JP6168898B2 - Wireless level crossing warning system - Google Patents
Wireless level crossing warning system Download PDFInfo
- Publication number
- JP6168898B2 JP6168898B2 JP2013158517A JP2013158517A JP6168898B2 JP 6168898 B2 JP6168898 B2 JP 6168898B2 JP 2013158517 A JP2013158517 A JP 2013158517A JP 2013158517 A JP2013158517 A JP 2013158517A JP 6168898 B2 JP6168898 B2 JP 6168898B2
- Authority
- JP
- Japan
- Prior art keywords
- ground device
- key
- wireless transmission
- level crossing
- ground
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Train Traffic Observation, Control, And Security (AREA)
Description
この発明は、鉄道の軌道を横切る踏切(踏切道)に設置された踏切警報機の警報出力を制御する踏切警報システムに関し、詳しくは、システムを構成する車上装置と地上装置とが無線にて情報を遣り取りする無線式踏切警報システムに関し、更に詳しくは、無線伝送の暗号化と踏切警報制御への再生攻撃に対する防御策とに関する。 The present invention relates to a railroad crossing warning system that controls the warning output of a railroad crossing alarm installed on a railroad crossing (railroad crossing) that traverses a railroad track. Specifically, an on-board device and a ground device constituting the system are wirelessly connected. The present invention relates to a wireless level crossing warning system for exchanging information, and more particularly to encryption of wireless transmission and a defense against replay attacks on level crossing warning control.
地方交通線などに多い単線の鉄道に対して適用するのに好都合な無線式踏切警報システムが開発されている(例えば特許文献1〜5参照)。この無線式踏切警報システムは、軌道を走行する列車に搭載されて列車位置を含む踏切制御用の車上情報を無線で伝送する車上装置と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置とを具備したものであり、列車の運転方向や,位置,速度,列車長といった車上情報が車上装置から無線で送信されるとともに、交信可能なところまで接近した列車から地上装置が無線で車上情報を受信すると、その車上情報に基づいて地上装置設置先の踏切に係る警報制御が地上装置によって行われるようになっている。 Wireless level crossing warning systems that are convenient to be applied to single-line railways that are often used in local traffic lines have been developed (see, for example, Patent Documents 1 to 5). This wireless railroad crossing warning system is mounted on a train traveling on a track and wirelessly transmits onboard information for crossing control including train position, and onboard device provided along the track. It is equipped with a ground device that performs railroad crossing control based on information obtained by wireless transmission, and on-board information such as the driving direction of the train, position, speed, and train length is transmitted wirelessly from the on-board device. At the same time, when the ground device receives on-board information wirelessly from a train approaching to a place where communication is possible, alarm control related to the level crossing of the ground device is performed by the ground device based on the on-board information. ing.
また、移動する鉄道用車両などのGPS電波遮断物体を検出するGPS電波遮断物体検出システムが知られている(例えば特許文献6参照)。このシステムでは、衛星航法システム(Global Positioning System)用のGPS(Global Positioning Satellite)衛星から送られてくるGPS電波を利用してGPS電波遮断物体の有無検出が行われる。
GPS電波には時刻情報や位置情報が含まれているので、本システム具現化以前は位置測定に用いられ物体の検出には用いられていなかったが、本システムでは、GPSの利用態様を工夫して、鉄道用車両の去来などを検出するようになっている。
Also, a GPS radio wave blocking object detection system that detects GPS radio wave blocking objects such as moving railway vehicles is known (see, for example, Patent Document 6). In this system, the presence / absence of a GPS radio wave blocking object is detected using a GPS radio wave transmitted from a GPS (Global Positioning Satellite) satellite for a satellite positioning system (Global Positioning System).
Since GPS radio waves contain time information and position information, they were used for position measurement and not used for object detection prior to the implementation of this system. In this system, however, the GPS usage mode was devised. Thus, the arrival and departure of railway vehicles is detected.
さらに、鉄道の踏切制御に関して、踏切しゃ断機の遮断桿昇降制御に係る設定指示を暗号化赤外線通信で送受信することが知られている(例えば特許文献7参照)。
また、暗号化に関して、総ての鍵の秘匿が必要であるが暗号鍵と復号鍵とが同じで済むので高速処理が可能な共通鍵暗号方式や、暗号鍵と復号鍵とが異なるので処理の負担は重いが相手方の鍵を公開することができる公開鍵暗号方式が知られている。
共通鍵暗号方式で現在のところ解読不可能とされる暗号規格として、アメリカ合衆国で規格化されたAES(Advanced Encryption Standard)が知られている。
Furthermore, regarding railroad crossing control, it is known to transmit and receive a setting instruction related to breaker lifting / lowering control of a railroad crossing breaker by encrypted infrared communication (see, for example, Patent Document 7).
For encryption, all keys must be concealed, but the encryption key and the decryption key are the same, so the common key cryptosystem that can perform high-speed processing, and the encryption key and decryption key are different. There is a public key cryptosystem that can make the other party's key public, though it is heavy.
AES (Advanced Encryption Standard) standardized in the United States is known as an encryption standard that cannot be decrypted at present by the common key encryption method.
解読不可能な暗号を用いれば内容が漏洩する可能性がなく内容を改ざんされる可能性も無くてなりすまし(Masquerade)攻撃で被害を受ける心配は無いが、暗号解読無しでも通信を妨害しうる手法として、いわゆる再生攻撃(replay attack)が知られている。再生攻撃は、攻撃者が通信路において通信伝文を傍受し、後にその通信伝文を再投入することで、その通信伝文を現在新規に発生した通信伝文として受信端末に再び受け入れさせる攻撃であり、通信伝文が正規データのコピーなので復号や認証では防御できない(例えば特許文献8参照)。そして、このような再生攻撃を防ぐための代表的な方法として、カウンター値(管理通番)を利用する方法と、時刻情報を利用する方法と、チャレンジレスポンスを利用する方法の3つがあることも知られている(例えば特許文献8参照)。 If undecryptable encryption is used, there is no possibility of contents being leaked and there is no possibility of being tampered with, so there is no worry of being damaged by a masquerade attack, but a technique that can disrupt communication without decryption The so-called replay attack is known. A replay attack is an attack in which an attacker intercepts a communication message on a communication path and later re-injects the communication message, thereby allowing the receiving terminal to accept the communication message as a newly generated communication message. Since the communication message is a copy of regular data, it cannot be protected by decryption or authentication (see, for example, Patent Document 8). It is also known that there are three typical methods for preventing such replay attacks: a method using a counter value (management serial number), a method using time information, and a method using challenge response. (See, for example, Patent Document 8).
何れの方法も、データの新規性を確認することにより、再生攻撃を防ぐものであるが、カウンター値を利用する方法では、送信端末と受信端末が共に、通信相手に関連づけられたカウンター値を管理することで、データの新規性を確認する。
また、時刻情報を利用する方法では、送信端末と受信端末が時刻を同期させることと、送受信の時間差が所定時間内に収まっていることで、データの新規性を確認する。
さらに、チャレンジレスポンスを利用する方法では、送信端末が受信端末にデータを送信するに際して、受信端末から受け取っているチヤレンジ情報をデータに反映することで、データの新規性を確認する。
Both methods prevent data replay attacks by checking the novelty of the data, but in the method using the counter value, both the transmitting terminal and the receiving terminal manage the counter value associated with the communication partner. To confirm the novelty of the data.
In the method using time information, the novelty of the data is confirmed by synchronizing the time between the transmitting terminal and the receiving terminal and keeping the transmission / reception time difference within a predetermined time.
Further, in the method using the challenge response, when the transmitting terminal transmits data to the receiving terminal, the novelty of the data is confirmed by reflecting the challenge information received from the receiving terminal in the data.
具体的には、装置がスリープ状態からの起動後にチャレンジレスポンスを利用して通信伝文の新規性を確認する方法や(例えば特許文献8参照)、携帯情報端末側において公開鍵暗号を用いた暗号化や署名等の処理を行うことなくやり取りされる文書を認証する方法が(例えば特許文献9参照)、知られている。
その他、暗号化や復号に用いる鍵を切り替える暗号強化策も知られており、具体的には、時間替り鍵や,日替り鍵,週替り鍵などが挙げられる(例えば特許文献10参照)。
Specifically, a method for confirming the novelty of a communication message using a challenge response after the device is activated from the sleep state (see, for example, Patent Document 8), or encryption using public key encryption on the portable information terminal side A method of authenticating a document exchanged without performing processing such as digitization or signature (see, for example, Patent Document 9) is known.
In addition, encryption strengthening measures for switching keys used for encryption and decryption are also known, and specific examples include a time key, a daily key, a weekly key, and the like (see, for example, Patent Document 10).
このような技術状況の下、本発明の対象である無線式踏切警報システムも、無線がオープン伝送システムなので、なりすまし対策としては上述のAESかそれに準じた解読不可能な暗号を使用すれば良いと考えられるが、再生攻撃対策も必要である。すなわち、鉄道の踏切制御では、踏切警報始動点への列車進入に応じて踏切警報の出力を開始させ、踏切警報終止点か踏切道からの列車進出に応じて踏切警報の出力を停止させるところ、踏切警報出力開始条件を満たす車上情報の通信伝文をコピーした偽伝文を送りつける再生攻撃が行われると、実際には列車が来ていないにも関わらず地上装置が偽伝文に騙されて踏切警報を開始させるが、踏切警報を停止させる有効かつ実用的な切っ掛けが実列車の進出であるため、踏切が警報持続となり、道路側通行を長時間支障するおそれがあるからである。 Under such a technical situation, the radio level crossing warning system that is the subject of the present invention is also an open transmission system, and therefore, as a countermeasure against impersonation, the above-described AES or an unbreakable encryption equivalent thereto may be used. Although it can be considered, replay attack countermeasures are also necessary. In other words, in railroad crossing control, the output of a level crossing alarm is started in response to the entry of a train to the railroad crossing warning start point, and the level crossing alarm output is stopped in response to a train crossing from a railroad crossing alarm end point or a railroad crossing road. When a replay attack is performed that sends a fake message that is a copy of the on-board information communication message that satisfies the level-crossing warning output start condition, the ground device becomes a fake message even though the train is not actually coming. This is because the railroad crossing warning is started, but the effective and practical way of stopping the railroad crossing warning is the advancement of the actual train, so that the railroad crossing becomes a warning and there is a possibility that the road side traffic may be disturbed for a long time.
そのため、本願発明の無線式踏切警報システムでも、再生攻撃対策として、既述した3方法のうち、地上装置に比較的利用しやすいと思われる時刻情報利用方法を採用することが考えられる。すなわち、無線式踏切警報システムの地上装置は、各踏切に付設されて広い範囲に点在するので、それぞれの地上装置に組み込まれている時計について時刻合わせを中央の集中監視装置等で自動で行うには高価な設備が必要で不都合であり、また、調整担当者が渡り歩いて一つずつ調整するのは能率が悪く作業負担も重いのでやはり不都合なため、GPS受信器を各地上装置に付設するのが良いと思われるところ、そのようなGPS利用によって正確になった時刻を再生攻撃対策にも利用するのが、簡便であって、システムの低廉化にも資すると言えるからである。 Therefore, in the wireless level crossing warning system of the present invention, it is conceivable to employ a time information utilization method that is considered to be relatively easy to use for ground devices among the three methods described above as a countermeasure against replay attacks. In other words, the ground devices of the wireless level crossing warning system are attached to each level crossing and are scattered over a wide range. Therefore, time adjustment is automatically performed with a centralized monitoring device or the like for the clock incorporated in each ground device. In addition, expensive equipment is necessary and inconvenient, and it is also inconvenient for the adjustment staff to walk and adjust one by one because it is inefficient and heavy work burden, so a GPS receiver is attached to each ground device This is because it can be said that it is easy to use the time that has become accurate by using such GPS for replay attack countermeasures, and it also contributes to a reduction in the cost of the system.
ところで、既述したように時刻情報利用の再生攻撃対策ではデータ新規性確認に送信端末と受信端末との時刻同期が必要なので、無線式踏切警報システムで時刻情報利用の再生攻撃対策を導入するには、踏切付設の地上装置と、その交信可能範囲内の車上装置とで、時刻を同期させることが必要になる。そして、そのような時刻同期には、総ての車上装置にまでGPS受信器を装備させるのはコストが嵩むため避けて、時刻情報を通信伝文に含ませて地上装置から車上装置へ通知するのが実用的である。多くのGPS受信器から得られる時刻情報には、年月日時分秒が含まれているので、そのような長期に渡る時刻情報を地上装置から車上装置に送ることで、必要な時刻同期が採れ、再生攻撃を阻止できる。 By the way, as described above, since the time synchronization between the transmitting terminal and the receiving terminal is necessary for the data novelty confirmation in the countermeasure against the replay attack using the time information, the replay attack countermeasure utilizing the time information is introduced in the wireless level crossing warning system. Therefore, it is necessary to synchronize the time between the ground device provided with the railroad crossing and the on-vehicle device within the communicable range. For such time synchronization, avoid installing GPS receivers on all on-board devices because of the increased cost, and include time information in the communication message from the ground device to the on-board device. It is practical to notify. Since time information obtained from many GPS receivers includes year, month, day, hour, minute, and second, the required time synchronization can be achieved by sending such long-term time information from the ground device to the on-board device. It can be used to prevent replay attacks.
しかしながら、年月日時分秒を表すデータには、年を63年以下に絞ってもそれぞれに7,4,5,5,6,6ビットが必要であり、合計で33ビットが必要であり、年月日時分秒をそれぞれに分けないで総秒数で表すとしても同程度のビット数が必要であり、これだけのビット数のデータを通信伝文に追加するのは無線式踏切警報システムにとっては負担が重すぎる。すなわち、無線式踏切警報システムでは、通信伝文の衝突(Collision)を避けるのに比較的簡便な時分割多元接続(時分割多重方式,TDMA,Time Division Multiple Access)を採用しているが、この接続方式下で各無線局に割り当てられた通信スロット(固定タイムスロット)が既に必要な伝送データで満杯に近づいているため、将来の拡張への備えも考慮すると、時刻情報に使えるデータ量にはあまり余裕が無いのである。 However, data representing year / month / day / hour / minute / second requires 7 bits, 4, 5, 5, 6, 6 bits for each year even if the year is reduced to 63 years or less, and 33 bits in total. Even if the year, month, day, hour, minute, and second are not separated into each other and expressed as a total number of seconds, the same number of bits are required, and it is difficult for a wireless level crossing warning system to add data of this number of bits to a communication message. The burden is too heavy. In other words, the radio level crossing warning system employs time division multiple access (TDMA, Time Division Multiple Access), which is relatively simple to avoid collision of communication messages. The communication slot (fixed time slot) allocated to each radio station under the connection method is already full of necessary transmission data. Therefore, considering the preparation for future expansion, the amount of data that can be used for time information is There is not much room.
つまり、GPS受信器を装備した地上装置とGPS受信器を装備しない車上装置とが無線で交信する無線式踏切警報システムで、踏切警報の出力を開始させようとする再生攻撃に対して防御を図るには、時刻情報利用方法が有効かつ実用的であるが、時刻同期を採るために地上装置から車上装置へ送信する時刻情報について、ビット数を出来るだけ少なくしてデータ長を極力短くすることが望まれる。
そこで、通信伝文に含める時刻情報のビット数がGPS受信器のものより少なくても的確に時刻同期が採れて、踏切警報の出力を開始させようとする再生攻撃に対する防御機能を発揮しうる無線式踏切警報システムを実現することが重要な技術課題となる。
In other words, a wireless level crossing warning system in which a ground device equipped with a GPS receiver and an on-board device not equipped with a GPS receiver communicate wirelessly protects against replay attacks that attempt to start the output of a level crossing warning. To achieve this, the time information utilization method is effective and practical, but for the time information transmitted from the ground device to the on-board device in order to achieve time synchronization, the number of bits is reduced as much as possible to shorten the data length as much as possible. It is desirable.
Therefore, even when the number of bits of time information included in the communication message is less than that of the GPS receiver, time synchronization can be accurately achieved and a wireless function that can exert a defense function against a replay attack that attempts to start the output of a level crossing alarm An important technical issue is the realization of a type crossing warning system.
本発明の無線式踏切警報システムは(解決手段1)、このような課題を解決するために創案されたものであり、軌道を走行する列車に搭載されて列車位置を含む車上情報を無線で伝送する車上装置と、前記軌道に沿って設けられ前記車上装置との無線伝送にて得た情報に基づいて踏切制御を行う地上装置とを具備した無線式踏切警報システムにおいて、前記地上装置が、年月日時分秒を含む時刻情報をGPS受信器から取得して前記時刻情報のうち時分秒の情報を前記車上装置との無線伝送に含めるとともに、前記車上装置との無線伝送を日替り鍵にて暗号化するようになっており、前記車上装置が、前記地上装置との無線伝送にて得た時分秒の情報に基づいて時計合わせした後の時分秒の情報を前記地上装置との無線伝送に含めるとともに、前記地上装置との無線伝送を日替り鍵にて暗号化するようになっていることを特徴とする。 The wireless railroad crossing warning system of the present invention (Solution 1) was created to solve such a problem, and is mounted on a train traveling on a track and wirelessly transmits on-board information including the train position. In the radio level crossing warning system, comprising: an on-vehicle device for transmission; and a ground device that is provided along the track and that performs crossing control based on information obtained by wireless transmission with the on-vehicle device. However, the time information including the year, month, day, hour, minute, and second is acquired from the GPS receiver, and the hour / minute / second information of the time information is included in the wireless transmission with the on-vehicle device, and the wireless transmission with the on-vehicle device is performed. Hour / minute / second information after the clock has been set based on the hour / minute / second information obtained by wireless transmission with the ground device. Included in the wireless transmission with the ground device Characterized in that it adapted to encrypt the radio transmission between the ground device at day instead key.
また、本発明の無線式踏切警報システムは(解決手段2)、上記解決手段1の無線式踏切警報システムであって、前記車上装置が、前記地上装置との無線伝送に係る暗号化を、前記地上装置から最初の返信が得られるまでは固定の共通鍵にて行い、その後は日替り鍵にて行うようになっており、前記地上装置が、前記車上装置との無線伝送に係る暗号化を最初の返信では固定の共通鍵にて行いその後は日替り鍵にて行うとともに、前記踏切制御を行うに際して踏切警報出力開始条件の充足に応じた踏切警報の出力の開始を固定の共通鍵の使用中は控えて日替り鍵の使用開始後に行うようになっていることを特徴とする。 Further, the wireless level crossing warning system of the present invention (Solution means 2) is the wireless level crossing warning system of the above solution means 1, wherein the on-board device performs encryption related to wireless transmission with the ground device, Until the first reply is obtained from the ground device, the fixed common key is used, and thereafter, the daily key is used. The ground device encrypts the wireless transmission with the on-board device. In the first reply, the fixed common key is used, and then the daily key is used.In addition, when the crossing control is performed, the start of the level crossing alarm output corresponding to the satisfaction of the condition for starting the level crossing alarm is started. It is characterized in that it is performed after the start of use of the daily key, while using the key.
このような本発明の無線式踏切警報システムにあっては(解決手段1)、車上装置の時計の時刻がずれても地上装置との無線伝送にて得た時刻情報に基づく時計合わせによって時分秒については直截的手法で時刻同期を採ることができる。また、年月日については、日替り鍵を一致させる間接的な手法で実質的に時刻同期を採ったと同等の効果を得ることができる。例えば、日替り鍵を通信伝文等で指定して日替り鍵を一致させることで実質的に年月日まで同期させることができる。あるいは、車上装置の時計の時刻がづれても日単位で違ってくることまでは通常起こり得ないことに基づいて時計合わせ時に時間差が一日近く大きいときには日付更新も行う等のことで、年月日時分秒の時刻同期が採れる。 In such a wireless railroad crossing warning system of the present invention (Solution 1), even if the time of the clock of the on-board device is deviated, the time is adjusted by the time adjustment based on the time information obtained by wireless transmission with the ground device. For minutes and seconds, time synchronization can be achieved by a straightforward method. In addition, with regard to the date, it is possible to obtain the same effect as when the time synchronization is substantially achieved by the indirect method of matching the daily key. For example, it is possible to substantially synchronize to the date by specifying the daily key in a communication message and matching the daily key. Or, even if the time of the clock on the on-board device is changed, it is usually impossible to change the time on a daily basis. Time synchronization of date / time / minute / second is possible.
そして、時分秒の時刻情報を利用する再生攻撃対策にて一日内の再生攻撃を的確にかわすとともに、日替り鍵を用いた暗号化にて他日の再生攻撃までかわすようにしたことにより、踏切警報の出力を開始させようとする再生攻撃に対する防御能力が、年月日時分秒の総てを含む時刻情報を利用する再生攻撃対策の防御能力に匹敵するレベルまで高まる。
したがって、この発明によれば、通信伝文に含める時刻情報のビット数がGPS受信器のものより少なくても的確に時刻同期が採れて、踏切警報の出力を開始させようとする再生攻撃に対する防御機能を発揮しうる無線式踏切警報システムを実現することができる。
And by replaying replay attacks within one day with replay attack countermeasures using time information of hour, minute, second, and by reciprocating with other days replay attacks with encryption using daily key, The defense capability against a replay attack that attempts to start the output of a level crossing warning is increased to a level comparable to the defense capability of a replay attack measure that uses time information including all of the year, month, day, hour, minute, and second.
Therefore, according to the present invention, even if the number of bits of the time information included in the communication message is smaller than that of the GPS receiver, the time synchronization is accurately taken, and the defense against the replay attack that tries to start the output of the level crossing alarm. A wireless railroad crossing warning system that can perform its functions can be realized.
また、本発明の無線式踏切警報システムにあっては(解決手段2)、時刻同期が採れる前に行われる無線伝送の遣り取りは時刻同期を必要としない固定の共通鍵にて暗号化され、時刻同期を前提とした時刻情報利用の再生攻撃対策および時刻情報データ軽量化のための日替り鍵による暗号化は、固定の共通鍵を用いた最初の交信によって時刻同期が採れた後から行われるようにしたことにより、再生攻撃対策付き暗号を用いる車上装置と地上装置との交信が的確に開始されるが、悪天候下の電波状況悪化などによってたまたま踏切警報始動点への列車進入前に交信可能になれなかった不運な状況下で、固定の共通鍵にて暗号化された最初の通信伝文が再生攻撃に使用されるという希有な場合でも、そのような通信伝文については地上装置が踏切警報の出力の開始を控えるようになっているため、踏切警報の出力を開始させようとする再生攻撃を的確にかわすことができる。 In the wireless level crossing warning system according to the present invention (solution 2), transmission of wireless transmission performed before time synchronization is established is encrypted with a fixed common key that does not require time synchronization. Countermeasures against replay attacks using time information based on the assumption of synchronization and encryption using a daily key to reduce the weight of time information data will be performed after time synchronization is achieved by initial communication using a fixed common key. As a result, communication between the on-board device and the ground device using encryption with replay attack countermeasures can be started accurately, but it is possible to communicate before the train enters the railroad crossing warning starting point by chance due to worsening radio wave conditions under bad weather conditions, etc. Even in the rare case that the first communication message encrypted with a fixed common key is used for a replay attack in an unfortunate situation that could not be achieved, the ground device would step on such communication message. Because that is adapted to refrain from the start of the alarm output, it is possible to dodge accurately replay attacks to try to start the output of railway crossing warning.
このような本発明の無線式踏切警報システムについて、これを実施するための具体的な形態を、以下の実施例1により説明する。
図1に示した実施例1は、上述した解決手段1〜2(出願当初の請求項1〜2)を総て具現化したものである。
A specific embodiment for implementing such a radio level crossing warning system of the present invention will be described with reference to Example 1 below.
The first embodiment shown in FIG. 1 embodies all the above-described solving means 1 and 2 (claims 1 and 2 at the beginning of the application).
本発明の無線式踏切警報システムの実施例1について、その構成を、図面を引用して説明する。図1(a)は、無線式踏切警報システム20+30の概要構成を記号やブロックで示した図である。
The configuration of the wireless railroad crossing warning system according to the first embodiment of the present invention will be described with reference to the drawings. FIG. 1A is a diagram showing a schematic configuration of the radio level
この無線式踏切警報システム20+30は(例えば特許文献1〜5参照)、鉄道の軌道11を走行する列車10に搭載されて移動する車上装置20と、軌道11の踏切12の近くに固定的に設置される地上装置30とを具えている。地上装置30は、踏切12の警報機13に係る踏切制御を行うものであり、少なくとも踏切警報の出力を開始させることと踏切警報の出力を停止させることとを行うようになっている。ここでは、踏切制御における他の機能たとえば遮断桿の昇降制御などに関する説明を割愛する。
This radio level
踏切制御では軌道11に対し踏切12の両側に分かれて踏切警報始動点ADCと踏切警報終止点BDCとが設定されるが、各点に踏切制御子を設置しなくても踏切制御が行えるように、車上装置20と地上装置30とが無線伝送にて交信するものとなっている(踏切制御子は省略可能なので細い一点鎖線で図示した)。
車上装置20が列車10に具えられるとともに、地上装置30が踏切12に具えられるが、車上装置20が列車10の去来に伴って地上装置30の交信可能範囲を出入りすることから、交信可能になった車上装置20と地上装置30とによって動的に協動状態のシステムが確立されるようになっている。
In the level crossing control, the level crossing alarm start point ADC and the level crossing alarm end point BDC are set separately on both sides of the
While the on-
そのため、車上装置20は、搭載先の列車10の位置を検出したり列車停止制御を行う演算制御手段に加えて無線機21も具備しており、列車位置を含む車上情報を無線で伝送するようになっている。また、地上装置30は、軌道11に沿って設けられて具体的には軌道11に設置された幾つかの踏切12に対して踏切毎に設けられて設置先の踏切12の警報機13に対する踏切制御を協動状態の即ち交信可能な車上装置20から無線伝送にて取得した車上情報に基づいて行うものであり、そのために、踏切制御手段に加えて踏切制御状態を無線で伝送する手段も具備している。ここでは、無線機31を具備したベーシックな構成の地上装置30を図示したが、近くの他の地上装置の無線機31を利用して車上装置20との無線伝送を行うようになっていても良い(例えば特許文献2参照)。
For this reason, the on-
以上の構成部分は、公知システム(例えば特許文献1〜5参照)の共通部分・基礎的部分を踏襲したものなので、本発明の実施の前提となる事項について簡潔に述べるにとどめ、以下、本発明の無線式踏切警報システム20+30の特徴的な構成部分を説明する。
本発明の特徴は、要するに、無線伝送を暗号化したうえで再生攻撃対策として時刻情報利用方法を採用したこと、そのために正確な時刻を地上装置がGPS受信器から取得すること、その時刻情報に含まれる年月日時分秒のうち時分秒の部分を地上装置から車上装置に無線で送ること、暗号鍵として固定の共通鍵と日替り鍵とを使い分けることである。最初の交信では固定の共通鍵を用い、その後の交信では日替り鍵を用いるのである。
Since the above components follow the common parts and basic parts of known systems (for example, see Patent Documents 1 to 5), only the matters that are the premise for carrying out the present invention will be described briefly. Characteristic components of the wireless railroad
In short, the feature of the present invention is that the wireless communication is encrypted and the time information utilization method is adopted as a countermeasure against the replay attack. For this purpose, the ground device acquires the accurate time from the GPS receiver. Of the year / month / day / hour / minute / second contained, the hour / minute / second portion is transmitted from the ground device to the on-board device wirelessly, and a fixed common key and a daily key are used separately as encryption keys. A fixed common key is used for the first communication, and a daily key is used for the subsequent communication.
固定の共通鍵は、予め選定された一つの暗号鍵であって、どの車上装置20にも地上装置30にも登録されていて、使用時には何時も同じ値が用いられるものである。
日替り鍵は、予め選定された幾つかの候補からなる複数の暗号鍵であって、どの車上装置20にも地上装置30にも登録されていて、使用時には年月日に応じて適宜な一つが選出されて使用に供されるので、日毎に値が切り替わるものである。あるいは、年月日に基づいて異なる値が算出される暗号鍵であって、どの車上装置20にも地上装置30にも同じ算出手段が具わっていて、使用時には年月日に応じて適宜な一つが算出されて使用に供されるので、やはり日毎に値が切り替わる。この実施例では、地上装置30が最初の返信に先立ち複数の候補鍵の中から使用する暗号鍵を日替り鍵に選定してその指定コードを車上装置20に通知することで、日替り鍵を一致させるようになっているものとする。
The fixed common key is a pre-selected encryption key, which is registered in any on-
The daily key is a plurality of encryption keys consisting of several candidates selected in advance, and is registered in any on-
そのような無線伝送を行うために、地上装置30は、年月日時分秒を含む時刻情報を、GPS受信器32から、随時、取得するようになっている。
なお、GPS受信器32は、従来から使用されている市販の汎用品で良く、必要な時刻情報を取得できれば、図示のような専用装備に限らず、近くの別の地上装置30や他の地上設備と兼用しても良く、他の装置等を介して間接的に時刻情報を取得するようになっていても良い。
In order to perform such wireless transmission, the
The
また、地上装置30は、GPS受信器32から取得した時刻情報のうち時分秒の情報と、その時刻情報のうちの年月日に応じて選出した日替り鍵の指定コードとを、踏切制御状態の情報などと共に、車上装置20向けの伝文に含めるようになっている。日替り鍵そのものを送信するのでなく、一つの候補を特定する指定コードを送信するので、指定コードに使用するビット数は、年月日のビット数より、少なくて済む。
さらに、地上装置30は、その伝文を暗号化してから無線機31にて送信することで車上装置20との無線伝送に供するようになっているが、その暗号化に際しては、車上装置20と交信可能になってから最初の返信についてだけ固定の共通鍵を用いて伝文を暗号化し、その後の伝文については日替り鍵を用いて暗号化するようになっている。
Further, the
Further, the
また、地上装置30は、設置先の踏切12に係る踏切制御を行うに際して、車上装置20から無線伝送にて取得した列車10の位置が踏切警報始動点ADCより踏切12に近ければ踏切警報出力開始条件が充足されたとして警報機13に踏切警報の出力を開始させるのが基本であるが、時刻同期をとる前の最初の交信をコピーした再生攻撃からの防御のために、踏切警報の出力の開始を固定の共通鍵を使用した最初の交信では控えて、日替り鍵の使用を開始した二番目かそれ以降の交信で踏切警報始動点ADCへの列車進入が判明したら警報機13に踏切警報の出力を開始させるようになっている。なお、警報停止については、車上装置20から得た列車位置に基づいて踏切警報終止点BDCの列車通過が判明したときに、地上装置30が警報機13に踏切警報の出力を停止させるようになっている。
Further, when the
車上装置20は、地上装置30から最初の返信を受け取るまでは、地上装置30に向けて送信する伝文の暗号化を固定の共通鍵にて行うとともに、地上装置30から受信した最初の返信の復号・暗号解読も固定の共通鍵で行うことで、時分秒を含んだ時刻情報を取得するとともに、日替り鍵の指定コードを取得するようになっている。また、車上装置20は、地上装置30から時刻情報を取得する度に、あるいは少なくとも地上装置30の最初の返信から時刻情報を取得したときには、内蔵のタイマーに対して時刻をセットする直接的時刻調整にて又は外装のタイマーとの差分データを加減するといった間接的時刻調整にて時計合わせを行うようになっている。その時計合わせでは、時分秒を取得時刻に一致させることに加えて、必須ではないが時間跳躍時の日付更新も行うようになっている。
Until the first response from the
さらに、車上装置20は、地上装置30と交信可能になってから二番目かそれ以降の交信については、列車位置などの車上情報に加えて、時計合わせの済んだタイマー等から得られる時分秒の情報も、地上装置30向けの伝文に含めるようになっている。また、車上装置20は、その伝文を指定コード対応の日替り鍵を用いて暗号化してから、無線機21にて地上装置30宛に無線伝送するようになっている。
なお、上述した暗号化等の処理を担うために、専用のマイクロプロセッサ等のハードウェアを車上装置20や地上装置30に追加しても良いが、既存の論理演算用フェールセーフコンピュータ等に余力があればプログラムを追加するだけで済む。
Furthermore, when the on-
Note that hardware such as a dedicated microprocessor may be added to the on-
この実施例1の無線式踏切警報システム20+30について、その使用態様及び動作を、図面を引用して説明する。図1(a)〜(f)は、列車10の走行に伴う無線式踏切警報システム20+30の動作状態を時系列で示している。ここでは、典型的な動作状態を述べる。すなわち、列車10が踏切警報始動点ADCに進入する前に車上装置20と地上装置30とが交信可能になる場合の動作を説明する。
About the radio | wireless
この場合(図1(a)参照)、列車10が軌道11を走行している間、随時、車上装置20が通信伝文Aを送信するが、車上装置20が地上装置30の交信可能範囲に入るまでは地上装置30から車上装置20へ返信が送られることが無い。
この通信伝文Aは、列車位置等の車上情報を含んでおり、固定の共通鍵で暗号化されている。この通信伝文Aが地上装置30に届かないので、地上装置30は、踏切12に接近した列車が無いとして、警報機13に踏切警報の出力を停止させている。
In this case (see FIG. 1A), while the
This communication message A includes on-board information such as the train position and is encrypted with a fixed common key. Since this communication message A does not reach the
そして(図1(b)参照)、列車10が軌道11を走行して車上装置20が地上装置30の交信可能範囲に入ると、通信伝文Aが地上装置30に届いて地上装置30によって受信される。通信伝文Aに基づいて、列車10が踏切警報始動点ADCに到達していないことが、地上装置30に分かるので、地上装置30は、警報機13に踏切警報の出力停止を続行させる。また、地上装置30は、GPS受信器32から年月日時分秒を含む時刻情報を取得するとともに、通信伝文Bを車上装置20に送信する。
この最初の返信である通信伝文Bは、上記の時刻情報のうち時分秒の部分と日替り鍵の指定コードとを含んでおり、固定の共通鍵で暗号化される。
この通信伝文Bを受信した車上装置20では時計合わせが行われる。
When the
The communication message B, which is the first reply, includes the hour / minute / second portion of the time information and the daily key designation code, and is encrypted with a fixed common key.
The on-
それから(図1(c)参照)、列車10が踏切警報始動点ADCの手前で軌道11を走行している間は、通信伝文Cが車上装置20から地上装置30へ無線伝送され、それに応じて通信伝文Dが地上装置30から車上装置20へ無線伝送される。
通信伝文Cは、列車位置などの車上情報を含んでおり、日替り鍵で暗号化される。この通信伝文Cに基づいて、列車10の踏切警報始動点ADCへの不到達が地上装置30に分かるので、地上装置30は、警報機13に踏切警報の出力停止を続行させる。
通信伝文Dは、GPS受信器32から得た時刻情報のうち時刻同期に必要な時分秒の部分と日替り鍵の指定コードとを含んでおり、日替り鍵で暗号化される。
Then (see FIG. 1 (c)), while the
The communication message C includes on-board information such as a train position and is encrypted with a daily key. Based on this communication message C, since the
The communication message D includes the hour / minute / second portion necessary for time synchronization in the time information obtained from the
そして(図1(d)参照)、列車10が軌道11を走行して踏切警報始動点ADCに進入すると、通信伝文Eが車上装置20から地上装置30へ無線伝送され、それに応じて通信伝文Fが地上装置30から車上装置20へ無線伝送される。
通信伝文Eは、踏切警報始動点ADCに到達した列車の位置等の車上情報を含んでおり、日替り鍵で暗号化される。この通信伝文Eに基づいて、列車10の踏切警報始動点ADCへの進入が地上装置30に分かるので、地上装置30は、警報機13に踏切警報の出力を開始させる。通信伝文Fは、GPS受信器32から得た時刻情報のうち時刻同期に必要な時分秒の部分と日替り鍵の指定コードとを含んでおり、日替り鍵で暗号化される。
Then (see FIG. 1 (d)), when the
The communication message E includes on-board information such as the position of the train that has reached the railroad crossing warning starting point ADC, and is encrypted with a daily key. Based on this communication message E, the
通信伝文E,Fの交信が繰り返された後、列車10が軌道11を走行して踏切12及び踏切警報終止点BDCを通過し終えると(図1(e)参照)、通信伝文Gが車上装置20から地上装置30へ無線伝送され、それに応じて通信伝文Hが地上装置30から車上装置20へ無線伝送される。通信伝文Gは、踏切警報終止点BDCを進出した列車の位置等の車上情報を含んでおり、日替り鍵で暗号化される。この通信伝文Gに基づいて、列車10の踏切警報終止点BDCからの進出が地上装置30に分かるので、地上装置30は、警報機13に踏切警報の出力を停止させる。通信伝文Hは、地上装置30と車上装置20との交信を終える旨の指示を含んでおり、日替り鍵で暗号化される。
After the communication of the communication messages E and F is repeated, when the
こうして、車上装置20と地上装置30との無線伝送による典型的かつ基本的な踏切制御が行われるが、その際、車上装置20と地上装置30とが交信する度に、暗号化と復号化が行われるのに加えて、時刻情報利用の再生攻撃対策が実行される。すなわち、車上装置20から地上装置30への無線伝送C,E,Gが、それに先立つ地上装置30から車上装置20への無線伝送B,D,Fの後、予め定めた数秒や数分の所定時間内に、行われたか否かが、地上装置30によって調べられる。そして、それらの無線伝送が所定時間内に行われていれば正規の伝文として受理されるが、そうでない場合すなわち伝文の時分秒が所定時間外であった場合は、該当する伝文が不正なものとして破棄される。もちろん、暗号鍵が異なる伝文も、正しく復号できないので、チェックコード不良等で破棄される。
Thus, typical and basic level crossing control by wireless transmission between the on-
そのため(図1(f)参照)、車上装置20でない妨害者によって地上装置30に再生攻撃が仕掛けられた場合、再生攻撃に使用された通信伝文Jが、車上装置20から地上装置30へ無線伝送された上述の通信伝文C,E,Gのどれをコピーしたものであっても、同日内であれば時刻の違いによって破棄され、他日であれば日替り鍵の違いによって破棄され、何れにしても地上装置30によって受理されないので、地上装置30が誤って警報機13に踏切警報を出力させることが無い。また、通信伝文Jが通信伝文A,Cのコピーの場合は、例え受理されたとしても、列車位置が踏切警報始動点ADCの手前なので、そもそも地上装置30が警報機13に踏切警報を出力させることが無い。
Therefore (see FIG. 1 (f)), when a replay attack is set on the
[その他]
上記実施例では、再生攻撃が散発的に行われた場合について詳述したが、再生攻撃が間断なく連続して行われたような場合は、そのことが時間切れ伝文の頻度算出などで短期間のうちに判明するので、警報を出すようにしておけば、該当する踏切のところで無線電波を監視して攻撃源を特定するといった障害対策を迅速にとることができる。同じ偽伝文による再生攻撃が長期間に及んで行われたような場合は、そのことが時間切れ伝文の時刻毎積算などで判明するので、その場合も警報を出すようにすると良い。
[Others]
In the above embodiment, the case where the replay attack is sporadically performed has been described in detail. However, if the replay attack is performed continuously without interruption, this is a short-term calculation such as the frequency calculation of time-out messages. Since it becomes clear in the meantime, if an alarm is issued, it is possible to quickly take countermeasures against troubles such as monitoring the radio wave at the level crossing to identify the attack source. If a replay attack with the same fake message is performed over a long period of time, this can be determined by time-by-time message accumulation, etc., and it is also preferable to issue an alarm in that case as well.
本発明の無線式踏切警報システムは、踏切警報の出力を開始させようとする再生攻撃に対する防御のために開発されたものであるが、踏切警報の出力を停止させようとする再生攻撃に対しても有効であり、何れの再生攻撃でも的確に防御機能を発揮する。
また、地方交通線や単線の鉄道に対して適用するのに好都合なものであるが、それに適用対象が限られるわけでなく、都市交通線や複線の鉄道にも適用することができる。
The wireless level crossing warning system of the present invention was developed to protect against a replay attack that attempts to start the output of a level crossing alarm. Is effective, and it can properly perform any replay attack.
Moreover, although it is convenient to apply to a local traffic line or a single-line railway, the application target is not limited to this, and it can be applied to an urban traffic line or a double-line railway.
10…列車、11…軌道(線路)、12…踏切、13…警報機、
20…車上装置、21…無線機、
30…地上装置、31…無線機、32…GPS受信器、
ADC…踏切警報始動点、BDC…踏切警報終止点、A〜J…通信伝文
10 ... train, 11 ... track (track), 12 ... railroad crossing, 13 ... alarm,
20 ... on-board device, 21 ... radio,
30 ... ground equipment, 31 ... radio, 32 ... GPS receiver,
ADC ... railroad crossing alarm start point, BDC ... railroad crossing alarm end point, AJ ... communication message
Claims (1)
前記地上装置が、年月日時分秒を含む時刻情報をGPS受信器から取得して前記時刻情報のうち時分秒の情報を前記車上装置との無線伝送に含めるとともに、前記車上装置との無線伝送を日替り鍵にて暗号化するようになっており、
前記車上装置が、前記地上装置との無線伝送にて得た時分秒の情報に基づいて時計合わせした後の時分秒の情報を前記地上装置との無線伝送に含めるとともに、前記地上装置との無線伝送を日替り鍵にて暗号化するようになっており、
前記車上装置が、前記地上装置との無線伝送に係る暗号化を、前記地上装置から最初の返信が得られるまでは固定の共通鍵にて行い、その後は日替り鍵にて行うようになっており、
前記地上装置が、前記車上装置との無線伝送に係る暗号化を最初の返信では固定の共通鍵にて行いその後は日替り鍵にて行うとともに、前記踏切制御を行うに際して踏切警報出力開始条件の充足に応じた踏切警報の出力の開始を固定の共通鍵の使用中は控えて日替り鍵の使用開始後に行うようになっている
ことを特徴とする無線式踏切警報システム。 Railroad crossing based on onboard equipment that is mounted on a train traveling on the track and wirelessly transmits onboard information including the train position, and information obtained by wireless transmission with the onboard device provided along the track In a radio level crossing warning system equipped with a ground device for controlling,
The ground device acquires time information including year / month / day / hour / minute / second from a GPS receiver, includes hour / minute / second information of the time information in wireless transmission with the on-vehicle device, and the on-vehicle device; Wireless transmission is encrypted with a daily key,
The on-vehicle device includes the hour / minute / second information after the clock is set based on the hour / minute / second information obtained by the wireless transmission with the ground device in the wireless transmission with the ground device, and the ground device. And wireless transmission is encrypted with a daily key ,
The on-board device performs encryption related to wireless transmission with the ground device using a fixed common key until the first reply is obtained from the ground device, and thereafter using a daily key. And
The ground device performs encryption related to wireless transmission with the on-board device using a fixed common key in the first reply, and thereafter using a daily key, and a level crossing alarm output start condition when performing the level crossing control. No-wire crossing warning system that is characterized in that during use of the common key starts the fixation of the output of the crossing alarm and performs after use start day instead key refrain in response to fulfillment of.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013158517A JP6168898B2 (en) | 2013-07-31 | 2013-07-31 | Wireless level crossing warning system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013158517A JP6168898B2 (en) | 2013-07-31 | 2013-07-31 | Wireless level crossing warning system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015030274A JP2015030274A (en) | 2015-02-16 |
JP6168898B2 true JP6168898B2 (en) | 2017-07-26 |
Family
ID=52516006
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013158517A Active JP6168898B2 (en) | 2013-07-31 | 2013-07-31 | Wireless level crossing warning system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6168898B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
LT3656643T (en) * | 2018-05-15 | 2020-12-10 | Cylus Cyber Security Ltd. | Railway cyber security systems |
AU2020275139B2 (en) | 2019-05-16 | 2021-09-09 | Cylus Cyber Security Ltd. | Self organizing cyber rail-cop |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009029298A (en) * | 2007-07-27 | 2009-02-12 | Railway Technical Res Inst | Communication system for train control |
JP5350990B2 (en) * | 2009-11-17 | 2013-11-27 | 東日本旅客鉄道株式会社 | Wireless level crossing alarm control device and system |
JP5827509B2 (en) * | 2011-07-22 | 2015-12-02 | 株式会社日立製作所 | Wireless train control system |
-
2013
- 2013-07-31 JP JP2013158517A patent/JP6168898B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015030274A (en) | 2015-02-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wu et al. | Vulnerabilities, attacks, and countermeasures in balise-based train control systems | |
CN106043232B (en) | Distance for transport facility radio key is determining and authenticates | |
US11050556B2 (en) | Secure vehicular communication | |
AU2018423506B2 (en) | Railway cyber security systems | |
JP2020521073A (en) | BLUETOOTH LOW ENERGY (BLE) PASSIVE VEHICLE ACCESS CONTROL SYSTEM AND METHOD FOR PROTECTING THE SYSTEM FROM RELAY ATTACK | |
EP2039583A1 (en) | Railway radio control system | |
KR20120015421A (en) | Vehicle-mounted apparatus, vehicle-to-vehicle communication system, vehicle-to-vehicle communication method, and storage medium | |
CN101931474A (en) | Method and system of determining and preventing relay attack for passive entry system | |
JP2016022948A (en) | Close proximity vehicular data transmission | |
US20190315382A1 (en) | Train control system, ground control apparatus, and on-board control apparatus | |
US20200139995A1 (en) | Secure locomotive communication system | |
KR101852048B1 (en) | communication system for tracked vehicle | |
US8963687B2 (en) | System and method for DSRC communication | |
ES2936336T3 (en) | Fluid meter that communicates with an electromechanical valve | |
JP6168898B2 (en) | Wireless level crossing warning system | |
Lim et al. | Data integrity threats and countermeasures in railway spot transmission systems | |
Zhao et al. | Security challenges for the intelligent transportation system | |
Melaragno et al. | Rail radio intrusion detection system (RRIDS) for communication based train control (CBTC) | |
JP5724389B2 (en) | Communications system | |
EP3348033A1 (en) | A trusted geolocation beacon and a method for operating a trusted geolocation beacon | |
CA2737836A1 (en) | Inter-vehicle communication system | |
EP3021288A1 (en) | Method and apparatus for trusted recording in a road toll system | |
JP2009029298A (en) | Communication system for train control | |
US20210114635A1 (en) | Method For Operating A Railway System, And Vehicle Of A Railway System | |
JP6513904B2 (en) | Security information rewriting system and ground child |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160708 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170418 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170419 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170614 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170627 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170627 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6168898 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |