用于撤销证书组的方法
用于撤销证书组的方法
【技术领域】
[0001]本发明涉及一种用于撤销证书组的方法,所述证书包括各一个密钥,其中证书被设置用于被认证的通信。
【背景技术】
[0002]现代的车辆应能够彼此间进行通信,由此例如应避免可能的交通事故,因为当其他车辆靠近时,车辆例如无需驾驶者的辅助动作就觉察了。这样的通信称作为车对车通信,或简称为C2C通信。作为扩展,也考虑车辆与其他参与者、例如与交通基础设施的通信。这样的通信因此通常称作为C2X通信。
[0003]在所述C2C和C2X通信的范围中,将通过车辆发出的消息标记,以便防止操纵和伪造。然而,所述标记使车辆潜在地可追踪,因为被用于标记的证书应该明确地被分配给车辆。
[0004]常见的C2X标准(美国的CAMP,欧洲的ETSI)通过下述方式减少所述问题:车辆包含一大套(直至大约2000个)证书或伪证书,能够从中选择证书或伪证书。所述证书彼此不建立联系。如果车辆更换其有效证书,那么所述车辆的新的标记的消息不与其之前的消息相关并且其追踪明显加难。
[0005]如果现在每个车辆包含这样一套或还有这样一组证书,那么必要时撤销这些证书、即宣告这些证书是无效的是难的、甚至是不可能的,因为必须单独撤销每个证书。这尤其是在C2X通信中将产生巨大的数据量。
[0006]CAMP标准通过下述方式解决所述问题,所谓的“连锁值(Linkage Value)”被引入到每个借助于蝴蝶密钥法产生的证书中。所述“连锁值”基本上是哈希链,经由所述哈希链将一套证书联系。所述证书基于机密的密钥,所述密钥对于每套证书是不同的。如果应撤销一套证书,那么所述密钥被公开并且每个C2X参与者能够复算结果的哈希链或“连锁值”。如果在证书中找到这样的“连锁值”,那么所述证书视为撤销或无效。
[0007]因此,撤销是可能的,因为仅必须公开证书套的密钥。不必单独地撤销每个证书。然而,在每个证书中必须保存“连锁值”,这明显提高C2X通信的数据量,因为每个C2X消息也包含相应的证书。
[0008]ETSI C2X模式当前还没有规定用于伪证书的撤回。
[0009]因此,期望的是,提供对证书组的有效的撤销并且同时在通信时提供小的数据量。
【发明内容】
[0010]根据本发明,提出一种具有权利要求1的特征的方法。有利的设计方案是从属权利要求以及下面的描述的主题。
[0011]根据本发明的方法被用于撤销一组或一套证书,所述证书包括各一个(公开的)密钥(没有进一步标记的密钥在下文中是公开的密钥)。证书中的密钥能够实现第一参与者、例如车辆和至少一个第二参与者、例如其他车辆和/或其他交通参与者和/或联网的交通基本设施之间的被认证的通信。第二参与者关于根据本发明的方法相同地表现,因此足够来描述第二参与者。证书组在此能够包括大量的、例如大约2000个具有各一个自身的密钥的证书。对于示例性的通信,为每个(公开的)密钥也产生私人的密钥,所述私人的密钥由第一参与者用于标记消息。所述私人的密钥优选地仅对第一参与者已知。借助分布在证书中并且对第二参与者已知的(公开的)密钥,能够检查签名。
[0012]为了撤销证书组,将由该组证书所包括的全部密钥中的第一密钥和用于计算规则的撤销值传递到至少一个第二参与者以用于撤销,借助于所述撤销值,能够根据第一密钥利用计算规则计算由该组证书所包括的全部密钥中的其余的密钥。由此,第二参与者能够借助于撤销值利用计算规则根据第一密钥计算由该组证书所包括的全部密钥组中的其余的密钥,并且包含所述密钥之一的证书随后识别为撤销的。以相同的方式,第一参与者也能够了解撤销,使得所述第一参与者随后不再使用包含所述密钥之一的证书。
[0013]第一密钥尤其是为公开的密钥,所述公开的密钥借助于椭圆曲线密码学(ECC)产生。在此,尤其是也产生所属的私人的密钥。其余的(公开的)密钥能够从中作为蝴蝶密钥被导出,其中对此不必识别私人的密钥。属于其余的密钥的其他私人的密钥尤其是也能够仅从私人的密钥产生。此外,这样产生的密钥也不相互建立联系。
[0014]如果现在给至少一个第二参与者传递第一密钥和撤销值,那么至少一个第二参与者自身能够计算全部密钥,所述密钥的所属的证书应被撤销或被宣告为无效,其中所述撤销值尤其能够为所谓的种子,根据所述种子利用决定的随机数生成器和必要时所属的计算规则能够计算其余的密钥。不必传递所有密钥。也仅必须将各一个密钥嵌入到证书中,这对于可靠的或被认证的通信反正是必需的。其他的数据不必包含在证书中,由此根据本发明的方法能够用于许多不同的证书格式,其中能够使用ECC并且同时能够将要随每个消息传递的信息量保持为小的。
[0015]优选地,第一密钥由第一参与者产生,因为以所述方式,为了产生第一密钥所需要的私人的密钥仅对第一参与者是已知的进而也仅第一参与者能够标记。
[0016]有利地,第一密钥和撤销值由居间者传递到至少一个第二参与者。居间者尤其为证书管理机关。居间者能够决定,其是否并且何时撤销证书。在此,也无害的是,至少一个第二参与者能够建立要撤销的证书与第一参与者的联系,因为所述证书当然反正不再被使用。
[0017]有利的是,首先第一密钥和生成值由第一参与者传递到居间者,以便使居间者标记密钥组,其中借助所述生成值根据第一密钥能够计算组中的其余的密钥。居间者能够借助于生成值根据第一密钥利用计算规则计算组中的全部密钥并且随后将所述密钥以通常的方式、尤其是利用居间者证书来标记。由此,为了标记,不必将该组证书的全部密钥传递到至少一个居间者,而是所述居间者能够根据第一密钥自身计算出其余的要标记的密钥。因此,所需要的数据传输量明显减少。
[0018]有利地,其余的密钥并且可选地第一密钥由至少一个居间者标记来用于被认证的通信并且在撤销之前在所属的证书中传递到第一参与者。第一参与者以所述方式得到一组具有各一个密钥的证书,其中至少一个第二参与者知道使用所述证书的其他的参与者是被认证的。然而,至少一个第二参与者不知道所述证书组来自第一参与者。如果第一参与者现在使用不同的证书,那么至少一个第二参与者不能够知道,由相同的第一参与者使用全部所述不同的证书。第一参与者的可追踪性因此被排除或者至少明显加难。第一密钥能够用于通信,适宜地,所述第一密钥然而不用于通信、而是仅用于产生其他的密钥。
[0019]撤销值用于定义要撤销的密钥,生成值用于定义首先要标记的密钥。撤销值能够包括生成值,尤其是也能够与所述生成值相同。因此,能够撤销全部已经被标记的证书。
[0020]替代地,借助于生成值能够根据第一密钥计算出至少一个其他的密钥,所述其他的密钥不能够借助于撤销值计算。换言之,由此,能够由居间者比之后所撤销的计算、标记更多个密钥并且相应地将所属的证书传递到第一参与者。这例如能够实现,在相应地选择生成和撤销值时,仅将下述密钥或证书宣告为是无效的,所述密钥或证书还没有由第一参与者使用。借助于撤销值,在该情况下,借助决定的随机数生成器仅能够计算其余的密钥的一部分,尤其是由预定值仅向前地、但不返回地计算。因此,至少一个第二参与者不能够在已经由第一参与者使用的证书或密钥之间建立联系进而尤其与第一参与者本身建立联系。因此禁止或至少明显加难事后的可追踪性。因此,相应选择的撤销值必要时必须首先由第一参与者传递到居间者,因为仅第一参与者知道,其已经使用哪个证书。替代地,居间者也能够将证书根据计算顺序配备不同的有效时间段或有效时刻。因此,撤销值适宜地根据在撤销时刻仍有效的证书确定,使得所述证书随后能够被有针对性地宣告为无效。因此,所述解决方案是与第一参与者的参与无关的,尤其不需要已经使用的证书的公布。
[0021]有利的是,为了撤销另一组证书,第一密钥和另一个撤销值由另一个居间者传递到至少一个第二参与者。这能够 实现:第一参与者使得不同的居间者标记证书,对此然而仅必须产生第一密钥(进而也仅一个所属的私人的密钥)。因此,能够由第一参与者将相同的第一密钥、然而不同的生成值传输到不同的居间者。然而,居间者就其而言能够单独地撤销证书。因此,当多于一个的居间者被用于标记时,根据第一密钥计算其余的密钥能够分配到所述多个居间者上。由此确保,各个居间者也不识别第一参与者的全部证书,而是分别仅识别由其标记的证书。这确保提高的保护以抵御可追踪性。
[0022]根据本发明的方法不仅能够应用于在开始提及的C2X通信中的证书,而且能够应用于多种其他的情况,在所述情况中使用具有大量证书的组,尤其也能够应用于普遍常见的X.509证书。
[0023]根据本发明的计算单元、例如机动车辆的通信单元尤其是在编程技术上被设立用于执行根据本发明的方法。
[0024]以软件的形式实施该方法也是有利的,因为这造成尤其低的成本,尤其是当所实施的控制设备还用于其他的任务并且因此本来存在时如此。用于提供计算机程序的适当的数据载体尤其是软盘、硬盘、闪存、EEPROM、⑶-ROM、DVD等。经由计算机网络(因特网、内联网等)下载程序也是可以的。
[0025]本发明的其他的优点和设计方案从说明书和所附的附图中得出。
[0026]易于理解的是,在上文中所述的并且在下文中仍要阐述的特征不仅能够以分别说明的组合、而且能够以其他的组合或单独地使用,而不脱离本发明的范围。
【附图说明】
[0027]本发明根据实施例在附图中示意示出并且在下文中参考附图详尽描述。
[0028]图1示意性地以一个优选的设计方案示出根据本发明的方法。
[0029]图2示意性地以另一个优选的设计方案示出根据本发明的方法。
[0030]图3示意性地以另一个优选的设计方案示出根据本发明的方法。
[0031]图4示意性地以另一个优选的设计方案示出根据本发明的方法。
【具体实施方式】
[0032]在图中示出本发明的优选的实施方式,其中本发明重要的撤销分别在虚线下面的下部部段中示出。在虚线上面,附加地示出可选的证书生成。
[0033]在图1中示意地以一个优选的设计方案示出根据本发明的方法。时间过程从上向下被表明。第一参与者100、第二参与者200以及居间者300参与所述方法。第一参与者100例如能够是参与道路交通的车辆。
[0034]第一参与者100首先生成密钥对,所述密钥对包括私人的密钥a*和所属的公开的密钥作为第一密钥P。这根据椭圆曲线密码学、简称为ECC进行。如果G在此为(例如公开已知的)椭圆曲线的生成器,那么根据规则P=a*XG产生公开的密钥P,其中X是在椭圆曲线上定义的乘法并且a*是标量。可以自由选择的标量a*于是被用作私人的密钥。
[0035]因此,能够根据规则P=a*XG从自由选择的私人的密钥a*产生第一密钥P。此外,第一参与者100产生生成值r。在一个可能的简单的设计方案中,该生成值为所谓的种子、即数值,从该数值借助于适当的决定的随机数生成器能够产生其他的标量。
[0036]第一参与者100随后将第一密钥P和生成值r传递到居间者300。居间者300通常是验证站。居间者300现在根据第一密钥P和生成值r计算其余的密钥P1、P2。
[0037]在ECC中,通常能够根据规则P’ =a’ XG产生其他的公开的密钥P’,其中a’是不同于a*的标量。此外,借助两个所述的规则得到(a*+a’)XG=a*XG+a’ XG=P+P’ =P’’,其中P’’也能够是公开的密钥。即P’’从P根据P’’=P+a’XG得出。所述公式优选地由一个在本发明的范围中优选的计算规则所包括。随机数生成器优选地也由该计算规则所包括。
[0038]由此,能够根据第一密钥P产生其余的密钥P1、P2,其中仅需要其他的标量al、a2,然而不需要原始的标量或私人的密钥a*。因为居间者300能够从第二初始值r产生所述需要的标量al、a2,所以所述居间者也能够计算出其余的密钥P1、P2。
[0039]随后,居间者300根据密钥P、P1、P2形成证书P*、Pl*、P2*,利用自身的居间者密钥标记证书并且随后将所述证书传递到第一参与者100。第一参与者100因此具有全部证书P*、PI*、P2*。第一参与者100能够根据前面的规则从al*=a*+al和a2*=a*+a2计算分别所属的私人的密钥al*和a2*。第一参与者100现在能够使用私人的密钥和证书,用于例如与第二参与者200进行通信。然而,第二参与者200不知道,密钥P、P1、P2或相应的证书P*、P1*、P2*配套,而是仅知道其他参与者、当前是第一参与者是被认证或验证的,该第一参与者具有和使用所述密钥或相应的证书。因此,有效地防止或至少明显加难对第一参与者的可追踪性。与在此描述的实施方式不同地,能够规定,第一密钥P不用于证书P*,无论如何不用于与第二参与者的通信。
[0040]如果居间者300现在希望将整体包括密钥P、P1、P2的证书组P*、P1*、P2*撤销或宣告为无效,那么所述居间者产生撤销值r*并且将所述撤销值连同第一密钥P —起传递到第二参与者200。尤其是,当反正应该撤销全部证书、即全部密钥P、P1、P2时,撤销值r*能够为生成值r。优选地,也将撤销通知第一参与者,以便所述第一参与者将来不再使用已经撤销的证书。这同样能够通过传递撤销值r*来实现,如其在图中通过虚线箭头所表明的那样。
[0041]第二参与者200现在能够与上述方法相似地根据第一密钥P计算其余的密钥P1、P2进而将全部密钥P、P1、P2或借此形成的证书组P*、Pl*、P2*标记为无效。在此,现在不再重要的是,第二参与者200能够将密钥P、P1、P2共同地分配给第一参与者100,因为所述密钥反正不再被使用。另一方面,然而仅必须将第一密钥P和撤销值r*从居间者300传递到第二参与者200。因为在实际中使用例如大约2000个密钥,所以在撤销时相对于单独地撤销每个密钥明显减少要传递的数据量。
[0042]此外,在证书中分别必须插入仅一个或所述密钥(这反正在证书中是必需的)并且不必如在现有技术中那样还附加地插入其他的数据、诸如连锁值。这减少在通信期间要传输的数据量。对密钥的唯一的前提条件是ECC作为产生基础。
[0043]在图2中示意地以另一个优选的设计方案示出根据本发明的方法。时间过程从上向下被表明。第一参与者100、第二参与者200以及居间者300参与所述方法。
[0044]基本上,该方法对应于在图1中示出的方法,然而具有以下区别,即借助生成值r与借助撤销值r*相比能够计算更多的密钥。
[0045]居间者300能够根据从第一参与者100传递到其的第一密钥P和生成值r计算密钥PU P2、P3、P4。此外,居间者300也将全部的密钥以标记的证书P*、PI*、P2*、P3*、P4*的形式传递到第一参与者100。因此,第一参与者100和第二参与者200之间的被认证的通信借助于密钥P、P1、P2、P3、P4或包括所述密钥的证书和所属的私人的密钥a*、al*、a2*…是可以的。
[0046]为了撤销,居间者300又将撤销值r*和第一密钥P传递到第二参与者200,借助于所述撤销值和第一密钥,第二参与者200然而仅能够计算密钥P3、P4。因此,第二参与者200仅能够将密钥P、P3、P4标记成无效的,然而不能够将密钥P1、P2标记成无效的。
[0047]撤销值r*在此例如能够包括决定的随机数生成器的适当的值,借助于所述适当的值仅能够计算预先确定的标量。因此也仅能够计算预先确定的密钥。
[0048]优选地,也将撤销通知第一参与者,以便所述第一参与者将来不再使用已经撤销的证书。这同样能够通过传递撤销值r*实现,如 其在图中通过虚线箭头所表明的那样。
[0049]以所述方式可以的是,居间者300仅撤销特定的、由其希望的证书。例如,可能的是,第一参与者迄今已经使用具有密钥P1、P2的证书,所述证书然而还不具有密钥P3、P4。因为第二参与者200现在当然不能够将密钥P1、P2与第一参与者100关联,所以事后的可追溯性也不再是可能的。而密钥P3、P4反正不再被使用。
[0050]根据本发明的方法也能够在下述情况下使用,即第一参与者希望其证书由两个或更多个不同的居间者来标记。对此,证书能够简单地被分成两个或更多个组。尤其是,可以由仅一个证书管理机关将不同的居间者构造为不同的计算系统。这在图3和4中示例性地被示出。
[0051]在图3中示意地以另一个优选的设计方案示出根据本发明的方法。时间过程从上向下被表明。第一参与者100、第二参与者200以及两个居间者300、301参与所述方法。
[0052]基本上,该方法在此对应于在图1中示出的方法,然而具有以下区别,即第一参与者100产生两个生成值r、r’,其中利用每个生成值根据第一密钥P仅能够计算其余的密钥的一部分、然而共同地能够计算全部的其余的密钥。当前,借助于生成值r能够计算密钥Pl并且借助于生成值r’能够计算密钥P2。
[0053]由第一参与者100分别连同第一密钥P —起地将生成值r传递到居间者300并且将生成值r’传递到居间者301。随后,居间者300计算密钥P1,居间者301计算密钥P2并且分别将其在所属的证书Pl*或P2*中传递到第一参与者100。属于第一密钥的证书P*能够由一个或也能够由两个居间者300、301传递到第一参与者100。
[0054]为了撤销证书,现在由居间者300将第一密钥P和撤销值r*传递到第二参与者200,该撤销值尤其是能够对应于生成值r。居间者301相应地将撤销值r*’传递到第二参与者200,所述撤销值能够对应于生成值r’。以所述方式,能够撤销所有证书。当居间者300、301属于相同的验证站时,也能够考虑的是,将撤销值r*和r*’适当地综合成一个撤销值,由此能够节约传输花费。
[0055]优选地,也将撤销通知第一参与者,以便所述第一参与者将来不再使用已经撤销的证书。这同样能够通过传递撤销值r*、r*’实现,如其在图中通过虚线的箭头所表明的那样。
[0056]在图4中示意地以另一个优选的设计方案示出根据本发明的方法。时间过程由上向下被表明。第一参与者100、第二参与者200以及两个居间者300、301参与该方法。
[0057]基本上,该方法在此对应于在图1中示出的方法,然而具有以下区别,即将两个在图2和3中示出的变型形式组合。
[0058]如在根据图3的设计方案中,两个生成值r、r’由第一参与者100产生并且分别连同第一密钥P —起被传递到居间者300、301。借助于生成值r在此能够计算密钥P1、P2并且借助于生成值r’在此能够计算密钥P3、P4。由居间者300、301计算的密钥被作为所属的证书分别传递到第一参与者100。
[0059]为了撤销,居间者300将第一密钥P和撤销值r*并且居间者301将第一密钥P和撤销值r*’传递到第二参与者200,借助于所述第一密钥和撤销值,第二参与者200然而仅能够计算密钥P2、P4。因此,第二参与者200仅能够将密钥P、P2、P4标记成是无效的,然而不能够将密钥P1、P3标记成无效的。
[0060]以所述方式,将两个在根据图2和3的设计方案中示出的优点组合。防止可能的可追踪性,因为其余的密钥的计算被分配到两个居间者上并且防止可能的事后的可追踪性,因为已经使用的密钥不传递到第二参与者。
[0061]优选地,也将撤销通知第一参与者,以便所述第一参与者将来不再使用已经撤销的证书。这同样能够通过传递撤销值r*、r*’来实现,如其在图中通过虚线的箭头所表明的那样。
[0062]如已经在开始提到的那样,根据本发明的方法不局限于一个第二参与者200,更确切地说实际上通常存在多个第二参与者,诸如其他的车辆或交通基础设施。于是,相同的数据如被传递到所述一个第二参与者尤其也同时地被传递到其他的第二参与者。
[0063]到两个居间者上的分配也是不受限的。根据安全程度,其余的密钥的计算能够分配到更多的居间者上。
【主权项】
1.用于撤销证书组的方法,在所述证书中每个证书包括密钥(P1、P2、P3、P4),以用于第一参与者(100)和至少一个第二参与者(200)之间的被认证的通信, 其中为了撤销将第一密钥(P)和撤销值(r*、r*’ )传递到所述至少一个第二参与者(200),借助于所述撤销值能够根据所述第一密钥(P)计算所述证书组的密钥(Pl、P2、P3、P4)02.根据权利要求1所述的方法,其中所述第一密钥(P)由所述第一参与者(100)产生。3.根据权利要求2所述的方法,其中连同所述第一密钥(P)—起由所述第一参与者(100)产生所属的私人的密钥(a)。4.根据上述权利要求中任一项所述的方法,其中将所述撤销值(r*)传递到所述第一参与者(200)以便通知完成的撤销。5.根据上述权利要求中任一项所述的方法,其中所述第一密钥(P)和所述撤销值(r*、r*’)由居间者(300、301)传递到所述至少一个第二参与者。6.根据权利要求5所述的方法,其中所述第一密钥(P)和生成值(r、r’)首先由所述第一参与者(100)传递到所述居间者(300、301),借助于所述生成值能够根据所述第一密钥(P)计算所述证书组的密钥(PU P2、P3、P4)。7.根据权利要求6所述的方法,其中将所述证书组的密钥(P1、P2、P3、P4)在撤销之前在所属的由所述居间者(300、301)标记的证书中传递到所述第一参与者(100)以用于被认证的通信。8.根据权利要求6或7所述的方法,其中所述撤销值(r*、r*’)包括所述生成值(r、r,)?9.根据权利要求6或7所述的方法,其中借助于所述生成值(r、r’)能够从所述第一密钥(P)计算至少一个不能够借助于所述撤销值来计算的其他的密钥(P3、P4)。10.根据权利要求5至9中任一项所述的方法,其中为了撤销其他的证书组,所述第一密钥(P)和其他的撤销值(r*’)由其他的居间者(301)传递到所述至少一个第二参与者(200)o11.根据权利要求10所述的方法,其中所述其他的撤销值(r*’)由所述其他的居间者(301)传递到所述第一参与者(200 )以便通知完成的撤销。12.根据上述权利要求中任一项所述的方法,其中所述密钥借助于椭圆曲线密码学来产生。13.计算单元,所述计算单元被设立用于执行根据上述权利要求中任一项所述的方法。14.计算机程序,所述计算机程序促使计算单元在以下情况下执行根据权利要求1至12中任一项所述的方法,即所述方法在所述计算单元上被实施。15.机器可读的存储介质,所述机器可读的存储介质具有在其上存储的根据权利要求14所述的计算机程序。
【专利摘要】本发明涉及一种用于撤销证书组的方法,在所述证书中每个证书包括密钥(P1、P2、P3、P4),以用于第一参与者(100)和至少一个第二参与者(200)之间的被认证的通信,其中为了撤销将第一密钥(P)和撤销值(r*、r*’)传递到所述至少一个第二参与者(200),借助于所述撤销值能够根据所述第一密钥(P)计算所述证书组的密钥(P1、P2、P3、P4)。
【IPC分类】H04L9/30
【公开号】CN104901798
【申请号】CN201510095672
【发明人】A.恰赫
【申请人】罗伯特·博世有限公司
【公开日】2015年9月9日
【申请日】2015年3月4日
【公告号】DE102014204044A1, US20150256348
【技术领域】
[0001]本发明涉及一种用于撤销证书组的方法,所述证书包括各一个密钥,其中证书被设置用于被认证的通信。
【背景技术】
[0002]现代的车辆应能够彼此间进行通信,由此例如应避免可能的交通事故,因为当其他车辆靠近时,车辆例如无需驾驶者的辅助动作就觉察了。这样的通信称作为车对车通信,或简称为C2C通信。作为扩展,也考虑车辆与其他参与者、例如与交通基础设施的通信。这样的通信因此通常称作为C2X通信。
[0003]在所述C2C和C2X通信的范围中,将通过车辆发出的消息标记,以便防止操纵和伪造。然而,所述标记使车辆潜在地可追踪,因为被用于标记的证书应该明确地被分配给车辆。
[0004]常见的C2X标准(美国的CAMP,欧洲的ETSI)通过下述方式减少所述问题:车辆包含一大套(直至大约2000个)证书或伪证书,能够从中选择证书或伪证书。所述证书彼此不建立联系。如果车辆更换其有效证书,那么所述车辆的新的标记的消息不与其之前的消息相关并且其追踪明显加难。
[0005]如果现在每个车辆包含这样一套或还有这样一组证书,那么必要时撤销这些证书、即宣告这些证书是无效的是难的、甚至是不可能的,因为必须单独撤销每个证书。这尤其是在C2X通信中将产生巨大的数据量。
[0006]CAMP标准通过下述方式解决所述问题,所谓的“连锁值(Linkage Value)”被引入到每个借助于蝴蝶密钥法产生的证书中。所述“连锁值”基本上是哈希链,经由所述哈希链将一套证书联系。所述证书基于机密的密钥,所述密钥对于每套证书是不同的。如果应撤销一套证书,那么所述密钥被公开并且每个C2X参与者能够复算结果的哈希链或“连锁值”。如果在证书中找到这样的“连锁值”,那么所述证书视为撤销或无效。
[0007]因此,撤销是可能的,因为仅必须公开证书套的密钥。不必单独地撤销每个证书。然而,在每个证书中必须保存“连锁值”,这明显提高C2X通信的数据量,因为每个C2X消息也包含相应的证书。
[0008]ETSI C2X模式当前还没有规定用于伪证书的撤回。
[0009]因此,期望的是,提供对证书组的有效的撤销并且同时在通信时提供小的数据量。
【发明内容】
[0010]根据本发明,提出一种具有权利要求1的特征的方法。有利的设计方案是从属权利要求以及下面的描述的主题。
[0011]根据本发明的方法被用于撤销一组或一套证书,所述证书包括各一个(公开的)密钥(没有进一步标记的密钥在下文中是公开的密钥)。证书中的密钥能够实现第一参与者、例如车辆和至少一个第二参与者、例如其他车辆和/或其他交通参与者和/或联网的交通基本设施之间的被认证的通信。第二参与者关于根据本发明的方法相同地表现,因此足够来描述第二参与者。证书组在此能够包括大量的、例如大约2000个具有各一个自身的密钥的证书。对于示例性的通信,为每个(公开的)密钥也产生私人的密钥,所述私人的密钥由第一参与者用于标记消息。所述私人的密钥优选地仅对第一参与者已知。借助分布在证书中并且对第二参与者已知的(公开的)密钥,能够检查签名。
[0012]为了撤销证书组,将由该组证书所包括的全部密钥中的第一密钥和用于计算规则的撤销值传递到至少一个第二参与者以用于撤销,借助于所述撤销值,能够根据第一密钥利用计算规则计算由该组证书所包括的全部密钥中的其余的密钥。由此,第二参与者能够借助于撤销值利用计算规则根据第一密钥计算由该组证书所包括的全部密钥组中的其余的密钥,并且包含所述密钥之一的证书随后识别为撤销的。以相同的方式,第一参与者也能够了解撤销,使得所述第一参与者随后不再使用包含所述密钥之一的证书。
[0013]第一密钥尤其是为公开的密钥,所述公开的密钥借助于椭圆曲线密码学(ECC)产生。在此,尤其是也产生所属的私人的密钥。其余的(公开的)密钥能够从中作为蝴蝶密钥被导出,其中对此不必识别私人的密钥。属于其余的密钥的其他私人的密钥尤其是也能够仅从私人的密钥产生。此外,这样产生的密钥也不相互建立联系。
[0014]如果现在给至少一个第二参与者传递第一密钥和撤销值,那么至少一个第二参与者自身能够计算全部密钥,所述密钥的所属的证书应被撤销或被宣告为无效,其中所述撤销值尤其能够为所谓的种子,根据所述种子利用决定的随机数生成器和必要时所属的计算规则能够计算其余的密钥。不必传递所有密钥。也仅必须将各一个密钥嵌入到证书中,这对于可靠的或被认证的通信反正是必需的。其他的数据不必包含在证书中,由此根据本发明的方法能够用于许多不同的证书格式,其中能够使用ECC并且同时能够将要随每个消息传递的信息量保持为小的。
[0015]优选地,第一密钥由第一参与者产生,因为以所述方式,为了产生第一密钥所需要的私人的密钥仅对第一参与者是已知的进而也仅第一参与者能够标记。
[0016]有利地,第一密钥和撤销值由居间者传递到至少一个第二参与者。居间者尤其为证书管理机关。居间者能够决定,其是否并且何时撤销证书。在此,也无害的是,至少一个第二参与者能够建立要撤销的证书与第一参与者的联系,因为所述证书当然反正不再被使用。
[0017]有利的是,首先第一密钥和生成值由第一参与者传递到居间者,以便使居间者标记密钥组,其中借助所述生成值根据第一密钥能够计算组中的其余的密钥。居间者能够借助于生成值根据第一密钥利用计算规则计算组中的全部密钥并且随后将所述密钥以通常的方式、尤其是利用居间者证书来标记。由此,为了标记,不必将该组证书的全部密钥传递到至少一个居间者,而是所述居间者能够根据第一密钥自身计算出其余的要标记的密钥。因此,所需要的数据传输量明显减少。
[0018]有利地,其余的密钥并且可选地第一密钥由至少一个居间者标记来用于被认证的通信并且在撤销之前在所属的证书中传递到第一参与者。第一参与者以所述方式得到一组具有各一个密钥的证书,其中至少一个第二参与者知道使用所述证书的其他的参与者是被认证的。然而,至少一个第二参与者不知道所述证书组来自第一参与者。如果第一参与者现在使用不同的证书,那么至少一个第二参与者不能够知道,由相同的第一参与者使用全部所述不同的证书。第一参与者的可追踪性因此被排除或者至少明显加难。第一密钥能够用于通信,适宜地,所述第一密钥然而不用于通信、而是仅用于产生其他的密钥。
[0019]撤销值用于定义要撤销的密钥,生成值用于定义首先要标记的密钥。撤销值能够包括生成值,尤其是也能够与所述生成值相同。因此,能够撤销全部已经被标记的证书。
[0020]替代地,借助于生成值能够根据第一密钥计算出至少一个其他的密钥,所述其他的密钥不能够借助于撤销值计算。换言之,由此,能够由居间者比之后所撤销的计算、标记更多个密钥并且相应地将所属的证书传递到第一参与者。这例如能够实现,在相应地选择生成和撤销值时,仅将下述密钥或证书宣告为是无效的,所述密钥或证书还没有由第一参与者使用。借助于撤销值,在该情况下,借助决定的随机数生成器仅能够计算其余的密钥的一部分,尤其是由预定值仅向前地、但不返回地计算。因此,至少一个第二参与者不能够在已经由第一参与者使用的证书或密钥之间建立联系进而尤其与第一参与者本身建立联系。因此禁止或至少明显加难事后的可追踪性。因此,相应选择的撤销值必要时必须首先由第一参与者传递到居间者,因为仅第一参与者知道,其已经使用哪个证书。替代地,居间者也能够将证书根据计算顺序配备不同的有效时间段或有效时刻。因此,撤销值适宜地根据在撤销时刻仍有效的证书确定,使得所述证书随后能够被有针对性地宣告为无效。因此,所述解决方案是与第一参与者的参与无关的,尤其不需要已经使用的证书的公布。
[0021]有利的是,为了撤销另一组证书,第一密钥和另一个撤销值由另一个居间者传递到至少一个第二参与者。这能够 实现:第一参与者使得不同的居间者标记证书,对此然而仅必须产生第一密钥(进而也仅一个所属的私人的密钥)。因此,能够由第一参与者将相同的第一密钥、然而不同的生成值传输到不同的居间者。然而,居间者就其而言能够单独地撤销证书。因此,当多于一个的居间者被用于标记时,根据第一密钥计算其余的密钥能够分配到所述多个居间者上。由此确保,各个居间者也不识别第一参与者的全部证书,而是分别仅识别由其标记的证书。这确保提高的保护以抵御可追踪性。
[0022]根据本发明的方法不仅能够应用于在开始提及的C2X通信中的证书,而且能够应用于多种其他的情况,在所述情况中使用具有大量证书的组,尤其也能够应用于普遍常见的X.509证书。
[0023]根据本发明的计算单元、例如机动车辆的通信单元尤其是在编程技术上被设立用于执行根据本发明的方法。
[0024]以软件的形式实施该方法也是有利的,因为这造成尤其低的成本,尤其是当所实施的控制设备还用于其他的任务并且因此本来存在时如此。用于提供计算机程序的适当的数据载体尤其是软盘、硬盘、闪存、EEPROM、⑶-ROM、DVD等。经由计算机网络(因特网、内联网等)下载程序也是可以的。
[0025]本发明的其他的优点和设计方案从说明书和所附的附图中得出。
[0026]易于理解的是,在上文中所述的并且在下文中仍要阐述的特征不仅能够以分别说明的组合、而且能够以其他的组合或单独地使用,而不脱离本发明的范围。
【附图说明】
[0027]本发明根据实施例在附图中示意示出并且在下文中参考附图详尽描述。
[0028]图1示意性地以一个优选的设计方案示出根据本发明的方法。
[0029]图2示意性地以另一个优选的设计方案示出根据本发明的方法。
[0030]图3示意性地以另一个优选的设计方案示出根据本发明的方法。
[0031]图4示意性地以另一个优选的设计方案示出根据本发明的方法。
【具体实施方式】
[0032]在图中示出本发明的优选的实施方式,其中本发明重要的撤销分别在虚线下面的下部部段中示出。在虚线上面,附加地示出可选的证书生成。
[0033]在图1中示意地以一个优选的设计方案示出根据本发明的方法。时间过程从上向下被表明。第一参与者100、第二参与者200以及居间者300参与所述方法。第一参与者100例如能够是参与道路交通的车辆。
[0034]第一参与者100首先生成密钥对,所述密钥对包括私人的密钥a*和所属的公开的密钥作为第一密钥P。这根据椭圆曲线密码学、简称为ECC进行。如果G在此为(例如公开已知的)椭圆曲线的生成器,那么根据规则P=a*XG产生公开的密钥P,其中X是在椭圆曲线上定义的乘法并且a*是标量。可以自由选择的标量a*于是被用作私人的密钥。
[0035]因此,能够根据规则P=a*XG从自由选择的私人的密钥a*产生第一密钥P。此外,第一参与者100产生生成值r。在一个可能的简单的设计方案中,该生成值为所谓的种子、即数值,从该数值借助于适当的决定的随机数生成器能够产生其他的标量。
[0036]第一参与者100随后将第一密钥P和生成值r传递到居间者300。居间者300通常是验证站。居间者300现在根据第一密钥P和生成值r计算其余的密钥P1、P2。
[0037]在ECC中,通常能够根据规则P’ =a’ XG产生其他的公开的密钥P’,其中a’是不同于a*的标量。此外,借助两个所述的规则得到(a*+a’)XG=a*XG+a’ XG=P+P’ =P’’,其中P’’也能够是公开的密钥。即P’’从P根据P’’=P+a’XG得出。所述公式优选地由一个在本发明的范围中优选的计算规则所包括。随机数生成器优选地也由该计算规则所包括。
[0038]由此,能够根据第一密钥P产生其余的密钥P1、P2,其中仅需要其他的标量al、a2,然而不需要原始的标量或私人的密钥a*。因为居间者300能够从第二初始值r产生所述需要的标量al、a2,所以所述居间者也能够计算出其余的密钥P1、P2。
[0039]随后,居间者300根据密钥P、P1、P2形成证书P*、Pl*、P2*,利用自身的居间者密钥标记证书并且随后将所述证书传递到第一参与者100。第一参与者100因此具有全部证书P*、PI*、P2*。第一参与者100能够根据前面的规则从al*=a*+al和a2*=a*+a2计算分别所属的私人的密钥al*和a2*。第一参与者100现在能够使用私人的密钥和证书,用于例如与第二参与者200进行通信。然而,第二参与者200不知道,密钥P、P1、P2或相应的证书P*、P1*、P2*配套,而是仅知道其他参与者、当前是第一参与者是被认证或验证的,该第一参与者具有和使用所述密钥或相应的证书。因此,有效地防止或至少明显加难对第一参与者的可追踪性。与在此描述的实施方式不同地,能够规定,第一密钥P不用于证书P*,无论如何不用于与第二参与者的通信。
[0040]如果居间者300现在希望将整体包括密钥P、P1、P2的证书组P*、P1*、P2*撤销或宣告为无效,那么所述居间者产生撤销值r*并且将所述撤销值连同第一密钥P —起传递到第二参与者200。尤其是,当反正应该撤销全部证书、即全部密钥P、P1、P2时,撤销值r*能够为生成值r。优选地,也将撤销通知第一参与者,以便所述第一参与者将来不再使用已经撤销的证书。这同样能够通过传递撤销值r*来实现,如其在图中通过虚线箭头所表明的那样。
[0041]第二参与者200现在能够与上述方法相似地根据第一密钥P计算其余的密钥P1、P2进而将全部密钥P、P1、P2或借此形成的证书组P*、Pl*、P2*标记为无效。在此,现在不再重要的是,第二参与者200能够将密钥P、P1、P2共同地分配给第一参与者100,因为所述密钥反正不再被使用。另一方面,然而仅必须将第一密钥P和撤销值r*从居间者300传递到第二参与者200。因为在实际中使用例如大约2000个密钥,所以在撤销时相对于单独地撤销每个密钥明显减少要传递的数据量。
[0042]此外,在证书中分别必须插入仅一个或所述密钥(这反正在证书中是必需的)并且不必如在现有技术中那样还附加地插入其他的数据、诸如连锁值。这减少在通信期间要传输的数据量。对密钥的唯一的前提条件是ECC作为产生基础。
[0043]在图2中示意地以另一个优选的设计方案示出根据本发明的方法。时间过程从上向下被表明。第一参与者100、第二参与者200以及居间者300参与所述方法。
[0044]基本上,该方法对应于在图1中示出的方法,然而具有以下区别,即借助生成值r与借助撤销值r*相比能够计算更多的密钥。
[0045]居间者300能够根据从第一参与者100传递到其的第一密钥P和生成值r计算密钥PU P2、P3、P4。此外,居间者300也将全部的密钥以标记的证书P*、PI*、P2*、P3*、P4*的形式传递到第一参与者100。因此,第一参与者100和第二参与者200之间的被认证的通信借助于密钥P、P1、P2、P3、P4或包括所述密钥的证书和所属的私人的密钥a*、al*、a2*…是可以的。
[0046]为了撤销,居间者300又将撤销值r*和第一密钥P传递到第二参与者200,借助于所述撤销值和第一密钥,第二参与者200然而仅能够计算密钥P3、P4。因此,第二参与者200仅能够将密钥P、P3、P4标记成无效的,然而不能够将密钥P1、P2标记成无效的。
[0047]撤销值r*在此例如能够包括决定的随机数生成器的适当的值,借助于所述适当的值仅能够计算预先确定的标量。因此也仅能够计算预先确定的密钥。
[0048]优选地,也将撤销通知第一参与者,以便所述第一参与者将来不再使用已经撤销的证书。这同样能够通过传递撤销值r*实现,如 其在图中通过虚线箭头所表明的那样。
[0049]以所述方式可以的是,居间者300仅撤销特定的、由其希望的证书。例如,可能的是,第一参与者迄今已经使用具有密钥P1、P2的证书,所述证书然而还不具有密钥P3、P4。因为第二参与者200现在当然不能够将密钥P1、P2与第一参与者100关联,所以事后的可追溯性也不再是可能的。而密钥P3、P4反正不再被使用。
[0050]根据本发明的方法也能够在下述情况下使用,即第一参与者希望其证书由两个或更多个不同的居间者来标记。对此,证书能够简单地被分成两个或更多个组。尤其是,可以由仅一个证书管理机关将不同的居间者构造为不同的计算系统。这在图3和4中示例性地被示出。
[0051]在图3中示意地以另一个优选的设计方案示出根据本发明的方法。时间过程从上向下被表明。第一参与者100、第二参与者200以及两个居间者300、301参与所述方法。
[0052]基本上,该方法在此对应于在图1中示出的方法,然而具有以下区别,即第一参与者100产生两个生成值r、r’,其中利用每个生成值根据第一密钥P仅能够计算其余的密钥的一部分、然而共同地能够计算全部的其余的密钥。当前,借助于生成值r能够计算密钥Pl并且借助于生成值r’能够计算密钥P2。
[0053]由第一参与者100分别连同第一密钥P —起地将生成值r传递到居间者300并且将生成值r’传递到居间者301。随后,居间者300计算密钥P1,居间者301计算密钥P2并且分别将其在所属的证书Pl*或P2*中传递到第一参与者100。属于第一密钥的证书P*能够由一个或也能够由两个居间者300、301传递到第一参与者100。
[0054]为了撤销证书,现在由居间者300将第一密钥P和撤销值r*传递到第二参与者200,该撤销值尤其是能够对应于生成值r。居间者301相应地将撤销值r*’传递到第二参与者200,所述撤销值能够对应于生成值r’。以所述方式,能够撤销所有证书。当居间者300、301属于相同的验证站时,也能够考虑的是,将撤销值r*和r*’适当地综合成一个撤销值,由此能够节约传输花费。
[0055]优选地,也将撤销通知第一参与者,以便所述第一参与者将来不再使用已经撤销的证书。这同样能够通过传递撤销值r*、r*’实现,如其在图中通过虚线的箭头所表明的那样。
[0056]在图4中示意地以另一个优选的设计方案示出根据本发明的方法。时间过程由上向下被表明。第一参与者100、第二参与者200以及两个居间者300、301参与该方法。
[0057]基本上,该方法在此对应于在图1中示出的方法,然而具有以下区别,即将两个在图2和3中示出的变型形式组合。
[0058]如在根据图3的设计方案中,两个生成值r、r’由第一参与者100产生并且分别连同第一密钥P —起被传递到居间者300、301。借助于生成值r在此能够计算密钥P1、P2并且借助于生成值r’在此能够计算密钥P3、P4。由居间者300、301计算的密钥被作为所属的证书分别传递到第一参与者100。
[0059]为了撤销,居间者300将第一密钥P和撤销值r*并且居间者301将第一密钥P和撤销值r*’传递到第二参与者200,借助于所述第一密钥和撤销值,第二参与者200然而仅能够计算密钥P2、P4。因此,第二参与者200仅能够将密钥P、P2、P4标记成是无效的,然而不能够将密钥P1、P3标记成无效的。
[0060]以所述方式,将两个在根据图2和3的设计方案中示出的优点组合。防止可能的可追踪性,因为其余的密钥的计算被分配到两个居间者上并且防止可能的事后的可追踪性,因为已经使用的密钥不传递到第二参与者。
[0061]优选地,也将撤销通知第一参与者,以便所述第一参与者将来不再使用已经撤销的证书。这同样能够通过传递撤销值r*、r*’来实现,如其在图中通过虚线的箭头所表明的那样。
[0062]如已经在开始提到的那样,根据本发明的方法不局限于一个第二参与者200,更确切地说实际上通常存在多个第二参与者,诸如其他的车辆或交通基础设施。于是,相同的数据如被传递到所述一个第二参与者尤其也同时地被传递到其他的第二参与者。
[0063]到两个居间者上的分配也是不受限的。根据安全程度,其余的密钥的计算能够分配到更多的居间者上。
【主权项】
1.用于撤销证书组的方法,在所述证书中每个证书包括密钥(P1、P2、P3、P4),以用于第一参与者(100)和至少一个第二参与者(200)之间的被认证的通信, 其中为了撤销将第一密钥(P)和撤销值(r*、r*’ )传递到所述至少一个第二参与者(200),借助于所述撤销值能够根据所述第一密钥(P)计算所述证书组的密钥(Pl、P2、P3、P4)02.根据权利要求1所述的方法,其中所述第一密钥(P)由所述第一参与者(100)产生。3.根据权利要求2所述的方法,其中连同所述第一密钥(P)—起由所述第一参与者(100)产生所属的私人的密钥(a)。4.根据上述权利要求中任一项所述的方法,其中将所述撤销值(r*)传递到所述第一参与者(200)以便通知完成的撤销。5.根据上述权利要求中任一项所述的方法,其中所述第一密钥(P)和所述撤销值(r*、r*’)由居间者(300、301)传递到所述至少一个第二参与者。6.根据权利要求5所述的方法,其中所述第一密钥(P)和生成值(r、r’)首先由所述第一参与者(100)传递到所述居间者(300、301),借助于所述生成值能够根据所述第一密钥(P)计算所述证书组的密钥(PU P2、P3、P4)。7.根据权利要求6所述的方法,其中将所述证书组的密钥(P1、P2、P3、P4)在撤销之前在所属的由所述居间者(300、301)标记的证书中传递到所述第一参与者(100)以用于被认证的通信。8.根据权利要求6或7所述的方法,其中所述撤销值(r*、r*’)包括所述生成值(r、r,)?9.根据权利要求6或7所述的方法,其中借助于所述生成值(r、r’)能够从所述第一密钥(P)计算至少一个不能够借助于所述撤销值来计算的其他的密钥(P3、P4)。10.根据权利要求5至9中任一项所述的方法,其中为了撤销其他的证书组,所述第一密钥(P)和其他的撤销值(r*’)由其他的居间者(301)传递到所述至少一个第二参与者(200)o11.根据权利要求10所述的方法,其中所述其他的撤销值(r*’)由所述其他的居间者(301)传递到所述第一参与者(200 )以便通知完成的撤销。12.根据上述权利要求中任一项所述的方法,其中所述密钥借助于椭圆曲线密码学来产生。13.计算单元,所述计算单元被设立用于执行根据上述权利要求中任一项所述的方法。14.计算机程序,所述计算机程序促使计算单元在以下情况下执行根据权利要求1至12中任一项所述的方法,即所述方法在所述计算单元上被实施。15.机器可读的存储介质,所述机器可读的存储介质具有在其上存储的根据权利要求14所述的计算机程序。
【专利摘要】本发明涉及一种用于撤销证书组的方法,在所述证书中每个证书包括密钥(P1、P2、P3、P4),以用于第一参与者(100)和至少一个第二参与者(200)之间的被认证的通信,其中为了撤销将第一密钥(P)和撤销值(r*、r*’)传递到所述至少一个第二参与者(200),借助于所述撤销值能够根据所述第一密钥(P)计算所述证书组的密钥(P1、P2、P3、P4)。
【IPC分类】H04L9/30
【公开号】CN104901798
【申请号】CN201510095672
【发明人】A.恰赫
【申请人】罗伯特·博世有限公司
【公开日】2015年9月9日
【申请日】2015年3月4日
【公告号】DE102014204044A1, US20150256348
最新回复(0)