用于处理V2X实体的动态网络安全态势的方法和系统与流程

用于处理v2x实体的动态网络安全态势的方法和系统
技术领域
1.本公开涉及车辆到一切(vehicle to everything，v2x)通信，并且具体地涉及针对v2x消息的信任。

背景技术：

2.在智能交通系统(intelligent transport systems，its)中，多个设备进行通信，以便交通系统在交通和流量管理方面做出更明智的决策，以及做出更安全、更协调的决策。its系统组件可以作为固定基础设施的一部分提供在车辆内，诸如在桥梁上或在十字路口，以及被提供用于交通系统的其他用户，包括行人或骑自行车者。
3.its系统部署在世界各地的很多市场都受到了极大的关注，无线电频带被分配用于通信。除了用于安全关键和非关键应用的车辆到车辆通信之外，正在针对车辆到基础设施和车辆到便携场景开发进一步增强的系统或应用。
4.然而，当这样的设备通信时，接收设备需要确信所接收的消息是可信的，以便对这样的消息中的信息采取行动。接收设备在确定可信度时面临的问题的一个方面是，发送实体是否是网络安全的。换言之，接收实体需要确信发送实体没有被泄露或黑客攻击。受损的发送实体可以被强制发送安全签名但不合规的消息或数据，这可能对its系统有害。
附图说明
5.参考附图可以更好地理解本公开，在附图中：
6.图1是示出v2x系统中的证书的示例公钥基础设施架构的框图；
7.图2是示出v2x架构中的证书检索过程的数据流图；
8.图3是基于事件发生情况示出网络安全级别随着时间的推移的图；
9.图4是示出确定和向v2x实体供应动态网络安全态势的数据流图；
10.图5是示出确定和向v2x实体供应动态网络安全态势的替代实施例的数据流图；
11.图6是示出基于来自更新服务器的网络安全态势将v2x实体添加到证书撤销列表中的数据流图；
12.图7是示出基于来自异常检测服务器的网络安全态势将v2x实体添加到证书撤销列表中的数据流图；以及
13.图8是能够与本公开的实施例一起使用的示例计算设备或服务器的框图。
具体实施方式
14.本公开提供了一种网元处的方法，该方法包括在网元处接收至少一个消息，该至少一个消息是以下中的一者或两者：来自更新服务器的更新状态信息消息；以及来自异常检测服务器的异常检测状态信息消息；基于接收至少一个消息，确定针对智能交通系统实体的动态网络安全态势指示；以及向注册机构提供针对智能交通系统实体的动态网络安全态势指示，其中动态网络安全态势指示能够被包括在与智能交通系统实体相关的证书中。
15.本公开还提供了一种网元，该网元包括：处理器；以及通信子系统，其中该网元被配置为：在该网元处接收至少一个消息，该至少一个消息是以下中的一者或两者：来自更新服务器的更新状态信息消息；以及来自异常检测服务器的异常检测状态信息消息；基于接收至少一个消息，确定针对智能交通系统实体的动态网络安全态势指示；以及向注册机构提供针对智能交通系统实体的动态网络安全态势指示，其中动态网络安全态势指示能够被包括在与智能交通系统实体相关的证书中。
16.本公开还提供了一种计算机可读介质，该计算机可读介质用于存储指令代码，该指令代码在由网元的处理器执行时使得网元：在网元处接收至少一个消息，该至少一个消息是以下中的一者或两者：来自更新服务器的更新状态信息消息；以及来自异常检测服务器的异常检测状态信息消息；基于接收至少一个消息，确定针对智能交通系统实体的动态网络安全态势指示；以及向注册机构提供针对智能交通系统实体的动态网络安全态势指示，其中动态网络安全态势指示能够被包括在与智能交通系统实体相关的证书中。
17.在确定是否对接收的v2x消息采取行动时，v2x实体(诸如接收该消息的车辆)可能需要确定是否可以信任该消息。消息的信任可能因消息类型而异。例如，安全关键用例可能需要更高级别的信任，诸如紧急制动警告，其中接收车辆可能需要确定是否应当对消息内容采取行动并且用力制动，甚至可能在没有其他证实信息的情况下。
18.接收v2x实体在确定可信度时面临的一个问题是发送v2x实体是否网络安全。换言之，确定可信度可能需要发现发送v2x实体没有被破坏，有时被称为“被黑客攻击”。
19.在一种情况下，v2x实体实现可以由操作软件组件和单独的安全密钥存储组件组成，因此，如果前者受到破坏，而后者没有受到破坏，例如，因为后者被设计为更稳健/网络安全，则v2x实体可能会被强制发送安全签名的非法v2x消息/数据。
20.因此，本公开使用网络安全态势来确定v2x消息的发送者或传输者是否可信，其中“网络安全态势”从网络安全的角度定义为v2x消息的发送者或传输者的态势或完整性。
21.本公开与v2x有关，v2x是一种提供从车辆到其他实体(也可能相反)之间的消息通信的特征，该信息可能会影响车辆和/或其他实体。因此，v2x实体是支持发送v2x消息和接收v2x消息中的一者或两者的实体，并且可以包括智能交通系统(its)站(its-s)、电子控制单元(ecu)、机载单元(obu)、用户设备(ue)、移动实体(me)、终端实体(ee)等。v2x实体在本文中也称为its实体，并且术语可以互换使用。
22.与车辆之间的通信可以是与各种v2x端点之间的通信。v2x端点可以包括：其他车辆，其单独称为车辆到车辆(v2v)；基础设施，诸如路边单元，其单独称为车辆到基础设施(v2i)；行人或骑自行车者，其单独称为车辆到行人(v2p)；(多个)网络，其单独称为车辆到网络(v2n)；设备，诸如车辆内的电子设备，其单独称为车辆到设备(v2d)；电网，其单独称为车辆到电网(v2g)；等等。这些统称为v2x。
23.v2x通信可以用于多种用途。在某些情况下，v2x可以用于道路安全和提高道路运输效率两者，诸如通过减少拥堵或减少燃油消耗。
24.各种系统/架构可以提供v2x通信。诸如第三代合作伙伴项目(3gpp)规范中定义的蜂窝网络就是一个这样的系统/架构。例如，其他系统/架构可以包括综合数字增强网络(iden)、电气与电子工程师协会(ieee)802.11p无线网络等。
25.通常，v2x通信由v2x实体发送和接收的v2x消息组成。为了保护v2x消息和整个v2x
系统免受发送流氓消息的流氓v2x实体的攻击，所有v2x消息都受到完整性保护。这种完整性保护是通过v2x端点在发送/广播之前对v2x消息进行签名来实现的，并且包括证书(也称为授权票据)以供接收v2x端点用于验证签名。因此，v2x消息由要传送的数据、要传送的数据的签名和证书组成。
26.证书包含用于验证签名真实性的数据、以及其他数据。例如，用于验证签名真实性的数据可以由验证密钥、公钥或其他这样的数据组成。包括的签名可以遵循ieee 1609.2第2.2.1条“ieee standard for wave
–
security services for applications and management messages
–
consolidated draft of ieee 1609.2-2016with amendments specified in1609.2a/d8 and 1609.2b/d3”(2016年12月)中定义的格式。
27.v2x实体可以通过执行注册(enrolment)(例如通过注册机构)并且然后是授权(例如通过授权机构)来获取证书以便在v2x系统中使用。
28.现在参考图1，图1提供了欧洲电信标准协会(etsi)its公钥基础设施的示例概览，如etsi技术标准(ts)102 904“智能运输系统(its)安全、its通信安全架构和安全管理”(1916年11月第1.2.1版)中定义的。
29.在图1的示例中，在制造时，向v2x实体(例如，its-s 110)提供有规范标识符(id)(它是v2x系统中每个v2x实体唯一的id)，并且向注册机构112提供有相同的规范id以及与该规范id相关的其他信息，诸如保证级别。例如，这在etsi ts 103 097“its；security；security header and certificate formats”(2017年10月第1.3.1版)和etsi ts 102 941“its；security；trust and privacy management”(2018年5月第1.2.1版)中有描述。
30.在its架构中，注册机构112在接收到规范id和可能的其他数据(例如，公钥)122时对its-s 110进行认证，并且通过颁发注册证书124(本文中也称为注册id或注册凭证)授予其参与its通信的授权。授权机构130通过提供可以用于这些服务的临时/匿名证书132(也称为授权票据或授权证书)来向its-s 100提供使用特定its服务的授权。该授权基于注册证书134，注册证书134由注册机构112使用授权验证请求136和授权验证响应138进行验证。例如，etsi ts102 941“its；security；trust and privacy management”(2018年5月第1.2.1版)描述了授权验证请求消息和授权验证响应消息。特别地，authorizationvalidationrequest消息可以包括诸如签名的外部有效载荷和共享的属性请求等数据。这样的数据可以被签名和加密。
31.authorizationvalidationresponse消息可以包括授权验证响应本身，该响应可以被签名和加密。
32.根证书机构140可以向注册机构112提供证书142，并且向授权机构130提供证书144。
33.然后，its-s 110可以使用具有授权证书担保的消息152与其他v2x端点(诸如its-s 150)通信。
34.证书消息传递的示例关于图2进行描述。在图2的实施例中，its-s发送实体210希望与its-s接收或中继实体212通信。但是，首先必须从注册机构214接收注册凭证，并且从授权机构216接收授权票据。
35.在这方面，its-s发送实体210向注册机构214发送注册请求(enrollmentrequest)消息220，并且包括其规范id和公钥。
36.注册机构214用注册响应(enrollmentresponse)消息222响应its-s发送实体210，并且包括结果和注册凭证。
37.its-s发送实体210然后通过向授权机构216发送授权请求(authorizationrequest)消息230来请求证书/授权票据。消息230包括服务参数。
38.授权机构216向注册机构214发送包括服务参数的授权验证请求(authorizationvalidationrequest)消息232。注册机构215用带有结果的授权验证响应(authorizeationvalidationresponse)消息234响应授权机构214。消息234还可以包括应用的保证级别。授权机构216可以在其产生的授权票据(也称为匿名证书)中包括保证级别(如果接收到)。如本文中使用的，授权票据可以包括欧洲授权票据或美国授权证书，以前称为匿名证书。
39.这些授权票据由授权机构216在授权响应(authorizationresponse)消息240中提供给its-s发送实体210。
40.然后，its-s发送实体210可以将v2x消息(示出为担保消息(securedmessage)250)发送给智能运输系统中的另一its-s，诸如its-s接收或中继实体212。在希望发送v2x消息时，its-s发送实体210通常创建v2x消息，v2x消息包括证书(授权票据)和有效载荷(例如，车辆当前位置、速度)；使用众所周知的哈希算法计算可变长度v2x消息的固定长度哈希；使用its-s发送实体的私钥对哈希进行签名；并且将签名附加到有效载荷并且发送所得到的v2x消息。
41.因此，v2x消息包含消息内容、消息的签名哈希和证书。根据etsi ts 102 940，消息内容可能受到真实性、完整性、机密性和隐私性保护。因此，有效载荷可以加密，但无需加密。
42.除其他外，授权票据/证书可以包括发送实体的匿名身份；签名块，其是发送实体的身份和发送实体的公钥的哈希，该哈希由证书机构使用证书机构的私钥进行签名；对证书进行签名的证书机构的身份；以及发送v2x实体的保证级别。
43.在接收到消息250时，its-s接收或中继实体212通常会将证书机构的已知公钥应用于证书的签名块，以验证发送实体的身份和发送实体的公钥。
44.然后，its-s接收或中继实体212可以检查身份是否不在证书撤销列表(crl)中的身份列表(被指向)上。如果发送实体的身份位于crl上，则该消息可以被丢弃。its-s接收或中继实体212可以执行其他似真性(plausibility)(非加密)检查和有效性(加密)检查。
45.然后，its-s接收或中继实体212可以使用发送实体的公钥来验证v2x消息中包括的签名。
46.如上所述，its-s接收或中继实体212可以检查身份是否不在证书撤销列表(crl)中指向的身份列表中。接收实体通常配置有用于验证证书(如根证书)的信息。但是，证书可以随时撤销，例如由于在不当行为机构处接收到不当行为报告。
47.因此，接收实体可能需要能够检测或配置标识被撤销证书的数据，例如证书撤销列表(crl)。crl的基本形式是数字证书或数字证书指示的列表，在某些情况下包括哈希或“链接种子”，证书机构(ca)已决定在其到期日期/时间之前撤销这些证书。crl由证书机构(也可以是不当行为机构)在ca授权下为证书产生。这些证书分发给需要处理该ca颁发的证书的v2x实体或由其提取。crl通常被签名，以提供其内容的完整性和真实性
(authenticity)。
48.接收证书的实体检查从证书的证书撤销机构ca(craca)获取的crl中是否表明接收的证书已经被撤销(每个证书包含其craca的指示，例如cracaid)，并且如果是，则应当将其及其关联数据(如v2x消息中的有效载荷数据)视为不可信。
49.如上所述，crl上通常只有未到期的证书。换言之，一旦证书到期，它就不再需要出现在crl上，因为接收到期证书的实体已经将这样的证书视为已撤销。
50.crl可以随时分发给需要它们的实体，例如在实体希望开始接收证书之前。然而，当实体收到证书，该证书包括标识该实体没有crl的crl的craca或者包括标识已经获取的crl的carca，并且该craca已经到期或者包括具有过去发生的值的“下一次更新”字段时，该实体可能需要提取/获取新的crl。
51.虽然以上描述了接收通过证书进行验证的v2x消息，但在某些情况下，还需要传达网络安全保证级别。例如，ieee 1609.2；etsi、互联网工程任务组(ietf)和car2car联盟中描述了用于提供网络安全保证级别的各种解决方案。
52.具体地，ieee 1609.2中定义的获取注册证书和申请证书(类似于“授权票据”，以前称为“匿名证书”)的过程与etsi ts 103 097中描述的过程相似。“保证级别(assurancelevel)”项可以被包括在与v2x消息一起发送的ieee 1609.2证书中，其中该证书的对应私钥用于对v2x消息进行签名。
53.例如，ieee 1609.2将tobesignedcertificate定义为包括各种字段，诸如id、cracaid、region和assurancelevel等字段。assurancelevel的值定义为subjectassurance，并且是可选的。
54.在etsi ts 102 941中，上述关于图2的过程适用。属性保证级别是ieee 1609.2中定义的一种“主题保证”，并且在etsi-its中重复使用。如图2所示，its-s发送的每个v2x消息包括证书或其哈希，因此保证级别也会被发送。
55.在名为draft-tls-certieee1609-02.txt的文件中，“使用its etsi和ieee证书的传输层安全(tls)认证”，2018年3月，ietf被视为信任保证级别(强制性)。具体地，该草案规定：信任保证级别：ca和终端实体的c-its证书必须包含tal：(1)对于v2x通信系统的安全性，确保参与者的车内安全至关重要：消息接收者必须能够依赖于发送者正确生成消息这一事实(即，汽车传感器信息是准确和完整的)。因此，发送方的安全漏洞将对消息的所有接收方产生影响；以及(2)只有具有合理“安全级别”的车辆才能从pki获取证书。车辆到车辆通信联盟(c2c-cc)引入了不同级别的信任，定义为信任保证级别，并且车辆的授权票据(即，匿名证书)必须包括车辆tal的值。后续草案不包含该要求。
56.car2car联盟为car2car通信联盟中的v2x硬件安全模块(hsm)定义了评估保证级别(eal4)通用标准保护简档，“v2x硬件安全模件保护简档”(2018年8月)。car2汽车联盟基本简档第7.4.6节“c2c-cc基本系统简档”(2016年8月)描述了c2x站的信任保证。重点包括5个信任级别被指定为信任保证级别(tal)0到tal4，其中tal 4是最高信任保证级别。its站的最低可接受tal为tal2。根据etsi ts 103 097，每个tal映射到主题保证表示。
57.此外，2012年在car2car联盟/camp会议上的一次演示有以下亮点：接收方可以基于以下概念来确保v2x消息没有错误，即，受信任方已经根据成熟的国际公认和可信的安全标准评估了发送端点，并且颁发证书，接收方可以验证其对向发送方妥协的难度的看法。会
议进一步建议，不同的tal可以用于不同的应用，因为如果只有一个tal级别，则它必须是要求最高的应用所需要的tal级别。对于所有应用来说，这个级别可能很难达到。
58.car2car会议考虑了“可信国际标准”的选项，包括nist fips-140-x，该标准更多地涉及加密技术的使用，而非全面的网络安全标准；iso通用标准3.1，其耐久性有限(2年)，这造成问题，并且成本高昂；以及cc改编的定制oem c2x评估方案。此外，iso/sae21434国际标准草案“道路车辆——网络安全工程”(2020年2月)在2012年不存在，但如下所述。
59.由c2c论坛定义的信任保证级别的示例如下表1所示。
[0060][0061][0062]
表1：针对c2x站的信任保证级别
[0063]
在上面的表1中，tal 2是最低可接受级别。
[0064]
保证级别的另一示例是关于preserve。preserve是一个欧洲共同体资助的项目，涉及车辆到一切通信的安全和隐私方面。“preserve”(ec-dg infso资助的第七个框架计划)第2.5节(2016年1月)(“准备安全车辆到x通信系统”，可交付成果5.4，部署问题报告)的
亮点包括：只有具有合理安全级别的车辆才能从c2x pki处获取证书；实体(例如，认证型公司/行业联盟/oem自行签名)应当能够验证v2x模块是否达到最低安全级别；成功的评估和认证可以作为注册机构向车辆颁发注册凭证的基础；tal应当被包括在车辆的授权票据(匿名证书)中。
[0065]
在另一示例中，iso/sae 21434国际标准草案(dis)规定了下表2中定义的网络安全保证级别(cal)。
[0066][0067]
表2：iso/sae 21434网络安全保证级别
[0068]
此外，isa/iec 62443-3-3：“系统安全要求和安全级别”为解决和缓解工业自动化和控制系统(iacs)当前和未来的安全漏洞提供了一个框架。它定义了很多“安全级别”(sl)，如下所示：
[0069]
·
sl 1：防止临时或偶然违规
[0070]
·
sl 2：使用具有低资源、通用技能和低动机的简单方法防止故意违规
[0071]
·
sl 3：使用具有中度资源、iacs特定技能和中度动机的复杂手段防止故意违规
[0072]
·
sl 4：使用具有扩展资源、iacs特定技能和高度动机的复杂手段防止故意违规
[0073]
cal和sl都表明了基于实体设计和开发的安全保证。在每种情况下，实体的级别都是随着时间的推移而静态的。
[0074]
网络安全态势
[0075]
如本文中使用的，网络安全态势是一种安全/网络安全的度量或级别。实体(如软件、硬件或硬件和软件的组合)的网络安全态势本质上是动态的，并且通常被视为随着时间的推移而减少，因为考虑到实体随着时间的推移而受到威胁的可能性。随着时间的推移，这
种减少也可以称为“机会之窗”。随着时间的推移，网络安全态势的下降通常是不可预测的，因此可以是非线性的。实体的网络安全态势也可以增加，并且通常在更新实体或实体组件(如软件和/或硬件组件)时发生。
[0076]
例如，现在参考图3，图3描述了实体在发生某些示例事件时随着时间的推移的网络安全态势示例。
[0077]
在事件310，即时间0(例如，当实体完成开发和验证，然后部署到终端用户时)，示例实体的网络安全态势被认为是高级别的。
[0078]
在事件310与事件320之间，由于实体使用一个或多个未知漏洞成功被黑客攻击/破解的概率随着时间的推移而增加，网络安全被认为正在以稳定的速度下降。这又可以称为“机会之窗”。
[0079]
在事件320，发现并且公布了一个漏洞。然而，该漏洞尚未被证明是一个漏洞。
[0080]
在事件320与事件330之间，由于成功使用已知漏洞和使用一个或多个未知漏洞危害实体的可能性，网络安全态势可能会比事件310与事件320之间下降得更快。
[0081]
在事件330，已知漏洞被证明和/或检测为在其他类似实体中使用。
[0082]
在事件330与事件340之间，网络安全态势的下降速度可以比事件320与事件330之间以及事件310与事件320之间的下降速度更快，这是因为成功使用已知的、经验证的漏洞的概率以及一个或多个未知漏洞用于危害实体的概率。
[0083]
在事件340，实体被黑客攻击或泄露。例如，攻击者可以成功使用已知漏洞，也可以成功使用未知漏洞。
[0084]
在事件340与事件350之间，由于成功破解或妥协事件340，网络安全态势被视为低或不安全。
[0085]
在事件350，对实体或实体的组件进行硬件和/或软件更新，以缓解或解决已知漏洞。在事件360，该更新立即将实体的网络安全态势恢复到原始级别。
[0086]
在事件360之后，网络安全态势被认为再次以稳定的速度下降，因为实体使用一个或多个未知漏洞成功被黑客攻击或破坏的概率随着时间的推移而增加，直到另一事件发生。
[0087]
因此，根据图3的示例，实体的网络安全态势不是静态的，而是随着事件的发生而随着时间的推移而改变。
[0088]
基于上述，事件可以包括更新和/或异常检测。具体地，诸如v2x实体等端点可以从包括更新服务器在内的网络中的实体接收更新。更新可以包括固件和/或软件更新，该更新可以应用于以下中的一个或多个v2x实体、its-s、obu、ecu、信息娱乐系统、电子仪表盘、数字仪表板、数字仪表盘、车辆组件、车辆内的系统、ue(用户设备)等选项。这样的更新可以由端点下载，或通过各种不同介质上传到端点，包括有线连接或无线连接。有线连接可以包括但不限于通用串行总线(usb)、以太网、rs-232、充电连接等。无线连接可以包括但不限于蜂窝连接、wi-fi、无线充电器、bluetooth等。
[0089]
示例更新解决方案包括由开放移动联盟(oma)设备管理(dm)规范提供的解决方案、以及由uptane联盟作为“设计和实施的实时标准”而提供的解决方案。端点接收和安装软件更新可以改善或减轻端点中的漏洞，从而改善或增加其网络安全态势。
[0090]
此外，v2x行业中存在端点异常检测的解决方案，其中可以包括向网络实体发送数
据，以便网络实体确定端点中的异常。示例异常解决方案包括互联网工程任务组(ietf)网络端点评估(nea)等提供的解决方案。
[0091]
一个网络实体可以称为异常检测服务器。这样的服务器检测到端点中存在的异常可以表示该端点已经被黑客攻击或被破坏。换言之，端点的网络安全态势较低，或已经被破坏或受到不利影响。例如，由于攻击者利用端点中的漏洞，可能会发生这种情况。
[0092]
端点可以根据ietf网络端点评估征求意见(rfc)5209“network endpoint assessment(nea):overview and requirements”进行评估。具体地，ietf为网络端点评估定义了系统架构和一套协议，主要目的是使得企业it基础设施能够评估希望加入企业网络的端点的网络安全态势，以实现网络访问控制。在这种情况下，端点可以是笔记本电脑、台式计算机等。例如，这样的端点可能会被隔离，直到其网络安全态势被确定为令人满意。ietf rfc 5209的一个示例如下：
[0093]
·
nea为网络所有者(例如，提供远程访问的企业)提供了用于评估系统态势的机制。这可以发生在请求网络访问期间和/或随后连接到网络时的任何时间。然后，学习到的态势信息可以应用于各种面向法规遵从性的决策。态势信息通常用于检测缺少或具有过时安全保护机制的系统，例如：防病毒和基于主机的防火墙软件。
[0094]
·
……
nea的目的是评估这些端点，以确定它们是否符合安全策略，以便在它们暴露于这些威胁之前提供校正动作。例如，如果系统由于缺乏适当的防御机制(如基于主机的防火墙、防病毒软件或缺少关键安全修补程序)而被确定为不合规，则nea协议提供了一种机制来检测这一事实并且指示要采取的适当补救动作
……
。
[0095]
·
nea通常涉及使用在请求端点上运行的特殊客户端软件，该软件观察并且向网络基础设施报告系统配置。基础设施具有对应验证软件，能够将端点的配置信息与网络合规性策略进行比较，并且将结果提供给做出网络和应用访问决策的适当授权实体
……
[0096]
·
……
类似于nea的架构在业界已经存在了一段时间，并且出现在产品发布中，但没有提供足够的互操作性。这样的架构的一些示例包括：trusted computing group的trusted networkconnect[tnc]、microsoft的network access protection[nap]和cisco的cisco network administration control[cnac]。这些技术评估端点设备的软件和/或硬件配置，以监测或强制遵守组织的策略。
[0097]
本技术领域也可以存在其他解决方案，并且在本文中称为“端点证明(endpoint attestation)”。
[0098]
基于上述情况，v2x消息传递中传达的现有保证级别未考虑动态网络安全态势。具体地，v2x消息传递中的现有保证级别仅表示静态级别，假定在接收这些级别的v2x实体的生命周期内有效。
[0099]
然而，如图3所述，端点的网络安全态势可能会随着时间的推移而降低。因此，根据本公开的一些实施例，提供了一种更动态的机制可以更好地考虑到网络安全态势随着时间的推移而降低的程度。这种动态的网络安全态势为网络安全态势提供了更准确的度量。确保只有那些被认为具有可接受程度的网络安全态势的v2x实体才能参与v2x系统，这有助于确保v2x系统的正确运行，并且有可以减少v2x系统中行为不端的v2x实体的数目。
[0100]
此外，目前还没有一种用于确定v2x实体网络安全态势并且在认为v2x实体的网络安全态势不可接受的情况下拒绝向其分配新证书的机制。
[0101]
根据本公开的其他实施例，提供了一些方法和系统用于在新检测到的网络安全态势不佳的情况下从v2x系统中移除v2x实体。具体地，当v2x实体的网络安全态势突然下降时，例如当发现和/或证明了新的漏洞/利用(exploit)或异常时，或者当提供了缓解利用的可用更新时，目前还没有明确的机制来从v2x系统中移除其网络安全态势已降低的v2x实体，直到v2x实体已更新/修补/升级，并且可以将该情况通知v2x系统。
[0102]
这些和其他实施例描述如下。在下面的实施例中，示例是根据欧洲合作凭证管理系统(ccms)描述的。然而，这仅仅是为了说明目的而提供的，并不具有限制性。类似的概念可以应用于任何其他类型的安全凭证管理系统(scms)，包括但不限于基于美国防撞度量合作伙伴(camp)的scms系统、中国scms系统等其他选项。
[0103]
此外，虽然以下所有解决方案都侧重于网络安全态势，但这样的解决方案也适用于其他学科或态势类型，包括但不限于：功能安全性；预期功能的安全性(sotif)等。
[0104]
确定和指示可信的动态网络安全态势
[0105]
根据一个实施例，提供了方法和系统以用于确定和指示受信任的动态网络安全态势并且指示在v2x实体尝试获取v2x证书时需要的v2x实体更新。在本实施例中，第一v2x实体向第二v2x实体发送包括证书的v2x消息，其中证书包括动态网络安全态势信息(dcpi)。这样的v2x消息可以包括但不限于基本安全消息(bsm)、合作意识消息(cam)、集体感知消息(cpm)等。
[0106]
在接收到包括dcpi的证书之后，第二v2x实体可以根据dcpi采取适当动作。这样的动作可以包括丢弃或忽略v2x消息、应用车辆制动器、向车辆乘员(例如，驾驶员)显示指示等。在这种情况下，第二v2x实体信任接收的dcpi的值，因为dcpi被包括在由第二v2x实体信任的ca签名的证书中。例如，证书可以由v2x系统的授权机构签名。
[0107]
第二v2x实体可以根据使用接收的dcpi确定的可信度级别采取适当动作。第二v2x实体可以对包含dcpi的v2x消息赋予更高级别的可信度，该dcpi包含日期/时间戳值，其值指示最近的日期，而对包含dcci的v2x消息赋予较低级别的可信性，该dcci包含日期/时间戳值，并且其值指示更晚/更远的日期。
[0108]
例如，如果接收v2x实体接收到第一v2x消息，第一v2x消息包含具有指示不到一个月前的日期/时间的日期/时间戳字段的dcpi，并且接收v2x实体还接收到第二v2x消息，第二v2x消息包含具有指示一年以前的日期/时间的日期/时间戳记字段的dcpi，则接收v2x实体可以为第一v2x消息指定比第二v2x消息更高级别的可信度。
[0109]
备选地或除了上述内容，第二v2x实体还可以将更高级别的可信度归因于包含dcpi的v2x消息，该dcpi包括一定值或在一定值范围内的保证级别或网络安全态势级别。例如，如果接收v2x实体接收到第一v2x消息，第一v2x消息包含具有指示保证级别或网络安全态势级别小于或等于4的保证级别或网络安全态势级别的dcpi，并且还接收到第二v2x消息，第二v2x消息包含具有指示保证级别或网络安全态势级别大于4的保证级别或网络安全态势级别的dcpi，则接收v2x实体可以向第一v2x消息分配比第二v2x消息更高级别的可信度。
[0110]
获取关于v2x实体的网络安全态势信息
[0111]
为了获取网络安全态势，需要信任各种实体。假定以下实体之间存在信任关系：v2x实体和更新服务器；v2x实体和异常检测服务器；更新服务器和v2x实体网络安全态势确
定服务器(cpds)；异常检测服务器和v2x实体cpds。
[0112]
现在参考图4。在图4的实施例中，v2x实体410与其他网络实体一起示出，包括注册机构412、v2x实体cpds 414、授权机构416、更新服务器417、异常检测服务器418和第二v2x实体419。
[0113]
图4的实施例示出了一个数据流，消息以虚线示出，表示可选或条件消息流。
[0114]
在图4的实施例中，v2x实体410向授权机构416发送授权请求420。授权申请420包括服务参数，并且可以包括网络安全数据。
[0115]
在接收到授权请求420之后，授权机构416向注册机构412发送授权验证请求消息422。授权验证请求包括服务参数，并且如果授权请求420中提供有网络安全数据，则可以包括网络安全数据。
[0116]
在第一实施例中，响应于接收到授权验证请求消息422，注册机构412可以检索，例如从存储介质中检索，或确定以下中的一个或多个：v2x实体410的dcpi；v2x实体410没有可确定的dcpi；或者v2x实体410的动态网络安全态势(dcp)对于v2x系统而言过低。在这种情况下，确定可以包括使用与v2x实体410相关联的网络安全数据。例如，这样的网络安全数据可以在授权验证请求消息422中接收，从数据库中检索，或从其他实体接收，例如直接从v2x实体410接收，等等。
[0117]
由于这种检索，在某些情况下，注册机构412可以跳过下面描述的消息430、消息432、消息434、消息440、消息442和消息450，并且直接进行到消息460。
[0118]
在另一种情况下，可能会出现以下步骤。v2x实体410可以向注册机构412发送(未示出)包括网络安全数据的消息(例如，注册请求)。注册机构412接收消息并且存储接收的网络安全数据，或确定v2x实体410的dcpi，或确定v2x实体410没有可确定的dcpi，基于接收的网络安全数据确定v2x实体410的dcp对于v2x系统而言过低。注册机构可以向v2x实体410发送响应消息(如注册响应)，并且v2x实体410接收消息(未示出)。
[0119]
在另一实施例中，响应于接收到授权验证请求消息422，注册机构412可以向v2x实体cpds 414发送网络安全态势确定(cpd)请求消息430。消息430可以包括网络安全数据，网络安全数据可以在消息422中接收，在数据库中查，从另一实体接收，等等。消息430还可以包括用于向更新服务器417标识v2x实体410的v2x实体410的身份/标识符。例如，这样的身份可以是v2x实体id、更新客户端id等。在其他情况下，注册机构412可以使用向v2x实体cpds 414标识v2x实体410的v2x实体410的身份/标识符，而该身份/标识符不是其他v2x系统中使用的用于增强v2x实体410的隐私的身份/标识符。
[0120]
响应于接收到cpd请求消息430，v2x实体cpds 414可以做两件事中的一个。在第一种情况下，v2x实体cpds可以检索，例如从存储介质中检索，或确定以下中的一个或多个：v2x实体410的dcpi；v2x实体410没有可确定的dcpi；或者v2x实体410的动态网络安全态势(dcp)对于v2x系统而言过低。在这种情况下，确定可以包括使用与v2x实体410相关联的网络安全数据。例如，这样的网络安全数据可以在cpd消息430中接收，从数据库检索，或从其他实体接收，等等。
[0121]
在第二种情况下，v2x实体cpds 414可以向更新服务器417发送v2x实体更新状态请求消息432。消息432可以包括用于向更新服务器4107标识v2x实体410的v2x实体410的身份/标识符。例如，这样的标识可以是v2x实体id、更新客户端id等。在其他情况下，v2x实体
cpds 414可以使用向更新服务器417标识v2x实体410的v2x实体410的身份/标识符，而该身份/标识符不是其他v2x系统中使用的身份/标识符，以增强v2x实体410的隐私。
[0122]
更新服务器417可以包含用于根据接收的v2x实体id确定v2x实体的功能。例如，更新服务器418可以包含链接种子值，以根据接收的匿名证书确定v2x实体。其他选项也是可能的。
[0123]
响应于接收到v2x实体更新状态请求消息432，更新服务器417向v2x实体cpds 414发送v2x实体升级状态响应消息434。消息434包含与v2x实体410相关联的v2x实体的更新数据。v2x实体更新数据的特性如下所述。
[0124]
更新服务器417可以从本地存储、其他实体或这两者的组合中检索包括v2x实体更新数据的信息。
[0125]
此外，响应于接收到cpd请求消息430，v2x实体cpds 414可以向异常检测服务器418发送v2x实体异常检测状态请求消息440。消息440可以包括用于向异常检测服务器418标识v2x实体410的v2x实体410的身份/标识符。例如，这样的身份可以是v2x实体id、异常检测客户端id等。在其他情况下，v2x实体cpds 414可以使用向异常检测服务器418标识v2x实体410的v2x实体410的身份/标识符，而该身份/标识符不是其他v2x系统中使用的用于增强v2x实体410的隐私的身份/标识符。
[0126]
此外，异常检测服务器418可以包含用于根据接收的v2x实体id确定v2x实体的功能。例如，异常检测服务器418可以包含链接种子值，以根据接收的匿名证书确定v2x实体。其他选项也是可能的。
[0127]
响应于接收到消息440，异常检测服务器418将v2x实体异常检测状态响应消息442发送回v2x实体cpds 414。消息442包含与v2x实体410相关联的v2x实体异常检测数据，如下所述。异常检测服务器418可以从本地存储中检索包括v2x实体异常检测数据的信息，也可以从另一实体中检索，或这两者的组合。
[0128]
响应于接收到消息434和消息442中的一者或两者，v2x实体cpds 414确定以下中的一项或多项：v2x实体410的dcpi；v2x实体410没有可确定的dcpi；或者v2x实体410的dcp对于v2x系统而言过低。确定可以包括以下中的一个或多个：使用在消息434中接收的v2x实体更新数据、在消息442中接收的v2x实体异常检测数据、以及使用与v2x实体410相关联的网络安全数据。这样的网络安全数据可以在cpd请求430中接收，可以在数据库中查，可以从另一实体中检索，等等。
[0129]
v2x实体cpds 414向注册机构412发送cpd响应消息450。消息450可以包括以下中的一个或多个：dcpi；表明没有确定的dcpi的指示(以下简称“无dcpi指示”)；以及表明v2x实体410的dcp对于v2x系统而言过低的指示(以下简称“dcp过低指示”)。
[0130]
响应于注册机构412接收到cpd响应450，或者基于注册机构411检索或确定dcpi、不存在dcpi或dcpi过低，注册机构可以向授权机构416发送授权验证响应消息460。消息460包括在cpd响应450中接收的或根据授权验证请求422确定的dcpi、无dcpi指示、和/或dcp过低指示。
[0131]
授权机构416接收消息460，并且向v2x实体410发送可以包含结果参数的授权响应470。响应470包括授权机构检索到的或在授权验证响应消息460中接收的dcpi、无dcpi指示和/或dcp过低指示。dcpi、无dcpi指示和/或dcp过低指示可以被包括在授权票据/证书中，
和/或无dcp指示和dcp过低指示可以作为值被包括在结果参数中。
[0132]
如果v2x实体410没有接收到dcpi(例如，一个或多个接收的证书中不存在dcpi)或接收到v2x实体确定为指示低或不良dcp的dcpi；没有接收到dpi指示；和/或接收到dcp过低指示，则v2x实体410可以向更新服务器417发送“需要更新请求(request needed updates)”消息472。这可以用于发起v2x实体更新的下载以改进/校正/增强v2x实体410的dcp。
[0133]
另外地或备选地，v2x实体410可以向车辆乘员指示需要v2x实体更新。例如，该指示可以是可听声音、仪表板上的灯点亮、显示单元上显示的信息、通过车辆内的扬声器发出的可听指示、或车辆内信息娱乐系统、仪表板或其他信号机制上的其他指示。例如，这可以发信号通知乘员开始更新过程。
[0134]
一旦更新被执行(例如，基于请求472，手动启动更新，例如由车辆乘员)，v2x实体410就可以重复图4中的消息传递，以便重新尝试或检索/获取新证书，以便在v2x系统中使用。
[0135]
如果v2x实体410接收到dcpi，例如在证书中，则v2x实体419可以向v2x实体419发送v2x消息480，v2x消息480包括在消息470中接收的dcpi。例如，这样的v2x消息380可以包括基本安全消息(bsm)、合作意识消息(cam)、集体感知消息(cpm)等。
[0136]
响应于接收到包括dcpi的v2x消息480，v2x实体419可以使用dcpi来确定接收的v2x消息的可信度或完整性级别，如下所述。v2x实体419确定接收的v2x消息480的可信度级别之后，v2x实体419可以根据接收的v2x消息的确定的可信度级别执行特定动作。例如，v2x实体419可以处理v2x消息，丢弃/忽略/无提示地抛弃v2x消息，在车辆中执行与v2x实体相关的操作，例如向用户显示警告(例如，消息或图标)，等等，或执行其他动作。
[0137]
v2x系统中的任何实体都可以确定可信度级别(或网络安全态势或网络安全完整性)，包括但不限于v2x实体、cpds服务器、注册机构、授权机构等。
[0138]
更新服务器可以是oma dm服务器或uptane服务器。异常检测服务器可以是ietf nea服务器，例如在ietf rfc 5209中定义的。v2x实体cpds可以包括ietf nea客户端，例如在ieeetf rfc5209中定义的。v1x实体410可以包括oma dm客户端和/或uptane客户端功能。
[0139]
在一些实施例中，授权机构416可以包括登记(registration)机构和/或授权证书机构。
[0140]
此外，图4所示的一个或多个实体可以彼此组合。此外，图4所示的数据流可以按照与所示不同的顺序执行。
[0141]
此外，图4所示的消息名称只是示例名称，并且可以使用不同的消息名称。
[0142]
关于图5示出了备选实施例。特别地，图5的实施例示出了v2x实体510、注册机构512、v2x实体cpds 514、授权机构516、更新服务器517、异常检测服务器518和v2x实体519之间的消息流。
[0143]
与图4的实施例一样，图5的实施例中的虚线表示可选或条件消息流。
[0144]
在图5的实施例中，v2x实体cpds 514可以从存储介质或其他存储中检索，或者可以确定以下中的一个或多个：v2x实体510的dcpi；v2x实体510没有可确定的dcpi；或者v2x实体510的dcp对于v2x系统而言过低。确定可以包括使用在v2x实体510消息中接收的网络安全数据或在数据库中查的数据。
[0145]
可选地，v2x实体cpds 514可以向更新服务器517发送v2x实体更新状态请求消息520。消息520可以包括向更新服务器5127标识v2x实体的v2x实体510的身份/标识符。例如，这样的身份可以是v2x实体id、更新客户端id等。在其他情况下，v2x实体cpds 514可以使用向更新服务器517标识v2x实体510的v2x实体510的身份/标识符，而该身份/标识符不是其他v2x系统中使用的用于增强v2x实体610的隐私的身份/标识符。
[0146]
更新服务器517可以包含用于根据接收的v2x实体id确定v2x实体的功能。例如，更新服务器517可以包含链接种子值，以根据接收的匿名证书确定v2x实体。其他选项也是可能的。
[0147]
更新服务器517可以向v2x实体cpds 514发送v2x实体更新状态通知消息522。在某些情况下，消息522可以响应于接收到v2x实体状态请求消息520，但不必是。消息522包含与v2x实体510相关联的v2x实体更新数据。v2x实体数据的特征如下所述。
[0148]
更新服务器517可以从本地存储、另一实体或这两者的组合中检索包括v2x实体更新数据的信息。
[0149]
v2x实体cpds 514还可以向异常检测服务器518发送v2x实体异常检测状态请求消息530。消息530可以包括向异常检测服务器518标识v2x实体510的v2x实体510的身份/标识符。例如，这样的身份可以是v2x实体id、异常检测客户端id等。在其他情况下，v2x实体cpds 514可以使用向异常检测服务器518标识v2x实体510的v2x实体510的身份/标识符，而该身份/标识符不是其他v2x系统中使用的用于增强v2x实体610的隐私的身份/标识符。
[0150]
此外，异常检测服务器518可以包含用于根据接收的v2x实体id确定v2x实体的功能。例如，异常检测服务器518可以包含链接种子值，以根据接收的匿名证书确定v2x实体。其他选项也是可能的。
[0151]
异常检测服务器518向v2x实体cpds 514发送v2x实体异常检测状态通知消息532。在某些情况下，可以响应于接收到消息530而发送消息532，但在其他情况下，可以不发送消息530。
[0152]
消息532包含与v2x实体510相关联的v2x实体异常检测数据，如下所述。v2x实体异常检测数据还可以包含向异常检测服务器518标识v2x实体510的v2x实体510的身份/标识符。异常检测服务器518可以从本地存储中检索包括v2x实体异常检测数据的信息，也可以从另一实体中检索，或这两者的组合。
[0153]
注册机构512可以可选地向v2x实体cpds 514发送cpd请求消息540。消息540可以包括网络安全数据，网络安全数据可以在数据库中查，在消息中从另一实体(例如，v2x实体510)接收，等等。消息540还可以包括向v2x实体cpds 514标识v2x实体510的v2x实体510的身份/标识符。例如，这样的身份可以是v2x实体id、更新客户端id、异常检测客户端id等。在其他情况下，注册机构512可以使用向v2x实体cpds 514标识v2x实体510的v2x实体510的身份/标识符，其中该身份/标识符不是其他v2x系统中使用的用于增强v2x实体512的隐私的身份/标识符。
[0154]
如果注册机构512确定以下中的一项或多项：v2x实体510的dcpi，v2x实体510没有可确定的dcpi，或者v2x实体610的dcp对于v2x系统而言过低，其中确定包括使用在来自另一实体(另一实体为v2x实体510)的消息中接收的与v2x实体510相关联的网络安全数据，则在一个备选方案中，可以发生以下步骤。特别地，v2x实体510可以向注册机构512发送(未示
出)包括网络安全数据的消息(例如，注册请求)。注册机构512接收该消息并且存储接收的网络安全数据，或确定v2x实体510的dcpi，或确定v2x实体510没有可确定的dcpi，基于接收的网络安全数据确定v2x实体510的dcp对于v2x系统而言过低。注册机构可以向v2x实体510发送响应消息(如注册响应)，并且v2x实体610接收消息(未示出)。
[0155]
响应于接收到消息522、消息532和消息540中的一个或多个消息，v2x实体cpds 514确定以下中的一个或多个：v2x实体510的dcpi；v2x实体510没有可确定的dcpi；或者v2x实体510的dcp对于v2x系统而言过低。确定可以包括以下中的一个或多个：使用在消息522中接收的v2x实体更新数据、在消息532中接收的v2x实体异常检测数据、以及使用与v2x实体510相关联的网络安全数据。这样的网络安全数据可以在cpd请求540中接收，可以在数据库中查，可以从另一实体中检索，等等。
[0156]
v2x实体cpds 514向注册机构512发送cpd通知消息542。消息542可以包括以下中的一个或多个：dcpi；“无dcpi指示”；以及“dcp过低指示”。
[0157]
当注册机构512接收到消息542时，它可以存储接收的dcpi、无dcpi指示和dcp过低指示中的一个或多个。
[0158]
v2x实体510向授权机构516发送授权请求550。授权请求550.包括服务参数，并且可以包括网络安全数据。
[0159]
在接收到授权请求550之后，授权机构516向注册机构512发送授权验证请求消息552。授权验证请求包括服务参数，并且如果授权请求中提供有网络安全数据，则可以包括网络安全数据。
[0160]
注册机构512检索(例如从存储中)一个或多个先前存储的dcpi、无dcpi指示和dcp过低指示。注册机构512可以使用网络安全数据(如果可用)来验证一个或多个先前存储的dcpi、无dcpi指示和dcp过低指示，例如，以确定它们是否仍然有效。如果验证失败，例如，如果先前存储的指示被确定为不再有效，则注册机构512可以发送cpd请求540，并且可以如上所述接收cpd通知542，或者可以执行图4中的消息430、消息432、消息434、消息440、消息442和消息450中的一个或多个。
[0161]
注册机构512向授权机构516发送授权验证响应消息554，授权验证响应消息554包括dcpi、无dcpi指示和/或dcp过低指示。
[0162]
授权机构516接收消息554，并且向v2x实体510发送可以包含结果参数的授权响应556。响应556包括在授权验证响应消息554中接收的dcpi、无dcpi指示和/或dcp过低指示。dcpi、无dcpi指示和/或dcp过低指示可以被包括在授权票据/证书中，和/或无dcp指示和dcp过低指示可以作为值被包括在结果参数中。
[0163]
如果v2x实体510没有接收到dcpi(例如，接收的一个或多个证书中没有dcpi)，或接收到v2x实体确定为指示dcp低或不良的dcpi；接收到无dpi指示；和/或接收到dcp过低指示，则v2x实体510可以向更新服务器517发送“需要更新请求”消息560。这可以用于发起v2x实体更新的下载以改进/校正/增强v2x实体510的dcp。
[0164]
另外地或备选地，v2x实体510可以向车辆乘员指示需要v2x实体更新。例如，该指示可以是可听声音、仪表板上的灯点亮、显示单元上显示的信息、通过车辆内的扬声器发出的可听指示、或车辆内信息娱乐系统、仪表板或其他信号机制上的其他指示。例如，这可以发信号通知乘员开始更新过程。
[0165]
一旦更新被执行(例如，基于请求560，手动启动更新，例如由车辆乘员)，v2x实体510就可以重复图5中的消息传递，以便重新尝试或检索/获取新证书，以便在v2x系统中使用。
[0166]
如果v2x实体510接收到dcpi，例如在证书中，则v2x实体151可以向v2x实体519发送v2x消息570，v2x消息570包括在消息570中接收的dcpi。例如，这样的v2x消息570可以包括基本安全消息(bsm)、合作意识消息(cam)、集体感知消息(cpm)等。
[0167]
响应于接收到包括dcpi的v2x消息570，v2x实体519可以使用dcpi来确定接收的v2x消息的确定的可信度或完整性级别，如下所述。v2x实体519确定接收的v2x消息570的确定的可信度级别执行特定动作。例如，v2x实体519可以处理v2x消息，丢弃/忽略/无提示地抛弃v2x消息，在车辆中执行与v2x实体相关的操作，例如向用户显示警告(例如，消息或图标)，等等，或执行其他动作。
[0168]
v2x系统中的任何实体都可以确定可信度级别(或网络安全态势或网络安全完整性)，包括但不限于v2x实体、cpds服务器、注册机构、授权机构等。
[0169]
更新服务器可以是oma dm服务器或uptane服务器。异常检测服务器可以是ietf nea服务器，例如在ietf rfc 5209中定义的。v2x实体cpds可以包括ietf nea客户端，例如在ieeetf rfc5209中定义的。v1x实体510可以包括oma dm客户端和/或uptane客户端功能。
[0170]
在一些实施例中，授权机构516可以包括登记机构和/或授权证书机构。
[0171]
此外，图5所示的一个或多个实体可以彼此组合。此外，图5所示的数据流可以按照与所示不同的顺序执行。
[0172]
此外，图5所示的消息名称只是示例名称，并且可以使用不同的消息名称。
[0173]
基于图4和图5，第一v2x实体可以通过向授权机构发送第一消息来检索包括dcpi的证书，并且授权机构接收第一消息。第一v2x实体可以在第一消息中包括有关其网络安全态势的数据/信息，在本文中称为“网络安全数据”。在某些情况下，网络安全数据可以由v2x实体使用现有解决方案确定，例如ietf rfc 5209中所述的端点认证，等等。
[0174]
响应于接收到第一消息，授权机构向注册机构发送第二消息，第二消息可以包括网络安全数据，例如从授权机构确定的第一v2x实体接收的网络安全数据等。响应于接收到第二消息，注册机构然后确定第一v2x实体的dcpi，例如通过使用接收的网络安全数据或向v2x实体cpds发送第三消息，第三消息可以包括注册机构确定的可以从授权机构接收的网络安全数据等。
[0175]
授权机构或注册机构可以使用接收的网络安全数据(如从授权机构接收的、从v2x实体接收的或自己确定的)来确定dcpi。v2x实体cpds可以使用以下中的一个或多个确定dcpi：可能从授权机构或注册机构接收的或由其自行确定的接收的网络安全数据；可以从更新服务器接收的v2x实体更新数据；以及可以从异常检测服务器接收的v2x实体异常检测数据。
[0176]
v2x实体cpds可以通过从更新服务器接收消息来获取v2x实体更新数据，也可以通过从异常检测服务器接收消息来获取v2x实体异常检测数据。
[0177]
更新服务器可以向v2x实体cpds发送包括v2x实体更新数据的消息，这可以响应于接收到请求消息。异常检测服务器可以向v2x实体cpds发送包括v2x实体异常检测数据的消息，这可以响应于接收到请求消息。
[0178]
授权服务器或注册服务器或v2x实体cpds可以确定没有dcpi是可确定的，例如，如果没有信息或信息不足，或者第一v2x实体的网络安全态势被确定为过低而使得v2x实体无法参与v2x系统。
[0179]
在确定dcpi或确定没有dcpi可确定或确定第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统之后，v2x实体cpds向注册机构发送消息，该消息包括确定的dcpi、关于没有dcpi可确定的指示、和/或关于第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统的指示。v2x实体cpds可以响应于接收到请求消息而发送包括确定的dcpi、关于没有dcpi可确定的指示、和/或关于第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统的指示的消息。
[0180]
在确定dcpi或确定没有dcpi可确定或确定第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统或从v2x实体cpds接收到包括dcpi、关于没有dcpi可确定的指示、和/或关于第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统的指示的消息之后，注册机构向授权机构发送响应消息，该响应消息包括确定或接收的dcpi、关于没有dcpi可以确定的指示、和/或关于第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统的指示。
[0181]
在确定dcpi或确定没有dcpi可确定或确定第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统或从v2x实体cpds或注册机构接收到包括dcpi、关于没有dcpi可确定的指示、和/或关于第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统的指示的消息之后，授权机构随后向第一v2x实体发送响应消息，该响应消息包括确定或接收的dcpi、关于没有dcpi可确定的指示、和/或关于第一v2x实体的网络安全态势过低而使得v2x实体无法参与第一v2x实体的v2x系统的指示。
[0182]
发送给第一授权机构的响应消息和/或发送给v2x实体的响应消息中包括的dcpi可以(并且最好是)被包括在授权票据/证书中。第一授权机构的响应消息和/或v2x实体的响应消息中包括的关于没有dcpi可以确定的指示和/或关于第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统的指示可以包括结果代码字段中的值，例如响应代码。
[0183]
第一v2x实体从授权服务器接收响应消息，响应消息包括dcpi、关于没有dcpi可确定的指示、或关于第一v2x实体的网络安全态势过低而使得v2x实体无法参与v2x系统的指示。响应于接收到关于没有dcpi可以确定的指示和/或关于第一v2x实体的网络安全态势对于v2x实体而言过低而无法参与v2x系统的指示，第一v2x可以：请求新的v2x实体更新，例如向更新服务器；和/或向车辆乘员提供关于需要v2x实体更新的指示，包括发出可听声音、点亮灯(例如，在仪表板上)、在显示单元上显示消息或图标(例如，在信息娱乐系统上、在仪表盘上)等等。
[0184]
第一v2x实体可以随时从授权机构检索/获取新证书，这是由于例如以下中的一项或组合：第一v2x实体确定其在v2x系统中要使用的有效证书太少或没有更多有效证书；第一v2x实体检测到一个或多个证书被包括在证书撤销列表(crl)中/在其上指示；已经在第一v2x实体中安装/应用新的v2x实体更新；计时器到期；等等。
[0185]
网络安全数据的特性
[0186]
根据上述图4和图5的实施例，网络安全数据可以包括v2x实体的以下各项中的一
项或多项。
[0187]
在第一种情况下，网络安全数据可以包括v2x实体身份/标识符，例如规范id；证书，包括ieee 1609.2定义的证书，x.509定义的证书、入学证书、笔名/申请证书、授权票据；链接种子/值；互联网协议(ip)地址；主机名(可以包括域名)、统一资源定位符(url)、统一源指示符(uri)、网络访问标识符(nai)、访问令牌等。
[0188]
在另一种情况下，网络安全数据可以包括v2x实体或v2x实体组件的制造商、操作系统和/或应用的指示，其统称为“组件清单”或“物料清单”。
[0189]
在另一种情况下，网络安全数据可以包括一个或多个组件的版本(version)的指示，例如软件、固件、硬件或系统组件等。
[0190]
在另一种情况下，网络安全数据可以包括与网络服务器(如更新服务器、异常检测服务器、注册机构、授权机构等)的最后联系日期/时间。
[0191]
在另一种情况下，网络安全数据可以包括下载/安装组件(如软件、固件、硬件或系统组件)的日期/时间。这可以称为组件的日期/时间戳。
[0192]
在另一种情况下，网络安全数据可以包括v2x实体或组件中一个或多个缓解/解决的漏洞/网络安全问题(例如，常见漏洞和风险(cve))的指示。
[0193]
在另一种情况下，网络安全数据可以包括一个或多个保证/网络安全级别的指示。这可以包括c2x站点的信任保证级别(tal)、iso/sae 21434中定义的网络安全保证级别(cal)或isa/iec62443-3-3中定义的安全级别(sl)。
[0194]
在另一种情况下，网络安全数据可以包括检测到的一个或多个异常的指示。
[0195]
如上所述，网络安全数据可以是上述各项中的一项或多项的组合。
[0196]
动态网络安全态势信息(dcpi)的特性
[0197]
为了说明网络安全态势的动态方面，如图3所述，dcpi可以包括一个或多个日期/时间戳字段。日期/时间戳字段可以提供日期/时间：指示组成v2x实体的硬件和/或软件上次被审计/认证为网络安全的时间，例如，达到某个标准或等级，并且可以在证书的assurancelevel字段中指示，如下所述；提供由v2x实体下载和/或安装的最新安全补丁；提供v2x实体到更新服务器的最后连接；提供v2x实体与异常检测服务器的最后连接；提供软件(组件)构建(build)；等等。
[0198]
在某些情况下，dcpi的日期/时间戳字段中的值可以被模糊处理以增强发送v2x实体的隐私。这种模糊可能需要：仅月份和年份的指示；仅年份和季度的指示；预定义时间段指示的指示(例如，“时段1”)，其指示两个特定日期之间的任何时间(例如，2019-12-01 00:00与2020-01-08 23:59之间)；和/或相对时间段(例如，发送消息的时间)的指示，包括过去1周/月/年、过去3个月/周/年等。
[0199]
当v2x系统中的实体(如v2x实体、v2x实体cpds、注册机构、授权机构或其他实体(以下简称“v2x系统实体”))基于dcpi确定消息的可信度时，日期字段中的最近日期可以优先于较晚日期并且与其相比产生更高的可信度，或者在某些情况下，较晚日期可以优先于最近日期。
[0200]
另外地或备选地，dcpi包括已知漏洞的指示，这些漏洞是构成v2x实体的软件和/或硬件已经被缓解/修补的。这可以包括组件标识符的一个或多个指示的列表(如软件标识号(swin))，其中每个组件与已经缓解/修补的一个或多个漏洞相关。
[0201]
当v2x系统实体基于dcpi确定消息的可信度时，这些值可以是数字，或者较小的数字优先于较大的数字，或者较大的数字优先高于较小的数字。这些值可以被聚合，并且聚合的值用于确定可信度。除其他选项外，聚合可以包括将数字相加，用于产生平均值。
[0202]
还可以指示网络安全态势级别，这可以基于每个v2x实体，也可以基于每个组件，或这些的组合。网络安全态势级别可以包括指示级别的值，也可以具有与之相关的日期/时间。该值可以是数字值、字母值、字母数字值等。
[0203]
网络安全态势级别可以在v2x证书的现有字段中指示，如ieee1609.2中定义的主题保证/保证级别字段，或在新字段中指示。网络安全态势级别的值可以包括基于现有标准或方案的值。例如，该值可以是c2x站点的信任保证级别(tal)；iso/sae 21434中定义的cal；和/或isa/iec 62443-3-3中定义的sl。
[0204]
网络安全态势级别的值可以是数字、字母或字母数字。如果使用数值，则当v2x系统实体基于dcpi确定可信度时，较小的数字可以优先于较大的数字，或者较大的数字可以优先于较低的数字。如果示出了一个以上的网络安全态势级别，则可以聚合网络安全态势等级的所有值或子集，然后使用聚合值来确定可信度。聚合可以包括将网络安全态势级别相加，用于产生平均值，用于产生标准偏差，选择最高值，选择最低值，使用通用漏洞评分系统(cvss)定义的指标和评分，等等。
[0205]
备选地，所指示的相关网络安全态势级别可以包括基于以下中的一项或多项的值。在一种情况下，值可以指示软件版本或构建。在这种情况下，还可以提供软件详细信息的指示。例如，这可以是软件制造商/所有者/创建者/维护者的指示。
[0206]
在另一种情况下，值可以指示硬件版本或构建。在这种情况下，还可以提供硬件详细信息的指示。例如，该指示可以向软件制造商/所有者/创建者/维护者提供电路板和/或芯片组的指示等。
[0207]
在另一种情况下，值可以指示网络安全态势得分。
[0208]
在另一种情况下，值可以指示漏洞/网络安全得分。
[0209]
指示漏洞得分的值可以是网络安全漏洞评分系统(cvss)得分，也可以是v2x实体的聚合(和可以量化的)cvss得分。
[0210]
无dcpi指示的特性
[0211]
无dcpi指示可以是新的信息元素，也可以是现有信息元素中的值。例如，无dcpi指示可以是null类型的新信息元素(其存在指示没有dcpi可以确定)、现有结果/错误代码字段中的新值(其值指示没有dcpi可以确定)、新信息元素中的值(其值指示没有dcpi可以确定)等。无dcpi指示的目的是向接收v2x实体表明v2x实体的当前网络安全态势未知。也可以表示v2x实体需要更新/改进/增强其网络安全态势，这可以通过v2x实体对v2x实体的组件执行/安装/应用v2x实体更新来实现，例如通过从更新服务器下载v2x实体升级，通过从更新服务器接收v2x实体升级，如上图4和图5所示。
[0212]
v2x实体更新数据的特性
[0213]
v2x实体更新数据可以包括以下中的一项或多项。
[0214]
在第一种情况下，v2x实体更新数据可以包括v2x实体或v2x实体组件的制造商、操作系统和/或应用的指示(其统称为“组件清单”或“物料清单”)。
[0215]
在另一种情况下，v2x实体更新数据可以包括一个或多个组件的版本的指示或日
期/时间戳，例如swin。
[0216]
在另一种情况下，v2x实体更新数据可以包括上次与更新服务器联系的日期/时间。
[0217]
在另一种情况下，v2x实体更新数据可以包括下载/安装组件(如软件、固件、硬件或系统组件)的日期/时间。换言之，这是组件安装的日期/时间戳。
[0218]
v2x实体异常检测数据的特性
[0219]
v2x实体异常检测数据可以包括以下中的一项或多项。
[0220]
在第一种情况下，v2x实体异常检测数据可以包括v2x实体或v2x实体组件的制造商、操作系统和/或应用的指示(其统称为“组件清单”或“物料清单”)。
[0221]
在另一种情况下，v2x实体异常检测数据可以包括在一个或多个组件中检测到的异常数目和/或严重程度的指示。
[0222]
在另一种情况下，v2x实体异常检测数据可以包括上次与异常检测服务器联系的日期/时间。
[0223]
检测到的异常严重程度可以是网络安全漏洞评分系统(cvss)得分或聚合(和可以量化的)cvss得分，例如使用cvss定义的指标和得分。
[0224]
dcp过低指示的特性
[0225]
dcp过低指示可以是新的信息元素，也可以是现有信息元素中的值。例如，dcp过低指示可以是null类型的新信息元素(其存在指示v2x实体的dcp对于v2x系统而言过低)、现有结果/错误代码字段中的新值(其值指示v2x实体的dcp对于v2x系统而言过低)、或新信息元素中的值(其值指示v2x实体的dcp对于v2x系统而言过低)。
[0226]
dcp过低指示的目的是向接收v2x实体表明v2x实体的当前网络安全态势过低而使得v2x实体无法参与v2x系统。这也可以表示v2x实体需要更新/改进/增强其网络安全态势，这可以通过v2x实体对v2x实体组件执行/安装/应用v2x实体更新来实现，例如通过从更新服务器下载v2x实体升级，通过从更新服务器接收v2x实体升级，例如，关于上面图4和图5的实施例所述。
[0227]
当更新服务器或异常检测服务器处发生事件时，将v2x实体添加到crl中
[0228]
在另一实施例中，v2x实体可以进行以下中的一项或两项：向更新服务器发送请求消息，请求消息包括请求一个或多个v2x实体更新或请求与一个或多个v2x实体升级相关的信息；和/或向异常检测服务器发送请求消息，例如以报告检测到的异常，或为异常检测服务器检测异常提供信息。
[0229]
上述请求包括更新客户端的更新客户端身份/标识符(id)或异常检测客户端的异常检测客户端id，还可以包括v2x客户端id，例如规范id、与v2x实体相关联的v2x客户端的证书等。
[0230]
在接收到包括更新客户端id和一个或多个v2x客户端id的请求消息时，更新服务器存储更新客户端id与一个或多个v2x客户端id之间的关联。更新服务器还可以选择存储其他信息，例如更新客户端下载的v2x实体更新，包括版本信息、软件组件信息等。
[0231]
如果或当更新服务器处发生事件时，更新服务器可以向证书机构发送crl添加请求消息，该crl添加请求消息包括存储的一个或多个v2x客户端id，该v2x客户端id与与v2x实体中的更新客户端相关联的更新客户端id相关联。这样的事件可以包括自v2x实体上次
连接以检查v2x实体更新超过阈值的时间、以及在更新服务器中向v2x实体发起/安装/提供v2x实体升级的时间等。
[0232]
作为在更新服务器处发生事件时向证书机构发送消息的替代方法，更新服务器可以向v2x实体cpds发送通知更新服务器事件消息。例如，如果没有为更新客户端id存储关联的一个或多个v2x客户端id，则可能会发生这种情况。
[0233]
在接收到包括异常检测客户端id和一个或多个v2x客户端id的请求消息时，异常检测服务器存储异常检测id与一个或多个v2x客户端id之间的关联。如果或当异常检测服务器处发生事件时，异常检测服务器可以向证书机构发送crl添加请求消息，该crl添加请求消息包括存储的一个或多个v2x客户端id，该v2x客户端id与与v2x实体中的异常检测客户端相关联的异常检测客户端id相关联。这样的事件可以包括自v2x实体上次连接以报告异常或提供异常检测信息超过时间阈值的时间、在v2x实体中检测到新异常的时间等。
[0234]
作为在异常检测服务器处发生事件时向证书机构发送消息的替代方案，异常检测服务器可以向v2x实体cpds发送通知异常检测事件消息。在这种情况下，事件可以包括没有为异常检测客户端id存储关联的一个或多个v2x客户端id的情况。
[0235]
在接收到包括更新客户端id的通知更新服务器事件消息或包括异常检测客户端id的信息异常检测服务器事件消息时，v2x实体cpds可以确定与接收的更新客户端id或异常检测客户端id相关联的一个或多个v2x客户端id，并且可以向证书机构发送crl添加请求消息，该crl添加请求消息包括确定的一个或多个v2x客户端id。v2x实体cpds可以通过查询预配置的列表、存储或数据库等确定与接收的更新客户端id或异常检测客户端id相关联的一个或多个v2x客户端id。
[0236]
在从更新服务器、异常检测服务器或v2x实体cpds接收到crl添加请求之后，证书机构可以向一个或多个证书撤销列表(crl)中添加一个或多个条目，其中条目对应于与v2x客户端id标识的v2x实体相关联的一个或多个v2x证书。备选地，更新服务器、异常检测服务器、证书机构或v2x实体cpds可以向另一实体(例如crl存储、不当行为机构等)发送请求消息，以请求另一实体向一个或多个crl中添加一个或多个条目。
[0237]
随后，下载并且应用一个或多个crl的v2x系统的所有v2x实体将把v2x客户端/v2x实体列入黑名单，这可以包括忽略、自动丢弃或抛弃从v2x客户端/v2x实体接收的v2x消息等动作。
[0238]
如果v2x实体在一个或多个crl中发现一个或多个证书，则v2x实体可以采取补救动作，例如执行上述图4或图5的实施例。
[0239]
在某些情况下，v2x实体可以包括用于v2x消息传递(v2x客户端)和更新消息传递(更新客户端)的单独客户端，并且更新客户端可以没有可用的v2x客户端id。在这种情况下，更新客户端可以向v2x客户端发送v2x客户端id请求消息以获取一个或多个v2x客户端id。例如，这可以通过api或at命令来进行。
[0240]
v2x客户端从更新客户端接收v2x客户端id请求消息，并且向更新客户端发送包括一个或多个v2x客户端id的v2x客户端id响应消息。
[0241]
在其他情况下，v2x实体可以包括用于v2x消息传递(v2x客户端)和异常检测消息传递(异常检测客户端)的单独客户端，并且异常检测客户端可以没有可用的v2x客户端id。在这种情况下，异常检测客户端可以向v2x客户端发送v2x客户端id请求消息以获取一个或
多个v2x客户端id。这可以通过api或at命令来进行。
[0242]
v2x客户端从异常检测客户端接收v2x客户端id请求消息，并且向异常检测客户端发送包括一个或多个v2x客户端id的v2x客户端id响应消息。
[0243]
现在参考图6。在图6的实施例中，v2x实体610包括v2x客户端612以及更新客户端614。其他网络实体包括更新服务器616、v2x实体cpds 617和证书机构618，其可以包括一个或多个其他实体，例如“分发中心”(其可以分发一个或多个crl)、不当行为机构(其可以签名一个或多个crl)等。
[0244]
与图4和图5的实施例一样，图6示例中的虚线指示可选或条件消息流。
[0245]
在图6的示例中，更新客户端614可以向v2x客户端612发送v2x客户端id请求消息620。例如，如果更新客户端615没有任何或足够的v2x客户端id，则可以执行该操作。
[0246]
在接收到v2x客户端id请求消息620之后，v2x客户端612向更新客户端614发送v2x客户端id响应消息622，v2x客户端id响应消息622包括一个或多个v2x客户端id。
[0247]
更新客户端614或v2x实体610中的另一模块向更新服务器616发送“提取更新请求”消息630，消息630包括更新客户端id，也可以包括一个或多个v2x客户端id。这样的v2x客户端id可以已经在消息622中接收到。
[0248]
在接收到“提取更新请求”消息630之后，更新服务器616向更新客户端614或v2x实体610上的其他模块发送“提取更新响应”消息632，消息632可以包括一个或多个v2x实体更新或有关一个或多个v2x实体更新的信息。更新客户端614或v2x实体610上的其他模块接收“提取更新响应”消息632。更新客户端614或v2x实体610上的其他模块可以安装或应用v2x实体更新。例如，在某些情况下，这样的更新可以在“提取更新响应”消息632中接收。在其他情况下，这样的更新可以通过向更新服务器或另一服务器发起新消息等来接收。
[0249]
一段时间之后，发生事件a 640。事件a 640可以在接收到报告异常请求消息630之前发生，可以是以下一种或多种情况。
[0250]
在第一种情况下，事件a 640可以是超过从更新客户端614接收“提取更新请求”消息630的时间阈值。
[0251]
在另一种情况下，事件a 640可以是超过更新客户端614提取新更新的时间阈值。
[0252]
在另一种情况下，事件a 640可以是另一种事件类型。
[0253]
由于事件a 640的发生，更新服务器616可以执行以下两个动作中的一个。在第一种情况下，更新服务器616可以向证书机构618发送crl添加请求消息650，crl添加请求消息650包括一个或多个v2x客户端id，例如在消息630中接收的。
[0254]
可选地，更新服务器616可以向v2x实体cpds 617发送通知更新服务器事件消息660，该消息包括与更新客户端614或v2x实体610相关联的更新客户端id，例如在消息630中接收的。
[0255]
在某些情况下，如果更新服务器616未在消息630中接收到一个或多个v2x客户端id或未接收到消息630，则更新服务器615可以发送消息660而不是消息650。
[0256]
在接收到通知更新服务器事件消息660之后，v2x实体cpds 617确定与在通知事件消息661中接收的更新客户端id相关联的一个或多个v2x客户端id，然后将crl添加请求消息662发送到证书机构618。消息662包括一个或多个确定的v2x客户端id。一个或多个v2x客户端id的确定可以通过查询列表、存储或数据库来完成，也可以通过配置或预配置数据等
来完成。
[0257]
在发送消息662之前，假定v2x实体cpds 617已经配置有将更新客户端id与一个或多个v2x客户端id相关联的数据或信息。在这种情况下，v2x客户端id可以是在v2x实体610的生命周期内不会改变的身份/标识符，例如规范id。
[0258]
此外，如果更新服务器616向证书机构618发送crl添加请求消息650，则消息662可以被跳过。
[0259]
当从更新服务器616或v2x实体cpds 617接收到crl添加请求消息650或662时，证书机构618向证书撤销列表(crl)中添加与v2x实体相关的一个或多个条目，该条目由消息650和662中的一个或多个v2x客户端id标识，如框670所示。换言之，证书机构618将v2x客户端612或v2x实体610添加到crl中。
[0260]
向crl添加中与接收消息650或662的一个或多个v2x客户端id相关的一个或多个条目的动作可以涉及证书机构618向另一实体发送消息，例如crl存储或不当行为机构，该消息包括在消息650和消息662中接收的v2x客户端id。
[0261]
在添加到crl中之后，v2x实体610的v2x客户端612可以在一个或多个crl中发现一个或多个证书，并且可以采取补救动作。例如，补救动作可以是执行上述图4或图5的实施例。
[0262]
更新服务器616在某些情况下可以是oma dm服务器或uptane服务器。v2x客户端612在某些情况下可以包括oma dm客户端和/或uptane客户端功能。证书机构618可以是或可以包括不当行为机构，并且crl添加请求消息可以是或可以包括不当行为报告。
[0263]
图6所示的一个或多个实体可以彼此组合。此外，图6所示的消息传递可以按照与所示不同的顺序执行。
[0264]
代替或补充更新客户端，v2x实体可以包括异常检测客户端。现在参考图7。
[0265]
在图7的实施例中，v2x实体710包括v2x客户端712和异常检测客户端714。
[0266]
与图4、图5和图6的实施例一样，图7示例中的虚线指示可选或条件消息流。
[0267]
网络还包括异常检测服务器716、v2x实体cpds 717和证书机构718。
[0268]
在图7的示例中，异常检测客户端714可以向v2x客户端712发送v2x客户端id请求消息720。例如，如果异常检测客户端714没有任何或足够的v2x客户端id，则可以这样做。
[0269]
在接收到v2x客户端id请求消息720之后，v2x客户端712向异常检测客户端714发送v2x客户端id响应消息722，v2x客户端id响应消息722包括一个或多个v2x客户端id。
[0270]
异常检测客户端714向异常检测服务器716发送报告异常请求消息730，报告异常请求消息730包括异常检测客户端id，还可以包括一个或多个v2x客户端id。这样的v2x客户端id可以在消息722中接收。
[0271]
在接收到报告异常请求消息730之后，异常检测服务器716可以向异常检测客户端714发送报告异常更新响应消息732。
[0272]
一段时间之后，发生事件b 740。事件b 740可以在接收到报告异常请求消息730之前发生，并且可以是以下一种或多种情况。
[0273]
在第一种情况下，事件b 740可以是超过从异常检测客户端714接收报告异常请求消息730的时间阈值。
[0274]
在另一种情况下，事件b 740可以是在v2x实体710和/或异常检测客户端714中检
测到异常。
[0275]
在另一种情况下，事件b 740可以是另一种事件类型。
[0276]
由于发生事件b 740，异常检测服务器716可以执行两个动作中的一个。在第一种情况下，异常检测服务器716可以向证书机构718发送crl添加请求消息750，crl添加请求消息750包括一个或多个v2x客户端id，例如在消息730中接收的。
[0277]
备选地，异常检测服务器716可以向v2x实体cpds 717发送通知异常检测服务器事件消息760，通知异常检测服务器事件消息760包括与异常检测客户端714或v2x实体710相关联的异常检测客户端id，例如在消息730中接收的。
[0278]
在某些情况下，如果异常检测服务器716没有在消息730中接收到一个或多个v2x客户端id，或者没有接收到消息730，则异常检测服务器726可以发送消息760而不是消息750。
[0279]
在接收到通知异常检测服务器事件消息760之后，v2x实体cpds 717确定与在通知异常检测服务事件消息766中接收的异常检测客户端id相关联的一个或多个v2x客户端id，然后将crl添加请求消息762发送给证书机构718。消息762包括一个或多个确定的v2x客户id。一个或多个v2x客户端id的确定可以通过查询列表、存储或数据库来完成，也可以通过配置或预配置数据等来完成。
[0280]
在发送消息762之前，假定v2x实体cpds 717已经配置有将异常检测客户端id与一个或多个v2x客户端id相关联的数据或信息。在这种情况下，v2x客户端id可以是在v2x实体710的生命周期内不会改变的身份/标识符，例如规范id。
[0281]
此外，如果异常检测服务器716向证书机构718发送crl添加请求消息750，则消息762可以被跳过。
[0282]
当从异常检测服务器716或v2x实体cpds 717接收到crl添加请求消息750或762时，证书机构718向证书撤销列表(crl)中添加与v2x实体相关的一个或多个条目，该条目由消息750或772中的一个或多个v2x客户端id标识，如框770所示。换言之，证书机构718将v2x客户端712或v2x实体710添加到crl中。
[0283]
向crl中添加与接收消息750或762的一个或多个v2x客户端id相关的一个或多个条目的动作可以涉及证书机构718向另一实体(如crl存储或不当行为机构)发送消息，该消息包括在消息750或1762中接收的v2x客户端id。
[0284]
在添加到crl中之后，v2x客户端712或v2x实体710可以在一个或多个crl中发现一个或多个证书，并且可以采取补救动作。例如，补救动作可以是执行上述图4或图5的实施例。
[0285]
在某些情况下，异常检测服务器716可以是ietf rfc 5209中定义的ietf nea服务器。在某些情况下，异常检测客户端714可以包括ietf rfc 5209中定义的ietf nea客户端。证书机构可以是或可以包括不当行为机构，并且crl添加请求消息可以是或可以包括不当行为报告。
[0286]
图7所示的一个或多个实体可以彼此组合。此外，图7所示的消息传递可以按照与所示不同的顺序执行。
[0287]
v2x客户端id的特性
[0288]
v2x实体id标识v2x实体和/或v2x客户端，并且可以由以下中的一项或多项组成：
规范id；如ieee 1609.2定义的证书，如x.509定义的证书、入学证书、申请证书或授权票据；链接种子/值；ip地址；主机名，其可以包括域名/完全限定域名(fqdn)；url；uri；nai；设备id；国际移动设备身份(imei)；swin；等等。
[0289]
更新客户端id的特性
[0290]
更新客户端id标识更新客户端和/或v2x实体，并且可以由以下中的一项或多项组成：ip地址；主机名，其可以包括域名/fqdn；url；uri；nai；设备id；imei；swin；等等。
[0291]
异常检测客户端id的特性
[0292]
异常检测客户端id标识异常检测客户端和/或v2x实体，并且可以由以下中的一项或多项组成：ip地址；主机名，其可以包括域名/fqdn；url；uri；nai；设备id；imei；swin；等等
[0293]
协议变化
[0294]
ieee 1609.2中的“tobesignedcertificate”asn.1定义的示例变化参见以下附录，其中包括新引入的网络安全态势级别的多个选项。
[0295]
特别地，支持图4和图5实施例的协议变化参见下文附录a。在附录a中，表3至17对以粗体显示的现有协议进行了改变。
[0296]
支持图6和图7实施例的协议变化参见下文附录b。在附录b中，表18对以粗体显示的现有协议进行了改变。
[0297]
硬件
[0298]
v2x实体、v2x客户端、注册机构、v2x实体cpds、授权机构、更新服务器、异常检测服务器、证书机构或网络服务器或节点可以是任何类型的计算设备。例如，关于图8，提供了一种可以执行上述实施例的简化计算设备。
[0299]
在图8中，计算设备810包括处理器820和通信子系统830，其中处理器820和通信子系统830合作以执行本文所述实施例的方法。
[0300]
处理器820被配置为执行可编程逻辑，该可编程逻辑可以与数据一起存储在计算设备810上，并且在图8的示例中示出为存储器840。存储器840可以是任何有形的非暂态的计算机可读存储介质，诸如dram、flash、光盘(例如，cd、dvd等)、磁带(例如，磁带)、闪存驱动器、硬盘驱动器、或本领域已知的其他存储器。在一个实施例中，处理器820也可以完全用硬件实现，并且不需要任何存储程序来执行逻辑功能。
[0301]
备选地或除了存储器840，计算设备810还可以从外部存储介质访问数据或可编程逻辑，例如通过通信子系统830。
[0302]
通信子系统830允许计算设备810与其他设备或网元通信。
[0303]
在一个实施例中，计算设备810的各个元件之间的通信可以通过内部总线860。然而，其他形式的通信也是可能的。
[0304]
本文中描述的实施例是具有与本技术的技术的元素相对应的元素的结构、系统或方法的示例。本书面描述可以使得本领域技术人员能够制作和使用具有备选元素的实施例，备选元素同样对应于本技术技术的元素。因此，本技术的技术的预期范围包括与本文中描述的本技术的技术没有区别的其他结构、系统或方法，还包括与本文中描述的本技术技术无实质区别的其他结构、系统或方法。
[0305]
虽然在附图中以特定顺序描述了操作，但这不应当理解为要求这样的操作按照所
示的特定顺序或以依次顺序执行，或者要求执行所有图示操作，以获取理想的结果。在某些情况下，可以使用多任务和并行处理。此外，上述实现中不同系统组件的分离不应当理解为在所有实现中都需要这样的分离，应当理解，所描述的程序组件和系统通常可以集成在一个软件产品中或打包成多个软件产品。在某些情况下，功能可以完全在硬件中执行，并且这样的解决方案在功能上可能等同于软件解决方案。
[0306]
此外，在各种实现中描述和说明为离散的或单独的技术、系统、子系统和方法可以与其他系统、模块、技术或方法组合或集成。示出或讨论为彼此耦合或直接耦合或通信的其他项目可以通过某种接口、设备或中间组件间接耦合或通信，无论是电气、机械还是其他。本领域技术人员可以确定并且可以进行改变、替换和变更的其他示例。
[0307]
虽然上述详细描述已经示出、描述并且指出了本公开应用于各种实现的基本新颖特征，但应当理解，本领域技术人员可以对所示系统的形式和细节进行各种省略、替换和改变。此外，方法步骤的顺序并不取决于它们在权利要求中的出现顺序。
[0308]
当向电子设备发送消息或从电子设备发送消息时，这样的操作可能不会立即进行，也不会直接从服务器进行。它们可以从支持本文所述设备/方法/系统的服务器或其他计算系统基础设施同步或异步递送。上述步骤可以全部或部分包括与设备/基础设施的同步/异步通信。此外，通信可以是从电子设备到网络上的一个或多个端点。这些端点可以由服务器、分布式计算系统、流处理器等提供服务。内容交付网络(cdn)也可以向电子设备提供通信。例如，与典型的服务器响应不同，服务器还可以为内容交付网络(cdn)提供或指示数据，以等待稍后由电子设备下载，例如电子设备的后续活动。因此，数据可以直接从服务器或其他基础设施(诸如分布式基础设施或cdn)发送，该基础设施是系统的一部分或独立于系统。
[0309]
通常，存储介质可以包括以下中的任何或某种组合：半导体存储器设备，诸如动态或静态随机存取存储器(dram或sram)、可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器和闪存；磁盘，诸如固定、软盘和可移动磁盘；另一种磁性介质，包括磁带；光盘(诸如压缩光盘(cd)或数字视频光盘(dvd))；或其他类型的存储设备。注意，上述指令可以在一个计算机可读或机器可读存储介质上提供，或者也可以在分布在可能具有多个节点的大型系统中的多个计算机可读/机器可读存储介质上提供。这样的计算机可读或机器可读存储介质被视为物品(或制品)的一部分。物品或制品可以是指任何制造的单个组件或多个组件。一种或多种存储介质可以位于运行机器可读指令的机器上，也可以位于远程站点处，可以通过网络从该远程站点下载机器可读指令以执行。
[0310]
在上述描述中，阐述了很多细节，以提供对本文中公开的主题的理解。然而，在实践中可以没有这些细节。其他实现可以包括对上述细节的修改和变化。所附权利要求旨在涵盖这样的修改和变化。
[0311]
附录a
[0312][0313][0314]
表3：ieee 1609.2asn.1——证书定义的示例变化
[0315][0316]
表4：etsi ts 102 941——authorizationvalidationresponse消息的示例变化
[0317][0318]
表5：“dynamiccybersecuritypostureinfo”的示例asn.1定义
[0319][0320]
表6：“cybersecurityposturelevel”的示例asn.1定义(1)
[0321][0322]
表7：“cybersecurityposturelevel”的示例asn.1定义(2)
[0323][0324]
[0325]
表8：“componentmanifest”的示例asn.1定义
[0326]
无dcpi指示和dcp过低指示的协议变化
[0327]
[0328][0329]
表9：etsi ts 102 941——authorizationvalidationresponse消息的示例变化1
[0330][0331]
表10：etsi ts 102 941——authorizationvalidationresponse消息的示例变化2
[0332]
[0333][0334]
[0335]
表11：etsi ts 102 941——authorizationresponse消息的示例变化1
[0336][0337]
表12：etsi ts 102 941[5]——authorizationresponse消息的示例变化2
[0338]
网络安全数据的协议变化
[0339]
网络安全数据协议的变化与dcpi协议类似，因为这两者可以包括相似或相同的信息。
[0340][0341][0342]
表13：etsi ts 102 941[5]asn——权限请求的示例变化
[0343][0344]
表14：etsi ts 102 941[5]asn——验证请求的示例变化
[0345][0346]
表15：“cybersecuritydata”的示例asn.1定义v2x实体更新数据和v2x实体异常检测数据的协议变化
[0347][0348][0349]
表16：v2x实体更新数据和v2x实体异常检测数据的示例asn.1定义
[0350]
消息cpd请求/响应、v2x实体更新状态请求/响应和v2x实体异常检测状态请求/响应的协议变化
[0351]
[0352]
[0353]
[0354]
[0355]
[0356][0357]
[0358]
表17：消息cpd请求/响应、v2x实体更新状态请求/响应和v2x实体异常检测状态请求/响应的示例asn.1定义
[0359]
附录b
[0360]
消息提取更新请求/响应、报告异常请求/响应，通知更新服务器事件、通知异常检测服务器事件和crl添加请求的协议变化
[0361]
[0362]
[0363]
[0364]
[0365][0366]
表18：消息提取更新请求、通知更新服务器事件、通知异常检测服务器事件和crl添加请求的示例asn.1定义

技术特征：

1.一种网元处的方法，所述方法包括：在所述网元处接收至少一个消息，所述至少一个消息是以下中的一者或两者：来自更新服务器的更新状态信息消息；以及来自异常检测服务器的异常检测状态信息消息；基于接收所述至少一个消息，确定针对智能交通系统实体的动态网络安全态势指示；以及向注册机构提供针对所述智能交通系统实体的所述动态网络安全态势指示，其中所述动态网络安全态势指示能够被包括在与所述智能交通系统实体相关的证书中。2.根据权利要求1所述的方法，其中接收所述至少一个消息是基于被发送到所述更新服务器和所述异常检测服务器中的至少一者的状态请求。3.根据权利要求1所述的方法，其中所述网络实体还：从所述注册机构接收网络安全态势确定请求，所述网络安全态势确定请求包含关于所述智能交通系统实体的网络安全数据；以及当确定针对所述智能交通系统实体的所述动态网络安全态势指示时，使用关于所述智能交通系统实体的所述网络安全数据。4.根据权利要求1所述的方法，其中所述动态网络安全态势指示是以下中的一项：动态网络安全态势信息；无法提供动态网络安全态势信息的指示；动态网络安全态势针对所述智能交通系统来说过低的指示。5.根据权利要求4所述的方法，其中所述动态网络安全态势信息是以下中的一项或多项：提供关于所述智能交通系统实体上次被审计为网络安全的时间的信息的时间戳字段；向所述更新服务器提供上次连接日期的信息的时间戳字段；提供关于所述智能交通系统实体上次连接到异常检测服务器的时间的信息的时间戳字段；所述智能交通系统实体已经缓解所针对的已知漏洞的指示；网络安全态势级别；针对所述智能交通系统实体的硬件版本或构建；针对所述智能交通系统实体的软件版本或构建；网络安全态势得分；以及漏洞得分。6.根据权利要求4所述的方法，其中无法提供动态网络安全态势信息的所述指示包括信息元素或信息元素内的字段。7.根据权利要求4所述的方法，其中动态网络安全态势针对所述智能交通系统来说过低的所述指示包括信息元素或信息元素内的字段。8.根据权利要求1所述的方法，还包括：在所述网元处接收信息消息，所述信息消息来自所述更新服务器和所述异常检测服务器中的一者，所述信息消息指示针对所述智能交通系统实体已经发生的事件；以及
基于接收所述信息消息，向针对所述智能交通系统实体的证书机构发送证书撤销列表添加请求。9.根据权利要求8所述的方法，其中在发送所述证书撤销列表添加请求之前，所述网络实体基于在所述信息消息中接收的客户端标识符确定针对所述智能交通系统实体的一个或多个标识符。10.根据权利要求9所述的方法，其中所述一个或多个标识符是针对所述智能交通系统实体的规范标识符。11.一种网元，包括：处理器；以及通信子系统，其中所述网元被配置为：在所述网元处接收至少一个消息，所述至少一个消息是以下中的一者或两者：来自更新服务器的更新状态信息消息；以及来自异常检测服务器的异常检测状态信息消息；基于接收所述至少一个消息，确定针对智能交通系统实体的动态网络安全态势指示；以及向注册机构提供针对所述智能交通系统实体的所述动态网络安全态势指示，其中所述动态网络安全态势指示能够被包括在与所述智能交通系统实体相关的证书中。12.根据权利要求11所述的网元，其中所述网元被配置为：基于被发送到所述更新服务器和所述异常检测服务器中的至少一者的状态请求，接收所述至少一个消息。13.根据权利要求11所述的网元，其中所述网络实体还被配置为：从所述注册机构接收网络安全态势确定请求，所述网络安全态势确定请求包含关于所述智能交通系统实体的网络安全数据；以及当确定针对所述智能交通系统实体的所述动态网络安全态势指示时，使用关于所述智能交通系统实体的所述网络安全数据。14.根据权利要求11所述的网元，其中所述动态网络安全态势指示是以下中的一项：动态网络安全态势信息；无法提供动态网络安全态势信息的指示；动态网络安全态势针对所述智能交通系统来说过低的指示。15.根据权利要求14所述的网元，其中所述动态网络安全态势信息是以下中的一项或多项：提供关于所述智能交通系统实体上次被审计为网络安全的时间的信息的时间戳字段；向所述更新服务器提供上次连接日期的信息的时间戳字段；提供关于所述智能交通系统实体上次连接到异常检测服务器的时间的信息的时间戳字段；所述智能交通系统实体已经缓解所针对的已知漏洞的指示；网络安全态势级别；针对所述智能交通系统实体的硬件版本或构建；
针对所述智能交通系统实体的软件版本或构建；网络安全态势得分；以及漏洞得分。16.根据权利要求14所述的网元，其中无法提供动态网络安全态势信息的所述指示包括信息元素或信息元素内的字段。17.根据权利要求14所述的网元，其中动态网络安全态势对于所述智能交通系统来说过低的所述指示包括信息元素或信息元素内的字段。18.根据权利要求11所述的网元，其中所述网元还被配置为：在所述网元处接收信息消息，所述信息消息来自所述更新服务器和所述异常检测服务器中的一者，所述信息消息指示针对所述智能交通系统实体已经发生的事件；以及基于所述信息消息的所述接收，向针对所述智能交通系统实体的证书机构发送证书撤销列表添加请求。19.根据权利要求18所述的网元，其中在发送所述证书撤销列表添加请求之前，所述网络实体被配置为基于在所述信息消息中接收的客户端标识符确定针对所述智能交通系统实体的一个或多个标识符。20.根据权利要求19所述的网元，其中所述一个或多个标识符是针对所述智能交通系统实体的规范标识符。21.一种计算机可读介质，用于存储指令代码，所述指令代码在由网元的处理器执行时使得所述网元：在所述网元处接收至少一个消息，所述至少一个消息是以下中的一者或两者：来自更新服务器的更新状态信息消息；以及来自异常检测服务器的异常检测状态信息消息；基于接收所述至少一个消息，确定针对智能交通系统实体的动态网络安全态势指示；以及向注册机构提供针对所述智能交通系统实体的所述动态网络安全态势指示，其中所述动态网络安全态势指示能够被包括在与所述智能交通系统实体相关的证书中。

技术总结

一种在网元处的方法，该方法包括在网元处接收至少一个消息，该至少一个消息是以下中的一者或两者：来自更新服务器的更新状态信息消息；以及来自异常检测服务器的异常检测状态信息消息；基于接收至少一个消息，确定针对智能交通系统实体的动态网络安全态势指示；以及向注册机构提供针对智能交通系统实体的动态网络安全态势指示，其中动态网络安全态势指示能够被包括在与智能交通系统实体相关的证书中。够被包括在与智能交通系统实体相关的证书中。够被包括在与智能交通系统实体相关的证书中。

技术研发人员：

N

受保护的技术使用者：

黑莓有限公司

技术研发日：

2021.04.28

技术公布日：

2022/12/22