自动地验证交通工具身份和核实交通工具存在的制作方法

1.各实施例总体上涉及监测交通工具。更具体地，各实施例涉及自动地验证交通工具身份和核实交通工具存在。


背景技术：

2.交通工具监测可能在各种各样的背景(诸如碰撞调查、自主车队管理等)下是有用的。例如，确立谁在碰撞现场以及从什么有利位置出现对调查很重要。虽然环境相机(例如，路边相机)可以提供有关交通工具碰撞地点的有用信息，但覆盖区域可能是有限的。交通工具传感器数据在一些情况下可能是有用的，但仍存在相当大的改善空间。例如，依赖于交通工具传感器数据重建碰撞现场，可能会导致关于试图利用虚假数据操纵场景重建的恶意行为者的脆弱性担忧。
附图说明
3.通过阅读以下说明书和所附权利要求并通过参考以下附图，实施例的各种优势对本领域技术人员将变得显而易见，其中：
4.图1是根据实施例的从被恶意行为者攻击的碰撞现场收集到数据的示例的平面图；
5.图2是根据实施例的基础设施节点与交通工具之间的通信的示例的信令图；
6.图3是根据实施例的交通工具、不受信任的存储平台与基础设施节点之间的通信的示例的图示；
7.图4a是根据实施例的操作基础设施节点的方法的示例的流程图；
8.图4b是根据实施例的响应于场景重建请求的方法的示例的流程图；
9.图5是根据实施例的操作交通工具的方法的示例的流程图；
10.图6是根据实施例的将位置信息和附加的有利位置信息传输到不受信任的存储平台的方法的示例的流程图；
11.图7是根据实施例的基础设施节点的示例的框图。
12.图8是根据实施例的交通工具的示例的框图；以及
13.图9是根据实施例的半导体封装设备的示例的图示。
具体实施方式
14.现在转向图1，示出了碰撞现场10，其中第一交通工具12与第二交通工具14在交叉口发生碰撞。在图示出的示例中，第三交通工具16在碰撞期间存在，并且具有使第三交通工具16的一个或多个传感器(例如，相机、光检测和测距/lidar传感器、事件数据记录器/edr等)能够从特定的有利位置捕获碰撞的视觉范围18(例如，视场/fov)。在实施例中，第三交通工具16将从碰撞中收集到的传感器数据无线地报告给基础设施节点(in)20，诸如，例如路边单元(rsu)、边缘节点、基站、受信任的/中立实体等。
15.类似地，第四交通工具22在碰撞期间存在，并且具有使第四交通工具22的一个或多个传感器能够从另一个有利位置捕获碰撞的视觉范围24。所图示出的第四交通工具22将从碰撞中收集到的传感器数据无线地报告给基础设施节点20。因此，基础设施节点20可以使用从第三交通工具16和第四交通工具22收集到的传感器数据来重建碰撞现场10(例如，以确定谁是过错的)。交通工具12、14、16和22可以是自主操作的、手动操作的等，或者其任何组合。
16.在图示出的示例中，攻击者26向基础设施节点20发送虚假传感器数据，其中虚假传感器数据指示在碰撞期间存在第五交通工具28(其不存在)，并且具有使第五交通工具28的一个或多个传感器能够从又另一个有利位置捕获碰撞的视觉范围30。因此，虚假的传感器数据可能被用于使场景重建偏离，以例如错误地分配碰撞中的过错。如将更详细地讨论的那样，基础设施节点20可以进行认证操作，使得攻击者26更加难以歪曲第五交通工具28的身份。在实施例中，基础设施节点20还验证从攻击者26接收到的虚假传感器数据(例如，位置信息和/或有利位置信息)，以使攻击者26更加难以在碰撞期间完全地歪曲第五交通工具28的视觉范围30和/或第五交通工具28在碰撞现场10处的存在。
17.在一个示例中，基础设施节点20周期性地向交通工具12、14、16和22发放密码学上的安全令牌，其中令牌包括对交通工具12、14、16和22在碰撞期间在碰撞现场10处存在的证明。在此类情况下，基础设施节点20将扣留来自第五交通工具28的令牌，这进一步防止攻击者26利用虚假的传感器数据来使场景重建偏离。类似地，攻击者26可以试图通过更改与交通工具12、14、16和22中的一个或多个交通工具相关联的所记录的位置、速度、航向等信息来否认在碰撞现场10处的物理存在。在一个示例中，攻击者26的能力类似于dolev-yao攻击者的能力，该dolev-yao攻击者能够访问通信网络，并且能够窃听、伪造、编造和阻止消息。在此类情况下，本文所述的身份认证和位置验证技术将防止攻击者26更改与交通工具12、14、16和22相关联的信息。
18.图2示出用于基础设施节点(in)和交通工具(v)之间通信的信令图32。在一个示例中，交通工具包括edr(事件数据记录器，例如，“黑匣子”)或记录与环境状况、交通工具状况、驾驶决策/操纵等有关的关键信息的其他传感器。另外，基础设施节点可以是被定位在交叉口处、被定位在邻域中等等的基础设施节点网络的一部分，并通过蜂窝核心网络连接到云。在实施例中，交通工具通过无线接口与基础设施节点通信。每个实体i(即交通工具或in)都拥有唯一的身份idi(其可以是真实的驾驶员身份或是为了保护用户隐私的假名)以及公/私钥和证书(pki,ski,certi)。当交通工具进入由基础设施节点管理的区域时，基础设施节点使用基础设施节点的能力(如果有的话)、以及包括交通工具的位置、航向、速度等的交通工具对基础设施(v2x)消息，来跟踪交通工具感测。
19.一般而言，基础设施节点和交通工具首先进行彼此的相互认证34。在一个示例中，在相互认证期间使用公钥基础设施(pki)。在成功认证之际，基础设施节点对从交通工具接收到的位置信息36进行验证，其中，验证可以基于基础设施节点的感测能力(例如，lidar、相机等)。基础设施节点还可以使用诸如飞行时间、多普勒频移、三边测量等之类技术来核实交通工具的位置、速度等。然后，所图示出的基础设施节点生成令牌(t
t
，例如，经由密码学上的安全过程)，交通工具拥有该令牌可作为在给定的时刻t在某个位置处物理存在的证明。
20.相互认证和位置验证
21.如已经提到的，当交通工具v进入受基础设施节点控制的区域时，两个实体可以执行相互认证34。在示例中，相互认证34涉及利用基础设施节点和v所拥有的凭证的质询-响应协议。基础设施节点可以通过周期性地广播广告“hello(你好)”消息来广告本文提出的服务，该“hello(你好)”消息利用与基础设施节点相关联的私钥进行签名。一旦广告的消息被认证，v就会生成随机现时数(nonce)n，并(例如，经由单播或广播)将具有交通工具的id、n、位置、速度、航向等的经签名和盖上时间戳的分组发送给基础设施节点。基础设施节点(例如，使用与v相关联的公钥和证书)来验证分组的真实性和完整性，并利用包含n、基础设施节点的身份、和对称会话密钥的经签名和盖上时间戳的消息进行回复，该消息用于保护v和基础设施节点之间进一步通信的机密性和完整性。在评估v的身份之后，在对v进行响应之前，基础设施节点(例如，使用v2x信号或其他传感器输入)验证由v提供的位置信息，并比较位置和时间戳信息。
22.令牌生成
23.令牌可以被构造为其中：
[0024]-t是时间的离散表示(例如，每个单位可以与一秒相对应)，
[0025]-idv是交通工具的身份，
[0026]-info是由v提供、并由基础设施节点使用基础设施节点的感测(例如，相机、lidar)和跟踪能力进行匹配的位置和取向(例如，有利位置)信息。在另一实施例中，info被扩展为具有交通工具的运动的其他相关特征，诸如速度、加速度、环境状况、驾驶状况、社会方面、引擎状况等。
[0027]-是t||idv||in fo使用与基础设施节点相关联的私钥的数字签名。
[0028]
基础设施节点(具有周期性δt，例如，1秒)为v发放令牌，该令牌证实v在特定位置处的物理存在，该位置具有给定的取向，并且任选地具有给定的一组其他相关参数(例如，速度、加速度等)。交通工具v存储可用于证实交通工具在给定时刻的位置。
[0029]
图3示出基础设施节点40、交通工具42(v)和存储平台44(例如，可能是不受信任的云存储)之间的一组通信。除了位置令牌之外，交通工具42和基础设施节点40建立了秘密密钥，该秘密密钥将由交通工具42用于对在事件期间收集到的原始数据(例如，视频、音频、事件序列、edr信息等)进行加密。具体而言，使用秘密密钥可以降低基础设施节点40的存储要求。更具体地，图示出的基础设施节点40仅在需要时(例如，响应于场景重建请求)重新计算秘密密钥秘密密钥还可以使交通工具42能够将经加密的数据(其可由几千兆字节/gb的视频、音频和任何其他相关数据组成)上传到存储平台44。在实施例中，存储平台44仅在需要时(例如，响应于场景重建请求)被基础设施节点40查询。
[0030]
在图示出的示例中，基础设施节点40在第一通信46中将与利用v的公钥加密的一起发送给v。v使用密钥导出函数(kdf，例如，计算与0或1位串接的散列)从导
出两个密钥，和在实施例中，第一子密钥k1＝kdf(k||1)和第二子密钥k2＝kdf(k||0)被导出，其中||是串接操作符。图示出的交通工具42使用k1来对(用于保密性的)有效载荷进行加密，并使用k2计算消息认证码(mac，例如，使用基于散列的mac以用于数据完整性/真实性)。在实施例中，交通工具42在第二通信48中将经加密的数据和mac上传到云。基础设施节点40稍后可以在第三通信50中从未受信任的云中取得与某个时刻t和交通工具v相关联的经加密的数据。在实施例中，基础设施节点40重建密钥材料，并且随后对有效载荷的真实性和完整性进行解密并进行验证。
[0031]
密钥可以从伪随机值中导出，该伪随机值根据基础设施节点40存储的秘密种子s来计算。在一个实施例中，基础设施节点40维护以预定义的时间间隔δt(例如，每秒)更新的值s
t
的伪随机序列。对于该序列，基础设施节点40可以使用伪随机生成函数“rand”，该伪随机生成函数“rand”将值s
t
作为输入并输出s
t δt
。结果是从种子s开始的伪随机序列。应注意，作为示例，如果每天都开始新的伪随机序列，并且每秒钟都有新的值，基础设施节点40每天将产生86400个值。然而，基础设施节点40将只需要存储s，因为基础设施节点40可以在需要时，通过将rand应用与自新的一天开始以来消逝的秒数成比例的次数来重建每个s
t
。例如，对于发生在上午10:45的事件，假设1秒的时间步长，rand将被递归地应用38,700次。rand计算通常是具有相对低的处理开销的操作。此外，场景重建可能是不需要在线(例如，实时地)执行的操作。
[0032]
在另一实施例中，为了加快给定时间的伪随机值的重建，对于每个时间步长，rand可以被密码学上的安全单向散列函数h(例如，安全散列算法3/sha-3)和计数器所替代。在该情况下，时间步长t的rand的值可以被计算为s
t
＝h(s||t)(例如，对于上午10:45和δt＝1秒，s
38,700
＝h(s||38,700))。
[0033]
该值s
t
被基础设施节点40用于计算对称密钥该对称密钥与利用与v相关联的公钥进行加密的一起被发送给交通工具42。在示例实施例中，基础设施节点40使用单向加密散列函数h(例如，sha-3)将v相对于离散时间t的计算为:
[0034]
图4a示出操作基础设施节点的方法60。方法60一般可在计算系统(诸如，例如，已讨论过的基础设施节点20(图1)和/或基础设施节点40(图3))中实现。更具体地，方法60可在一个或多个模块中被实现为逻辑指令的集合，该逻辑指令的集合存储在诸如随机存取存储器(ram)、只读存储器(rom)、可编程rom(prom)、固件、闪存等之类的机器或计算机可读存储介质中，存储在诸如例如可编程逻辑阵列(pla)、现场可编程门阵列(fpga)、复杂可编程逻辑器件(cpld)的可配置逻辑中，存储在使用诸如例如专用集成电路(asic)、互补式金属氧化物半导体(cmos)之类的电路技术或晶体管-晶体管逻辑(ttl)技术的固定功能逻辑硬件中，或存储在上述各项的任何组合中。
[0035]
例如，可以用一种或多种编程语言的任何组合来编写用于实施在方法60中所示的操作的计算机程序代码，这些编程语言包括诸如java、smalltalk、c 等的面向对象的编程
语言以及诸如“c”编程语言或类似编程语言的常规的过程编程语言。另外，逻辑指令可包括汇编程序指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、状态设置数据、用于集成电路的配置数据、使对于硬件(例如，主机处理器、中央处理单元/cpu、微控制器等)而言是原生的电子电路和/或其他结构组件个性化的状态信息。
[0036]
图示出的处理框62提供用于进行与交通工具的相互认证。框62可以包括质询-响应协议，该协议利用基础设施节点和交通工具两者都拥有的凭证，如已经讨论的那样。如果在框64处确定相互认证成功(例如，两个实体的身份被确认/验证)，则框66生成秘密密钥并将该秘密密钥发送给交通工具。在实施例中，秘密密钥源自存储在基础设施节点的本地存储器中的种子值。框66可以根据情况(例如，不受信任的存储平台不被支持)被绕过。从交通工具接收到的位置信息(例如，全球定位系统/gps坐标、经度－纬度、车道号)可以在框68处进行验证。框68还可以包括验证其他信息(诸如，速度、加速度、取向、edr信息等)。
[0037]
在这方面，交通工具可能有意或无意地做出不准确或错误的测量，并将其保存在edr中或报告给基础设施节点。因此，框68可以用作测量的独立验证器或认证器。当多个交通工具提交测量报告时，框68将它们与在本地生成的报告和来自其他交通工具的报告进行比较。在实施例中，框68在核实测量/观察时应用容限值，并且可能存在测量的部分编造或完全编造。如果来自交通工具的测量不同，则可使用“多数表决”来核实冲突的交通工具测量。在其他实施例中，框68不使用多数表决，而是使用加权测量，其中经汇编的报告(例如，状态估计)被建模为高斯分布。然后，可以使用贝叶斯滤波来确定从报告的观察结果的组合得到的最大后验密度。此外，可以使用位置、视场、状态估计准确性、观察者跟踪对象多久等来计算权重。此外，还可以进行简单的异常检测以排除异常值。这些基于共识的方法中的每一种方法都可以防止恶意的观察者使真实的观察结果偏离。
[0038]
更具体地，可以将来自交通工具的报告的速度与在基础设施节点处测得的速度进行比较。框68可以使用v2x参考信号来估计多普勒频移，并基于操作频率来计算交通工具的速度。如果基础设施节点从其他被验证的交通工具报告中接收到被验证交通工具的相对速度，则框68可以计算绝对速度。
[0039]
关于位置，(gps坐标、经纬度)，框68可以使用雷达、深度传感器、v2x路径损耗和/或飞行时间数据来测量具有时间戳的交通工具的相对位置。在实施例中，将所测得的交通工具的距离/位置与所报告的值进行比较以进行核实。如果交通工具的相对位置可从其他经核实的交通工具报告中获得，则框68基于该相对位置和它们的真实位置来简单地计算位置。
[0040]
关于“邻居列表”，框68可以基于部署在道路上的lidar和/或相机来获得环境感知。框68根据lidar点云或图像/视频来检测交通工具，并利用时间戳和身份(如果可用)标记它们。在一个示例中，交通工具登记关键属性，诸如颜色、车牌号、品牌和型号。交通工具可以以原始视频、图像、原始点云、2d(二维)地图、对象列表、本地和远程状态信息、对象跟踪和轨迹信息以及时间戳的形式来报告其环境感知报告。可以将交通工具中的场景感知扩展到识别附近交通工具的关键属性。在此类情况下，交通工具在数据交换过程期间将该信息报告给基础设施节点。基础设施节点从交通工具接收邻居列表，并使用在本地生成的感知数据和/或从经核实的交通工具接收到的远程感知数据(包括属性数据)来核实接收到的邻居列表。
[0041]
关于意图/轨迹，使用本地环境感知数据，框68可以标识附近区域中的交通工具的意图和轨迹。交通工具还可以将意图和轨迹信息(例如，导航路径)报告给基础设施节点。在此类情况下，框68将所报告的意图和轨迹与本地观察结果进行比较，并对其进行核实。来自其他交通工具的经核实的环境感知报告也可能有助于改善核实的准确性。
[0042]
如果在框70处确定从交通工具接收到的位置信息是有效的，则图示出的框72将令牌发送给交通工具，其中，令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。在实施例中，该证明是与指定的时刻相对应的时间戳、交通工具标识符、位置信息和数字签名。框74提供从本地存储器(例如，非易失性存储器/nvm和/或易失性存储器)中删除令牌。将框74与框66相结合以减少基础设施节点的存储要求可能是特别有用的。例如，基础设施节点可以只存储种子值，该种子值可以在需要时通过将伪随机函数应用与自新的一天开始以来流逝的秒数成比例的次数来重建每个s
t
。
[0043]
图示出的框76确定是否已经发起交通工具的切换(例如，到另一基础设施节点)。框76还可以确定交通工具是否已经行进到范围之外。在任一种情况下，图示出的方法60终止。否则，方法60返回至框68。如果在框64处确定相互认证不成功，则框78生成警报(例如，指示可能存在攻击者)并且方法60终止。另外，如果在框70处确定位置信息是无效的，则框78生成警报，并且方法60终止。重复该方法60使一系列周期性令牌能够被发送到交通工具，其中每个周期性令牌与不同的时刻(例如，间隔δt)相对应。
[0044]
图4b示出对场景重建请求进行响应的方法80。方法80一般可在计算系统(诸如，例如，已讨论过的基础设施节点20(图1)和/或基础设施节点40(图3))中实现。更具体地，方法80可在一个或多个模块中被实现为一组逻辑指令，这组逻辑指令被存储在诸如ram、rom、prom、固件、闪存存储器等之类的机器或计算机可读存储介质中，被存储在诸如例如pla、fpga、cpld之类的可配置逻辑中，被存储在使用诸如例如asic、cmos或ttl技术之类的固定功能逻辑硬件或其任何组合中。
[0045]
图示出的处理框82提供接收场景重建请求。该请求可以从政府机构、车队经理等接收。在实施例中，框84响应于场景重建请求而从不受信任的存储平台检取消息认证码(mac)和有效载荷，其中有效载荷包括位置信息和附加的有利位置信息。可以在框86处重建秘密密钥。如已经提到的，可以使用伪随机生成函数、单向散列函数(例如，和计数器)等来重建指定时刻的秘密密钥。此外，可以从秘密密钥导出多个子密钥。框88基于重建的秘密密钥(例如，使用从秘密密钥导出的第一子密钥)验证mac，并且框90基于重建的秘密密钥(例如，使用从秘密密钥导出的第二子密钥)对有效载荷进行解密。
[0046]
图5示出操作交通工具的方法100。该方法100通常可以在移动平台中实现，诸如，无人机、机器人和/或交通工具，诸如已经讨论过的交通工具12、14、16和/或22(图1)和/或交通工具42(图3)。更具体地，方法100可在一个或多个模块中被实现为一组逻辑指令，这组逻辑指令被存储在诸如ram、rom、prom、固件、闪存存储器等之类的机器或计算机可读存储介质中，被存储在诸如例如pla、fpga、cpld之类的可配置逻辑中，被存储在使用诸如例如asic、cmos或ttl技术之类的固定功能逻辑硬件或其任何组合中。
[0047]
图示出的处理框102进行与基础设施节点的相互认证。框102可以包括质询-响应协议，该协议利用基础设施节点和交通工具两者都拥有的凭证，如已经讨论的那样。如果在框104处确定相互认证成功(例如，两个实体的身份被确认/被验证)，则框106从基础设施节
点接收秘密密钥。在实施例中，秘密密钥源自交通工具不知晓的种子值。框106可以根据情况(例如，不受信任的存储平台不被支持)被绕过。从交通工具接收到的位置信息(例如，gps坐标、经纬度、车道号)可以被发送到基础设施节点以在框108处进行验证。在实施例中，框108还包括发送附加的有利位置信息。
[0048]
框110从基础设施节点接收令牌，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。在实施例中，该证明是与指定的时刻相对应的时间戳、交通工具标识符、位置信息和数字签名。图示出的框112确定是否已经发起交通工具的切换(例如，到另一基础设施节点)。框112还可以确定交通工具是否已经行进到范围之外。在任一种情况下，图示出的方法100终止。否则，方法100返回至框108。如果在框104处确定相互认证是不成功的，则框114生成警报，并且方法100终止。重复该方法100使一系列周期性令牌能够被发送到交通工具，其中每个周期性令牌与不同的时刻(例如，间隔δt)相对应。
[0049]
图6示出将位置信息和附加的有利位置信息传输到不受信任的存储平台的方法120。该方法120通常可以在移动平台中实现，诸如，机器人、无人机和/或交通工具，诸如已经讨论过的交通工具12、14、16和/或22(图1)和/或交通工具42(图3)。更具体地，方法120可在一个或多个模块中被实现为一组逻辑指令，这组逻辑指令被存储在诸如ram、rom、prom、固件、闪存存储器等之类的机器或计算机可读存储介质中，被存储在诸如例如pla、fpga、cpld之类的可配置逻辑中，被存储在使用诸如例如asic、cmos或ttl技术之类的固定功能逻辑硬件或其任何组合中。
[0050]
图示出的处理框122基于秘密密钥对有效载荷进行加密，其中有效载荷包括位置信息和附加的有利位置信息。在实施例中，附加的有利位置信息包括速度信息、加速度信息、取向信息等，或其任何组合。在一个示例中，框122包括从秘密密钥导出第一子密钥(例如，k1)，其中利用第一子密钥对有效载荷进行加密。在框124处基于秘密密钥来计算消息认证码(mac)。在实施例中，框124包括导出第二子密钥(例如，k2)，其中mac根据第二子密钥来计算。框126将经加密的有效载荷和mac发送到不受信任的存储平台。因此，图示出的方法120在不牺牲保密性或完整性的情况下促进基础设施节点和/或交通工具处的存储节省。
[0051]
现在转向图7，示出了性能增强的基础设施节点130。在所图示的示例中，基础设施节点130包括传感器子系统132(例如，lidar、相机)以及具有集成存储器控制器(imc)136的主机处理器134(例如，具有一个或多个处理器核的中央处理单元/cpu)，该imc 136耦合至系统存储器138。所图示的基础设施节点130还包括输入输出(io)模块140，该输入输出(io)模块142与主机处理器134和图形处理器144一起在半导体管芯214上被实现为芯片上系统(soc)。io模块140与例如(例如，无线的、有线的)网络控制器146、显示器148、传感器子系统132和大容量存储150(例如，硬盘驱动器/hdd、光盘、固态驱动器/ssd、闪存)通信。
[0052]
主机处理器134可以包括用于执行已讨论的方法60(图4a)、方法80(图4b)、和/或方法120(图6)的一个或多个方面的逻辑152(例如，逻辑指令、可配置逻辑、固定功能硬件逻辑等、或其任何组合)。因此，逻辑152可以与交通工具进行相互认证，并且在相互认证成功时对从交通工具接收到的位置信息进行验证。在实施例中，如果位置信息被验证，则逻辑152还将令牌发送给交通工具，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。因此，基础设施节点130可以被认为在一定程度上是性能增强的，使得该令牌降低了从交通工具接受有意或无意的虚假位置信息的可能性。性能被增强的原因也
在于，该证明使交通工具能够向其他第三方(例如，政府实体、车队经理)证实其位置。尽管逻辑152在主机处理器134中被图示出，但逻辑152可驻留在基础设施节点130中的其他地方。
[0053]
图8示出了性能增强的交通工具160。在图示出的示例中，交通工具160包括机电子系统162(例如，传动系统、转向、导航、板载控制器、edr)和主机处理器164(例如，具有一个或多个处理器核的cpu)，该主机处理器164具有与系统存储器168耦合的imc 166。在一个示例中，机电子系统162的edr记录环境状况，诸如，例如，温度、风速、照明条件、降水等。edr还可以记录驾驶状况，诸如，例如，速度、跟随距离、加速、减速、制动状态、车道等。在实施例中，edr进一步记录各社交方面，诸如，例如，邻居列表、导航路径(例如，意图)、轨迹等。实际上，edr可以记录引擎状况，诸如，例如，节气门水平、负载、每分钟转数(rpm)等。所图示的交通工具160还包括io模块170，该io模块170与主机处理器164和图形处理器172一起在半导体管芯174上被实现为芯片上系统(soc)。io模块170与例如(例如，无线的、有线的)网络控制器176、显示器178、机电子系统162和大容量存储180(例如，hdd、光盘、ssd、闪存)通信。
[0054]
主机处理器164可包括用于执行已讨论的方法1000(图5)的一个或多个方面的逻辑182(例如，逻辑指令、可配置逻辑、固定功能硬件逻辑等、或其任何组合)。因此，逻辑152可以与基础设施节点进行相互认证，并且在相互认证成功时将位置信息发送给基础设施节点。在实施例中，逻辑182还从基础设施节点接收令牌，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。另外，逻辑182还可以从基础设施节点接收秘密密钥，并基于秘密密钥对有效载荷进行加密，其中有效载荷包括位置信息和附加的有利位置信息。在实施例中，附加的有利位置信息包括由机电子系统162的edr捕获的速度信息、加速度信息、取向信息和/或其他信息。逻辑182可以基于秘密密钥来计算mac，并将经加密的有效载荷和mac发送到不受信任的存储平台。
[0055]
因此，交通工具160可以被认为在一定程度上是性能增强的，使得该令牌降低了从交通工具160接受有意或无意的虚假位置信息的可能性。性能被增强的原因还在于，该证明使交通工具160能够向其他第三方(例如，政府实体、车队经理)证实其位置。尽管逻辑182在主机处理器164中被图示出，但逻辑182可驻留在交通工具160中的其他地方。
[0056]
图9示出了半导体封装设备190。设备190可以包括用于实现已经讨论过的方法60(图4a)、方法80(图4b)、方法100(图5)、和/或方法120(图6)的一个或多个方面的逻辑194，并且可以容易地替代已经讨论过的逻辑152(图7)和/或逻辑182(图8)。所图示的设备190包括一个或多个衬底192(例如，硅、蓝宝石、砷化镓)，其中逻辑194(例如，晶体管阵列和其他集成电路/ic组件)耦合至(多个)衬底192。逻辑194可至少部分地被实现在可配置逻辑或固定功能逻辑硬件中。在一个示例中，逻辑194包括定位(例如，嵌入)在(多个)衬底192内的晶体管沟道区。因此，逻辑194与(多个)衬底192之间的接口可以不是突变结。逻辑194还可被认为包括在(多个)衬底192的初始晶片上生长的外延层。
[0057]
附加说明和示例：
[0058]
示例1包括一种半导体设备，该半导体设备包括：一个或多个衬底和逻辑，该逻辑耦合至一个或多个衬底，其中逻辑至少部分地在可配置逻辑和固定功能硬件逻辑中的一者或多者中实现，耦合至一个或多个衬底的逻辑用于：与交通工具进行相互认证，在相互认证成功时对从交通工具中检取的位置信息进行验证，并且在位置信息被验证时将令牌发送给
交通工具，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。
[0059]
示例2包括示例1的半导体设备，其中，该证明是与指定的时刻相对应的时间戳、交通工具标识符、位置信息、和数字签名。
[0060]
示例3包括示例1的半导体设备，其中，耦合至一个或多个衬底的逻辑用于在相互认证成功时将秘密密钥发送交通工具，并从本地存储器中删除令牌。
[0061]
示例4包括示例3的半导体设备，其中逻辑用于从存储在本地存储器中的种子值导出秘密密钥。
[0062]
示例5包括示例3的半导体设备，其中逻辑用于：响应于场景重建请求而从不受信任的存储平台检取消息认证码和有效载荷，其中有效载荷包括位置信息和附加的有利位置信息，重建秘密密钥，基于所重建的秘密密钥来验证消息认证码，并且基于所重建的秘密密钥来对有效载荷进行解密。
[0063]
示例6包括示例1至5中任一项的半导体设备，其中耦合至一个或多个衬底的逻辑用于将一系列周期性令牌发送给交通工具，并且其中每个周期性令牌与不同的时刻相对应。
[0064]
示例7包括至少一种计算机可读存储介质，包括一组指令，该指令当被计算系统执行时，使计算系统用于：与交通工具进行相互认证，在相互认证成功时对从交通工具接收到的位置信息进行验证，并且在位置信息被验证时将令牌发送给交通工具，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。
[0065]
示例8包括示例7的至少一种计算机可读存储介质，其中，该证明是与指定的时刻相对应的时间戳、交通工具标识符、位置信息、和数字签名。
[0066]
示例9包括示例7的至少一种计算机可读存储介质，其中，指令当被执行时，进一步使计算系统用于：在相互认证成功时将秘密密钥发送给交通工具，并从本地存储器中删除令牌。
[0067]
示例10包括示例9的至少一种计算机可读存储介质，其中，指令当被执行时，进一步使计算系统用于从存储在本地存储器中的种子值导出秘密密钥。
[0068]
示例11包括示例9的至少一种计算机可读存储介质，其中，指令当被执行时，进一步使计算系统用于：响应于场景重建请求而从不受信任的存储平台检取消息认证码和有效载荷，其中有效载荷包括位置信息和附加的有利位置信息，重建秘密密钥，基于所重建的秘密密钥来验证消息认证码，并且基于所重建的秘密密钥来对有效载荷进行解密。
[0069]
示例12包括示例7至11中任一项的至少一种计算机可读存储介质，其中，指令当被执行时使计算系统用于将一系列周期性令牌发送给交通工具，并且其中每个周期性令牌与不同的时刻相对应。
[0070]
示例13包括一种半导体设备，该半导体设备包括：一个或多个衬底，以及逻辑，该逻辑耦合至一个或多个衬底，其中逻辑至少部分地在可配置逻辑和固定功能硬件逻辑中的一者或多者中实现，耦合至一个或多个衬底的逻辑用于：与基础设施节点进行相互认证，在相互认证成功时将位置信息发送给基础设施节点，并且从基础设施节点接收令牌，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。
[0071]
示例14包括示例13的半导体设备，其中，该证明是与指定的时刻相对应的时间戳、交通工具标识符、位置信息、和数字签名。
[0072]
示例15包括示例13的半导体设备，其中耦合至一个或多个衬底的逻辑用于：从基础设施节点接收秘密密钥，基于秘密密钥对有效载荷进行加密，其中有效载荷包括位置信息和附加的有利位置信息，基于秘密密钥来计算消息认证码，并将经加密的有效载荷和消息认证码发送到不受信任的存储平台。
[0073]
示例16包括示例15的半导体设备，其中耦合至一个或多个衬底的逻辑用于：从秘密密钥中导出第一子密钥，其中利用第一子密钥对有效载荷进行加密，并从秘密密钥中导出第二子密钥，其中根据第二子密钥计算消息认证码。
[0074]
示例17包括示例15的半导体设备，其中附加的有利位置信息包括速度信息、加速度信息或取向信息中的一者或多者。
[0075]
示例18包括示例13至17中任一项的半导体设备，其中耦合至一个或多个衬底的逻辑用于从基础设施节点接收一系列周期性令牌，并且其中每个周期性令牌与不同的时刻相对应。
[0076]
示例19包括至少一种计算机可读存储介质，包括一组指令，该指令当被交通工具执行时，使交通工具用于：与基础设施节点进行相互认证，在相互认证成功时将位置信息发送给基础设施节点，并从基础设施节点接收令牌，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。
[0077]
示例20包括示例19的至少一种计算机可读存储介质，其中，该证明是与指定的时刻相对应的时间戳、交通工具标识符、位置信息、和数字签名。
[0078]
示例21包括示例19的至少一种计算机可读存储介质，其中指令当被执行时，进一步使交通工具用于：从基础设施节点接收秘密密钥，基于秘密密钥对有效载荷进行加密，其中有效载荷包括位置信息和附加的有利位置信息，基于秘密密钥来计算消息认证码，并将经加密的有效载荷和消息认证码发送到不受信任的存储平台。
[0079]
示例22包括示例21的至少一种计算机可读存储介质，其中，指令当被执行时，进一步使交通工具用于：从秘密密钥中导出第一子密钥，其中，利用第一子密钥对有效载荷进行加密，并从秘密密钥中导出第二子密钥，其中，根据第二子密钥计算消息认证码。
[0080]
示例23包括示例21的至少一种计算机可读存储介质，其中，附加的有利位置信息包括速度信息、加速度信息或取向信息中的一者或多者。
[0081]
示例24包括示例19至23中任一项的至少一种计算机可读存储介质，其中，指令当被执行时使交通工具用于从基础设施节点接收一系列周期性令牌，并且其中每个周期性令牌与不同的时刻相对应。
[0082]
示例25包括一种操作计算系统的方法，包括：与交通工具进行相互认证，在相互认证成功时对从交通工具接收到的位置信息进行验证，并且在位置信息被验证时将令牌发送给交通工具，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。
[0083]
示例26包括一种操作交通工具的方法，包括：与基础设施节点进行相互认证，在相互认证成功时将位置信息发送给基础设施节点，并从基础设施节点接收令牌，其中，该令牌包括交通工具在指定时刻存在于与位置信息相关联的位置的证明。
[0084]
示例26包括用于执行如示例25至26中任一项所述的方法的装置。
[0085]
因此，本文所描述的技术使基础设施节点(in)能够向交通工具发放密码学上的安
全令牌，该令牌用作其在给定时刻的位置的证明。在发生交通事件(诸如事故)的情况下，拥有与该位置和时间相关联的令牌的交通工具将能够证明其确实是合法的见证者。
[0086]
从基础设施的角度来看，该技术具有显著地降低存储需求的潜力。基础设施将只存储用于核实令牌所需的信息，而不是连续地记录所有交通数据。在发生交通事件情况下，交通工具将提供伴随有基础设施先前供应的令牌的其事件数据记录器(edr)的内容。此类方法具有将存储需求从随着通过in的覆盖区域的交通工具的数量线性增长的数量减少到恒定的数据量的潜力。
[0087]
从交通工具的角度来看，该令牌可用于法律纠纷。例如，在发生事故或犯罪的情况下，在同一时刻拥有与不同地点相关的令牌的交通工具将能够证明其没有参与事故或犯罪。每个交通工具可以拥有给定位置和时间的唯一令牌，而且此类令牌不能被转移给其他交通工具(只要底层密码签名方案是安全的)。为了加快“寻找见证者”的速度，基础设施可以维护当天经过的交通工具的id的列表，并提供粗粒度的时序信息(例如，in可以记录交通工具的id，以及交通工具在in的覆盖范围内的时间间隔的列表)。
[0088]
实施例适用于与所有类型的半导体集成电路(“ic”)芯片一起使用。这些ic芯片的示例包括但不限于处理器、控制器、芯片组组件、可编程逻辑阵列(pla)、存储器芯片、网络芯片、芯片上系统(soc)、ssd/nand控制器asic等等。另外，在一些附图中，信号导线用线表示。一些线可以是不同的以指示更具构成性的信号路径，可具有数字标号以指示构成性信号路径的数目，和/或可在一端或多端具有箭头以指示主要信息流向。然而，这不应以限制性方式来解释。相反，此类增加的细节可与一个或多个示例性实施例结合使用以促进更容易地理解电路。任何所表示的信号线，不管是否具有附加信息，实际上都可包括一个或多个信号，这一个或多个信号可在多个方向上行进，并且可用任何适合类型的信号方案来实现，例如利用差分对来实现的数字或模拟线路、光纤线路、和/或单端线路。
[0089]
示例尺寸/模型/值/范围可能已经被给出，但是实施例不限于此。随着制造技术(例如，光刻法)随时间变得成熟，预料到能制造出更小尺寸的设备。另外，为了说明和讨论的简单并且为了不使实施例的某些方面模糊，到ic芯片和其他组件的公知的功率/接地连接可在附图内示出也可不示出。此外，各种布置可以框图形式示出以避免模糊各实施例，并且这也鉴于关于此类框图布置的实现的具体细节高度依赖于实现实施例的平台这一事实，即这些具体细节应当落在本领域内技术人员的学识范围内。在阐述具体细节(例如电路)以描述示例实施例的情况下，对本领域内技术人员应显而易见的是，没有这些具体细节或对这些具体细节作出变型也可实践各实施例。描述因此被视为是说明性的而不是限制性的。
[0090]
术语“耦合的”在本文中可被用于表示所讨论的组件之间的任何类型的直接或间接关系，且可应用于电气的、机械的、流体的、光学的、电磁的、机电的或其他连接。另外，术语“第一”、“第二”等在本文中可仅用于便于讨论，并且不带有特定时间的或按时间顺序的意义，除非另有陈述。
[0091]
如在本技术和权利要求书中所使用的，由术语“中的一个或多个”联接的项列表可意指所列项的任何组合。例如，短语“a、b或c中的一个或多个”可意指a；b；c；a和b；a和c；b和c；或a、b和c。
[0092]
本领域技术人员从前面的描述将领会，实施例的广泛技术能以各种形式来实现。因此，尽管已结合其特定示例描述了实施例，但实施例的真实范围不应当限于此，因为在研
究附图、说明书和所附权利要求书之后，其他修改对于本领域技术人员将变得显而易见。