JP2015077915A - 無線式踏切警報システム及びその通信部 - Google Patents
無線式踏切警報システム及びその通信部 Download PDFInfo
- Publication number
- JP2015077915A JP2015077915A JP2013216940A JP2013216940A JP2015077915A JP 2015077915 A JP2015077915 A JP 2015077915A JP 2013216940 A JP2013216940 A JP 2013216940A JP 2013216940 A JP2013216940 A JP 2013216940A JP 2015077915 A JP2015077915 A JP 2015077915A
- Authority
- JP
- Japan
- Prior art keywords
- key
- message
- code
- information
- key code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】複数の鍵コードを切り替えて電文を暗号化しても送信側と受信側とで鍵コードを違える可能性が小さくなるようにする。【解決手段】車上装置20の通信部も、地上装置30の通信部も、鍵ナンバーで特定しうる複数の鍵コードのリストデータを記憶保持していて、送信電文の作成時に、車上情報や踏切情報などの制御情報とCRCコードとを日替りの鍵コードで暗号化するとともに、その鍵コードそのものでなくそれを特定する鍵ナンバーを平文で付加してから、リードソロモン符号で誤り訂正符号化する。受信電文の処理は逆順で行うことにより、鍵コードを秘匿しながら、受信側の復号用の鍵コードを送信側の暗号用の鍵コードに一致させる。【選択図】 図1
Description
この発明は、鉄道の軌道を横切る踏切(踏切道)に設置された踏切警報機の警報出力を制御する踏切警報システムに関し、詳しくは、システムを構成する車上装置と地上装置とが無線にて情報を遣り取りする無線式踏切警報システムに関し、更に詳しくは、無線伝送の暗号化に際して暗号鍵を切り替える無線式踏切警報システムに関する。
また、無線式踏切警報システムを構成する車上装置と地上装置とのうち何れか一方における通信部である無線式踏切警報システム通信部にも関する。
なお、本願では、電文の暗号化に用いる電子情報である鍵(デジタルキー)そのものを鍵コード(又は鍵データ)と呼び、幾つかの鍵コードの中から何れか一つを特定するために割り振られた符号を鍵識別子(又は鍵IDや,鍵番号,鍵ナンバー)と呼ぶ。
また、無線式踏切警報システムを構成する車上装置と地上装置とのうち何れか一方における通信部である無線式踏切警報システム通信部にも関する。
なお、本願では、電文の暗号化に用いる電子情報である鍵(デジタルキー)そのものを鍵コード(又は鍵データ)と呼び、幾つかの鍵コードの中から何れか一つを特定するために割り振られた符号を鍵識別子(又は鍵IDや,鍵番号,鍵ナンバー)と呼ぶ。
地方交通線などに多い単線の鉄道に対して適用するのに好都合な無線式踏切警報システムが提案されている(例えば特許文献1〜4参照)。この無線式踏切警報システムは、軌道を走行する列車に搭載されて列車位置を含む踏切制御用の車上情報を無線で伝送する車上装置と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置とを具備したものであり、列車の運転方向や,位置,速度,列車長といった車上情報が車上装置から無線で送信されるとともに、交信可能なところまで接近した列車から地上装置が無線で車上情報を受信すると、その車上情報に基づいて地上装置設置先の踏切に係る警報制御が地上装置によって行われるようになっている。
また、暗号化に関して、総ての鍵の秘匿が必要であるが暗号鍵と復号鍵とが同じで済むので高速処理が可能な共通鍵暗号方式や、暗号鍵と復号鍵とが異なるので処理の負担は重いが相手方の鍵を公開することができる公開鍵暗号方式が知られている。
共通鍵暗号方式で現在のところ解読不可能とされる暗号規格として、アメリカ合衆国の標準化機関NIST(National Institute of Standard and Technology)で選定され、連邦情報処理規格FIPSとなっているAES(Advanced Encryption Standard)が知られている。無線はオープン伝送システムであるため、無線通信には、なりすまし(Masquerade)対策が必要であるが、国際規格IECC62280−2に準じて上述のAES規格に則った暗号アルゴレズムを使用すれば、電文の内容が第3者によって解読され改ざんされる可能性がないので、なりすましを防止することができる。このような共通鍵暗号方式では、地上装置と車上装置とが暗号鍵(暗号化用の鍵コード)と同じ復号鍵(復号化用の鍵コード)を用いることと、その鍵コードを秘匿することが、必要である。
共通鍵暗号方式で現在のところ解読不可能とされる暗号規格として、アメリカ合衆国の標準化機関NIST(National Institute of Standard and Technology)で選定され、連邦情報処理規格FIPSとなっているAES(Advanced Encryption Standard)が知られている。無線はオープン伝送システムであるため、無線通信には、なりすまし(Masquerade)対策が必要であるが、国際規格IECC62280−2に準じて上述のAES規格に則った暗号アルゴレズムを使用すれば、電文の内容が第3者によって解読され改ざんされる可能性がないので、なりすましを防止することができる。このような共通鍵暗号方式では、地上装置と車上装置とが暗号鍵(暗号化用の鍵コード)と同じ復号鍵(復号化用の鍵コード)を用いることと、その鍵コードを秘匿することが、必要である。
また、地上装置と車上装置の間を暗号化して無線でデータを伝送する列車制御システムが幾つか知られており(例えば特許文献5,6参照)、何れのシステムでも暗号化された電文は無線でデジタル通信するようになっているが、暗号化の鍵を第3者に知られないように秘匿することで妨害者の「なりすまし」を防ぐために、無線通信と違った伝送経路で鍵コードの伝達を行うものがある。
具体的には、鍵コードの伝送に、軌道のレールと受電器を用いるものや(例えば特許文献5参照)、トランスポンダの地上子と車上子を用いるものがある(例えば特許文献6参照)。
具体的には、鍵コードの伝送に、軌道のレールと受電器を用いるものや(例えば特許文献5参照)、トランスポンダの地上子と車上子を用いるものがある(例えば特許文献6参照)。
さらに、暗号や復号に用いる鍵コードの秘匿性を高めるために、鍵コードを日毎に切り替える日替り鍵(日鍵コード)の鍵切替方式や、鍵コードを時間毎に切り替える時間替り鍵(時鍵コード)の鍵切替方式、鍵コードを週毎に切り替える週替り鍵(週鍵コード)の鍵切替方式を採用したものもある(例えば特許文献7参照)。無線通信エリアごとに場所で鍵コードを替えるといった方法もある。
その他、無線雑音による伝送誤りへの対策として誤り検定や誤り訂正も行われる。例えば、誤り検定では、車上情報や踏切情報にCRC(Cyclic Redudancy Check)コードを付加して行う巡回冗長検査が行われ、誤り訂正では、CRCコード入り電文をリードソロモン符号(Reed-Solomon Code)でデータ加工するブロック符号方式などが用いられる。
その他、無線雑音による伝送誤りへの対策として誤り検定や誤り訂正も行われる。例えば、誤り検定では、車上情報や踏切情報にCRC(Cyclic Redudancy Check)コードを付加して行う巡回冗長検査が行われ、誤り訂正では、CRCコード入り電文をリードソロモン符号(Reed-Solomon Code)でデータ加工するブロック符号方式などが用いられる。
このように鍵コードを適宜切り替えて電文全体を暗号化する通信方式では、送信側と受信側とで鍵コードを違えてしまうと、受信電文を復号できないという不都合な事象が生じる。受信電文を復号した電文に含まれている制御情報(車上情報か踏切情報)の妥当性はCRCコードを用いた誤り検定で判定されるので、受け取った制御情報の誤り検定の結果が正であれば、無線雑音に対するリードソロモン符号での誤り訂正についても、なりすまし対策である暗号の復号についても、何れも正しく行われたことがわかる。
しかしながら、受信電文に対するCRCコードでの誤り検定の結果が不正になった場合は、リードソロモン符号による誤り訂正が不十分であったのか、復号に使用した鍵コードが正しくなかったのか、判別することができない。
しかしながら、受信電文に対するCRCコードでの誤り検定の結果が不正になった場合は、リードソロモン符号による誤り訂正が不十分であったのか、復号に使用した鍵コードが正しくなかったのか、判別することができない。
リードソロモン符号による誤り訂正が不十分であったのであれば、無線雑音が過大なため、元電文を復元することは無理であるが、復号用の鍵コードを違えたのであれば、鍵コードを適切なものにすれば元電文を復元することができるので、この場合、暗号化に使用された可能性のある総ての鍵コードで復号を試行すれば、何れかの鍵コードで元電文が正しく復元され、それがCRCコードでの誤り検定で見つけ出せることとなる。とはいえ、受信電文に関係する複数の鍵コードとして共通鍵コードと当日の日鍵コードと翌日の日鍵コードなどが挙げられるので、当該の受信電文を関係する複数の鍵コードで復号し、復号された制御情報の誤り検定(CRC検定)に基づいて復号がうまくいったか否かを判定しなければならないので、煩わしさがあるうえ、処理の負担が重い。また、リードソロモン符号による誤り訂正が不十分で電文中に誤りが残っている場合、該当する複数の鍵コードで復号しても、総てで誤り検定(CRC検定)の結果が不正になるので、徒労に終わることになる。そのため、一つの受信電文を複数の鍵コードで復号するのは避けたい。
そうすると、列車の車上装置と踏切の地上装置とが暗号化と復号化とで鍵コードを違えた場合、地上装置が車上装置から電文を正しく或いは誤り訂正の可能な状態で受信したときでも、その受信電文の復号が適切になされないため、復号後の誤り検定(CRC検定)で検定結果が不正となり、当該電文が破棄されることから、踏切で警報を速やかに開始することができず、踏切から「踏切通過可能」情報を列車に伝送するのが受信成功時まで遅れるので、列車の円滑な運転を支障するおそれがある。
そこで、複数の鍵コードを切り替えて電文を暗号化しても送信側と受信側とで鍵コードを違える可能性の小さい無線式踏切警報システム及びその通信部を実現することが技術的な課題となる。
そこで、複数の鍵コードを切り替えて電文を暗号化しても送信側と受信側とで鍵コードを違える可能性の小さい無線式踏切警報システム及びその通信部を実現することが技術的な課題となる。
本発明の無線式踏切警報システムは、このような課題を解決するために創案されたものであり、
軌道を走行する列車に搭載されて列車位置を含む車上情報を無線で伝送する車上装置と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置とを具備した無線式踏切警報システムにおいて、前記地上装置の通信部も、前記車上装置の通信部も、予め複数の鍵識別子から異なるものを夫々に割り振られた複数の鍵コードをデータ保持しており、両通信部が無線交信可能になると交互に電文を送受しあうようになっており、更に、その無線交信に際して、前記通信部のうち送信側のものが、送信対象の情報を含ませた電文を前記の複数の鍵コードのうち何れか一つを用いて暗号電文にするとともに、前記の複数の鍵識別子のうち前記暗号電文に用いた鍵コードに割り振られた鍵識別子を含ませた平文を前記暗号電文に付加して送信電文を作成するようになっており、且つ、前記通信部のうち受信側のものが、受信電文のうち平文の部分から鍵識別子を抽出するとともに、この抽出した鍵識別子を割り振られた鍵コードを前記の複数の鍵コードのうちから取得して前記受信電文のうち暗号電文の部分を復号するようになっていることを特徴とする。
軌道を走行する列車に搭載されて列車位置を含む車上情報を無線で伝送する車上装置と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置とを具備した無線式踏切警報システムにおいて、前記地上装置の通信部も、前記車上装置の通信部も、予め複数の鍵識別子から異なるものを夫々に割り振られた複数の鍵コードをデータ保持しており、両通信部が無線交信可能になると交互に電文を送受しあうようになっており、更に、その無線交信に際して、前記通信部のうち送信側のものが、送信対象の情報を含ませた電文を前記の複数の鍵コードのうち何れか一つを用いて暗号電文にするとともに、前記の複数の鍵識別子のうち前記暗号電文に用いた鍵コードに割り振られた鍵識別子を含ませた平文を前記暗号電文に付加して送信電文を作成するようになっており、且つ、前記通信部のうち受信側のものが、受信電文のうち平文の部分から鍵識別子を抽出するとともに、この抽出した鍵識別子を割り振られた鍵コードを前記の複数の鍵コードのうちから取得して前記受信電文のうち暗号電文の部分を復号するようになっていることを特徴とする。
また、本発明の無線式踏切警報システム通信部は、上記の無線式踏切警報システムにおける車上装置の通信部あるいは地上装置の通信部を特定したものであり、
軌道を走行する列車に搭載されて列車位置を含む車上情報を無線で伝送する車上装置における通信部と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置における通信部とのうち、何れか一つに該当する無線式踏切警報システム通信部であって、予め複数の鍵識別子から異なるものを夫々に割り振られた複数の鍵コードをデータ保持しており、無線で送信するときには、送信対象の情報を含ませた電文を前記の複数の鍵コードのうち何れか一つを用いて暗号電文にするとともに、前記の複数の鍵識別子のうち前記暗号電文に用いた鍵コードに割り振られた鍵識別子を含ませた平文を前記暗号電文に付加して送信電文を作成するようになっており、無線で受信するときには、受信電文のうち平文の部分から鍵識別子を抽出するとともに、この抽出した鍵識別子を割り振られた鍵コードを前記の複数の鍵コードのうちから取得して前記受信電文のうち暗号電文の部分を復号するようになっていることを特徴とする。
軌道を走行する列車に搭載されて列車位置を含む車上情報を無線で伝送する車上装置における通信部と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置における通信部とのうち、何れか一つに該当する無線式踏切警報システム通信部であって、予め複数の鍵識別子から異なるものを夫々に割り振られた複数の鍵コードをデータ保持しており、無線で送信するときには、送信対象の情報を含ませた電文を前記の複数の鍵コードのうち何れか一つを用いて暗号電文にするとともに、前記の複数の鍵識別子のうち前記暗号電文に用いた鍵コードに割り振られた鍵識別子を含ませた平文を前記暗号電文に付加して送信電文を作成するようになっており、無線で受信するときには、受信電文のうち平文の部分から鍵識別子を抽出するとともに、この抽出した鍵識別子を割り振られた鍵コードを前記の複数の鍵コードのうちから取得して前記受信電文のうち暗号電文の部分を復号するようになっていることを特徴とする。
このような本発明の無線式踏切警報システム及びその通信部にあっては、無線伝送の電文が、車上情報や踏切情報といった制御情報を含んだ送信対象情報を既述のAES等に準じて日鍵コード等の鍵コードで暗号化した暗号電文と、その鍵コードに対応する日鍵ナンバー等の鍵識別子を含む平文の無線付加情報とで、構成される。
この場合、鍵識別子は平文で伝送されるのでオープンであるが、鍵コードは、地上装置と車上装置の内部にデータ保持されており、外部から秘匿されているので、無線を傍受しても第3者は知ることができない。しかも、暗号化・復号化に例えばAESで使用されているラインダール(Rijndael)アルゴリズムを採用するといったことで、鍵識別子が判っても鍵コードが判らなければ暗号を解読できないことが現時点では保証されている。
この場合、鍵識別子は平文で伝送されるのでオープンであるが、鍵コードは、地上装置と車上装置の内部にデータ保持されており、外部から秘匿されているので、無線を傍受しても第3者は知ることができない。しかも、暗号化・復号化に例えばAESで使用されているラインダール(Rijndael)アルゴリズムを採用するといったことで、鍵識別子が判っても鍵コードが判らなければ暗号を解読できないことが現時点では保証されている。
そのため、制御情報を通信傍受者に知られる心配やなりすましによって偽りの制御情報を伝送される心配がないうえ、受信時に受信電文の平文から鍵識別子を抽出し更にそれに対応する鍵コードを保持データから得ることで、通信状態が良好か多少不良でも誤り訂正等で回復可能な程度であれば、送信前の暗号化に使用された鍵コードと同じものが受信後の復号にも確実に使用されるので、複数の鍵コードで復号を試行する必要もない。
したがって、この発明によれば、複数の鍵コードを切り替えて電文を暗号化しても送信側と受信側とで鍵コードを違える可能性の小さい無線式踏切警報システム及びその通信部を実現することがことができる。
したがって、この発明によれば、複数の鍵コードを切り替えて電文を暗号化しても送信側と受信側とで鍵コードを違える可能性の小さい無線式踏切警報システム及びその通信部を実現することがことができる。
このような本発明の無線式踏切警報システム及びその通信部について、これを実施するための具体的な形態を、以下の実施例1により説明する。
図1〜3に示した実施例1は、上述した解決手段1〜2(出願当初の請求項1〜2)を総て具現化したものである。
なお、それらの図示に際しては、簡明化等のため、記号図やブロック図を多用して、発明の説明に必要なものや関連するものを中心に図示した。
図1〜3に示した実施例1は、上述した解決手段1〜2(出願当初の請求項1〜2)を総て具現化したものである。
なお、それらの図示に際しては、簡明化等のため、記号図やブロック図を多用して、発明の説明に必要なものや関連するものを中心に図示した。
本発明の無線式踏切警報システム及びその通信部の実施例1について、その具体的な構成を、図面を引用して説明する。
図1は、(a)が無線式踏切警報システム20+30の概要構成を記号やブロックで示した図であり、(b)が車上装置20の通信部や地上装置30の通信部で行われる送信電文の作成手順を示すフローチャート、(c)が車上装置20の通信部や地上装置30の通信部で行われる受信電文の処理手順を示すフローチャートである。
図1は、(a)が無線式踏切警報システム20+30の概要構成を記号やブロックで示した図であり、(b)が車上装置20の通信部や地上装置30の通信部で行われる送信電文の作成手順を示すフローチャート、(c)が車上装置20の通信部や地上装置30の通信部で行われる受信電文の処理手順を示すフローチャートである。
この無線式踏切警報システム20+30は(図1(a),特許文献1〜4参照)、鉄道の軌道11を走行する列車10に搭載されて移動する車上装置20と、軌道11の踏切12の近くに固定的に設置される地上装置30とを具えている。地上装置30は、踏切12の警報機13に係る踏切制御を行うものであり、少なくとも踏切警報の出力を開始させることと踏切警報の出力を停止させることとを行うようになっている。ここでは、踏切制御における他の機能たとえば遮断桿の昇降制御などに関する説明を割愛する。
踏切制御では軌道11に対し踏切12の両側に分かれて踏切警報始動点ADCと踏切警報終止点BDCとが設定されるが、各点に踏切制御子を設置しなくても踏切制御が行えるように、車上装置20と地上装置30とが無線伝送にて交信するものとなっている(踏切制御子は省略可能なので図1(a)においては細い一点鎖線で図示した)。
車上装置20が列車10に搭載されるとともに、地上装置30が踏切12に設置されるが、車上装置20が列車10の去来に伴って地上装置30の交信可能範囲を出入りすることから、交信可能になった車上装置20と地上装置30とによって動的に協動状態のシステムが確立されるようになっている。
車上装置20が列車10に搭載されるとともに、地上装置30が踏切12に設置されるが、車上装置20が列車10の去来に伴って地上装置30の交信可能範囲を出入りすることから、交信可能になった車上装置20と地上装置30とによって動的に協動状態のシステムが確立されるようになっている。
そのため、車上装置20は、搭載先の列車10の位置を検出したり列車停止制御を行う演算制御手段に加えて無線機21も具備しており、列車位置を含む車上情報を無線で伝送する手段(無線式踏切警報システム通信部、以下、単に通信部と呼ぶ)を具備している。
また、地上装置30は、軌道11に沿って設けられて具体的には軌道11に設置された幾つかの踏切12に対して踏切毎に設けられて設置先の踏切12の警報機13に対する踏切制御を協動状態の即ち交信可能な車上装置20から無線伝送にて取得した車上情報に基づいて行うものであり、そのために、踏切制御手段に加えて踏切制御状態を無線で伝送する手段(無線式踏切警報システム通信部、以下、単に通信部と呼ぶ)も具備している。
また、地上装置30は、軌道11に沿って設けられて具体的には軌道11に設置された幾つかの踏切12に対して踏切毎に設けられて設置先の踏切12の警報機13に対する踏切制御を協動状態の即ち交信可能な車上装置20から無線伝送にて取得した車上情報に基づいて行うものであり、そのために、踏切制御手段に加えて踏切制御状態を無線で伝送する手段(無線式踏切警報システム通信部、以下、単に通信部と呼ぶ)も具備している。
ここでは(図1(a)参照)、無線機31を具備したベーシックな構成の地上装置30を図示したが、近くの他の地上装置の無線機31を利用して車上装置20との無線伝送を行うようになっていても良い(例えば特許文献2参照)。
以上の構成部分は、公知システム(例えば特許文献1〜4参照)の共通部分・基礎的部分を踏襲したものなので、本発明の実施の前提となる事項について簡潔に述べるにとどめ、以下、本発明の無線式踏切警報システム20+30の特徴的な構成部分を説明する。
以上の構成部分は、公知システム(例えば特許文献1〜4参照)の共通部分・基礎的部分を踏襲したものなので、本発明の実施の前提となる事項について簡潔に述べるにとどめ、以下、本発明の無線式踏切警報システム20+30の特徴的な構成部分を説明する。
本発明の特徴は、要するに、なりすまし対策として無線伝送を暗号化するに際して鍵コードを適宜なタイミングで本例では日替わりで切り替えるが、送信側と受信側とで鍵コードを違えることによる通信効率の低下を抑えるために、鍵コードそのものは秘匿しておいて代わりに複数の鍵コードから一つを特定する鍵識別子(この例では鍵ナンバー)を電文に含ませるとともに、電文のうち鍵ナンバーや誤り訂正用のリードソロモン符号の部分を平文のままとし、電文のうち暗号化するのは車上情報や踏切情報などの制御情報と誤り訂正用のCRCコードとを含んだ部分にとどめる、というものである。
また、この実施例では、いわゆる再生攻撃(replay attack)対策として時刻情報利用方法を採用しており、それに必要な正確な時刻を取得するために、地上装置30が、GPS受信器32を具備していて、その時刻情報に含まれる年月日時分秒を電文Bの制御情報部分に含ませて車上装置20へ無線で送るようになっている。それを受信した車上装置20は、電文Bの時刻情報が車上装置20の認識している現在時刻の範囲内であれば、再生攻撃ではないと判断して電文Bの制御情報を利用するとともに、電文Bの時刻情報で車上装置20の時計(カレンダ付き)を現在時刻に修正するようになっている。
このように本発明の特徴は車上装置20の通信部と地上装置30の通信部とで遣り取りされる電文の構成とその処理にあるので、以下、送信電文の作成手順と受信電文の処理手順とを詳述するが、それらの手順は車上装置20と地上装置30とで大差無いので、両装置20,30の通信部について纏めて説明する。なお、そのような電文の処理を担うために、専用のマイクロプロセッサ等のハードウェアを車上装置20や地上装置30に追加しても良いが、既存の論理演算用フェールセーフコンピュータ等に余力があればプログラムを追加するだけで済む。メモリも同様であり、鍵コードのリストである鍵コード一覧を保持する記憶領域に加えて、作業用に適当な記憶領域があれば良い。この例では、複数の鍵コードとして共通鍵コード#0と31個の日鍵コード(日替り鍵)が用いられるとともに、各コードを特定する複数の鍵識別子として鍵ナンバー#0〜#31が使用されるようになっている。
車上装置20の通信部でも地上装置30の通信部でも送信電文は次の手順で作成されるようになっている。すなわち(図1(b)参照)、先ず、送信対象の制御情報が平文の状態で用意されるが(ステップS11)、その制御情報には、車上装置20では既述の車上情報や上述の時刻情報が含められ、地上装置30では既述の踏切情報や上述の時刻情報が含められる。次に、その制御情報に平文のCRCコードが付加され(ステップS12)、それから、それらの制御情報およびCRCコードが、纏めて、日替わりの鍵コードである日鍵コードを用いてAES方式で暗号化される(ステップS13)。
さらに、その暗号電文に対し、直前に使用した日鍵コードに対応する鍵識別子である鍵ナンバーが、平文の状態で付加される(ステップS14)。それから、それらの暗号化済み制御情報およびCRCコード制御情報と平文の鍵ナンバーとが、纏めて、リードソロモン符号を用いて誤り訂正のために符号化される(ステップS15)。これらの鍵ナンバー付加やリードソロモン符号化のときもその後も暗号化は行われず、通信規約に基づく適宜なヘッダーやトレーラーが付加されて(ステップS16)、電文(通信伝文)が出来上がり、これが無線機21,31にて無線送信されるようになっている。
また、その電文を無線で受信した車上装置20や地上装置30では何れの通信部でも受信電文が上述した送信時と逆の手順で処理されるようになっている。すなわち(図1(c)参照)、先ず、通信規約に基づいてヘッダーやトレーラーが除去され(ステップS26)、次に、リードソロモン符号を用いて誤り訂正が行われ(ステップS25)、これによって、無線伝送中の雑音が誤り訂正の可能なレベルに収まっていれば、暗号化済み制御情報およびCRCコードと平文の鍵ナンバーとが復元される。それから、その復元電文のうち平文の部分から鍵ナンバーが抽出される(ステップS24)。この鍵ナンバーは、暗号電文の部分の暗号化に用いられた鍵コードを特定する鍵識別子であるが、暗号化されていないので、先行の誤り訂正が正しく行えてさえいれば、適切な値が得られる。
それから、抽出された鍵ナンバーに対応する鍵コードである日鍵コードがメモりの鍵コード一覧すなわち総ての日替り鍵のリストから求められるとともに、その日鍵コードを用いて受信電文のうち暗号電文の部分が復号されて(ステップS23)、CRCコードの付加された制御情報が平文の状態で得られる。さらに、そのCRCコードを用いて誤り検定が行われ(ステップS22)、その誤り検定の結果が不正ならば受信電文が破棄されるが、その誤り検定の結果が正しければ平文の制御情報が抽出される(ステップS21)。そして、この制御情報に基づいて踏切制御や列車制御さらには再生攻撃対策用の時刻情報チェック等が行われるようになっている。
この実施例1の無線式踏切警報システム20+30及びその通信部について、その使用態様及び動作を、図面を引用して説明する。
図2(a)は、電文の概要構成のイメージ図である。また、図2(b),(c),図3(a),(b)は何れも車上装置20と地上装置30との交信ダイアグラムであり、図2(b)は定常状態の交信例、図2(c)は初期の通信不調の交信例、図3(a)は中期の通信不調の交信例、図3(b)は日付が切り替わったときの交信例である。
図2(a)は、電文の概要構成のイメージ図である。また、図2(b),(c),図3(a),(b)は何れも車上装置20と地上装置30との交信ダイアグラムであり、図2(b)は定常状態の交信例、図2(c)は初期の通信不調の交信例、図3(a)は中期の通信不調の交信例、図3(b)は日付が切り替わったときの交信例である。
この無線式踏切警報システム20+30では、車上装置20から地上装置30へ無線で送信される電文A0〜A3も、地上装置30から車上装置20へ無線で送信される電文B1〜B3も(図2(a)参照)、制御情報とCRCコードと鍵ナンバーとリードソロモン符号とを含んでいるが、そのうち制御情報とCRCコードは、日毎に切り替わる鍵コードである日替り鍵を用いて暗号化され、その日替り鍵を特定する鍵ナンバーは、暗号化されないで平文の状態を維持する。さらに、それらをリードソロモン符号で加工して誤り訂正可能にしたものも、符号化はされても暗号化はされないので、各電文のうちリードソロモン符号の分も平文の状態を維持していると言える。
先ず、無線通信状態が良好な場合の交信状況を述べると(図2(b)参照)、車上装置20が、地上装置30の通信圏外に在るうちは、車上情報LC1およびCRCコードを適宜な鍵コードで暗号化してからその鍵ナンバー例えば#0を平文で付加するとともにそれらをリードソロモン符号で加工した電文A0を無線で送信するが、この電文Aは地上装置30に届かないので、地上装置30は、踏切12に接近した列車が無いとして、警報機13に踏切警報の出力を停止させている。なお、例示した鍵ナンバー#0及び鍵コードは、車上装置20が地上装置30と時刻合わせを行う前に日替わりで選定した日鍵コード及びその鍵ナンバーでも良く、日替りしない共通暗号鍵でも良い。
そして、列車10が軌道11を走行して踏切12の手前の踏切警報始動点ADCに近づくと、車上装置20と地上装置30が互いの通信圏内に入るので、平文の鍵ナンバー#0や暗号の車上情報LC1を含んだ電文A1が車上装置20から地上装置30へ届けられる。電文A1を受信した地上装置30では、リードソロモン符号を用いて誤り訂正が施され、その後、平文の部分から鍵ナンバー#0が抽出されるとともに、それで特定される鍵コードを用いて車上情報LC1及びCRCコードの暗号が解かれ、それから、CRCコードによる誤り検定が行われる。ここでは通信良好な場合を説明しているので、正しいとの検定結果が出て、車上情報LC1が地上装置30の踏切制御に利用される。
車上装置20と地上装置30は混信回避のため交互に送受信を行うので、次は、地上装置30が踏切情報MC1およびCRCコードを適宜な当日の日鍵コードで暗号化してからその鍵ナンバー例えば#06を平文で付加するとともにそれらをリードソロモン符号で加工した電文B1を無線で送信する。そして、電文B1が車上装置20に届くと、車上装置20でも、リードソロモン符号を用いて誤り訂正が施され、その後、平文の部分から鍵ナンバー#06が抽出されるとともに、それで特定される鍵コードを用いて踏切情報MC1及びCRCコードの暗号が解かれ、それから、CRCコードによる誤り検定が行われて、正しいとの検定結果が出るので、踏切情報MC1が車上装置20の列車制御に利用されるとともに、車上装置20の時計が受信した時刻情報を用いて時刻調整される。
繰り返しとなる詳細な説明は割愛するが、その後も無線交信が続けられて、平文の鍵ナンバー#06と車上情報LC1の暗号電文を含んだ電文A2が車上装置20から地上装置30へ送信され、平文の鍵ナンバー#06と踏切情報MC1の暗号電文を含んだ電文B2が地上装置30から車上装置20へ送信され、さらに、同様にして、電文A3が送信され、電文B3も送信される。その後の電文の遣り取りは省略するが、車上装置20の電文A1以降に基づいて列車10の走行位置を地上装置30が把握できるので、列車10が踏切警報始動点ADCに到達するまでは警報機13は警報停止状態を維持し、列車10が踏切警報始動点ADCに到達した後は警報機13が踏切警報の出力を開始する。また、列車10の踏切警報終止点BDC通過後に踏切警報の出力が止まる。
次に、無線通信状態が悪くて、例えば上述した交信のうち電文B1が強い雑音で消されてしまった場合について説明する(図2(c)参照)。
この場合、鍵ナンバー#0と車上情報LC1を含んだ電文A0が車上装置20から送信されても通信圏外の地上装置30に届かないことや、鍵ナンバー#0と車上情報LC1を含んだ電文A1が車上装置20から通信圏内の地上装置30に届いて車上情報LC1が踏切制御に利用されること、さらに鍵ナンバー#06と踏切情報MC1を含んだ電文B1が地上装置30から送信されることまでは、上述した無線通信状態良好時と同じであるが、この電文B1が、無線伝送段階で雑音によって消されてしまい、車上装置20に届かないものとする。
この場合、鍵ナンバー#0と車上情報LC1を含んだ電文A0が車上装置20から送信されても通信圏外の地上装置30に届かないことや、鍵ナンバー#0と車上情報LC1を含んだ電文A1が車上装置20から通信圏内の地上装置30に届いて車上情報LC1が踏切制御に利用されること、さらに鍵ナンバー#06と踏切情報MC1を含んだ電文B1が地上装置30から送信されることまでは、上述した無線通信状態良好時と同じであるが、この電文B1が、無線伝送段階で雑音によって消されてしまい、車上装置20に届かないものとする。
そうすると、車上装置20は、車上装置20との交信開始を検知できず、時計合わせもできないので、次の電文A2にも平文の鍵ナンバー#0と車上情報LC1の暗号電文を含ませる。そして、この電文A2が車上装置20から送信されて地上装置30へ届くと、電文A2を受信した地上装置30では、リードソロモン符号を用いて誤り訂正が施され、その後、平文の部分から鍵ナンバー#0が抽出されるとともに、それで特定される鍵コードを用いて車上情報LC1及びCRCコードの暗号が解かれ、それから、CRCコードによる誤り検定が行われる。電文B1以外は雑音に負けない場合を述べているので、電文A2には正しいとの検定結果が出て、車上情報LC1が地上装置30の踏切制御に利用される。以降の電文B2,A3,B3,…の遣り取りは上述した無線通信状態良好時と同じなので説明を割愛するが、その場合も、電文B1の消失によって踏切情報MC1の伝達が一通信サイクルの時間だけ遅れたことを除いて、何ら支障なく踏切警報等が行われる。
また、無線通信状態が悪くて、例えば上述した交信のうち電文A2が雑音によって消されはしなくても誤り訂正不能なまで損なわれてしまった場合について説明する(図3(a)参照)。
この場合、通信圏外から通信圏内に入った直後の電文A0,A1,B1の遣り取りは上述した無線通信状態良好時と同じに進行するが、その次の電文A2が、車上装置20から送信されて地上装置30に一応は届くけれども、無線伝送段階で雑音によって誤り訂正できないほど損なわれているものとする。この電文A2には、車上装置20によって平文の鍵ナンバー#06と車上情報LC1の暗号電文が含められている。
この場合、通信圏外から通信圏内に入った直後の電文A0,A1,B1の遣り取りは上述した無線通信状態良好時と同じに進行するが、その次の電文A2が、車上装置20から送信されて地上装置30に一応は届くけれども、無線伝送段階で雑音によって誤り訂正できないほど損なわれているものとする。この電文A2には、車上装置20によって平文の鍵ナンバー#06と車上情報LC1の暗号電文が含められている。
そして、この電文A2を受信した地上装置30では、リードソロモン符号を用いて誤り訂正が施され、その後、平文の部分から鍵ナンバー#06が抽出されるとともに、それで特定される鍵コードを用いて車上情報LC1及びCRCコードの暗号が解かれ、それから、CRCコードによる誤り検定が行われる。電文A2が雑音に負けて誤り訂正できない場合を述べているので、電文A2には不正という検定結果が出て、それに含まれていた車上情報LC1は地上装置30によって踏切制御に利用されることなく捨てられる。以降の電文B2,A3,B3,…の遣り取りは上述した無線通信状態良好時と同じなので説明を割愛するが、この場合も、電文A2の破棄によって車上情報LC1の伝達が一通信サイクルの時間だけ遅れたことを除けば、何ら支障なく踏切警報等が行われる。
さらに、無線通信状態は悪くないが、例えば上述した交信のうち電文A2の送受信中にたまたま日付が切り替わってしまった場合について説明する(図3(b)参照)。
この場合も電文A0,A1,B1の遣り取りが上述した無線通信状態良好時と同じに進行するとともに電文A2も車上装置20から送信されて地上装置30に届いて受信されるが、ここでは、送信電文A2作成時の車上装置20の管理下の日付と受信電文A2処理時の地上装置30の管理下の日付とが相違することから、日替わりで切り替えられる日鍵コードが、車上装置20では例えば鍵ナンバー#06で特定されるものであるのに対し、地上装置30では例えば鍵ナンバー#07で特定されるものになるので、日付と厳密に対応する日鍵コードが車上装置20と地上装置30とで一致しない事態が生じる。
この場合も電文A0,A1,B1の遣り取りが上述した無線通信状態良好時と同じに進行するとともに電文A2も車上装置20から送信されて地上装置30に届いて受信されるが、ここでは、送信電文A2作成時の車上装置20の管理下の日付と受信電文A2処理時の地上装置30の管理下の日付とが相違することから、日替わりで切り替えられる日鍵コードが、車上装置20では例えば鍵ナンバー#06で特定されるものであるのに対し、地上装置30では例えば鍵ナンバー#07で特定されるものになるので、日付と厳密に対応する日鍵コードが車上装置20と地上装置30とで一致しない事態が生じる。
しかし、この無線式踏切警報システム20+30の場合、送信電文を作成するときには日鍵コードが送信側の管理下の日付に応じて切り替えられるが、受信電文を処理するときには、受信側の管理下の日付に対応した日鍵コードが用いられるのでなく、受信電文に平文で含まれている鍵ナンバーで特定される鍵コードが用いられることから、受信側における日替り鍵の日鍵コードの切り替えが実質的には送信側の管理下の日付に対応して行われることと同じになるので、車上装置20において電文A2の暗号処理に用いられた日鍵コードと、地上装置30において電文A2の復号処理に用いられた日鍵コードが、何れも鍵ナンバー#06で特定されるものとなって、一致する。そのため、この場合も、上述した無線通信状態良好時と同じく、何ら支障なく踏切警報制御や列車制御が行われる。
このように、この無線式踏切警報システム20+30及びその通信部にあっては、送信電文の作成時に、制御情報にCRCコードを付加して誤り検定ができるようにしたうえで、それらを日替り鍵を用いて暗号化し、さらに、それと平文の鍵ナンバーとの組み合わせを誤り訂正ができるようにリードソロモン符号で加工するとともに、電文受信時にはその逆順で受信電文を処理することにより、複数の鍵コードを日替わりで切り替えて電文を暗号化しても無線雑音や日付切替に起因して送信側と受信側とで鍵コードを違える可能性が極めて小さくて済むとともに、無線伝送中に雑音で電文が損なわれたときでも、その影響が以降に送受信される他の電文には及ばないので、伝送効率の過剰低下が避けられる。
[その他]
上記の実施例では、鍵識別子として一連の鍵ナンバーを挙げたが、鍵ナンバーは不連続の番号であっても良く、鍵識別子は適宜な符号などであっても良い。
上記の実施例では、鍵識別子として一連の鍵ナンバーを挙げたが、鍵ナンバーは不連続の番号であっても良く、鍵識別子は適宜な符号などであっても良い。
本発明の無線式踏切警報システム及びその通信部は、地方交通線や単線の鉄道に対して適用するのに好都合なものであるが、それに適用対象が限られるわけでなく、都市交通線や複線の鉄道にも適用することができる。
10…列車、11…軌道(線路)、12…踏切、13…警報機、
20…車上装置、21…無線機、
30…地上装置、31…無線機、32…GPS受信器、
ADC…踏切警報始動点、BDC…踏切警報終止点、A,B…電文
20…車上装置、21…無線機、
30…地上装置、31…無線機、32…GPS受信器、
ADC…踏切警報始動点、BDC…踏切警報終止点、A,B…電文
Claims (2)
- 軌道を走行する列車に搭載されて列車位置を含む車上情報を無線で伝送する車上装置と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置とを具備した無線式踏切警報システムにおいて、前記地上装置の通信部も、前記車上装置の通信部も、予め複数の鍵識別子から異なるものを夫々に割り振られた複数の鍵コードをデータ保持しており、両通信部が無線交信可能になると交互に電文を送受しあうようになっており、更に、その無線交信に際して、前記通信部のうち送信側のものが、送信対象の情報を含ませた電文を前記の複数の鍵コードのうち何れか一つを用いて暗号電文にするとともに、前記の複数の鍵識別子のうち前記暗号電文に用いた鍵コードに割り振られた鍵識別子を含ませた平文を前記暗号電文に付加して送信電文を作成するようになっており、且つ、前記通信部のうち受信側のものが、受信電文のうち平文の部分から鍵識別子を抽出するとともに、この抽出した鍵識別子を割り振られた鍵コードを前記の複数の鍵コードのうちから取得して前記受信電文のうち暗号電文の部分を復号するようになっていることを特徴とする無線式踏切警報システム。
- 軌道を走行する列車に搭載されて列車位置を含む車上情報を無線で伝送する車上装置における通信部と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置における通信部とのうち、何れか一つに該当する無線式踏切警報システム通信部であって、予め複数の鍵識別子から異なるものを夫々に割り振られた複数の鍵コードをデータ保持しており、無線で送信するときには、送信対象の情報を含ませた電文を前記の複数の鍵コードのうち何れか一つを用いて暗号電文にするとともに、前記の複数の鍵識別子のうち前記暗号電文に用いた鍵コードに割り振られた鍵識別子を含ませた平文を前記暗号電文に付加して送信電文を作成するようになっており、無線で受信するときには、受信電文のうち平文の部分から鍵識別子を抽出するとともに、この抽出した鍵識別子を割り振られた鍵コードを前記の複数の鍵コードのうちから取得して前記受信電文のうち暗号電文の部分を復号するようになっていることを特徴とする無線式踏切警報システム通信部。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013216940A JP2015077915A (ja) | 2013-10-18 | 2013-10-18 | 無線式踏切警報システム及びその通信部 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013216940A JP2015077915A (ja) | 2013-10-18 | 2013-10-18 | 無線式踏切警報システム及びその通信部 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015077915A true JP2015077915A (ja) | 2015-04-23 |
Family
ID=53009758
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013216940A Pending JP2015077915A (ja) | 2013-10-18 | 2013-10-18 | 無線式踏切警報システム及びその通信部 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015077915A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020246022A1 (ja) * | 2019-06-07 | 2020-12-10 | 三菱電機株式会社 | 識別子切り替え装置、識別子切り替えプログラム及び識別子切り替え方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000233750A (ja) * | 1999-02-17 | 2000-08-29 | Railway Technical Res Inst | 列車制御用デジタル通信システム |
JP2006352265A (ja) * | 2005-06-13 | 2006-12-28 | Hitachi Kokusai Electric Inc | 画像配信システム |
JP2011105117A (ja) * | 2009-11-17 | 2011-06-02 | East Japan Railway Co | 無線式踏切警報制御装置およびシステム |
-
2013
- 2013-10-18 JP JP2013216940A patent/JP2015077915A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000233750A (ja) * | 1999-02-17 | 2000-08-29 | Railway Technical Res Inst | 列車制御用デジタル通信システム |
JP2006352265A (ja) * | 2005-06-13 | 2006-12-28 | Hitachi Kokusai Electric Inc | 画像配信システム |
JP2011105117A (ja) * | 2009-11-17 | 2011-06-02 | East Japan Railway Co | 無線式踏切警報制御装置およびシステム |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020246022A1 (ja) * | 2019-06-07 | 2020-12-10 | 三菱電機株式会社 | 識別子切り替え装置、識別子切り替えプログラム及び識別子切り替え方法 |
JPWO2020246022A1 (ja) * | 2019-06-07 | 2021-10-21 | 三菱電機株式会社 | 識別子切り替え装置、識別子切り替えプログラム及び識別子切り替え方法 |
JP7003328B2 (ja) | 2019-06-07 | 2022-01-20 | 三菱電機株式会社 | 識別子切り替え装置、識別子切り替えプログラム及び識別子切り替え方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4982215B2 (ja) | 暗号通信システム、暗号通信方法、暗号通信プログラム、車載端末およびサーバ | |
JP5350559B2 (ja) | 車載器 | |
US9705679B2 (en) | Data authentication device and data authentication method | |
RU2459369C2 (ru) | Способ и устройство для передачи сообщений в реальном времени | |
JP5783103B2 (ja) | 車両用データ通信システム及び車両用データ通信装置 | |
EP3701669A1 (en) | Cryptographic methods and systems for managing digital certificates | |
EP1882346B1 (en) | Communication protocol and electronic communication system, in particular authentication control system, as well as corresponding method | |
WO2013142007A1 (en) | Method and device for managing encrypted group rekeying in a radio network link layer encryption system | |
US9769664B1 (en) | Nonce silent and replay resistant encryption and authentication wireless sensor network | |
CN106209356A (zh) | 用于物联网远程控制的保密控制方法及系统 | |
KR101562311B1 (ko) | 보안 터널링 및 데이터 재전송을 수행하는 물리적 단방향 통신의 보안 게이트웨이의 송신/수신 장치 및 그것을 이용하는 데이터 전송 방법 | |
CA2737836C (en) | Inter-vehicle communication system | |
CN116318657A (zh) | 一种中继密钥传输方法 | |
Chothia et al. | An attack against message authentication in the ERTMS train to trackside communication protocols | |
JP6092548B2 (ja) | 無線システム及び列車制御システム | |
CN102377571A (zh) | 一种实现iec104报文传输的方法和系统 | |
CN111130750B (zh) | 车辆can安全通信方法及系统 | |
Aziz et al. | SecureAIS-securing pairwise vessels communications | |
CN104244236A (zh) | 一种可保证机密性和完整性的数据融合方法 | |
CN113221136B (zh) | Ais数据传输方法、装置、电子设备和存储介质 | |
JP2015077915A (ja) | 無線式踏切警報システム及びその通信部 | |
CN205812031U (zh) | 用于物联网远程控制的保密控制装置 | |
JP6168898B2 (ja) | 無線式踏切警報システム | |
CN107493262B (zh) | 用于传输数据的方法和装置 | |
US9071964B2 (en) | Method and apparatus for authenticating a digital certificate status and authorization credentials |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160912 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170725 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170726 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180206 |