュリティにおいて必要であるかもしれない。メッセージ・セキュリティを実現するための公知な技法は、PKIとデジタル署名に基づくものである。具体的には、ユーザは、タイムスタンプ付きの最新のメッセージのデジタル署名を、メッセージ自体と署名検証公開鍵の証明書とともに送信する。受信者は、そのタイムスタンプ、メッセージの署名、および検証公開鍵の証明書が有効であるかを、メッセージ内容の処理前にチェックする。このソリューションでは、(前述のように、使用される証明書の有効期限が切れていないことを検証するために)証明局のサーバ・インフラへのネットワーク接続が常に利用できることを前提としており、結果として、計算時間が過度となり無線によるメッセージ・オーバヘッドが生じうる。この技法に対して計算時間の少ない変形形態としては、例えば、当該メッセージの内容が十分に重要であるとみなされた場合にのみユーザがメッセージの信ぴょう性をチェックできることが挙げられる。この技法の幾つかの公知な変形形態では、チェーン・ベースまたはツリー・ベースの暗号化ハッシングを用いて署名を実装することにより計算効率の改善を試みるが、この実装では通信効率が低下する。これらの変形形態でさえも、CAへのネットワーク接続が常に利用できることを前提としており、また、送信者と受信者との間の同期維持可能性が必要である。CAがCRLを全ユーザに或る時刻tに配布する単純なアプローチでは、ユーザがCAサーバと通信できず古い(更新されていない)CRLを信頼しなければならないかもしれないため、後の時刻t’>tの時点で所望のセキュリティを提供することができない。
【0005】
典型的な公知の方法およびシステムでは、ユーザが連続的にサーバまたは共通の通信装置に接続するためのセキュリティ・オプションを提供する。しかし、公知の方法では、例えば自動車間のネットワークと同様、移動体分散通信システムを用いるユーザにセキュリティを提供することには、対処しておらず、また、一般に適していない。
【0006】
公知のネットワークでは、自動車間のネットワークにおいてのように、その本質的に可動的でアドホックな性質を含めて、移動体装置が提示する課題と、同時に生ずるセキュリティおよび自動車の所有者のプライバシに対するニーズには対処していない。
【0007】
したがって、自動車ネットワークにセキュリティを提供するための方法とシステムを提供することが望ましいはずである。さらに、所望のセキュリティ、プライバシ、および性能の要件を含むネットワーク・パラメータを維持しつつ、ネットワーク・システムが、数が限られたサーバでセキュリティを提供することが望ましい。
【発明の概要】
【課題を解決するための手段】
【0008】
本発明の一態様では、自動車通信ネットワークのセキュリティを提供するための方法は、各々が通信コンポーネントを有する複数の自動車を指定の地理的領域内に提供するステップと、複数の通信インフラ・ノードを提供するステップと、当該複数の通信インフラ・ノードを用いて自動車間で通信するステップであって、データ接続を有する自動車の数が上記指定の地理的領域内の自動車の総数未満となるように、当該複数の通信インフラ・ノードは上記複数の自動車の各々にデータ接続できないステップと、上記通信コンポーネントを用いて自動車間(V2V)で通信するステップと、上記複数の自動車間の通信に対してセキュリティを提供するステップと、上記複数の自動車に少なくとも1つのセキュリティ・キー、動作証明書(certificate of operation)、および最近の証明書失効リストを割り当てて組み込むステップと、上記少なくとも1つのセキュリティ・キー、動作証明書、および最近の証明書失効リストを用いて上記複数の自動車間の通信を確保するステップと、を含む。
【0009】
本発明の一態様では、自動車通信ネットワークのセキュリティを提供するためのシステムは、データ接続を有する自動車の数が任意の指定期間は上記指定の地理的領域内の自動車の総数未満となるように、任意の指定期間は上記複数の自動車の各々にデータ接続できない複数の通信インフラ・ノードと、各々が通信コンポーネントを有する複数の自動車とを備える。当該通信コンポーネントは、自動車間(V2V)通信を提供し、自動車は互いに上記複数の通信インフラ・ノードを用いて通信する。上記複数の自動車の各々における通信セキュリティ・コンポーネントが当該複数の自動車間の通信にセキュリティを提供する。当該通信セキュリティ・コンポーネントは、複数のセキュリティ・モジュールを含み、当該セキュリティ・モジュールは、証明書、および証明書失効リストを含む証明書管理モジュールと、公開鍵、秘密鍵、匿名鍵、および管理鍵のうち少なくとも1つを含む公開鍵インタフェース・モジュールと、攻撃検出および攻撃軽減のための検出応答モジュールと、少なくとも1つのセキュリティ・キー、動作証明書、および最新の証明書失効リストを割り当てて組み込んだ通信セキュリティ・コンポーネントと、自動車間通信を含む上記複数の自動車間の安全な通信、および上記ノードを用いた自動車通信を提供する通信コンポーネントとを備える。
【0010】
本発明の一態様では、自動車通信ネットワークのセキュリティを提供するための方法は、複数の通信インフラ・ノードを提供するステップであって、データ接続を有する自動車の数が任意の指定期間内は上記指定の地理的領域内の自動車の総数未満となるように、任意の指定期間は上記複数の通信インフラ・ノードが上記複数の自動車の各々とデータ接続できないステップと、各々が通信コンポーネントを有する複数の自動車を提供するステップと、当該複数の自動車間の通信にセキュリティを提供するステップと、少なくとも1つのセキュリティ・キー、動作証明書、および最新の証明書失効リストを上記複数の自動車に割り当てて組み込むステップと、自動車間通信を含む当該複数の自動車と上記ノードとの間で選択的に通信するステップと、少なくとも1つのセキュリティ・キー、動作証明書、および最新の証明書失効リストを用いて当該複数の自動車間の通信を確保するステップと、自動車間の通信において悪意行動を検出するステップと、多数決技法、自己犠牲投票(self sacrifice voting)技法、または多数決技法と自己犠牲投票技法の組合せを含めてユーザがグループとして投票する技法を含む、悪意行動を軽減するステップとを含む。
【0011】
本発明の一態様では、コンピュータ・プログラム製品は、コンピュータ・プログラムを記録したコンピュータ読取可能媒体を備える。コンピュータ・システムはメモリ装置を備え、当該コンピュータ・システムは、自動車通信ネットワークのセキュリティを提供するためのコンピュータ・プログラムのステップを実行するプロセッサを含み、複数の通信インフラ・ノードが提供され、各々が通信コンポーネントを有する複数の自動車が提供され、上記プログラムのステップは、上記通信コンポーネントを用いて自動車間(V2V)で通信するステップと、当該複数の通信インフラ・ノードを用いて自動車間で通信するステップであって、データ接続を有する自動車の数が上記指定の地理的領域内の自動車の総数未満となるように、当該複数の通信インフラ・ノードは上記複数の自動車の各々にデータ接続できないステップと、上記複数の自動車間の通信にセキュリティを提供するステップと、上記複数の自動車に少なくとも1つのセキュリティ・キー、動作証明書、および最新の証明書失効リストを割り当てて組み込むステップと、自動車間通信を含む当該複数の自動車と上記ノードとの間で選択的に通信するステップと、上記少なくとも1つのセキュリティ・キー、動作証明書、および最新の証明書失効リストを用いて上記複数の自動車の間の通信を確保するステップとを含む。
【0012】
本発明のこれらおよび他の目的、機能、および利点は、後のその例示的な実施形態の詳細な説明から明らかになろう。当該詳細な説明は、添付図面と関連して読むべきである。添付図面中の様々な機能は、この例示の目的が、当業者が詳細な説明に関連して本発明を容易に理解するのを明確にすることであるので、正しい縮尺では描かれていない。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態に従って自動車通信ネットワークを提供するための方法およびシステムの略ブロック図である。
【図2】自動車と通信する固定サーバと自動車間通信を示す略ブロック図である。
【図3】自動車と通信するブロードキャスト・サーバと自動車間通信を示す略ブロック図である。
【図4A】自動車通信ネットワークを提供するための本発明の一実施形態に従う方法を示す流れ図である。
【図4B】自動車通信ネットワークを提供するための図4Aに示す流れ図の続きを示す図である。
【図5】コンピュータ・システムの一実施形態を示す略ブロック図である。
【発明を実施するための形態】
【0014】
図1を参照すると、本発明に従う方法10(および対応するシステム)の実施形態には複数の自動車20がある。自動車20は、自動車間通信を用いて互いと通信することができ、ネットワーク50を用いてサーバ・ノード40と通信することができる。サーバ・ノード40は固定サーバまたは可動式サーバを表す。固定サーバには、例えば、多様な固定型のサーバ、またはブロードキャスト・サーバを含めてもよい。可動式サーバには、例えば、自動車内のサーバ、またはPDA(personal data assistant)を含めてもよい。図1では、自動車がV2V通信とサーバ通信を用いて通信することを示している。コンピュータ・システム400は、自動車20内のコンピュータ・システムを代表するものであり、サーバ・ノード40がコンピュータ・システム400の一部であってもよい。コンピュータ・システム400の一実施形態の諸コンポーネントを図5に示す。
【0015】
以降、本発明の諸実施形態で用いる用語を以下のように定める。
【0016】
悪意エージェントと動機
悪意行為に関心があるエージェントには、悪意行為に関与し、かつ/または、その行為から利益を得る可能性のある全てのエンティティが含まれる。当該エージェントを、自動車ネットワークに害を及ぼしうるリソースの量に応じて分類することができる。例えば、悪徳業者または便乗業者には、コンピュータ・ハッカー、自動車、電子部品またはコンピュータのホビーストを含めてもよい。非常に緩い組織の例には、主に自力で行動し、金銭的リソースが少ない攻撃者がある。邪悪な内部関係者や悪徳企業の例には、適度に協調し、定期的に通信し、適度なリソースを有し、公的に知られておらず入手可能でもない情報を取得できる攻撃者がある。最後に、犯罪組織や外国の例には、組織に侵入して非公開の秘密を取得でき、自身の目的の実現以外の思慮に欠けているおそれがある、膨大なリソースを有する高度に組織化された攻撃者がある。
【0017】
以下のリストは、エージェントを自動車ネットワーク内で悪意行為に駆り立てうる潜在的な動機の幾つかを含む。当該動機は一般に、影響度の昇順となっており、次の通りである。すなわち、他の自動車または自動車ネットワーク全体を害するランダムな動機、警察を逃れること、犯罪行動を支援すること、または主要な攻撃から注意を逸らすことを目的とした自動車ネットワークからの丁重な扱い、ハッキングまたは新型ウィルスの送信成功から得られる名声、交通当局の決定の操作、走行条件または経済的利得における個人的利益の取得、例えば保険金詐欺または自動車窃盗、武力衝突を含む、市民的、政治的、および経済的な混乱を包含しうる、国家的、政治的、および特別な利益の増進である。
【0018】
セキュリティ脅威およびセキュリティ要件
V2V環境における通信活動に基づいたセキュリティ攻撃と悪意行為は、次のように分類することができる。
【0019】
攻撃者は、自分の自動車のソフトウェアまたはハードウェアから送信された通信内容を修正することができる。その修正内容には不正確な道路状況が含まれ、当該不正確な道路状況には、前方衝突、死角状況、車線変更、危険走行、速度、ブレーキ、方向、位置、および交差点の移動に関する偽の通知といった、不正確な走行条件またはパターンに関する偽の警告が含まれる。攻撃者はまた、自動車のソフトウェアまたはハードウェアの通信機能を修正して、攻撃、例えば、上述のような攻撃の1つ、および、メッセージの送信タイミングの修正、メッセージを配信の遅延、自動車が扱える以上の数のメッセージの送信、長時間メッセージを送信しないこと、例えばプライバシ保護のため自動車のソフトウェアの機能を無効化することを実行することができる。攻撃者は、自動車または他のネットワーク・エンティティ(例えば、サーバ)になりすまして、自動車ネットワークの動作に害を及ぼさせることを試みることができる。攻撃者はまた、侵入者として動作して、自動車または他のネットワーク・エンティティ(例えば、サーバ)に格納したデータを用いて自動車ネットワークの動作に害を及ぼさせることを試みることができる。
【0020】
上記の攻撃を踏まえて、1組のセキュリティ要件の実施形態は以下の通りである。
【0021】
セキュリティ要件S−1:自動車ネットワークにおいて、上記の攻撃の何れも、その成功確率がごくわずかであるか、または、成功するには攻撃者の実行不可能な量のコンピューティング・リソースが必要である。
【0022】
セキュリティ要件S−2:自動車ネットワークにおいて、上記攻撃の何れかが成功する場合は、自動車ネットワークが高確率で攻撃および攻撃者を検出し、その影響を阻止し軽減できる手続きが存在する。
【0023】
プライバシ脅威およびプライバシ要件
V2V環境における通信活動に基づいたプライバシ侵害を以下のように定める。
【0024】
1. 攻撃者が、自動車間で交換されるメッセージを記録して、(1a)メッセージが特定の自動車とその所有者に正確に関連付けられ(それにより、自動車の所有者の匿名性が侵害され)るか、または、(1b)別の場所でのメッセージが同一の自動車に正確に関連付けられ(それにより、アンリンカビリティが侵害され)る確率が大幅に高まるおそれがある。
【0025】
2. 攻撃者が自身の自動車のソフトウェアまたはハードウェアの通信機能を修正して、1の攻撃のような攻撃を実行することができる。
【0026】
3. 攻撃者が自動車または他のネットワーク・エンティティ(例えば、サーバ)になりすまして、項番1および2の攻撃が成功する可能性を高めることができる。
【0027】
4. 攻撃者はまた、侵入者として動作して、例えば項番1、2、および/または3の攻撃によって、自動車または他のネットワーク・エンティティ(例えば、サーバ)に格納したデータを用いて自動車ネットワークの動作に害を及ぼさせることを試みることができる。
【0028】
上述の攻撃を前提として、1組のプライバシ要件の一実施形態を以下のように記述する。
【0029】
プライバシ要件P−1:自動車ネットワークにおいて、項番1乃至4に列挙した攻撃の何れも、その成功確率がごくわずかであるるか、または、成功するには攻撃者の実行不可能な量のコンピューティング・リソースが必要である。
【0030】
プライバシ要件P−2:自動車ネットワークにおいて、項番1乃至4に列挙した攻撃の何れも、既知の確率でしか成功しない。
【0031】
有限なインフラ・ネットワーク接続の影響
図1に示す本発明の一実施形態において、本発明の方法10は、従来式の証明書管理システムまたはモジュール72をセキュリティ・コンポーネント70の一部として使用する。自動車インフラには、図1の本発明の実施形態に示されるように、ネットワーク50、通信インフラ・ノードまたはサーバ・ノード40、ならびに自動車20内の通信コンポーネント24、および自動車20内のコンピュータ・システム400を含めてもよい。セキュリティ・コンポーネント70が、コンピュータ・システム内のコンピュータ・プログラムの一部であってもよく、当該コンピュータ・プログラムの全部または一部を自動車20および通信インフラ・ノード40に配置してもよい。自動車がCA(Certificate Autorities)74と通信して以下の動作を実施するには(自動車20の一部で代表的に示すように)インフラ・ネットワーク50の接続が必要である。
【0032】
1. 初期セキュリティ・キーと証明書の割当てと組み込み
2. メッセージ・セキュリティ動作
3. CRL(Certificate Revocation List)の配布
4. 期限切れ証明書の交換
5. 失効した証明書の交換
6. 悪意行為の検出、即ち、不正に使用された証明書や悪意ある自動車を検出してどの証明書と自動車を失効すべきかを判定するための情報を、CAまたは別の侵入検出システムに提供すること
【0033】
一般に、本発明の諸実施形態では、自動車に複数のセキュリティ・キーと証明書を割り当てる。自動車の初期セキュリティ・キーとその証明書を、自動車の製造プロセス中に、または、自動車が販売される前の自動車の販売代理店で、自動車に組み込むことができる。これを、沿道のインフラ・ネットワーク接続なしに実現することができる。あるいは、多数のセキュリティ対策を含むメッセージ・セキュリティ動作を追加してもよい。任意の自動車は、当該多数のセキュリティ対策を、その近傍の自動車に送信された任意のメッセージに追加することができる。本発明の諸実施形態では、上述の対策において、沿道のインフラ・ネットワーク接続は必要ではなく、十分なセキュリティ要件が実現される。
【0034】
インフラ・ネットワーク接続が限られているかまたは全くないことの影響を抑える主要な証明書管理動作を以下で論ずる。
【0035】
自動車間(V2V)通信22では、自動車はインフラ・ネットワーク接続を殆どまたは全く有さず、自動車ネットワークは、以下のように、上で明示したセキュリティ要件とプライバシ要件とを適切に拡張したものを満たす必要がある。
【0036】
セキュリティ要件S−3:自動車ネットワークにおいて、上記攻撃の何れかが顕著な確率で成功する場合には、おそらく有限かつ予測可能なレベルのインフラ・ネットワークの接続に依存して、または、全くインフラ・ネットワークの接続なしに、自動車ネットワークが高確率で攻撃と攻撃者の両方を検出できる手続きが実行される。
【0037】
プライバシ要件P−3:自動車ネットワークにおいて、自動車が限られた数のインフラ・サーバと通信できるにすぎないか、または、かかるサーバと全く通信できず、またはさらに、限られた数の他の自動車と通信できる状況においてさえも、上記の攻撃の何れもごくわずかな確率か、または、既知の確率で成功するにすぎない。
【0038】
自動車ネットワークのモデル化
本発明の方法10では、道路地図モデル、自動車密度、通信、および移動度モデルを含む、自動車ネットワーク向けの数学的モデル化を使用する。さらに、1つまたは複数の無線ネットワーク・オプションが利用できるインフラ・サーバ・モデルでモデリングを行う。単純な地理モデル、移動モデル、通信モデルを使用して、自動車の自動車ネットワーク無線接続グラフを任意の時刻tでランダムな幾何グラフG(t)により表すことができる。ここで、グラフの枝の確率パラメータを、閉論理式(closed formula)を用いて表現することができる。一般的で現実的な条件のもとでは、自動車は、時刻tでアルゴリズム的に計算可能な枝のパラメータでランダムな幾何グラフG(t)を形成する。例えば、期待される近傍の自動車の数を、閉論理式で計算することができる。
【0039】
以下で、図2および図3を参照して、次の様々な種類のインフラ・ノードの存在を定義するインフラ・モデルを定義する。
【0040】
静的なシステム100において、図2に示すように、固定のインフラ・サーバ110は、例えば販売代理店、ショッピング・センターの駐車場、車検場を含むホットスポットを備え、静的なV2V通信22を提供する。数学的な観点からは、これらは、(実際には、幾分自動車密度を近似すると期待される)明確に定義された初期位置分散を有する通信グラフG(t)内の特殊な固定ノードとしてモデル化される。かかるサーバはまた、自宅ネットワークにおけるWiFiアクセス、および旅程に沿ったWiFiホットスポットのような他のネットワーク・オプションをモデル化することができる。一般に、本発明の方法は、任意の形態の固定インフラ・サーバの使用を最小限に抑えようとするものであり、いかなる新たな沿道のサーバ・エンティティの配備も特に必要としない。
【0041】
可動式インフラ・サーバには、セルラ・ネットワークを含む上述の無線ネットワーク・オプションのうち多数を使用できる公用車(例えば、警察車両または緊急車両)を含めることができる。数学的な観点からは、上述したことは、(自動車密度を近似すると想定される)明確に定義された初期位置分散を有する通信グラフG(t)内の特殊なノード、および(通常の自動車のランダム移動プロセスと同様であると想定される)明確に定義された移動プロセスとしてモデル化される。サーバはまた、ユーザの携帯電話を使用してインフラ・ネットワークと通信できる自動車のような、信頼度の低いネットワーク・オプションをモデル化することができる。本発明の方法では、任意の形態の可動式インフラ・サーバの利用を最小限に抑えようとするものである。
【0042】
ブロードキャスト・インフラ・サーバ・システム200では、図3に示すように、システム200は、衛星(複数可)を使用してデータを広範囲または国全体にブロードキャストできるブロードキャスト・サーバ210を備える。数学的な観点からは、これらを、他の全てのノードに接続される通信グラフG(t)内の単一の特殊な固定ノードとしてモデル化してもよい。かかるブロードキャスト・インフラ・サーバの位置はシステムに大きな影響を及ぼさないが、送信待ち時間や帯域幅が制約をうけるかもしれない。本発明の方法は、かかる通信に必要な送信待ち時間や帯域幅を最小化しつつ、全ての主要な証明書管理動作を実行しようとするものである。自動車は図2と同様にV2V通信22を提供する。
【0043】
全体として、自動車と中心的なインフラ・ネットワークとの間のネットワーク接続を提供するアクセス・ポイントまたは基地局は、(ある特定の種類のサーバのみを用いるのではなく)上述のサーバのうち任意のものであることができる。換言すれば、全ての自動車が同一の無線技術を使用してCA(certificate authority)74と通信するわけではない。上述のサーバのタイプにおける1つの重要な技術的相違点は、どのようにCAのメッセージが全ての自動車に配信されるかである。固定サーバおよび可動式サーバの場合、近傍の自動車は、CAがより遠い他の自動車に配信したいメッセージをCAから受け取ることにもなる。この「ゲートウェイ」自動車は次に自動車間通信を用いて当該メッセージを他の自動車に配信する。一方、ブロードキャスト・サーバの場合は、衛星が、同一のメッセージを国内の全ての受信自動車に同時送信することができる。
【0044】
ソリューションと証明書管理動作
本発明は、PKIモジュール90を用いた自動車ネットワーク公開鍵インフラ(VN−PKI)動作をサポートするための技法を含む。本技法は、上で列挙したセキュリティ要件を満たし、PKI動作における計算量、待ち時間、通信の複雑度の最小化、沿道のインフラ・ネットワークの必要性の排除、ならびに、固定サーバ、可動式サーバおよびブロードキャスト・サーバのような他の任意の種類のインフラ・サーバの必要性削減という諸要件を含む。
【0045】
VN−PKI動作:序論
自動車が自動車通信のセキュリティと完全性を維持するために実施する必要がある6つの主要なVN−PKI動作がある。これらの動作は、初期セキュリティ・キーと証明書の割当てと組込み、メッセージ・セキュリティ動作、有効期限切れ証明書の交換、悪意行為の検出、CRL(Certificate Revocation List)の配布、および、失効した証明書の交換である。セキュリティ・コンポーネント70は、有効期限切れ証明書78を交換するための証明書管理モジュール72を含むメッセージ・セキュリティ動作を管理し、証明書失効リスト76と証明書認証局74を提供する。検出応答モジュール80は、悪意行為の検出82と、悪意行為の軽減84を行う。
【0046】
従来式のPKIでは、これらの動作には、自動車がインフラ・ネットワークを介してCAと頻繁に通信する必要がある。沿道のインフラ・サーバに対する依存性を排除し、固定インフラ・サーバ、可動式インフラ・サーバ、およびブロードキャスト・インフラ・サーバに対する依存性を削減するために、本発明の方法とシステムは、自動車の製造プロセス中に、または、自動車が販売される前の自動車の販売代理店で自動車に割り当てられ組み込まれた初期セキュリティ・キーと証明書を含むので、一般に沿道のインフラ・ネットワーク接続を必要としない。
【0047】
PKIベースのシステムでの証明書には通常、証明書の有効性を決定するために使用される有効期限属性がある。証明書の有効期限が切れた場合は、当該証明書を交換する必要がある。PKIベースの自動車ネットワークでは、証明書の有効期限切れを少なくとも次の2つの目的で利用する。
1. CRLが単調に際限なく肥大化することの防止を支援する。証明書がリストにあるか否かをチェックする必要があるときに自動車のリソースを配分し消費するためにより多くのリソースを使用するので、大規模なCRLは望ましくない。失効した証明書が有効期限切れとなったときに当該証明書をCRLから除去することで、CRLの肥大化の抑制を支援する。
2. 認証情報が永久に有効のままであることを防止する。例えば、回収された自動車の証明書を、有効のままにとして攻撃者の潜在的なターゲットにするのではなく、有効期限切れとさせた方が有利である。
【0048】
したがって、自動車は、有効期限切れ証明書をその通常動作の一部として定期的に交換する必要がある。PKIシステムとV2V通信ネットワークの完全性は、悪意行為、すなわち、証明書が悪意をもって使用されているか否かを検出し、および、V2V通信を使用して他の自動車または通信システムに害を及ぼしている悪意ある自動車を検出するための、効果的な悪意行為検出機能に依存する。これらの機能は、どの証明書を失効すべきかを判定するために必要である。また、これらの機能を自動車に対して使用して、悪意行為を認識しそれに応答してその影響を軽減することにより、安全でセキュアな通信を維持する。かかる悪意行為検出機能は、特定の証明書管理機構が使用されていることと無関係に必要であろう。
【0049】
証明書が悪意行動に使用されていると疑われるか判定されると、当該証明書をCA74のような信頼された認証局により失効することができる。CRL76は、以前にユーザに提供された証明書を剥奪するための、PKIシステムで使用される主要な手段である。検証プロセスの一部として、証明書により安全が確保されたデータを受け取ったエンティティはCRL76をチェックして、当該証明書が失効しているかどうかを判定する。PKIベースの自動車ネットワークでは、例えば安全なアプリケーションをサポートするために自動車間で交換されるV2Vメッセージの信ぴょう性と完全性を検証するために、各自動車は信頼されたCAが発行したCRLの最新のコピーを必要とする。CRLはエントリの追加、削除により時間とともに変化するので、CRLリストを時折自動車に配信する必要があり、その頻度は証明書の失効割合に依存する。
【0050】
さらに、本発明の属性には、自動車が用いる1つまたは複数の証明書が失効したときに、当該失効した証明書が交換される基準を満たすことが含まれる。証明書を受け取る自動車の特権が完全に失効した場合、システムは、この自動車がもはや交換された証明書を受け取ることができないようにすることができる。組合せ型の証明書の枠組みと同様に、プライバシの利益を提供するために証明書が自動車の間で共有されている場合は、1つの証明書を失効する動作が、証明書を共有する多くの自動車に影響を及ぼす。
【0051】
初期セキュリティ・キーと証明書の割当て
本発明の方法では、自動車の初期のセキュリティ・キーと関連証明書、および最新のCRLを組み込むことを、自動車の製造プロセス中に、または、特に最新のCRLのような時間に敏感な情報の場合には、自動車が販売される前の自動車販売代理店で行うことができる。この手続きを、沿道のインフラ・ネットワーク接続を何ら必要とせずに上手く完了することができる。暗号化と認証のための暗号鍵の生成を、非対称暗号化およびデジタル署名向けの最先端の暗号アルゴリズムを用いて行うことができる。本発明の方法およびシステムでは、各自動車は、任意の或る時点で、少なくとも次の鍵を(対応する証明書とともに)必要とする。すなわち、デジタル署名によりメッセージ認証と完全性保護を実現するための1対の公開鍵92および秘密鍵94を必要とする。
【0052】
初期の鍵と証明書とともに、販売代理店は最新のCRL76を、新たな自動車、または、V2V通信を介して当該CRLを他の自動車に配布する自動車に、ロードしてもよい。
【0053】
有効期限切れ失効証明書の交換
本発明の諸実施形態では、有効期限切れ失効証明書に対して、証明書の交換を行う。PKI(Public−key Infrastructure)を用いた高レベルなインフラ接続を有するユーザは、CA(certificate autorities)と称される予め確立された信頼性の高い認証局を使用する。CAは、証明書を発行し、失効し、交換する権限を有する。しかし、限られたインフラ・ネットワーク接続しかないか、または、インフラ・ネットワーク接続がない場合は、交換した証明書を自動車がCAから取得するのは困難である。各自動車が複数の証明書を有する場合、例えば、プライバシのサポートを提供するために証明書を共有する場合は、自動車通信アプリケーションは、自動車の証明書の一部が失効したとしても動作し続けることができるが、自動車は使用中の証明書の一部を頻繁に再利用する必要があるので、プライバシの保護はおそらく悪化する。しかし、自動車の証明書の全てが失効した場合は、自動車はメッセージを送信することでV2V通信にアクティブに参加することはもはやできない。しかし、その証明書が失効したがその完全性が損なわれていないとシステムが判定したならば、自動車は依然として受動的なオブザーバとして動作し、イベントを運転者に報告することができる。自動車間の通信に対するインフラが限られているかまたは全くないと、既存の証明書管理技法では、多数の自動車が有効な証明書を得られず、その結果、自動車の通信アプリケーションの有効性が大幅に低下し、最終的には、大部分の自動車が有効な証明書を使い果たしたときに通信アプリケーションが停止するおそれがある。
【0054】
本発明の方法10は、有効期限切れ失効証明書を交換し、新規の証明書が対象の自動車によってのみ受け取られることを保証する手続を含む。失効した証明書の交換は、どの証明書を失効すべきか、および、自動車が新規の交換された証明書を受け取り続けることを許可すべきかどうかを判定するための別の調査手続が必要であることを除いて、有効期限切れ証明書の交換と基本的に同じように実行することができる。有効期限切れ証明書の交換は後に論ずる。
【0055】
以下の技法を、インフラ・ネットワークのオプションの利用可能性に合うように適合させることができる。例えば、固定インフラ・サーバおよび可動式インフラ・サーバが利用可能である場合は、これらのサーバが証明書交換メッセージを、自動車ネットワークを介して潜在的に遠隔の自動車に対して直接送信するか、または、V2V通信を用いて当該メッセージを宛先の自動車に配信する一部の自動車に最初に送信することができる。ブロードキャスト・インフラ・サーバの場合は、一方向のブロードキャストを使用して証明書交換動作をサポートする。何れの場合も、暗号保護のため、このメッセージは対象の自動車によってのみ上手く受け取られる。
【0056】
従来式の証明書管理では、ユーザはCAと直接対話して、交換された証明書を取得する。具体的には、双方向接続がユーザとCAの間で確立され、その間に、ユーザとCAが相互に認証し合い、次いで鍵と証明書の材料を交換する。これは、自動車が希薄なインフラ・ネットワーク接続を有する場合には困難となる。本発明によれば、希薄なインフラ接続が利用可能であるときに証明書管理を可能とする以下の技法を使用する。
1. 固定インフラ・サーバまたは可動式インフラ・サーバの何れかを用いた、クライアントとサーバとの近接性に基づく手続き
2. 固定インフラ・サーバまたは可動式インフラ・サーバの何れかを用いた、地理的に制御されたネットワーク・フラッディングに基づく手続き
3. ブロードキャスト・インフラ・サーバを用いた、国規模のブロードキャストに基づく手続き
【0057】
第1の技法では、有効期限切れ証明書を有する自動車は、固定サーバ110(図2)または可動式サーバのようなインフラ無線基地局の無線カバレッジ領域に移動したときに、CA74に連絡して交換された証明書を要求する。さらに、自動車は、他の自動車により受け取られることを意図した暗号化された証明書交換メッセージをCA74から受け取り、V2V通信22を使用して当該メッセージを宛先の自動車に転送する中継点の役割を果たす。
【0058】
第2の技法では、有効期限切れ証明書を有する自動車は、暗号化され署名された証明書更新要求をその近傍の自動車に送信し、当該近傍の自動車がV2V通信22を使用して当該メッセージを最も近いインフラ・サーバ110または210に中継する。自動車はその現在の地理的位置と、最も近い固定または可動式のインフラ・サーバ40の大凡の位置を知っているので、V2V22中継を、当該自動車の位置からその最も近いインフラ・サーバの位置までの地理的領域に効率的に制限することができる。上記要求を受け取った後、インフラ・サーバは(要求した自動車が送信した、その暗号化要求メッセージ内の対称鍵を用いて)暗号化され署名された証明書交換メッセージで応答し、同様に地理的に制御されたフラッディング手続きを用いて応答を送信する。要求されれば、署名された確認メッセージを自動車からサーバに送り返して、手続完了が成功したことを保証してもよい。
【0059】
第3の技法では、暗号化鍵と証明書交換の材料を含む署名された証明書交換メッセージを、多数の自動車が受信できる一方向の衛星ブロードキャスト・サービス(図3のブロードキャスト・サーバ210)を介してブロードキャストする。有効期限切れ証明書を有する自動車は、その衛星受信機を使用してこのメッセージを取得し、その交換された証明書を復号化する。この非対話的な手続きは、自動車の受信機の電源が入っているときは成功する。同じメッセージを複数回(例えば、数日間は1日1回、または、選択した期間は定期的に)ブロードキャストすることができ、その結果、自動車がこれらの衛星メッセージの何れかを受け取らない確率が無視できるほど小さいと推定することができる。
【0060】
上述の3つの技法の応用例により、これら3つの手続きの何れもが、標準的な暗号化を前提に、有効期限切れ証明書または失効した証明書の効果的で安全な交換が提供されることを示すことができる。
【0061】
悪意行動の検出と軽減
インフラ・ネットワークのサポートがないV2V通信22では、自動車は当該自動車自体および配布された技法に依存して、悪意ある通信活動を検出し、悪意の疑いがある自動車をシステムから排除する(すなわち、悪意の疑いがある自動車から送信されたメッセージを無視する)ことによって悪意ある自動車の影響を軽減する。かかる機能により、自動車は、悪意行動により過度に影響を受けることなく、かつ、インフラ・ネットワーク接続に頼ることなく、安全に通信することができる。
【0062】
V2V自動車通信ネットワークに関して悪意の疑いがある自動車を排除するか否かを自動車が局所的に決定する2つの技法は次の通りである。
1. 投票機構
2. 疑いのある装置がその主張者とともに排除される、個々の自動車の犠牲
【0063】
投票機構では、自動車は別の自動車の不正に関する署名付きの主張を交換することによって投票を行う。各自動車は次いでこれらの警告メッセージをその主張リストに追加する。自動車に対する警告投票が閾値を超えると、主張された側の自動車がブラックリストに載る。このブラックリストは、局所的なまたは一時的なCRLと類似するものである。ブラックリストに載ったノードに対して、「この自動車を無視」メッセージをさらに他の自動車にブロードキャストする。一般に、多数決の原理を使用して、いつ自動車が信頼できないとみなすかを判定する。
【0064】
多数決検出機構は「正直な大多数」に依存する。すなわち、全てのノードは悪い近傍よりも多くの良い近傍を有しなければならない。したがって、局所的な大多数は、投票者モデルのダイナミクスに大きく影響を及ぼしうる。例えば、悪いノードが局所的な大多数を形成する場合は、悪いノードが良いノードを排除しうる。良いノードが局所的な大多数である場合は、良いノードが悪いノードを排除しうる。
【0065】
犠牲ベースのモデルでは、任意の自動車が、同時に将来のV2V通信に対する自身の参加を制限することに同意することで自身の決定をより信頼できるものにすることによって、他の任意の自動車を排除することができる。したがって、この枠組みでは、複数の自動車からの多数票を使用して自動車を排除するかどうかを判定する投票ベースの機構よりも、ノードを排除するのが簡単である。しかし、この犠牲ベースの機構を乱用すると、主張者を同時に強制的に除去することによって犠牲が大きくなる。例えば、主張者による「無視」メッセージにより、疑いあるノードとその主張者の両方が同時に無視されることになる。
【0066】
自動車がメッセージ指向の悪意行為を検出するための技法を以下で論ずる。当該技法には、悪意ある自動車による無実な自動車のフレーミングまたは不当な主張を検出することが含まれる。メッセージ指向の悪意行為とは、1つまたは複数の自動車がメッセージ・セキュリティ手続き(複数可)で規定されているものとは別のメッセージを生成することから構成される悪意行為を指す。具体的には、以下で述べることは、自動車が当該自動車自体にのみ依存して悪意行動を検出し軽減するために使用できる、すなわち、インフラ・サーバの支援を必要としない分散的な手続きである。
【0067】
提示した手続きは、以下の基準に基づくものである。すなわち、
自動車が、或る自動車のメッセージが悪意あるか否かについて同意するための、攻撃者の近傍における認証された投票手続き。
【0068】
投票記録を任意の結果のCRL更新情報とともに他の自動車に送信するための、V2Vネットワーク・フラッディング手続き。
【0069】
或る自動車が過度に多数の投票に参加(例えば、多数の無実な自動車を、それらのメッセージが悪意であると宣言して主張すること)していないかどうかをチェックするための、闇値異常検出機構。
【0070】
本発明の方法は、以下を含む。
1. 1つまたは複数の自動車が、近傍の自動車からの疑いあるメッセージに気づき、この事実をその全ての近傍に対して指摘し、これらのメッセージが悪意あるかどうかにつき同意するための投票を求める。
2. 全ての近傍が(例えば、(悪意あり、悪意なし、不明)から)デジタル署名された投票を送信し、多数決が行われ、疑いある自動車と投票者の両方の証明書が排除リスト(即ち、それらをCRLに追加することと同様)に載り(上述の「自己犠牲」効果)、制御されたネットワーク・フラッディング手続きを用いて他の全ての自動車に送信する。
3. これらの新たな排除リストを受け取った自動車は、これらの新たに排除された鍵を(これらの鍵に基づく将来のメッセージを無視するために)自身の排除リストに含める。
4. 排除リスト内の各エントリはまた、投票毎に投票参加者数を追跡するカウンタを有する。(タイミング・パラメータとその指定の地理的領域内の交通条件に依存して)投票者が所定の投票参加者の閾値数を超えた場合、その投票結果を無視する。超過した投票者は、発見した自動車がCAとのネットワーク接続を確立できたときにCAに報告され、CAは関連する証明書を失効し、将来に交換される証明書を受け取るための必要以上の投票自動車の特権を失効する。
【0071】
上述の方法は、幾つかの新規な態様を含む。当該態様には以下が含まれる。すなわち、
多数決の利益を犠牲の原理と組み合わせて、恵意ある自動車が無実な自動車を排除するのを難しくするだけでなく、悪意ある自動車の影響を大幅に制限すること。例えば、一群の悪意ある自動車がその局所領域における過半数を用いて無実な自動車を排除する場合、これらの悪意ある自動車はそのプロセスにおいて自分自身を犠牲にしなければならないことになる(即ち、自分自身をも排除することになる)。
【0072】
悪意ある自動車による複数の無実な自動車のフレーミングを検出すること。これは、悪意行為の検出に対して、全ての投票ベースの手続きの潜在的な弱点である。
【0073】
証明書失効リストの配布
本発明の実施形態により解決される自動車ネットワークの1つの課題は、CRL(certificate revocation list)の配布に関する。自動車ネットワーク内の自動車は、CRLをタイムリーに受け取る必要がある。正しく管理しないと、CRLはサイズが非常に大きくなるので、配布に大量の無線ネットワークの帯域幅が必要となりうる。自動車がインフラ・ネットワーク接続を殆どまたは全く有さない場合は、当該自動車は他の手段に依存してCRLを受け取るか、または、新たな技法を使用して、CRLなしに連続的な安全で確実な動作を長期間保証しなければならない。
【0074】
本発明の方法は、CRL(Certificate Revocation List)を更新し、V2Vネットワーク内の全ての自動車に配布して、当該ネットワーク内の全ての自動車が直近のバージョンのCRLを堆持することを保証することを含む。これらの方法は、主に、適切なフラッディング・ベースの配布手順を用いた、衛星から広域もしくは国全体へのブロードキャスト、または、その最も近い地理的領域内のインフラ・サーバから全ての自動車へのブロードキャストに基づくものである。接続性の悪いシナリオまたは接続がないシナリオ(例えば、自動車の衛星受信機の電源がオフ、農村地域において自動車の移動範囲が限られている、接続が何らかの形で一時的に存在しないため自動車がCRLの更新情報を受け取らない)を考慮すると、最も古いCRLの更新情報を有する自動車が、新たなバージョンのCRLを有する別の自動車からCRLの更新情報を受け取る自動車間手続きを使用してもよい。
【0075】
CRL(Certificate Revocation List)は、それを必要とする任意のエンティティまたはアプリケーションに公然と配信されることを意図した公開データである。CRLに完全性保護と認証を提供するため、CRLは一般にデジタルなタイムスタンプを伴い、CRLとタイムスタンプの両方が、発行CAによりデジタル的に署名される。従来式の証明書管理では、ユーザはCAと直接対話して、最新のCRLを定期的に取得する。具体的には、CAとそのユーザとの間で恒久的な接続を確立することができ、その間に、ユーザとCAが相互に認証し合い、CAが更新されたCRLをユーザに送信する。自動車ネットワークでは、自動車が何らかの重要な期間、任意の種類のインフラ・サーバから切断されたままにする必要があるかもしれないのでこのプロセスは複雑であり、したがって、自動車は要求された接続の確立において支援を必要とする。自動車が更新情報を受け取ることを支援するインフラ・ソリューションは、固定インフラ・サーバと可動式インフラ・サーバの両方、衛星を含み、任意の2つの近傍の自動車間で更新手続きを実施する。この更新手続には以下が含まれる。すなわち、
1. 固定インフラ・サーバまたは可動式インフラ・サーバの何れかを用いた、地理的に制御されたネットワーク・フラッディングに基づくCRL配布手続き
2. ブロードキャスト・インフラ・サーバを用いた、国規模のブロードキャストに基づくCRL配布手続き
3. 任意の2つの自動車間で実施される、CRL比較に基づくCRL更新手続き
【0076】
ネットワーク・フラッディングに基づく配布手続きには、失効証明書の割合に応じて期間を選択すること、CAが最新のCRLの定期的なブロードキャストを規定することが含まれる。ブロードキャストには、夫々の固定インフラ・サーバまたは可動式インフラ・サーバに同一のCRLのコピーを与えること、当該コピーを地理的に制御されたフラッディング手順を介して全ての自動車に配布する(例えば、国を、各々が1つまたは非常に少数のインフラ・サーバによりカバーされる地理的領域に分割し、インフラ・サーバによりブロードキャストされるCRLが、近傍の自動車にのみ、サーバの指定の地理的領域内で移動している自動車から転送する)ことが含まれる。
【0077】
この手続の変形形態では、新たに購入した自動車、および/または最近に販売代理店を訪問した自動車が、販売代理店でCRLをCAから受け取ることができ、自動車間(V2V)通信を使用して当該CRLを他の車に配布するための中継としての役割を果たすことができる。本発明の別の実施形態では、国規模のブロードキャストに基づく配布手続きが、最新のCRLを国内の全ての自動車にブロードキャストしている1つのサーバ(例えば、衛星)のみを含んでもよい。
【0078】
CRL比較に基づく更新手続きを、古いバージョンのCRLを有する自動車と、最新のCRLバージョンを有するその近傍の自動車との間で適用してもよく、この場合、前者の自動車がそのCRLを後者のCRLで置き換える。2つの自動車の間で交換される(即ち、CRLの違いが比較的小さい場合には、単に2つのCRLを置き換えるよりも大幅に少ない情報が交換される)メッセージの長さを最小限に抑えるする、通信効率の良い手順を使用することができる。
【0079】
プライバシ強化
初期セキュリティ・キーと証明書の割当て
上述した本発明の実施形態では、本発明の方法は、自動車ごとに単一の、別個に生成された署名鍵または識別鍵を含んでいた。さらなるプライバシを実現するために、本発明の別の実施形態では、匿名鍵(証明書)96と呼ばれる複数の署名鍵を有する自動車を含み、各々は、運転者または自動車を特定する情報を含まず、明確な短い(例えば、10分)所定の有効期間(例えば、2000年1月1日の午後2時から2000年1月1日の午後2時10分)有効であり、その期間中は、当該鍵をまさに上述の実施形態で論じた単一の鍵として使用することができる。かかる鍵の数は、当該有効期間全ての和が十分に長い期間(例えば、1年)をカバーできるほど多い数である。
【0080】
メッセージ・セキュリティ動作
自動車が複数の鍵を有していても、当該自動車は当該複数の鍵のうち1つのみを使用して、そのメッセージに署名することができ、まさに、その証明書の鍵はその時点で有効である。証明書が有効である期間は全てばらばらであるので、かかる鍵は1つしかない。
【0081】
有効期限切れ失効証明書の交換
複数の鍵を用いると、自動車は、全ての証明書を使い果たすまで(例えば、1年)、それらの更新を待機することができる。上述の有効期限切れ失効証明書の交換というタイトルの節に、単一の証明書ではなく複数の証明書を取得するという変形を行うやり方で、証明書を交換して失効することができる。同様に、証明書失効リストの配布を上述のように行うことができる。
【0082】
悪意行為の検出
複数の鍵を用いた悪意行為検出は、有効期限切れ失効証明書の交換というタイトルの節で説明した単一の鍵の場合と同様であり、投票者が識別鍵、即ち、公開鍵または秘密鍵を用いて自身のプライバシを放棄して投票を自身の署名することを含む。さらに、投票者は疑いある自動車に対し、この識別鍵に基づいて署名を提供することを求める。識別鍵と全ての匿名鍵96は失効される。疑いある自動車が識別鍵を有する署名を提供できなかった場合は、当該自動車の匿名鍵96を失効することになる。最後に、予め設定した閾値をインフラ・サーバにより使用して、非常に多くの匿名鍵が失効した自動車が存在するかどうかを検証する。この場合、当該自動車の識別鍵も失効する。さらに、警告機構99は、セキュリティ脅威の通知を受け取ること、脅威軽減手続きを開始すること、および主張された脅威を証明書認証局に通信することを含んでもよい。
【0083】
証明書失効リストの配布
プライバシ強化技法では、CRLの配布および更新に関して上述したのと同じ手順を使用することができる。
【0084】
本明細書で論じた本発明の実施形態では、一意なセキュリティ脅威とプライバシ脅威、および限られたインフラ・サーバを有する自動車ネットワークにおける通信要件を管理するための方法を提供する。さらに、本発明の実施形態では、所望のセキュリティ、プライバシ、および性能の要件を満たしつつ、コストがかかる様々な種類のインフラ・サーバの必要性を排除および/または最小限に抑えるという利点をもたらすことができる。
【0085】
さらに、本発明の実施形態は、自動車通信システムの安全で確実な動作を保証するための悪意行為検出を提供する。本発明の実施形態では、自動車のネットワークとアプリケーションに深刻な害を及ぼす悪意ある自動車を検出し、自動車通信ネットワークから排除または除外する。自動車が頻繁にインフラ・ネットワークに接続する場合、当該自動車はインフラ・ネットワーク内の信頼されたサーバに依存してセキュリティ脅威を検出し、応答することができる。これらのインフラ・サーバは情報を多数の自動車から収集することができ、データを分析して悪意行動を検出するための十分な処理機能を有することができる。しかし、自動車が道路に沿って散発的なインフラ接続を有するかまたは全くインフラ接続を有さない場合は、攻撃者は、インフラ・サーバのような非常に信頼されたエンティティによって何ら監視されることもなく攻撃を行うことができる。散発的なインフラ接続を有するかまたは全くインフラ接続を有さない自動車は、悪意行動の検出を支援するインフラ・ベースのサーバに頼ることができない。その結果、上述の攻撃が成功する可能性が非常に高く、攻撃者が検出されない可能性が非常に高いはずである。したがって、本発明の実施形態では、自動車は当該自動車自体と他の潜在的に信頼されない自動車との対話に依存して、悪意行動を検出し、その影響を軽減する。
【0086】
以上により、本発明の実施形態では、自動車ネットワーク向けのPKI(Public−key Infrastructure)に関する方法を提供する。PKIはエンティティとデータの認証、完全性および機密性、ならびに悪意行為検出、および悪意ある自動車の失効の要件を満たす。本発明の実施形態のPKIでは、最小数のインフラ・サーバを使用する。
【0087】
本発明の実施形態を、コンピュータ・システムを用いてモデル化して、例えば、鍵の再読込みと更新要求の経路付け、証明書および証明書失効リストの更新、悪意行為検出と結果として生ずる鍵更新のためのソリューションを構築することができる。
【0088】
図4aを参照すると、本発明の一実施形態に従う自動車通信ネットワークを提供するための方法300は以下のステップを含む。ステップ304で、複数の通信インフラ・ノードを提供する。ステップ308で、各々が通信コンポーネントを有する複数の自動車を提供する。自動車はステップ310でネットワーク50と通信することができる。ステップ312で、自動車は通信コンポーネントを用いて自動車間(V2V)通信を行うことができる。ステップ316で、自動車がインフラ・ノード40と通信する。方法300は、ステップ320で複数の自動車間の通信にセキュリティを提供する。ステップ324で、複数の自動車にセキュリティを割り当てて組み込む。当該セキュリティには、ステップ328におけるセキュリティ・キー、動作証明書、および最新の証明書失効リストを含む。ステップ332で、複数の自動車間で選択的に通信する。
【0089】
図4bを参照すると、方法300はステップ336を含み、ステップ336では、自動車間通信における悪意行動を検出し、当該悪意行動を軽減する。ステップ340で、悪意行動の軽減にはユーザ投票技法が含まれる。ステップ344では、更新されたCRL(certificate revocation list)を、V2V通信を用いて、または、通信インフラ・ノードを用いて、ネットワーク内の各自動車に配布する。ステップ348では、更新された証明書失効リストを配布するための配布技法を実装する。当該技法は、地理的に制御されたネットワークをフラッディングすること、国規模のネットワークにブロードキャストすること、および複数の自動車間で証明書失効リストを比較するためのV2V通信を含む。ステップ352では、V2V通信を用いて、または、通信インフラ・ノードを用いて、更新された証明書をネットワーク内の複数の自動車に配布することによって、有効期限切れ失効証明書を交換することを含む。更新された証明書の配布には、通信インフラ・ノードが固定および/または可動式である以下の技法、即ち、地理的に制御されたネットワークをフラッディングすること、国規模のネットワークにブロードキャストすること、および複数の自動車間で証明書失効リストを比較するためのV2V通信のうち少なくとも1つを用いることを含めてもよい。本方法はさらにステップ356を含んでもよく、ステップ356では、公開鍵インフラを用いて1つまたは複数の更新されたセキュリティ・キーを配布することは公開鍵92、秘密鍵94、匿名鍵96、識別鍵、および管理鍵98の複数のセキュリティ・キーのうち1つまたは複数を配布することを含む。方法300はステップ360において、証明書の失効を、複数の自動車から遠隔にあり当該複数の自動車と通信できる遠隔のインフラ・ノードに報告することを含んでもよい。
【0090】
図5を参照すると、本発明の実施形態に従うコンピュータ・システム400を、サーバ・ノード、自動車のコンピュータ、または他の固定装置もしくは移動体装置と併せて、またはそれらの一部として使用してもよい。コンピュータ・システム400はコンピュータ420を備える。コンピュータ420は、データ記憶装置422およびソフトウェア・プログラム424、例えば、オペレーティング・システム、または、結果を実現するための命令を実装するプログラムを備える。当該ソフトウェア・プログラムまたはオペレーティング・システム424はデータ記憶装置422に格納される。データ記憶装置422としては、例えば、ハード・ドライブ、またはフラッシュ・メモリが挙げられる。プロセッサ426は、プログラム424からのプログラム命令を実行する。コンピュータ420をネットワーク50に接続してもよい。ネットワーク50としては、例えば、インターネット、LAN(local area network)、またはWAN(wide area network)が挙げられる。コンピュータ420を、データを入力するためのデータ・インタフェース428と、情報をユーザに表示するためのディスプレイ429に接続してもよい。周辺装置450をコンピュータ410に接続してもよい。
【0091】
本発明の諸実施形態の諸態様をシステム、方法、またはコンピュータ・プログラム製品として具現化してもよいことは当業者には理解されよう。したがって、本発明の諸態様は専らハードウェアの実施形態、専らソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロ・コード等を含む)、または、「回路」、「モジュール」、もしくは「システム」と称しうるソフトウェアとハードウェアの態様を組み合わせた実施形態の形をとってもよい。さらに、本発明の諸態様が、コンピュータ読取可能プログラム・コードを具現化した1つまたは複数のコンピュータ読取可能媒体(複数可)で具現化したコンピュータ・プログラム製品の形をとってもよい。さらに、1つまたは複数のコンピュータ読取可能媒体(複数可)の組合せを利用してもよい。コンピュータ読取可能媒体はコンピュータ読取可能信号媒体またはコンピュータ読取可能記憶媒体であってもよい。コンピュータ読取可能記憶媒体は、例えば、電気、磁気、光学、電磁気、赤外線、または半導体のシステム、機器、もしくは装置、またはこれらの任意の適切な組合せであってもよいがこれらに限らない。コンピュータ読取可能記憶媒体のより具体的な例(非包括的なリスト)には、1つまたは複数の配線を有する電気接続、ポータブル・コンピュータ・ディスク、ハード・ディスク、RAM(random access memory)、ROM(read−only memory)、EPROM(erasable programmable read−only memory)またはフラッシュ・メモリ、光ファイバ、ポータブルCD−ROM(compact disc read−only memory)、光記憶装置、磁気記憶装置、またはこれらの任意の適切な組合せが含まれるはずである。コンピュータ読取可能記憶媒体は、命令実行システム、機器、または装置によって、または、これらと関連して使用するためのプログラムを含むかまたは格納できる任意の有形媒体であってもよい。
【0092】
コンピュータ読取可能媒体で具現化したプログラム・コードを、任意の適切な媒体を用いて送信してもよい。この適切な媒体には、無線、有線、光ファイバ・ケーブル、RF等、またはこれらの任意の適切な組合せが含まれるがこれらに限らない。本発明の諸態様向けの動作を実行するためのコンピュータ・プログラム・コードを、1つまたは複数のプログラミング言語を任意に組み合わせて書いてもよい。当該プログラミング言語には、Java(登録商標)、Smalltalk、C++等のようなオブジェクト指向プログラミング言語、ならびに「C」プログラミング言語および同様なプログラミング言語のような従来式の手続型プログラミング言語が含まれる。プログラム・コードを専らユーザのコンピュータで実行してもよく、スタンドアロンのソフトウェア・パッケージとして一部をユーザのコンピュータで実行してもよく、一部をユーザのコンピュータで一部をリモート・コンピュータで実行してもよく、または、専らリモート・コンピュータもしくはサーバで実行してもよい。後者のシナリオでは、任意の種類のネットワークを介してリモート・コンピュータをユーザのコンピュータに接続してもよく、当該接続を(例えば、インターネット・サービス・プロバイダを用いてインターネットを介して)外部コンピュータに対して行ってもよい。当該ネットワークには、LAN (local area network)もしくはWAN(wide area network)が含まれる。
【0093】
本発明の諸態様は、本発明の諸実施形態に従う方法、機器(および/またはシステム)、およびコンピュータ・プログラム製品の流れ図および/またはブロック図を参照して説明される。流れ図および/またはブロック図のブロック、ならびに流れ図および/またはブロック図内のブロックの組合せをコンピュータ・プログラム命令により実装してもよいことは理解されよう。これらのコンピュータ・プログラム命令を、汎用目的コンピュータ、特殊目的コンピュータ、またはマシンを生成するための他のプログラム可能データ処理装置に提供して、命令が、コンピュータまたは他のプログラム可能データ処理装置のプロセッサにより実行され、流れ図および/またはブロック図の1つもしくは複数のブロックで指定した機能/動作を実装するための手段を生成してもよい。
【0094】
コンピュータ・プログラム命令をコンピュータ、他のプログラム可能データ処理機器、または他の装置にロードして、一連の動作ステップを当該コンピュータ、他のプログラム可能機器、または他の装置で実行させてコンピュータ実行型のプロセスを提供し、コンピュータまたは他のプログラム可能機器で実行される命令が、流れ図および/またはブロック図の1つまたは複数のブロックで指定した機能/動作を実装するためのプロセスを提供するようにしてもよい。
【0095】
各図における流れ図とブロック図は、本発明の様々な実施形態に従うシステム、方法、およびコンピュータ・プログラム製品の可能な実装形態のアーキテクチャ、機能、および動作を示す。これに関して、流れ図またはブロック図内の各ブロックが、モジュール、セグメント、またはコード部分を表してもよい。当該コード部分は、指定の論理機能(複数可)を実装するための1つまたは複数の実行可能命令を含む。幾つかの代替的な実装形態では、ブロックで示した機能を、図で示した順序以外で行ってもよいことに留意されたい。例えば、必要な機能に応じて、連続で示した2つのブロックを実際にはほぼ同時に実行してもよく、ブロックを場合によっては逆順で実行してもよい。
【0096】
本発明を、その好適な実施形態に関して具体的に示し説明したが、本出願の趣旨と範囲を逸脱しない変更を形態と細部において行ってもよいことは当業者には理解されよう。したがって、本発明は、本明細書で説明および図示した厳密な形と細部に限定されず、添付の特許請求の範囲にあることが意図されている。

【特許請求の範囲】
【請求項1】
自動車通信ネットワークのセキュリティを提供するための方法であって、
各々が通信コンポーネントを有する指定の地理的領域内の複数の自動車を提供するステップと、
複数の通信インフラ・ノードを提供するステップと、
前記複数の通信インフラ・ノードを用いて自動車間で通信するステップであって、前記複数の通信インフラ・ノードが、データ接続を有する自動車の数が前記指定の地理的領域内の自動車の総数未満となるように前記複数の自動車の各々にデータ接続できないステップと、
前記通信コンポーネントを用いて自動車間(V2V)通信を行うステップと、
前記複数の自動車間の通信にセキュリティを提供するステップと、
前記複数の自動車に、少なくとも1つのセキュリティ・キー、動作証明書、および最近の証明書失効リストを割り当てて組み込むステップと、
前記少なくとも1つのセキュリティ・キー、動作証明書、および最近の証明書失効リストを用いて、前記複数の自動車間の通信を確保するステップと
を含む方法。
【請求項2】
前記自動車間の通信における悪意行動を検出するステップと、
前記悪意行動を軽減するステップと
をさらに含む、請求項1に記載の方法。
【請求項3】
前記悪意行動は、サービスの拒否、または、前記複数の自動車の少なくとも1つに対して物理的、精神的または財産的な害を及ぼすことを含む、請求項2に記載の方法。
【請求項4】
前記悪意行動を軽減するステップは、多数決技法、自己犠牲投票技法、または前記多数決技法と前記自己犠牲投票技法の組合せを含む、ユーザがグループとして投票するステップを含む、請求項2に記載の方法。
【請求項5】
前記複数の自動車に割り当てて組み込むステップは、前記自動車の製造中に行われるまたは自動車の販売代理店で行われる、請求項1に記載の方法。
【請求項6】
前記V2V通信を用いて、または、前記通信インフラ・ノードを用いて、更新した証明書失効リストを前記ネットワーク内の各自動車に配布するステップと、
前記証明書失効リスト上の1つまたは複数の自動車を前記ネットワークから排除するステップと
をさらに含む、請求項1に記載の方法。
【請求項7】
前記更新した証明書失効リストを配布するステップは、
地理的に制御されたネットワークをフラッディングする技法と、
国規模のネットワークでブロードキャストする技法と、
前記V2V通信を用いて、前記複数の自動車の間で証明書失効リストを比較する技法と
のうち少なくとも1つを含む、請求項6に記載の方法。
【請求項8】
前記V2V通信を用いて、または、前記通信インフラ・ノードを用いて、更新した証明書を前記ネットワーク内の各自動車に配布することによって、有効期限切れ失効証明書を交換するステップをさらに含む、請求項1に記載の方法。
【請求項9】
前記更新した証明書を配布するステップは、
地理的に制御されたネットワークをフラッディングする技法と、
国規模のネットワークでブロードキャストする技法と、
前記V2V通信を用いて、前記複数の自動車の間で証明書失効リストを比較する技法と
のうち少なくとも1つを含み、
前記通信インフラ・ノードは固定および/または可動式である、請求項8に記載の方法。
【請求項10】
1つまたは複数の更新したセキュリティ・キーを前記複数の自動車の各々に配布するステップをさらに含む、請求項1に記載の方法。
【請求項11】
1つまたは複数の更新したセキュリティ・キーを配布するステップは、公開鍵、秘密鍵、1つまたは複数の匿名鍵、識別鍵、および管理鍵を含む1つまたは複数の複数のセキュリティ・キーを配布するステップを含む、請求項10に記載の方法。
【請求項12】
セキュリティ・コンポーネントは、PKI(public key infrastructure)を備える、請求項1に記載の方法。
【請求項13】
証明書失効をリモートのインフラ・ノードに報告するステップをさらに含む、請求項1に記載の方法。
【請求項14】
証明書認証局サーバは、前記複数の自動車から遠隔にあり、介在する自動車を用いて前記複数の自動車と通信する、請求項1に記載の方法。
【請求項15】
自動車通信ネットワークのセキュリティを提供するためのシステムであって、
各々が、自動車間(V2V)通信を提供する通信コンポーネントを有する指定の地理的領域内の複数の自動車と、
複数の通信インフラ・ノードであって、前記自動車が、データ接続を有する自動車の数が任意の指定期間内は上記指定の地理的領域内の自動車の全数未満となるように、任意の指定期間は前記複数の自動車の各々にデータ接続できない複数の通信インフラ・ノードを用いて互いと通信する、複数の通信インフラ・ノードと、
前記複数の自動車間の通信にセキュリティを提供する、前記複数の自動車の各々における通信セキュリティ・コンポーネントであって、
証明書と証明書失効リストを含む証明書管理モジュールと、
公開鍵、秘密鍵、匿名鍵、および管理鍵のうち少なくとも1つを含む公開鍵インフラ・モジュールと、
攻撃検出および攻撃軽減のための検出応答モジュールと、
自動車間通信、および前記ノードを用いた自動車通信を含む複数の自動車間の安全な通信を提供する、少なくとも1つのセキュリティ・キー、動作証明書、および最新の証明書失効リストを割り当てて組み込んだ、通信セキュリティ・コンポーネントと、
を備える複数のセキュリティ・モジュールを備える、通信セキュリティ・コンポーネントと
を備えるシステム。
【請求項16】
前記複数の自動車と少なくとも時折通信する証明書認証局をさらに備える、請求項15に記載のシステム。
【請求項17】
前記証明書管理モジュールは、前記インフラ・ノードの1つまたは複数に配置した証明書認証局を備える、請求項15に記載のシステム。
【請求項18】
証明書が失効したときにセキュリティ違反報告を開始する、前記セキュリティ・コンポーネントの一部である警告機構をさらに備える、請求項15に記載のシステム。
【請求項19】
前記通信インフラ・ノードは、前記自動車内のコンピュータ・システムと通信するコンピュータ・システムを備える、請求項15に記載のシステム。
【請求項20】
自動車通信ネットワークにセキュリティを提供するための方法であって、
各々が通信コンポーネントを有する指定の地理的領域内の複数の自動車を提供するステップと、
複数の通信インフラ・ノードを提供するステップであって、前記通信インフラ・ノードが、データ接続を有する自動車の数が任意の指定期間内は上記指定の地理的領域内の自動車の総数未満となるように、任意の指定期間は前記複数の自動車の各々にデータ接続できないステップと、
前記複数の自動車間の通信にセキュリティを提供するステップと、
少なくとも1つのセキュリティ・キー、動作証明書、最新の証明書失効リストを前記複数の自動車に割り当てて組み込むステップと、
自動車間通信を含む前記複数の自動車と前記ノードとの間で選択的に通信するステップと、
前記少なくとも1つのセキュリティ・キー、動作証明書、最新の証明書失効リストを用いて前記複数の自動車間の通信を確保するステップと、
前記自動車間の通信における悪意行動を検出するステップと、
多数決技法、自己犠牲投票技法、または前記多数決技法と前記自己犠牲投票技法の組合せを含むユーザがグループとして投棄する技法を含む、悪意行動を軽減するステップと
を含む方法。
【請求項21】
更新された証明書失効リストを、前記証明書失効リスト上の1つまたは複数の自動車は除いて、前記ネットワーク内の各自動車に配布するステップを含み、
前記更新された証明書失効リストを配布するステップは、
地理的に制御されたネットワークをフラッディングする技法と、
国規模のネットワークでブロードキャストする技法と、
前記複数の自動車の間で証明書失効リストを比較するための前記V2V通信する技法と
のうち少なくとも1つを含み、
前記通信インフラ・ノードが固定および/または可動式である、請求項20に記載の方法。
【請求項22】
更新した証明書を前記ネットワーク内の各自動車に配布することによって、有効期限切れ失効証明書を交換するステップをさらに含み、
前記更新した証明書を配布するステップは、
地理的に制御されたネットワークをフラッディングする技法と、
国規模のネットワークでブロードキャストする技法と、
前記複数の自動車の間で証明書失効リストを比較するための前記V2V通信する技法と のうち少なくとも1つを含み、
前記通信インフラ・ノードが固定および/または可動式である、請求項20に記載の方法。
【請求項23】
公開鍵、秘密鍵、匿名鍵、識別鍵、および管理鍵を含む1つまたは複数の更新されたセキュリティ・キーを前記複数の自動車の各々に配布するステップをさらに含む、請求項20に記載の方法。
【請求項24】
コンピュータ・プログラムを記録したコンピュータ読取可能媒体と、メモリ装置を備えたコンピュータ・システムとを備えるコンピュータ・プログラム製品であって、前記コンピュータ・システムは、自動車通信ネットワークのセキュリティを提供するための前記コンピュータ・プログラムのステップを実行するためのプロセッサを備え、複数の通信インフラ・ノードが提供され、指定の地理的領域内にある、各々が通信コンポーネントを有する複数の自動車が提供され、前記プログラムのステップは、
前記複数の通信インフラ・ノードを用いて前記自動車間で通信するステップであって、前記複数の通信インフラ・ノードが、データ接続を有する自動車の数が前記指定の地理的領域内の自動車の総数未満となるように、前記複数の自動車の各々にデータ接続できないステップと、
前記通信コンポーネントを用いて自動車間(V2V)通信を行うステップと、
前記複数の自動車間の通信にセキュリティを提供するステップと、
少なくとも1つのセキュリティ・キー、動作証明書、最新の証明書失効リストを前記複数の自動車に割り当てて組み込むステップと、
前記少なくとも1つのセキュリティ・キー、動作証明書、最新の証明書失効リストを用いて前記複数の自動車間の通信を確保するステップと
を含む、コンピュータ・プログラム製品。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4A】
image rotate

【図4B】
image rotate

【図5】
image rotate


【公表番号】特表2013−513256(P2013−513256A)
【公表日】平成25年4月18日(2013.4.18)
【国際特許分類】
【出願番号】特願2012−533309(P2012−533309)
【出願日】平成22年10月7日(2010.10.7)
【国際出願番号】PCT/US2010/051764
【国際公開番号】WO2011/044323
【国際公開日】平成23年4月14日(2011.4.14)
【出願人】(399047921)テルコーディア テクノロジーズ インコーポレイテッド (61)
【Fターム(参考)】