JP2023551929A - クリティカルシステムを制御する装置及び方法 - Google Patents

クリティカルシステムを制御する装置及び方法 Download PDF

Info

Publication number
JP2023551929A
JP2023551929A JP2023533703A JP2023533703A JP2023551929A JP 2023551929 A JP2023551929 A JP 2023551929A JP 2023533703 A JP2023533703 A JP 2023533703A JP 2023533703 A JP2023533703 A JP 2023533703A JP 2023551929 A JP2023551929 A JP 2023551929A
Authority
JP
Japan
Prior art keywords
message
encrypted
encryption key
private
decrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023533703A
Other languages
English (en)
Inventor
プレスコビッチ、クラウディオ
サンニノ、パオロ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Rail STS SpA
Original Assignee
Hitachi Rail STS SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Rail STS SpA filed Critical Hitachi Rail STS SpA
Publication of JP2023551929A publication Critical patent/JP2023551929A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0063Multiple on-board control systems, e.g. "2 out of 3"-systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/30Trackside multiple control systems, e.g. switch-over between different systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/20Trackside control of safe travel of vehicle or train, e.g. braking curve calculation
    • B61L2027/202Trackside control of safe travel of vehicle or train, e.g. braking curve calculation using European Train Control System [ETCS]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L2205/00Communication or navigation systems for railway traffic
    • B61L2205/02Global system for mobile communication - railways [GSM-R]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L29/00Safety means for rail/road crossing traffic
    • B61L29/08Operation of gates; Combined operation of gates and signals
    • B61L29/10Means for securing gates in their desired position

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Feedback Control In General (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Figure 2023551929000001
本発明は、クリティカルシステム(S)を制御する装置(1a)及び方法、並びに当該クリティカルシステム(S)を制御するためのメッセージの配信のためのデバイス(3a、3b)及び方法に関し、ここで、当該装置(1a)は、第1のプライベート鍵を使用することによって第1の制御メッセージを暗号化すること、当該第1の暗号化済みメッセージを第2の装置(1b)に送信すること、第2の装置(1b)によって生成され、当該第2の装置(1b)によって、第2のプライベート鍵を使用することによって暗号化された第2の暗号化済みメッセージを受信すること、当該第2のプライベート鍵に関連付けられた公開鍵を使用することによって当該第2の暗号化済みメッセージを解読すること、当該第1のメッセージに基づいて第2の解読済みメッセージを検証し、検証が成功した場合、当該第1のプライベート鍵を用いて少なくとも当該第2の暗号化済みメッセージを暗号化し、それによって、第3の暗号化済みメッセージを生成すること、及び当該第3の暗号化済みメッセージを送信することを行うように構成されている。

Description

本発明は、クリティカルシステムを制御する装置及び方法、並びに当該クリティカルシステムを制御するため;特に、鉄道システムを制御するためのメッセージの配信のためのデバイス及び方法に関する。
既知のとおり、過去数十年において生じた鉄道ネットワークの発展は、特にネットワーク及びトラフィック制御及び監視に関して、自動化のレベルの増大をもたらした。しかしながら、この自動化のレベルの増大はまた、制御及び監視装置を動作させるのに必要な通信帯域幅の観点で、及びそのような装置が利用可能なままでなければならない時間間隔に関しても、より高い要件を引き起こしている。
CENELEC EN50159及びそれ以降の規格によって指定されるように、そのような装置は、4の安全インテグリティレベル(SIL)で動作しなければならない。そのような要件との適合性を確保するための1つの方法は、デジタル署名によって保護された時変通信の形式で(制御される鉄道ネットワークの安全動作に必要な)重大な情報及び/又はコマンドを収集、処理及び通信するタスクを実行する安全処理システム(Safe Calculators)を使用することである。そのような装置は、非常に多くの場合、冗長アーキテクチャ(2oo2)を使用することによって、すなわち、一対の装置(その各装置は「レプリカ」としても知られている)を使用することによって設計され、ここで、それらの各装置は、情報を処理するとともに、有効な重要メッセージの送信を共同で認証しなければならない。この文脈では、そのような通信の安全性を保証すること、すなわち、レプリカ同士が同意しなければ、有効な重要メッセージを送信することが可能ではなくなるようにシステムを設計することが必要であり、これは、潜在的には危険になり得る。このタスクは、通常、サードデバイス、すなわち、「ウォッチドッグ」と通常称される本質的に安全な回路に委ねられ、これは、アウトバウンド通信を可能にするか又は安全に中断する機能を実行する。したがって、このデバイスは、レプリカ同士の間の何らかの不一致が検出される場合に両方の装置をディスエーブルすることを許可し;実際、そのような不一致は、典型的には、動作不良の症状である。鉄道分野において、そのような装置をディスエーブルすることによって、制御される輸送システム(例えば、列車、ポイント、信号等)を安全状態に戻すことが可能であり、これは、典型的には、設計フェーズにおいて定義され、例えば、信号がオフ又は赤のいずれかであり、列車トラフィックが禁止され、ポイントが走行中の列車同士の間の衝突を回避するように設定される状態等である。
この回路の存在は、多くの場合、システムの性能を制限し、循環を停止することになる故障が生じ得る確率を高め、これはなぜならば、当該システムは、それをかなり複雑にする多数のコンポーネントから構成されるためである。
この問題は、HITACHI RAIL STS S.p.Aによるイタリア国特許出願第102016000116085号によって解決されるが、一方で、ここで、メッセージのインテグリティを検証するタスクは、それらの受信者に委ねられ、それゆえ、市場で既に入手可能である(「COTSコンポーネント」-商用オフザシェルフコンポーネントとして知られている)か、又はさらには運用中の鉄道ネットワークに沿って既に設置されているコンポーネントを使用する可能性が制限される。
ドイツ国特許出願公開第DE 10 2016 204 630 A1号は、例えば認証鍵の形式で、鉄道システムのデバイスのための特定の鍵のプロビジョンを要求することなくそのようなデバイス間のメッセージの送信を可能にすることができるシステムを記述している。
本発明は、これらの及び他の問題を、本発明に係る鉄道ネットワークを制御するためのメッセージを生成する装置及び方法を提供することによって、解決することを目的とする。
本発明は、これらの及び他の問題を、クリティカルシステムを制御する装置及び方法を提供することによって、解決することを目的とする。
その上、本発明は、これらの及び他の問題を、クリティカルシステムを制御するためのメッセージの配信のためのデバイスも提供することによって、解決することを目的とする。
本発明の基本概念は、少なくとも2つのプライベート鍵を使用すること、すなわち、以下の段階を実行する本発明に係る少なくとも1つの対の装置のうちの各装置を構成することによって、制御メッセージを繰り返し暗号化することである:
- 好ましくは適した制御ロジックを用いて、制御メッセージを生成すること;
- 他方の装置から暗号化済みメッセージを受信すること;
- 公開暗号鍵を使用することによって上記暗号化済みメッセージを解読すること;
- 解読済みメッセージを生成された制御メッセージと比較することによって、当該解読済みメッセージを検証し、検証が成功した場合、第1のプライベート暗号鍵を用いて少なくとも上記第2の暗号化済みメッセージを暗号化し、それによって、少なくとも2つのプライベート鍵を用いて暗号化された第2の暗号化済みメッセージを生成すること;
- 上記第2の暗号化済みメッセージを、第3の装置に、本発明に係るメッセージ配信デバイスに、又は別の受信者(例えば、コントローラ、信号等)に送信すること。
これにより、メッセージが少なくとも2つの制御装置によってバリデートされたことを検証するとともに、メッセージが暗号化された形式において常にトラベルすることになることを保証することが可能であるという点で、物及び/又は人の保護の観点で安全性が確保され、それゆえ、いずれの平文情報も送信することなく冗長性が確保される。
上述されたように、以降で更に説明されるように、システム冗長レベルを高めるように、他の2つの装置と直列に又は並行してメッセージ検証プロセスに参加する第3の装置も含まれてよい。
装置の数は、クリティカルシステムの大半の冗長性要件を満たすように、随意に増加されてよいことが指摘されなければならない。
それゆえ、もはや専用の耐故障アーキテクチャ(例えば、2oo2又は投票システムの使用を想定する類似のアーキテクチャ、ウォッチドッグ等のような)に基づくのではなく、COTSコンポーネント(例えば、x86又はx64アーキテクチャに基づくハードウェア及びオペレーティングシステム)に基づく鉄道制御システムを使用することができ、これらは、分散仮想化技術(いわゆる「クラウド」)の使用に良好に適合し;実際、そのような技術の使用は、それらの可用性を高めるように鉄道制御システムを実装することを可能にし、それゆえ、有利には、鉄道分野及び同様に他の分野において提供される制御サービスの品質が改善される。事実、仮想化のような技術の使用により、知られているように場所を取るとともにメンテナンスを必要とすることになるいずれの制御システムも現場に設置する必要なく、クリティカルシステム(例えば、エレベータ、ロープウェイ、地下鉄、路面電車、トロリーバス等)を(リモートで)制御することが可能になる。本発明を用いると、クリティカルシステム制御システムを単一のサーバファームに集中させることが可能であり、このサーバファームでは、大規模なハードウェアの可用性及び仮想化技術に起因して、(例えば、盗難、損傷、停電等に対する)より高いレベルの物理的セキュリティ及び(例えば、サイバー攻撃、劣化した又は欠陥のあるマスストレージユニット等に対する)論理的セキュリティとともに、制御システムのためのより長い可用時間を保証することができる。
本発明の更なる有利な特徴が、添付の特許請求の範囲に記載される。
本発明のこれらの特徴及び更なる利点は、単に非限定的な例として提供される添付の図面において示されているような本発明の好ましい実施形態の以下の説明に鑑みるとより明らかとなるであろう。
本発明に係る、3つの装置を備える鉄道システムの図である。 図1の装置のうちの各装置のアーキテクチャを示す図である。 図1の装置が本発明に係る方法を実装する命令のセットを実行するときの、それらの動作を説明するブロック図である。
この説明では、「一実施形態」に対する任意の参照は、特定の構成、構造又は特徴が本発明の少なくとも1つの実施形態内に含まれることを示すであろう。したがって、この説明の異なる部分において見出され得る「一実施形態では」等のような表現は、必ずしも同じ実施形態を指すわけではない。その上、任意の特定の構成、構造又は特徴は、1つ又は複数の実施形態において適切であるとみなされると組み合わされ得る。したがって、以下の参照は、簡潔にするためにのみ使用されており、様々な実施形態の保護範囲又は拡張に限定されるものではない。
図1を参照すると、以下は、クリティカルシステムS、すなわち、鉄道システムを説明し;当該鉄道システムSは、好ましくは、以下の部分:
- 鉄道線路R、当該鉄道線路Rに沿って少なくとも1つの列車Tが走行することができる;
- 可動バリアを有する踏切信号B;
- 上記踏切に関与している別の車両V(例えば、路面電車)の存在を検出するように適応されたセンサM、例えば、誘導、磁気等のセンサ;
- メッセージ配信システム2、ここで、当該デバイスは、少なくとも信号B及びセンサMと、好ましくは間接的な方法で、すなわち、以下で更に説明されるヤードコントローラCを介して、通信する;
- クリティカルシステムSを制御するためのメッセージの生成のためのシステム0であって、
○好ましくはメッセージ配信システム2と通信する、本発明に係る第1の装置1a;
○好ましくは第1の装置1a及びメッセージ配信システム2と通信する、本発明に係る第2の装置1b
を有する、システム0
を備える。
装置1a及び1bは、データ通信ネットワーク、好ましくはプライベートローカルエリアネットワークを介して相互に通信するように構成されている。当該装置1a、1bが別個のロケーションに設置されている場合、ネットワークは、好ましくは、パブリックネットワーク、例えば、インターネット又はマルチプロトコルラベルスイッチング(MPLS)ネットワークである。
以下の説明の参照は、単に例示の目的で踏切に対してなされるが、これはなぜならば、本発明の対象が、鉄道ネットワーク(例えば、鉄道車両、ポイント、監視システム等)を制御するためのメッセージを生成する必要がある鉄道システムの他の部分にも適用可能であるためであることが指摘されなければならない。
システム0は、加えて、上述されたように、システム0の冗長レベルを高めることに寄与する1つ又は複数の更なる装置を備えてよいことも指摘されなければならない。より明確にするために、この説明は、まず、装置1a及び1bの間のインタラクションを想定する例示的な実施形態を示し、これに後続して、第3の装置1c(システム0内に含まれる)が最初の2つの装置1a、1bとインタラクトする一例を示す。
以下で更に説明されるように、メッセージ配信システム2は、本発明に係る少なくとも1つの第1のメッセージ配信デバイス3a、及び任意選択で本発明に係る1つ又は複数の第2のメッセージ配信デバイス3bを備え、ここで、当該デバイス3a及び3bは、第2のデータ通信ネットワーク、好ましくはプライベートローカルエリアネットワークを介して互いに通信するように構成されている。当該デバイス3a、3bが別個のロケーションに設置されている場合、ネットワークは、好ましくは、パブリックネットワーク、例えば、インターネット又はマルチプロトコルラベルスイッチング(MPLS)ネットワークである。
同様に図2を参照すると、以下は、装置1(図1においてシンボル1a及び1bによって指定された)を説明し;当該装置1は、以下のコンポーネント:
- 鉄道ネットワークを制御するためのメッセージの生成を、好ましくはプログラム可能な方法で、適切な命令の実行を介して、可能にするように適応された制御及び/又は処理手段11(簡潔性のためにCPUとも称される)、例えば、1つ又は複数のCPU及び/又はマイクロコントローラ及び/又はFPGA及び/又はCPLD等;
- 制御及び/又は処理手段11と信号通信するメモリ手段12、例えば、ランダムアクセスメモリ(RAM)及び/又はフラッシュメモリ及び/又は別のタイプのメモリ、ここで、当該揮発性メモリ手段12は、好ましくは少なくとも本発明に係る方法を実装する命令を記憶し、これは、装置1が動作条件にあるときに制御及び/又は処理手段11によって読み取ることができ;また、当該メモリ手段12は、好ましくは暗号鍵(以降で更に説明される)を含み、上記装置1が鉄道ネットワークの一部を制御することを可能にすることになる制御ロジックを実装する命令のセットも含んでよい;
- 装置1が他の装置1b及び/又は他の要素、例えば、メッセージ配信システム2又は鉄道システムS内に含まれる他の装置と通信することを可能にする通信手段13、好ましくは、ERTMS/ETCSシステムによって可能にされる通信規格のうちの1つ又はIEEE802.3(Ethernet(登録商標)としても知られている)、IEEE802.11(WiFiとしても知られている)又は802.16(WiMax(登録商標)としても知られている)ファミリに属する規格のうちの1つに従って動作するインターフェース、又はGSM(登録商標)-R又はGSM(登録商標)/GPRS/UMTS/LTE又はTETRAデータネットワークに対するインターフェース;
- 例えば、上記装置1を、命令(CPU11がその後実行しなければならない)をメモリ手段12に書き込む、及び/又は上記装置1が被る任意の障害の診断を可能にするように構成されたプログラミング端末に接続するのに使用されてよい入力/出力手段(I/O)14;そのような入力/出力手段14は、例えば、USB、Firewire(登録商標)、RS232、IEEE1284、Ethernet(登録商標)、WiFi又はBluetooth(登録商標)アダプタ等を含んでよい;
- 制御及び/又は処理手段11、メモリ手段12、通信手段13、及び入力/出力手段14の間で情報が交換されることを可能にする通信バス17
を備える。
通信バス17に対する代替形態として、制御及び/又は処理手段11、メモリ手段12、通信手段13、及び入力/出力手段14は、スターアーキテクチャを用いて接続されてよい。
デバイス3a、3bのうちの各デバイスは、装置1a、1bの内部アーキテクチャと同様である内部アーキテクチャを有する。より詳細には、当該デバイス3a、3bは、制御及び/又は処理手段(例えば、CPU)、及び信号B及びセンサM(いわゆるヤード機器)と、好ましくはそれらの動作を制御するコントローラCを介して、通信する通信手段(例えば、Ethernet(登録商標)カード又は別のタイプのカード)を備え;この目的で、当該コントローラCは、例えば、当該デバイス3a、3bのうちの1つ又は複数から受信された制御メッセージに含まれる値に従って信号Bのバリアの運動を制御することが可能である1つ又は複数のリレーを含む基板を備え得る入力/出力手段(I/O)を備える。
デバイス3a、3bは相互に冗長であるように構成されてもよいし、又はそれらのうちの各デバイスはヤードデバイスの別個のセットを制御する別個のコントローラに接続されてもよい。その上、以下で更に説明されるように、デバイス3a、3bは、所与の数(例えば、2つ又はそれよりも多く)の当該デバイス3a、3bの存在及び適切な動作を確保するために、装置1、1a、1bと同じようにメッセージを解読するように構成されてよい。
同様に図3を参照すると、以下は、本発明に係る鉄道ネットワークを制御するためのメッセージの生成のための方法を説明し、ここで、当該方法は、装置1a及び1bのうちの各装置によって実行することができる命令のセットによって実装される。
各装置1a及び1bが動作条件にある場合、制御及び/又は処理手段11は、メッセージ準備フェーズP0a、P0bを実装する命令のセットを実行し、この間、CPU11は、第1のメッセージを生成し、当該第1のメッセージは、好ましくは、メモリ手段12に記憶された制御ロジック及び鉄道システムSの状態に基づいて決定され、これは、例えば、センサMによって及び/又は信号Bによって生成され、通信手段13を介して受信されたセンサ信号を表すデータ等を含んでよい。
さらに、(メモリ手段12に記憶される)制御及び/又は処理手段11によって実行される命令のセットは、本発明に係る制御方法も実装し;当該方法は、少なくとも以下のフェーズ:
a.第1の暗号化フェーズP1a、P1b、ここで、当該第1のメッセージは、制御及び/又は処理手段11によって、第1のプライベート暗号鍵を使用することによって暗号化され、それによって、第1の暗号化済みメッセージが生成される;
b.第1の送信フェーズP2a、P2b、ここで、上記第1の暗号化済みメッセージは、通信手段13を介して、第2の装置1、1a、1bに送信される;
c.第1の受信フェーズP3a、P3b、ここで、第2の装置1、1a、1bによって生成され、当該第2の装置1、1a、1bによって、第2のプライベート暗号鍵を使用することによって、暗号化された第2の暗号化済みメッセージが、通信手段13を介して受信される;
d.第1の解読フェーズP4a、P4b、ここで、上記第2の暗号化済みメッセージは、制御及び/又は処理手段11によって、上記第2のプライベート暗号鍵に関連付けられた公開暗号鍵を使用することによって、解読され、それによって、第2の解読済みメッセージが生成される;
e.第1の検証フェーズP5a、P5b、ここで、上記第2の解読済みメッセージは、制御及び/又は処理手段11によって、上記第1のメッセージに基づいて(例えば、それらの均等性を検証するように、2つのメッセージ又は少なくともその一部の間のビット単位の比較を行うことによって)検証され、検証が失敗した場合、制御及び/又は処理手段は、好ましくは、エラー状態ERRに入ることになり、当該エラー状態ERRにおいて、装置1a、1bは、好ましくは、他の装置1a、1bと(再度)合成することを試みることになる;
f.第2の暗号化フェーズP6a、P6b、ここで、検証フェーズが成功した場合、上記第2の暗号化済みメッセージは、制御及び/又は処理手段11によって、上記第1のプライベート暗号鍵を用いて暗号化され、それによって、第3の暗号化済みメッセージが生成される;
g.第2の送信フェーズP7a、P7b、ここで、上記第3の暗号化済みメッセージは、通信手段13を介して、受信者、例えば、メッセージ配信システム2又は第3の装置1c(装置1a、1bに類似しているか又は等しく、その動作は以下で更に説明される)に送信される
を備える。
装置1は、これらのフェーズを厳密には連続せずに実行するように構成されてよく、すなわち、フェーズc.及びd.は、フェーズa.及びb.が未だ完了していないときに開始してよいことが指摘されなければならない。
デバイス3a、3bが動作条件にある場合、上記デバイス2の制御及び/又は処理手段は、本発明に係る、クリティカルシステムを制御するためのメッセージの配信のための方法を実装する、当該デバイス2のメモリ手段に記憶された命令のセットを実行し、ここで、当該方法は、以下のフェーズ:
a.端末受信フェーズ、ここで、少なくとも1つの装置1、1a、1bから、通信手段を介して、暗号化済みメッセージが受信され、ここで、当該メッセージは、少なくとも第1のプライベート暗号鍵及び第2のプライベート暗号鍵を使用することによって暗号化されている;
b.端末解読フェーズ、ここで、上記暗号化済みメッセージは、制御及び/又は処理手段によって、上記第1のプライベート暗号鍵及び/又は上記第2のプライベート暗号鍵に関連付けられた少なくとも1つの公開暗号鍵を使用することによって、解読され、それによって、(以下で更に説明されるように)第1の解読済みメッセージが生成される;
c.端末送信フェーズ、ここで、上記解読済みメッセージは、通信手段を介して、上記クリティカルシステムに含まれる少なくとも1つのデバイス、例えば、踏切信号B及び/又はセンサM等に、好ましくはその動作を制御するコントローラCを通して、送信される
を備える。
装置1a、1bのうちのいずれか1つが(例えば、失敗した第1の検証フェーズP5a、P5bに起因して)第2の暗号化フェーズP6a、P6bを実行していない場合、装置1a、1bのうちの1つのみによって署名されたメッセージがデバイス3a、3bに到達すると、端末解読フェーズは、失敗することになるか、又は無効な平文メッセージをとにかく生成することになり、それゆえ、クリティカルシステムSの安全性が確保されることが指摘されなければならない。
これにより、メッセージが少なくとも2つの制御装置によってバリデートされたことを検証するとともに、メッセージが暗号化された形式において常にトラベルすることになることを保証することが可能であるという点で、物及び/又は人の保護の観点で安全性が確保され、それゆえ、いずれの平文情報も送信することなく冗長性が確保される。それゆえ、COTSコンポーネントに基づいて制御システムを使用することが可能であり、これらは、分散仮想化技術の使用に良好に適合している。
装置1、1a、1bによって使用される公開及びプライベート暗号鍵は、周知の暗号化アルゴリズム、例えば、RSA(Rivest-Shamir-Adleman)、DSA(デジタル署名アルゴリズム)、ECC(楕円曲線暗号)、又は同様に他のアルゴリズムを使用することによって対にして生成することができる。公開及びプライベート鍵の対の生成のためのこれらのアルゴリズムに対する代替形態として、以下の関係が使用されてよい:
ここで、RP[x]は、第iのプライベート暗号鍵を形成する第xの整数(好ましくは16ビット整数)を示しており、一方、PU[x]は、当該第iのプライベート暗号鍵に関連付けられた第iの公開暗号鍵を形成する第xの整数(好ましくは16ビット整数)を示す。見て取ることができるように、鍵の第iの対を構成する第xの整数(好ましくは16ビット整数)の総和は、LOOP定数に等しい値を有する。
鍵PU及びPRは、好ましくは、メッセージMの長さに等しい同じ長さを有することが強調されなければならない。メッセージが鍵よりも長ければ、鍵を含むビットは、当該メッセージMと同じ長さである(擬似)鍵を取得するように、循環的に再使用されてよい。
暗号化フェーズP1a、P1b中、暗号化動作(第iのプライベート暗号鍵PRを使用する)は、好ましくは、制御及び/又は処理手段11を介して、以下の関係を実装する命令のセットを実行することによって実行される:
ここで、len(M)は、メッセージMの長さ(すなわち、メッセージMを構成する整数の数、好ましくは8ビット整数)であり、M[x]は、メッセージMの第xの整数であり、暗号化済みメッセージの第xの整数E(M,PR)[x]は、メッセージMの第xの整数(M[x])及び第iのプライベート暗号鍵(PR[x])の第xの整数の総和のLOOPによる除算の剰余である。
第1の解読フェーズP4a、P4b中、第1の受信フェーズP3a、P3b中に受信された暗号化済みメッセージ(MC)を(第iの公開暗号鍵PUを用いて)解読する動作は、好ましくは、制御及び/又は処理手段11を介して、以下の関係を実装する命令のセットを実行することによって実行される。
暗号化フェーズP6a、P6b(これは、第1の検証フェーズP5a、P5bが完了に成功した場合にのみ実行される)中、暗号化動作(第jのプライベート暗号鍵PRを使用する)は、好ましくは、制御及び/又は処理手段11を介して、以下の関係を実装する命令のセットを実行することによって実行される:
ここで、第1の受信フェーズP3a、P3b中に受信されたメッセージ(E(M,PR))は、第jのプライベート暗号鍵を使用することによって実行される(検証済みの)メッセージMを暗号化する動作の結果と組み合わされる。これにより(以下で説明されるように)、デバイス3a、3bによって実行される解読動作を高速化することが可能になり;その上、上記の関係4において記述された総和演算は、解読フェーズP4a、P4b及び検証フェーズP5a、P5bがそれらの部分的結果を生成すると即座に暗号化フェーズP6a、P6bの実行を有利に可能にするように、連続して実行することができ、それゆえ、異なる装置1、1a、1bの間での交換が高速化され、したがって、本発明に係るクリティカルシステムSを制御する方法全体を完了するのに必要な時間が削減される。
デバイス3a、3bによって実行される端末解読フェーズ中、少なくとも2つのプライベート鍵(PR,PR)を用いて暗号化されたメッセージを解読する動作は、好ましくは、制御及び/又は処理手段11を介して、以下の関係(これは、以下で更に説明されるように、上記の関係3と同様である)を実装する命令のセットを実行することによって実行される:
ここで、MCCは、関係4によって記述された命令のセットを実行することによって暗号化されたメッセージであり、nは、冗長レベル(すなわち、メッセージMCCを暗号化した装置1の数、これは図3において示されている例では2)であり、公開暗号鍵PUijは、以下の関係を実装する命令のセットを実行することによって(好ましくは、本発明に係るメッセージ配信方法の実行に関して非同期で(オフラインで))得られる。
上述されたように、関係5は、(nによる除算を除いて)関係4に類似しており;実際には、メッセージMを暗号化するのに使用された2つのプライベート鍵に関連付けられた2つの公開鍵を(関係6を介して)ともに組み合わせることによって、有利には、単一の解読動作を用いてメッセージMCCを解読することが可能である。換言すれば、端末解読フェーズ中、利用される公開暗号鍵は、装置1a、1bによってそれぞれ使用される少なくとも第1のプライベート暗号鍵及び第2のプライベート暗号鍵の間での(算術的)組み合わせの結果である。
この手法は、解読動作の複雑性を削減し、有利には、(計算複雑度に加えて)本発明に係るメッセージ配信方法の実行中に生じ得る故障モードの数も削減し、物及び/又は人の保護の観点での改善された安全性がもたらされ、これはなぜならば、メッセージが少なくとも2つの制御装置によってバリデートされていることを検証するとともに、メッセージが暗号化された形式において常にトラベルすることになることを確保することが可能であり、それゆえ、いずれの平文情報も送信することなく冗長性が確保されるためである。結果として、COTSコンポーネントに基づいて制御システムを使用することが可能になり、これらは、分散仮想化技術の使用に良好に適合している。
まさに上記で説明された利点に起因して、有利には、上記第2のプライベート暗号鍵及び上記第3のプライベート暗号鍵に関連付けられた公開暗号鍵を(本発明に係る制御方法の第2の解読フェーズ中に)使用するように装置1、1a、bを構成することも可能であり、ここで、当該公開暗号鍵は、少なくとも上記第2の公開暗号鍵及び上記第3の公開暗号鍵の間での組み合わせの結果である。
上記に加えて、第1の装置1a及び/又は第2の装置1bは、第2の暗号化済みメッセージを第3の装置1に(第2の送信フェーズP7a、P7b中に)送信するように構成されてよい。これにより、別の制御装置による制御メッセージの更なるバリデーションを得ることが可能になり、それによって、システムS全体の冗長レベルが高まる。このために、本発明に係る制御方法(これは、3つの装置1、1a、1b全てによって実行される)は、好ましくは、以下の段階も備える:
h.第2の受信フェーズ、ここで、(少なくとも第2の装置1bによって)少なくとも第2のプライベート暗号鍵を用いて(既に)暗号化されたメッセージから開始する第3のプライベート暗号鍵を用いて、第3の装置1cによって生成された第4の暗号化済みメッセージが、通信手段13を介して受信される;
i.第2の解読フェーズ、ここで、上記第4の暗号化済みメッセージは、制御及び/又は処理手段11によって、上記第2のプライベート暗号鍵及び/又は上記第3のプライベート暗号鍵に関連付けられた少なくとも1つの公開暗号鍵を使用することによって解読され、それによって、(例えば、関係5(ここで、D(MCC,PUij,n)、ただしn=2)を実装する命令のセットを実行することによって)第4の解読済みメッセージが生成される;
j.第2の検証フェーズ、ここで、上記第4の解読済みメッセージは、制御及び/又は処理手段11によって、上記第1のメッセージに基づいて(例えば、それらの均等性を検証するように、2つのメッセージ又は少なくともその一部の間のビット単位の比較を行うことによって)検証される;
k.第3の暗号化フェーズ、ここで、検証フェーズが成功した場合、上記第4の暗号化済みメッセージは、制御及び/又は処理手段11によって、第1のプライベート暗号鍵を用いて暗号化され、それによって、(例えば、関係4(ここで、E(E(M,PR),MCC)である)を実装する命令のセットを実行することによって)第5の暗号化済みメッセージが生成される;
l.第3の送信フェーズ、ここで、上記第5の暗号化済みメッセージは、通信手段13を介して、受信者、例えば、デバイス3a、3b(検証プロセスが終了していた場合)又は第4の装置1(冗長性の追加のレベルが要求される場合)に送信される。
端末解読フェーズ中、デバイス3a、3bによって使用される公開暗号鍵は、第1の公開暗号鍵、第2の公開暗号鍵及び第3の公開暗号鍵を(算術的に)組み合わせることによって、例えば、以下の関係を実装する命令のセットを(好ましくは、本発明に係るメッセージ配信方法の実行に関して非同期で(オフラインで))実行することによって、得られる:
ここで、PUijkは、関係5(D(MCCC,PUijk,n)、ただし、n=3)を実装する命令を実行することによって、それぞれの装置1、1a、1bに記憶された3つのプライベート鍵のうちの各プライベート鍵を用いて暗号化されたメッセージを解読することを可能にする公開暗号鍵である。
第2の暗号化フェーズP6a、P6bと同様に、装置1、1a、1bのうちのいずれか1つが(例えば、失敗した第2の検証フェーズに起因して)第3の暗号化フェーズを実行していない場合、装置1a、1bのうちの1つのみ又は2つによって署名されたメッセージがデバイス3a、3bに到達すると、端末解読フェーズは、失敗することになるか、又は無効な平文メッセージをとにかく生成することになり、それゆえ、クリティカルシステムSの安全性が確保されることが強調されなければならない。
関係6及び7を観察することによって、この手法は、有利にはデバイス3a、3b上での計算負荷を高めることなく冗長レベルを高めるように、任意の数の鍵に拡張することができることを理解することができる。
実際には、本発明が使用されることになる特定の応用の文脈に応じて、メッセージを1つ又は複数の追加の装置1に送信することによって(特定の応用の文脈の要件を満たすために)随意に冗長レベルを高めることができることが指摘されなければならない。
これにより、有利には、冗長レベルが高まり、メッセージが少なくとも3つの制御装置によってバリデートされたことを検証するとともに、メッセージが暗号化された形式において常にトラベルすることになることを保証することが可能であるという点で、物及び/又は人の保護の観点で安全性を改善することが可能になり、それゆえ、いずれの平文情報も送信することなく冗長性が確保される。それゆえ、COTSコンポーネントに基づいて制御システムを使用することが可能であり、これらは、分散仮想化技術の使用に良好に適合している。
2つ又はそれよりも多くのデバイス3a、3bが使用される場合、所与の数の当該デバイス3a、3bが、端末解読フェーズ中に、以下のサブフェーズを実行するように各デバイス3a、3bを構成することによって適切に動作状態になることを確保することが可能である:
- 少なくとも上記第1のプライベート暗号鍵に関連付けられた少なくとも第1の公開暗号鍵を使用することによって上記暗号化済みメッセージを解読し、それによって、第1の半解読済みの、すなわち、部分的に解読されかつ依然として暗号文である、メッセージを生成すること;
- 上記デバイスの通信手段を介して、上記第1の半解読済みメッセージを、好ましくは他の(第2の)デバイス3a、3bに送信すること;
- 上記デバイス3a、3bの通信手段を介して、第2の半解読済み(すなわち、部分的に解読された)メッセージを受信すること、ここで、上記第2の解読済みメッセージは、少なくとも上記第2のプライベート暗号鍵に関連付けられた少なくとも1つの第4の公開暗号鍵を使用することによって解読されている;
- 制御及び/又は処理手段によって、少なくとも上記第1のプライベート暗号鍵に関連付けられた第1の公開暗号鍵を使用することによって上記第2の半解読済みメッセージを解読し、それによって、平文メッセージを、例えば関係3を実装する命令のセットを実行することによって、生成すること。
これにより、有利には、上記デバイス3a、3bのうちの少なくとも2つ(又はそれよりも多く)が動作状態ではない場合に、暗号化済みメッセージが解読されることを防止することが可能になる。
実際には、公開鍵のうちの各公開鍵がメッセージを暗号化するために使用されるプライベート鍵の一部分にのみ関連付けられるように公開鍵を生成することによって、メッセージ解読を防止することが可能である。例えば、メッセージが4つのプライベート鍵を使用することによって暗号化された(すなわち、4つの装置1、1a、1b、1cを使用することによって生成された)場合、好ましくは上記の関係7を実装する命令を実行することによって、第1の公開鍵は、第1のプライベート鍵及び第3のプライベート鍵に関連付けられた公開鍵に基づいて生成することができ、第4の公開鍵は、第2のプライベート鍵及び第3のプライベート鍵に関連付けられた公開鍵に基づいて生成することができる。
それゆえ、有利には排除することができるクリティカルシステムSの故障モードの数を高めることが可能であり、それによって、物及び/又は人の保護の観点で安全性が高まるとともに、いずれの平文情報も送信することなく冗長性が確保される。
当然ながら、これまでで説明された例は、多くの変形を受けてよい。
第1の変形では、本発明に係る装置が少なくとも3つである場合、当該装置は、第1の検証フェーズP5a、P5b及び第2の検証フェーズを実行するのではなく、単一の検証フェーズのみを実行し、このフェーズにおいて、全ての検証動作が集中している。
より詳細には、制御及び/又は処理手段11は、以下のとおり本発明に係る方法のフェーズを実行するように構成されている:
- 送信フェーズ中、上記第1の暗号化済みメッセージは、第2の装置及び同様に第3の装置に(通信手段13を介して)送信される;
- 第1の受信フェーズ中、第3の装置によって生成され、第3のプライベート暗号鍵を使用することによって当該第3の装置によって暗号化された少なくとも1つの第4の暗号化済みメッセージが同様に(通信手段13を介して)受信される;
- 解読フェーズ中、同様に上記第4の暗号化済みメッセージは、上記第3のプライベート暗号鍵に関連付けられた公開暗号鍵を使用することによって解読され、それによって、第3の解読済みメッセージが生成される;
- 第1の検証フェーズ中、同様に少なくとも上記第3の解読済みメッセージは、主要な実施形態を参照して説明されたように上記制御及び/又は処理手段11によって生成された(第1の)メッセージに基づいて検証される;
- 第2の暗号化フェーズ中、第1の検証フェーズが成功した場合、少なくとも上記第2の暗号化済みメッセージ及び上記第4の暗号化済みメッセージは、上記第1のプライベート暗号鍵を用いて暗号化され、それによって、第3の暗号化済みメッセージが生成され、これは、その後、主要な実施形態を参照して説明されたように送信されることになる。
第2の暗号化フェーズ中、第2の暗号化済みメッセージ及び第3の暗号化済みメッセージは、ともに組み合わされ(例えば、上記の関係4に従って組み合わされ)、それにより、単一の暗号化動作で、他の装置によって生成される全てのメッセージの成功した検証を確認することが可能であることが指摘されなければならない。これにより、有利には、メッセージを検証するために必要な動作の長さを著しく増大させることなく、当該装置の数を増加させることが可能になる。
それゆえ、メッセージが少なくとも3つの制御装置によってバリデートされたことを検証するとともに、メッセージが暗号化された形式において常にトラベルすることになることを確保することが可能であり、それによって、物及び/又は人の保護の観点で安全性が高まるとともに、いずれの平文情報も送信することなく冗長性が確保される。
更なる変形では、本発明に係る装置によって(すなわち、メッセージ生成システム0によって。図1を参照されたい)準備及び送信されるメッセージは、メッセージ配信システム2に送信されず、コントローラC又は信号Sに直接送信され、ここで、当該コントローラC又は当該信号Sは、本発明に係るメッセージの配信のための方法のフェーズを実行するように構成されている。
これにより、いずれの平文情報も送信することなく、冗長レベル、及びひいては、物及び/又は人の保護の観点で安全性レベルを高めるように、メッセージ配信システム2が故障しているか又は存在していない状況を管理することが可能になる。
本発明の可能な変形のうちの幾つかが上記で説明されたが、当業者であれば、幾つかの要素が他の技術的に等価な要素に置き換えられ得る他の実施形態も実用時に実装され得ることが明確になるであろう。したがって、本発明は、上記で説明された例示的な例に限定されるのではなく、一方で基本的な本発明の概念から逸脱することなく、様々な修正、改善、均等な部分及び要素の置き換えを、以下の特許請求の範囲において指定されているものとして、受け得る。
[他の可能な項目]
[項目1]
クリティカルシステム(S)を制御する装置(1、1a、1b、1c)であって、
- 少なくとも1つの第1のプライベート暗号鍵を含むメモリ手段(12)、
- 第2の装置(1、1a、1b、1c)と通信するように適応された通信手段(13)、
- 前記メモリ手段(12)及び前記通信手段(13)と通信する制御及び/又は処理手段(11)、ここで、前記制御及び/又は処理手段(11)は、前記クリティカルシステム(S)の状態を変更することができる情報を含む第1のメッセージを生成するように構成されている
を備え、
前記制御及び/又は処理手段(11)は、
- 前記第1のプライベート暗号鍵を使用することによって前記第1のメッセージを暗号化し、それによって、第1の暗号化済みメッセージを生成すること、
- 前記通信手段(13)を介して、前記第1の暗号化済みメッセージを少なくとも前記第2の装置(1、1a、1b、1c)に送信すること、
- 前記通信手段(13)を介して、前記第2の装置(1、1a、1b、1c)によって生成され、前記第2の装置(1、1a、1b、1c)によって、第2のプライベート暗号鍵を使用することによって暗号化された少なくとも1つの第2の暗号化済みメッセージを受信すること、
- 前記第2のプライベート暗号鍵に関連付けられた公開暗号鍵を使用することによって前記第2の暗号化済みメッセージを解読し、それによって、第2の解読済みメッセージを生成すること、
- 前記第1のメッセージに基づいて少なくとも前記第2の解読済みメッセージを検証し、前記検証が成功した場合、前記第1のプライベート暗号鍵を用いて少なくとも前記第2の暗号化済みメッセージを暗号化し、それによって、第3の暗号化済みメッセージを生成すること、
- 前記通信手段(13)を介して、前記第3の暗号化済みメッセージを受信者に送信すること
も行うように構成されていることを特徴とする、装置。
[項目2]
前記制御及び/又は処理手段(11)は、
- 前記通信手段(13)を介して、少なくとも前記第2のプライベート暗号鍵を用いて暗号化されたメッセージから開始する第3のプライベート暗号鍵を用いて、第3の装置(1、1a、1b、1c)によって生成された第4の暗号化済みメッセージを受信すること、
- 前記第2のプライベート暗号鍵及び/又は前記第3のプライベート暗号鍵に関連付けられた少なくとも第2の公開暗号鍵を使用することによって、前記第4の暗号化済みメッセージを解読し、それによって、第4の解読済みメッセージを生成すること、
- 前記第1のメッセージに基づいて前記第4の解読済みメッセージを検証し、前記検証が成功した場合、前記第1のプライベート暗号鍵を用いて前記第4の暗号化済みメッセージを暗号化し、それによって、第5の暗号化済みメッセージを生成すること、
- 前記通信手段(13)を介して、前記第5の暗号化済みメッセージを送信すること
も行うように構成されている、項目1に記載の装置(1、1a、1b、1c)。
[項目3]
前記第2のプライベート暗号鍵及び前記第3のプライベート暗号鍵に関連付けられた前記第2の公開暗号鍵は、少なくとも
- 前記第2のプライベート暗号鍵に関連付けられた第4の公開暗号鍵、及び
- 前記第3のプライベート暗号鍵に関連付けられた第3の公開暗号鍵
の間での組み合わせの結果である、項目2の一部に記載の装置(1、1a、1b、1c)。
[項目4]
前記制御及び/又は処理手段(11)は、
- 前記通信手段(13)を介して、前記第1の暗号化済みメッセージを同様に第3の装置(1、1a、1b、1c)に送信すること、
- 前記通信手段(13)を介して、前記第3の装置(1、1a、1b、1c)によって生成され、第3のプライベート暗号鍵を使用することによって前記第3の装置(1、1a、1b、1c)によって暗号化された少なくとも1つの第4の暗号化済みメッセージを同様に受信すること、
- 前記第3のプライベート暗号鍵に関連付けられた第5の公開暗号鍵を使用することによって前記第4の暗号化済みメッセージを同様に解読し、それによって、第3の解読済みメッセージを生成すること、
- 前記第1のメッセージに基づいて少なくとも前記第3の解読済みメッセージを同様に検証し、前記検証が成功した場合、前記第1のプライベート暗号鍵を用いて少なくとも前記第2の暗号化済みメッセージ及び前記第4の暗号化済みメッセージを暗号化し、それによって、前記第3の暗号化済みメッセージを生成すること
も構成されている、項目1に記載の装置(1、1a、1b、1c)。
[項目5]
前記クリティカルシステム(S)を制御するためのメッセージの生成のためのシステム(0)であって、
- 項目1~4のいずれか1項に記載の第1の装置(1a)、及び
- 項目1~4のいずれか1項に記載の第2の装置(1b)
を備え、ここで、前記第1の装置(1a)及び前記第2の装置(1b)は、データ通信ネットワークを介して互いに通信するように構成されている、システム。
[項目6]
クリティカルシステム(S)の状態を変更することができる情報を含む少なくとも1つの第1のメッセージを通して前記クリティカルシステム(S)を制御する方法であって、
- 第1の暗号化フェーズ(P1a、P1b)、ここで、前記第1のメッセージは、制御及び/又は処理手段(11)によって、第1のプライベート暗号鍵を使用することによって暗号化され、それによって、第1の暗号化済みメッセージが生成される、
- 第1の送信フェーズ(P2a、P2b)、ここで、前記第1の暗号化済みメッセージは、通信手段(13)を介して、少なくとも1つの第2の装置(1、1a、1b、1c)に送信される、
- 第1の受信フェーズ(P3a、P3b)、ここで、前記第2の装置(1、1a、1b、1c)によって生成され、前記第2の装置(1、1a、1b、1c)によって、第2のプライベート暗号鍵を使用することによって、暗号化された少なくとも1つの第2の暗号化済みメッセージが、前記通信手段(13)を介して受信される、
- 第1の解読フェーズ(P4a、P4b)、ここで、前記第2の暗号化済みメッセージは、前記制御及び/又は処理手段(11)によって、前記第2のプライベート暗号鍵に関連付けられた公開暗号鍵を使用することによって、解読され、それによって、第2の解読済みメッセージが生成される、
- 第1の検証フェーズ(P5a、P5b)、ここで、少なくとも前記第2の解読済みメッセージは、前記制御及び/又は処理手段(11)によって、前記第1のメッセージに基づいて検証される、
- 第2の暗号化フェーズ(P6a、P6b)、ここで、前記第1の検証フェーズが成功した場合、少なくとも前記第2の暗号化済みメッセージは、前記制御及び/又は処理手段(11)によって、前記第1のプライベート暗号鍵を用いて暗号化され、それによって、第3の暗号化済みメッセージが生成される、
- 第2の送信フェーズ(P7a、P7b)、ここで、前記第3の暗号化済みメッセージは、前記通信手段(13)を介して、受信者に送信される
を備えることを特徴とする、方法。
[項目7]
- 第2の受信フェーズ、ここで、少なくとも前記第2のプライベート暗号鍵を用いて暗号化されたメッセージから開始する第3のプライベート暗号鍵を用いて、第3の装置(1、1a、1b、1c)によって生成された第4の暗号化済みメッセージが、前記通信手段(13)を介して受信される、
- 第2の解読フェーズ、ここで、前記第4の暗号化済みメッセージは、前記制御及び/又は処理手段(11)によって、前記第2のプライベート暗号鍵及び/又は前記第3のプライベート暗号鍵に関連付けられた少なくとも1つの第2の公開暗号鍵を使用することによって解読され、それによって、第4の解読済みメッセージが生成される、
- 第2の検証フェーズ、ここで、前記第4の解読済みメッセージは、前記制御及び/又は処理手段(11)によって、前記第1のメッセージに基づいて検証される、
- 第3の暗号化フェーズ、ここで、前記検証フェーズが成功した場合、前記第4の暗号化済みメッセージは、前記制御及び/又は処理手段(11)によって、前記第1のプライベート暗号鍵を用いて暗号化され、それによって、第5の暗号化済みメッセージが生成される、
- 第3の送信フェーズ、ここで、前記第5の暗号化済みメッセージは、前記通信手段(13)を介して送信される
を更に備える、項目6に記載の方法。
[項目8]
前記第2の解読フェーズ中、前記第2のプライベート暗号鍵及び前記第3のプライベート暗号鍵に関連付けられた前記第2の公開暗号鍵は、少なくとも
- 前記第2のプライベート暗号鍵に関連付けられた第4の公開暗号鍵、及び
- 前記第3のプライベート暗号鍵に関連付けられた第3の公開暗号鍵
の間での組み合わせの結果である、項目7の一部に記載の方法。
[項目9]
- 前記送信フェーズ中、前記第1の暗号化済みメッセージは、同様に第3の装置(1、1a、1b、1c)に送信される、
- 前記第1の受信フェーズ中、前記第3の装置(1、1a、1b、1c)によって生成され、第3のプライベート暗号鍵を使用することによって前記第3の装置(1、1a、1b、1c)によって暗号化された少なくとも1つの第4の暗号化済みメッセージが同様に受信される、
- 前記解読フェーズ中、同様に前記第4の暗号化済みメッセージは、前記第3のプライベート暗号鍵に関連付けられた第5の公開暗号鍵を使用することによって解読され、それによって、第3の解読済みメッセージが生成される、
- 前記第1の検証フェーズ中、同様に少なくとも前記第3の解読済みメッセージは、前記第1のメッセージに基づいて検証される、
- 前記第2の暗号化フェーズ中、前記第1の検証フェーズが成功した場合、少なくとも前記第2の暗号化済みメッセージ及び前記第4の暗号化済みメッセージは、前記第1のプライベート暗号鍵を用いて暗号化され、それによって、前記第3の暗号化済みメッセージが生成される、
項目6に記載の方法。
[項目10]
クリティカルシステム(S)を制御するためのメッセージの配信のためのデバイス(3a、3b)であって、
- 少なくとも1つの第1の公開暗号鍵を含むメモリ手段、
- 項目1~4のいずれか1項に記載の少なくとも1つの装置(1、1a、1b、1c)と通信するように適応された通信手段、
- 前記メモリ手段及び前記通信手段と通信する制御及び/又は処理手段、
を備え、
ここで、前記制御及び/又は処理手段は、
○ 前記通信手段を介して、前記少なくとも1つの装置(1、1a、1b、1c)から暗号化済みメッセージを受信すること、ここで、前記メッセージは、少なくとも第1のプライベート暗号鍵及び第2のプライベート暗号鍵を使用することによって暗号化されている、
○ 少なくとも前記第1のプライベート暗号鍵及び/又は前記第2のプライベート暗号鍵に関連付けられた少なくとも前記第1の公開暗号鍵を使用することによって前記暗号化済みメッセージを解読し、それによって、平文メッセージを生成すること、
○ 前記通信手段を介して、前記平文メッセージを、前記クリティカルシステム(S)に含まれる少なくとも1つの装置に送信すること
を行うように構成されていることを特徴とする、デバイス。
[項目11]
受信された前記暗号化済みメッセージは、同様に第3のプライベート暗号鍵を使用することによって暗号化されている、項目10に記載のデバイス(3a、3b)。
[項目12]
前記第1の公開暗号鍵は、少なくとも
- 少なくとも前記第1のプライベート暗号鍵に関連付けられた第2の公開暗号鍵、及び
- 少なくとも前記第2のプライベート暗号鍵に関連付けられた第3の公開暗号鍵
の間での組み合わせの結果である、項目10又は11に記載のデバイス(3a、3b)。
[項目13]
前記制御及び/又は処理手段は、
- 少なくとも前記第1のプライベート暗号鍵に関連付けられた少なくとも前記第1の公開暗号鍵を使用することによって前記暗号化済みメッセージを解読し、それによって、第1の半解読済みメッセージを生成する段階、
- 前記通信手段を介して、前記第1の半解読済みメッセージを送信する段階、
- 前記通信手段を介して、第2の半解読済みメッセージを受信する段階、ここで、前記第2の解読済みメッセージは、少なくとも前記第2のプライベート暗号鍵に関連付けられた少なくとも1つの第4の公開暗号鍵を使用することによって解読されている、
- 前記制御及び/又は処理手段によって、少なくとも前記第1のプライベート暗号鍵に関連付けられた前記第1の公開暗号鍵を使用することによって前記第2の半解読済みメッセージを解読し、それによって、前記平文メッセージを生成する段階
を実行することによって前記暗号化済みメッセージを解読するように構成されている、項目10~12のいずれか1項に記載のデバイス(3a、3b)。
[項目14]
前記クリティカルシステム(S)を制御するメッセージ配信システム(2)であって、
- 項目10~13のいずれか1項に記載の第1のデバイス(3a)、及び
- 項目10~13のいずれか1項に記載の第2のデバイス(3b)
を備え、ここで、前記第1のデバイス(3a)及び前記第2のデバイス(3b)は、データ通信ネットワークを介して互いに通信するように構成されている、メッセージ配信システム。
[項目15]
クリティカルシステム(S)を制御するためのメッセージの配信のための方法であって、
- 端末受信フェーズ、ここで、少なくとも1つの装置(1、1a、1b、1c)から、通信手段を介して、暗号化済みメッセージが受信され、ここで、当該メッセージは、少なくとも第1のプライベート暗号鍵及び第2のプライベート暗号鍵を使用することによって暗号化されている;
- 端末解読フェーズ、ここで、前記暗号化済みメッセージは、制御及び/又は処理手段によって、前記第1のプライベート暗号鍵及び/又は前記第2のプライベート暗号鍵に関連付けられた少なくとも1つの第1の公開暗号鍵を使用することによって、解読され、それによって、平文メッセージが生成される;
- 端末送信フェーズ、ここで、前記平文メッセージは、前記通信手段を介して、前記クリティカルシステム(S)に含まれる少なくとも1つの装置に送信される
を備えることを特徴とする、方法。
[項目16]
前記端末受信フェーズ中に受信された前記メッセージは、同様に第3のプライベート暗号鍵を使用することによって暗号化されている、項目5に記載の方法。
[項目17]
前記第1の端末解読フェーズ中、前記第1の公開暗号鍵は、少なくとも
- 少なくとも前記第1のプライベート暗号鍵に関連付けられた第2の公開暗号鍵、及び
- 少なくとも前記第2のプライベート暗号鍵に関連付けられた第3の公開暗号鍵
の間での組み合わせの結果である、項目15又は16に記載の方法。
[項目18]
以下の部分段階:
- 前記制御及び/又は処理手段によって、少なくとも前記第1のプライベート暗号鍵に関連付けられた少なくとも前記第1の公開暗号鍵を使用することによって前記暗号化済みメッセージを解読し、それによって、第1の半解読済みメッセージを生成する段階、
- 前記通信手段を介して、前記第1の半解読済みメッセージを送信する段階、
- 前記通信手段を介して、第2の半解読済みメッセージを受信する段階、ここで、前記第2の解読済みメッセージは、少なくとも前記第2のプライベート暗号鍵に関連付けられた少なくとも1つの第4の公開暗号鍵を使用することによって解読されている、
- 前記制御及び/又は処理手段によって、少なくとも前記第1のプライベート暗号鍵に関連付けられた前記第1の公開暗号鍵を使用することによって前記第2の半解読済みメッセージを解読し、それによって、前記平文メッセージを生成する段階
が、前記端末解読フェーズ中に実行される、項目15~17のいずれか1項に記載の方法。
[項目19]
電子コンピュータの前記メモリにロードされ得、項目6~9又は15~18のいずれか1項に記載の方法の前記フェーズを実行するためにソフトウェアコードの部分を備える、コンピュータプログラム製品。

Claims (19)

  1. クリティカルシステム(S)を制御する装置であって、
    - 少なくとも1つの第1のプライベート暗号鍵を含むメモリ手段、
    - 第2の装置と通信するように適応された通信手段、
    - 前記メモリ手段及び前記通信手段と通信する制御及び/又は処理手段、ここで、前記制御及び/又は処理手段は、前記クリティカルシステム(S)の状態を変更することができる情報を含む第1のメッセージを生成するように構成されている
    を備え、
    前記制御及び/又は処理手段は、
    - 前記第1のプライベート暗号鍵を使用することによって前記第1のメッセージを暗号化し、それによって、第1の暗号化済みメッセージを生成すること、
    - 前記通信手段を介して、前記第1の暗号化済みメッセージを少なくとも前記第2の装置に送信すること、
    - 前記通信手段を介して、前記第2の装置によって生成され、前記第2の装置によって、第2のプライベート暗号鍵を使用することによって暗号化された少なくとも1つの第2の暗号化済みメッセージを受信すること、
    - 前記第2のプライベート暗号鍵に関連付けられた公開暗号鍵を使用することによって前記第2の暗号化済みメッセージを解読し、それによって、第2の解読済みメッセージを生成すること、
    - 前記第1のメッセージに基づいて少なくとも前記第2の解読済みメッセージを検証し、前記検証が成功した場合、前記第1のプライベート暗号鍵を用いて少なくとも前記第2の暗号化済みメッセージを暗号化し、それによって、第3の暗号化済みメッセージを生成すること、
    - 前記通信手段を介して、前記第3の暗号化済みメッセージを受信者に送信すること
    も行うように構成されている、装置。
  2. 前記制御及び/又は処理手段は、
    - 前記通信手段を介して、少なくとも前記第2のプライベート暗号鍵を用いて暗号化されたメッセージから開始する第3のプライベート暗号鍵を用いて、第3の装置によって生成された第4の暗号化済みメッセージを受信すること、
    - 前記第2のプライベート暗号鍵及び/又は前記第3のプライベート暗号鍵に関連付けられた少なくとも第2の公開暗号鍵を使用することによって、前記第4の暗号化済みメッセージを解読し、それによって、第4の解読済みメッセージを生成すること、
    - 前記第1のメッセージに基づいて前記第4の解読済みメッセージを検証し、前記検証が成功した場合、前記第1のプライベート暗号鍵を用いて前記第4の暗号化済みメッセージを暗号化し、それによって、第5の暗号化済みメッセージを生成すること、
    - 前記通信手段を介して、前記第5の暗号化済みメッセージを送信すること
    も行うように構成されている、請求項1に記載の装置。
  3. 前記第2のプライベート暗号鍵及び前記第3のプライベート暗号鍵に関連付けられた前記第2の公開暗号鍵は、少なくとも
    - 前記第2のプライベート暗号鍵に関連付けられた第4の公開暗号鍵、及び
    - 前記第3のプライベート暗号鍵に関連付けられた第3の公開暗号鍵
    の間での組み合わせの結果である、請求項2の一部に記載の装置。
  4. 前記制御及び/又は処理手段は、
    - 前記通信手段を介して、前記第1の暗号化済みメッセージを同様に第3の装置に送信すること、
    - 前記通信手段を介して、前記第3の装置によって生成され、第3のプライベート暗号鍵を使用することによって前記第3の装置によって暗号化された少なくとも1つの第4の暗号化済みメッセージを同様に受信すること、
    - 前記第3のプライベート暗号鍵に関連付けられた第5の公開暗号鍵を使用することによって前記第4の暗号化済みメッセージを同様に解読し、それによって、第3の解読済みメッセージを生成すること、
    - 前記第1のメッセージに基づいて少なくとも前記第3の解読済みメッセージを同様に検証し、前記検証が成功した場合、前記第1のプライベート暗号鍵を用いて少なくとも前記第2の暗号化済みメッセージ及び前記第4の暗号化済みメッセージを暗号化し、それによって、前記第3の暗号化済みメッセージを生成すること
    も構成されている、請求項1に記載の装置。
  5. 前記クリティカルシステム(S)を制御するためのメッセージの生成のためのシステム(0)であって、
    - 請求項1~4のいずれか1項に記載の装置である第1の装置、及び
    - 請求項1~4のいずれか1項に記載の装置である第2の装置、
    を備え、ここで、前記第1の装置及び前記第2の装置は、データ通信ネットワークを介して互いに通信するように構成されている、システム。
  6. クリティカルシステム(S)の状態を変更することができる情報を含む少なくとも1つの第1のメッセージを通して前記クリティカルシステム(S)を制御する方法であって、
    - 第1の暗号化フェーズ、ここで、前記第1のメッセージは、制御及び/又は処理手段によって、第1のプライベート暗号鍵を使用することによって暗号化され、それによって、第1の暗号化済みメッセージが生成される、
    - 第1の送信フェーズ、ここで、前記第1の暗号化済みメッセージは、通信手段を介して、少なくとも1つの第2の装置に送信される、
    - 第1の受信フェーズ、ここで、前記第2の装置によって生成され、前記第2の装置によって、第2のプライベート暗号鍵を使用することによって、暗号化された少なくとも1つの第2の暗号化済みメッセージが、前記通信手段を介して受信される、
    - 第1の解読フェーズ、ここで、前記第2の暗号化済みメッセージは、前記制御及び/又は処理手段によって、前記第2のプライベート暗号鍵に関連付けられた公開暗号鍵を使用することによって、解読され、それによって、第2の解読済みメッセージが生成される、
    - 第1の検証フェーズ、ここで、少なくとも前記第2の解読済みメッセージは、前記制御及び/又は処理手段によって、前記第1のメッセージに基づいて検証される、
    - 第2の暗号化フェーズ、ここで、前記第1の検証フェーズが成功した場合、少なくとも前記第2の暗号化済みメッセージは、前記制御及び/又は処理手段によって、前記第1のプライベート暗号鍵を用いて暗号化され、それによって、第3の暗号化済みメッセージが生成される、
    - 第2の送信フェーズ、ここで、前記第3の暗号化済みメッセージは、前記通信手段を介して、受信者に送信される
    を備える、方法。
  7. - 第2の受信フェーズ、ここで、少なくとも前記第2のプライベート暗号鍵を用いて暗号化されたメッセージから開始する第3のプライベート暗号鍵を用いて、第3の装置によって生成された第4の暗号化済みメッセージが、前記通信手段を介して受信される、
    - 第2の解読フェーズ、ここで、前記第4の暗号化済みメッセージは、前記制御及び/又は処理手段によって、前記第2のプライベート暗号鍵及び/又は前記第3のプライベート暗号鍵に関連付けられた少なくとも1つの第2の公開暗号鍵を使用することによって解読され、それによって、第4の解読済みメッセージが生成される、
    - 第2の検証フェーズ、ここで、前記第4の解読済みメッセージは、前記制御及び/又は処理手段によって、前記第1のメッセージに基づいて検証される、
    - 第3の暗号化フェーズ、ここで、前記第2の検証フェーズが成功した場合、前記第4の暗号化済みメッセージは、前記制御及び/又は処理手段によって、前記第1のプライベート暗号鍵を用いて暗号化され、それによって、第5の暗号化済みメッセージが生成される、
    - 第3の送信フェーズ、ここで、前記第5の暗号化済みメッセージは、前記通信手段を介して送信される
    を更に備える、請求項6に記載の方法。
  8. 前記第2の解読フェーズ中、前記第2のプライベート暗号鍵及び前記第3のプライベート暗号鍵に関連付けられた前記第2の公開暗号鍵は、少なくとも
    - 前記第2のプライベート暗号鍵に関連付けられた第4の公開暗号鍵、及び
    - 前記第3のプライベート暗号鍵に関連付けられた第3の公開暗号鍵
    の間での組み合わせの結果である、請求項7の一部に記載の方法。
  9. - 前記第1の送信フェーズ中、前記第1の暗号化済みメッセージは、同様に第3の装置に送信される、
    - 前記第1の受信フェーズ中、前記第3の装置によって生成され、第3のプライベート暗号鍵を使用することによって前記第3の装置によって暗号化された少なくとも1つの第4の暗号化済みメッセージが同様に受信される、
    - 前記第1の解読フェーズ中、同様に前記第4の暗号化済みメッセージは、前記第3のプライベート暗号鍵に関連付けられた第5の公開暗号鍵を使用することによって解読され、それによって、第3の解読済みメッセージが生成される、
    - 前記第1の検証フェーズ中、同様に少なくとも前記第3の解読済みメッセージは、前記第1のメッセージに基づいて検証される、
    - 前記第2の暗号化フェーズ中、前記第1の検証フェーズが成功した場合、少なくとも前記第2の暗号化済みメッセージ及び前記第4の暗号化済みメッセージは、前記第1のプライベート暗号鍵を用いて暗号化され、それによって、前記第3の暗号化済みメッセージが生成される、
    請求項6に記載の方法。
  10. クリティカルシステム(S)を制御するためのメッセージの配信のためのデバイスであって、
    - 少なくとも1つの第1の公開暗号鍵を含むメモリ手段、
    - 請求項1~4のいずれか1項に記載の装置である少なくとも1つの装置と通信するように適応された通信手段、
    - 前記メモリ手段及び前記通信手段と通信する制御及び/又は処理手段、
    を備え、
    ここで、前記制御及び/又は処理手段は、
    ○ 前記通信手段を介して、前記少なくとも1つの装置から暗号化済みメッセージを受信すること、ここで、前記メッセージは、少なくとも第1のプライベート暗号鍵及び第2のプライベート暗号鍵を使用することによって暗号化されている、
    ○ 少なくとも前記第1のプライベート暗号鍵及び/又は前記第2のプライベート暗号鍵に関連付けられた少なくとも前記第1の公開暗号鍵を使用することによって前記暗号化済みメッセージを解読し、それによって、平文メッセージを生成すること、
    ○ 前記通信手段を介して、前記平文メッセージを、前記クリティカルシステム(S)に含まれる少なくとも1つの装置に送信すること
    を行うように構成されている、デバイス。
  11. 受信された前記暗号化済みメッセージは、同様に第3のプライベート暗号鍵を使用することによって暗号化されている、請求項10に記載のデバイス。
  12. 前記第1の公開暗号鍵は、少なくとも
    - 少なくとも前記第1のプライベート暗号鍵に関連付けられた第2の公開暗号鍵、及び
    - 少なくとも前記第2のプライベート暗号鍵に関連付けられた第3の公開暗号鍵
    の間での組み合わせの結果である、請求項10又は11に記載のデバイス。
  13. 前記制御及び/又は処理手段は、
    - 少なくとも前記第1のプライベート暗号鍵に関連付けられた少なくとも前記第1の公開暗号鍵を使用することによって前記暗号化済みメッセージを解読し、それによって、第1の半解読済みメッセージを生成する段階、
    - 前記通信手段を介して、前記第1の半解読済みメッセージを送信する段階、
    - 前記通信手段を介して、第2の半解読済みメッセージを受信する段階、ここで、前記第2の解読済みメッセージは、少なくとも前記第2のプライベート暗号鍵に関連付けられた少なくとも1つの第4の公開暗号鍵を使用することによって解読されている、
    - 前記制御及び/又は処理手段によって、少なくとも前記第1のプライベート暗号鍵に関連付けられた前記第1の公開暗号鍵を使用することによって前記第2の半解読済みメッセージを解読し、それによって、前記平文メッセージを生成する段階
    を実行することによって前記暗号化済みメッセージを解読するように構成されている、請求項10~12のいずれか1項に記載のデバイス。
  14. 前記クリティカルシステム(S)を制御するメッセージ配信システムであって、
    - 請求項10~13のいずれか1項に記載のデバイスである第1のデバイス、及び
    - 請求項10~13のいずれか1項に記載のデバイスである第2のデバイス
    を備え、ここで、前記第1のデバイス及び前記第2のデバイスは、データ通信ネットワークを介して互いに通信するように構成されている、メッセージ配信システム。
  15. クリティカルシステム(S)を制御するためのメッセージの配信のための方法であって、
    - 端末受信フェーズ、ここで、少なくとも1つの装置から、通信手段を介して、暗号化済みメッセージが受信され、ここで、前記メッセージは、少なくとも第1のプライベート暗号鍵及び第2のプライベート暗号鍵を使用することによって暗号化されている;
    - 端末解読フェーズ、ここで、前記暗号化済みメッセージは、制御及び/又は処理手段によって、前記第1のプライベート暗号鍵及び/又は前記第2のプライベート暗号鍵に関連付けられた少なくとも1つの第1の公開暗号鍵を使用することによって、解読され、それによって、平文メッセージが生成される;
    - 端末送信フェーズ、ここで、前記平文メッセージは、前記通信手段を介して、前記クリティカルシステム(S)に含まれる少なくとも1つの装置に送信される
    を備える、方法。
  16. 前記端末受信フェーズ中に受信された前記メッセージは、同様に第3のプライベート暗号鍵を使用することによって暗号化されている、請求項15に記載の方法。
  17. 前記端末解読フェーズ中、前記第1の公開暗号鍵は、少なくとも
    - 少なくとも前記第1のプライベート暗号鍵に関連付けられた第2の公開暗号鍵、及び
    - 少なくとも前記第2のプライベート暗号鍵に関連付けられた第3の公開暗号鍵
    の間での組み合わせの結果である、請求項15又は16に記載の方法。
  18. 以下の部分段階:
    - 前記制御及び/又は処理手段によって、少なくとも前記第1のプライベート暗号鍵に関連付けられた少なくとも前記第1の公開暗号鍵を使用することによって前記暗号化済みメッセージを解読し、それによって、第1の半解読済みメッセージを生成する段階、
    - 前記通信手段を介して、前記第1の半解読済みメッセージを送信する段階、
    - 前記通信手段を介して、第2の半解読済みメッセージを受信する段階、ここで、前記第2の半解読済みメッセージは、少なくとも前記第2のプライベート暗号鍵に関連付けられた少なくとも1つの第4の公開暗号鍵を使用することによって解読されている、
    - 前記制御及び/又は処理手段によって、少なくとも前記第1のプライベート暗号鍵に関連付けられた前記第1の公開暗号鍵を使用することによって前記第2の半解読済みメッセージを解読し、それによって、前記平文メッセージを生成する段階
    が、前記端末解読フェーズ中に実行される、請求項15~17のいずれか1項に記載の方法。
  19. 電子コンピュータのメモリにロードされ得、請求項6~9又は15~18のいずれか1項に記載の方法の前記フェーズを実行するためのソフトウェアコードの部分を備える、コンピュータプログラム。
JP2023533703A 2020-12-02 2021-12-01 クリティカルシステムを制御する装置及び方法 Pending JP2023551929A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IT102020000029450A IT202000029450A1 (it) 2020-12-02 2020-12-02 Apparato e metodo per il controllo di un sistema critico
IT102020000029450 2020-12-02
PCT/IB2021/061174 WO2022118211A1 (en) 2020-12-02 2021-12-01 Apparatus and method for controlling a critical system

Publications (1)

Publication Number Publication Date
JP2023551929A true JP2023551929A (ja) 2023-12-13

Family

ID=75438526

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023533703A Pending JP2023551929A (ja) 2020-12-02 2021-12-01 クリティカルシステムを制御する装置及び方法

Country Status (6)

Country Link
US (1) US20240039717A1 (ja)
EP (1) EP4256748A1 (ja)
JP (1) JP2023551929A (ja)
AU (1) AU2021391899A1 (ja)
IT (1) IT202000029450A1 (ja)
WO (1) WO2022118211A1 (ja)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2780902T3 (es) * 2014-04-16 2020-08-27 Siemens Mobility Inc Sistemas críticos de seguridad ferroviaria con redundancia de tareas y capacidad de comunicaciones asimétricas
DE102016204630A1 (de) * 2016-03-21 2017-09-21 Siemens Aktiengesellschaft Verfahren zum Übertragen von Nachrichten in einem Eisenbahnsystem sowie Eisenbahnsystem
IT201600116085A1 (it) * 2016-11-17 2018-05-17 Ansaldo Sts Spa Apparato e metodo per la gestione in sicurezza di comunicazioni vitali in ambiente ferroviario

Also Published As

Publication number Publication date
IT202000029450A1 (it) 2022-06-02
EP4256748A1 (en) 2023-10-11
US20240039717A1 (en) 2024-02-01
AU2021391899A1 (en) 2023-06-22
WO2022118211A1 (en) 2022-06-09

Similar Documents

Publication Publication Date Title
TWI790215B (zh) 用於鐵路環境下重要通信的安全管理的設備和方法
CN106447311B (zh) 一种四次通信的拜占庭容错算法的区块链建块方法
RU2459369C2 (ru) Способ и устройство для передачи сообщений в реальном времени
CN110708388B (zh) 用于提供安全服务的车身安全锚节点设备、方法以及网络系统
US20210349443A1 (en) Method and apparatus for the computer-aided creation and execution of a control function
US20180270052A1 (en) Cryptographic key distribution
JP2014204444A (ja) センサへの操作及び/又はセンサのセンサデータへの操作を検出するための方法及び装置
CN110896387B (zh) 数据传输方法、电池管理系统和存储介质
JP7018864B2 (ja) 半導体装置及びその制御方法
Zalman et al. A secure but still safe and low cost automotive communication technique
EP3148152A1 (en) Cryptographic key distribution
Lim et al. Data integrity threats and countermeasures in railway spot transmission systems
Chothia et al. An attack against message authentication in the ERTMS train to trackside communication protocols
EP3320475A1 (en) A method and a system for reliable computation of a program
CN112636923A (zh) 一种工程机械can设备身份认证方法及系统
JP2023551929A (ja) クリティカルシステムを制御する装置及び方法
CN114422173A (zh) 一种基于可见光的数据传输的方法、系统和存储介质
CN112242903B (zh) 混合设备以及针对混合设备执行安全引导过程的方法
US10438002B2 (en) Field-bus data transmission
US10972268B2 (en) Cryptographic diversity
CN107493262B (zh) 用于传输数据的方法和装置
CN110733535B (zh) 基于国产加密技术的轨道交通信号系统的运行及恢复方法
CN112367124B (zh) 一种量子中继节点虚拟化方法与装置
KR102524379B1 (ko) 궤도 비히클 관제를 위한 데이터 처리 장치
GB2544175A (en) Cryptographic key distribution

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20241003