專利名稱:道路收費(fèi)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及道路收費(fèi)系統(tǒng),用于實現(xiàn)基于所用的道路路段來扣減路費(fèi)的自動支付 系統(tǒng)��。
背景技術(shù):
電信和信息學(xué)的結(jié)合使用稱作遠(yuǎn)程信息處理����。車輛遠(yuǎn)程信息處理系統(tǒng)可以用于 多種目的����,包括收集路費(fèi)、管理道路使用(智能交通系統(tǒng))����、跟蹤車隊車輛位置、恢復(fù)被盜車 輛����、提供自動碰撞通知��、位置驅(qū)動駕駛員信息服務(wù)���、以及車載早期警告通知警報系統(tǒng)(車輛 事故預(yù)防)。道路收費(fèi)被認(rèn)為是車輛遠(yuǎn)程信息處理系統(tǒng)的第一可能的大容量市場��。遠(yuǎn)程信息處 理目前正開始進(jìn)入消費(fèi)車輛環(huán)境�,作為閉合服務(wù)的多媒體服務(wù)箱。這些市場在容量方面仍 然較低���,并且被認(rèn)為是瞄準(zhǔn)機(jī)會的市場�。歐盟(以荷蘭為領(lǐng)先的國家)意在從2012年開始�����, 引入道路收費(fèi)�����,作為每輛車的必需功能�����。圖1示出了西歐隨時間變化的不同遠(yuǎn)程信息處理服務(wù)的預(yù)期容量。遠(yuǎn)程信息處理 服務(wù)市場分成三個主要部分道路收費(fèi)服務(wù)���、緊急呼叫e-call (緊急事件服務(wù))和其他一般 性服務(wù)(例如上述的服務(wù))���。該圖還示出了在原始設(shè)備制造商(OEM)(即,車輛制造商)與 銷售后市場(AM)產(chǎn)品之間的劃分�����。圖1假設(shè)道路收費(fèi)將于2012年在荷蘭啟動��,并在大約2014年到2020年左右在其 他國家實行���。還假設(shè)e-call系統(tǒng)將不是強(qiáng)制性的��。圖1大體上示出了遠(yuǎn)程信息處理車載系統(tǒng)隨時間的快速增長���。圖2示出了道路收費(fèi)功能在過去已經(jīng)實施得怎么樣�,并且預(yù)期在將來會如何改變。迄今為止���,道路收費(fèi)已用于公路計費(fèi)�、卡車計費(fèi)以及在特定區(qū)域(例如倫敦市)中 行駛車輛的計費(fèi)。通常使用車輛必須在此停止的收費(fèi)站���,或者短程通信系統(tǒng)允許在車輛經(jīng) 過時自動進(jìn)行資金借記���。在不遠(yuǎn)的將來所需要的道路收費(fèi)功能要求更少的(或沒有)基礎(chǔ)設(shè)施,并且要求 針對行駛的每一英里進(jìn)行收費(fèi)��。如圖2所示�,設(shè)想車輛具有板上GPS系統(tǒng)和GSM(移動電話網(wǎng)絡(luò))連接,以能夠?qū)?信息中繼至集中式道路收費(fèi)系統(tǒng)���。自動道路收費(fèi)系統(tǒng)中的計費(fèi)系統(tǒng)可以基于行駛距離�、時間�����、位置和車輛特征��。道路 收費(fèi)可以應(yīng)用于所有車輛����,或者可以排除特定類別的車輛(例如具有國外車號牌的車輛)。US 6���,816�����,707描述了一種包括移動設(shè)備和用于安裝在車輛上的車輛單元的系統(tǒng)��。 移動設(shè)備是事務(wù)處理設(shè)備�����。車輛單元攜帶車輛的標(biāo)識(以及可以有其他數(shù)據(jù))���。移動設(shè)備 和車輛單元彼此進(jìn)行相互認(rèn)證�����。需要提高這種系統(tǒng)的安全性�,并使得對這種系統(tǒng)的欺詐性使用盡可能地困難���。
發(fā)明內(nèi)容
根據(jù)本發(fā)明�,提供了一種道路收費(fèi)系統(tǒng)���,包括具有衛(wèi)星導(dǎo)航接收機(jī)的車載單元����,衛(wèi) 星導(dǎo)航接收機(jī)實現(xiàn)位置跟蹤功能�,其中該系統(tǒng)還包括用于基于位置跟蹤信息來確定車輛行駛路徑的裝置;一個或多個傳感器��,用于檢測與衛(wèi)星導(dǎo)航信號無關(guān)的本地車輛狀況�����,所述本地車 輛狀況取決于車輛的絕對位置或車輛位置的改變�;以及用于使用傳感器信息對位置跟蹤信息的真實性進(jìn)行驗證的裝置。該系統(tǒng)使用衛(wèi)星導(dǎo)航接收機(jī)�,使得能夠?qū)崿F(xiàn)無基礎(chǔ)設(shè)施的道路收費(fèi)。該系統(tǒng)還提 供了一種防止所謂的虛假GPS攻擊的方法��,虛假GPS攻擊即是提供虛假GPS數(shù)據(jù)���,以減少可 支付的路費(fèi)�。這是通過如下實現(xiàn)的將GPS位置信息與車輛收集的獨(dú)立信息(稱為“本地 車輛狀況”)相比較����,來提供對GPS位置信息的驗證。本地車輛狀況可以包括車輛的運(yùn)動,驗證裝置用于檢驗第一和第二位置跟蹤地點 之間相差與從傳感器信號導(dǎo)出的位置改變相對應(yīng)的量�。這樣,本地車輛狀況傳感器不需要進(jìn)行任何絕對位置估計����,而可以用于檢驗在時 間上分離的衛(wèi)星接收機(jī)信號之間的差異與檢測車輛運(yùn)動一致。在這種情況下�����,傳感器可以用于測量如下中的一個或多個車輛速度��;車輛轉(zhuǎn)向角��;車輛行駛距離�����;油箱水平����。備選地(或附加地),本地車輛狀況可以包括本地環(huán)境狀況��,驗證裝置用于檢驗在 由位置跟蹤功能給出的地點處的相應(yīng)環(huán)境狀況與傳感器檢測到的本地環(huán)境狀況一致��。該方 法可以用于檢驗環(huán)境狀況(例如,天氣或時間)與衛(wèi)星信號中編碼的環(huán)境狀況一致��。在這種情況下�����,傳感器可以用于測量如下中的一個或多個雨水(例如�,作為風(fēng)檔雨雪刷系統(tǒng)的一部分的傳感器�����,或者確實是風(fēng)檔雨雪刷激 活)��;溫度(例如����,作為空調(diào)系統(tǒng)的一部分的傳感器);環(huán)境光水平�����;車輛頭燈或尾燈輸出���。天氣狀況也可以從氣象來源獲得�。備選地(或附加地),本地車輛狀況可以包括在車輛附近廣播的無線信號���,驗證裝 置用于檢驗所檢測的無線信號與位置跟蹤功能給出的地點一致�。這樣�,車輛附近存在的無 線信號可以用于提供車輛的粗略位置估計。在這種情況下�,傳感器可以用于檢測如下中的一個或多個FM無線電傳輸?shù)腞DS信號;DVB或DAB廣播的SI數(shù)據(jù)��;蜂窩基站信號�����;預(yù)定頻率上的無線電信號電平���;航海和航空信號��;
WiFi接入點信號����。如果傳感器用于檢測移動電話信號�,則系統(tǒng)還包括移動電話接收機(jī)。例如�,這可 以用于更新車載單元的存儲設(shè)備內(nèi)的道路收費(fèi)定價結(jié)構(gòu)�����,也可以用于向中央清單開具中心 (針對后付費(fèi)系統(tǒng))中繼與使用的道路和/或要收取的路費(fèi)有關(guān)的信息�����。移動電話接收機(jī)可以實施位置跟蹤功能(通過對來自多個基站的多個信號進(jìn)行 三邊測量),驗證裝置可以檢驗移動電話接收機(jī)的位置跟蹤信息與衛(wèi)星導(dǎo)航接收機(jī)的位置 跟蹤信息之間的對應(yīng)性����。如上所述,車載單元優(yōu)選地還包括用于存儲收費(fèi)支付信息的第一存儲設(shè)備��。這可 以用于存儲用于后計費(fèi)的收費(fèi)值��、或預(yù)付的收費(fèi)值����、以及道路定價數(shù)據(jù)。該系統(tǒng)還優(yōu)選地包括用于存儲傳感器信息的存儲設(shè)備(或上述相同的存儲設(shè)該發(fā)明還提供一種對由車載單元提供的位置跟蹤信息進(jìn)行驗證的方法�,車載單元 具有衛(wèi)星導(dǎo)航接收機(jī),該方法包括基于由車載單元提供的位置跟蹤信息�����,確定車輛行駛路徑;檢測與衛(wèi)星導(dǎo)航信號無關(guān)的本地車輛狀況�,所述本地車輛狀況取決于車輛的絕對 位置或車輛位置的改變;以及使用傳感器信息對位置跟蹤信息的真實性進(jìn)行驗證��。
下面將參照附圖描述本發(fā)明的示例���,附圖中圖1示出了預(yù)期在未來車輛遠(yuǎn)程信息處理系統(tǒng)如何在歐洲增長����;圖2示出了具體的道路收費(fèi)系統(tǒng)可能如何演進(jìn)�;圖3示出了本發(fā)明系統(tǒng)的第一示例;圖4示出了本發(fā)明系統(tǒng)的第二示例���;圖5示出了本發(fā)明系統(tǒng)中使用的車輛�;圖6更加詳細(xì)地示出了本發(fā)明系統(tǒng)�����;圖7示出了本發(fā)明系統(tǒng)內(nèi)的信息流的第一示例��;圖8示出了本發(fā)明系統(tǒng)內(nèi)的信息流的第二示例�����;圖9示出了本發(fā)明系統(tǒng)內(nèi)的信息流的第三示例;以及圖10示出了本發(fā)明系統(tǒng)內(nèi)的信息流的第四示例���。
具體實施例方式本發(fā)明提供了采用車載單元形式的道路收費(fèi)系統(tǒng)��,車載單元具有實現(xiàn)位置跟蹤功 能的衛(wèi)星導(dǎo)航接收機(jī)���。該系統(tǒng)基于位置跟蹤信息,確定車輛行駛的路徑�,并具有對來自衛(wèi)星 導(dǎo)航接收機(jī)的位置信息進(jìn)行驗證的驗證系統(tǒng)。圖3示出了結(jié)合了本發(fā)明提供的驗證系統(tǒng)的道路收費(fèi)系統(tǒng)的第一實施方式�����。圖3 示例以針對更少基礎(chǔ)設(shè)施的道路收費(fèi)的離線最小客戶端系統(tǒng)為基礎(chǔ)���。GPS接收機(jī)30獲取GPS數(shù)據(jù)。將該數(shù)據(jù)解碼為位置數(shù)據(jù)(經(jīng)度-緯度)����。位置數(shù) 據(jù)與定時(時鐘)數(shù)據(jù)一起存儲在智能卡(Smart ΧΑ)形式的存儲器32中。周期性地將一批存儲的數(shù)據(jù)發(fā)送給后端道路收費(fèi)服務(wù)器34���,如批下載36所示���。理想情況下��,這可以使用 蜂窩調(diào)制解調(diào)器38����,通過GSM功能(通用分組無線服務(wù)“GPRS”或第三代移動電話“3G” ) 來進(jìn)行����。后端服務(wù)器能夠從該數(shù)據(jù)中重建所行駛的路程。服務(wù)器還包含道路價格數(shù)據(jù)庫�����,道路價格在特定時間上是有效的�����。最終��,計算總 價�����,并且駕駛員得到清單(例如,按月份地)����。可以基于如下所示的平均數(shù)據(jù)來計算所需的智能卡的存儲器大小
km/年100000.0天數(shù)/年200. 0小時數(shù)目/天8. 0平均km/小時62. 5精度(m)625. 0GPS定位點之間的最大距離(m)312. 5兩個定位點之間的秒數(shù)18. 0定位點數(shù)目/月26666.7字節(jié)/GPS定位點4. 0所需的最小存儲器/月(千字節(jié))106. 7如果來自道路收費(fèi)的總收入與來自現(xiàn)有稅收的實際納稅收入近似相同�,則平均成 本/km非常低。因此�����,每一行程非常小����,這意味著可能不需要連續(xù)的在線事務(wù)處理方案,因 此需要進(jìn)行批下載��。這種事務(wù)處理方案與當(dāng)前已知的銀行領(lǐng)域使用的電子錢包方案非常符合�。該基本配置存在多種變體�。首先,可以不存儲原始GPS數(shù)據(jù)���,而是存儲解碼的位置信息�����。這降低了存儲需求以 及批傳輸量����。該系統(tǒng)也可以修改為使用戶能夠獲得其正在行駛的道路的實際價格信息。這可以 通過使用實時在線查詢系統(tǒng)和數(shù)據(jù)傳輸來獲得����。例如,按下價格請求按鈕將最新的GPS坐 標(biāo)發(fā)送給服務(wù)器����,服務(wù)器以道路價格進(jìn)行響應(yīng),隨后道路價格顯示給用戶�。這提供了低成本 服務(wù)。利用簡單的GPS實驗室設(shè)備���,可以構(gòu)建虛假發(fā)射機(jī)���,該虛假發(fā)射機(jī)可以安裝在接 收機(jī)的鄰近。該發(fā)射機(jī)會發(fā)出虛假數(shù)據(jù)����。應(yīng)該避免這種攻擊,本發(fā)明提供了利用車輛收集的 其他獨(dú)立信息來對GPS位置進(jìn)行驗證�,在本說明書和權(quán)利要求書中,其他獨(dú)立信息稱作“本
8地車輛狀況”。此類可以用于驗證GPS數(shù)據(jù)的信息可以分為兩個類別內(nèi)部和外部��。內(nèi)部信號采 用車載傳感器信號的形式����。這樣,本地車輛狀況可以包括車輛的運(yùn)動或本地環(huán)境狀況���。為了與GPS系統(tǒng)無關(guān)地檢測車輛的運(yùn)動��,可以使用從現(xiàn)有車輛設(shè)備和傳感器得到 的多個參數(shù)����,例如車輛速度�����;車輛轉(zhuǎn)向角���;車輛行駛距離�����;油箱水平。此類信息可以用于估計隨時間的位置改變。這些信號無法進(jìn)行絕對車輛位置的估 計�����,但是可以用于檢驗在時間上分離的衛(wèi)星接收機(jī)信號之間的差異與檢測車輛運(yùn)動一致�����。 因此�,從第一 GPS位置定位點開始,可以計算短程位置改變�����。如果GPS數(shù)據(jù)指示了與內(nèi)部信 號的分析一致的車輛運(yùn)動�,則可以驗證隨后的GPS位置定位點。為了檢測本地環(huán)境狀況�,同樣可以使用從現(xiàn)有(或附加的)車輛傳感器得到的多 個參數(shù),例如雨水檢測��;溫度����;環(huán)境光水平;車輛頭燈或尾燈輸出����;環(huán)境狀況可以用于檢驗GPS信號中編碼的時間和位置與所測量的環(huán)境狀況一致��。 例如�,虛假GPS信號可以用于指示時間是夜晚(當(dāng)?shù)缆肥召M(fèi)較低時)���,這會與一直較高的環(huán) 境光水平不一致����。類似地���,虛假GPS信號可以用于指示一個區(qū)域中的地點��,這會與在實際車 輛地點記錄的天氣不一致���。外部信號采用與車輛的周圍環(huán)境關(guān)聯(lián)的獨(dú)立信號的形式。作為主要示例���,本地車 輛狀況可以包括在車輛附近廣播的無線信號����??梢詸z測的無線信號可以包括FM無線電傳輸?shù)腞DS (無線電數(shù)據(jù)系統(tǒng))信號����;DVB (數(shù)字視頻廣播)或DAB (數(shù)字音頻廣播)廣播的SI (服務(wù)信息)數(shù)據(jù)�;蜂窩基站信號�����;預(yù)定頻率上的無線電信號電平�;航海和航空信號WiFi接入點信號。車輛的現(xiàn)有無線電接收機(jī)可以用于收集與可以檢測的無線電信號有關(guān)的信息�,該 信息同樣可以與從GPS信號得到的位置相關(guān)。以上示出的信號的一些可以包含關(guān)于位置和時間的隱式或顯式信息�����。例如����,RDS 數(shù)據(jù)包括時間、發(fā)射機(jī)名稱和TMC(業(yè)務(wù)消息信道)數(shù)據(jù)���。TMC數(shù)據(jù)包括關(guān)于特定事件的信 息���,這些特定事件也與已知的時間相關(guān)�。DVB廣播中的SI信息與在所標(biāo)識的發(fā)射機(jī)的特定 范圍內(nèi)的區(qū)域以及當(dāng)前時間相關(guān)����。如圖3所示,系統(tǒng)已經(jīng)具有移動電話接收機(jī)�����,用于接收蜂窩基站信號���。移動電話接收機(jī)可以實施位置跟蹤功能(通過對來自多個基站的多個信號進(jìn)行三邊測量)�����,這可以提 供在驗證GPS位置中使用的準(zhǔn)確地點����?����?梢岳斫?��,通過進(jìn)行相關(guān)來使用兩組(或更多組)獨(dú)立數(shù)據(jù)���,以提供對GPS數(shù)據(jù)的 驗證��,這提高了任何虛假信號攻擊的復(fù)雜性���?����?梢越M合上述多種方法�����,確實�,可以收集盡可能多的信息,使得能夠基于在任何特 定時間可獲得的數(shù)據(jù)來實現(xiàn)驗證�����??梢灾芷谛缘貙鞲衅鲾?shù)據(jù)存儲在與GPS數(shù)據(jù)相同的存儲器中,并將其提供作為 批下載的一部分��。因此��,比較簡單的是將GPS信號以及同時獲得的其他傳感器信號分組。然 后����,服務(wù)器34分析接收到的所有數(shù)據(jù),并執(zhí)行如上所述的費(fèi)用計費(fèi)操作以及執(zhí)行所記錄的 GPS位置的驗證���。對于道路收費(fèi)系統(tǒng)中存儲的數(shù)據(jù)的私密性�,存在顧慮���。在圖3的示例中����,系統(tǒng)存儲 并向中央服務(wù)器系統(tǒng)發(fā)送GSM�、GPS和個人身份數(shù)據(jù)的組合。維護(hù)私密性保護(hù)意味著需要在 整個端到端的系統(tǒng)級(包括服務(wù)器基礎(chǔ)設(shè)施)上維護(hù)安全性����。圖3的系統(tǒng)基于后付費(fèi)。在這種系統(tǒng)中�,只會在一段時間之后對未付費(fèi)進(jìn)行通知。 確實����,服務(wù)器只有在特定時間段之后(例如����,按月份)才計算成批數(shù)據(jù)���。必須發(fā)送清單并且 必須給定支付時間段�����。在未付費(fèi)的情況下,必須允許1或2次警告����。可以看出����,在可以采取 行動之前,例如經(jīng)過了半年���。但是����,后付費(fèi)系統(tǒng)的優(yōu)點在于,客戶服系統(tǒng)需要非常少的處理�����,這會引導(dǎo)至非常低 成本的解決方案��??梢杂煞?wù)器軟件確保計費(fèi)的準(zhǔn)確性,并且可以考慮到先前的中間結(jié)果��, 在較長時間段上對計費(fèi)的準(zhǔn)確性進(jìn)行平均和補(bǔ)償���。當(dāng)然��,也可以實施預(yù)付費(fèi)系統(tǒng)����。圖4示出了預(yù)付費(fèi)系統(tǒng)��。同樣����,由GPS接收機(jī)30獲取GPS數(shù)據(jù)。該數(shù)據(jù)被解碼為位置數(shù)據(jù)(經(jīng)度-緯度)�。 將位置數(shù)據(jù)與定時(時鐘)數(shù)據(jù)一起發(fā)送給微處理器40。微處理器環(huán)境包含道路和有關(guān)價格的數(shù)據(jù)庫。因此��,可以計算實際行駛的有關(guān)費(fèi) 用�����。從智能卡32中存儲的預(yù)付費(fèi)量中扣除該費(fèi)用數(shù)據(jù)��。對價格和道路的數(shù)據(jù)更新通過GSM(GPRS_3G)傳輸�����,從后端服務(wù)器34上載�,如上載 42所示。為了確保數(shù)據(jù)不被用戶篡改��,再次���,在多種元件之間以密碼方式(例如,DES are 3DES)交換數(shù)據(jù)��。將數(shù)據(jù)庫和預(yù)付費(fèi)信息保持在智能卡環(huán)境中�。智能卡環(huán)境也可以擔(dān)任扣除費(fèi)用量的角色,甚至可以執(zhí)行完整的微處理器功能����。 這是理想的抗篡改實施方式�。該實施方式要求將道路和定價數(shù)據(jù)本地存儲�,但是不需要完整的道路和價格數(shù)據(jù) 庫。在大多數(shù)情況下����,車輛行駛在特定區(qū)域(半徑小于50或100km)中。這意味著只有有 限量的道路數(shù)據(jù)必須存儲和更新���。最終��,可以只存儲頻繁使用的道路����。如果系統(tǒng)檢測到在存儲的道路信息之外的GPS狀況����,則可以從服務(wù)器請求附加的 道路信息并進(jìn)行更新。對于大多數(shù)道路����,定價信息在較長時間上保持靜止。更新可以只針對公路/高速 公路而言是更加頻繁的�。這些更新可以只發(fā)生在固定時間�,因此可以預(yù)測更新�。如果價格
10改變,則可以經(jīng)由GSM系統(tǒng)傳遞更新�。為了避免對客戶端的攻擊,抗篡改同樣非常關(guān)鍵����。智能卡環(huán)境已經(jīng)是較好的對 抗策略了??梢砸蟮燃?或4FIPS或公共準(zhǔn)則安全等級(Common Criteria security level),大多數(shù)智能卡滿足該要求���。這反映了事務(wù)處理量較少(“微事務(wù)處理”)的事實�����。其他攻擊與探測或改變多種組件(GPS-微控制器-智能卡)之間接口上的數(shù)據(jù)有關(guān)���。對此����,可以通過將整個計算功能合并到智能卡中并通過GSM單元的現(xiàn)有SIM接口 進(jìn)行智能卡接口連接,來進(jìn)行對抗���。這提供了道路收費(fèi)SIM卡���。GPS系統(tǒng)和SIM卡之間的通 信可以基于簡單的DES are3DES加密�����。其他的欺詐對抗策略可以在產(chǎn)品級或部件裝配級上�����。超快中斷的可用性是使設(shè)備 制造商能夠確保針對篡改的先進(jìn)對策的一種方法�����,該超快中斷在激活時�����,清除存儲器或寄 存器(例如���,密鑰參考寄存器)的一部分。需要電池支持����,以能夠發(fā)起這種中斷行動�����。智能卡預(yù)付費(fèi)系統(tǒng)可以非常符合預(yù)付費(fèi)電話卡的已知預(yù)付費(fèi)方案的方式進(jìn)行操 作�����。在這種情況下�,駕駛員需要‘預(yù)先’購買‘英里’����。車輛中的客戶端單元針對所行駛的每 一英里,進(jìn)行費(fèi)用扣除�����。這意味著客戶端需要知道道路的實際價格����。這要求附加的處理能力,因為除了執(zhí)行位置跟蹤之外����,車輛單元還必須計算費(fèi)用��。這種系統(tǒng)的優(yōu)點在于,提高了私密性�。為了實現(xiàn)對GPS位置的驗證,仍然需要向遠(yuǎn) 程服務(wù)器發(fā)送一些數(shù)據(jù)���。但是�����,對于允許執(zhí)行驗證�����,數(shù)據(jù)的采樣頻率會少得多���。圖5示出了具有多種傳感器的車輛50,這些傳感器可以任何組合來使用��,以提供 對所記錄的GPS位置的驗證����。GPS接收機(jī)示為52,GSM接收機(jī)示為54��。但是���,接收機(jī)54包 括FM無線電接收機(jī)和針對可以在車輛位置處接收到的任何無線信號的接收機(jī)����。油箱計量器示為56,車輪傳感器示為57���。在常規(guī)方式(對于新的車輛)下���,所有 這些信息都已經(jīng)提供給處理器60,處理器60持續(xù)地計算車輛速度��、燃油使用��、距離等�。也示 出了將車頭燈狀態(tài)提供給處理器60。還示出了環(huán)境光傳感器61和雨水傳感器62��。多種傳 感器信號可以如上述方式使用���。使用智能卡來提供安全處理器環(huán)境使得能夠獲得附加的優(yōu)點和特征�����,這些將在下 文中闡述����。圖6給出了使用智能卡的安全的���、基于相關(guān)的道路定價實施系統(tǒng)的功能性總覽視 圖�。衛(wèi)星系統(tǒng)(GNSS)示為70���,板上設(shè)備示為72���,包括衛(wèi)星接收機(jī)74、傳感器76����、智能 卡78、GSM移動電話系統(tǒng)80����、以及主處理器82。車輛引擎示為84����。用于增強(qiáng)安全性的可選特征包括汽車制動器86、以及與路旁信標(biāo)或警察實施系統(tǒng) 90通信的無線通信系統(tǒng)88。附加的“可信”傳感器示為92�。這些是作為車輛的一部分的傳感器,制造時內(nèi)建有 篡改證明特征���。板上設(shè)備使用GSM系統(tǒng)80與后端服務(wù)器94通信�����。在整個系統(tǒng)中�,系統(tǒng)的可信部分被示為陰影���,S卩�����,智能卡78�、后端服務(wù)器94�、汽車 制動器86、可信傳感器92和警察實施系統(tǒng)90����。即使智能卡被認(rèn)為是非常安全的抗篡改設(shè)備,也不可能設(shè)計以安全方式防止(原始)GNSS數(shù)據(jù)的篡改的系統(tǒng)��。而是,可以依賴于智能卡來構(gòu)建抗篡改的安全框架��,其(i)檢測欺詐(篡改證明)以及(ii)對這些欺詐采取適當(dāng)?shù)姆磻?yīng)(篡改響應(yīng)性)�。該安全框架的主要目的是確保由板上單元(OBU)收集的GNSS數(shù)據(jù)的正確性。但 是�����,該相同的框架也可以重新用于實施與道路定價應(yīng)用或一般的其他遠(yuǎn)程信息處理應(yīng)用有 關(guān)的其他安全政策����。該安全框架劃分成不同的基本部分�,持續(xù)地和并行地運(yùn)行。下面給出每個基本部 分的通用描述�����。( )事件記錄在該階段��,將所有相關(guān)事件提交給智能卡�,智能卡以安全方式收集這些事件并存 儲。存在不同類別的事件��。第一�����,存在數(shù)據(jù)事件,這些事件對應(yīng)于對來自GNSS接收機(jī)���、 內(nèi)部(可信或不可信)車輛傳感器�、以及/或者來自外部信號接收機(jī)的數(shù)據(jù)的收集�。第二, 存在過程事件�����,對應(yīng)于在OBU環(huán)境內(nèi)運(yùn)行的過程的結(jié)果(例如��,GNSS數(shù)據(jù)完整性檢查���、OBU 完整性檢查����、與實施單元進(jìn)行交互的結(jié)果......)����。智能卡提供實現(xiàn)該階段的若干機(jī)制事件新鮮度和完整件檢杳智能卡提供接口,該接口允許對來自可信源的事件(例如����,來自可信車輛傳感器 的數(shù)據(jù)���,或者來自外部實施單元的數(shù)據(jù)/過程)的新鮮度和完整性進(jìn)行檢驗。智能卡只接 受和記錄通過新鮮度和完整性檢查的事件��。完整性檢查的典型實施方式是使用現(xiàn)有技術(shù)發(fā) 展水平的密碼算法來檢驗事件數(shù)據(jù)上的簽名�。典型地,使用挑戰(zhàn)_響應(yīng)協(xié)議來實施新鮮度 檢驗�。事件提交認(rèn)證智能卡提供接口,該接口允許對已提交給智能卡的事件(以及�����,當(dāng)事件相關(guān)時����,已 經(jīng)通過了新鮮度和完整性檢查的事件)進(jìn)行簽名�����。后端系統(tǒng)只接受已通過智能卡簽名的事 件���。智能卡需要這種有效數(shù)據(jù)�����,以計算要為給定時間段支付的道路定價費(fèi)用��。當(dāng)后端服務(wù) 器在該時間段未接收到簽名的事件數(shù)據(jù)時��,懷疑有欺詐。這防止了潛在的攻擊者阻止向智 能卡提交這些事件��,并由此逃脫在智能卡中實施的欺詐檢測檢查�����。安全存儲智能卡提供允許以安全方式存儲所有提交的事件的接口�����。事件信息可以存儲在智 能卡的抗篡改環(huán)境內(nèi)����,從而防止對這些數(shù)據(jù)的修改和刪除�����。這種存儲方法非常適合于存儲 計數(shù)器和標(biāo)志���,智能卡維護(hù)計數(shù)器和標(biāo)志�,以描述當(dāng)前安全狀態(tài)。備選實施方式是在智能卡 環(huán)境之外的存儲器中存儲數(shù)據(jù)���,并依賴于事件提交簽名來檢測對這些數(shù)據(jù)的修改���。在這種 情況下,智能卡還在事件提交簽名中包括額外信息�����,例如允許以安全方式檢測對這些數(shù)據(jù) 的刪除的計數(shù)器����。安全時間跟蹤時間是針對基于相關(guān)的實施的最重要的參數(shù)�。智能卡提供用于以安全方式保持與 每個事件關(guān)聯(lián)的時間信息的接口。智能卡具有安全時間時鐘��,并以安全方式將時鐘值與每 個提交的事件相關(guān)聯(lián)��。備選地����,智能卡管理在每個事件提交之間規(guī)則地遞增的安全計數(shù)器��,并將該計數(shù)器的值與每個提交的事件關(guān)聯(lián)�。備選地����,智能卡提供一個或多個時間跟蹤接口, 使得主機(jī)處理器能夠告知哪組事件同時發(fā)生了���,并以安全方式告知這些事件發(fā)生的順序��, 并且能夠以安全方式存儲這些信息�����,以供基于相關(guān)的實施稍后重新使用����。(ii)欺詐檢測智能卡可以提供用于實現(xiàn)基于相關(guān)的完整性檢查的接口����,以檢驗所提交的事件數(shù) 據(jù)的完整性,特別是檢驗GNSS數(shù)據(jù)的完整性��。附加地���,智能卡也可以提供安全性服務(wù)�����,這些安全性服務(wù)使得能夠基于所收集的 事件�����,對OBU的功能操作進(jìn)行完整性檢查�����,并將這些檢查的結(jié)果報告以安全方式報告給后 端服務(wù)器�����。(iii)事件傳輸智能卡提供用于以安全方式向后端服務(wù)器傳輸所有提交的事件的接口�。這允許后 端服務(wù)器執(zhí)行基于相關(guān)的完整性檢查或者檢驗由智能卡執(zhí)行的檢查。對數(shù)據(jù)的傳輸進(jìn)行設(shè) 計���,以便在后端服務(wù)器已經(jīng)確認(rèn)數(shù)據(jù)的正確接收時在智能卡存儲器或在外部存儲器中刪除 這些數(shù)據(jù)。智能卡提供接口����,使后端服務(wù)器能夠以安全方式查詢有關(guān)當(dāng)前安全狀態(tài)的信息�。(iv)對欺詐的反應(yīng)當(dāng)檢測到欺詐的典型反應(yīng)是觸發(fā)對抗嫌疑攻擊者的法律程序��,該觸發(fā)能夠引導(dǎo)至 警告�、罰款和/或定罪。在圖6所示系統(tǒng)中��,只有道路定價后端服務(wù)器94 (或間接地����,實施單 元90,例如路旁單元或警察實施單元)具有觸發(fā)這些反應(yīng)的能力����。在不與這些外部可信裝 置進(jìn)行交互的情況下,智能卡無法觸發(fā)這些反應(yīng)���。智能卡的主要角色是作為可信的見證人�����, 即�����,后端服務(wù)器的可信代理�,其以安全方式監(jiān)視在OBU環(huán)境內(nèi)發(fā)生的所有事件,并安全地將 這些事件報告給后端服務(wù)器����。但是,當(dāng)存在車輛制動器時�����,智能卡也可以執(zhí)行欺詐反應(yīng)機(jī)制���。在這種情況下�,車 輛制動器86需要來自智能卡的安全授權(quán)代碼�����,以授權(quán)車輛引擎84的啟動����。只有在先前旅 程期間沒有檢測到欺詐時,智能卡才產(chǎn)生該代碼�����。(ν)私密性支持智能卡提供接口�,來限制發(fā)送至后端服務(wù)器的私密性敏感信息,同時仍然保持高 水平的安全性�����。智能卡僅僅返回其已執(zhí)行的對事件數(shù)據(jù)的完整性檢查的狀態(tài)�����,而不公開數(shù) 據(jù)本身��。進(jìn)一步在兩個示例實施方式中詳細(xì)說明上述安全性機(jī)制����。在第一示例中,智能卡具有足夠能力來執(zhí)行大多數(shù)欺詐檢測處理(相關(guān)測試���,完 整性檢查)�����。第二示例示出了較輕量智能卡的情況�����,在該情況下�����,將大多數(shù)欺詐檢測處理指 派給后端服務(wù)器�,智能卡只執(zhí)行基本的完整性測試。但是���,實際的實施方式可以使用來自這 兩個示例的機(jī)制��。首先描述使用能力強(qiáng)大的智能卡芯片的實施方式的第一示例�����?��?梢栽谥悄芸ㄌ幚砥髯陨韮?nèi)部執(zhí)行完整的板上單元處理。在該情況下����,將解碼的 GPS位置、傳感器數(shù)據(jù)(包括車輛傳感器數(shù)據(jù)�,環(huán)境傳感器數(shù)據(jù))以及外部信號數(shù)據(jù)饋入到 智能卡中,然后智能卡執(zhí)行必要的有關(guān)相關(guān)的檢查�,以檢驗GPS數(shù)據(jù)的完整性���。基本的安全性模型依賴于如下事實智能卡提供了非常安全的抗篡改環(huán)境�,該環(huán)境防止任何潛在攻擊者對數(shù)據(jù)處理進(jìn)行篡改����。此外,由于與多個源的相關(guān)�,因此潛在攻擊者 必須同時以一致的方式篡改若干數(shù)據(jù)源,從而使得攻擊更加復(fù)雜����。智能卡對接收到的GPS數(shù)據(jù)和來自多種傳感器的數(shù)據(jù)進(jìn)行比較,以評估相關(guān)等 級�。該處理取決于要相關(guān)的數(shù)據(jù)的類型線性相關(guān)_這應(yīng)用于諸如油箱計量器水平或里程表反饋等傳感器數(shù)據(jù)。在這種情 況下��,智能卡簡單地根據(jù)GPS數(shù)據(jù)(使用現(xiàn)有技術(shù)中熟知的公式)計算汽車行駛的線性距 離�����,并將該距離與里程表值或計量器水平相比較(考慮到某個比例因子α����,在諸如油箱計 量器等傳感器的情況下��,該比例因子可以為負(fù))�����。I Dgps ⑴-α * Dsensor (t) | 彡 max_limit如果該差值超過限制���,則有欺詐嫌疑。該限制是系統(tǒng)定義的參數(shù)����,其對GPS與傳感 器系統(tǒng)之間的不可避免的失配進(jìn)行補(bǔ)償。該限制解釋了在增加欺詐檢測的概率與降低錯誤 肯定判斷比率之間的權(quán)衡����。可以進(jìn)一步改進(jìn)系統(tǒng)���。首選�,智能卡可以將距離操作數(shù)重置為0�。可以例如在檢測 和報告欺詐時���,或者因為差值是由GPS與傳感器數(shù)據(jù)之間的緩慢漂移導(dǎo)致的��,由系統(tǒng)發(fā)起 這種重置���??梢栽趥鞲衅髦党霈F(xiàn)突然改變時(例如����,當(dāng)給車輛加油時)���,由智能卡發(fā)起這種
重置I (DGPS(t)-DGPS(t0))_a * (Dsensor(t)-Dsensor(t0)) | ^ max_limit其次���,可以設(shè)計該系統(tǒng),以使參數(shù)α自動適配為對GPS距離和傳感器距離之間可 能出現(xiàn)的漂移進(jìn)行平衡�����。例如�����,在將距離操作數(shù)規(guī)則地重置為0的實施方式中����,可以根據(jù)公 式Cii=①哪化)』^^�����、))/ ·^�����、)』·^�����、))���,來計算用于下一時段的新的α值。 但是��,為了更加安全�,該系統(tǒng)可以要求值Cii保持在某個區(qū)間內(nèi),超過該區(qū)間則有欺詐嫌疑�。 這種比例因子的自動適配特別用于對距離具有可變依賴性的傳感器,例如油箱計量器���。也 可以使用該機(jī)制��,以便更好地調(diào)諧因子α����,以使用更小的閾值maX_limit,從而提高了欺詐 檢測��,而不會增加錯誤警報比率���。微分相關(guān)這應(yīng)用于諸如轉(zhuǎn)速表(速度)或轉(zhuǎn)向角等傳感器���,并依賴于GPS接收機(jī)和參考傳 感器數(shù)據(jù)之間的位置信息變化的比較|VGPS(t)_a * Vsensor(t) I 彡 maX_limit其中,Veps是關(guān)于線性位置(與轉(zhuǎn)速表進(jìn)行相關(guān)的線性速度)或者關(guān)于角度(與轉(zhuǎn) 向角進(jìn)行相關(guān)的曲率)的導(dǎo)數(shù)�����。備選地��,該相關(guān)也可以基于位置的變化I Δ Pgps (t) - a * Δ Psensor (t) | 彡 max_limit對于檢測GPS與來自傳感器的測量之間的差異峰值����,微分相關(guān)是非常敏感的�����。對 于檢測由GPS測量的事件與由傳感器測量的事件(例如,駕駛員轉(zhuǎn)動方向盤或加速)之間 的去同步化���,微分相關(guān)是非常有效的�。這種去同步化指示了欺詐嘗試(例如�,采用在環(huán)行道 上不同的出口,而不是通過GPS反饋報告的出口)����。但是,噪聲可能具有不希望的效應(yīng)�����,并且可能迫使將“maX_limit”參數(shù)設(shè)定為相對 較高的值��,以降低錯誤肯定警報的比率����。該問題可以通過采用例如低通濾波或移動平均等 非常簡單的技術(shù),首先對輸入的操作數(shù)進(jìn)行濾波來解決���。位置相關(guān)
14
這應(yīng)用于與給出絕對位置信息的傳感器數(shù)據(jù)進(jìn)行的相關(guān)����。在該情況下,通過檢驗 GPS與傳感器位置之間的距離保持在某個預(yù)定義的限制內(nèi)����,來進(jìn)行相關(guān)檢查I (Pgps (t) -Pgps (t0))- (Psensor (t) -Psensor (t0)) I ( max_limit對于線性相關(guān),可以規(guī)則的間隔以及/或者在來自系統(tǒng)的請求時�����,重置比較中的 操作數(shù)�,以消除在兩個不同的定位系統(tǒng)之間可能出現(xiàn)的漂移。此外�����,也可以例如通過對來自Peps⑴和Psms (t)的速度(或曲率)進(jìn)行微分并比 較結(jié)果��,來執(zhí)行與針對微分相關(guān)的檢查類似的檢查���。相關(guān)處理不直接依賴于源數(shù)據(jù)的類型。例如���,即使源傳感器數(shù)據(jù)給出絕對位置�����,智 能卡也可以應(yīng)用微分相關(guān)���。智能卡以安全方式檢測并向系統(tǒng)報告相關(guān)檢查的狀態(tài)�����。主要要求是消息認(rèn)證和完 整性(以識別源OBU和防止消息篡改)�����,以及消息新鮮度(以防止重播攻擊)?,F(xiàn)有技術(shù)中 存在許多實施方式�����,它們主要包括使用在智能卡環(huán)境內(nèi)安全存儲的秘密密碼密鑰��、以及安 全協(xié)議中的時戳�����、隨機(jī)挑戰(zhàn)�����、不重性和/或計數(shù)器。圖7和8示出了報告系統(tǒng)的兩個示例�。在圖7中,主處理器(“host”)獲取傳感器數(shù)據(jù)(“getSensorData”)和GNSS 數(shù)據(jù)("getGNSSData")���,并提供給智能卡("CommitData")����,在智能卡中執(zhí)行相關(guān) ("Correlate").然后�,將相關(guān)檢查的結(jié)果(“0K”或“Fail”)報告給主處理器。在所示 示例中�����,在向后端服務(wù)器進(jìn)行狀態(tài)報告(“StatusR印ort”)之前���,存在多個這種相關(guān)(圖7 中示出了 3個)����。該報告可以是完整歷史或摘要��。圖8中���,同樣����,主處理器(“host”)獲取傳感器數(shù)據(jù)和GNSS數(shù)據(jù)��,并提供給智能 卡���,在智能卡中執(zhí)行相關(guān)�����。只有當(dāng)存在來自后端服務(wù)器的請求(“StatusRequest”)時�,才 報告相關(guān)檢查的結(jié)果���。然后���,主機(jī)將狀態(tài)請求提供給智能卡,并在將結(jié)果返回給后端服務(wù)器 之前對結(jié)果進(jìn)行簽名����。因此,可以看出����,智能卡可以持續(xù)地向系統(tǒng)報告相關(guān)測試的結(jié)果���,也可以將這些結(jié) 果存儲在安全存儲器中,并以預(yù)設(shè)的間隔成批地報告這些結(jié)果����。備選地,系統(tǒng)可以在某個隨 機(jī)時間請求智能卡報告當(dāng)前狀態(tài)�,或者智能卡可以在檢測到欺詐時強(qiáng)制進(jìn)行相關(guān)狀態(tài)信息 的報告。智能卡可以報告其已執(zhí)行的每個相關(guān)檢查的結(jié)果����,或者只報告成功的(無欺詐) 檢查和結(jié)果否定(有欺詐嫌疑)的檢查的數(shù)目。在結(jié)果否定的檢查的情況下���,智能卡也可 以向報告添加某些上下文信息(例如��,GPS數(shù)據(jù)和傳感器數(shù)據(jù)的歷史)����,以使系統(tǒng)能夠進(jìn)行 進(jìn)一步分析����。在遠(yuǎn)程信息處理應(yīng)用中,私密性是敏感話題��。由于使用諸如OBU中智能卡等安全 環(huán)境����,所以可以顯著改善駕駛員的私密性,同時仍然達(dá)到較高等級的安全性�����。在這種配置 中���,將智能卡看作OBU環(huán)境內(nèi)外部系統(tǒng)的安全擴(kuò)展��。由于智能卡的抗篡改質(zhì)量�,所以可以安 全方式對私密性敏感數(shù)據(jù)進(jìn)行完整性檢查���,而無需向外部系統(tǒng)公開這些數(shù)據(jù)��。在該基本配置中�����,如上所述�����,智能卡只將完整性檢查的結(jié)果報告給外部系統(tǒng)����。除了 這些檢查的實際結(jié)果(即,成功/失敗)�,報告還可以針對每個檢查包含“相關(guān)因子”,該相 關(guān)因子是所計算的GPS數(shù)據(jù)與參考傳感器數(shù)據(jù)之間的差值(可能被歸一化到給定的max_ limit)�。該相關(guān)因子不會公開任何敏感信息,但是可以由外部系統(tǒng)用來計算給定車輛的總體置信因子�,或用來執(zhí)行總體系統(tǒng)安全性評估并對安全性進(jìn)行微調(diào)。為了減少發(fā)送給外部系統(tǒng)的信息量以及/或者提高私密性等級�,可以通過實現(xiàn)承 諾&證明(commit&prove)協(xié)議,來進(jìn)一步改進(jìn)系統(tǒng)��。假設(shè)智能卡定期地聯(lián)系外部系統(tǒng)��,以 發(fā)送計算收費(fèi)費(fèi)用必需的數(shù)據(jù)�����。智能卡在此時不是發(fā)送相關(guān)檢查的結(jié)果���,而是可以進(jìn)行關(guān) 于這些檢查的結(jié)果的報告��,而不通信檢查結(jié)果的實際值��。這可以通過在安全存儲器中存儲 這些檢查的結(jié)果(以及輸入數(shù)據(jù))����,來容易地實現(xiàn)�。然后,智能卡對所有檢查(以及輸入數(shù) 據(jù))進(jìn)行密碼散列計算����,并使用密碼簽名方案對該散列進(jìn)行簽名。備選方案是使用鏈?zhǔn)胶?名方案���。在這種方案中��,針對每個檢查計算簽名���。該簽名覆蓋輸入數(shù)據(jù)、檢查結(jié)果���、以及先前 檢查的簽名�。這意味著提供最末檢查的最末簽名足以對所有先前檢查的值進(jìn)行有關(guān)報告����。然后����,將簽名提供給外部系統(tǒng)�。該簽名非常小,并絕對沒有公開任何敏感信息�。這 樣,不允許外部系統(tǒng)檢驗所發(fā)送數(shù)據(jù)的有效性�,但是迫使發(fā)送方對數(shù)據(jù)的值進(jìn)行有關(guān)報告。 為了檢驗數(shù)據(jù)的有效性���,系統(tǒng)可以隨機(jī)地或者根據(jù)符合本地私密性立法的方案�,請求用于 計算簽名的數(shù)據(jù)�,然后檢驗數(shù)據(jù)的有效性。因為簽名是安全地綁定至被簽名的數(shù)據(jù)���,所以不 可能在報告之后�,在不破壞簽名的情況下改變被簽名的數(shù)據(jù)��,從而已經(jīng)篡改了 GPS數(shù)據(jù)的 欺詐者不可能逃脫這種檢驗請求��,而不被檢測到����。在所謂的“胖客戶端(thick client)”實施方式(其中��,在OBU自身內(nèi)計算費(fèi)用) 的情況下����,該機(jī)制可以擴(kuò)展至由智能卡/OBU使用來計算收費(fèi)費(fèi)用的GPS數(shù)據(jù)�����。圖9示出了針對該胖客戶端實施方式的報告系統(tǒng)的示例���。圖9中,同樣��,主機(jī)獲取傳感器數(shù)據(jù)和GNSS數(shù)據(jù)����,并且執(zhí)行費(fèi)用更新 (“UpdateCost”)。智能卡不僅執(zhí)行相關(guān)檢查(“correlate”)��,還對GPS數(shù)據(jù)進(jìn)行簽名(所 示的Hn函數(shù))�,并重復(fù)地執(zhí)行該簽名函數(shù)。當(dāng)要執(zhí)行批下載時(“TxToBackEnd”)���,主機(jī)獲得最末簽名的數(shù)據(jù) Hn( “GetCommit”)�,并將更新的費(fèi)用C2和簽名的數(shù)據(jù)H2發(fā)送至后端服務(wù)器。后端服務(wù)器處理費(fèi)用信息(“ProcessCost”)���,并隨機(jī)地提供檢驗請求 ("DataVerificationRequest")����。然后��,智能卡/OBU向外部系統(tǒng)發(fā)送GPS數(shù)據(jù)G1, G2以及 傳感器數(shù)據(jù)S1����,S2。然后�����,除了檢驗GPS數(shù)據(jù)的有效性之外���,外部系統(tǒng)還可以檢驗由智能卡/ OBU計算的收費(fèi)費(fèi)用的正確性����。為了限制私密性侵犯����,系統(tǒng)可以提供如下裝置用于向用戶 通知該用戶被請求提供附加信息����,以用于實施目的�����。這種通知與沿道路可能發(fā)生的隨機(jī)警 察實施類似�����。后端服務(wù)器執(zhí)行證明����、相關(guān)和費(fèi)用計算(“ProofCheck'WorrelationCheck”�����、 “CostCheck”)��?���;镜陌踩P鸵蕾囉谌缦略黾拥睦щy性攻擊者更加難以以一致方式來篡改 GPS數(shù)據(jù)和傳感器數(shù)據(jù)�。也可以假設(shè)相比于傳感器數(shù)據(jù)����,更容易篡改GPS數(shù)據(jù)。確實�,GPS 天線通常是非常暴露的,而傳感器數(shù)據(jù)總線通常難以接入�,特別是在OBU很好地集成在車 輛環(huán)境內(nèi)的情況下(例如,OEM實現(xiàn)方式)���,或者在篡改這些總線會造成針對駕駛員的安全 性問題或針對其保險公司的責(zé)任問題的情況下��。但是��,可以通過以安全方式向智能卡/OBU發(fā)送傳感器數(shù)據(jù)�,來改進(jìn)該基本安全模 型���。例如���,可以將里程表或轉(zhuǎn)速表傳感器封入篡改證明封裝中,并且可以在車輛總線上����,連 同用于保護(hù)傳感器數(shù)據(jù)完整性的密碼簽名一起發(fā)送里程表或轉(zhuǎn)速表值�����?�?梢允褂脗鞲衅鞣庋b內(nèi)包含的密鑰來產(chǎn)生簽名�����。雖然這可以提高安全級別�����,但是該封裝不必是抗篡改的�����。這 種嘗試可以容易地被對傳感器箱(篡改證明)的檢查而檢測到�,并且攻擊者難以在篡改之 后將該箱恢復(fù)到其原始狀態(tài)��,這就足夠了�����?����?梢酝ㄟ^在已經(jīng)篡改了該箱的情況下向駕駛員 要求高額的責(zé)任費(fèi)�����,來阻止對箱進(jìn)行篡改的誘惑��。例如��,可以在車輛事故之后由保險公司或 在常規(guī)車輛維護(hù)期間由檢查組來進(jìn)行這種檢驗���。越來越多的激勵是將這種“可信傳感器”包括在車輛環(huán)境內(nèi)����。例如�,可以使用可信 里程表值來防止在二手車輛市場中篡改里程表?�?梢允褂每尚呸D(zhuǎn)速表來自動實施速度限制 規(guī)定?���,F(xiàn)在將描述使用輕量智能卡的實施方式的第二示例。假設(shè)輕量智能卡模型的能力不足以執(zhí)行所有的相關(guān)測試和OBU處理��。在這種情況 下,假設(shè)除了智能卡自身之外����,OBU還包含主機(jī)處理器,該主機(jī)處理器執(zhí)行OBU處理的主要 部分(收集數(shù)據(jù)��、可能情況下計算收費(fèi)費(fèi)用�、向服務(wù)器轉(zhuǎn)發(fā)數(shù)據(jù)等)。在該配置中���,可以通過 將智能卡看作后端服務(wù)器的“安全”見證人����,來達(dá)到類似的安全級別����。將實際的相關(guān)檢查指 派給后端服務(wù)器,并且智能卡是不易敗壞的代理���,其必須以安全方式向服務(wù)器報告所有觀 察到的事件��。為此目的,智能卡至少提供數(shù)據(jù)簽名接口���。該接口可由主機(jī)處理器用來以安全方 式向后端服務(wù)器指派基于相關(guān)的完整性檢查�����。該接口獲取GPS或傳感器數(shù)據(jù)(或任何數(shù) 據(jù))的一個或若干個采樣�����,并產(chǎn)生簽名���,該簽名將給予后端處理器來證明所給數(shù)據(jù)的完整 性和新鮮度�����。這種簽名方案是現(xiàn)有技術(shù)中熟知的�����。圖10示出了報告系統(tǒng)的示例�,該系統(tǒng)使用鏈?zhǔn)胶灻蛄?,其中在產(chǎn)生下一事件的 簽名之前,向下一事件數(shù)據(jù)追加先前事件的簽名�。當(dāng)使用對稱密碼時,使用鏈?zhǔn)胶灻怯欣?的,這是因為只有該鏈的起始簽名和最末簽名必須通信至檢驗實體(因為檢驗實體可以重 新產(chǎn)生中間簽名)����。在該示例中,主機(jī)計算機(jī)獲取GNSS數(shù)據(jù)����,并由智能卡對其進(jìn)行簽名 (“SignGPSData”),智能卡返回簽名值Sn�����。在每次獲取新的傳感器數(shù)據(jù)D或GNSS數(shù)據(jù)G���,T時����,智能卡都執(zhí)行重復(fù)的簽名�。簽 名的數(shù)據(jù)根據(jù)最近的傳感器數(shù)據(jù)Dn、先前簽名的數(shù)據(jù)Slri����、以及從最后的GNSS數(shù)據(jù)獲取得到 的最近的時間值Tn。在下載時間點�,向后端服務(wù)器提供(“TransmitData”)起始簽名S��。����、最末 簽名���、以及傳感器數(shù)據(jù)和GNSS數(shù)據(jù)(包括時間值),以進(jìn)行檢驗����。這檢驗數(shù)據(jù)有效性 ("VerifyDataValidity")并計算道路收費(fèi)費(fèi)用(“ComputeCost,��,)���。輕量示例使用諸如SHA-I或SHA-256等算法來計算散列��,并使用諸如3DES或AES 等對稱算法來產(chǎn)生所計算的散列上的簽名��。理想情況下��,所簽名的密鑰對于每一 OBU是唯 一的�����;也將隨每個簽名而增加的安全計數(shù)器追加至要簽名的消息����,以確保新鮮度。也可以使 用其他簽名方案�����,例如基于RSA密碼算法的非對稱算法��,或者橢圓曲線�。這些方案也提供了 非抵賴性,這在責(zé)任問題的情況下令人感興趣��。在向后端服務(wù)器發(fā)送簽名之前���,假設(shè)在OBU中將數(shù)據(jù)存儲一段時間��。不必要在智 能卡的抗篡改存儲器中存儲GPS和傳感器數(shù)據(jù)�����。使用上述簽名接口對這些數(shù)據(jù)簽名���,并將 數(shù)據(jù)及其簽名存儲在智能卡環(huán)境之外的存儲器中���,這就足夠了。簽名確保了不能篡改數(shù)據(jù)��。
17該方案允許對智能卡存儲器大小的要求的放松�,但是不防止對數(shù)據(jù)的刪除。但是���,如果智能 卡維護(hù)了對迄今為止產(chǎn)生的簽名的數(shù)目進(jìn)行計數(shù)的計數(shù)器,并提供以安全方式返回該計數(shù) 器值的接口�,則可以檢測到數(shù)據(jù)刪除。在該輕量示例中���,智能卡簡單地對用于消息新鮮度的計數(shù)器進(jìn)行簽名���,并返回該 簽名和計數(shù)器的值。后端服務(wù)器可以規(guī)則的間隔請求該計數(shù)器����,以通過檢驗該計數(shù)器與迄 今為止接收到的簽名的數(shù)目匹配,來檢測數(shù)據(jù)的刪除���。備選的實施方式使用散列鏈或簽名 鏈����,其中每個新產(chǎn)生的簽名依賴于先前提交的簽名的值。這樣��,由于后端服務(wù)器不能檢驗被 刪除的簽名之后的簽名�����,所以后端服務(wù)器能夠檢測到對數(shù)據(jù)及其伴隨的簽名的任何刪除���。智能卡不使用上述用于對GPS數(shù)據(jù)簽名的數(shù)據(jù)簽名接口�����,而是可以提供特定的 GPS數(shù)據(jù)簽名接口���。通過該接口提供相同的認(rèn)證服務(wù),不同之處在于�����,智能卡也可以解譯給 定的GPS數(shù)據(jù)(坐標(biāo)+衛(wèi)星時間)�,以使得更好的相關(guān)檢查或提供額外的實施機(jī)制。如上所述��,數(shù)據(jù)簽名接口可以用于以安全方式記錄和向后端服務(wù)器報告任何數(shù)據(jù) 事件。在這種情況下���,報告包括數(shù)據(jù)內(nèi)容和簽名�?�?梢允褂孟嗤慕涌趤硪园踩绞接涗?和報告所有處理有關(guān)的事件��。備選地��,智能卡可以提供專用的事件簽名接口��。該接口管理 一組安全計數(shù)器��,這些計數(shù)器隨著每次提交的事件而遞增����。這些計數(shù)器典型地存儲在智能 卡的安全非易失性存儲器中����。此外,該接口可以用于對一個或多個計數(shù)器的當(dāng)前值產(chǎn)生簽 名���,以進(jìn)行向后端服務(wù)器的安全狀態(tài)報告���。例如�����,智能卡可以內(nèi)部調(diào)用該接口來以安全方式 存儲和報告其在內(nèi)部已經(jīng)執(zhí)行的完整性檢查的結(jié)果��。智能卡也檢驗�、記錄和簽名時間有關(guān)信息��。在第一變體中����,智能卡使用內(nèi)置的安全 時鐘電路。在該情況下���,智能卡還將(來自其內(nèi)部時鐘)簽名的時間追加至在數(shù)據(jù)簽名接口 中簽名的數(shù)據(jù)��。然后����,該時間被后端服務(wù)器使用��,例如用于檢查GPS數(shù)據(jù)和轉(zhuǎn)速表數(shù)據(jù)(速 度)之間的相關(guān)。當(dāng)與GPS數(shù)據(jù)簽名結(jié)合使用時���,智能卡可以讀取GPS坐標(biāo)中包括的時間信 息���,并在對所提交的數(shù)據(jù)簽名之前,將該時間值與智能卡的內(nèi)部安全時鐘的值相比較���。如果 兩個值不在可接受范圍內(nèi)�,則使安全計數(shù)器增大���,以通知欺詐(例如�����,通過事件簽名接口)。在另一變體中����,智能卡可以在加電時開始內(nèi)部安全計時器。相比于實現(xiàn)安全時鐘��, 維護(hù)這種計時器要容易得多����。然后����,對該計時器的值簽名��,并將其追加至由上述接口產(chǎn)生的 所有簽名���。為了區(qū)分一個時期(session)與另一時期的時間值(因為該計時器在每次加電 之后被復(fù)位)��,智能卡還在非易失性存儲器中維護(hù)永久計數(shù)器����,例如通過在引導(dǎo)啟動時調(diào)用 一次事件簽名接口��,來在每次加電時遞增該永久計數(shù)器�。當(dāng)與GPS數(shù)據(jù)簽名接口結(jié)合使用 時,智能卡可以計算兩個最末提交的GPS坐標(biāo)之間的延遲���,并將該延遲與通過其安全計時 器測量的經(jīng)過的時間進(jìn)行比較����。如果值太不相同了�����,則有欺詐嫌疑。除了使用安全內(nèi)部計時器����,還可以使用現(xiàn)有技術(shù)中的已知技術(shù)來實現(xiàn)安全時鐘。 例如�����,主機(jī)處理器可以向智能卡通知其將要向后端服務(wù)器請求當(dāng)前時間�����。該智能卡通過寄 存計時器的當(dāng)前值來進(jìn)行反應(yīng)��。當(dāng)接收到該請求時��,后端服務(wù)器對當(dāng)前時間進(jìn)行簽名��,并將 結(jié)果通信返回至主機(jī)處理器�����,該主機(jī)處理器將其轉(zhuǎn)發(fā)給智能卡���。智能卡檢驗簽名���,并使用其 內(nèi)部計時器來計算請求與響應(yīng)之間的延遲。該延遲與接收到的時間一起存儲��,該延遲是當(dāng) 前時間準(zhǔn)確性的指示���。最后�,在沒有安全時鐘或安全計時器的情況下���,或者在安全時鐘或安全計時器之 外��,智能卡可以結(jié)合GPS數(shù)據(jù)簽名接口����,存儲最末提交的GPS坐標(biāo)中包含的時間信息的值����,
18并強(qiáng)制針對下一提交的GPS坐標(biāo)的時間信息更高,或者更好但是嚴(yán)格意義上更高����,以迫使 時間流動(例如�,如果系統(tǒng)每秒鐘探測一次GPS前端����,則智能卡可能要求GPS坐標(biāo)時間值至 少以0.9秒而不同)。這機(jī)制也可以通過使用另一時間信息源并與其進(jìn)行相關(guān)來增強(qiáng)�。例 如,智能卡可以提供用于與來自GSM網(wǎng)絡(luò)的時間信息進(jìn)行相關(guān)的接口�����。此外���,無論智能卡何時對事件進(jìn)行簽名(使用上述簽名接口之一)���,都將最末提交 的GPS坐標(biāo)時間與所提交的數(shù)據(jù)一起追加和簽名,從而將GPS流與其他數(shù)據(jù)流(傳感器�����、完
整性檢查事件......)交織�。后端服務(wù)器使用該信息來執(zhí)行對GPS數(shù)據(jù)的基于相關(guān)的完整
性檢查。例如����,可以將GPS流與來自GSM接收機(jī)的信息進(jìn)行交織(與GSM網(wǎng)絡(luò)的相關(guān))?����??以用數(shù)據(jù)簽名接口對小區(qū)ID以及GSM時間進(jìn)行簽名����。稍后,服務(wù)器可以使用該信息并向網(wǎng) 絡(luò)運(yùn)營商請求確認(rèn)���。該機(jī)制本身不會防止交織的事件被刪除��。為此目的��,智能卡可以管理內(nèi)部計數(shù)器���, 該內(nèi)部計數(shù)器隨著由前述簽名接口中任意接口產(chǎn)生的每個簽名而遞增。將該計數(shù)器追加至 數(shù)據(jù)��,然后與數(shù)據(jù)一起進(jìn)行簽名和存儲��。后端服務(wù)器使用該計數(shù)器來檢查所報告的事件的 確以給定序列而記錄�����,并且事件之間沒有遺漏(事件“順序性”證明)。如果車輛環(huán)境還包括可以通過車輛通信總線向板上單元發(fā)送安全的傳感器數(shù)據(jù) 的安全傳感器(例如安全里程表)���,則可以進(jìn)一步增強(qiáng)上述方案的安全性��。在這種情況下�����, 可以使智能卡對GPS數(shù)據(jù)進(jìn)行簽名是條件性的�,是在以規(guī)則間隔接收真實的傳感器數(shù)據(jù) 時�。該傳感器數(shù)據(jù)的安全交換依賴于可以在輕量智能卡中容易實現(xiàn)的現(xiàn)有技術(shù)的認(rèn)證和數(shù) 據(jù)完整性協(xié)議,例如使用挑戰(zhàn)_響應(yīng)協(xié)議�。在上述實施示例中,智能卡在允許對GPS數(shù)據(jù)簽 名的每個請求之前����,必須首先與安全傳感器執(zhí)行這種挑戰(zhàn)_響應(yīng)協(xié)議。這樣���,對于GPS數(shù)據(jù) 和傳感器數(shù)據(jù)的同時性提供了額外確保��。智能卡的存在還改進(jìn)了與實施單元(例如路旁單元或警察實施單元)的交互���。的 確���,在基本實施方式中,路旁單元(RSU)簡單地檢測行駛通過的車輛�,并嘗試與車輛OBU連 接以檢驗其存在并且是活躍的�����。為了防止通信期間的篡改�����,在RSU與OBU中的智能卡之間 建立安全通信信道����。例如,可以通過使智能卡使用密鑰(RSU能夠檢驗針對該密鑰的簽名) (例如�����,預(yù)先共享的密鑰或PKI基礎(chǔ)設(shè)施)對來自RSU的隨機(jī)挑戰(zhàn)進(jìn)行簽名�,來給出存在和 活躍的證明。在該證明不正確的情況下���,或者在RSU沒有在指定延遲內(nèi)接收到回復(fù)的情況 下��,RSU拍攝車輛許可牌照的照片并將該照片轉(zhuǎn)發(fā)給警察實施單元��。但是���,對上述建立的攻擊在于�,雖然其證明了 OBU是活躍的��,但是沒有證明OBU所 使用的GPS數(shù)據(jù)是正確的�,也沒有證明OBU確實正在收集這種數(shù)據(jù)。為了對抗該攻擊��,在所 謂的“瘦客戶端”場景中的典型解決方案是記錄所檢測的OBU的ID���,并將該ID提交給道路 定價后端服務(wù)器���,以進(jìn)行相關(guān)檢查(即,檢查OBU是否確實在該給定時間報告了接近RSU的 存在)����。由于存在對私密性的侵犯,所以這種解決方案在“胖客戶端”場景中是不可設(shè)想的�����。可以使用上述GPS數(shù)據(jù)簽名來很好地解決上述問題��。為此����,智能卡可以具有暫存 存儲器,該暫存存儲器應(yīng)該存儲向使用GPS數(shù)據(jù)簽名接口的智能卡提交的最末GPS坐標(biāo)中 的一個或多個���。每次智能卡接收到來自RSU的活躍性證明請求時,智能卡都以安全方式向 RSU發(fā)送這些坐標(biāo)�。然后,RSU通過將這些坐標(biāo)與其自身坐標(biāo)進(jìn)行比較�����,檢驗OBU GPS數(shù)據(jù) 的正確性�。安全性證明依賴于如下事實通過RSU實施測試的唯一途經(jīng)是向智能卡提交正 確的GPS坐標(biāo),以及始終向后端服務(wù)器報告向智能卡提交的所有GPS坐標(biāo)(否則��,將會被后端服務(wù)器檢測為GPS數(shù)據(jù)事件鏈中的遺漏事件)�����。此外,由于不向外部服務(wù)器提交OBU坐 標(biāo)�,因此尊重了駕駛員的私密性。相同的技術(shù)也可以用于瘦客戶端場景中�����,降低后端服務(wù)器 上的負(fù)載�。發(fā)送最末GPS坐標(biāo)中的多個提供了攻擊對抗,其中攻擊者基于來自實施RSU的檢 測實施請求����,選擇性地激活0BU。但是�,該對抗措施可以進(jìn)一步簡化。確實�,由于智能卡的 抗篡改性,可以將處理的一部分指派給智能卡����,從而降低了不得不同時檢查多輛車的RSU 的處理負(fù)載。為此����,智能卡以安全方式維護(hù)計數(shù)器,該計數(shù)器指示在最末中斷(即���,掉電�����, 或GPS信號丟失)之前接收到的GPS定位點的數(shù)目��。將使用GPS數(shù)據(jù)簽名的每個新提交的 GPS坐標(biāo)與最末的GPS坐標(biāo)相比較���,只有在兩個坐標(biāo)最多以最大合理值彼此相距時�����,才將計 數(shù)器遞增?����;谲囕v最大速度(例如�����,最大100m/S)和/或加速度(例如��,與先前的速度測量 最大多l(xiāng)Om/s)�����、以及GPS坐標(biāo)探測的頻率(例如,每秒1個定位點)����,定義該合理值。如果 距離太大�,則假設(shè)中斷,并將計數(shù)器復(fù)位回到O�。當(dāng)接收到來自RSU的檢驗請求時,智能卡發(fā) 送最后提交的GPS坐標(biāo)以及計數(shù)器的值����。然后,RSU檢查最末的GPS坐標(biāo)在RSU自身的GPS 坐標(biāo)的合理范圍內(nèi)�����,并且計數(shù)器大于預(yù)定閾值(例如����,針對1/s的GPS頻率探測,閾值30要 求對于120km/s的平均車速�,使GPS至少在最后一公里上是活躍的)。如果智能卡也能夠訪問安全時鐘或安全計時器���,或者維護(hù)包含最末提交的GPS坐 標(biāo)時間在內(nèi)的變量�,則可以通過還存儲最末GPS信號中斷的時間(即,測量自最末終端以來 的GPS活躍時間)����,進(jìn)一步改進(jìn)實施檢查。在這種情況下�,基于所計算的兩個連續(xù)GPS坐標(biāo) 之間的距離來檢測GPS信號中斷,或者當(dāng)在這兩個坐標(biāo)之間時間上跳躍太大時�,檢測到GPS 信號中斷。然后將最末GPS信號中斷的時間發(fā)送給實施RSU�,實施RSU還將該時間與最小閾 值相比較。為了減小可能是由于實施RSU附近暫時缺少GPS信號而導(dǎo)致的錯誤肯定判斷的比 率��,RSU也可以將來自給定車輛的數(shù)據(jù)與相同時間段中其他車輛的數(shù)據(jù)進(jìn)行比較�。實施RSU 的區(qū)域中的暫時GPS存儲意味著,所有或大多數(shù)車輛將報告不正確的GPS數(shù)據(jù)以及/或者 將報告在閾值之下的計數(shù)器值或GPS激活時間�。實施系統(tǒng)可以使用該信息來檢測全局GPS 故障�,并且在檢驗失敗比率過高時不進(jìn)行懲罰。備選地��,如果RSU具有嵌入式GPS接收機(jī)���,則RSU也可以在檢測到全局GPS故障時 (例如���,通過比較其GPS接收機(jī)的輸出與參考值)����,暫緩懲罰�。如上提及了使用GSM定位作為外部信號的一個來源,以用于相關(guān)��。這假設(shè)了道路 收費(fèi)運(yùn)營商與移動網(wǎng)絡(luò)運(yùn)營商達(dá)成合作協(xié)議�����,因為只有后者知道所有小區(qū)天線的位置��,并 且需要該信息來執(zhí)行三邊測量����。但是����,可以進(jìn)一步擴(kuò)展該基本機(jī)制。確實���,道路收費(fèi)板上單元可以收集其附近區(qū)域 的所有基站ID�����,并將該信息連同由GPS前端給出的當(dāng)前車輛位置一起發(fā)送給道路收費(fèi)服務(wù) 器����。然后,道路收費(fèi)服務(wù)器可以通過計算對相同給定基站ID進(jìn)行報告的所有車輛的平均位 置���,來推測每個基站的位置�。該機(jī)制是一種自學(xué)習(xí)圖機(jī)制���,其在時間上是魯棒的�����,因為該機(jī) 制可以自動適應(yīng)移動網(wǎng)絡(luò)基礎(chǔ)設(shè)施的變化�。該機(jī)制不需要與移動網(wǎng)絡(luò)運(yùn)營商的任何合作協(xié) 議�。對RDS/FM/SI/SI信號的使用遵循與上述擴(kuò)展的三邊測量方案原理相同的原理。板上單元從這些信號捕獲唯一 ID�����,并將該ID連同板上單元的當(dāng)前位置信息一起發(fā)送給 道路收費(fèi)服務(wù)器���。道路收費(fèi)服務(wù)器首先收集該信息�,以自動構(gòu)建所有這些信號的定位圖 (Iocalizationmap) 0當(dāng)構(gòu)建了該圖時�,服務(wù)器可以通過與該圖進(jìn)行相關(guān),來檢驗給定車輛 的GPS信息的完整性�����。還應(yīng)該注意�,對于未來的軟件無線電裝置,會更加容易以幾行代碼形式捕獲所有 fn息ο航海/航空信號的典型示例是VHF全向測距(VOR)標(biāo)準(zhǔn)����。該信號包含相位信號、 天線ID以及發(fā)射天線的位置�。由于相位信號,板上單元可以非常準(zhǔn)確地推測發(fā)射天線的方 向�。板上單元可以使用該信息來檢驗來自GPS前端的GPS信息確實與接收到的VOR信號的
方向一致。如果接收到兩個或更多個VOR信號�����,則可以進(jìn)一步擴(kuò)展該機(jī)制��。在這種情況下�,板 上單元可以非常精確地計算其當(dāng)前位置�����,并將該結(jié)果與來自GPS前端的結(jié)果相比較����。上述示例中使用的智能卡可以簡單地僅用于扣減英里數(shù)����,不用于其他服務(wù)。但是��, 使用更一般的電子錢包可以允許用戶使用針對附加服務(wù)的金額��。實施可以是固定的或移動的���。在任一種情況下�����,對車輛許可牌照進(jìn)行拍攝捕獲���。 DSRC(專用短程通信)系統(tǒng)是潛在的可能技術(shù),正在開發(fā)用于詢問OBU(板上單元)的DSRC 應(yīng)用。例如����,如果車輛行駛通過實施控制點��,則拍攝許可牌照的相片���,并記錄時間�。將該信 息發(fā)送至實施辦公室��,在此將許可牌照與智能卡ID相聯(lián)系�。將實施辦公室GPS數(shù)據(jù)和智能卡ID相結(jié)合可以揭示在控制時刻板上單元是否是 有效的。更加先進(jìn)的詢問需要更多的實時處理�,以及經(jīng)由GPRS(通用分組無線服務(wù))向OBU 發(fā)送附加的查詢。應(yīng)該進(jìn)行預(yù)防��,以便可以證明實施系統(tǒng)在詢問時是經(jīng)過校準(zhǔn)的��。在上述道路收費(fèi)系統(tǒng)中�,所有基礎(chǔ)設(shè)施都可用于執(zhí)行具有清算服務(wù)的直接在線支 付。支付應(yīng)用是駐留在智能卡(例如����,Java多應(yīng)用卡)中的分離軟件應(yīng)用。通過GSM 基礎(chǔ)設(shè)施進(jìn)行至清算交易所的通信?���?ㄉ系慕痤~可以是道路收費(fèi)金額,而不是真正的錢數(shù)����。 在這種情況下,通過在前注冊將支付加載到卡中���。也可以使用電子現(xiàn)金(例如��,荷蘭電子現(xiàn) 金系統(tǒng)���,稱為“Chip-Knip Proton”)。真正的錢數(shù)存儲在智能卡上���。在系統(tǒng)上存儲電子現(xiàn)金可以允許在運(yùn)行中對可能的第三方服務(wù)(例如����,基于定位 的服務(wù))進(jìn)行支付�����。任何道路收費(fèi)系統(tǒng)都存在多種類似的要求,本發(fā)明的系統(tǒng)可以滿足這些要求���。該系統(tǒng)需要由政府強(qiáng)制實行�����,這將帶來如下需求由授權(quán)當(dāng)局對將在市場上出售 的單元進(jìn)行合格證明。需要傳統(tǒng)和OEM解決方案����,來實現(xiàn)競爭和改進(jìn)翻新。這意味著系統(tǒng)解決方案應(yīng)該 是容易安裝的(優(yōu)選地���,不需要安裝)�。如果需要安裝���,則針對每個車輛品牌�,需要定制的解 決方案���。然后�����,對于已在市場上的車輛���,可以在售后服務(wù)中進(jìn)行安裝��。對于新的車輛�,可以 進(jìn)行生產(chǎn)線或OEM安裝方案�。計費(fèi)精度典型地需要在內(nèi)。道路收費(fèi)很可能是基于較長周期的(例如����,半年或 1年),這允許了對偏離進(jìn)行平均�����。
私密性和安全性問題是首要顧慮��,上面論述了這些問題���。預(yù)付費(fèi)系統(tǒng)更容易滿足 私密性和安全性需求����。定價結(jié)構(gòu)需要是動態(tài)的��,可更新的。用戶必須知道定價信息�����,但是上文假設(shè)了可以對用戶要求某個動作以使定價結(jié)構(gòu)呈現(xiàn)��。系統(tǒng)很可能是結(jié)構(gòu)化的���,以使每年針對每個駕駛員�,該州的平均收入與現(xiàn)有稅收 產(chǎn)生的收入是可比較的�。上述系統(tǒng)可以滿足這些要求�。多種附加特征和修改對于本領(lǐng)域技術(shù)人員而言是顯 而易見的。
權(quán)利要求
一種道路收費(fèi)系統(tǒng)�,包括具有衛(wèi)星導(dǎo)航接收機(jī)(52)的車載單元,衛(wèi)星導(dǎo)航接收機(jī)(52)實現(xiàn)位置跟蹤功能���,其中該系統(tǒng)還包括確定裝置(34�����;40)��,用于基于位置跟蹤信息來確定車輛行駛路徑���;一個或多個傳感器(54����,56��,57����,58,60�,61,62)����,用于檢測與衛(wèi)星導(dǎo)航信號無關(guān)的本地車輛狀況,所述本地車輛狀況取決于車輛的絕對位置或車輛位置的改變�����;以及驗證裝置�����,用于使用傳感器信息對位置跟蹤信息的真實性進(jìn)行驗證��。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其中����,本地車輛狀況包括車輛的運(yùn)動,驗證裝置用于檢 驗第一和第二位置跟蹤地點之間相差與從傳感器信號導(dǎo)出的位置改變相對應(yīng)的量���。
3.根據(jù)權(quán)利要求2所述的系統(tǒng)����,其中�����,傳感器(54,56,57,58,60,61,62)用于測量如下 中的一個或多個車輛速度�����; 車輛轉(zhuǎn)向角�; 車輛行駛距離�; 油箱水平。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中,本地車輛狀況包括本地環(huán)境狀況��,驗證裝置用于 檢驗在由位置跟蹤功能給出的地點處的相應(yīng)環(huán)境狀況與傳感器(54���,56��,57�����,58�����,60��,61����,62) 檢測到的本地環(huán)境狀況一致����。
5.根據(jù)權(quán)利要求4所述的系統(tǒng),其中�,傳感器(54,56,57,58,60,61,62)用于測量如下 中的一個或多個雨水水平�����; 溫度��;環(huán)境光水平����; 車輛頭燈或尾燈輸出����。
6.根據(jù)權(quán)利要求1所述的系統(tǒng),其中�,本地車輛狀況包括在車輛附近廣播的無線信號, 驗證裝置用于檢驗所檢測的無線信號與位置跟蹤功能給出的地點一致�����。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)��,其中��,傳感器(54,56,57,58,60,61,62)用于檢測如下 中的一個或多個FM無線電傳輸?shù)腞DS信號����; DVB或DAB廣播的SI數(shù)據(jù); 移動電話信號�����;預(yù)定頻率上的無線電信號電平��; 航海和航空信號���; WiFi接入點信號�。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其中,傳感器用于檢測移動電話信號����,所述系統(tǒng)還包括 移動電話接收機(jī)(54)。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)����,其中,移動電話接收機(jī)(54)實施位置跟蹤功能�,驗證裝 置檢驗移動電話接收機(jī)(54)的位置跟蹤信息與衛(wèi)星導(dǎo)航接收機(jī)(52)的位置跟蹤信息之間 的對應(yīng)性。 .根據(jù)前述權(quán)利要求之一所述的系統(tǒng),其中�,車載單元還包括用于存儲收費(fèi)支付信息的第一存儲設(shè)備。9.根據(jù)權(quán)利要求8所述的系統(tǒng)�,其中,第一存儲設(shè)備存儲用于后計費(fèi)的收費(fèi)值�。
10.根據(jù)權(quán)利要求8所述的系統(tǒng),其中���,存儲設(shè)備存儲預(yù)付的收費(fèi)值��。
11.根據(jù)權(quán)利要求8��,9或10所述的系統(tǒng)��,其中����,存儲設(shè)備存儲道路定價數(shù)據(jù)�。
12.根據(jù)前述權(quán)利要求之一所述的系統(tǒng),還包括用于存儲傳感器信息的存儲設(shè)備�。
13.一種對由車載單元提供的位置跟蹤信息進(jìn)行驗證的方法,車載單元具有衛(wèi)星導(dǎo)航 接收機(jī)(52)���,該方法包括基于由車載單元提供的位置跟蹤信息,確定車輛行駛路徑;檢測與衛(wèi)星導(dǎo)航信號無關(guān)的本地車輛狀況��,所述本地車輛狀況取決于車輛的絕對位置 或車輛位置的改變���;以及使用傳感器信息對位置跟蹤信息的真實性進(jìn)行驗證�����。
14.根據(jù)權(quán)利要求13所述的方法�,其中�,本地車輛狀況包括車輛的運(yùn)動,所述驗證包 括檢驗第一和第二位置跟蹤地點之間相差與從傳感器信號導(dǎo)出的位置改變相對應(yīng)的量�。
15.根據(jù)權(quán)利要求14所述的方法,其中����,檢測本地車輛狀況包括測量如下中的一個或 多個車輛速度; 車輛轉(zhuǎn)向角��; 車輛行駛距離�; 油箱水平。
16.根據(jù)權(quán)利要求13所述的方法���,其中�,本地車輛狀況包括本地環(huán)境狀況,所述驗證包 括檢驗在由位置跟蹤信息給出的地點處的相應(yīng)環(huán)境狀況與本地環(huán)境狀況一致�。
17.根據(jù)權(quán)利要求16所述的方法,其中���,檢測本地車輛狀況包括測量如下中的一個或 多個雨水水平��; 溫度�;環(huán)境光水平��; 車輛頭燈或尾燈輸出����。
18.根據(jù)權(quán)利要求13所述的方法,其中�,本地車輛狀況包括在車輛附近廣播的無線信 號,所述驗證包括檢驗所檢測的無線信號與位置跟蹤信息給出的地點一致��。
19.根據(jù)權(quán)利要求18所述的方法����,其中,檢測本地車輛狀況包括檢測如下中的一個或 多個FM無線電傳輸?shù)腞DS信號�����; DVB或DAB廣播的SI數(shù)據(jù); 移動電話信號��;預(yù)定頻率上的無線電信號電平�����; 航海和航空信號���; WiFi接入點信號。
20.根據(jù)權(quán)利要求19所述的方法��,其中��,檢測本地車輛狀況包括檢測移動電話信號�����。
21.根據(jù)權(quán)利要求20所述的方法�����,包括在車載單元的移動電話接收機(jī)中實施位置跟蹤功能�,其中所述驗證包括檢驗移動電話接收機(jī)的位置跟蹤信息與衛(wèi)星導(dǎo)航接收機(jī)的位置跟蹤信 息之間的對應(yīng)性。
全文摘要
一種道路收費(fèi)系統(tǒng)��,包括具有衛(wèi)星導(dǎo)航接收機(jī)(52)的車載單元,衛(wèi)星導(dǎo)航接收機(jī)(52)實現(xiàn)位置跟蹤功能���。該系統(tǒng)還包括確定裝置��,用于基于位置跟蹤信息來確定車輛行駛路徑�����;傳感器(54�����,56�����,57���,58,60��,61�,62),用于檢測與衛(wèi)星導(dǎo)航信號無關(guān)的本地車輛狀況���,所述本地車輛狀況取決于車輛的絕對位置或車輛位置的改變�����。使用傳感器信息對位置跟蹤信息的真實性進(jìn)行驗證���。該系統(tǒng)使用衛(wèi)星導(dǎo)航接收機(jī),使得能夠?qū)崿F(xiàn)無基礎(chǔ)設(shè)施的道路收費(fèi)��。該系統(tǒng)還提供了一種防止所謂的虛假GPS攻擊的方法�,虛假GPS攻擊即是提供虛假GPS數(shù)據(jù),以減少可支付的路費(fèi)���。這是通過如下實現(xiàn)的將GPS位置信息與車輛收集的獨(dú)立信息相比較�����,來提供對GPS位置信息的驗證�。
文檔編號G07B15/06GK101911130SQ200880124678
公開日2010年12月8日 申請日期2008年12月29日 優(yōu)先權(quán)日2008年1月15日
發(fā)明者格特·哥白簡斯 申請人:Nxp股份有限公司