JP7090754B2 - 鉄道サイバーセキュリティシステム - Google Patents
鉄道サイバーセキュリティシステム Download PDFInfo
- Publication number
- JP7090754B2 JP7090754B2 JP2020573556A JP2020573556A JP7090754B2 JP 7090754 B2 JP7090754 B2 JP 7090754B2 JP 2020573556 A JP2020573556 A JP 2020573556A JP 2020573556 A JP2020573556 A JP 2020573556A JP 7090754 B2 JP7090754 B2 JP 7090754B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- cyber
- hub
- train
- security system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims description 41
- 238000012545 processing Methods 0.000 claims description 20
- 238000000034 method Methods 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 12
- 238000001228 spectrum Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000013480 data collection Methods 0.000 claims description 9
- 238000012546 transfer Methods 0.000 claims description 9
- 230000001360 synchronised effect Effects 0.000 claims description 8
- 230000007274 generation of a signal involved in cell-cell signaling Effects 0.000 claims description 3
- 230000001902 propagating effect Effects 0.000 claims description 3
- 230000002123 temporal effect Effects 0.000 claims description 3
- 230000003137 locomotive effect Effects 0.000 description 50
- 239000003795 chemical substances by application Substances 0.000 description 24
- 230000002547 anomalous effect Effects 0.000 description 16
- 230000011664 signaling Effects 0.000 description 10
- 230000000694 effects Effects 0.000 description 9
- 230000004044 response Effects 0.000 description 9
- 238000005201 scrubbing Methods 0.000 description 8
- 230000033001 locomotion Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000004913 activation Effects 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000002184 metal Substances 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910003460 diamond Inorganic materials 0.000 description 1
- 239000010432 diamond Substances 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000012010 growth Effects 0.000 description 1
- 235000020004 porter Nutrition 0.000 description 1
- 238000001556 precipitation Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000001932 seasonal effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0072—On-board train data handling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0018—Communication with or on the vehicle or train
- B61L15/0027—Radio-based, e.g. using GSM-R
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L23/00—Control, warning or like safety means along the route or between vehicles or trains
- B61L23/04—Control, warning or like safety means along the route or between vehicles or trains for monitoring the mechanical state of the route
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/40—Handling position reports or trackside vehicle data
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/50—Trackside diagnosis or maintenance, e.g. software upgrades
- B61L27/53—Trackside diagnosis or maintenance, e.g. software upgrades for trackside elements or systems, e.g. trackside supervision of trackside control system conditions
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/50—Trackside diagnosis or maintenance, e.g. software upgrades
- B61L27/57—Trackside diagnosis or maintenance, e.g. software upgrades for vehicles or trains, e.g. trackside supervision of train conditions
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/70—Details of trackside communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/14—Time supervision arrangements, e.g. real time clock
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/42—Loop networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L7/00—Arrangements for synchronising receiver with transmitter
- H04L7/0008—Synchronisation information channels, e.g. clock distribution lines
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L2205/00—Communication or navigation systems for railway traffic
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L2205/00—Communication or navigation systems for railway traffic
- B61L2205/04—Satellite based navigation systems, e.g. global positioning system [GPS]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/02—Indicating or recording positions or identities of vehicles or trains
- B61L25/021—Measuring and recording of train speed
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L25/00—Recording or indicating positions or identities of vehicles or trains or setting of track apparatus
- B61L25/02—Indicating or recording positions or identities of vehicles or trains
- B61L25/025—Absolute localisation, e.g. providing geodetic coordinates
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Small-Scale Networks (AREA)
- Synchronisation In Digital Transmission Systems (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
Description
関連出願
本出願は、米国特許法第119条(e)に基づき、その開示が参照により本明細書に組み込まれている2018年5月15日出願の米国仮出願第62/671,622号および2018年9月4日出願の米国仮出願第62/726,444号の利益を主張するものである。
本出願は、米国特許法第119条(e)に基づき、その開示が参照により本明細書に組み込まれている2018年5月15日出願の米国仮出願第62/671,622号および2018年9月4日出願の米国仮出願第62/726,444号の利益を主張するものである。
本開示の実施形態は、鉄道線路システムにサイバーセキュリティを与えるためのシステムを提供することに関する。
初期の鉄道線路システムは、「閉塞区間」と呼ばれる固定長の軌道に沿った列車の移動をつかさどるための機械式のシグナリングデバイスおよび制御デバイスを使用して、列車の運転士に視覚的にシグナリングし、システム上で運行する列車を制御していた。各閉塞区間を信号手が担当し、シグナルおよび制御機器を操作して、列車が信号手の閉塞区間に出入りする権限を与え、その出入りを制御していた。一般に、信号手は、信号手が担当する閉塞区間の視覚的監視を信号手にもたらすのに十分なほど高い信号扱所と呼ばれる小さな2階建ての建物の2階の見晴らしのきく位置から操作していた。例えば、列車がそこで異なる軌道に沿って進行するように誘導される鉄道線路軌道ポイントにおいて、軌道ポイントおよびシグナリング機器が、信号扱所内に位置付けられたレバーまたはハンドルを信号手が操作することにより必要な位置に手動で設定されていた。また、初期の自動の軌道「地上(wayside)」デバイスは、列車との直接の物理的接触によって作用する機械式デバイスであった。例えば、通過する列車がある閉塞区間から次の閉塞区間に進行する許可を得ていない場合にそれを自動的に停止させるように動作する列車停止装置(train stop)は、アームを備えており、それが、通過する列車上の弁に係合して、列車のブレーキシステムをトリガし、列車を停止させていた。
しかし、世界人口の成長、都市化、およびグローバル化が、より旧式の従来のシグナリングおよび制御技術ではサポートすることのできない、大陸にまたがる大きな輸送能力を提供することの可能な鉄道線路システムの必要性およびその配備を生じさせた。現代のデジタルプロセッサ、センサ、通信システム、および全地球航法衛星システム(GNSS)の到来が、鉄道システムの新たな要件をサポートすることの可能な技術を利用可能にしている。さまざまな高度化レベルにおいて配備されかつ/または開発中である、この新たな技術に基づく先進鉄道輸送管理(ARTMN:advanced rail traffic management)システムが、列車の運行上のコンテキストに適合する列車移動の実時間監視および柔軟性のある管理を実現する。このシステムは、例としてIEEE1474標準規格やIEC61375標準規格など、国内外のさまざまな技術標準規格において定義されている、自動列車防護(ATP:Automatic Train Protection)、自動列車運行(ATO)、および/または自動列車管理(ATS)のような列車制御機能を提供してもよい。ARTMNシステムは、鉄道駅、火災警報および安全システム、ならびに自動発券および情報表示システムといった旅客サービスなどの旅客施設インフラストラクチャの管理および制御を含んでもよい。
欧州鉄道輸送管理システム(ERTMS:European Rail Traffic Management System)が、ARTMNシステムの一例であり、これは、欧州連合によって鉄道制御の標準として採用されているソフトウェアベースの鉄道用のコマンド、シグナリング、および通信のシステムである。このシステムは、列車運行上の、速度、安全性、および列車間間隔の規制への準拠を可能にするように動作する、欧州列車制御システム(ETCS)と呼ばれるATP、およびグローバルシステムフォーモバイルコミュニケーションズ鉄道(GSM-R:Global System for Mobile communications Railways)と呼ばれる、音声およびデータサービスのための鉄道通信システムを備える。
FIS Juridical Recording
本開示の一実施形態の一態様は、鉄道にサイバー攻撃に対する防護を与えるように動作する、以後「レールアイ(Rail-Eye)」とも呼ばれるサイバーセキュリティシステムを提供することに関する。サイバー攻撃に対する防護を与えることは、サイバー攻撃を犯そうとする試み、サイバー攻撃に対する脆弱性、および/またはサイバー攻撃の存在を特定することを含んでもよい。サイバー攻撃に言及する場合、サイバー攻撃を犯そうとする試み、サイバー攻撃に対する脆弱性、および/またはサイバー攻撃のうちのいずれか1つ、またはそれらのうちの2つ以上のものの任意の組合せを指す場合がある。
一実施形態では、レールアイは、オプションでクラウドベースのデータ監視および処理ハブと、データ収集エージェントおよびアグリゲータノードからなる分散型の同期ネットワークとを備える。「サイバースニッチ」と呼ばれる場合があるデータ収集エージェントは、インフラストラクチャサイバースニッチ、および鉄道車両の、すなわち「車上」のサイバースニッチを備える。インフラストラクチャスニッチは、インフラストラクチャ機器によって生じた通信および/またはインフラストラクチャ機器の動作を監視するように構成される。車上スニッチは、車上機器によって生じた通信および/または車上機器の動作を監視するように構成される。インフラストラクチャスニッチおよび/または鉄道車両スニッチは、ネットワークタップの機能を働かせ、かつ提供してもよい。提示の便宜上、1つの機器の通信および/または動作を監視することを、一般的に、機器の通信を監視することと呼ぶ。単にアグリゲータとも呼ばれるアグリゲータノードは、車上アグリゲータノードおよびインフラストラクチャアグリゲータノードを備える。車上アグリゲータは、鉄道車両上に位置付けられており、RBCアグリゲータとも呼ばれるインフラストラクチャアグリゲータは、典型的には鉄道無線閉塞センタ(RBC)内の固定ロケーションに設置される。
一実施形態では、サイバースニッチ、アグリゲータ、およびレールアイハブからなるネットワークが、階層的論理トポロジーとして構成される。車上サイバースニッチは、それらが監視する通信からそれらが取得したデータを、データメッセージ内で車上アグリゲータノードに伝送する。車上アグリゲータノードは、受信したデータおよび/またはオプションでサイバー攻撃の存在を特定するように処理したデータを、RBCアグリゲータに転送してもよい。インフラストラクチャサイバースニッチも、それらが監視する通信からそれらが取得したデータを、データメッセージ内でRBCアグリゲータに伝送する。RBCアグリゲータは、受信したデータおよび/またはオプションでサイバー攻撃の存在を判定するようにRBCアグリゲータによって処理されたデータをレールアイハブに、格納する目的でかつ/またはオプションでサイバー攻撃の存在を判定するように処理する目的で転送してもよい。一実施形態では、サイバー攻撃が示唆されていると判定したハブおよび/またはアグリゲータは、示唆されたサイバー攻撃に対する対応を取るように構成されてもよい。
一実施形態では、レールアイシステムは、オプションでGNSSからの伝送によって提供される基準周波数および時刻(TOD)タイミング情報に基づく共通のネットワーククロック時間に同期される。車上サイバースニッチおよび/またはインフラストラクチャサイバースニッチがデータメッセージ内でアグリゲータに伝送するデータには、そのデータを含む監視された通信がそのサイバースニッチによって受信された時点のネットワーククロック時間に基づく時間がタイムスタンプされてもよい。車上サイバースニッチがデータメッセージ内で伝送するデータに関連するタイムスタンプは、車上サイバースニッチが位置付けられている列車の列車通信ネットワーク(TCN)内に含まれた多機能車両バス(MVB)のターンの開始間の時間経過を含んでもよい。
監視されたデータの処理を容易にするために、本開示の一実施形態によれば、レールアイシステム内のサイバースニッチおよび/またはアグリゲータノードに、共通のレールアイラポータプロトコル(rapporteur protocol)に従って、それらが監視してもよい異なるタイプの通信に応答してデータメッセージを生成するように構成されるアルゴリズムが設けられてもよい。
一実施形態では、サイバースニッチまたはアグリゲータが車上機器および/またはインフラストラクチャ機器の動作に対して与える場合がある干渉を最小限に抑えるために、サイバースニッチおよび/またはアグリゲータは、鉄道機器の動作との干渉を規制する標準規格にサイバースニッチおよび/またはアグリゲータが準拠するステルスモードで動作してもよい。例として、車上デバイスまたはインフラストラクチャデバイスを監視するサイバースニッチは、デバイスのアイドル期間中にデバイスからデータを取得するように構成されてもよい。ステルス動作を増強し、サイバースニッチおよびアグリゲータの活動がデータの伝送に要する帯域幅を低減させるために、一実施形態によるラポータプロトコルが、データメッセージ内での伝送を目的としてそれが構成するデータを圧縮してもよい。
一実施形態では、サイバー攻撃に関連するか、またはサイバー攻撃に関連するという疑いが掛けられており、かつサイバー攻撃の標的の特定を可能にするおそれのある情報要素を除去または秘匿するように処理された異常事象のレコードの、以後「匿名化データベース」(ANDAT)とも呼ばれる参照データベースをレールアイが維持する。標的ID情報を除去または秘匿するように処理された、匿名化データベース内に格納された事象のレコードは、匿名化事象レコードと呼ばれる場合があり、匿名化事象レコードが生成された対象の事象は、匿名化事象と呼ばれる場合がある。一実施形態では、匿名化データベースは、匿名化事象レコードに関連するサイバー攻撃の標的であった所与のエンティティ以外のエンティティが、例えば解析目的で、データベース内のデータからその所与の標的エンティティを特定することが不可能な状態で、匿名化事象レコードにアクセスすることを可能にするように構成される。
この発明の概要は、以下に発明を実施するための形態の中でさらに説明する概念の抜粋を、簡単な形で紹介するために提供されている。この発明の概要は、特許請求の範囲に記載の主題の重要な特徴または本質的な特徴を特定するものでも、特許請求の範囲に記載の主題の範囲を限定するために使用されるものでもない。
本発明の実施形態の非限定的な例について、本明細書に添付の、この段落に続いて列挙される図を参照して以下に説明する。2つ以上の図中に出現する同一の特徴には、一般に、それらが出現する全ての図において同一ラベルを用いてラベル付与されている。図中の本発明の一実施形態の所与の特徴を表すアイコンにラベル付与しているラベルが、所与の特徴を参照するために使用される場合がある。図中に示す特徴の寸法は、提示の便宜と分かりやすさのために選択されており、必ずしも一定の縮尺で示されているとは限らない。
以下の詳細な説明では、列車運行エリア内の鉄道システムにサイバーセキュリティを与えるように動作するレールアイシステムのコンポーネントについて、図1Aおよび図1Bを参照して論じる。図2A~図2Cは、列車通信ネットワーク(TCN)の詳細を概略的に示し、この列車通信ネットワーク(TCN)はオプションで、列車の長さにわたり、多機能車両バス(MVB)に結合される、「列車全体にわたる」有線列車バス(WTB)を備え、これらのバスはそれぞれ、列車の単一カー内の車上デバイスの通信をサポートする。本開示の一実施形態による、列車内に位置付けられた車上サイバースニッチおよび車上アグリゲータの配置および動作について、これらの図を参照して論じる。
議論の中で、別段明記されない限り、本開示の一実施形態の1つまたは複数の特徴の条件または関係特性を修飾する「実質的に」や「約」などの形容詞は、その条件または特性が、その実施形態が対象とする用途に関わる実施形態の動作にとって容認できる許容範囲内で定義される、ということを意味するものと理解される。別段示されない限り、説明および特許請求の範囲における「または」という語は、排他的な「または」ではなく包含的な「または」とみなされ、それが等位接続する項目のうちの少なくとも1つ、またはそれらの任意の組合せを示す。
図1Aは、本開示の一実施形態による、鉄道システム200にサイバー防護を与えるように動作するレールアイシステム20の斜視図を概略的に示す。図1Bは、本開示の一実施形態による、鉄道システム200およびレールアイ20の拡大部分を概略的に示す。
鉄道システム200は、列車300がそれに沿って移動して旅客および物品を輸送する軌道インフラストラクチャ202、ならびに破線の矩形204によって概略的に表される運行エリア内での列車の移動を協調的に制御する、インフラストラクチャ機器を備える。インフラストラクチャ機器は、軌道ジャンクション206におけるポイント(図示せず)、軌道沿いの、また軌道ジャンクション206および渡り線207における、色灯式シグナル機器208によって表されるシグナリング装置、軌道ジャンクションにおける連動システム(interlocking system)210、沿線バリス(trackside balise)218、それぞれが家および無線アンテナ塔によって表されるRBC230、ならびに人のアイコンの集団260によって表される鉄道駅を備える。
従来「シグナル」と呼ばれているシグナリング装置208は、シグナルが表示する光の色によって、列車の運転士に、その列車の運転士が運転している列車の前方の軌道の状態に関する情報を視覚的に伝達するように動作可能な、典型的には図1Aに概略的に示す色灯式デバイスである、沿線デバイスである。例えば、シグナル208は、列車の運転士に、列車が安全に進行してもよい速度を知らせてもよく、列車の前方の軌道が別の列車によって占有されている場合には、列車の運転士に列車を停止させるように指令してもよい。従来「連動装置(interlocking)」と呼ばれている連動システム210は、軌道ジャンクション206におけるシグナリングおよびポイントを、矛盾する動きをしないように、かつ列車の安全なジャンクション通過を可能にするように制御する。ERTMSによって使用されているユーロバリスなどのバリス218は、軌道のレールとレールとの間の軌道枕木に取り付けられたパッシブ電子ビーコンである。バリスは、バリスの上を通過する列車からエネルギーを受信し、そのエネルギーを使用して、テレグラムと呼ばれる信号を介して情報を列車に伝送する。テレグラムは、典型的にはバリスの一意の識別情報を含んでおり、それにより、列車がバリスの上を通過するときのそのロケーション、速度制限、勾配を含んでおり、バリスがトランスペアレントバリスと呼ばれるバリスである場合、バリスは、移動許可を与えるように動作してもよい。
無線閉塞センタRBC230は、RBCが無線カバレッジを有し、列車の安全運行を担う、RBC制御エリアと呼ばれるエリア内で、列車300およびインフラストラクチャ機器とGSM-Rなどの鉄道通信システム経由で通信する、無線制御センタである。例として、2つの隣接するRBC230の制御エリアが、破線の六角形境界線231によって概略的に示してある。RBC230は、RBCの制御エリア231内の列車300のステータスおよびロケーションに関連するデータを、列車からGSM-R無線伝送を介して、またRBC制御エリア231内の連動装置210などのインフラストラクチャ機器のステータスに関連するデータを、有線および/または無線通信を介して受信する。RBCは、受信したデータおよび情報を処理して、移動許可を作成し、それを列車300に伝送し、また連動装置210がそれぞれ位置付けられている軌道ジャンクション206におけるシグナリングおよびポイント切替え(switching)の制御のために連動装置が使用するデータを作成し、それを連動装置に伝送する。RBCが生成し、列車に伝送する移動許可は、安全な運行時隔を維持する列車相互間の距離(列車と次の列車との間の距離)と、一般には有利な輸送能力もまた、もたらすように決定される。
列車300は、機関車310と、オプションで、カー330とも呼ばれる1つまたは複数の列車車両330とを備える。列車300、機関車310、およびカー330の拡大イメージおよび詳細をそれぞれ、図2A、図2B、および図2Cに概略的に示す。一般に、列車300は、列車通信ネットワークTCN331(図1B、図2A~図2C)を有し、TCN331は、列車の長さに及ぶ、WTB336という列車全体にわたるバスと、カー330および機関車310のそれぞれについて、WTBに列車車両ゲートウェイ334によって接続されたMVBバス332とを備える。所与のカー330または機関車310内のMVB332は、カーまたは機関車内の、図2A~図2Cにおいてラベル360(図2A~図2C)によって一般的に参照される車上デバイス相互間の、また車上デバイスとの通信をサポートする。例えば、列車カー330では、ドア制御アクチュエータ、空気調節、照明、および旅客情報デバイスが、MVB332に接続されている。MVB332に取り付けられたデバイス360によるMVB332経由の伝送は、少なくとも1つのバスマスタ335によって制御され、このバスマスタ335は、ターンと呼ばれる連続した時間期間中のMVB332へのアクセスを制御する。WTB336は、カー330相互間、およびカー330と機関車310との間の通信をサポートする。各カー330および機関車310内のブレーキ制御装置362(図2C)は、列車300内の各ブレーキの作動と解除が適切に同期されてもよいように、典型的にはWTBに直接接続されている。機関車310は、典型的にはRBC230(図1Aおよび図1B)ならびに沿線機器とのGSM-R通信をサポートする適切なフロントエンドおよびアンテナを有する通信モジュール312(図1B)と、GNSS(全地球航法衛星システム)レシーバ313と、バリス218(図1A、図1B)とインターフェースするように構成されるバリスリーダ314(図2A、図2B)とを備える。
機関車は、事象レコーダを備えるように義務付けられており、欧州列車制御システム、すなわちETCSでは、それは、法的記録ユニット(JRU:Juridical Recording Unit)である。以後一般的にJRUと呼ばれる事象レコーダまたはJRUは、列車の挙動、および列車が巻き込まれる場合がある事故の解析を容易にするために、列車300の運行中に発生する場合がある具体的関心のある事象に関連するデータを受信し、格納する、鉄道車両「ブラックボックス」レコーダである。ERTMSは、以後JRU事象とも呼ばれる具体的事象のセットを定義しており、それらの事象が、その事象に関連するデータの、その事象を特定するJRUデータメッセージと呼ばれるフォーマット化されたメッセージパケット内での、JRUへの伝送をトリガする。所与のJRU事象に関連するJRUデータメッセージは、事象の協定世界時で表した発生日時、およびJRU事象を特定する他の情報アイテムを含む。JRU事象のリストは、FIS Juridical Recordingという表題のERTMS/ETCS機能インターフェース仕様(FIS)内に提供されている。
レールアイシステム20は、オプションで、図1Aおよび図1Bに示すようにクラウドベースであってもよいデータ監視および処理ハブ22(図1Aおよび図1B)と、列車300上に位置付けられた、ひし形アイコンによって概略的に表される車上サイバースニッチ32および六角形アイコンによって概略的に表される車上アグリゲータノード34からなるネットワークとを備える。提示の便宜上、図1Aおよび図1Bでは、図中に示すイメージのサイズに対する制約に対処するために、車上サイバースニッチ32および車上アグリゲータ34は、列車300のイメージの上方またはイメージ上に示してあり、図1Aおよび図1Bの列車300または列車300の一部分に関連する単一の車上サイバースニッチ32および/または車上アグリゲータ34はそれぞれ、1つもしくは複数のサイバースニッチおよび/または1つもしくは複数の車上アグリゲータを表す。図2A~図2Cは、以下で論じる、車上サイバースニッチ32および車上アグリゲータ34の列車300内での可能な配置、およびそれらが列車のTCN331(図1B、図2A~図2C)にどのように接続されてもよいかについての詳細を概略的に示す。レールアイ20は、アイコンによって概略的に表される固定のインフラストラクチャサイバースニッチ36、およびインフラストラクチャサイバースニッチと通信するRBCアグリゲータ38(図1A~図2C)も備える。図1Aおよび図1Bに示す単一のインフラストラクチャサイバースニッチ36および/または単一のRBCアグリゲータ38はそれぞれ、1つまたは複数のインフラストラクチャサイバースニッチおよびアグリゲータを表す。
車上サイバースニッチ32およびインフラストラクチャサイバースニッチ36、ならびに車上アグリゲータ34およびインフラストラクチャアグリゲータ38は、図1A~図2Cから推論される場合があるように、別々のベアメタルコンポーネントとして構成されてもよい。しかし、本開示の一実施形態によるサイバースニッチおよびアグリゲータは、ソフトウェアコンポーネントおよびハードウェアコンポーネントによって定められてもよく、ソフトウェアコンポーネントのみによって定められてもよく、また極めて一般には、サイバースニッチおよびアグリゲータの機能をサポートするソフトウェアコンポーネントおよび/またはハードウェアコンポーネントの任意の組合せを備えてもよい。
例えば、サイバースニッチまたはアグリゲータは、サイバースニッチまたはアグリゲータの機能の監視または処理をサポートするためにサイバースニッチまたはアグリゲータが必要とする場合がある機能を提供し可能にするための、任意の電子的および/または光学的な処理および/または制御回路を備えるベアメタルのハードウェアモジュールであってもよい。サイバースニッチまたはアグリゲータは、マイクロプロセッサ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)、および/またはシステムオンチップ(SOC)のうちのいずれか1つ、またはそれらのうちの2つ以上のものの任意の組合せを備えてもよい。サイバースニッチまたはアグリゲータは、データおよび/またはコンピュータ実行可能命令を格納するのに適した任意の電子的および/または光学的回路を有するメモリを備えてもよく、例として、フラッシュメモリ、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、および/または消去可能プログラマブル読出し専用メモリ(EPROM)のうちのいずれか1つ、またはそれらのうちの2つ以上のものの任意の組合せを備えてもよい。サイバースニッチまたはアグリゲータは、鉄道システムのさまざまな車上機器および/またはインフラストラクチャ機器のいずれかに含まれたソフトウェアモジュールであってもよく、鉄道システム機器内のハードウェアおよび/またはソフトウェアと協調して、サイバースニッチおよび/またはアグリゲータの機能を実施してもよい。サイバースニッチまたはアグリゲータは、仮想エンティティであってもよい。同様に、ハブ22は、オプションで、ハブの機能をサポートするように構成されるメモリ23およびプロセッサ24を有し、ハードウェアコンポーネントとソフトウェアコンポーネントの任意の組合せを備えてもよく、仮想エンティティを備えるかまたは仮想エンティティであってもよい。
図2A~図2Cに概略的に示すように、車上サイバースニッチ32および車上アグリゲータ34は、列車内のデバイスによって生じた通信を監視し、監視された通信からのデータを列車の車上アグリゲータ34に、RBC230および/またはハブ22に転送して処理し、オプションで格納する目的で伝送するために、列車300内のさまざまな車上機器に結合されてもよい。また、サイバースニッチ32は、データを取得し転送するために、列車300内のデバイス360および列車のTCN331にさまざまな様式で結合されてもよい。
例えば、カー330(図2C)内に位置付けられた、ラベル32-1によって区別される車上サイバースニッチ32は、カー内のデバイス360に、そのデバイスによって生じた通信を監視するために、直接結合されてもよい。サイバースニッチ32-1は、デバイス360のポート(図示せず)に、そのポートを通じて伝搬する通信を監視するために、またはデバイス内に含まれたプロセッサ(図示せず)に、そのプロセッサの活動を監視するために、結合されてもよい。サイバースニッチ32-1は、オプションで、MVB332への接続によってTCN331に直接接続されるのではなく、デバイス360が有するMVB332への接続を使用して、監視された通信または活動から取得したデータをMVBに、またそこからカー330内のアグリゲータ34に伝送するように、構成されてもよい。その代わりにまたはそれに加えて、カー330内のデバイス360を監視する、図2Cのラベル32-2によって区別されるサイバースニッチなどのサイバースニッチ32は、監視された通信からサイバースニッチ32-2が取得したデータをTCN331に伝送するために、それ自体がMVB332に直接結合されてもよい。カー330内の車上アグリゲータ34は、サイバースニッチ32-1および32-2によって転送および処理を目的として伝送されたデータメッセージ内に含まれたデータを受信し集約するために、MVB332に接続されてもよい。車上アグリゲータ34は、集約データを、サイバー攻撃の存在の可能性を判定するように処理し、集約データおよび/または処理した集約データを列車車両ゲートウェイ334に、WTB336を介して機関車310に伝送し、かつGSM-R通信によってRBC230に転送する目的で転送してもよい。図2Bに概略的に示す機関車310内に含まれたアグリゲータ34などの車上アグリゲータは、WTB336を監視する、ラベル32-3によって区別されるサイバースニッチによって生成されたデータメッセージを受信してもよい。
一実施形態では、帯域幅の使用と、サイバースニッチ32および36ならびにアグリゲータ34および38の活動が鉄道システム200の車上機器および/またはインフラストラクチャ機器の動作に対して与える場合がある干渉の可能性とを低減させるために、サイバースニッチおよび/またはアグリゲータは、データメッセージ内で伝送しかつ/または処理する目的でそれが受信したデータを、圧縮してもよい。オプションで、レールアイ20内に含まれたサイバースニッチおよびアグリゲータが生成し、伝送するデータメッセージ内に含まれたデータの処理を容易にするために、データメッセージは、共通のレールアイラポータプロトコルに従って構成されてもよい。一実施形態では、レールアイラポータプロトコルに従って構成されるデータメッセージは、鉄道システムの異なる運行上の態様に関するデータの関連度を示す成分を有した重み付けベクトルを符号化する、メッセージフィールドを備えてもよい。サイバースニッチアグリゲータによって生成されたデータメッセージに関する重み付けベクトルは、例えば、データが鉄道車両の運行および/もしくはインフラストラクチャ機器の動作の安全性にどの程度関連性をもつ場合があるかを示し、データの処理にとって望ましい時間フレームおよび/もしくは優先度を示し、かつ/または人の介入が強く勧められることを示すために警報を発すべきであることを示してもよい。重み付けは、コンテキスト依存であってもよい。
レールアイ20のコンポーネントは、オプションで、衛星50によって概略的に表されるGNSSシステムから受信したタイミング情報およびTOD信号に基づいて基準周波数およびTODを生成する、クロック25によって概略的に表される同一ネットワーククロックに同期される。サイバースニッチおよびアグリゲータは、それらが取得したデータに、それらがデータを取得した時点のネットワーククロック時間をタイムスタンプしてもよい。一実施形態では、レールアイシステムは、オプションでGNSSからの伝送によって提供される基準周波数および時刻(TOD)タイミング情報に基づく、共通のネットワーククロック時間に同期される。上述したように、MVB332に取り付けられたデバイスによるMVB経由の伝送は、少なくとも1つのバスマスタ335によって制御され、このバスマスタ335は、ターンという連続した時間期間中のMVB332へのアクセスを制御する。一実施形態では、車上スニッチ32は、車上デバイス360からそれが取得したデータに、サイバースニッチがデータを取得した時点の時間と、データがその間に取得されたターンの開始との間の、「ターン時間」経過とも呼ばれる時間経過をタイムスタンプしてもよい。車上アグリゲータおよび/もしくはRBCアグリゲータ、列車車両ゲートウェイ、ならびに/またはデータを受信するハブ22は、ターン時間経過を使用して、データが取得されたときをネットワーク時間に対して決定してもよい。
一実施形態では、図1Aおよび図1Bに示すように、サイバースニッチ32および36、アグリゲータ34および38、ならびにレールアイハブ22からなるネットワークが、階層的論理トポロジーとして構成される。車上スニッチ32は、データメッセージを車上アグリゲータ34に、処理および/またはRBCアグリゲータ38への転送を目的として伝送する。車上アグリゲータ34、インフラストラクチャスニッチ36、およびオプションで車上スニッチ32は、データをRBCアグリゲータ38に、処理を目的として伝送する。RBCアグリゲータ38は、それらが受信したかつ/または処理したデータをレールアイハブ22に、処理を目的として伝送する。
オプションで、レールアイ20は、車上サイバースニッチ32およびインフラストラクチャサイバースニッチ36によって取得されたデータを、階層的ネットワークトポロジーに同形の「層」の形で、サイバー攻撃の可能性の存在を判定するように処理するよう構成される。
車上アグリゲータ34は、車上アグリゲータが位置付けられているそれぞれの列車300上の車上スニッチ32からそれらが受信し集約したデータに応答して、異常事象を特定するように構成されてもよい。一実施形態では、車上アグリゲータ34は、車上アグリゲータが位置付けられている列車に関する運行上の列車コンテキストを決定し、列車コンテキストに基づいて異常事象を特定してもよい。列車コンテキストは、例として、列車速度、軌道状況、輸送の混雑、周囲気象状況、旅客または貨物の積載量、列車内カー台数、列車内機関車台数、ならびに機関車およびカーの仕様のうちの少なくとも1つ、またはそれらのうちの2つ以上のものの任意の組合せを含んでもよい。オプションで、車上アグリゲータ34は、サイバー攻撃の兆候を特定すると、攻撃に対する対応を取るように動作してもよい。
例えば、一実施形態では、列車300のカー330内の車上サイバースニッチ32は、カー内のドアを制御するデバイス360を監視し、ドアのステータスを示すデータを含むデータメッセージを生成して、それをカー内の車上アグリゲータ34に伝送してもよい。データメッセージを受信したカー内の車上アグリゲータ34は、サイバースニッチによってステータスデータが取得されたことをデータメッセージ内のタイムスタンプが示す時間に関する、列車の速度およびロケーションに基づく値を含む列車に関する運行上のコンテキストを決定してもよい。サイバースニッチ32からのデータメッセージが、カー330のドアが開いていることを示す状況では、列車300が鉄道駅間で旅客を乗せている場合、アグリゲータ34は、運行上の安全性とサイバー攻撃の可能性を示唆する異常性の両方のそれぞれについて重み付けベクトルが非常に大きな重みを有するデータメッセージを生成し、それをRBCアグリゲータ38(図1B)に伝送してもよい。大きな重みの大きさは、運行上の列車コンテキストによって示される列車の速度および/またはロケーションに応じて決まってもよい。オプションで、車上アグリゲータ34は、この状況に、安全性および異常性の重みの大きさに応じて応答するように構成されてもよい。例として、運行上の安全性と異常性のいずれかに関する重み付けベクトルの重みが所定のしきい値を超過する場合、アグリゲータ34は、列車の運転士および/またはRBCアグリゲータ38に対して警報通知を生成してもよい。一方、アグリゲータ34によって決定された列車コンテキストが、カー330に旅客がいないかまたは列車が操車場内にあることを示す場合、運行上の安全性および異常性に関する重みは、相対的に小さくてもよい。
別の例として、車上サイバースニッチ32は、WTB336、および列車車両ゲートウェイ334の出力に結合されてもよい。サイバースニッチは、ゲートウェイがカー内のブレーキを作動または解除するための通信をWTB336を介して受信するのと、ゲートウェイが対応する作動信号をブレーキに伝送した時間との間の時間遅延に応答して、データメッセージを生成し、それを車上アグリゲータ34に伝送してもよい。時間遅延が、所定の最大値を超過する場合、サイバースニッチは、サイバー攻撃の可能性を示唆する異常の存在を判定してもよい。
RBCアグリゲータ38は、RBCアグリゲータが位置付けられているRBC230のそれぞれに対応する制御エリア231(図1)内に位置付けられたインフラストラクチャスニッチ36ならびに車上スニッチ32および/または車上アグリゲータ34からRBCアグリゲータ38が受信したデータに応答して、サイバー攻撃の可能性を示唆する異常事象を特定するように構成されてもよい。RBCアグリゲータ38は、その制御エリア231内にある鉄道車両および/またはインフラストラクチャ機器に関するRBC制御エリアコンテキストを決定し、オプションでRBCコンテキストに基づいて、異常事象を特定するように構成されてもよい。RBC制御エリアコンテキストは、レール修理およびレールヘッド粘着の状態など、軌道状況に関係する尺度、視界や降水などの気象状況、ならびにRBC230の制御エリア231内を移動する鉄道車両の混雑やその鉄道車両のタイプなどの鉄道車両ステータスのうちの少なくとも1つ、またはそれらのうちの2つ以上のものの任意の組合せを含んでもよい。制御エリアコンテキストは、RBC制御エリア内の、鉄道駅に物理的に存在する人々の数および/または列車走行のための乗車券購入によって明らかとなるような、鉄道輸送に対する顧客の需要を含んでもよい。オプションで、RBCアグリゲータ38は、特定されたサイバー攻撃の可能性に対する対応を取るように構成されてもよい。
例えば、列車300に関して上で論じた異常なドアステータスや時間遅延など、単一の列車300に関する異常な状況は、サイバー攻撃ではなく列車上でのデバイス故障によるものである場合がある。しかし、一実施形態では、RBCアグリゲータ38が、RBCアグリゲータ38が関連付けられているRBC230の制御エリア231内の異なる車上サイバースニッチおよびインフラストラクチャサイバースニッチからのデータメッセージ相互の関連を比較するように構成される。RBCアグリゲータが、車上アグリゲータ34から、RBC230の制御エリア231内の複数の異なる列車300に関して類似のドアステータスの異常または時間遅延を報告するデータを受信した場合、RBCアグリゲータは、データ相互の関連を比較して、より高い信頼性をもってデータがサイバー攻撃を示唆していると判定してもよい。
別の例として、一実施形態では、RBCアグリゲータ38が、軌道インターセクション206(図1B)におけるシグナル灯208、バリス218、および連動装置210を監視するインフラストラクチャサイバースニッチ36から受信したデータメッセージに応答して、サイバー攻撃が存在する可能性があると判定してもよい。例えば、列車の安全なインターセクション通過を可能にするようにRBC230の制御エリア231(図1B)内の軌道インターセクション206におけるポイントおよびシグナル208を制御することには、一般に、RBCとインターセクションに位置付けられた連動装置210とが協調してオーケストレーションするシグナルと事象の、注意深くタイミング合わせされたコレオグラフィが必要である。インターセクションの付近に接近しそこから去る列車300は、バリステレグラムおよび/またはGNSSロケーションに基づくそれらのロケーションを、GSM-Rを介してRBC230に報告する。ロケーション情報、および列車の混雑などのRBC制御エリアコンテキストパラメータに基づいて、RBCは、列車に関する移動権限と、対応する、ポイントおよびシグナル208が連動装置210によって列車の安全なインターセクション通過を可能にするように調停されるための制御シーケンスとを決定する。所与の列車300がインターセクションを通過する場合、RBCアグリゲータ38は、その列車上の車上アグリゲータ34を介して車上サイバースニッチ32から、またインターセクションにおける機器を監視するインフラストラクチャサイバースニッチ36から受信したデータメッセージを処理して、その列車の通過が、シグナリングおよびインターセクションを通る列車の移動の規範的シナリオと適合しているかどうかを判定してもよい。列車の通過に関連する事象が、規範的シナリオと適合していない場合、RBCアグリゲータ38は、サイバー攻撃の可能性の存在が示唆されていると判定してもよい。RBCアグリゲータが使用するための規範的シナリオは、RBCアグリゲータ内に含まれたデータベース(図示せず)内、またはRBCアグリゲータがアクセスできるデータベース、例えばハブ22内に含まれたデータベース23内に、格納されてもよい。
レールアイハブ22は、レールアイ20が担う鉄道システム200がその中で動作する地理的鉄道運行エリア204内のサイバースニッチ32および36ならびにアグリゲータ34および38からハブが受信したデータに応答して、サイバー攻撃の可能性を示唆する異常事象を特定するように動作してもよい。オプションで、ハブ22は、鉄道運行エリア204内の鉄道システムの動作に関するシステムコンテキストを生成し、システムコンテキストに基づいて、サイバー攻撃の可能性を示唆する異常事象を特定するように構成される。システムコンテキストは、時刻、季節、休日、運行エリア内での特別な事象、気象、および/または鉄道システム200に電力を供給する送電網のステータスのうちの少なくとも1つ、またはそれらのうちの2つ以上のものの任意の組合せを含んでもよい。一実施形態では、ハブ22は、ハブが受信したデータに基づいて、所与のRBC制御エリア231内の所与の列車300に対するサイバー攻撃の可能性、ならびに鉄道システム200の鉄道運行エリア204内のシステム全体にわたるサイバー攻撃の可能性を示唆する異常事象を特定するように構成されてもよい。ハブ22は、特定されたサイバー攻撃の可能性に対する対応を取るように構成されてもよい。
サイバー攻撃の可能性を特定する信頼性を高めるためにアグリゲータのRBC230の制御エリア内の複数の列車から受信したデータ相互の関連を比較してもよいRBCアグリゲータ38の場合と同様に、ハブ22も、サイバー攻撃を特定する信頼性を高めるために複数のRBCアグリゲータ38から受信したデータ相互の関連を比較するように動作してもよい。例えば、列車内の車上機器の故障がサイバー攻撃の疑いを生じさせる場合と同様に、故障および/または気象状況は、地上機器および/またはRBC230の動作にも影響を及ぼし、サイバー攻撃の疑いがあるというRBCアグリゲータ38による判定を生じさせる場合がある。複数のRBCアグリゲータ38から受信されたデータ相互の関連を比較することによって、ハブ22は、疑いが実際のサイバー攻撃によるものであるという判定の信頼性を高めてもよい。
別の例として、本開示の一実施形態では、ハブ22は、鉄道運行エリア204内の鉄道システム200の活動に関する、地理的および/または時間的な規範的パターンを決定し、規範的パターンをハブのメモリ23内に格納するように構成されてもよい。ハブは、サイバースニッチおよびアグリゲータからハブがデータメッセージ内で受信したデータに基づく鉄道システムの実時間活動パターンを規範的パターンと比較して、サイバー攻撃が存在するかどうかを判定してもよい。例えば、鉄道システム200の活動は、規範的な日中の、月ごとの、かつ/または季節ごとの活動パターンを呈してもよく、実時間活動パターンが規範的パターンとは相違する場合、ハブ22は、その相違がサイバー攻撃の存在を示唆していると判定してもよい。
具体例として、特定のRBC制御エリア231の所与の郊外地域における規範的旅客鉄道輸送量は、郊外地域からの人々が別のRBC制御エリア内の都市に通勤するので朝に多く、午前中遅くから午後早くにかけて次第に減り、人々が仕事から戻るので夕方に向かって再び増加する場合がある。所与の郊外地域における規範的な列車の速度および運行時隔は、輸送量と相互関連があることが期待される。朝の時間帯および午後遅い時間帯は、激しい旅客輸送量に応えるのに有利な能力を提供するために、列車速度は大きいことが期待されてもよく、運行時隔は相対的に短いことが期待されてもよい。輸送量が相対的に少ない午前中遅くから午後早い時間帯にかけては、列車速度はそれぞれ相対的に遅いことが期待され、運行時隔はそれぞれ相対的に長いことが期待される。ハブ22によって処理されるデータが、実時間の列車速度および/または運行時隔の大きさがそれぞれ、規範的な列車速度および運行時隔の大きさとは異なるか、または旅客輸送量負荷とは位相がずれていることを示す場合、ハブ22は、サイバー攻撃が存在すると判定してもよい。
本開示の一実施形態によるレールアイシステムは、所与の鉄道が遭遇したサイバー攻撃に関連するデータがその中に格納されてもよい匿名化データベース(ANDAT)を備え、かつ/またはそれにアクセスできてもよく、それによって、データは、他の鉄道にとってアクセス可能となってもよいが、所与の鉄道と容易に関連付けることができないようになる。所与の鉄道と容易に関連付けられないサイバー攻撃データは、匿名化データと呼ばれる場合がある。匿名化データは、データを匿名化するようにデータが処理された後にANDATにアップロードされてもよく、匿名化の前にANDATにアップロードされてその中に格納され、ANDAT内のデータにアクセスする権限が与えられたエンティティによってダウンロードされる前に匿名化されるように処理されてもよい。ANDATにアクセスできる協調鉄道間でサイバー攻撃データを共有できるようにすることによって、ANDATは、データベースを使用する鉄道に、単一の鉄道にとって普通なら入手可能となるはずであるよりも多量のサイバー攻撃データへのアクセスを提供する。結果として、ANDATデータベースを使用する鉄道は、サイバー攻撃を検出し、それに対抗することのできるその能力を強化するのにそれ自体が使用する目的で、サイバー攻撃の改良された解析を行うことができてもよい。サイバー攻撃データの匿名化は、サイバー犯罪者がデータを解析して、ANDATを使用する特定の鉄道のサイバー脆弱性を特定し、それを悪用するのを、より困難にするように作用する。
図3は、複数の、オプションで3つのレールアイシステム121、122、および123を概略的に示しており、レールアイシステム121、122、および123はそれぞれ、鉄道131、132、133を防護するように動作し、またレールアイシステム121、122、および123は、オプションでクラウドベースの、共通のANDAT100を協調的に使用し、このANDAT100においては、協調レールアイシステムのそれぞれが、レールアイが遭遇したサイバー攻撃シナリオに関係する匿名化サイバー攻撃データを格納し、かつ/またはそれを受信してもよい。各レールアイは、例として、レールアイ20(図1A)のコンポーネントに類似のコンポーネントを備えるものと仮定され、それに加えて、レールアイのハブ22内に含まれているかまたはそれと通信するアノニマイザ102も有するものと仮定される。図3では、アノニマイザ102が、例として、それらのそれぞれに対応するハブ22と通信するがそこから独立しているように構成されるものとして示してある。レールアイシステム121、122、および123など、一実施形態による複数の協調レールアイシステムは、レールアイ集合体と呼ばれる場合がある。
アノニマイザ102は、レールアイシステム121、122、または123がANDAT100に格納を目的としてアップロードする、またはANDATからダウンロードするデータから、レールアイシステム121、122、もしくは123またはそれらが防護する鉄道のうちの所与の1つとそのデータを容易に関連付けることができないように、情報アイテムを「スクラビングする」ように動作する。提示の便宜上、アノニマイザはサイバー攻撃データをその関連するレールアイから、レールアイがデータをアップロードする前にスクラビングするものと仮定される。スクラビングには、サイバー攻撃データを、サイバー攻撃に遭遇した特定のレールアイまたはそのレールアイが防護する鉄道と関連付ける困難さを高めるために、サイバー攻撃に関係するデータから情報アイテムを削除し、暗号化し、またはその他の方法で隠す(一般に暗号化と呼ばれる)ことが関与してもよい。実施形態による情報のスクラビングは、情報アイテムを暗号化するように作用するが、異常事象がサイバー攻撃を示唆しているかどうかを判定することに関連する、かつ/または類似の異常事象によって示唆される場合があるサイバー攻撃を特定することに関連する情報の完全性を維持するように、一般に制約を受ける。
例えば、ERTMS/ETCS通信は、特定のシンタックスに従ってネストされ、定義され、構成される、変数、パケット、およびメッセージに基づいている。ERTMS/ETCS変数は、個々のデータ値を符号化するために使用される。ERTMS/ETCSパケットは、2つ以上の変数を含んでもよく、NID_Packetと呼ばれる一意のパケットタイプ番号によってパケットを特定するヘッダを含んでもよい。ヘッダは、国コード"NID_C"など、鉄道を特定する場合があるような管理変数、RBCコード"NID_RBC"、列車運転士コード"Driver_ID"、ユーザ識別情報"NID_USER"、ユーロバリスグループの延びる方向を指定する"Q_DIR"、およびパケットペイロード内に含まれてもよい距離情報を特徴付ける距離スケールを指定する"Q_SCALE"を含んでもよい。ERTMS/ETCSメッセージは、典型的には複数のERTMS/ETCS変数および/またはパケットをグループ化する。ERTMS/ETCSパケットの場合と同様に、ERTMS/ETCSメッセージも、メッセージのタイプを特定するNID_MESSAGEと呼ばれるID番号を含むヘッダ、および管理変数を含む。管理変数は、列車載クロックによる時間"T_TRAIN"、バリスグループ識別番号"NID_LRBG"、および/または軌道勾配プロファイルを含んでもよい。テレグラムは、バリスなどの単一スポットデバイスによって伝送されるメッセージの一タイプである。
一実施形態によれば、レールアイ121、122、または123のアノニマイザ102は、アノニマイザまたはレールアイがANDAT100にアップロードするERTMS/ETCSメッセージを、サイバー攻撃の匿名化レコードを提供し、レコード内の上述したような変数の中からレールアイまたはレールアイが防護する鉄道131、132、もしくは133を特定するために使用されるおそれのある、特定的な(identifying)変数を暗号化するように、スクラビングしてもよい。
データをスクラビングすることに加えて、データを匿名化することは、オプションで、匿名化データをANDAT100に対して更新するレールアイ121、122、123の識別情報を隠すことも含む。一実施形態では、レールアイシステム121、122、および123に関連するアノニマイザ102が、匿名化データをANDAT100に対して更新するレールアイの識別情報を協調的に隠す。例えば、一実施形態では、アノニマイザ102同士が、アノニマイザ102同士を接続する、222という符号によって参照される破線矢印222によって概略的に表される、リング通信ネットワークを介して互いに通信してもよい。所与のレールアイ121、122、または123が、ANDAT100にアップロードする準備の整った匿名化データを生成すると、所与のレールアイは、ランダム持続時間を有する遅延期間を設定し、匿名化データをリングネットワーク上の残りのアノニマイザに伝送する。別のアノニマイザは、匿名化データを受信すると、匿名化データをダウンロードし、ランダム遅延を設定し、匿名化データをリング上に再伝送する。オプションで、所与のアノニマイザが、それ自体が生成し伝送した匿名化データを受信すると、そのアノニマイザは、リング上の循環から匿名化データを除去する。各アノニマイザ102は、アノニマイザが匿名化データを生成したかまたはリングから受信した時間の後で、アノニマイザが設定したランダム遅延分だけ遅延した時間に、匿名化データをANDAT100にアップロードする。一実施形態では、各アノニマイザ102はそのランダム遅延を、各アノニマイザに異なるランダム遅延を与え、そのため、異なるアノニマイザ102が匿名化データをアップロードする順番もランダムとなるように作用するアルゴリズムに応答して設定する。全てのアノニマイザが同一匿名化データを異なるランダムな時間にアップロードするので、どのレールアイシステム121、122、123がランダムなデータのソースであるかを突き止めることが、有利には困難となる。
上の説明では、アノニマイザ102は、リングトポロジーを介して通信し、匿名化データをANDAT100にアップロードするものとして説明されているが、一実施形態では、アノニマイザ以外のレールアイシステムのコンポーネントが、リングトポロジー経由で通信し、匿名化データをANDAT100にアップロードするように動作するよう、構成されてもよいことに留意されよう。
図4は、例として、鉄道132(図3)を防護するレールアイ122が、鉄道の一部分に対するサイバー攻撃を示唆する異常事象を特定し、事象の匿名化レポートを生成し、それをANDAT100にアップロードする、一例示的シナリオを概略的に示す。
図4の例示的シナリオでは、鉄道132内の軌道の湾曲セクション400の上を通過する列車300の機関車310(図2B)が、(提示の便宜上、カーなしで)概略的に示されている。軌道セクション400は、バリスグループ411、412、および413をそれぞれ、軌道セクション400の領域421、422、および423に備える。例として、各バリスグループは、2つのバリスB1およびB2を備えるものと仮定される。機関車310は、それが軌道に沿ってブロック矢印401によって示される方向に移動するときの軌道400に沿ったロケーション421、422、および423に示されている。サイバー犯罪者が、ロケーション422と423との間のロケーション"X"に、フェイクバリスFB-1およびFB-2を備えるフェイクバリスグループ"FB"を設置した。フェイクバリスグループFBは、バリスグループ413になりすまし、その識別情報を装うように構成される。
機関車310が軌道400に沿って領域421を通過するとき、機関車バリスリーダ314が最初に、バリスグループ411内のバリスB1およびB2に遭遇し、それらの上を通過し、それらにエネルギーを付与する。バリスグループ内の各バリスは、エネルギーを付与されたことに応答して、両矢印線411-1によって概略的に表されるテレグラムをバリスリーダ314に伝送することによって応答する。各テレグラムは、テレグラムを伝送するバリスグループ411内のバリスB1またはB2を特定するN_PIG、バリスグループ411内のバリスの総数であるN_TOTAL、およびバリスグループ411が位置付けられている国を特定するNID_Cなどの情報アイテムを含む。機関車310は、バリスグループ411内のB1およびB2からバリステレグラム411-1を受信したことに応答して、機関車310の位置を報告するために、稲妻矢印411-2によって概略的に表されるERTMS/ETCS列車位置レポートメッセージ(Train Position Report message)136をRBC230に伝送する。メッセージ136は、それぞれ上述したNID_Message、L_Message、T_Train、ならびにエンジン機器サプライヤを特定するNID_Engine、およびバリスグループ411を特定するNID_LRBGを示すパケットを含んでもよい。RBC230は、稲妻矢印411-3によって概略的に示される、RBCが機関車310に伝送する移動許可メッセージ(movement authority Message)3を用いて応答する。メッセージ3は、メッセージ識別子NID_Message、T_Train、M_ACK、機関車310によってRBC230に報告された最終バリスグループ(バリスグループ411)を示す識別情報であるNID_LBRG、および機関車310にそれが軌道400に沿って進行する権限が与えられたことを知らせるレベル2/3移動許可(level 2/3 Movement Authority)を示すパケット(packet)15を含む。列車にロケーション421における移動許可を与える、軌道から列車機関車310、列車機関車310からRBC230、およびRBC230から列車機関車310への通信のシーケンスは、ロケーション422において、メッセージ4
11-1、411-2、および411-3に類似のメッセージ412-1、412-2、および412-3のセットを用いて繰り返される。
11-1、411-2、および411-3に類似のメッセージ412-1、412-2、および412-3のセットを用いて繰り返される。
ロケーションXにおけるフェイクバリスグループFBの上を通過時に、バリスグループFBは、バリスグループ413の識別情報をテレグラムし、それによって機関車310に、それがバリスグループ413からテレグラムを受信したという、「ブラックハット」メッセージ136Xとして概略的に表される偽の位置レポートメッセージ136を送信させる。その結果、RBC230は、機関車310が、実際には領域X内に位置するときに、バリスグループ413が位置付けられている領域423内に位置するという、誤った結論を下す。領域Xのほうが領域423に比べて、機関車310がその最終位置を報告した領域422に近いので、RBC230は、機関車310が、それが走行しているべき速さよりもずっと速く走行しているという、誤った結論を下す場合がある。その結果、RBC230は、例えば、機関車310の移動許可を却下する、かつ/または機関車310の緊急停止を実行するように動作するなど、鉄道132の安全性を維持するための措置を取ってもよい。あるいは、例として、RBC230は、誤った移動許可を伝送する場合がある。機関車310の誤ったロケーションを受信したことに応答してのRBC230の措置は、鉄道によって提供されるサービスの重大かつ/または危険な途絶を引き起こすおそれがある。
一実施形態では、RBC230が関与する通信を監視するインフラストラクチャサイバースニッチ36が、機関車310とRBC230との間のメッセージ411-2、411-3、412-2、412-3、および136Xなどの通信をRBCアグリゲータ38に、解析および/またはハブ22への転送を目的として転送してもよい。アグリゲータ38は、機関車310内に含まれた車上サイバースニッチ32から機関車内の車上アグリゲータ34を介してメッセージを受信し、オプションでそのメッセージをハブ22に転送してもよい。一実施形態では、ネットワークタップとして動作する車上スニッチが、機関車JRUに到来する通信をミラーリングして、メッセージ411-1、411-2、411-3、412-1、412-2、412-3、および136XなどのメッセージをRBCアグリゲータ38に、解析および/またはハブ22への転送を目的として転送してもよい。RBCアグリゲータ38および/またはハブ22は、サイバースニッチからのメッセージを処理して、ブラックハットメッセージ136Xがサイバー攻撃の結果として生成された場合がある異常メッセージであると判定してもよい。
例えば、RBCアグリゲータ38および/またはハブ22は、機関車車輪回転、機関車310内の主電動機(electric traction motor)の温度に応答して信号を生成する車上サイバースニッチ32、および/または機関車の運行によって発生する音を監視する音響サイバースニッチからの信号が、機関車310が安全制限速度を上回って走行しているという結論と矛盾していると判定してもよい。RBC230が、ブラックハットメッセージ136Xに応答して、軌道400に沿った機関車310の移動を停止させるように動作しない場合、機関車310が領域423内のバリスグループ413の上を通過し、そこからテレグラムを受信したときに、機関車からRBC230によって受信された有効位置メッセージ136が、ブラックハットメッセージ136Xが偽物であり、サイバー攻撃を示唆する場合があることを裏付けてもよい。図4では、バリスグループ413内のバリスB1およびB2からのテレグラムが、両矢印線413-1によって表されており、領域423における機関車310からのメッセージ136が、ライティング矢印413-2によって表されている。
一実施形態では、レールアイ122内に含まれたアノニマイザ102が、ブラックハットメッセージ136X、およびインフラストラクチャアグリゲータ38またはハブ22によって受信された、ブラックハットメッセージ136Xに関連するメッセージを、メッセージ内の、ブラックハットメッセージおよび鉄道132に関連するメッセージを特定する情報アイテムを暗号化することによって、スクラビングする。オプションで、スクラビングに続いて、レールアイ122は、リングネットワーク222(図3)を介して、スクラビング済みメッセージをANDAT100にアップロードして、レールアイ121および123によってアクセスされてもよいブラックハットメッセージ136Xに関する匿名化事象レコードを提供する。
例として、ブラックハットメッセージ136Xに関連するメッセージをスクラビングすることは、メッセージ内の列車時間T_Trainを、初期列車時間T_Trainが0である時間スケールに標準化すること、および/または変数NID_C、NID_LRBG、およびNID_Engineのうちの少なくとも1つに関する値もしくはそれらの任意の組合せに関する値を、メッセージから削除することを含んでもよい。
したがって、本開示の一実施形態によれば、鉄道にセキュリティを与えるためのサイバーセキュリティシステムであって、データ監視および処理ハブと、同一ネットワーククロックに同期され、鉄道インフラストラクチャデバイス、および列車通信ネットワーク(TCN)を用いる鉄道車両の車上デバイスを監視し、監視されたデータをハブに、サイバー攻撃を示唆する鉄道運行の異常を検出するようにハブによって処理する目的で転送するように構成される、複数のデータ収集エージェントを備えるネットワークとを備え、所与の鉄道車両のTCNに接続された車上デバイスを監視する複数のデータ収集エージェントのうちのエージェントが、デバイスにまたはデバイスから伝搬する信号を、TCNを介して受信し、所与の受信した信号と、それに加えて所与の受信した信号がそのエージェントによって受信された時点のネットワーククロック時間を含むタイムスタンプとに基づくデータをハブに転送する、システムが提供される。
オプションで、TCNは、有線列車バス(WTB)に結合された多機能車両バス(MVB)を備え、タイムスタンプは、所与の受信した信号がその間にTCN経由で伝搬するMVBのターンの開始間の時間経過の値を含む。オプションで、データ収集エージェントからなるネットワークは、全地球航法衛星システム(GNSS)伝送によって提供される基準周波数および時刻(TOD)タイミング情報に基づいて同期される。オプションで、タイミング情報は、基準周波数および時刻(TOD)を含む。オプションで、車上デバイスを監視するエージェントは、基準周波数およびToDを提供するプライマリリファレンスタイムクロック(PRTC)を備える。
本開示の一実施形態では、複数のデータ収集エージェントのうちのエージェントが、ステルスモードで動作するように構成されるステルスエージェントであり、そのステルスモードでは、エージェントが監視するデバイスの実時間動作をエージェントが最小限にしか妨害しない。オプションで、ステルスモードでは、ステルスエージェントの動作が、国際標準規格によって制定された妨害の限度を満足させる。オプションで、ステルスモードエージェントは、デバイスのアイドル時間の間だけデバイスを監視するように構成される。それに加えてまたはその代わりに、ステルスエージェントは、監視されるデバイスへのワイヤレス接続を可能にするように構成されるアンテナであって、そのワイヤレス接続を介して、ステルスエージェントが、監視されるデバイスから、デバイスの実時間動作を最小限にしか妨害せずに信号を受信する、アンテナを備えてもよい。オプションで、ステルスエージェントは、デバイスからステルスエージェントが受信した信号を復調するための拡散符号系列を受信するように構成される。オプションで、アンテナは、ユーロループ(Euroloop)の放射同軸ケーブルへのワイヤレス接続を可能にするように構成される。
本開示の一実施形態では、エージェントは、監視されたデータを、ハブに転送する目的で共通のプロトコルにおいて符号化するように構成される。
本開示の一実施形態では、ハブは、時間に応じてハブによって受信された特定のタイプのいくつかの信号を示す信号発生周波数スペクトル(signal occurrence frequency spectrum)を生成する。ハブは、サイバー攻撃を示唆する場合がある異常を特定するように発生周波数スペクトルを処理してもよい。それに加えてまたはその代わりに、発生周波数スペクトルは、信号のタイプに応じて所与の時間期間の間に受信されたいくつかの信号を示す。
本開示の一実施形態では、ハブは、少なくとも2つの異なる鉄道車両のそれぞれについて、信号発生周波数スペクトルを生成し、それらのスペクトルを、サイバー攻撃を示唆する場合がある異常を特定するように処理する。本開示の一実施形態では、ハブは、エージェントからそれが受信したデータを、インフラストラクチャデバイスおよび/または車上デバイスの動作の、サイバー攻撃を示唆する場合がある時間的異常を特定するように処理する。本開示の一実施形態では、ハブは、それが受信したデータを、インフラストラクチャデバイスまたは鉄道車両デバイスの動作に関するコンテキストを生成するように処理し、サイバー攻撃を示唆する場合がある異常を特定するために、デバイスの動作がコンテキストと矛盾するかどうかを判定する。
本開示の一実施形態では、サイバーセキュリティは、複数のデータ収集エージェントのうちのデータ収集エージェントからハブが受信したデータから、サイバーセキュリティシステムまたはそのシステムがセキュリティを与える対象の鉄道を特定するために使用されるおそれのある情報アイテムをスクラビングするように構成される、少なくとも1つのアノニマイザを備えてもよい。
本開示の一実施形態によれば、複数の、本開示の一実施形態によるサイバーセキュリティシステムであって、それぞれが複数の鉄道システムのうちの異なる鉄道システムにセキュリティを与える、複数のサイバーセキュリティシステムと、各サイバーセキュリティシステムについて、複数のデータ収集エージェントのうちのデータ収集エージェントからサイバーセキュリティシステムのハブが受信したデータから、サイバーセキュリティシステムおよび/またはそのサイバーセキュリティシステムがセキュリティを与える対象の鉄道を特定するために使用されるおそれのある情報アイテムをスクラビングするように動作可能な、少なくとも1つのアノニマイザと、複数のサイバーセキュリティシステムのうちのサイバーセキュリティシステム同士がスクラビング済みデータを共有するためにそれを経由して通信するように構成される、リングトポロジー通信システムとを備える、サイバーセキュリティ集合体がさらに提供される。
オプションで、サイバーセキュリティ集合体は、少なくとも1つのアノニマイザのそれぞれがスクラビングしたデータを受信し、格納するように構成される、データベースを備える。オプションで、サイバーセキュリティシステムは、複数のサイバーセキュリティシステムのうちの所与のサイバーセキュリティシステムの少なくとも1つのアノニマイザによってスクラビングされたデータを、残りのサイバーセキュリティシステムのそれぞれと、リングトポロジー通信システム経由の伝送を介して共有するように構成される。オプションで、各サイバーセキュリティシステムは、それが生成したかまたはリングトポロジーネットワークを介して受信したスクラビング済みデータを、データベースに伝送するように構成される。サイバーセキュリティシステムはそれぞれ、それが生成したかまたはリングトポロジーネットワークを介して受信したスクラビング済みデータを、データベースに伝送するように構成されてもよい。各サイバーセキュリティシステムは、同一共有データを、サイバーセキュリティシステムが共有データを生成したかまたは受信した時間に対して異なるランダム時間に、データベースに伝送するように構成されてもよい。
一実施形態では、複数のサイバーセキュリティシステムのうちの各サイバーセキュリティシステムが、データベースからスクラビング済みデータを受信するためにデータベースにアクセスするように構成される。
一実施形態では、スクラビング済みデータは、複数のサイバーセキュリティシステムのうちのサイバーセキュリティシステムによって防護される鉄道に関連するサイバー攻撃を示唆するデータを含む。
本出願の説明および特許請求の範囲では、「備える」、「含む」、および「有する」という各動詞、ならびにそれらの活用形(conjugate)は、動詞の1つまたは複数の目的語が必ずしも動詞の1つまたは複数の主語の構成要素、要素、または部分の完全なリストであるとは限らない、ということを示すために使用される。
本出願における本発明の実施形態の説明は、例として提供されており、本発明の範囲を限定するようには意図されていない。説明した実施形態は、その全てが本発明の全ての実施形態において必要であるとは限らない、さまざまな特徴を含んでいる。それらの特徴の一部のみ、またはそれらの特徴の可能な組合せを利用する実施形態もある。説明した本発明の実施形態の変形形態、および説明した実施形態において言及した特徴のさまざまな組合せを含む本発明の実施形態が、当業者には想到されよう。本発明の範囲は、特許請求の範囲によってのみ限定される。
20 レールアイシステム、レールアイ
22 処理ハブ、レールアイハブ
23 メモリ、データベース
24 プロセッサ
25 クロック
32 車上サイバースニッチ、車上スニッチ
32-1 ラベル、サイバースニッチ
32-2 ラベル、サイバースニッチ
32-3 ラベル
34 車上アグリゲータノード、車上アグリゲータ
36 インフラストラクチャサイバースニッチ、インフラストラクチャスニッチ
38 RBCアグリゲータ、インフラストラクチャアグリゲータ
50 衛星
100 ANDAT
102 アノニマイザ
121 レールアイシステム、レールアイ
122 レールアイシステム、レールアイ
123 レールアイシステム、レールアイ
131 鉄道
132 鉄道
133 鉄道
136X ブラックハットメッセージ
200 鉄道システム
202 軌道インフラストラクチャ
204 破線の矩形、地理的鉄道運行エリア
206 軌道ジャンクション、軌道インターセクション
207 渡り線
208 色灯式シグナル機器、シグナリング装置、シグナル、シグナル灯
210 連動システム、連動装置
218 沿線バリス
222 破線矢印、リングネットワーク
230 RBC
231 破線の六角形境界線、RBC制御エリア
260 人のアイコンの集団
300 列車
310 列車機関車
312 通信モジュール
313 GNSS(全地球航法衛星システム)レシーバ
314 機関車バリスリーダ
330 列車車両、列車カー
331 列車通信ネットワークTCN
332 MVBバス、MVB
334 列車車両ゲートウェイ
335 バスマスタ
336 WTB
362 ブレーキ制御装置
400 湾曲セクション、軌道セクション、軌道
401 ブロック矢印
411 バリスグループ
411-1 両矢印線、バリステレグラム、メッセージ
411-2 稲妻矢印、メッセージ
411-3 稲妻矢印、メッセージ
412 バリスグループ
412-1 メッセージ
412-2 メッセージ
412-3 メッセージ
413 バリスグループ
413-1 両矢印線
413-2 ライティング矢印
421 領域、ロケーション
422 領域、ロケーション
423 領域、ロケーション
B1 バリス
B2 バリス
FB フェイクバリスグループ
FB-1 フェイクバリス
FB-2 フェイクバリス
X ロケーション、領域
22 処理ハブ、レールアイハブ
23 メモリ、データベース
24 プロセッサ
25 クロック
32 車上サイバースニッチ、車上スニッチ
32-1 ラベル、サイバースニッチ
32-2 ラベル、サイバースニッチ
32-3 ラベル
34 車上アグリゲータノード、車上アグリゲータ
36 インフラストラクチャサイバースニッチ、インフラストラクチャスニッチ
38 RBCアグリゲータ、インフラストラクチャアグリゲータ
50 衛星
100 ANDAT
102 アノニマイザ
121 レールアイシステム、レールアイ
122 レールアイシステム、レールアイ
123 レールアイシステム、レールアイ
131 鉄道
132 鉄道
133 鉄道
136X ブラックハットメッセージ
200 鉄道システム
202 軌道インフラストラクチャ
204 破線の矩形、地理的鉄道運行エリア
206 軌道ジャンクション、軌道インターセクション
207 渡り線
208 色灯式シグナル機器、シグナリング装置、シグナル、シグナル灯
210 連動システム、連動装置
218 沿線バリス
222 破線矢印、リングネットワーク
230 RBC
231 破線の六角形境界線、RBC制御エリア
260 人のアイコンの集団
300 列車
310 列車機関車
312 通信モジュール
313 GNSS(全地球航法衛星システム)レシーバ
314 機関車バリスリーダ
330 列車車両、列車カー
331 列車通信ネットワークTCN
332 MVBバス、MVB
334 列車車両ゲートウェイ
335 バスマスタ
336 WTB
362 ブレーキ制御装置
400 湾曲セクション、軌道セクション、軌道
401 ブロック矢印
411 バリスグループ
411-1 両矢印線、バリステレグラム、メッセージ
411-2 稲妻矢印、メッセージ
411-3 稲妻矢印、メッセージ
412 バリスグループ
412-1 メッセージ
412-2 メッセージ
412-3 メッセージ
413 バリスグループ
413-1 両矢印線
413-2 ライティング矢印
421 領域、ロケーション
422 領域、ロケーション
423 領域、ロケーション
B1 バリス
B2 バリス
FB フェイクバリスグループ
FB-1 フェイクバリス
FB-2 フェイクバリス
X ロケーション、領域
Claims (16)
- 鉄道(200)にセキュリティを与えるためのサイバーセキュリティシステム(20)であって、
データ監視および処理ハブ(22)と、
同一ネットワーククロックに同期され、鉄道インフラストラクチャデバイスおよび列車通信ネットワーク(TCN)(331)を用いる鉄道車両の車上デバイスを監視し、かつサイバー攻撃を示唆する鉄道運行の異常を検出するように前記ハブによって処理する目的で監視されたデータを前記ハブに転送するように構成される、複数のデータ収集エージェント(32、34)を備えるネットワークと
を備え、
所与の鉄道車両の前記TCNに接続された車上デバイスを監視する前記複数のデータ収集エージェントのうちのエージェントが、前記TCNを介して前記デバイスにまたは前記デバイスから伝搬する信号を受信し、所与の受信した信号と、それに加えて前記所与の受信した信号が前記エージェントによって受信された時点のネットワーククロック時間を含むタイムスタンプとに基づくデータを前記ハブに転送する、
サイバーセキュリティシステム。 - 前記TCNが、有線列車バス(WTB)(336)に結合された多機能車両バス(MVB)(332)を備え、前記タイムスタンプが、前記所与の受信した信号がその間に前記TCN経由で伝搬する前記MVBのターンの開始間の時間経過の値を含む、請求項1に記載のサイバーセキュリティシステム。
- 前記データ収集エージェントのネットワークが、全地球航法衛星システム(GNSS)(50)伝送によって提供される基準周波数および時刻(TOD)タイミング情報に基づいて同期される、請求項2に記載のサイバーセキュリティシステム。
- 前記車上デバイスを監視する前記エージェントが、前記基準周波数およびToDを提供するプライマリリファレンスタイムクロック(PRTC)を備える、請求項3に記載のサイバーセキュリティシステム。
- 前記複数のデータ収集エージェントのうちのエージェントが、ステルスモードで動作するように構成されるステルスエージェントであり、前記ステルスモードでは、前記エージェントが監視するデバイスの実時間動作を前記エージェントが最小限にしか妨害しない、請求項1から4のいずれか一項に記載のサイバーセキュリティシステム。
- 前記ステルスモードでは、前記ステルスエージェントの動作が、国際標準規格によって制定された妨害の限度を満足させる、請求項5に記載のサイバーセキュリティシステム。
- 前記ステルスエージェントが、デバイスのアイドル時間の間だけ前記デバイスを監視するように構成される、請求項6に記載のサイバーセキュリティシステム。
- 前記ステルスエージェントが、
監視されるデバイスへのワイヤレス接続を可能にするように構成されるアンテナであって、前記ワイヤレス接続を介して、前記ステルスエージェントが、前記監視されるデバイスから前記デバイスの実時間動作を最小限にしか妨害せずに信号を受信する、アンテナと、
ソフトウェアであって、拡散符号系列を受信し、かつ前記デバイスから前記ステルスエージェントが受信した信号を復調するために、前記ソフトウェアを使用するように実行可能なソフトウェアと
を備える、請求項6または7に記載のサイバーセキュリティシステム。 - 前記エージェントが、前記ハブに転送する目的で共通のプロトコルにおいて監視されたデータを符号化するように構成される、請求項1から8のいずれか一項に記載のサイバーセキュリティシステム。
- 前記ハブが、時間に応じて前記ハブによって受信された特定のタイプのいくつかの信号を示す信号発生周波数スペクトルを生成する、請求項1から9のいずれか一項に記載のサイバーセキュリティシステム。
- 前記ハブが、サイバー攻撃を示唆する場合がある異常を特定するように前記発生周波数スペクトルを処理する、請求項10に記載のサイバーセキュリティシステム。
- 前記発生周波数スペクトルが、信号のタイプに応じて所与の時間期間の間に受信されたいくつかの信号を示す、請求項10または11に記載のサイバーセキュリティシステム。
- 前記ハブが、少なくとも2つの異なる鉄道車両のそれぞれについて信号発生周波数スペクトルを生成し、サイバー攻撃を示唆する場合がある異常を特定するように前記スペクトルを処理する、請求項10から12のいずれか一項に記載のサイバーセキュリティシステム。
- 前記ハブが、インフラストラクチャデバイスおよび/または車上デバイスの動作のサイバー攻撃を示唆する場合がある時間的異常を特定するように前記エージェントから前記ハブが受信したデータを処理する、請求項1から13のいずれか一項に記載のサイバーセキュリティシステム。
- 前記ハブが、インフラストラクチャデバイスまたは鉄道車両デバイスの動作に関するコンテキストを生成するように前記ハブが受信したデータを処理し、かつサイバー攻撃を示唆する場合がある異常を特定するために前記デバイスの動作が前記コンテキストと矛盾するかどうかを判定する、請求項1から14のいずれか一項に記載のサイバーセキュリティシステム。
- 前記複数のデータ収集エージェントのうちのデータ収集エージェントから前記ハブが受信したデータから、前記サイバーセキュリティシステムまたは前記システムがセキュリティを与える対象の前記鉄道を特定するために使用されるおそれのある情報アイテムをスクラビングするように構成される、少なくとも1つのアノニマイザ(102)を備える、請求項1から15のいずれか一項に記載のサイバーセキュリティシステム。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862671622P | 2018-05-15 | 2018-05-15 | |
| US62/671,622 | 2018-05-15 | ||
| US201862726444P | 2018-09-04 | 2018-09-04 | |
| US62/726,444 | 2018-09-04 | ||
| PCT/IL2018/051417 WO2019220424A1 (en) | 2018-05-15 | 2018-12-31 | Railway cyber security systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021518727A JP2021518727A (ja) | 2021-08-02 |
| JP7090754B2 true JP7090754B2 (ja) | 2022-06-24 |
Family
ID=65278429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020573556A Active JP7090754B2 (ja) | 2018-05-15 | 2018-12-31 | 鉄道サイバーセキュリティシステム |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US10986108B2 (ja) |
| EP (2) | EP3656643B1 (ja) |
| JP (1) | JP7090754B2 (ja) |
| AU (2) | AU2018423506B2 (ja) |
| DK (2) | DK3625102T3 (ja) |
| ES (2) | ES2845899T3 (ja) |
| LT (2) | LT3656643T (ja) |
| WO (1) | WO2019220424A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4050502A1 (en) * | 2018-04-09 | 2022-08-31 | Cervello Ltd. | Methods systems devices circuits and functionally related machine executable instructions for transportation management network cybersecurity |
| DK3625102T3 (da) | 2018-05-15 | 2020-11-02 | Cylus Cyber Security Ltd | Jernbanecybersikkerhedssystem |
| US11647041B2 (en) * | 2019-04-08 | 2023-05-09 | United States Of America As Represented By The Secretary Of The Air Force | System and method for privacy preservation in cyber threat |
| AU2020275139B2 (en) | 2019-05-16 | 2021-09-09 | Cylus Cyber Security Ltd. | Self organizing cyber rail-cop |
| WO2021084542A1 (en) * | 2019-10-30 | 2021-05-06 | Cylus Cyber Security Ltd. | Balise integrity |
| CN111845853A (zh) * | 2020-06-30 | 2020-10-30 | 中车工业研究院有限公司 | 一种基于主动防御的列控车载系统 |
| CN113014423A (zh) * | 2021-02-09 | 2021-06-22 | 郭晓毅 | 一种防护铁路外界入侵的报警系统 |
| CN113190397B (zh) * | 2021-03-25 | 2021-11-16 | 北京城建智控科技股份有限公司 | 基于多进程架构的微机监测系统实时数据处理方法 |
| EP4101727A1 (en) * | 2021-06-11 | 2022-12-14 | ALSTOM Transport Technologies | Smart object controller for railway tracks |
| US20230007046A1 (en) * | 2021-06-30 | 2023-01-05 | Cervello Ltd | Methods Systems Devices Circuits and Functionally Related Machine Executable Instructions for Operational Commands Based Cybersecurity of a transportation Management Network |
| US20240223592A1 (en) * | 2022-12-30 | 2024-07-04 | Darktrace Holdings Limited | Use of graph neural networks to classify, generate, and analyze synthetic cyber security incidents |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007243338A (ja) | 2006-03-06 | 2007-09-20 | Kddi R & D Laboratories Inc | ログ分析装置、ログ分析プログラム、および記録媒体 |
| JP2015030274A (ja) | 2013-07-31 | 2015-02-16 | 大同信号株式会社 | 無線式踏切警報システム |
| JP2016502697A (ja) | 2012-10-17 | 2016-01-28 | タワー−セク・リミテッド | 輸送手段への攻撃の検出および防止のためのデバイス |
| JP2016517597A (ja) | 2013-03-15 | 2016-06-16 | パワー フィンガープリンティング インコーポレイテッド | コンピュータベースのシステムに電力指紋付けシステムを使用して保全性評価を強化するシステム、方法、及び装置 |
| JP2016159784A (ja) | 2015-03-02 | 2016-09-05 | 大同信号株式会社 | 無線式鉄道制御システム及び地上装置 |
| WO2016148840A1 (en) | 2015-03-18 | 2016-09-22 | Qualcomm Incorporated | Methods and systems for automated anonymous crowdsourcing of characterized device behaviors |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8037204B2 (en) | 2005-02-11 | 2011-10-11 | Cisco Technology, Inc. | Method and system for IP train inauguration |
| EP2299650A1 (de) * | 2009-09-21 | 2011-03-23 | Siemens Aktiengesellschaft | Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk |
| DE102010027131A1 (de) * | 2010-07-14 | 2012-01-19 | Siemens Aktiengesellschaft | System und Verfahren zur bidirektionalen Kommunikation mit einem Schienenfahrzeug |
| DE102011076350A1 (de) * | 2011-05-24 | 2012-11-29 | Siemens Aktiengesellschaft | Verfahren und Steuereinheit zur Erkennung von Manipulationen an einem Fahrzeugnetzwerk |
| US20150009331A1 (en) * | 2012-02-17 | 2015-01-08 | Balaji Venkatraman | Real time railway disaster vulnerability assessment and rescue guidance system using multi-layered video computational analytics |
| US9233698B2 (en) * | 2012-09-10 | 2016-01-12 | Siemens Industry, Inc. | Railway safety critical systems with task redundancy and asymmetric communications capability |
| US9796400B2 (en) * | 2013-11-27 | 2017-10-24 | Solfice Research, Inc. | Real time machine vision and point-cloud analysis for remote sensing and vehicle control |
| EP2892201B1 (en) | 2014-01-06 | 2017-08-30 | Argus Cyber Security Ltd. | Detective watchman |
| US9718487B2 (en) * | 2014-02-18 | 2017-08-01 | Nabil N. Ghaly | Method and apparatus for a train control system |
| EP3150460B1 (en) * | 2015-09-30 | 2019-11-13 | ALSTOM Transport Technologies | Railway vehicle with unidirectional security gateway for secure diagnosis data transmission |
| JP6846991B2 (ja) | 2016-07-05 | 2021-03-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | 異常検知電子制御ユニット、車載ネットワークシステム及び異常検知方法 |
| US10805324B2 (en) | 2017-01-03 | 2020-10-13 | General Electric Company | Cluster-based decision boundaries for threat detection in industrial asset control system |
| EP4050502A1 (en) | 2018-04-09 | 2022-08-31 | Cervello Ltd. | Methods systems devices circuits and functionally related machine executable instructions for transportation management network cybersecurity |
| DK3625102T3 (da) | 2018-05-15 | 2020-11-02 | Cylus Cyber Security Ltd | Jernbanecybersikkerhedssystem |
| US11671308B2 (en) | 2018-10-30 | 2023-06-06 | Nokia Solutions And Networks Oy | Diagnosis knowledge sharing for self-healing |
-
2018
- 2018-12-31 DK DK18842852.8T patent/DK3625102T3/da active
- 2018-12-31 EP EP19217919.0A patent/EP3656643B1/en active Active
- 2018-12-31 DK DK19217919.0T patent/DK3656643T3/da active
- 2018-12-31 ES ES19217919T patent/ES2845899T3/es active Active
- 2018-12-31 LT LTEP19217919.0T patent/LT3656643T/lt unknown
- 2018-12-31 ES ES18842852T patent/ES2828375T3/es active Active
- 2018-12-31 JP JP2020573556A patent/JP7090754B2/ja active Active
- 2018-12-31 WO PCT/IL2018/051417 patent/WO2019220424A1/en unknown
- 2018-12-31 US US16/625,728 patent/US10986108B2/en active Active
- 2018-12-31 AU AU2018423506A patent/AU2018423506B2/en active Active
- 2018-12-31 EP EP18842852.8A patent/EP3625102B1/en active Active
- 2018-12-31 LT LTEP18842852.8T patent/LT3625102T/lt unknown
-
2019
- 2019-12-22 US US16/724,299 patent/US11502999B2/en active Active
- 2019-12-24 AU AU2019284070A patent/AU2019284070B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007243338A (ja) | 2006-03-06 | 2007-09-20 | Kddi R & D Laboratories Inc | ログ分析装置、ログ分析プログラム、および記録媒体 |
| JP2016502697A (ja) | 2012-10-17 | 2016-01-28 | タワー−セク・リミテッド | 輸送手段への攻撃の検出および防止のためのデバイス |
| JP2016517597A (ja) | 2013-03-15 | 2016-06-16 | パワー フィンガープリンティング インコーポレイテッド | コンピュータベースのシステムに電力指紋付けシステムを使用して保全性評価を強化するシステム、方法、及び装置 |
| JP2015030274A (ja) | 2013-07-31 | 2015-02-16 | 大同信号株式会社 | 無線式踏切警報システム |
| JP2016159784A (ja) | 2015-03-02 | 2016-09-05 | 大同信号株式会社 | 無線式鉄道制御システム及び地上装置 |
| WO2016148840A1 (en) | 2015-03-18 | 2016-09-22 | Qualcomm Incorporated | Methods and systems for automated anonymous crowdsourcing of characterized device behaviors |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2019284070B2 (en) | 2020-11-19 |
| EP3656643A1 (en) | 2020-05-27 |
| EP3625102A1 (en) | 2020-03-25 |
| US20200145382A1 (en) | 2020-05-07 |
| ES2828375T3 (es) | 2021-05-26 |
| ES2845899T3 (es) | 2021-07-28 |
| LT3656643T (lt) | 2020-12-10 |
| LT3625102T (lt) | 2021-01-11 |
| US20210058409A1 (en) | 2021-02-25 |
| AU2019284070A1 (en) | 2020-01-23 |
| EP3656643B1 (en) | 2020-10-28 |
| AU2018423506B2 (en) | 2021-02-25 |
| DK3625102T3 (da) | 2020-11-02 |
| DK3656643T3 (da) | 2021-02-01 |
| US10986108B2 (en) | 2021-04-20 |
| US11502999B2 (en) | 2022-11-15 |
| EP3625102B1 (en) | 2020-08-19 |
| WO2019220424A1 (en) | 2019-11-21 |
| AU2018423506A1 (en) | 2020-01-23 |
| JP2021518727A (ja) | 2021-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7090754B2 (ja) | 鉄道サイバーセキュリティシステム | |
| CN111050303B (zh) | 一种基于区块链技术的智能车联网实现方法及系统 | |
| Shafiullah et al. | Survey of wireless communications applications in the railway industry | |
| JP5214433B2 (ja) | 鉄道交通用の通信、モニター及び管制設備、及び関連した方法 | |
| CA3166932A1 (en) | Event data collections for accidents | |
| CN104875773A (zh) | 基于卫星通信和公共蜂窝通信的列车控制系统 | |
| CN103386994A (zh) | 基于安全通信的城市轨道交通智能控制系统 | |
| CN111232023A (zh) | 一种轨道工程施工及行车安全管理综合智控系统 | |
| CN109050582B (zh) | 列车状态智能监控方法及系统 | |
| KR101606646B1 (ko) | 도로교통시스템과 연계하여 동작하는 트램우선신호제어시스템 | |
| CN112339792B (zh) | 基于通信控制的智能个人快速运输系统 | |
| WO2018206610A1 (en) | A decentralised communications based train control system | |
| CN116001874B (zh) | 一种基于目视授权发车的方法和系统 | |
| JP6553431B2 (ja) | 列車および信号保安システム | |
| AU2020376035A1 (en) | Balise integrity | |
| Shen et al. | A new movement authority based on vehicle‐centric communication | |
| CN202563683U (zh) | 客运车辆非法载客位置远程报警装置 | |
| US20230007046A1 (en) | Methods Systems Devices Circuits and Functionally Related Machine Executable Instructions for Operational Commands Based Cybersecurity of a transportation Management Network | |
| Byegon et al. | Review paper on positive train control technology | |
| CN202563682U (zh) | 客运车辆非法载客时间远程报警装置 | |
| JP3217642U (ja) | 鉄道交通用の通信、及びモニター及び管制設備 | |
| Rathor | Study of Rail Transit System Communication Network (BCN/TCN) and Related Sub-Systems | |
| Boukour et al. | Deliverable D5. 2 | |
| Sheu et al. | Technical considerations in electrical and mechanical system design of Taipei Mass Rapid Transit system extension projects | |
| Hejczyk et al. | Smart system integrating modules with particular significance for rail crossings safety |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210112 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210112 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210112 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210531 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20210818 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220111 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220405 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220516 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220614 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7090754 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |