背景技術(shù)：

車(chē)輛信息娛樂(lè)、導(dǎo)航和其他車(chē)載計(jì)算系統(tǒng)在豪華車(chē)輛和低端車(chē)輛中都已經(jīng)變得很普遍并且可以向車(chē)輛操作者提供各種駕駛輔助。例如，車(chē)載攝像頭系統(tǒng)可以用于改善視野、自動(dòng)平行停車(chē)和/或其他目的。此外，倒車(chē)?yán)走_(dá)和/或自動(dòng)剎車(chē)系統(tǒng)可以用于幫助防止駕駛員追尾行人或其他車(chē)輛。

車(chē)輛通信系統(tǒng)長(zhǎng)期以來(lái)使駕駛員和/或車(chē)輛自身與支援人員通信，以用于緊急和安全響應(yīng)。例如，一些車(chē)輛能夠在車(chē)輛牽涉到事故中時(shí)自己向緊急支援人員(即，在遠(yuǎn)程位置處)發(fā)送報(bào)告。進(jìn)一步地，一些車(chē)輛通信系統(tǒng)使車(chē)輛所有者能夠在所有者偶然將鑰匙鎖在她的車(chē)?yán)锏那闆r下聯(lián)系安全支援人員以便例如解鎖車(chē)輛。車(chē)輛制造業(yè)最近已經(jīng)開(kāi)始將重點(diǎn)放在車(chē)輛通信系統(tǒng)以及如自動(dòng)駕駛汽車(chē)和自動(dòng)化公路等概念上。這樣做時(shí)，已經(jīng)開(kāi)發(fā)了各種解決方案用于使得能夠進(jìn)行具有非常受限的數(shù)據(jù)安全性的自組織車(chē)輛到車(chē)輛通信。

附圖說(shuō)明

在附圖中，以示例的方式而非限制的方式來(lái)展示在本文中所描述的概念。為了說(shuō)明的簡(jiǎn)單和清晰起見(jiàn)，在附圖中所展示的元件不一定按比例繪制。在認(rèn)為適當(dāng)?shù)那闆r下，在附圖當(dāng)中重復(fù)參考標(biāo)號(hào)以表示相應(yīng)或相似的元件。

圖1是一種用于在車(chē)輛之間交換傳感器信息的系統(tǒng)的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖；

圖2是圖1的系統(tǒng)的車(chē)載計(jì)算系統(tǒng)的環(huán)境的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖；

圖3是圖1的系統(tǒng)的協(xié)調(diào)服務(wù)器的環(huán)境的至少一個(gè)實(shí)施例的簡(jiǎn)化框圖；

圖4至圖5是一種使用圖1的系統(tǒng)的車(chē)載計(jì)算系統(tǒng)來(lái)交換傳感器信息的方法的至少一個(gè)實(shí)施例的簡(jiǎn)化流程圖；以及

圖6至圖7是一種使用圖1的系統(tǒng)的協(xié)調(diào)服務(wù)器來(lái)在車(chē)載計(jì)算系統(tǒng)之間協(xié)調(diào)對(duì)傳感器信息的交換的方法的至少一個(gè)實(shí)施例的簡(jiǎn)化流程圖。

具體實(shí)施方式

雖然本公開(kāi)的概念易于經(jīng)歷各種修改和替代形式，但是在附圖中已經(jīng)通過(guò)示例的方式來(lái)示出了其特定實(shí)施例并且將在本文中詳細(xì)地對(duì)其進(jìn)行描述。然而，應(yīng)當(dāng)理解的是，不意在將本公開(kāi)的概念限制于所公開(kāi)的特定形式，而相反，意圖是覆蓋與本公開(kāi)和所附權(quán)利要求書(shū)一致的所有修改型式、等效型式和替代型式。

在說(shuō)明書(shū)中提到的“一個(gè)實(shí)施例”、“實(shí)施例”、“說(shuō)明性施例”等指示所描述的實(shí)施例可以包括特定特征、結(jié)構(gòu)或特性，但每一個(gè)實(shí)施例可能或者可能不一定包括該特定特征、結(jié)構(gòu)或特性。此外，這種短語(yǔ)不一定指相同的實(shí)施例。此外，當(dāng)關(guān)于實(shí)施例而描述了特定特征、結(jié)構(gòu)或特性時(shí)，應(yīng)當(dāng)認(rèn)為的是，無(wú)論是否進(jìn)行了明確描述，結(jié)合其他實(shí)施例來(lái)實(shí)現(xiàn)這種特征、結(jié)構(gòu)或特性都在本領(lǐng)域的技術(shù)人員的知識(shí)內(nèi)。另外，應(yīng)當(dāng)理解的是，包括在采用“至少一個(gè)a、b和c”的形式的列表中的項(xiàng)目可以指(a)、(b)、(c)、(a和b)、(b和c)、(a和c)或(a、b和c)。類(lèi)似地，采用“a、b和c中的至少一者”的形式來(lái)列出的項(xiàng)目可以指(a)；(b)；(c)；(a和b)；(b和c)；(a和c)；或(a、b和c)。

在一些情況下，可以在硬件、固件、軟件或其任何組合中實(shí)施所公開(kāi)的實(shí)施例。所公開(kāi)的實(shí)施例還可以被實(shí)施為由一種或多種瞬態(tài)或非瞬態(tài)機(jī)器可讀(例如，計(jì)算機(jī)可讀)存儲(chǔ)介質(zhì)所攜帶或存儲(chǔ)在其上的指令，所述指令可以由一個(gè)或多個(gè)處理器讀取和執(zhí)行。機(jī)器可讀存儲(chǔ)介質(zhì)可以被具體化為任何存儲(chǔ)設(shè)備、機(jī)制、或用于存儲(chǔ)或傳輸采用機(jī)器可讀形式的信息的其他物理結(jié)構(gòu)(例如，易失性或非易失性存儲(chǔ)器、介質(zhì)盤(pán)或其他介質(zhì)設(shè)備)。

在附圖中，可以采用特定安排和/或排序來(lái)示出一些結(jié)構(gòu)特征或方法特征。然而，應(yīng)當(dāng)理解的是，可能不需要這種特定的安排和/或排序。相反，在一些實(shí)施例中，可以采用與在說(shuō)明性附圖中所示出的方式和/或順序不同的方式和/或順序來(lái)安排這種特征。另外，在具體的圖中包括結(jié)構(gòu)特征或方法特征并不意味著暗示在所有實(shí)施例中都需要這種特征，并且在一些實(shí)施例中，可以不包括這種特征或者這種特征可以與其他特征組合。

現(xiàn)在參照?qǐng)D1，用于在車(chē)輛之間交換傳感器信息的系統(tǒng)100包括車(chē)載計(jì)算系統(tǒng)102、一個(gè)或多個(gè)網(wǎng)絡(luò)104、一個(gè)或多個(gè)遠(yuǎn)程車(chē)載計(jì)算系統(tǒng)106、協(xié)調(diào)服務(wù)器108、證明服務(wù)器110、和制造商服務(wù)器112。如在圖1中所示出的，車(chē)載計(jì)算系統(tǒng)102包括在車(chē)輛120中，并且遠(yuǎn)程車(chē)載計(jì)算系統(tǒng)106中的每一個(gè)遠(yuǎn)程車(chē)載計(jì)算系統(tǒng)包括在相應(yīng)遠(yuǎn)程車(chē)輛122中。在說(shuō)明性實(shí)施例中，車(chē)輛120、122中的每一臺(tái)車(chē)輛被具體化為輪式客運(yùn)車(chē)輛(例如，汽車(chē)、卡車(chē)、卡車(chē)牽引車(chē)、公共汽車(chē)等)。然而，應(yīng)當(dāng)理解的是，在其他實(shí)施例中，車(chē)輛120、122中的一臺(tái)或多臺(tái)車(chē)輛可以被具體化為另一種類(lèi)型的車(chē)輛(例如，被具體化為軌道驅(qū)動(dòng)車(chē)輛、飛行器、海上船舶、無(wú)人駕駛車(chē)輛、無(wú)人機(jī)、或者適合于對(duì)所描述的技術(shù)和機(jī)制的應(yīng)用的另一種車(chē)輛)或者其他可移動(dòng)裝置。

車(chē)載計(jì)算系統(tǒng)102、106中的每一個(gè)車(chē)載計(jì)算系統(tǒng)可以被具體化為能夠執(zhí)行本文中所描述的功能的任何類(lèi)型的計(jì)算系統(tǒng)。盡管在圖1中僅說(shuō)明性地示出了一個(gè)協(xié)調(diào)服務(wù)器108、一個(gè)證明服務(wù)器110、以及一個(gè)制造商服務(wù)器112，但是在其他實(shí)施例中，系統(tǒng)100可以包括任何數(shù)量的網(wǎng)絡(luò)104、協(xié)調(diào)服務(wù)器108、證明服務(wù)器110和/或制造商服務(wù)器112。例如，對(duì)于包括在系統(tǒng)100中的車(chē)輛120、122的每一個(gè)制造商，系統(tǒng)100可以包括不同的制造商服務(wù)器112。進(jìn)一步地，在一些實(shí)施例中，系統(tǒng)100的設(shè)備中的一個(gè)或多個(gè)設(shè)備可以形成系統(tǒng)100的另一個(gè)設(shè)備的一部分(例如，制造商服務(wù)器112可以被具體化為協(xié)調(diào)服務(wù)器108的一部分)。

如以上所指示的，車(chē)輛120、122可以使用當(dāng)前車(chē)載計(jì)算系統(tǒng)、采用通常不安全的特別方式來(lái)彼此通信。然而，可能已經(jīng)通過(guò)不可信網(wǎng)絡(luò)和/或從潛在惡意節(jié)點(diǎn)處潛在地傳輸了這種系統(tǒng)中的車(chē)輛所接收的傳感器數(shù)據(jù)。例如，在簡(jiǎn)單的防撞系統(tǒng)中，可以將兩臺(tái)車(chē)輛的慣性特性和空間特性(例如、速度、坐標(biāo)等)傳達(dá)至彼此，以便允許車(chē)輛響應(yīng)于基于所接收的傳感器數(shù)據(jù)檢測(cè)到可能的碰撞而采取保護(hù)動(dòng)作(例如，停止車(chē)輛)。在以上所描述的不安全系統(tǒng)中，不法之徒可能向所有附近車(chē)輛廣播虛假數(shù)據(jù)或欺騙數(shù)據(jù)，強(qiáng)迫他們識(shí)別偽造的即將到來(lái)的碰撞并停止他們的行程。系統(tǒng)100允許在車(chē)輛之間采用防范這種惡意行為的方式來(lái)進(jìn)行對(duì)傳感器信息的安全交換。

如以下詳細(xì)地描述的，協(xié)調(diào)服務(wù)器108在車(chē)輛120與(多臺(tái))遠(yuǎn)程車(chē)輛106之間協(xié)調(diào)對(duì)傳感器信息的安全交換。具體地，協(xié)調(diào)服務(wù)器108與車(chē)載計(jì)算系統(tǒng)102、106中的一個(gè)或多個(gè)車(chē)載計(jì)算系統(tǒng)建立安全通信信道。在說(shuō)明性實(shí)施例中，協(xié)調(diào)服務(wù)器108和車(chē)載計(jì)算系統(tǒng)102證明彼此的安全性(例如，通過(guò)證明服務(wù)器110)，從而驗(yàn)證協(xié)調(diào)服務(wù)器108和車(chē)載計(jì)算系統(tǒng)102中的每一者正在可信執(zhí)行環(huán)境中執(zhí)行與傳感器信息的轉(zhuǎn)移相關(guān)的指令。在已經(jīng)驗(yàn)證協(xié)調(diào)服務(wù)器108的安全性之后，車(chē)載計(jì)算系統(tǒng)102可以將傳感器數(shù)據(jù)轉(zhuǎn)移到協(xié)調(diào)服務(wù)器108中。這樣做時(shí)，車(chē)載計(jì)算系統(tǒng)102將相關(guān)傳感器數(shù)據(jù)、證明引用(attestationquote)和可信執(zhí)行環(huán)境密鑰簽名(例如，傳感器數(shù)據(jù)和/或證明引用的)傳輸至協(xié)調(diào)服務(wù)器108。如以下所描述的，證明引用可以基于車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境(例如，以供協(xié)調(diào)服務(wù)器108進(jìn)行驗(yàn)證)，并且可信執(zhí)行環(huán)境密鑰簽名可以是例如使用綁定至車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境的私有增強(qiáng)隱私標(biāo)識(shí)(epid)密鑰來(lái)生成的epid密鑰簽名。當(dāng)然，如以下所描述的，在其他實(shí)施例中可以采用其他一對(duì)多(one-to-many)密碼簽名和/或直接匿名證明方案。

在說(shuō)明性實(shí)施例中，協(xié)調(diào)服務(wù)器108驗(yàn)證可信執(zhí)行環(huán)境密鑰簽名、確定密鑰簽名的撤銷(xiāo)狀態(tài)(例如，經(jīng)由制造商服務(wù)器112)、并驗(yàn)證從車(chē)載計(jì)算系統(tǒng)102處接收的證明引用。如果成功，則協(xié)調(diào)服務(wù)器108可以假設(shè)已經(jīng)從車(chē)載計(jì)算系統(tǒng)102處安全地轉(zhuǎn)移了傳感器數(shù)據(jù)(例如，尚未損害傳感器數(shù)據(jù)的完整性)，并且協(xié)調(diào)服務(wù)器108可以進(jìn)一步處理傳感器數(shù)據(jù)。例如，協(xié)調(diào)服務(wù)器108可以將傳感器數(shù)據(jù)傳輸至適當(dāng)遠(yuǎn)程車(chē)輛122(例如，車(chē)輛120附近的遠(yuǎn)程車(chē)輛122)的相應(yīng)車(chē)載計(jì)算系統(tǒng)106。應(yīng)當(dāng)理解的是，協(xié)調(diào)服務(wù)器108可以采用類(lèi)似的方式來(lái)從遠(yuǎn)程車(chē)輛122中安全地檢索傳感器數(shù)據(jù)。換言之，車(chē)載計(jì)算系統(tǒng)102、106通過(guò)協(xié)調(diào)服務(wù)器108來(lái)將傳感器數(shù)據(jù)傳輸至彼此，而不是采用特別的不安全方式來(lái)直接傳達(dá)至彼此。根據(jù)特定實(shí)施例，車(chē)載計(jì)算系統(tǒng)102、106和/或協(xié)調(diào)服務(wù)器108可以判定應(yīng)當(dāng)將相應(yīng)傳感器數(shù)據(jù)傳輸至其他哪個(gè)(哪些)車(chē)載計(jì)算系統(tǒng)102、106。進(jìn)一步地，在一些實(shí)施例中，還可以采用類(lèi)似的安全方式來(lái)將傳感器數(shù)據(jù)從協(xié)調(diào)服務(wù)器108傳輸至車(chē)載計(jì)算系統(tǒng)102、106。

在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102、106中的一個(gè)或多個(gè)車(chē)載計(jì)算系統(tǒng)可以被具體化為車(chē)載信息娛樂(lè)系統(tǒng)、導(dǎo)航系統(tǒng)和/或其他基于車(chē)輛的計(jì)算系統(tǒng)，或者可以形成其一部分。在其他實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102、106反而可以被具體化為獨(dú)立的計(jì)算設(shè)備或計(jì)算系統(tǒng)。例如，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102、106反而可以被具體化為與車(chē)輛不相關(guān)的計(jì)算設(shè)備。在這種實(shí)施例中，計(jì)算系統(tǒng)102、106中的每一個(gè)計(jì)算系統(tǒng)可以被具體化為能夠執(zhí)行本文中所描述的功能的任何類(lèi)型的計(jì)算設(shè)備(例如，服務(wù)器、臺(tái)式計(jì)算機(jī)、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)、筆記本、上網(wǎng)本、超極筆記本^tm、蜂窩電話(huà)、智能電話(huà)、個(gè)人數(shù)字助理、移動(dòng)互聯(lián)網(wǎng)設(shè)備、可穿戴式計(jì)算設(shè)備、混合設(shè)備和/或任何其他計(jì)算/通信設(shè)備)。

在這種實(shí)施例中，協(xié)調(diào)服務(wù)器108可以在其他實(shí)施例中在計(jì)算設(shè)備與另一個(gè)計(jì)算設(shè)備之間協(xié)調(diào)對(duì)傳感器信息的安全交換。這樣做時(shí)，協(xié)調(diào)服務(wù)器108和計(jì)算設(shè)備可以執(zhí)行與本文中關(guān)于在車(chē)輛之間交換傳感器信息而描述的功能類(lèi)似的功能。具體地，協(xié)調(diào)服務(wù)器108可以與計(jì)算設(shè)備建立安全通信信道，并且協(xié)調(diào)服務(wù)器108和計(jì)算設(shè)備可以證明彼此的安全性(即，相應(yīng)可信執(zhí)行環(huán)境的安全性)。如以上所描述的，為了轉(zhuǎn)移傳感器數(shù)據(jù)，計(jì)算設(shè)備之一可以將相關(guān)傳感器數(shù)據(jù)、證明引用和可信執(zhí)行環(huán)境密鑰簽名傳輸至協(xié)調(diào)服務(wù)器108。協(xié)調(diào)服務(wù)器108驗(yàn)證證明引用和密鑰簽名并且相應(yīng)地處理傳感器數(shù)據(jù)(例如，將其轉(zhuǎn)發(fā)至(多個(gè))適當(dāng)?shù)倪h(yuǎn)程計(jì)算設(shè)備)。應(yīng)當(dāng)理解的是，本文中所描述的方法同樣很好地適用于車(chē)載計(jì)算系統(tǒng)102、106被具體化為非車(chē)輛計(jì)算系統(tǒng)的實(shí)施例。

如在圖1中所示出的，說(shuō)明性車(chē)載計(jì)算系統(tǒng)102包括處理器150、輸入/輸出(“i/o”)子系統(tǒng)152、存儲(chǔ)器154、一個(gè)或多個(gè)傳感器156、安全協(xié)處理器158、數(shù)據(jù)存儲(chǔ)設(shè)備160、通信電路162、和一個(gè)或多個(gè)外圍設(shè)備164。此外，在一些實(shí)施例中，i/o子系統(tǒng)152可以包括硬件保護(hù)的i/o路徑。當(dāng)然，在其他實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以包括其他或附加部件，比如，典型計(jì)算設(shè)備中常見(jiàn)的部件(例如，各種輸入/輸出設(shè)備和/或其他部件)。此外，在一些實(shí)施例中，說(shuō)明性部件中的一個(gè)或多個(gè)說(shuō)明性部件可以結(jié)合在另一個(gè)部件中、或可以其他方式來(lái)自其一部分。例如，在一些實(shí)施例中，存儲(chǔ)器114或其部分可以結(jié)合在處理器150中。在又其他實(shí)施例中，可以省略在圖1的說(shuō)明性實(shí)施例中所示出的部件中的一個(gè)或多個(gè)部件(例如，安全協(xié)處理器158)。

處理器150可以被具體化為能夠執(zhí)行本文中所描述的功能的任何類(lèi)型的處理器。例如，處理器150可以被具體化為(多個(gè))單核或多核處理器、數(shù)字信號(hào)處理器、微控制器、或者其他處理器或處理/控制電路。類(lèi)似地，存儲(chǔ)器154可以被具體化為能夠執(zhí)行本文中所描述的功能的任何類(lèi)型的易失性或非易失性存儲(chǔ)器或數(shù)據(jù)儲(chǔ)存設(shè)備。在操作中，存儲(chǔ)器154可以存儲(chǔ)在對(duì)車(chē)載計(jì)算系統(tǒng)102的操作期間所使用的各種數(shù)據(jù)和軟件，比如，操作系統(tǒng)、應(yīng)用、程序、庫(kù)和驅(qū)動(dòng)程序。存儲(chǔ)器154經(jīng)由i/o子系統(tǒng)152通信地耦合至處理器150，所述i/o子系統(tǒng)可以被具體化為用于促進(jìn)與車(chē)載計(jì)算系統(tǒng)102的處理器150、存儲(chǔ)器154、以及其他部件的輸入/輸出操作的電路和/或部件。例如，i/o子系統(tǒng)152可以被具體化為或以其他方式包括用于促進(jìn)輸入/輸出操作的存儲(chǔ)器控制器中樞、輸入/輸出控制中樞、固件設(shè)備、通信鏈路(即，點(diǎn)到點(diǎn)鏈路、總線(xiàn)鏈路、線(xiàn)、電纜、光導(dǎo)、印刷電路板跡線(xiàn)等)和/或其他部件和子系統(tǒng)。在一些實(shí)施例中，i/o子系統(tǒng)152可以形成片上系統(tǒng)(soc)的一部分并且可以與車(chē)載計(jì)算系統(tǒng)102的處理器150、存儲(chǔ)器154以及其他部件一起被結(jié)合在單個(gè)集成電路芯片上。

在說(shuō)明性實(shí)施例中，傳感器156基于車(chē)載計(jì)算系統(tǒng)102的物理環(huán)境和/或情境來(lái)收集數(shù)據(jù)。在各種實(shí)施例中，傳感器156可以被具體化為或者以其他方式包括例如慣性傳感器、接近傳感器、光學(xué)傳感器、光傳感器、音頻傳感器、溫度傳感器、運(yùn)動(dòng)傳感器、壓電傳感器、壓力傳感器、圖像傳感器、和/或生成對(duì)車(chē)載計(jì)算系統(tǒng)102有用的數(shù)據(jù)的其他類(lèi)型的傳感器，所述傳感器可能根據(jù)車(chē)載計(jì)算系統(tǒng)102的特定用途而變化。當(dāng)然，車(chē)載計(jì)算系統(tǒng)102還可以包括被配置成用于幫助傳感器156的用戶(hù)的部件和/或設(shè)備。

應(yīng)當(dāng)理解的是，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境(例如，在安全協(xié)處理器158中建立的)可以通過(guò)硬件保護(hù)的i/o路徑166來(lái)訪(fǎng)問(wèn)由傳感器156生成的傳感器數(shù)據(jù)(即，從而提供可信且抗篡改的感測(cè)讀數(shù))。換言之，在一些實(shí)施例中，硬件保護(hù)的i/o路徑166可以充當(dāng)傳感器數(shù)據(jù)的硬件增強(qiáng)安全性。進(jìn)一步地，在一些實(shí)施例中，傳感器156所生成的傳感器數(shù)據(jù)不可由處理器150訪(fǎng)問(wèn)。

安全協(xié)處理器158可以被具體化為能夠建立可信執(zhí)行環(huán)境的任何(多個(gè))硬件部件或電路。例如，安全協(xié)處理器158可以被具體化為可信平臺(tái)模塊(tpm)、管理引擎(me)、或者帶外處理器。在一些實(shí)施例中，一個(gè)或多個(gè)可信執(zhí)行環(huán)境(tee)密鑰168被存儲(chǔ)或配設(shè)到安全協(xié)處理器158中。例如，可以在安全協(xié)處理器158的或車(chē)載計(jì)算系統(tǒng)102的制造過(guò)程期間或借助于“加入”協(xié)議來(lái)將私有增強(qiáng)隱私標(biāo)識(shí)(epid)密鑰和/或另一個(gè)私有tee密鑰配設(shè)到安全協(xié)處理器158中。在其他實(shí)施例中，可以將epid密鑰或其他tee密鑰配設(shè)到車(chē)載計(jì)算系統(tǒng)102的一個(gè)或多個(gè)其他部件中。此外，在一些實(shí)施例中，tee密鑰證書(shū)(例如，epid證書(shū))也被存儲(chǔ)或配設(shè)到安全協(xié)處理器158中。tee密鑰證書(shū)可以包括與配設(shè)到安全協(xié)處理器158中的私有tee密鑰相對(duì)應(yīng)的公共tee密鑰，并且可由安全協(xié)處理器158的制造商(例如，由制造商服務(wù)器112)簽名。還應(yīng)當(dāng)理解的是，在一些實(shí)施例中，安全協(xié)處理器158可以與協(xié)調(diào)服務(wù)器108的相應(yīng)安全協(xié)處理器直接通信。此外，在一些實(shí)施例中，安全協(xié)處理器158可以與遠(yuǎn)程設(shè)備和/或部件(例如，協(xié)調(diào)服務(wù)器108)建立安全的帶外通信鏈路。

如以下詳細(xì)地討論的，應(yīng)當(dāng)理解的是，epid密鑰與具有單個(gè)公共epid密鑰和特定組標(biāo)識(shí)(組id或gid)的組相關(guān)聯(lián)。屬于該組的任何私有epid密鑰(可能存在許多私有epid密鑰)可以與相應(yīng)公共epid密鑰配對(duì)成有效的公共-私有密碼對(duì)。例如，車(chē)載計(jì)算系統(tǒng)102的安全協(xié)處理器158(或可信執(zhí)行環(huán)境)可以具有一個(gè)私有epid密鑰，并且遠(yuǎn)程車(chē)載計(jì)算設(shè)備106的安全協(xié)處理器(或可信執(zhí)行環(huán)境)可以具有不同的私有epid密鑰。如果車(chē)載計(jì)算系統(tǒng)102的安全協(xié)處理器158和車(chē)載計(jì)算系統(tǒng)106的安全協(xié)處理器是相同組(例如，相同制造批號(hào))的成員，則他們的私有epid密鑰為具有相同公共epid密鑰的有效非對(duì)稱(chēng)密鑰對(duì)。例如，在說(shuō)明性實(shí)施例中，針對(duì)每一個(gè)車(chē)輛品牌/型號(hào)而存在不同的組。此外，epid密鑰允許所述成員的匿名性和不可鏈接性并且還允許密鑰撤銷(xiāo)。在其他實(shí)施例中，可以使用另一個(gè)一對(duì)多密碼方案。進(jìn)一步地，在一些實(shí)施例中，可信應(yīng)用被用作可信根而不是硬件(例如，安全協(xié)處理器158)。在這種實(shí)施例中，可以將tee密鑰配設(shè)到運(yùn)行所述應(yīng)用的平臺(tái)中。應(yīng)當(dāng)理解的是，在說(shuō)明性實(shí)施例中，協(xié)調(diào)服務(wù)器108可訪(fǎng)問(wèn)公共tee密鑰(例如，公共epid密鑰)和撤銷(xiāo)列表，以便判定車(chē)載計(jì)算系統(tǒng)102的私鑰簽名是否有效和未被撤銷(xiāo)(例如，借助于制造商服務(wù)器112)。應(yīng)當(dāng)理解的是，在一些實(shí)施例中，可以在車(chē)載計(jì)算系統(tǒng)102上建立可信執(zhí)行環(huán)境，而無(wú)需使用安全協(xié)處理器158。例如，在這種實(shí)施例中，處理器150可以建立用于安全執(zhí)行的tee情境(例如，因特爾軟件防護(hù)擴(kuò)展(sgx)安全飛地)?？尚艌?zhí)行環(huán)境可以“可見(jiàn)”為加密的存儲(chǔ)器區(qū)域和執(zhí)行空間并且可能能夠被解密，并且因此可以?xún)H由執(zhí)行處理器150訪(fǎng)問(wèn)(即，在處理器總線(xiàn)中的任何處理器總線(xiàn)上以非解密的形式不可用)。相應(yīng)地，在車(chē)載計(jì)算系統(tǒng)102不包括安全協(xié)處理器158或沒(méi)有使用安全協(xié)處理器158的實(shí)施例中，車(chē)載計(jì)算設(shè)備102可以以其他方式建立可信執(zhí)行環(huán)境(例如，與處理器150)并執(zhí)行本文中所描述的功能。

數(shù)據(jù)存儲(chǔ)設(shè)備160可以被具體化為被配置成用于對(duì)數(shù)據(jù)進(jìn)行短期或長(zhǎng)期存儲(chǔ)的任何類(lèi)型的一種或多種設(shè)備，如例如，存儲(chǔ)器設(shè)備和電路、存儲(chǔ)器卡、硬盤(pán)驅(qū)動(dòng)器、固態(tài)驅(qū)動(dòng)器或其他數(shù)據(jù)存儲(chǔ)設(shè)備。數(shù)據(jù)存儲(chǔ)設(shè)備160和/或存儲(chǔ)器154可以在對(duì)車(chē)載計(jì)算系統(tǒng)102的操作期間存儲(chǔ)各種數(shù)據(jù)，如例如，密鑰、密鑰證書(shū)、和/或在如下所討論的在對(duì)車(chē)載計(jì)算系統(tǒng)102的操作中有用的其他數(shù)據(jù)。

車(chē)載計(jì)算系統(tǒng)102的通信電路162可以被具體化為能夠使車(chē)載計(jì)算系統(tǒng)102與其他遠(yuǎn)程設(shè)備(例如，協(xié)調(diào)服務(wù)器108)之間的通信成為可能的任何通信電路、設(shè)備或其集合。通信電路162可以被配置成用于使用任何一種或多種通信技術(shù)(例如，無(wú)線(xiàn)或有線(xiàn)通信)和相關(guān)聯(lián)的協(xié)議(例如，以太網(wǎng)、藍(lán)牙wimax等)來(lái)實(shí)現(xiàn)這種通信。

在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102還可以包括一個(gè)或多個(gè)外圍設(shè)備164。外圍設(shè)備164可以包括任何數(shù)量的附加外圍設(shè)備或接口設(shè)備，比如，揚(yáng)聲器、麥克風(fēng)、附加存儲(chǔ)設(shè)備等等。包括在外圍設(shè)備164中的具體設(shè)備可以取決于例如車(chē)載計(jì)算系統(tǒng)102的類(lèi)型和/或預(yù)期用途(例如，車(chē)載計(jì)算系統(tǒng)102是否為獨(dú)立的系統(tǒng)或是否并入到更大的車(chē)載信息娛樂(lè)系統(tǒng)中)。

(多個(gè))網(wǎng)絡(luò)104中的每一個(gè)網(wǎng)絡(luò)可以被具體化為能夠促進(jìn)系統(tǒng)100的各種設(shè)備之間的通信的任何類(lèi)型的通信網(wǎng)絡(luò)。例如，網(wǎng)絡(luò)104可以被配置成用于促進(jìn)車(chē)載計(jì)算系統(tǒng)102與協(xié)調(diào)服務(wù)器108之間的(例如，不受阻礙地和/或經(jīng)由安全通信信道)通信，并且另一個(gè)網(wǎng)絡(luò)104可以被配置成用于促進(jìn)協(xié)調(diào)服務(wù)器108與遠(yuǎn)程車(chē)載計(jì)算系統(tǒng)106之一之間的通信。在一些實(shí)施例中，假設(shè)到協(xié)調(diào)服務(wù)器108的上行鏈路是持久的(即，具有泛在網(wǎng)連接性)。如此，網(wǎng)絡(luò)104中的每一個(gè)網(wǎng)絡(luò)可以包括一個(gè)或多個(gè)網(wǎng)絡(luò)、路由器、交換機(jī)、計(jì)算機(jī)和/或其它中間設(shè)備。例如，網(wǎng)絡(luò)104可以被具體化為或以其他方式包括一個(gè)或多個(gè)蜂窩網(wǎng)絡(luò)、電話(huà)網(wǎng)絡(luò)、局域網(wǎng)或廣域網(wǎng)、公共可用的全球網(wǎng)絡(luò)(例如，互聯(lián)網(wǎng))、自組織網(wǎng)絡(luò)、或其任何組合。

協(xié)調(diào)服務(wù)器108、證明服務(wù)器110和制造商服務(wù)器112中的每一者都可以被具體化為能夠執(zhí)行本文中所描述的功能的任何服務(wù)器或計(jì)算設(shè)備。進(jìn)一步地，協(xié)調(diào)服務(wù)器108、證明服務(wù)器110和制造商服務(wù)器112中的每一者都可以包括與以上所描述的車(chē)載計(jì)算系統(tǒng)102的部件類(lèi)似的部件和/或服務(wù)器中常見(jiàn)的部件(比如，處理器、存儲(chǔ)器、i/o子系統(tǒng)、數(shù)據(jù)存儲(chǔ)設(shè)備、外圍設(shè)備等)，為了描述的清晰起見(jiàn)，在圖1中未展示所述部件。

如本文中所描述的，協(xié)調(diào)服務(wù)器108在車(chē)輛120、122之間協(xié)調(diào)對(duì)傳感器信息的安全交換。在說(shuō)明性實(shí)施例中，證明服務(wù)器110被具體化為系統(tǒng)100的設(shè)備/系統(tǒng)中的每一個(gè)設(shè)備/系統(tǒng)所信任的設(shè)備或系統(tǒng)，并且被配置成用于評(píng)估證明引用(例如，車(chē)載計(jì)算系統(tǒng)102、106和協(xié)調(diào)服務(wù)器108的證明引用)。也就是說(shuō)，如以下所描述的，車(chē)載計(jì)算系統(tǒng)102、106或協(xié)調(diào)服務(wù)器108可以基于其相應(yīng)的可信執(zhí)行環(huán)境來(lái)生成證明引用，以便例如證明其正在實(shí)際可信執(zhí)行環(huán)境或特定類(lèi)型的可信執(zhí)行環(huán)境中執(zhí)行代碼。如以下所討論的，在說(shuō)明性實(shí)施例中，可信執(zhí)行環(huán)境被建立為因特爾軟件防護(hù)擴(kuò)展(sgx)安全飛地。換言之，在說(shuō)明性實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102(例如，安全協(xié)處理器158)分配存儲(chǔ)器154的(或者不可由處理器150訪(fǎng)問(wèn)的安全存儲(chǔ)器的)線(xiàn)性地址空間的被保護(hù)防止非飛地存儲(chǔ)器訪(fǎng)問(wèn)(即，源自連續(xù)存儲(chǔ)器區(qū)域之外的存儲(chǔ)器訪(fǎng)問(wèn))的連續(xù)區(qū)域用于執(zhí)行與傳感器數(shù)據(jù)的交換相關(guān)的指令。相應(yīng)地，在這種實(shí)施例中，可以為了證明目的而生成sgx飛地引用。在其他實(shí)施例中，可以生成可信平臺(tái)模塊(tpm)引用或其他類(lèi)型的信任引用，以供由證明服務(wù)器110進(jìn)行評(píng)估。在評(píng)估證明引用時(shí)，證明服務(wù)器110可以利用例如歷史安全信息、配額、閾值、安全參數(shù)、安全代碼執(zhí)行的測(cè)量結(jié)果、和/或相應(yīng)可信執(zhí)行環(huán)境的其他測(cè)量的特性。

如以上所討論的，可以撤銷(xiāo)配設(shè)給或以其他方式綁定至相應(yīng)可信執(zhí)行環(huán)境的tee密鑰。在說(shuō)明性實(shí)施例中，制造商服務(wù)器112對(duì)指示了已經(jīng)撤銷(xiāo)了哪些tee密鑰的一個(gè)或多個(gè)撤銷(xiāo)列表進(jìn)行維護(hù)(例如，基于tee密鑰的組標(biāo)識(shí))。應(yīng)當(dāng)理解的是，在一些實(shí)施例中，撤銷(xiāo)列表允許制造商服務(wù)器112確定例如私鑰撤銷(xiāo)、基于簽名的撤銷(xiāo)和/或組公鑰撤銷(xiāo)。制造商服務(wù)器112可以周期性地更新撤銷(xiāo)列表(例如，在初始tee密鑰配設(shè)期間、基于對(duì)特定組中的成員的添加或移除、基于特定撤銷(xiāo)等)。在一些實(shí)施例中，制造商服務(wù)器112可以充當(dāng)用于提供各種密鑰和/或證書(shū)(例如，epid密鑰和證書(shū))的撤銷(xiāo)狀態(tài)的在線(xiàn)證書(shū)狀態(tài)協(xié)議(ocsp)應(yīng)答器。例如，可以確定(多個(gè))撤銷(xiāo)列表(例如，私有撤銷(xiāo)列表(priv-rl)、簽名撤銷(xiāo)列表(sig-rl)、組撤銷(xiāo)列表(group-rl)、和/或其他撤銷(xiāo)列表)上的密鑰、簽名和/或組的存在。進(jìn)一步地，在一些實(shí)施例中，可以為了交互式證書(shū)/密鑰存續(xù)檢查而查詢(xún)ocsp應(yīng)答器。在一些實(shí)施例中，制造商服務(wù)器112和協(xié)調(diào)服務(wù)器108彼此通信，以便保持彼此被告知與tee密鑰相關(guān)的變化。例如，如以上所指示的，協(xié)調(diào)服務(wù)器108可以確認(rèn)從車(chē)輛120、122處接收的密鑰簽名仍有效(即，未被撤銷(xiāo))。在其他實(shí)施例中，制造商服務(wù)器112可以形成協(xié)調(diào)服務(wù)器108的一部分。

現(xiàn)在參照?qǐng)D2，在使用中，車(chē)載計(jì)算系統(tǒng)102建立用于交換車(chē)輛120的傳感器信息的環(huán)境200。說(shuō)明性環(huán)境200包括可信執(zhí)行環(huán)境模塊202和通信模塊204。此外，可信執(zhí)行環(huán)境模塊202包括證明模塊206和密碼模塊208?？尚艌?zhí)行環(huán)境模塊202、通信模塊204、證明模塊206、和密碼模塊208中的每一者都可以被具體化為硬件、軟件、固件或其組合。例如，環(huán)境200的模塊、邏輯和其他部件中的每一者都可以形成車(chē)載計(jì)算設(shè)備102的處理器150的一部分或以其他方式由其建立。

可信執(zhí)行環(huán)境模塊202在車(chē)載計(jì)算系統(tǒng)102上建立安全且可信的執(zhí)行環(huán)境(例如，用于執(zhí)行與傳感器數(shù)據(jù)的交換相關(guān)的指令)。具體地，在說(shuō)明性實(shí)施例中，可信執(zhí)行環(huán)境模塊202建立因特爾軟件防護(hù)擴(kuò)展(sgx)安全飛地。進(jìn)一步地，在一些實(shí)施例中，安全協(xié)處理器158包括可信執(zhí)行環(huán)境模塊202。也就是說(shuō)，可信執(zhí)行環(huán)境模塊202可以并入到安全協(xié)處理器158中或者以其他方式由其執(zhí)行。在其他實(shí)施例中，可信執(zhí)行環(huán)境模塊202可以獨(dú)立于安全協(xié)處理器158，并且/或者如以上所討論的，可以其他方式建立可信執(zhí)行環(huán)境。進(jìn)一步地，在一些實(shí)施例中，tee密鑰168可以存儲(chǔ)在安全協(xié)處理器158中，并且可以?xún)H由可信執(zhí)行環(huán)境模塊202訪(fǎng)問(wèn)。如以上所討論的，可信執(zhí)行環(huán)境模塊202接收由傳感器156生成的傳感器數(shù)據(jù)(例如，通過(guò)硬件保護(hù)的i/o路徑166)，以供傳輸至協(xié)調(diào)服務(wù)器108，以便維持傳感器數(shù)據(jù)的完整性。此外，可信執(zhí)行環(huán)境模塊202可以基于由傳感器156生成的傳感器數(shù)據(jù)和/或從協(xié)調(diào)服務(wù)器108處接收的傳感器數(shù)據(jù)(即，遠(yuǎn)程車(chē)輛122生成的傳感器數(shù)據(jù))來(lái)執(zhí)行某個(gè)動(dòng)作。例如，如以上所討論的，車(chē)載計(jì)算系統(tǒng)102可以執(zhí)行某個(gè)躲避動(dòng)作(例如，停止車(chē)輛120或減速)。

在說(shuō)明性實(shí)施例中，可信執(zhí)行環(huán)境模塊202包括證明模塊206和密碼模塊208。相應(yīng)地，在一些實(shí)施例中，可以在車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境中執(zhí)行證明模塊206和密碼模塊208的功能。證明模塊206被配置成用于基于車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境和/或安全協(xié)處理器158來(lái)生成證明引用。例如，證明模塊206可以根據(jù)特定實(shí)施例來(lái)生成sgx安全飛地引用、tpm引用、和/或另一種類(lèi)型的信任引用。應(yīng)當(dāng)理解的是，在一些實(shí)施例中，證明模塊206對(duì)在可信執(zhí)行環(huán)境(例如，安全飛地)中執(zhí)行(或用于執(zhí)行)的代碼進(jìn)行測(cè)量(例如，求哈希)，以證明例如在可信執(zhí)行環(huán)境中執(zhí)行的代碼的完整性。此外，在一些實(shí)施例中，證明模塊206可以從協(xié)調(diào)服務(wù)器108處接收證明引用，并基于證明引用來(lái)確認(rèn)協(xié)調(diào)服務(wù)器108和/或協(xié)調(diào)服務(wù)器108的相應(yīng)可信執(zhí)行環(huán)境的真實(shí)性。例如，證明模塊206可以驗(yàn)證尚未對(duì)在可信執(zhí)行環(huán)境中執(zhí)行的代碼進(jìn)行變更。當(dāng)然，如本文中所描述的，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以與證明服務(wù)器110通信(例如，經(jīng)由通信模塊204)，以便驗(yàn)證協(xié)調(diào)服務(wù)器108的證明引用。協(xié)調(diào)服務(wù)器108可以類(lèi)似地利用證明服務(wù)器110來(lái)驗(yàn)證車(chē)載計(jì)算系統(tǒng)102的證明引用。

密碼模塊208對(duì)車(chē)載計(jì)算系統(tǒng)102執(zhí)行各種密碼功能。在一些實(shí)施例中，密碼模塊208可以被具體化為密碼引擎、車(chē)載計(jì)算系統(tǒng)102的獨(dú)立安全協(xié)處理器、并入處理器150中的密碼加速器、或者獨(dú)立的密碼軟件/固件。在一些實(shí)施例中，密碼模塊208可以與通信模塊204協(xié)作，以便通過(guò)網(wǎng)絡(luò)104來(lái)與遠(yuǎn)程設(shè)備(例如，協(xié)調(diào)服務(wù)器108)建立安全連接。例如，密碼模塊208可以對(duì)車(chē)載計(jì)算系統(tǒng)102與協(xié)調(diào)服務(wù)器108之間的通信進(jìn)行加密和解密。在一些實(shí)施例中，密碼模塊208可以與協(xié)調(diào)服務(wù)器108或協(xié)調(diào)服務(wù)器108的部件(例如，相應(yīng)安全協(xié)處理器)執(zhí)行密鑰交換。例如，密碼模塊208可以與協(xié)調(diào)服務(wù)器108執(zhí)行迪菲-赫爾曼(diffie-hellman)密鑰交換、和橢圓曲線(xiàn)迪菲-赫爾曼密鑰交換、或另一種適當(dāng)?shù)拿荑€交換協(xié)議(例如，以便生成會(huì)話(huà)密鑰)。

此外，密碼模塊208可以對(duì)外發(fā)通信進(jìn)行密碼簽名。例如，密碼模塊208可以使用車(chē)載計(jì)算系統(tǒng)102的私有tee密鑰168(例如，私有epid密鑰)來(lái)對(duì)消息進(jìn)行簽名。在一些實(shí)施例中，密鑰模塊208還可以被配置成用于使用一個(gè)或多個(gè)適當(dāng)?shù)乃惴ā⒑瘮?shù)或機(jī)制來(lái)生成哈希(例如，帶密鑰的哈希)。例如，如以下所討論的，密碼模塊208可以基于例如在車(chē)載計(jì)算系統(tǒng)102與協(xié)調(diào)服務(wù)器108之間共享的會(huì)話(huà)密鑰來(lái)生成消息的消息認(rèn)證碼(mac)。具體地，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以執(zhí)行如簽名和mac(sign-and-mac，sigma)協(xié)議。換言之，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以與協(xié)調(diào)服務(wù)器108建立sigma會(huì)話(huà)。進(jìn)一步地，在一些實(shí)施例中，密碼模塊208可以生成證書(shū)(例如，epid證書(shū))，以供與經(jīng)密碼簽名的通信一起傳輸。此外，在一些實(shí)施例中，密碼模塊208還可以驗(yàn)證傳入消息的密碼簽名(例如，基于從如制造商服務(wù)器112和/或證書(shū)機(jī)構(gòu)等相關(guān)方處接收的公共密鑰)。

通信模塊204通過(guò)(多個(gè))網(wǎng)絡(luò)104來(lái)處理車(chē)載計(jì)算系統(tǒng)102與遠(yuǎn)程計(jì)算設(shè)備(例如，協(xié)調(diào)服務(wù)器108)之間的通信。如本文中詳細(xì)地討論的，通信模塊204被配置成用于在車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境與協(xié)調(diào)服務(wù)器108的相應(yīng)可信執(zhí)行環(huán)境之間建立安全通信信道。具體地，在說(shuō)明性實(shí)施例中，通信模塊204在可信執(zhí)行環(huán)境之間建立安全套接層(ssl)通信信道。此外，如以下所討論的，通信模塊204可以將傳感器數(shù)據(jù)、證明引用、和/或tee密鑰簽名傳輸至協(xié)調(diào)服務(wù)器108。類(lèi)似地，通信模塊204可以從協(xié)調(diào)服務(wù)器108處接收由(多臺(tái))遠(yuǎn)程車(chē)輛122的傳感器生成的傳感器數(shù)據(jù)(例如，在協(xié)調(diào)服務(wù)器108驗(yàn)證傳感器數(shù)據(jù)的完整性之后)。應(yīng)當(dāng)理解的是，車(chē)輛122中的每一臺(tái)車(chē)輛的車(chē)載計(jì)算系統(tǒng)106可以包括模塊并且可以執(zhí)行與以上所描述的車(chē)輛120的車(chē)載計(jì)算系統(tǒng)102的動(dòng)作類(lèi)似的動(dòng)作。

現(xiàn)在參照?qǐng)D3，在使用中，協(xié)調(diào)服務(wù)器108建立用于在車(chē)輛120、122之間或更具體地在車(chē)載計(jì)算系統(tǒng)102、106之間協(xié)調(diào)對(duì)傳感器信息的交換的環(huán)境300。說(shuō)明性環(huán)境300包括可信執(zhí)行環(huán)境模塊302、通信模塊304、和傳感器數(shù)據(jù)處理模塊306。此外，可信執(zhí)行環(huán)境模塊302包括證明模塊308和密碼模塊310?？尚艌?zhí)行環(huán)境模塊302、通信模塊304、傳感器數(shù)據(jù)處理模塊306、證明模塊308、和密碼模塊310中的每一者都可以被具體化為硬件、軟件、固件或其組合。例如，環(huán)境300的模塊、邏輯和其他部件中的每一者都可以形成協(xié)調(diào)服務(wù)器108的處理器的一部分或以其他方式由其建立。

在說(shuō)明性實(shí)施例中，協(xié)調(diào)服務(wù)器108的環(huán)境300的可信執(zhí)行環(huán)境模塊302、通信模塊304、證明模塊308、和密碼模塊310與以上所討論的車(chē)載計(jì)算系統(tǒng)102的環(huán)境200的相應(yīng)模塊類(lèi)似。對(duì)環(huán)境200的那些部件的描述同樣適用于對(duì)環(huán)境300的部件的描述，并且為了描述的清晰起見(jiàn)，本文中未對(duì)其全部?jī)?nèi)容進(jìn)行重復(fù)。例如，可信執(zhí)行環(huán)境模塊302在協(xié)調(diào)服務(wù)器108上建立可信執(zhí)行環(huán)境(例如，以便從車(chē)載計(jì)算系統(tǒng)102、106處安全地接收傳感器數(shù)據(jù))。進(jìn)一步地，證明模塊308被配置成用于基于協(xié)調(diào)服務(wù)器108的可信執(zhí)行環(huán)境來(lái)生成證明引用，以供傳輸至車(chē)載計(jì)算系統(tǒng)102。此外，證明模塊308可以從車(chē)載計(jì)算系統(tǒng)102處接收證明引用(即，車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境的證明引用)并基于該證明引用來(lái)確認(rèn)車(chē)載計(jì)算系統(tǒng)102或其相應(yīng)可信執(zhí)行環(huán)境的真實(shí)性。類(lèi)似于車(chē)載計(jì)算系統(tǒng)102，在一些實(shí)施例中，協(xié)調(diào)服務(wù)器108可以與證明服務(wù)器110通信，以便驗(yàn)證證明引用。

密碼模塊310執(zhí)行車(chē)載計(jì)算系統(tǒng)102的如以上關(guān)于密碼模塊208而討論的密碼功能等各種密碼功能。進(jìn)一步地，密碼模塊310可以驗(yàn)證從車(chē)載計(jì)算系統(tǒng)102處接收的tee密鑰168簽名。例如，如以上所討論的，在一些實(shí)施例中，tee密鑰168可以被具體化為epid密鑰。相應(yīng)地，在這種實(shí)施例中，密碼模塊310可以通過(guò)將公共epid密鑰應(yīng)用到經(jīng)密碼簽名的通信上從而驗(yàn)證epid密鑰簽名。進(jìn)一步地，在一些實(shí)施例中，協(xié)調(diào)服務(wù)器108可以從車(chē)載計(jì)算系統(tǒng)102處接收epid密鑰證書(shū)(或其他適當(dāng)?shù)拿荑€證書(shū))，所述epid密鑰證書(shū)可以用于驗(yàn)證epid密鑰簽名。此外，如以上所討論的，密碼模塊310模塊可以與制造商服務(wù)器112通信(即，經(jīng)由通信模塊304)，以便驗(yàn)證尚未撤銷(xiāo)車(chē)載計(jì)算系統(tǒng)102的tee密鑰168簽名(例如，epid密鑰簽名)。

傳感器數(shù)據(jù)處理模塊306被配置成用于處理從車(chē)載計(jì)算系統(tǒng)102、106處接收的傳感器數(shù)據(jù)(例如，在已經(jīng)驗(yàn)證傳感器數(shù)據(jù)的安全性之后)。在一些實(shí)施例中，傳感器數(shù)據(jù)處理模塊306響應(yīng)于驗(yàn)證從車(chē)載計(jì)算系統(tǒng)102處接收的證明引用和密鑰簽名以及驗(yàn)證密鑰簽名尚未被撤銷(xiāo)而處理傳感器數(shù)據(jù)。例如，傳感器數(shù)據(jù)處理模塊306可以判定將從車(chē)載計(jì)算系統(tǒng)102處接收的傳感器數(shù)據(jù)傳輸?shù)侥睦?即，到其他哪些車(chē)載計(jì)算系統(tǒng)106)。這樣做時(shí)，傳感器數(shù)據(jù)處理模塊306可以考慮例如從車(chē)載計(jì)算系統(tǒng)102處接收的任何指令、遠(yuǎn)程車(chē)載計(jì)算系統(tǒng)106的絕對(duì)和/或相對(duì)位置、和/或其他相關(guān)數(shù)據(jù)。

現(xiàn)在參照?qǐng)D4至圖5，在使用中，車(chē)載計(jì)算系統(tǒng)102可以執(zhí)行用于交換車(chē)輛120的傳感器信息的方法400。具體地，車(chē)載計(jì)算系統(tǒng)102將由傳感器156生成的傳感器數(shù)據(jù)安全地傳輸至協(xié)調(diào)服務(wù)器108，所述傳感器數(shù)據(jù)可以安全地轉(zhuǎn)發(fā)至相關(guān)遠(yuǎn)程車(chē)輛122(例如，在車(chē)輛122附近)的車(chē)載計(jì)算系統(tǒng)106。如以上所討論的，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)106可以執(zhí)行與用于交換傳感器信息(例如，用于將傳感器數(shù)據(jù)傳輸至車(chē)載計(jì)算系統(tǒng)102)的方法400類(lèi)似的方法。說(shuō)明性方法400開(kāi)始于框402，在所述框中，車(chē)載計(jì)算系統(tǒng)102判定可信執(zhí)行環(huán)境(tee)密鑰168是否已經(jīng)被配設(shè)給車(chē)載計(jì)算系統(tǒng)102。在說(shuō)明性實(shí)施例中，可信執(zhí)行環(huán)境被綁定至車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境或更一般地綁定至車(chē)輛120或車(chē)載計(jì)算系統(tǒng)102。如以上所討論的，在車(chē)輛120的制造階段期間，可以將tee密鑰168(例如，私有epid密鑰)配設(shè)給車(chē)載計(jì)算系統(tǒng)102或者車(chē)載計(jì)算系統(tǒng)102的特定部件(例如，安全協(xié)處理器158)?？商娲?，稍后可以將tee密鑰168配設(shè)給車(chē)載計(jì)算系統(tǒng)102。如此，如果車(chē)載計(jì)算系統(tǒng)102確定還未配設(shè)tee密鑰，則在框404中，車(chē)載計(jì)算系統(tǒng)102將tee密鑰168配設(shè)給車(chē)輛120。例如，車(chē)載計(jì)算系統(tǒng)102可以利用“加入”協(xié)議來(lái)使私有一到多密鑰(例如，私有epid密鑰)能夠被配設(shè)給車(chē)輛120，從而使得私有密鑰與關(guān)聯(lián)于特定組(例如，車(chē)輛品牌/型號(hào))的公共一到多密鑰相對(duì)應(yīng)。在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以利用英特爾可信連接服務(wù)和/或另一種適當(dāng)?shù)臋C(jī)制來(lái)例如將epid密鑰配設(shè)給車(chē)輛120。

在框406中，車(chē)載計(jì)算系統(tǒng)102建立可信執(zhí)行環(huán)境。如以上所指示的，在說(shuō)明性實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102建立要在其中執(zhí)行與傳感器數(shù)據(jù)的交換相關(guān)的指令的sgx保護(hù)的安全飛地。應(yīng)當(dāng)理解的是，車(chē)載計(jì)算系統(tǒng)102可以在任何適當(dāng)?shù)臅r(shí)間點(diǎn)(即，在將傳感器數(shù)據(jù)轉(zhuǎn)移到協(xié)調(diào)服務(wù)器108之前)建立可信執(zhí)行環(huán)境。例如，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102在車(chē)輛120點(diǎn)火時(shí)或者在車(chē)載計(jì)算系統(tǒng)102通電時(shí)建立可信執(zhí)行環(huán)境。

在框408中，車(chē)載計(jì)算系統(tǒng)102建立與協(xié)調(diào)服務(wù)器108的安全通信信道。具體地，在說(shuō)明性實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102在車(chē)載計(jì)算系統(tǒng)102的可信執(zhí)行環(huán)境與協(xié)調(diào)服務(wù)器108的相應(yīng)可信執(zhí)行環(huán)境之間建立安全通信信道。在一些實(shí)施例中，安全通信信道是ssl保護(hù)的通信信道；然而，可以在其他實(shí)施例中建立其他安全通信信道(例如，帶外通信信道)。

在框410中，車(chē)載計(jì)算系統(tǒng)102確認(rèn)協(xié)調(diào)服務(wù)器108的真實(shí)性。例如，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102確認(rèn)其正與真實(shí)的協(xié)調(diào)服務(wù)器108通信并驗(yàn)證其身份以及在協(xié)調(diào)服務(wù)器108上(例如，在可信執(zhí)行環(huán)境中)運(yùn)行的代碼的完整性。具體地，在框412中，車(chē)載計(jì)算系統(tǒng)102從協(xié)調(diào)服務(wù)器108處接收證明引用。如以上所討論的，在說(shuō)明性實(shí)施例中，證明引用是協(xié)調(diào)服務(wù)器108的可信執(zhí)行環(huán)境的測(cè)量結(jié)果。在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102響應(yīng)于來(lái)自車(chē)載計(jì)算系統(tǒng)102的對(duì)協(xié)調(diào)服務(wù)器108是可信實(shí)體或更具體地協(xié)調(diào)服務(wù)器108正在可信執(zhí)行環(huán)境(例如，sgx保護(hù)的飛地)中執(zhí)行代碼的證明的請(qǐng)求而從協(xié)調(diào)服務(wù)器108處接收證明引用。在框414中，車(chē)載計(jì)算系統(tǒng)102驗(yàn)證從協(xié)調(diào)服務(wù)器108處接收的證明引用。例如，可以將證明引用與參考數(shù)據(jù)進(jìn)行比較，以便確定生成證明引用的設(shè)備/部件的安全性和/或真實(shí)性。這樣做時(shí)，在框416中，車(chē)載計(jì)算系統(tǒng)102可以將證明引用傳輸至證明服務(wù)器110，所述證明服務(wù)器對(duì)證明引用進(jìn)行分析。如以上所指示的，證明服務(wù)器110可以是能夠?qū)?chē)載計(jì)算系統(tǒng)102和/或協(xié)調(diào)服務(wù)器108提供的證明引用進(jìn)行評(píng)估的任何可信第三方服務(wù)器。當(dāng)然，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以利用不同的證明服務(wù)器110來(lái)驗(yàn)證證明引用。進(jìn)一步地，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可能能夠評(píng)估證明引用自身。在框418中，車(chē)載計(jì)算系統(tǒng)102從證明服務(wù)器110處接收指示協(xié)調(diào)服務(wù)器108，或更具體地，協(xié)調(diào)服務(wù)器108的可信執(zhí)行環(huán)境是否安全的證明結(jié)果。

在框420中，車(chē)載計(jì)算系統(tǒng)102基于證明結(jié)果來(lái)判定協(xié)調(diào)服務(wù)器108是否真實(shí)和/或安全。若否，則在框422中，車(chē)載計(jì)算系統(tǒng)102執(zhí)行錯(cuò)誤處理程序。在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以確定錯(cuò)誤是可糾正的并再次嘗試確認(rèn)協(xié)調(diào)服務(wù)器108的真實(shí)性、與協(xié)調(diào)服務(wù)器108建立新的安全通信信道、和/或以其他方式糾正錯(cuò)誤。當(dāng)然，在其他實(shí)施例中，錯(cuò)誤可能是不可糾正的，在這種情況下，車(chē)載計(jì)算系統(tǒng)102可以終止方法400。

如果車(chē)載計(jì)算系統(tǒng)102確定協(xié)調(diào)服務(wù)器108是安全且真實(shí)的，則方法400前進(jìn)到圖5的框424，在所述框中，車(chē)載計(jì)算系統(tǒng)102判定是否從協(xié)調(diào)服務(wù)器108處接收數(shù)據(jù)。若是，則在框426中，車(chē)載計(jì)算系統(tǒng)102可以從協(xié)調(diào)服務(wù)器108處接收由其他遠(yuǎn)程車(chē)輛122的傳感器生成的傳感器數(shù)據(jù)。在一些實(shí)施例中，可以對(duì)傳感器數(shù)據(jù)進(jìn)行簽名、加密和/或以其他方式通過(guò)安全通信信道來(lái)將其安全地傳輸至車(chē)載計(jì)算系統(tǒng)102。此外，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以從協(xié)調(diào)服務(wù)器108處接收關(guān)于如何處理傳感器數(shù)據(jù)的指令和/或要基于對(duì)遠(yuǎn)程車(chē)輛122傳感器數(shù)據(jù)的分析來(lái)執(zhí)行的動(dòng)作。應(yīng)當(dāng)理解的是，在一些實(shí)施例中，協(xié)調(diào)服務(wù)器108判定何時(shí)以及在什么程度上將數(shù)據(jù)傳輸至車(chē)載計(jì)算系統(tǒng)102。

在框428中，車(chē)載計(jì)算系統(tǒng)102判定是否將傳感器數(shù)據(jù)傳輸至協(xié)調(diào)服務(wù)器108。如以上所指示的，在說(shuō)明性實(shí)施例中，如果車(chē)載計(jì)算系統(tǒng)102想要將傳感器數(shù)據(jù)傳輸至另一個(gè)車(chē)載計(jì)算系統(tǒng)106，則協(xié)調(diào)服務(wù)器108充當(dāng)用于保護(hù)數(shù)據(jù)的安全性的安全中介。如果車(chē)載計(jì)算系統(tǒng)102決定將傳感器數(shù)據(jù)傳輸至協(xié)調(diào)服務(wù)器108，則在框430中，車(chē)載計(jì)算系統(tǒng)102從傳感器156處接收傳感器數(shù)據(jù)。在一些實(shí)施例中，在框432中，車(chē)載計(jì)算系統(tǒng)102可以通過(guò)硬件保護(hù)的i/o路徑166來(lái)接收傳感器數(shù)據(jù)。也就是說(shuō)，在一些實(shí)施例中，在傳感器156與可信執(zhí)行環(huán)境(或安全協(xié)處理器158)之間建立硬件保護(hù)的i/o路徑166，從而使得在傳感器數(shù)據(jù)“到達(dá)”如以上所討論的可信執(zhí)行環(huán)境之前不能對(duì)其進(jìn)行修改(例如，由病毒)。

在框434中，車(chē)載計(jì)算系統(tǒng)102生成車(chē)載計(jì)算系統(tǒng)102建立的可信執(zhí)行環(huán)境的證明引用。例如，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以生成安全飛地引用。進(jìn)一步地，在框436中，車(chē)載計(jì)算系統(tǒng)102將傳感器數(shù)據(jù)連同所生成的證明引用和tee密鑰168簽名傳輸至協(xié)調(diào)服務(wù)器108。應(yīng)當(dāng)理解的是，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102與協(xié)調(diào)服務(wù)器108建立用于安全通信的sigma會(huì)話(huà)(例如，基于epid的sigma會(huì)話(huà))。進(jìn)一步地，車(chē)載計(jì)算系統(tǒng)102可以采用任何適當(dāng)?shù)姆绞絹?lái)準(zhǔn)備tee密鑰168簽名(例如，epid密鑰簽名)。例如，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102使用tee密鑰168來(lái)對(duì)證明引用和/或傳感器數(shù)據(jù)進(jìn)行密碼簽名，以便傳輸至協(xié)調(diào)服務(wù)器108。在其他實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以對(duì)要連同證明引用和傳感器數(shù)據(jù)一起傳輸?shù)牧硪粭l信息進(jìn)行密碼簽名。進(jìn)一步地，在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102還可以將tee密鑰168證書(shū)(例如，epid證書(shū))傳輸至協(xié)調(diào)服務(wù)器108(例如，以便對(duì)tee密鑰168簽名進(jìn)行驗(yàn)證)。如本文中所討論的，協(xié)調(diào)服務(wù)器108驗(yàn)證密鑰簽名和證明引用，并且在成功驗(yàn)證后處理傳感器數(shù)據(jù)。

不論車(chē)載計(jì)算系統(tǒng)102是否判定是否將傳感器數(shù)據(jù)傳輸至協(xié)調(diào)服務(wù)器108，在框438中，車(chē)載計(jì)算系統(tǒng)102都可以基于(多臺(tái))車(chē)輛122的從協(xié)調(diào)服務(wù)器108處接收的傳感器數(shù)據(jù)來(lái)執(zhí)行某個(gè)動(dòng)作。在一些實(shí)施例中，車(chē)載計(jì)算系統(tǒng)102可以結(jié)合由傳感器156生成的數(shù)據(jù)而分析該傳感器數(shù)據(jù)，以便判定例如車(chē)載計(jì)算系統(tǒng)102是否應(yīng)當(dāng)采取某個(gè)安全或防碰撞動(dòng)作(例如，停止車(chē)輛120)。應(yīng)當(dāng)理解的是，根據(jù)特定實(shí)施例，車(chē)載計(jì)算系統(tǒng)102可以采用任何適當(dāng)?shù)捻樞騺?lái)將數(shù)據(jù)傳輸至協(xié)調(diào)服務(wù)器108或從協(xié)調(diào)服務(wù)器處接收數(shù)據(jù)。

現(xiàn)在參照?qǐng)D6至圖7，在使用中，協(xié)調(diào)服務(wù)器108可以執(zhí)行用于在車(chē)輛120、122之間交換傳感器信息的方法600。盡管主要參照協(xié)調(diào)服務(wù)器108與車(chē)載計(jì)算系統(tǒng)102之間的通信來(lái)描述方法600，但是應(yīng)當(dāng)理解的是，協(xié)調(diào)服務(wù)器108可以采用類(lèi)似的方式來(lái)與其他車(chē)載計(jì)算系統(tǒng)106通信。進(jìn)一步地，盡管可以參照車(chē)輛120來(lái)討論通信，但是協(xié)調(diào)服務(wù)器108可以更具體地與車(chē)輛120的車(chē)載計(jì)算系統(tǒng)102通信。說(shuō)明性方法600開(kāi)始于框602，在所述框中，如果協(xié)調(diào)服務(wù)器108尚未建立可信執(zhí)行環(huán)境，則其可以這樣做。在一些實(shí)施例中，協(xié)調(diào)服務(wù)器108在可信執(zhí)行環(huán)境中執(zhí)行一些或所有與傳感器數(shù)據(jù)交換相關(guān)的指令。在框604中，協(xié)調(diào)服務(wù)器108建立與車(chē)輛120或更具體地如以上所描述的車(chē)載計(jì)算系統(tǒng)102的安全通信信道(例如，ssl通信信道)。

在框608中，協(xié)調(diào)服務(wù)器108向車(chē)輛120或車(chē)載計(jì)算系統(tǒng)102認(rèn)證自己。如以上所討論的，在一些實(shí)施例中，協(xié)調(diào)服務(wù)器108可以響應(yīng)于來(lái)自車(chē)輛120的用于證明協(xié)調(diào)服務(wù)器108是可信/安全的實(shí)體和/或在可信執(zhí)行環(huán)境(例如，sgx保護(hù)的飛地)中執(zhí)行與傳感器數(shù)據(jù)交換相關(guān)的指令的請(qǐng)求而這樣做。這樣做時(shí)，協(xié)調(diào)服務(wù)器108可以在框610中生成其可信執(zhí)行環(huán)境的證明引用并在框612中將證明引用傳輸至車(chē)輛120。如以上所討論的，車(chē)載計(jì)算系統(tǒng)102可以評(píng)估證明引用本身或?qū)⒆C明引用傳輸至證明服務(wù)器110，以供根據(jù)特定實(shí)施例來(lái)進(jìn)行評(píng)估。

在框614中，協(xié)調(diào)服務(wù)器108判定是否將傳感器數(shù)據(jù)傳輸至車(chē)輛120。若是，則在框616中，協(xié)調(diào)服務(wù)器108將從遠(yuǎn)程車(chē)輛122中的一臺(tái)或多臺(tái)遠(yuǎn)程車(chē)輛處接收的傳感器數(shù)據(jù)傳輸至車(chē)輛120。應(yīng)當(dāng)理解的是，協(xié)調(diào)服務(wù)器108可以對(duì)各種特性(例如，相對(duì)位置數(shù)據(jù)、基于車(chē)輛的請(qǐng)求/指令等)進(jìn)行分析，以便判定要向車(chē)輛120提供哪個(gè)傳感器數(shù)據(jù)。例如，在一些實(shí)施例中，協(xié)調(diào)服務(wù)器108在車(chē)輛120的閾值距離內(nèi)傳輸從車(chē)輛122處接收的所有傳感器數(shù)據(jù)。進(jìn)一步地，協(xié)調(diào)服務(wù)器108還可以向車(chē)輛120提供關(guān)于如何處理所傳輸?shù)臄?shù)據(jù)的指令、生成傳感器數(shù)據(jù)的車(chē)輛122的身份、車(chē)輛122的相對(duì)位置、與傳感器數(shù)據(jù)相關(guān)聯(lián)的元數(shù)據(jù)、和/或其他相關(guān)信息。

在框618中，協(xié)調(diào)服務(wù)器108判定是否從車(chē)輛120處接收傳感器數(shù)據(jù)。如以上所討論的，若是，則方法600前進(jìn)到圖7的框620，在所述框中，協(xié)調(diào)服務(wù)器108從車(chē)輛120處接收傳感器數(shù)據(jù)連同車(chē)輛120的可信執(zhí)行環(huán)境的證明引用以及tee密鑰168簽名(例如，epid密鑰簽名)。進(jìn)一步地，在一些實(shí)施例中，協(xié)調(diào)服務(wù)器108還可以從車(chē)輛120處接收密鑰證書(shū)。在框622中，協(xié)調(diào)服務(wù)器108驗(yàn)證tee密鑰168簽名以及所述密鑰/簽名的撤銷(xiāo)狀態(tài)。這樣做時(shí)，在框624中，協(xié)調(diào)服務(wù)器108可以檢查制造商服務(wù)器112的(多個(gè))撤銷(xiāo)列表。如以上所討論的，在一些實(shí)施例中，撤銷(xiāo)列表允許制造商服務(wù)器112確定例如私鑰撤銷(xiāo)、基于簽名的撤銷(xiāo)和/或組公鑰撤銷(xiāo)。相應(yīng)地，在說(shuō)明性實(shí)施例中，協(xié)調(diào)服務(wù)器108判定用于對(duì)從車(chē)輛120處接收的密碼簽名消息進(jìn)行簽名的tee密鑰168(例如，epid密鑰)是否已經(jīng)以任何方式被撤銷(xiāo)。

在框626中，協(xié)調(diào)服務(wù)器108驗(yàn)證從車(chē)輛120處接收的證明引用。如以上所討論的，這樣做時(shí)，協(xié)調(diào)服務(wù)器108可以在框628中將證明引用傳輸至證明服務(wù)器110以供評(píng)估并且在框630中從證明服務(wù)器110處接收證明結(jié)果。在框632中，協(xié)調(diào)服務(wù)器108判定是否成功地進(jìn)行了對(duì)tee密鑰168簽名和證明引用的驗(yàn)證，并確保簽名尚未被撤銷(xiāo)。如果未成功地進(jìn)行所述驗(yàn)證之一或者tee密鑰168簽名不再有效(例如，由于撤銷(xiāo))，則在框634中，協(xié)調(diào)服務(wù)器108執(zhí)行錯(cuò)誤處理程序。如果錯(cuò)誤是不可糾正的，則協(xié)調(diào)服務(wù)器108可以終止方法600。然而，如果可以糾正錯(cuò)誤，則方法600可以返回到例如圖6的框614，在所述框中，協(xié)調(diào)服務(wù)器108判定是否將傳感器數(shù)據(jù)傳輸至車(chē)輛120。

如果在框632中驗(yàn)證成功或者協(xié)調(diào)服務(wù)器108在框618中決定不接收傳感器數(shù)據(jù)，則在框636中，協(xié)調(diào)服務(wù)器108處理所接收的傳感器數(shù)據(jù)。例如，協(xié)調(diào)服務(wù)器108可以處理在框620中從車(chē)輛120處接收的傳感器數(shù)據(jù)和/或之前從車(chē)輛120或其他車(chē)輛122處接收的傳感器數(shù)據(jù)。這樣做時(shí)，在框638中，協(xié)調(diào)服務(wù)器108在框636中可以將從車(chē)輛120處接收的傳感器數(shù)據(jù)傳輸遠(yuǎn)程車(chē)輛122。應(yīng)當(dāng)理解的是，協(xié)調(diào)服務(wù)器108可以采用與確定向車(chē)輛120提供哪個(gè)傳感器數(shù)據(jù)的方式類(lèi)似的方式來(lái)確定將傳感器數(shù)據(jù)傳輸至哪些車(chē)輛122(例如，基于地理位置等)。方法600返回到圖6的框614，在所述框中，協(xié)調(diào)服務(wù)器108判定是否將傳感器數(shù)據(jù)傳輸至車(chē)輛120。)。應(yīng)當(dāng)理解的是，根據(jù)特定實(shí)施例，協(xié)調(diào)服務(wù)器108可以采用任何適當(dāng)?shù)捻樞騺?lái)將數(shù)據(jù)傳輸至車(chē)輛120、122或從所述車(chē)輛處接收數(shù)據(jù)。

示例

以下提供了在本文中所公開(kāi)的技術(shù)的說(shuō)明性示例。所述技術(shù)的實(shí)施例可以包括以下所描述的示例中的任何一個(gè)或多個(gè)示例或者其任何組合。

示例1包括一種車(chē)輛的車(chē)載計(jì)算系統(tǒng)，用于安全地交換傳感器信息，所述車(chē)載計(jì)算系統(tǒng)包括：傳感器，所述傳感器用于生成傳感器數(shù)據(jù)；可信執(zhí)行環(huán)境模塊，所述可信執(zhí)行環(huán)境模塊用于在所述車(chē)載計(jì)算系統(tǒng)上建立可信執(zhí)行環(huán)境，其中，私鑰被綁定至所述可信執(zhí)行環(huán)境；以及通信模塊，所述通信模塊用于在所述可信執(zhí)行環(huán)境與協(xié)調(diào)服務(wù)器的相應(yīng)的可信執(zhí)行環(huán)境之間建立安全通信信道；其中，所述可信執(zhí)行環(huán)境模塊進(jìn)一步用于：(i)確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性；(ii)從所述傳感器處接收所述傳感器數(shù)據(jù)；(iii)基于所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境來(lái)生成證明引用；以及(iv)通過(guò)所述安全通信信道并由所述通信模塊向所述協(xié)調(diào)服務(wù)器傳輸所述傳感器數(shù)據(jù)、所述證明引用以及用所述私鑰簽名的經(jīng)密碼簽名的通信。

示例2包括如示例1所述的主題，并且其中，建立所述可信執(zhí)行環(huán)境包括：分配所述車(chē)載計(jì)算系統(tǒng)的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域之外的存儲(chǔ)器訪(fǎng)問(wèn)。

示例3包括如示例1和2中任一項(xiàng)所述的主題，并且其中，建立所述安全通信信道包括：在所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境與所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境之間建立安全套接層信道。

示例4包括如示例1至3中任一項(xiàng)所述的主題，并且其中，確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性包括：基于所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境，從所述協(xié)調(diào)服務(wù)器處接收證明引用；以及驗(yàn)證所述證明引用。

示例5包括如示例1至4中任一項(xiàng)所述的主題，并且其中，驗(yàn)證所述證明引用包括：將所述證明引用傳輸至證明服務(wù)器；以及響應(yīng)于傳輸所述證明引用而從所述證明服務(wù)器處接收指示所述協(xié)調(diào)服務(wù)器的所述可信執(zhí)行環(huán)境是否安全的證明結(jié)果。

示例6包括如示例1至5中任一項(xiàng)所述的主題，并且其中，確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性包括：驗(yàn)證在所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境中執(zhí)行的代碼的完整性。

示例7包括如示例1至6中任一項(xiàng)所述的主題，并且進(jìn)一步包括主處理器以及不同于所述主處理器的安全協(xié)處理器，其中，建立所述可信執(zhí)行環(huán)境包括：在所述車(chē)載計(jì)算系統(tǒng)的所述安全協(xié)處理器上建立可信執(zhí)行環(huán)境；其中，接收所述傳感器數(shù)據(jù)包括：由所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境通過(guò)在所述安全協(xié)處理器與所述傳感器之間的硬件保護(hù)的輸入輸出路徑來(lái)接收所述傳感器數(shù)據(jù)；并且其中，所述私鑰被綁定至所述安全協(xié)處理器。

示例8包括如示例1至7中任一項(xiàng)所述的主題，并且其中，所述經(jīng)密碼簽名的通信包括所述傳感器數(shù)據(jù)或所述證明引用中的至少一項(xiàng)。

示例9包括如示例1至8中任一項(xiàng)所述的主題，并且其中，所述通信模塊進(jìn)一步用于：從所述協(xié)調(diào)服務(wù)器處并通過(guò)所述安全通信信道來(lái)接收由遠(yuǎn)程車(chē)輛生成的傳感器數(shù)據(jù)。

示例10包括如示例1至9中任一項(xiàng)所述的主題，并且其中，所述可信執(zhí)行環(huán)境模塊進(jìn)一步用于：基于由所述車(chē)輛的所述傳感器生成的傳感器數(shù)據(jù)以及由所述遠(yuǎn)程車(chē)輛生成的傳感器數(shù)據(jù)來(lái)執(zhí)行動(dòng)作。

示例11包括如示例1至10中任一項(xiàng)所述的主題，并且其中，所述私鑰被配設(shè)給所述可信執(zhí)行環(huán)境。

示例12包括如示例1至11中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰。

示例13包括一種由車(chē)載計(jì)算系統(tǒng)安全地交換傳感器信息的方法，所述方法包括：由所述車(chē)載計(jì)算系統(tǒng)在所述車(chē)載計(jì)算系統(tǒng)上建立可信執(zhí)行環(huán)境；由所述車(chē)載計(jì)算系統(tǒng)在所述可信執(zhí)行環(huán)境與協(xié)調(diào)服務(wù)器的相應(yīng)的可信執(zhí)行環(huán)境之間建立安全通信信道；由所述可信執(zhí)行環(huán)境確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性；由所述可信執(zhí)行環(huán)境接收所述車(chē)輛的傳感器所生成的傳感器數(shù)據(jù)；由所述可信執(zhí)行環(huán)境基于所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境來(lái)生成證明引用；以及通過(guò)所述安全通信信道并且響應(yīng)于確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性而從所述車(chē)載計(jì)算系統(tǒng)向所述協(xié)調(diào)服務(wù)器傳輸：(i)所述傳感器數(shù)據(jù)；(ii)所述證明引用；以及(iii)用綁定至所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境的私鑰簽名的經(jīng)密碼簽名的通信。

示例14包括如示例13所述的主題，并且其中，建立所述可信執(zhí)行環(huán)境包括：分配所述車(chē)載計(jì)算系統(tǒng)的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域外部的存儲(chǔ)器訪(fǎng)問(wèn)。

示例15包括如示例13和14中任一項(xiàng)所述的主題，并且其中，建立所述安全通信信道包括：在所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境與所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境之間建立安全套接層信道。

示例16包括如示例13至15中任一項(xiàng)所述的主題，并且其中，確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性包括：基于所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境，從所述協(xié)調(diào)服務(wù)器處接收證明引用；以及驗(yàn)證所述證明引用。

示例17包括如示例13至16中任一項(xiàng)所述的主題，并且其中，驗(yàn)證所述證明引用包括：將所述證明引用傳輸至證明服務(wù)器；以及響應(yīng)于傳輸所述證明引用而從所述證明服務(wù)器處接收指示所述協(xié)調(diào)服務(wù)器的所述可信執(zhí)行環(huán)境是否安全的證明結(jié)果。

示例18包括如示例13至17中任一項(xiàng)所述的主題，并且其中，確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性包括：驗(yàn)證在所述協(xié)調(diào)服務(wù)器的所述相應(yīng)可信執(zhí)行環(huán)境中執(zhí)行的代碼的完整性。

示例19包括如示例13至18中任一項(xiàng)所述的主題，并且其中，建立所述可信執(zhí)行環(huán)境包括：在所述車(chē)載計(jì)算系統(tǒng)的安全協(xié)處理器上建立可信執(zhí)行環(huán)境；接收所述傳感器數(shù)據(jù)包括：由所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境通過(guò)在所述安全協(xié)處理器與所述傳感器之間的硬件保護(hù)的輸入輸出路徑來(lái)接收所述傳感器數(shù)據(jù)；并且所述私鑰被綁定至所述安全協(xié)處理器。

示例20包括如示例13至19中任一項(xiàng)所述的主題，并且其中，所述經(jīng)密碼簽名的通信包括所述傳感器數(shù)據(jù)或所述證明引用中的至少一項(xiàng)。

示例21包括如示例13至20中任一項(xiàng)所述的主題，并且進(jìn)一步包括：由所述車(chē)載計(jì)算系統(tǒng)并通過(guò)所述安全通信信道從所述協(xié)調(diào)服務(wù)器處接收由遠(yuǎn)程車(chē)輛生成的傳感器數(shù)據(jù)。

示例22包括如示例13至21中任一項(xiàng)所述的主題，并且進(jìn)一步包括：由所述車(chē)載計(jì)算系統(tǒng)基于由所述車(chē)輛的所述傳感器生成的傳感器數(shù)據(jù)以及由所述遠(yuǎn)程車(chē)輛生成的傳感器數(shù)據(jù)來(lái)執(zhí)行動(dòng)作。

示例23包括如示例13至22中任一項(xiàng)所述的主題，并且進(jìn)一步包括將所述私鑰配設(shè)給所述可信執(zhí)行環(huán)境。

示例24包括如示例13至23中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰。

示例25包括一種計(jì)算設(shè)備，所述計(jì)算設(shè)備包括：處理器；以及存儲(chǔ)器，所述存儲(chǔ)器具有存儲(chǔ)于其中的多條指令，所述指令當(dāng)由所述處理器執(zhí)行時(shí)使所述計(jì)算設(shè)備執(zhí)行如示例13至24中任一項(xiàng)所述的方法。

示例26包括一種或多種機(jī)器可讀存儲(chǔ)介質(zhì)，包括存儲(chǔ)于其上的多條指令，所述指令響應(yīng)于由計(jì)算設(shè)備執(zhí)行而使所述計(jì)算設(shè)備執(zhí)行如示例13至24中任一項(xiàng)所述的方法。

示例27包括一種車(chē)輛的車(chē)載計(jì)算系統(tǒng)，用于安全地交換傳感器信息，所述車(chē)載計(jì)算系統(tǒng)包括：用于在所述車(chē)載計(jì)算系統(tǒng)上建立可信執(zhí)行環(huán)境的裝置；用于在所述可信執(zhí)行環(huán)境與協(xié)調(diào)服務(wù)器的相應(yīng)的可信執(zhí)行環(huán)境之間建立安全通信信道的裝置；用于由所述可信執(zhí)行環(huán)境確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性的裝置；用于由所述可信執(zhí)行環(huán)境接收由所述車(chē)輛的傳感器生成的傳感器數(shù)據(jù)的裝置；用于由所述可信執(zhí)行環(huán)境基于所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境來(lái)生成證明引用的裝置；以及用于通過(guò)所述安全通信信道并且響應(yīng)于確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性而將以下各項(xiàng)傳輸至所述協(xié)調(diào)服務(wù)器的裝置：(i)所述傳感器數(shù)據(jù)；(ii)所述證明引用；以及(iii)用綁定至所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境的私鑰簽名的經(jīng)密碼簽名的通信。

示例28包括如示例27所述的主題，并且其中，用于建立所述可信執(zhí)行環(huán)境的所述裝置包括：用于分配所述車(chē)載計(jì)算系統(tǒng)的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令的裝置，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域外部的存儲(chǔ)器訪(fǎng)問(wèn)。

示例29包括如示例27和28中任一項(xiàng)所述的主題，并且其中，用于建立所述安全通信信道的所述裝置包括：用于在所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境與所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境之間建立安全套接層信道的裝置。

示例30包括如示例27至29中任一項(xiàng)所述的主題，并且其中，用于確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性的所述裝置包括：用于基于所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境從所述協(xié)調(diào)服務(wù)器處接收證明引用的裝置；以及用于驗(yàn)證所述證明引用的裝置。

示例31包括如示例27至30中任一項(xiàng)所述的主題，并且其中，用于驗(yàn)證所述證明引用的所述裝置包括：用于將所述證明引用傳輸至證明服務(wù)器的裝置；以及用于響應(yīng)于傳輸所述證明引用而從所述證明服務(wù)器處接收指示所述協(xié)調(diào)服務(wù)器的所述可信執(zhí)行環(huán)境是否安全的證明結(jié)果的裝置。

示例32包括如示例27至31中任一項(xiàng)所述的主題，并且其中，用于確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性的所述裝置包括：用于驗(yàn)證在所述協(xié)調(diào)服務(wù)器的所述相應(yīng)可信執(zhí)行環(huán)境中執(zhí)行的代碼的完整性的裝置。

示例33包括如示例27至32中任一項(xiàng)所述的主題，并且其中，用于建立所述可信執(zhí)行環(huán)境的所述裝置包括：用于在所述車(chē)載計(jì)算系統(tǒng)的安全協(xié)處理器上建立可信執(zhí)行環(huán)境的裝置；用于接收所述傳感器數(shù)據(jù)的所述裝置包括：用于由所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境通過(guò)在所述安全協(xié)處理器與所述傳感器之間的硬件保護(hù)的輸入-輸出路徑來(lái)接收所述傳感器數(shù)據(jù)的裝置；并且所述私鑰被綁定至所述安全協(xié)處理器。

示例34包括如示例27至33中任一項(xiàng)所述的主題，并且其中，所述經(jīng)密碼簽名的通信包括所述傳感器數(shù)據(jù)或所述證明引用中的至少一項(xiàng)。

示例35包括如示例27至34中任一項(xiàng)所述的主題，并且進(jìn)一步包括：用于通過(guò)所述安全通信信道從所述協(xié)調(diào)服務(wù)器處接收由遠(yuǎn)程車(chē)輛生成的傳感器數(shù)據(jù)的裝置。

示例36包括如示例27至35中任一項(xiàng)所述的主題，并且進(jìn)一步包括：用于基于由所述車(chē)輛的所述傳感器生成的傳感器數(shù)據(jù)以及由所述遠(yuǎn)程車(chē)輛生成的傳感器數(shù)據(jù)來(lái)執(zhí)行動(dòng)作的裝置。

示例37包括如示例27至36中任一項(xiàng)所述的主題，并且進(jìn)一步包括：用于將所述私鑰配設(shè)給所述可信執(zhí)行環(huán)境的裝置。

示例38包括如示例27至37中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰。

示例39包括一種用于安全地交換傳感器信息的本地計(jì)算設(shè)備，所述本地計(jì)算設(shè)備包括：傳感器，所述傳感器用于生成傳感器數(shù)據(jù)；可信執(zhí)行環(huán)境模塊，所述可信執(zhí)行環(huán)境模塊用于在本地計(jì)算設(shè)備上建立可信執(zhí)行環(huán)境，其中，私鑰被綁定至所述可信執(zhí)行環(huán)境；以及通信模塊，所述通信模塊用于在所述可信執(zhí)行環(huán)境與協(xié)調(diào)服務(wù)器的相應(yīng)可信執(zhí)行環(huán)境之間建立安全通信信道；其中，所述可信執(zhí)行環(huán)境模塊進(jìn)一步用于：(i)確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性；(ii)從所述傳感器處接收所述傳感器數(shù)據(jù)；(iii)基于所述本地計(jì)算設(shè)備的所述可信執(zhí)行環(huán)境來(lái)生成證明引用；以及(iv)通過(guò)所述安全通信信道并由所述通信模塊向所述協(xié)調(diào)服務(wù)器傳輸所述傳感器數(shù)據(jù)、所述證明引用、以及用所述私鑰簽名的密碼簽名通信。

示例40包括如示例39所述的主題，并且其中，建立所述可信執(zhí)行環(huán)境包括：分配所述本地計(jì)算設(shè)備的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域外部的存儲(chǔ)器訪(fǎng)問(wèn)。

示例41包括如示例39和40中任一項(xiàng)所述的主題，并且其中，確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性包括：基于所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境，從所述協(xié)調(diào)服務(wù)器處接收證明引用；以及驗(yàn)證所述證明引用。

示例42包括如示例39至41中任一項(xiàng)所述的主題，并且其中，所述通信模塊進(jìn)一步用于：從所述協(xié)調(diào)服務(wù)器處接收由遠(yuǎn)程車(chē)輛生成的傳感器數(shù)據(jù)；并且所述可信執(zhí)行環(huán)境模塊進(jìn)一步用于：基于由所述本地計(jì)算設(shè)備的所述傳感器生成的傳感器數(shù)據(jù)以及由所述遠(yuǎn)程計(jì)算設(shè)備生成的傳感器數(shù)據(jù)來(lái)執(zhí)行動(dòng)作。

示例43包括如示例39至42中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰。

示例44包括一種由本地計(jì)算設(shè)備安全地交換傳感器信息的方法，所述方法包括：由所述本地計(jì)算設(shè)備在所述本地計(jì)算設(shè)備上建立可信執(zhí)行環(huán)境；由所述本地計(jì)算設(shè)備在所述可信執(zhí)行環(huán)境與協(xié)調(diào)服務(wù)器的相應(yīng)的可信執(zhí)行環(huán)境之間建立安全通信信道；由所述可信執(zhí)行環(huán)境確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性；由所述可信執(zhí)行環(huán)境接收所述本地計(jì)算設(shè)備的傳感器生成的傳感器數(shù)據(jù)；由所述可信執(zhí)行環(huán)境基于所述本地計(jì)算設(shè)備的所述可信執(zhí)行環(huán)境來(lái)生成證明引用；以及通過(guò)所述安全通信信道并且響應(yīng)于確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性而從所述本地計(jì)算設(shè)備向所述協(xié)調(diào)服務(wù)器傳輸：(i)所述傳感器數(shù)據(jù)；(ii)所述證明引用；以及(iii)用綁定至所述本地計(jì)算設(shè)備的所述可信執(zhí)行環(huán)境的私鑰簽名的經(jīng)密碼簽名的通信。

示例45包括如示例44所述的主題，并且其中，建立所述可信執(zhí)行環(huán)境包括：分配所述車(chē)載計(jì)算系統(tǒng)的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域外部的存儲(chǔ)器訪(fǎng)問(wèn)。

示例46包括如示例44和45中任一項(xiàng)所述的主題，并且其中，確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性包括：基于所述協(xié)調(diào)服務(wù)器的所述相應(yīng)可信執(zhí)行環(huán)境，從所述協(xié)調(diào)服務(wù)器處接收證明引用；以及驗(yàn)證所述證明引用。

示例47包括如示例44至46中任一項(xiàng)所述的主題，并且進(jìn)一步包括：由所述本地計(jì)算設(shè)備并從所述協(xié)調(diào)服務(wù)器處接收由遠(yuǎn)程計(jì)算設(shè)備生成的傳感器數(shù)據(jù)；以及由所述本地計(jì)算設(shè)備基于由所述本地計(jì)算設(shè)備的所述傳感器生成的傳感器數(shù)據(jù)以及由所述遠(yuǎn)程計(jì)算設(shè)備生成的傳感器數(shù)據(jù)來(lái)執(zhí)行動(dòng)作。

示例48包括如示例44至47中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰。

示例49包括一種計(jì)算設(shè)備，所述計(jì)算設(shè)備包括：處理器；以及存儲(chǔ)器，所述存儲(chǔ)器具有存儲(chǔ)于其中的多條指令，所述指令當(dāng)由所述處理器執(zhí)行時(shí)使所述計(jì)算設(shè)備執(zhí)行如示例44至48中任一項(xiàng)所述的方法。

示例50包括一種或多種機(jī)器可讀存儲(chǔ)介質(zhì)，包括存儲(chǔ)于其上的多條指令，所述指令響應(yīng)于由計(jì)算設(shè)備執(zhí)行而使所述計(jì)算設(shè)備執(zhí)行如示例44至48中任一項(xiàng)所述的方法。

示例51包括一種用于安全地交換傳感器信息的本地計(jì)算設(shè)備，所述本地計(jì)算設(shè)備包括：用于在所述本地計(jì)算設(shè)備上建立可信執(zhí)行環(huán)境的裝置；用于在所述可信執(zhí)行環(huán)境與協(xié)調(diào)服務(wù)器的相應(yīng)的可信執(zhí)行環(huán)境之間建立安全通信信道的裝置；用于由所述可信執(zhí)行環(huán)境確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性的裝置；用于由所述可信執(zhí)行環(huán)境接收由所述本地計(jì)算設(shè)備的傳感器生成的傳感器數(shù)據(jù)的裝置；用于由所述可信執(zhí)行環(huán)境基于所述本地計(jì)算設(shè)備的所述可信執(zhí)行環(huán)境來(lái)生成證明引用的裝置；以及用于通過(guò)所述安全通信信道并且響應(yīng)于確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性而向所述協(xié)調(diào)服務(wù)器傳輸以下各項(xiàng)的裝置：(i)所述傳感器數(shù)據(jù)；(ii)所述證明引用；以及(iii)使用綁定至所述本地計(jì)算設(shè)備的所述可信執(zhí)行環(huán)境的私鑰來(lái)簽名的經(jīng)密碼簽名的通信。

示例52包括如示例51所述的主題，并且其中，用于建立所述可信執(zhí)行環(huán)境的所述裝置包括：用于分配所述車(chē)載計(jì)算系統(tǒng)的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令的裝置，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域外部的存儲(chǔ)器訪(fǎng)問(wèn)。

示例53包括如示例51和52中任一項(xiàng)所述的主題，并且其中，用于確認(rèn)所述協(xié)調(diào)服務(wù)器的真實(shí)性的所述裝置包括：用于基于所述協(xié)調(diào)服務(wù)器的所述相應(yīng)的可信執(zhí)行環(huán)境從所述協(xié)調(diào)服務(wù)器處接收證明引用的裝置；以及用于驗(yàn)證所述證明引用的裝置。

示例54包括如示例51至53中任一項(xiàng)所述的主題，并且進(jìn)一步包括：用于從所述協(xié)調(diào)服務(wù)器處接收由遠(yuǎn)程計(jì)算設(shè)備生成的傳感器數(shù)據(jù)的裝置；以及用于基于由所述本地計(jì)算設(shè)備的所述傳感器生成的傳感器數(shù)據(jù)以及由所述遠(yuǎn)程計(jì)算設(shè)備生成的傳感器數(shù)據(jù)來(lái)執(zhí)行動(dòng)作的裝置。

示例55包括如示例51至54中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰。

示例56包括一種用于在車(chē)輛之間協(xié)調(diào)對(duì)傳感器信息的安全交換的協(xié)調(diào)服務(wù)器，所述協(xié)調(diào)服務(wù)器包括：可信執(zhí)行環(huán)境模塊，所述可信執(zhí)行環(huán)境模塊用于：(i)在所述協(xié)調(diào)服務(wù)器上建立可信執(zhí)行環(huán)境以及(ii)基于所述協(xié)調(diào)服務(wù)器的所述可信執(zhí)行環(huán)境生成服務(wù)器證明引用；通信模塊，所述通信模塊用于：(i)在所述可信執(zhí)行環(huán)境與車(chē)輛的車(chē)載計(jì)算系統(tǒng)的相應(yīng)的可信執(zhí)行環(huán)境之間建立安全通信信道；(ii)通過(guò)所述安全通信信道將所述服務(wù)器證明引用傳輸至所述車(chē)載計(jì)算系統(tǒng)；以及(iii)通過(guò)所述安全通信信道從所述車(chē)載計(jì)算系統(tǒng)處接收由所述車(chē)輛的傳感器生成的傳感器數(shù)據(jù)、基于所述車(chē)載計(jì)算系統(tǒng)的所述相應(yīng)的可信執(zhí)行環(huán)境的車(chē)輛證明引用、以及用綁定至所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境的私鑰簽名的經(jīng)密碼簽名的通信；其中，所述可信執(zhí)行環(huán)境模塊進(jìn)一步用于驗(yàn)證：(i)所述車(chē)輛證明引用；(ii)與所述經(jīng)密碼簽名的通信相關(guān)聯(lián)的所述私鑰；以及(iii)所述私鑰的撤銷(xiāo)狀態(tài)；以及傳感器數(shù)據(jù)處理模塊，所述傳感器數(shù)據(jù)處理模塊用于：響應(yīng)于驗(yàn)證了所述車(chē)輛證明引用和所述私鑰以及確定了所述私鑰尚未被撤銷(xiāo)而處理所述傳感器數(shù)據(jù)。

示例57包括如示例56所述的主題，并且其中，處理所述傳感器數(shù)據(jù)包括：將所述傳感器數(shù)據(jù)傳輸至遠(yuǎn)程車(chē)輛的第二車(chē)載計(jì)算系統(tǒng)。

示例58包括如示例56和57中任一項(xiàng)所述的主題，并且其中，驗(yàn)證所述車(chē)輛證明引用包括：將所述車(chē)輛證明引用傳輸至證明服務(wù)器；以及響應(yīng)于傳輸所述車(chē)輛證明引用而從所述證明服務(wù)器處接收指示所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境是否安全的證明結(jié)果。

示例59包括如示例56至58中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰；并且其中，驗(yàn)證所述私鑰包括：將所述公共增強(qiáng)隱私標(biāo)識(shí)密鑰應(yīng)用于所述經(jīng)密碼簽名的通信。

示例60包括如示例56至59中任一項(xiàng)所述的主題，并且其中，驗(yàn)證所述私鑰的所述撤銷(xiāo)狀態(tài)包括：將所述私鑰與制造商服務(wù)器的撤銷(xiāo)列表進(jìn)行比較。

示例61包括如示例56至60中任一項(xiàng)所述的主題，并且其中，建立所述可信執(zhí)行環(huán)境包括：分配所述協(xié)調(diào)服務(wù)器的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域外部的存儲(chǔ)器訪(fǎng)問(wèn)。

示例62包括一種用于由協(xié)調(diào)服務(wù)器在車(chē)輛之間協(xié)調(diào)對(duì)傳感器信息的安全交換的方法，所述方法包括：由所述協(xié)調(diào)服務(wù)器在所述協(xié)調(diào)服務(wù)器上建立可信執(zhí)行環(huán)境；由所述協(xié)調(diào)服務(wù)器在所述可信執(zhí)行環(huán)境與車(chē)輛的車(chē)載計(jì)算系統(tǒng)的相應(yīng)的可信執(zhí)行環(huán)境之間建立安全通信信道；由所述協(xié)調(diào)服務(wù)器基于所述協(xié)調(diào)服務(wù)器的所述可信執(zhí)行環(huán)境生成服務(wù)器證明引用；由所述協(xié)調(diào)服務(wù)器并通過(guò)所述安全通信信道將所述服務(wù)器證明引用傳輸至所述車(chē)載計(jì)算系統(tǒng)；由所述協(xié)調(diào)服務(wù)器并從所述車(chē)載計(jì)算系統(tǒng)處通過(guò)所述安全通信信道接收：(i)所述車(chē)輛的傳感器生成的傳感器數(shù)據(jù)；(ii)基于所述車(chē)載計(jì)算系統(tǒng)的所述相應(yīng)的可信執(zhí)行環(huán)境的車(chē)輛證明引用；以及(iii)用綁定至所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境的私鑰簽名的經(jīng)密碼簽名的通信；由所述協(xié)調(diào)服務(wù)器驗(yàn)證：(i)所述車(chē)輛證明引用；(ii)與所述經(jīng)密碼簽名的通信相關(guān)聯(lián)的所述私鑰；以及(iii)所述私鑰的撤銷(xiāo)狀態(tài)；以及由所述協(xié)調(diào)服務(wù)器響應(yīng)于驗(yàn)證了所述車(chē)輛證明引用和所述私鑰以及確定了所述私鑰尚未被撤銷(xiāo)而處理所述傳感器數(shù)據(jù)。

示例63包括如示例62所述的主題，并且其中，處理所述傳感器數(shù)據(jù)包括：將所述傳感器數(shù)據(jù)傳輸至遠(yuǎn)程車(chē)輛的第二車(chē)載計(jì)算系統(tǒng)。

示例64包括如示例62和63中任一項(xiàng)所述的主題，并且其中，驗(yàn)證所述車(chē)輛證明引用包括：將所述車(chē)輛證明引用傳輸至證明服務(wù)器；以及響應(yīng)于傳輸所述車(chē)輛證明引用而從所述證明服務(wù)器處接收指示所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境是否安全的證明結(jié)果。

示例65包括如示例62至64中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰；并且其中，驗(yàn)證所述私鑰包括：將所述公共增強(qiáng)隱私標(biāo)識(shí)密鑰應(yīng)用到所述經(jīng)密碼簽名的通信上。

示例66包括如示例62至65中任一項(xiàng)所述的主題，并且其中，驗(yàn)證所述私鑰的所述撤銷(xiāo)狀態(tài)包括：將所述私鑰與制造商服務(wù)器的撤銷(xiāo)列表進(jìn)行比較。

示例67包括如示例62至66中任一項(xiàng)所述的主題，并且其中，建立所述可信執(zhí)行環(huán)境包括：分配所述協(xié)調(diào)服務(wù)器的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域外部的存儲(chǔ)器訪(fǎng)問(wèn)。

示例68包括一種計(jì)算設(shè)備，所述計(jì)算設(shè)備包括：處理器；以及存儲(chǔ)器，所述存儲(chǔ)器具有存儲(chǔ)于其中的多條指令，所述指令當(dāng)由所述處理器執(zhí)行時(shí)使所述計(jì)算設(shè)備執(zhí)行如示例62至67中任一項(xiàng)所述的方法。

示例69包括一種或多種機(jī)器可讀存儲(chǔ)介質(zhì)，包括存儲(chǔ)于其上的多條指令，所述指令響應(yīng)于由計(jì)算設(shè)備執(zhí)行而使所述計(jì)算設(shè)備執(zhí)行如示例62至67中任一項(xiàng)所述的方法。

示例70包括一種用于在車(chē)輛之間協(xié)調(diào)對(duì)傳感器信息的安全交換的協(xié)調(diào)服務(wù)器，所述協(xié)調(diào)服務(wù)器包括：用于在所述協(xié)調(diào)服務(wù)器上建立可信執(zhí)行環(huán)境的裝置；用于在所述可信執(zhí)行環(huán)境與車(chē)輛的車(chē)載計(jì)算系統(tǒng)的相應(yīng)的可信執(zhí)行環(huán)境之間建立安全通信信道的裝置；用于基于所述協(xié)調(diào)服務(wù)器的所述可信執(zhí)行環(huán)境生成服務(wù)器證明引用的裝置；用于通過(guò)所述安全通信信道將所述服務(wù)器證明引用傳輸至所述車(chē)載計(jì)算系統(tǒng)的裝置；用于通過(guò)所述安全通信信道從所述車(chē)載計(jì)算系統(tǒng)處接收以下各項(xiàng)的裝置：(i)所述車(chē)輛的傳感器生成的傳感器數(shù)據(jù)；(ii)基于所述車(chē)載計(jì)算系統(tǒng)的所述相應(yīng)可信執(zhí)行環(huán)境的車(chē)輛證明引用；以及(iii)用綁定至所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境的私鑰簽名的經(jīng)密碼簽名的通信；用于驗(yàn)證以下各項(xiàng)的裝置：(i)所述車(chē)輛證明引用；(ii)與所述經(jīng)密碼簽名的通信相關(guān)聯(lián)的所述私鑰；以及(iii)所述私鑰的撤銷(xiāo)狀態(tài)；以及用于響應(yīng)于驗(yàn)證了所述車(chē)輛證明引用和所述私鑰以及確定了所述私鑰尚未被撤銷(xiāo)而處理所述傳感器數(shù)據(jù)的裝置。

示例71包括如示例70所述的主題，并且其中，用于處理所述傳感器數(shù)據(jù)的所述裝置包括：用于將所述傳感器數(shù)據(jù)傳輸至遠(yuǎn)程車(chē)輛的第二車(chē)載計(jì)算系統(tǒng)的裝置。

示例72包括如示例70和71中任一項(xiàng)所述的主題，并且其中，用于驗(yàn)證所述車(chē)輛證明引用的所述裝置包括：用于將所述車(chē)輛證明引用傳輸至證明服務(wù)器的裝置；以及用于響應(yīng)于傳輸所述車(chē)輛證明引用而從所述證明服務(wù)器處接收指示所述車(chē)載計(jì)算系統(tǒng)的所述可信執(zhí)行環(huán)境是否安全的證明結(jié)果的裝置。

示例73包括如示例70至72中任一項(xiàng)所述的主題，并且其中，所述私鑰是與可由所述協(xié)調(diào)服務(wù)器訪(fǎng)問(wèn)的公共增強(qiáng)隱私標(biāo)識(shí)密鑰相對(duì)應(yīng)的私有增強(qiáng)隱私標(biāo)識(shí)密鑰；并且其中，用于驗(yàn)證所述私鑰的裝置包括：用于將所述公共增強(qiáng)隱私標(biāo)識(shí)密鑰應(yīng)用到所述經(jīng)密碼簽名的通信上的裝置。

示例74包括如示例70至73中任一項(xiàng)所述的主題，并且其中，用于驗(yàn)證所述私鑰的所述撤銷(xiāo)狀態(tài)的所述裝置包括：用于將所述私鑰與制造商服務(wù)器的撤銷(xiāo)列表進(jìn)行比較的裝置。

示例75包括如示例70至74中任一項(xiàng)所述的主題，并且其中，用于建立所述可信執(zhí)行環(huán)境的所述裝置包括：用于分配所述協(xié)調(diào)服務(wù)器的存儲(chǔ)器的線(xiàn)性地址空間的連續(xù)區(qū)域用于執(zhí)行多條指令的裝置，所述連續(xù)區(qū)域受保護(hù)而免受源自所述連續(xù)區(qū)域外部的存儲(chǔ)器訪(fǎng)問(wèn)。