ES2947782T3 - Dispositivos y procedimientos para el funcionamiento de una radiocomunicación móvil con un dispositivo en tierra - Google Patents

Dispositivos y procedimientos para el funcionamiento de una radiocomunicación móvil con un dispositivo en tierra Download PDF

Info

Publication number
ES2947782T3
ES2947782T3 ES18723422T ES18723422T ES2947782T3 ES 2947782 T3 ES2947782 T3 ES 2947782T3 ES 18723422 T ES18723422 T ES 18723422T ES 18723422 T ES18723422 T ES 18723422T ES 2947782 T3 ES2947782 T3 ES 2947782T3
Authority
ES
Spain
Prior art keywords
communication
computer
mobile radio
interface
protection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18723422T
Other languages
English (en)
Inventor
Detlef Kendelbacher
Fabrice Stein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Application granted granted Critical
Publication of ES2947782T3 publication Critical patent/ES2947782T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/42Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Transceivers (AREA)

Abstract

La invención se refiere, entre otras cosas, a un conjunto de comunicación (1) para un vehículo (100) para operar la comunicación de radio móvil con un aparato montado en carril (300), el conjunto de comunicación (1) que tiene una computadora de vehículo (10) y en al menos un aparato de radio móvil (41, 42) para una conexión de radio (F) con el aparato montado sobre carriles (300). De acuerdo con la invención, la computadora del vehículo (10) y el aparato de radio móvil (41, 42) no están conectados entre sí directamente, sino por medio de una computadora de comunicación (20) (NVC) y un dispositivo de protección (31, 42). 32), la computadora de comunicación (20) está conectada a la computadora del vehículo (10) por medio de al menos una interfaz del lado de la computadora (Sr) y al aparato de protección (31, 32) por medio de al menos un dispositivo de protección -interfaz lateral (Ss1, Ss2), y el dispositivo de protección (31, 32) está conectado al al menos un dispositivo de telefonía móvil (41, 42) por medio de una interfaz de dispositivo de telefonía móvil (Sm1, Sm2), la protección- interfaz del lado del aparato (Ss1, Ss2) que difiere de la interfaz del dispositivo de radio móvil (Sm1, Sm2) o se maneja de manera diferente a la interfaz del dispositivo de radio móvil y también se diferencia de la interfaz del lado del ordenador (Sr) o se maneja de manera diferente que el ordenador -interfaz lateral. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Dispositivos y procedimientos para el funcionamiento de una radiocomunicación móvil con un dispositivo en tierra
La invención se refiere a una disposición de comunicación para un vehículo que es adecuada para operar una radiocomunicación móvil con un dispositivo en tierra y presenta un ordenador de vehículo y al menos un dispositivo de radiocomunicación móvil para una conexión de radio con el dispositivo en tierra. Siemens AG ofrece este dispositivo de comunicación para el transporte ferroviario con el nombre de producto “Trainguard”; el dispositivo de comunicación distribuido por Siemens cumple la norma del Sistema Europeo de Control de Trenes (ETCS).
En el documento US 2013/104186 A1, se da a conocer un sistema y un procedimiento para prevenir un ataque a un vehículo conectado en red.
En un sistema europeo de control de trenes, está previsto el uso de servicios de datos orientados a la conexión (CS -circuit switched) y sin conexión (PS - packet switched) para la transmisión de datos entre los dispositivos de control en tierra (RBC - Radio Block Centre) y los vehículos controlados (OBU - On Board Unit). La transmisión de datos mediante GSM-R (R - Railway) y GPRS se realiza a través de redes de radio móviles abiertas de los ferrocarriles. Los datos de control transmitidos tienen responsabilidad de seguridad y están protegidos con procedimientos criptológicos de extremo a extremo.
Además de los errores aleatorios y sistemáticos, las redes abiertas plantean riesgos mediante ataques inteligentes (ciberataques). Tanto la integración de las instalaciones ferroviarias en redes abiertas como el alcance y la complejidad de los ciberataques no han dejado de aumentar desde hace años, lo que se traduce en riesgos crecientes para la seguridad y la disponibilidad de las instalaciones ferroviarias. Por lo tanto, el tema de la seguridad en el sentido de protección contra las amenazas de ataques de piratas informáticos está adquiriendo cada vez más atención e importancia para las instalaciones ferroviarias en red, además de la seguridad clásica de la señalización.
En el caso de las redes móviles basadas en GSM de segunda generación (2G) utilizadas en el ETCS, se conocen numerosas lagunas de seguridad (las llamadas “vulnerabilidades”) potencialmente explotables para ciberataques. Se han desarrollado y difundido herramientas y tecnologías que facilitan la realización de ciberataques. Los conocimientos y las herramientas necesarias suelen ser fáciles de obtener en Internet. Debido a una disminución constante de los precios, prácticamente cualquiera puede obtener herramientas potentes y fáciles de usar para ciberataques a costes moderados.
Las redes GSM-R operan en una banda de frecuencias especial reservada a los ferrocarriles, lo que requiere un equipo terminal especial, pero la red de radio GSM-R es, no obstante, accesible a los ciberataques con la tecnología de hackers disponible hoy en día, de modo que, a pesar del espectro de frecuencias compensado, no existe una protección eficaz contra los hackers y la red ferroviaria debe considerarse una red pública.
Las conexiones de datos manipuladas en el ETCS suelen detectarse mediante la seguridad criptográfica normativa de extremo a extremo, pero esto no protege contra los posibles efectos perturbadores para la explotación de los ciberataques, que pueden causar retrasos y paradas en el tráfico ferroviario.
Además de los ataques a la transmisión de datos críticos para la seguridad, otra amenaza es la intrusión en los ordenadores y equipos de transmisión de las instalaciones ferroviarias. Mediante la manipulación del software del sistema, por ejemplo, introduciendo malware adicional, se puede alterar el funcionamiento y la integridad de los equipos ferroviarios relevantes para la seguridad, poniendo en peligro la seguridad del sistema. La penetración gradual y la toma de control de los componentes de comunicación e informáticos en sistemas ferroviarios complejos, como la unidad de a bordo (OBU) del ETCS, también es una amenaza realista.
El nivel de seguridad alcanzable de un dispositivo ETCS viene determinado en gran medida por la arquitectura del sistema, los protocolos de transmisión, las interfaces, el hardware y el software. Mientras que la arquitectura del sistema, las interfaces y los protocolos de transmisión para la radiocomunicación móvil ETCS están definidos por una norma europea, los fabricantes de equipos ETCS tienen libertad en cuanto al hardware y el software utilizados. En el marco del diseño de hardware y software específico del fabricante, deben tenerse suficientemente en cuenta los requisitos de seguridad, para los que actualmente no existen especificaciones normativas, a fin de poder garantizar la seguridad del producto a lo largo de la vida útil del equipo.
La invención se basa en la tarea de especificar una disposición de comunicación que ofrezca una protección especialmente buena contra el acceso no autorizado, en particular los ciberataques.
Según la invención, esta tarea se resuelve mediante una disposición de comunicación que tiene las características de acuerdo con la reivindicación de patente 1. Las realizaciones ventajosas de la disposición de comunicación según la invención se indican en las subreivindicaciones.
Por consiguiente, se prevé que el ordenador del vehículo y el dispositivo de radiocomunicación móvil no estén conectados directamente entre sí, sino por medio de un ordenador de comunicación y un dispositivo de protección, el ordenador de comunicación esté conectado al ordenador del vehículo a través de al menos una interfaz del lado del ordenador y al dispositivo de protección a través de al menos una interfaz del lado del dispositivo de protección, y el dispositivo de protección esté conectado al menos a un dispositivo de radiocomunicación móvil a través de una interfaz del dispositivo de radiocomunicación móvil, en donde la interfaz del lado del dispositivo de protección difiere de la interfaz del dispositivo de radiocomunicación móvil o se maneja de manera diferente, y también difiere de la interfaz del lado del ordenador o se maneja de manera diferente.
Una ventaja significativa de la disposición de comunicación según la invención es que forma al menos tres zonas de seguridad debido a sus interfaces en cascada, a saber, una primera que comprende el dispositivo de radiocomunicación móvil y el dispositivo de protección, una segunda que comprende el ordenador de comunicación, y una tercera que comprende el ordenador seguro del vehículo. Cada zona y cada transición de zona pueden protegerse individualmente, lo que permite alcanzar un nivel de seguridad global muy elevado.
En una variante de realización preferida, se prevé que el ordenador de comunicación y el dispositivo de protección estén formados cada uno por un dispositivo informático separado, en particular un microordenador separado.
En otra variante de realización preferida está previsto que el dispositivo de protección esté formado por un ordenador virtual dentro de una disposición informática que también forma el ordenador de comunicación.
En otra variante de realización preferida, se prevé que el dispositivo de protección se implemente como software dentro de una disposición informática que también forme el ordenador de comunicación y se forme separando el protocolo de Internet TCP/IP de otros protocolos de comunicación y Euroradio no seguros, por ejemplo, mediante la tecnología NETWORK NAMESPACES, dentro del ordenador de comunicación.
También es ventajoso si la disposición de comunicación presenta un primer y un segundo dispositivo de protección y un primer y un segundo dispositivo de radiocomunicación móvil, el ordenador de comunicación está conectado al primer dispositivo de protección a través de al menos una primera interfaz del lado del dispositivo de protección y está conectado al segundo dispositivo de protección a través de al menos una segunda interfaz del lado del dispositivo de protección y el primer dispositivo de protección está conectado al primer dispositivo de radiocomunicación móvil a través de una primera interfaz del dispositivo de radiocomunicación móvil y el segundo dispositivo de protección está conectado al segundo dispositivo de radiocomunicación móvil a través de una segunda interfaz del dispositivo de radiocomunicación móvil, en donde la primera y la segunda interfaz del lado del dispositivo de protección son diferentes o funcionan de manera diferente de la primera y la segunda interfaz del dispositivo de radiocomunicación móvil y también son diferentes o funcionan de manera diferente de la interfaz del lado del ordenador.
De acuerdo con la invención, la disposición de comunicación es una disposición compatible con ETCS. Por consiguiente, el ordenador de a bordo es un ordenador EVC (European Vital Computer) según la norma ETCS. El ordenador de comunicación no es confiable en términos de señales o, al menos, es menos confiable en términos de señales que el ordenador del vehículo.
De acuerdo con la invención, el o los dispositivos de protección están diseñados de tal manera que las siguientes funciones se operan en forma protegida:
- protocolos de Euroradio no seguros para la radiocomunicación móvil orientada a la conexión, en particular según las normas HDLC, T.70 y/o TP2, y para la radiocomunicación móvil sin conexión, en particular según las normas 3G TS 27.010, PPP y/o TCP/IP,
- protocolos de comunicación de la interfaz de radio móvil respectiva y
- protocolos de comunicación de la interfaz respectiva del lado del dispositivo de protección al ordenador de comunicación.
El ordenador de comunicación está diseñado preferiblemente de tal manera que opera las siguientes funciones:
- funciones de administración y control del dispositivo de protección y del al menos un dispositivo de radiocomunicación móvil, así como
- protocolos de transmisión para el acoplamiento a la interfaz del lado del ordenador y a la interfaz del lado del dispositivo de protección.
El ordenador de comunicación y cada uno de los dispositivos de protección están acoplados preferiblemente a través de tres interfaces lógicas, a saber, una primera interfaz lógica para la transferencia de órdenes de control del ordenador de comunicación al dispositivo de protección respectivo y de mensajes de respuesta del dispositivo de protección respectivo al ordenador de comunicación, una segunda interfaz lógica para el transporte bidireccional de datos de usuario de la aplicación ETCS y una tercera interfaz lógica para el restablecimiento del dispositivo de protección respectivo por el ordenador de comunicación.
El ordenador de comunicación está preferiblemente conectado a cada dispositivo de radiocomunicación móvil a través de una interfaz para restablecer el dispositivo de radiocomunicación móvil conectado al dispositivo de protección respectivo mediante el ordenador de comunicación.
El software que se ejecuta en el o los dispositivos de protección está preferiblemente protegido contra modificaciones no intencionadas, preferiblemente mediante protección de integridad basada en hardware, en particular mediante bits de fusible.
La interfaz o interfaces entre el ordenador de comunicación y el dispositivo o dispositivos de protección están preferiblemente protegidos contra los ciberataques.
También es ventajoso que el reenvío de flujos de datos y las funciones de gestión y control en el ordenador de comunicación estén al menos parcialmente supervisados, plausibilizados y protegidos contra ciberataques, de modo que puedan descubrirse y evitarse los ciberataques contra el al menos un dispositivo de radiocomunicación móvil y/o el al menos un dispositivo de protección en el ordenador de comunicación.
El acoplamiento entre el ordenador de comunicación y el ordenador del vehículo está preferiblemente protegido contra los ciberataques, lo que permite repeler los ciberataques en el ordenador del vehículo.
La invención se refiere, además, a un vehículo, en particular un vehículo ferroviario, equipado con un dispositivo de comunicación como el descrito con anterioridad.
La invención se refiere, además, a un procedimiento para hacer funcionar una radiocomunicación móvil según la reivindicación 14 entre un vehículo y un dispositivo en tierra, en donde el vehículo presenta un ordenador de vehículo y al menos un dispositivo de radiocomunicación móvil para una conexión por radio con el dispositivo en tierra.
De acuerdo con la invención, se prevé que la información no se transmita directamente entre el ordenador del vehículo y el dispositivo de radiocomunicación móvil, sino indirectamente a través de un ordenador de comunicación y al menos un dispositivo de protección, en donde el ordenador de comunicación está conectado al ordenador del vehículo a través de una interfaz del lado del ordenador y al menos un dispositivo de protección a través de una interfaz del lado del dispositivo de protección, y el dispositivo de protección está conectado al menos un dispositivo de radiocomunicación móvil a través de una interfaz del dispositivo de radiocomunicación móvil, y la al menos una interfaz del lado del dispositivo de protección difiere de la interfaz de radio móvil o funciona de manera diferente a esta última y también difiere de la interfaz del lado del ordenador o funciona de manera diferente a esta última.
Con respecto a las ventajas del procedimiento según la invención y con respecto a las realizaciones ventajosas del procedimiento según la invención, se hace referencia a las explicaciones anteriores en relación con la disposición de comunicación según la invención.
Resulta ventajoso que, en caso de ciberataques detectados, el ordenador de comunicación emita una orden de restablecimiento al dispositivo de radiocomunicación móvil afectado y/o al dispositivo de protección afectado, con lo que los bloqueos y disfunciones de estos componentes, por ejemplo, desencadenados por ataques DoS, pueden finalizar en cualquier momento.
También es ventajoso que, en caso de ciberataques detectados en relación con el equipo de radiocomunicación móvil afectado y/o el dispositivo de protección afectado, el ordenador de comunicación genere y almacene mensajes que permitan extraer conclusiones sobre los acontecimientos que han tenido lugar y sus efectos en el vehículo.
Los protocolos de comunicación no seguros para la radiocomunicación móvil ETCS orientada a la conexión y sin conexión se disponen preferiblemente en un entorno informático virtual en el ordenador de comunicación, de modo que se ejecutan desacoplados de las demás funciones en el ordenador de comunicación y pueden ser restablecidos a su estado inicial por el ordenador de comunicación en cualquier momento.
El protocolo de Internet TCP/IP para la radiocomunicación móvil ETCS sin conexión se separa preferiblemente en el ordenador de comunicación, por ejemplo, mediante la tecnología NETWORK NAMESPACES, de modo que se desacopla de las demás funciones en el ordenador de comunicación y se ejecuta en un espacio de direcciones IP aislado y puede ser restablecido a su estado inicial por el ordenador de comunicación en cualquier momento.
La invención se explica más detalladamente a continuación con la ayuda de ejemplos de realizaciones; a título de ejemplo,
Figura 1 muestra un ejemplo de una disposición de comunicación según la invención, en la que los dispositivos de protección se implementan en hardware mediante dispositivos informáticos separados,
Figura 2 muestra un ejemplo de una disposición de comunicación según la invención, en la que los dispositivos de protección están implementados en software en una disposición informática que también forma el ordenador de comunicación y están separados en cuanto a su direccionamiento IP,
Figura 3 muestra un ejemplo de una disposición de comunicación según la invención, en la que los dispositivos de protección se implementan en ordenadores virtuales de una disposición informática que también constituye el ordenador de comunicación, y
Figura 4 muestra un ejemplo de vehículo ferroviario equipado con una disposición de comunicación según las Figuras 1 a 3.
En aras de la claridad, en las Figuras, se utilizan siempre los mismos signos de referencia para componentes idénticos o comparables.
La Figura 1 muestra una disposición 1 de comunicación que comprende un ordenador 10 de a bordo, un ordenador 20 de comunicación, un primer dispositivo 31 de protección, un segundo dispositivo 32 de protección, un primer dispositivo 41 de radio móvil y un segundo dispositivo 42 de radio móvil.
El ordenador 20 de comunicación está en comunicación con el ordenador 10 del vehículo a través de una interfaz Sr del lado del ordenador. Además, el ordenador 20 de comunicación está conectado a los dos dispositivos 31 y 32 de protección a través de una primera interfaz del lado del dispositivo de protección Ss1 con el primer dispositivo 31 de protección y una segunda interfaz del lado del dispositivo de protección Ss2 con el segundo dispositivo 32 de protección.
Cada uno de los dos dispositivos 31 y 32 de protección está conectado a un dispositivo 41 y 42 de radio móvil asociado, respectivamente; la conexión entre el primer dispositivo 31 de protección y el primer dispositivo 41 de radio móvil se basa en una primera interfaz de dispositivo de radiocomunicación móvil Sm1 y la conexión entre el segundo dispositivo 32 de protección y el segundo dispositivo 42 de radio móvil se basa en una segunda interfaz de dispositivo de radiocomunicación móvil Sm2.
La función principal de los dos dispositivos 31 y 32 de protección es blindar el ordenador 20 de comunicación contra los ciberataques a los dos dispositivos 41 y 42 de radio móviles y a los protocolos Euroradio no seguros que se ejecutan en los dispositivos de protección, en particular al protocolo TCP/IP. Este blindaje impide también o al menos dificulta el acceso al ordenador 10 de a bordo.
Con el fin de ofrecer la mejor protección posible contra los ciberataques, las dos interfaces Ss1 y Ss2 del lado de los dispositivos de protección están diseñadas de modo diferente a las interfaces de los dispositivos móviles Sm1 y Sm2, o al menos se manejan de modo diferente a estas. En otras palabras, los dispositivos 31 y 32 de protección forman una interfaz o conversión de protocolo, de modo que los ciberataques que quieran acceder al ordenador 20 de comunicación también deben realizar esta conversión de interfaz y superar el dispositivo 31 o 32 de protección respectivo.
La disposición 1 de comunicación es preferiblemente una disposición compatible con ETCS. En el caso de una disposición de este tipo, el ordenador 10 del vehículo está formado preferiblemente por un ordenador denominado EVC (European Vital Computer) conforme a la norma ETCS. El ordenador 20 de comunicación puede configurarse como no segura en términos de señalización o menos confiable en términos de señalización que el ordenador 10 del vehículo. En el caso del ordenador 20 de comunicación, se puede tratar, por ejemplo, de lo que se conoce como NVC (Non Vital Computer), tal como se utiliza hoy en día en las disposiciones compatibles con ETCS.
La función del ordenador 20 de comunicación es, preferiblemente, realizar funciones de gestión y control de los dos dispositivos 31 y 32 de protección y de los dos dispositivos 41 y 42 de radio móviles, y operar protocolos de transmisión para el acoplamiento a la interfaz Sr del lado del ordenador y a las dos interfaces Ss1 y Ss2 del lado del dispositivo de protección.
La función de los dos dispositivos 31 y 32 de protección es preferiblemente operar las siguientes funciones de manera protegida:
- protocolos Euroradio no seguros para la radiocomunicación móvil orientada a la conexión, en particular según las normas HDLC, T.70 y/o TP2, y para la radiocomunicación móvil sin conexión, en particular según las normas 3G TS 27.010, PPP y/o TCP/IP,
- protocolos de comunicación de la interfaz de radio móvil respectiva y protocolos de comunicación de la interfaz del lado del dispositivo de protección respectivo con el ordenador de comunicación.
En el ejemplo de realización según la Figura 1, las dos interfaces Ss1 y Ss2 del lado del dispositivo de protección forman cada una tres interfaces lógicas que acoplan el ordenador 20 de comunicación al dispositivo 31 o 32 de protección respectivo. Las tres interfaces lógicas se identifican en la Figura 1 con los signos de referencia LS1, LS2 y LS3.
La primera interfaz lógica LS1 es preferiblemente una interfaz para transferir comandos de control desde el ordenador 20 de comunicación al dispositivo 31 o 32 de protección respectivo y mensajes de acuse de recibo desde el dispositivo 31 o 32 de protección respectivo al ordenador 20 de comunicación.
La segunda interfaz lógica LS2 es preferiblemente una interfaz para el transporte bidireccional de datos de usuario de la aplicación ETCS entre el ordenador 20 de comunicación y el dispositivo 31 o 32 de protección respectivo.
La tercera interfaz lógica LS3 es preferiblemente una interfaz para restablecer el dispositivo 31 o 32 de protección respectivo mediante el ordenador 20 de comunicación, por ejemplo, en caso de que se detecte un ciberataque que pueda haber bloqueado, modificado o comprometido el funcionamiento de los dispositivos 31 y 32 de protección.
También es ventajoso que el propio ordenador 20 de comunicación pueda restablecer directamente los dos dispositivos 41 y 42 de radio móviles, ya sea indirectamente mediante la inclusión de los dispositivos 31 y 32 de protección a través de las dos interfaces de dispositivos de radiocomunicación móviles Sm1 y/o Sm2 o a través de una interfaz directa separada entre el ordenador 20 de comunicación y los dos dispositivos 41 y 42 de radio móviles; dicha interfaz directa separada está dibujada en la Figura 1 y marcada con la designación LS4.
La disposición 1 de comunicación según la Figura 1 funciona preferiblemente de la siguiente manera:
La información entre el ordenador 10 del vehículo y los dispositivos 41 y 42 de radio móviles no se transmite directamente entre sí, sino a través del ordenador 20 de comunicación y de los dispositivos 31 y/o 32 de protección. Con vistas a una protección óptima contra ciberataques CA por parte de un atacante inteligente, representado análogamente por el dispositivo 43 de radio móvil en la Figura 1, las interfaces Ss1 y Ss2 del lado del dispositivo de protección se operan de manera diferente a las interfaces de los dispositivos de radiocomunicación móviles Sm1 y Sm2 y también de manera diferente a la interfaz Sr del lado del ordenador. Las interfaces en cascada proporcionan una protección óptima del ordenador 10 de a bordo frente a un posible ciberataque CA.
Si un atacante consigue hacerse con el control del protocolo TCP/IP en un dispositivo de protección o en todo el dispositivo de protección, el ataque basado en IP no puede extenderse al ordenador de comunicación, ya que la comunicación IP en el dispositivo de protección está completamente desacoplada de la comunicación IP en el resto del vehículo.
La Figura 2 muestra una disposición 1 de comunicación en la que los dos dispositivos 31 y 32 de protección según la Figura 1 están formados por módulos de programa o software PM31 y PM32. Los dos módulos de software PM31 y PM32 están almacenados en una memoria 21 de una disposición 20a informática. La memoria 21 está conectada a un dispositivo 22 informático de la disposición 20a informática. Cuando el dispositivo 22 informático ejecuta los módulos de software PM31 y PM32, forma los dispositivos 31 y 32 de protección, respectivamente, cuya función y modo de funcionamiento ya se han explicado con anterioridad en relación con la Figura 1. A este respecto, se remite a las explicaciones anteriores.
Los dispositivos 31 y 32 de protección pueden formarse utilizando diversas tecnologías de software, por ejemplo, alojándolos en ordenadores virtuales (como se muestra en la Figura 3 a modo de ejemplo) o desacoplándolos mediante protocolos, por ejemplo mediante NETWORK-NAMESPACES (como se muestra en la Figura 2).
La memoria 21 del dispositivo informático 20a comprende, además, un programa o módulo de software PM20 que, cuando es ejecutado por el dispositivo 22 informático, hace que este forme el ordenador 20 de comunicación como se muestra en la Figura 1. Con respecto al funcionamiento del ordenador 20 de comunicación, remitirse a las explicaciones anteriores en relación con la Figura 1.
Las dos interfaces Ss1 y Ss2 del lado del dispositivo de protección según la Figura 1 están formadas en la variante de realización según la Figura 2 por interfaces de software correspondientes entre los módulos de software PM20 y PM31 o PM20 y PM32.
En todos los demás aspectos, las afirmaciones y explicaciones anteriores en relación con el ejemplo de realización según la Figura 1 se aplican en consecuencia al ejemplo de realización según la Figura 2.
La Figura 3 muestra un ejemplo de realización para una disposición 20a informática en la que los dos dispositivos 31 y 32 de protección están formados por módulos de software PM31 y PM32 que se ejecutan en ordenadores virtuales. Los ordenadores virtuales se implementan en software y se almacenan como módulos de software VR1 y VR2 en una memoria 21 de la disposición 20a informática.
Cuando el dispositivo 22 informático ejecuta los módulos de software VR1 y VR2, genera los ordenadores virtuales que, a su vez, ejecutan los módulos de software PM31 y PM32, de manera que se forman los dispositivos 31 y 32 de protección, como ya se ha explicado con anterioridad en relación con la Figura 1.
La memoria 21 del dispositivo informático 20a comprende, además, un módulo de software PM20 que, cuando es ejecutado por el dispositivo 22 informático, hace que este forme el ordenador 20 de comunicación tal como se muestra en la Figura 1. Con respecto al funcionamiento del ordenador 20 de comunicación, se hace referencia a las explicaciones anteriores en relación con la Figura 1.
En la realización según la Figura 3, las dos interfaces Ss1 y Ss2 en el lado del dispositivo de protección según la Figura 1 están formadas por interfaces de software entre los módulos de software PM20 y PM31 o PM20 y PM32.
La Figura 4 muestra un ejemplo de un vehículo 100 ferroviario que se desplaza por una vía 200. La vía 200 está equipada con un dispositivo 300 en tierra. Para la comunicación entre el vehículo 100 ferroviario y el dispositivo 300 en tierra, el vehículo 100 ferroviario está equipado con una disposición 1 de comunicación, que puede ser, por ejemplo, una disposición de comunicación como la explicada en relación con las Figuras 1 a 3 anteriores. La disposición 1 de comunicación permite una comunicación por radio F con el dispositivo 300 en tierra, de modo que este último puede controlar o dirigir el vehículo 100 ferroviario, así como el tráfico en la vía 200 en su conjunto. Con respecto al funcionamiento de la disposición 1 de comunicación, se remite a las explicaciones anteriores en relación con las Figuras 1 a 3.
Aunque la invención se ha ilustrado y descrito en detalle mediante realizaciones preferidas, la invención no está limitada por los ejemplos divulgados, y los expertos en la técnica pueden derivar otras variaciones de los mismos sin apartarse del ámbito de protección de la invención.
Lista de signos de referencia
1 Dispositivo de comunicación
10 Ordenador de a bordo
20 Ordenador de comunicación
20a Dispositivo informático
21 Memoria
22 Dispositivo informático
31 Dispositivo de protección
32 Dispositivo de protección
41 Dispositivo de radio móvil
42 Dispositivo de radio móvil
43 Dispositivo de radio móvil
100 Vehículo ferroviario
200 Vía
300 Dispositivo
CA Ciberataque
F Enlace de radio
LS1 Interfaz
LS2 Interfaz
LS3 Interfaz
PM20 Módulo de software
PM31 Módulo de software
PM32 Módulo de software
Sm1 Interfaz de radio móvil
Sm2 Interfaz de radio móvil
Sr Interfaz
Ss1 Interfaz
Ss2 Interfaz

Claims (18)

REIVINDICACIONES
1. Disposición (1) de comunicación para un vehículo (100) ferroviario para operar una radiocomunicación móvil con un dispositivo (300) en tierra, en donde la disposición (1) de comunicación presenta un ordenador (10) de vehículo, un ordenador (20) de comunicación, al menos un dispositivo (31, 32) de protección y al menos un dispositivo (41,42) de radiocomunicación móvil para un enlace de radio (F) con el dispositivo (300) en tierra, en donde la disposición (1) de comunicación es una disposición compatible con ETCS, el ordenador (10) de a bordo es un ordenador EVC (European Vital Computer) conforme a la norma ETCS y el ordenador (20) de comunicación es menos fiable en términos de señalización que el ordenador (10) de a bordo, y en donde
- el ordenador (10) del vehículo y el dispositivo (41,42) de radiocomunicación móvil no están conectados directamente entre sí, sino por medio del ordenador (20) de comunicación (NVC) y el dispositivo (31, 32) de protección,
- el ordenador (20) de comunicación está conectado al ordenador (10) del vehículo a través de al menos una interfaz del lado del ordenador (Sr) y al dispositivo (31, 32) de protección a través de al menos una interfaz del lado del dispositivo de protección (Ss1, Ss2), y
- el dispositivo (31, 32) de protección está conectado al menos a un dispositivo (41, 42) de radiocomunicación móvil a través de una interfaz de dispositivo de radiocomunicación móvil (Sm1, Sm2), en donde la interfaz (Ssl, Ss2) del lado del dispositivo de protección es diferente de la interfaz (Sm1, Sm2) del dispositivo de radiocomunicación móvil o funciona de manera diferente a la misma y también es diferente de la interfaz (Sr) del lado del ordenador o funciona de manera diferente a la misma, en donde el dispositivo (31, 32) de protección está diseñado de tal manera que las siguientes funciones se operen de manera protegida:
- protocolos Euroradio no protegidos para una radiocomunicación móvil orientada a la conexión y para una radiocomunicación móvil sin conexión,
- protocolos de comunicación de la interfaz de radiocomunicación móvil respectiva y
- protocolos de comunicación de la interfaz (Ss1, Ss2) respectiva del lado del dispositivo de protección con el ordenador (20) de comunicación.
2. Disposición (1) de comunicación de acuerdo con la reivindicación 1, caracterizada porque el ordenador (20) de comunicación y el dispositivo (31, 32) de protección están formados cada uno por un dispositivo informático separado.
3. Disposición (1) de comunicación de acuerdo con la reivindicación 1, caracterizada porque el dispositivo (31, 32) de protección está formado por un ordenador virtual (VR1, VR2) dentro de una disposición (20a) informática que también forma el ordenador (20) de comunicación.
4. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque el dispositivo (31, 32) de protección está implementado como software dentro de una disposición (20a) informática que también forma el ordenador (20) de comunicación y se forma separando el protocolo de Internet TCP/IP de otros protocolos de Euroradio y de comunicación no seguros, por ejemplo, mediante la tecnología NETWORK NAMESPACES, dentro del ordenador (20) de comunicación.
5. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque
- la disposición (1) de comunicación presenta un primer y un segundo dispositivo (31, 32) de protección y un primer y un segundo dispositivo (41, 42) de radiocomunicación móvil,
- el ordenador (20) de comunicación está conectado al primer dispositivo (31) de protección a través de al menos una primera interfaz (Ss1) en el lado del dispositivo de protección y está conectado al segundo dispositivo (32) de protección a través de al menos una segunda interfaz (Ss2) en el lado del dispositivo de protección, y
- el primer dispositivo (31) de protección está conectado al primer dispositivo (41) de radiocomunicación móvil a través de una primera interfaz (Sm1) de dispositivo de radiocomunicación móvil y el segundo dispositivo (32) de protección está conectado al segundo dispositivo (42) de radiocomunicación móvil a través de una segunda interfaz (Sm2) de dispositivo de radiocomunicación móvil,
- en donde la primera y la segunda interfaz (Ss1, Ss2) del lado del dispositivo de protección son diferentes o funcionan de manera diferente de la primera y la segunda interfaz (Sm1, Sm2) del dispositivo de radiocomunicación móvil y también son diferentes o funcionan de manera diferente de la interfaz (Sr) del lado del ordenador.
6. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque el ordenador (20) de comunicación está diseñado para que sean operadas por él:
- funciones de gestión y control del dispositivo (31, 32) de protección y del al menos un dispositivo de radiocomunicación móvil, y
- protocolos de transmisión para el acoplamiento a la interfaz (Sr) del lado del ordenador y a la interfaz (Ss1, Ss2) del lado del dispositivo de protección.
7. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque el ordenador (20) de comunicación y cada uno de los dispositivos (31, 32) de protección están acoplados a través de tres interfaces lógicas (LS1, LS2, LS3), a saber,
- una primera interfaz lógica (LS1) para transferir órdenes de control desde el ordenador (20) de comunicación al dispositivo (31, 32) de protección respectivo y mensajes de acuse de recibo desde el dispositivo (31, 32) de protección respectivo al ordenador (20) de comunicación,
- una segunda interfaz lógica (LS2) para el transporte bidireccional de datos de usuario de la aplicación ETCS, y
- una tercera interfaz lógica (LS3) para el restablecimiento del dispositivo (31, 32) de protección respectivo por el ordenador (20) de comunicación.
8. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque el ordenador (20) de comunicación está conectado a cada dispositivo (41, 42) de radiocomunicación móvil a través de una interfaz (LS4) para restablecer el dispositivo (41, 42) de radiocomunicación móvil conectado al respectivo dispositivo (31, 32) de protección por el ordenador (20) de comunicación.
9. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque el software que se ejecuta en el o los dispositivos (31, 32) de protección está protegido contra modificaciones no intencionadas, preferiblemente mediante una protección de integridad basada en hardware.
10. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque la interfaz o interfaces (Ss1, Ss2) entre el ordenador (20) de comunicación y el dispositivo o dispositivos (31, 32) de protección están protegidos contra ciberataques.
11. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque el reenvío de flujos de datos y las funciones de gestión y control en el ordenador (20) de comunicación están al menos parcialmente supervisados, verificados en cuanto a su verosimilitud y protegidos contra ciberataques.
12. Disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores, caracterizada porque el acoplamiento entre el ordenador (20) de comunicación y el ordenador (10) del vehículo está protegido contra ciberataques, por lo que se pueden repeler ciberataques en el ordenador (10) del vehículo.
13. Vehículo (100) configurado como vehículo ferroviario, caracterizado porque está equipado con una disposición (1) de comunicación de acuerdo con una de las reivindicaciones anteriores.
14. Procedimiento para operar una radiocomunicación móvil entre un vehículo (100) ferroviario y un dispositivo (300) en tierra, en donde el vehículo (100) ferroviario presenta un ordenador (10) de vehículo, un ordenador (20) de comunicación, al menos un dispositivo (31, 32) de protección y al menos un dispositivo (41,42) de radiocomunicación móvil para un enlace de radio (F) con el dispositivo (300) en tierra, en donde la disposición (1) de comunicación es una disposición compatible con ETCS, el ordenador (10) de vehículo es un ordenador EVC (European Vital Computer) conforme a la norma ETCS y el ordenador (20) de comunicación es menos fiable en términos de señalización que el ordenador (10) del vehículo, en donde
- la información no se transmite directamente entre el ordenador (10) del vehículo y el dispositivo (41, 42) de radiocomunicación móvil, sino indirectamente a través del ordenador (20) de comunicación (NVC) y el al menos un dispositivo (31, 32) de protección, en donde el ordenador (20) de comunicación está conectado al ordenador (10) del vehículo a través de una interfaz (Sr) del lado del ordenador y a al menos un dispositivo (31, 32) de protección a través de una interfaz (Ss1, Ss2) del lado del dispositivo de protección, y el dispositivo (31, 32) de protección está conectado a al menos un dispositivo (41, 42) de radiocomunicación móvil a través de una interfaz (Sm1, Sm2) de dispositivo de radiocomunicación móvil, y
- la al menos una interfaz (Ss1, Ss2) del lado del dispositivo de protección es diferente de la interfaz (Sm1, Sm2) de dispositivo de radiocomunicación móvil o tiene un funcionamiento diferente de la misma y también es diferente de la interfaz (Sr) del lado del ordenador o tiene un funcionamiento diferente de la misma, en donde el dispositivo (31, 32) de protección diseñado de tal manera que las siguientes funciones se operen de manera protegida:
- protocolos Euroradio no protegidos para una radiocomunicación móvil orientada a la conexión y para la radiocomunicación móvil sin conexión,
- protocolos de comunicación de la interfaz de radio móvil respectiva y
- protocolos de comunicación de la respectiva interfaz (Ss1, Ss2) del lado del dispositivo de protección con el ordenador (20) de comunicación.
15. Procedimiento de acuerdo con la reivindicación 14, caracterizado porque, en caso de ciberataques detectados, el ordenador (20) de comunicación emite una orden de restablecimiento al dispositivo (41, 42) de radiocomunicación móvil afectado o al dispositivo (31, 32) de protección afectado, lo que permite poner fin en cualquier momento a los bloqueos y funciones defectuosas de estos componentes, por ejemplo, provocados por ataques DoS.
16. Procedimiento de acuerdo con una de las reivindicaciones 14 a 15 anteriores, caracterizado porque, en caso de ciberataques detectados con respecto al dispositivo (41,42) de radiocomunicación móvil afectado o al dispositivo (31, 32) de protección afectado, el ordenador (20) de comunicación genera y almacena mensajes que permiten extraer conclusiones sobre los acontecimientos que han tenido lugar y sus efectos sobre el vehículo (100).
17. Procedimiento de acuerdo con una de las reivindicaciones 14 a 16 anteriores, caracterizado porque los protocolos de comunicación no seguros para la radiocomunicación móvil ETCS orientada a la conexión y sin conexión están dispuestos en un entorno informático virtual en el ordenador (20) de comunicación, de manera que se ejecutan en forma desacoplada de las demás funciones en el ordenador (20) de comunicación y pueden ser restablecidos a su estado inicial por el ordenador (20) de comunicación en cualquier momento.
18. Procedimiento de acuerdo con una de las reivindicaciones 14 a 17 anteriores, caracterizado porque el protocolo de Internet no seguro TCP/IP para la comunicación móvil ETCS sin conexión está separado en el ordenador (20) de comunicación, por ejemplo, mediante la tecnología NETWORK NAMESPACES, de modo que se ejecuta desacoplado de las demás funciones en el ordenador (20) de comunicación y puede ser restablecido a su estado inicial por el ordenador (20) de comunicación en cualquier momento.
ES18723422T 2017-05-23 2018-04-20 Dispositivos y procedimientos para el funcionamiento de una radiocomunicación móvil con un dispositivo en tierra Active ES2947782T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017208712.9A DE102017208712A1 (de) 2017-05-23 2017-05-23 Kommunikationsanordnung sowie Verfahren zu deren Betrieb
PCT/EP2018/060143 WO2018215145A1 (de) 2017-05-23 2018-04-20 Vorrichtung verfahren zum betreiben einer mobilfunkkommunikation mit einer streckenseitigelt einrichtung

Publications (1)

Publication Number Publication Date
ES2947782T3 true ES2947782T3 (es) 2023-08-18

Family

ID=62143113

Family Applications (1)

Application Number Title Priority Date Filing Date
ES18723422T Active ES2947782T3 (es) 2017-05-23 2018-04-20 Dispositivos y procedimientos para el funcionamiento de una radiocomunicación móvil con un dispositivo en tierra

Country Status (4)

Country Link
EP (1) EP3603011B1 (es)
DE (1) DE102017208712A1 (es)
ES (1) ES2947782T3 (es)
WO (1) WO2018215145A1 (es)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010008816A1 (de) * 2010-02-22 2011-08-25 Continental Automotive GmbH, 30165 Verfahren zur Online-Kommunikation
US9282110B2 (en) * 2013-11-27 2016-03-08 Cisco Technology, Inc. Cloud-assisted threat defense for connected vehicles
US20150188893A1 (en) 2013-12-30 2015-07-02 Arun Sood Secure Gateway
EP3124351A1 (de) 2015-07-28 2017-02-01 Peter Winter Verfahren zum nachrüsten von bestehenden eisenbahn-netzteilen mit dem zugsicherungssystem etcs

Also Published As

Publication number Publication date
EP3603011A1 (de) 2020-02-05
EP3603011B1 (de) 2023-03-22
DE102017208712A1 (de) 2018-11-29
WO2018215145A1 (de) 2018-11-29

Similar Documents

Publication Publication Date Title
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
KR102146568B1 (ko) 네트워크 접속 제어 시스템 및 그 방법
US20200045023A1 (en) Network guard unit for industrial embedded system and guard method
CN104410569B (zh) 一种感知通信互联网关及数据处理方法
ES2364946T3 (es) Procedimiento de protección de un canal bidireccional de comunicación y dispositivo de puesta en práctica del procedimiento.
US20100228961A1 (en) Hierarchical secure networks
AU2018346691A1 (en) Methods for internet communication security
US20130212378A1 (en) Method for managing keys in a manipulation-proof manner
US20100226280A1 (en) Remote secure router configuration
US20030233573A1 (en) System and method for securing network communications
US20160308828A1 (en) Preventing network attacks on baseboard management controllers
JP2018528700A (ja) 車両の電子制御ユニットへの不正アクセスイベントの通知
CN105793865A (zh) 支持中间件机器环境中的输入/输出(i/o)设备的基于主机的带内/旁带固件升级的系统和方法
AU2017100661A4 (en) An information security method of distributed electric vehicle controllers
CN107612679B (zh) 一种基于国密算法的以太网桥加扰终端
US9015825B2 (en) Method and device for network communication management
ES2886209T3 (es) Sistema y procedimiento para la transmisión protegida de datos
ES2833368T3 (es) Escritorio remoto seguro
ES2947782T3 (es) Dispositivos y procedimientos para el funcionamiento de una radiocomunicación móvil con un dispositivo en tierra
Grandgenett et al. Exploitation of Allen Bradley’s implementation of EtherNet/IP for denial of service against industrial control systems
CN105306582A (zh) 一种远程更换gyk运行控制程序的系统及方法
US10356226B2 (en) Secure connection with protected facilities
CN103986736A (zh) 用于网络安保的通信接口及通信方法
US20070058654A1 (en) Arrangement and coupling device for securing data access
US11032250B2 (en) Protective apparatus and network cabling apparatus for the protected transmission of data