DE102011006772A1 - System und Verfahren für ein Schlüsselmanagement eines Zugsicherungssystems - Google Patents

System und Verfahren für ein Schlüsselmanagement eines Zugsicherungssystems Download PDF

Info

Publication number
DE102011006772A1
DE102011006772A1 DE102011006772A DE102011006772A DE102011006772A1 DE 102011006772 A1 DE102011006772 A1 DE 102011006772A1 DE 102011006772 A DE102011006772 A DE 102011006772A DE 102011006772 A DE102011006772 A DE 102011006772A DE 102011006772 A1 DE102011006772 A1 DE 102011006772A1
Authority
DE
Germany
Prior art keywords
key
communication
rail vehicle
keys
route
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011006772A
Other languages
English (en)
Inventor
Rainer Falk
Steffen Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102011006772A priority Critical patent/DE102011006772A1/de
Priority to EP12715542.2A priority patent/EP2658764B1/de
Priority to PCT/EP2012/055460 priority patent/WO2012136525A1/de
Priority to CN201280017183.7A priority patent/CN103459234B/zh
Priority to HUE12715542A priority patent/HUE037319T2/hu
Priority to NO12715542A priority patent/NO2658764T3/no
Priority to ES12715542.2T priority patent/ES2642673T3/es
Publication of DE102011006772A1 publication Critical patent/DE102011006772A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • B61L15/0027Radio-based, e.g. using GSM-R
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/70Details of trackside communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/20Trackside control of safe travel of vehicle or train, e.g. braking curve calculation
    • B61L2027/202Trackside control of safe travel of vehicle or train, e.g. braking curve calculation using European Train Control System [ETCS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Verteilen von Kommunikationsschlüsseln (6) für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugsicherungssystems, mit den Schritten des Erzeugens eines Kommunikationsschlüssels (6) in einer ersten Schlüsselvergabestelle (1a) eines ersten Streckenbetreibers in Abhängigkeit von einer geplanten Fahrtroute eines Schienenfahrzeugs (4), des Bereitstellens des Kommunikationsschlüssels (6) an eine zweite Schlüsselvergabestelle (1b) eines zweiten Streckenbetreibers, des Bereitstellens des Kommunikationsschlüssels (6) an das Schienenfahrzeug (4) durch die erste Schlüsselvergabestelle, und des Verschlüsselns von Verkehrsleitnachrichten des Schienenfahrzeugs (4) mit dem Kommunikationsschlüssel (6) zum manipulationssicheren Kommunizieren des Schienenfahrzeugs (4) mit Streckenzentralen (3) des ersten Streckenbetreibers und mit Streckenzentralen (3) des zweiten Streckenbetreibers.

Description

  • Die vorliegende Erfindung bezieht sich auf ein System und ein Verfahren für ein Schlüsselmanagement eines Zugsicherungssystems.
  • Stand der Technik
  • Ein im Schienenverkehr zur Zugsicherung eingesetztes Sicherungssystem ist das sogenannte europäische Zugsteuersystem ”ETCS”, European Train Control System). Dieses Verkehrsleitsystem nutzt üblicherweise Funkdatenübertragung, beispielsweise über GSM-R, um Leitnachrichten und Sicherungsnachrichten zwischen Schienentriebfahrzeugen bzw. deren Zugsicherungsrechnern, wie zum Beispiel dem European Vital Computer (EVC) und stationären Streckenzentralen, den Funkblockzentralen (”RBC”, Radio Block Centres), auszutauschen. Um die Daten bei der Übertragung vor unbemerkten Manipulationen und Übertragungsfehlern zu schützen, sind sie mit einer kryptographischen Prüfsumme geschützt, zu deren Berechnung und/oder Überprüfung ein kryptographischer Schlüssel notwendig ist.
  • Üblicherweise werden symmetrische Kryptographieverfahren eingesetzt, so dass sowohl das Schienentriebfahrzeug als auch die Streckenzentrale zumindest einen Schlüssel besitzen muss. Da sich das Schienenfahrzeug auf seiner vorbestimmten Route durch Zuständigkeitsbereiche verschiedener stationärer Streckenzentralen entlang der Route bewegt, ist es notwendig, dass jeder der temporär zuständigen Streckenzentralen ein passender Schlüssel zur Kommunikation mit dem Schienenfahrzeug mitgeteilt wird. Die Schlüsselverteilung an die Streckenzentralen ist daher ein grundlegendes Problem eines effektiven Zugsicherungssystems, um die Kommunikation des Schienenfahrzeugs mit allen Streckenzentralen, gegebenenfalls auch mit Streckenzentralen anderer Streckenbetreiber, in manipulationssicherer Form zu gewährleisten.
  • 1 zeigt den prinzipiellen Aufbau eines Schienenfahrzeugleitsystems 10 in einer schematischen Darstellung. Ein Schienenfahrzeug 4, beispielsweise ein Zug mit einem steuerbaren Triebfahrzeug, welches einen EVC an Bord hat, bewegt sich entlang einer Route 5 durch verschiedene Domänen A, B und C, welche unter der Kontrolle verschiedener Streckenbetreiber stehen, und welche durch die gepunkteten Linien optisch voneinander abgegrenzt sind. Die Domänen A, B und C können beispielsweise Länder wie Deutschland, Österreich und Italien mit jeweils eigenen Schienennetzen sein, und der Zug 4 kann beispielsweise eine geplante Route 5 von München nach Venedig haben, die ihn durch alle drei Länder Deutschland, Österreich und Italien führt.
  • Jeder Streckenbetreiber besitzt eine Schlüsselmanagementzentrale oder Schlüsselvergabestelle 1a, 1b bzw. 1c, auch KMC (”Key Management Centre”) genannt. Das heißt, in der Domäne A ist die KMC 1a für das Schlüsselmanagement verantwortlich, in der Domäne B die KMC 1b und in der Domäne C die KMC 1c. Unter der Ägide der KMCs 1a, 1b und 1c stehen jeweils Streckenzentralen 3, sogenannte RBCs, die Schlüsselnachrichtencodes, sogenannte KMACs (”Key Message Authentication Codes”) von den KMCs erhalten können. Die KMACs können dabei Kommunikationsschlüssel umfassen, welche zur sicheren Kommunikation der RBCs 3 mit dem Zug 4 dienen können.
  • Die Streckenzentralen oder RBCs 3 sind lokal stationär für bestimmte Blockabschnitte des Schienennetzwerks verantwortlich. Ein RBC 3 kann dabei jeweils einer Schlüsselgruppe 2a, 2b, 2c zugeordnet sein, welche von dem jeweils übergeordneten KMC 1a, 1b, 1c in der jeweiligen Domäne A, B oder C mit Kommunikationsschlüsseln versorgt wird. Es kann dabei vorgesehen sein, dass mehrere RBCs 3 der gleichen Schlüsselgruppe zugeordnet sind. Beispielhaft sind in der Domäne A und in der Domäne C je zwei RBCs 3 einer Schlüsselgruppe 2a bzw. 2c zugeordnet. Es kann alternativ auch sein, dass ein RBC 3 gleichzeitig auch seine eigene Schlüsselgruppe bildet, wie beispielhaft in der Domäne B mit der Schlüsselgruppe 2b dargestellt. Jede Schlüsselgruppe 2a, 2b, 2c erhält von dem übergeordneten KMC 1a, 1b, 1c einen gruppenspezifischen Kommunikationsschlüssel zugeteilt.
  • Das Schienenfahrzeug 4 kommuniziert dabei über Kommunikationsverbindungen 5a mit RBCs 3 in der ersten Domäne A, über Kommunikationsverbindungen 5b mit dem RBC 3 in der zweiten Domäne B und über Kommunikationsverbindungen 5c mit RBCs 3 in der dritten Domäne A. Dabei werden die Kommunikationsverbindungen 5a, 5b und 5c jeweils über die von den KMCs 1a, 1b, 1c zur Verfügung gestellten Kommunikationsschlüsseln abgesichert.
  • Eine Möglichkeit zur Schlüsselverteilung von Kommunikationsschlüsseln an die verschiedenen Streckenzentralen 3 besteht in einer manuellen Verteilung der Kommunikationsschlüssel durch einen Mitarbeiter des Zugbetreibers oder des jeweiligen Streckenbetreibers. In diesem Fall kann es sein, dass der Mitarbeiter vor Fahrtantritt domänenspezifische Kommunikationsschlüssel von jedem der KMCs 1a, 1b, 1c anfordert und diese domänenspezifischen Kommunikationsschlüssel auf dem Steuerrechner, der sogenannten OBU (”On-Board Unit”) des Zugs 4 installiert. Die Installation kann beispielsweise durch manuelle Eingabe über eine Eingabeschnittstelle, zum Beispiel eine Tastatur oder ein berührungsempfindlicher Bildschirm, über eine lokale Netzwerkverbindung, ein lokal eingesetztes Speichermedium, zum Beispiel eine Diskette oder ein USB-Stick, oder eine gesicherte drahtlose Fernwartungsverbindung erfolgen.
  • Eine derartige Schlüsselverteilung ist aufwändig, fehleranfällig und ineffizient. Insbesondere ist hierzu eine ständige Verbindung zwischen KMCs verschiedener Domänen notwendig, um den ständigen Austausch von Kommunikationsschlüsseln zwischen den KMCs zu gewährleisten.
  • Es besteht daher ein Bedarf nach einfacheren Lösungen für eine Schlüsselverteilung für Kommunikationsschlüssel in domänenübergreifenden Sicherungssystemen für Schienenfahrzeuge.
  • Zusammenfassung der Erfindung
  • Eine Idee der vorliegenden Erfindung ist es, einen Schlüsselverteilungsplan anhand einer geplanten Zugroute auszuarbeiten und für die Befahrung dieser Route notwendige Kommunikationsschlüssel automatisch zu konfigurieren. Hierzu können Kommunikationsschlüssel durch eine zentrale verantwortliche Schlüsselvergabestelle erzeugt werden, die auf die geplante Route abgestimmt sind. Diese Kommunikationsschlüssel können den beteiligten Schlüsselvergabestellen anderer Domänen bzw. Streckenbetreiber zur Verfügung gestellt werden, so dass die zentral und automatisch erstellten Kommunikationsschlüssel gezielt an die Züge und die Streckenzentralen verteilt werden können.
  • Einer der Vorteile dieser Vorgehensweise ist es, dass die Definition eines Schlüsselverteilungsplans erheblich vereinfacht wird. Außerdem kann die Gültigkeit der Kommunikationsschlüssel hinsichtlich Fahrstrecke und Fahrtzeit des Zugs in einfacher Weise örtlich und zeitlich begrenzt werden, so dass der erfindungsgemäße Schlüsselverteilungsplan weniger fehleranfällig ist als herkömmliche Schlüsselverteilungspläne.
  • Ein weiterer Vorteil ist die Automatisierbarkeit des Schlüsselverteilungsplans durch die Möglichkeit, den Plan automatisch aus extern bereitgestellten Fahrtroutenplänen zu generieren und zu verifizieren.
  • Eine Ausführungsform der vorliegenden Erfindung besteht daher in einem Verfahren zum Verteilen von Kommunikationsschlüsseln für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugsicherungssystems, mit den Schritten des Erzeugens eines Kommunikationsschlüssels in einer ersten Schlüsselvergabestelle eines ersten Streckenbetreibers in Abhängigkeit von einer geplanten Fahrtroute eines Schienenfahrzeugs, des Bereitstellens des Kommunikationsschlüssels an eine zweite Schlüsselvergabestelle eines zweiten Streckenbetreibers, des Bereitstellens des Kommunikationsschlüssels an das Schienenfahrzeug durch die erste Schlüsselvergabestelle, und des Verschlüsselns von Verkehrsleitnachrichten des Schienenfahrzeugs mit dem Kommunikationsschlüssel zum manipulationssicheren Kommunizieren des Schienenfahrzeugs mit Streckenzentralen des ersten Streckenbetreibers und mit Streckenzentralen des zweiten Streckenbetreibers.
  • Vorteilhafterweise erfolgt ein Bereitstellen des Kommunikationsschlüssels an erste Streckenzentralen durch den ersten Streckenbetreiber und ein Bereitstellen des Kommunikationsschlüssels an zweite Streckenzentralen durch den zweiten Streckenbetreiber.
  • Gemäß einer bevorzugten Ausführungsform umfasst der Kommunikationsschlüssel eine Vielzahl von streckenzentralenspezifischen Kommunikationsschlüsseln, wobei das Bereitstellen des Kommunikationsschlüssels an die zweite Schlüsselvergabestelle das Bereitstellen einer Gruppe von streckenzentralenspezifischen Kommunikationsschlüsseln, welche den zweiten Streckenzentralen des zweiten Streckenbetreibers zugeordnet sind, an die zweite Schlüsselvergabestelle umfasst. Dies hat den Vorteil, dass von unterschiedlichen Streckenzentralen unterschiedliche Kommunikationsschlüssel verwendet werden, so dass bei versehentlicher Offenlegung oder bei Manipulation eines der Kommunikationsschlüssel die Kompromittierung des Gesamtsystems auf lediglich eine Streckenzentrale begrenzt bleibt.
  • Gemäß einer Ausführungsform erfolgt das Erzeugen des Kommunikationsschlüssels in einer ersten Schlüsselvergabestelle das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel von einem Hauptkommunikationsschlüssel durch ein Schlüsselableitungsverfahren. Dies bietet den Vorteil, dass das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel von einem Steuerrechner des Schienenfahrzeugs selbst durchgeführt werden kann.
  • Gemäß einer bevorzugten Ausführungsform erfolgt das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel durch die erste Schlüsselvergabestelle nur für die ersten Streckenzentralen und das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel durch die zweite Schlüsselvergabestelle nur für die zweiten Streckenzentralen. Dadurch kann vorteilhafterweise bei einem hohen Fahrzeugaufkommen die Schlüsselverwaltung in einer Schlüsselvergabestelle nur auf diejenigen abgeleiteten Kommunikationsschlüssel begrenzt werden, die in dieser Schlüsselvergabestelle tatsächlich benötigt werden. Vorteilhafterweise begrenzt sich dadurch das Datenaufkommen bei einem Bereitstellen der Kommunikationsschlüssel durch die erste Schlüsselvergabestelle an weitere Schlüsselvergabestellen.
  • Gemäß einer vorteilhaften Ausführungsform umfasst der Kommunikationsschlüssel eine Vielzahl von schienenfahrzeugspezifischen Kommunikationsschlüsseln, wobei das Bereitstellen des Kommunikationsschlüssels an das Schienenfahrzeug das Bereitstellen eines für das Schienenfahrzeug spezifischen Kommunikationsschlüssels aus der Vielzahl von schienenfahrzeugspezifischen Kommunikationsschlüsseln umfasst. Dies bietet den Vorteil, dass beispielsweise bei einem Zusammenkoppeln von zwei Schienenfahrzeugen unterschiedlicher Schienenfahrzeugbetreiber eine sichere Schienenfahrzeugkommunikation der gekoppelten Schienenfahrzeuge untereinander möglich ist, wenn die betreffenden Schienenfahrzeuge untereinander ihre fahrzeugspezifischen Kommunikationsschlüssel abgleichen.
  • Vorteilhafterweise kann die geplante Fahrtroute des Schienenfahrzeugs von einem Leitsystem zur Fahrdienststeuerung bereitgestellt werden, so dass die erste Schlüsselvergabestelle das Erzeugen und das Bereitstellen des Kommunikationsschlüssels automatisiert durchführt. Damit wird die Erzeugung und Verteilung von Kommunikationsschlüssels zum Einen erheblich beschleunigt, zum Anderen kann automatisch überprüft werden, ob entlang der geplanten Fahrtroute alle notwendigen Kommunikationsschlüssel erzeugt und verteilt worden sind. So können frühzeitig und verlässlich Abweichungen und Fehleingaben erkannt werden.
  • Gemäß einer weiteren Ausführungsform schafft die Erfindung eine Steuereinrichtung in einer ersten Schlüsselvergabestelle eines ersten Schienennetzstreckenbetreibers zum Verteilen von Kommunikationsschlüsseln für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugsicherungssystems, mit einer Erzeugungseinrichtung, welche dazu ausgelegt ist, einen Kommunikationsschlüssel in Abhängigkeit von einer geplanten Fahrtroute eines Schienenfahrzeugs zu erzeugen, und einer Bereitstellungseinrichtung, welche dazu ausgelegt ist, den erzeugten Kommunikationsschlüssel an eine zweite Schlüsselvergabestelle eines zweiten Streckenbetreibers und an das Schienenfahrzeug bereitzustellen, wobei der Kommunikationsschlüssel zum Verschlüsseln von Verkehrsleitnachrichten des Schienenfahrzeugs zum manipulationssicheren Kommunizieren des Schienenfahrzeugs mit Streckenzentralen des ersten Streckenbetreibers und mit Streckenzentralen des zweiten Streckenbetreibers ausgelegt ist.
  • Gemäß einer weiteren Ausführungsform schafft die Erfindung ein Schienenfährzeugsicherungssystem mit einer erfindungsgemäßen Steuereinrichtung, einer ersten Schlüsselvergabestelle, in der die Steuereinrichtung angeordnet ist, einer Vielzahl von ersten Streckenzentralen, welche dazu ausgelegt sind, von der ersten Schlüsselvergabestelle mit einem von der Steuereinrichtung erzeugten Kommunikationsschlüssel für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugs versorgt zu werden, einer zweiten Schlüsselvergabestelle, und einer Vielzahl von zweiten Streckenzentralen, welche dazu ausgelegt sind, von der zweiten Schlüsselvergabestelle mit einem von der Steuereinrichtung erzeugten Kommunikationsschlüssel für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugs versorgt zu werden.
  • Weitere Modifikationen und Variationen ergeben sich aus den Merkmalen der abhängigen Ansprüche.
  • Kurze Beschreibung der Figuren
  • Verschiedene Ausführungsformen und Ausgestaltungen der vorliegenden Erfindung werden nun in Bezug auf die beiliegenden Zeichnungen genauer beschrieben, in denen
  • 1 eine schematische Darstellung eines Aufbaus eines Schienenfahrzeugleitsystems;
  • 2 eine schematische Darstellung eines Schienenfahrzeugsicherungssystems gemäß einer Ausführungsform der Erfindung;
  • 3 eine schematische Darstellung eines Schienenfahrzeugsicherungssystems gemäß einer weiteren Ausführungsform der Erfindung;
  • 4 eine schematische Darstellung eines Schienenfahrzeugsicherungssystems gemäß einer weiteren Ausführungsform der Erfindung;
  • 5 eine schematische Darstellung eines Schienenfahrzeugsicherungssystems gemäß einer weiteren Ausführungsform der Erfindung; und
  • 6 eine schematische Darstellung eines Verfahrens zum Verteilen von Kommunikationsschlüsseln für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugsicherungssystems gemäß einer weiteren Ausführungsform der Erfindung zeigt.
  • Die beschriebenen Ausgestaltungen und Weiterbildungen lassen sich, sofern sinnvoll, beliebig miteinander kombinieren. Weitere mögliche Ausgestaltungen, Weiterbildungen und Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale der Erfindung.
  • Die beiliegenden Zeichnungen sollen ein weiteres Verständnis der Ausführungsformen der Erfindung vermitteln. Sie veranschaulichen Ausführungsformen und dienen im Zusammenhang mit der Beschreibung der Erklärung von Prinzipien und Konzepten der Erfindung. Andere Ausführungsformen und viele der genannten Vorteile ergeben sich im Hinblick auf die Zeichnungen. Die Elemente der Zeichnungen sind nicht notwendigerweise maßstabsgetreu zueinander gezeigt. Gleiche Bezugszeichen bezeichnen dabei gleiche oder ähnlich wirkende Komponenten.
  • Ausführliche Beschreibung der Erfindung
  • Kommunikationsschlüssel im Sinne der folgenden Beschreibung umfassen alle kryptographischen Informationen und Dateneinheiten, welche dazu geeignet sind, Daten im Klarformat zu verschlüsseln und daraus abhör- und/oder auslesesichere Daten im Geheimformat zu erzeugen, bzw. die dazu geeignet sind, die Integrität von Daten im Klarformat zu schützen und eine kryptographische Prüfsumme zu errechnen, und welche weiterhin dazu geeignet sind, in Kenntnis der kryptographischen Informationen aus den Daten im Geheimformat die Daten im Klarformat zurückzugewinnen bzw. zu prüfen, dass die Daten während des Transports nicht manipuliert wurden. Kommunikationsschlüssel im Sinne der Erfindung können beispielsweise symmetrische Schlüsselpaare, asymmetrische Schlüsselpaare oder ähnliche kryptographische Verfahren beinhalten. Kommunikationsschlüssel können dabei beispielsweise mit Verfahren wie AES, DES, KDF, IPsec, SSL/TLS, MACsec, L2TP, PPTP, PGP, S/MIME oder eine ähnliche Technik mit einem dazugehörigen Schlüsselmanagement, wie zum Beispiels IKE, EAP oder anderer Verfahren eingesetzt werden.
  • 2 zeigt eine schematische Darstellung eines Schienenfahrzeugsicherungssystems 20. Das Schienenfahrzeugsicherungssystem 20 unterscheidet sich von dem in 1 gezeigten Schienefahrzeugleitsystem 10 dadurch, dass in jeder der Schlüsselvergabestellen 1a, 1b, 1c (KMCs) eine Steuereinrichtung 7 angeordnet ist, welche für das Erzeugen und Verteilen von Kommunikationsschlüsseln für die Verschlüsselung von Verkehrsleitnachrichten ausgelegt ist. Die Steuereinrichtung 7 kann dabei beispielsweise ein Softwaremodul sein, welches auf den KMCs aufgespielt ist und ausgeführt wird.
  • Die Steuereinrichtung 7 umfasst eine Erzeugungseinrichtung zum Erzeugen von Kommunikationsschlüsseln 6 zum kryptographischen Schützen von Verkehrsleitnachrichten eines Schienenfahrzeugs 4. In den folgenden Beispielen wird angenommen, dass das Schienenfahrzeug 4 der Domäne A zugeordnet ist, so dass das KMC 1a das sogenannte ”Heim-KMC” des Schienenfahrzeugs 4 ist, das heißt, dass das Erzeugen und Verteilen von Kommunikationsschlüsseln unter der Kontrolle des KMC 1a vorgenommen wird. Die übrigen KMCs 1b und 1c sind in diesem Fall von der Steuerung durch das KMC 1a abhängig. Es ist selbstverständlich ebenso möglich, dass die anderen KMC 1b und 1c in anderen Fällen, beispielsweise für andere Schienenfahrzeuge die Rolle des Heim-KMC übernehmen. Die Steuereinrichtungen 7 der KMC 1b und 1c sind dabei genauso wie die Steuereinrichtung 7 des KMC 1a aufgebaut. Es ist überdies selbstverständlich, dass die Anzahl der KMCs 1a, 1b und 1c nicht auf die gezeigte Anzahl von drei beschränkt ist. Jede andere Anzahl von KMCs ist ebenso möglich. Die KMCs 1a, 1b, 1c können dabei insbesondere von verschiedenen Streckenbetreibern betrieben werden.
  • Die Erzeugungseinrichtung kann dazu ausgelegt sein, in einem Schritt 8a einen Kommunikationsschlüssel 6 in Abhängigkeit von einer geplanten Fahrtroute des Schienenfahrzeugs 4 zu erzeugen. Dabei kann die Erzeugungseinrichtung dazu ausgelegt sein, die geplante Fahrtroute von einem (nicht gezeigten) Fahrdienststeuersystem oder einem Fahrplanauskunftssystem automatisch zur Verfügung gestellt zu bekommen.
  • Der Kommunikationsschlüssel 6 kann durch das erste KMC 1a dann in einem Schritt 8b einem zweiten KMC 1b zur Verfügung gestellt werden und in einem Schritt 8c einem dritten KMC 1c zur Verfügung gestellt werden. Die KMC 1b, 1c, denen der Kommunikationsschlüssel 6 zur Verfügung gestellt wird, richtet sich dabei nach der geplanten Fahrtroute des Schienenfahrzeugs 4. Beispielsweise können die KMC 1b, 1c für Streckenzentralen 3 verantwortlich sein, durch deren Leitbereich die geplante Fahrtroute des Schienenfahrzeugs 4 führt. Die Bereitstellung von Kommunikationsschlüsseln kann dabei über eine Bereitstellungseinrichtung der Steuereinrichtung 7 erfolgen.
  • In einem Schritt 9a kann dann der erzeugte Kommunikationsschlüssel 6 an erste Streckenzentralen 3 (RBCs) in der ersten Domäne A verteilt werden. Weiterhin kann in dem Schritt 9a der Kommunikationsschlüssel 6 auf einem Steuerrechner (EVC) des Schienenfahrzeugs 4 installiert werden. Der Kommunikationsschlüssel 6 kann in Schritten 9b und 9c durch die KMCs 1b und 1c den RBCs 3 in der Domäne B bzw. der Domäne C bereitgestellt werden.
  • Das KMC 1a kann nach erfolgter Verteilung der Kommunikationsschlüssel 6 eine Bestätigung ausstellen, dass das Schienenfahrzeug 4 betriebsbereit ist und die Domänen A, B und C befahren kann. Wenn beispielsweise wegen einer Streckensperrung oder einer sonstigen Umleitung des Schienenfahrzeugs 4 eine weitere (nicht gezeigte) Domäne D befahren werden soll, für die der Kommunikationsschlüssel 6 nicht den jeweiligen Streckenzentralen 3 zur Verfügung gestellt worden ist. Kann ein modifizierter Schlüsselverteilungsplan erstellt werden, wobei nach einer entsprechenden Autorisierung durch einen Bediener die Steuereinrichtung 7 den Kommunikationsschlüssel 6 auch an ein KMC der Domäne D weitergibt, welches dann seinerseits den Kommunikationsschlüssel an die RBCs 3 in seiner Domäne D weiterverteilt. Alternativ kann dem Bediener angezeigt werden, dass das Schienenfahrzeug 4 lediglich für die Domänen A, B und C, aber nicht für andere Domänen durchfahrberechtigt ist.
  • 3 zeigt eine schematische Darstellung eines Schienenfahrzeugsicherungssystems 30. Das Schienenfahrzeugsicherungssystem 30 unterscheidet sich von dem Schienenfahrzeugsicherungssystem 20 in 2 dadurch, dass der Kommunikationsschlüssel 6 eine Vielzahl von Kommunikationsschlüsseln 6a, 6b, 6c umfasst, welche domänenspezifisch bzw. streckenzentralenspezifisch erzeugt worden sind. Jeder der Kommunikationsschlüssel 6a, 6b, 6c kann dabei für ein RBC 3 gebietsspezifisch erzeugt werden. Die Kommunikationsschlüssel 6a, 6b, 6c können dabei zufällig oder pseudozufällig oder mittels einer Schlüsselableitungsfunktion aus einem Basisschlüssel und/oder einem RBC-abhängigen Ableitungsparameter erzeugt werden. Die Kommunikationsschlüssel 6a, 6b, 6c werden dann gemeinsam auf dem Steuerrechner des Schienenfahrzeugs 4 installiert.
  • Aus den Kommunikationsschlüsseln 6a, 6b, 6c werden dann Gruppen von Kommunikationsschlüsseln ausgewählt, welche den jeweiligen RBCs 3 der jeweiligen Domänen B und C zugeordnet werden können. In den Schritten 8b, 8c werden dann nur diejenigen Kommunikationsschlüssel 6b und 6c übermittelt, welche die KMCs 1b, 1c zur Bereitstellung an ihre RBCs benötigen.
  • Das Schienenfahrzeug 4 kann bei einem Durchfahren der Domänen A, B und C in Abhängigkeit von der aktuellen Position jeweils einer der Kommunikationsschlüssel 6a, 6b, 6c auswählen, um mit den momentan aktuellen RBC 3 der jeweiligen Domäne zu kommunizieren. Die aktuelle Position kann beispielsweise über ein Satellitennavigationssystem wie zum Beispiel GPS oder GA-LILEO, durch Peilung von Funkbasisstationen, zum Beispiel über GSM-R oder WLAN, anhand von Adressen oder Identifikationscodes von Streckenrechnern des Schienennetzes oder durch Eurobalisen, wie beispielsweise Festdaten- oder Transparentdatenbalisen am Gleisbett ermittelt werden.
  • 4 zeigt eine schematische Darstellung eines Schienenfahrzeugsicherungssystems 40. Das Schienenfahrzeugsicherungssystem 40 unterscheidet sich von dem Schienenfahrzeugsicherungssystem 30 in 3 dadurch, dass ein Hauptkommunikationsschlüssel 6 zwischen den KMCs 1a, 1b und 1c vorgesehen ist, von dem über eine Schlüsselableitungsfunktion eine Vielzahl von Kommunikationsschlüsseln 6a, 6b, 6c abgeleitet werden kann. In den Schritten 8b und 8c wird statt der Vielzahl von Kommunikationsschlüsseln 6a, 6b, 6c der Hauptkommunikationsschlüssel 6 an die KMCs 1b und 1c weitergegeben, die ihrerseits die Vielzahl von Kommunikationsschlüsseln 6a, 6b, 6c lokal ableiten können. Die Ableitung durch die KMCs kann beispielsweise in Abhängigkeit von einem zugspezifischen Parameter erfolgen, beispielsweise die Identifikationsnummer des Schienenfahrzeugs 4. Der Hauptkommunikationsschlüssel 6 kann dabei beispielsweise nur über einen bestimmten Zeitraum hinweg gültig sein.
  • Ebenso kann es vorgesehen sein, dass das Schienenfahrzeug 4 selbst mit dem Hauptkommunikationsschlüssel 6 versorgt wird, aus dem der Steuerrechner des Schienenfahrzeugs 4 die Vielzahl von Kommunikationsschlüsseln 6a, 6b, 6c selbst ableitet.
  • Die Ableitung der Vielzahl von Kommunikationsschlüsseln 6a, 6b, 6c von dem Hauptkommunikationsschlüssel 6 kann beispielsweise mittels einer Schlüsselableitungsfunktion (Key Derivation Function, KDF) wie HMAC (Hash Message Authentication Code) oder auch AES-CBCMAC (Advanced Encryption Standard – Cipher Block Chaining Message Authentication Code) in Abhängigkeit von RBC-spezifischen Parametern wie Identifikationscode, Gebietscode, Streckenabschnittscode oder ähnlicher Parameter abgeleitet werden.
  • Der Vorteil dieser Vorgehensweise besteht darin, dass keine ständige Online-Verbindung zwischen den KMCs 1a, 1b, 1c bestehen muss, da jedes KMC selbstständig RBC-spezifische Kommunikationsschlüssel 6a, 6b, 6c aus dem einmalig übertragenen Hauptkommunikationsschlüssel 6 ableiten kann, ohne dass dazu eine erneute Kommunikation mit dem Heim-KMC 1a nötig ist. Ferner müssen bei einer Vielzahl von Schienenfahrzeugen 4 und RBCs 3 nur wenige Daten zwischen den KMCs 1a, 1b, 1c ausgetauscht werden.
  • 5 zeigt eine schematische Darstellung eines Schienenfahrzeugsicherungssystems 50. Das Schienenfahrzeugsicherungssystem 50 unterscheidet sich von dem Schienenfahrzeugsicherungssystem 40 in 4 dadurch, dass ein Hauptkommunikationsschlüssel 6 vorgesehen ist, von dem über eine Schlüsselableitungsfunktion eine Vielzahl von schienenfahrzeugspezifischen Kommunikationsschlüsseln 6a, 6b, 6c abgeleitet werden kann. Von einem der schienenfahrzeugspezifischen Kommunikationsschlüssel 6c, welches beispielsweise dem Schienenfahrzeug 4 in 5 zugeordnet ist, kann dann wiederum eine Vielzahl von RBC-spezifischen Kommunikationsschlüsseln 11 abgeleitet werden, welche an die verschiedenen RBCs 3 durch die jeweiligen KMCs 1a, 1b, 1c verteilt werden können. Dem Schienenfahrzeug 4 wird dann jeweils der schienenfahrzeugspezifische Kommunikationsschlüssel 6c sowie die RBC-spezifischen Kommunikationsschlüssel 11 bereitgestellt, so dass eine Kommunikation mit den jeweiligen RBCs 3 über eine Auswahl eines der RBC-spezifischen Kommunikationsschlüssel 11 erfolgen kann.
  • Es kann beispielsweise vorgesehen sein, dass auf zwei Schienenfahrzeugen unterschiedlicher Betreiber bzw. unterschiedlicher Heim-KMCs der gleiche schienenfahrzeugspezifische Kommunikationsschlüssel 6c installiert wird, so dass bei einer Kopplung der zwei Schienenfahrzeug eine sichere Schienenfahrzeugkommunikation ermöglicht wird.
  • 6 zeigt eine schematische Darstellung eines Verfahrens 60 zum Verteilen von Kommunikationsschlüsseln für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugsicherungssystems. In einem ersten Schritt 61 erfolgt ein Erzeugen eines Kommunikationsschlüssels in einer ersten Schlüsselvergabestelle (KMC) eines ersten Streckenbetreibers in Abhängigkeit von einer geplanten Fahrtroute eines Schienenfahrzeugs. In einem zweiten Schritt 62 erfolgt ein Bereitstellen des Kommunikationsschlüssels an ein zweites KMC eines zweiten Streckenbetreibers. In einem dritten Schritt 63 erfolgt ein Bereitstellen des Kommunikationsschlüssels an das Schienenfahrzeug durch das erste KMC. In einem vierten Schritt 64 erfolgt ein Verschlüsseln von Verkehrsleitnachrichten des Schienenfahrzeugs mit dem Kommunikationsschlüssel zum manipulationssicheren Kommunizieren des Schienenfahrzeugs mit RBCs des ersten Streckenbetreibers und mit RBCs des zweiten Streckenbetreibers. Unter Verschlüsseln einer Verkehrsleitnachricht wird insbesondere verstanden, dass Nutzdaten und/oder Verwaltungsdaten, zum Beispiel Adressierungsinformationen, einer Verkehrsleitnachricht kryptographisch vor Abhören und/oder Manipulation geschützt werden, beispielsweise durch Ersetzen von Klartextdaten durch entsprechende verschlüsselte Cipher-Daten, und/oder durch Hinzufügen einer kryptographischen Integritätsprüfinformation (Message Authentication Code).

Claims (13)

  1. Verfahren zum Verteilen von Kommunikationsschlüsseln (6; 6a, 6b, 6c; 11) für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugsicherungssystems, mit den Schritten: Erzeugen eines Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) in einer ersten Schlüsselvergabestelle (1a) eines ersten Streckenbetreibers in Abhängigkeit von einer geplanten Fahrtroute eines Schienenfahrzeugs (4); Bereitstellen des Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) an eine zweite Schlüsselvergabestelle (1b) eines zweiten Streckenbetreibers; Bereitstellen des Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) an das Schienenfahrzeug (4) durch die erste Schlüsselvergabestelle; und Verschlüsseln von Verkehrsleitnachrichten des Schienenfahrzeugs (4) mit dem Kommunikationsschlüssel (6; 6a, 6b, 6c; 11) zum manipulationssicheren Kommunizieren des Schienenfahrzeugs (4) mit Streckenzentralen (3) des ersten Streckenbetreibers und mit Streckenzentralen (3) des zweiten Streckenbetreibers.
  2. Verfahren nach Anspruch 1, weiterhin mit den Schritten: Bereitstellen des Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) an erste Streckenzentralen (2a; 3) durch den ersten Streckenbetreiber; und Bereitstellen des Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) an zweite Streckenzentralen (2b; 3) durch den zweiten Streckenbetreiber.
  3. Verfahren nach Anspruch 2, wobei der Kommunikationsschlüssel eine Vielzahl von streckenzentralenspezifischen Kommunikationsschlüsseln (6a, 6b, 6c) umfasst, wobei das Bereitstellen des Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) an die zweite Schlüsselvergabestelle (1b) das Bereitstellen einer Gruppe von streckenzentralenspezifischen Kommunikationsschlüsseln (6a, 6b, 6c), welche den zweiten Streckenzentralen (2b; 3) des zweiten Streckenbetreibers zugeordnet sind, an die zweite Schlüsselvergabestelle (1b) umfasst.
  4. Verfahren nach Anspruch 3, wobei das Erzeugen des Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) in einer ersten Schlüsselvergabestelle (1a) das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel (6a, 6b, 6c) von einem Hauptkommunikationsschlüssel (6) durch ein Schlüsselableitungsverfahren umfasst.
  5. Verfahren nach Anspruch 4, wobei das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel (6a, 6b, 6c) von einem Steuerrechner des Schienenfahrzeugs (4) durchgeführt wird.
  6. Verfahren nach Anspruch 4, wobei das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel (6a, 6b, 6c) von der ersten und zweiten Schlüsselvergabestelle (1a, 1b) durchgeführt wird.
  7. Verfahren nach Anspruch 6, wobei das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel (6a, 6b, 6c) durch die erste Schlüsselvergabestelle (1a) nur für die ersten Streckenzentralen (2a; 3) und das Ableiten der streckenzentralenspezifischen Kommunikationsschlüssel (6a, 6b, 6c) durch die zweite Schlüsselvergabestelle (1b) nur für die zweiten Streckenzentralen (2b; 3) durchgeführt wird.
  8. Verfahren nach Anspruch 2, wobei der Kommunikationsschlüssel eine Vielzahl von schienenfahrzeugspezifischen Kommunikationsschlüsseln (6a, 6b, 6c) umfasst, wobei das Bereitstellen des Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) an das Schienenfahrzeug (4) das Bereitstellen eines für das Schienenfahrzeug (4) spezifischen Kommunikationsschlüssels aus der Vielzahl von schienenfahrzeugspezifischen Kommunikationsschlüsseln (11) umfasst.
  9. Verfahren nach Anspruch 8, weiterhin mit den Schritten: Ableiten jeweils einer Vielzahl von streckenzentralenspezifischen Kommunikationsschlüsseln (11) von der Vielzahl der schienenfahrzeugspezifischen Kommunikationsschlüssel (6a, 6b, 6c); und Bereitstellen einer Gruppe von streckenzentralenspezifischen Kommunikationsschlüsseln (11) jeweils einer der Vielzahl von streckenzentralenspezifischen Kommunikationsschlüsseln (11), welche schienenfahrzeugspezifisch den zweiten Streckenzentralen (2b; 3) des zweiten Streckenbetreibers zugeordnet sind, an die zweite Schlüsselvergabestelle (1b).
  10. Verfahren nach Anspruch 9, wobei das Ableiten der Vielzahl von streckenzentralenspezifischen Kommunikationsschlüsseln (11) von der Vielzahl der schienenfahrzeugspezifischen Kommunikationsschlüssel (6a, 6b, 6c) durch einen Steuerrechner des Schienenfahrzeugs (4) durchgeführt wird.
  11. Verfahren nach einem der Ansprüche 1 bis 10, wobei die geplante Fahrtroute des Schienenfahrzeugs (4) von einem Leitsystem zur Fahrdienststeuerung bereitgestellt wird, und wobei die erste Schlüsselvergabestelle (1a) das Erzeugen und das Bereitstellen des Kommunikationsschlüssels (6; 6a, 6b, 6c; 11) automatisiert durchführt.
  12. Steuereinrichtung (7) in einer ersten Schlüsselvergabestelle (1a) eines ersten Schienennetzstreckenbetreibers zum Verteilen von Kommunikationsschlüsseln (6; 6a, 6b, 6c; 11) für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugsicherungssystems, mit: einer Erzeugungseinrichtung, welche dazu ausgelegt ist, einen Kommunikationsschlüssel (6; 6a, 6b, 6c; 11) in Abhängigkeit von einer geplanten Fahrtroute eines Schienenfahrzeugs (4) zu erzeugen; und einer Bereitstellungseinrichtung, welche dazu ausgelegt ist, den erzeugten Kommunikationsschlüssel (6; 6a, 6b, 6c; 11) an eine zweite Schlüsselvergabestelle (1b) eines zweiten Streckenbetreibers und an das Schienenfahrzeug (4) bereitzustellen, wobei der Kommunikationsschlüssel (6; 6a, 6b, 6c; 11) zum Verschlüsseln von Verkehrsleitnachrichten des Schienenfahrzeugs (4) zum manipulationssicheren Kommunizieren des Schienenfahrzeugs (4) mit Streckenzentralen (2a; 3) des ersten Streckenbetreibers und mit Streckenzentralen (2b; 3) des zweiten Streckenbetreibers ausgelegt ist.
  13. Schienenfahrzeugsicherungssystem (20; 30; 40; 50), mit: einer Steuereinrichtung (7) nach Anspruch 12; einer ersten Schlüsselvergabestelle (1a), in der die Steuereinrichtung (7) angeordnet ist; einer Vielzahl von ersten Streckenzentralen (2a; 3), welche dazu ausgelegt sind, von der ersten Schlüsselvergabestelle (1a) mit einem von der Steuereinrichtung (7) erzeugten Kommunikationsschlüssel (6; 6a, 6b, 6c; 11) für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugs (4) versorgt zu werden; einer zweiten Schlüsselvergabestelle (1b); und einer Vielzahl von zweiten Streckenzentralen (2b; 3), welche dazu ausgelegt sind, von der zweiten Schlüsselvergabestelle (1b) mit einem von der Steuereinrichtung (7) erzeugten Kommunikationsschlüssel (6; 6a, 6b, 6c; 11) für die Verschlüsselung von Verkehrsleitnachrichten eines Schienenfahrzeugs (4) versorgt zu werden.
DE102011006772A 2011-04-05 2011-04-05 System und Verfahren für ein Schlüsselmanagement eines Zugsicherungssystems Withdrawn DE102011006772A1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE102011006772A DE102011006772A1 (de) 2011-04-05 2011-04-05 System und Verfahren für ein Schlüsselmanagement eines Zugsicherungssystems
EP12715542.2A EP2658764B1 (de) 2011-04-05 2012-03-28 System und verfahren für ein schlüsselmanagement eines zugsicherungssystems
PCT/EP2012/055460 WO2012136525A1 (de) 2011-04-05 2012-03-28 System und verfahren für ein schlüsselmanagement eines zugsicherungssystems
CN201280017183.7A CN103459234B (zh) 2011-04-05 2012-03-28 用于列车安全系统的密钥管理的系统和方法
HUE12715542A HUE037319T2 (hu) 2011-04-05 2012-03-28 Rendszer és eljárás vonatbiztosító rendszer kulcskezeléséhez
NO12715542A NO2658764T3 (de) 2011-04-05 2012-03-28
ES12715542.2T ES2642673T3 (es) 2011-04-05 2012-03-28 Sistema y procedimiento para una gestión de claves de un sistema de protección de trenes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011006772A DE102011006772A1 (de) 2011-04-05 2011-04-05 System und Verfahren für ein Schlüsselmanagement eines Zugsicherungssystems

Publications (1)

Publication Number Publication Date
DE102011006772A1 true DE102011006772A1 (de) 2012-10-11

Family

ID=45977339

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011006772A Withdrawn DE102011006772A1 (de) 2011-04-05 2011-04-05 System und Verfahren für ein Schlüsselmanagement eines Zugsicherungssystems

Country Status (7)

Country Link
EP (1) EP2658764B1 (de)
CN (1) CN103459234B (de)
DE (1) DE102011006772A1 (de)
ES (1) ES2642673T3 (de)
HU (1) HUE037319T2 (de)
NO (1) NO2658764T3 (de)
WO (1) WO2012136525A1 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014226902A1 (de) * 2014-12-23 2016-01-14 Siemens Aktiengesellschaft Einrichtung einer sicheren Datenübertragungsverbindungim Schienenverkehr
EP3219575A1 (de) * 2016-03-17 2017-09-20 ALSTOM Transport Technologies Verfahren zur sicherung des austauschs von authentifizierungsschlüsseln und zugehöriges schlüsselverwaltungsmodul
WO2019175006A1 (de) 2018-03-16 2019-09-19 Audi Ag Verfahren zum datenaustausch mit einem fahrzeugsteuergerät
EP3590786A1 (de) * 2018-07-05 2020-01-08 Siemens Mobility AG Verfahren zum sicheren austausch und zur sicheren anzeige von zustandsdaten von sicherheitstechnischen komponenten
EP3826223A1 (de) * 2019-11-20 2021-05-26 Thales Management & Services Deutschland GmbH Verfahren und vorrichtung zur bestimmung einer zuordnung eines schlüssels für ein symmetrisches kryptographieverfahren
US11558906B2 (en) * 2020-02-26 2023-01-17 Westinghouse Air Brake Technologies Corporation Operator authentication with a vehicle using different pathways

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3319354B1 (de) 2015-07-31 2020-12-30 Huawei Technologies Co., Ltd. V2x - kommunikationsverfahren und zugehörige vorrichtungen
DE102016223481A1 (de) * 2016-11-25 2018-05-30 Siemens Aktiengesellschaft Verfahren zum Betreiben eines Eisenbahnsystems sowie Fahrzeug eines Eisenbahnsystems
CN110733535B (zh) * 2019-09-29 2021-08-03 卡斯柯信号有限公司 基于国产加密技术的轨道交通信号系统的运行及恢复方法
CN111954168B (zh) * 2020-08-27 2023-03-03 深圳成谷智能科技有限公司 一种实现差异化lte-v广播消息的方法及装置
CN112351427B (zh) * 2021-01-07 2021-07-13 西门子交通技术(北京)有限公司 轨道交通中的通信方法、设备和存储介质
CN115297475B (zh) * 2022-09-28 2023-01-06 南京科信量子科技有限公司 一种用于轨道交通系统的量子密钥分发方法
CN116017440B (zh) * 2023-03-27 2023-06-02 北京全路通信信号研究设计院集团有限公司 一种密钥获取方法、装置、设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007041177B4 (de) * 2007-08-27 2009-04-30 Siemens Ag Verfahren zum ETCS-Online-Schlüsselmanagement
JP4471996B2 (ja) * 2007-09-18 2010-06-02 株式会社日立製作所 列車制御システム
CN101722971B (zh) * 2009-10-30 2011-03-09 华南理工大学 一种便携式临时限速检测终端及维护方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014226902A1 (de) * 2014-12-23 2016-01-14 Siemens Aktiengesellschaft Einrichtung einer sicheren Datenübertragungsverbindungim Schienenverkehr
EP3219575A1 (de) * 2016-03-17 2017-09-20 ALSTOM Transport Technologies Verfahren zur sicherung des austauschs von authentifizierungsschlüsseln und zugehöriges schlüsselverwaltungsmodul
WO2019175006A1 (de) 2018-03-16 2019-09-19 Audi Ag Verfahren zum datenaustausch mit einem fahrzeugsteuergerät
DE102018204021A1 (de) 2018-03-16 2019-09-19 Audi Ag Verfahren zum Datenaustausch mit einem Fahrzeugsteuergerät
EP3590786A1 (de) * 2018-07-05 2020-01-08 Siemens Mobility AG Verfahren zum sicheren austausch und zur sicheren anzeige von zustandsdaten von sicherheitstechnischen komponenten
WO2020007532A1 (de) * 2018-07-05 2020-01-09 Siemens Mobility Ag Verfahren zum sicheren austausch und zur sicheren anzeige von zustandsdaten von sicherheitstechnischen komponenten
EP3826223A1 (de) * 2019-11-20 2021-05-26 Thales Management & Services Deutschland GmbH Verfahren und vorrichtung zur bestimmung einer zuordnung eines schlüssels für ein symmetrisches kryptographieverfahren
US11558906B2 (en) * 2020-02-26 2023-01-17 Westinghouse Air Brake Technologies Corporation Operator authentication with a vehicle using different pathways

Also Published As

Publication number Publication date
WO2012136525A1 (de) 2012-10-11
CN103459234B (zh) 2016-07-06
CN103459234A (zh) 2013-12-18
NO2658764T3 (de) 2018-01-27
ES2642673T3 (es) 2017-11-17
HUE037319T2 (hu) 2018-08-28
EP2658764A1 (de) 2013-11-06
EP2658764B1 (de) 2017-08-30

Similar Documents

Publication Publication Date Title
EP2658764B1 (de) System und verfahren für ein schlüsselmanagement eines zugsicherungssystems
EP3157281B1 (de) Verfahren zur geschützten kommunikation eines fahrzeugs
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
EP3137363B1 (de) Überprüfung der authentizität einer balise
EP3157190B1 (de) Verfahren zur zertifizierung durch ein steuergerät eines fahrzeugs
WO2019175006A1 (de) Verfahren zum datenaustausch mit einem fahrzeugsteuergerät
DE102015204437A1 (de) Verfahren und Vorrichtung zum Ermitteln eines Signalbegriffes für ein Schienenfahrzeug
DE102013203101A1 (de) Erweitern der Attribute einer Credentialanforderung
DE102008045050A1 (de) Verfahren und Vorrichtung zur Zugbeeinflussung
EP3582033A1 (de) Verfahren und vorrichtung zur gesicherten bedienung eines feldgeräts
DE102016204630A1 (de) Verfahren zum Übertragen von Nachrichten in einem Eisenbahnsystem sowie Eisenbahnsystem
DE102010021256A1 (de) Verfahren zur dynamischen Autorisierung eines mobilen Kommunikationsgerätes
DE102010021257A1 (de) Steckverbindungssystem zum geschützten Aubau einer Netzwerkverbindung
DE102017202024B4 (de) Verfahren zum Koppeln eines portablen, mobilen Nutzergeräts mit einem in einem Kraftfahrzeug verbauten Fahrzeuggerät sowie Servervorrichtung
DE10107571A1 (de) System zur Überprüfung der Vollständigkeit eines Fahrzeugverbundes
WO2018095682A1 (de) Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems
DE102011002713A1 (de) Verfahren und Vorrichtung zum Bereitstellen von kyptographischen Credentials für Steuergeräte eines Fahrzeugs
DE102013226532A1 (de) Verfahren zur Vorbereitung und Durchführung einer Fahrt einer Mehrzahl zu einem Verbund zusammengeschlossener Fahrzeuge und Kommunikationssystem
EP3734478A1 (de) Verfahren zur vergabe von zertifikaten, leitsystem, verwendung eines solchen, technische anlage, anlagenkomponente und verwendung eines identitätsproviders
EP3826223B1 (de) Verfahren und vorrichtung zur bestimmung einer zuordnung eines schlüssels für ein symmetrisches kryptographieverfahren
EP3457628B1 (de) Authentifizierung von datenquellen über eine uni-direktionale kommunikationsverbindung
DE102020133048A1 (de) System zur Absicherung von Wartungsgleisen im Schienenverkehr
DE102015208293A1 (de) Verfahren zum Ausschließen eines Teilnehmers aus einer Gruppe mit autorisierter Kommunikation
DE102020216277A1 (de) Verfahren zur initialen Verteilung von schützenswerten Daten in einem ETCS-Zugsicherungssystem
DE102015205546A1 (de) Verfahren zum Betreiben eines Zugsicherungssystems und Zugsicherungssystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20131101