WO2018095682A1 - Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems - Google Patents

Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems Download PDF

Info

Publication number
WO2018095682A1
WO2018095682A1 PCT/EP2017/077280 EP2017077280W WO2018095682A1 WO 2018095682 A1 WO2018095682 A1 WO 2018095682A1 EP 2017077280 W EP2017077280 W EP 2017077280W WO 2018095682 A1 WO2018095682 A1 WO 2018095682A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
trackside
cryptographic data
railway system
communication
Prior art date
Application number
PCT/EP2017/077280
Other languages
English (en)
French (fr)
Inventor
Oliver Schulz
Matthias Seifert
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to CN201780072836.4A priority Critical patent/CN110023170A/zh
Priority to EP17800401.6A priority patent/EP3515785B1/de
Priority to US16/464,362 priority patent/US11958519B2/en
Publication of WO2018095682A1 publication Critical patent/WO2018095682A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L3/00Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal
    • B61L3/02Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control
    • B61L3/08Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically
    • B61L3/12Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically using magnetic or electrostatic induction; using radio waves
    • B61L3/125Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically using magnetic or electrostatic induction; using radio waves using short-range radio transmission
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • B61L15/0027Radio-based, e.g. using GSM-R
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0072On-board train data handling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L23/00Control, warning or like safety means along the route or between vehicles or trains
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/40Handling position reports or trackside vehicle data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/50Trackside diagnosis or maintenance, e.g. software upgrades
    • B61L27/53Trackside diagnosis or maintenance, e.g. software upgrades for trackside elements or systems, e.g. trackside supervision of trackside control system conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/70Details of trackside communication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L2205/00Communication or navigation systems for railway traffic

Definitions

  • the present invention has for its object to provide a method for operating a railway system, which allows in the case of a lack of communication connection, a transmission of cryptographic data to trackside facilities of the railway system in a low-effort way and Wei ⁇ se.
  • This object is achieved by a method for operating a railway system, wherein cryptographic data comprising at least one key and / or at least one digital certificate are stored in a storage device of a vehicle of the railway system and the vehicle, if this in the context of a Movement in communication range to at least one track-side device deters the cryptographic data to the at least one trackside facility of the rail system.
  • cryptographic data comprising at least one key and / or at least one digital certificate are thus stored in a storage device of a vehicle of the railroad system.
  • a storage device of a vehicle of the railroad system This ⁇ be indicated that the appropriate cryptographic data are stored in the storage device of the vehicle.
  • the storage device it is also possible for the storage device to be connected merely to the communication technology to a corresponding control device of the vehicle.
  • the vehicle transmits the cryptographic data to at least one trackside device of the railroad system when it is in the course of a journey in communication range to at least one trackside device.
  • the vehicle is therefore to the effect with respect to the cryptographic data as a transport means that transports the cryptographic data or the SpeI ⁇ cher worn in which the cryptographic data is stored at a location that onsheimweite in communication to the respective at least one trackside side facility is located.
  • the cryptographic data when the vehicle has to reach at least part of its travel, the communication range of a trackside device or is present within the communication range, the received at least one trackside means of Eisenbahnsys ⁇ tems.
  • the transmission of kryp ⁇ tographischen data from the vehicle to the at least one wayside device is preferably done so that an additional drive is solely for the transport of the memory device or transmitting the cryptographic data avoided as part of a re ⁇ guldid travel of the vehicle.
  • the inventive method is advantageous because it thereof, a low-complexity and thus cost-effective connection arranged also to ent ⁇ superior locations trackside equipment of a rail system to a central facility to the effect enables that by means of a vehicle of the egg ⁇ senbahnsystems cryptographic data from the central A ⁇ direction or Central to be sent to the respective track ⁇ side device.
  • the SpeI ⁇ cher worn is transported to a place generating the cryptographic data from the vehicle, of which is a track-side device at least in the transfer ⁇ range.
  • the cryptographic data then becomes available from the vehicle which transmits at least one trackside facility.
  • the vehicle may be a vehicle of any type. This includes in particular vehicles in the form of locomotives,
  • the cryptographic data is transmitted by the vehicle wirelessly, in particular radio-based, to the at least one trackside device.
  • wireless and “radio-based” are to be understood hen ⁇ hen that at least a portion of a communication connection between the vehicle and the at least one trackside device is realized accordingly.
  • this is in particular an outbound from the vehicle path or leg of a Medunikationsver ⁇ bond with the at least relate to a trackside equipment.
  • the wireless transmission of the cryptographic data from the vehicle to the at least one track-side device may in principle, in addition to a radio-based transmission, for example also be a transmission with optical means.
  • the rails could be used as a transport medium, in which case, at least the section between the vehicle and the rails would be wireless. Due to their particular robustness and often already given However, availability will usually be preferable to radio-based transmission of the cryptographic data. It is sufficient if the radio system used allows transmission or transmission over short to medium distances, ie, for example, a few hundred meters. Of importance here is only that the transmission range is sufficiently dimensioned to ensure reliable transmission of the cryptographic data from the vehicle to the at least one trackside device of the railway system.
  • the inventive method can also be configured such that the cryptographic data from a central facility of a public-key infrastructure of the railway system to the vehicle übermit ⁇ and stored by the vehicle in the storage device.
  • a central device can be a component in the form of a cerium ⁇ tauthorisedsstelle or a registration authority, for example.
  • the term "central" device in contrast to the at least one trackside device is to be understood such that the central facility of the public-key infrastructure of the rail system is connected to a central communication infrastructure of the railway system ⁇ while this for the at least one trackside device is precisely not the case.
  • the transmission of the cryptographic data from the device is advantageously carried out also wirelessly to the vehicle, ie in particular funkba ⁇ Siert. this is thus also in relation to the deposition of the cryptographic data in the storage device, an automated, computer-controlled sequence supports or guarantees.
  • the inventive method can also be developed such that the vehicle additional information is provided that at least one of the following Kenn ⁇ sizes include: identity of at least one strackenseiti ⁇ gen device, communication address of at least one trackside equipment, the location of the at least one trackside equipment, size of the communication range, location of a respective route to or from the kryptog ⁇ raphischen data from the vehicle to the at least one stre- cken skille means are to be transmitted.
  • This embodiment of the method according to the invention has the advantage that said additional information is suitable for ensuring reliable or smooth transmission of the cryptographic data from the vehicle to the at least one trackside device.
  • the parameters in question relate in particular to such information, which with the at least allow the vehicle the structure of a communica tion link ⁇ a trackside device or facilitate or inform the vehicle about where the at least one track-side device is arranged.
  • a targeted communication between the vehicle and the at least one trackside device is thus made possible.
  • the at least one track-side device to which the cryptographic data is transmitted, to act directly around the component for which the cryptographic data are intended.
  • no washervertei ⁇ lung or forwarding the cryptographic data is thus trackside required.
  • a local administration device of the railroad system is used as the trackside device, and the cryptographic data is distributed by the local management device to at least one further local component of the railroad system.
  • this provides the advantage that in the event that the kryp ⁇ tographischen data for a plurality of determined components, the cryptographic data from the vehicle le- must be transmitted to the trackside facility in the form of the local administrative facility of the railway system, thus avoiding communication of the vehicle with a plurality of trackside components.
  • the local manager of the railway system may, for example, be a local Regis Trie ⁇ development agency or a local certification body of a pub lic key infrastructure that manages one or more other local components of the rail system as in terms of a distribution of digital certificates.
  • the other local components can be designed, for example, as signal-technical safety devices, ie, for example, as element controllers.
  • the cryptographic data may be transmitted by the latter to the at least one trackside device during standstill of the vehicle.
  • Such an approach may be appropriate, for example when in the vicinity of the at least one trackside equipment in any case a stop of the vehicle is required relationship ⁇ example, carried out. This may be the case, for example, when the trackside facility is in the area of an evasion track and must hold the vehicle at that location anyway to let an oncoming vehicle pass.
  • the cryptographic data is transmitted from the vehicle while driving to the at least one trackside device.
  • which the cryptographic data thus during the passage of the vehicle on which at least transmits a trackside equipment to this.
  • the corresponding transmission is thus preferably carried out while the vehicle and the at least one ne trackside device while driving past the vehicle in communication range to each other, without the vehicle is braked or stopped for this purpose.
  • the inventive method can also be configured such that the cryptographic data is encrypted or otherwise transmitted securely from the vehicle to the at least one trackside device. This ensures that also the
  • the inventive method can also be configured so that up-holding vehicle to be from trackside means or the at least one of the trackside equipment data to the vehicle or another at any given time within the communication range transmitted, the transmitted Since ⁇ th in the storage means filed of the vehicle in question and be forwarded by the vehicle in question outside the Komu ⁇ tion range of at least one trackside direction ⁇ a device to a central facility of the railway system.
  • the method according to the invention can therefore also be developed in such a way that data are transmitted from the trackside device or at least one of the trackside devices to a central facility of the railroad system by means of the vehicle.
  • the relevant data from the respective track-side device to the vehicle or to another will be received at the appropriate time within the communication range ⁇ aufhaltendes vehicle and from this forwarded outside the communication range of the at least one trackside device to the central facility of the railway system.
  • the transmission of the data from the respective trackside device to the vehicle on the one hand in the temporal context with the transmission of the cryptographic data from the vehicle to the at least one trackside device done.
  • is also the possibility that the data from the trackside equipment temporally decoupled from the transmission of cryptographic data to the vehicle or the other is transmitted to the given time in the Empfangsbe ⁇ rich delaying vehicle. Regardless of the time of transmission of the data, these may be data or information of any kind. This includes both additional cryptographic data or standing in connection with cryptographic methods data and recorded diagnostic data or security-relevant events in question ⁇ notes or messages.
  • methods with a plurality of communication steps are realized by means of at least one further trip of the vehicle or at least one further vehicle.
  • This means that even more complex methods or communication processes for example in the form of "handshake” methods, for example according to the "Certificate Management Protocol” (CMP), can be implemented using vehicles for the purpose of transmitting the relevant data or messages. This can be done by means of journeys so ⁇ probably the same vehicle as well as by driving different vehicles.
  • CMP Certificate Management Protocol
  • the invention further relates to a vehicle of an iron ⁇ rail system.
  • vehicle of the present invention is based on the object of specifying a vehicle of a railway system to ⁇ that enables transmission of cryptographic data to trackside of the rail system in the event of a lack of communication connection to aufwandsar- me manner.
  • a vehicle of a railway system are stored to a storage device in which cryptographic data, the at least one key and / or at least a digital certificate umfas ⁇ sen, control means for detecting that the vehicle is in a drive in communication range to at least one trackside device of the railroad system, and a communication device for transmitting the cryptographic data to the at least one trackside device.
  • the vehicle according to the invention can be designed such that the communication device is designed for wireless, in particular radio-based, transmission of the cryptographic data from the vehicle to the at least one trackside device.
  • the invention further comprises a railway system with at least one vehicle according to the invention or at least one vehicle according to the preferred development of the vehicle according to the invention and with a central device which is designed to transmit the cryptographic data to the vehicle, wherein the vehicle is designed, the Store cryptographic data in the storage device.
  • the rail system according to the invention can also be further developed such that the rail system is formed ⁇ provide additional information to the vehicle, comprising at least one of the following characteristics: iden- tity of at least one trackside equipment, communication address of the at least one trackside equipment, point of at least a trackside equipment, size of the communication range, location of a gene jeweili ⁇ route to or from the cryptographic data from the vehicle to the at least one trackside a ⁇ direction are to be transmitted.
  • the trackside facility is a local management facility of the railway system and the local management facility is designed to distribute the cryptographic data to at least one further local component of the railroad system.
  • this is designed to carry out the method according to one of claims 5 to 9. The invention will be explained in more detail below with reference to exemplary embodiments. This shows
  • FIG. 3 shows a third schematic diagram for He ⁇ purification of a further embodiment of the inventive method.
  • FIG. 1 shows a first schematic diagram for explaining an embodiment of the inventive method an embodiment of the inventive egg senbahnsystems with an embodiment of the vehicle according to Inventive ⁇ .
  • a railway system 10 which on the one hand comprises a central device 20, which may also be referred to as a central communication infrastructure or as a central office.
  • the central device 20 comprises a central administration and / or control device 21, which serves to manage and / or control the railroad system 10.
  • a registration authority 22 in English Registration Authority, RA for short
  • a certification authority 23 in the English Certificate Authority, CA for short
  • the registration authority 22 and the certification authority 23 together with optionally further components form the Public-key infrastructure, ie a system that can issue, distribute and audit digital certificates.
  • the certificates issued within the public-key infrastructure are used within the railway system 10 to secure computer-aided communication.
  • the central device 20 of the railway system 10 further comprises a central communication device 24, which provides or enables radio-based communication in the illustrated embodiment.
  • the Kom ⁇ components 21, 22, 23 and 24 of the central device 20 of the rail system 10 are interconnected indirectly or UNMIT ⁇ telbar, wireless or wired communication technology connected.
  • the railroad system 10 also includes a decentralized device 30 which, in the context of the exemplary embodiment described, comprises components which, with reference to a travel path 50, ie a track or rails, control or respectively monitor such a signal by way of signal transmission Encounters of vehicles on the route 50 are excluded or on the track 50 in the form of the single track encountering vehicles can pass each other at the escape point 51.
  • a decentralized device 30 which, in the context of the exemplary embodiment described, comprises components which, with reference to a travel path 50, ie a track or rails, control or respectively monitor such a signal by way of signal transmission Encounters of vehicles on the route 50 are excluded or on the track 50 in the form of the single track encountering vehicles can pass each other at the escape point 51.
  • the remote device 30 includes in the Darge ⁇ exemplary embodiment illustrated, a signal-based Siche ⁇ inference means 31, which is for example a signal and / or a switch may be controlled element controller to one, and a local managing means 32, for example, as a local Registration office or as a local certification body, ie
  • the local management device 32 is connected to a remote communication ⁇ means 33 in the form of a radio transmission device and forms together therewith a trackside device 35th
  • the decentralized device 30, which may also be referred to as an interlocking island , may have further components, which are not shown in FIG. 1 for reasons of clarity.
  • the public-key infrastructure realizes an asymmetrical cryptosystem in which the respective transmitting unit requires the public key of the respective recipient for an encrypted transmission.
  • the public-key infrastructure realizes an asymmetrical cryptosystem in which the respective transmitting unit requires the public key of the respective recipient for an encrypted transmission.
  • the remote device 30 is disposed at a place that is far away from the central device 20 of the rail system 10 and to which there is no communica tion ⁇ compound.
  • This may, for example, relate to the case of mine railways that operate in large, isolated areas whose communication technology development would cause disproportionately high costs for the purpose of connecting the decentralized device 30 to the central device 20 or which is impractical or possible for other reasons.
  • a vehicle may now be 40 of the rail system 10 is used advantageously in the context of an automated process.
  • This has a vehicle-side controller 41, a vehicle-side SpeI ⁇ cher responded 42 and a vehicle-side communication device ⁇ 43rd
  • the communication device 43 is likewise designed for radio-based communication and although such that between the decentralized communication device 33 and the vehicle-side communication device 43, a radio-based data transmission is possible.
  • the memory device 42 of the vehicle 40 stores cryptographic data which comprise at least one key and / or at least one digital certificate.
  • the local device 30 such approaches is that it is in communication range of the decentralized communication device 33 so that communication between the decentralized communication device 33 and the vehicle-side communication means 43 is possible, the cryptographic data can be read from the memory device 42 and the decentral communication device 33 to the trackside device 35 relationship ⁇ the local management device 32 are transmitted to the same.
  • the control device 41 of the vehicle 40 is designed to detect that the vehicle 40 has approached the trackside device sufficiently in the course of its journey.
  • control device 41 may also preferably use additional information stored in the memory device 42, which as a parameter preferably at least identifies the identifiers.
  • additional information stored in the memory device 42 which as a parameter preferably at least identifies the identifiers.
  • the cryptographic data for example from the registration point 22, the certification point 23 or the central management and / or control device 21 of the central device 20, may also be transmitted to the vehicle 40 in a radio-based manner, for example this according to Emp ⁇ fang are stored by the vehicle-side communication means 43 via the control device 41 in the storage device 42nd
  • This step is thus carried out at a time ⁇ point which is forward-the situation shown in Figure 1, that is, at an earlier point in time at which the vehicle 40 stays still closer to the central bodies 20, so that a corresponding radio-based transmission is possible ,
  • the vehicle 40 has the trackside equipment just approximated extent that transmitted the cryptographic data from the vehicle 40 to the trackside device 35 Kgs ⁇ NEN.
  • the cryptographic data from the local management unit 32 may then in at least one other local component of the rail system 10 in the form of the signal ⁇ technical safety device 31 as well as optionally present further technical signal securing means be distributed.
  • the transfer or transmission of the cryptographic data from the vehicle 40 at points, the route cken workede device 35 or the local administrative ⁇ processing device 32 of the same takes place here vorteilhafter-, during traveling of the vehicle 40 so that a Ver ⁇ slowdown or interruption of the running of the vehicle 40 is not required.
  • This means that the cryptographic data is transmitted without affecting the normal operation of the vehicle 40.
  • the transmission of the cryptographic data from the vehicle 40 to the at least one trackside device is encrypted ⁇ advantageous way legally or otherwise secured, so that attacks with or alter the cryptographic data are excluded.
  • Figure 2 shows a second schematic diagram for white ⁇ ter personaln explaining the embodiment of the inventive method.
  • the representation of Figure 2 corresponds to a flow diagram wherein the left hand side, in turn, the central device 20 of the rail system ge ⁇ shows is that according to the embodiment of Figure 1, the central administration and / or control device 21, the registry 22 Certification authority 23 and the central communication device 24 includes.
  • the Figure 2 is the remote device 30 is shown on the right side where it is in accordance with the embodiment of Figure 1 to the stre ⁇ cken workede device 35 and the signal-based inference means Siche ⁇ 31st
  • further signal-technical safety devices 31a and 31b are indicated in FIG.
  • a delivery of cryptographic data from the central device 20 to the remote device 30 may now for example be made such that the kryptogra ⁇ phical data shall be transmitted, for example, by the certification office 23 in a message 60 to the central communication device 24th From the central communica- tion device 24, the cryptographic data in a message 61 radio-based transmitted to the vehicle-side Kommuni ⁇ cation device 43 of the vehicle 40 and stored with the interposition of the controller 41 in the storage device 42.
  • the vehicle 40 moves in the direction of travel 45 in the direction of the decentralized device 30 and eventually reaches the communication range of the trackside device 35.
  • the route-side device 35 transmits the cryptographic data or the parts of the same relevant to the respective component with the messages 64, 65 and 66 to the signaling devices 31, 31a and 31b. In this way, it is subsequently possible to continue to communicate with one another in a secure manner based on updated or exchanged keys and / or certificates, which is indicated in FIG. 2 by messages 67, 68 and 69.
  • Figure 3 shows a third schematic diagram for Erläu ⁇ esterification of a further embodiment of the erfindungsge- MAESSEN method.
  • the representation of FIG. 3 essentially corresponds to that of FIG. 2, wherein a separate representation of the individual components has been dispensed with in relation to the central device 20. This is intended are indicated that these components may be executed as such under ⁇ different.
  • a communication exchange first takes place between the signaling device 31 and the other signaling devices 31a, 31b and the trackside device 35 (or the local management device 32 thereof) by means of messages 80, 81 and 82 Inquiries in the context of public key infrastructure procedures, which are answered by the trackside facility 35 in the form of messages 83, 84 and 85.
  • the signaling devices 31, 31a and 31b exchange messages 86, 87, 88 and 89 with each other, which are secured using keys and digital certificates.
  • a message 90 data or an information request 71 are now transmitted to the vehicle 40 by the trackside device 35.
  • this is done in return for a transmission of cryptographic data from the vehicle 40 to the local management device 32, as has been explained above in connection with FIG.
  • this can be done temporally decoupled from the corresponding transmission of cryptographic data and a transmission of the information request 71 also to another vehicle of the rail system 10 SUC ⁇ gene.
  • the information request may relate to both cryptographic method or implemented corresponding method, Request that is for example, a Aktualisie ⁇ tion of certificates when his divorced also of cryptographic rule method, ie for example, a transfer of diagnostic data concern.
  • the transmitted data is stored in the memory device 42 of the vehicle 40 and from the vehicle 40 outside the transmission range of the trackside device 35 forwarded to the central device 20 of the railway system 10. In FIG. 3 this is indicated by the messages 92 and 93.
  • the centra ⁇ len device 20 to a communication exchange in the form of messages 95 and 96, at the same 30 messages 97 and 98 are replaced by the de ⁇ central facility.
  • an information reply 72 is then transmitted by the central device 20 to another vehicle 40a, which is thus not the vehicle 40.
  • the other vehicle 40a similar to the vehicle 40 has a further control device 41a, a white ⁇ tere memory means 42a and a further Kommunikati ⁇ ons Rhein 43a and the other vehicle moves in a direction 45a in the direction of the decentralized device 30.
  • 41a in communication range of the stre- cken solutionen device 35, it transfers the informa tion ⁇ response 72 by means of messages 100/101 to points, the route cken bathe device 35 or the local administrative ⁇ processing device thereof. This transmits the information answer or a respective part of it in
  • the vehicle according to the invention and the railway system according to the invention have in particular the advantage that they provide a transmission in particular Enable cryptographic data from a central office to decentralized trackside facilities even in cases where they have no direct communication link.
  • an automatic transport of the corresponding data by means of vehicles or trains takes place using storage devices installed in them.
  • At the respective remote location there is then a transfer or download of the relevant data, so that a local maintenance crew is advantageously not required.
  • Ver ⁇ drive advantageously can run completely automatically and be ⁇ no maintenance action. This also enables high-frequency key exchange, which can increase IT security without incurring additional costs.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Eisenbahnsystems (10), wobei kryptographische Daten (70), die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen, in einer Speichereinrichtung (42) eines Fahrzeugs (40) des Eisenbahnsystems (10) abgelegt werden und von dem Fahrzeug (40), wenn sich dieses im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer streckenseitigen Einrichtung (35) aufhält, die kryptographischen Daten (70) an die zumindest eine streckenseitige Einrichtung (35) des Eisenbahnsystems (10) übermittelt werden. Die Erfindung betrifft des Weiteren ein Fahrzeug (40) eines Eisenbahnsystems (10).

Description

Beschreibung
Verfahren zum Betreiben eines Eisenbahnsystems sowie Fahrzeug eines Eisenbahnsystems
Moderne Systemkomponenten der Eisenbahnsignalisierung werden heutzutage häufig mit Netzwerken, etwa gemäß dem Ethernet- Standard, miteinander vernetzt. Dies hat zur Folge, dass ent¬ sprechende Netzwerke Sicherheitsbedrohungen, beispielsweise in Form von Hacker-Angriffen, ausgesetzt sind. Im Extremfall könnten entsprechende Angriffe zu Gefährdungen des sicheren Betriebs von Eisenbahnsystemen und damit auch der diese nutzenden Menschen führen. Um beispielsweise ungültige Beeinflussungen z.B. einer Weiche oder eines Eisenbahnsignals oder eine Manipulation von Sensordaten erkennen beziehungsweise vermeiden zu können, werden in bekannten Systemarchitekturen üblicherweise Verschlüsselungs- und Authentisierungsverfahren eingesetzt. Üblicherweise müssen dabei die beispielsweise im Rahmen einer Public-Key-Infrastruktur für entsprechende Ver- fahren erforderlichen Schlüssel und Zertifikate in regelmäßi¬ gen zeitlichen Abständen gewechselt werden, damit ein potenzieller Angreifer nicht durch eine Langzeitbeobachtung oder umfangreiche Rechenoperationen das Schlüssel- beziehungsweise Zertifikatsgeheimnis erforschen kann.
In der Praxis kann die Situation auftreten, dass in einem Projekt Signalanlagen weit entfernt von einem zentralen Ort aufgebaut werden müssen und eine Anbindung der betreffenden Signalanlagen an eine zentrale Kommunikationsinfrastruktur des betreffenden Eisenbahnsystems beispielsweise aus Kosten¬ gründen oder auch aus anderen Gründen ausscheidet. Dies kann beispielsweise bei Minenbahnen in großen einsamen Gebieten oder anderen nicht per Kommunikationstechnik angebundenen Orten der Fall sein. In entsprechenden Situationen besteht eine Möglichkeit darin, so genannte „Stellwerksinseln" einzurichten, die beispielsweise aus mehreren Steuerkomponenten, etwa in Form so genannter Element-Controller, und/oder einer lokalen Stellwerkseinrichtung bestehen können. Als Beispiel für entsprechende Orte seien so genannte „Sidings" genannt, d.h. Ausweichstellen beziehungsweise Nebengleise, an denen sich bei einspurigen Strecken entgegenkommende Züge gefahrlos be¬ gegnen können. Üblicherweise befindet sich an entsprechenden dezentralen, häufig abgelegenen Orten auch keine Aufsichtsperson, d.h. die Einrichtungen beziehungsweise Anlagen regeln die Sicherheit vollautomatisch. Hierzu kann zwischen den jeweiligen Steuerkomponenten und dem jeweiligen lokalen Stellwerk beispielsweise eine Ethernet-Netzwerkverbindung einge- richtet werden, damit die betreffenden Signalkomponenten miteinander kommunizieren und die Sicherheit des Eisenbahnbe¬ triebs gewährleisten können. Auch in einer solchen Situation sollten beziehungsweise müssen die im Rahmen der Kommunikati¬ on verwendeten Schlüssel und Zertifikate von Zeit zu Zeit ausgetauscht werden. Mangels einer kommunikationstechnischen Verbindung zu einer Zentrale beziehungsweise zentralen Einrichtung des Eisenbahnsystems gestaltet sich dies jedoch schwierig beziehungsweise ist beispielsweise lediglich da¬ durch möglich, dass eine entsprechende Wartungsmaßnahme durch Wartungspersonal vor Ort durchgeführt wird. Dies hat jedoch den Nachteil, dass hiermit erhebliche Kosten und Aufwände verbunden sind.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Betreiben eines Eisenbahnsystems anzugeben, das auch im Falle einer fehlenden Kommunikationsanbindung eine Übermittlung kryptographischer Daten an streckenseitige Einrichtungen des Eisenbahnsystems auf aufwandsarme Art und Wei¬ se ermöglicht.
Diese Aufgabe wird erfindungsgemäß gelöst durch ein Verfahren zum Betreiben eines Eisenbahnsystems, wobei kryptographische Daten, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen, in einer Speichereinrichtung eines Fahrzeugs des Eisenbahnsystems abgelegt werden und von dem Fahrzeug, wenn sich dieses im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer streckenseitigen Einrichtung aufhält, die kryptographischen Daten an die zu- mindest eine streckenseitige Einrichtung des Eisenbahnsystems übermittelt werden.
Gemäß dem ersten Schritt des erfindungsgemäßen Verfahrens zum Betreiben eines Eisenbahnsystems werden somit kryptographi- sche Daten, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen, in einer Speichereinrichtung eines Fahrzeugs des Eisenbahnsystems abgelegt. Dies be¬ deutet, dass die entsprechenden kryptographischen Daten in der Speichereinrichtung des Fahrzeugs gespeichert werden. Dabei handelt es sich bei der Speichereinrichtung vorzugsweise derart um eine Speichereinrichtung des Fahrzeugs, dass sie fester Bestandteil des Fahrzeugs ist, d.h. beispielsweise ei¬ ner Steuereinrichtung, etwa in Form eines Bordcomputers, des Fahrzeugs zugeordnet ist. Alternativ hierzu ist es jedoch auch möglich, dass die Speichereinrichtung lediglich kommunikationstechnisch an eine entsprechende Steuereinrichtung des Fahrzeugs angebunden ist. Im letzteren Fall kann es sich bei der Speichereinrichtung beispielsweise um ein mobiles Spei- chermedium, etwa in Form eines USB-Sticks oder eines mobilen Kommunikationsendgeräts handeln, das im Fahrbetrieb des Fahr¬ zeugs an das Steuerungssystem des Fahrzeugs angebunden ist beziehungsweise wird. Gemäß dem zweiten Schritt des erfindungsgemäßen Verfahrens werden von dem Fahrzeug, wenn sich dieses im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer stre- ckenseitigen Einrichtung aufhält, die kryptographischen Daten an zumindest eine streckenseitige Einrichtung des Eisenbahn- Systems übermittelt. Das Fahrzeug dient somit dahingehend in Bezug auf die kryptographischen Daten als Transportmittel, dass es die kryptographischen Daten beziehungsweise die Spei¬ chereinrichtung, in der die kryptographischen Daten gespeichert sind, an einen Ort transportiert, der in Kommunikati- onsreichweite zu der betreffenden zumindest einen strecken- seitigen Einrichtung liegt. Damit wird unter dem Begriff „Kommunikationsreichweite" verstanden, dass in dem betreffen¬ den Abstand beziehungsweise in dem betreffenden Bereich eine Kommunikation zwischen dem Fahrzeug und der zumindest einen streckenseitigen Einrichtung möglich ist. Dies bedeutet insbesondere, dass in Kommunikationsreichweite eine Übermittlung beziehungsweise Übertragung der kryptographischen Daten mit- tels des betreffenden Kommunikationsmittels an die zumindest eine streckenseitige Einrichtung möglich ist. Sofern dies für eine entsprechende Übermittlung im jeweiligen Einzelfall er¬ forderlich ist, kann dies weiterhin bedeuten, dass in der Kommunikationsreichweite auch eine Übermittlung von Daten be- ziehungsweise Nachrichten von der zumindest einen streckenseitigen Einrichtung an das Fahrzeug möglich ist. Unabhängig von der konkreten Ausgestaltung der Datenübermittlung werden die kryptographischen Daten, wenn das Fahrzeug im Rahmen seiner Fahrt die Kommunikationsreichweite zu der zumindest einen streckenseitigen Einrichtung erreicht hat beziehungsweise sich innerhalb der Kommunikationsreichweite aufhält, an die zumindest eine streckenseitige Einrichtung des Eisenbahnsys¬ tems übermittelt. Dabei geschieht die Übermittlung der kryp¬ tographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung vorzugsweise im Rahmen einer re¬ gulären Fahrt des Fahrzeugs, wodurch eine zusätzliche Fahrt allein für den Transport der Speichereinrichtung beziehungsweise das Übermitteln der kryptographischen Daten vermieden wird .
Das erfindungsgemäße Verfahren ist vorteilhaft, da es eine aufwandsarme und damit kostengünstige Anbindung auch an ent¬ legenen Orten angeordneter streckenseitiger Einrichtungen eines Eisenbahnsystems an eine zentrale Einrichtung desselben dahingehend ermöglicht, dass mittels eines Fahrzeugs des Ei¬ senbahnsystems kryptographische Daten von der zentralen Ein¬ richtung beziehungsweise Zentrale an die jeweilige strecken¬ seitige Einrichtung übermittelt werden. Hierzu wird die Spei¬ chereinrichtung mit den kryptographischen Daten von dem Fahr- zeug an einen Ort transportiert, der in der Übertragungs¬ reichweite der zumindest einen streckenseitigen Einrichtung liegt. An diesem Ort oder in einem entsprechenden Bereich werden die kryptographischen Daten dann von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung übermittelt. Im Ergebnis wird es hiermit ermöglicht, eine „fahrzeugverbun¬ dene" beziehungsweise „zugverbundene" Public-Key- Infrastruktur zu realisieren, bei der die Kommunikation zwi- sehen einer zentralen Einrichtung, die auch als zentrale Kommunikationsinfrastruktur bezeichnet werden kann, und dezentralen signaltechnischen Anlagen ohne Anbindung an die zentrale Kommunikationsinfrastruktur mittels Fahrzeugen des Eisenbahnsystems realisiert wird. Vorteilhafterweise läuft das er- findungsgemäße Verfahren hierbei dahingehend automatisch ab, dass zwecks Übermittlung der kryptographischen Daten keine manuellen Handlungen oder Eingriffe erforderlich sind. Bei dem Fahrzeug kann es sich im Rahmen des erfindungsgemäßen Verfahrens um ein Fahrzeug beliebiger Art handeln. Dies schließt insbesondere Fahrzeuge in Form von Lokomotiven,
Triebfahrzeugen und Zügen ein, wobei es sich bei den Zügen sowohl um Personen- als auch um Güterzüge handeln kann.
Gemäß einer besonders bevorzugten Weiterbildung des erfin- dungsgemäßen Verfahrens werden die kryptographischen Daten von dem Fahrzeug drahtlos, insbesondere funkbasiert an die zumindest eine streckenseitige Einrichtung übermittelt. Dabei sind die Begriffe „drahtlos" und „funkbasiert" so zu verste¬ hen, dass zumindest ein Teilstück einer Kommunikationsverbin- dung zwischen dem Fahrzeug und der zumindest einen strecken- seitigen Einrichtung entsprechend realisiert ist. In der Re¬ gel wird dies insbesondere eine von dem Fahrzeug ausgehende Strecke beziehungsweise Teilstrecke einer Kommunikationsver¬ bindung mit der zumindest einen streckenseitigen Einrichtung betreffen. Bei der drahtlosen Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung kann es sich neben einer funkbasierten Übertragung grundsätzlich beispielsweise auch um eine Übertragung mit optischen Mitteln handeln. Darüber hinaus könnten auch die Schienen als Transportmedium verwendet werden, in welchem Fall zumindest die Teilstrecke zwischen dem Fahrzeug und den Schienen drahtlos ausgebildet wäre. Aufgrund ihrer besonderen Robustheit und häufig ohnehin bereits gegebenen Verfügbarkeit wird jedoch in der Regel eine funkbasierte Übermittlung der kryptographischen Daten zu bevorzugen sein. Dabei ist es ausreichend, wenn das verwendete Funksystem eine Übertragung beziehungsweise Übermittlung über kurze bis mitt- lere Entfernungen, d.h. beispielsweise einige hundert Meter, erlaubt. Von Bedeutung ist hierbei lediglich, dass die Übertragungsreichweite dahingehend ausreichend dimensioniert ist, dass eine zuverlässige Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung des Eisenbahnsystems gewährleistet ist.
Vorteilhafterweise kann das erfindungsgemäße Verfahren auch derart ausgestaltet sein, dass die kryptographischen Daten von einer zentralen Einrichtung einer Public-Key- Infrastruktur des Eisenbahnsystems an das Fahrzeug übermit¬ telt und von dem Fahrzeug in der Speichereinrichtung abgelegt werden. Bei einer entsprechenden zentralen Einrichtung kann es sich beispielsweise um eine Komponente in Form einer Zer¬ tifizierungsstelle oder einer Registrierungsstelle handeln. Dabei ist der Begriff „zentrale" Einrichtung in Abgrenzung zu der zumindest einen streckenseitigen Einrichtung derart zu verstehen, dass die zentrale Einrichtung der Public-Key- Infrastruktur des Eisenbahnsystems an eine zentrale Kommuni¬ kationsinfrastruktur des Eisenbahnsystems angebunden ist wäh- rend dies für die zumindest eine streckenseitige Einrichtung gerade nicht der Fall ist. Die Übermittlung der kryptographischen Daten von der Einrichtung an das Fahrzeug erfolgt vorteilhafterweise ebenfalls drahtlos, d.h. insbesondere funkba¬ siert. Hierdurch wird somit auch in Bezug auf das Ablegen der kryptographischen Daten in der Speichereinrichtung ein automatisierter, rechnergesteuerter Ablauf unterstützt beziehungsweise gewährleistet.
Vorzugsweise kann das erfindungsgemäße Verfahren auch derart weitergebildet sein, dass dem Fahrzeug Zusatzinformationen bereitgestellt werden, die zumindest eine der folgenden Kenn¬ größen umfassen: Identität der zumindest einen streckenseiti¬ gen Einrichtung, Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung, Ort der zumindest einen stre- ckenseitigen Einrichtung, Größe der Kommunikationsreichweite, Ort einer jeweiligen Fahrstrecke, an oder ab der die kryptog¬ raphischen Daten von dem Fahrzeug an die zumindest eine stre- ckenseitige Einrichtung zu übermitteln sind. Diese Ausführungsform des erfindungsgemäßen Verfahrens weist den Vorteil auf, dass die genannten Zusatzinformationen geeignet sind, eine zuverlässige beziehungsweise reibungslose Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung sicherzustellen. So beziehen sich die betreffenden Kenngrößen insbesondere auf solche Informationen, welche dem Fahrzeug den Aufbau einer Kommunika¬ tionsverbindung mit der zumindest einen streckenseitigen Einrichtung ermöglichen beziehungsweise erleichtern beziehungs- weise das Fahrzeug darüber informieren, wo die zumindest eine streckenseitige Einrichtung angeordnet ist. Hierdurch wird somit eine zielgerichtete Kommunikation zwischen dem Fahrzeug und der zumindest einen streckenseitigen Einrichtung ermöglicht .
Im Rahmen des erfindungsgemäßen Verfahrens besteht grundsätzlich die Möglichkeit, dass es sich bei der zumindest einen streckenseitigen Einrichtung, an die die kryptographischen Daten übermittelt werden, unmittelbar um die Komponente han- delt, für welche die kryptographischen Daten bestimmt sind. In diesem Fall ist somit streckenseitig keine Weitervertei¬ lung beziehungsweise Weiterleitung der kryptographischen Daten erforderlich. Gemäß einer weiteren besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird als streckenseitige Einrichtung eine lokale Verwaltungseinrichtung des Eisenbahnsystems verwendet und die kryptographischen Daten werden von der lokalen Verwaltungseinrichtung an zumindest eine weitere lokale Komponente des Eisenbahnsystems verteilt. Dies bietet insbesondere den Vorteil, dass für den Fall, dass die kryp¬ tographischen Daten für eine Mehrzahl von Komponenten bestimmt sind, die kryptographischen Daten von dem Fahrzeug le- diglich an die streckenseitige Einrichtung in Form der lokalen Verwaltungseinrichtung des Eisenbahnsystems übermittelt werden müssen, wodurch somit eine Kommunikation des Fahrzeugs mit einer Mehrzahl streckenseitiger Komponenten vermieden wird. Bei der lokalen Verwaltungseinrichtung des Eisenbahnsystems kann es sich beispielsweise um eine lokale Registrie¬ rungsstelle oder eine lokale Zertifizierungsstelle einer Pub- lic-Key-Infrastruktur handeln, welche eine oder mehrere weitere lokale Komponenten des Eisenbahnsystems etwa in Bezug auf eine Verteilung digitaler Zertifikate verwaltet. Dabei können die weiteren lokalen Komponenten beispielsweise als signaltechnische Sicherungseinrichtungen, d.h. beispielsweise als Element-Controller, ausgebildet sein.
Im Rahmen des erfindungsgemäßen Verfahrens ist es grundsätzlich möglich, dass die kryptographischen Daten während des Stillstands des Fahrzeugs von diesem an die zumindest eine streckenseitige Einrichtung übermittelt werden. Eine solche Vorgehensweise kann beispielsweise dann zweckmäßig sein, wenn in der Nähe der zumindest einen streckenseitigen Einrichtung ohnehin ein Halt des Fahrzeugs erforderlich ist beziehungs¬ weise erfolgt. Dies kann beispielsweise dann der Fall sein, wenn sich die streckenseitige Einrichtung im Bereich eines Ausweichgleises befindet und das Fahrzeug an der betreffende Stelle ohnehin halten muss, um ein entgegenkommendes Fahrzeug passieren zu lassen.
Gemäß einer besonders bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens werden die kryptographischen Daten von dem Fahrzeug während der Fahrt an die zumindest eine streckenseitige Einrichtung übermittelt. In diesem Fall wer¬ den die kryptographischen Daten somit während der Vorbeifahrt des Fahrzeugs an der zumindest einen streckenseitigen Einrichtung an diese übermittelt. Dies bietet den Vorteil, dass Verzögerungen der Fahrt des Fahrzeugs aufgrund der vorzunehmenden Übermittlung der kryptographischen Daten vermieden werden. Vorzugsweise erfolgt die entsprechende Übermittlung hierbei somit während sich das Fahrzeug und die zumindest ei- ne streckenseitige Einrichtung beim Vorbeifahren des Fahrzeugs in Kommunikationsreichweite zueinander befinden, ohne dass das Fahrzeug zu diesem Zwecke abgebremst oder angehalten wird .
Vorteilhafterweise kann das erfindungsgemäße Verfahren auch derart ausgestaltet sein, dass die kryptographischen Daten verschlüsselt oder anderweitig gesichert von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung übermittelt werden. Hierdurch wird somit gewährleistet, dass auch die
Übermittlung der kryptographischen Daten als solche übliche Sicherheitsanforderungen erfüllt und insbesondere eine Verfälschung der kryptographischen Daten zuverlässig ausgeschlossen wird. Neben einer verschlüsselten, gegebenenfalls durch eine digitale Signatur gesicherten Übermittlung der kryptographischen Daten können diese beispielsweise auch dadurch anderweitig gesichert werden, dass die kryptographi¬ schen Daten in eigensichere Container eingebettet werden. Vorteilhafterweise kann das erfindungsgemäße Verfahren auch derart ausgestaltet sein, dass von der streckenseitigen Einrichtung oder zumindest einer der streckenseitigen Einrichtungen Daten an das Fahrzeug oder ein anderes sich zum gegebenen Zeitpunkt innerhalb der Kommunikationsreichweite auf- haltendes Fahrzeug übermittelt werden, die übermittelten Da¬ ten in der Speichereinrichtung des betreffenden Fahrzeugs abgelegt und von dem betreffenden Fahrzeug außerhalb der Kommu¬ nikationsreichweite der zumindest einen streckenseitigen Ein¬ richtung an eine zentrale Einrichtung des Eisenbahnsystems weitergeleitet werden. Das erfindungsgemäße Verfahren kann somit auch dahingehend weitergebildet werden, dass mittels des Fahrzeugs Daten von der streckenseitigen Einrichtung oder zumindest einer der streckenseitigen Einrichtungen an eine zentrale Einrichtung des Eisenbahnsystems übermittelt werden. Hierzu werden die betreffenden Daten von der jeweiligen streckenseitigen Einrichtung an das Fahrzeug oder an ein anderes sich zum gegebenen Zeitpunkt innerhalb der Kommunikations¬ reichweite aufhaltendes Fahrzeug übermittelt und von diesem außerhalb des Kommunikationsreichweite der zumindest einen streckenseitigen Einrichtung an die zentrale Einrichtung des Eisenbahnsystems weitergeleitet. Hierbei kann das Übermitteln der Daten von der jeweiligen streckenseitigen Einrichtung an das Fahrzeug einerseits im zeitlichen Zusammenhang mit der Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung erfolgen. Dies bedeutet, dass die Daten gleichzeitig mit den kryptographi¬ schen Daten in Gegenrichtung oder aber sequentiell unmittel- bar nach oder auch vor erfolgter Übermittlung der kryptographischen Daten übermittelt werden können. Andererseits be¬ steht jedoch auch die Möglichkeit, dass die Daten von der streckenseitigen Einrichtung zeitlich entkoppelt von der Übermittlung der kryptographischen Daten an das Fahrzeug oder das andere sich zu dem gegebenen Zeitpunkt in dem Empfangsbe¬ reich aufhaltende Fahrzeug übermittelt werden. Unabhängig vom Zeitpunkt der Übermittlung der Daten kann es sich bei diesen um Daten beziehungsweise Informationen beliebiger Art handeln. Dies schließt sowohl weitere kryptographische Daten oder in Zusammenhang mit kryptographischen Verfahren stehende Daten als auch aufgezeichnete Diagnosedaten oder sicherheits¬ relevante Ereignisse betreffende Hinweise beziehungsweise Meldungen ein. Gemäß einer weiteren besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens werden Verfahren mit mehreren Kommunikationsschritten, etwa in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, mittels zumindest einer weiteren Fahrt des Fahrzeugs oder zumindest eines weiteren Fahrzeugs realisiert. Dies bedeutet, dass auch komplexere Verfahren beziehungsweise Kommunikationsabläufe, etwa in Form von „Handshake"- Verfahren, beispielsweise gemäß dem „Certificate Management Protocol" (CMP) , unter Verwendung von Fahrzeugen zwecks Über- mittlung der betreffenden Daten beziehungsweise Nachrichten realisiert werden können. Dabei kann dies mittels Fahrten so¬ wohl desselben Fahrzeugs als auch mittels Fahrten unterschiedlicher Fahrzeuge geschehen. Die Erfindung betrifft des Weiteren ein Fahrzeug eines Eisen¬ bahnsystems . Hinsichtlich des Fahrzeugs liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein Fahrzeug eines Eisenbahnsystems an¬ zugeben, das eine Übermittlung kryptographischer Daten an streckenseitige Einrichtungen des Eisenbahnsystems auch im Falle einer fehlenden Kommunikationsanbindung auf aufwandsar- me Art und Weise ermöglicht.
Diese Aufgabe wird erfindungsgemäß gelöst durch ein Fahrzeug eines Eisenbahnsystems, mit einer Speichereinrichtung, in der kryptographische Daten abgelegt sind, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfas¬ sen, einer Steuereinrichtung zum Detektieren, dass sich das Fahrzeug im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer streckenseitigen Einrichtung des Eisenbahnsystems aufhält, und einer Kommunikationseinrichtung zum Übermitteln der kryptographischen Daten an die zumindest eine streckenseitige Einrichtung.
Die Vorteile des erfindungsgemäßen Fahrzeugs entsprechen im Wesentlichen denjenigen des erfindungsgemäßen Verfahrens, so dass diesbezüglich auf die entsprechenden vorstehenden Ausführungen verwiesen wird. Gleiches gilt hinsichtlich der im Folgenden genannten bevorzugten Weiterbildung des erfindungsgemäßen Fahrzeugs in Bezug auf die entsprechende bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens, so dass auch diesbezüglich auf die entsprechenden vorstehenden Erläuterungen verwiesen wird.
Vorteilhafterweise kann das erfindungsgemäße Fahrzeug derart ausgestaltet sein, dass die Kommunikationseinrichtung zum drahtlosen, insbesondere funkbasierten Übermitteln der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung ausgebildet ist. Die Erfindung umfasst ferner ein Eisenbahnsystem mit zumindest einem erfindungsgemäßen Fahrzeug beziehungsweise zumindest einem Fahrzeug gemäß der bevorzugten Weiterbildung des erfindungsgemäßen Fahrzeugs sowie mit einer zentralen Ein- richtung, die ausgebildet ist, die kryptographischen Daten an das Fahrzeug zu übermitteln, wobei das Fahrzeug ausgebildet ist, die kryptographischen Daten in der Speichereinrichtung abzulegen . Auch hinsichtlich der Vorteile des erfindungsgemäßen Eisenbahnsystems sowie dessen im Folgenden genannten bevorzugten Weiterbildungen wird auf die entsprechenden Ausführungen im Zusammenhang mit der jeweiligen bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens verwiesen.
Vorzugsweise kann das erfindungsgemäße Eisenbahnsystem auch derart weitergebildet sein, dass das Eisenbahnsystem ausge¬ bildet ist, dem Fahrzeug Zusatzinformationen bereitzustellen, die zumindest eine der folgenden Kenngrößen umfassen: Identi- tät der zumindest einen streckenseitigen Einrichtung, Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung, Ort der zumindest einen streckenseitigen Einrichtung, Größe der Kommunikationsreichweite, Ort einer jeweili¬ gen Fahrstrecke, an oder ab der die kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Ein¬ richtung zu übermitteln sind.
Gemäß einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Eisenbahnsystems ist die streckenseitige Ein- richtung eine lokale Verwaltungseinrichtung des Eisenbahnsystems und die lokale Verwaltungseinrichtung ist ausgebildet, die kryptographischen Daten an zumindest eine weitere lokale Komponente des Eisenbahnsystems zu verteilen. Gemäß einer weiteren besonders bevorzugten Weiterbildung des erfindungsgemäßen Eisenbahnsystems ist dieses zum Durchführen des Verfahrens nach einem der Ansprüche 5 bis 9 ausgebildet. Im Folgenden wird die Erfindung anhand von Ausführungsbei¬ spielen näher erläutert. Hierzu zeigt
Figur 1 in einer ersten schematischen Darstellung zur
Erläuterung eines Ausführungsbeispiels des er¬ findungsgemäßen Verfahrens ein Ausführungsbei¬ spiel des erfindungsgemäßen Eisenbahnsystems mit einem Ausführungsbeispiel des erfindungs¬ gemäßen Fahrzeugs,
Figur 2 eine zweite schematische Darstellung zur wei¬ tergehenden Erläuterung des Ausführungsbeispiels des erfindungsgemäßen Verfahrens und
Figur 3 eine dritte schematische Darstellung zur Er¬ läuterung eines weiteren Ausführungsbeispiels des erfindungsgemäßen Verfahrens.
In den Figuren werden für gleiche oder gleichwirkende Kompo- nenten dieselben Bezugszeichen verwendet.
Figur 1 zeigt in einer ersten schematischen Darstellung zur Erläuterung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens ein Ausführungsbeispiel des erfindungsgemäßen Ei- senbahnsystems mit einem Ausführungsbeispiel des erfindungs¬ gemäßen Fahrzeugs. Dargestellt ist ein Eisenbahnsystem 10, das einerseits eine zentrale Einrichtung 20 umfasst, die auch als zentrale Kommunikationsinfrastruktur oder als Zentrale bezeichnet werden kann. In dem dargestellten Ausführungsbei- spiel umfasst die zentrale Einrichtung 20 eine zentrale Ver- waltungs- und/oder Steuereinrichtung 21, die der Verwaltung und/oder Steuerung des Eisenbahnsystems 10 dient. Darüber hinaus sind zur Realisierung einer Public-Key-Infrastruktur eine Registrierungsstelle 22 (im Englischen Registration Au- thority, kurz RA) sowie eine Zertifizierungsstelle 23 (im Englischen Certificate Authority, kurz CA) vorgesehen. Die Registrierungsstelle 22 sowie die Zertifizierungsstelle 23 bilden zusammen mit gegebenenfalls weiteren Komponenten die Public-Key-Infrastruktur, d.h. ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Dabei werden die innerhalb der Public-Key-Infrastruktur ausgestellten Zertifikate innerhalb des Eisenbahnsystems 10 zur Absicherung rechnergestützter Kommunikation verwendet.
Die zentrale Einrichtung 20 des Eisenbahnsystems 10 umfasst weiterhin eine zentrale Kommunikationseinrichtung 24, die in dem dargestellten Ausführungsbeispiel eine funkbasierte Kom- munikation bereitstellt beziehungsweise ermöglicht. Die Kom¬ ponenten 21, 22, 23 und 24 der zentralen Einrichtung 20 des Eisenbahnsystems 10 sind untereinander mittelbar oder unmit¬ telbar, drahtlos oder drahtgebunden kommunikationstechnisch verbunden. Dabei ist in Figur 1 beispielhaft eine Architektur gezeigt, in der die Registrierungsstelle 22 und die Zertifi¬ zierungsstelle 23 unmittelbar miteinander und mittelbar über die zentrale Kommunikationseinrichtung 24 mit der zentralen Verwaltungs- und/oder Steuereinrichtung 21 verbunden sind. Neben den zentralen Einrichtung 20 umfasst das Eisenbahnsystem 10 auch eine dezentrale Einrichtung 30, die im Rahmen des beschriebenen Ausführungsbeispiels Komponenten umfasst, die bezogen auf einen Fahrweg 50, d.h. ein Gleis beziehungsweise Schienen, eine Ausweichstelle beziehungsweise ein Nebengleis 51 steuern beziehungsweise derart signaltechnisch überwachen, dass Begegnungen von Fahrzeugen auf dem Fahrweg 50 ausgeschlossen sind beziehungsweise sich auf dem Fahrweg 50 in Form der eingleisen Strecke begegnende Fahrzeuge einander an der Ausweichstelle 51 passieren können.
Konkret umfasst die dezentrale Einrichtung 30 in dem darge¬ stellten Ausführungsbeispiel eine signaltechnische Siche¬ rungseinrichtung 31, bei der es sich beispielsweise um einen ein Signal und/oder eine Weiche steuernden Element-Controller handeln kann, sowie eine lokale Verwaltungseinrichtung 32, die beispielsweise als lokale Registrierungsstelle oder als lokale Zertifizierungsstelle ausgebildet sein kann, d.h.
ebenfalls eine Komponente der Public-Key-Infrastruktur bil- det. Entsprechend der Darstellung der Figur 1 ist die lokale Verwaltungseinrichtung 32 an eine dezentrale Kommunikations¬ einrichtung 33 in Form einer Funkübertragungseinrichtung angebunden und bildet mit dieser zusammen eine streckenseitige Einrichtung 35.
Es sei darauf hingewiesen, dass die dezentrale Einrichtung 30, die auch als Stellwerksinsel bezeichnet werden kann, wei¬ tere Komponenten aufweisen kann, die in Figur 1 aus Gründen der Übersichtlichkeit nicht gezeigt sind. Dies betrifft bei¬ spielsweise eine dezentrale Stellwerkseinrichtung sowie gege¬ benenfalls weitere signaltechnische Sicherungseinrichtungen, die vorzugsweise ebenfalls kommunikationstechnisch miteinander verbunden sind.
Um die Sicherheit der Datenübertragung und damit letztendlich auch des Betriebs des Eisenbahnsystems 10 zu gewährleisten, werden Informationen beziehungsweise Nachrichten oder Daten zwischen den dezentralen Einrichtungen 30 des Eisenbahnsys- tems 10 digital signiert und verschlüsselt versendet. Durch die Public-Key-Infrastruktur wird hierbei ein asymmetrisches Kryptosystem realisiert, bei dem die jeweils sendende Einheit für eine verschlüsselte Übermittlung den öffentlichen Schlüssel des jeweiligen Empfängers benötigt. Um Verfälschungen zu vermeiden, ist hierbei sicherzustellen, dass es sich tatsächlich um den jeweiligen öffentlichen Schlüssel des jeweiligen Empfängers handelt und nicht etwa um eine Fälschung eines An¬ greifers beziehungsweise Betrügers. Hierzu dienen digitale Zertifikate, die die Authentizität eines öffentlichen Schlüs- sels sowie gegebenenfalls seinen zulässigen Anwendungs- und
Geltungsbereich bestätigen. Das digitale Zertifikat ist hierbei selbst durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Austellers des Zertifikats geprüft werden kann. Um die Sicherheit des Eisen- bahnsystems 10 dauerhaft zu gewährleisten, ist es erforder¬ lich beziehungsweise zweckmäßig, verwendete Schlüssel und Zertifikate in regelmäßigen Abständen zu wechseln. Dies gilt somit auch in Bezug auf die entsprechenden Schlüssel und/oder Zertifikate der dezentralen Einrichtung 30 des Eisenbahnsys¬ tems 10.
Im Rahmen des beschriebenen Ausführungsbeispiels sei nun an- genommen, dass die dezentrale Einrichtung 30 an einem Ort angeordnet ist, der weit von der zentralen Einrichtung 20 des Eisenbahnsystems 10 entfernt ist und zu dem keine Kommunika¬ tionsverbindung besteht. Dies kann beispielsweise den Fall von Minenbahnen betreffen, die in großen einsamen Gebieten verkehren, deren kommunikationstechnische Erschließung zwecks Anbindung der dezentralen Einrichtung 30 an die zentrale Einrichtung 20 unverhältnismäßig hohe Kosten verursachen würde oder aus anderen Gründen nicht praktikabel beziehungsweise möglich ist. Auch wenn die dezentrale Einrichtung 30 autark die signaltechnische Sicherheit im Bereich der Ausweichstelle 51 sicherstellen kann, besteht somit im Hinblick auf das verwendete Kryptosystem das Problem, dass mangels einer kommunikationstechnischen Anbindung an die zentrale Einrichtung 20 eine Aktualisierung beziehungsweise ein Austausch kryptogra- phischer Daten der dezentralen Einrichtung 30, insbesondere in Form von Schlüsseln und/oder Zertifikaten, nicht ohne Weiteres möglich ist. Zwar könnten entsprechende kryptographi- sche Daten im Rahmen von Wartungsmaßnahmen von Wartungspersonal aktualisiert beziehungsweise ausgetauscht werden; dies würde jedoch eine Anreise des Wartungspersonals an den be¬ treffenden Ort erforderlich machen und wäre daher vergleichsweise teuer und aufwändig.
Um in dieser Situation dennoch eine Übermittlung kryptogra- phischer Daten von der zentralen Einrichtung 20 des Eisenbahnsystems 10 an die dezentrale Einrichtung 30 des Eisen¬ bahnsystems 10 zu ermöglichen, kann nun vorteilhafterweise im Rahmen eines automatisierten Ablaufs ein Fahrzeug 40 des Eisenbahnsystems 10 verwendet werden. Dieses weist eine fahr- zeugseitige Steuereinrichtung 41, eine fahrzeugseitige Spei¬ chereinrichtung 42 sowie eine fahrzeugseitige Kommunikations¬ einrichtung 43 auf. Dabei ist die Kommunikationseinrichtung 43 ebenfalls zur funkbasierten Kommunikation ausgebildet und zwar derart, dass zwischen der dezentralen Kommunikationseinrichtung 33 und der fahrzeugseitigen Kommunikationseinrichtung 43 eine funkbasierte Datenübertragung möglich ist. Die sich hierbei aus den verwendeten Kommunikationseinrichtungen und Kommunikationsprotokollen sowie der Art einer Datenübermittlung (unidirektional oder bidirektional) ergebende Kommu¬ nikations- beziehungsweise Übertragungsreichweite ist in Fi¬ gur 1 in Form eines Empfangsbereichs 34 der dezentralen Kommunikationseinrichtung 32 angedeutet. Hierbei sei angenommen, dass die dezentrale Kommunikationseinrichtung 32 lediglich eine kurze beziehungsweise mittlere ( Sende- ) Reichweite auf¬ weist und daher ein Aufbau einer Kommunikationsverbindung zwischen der fahrzeugseitigen Kommunikationseinrichtung 43 und der dezentralen Kommunikationseinrichtung 33 ausschließ- lieh innerhalb des kreisförmigen Empfangsbereichs 34 möglich ist, dessen Radius beispielsweise hundert Meter oder einige hundert Meter betragen kann.
In der Speichereinrichtung 42 des Fahrzeugs 40 sind kryptog- raphische Daten abgelegt, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen. Sofern sich das Fahrzeug 40, das sich in eine Fahrtrichtung 45 be¬ wegt, der dezentralen Einrichtung 30 derart annähert, dass es sich in Kommunikationsreichweite der dezentralen Kommunikati- onseinrichtung 33 befindet, so dass eine Kommunikation zwischen der dezentralen Kommunikationseinrichtung 33 und der fahrzeugseitigen Kommunikationseinrichtung 43 möglich ist, können die kryptographischen Daten aus der Speichereinrichtung 42 ausgelesen und über die dezentrale Kommunikationsein- richtung 33 an die streckenseitige Einrichtung 35 beziehungs¬ weise die lokale Verwaltungseinrichtung 32 derselben übermittelt werden. Zu diesem Zwecke ist die Steuereinrichtung 41 des Fahrzeugs 40 ausgebildet, zu detektieren, dass sich das Fahrzeug 40 im Rahmen seiner Fahrt der streckenseitigen Ein- richtung hinreichend genähert hat. Hierzu können seitens der Steuereinrichtung 41 vorzugsweise ebenfalls in der Speichereinrichtung 42 gespeicherte Zusatzinformationen verwendet werden, die als Kenngröße vorzugsweise zumindest die Identi- tat der zumindest einen streckenseitigen Einrichtung, eine Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung, den Ort der zumindest einen streckenseitigen Einrichtung, die Größe beziehungsweise den Betrag der Kommu- nikationsreichweite und/oder den Ort der Fahrstrecke 50, an oder ab der die kryptographischen Daten von dem Fahrzeug 40 an die streckenseitige Einrichtung 35 zu übermitteln sind, umfassen. Damit kann das Fahrzeug 40 beziehungsweise dessen Speichereinrichtung 42 vorteilhafterweise zum Transport der kryptographischen Daten verwendet werden, wodurch insbesondere seitens der dezentralen Einrichtung 30 vorteilhafterweise eine dezentrale Kommunikationseinrichtung 33 mit vergleichs¬ weise kleiner Kommunikationsreichweite verwendet werden kann. Vor der Fahrt des Fahrzeugs 40 zu der streckenseitigen Einrichtung 35 können die kryptographischen Daten beispielsweise von der Registrierungsstelle 22, der Zertifizierungsstelle 23 oder der zentralen Verwaltungs- und/oder Steuereinrichtung 21 der zentralen Einrichtung 20 beispielsweise ebenfalls funkba- siert an das Fahrzeug 40 übermittelt und von diesem nach Emp¬ fang durch die fahrzeugseitige Kommunikationseinrichtung 43 über die Steuereinrichtung 41 in der Speichereinrichtung 42 abgelegt werden. Dieser Schritt erfolgt somit zu einem Zeit¬ punkt, welcher der in Figur 1 dargestellten Situation voraus- geht, d.h. zu einem früheren Zeitpunkt, zu dem sich das Fahrzeug 40 noch näher an der zentralen Einrichtungen 20 aufhält, so dass eine entsprechende funkbasierte Übertragung möglich ist . In der in Figur 1 dargestellten Situation hat sich das Fahrzeug 40 der streckenseitigen Einrichtung gerade soweit angenähert, dass die kryptographischen Daten von dem Fahrzeug 40 an die streckenseitige Einrichtung 35 übermittelt werden kön¬ nen. Von der lokalen Verwaltungseinrichtung 32 können die kryptographischen Daten sodann an zumindest eine weitere lokale Komponente des Eisenbahnsystems 10 in Form der signal¬ technischen Sicherungseinrichtung 31 sowie gegebenenfalls vorhandene weitere signaltechnische Sicherungseinrichtungen verteilt werden. Die Übertragung beziehungsweise Übermittlung der kryptographischen Daten von dem Fahrzeug 40 an die stre- ckenseitige Einrichtung 35 beziehungsweise die lokale Verwal¬ tungseinrichtung 32 derselben erfolgt hierbei vorteilhafter- weise während der Fahrt des Fahrzeugs 40, so dass eine Ver¬ langsamung beziehungsweise Unterbrechung der Fahrt des Fahrzeugs 40 nicht erforderlich ist. Dies bedeutet, dass die kryptographischen Daten ohne eine Beeinträchtigung des Regelbetriebs des Fahrzeugs 40 übermittelt werden. Dabei erfolgt die Übermittlung der kryptographischen Daten von dem Fahrzeug 40 an die zumindest eine streckenseitige Einrichtung vorteil¬ hafterweise verschlüsselt oder anderweitig gesichert, so dass Angriffe oder Verfälschungen der kryptographischen Daten ausgeschlossen sind.
Figur 2 zeigt eine zweite schematische Darstellung zur wei¬ tergehenden Erläuterung des Ausführungsbeispiels des erfindungsgemäßen Verfahrens. Die Darstellung der Figur 2 entspricht einem Ablaufdiagramm, wobei auf der linken Seite wie- derum die zentrale Einrichtung 20 des Eisenbahnsystems ge¬ zeigt ist, welche entsprechend dem Ausführungsbeispiel der Figur 1 die zentrale Verwaltungs- und/oder Steuereinrichtung 21, die Registrierungsstelle 22, die Zertifizierungsstelle 23 sowie die zentrale Kommunikationseinrichtung 24 umfasst. In entsprechender Weise ist auf der rechten Seite der Figur 2 die dezentrale Einrichtung 30 dargestellt, bei denen es sich entsprechend dem Ausführungsbeispiel der Figur 1 um die stre¬ ckenseitige Einrichtung 35 sowie die signaltechnische Siche¬ rungseinrichtung 31 handelt. Darüber hinaus sind in Figur 2 weitere signaltechnische Sicherungseinrichtungen 31a und 31b angedeutet .
Eine Übermittlung kryptographischer Daten von der zentralen Einrichtung 20 an die dezentrale Einrichtung 30 kann nun bei- spielsweise derart erfolgen, dass die betreffenden kryptogra¬ phischen Daten beispielsweise von der Zertifizierungsstelle 23 in einer Nachricht 60 an die zentrale Kommunikationseinrichtung 24 übermittelt werden. Von der zentralen Kommunika- tionseinrichtung 24 werden die kryptographischen Daten in einer Nachricht 61 funkbasiert an die fahrzeugseitige Kommuni¬ kationseinrichtung 43 des Fahrzeugs 40 übermittelt und unter Zwischenschaltung der Steuereinrichtung 41 in der Speicher- einrichtung 42 abgelegt. Im Folgenden fährt das Fahrzeug 40 in der Fahrtrichtung 45 in Richtung der dezentralen Einrichtung 30 und erreicht irgendwann die Kommunikationsreichweite der streckenseitigen Einrichtung 35. Dies wird von der Steuereinrichtung 41 detektiert, woraufhin die kryptographischen Daten in einer Nachricht 62 funkbasiert an die streckenseiti- ge Einrichtung 35 übermittelt werden, welche diese als Nach¬ richt 63 empfängt. Für diesen Übertragungsschritt, der somit zeitlich entkoppelt von der Übertragung der kryptographischen Daten an das Fahrzeug 40 erfolgt, sind in der Figur 2 die kryptographischen Daten angedeutet und mit dem Bezugszeichen 70 gekennzeichnet. Unabhängig hiervon sind die betreffenden kryptographischen Daten auch in den Nachrichten 60, 61 und 63 sowie nachfolgenden Nachrichten 64, 65 und 66 ganz oder teilweise enthalten, wobei bei diesen Nachrichten aus Gründen der Übersichtlichkeit auf eine entsprechende graphische Andeutung der kryptographischen Daten verzichtet wurde.
Von der streckenseitigen Einrichtung 35 werden die kryptographischen Daten beziehungsweise die für die jeweilige Kompo- nente relevanten Teile derselben mit den Nachrichten 64, 65 und 66 an die signaltechnischen Sicherungseinrichtungen 31, 31a und 31b übermittelt. Hierdurch wird es diesen in der Fol¬ ge ermöglicht, basierend auf aktualisierten beziehungsweise ausgetauschten Schlüsseln und/oder Zertifikaten weiterhin ge- sichert miteinander zu kommunizieren, was in Figur 2 durch Nachrichten 67, 68 und 69 angedeutet ist.
Figur 3 zeigt eine dritte schematische Darstellung zur Erläu¬ terung eines weiteren Ausführungsbeispiels des erfindungsge- mäßen Verfahrens. Die Darstellung der Figur 3 entspricht im Wesentlichen derjenigen der Figur 2, wobei in Bezug auf die zentrale Einrichtung 20 auf eine separate Darstellung der einzelnen Komponenten verzichtet worden ist. Hierdurch soll angedeutet werden, dass diese Komponenten als solche unter¬ schiedlich ausgeführt sein können.
In dem Ausführungsbeispiel der Figur 3 erfolgt zunächst ein Kommunikationsaustausch zwischen der signaltechnischen Sicherungseinrichtung 31 und den weiteren signaltechnischen Sicherungseinrichtungen 31a, 31b und der streckenseitigen Einrichtung 35 (beziehungsweise der lokalen Verwaltungseinrichtung 32 derselben) mittels Nachrichten 80, 81 und 82. Hierbei kann es sich beispielsweise um Anfragen im Rahmen von Verfahren der Public-Key-Infrastruktur handeln, die von der streckenseitigen Einrichtung 35 in Form von Nachrichten 83, 84 und 85 beantwortet werden. In der Folge tauschen die signaltechnischen Sicherungseinrichtungen 31, 31a und 31b untereinander Nachrichten 86, 87, 88 und 89 aus, die unter Verwendung von Schlüsseln und digitalen Zertifikaten gesichert sind.
In einer Nachricht 90 werden nun von der streckenseitigen Einrichtung 35 Daten beziehungsweise eine Informationsanfrage 71 an das Fahrzeug 40 übermittelt. Im Rahmen des beschriebe¬ nen Ausführungsbeispiels sei hierbei angenommen, dass dies im Gegenzug zu einer Übertragung kryptographischer Daten von dem Fahrzeug 40 an die lokale Verwaltungseinrichtung 32 erfolgt, wie sie zuvor im Zusammenhang mit Figur 2 erläutert worden ist. Alternativ hierzu kann dies jedoch auch zeitlich entkoppelt von der entsprechenden Übertragung kryptographischer Daten erfolgen und eine Übermittlung der Informationsanfrage 71 auch an ein anderes Fahrzeug des Eisenbahnsystems 10 erfol¬ gen. Dabei kann sich die Informationsanfrage sowohl auf kryp- tographische Verfahren beziehen beziehungsweise entsprechende Verfahren realisieren, d.h. beispielsweise eine Aktualisie¬ rung von Zertifikaten anfordern, als auch von kryptographi- schen Verfahren losgelöst sein, d.h. beispielsweise eine Übertragung von Diagnosedaten betreffen.
Die übermittelten Daten werden in der Speichereinrichtung 42 des Fahrzeugs 40 abgelegt und von dem Fahrzeug 40 außerhalb der Übertragungsreichweite der streckenseitigen Einrichtung 35 an die zentrale Einrichtung 20 des Eisenbahnsystems 10 weitergeleitet. In Figur 3 ist dies durch die Nachrichten 92 und 93 angedeutet. In der Folge kommt es seitens der zentra¬ len Einrichtung 20 zu einem Kommunikationsaustausch in Form von Nachrichten 95 und 96, wobei gleichzeitig seitens der de¬ zentralen Einrichtung 30 Nachrichten 97 und 98 ausgetauscht werden. Mit einer Nachricht 99 wird dann von der zentralen Einrichtung 20 eine Informationsantwort 72 an ein weiteres Fahrzeug 40a übermittelt, bei dem es sich somit nicht um das Fahrzeug 40 handelt. Das weitere Fahrzeug 40a weist analog zum Fahrzeug 40 eine weitere Steuereinrichtung 41a, eine wei¬ tere Speichereinrichtung 42a sowie eine weitere Kommunikati¬ onseinrichtung 43a auf und bewegt sich in einer Fahrtrichtung 45a in Richtung der dezentralen Einrichtung 30. Sobald das weitere Fahrzeug 41a im Kommunikationsreichweite der stre- ckenseitigen Einrichtung 35 ist, übermittelt es die Informa¬ tionsantwort 72 mittels Nachrichten 100 / 101 an die stre- ckenseitige Einrichtung 35 beziehungsweise die lokale Verwal¬ tungseinrichtung derselben. Diese überträgt die Informations- antwort beziehungsweise einen jeweiligen Teil derselben in
Nachrichten 102, 103 und 104 an die signaltechnischen Sicherungseinrichtungen 31, 31a und 31b, wodurch diese mit benö¬ tigten Informationen oder Aktualisierungen versorgt werden können. Vorteilhafterweise können somit auch Verfahren mit mehreren Kommunikationsschritten, etwa in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, durch mehrere Fahrten von Fahrzeugen 40, 40a durchgeführt werden. Hierdurch können beispielsweise auch komplexe Handshake-Verfahren realisiert werden. Die entspre- chenden, mit den Fahrzeugen 40, 40a transportierten Daten sind hierbei wiederum gesichert, etwa durch die Verwendung eines Transportschlüssels.
Entsprechend den vorstehenden Erläuterungen im Zusammenhang mit den beschriebenen Ausführungsbeispielen des erfindungsgemäßen Verfahrens, des erfindungsgemäßen Fahrzeugs sowie des erfindungsgemäßen Eisenbahnsystems weisen diese insbesondere den Vorteil auf, dass sie eine Übermittlung insbesondere kryptographischer Daten von einer Zentrale an dezentrale streckenseitige Einrichtungen auch in solchen Fällen ermöglichen, in denen diese keine unmittelbare Kommunikationsanbindung aufweisen. Hierbei erfolgt ein automatischer Transport der entsprechenden Daten mittels Fahrzeugen beziehungsweise Zügen unter Verwendung von in diesen installierten Speichereinrichtungen. An dem jeweiligen entfernten Ort erfolgt sodann ein Übermitteln beziehungsweise Herunterladen der betreffenden Daten, so dass ein Wartungstrupp vor Ort vorteil- hafterweise nicht erforderlich ist. Dabei können diese Ver¬ fahren vorteilhafterweise völlig automatisch ablaufen und be¬ dürfen keiner Wartungshandlung. Damit wird auch ein hochfrequenter Schlüsselaustausch ermöglicht, wodurch die IT- Sicherheit erhöht werden kann, ohne dass zusätzliche Kosten entstehen. Darüber hinaus wird vorteilhafterweise weiterhin eine Rückmeldung über den Zustand der lokalen IT-Security an dem entfernten Ort an die Zentrale ermöglicht.

Claims

Patentansprüche
1. Verfahren zum Betreiben eines Eisenbahnsystems (10), wobei
- kryptographische Daten (70), die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen, in einer Speichereinrichtung (42) eines Fahrzeugs (40) des Eisenbahnsystems (10) abgelegt werden und
- von dem Fahrzeug (40), wenn sich dieses im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer stre- ckenseitigen Einrichtung (35) aufhält, die kryptographi- schen Daten (70) an die zumindest eine streckenseitige Einrichtung (35) des Eisenbahnsystems (10) übermittelt werden . 2. Verfahren nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t , dass
die kryptographischen (70) Daten von dem Fahrzeug (40) drahtlos, insbesondere funkbasiert an die zumindest eine strecken¬ seitige Einrichtung (35) übermittelt werden.
3. Verfahren nach Anspruch 1 oder 2,
d a d u r c h g e k e n n z e i c h n e t , dass
- die kryptographischen Daten (70) von einer zentralen Einrichtung (23) einer Public-Key-Infrastruktur des Eisen- bahnsystems (10) an das Fahrzeug übermittelt und
- von dem Fahrzeug in der Speichereinrichtung (42) abgelegt werden .
4. Verfahren nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
dem Fahrzeug (40) Zusatzinformationen bereitgestellt werden, die zumindest eine der folgenden Kenngrößen umfassen:
Identität der zumindest einen streckenseitigen Einrichtung
(35) ,
- Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung (35) ,
- Ort der zumindest einen streckenseitigen Einrichtung (35) ,
- Größe der Kommunikationsreichweite, - Ort einer jeweiligen Fahrstrecke, an oder ab der die kryp- tographischen Daten von dem Fahrzeug (40) an die zumindest eine streckenseitige Einrichtung (35) zu übermitteln sind. 5. Verfahren nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
- als streckenseitige Einrichtung (35) eine lokale Verwal¬ tungseinrichtung des Eisenbahnsystems (10) verwendet wird und
- die kryptographischen Daten (70) von der lokalen Verwaltungseinrichtung an zumindest eine weitere lokale Kompo¬ nente (31) des Eisenbahnsystems (10) verteilt werden.
6. Verfahren nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
die kryptographischen Daten (70) von dem Fahrzeug (40) während der Fahrt an die zumindest eine streckenseitige Einrich¬ tung (35) übermittelt werden. 7. Verfahren nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
die kryptographischen Daten (70) verschlüsselt oder anderwei¬ tig gesichert von dem Fahrzeug (40) an die zumindest eine streckenseitige Einrichtung (35) übermittelt werden.
8. Verfahren nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
- von der streckenseitigen Einrichtung (35) oder zumindest einer der streckenseitigen Einrichtungen Daten (71) an das Fahrzeug (40) oder ein anderes sich zum gegebenen Zeit¬ punkt innerhalb der Kommunikationsreichweite aufhaltendes Fahrzeug übermittelt werden,
- die übermittelten Daten (71) in der Speichereinrichtung (42) des betreffenden Fahrzeugs (40) abgelegt und
- von dem betreffenden Fahrzeug (40) außerhalb der Kommunikationsreichweite der zumindest einen streckenseitigen Einrichtung (35) an eine zentrale Einrichtung (z.B. 21) des Eisenbahnsystems (10) weitergeleitet werden.
9. Verfahren nach einem der vorangehenden Ansprüche,
d a d u r c h g e k e n n z e i c h n e t , dass
Verfahren mit mehreren Kommunikationsschritten, etwa in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, mittels zumindest einer weiteren Fahrt des Fahrzeugs (40) oder zumindest eines weiteren Fahr¬ zeugs (40a) realisiert werden. 10. Fahrzeug (40) eines Eisenbahnsystems (10), mit
- einer Speichereinrichtung (42), in der kryptographische Daten (70) abgelegt sind, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen,
- einer Steuereinrichtung (41) zum Detektieren, dass sich das Fahrzeug (40) im Rahmen einer Fahrt in Kommunikations¬ reichweite zu zumindest einer streckenseitigen Einrichtung (35) des Eisenbahnsystems (10) aufhält, und
- einer Kommunikationseinrichtung (43) zum Übermitteln der kryptographischen Daten (70) an die zumindest eine stre- ckenseitige Einrichtung (35) .
11. Fahrzeug (40) nach Anspruch 10,
d a d u r c h g e k e n n z e i c h n e t , dass
die Kommunikationseinrichtung (43) zum drahtlosen, insbeson- dere funkbasierten Übermitteln der kryptographischen Daten
(70) von dem Fahrzeug (40) an die zumindest eine streckensei- tige Einrichtung (35) ausgebildet ist.
12. Eisenbahnsystem (10) mit zumindest einem Fahrzeug (40) nach Anspruch 10 oder 11 und einer zentralen Einrichtung
(20), die ausgebildet ist, die kryptographischen Daten (70) an das Fahrzeug (40) zu übermitteln, wobei das Fahrzeug (40) ausgebildet ist, die kryptographischen Daten (70) in der Speichereinrichtung (42) abzulegen.
13. Eisenbahnsystem (10) nach Anspruch 12,
d a d u r c h g e k e n n z e i c h n e t , dass das Eisenbahnsystem (10) ausgebildet ist, dem Fahrzeug (40) Zusatzinformationen bereitzustellen, die zumindest eine der folgenden Kenngrößen umfassen:
Identität der zumindest einen streckenseitigen Einrichtung (35),
- Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung (35) ,
- Ort der zumindest einen streckenseitigen Einrichtung (35) ,
- Größe der Kommunikationsreichweite,
- Ort einer jeweiligen Fahrstrecke, an oder ab der die kryp- tographischen Daten (70) von dem Fahrzeug (40) an die zumindest eine streckenseitige Einrichtung (35) zu übermit¬ teln sind. 14. Eisenbahnsystem (10) nach einem der Ansprüche 10 bis 13, d a d u r c h g e k e n n z e i c h n e t , dass
- die streckenseitige Einrichtung (35) eine lokale Verwal¬ tungseinrichtung des Eisenbahnsystems (10) ist und
- die lokale Verwaltungseinrichtung ausgebildet ist, die
kryptographischen Daten (70) an zumindest eine weitere lo¬ kale Komponente (31) des Eisenbahnsystems (10) zu vertei¬ len .
15. Eisenbahnsystem (10) nach einem der Ansprüche 10 bis 14, d a d u r c h g e k e n n z e i c h n e t , dass
das Eisenbahnsystem (10) zum Durchführen des Verfahrens nach einem der Ansprüche 6 bis 9 ausgebildet ist.
PCT/EP2017/077280 2016-11-25 2017-10-25 Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems WO2018095682A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201780072836.4A CN110023170A (zh) 2016-11-25 2017-10-25 用于运行铁路系统的方法以及铁路系统的车辆
EP17800401.6A EP3515785B1 (de) 2016-11-25 2017-10-25 Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems
US16/464,362 US11958519B2 (en) 2016-11-25 2017-10-25 Method for operating a railway system, and vehicle of a railway system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016223481.1A DE102016223481A1 (de) 2016-11-25 2016-11-25 Verfahren zum Betreiben eines Eisenbahnsystems sowie Fahrzeug eines Eisenbahnsystems
DE102016223481.1 2016-11-25

Publications (1)

Publication Number Publication Date
WO2018095682A1 true WO2018095682A1 (de) 2018-05-31

Family

ID=60382149

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/077280 WO2018095682A1 (de) 2016-11-25 2017-10-25 Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems

Country Status (5)

Country Link
US (1) US11958519B2 (de)
EP (1) EP3515785B1 (de)
CN (1) CN110023170A (de)
DE (1) DE102016223481A1 (de)
WO (1) WO2018095682A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020115875A1 (ja) * 2018-12-06 2020-06-11 三菱電機株式会社 端末装置およびデータ管理方法
CN110753320B (zh) * 2019-09-25 2022-11-01 株洲凯创技术有限公司 一种列车车载加密装置及列车车载加密机
CN113242235A (zh) * 2021-05-08 2021-08-10 卡斯柯信号有限公司 一种对铁路信号安全通信协议rssp-i加密认证的系统及其方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0997807A2 (de) * 1998-10-30 2000-05-03 Siemens Aktiengesellschaft Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik
EP1220094A1 (de) * 2000-12-30 2002-07-03 Siemens Schweiz AG Verfahren zur Programmierung eines redundant ausgeführten Zielsystems mit Sicherheitsanforderung
US20040124315A1 (en) * 2002-12-31 2004-07-01 Kane Mark Edward Method and system for automated fault reporting
EP1870308A2 (de) * 2006-06-23 2007-12-26 Siemens Aktiengesellschaft Verfahren zur Übertragung von Daten
US20090212168A1 (en) * 2008-02-25 2009-08-27 Ajith Kuttannair Kumar System and Method for Transporting Wayside Data on a Rail Vehicle
WO2012136525A1 (de) * 2011-04-05 2012-10-11 Siemens Aktiengesellschaft System und verfahren für ein schlüsselmanagement eines zugsicherungssystems
US20160107663A1 (en) * 2014-10-15 2016-04-21 General Electric Company System and method for configuring and updating wayside devices

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007041177B4 (de) * 2007-08-27 2009-04-30 Siemens Ag Verfahren zum ETCS-Online-Schlüsselmanagement
CN101567780B (zh) * 2009-03-20 2011-05-18 武汉理工大学 一种针对加密数字证书的密钥管理与恢复方法
DE102011083340A1 (de) * 2011-09-23 2013-03-28 Siemens Aktiengesellschaft Verfahren zum Bedienen einer streckenseitigen Einrichtung des spurgebundenen Verkehrs sowie streckenseitige Einrichtung
JP6092548B2 (ja) 2012-09-03 2017-03-08 西日本旅客鉄道株式会社 無線システム及び列車制御システム
US9166952B2 (en) * 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
DE102014226902A1 (de) * 2014-12-23 2016-01-14 Siemens Aktiengesellschaft Einrichtung einer sicheren Datenübertragungsverbindungim Schienenverkehr
CN105025479B (zh) 2015-07-27 2019-03-05 北京交通大学 城市轨道交通系统车地无线通信认证密钥配置系统及方法
CN205725863U (zh) 2016-06-29 2016-11-23 河南蓝信软件有限公司 动车组车辆信息动态监测系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0997807A2 (de) * 1998-10-30 2000-05-03 Siemens Aktiengesellschaft Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik
EP1220094A1 (de) * 2000-12-30 2002-07-03 Siemens Schweiz AG Verfahren zur Programmierung eines redundant ausgeführten Zielsystems mit Sicherheitsanforderung
US20040124315A1 (en) * 2002-12-31 2004-07-01 Kane Mark Edward Method and system for automated fault reporting
EP1870308A2 (de) * 2006-06-23 2007-12-26 Siemens Aktiengesellschaft Verfahren zur Übertragung von Daten
US20090212168A1 (en) * 2008-02-25 2009-08-27 Ajith Kuttannair Kumar System and Method for Transporting Wayside Data on a Rail Vehicle
WO2012136525A1 (de) * 2011-04-05 2012-10-11 Siemens Aktiengesellschaft System und verfahren für ein schlüsselmanagement eines zugsicherungssystems
US20160107663A1 (en) * 2014-10-15 2016-04-21 General Electric Company System and method for configuring and updating wayside devices

Also Published As

Publication number Publication date
US11958519B2 (en) 2024-04-16
CN110023170A (zh) 2019-07-16
EP3515785A1 (de) 2019-07-31
EP3515785B1 (de) 2024-08-21
DE102016223481A1 (de) 2018-05-30
US20210114635A1 (en) 2021-04-22

Similar Documents

Publication Publication Date Title
EP1824721B1 (de) Verfahren und system zur überprüfung einer datenübertragungseinheit zur steuerung eines fahrenden objektes
WO2016198231A1 (de) Verfahren sowie einrichtung zum ermitteln einer fahrerlaubnis für ein spurgebundenes fahrzeug
DE102010026433A1 (de) Steuernetzwerk für ein Schienenfahrzeug
DE102014210190A1 (de) Fahrerlaubnis für ein Schienenfahrzeug
WO2012136525A1 (de) System und verfahren für ein schlüsselmanagement eines zugsicherungssystems
WO2018228758A1 (de) Verfahren zum betreiben eines spurgebundenen verkehrssystems
DE102008045050A1 (de) Verfahren und Vorrichtung zur Zugbeeinflussung
WO2018095682A1 (de) Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems
DE102013101927A1 (de) Vorrichtung, Zugendekontrollgerät, Schienenstrecke und Verfahren zur Datenübertragung
EP3448736A1 (de) Verfahren sowie anordnung zum sichern eines bahnübergangs
DE102019204135A1 (de) Verfahren zum gemischten Betrieb eines gleisgebundenen Streckenabschnitts mit Weiche sowie Streckenabschnitt und Weiche
EP3795451B1 (de) Verfahren zum orten eines fahrzeugs an einer für einen halt des fahrzeugs vorgesehenen station
DE102016217902A1 (de) Überwachung eines Schienenfahrzeugs
WO2013117398A2 (de) System zur steuerung, sicherung und/oder überwachung von fahrwegen spurgebundener fahrzeuge sowie verfahren zum betreiben eines solchen systems
EP2088051B1 (de) Verfahren und Vorrichtung zur sicheren Einstellung von einer Fahrstrasse für ein Schienenfahrzeug
EP1931550B1 (de) Verfahren zum betreiben einer eisenbahnstrecke
EP2663483A1 (de) Anordnung zur etcs l2 -european train control system level 2- zugbeeinflussung
DE102019211966A1 (de) Gleisgebundener Streckenabschnitt, ausgestattet mit einem automatischen Zugsicherungssystem, und Verfahren zu dessen Betrieb
EP3013666B1 (de) Verfahren zum betreiben eines zugbeeinflussungssystems und zugbeeinflussungssystem
DE102012206479A1 (de) Verfahren zur Hilfsbedienung eines Fahrwegelements sowie betriebsleittechnisches System
EP1892171A1 (de) Verfahren zum Betreiben eines Stellwerkes und Verfahren zum Betreiben einer Streckenzentrale
EP2489570B1 (de) Verfahren und System zum Datenaustausch zwischen einer zentralen Einheit und einer Zugbeeinflussungskomponente zu Testzwecken
DE102004057907A1 (de) Verfahren bei der Einbindung von Rangiervorgängen bei der Zugsteuerung und Zugsicherung mittels bidirektionaler Funk-Informationsübertragung
DE10240376B4 (de) Sicheres Zugmeldebuch
DE102016217913A1 (de) Überwachung eines Schienenfahrzeugs

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17800401

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2017800401

Country of ref document: EP

Effective date: 20190426

NENP Non-entry into the national phase

Ref country code: DE