具体实施方式

为了更好地理解本发明的原理，下面参考附图更详细地说明本发明的示例性实施例。为了说明与清楚地理解这里描述的设备、系统和方法相关的各方面，可能对这里提供的附图和描述进行了简化，同时为了清楚起见，消除了在典型的设备、系统和方法中可以找到的其它方面。本领域普通技术人员可以认识到，为了实现这里描述的设备、系统和方法，可能期望和/或需要其它元素和/或操作。因为这些元素和操作在本领域中是公知的，并且因为它们不促进对本公开的更好的理解，因此这里不提供对这些元素和操作的讨论。然而，本公开被视为固有地包括所有这些元素、变化和本领域普通技术人员已知的对所描述的各方面的修改。

下面，更详细地描述经典蝴蝶密钥扩展方案和统一蝴蝶密钥扩展方案。

图1示出了经典蝴蝶密钥扩展方案的流程图。在经典蝴蝶密钥扩展方案中，请求设备DEV创建一个签名密钥对(s,S＝s·G)和附加的加密密钥对(e,E＝e·G)，其中，G是椭圆曲线群的生成器。将这些初始密钥对称为幼虫(caterpillar)密钥对。此外，请求设备DEV创建两个伪随机函数f₁和f₂。然后，请求设备DEV将伪随机函数f₁和f₂以及幼虫密钥对的公共部分S和E发送给注册机构RA。注册机构RA使用所提供的函数f₁和f₂将公共幼虫密钥S和E扩展为n个公共茧(cocoon)签名密钥和茧加密密钥其中，对于n的任意值，0≤i<n。注册机构RA为每个公共茧签名密钥创建一个证书签名请求CSR，并且将其与对应的公共茧加密密钥一起发送给假名证书颁发机构PCA。从请求设备DEV发送用于产生所需数量的证书的信息的那一刻起，注册机构RA就一直这样做。在该步骤中，注册机构RA将来自不同的请求设备DEV的证书签名请求CSR一起打乱。然后，假名证书颁发机构PCA必须首先通过添加真随机数r_i来为每个证书签名请求CSR创建公共蝴蝶密钥：假名证书颁发机构PCA在证书签名请求CSR中插入所产生的公共蝴蝶密钥并且对其进行签名以创建假名证书cert_i。然后，假名证书颁发机构PCA使用公共茧加密密钥将证书cert_i与随机数r_i一起加密。最后，假名证书颁发机构PCA在将加密的响应发送回注册机构RA之前，对加密的响应进行签名。注册机构RA存储来自假名证书机构PCA的加密的响应，直到请求设备DEV为了下载它们而再次在线。

图2示出了统一蝴蝶密钥扩展方案的流程图。在统一蝴蝶密钥扩展方案中，请求设备DEV创建一个签名密钥对(s,S＝s·G)，其中，G是椭圆曲线群的生成器。将该初始密钥对称为幼虫密钥对。此外，请求设备DEV创建伪随机函数f₁。然后，请求设备DEV将伪随机函数f₁和幼虫密钥对的公共部分S发送给注册机构RA。注册机构RA使用所提供的函数f₁将公共幼虫密钥S扩展为n个公共茧签名密钥其中，对于n的任意值，0≤i<n。注册机构RA为每个公共茧签名密钥创建证书签名请求CSR，并将其发送给假名证书颁发机构PCA。从请求设备DEV发送用于产生所需数量的证书的信息的那一刻起，注册机构RA就一直这样做。在该步骤中，注册机构RA将来自不同的请求设备DEV的证书签名请求CSR一起打乱。然后，假名证书颁发机构PCA必须首先通过添加真随机数r_i来为每个证书签名请求CSR创建公共蝴蝶密钥：假名证书颁发机构PCA在证书签名请求CSR中插入产生的公共蝴蝶密钥并且对其进行签名以创建假名证书cert_i。然后，假名证书颁发机构PCA使用公共茧签名密钥对证书cert_i和随机数r_i进行加密。最后，假名证书颁发机构PCA将加密的响应发送回注册机构RA。

在经典蝴蝶密钥扩展方案和统一蝴蝶密钥扩展方案两者中，假名证书颁发机构PCA的行为不同于传统的证书颁发机构的行为，传统的证书颁发机构在将证书签名请求CSR未加密地发送回之前，按原样采用证书签名请求CSR并且对其进行签名。

为了保留经典蝴蝶密钥扩展方案和统一蝴蝶密钥扩展方案的优点、例如带宽节约或者证书的恒定的预产生，在仅传统的证书颁发机构可用的情况下，根据当前的原理，对注册机构执行的步骤进行修改。保留在请求设备侧进行的处理。

图3示出了利用传统的证书颁发机构工作的第一蝴蝶密钥扩展方案的流程图，其基于经典蝴蝶密钥扩展方案。请求设备DEV创建两个幼虫密钥对、即一个签名密钥对(s,S＝s·G)和附加的加密密钥对(e,E＝e·G)，其中，G是椭圆曲线群的生成器。此外，请求设备DEV创建两个伪随机函数f₁和f₂。然后，请求设备DEV将伪随机函数f₁和f₂以及幼虫密钥对的公共部分S和E发送给注册机构RA。注册机构RA使用所提供的函数f₁和f₂将公共幼虫密钥S和E扩展为n个公共茧签名密钥和茧加密密钥其中，对于n的任意值，0≤i<n。与经典蝴蝶密钥扩展方案相反，现在，注册机构RA采用公共茧签名密钥并且通过添加真随机数r_i来创建公共蝴蝶密钥：因此，公共蝴蝶密钥的创建不再由证书颁发机构CA来执行。注册机构RA在单独的证书签名请求CSR中插入公共蝴蝶密钥并且将证书签名请求CSR发送到传统的证书颁发机构CA。证书颁发机构CA对证书签名请求CSR进行签名，并且立即将所产生的假名证书cert_i发送回。现在，注册机构RA采用公共茧加密密钥并且将假名证书cert_i与用于产生公共蝴蝶密钥的随机数r_i一起加密。然后，注册机构RA对加密的包进行签名，并且提供结果供请求设备DEV下载。

图4示出了利用传统的证书颁发机构工作的第二蝴蝶密钥扩展方案的流程图，其基于统一蝴蝶密钥扩展方案。请求设备DEV创建一个幼虫密钥对、即签名密钥对(s,S＝s·G)，其中，G是椭圆曲线群的生成器。此外，请求设备DEV创建伪随机函数f₁。然后，请求设备DEV将伪随机函数f₁和幼虫密钥对的公共部分S发送给注册机构RA。注册机构RA使用所提供的函数f₁将公共幼虫密钥S扩展为n个公共茧签名密钥其中，对于n的任意值，0≤i<n。与统一蝴蝶密钥扩展方案相反，现在，注册机构RA采用公共茧签名密钥并且通过添加真随机数r_i来创建公共蝴蝶密钥：因此，公共蝴蝶密钥的创建不再由证书颁发机构CA执行。注册机构RA在单独的证书签名请求CSR中插入公共蝴蝶密钥并且将证书签名请求CSR发送给传统的证书颁发机构CA。证书颁发机构CA对证书签名请求CSR进行签名，并且立即将所产生的假名证书cert_i发送回。现在，注册机构RA采用公共茧签名密钥并且将假名证书cert_i与用于产生公共蝴蝶密钥的随机数r_i一起加密。然后，注册机构RA提供加密的包供请求设备DEV下载。

在可应用于图3和图4所示的蝴蝶密钥扩展方案的稍微修改的方法中，注册机构RA可以跳过创建公共蝴蝶密钥的步骤，替代地在证书签名请求CSR中使用公共茧签名密钥除了响应包现在不包括r_i之外，其它一切保持不变。请求设备DEV必须相应地改变其密钥推导函数，用于计算假名证书cert_i的相应的私钥。

在图5中示出了根据当前原理的用于实现蝴蝶密钥扩展方案的方法的流程图。在第一步骤中，从请求设备接收S1私有/公共幼虫签名密钥对的公共幼虫签名密钥和第一伪随机函数。此外，可以从请求设备接收S1私有/公共幼虫加密密钥对的公共幼虫加密密钥和第二伪随机函数。使用第一伪随机函数将公共幼虫签名密钥扩展S2为公共茧签名密钥。类似地，可以使用第二伪随机函数将幼虫加密密钥扩展S2为公共茧加密密钥。然后，基于公共茧签名密钥，例如通过可选地从每个公共茧签名密钥创建S3公共蝴蝶签名密钥，并且将每个公共蝴蝶签名密钥插入对应的证书签名请求中，来产生S4证书签名请求。例如可以使用随机数，从公共茧签名密钥，来创建S3公共蝴蝶签名密钥。替换地，可以通过将每个公共茧签名密钥插入对应的证书签名请求中来产生S4证书签名请求。随后，将证书签名请求发送S5到证书颁发机构模块。作为响应，从证书颁发机构模块接收S6签名的假名证书。然后，对签名的假名证书进行加密S7以产生响应包。为此，可以使用公共茧签名密钥或者公共茧加密密钥。在使用随机数从公共茧签名密钥创建S3公共蝴蝶签名密钥的情况下，优选将这些随机数包含在响应包中。可以进一步对所产生的响应包进行签名S8，并且提供S9以供请求设备下载。

在图6中示出了被配置为用于实现蝴蝶密钥扩展的根据当前原理的注册机构模块RA的第一实施例的框图。注册机构模块RA具有第一传输模块11，其被配置为用于经由第一接口10从请求设备DEV接收私有/公共幼虫签名密钥对的公共幼虫签名密钥和第一伪随机函数。此外，第一传输模块11可以被配置为用于从请求设备DEV接收私有/公共幼虫加密密钥对的公共幼虫加密密钥和第二伪随机函数。扩展模块12被配置为用于使用第一伪随机函数将公共幼虫签名密钥扩展为公共茧签名密钥。类似地，扩展模块12可以被配置为用于使用第二伪随机函数将幼虫加密密钥扩展为公共茧加密密钥。生成器模块13被配置为用于，基于公共茧签名密钥，例如通过从每个公共茧签名密钥创建公共蝴蝶签名密钥，并且将每个公共蝴蝶签名密钥插入对应的证书签名请求中，来产生证书签名请求。例如可以使用随机数，从公共茧签名密钥，创建公共蝴蝶签名密钥。替换地，生成器模块13可以被配置为用于通过将每个公共茧签名密钥插入对应的证书签名请求中来产生证书签名请求。第二传输模块14被配置为用于通过第二接口将证书签名请求发送到证书颁发机构模块CA，并且从证书颁发机构模块CA接收签名的假名证书。加密模块15被配置为用于对签名的假名证书进行加密，以产生响应包。为此，可以使用公共茧签名密钥或者公共茧加密密钥。在使用随机数从公共茧签名密钥创建公共蝴蝶签名密钥的情况下，优选将这些随机数包括在响应包中。可以进一步对所产生的响应包进行签名并且提供，以供请求设备DEV经由第一接口10下载。

注册机构模块RA的各个模块11-15可以由控制模块16控制。可以提供用户接口19，以使得用户能够修改不同的模块11-16的设置。在注册机构模块RA中可用的数据可以存储在本地存储单元17中，例如用于稍后的评估，或者用于由注册机构模块RA的各个部件使用。可以作为专用硬件单元来实施不同的模块11-16。当然，它们同样可以完全或者部分组合成单个单元，或者作为在处理器、例如GPU或者CPU上运行的软件来实现。也可以将第二接口19与第一接口10组合成单个双向接口。

在图7中示出了被配置为用于实现蝴蝶密钥扩展的根据当前原理的注册机构模块RA的第二实施例的框图。注册机构模块RA包括处理设备20和存储指令的存储设备21，当执行指令时，指令使注册机构模块RA执行根据所描述的方法之一的步骤。

例如，处理设备20可以是被适配为用于执行根据所描述的方法之一的步骤的处理器。在根据当前原理的实施例中，所述适配包括：配置处理器，例如对处理器进行编程，以执行根据所描述的方法之一的步骤。这里使用的处理器可以包括一个或多个处理单元、例如微处理器、数字信号处理器或者其组合。

注册机构模块RA具有用于(特别是从请求设备)接收数据的输入端22。使得通过处理设备20产生的数据在输出端23处可用。它们同样可以存储在存储设备21中。输入端22和输出端23可以组合成双向接口。

本地存储单元17和存储设备21可以包括易失性和/或非易失性的存储区域以及诸如硬盘驱动器和DVD驱动器的存储设备。存储器的一部分是处理设备20可读的非暂时性的程序存储设备，其有形地实施处理设备20可执行的指令的程序，用以执行这里描述的根据当前原理的程序步骤。。

在一个实施例中，计算机程序包括程序代码，当由计算系统执行时，程序代码使计算系统执行根据当前原理的方法。

图8示意性地示出了安全凭证管理系统SCMS的系统图。仅示出了与当前原理相关的安全凭证管理系统SCMS的元素。基本上，安全凭证管理系统SCMS包括请求设备DEV、例如运输车辆或者移动通信设备、至少一个注册机构模块RA和至少一个证书机构模块CA。请求设备DEV将公共幼虫密钥S、E和伪随机函数f₁、f₂发送到注册机构模块RA。基于这些输入数据，注册机构模块RA产生证书签名请求CSR，并且将这些证书签名请求CSR发送到证书颁发机构模块CA。证书颁发机构CA对证书签名请求CSR进行签名，并且将产生的假名证书cert_i发送回注册机构模块RA。注册机构模块RA对假名证书cert_i进行加密，并且提供加密的包，以供请求设备DEV下载。如果需要，注册机构模块RA还可以对响应包进行签名。

应当理解，可以使用包括在运输车辆中的专用或者共享硬件来实现当前公开的实施例。因此，运输车辆的其它部件可以使用模块的部件来提供车辆功能，而不脱离本公开的范围。

提供了示例性实施例，使得本公开是彻底的，并且向本领域技术人员充分传达范围。描述了大量具体细节、例如具体部件、设备和方法的示例，以提供对本公开的实施例的全面的理解。在一些说明性的实施例中，没有详细描述公知的过程、公知的设备结构和公知的技术。

术语在这里仅用于描述特定的说明性实施例的目的，而不旨在进行限制。除非上下文另外指出，否则上文提及的元素的单数形式旨在包括复数形式。这里描述的方法步骤、过程和操作不应当解释为必然要求它们以所讨论或者图示的特定顺序执行，除非被明确标识为执行顺序或者特定顺序对于操作实施例是固有地必要的。还应当理解，可以采用附加的或者替换的步骤。

所公开的实施例包括这里描述的方法和其等同物、被编程为执行这些方法的非暂时性的计算机可读的介质以及被配置为用于执行这些方法的计算系统。此外，包括车辆，该车辆包括部件，这些部件包括所述方法中的任意一个、被编程为实现指令或者执行方法的非暂时性的计算机可读的介质以及执行方法的系统。计算系统和任意的子计算系统一般包括包含可执行代码的机器可读的存储介质；一个或多个处理器；耦合到一个或多个处理器的存储器；输入设备和连接到用于执行代码的一个或多个处理器的输出设备。机器可读的介质可以包括用于以通过机器、例如计算机处理器可读的形式存储或者传输信息的任意机制。例如，信息可以存储在易失性或者非易失性的存储器中。此外，实施例功能可以使用嵌入式设备和到云计算基础设施的在线连接来实现，在线连接通过与这种基础设施的无线电连接(例如无线通信)可用。

可以理解，在本说明书中描述的主题和功能操作的实施例可以以数字电子电路、以有形地实施的计算机软件或者固件、以计算机硬件(包括在本说明书中公开的结构及其结构等同物)来实现，或者以其中的一个或多个的组合来实现。在本说明书中描述的主题的实施例可以实现为一个或多个计算机程序、即在有形的非暂时性的存储介质上编码以用于由数据处理设备执行或者控制数据处理设备的操作的计算机程序指令的一个或多个模块。计算机存储介质可以是机器可读的存储设备、机器可读的存储截止、随机或者串行存取的存储设备或者它们中的一个或多个的组合。替换地，或者此外，程序指令可以编码在人工产生的传播信号上、例如机器产生的电、光或者电磁信号上，其被产生，以对信息进行编码，以传输到合适的接收器设备，以供数据处理设备执行。

虽然本说明书包含许多具体的实施细节，但是这些不应被解释为对发明的范围或者可能要求保护的范围的限制，而是对可能特定于特定的发明的特定的实施例的特征的描述。在本说明书中、在若干单独的实施例的上下文中描述的某些特征也可以在单个实施例中组合地实现。相反，在单个实施例的上下文中描述的各种特征也可以单独地或者以任何合适的子组合在多个实施例中实现。此外，尽管上述特征可能被描述为在某些组合中起作用，甚至最初被要求保护，但是在某些情况下，可以从组合中删除一个或者多个特征，并且要求保护的组合可能涉及子组合或者子组合的变形方案。

类似地，虽然在附图中以特定顺序描绘了操作，但是这不应被理解为要求以所示出的特定顺序或者按照该顺序执行这些操作，或者执行所有所示出的要执行的操作，以实现期望的结果。在某些情况下，多任务和并行处理可能是有利的。此外，上述实施例中的各个系统模块和部件的分离不应理解为在所有实施例中都需要这样的分离，并且应当理解，所描述的程序部件和系统通常可以集成到单个软件产品中或者打包成多个软件产品。

参考文献

[1]B.Brecht et al.:“A Security Credential Management System for V2XCommunications”,IEEE TRANSACTIONS ON INTELLIGENT TRANSPORTATION SYSTEMS,VOL.19(2018),pp.3850-3871.(https://ieeexplore.ieee.org/stamp/stamp.jsp？tp＝&arnumber＝8309336)

[2]M.A.Simplicio Jr.et al.:“The Unified Butterfly Effect:EfficientSecurity Credential Management System for Vehicular Communications”,2018IEEEVehicular Networking Conference(VNC,pp.1-8.https://eprint.iacr.org/2018/089

附图标记列表

10 第一接口

11 第一传输模块

12 扩展模块

13 生成器模块

14 第二传输模块

15 加密模块

16 控制模块

17 本地存储单元

18 第二接口

19 用户接口

20 处理设备

21 存储设备

22 输入端

23 输出端

CA 证书颁发机构模块

cert_i 证书

CSR 证书签名请求

DEV 请求设备

PCA 假名证书颁发机构模块

RA 注册机构模块

SCMS 安全凭证管理系统

S1 接收公共幼虫密钥和伪随机函数

S2 将公共幼虫密钥扩展为公共茧密钥

S3 创建公共蝴蝶签名密钥

S4 产生证书签名请求

S5 向证书颁发机构模块发送证书签名请求

S6 接收签名的假名证书

S7 对签名的假名证书进行签名

S8 对响应包进行签名

S9 提供响应包以供下载