-
Die Erfindung betrifft eine Vorrichtung, ein System und ein Verfahren zum Freigeben von empfangenen Kommandodaten.
-
Ferngesteuerte Fortbewegungsmittel, wie z. B. ferngesteuerte Fluggeräte oder Fahrzeuge, sind über bidirektionale kabellose Befehls- und Steuerungsdatenverbindungen mit einer Fernsteuerungszentrale verbunden. Die bidirektionale kabellose Befehls- und Steuerungsdatenverbindung umfasst eine Uplink-Verbindung und eine Downlink-Verbindung. Über die Uplink-Verbindung von der Fernsteuerungszentrale zum Fortbewegungsmittel werden Steuerungsbefehle und Informationen vom Fernführer (z. B. dem Piloten) zu dem ferngesteuerten Fortbewegungsmittel übertragen. Über die Downlink-Verbindung von dem Fortbewegungsmittel zu der Fernsteuerzentrale werden z. B. Telemetrie-Daten, Status- und Situationsinformationen der Bordsysteme des Fortbewegungsmittels in die Fernsteuerungszentrale übertragen. Wenn die Uplink-Verbindung ausfällt, kann der Fernführer das ferngesteuerte Fortbewegungsmittel nicht mehr steuern.
-
In diesem Fall ist es grundsätzlich denkbar, dass eine Flugverkehrskontrollstelle Befehle eines Fernführers an das ferngesteuerte Fluggerät über eine offene Datenverbindung weiterleitet. Allerdings kann das ferngesteuerte Fluggerät in diesem Fall über die offene Datenverbindung von Dritten mit gefälschten Befehlen gekapert werden. Weiter kann in dem ferngesteuerten Fluggerät keine Konsistenzprüfung der Befehle durchgeführt werden. Dies kann bei Störungen der offenen Datenverbindung zur Übertragung von falschen Befehlsdaten führen. Weiter wird in diesem Fall die Flugverkehrskontrollstelle die Rolle des Fernführers des ferngesteuerten Fluggeräts einnehmen. Dadurch erhöht sich die Arbeitslast der Flugverkehrskontrollstelle, wobei die Mitarbeiter der Flugverkehrskontrollstelle i.d.R. keine Ausbildung als Fernführer haben. Dies erhöht das Risiko für Unfälle. Ein solches Verfahren wird daher derzeit seitens der Flugverkehrskontrolle aufgrund rechtlicher und moralischer Bedenken nicht unterstützt.
-
Aufgabe der Erfindung ist es daher, eine Vorrichtung, ein System und ein Verfahren bereitzustellen, die die Sicherheit der Fernsteuerung von Fortbewegungsmitteln verbessern.
-
Die Aufgabe wird gelöst durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Weiterbildungen sind Gegenstand der abhängigen Ansprüche sowie der folgenden Beschreibung.
-
Es ist erfindungsgemäß bei einer Vorrichtung zum Freigeben von empfangenen Kommandodaten vorgesehen, dass die Vorrichtung umfasst: eine Empfangseinheit; eine Prozessoreinheit; eine Sendeeinheit; und eine Speichereinheit; wobei die Prozessoreinheit einen Codegenerator zum Generieren eines Transaktionscodes; ein Kryptographiemodul zum Generieren eines Authentifizierungscodes; und ein Vergleichsmodul zum Vergleichen von Authentifizierungscodes aufweist; wobei der Codegenerator einen Transaktionscode generiert, wobei die Sendeeinheit den Transaktionscode über eine ungesicherte Datenverbindung bereitstellt; wobei die Empfangseinheit einen externen Authentifizierungscode und Kommandodaten über die ungesicherte Datenverbindung empfängt; wobei in der Speichereinheit Daten eines vorbestimmten privaten Schlüssels gespeichert sind; wobei das Kryptographiemodul einen internen Authentifizierungscode basierend auf dem Transaktionscode, den Kommandodaten und dem privaten Schlüssel generiert; und wobei das Vergleichsmodul ein Freigabesignal zum Freigeben der Kommandodaten generiert, wenn der externe Authentifizierungscode mit dem internen Authentifizierungscode übereinstimmt.
-
Mit der Vorrichtung zum Freigeben von empfangenen Kommandodaten kann bei einem Ausfall einer Uplink-Verbindung zu einem ferngesteuerten Fortbewegungsmittel ein Kommando von einem Fernführer, das über eine ungesicherte Datenverbindung übertragen wurde, in dem ferngesteuerten Fortbewegungsmittel überprüft werden. Dabei wird von dem Codegenerator zunächst ein Transaktionscode generiert und mittels der Sendeeinheit über die ungesicherte Datenverbindung bereitgestellt. Der Transaktionscode kann dabei zum Beispiel aus Telemetrie-Daten und/oder Positionsdaten und/oder weiteren Umgebungsparametern des ferngesteuerten Fortbewegungsmittels generiert werden.
-
Der Transaktionscode kann danach von dem Fernführer empfangen werden. Der Fernführer überträgt daraufhin einen externen Authentifizierungscode und Kommandodaten über die ungesicherte Datenverbindung zu der Empfangseinheit. Der externe Authentifizierungscode kann dabei aus den Kommandodaten, dem Transaktionscode und einem privaten Schlüssel generiert werden. Dieser private Schlüssel ist ebenfalls in der Speichereinheit der Vorrichtung zum Freigeben von empfangenen Kommandodaten gespeichert. Das Kryptographiemodul generiert basierend auf dem Transaktionscode, den Kommandodaten und dem gespeicherten privaten Schlüssel einen internen Authentifizierungscode. Der Algorithmus, den das Kryptographiemodul dabei benutzt, ist dabei der gleiche, der von dem Fernführer zum Generieren des externen Authentifizierungscodes genutzt wurde. D.h., dass wenn die Kommandodaten und der externe Authentifizierungscode korrekt übertragen wurden, der interne Authentifizierungscode gleich dem externen Authentifizierungscode ist. Der Vergleich zwischen dem internen Authentifizierungscode und dem externen Authentifizierungscode wird durch das Vergleichsmodul bereitgestellt. Wenn der interne und der externe Authentifizierungscode übereinstimmen, gibt das Vergleichsmodul ein Freigabesignal aus. Damit sind die Kommandodaten authentifiziert und freigegeben und können damit durch das Fortbewegungsmittel ausgeführt werden. Damit kann mittels der Erfindung zum Beispiel eine bereits bestehende offene, d.h. unverschlüsselte, Datenverbindung zwischen dem Fernführer und dem Fortbewegungsmittel genutzt werden, um Befehle bei einem Ausfall der Uplink-Verbindung zwischen dem Fernführer und dem Fortbewegungsmittel zu übertragen. Für den Fall, dass es sich bei dem Fortbewegungsmittel um ein ferngesteuertes Fluggerät handelt, wird vermieden, dass auf Seiten einer Flugverkehrskontrollstelle die Fähigkeiten zum Steuern eines ferngesteuerten Fluggeräts bereitgestellt werden müssen. Weiter können dem ferngesteuerten Fortbewegungsmittel ohne Zustimmung des Fernführers keine validen Kommandos übertragen werden. Zusätzlich wird durch die Verbindung des Authentifizierungscodes mit den Kommandodaten eine Prüfmöglichkeit der Kommandodaten bereitgestellt, die Übertragungsfehler aufdeckt und damit die Durchführung von falschen Kommandos durch das ferngesteuerte Fortbewegungsmittel vermeidet.
-
Das ferngesteuerte Fortbewegungsmittel kann z. B. ein Flugzeug, ein Fahrzeug, ein Raumfahrzeug oder ein Schiff sein. Dabei kann das Fortbewegungsmittel auch ein unbemanntes Flugzeug, ein unbemanntes Fahrzeug, ein unbemanntes Raumfahrzeug oder ein unbemanntes Schiff sein.
-
In einem Ausführungsbeispiel kann der Transaktionscode zumindest teilweise auf dem privaten Schlüssel und vorzugsweise auf mindestens einem Umgebungsparameter basieren. Ein Umgebungsparameter kann dabei z. B. die Position des ferngesteuerten Fortbewegungsmittels, seine Bewegungsrichtung und/oder seine Geschwindigkeit sein.
-
Gemäß der Erfindung ist weiter ein ferngesteuertes Fortbewegungsmittel vorgesehen, umfassend eine Vorrichtung zum Freigeben von empfangenen Kommandodaten gemäß der oben angeführten Beschreibung; und eine Steuereinheit; wobei die Steuereinheit die Kommandodaten empfängt und ein auf den Kommandodaten basierendes Kommando ausführt, wenn die Steuereinheit das Freigabesignal empfängt; und wobei die Sendeeinheit vorzugsweise ein Bestätigungssignal sendet, wenn der externe Authentifizierungscode mit dem internen Authentifizierungscode übereinstimmt.
-
Die Vorteile und Wirkungen des ferngesteuerten Fortbewegungsmittels sind analog zu den Vorteilen und Wirkungen der Vorrichtung zum Freigeben von empfangenen Kommandodaten gemäß der oben angeführten Beschreibung. Es wird daher in dieser Hinsicht auf die oben angeführte Beschreibung verwiesen.
-
Weiter ist gemäß der Erfindung eine Übermittlungs-Vorrichtung für Kommandodaten vorgesehen, wobei die Übermittlungs-Vorrichtung umfasst: eine Basis-Empfangseinheit; eine Eingabeeinheit; eine Basis-Prozessoreinheit; eine Basis-Sendeeinheit und eine Basis-Speichereinheit; wobei die Basis-Prozessoreinheit ein Basis-Kryptographiemodul zum Generieren eines Authentifizierungscodes aufweist; wobei die Basis-Empfangseinheit den Transaktionscode über eine ungesicherte Datenverbindung empfängt; wobei die Eingabeeinheit Kommandodaten empfängt; wobei in der Basis-Speichereinheit Daten des vorbestimmten privaten Schlüssels gespeichert sind; wobei das Basis-Kryptographiemodul einen externen Authentifizierungscode basierend auf dem Transaktionscode, den Kommandodaten und dem privaten Schlüssel generiert; und wobei die Basis-Sendeeinheit den externen Authentifizierungscode und die Kommandodaten über die ungesicherte Datenverbindung bereitstellt.
-
Die Übermittlungs-Vorrichtung für Kommandodaten umfasst eine Basis-Empfangseinheit, die ausgebildet ist, einen Transaktionscode über eine ungesicherte Datenverbindung zu empfangen. Das Empfangen des Transaktionscodes zeigt an, dass über die ungesicherte Datenverbindung ein Kommando an ein ferngesteuertes Fortbewegungsmittel übertragen werden kann. Dabei wird mittels des Basis-Kryptographiemoduls ein externer Authentifizierungscode auf Basis des Transaktionscodes, eines privaten Schlüssels, der in der Speichereinheit gespeichert ist, und von Kommandodaten, die über die Eingabeeinheit eingegeben werden können, generiert, wobei der private Schlüssel auch in dem ferngesteuerten Fortbewegungsmittel gespeichert ist. Die Kommandodaten können dabei beispielsweise durch einen Fernführer über die Eingabeeinheit eingegeben werden.
-
Der externe Authentifizierungscode und die Kommandodaten werden dann mit der Basis-Sendeeinheit über die ungesicherte Datenverbindung zu dem ferngesteuerten Fortbewegungsmittel übermittelt. In dem ferngesteuerten Fortbewegungsmittel wird mittels der Kommandodaten, dem von dem ferngesteuerten Fortbewegungsmittel generierten und übermittelten Transaktionscode und dem privaten Schlüssel ein interner Authentifizierungscode generiert, der mit dem externen Authentifizierungscode verglichen wird. Das Kommando, das mit den Kommandodaten übermittelt wurde, wird nur dann ausgeführt, wenn der externe und der interne Authentifizierungscode übereinstimmen. Damit kann mittels der Erfindung zum Beispiel eine bereits bestehende offene, d.h. unverschlüsselte, Datenverbindung zwischen dem Fernführer und dem Fortbewegungsmittel genutzt werden, um Befehle bei einem Ausfall der Uplink-Verbindung zwischen dem Fernführer und dem Fortbewegungsmittel zu übertragen. Für den Fall, dass es sich bei dem Fortbewegungsmittel um ein ferngesteuertes Fluggerät handelt, wird vermieden, dass auf Seiten einer Flugverkehrskontrollstelle die Fähigkeiten zum Steuern eines ferngesteuerten Fluggeräts bereitgestellt werden müssen. Weiter können dem ferngesteuerten Fortbewegungsmittel ohne Zustimmung des Fernführers keine validen Kommandos übertragen werden. Zusätzlich wird durch die Verbindung des Authentifizierungscodes mit den Kommandodaten eine Prüfmöglichkeit der Kommandodaten bereitgestellt, die Übertragungsfehler aufdeckt und damit die Durchführung von falschen Kommandos durch das ferngesteuerte Fortbewegungsmittel vermeidet.
-
Vorteilhafterweise weist die Basis-Prozessoreinheit ein Prüfmodul auf, wobei das Prüfmodul den empfangenen Transaktionscode prüft; wobei das Prüfmodul ein Abbruchsignal ausgibt, wenn der Transaktionscode nicht authentisch ist.
-
Mit dem Prüfmodul kann vermieden werden, dass der empfangene Transaktionscode gefälscht ist. Damit wird vermieden, dass unautorisierte Dritte einen gefälschten Transaktionscode bereitstellen, um den privaten Schlüssel zu erhalten.
-
In einem Ausführungsbeispiel können die Kommandodaten Klartext aufweisen.
-
Damit können die Kommandodaten leicht überprüft werden. Weiter kann in einem Beispiel eine Übermittlung der Kommandodaten durch Menschen in einer Zwischenstation erfolgen. Dabei kann der Fernführer zum Beispiel über eine Telefonverbindung einen Anruf bei einem Flugverkehrskontrollzentrum tätigen, um die Kommandodaten und den zugehörigen Authentifizierungscode einem Fluglotsen mitzuteilen. Der Fluglotse kann dann die Kommandodaten über eine ungesicherte Datenverbindung, die nicht für Sprachverbindungen (non-voice) genutzt wird, an das ferngesteuerte Fortbewegungsmittel übermitteln.
-
Weiter ist vorteilhafterweise vorgesehen, dass die Übermittlungs-Vorrichtung eine Fernsteuerungsvorrichtung zum Fernsteuern eines ferngesteuerten Fortbewegungsmittels ist.
-
Es ist weiter vorteilhaft, wenn die Übermittlungs-Vorrichtung eine Anzeigeeinheit zum Anzeigen des externen Authentifizierungscodes aufweist. In diesem Beispiel kann ein Fernführer den externen Authentifizierungscode von der Anzeigeeinheit entnehmen und mittels der Sendeeinheit zum Beispiel telefonisch an einen Fluglotsen weiterleiten. Der Fluglotse kann dann den externen Authentifizierungscode über eine ungesicherte Datenverbindung, die nicht für Sprachverbindungen genutzt wird, an das ferngesteuerte Fortbewegungsmittel übermitteln.
-
Erfindungsgemäß ist weiter ein System zum Freigeben von empfangenen Kommandodaten vorgesehen, wobei das System umfasst: eine Vorrichtung zum Freigeben von empfangenen Kommandodaten gemäß der oben angeführten Beschreibung oder ein Fortbewegungsmittel gemäß der oben angeführten Beschreibung; eine ungesicherte Datenverbindung; und eine Übermittlungs-Vorrichtung für Kommandodaten gemäß der oben angeführten Beschreibung; wobei die Vorrichtung zum Freigeben von empfangenen Kommandodaten einen Transaktionscode an die Übermittlungs-Vorrichtung über die ungesicherte Datenverbindung übermittelt, und wobei die Übermittlungs-Vorrichtung einen externen Authentifizierungscode und Kommandodaten an die Vorrichtung zum Freigeben von empfangenen Kommandodaten über die ungesicherte Datenverbindung übermittelt.
-
Das System zum Freigeben von empfangenen Kommandodaten umfasst die Vorrichtung zum Freigeben von empfangenen Kommandodaten und die Übermittlungs-Vorrichtung für Kommandodaten gemäß der oben angeführten Beschreibung. Daher können die Vorteile und Wirkungen des Systems aus der oben angeführten Beschreibung entnommen werden. In dieser Hinsicht wird auf die oben angeführte Beschreibung verwiesen.
-
In einem Ausführungsbeispiel kann die ungesicherte Datenverbindung eine non-voice Datenverbindung, d. h. eine Datenverbindung, die keine Sprachverbindung bildet, die vorzugsweise eine Controller-Pilot Data-Link Communication (CPDLC) ist oder vorzugsweise von einem Aircraft Communications Addressing and Reporting System (ACARS) bereitgestellt wird.
-
In einem weiteren Ausführungsbeispiel ist in der Speichereinheit und der Basis-Speichereinheit der gleiche private Schlüssel gespeichert.
-
Es ist dabei vorteilhaft, wenn das System eine Zwischenstation zum Bereitstellen der ungesicherten Datenverbindung aufweist, wobei die Zwischenstation einen empfangenen Transaktionscode an die Übermittlungs-Vorrichtung übermittelt und einen empfangenen externen Authentifizierungscode und empfangene Kommandodaten an die Vorrichtung zum Freigeben von empfangenen Kommandodaten übermittelt.
-
Das System kann in diesem Beispiel auf eine bestehende Infrastruktur zur Übermittlung von Daten an ferngesteuerte Fortbewegungsmittel zurückgreifen. Wenn die Vorrichtung zum Freigeben von Kommandodaten ein Teil eines ferngesteuerten Fortbewegungsmittels, zum Beispiel eines Fluggeräts, ist, kann zum Beispiel auf die Flugverkehrskontrolle als Zwischenstation zurückgegriffen werden. Die Flugverkehrskontrolle verfügt dabei über Datenverbindungen, die nicht für Sprachübertragungen genutzt werden, um mit Fluggeräten zu kommunizieren. Über diese Non-voice-Datenverbindungen kann der Transaktionscode von dem ferngesteuerten Fluggerät zu dem Fernführer, der mit einer Übermittlungs-Vorrichtung für Kommandodaten in Verbindung steht, übermittelt werden. Die Übermittlungs-Vorrichtung erhält dann von dem Fernführer die Kommandodaten und berechnet den Authentifizierungscode zur Übermittlung an die im Fluggerät angeordnete Vorrichtung zur Freigabe von Kommandodaten.
-
In einem Ausführungsbeispiel kann die Zwischenstation eine Flugverkehrskontrollstelle sein, in der ein Fluglotse den über die ungesicherte Datenverbindung empfangenen Transaktionscode per Telefon an der Fernführer eines unbemannten Flugzeugs weitergibt und umgekehrt über Telefon vom Fernführer empfangene Kommandodaten und den externen Authentifizierungscode über die Non-voice-Datenverbindung an das ferngesteuerte Fortbewegungsmittel weiterleitet. Vorzugsweise sind dabei die Kommandodaten im Klartext und der Authentifizierungscode in einem für Menschen lesbaren Format, etwa einer Ziffern- und/oder Buchstabenfolge, gehalten.
-
Erfindungsgemäß ist weiter ein Verfahren zum Freigeben von empfangenen Kommandodaten vorgesehen, wobei das Verfahren folgende Schritte aufweist: a) Generieren eines Transaktionscodes mittels eines Codegenerators; b) Bereitstellen des Transaktionscodes über eine ungesicherte Datenverbindung mittels einer Sendeeinheit; c) Empfangen eines externen Authentifizierungscodes und Kommandodaten über die ungesicherte Datenverbindung mittels einer Empfangseinheit; d) Generieren eines internen Authentifizierungscodes basierend auf dem Transaktionscode, den Kommandodaten und einem in einer Speichereinheit gespeicherten privaten Schlüssel mittels eines Kryptographiemoduls; e) Vergleichen des internen Authentifizierungscodes mit dem externen Authentifizierungscode mittels eines Vergleichsmoduls; f) Generieren eines Freigabesignals zum Freigeben der Kommandodaten, wenn der externe Authentifizierungscode mit dem internen Authentifizierungscode übereinstimmt. Erfindungsgemäß ist weiter ein Verfahren zum Übermitteln von Kommandodaten vorgesehen, wobei das Verfahren folgende Schritte aufweist: g) Empfangen eines Transaktionscodes über eine ungesicherte Datenverbindung mittels einer Basis-Empfangseinheit; h) Empfangen von Kommandodaten mittels einer Eingabeeinheit; i) Generieren eines externen Authentifizierungscodes basierend auf dem Transaktionscode, den Kommandodaten und einem in einer Basis-Speichereinheit gespeicherten privaten Schlüssel mittels eines Basis-Kryptographiemoduls; j) Bereitstellen des externen Authentifizierungscodes und der Kommandodaten über die ungesicherte Datenverbindung mittels einer Basis-Sendeeinheit.
-
Die Vorteile und Wirkungen des Verfahrens sind analog zu den Vorteilen und Wirkungen der oben beschriebenen Vorrichtung. In dieser Hinsicht wird daher auf die oben angeführte Beschreibung verwiesen.
-
Mit Vorteil weist das Verfahren vor Schritt j) den Schritt auf: k) Ausgeben des externen Authentifizierungscodes auf einer Anzeigeeinheit.
-
Erfindungsgemäß ist weiter ein Computerprogrammelement zum Steuern einer Vorrichtung zum Freigeben von empfangenen Kommandodaten gemäß der oben angeführten Beschreibung, eines ferngesteuerten Fortbewegungsmittels gemäß der oben angeführten Beschreibung, oder eines Systems gemäß der oben angeführten Beschreibung vorgesehen, das die Verfahrensschritte des Verfahrens zum Freigeben von empfangenen Kommandodaten gemäß der oben angeführten Beschreibung durchführt, wenn das Computerprogrammelement auf einer Prozessoreinheit ausgeführt wird.
-
Erfindungsgemäß ist weiter ein Computerprogrammelement zum Steuern einer Vorrichtung zum Übermitteln von Kommandodaten gemäß der oben angeführten Beschreibung oder eines Systems gemäß der oben angeführten Beschreibung vorgesehen, das die Verfahrensschritte des Verfahrens zum Übermitteln von Kommandodaten gemäß der oben angeführten Beschreibung durchführt, wenn das Computerprogrammelement auf einer Prozessoreinheit ausgeführt wird.
-
Erfindungsgemäß ist weiter ein computerlesbares Medium, auf dem eines oder beide Computerprogrammelemente gemäß der oben angeführten Beschreibung gespeichert ist bzw. sind.
-
Im Folgenden wird die Erfindung anhand einer beispielhaften Ausführungsform mittels der beigefügten Zeichnung beschrieben. Es zeigen:
- 1 eine schematische Darstellung eines durch einen Fernführer über eine Zwischenstation ferngesteuertes Fortbewegungsmittels,
- 2 eine schematische Darstellung des Systems;
- 3 eine schematische Teil-Darstellung eines weiteren Ausführungsbeispiels des Systems;
- 4a-c eine schematische Darstellung von Kommandodaten (a), eines Transaktionscodes (b), und eines Authentifizierungscodes (c);
- 5a, b schematische Darstellungen verschiedener Ausführungsbeispiele des Verfahrens;
- 6 ein Flussdiagramm des Verfahrens zum Freigeben von empfangenen Kommandodaten;
- 7 ein Flussdiagramm des Verfahrens zum Übermitteln von Kommandodaten; und
- 8 ein Flussdiagramm der Kombination des Verfahrens zum Freigeben von empfangenen Kommandodaten und des Verfahrens zum Übermitteln von Kommandodaten.
-
In 1 sind ein ferngesteuertes Fortbewegungsmittel 10 in Form eines Fluggeräts, eine Fernsteuerungsstation 30 und eine Zwischenstation 50 in Form eines Turms einer Flugverkehrskontrollzentrale dargestellt.
-
Das Fortbewegungsmittel 10 weist Sensoren auf (nicht gezeigt), um z. B. die Position 12, den Abstand zum Boden 14 sowie die Flugrichtung 16 zu bestimmen. Weiter weist das Fortbewegungsmittel 10 eine Steuerungseinheit 18, die das Fluggerät 10 steuert, sowie eine Vorrichtung 20 zum Freigeben von Kommandodaten auf. Das Fluggerät 10 ist über eine ungesicherte Datenverbindung 56 in Form einer Funkverbindung 57 mit der Zwischenstation 50 verbunden.
-
Die Zwischenstation 50 kann über eine weitere Funkverbindung 59 mit der Fernsteuerungsstation 30 in Verbindung stehen. Alternativ oder zusätzlich kann die Zwischenstation 50 über eine Kabelverbindung 55 mit der Fernsteuerungsstation 30 verbunden sein. Die Funkverbindung 57 und die weitere Funkverbindung 59 bzw. die Kabelverbindung 55 bilden dabei die ungesicherte Datenverbindung 56.
-
Die Fernsteuerungsstation 30 weist eine Übermittlungs-Vorrichtung 40 zum Übertragen von Kommandodaten auf. Mittels der Übermittlungs-Vorrichtung 40 kann ein Fernführer Kommandos an das ferngesteuerte Fortbewegungsmittel 10 übermitteln, wenn eine direkte Uplink-Verbindung zwischen dem Fortbewegungsmittel 10 und der Fernsteuerungsstation 30 abgebrochen ist.
-
2 zeigt eine schematische Darstellung des Systems 100 zum Freigeben von Kommandodaten. Das System 100 weist die Vorrichtung 20 und die Übermittlungs-Vorrichtung 40 auf. Die Vorrichtung 20 kann dabei in dem ferngesteuerten Fortbewegungsmittel 10 angeordnet sein, das eine Steuereinheit 18 aufweist, die zum Steuern des Fortbewegungsmittels 10 ausgebildet ist. Weiter kann die Übermittlungs-Vorrichtung 40 in der Fernsteuerungsstation 30 angeordnet sein.
-
Die Vorrichtung 20 zum Freigeben von Kommandodaten umfasst eine Empfangseinheit 22, eine Prozessoreinheit 24, eine Sendeeinheit 26 und eine Speichereinheit 28, in der ein privater Schlüssel 282 gespeichert ist. Die Prozessoreinheit 24 weist weiter einen Codegenerator 240, ein Kryptographiemodul 242 und ein Vergleichsmodul 244 auf.
-
Der Codegenerator 240 ist dazu ausgebildet, einen Transaktionscode 246 zu generieren.
-
Das Kryptographiemodul 242 ist dazu ausgebildet, einen Authentifizierungscode 248 basierend auf Kommandodaten 442, dem Transaktionscode 246, und dem privaten Schlüssel 282 zu generieren.
-
Weiter ist das Vergleichsmodul 244 dazu ausgebildet, ein Freigabesignal 250 zu generieren, wenn ein Vergleich von zwei Authentifizierungscodes eine Übereinstimmung ergibt.
-
Die Übermittlungs-Vorrichtung 40 umfasst eine Basis-Empfangseinheit 42, eine Eingabeeinheit 44, eine Basis-Prozessoreinheit 46, eine Basis-Sendeeinheit 48 und eine Basis-Speichereinheit 41, in der der private Schlüssel 282 gespeichert ist. Die Basis-Prozessoreinheit 46 umfasst dabei ein Basis-Kryptographiemodul 462 und ein Prüfmodul 466.
-
Das Basis-Kryptographiemodul 462 ist dazu ausgebildet, einen Authentifizierungscode auf Basis von Kommandodaten 442, eines Transaktionscodes 246 und eines privaten Schlüssels 282 zu generieren.
-
Wenn eine direkte verschlüsselte bzw. gesicherte Steuerungs-Verbindung zwischen der Vorrichtung 20 bzw. dem ferngesteuerten Fortbewegungsmittel 10 und einem Fernführer in einer Fernsteuerungsstation 30 unterbrochen wird, generiert der Codegenerator 240 einen Transaktionscode 246.
-
Dazu kann der Codegenerator 240 Informationen über die Position 12, den Abstand 14 zum Boden und/oder die Bewegungsrichtung und Geschwindigkeit 16 des ferngesteuerten Fortbewegungsmittels 10 in den Transaktionscode 246 integrieren. Weiter können Teile des privaten Schlüssels 282 in den Transaktionscode 246 einfließen.
-
Der Transaktionscode 246 wird an die Sendeeinheit 26 übermittelt, die den Transaktionscode 246 über eine ungesicherte Datenverbindung 56 bereitstellt.
-
In einem Ausführungsbeispiel kann der Transaktionscode 246 an eine Zwischenstation 50 übermitteln werden. Die Zwischenstation 50 kann dabei eine Sendeempfangseinheit 54 aufweisen, die den Transaktionscode 246 empfängt und ebenfalls über eine ungesicherte Datenverbindung 56 automatisch weiter an die Basis-Empfangseinheit 42 der Übermittlungs-Vorrichtung 40 in der Fernsteuerungsstation 30 übermittelt. In einem alternativen Ausführungsbeispiel kann ein Fluglotse den Transaktionscode 246 von der Sendeempfangseinheit 54 erhalten und an die Fernsteuerungsstation 30 übermitteln. In einem weiteren alternativen Ausführungsbeispiel kann der Transaktionscode 246 direkt von der Sendeeinheit 26 an die Basis-Empfangseinheit 42 übermittelt werden.
-
Der Transaktionscode 246 wird dann zunächst von dem Prüfmodul 466 auf Authentizität überprüft. Dabei kann das Prüfmodul 466 eine Plausibilitätsprüfung durchführen und, falls der Transaktionscode 246 Elemente des privaten Schlüssels 282 aufweist eine Prüfung durchführen, ob diese Elemente mit dem in der Basis-Speichereinheit 41 gespeicherten privaten Schlüssel 282 übereinstimmen. Die Plausibilitätsprüfung kann dabei beispielsweise auf Basis der zuletzt bekannten Position 12, dem Abstand 14 zum Boden, der Bewegungsrichtung und/oder der Geschwindigkeit 16 durchgeführt werden.
-
Wenn der Transaktionscode 246 durch das Prüfmodul 466 als nicht authentisch eingestuft wird, gibt das Prüfmodul 466 ein Abbruchsignal 468 aus. Damit wird der Transaktionscode 246 nicht verwendet und der Vorgang abgebrochen. Es kann dann ein neuer Transaktionscode 246 angefordert werden.
-
Wenn der Transaktionscode 246 durch das Prüfmodul 466 als authentisch eingestuft wird, kann der Transaktionscode 246 durch das Basis-Kryptographiemodul 462 zum Generieren eines externen Authentifizierungscodes 464 verwendet werden. Ein externer Authentifizierungscode 464 wird dann generiert, wenn über die Eingabeeinheit 44 Kommandodaten 442 eingegeben werden. Das Basis-Kryptographiemodul 462 generiert den externen Authentifizierungscode 464 auf Basis des Transaktionscodes 246, der Kommandodaten 442 und des privaten Schlüssels 282. Dabei werden kryptographische Algorithmen verwendet.
-
Mittels der Basis-Sendeeinheit 48 werden der externe Authentifizierungscode 464 und die Kommandodaten 442 über die ungesicherte Datenverbindung 56 bereitgestellt.
-
In einem Ausführungsbeispiel können der externe Authentifizierungscode 464 und die Kommandodaten 442 an die Zwischenstation 50 übermitteln werden. Die Zwischenstation 50 kann dabei eine Sendeempfangseinheit 52 aufweisen, die den externen Authentifizierungscode 464 und die Kommandodaten 442 empfängt und ebenfalls über eine ungesicherte Datenverbindung 56 automatisch weiter an die Empfangseinheit 22 der Vorrichtung 20 in dem ferngesteuerten Fortbewegungsmittel 10 übermittelt. In einem alternativen Ausführungsbeispiel kann ein Fluglotse den externen Authentifizierungscode 464 und die Kommandodaten 442 von der Sendeempfangseinheit 52 erhalten und über eine ungesicherte Datenverbindung 56 übermitteln, über die keine Sprachdaten übermittelt werden. In einem weiteren alternativen Ausführungsbeispiel können der externe Authentifizierungscode 464 und die Kommandodaten 442 direkt von der Basis-Sendeeinheit 48 an die Empfangseinheit 22 übermittelt werden.
-
Die Kommandodaten 442 werden von dem Kryptographiemodul 242 der Vorrichtung 20 zum Generieren eines internen Authentifizierungscodes 248 genutzt. Das Kryptographiemodul 242 generiert den internen Authentifizierungscode 248 dabei auf Basis des privaten Schlüssels 282, des Transaktionscodes 246 und der Kommandodaten 442. Das Kryptographiemodul 242 nutzt dabei die gleichen kryptographischen Algorithmen wie das Basis-Kryptographiemodul 462.
-
Das Vergleichsmodul 244 vergleicht den generierten internen Authentifizierungscode 248 mit dem externen Authentifizierungscode 464. Wenn der Vergleich eine Übereinstimmung ergibt, gibt das Vergleichsmodul 244 ein Freigabesignal 250 aus.
-
Die Steuereinheit 18 ist dazu ausgebildet, das Freigabesignal 250 und die Kommandodaten 442 zu empfangen. Die Steuereinheit 18 führt die Kommandos, die mit den Kommandodaten 442 übermittelt werden, aus, wenn es das Freigabesignal 250 für die Kommandodaten 442 erhält. Weiter kann die Steuereinheit 18 ein Bestätigungssignal 252 ausgeben, um die Ausführung der Kommandos zu bestätigen. Das Bestätigungssignal 252 kann mittels der Sendeeinheit 26 über die ungesicherte Datenverbindung 56 bereitgestellt werden.
-
Dadurch, dass das Kryptographiemodul 242 und das Basis-Kryptographiemodul 462 den gleichen privaten Schlüssel 282 und die gleichen kryptographischen Algorithmen zur Erstellung von Authentifizierungscodes nutzen, kann eine Überprüfung der Korrektheit und der Quelle der übermittelten Kommandodaten 442 erfolgen. Falls der interne Authentifizierungscode 248 nicht mit dem externen Authentifizierungscode 464 übereinstimmt, kann ein Fehler in der Übertragung der Kommandodaten 442 und/oder ein Fehler in der Übertragung des Transaktionscodes 246 vorliegen. Weiter können die Kommandodaten 442 oder der Transaktionscode 264 gefälscht sein und könnten damit von unautorisierten Dritten stammen. Durch den Vergleich des externen mit dem internen Authentifizierungscode kann damit vermieden werden, dass fehlerhafte Kommandodaten oder Kommandodaten aus einer nicht autorisierten Quelle von der Steuereinheit 18 ausgeführt werden.
-
3 zeigt einen Teil eines alternativen Ausführungsbeispiels der Übermittlungs-Vorrichtung 40. Dargestellt ist das Basis-Kryptographiemodul 462, eine Anzeigeeinheit 43 und die Basis-Sendeeinheit 48. Die Anzeigeeinheit 43 ist dabei zwischen dem Basis-Kryptographiemodul 462 und der Basis-Sendeeinheit 48 zwischengeschaltet. Der externe Authentifizierungscode 464 wird dabei an die Anzeigeeinheit 43 übermittelt und von dieser angezeigt. Ein Fernführer kann in diesem Ausführungsbeispiel den Authentifizierungscode 464 von der Anzeigeeinheit 43 entnehmen und über eine ungesicherte Datenverbindung 56, die Daten und/oder Sprache übertragen kann, mittels der Sendeeinheit 48 zum Beispiel telefonisch an einen Fluglotsen in einer Zwischenstation 50 übermitteln.
-
In den 4a-c werden Beispiele von Kommandodaten 442, einem Transaktionscode 246 und einem Authentifizierungscode 464 dargestellt.
-
4a zeigt dabei Kommandodaten 442. Die Kommandodaten 442 können Klartext aufweisen. In diesem Beispiel umfassen die Kommandodaten 442 das Kommando zum Landen auf einer Landebahn.
-
In 4b ist ein Beispiel für einen Transaktionscode 246 dargestellt. Der Transaktionscode 246 umfasst in diesem Beispiel eine Zeichenfolge, in der beispielsweise die Positionsdaten 12 des ferngesteuerten Fortbewegungsmittels 10 und ein Teil des privaten Schlüssels 282 verschlüsselt sein können.
-
In 4c ist ein Beispiel eines Authentifizierungscodes dargestellt. Dabei kann es sich um den externen Authentifizierungscode 464 oder auch um den internen Authentifizierungscode 248 handeln. Auch der Authentifizierungscode kann dabei als eine Zeichenfolge dargestellt werden.
-
5a zeigt im linken Bereich das Verfahren 500 zum Freigeben von empfangenen Kommandodaten. Das Verfahren 500 ist weiter in 6 dargestellt und kann durch ein Computerprogrammelement 60, das auf einem computerlesbarem Medium 64 gespeichert sein kann, ausgeführt werden.
-
Das Verfahren 500 umfasst dabei den Schritt a), das Generieren 501 eines Transaktionscodes mittels eines Codegenerators. Der Transaktionscode kann dabei auf Positionsdaten 12, einem Abstand 14 zum Boden und/oder einer Bewegungsrichtung oder Geschwindigkeit 16 basieren.
-
In einem Schritt b) wird der Transaktionscode über eine ungesicherte Datenverbindung mittels einer Sendeeinheit bereitgestellt 502. Die ungesicherte Datenverbindung kann dabei ein ungesichertes Funknetzwerk eines Flugkontrollzentrums sein, wenn das Verfahren auf einem Fluggerät ausgeführt wird.
-
In einem weiteren Schritt c) werden ein externer Authentifizierungscode und Kommandodaten mittels einer Empfangseinheit empfangen 503. Der externe Authentifizierungscode und die Kommandodaten werden erst empfangen 503, nachdem der Transaktionscode bereitgestellt 502 wurde.
-
In einem Schritt d) kann ein interner Authentifizierungscode basierend auf dem Transaktionscode, den Kommandodaten und einem in einer Speichereinheit gespeicherten privaten Schlüssel mittels eines Kryptographiemoduls generiert 504 werden. Der externe Authentifizierungscode, der durch die Empfangseinheit empfangen wurde, wurde dabei ebenfalls mittels des privaten Schlüssels, der Kommandodaten und des Transaktionscodes generiert. Da der Transaktionscode, die Kommandodaten und der externe Authentifizierungscode jedoch über die ungesicherte Datenverbindung übertragen werden, können Übertragungsfehler auftreten oder unautorisierte Quellen die Kommandodaten und den externen Authentifizierungscode bereitstellen.
-
Daher wird in einem Schritt e) der interne Authentifizierungscode mit dem externen Authentifizierungscode mittels eines Vergleichsmoduls verglichen 505.
-
Wenn der interne und der externe Authentifizierungscode übereinstimmen wird mittels des Vergleichsmoduls ein Freigabesignal zum Freigeben der Kommandodaten generiert 506. Das Freigabesignal zeigt damit an, dass die Kommandodaten einer autorisierten Quelle entstammen und unverfälscht übermittelt wurden.
-
Das Freigabesignal wird an eine Steuereinheit übermittelt, die auch die Kommandodaten empfängt. Die Steuereinheit führt dann die Kommandos, die mit den Kommandodaten übertragen wurden, aus 507. Weiter kann die Steuereinheit ein Bestätigungssignal ausgeben 508, um das Ausführen 507 der Kommandos zu bestätigen. Das Bestätigungssignal kann mittels der Sendeeinheit über die ungesicherte Datenverbindung bereitgestellt werden.
-
Der rechte Teil der 5a zeigt das Verfahren 600 zum Übermitteln von Kommandodaten, das ebenfalls in 7 beschrieben wird und durch ein Computerprogrammelement 62, das auf einem computerlesbarem Medium 64 gespeichert 509 sein kann, ausgeführt werden kann.
-
In einem Schritt g) wird der Transaktionscode über die ungesicherte Datenverbindung mittels einer Basis-Empfangseinheit empfangen 601. Der Transaktionscode kann dabei vorher durch Schritt a) des Verfahrens 500 generiert worden sein.
-
Der Transaktionscode kann nach Schritt g) mittels eines Prüfmoduls auf Plausibilität und Authentizität geprüft 606 werden.
-
In einem Schritt h) können Kommandodaten mittels einer Eingabeeinheit empfangen 602 werden. Dabei kann beispielsweise ein Fernführer eines ferngesteuerten Fluggerätes die Kommandodaten in die Eingabeeinheit eingeben.
-
In einem Schritt i) kann mittels eines Basis-Kryptographiemodul ein externer Authentifizierungscode basierend auf dem Transaktionscode, den Kommandodaten und einem in einer Basis-Speichereinheit gespeicherten 607 privaten Schlüssel generiert 603 werden. Das Generieren des externen Authentifizierungscodes erfolgt dabei auf die gleiche Weise wie das Generieren des internen Authentifizierungscodes in Schritt d) des Verfahrens 500.
-
In einem Schritt j) werden der externe Authentifizierungscode und die Kommandodaten über eine ungesicherte Datenverbindung mittels einer Basis-Sendeeinheit bereitgestellt 604. Auf den Schritt j) kann der Schritt c) des Verfahrens 500 folgen.
-
5b zeigt einen Teil eines alternativen Ausführungsbeispiels des Verfahrens 600. Dabei wird in einem Schritt k) der externe Authentifizierungscode auf einer Anzeigeeinheit ausgegeben 605. Das Ausgeben des externen Authentifizierungscodes kann dazu dienen, dass ein Fernführer den externen Authentifizierungscode abliest und mündlich einem Mitarbeiter in einer Zwischenstation über eine Basis-Sendeeinheit übermittelt. Von der Zwischenstation aus wird der externe Authentifizierungscode über eine Nicht-Sprach-Verbindung zu dem ferngesteuerten Fortbewegungsmittel übermittelt.
-
8 zeigt eine beispielhafte Kombination der Verfahren 500 und 600 als kombiniertes Verfahren 1000. Dabei folgen auf die Schritte a) und b) zunächst die Schritte g), h), i) und j). Danach folgen die Schritte c), d), e) und f).