JP5894713B2 - セキュリティデバイスバンク、およびセキュリティデバイスバンクを含むシステム - Google Patents
セキュリティデバイスバンク、およびセキュリティデバイスバンクを含むシステム Download PDFInfo
- Publication number
- JP5894713B2 JP5894713B2 JP2015536231A JP2015536231A JP5894713B2 JP 5894713 B2 JP5894713 B2 JP 5894713B2 JP 2015536231 A JP2015536231 A JP 2015536231A JP 2015536231 A JP2015536231 A JP 2015536231A JP 5894713 B2 JP5894713 B2 JP 5894713B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- bank
- devices
- network
- security device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 claims description 49
- 230000003068 static effect Effects 0.000 claims description 7
- 238000000034 method Methods 0.000 claims description 6
- 230000000644 propagated effect Effects 0.000 claims description 2
- 230000001902 propagating effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 14
- 239000000835 fiber Substances 0.000 description 8
- 238000012545 processing Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000000737 periodic effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 101100309712 Arabidopsis thaliana SD11 gene Proteins 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000007596 consolidation process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0018—Communication with or on the vehicle or train
- B61L15/0027—Radio-based, e.g. using GSM-R
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/70—Details of trackside communication
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L3/00—Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mechanical Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Train Traffic Observation, Control, And Security (AREA)
Description
都市鉄道通信ベース列車制御(CBTC)システムは、列車の安全かつ効率的な制御の責任を担う。CBTCシステムの利点は、信頼性の向上と、列車間のより近い間隔とが、列車の運行中に達成可能であるということである。CBTCシステムでは、自動列車運行、保護、および監視が、しばしば中央コンピュータによって提供される。これらのコンピュータは、列車の効率的なルーティングと、ポイント(レールスイッチ)のずれを原因とする他の列車との衝突および脱線から列車を保護することの責任を担う。列車に搭載されたコンピュータ装置は、制御コンピュータによって確立された走行許可(movement authority)制限を順守すること、列車の位置を報告すること、および列車推進システムと乗客ドアとを安全に制御することを直接担当する。CBTCシステムのコンポーネントは、データ通信システム(DCS)を通じて相互接続される。DCSは、CBTCシステムの安全かつ効率的な操作を可能にするために十分なセキュリティが整っていることを確認する必要がある。
添付の図面の図において、限定ではなく、例として、1つまたは複数の実施形態が示される。図面において、同じ参照番号指定を有する要素は、全体を通じて同様の要素を表す。
図1は、1つまたは複数の実施形態による、CBTCシステムの系統図である。
図2は、1つまたは複数の実施形態による、CBTCシステムの機能ブロック図である。
図3Aは、1つまたは複数の実施形態による、沿線デバイスから列車デバイスへの通信のタイミング図である。
図3Bは、1つまたは複数の実施形態による、列車デバイスから沿線デバイスへの通信のタイミング図である。
図4は、1つまたは複数の実施形態による、信頼できるネットワーク、信頼できないネットワーク、およびセキュリティデバイス(SD)バンクの2つのSD間の通信のタイミング図である。
図5は、1つまたは複数の実施形態による、SDまたはSDバンクを実装するために使用可能なコンピュータシステムの機能ブロック図である。
図1は、1つまたは複数の実施形態による、CBTCシステムの系統図である。
図2は、1つまたは複数の実施形態による、CBTCシステムの機能ブロック図である。
図3Aは、1つまたは複数の実施形態による、沿線デバイスから列車デバイスへの通信のタイミング図である。
図3Bは、1つまたは複数の実施形態による、列車デバイスから沿線デバイスへの通信のタイミング図である。
図4は、1つまたは複数の実施形態による、信頼できるネットワーク、信頼できないネットワーク、およびセキュリティデバイス(SD)バンクの2つのSD間の通信のタイミング図である。
図5は、1つまたは複数の実施形態による、SDまたはSDバンクを実装するために使用可能なコンピュータシステムの機能ブロック図である。
以下の開示は、本開示の異なる特徴を実装するための、1つまたは複数の異なる実施形態、または例を提供することが理解される。本開示を簡素化するために、コンポーネントおよび構成の具体例を以下で説明する。当然これらは例であり、限定を意図するものではない。業界の慣例に従って、図面における様々な特徴は原寸に比例して示されておらず、例示の目的のためにのみ使用される。
図1は、1つまたは複数の実施形態による、CBTCシステム100の系統図である。CBTCシステム100は、信頼できる光ファイバネットワーク112と、信頼できない光ファイバネットワーク114と、無線ベースの列車−沿線モバイル通信ネットワーク116と、列車に搭載されたローカルエリアネットワーク118と、信頼できる光ファイバネットワーク112と信頼できない光ファイバネットワーク114とを結合するセキュリティデバイス(SD)バンク124aおよび124bのセットと、モバイル通信ネットワーク116と列車に搭載されたローカルエリアネットワーク118とを結合するセキュリティデバイス(SD)126aと126bのセットとを含む、データ通信システム(DCS)を有する。また、DCSは、任意で、SDバンク152を介する外部ネットワーク160への接続150を有する。信頼できない光ファイバネットワーク114および沿線モバイル通信ネットワーク116は、集合的に、信頼できないネットワークとも呼ばれる。いくつかの実施形態では、信頼できる光ファイバネットワーク112および信頼できない光ファイバネットワーク114は、光ファイバネットワークではない。いくつかの実施形態では、信頼できるネットワーク112および信頼できないネットワーク114は、有線通信技術、無線通信技術、光通信技術、またはそれらの組合せによって実装される。
信頼できるネットワーク112に必要な保護のレベルに応じて、DCSネットワーク装置の個々のコンポーネント、およびそれらの相互接続が、信頼できるもの、または信頼できないもののいずれかとして分類される。信頼できるコンポーネントは、そのコンポーネント内で発信されたあらゆるメッセージを受け入れることができ、それが本物であり意図されたものであるという絶対的な保証とともに、別の信頼できるコンポーネントによって作用され得るコンポーネントである。それに対して、信頼できないコンポーネントは、CBTCシステムに関する限り、そのコンポーネント内で発信されたあらゆるメッセージが偽物であると仮定されなければならず、システムの動作または安全性のいずれかに影響を及ぼすことが許されないコンポーネントである。信頼ネットワーク112などの信頼できるネットワークは、信頼できるコンポーネントだけを含み、信頼できるネットワークの信頼できるコンポーネントは、十分な防御を提供するように設計された装置を介さない限り、信頼できないコンポーネントに決して直接接続してはならない。そうしないと、他のコンポーネント間の他の相互接続は、おそらく信頼できないネットワークである。
さらに、CBTCシステム100は、DCSの信頼できる光ファイバネットワーク112に結合された中央装置132、駅装置134、および沿線装置136を有する。また、CBTCシステム100は、列車に搭載されたローカルエリアネットワーク118に接続された搭載装置142を有する。SDバンク124a、124b、および152は、それぞれ、信頼できないモバイルネットワーク116と信頼できるネットワーク112との間の通信ゲートウェイ、および信頼できるネットワーク112とそれらに接続された装置との間の通信ゲートウェイとして、複数のSDを含む。いくつかの実施形態では、SDバンク124aまたは124bは、1つの物理的セキュリティデバイスだけを含む。
セキュリティデバイス(SD)は、信頼できないオープンネットワークを通じたデータ通信を保護するために使用される。SDは、マスカレード攻撃から保護するために強力な認証機能を提供する。装置側で、エンドノードでSDを展開して、エンドノードと列車に搭載されたSD126aまたは126bとの間に信頼できるネットワーク112と信頼できないネットワーク114との両方を通じてトンネルを確立する代わりに、図1に示される実施形態では、SDはSDバンク124a、124b、および152にグループ化されて、信頼できるネットワーク112と信頼できない光ファイバネットワーク114とをブリッジするノードで展開される。いくつかの実施形態では、トンネルは仮想プライベートネットワーク(VPN)トンネルとも呼ばれる。いくつかの実施形態では、VPNトンネルは、インターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠する。
いくつかの実施形態では、セーフガードとして代替または冗長な通信パスを提供するために、SDバンク124aおよび/または124bは、搭載されたSD126aと126bの両方とともに通信トンネルを確立して維持する。通信トンネルは、暗号処理に基づいて、両者間の通信を管理するために必要な秘密情報を共有したSDのペアを通じてセットアップされた信頼できる接続を指す。障害管理は、SDバンク124aおよび124b、ならびに列車に搭載されたSD126aおよび126bのルート追跡によって処理される。
SDバンク124a、124b、および/または152内の物理的SDのそれぞれは、あらかじめ定められた数のトンネルを処理することができ、物理的SDの数を、列車の数または通信容量の増大を求めるニーズとしてSDバンクに追加することによって、システムのスケーリングを可能にする。したがって、列車ごとに利用可能なトンネルの数は、システム内の沿線装置の数に関わらず一定に保たれる。少なくともいくつかの実施形態では、これによって既存のソリューションでスケーラビリティの問題が解決する。
SDバンク124a、124b、および152の実装は、鉄道環境基準の下で資格があるように設計された、組み込みデバイスを使用することによって実行される。少なくともいくつかの実施形態では、SDバンク内のSDは、無料配布されるIPSecモジュールを有するオープンソースオペレーティングシステムでロードされる。上記で示したように、構成ファイルは、ソリューションに合わせて調整するように修正される。
物理レベルでは、列車デバイス(集合的に、搭載装置142と呼ばれる)は、標準イーサネットインターフェース(Cat−5、M12、またはLEMO)を使用するLAN118を通じて列車セキュリティデバイスに接続する。いくつかの実施形態では、LAN118は、搭載装置142の一部とも呼ばれる。いくつかの実施形態では、LAN118は省略される。次いで、列車SDは、例えばIEEE 802.11などの標準無線プロトコルを通じてモバイルネットワーク116の沿線無線ユニットと通信するイーサネットインターフェースを通じて、モバイルネットワーク116の搭載モバイル無線に接続する。次いで、沿線無線ユニットは、例えば100−Base−FXなどの有線接続を使用して、信頼できないネットワーク114に接続する。いくつかの実施形態では、SDバンク124aまたは124bは、100−Base−TXインターフェースを通じて信頼できない光ファイバネットワーク114に、および別の100−base−Txインターフェースを通じて信頼できるネットワーク112のルータにも接続される。次いで、信頼できるネットワークルータは、100−Base−Txインターフェースを使用して、沿線デバイス(すなわち、中央装置132、駅装置134、および沿線装置136)に接続する。
論理レベルでは、列車デバイス、および列車SD126aまたは126bの信頼できるSDインターフェースは、列車ネットワークと同じ仮想ローカルエリアネットワーク(VLAN)に属する。列車SD126aまたは126bの信頼できない列車SDインターフェース、およびSDバンク124aまたは124bのSDの信頼できない沿線SDインターフェースは、信頼できない無線ネットワークと同じVLANに属する。SDバンク124aまたは124bのSDの信頼できるSDインターフェース、およびネットワークルータインターフェースは、同じVLANを共有する。次いで、データトラフィックがその宛先に基づいてルーティングされ、いくつかの実施形態では各宛先は別々のVLANを有する。
ルーティングされたレベルでは、決定的な障害モードを実現するために、少なくとも1つの実施形態による全体的な設計は、静的ルーティングに基づく。ルートメトリックの更新は、信頼できるネットワークルータ内のルートメトリックメカニズム、およびSDバンク124aまたは124bを通じて行われる。信頼できるネットワークルータは、SDバンク124aまたは124bのSD(集合的に「SDサブセット」と呼ばれる)用のルートを格納し、メトリックおよびゲートウェイアドレスで区別される主要ルートおよびバックアップルートを有する。ルート統合は、同じSDバンクに連続するSDサブネットを割り当てることによって実行され得る。ルーティングテーブルが最新であることを確認するために、定期的にキープアライブが送信される。いくつかの実施形態では、SDバンク上で、SDゲートウェイに静的ルートが設定されて、更新を必要としない。いくつかの実施形態では、列車SD126aまたは126b上に、メトリックおよびゲートウェイアドレスで区別される、スーパーネッティングを通じてすべての沿線デバイスへの異なるSDバンクへの2つのルートがある。ルーティングテーブルが最新であることを確認するために、定期的にキープアライブが送信される。
セキュリティレベルでは、いくつかの実施形態では、各列車SD126aまたは126bと、別のSDバンク124aまたは124bとの間に、2つの静的IPSec VPNトンネルが維持される。インフラストラクチャ内のPKIは、SDノード(たとえば、搭載SD、およびSDバンク内のSD)の完全性と妥当性を維持する。認証局が、証明書の発行および失効を維持する。いくつかの実施形態では、SDバンクおよび列車SDファイアウォールが、IPSec通信を使用しないあらゆるパケット、ならびに許可された列車および沿線アドレス範囲外のデバイスを廃棄する。
いくつかの実施形態では、SDバンクと列車に搭載されたSDとの間に、2つよりも少数または多数の通信トンネルが確立されて維持される。いくつかの実施形態では、列車SDとSDバンクとの間の通信トンネルは、IPSecトンネル以外の通信トンネルである。
[列車SD]
[列車SD]
列車セキュリティデバイス(SD)は、列車デバイスから沿線デバイス(たとえば、中央装置132、駅装置134、または沿線装置136のデバイス)への通信のためのゲートウェイである。いくつかの実施形態では、列車SDは、ルータ、IPSec仮想プライベートネットワーク(VPN)デバイス、ファイアウォール、ルートメトリック更新器、および/または複数のポイントスイッチとしての機能を果たす。
いくつかの実施形態では、ルートメトリック更新器から更新された最新のメトリック情報に基づいて、列車SDは、パケットをSDバンクゲートウェイにルーティングする。
いくつかの実施形態では、列車SDは、1つまたは複数のSDバンクゲートウェイを備えるVPNトンネルを確立して、インターネットセキュリティアソシエーションおよび鍵管理プロトコル(ISAKMP)ならびに/またはIPSecプロトコルを使用して、共有された秘密をリフレッシュする。
いくつかの実施形態では、列車SDは、指定されたVPNトンネルにカプセル化されていない、または列車内のIPアドレス範囲外のすべてのパケットを廃棄する。
いくつかの実施形態では、SDは、ルートメトリック更新器としての役割を果たし、ルートの状態を決定するために定期的なキープアライブメッセージをSDバンクに送信して、障害が検出されるとルートのメトリックを更新する。いくつかの実施形態では、一般的なキープアライブメッセージは3−5ポーリングであり、ポーリング期間は200〜500ミリ秒と同じくらいの速さでよい。
いくつかの実施形態では、列車SDは、列車アクセスデバイスへのポートアクセスを提供する。
[SDバンク]
[SDバンク]
SDバンクは複数のSDを含み、各SDバンクは列車デバイスから沿線デバイスへの通信のためのゲートウェイである。複数のSDの各SDは、ルータ、IPSec仮想プライベートネットワーク(VPN)デバイス、ファイアウォール、ルートメトリック更新器、および/または複数のポイントスイッチとしての機能を果たす。
いくつかの実施形態では、ルートメトリック更新器から更新された最新のメトリック情報に基づいて、SDバンクの各SDは、パケットをSDバンクゲートウェイにルーティングする。
いくつかの実施形態では、SDバンクの各SDは、複数の列車SDゲートウェイを備えるVPNトンネルを確立して、ISAKMPおよびIPSecプロトコルを使用して、共有された秘密をリフレッシュする。
いくつかの実施形態では、SDバンクの各SDは、指定されたVPNトンネルにカプセル化されていない、または列車内のIPアドレス範囲外のすべてのパケットを廃棄する。
いくつかの実施形態では、各SDは、ルートメトリック更新器としての役割を果たし、ルートの状態を決定するために定期的なキープアライブメッセージを列車SDおよび/または同じSDバンク内の別のSDに送信して、障害が検出されるとルートのメトリックを更新する。一般的なキープアライブメッセージは3−5ポーリングであり、ポーリング期間は200〜500ミリ秒と同じくらいの速さでよい。
いくつかの実施形態では、SDバンクの各SDは、沿線デバイスへのポートアクセスを提供する。
いくつかの実施形態では、SDバンクは、SDバンクの1つまたは複数のSDを接続するネットワークアーキテクチャを使用して実装される。いくつかの実施形態では、SDバンクは、SDバンクの1つまたは複数のSDの動作を管理するコントローラを含む。
たとえば、いくつかの実施形態では、SDバンクは、信頼できるネットワークと信頼できないネットワークを通信可能に接続して、SD内に共通バスまたはローカルネットワークを含み、1つまたは複数のSDは共通バスまたはローカルネットワークに接続される。いくつかの実施形態では、SDバンクは、通信情報を更新するために、SDのうちの第1のSDに、同じSDバンクのSDのうちの第2のSDに通信情報を送信させるように構成される。通信情報は、信頼できるネットワークのルートメトリック、セキュリティポリシー情報、デジタル証明書、または鍵交換情報を含む。
いくつかの実施形態では、SDバンクのSD間の負荷バランシングは動的ベースである。いくつかの実施形態では、SDバンクのSDのうちの第1のSDは、SDのうちの第1のSD上のデータトラフィック、またはSDのうちの第1のSDによってVPNトンネルを確立する要求を、SDのうちの第2のSDにリダイレクトするように構成される。いくつかの実施形態では、SDバンクは、SDのうちの第1のSD上のデータトラフィック、またはSDのうちの第1のSDによってVPNトンネルを確立する要求を、SDのうちの第2の第1のSDにリダイレクトするように構成されたスタンドアロン型コントローラをさらに有する。いくつかの実施形態ではCPU使用率またはパケット数によって表される、SDバンクの第1のSDの測定された作業負荷に基づいて、SDバンクは、専用インターフェースを使用するトラフィック転送、ゲートウェイアドレスとして負荷の少ないSDインターフェースのMACアドレスでの動的ARP更新、またはSDバンク内の他のSDプロセッサとの分散処理などの方法を使用することによって、SDバンクの第2のSDにトラフィックをリダイレクトする。いくつかの実施形態では、SD間での作業負荷の分散は、SDバンクのすべてのSDを接続するローカルネットワークを介して、負荷を分散し受けるために802.3adなどのリンクアグリゲーションプロトコルを利用するSDバンクのSDのうちの1つによって調整される。ルータ、証明書、および鍵交換情報は、SDバンク内のSD間で共有される。
いくつかの実施形態では、SDバンクのSD間の負荷バランシングは、あらかじめ定められた作業負荷割当てに応じた静的ベースである。作業負荷は、SDバンクの特定のSDへのルートおよびゲートウェイを定義することによって静的に割り当てられる。たとえば、列車SD No.1〜10は、SDバンクのSDユニット1に割り当てられ、列車SD11〜20は、SDバンクのSDユニット2に割り当てられる。SDバンク内の個々のSD間の相互作用は、動的負荷バランシングスキームと比較して減少する(ネットワーク更新のみなど)。
さらに、個々のSDバンクに実装されたセキュリティポリシーは、動的負荷バランシングスキームについて同じSDバンクのSD間で一致する。ポリシーの更新は、同じSDバンク内の各SDに伝搬される。
鍵およびデジタル証明書は、動的負荷バランシングスキームについて個々のSDバンクのSD内で共有される。個々の鍵およびデジタル証明書は、静的負荷バランシングスキームに使用される。
[信頼できるネットワークルータ]
[信頼できるネットワークルータ]
信頼できるネットワークルータは、パケットのルーティングと、ルートメトリック更新器の、少なくとも2つの機能を実行する。
信頼できるネットワークルータは、ルートメトリック更新器から更新された最新のメトリック情報に基づいて、パケットをSDバンクゲートウェイにルーティングする。
ルートメトリック更新器は、ルートの状態を決定するために定期的なキープアライブメッセージをSDバンクに送信して、障害が検出されるとルートのメトリックを更新する。一般的なキープアライブメッセージは3−5ポーリングであり、ポーリング期間は200〜500ミリ秒と同じくらいの速さでよい。
いくつかの実施形態では、SDバンク内のSDは、ハードウェア、ファームウェア、およびソフトウェアメンテナンス費用を減少させるために、列車と同じハードウェアを使用して実装される。ルータは、ルートトレーシング機能をサポートする、任意の標準環境に定格のルータでよい。実装形態に代わるものには、機能をプログラムすることができる限り、商用オフザシェルフ(COTS)ベースの列車、または沿線SDがある。
ソフトウェアの観点では、Linux、OpenBSD、Windows、QNXなどの汎用プロセッサを使用して考慮することができるIPSecの多くの実装形態がある。組み込みプロセッサまたは専用ハードウェアに基づくセキュリティ暗号化アクセラレータなどの他のオプションも、可能な選択肢である。
本開示は、高可用性と決定的な障害モードを実現するために、ルーティングのキープアライブをIPSecに組み合わせる。また、本開示は、列車およびSDバンクにおけるルートおよびトンネルを最小限に抑えるためのIP割当てスキームを説明する。また、いくつかの実施形態では、スケーラビリティを実現するために静的ルート割当てが使用される。列車制御に適したセキュリティソリューションを展開するために、利用可能な、または検証済みのハードウェアを活用する(すなわち、増加した通信容量を有する新しいSDを検証する代わりに、SDバンク内のSDを追加する)。
図2は、1つまたは複数の実施形態による、CBTCシステム100の機能ブロック図である。図2には、3つのSDバンク124a、124b、および124c、ならびに3つの異なる駅装置134a、134b、および134cが示されている。さらに、モバイルネットワーク116は、トラックに沿った複数の無線局212、214、および216、ならびに列車に搭載された無線局を含む。駅装置134aは、自動列車監視ワークステーション(ATS WS)を含む。駅装置134bは、ATS WS、ゾーンコントローラ(ZC)、および診断コレクタ(Diag. Coll.)を含む。駅装置134cは、ZC、およびDiag. Collを含む。中央装置132は、ルータ、システム調整サーバ(SRS)、および診断サーバ(Diag. Svr.)を含む。
信頼できるネットワーク112は、異なる性質および挙動のデータトラフィックのために論理的および/または物理的に分離されたネットワークである、診断ネットワーク222、自動列車監視ネットワーク224、および自動列車制御ネットワーク226を含む。分離によって、データトラフィックが相互に影響を与えないという保証が提供される。たとえば、診断ネットワーク222は、Diag. Coll.およびDiag. Srv.から/へのデータトラフィックを処理するために使用され、自動列車監視ネットワーク224は、ルータ、ATS WS、およびSRSから/へのデータトラフィックを処理するために使用され、自動列車制御ネットワーク226は、ルータおよびZCから/へのデータトラフィックを処理するために使用される。図2に示されるように、各ネットワーク222、224、および226は、異なるSDバンク124a、124b、および124cに割り当てられる。しかしながら、いくつかの実施形態では、2つ以上のネットワーク222、224、および226が、1つまたは複数の共通SDバンクを共有する。
図3Aは、1つまたは複数の実施形態による、沿線デバイスから列車デバイスへの通信のタイミング図である。さらなる動作が、図3Aに示される図の前、間、および/または後に実行されてよく、他のいくつかの動作は、本明細書では簡単に説明されるに過ぎないことが理解される。
動作312で、沿線デバイス(図1および図2における、中央装置132、駅装置134、および沿線装置136のデバイスなど)は、信頼できるネットワーク112内のルータにパケットを送信する。動作314で、ルータは、信頼できるネットワークを通じてSDバンクのうちの1つにパケットを送信するためのルートを決定する。動作316で、ルータは、決定されたルートに沿ってSDバンクのうちの1つにパケットを送信する。
動作322で、沿線SDバンクは、データパケットを受信して、SDのあらかじめ定められた作業負荷割当て、または測定された作業負荷に基づいてSDバンクのSDのうちの1つを選択し、あるいは列車SDへの既存のVPNトンネルがある場合、受信されたデータパケットを処理する。選択されたSDは、パケットがあらかじめ定められたルートに沿ってルーティングされたか、またはあらかじめ定められたルーティング規則のセットと一致するかどうかを決定するために、パケットを検査する。動作324で、選択されたSDがパケットを暗号化する。動作326で、選択されたSDが、暗号化されたパケットを、信頼できないネットワークを介して列車SDに送信する。
動作332で、列車SDが、受信されたパケットを復号化して、パケットを宛先列車デバイスに送信する。データパケットのハンドシェーキング、暗号化、および/または復号化は、SDバンクの選択されたSDと列車SDとの間の信頼できないネットワークを介するVPNトンネルを使用するデータトラフィックの確立、送信、および/または受信とも呼ばれる。
図3Bは、1つまたは複数の実施形態による、列車デバイスから沿線デバイスへの通信のタイミング図である。さらなる動作が、図3Bに示される図の前、間、および/または後に実行されてよく、他のいくつかの動作は、本明細書では簡単に説明されるに過ぎないことが理解される。
動作362で、列車デバイスが、列車に搭載されたSD(すなわち、「列車SD」)にパケットを送信する。動作372で、列車SDがパケットを検査する。動作374で、列車SDがパケットを暗号化する。動作376で、列車SDが、SDバンクのうちの1つを介して宛先沿線デバイスにパケットを送信するためのルートを決定する。動作378で、列車SDが、暗号化されたパケットをSDバンクのうちの1つに送信する。
動作382で、SDバンクのうちの1つが、SDの作業負荷割当て、または測定された作業負荷に応じてSDバンクのSDのうちの1つを選択し、あるいは列車SDへの既存のVPNトンネルがある場合、受信されたデータパケットを処理する。選択されたSDがパケットを復号化して、復号化されたパケットをルータに送信する。動作384で、ルータが、決定されたルートに沿って、宛先沿線デバイスにパケットを送信する。
図4は、1つまたは複数の実施形態による、信頼できるネットワーク、信頼できないネットワーク、およびSDバンクの2つのセキュリティデバイス(SD)間の通信のタイミング図である。いくつかの実施形態では、SDバンクのSDは、SDバンク内の共通バスまたはローカルネットワークに接続される。
SDバンクのSDのうちの1つが、ゲートウェイ情報を更新するために、定期的なアドレス解決プロトコル(ARP)メッセージを信頼できないネットワークに送信する。信頼できないネットワークは、新しいデバイスのARPも提供する(動作412)。また、SDは、鍵交換情報を交渉するために、信頼できないネットワークを介して他の列車SDと通信する(動作414)。SDは、証明書、鍵、およびポリシーをSDバンクの他のSDと共有して(動作416)、SDバンクの他のSDの正常性を監視するためにプロトコルを実行する(動作418)。
さらに、SDは、信頼できるネットワークを介して、認証局からの証明書情報を要求、失効、および更新する(動作422)。また、SDは、信頼できるネットワーク上のルーティングキープアライブに応答する(動作422)。
図4に示されるように、SDバンクの他のSD(SDバンクユニット2)は、上述のすべての動作を個別に実行することができる。
図5は、1つまたは複数の実施形態による、SDおよび/またはSDバンクを実装するために使用可能なコンピュータシステム500の機能ブロック図である。コンピュータシステム500は、ハードウェアプロセッサ510、およびコンピュータプログラムコード522、すなわち実行可能命令のセットで符号化された、すなわちそれを格納する、非一時的コンピュータ可読記憶媒体520を含む。プロセッサ510は、コンピュータ可読記憶媒体520に電気的に結合される。プロセッサ510は、コンピュータ500を、SD、またはSDバンク内のSDを管理するためのコントローラとして使用可能にするために、コンピュータ可読記憶媒体520内で符号化されたコンピュータプログラムコード522を実行するように構成される。
いくつかの実施形態では、プロセッサ510は、中央処理装置(CPU)、マルチプロセッサ、分散された処理システム、特定用途向け集積回路(ASIC)、および/または適切な処理ユニットである。
いくつかの実施形態では、コンピュータ可読記憶媒体520は、電気、磁気、光、電磁、赤外線、および/または半導体システム(あるいは、装置またはデバイス)である。たとえば、コンピュータ可読記憶媒体520は、半導体またはソリッドステートメモリ、磁気テープ、リムーバブルコンピュータディスケット、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、剛性磁気ディスク、および/または光ディスクを含む。光ディスクを使用するいくつかの実施形態では、コンピュータ可読記憶媒体520は、コンパクトディスク読出し専用メモリ(CD−ROM)、コンパクトディスク読出し/書込み(CD−R/W)、および/またはデジタルビデオディスク(DVD)を含む。
コンピュータシステム500は、少なくともいくつかの実施形態では、入力/出力インターフェース530、およびディスプレイインターフェース540を含む。入力/出力インターフェース530はプロセッサ510に結合されており、データ通信システムエンジニアが、SD、またはSDバンク内のSDのコントローラの設定を調整することを可能にする。少なくともいくつかの実施形態では、ディスプレイインターフェース540は、コンピュータシステム500の動作を外部ディスプレイユニットに出力する。少なくともいくつかの実施形態では、入力/出力インターフェース530、およびディスプレイインターフェース540は、オペレータがインタラクティブな方法でコンピュータシステム500を操作することを可能にする。少なくともいくつかの実施形態では、ディスプレイインターフェースは省略される。
少なくともいくつかの実施形態では、コンピュータシステム500は、プロセッサ510に結合されたネットワークインターフェース550も含む。ネットワークインターフェース550は、コンピュータシステム500が、1つまたは複数の他のコンピュータシステムが接続されるネットワーク560と通信することを可能にする。ネットワークインターフェースは、BLUETOOTH、Wi−Fi、WiMAX、GPRS、またはWCDMAなどの無線ネットワークインターフェース、あるいはイーサネット、USB、またはIEEE−1394などの有線ネットワークインターフェースを含む。
ある実施形態によれば、システムは、信頼できるネットワーク、信頼できないネットワーク、移動する物体に搭載された搭載装置、移動する物体に搭載され、搭載装置と信頼できないネットワークを通信可能に接続する1つまたは複数の第1のセキュリティデバイス、および信頼できるネットワークと信頼できないネットワークを通信可能に接続するセキュリティデバイスバンクを含む。セキュリティデバイスバンクは、共通バスまたはローカルネットワーク、および共通バスまたはローカルネットワークに接続された1つまたは複数の第2のセキュリティデバイスを含む。
別の実施形態によれば、セキュリティデバイスバンクは、信頼できるネットワークと信頼できないネットワークを接続するように構成される。セキュリティデバイスバンクは、共通バスまたはローカルネットワーク、および共通バスまたはローカルネットワークに接続された1つまたは複数のセキュリティデバイスを含む。
別の実施形態によれば、セキュリティデバイスバンクを使用するデータ通信の方法は、信頼できるネットワークを通じて第1のデバイスからデータパケットを受信するステップを含む。セキュリティデバイスバンクは、セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのあらかじめ定められた作業負荷割当て、または測定された作業負荷に基づいて、セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのうちの1つを選択する。データパケットは、セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのうちの1つによって確立された仮想プライベートネットワーク(VPN)トンネルを使用することによって、信頼できないネットワークを通じて第2のデバイスに送信される。
当業者が本開示の態様をよりよく理解できるようにするために、上記はいくつかの実施形態の特徴を概説する。当業者は、本明細書で紹介された実施形態と同じ目的を実行するために、および/または同じ利点を実現するために、他の処理および構造の設計または修正の基礎として本開示を容易に使用できることを理解するべきである。また、当業者は、そのような等価な構成が、本開示の趣旨および範囲から逸脱せず、当業者は、本開示の趣旨および範囲から逸脱することなしに、本明細書に様々な変更、置換、および改変を行うことができることを理解するべきである。
Claims (20)
- システムであって、
信頼できるネットワークと、
信頼できないネットワークと、
移動可能物体に搭載された搭載装置と、
沿線装置及び中央装置並びに駅装置を備えるとともに前記信頼できるネットワークに通信可能に接続する非搭載装置と、
前記移動可能物体に搭載され、前記搭載装置と前記信頼できないネットワークとを通信可能に接続する1つまたは複数の第1のセキュリティデバイスと、
前記信頼できるネットワークと前記信頼できないネットワークとを通信可能に接続するセキュリティデバイスバンクとを備え、
前記セキュリティデバイスバンクは、
共通バスまたはローカルネットワークと、
前記共通バスまたは前記ローカルネットワークに接続された1つまたは複数の第2のセキュリティデバイスとを備え、
前記1つ又は複数の第2のセキュリティデバイスの各第2のセキュリティデバイスは、前記セキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとの間の前記信頼できないネットワークを介したあらかじめ定められた数の通信トンネルを確立するよう構成され、
前記通信トンネルは、インターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠し、
前記セキュリティデバイスバンクは、前記共通バス又は前記ローカルネットワークに接続された1つ又は複数の追加第2のセキュリティデバイスを前記セキュリティデバイスバンクに追加することによって前記セキュリティデバイスバンクの通信容量の増加を調整可能に構成され、
前記セキュリティデバイスバンクに含まれる前記1つ又は複数の第2のセキュリティデバイスは前記システムの検証されたコンポーネントであり、
前記1つ又は複数の第2のセキュリティデバイスは、前記1つ又は複数の追加第2のセキュリティデバイスを、前記共通バス又は前記ローカルネットワークに接続された前記1つ又は複数の追加第2のセキュリティデバイスに基づく前記システムの前記検証されたコンポーネントにするよう構成され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクのみを介して前記信頼できないネットワークと通信可能に接続され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に接続される。 - 請求項1に記載のシステムであって、前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルの少なくとも1つは、前記信頼できないネットワークを介する仮想プライベートネットワーク(VPN)トンネルである。
- 請求項1に記載のシステムであって、前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルは、前記信頼できないネットワークを介する複数のVPNトンネルを備える。
- 請求項1に記載のシステムであって、前記セキュリティデバイスバンクは第1のセキュリティデバイスバンクであり、前記システムは更に、前記信頼できるネットワークと前記信頼できないネットワークとを通信可能に接続する第2のセキュリティデバイスバンクを備え、
前記第1のセキュリティデバイスバンクの前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルは、前記信頼できないネットワークを介して前記第1のセキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとを通信可能に接続する少なくとも1つのVPNトンネルを備え、
前記第2のセキュリティデバイスバンク及び前記1つ又は複数の第1のセキュリティデバイスは、前記信頼できないネットワークを介して前記第2のセキュリティデバイスバンクと前記1つ又は複数の第1のセキュリティデバイスとを通信可能に接続する別々のVPNトンネルを確立するよう構成される。 - 請求項1に記載のシステムであって、前記1つ又は複数の第2のセキュリティデバイスによって確立された前記通信トンネルは、VPNトンネルである。
- 請求項1に記載のシステムであって、前記信頼できるネットワークに通信可能に接続された固定装置をさらに備え、前記信頼できるネットワークは、静的ルーティングおよびキープアライブポーリングによって前記固定装置と前記セキュリティデバイスバンクとの間に通信を確立するように構成される。
- 請求項1に記載のシステムであって、前記1つまたは複数の第2のセキュリティデバイスは、前記セキュリティデバイスバンク内で互いに通信情報を共有して前記1つ又は複数の追加セキュリティデバイスを前記システムの前記検証されたコンポーネントにするように構成される。
- 請求項7に記載のシステムであって、前記通信情報は、前記共通バス又は前記ローカルネットワークを介して、前記セキュリティデバイスバンクに含まれる前記1つ又は複数の第2のセキュリティデバイス、及び、前記セキュリティデバイスバンクに追加された前記1つ又は複数の追加第2のセキュリティデバイスに伝搬されたセキュリティポリシー情報を備える。
- 請求項1に記載のシステムであって、前記1つまたは複数の第2のセキュリティデバイスのうちの第1のデバイスは、(1)前記1つまたは複数の第2のセキュリティデバイスのうちの前記第1のデバイス上のデータトラフィック、あるいは(2)前記1つまたは複数の第2のセキュリティデバイスのうちの前記第1のデバイスによってVPNトンネルを確立する要求を、前記1つまたは複数の第2のセキュリティデバイスのうちの第2のデバイスにリダイレクトするように構成される。
- 請求項1に記載のシステムであって、前記セキュリティデバイスバンクは、(1)前記1つまたは複数の第2のセキュリティデバイスのうちの第1のデバイス上のデータトラフィック、あるいは(2)前記1つまたは複数の第2のセキュリティデバイスのうちの前記第1のデバイスによってVPNトンネルを確立する要求を、前記1つまたは複数の第2のセキュリティデバイスのうちの第2のデバイスにリダイレクトするように構成されたスタンドアロン型コントローラをさらに備える。
- 請求項1に記載のシステムであって、前記1つ又は複数の追加第2のセキュリティデバイスは、前記セキュリティデバイスバンクにおける前記1つ又は複数の追加第2のセキュリティデバイスの包含のみに基づく前記システムの検証されたコンポーネントである。
- 請求項1に記載のシステムであって、前記追加第2のセキュリティデバイスの数は、前記非搭載装置に含まれる沿線装置の数に基づく。
- 信頼できるネットワークと信頼できないネットワークを接続するように構成されたセキュリティデバイスバンクであって、前記セキュリティデバイスバンクは、
共通バスまたはローカルネットワークと、
前記共通バスまたは前記ローカルネットワークに接続された1つまたは複数の非搭載セキュリティデバイスとを備え、
前記1つ又は複数の非搭載セキュリティデバイスの各非搭載セキュリティデバイスは、前記セキュリティデバイスバンクと移動可能車両に搭載された1つ又は複数の搭載セキュリティデバイスとの間の前記信頼できないネットワークを介したあらかじめ定められた数の通信トンネルを確立するよう構成され、
前記通信トンネルは、インターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠し、
前記セキュリティデバイスバンクは、前記共通バス又は前記ローカルネットワークに接続された1つ又は複数の追加非搭載セキュリティデバイスを前記セキュリティデバイスバンクに追加することによって前記セキュリティデバイスバンクの通信容量の増加を調整可能に構成され、
前記セキュリティデバイスバンクに含まれる前記1つ又は複数の非搭載セキュリティデバイスは車両制御システムの検証されたコンポーネントであり、
前記1つ又は複数の非搭載セキュリティデバイスは、前記1つ又は複数の追加非搭載セキュリティデバイスを、前記共通バス又は前記ローカルネットワークに接続された前記1つ又は複数の追加非搭載セキュリティデバイスに基づく前記車両制御システムの前記検証されたコンポーネントにするよう構成され、
前記車両制御システムは、沿線装置及び中央装置並びに駅装置を備える非搭載装置を備え、
前記非搭載装置は、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に、前記信頼できるネットワーク接続され、
前記セキュリティデバイスバンクは、前記セキュリティデバイスのみを介して前記信頼できないネットワークと全ての非搭載装置が通信可能に結合するよう構成される。 - 請求項13に記載のセキュリティデバイスバンクであって、前記1つ又は複数の非搭載セキュリティデバイスによって確立された前記通信トンネルの少なくとも1つは、前記信頼できないネットワークを介する仮想プライベートネットワーク(VPN)トンネルである。
- 請求項13に記載のセキュリティデバイスバンクであって、前記1つ又は複数の非搭載セキュリティデバイスによって確立された前記通信トンネルは、VPNトンネルである。
- 請求項13に記載のセキュリティデバイスバンクであって、前記1つ又は複数の非搭載セキュリティデバイスのうちの第1のデバイスは、前記共通バス又は前記ローカルネットワークを介して、前記1つ又は複数の非搭載セキュリティデバイスのうちの第2のデバイス及び前記1つ又は複数の追加非搭載セキュリティデバイスに、通信情報を送信するように構成される。
- 請求項16に記載のセキュリティデバイスバンクであって、前記通信情報は、セキュリティポリシー情報を備える。
- 請求項13に記載のセキュリティデバイスバンクであって、前記1つまたは複数の非搭載セキュリティデバイスのうちの第1のデバイスは、(1)前記1つまたは複数の非搭載セキュリティデバイスのうちの前記第1のデバイス上のデータトラフィック、(2)または前記1つまたは複数の非搭載セキュリティデバイスのうちの前記第1のデバイスによってVPNトンネルを確立する要求を、前記1つまたは複数の非搭載セキュリティデバイスのうちの第2のデバイスにリダイレクトするように構成される。
- 請求項13に記載のセキュリティデバイスバンクであって、(1)前記1つまたは複数の非搭載セキュリティデバイスのうちの第1のデバイス上のデータトラフィック、(2)または前記1つまたは複数の非搭載セキュリティデバイスのうちの前記第1のデバイスによってVPNトンネルを確立する要求を、前記1つまたは複数の非搭載セキュリティデバイスのうちの第2のデバイスにリダイレクトするように構成されたスタンドアロン型コントローラをさらに備える。
- 方法であって、
信頼できるネットワークを通じて第1のデバイスからセキュリティデバイスバンクへデータパケットを通信するステップであって、前記セキュリティデバイスバンクは1つ又は複数のセキュリティデバイスを備え、前記第1のデバイスは、沿線装置及び中央装置並びに駅装置を備えた非搭載装置ネットワークに含まれる複数のデバイスのうちの1つのデバイスであり、前記非搭載装置ネットワークに含まれる前記複数のデバイスは前記信頼できるネットワークを介して互いに通信可能に接続されている、ステップと、
前記セキュリティデバイスバンクによって、前記セキュリティデバイスバンクの1つまたは複数のセキュリティデバイスのあらかじめ定められた作業負荷割当て、または測定された作業負荷に基づいて、前記セキュリティデバイスバンクの前記1つまたは複数のセキュリティデバイスのうちの1つを選択するステップと、
前記データパケットを、仮想プライベートネットワーク(VPN)トンネルを使用することによって、信頼できないネットワークを通じて第2のデバイスに送信するステップであって、VPNトンネルのあらかじめ定められた数は、前記セキュリティデバイスバンクの前記1つまたは複数のセキュリティデバイスのうちの前記選択された1つによってインターネットエンジニアリングタスクフォース(IETF)インターネットプロトコルセキュリティ(IPsec)標準に準拠して確立され、前記第2のデバイスは移動可能車両に搭載される搭載装置に含まれる複数のデバイスのうちの1つのデバイスである、ステップと、
1つ又は複数の追加セキュリティデバイスを前記セキュリティデバイスバンクに物理的に追加し、前記セキュリティデバイスバンクに含まれる前記セキュリティデバイスによって確立可能なVPNトンネルの総数を増加させることにより前記セキュリティデバイスバンクの通信容量を増加させるステップと、
車両制御システムの検証されたコンポーネントとして前記セキュリティデバイスバンクに含まれる前記セキュリティデバイスを確立するセキュリティポリシーを、前記1つ又は複数の追加セキュリティデバイスに伝搬させるステップと、
前記セキュリティデバイスバンクの前記1つ又は複数の追加セキュリティデバイスの包含に基づき前記1つ又は複数の追加セキュリティデバイスを検証するステップとを備え、
前記非搭載装置の全ては、前記セキュリティデバイスバンクのみを介して前記信頼できないネットワークと通信可能に接続され、
前記非搭載装置の全ては、前記セキュリティデバイスバンクと独立した前記信頼できるネットワークを介して、互いに通信可能に接続される。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261714202P | 2012-10-15 | 2012-10-15 | |
| US61/714,202 | 2012-10-15 | ||
| US13/837,012 | 2013-03-15 | ||
| US13/837,012 US9166952B2 (en) | 2012-10-15 | 2013-03-15 | Security device bank and a system including the and SD security device bank |
| PCT/IB2013/002289 WO2014060821A1 (en) | 2012-10-15 | 2013-10-11 | Security device bank and system including the security device bank |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2016503595A JP2016503595A (ja) | 2016-02-04 |
| JP2016503595A5 JP2016503595A5 (ja) | 2016-03-17 |
| JP5894713B2 true JP5894713B2 (ja) | 2016-03-30 |
Family
ID=50476720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015536231A Expired - Fee Related JP5894713B2 (ja) | 2012-10-15 | 2013-10-11 | セキュリティデバイスバンク、およびセキュリティデバイスバンクを含むシステム |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US9166952B2 (ja) |
| EP (1) | EP2907274B1 (ja) |
| JP (1) | JP5894713B2 (ja) |
| KR (1) | KR101604334B1 (ja) |
| CN (1) | CN104718726A (ja) |
| BR (1) | BR112015008227A2 (ja) |
| CA (1) | CA2888175C (ja) |
| HK (1) | HK1210886A1 (ja) |
| WO (1) | WO2014060821A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6075839B2 (ja) * | 2012-09-20 | 2017-02-08 | 株式会社日立国際電気 | 列車無線通信システムの受信電文選択方法 |
| US9521116B2 (en) | 2014-06-11 | 2016-12-13 | Verizon Patent And Licensing Inc. | Apparatus, method, and system for securing a public wireless network |
| DE102014212484A1 (de) * | 2014-06-27 | 2015-12-31 | Siemens Aktiengesellschaft | Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs |
| US9871819B2 (en) * | 2014-11-13 | 2018-01-16 | General Electric Company | Zone-based security architecture for intra-vehicular wireless communication |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
| CN105791071B (zh) * | 2016-02-23 | 2017-06-16 | 中车青岛四方车辆研究所有限公司 | 一种列车控制、服务共网的宽带通信网络架构及通信方法 |
| CN107846716B (zh) * | 2016-09-20 | 2020-10-20 | 卡斯柯信号有限公司 | 一种优化轨道交通信号系统高速wifi传输性能的方法 |
| DE102016223481A1 (de) * | 2016-11-25 | 2018-05-30 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Eisenbahnsystems sowie Fahrzeug eines Eisenbahnsystems |
| CN109664923B (zh) * | 2017-10-17 | 2021-03-12 | 交控科技股份有限公司 | 基于车车通信的城市轨道交通列控系统 |
| CN108809967B (zh) * | 2018-05-28 | 2021-05-18 | 北京交通大学 | 轨道交通信号系统信息安全风险监测方法 |
| CN109703605B (zh) * | 2018-12-25 | 2021-03-12 | 交控科技股份有限公司 | 一种基于微服务的ats系统 |
| WO2021084888A1 (ja) * | 2019-10-31 | 2021-05-06 | 株式会社日立製作所 | 信号保安システム |
| CN112901010B (zh) * | 2021-03-17 | 2022-09-20 | 南京康尼电子科技有限公司 | 一种列车车门控制网络通讯系统 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2693907B2 (ja) * | 1993-12-27 | 1997-12-24 | 日本電気株式会社 | スタティック・ルーティング方式 |
| FR2773424B1 (fr) | 1998-01-06 | 2000-02-04 | Alsthom Cge Alcatel | Procede de securisation d'une communication entre deux mobiles et emetteur associe |
| CA2263031A1 (en) | 1999-02-26 | 2000-08-26 | Kasten Chase Applied Research Limited | Communications based train control |
| US7882247B2 (en) | 1999-06-11 | 2011-02-01 | Netmotion Wireless, Inc. | Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments |
| US6996630B1 (en) | 1999-06-18 | 2006-02-07 | Mitsubishi Denki Kabushiki Kaisha | Integrated network system |
| US6496702B1 (en) | 1999-08-06 | 2002-12-17 | Genesys Telecommunications Laboratories, Inc. | Method and apparatus for providing enhanced communication capability for mobile devices on a virtual private network (VPN) |
| US7929978B2 (en) | 1999-12-01 | 2011-04-19 | Genesys Telecommunications Laboratories, Inc. | Method and apparatus for providing enhanced communication capability for mobile devices on a virtual private network |
| FI113127B (fi) | 2002-06-28 | 2004-02-27 | Ssh Comm Security Corp | Yleislähetyspakettien välittäminen turvallisissa tietokoneiden välisissä tietoliikenneyhteyksissä |
| US20060259438A1 (en) | 2002-10-25 | 2006-11-16 | Randle William M | Secure multi function network for point of sale transactions |
| US7860978B2 (en) | 2004-01-22 | 2010-12-28 | Toshiba America Research, Inc. | Establishing a secure tunnel to access router |
| JP2008505512A (ja) * | 2004-04-12 | 2008-02-21 | エックスディエス・インコーポレイテッド | ファイアウォールを有するサーバとファイアウォールを有するクライアントとの間の安全なインターネット接続を自動的に起動し動的に確立するためのシステムおよび方法 |
| US7792072B2 (en) | 2004-12-13 | 2010-09-07 | Nokia Inc. | Methods and systems for connecting mobile nodes to private networks |
| JP4680068B2 (ja) | 2006-01-05 | 2011-05-11 | 富士通株式会社 | 通信制御方法、ネットワーク及びネットワーク機器 |
| CN100499548C (zh) * | 2006-01-20 | 2009-06-10 | 华为技术有限公司 | 一种无线局域网中隧道建立方法及系统 |
| US20070266236A1 (en) | 2006-05-09 | 2007-11-15 | Colditz Nathan Von | Secure network and method of operation |
| US20090265767A1 (en) | 2006-08-30 | 2009-10-22 | Johan Rune | Methods and arrangements for prefix management in moving networks |
| GB0623101D0 (en) | 2006-11-20 | 2006-12-27 | British Telecomm | Secure network architecture |
| US20080189144A1 (en) | 2007-02-02 | 2008-08-07 | Mach 9 Travel, Llc | System and Method of Providing Travel-related Tools for Use with Transportation Services |
| US7731129B2 (en) * | 2007-06-25 | 2010-06-08 | General Electric Company | Methods and systems for variable rate communication timeout |
| US20090248463A1 (en) | 2008-03-31 | 2009-10-01 | Emmanuel Piochon | Managing Consistent Interfaces For Trading Business Objects Across Heterogeneous Systems |
| EP2311233A1 (en) | 2008-05-21 | 2011-04-20 | Uniloc Usa, Inc. | Device and method for secured communication |
| US20100325424A1 (en) | 2009-06-19 | 2010-12-23 | Etchegoyen Craig S | System and Method for Secured Communications |
| CA2680599A1 (en) * | 2009-10-16 | 2009-12-23 | Ibm Canada Limited - Ibm Canada Limitee | A method and system for automatically configuring an ipsec-based virtual private network |
| CN101730268B (zh) * | 2009-11-27 | 2012-09-05 | 中国电信股份有限公司 | Femto网关、移动终端访问网络资源的方法及系统 |
| CN102118813B (zh) * | 2011-01-21 | 2013-11-06 | 西安理工大学 | 一种基于ap切换的列车通信系统及通信方法 |
| US8776207B2 (en) * | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
| US8668169B2 (en) * | 2011-04-01 | 2014-03-11 | Siemens Rail Automation Corporation | Communications based crossing control for locomotive-centric systems |
-
2013
- 2013-03-15 US US13/837,012 patent/US9166952B2/en active Active
- 2013-10-11 EP EP13847154.5A patent/EP2907274B1/en not_active Not-in-force
- 2013-10-11 CA CA2888175A patent/CA2888175C/en not_active Expired - Fee Related
- 2013-10-11 WO PCT/IB2013/002289 patent/WO2014060821A1/en active Application Filing
- 2013-10-11 KR KR1020157007414A patent/KR101604334B1/ko active IP Right Grant
- 2013-10-11 CN CN201380053675.6A patent/CN104718726A/zh active Pending
- 2013-10-11 JP JP2015536231A patent/JP5894713B2/ja not_active Expired - Fee Related
- 2013-10-11 BR BR112015008227A patent/BR112015008227A2/pt not_active IP Right Cessation
-
2015
- 2015-11-27 HK HK15111691.2A patent/HK1210886A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016503595A (ja) | 2016-02-04 |
| EP2907274A4 (en) | 2017-01-04 |
| CA2888175A1 (en) | 2014-04-24 |
| US20140109214A1 (en) | 2014-04-17 |
| KR101604334B1 (ko) | 2016-03-17 |
| KR20150084769A (ko) | 2015-07-22 |
| CN104718726A (zh) | 2015-06-17 |
| CA2888175C (en) | 2017-07-18 |
| HK1210886A1 (en) | 2016-05-06 |
| EP2907274A1 (en) | 2015-08-19 |
| BR112015008227A2 (pt) | 2017-07-04 |
| US9166952B2 (en) | 2015-10-20 |
| WO2014060821A1 (en) | 2014-04-24 |
| EP2907274B1 (en) | 2018-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5894713B2 (ja) | セキュリティデバイスバンク、およびセキュリティデバイスバンクを含むシステム | |
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
| US11134064B2 (en) | Network guard unit for industrial embedded system and guard method | |
| JP6126980B2 (ja) | ネットワーク装置およびネットワークシステム | |
| US20180063079A1 (en) | Secure Tunnels for the Internet of Things | |
| CN107251511B (zh) | 一种车辆通信的方法和系统 | |
| US20130110328A1 (en) | Control network for a rail vehicle | |
| CN108040058A (zh) | 一种列车监控装置数据无线换装的安全防护系统和方法 | |
| CN106506354B (zh) | 一种报文传输方法和装置 | |
| JP2016503595A5 (ja) | ||
| EP3861690B1 (en) | Securing mpls network traffic | |
| RU2561885C2 (ru) | Способ и устройство для управляющей коммуникации между сцепленными частями железнодорожного состава | |
| JP2013205604A (ja) | 通信装置および鍵管理方法 | |
| CN113619652A (zh) | 一种信息安全防护方法及装置 | |
| CN102970277B (zh) | 一种多源安全关联建立方法及系统 | |
| CN103621043B (zh) | 用于监视vpn隧道的方法和装置 | |
| US11533617B2 (en) | Secure link aggregation | |
| CN103763131A (zh) | 一种实现网关设备中安全控制台备份的方法 | |
| JP5826910B2 (ja) | 通信装置および鍵管理方法 | |
| Small | Patterns in network security: An analysis of architectural complexity in securing recursive inter-network architecture networks | |
| KR102287052B1 (ko) | 플러그 앤 플레이를 지원하는 멀티캐스트 그룹 기반 열차주행제어시스템 보안 장치 | |
| Ellis | Security As a Service for Rail Applications | |
| JP2014171078A (ja) | ネットワーク認証システム、ネットワーク認証装置、ネットワーク認証方法、及びネットワーク認証プログラムネットワーク認証装置の負荷分散方法 | |
| CN117336038A (zh) | 一种广域网数据旁路加密传输方法、设备及介质 | |
| Francisco | VPN solution benchmarking for endpoints under fast network mobility |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151224 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151224 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20151224 |
|
| TRDD | Decision of grant or rejection written | ||
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20160120 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5894713 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |