[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN111684760B - 用于管理数字证书的密码方法和系统 - Google Patents

用于管理数字证书的密码方法和系统 Download PDF

Info

Publication number
CN111684760B
CN111684760B CN201880075909.XA CN201880075909A CN111684760B CN 111684760 B CN111684760 B CN 111684760B CN 201880075909 A CN201880075909 A CN 201880075909A CN 111684760 B CN111684760 B CN 111684760B
Authority
CN
China
Prior art keywords
digital certificate
key
certificate
pca
entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880075909.XA
Other languages
English (en)
Other versions
CN111684760A (zh
Inventor
小马科斯·A·西姆普利西
爱德华多·卢斯·科米尼特
哈什·库瓦德帕蒂尔
杰斐逊·E·里卡蒂尼费尔南德兹
马科斯·维尼修斯·M·西尔瓦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Universidade de Sao Paulo USP
LG Electronics Inc
Original Assignee
Universidade de Sao Paulo USP
LG Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Universidade de Sao Paulo USP, LG Electronics Inc filed Critical Universidade de Sao Paulo USP
Publication of CN111684760A publication Critical patent/CN111684760A/zh
Application granted granted Critical
Publication of CN111684760B publication Critical patent/CN111684760B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Traffic Control Systems (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

假名数字证书(160p)由假名证书机构(PCA)为装置(110/150)生成,该PCA经由另一实体——注册机构(RA)——与装置进行通信,使得PCA和RA无法将证书与装置相关联。每个证书都与公共签名密钥和由PCA使用的公共加密密钥相关联以用于加密证书以对RA隐藏证书。两个密钥都是由PCA从单个密钥中取得的。例如,签名密钥可以从公共加密密钥中取得,而不是独立地生成。但是,即使当PCA不签名加密证书时,也可以获取高安全性。作为结果,获取了降低的带宽和计算成本。还提供了其他实施例。

Description

用于管理数字证书的密码方法和系统
相关申请的交叉引用
本申请要求于2017年10月22日提交的美国临时专利申请No.62/575,514,“SECURITY IN VEHICULAR COMMUNICATIONS”,和于2018年10月19日提交的美国专利申请No.16/165,871的优先权,两者通过引用并入本文。
版权声明
该专利文件的公开的一部分包含受版权保护的材料。版权所有人不反对任何人如专利文件或专利公开在专利和商标局专利文件或记录中出现的那样传真复制该专利文件或专利公开,但在其他方面保留所有版权权利。
背景技术
本发明涉及安全通信,包括汽车、卡车、火车和可能地其他车辆以及行人的智能手机、交通信号灯和其他基础设施之间的交通相关通信。
近年来,嵌入在物理对象中的数字技术激增,导致了今天所称的物联网(IoT)。这种趋势也已经出现在汽车行业,汽车行业对探索诸如车辆对车辆(V2V)、车辆对基础设施(V2I)和车辆对行人(V2P)的统称为车对外界(V2X)通讯的交互模型的兴趣日益浓厚。V2X使得能够实现多种旨在提高交通安全、效率以及人机交互的应用。例如,使用V2X,车辆可以交换或传送(例如,针对速度、方向和制动状态的)信息,这些信息可以帮助驾驶员在保持适当的速度的同时与其他车辆保持安全距离。
实际上,美国交通部已经启动了“连接的车辆”计划,以“测试和评估将使汽车、公共汽车、卡车、火车、道路和其他基础设施以及我们的智能电话和其他装置能够彼此“交谈”的技术。例如,高速公路上的汽车将使用短程无线电信号相互通信,因此道路上的每个车辆都会知道附近其他车辆的位置。驾驶员会收到危险情况的通知和警报,诸如,有人要在他们接近交叉路口时闯红灯,或弯道外看不见的迎面驶来的汽车为避开路上的对象正转向他们的车道。”美国交通运输部在https://www.its.dot.gov/cv_basics/cv_basics_what.htm。“连接的车辆可以大大减少我们的道路和高速公路上的事故所造成的死亡和重伤数量。[他们]还承诺增加交通选择并减少出行时间。交通管理者将能够使用可用的高级通信数据更轻松地控制交通流量,并防止或减轻发展中的拥塞。通过帮助降低燃料消耗和减少排放,这可能对环境产生重大影响”。
尽管V2X技术和连接的车辆提供增加的安全、交通流量、效率等的承诺,但此类技术的大规模部署还需要解决一些挑战,尤其是安全性和隐私问题。特别是,V2X架构有望(1)确保车辆之间交换的消息是合法的,禁止行为不当的用户,同时(2)保留诚实用户的匿名性,这样他们的移动不容易被其他车辆或系统本身跟踪。
发明内容
本部分总结了本发明的一些特征。其他特征可能会在后续章节中进行描述。本发明由所附权利要求书限定,该权利要求书通过引用结合到本部分中。
本发明的一些实施例提供了证书管理技术,其在提供高安全性的同时减少了证书发布过程的处理和带宽成本。
附图说明
图1示出了本公开的系统和方法可以在其中运行的环境。
图2是在示例环境中使用的计算装置的框图。
图3是示例环境中车辆与其他设备之间的通信的表示。
图4、图5A和图5B示出了用于消息认证的数字证书的示例。
图6是示出了适合于数字证书管理的计算机系统架构的框图。
图7和图8是示出了用于生成数字证书的现有技术过程的流程图。
图9A和图9B是示出了在本发明的一些实施例中用于生成数字证书的过程的流程图。
图10是示出了相对于现有技术的本发明的一些实施例的估计成本的表。
图11A和图11B是示出了在本发明的一些实施例中用于生成数字证书的过程的流程图。
图12和图13是示出了根据现有技术和本发明的一些实施例的用于数字证书生成的方法的比较表。
具体实施方式
本说明书和示出了方面、实施例、实施方式或应用的附图不应被认为是限制性的——权利要求书限定了受保护的发明。在不脱离本说明书和权利要求书的精神和范围的情况下,可以进行各种机械、组成、结构、电气和操作上的改变。在某些情况下,未详细示出或描述公知的电路、结构或技术,因为它们是本领域技术人员已知的。在两个或更多个图中相似的标记表示相同或相似的元素。
在本说明书中,阐述了描述与本公开一致的一些实施例的具体细节。为了提供对实施例的透彻理解,阐述了许多具体细节。然而,对于本领域技术人员而言显而易见的是,可以在没有一些或所有这些具体细节的情况下实践一些实施例。本文所公开的具体实施方式意在是说明性而非限制性的。本领域的技术人员可以实现尽管在这里没有具体描述但是处于本公开的范围和精神内的其他元素。另外,为了避免不必要的重复,除非另外特别描述或者如果一个或多个特征会使实施例不起作用,否则与一个实施例相关联示出和描述的一个或多个特征可以并入其他实施例中。
示例环境
图1示出了本公开的系统和方法可以在其中运行的环境。图1示出了一个繁忙的交叉路口,具有各种实体或对象,诸如车辆110V(汽车、卡车以及可能地其他类型,例如火车或自行车)、行人110P、路边设备110L(例如,交通灯以及用于短程和较长程通信的集线器或网关)。对象或实体110(110V、110L、110P等)中的每一个都携带或包含诸如智能电话、汽车信息装置或其他计算装置之类的设备。对象或实体110使用它们相应的计算装置进行通信(例如,无线地)以共享信息、坐标等。每个车辆110V可以例如广播其位置、速度、加速度、路线、方向、天气信息等。此类广播可用于获取有关交通拥堵、事故、湿滑路况的预先信息,并允许每个车辆知道其他车辆的位置等。作为响应,这些信息的车辆接收者可以警告其驾驶员,以建议驾驶员停止、减速、改变路线、绕行等。可以基于车辆和/或其他对象110广播的交通状况来自动调节交通信号灯。
图2示出了由车辆或其他实体和对象用于例如在图1的环境中进行通信、协调等的计算装置150的实施例。如图2所示,计算装置150包括耦合到计算机存储(存储器)150S的一个或多个计算机处理器150P,以及用于无线电通信的无线通信装设备150W。计算装置150的操作由处理器150P控制,该处理器可以实现为计算装置150P中的一个或多个中央处理单元、多核处理器、微处理器、微控制器、数字信号处理器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、图形处理单元(GPU)、张量处理单元(TPU)等。
存储器150S可用于存储由计算装置100执行的软件和/或在计算装置150的操作期间使用的一个或多个数据结构。存储器150S可包括一种或多种类型的机器可读介质。机器可读介质的一些常见形式可能包括软盘、软磁盘、硬盘、磁带、任何其他磁介质、CD-ROM、任何其他光学介质、打孔卡、纸带、任何其他具有孔图案的物理介质、RAM、PROM、EPROM、EEPROM、FLASH-EPROM、任何其他存储器芯片或盒式磁带和/或处理器或计算机适合从中读取的任何其他介质。
处理器150P和/或存储器150S可以以任何合适的物理布置来布置。在一些实施例中,处理器150P和/或存储器150S可以在相同的板上、在相同的封装(例如,封装中系统)中、在相同的芯片(例如,片上系统)等等上实现。在一些实施例中,处理器150P和/或存储器150S可以包括分布式、虚拟化和/或容器化的计算资源。与这样的实施例一致,处理器150P和/或存储器150S可以位于一个或多个数据中心和/或云计算设施中。在一些示例中,存储器150S可包含非暂时性、有形、机器可读介质,其包含可执行代码,所述可执行代码在由一个或多个处理器(例如,处理器150P)运行时可使计算装置150单独或与环境中的其他计算装置结合来执行本文进一步描述的方法中的任何一种。
计算装置或设备150可以包括用户界面150i,例如,诸如存在于智能电话、汽车信息装置或某些其他类型的装置中,以供行人、车辆驾驶员、乘客、交通管理者以及可能地其他人使用。
图3示出了用于实体或对象110或其计算装置150(当不引起混淆时,“对象110”、“用户110”和“设备150”在本文中可以互换使用)经由V2X或连接的车辆技术交互的通信方案的示例。在场景308,车辆110V遇到结冰的路块。
车辆110V可以包括或包含一个或多个传感器——诸如加速计、制动监视器、对象检测器、LIDAR等——以用于感测车辆110V内部和周围的状况,诸如突然终止、车轮打滑、潜在的碰撞等。使用这些传感器,车辆110V可以例如在场景308处检测到结冰的路块。传感器将信息提供给计算装置或设备150(图2),使得其可以例如通过自动施加制动、调整转向和/或在用户需要作出反应时经由显示器150i通知用户来相应地采取行动。计算装置150可以包括用于对例如传感器提供的信息执行诊断或分析的车载诊断模块168。
车辆110V上的不同件设备通过彼此以及和其他车辆交换基本安全消息(BSM)和/或其他消息进行通信。BSM消息在Whyte et al.,“A security credential managementsystem for V2V communications,”IEEE Vehicular Networking Conference,2013,pp.1-8,and CAMP,“Security credential management system proof-of-conceptimplementation-EE requirements and specifications supporting SCMS softwarerelease 1.1,”Vehicle Safety Communications Consortium,Tech.Rep.,May 2016(available:https:f/www.its.dot.gov/pilots/pdf/SCMS_POC_EE_Requirements.pdf)(Whyte等人的“用于V2V通信的安全凭证管理系统”,IEEE车载网络会议,2013年,第1-8页和CAMP“安全凭证管理系统的概念验证实现——支持SCMS软件版本1.1的EE要求和规范”车辆安全通信联盟,技术报告,2016年5月(可获得:https:f/www.its.dot.gov/pilots/pdf/SCMS_POC_EE_Requirements.pdf))中被详细描述,两者均通过引用并入本文。
车辆或其他对象110可以例如通过使用GPS卫星1170或蜂窝三角测量来获得其位置。车辆110V还可以包括通信设备150W,在一些实施例中,通信设备150W可以包括直接短程通信(DSRC)无线电和非DSRC无线电设备,诸如移动电话。因此,车辆可以直接通过蜂窝系统或路边设备(RSE)110RSE进行通信,即,无需中间网络交换机。RSE可以充当到其他网络(例如,互联网)的网关。使用通信设备150W,车辆110可以将BSM消息和其他信息传送给V2X或连接的车辆环境中的其他车辆、实体或对象110。因此,车辆110V/150可以在场景308处将结冰路块通知环境中的其他部分。类似地,另一车辆110可以位于场景1020中,并且可以在该场景向其他车辆警告冬季维护操作。
交通管理系统110L可以包括设备——例如,位于道路、高速公路、人行横道等中或附近的信号灯、人行横道灯等——以管理或控制车辆、人员或其他对象和实体的交通。交通管理系统110L可以包括与车辆110V相同或相似的设备中的一些,包括计算装置150、传感器、用户界面、通信设备等。
计算机系统316处理、聚合、生成或以其他方式对发送至V2X或连接的车辆技术环境中的车辆110V、交通管理系统110L和其他对象或实体110以及它们相应的计算装置150或从所述车辆110V、交通管理系统110L和其他对象或实体110以及它们相应的计算装置150接收的信息进行操作。还示出了旅行者信息系统318。计算机系统316可以被实现或并入例如一个或多个服务器。这些计算机系统316例如提供或支持位置和地图信息、驾驶指令、交通警报和警告、关于路边服务的信息(例如,加油站、饭店、旅馆等)。计算机系统316可以从环境中的各种车辆、实体和对象110接收信息,对其进行处理并在整个环境中传送信息或指令,以例如通过调整交通灯上的信令、改变交通路线、发布警报或警告等来管理对象。
连接的车辆或V2X技术环境中的这种通信能力可能容易出错和滥用。恶意用户110(例如,车辆操作者或交通管理者)和/或有缺陷的设备150可能向其他车辆发送错误或不正确的信息,从而不利地影响交通。为了避免这种不当行为,应该例如使用公共密钥基础设施(PKI)对通信进行认证。在PKI中,每个车辆110V或其他设备被提供有私有密钥(例如,用于签名消息)和公共密钥(例如,用于签名验证)。公共密钥已分发给公众,但私有密钥保持保密。
图4、图5A和图5B示出了可用于连接的车辆或V2X技术环境中的消息认证的数字证书的示例。参照图4,示出了数字证书160。
数字证书160具有多个字段或参数。在一些实施例中,这些包括证书ID 161、用户ID 162(例如,车辆ID号或用户的电子邮件地址)、车辆(或用户)的公共密钥164以及可能地其他参数(称为元数据),诸如证书的有效期165,签名方案的标识以及其他。证书160还包括由证书机构(CA)在证书的除签名本身之外的所有字段上形成的签名166。例如,CA可以驻留在计算机316上或在计算机316中实现。
可以将数字证书160发布给车辆110V以认证公共密钥164。车辆110V将其证书160附加到车辆发送的每个消息170上。消息170包括消息正文或内容171,以及车辆使用其私有密钥生成的数字签名172。消息接收者使用CA的公共密钥来验证签名166,从而认证包括公共密钥164的证书160。然后,接收者使用公共密钥164来验证消息签名172,从而对消息进行认证。在一些实施例中,证书的签名166和消息签名172的验证也可以被组合(例如,为了更好的性能)。
如果车辆行为不当(恶意或由于故障),则其证书160可以被撤销。例如,CA将在有效期165到期后不再发布新证书。消息接收器可以使用有效期165来检测到期的证书。
该方案的缺点是潜在地损害用户隐私:如果拦截了车辆的传输,则可以通过跟踪由车辆传输的证书ID 161或用户ID 162来跟踪车辆。为了保护用户隐私,可以向用户颁发多个具有随机查找串(“假名(pseudonyms)”)164而不是ID 161和162的假名证书160p(图5A)。然后,车辆在消息传输中使用假名证书而不是证书160。车辆可以针对不同的消息170自动使用不同的假名证书160p,以避免跟踪。
图5A示出了伴随消息170的假名证书160p。该证书由假名证书机构(PCA)生成。也表示为U的假名164充当证书ID和公共密钥两者。与图4的证书160相似,证书160p可以包括有效期165、签名方案的标识、PCA签名167以及可能是其他参数。假名证书160p还包括如下面所述的用于证书撤销的链接值(lv)234。
车辆将其假名证书160p之一附加到车辆发送的每个消息170上。消息接收者使用PCA的公共密钥来验证PCA签名167,并使用假名164来验证消息签名172,从而对消息170进行认证。在一些实施例中,证书的签名167和消息签名172的验证可以被组合(例如,以获得更好的性能)。最初由Whyte等人提出并且后来由CAMP进行了扩展,这种假名证书用于安全性凭证管理系统(SCMS)中。
在称为“隐式证书”的变体(图5B)中,代替公共密钥U,假名字段164是表示为V的“凭证”数据(或“公共密钥重构”数据),允许具有PCA的公共密钥的任何人取得证书的公共密钥U(U未存储在证书160p中)。例如,参见“Certicom.Sec 4 v1.0:Elliptic curve Qu-Vanstone implicit certificate scheme(ECQV).Technical report,CerticomResearch,2013.http://www.secg.org/sec4-1.0.pdf(Certicom公司,第4v1.0节:椭圆曲线Qu-Vanstone隐式证书方案(ECQV),技术报告,Certicom研究,2013年,http://www.secg.org/sec4-1.0.pdf)”(以下简称“Certicom”),其通过引用合并于此。
当消息接收者需要验证消息签名172时,消息接收者首先根据假名164(V)和PCA公共密钥来重建用户的公共密钥U,然后使用用户的公共密钥U来验证签名。由于此过程使用PCA公共密钥,因此此过程不仅将消息170认证为来自拥有证书160p的用户,而且还将证书160p验证为由PCA 210认证。因此,不需要单独的PCA签名167,并且将其省略,减小证书的大小。参见Certicom。
安全性凭证管理系统(SCMS)
安全性凭证管理系统(SCMS)是用于V2X的各种基于假名的安全性解决方案中最著名的系统之一。实际上,SCMS目前被认为是用于保护美国中的V2X——车辆对车辆(V2V)和车辆对基础设施(V2I)——通信的领先的车辆公共密钥基础设施(VPKI)候选设计之一。SCMS处理可撤销的隐私,同时防止任何给定的证书管理实体通过该实体本身来跟踪装置110/150,即,无需与其他系统实体串通。通过这样做,它可以满足V2X的安全性需求,同时巧妙地解决威胁模型,在该模型中系统的实体可以被视为“诚实但好奇”,即,它们遵循正确的协议,但可以尝试跟踪车辆如果这可以以不可检测的方式来完成的话,如在Khodaei etal.,“The key to intelligent transportation:Identity and credential managementin vehicular communication systems,”IEEE Vehicular Technology Magazine,vol.10,no.4,pp.63-69,Dec 2015(Khodaei等人,“智能交通的关键:车辆通信系统中的身份和凭证管理”,IEEE车辆技术杂志,2015年12月,第10卷,第4期,第63-69页)中所述,其通过引用合并于此。
通用标号
为了方便起见,表I包括在本公开中针对包括V2X、连接的车辆和/或SCMS的相关环境所采用的符号和通用标号的列表。
表I.符号
标号str1||str2用于表示位串str1和str2的拼接。标号enc(key,str)表示使用密钥key对位串str进行加密,这可以使用标准块密码来完成,诸如高级加密标准(AES),如NIST,Federal Information Processing Standard(FIPS I97)–Advanced EncryptionStandard(AES),National Institute of Standards and Technology,U.S.Departmentof Commerce,Gaithersburg,MD,USA,November 2001,available:http://csrc.nist.gov/ publications/fips/fips197/fips-l97.pdf(NIST联邦信息处理标准(FIPS I97)——高级加密标准(AES),美国商务部国家标准与技术研究院,美国马里兰州盖瑟斯堡,2001年11月,网址:http://csrc.nist.gov/publications/fips/fips197//fips-l97.pdf)中所述。类似地,标号hash(str)表示使用诸如SHA 2或SHA 3的某些标准哈希函数的str的哈希,如NIST,Federal Information Processing Standard(FIPS 180-4)–Secure Hash Standard(SHS),National Institute of Standards and Technology,U.S.Department ofCommerce,Gaithersburg,MD,USA,August 2015,DOI:l0.6028/NIST.FlPS.180-4,andNIST,Federal Information Processing Standard(FIPS 202)-SHA-3 Standard:Permutation-Based Hash and Extendable-Output Functions,National Institute ofStandards and Technology,U.S.Department of Commerce,Gaithersburg,MD,USA,August 2015,DOI:10.6028/NIST.FlPS.202(NIST联邦信息处理标准(FIPS 180-4)——安全哈希标准(SHS),美国商务部国家标准与技术研究院,美国马里兰州盖瑟斯堡,2015年8月,DOI:l0.6028/NIST.FlPS.180-4,以及NIST联邦信息处理标准(FIPS 202)——SHA-3标准:基于置换的哈希和可扩展输出函数,美国商务部国家标准与技术研究院,美国马里兰州盖瑟斯堡,2015年8月,DOI:10.6028/NIST.FlPS.202)所更详细描述的,二者均通过引用合并于此。
按照字节的给定串str的长度表示为|str|。我们用G表示椭圆曲线组的生成器点(附加地写),表示为“GE”。
在SCMS中,每个装置(110/150)接收两种类型的证书:登记证书160,其具有长到期时间T并标识系统中的有效装置;多个假名证书160p,其每一个均具有短有效性(例如几天),这样使得σ≥1个假名证书可以同时有效。为了保护其隐私,特定车辆可能会随后频繁更改车辆通信中使用的假名证书,从而避免了附近车辆或路边单元的跟踪。在实践中,将σ的值限制为小的值是很有用的,以避免“类似sybil”的攻击(如在Douceur,“The Sybilattack,”Proceedings of 1st International Workshop on Peer-to-Peer Systems(IPTPS).Springer,January 2002(available:https://www.microsoft.com/en-us/ research/publication/the-sybil-attack/)(Douceur“Sybil攻击”,第1届国际对等系统研讨会(IPTPS)论文集,施普林格,2002年1月(网址:https://www.microsoft.com/en-us/research/publication/the-sybil-attack/))中所详细描述的,其通过引用合并于此),其中一个车辆摆成排,旨在通过系统获得一些优势(参见Moalla et al.,“Risk analysisstudy of ITS communication architecture,”3rd International Conference and TheNetwork of the Future,2012,pp.2036-2040(Moalla等人“ITS通信架构的风险分析研究”,第三届国际会议和未来网络,2012年,第2036-2040页),其通过引用合并于此)。例如,这样的伪造的排可能最终会受到来自交通灯的优先对待,该交通信号灯被编程为对拥堵的道路给予更高的优先级。
示例SCMS架构
图6示出了用于SCMS的示例性计算机系统架构环境。SCMS被设计为允许以有效的方式向车辆分发多个假名证书,同时提供了可以在它们的所有者不当行为的情况下容易地撤销它们的机制。
在SCMS中,注册机构(RA)220向授权的车辆或对象110/150提供假名证书160p的批。在蝴蝶密钥扩展过程中,根据从车辆接收到的单个请求来生成批。RA 220通过车辆的登记证书160验证车辆请求。除了登记证书之外,每个请求还包括由车辆为假名证书提供过程生成的一些公共密钥(不是164)。这些公共密钥在下面讨论的图7中被标记为710。然后,RA220在将属于不同用户的密钥710单独发送给假名证书机构(PCA)210之前将其混洗(shuffle)在一起。这样,PCA 210无法将请求的组链接到同一对象110/装置150。PCA 210依次创建有效证书160p,并在将其递送给RA以转发到装置110/150之前对其进行加密和签名。由于证书160p已加密,因此RA无法将假名证书160p链接到装置110/150。除非PCA和RA串通,否则它们无法将证书160p链接到其所有者110/150。
链接机构(LA)230,或者更确切地说是链接机构LA1和LA2——也标记为230.1和230.2——生成类随机的位串,这些位串被组合以创建添加到假名证书160p的链接值(图5A、5B中的lv 234),使得可以有效地撤销假名证书。对于不同的假名证书,lv值是不同的,但是对于给定的登记证书160,它们可以链接在一起。参见例如,2017年9月21日提交的美国专利申请no.62/561,667,其通过引用合并于此;2018年9月20日提交的美国专利申请no.16/136,621,其通过引用合并于此;和Marcos A.Simplicio Jr.et al.,“A privacy-preserving method for temporarily linking/revoking pseudonym certificates invehicular networks”,https://eprint.iacr.org/2018/185.pdf,2018(MarcosA.Simplicio Jr.等人的“一种用于在车辆网络中临时链接/撤销假名证书的隐私保护方法”,https://eprint.iacr.org/2018/185.pdf,2018年),其通过引用合并于此。
不当行为机构(MA)250获得行为不当的装置的证书160p,并使用该证书的lv 234和从RA和PCA获得的数据来撤销同一装置的所有证书160p。
在一些实施例中,RA 220、PCA 210、LA 230和MA 250中的每一个可以与一个或多个计算装置(例如,计算装置150或计算机系统316)一起实现或并入其中。
SCMS的蝴蝶密钥扩展
SMCS中的假名鉴证提供过程为装置110提供了一种有效的机制以用于装置利用小型的请求消息获得任意大的(短期)证书160p的批。图7中说明了该过程。首先,请求装置110/150生成两个“毛毛虫”私有/公共密钥对710:
(s,S=s·G)和(e,E=e·G)
私有密钥s和e应是随机的。密钥是使用椭圆曲线密码学生成的。密钥(s,S)涉及假名164(图5A,5B)的生成,并且被称为“签名密钥”,因为如上所述,假名164经由签名验证被用于消息认证。密钥(e,E)与如下所述的被执行以对RA隐藏假名的假名证书加密有关;这些密钥称为“加密密钥”。
在步骤810,装置110请求RA生成一些预定数量β的假名证书160p。发送到RA的请求包括公共毛毛虫密钥S和E,如710所示。除了密钥710,该请求还包括定义两个合适的伪随机函数(PRF)714的数据,表示为fs和fe(在一些实施例中,函数定义的数据可能是这些函数的种子;可以从种子计算函数的输出;可替代地,尽管效率较低,函数定义的数据可以包括PRF的整个描述,包括针对PRF的计算算法的描述)。
RA可以从不同的装置110接收这样的请求,并且如下为每个装置生成β个假名证书160p。对于每个请求,RA在步骤814使用对应的密钥S和E来生成公共茧密钥718。具体地,在步骤814,密钥S用于生成β个公共茧签名密钥:
对于所有i,使得0≤i<β。类似地,在同一步骤814,RA使用密钥E来生成β个公共茧加密密钥:
然后通过RA 220将来自不同装置110的茧密钥对718,即,一起混洗(步骤818),然后将其单独或成批发送给PCA 210,以生成对应的假名证书160p。每个茧密钥对都伴随对应的元数据,诸如有效期165和链接值(lv)234的计算所需的数据,参见图4、图5A、图5B。
对于每个茧密钥对PCA可以使用图7的方法创建显式假名证书160p(图5A),或如图8所示进行隐式鉴证过程(图5B和Certicom)。显式或隐式证书160p由PCA加密并发送到RA(图7、图8中的步骤900)。RA对假名证书进行“取消混洗”,并将每个假名证书发送到对应的(关联的)装置110。每个装置的β个假名证书被成批发送到该装置。
对于显式过程(图5A、图7),PCA在步骤822中计算随机值ri,并根据以下等式(Eq.1)生成证书的公共签名密钥(假名)164:
在步骤826,PCA通过以下方式形成也被示出为certi的证书160p:(1)将Ui与元数据组合,元数据例如是证书的有效期165和链接值(lv)234;以及(2)对该组合进行数字签名以形成签名167(图5A)。
然后,PCA使用对应的茧密钥将证书160p连同ri的值一起加密(步骤830)。PCA使用PCA的私有签名密钥再次对加密包(证书160p和值ri)进行签名(步骤834)。在730示出签名。
结果,即,加密并签名的包,被发送到RA(步骤900)。RA将结果转发给请求装置110。
仅请求装置110可以解密该值:
(参见步骤834)因为只有请求装置110知道对应于茧密钥的私有密钥。此私有密钥由以下等式(Eq.2)给出:
因此,仅装置110可以知悉假名Ui(作为证书160p的部分)并计算对应的私有签名密钥:
ui=s十ri十fs(i) (Eq.3)
装置110还可以通过检查以下来验证签名密钥ui,Ui
Ui=ui·G (Eq.4)
如下所述,装置110还验证PCA签名730以防止RA进行中间人攻击。
对于隐式证书160p,该过程如下(见图8)。茧密钥生成(步骤810、814、818)与显式证书相同。然后在步骤822,PCA计算随机ri,并计算凭证164:
然后在步骤826,PCA将也表示为certi的隐式证书160p创建为:
certi=(Vi,meta)
certi=Vi||meta
其中“meta”是元数据(包括有效期165等)。
同样在步骤826,PCA对该证书进行签名以获得签名sigi如下:
sigi=hi·ri+uPCA (Eq.6)
其中hi=Hash(certi),而uPCA是PCA的私有签名密钥。
证书生成的其余步骤类似于图7。具体地,PCA使用对应的茧密钥将证书160p与sigi的签名值一起加密(步骤830)。PCA使用PCA的私有签名密钥对加密的包(证书160p和值sigi)进行签名(步骤834)。在730处示出了签名。在步骤900,将结果(加密的结构和签名730)经由RA 220发送到请求装置110。
装置110验证PCA签名730,对包certi||sigi进行解密,并计算:
hi=Hash(certi) (Eq.7)
然后,装置110将其自己的私有签名密钥设置为:
ui=hi·(s+fs(i))+sigi (Eq.8)
而对应的公共签名密钥采用以下形式:
Ui=ui·G (Eq.9)
然后,装置110可以通过确定以下来验证公共密钥Ui的有效性:
Ui=hi·Vi+UPCA (Eq.10)
其中,UPCA是与uPCA相对应的PCA的公共签名密钥。
在图7和图8的步骤834,无论采用哪种证书模型,都使用PCA的自己的私有签名密钥uPCA对加密的PCA响应进行签名,旨在防止“诚实但好奇”的RA参与中间人(MitM)攻击。即,在没有该签名730的情况下,可以如下执行RA的MitM攻击:(1)在步骤818,RA向PCA发送伪造的针对任意的z值的茧加密密钥而不是(2)在步骤900,RA使用z解密PCA的响应,知悉假名Ui(图7)或Vi(图8);以及(3)RA用正确的重新加密证书,并将结果发送到装置,该装置照常利用协议继续下去。但是,如果PCA生成签名730,并且装置110在RA的响应上验证签名730,则攻击将失败,因为RA无法为步骤(3)中生成的重新加密的证书提供有效的签名730。
与采用的证书类型(显式或隐式)无关,在此过程中,只要RA和PCA不串通,就可以保护用户的隐私。毕竟,由RA执行的公共茧密钥的混洗(步骤818)阻止了PCA知悉任何密钥718是否属于同一装置。进而,还获得了公共密钥Ui(图7)或Vi(图8)与RA的装置的不可链接性,因为后者不知悉PCA使用ri随机化的Ui或Vi的值。
尽管非常有效,特别是从装置110的角度来看,但可以进一步优化此过程。具体地,在一些实施例中,如本文中进一步讨论的,在处理成本和带宽使用方面改进了原始SMCS证书提供协议。
统一的蝴蝶密钥扩展过程
在图7和图8中,蝴蝶密钥扩展(步骤814)在假名鉴证提供过程中由RA执行两次:一次用于签名密钥一次用于加密密钥结果,装置110需要在步骤810向RA发送两个毛毛虫密钥(S和E)以及对应的伪随机函数(fs和fe),以用于计算对应的茧密钥(其中0≤i<β)。另外,PCA不仅对证书进行加密(步骤830),而且对所得的加密包进行签名(步骤834),以避免被RA操纵。该额外签名导致在多个地方的附加开销:在PCA上,用于额外签名730的计算和传输;在RA上,用于其接收和重传;以及在终端装置110上,除了验证证书的签名本身((Eq.4)或(Eq.10))之外,用于签名的接收和验证。
根据本发明的一些实施例,毛毛虫密钥的生成和使用可以以统一的方式进行,从而导致更好的效率而不会损失安全性或功能性。
显式证书过程的示例
在图9A和图9B中描绘了本发明的一个实施例。首先(步骤904),请求装置110仅生成单个毛毛虫私有/公共密钥对710:(x,X=x·G).。与SCMS中一样,私有密钥x应该随机生成。公共密钥X将由PCA用于加密证书160p,并在由PCA随机化之后用于创建将如下所述包含在证书中的公共密钥或假名164(步骤824)。
在步骤810,装置110请求RA生成预定数量β的一些假名证书160p。由装置发送到RA的装置请求包括唯一的ID(“装置请求ID”)、唯一的装置ID、公共统一毛毛虫密钥X和定义简单地示为f的合适的伪随机函数(PRF)714的数据。函数f可以与SCMS中的fs或fe相同。装置将每个装置请求的副本存储在其存储器中。
在步骤814,RA为每个装置生成β个公共统一茧签名密钥(类似于SCMS):
在步骤818,RA混洗用于不同装置的这些茧密钥,并且对于每个茧密钥RA向PCA210发送针对假名证书160p的(“RA请求”)。来自不同装置110的RA请求可以被成批发送至PCA,但这不是必需的。
对于每个RA请求,RA生成唯一的请求ID(“RA请求ID”),并创建包含RA请求ID、茧密钥索引i(参见(Eq.11))以及相关联的装置请求的数据结构(“RA请求数据结构”)。RA请求ID随请求一起提供给PCA。装置ID未提供给PCA,因此PCA无法将请求与装置相关联。另外,PCA无法确定不同的请求是否与相同或不同的装置相关联。
对于每个茧密钥PCA可以创建显式或隐式假名证书160p。图9A、9B示出了用于显式证书的过程。无论哪种情况,显式或隐式证书160p稍后都将由PCA加密并发送到RA(步骤900)。每个加密的假名证书将伴随请求ID,从而允许RA对假名证书进行“取消混洗”,即,将每个加密包与装置相关联,并将加密包发送到相关联的装置。可选地,可以将每个装置的β个假名证书成批发送到该装置。
对于显式证书,在步骤822,PCA生成随机值ri,并生成证书的公共签名密钥(假名)164作为茧密钥的随机化函数,即,作为和ri的函数。例如,可以使用以下等式(Eq.12)、(Eq.12’)中的任意一个:
同样(步骤824),PCA生成公共茧加密密钥在一些实施例中,将设置为等于
的其他表达式也可以使用。例如:
其余步骤可以或可以不类似于图7,但是可以省略PCA签名730的生成。具体地,在一些实施例中,在步骤826,PCA通过以下来形成被示出为certi的证书160p:(1)将Ui与元数据组合,该元数据例如是证书的有效期165和链接值(lv)234;(2)对该组合进行数字签名以形成签名167(图5A)。
在步骤830,PCA对包括证书160p和值ri(可能由证书160p和值ri组成)的包进行加密。加密使用对应的茧密钥一种示例性的加密方案是ECIES;参见IEEE,IEEE StandardSpecifications for Public-Key Cryptography–Amendment 1:Additional Techniques,IEEE Computer Society,2004(IEEE,IEEE公共密钥密码技术标准规范——修改1:附加技术,IEEE计算机学会,2004),其通过引用合并于此。也可以使用其他加密方案。
结果,即,加密包,连同在步骤818由PCA接收的RA请求ID一起被发送到RA(步骤900)。如上所述,省略了签名730。RA无法解密包。
RA对从PCA接收的数据进行“取消混洗”。为了执行该操作,RA将伴随每个加密的包的RA请求ID与存储在RA的存储器中的RA请求ID进行匹配(步骤818)。RA将用于每个装置的加密包转发给该装置110(步骤910)。RA将定义相关联的茧密钥的对应i值与每个加密的包一起发送到该装置;参见等式(Eq.11)。RA从与RA请求相关联的装置请求中获得i值。
在步骤914,对于每个证书160p,相关联的装置110计算与加密(茧)密钥相对应的解密密钥如果被设置为等于(等式(Eq.13)),则:
在等式(Eq.13’)的情况下:
使用与用于等式(Eq.13’)的相同的哈希函数“hash”。
装置110使用解密密钥对包进行解密,从而恢复证书160p和对应的ri。该解密密钥起作用,因为在等式(Eq.13)、(Eq.14)的情况下,加密公共密钥是:
在等式(Eq.13’)、(Eq.14’)的情况下,解密起作用,因为加密公共密钥为:
在步骤918,装置使用PCA的公共签名密钥UPCA来验证PCA签名167。
在步骤922,装置计算其对应于Ui的私有签名密钥ui。如果如等式(Eq.12)中那样计算Ui,则私有签名密钥创建为:
ui=ri+x+f(i) (Eq.15)
如果使用等式(Eq.12’),则私有签名密钥创建为:
ui=ri·(x+f(i)) (Eq.15’)
参见(Eq.12)。在步骤924,装置验证
ui·G=Ui (Eq.16)
如果以上检查或验证中的任何一个失败,则装置可以拒绝证书160p和/或该批中的所有证书。该装置还可以将该错误通知有关机构(例如,行为不当机构250),以便在出现故障或不诚实的RA或PCA时触发维护和/或安全性操作。
安全性分析:虽然此过程不包括签名730计算,但此过程仍可防止RA进行中间人攻击。原因是PCA以如下方式从计算加密密钥(步骤824,等式(Eq.13)或(Eq.13’)):当验证公共密钥Ui(步骤922、924)时装置可以检测到RA的任何操纵。更具体地,例如假设PCA使用等式(Eq.13),并且,对于任意的z的值,恶意RA将的正确值替换为
在这种情况下,在步骤830,PCA将使用(步骤824,等式(Eq.13))对证书进行加密,从而允许RA通过解密密钥的方式对PCA的响应进行解密,从而知悉装置的(在步骤822处创建的)最终公共密钥但是,如果RA修改了证书160p,尤其是假名Ui *,因为如果证书被修改,RA无法伪造PCA签名167,则装置将在步骤918检测到不正确的签名167。因此,在对证书进行重新加密之前,RA必须找到与Ui *匹配的值例如,在等式(Eq.12)的情况下,值将必须满足:
因此可以替换PCA在RA到装置响应中提供的原始ri。否则,装置将在步骤924处注意到所提供的的值不满足Eq.16,即
该验证将失败,并且装置会将对应密钥识别为无效,从而使攻击难以进行。对于恶意RA不幸的是,这意味着必须将设置为:
这等效于求解点的椭圆曲线离散对数问题(ECDLP)。实际上,由于f(i)是RA已知的、z可以由其自由选择并且ri由于攻击而被知悉,因此此问题可以被简化到给定车辆提供的X的值来找到x,这仍然是一个ECDLP实例。因此,假设ECDLP的计算难度,攻击本身变得对于密码安全的椭圆曲线在计算上不可行。
请注意,RA可能更愿意通过操纵而不是(或除了)尝试找到有效的来满足等式(Eq.18),但这在建议的方案中是不可能的:毕竟,由PCA签名,因此任何对其完整性的侵犯都可以被终端装置检测到。
性能分析:与原始过程相比,除了保留SCMS的安全性属性外,这种统一的蝴蝶密钥扩展还减少了开销:
装置110:由于发送到RA的请求包括单个茧公共密钥(X)和伪随机函数(f),而不是如图7或图8所示的两个密钥和函数,因此该过程涉及的处理和带宽成本降低了一半。而且,在步骤900接收的证书包较小,因为它们省略了PCA签名730。最后,用于验证所接收的证书的处理成本很可能随着去除签名730的验证而减少。原因是验证Ui以避免RA进行MitM攻击(等式(Eq.16))采用单个椭圆曲线(EC)乘法,比验证签名730通常涉及的椭圆曲线少。
RA:它仅对签名密钥执行蝴蝶密钥扩展,从而导致一半的处理开销。忽略辅助元数据,当将请求转发到PCA(步骤818)时,带宽使用类似地减少,这涉及单个茧密钥和伪随机函数而不是两个。最后,由于在加密包上不存在签名730,因此PCA的响应(步骤900)较小。
PCA:每个证书发布涉及单个签名(167)而不是两个(因为省略了签名730),从而降低了处理成本。由于RA的请求较小(它们不包括单独的)并且PCA的响应也如此(由于省略了签名730),因此也节省了入站和出站带宽。
为了给出一些具体数字,图10示出了一个表,该表将建议的过程的估计成本与CAMP中描述的原始SCMS进行了比较,假设算法由此推荐:用于签名生成/验证的ECDSA和用于非对称加密/解密的ECIES。两种算法都配置为提供128位的安全性级别。为完整起见,在测量车辆批验证的处理成本时,我们考虑ECDSA的两个不同设置:标准实施方式(标记为“RP”),其中ECDSA验证过程基本上采用与发生器G的一个固定点EC乘法和与PCA的签名密钥UPCA的一个随机点乘法;优化的实施方式(标记为“FP”),其中UPCA也被视为固定点(即,经由预先计算可以使此运算更快)。使用运行在英特尔i5 4570处理器上的RELIC密码学库,可以按周期测量性能成本。RELIC在D.F.Aranha and C.P.L.Gouvêa,“RELIC is an EfficientLIbrary for Cryptography,”https://github.com/relic-toolkit/relic(D.F.Aranha和C.P.L.Gouvêa“RELIC是密码学的高效库”,https://github.com/relic-toolkit/relic)中被描述,其通过引用合并于此。带宽成本以字节为单位被测量,忽略了不与蝴蝶密钥扩展过程严格相关的最终元数据(例如,预链接值、证书应与之关联的时间段等)。
隐式证书过程的示例
本发明不限于图9A、图9B的实施例。例如,可以使用隐式证书。图11A、图11B示出了隐式证书方案。步骤904、810、814、818如图9A和图9B中那样。然后在步骤822,PCA计算随机ri,并计算凭证164:
在步骤824,PCA可能例如根据等式(Eq.13)或(Eq.13’)使用与用于显式证书的过程相同的过程来生成公共茧加密密钥
在步骤826,PCA将也表示为certi的隐式证书160p创建为:
certi=(Vi,meta)
certi=Vi||meta
其中“meta”是元数据(包括有效期165等)。
同样在步骤826,PCA对该证书进行签名以获得签名sigi如下:
sigi=hi·ri+uPCA
其中hi=Hash(certi)。
在步骤830,PCA对包括证书160p和签名sigi(可能由证书160p和签名sigi组成)的包进行加密。加密使用对应的茧密钥示例性加密方案是ECIES,但是也可以使用其他方案。
在步骤900和910,使用与在图9A、图9B中那样的过程和数据结构(包括RA请求数据结构),加密包经由RA 220被发送到请求装置110,可能无需被PCA签名(省略签名730)。RA无法解密该包。
在步骤914,装置110接收加密的包和对应的值i,如等式(Eq.14)或(Eq.14’)那样计算私有密钥使用该密钥来解密PCA的响应包certi||sigi,然后计算:
hi=Hash(certi)
在步骤922,装置将其自己的私有签名密钥设置为:
ui=hi·(x+f(i))+sigi
并在步骤923将对应的公共签名密钥计算为:
Ui=ui·G
然后,在步骤924,装置110可以通过确定以下来验证公共密钥Ui的有效性:
Ui=hi·Vi+UPCA
其中UPCA是PCA的公共签名密钥。
图12示出了具有SCMS算法和上述一些实施例的表格。在1210示出了SCMS显式证书生成。在1214示出了SCMS隐式证书生成。在1230示出了根据本发明一些实施例的显式证书生成。在1234示出了根据本发明一些实施例的隐式证书生成。使用以下标号:
“pkg”表示由PCA执行的加密步骤830的输出。“res”表示相同的输出,但由PCA签名以形成签名730;即“res”是SCMS中步骤834的输出;
在最后一列中,“Ver”表示由装置110执行的签名验证;
Up和up分别是PCA的公共密钥和私有密钥。
本发明的一些实施例的其他特征在Marcos A.Simplicio Jr.et.al.,“TheUnified Butterfly Effect:Efficient Security Credential Management System forVehicular Communications”,2018,Cryptology ePrint Archive:Report 2018/089,https://eprint.iacr.org/2018/089.pdf(Marcos A.Simplicio Jr.等人“统一蝴蝶效应:用于车辆通信的高效安全性凭证管理系统”,2018年,密码学电子预印本:报告2018/089,https://eprint.iacr.org/2018/089.pdf)中被描述,其通过引用合并于此。
安全性与性能
所提出的方案的总体安全性在与原始SCMS蝴蝶密钥扩展相同的原理上构建。即,对毛毛虫签名密钥和茧签名密钥的生成和使用是由PCA和RA进行的与SCMS中的相同。因此,SCMS的安全性论证主要取决于以下事实:在协议的整个执行过程中,装置的私有毛毛虫密钥x(s或e)受椭圆曲线离散对数问题(ECDLP,在下面的定义1中给出)保护,保持有效。因此,即使RA和PCA串通,RA和PCA都无法恢复从毛毛虫密钥取得的签名或解密私有密钥。证书之间的不可链接性被类似地保留,只要RA和PCA不串通:RA进行的混洗(步骤818)仍然对PCA隐藏了欲用于同一车辆110的证书请求(RA请求)之间的任何关系;同时,PCA的加密响应会阻止除解密密钥所有者110之外的任何人知悉certi
定义1.椭圆曲线离散对数问题(ECDLP)。令E为有限域K上的椭圆曲线。假设给定E(K)中的点P、Q,使得Q在<P>(即,包含P的最小子组)中。确定k,使得Q=k·P(参见KristinE.Lauter and Katherine E.Stange,“The elliptic curve discrete logarithmproblem and equivalent hard problems for elliptic divisibility sequences”,International Workshop on Selected Areas in Cryptography,pages 309–327,Springer,2008(Kristin E.Lauter和Katherine E.Stange“椭圆曲线离散对数问题和椭圆可分序列的等效难解问题”,密码学选定区域国际研讨会,第309–327页,施普林格,2008年),其通过引用合并于此)。
统一密钥方法为SCMS引入了两个变化:(1)它修改了计算茧加密密钥的方式,以及(2)它消除了加密包上PCA的签名730。第一个修改可能会影响通信的机密性,从而允许RA知悉certi。同时,由于PCA在其响应上做出的最终签名旨在确保系统抗RA的MitM攻击的安全性,因此第二个修改可能会导致该方面的漏洞。但是,在接下来的内容中,我们示出了在假定ECDLP的难度的情况下,统一的密钥方法仍然保护假名证书的内容并防止MitM攻击。更确切地说,我们示出了解密用加密的PCA的响应的问题可以简化为ECDLP的实例。
相同的计算难度适用于MitM攻击,对此我们示出,以如下方式处置PCA的响应:在验证公共密钥Ui时,无论是显式地还是隐式地,装置都可以检测到RA的任何操纵。
假名证书的机密性
在SCMS中,用公共加密密钥对响应包进行加密的目的是防止RA知悉其内容。这通过使用被简单地完成,的对应的私有密钥仍然对RA而言是未知的。然后,提出的统一方法在以下观察上构建:加密和签名私有密钥都需要在SCMS中保持受保护,如果将它们组合成单条信息,这仍然可以做到。确实,可以从以下定理1中看出直接使用(即,)作为加密密钥的安全性。
定理1.统一蝴蝶密钥扩展的安全性抗由RA进行的窃听:假设RA遵循诚实但好奇的安全性模型,向PCA发送正确的在这种情况下,除非RA能够解决多项式时间内的椭圆曲线离散对数问题(ECDLP)的实例,否则RA无法在多项式时间内恢复PCA的加密响应pkg的内容。
证明.证明很简单:如果加密是使用安全算法执行的,则不应有允许解密而无需知道的多项式时间算法,也不应有允许从pkg中恢复此密钥的多项式时间算法。因此,违反方案的机密性需要从X或恢复毕竟,除了pkg本身之外,这些是RA拥有的携带与解密密钥的某种关系的仅有的信息。但是,由于其中RA知道f(i),因此此任务等效于从X查找x,即,求从ECDLP中求解X。
隐式模型中安全性抗由RA进行的MitM攻击
紧接在上面获得的安全性结果假定RA遵循统一的密钥扩展协议,从而向PCA提供正确的但是,RA可能更喜欢将该密钥替换为针对任意的z的值的在这种情况下,过程的机密性将会丢失,因为PCA会使用加密pkg,结果将由RA使用对应的私有密钥z解密。因此,我们还需要考虑此中间人场景的安全性,它是对先前假定的“诚实但好奇”场景的补充。我们对RA的(不当)行为不施加任何约束,令其自由选择只要该选择:(1)给RA带来一些好处,尤其是违反pkg的机密性或完整性的能力;以及(2)车辆110未检测到不当行为,因此车辆认为使用对于的证书是安全的。考虑到这种场景,我们可以制定定理2。
定理2.隐式模型中统一蝴蝶密钥扩展的安全性抗MitM攻击:假设RA在发送到PCA的对隐式证书的请求中用任意替换假设随机预言模型中ECDLP的难度,RA不会违反PCA的响应pkg的完整性或机密性而请求车辆不知道。
证明.我们首先注意到,pkg的内容的完整性被保护,尽管缺少关于其的PCA签名。确实,即使RA能够以某种方式违反pkg的机密性,它也只能获得(签名的)隐式证书certi。但是,隐式鉴证模型(Certicom,第3.4节)中并未将certi视为凭证,并且这种模型在假定ECDLP的难度的情况下还确保随机预言模型中certi的完整性。因此,隐式鉴证本身已经确保了对certi的任何修改,无论是直接地(即,在解密pkg之后)还是间接地(即,仅通过修改密文),都可以被车辆检测到。
然而,证明统一密钥扩展的机密性需要更多的努力,因为我们不能直接依赖隐式证书的安全性属性。再次,我们遵循简化论的方法,证明违反pkg的机密性需要解决ECDLP的实例。
假设恶意RA用针对任意的z的值的替换了正确的值该假设不失去一般性,因为原则上我们不会对RA选择的z的实际值施加任何限制。收到RA的请求后,由于无法检测到此类不当行为,因此PCA最终使用对隐式证书certi进行加密。结果,RA可以使用z作为解密密钥来解密PCA的响应,从而违反系统的机密性。这种攻击将允许RA知悉车辆的隐式证书其中以及其对应的签名sigi *=hi *·ri+uPCA,其中hi *=Hash(certi *)。
然而,由于对于任何z≠x+f(i),所得的sigi *不会是车辆期望的实际的有效签名,因此车辆可以检测到RA的这种不当行为。更准确地说,在车辆针对ui=hi *·(x+f(i))+sigi *计算Ui=ui·G之后,除非z=x+f(i),否则隐式验证失败:
假设hi *≠0
因此,为了能够绕过车辆的验证,RA不能仅选择任何z。相反,必须使z=x+f(i)。即使f(i)是RA已知的,找到允许计算具有此特性的z的x的值也等同于从ECDLP中求解X。
在显式模型中抗由RA进行的MitM攻击的安全性
如定理3中所概括的,用于显式证书的安全性论证与紧接在隐式模型的前一部分中呈现的安全性论证类似。
定理3.隐式模型中统一蝴蝶密钥扩展的安全性抗MitM攻击:假设RA在发送到PCA的对显式证书的请求中用任意替换假定ECDLP的难度,RA不会违反PCA的响应pkg的完整性或机密性而请求车辆不知道。
证明.再一次,很容易示出PCA的加密响应pkg中包含的显式证书certi在避免车辆检测的同时不能被修改。毕竟,certi本身是由PCA进行数字签名的,因此,假设使用安全算法进行其计算,则任何修改都会使签名无效。因此,即使RA某种程度上违反了pkg的机密性,那也可能允许修改ri的(未签名的)值,而不是对(签名的)certi的修改。但是,间接地,certi不易受影响性也确保了车辆将检测到对ri的可能修改。原因是当车辆计算ui=ri+x+f(i)并随后检查是否时,车辆会验证从certi获得的Ui值。由于x和f(i)被车辆已知(即,无法被RA操纵),并且Ui在证书中是固定的,因此将ri变成ri *≠ri会导致ui *=ri+x+f(i)≠ui并且因此导致ui *·G≠Ui。因此,没有pkg的内容会被修改而车辆检测不到。
假设此问题可以被简化到的ECDLP的难度,车辆执行的最终验证还确保了统一密钥扩展的机密性。为了证明这一点,我们再次不失一般性地假设恶意RA用针对任意选择的z值的替换了在这种情况下,RA使用z解密PCA的响应,然后知悉:(1)包含在证书中的装置的最终公共密钥以及(2)ri本身的值。
为了避免检测,RA随后将必须以如下方式重新加密PCA的响应:车辆不会注意到在计算接收的Ui *时未使用做到这样需要用通过了在车辆上执行的验证过程——即,满足(ri *+x+f(i))·G=Ui *——的某个ri *代替原始ri。否则,执行此最终验证的车辆会将接收到的Ui *识别为无效,从而使攻击难以进行。然而,对于RA而言不幸的是,这意味着ri *必须被设置为(ri+z)-(x+f(i)),这意味着找到这样的ri *等同于从ECDLP中求解点等效地,由于RA知道f(i)、z可以被其自由选择并且ri由于攻击而被知悉,因此可以将此问题简化为给定车辆提供的X的值来寻找x。尽管如此,这仍然是一个ECDLP实例,这得出此证明。
其他安全性方面
另外要说明的是,原始SCMS设计建议采用两个毛毛虫密钥,最可能是因为避免将相同(或甚至相关)的公共/私有密钥对用于加密和签名被认为是良好实践。此建议的主要原因是:在一个过程中存在的可能的弱点(例如,实现错误)可能会泄漏另一个过程的密钥。参见Jean-Sébastien Coron,Marc Joye,David Naccache,and Pascal Paillier,“Universal padding schemes for RSA”,In Proceedings of the 22Nd AnnualInternational Cryptology Conference on Advances in Cryptology,CRYPTO’02,pages226–241,London,UK,2002,Springer-Verlag(Jean-SébastienCoron,Marc Joye,DavidNaccache和Pascal Paillier“RSA的通用填充方案”,第22届密码学进展国际密码年会论文集,CRYPTO'02,第226-241页,英国伦敦,施普林格),其通过引用合并于此。因此,如果攻击者某种程度上可以以如下方式与车辆进行交互:(1)车辆充当一个过程的预言并且然后(2)恢复由此所使用的私有密钥,然后(3)也将泄漏其他过程的私有密钥。
乍一看,通过创建了既用于加密(通过PCA)又用于生成数字签名(通过车辆)的密钥这里描述的策略似乎违反了该一般规则。但是,在建议的方案中情况并非如此。原因是实际上与对应的私有密钥从未用于签名任何数据的段。相反,车辆在显式模型中使用作为签名密钥,在隐式模型中使用其中ri和sigi是仅由车辆和PCA知道的保密值。只要ri≠0(对于显式证书)和sigi≠0(对于隐式证书),就从除了PCA本身之外的所有实体的角度(如从随机生成的密钥所期望的)消除了加密和签名过程之间的任何可预测的相关性。有趣的是,这种方法遵循作为SCMS的基础的蝴蝶密钥扩展过程背后相同的思路:从相同的秘密信息(毛毛虫密钥)生成不同的签名茧密钥,但是这种相关性仅由车辆和系统实体(在这种情况下,RA)知道。因此,建议的修改可视为原始SCMS协议的自然发展。
最后,作为练习,考虑哪种类型的实现缺陷是危害所得系统的安全性所必需的很有用。我们首先注意到,即使签名密钥ui受到某种程度的损害,由于此缺陷而恢复也只可由PCA做到,因为它仍然是唯一知道与受损害Ui相关联的ri或sigi的实体。但是,PCA这样做不会获得任何好处,因为它已经知道使用密钥对保护的明文:毕竟,PCA是首先对该明文进行加密的。因此,唯一可能导致对UBK过程的有用攻击的实现问题是指加密密钥的破坏。这种攻击将需要捕获携带ri和sigi的PCA响应,因此可以恢复签名密钥ui并可以利用它伪造消息。但是,再一次,这只可由RA或PCA做到,而不能由外部实体做到。原因是在SCMS中,PCA-RA和RA车辆通信始终使用安全的(例如,基于TLS的)信道进行保护,因此RA和PCA是可访问PCA的响应的仅有的实体(除了车辆本身)。另一方面,RA和PCA不会通过进行此类攻击而获得很多(如果有的话),因为它们可以自己(即使没有串通)创建有效的证书并签名对应的消息。
性能分析
除了保留SCMS的安全性属性之外,与原始过程相比,这种统一的蝴蝶密钥扩展导致减少的开销:
车辆:由于发送给RA的请求包含单个茧公共密钥和单个PRF而不是两个,因此此过程涉及的处理和带宽成本降低了一半。收到的批也较小,因为每个包含证书的加密包都未签名(仅证书本身是签名的)。最后,由于消除了对加密包上的PCA的签名的验证,因此验证接收到的证书的处理成本要比SCMS中小。对于诸如ECDSA的其验证过程通常比签名消息更昂贵的数字签名方案而言,这尤其令人感兴趣。参见Daniel J.Bernstein,Niels Duif,Tanja Lange,Peter Schwabe,and Bo-Yin Yang,“High-speed high-securitysignatures”,In Cryptographic Hardware and Embedded Systems–CHES 2011,pages124–142,Berlin,Heidelberg,2011,Springer Berlin Heidelberg(Daniel J.Bernstein,Niels Duif,Tanja Lange,Peter Schwabe和Yang Bo-Yin,“高速高安全性签名”,密码硬件和嵌入式系统——CHES 2011,第124-142页,柏林,海德堡,2011年,施普林格·柏林·海德堡),其通过引用合并于此。
RA:它仅对签名密钥执行蝴蝶密钥扩展,从而导致一半的处理开销。忽略辅助元数据,当将请求转发到PCA时,这涉及单个茧密钥和单个PRF而不是每一个有两个,带宽使用会类似地减少。最后,由于加密包上不存在签名,PCA的响应也较小。
PCA:处理节省来自于发布的每个(隐式或显式)证书都采取单个签名而不是两个。由于RA的请求较小(它们不包括)并且PCA的响应也如此(少发送一个签名),因此也节省了入站和出站带宽。
为了给出一些具体数字,图13中的表将建议的过程的估计成本与CAMP中描述的原始SCMS进行了比较,假设算法由此推荐:ECDSA用于签名生成/验证并且ECIES用于非对称加密/解密。两种算法都配置为提供128位安全性级别。具体地,图13示出了在发布包括请求和响应的β个证书时,原始SCMS和所提出的解决方案之间的处理成本(按周期,以灰色背景示出)和通信成本(按字节)的比较。
带宽成本按字节测量,忽略了不与蝴蝶密钥扩展过程严格相关的最终元数据(例如,预链接值、证书应与之关联的时间段等)。使用运行在Intel i5 4570处理器上的RELIC密码学库版本0.4.1(请参阅Aranha等人),按周期来测量处理成本。为完整性起见,在测量由车辆进行的批验证的处理成本时,我们考虑了ECDSA的两种不同设置:标准实施方式,其中验证过程基本上是采用与生成器G的一个定点EC乘法和与PCA的签名密钥U的一个随机点乘法;优化的实施方式,其中U也被视为固定点。更准确地说,RELIC依赖于固定点EC乘法的预计算,使用w=8的固定comb方法。对于随机点乘法,RELIC被设置为使用蒙哥马利阶梯法,从而提供了等时运算。结果,固定点乘法最终大约比其随机点的对应物快8倍。在实践中,采用这种优化版本很有趣,因为预计每批将多次执行与U的乘法,因此可以分摊基本的预计算成本。尽管如此,真实世界的部署还可能每批涉及多个U值,例如,因为RA的策略规定联系不同的PCA,所以撤销一个PCA不会使整个批无效,或者是为了提高隐私性。在后一种情况下,标准实施方式可能比将U变成固定点的实施方式更优选。
如图13所示,建议的统一蝴蝶密钥扩展过程的带宽和处理增益可以高达50%,尽管在最坏的情况下,其也至少与SCMS的原始方法一样高效。有趣的是,注意到,在隐式验证模型中,这些增益稍更明显,隐式鉴证模型是针对标准化CAMP所建议的方法。
结束语.数据认证和用户隐私对于防止智能交通运输系统被驾驶员或系统本身滥用是必不可少的。但是,这是一项具有挑战性的任务,特别是因为任何可接受的解决方案都需要应对车辆侧的限制,诸如有限的连接性和处理能力。幸运的是,SCMS的假名证书提供和撤销过程能够解决此类要求,同时还考虑了性能和可伸缩性问题。
可以优化此过程。即,本发明的一些实施例提供了一种新颖的、统一的蝴蝶密钥扩展,其中两个车辆提供的密钥被单个密钥替代。除了消除了在车辆的请求中包括这种额外的密钥的需要外,这种方法还从响应中生成的每个假名证书(并且因此,它们的创建、传输和验证的相应成本)中删除一个签名。因此,在与SCMS的假名证书提供协议相比时,我们能够获得高达50%的处理和带宽节省(下游和上游)。这在考虑到每台车辆提供的证书数量预计从几千(参见Whyte等人)到数万(参见Virendra Kumar,Jonathan Petit,and WilliamWhyte,“Binary hash tree based certificate access management for connectedvehicles”,In Proc.of the 10th ACM Conference on Security and Privacy inWireless and Mobile Networks,WiSec’17,pages 145–155,New York,NY,USA,2017,ACM(VirendraKumar,JonathanPetit和WilliamWhyte“用于联网车辆的基于二进制哈希树的证书访问管理”第10届ACM无线和移动网络安全和隐私会议论文集,WiSec'17,第145-155页,美国纽约州纽约市,2017年,ACM),其通过引用合并于此)时是尤其相关的。此外,这些增益在恰恰是系统中资源最有限的实体的车辆侧更为明显。最后,建议的方案适用于隐式或显式证书,同时在两种情况下仍保留系统的安全性、灵活性和可伸缩性。
一些实施例的优点是其用于从一小段信息中发布多个假名证书从而避免了现有技术中发现的低效率的有效的方法。特别是,与SCMS中采用的原始“蝴蝶密钥扩展”过程相比,提供了带宽和计算节省。
在一些实施例中,伪随机函数f,fs,fe可以如在SCMS中那样。特别地(参见Whyte等人和CAMP),给定一对或整数(ι=(i.j)),这样的函数f=fk(ι)可以定义为如NIST曲线NISTp256中那样(National Institute of Standards and Technology.(1999,July)Recommended elliptic curves for federal government use.Available:http:// csrc.nist.gov/groups/ST/toolkit/documents/dss/NISTReCur.doc(美国国家标准技术研究院,(1999年7月),推荐用于联邦政府的椭圆曲线。可获得:http://csrc.nist.gov/ groups/ST/toolkit/documents/dss/NISTReCur.doc),其通过引用合并于此),并且,更具体地:
fk(ι)=fint k(ι)mod l,其中:
1)fint k(ι)是下述的大端(big-endian)整数表示:
2)x+1、x+2和x+3可以通过简单地每次将x递增1来获得,例如,如果x=01…00,那么x+1=01…01,x+2=01…10,x+3=01…11,3)AES的128位的输入x(种子)从时间段
ι=(i,j)中被取得为:x=032||i||j||032
加密密钥的扩展函数也如上所述定义,除了x被取得为:x=132||i||j||032
在以上定义中,由于fk不需要是可逆的,所以在Davies-Meyer模式下使用AES。Davies-Meyer模式在“——.TS 102 867 v1.1.1,Intelligent Transportation Systems(ITS);Security;Stage 3 mapping for IEEE 1609.2(——.TS 102867 v1.1.1,智能交通系统(ITS);安全;IEEE 1609.2的第3阶段映射)”中被描述,其通过引用合并于此。
此外,AES被应用3次以确保fk的输出以可忽略的偏差(如果有的话)均匀地分布。
在蝴蝶密钥扩展过程中,两个整数(i,j)之一可以保持为预定的恒定值,而另一个整数从0到β变化。
也可以使用其他伪随机函数。伪随机函数(PRF)使得没有有效的算法能够(具有明显优势地)区分从PRF系列中随机选择的函数和随机预言(其输出完全随机地固定的函数)。也可以使用非伪随机函数。
本发明不限于任何特定的代数组。任何认为安全的组都是合适的。一些实施例使用与SCMS相同的椭圆曲线组。NIST批准的椭圆曲线是合适。它们在https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf处描述。
根据本发明的方法不限于特定的步骤顺序。例如,在图9A和9B中,步骤824可以在822之前执行,或者两个步骤可以同时执行。其他变化也是可能的。
除了这些方法之外,本发明还包括配置为执行本发明的任何方法的任何部分或全部的计算和通信实体,以及这些实体的一部分。例如,实体可以如图2所示,包括一个或多个执行存储在存储150S中的计算机指令的计算机处理器。本发明包括存储150S或其他计算机可读介质,具有诸如上述请求ID等的合适的数据或其部分,和/或具有用于计算机处理器执行上述任何方法的任何部分或全部的计算机指令。本发明包括数据结构和指令,以及传输(经由网络或其他方式)或任何这样的数据和/或指令。
本发明不限于实现PCA、RA和其他部件的特定类型的计算机系统。装置110不限于车载装置。
本发明包括由实体可操作以对数字值执行计算并彼此通信的操作。实体可以是例如RA或PCA或MA。每个实体可以由诸如图2所示的计算机之类的单独设备来实现,其中每个实体具有单独的处理器150P和单独的存储150S。存储150S可以保存由处理器150P执行的数据和计算机指令。不同的实体可以位于不同的地理区域。但是,可以在同一台计算机(例如,云计算机)上实现不同的实体。每个实体均不能访问其他任何实体的数据。
尽管已经示出和描述了说明性实施例,但是在前述公开中设想了各种各样的修改、改变和替换,并且在某些情况下,可以采用实施例的一些特征而无需相应地使用其他特征。本领域普通技术人员将认识到许多变化、替代和修改。因此,本申请的范围应仅由所附权利要求书来限制,并且适当的是,以与本文公开的实施例的范围一致的方式广义地解释权利要求书。

Claims (15)

1.一种用于由实体(110,150,210,220)提供数字证书的方法,所述实体可操作以对数字值执行计算并彼此通信,所述数字证书由装置在认证操作中使用,每个装置是所述实体(110,150,210,220)中的一个,其中,每个数字证书包括所述数字证书的公共密钥数据以用于相关联装置使用,所述方法包括:
由第一实体(150,220)接收生成数字证书的请求,
所述请求是多个请求中的一个,每个请求用于生成所述数字证书,所述第一实体(150,220)没有被通知每个数字证书与哪个装置相关联,也没有被通知任何不同的证书是与同一装置还是不同装置相关联,其中,每个数字证书将在相关联的加密包中被发送到所述数字证书的相关联装置,所述数字证书能够由所述相关联装置使用与所述数字证书相关联的私有解密密钥从所述加密包中恢复,其中,对于每个数字证书,所述请求包括下述中一个:(a)相关联的签名相关密钥,和(b)相关联的加密相关密钥;
其中,所述方法进一步包括由所述第一实体(150,220)对于每个数字证书执行下述操作:
从所述相关联的签名相关密钥和相关联的加密相关密钥中的一个生成所述相关联的签名相关密钥和所述相关联的加密相关密钥的另一个;
从所述相关联的签名相关密钥,生成所述数字证书的公共密钥数据,并且生成包括所述数字证书的相关联包,所述数字证书包括所述数字证书的公共密钥数据;
通过使用所述相关联的加密相关密钥来对所述相关联包进行加密,以生成相关联的加密包,以及
发送所述相关联的加密包以递送至所述相关联装置;其中,对于每个数字证书,所述数字证书的公共密钥数据和所述加密相关密钥是相互关联的,使得由所述相关联装置在验证操作中可检测到所述加密相关密钥的修改;
其中,所述加密包未被所述第一实体(150,220)签字。
2.根据权利要求1所述的方法,进一步包括,对于每个数字证书,由所述相关联装置执行所述验证操作。
3.根据权利要求1所述的方法,其中,对于每个数字证书,所述请求包括所述加密相关密钥。
4.根据权利要求1所述的方法,其中,对于每个数字证书,所述请求包括所述签名相关密钥。
5.根据权利要求1所述的方法,其中,所述第一实体(150,220)从第二实体接收所述请求,并且将所述加密包发送到所述第二实体以用于转发给所述相关联装置。
6.根据权利要求5所述的方法,其中,对于每个数字证书,所述数字证书的公共密钥数据是使用所述第二实体未知的值来生成的。
7.根据权利要求1所述的方法,其中,对于每个数字证书,所述数字证书的公共密钥数据是使用由所述第一实体(150,220)生成的随机值来生成的,并且所述随机值是所述相关联包的部分。
8.一种与第一实体(150)相关联的系统,所述第一实体(150)是多个实体(110,150,210,220)中的一个,所述多个实体中的每个实体可操作以对数字值执行计算并彼此通信,所述系统包括:
包含机器可读介质的存储器(150S),所述机器可读介质存储机器可执行代码;
一个或多个处理器(150P),所述一个或多个处理器(150P)被耦合到所述存储器,并被配置为执行所述机器可执行代码,以使所述一个或多个处理器:
由所述第一实体(150)接收生成数字证书的请求,所述第一实体(150)没有被通知每个数字证书与哪个装置相关联,也没有被通知任何不同的证书是与同一装置还是不同装置相关联,其中,每个数字证书将在加密包中被发送到所述数字证书的相关联装置,所述数字证书能够由所述相关联装置使用与所述数字证书相关联的私有解密密钥从所述加密包中恢复,其中,对于每个数字证书,所述请求包括下述中的一个:(a)签名相关密钥,和(b)加密相关密钥;
从所述签名相关密钥和所述加密相关密钥中的一个生成所述签名相关密钥和所述加密相关密钥的另一个;
从所述签名相关密钥,生成所述数字证书的公共密钥数据,并且生成包括所述数字证书的相关联包,所述数字证书包括所述数字证书的公共密钥数据;
通过使用所述加密相关密钥来对所述相关联包进行加密,以生成相关联的加密包;以及
发送所述相关联的加密包以递送至所述相关联装置;其中,对于每个数字证书,所述数字证书的公共密钥数据和所述加密相关密钥是相互关联的,使得由所述相关联装置在验证操作中可检测到所述加密相关密钥的修改;
其中,所述加密包未被所述第一实体(150,220)签字。
9.根据权利要求8所述的系统,其中,对于每个数字证书,所述请求包括所述加密相关密钥。
10.根据权利要求8所述的系统,其中,对于每个数字证书,所述请求包括所述签名相关密钥。
11.根据权利要求8所述的系统,其中,所述一个或多个处理器被配置为从第二实体接收所述请求,并且将所述加密包发送到所述第二实体以用于转发给所述相关联装置。
12.根据权利要求11所述的系统,其中,对于每个数字证书,所述数字证书的公共密钥数据是使用所述第二实体未知的值来生成的。
13.根据权利要求8所述的系统,其中,对于每个数字证书,所述数字证书的公共密钥数据是使用由所述第一实体(150)生成的随机值来生成的,并且所述随机值是所述相关联包的部分。
14.一种用于由装置(150)获取数字证书的方法,所述装置(150)是可操作以对数字值执行计算并彼此通信的多个实体(110,150,210,220)中的一个,所述方法包括:
由所述装置(150)生成包括所述装置的私有密钥和所述装置的对应公共密钥的私有/公共密钥对;
由所述装置(150)将所述装置的公共密钥发送给其是所述实体中的一个的实体;
响应于发送所述装置的公共密钥,由所述装置(150)接收一个或多个响应,每个响应包括加密包,每个加密包包括包的加密,所述包包括相关联的数字证书;
对于每个加密包:
由所述装置将相关联的解密密钥生成为所述装置的私有密钥的函数;
由所述装置使用所述相关联的解密密钥对所述加密包进行解密以恢复所述数字证书,所述数字证书包括所述数字证书的公共密钥数据;以及
由所述装置生成与所述数字证书的公共密钥数据相对应的所述数字证书的私有密钥,所述数字证书的私有密钥被生成为所述装置的私有密钥的函数;
由所述装置验证所述数字证书是有效的,其中,所述验证包括验证所述数字证书的公共密钥数据与相关联的公共加密密钥匹配;
其中,每个响应是未签名的。
15.根据权利要求14所述的方法,其中:
所述数字证书的私有密钥是从与所述相关联的解密密钥有关的数据中生成的;并且
所述验证所述数字证书的公共密钥数据与所述相关联的公共加密密钥匹配包括:验证所述数字证书的公共密钥数据与所述数字证书的私有密钥匹配。
CN201880075909.XA 2017-10-22 2018-10-19 用于管理数字证书的密码方法和系统 Active CN111684760B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762575514P 2017-10-22 2017-10-22
US62/575,514 2017-10-22
PCT/US2018/056784 WO2019079770A1 (en) 2017-10-22 2018-10-19 METHODS AND CRYPTOGRAPHIC SYSTEMS FOR MANAGING DIGITAL CERTIFICATES

Publications (2)

Publication Number Publication Date
CN111684760A CN111684760A (zh) 2020-09-18
CN111684760B true CN111684760B (zh) 2024-03-08

Family

ID=66171261

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880075909.XA Active CN111684760B (zh) 2017-10-22 2018-10-19 用于管理数字证书的密码方法和系统

Country Status (5)

Country Link
US (5) US10536279B2 (zh)
EP (2) EP4254248A3 (zh)
JP (2) JP7136903B2 (zh)
CN (1) CN111684760B (zh)
WO (1) WO2019079770A1 (zh)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11153077B2 (en) * 2018-12-14 2021-10-19 Westinghouse Air Brake Technologies Corporation Secure vehicle to vehicle communication
EP4254248A3 (en) * 2017-10-22 2023-11-15 LG Electronics Inc. Cryptographic methods and systems for managing digital certificates
US11323249B2 (en) * 2017-12-20 2022-05-03 Lg Electronics, Inc. Cryptographic methods and systems for authentication in connected vehicle systems and for other uses
US11184180B2 (en) * 2018-02-05 2021-11-23 Lg Electronics, Inc. Cryptographic methods and systems using blinded activation codes for digital certificate revocation
WO2020041499A1 (en) * 2018-08-21 2020-02-27 Lg Electronics, Inc. Systems and methods for a butterfly key exchange program
DE102018215141A1 (de) * 2018-09-06 2020-03-12 Continental Teves Ag & Co. Ohg Verfahren zur Verbesserung des Nutzungsgrades einer Fahrzeug-zu-X Kommunikationsvorrichtung sowie Fahrzeug-zu-X Kommunikationsvorrichtung
US20200153926A1 (en) * 2018-11-09 2020-05-14 Toyota Motor North America, Inc. Scalable vehicle data compression systems and methods
US11032370B2 (en) * 2018-11-14 2021-06-08 Toyota Jidosha Kabushiki Kaisha Wireless communications in a vehicular macro cloud
US10661795B1 (en) * 2018-12-20 2020-05-26 Verizon Patent And Licensing Inc. Collision detection platform
US11323275B2 (en) 2019-03-25 2022-05-03 Micron Technology, Inc. Verification of identity using a secret key
US11361660B2 (en) * 2019-03-25 2022-06-14 Micron Technology, Inc. Verifying identity of an emergency vehicle during operation
US11233650B2 (en) 2019-03-25 2022-01-25 Micron Technology, Inc. Verifying identity of a vehicle entering a trust zone
US11218330B2 (en) 2019-03-25 2022-01-04 Micron Technology, Inc. Generating an identity for a computing device using a physical unclonable function
WO2020229895A2 (en) * 2019-04-11 2020-11-19 Lg Electronics, Inc. Systems and methods for countering co-existence attack
US11343106B2 (en) 2019-04-11 2022-05-24 Lg Electronics, Inc. Systems and methods for accelerated certificate provisioning
CN111917685B (zh) 2019-05-07 2022-05-31 华为云计算技术有限公司 一种申请数字证书的方法
EP3970316A1 (en) * 2019-05-14 2022-03-23 Volkswagen Aktiengesellschaft Implementation of a butterfly key expansion scheme
CN110365486B (zh) * 2019-06-28 2022-08-16 东软集团股份有限公司 一种证书申请方法、装置及设备
US11741834B2 (en) * 2019-08-31 2023-08-29 Cavh Llc Distributed driving systems and methods for automated vehicles
CN113079013B (zh) * 2019-12-18 2023-04-18 华为技术有限公司 通信方法、终端设备、路侧单元、服务器、系统及介质
CN111181729B (zh) * 2019-12-26 2022-11-01 晟安信息技术有限公司 显式证书密钥扩展方法和装置
KR20210087710A (ko) * 2020-01-03 2021-07-13 삼성전자주식회사 운송 장치, 통신 시스템 및 이를 이용한 통신 방법
WO2021146945A1 (en) * 2020-01-21 2021-07-29 Qualcomm Incorporated Methods for protecting sensitive information in cellular vehicle-to-everything (c-v2x) messages
WO2021153809A1 (ko) * 2020-01-29 2021-08-05 엘지전자 주식회사 무선 통신 시스템에서 v2x 통신을 보호하기 위한 방법
WO2021172611A1 (ko) * 2020-02-25 2021-09-02 엘지전자 주식회사 무선 통신 시스템에서 v2x 통신을 보호하기 위한 방법
CN111245619B (zh) * 2020-03-27 2023-03-24 上海汽车集团股份有限公司 车联网的密钥派生方法、装置及系统、车端、中间层
KR102281949B1 (ko) * 2020-10-29 2021-07-26 펜타시큐리티시스템 주식회사 익명 인증서 관리 방법 및 장치
JP7563743B2 (ja) 2020-11-25 2024-10-08 株式会社ナガセインテグレックス 工作機械の運転方法
CN112738761B (zh) * 2020-12-25 2023-03-14 高新兴智联科技有限公司 一种汽车电子标识与v2x认证结合方法
CN113038417B (zh) * 2021-02-01 2022-07-26 北京汽车研究总院有限公司 车联网中v2x匿名证书的管理方法与装置、存储介质、设备
CN113301523B (zh) * 2021-04-14 2022-09-16 江铃汽车股份有限公司 一种v2x车载终端数字证书的申请、更新方法及系统
CN113766452B (zh) * 2021-06-29 2023-10-27 国家计算机网络与信息安全管理中心 一种v2x通信系统、通信密钥分发方法与隐式认证方法
CN113852459B (zh) * 2021-08-13 2024-03-19 中央财经大学 密钥协商方法、设备及计算机可读存储介质
WO2023037552A1 (ja) * 2021-09-13 2023-03-16 日本電気株式会社 監視支援装置、システム及び方法、並びに、コンピュータ可読媒体
CN114679280A (zh) * 2022-03-15 2022-06-28 北京宏思电子技术有限责任公司 一种基于rsa的联合签名生成方法及装置
CN115190450B (zh) * 2022-06-28 2023-11-28 中汽数据(天津)有限公司 基于v2x证书建立tls通道的车联网通信方法和系统
EP4304221A1 (en) * 2022-07-07 2024-01-10 Thales Dis France Sas System and method for using a subscriber identity module as a pseudonym certficate authority (pca)
CN115567197B (zh) * 2022-08-29 2024-10-01 北京车网科技发展有限公司 数字证书申请方法、装置、设备及计算机存储介质
TWI859857B (zh) * 2023-05-15 2024-10-21 中華電信股份有限公司 基於金鑰擴展的安全憑證管理系統及其方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183938A (zh) * 2007-10-22 2008-05-21 华中科技大学 一种无线网络安全传输方法、系统及设备
CN106453330A (zh) * 2016-10-18 2017-02-22 深圳市金立通信设备有限公司 一种身份认证的方法和系统

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5432852A (en) 1993-09-29 1995-07-11 Leighton; Frank T. Large provably fast and secure digital signature schemes based on secure hash functions
US7685425B1 (en) * 1999-03-31 2010-03-23 British Telecommunications Public Limited Company Server computer for guaranteeing files integrity
JP2001052062A (ja) 1999-08-06 2001-02-23 Toshiba Corp 申請手続処理システム及び記憶媒体
AU2001247496A1 (en) 2000-03-17 2001-10-03 United States Postal Service Methods and systems for providing an electronic account to customer
AU2001267198A1 (en) * 2000-06-09 2001-12-17 Certicom Corp. A method for the application of implicit signature schemes
US7240366B2 (en) * 2002-05-17 2007-07-03 Microsoft Corporation End-to-end authentication of session initiation protocol messages using certificates
JP2004206435A (ja) 2002-12-25 2004-07-22 Victor Co Of Japan Ltd ライセンス管理方法、およびライセンス管理システム
EP1851902A1 (en) 2005-02-25 2007-11-07 QUALCOMM Incorporated Small public-key based digital signatures for authentication
US7725614B2 (en) 2006-08-08 2010-05-25 Sandisk Corporation Portable mass storage device with virtual machine activation
WO2008085204A2 (en) 2006-12-29 2008-07-17 Prodea Systems, Inc. Demarcation between application service provider and user in multi-services gateway device at user premises
WO2009001317A1 (en) 2007-06-27 2008-12-31 Koninklijke Philips Electronics N.V. Secure authentication of electronic prescriptions
US8578338B2 (en) * 2008-06-02 2013-11-05 Igt Game production and regulatory approval systems
EP2359526B1 (en) 2008-11-04 2017-08-02 SecureKey Technologies Inc. System and methods for online authentication
US9137017B2 (en) * 2010-05-28 2015-09-15 Red Hat, Inc. Key recovery mechanism
US20120233457A1 (en) * 2011-03-08 2012-09-13 Certicom Corp. Issuing implicit certificates
US8756432B1 (en) * 2012-05-22 2014-06-17 Symantec Corporation Systems and methods for detecting malicious digitally-signed applications
US10025920B2 (en) * 2012-06-07 2018-07-17 Early Warning Services, Llc Enterprise triggered 2CHK association
DE102014204044A1 (de) 2014-03-05 2015-09-10 Robert Bosch Gmbh Verfahren zum Widerrufen einer Gruppe von Zertifikaten
JP6293716B2 (ja) 2015-11-10 2018-03-14 株式会社アメニディ 匿名通信システムおよび該通信システムに加入するための方法
US10595200B2 (en) * 2015-12-17 2020-03-17 Onboard Security, Inc. Secure vehicle communication system
US11025607B2 (en) * 2016-12-15 2021-06-01 At&T Mobility Ii Llc V2X certificate management
EP4254248A3 (en) * 2017-10-22 2023-11-15 LG Electronics Inc. Cryptographic methods and systems for managing digital certificates
US11361660B2 (en) * 2019-03-25 2022-06-14 Micron Technology, Inc. Verifying identity of an emergency vehicle during operation
WO2020229895A2 (en) * 2019-04-11 2020-11-19 Lg Electronics, Inc. Systems and methods for countering co-existence attack

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183938A (zh) * 2007-10-22 2008-05-21 华中科技大学 一种无线网络安全传输方法、系统及设备
CN106453330A (zh) * 2016-10-18 2017-02-22 深圳市金立通信设备有限公司 一种身份认证的方法和系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
A security credential management system for V2V communications;William Whyte;《2013 IEEE Vehicular Networking Conference》;20140213;第10、13、16、26、29页 *
A security credential management system for V2V communications;William Whyte;《CAMP Vehicle Safety Communications》;20131231;摘要,正文第I-IV节,图1-3 *
William Whyte.A security credential management system for V2V communications.《2013 IEEE Vehicular Networking Conference》.2014,摘要,正文第I-IV节,图1-3. *
William Whyte.A security credential management system for V2V communications.《CAMP Vehicle Safety Communications》.2013,第10、13、16、26、29页. *

Also Published As

Publication number Publication date
US10536279B2 (en) 2020-01-14
EP4254248A2 (en) 2023-10-04
US12143514B2 (en) 2024-11-12
US20240250836A1 (en) 2024-07-25
JP7136903B2 (ja) 2022-09-13
US11930123B2 (en) 2024-03-12
US20200119930A1 (en) 2020-04-16
JP2022125256A (ja) 2022-08-26
US20210250184A1 (en) 2021-08-12
JP2021500832A (ja) 2021-01-07
WO2019079770A1 (en) 2019-04-25
CN111684760A (zh) 2020-09-18
US11018877B2 (en) 2021-05-25
US20240283663A1 (en) 2024-08-22
EP3701669A4 (en) 2021-07-28
EP4254248A3 (en) 2023-11-15
EP3701669A1 (en) 2020-09-02
EP3701669B1 (en) 2023-09-06
US20190123915A1 (en) 2019-04-25
JP7568678B2 (ja) 2024-10-16

Similar Documents

Publication Publication Date Title
CN111684760B (zh) 用于管理数字证书的密码方法和系统
US11606216B2 (en) Cryptographic methods and systems for managing digital certificates with linkage values
US20220158854A1 (en) Cryptographic methods and systems using blinded activation codes for digital certificate revocation
US11895250B2 (en) Cryptographic methods and systems using activation codes for digital certificate revocation
US20220376931A1 (en) Balancing privacy and efficiency for revocation in vehicular public key infrastructures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant