-
Die
Erfindung betrifft ein Verfahren zum ETCS-Online-Schlüsselmanagement
für Funk-Zugsteuerung,
bei dem für
die Etablierung jeder neuen Funkverbindung zwischen den Entitäten Streckenzentrale
(RBC) und ETCS-Fahrzeug entitätenspezifische
Authentifizierungsschlüssel
verwendet werden, die von einer Schlüsselzentrale (KMC) über eine
Datenverbindung an die Entitäten übertragen
werden.
-
Das
ETCS – European
Train Control System – basiert
auf einem europaweit einheitlichen Standard für Zugsteuerungssysteme, welches
interoperablen Eisenbahnverkehr ermöglicht und damit die Basis
für Leistungssteigerungen
und Kostensenkung darstellt. Im sogenannten Level 2 und 3 des ETCS
erfolgt die kontinuierliche Führung
von ETCS-Fahrzeugen durch abschnittweise verantwortliche Streckenzentralen
RBC – Radio-Block-Center –, durch
welche die Führungsgrößen an die
ETCS-Fahrzeuge in deren Verantwortungsbereich mittels Digitalfunk GSM-R – Global
System for Mobil Communication – Railway – übermittelt
werden.
-
Die
sicherheitskritische Datenübertragung zwischen
dem jeweiligen RBC und dem geführten ETCS-Fahrzeug
ist durch kryptologische Sicherungsverfahren geschützt. Für das Ende-zu-Ende angewendete
Sicherungsverfahren wird ein geheimer kryptologischer Sitzungsschlüssel verwendet, der
für die
Dauer der Verbindung gültig
ist. Das jeweils zuständige
RBC für
die Zugsteuerung wechselt mit der Bewegung des Fahrzeuges entlang
der Fahrstrecke. An den RBC-Grenzen erfolgt ein Handover zum nächsten RBC,
bei welchem auch die Funkverbindung und damit der Sitzungsschlüssel neu
etabliert wird.
-
Die
Sicherheit der Datenübertragung,
insbesondere hinsichtlich des Schutzes vor Hackerangriffen, hängt davon
ab, dass die verwendeten kyptologischen Schlüssel geheim gehalten werden.
Um diese Sicherheitsanforderung zu erfüllen, wird ein Schlüsselmanagementverfahren
angewendet, welches die Erzeugung, Verteilung, Speicherung, Verwendung
und Löschung
von kryptologischen Schlüsseln
im ETCS regelt.
-
Das
Schlüsselmanagement
nach dem Stand der Technik verwendet verschiedene Schlüsselarten:
- 1. Ein Personalisierungsschlüssel wird
durch den Hersteller der Hardware eingebracht. Er ist spezifisch
für jede
Entität – Fahrzeug,
RBC – und
herstellerseitig zugriffsgeschützt.
Der Personalisierungsschlüssel
dient dem Verschlüsseln
der in der Entität
zu speichernden Schlüssel
und wird nie außerhalb
des Systems verwendet.
- 2. Mit einem Transportschlüssel
wird der Transport der Authentifizierungsschlüssel auf dem Weg in die Entität geschützt. Der
Transportschlüssel wird
bei der Schlüsselgenerierung
in einer geschützten
Umgebung benutzt, um die Authentifizierungsschlüssel zu verschlüsseln und
beim Hersteller, um die Authentifizierungsschlüssel wieder zu entschlüsseln.
- 3. Der Authentifizierungsschlüssel ist entitätenspezifisch
und wird für
den Aufbau der Verbindung zwischen ETCS-Fahrzeug und RBC benötigt. Für die ETCS-Kommunikation
benötigt
das ETCS-Fahrzeug neben seinem eigenen Authentifizierungsschlüssel die
Authentifizierungsschlüssel
aller RBC, mit denen es kommunizieren muss. Ein RBC benötigt neben
seinem eigenen Authentifizerungsschlüssel die Authentifizierungsschlüssel aller
ETCS-Fahrzeuge, mit denen es kommunizieren muss. Die Aufbewahrung
der Authentifizierungsschlüssel
erfolgt verschlüsselt.
- 4. Mit den Sitzungsschlüssel
werden die zwischen Fahrzeug und RBC zu übertragenden Daten gesichert.
Der Sitzungsschlüssel
wird zum Zeitpunkt des Verbindungsaufbaues aus den Authentifizierungsschlüsseln der
beteiligten Kommunikationspartner und einer zwischen den Kommunikationspartnern
ausgetauschten Zufallsgröße abgeleitet. Der
Sitzungsschlüssel
ist für
die Dauer einer Kommunikationsverbindung zwischen RBC und ETCS-Fahrzeug gültig. Nach
dem Verbindungsabbau wird der Sitzungsschlüssel gelöscht.
-
Das
Einbringen der Authentifizierungsschlüssel in die ETCS-Fahrzeuge und RBC-Streckenzentralen
kann sowohl offline, als auch online erfolgen. Beim Offline-Verfahren
werden alle Authentifizierungsschlüssel vor der Inbetriebnahme
des Systems in die Entitäten
eingebracht. Damit stehen die möglichen
Kommunikationsbeziehungen fest. Erweiterungen, wie beispielsweise
die Einbeziehung neuer Fahrzeuge in das ETCS, erfordern ein Update
der Authentifizierungsschlüssel
in den jeweiligen Entitäten.
Beim Online-Verfahren erfolgt ein Schlüsselaustausch zwischen Entitäten und
einer Schlüsselverteilzentrale – KMC Key
Management Center –,
um benötigte
Authentifizierungsschlüssel über eine
Datenverbindung bei Bedarf nachzuladen. Die Übermittlung der Authentifizierungsschlüssel erfolgt
verschlüsselt.
-
Bisher
entwickelte ETCS-Systeme nutzen ausschließlich das Offline-Schlüsselmanagement. Dabei
werden die geheimen Authentifizierungsschlüssel für alle vorgesehenen Kommunikationsverbindungen
durch den Hersteller des Systems, d. h. herstellerspezifisch, in
die Entitäten
eingebracht.
-
Für das zukünftig geplante
Online-Schlüsselmanagement
werden von den Bahnbetreibern KMC eingerichtet, die auf Anforderung
eine Online-Übermittlung
der benötigten
Schlüssel
an die in- und ausländischen
ETCS-Fahrzeuge übernehmen.
-
Die
nationalen KMC der verschiedenen Bahnbetreiber können untereinander Daten austauschen,
um angeforderte Schlüssel
für ausländische ETCS-Fahrzeuge
vom KMC des entsprechenden Bahnbetreibers zu beziehen. Die Kommunikation kann
offline oder online erfolgen. Bei Anwendung des Offline-Datenaustausches
müssen
die KMC vorab mit den Schlüsseln
aller nationalen und internationalen ETCS-Fahrzeuge versorgt werden.
Bei Anwendung des Online-Datenaustausches kann die Übertragung
der erforderlichen Schlüssel
zum Zeitpunkt der Anforderung und selektiv erfolgen. Es kann damit vorausgesetzt
werden, dass in einem nationalen KMC alle Authentifizierungsschlüssel zur
Kommunikation mit den nationalen und den internationalen Instanzen
verfügbar
sind und bei Bedarf abgerufen werden können. Das Nachrichtenformat
zwischen den KMC verschiedener Bahnbetreiber ist durch eine UNISIG-Norm
in Subset 38 festgelegt.
-
International
verkehrende ETCS-Fahrzeuge müssen
für das
Nachladen von Schlüsseln
Verbindung mit ihrem zuständigen
Heimat-KMC aufnehmen.
Im Gegensatz zur Kommunikation der ETCS-Fahrzeuge mit den RBC ist
der Datenaustausch zwischen den ETCS-Fahrzeugen und den KMC nicht standardisiert.
Das Übertragungsprotokoll ist
eine nationale Angelegenheit der Bahnbetreiber. Hierfür werden
zusätzliche
Kommunikationsressourcen und ggf. internationale Mobilfunkverbindungen benötigt. Der
zusätzliche
Ressourcenverbrauch wird besonders dann kritisch, wenn ein RBC-Handover parallel
zur Kommunikation mit einem KMC erfolgen soll. Dieses kann zusätzliche
Mobilfunk ressourcen oder eine zusätzliche Koordination der Verbindungssteuerung
erfordern.
-
Der
Erfindung liegt die Aufgabe zugrunde, ein Verfahren der gattungsgemäßen Art
anzugeben, das sich durch ressourceneffizientere Schlüsselverteilung
auszeichnet.
-
Erfindungsgemäß wird die
Aufgabe dadurch gelöst,
dass die Authentifizierungsschlüssel
für die Übertragung
mit einem Transportschlüssel
verschlüsselt
werden.
-
Durch
das beanspruchte Online-Schlüsselmanagement
werden auf einfache Art und Weise die genannten Schwierigkeiten
vermieden und dabei sowohl die bestehenden Vorgaben der UNISIG-Norm erfüllt, als
auch die spezifischen Anforderungen der Bahnbetreiber berücksichtigt.
Die Vorteile bestehen daneben in einer ressourceneffizienten Schlüsselverteilung,
in der zeitlichen Verkürzung
von Verbindungsaufbauphasen mit Bedarf von Schlüsselübertragung und in der Möglichkeit,
mit nationalen Systemerweiterungen das Schlüsselmanagement international
verkehrender Züge
eines Bahnbetreibers abzusichern.
-
Das
erfindungsgemäße Verfahren
reguliert die Verwaltung und Verteilung der Authentifizierungsschlüssel zwischen
den Entitäten
KMC, RBC und ETCS-Fahrzeug. Dazu wird die Funktion des Transportschlüssels erweitert.
Der Transportschlüssel übernimmt
nunmehr nicht nur den Schutz der Authentifizierungsschlüssel von
der Schlüsselerzeugung
im KMC bis zum Hersteller, sondern auch den Schutz des Transports
der Authentifizierungsschlüssel
vom KMC bis in die Entitäten
RBC und ETCS-Fahrzeug. Dazu werden die ETCS-Fahrzeuge und die streckenseitigen
RBC des Bahnbetreibers um einen signaltechnisch nicht sicheren Schlüsselspeicher
zur Aufnahme der verschlüsselten
Transportschlüssel
erweitert. Damit ist der Transportschlüssel ein weiterer in jeder
Entität
zu speichernder Schlüssel.
-
Die
Verschlüsselung
der an eine Entität
zu übermittelnden
Authentifizierungsschlüssel
erfolgt mit dem auf die Entität
bezogenen Transportschlüssel.
Die Entschlüsselung
der Authentifizierungsschlüssel
erfolgt mit dem Transportschlüssel
in den Entitäten.
Die Speicherung der Authentifizierungsschlüssel erfolgt verschlüsselt in
einem vorzugsweise zugriffsgeschützten
Speichermedium. Dieses Speichermedium kann in einem nichtsicheren
Rechner untergebracht sein.
-
Der
Austausch der fahrzeugspezifischen Transportschlüssel bei Erstinbetriebnahme
durch Hersteller bzw. Instandhaltung durch Betreiber oder Hersteller
zwischen Hersteller bzw. Instandhalter und der nationalen Schlüsselverteilzentrale
KMC des Betreibers erfolgt offline, ggf. über geschützte Infrastruktur.
-
Die
Einbringung des Transportschlüssels
in das ETCS-Fahrzeug erfordert ggf. die Verschlüsselung des Transportschlüssels mit
einem herstellerspezifischen Personalisierungsschlüssel.
-
Mit
der Anwendung des erfindungsgemäßen Verfahrens
ist ein Online-Schlüsselmanagement
mit minimalem Aufwand für
Installation, Wartung und Änderung
möglich.
Die Schlüsseldaten
müssen
nur an einer Stelle zentral verwaltet werden. Die Verteilung und
Updates erfolgen automatisch mittels ungeschützter Infrastruktur.
-
Der
Aufwand der Hersteller und Betreiber des ETCS-Systems für das Einbringen
und Verwalten der Authentifizierungsschlüssel verringert sich deutlich.
Es müssen
nur noch die Personalisierungs- und Transportschlüssel durch
den Hersteller bzw. Betreiber in geschützter Umgebung erzeugt und
in die Entitäten
eingebracht werden. Der Prozess findet nur einmal bei der Systemgenerierung
statt und muss bei späteren
Wartungsaktivitäten
nicht wiederholt werden.
-
Die
ETCS-Fahrzeuge erhalten alle zukünftig benötigten Schlüssel für die Kommunikation
mit nicht kooperativen RBC bereits während der Kommunikation mit
kooperativen RBC vorab. Im Ausland besitzt das ETCS-Fahrzeug somit
ohne zusätzliche
Schlüssel-Management-Aktivitäten alle
Schlüssel
für alle RBC
eigener und fremder Betreiber.
-
Neue
ETCS-Fahrzeuge können
einfach in das ETCS-System integriert werden. Die in allen RBC benötigten Schlüssel des
ETCS-Fahrzeugs werden automatisch verteilt – automatisch lernendes System.
-
Die
UNISIG-Standards für
die Kommunikation ETCS-Fahrzeug – RBC und KMC – KMC werden vollständig eingehalten.
Es sind keine Änderungen bzw.
Erweiterungen notwendig.
-
Für das Online-Schlüsselmanagement
sind im Normalfall keine zusätzlichen
Mobilfunkverbindungen notwendig, da bestehende ETCS-Funkverbindungen
mitbenutzt werden. Dadurch entstehen keine neuen Anforderungen an
zusätzliche Funk-Ressourcen,
insbesondere bezüglich
Funkkanäle
und GSM-Endgeräte.
-
Die
Bahnbetreiber können
Updateprotokolle zwischen KMC und RBC und zwischen ETCS-Fahrzeug
und RBC selbständig
und flexibel definieren.
-
Es
gibt keine Rückwirkungen
und Anforderungen auf die Fahrzeug- und Streckeninfrastruktur anderer
Bahnbetreiber.
-
Das
Verfahren ist robust und funktioniert auch in den Fällen, bei
denen die Vorabverteilung der Schlüssel vom KMC über RBC
an die ETCS-Fahrzeuge – Cache – nicht
durchgeführt
werden kann, z. B. nach Reparatur im Ausland, oder nicht erfolgreich ist,
z. B. infolge von Funkkanalstörungen.
Mit den unten näher
erläuterten
Alternativmethoden b), nämlich Anforderung
von Schlüsseln
beim kooperativen RBC, und c), nämlich
Anforderung von Schlüsseln beim
kooperativen KMC, kann jedes ETCS-Fahrzeug in jeder Situation mit
den benötigten
Authentifizierungsschlüsseln
versorgt werden.
-
Die
notwendigen Updateprotokolle und lokalen nicht zugriffsgeschützten Datenspeicher
in den ETCS-Fahrzeugen und RBC erfordern nur geringen zusätzlichen
Aufwand an Entwicklung und Ressourcenbereitstellung. Die zusätzliche
Netzlast kann infolge geeigneter Updateverfahren minimal gehalten werden.
Der Datenverkehr für
die ETCS-Zugsteuerung wird infolge der Verfahrensanwendung nicht
beeinflusst.
-
Gemäß Anspruch
2 wird der Transportschlüssel
in der Entität
mit einem entitätenspezifischen,
vom Hersteller vorgegebenen Personalisierungsschlüssel verschlüsselt aufbewahrt
und nur bei Benutzung entschlüsselt.
-
Gemäß Anspruch
3 ist vorgesehen, dass die Transportschlüssel vom Bahnbetreiber vorgegeben und
entitätenspezifisch
ausgeprägt
sind. Das heißt, dass
für jedes
RBC und für
jedes ETCS-Fahrzeug
ein spezifischer Transportschlüssel
für die Übermittlung der
Authentifizierungsschlüssel
verwendet wird. Damit wird die höchste
Flexibilität
und Sicherheit des Austausches erreicht.
-
Alternativ
kann das Verfahren gemäß Anspruch
4 auch mit einem betreiberweit einheitlichen Transportschlüssel realisiert
werden.
-
Eine
weitere mögliche
Ausprägung
des erfindungsgemäßen Verfahrens
ist gemäß Anspruch
5 die Benutzung der vom Hersteller vorgegebenen und entitätenspezischen
Personalisierungsschlüssel
als Transportschlüssel,
um die zusätzliche
Generierung und Verwaltung von Transportschlüsseln einzusparen. Damit wird
allerdings die Unabhängigkeit
der Schlüsselerzeugung
zwischen Hersteller und Betreiber aufgehoben.
-
Gemäß Anspruch
6 wird eine Zugriffsmöglichkeit
auf den Schlüsselspeicher
des RBC zum Übertragen
von Schlüsseldaten
zwischen RBC und Fahrzeug auf der Basis eines einzuführenden Übertragungsprotokolls,
d. h. Updateprotokoll Fahrzeug – RBC,
geschaffen. Das Updateprotokoll Fahrzeug – RBC setzt auf dem vorhandenen
und standardisierten EURORADIO-Protokoll auf und nutzt dessen Dienste
für die
Einrichtung, Verwaltung und Auslösung
zusätzlicher
virtueller Verbindungen zwischen Fahrzeug und RBC. Das Updateprotokoll
ist betreiberspezifisch festzulegen.
-
Gemäß Anspruch
7 wird für
das RBC eine Zugriffsmöglichkeit
auf den Schlüsselspeicher
des KMC zum Übertragen
von Schlüsseldaten
zwischen KMC und RBC auf der Basis eines einzuführenden Übertragungsprotokolls, d. h.
Updateprotokoll KMC – RBC,
geschaffen. Das Updateprotokoll KMC – RBC kann auf beliebigen Übertragungsdiensten
oder -protokollen aufsetzen und ist bahnbetreiberspezifisch festzulegen.
-
Die
Erfindung wird nachfolgend anhand figürlicher Darstellungen näher erläutert. Es
zeigen:
-
1 eine
erste Variante zur Schlüsselübertragung,
-
2 eine
zweite Variante zur Schlüsselübertragung,
-
3 eine
dritte Variante zur Schlüsselübertragung,
-
4 ein
erstes Updateverfahren und
-
5 ein
zweites Updateverfahren.
-
Das
erfindungsgemäße Schlüsselmanagementverfahren
sieht drei verschiedene Varianten zur Schlüsselübertragung von einer Schlüsselverteilzentrale
KMC bis zu einem ETCS-Fahrzeug vor:
-
a) Verteilung der Schlüssel über Streckenzentralen RBC gemäß 1
-
Die
Verteilung über
RBC erfolgt in 3 Stufen.
-
In
der ersten Stufe erfolgt die Ermittlung und Bereitstellung aller
notwendigen Schlüssel
für alle
im KMC verwalteten ETCS-Fahrzeuge
eines Bahnbetreibers. Die Schlüssel
eines ETCS-Fahrzeuges
für inländische
Kommunikationsverbindungen sind im KMC hinterlegt und können bei
Bedarf sofort verteilt werden. Die Schlüssel eines ETCS-Fahrzeuges
für ausländische
Kommunikationsverbindungen können bei
Anwendung des Online-Datenaustausches zwischen KMC im ausländischen
KMC hinterlegt sein und müssen
ggf. zunächst
von dort an das inländische
KMC übermittelt
werden. Aus diesem Grund können
die KMC der verschiedenen Bahnbetreiber miteinander verbunden sein
und die Schlüssel
der international verkehrenden ETCS-Fahrzeuge untereinander austauschen.
Kommt zwischen den KMC der Offline-Datenaustausch zur Anwendung, entfällt diese
erste Stufe, da die Schlüssel
für alle
in- und ausländischen
Kommunikationsverbindungen in diesem Fall bereits im KMC vorliegen
müssen.
-
In
der zweiten Stufe erfolgt die Verteilung der Schlüssel aller
verwalteten ETCS-Fahrzeuge eines KMC zu allen angeschlossenen RBC
eines Bahnbetreibers. Verteilt werden alle potentiell benötigten Schlüssel für alle Fahrzeuge
des Bahnbetreibers mit Kommunikationsbedarf im ETCS. Zu diesem Zweck gibt
es ein Kommunikationsprotokoll zwischen dem KMC und den RBC, über welches
regelmäßig ein
Update der Datenbestände
in den RBC erfolgt. Das Updateprotokoll kann bestehende Festnetzverbindungen
zwischen dem KMC und den RBC benutzen. Da die Schlüsselbestände nur
selten geändert
werden und über
die Datenleitung nur Änderungen übertragen
werden, ist die durch die Schlüsselverteilung
generierte zusätzliche
Netzlast gering. Für
das Updateprotokoll KMC – RBC
gibt es keine UNISIG-Vorgaben,
so dass jeder Bahnbetreiber ein eigenes Protokoll benutzen kann.
In allen RBC werden die Schlüsseldaten
für alle
im KMC verwalteten ETCS-Fahrzeuge als Kopien vorgehalten.
-
In
der dritten Stufe erfolgt die Übertragung der
Schlüssel
zwischen RBC und ETCS-Fahrzeugen. Dafür wird die für die ETCS-Zugsteuerung
bestehende Funkverbindung zwischen ETCS-Fahrzeug und RBC mitbenutzt. Das standardisierte
EURORADIO-Protokoll
sieht vor, dass weitere Datenverbindungen auf den bestehenden Funkkanal
aufgeschaltet werden können
und die Daten mehrerer Anwendungen im Multiplex übertragen werden. Dazu besitzen
ETCS-Fahrzeug und RBC neben dem EURORADIO-Protokoll ein weiteres
gemeinsames Übertragungsprotokoll,
d. h. ein Updateprotokoll, mit dem die Schlüssel für das jeweilige ETCS-Fahrzeug bei bestehender
Funkverbindung automatisch und mit niedriger Priorität vom RBC
zum ETCS-Fahrzeug übermittelt
werden. Das Updateprotokoll ist nicht standardisiert und kann vom
jeweiligen Bahnbetreiber frei gewählt werden. Das jeweilige ETCS-Fahrzeug
des Betreibers wird online und proprietär mit allen in der nationalen
Schlüsselverteilzentrale
KMC des Betreibers vorliegenden ETCS-Schlüsseln bevorratet, die zur Kommunikation
mit allen Streckenzentralen RBC der inländischen und ausländischen Bahnbetreiber
notwendig sind. Anhand der eindeutigen ETCS-Identifikation ETCS-ID
des ETCS-Fahrzeugs ermittelt das aktuelle RBC alle potentiell benötigten Schlüssel für das ETCS-Fahrzeug
und überträgt diese
an das Fahrzeug. Sofern im ETCS-Fahrzeug die Schlüssel aus
einer zurückliegenden Übertragung
bereits lokal gespeichert sind, beschränkt sich die Übertragung
auf eine Überprüfung der
Aktualität
und ein Update nicht mehr aktueller Schlüssel. Bei Bedarf kann die Auswahl
der zu übertragenden Schlüssel anhand
weiterer Kriterien, wie beispielsweise einer Kennung für die beabsichtigte
Fahrstrecke, eingeschränkt
werden. Die Schlüssel
werden lokal im ETCS-Fahrzeug gespeichert. Dieses kann beispielsweise
in einem Vorverarbeitungsrechner auf dem ETCS-Fahrzeug erfolgen.
-
b) Anforderung von Schlüsseln durch
das ETCS-Fahrzeug gemäß 2
-
Die
Variante der Anforderung durch das ETCS-Fahrzeug kann benutzt werden,
wenn das ETCS-Fahrzeug einen benötigten
Schlüssel
nicht im lokalen Datenspeicher vorfindet. Die Anforderung durch
das ETCS-Fahrzeug erfolgt in ein bis drei Stufen.
-
In
der ersten Stufe fordert das ETCS-Fahrzeug einen oder mehrere Schlüssel direkt
beim RBC an. Dazu kann eine bestehende Funkverbindung genutzt oder
eine neue Funkverbindung eingerichtet werden. Mittels Updateprotokoll
ETCS-Fahrzeug – RBC
erfolgt ein Zugriff auf den Schlüsselspeicher
im RBC und die Übertragung
der selektierten Daten an das ETCS-Fahrzeug.
-
Falls
der oder die benötigten
Schlüssel
in der Datenbasis des RBC nicht verfügbar ist oder sind, wird in
der zweiten Stufe eine Verbindung zwischen dem RBC und dem zugehörigem KMC
eingerichtet. Mittels Updateprotokoll RBC – KMC erfolgt durch das RBC
der Zugriff auf die Schlüsselbasis
des KMC. Die selektierten Schlüssel
werden erst vom KMC an das RBC und danach vom RBC an das ETCS-Fahrzeug übermittelt.
-
Werden
Schlüssel
für ausländische ETCS-Verbindungen
benötigt,
die im KMC nicht hinterlegt sind, werden in der dritten Stufe die
erforderlichen Verbindungen zwischen den beteiligten KMC eingerichtet
und es erfolgt zunächst
eine Übertragung
der Schlüssel
in das KMC, bevor die Schlüssel an
das RBC und von dort an das ETCS-Fahrzeug weiter übertragen
werden. Die dritte Stufe wird nur im Falle des Online-Datenaustausches
zwischen den KMC angewendet.
-
c) Anforderung von Schlüsseln beim
KMC gemäß 3
-
Neben
den Varianten nach a) und b) gibt es weiterhin die Möglichkeit
einer direkten Anforderung der benötigten Schlüssel beim zuständigen KMC durch
das ETCS-Fahrzeug. Diese Variante eignet sich als Rückfallebene
zu a) und b). Sie ist besonders in solchen Fällen geeignet, bei denen das ETCS-Fahrzeug
kein Updateprotokoll mit dem RBC durchführen kann, z. B. bei Fahrten
im Ausland.
-
An
die Speicherung der Schlüssel
im ETCS-Fahrzeug bestehen keine Sicherheitsanforderungen. Die ETCS-Schlüssel können vorteilhaft
in einer nicht zugriffsgeschützten
Umgebung abgelegt werden, da die Schlüssel zu keinem Zeitpunkt der Übertragung
und Speicherung unverschlüsselt
vorliegen. Die Speicherung einer Vielzahl von Schlüsseldatensätzen ist
mittels Massenspeicher eines Kommunikations-Rechners im ETCS-Fahrzeug
problemlos möglich.
-
Aufgrund
der bahnbetreiberspezifischen Ausprägung der verwendeten Updateprotokolle Fahrzeug – RBC und
RBC – KMC
ist das vorgeschlagene Verfahren zur Schlüsselbereitstellung via RBC nur
zwischen ETCS-Fahrzeugen und RBC, die zum gleichen Bahnbetreiber
gehören,
möglich.
Jedes ETCS-Fahrzeug unterscheidet demnach kooperative RBC, mit welchen
der Schlüsselaustausch
möglich ist,
und nicht kooperative RBC, mit denen aufgrund inkompatibler Übertragungsprotokolle
kein Schlüsselaustausch
möglich
ist.
-
Damit
das Online-Schlüsselmanagement auch
im grenzüberschreitenden
Zugverkehr wirksam ist, müssen
die ETCS-Fahrzeuge während
ihrer Kommunikation mit kooperativen RBC neben den Schlüsseln für die inländischen
Kommunikationsverbindungen auch die Schlüssel für die ausländischen Kommunikationsverbindungen
herunterladen. Das Herunterladen der Schlüssel erfolgt nur dann, wenn sich
das ETCS-Fahrzeug in einer kooperativen Streckeninfrastruktur bewegt.
Die Erkennung von kooperativen RBC erfolgt automatisch durch das
Updateprotokoll Fahrzeug – RBC.
Verlässt
das ETCS-Fahrzeug die kooperative Streckeninfrastruktur des Betreibers,
verfügt
es auch über
das Schlüsselmaterial zur
Kommunikation mit nichtkooperativen Streckenzentralen RBC anderer
Betreiber, sofern diese bereits an das ETCS-Fahrzeug übertragen
wurden.
-
Die Übertragung
der in den RBC vorgehaltenen Schlüssel erfolgt dann, wenn ein
ETCS-Fahrzeug eine ETCS-Datenverbindung zum RBC aufbaut. Die Übertragung
der Schlüssel
erfolgt mit niedriger Priorität,
so dass nur dann Schlüssel übertragen werden,
wenn die zu übermittelnden
Zugsteuerungsdaten die verfügbare
Kapazität
des Funkkanals nicht ausschöpfen – Über tragung
im Hintergrund. Wechselt das ETCS-Fahrzeug die Funkverbindung zum RBC,
d. h. beim RBC-Handover, kann der Download der Schlüssel abgebrochen
werden. Bei der nächsten
eingerichteten Funkverbindung zum kooperativen Nachbar-RBC kann
die Schlüsselübertragung fortgesetzt
werden. Das spezifische Übertragungsprotokoll
zum Schlüsselupdate
kann derart optimiert werden, dass nur Delta-Informationen übertragen werden
und abgebrochene Übertragungen
automatisch fortgesetzt werden.
-
Alle
Schlüssel
sind mit einem fahrzeugspezifischen Transportschlüssel verschlüsselt und
werden nur fahrzeugintern bei Benutzung entschlüsselt. Sowohl im KMC, als auch
im RBC liegen die Schlüssel ausschließlich verschlüsselt vor.
Zu jedem Schlüssel gehört eine
eindeutige ETCS-ID, zu der dieser Schlüssel gehört. Anhand der ETCS-ID kann
aus der Vielzahl der Schlüssel
derjenige Schlüssel
selektiert werden, der für
die aktuelle Kommunikationsverbindung benötigt wird. Neben der ETCS-ID
kann zum ETCS-Schlüssel
noch ein Gültigkeitsdatum,
beispielsweise das Datum der ersten Gültigkeit, gehören, mit
dem eine Erkennung der Aktualität
eines Schlüssels
möglich
ist. Die ETCS-ID's
der Schlüssel liegen
unverschlüsselt
vor und bilden jeweils zusammen mit dem Gültigkeitsdatum und dem zugehörigen Schlüssel einen
Datensatz.
-
Das
Schlüsselmanagementverfahren
ist nicht nur für
die Verteilung von Schlüsseln
der Streckeninfrastruktur anwendbar, sondern auch für Updates
von Schlüsseln
der RBC, wie 4 veranschaulicht. Mittels der
lokalen Datenbasis im RBC und dem Updateprotokoll RBC – KMC können die
im RBC benötigten
Schlüssel
der ETCS-Fahrzeuge automatisch aktuell gehalten werden. Werden neue Fahrzeuge
in das ETCS-System aufgenommen, erfolgt ein Update der Schlüsselbasis
im KMC. Über das
Updateprotokoll RBC – KMC
werden auf Initiative des KMC die Schlüsseldaten an alle zugeordneten RBC
verteilt und dort lokal gespeichert.
-
Daneben
kann das Update der Schlüsseldaten
im RBC auch auf Anforderung des RBC erfolgen, wie 5 zeigt.
In der lokalen Datenbasis der RBC werden in diesem Fall neben den
Schlüsseln
der RBC, die bei Bedarf an ETCS-Fahrzeuge übertragen werden, auch die
Schlüssel
der bekannten Fahrzeuge, die lokal im RBC verwendet werden, abgespeichert.
-
Es
sind verschiedene Ausprägungen
des erfindungsgemäßen Verfahrens
möglich.
Das betrifft neben der Festlegung der kooperativen Infrastruktur die
angewendeten Methoden für
das Aktualisieren der Datenbasen in RBC und ETCS-Fahrzeugen sowie
die Anwendung auf verschiedene Schlüsseltypen für mobile und/oder ortsfeste
Einrichtungen.
-
Funktionsbeschreibung
-
Während der
Fahrt kommuniziert das ETCS-Fahrzeug nacheinander mit verschiedenen
lokal zuständigen
RBC. Dafür
werden jeweils die spezifischen Authentifizierungsschlüssel für dieses
RBC benötigt.
-
Benötigt ein
ETCS-Fahrzeug für
eine sichere Verbindung zu einem RBC einen Schlüssel, erfolgt zunächst ein
Zugriff auf den lokalen Schlüsselspeicher
im ETCS-Fahrzeug. Im Regelfall befindet sich in der lokalen Datenbasis
des ETCS-Fahrzeuges in dem Vorrat an gespeicherten Schlüsseln der
erforderliche ETCS-Schlüssel.
Die Selektion erfolgt anhand der übergebenen RBC-ID. Der selektierte Schlüssel wird
aus dem Schlüsselspeicher,
der sich in einer nicht zugriffsgeschützten Umgebung befinden kann,
in den sicheren Fahrzeugrechner übertragen
und dort mittels des Transportschlüssels entschlüsselt. Mit
dem entschlüsselten
Authentifizierungsschlüssel
des RBC kann die gesicherte Verbindung gemäß dem Sicherungsprotokoll des
EURORADIO-Verfahrens aufgebaut werden.
-
Nach
Etablierung der ETCS-Verbindung wird auf Initiative des Updateprotokolls
Fahrzeug – RBC durch
das ETCS-Fahrzeug versucht, im bestehenden Funkkanal eine zusätzliche
virtuelle Verbindung zwischen RBC und ETCS-Fahrzeug aufzubauen. Dieses
ist nur mit einem kooperativen RBC möglich. Kommuniziert das ETCS-Fahrzeug
mit einem nicht kooperativen RBC scheitert der Verbindungsaufbau für die zusätzliche
virtuelle Verbindung zum Schlüsselaustausch.
Die bestehende ETCS-Verbindung ist davon unberührt.
-
Im
Falle der Kommunikation mit einem kooperativen RBC kommt die Verbindung
zum Schlüsselaustausch
zustande. Es werden automatisch alle für dieses ETCS-Fahrzeug relevanten
Schlüsseldaten
als Update-Informationen vom kooperativen RBC an das ETCS-Fahrzeug übertragen
und dessen lokale Schlüsseldatenbasis
aktualisiert. Ist der Datenbestand auf dem ETCS-Fahrzeug aktuell,
wird die virtuelle Verbindung zum Schlüsselupdate beendet. Um den
Kommunikationsaufwand zu optimieren, kann das Protokoll zum Schlüsselaustausch
zeitgesteuert die Anfrage beim RBC bezüglich aktueller Schlüsseldaten
wiederholen.
-
In
bestimmten Fällen
kann es vorkommen, dass ein benötigter
Schlüssel
nicht im lokalen Schlüsselspeicher
des ETCS-Fahrzeuges vorliegt. Dieses trifft beispielsweise bei ETCS-Fahrzeugen
zu, deren lokale Datenbasis bei einer Reparatur im Ausland ausgetauscht
wurde und die während
ihrer Fahrt im Ausland kein kooperatives RBC zum Download der Schlüsseldaten
vorfinden. Kann für
eine angeforderte ETCS-Kommunikationsverbindung kein Schlüssel aus
dem lokalen Datenspeicher im ETCS-Fahrzeug bereitgestellt werden, gibt
es Alternativvarianten gemäß b) und
c), um den Schlüssel zum
ETCS-Fahrzeug zu übertragen.
-
Das
ETCS-Fahrzeug nimmt eine ungesicherte Verbindung zum RBC auf und
fordert die Übertragung
des benötigten
Schlüssels
beim RBC an. Diese Alternative ist nur möglich, wenn das ETCS-Fahrzeug
mit einem kooperativen RBC in Verbindung steht. Die Erkennung kooperativer
RBC erfolgt automatisch durch das Updateprotokoll des ETCS-Fahrzeuges.
Handelt es sich um ein nicht kooperatives RBC, wird die Schlüsselanforderung
mit einer Fehlermeldung beendet. Auf Anforderung des ETCS-Fahrzeuges
kommt mit kooperativen RBC eine Verbindung zum Schlüsselaustausch
zustande. Ist der geforderte Schlüssel in der lokalen Schlüsseldatenbasis
des RBC verfügbar,
wird dieser sofort an das ETCS-Fahrzeug gesendet. Ist der geforderte Schlüssel nicht
im RBC verfügbar,
erfolgt durch das RBC über
eine Festnetzverbindung eine Anfrage an das zuständige KMC. Das für das kooperative
RBC zuständige
KMC überträgt den Schlüssel an
das RBC, welches den Schlüssel
an das ETCS-Fahrzeug weiterleitet. Bei Anwendung des Online-Datenaustausches
zwischen KMC kann das KMC ausländische
Authentifizierungsschlüssel über Inter-KMC-Verbindungen
anfordern. Es können
durch das ETCS-Fahrzeug ausgewählte
Schlüssel
oder alle für
das ETCS-Fahrzeug gültige
Schlüssel
beim RBC angefordert werden. Nach Übertragung des Schlüssels oder
der Schlüssel
an das ETCS-Fahrzeug kann die bestehende Funkverbindung mit Hilfe des
Schlüssels
sofort zu einer sicheren ETCS-Verbindung erweitert werden.
-
Falls
das ETCS-Fahrzeug sich in einer nicht kooperativen Infrastruktur
befindet und deswegen kein Schlüssel
beim RBC anfordern kann, wird durch das ETCS-Fahrzeug eine direkte
Verbindung zu dem für
das ETCS-Fahrzeug zuständigen
KMC hergestellt. Im zuständigen
KMC werden die benötigten Schlüssel, ggf.
mittels Inter-KMC-Verbindung selektiert und an das ETCS-Fahrzeug übermittelt.
Da diese Variante c) hohen Verbindungsaufwand erfordert, sollte
sie nur als Rückfallebene
des Online-Schlüsselmanagements
benutzt werden.