JP2010234829A - 列車制御システム及び列車制御方法 - Google Patents
列車制御システム及び列車制御方法 Download PDFInfo
- Publication number
- JP2010234829A JP2010234829A JP2009082050A JP2009082050A JP2010234829A JP 2010234829 A JP2010234829 A JP 2010234829A JP 2009082050 A JP2009082050 A JP 2009082050A JP 2009082050 A JP2009082050 A JP 2009082050A JP 2010234829 A JP2010234829 A JP 2010234829A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- train
- reservation
- ground device
- ground
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】悪意者のなりすまし、通信妨害等の対策がなされた高セキュリティな列車制御システム等を提供する。
【解決手段】地上装置15に対する通信予約処理では、車上装置11の通信予約手段62が、地上装置15に対して通信予約を要求する。車上装置11の通信予約手段62は、運行情報データベース65を参照し、それぞれの地上装置15に到達する時間を予測して、所定の時間内に到達する地上装置15に対して通信予約を要求する。地上装置15の通信予約受付手段71は、車上装置11の通信予約を受け付ける。地上装置15の通信可否判定手段72は、通信予約を行った車上装置11の通信許可情報を所定の時間まで有効とみなし、車上装置11の通信可否を判定する。また、車上装置11の通信予約手段62は、列車運行の支障により地上装置15に到着する時間が遅れる場合、再び通信予約を行う。
【選択図】図5
【解決手段】地上装置15に対する通信予約処理では、車上装置11の通信予約手段62が、地上装置15に対して通信予約を要求する。車上装置11の通信予約手段62は、運行情報データベース65を参照し、それぞれの地上装置15に到達する時間を予測して、所定の時間内に到達する地上装置15に対して通信予約を要求する。地上装置15の通信予約受付手段71は、車上装置11の通信予約を受け付ける。地上装置15の通信可否判定手段72は、通信予約を行った車上装置11の通信許可情報を所定の時間まで有効とみなし、車上装置11の通信可否を判定する。また、車上装置11の通信予約手段62は、列車運行の支障により地上装置15に到着する時間が遅れる場合、再び通信予約を行う。
【選択図】図5
Description
本発明は、地上と車上との間の無線通信によって列車を制御する列車制御システム及び列車制御方法に関するものである。
現在運用されている列車制御システムは、レールと車輪で構成される電気回路(軌道回路)を用いて、リレー動作によって列車の在線位置の検出や現場機器の制御を行っている。また、無線によって同様の制御を行うことを目的とするシステムとして、CARAT(Computer And Radio Train control system)がある(特許文献1参照)。
しかしながら、CARATの開発以降、携帯電話や無線LAN(Local Area Network)が普及し、無線通信は当初の想定を超えて幅広い分野で利用され、セキュリティに関する多くの問題が指摘されている。従って、無線通信の汎用規格(例えば、IEEE801.11等)を列車制御システムに利用する場合、更なるセキュリティの確保が必要となる。
特に、列車制御システムでは、悪意者のなりすまし、通信妨害によって列車の安全な運行が妨げられることがあってはならない。
特に、列車制御システムでは、悪意者のなりすまし、通信妨害によって列車の安全な運行が妨げられることがあってはならない。
本発明は、前述した問題点に鑑みてなされたもので、その目的とすることは、悪意者のなりすまし、通信妨害等の対策がなされた高セキュリティな列車制御システム等を提供することである。
前述した目的を達成するために第1の発明は、列車に搭載される車上装置と線路に沿って配置される地上装置が無線通信路である第1通信路を介して通信を行い、前記地上装置と中央管理装置が前記第1通信路と異なる第2通信路を介して通信を行うことによって前記列車を制御する列車制御システムであって、前記車上装置は、自らを証明するための証明書と、前記証明書を用いて前記中央管理装置に認証要求を行う認証要求手段と、前記地上装置との無線通信が許可されたことを示す前記列車ごとの通信許可情報を用いて、前記地上装置に対して通信予約を行う通信予約手段と、を具備し、前記中央管理装置は、前記証明書が登録されている証明書データベースと、前記車上装置からの認証要求に応じて、提示された証明書が前記証明書データベースに存在するかを確認し、存在する場合には前記車上装置に前記通信許可情報を送信する認証手段と、を具備し、前記地上装置は、前記車上装置からの通信予約を受け付ける通信予約受付手段と、通信予約を行った前記車上装置の前記通信許可情報を所定の時間まで有効とみなし、前記車上装置の通信可否を判定する通信可否判定手段と、を具備することを特徴とする列車制御システムである。
第1の発明の列車制御システムを攻撃する悪意者は、時間的な制約と空間的な制約の両方を受けるので、第1の発明の列車制御システムは外部からの攻撃耐性が極めて高い。
第1の発明において、前記中央管理装置は、制御コードの符号化用鍵を前記地上装置に送信する手段と、外部からの攻撃を検知すると、前記地上装置に前記制御コードの符号化を指示するリスク管理手段と、を更に具備し、前記地上装置は、前記中央管理装置から送信される前記符号化用鍵から部分鍵を生成し、前記制御コードの符号化指示と合わせて前記車上装置に伝達する符号化用部分鍵伝達手段、を更に具備し、前記車上装置は、複数の前記地上装置から前記部分鍵を受信して前記符号化用鍵を生成し、前記制御コードの符号化を行う符号化手段、を更に具備することが望ましい。
これによって、仮に汎用的な規格によって行われる暗号化が解析されたとしても、セキュリティを保つことができる。
これによって、仮に汎用的な規格によって行われる暗号化が解析されたとしても、セキュリティを保つことができる。
第1の発明において、前記地上装置は、定期的に隣接する他の前記地上装置との間で、一方が要求側、他方が応答側となり、前記第1通信路と前記第2通信路の両方で乱数または乱数に基づくデータの送受信を行い、前記第1通信路の支障と前記地上装置の故障とを区別して通信路支障を検知する通信路支障検知手段、を更に具備することが望ましい。
これによって、攻撃者に攻撃の糸口を与えず、無線通信の支障を正確に行うことができる。
これによって、攻撃者に攻撃の糸口を与えず、無線通信の支障を正確に行うことができる。
第1の発明において、前記中央管理装置は、前記地上装置が保持する通信予約の情報に含まれる前記通信許可情報から前記列車を識別し、予約された前記地上装置の範囲を前記列車ごとに取得することで、前記列車の在線位置を把握する在線位置管理手段、を更に具備することが望ましい。
これによって、中央管理装置は、従来の無線列車制御と比べてより正確な在線位置の管理を行うことができる。
これによって、中央管理装置は、従来の無線列車制御と比べてより正確な在線位置の管理を行うことができる。
第1の発明において、前記車上装置は、運転曲線、路線情報、前記地上装置の位置情報、前記列車の在線位置情報、保安装置の位置情報および遮断情報を含む運行情報データベース、を更に具備し、前記通信予約手段は、前記運行情報データベースを参照し、前記所定の時間内に到達する前記地上装置に対して通信予約を行うものである。
また、前記通信予約手段は、所定の時間間隔で処理を繰り返し、前記列車が通過した前記地上装置に対する予約、または前記所定の時間までに到達できなくなった前記地上装置に対する予約を解放するものである。
また、前記通信予約手段は、所定の時間間隔で処理を繰り返し、前記列車が通過した前記地上装置に対する予約、または前記所定の時間までに到達できなくなった前記地上装置に対する予約を解放するものである。
第1の発明において、前記リスク管理手段は、前記符号化用鍵を周期的に更新することが望ましい。
これによって、鍵の保持制約をなくすことができる。
これによって、鍵の保持制約をなくすことができる。
第1の発明において、前記通信路支障検知手段は、前記要求側が前記第2通信路を介して前記乱数を前記応答側に送信し、前記応答側が前記乱数に基づいて待機時間を算出し、前記応答側が前記待機時間の経過後に前記乱数に基づくデータを前記要求側に送信することが望ましい。
これによって、外部からは確認周期が推測されることはない。また、待機時間を導入することで、通信予約処理において予約のタイムアウトを計測するためのタイマーの動作検証も可能となる。
これによって、外部からは確認周期が推測されることはない。また、待機時間を導入することで、通信予約処理において予約のタイムアウトを計測するためのタイマーの動作検証も可能となる。
第2の発明は、列車に搭載される車上装置と線路に沿って配置される地上装置が無線通信路である第1通信路を介して通信を行い、前記地上装置と中央管理装置が前記第1通信路と異なる第2通信路を介して通信を行うことによって前記列車を制御する列車制御方法であって、前記車上装置が、自らを証明するための証明書を用いて前記中央管理装置に認証要求を行う認証要求ステップと、前記中央管理装置が、前記車上装置からの認証要求に応じて、前記証明書が登録されている証明書データベースを参照し、提示された前記証明書が前記証明書データベースに存在するかを確認し、存在する場合には、前記地上装置との無線通信が許可されたことを示す列車ごとの通信許可情報を前記車上装置に送信する認証ステップと、前記車上装置が、前記通信許可情報を用いて、前記地上装置に対して通信予約を行う通信予約ステップと、前記地上装置が、前記車上装置からの通信予約を受け付ける通信予約受付ステップと、前記地上装置が、通信予約を行った前記車上装置の前記通信許可情報を所定の時間まで有効とみなし、前記車上装置の通信可否を判定する通信可否判定ステップと、を含むことを特徴とする列車制御方法である。
本発明により、悪意者のなりすまし、通信妨害等の対策がなされた高セキュリティな列車制御システム等を提供することができる。
以下図面に基づいて、本発明の実施形態を詳細に説明する。
<列車制御システム1の構成>
図1を参照しながら、列車制御システム1の全体構成について説明する。
図1は、列車制御システム1の全体構成を示す図である。図1に示すように、列車制御システム1は、列車3に配置される車上装置11、駅5に配置される管理装置13、線路に沿って配置される地上装置15、中央管理室7に配置される中央管理装置17等から構成される。
図1を参照しながら、列車制御システム1の全体構成について説明する。
図1は、列車制御システム1の全体構成を示す図である。図1に示すように、列車制御システム1は、列車3に配置される車上装置11、駅5に配置される管理装置13、線路に沿って配置される地上装置15、中央管理室7に配置される中央管理装置17等から構成される。
車上装置11は、無線通信路19を介して、地上装置15と通信を行う。車上装置11は、中央管理装置17からの指示に従って列車3の各種機器を制御するとともに、列車3の運行管理に必要な情報を中央管理装置17に送信する。車上装置11は、移動とともに通信を行う地上装置15を変更する。
管理装置13は、無線通信路19、有線通信路21を介して、地上装置15と通信を行う。また、管理装置13は、有線通信路21、ネットワーク9を介して、中央管理装置17と通信を行う。管理装置13は、周辺に配置されている複数の地上装置15を統括して管理する。
地上装置15は、無線通信路19を介して、車上装置11と通信を行う。また、地上装置15は、無線通信路19、有線通信路21を介して、他の地上装置15、管理装置13と通信を行う。地上装置15は、車上装置11が中央管理装置17とデータの送受信を行う為のアクセスポイントの役割を果たす。
中央管理装置17は、有線通信路21、ネットワーク9を介して、管理装置13と通信を行う。中央管理装置17は、複数の管理装置13と通信を行い、全ての列車3の運行管理を行う。
尚、有線通信路21は、通信傍受ができない安全な通信路であれば良く、有線に限定されない。以下では、安全な通信路は、有線通信路21によって構成されるものとして説明する。
管理装置13は、無線通信路19、有線通信路21を介して、地上装置15と通信を行う。また、管理装置13は、有線通信路21、ネットワーク9を介して、中央管理装置17と通信を行う。管理装置13は、周辺に配置されている複数の地上装置15を統括して管理する。
地上装置15は、無線通信路19を介して、車上装置11と通信を行う。また、地上装置15は、無線通信路19、有線通信路21を介して、他の地上装置15、管理装置13と通信を行う。地上装置15は、車上装置11が中央管理装置17とデータの送受信を行う為のアクセスポイントの役割を果たす。
中央管理装置17は、有線通信路21、ネットワーク9を介して、管理装置13と通信を行う。中央管理装置17は、複数の管理装置13と通信を行い、全ての列車3の運行管理を行う。
尚、有線通信路21は、通信傍受ができない安全な通信路であれば良く、有線に限定されない。以下では、安全な通信路は、有線通信路21によって構成されるものとして説明する。
次に、図2から図4を参照しながら、各装置のハードウェア構成について説明する。
図2は、車上装置11のハードウェア構成を示す図である。図2に示すように、車上装置11は、制御部31、記憶部32、無線通信部33等から構成される。尚、図2のハードウェア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
図2は、車上装置11のハードウェア構成を示す図である。図2に示すように、車上装置11は、制御部31、記憶部32、無線通信部33等から構成される。尚、図2のハードウェア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
制御部31は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等で構成される。CPUは、記憶部32、ROM等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、各装置を駆動制御し、車上装置11が行う後述する処理を実現する。
ROMは、不揮発性メモリであり、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持している。
RAMは、揮発性メモリであり、記憶部32、ROM等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。
ROMは、不揮発性メモリであり、コンピュータのブートプログラムやBIOS等のプログラム、データ等を恒久的に保持している。
RAMは、揮発性メモリであり、記憶部32、ROM等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。
記憶部32は、例えばHDD(ハードディスクドライブ)であり、制御部31が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、後述する処理を車上装置11に実行させるためのアプリケーションプログラムが格納されている。
これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
無線通信部33は、所定の規格を用いて無線通信を行う。無線通信部33は、例えば、IEEE802.11iを用いることにより、EAP−TLS(Extensible Authentication Protocol−Transport Layer Security)によって、車上装置11と中央管理装置17(または管理装置13)との間の相互認証、AES(Advanced Encryption Standard)暗号による送受信データの秘匿化を行う。
図3は、管理装置13(地上装置15)のハードウェア構成を示す図である。図3に示すように、管理装置13(地上装置15)は、制御部41、記憶部42、無線通信部43、有線通信部44等から構成される。尚、図3のハードウェア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。制御部41、記憶部42、無線通信部43は、図2と同様であるため説明を省略する。
有線通信部44は、所定の規格を用いて有線通信を行う。有線通信部44は、通信傍受ができない安全な有線通信路を用いる。
有線通信部44は、所定の規格を用いて有線通信を行う。有線通信部44は、通信傍受ができない安全な有線通信路を用いる。
図4は、中央管理装置17のハードウェア構成を示す図である。図4に示すように、中央管理装置17は、制御部51、記憶部52、有線通信部53等から構成される。尚、図4のハードウェア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。制御部51、記憶部52、有線通信部53は、図2、図3と同様であるため説明を省略する。
<列車制御システム1の処理概要>
次に、図5から図7を参照しながら、各装置の機能構成と列車制御システム1が行う処理の概要について説明する。
図5は、車上装置11の機能構成を示す図である。図5に示すように、車上装置11は、認証要求手段61、通信予約手段62、符号化手段63、証明書64、運行情報データベース65等を備える。
図6は、地上装置15の機能構成を示す図である。図6に示すように、地上装置15は、通信予約受付手段71、通信可否判定手段72、符号伝達手段73、通信路支障検知手段74等を備える。
図7は、中央管理装置17の機能構成を示す図である。図7に示すように、中央管理装置17は、認証手段81、在線位置管理手段82、リスク管理手段83、証明書データベース84等を備える。
尚、図7に示す一部の機能は、管理装置13が備えても良い。例えば、管理装置13が認証手段81、証明書データベース84等を備えて、車上装置11を認証するようにしても良い。以下では、混乱を避けるため、中央管理装置17が図7に示す機能を備えるものとして説明する。
次に、図5から図7を参照しながら、各装置の機能構成と列車制御システム1が行う処理の概要について説明する。
図5は、車上装置11の機能構成を示す図である。図5に示すように、車上装置11は、認証要求手段61、通信予約手段62、符号化手段63、証明書64、運行情報データベース65等を備える。
図6は、地上装置15の機能構成を示す図である。図6に示すように、地上装置15は、通信予約受付手段71、通信可否判定手段72、符号伝達手段73、通信路支障検知手段74等を備える。
図7は、中央管理装置17の機能構成を示す図である。図7に示すように、中央管理装置17は、認証手段81、在線位置管理手段82、リスク管理手段83、証明書データベース84等を備える。
尚、図7に示す一部の機能は、管理装置13が備えても良い。例えば、管理装置13が認証手段81、証明書データベース84等を備えて、車上装置11を認証するようにしても良い。以下では、混乱を避けるため、中央管理装置17が図7に示す機能を備えるものとして説明する。
列車制御システム1は、地上車上間の無線通信を安全に行うとともに、正確な在線位置管理を行う為、下記の処理を行う。
(1)車上装置11と中央管理装置17との相互認証処理
(2)地上装置15に対する通信予約処理
(3)攻撃検知時における符号化処理
(4)通信路支障の検知処理
(5)通信予約を用いた在線位置把握処理
(1)車上装置11と中央管理装置17との相互認証処理
(2)地上装置15に対する通信予約処理
(3)攻撃検知時における符号化処理
(4)通信路支障の検知処理
(5)通信予約を用いた在線位置把握処理
IEEE802.11i(EAP)では、IEEE802.1Xに基づく証明書認証を行う。これを列車制御に適用した場合の手順を示す。
(1)車上装置11と中央管理装置17との相互認証処理では、車上装置11の認証要求手段61が、記憶部32に保持する証明書64を用いて認証要求を行う。この認証要求手段は、IEEE802.1XおよびRADIUS(Remote Authentication Dial In User Service)に従い、ここでは認証装置である中央管理装置17に要求が行われるものとする。
中央管理装置17の認証手段81は、認証要求をした車上装置11について、記憶部52に保持する証明書データベース84に該当する証明書64が存在し、かつその線区を走る諸条件を満たすことを確認し、車上装置11の認証を行う。
車上装置11及び地上装置15は、認証により通信確立用の鍵(PMK:Pairwise Master Key)を得る。この通信確立用の鍵によって通信セッション鍵(PTK:Pairwise Transient Key)を暗号化して配信する。通信確立用の鍵は、以下の説明で通信許可情報(車上装置11と地上装置15の間の無線通信の許可情報)として扱う。通信セッション鍵は、通信鍵(車上装置11と地上装置15の間の、通信伝文を暗号化する秘匿化情報)として扱う。中央管理装置17の記憶部52には、車上装置11を認証したログ情報が記録され、このログは中央管理装置17が管理する線区内に車上装置11が設置された列車が在線することを示す最もプリミティブな在線位置情報として扱う。
(1)車上装置11と中央管理装置17との相互認証処理では、車上装置11の認証要求手段61が、記憶部32に保持する証明書64を用いて認証要求を行う。この認証要求手段は、IEEE802.1XおよびRADIUS(Remote Authentication Dial In User Service)に従い、ここでは認証装置である中央管理装置17に要求が行われるものとする。
中央管理装置17の認証手段81は、認証要求をした車上装置11について、記憶部52に保持する証明書データベース84に該当する証明書64が存在し、かつその線区を走る諸条件を満たすことを確認し、車上装置11の認証を行う。
車上装置11及び地上装置15は、認証により通信確立用の鍵(PMK:Pairwise Master Key)を得る。この通信確立用の鍵によって通信セッション鍵(PTK:Pairwise Transient Key)を暗号化して配信する。通信確立用の鍵は、以下の説明で通信許可情報(車上装置11と地上装置15の間の無線通信の許可情報)として扱う。通信セッション鍵は、通信鍵(車上装置11と地上装置15の間の、通信伝文を暗号化する秘匿化情報)として扱う。中央管理装置17の記憶部52には、車上装置11を認証したログ情報が記録され、このログは中央管理装置17が管理する線区内に車上装置11が設置された列車が在線することを示す最もプリミティブな在線位置情報として扱う。
相互認証処理には煩雑な通信と複雑な公開鍵暗号の復号処理が伴う為、高速ローミング用にIEEE802.11r規格が定められている。移動体側が現在通信を確立している装置に対して、次に通信確立すると予想される装置へ通信許可情報を配信するよう指示することによりハンドオーバー時の相互認証を省略することができる。
列車制御においてこれを適用すると、地上車上間通信を秘匿化する通信鍵は列車3と地上装置15の通信セッション毎に生成されるため、総当たり攻撃によって、ある列車3の通信鍵が解読されたとしても他の列車3の通信には支障がない。また、列車3が移動することによって地上装置15との通信セッションは終了し、それに伴い通信鍵は失効するため、攻撃側に対して空間的な制約を与えることができる。そこで、攻撃側は、通信許可情報の解析を試みると考えられる。通信許可情報の解析に対応するため、列車制御システム1は、(2)地上装置15に対する通信予約処理を行う。
列車制御においてこれを適用すると、地上車上間通信を秘匿化する通信鍵は列車3と地上装置15の通信セッション毎に生成されるため、総当たり攻撃によって、ある列車3の通信鍵が解読されたとしても他の列車3の通信には支障がない。また、列車3が移動することによって地上装置15との通信セッションは終了し、それに伴い通信鍵は失効するため、攻撃側に対して空間的な制約を与えることができる。そこで、攻撃側は、通信許可情報の解析を試みると考えられる。通信許可情報の解析に対応するため、列車制御システム1は、(2)地上装置15に対する通信予約処理を行う。
(2)地上装置15に対する通信予約処理では、車上装置11の通信予約手段62が、地上装置15に対して通信予約を要求する。車上装置11の通信予約手段62は、記憶部32に保持する運行情報データベース65を参照し、それぞれの地上装置15に到達する時間を予測して、所定の時間内に到達する地上装置15に対して通信予約を要求する。
地上装置15の通信予約受付手段71は、車上装置11の通信予約を受け付ける。地上装置15の通信可否判定手段72は、通信予約を行った車上装置11の通信許可情報を予約された列車到着時間から所定の時間まで(タイムアウトするまで)有効とみなし、車上装置11の通信可否を判定する。
また、車上装置11の通信予約手段62は、列車運行の支障により地上装置15に到着する時間が遅れる場合、再び通信予約を行う。通信予約処理の詳細は後述する。
地上装置15の通信予約受付手段71は、車上装置11の通信予約を受け付ける。地上装置15の通信可否判定手段72は、通信予約を行った車上装置11の通信許可情報を予約された列車到着時間から所定の時間まで(タイムアウトするまで)有効とみなし、車上装置11の通信可否を判定する。
また、車上装置11の通信予約手段62は、列車運行の支障により地上装置15に到着する時間が遅れる場合、再び通信予約を行う。通信予約処理の詳細は後述する。
通信予約処理によって、攻撃側は空間的な制約だけでなく、時間的な制約を受ける。従って、本実施の形態に係る列車制御システム1は、外部からの攻撃耐性が極めて高いシステムと言える。
(3)攻撃検知時における符号化処理では、中央管理装置17の在線位置管理手段82が攻撃を検知する。攻撃側が通信許可情報を完全に解析した場合、システム上に同一列車が同時に複数現れる(正規の車上装置11と攻撃側の両方が表れる)ことになるので、この状態を外部からの攻撃ありと判断する。中央管理装置17のリスク管理手段83は、外部からの攻撃を検知すると、地上装置15に制御コードの符号化を指示する。
地上装置15の符号化用鍵伝達手段73は、秘密分散法によって符号化用鍵を車上装置11に伝達する。
車上装置11の符号化手段63は、制御コードに符号化を行い、地上装置15と通信を行う。符号化処理の詳細は後述する。
地上装置15の符号化用鍵伝達手段73は、秘密分散法によって符号化用鍵を車上装置11に伝達する。
車上装置11の符号化手段63は、制御コードに符号化を行い、地上装置15と通信を行う。符号化処理の詳細は後述する。
DES(Data Encryption Standard)やAES(Advanced Encryption Standard)といった所定の規格による暗号方式は、計算機性能の向上とともにいずれ攻撃に有効な時間内に解析される可能性がある。従って、AES等を用いて暗号化を行うデータリンク層、物理層レベルの暗号化のみに依存することは危険である。特に、列車制御用機器は長期間において使用が見込まれるため、更なる対策が必要と考えられる。そこで、本実施の形態に係る列車制御システム1では、攻撃を検知した場合、アプリケーション層レベルの符号化を実行する。これは、鍵の配布と使用方法をシステムとして定めることで、特定の暗号化アルゴリズムに依存しないことを目的とする。これによって、大規模なシステム変更を行うことなく、長期間安全に運用することができる。
(4)通信路支障の検知処理では、地上装置15の通信路支障検知手段74が定期的に隣接する地上装置15との間でデータ(乱数、チェックコード等)の送受信を行う。隣接する2つの地上装置15は、一方が要求側、他方が応答側となり、無線通信路19と有線通信路21の両方でデータの送受信を行うことで、無線通信路19の支障と地上装置15の故障とを区別して通信路支障を検知する。通信路支障の検知処理の詳細は後述する。
無線通信路19の支障を検知するため、隣接する地上装置15が無線通信路19を用いて定期的にデータの送受信を行うだけでは、無線通信路19の支障と地上装置15の故障とを区別することができない。また、送受信するデータが平文である場合、リプレイ攻撃に利用される危険があり、暗号文である場合、既知平文攻撃を受ける恐れがある。従って、暗号を用いずに無線通信路19の支障を検知する必要がある。本実施の形態に係る列車制御システム1では、暗号を用いずに無線通信路19の支障と地上装置15の故障とを区別して検知することができる。これによって、攻撃者に攻撃の糸口を与えず、無線通信の支障を正確に行うことができる。
(5)通信予約を用いた在線位置把握処理では、中央管理装置17の在線位置管理手段82が通信予約の情報を監視し、全ての列車3の在線位置を地上装置15から取得する。中央管理装置17の在線位置管理手段82は、通信予約の情報に含まれる通信許可情報(=列車3ごとに発行される認証情報)から列車3を識別し、予約された地上装置15の範囲を列車3ごとに取得することで、在線位置を把握する。在線位置把握処理の詳細は後述する。
通信予約を用いた在線位置把握処理によって、従来の無線列車制御と比べてより正確な在線位置の管理を行うことができる。また、システムが一時的にダウンして在線位置の情報を失った場合も、地上装置15が保持する通信予約の情報を個別あるいは全体から一斉に取得することで、在線位置の情報を再構築することができる。このとき、中央管理装置17は、地上装置15が保持する情報を取得すればよいことから、車上装置17と直接通信を行う必要はないため、車上装置11が故障した場合にも対応できる。
<(2)地上装置15に対する通信予約処理の詳細>
まず、図8から図11を参照しながら、用語の説明を行う。
図8は、停止限界を説明するための図である。列車3aの停止限界とは、前方を走行する列車3b、保安装置(踏切)(不図示)等によって決まる絶対停止位置のことである。停止限界までは走行許可が与えられているとみなす。列車3aと列車3bの間に保安装置がある場合、保安装置が遮断完了するまでは保安装置の位置が列車3aの停止限界となる。また、保安装置が遮断完了後は列車3bの位置が列車3aの停止限界となる。列車3bの移動に伴い、列車3aの停止限界も移動する。
まず、図8から図11を参照しながら、用語の説明を行う。
図8は、停止限界を説明するための図である。列車3aの停止限界とは、前方を走行する列車3b、保安装置(踏切)(不図示)等によって決まる絶対停止位置のことである。停止限界までは走行許可が与えられているとみなす。列車3aと列車3bの間に保安装置がある場合、保安装置が遮断完了するまでは保安装置の位置が列車3aの停止限界となる。また、保安装置が遮断完了後は列車3bの位置が列車3aの停止限界となる。列車3bの移動に伴い、列車3aの停止限界も移動する。
図9は、運転曲線を説明するための図である。図9は、A駅からB駅までの運転曲線を示している。運転曲線とは、線区での標準的なキロ程を横軸、速度・時間を縦軸とした速度曲線と時間曲線で構成される曲線である。列車3の速度、位置が運転曲線から乖離していなければ、時間曲線に基づいて地上装置15までの到達予測時間(または到着予測時刻)を導出することができる。また、列車3の速度・位置が運転曲線から乖離していれば、列車3の運行が支障していることが分かる。
図10は、予約限界を説明するための図である。予約限界とは、通信予約処理において、車上装置11が予約対象とする地上装置15の限界を示す位置である。予約限界は、例えば、運転曲線、あるいは列車3の最高速度を用いて、現在時刻から所定の時間(T秒)経過した後に到達する位置とする。通信予約処理では、列車3の前方に位置する地上装置15から予約限界までの地上装置15を予約対象とし、予約対象の地上装置15の一覧を予約AP(アクセスポイント)リストとする。以下では、地上装置15をAP(アクセスポイント)と呼ぶ場合もある。
図11は、停止位置を説明するための図である。停止位置とは、列車3が通信予約をしている最も遠い地上装置15の位置である。通信予約処理において、車上装置11は、予約APリストに含まれる地上装置15に対して通信予約を依頼する。このとき、他の列車3が通信予約済みで解放していない場合、通信予約に失敗する。図11では、予約対象である4つの地上装置15の中で、4つ目の地上装置15の通信予約に失敗している。この場合、停止位置は通信予約が成功した3つ目の地上装置15の位置となり、速度曲線等が修正される。
次に、図12、図13を参照しながら、通信予約と停止限界が独立している場合の通信予約処理の詳細について説明する。図12、図13は、通信予約と停止限界が独立している場合の通信予約処理の詳細を示すフローチャートである。通信予約処理は所定の時間間隔で実行する。
車上装置11の制御部31は、記憶部32の運行情報データベース65を参照し、停止限界までのAPを抽出し、APリストを生成し、記憶部32またはRAMに保持する(S101)。運行情報データベース65は、運転曲線、路線情報に加えて、地上装置15の位置情報、列車3の在線位置情報、保安装置の位置情報および遮断情報を含む。運行情報データベース65は、中央管理装置17からの情報によって随時更新される。
次に、制御部31は、現在位置および運転曲線または列車3の最高速度からT秒後に到達する位置を算出してAPリストの中から予約限界を決定し(S102)、予約APリストを作成し、記憶部32またはRAMに保持する(S103)。
次に、制御部31は、予約APリストに含まれる全てのAPに対して、ループ処理(S104からS112までの処理)を実行する。ループ処理は、列車3に最も近いAPから順に実行する。
ループ処理では、制御部31は、現在時刻、列車3の現在位置および最新の運転曲線から、対象APまでの到着予測時刻を算出する(S105)。算出した到着予測時刻は、予約APリストとともに記憶部32またはRAMに保持する。
次に、制御部31は、旧予約APリストに対象のAPが存在するか確認する(S106)。
存在する場合(S106のYES)、S107に進む。
存在しない場合(S106のNO)、S110に進む。
存在する場合(S106のYES)、S107に進む。
存在しない場合(S106のNO)、S110に進む。
S107では、制御部31は、旧予約APリストの到着予測時刻とS105で算出した到着予測時刻が同じかどうか確認する。
同じである場合(S107のYES)、制御部31は、旧予約APリストの情報を予約APリストにコピーする(S108)。
同じでない場合(S107のNO)、制御部31は、再予約を行う(S109)。再予約では自らが対象のAPを予約中であるため、予約に失敗することはなく、算出した到着予測時刻に基づいてタイムアウト時間が更新される。尚、タイムアウト時間は通信予約処理を繰り返す所定の時間よりも十分に長いため、通信が正常である限りタイムアウトになって予約が破棄されることはない。
いずれの場合であっても、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S113に進む。
同じである場合(S107のYES)、制御部31は、旧予約APリストの情報を予約APリストにコピーする(S108)。
同じでない場合(S107のNO)、制御部31は、再予約を行う(S109)。再予約では自らが対象のAPを予約中であるため、予約に失敗することはなく、算出した到着予測時刻に基づいてタイムアウト時間が更新される。尚、タイムアウト時間は通信予約処理を繰り返す所定の時間よりも十分に長いため、通信が正常である限りタイムアウトになって予約が破棄されることはない。
いずれの場合であっても、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S113に進む。
S110では、制御部31は、対象のAPに通信予約を行うため、近接の地上装置15と通信を行い、通信予約を要求する(S110)。近接の地上装置15の制御部41は、対象のAPと通信を行い、通信予約が可能かどうかを問い合わせ、結果を車上装置11に送信する。
予約が成功した場合(S111のYES)、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S113に進む。
予約が失敗した場合(S111のNO)、制御部31は、ループ処理を抜けて、S114に進む。予約が失敗する場合とは、他の車上装置11が予約済で解放していない場合である。
予約が成功した場合(S111のYES)、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S113に進む。
予約が失敗した場合(S111のNO)、制御部31は、ループ処理を抜けて、S114に進む。予約が失敗する場合とは、他の車上装置11が予約済で解放していない場合である。
S113では、制御部31は、予約APリストの最終APを停止位置とする。
一方、S114では、制御部31は、S110で予約が失敗したAPより一つ手前のAPを停止位置とする。
一方、S114では、制御部31は、S110で予約が失敗したAPより一つ手前のAPを停止位置とする。
次に、制御部31は、旧予約APリストの過剰な予約を解放する(S115)。旧予約APリストの過剰な予約とは、列車3が通過したAPに対する予約、または所定の時間までに到達できなくなったAPに対する予約である。制御部31は、近接の地上装置15と通信を行い、予約解放を要求する。近接の地上装置15の制御部41は、自分よりも手前のAPである地上装置15と通信を行い、予約解放を指示する。また、近接の地上装置15の制御部41は、停止位置よりも奥のAPである地上装置15と通信を行い、予約解放を指示する。
次に、制御部31は、予約APリストを旧予約APリストに切り替えて(S116)、処理を終了する。
次に、制御部31は、予約APリストを旧予約APリストに切り替えて(S116)、処理を終了する。
以上のとおり、車上装置11はT秒後までに到達予定のAPに対して通信予約を行う。通信予約を受け付けたAPである地上装置15は、通信予約がタイムアウトするまでの間、対象の車上装置11からのアクセスのみを認める。車上装置11は、停止位置までは地上装置15との無線通信が可能である。
次に、図14、図15を参照しながら、通信予約と停止限界がリンクしている場合の通信予約処理の詳細について説明する。図14、図15は、通信予約と停止限界がリンクしている場合の通信予約処理の詳細を示すフローチャートである。通信予約処理は所定の時間間隔で実行する。
車上装置11の制御部31は、記憶部32の運行情報データベース65を参照し、運転曲線または列車3の最高速度から、T秒後に到達する位置を算出して予約限界を決定し(S201)、予約APリストを作成し、記憶部32またはRAMに保持する(S202)。
次に、制御部31は、予約APリストに含まれる全てのAPに対して、ループ処理(S203からS212までの処理)を実行する。ループ処理は、列車3に最も近いAPから順に実行する。
次に、制御部31は、予約APリストに含まれる全てのAPに対して、ループ処理(S203からS212までの処理)を実行する。ループ処理は、列車3に最も近いAPから順に実行する。
ループ処理では、制御部31は、現在時刻、列車3の現在位置および最新の運転曲線から、対象APまでの到着予測時刻を算出する(S204)。算出した到着予測時刻は、予約APリストとともに記憶部32またはRAMに保持する。
次に、制御部31は、旧予約APリストに対象のAPが存在するか確認する(S205)。
存在する場合(S205のYES)、S206に進む。
存在しない場合(S205のNO)、S209に進む。
存在する場合(S205のYES)、S206に進む。
存在しない場合(S205のNO)、S209に進む。
S206では、制御部31は、旧予約APリストの到着予測時刻とS204で算出した到着予測時刻が同じかどうか確認する。
同じである場合(S206のYES)、制御部31は、旧予約APリストの情報を予約APリストにコピーする(S207)。
同じでない場合(S206のNO)、制御部31は、再予約を行う(S208)。
いずれの場合であっても、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S213に進む。
同じである場合(S206のYES)、制御部31は、旧予約APリストの情報を予約APリストにコピーする(S207)。
同じでない場合(S206のNO)、制御部31は、再予約を行う(S208)。
いずれの場合であっても、制御部31は、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S213に進む。
S209では、制御部31は、対象のAPに通信予約を行うため、近接の地上装置15と通信を行い、通信予約を要求する(S209)。近接の地上装置15の制御部41は、対象のAPと通信を行い、通信予約が可能かどうかを問い合わせ、結果を車上装置11に送信する。
予約が成功した場合(S210のYES)、制御部31は、予約が成功したAPを停止限界とし(S211)、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S213に進む。
予約が失敗した場合(S210のNO)、制御部31は、ループ処理を抜けて、S213に進む。
予約が成功した場合(S210のYES)、制御部31は、予約が成功したAPを停止限界とし(S211)、次のAPに対してループ処理を繰り返す。全てのAPに対して処理が終了したら、制御部31は、S213に進む。
予約が失敗した場合(S210のNO)、制御部31は、ループ処理を抜けて、S213に進む。
S213では、制御部31は、旧予約APリストの過剰な予約を解放する。
次に、制御部31は、予約APリストを旧予約APリストに切り替えて(S214)、処理を終了する。
次に、制御部31は、予約APリストを旧予約APリストに切り替えて(S214)、処理を終了する。
以上のとおり、車上装置11はT秒後までに到達予定のAPに対して通信予約を行う。通信予約を受け付けたAPである地上装置15は、通信予約がタイムアウトするまでの間、対象の車上装置11からのアクセスのみを認める。車上装置11は、停止限界までは走行が許可されるとともに、地上装置15との無線通信が可能である。
<(3)攻撃検知時における符号化処理の詳細>
図16は、制御コードの符号化に用いる鍵の配布を説明するための図である。図16に示すように、中央管理装置17は、制御コードの符号化に用いる鍵Aを地上装置15a、15b、15cに一斉に配布する。地上装置15aは、配布された鍵Aから部分鍵aを生成し、車上装置11に部分鍵aを配布する。車上装置11が地上装置15bの位置に移動すると、地上装置15bは、配布された鍵Aから部分鍵bを生成し、車上装置11に部分鍵bを配布する。車上装置11が地上装置15cの位置に移動すると、地上装置15cは、配布された鍵Aから部分鍵cを生成し、車上装置11に部分鍵cを配布する。車上装置11は、部分鍵a、b、cから鍵Aを生成する。列車制御システム1では、列車3が地上装置15を順に追って走行する特性に着目し、図16に示すように、秘密分散法を用いて制御コードの符号化に用いる鍵を配布する。これによって、一定区間以上線路を走行する列車のみが符号化用の鍵を生成することができる。
図16は、制御コードの符号化に用いる鍵の配布を説明するための図である。図16に示すように、中央管理装置17は、制御コードの符号化に用いる鍵Aを地上装置15a、15b、15cに一斉に配布する。地上装置15aは、配布された鍵Aから部分鍵aを生成し、車上装置11に部分鍵aを配布する。車上装置11が地上装置15bの位置に移動すると、地上装置15bは、配布された鍵Aから部分鍵bを生成し、車上装置11に部分鍵bを配布する。車上装置11が地上装置15cの位置に移動すると、地上装置15cは、配布された鍵Aから部分鍵cを生成し、車上装置11に部分鍵cを配布する。車上装置11は、部分鍵a、b、cから鍵Aを生成する。列車制御システム1では、列車3が地上装置15を順に追って走行する特性に着目し、図16に示すように、秘密分散法を用いて制御コードの符号化に用いる鍵を配布する。これによって、一定区間以上線路を走行する列車のみが符号化用の鍵を生成することができる。
図17は、制御コードの符号化の実行を説明するための図である。図17に示すように、中央管理装置17がセキュリティ上の危険(なりすまし、攻撃等)を検知すると、地上装置15に符号化を指示する。地上装置15は、車上装置11から受信する制御コードに符号化を適用し、配布された鍵によって復号する。車上装置11は、制御コードを符号化し、地上装置15に送信する。これによって、仮に汎用的な規格によって行われるデータリンク層、物理層レベルの暗号化が解析されたとしても、セキュリティを保つことができる。
図18は、符号化処理における中央管理装置17と地上装置15の動作の詳細を示すフローチャートである。図18に示す処理は、中央管理装置17が所定の時間間隔で実行を開始する。
中央管理装置17の制御部51は、攻撃検知処理を行う(S301)。攻撃検知処理では、制御部51は、システム上に同一の列車3が複数存在しないかを在線位置管理手段82によって確認する。同一の列車3が複数存在する場合、いずれか一方は攻撃側のなりすましである可能性が高い為、攻撃であると検知する。また、制御部51は、地上装置15に対するアクセスログを確認し、不正アクセスがあるか確認する。例えば、通信予約されていない地上装置15にアクセスがあった場合、不正アクセスの可能性が高いため、攻撃であると検知する。
次に、中央管理装置17の制御部51は、攻撃ありと判断した場合(S302のYES)、地上装置15に符号化指示を送信する(S303)。地上装置15の制御部41は、符号化指示を受信し(S304)、記憶部42またはRAMに保持する符号化フラグをONにする(S305)。
次に、中央管理装置17の制御部51は、鍵の更新周期が経過したと判断した場合(S306のYES)、地上装置15に鍵を配布する(S307)。地上装置15の制御部41は、鍵を受信し(S308)、部分鍵を生成して(S309)、記憶部42またはRAMに保持する。
図19は、符号化処理における車上装置11と地上装置15の動作の詳細を示すフローチャートである。図19に示す処理は、車上装置11が地上装置15に制御コードを送信する場合に実行する。
車上装置11の制御部31は、地上装置15に通信要求を送信する(S401)。地上装置15の制御部41は、通信要求を受信し(S402)、要求が正規なものかどうかを確認する(S403)。
要求が正規でない場合(S403のNO)、制御部41は、中央管理装置17にアクセスログを送信し(S404)、処理を終了する。要求が正規でない場合とは、例えば、通信予約がされていない場合、または通信予約をした車上装置11からのアクセスではない場合等である。
要求が正規の場合(S403のYES)、制御部41は、S405に進む。
要求が正規でない場合(S403のNO)、制御部41は、中央管理装置17にアクセスログを送信し(S404)、処理を終了する。要求が正規でない場合とは、例えば、通信予約がされていない場合、または通信予約をした車上装置11からのアクセスではない場合等である。
要求が正規の場合(S403のYES)、制御部41は、S405に進む。
S405では、地上装置15の制御部41は、符号化フラグと部分鍵を車上装置11に送信する(S405)。車上装置11の制御部31は、符号化フラグと部分鍵を受信し(S406)、既に他の地上装置15から受信した部分鍵と合わせて、制御コードの符号化を行う鍵を生成する(S407)。
次に、車上装置11の制御部31は、地上装置15を制御するための制御コードを生成し(S408)、符号化指示があるかどうか確認する(S409)。受信した符号化フラグがONの場合には符号化指示あり、OFFの場合には符号化指示なしと判断する。
符号化指示ありの場合(S409のYES)、制御部31は、制御コードを符号化する(S410)。
符号化指示ありの場合(S409のYES)、制御部31は、制御コードを符号化する(S410)。
次に、車上装置11の制御部31は、地上装置15に制御コードを送信する(S411)。地上装置15の制御部41は、制御コードを受信し(S412)、制御コードを復号する(S413)。
制御コードの復号に失敗した場合(S414のNO)、処理を終了する。復号に失敗する場合とは、符号化フラグがONのときに、車上装置11が制御コードの符号化を実行していない場合、または失効した鍵を用いて符号化を実行している場合などである。
制御コードの復号に成功した場合(S414のYES)、地上装置15の制御部41は、制御コードを実行し(S414)、処理が完了したことを車上装置11に通知する(S416)。車上装置11の制御部31は、完了通知を受信し(S417)、処理を終了する。
制御コードの復号に失敗した場合(S414のNO)、処理を終了する。復号に失敗する場合とは、符号化フラグがONのときに、車上装置11が制御コードの符号化を実行していない場合、または失効した鍵を用いて符号化を実行している場合などである。
制御コードの復号に成功した場合(S414のYES)、地上装置15の制御部41は、制御コードを実行し(S414)、処理が完了したことを車上装置11に通知する(S416)。車上装置11の制御部31は、完了通知を受信し(S417)、処理を終了する。
以上のとおり、中央管理装置17が攻撃を検知すると、地上装置15に符号化を指示する。符号化に用いる鍵は、中央管理装置17が地上装置15に一斉に配布し、地上装置15は部分鍵を生成し、車上装置11に伝達する。車上装置11は、複数の部分鍵から符号化に用いる鍵を生成し、制御コードの符号化を行う。これによって、既存の暗号化が解析された場合であっても、セキュリティを保つことができる。また、複数の地上装置15が部分鍵を伝達することで、一定区間以上線路を走行する車上装置11のみが鍵を取得することができる。また、合わせて鍵を周期的に更新することで、鍵の保持制約をなくすことができる。
更に、制御コード長を予め倍ビット確保しておくことが望ましい。例えば、通常は128ビットの制御コード長で運用している場合、2倍の256ビットの制御コード長を確保しておき、攻撃を検知したときに2倍の制御コード長を利用する。これによって、符号化に対する解析の耐性を暫定的に高めることができる。システムを冗長的に構成しておくことは、運用開始後にシステムの更新を行う必要がないというメリットもある。
<(4)通信路支障の検知処理の詳細>
図20は、通信路支障の検知処理の詳細を示すフローチャートである。通信路支障の検知処理では、隣接する地上装置15aと地上装置15bが、一方は要求側、他方は応答側として処理を行う。図20では、地上装置15aが要求側、地上装置15bが応答側の場合を示している。通信路支障の検知処理は、所定の時間間隔で実行する。
図20は、通信路支障の検知処理の詳細を示すフローチャートである。通信路支障の検知処理では、隣接する地上装置15aと地上装置15bが、一方は要求側、他方は応答側として処理を行う。図20では、地上装置15aが要求側、地上装置15bが応答側の場合を示している。通信路支障の検知処理は、所定の時間間隔で実行する。
要求側である地上装置15aの制御部41は、2つの乱数を生成する(S501)。乱数を生成するシード値には、例えば、前述した符号化処理における鍵を用いても良い。地上装置15aの制御部41は、生成した2つの乱数のXOR(排他的論理和)を算出し、値が0である場合(S502のNO)、地上装置15aの論理回路が故障していると判断し、処理を終了する。
一方、2つの乱数のXORの値が0でない場合(S502のYES)、S503に進む。
一方、2つの乱数のXORの値が0でない場合(S502のYES)、S503に進む。
S503では、地上装置15aの制御部41は、安全な経路である有線通信路21を介して、2つの乱数とチェックコードを応答側である地上装置15bに送信する。チェックコードは、例えば、CRC(Cyclic Redundancy Check)である。
地上装置15bの制御部41は、2つの乱数とチェックコードを受信し(S504)、受信した2つの乱数からチェックコードを算出する(S505)。そして、地上装置15bの制御部41は、受信したチェックコードと、算出したチェックコードが一致するかどうかの検証結果を、有線通信路21を介して地上装置15aに送信する(S506)。地上装置15bの制御部41は、チェックコードが一致する場合はACKを送信し、不一致の場合はNACKを送信する。地上装置15aの制御部41は、チェックコードの検証結果(ACKまたはNACK)を受信する(S507)。
地上装置15bの制御部41は、2つの乱数とチェックコードを受信し(S504)、受信した2つの乱数からチェックコードを算出する(S505)。そして、地上装置15bの制御部41は、受信したチェックコードと、算出したチェックコードが一致するかどうかの検証結果を、有線通信路21を介して地上装置15aに送信する(S506)。地上装置15bの制御部41は、チェックコードが一致する場合はACKを送信し、不一致の場合はNACKを送信する。地上装置15aの制御部41は、チェックコードの検証結果(ACKまたはNACK)を受信する(S507)。
次に、地上装置15bの制御部41は、乱数に基づいて待機時間を算出し(S508)、待機時間の経過後に2つの乱数のXOR(排他的論理和)を、無線通信路19を介して地上装置15aに送信する(S509)。地上装置15aの制御部41は、2つの乱数のXORを受信し(S510)、支障判定を行い(S511)、処理を終了する。2つの乱数のXORは、無線通信路19を介してデータが改ざんされていないことを検証するために送受信する。
ランダムな待機時間の経過後に無線通信路19を介して通信を行うことで、外部からは確認周期が推測されることはない。また、待機時間を導入することで、通信予約処理において予約のタイムアウトを計測するためのタイマーの動作検証も可能となる。
ランダムな待機時間の経過後に無線通信路19を介して通信を行うことで、外部からは確認周期が推測されることはない。また、待機時間を導入することで、通信予約処理において予約のタイムアウトを計測するためのタイマーの動作検証も可能となる。
図21は、要求側の支障判定を示すフローチャートである。図21は、S511の支障判定の詳細を示すものである。
図21に示すように、要求側である地上装置15aの制御部41は、有線通信路21を介して、S507で受信したチェックコードの検証結果を確認する(S601)。
検証結果の返信がない場合(S601の返信なし)、応答側が故障していると判断する(S602)。
受信した検証結果がNACKの場合(S601のNACK)、要求側が故障していると判断する(S603)。
受信した検証結果がACKの場合(S601のACK)、次の判定を行う。
図21に示すように、要求側である地上装置15aの制御部41は、有線通信路21を介して、S507で受信したチェックコードの検証結果を確認する(S601)。
検証結果の返信がない場合(S601の返信なし)、応答側が故障していると判断する(S602)。
受信した検証結果がNACKの場合(S601のNACK)、要求側が故障していると判断する(S603)。
受信した検証結果がACKの場合(S601のACK)、次の判定を行う。
地上装置15aの制御部41は、無線通信路19を介して、S510で受信した2つの乱数のXORと、S502で自らが算出した2つの乱数のXORを比較する(S604)。
XORの返信がない場合(S604の返信なし)、無線通信路19が故障していると判断する(S605)。
XORが不一致の場合(S604のXOR不一致)、応答側が故障していると判断する(S606)。
XORが一致の場合(S604のXOR一致)、全て正常と判断する(S607)。
XORの返信がない場合(S604の返信なし)、無線通信路19が故障していると判断する(S605)。
XORが不一致の場合(S604のXOR不一致)、応答側が故障していると判断する(S606)。
XORが一致の場合(S604のXOR一致)、全て正常と判断する(S607)。
図22は、応答側の支障判定を示すフローチャートである。応答側である地上装置15bの制御部41は、図22に示すフローチャートに従い、要求側が故障しているか否かのみを判定する。図22に示す処理は、所定の時間間隔(但し、図20に示す処理が実行される時間間隔よりも長い。)で実行する。
地上装置15bの制御部41は、要求側から定期的に伝文があるか確認する(S701)。すなわち、図20に示す処理が定期的に実行され、S504にて2つの乱数とチェックコードを受信しているかを確認する。
定期的に伝文がない場合(S701のNO)、要求側が故障していると判断する(S702)。
定期的に伝文がある場合(S701のYES)、次の判定を行う。
定期的に伝文がない場合(S701のNO)、要求側が故障していると判断する(S702)。
定期的に伝文がある場合(S701のYES)、次の判定を行う。
地上装置15bの制御部41は、S506にて送信するチェックコードの検証結果を確認する(S703)。
チェックコードの検証結果が一致しない場合(S703の不一致)、要求が故障していると判断する(S704)。
チェックコードの検証結果が一致している場合(S703の一致)、次の判定を行う。
チェックコードの検証結果が一致しない場合(S703の不一致)、要求が故障していると判断する(S704)。
チェックコードの検証結果が一致している場合(S703の一致)、次の判定を行う。
地上装置15bの制御部41は、有線通信路21を介して、S504にて要求側から受信した2つの乱数のXORを確認する(S705)。
XORの値が0の場合(S705の「=0」)、要求側が故障していると判断する(S706)。
XORの値が0でない場合(S705の「≠0」)、要求側が正常と判断する(S707)。
XORの値が0の場合(S705の「=0」)、要求側が故障していると判断する(S706)。
XORの値が0でない場合(S705の「≠0」)、要求側が正常と判断する(S707)。
以上のとおり、隣接する地上装置15aと地上装置15bが、一方は要求側、他方は応答側として、有線通信路21および無線通信路19を介して、定期的に乱数やチェックコード等を送受信し、支障判定を行う。これによって、暗号を用いずに無線通信路19の支障と地上装置15の故障とを区別して検知することができる。
図20から図22に示した処理では、一回のデータ送受信の結果のみに基づいて故障判定を行っていたが、複数回の結果に基づいて故障判定を行っても良い。次に説明する図23と図24の処理では、正常度判定値を導入して、故障判定を行う。
図23は、正常度判定値を用いた場合の要求側の動作を示すフローチャートである。
前回の処理から所定の時間が経過すると、要求側である地上装置15aの制御部41は、2つの乱数を生成し(S801)、乱数に基づいて待機時間を算出する(S802)。次に、制御部41は、有線通信路21を介して、応答側である地上装置15bに2つの乱数とチェックコードを送信する(S803)。次に、地上装置15aの制御部41は、有線通信路21を介して応答側から応答があったかどうか確認する(S804)。ここでの応答では、応答側からチェックコードの検証結果が送信される。
有線通信路21を介して応答側から応答がない場合(S804のNO)、制御部41は、応答側の正常度判定値を減らし(S805)、S813に進む。
一方、応答がある場合(S804のYes)、S806に進む。
前回の処理から所定の時間が経過すると、要求側である地上装置15aの制御部41は、2つの乱数を生成し(S801)、乱数に基づいて待機時間を算出する(S802)。次に、制御部41は、有線通信路21を介して、応答側である地上装置15bに2つの乱数とチェックコードを送信する(S803)。次に、地上装置15aの制御部41は、有線通信路21を介して応答側から応答があったかどうか確認する(S804)。ここでの応答では、応答側からチェックコードの検証結果が送信される。
有線通信路21を介して応答側から応答がない場合(S804のNO)、制御部41は、応答側の正常度判定値を減らし(S805)、S813に進む。
一方、応答がある場合(S804のYes)、S806に進む。
S806では、地上装置15aの制御部41は、応答側から受信したチェックコードの検証結果がACKかどうか確認する。
ACKでない場合(S806のNO)、S803から繰り返す。
ACKの場合(S806のYES)、S802にて算出した待機時間だけ待機する(S807)。
ACKでない場合(S806のNO)、S803から繰り返す。
ACKの場合(S806のYES)、S802にて算出した待機時間だけ待機する(S807)。
待機時間が経過すると、地上装置15aの制御部41は、無線通信路19を介して応答側から応答があったかどうか確認する(S808)。ここでの応答では、応答側から2つの乱数のXORが送信される。
応答がない場合(S808のNO)、制御部41は、無線通信路19の正常度判定値を減らし(S809)、S813に進む。
応答があった場合(S808のYES)、S810に進む。
応答がない場合(S808のNO)、制御部41は、無線通信路19の正常度判定値を減らし(S809)、S813に進む。
応答があった場合(S808のYES)、S810に進む。
S810では、地上装置15aの制御部41は、無線通信路19を介して受信した2つの乱数のXORと、自ら算出した2つの乱数のXORが一致するか確認する。
一致しない場合(S810のNO)、制御部41は、応答側の正常度判定値を減らし(S811)、S813に進む。
一致する場合(S810のYES)、制御部41は、無線通信路19と応答側の正常度判定値を増やし(S812)、S813に進む。
一致しない場合(S810のNO)、制御部41は、応答側の正常度判定値を減らし(S811)、S813に進む。
一致する場合(S810のYES)、制御部41は、無線通信路19と応答側の正常度判定値を増やし(S812)、S813に進む。
S813では、地上装置15aの制御部41は、無線通信路19と応答側の正常度判定値に基づく支障判定を行う。正常度判定値は、過去の結果が累積しており、より正確な支障判定を行うことができる。
図24は、正常度判定値を用いた場合の応答側の動作を示すフローチャートである。
応答側である地上装置15bの制御部41は、タイムアウトするまで要求側からの通信を待ち(S901)、タイムアウト後に有線通信路21を介して要求側からの通信があったかどうか確認する(S902)。ここでの通信では、要求側から2つの乱数とチェックコードが送信される。
通信がない場合(S902のNO)、制御部41は、要求側の正常度判定値を減らし(S903)、S909に進む。
通信がある場合(S902のYES)、制御部41は、S904に進む。
応答側である地上装置15bの制御部41は、タイムアウトするまで要求側からの通信を待ち(S901)、タイムアウト後に有線通信路21を介して要求側からの通信があったかどうか確認する(S902)。ここでの通信では、要求側から2つの乱数とチェックコードが送信される。
通信がない場合(S902のNO)、制御部41は、要求側の正常度判定値を減らし(S903)、S909に進む。
通信がある場合(S902のYES)、制御部41は、S904に進む。
S904では、地上装置15bの制御部41は、受信したチェックコードと、自らが算出したチェックコードが一致するかどうか確認する。
一致しない場合(S904のNO)、S903に進む。
一致する場合(S904のYES)、S905に進む。
一致しない場合(S904のNO)、S903に進む。
一致する場合(S904のYES)、S905に進む。
S905では、地上装置15bの制御部41は、受信した2つの乱数が同値であるかどうか確認する。
同値の場合(S905のYES)、S903に進む。
同値でない場合(S905のNO)、S906に進む。
同値の場合(S905のYES)、S903に進む。
同値でない場合(S905のNO)、S906に進む。
S906では、地上装置15bの制御部41は、乱数に基づいて待機時間を算出する。次に、地上装置15bの制御部41は、待機時間後に2つの乱数のXORを送信し(S907)、要求側の正常度判定値を増やす(S908)。
S909では、地上装置15bの制御部41は、要求側の正常度判定値に基づく支障判定を行う。正常度判定値は、過去の結果が累積しており、より正確な支障判定を行うことができる。
<(5)通信予約を用いた在線位置把握処理の詳細>
図25は、本実施形態の在線位置把握処理を説明する図である。図25では、列車3aに車上装置11a、列車3bに車上装置11bがそれぞれ搭載されている。
車上装置11aは、地上装置15aと無線通信路19を介して通信を行い、地上装置15aと地上装置15bに対する通信予約を要求する。通信予約の要求が成功すると、地上装置15aは予約対象が列車3a、A分後にタイムアウトという予約情報(予約情報には通信許可情報が含まれる為、予約対象を識別可能)を保持し、地上装置15bは予約対象が列車3a、B分後にタイムアウトという予約情報を保持する。
また、車上装置11bは、地上装置15cと無線通信路19を介して通信を行い、地上装置15aと地上装置15bに対する通信予約を解放するとともに、地上装置15cと地上装置15dに対する通信予約を要求する。通信予約の要求が成功すると、地上装置15cは予約対象が列車3a、C分後にタイムアウトという予約情報を保持し、地上装置15dは予約対象が列車3a、D分後にタイムアウトという予約情報を保持する。
図25は、本実施形態の在線位置把握処理を説明する図である。図25では、列車3aに車上装置11a、列車3bに車上装置11bがそれぞれ搭載されている。
車上装置11aは、地上装置15aと無線通信路19を介して通信を行い、地上装置15aと地上装置15bに対する通信予約を要求する。通信予約の要求が成功すると、地上装置15aは予約対象が列車3a、A分後にタイムアウトという予約情報(予約情報には通信許可情報が含まれる為、予約対象を識別可能)を保持し、地上装置15bは予約対象が列車3a、B分後にタイムアウトという予約情報を保持する。
また、車上装置11bは、地上装置15cと無線通信路19を介して通信を行い、地上装置15aと地上装置15bに対する通信予約を解放するとともに、地上装置15cと地上装置15dに対する通信予約を要求する。通信予約の要求が成功すると、地上装置15cは予約対象が列車3a、C分後にタイムアウトという予約情報を保持し、地上装置15dは予約対象が列車3a、D分後にタイムアウトという予約情報を保持する。
ある車上装置11の在線位置は、地上装置15の予約範囲とみなすことができる。そこで、中央管理装置17は、地上装置15aから地上装置15dが保持する予約情報を取得し、車上装置11aと車上装置11bの在線位置を把握する。図25に示す例の場合、車上装置11aの在線位置は、地上装置15aから地上装置15bまでとなる。また、車上装置11bの在線位置は、地上装置15cから地上装置15dまでとなる。
本実施形態の在線位置把握処理では、仮にシステムの一部が支障して在線位置の情報を失った場合であっても、地上装置15の予約状況を個別あるいは全体から一斉に取得することで、中央管理装置17は在線位置の情報を迅速に再構築することができる。また、中央管理装置17は、地上装置15が保持する予約情報から在線位置を把握するため、車上装置11と直接通信を行う必要はない。
図26は、従来技術と本実施形態の在線位置把握処理の違いを説明する図である。図26では、地上装置15の位置情報をマス目で表している。また、地上装置15の位置情報を用いて、列車3の位置、停止位置、停止限界を表している。すなわち、列車3の位置は地上装置15b、停止位置は地上装置15f、停止限界は15jである。ここで、列車3の位置や停止限界は、従来の在線位置管理によって把握できる。また、停止位置は通信予約処理によって決まり、通信予約の情報を取得することで把握できる。
従来技術による在線位置の把握では、車上装置11から取得する情報にタイムラグがあることから、列車3の位置から停止限界までを全て在線位置とみなしていた。すなわち、地上装置15bから地上装置15jまでが従来の在線位置である。
一方、本方式による在線位置の把握では、列車3の位置から停止位置までを在線位置とみなす。すなわち、地上装置15bから地上装置15fまでが本方式の在線位置となる。
図26から見ても分かるように、本方式では従来技術と比較してより正確に列車3の在線位置を把握することができる。
従来技術による在線位置の把握では、車上装置11から取得する情報にタイムラグがあることから、列車3の位置から停止限界までを全て在線位置とみなしていた。すなわち、地上装置15bから地上装置15jまでが従来の在線位置である。
一方、本方式による在線位置の把握では、列車3の位置から停止位置までを在線位置とみなす。すなわち、地上装置15bから地上装置15fまでが本方式の在線位置となる。
図26から見ても分かるように、本方式では従来技術と比較してより正確に列車3の在線位置を把握することができる。
図27は、正常に運行している場合の在線位置把握を説明する図である。図27は、図26と同様、地上装置15の位置情報をマス目で表し、地上装置15の位置情報を用いて、列車3の位置、停止位置、停止限界を表している。
正常に運行している場合、列車3は、移動に伴って通信予約の更新を行う。図27では、列車3が地上装置15bの位置から地上装置15dの位置に移動したときの例を示している。列車3に搭載される車上装置11は、地上装置15dと無線通信路19を介して通信を行い、地上装置15bと地上装置15cに対する通信予約を解放する。また、車上装置11は、新たに、地上装置15gと地上装置15hに対する通信予約の要求を行う。通信予約が成功すると、列車3の予約範囲は、地上装置15dから地上装置15hまでとなる。
従来の在線位置把握では、地上装置15dから地上装置15jまでを在線位置とみなす。一方、本方式の在線位置把握では、地上装置15dから地上装置15hまでを在線位置とみなす。
正常に運行している場合、列車3の移動に伴い、停止位置が進行方向に対して前進する。しかし、前進した分だけ通信予約が解放されるため、列車3が移動しても在線位置の広さは変わらない。このことは、図26と図27を比較すれば分かる。
正常に運行している場合、列車3は、移動に伴って通信予約の更新を行う。図27では、列車3が地上装置15bの位置から地上装置15dの位置に移動したときの例を示している。列車3に搭載される車上装置11は、地上装置15dと無線通信路19を介して通信を行い、地上装置15bと地上装置15cに対する通信予約を解放する。また、車上装置11は、新たに、地上装置15gと地上装置15hに対する通信予約の要求を行う。通信予約が成功すると、列車3の予約範囲は、地上装置15dから地上装置15hまでとなる。
従来の在線位置把握では、地上装置15dから地上装置15jまでを在線位置とみなす。一方、本方式の在線位置把握では、地上装置15dから地上装置15hまでを在線位置とみなす。
正常に運行している場合、列車3の移動に伴い、停止位置が進行方向に対して前進する。しかし、前進した分だけ通信予約が解放されるため、列車3が移動しても在線位置の広さは変わらない。このことは、図26と図27を比較すれば分かる。
図28は、運行が支障している場合の在線位置把握を説明する図である。図28は、図26と同様、地上装置15の位置情報をマス目で表し、地上装置15の位置情報を用いて、列車3の位置、停止位置、停止限界を表している。
運行が支障している場合、列車3は、運転曲線との乖離に伴って通信予約の更新を行う。図28では、通信予約の更新によって停止位置が地上装置15bから地上装置15dに移動したときの例を示している。列車3に搭載される車上装置11は、地上装置15dと無線通信路19を介して通信を行い、所定の時間内に到達できなくなった地上装置15eと地上装置15fに対する通信予約を解放する。これによって、列車3の予約範囲は、地上装置15bから地上装置15dまでとなる。
従来の在線位置把握では、地上装置15bから地上装置15jまでを在線位置とみなす。一方、本方式の在線位置把握では、地上装置15bから地上装置15hまでを在線位置とみなす。
図28に示すように、本方式では運行が支障している等の異常時ほど在線位置は狭くなり、より正確な在線位置を把握することができる。
運行が支障している場合、列車3は、運転曲線との乖離に伴って通信予約の更新を行う。図28では、通信予約の更新によって停止位置が地上装置15bから地上装置15dに移動したときの例を示している。列車3に搭載される車上装置11は、地上装置15dと無線通信路19を介して通信を行い、所定の時間内に到達できなくなった地上装置15eと地上装置15fに対する通信予約を解放する。これによって、列車3の予約範囲は、地上装置15bから地上装置15dまでとなる。
従来の在線位置把握では、地上装置15bから地上装置15jまでを在線位置とみなす。一方、本方式の在線位置把握では、地上装置15bから地上装置15hまでを在線位置とみなす。
図28に示すように、本方式では運行が支障している等の異常時ほど在線位置は狭くなり、より正確な在線位置を把握することができる。
図29は、列車が通信不能になった場合の在線位置把握を説明する図である。図29は、図26と同様、地上装置15の位置情報をマス目で表し、地上装置15の位置情報を用いて、列車3の位置、停止位置、停止限界を表している。
また、地上装置15の位置情報を用いて、緊急停止開始位置、緊急停止終了位置を示している。緊急停止開始位置は、列車3が緊急停止を開始したと推定される位置である。緊急停止終了位置は、列車3が緊急停止を終了したと推定される位置である。
列車3に搭載される車上装置11が地上装置15と通信不能になった場合、車上装置11は列車3を緊急停止する。その後、時間が経過するにつれて、地上装置15の予約が破棄される。図29では、地上装置15dの通信予約が破棄され、地上装置15e、地上装置15fの通信予約がいずれ破棄されることを示している。ここで、予約情報は、車上装置11と一度通信を行えば、地上装置15によって破棄されることはないものとする。従って、地上装置15bと地上装置15cが保持する予約情報は破棄されない。
また、地上装置15の位置情報を用いて、緊急停止開始位置、緊急停止終了位置を示している。緊急停止開始位置は、列車3が緊急停止を開始したと推定される位置である。緊急停止終了位置は、列車3が緊急停止を終了したと推定される位置である。
列車3に搭載される車上装置11が地上装置15と通信不能になった場合、車上装置11は列車3を緊急停止する。その後、時間が経過するにつれて、地上装置15の予約が破棄される。図29では、地上装置15dの通信予約が破棄され、地上装置15e、地上装置15fの通信予約がいずれ破棄されることを示している。ここで、予約情報は、車上装置11と一度通信を行えば、地上装置15によって破棄されることはないものとする。従って、地上装置15bと地上装置15cが保持する予約情報は破棄されない。
図29に示す例では、中央管理装置17は、列車3の位置と地上装置15cの予約情報が破棄されたという情報から緊急停止開始位置を推定する。また、中央管理装置17は、緊急停止開始位置を基に、列車3のブレーキ性能と速度等から緊急停止位置を推定する。列車3の速度は、地上装置15の予約情報を参照し、地上装置15間のタイムアウト時間の差分と、距離の差分によって算出可能である。
このように、中央管理装置17は、列車3が通信不能になった場合であっても、緊急停止終了位置を推測することができる。緊急停止終了位置を推測することで、後続の列車3の停止限界を正確に把握することができる。
このように、中央管理装置17は、列車3が通信不能になった場合であっても、緊急停止終了位置を推測することができる。緊急停止終了位置を推測することで、後続の列車3の停止限界を正確に把握することができる。
図25から図29を参照して説明した通り、本方式では従来技術と比較してより正確に列車3の在線位置を把握することができる。また、本方式では通信予約を用いるので、中央管理装置17が在線位置を把握するために直接車上装置11と通信を行う必要がなく、地上装置15と中央管理装置17との間の通信量の増加を抑えることができる。
本実施の形態に係る列車制御システム1では、車上装置11と地上装置15との無線通信に対して悪意者のなりすまし、通信妨害等の対策を行い、列車3を安全に運行することができる。また、列車3の在線位置をより正確に把握することができる。
以上、添付図面を参照しながら、本発明にかかる列車制御システム等の実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
1………列車制御システム
3………列車
5………駅
7………中央管理室
9………ネットワーク
11………車上装置
13………管理装置
15………地上装置
17………中央管理装置
19………無線通信路
21………有線通信路
61………認証要求手段
62………通信予約手段
63………符号化手段
64………証明書
65………運行情報データベース
71………通信予約受付手段
72………通信可否判定手段
73………符号化用鍵伝達手段
74………通信路支障検知手段
81………認証手段
82………在線位置管理手段
83………リスク管理手段
84………証明書データベース
3………列車
5………駅
7………中央管理室
9………ネットワーク
11………車上装置
13………管理装置
15………地上装置
17………中央管理装置
19………無線通信路
21………有線通信路
61………認証要求手段
62………通信予約手段
63………符号化手段
64………証明書
65………運行情報データベース
71………通信予約受付手段
72………通信可否判定手段
73………符号化用鍵伝達手段
74………通信路支障検知手段
81………認証手段
82………在線位置管理手段
83………リスク管理手段
84………証明書データベース
Claims (16)
- 列車に搭載される車上装置と線路に沿って配置される地上装置が無線通信路である第1通信路を介して通信を行い、前記地上装置と中央管理装置が前記第1通信路と異なる第2通信路を介して通信を行うことによって前記列車を制御する列車制御システムであって、
前記車上装置は、
自らを証明するための証明書と、
前記証明書を用いて前記中央管理装置に認証要求を行う認証要求手段と、
前記地上装置との無線通信が許可されたことを示す前記列車ごとの通信許可情報を用いて、前記地上装置に対して通信予約を行う通信予約手段と、
を具備し、
前記中央管理装置は、
前記証明書が登録されている証明書データベースと、
前記車上装置からの認証要求に応じて、提示された証明書が前記証明書データベースに存在するかを確認し、存在する場合には前記車上装置に前記通信許可情報を送信する認証手段と、
を具備し、
前記地上装置は、
前記車上装置からの通信予約を受け付ける通信予約受付手段と、
通信予約を行った前記車上装置の前記通信許可情報を所定の時間まで有効とみなし、前記車上装置の通信可否を判定する通信可否判定手段と、
を具備することを特徴とする列車制御システム。 - 前記中央管理装置は、
制御コードの符号化用鍵を前記地上装置に送信する手段と、
外部からの攻撃を検知すると、前記地上装置に前記制御コードの符号化を指示するリスク管理手段と、
を更に具備し、
前記地上装置は、
前記中央管理装置から送信される前記符号化用鍵から部分鍵を生成し、前記制御コードの符号化指示と合わせて前記車上装置に伝達する符号化用部分鍵伝達手段、
を更に具備し、
前記車上装置は、
複数の前記地上装置から前記部分鍵を受信して前記符号化用鍵を生成し、前記制御コードの符号化を行う符号化手段、
を更に具備することを特徴とする請求項1に記載の列車制御システム。 - 前記地上装置は、
定期的に隣接する他の前記地上装置との間で、一方が要求側、他方が応答側となり、前記第1通信路と前記第2通信路の両方で乱数または乱数に基づくデータの送受信を行い、前記第1通信路の支障と前記地上装置の故障とを区別して通信路支障を検知する通信路支障検知手段、
を更に具備することを特徴とする請求項1に記載の列車制御システム。 - 前記中央管理装置は、
前記地上装置が保持する通信予約の情報に含まれる前記通信許可情報から前記列車を識別し、予約された前記地上装置の範囲を前記列車ごとに取得することで、前記列車の在線位置を把握する在線位置管理手段、
を更に具備することを特徴とする請求項1に記載の列車制御システム。 - 前記車上装置は、
運転曲線、路線情報、前記地上装置の位置情報、前記列車の在線位置情報、保安装置の位置情報および遮断情報を含む運行情報データベース、
を更に具備し、
前記通信予約手段は、前記運行情報データベースを参照し、前記所定の時間内に到達する前記地上装置に対して通信予約を行うものであることを特徴とする請求項1に記載の列車制御システム。 - 前記通信予約手段は、所定の時間間隔で処理を繰り返し、前記列車が通過した前記地上装置に対する予約、または前記所定の時間までに到達できなくなった前記地上装置に対する予約を解放するものであることを特徴とする請求項5に記載の列車制御システム。
- 前記リスク管理手段は、前記符号化用鍵を周期的に更新することを特徴とする請求項2に記載の列車制御システム。
- 前記通信路支障検知手段は、前記要求側が前記第2通信路を介して前記乱数を前記応答側に送信し、前記応答側が前記乱数に基づいて待機時間を算出し、前記応答側が前記待機時間の経過後に前記乱数に基づくデータを前記要求側に送信することを特徴とする請求項3に記載の列車制御システム。
- 列車に搭載される車上装置と線路に沿って配置される地上装置が無線通信路である第1通信路を介して通信を行い、前記地上装置と中央管理装置が前記第1通信路と異なる第2通信路を介して通信を行うことによって前記列車を制御する列車制御方法であって、
前記車上装置が、自らを証明するための証明書を用いて前記中央管理装置に認証要求を行う認証要求ステップと、
前記中央管理装置が、前記車上装置からの認証要求に応じて、前記証明書が登録されている証明書データベースを参照し、提示された前記証明書が前記証明書データベースに存在するかを確認し、存在する場合には、前記地上装置との無線通信が許可されたことを示す列車ごとの通信許可情報を前記車上装置に送信する認証ステップと、
前記車上装置が、前記通信許可情報を用いて、前記地上装置に対して通信予約を行う通信予約ステップと、
前記地上装置が、前記車上装置からの通信予約を受け付ける通信予約受付ステップと、
前記地上装置が、通信予約を行った前記車上装置の前記通信許可情報を所定の時間まで有効とみなし、前記車上装置の通信可否を判定する通信可否判定ステップと、
を含むことを特徴とする列車制御方法。 - 前記中央管理装置が、制御コードの符号化用鍵を前記地上装置に送信するステップと、
前記中央管理装置が、外部からの攻撃を検知すると、前記地上装置に前記制御コードの符号化を指示するリスク管理ステップと、
前記中央管理装置から送信される前記符号化用鍵から部分鍵を生成し、前記制御コードの符号化指示と合わせて前記車上装置に伝達する符号化用部分鍵伝達ステップと、
前記車上装置が、複数の前記地上装置から前記部分鍵を受信して前記符号化用鍵を生成し、前記制御コードの符号化を行う符号化ステップと、
を更に含むことを特徴とする請求項9に記載の列車制御方法。 - 更に、前記地上装置が、隣接する他の前記地上装置との間で、一方が要求側、他方が応答側となり、前記第1通信路と前記第2通信路の両方で乱数または乱数に基づくデータの送受信を行い、前記第1通信路の支障と前記地上装置の故障とを区別して通信路支障を検知する通信路支障検知ステップ、を定期的に行うことを特徴とする請求項9に記載の列車制御方法。
- 前記中央管理装置が、前記地上装置が保持する通信予約の情報に含まれる前記通信許可情報から前記列車を識別し、予約された前記地上装置の範囲を前記列車ごとに取得することで、前記列車の在線位置を把握する在線位置管理ステップ、
を更に含むことを特徴とする請求項9に記載の列車制御方法。 - 前記通信予約ステップは、運転曲線、路線情報、前記地上装置の位置情報、前記列車の在線位置情報、保安装置の位置情報および遮断情報を含む運行情報データベースを参照し、前記所定の時間内に到達する前記地上装置に対して通信予約を行うものであることを特徴とする請求項9に記載の列車制御方法。
- 前記通信予約ステップは、所定の時間間隔で処理を繰り返し、前記列車が通過した前記地上装置に対する予約、または前記所定の時間までに到達できなくなった前記地上装置に対する予約を解放するものであることを特徴とする請求項13に記載の列車制御方法。
- 前記リスク管理ステップは、前記符号化用鍵を周期的に更新することを特徴とする請求項10に記載の列車制御方法。
- 前記通信路支障検知ステップは、前記要求側が前記第2通信路を介して前記乱数を前記応答側に送信し、前記応答側が前記乱数に基づいて待機時間を算出し、前記応答側が前記待機時間の経過後に前記乱数に基づくデータを前記要求側に送信することを特徴とする請求項11に記載の列車制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009082050A JP5087579B2 (ja) | 2009-03-30 | 2009-03-30 | 列車制御システム及び列車制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009082050A JP5087579B2 (ja) | 2009-03-30 | 2009-03-30 | 列車制御システム及び列車制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010234829A true JP2010234829A (ja) | 2010-10-21 |
| JP5087579B2 JP5087579B2 (ja) | 2012-12-05 |
Family
ID=43089608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009082050A Expired - Fee Related JP5087579B2 (ja) | 2009-03-30 | 2009-03-30 | 列車制御システム及び列車制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5087579B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014015078A (ja) * | 2012-07-06 | 2014-01-30 | Hitachi Ltd | 旅客案内システム |
| JP2016508244A (ja) * | 2012-11-29 | 2016-03-17 | タレス・カナダ・インクThales Canada Inc. | リソース割当またはリソース解放の方法および装置 |
| WO2019008840A1 (ja) * | 2017-07-04 | 2019-01-10 | 株式会社日立製作所 | 列車間隔制御システム及び列車間隔制御方法 |
| CN111152818A (zh) * | 2020-01-03 | 2020-05-15 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种运行图阶段计划逻辑检查方法 |
| JP7360306B2 (ja) | 2019-11-19 | 2023-10-12 | 東日本旅客鉄道株式会社 | 列車自動運転用通信システム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002046614A (ja) * | 2000-08-04 | 2002-02-12 | Toshiba Corp | 車両交通システムの在線管理システム及び在線管理方法 |
| JP2005238970A (ja) * | 2004-02-26 | 2005-09-08 | Oki Electric Ind Co Ltd | 安全運行支援システム及び安全運行支援方法 |
-
2009
- 2009-03-30 JP JP2009082050A patent/JP5087579B2/ja not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002046614A (ja) * | 2000-08-04 | 2002-02-12 | Toshiba Corp | 車両交通システムの在線管理システム及び在線管理方法 |
| JP2005238970A (ja) * | 2004-02-26 | 2005-09-08 | Oki Electric Ind Co Ltd | 安全運行支援システム及び安全運行支援方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014015078A (ja) * | 2012-07-06 | 2014-01-30 | Hitachi Ltd | 旅客案内システム |
| JP2016508244A (ja) * | 2012-11-29 | 2016-03-17 | タレス・カナダ・インクThales Canada Inc. | リソース割当またはリソース解放の方法および装置 |
| WO2019008840A1 (ja) * | 2017-07-04 | 2019-01-10 | 株式会社日立製作所 | 列車間隔制御システム及び列車間隔制御方法 |
| JPWO2019008840A1 (ja) * | 2017-07-04 | 2020-05-21 | 株式会社日立製作所 | 列車間隔制御システム及び列車間隔制御方法 |
| JP7360306B2 (ja) | 2019-11-19 | 2023-10-12 | 東日本旅客鉄道株式会社 | 列車自動運転用通信システム |
| CN111152818A (zh) * | 2020-01-03 | 2020-05-15 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种运行图阶段计划逻辑检查方法 |
| CN111152818B (zh) * | 2020-01-03 | 2021-12-28 | 中国铁道科学研究院集团有限公司通信信号研究所 | 一种运行图阶段计划逻辑检查方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5087579B2 (ja) | 2012-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11184180B2 (en) | Cryptographic methods and systems using blinded activation codes for digital certificate revocation | |
| JP6329163B2 (ja) | インフラのサポートによる車両ネットワークでの確率的鍵配送 | |
| KR101701793B1 (ko) | 핫스팟 네트워크들에서 미지의 디바이스들에 대한 제한된 인증서 등록 | |
| US20050254653A1 (en) | Pre-authentication of mobile clients by sharing a master key among secured authenticators | |
| CN109963279B (zh) | 一种应用于动态自组网的混合加密方法 | |
| JP5087579B2 (ja) | 列車制御システム及び列車制御方法 | |
| CN101874419B (zh) | 为有源rfid标签提供安全通信 | |
| Reddy et al. | Sybil attack detection technique using session key certificate in vehicular ad hoc networks | |
| JP5016394B2 (ja) | 無線制御セキュリティシステム | |
| JP6092548B2 (ja) | 無線システム及び列車制御システム | |
| Lipiński et al. | Towards effective security framework for vehicular ad-hoc networks | |
| Melaragno et al. | Rail radio intrusion detection system (RRIDS) for communication based train control (CBTC) | |
| JP5503692B2 (ja) | 無線制御セキュリティシステム | |
| US8855604B2 (en) | Roaming authentication method for a GSM system | |
| Wang et al. | ARPLR: An all-round and highly privacy-preserving location-based routing scheme for VANETs | |
| Bouassida | Authentication vs. Privacy within Vehicular Ad Hoc Networks. | |
| JP7141723B2 (ja) | 無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法 | |
| KR101780280B1 (ko) | 비밀키 교체 방식을 적용한 주행기록 보안 기법 및 및 그 장치 | |
| CN100499899C (zh) | 一种防止重放攻击的方法 | |
| Akhlaq et al. | Empowered certification authority in vanets | |
| KR102287052B1 (ko) | 플러그 앤 플레이를 지원하는 멀티캐스트 그룹 기반 열차주행제어시스템 보안 장치 | |
| KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| KR101393180B1 (ko) | 패킷 워터마킹을 통한 로그 ap 탐지 방법 및 시스템 | |
| Chen et al. | Design of a secure communication and handoff protocol for VANETs | |
| JP2018032979A (ja) | サービス提供システムおよび方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110309 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120522 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120523 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120711 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120904 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120910 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150914 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |