-
Die Erfindung betrifft ein Verfahren sowie eine mobile Zugangsvorrichtung zum Bereitstellen eines datentechnischen Zugangs zu einem Fahrzeugnetz eines spurgebundenen Fahrzeugs.
-
Grundsätzlich ist es bekannt, einen datentechnischen Zugang zu einem Fahrzeugnetz eines spurgebundenen Fahrzeugs an einem Port eines Switches, welcher eine Netzkomponente des Fahrzeugnetzes ist, bereitzustellen. Beispielsweise wird ein Wartungscomputer, welcher von einer Wartungsperson mit sich geführt wird, über ein Netzwerkkabel an den Port angeschlossen.
-
Vor diesem Hintergrund ist es Aufgabe der Erfindung, das Bereitstellen des datentechnischen Zugangs zu einem Fahrzeugnetz eines spurgebundenen Fahrzeugs zu verbessern. Insbesondere ist es Aufgabe der Erfindung, die Handhabung eines datentechnischen Zugangs zu vereinfachen.
-
Diese Aufgabe wird durch ein Verfahren zum Bereitstellen eines datentechnischen Zugangs zu einem Fahrzeugnetz eines spurgebundenen Fahrzeugs mittels einer mobilen Zugangsvorrichtung, die an einen drahtgebundenen Zugangspunkt des Fahrzeugnetzes angeschlossen ist, gelöst. Dabei wird der datentechnische Zugang an einer Drahtlosschnittstelle der Zugangsvorrichtung in Abhängigkeit eines Ergebnisses eines Anmeldevorgangs der Zugangsvorrichtung an dem Fahrzeugnetz bereitgestellt.
-
Die Erfindung beruht auf der Erkenntnis, dass ein drahtgebundener Anschluss eines Wartungscomputers über ein Netzwerkkabel an einen drahtgebundenen Zugangspunkt, beispielweise einen Port eines Switches des Fahrzeugnetzes, nachteilig in der Handhabung ist. So sind der Bedienradius und die Freiheit in der Bewegung für die Wartungsperson aufgrund der Länge des Netzwerkkabels beschränkt. Zudem ist ein Anmeldevorgang über den Wartungscomputer von der Wartungsperson händisch durchzuführen.
-
Die erfindungsgemäße Lösung behebt diese Probleme, indem der datentechnische Zugang zu dem Fahrzeugnetz an der Drahtlosschnittstelle bereitgestellt wird. Daraus ergibt sich der Vorteil, dass die Freiheit bei der Bewegung der Wartungsperson erhöht wird.
-
Die erfindungsgemäße Lösung behebt diese Probleme zudem dadurch, dass der datentechnische Zugang in Abhängigkeit eines Ergebnisses eines Anmeldevorgangs der Zugangsvorrichtung an dem Fahrzeugnetz bereitgestellt wird. Auf diese Weise wird die Sicherheit des Fahrzeugnetzes erhöht.
-
Der Fachmann versteht die Formulierung „Bereitstellen eines datentechnischen Zugangs“ vorzugsweise dahingehend, dass der datentechnische Zugang einem Endgerät zur Verfügung gestellt wird. Das Endgerät ist vorzugsweise ein mobiles Endgerät, welches von einer Person mit sich geführt wird. Beispielsweise ist das mobile Endgerät ein Wartungscomputer (häufig als Service-PC (PC: Personal Computer) bezeichnet), ein Smartphone, Tablet, Wearable, etc.
-
Insbesondere versteht der Fachmann die Formulierung „datentechnischer Zugang“ vorzugsweise dahingehend, dass Daten zwischen dem Endgerät und dem Fahrzeugnetz übertragen werden können. So können Daten beispielsweise auf eine (von dem Endgerät ausgelöste) Anfrage hin von dem Fahrzeugnetz an das Endgerät übertragen werden. Zudem können Daten im Rahmen des Zugangs von dem Endgerät an das Fahrzeugnetz übertragen werden. Beispielsweise kann der Zugang zu dem Fahrzeugnetz für eine Softwareverteilung (häufig als Software Deployment bezeichnet) genutzt werden. Bei der Softwareverteilung wird Software für Netzkomponenten, Steuergeräte etc. des Fahrzeugnetzes zur Verfügung gestellt und gegebenenfalls auf diesen installiert.
-
Der datentechnische Zugang wird vorzugsweise für eine vorgegebene Zeitdauer nach Abschluss des Anmeldevorgangs bereitgestellt. Nach Ablauf der Zeitdauer, ist vorzugsweise ein erneuter Anmeldevorgang auszuführen.
-
Das Fahrzeugnetz ist vorzugsweise ein Betreibernetz und/oder ein Steuernetz des spurgebundenen Fahrzeugs.
-
Der Fachmann versteht den Begriff „Steuernetz“ als ein Netz, welches eine oder mehrere Komponente zur Fahrzeugsteuerung umfasst. Dieses Verständnis basiert auf der Erkenntnis, dass in heutigen spurgebundenen Fahrzeugen - neben den klassischen leittechnischen (z. B. antriebs- und bremstechnischen) Funktionen - zahlreiche Aufgaben automatisiert durchgeführt werden. Dazu gehören z. B. der Betrieb und die Verwaltung eines Systems zur Ausgabe von Informationen an Fahrgäste und Bordpersonal, der automatisierte Betrieb einer Sanitärzelle, die Verwaltung einer Kommunikation zwischen spurgebundenem Fahrzeug und der Landseite, etc. Die entsprechenden Komponenten sind steuerungs- und kommunikationstechnisch über das Steuernetz miteinander verbunden.
-
Des Weiteren versteht der Fachmann den Begriff „Betreibernetz“ als ein physikalisch von dem Steuernetz getrenntes Netz, welches datentechnisch mit dem Steuernetz verbunden sein kann. Beispielsweise ist das Fahrgastinformationssystem (FIS) und/oder das Kameraüberwachungssystem zur Überwachung des Innen- und Außenbereichs des spurgebundenen Fahrzeugs (CCTV: Closed Circuit Television) an das Betreibernetz datentechnisch angebunden. Die entsprechenden Komponenten des FISs bzw. Kameraüberwachungssystems sind datentechnisch über das Betreibernetz miteinander verbunden.
-
Das spurgebundene Fahrzeug ist vorzugsweise ein Schienenfahrzeug. Weiter vorzugsweise dient das spurgebundene Fahrzeug zur Personenbeförderung im öffentlichen Nah- und/oder Fernverkehr.
-
Der drahtgebundene Zugangspunkt ist vorzugsweise ein Port eines Switches. Der Switch ist weiter vorzugsweise eine Netzkomponente des Fahrzeugnetzes. Der Fachmann versteht die Formulierung „Bereitstellen des datentechnischen Zugangs an einer Drahtlosschnittstelle“ vorzugsweise dahingehend, dass das Endgerät, dem der Zugang bereitgestellt wird, Daten über die Drahtlosschnittstelle an das Fahrzeugnetz senden kann und/oder von dem Fahrzeugnetz über die Drahtlosschnittstelle empfangen kann. Folglich benötigt das Endgerät vorzugsweise eine Endgerätdrahtlosschnittstelle, wobei Daten zwischen der Drahtlosschnittstelle der Zugangsvorrichtung und der Endgerätdrahtlosschnittstelle per Funk übertragen werden. Die Übertragung per Funk erfolgt vorzugsweise unter Anwendung des WLAN-Standards (WLAN: Wireless Local Area Network).
-
Der Fachmann versteht die Formulierung „in Abhängigkeit des Anmeldevorgangs der Zugangsvorrichtung“ dahingehend, dass die Zugangsvorrichtung als berechtigte Zugangsvorrichtung bei dem Fahrzeugnetz angemeldet wird. Vorzugsweise löst die Zugangsvorrichtung den Anmeldevorgang selbstständig aus und führt den Anmeldevorgangs selbständig in Kommunikation mit dem Fahrzeugnetz durch. Dies hat den Vorteil, dass der Anmeldevorgang nicht mehr händisch über einen Wartungscomputer von der Wartungsperson durchgeführt werden muss. Ist der Anmeldevorgang erfolgreich, wird der datentechnische Zugang dem Endgerät bereitgestellt. Ist der Anmeldevorgang nicht erfolgreich, ist ein datentechnischer Zugang zu dem Fahrzeugnetz über die mobile Zugangsvorrichtung blockiert.
-
Der Anmeldevorgang wird vorzugsweise auf ein Anschließen der Zugangsvorrichtung an den drahtgebundenen Zugangspunkt hin durch die Zugangsvorrichtung ausgelöst. Der Anmeldevorgang umfasst weiter vorzugsweise mehrere Anmeldeversuche. Weiter vorzugsweise wird der Anmeldevorgang auf das Ausführen einer vorgegebenen Anzahl von erfolglosen Anmeldeversuchen hin abgebrochen.
-
Ein erfolgsloser Anmeldevorgang, eine Fehlfunktion der Zugangsvorrichtung und/oder ein datentechnischer Angriff mittels der Zugangsvorrichtung werden vorzugsweise in Form einer Diagnosemeldung an eine Datenverarbeitungseinrichtung, insbesondere an eine landseitige Datenverarbeitungseinrichtung, gemeldet. Die landseitige Datenverarbeitungseinrichtung verzeichnet die Zugangsvorrichtung vorzugsweise als gesperrte Zugangsvorrichtung und meldet die Zugangsvorrichtung weiter vorzugsweise als gesperrte Zugangsvorrichtung an ein weiteres spurgebundenes Fahrzeug einer Fahrzeugflotte. Auf diese Weise wird ein Anmeldeversuch mittels der gesperrten Zugangsvorrichtung an dem weiteren Fahrzeug verhindert.
-
Die mobile Zugangsvorrichtung ist vorzugsweise als WLAN-Dongle ausgebildet.
-
Das erfindungsgemäße Verfahren zum Bereitstellen des datentechnischen Zugangs zu dem Fahrzeugnetz dient vorzugsweise zum Bereitstellen eines datentechnischen Zugangs für eine Inbetriebnahme, eine Diagnose, eine Wartung (Service) und/oder eine Softwareverteilung (beispielsweise Softwareinstallation) des spurgebundenen Fahrzeugs.
-
Gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst der Anmeldevorgang eine Berechtigungsprüfung, bei welcher zumindest anhand einer von der Zugangsvorrichtung bereitgestellten Identifikationsinformation, welche die Zugangsvorrichtung identifiziert, geprüft wird, ob das Bereitstellen des datentechnischen Zugangs zuzulassen ist.
-
Die Identifikationsinformation kann mittels einer eindeutigen Seriennummer, die der Zugangsvorrichtung zugeordnet ist, repräsentiert werden. Die Seriennummer ist vorzugsweise ein UID-Code (UID: Unique Identification) gemäß dem Standard ISO/IEC 15459-3. Weiter vorzugsweise umfasst die Zugangsvorrichtung einen Nahfeldkommunikationstransponder, insbesondere einen RFID-Transponder, welcher den UID-Code bereitstellt.
-
Alternativ oder zusätzlich kann die Identifikationsinformation von einer MAC-Adresse (Media-Access-Control-Adresse) repräsentiert werden.
-
Die Identifikationsinformation kann eine Information sein, welche auf Basis der Seriennummer und/oder der MAC-Adresse erzeugt wird.
-
Das Prüfen anhand der Identifikationsinformation kann dadurch erfolgen, dass die von der Zugangsvorrichtung bereitgestellte Identifikationsinformation mittels eines Servers, der mit dem Fahrzeugnetz datentechnische verbunden ist, mit einer gespeicherten Identifikationsinformation verglichen wird. Ist die von der Zugangsvorrichtung bereitgestellte Identifikationsinformation als zulässige Identifikationsinformation vorgesehen (beispielsweise als solche in einer von dem Server gespeicherten Tabelle verzeichnet), wird das Bereitstellen des Zugangs zugelassen. Vorzugsweise ist eine Serie von Identifikationsnummern als jeweils zulässige Identifikationsinformation vorgesehen. Die Serie von Identifikationsnummern wird vorzugsweise als Bereich von Seriennummern repräsentiert.
-
Bei einer bevorzugten Weiterbildung wird die Identifikationsinformation verschlüsselt von der Zugangsvorrichtung bereitgestellt. Vorzugsweise wird die Identifikationsinformation (für die Prüfung im Fahrzeugnetz) ausgehend von der Zugangsvorrichtung an das Fahrzeugnetz verschlüsselt übertragen und im Fahrzeugnetz entschlüsselt.
-
Vorzugsweise ist die Identifikationsinformation nach dem Advanced-Encryption-Standard (AES; beispielsweise mit einer Blocklänge von 128 Bit) verschlüsselt.
-
Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens umfasst der Anmeldevorgang eine Berechtigungsprüfung, bei welcher ein Authentifizierungsvorgang zum Authentifizieren der Zugangsvorrichtung für einen datentechnischen Zugang zu dem Fahrzeugnetz anhand einer von der Zugangsvorrichtung bereitgestellten Authentisierungsinformation erfolgt. Der datentechnische Zugang wird vorzugsweise in Abhängigkeit eines Ergebnisses des Authentifizierungsvorgangs bereitgestellt. Die Authentisierungsinformation wird vorzugsweise mittels eines Zertifikats repräsentiert.
-
Der Fachmann versteht unter dem Begriff „Authentisieren“ das Prüfen der Echtheit der Zugangsvorrichtung. Weiter versteht der Fachmann unter dem Begriff „Authentifizieren“ die Bezeugung der Echtheit durch eine Authentifizierungs-Einheit. Im fachmännischen Sprachgebrauch werden die Begriffe „Authentifizieren“ und „Authentisieren“ häufig gemeinsam unter den Begriff „Authentifizieren“ gefasst.
-
Die Authentifizierungs-Einheit ist vorzugsweise an das Fahrzugnetz datentechnisch angeschlossen. Bei dem Authentifizierungsvorgang sendet die Zugangsvorrichtung die Authentisierungsinformation an die Authentifizierungs-Einheit. Die Authentifizierungs-Einheit prüft die Authentisierungsinformation. Ist das Ergebnis der Prüfung positiv, wird der datentechnische Zugang an der Drahtlosschnittstelle der Zugangsvorrichtung bereitgestellt. Ist das Ergebnis der Prüfung negativ, wird der datentechnische Zugang zu dem Fahrzeugnetz blockiert.
-
Die Authentifizierungs-Einheit ist vorzugsweise als Authentifizierungs-Server mit Authentifizierungsdienst ausgebildet. Weiter vorzugsweise umfasst der Authentifizierungsdienst einen Remote Authentication Dial-in User Service (RADIUS). Weiter vorzugsweise ist der Authentifizierungs-Server ein zentraler Server innerhalb des Fahrzeugnetzes, welcher verschiedenen Teilnehmern des Fahrzeugnetzes zur Verfügung steht.
-
Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird eine für den Anmeldevorgang vorgesehene datentechnische Kommunikation zwischen dem Fahrzeugnetz und der Zugangsvorrichtung auf einem logischen Teilnetz des Fahrzeugnetzes durchgeführt. Das logische Teilnetz ist vorzugsweise ein virtuelles Netz, insbesondere ein VLAN (Virtual Local Area Network). Vorzugsweise erfolgt die für den Anmeldevorgang vorgesehene datentechnische Kommunikation ausschließlich auf dem logischen Teilnetz. Daraus ergibt sich der wesentliche Vorteil, dass eine Zugangsvorrichtung bis zum positiven Abschluss des Anmeldevorgangs ausschließlich auf das logische Teilnetz zugreifen kann. Dadurch können weitere Teilnetze des Fahrzeugnetzes vor einem Zugriff durch die Zugangsvorrichtung geschützt werden.
-
Nach einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens ist für den Anmeldevorgang eine eindeutige Internetprotokoll-Adresse zum Adressieren der Zugangsvorrichtung vorgesehen. Vorzugsweise wird das Fahrzeugnetz für den Anmeldevorgang der Zugangsvorrichtung eine vorgegebene Internetprotokoll-Adresse zur Verfügung stellen. Die Internet-Protokoll-Adresse dient vorzugsweise zum Adressieren der Zugangsvorrichtung aus dem Fahrzeugnetz.
-
Auf diese Weise wird die Sicherheit, insbesondere Security, bei dem Bereitstellen eines datentechnischen Zugangs zu dem Fahrzeugnetz erhöht.
-
Eine weitere bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens umfasst: Versorgen der Zugangsvorrichtung mit elektrischer Energie aus dem Fahrzeugnetz. Dies hat den Vorteil, dass eine gesonderte Energieversorgung der Zugangsvorrichtung nicht erforderlich ist.
-
Vorzugsweise erfolgt das Versorgen mit elektrischer Energie aus dem Fahrzeugnetz mittels Power-Over-Ethernet. Weiter vorzugsweise wird die Zugangsvorrichtung von einem Switch des Fahrzeugnetzes mit elektrischer Energie versorgt. Alternativ wird die Zugangsvorrichtung von einer Midspan-Einrichtung, welche zwischen dem Switch und der Zugangsvorrichtung geschaltet ist, mit elektrischer Energie versorgt.
-
Gemäß einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird der datentechnische Zugang über die Drahtlosschnittstelle als drahtloser Zugang bereitgestellt, welcher von einem Endgerät, welches für den datentechnischen Zugang auf das Fahrzugnetz vorgesehen ist, über einen Funknetznamen identifizierbar ist. Der Funknetzname wird vorzugsweise von einer WLAN-SSID repräsentiert (SSID: Service Set Identifier).
-
Der drahtlose Zugang über die Drahtlosschnittstelle wird vorzugsweise auf den Empfang eines Zugangspassworts von dem Endgerät bereitgestellt. Vorzugsweise ist das Zugangspasswort ein WPA2-Passwort (WPA: Wi-Fi Protected Access).
-
Das Zugangspasswort kann von einem Benutzer des Endgeräts eingegeben werden. Die konkrete Ausgestaltung des Zugangspassworts kann regelbasiert erfolgen: Die konkrete Ausgestaltung des Zugangspassworts kann beispielsweise abhängig von der Identifikationsinformation erfolgen. Alternativ oder zusätzlich kann das Zugangspasswort durch die Zugangsvorrichtung anhand eines Algorithmus ermittelt werden. Beispielsweise ermittelt der Algorithmus das Zugangspasswort in Abhängigkeit einer Identifikationsnummer des spurgebundenen Fahrzeugs. Auf diese Weise wird die Sicherheit beim Bereitstellen des datentechnischen Zugangs weiter erhöht. Das Zugangspasswort hängt nicht von dem Wissen des Nutzers des Endgeräts ab.
-
Eine weitere bevorzugte Ausführungsform des erfindungsgemäßen Verfahrens umfasst: Herstellen einer datentechnischen Verbindung zwischen der Zugangsvorrichtung und einer Initialisierungseinrichtung, Übertragen der Authentisierungsinformation von der Initialisierungseinrichtung an die Zugangsvorrichtung und Speichern der Authentisierungsinformation mittels einer Speichereinheit der Zugangsvorrichtung.
-
Die Initialisierungseinrichtung ist vorzugsweise als Service-PC ausgebildet. Vorzugsweise wird eine fabrikneue Zugangsvorrichtung zur Herstellung der datentechnischen Verbindung an die Initialisierungseinrichtung angeschlossen. Durch die Übertragung der Authentisierungsinformation wird die Zugangsvorrichtung vorzugsweise für den Einsatz konfiguriert. Die die Authentisierungsinformation wird vorzugsweise anhand der Seriennummer und/oder der MAC-Adresse der fabrikneuen Zugangsvorrichtung erzeugt. Das Erzeugen erfolgt anhand einer oder mehrerer Rechenoperationen (Algorithmus).
-
Wird der Anmeldevorgang nach einer vorgegebenen Anzahl von ausgeführten Anmeldeversuchen abgebrochen, ist es vorzugsweise für einen weiteren Anmeldevorgang mittels der Zugangsvorrichtung erforderlich, die Zugangsvorrichtung mit der Initialisierungseinrichtung datentechnisch zu verbinden, eine weitere Authentisierungsinformation an die Zugangsvorrichtung zu übertragen und mittels der Speichereinheit der Zugangsvorrichtung zu speichern.
-
Die Erfindung betrifft ferner eine mobile Zugangsvorrichtung zum Bereitstellen eines datentechnischen Zugangs zu einem Fahrzeugnetz eines spurgebundenen Fahrzeugs, umfassend: Eine drahtgebundene Schnittstelleneinheit zum Anschließen der mobilen Zugangsvorrichtung an das Fahrzeugnetz, eine Drahtlosschnittstelle, welche ausgebildet ist, einen drahtlosen Zugang für ein mobiles Endgerät bereitzustellen und eine Kommunikationsrecheneinheit, welche ausgebildet ist, einen Anmeldevorgang zum Anmelden der mobilen Zugangsvorrichtung an dem Fahrzeugnetz auszulösen.
-
Eine bevorzugte Ausführungsform der mobilen Zugangsvorrichtung ist als WLAN-Stick und/oder digitaler Dongle ausgebildet.
-
Bei einer weiteren bevorzugten Ausführungsform der mobilen Zugangsvorrichtung ist die drahtgebundene Schnittstelleneinheit als M12- und/oder RJ45-Stecker ausgebildet.
-
Bei einer weiteren bevorzugten Ausführungsform der mobilen Zugangsvorrichtung ist die drahtgebundene Schnittstelle als RJ45-Stecker ausgebildet, wobei eine Adaptereinrichtung eine an den RJ45-Stecker anschließbare RJ45-Buchse und einen an den drahtgebundenen Zugangspunkt des Fahrzeugnetzes anschließbaren M12-Stecker aufweist. Die Adaptereinrichtung ist vorzugsweise als Adapterkabel ausgebildet. Diese Ausführungsform hat den Vorteil, dass über das Adapterkabel Zugangspunkte des Fahrzeugnetzes, die schwer zugänglich sind, einfacher erreichbar sind. Zudem kann das Adapterkabel dazu dienen, die Drahtlosschnittstelle der Zugangsvorrichtung außerhalb eines Schaltschranks des spurgebundenen Fahrzeugs zu platzieren (wobei der drahtgebundene Zugangspunkt innerhalb des Schaltschranks angeordnet ist): Dadurch wird die Konnektivität bei der Funkverbindung zwischen Zugangsvorrichtung und dem Endgerät, dem der datentechnische Zugang mittels der Zugangsvorrichtung bereitgestellt wird, verbessert. Denn durch die Platzierung der Drahtlosschnittstelle außerhalb des Schaltschranks, werden strahlungsdämpfende Einflüsse des Schaltschranks auf die Funkübertragung verringert.
-
Die Erfindung betrifft ferner ein Kommunikationssystem zum Bereitstellen eines datentechnischen Zugangs zu einem Fahrzeugnetz eines spurgebundenen Fahrzeugs mittels einer mobilen Zugangsvorrichtung der vorstehend beschriebenen Art, die an einem drahtgebundenen Zugangspunkt des Fahrzeugnetzes angeschlossen ist. Das Kommunikationssystem umfasst: Eine Anmeldeeinheit, die datentechnisch an das Fahrzeugnetz angeschlossen ist, wobei die Anmeldeeinheit ausgebildet ist, den datentechnischen Zugang in Abhängigkeit eines Ergebnisses eines von der Zugangsvorrichtung ausgelösten Anmeldevorgangs bereitzustellen.
-
Zu Ausführungsformen, Ausgestaltungsdetails und Vorteilen der mobilen Zugangsvorrichtung sowie des Kommunikationssystems wird auf die Beschreibung zu den entsprechenden Verfahrensmerkmalen verwiesen.
-
Ein Ausführungsbeispiel der Erfindung wird nun anhand der Zeichnungen erläutert. Es zeigen:
- 1 ein schematisches Ablaufdiagramm eines erfindungsgemäßen Verfahrens gemäß einem ersten Ausführungsbeispiel,
- 2 einen schematischen Aufbau eines Kommunikationssystems gemäß einem Ausführungsbeispiel der Erfindung,
- 3 einen schematischen Aufbau einer Zugangsvorrichtung und einer Adaptereinrichtung zur Verwendung in dem in 2 gezeigten Kommunikationssystem und
- 4 ein schematisches Ablaufdiagramm eines erfindungsgemäßen Kommunikationsverfahrens gemäß einem zweiten Ausführungsbeispiel.
-
1 zeigt schematisch den Ablauf eines Ausführungsbeispiels eines erfindungsgemäßen Verfahrens. 2 zeigt ein spurgebundenes Fahrzeug 1 in Form eines Schienenfahrzeugs 2 in einer schematischen Seitenansicht. Das Schienenfahrzeug 2 ist als Verband von mehreren Wagen ausgebildet, die miteinander mechanisch gekoppelt sind und eine Zugeinheit bilden. In der betrachteten Ausführung ist das Schienenfahrzeug als sog. Triebzug ausgebildet.
-
Das Schienenfahrzeug 2 weist ein Kommunikationssystem 10 auf. Das Kommunikationssystem 10 umfasst ein Fahrzeugnetz 12, welches als Ethernet-Netz ausgebildet ist und beispielsweise als Betreibernetz dienen kann.
-
Innerhalb des spurgebundenen Fahrzeugs 1 befindet sich eine mobile Zugangsvorrichtung 20 und ein mobiles Endgerät 40, die in 3 schematisch dargestellt sind.
-
Das Fahrzeugnetz 12 umfasst ein logisches Teilnetz 13, welches als VLAN (VLAN: Virtual Local Area Network) ausgebildet ist. Das logische Teilnetz 13 dient als Anmeldenetz für eine mobile Zugangsvorrichtung 20, d.h. eine Kommunikation zwischen dem Fahrzeugnetz 12 und der Zugangsvorrichtung 20 erfolgt während eines Anmeldevorgangs ausschließlich auf dem logischen Teilnetz 13. Das logische Teilnetz 13 ist logisch von einem weiteren Teilnetz 15 des Fahrzeugnetzes 12 getrennt.
-
Die mobile Zugangsvorrichtung 20 ist als WLAN-Dongle 21 (WLAN: Wireless Local Area Network) ausgebildet. Die mobile Zugangsvorrichtung 20 weist eine drahtgebundene Schnittstelleneinheit 22, welche als RJ45-Stecker 23 ausgebildet ist, und eine Drahtlosschnittstelle 24, welche einen drahtlosen Zugangspunkt 25 darstellt, auf.
-
Eine Adaptereinrichtung 30 umfasst eine erste drahtgebundene Schnittstelle 26, welches als M12-Stecker 27 ausgebildet ist, und eine zweite drahtgebundene Schnittstelle 28, welche als RJ45-Buchse 29 ausgebildet ist.
-
Für den Betrieb kann die Adaptereinrichtung 30 mittels des M12-Steckers 27 an eine Switch-Einheit 32 des Fahrzeugnetzes 12 angeschlossen werden. Die Zugangsvorrichtung 20 kann für den Betrieb mittels des RJ45-Steckers 23 an die RJ45-Buchse 29 der Adaptereinrichtung 30 angeschlossen werden.
-
Das mobile Endgerät 40 ist als Wartungscomputer ausgebildet.
-
In einem Verfahrensschritt A werden die Adaptereinrichtung 30 und die Zugangsvorrichtung 20 an das Fahrzeugnetz 12 angeschlossen. Das Anschließen A erfolgt, indem der M12-Stecker 27 in einen Port 33 der Switch-Einheit 32 eingesteckt und der RJ45-Stecker 23 in die RJ45-Buchse 29 eingesteckt wird. Der Port 33 bildet einen drahtgebundenen Zugangspunkt des Fahrzeugnetzes 12. Bei dem Anschluss befindet sich das Fahrzeug 1 beispielsweise in einem Betriebsmodus und/oder einem Wartungsmodus. Die Switch-Einheit 32 ist eine Netzkomponente des logischen Teilnetzes 13.
-
Die Switch-Einheit 32 ist als Power-Over-Ethernet-Switch 37 ausgebildet und versorgt die angeschlossene Zugangsvorrichtung 20 in einem Verfahrensschritt B mit elektrischer Energie.
-
Die mit elektrischer Energie versorgte Zugangsvorrichtung 20 prüft in einem Verfahrensschritt C, ob ein Computerprogramm zum Betrieb der Zugangsvorrichtung 20 verändert wurde, beispielsweise unter Anwendung einer Hash-Funktion in Form einer Prüfsumme. Liegt das Computerprogramm in der gewünschten Form vor, löst die Zugangsvorrichtung 20 in einem Verfahrensschritt D einen Anmeldevorgang zum Anmelden der Zugangsvorrichtung 20 an dem Fahrzeugnetz 12 aus.
-
Eine Anmeldeeinheit 34 ist an das logische Teilnetz 13 angeschlossen. Die Anmeldeeinheit 34 bildet eine Gateway-Einheit 34a, die datentechnisch an das Teilnetz 13 sowie an das Teilnetz 15 angeschlossen ist und diese Teilnetze logische voneinander trennt. Die Zugangsvorrichtung 20 umfasst eine Kommunikationsrecheneinheit 36.
-
Das Auslösen D des Anmeldevorgangs erfolgt beispielsweise, indem die Kommunikationsrecheneinheit 36 eine DHCP-Client-Anfrage (DHCP: Dynamic Host Configuration) an das Fahrzeugnetz 12 aussendet. Der DHCP-Client-Anfrage ist eine Identifikationsinformation 38 in Form der MAC-Adresse der Zugangsvorrichtung 20 beigefügt. Im Rahmen des Anmeldevorgangs dient die Anmeldeeinheit 34 zusätzlich als DHCP-Server 34b, welcher die DHCP-Client-Anfrage empfängt.
-
Zusätzlich zu der MAC-Adresse der Zugangsvorrichtung 20 wird als Identifikationsinformation 38 ein verschlüsselter UID-Code (UID: Unique Identifier), welcher die Zugangsvorrichtung 20 mittels eines Transponders bereitstellt, an das Fahrzeugnetz 12 übertragen.
-
In einem Verfahrensschritt DD wird ein erster Teil einer Berechtigungsprüfung durchgeführt: Die Identifikationsinformation 38 besteht aus der MAC-Adresse und dem verschlüsselten UID-Code. Der verschlüsselte UID-Code wird im Fahrzeugnetz 12 beispielsweise von dem DHCP-Server 34c entschlüsselt. Anhand der Identifikationsinformation 38 - insbesondere wenn die Identifikationsinformation 38 in einer von dem DHCP-Server 34b gespeicherten Tabelle als zulässige Identifikationsinformation vermerkt ist - stellt der DHCP-Server 34b der Zugangsvorrichtung 20 wenigstens eine Konfigurationsinformation zu Verfügung. Insbesondere wird die Konfigurationsinformation als DHCPACK-Datenpaket von dem DHCP-Server 34b an die Zugangsvorrichtung 20 übertragen. Die Konfigurationsinformation umfasst eine für den Anmeldevorgang vorgesehene Internetprotokoll-Adresse XXX.X.X.XX (kurz IP-Adresse) zum Adressieren der Zugangsvorrichtung 20 während des Anmeldevorgangs. Ist die von dem DHCP-Server 34b empfangene Identifikationsinformation 38 in der von dem DHCP-Server 34b gespeicherten Tabelle nicht als zulässige Identifikationsinformation 38 vermerkt, wird der Anmeldevorgang abgebrochen. Ein datentechnischer Zugang zu einem Teilnetz 15 wird der Zugangsvorrichtung 20 dann nicht gewährt.
-
In einem Verfahrensschritt DDD wird ein zweiter Teil der Berechtigungsprüfung durchgeführt: Danach umfasst der Anmeldevorgang einen Authentifizierungsvorgang, bei dem eine Authentisierungsinformation 39 (fachmännisch häufig auch als Zertifikat bezeichnet) von der Kommunikationsrecheneinheit 36 an die Anmeldeeinheit 34 übertragen wird. Die Anmeldeeinheit 34 dient im Rahmen des Authentifizierungsvorgangs als Authentifizierungseinheit 34c mit einem Authentifizierungsdienst, insbesondere einem Remote Authentication Dial-In Service (RADIUS).
-
Die Authentifizierungseinheit 34c prüft in einem Verfahrensschritt DDDD die Authentisierungsinformation 39:
-
Ist das Ergebnis der Prüfung DDDD positiv, stellt die Anmeldeeinheit 34 in einem Verfahrensschritt E einen datentechnischen Zugang zu dem Teilnetz 15 des Fahrzeugnetzes 12 bereit.
-
Der datentechnische Zugang zu dem Teilnetz 15 wird insbesondere für eine vorgegebene Zeitdauer bereitgestellt. Nach Ablauf der Zeitdauer ist ein erneuter Anmeldevorgang erforderlich.
-
Ist das Ergebnis des Prüfung DDDD negativ, verhindert die Anmeldeeinheit 34 einen Zugang zu dem Fahrzeugnetz 12 außerhalb des Teilnetzes 13. In diesem Fall sendet die Anmeldeeinheit 34 in einem Verfahrensschritt F eine Diagnosemeldung an eine zentrale Recheneinheit 50. Die Diagnosemeldung gibt an, dass eine Authentifizierung der Zugangsvorrichtung 20 fehlgeschlagen ist. Nach einem negativen Ergebnis der Prüfung DDDD wird ein erneuter Anmeldeversuch von der Zugangsvorrichtung 20 ausgelöst. Übersteigt die Anzahl n der Anmeldeversuche einen vorgegebenen Wert nmax, werden die Identifikationsinformation sowie die Authentisierungsinformation 39 der Zugangsvorrichtung 20 in einer von der Anmeldeeinheit 34 gespeicherten Tabelle als für einen Zugang zu dem Fahrzeugnetz 12 gesperrt vermerkt.
-
Die Zugangsvorrichtung 20 stellt an ihrem drahtlosen Zugangspunkt 25 in einem Verfahrensschritt G einen drahtlosen Zugang 60 als WLAN-Zugang zur Verfügung (WLAN: Wireless Local Area Network). Der drahtlose Zugang 60 ist für das mobile Endgerät 40 anhand einer WLAN-SSID (SSID: Service Set Identifier), welche als Funknetzname dient, identifizierbar.
-
Der drahtlose Zugang 60 wird für das mobile Endgerät beispielsweise nach Eingabe eines WPA2-Passworts durch einen Benutzer (beispielsweise Wartungspersonal) über eine Bedienschnittstelle 42 des Endgeräts 40 freigeschaltet. Alternativ kann das WPA2-Passwort von der Kommunikationsrecheneinheit 36 in Abhängigkeit einer Identifikationsnummer des spurgebundenen Fahrzeugs 12 unter Ausführung eines Algorithmus ermittelt werden.
-
Über den drahtlosen Zugang 60 kann das mobile Endgerät 40 (bei erfolgreicher Prüfung DDDD) Zugang zu dem Fahrzeugnetz 12 erlangen.
-
4 zeigt schematisch den Ablauf eines zweiten Ausführungsbeispiels des erfindungsgemäßen Verfahrens. Bevor die Zugangsvorrichtung 20 für einen Anschluss an das Fahrzeugnetz 12 erstmalig verwendet wird, kann ein Initialisierungsvorgang durchgeführt werden: Dazu wird die Zugangsvorrichtung 20 in einem Verfahrensschritt AAA an einen Wartungscomputer 80 als Initialisierungseinrichtung angeschlossen, so dass eine datentechnische Verbindung hergestellt wird. Über die datentechnische Verbindung fragt der Wartungscomputer 80 eine Identifikationsinformation, welche die Zugangsvorrichtung identifiziert, in Form einer MAC-Adresse (MAC: Media Access Control) und eines verschlüsselten UID-Codes ab. In Abhängigkeit der MAC-Adresse und des von dem Wartungscomputer 80 entschlüsselten UID-Codes stellt der Wartungscomputer 80 der Zugangsvorrichtung 20 in einem Verfahrensschritt BBB eine Authentisierungsinformation 39 sowie einen WPA2-Schlüssel (WPA2: Wi-Fi Protected Access 2) zur Verfügung. Die Informationen werden in einem Verfahrensschritt CCC an die Zugangsvorrichtung 20 übertragen und in einem Verfahrensschritt CCCC mittels einer Speichereinheit 31 der Zugangseinrichtung 20 gespeichert.
-
Die Zugangsvorrichtung 20 kann daraufhin für die oben beschriebene Bereitstellung eines datentechnischen Zugangs an einen drahtgebundenen Zugangspunkt (z.B. den Port 33) des Fahrzeugnetzes 12 gemäß einem Verfahrensschritt A angeschlossen werden.