JP2010234829A - 列車制御システム及び列車制御方法 - Google Patents
列車制御システム及び列車制御方法 Download PDFInfo
- Publication number
- JP2010234829A JP2010234829A JP2009082050A JP2009082050A JP2010234829A JP 2010234829 A JP2010234829 A JP 2010234829A JP 2009082050 A JP2009082050 A JP 2009082050A JP 2009082050 A JP2009082050 A JP 2009082050A JP 2010234829 A JP2010234829 A JP 2010234829A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- train
- reservation
- ground device
- ground
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】地上装置15に対する通信予約処理では、車上装置11の通信予約手段62が、地上装置15に対して通信予約を要求する。車上装置11の通信予約手段62は、運行情報データベース65を参照し、それぞれの地上装置15に到達する時間を予測して、所定の時間内に到達する地上装置15に対して通信予約を要求する。地上装置15の通信予約受付手段71は、車上装置11の通信予約を受け付ける。地上装置15の通信可否判定手段72は、通信予約を行った車上装置11の通信許可情報を所定の時間まで有効とみなし、車上装置11の通信可否を判定する。また、車上装置11の通信予約手段62は、列車運行の支障により地上装置15に到着する時間が遅れる場合、再び通信予約を行う。
【選択図】図5
Description
特に、列車制御システムでは、悪意者のなりすまし、通信妨害によって列車の安全な運行が妨げられることがあってはならない。
これによって、仮に汎用的な規格によって行われる暗号化が解析されたとしても、セキュリティを保つことができる。
これによって、攻撃者に攻撃の糸口を与えず、無線通信の支障を正確に行うことができる。
これによって、中央管理装置は、従来の無線列車制御と比べてより正確な在線位置の管理を行うことができる。
また、前記通信予約手段は、所定の時間間隔で処理を繰り返し、前記列車が通過した前記地上装置に対する予約、または前記所定の時間までに到達できなくなった前記地上装置に対する予約を解放するものである。
これによって、鍵の保持制約をなくすことができる。
これによって、外部からは確認周期が推測されることはない。また、待機時間を導入することで、通信予約処理において予約のタイムアウトを計測するためのタイマーの動作検証も可能となる。
図1を参照しながら、列車制御システム1の全体構成について説明する。
図1は、列車制御システム1の全体構成を示す図である。図1に示すように、列車制御システム1は、列車3に配置される車上装置11、駅5に配置される管理装置13、線路に沿って配置される地上装置15、中央管理室7に配置される中央管理装置17等から構成される。
管理装置13は、無線通信路19、有線通信路21を介して、地上装置15と通信を行う。また、管理装置13は、有線通信路21、ネットワーク9を介して、中央管理装置17と通信を行う。管理装置13は、周辺に配置されている複数の地上装置15を統括して管理する。
地上装置15は、無線通信路19を介して、車上装置11と通信を行う。また、地上装置15は、無線通信路19、有線通信路21を介して、他の地上装置15、管理装置13と通信を行う。地上装置15は、車上装置11が中央管理装置17とデータの送受信を行う為のアクセスポイントの役割を果たす。
中央管理装置17は、有線通信路21、ネットワーク9を介して、管理装置13と通信を行う。中央管理装置17は、複数の管理装置13と通信を行い、全ての列車3の運行管理を行う。
尚、有線通信路21は、通信傍受ができない安全な通信路であれば良く、有線に限定されない。以下では、安全な通信路は、有線通信路21によって構成されるものとして説明する。
図2は、車上装置11のハードウェア構成を示す図である。図2に示すように、車上装置11は、制御部31、記憶部32、無線通信部33等から構成される。尚、図2のハードウェア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
ROMは、不揮発性メモリであり、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持している。
RAMは、揮発性メモリであり、記憶部32、ROM等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。
これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
有線通信部44は、所定の規格を用いて有線通信を行う。有線通信部44は、通信傍受ができない安全な有線通信路を用いる。
次に、図5から図7を参照しながら、各装置の機能構成と列車制御システム1が行う処理の概要について説明する。
図5は、車上装置11の機能構成を示す図である。図5に示すように、車上装置11は、認証要求手段61、通信予約手段62、符号化手段63、証明書64、運行情報データベース65等を備える。
図6は、地上装置15の機能構成を示す図である。図6に示すように、地上装置15は、通信予約受付手段71、通信可否判定手段72、符号伝達手段73、通信路支障検知手段74等を備える。
図7は、中央管理装置17の機能構成を示す図である。図7に示すように、中央管理装置17は、認証手段81、在線位置管理手段82、リスク管理手段83、証明書データベース84等を備える。
尚、図7に示す一部の機能は、管理装置13が備えても良い。例えば、管理装置13が認証手段81、証明書データベース84等を備えて、車上装置11を認証するようにしても良い。以下では、混乱を避けるため、中央管理装置17が図7に示す機能を備えるものとして説明する。
(1)車上装置11と中央管理装置17との相互認証処理
(2)地上装置15に対する通信予約処理
(3)攻撃検知時における符号化処理
(4)通信路支障の検知処理
(5)通信予約を用いた在線位置把握処理
(1)車上装置11と中央管理装置17との相互認証処理では、車上装置11の認証要求手段61が、記憶部32に保持する証明書64を用いて認証要求を行う。この認証要求手段は、IEEE802.1XおよびRADIUS(Remote Authentication Dial In User Service)に従い、ここでは認証装置である中央管理装置17に要求が行われるものとする。
中央管理装置17の認証手段81は、認証要求をした車上装置11について、記憶部52に保持する証明書データベース84に該当する証明書64が存在し、かつその線区を走る諸条件を満たすことを確認し、車上装置11の認証を行う。
車上装置11及び地上装置15は、認証により通信確立用の鍵(PMK:Pairwise Master Key)を得る。この通信確立用の鍵によって通信セッション鍵(PTK:Pairwise Transient Key)を暗号化して配信する。通信確立用の鍵は、以下の説明で通信許可情報(車上装置11と地上装置15の間の無線通信の許可情報)として扱う。通信セッション鍵は、通信鍵(車上装置11と地上装置15の間の、通信伝文を暗号化する秘匿化情報)として扱う。中央管理装置17の記憶部52には、車上装置11を認証したログ情報が記録され、このログは中央管理装置17が管理する線区内に車上装置11が設置された列車が在線することを示す最もプリミティブな在線位置情報として扱う。
列車制御においてこれを適用すると、地上車上間通信を秘匿化する通信鍵は列車3と地上装置15の通信セッション毎に生成されるため、総当たり攻撃によって、ある列車3の通信鍵が解読されたとしても他の列車3の通信には支障がない。また、列車3が移動することによって地上装置15との通信セッションは終了し、それに伴い通信鍵は失効するため、攻撃側に対して空間的な制約を与えることができる。そこで、攻撃側は、通信許可情報の解析を試みると考えられる。通信許可情報の解析に対応するため、列車制御システム1は、(2)地上装置15に対する通信予約処理を行う。
地上装置15の通信予約受付手段71は、車上装置11の通信予約を受け付ける。地上装置15の通信可否判定手段72は、通信予約を行った車上装置11の通信許可情報を予約された列車到着時間から所定の時間まで(タイムアウトするまで)有効とみなし、車上装置11の通信可否を判定する。
また、車上装置11の通信予約手段62は、列車運行の支障により地上装置15に到着する時間が遅れる場合、再び通信予約を行う。通信予約処理の詳細は後述する。
地上装置15の符号化用鍵伝達手段73は、秘密分散法によって符号化用鍵を車上装置11に伝達する。
車上装置11の符号化手段63は、制御コードに符号化を行い、地上装置15と通信を行う。符号化処理の詳細は後述する。
まず、図8から図11を参照しながら、用語の説明を行う。
図8は、停止限界を説明するための図である。列車3aの停止限界とは、前方を走行する列車3b、保安装置(踏切)(不図示)等によって決まる絶対停止位置のことである。停止限界までは走行許可が与えられているとみなす。列車3aと列車3bの間に保安装置がある場合、保安装置が遮断完了するまでは保安装置の位置が列車3aの停止限界となる。また、保安装置が遮断完了後は列車3bの位置が列車3aの停止限界となる。列車3bの移動に伴い、列車3aの停止限界も移動する。
存在する場合(S106のYES)、S107に進む。
存在しない場合(S106のNO)、S110に進む。
同じである場合(S107のYES)、制御部31は、旧予約APリストの情報を予約APリストにコピーする(S108)。
同じでない場合(S107のNO)、制御部31は、再予約を行う(S109)。再予約では自らが対象のAPを予約中であるため、予約に失敗することはなく、算出した到着予測時刻に基づいてタイムアウト時間が更新される。尚、タイムアウト時間は通信予約処理を繰り返す所定の時間よりも十分に長いため、通信が正常である限りタイムアウトになって予約が破棄されることはない。
いずれの場合であっても、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S113に進む。
予約が成功した場合(S111のYES)、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S113に進む。
予約が失敗した場合(S111のNO)、制御部31は、ループ処理を抜けて、S114に進む。予約が失敗する場合とは、他の車上装置11が予約済で解放していない場合である。
一方、S114では、制御部31は、S110で予約が失敗したAPより一つ手前のAPを停止位置とする。
次に、制御部31は、予約APリストを旧予約APリストに切り替えて(S116)、処理を終了する。
次に、制御部31は、予約APリストに含まれる全てのAPに対して、ループ処理(S203からS212までの処理)を実行する。ループ処理は、列車3に最も近いAPから順に実行する。
存在する場合(S205のYES)、S206に進む。
存在しない場合(S205のNO)、S209に進む。
同じである場合(S206のYES)、制御部31は、旧予約APリストの情報を予約APリストにコピーする(S207)。
同じでない場合(S206のNO)、制御部31は、再予約を行う(S208)。
いずれの場合であっても、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S213に進む。
予約が成功した場合(S210のYES)、制御部31は、予約が成功したAPを停止限界とし(S211)、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S213に進む。
予約が失敗した場合(S210のNO)、制御部31は、ループ処理を抜けて、S213に進む。
次に、制御部31は、予約APリストを旧予約APリストに切り替えて(S214)、処理を終了する。
図16は、制御コードの符号化に用いる鍵の配布を説明するための図である。図16に示すように、中央管理装置17は、制御コードの符号化に用いる鍵Aを地上装置15a、15b、15cに一斉に配布する。地上装置15aは、配布された鍵Aから部分鍵aを生成し、車上装置11に部分鍵aを配布する。車上装置11が地上装置15bの位置に移動すると、地上装置15bは、配布された鍵Aから部分鍵bを生成し、車上装置11に部分鍵bを配布する。車上装置11が地上装置15cの位置に移動すると、地上装置15cは、配布された鍵Aから部分鍵cを生成し、車上装置11に部分鍵cを配布する。車上装置11は、部分鍵a、b、cから鍵Aを生成する。列車制御システム1では、列車3が地上装置15を順に追って走行する特性に着目し、図16に示すように、秘密分散法を用いて制御コードの符号化に用いる鍵を配布する。これによって、一定区間以上線路を走行する列車のみが符号化用の鍵を生成することができる。
要求が正規でない場合(S403のNO)、制御部41は、中央管理装置17にアクセスログを送信し(S404)、処理を終了する。要求が正規でない場合とは、例えば、通信予約がされていない場合、または通信予約をした車上装置11からのアクセスではない場合等である。
要求が正規の場合(S403のYES)、制御部41は、S405に進む。
符号化指示ありの場合(S409のYES)、制御部31は、制御コードを符号化する(S410)。
制御コードの復号に失敗した場合(S414のNO)、処理を終了する。復号に失敗する場合とは、符号化フラグがONのときに、車上装置11が制御コードの符号化を実行していない場合、または失効した鍵を用いて符号化を実行している場合などである。
制御コードの復号に成功した場合(S414のYES)、地上装置15の制御部41は、制御コードを実行し(S414)、処理が完了したことを車上装置11に通知する(S416)。車上装置11の制御部31は、完了通知を受信し(S417)、処理を終了する。
図20は、通信路支障の検知処理の詳細を示すフローチャートである。通信路支障の検知処理では、隣接する地上装置15aと地上装置15bが、一方は要求側、他方は応答側として処理を行う。図20では、地上装置15aが要求側、地上装置15bが応答側の場合を示している。通信路支障の検知処理は、所定の時間間隔で実行する。
一方、2つの乱数のXORの値が0でない場合(S502のYES)、S503に進む。
地上装置15bの制御部41は、2つの乱数とチェックコードを受信し(S504)、受信した2つの乱数からチェックコードを算出する(S505)。そして、地上装置15bの制御部41は、受信したチェックコードと、算出したチェックコードが一致するかどうかの検証結果を、有線通信路21を介して地上装置15aに送信する(S506)。地上装置15bの制御部41は、チェックコードが一致する場合はACKを送信し、不一致の場合はNACKを送信する。地上装置15aの制御部41は、チェックコードの検証結果(ACKまたはNACK)を受信する(S507)。
ランダムな待機時間の経過後に無線通信路19を介して通信を行うことで、外部からは確認周期が推測されることはない。また、待機時間を導入することで、通信予約処理において予約のタイムアウトを計測するためのタイマーの動作検証も可能となる。
図21に示すように、要求側である地上装置15aの制御部41は、有線通信路21を介して、S507で受信したチェックコードの検証結果を確認する(S601)。
検証結果の返信がない場合(S601の返信なし)、応答側が故障していると判断する(S602)。
受信した検証結果がNACKの場合(S601のNACK)、要求側が故障していると判断する(S603)。
受信した検証結果がACKの場合(S601のACK)、次の判定を行う。
XORの返信がない場合(S604の返信なし)、無線通信路19が故障していると判断する(S605)。
XORが不一致の場合(S604のXOR不一致)、応答側が故障していると判断する(S606)。
XORが一致の場合(S604のXOR一致)、全て正常と判断する(S607)。
定期的に伝文がない場合(S701のNO)、要求側が故障していると判断する(S702)。
定期的に伝文がある場合(S701のYES)、次の判定を行う。
チェックコードの検証結果が一致しない場合(S703の不一致)、要求が故障していると判断する(S704)。
チェックコードの検証結果が一致している場合(S703の一致)、次の判定を行う。
XORの値が0の場合(S705の「=0」)、要求側が故障していると判断する(S706)。
XORの値が0でない場合(S705の「≠0」)、要求側が正常と判断する(S707)。
前回の処理から所定の時間が経過すると、要求側である地上装置15aの制御部41は、2つの乱数を生成し(S801)、乱数に基づいて待機時間を算出する(S802)。次に、制御部41は、有線通信路21を介して、応答側である地上装置15bに2つの乱数とチェックコードを送信する(S803)。次に、地上装置15aの制御部41は、有線通信路21を介して応答側から応答があったかどうか確認する(S804)。ここでの応答では、応答側からチェックコードの検証結果が送信される。
有線通信路21を介して応答側から応答がない場合(S804のNO)、制御部41は、応答側の正常度判定値を減らし(S805)、S813に進む。
一方、応答がある場合(S804のYes)、S806に進む。
ACKでない場合(S806のNO)、S803から繰り返す。
ACKの場合(S806のYES)、S802にて算出した待機時間だけ待機する(S807)。
応答がない場合(S808のNO)、制御部41は、無線通信路19の正常度判定値を減らし(S809)、S813に進む。
応答があった場合(S808のYES)、S810に進む。
一致しない場合(S810のNO)、制御部41は、応答側の正常度判定値を減らし(S811)、S813に進む。
一致する場合(S810のYES)、制御部41は、無線通信路19と応答側の正常度判定値を増やし(S812)、S813に進む。
応答側である地上装置15bの制御部41は、タイムアウトするまで要求側からの通信を待ち(S901)、タイムアウト後に有線通信路21を介して要求側からの通信があったかどうか確認する(S902)。ここでの通信では、要求側から2つの乱数とチェックコードが送信される。
通信がない場合(S902のNO)、制御部41は、要求側の正常度判定値を減らし(S903)、S909に進む。
通信がある場合(S902のYES)、制御部41は、S904に進む。
一致しない場合(S904のNO)、S903に進む。
一致する場合(S904のYES)、S905に進む。
同値の場合(S905のYES)、S903に進む。
同値でない場合(S905のNO)、S906に進む。
図25は、本実施形態の在線位置把握処理を説明する図である。図25では、列車3aに車上装置11a、列車3bに車上装置11bがそれぞれ搭載されている。
車上装置11aは、地上装置15aと無線通信路19を介して通信を行い、地上装置15aと地上装置15bに対する通信予約を要求する。通信予約の要求が成功すると、地上装置15aは予約対象が列車3a、A分後にタイムアウトという予約情報(予約情報には通信許可情報が含まれる為、予約対象を識別可能)を保持し、地上装置15bは予約対象が列車3a、B分後にタイムアウトという予約情報を保持する。
また、車上装置11bは、地上装置15cと無線通信路19を介して通信を行い、地上装置15aと地上装置15bに対する通信予約を解放するとともに、地上装置15cと地上装置15dに対する通信予約を要求する。通信予約の要求が成功すると、地上装置15cは予約対象が列車3a、C分後にタイムアウトという予約情報を保持し、地上装置15dは予約対象が列車3a、D分後にタイムアウトという予約情報を保持する。
従来技術による在線位置の把握では、車上装置11から取得する情報にタイムラグがあることから、列車3の位置から停止限界までを全て在線位置とみなしていた。すなわち、地上装置15bから地上装置15jまでが従来の在線位置である。
一方、本方式による在線位置の把握では、列車3の位置から停止位置までを在線位置とみなす。すなわち、地上装置15bから地上装置15fまでが本方式の在線位置となる。
図26から見ても分かるように、本方式では従来技術と比較してより正確に列車3の在線位置を把握することができる。
正常に運行している場合、列車3は、移動に伴って通信予約の更新を行う。図27では、列車3が地上装置15bの位置から地上装置15dの位置に移動したときの例を示している。列車3に搭載される車上装置11は、地上装置15dと無線通信路19を介して通信を行い、地上装置15bと地上装置15cに対する通信予約を解放する。また、車上装置11は、新たに、地上装置15gと地上装置15hに対する通信予約の要求を行う。通信予約が成功すると、列車3の予約範囲は、地上装置15dから地上装置15hまでとなる。
従来の在線位置把握では、地上装置15dから地上装置15jまでを在線位置とみなす。一方、本方式の在線位置把握では、地上装置15dから地上装置15hまでを在線位置とみなす。
正常に運行している場合、列車3の移動に伴い、停止位置が進行方向に対して前進する。しかし、前進した分だけ通信予約が解放されるため、列車3が移動しても在線位置の広さは変わらない。このことは、図26と図27を比較すれば分かる。
運行が支障している場合、列車3は、運転曲線との乖離に伴って通信予約の更新を行う。図28では、通信予約の更新によって停止位置が地上装置15bから地上装置15dに移動したときの例を示している。列車3に搭載される車上装置11は、地上装置15dと無線通信路19を介して通信を行い、所定の時間内に到達できなくなった地上装置15eと地上装置15fに対する通信予約を解放する。これによって、列車3の予約範囲は、地上装置15bから地上装置15dまでとなる。
従来の在線位置把握では、地上装置15bから地上装置15jまでを在線位置とみなす。一方、本方式の在線位置把握では、地上装置15bから地上装置15hまでを在線位置とみなす。
図28に示すように、本方式では運行が支障している等の異常時ほど在線位置は狭くなり、より正確な在線位置を把握することができる。
また、地上装置15の位置情報を用いて、緊急停止開始位置、緊急停止終了位置を示している。緊急停止開始位置は、列車3が緊急停止を開始したと推定される位置である。緊急停止終了位置は、列車3が緊急停止を終了したと推定される位置である。
列車3に搭載される車上装置11が地上装置15と通信不能になった場合、車上装置11は列車3を緊急停止する。その後、時間が経過するにつれて、地上装置15の予約が破棄される。図29では、地上装置15dの通信予約が破棄され、地上装置15e、地上装置15fの通信予約がいずれ破棄されることを示している。ここで、予約情報は、車上装置11と一度通信を行えば、地上装置15によって破棄されることはないものとする。従って、地上装置15bと地上装置15cが保持する予約情報は破棄されない。
このように、中央管理装置17は、列車3が通信不能になった場合であっても、緊急停止終了位置を推測することができる。緊急停止終了位置を推測することで、後続の列車3の停止限界を正確に把握することができる。
3………列車
5………駅
7………中央管理室
9………ネットワーク
11………車上装置
13………管理装置
15………地上装置
17………中央管理装置
19………無線通信路
21………有線通信路
61………認証要求手段
62………通信予約手段
63………符号化手段
64………証明書
65………運行情報データベース
71………通信予約受付手段
72………通信可否判定手段
73………符号化用鍵伝達手段
74………通信路支障検知手段
81………認証手段
82………在線位置管理手段
83………リスク管理手段
84………証明書データベース
Claims (16)
- 列車に搭載される車上装置と線路に沿って配置される地上装置が無線通信路である第1通信路を介して通信を行い、前記地上装置と中央管理装置が前記第1通信路と異なる第2通信路を介して通信を行うことによって前記列車を制御する列車制御システムであって、
前記車上装置は、
自らを証明するための証明書と、
前記証明書を用いて前記中央管理装置に認証要求を行う認証要求手段と、
前記地上装置との無線通信が許可されたことを示す前記列車ごとの通信許可情報を用いて、前記地上装置に対して通信予約を行う通信予約手段と、
を具備し、
前記中央管理装置は、
前記証明書が登録されている証明書データベースと、
前記車上装置からの認証要求に応じて、提示された証明書が前記証明書データベースに存在するかを確認し、存在する場合には前記車上装置に前記通信許可情報を送信する認証手段と、
を具備し、
前記地上装置は、
前記車上装置からの通信予約を受け付ける通信予約受付手段と、
通信予約を行った前記車上装置の前記通信許可情報を所定の時間まで有効とみなし、前記車上装置の通信可否を判定する通信可否判定手段と、
を具備することを特徴とする列車制御システム。 - 前記中央管理装置は、
制御コードの符号化用鍵を前記地上装置に送信する手段と、
外部からの攻撃を検知すると、前記地上装置に前記制御コードの符号化を指示するリスク管理手段と、
を更に具備し、
前記地上装置は、
前記中央管理装置から送信される前記符号化用鍵から部分鍵を生成し、前記制御コードの符号化指示と合わせて前記車上装置に伝達する符号化用部分鍵伝達手段、
を更に具備し、
前記車上装置は、
複数の前記地上装置から前記部分鍵を受信して前記符号化用鍵を生成し、前記制御コードの符号化を行う符号化手段、
を更に具備することを特徴とする請求項1に記載の列車制御システム。 - 前記地上装置は、
定期的に隣接する他の前記地上装置との間で、一方が要求側、他方が応答側となり、前記第1通信路と前記第2通信路の両方で乱数または乱数に基づくデータの送受信を行い、前記第1通信路の支障と前記地上装置の故障とを区別して通信路支障を検知する通信路支障検知手段、
を更に具備することを特徴とする請求項1に記載の列車制御システム。 - 前記中央管理装置は、
前記地上装置が保持する通信予約の情報に含まれる前記通信許可情報から前記列車を識別し、予約された前記地上装置の範囲を前記列車ごとに取得することで、前記列車の在線位置を把握する在線位置管理手段、
を更に具備することを特徴とする請求項1に記載の列車制御システム。 - 前記車上装置は、
運転曲線、路線情報、前記地上装置の位置情報、前記列車の在線位置情報、保安装置の位置情報および遮断情報を含む運行情報データベース、
を更に具備し、
前記通信予約手段は、前記運行情報データベースを参照し、前記所定の時間内に到達する前記地上装置に対して通信予約を行うものであることを特徴とする請求項1に記載の列車制御システム。 - 前記通信予約手段は、所定の時間間隔で処理を繰り返し、前記列車が通過した前記地上装置に対する予約、または前記所定の時間までに到達できなくなった前記地上装置に対する予約を解放するものであることを特徴とする請求項5に記載の列車制御システム。
- 前記リスク管理手段は、前記符号化用鍵を周期的に更新することを特徴とする請求項2に記載の列車制御システム。
- 前記通信路支障検知手段は、前記要求側が前記第2通信路を介して前記乱数を前記応答側に送信し、前記応答側が前記乱数に基づいて待機時間を算出し、前記応答側が前記待機時間の経過後に前記乱数に基づくデータを前記要求側に送信することを特徴とする請求項3に記載の列車制御システム。
- 列車に搭載される車上装置と線路に沿って配置される地上装置が無線通信路である第1通信路を介して通信を行い、前記地上装置と中央管理装置が前記第1通信路と異なる第2通信路を介して通信を行うことによって前記列車を制御する列車制御方法であって、
前記車上装置が、自らを証明するための証明書を用いて前記中央管理装置に認証要求を行う認証要求ステップと、
前記中央管理装置が、前記車上装置からの認証要求に応じて、前記証明書が登録されている証明書データベースを参照し、提示された前記証明書が前記証明書データベースに存在するかを確認し、存在する場合には、前記地上装置との無線通信が許可されたことを示す列車ごとの通信許可情報を前記車上装置に送信する認証ステップと、
前記車上装置が、前記通信許可情報を用いて、前記地上装置に対して通信予約を行う通信予約ステップと、
前記地上装置が、前記車上装置からの通信予約を受け付ける通信予約受付ステップと、
前記地上装置が、通信予約を行った前記車上装置の前記通信許可情報を所定の時間まで有効とみなし、前記車上装置の通信可否を判定する通信可否判定ステップと、
を含むことを特徴とする列車制御方法。 - 前記中央管理装置が、制御コードの符号化用鍵を前記地上装置に送信するステップと、
前記中央管理装置が、外部からの攻撃を検知すると、前記地上装置に前記制御コードの符号化を指示するリスク管理ステップと、
前記中央管理装置から送信される前記符号化用鍵から部分鍵を生成し、前記制御コードの符号化指示と合わせて前記車上装置に伝達する符号化用部分鍵伝達ステップと、
前記車上装置が、複数の前記地上装置から前記部分鍵を受信して前記符号化用鍵を生成し、前記制御コードの符号化を行う符号化ステップと、
を更に含むことを特徴とする請求項9に記載の列車制御方法。 - 更に、前記地上装置が、隣接する他の前記地上装置との間で、一方が要求側、他方が応答側となり、前記第1通信路と前記第2通信路の両方で乱数または乱数に基づくデータの送受信を行い、前記第1通信路の支障と前記地上装置の故障とを区別して通信路支障を検知する通信路支障検知ステップ、を定期的に行うことを特徴とする請求項9に記載の列車制御方法。
- 前記中央管理装置が、前記地上装置が保持する通信予約の情報に含まれる前記通信許可情報から前記列車を識別し、予約された前記地上装置の範囲を前記列車ごとに取得することで、前記列車の在線位置を把握する在線位置管理ステップ、
を更に含むことを特徴とする請求項9に記載の列車制御方法。 - 前記通信予約ステップは、運転曲線、路線情報、前記地上装置の位置情報、前記列車の在線位置情報、保安装置の位置情報および遮断情報を含む運行情報データベースを参照し、前記所定の時間内に到達する前記地上装置に対して通信予約を行うものであることを特徴とする請求項9に記載の列車制御方法。
- 前記通信予約ステップは、所定の時間間隔で処理を繰り返し、前記列車が通過した前記地上装置に対する予約、または前記所定の時間までに到達できなくなった前記地上装置に対する予約を解放するものであることを特徴とする請求項13に記載の列車制御方法。
- 前記リスク管理ステップは、前記符号化用鍵を周期的に更新することを特徴とする請求項10に記載の列車制御方法。
- 前記通信路支障検知ステップは、前記要求側が前記第2通信路を介して前記乱数を前記応答側に送信し、前記応答側が前記乱数に基づいて待機時間を算出し、前記応答側が前記待機時間の経過後に前記乱数に基づくデータを前記要求側に送信することを特徴とする請求項11に記載の列車制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009082050A JP5087579B2 (ja) | 2009-03-30 | 2009-03-30 | 列車制御システム及び列車制御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009082050A JP5087579B2 (ja) | 2009-03-30 | 2009-03-30 | 列車制御システム及び列車制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010234829A true JP2010234829A (ja) | 2010-10-21 |
JP5087579B2 JP5087579B2 (ja) | 2012-12-05 |
Family
ID=43089608
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009082050A Expired - Fee Related JP5087579B2 (ja) | 2009-03-30 | 2009-03-30 | 列車制御システム及び列車制御方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5087579B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014015078A (ja) * | 2012-07-06 | 2014-01-30 | Hitachi Ltd | 旅客案内システム |
JP2016508244A (ja) * | 2012-11-29 | 2016-03-17 | タレス・カナダ・インクThales Canada Inc. | リソース割当またはリソース解放の方法および装置 |
WO2019008840A1 (ja) * | 2017-07-04 | 2019-01-10 | 株式会社日立製作所 | 列車間隔制御システム及び列車間隔制御方法 |
CN111152818A (zh) * | 2020-01-03 | 2020-05-15 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种运行图阶段计划逻辑检查方法 |
JP7360306B2 (ja) | 2019-11-19 | 2023-10-12 | 東日本旅客鉄道株式会社 | 列車自動運転用通信システム |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002046614A (ja) * | 2000-08-04 | 2002-02-12 | Toshiba Corp | 車両交通システムの在線管理システム及び在線管理方法 |
JP2005238970A (ja) * | 2004-02-26 | 2005-09-08 | Oki Electric Ind Co Ltd | 安全運行支援システム及び安全運行支援方法 |
-
2009
- 2009-03-30 JP JP2009082050A patent/JP5087579B2/ja not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002046614A (ja) * | 2000-08-04 | 2002-02-12 | Toshiba Corp | 車両交通システムの在線管理システム及び在線管理方法 |
JP2005238970A (ja) * | 2004-02-26 | 2005-09-08 | Oki Electric Ind Co Ltd | 安全運行支援システム及び安全運行支援方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014015078A (ja) * | 2012-07-06 | 2014-01-30 | Hitachi Ltd | 旅客案内システム |
JP2016508244A (ja) * | 2012-11-29 | 2016-03-17 | タレス・カナダ・インクThales Canada Inc. | リソース割当またはリソース解放の方法および装置 |
WO2019008840A1 (ja) * | 2017-07-04 | 2019-01-10 | 株式会社日立製作所 | 列車間隔制御システム及び列車間隔制御方法 |
JPWO2019008840A1 (ja) * | 2017-07-04 | 2020-05-21 | 株式会社日立製作所 | 列車間隔制御システム及び列車間隔制御方法 |
JP7360306B2 (ja) | 2019-11-19 | 2023-10-12 | 東日本旅客鉄道株式会社 | 列車自動運転用通信システム |
CN111152818A (zh) * | 2020-01-03 | 2020-05-15 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种运行图阶段计划逻辑检查方法 |
CN111152818B (zh) * | 2020-01-03 | 2021-12-28 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种运行图阶段计划逻辑检查方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5087579B2 (ja) | 2012-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11184180B2 (en) | Cryptographic methods and systems using blinded activation codes for digital certificate revocation | |
JP6329163B2 (ja) | インフラのサポートによる車両ネットワークでの確率的鍵配送 | |
KR101701793B1 (ko) | 핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록 | |
US20050254653A1 (en) | Pre-authentication of mobile clients by sharing a master key among secured authenticators | |
CN109963279B (zh) | 一种应用于动态自组网的混合加密方法 | |
JP5087579B2 (ja) | 列車制御システム及び列車制御方法 | |
CN101874419B (zh) | 为有源rfid标签提供安全通信 | |
Reddy et al. | Sybil attack detection technique using session key certificate in vehicular ad hoc networks | |
JP5016394B2 (ja) | 無線制御セキュリティシステム | |
JP6092548B2 (ja) | 無線システム及び列車制御システム | |
Lipiński et al. | Towards effective security framework for vehicular ad-hoc networks | |
Melaragno et al. | Rail radio intrusion detection system (RRIDS) for communication based train control (CBTC) | |
JP5503692B2 (ja) | 無線制御セキュリティシステム | |
US8855604B2 (en) | Roaming authentication method for a GSM system | |
Wang et al. | ARPLR: An all-round and highly privacy-preserving location-based routing scheme for VANETs | |
Bouassida | Authentication vs. Privacy within Vehicular Ad Hoc Networks. | |
JP7141723B2 (ja) | 無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法 | |
KR101780280B1 (ko) | 비밀키 교체 방식을 적용한 주행기록 보안 기법 및 및 그 장치 | |
CN100499899C (zh) | 一种防止重放攻击的方法 | |
Akhlaq et al. | Empowered certification authority in vanets | |
KR102287052B1 (ko) | 플러그 앤 플레이를 지원하는 멀티캐스트 그룹 기반 열차주행제어시스템 보안 장치 | |
KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
KR101393180B1 (ko) | 패킷 워터마킹을 통한 로그 ap 탐지 방법 및 시스템 | |
Chen et al. | Design of a secure communication and handoff protocol for VANETs | |
JP2018032979A (ja) | サービス提供システムおよび方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110309 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120522 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120523 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120711 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120904 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120910 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150914 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |