用于管理数字证书的密码方法和系统技术方案

假名数字证书(160p)由假名证书机构(PCA)为装置(110/150)生成，该PCA经由另一实体——注册机构(RA)——与装置进行通信，使得PCA和RA无法将证书与装置相关联。每个证书都与公共签名密钥和由PCA使用的公共加密密钥相关联以用于加密证书以对RA隐藏证书。两个密钥都是由PCA从单个密钥中取得的。例如，签名密钥可以从公共加密密钥中取得，而不是独立地生成。但是，即使当PCA不签名加密证书时，也可以获取高安全性。作为结果，获取了降低的带宽和计算成本。还提供了其他实施例。

【技术实现步骤摘要】
【国外来华专利技术】用于管理数字证书的密码方法和系统相关申请的交叉引用本申请要求于2017年10月22日提交的美国临时专利申请No.62/575,514，“SECURITYINVEHICULARCOMMUNICATIONS”，和于2018年10月19日提交的美国专利申请No.16/165,871的优先权，两者通过引用并入本文。版权声明该专利文件的公开的一部分包含受版权保护的材料。版权所有人不反对任何人如专利文件或专利公开在专利和商标局专利文件或记录中出现的那样传真复制该专利文件或专利公开，但在其他方面保留所有版权权利。
技术介绍
本专利技术涉及安全通信，包括汽车、卡车、火车和可能地其他车辆以及行人的智能手机、交通信号灯和其他基础设施之间的交通相关通信。近年来，嵌入在物理对象中的数字技术激增，导致了今天所称的物联网(IoT)。这种趋势也已经出现在汽车行业，汽车行业对探索诸如车辆对车辆(V2V)、车辆对基础设施(V2I)和车辆对行人(V2P)的统称为车对外界(V2X)通讯的交互模型的兴趣日益浓厚。V2X使得能够实现多种旨在提高交通安全、效率以及人机交互的应用。例如，使用V2X，车辆可以交换或传送(例如，针对速度、方向和制动状态的)信息，这些信息可以帮助驾驶员在保持适当的速度的同时与其他车辆保持安全距离。实际上，美国交通部已经启动了“连接的车辆”计划，以“测试和评估将使汽车、公共汽车、卡车、火车、道路和其他基础设施以及我们的智能电话和其他装置能够彼此“交谈”的技术。例如，高速公路上的汽车将使用短程无线电信号相互通信，因此道路上的每个车辆都会知道附近其他车辆的位置。驾驶员会收到危险情况的通知和警报，诸如，有人要在他们接近交叉路口时闯红灯，或弯道外看不见的迎面驶来的汽车为避开路上的对象正转向他们的车道。”美国交通运输部在https://www.its.dot.gov/cv_basics/cv_basics_what.htm。“连接的车辆可以大大减少我们的道路和高速公路上的事故所造成的死亡和重伤数量。[他们]还承诺增加交通选择并减少出行时间。交通管理者将能够使用可用的高级通信数据更轻松地控制交通流量，并防止或减轻发展中的拥塞。通过帮助降低燃料消耗和减少排放，这可能对环境产生重大影响”。尽管V2X技术和连接的车辆提供增加的安全、交通流量、效率等的承诺，但此类技术的大规模部署还需要解决一些挑战，尤其是安全性和隐私问题。特别是，V2X架构有望(1)确保车辆之间交换的消息是合法的，禁止行为不当的用户，同时(2)保留诚实用户的匿名性，这样他们的移动不容易被其他车辆或系统本身跟踪。
技术实现思路
本部分总结了本专利技术的一些特征。其他特征可能会在后续章节中进行描述。本专利技术由所附权利要求书限定，该权利要求书通过引用结合到本部分中。本专利技术的一些实施例提供了证书管理技术，其在提供高安全性的同时减少了证书发布过程的处理和带宽成本。附图说明图1示出了本公开的系统和方法可以在其中运行的环境。图2是在示例环境中使用的计算装置的框图。图3是示例环境中车辆与其他设备之间的通信的表示。图4、图5A和图5B示出了用于消息认证的数字证书的示例。图6是示出了适合于数字证书管理的计算机系统架构的框图。图7和图8是示出了用于生成数字证书的现有技术过程的流程图。图9A和图9B是示出了在本专利技术的一些实施例中用于生成数字证书的过程的流程图。图10是示出了相对于现有技术的本专利技术的一些实施例的估计成本的表。图11A和图11B是示出了在本专利技术的一些实施例中用于生成数字证书的过程的流程图。图12和图13是示出了根据现有技术和本专利技术的一些实施例的用于数字证书生成的方法的比较表。具体实施方式本说明书和示出了方面、实施例、实施方式或应用的附图不应被认为是限制性的——权利要求书限定了受保护的专利技术。在不脱离本说明书和权利要求书的精神和范围的情况下，可以进行各种机械、组成、结构、电气和操作上的改变。在某些情况下，未详细示出或描述公知的电路、结构或技术，因为它们是本领域技术人员已知的。在两个或更多个图中相似的标记表示相同或相似的元素。在本说明书中，阐述了描述与本公开一致的一些实施例的具体细节。为了提供对实施例的透彻理解，阐述了许多具体细节。然而，对于本领域技术人员而言显而易见的是，可以在没有一些或所有这些具体细节的情况下实践一些实施例。本文所公开的具体实施方式意在是说明性而非限制性的。本领域的技术人员可以实现尽管在这里没有具体描述但是处于本公开的范围和精神内的其他元素。另外，为了避免不必要的重复，除非另外特别描述或者如果一个或多个特征会使实施例不起作用，否则与一个实施例相关联示出和描述的一个或多个特征可以并入其他实施例中。示例环境图1示出了本公开的系统和方法可以在其中运行的环境。图1示出了一个繁忙的交叉路口，具有各种实体或对象，诸如车辆110V(汽车、卡车以及可能地其他类型，例如火车或自行车)、行人110P、路边设备110L(例如，交通灯以及用于短程和较长程通信的集线器或网关)。对象或实体110(110V、110L、110P等)中的每一个都携带或包含诸如智能电话、汽车信息装置或其他计算装置之类的设备。对象或实体110使用它们相应的计算装置进行通信(例如，无线地)以共享信息、坐标等。每个车辆110V可以例如广播其位置、速度、加速度、路线、方向、天气信息等。此类广播可用于获取有关交通拥堵、事故、湿滑路况的预先信息，并允许每个车辆知道其他车辆的位置等。作为响应，这些信息的车辆接收者可以警告其驾驶员，以建议驾驶员停止、减速、改变路线、绕行等。可以基于车辆和/或其他对象110广播的交通状况来自动调节交通信号灯。图2示出了由车辆或其他实体和对象用于例如在图1的环境中进行通信、协调等的计算装置150的实施例。如图2所示，计算装置150包括耦合到计算机存储(存储器)150S的一个或多个计算机处理器150P，以及用于无线电通信的无线通信装设备150W。计算装置150的操作由处理器150P控制，该处理器可以实现为计算装置150P中的一个或多个中央处理单元、多核处理器、微处理器、微控制器、数字信号处理器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、图形处理单元(GPU)、张量处理单元(TPU)等。存储器150S可用于存储由计算装置100执行的软件和/或在计算装置150的操作期间使用的一个或多个数据结构。存储器150S可包括一种或多种类型的机器可读介质。机器可读介质的一些常见形式可能包括软盘、软磁盘、硬盘、磁带、任何其他磁介质、CD-ROM、任何其他光学介质、打孔卡、纸带、任何其他具有孔图案的物理介质、RAM、PROM、EPROM、EEPROM、FLASH-EPROM、任何其他存储器芯片或盒式磁带和/或处理器或计算机适合从中读取的任何其他介质。处理器150P和/或存储器150S可以以任何合适的物理布置来布置。在一些实施例中，处理器150P和/或存储器本文档来自技高网...

【技术保护点】
1.一种用于由实体提供数字证书的方法，所述实体可操作以对数字值执行计算并彼此通信，所述数字证书由装置用于认证操作，每个装置是所述实体中的一个，其中，每个数字证书包括该数字证书的公共密钥数据以用于相关联装置使用，所述方法包括：/n由第一实体接收生成数字证书的请求，所述第一实体没有被通知所述数字证书与哪个装置相关联，其中，所述数字证书将在加密包中被发送到所述数字证书的相关联装置，所述数字证书能够由所述相关联装置使用与所述数字证书相关联的私有解密密钥从所述加密包中恢复，其中，所述请求包括下述中的一个：(a)签名相关密钥，和(b)加密相关密钥；/n其中，所述方法进一步包括由所述第一实体执行下述操作：/n从所述签名相关密钥和所述加密相关密钥中的所述一个，生成所述签名相关密钥和所述加密相关密钥中的另一个；/n从所述签名相关密钥，生成所述数字证书的公共密钥数据，并生成包括所述数字证书的相关联包，所述数字证书包括所述数字证书的公共密钥数据；/n通过使用所述加密相关密钥来对所述相关联包进行加密，以生成相关联的加密包；以及/n发送所述相关联的加密包以递送给所述相关联装置。/n

【技术特征摘要】
【国外来华专利技术】20171022 US 62/575,5141.一种用于由实体提供数字证书的方法，所述实体可操作以对数字值执行计算并彼此通信，所述数字证书由装置用于认证操作，每个装置是所述实体中的一个，其中，每个数字证书包括该数字证书的公共密钥数据以用于相关联装置使用，所述方法包括：
由第一实体接收生成数字证书的请求，所述第一实体没有被通知所述数字证书与哪个装置相关联，其中，所述数字证书将在加密包中被发送到所述数字证书的相关联装置，所述数字证书能够由所述相关联装置使用与所述数字证书相关联的私有解密密钥从所述加密包中恢复，其中，所述请求包括下述中的一个：(a)签名相关密钥，和(b)加密相关密钥；
其中，所述方法进一步包括由所述第一实体执行下述操作：
从所述签名相关密钥和所述加密相关密钥中的所述一个，生成所述签名相关密钥和所述加密相关密钥中的另一个；
从所述签名相关密钥，生成所述数字证书的公共密钥数据，并生成包括所述数字证书的相关联包，所述数字证书包括所述数字证书的公共密钥数据；
通过使用所述加密相关密钥来对所述相关联包进行加密，以生成相关联的加密包；以及
发送所述相关联的加密包以递送给所述相关联装置。


2.根据权利要求1所述的方法，其中：
所述请求是多个请求中的一个，每个请求用于生成所述数字证书，所述第一实体没有被通知每个数字证书与哪个装置相关联，也没有被通知任何不同的证书是与同一装置还是不同装置相关联，其中，每个数字证书将在相关联的加密包中被发送到该数字证书的相关联装置，该数字证书能够由所述相关联装置使用与该数字证书相关联的私有解密密钥从所述相关联的加密包中恢复，其中，对于每个数字证书，所述请求包括下述中的一个：(a)相关联的签名相关密钥，和(b)相关联的加密相关密钥；
其中，所述方法进一步包括：针对每个数字证书，由所述第一实体执行下述操作：
从所述相关联的签名相关密钥和所述相关联的加密相关密钥中的所述一个生成所述相关联的签名相关密钥和所述相关联的加密相关密钥中的另一个；
从所述相关联的签名相关密钥，生成该数字证书的公共密钥数据，并生成包含该数字证书的相关联包，该数字证书包括该数字证书的公共密钥数据；
通过使用所述相关联的加密相关密钥来对所述相关联包进行加密，以生成相关联的加密包；以及
发送所述相关联的加密包以递送给所述相关联装置。


3.根据权利要求2所述的方法，其中，对于每个数字证书，所述数字证书的公共密钥数据和所述加密相关密钥是互相关的，使得所述加密相关密钥的修改能够由所述相关联装置在验证操作中检测到。


4.根据权利要求3所述的方法，进一步包括：对于每个数字证书，由所述相关联装置执行所述验证操作。


5.根据权利要求3所述的方法，其中，所述加密包未被所述第一实体签名。


6.根据权利要求2所述的方法，其中，对于每个数字证书，所述请求包括所述加密相关密钥。


7.根据权利要求2所述的方法，其中，对于每个数字证书，所述请求包括所述签名相关密钥。


8.根据权利要求2所述的方法，其中，所述第一实体从第二实体接收所述请求，并且将所述加密包发送到所述第二实体以用于转发给所述相关联装置。


9.根据权利要求8所述的方法，其中，对于每个数字证书，所述数字证书的公共密钥数据是使用所述第二实体未知的值来生成的。


10.根据权利要求2所述的方法，其中，对于每个数字证书，所述数字证书的公共密钥数据是使用由所述第一实体生成的随机值来生成的，并且所述随机值是所述相关联包的部分。


11.一种与第一实体相关联的系统，所述第一实体是多个实体中的一个，所述多个实体中的每个实体可操作以对数字值执行计算并彼此通信，所述系统包括：
包含机器可读介质的存储器，所述机器可读介质存储机器可执行代码；
一个或多个处理器，所述一个或多个处理器被耦合到所述存储器，并被配置为执行所述机器可执行代码，以使所述一个或多个处理器执行下述操作：
由所述第一实体接收生成数字证书的请求，所述第一实体没有被通知每个数字证书与哪个装置相关联，也没有被通知任何不同的证书是与同一装置还是不同装置相关联，其中，每个数字证书将在加密包中被发送到该数字证书的相关联装置，该数字证书能够由所述相关联装置使用与该数字证书相关联的私有解密密钥从所述加密包中恢复，其中，对于每个数字证书，所述请求包括下述中的一个：(a)签名相关密钥，和(b)加密相关密钥；
从所述签名相关密钥和所述加密相关密钥中的所述一个，生成所述签名相关密钥和所述加密相关密钥中的另一个；
从所述签名相关密钥，生成所述数字证书的公共密钥数据，并生成包括所述数字证书的相关联包，所述数字证书包括所述数字证书的公共密钥数据；
通过使用所述加密相关密钥来对所述相关联包进行加密，以生成相关联的加密包；以及
发送所述相关联的加密包以递送给所述相关联装置。


12.根据权利要求11所述的系统，其中，对于每个数字证书，该数字证书的公共密钥数据和所述加密相关密钥是互相关的，使得所述加密相关密钥的修改能够由所述相关联装置在验证操作中检测到。


13.根据权利要求12所述的系统，其中，所述加密包未被所述第一实体签名。


14.根据权利要求11所述的系统，其中，对于每个数字证书，所述请求包括所述加密相关密钥。


15.根据权利要求11所述的系统，其中，对于每个数字证书，所述请求包括所述签名相关密钥。


16.根据权利要求11所述的系统，其中，所述一个或多个处理器被配置为从第二实体接收所述请求，并且将所述加密包发送到所述第二实体以用于转发给所述相关联装置。


17.根据权利要求16所述的系统，其中，对于每个数字证书，所述数字证书的公共密钥数据是使用所述第二实体未知的值来生成的。


18.根据权利要求11所述的系统，其中，对于每个数字证书，所述数字证书的公共密钥数据是使用由所述第一实体生成的随机值来生成的，并且所述随机值是所述相关联包的部分。


19.一种用于由装置获取数字证书的方法，所述装置是可操作以对数字值执行计算并彼此通信的多个实体中的一个，所述方法包括：
由所述装置生成包括所述装置的私有密钥和所述装置的对应公共密钥的私有/公共密钥对；
由所述装置将所述装置的公共密钥发送给其是所述实体中的一个的实体；
响应于发送所述装置的公共密钥，由所述装置接收一个或多个响应，每个响应包括加密包，每个加密包包括包的加密，所述包包括相关联的数字证书；
对于每个加密包：
由所述装置将相关联的解密密钥生成为所述装置的私有密钥的函数；
由所述装置使用所述相关联的解密密钥对该加密包进行解密以恢复所述数字证书，所述数字证书包括所述数字证书的公共密钥数据；以及
由所述装置生成与所述数字证书的公共密钥数据相对应的所述数字证书的私有密钥，所述数字证书的私有密钥被生成为所述装置的私有密钥的函数。


20.根据权利要求19所述的方法，进一步包括由所述装置验证所述数字证书是有效的，其中，所述验证包括验证所述数字证书的公共密钥数据与相关联的公共加密密钥匹配。


21.根据权利要求20所述的方法，其中，每个响应是未签名的。


22.根据权利要求20所述的方法，其中：
所述数字证书的私有密钥是从与所述相关联的解密密钥有关的数据中生成的；并且
所述验证所述数字证书的公共密钥数据与所述相关联的公共加密密钥匹配包括：验证所述数字证书的公共密钥数据与所述数字证书的私有密钥匹配。


23.根据权利要求20所述的方法，其中，所述数字证书是隐式的，并且所述验证所述数字证书的公共密钥数据与所述相关联的公共加密密钥匹配包括：
(a)使用所述数字证书的公共密钥数据而不使用所述数字证书的私有密钥来生成所述数字证书的公共密钥；
(b)使用所述数字证书的私有密钥来生成所述数字证书的公共密钥；以及
(c)匹配由操作(a)和(b)提供的所述数字证书的公共密钥。


24.根据权利要求19所述的方法，其中，所述装置包括车辆，并且所述发送和接收操作是无线传输。


25.根据权利要求19所述的方法，进一步包括所述装置在与其他实体进行通信时使用所述数字证书来认证自身。


26.一种装置，所述装置是可操作以对数字值执行计算并彼此通信的多个实体中的一个，所述装置被配置为在与一个或多个其他实体通信时获取数字证书，所述装置包括：
包含机器可读介质的存储器，所述机器可读介质存储机器可执行代码；
一个或多个处理器，所述一个或多个处理器被耦合到所述存储器，并被配置为执行所述机器可执行代码，以使所述一个或多个处理器执行下...

【专利技术属性】
技术研发人员：小马科斯·A·西姆普利西，爱德华多·卢斯·科米尼特，哈什·库瓦德帕蒂尔，杰斐逊·E·里卡蒂尼费尔南德兹，马科斯·维尼修斯·M·西尔瓦，
申请(专利权)人：LG电子株式会社，圣保罗大学，
类型：发明
国别省市：韩国;KR