EP4035970A1 - Verfahren zur codierten kommunikation zwischen einem streckengebundenen fahrzeug und einer streckenseitigen einrichtung, und vorrichtungen zur anwendung des verfahrens - Google Patents

Verfahren zur codierten kommunikation zwischen einem streckengebundenen fahrzeug und einer streckenseitigen einrichtung, und vorrichtungen zur anwendung des verfahrens Download PDF

Info

Publication number
EP4035970A1
EP4035970A1 EP21154235.2A EP21154235A EP4035970A1 EP 4035970 A1 EP4035970 A1 EP 4035970A1 EP 21154235 A EP21154235 A EP 21154235A EP 4035970 A1 EP4035970 A1 EP 4035970A1
Authority
EP
European Patent Office
Prior art keywords
user data
transmitted
telegram
unencrypted
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21154235.2A
Other languages
English (en)
French (fr)
Inventor
Jens Braband
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Priority to EP21154235.2A priority Critical patent/EP4035970A1/de
Publication of EP4035970A1 publication Critical patent/EP4035970A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • B61L15/0027Radio-based, e.g. using GSM-R
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L3/00Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal
    • B61L3/02Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control
    • B61L3/08Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically
    • B61L3/12Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically using magnetic or electrostatic induction; using radio waves
    • B61L3/125Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically using magnetic or electrostatic induction; using radio waves using short-range radio transmission

Definitions

  • the invention also relates to a track-bound vehicle with a communication interface for a trackside device. Furthermore, the invention relates to a trackside device with a communication interface for a track-bound vehicle.
  • the invention relates to a computer program product and a provision device for this computer program product, the computer program product being equipped with program instructions for carrying out this method.
  • the telegrams are repeated cyclically.
  • the user data is scrambled (scrambling code), a substitution of the user data with code words of different Hamming distances is selected, and checking is made possible by a checksum. Since the checksum is only calculated after the substitution code of the user data, the additional shaping bits are used to fill up the bits of the checksum in such a way that the entire telegram consists only of symbols of the selected channel coding, with each transmitted symbol comprising 11 bits.
  • the object of the invention is to specify a method for coded communication between track-bound vehicles and trackside devices, which on the one hand can be standardized and on the other hand meets a high security standard during transmission.
  • the object of the invention is to specify a track-bound vehicle and a trackside device which are suitable for the use of the method mentioned.
  • the object of the invention consists in specifying a computer program product and a provision device for this computer program product, with which the aforementioned method can be carried out.
  • user data can therefore be easily encrypted (for example before standardized coding), for example with a block cipher (and filled up padding bits in order to arrive at the required format) or a stream cipher.
  • the sender and receiver i.e. the wayside facility and the wayside vehicle
  • the encoded transmission standard itself does not have to be touched for the purpose of transmitting the encrypted information. From a technical point of view, according to the invention only other data than in the known method, namely the encrypted data, are transmitted, which can certainly have the same content. This means that an encrypted telegram can have identical content to a comparable unencrypted telegram after decryption. The content of a telegram is contained in the user data (more on this below).
  • the intervention in the transmission standard is limited to a minimum.
  • no hardware-related changes are required either on the track-bound vehicle or on the track-side facility.
  • the encryption can be done by modifying the operating software, which is associated with significantly lower investments.
  • the mixed transmission according to the invention of encrypted and unencrypted telegrams is also advantageously possible for the improved transmission method to be introduced step by step.
  • a step-by-step introduction means that a relevant route section, which is equipped with trackside devices that can already use the method according to the invention, can also be driven on by track-bound vehicles that cannot decrypt encrypted telegrams. This is because unencrypted telegrams can be transmitted to such vehicles by the trackside facilities.
  • the modification according to the invention can be carried out, for example, for the communication of Eurobalises with rail vehicles.
  • the modification is not limited to this application.
  • this can also be supplemented by encryption of the information to be transmitted before it is encoded in order to increase the security standard.
  • this modification can be advantageous not only in rail-bound vehicles, but also, for example, in vehicles (automobiles) that are tied to a specific route, for example a road, due to autonomous operation.
  • the decoding step itself may not conform to the standard, since it has to be checked whether all telegrams received are identical.
  • the standard would have to be changed here if necessary.
  • at least the transmission itself can take place using the advantage according to the invention without changing the standard.
  • the standard could thus be expanded, which ensures downward compatibility of an unencrypted transmission.
  • decryption could take place independently of the standard after decoding.
  • both the track-bound vehicle can be the receiver and the track-side device can be the transmitter, and the track-bound vehicle can be the transmitter and the track-side device can be the receiver. It's both It is possible for transmission to occur in only one direction (and optionally at a different time in the other direction), as well as for transmission to occur in both directions at the same time.
  • Coding within the meaning of the invention is understood to be a modification of the user data of the user data area using the code area, which contains the necessary information for the coding.
  • Such a coding can be defined, for example, in a standard for the transmission of the telegram and is therefore known per se. For this reason, such a coding cannot be used to restrict access to the telegram by unauthorized persons, since the coding can be traced.
  • encryption within the meaning of the invention is to be understood as a modification of the user data using keys, with the encryption ensuring protection against unauthorized access to the telegrams.
  • the key must be available to both the sender and the recipient in order to ensure that the telegram is encrypted and then decrypted. Encryption methods known per se can be used here.
  • “computer-aided” or “computer-implemented” can be understood to mean an implementation of the method in which at least one computer or processor executes at least one method step of the method.
  • Computers can be, for example, personal computers, servers, handheld computers, mobile phones and other communication devices that process computer-aided data, processors and other electronic devices for data processing, which can preferably also be combined to form a network.
  • a “processor” can be understood to mean, for example, a converter, a sensor for generating measurement signals, or an electronic circuit.
  • a processor can, in particular, be a Main processor (Central Processing Unit, CPU), a microprocessor, a microcontroller, or a digital signal processor, possibly in combination with a memory unit for storing program instructions, etc.
  • a processor can also be understood to mean a virtualized processor or a soft CPU.
  • a “memory unit” can be understood to mean, for example, a computer-readable memory in the form of a random-access memory (RAM) or data memory (hard disk or data carrier).
  • RAM random-access memory
  • data memory hard disk or data carrier
  • the "interfaces" can be realized in terms of hardware, for example wired or as a radio connection, and/or software, for example as an interaction between individual program modules or program parts of one or more computer programs.
  • Cloud is to be understood as an environment for “cloud computing” (German computer cloud or data cloud). What is meant is an IT infrastructure that is made available via interfaces of a network such as the Internet. It usually includes storage space, computing power or software as a service, without these having to be installed on the local computer using the cloud.
  • the services offered as part of cloud computing cover the entire spectrum of information technology and include infrastructure, platforms and software, among other things.
  • Program modules are to be understood as meaning individual functional units which enable a program sequence of method steps according to the invention. These functional units can be implemented in a single computer program or in several computer programs that communicate with one another. The interfaces implemented here can be implemented in terms of software within a single processor or in terms of hardware if multiple processors are used.
  • At least one of the telegrams transmitted with unencrypted user data is also transmitted as a telegram with encrypted user data of the same content.
  • the unencrypted user data is of course different from the encrypted user data. However, this does not change the fact that the unencrypted user data can have the same content as the encrypted user data.
  • Content within the meaning of the invention is therefore to be understood as the information content of the user data, which becomes accessible after decryption of the encrypted user data and then has the same content as the user data of the corresponding telegram transmitted unencrypted.
  • the content of the telegram By transmitting a telegram with the same content in both encrypted and unencrypted form, it is possible for the content of the telegram to be evaluated both by track-bound vehicles that can decode the encrypted telegram (hereinafter referred to as equipped vehicle) and by track-bound vehicles that do not (yet) have the key (hereinafter referred to as non-equipped vehicle). Although the latter cannot use the encrypted transmitted telegram to check whether the unencrypted transmitted telegram has been manipulated, the operation of the vehicle can be ensured using the unencrypted telegram.
  • equipped vehicle track-bound vehicles that can decode the encrypted telegram
  • non-equipped vehicle track-bound vehicles that do not (yet) have the key
  • a security measure can be derived from this detection.
  • the decoding of the coded telegrams thus advantageously makes train operation safer overall, including the operation of unequipped vehicles, even if telegrams with changed content relating to the unequipped trains can only be detected with a time delay.
  • the safety measures can relate to individual track-bound vehicles, trackside facilities or specific track sections or the entire operation, depending on the severity of the error or errors detected (in the form of deviations in the content of telegrams).
  • This refinement of the invention is aimed at improving the performance when decoding the user data.
  • the unencrypted user data is decoded first (before the encrypted one with the same content), since in this case the step of decryption can be saved and in this way the content can be accessed earlier.
  • This effect has a particularly strong effect when the telegrams are received by a vehicle or a trackside device that is not yet able to decrypt the encrypted user data. Otherwise, they would have to access the unencrypted user data in a further step, which would mean an additional loss of time.
  • an additional gain in performance can advantageously be generated in the evaluation of the transmitted user data at the receiver.
  • This gain in performance is achieved in that the decoding of the unencrypted user data in the transmitted message can already begin while the message with the encrypted user data of the same content is still being transmitted. This would not be possible in reverse order.
  • telegrams with encrypted and unencrypted user data are transmitted in alternating order.
  • a first telegram can be encrypted and unencrypted
  • a second telegram can be encrypted and unencrypted
  • a third telegram can be encrypted and unencrypted, etc. If all telegrams to be transmitted are encrypted and were transmitted unencrypted, you can start again with the first telegram, etc. If, for example, the track-bound vehicle passes the track-side Setup while the third telegram is being transmitted, the first and second telegrams can be received in the second transmission cycle.
  • the changing order does not necessarily mean that unencrypted telegrams (U) and encrypted telegrams (V) must be sent alternately, i.e.: U, V, U, V...
  • sequences are repeated in the alternating order (namely U, V and U, V, V and U, U, U, V - other sequences are conceivable).
  • the sequence to be repeated can also be changed during the transmission as required. Another possibility is to determine the alternating order without a repetition rule.
  • unencrypted telegrams (U) and encrypted telegrams (V) are sent in alternating order, ie mixed and consecutively, in the transmission stream of the balise, e.g. B. alternately.
  • U unencrypted telegrams
  • V encrypted telegrams
  • three-part sequences of short telegrams can be selected, which correspond to the transmission of a long telegram.
  • This embodiment of the invention has the advantage that a larger amount of data can be transmitted with a limited available transmission time, for example when the track-bound vehicle drives over a balise as a track-side device. Because the transmission of unencrypted data can be faster than the transmission of unencrypted data. This is primarily due to the fact that the data still has to be encrypted before it is sent, but also because encryption increases the amount of data and thus the transmission time required.
  • the payload data of a telegram sent in encrypted form after decryption is compared with the payload data of a telegram sent in unencrypted form with the same content before and/or after decoding.
  • the comparison serves to reveal errors or manipulations of the user data in the telegrams.
  • the transmission method can be made sufficiently secure, even if some of the telegrams are sent unencrypted. Deviations in content in unencrypted telegrams will be noticed promptly, so that countermeasures can be taken and the security of the operation is only slightly impaired.
  • an error signal is generated and/or output if the comparison shows that the user data of the encrypted telegram sent differs from the user data of the unencrypted telegram with the same content.
  • the error signal is used to initiate further steps. These steps can consist of an interpretation or evaluation of the deviations of the telegram in question from the expected content. These steps can also already contain security-relevant reactions, as has already been described in more detail above.
  • the error signal is thus the basis for information technology processing that must follow the registration of an error or manipulation.
  • the size of the user data areas is advantageously possible for the size of the user data areas to be able to be selected in accordance with the amount of information to be transmitted.
  • encryption this is of particular advantage, since the Encryption of smaller amounts of data entails less time and computing effort and therefore the transmission and decryption, and thus the use of the data, can take place in a shorter time interval.
  • only a short time interval is available while the vehicle is crossing the balise.
  • the Transmission takes place between a balise as a wayside device and the wayside vehicle.
  • a check is made as to whether the balise belongs to a balise group, with the data received then being classified as trustworthy.
  • unlinked balises are to be understood as balises which are not connected to other balises during transmission: these therefore offer a greater potential for unauthorized attacks. For example, hackers could delete a danger point or increase the speed limit for a train.
  • linked beacons are functionally related to other beacons in a beacon group.
  • this also means that an unauthorized attack can also be uncovered without the encrypted transmission of telegrams with the same content if the information sent by the balises does not fit into the context of the balise association, i. H. does not fit into the context that would be expected when crossing the balises concerned.
  • the functionality of the beacon group is known, it is possible to draw conclusions as part of a plausibility check as to what information can be expected from a specific beacon in the beacon group and when this information is transmitted (depending on the position of the beacon within the beacon group ).
  • the devices can achieve the advantages that have already been explained in connection with the method described in more detail above. What has been said about the method according to the invention also applies correspondingly to the devices according to the invention. Furthermore, a computer program product with program instructions for carrying out the method according to the invention and/or its exemplary embodiments is claimed, with the method according to the invention and/or its exemplary embodiments being able to be carried out in each case by means of the computer program product.
  • a provision device for storing and/or providing the computer program product.
  • the provision device is, for example, a storage unit that stores and/or provides the computer program product.
  • the provision device is, for example, a network service, a computer system, a server system, in particular a distributed, for example cloud-based computer system and/or virtual computer system, which the computer program product preferably in the form of a data stream stores and/or makes available.
  • the provision takes place in the form of a program data block as a file, in particular as a download file, or as a data stream, in particular as a download data stream, of the computer program product.
  • this provision can also be made, for example, as a partial download consisting of several parts.
  • Such a computer program product is read into a system, for example using the provision device, so that the method according to the invention is executed on a computer.
  • the described components of the embodiments each represent individual features of the invention to be considered independently of one another, which also develop the invention independently of one another and are therefore also to be regarded as part of the invention individually or in a combination other than the one shown. Furthermore, the components described can also be combined with the features of the invention described above.
  • a track GL is shown as the route, on which a route-bound vehicle FZ is traveling in a travel direction FR.
  • the route is in the form of track GL with trackside facilities SE1 ... SE6 equipped in the embodiment according to figure 1 are designed as Eurobalises.
  • the trackside facilities SE1 and SE3 ... SE6 form an association VB of trackside facilities.
  • These trackside facilities can, for example, have already been provided when the track was initially equipped, with these being functionally related and therefore referred to below as linked beacons.
  • the trackside device SE2 could have been retrofitted at a later point in time, for example, in order to get a further reference point on the route for locating the route-bound vehicle FZ.
  • this trackside facility SE2 does not belong to formation VB and should therefore be referred to as an unlinked balise.
  • the trackside facilities of the association VB are less vulnerable to hackers or error-prone compared to the non-linked balise, represented by the trackside facility SE2.
  • the trackside device SE2 therefore benefits the most from the method according to the invention of a mixed encrypted and unencrypted transmission of telegrams. This can be designed for the method according to the invention from the start, for example as part of a retrofit.
  • the route-bound vehicle FZ and the route-side device SE2 are shown schematically. Data is transmitted via a first interface S1, which is designed as a radio interface. Therefore, the trackside device SE2 has a first antenna A1 and the track-bound vehicle FZ has a second antenna A2.
  • the first antenna A1 is connected to a first computer C1 via a fourth interface S4.
  • the first computer C1 can retrieve a key KEY from a first memory device SP1 via a fifth interface S5.
  • the key KEY thus enables the inventive decryption or encryption of a telegram to be transmitted via the first interface S1 (in the function as a balise, the trackside device SE2 will preferably send the telegram via the first interface S1 to the track-bound vehicle FZ).
  • the second antenna A2 is connected to a second computer C2 via a second interface S2.
  • the second computer C2 can access a second memory device SP2 via a third interface S3, in which, among other things, a key KEY is stored.
  • a key KEY is stored.
  • the route-bound vehicle FZ and the route-side device SE2 each have a key KEY for decrypting or encrypting the telegram to be transmitted via the first interface S1.
  • FIG. 1 shows the advantage if several short telegrams KT are transmitted instead of one long telegram LT. This results in three short telegrams KT, as in figure 3 indicated, a long telegram LT - at least in terms of the amount of data to be transmitted.
  • the transmission of telegrams is in figure 3 represented as a band, this corresponding to a time course corresponding to a time axis t.
  • the vehicle FZ over the trackside facility (e.g. SE2 as in figure 2 shown) there is only a specific time window in which the two antennas A1, A2 are sufficiently close together for transmission to take place.
  • This time window is called the transmission window REC and is in figure 3 registered.
  • the track-bound vehicle FZ crosses the track-side device SE2 at a speed at which theoretically four short telegrams KT can be transmitted.
  • the transmission window REC opens while a short telegram KT is being transmitted, so that it is cut off and cannot be evaluated by the route-bound vehicle FZ.
  • three completely transmitted short telegrams KT which, in terms of their information content, can contain the information of a long telegram LT. If the transmitted data of three short telegrams KT are sent repeatedly by the trackside device SE2, the complete information content of the trackside device SE2 can be transmitted in the transmission window REC.
  • This example is only used as an example to illustrate a transmission standard and can also be implemented in any other way. However, this example is intended to be in the following figure 4 be used to create a sequence of encrypted and to discuss unencrypted telegrams in relation to the length of the transmission window REC.
  • the telegrams T1, T2 are with a view to figure 3 preferably short telegrams according to the ETCS standard. However, any other telegrams can also be transmitted, for example long telegrams LT if the route-bound vehicle FZ drives more slowly, for example, or also telegrams of a different transmission standard.
  • FIG 4 two variants V1 and V2 are shown for the targeted encrypted and unencrypted transmission of a first telegram T1 and a second telegram T2.
  • the first telegram is first sent unencrypted (T1U) and then the first telegram is sent encrypted (T1V).
  • the second telegram is then sent unencrypted (T2U) and then the second telegram encrypted (T2V).
  • the sequence described is then repeated, as shown in figure 4 is specified.
  • the transmission sequence of sequences according to variant V2 is better suited.
  • the first telegram is always first transmitted unencrypted (T1U) and then encrypted (T1V) and then the second telegram only unencrypted (T2U) and this sequence is then repeated.
  • FIG 5 the procedure for the transmission of telegrams is shown as a flowchart.
  • the method begins with a starting step START and takes place initially in the transmitter S. There, after an initialization step INI, a query is made as to whether a high security level SEC should be selected for the telegram to be transmitted. If this is the case, the key KEY is loaded from the memory device SP and the telegram is encrypted with it in an encryption step CRYP. The telegram is then coded in a coding step CODE and sent to the receiver R via the interface S1.
  • a decoding step DECO takes place in the receiver R and then a decoding DECR using the key KEY, which is loaded from the memory device SP. The telegram is then available there for further processing.
  • the memory devices SP in the transmitter S and in the receiver R are different memory devices. If the transmitter is the trackside equipment SE2 according to figure 2 , the memory device SP could be formed, for example, by the memory device SP1 and the memory device in the receiver by the memory device SP2.
  • a query RECEND is repeatedly carried out as to whether the transmission has ended. If this is the case, the transmission is aborted in a stop step STOP. If this is not the case, the security level SEC is queried again for the next telegram.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)

Abstract

Gegenstand der Erfindung ist ein Verfahren zur codierten Kommunikation zwischen einem streckengebundenem Fahrzeug (FZ) und einer streckenseitigen Einrichtung (SE1 ... SE6), bei der mehrere Telegramme (T1, T2) zwischen der streckenseitigen Einrichtung (SE1 ... SE6) und dem streckengebundenen Fahrzeug (FZ) übertragen werden. Die Telegramme (T1, T2) weisen jeweils einen Nutzdatenbereich zum Befüllen mit Nutzdaten sowie einen Codebereich für die Codierung der Nutzdaten auf. Mindestens eines der Telegramme (T1, T2) wird unverschlüsselt derart übertragen, dass der Nutzdatenbereich mit den unverschlüsselten Nutzdaten befüllt wird, wobei diese unter Nutzung des Codebereiches codiert werden, das Telegramm (T1, T2) mit den unverschlüsselten Nutzdaten codiert übertragen wird, und die unverschlüsselten Nutzdaten nach der Übertragung unter Nutzung des Codebereiches decodiert werden. Mindestens eines der Telegramme (T1, T2) wird verschlüsselt und codiert derart übertragen, dass die unverschlüsselten Nutzdaten vor dem Befüllen des Nutzdatenbereiches verschlüsselt werden und der Nutzdatenbereich mit den verschlüsselten Nutzdaten befüllt wird, wobei diese zusätzlich unter Nutzung des Codebereiches codiert werden. Außerdem wird das Telegramm (T1, T2) mit den verschlüsselten Nutzdaten codiert übertragen. Die verschlüsselten Nutzdaten werden nach der Übertragung des Telegramms (T1, T2) unter Nutzung des Codebereiches decodiert und danach werden die verschlüsselten Nutzdaten entschlüsselt. Ferner umfasst die Erfindung ein spurgebundenes Fahrzeug (FZ), eine streckenseitige Einrichtung (SE1 ... SE6), ein Computerprogrammprodukt sowie eine Bereitstellungseinrichtung für das Computerprogrammprodukt.

Description

  • Die Erfindung betrifft ein Verfahren zur rechnergestützten codierten Kommunikation zwischen einem streckengebundenen Fahrzeug und einer streckenseitigen Einrichtung, bei der mehrere Telegramme zwischen der streckenseitigen Einrichtung und dem streckengebundenen Fahrzeug übertragen werden, wobei die Telegramme jeweils
    • einen Nutzdatenbereich zum Befüllen mit Nutzdaten aufweisen,
    • einen Codebereich für die Codierung der Nutzdaten aufweisen.
  • Außerdem betrifft die Erfindung ein spurgebundenes Fahrzeug mit einer Kommunikationsschnittstelle für eine streckenseitige Einrichtung. Weiterhin betrifft die Erfindung eine streckenseitige Einrichtung mit einer Kommunikationsschnittstelle für ein streckengebundenes Fahrzeug.
  • Zuletzt betrifft die Erfindung ein Computerprogrammprodukt sowie eine Bereitstellungsvorrichtung für dieses Computerprogrammprodukt, wobei das Computerprogrammprodukt mit Programmbefehlen zur Durchführung dieses Verfahrens ausgestattet ist.
  • Als streckenseitige Einrichtungen sind beispielsweise Balisen, insbesondere nach dem ERTMS-Standard (Eurobalisen) bekannt. Jede dieser Balisen überträgt einen Datensatz, der als Telegramm bezeichnet wird. Diese Telegramme haben abhängig von der Balise entweder 1023 Bit oder 341 Bit. Davon lassen sich 830 beziehungsweise 210 Bit als Nutzdatenblock für die signaltechnische Anwendung nutzen - der Nutzdatenblock wird in 10 Bit-Symbole geteilt, die nach der Shaping- und Scrambling-Transformation durch je 11 Bit repräsentiert werden (mithin einem Block von 913 = 83*11 Bit oder 231 = 21*11 Bit):
    • Aufbau eines Telegramms am Beispiel einer Eurobalise
    • Kodierte Datenbits (Länge abhängig von der Balise)
    • 913 Bit (Nutzdaten: 830 Bit bei einer Gesamtlänge von 1023 Bit) oder
    • 231 Bit (Nutzdaten: 210 Bit bei einer Gesamtlänge von 341 Bit)
    Kontrollbits Cb 3 Bit
    Scramblingbits Sb 12 Bit
    Zusätzliche Shapingbits Esb 10 Bit
    Checksumme CheckBit 85 Bit
  • Beim Überfahren der Balise werden die Telegramme zyklisch wiederholt. Zum Schutz gegen Übertragungsfehler werden die Nutzdaten verwürfelt (Scramblingcode), eine Substitution der Nutzungsdaten mit Kodeworten verschiedener Hamming-Distanz gewählt, und die Prüfung durch eine Prüfsumme ermöglicht. Da die Prüfsumme erst nach dem Substitutionscode der Nutzdaten berechnet wird, dienen die zusätzlichen Shapingbits dazu, die Bits der Prüfsumme so aufzufüllen, dass das gesamte Telegramm nur noch aus Symbolen der gewählten Kanalcodierung besteht, wobei jedes übertragene Symbol je 11Bit umfasst.
  • Der Nutzdatenbereich besteht aus einem Kopfblock (header), gefolgt von mehreren Nachrichtenfeldern (Packete oder packets), die im ERTMS-Protokoll standardisiert sind, und am Ende dem Packet255 - End of information. Wenn der Nutzdatenbereich mehr als 830 Bit umfasst, können weitere Nachrichtenfelder über Telegramme der folgenden Balisen der gleichen Balisengruppe übertragen werden - mit bis zu acht Balisen pro Balisengruppen kann daher eine ERTMS-Nachricht bis zu 8*830=6640 Nutzdatenbits umfassen (wobei jedes Telegramm einen Kopfblock und das Ende-Paket 255 enthalten muss).
  • Eine Verschlüsselung der gesendeten Daten nach dem ER TMS-Standard und auch bei der Übertragung von Telegrammen durch andere streckenseitige Vorrichtungen ist nicht vorgesehen. Hierauf wurde in der Vergangenheit im Interesse einer möglichst schnellen Übertragung verzichtet, da Schienenfahrzeuge die Balisen mit vergleichsweise hohen Geschwindigkeiten überfahren und daher zur Übertragung des Telegramms nur wenig Zeit zur Verfügung steht. Andererseits besteht ein Interesse, die Kommunikation zwischen streckenseitiger Einrichtung und streckengebundenem Fahrzeug möglichst sicher zu machen.
  • Die Aufgabe der Erfindung ein Verfahren zur codierten Kommunikation zwischen streckengebundenen Fahrzeugen und streckenseitigen Einrichtungen anzugeben, welches einerseits standardisiert erfolgen kann und andererseits einen hohen Sicherheitsstandard bei der Übertragung erfüllt. Außerdem ist es Aufgabe der Erfindung, ein spurgebundenes Fahrzeug sowie eine streckenseitige Einrichtung anzugeben, welche zum Einsatz des genannten Verfahrens geeignet sind. Außerdem besteht die Aufgabe der Erfindung darin, ein Computerprogrammprodukt sowie eine Bereitstellungsvorrichtung für dieses Computerprogrammprodukt anzugeben, mit dem das vorgenannte Verfahren durchgeführt werden kann.
  • Diese Aufgabe wird mit dem eingangs angegebenen Anspruchsgegenstand (Verfahren) erfindungsgemäß dadurch gelöst, dass mindestens eines der Telegramme unverschlüsselt derart übertragen wird, dass
    • der Nutzdatenbereich mit den unverschlüsselten Nutzdaten befüllt wird, wobei diese unter Nutzung des Codebereiches codiert werden,
    • das Telegramm mit den unverschlüsselten Nutzdaten codiert übertragen wird,
    • die unverschlüsselten Nutzdaten nach der Übertragung unter Nutzung des Codebereiches decodiert werden,
    und dass mindestens eines der Telegramme verschlüsselt und codiert derart übertragen wird, dass
    • die unverschlüsselten Nutzdaten vor dem Befüllen des Nutzdatenbereiches verschlüsselt werden,
    • der Nutzdatenbereich mit den verschlüsselten Nutzdaten befüllt wird, wobei diese zusätzlich unter Nutzung des Codebereiches codiert werden,
    • das Telegramm mit den verschlüsselten Nutzdaten codiert übertragen wird,
    • die verschlüsselten Nutzdaten nach der Übertragung des Telegramms unter Nutzung des Codebereiches decodiert werden,
    • danach die verschlüsselten Nutzdaten entschlüsselt werden.
  • Erfindungsgemäß kann man also Nutzdaten (beispielsweise vor einer standardisierten Codierung) einfach verschlüsseln, beispielsweise mit einer Blockchiffre (und aufgefüllten Padding-Bits, um auf das benötigte Format zu kommen) oder einer Stromchiffre. Dazu müssen Sender und Empfänger (d. h. die streckenseitige Einrichtung und das streckengebundene Fahrzeug) über einen gemeinsamen Schlüssel verfügen.
  • Der codierte Übertragungsstandard selbst muss zum Zwecke der Übertragung der verschlüsselten Informationen nicht angetastet werden. Aus technischer Sicht werden erfindungsgemäß somit nur andere Daten als bei dem bekannten Verfahren, nämlich die verschlüsselten, übertragen, die durchaus denselben Inhalt haben können. Das heißt, dass ein verschlüsseltes Telegramm nach der Entschlüsselung identischen Inhalts mit einem vergleichbaren unverschlüsselten Telegramm sein kann. Der Inhalt eines Telegramms ist in den Nutzdaten untergebracht (hierzu im Folgenden noch mehr) .
  • Dadurch, dass die Übertragung des Telegramms aus technischer Sicht unangetastet bleibt, ist der Eingriff in den Übertragungsstandard, dessen Übertragung erfindungsgemäß sicherer gemacht werden soll, auf ein Minimum begrenzt. Dies erleichtert vorteilhaft die Zulassung für einen bereits bestehenden Standard, welche in vielen Fällen mit einem hohen Aufwand verbunden ist. Auch sind vorteilhaft an dem streckengebundenen Fahrzeug sowie an der streckenseitigen Einrichtung keine hardwarebezogenen Änderungen erforderlich. Die Verschlüsselung kann durch eine Modifikation der Betriebssoftware erfolgen, was mit bedeutend geringeren Investitionen einhergeht. Durch die erfindungsgemäß gemischte Übertragung von verschlüsselten und unverschlüsselten Telegrammen ist außerdem vorteilhaft eine schrittweise Einführung des verbesserten Übertragungsverfahrens möglich. Mit einer schrittweisen Einführung ist gemeint, dass ein betreffender Streckenabschnitt, der mit streckenseitigen Einrichtungen ausgerüstet ist, welche das erfindungsgemäße Verfahren bereits anwenden können, auch von streckengebundenen Fahrzeugen befahren werden kann, welche verschlüsselte Telegramme nicht entschlüsseln können. Denn an solche Fahrzeuge können seitens der streckenseitigen Einrichtungen unverschlüsselte Telegramme übertragen werden.
  • Die erfindungsgemäße Modifikation kann beispielsweise für die Kommunikation von Eurobalisen mit schienengebundenen Fahrzeugen durchgeführt werden. Die Modifikation ist allerdings nicht auf diesen Anwendungsfall beschränkt. Überall, wo eine codierte Übertragung zwischen streckenseitigen Einrichtungen und strecken gebundenen Fahrzeugen vorgesehen ist, kann diese zusätzlich durch eine Verschlüsselung der zu übertragenden Informationen vor deren Kodierung ergänzt werden, um den Sicherheitsstandard zu erhöhen. Insbesondere kann diese Modifikation nicht nur bei schienengebundenen Fahrzeugen von Vorteil sein, sondern beispielsweise auch bei Fahrzeugen (Automobile), die durch einen autonomen Betrieb an eine bestimmte Strecke, zum Beispiel eine Straße, gebunden sind.
  • Der Dekodierungsschritt selbst entspricht eventuell nicht dem Standard, da geprüft werden muss, ob alle empfangenen Telegramme identisch sind. Hier müsste der Standard gegebenenfalls geändert werden. Zumindest die Übertragung selbst kann aber unter Ausnutzung des erfindungsgemäßen Vorteils ohne Änderungen des Standards erfolgen. Damit könnte der Standard erweitert werden, was eine Abwärtskompatibilität einer unverschlüsselten Übertagung sicherstellt. Eine Entschlüsselung könnte alternativ losgelöst vom Standard nach Dekodierung erfolgen.
  • Grundsätzlich ist für das Verfahren ohne Bedeutung, in welche Richtung die Übertragung erfolgen soll. Die Übertragung erfolgt von einem Sender zu einem Empfänger. Bei der Übertragung des Telegramms zwischen dem streckengebundenen Fahrzeug und der streckenseitigen Einrichtung kann sowohl das streckengebundene Fahrzeug der Empfänger und die streckenseitige Einrichtung der Sender als auch das streckengebundene Fahrzeug der Sender und die streckenseitige Einrichtung der Empfänger sein. Es ist sowohl möglich, dass eine Übertragung nur in eine Richtung (und optional zu einer anderen Zeit in andere Richtung) erfolgt, als auch, dass die Übertragung in beide Richtungen gleichzeitig erfolgt.
  • Als Kodierung im Sinne der Erfindung wird eine Modifikation der Nutzdaten des Nutzdatenbereiches mithilfe des Codebereiches verstanden, der die notwendigen Informationen für die Kodierung enthält. Eine solche Kodierung kann beispielsweise in einem Standard zur Übertragung des Telegramms festgelegt sein und ist daher an sich bekannt. Daher kann eine solche Kodierung auch nicht für eine Zugriffsbeschränkung auf das Telegramm durch Unbefugte dienen, da die Kodierung nachvollzogen werden kann.
  • Demgegenüber ist unter einer Verschlüsselung im Sinne der Erfindung eine Modifikation der Nutzdaten mithilfe von Schlüsseln zu verstehen, wobei die Verschlüsselung einen Schutz vor einem unbefugten Zugriff auf die Telegramme gewährleistet. Der Schlüssel muss sowohl beim Sender als auch beim Empfänger verfügbar sein, um eine Verschlüsselung des Telegramms und eine anschließende Entschlüsselung zu gewährleisten. Dabei kann auf an sich bekannte Verschlüsselungsverfahren zurückgegriffen werden.
  • Unter "rechnergestützt" oder "computerimplementiert" kann im Zusammenhang mit der Erfindung eine Implementierung des Verfahrens verstanden werden, bei dem mindestens ein Computer oder Prozessor mindestens einen Verfahrensschritt des Verfahrens ausführt.
  • Der Ausdruck "Rechner" oder "Computer" deckt alle elektronischen Geräte mit Datenverarbeitungseigenschaften ab. Computer können beispielsweise Personal Computer, Server, Handheld-Computer, Mobilfunkgeräte und andere Kommunikationsgeräte, die rechnergestützt Daten verarbeiten, Prozessoren und andere elektronische Geräte zur Datenverarbeitung sein, die vorzugsweise auch zu einem Netzwerk zusammengeschlossen sein können.
  • Unter einem "Prozessor" kann im Zusammenhang mit der Erfindung beispielsweise einen Wandler einen Sensor zur Erzeugung von Messsignalen oder eine elektronische Schaltung, verstanden werden. Bei einem Prozessor kann es sich insbesondere um einen Hauptprozessor (engl. Central Processing Unit, CPU), einen Mikroprozessor, einen Mikrocontroller, oder einen digitalen Signalprozessor, möglicherweise in Kombination mit einer Speichereinheit zum Speichern von Programmbefehlen, etc. handeln. Auch kann unter einem Prozessor ein virtualisierter Prozessor oder eine Soft-CPU verstanden werden.
  • Unter einer "Speichereinheit" kann im Zusammenhang mit der Erfindung beispielsweise ein computerlesbarer Speicher in Form eines Arbeitsspeichers (engl. Random-Access Memory, RAM) oder Datenspeichers (Festplatte oder Datenträger) verstanden werden.
  • Als "Schnittstellen" können hardwaretechnisch, beispielsweise kabelgebunden oder als Funkverbindung, und/oder softwaretechnisch, beispielweise als Interaktion zwischen einzelnen Programmmodulen oder Programmteilen eines oder mehrerer Computerprogramme, realisiert sein.
  • Als "Cloud" soll eine Umgebung für ein "Cloud-Computing" (deutsch Rechnerwolke oder Datenwolke) verstanden werden. Gemeint ist eine IT-Infrastruktur, welche über Schnittstellen eines Netzwerks wie das Internet verfügbar gemacht wird. Sie beinhaltet in der Regel Speicherplatz, Rechenleistung oder Software als Dienstleistung, ohne dass diese auf dem die Cloud nutzenden lokalen Computer installiert sein müssen. Die im Rahmen des Cloud-Computings angebotenen Dienstleistungen umfassen das gesamte Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur, Plattformen und Software.
  • Als "Programmmodule" sollen einzelne Funktionseinheiten verstanden werden, die einen erfindungsgemäßen Programmablauf von Verfahrensschritten ermöglichen. Diese Funktionseinheiten können in einem einzigen Computerprogramm oder in mehreren miteinander kommunizierenden Computerprogrammen verwirklicht sein. Die hierbei realisierten Schnittstellen können softwaretechnisch innerhalb eines einzigen Prozessors umgesetzt sein oder hardwaretechnisch, wenn mehrere Prozessoren zum Einsatz kommen.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass mindestens eines der mit unverschlüsselten Nutzdaten übertragenen Telegramme auch als Telegramm mit verschlüsselten Nutzdaten desselben Inhalts übertragen wird.
  • Hierbei ist zu bemerken, dass die unverschlüsselten Nutzdaten sich natürlich von den verschlüsselten Nutzdaten unterscheiden. Dies ändert allerdings nichts daran, dass die unverschlüsselten Nutzdaten denselben Inhalt haben können, wie die verschlüsselten Nutzdaten. Als Inhalt im Sinne der Erfindung ist somit der Informationsgehalt der Nutzdaten zu verstehen, der nach Entschlüsselung der verschlüsselten Nutzdaten zugänglich wird und dann denselben Inhalt aufweist, wie die unverschlüsselt übertragenen Nutzdaten des entsprechenden Telegramms.
  • Durch die Übertragung eines Telegramms desselben Inhalts sowohl in verschlüsselter wie auch in unverschlüsselt Form ist es möglich, dass der Inhalt des Telegramms sowohl von spurgebundenen Fahrzeugen ausgewertet werden kann, die das verschlüsselte Telegrammen entschlüsseln können (nachfolgend ausgerüstetes Fahrzeug genannt) als auch von spurgebundenen Fahrzeugen die (noch) nicht über den Schlüssel verfügen (nachfolgend nicht ausgerüstetes Fahrzeug genannt). Letztere können zwar nicht mithilfe des verschlüsselt übertragenen Telegramms prüfen, ob das unverschlüsselt übertragene Telegramm manipuliert wurde, jedoch lässt sich der Betrieb des Fahrzeugs mittels des unverschlüsselten Telegramms sicherstellen.
  • Durch die Versendung von Telegrammen gleichen Inhalts sowohl verschlüsselt als auch unverschlüsselt ist es ausgerüsteten Fahrzeugen möglich, die Inhalte der Telegramme gleichen Inhalts nach Entschlüsselung und Dekodierung bzw. nach Dekodierung zu vergleichen und aus dem Vergleichsergebnis gegebenenfalls weitere Schritte abzuleiten. Beispielsweise können Manipulationen oder Fehler in den unverschlüsselt übertragenen Telegrammen aufgedeckt werden. Auch ist es möglich, (wenn auch unwahrscheinlicher,) dass der Inhalt des verschlüsselten Telegramms einen Fehler aufweist.
  • Wenn eine Manipulation oder ein Fehler festgestellt wird, kann aus dieser Feststellung eine Sicherheitsmaßnahme abgeleitet werden.
  • Diese kann sich vorteilhaft auch auf nicht ausgerüstete Fahrzeuge beziehen, die beispielsweise in einem bestimmten Zeitintervall vor der Feststellung der Manipulation mit der betroffenen streckenseitigen Einrichtung kommuniziert haben. Vorteilhaft macht somit die Dekodierung der kodierten Telegramme den Zugbetrieb insgesamt sicherer, also auch den Betrieb nicht ausgerüsteter Fahrzeuge, wenn auch Telegramme mit geändertem Inhalt bezüglich der nicht ausgerüsteten Züge nur zeitverzögert festgestellt werden können. Die Sicherheitsmaßnahmen können sich auf einzelne streckengebundene Fahrzeuge, streckenseitige Einrichtungen oder bestimmte Streckenabschnitte oder auch den gesamten Betrieb beziehen, je nachdem, wie schwerwiegend der festgestellte Fehler oder die festgestellten Fehler (in Form von Abweichungen im Inhalt von Telegrammen) ausfallen.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass
    • zuerst die unverschlüsselten Nutzdaten nach der Übertragung unter Nutzung des Codebereiches decodiert werden,
    • danach die verschlüsselten Nutzdaten nach der Übertragung des Telegramms unter Nutzung des Codebereiches decodiert werden,
    • danach die verschlüsselten Nutzdaten entschlüsselt werden.
  • Diese Ausgestaltung der Erfindung zielt auf eine Verbesserung der Performance bei der Dekodierung der Nutzdaten. Dabei werden zunächst die unverschlüsselten Nutzdaten dekodiert (vor den verschlüsselten desselben Inhalts), da bei diesen der Schritt einer Entschlüsselung eingespart werden kann und auf diese Weise eine Zugänglichkeit des Inhaltes früher gegeben ist. Dieser Effekt wirkt sich besonders stark aus, wenn die Telegramme von einem Fahrzeug oder einer streckenseitigen Einrichtung empfangen werden, die noch keine Entschlüsselung der verschlüsselten Nutzdaten vornehmen kann. Diese müssten nämlich sonst in einem weiteren Schritt auf die unverschlüsselten Nutzdaten zurückgreifen, was einen zusätzlichen Zeitverlust bedeuten würde.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass
    • zuerst das mindestens eine mit unverschlüsselten Nutzdaten übertragenen Telegramm,
    • danach das Telegramm mit den verschlüsselten Nutzdaten desselben Inhalts übertragen wird.
  • Hierdurch lässt sich vorteilhaft ein zusätzlicher Performancegewinn bei der Auswertung der übertragenen Nutzdaten bei dem Empfänger erzeugen. Dieser Performancegewinn wird dadurch erreicht, dass mit der Dekodierung der unverschlüsselten Nutzdaten in dem übertragenen Telegramm bereits begonnen werden kann, während das Telegramm mit den verschlüsselten Nutzdaten desselben Inhalts noch übertragen wird. Dies wäre bei umgekehrter Reihenfolge nicht möglich.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass in wechselnder Reihenfolge Telegramme mit verschlüsselten und unverschlüsselten Nutzdaten übertragen werden.
  • Hierdurch wird das Problem gelöst, dass bei bestehenden Strecken und bereits im Einsatz befindlichen streckengebundenen Fahrzeugen (zumindest vor einer Aktualisierung) ein Kommunikationsstandard verwendet wird, welcher eine Entschlüsselung der Nutzdaten noch nicht ermöglicht. Dadurch, dass sowohl verschlüsselte als auch unverschlüsselte Nutzdaten codiert in wechselnder Reihenfolge übertragen werden, ist es sowohl ausgerüsteten Fahrzeugen als auch nicht ausgerüsteten Fahrzeugen möglich, die für den Betrieb erforderlichen Informationen aus den Nutzdaten mehrerer unterschiedlicher Telegramme zu extrahieren. Dabei wird erfindungsgemäß berücksichtigt, dass für die Übertragung der Daten zwischen der streckenseitigen Einrichtung und dem streckengebundenen Fahrzeug während der Vorbeifahrt des Letzteren nur ein begrenzter Zeitraum zur Verfügung steht.
  • Damit die Wahrscheinlichkeit, dass bei der Vorbeifahrt nicht alle Telegramme übertragen werden, möglichst gering ist, kann beispielsweise ein erstes Telegramm verschlüsselt und unverschlüsselt dann ein zweites Telegramm verschlüsselt und unverschlüsselt dann ein drittes Telegramm verschlüsselt und unverschlüsselt werden usw. Wenn alle zu übertragenen Telegramme verschlüsselt und unverschlüsselt übertragen wurden, kann wieder mit dem ersten Telegramm begonnen werden usw. Passiert beispielsweise das streckengebundene Fahrzeug die streckenseitige Einrichtung, während das dritte Telegramm übertragen wird, so können das erste und das zweite Telegrammen im zweiten Übertragungszyklus empfangen werden.
  • Die wechselnde Reihenfolge bedeutet nicht zwangsläufig, dass unverschlüsselte Telegramme (U) und verschlüsselte Telegramme (V) abwechselnd gesendet werden müssen, also:
    U, V, U, V...
  • Je nachdem, ob man Sicherheit oder Verfügbarkeit höher priorisieren möchte, kann man auch andere Kombinationen senden, d. h. entweder mehr N (höhere Verfügbarkeit) oder mehr V-Telegramme (höhere Sicherheit) senden z. B.:
    • U, V, V, U, V, V ...
    • U, U, V, U, U, V ...
    • U, U, U, V, U, U, U, V ...
  • Bei den letztgenannten Beispielen ergibt sich in der wechselnden Reihenfolge eine Wiederholung von Sequenzen (nämlich U, V und U, V, V und U, U, U, V - andere Sequenzen sind denkbar). Allerdings kann die zu wiederholende Sequenz je nach Bedarf während der Übertragung auch gewechselt werden. Eine weitere Möglichkeit besteht darin, die wechselnde Reihenfolge, ohne eine Wiederholungsregel zu bestimmen.
  • In der Regel werden zum Beispiel bei einer Balisenüberfahrt ohnehin mehrere Telegramme übertragen. Um hierbei Kompatibilität zu erreichen, werden im Sendestrom der Balise einfach unverschlüsselte Telegramme (U) und verschlüsselte Telegramme (V) in wechselnder Reihenfolge, d. h. gemischt und aufeinanderfolgend gesendet, z. B. abwechselnd. Insbesondere bei Eurobalisen, bei denen Langtelegramme und Kurztelegramme übertragen werden können, können Dreiersequenzen von Kurztelegrammen gewählt werden, die der Übertragung eines Langtelegramms entsprechen. Der oben beschriebene Effekt, dass auch bei kurzen Übertragungszeiten (beispielsweise bei hohen Geschwindigkeiten des streckengebundenen Fahrzeugs) möglichst alle Daten übertragen werden, lässt sich daher bei Eurobalisen besonders wirkungsvoll umsetzen.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass in einer Sequenz von Telegrammen im Verhältnis mehr Telegramme mit unverschlüsselten Nutzdaten als Telegramme mit verschlüsselten Nutzdaten übertragen werden, wobei
    • die Nutzdatenbereiche der unverschlüsselt übertragenen Telegramme der Sequenz mit unterschiedlichen Inhalten befüllt sind,
    • mindestens eines der mit unverschlüsselten Nutzdaten übertragenen Telegramme der Sequenz auch als Telegramm mit verschlüsselten Nutzdaten desselben Inhalts übertragen wird.
  • Diese Ausführungsformen der Erfindung hat den Vorteil, das bei einer begrenzten zur Verfügung stehenden Übertragungszeit, beispielsweise bei der Überfahrt des streckengebundenen Fahrzeugs über eine Balise als streckenseitige Einrichtung, eine größere Datenmenge übertragen werden kann. Denn die Übertragung unverschlüsselter Daten kann schneller erfolgen als die Übertragung von unverschlüsselten Daten. Dies hängt in erster Linie damit zusammen, dass die Daten vor dem Versenden noch verschlüsselt werden müssen, aber auch damit, dass die Verschlüsselung die Datenmenge und damit die erforderliche Übertragungszeit vergrößert.
  • Bei dem Verhältnis von ausschließlich unverschlüsselt übertragenen Telegrammen einerseits und verschlüsselt und unverschlüsselt übertragenen Telegrammen andererseits muss ein technischer Kompromiss gefunden werden, der sowohl die zu übertragende Datenmenge in Bezug auf die zur Verfügung stehende Übertragungszeit (Datenrate) berücksichtigt als auch eine ausreichende Möglichkeit schafft, durch einen Vergleich eines verschlüsselten Telegramms mit einem unverschlüsselten Telegramm desselben Inhalts eine Datenmanipulation oder Fehler feststellen zu können. Je mehr Telegramme auch verschlüsselt versendet werden, desto sicherer wird das Übertragungsverfahren. Je mehr Telegramme nur unverschlüsselt versendet werden, desto höher wird die übertragbare Datenrate.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass die Nutzdaten eines verschlüsselt gesendeten Telegramms nach dem Entschlüsseln mit den Nutzdaten eines unverschlüsselt gesendeten Telegramms desselben Inhalts vor und/oder nach dem Dekodieren miteinander verglichen werden.
  • Der Vergleich dient, wie oben beschrieben, dem Aufdecken von Fehlern oder Manipulationen der Nutzdaten in den Telegrammen. Hierdurch kann also das Übertragungsverfahren genügend sicher gemacht werden, auch wenn ein Teil der Telegramme unverschlüsselt versendet wird. Inhaltliche Abweichungen in unverschlüsselten Telegrammen werden dadurch nämlich zeitnah auffallen, sodass Gegenmaßnahmen getroffen werden können, und die Sicherheit des Betriebs nur geringfügig beeinträchtigt ist.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass in dem Fall, dass das Vergleichen ergibt, dass die Nutzdaten des verschlüsselt gesendeten Telegramms von den Nutzdaten des unverschlüsselt gesendeten Telegramms desselben Inhalts, abweicht, ein Fehlersignal generiert und/oder ausgegeben wird.
  • Das Fehlersignal dient damit für die Einleitung weiterer Schritte. Diese Schritte können in einer Interpretation oder Bewertung der Abweichungen des betreffenden Telegramms vom zu erwartenden Inhalt bestehen. Auch können diese Schritte bereits sicherheitsrelevante Reaktionen beinhalten, wie dies oben bereits näher beschrieben wurde. Das Fehlersignal ist somit die Grundlage für eine informationstechnische Verarbeitung, die auf die Registrierung eines Fehlers oder einer Manipulation folgen muss.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass mehrere Telegramme mit unterschiedlich großen Nutzdatenbereichen übertragen werden.
  • Hierdurch ist es vorteilhaft möglich, dass die Größe der Nutzdatenbereiche entsprechend der zu übertragenden Informationsmenge ausgewählt werden kann. Bei einer Verschlüsselung ist dies von besonderem Vorteil, da die Verschlüsselung kleinerer Datenmengen einen geringeren Zeitaufwand und Rechenaufwand nach sich zieht und daher die Übertragung und Entschlüsselung, und damit die Nutzung der Daten in einem kürzeren Zeitintervall erfolgen kann. Insbesondere, wenn Daten über eine Balise an ein streckengebundenes Fahrzeug überragen werden sollen, steht hierbei während der Überfahrt des Fahrzeugs über die Balise nur ein kurzes Zeitintervall zur Verfügung.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass die Schritte, dass
    • der Nutzdatenbereich mit den verschlüsselten Nutzdaten befüllt wird, wobei diese zusätzlich unter Nutzung des Codebereiches codiert werden,
    • das Telegramm mit den verschlüsselten Nutzdaten codiert übertragen wird,
    • die verschlüsselten Nutzdaten nach der Übertragung des Telegramms unter Nutzung des Codebereiches decodiert werden,
      oder
    • der Nutzdatenbereich mit den unverschlüsselten Nutzdaten befüllt wird, wobei diese unter Nutzung des Codebereiches codiert werden,
    • das Telegramm mit den unverschlüsselten Nutzdaten codiert übertragen wird,
    • die unverschlüsselten Nutzdaten nach der Übertragung unter Nutzung des Codebereiches decodiert werden,
    nach für dem ETCS (European Train Control System) geltenden ERTMS-Standard (European Rail Traffic Management System) oder dem CBTC-Standard (Communication-Based Train Control) oder dem PTC-Standard (Positive Train Control) durchgeführt werden.
  • Alle diese Standards sehen einer Übertragung zwischen streckenseitigen Einrichtungen und streckengebundenen Fahrzeugen in codierter Form vor. Diese Standards profitieren daher in der oben angegebenen Weise von einer zusätzlichen Verschlüsselung eines Teils der übertragenen Daten, wodurch die Sicherheit im Betrieb erhöht werden kann.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass die Übertragung zwischen einer Balise als streckenseitige Einrichtung und dem streckengebundenen Fahrzeug stattfindet.
  • Die Vorteile der Anwendung des erfindungsgemäßen Verfahrens bei Balisen ist oben stehend bereits erläutert worden.
  • Gemäß einer Ausgestaltung der Erfindung ist vorgesehen, dass geprüft wird, ob die Balise zu einem Balisenverband gehört, wobei die empfangenen Daten dann als vertrauenswürdig eingestuft werden.
  • Nicht gelinkte Balisen sollen im Rahmen der Erfindung als Balisen verstanden werden, welche bei der Übertragung nicht im Zusammenhang mit anderen Balisen stehen: Diese bieten daher ein größeres Potential für nicht autorisierte Angriffe. Beispielsweise könnten Hacker einen Gefahrpunkt löschen oder die zulässige Geschwindigkeit für einen Zug erhöhen.
  • Gelinkte Balisen stehen im Gegensatz zu nicht gelinkten Balisen mit anderen Balisen eines Balisenverbandes in einem funktionalen Zusammenhang. Dies bedeutet aber auch, dass ein nicht autorisierter Angriff auch ohne die verschlüsselte Übertragung von Telegrammen gleichen Inhalts aufgedeckt werden kann, wenn die durch die Balisen gesendete Information nicht in den Kontext des Balisenverbandes passt, d. h. nicht in den Sinnzusammenhang passt, der bei der Überfahrt der betreffenden Balisen zu erwarten wäre. Dadurch, dass die Funktionalität des Balisenverbandes bekannt ist, ist nämlich im Rahmen einer Plausibilitätsprüfung) ein Rückschluss möglich, welche Information von einer bestimmten Balisen des Balisenverbandes zu erwarten ist, und wann diese Information übermittelt wird (in Abhängigkeit von der Position der Balise innerhalb des Balisenverbandes).
  • Damit besteht die Möglichkeit, vorzugsweise ungelinkte Balisen mit einer Verschlüsselung im Sinne der Erfindung auszustatten. Hierbei handelt es sich nämlich häufig ohnehin um nachgerüstete Balisen, die nicht in einen Balisenverband integriert werden. Gleichzeitig schafft die Nachrüstung die Möglichkeit, diese von Anfang an mit einer erfindungsgemäßen Verschlüsselungsmöglichkeit für die übertragenen Telegramme auszustatten. Die verschlüsselte Übertragung schafft dann einen Schutz, von dem eine nicht gelinkte Balise in besonderem Maße profitiert. Diese würde außerhalb des Balisenverbandes aufgrund der oben angeführten Zusammenhänge nämlich eine Schwachstelle für unautorisierte Angriffe bilden.
  • Die genannte Aufgabe wird alternativ mit dem eingangs angegebenen Anspruchsgegenstand (Fahrzeug) erfindungsgemäß auch dadurch gelöst, dass dieses dafür eingerichtet ist, an einem Verfahren zur codierten Kommunikation gemäß einem der voranstehenden Ansprüche teilzunehmen.
  • Die genannte Aufgabe wird außerdem alternativ mit dem eingangs angegebenen Anspruchsgegenstand (Einrichtung) erfindungsgemäß auch dadurch gelöst, dass diese dafür eingerichtet ist, an einem Verfahren zur codierten Kommunikation gemäß einem der Ansprüche 1 - 12 teilzunehmen.
  • Mit den Vorrichtungen (d.h. Fahrzeug und Einrichtung) lassen sich die Vorteile erreichen, die im Zusammenhang mit dem obenstehend näher beschriebenen Verfahren bereits erläutert wurden. Das zum erfindungsgemäßen Verfahren Aufgeführte gilt entsprechend auch für die erfindungsgemäßen Vorrichtungen.
    Des Weiteren wird ein Computerprogrammprodukt mit Programmbefehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens und/oder dessen Ausführungsbeispielen beansprucht, wobei mittels des Computerprogrammprodukts jeweils das erfindungsgemäße Verfahren und/oder dessen Ausführungsbeispiele durchführbar sind.
  • Darüber hinaus wird eine Bereitstellungsvorrichtung zum Speichern und/oder Bereitstellen des Computerprogrammprodukts beansprucht. Die Bereitstellungsvorrichtung ist beispielsweise ein Speichereinheit, die das Computerprogrammprodukt speichert und/oder bereitstellt. Alternativ und/oder zusätzlich ist die Bereitstellungsvorrichtung beispielsweise ein Netzwerkdienst, ein Computersystem, ein Serversystem, insbesondere ein verteiltes, beispielsweise cloudbasiertes Computersystem und/oder virtuelles Rechnersystem, welches das Computerprogrammprodukt vorzugsweise in Form eines Datenstroms speichert und/oder bereitstellt.
  • Die Bereitstellung erfolgt in Form eines Programmdatenblocks als Datei, insbesondere als Downloaddatei, oder als Datenstrom, insbesondere als Downloaddatenstrom, des Computerprogrammprodukts. Diese Bereitstellung kann beispielsweise aber auch als partieller Download erfolgen, der aus mehreren Teilen besteht. Ein solches Computerprogrammprodukt wird beispielsweise unter Verwendung der Bereitstellungsvorrichtung in ein System eingelesen, sodass das erfindungsgemäße Verfahren auf einem Computer zur Ausführung gebracht wird.
  • Weitere Einzelheiten der Erfindung werden nachfolgend anhand der Zeichnung beschrieben. Gleiche oder sich entsprechende Zeichnungselemente sind jeweils mit den gleichen Bezugszeichen versehen und werden nur insoweit mehrfach erläutert, wie sich Unterschiede zwischen den einzelnen Figuren ergeben.
  • Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Komponenten auch durch mit den vorstehend beschriebenen Merkmalen der Erfindung kombinierbar.
  • Es zeigen:
    • Figur 1 ein Ausführungsbeispiel der erfindungsbemäßen Vorrichtungen (streckenseitige Einrichtung, streckengebundenes Fahrzeug) mit ihren Wirkzusammenhängen schematisch,
    • Figur 2 ein Ausführungsbeispiel einer Computer-Infrastruktur der Vorrichtungen (streckenseitige Einrichtung, streckengebundenes Fahrzeug) gemäß Figur 1 als Blockschaltbild, wobei die einzelnen Funktionseinheiten Programmmodule enthalten, die jeweils in einem oder mehreren Prozessoren ablaufen können und die Schnittstellen demgemäß softwaretechnisch oder hardwaretechnisch ausgeführt sein können,
    • Figur 3 und 4 Ausführungsbeispiele der Übertragung von verschlüsselten sowie unverschlüsselten Kurztelegrammen und Langtelegrammen, abhängig von einem Zeitverlauf t,
    • Figur 5 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens als Flussdiagramm, wobei die einzelnen Verfahrensschritte einzeln oder in Gruppen durch Programmmodule verwirklicht sein können und wobei die Funktionseinheiten und Schnittstellen gemäß Figur 2 beispielhaft angedeutet sind.
  • In Figur 1 ist als Strecke ein Gleis GL dargestellt, auf dem ein streckengebundenes Fahrzeug FZ in einer Fahrtrichtung FR fährt. Außerdem ist die Strecke in Form des Gleises GL mit streckenseitigen Einrichtungen SE1 ... SE6 ausgestattet, die in dem Ausführungsbeispiel gemäß Figur 1 als Eurobalisen ausgeführt sind.
  • Die streckenseitigen Einrichtungen SE1 sowie SE3 ... SE6 bilden einen Verband VB von streckenseitigen Einrichtungen. Diese streckenseitigen Einrichtungen können beispielsweise bereits bei der Erstausstattung der Strecke vorgesehen worden sein, wobei diese in einem funktionalen Zusammenhang stehen und deshalb im Folgenden als gelinkte Balisen bezeichnet werden sollen. Die streckenseitige Einrichtung SE2 könnte beispielsweise zu einem späteren Zeitpunkt nachgerüstet worden sein, um auf der Strecke einen weiteren Referenzpunkt zur Ortung des streckengebundenen Fahrzeugs FZ zu bekommen. Diese streckenseitige Einrichtung SE2 gehört jedoch nicht dem Verband VB an und soll daher als nicht gelinkte Balise bezeichnet werden.
  • Die streckenseitigen Einrichtungen des Verbandes VB sind im Vergleich zur nicht gelinkten Balise, repräsentiert durch die streckenseitige Einrichtung SE2, weniger angreifbar für Hacker bzw. fehleranfällig. Dies kann damit begründet werden, dass der funktionale Zusammenhang dazu führt, dass von den streckenseitigen Einrichtungen SE1 und SE3 ... SE6 bestimmte Daten erwartet werden, die in den Kontext des Fahrgeschehens des streckengebundenen Fahrzeugs FZ passen. Eine Abweichung hiervon fällt also schneller auf als bei der nicht gelinkten Balise, repräsentiert durch die streckenseitige Einrichtung SE2. Von dem erfindungsgemäßen Verfahren einer gemischt verschlüsselten und unverschlüsselten Übertragung von Telegrammen profitiert daher die streckenseitige Einrichtung SE2 am meisten. Diese kann beispielsweise im Rahmen einer Nachrüstung von Anfang an für das erfindungsgemäße Verfahren ausgelegt werden.
  • In Figur 2 sind das streckengebundene Fahrzeug FZ sowie die streckenseitige Einrichtung SE2 schematisch dargestellt. Die Übertragung von Daten erfolgt über eine erste Schnittstelle S1, die als Funkschnittstelle ausgeführt ist. Daher weist die streckenseitige Einrichtung SE2 eine erste Antenne A1 und das streckengebundene Fahrzeug FZ eine zweite Antenne A2 auf.
  • Die erste Antenne A1 ist mit einem ersten Computer C1 über eine vierte Schnittstelle S4 verbunden. Außerdem kann der erste Computer C1 über eine fünfte Schnittstelle S5 einen Schlüssel KEY aus einer ersten Speichereinrichtung SP1 abrufen. Der Schlüssel KEY ermöglicht somit die erfindungsgemäße Entschlüsselung bzw. Verschlüsselung eines über die erste Schnittstelle S1 zu übertragenden Telegramms (in der Funktion als Balise wird die streckenseitige Einrichtung SE2 vorzugsweise das Telegramm über die erste Schnittstelle S1 an das streckengebundene Fahrzeug FZ senden).
  • Die zweite Antenne A2 ist über eine zweite Schnittstelle S2 mit einem zweiten Computer C2 verbunden. Der zweite Computer C2 kann über eine dritte Schnittstelle S3 auf eine zweite Speichereinrichtung SP2 zugreifen, in der u. a. ein Schlüssel KEY abgespeichert ist. Somit weisen das streckengebundene Fahrzeug FZ sowie die streckenseitige Einrichtung SE2 jeweils einen Schlüssel KEY zur Entschlüsselung bzw. Verschlüsselung des über die erste Schnittstelle S1 zu übertragenden Telegramms auf.
  • Figur 3 zeigt anhand des Beispiels von durch Eurobalisen zu übertragenden Telegrammen den Vorteil, wenn statt einem Langtelegramm LT mehrere Kurztelegramme KT übertragen werden. Dabei ergeben jeweils drei Kurztelegramme KT, wie in Figur 3 angedeutet, ein Langtelegramm LT - zumindest vom zu übertragenden Datenumfang her.
  • Die Übertragung von Telegrammen ist in Figur 3 als Band dargestellt, wobei dies einem zeitlichen Ablauf entsprechend einer Zeitachse t entspricht. Während der Überfahrt des Fahrzeugs FZ über die streckenseitige Einrichtung (beispielsweise SE2 wie in Figur 2 dargestellt) gibt es nur ein bestimmtes Zeitfenster, in dem die beiden Antennen A1, A2 genügend nah beieinander liegen, damit eine Übertragung erfolgen kann. Diese Zeitfenster wird als Übertragungsfenster REC bezeichnet und ist in Figur 3 eingetragen.
  • In dem Beispiel gemäß Figur 3 überquert das streckengebundene Fahrzeug FZ die streckenseitige Einrichtung SE2 gerade mit einer Geschwindigkeit, bei welcher theoretisch vier Kurztelegramme KT übertragen werden können. Allerdings zeigt Figur 3 auch, dass sich das Übertragungsfenster REC öffnet, während gerade ein Kurztelegramm KT übertragen wird, sodass dieses abgeschnitten ist und von dem streckengebundenen Fahrzeug FZ nicht ausgewertet werden kann. Dasselbe gilt für das fünfte und letzte Kurztelegramm KT, welches (zumindest teilweise) in dem Übertragungsfenster REC gemäß Figur 3 liegt. Dazwischen liegen drei vollständig übertragene Kurztelegramme KT, die von ihrem Informationsgehalt gerade die Informationen eines Langtelegramms LT enthalten können. Werden also die übertragenen Daten von drei Kurztelegrammen KT wiederholt durch die streckenseitige Einrichtung SE2 gesendet, so kann in dem Übertragungsfenster REC der vollständige Informationsgehalt der streckenseitigen Einrichtung SE2 übertragen werden.
  • Dieses Beispiel dient lediglich exemplarisch der Verdeutlichung eines Übertragungsstandards und kann auch beliebig anders ausgeführt sein. Dieses Beispiel soll jedoch in der folgenden Figur 4 herangezogen werden, um eine Folge von verschlüsselten und unverschlüsselten Telegrammen in Bezug auf die Länge des Übertragungsfensters REC zu diskutieren.
  • Bei den Telegrammen T1, T2 handelt es sich mit Blick auf Figur 3 vorzugsweise um Kurztelegramme nach dem ETCS-Standard. Es können jedoch auch beliebige andere Telegramme übertragen werden, beispielsweise Langtelegramme LT, wenn das streckengebundene Fahrzeug FZ beispielsweise langsamer fährt, oder auch Telegramme eines anderen Übertragungsstandards.
  • In Figur 4 sind zwei Varianten V1 und V2 dargestellt für die gezielte verschlüsselte und unverschlüsselte Übertragung eines ersten Telegramms T1 und eines zweiten Telegramms T2. In der Variante V1 wird zuerst das erste Telegramm unverschlüsselt versendet (T1U) und dann das erste Telegramm verschlüsselt versendet (T1V). Anschließend wird das zweite Telegramm unverschlüsselt (T2U) und dann das zweite Telegramm verschlüsselt (T2V) versendet. Anschließend wird die beschriebene Folge wiederholt, wie dies in Figur 4 angegeben ist.
  • Wird jetzt, wie in Figur 3, davon ausgegangen, dass in dem Übertragungsfenster REC lediglich drei Telegramme vollständig übertragen werden können, so wird deutlich, dass das erste Telegramm verschlüsselt und unverschlüsselt, und das zweite Telegramm nur verschlüsselt übertragen wird. Wird die streckenseitige Einrichtung somit von einem nicht ausgerüsteten streckengebundenen Fahrzeug passiert, kann dieses den Inhalt des zweiten Telegramms T2 nicht verarbeiten, da keine Möglichkeit dafür besteht, dass zweite verschlüsselte Telegramm T2V zu entschlüsseln.
  • Für solche Fälle ist die Übertragungsfolge von Sequenzen gemäß der Variante V2 besser geeignet. Hier wird immer das erste Telegramm zuerst unverschlüsselt (T1U) und dann verschlüsselt (T1V) und dann das zweite Telegramm nur unverschlüsselt (T2U) übertragen und diese Sequenz anschließend wiederholt.
  • Es zeigt sich, dass das Übertragungsfenster REC nun ausreicht, um immer das erste Telegramm sowohl verschlüsselt als auch unverschlüsselt sowie das zweite Telegramm unverschlüsselt zu empfangen (wobei die Reihenfolge unterschiedlich sein kann). Ein nicht ausgerüstetes streckengebundenes Fahrzeug FZ kann daher auch ohne die Möglichkeit einer Entschlüsselung des ersten Telegramms T1 alle Daten decodieren und somit verarbeiten.
  • Allerdings wird die Möglichkeit eines gemischten Betriebs von ausgestatteten und nicht ausgestatteten streckengebundenen Fahrzeugen FZ dadurch erkauft, dass das zweite Telegramm nie verschlüsselt versendet wird und eine Fehleruntersuchung bzw. Untersuchung von Manipulationsversuchen nur mithilfe des ersten Telegramms T1 erfindungsgemäß erfolgen kann.
  • Es zeigt sich somit, dass die Wahl der Folge von Telegrammen (verschlüsselt, unverschlüsselt) in der Sequenz von dem betreffenden Einsatzfall abhängt und immer ein Kompromiss gefunden werden muss, eine möglichst hohe Sicherheit zu erlangen und dabei die technischen Gegebenheiten (ausgerüstete Fahrzeuge, nicht ausgerüstete Fahrzeuge, Länge der Übertragungsfenster REC, Geschwindigkeit der Fahrzeuge bei Überfahrt der streckenseitigen Einrichtung) zu berücksichtigen.
  • In Figur 5 ist der Verfahrensablauf bei der Übertragung der Telegramme als Flussdiagramm dargestellt. Das Verfahren beginnt mit einem Startschritt START und findet zunächst im Sender S statt. Dort wird nach einem Initialisierungsschritt INI eine Abfrage durchgeführt, ob ein hohes Sicherheitslevel SEC für das zu übertragende Telegramm gewählt werden soll. Ist dies der Fall, wird aus der Speichereinrichtung SP der Schlüssel KEY geladen und mit diesem in einem Verschlüsselungsschritt CRYP das Telegramm verschlüsselt. Anschließend wird das Telegramm in einem Codierungsschritt CODE codiert und über die Schnittstelle S1 an den Empfänger R gesendet.
  • In dem Empfänger R findet ein Decodierungsschritt DECO statt und anschließend unter Nutzung des Schlüssels KEY, der aus der Speichereinrichtung SP geladen wird, eine Decodierung DECR. Dort steht das Telegramm dann zur weiteren Verarbeitung zur Verfügung.
  • Die Speichereinrichtungen SP im Sender S und im Empfänger R sind unterschiedliche Speichereinrichtungen. Handelt es sich bei dem Sender um die streckenseitige Einrichtung SE2 gemäß Figur 2, könnte die Speichereinrichtung SP beispielsweise durch die Speichereinrichtung SP1 ausgebildet sein und die Speichereinrichtung im Empfänger die durch die Speichereinrichtung SP2.
  • Wird die Abfrage nach dem Sicherheitslevel SEC negativ beantwortet, so fallen bei der Übertragung, wie in Figur 5 dargestellt, der Verschlüsselungsschritt CRYP sowie der Entschlüsselungsschritt DECR weg. Es findet nur der Kodierungsschritt CODE, der Übertragungsschritt TRN und der Dekodierungsschritt DECO statt.
  • Im Sender S wird wiederholt eine Abfrage RECEND durchgeführt, ob die Übertragung beendet wurde. Ist dies der Fall, wird die Übertragung in einem Stoppschritt STOP abgebrochen. Ist dies nicht der Fall, wird erneut die Abfrage des Sicherheitslevels SEC für das nächste Telegramm durchgeführt.
    • Bezugszeichenliste
    • FZ
    streckengebundenes Fahrzeug
    SE1 ... SE6
    streckenseitige Einrichtung
    GL
    Gleis
    FR
    Fahrtrichtung
    VB
    Verband
    A1 ... A2
    Antenne
    SP1 ... SP2
    Speichereinrichtung
    C1 ... C2
    Computer
    S1 ... S5
    Schnittstelle
    LT
    Langtelegramm
    KT
    Kurztelegramm
    T1 ... T2
    Telegramm
    T1U ... T2U
    unverschlüsseltes Telegramm
    T1V ... T2V
    verschlüsseltes Telegramm
    t
    Zeit
    REC
    Übertragungsfenster
    V1 ... V2
    Variante
    S
    Sender
    R
    Empfänger
    START
    Startschritt
    INI
    Initialisierungsschritt
    SEC
    Abfrage des Sicherheitslevels
    KEY
    Schlüssel
    CRYP
    Verschlüsselungsschritt
    CODE
    Kodierungsschritt
    TRN
    Übertragungsschritt
    DECO
    Dekodierungsschritt
    DECR
    Entschlüsselungsschritt
    RECEND
    Abfrage des Endes der Übertragung
    STOP
    Stopschritt

Claims (16)

  1. Verfahren zur codierten Kommunikation zwischen einem streckengebundenem Fahrzeug (FZ) und einer streckenseitigen Einrichtung (SE1 ... SE6), bei der mehrere Telegramme (T1, T2) zwischen der streckenseitigen Einrichtung (SE1 ... SE6) und dem streckengebundenen Fahrzeug (FZ) übertragen werden, wobei die Telegramme (T1, T2) jeweils
    • einen Nutzdatenbereich zum Befüllen mit Nutzdaten aufweisen,
    • einen Codebereich für die Codierung der Nutzdaten aufweisen, dadurch gekennzeichnet,
    dass mindestens eines der Telegramme (T1, T2) unverschlüsselt derart übertragen wird, dass
    • der Nutzdatenbereich mit den unverschlüsselten Nutzdaten befüllt wird, wobei diese unter Nutzung des Codebereiches codiert werden,
    • das Telegramm (T1, T2) mit den unverschlüsselten Nutzdaten codiert übertragen wird,
    • die unverschlüsselten Nutzdaten nach der Übertragung unter Nutzung des Codebereiches decodiert werden,
    und dass mindestens eines der Telegramme (T1, T2) verschlüsselt und codiert derart übertragen wird, dass
    • die unverschlüsselten Nutzdaten vor dem Befüllen des Nutzdatenbereiches verschlüsselt werden,
    • der Nutzdatenbereich mit den verschlüsselten Nutzdaten befüllt wird, wobei diese zusätzlich unter Nutzung des Codebereiches codiert werden,
    • das Telegramm (T1, T2) mit den verschlüsselten Nutzdaten codiert übertragen wird,
    • die verschlüsselten Nutzdaten nach der Übertragung des Telegramms (T1, T2) unter Nutzung des Codebereiches decodiert werden,
    • danach die verschlüsselten Nutzdaten entschlüsselt werden.
  2. Verfahren nach Anspruch 1
    dadurch gekennzeichnet,
    dass mindestens eines der mit unverschlüsselten Nutzdaten übertragenen Telegramme (T1, T2) auch als Telegramm mit verschlüsselten Nutzdaten desselben Inhalts übertragen wird.
  3. Verfahren nach Anspruch 2,
    dadurch gekennzeichnet,
    dass
    • zuerst die unverschlüsselten Nutzdaten nach der Übertragung unter Nutzung des Codebereiches decodiert werden.
    • danach die verschlüsselten Nutzdaten nach der Übertragung des Telegramms (T1, T2) unter Nutzung des Codebereiches decodiert werden,
    • danach die verschlüsselten Nutzdaten entschlüsselt werden.
  4. Verfahren nach Anspruch 3,
    dadurch gekennzeichnet,
    dass
    • zuerst das mindestens eine mit unverschlüsselten Nutzdaten übertragenen Telegramm (T1, T2),
    • danach das Telegramm (T1, T2) mit den verschlüsselten Nutzdaten desselben Inhalts übertragen wird.
  5. Verfahren nach einem der voranstehenden Ansprüche,
    dadurch gekennzeichnet,
    dass in wechselnder Reihenfolge Telegramme (T1, T2) mit verschlüsselten und unverschlüsselten Nutzdaten übertragen werden.
  6. Verfahren nach Anspruch 5,
    dadurch gekennzeichnet,
    dass in einer Sequenz von Telegrammen (T1, T2) im Verhältnis mehr Telegramme (T1, T2) mit unverschlüsselten Nutzdaten als Telegramme (T1, T2) mit verschlüsselten Nutzdaten übertragen werden, wobei
    • die Nutzdatenbereiche der unverschlüsselt übertragenen Telegramme (T1, T2) der Sequenz mit unterschiedlichen Inhalten befüllt sind,
    • mindestens eines der mit unverschlüsselten Nutzdaten übertragenen Telegramme (T1, T2) der Sequenz auch als Telegramm (T1, T2) mit verschlüsselten Nutzdaten desselben Inhalts übertragen wird.
  7. Verfahren nach Anspruch 1,
    dadurch gekennzeichnet,
    dass die Nutzdaten eines verschlüsselt gesendeten Telegramms (T1, T2) nach dem Entschlüsseln (DECR) mit den Nutzdaten eines unverschlüsselt gesendeten Telegramms (T1, T2) desselben Inhalts vor und/oder nach dem Dekodieren (DECO) miteinander verglichen werden.
  8. Verfahren nach Anspruch 7,
    dadurch gekennzeichnet,
    dass in dem Fall, dass das Vergleichen ergibt, dass die Nutzdaten des verschlüsselt gesendeten Telegramms (T1, T2) von den Nutzdaten des unverschlüsselt gesendeten Telegramms (T1, T2) desselben Inhalts, abweicht, ein Fehlersignal generiert und/oder ausgegeben wird.
  9. Verfahren nach einem der voranstehenden Ansprüche,
    dadurch gekennzeichnet,
    dass mehrere Telegramme (T1, T2) mit unterschiedlich großen Nutzdatenbereichen übertragenen werden.
  10. Verfahren nach einem der voranstehenden Ansprüche,
    dadurch gekennzeichnet,
    dass die Schritte, dass
    • der Nutzdatenbereich mit den verschlüsselten Nutzdaten befüllt wird, wobei diese zusätzlich unter Nutzung des Codebereiches codiert werden,
    • das Telegramm (T1, T2) mit den verschlüsselten Nutzdaten codiert übertragen wird,
    • die verschlüsselten Nutzdaten nach der Übertragung des Telegramms (T1, T2) unter Nutzung des Codebereiches decodiert werden,
    oder
    • der Nutzdatenbereich mit den unverschlüsselten Nutzdaten befüllt wird, wobei diese unter Nutzung des Codebereiches codiert werden,
    • das Telegramm (T1, T2) mit den unverschlüsselten Nutzdaten codiert übertragen wird,
    • die unverschlüsselten Nutzdaten nach der Übertragung unter Nutzung des Codebereiches decodiert werden,
    nach dem ETCS-Standard oder dem ERTMS-Standard oder dem CBTC-Standard oder dem PTC-Standard durchgeführt werden.
  11. Verfahren nach einem der voranstehenden Ansprüche,
    dadurch gekennzeichnet,
    dass die Übertragung zwischen einer Balise als streckenseitige Einrichtung (SE1 ... SE6) und dem streckengebundenen Fahrzeug (FZ) stattfindet.
  12. Verfahren nach Anspruch 11,
    dadurch gekennzeichnet,
    dass geprüft wird, ob die Balise zu einem Balisenverband (VB) gehört, wobei die empfangenen Daten dann als vertrauenswürdig eingestuft werden.
  13. Spurgebundenes Fahrzeug (FZ) mit einer Kommunikationsschnittstelle (S1) für eine streckenseitige Einrichtung (SE1 ... SE6),
    dadurch gekennzeichnet,
    dass dieses dafür eingerichtet ist, an einem Verfahren zur codierten Kommunikation gemäß einem der voranstehenden Ansprüche teilzunehmen.
  14. Streckenseitige Einrichtung (SE1 ... SE6) mit einer Kommunikationsschnittstelle (S1) für eine streckengebundenes Fahrzeug (FZ),
    dadurch gekennzeichnet,
    dass diese dafür eingerichtet ist, an einem Verfahren zur codierten Kommunikation gemäß einem der Ansprüche 1 - 12 teilzunehmen.
  15. Computerprogrammprodukt mit Programmbefehlen zur Durchführung des Verfahrens nach einem der Ansprüche 1 - 12.
  16. Bereitstellungsvorrichtung für das Computerprogrammprodukt nach dem letzten voranstehenden Anspruch, wobei die Bereitstellungsvorrichtung das Computerprogrammprodukt speichert und/oder bereitstellt.
EP21154235.2A 2021-01-29 2021-01-29 Verfahren zur codierten kommunikation zwischen einem streckengebundenen fahrzeug und einer streckenseitigen einrichtung, und vorrichtungen zur anwendung des verfahrens Pending EP4035970A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP21154235.2A EP4035970A1 (de) 2021-01-29 2021-01-29 Verfahren zur codierten kommunikation zwischen einem streckengebundenen fahrzeug und einer streckenseitigen einrichtung, und vorrichtungen zur anwendung des verfahrens

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP21154235.2A EP4035970A1 (de) 2021-01-29 2021-01-29 Verfahren zur codierten kommunikation zwischen einem streckengebundenen fahrzeug und einer streckenseitigen einrichtung, und vorrichtungen zur anwendung des verfahrens

Publications (1)

Publication Number Publication Date
EP4035970A1 true EP4035970A1 (de) 2022-08-03

Family

ID=74418227

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21154235.2A Pending EP4035970A1 (de) 2021-01-29 2021-01-29 Verfahren zur codierten kommunikation zwischen einem streckengebundenen fahrzeug und einer streckenseitigen einrichtung, und vorrichtungen zur anwendung des verfahrens

Country Status (1)

Country Link
EP (1) EP4035970A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3219575A1 (de) * 2016-03-17 2017-09-20 ALSTOM Transport Technologies Verfahren zur sicherung des austauschs von authentifizierungsschlüsseln und zugehöriges schlüsselverwaltungsmodul
DE102016204630A1 (de) * 2016-03-21 2017-09-21 Siemens Aktiengesellschaft Verfahren zum Übertragen von Nachrichten in einem Eisenbahnsystem sowie Eisenbahnsystem
WO2019166182A1 (de) * 2018-03-01 2019-09-06 Siemens Aktiengesellschaft Verfahren und anordnung zum gesicherten übertragen einer nachricht von einer sendeeinrichtung zu einer empfangseinrichtung

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3219575A1 (de) * 2016-03-17 2017-09-20 ALSTOM Transport Technologies Verfahren zur sicherung des austauschs von authentifizierungsschlüsseln und zugehöriges schlüsselverwaltungsmodul
DE102016204630A1 (de) * 2016-03-21 2017-09-21 Siemens Aktiengesellschaft Verfahren zum Übertragen von Nachrichten in einem Eisenbahnsystem sowie Eisenbahnsystem
WO2019166182A1 (de) * 2018-03-01 2019-09-06 Siemens Aktiengesellschaft Verfahren und anordnung zum gesicherten übertragen einer nachricht von einer sendeeinrichtung zu einer empfangseinrichtung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
GUO HUAQUN ET AL: "Protecting Train Balise Telegram Data Integrity", 2018 21ST INTERNATIONAL CONFERENCE ON INTELLIGENT TRANSPORTATION SYSTEMS (ITSC), IEEE, 4 November 2018 (2018-11-04), pages 806 - 811, XP033470223, ISBN: 978-1-7281-0321-1, [retrieved on 20181207], DOI: 10.1109/ITSC.2018.8569616 *

Similar Documents

Publication Publication Date Title
DE102011014556B4 (de) Adaptiver Zertifikatverteilungsmechanismus in Fahrzeugnetzen unter Verwendung von Vorwärtsfehlerkorrekturcodes
EP3110101A1 (de) Verfahren zu einem manipulationsschutz von über ein bussystem zwischen systemkomponenten zu übertragenden nutzdatenpaketen
DE112010003149B4 (de) Gemeinschaftliche Verschlüsselung und Entschlüsselung durch Agenten
DE102011014558A1 (de) Adaptiver Zertifikatverteilungsmechanismus in Fahrzeugnetzen unter Verwendung einer variablen Erneuerungsperiode zwischen Zertifikaten
WO2013004750A1 (de) Datenauswahlverfahren zur verminderung des dekodierrechenaufwands eines fahrzeug-zu-x-kommunikationssystems und fahrzeug-zu-x-kommunikationssystem
EP4128646B1 (de) Nutzung quantensicherer schlüssel mit endgeräteeinrichtungen
WO2009124803A1 (de) Verfahren und vorrichtung zur übertragung von nachrichten in echtzeit
EP2987297B1 (de) Kommunikationsverfahren zum übertragen von nutzdaten sowie entsprechendes kommunikationssystem
WO2004114621A1 (de) Verfahren zur sicheren datenübertragung über einen feldbus
EP0067340B1 (de) Verfahren zur Schlüsselübertragung
EP3747152B1 (de) Übertragen einer mit prüfdaten gesicherten nachricht
EP4035970A1 (de) Verfahren zur codierten kommunikation zwischen einem streckengebundenen fahrzeug und einer streckenseitigen einrichtung, und vorrichtungen zur anwendung des verfahrens
EP4300873A1 (de) Verfahren zur datenverarbeitung in einer rechenumgebung mit verteilten computern und bahntechnische applikation
DE102020001199A1 (de) Kommunikationsvorrichtung und Verfahren zur kryptografischen Absicherung der Kommunikation
DE102013226532A1 (de) Verfahren zur Vorbereitung und Durchführung einer Fahrt einer Mehrzahl zu einem Verbund zusammengeschlossener Fahrzeuge und Kommunikationssystem
DE102016215520A1 (de) Verfahren und Anordnung zur gesicherten elektronischen Datenkommunikation
DE102010052486A1 (de) Steuerung des Betriebes eines spurgebundenen Fahrzeugs
DE69832464T2 (de) Verfahren zur sicheren Datenübermittlung in einem offenen Telekommunikationsnetzwerk
DE3502676C2 (de) Verfahren zur Übertragung von digitalen Informationen
EP1246391A1 (de) Verfahren und System zur kryptographischen Datenkommunikation mit mehreren Instanzen
DE102016205126A1 (de) Sicherheitsrelevante Kommunikationsvorrichtung
EP3616357A1 (de) Kommunikationsverfahren, mobile einheit, schnittstelleneinheit und kommunikationssystem
DE10223217A1 (de) Verfahren und Anordnung zur Verschlüsselung bzw. Entschlüsselung von Datenpaketen in drahtlosen Netzwerken
DE69529108T2 (de) Verschlüsselungseinrichtung
EP3869762B1 (de) Datenübermittlung mit kommunikationsbroker

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20230131

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR