ES2773437T3 - Verification of the authenticity of a beacon - Google Patents

Verification of the authenticity of a beacon Download PDF

Info

Publication number
ES2773437T3
ES2773437T3 ES15725327T ES15725327T ES2773437T3 ES 2773437 T3 ES2773437 T3 ES 2773437T3 ES 15725327 T ES15725327 T ES 15725327T ES 15725327 T ES15725327 T ES 15725327T ES 2773437 T3 ES2773437 T3 ES 2773437T3
Authority
ES
Spain
Prior art keywords
identifier
beacon
railway vehicle
information
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15725327T
Other languages
Spanish (es)
Inventor
Uwe Deichmann
Werner Friedrichs
Norbert Geduhn
Udo Golebniak
Jochen Käppel
Dirk Schulz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Application granted granted Critical
Publication of ES2773437T3 publication Critical patent/ES2773437T3/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L3/00Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal
    • B61L3/02Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control
    • B61L3/08Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically
    • B61L3/12Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically using magnetic or electrostatic induction; using radio waves
    • B61L3/121Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically using magnetic or electrostatic induction; using radio waves using magnetic induction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • B61L15/0027Radio-based, e.g. using GSM-R

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Procedimiento para el funcionamiento de un vehículo ferroviario (101), - en el cual una información para el funcionamiento del vehículo ferroviario (101) y un identificador se transmiten desde una baliza (106, 107) hacia un ordenador del vehículo (102) del vehículo ferroviario (101), - de manera que mediante el identificador se verifica la autenticidad de la baliza (106, 107), por el vehículo ferroviario (101), - en el cual, en el caso de una verificación exitosa del identificador, la información se utiliza para el funcionamiento del vehículo ferroviario (101).Procedure for the operation of a railway vehicle (101), - in which information for the operation of the railway vehicle (101) and an identifier are transmitted from a beacon (106, 107) to a vehicle computer (102) of the vehicle railway (101), - so that the authenticity of the beacon (106, 107) is verified by the railway vehicle (101), - in which, in the case of a successful verification of the identifier, the information It is used for the operation of the railway vehicle (101).

Description

DESCRIPCIÓNDESCRIPTION

Verificación de la autenticidad de una balizaVerification of the authenticity of a beacon

La presente invención hace referencia a un procedimiento para el funcionamiento de un vehículo ferroviario, a un procedimiento para verificar un identificador proporcionado por una baliza, a un procedimiento para proporcionar un identificador mediante una baliza, a un equipamiento de línea ETCS, así como a un vehículo ferroviario.The present invention refers to a method for the operation of a railway vehicle, to a method for verifying an identifier provided by a beacon, to a method for providing an identifier by means of a beacon, to an ETCS line equipment, as well as to a railway vehicle.

El sistema de control de trenes europeo "European Train Control System" (ETCS) es un componente de un sistema de control de tráfico ferroviario que fue desarrollado bajo la abreviatura ERTMS. El segundo componente técnico de esa tecnología ferroviaria digital es el sistema de comunicaciones móviles ferroviario GSM-R. El sistema ETCS debe reemplazar la pluralidad de los sistemas de protección de trenes utilizados en los países, emplearse a medio plazo en el tráfico de alta velocidad e implementarse a largo plazo en todo el tráfico ferroviario europeo.The European Train Control System (ETCS) is a component of a railway traffic control system that was developed under the abbreviation ERTMS. The second technical component of this digital rail technology is the GSM-R rail mobile communication system. The ETCS system should replace the plurality of train protection systems used in the countries, be used in the medium term in high speed traffic and implemented in the long term in all European rail traffic.

Un dispositivo de vehículo ETCS comprende por ejemplo un ordenador ETCS (EVC, European Vital Computer, ordenador vital europeo, denominado también como ordenador de vehículo (OBU, On-board Unit, unidad de a bordo)), una unidad de visualización del puesto del conductor (DMI, Driver Machine Interface), un dispositivo de medición de recorrido, un dispositivo de transmisión GSM-R (incluyendo Euroradio), un lector de balizas y un acceso de frenado (http://de.wikipedia. org/wiki/ETCS).An ETCS vehicle device comprises, for example, an ETCS computer (EVC, European Vital Computer, also known as a vehicle computer (OBU, On-board Unit)), an on-board display unit. driver (DMI, Driver Machine Interface), a distance measuring device, a GSM-R transmission device (including Euroradio), a beacon reader and a braking access (http: //de.wikipedia. org / wiki / ETCS).

El sistema nivel 1 de ETCS utiliza balizas como medio de transmisión. La información transmitida por las balizas se trata de gradientes de líneas, velocidades límite en una sección de la línea, y el punto en el cual el vehículo debe detenerse nuevamente. Junto con un modo ETCS, la misma constituye la Movement Authority (MA), lo cual traducido significa "autorización para el movimiento" o "permiso para circular". De este modo, el equipamiento ETCS correspondiente al vehículo puede monitorear de forma continua el cumplimiento de la velocidad permitida (y dirección), y activar a tiempo un frenado de control.The ETCS Tier 1 system uses beacons as the transmission medium. The information transmitted by the beacons is about line gradients, limiting speeds on a section of the line, and the point at which the vehicle must stop again. Together with an ETCS mode, it constitutes the Movement Authority (MA), which translated means "authorization to move" or "permission to circulate." In this way, the ETCS equipment corresponding to the vehicle can continuously monitor compliance with the permitted speed (and direction), and activate a control braking in time.

Al final de la MA ("End of Authority" fin de la autorización de movimiento, EoA) - por ejemplo una señal que indica DETENCIÓN - el vehículo ferroviario tiene que detenerse.At the end of the MA ("End of Authority" end of movement authorization, EoA) - for example a sign indicating STOP - the rail vehicle has to stop.

Junto con los niveles ETCS también están definidos modos ETCS. Los modos describen los estados en los cuales puede encontrarse el EVC (véase también: http://de.wikipedia. org/wiki/ETCS).Along with the ETCS levels, ETCS modes are also defined. The modes describe the states in which the EVC can be found (see also: http: //de.wikipedia. Org / wiki / ETCS).

En el nivel 2 de ETCS casi toda la información se transmite al vehículo mediante Euroradio, desde el puesto de control central (Radio Block Center, RBC). De manera adicional existe la posibilidad de transmitir información desde el tren hacia la línea, y la información también puede intercambiarse en el estado de detención. De este modo, la capacidad de utilización de la línea puede aumentarse un poco en comparación con el nivel 1. Antes de que RBC pueda calcular la información necesaria para un permiso de circulación (MA), el mismo debe saber dónde se encuentra precisamente el tren y en qué dirección circula el mismo. El ordenador del vehículo se encarga de la determinación de la posición y la dirección; el mismo la transmite regularmente a la línea mediante GSM-R. Sin embargo, para la determinación se necesitan puntos de referencia en la línea. Para ello se utilizan eurobalizas que por ejemplo están colocadas en vías de salida de estaciones, así como a distancias (por ejemplo irregulares) sobre líneas libres. Entre esos puntos de referencia, la posición se determina de forma odométrica mediante radar Doppler en el piso del vehículo de tracción y en transmisores de impulsos de las ruedas en los ejes del vehículo a tracción. Parcialmente también se utilizan sensores de aceleración.In ETCS level 2 almost all information is transmitted to the vehicle via Euroradio, from the central control post (Radio Block Center, RBC). Additionally there is the possibility to transmit information from the train to the line, and the information can also be exchanged in the stopped state. In this way, the capacity to use the line can be increased a bit compared to level 1. Before RBC can calculate the information required for a circulation permit (MA), it must know precisely where the train is located. and in which direction it circulates. The vehicle's computer is in charge of determining the position and direction; it regularly transmits it to the line via GSM-R. However, reference points on the line are needed for the determination. Eurobalises are used for this, for example they are placed on exit routes from stations, as well as at distances (for example irregular) on free lines. Between these reference points, the position is determined odomometrically by Doppler radar on the floor of the traction vehicle and by wheel pulse transmitters on the axles of the traction vehicle. Acceleration sensors are also partially used.

La información sobre secciones libres de la vía se determina con en el nivel 1 de ETCS, mediante el aviso de vía libre fijado, desde el puesto de maniobra, y se transmite al puesto de control central: La línea - como en la técnica de protección convencional - está dividida en secciones ("bloques"), y el tren sólo puede ingresar a la siguiente sección cuando la misma no está ocupada por otro tren, sino que ha sido informada como "libre". (Fuente: http://de.wikipedia.org/wiki/ European_Train_Control_System.)The information on free road sections is determined with ETCS level 1, by the fixed freeway warning, from the maneuvering position, and transmitted to the central control position: The line - as in protection technology conventional - it is divided into sections ("blocks"), and the train can only enter the next section when it is not occupied by another train, but has been reported as "free". (Source: http://de.wikipedia.org/wiki/ European_Train_Control_System.)

La transmisión correcta de un mensaje de la baliza ETCS se asegura mediante un control de redundancia cíclica (CRC, "Cyclic Redundancy Check"). De este modo se determina un valor de control (denominado también como código CRC) para datos, para poder descubrir errores en la transmisión (véase por ejemplo http://de.wikipedia.org/wiki/Zyklische_Redundanzpmfung).The correct transmission of an ETCS beacon message is ensured by means of a cyclic redundancy check (CRC, "Cyclic Redundancy Check"). In this way, a control value (also called CRC code) is determined for data, in order to be able to detect errors in the transmission (see for example http://de.wikipedia.org/wiki/Zyklische_Redundanzpmfung).

El código CRC es adecuado para poder detectar errores habituales en los canales de comunicaciones. De este modo, se considera una desventaja en el hecho de que los códigos CRC de esa clase no ofrecen ninguna protección frente a una manipulación intencional (maliciosa) de los datos, por ejemplo en forma de diferentes ataques. A modo de ejemplo, las siguientes modificaciones podrían efectuarse en los avisos de la baliza: The CRC code is suitable for detecting common errors in communication channels. Thus, a disadvantage is seen in the fact that CRC codes of this class do not offer any protection against intentional (malicious) manipulation of data, for example in the form of different attacks. As an example, the following modifications could be made to the beacon warnings:

- una modificación de la autorización de circulación (MA);- a modification of the circulation authorization (MA);

- una modificación de una información proporcionada por la baliza, por ejemplo "continuación del viaje" (Proceed) en lugar de "detención" (Stop);- a modification of an information provided by the beacon, for example "continuation of the journey" (Proceed) instead of "stop" (Stop);

- una modificación de valores de velocidad, de manera que por ejemplo se transmite una velocidad más elevada que la velocidad máxima verdaderamente prevista;- a change in speed values, such that for example a speed higher than the maximum speed actually foreseen is transmitted;

- una modificación de la señalización que limita la circulación;- a modification of the signage that limits circulation;

- una modificación de valores de distancia.- a modification of distance values.

Las manipulaciones de esa clase se tratan de ataques a datos proporcionados por la baliza, los cuales no pueden detectarse mediante el código CRC. Por ejemplo, los datos manipulados (con los códigos CRC apropiados para los mismos) pueden ser proporcionados por un agresor mientras que el vehículo ferroviario pasa por la baliza. Precisamente eso no se considera deseable para datos relevantes para la seguridad.Manipulations of this kind are about attacks on data provided by the beacon, which cannot be detected by the CRC code. For example, tampered data (with the appropriate CRC codes for it) can be provided by an attacker while the rail vehicle passes the beacon. This is precisely not considered desirable for security-relevant data.

En la solicitud EP 2 022 697 A1 y en la solicitud EP 0 735 381 A2 se describen respectivamente sistemas y procedimientos en los cuales se verifica el identificador de balizas a bordo del vehículo ferroviario.In the application EP 2 022 697 A1 and in the application EP 0 735 381 A2, systems and procedures are respectively described in which the identifier of beacons on board the railway vehicle is verified.

El objeto de la invención consiste en evitar las desventajas antes mencionadas y en particular en crear una posibilidad para una transmisión de datos segura y fiable, desde la baliza hacia el ordenador del vehículo, de un vehículo ferroviario.The object of the invention is to avoid the aforementioned disadvantages and in particular to create a possibility for a safe and reliable data transmission, from the beacon to the vehicle's computer, of a railway vehicle.

Dicho objeto se soluciona según las características de las reivindicaciones independientes. Formas de ejecución preferentes pueden deducirse en particular de las reivindicaciones dependientes.Said object is solved according to the characteristics of the independent claims. Preferred embodiments can be inferred in particular from the dependent claims.

Para solucionar este objeto se propone un procedimiento para el funcionamiento de un vehículo ferroviario, - en el cual una información para el funcionamiento del vehículo ferroviario y un identificador se transmiten desde una baliza hacia un ordenador del vehículo, del vehículo ferroviario,To solve this object, a procedure is proposed for the operation of a railway vehicle, - in which information for the operation of the railway vehicle and an identifier are transmitted from a beacon to a computer of the vehicle, of the railway vehicle,

- de manera que mediante el identificador se verifica la autenticidad de la baliza, por el vehículo ferroviario, - en el cual, en el caso de una verificación exitosa del identificador, la información se utiliza para el funcionamiento del vehículo ferroviario.- so that by means of the identifier the authenticity of the beacon is verified, by the railway vehicle, - in which, in the case of a successful verification of the identifier, the information is used for the operation of the railway vehicle.

Por ejemplo, la información y el identificador se transmiten juntos en un mensaje, desde la baliza, hacia el ordenador del vehículo, del vehículo ferroviario.For example, the information and the identifier are transmitted together in a message, from the beacon, to the vehicle's computer, of the rail vehicle.

La información proporcionada se utiliza en particular de manera que por ejemplo pueden observarse especificaciones contenidas en la información, para el funcionamiento del vehículo ferroviario. En particular, el vehículo ferroviario es controlado en base a la información, en tanto el identificador haya podido verificarse de forma exitosa.The information provided is used in particular in such a way that, for example, specifications contained in the information can be observed, for the operation of the railway vehicle. In particular, the railway vehicle is controlled based on the information, as long as the identifier has been successfully verified.

En este caso, cabe señalar que la verificación exitosa del identificador comprende en particular una verificación del identificador. Mediante la verificación del identificador, de este modo, puede asegurarse la autenticidad de la baliza. Con ello, está garantizado que la información obtenida también proviene de la baliza, y se impide que un agresor -disimulado como baliza - sin ser reconocido, transmita la información al vehículo ferroviario.In this case, it should be noted that the successful verification of the identifier comprises in particular a verification of the identifier. By verifying the identifier, in this way, the authenticity of the beacon can be assured. With this, it is guaranteed that the information obtained also comes from the beacon, and an aggressor - disguised as a beacon - is prevented from transmitting the information to the rail vehicle without being recognized.

El identificador no es verificado por el ordenador del vehículo, en caso de que se determine que está presente un identificador o en el caso de que el identificador presente un valor predeterminado.The identifier is not verified by the vehicle's computer, in case it is determined that an identifier is present or in the case that the identifier has a predetermined value.

Por ejemplo, puede prescindirse de una verificación, en caso de que no se encuentre presente ningún identificador. Esto puede determinarse debido a que el identificador presenta un valor predeterminado, por ejemplo, el campo en el que se transmite el identificador está vacío, o presenta o contiene un valor determinado.For example, a check can be dispensed with, in case no identifier is present. This can be determined because the identifier has a predetermined value, for example the field in which the identifier is transmitted is empty, or has or contains a certain value.

También puede prescindirse de la verificación en caso de que el identificador no presente un valor predeterminado. En ese caso, la verificación sólo se realiza cuando el identificador es detectado como tal. Para ello es posible que el identificador comprenda un valor adicional, por ejemplo en forma de un patrón de bits, el cual por ejemplo forma parte del identificador y/o se encuentra presente adicionalmente con respecto al mismo. De este modo, el valor adicional puede anticiparse al identificador o puede estar añadido al mismo. Verification can also be dispensed with if the identifier does not have a predetermined value. In that case, the verification is only performed when the identifier is detected as such. For this, it is possible that the identifier comprises an additional value, for example in the form of a bit pattern, which for example forms part of the identifier and / or is additionally present with respect to it. Thus, the additional value may be in advance of the identifier or may be added to it.

Por ejemplo si un campo de datos, en el cual podría transmitirse el identificador, se usa con otro fin y en el mismo no se encuentra presente ningún identificador, entonces esto es detectado y puede omitirse la verificación del identificador.For example if a data field, in which the identifier could be transmitted, is used for another purpose and no identifier is present in it, then this is detected and verification of the identifier can be omitted.

Otro perfeccionamiento consiste en el hecho de que la información no se utilice en el caso de que la verificación del identificador no haya sido exitosa.Another improvement consists in the fact that the information is not used in the event that the verification of the identifier has not been successful.

En tanto el identificador (que se encuentra presente y reconocido como tal) no haya podido verificarse, se supone por ejemplo que la información de la baliza no es válida. Puede entonces iniciarse una acción adecuada, por ejemplo una verificación de la baliza y/o el pasaje del sistema a un estado seguro, por ejemplo un frenado o una detención del vehículo ferroviario.As long as the identifier (which is present and recognized as such) has not been verified, it is assumed, for example, that the beacon information is invalid. A suitable action can then be initiated, for example a check of the beacon and / or the passage of the system to a safe state, for example a braking or stopping of the railway vehicle.

Se considera especial un perfeccionamiento en el cual la información no se utiliza en el caso de que se haya detectado el identificador y la verificación no haya sido exitosa.An improvement in which the information is not used in the event that the identifier has been detected and the verification has not been successful is considered special.

También se considera un perfeccionamiento en el cual el vehículo ferroviario pasa a un estado seguro en el caso de que la verificación del identificador no haya sido exitosa.It is also considered an enhancement in which the rail vehicle goes to a safe state in the event that the identifier verification has not been successful.

También se considera un perfeccionamiento en el cual el identificador comprende al menos una de las siguientes posibilidades:An improvement in which the identifier comprises at least one of the following possibilities is also considered:

- datos cifrados;- encrypted data;

- datos no cifrados;- unencrypted data;

- datos que fueron determinados en base a una función hash, en particular en base a una función hash criptográfica; - datos que fueron determinados en base a un algoritmo MD4;- data that was determined on the basis of a hash function, in particular on the basis of a cryptographic hash function; - data that were determined based on an MD4 algorithm;

- una firma;- A sign;

- un certificado;- a certificate;

- un valor para la identificación del identificador;- a value for the identification of the identifier;

- un valor para la identificación de un tipo del identificador.- a value for the identification of a type of the identifier.

En el marco de un perfeccionamiento adicional, el identificador se transmite en un bloque 44 de la implementación ETCS conforme a UNISIG.As part of a further refinement, the identifier is transmitted in a block 44 of the ETCS implementation according to UNISIG.

Un siguiente perfeccionamiento consiste en queA further refinement is that

- el identificador es verificado por el vehículo ferroviario, determinando otro identificador mediante la información y comparando el identificador con el otro identificador,- the identifier is verified by the railway vehicle, determining another identifier through the information and comparing the identifier with the other identifier,

- la verificación del identificador ha sido exitosa en el caso de que el identificador y el otro identificador sean idénticos.- the identifier verification has been successful in the case that the identifier and the other identifier are identical.

En una configuración,In a configuration,

- el identificador es cifrado (por ejemplo desde la baliza);- the identifier is encrypted (for example from the beacon);

- el identificador es descifrado desde el vehículo vehículo ferroviario,- the identifier is decrypted from the vehicle rail vehicle,

- el vehículo ferroviario, mediante la información, determina otro identificador y compara el identificador descifrado con el otro identificador,- the railway vehicle, using the information, determines another identifier and compares the decrypted identifier with the other identifier,

- la verificación del identificador ha sido exitosa en el caso de que el identificador descifrado y el otro identificador sean idénticos.- the identifier verification has been successful in the case that the decrypted identifier and the other identifier are identical.

Una forma de ejecución alternativa consiste en que para el cifrado y para el descifrado se utilice un procedimiento de cifrado simétrico o asimétrico. An alternative embodiment is that a symmetric or asymmetric encryption procedure is used for encryption and decryption.

En otra configuración, mediante el identificador, el vehículo ferroviario determina qué tipo de verificación del identificador debe realizarse.In another configuration, by means of the identifier, the rail vehicle determines what kind of verification of the identifier should be performed.

Por ejemplo, el identificador puede presentar un valor para la identificación del identificador, por ejemplo en forma de un patrón de bits, mediante el cual puede determinarse que el mismo se trata de un identificador. El identificador puede presentar también un valor para la identificación del tipo de identificador, de modo que puede determinarse mediante qué algoritmo puede verificarse el identificador. El valor para la identificación del identificador y/o el valor para la identificación del tipo de identificador pueden estar codificados en un patrón de bits. El patrón de bits, por ejemplo, puede formar parte del identificador, como cabecera o similares, o también puede transmitirse separado del identificador.For example, the identifier can have a value for identifying the identifier, for example in the form of a bit pattern, by which it can be determined that it is an identifier. The identifier may also have a value for identifying the type of identifier, so that it can be determined by which algorithm the identifier can be verified. The value for identifying the identifier and / or the value for identifying the type of identifier may be encoded in a bit pattern. The bit pattern, for example, can be part of the identifier, such as header or the like, or it can also be transmitted separately from the identifier.

Las ejecuciones, así como las características que hacen referencia al procedimiento antes explicado aplican para las siguientes reivindicaciones, en particular para las categorías de reivindicaciones, de modo correspondiente.The executions, as well as the characteristics that refer to the procedure explained above, apply to the following claims, in particular to the categories of claims, correspondingly.

El objeto se soluciona también mediante un procedimiento para verificar un identificador proporcionado desde una baliza,The object is also solved by a procedure to verify an identifier provided from a beacon,

- en el cual un ordenador del vehículo, de un vehículo ferroviario, recibe el identificador y una información desde la baliza,- in which a vehicle computer, of a railway vehicle, receives the identifier and information from the beacon,

- de manera que mediante el identificador se verifica la autenticidad de la baliza, por el ordenador del vehículo. En una configuración, en el caso de una verificación exitosa del identificador, la información se utiliza para el funcionamiento del vehículo ferroviario.- so that by means of the identifier the authenticity of the beacon is verified by the vehicle's computer. In one configuration, in the case of a successful verification of the identifier, the information is used for the operation of the rail vehicle.

Además, en una configuración, el identificador se recibe en un bloque 44 de la implementación ETCS, conforme a UNISIG.Furthermore, in one configuration, the identifier is received in a block 44 of the ETCS implementation, according to UNISIG.

Además, el objeto se soluciona mediante un procedimiento para proporcionar un identificador mediante una baliza, - en el cual se crea un identificador en base a una información,In addition, the object is solved by means of a procedure to provide an identifier by means of a beacon, - in which an identifier is created based on information,

- en el cual el identificador y la información se proporcionan a un vehículo ferroviario al pasar por la baliza,- in which the identifier and information are provided to a railway vehicle when passing the beacon,

- de manera que mediante el identificador puede verificarse la autenticidad de la baliza, por el vehículo ferroviario. De manera adicional, el objeto se soluciona mediante un equipamiento de línea ETCS- so that by means of the identifier, the authenticity of the beacon can be verified by the railway vehicle. In addition, the object is solved by an ETCS line equipment

- con al menos una baliza,- with at least one beacon,

- donde al menos una baliza está configurada de modo que al ser pasada por un vehículo ferroviario proporciona un identificador y una información, donde el identificador fue creado en base a la información, de modo que mediante el identificador se verifica la autenticidad de la baliza, por el vehículo ferroviario.- where at least one beacon is configured so that when passed by a railway vehicle it provides an identifier and information, where the identifier was created based on the information, so that the authenticity of the beacon is verified by the identifier, by rail vehicle.

En un perfeccionamiento, el identificador puede determinarse mediante una función hash (o función hash) criptográfica y el identificador puede almacenarse en un bloque 44 de la implementación ETCS, conforme a UNISIG. El objeto se soluciona también mediante un vehículo ferroviario con un ordenador del vehículo, el cual está configurado de manera queIn an improvement, the identifier can be determined by a cryptographic hash function (or hash function) and the identifier can be stored in a block 44 of the ETCS implementation, according to UNISIG. The object is also solved by a rail vehicle with a vehicle computer, which is configured so that

- el identificador y una información son recibidos desde la baliza,- the identifier and information are received from the beacon,

- mediante el identificador se verifica la autenticidad de la baliza, por el vehículo ferroviario.- by means of the identifier, the authenticity of the beacon is verified by the railway vehicle.

El ordenador del vehículo mencionado puede estar realizado en particular como una unidad de procesador y/o como una disposición de conmutación al menos cableada de forma fija o lógica, la cual por ejemplo está configurada de modo que el procedimiento puede realizarse del modo aquí descrito. El ordenador del vehículo mencionado puede ser o comprender cualquier clase de procesador, ordenador o computadora con la periferia necesaria correspondiente (memorias, interfaces de entrada/salida, aparatos de entrada-salida). El ordenador del vehículo puede formar parte de una unidad de control del vehículo ferroviario. The computer of the aforementioned vehicle can be realized in particular as a processor unit and / or as an at least hard-wired or logically wired switching arrangement, which for example is configured in such a way that the procedure can be carried out in the manner described herein. The aforementioned vehicle computer can be or comprise any kind of processor, computer or computer with the corresponding necessary periphery (memories, input / output interfaces, input-output devices). The vehicle computer can be part of a control unit of the railway vehicle.

El objeto antes mencionado se soluciona también mediante un sistema de que comprende al menos uno de los dispositivos aquí descritos.The aforementioned object is also solved by a system comprising at least one of the devices described here.

Las propiedades, características y ventajas de esta invención, antes descritas, así como el modo de alcanzarlas, se aclaran de forma más comprensible con relación a la siguiente descripción esquemática de ejemplos de ejecución que se explican en detalle con relación a los dibujos. Con el fin de una mayor claridad, los elementos idénticos o que actúan del mismo modo pueden estar provistos de los mismos símbolos de referencia.The properties, characteristics and advantages of this invention, described above, as well as the way to achieve them, are clarified in a more understandable way with reference to the following schematic description of exemplary embodiments that are explained in detail with reference to the drawings. For the sake of clarity, elements that are identical or that act in the same way may be provided with the same reference symbols.

Muestran:They show:

Figura 1: un diagrama a modo de ejemplo, el cual comprende un vehículo ferroviario con un ordenador del vehículo que está conectado a una antena de balizas, donde el vehículo ferroviario se desplaza sobre una línea, en dirección de dos balizas;Figure 1: An exemplary diagram, which comprises a rail vehicle with a vehicle computer that is connected to a beacon antenna, where the rail vehicle travels on a line, in the direction of two beacons;

Figura 2: un diagrama secuencial, a modo de ejemplo, de una comunicación entre la baliza y el ordenador del vehículo, del vehículo ferroviario.Figure 2: a sequential diagram, by way of example, of a communication between the beacon and the vehicle computer of the railway vehicle.

Cabe señalar que el vehículo ferroviario (denominado también como "tren"), presenta al menos uno, en particular al menos dos vagones, donde los vagones pueden tratarse de una unidad de tracción, de un vagón de pasajeros, de un vagón de carga o de una combinación de compartimentos o funciones de esa clase. La unidad de tracción presenta una cabina del conductor (denominada también como puesto de mando), y puede estar realizada con o sin accionamiento. La unidad de tracción en particular puede ser una locomotora. Cada vagón del vehículo ferroviario puede estar equipado con un ordenador del vehículo; si el ordenador del vehículo (eventualmente con la interfaz de comunicaciones móvil), proporciona una función ETCS, el mismo puede denominarse eventualmente como vagón ETCS. En principio es posible que sólo las unidades de tracción presenten en cada caso un ordenador del vehículo (eventualmente con la interfaz de comunicaciones móvil), así como que también los vagones individuales que no sean unidades de tracción presenten ordenadores del vehículo de esa clase (eventualmente con la interfaz de comunicaciones móvil).It should be noted that the railway vehicle (also known as "train"), has at least one, in particular at least two wagons, where the wagons can be a traction unit, a passenger car, a freight car or of a combination of compartments or functions of that kind. The traction unit has a driver's cab (also known as a control station), and can be made with or without a drive. The particular traction unit can be a locomotive. Each wagon of the rail vehicle may be equipped with a vehicle computer; If the vehicle's computer (possibly with the mobile communication interface) provides an ETCS function, it can possibly be referred to as an ETCS wagon. In principle, it is possible that only the traction units each have a vehicle computer (possibly with the mobile communication interface), as well as that individual wagons that are not traction units also have vehicle computers of this class (possibly with the mobile communication interface).

La solución aquí propuesta posibilita en particular una transmisión protegida de información, relevante en cuanto a la seguridad, hacia el vehículo ferroviario, por ejemplo desde una baliza hacia el vehículo ferroviario.The solution proposed here enables in particular a protected transmission of safety-relevant information to the railway vehicle, for example from a beacon to the railway vehicle.

Por ejemplo, para ello puede utilizarse un así llamado paquete 44 de la implementación ETCS conforme a UNISIG (SUBSET-026-7), para transmitir un mensaje protegido (por ejemplo desde la baliza), hacia el ordenador del vehículo, del vehículo ferroviario. De este modo, el paquete 44 permite la transferencia transparente de (cualquier) información. El mensaje protegido, de este modo, puede transmitirse en el paquete 44.For example, a so-called packet 44 of the UNISIG-compliant ETCS implementation (SUBSET-026-7) can be used for this to transmit a protected message (eg from the beacon) to the vehicle computer of the railway vehicle. Thus, the packet 44 allows the transparent transfer of (any) information. The protected message can thus be transmitted in packet 44.

El mensaje protegido se trata por ejemplo de un identificador. El identificador puede comprenden por ejemplo al menos una de las siguientes posibilidades (valores, así como datos):The protected message is, for example, an identifier. The identifier can comprise for example at least one of the following possibilities (values, as well as data):

- datos cifrados;- encrypted data;

- datos no cifrados;- unencrypted data;

- datos que fueron determinados en base a una función hash, en particular en base a una función hash criptográfica; - datos que fueron determinados en base a un algoritmo MD4;- data that was determined on the basis of a hash function, in particular on the basis of a cryptographic hash function; - data that were determined based on an MD4 algorithm;

- una firma;- A sign;

- un certificado;- a certificate;

- un valor para la identificación del identificador;- a value for the identification of the identifier;

- un valor para la identificación de un tipo del identificador.- a value for the identification of a type of the identifier.

Por ejemplo, el identificador puede determinarse en base a una función hash criptográfica. Ejemplos de funciones hash criptográficas son los así llamados algoritmos hash de mensajes, por ejemplo "MD2" o "MD4" (véase por ejemplo RFC 1320 del Network Working Group, http://tools.ietf.org/html/rfc1320).For example, the identifier can be determined based on a cryptographic hash function. Examples of cryptographic hash functions are so-called message hashing algorithms, for example "MD2" or "MD4" (see for example Network Working Group RFC 1320, http://tools.ietf.org/html/rfc1320).

El identificador puede estar incorporado en el paquete 44 y, junto con otra información, puede transmitirse como parte del mensaje de la baliza, desde la baliza hacia el ordenador del vehículo, del vehículo ferroviario. Mediante el identificador, el ordenador del vehículo puede autentificar la baliza, es decir, determinar si la información obtenida proviene de la baliza proporcionada para ello.The identifier may be embedded in the packet 44 and, along with other information, may be transmitted as part of the beacon message, from the beacon to the vehicle computer of the rail vehicle. Through the identifier, the vehicle's computer can authenticate the beacon, that is, determine if the information obtained comes from the beacon provided for it.

Gracias a esto, los mensajes pueden protegerse adicionalmente contra manipulaciones intencionales de datos (en particular contra los así llamados ataques de intermediario, véase por ejemplo http://de.wikipedia.org/wiki/Man-inthe-Middle-Angriff).Thanks to this, messages can be further protected against intentional data manipulations (in particular against so-called man-in-the-middle attacks, see for example http://de.wikipedia.org/wiki/Man-inthe-Middle-Angriff).

El identificador puede comprender también el valor de una función hash. La función hash (denominada también como función de valor de dispersión) es una representación que representa un conjunto de entrada de gran tamaño (las claves) en un conjunto-diana más reducido (los valores hash). La función hash no es forzosamente inyectiva. En particular, el conjunto de entrada puede contener también elementos con diferentes longitudes, mientras que los elementos del conjunto-diana presentan en particular una longitud fija. Una así llamada colisión se produce entonces cuando a diferentes datos de entrada se asocia el mismo valor hash.The identifier can also comprise the value of a hash function. The hash function (also known as the hash value function) is a representation that represents a large input set (the keys) into a smaller target-set (the hashes). The hash function is not necessarily injective. In particular, the input set can also contain elements with different lengths, while the elements of the target-set have in particular a fixed length. A so-called collision then occurs when different input data is associated with the same hash value.

El identificador puede comprender también el valor de una función hash criptográfica (denominada también como función hash criptológica (véase http://de.wikipedia. org/wiki/Kryptologische_Hashfunktion). En este caso se trata de una forma especial de la función hash, la cual es resistente a colisiones y/o es una función unidireccional. La función unidireccional, de forma teórica, puede calcularse "fácilmente" en cuanto su complejidad, pero es "difícil" de invertir. Las funciones unidireccionales también son funciones para las cuales hasta el momento no es conocida ninguna inversión que pueda realizarse de forma práctica en un tiempo adecuado.The identifier may also comprise the value of a cryptographic hash function (also called a cryptological hash function (see http: //de.wikipedia. Org / wiki / Kryptologische_Hashfunktion). In this case it is a special form of the hash function, which is resistant to collisions and / or is a unidirectional function. The unidirectional function, theoretically, can be calculated "easily" in terms of its complexity, but it is "difficult" to invert. The unidirectional functions are also functions for which up to At the moment, no investment is known that can be made in a practical way in an adequate time.

Existen funciones hash criptográficas sin clave y funciones hash criptográficas que dependen de claves.There are keyless cryptographic hash functions and key-dependent cryptographic hash functions.

También es posible que el identificador comprenda una firma digital. Una firma digital, también un procedimiento de firma digital, es un criptosistema asimétrico, en el cual un emisor, con la ayuda de una clave de firma secreta (la clave privada), para un mensaje digital (es decir, cualquier dato deseado), calcula un valor que igualmente se denomina como firma digital. Ese valor permite a cualquiera verificar la integridad del mensaje, con la ayuda de la clave de verificación pública (la clave pública) (véase http://de.wikipedia.org/wiki/ Digitale_Signatur).It is also possible that the identifier comprises a digital signature. A digital signature, also a digital signature procedure, is an asymmetric cryptosystem, in which an issuer, with the help of a secret signature key (the private key), for a digital message (that is, any desired data), calculates a value that is also called a digital signature. This value allows anyone to verify the integrity of the message, with the help of the public verification key (the public key) (see http://de.wikipedia.org/wiki/ Digitale_Signatur).

Por ejemplo, de este modo el ordenador del vehículo, mediante la clave pública de la baliza, puede verificar el mensaje de la baliza (o una parte del mensaje de la baliza). Para el cifrado, la baliza usa su clave de firma secreta, la cual preferentemente está almacenada en la baliza del modo más seguro posible contra manipulaciones y sólo puede ser usada por la propia baliza.For example, in this way the vehicle's computer, by means of the public key of the beacon, can verify the beacon message (or a part of the beacon message). For encryption, the beacon uses its secret signature key, which is preferably stored in the beacon in the safest possible way against tampering and can only be used by the beacon itself.

Una posibilidad consiste en almacenar en el paquete 44 un valor hash del mensaje o una parte del mensaje, y en transmitirlo al ordenador del vehículo, del vehículo ferroviario. El ordenador del vehículo determina ahora un valor hash en base al mensaje o una parte del mensaje, y compara ese valor hash con el valor hash recibido en el paquete 44. Si los dos valores hash son idénticos se supone que el mensaje no fue manipulado de forma intencional.One possibility consists in storing in the packet 44 a hash value of the message or a part of the message, and in transmitting it to the computer of the vehicle, of the railway vehicle. The vehicle's computer now determines a hash value based on the message or a part of the message, and compares that hash value with the hash value received in packet 44. If the two hashes are identical it is assumed that the message was not tampered with. intentional way.

Una posibilidad alternativa consiste en que la baliza marque el valor hash de la información que debe transmitirse (por tanto de forma cifrada con la clave privada de la baliza), y que el identificador se almacene en el paquete 44. La información y el identificador (por ejemplo como mensaje), se transmiten al ordenador del vehículo, del vehículo ferroviario. El ordenador del vehículo determina ahora un valor hash en base a la información y decodifica el identificador mediante la clave pública de la baliza (la misma opcionalmente también puede ser transmitida desde la baliza). El valor hash determinado por el ordenador del vehículo se compara con el valor hash creado por la baliza; si los dos son idénticos, entonces el identificador se ha verificado de forma exitosa; la información proporcionada por la baliza puede utilizarse o procesarse de modo posterior, de modo correspondiente.An alternative possibility is for the beacon to mark the hash value of the information to be transmitted (therefore in encrypted form with the beacon's private key), and for the identifier to be stored in packet 44. The information and identifier ( for example as a message), are transmitted to the computer of the vehicle, of the railway vehicle. The vehicle's computer now determines a hash value based on the information and decodes the identifier using the public key of the beacon (this can optionally also be transmitted from the beacon). The hash value determined by the vehicle's computer is compared with the hash value created by the beacon; if the two are identical, then the identifier has been verified successfully; the information provided by the beacon can be used or further processed accordingly.

Por ejemplo, en el paquete 44 puede estar contenida una marcación, por ejemplo en forma de una combinación de bits, la cual indica al ordenador del vehículo, del vehículo ferroviario, si el paquete 44 puede utilizarse para la verificación o la autenticación del mensaje. Si es ése el caso, por ejemplo pude tener lugar uno de los controles (verificaciones) antes explicados. En cambio, si el paquete 44 está vacío o no presenta ninguna de eventualmente una pluralidad de combinaciones de bits predeterminadas, entonces no tiene lugar una verificación en base a los datos del paquete 44. Ese principio, de este modo, también es compatible con otras posibilidades de utilización del paquete 44.For example, package 44 may contain a marking, eg in the form of a combination of bits, which indicates to the vehicle's computer of the rail vehicle whether package 44 can be used for message verification or authentication. If that is the case, for example one of the controls (verifications) explained above may take place. On the other hand, if the packet 44 is empty or does not present any of possibly a plurality of predetermined combinations of bits, then a verification does not take place based on the data of the packet 44. This principle, thus, is also compatible with other possibilities of use of the package 44.

También es una opción que, dependiendo del caso de aplicación, pueda exigirse que se autentifique cada baliza. En un caso de esa clase puede estar proporcionado al menos un campo de datos que se utiliza para transmitir el identificador, de modo que mediante el identificador puede autentificarse la baliza emisora. Si no puede verificarse una baliza, entonces puede realizarse una acción adecuada, la cual por ejemplo comprende una de las siguientes posibilidades: emisión de un aviso de advertencia, pasaje del sistema y/o de al menos un vehículo ferroviario a un estado seguro (por ejemplo detención), monitoreo y eventualmente mantenimiento de la baliza, etc. It is also an option that, depending on the application case, each beacon may be required to be authenticated. In such a case, at least one data field can be provided which is used to transmit the identifier, so that the emitting beacon can be authenticated by the identifier. If a beacon cannot be verified, then an appropriate action can be taken, which for example comprises one of the following possibilities: issuance of a warning notice, transfer of the system and / or of at least one rail vehicle to a safe state (for example detention), monitoring and eventually maintenance of the beacon, etc.

Otra opción consiste en que una combinación de bits de esa clase en el paquete 44 puede presentar diferentes valores, de los cuales a cada uno se encuentra asociado una clase de verificación determinada. Por ejemplo, una combinación de bits predeterminada puede indicar que en el paquete 44 fue almacenado un valor hash; además, mediante el valor de la combinación de bits puede estar predeterminado qué función hash fue utilizada para crear el valor hash. Además, otro valor de la combinación de bits puede indicar que está almacenada una firma electrónica, o según qué algoritmo fue generada la firma electrónica.Another option is that a combination of bits of that class in packet 44 can have different values, of which a specific verification class is associated with each one. For example, a predetermined bit combination may indicate that a hash value was stored in packet 44; furthermore, by the value of the bit combination it can be predetermined which hash function was used to create the hash value. Furthermore, another value of the bit combination may indicate that an electronic signature is stored, or according to which algorithm the electronic signature was generated.

La utilización del paquete 44 para la transferencia transparente de datos que pueden utilizarse para verificar el mensaje sólo debe entenderse como un ejemplo. En principio es posible utilizar otros campos de datos o campos de datos adicionales para transmitir la información relevante para la verificación aquí descrita, desde un emisor hacia el ordenador del vehículo, del vehículo ferroviario. La transmisión de los datos puede tener lugar por ejemplo de forma inalámbrica (por ejemplo mediante radio, mediante comunicación de campo próximo, mediante una red de telecomunicaciones, etc.) o por cables.The use of packet 44 for the transparent transfer of data that can be used to verify the message should only be understood as an example. In principle, it is possible to use other data fields or additional data fields to transmit the relevant information for the verification described here, from a transmitter to the vehicle computer of the railway vehicle. Transmission of the data can take place for example wirelessly (for example by radio, by near field communication, by a telecommunications network, etc.) or by cables.

La figura 1 muestra un diagrama a modo de ejemplo, el cual comprende un vehículo ferroviario 101 con un ordenador del vehículo 102 que está conectado a una antena de balizas 103. El vehículo ferroviario 101 se desplaza sobre una línea 104, en una dirección de circulación 105. En la dirección de circulación 105, el vehículo ferroviario 101 pasa primero por una baliza 106, después por una baliza 107.Figure 1 shows an exemplary diagram, which comprises a rail vehicle 101 with a vehicle computer 102 that is connected to a beacon antenna 103. The rail vehicle 101 travels on a line 104, in a direction of travel 105. In the direction of travel 105, the railway vehicle 101 passes first a beacon 106, then a beacon 107.

Las balizas 106 y 107 se tratan por ejemplo de euro-balizas, donde por ejemplo la baliza 106 es una baliza de datos transparentes y la baliza 107 es una baliza de datos fijos (véase http://de.wikipedia. org/wiki/Eurobalise).Beacons 106 and 107 are for example Euro-beacons, where for example beacon 106 is a transparent data beacon and beacon 107 is a fixed data beacon (see http: //de.wikipedia. Org / wiki / Eurobalise).

La baliza de datos trasparentes (Transparent Data Balise o Controllable Balise - baliza controlable) está conectada, por ejemplo con un cable, a una unidad electrónica del lado de la línea (LEU, Lineside Electronic Unit). La unidad LEU transmite a la baliza el mensaje que respectivamente debe transferirse.The transparent data beacon (Transparent Data Balise or Controllable Balise - controllable beacon) is connected, for example with a cable, to a line-side electronic unit (LEU, Lineside Electronic Unit). The LEU unit transmits to the beacon the message to be transferred respectively.

Cabe señalar en este punto que el término baliza comprende aquí también una pluralidad de balizas proporcionadas unas detrás de otras, de un así llamado grupo de balizas.It should be noted at this point that the term beacon here also comprises a plurality of beacons provided one behind the other, of a so-called group of beacons.

Al pasar por la respectiva baliza, la baliza 106 y/o la baliza 107, mediante la antena de balizas 103 y el ordenador del vehículo 102, proporciona al vehículo ferroviario 101 un mensaje (de balizas) que presenta un campo de datos (por ejemplo en forma del paquete 44 antes descrito), en el cual está contenido por ejemplo el identificador. Mediante el campo de datos es posible verificar la integridad o la autenticidad de los datos contenidos. De este modo, en particular puede asegurarse que la información provenga efectivamente de la baliza 106 y/o 107, y que no haya sido falsificada.As it passes the respective beacon, beacon 106 and / or beacon 107, via beacon antenna 103 and vehicle computer 102, provides rail vehicle 101 with a (beacon) message presenting a data field (for example in the form of the packet 44 described above), in which the identifier is contained for example. Through the data field it is possible to verify the integrity or authenticity of the contained data. In this way, in particular it can be ensured that the information actually comes from beacon 106 and / or 107, and that it has not been falsified.

Preferentemente, la respectiva baliza 106, así como 107, está realizada de modo que desde el exterior no pueda lograrse un acceso a un área de memoria segura o que el mismo sólo pueda lograrse con una inversión muy elevada. En un área de memoria asegurada de ese modo puede estar almacenada una clave privada que se utiliza para crear la firma. De manera preferente, esa clave debe asegurarse de forma adecuada frente a accesos desde el exterior.Preferably, the respective beacon 106, as well as 107, is made in such a way that access to a secure memory area cannot be achieved from the outside or that it can only be achieved with a very high investment. A private key that is used to create the signature may be stored in an area of memory thus secured. Preferably, this key must be adequately secured against access from outside.

Una opción consiste en que la baliza, en el mensaje (por ejemplo en el campo de datos o en el paquete 44), transmita también la clave pública de la baliza (denominada también como clave de verificación pública o certificado). Preferentemente, el vehículo ferroviario puede verificar si la clave pública cuadra con la posición de la baliza. Preferentemente, sólo entonces y sólo cuando la verificación de los datos ha sido exitosa, los datos del mensaje son procesados de forma posterior por el ordenador del vehículo, del vehículo ferroviario.One option is for the beacon, in the message (for example in the data field or in the packet 44), to also transmit the public key of the beacon (also referred to as the public verification key or certificate). Preferably, the rail vehicle can verify if the public key matches the position of the beacon. Preferably, only then and only when the data verification has been successful, the message data is further processed by the vehicle computer of the rail vehicle.

La figura 2 muestra un diagrama secuencial, a modo de ejemplo, de una comunicación entre la baliza 106, 107 y el ordenador del vehículo 102, del vehículo ferroviario 101.Figure 2 shows a sequential diagram, by way of example, of a communication between beacon 106, 107 and the vehicle computer 102, of the rail vehicle 101.

En un paso 201, la baliza 106, 107 crea el mensaje o recibe desde la unidad LEU el mensaje que debe retransmitirse. En una etapa 202, la baliza crea un valor hash mediante una función hash criptográfica (por ejemplo MD4) y almacena el valor hash en el paquete 44 de la implementación ETCS conforme a UNISIG (SUbSeT-026-7). En una etapa 203, el mensaje se transmite desde la baliza 106, 107 hacia el ordenador del vehículo 102. El ordenador del vehículo 102, mediante el mensaje (en base a datos predeterminados del mensaje, por ejemplo todos los datos sin el paquete 44), en una etapa 202, determina un valor hash mediante una función hash criptográfica, que también fue utilizada por la baliza 106, 107. En una etapa 205, el ordenador del vehículo 102 compara el valor hash determinado con el valor hash leído desde el paquete 44. Si los dos valores hash son idénticos, entonces se supone que los datos del mensaje no fueron falsificados y se inicia una acción (por ejemplo un control del vehículo ferroviario 101) en base a esos datos. Si los dos valores hash no fueran idénticos, entonces puede mostrarse un aviso de error, por ejemplo al vehículo ferroviario y/o a un puesto de maniobra. En particular, en ese caso el funcionamiento del vehículo ferroviario puede pasarse a un estado seguro, y a continuación puede controlarse si la baliza 106, 107 se encuentra defectuosa o si ha tenido lugar un intento de manipulación. In a step 201, the beacon 106, 107 creates the message or receives from the LEU unit the message to be retransmitted. In a step 202, the beacon creates a hash value using a cryptographic hash function (eg MD4) and stores the hash value in packet 44 of the ETCS implementation according to UNISIG (SUbSeT-026-7). In a step 203, the message is transmitted from the beacon 106, 107 to the vehicle's computer 102. The vehicle's computer 102, via the message (based on predetermined data from the message, for example all data without the packet 44) , in a step 202, it determines a hash value by means of a cryptographic hash function, which was also used by the beacon 106, 107. In a step 205, the vehicle's computer 102 compares the determined hash value with the hash value read from the packet 44. If the two hash values are identical, then it is assumed that the data in the message was not forged and an action is initiated (eg a check of the rail vehicle 101) based on that data. If the two hash values are not identical, then an error message can be displayed, for example to the railway vehicle and / or to a maneuvering station. In particular, in that case the operation of the railway vehicle can be switched to a safe state, and then it can be checked whether the beacon 106, 107 is found to be defective or whether a tampering attempt has taken place.

Si bien la invención fue ilustrada y descrita en detalle mediante al menos un ejemplo de ejecución mostrado, la invención no está limitada al mismo y el experto puede deducir de éste otras variaciones, sin abandonar el alcance de protección de la invención, que está definido por las reivindicaciones. Although the invention was illustrated and described in detail by means of at least one exemplary embodiment shown, the invention is not limited thereto and the skilled person can deduce other variations from it, without abandoning the scope of protection of the invention, which is defined by The claims.

Claims (17)

REIVINDICACIONES 1. Procedimiento para el funcionamiento de un vehículo ferroviario (101),1. Procedure for the operation of a railway vehicle (101), - en el cual una información para el funcionamiento del vehículo ferroviario (101) y un identificador se transmiten desde una baliza (106, 107) hacia un ordenador del vehículo (102) del vehículo ferroviario (101),- in which information for the operation of the railway vehicle (101) and an identifier are transmitted from a beacon (106, 107) to a vehicle computer (102) of the railway vehicle (101), - de manera que mediante el identificador se verifica la autenticidad de la baliza (106, 107), por el vehículo ferroviario (101),- so that by means of the identifier the authenticity of the beacon (106, 107) is verified by the railway vehicle (101), - en el cual, en el caso de una verificación exitosa del identificador, la información se utiliza para el funcionamiento del vehículo ferroviario (101).- in which, in the case of a successful verification of the identifier, the information is used for the operation of the railway vehicle (101). 2. Procedimiento según la reivindicación 1, en el cual la información no se utiliza en el caso de que la verificación del identificador no haya sido exitosa.Method according to claim 1, in which the information is not used in the event that the verification of the identifier has not been successful. 3. Procedimiento según la reivindicación 1, en el cual la información no se utiliza en el caso de que se haya detectado el identificador y la verificación no haya sido exitosa.3. Method according to claim 1, in which the information is not used in the event that the identifier has been detected and the verification has not been successful. 4. Procedimiento según una de las reivindicaciones precedentes, en el cual el vehículo ferroviario pasa a un estado seguro en el caso de que la verificación del identificador no haya sido exitosa.Method according to one of the preceding claims, in which the railway vehicle goes into a safe state in the event that the verification of the identifier has not been successful. 5. Procedimiento según una de las reivindicaciones precedentes, en el cual el identificador comprende al menos una de las siguientes posibilidades:Method according to one of the preceding claims, in which the identifier comprises at least one of the following possibilities: - datos cifrados;- encrypted data; - datos no cifrados;- unencrypted data; - datos que fueron determinados en base a una función hash, en particular en base a una función hash criptográfica; - datos que fueron determinados en base a un algoritmo MD4;- data that was determined on the basis of a hash function, in particular on the basis of a cryptographic hash function; - data that were determined based on an MD4 algorithm; - una firma;- A sign; - un certificado;- a certificate; - un valor para la identificación del identificador;- a value for the identification of the identifier; - un valor para la identificación de un tipo del identificador.- a value for the identification of a type of the identifier. 6. Procedimiento según una de las reivindicaciones precedentes, en el cual el identificador se transmite en un bloque 44 de la implementación ETCS conforme a UNISIG.Method according to one of the preceding claims, in which the identifier is transmitted in a block 44 of the ETCS implementation according to UNISIG. 7. Procedimiento según una de las reivindicaciones precedentes,7. Method according to one of the preceding claims, - en el cual el identificador es verificado por el vehículo ferroviario (101) determinando otro identificador mediante la información y comparando el identificador con el otro identificador,- in which the identifier is verified by the railway vehicle (101) determining another identifier through the information and comparing the identifier with the other identifier, - en el cual la verificación del identificador ha sido exitosa en el caso de que el identificador y el otro identificador sean idénticos.- in which the verification of the identifier has been successful in the case that the identifier and the other identifier are identical. 8. Procedimiento según una de las reivindicaciones 1 a 6,8. Method according to one of claims 1 to 6, - en el cual se cifra el identificador,- in which the identifier is encrypted, - en el cual el identificador es descifrado por el vehículo ferroviario (101),- in which the identifier is decrypted by the railway vehicle (101), - en el cual el vehículo ferroviario (101), mediante la información, determina otro identificador y compara el identificador descifrado con el otro identificador, - in which the railway vehicle (101), by means of the information, determines another identifier and compares the decrypted identifier with the other identifier, - en el cual la verificación ha sido exitosa en el caso de que el identificador descifrado y el otro identificador sean idénticos.- in which the verification has been successful in the case that the decrypted identifier and the other identifier are identical. 9. Procedimiento según la reivindicación 8, en el cual para el cifrado y el descifrado se utiliza un procedimiento de cifrado simétrico o asimétrico.Method according to claim 8, in which a symmetric or asymmetric encryption method is used for encryption and decryption. 10. Procedimiento según una de las reivindicaciones precedentes, en el cual, mediante el identificador, el vehículo ferroviario (101) determina qué clase de verificación del identificador debe realizarse.Method according to one of the preceding claims, in which, by means of the identifier, the railway vehicle (101) determines what kind of verification of the identifier should be carried out. 11. Procedimiento para verificar un identificador proporcionado por una baliza (106, 107),11. Procedure to verify an identifier provided by a beacon (106, 107), - en el cual un ordenador del vehículo (102) de un vehículo ferroviario (101) recibe el identificador y una información desde la baliza (106, 107),- in which a vehicle computer (102) of a railway vehicle (101) receives the identifier and information from the beacon (106, 107), - de manera que mediante el identificador se verifica la autenticidad de la baliza (106, 107), por el ordenador del vehículo (102).- so that by means of the identifier the authenticity of the beacon (106, 107) is verified by the vehicle's computer (102). 12. Procedimiento según la reivindicación 11, en el cual, en el caso de una verificación exitosa, la información se utiliza para el funcionamiento del vehículo ferroviario.12. Method according to claim 11, in which, in the case of a successful verification, the information is used for the operation of the railway vehicle. 13. Procedimiento según una de las reivindicaciones 11 ó 12, en el cual el identificador se recibe en un bloque 44 de la implementación ETCS conforme a UNISIG.Method according to one of claims 11 or 12, in which the identifier is received in a block 44 of the ETCS implementation according to UNISIG. 14. Procedimiento para proporcionar un identificador mediante una baliza (106, 107),14. Procedure to provide an identifier using a beacon (106, 107), - en el cual se crea un identificador en base a una información,- in which an identifier is created based on information, - en el cual el identificador y la información se proporcionan a un vehículo ferroviario (102, 101) al pasar por la baliza (106, 107),- in which the identifier and the information are provided to a railway vehicle (102, 101) when passing through the beacon (106, 107), - de manera que mediante el identificador se verifica la autenticidad de la baliza (106, 107), por el vehículo ferroviario (101, 102).- so that by means of the identifier the authenticity of the beacon (106, 107) is verified by the railway vehicle (101, 102). 15. Equipamiento de línea ETCS15. ETCS line equipment - con al menos una baliza (106, 107),- with at least one beacon (106, 107), - donde al menos una baliza (106, 107) está configurada de manera que la misma, al ser pasada por un vehículo ferroviario (101), proporciona un identificador y una información, donde el identificador fue creado en base a la información, de manera que el vehículo ferroviario (101) verifica la autenticidad de la baliza (106, 107) mediante el identificador.- where at least one beacon (106, 107) is configured so that it, when passed by a railway vehicle (101), provides an identifier and information, where the identifier was created based on the information, in such a way that the railway vehicle (101) verifies the authenticity of the beacon (106, 107) by means of the identifier. 16. Equipamiento de línea ETCS según la reivindicación, en el cual el identificador puede determinarse mediante una función hash criptográfica, y en el cual el identificador puede almacenarse en un bloque 44 de la implementación ETCS conforme a UNISIG.16. ETCS line equipment according to claim, in which the identifier can be determined by a cryptographic hash function, and in which the identifier can be stored in a block 44 of the ETCS implementation according to UNISIG. 17. Vehículo ferroviario (101) con un ordenador del vehículo (102) que está configurado de manera que17. Rail vehicle (101) with a vehicle computer (102) that is configured so that - el identificador y una información son recibidos desde la baliza (106, 107),- the identifier and information are received from the beacon (106, 107), - mediante el identificador se verifica la autenticidad de la baliza (106, 107), por el vehículo ferroviario (101). - by means of the identifier the authenticity of the beacon (106, 107) is verified by the railway vehicle (101).
ES15725327T 2014-06-27 2015-05-27 Verification of the authenticity of a beacon Active ES2773437T3 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014212516.2A DE102014212516A1 (en) 2014-06-27 2014-06-27 Checking the authenticity of a balise
PCT/EP2015/061697 WO2015197286A1 (en) 2014-06-27 2015-05-27 Checking the authenticity of a balise

Publications (1)

Publication Number Publication Date
ES2773437T3 true ES2773437T3 (en) 2020-07-13

Family

ID=53269481

Family Applications (1)

Application Number Title Priority Date Filing Date
ES15725327T Active ES2773437T3 (en) 2014-06-27 2015-05-27 Verification of the authenticity of a beacon

Country Status (5)

Country Link
EP (1) EP3137363B1 (en)
DE (1) DE102014212516A1 (en)
ES (1) ES2773437T3 (en)
WO (1) WO2015197286A1 (en)
ZA (1) ZA201607726B (en)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016204630A1 (en) * 2016-03-21 2017-09-21 Siemens Aktiengesellschaft Method for transmitting messages in a railway system and railway system
DE102016217190A1 (en) * 2016-09-09 2018-03-15 Siemens Aktiengesellschaft A method of communicating information from a trackside device to a vehicle and means for performing such a method
DE102017209926A1 (en) 2017-06-13 2018-12-13 Siemens Aktiengesellschaft Method for operating a track-bound traffic system
HUE050120T2 (en) * 2017-11-09 2020-11-30 Siemens Mobility S A S System and method for protecting a communication between a balise and a guided vehicle from cross-talk
RU2683704C1 (en) * 2018-03-21 2019-04-01 Открытое Акционерное Общество "Российские Железные Дороги" Important information safe exchange device by the communication channel by the railway transport locomotive and stationary safety devices
RU2692362C1 (en) * 2018-09-20 2019-06-24 Открытое Акционерное Общество "Российские Железные Дороги" Device for data exchange over radio communication channels
RU2695971C1 (en) * 2018-09-20 2019-07-29 Открытое Акционерное Общество "Российские Железные Дороги" System for transmitting critical information over secure radio communication channels
RU2722773C1 (en) * 2019-12-18 2020-06-03 Акционерное общество "Научно-исследовательский и проектно-конструкторский институт информатизации, автоматизации и связи на железнодорожном транспорте" Decentralized system for transmitting critical information over secure radio communication channels
CN114162183B (en) * 2020-09-11 2023-03-14 比亚迪股份有限公司 Train positioning processing method and device and train
DE102021202528A1 (en) 2021-03-16 2022-09-22 Siemens Mobility GmbH Railway engineering device for a railway engineering system and method for its operation

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE59608544D1 (en) * 1995-03-29 2002-02-14 Siemens Schweiz Ag Zuerich Method and communication system for data transmission between two stations
US8689300B2 (en) * 2007-01-30 2014-04-01 The Boeing Company Method and system for generating digital fingerprint
EP2022697B1 (en) * 2007-08-07 2010-02-03 Alstom Ferroviaria S.P.A. Communication system for vehicles particularly railway vehicles or the like and stationary units
ATE506241T1 (en) * 2008-02-11 2011-05-15 Siemens Schweiz Ag METHOD AND DEVICE FOR SAFE ADJUSTMENT OF A ROAD FOR A RAIL VEHICLE
EP2332804B1 (en) * 2009-12-14 2012-06-27 Siemens Schweiz AG Testing of waypoints for vehicular ETCS systems

Also Published As

Publication number Publication date
ZA201607726B (en) 2018-04-25
DE102014212516A1 (en) 2015-12-31
EP3137363A1 (en) 2017-03-08
WO2015197286A1 (en) 2015-12-30
EP3137363B1 (en) 2019-12-04

Similar Documents

Publication Publication Date Title
ES2773437T3 (en) Verification of the authenticity of a beacon
ES2642673T3 (en) System and procedure for key management of a train protection system
Demba et al. Vehicle-to-vehicle communication technology
US7742603B2 (en) Security for anonymous vehicular broadcast messages
JP2014078911A (en) On-vehicle communication system
ES2716141T3 (en) Procedure and device for determining a signal aspect for a railway vehicle
US9705679B2 (en) Data authentication device and data authentication method
CN112385177B (en) Secure vehicle communication
US10887111B2 (en) Verification method, verification apparatus, and storage medium including program stored therein
CN104429042A (en) Certificate-based control unit key fob pairing
CN105637803A (en) On-vehicle network system, fraud-detection electronic control unit, and method for tackling fraud
JP6523143B2 (en) Data distribution device, communication system, mobile unit and data distribution method
JP6239469B2 (en) On-board equipment, trains, and signal security systems
Kim et al. Security issues in vehicular networks
CN105792207A (en) Vehicle networking authentication method facing vehicle differentiation
JP6092548B2 (en) Radio system and train control system
Lim et al. Data integrity threats and countermeasures in railway spot transmission systems
JP5724389B2 (en) Communications system
Chothia et al. An attack against message authentication in the ERTMS train to trackside communication protocols
CN113168771A (en) Lane departure apparatus, system and method
JP2009029298A (en) Communication system for train control
JP4861261B2 (en) Inter-vehicle communication system
KR20210142170A (en) security emergency vehicle communication
ES2844126T3 (en) Procedure to provide safe operation of subsystems within a safety critical system
ES2843697T3 (en) Method to secure the exchange of authentication keys and associated key management module