ÜBERPRÜFUNG DER AUTHENTIZITÄT EINER BALISE

Beschreibung

[0001] Die Erfindung betrifft ein Verfahren zum Betrieb eines Schienenfahrzeugs, ein Verfahren zum Überprüfen einer von einer Balise bereitgestellten Kennung, ein Verfahren zum Bereitstellen einer Kennung durch eine Balise, eine ETCS-Streckenausrüstung sowie ein Schienenfahrzeug.

[0002] Das "European Train Control System" (ETCS) ist eine Komponente eines einheitlichen europäischen Eisenbahnverkehrsleitsystems, das unter dem Buchstabenkürzel ERTMS entwickelt wurde. Die zweite technische Komponente dieser digitalen Bahntechnologie ist das Bahn-Mobilfunksystem GSM-R. ETCS soll die Vielzahl der in den Ländern eingesetzten Zugsicherungssysteme ablösen, mittelfristig im Hochgeschwindigkeitsverkehr Verwendung finden und langfristig im gesamten europäischen Schienenverkehr umgesetzt werden.

[0003] Eine ETCS-Fahrzeugeinrichtung umfasst z.B. einen ETCS-Rechner (EVC, European Vital Computer, auch bezeichnet als Fahrzeugrechner (OBU, On-board Unit)), eine Führerstandsanzeige (DMI, Driver Machine Interface), eine Wegmesseinrichtung, eine GSM-R-Übertragungseinrichtung (einschließlich Euroradio), einen Balisenleser und einen Bremszugriff (http://de.wikipedia.org/wiki/ETCS).

[0004] ETCS Level 1 benutzt Balisen als Übertragungsmedium. Die von den Balisen übermittelten Informationen sind Streckengradienten, Streckenhöchstgeschwindigkeiten und der Punkt, an dem das Fahrzeug wieder stehen soll. Zusammen mit einem ETCS-Modus bilden diese die Movement Authority (MA), übersetzt etwa "Berechtigung zur Bewegung" oder "Fahrerlaubnis". Damit kann die fahrzeugseitige ETCS-Ausrüstung kontinuierlich die Einhaltung der erlaubten Geschwindigkeit (und Richtung) überwachen und rechtzeitig eine Zwangsbremsung auslösen.

[0005] Am Ende der MA ("End of Authority", EoA) - beispielsweise ein HALT zeigendes Signal - soll das Schienenfahrzeug zum Stehen kommen.

[0006] Neben den ETCS-Levels sind auch ETCS-Modi definiert. Die Modi beschreiben die Zustände, in denen sich der EVC befinden kann (siehe auch: http://de.wikipedia.org/wiki/ETCS).

[0007] Bei ETCS Level 2 werden nahezu alle Informationen mittels Euroradio von der Streckenzentrale (Radio Block Center, RBC) zum Fahrzeug übertragen. Zusätzlich besteht die Möglichkeit, Informationen vom Zug an die Strecke zu übertragen und die Informationen können auch im Stillstand ausgetauscht werden. Damit kann die Streckenauslastung gegenüber Level 1 etwas erhöht werden. Bevor vom RBC die für eine Fahrerlaubnis (MA) notwendigen Informationen berechnet werden können, muss dieses wissen, wo genau sich der Zug befindet und in welche Richtung er fährt. Die Ermittlung von Position und Richtung obliegt dabei dem Fahrzeugrechner, dieser übermittelt diese regelmäßig über GSM-R an die Strecke. Zur Bestimmung werden jedoch Referenzpunkte auf der Strecke benötigt. Hierfür werden Eurobalisen benutzt, welche beispielsweise in Ausfahrgleisen von Bahnhöfen sowie in (z.B. unregelmäßigen) Abständen auf freier Strecke angebracht sind. Zwischen diesen Referenzpunkten wird die Position odometrisch mittels Doppler-Radar am Triebfahrzeugboden und Radimpulsgebern an den Triebfahrzeugachsen ermittelt. Teilweise werden auch Beschleunigungssensoren verwendet.

[0008] Die Information über freie Gleisabschnitte wird wie in ETCS Level 1 über die ortsfeste Gleisfreimeldung vom Stellwerk ermittelt und an die Streckenzentrale übergeben: Die Strecke ist - wie bei konventioneller Sicherungstechnik - in Abschnitte ("Blöcke") geteilt, und der Zug darf in den nächsten Abschnitt nur einfahren, wenn dieser nicht von einem anderen Zug belegt, sondern als 'frei' gemeldet ist. (Quelle: http://de.wikipedia.org/wiki/European_Train_Control_System.)

[0009] Die korrekte Übermittlung eines Telegramms der ETCS-Balise wird mittels einer zyklischen Redundanzprüfung (CRC, "Cyclic Redundancy Check") sichergestellt. Hierbei wird ein Prüfwert (auch bezeichnet als CRC-Code) für Daten bestimmt, um Fehler bei der Übertragung aufdecken zu können (vergleiche z.B. http://de.wikipedia.org/wiki/Zyklische_Redundanzprüfung).

[0010] Der CRC-Code ist geeignet, um übliche Fehler auf Kommunikationskanälen erkennen zu können. Hierbei ist es von Nachteil, dass derartige CRC-Codes keinen Schutz vor einer absichtlicher (böswillige) Manipulation der Daten z.B. in Form unterschiedlicher Angriffe bieten. Beispielsweise könnten folgende Veränderungen an den Telegrammen der Balise vorgenommen werden:

• eine Veränderung der Fahrerlaubnis (MA);
• eine Veränderung einer von der Balise bereitgestellten Information, z.B. "Weiterfahrt" (Proceed) anstelle von "Anhalten" (Stop);
• eine Veränderung von Geschwindigkeitswerten, so dass beispielsweise eine höhere Geschwindigkeit übermittelt wird als die eigentlich vorgesehene Höchstgeschwindigkeit;
• eine Veränderung einer fahrteinschränkenden Signalisierung;
• eine Veränderung von Entfernungswerten.

[0011] Bei solchen Manipulationen handelt es sich um Angriffe auf die von der Balise bereitgestellten Daten, die mittels des CRC-Codes nicht detektiert werden können. Beispielsweise können die manipulierten Daten (mit den für diese passenden CRC-Codes) von einem Angreifer bereitgestellt werden während das Schienenfahrzeug die Balise überfährt. Dies ist gerade für sicherheitsrelevante Daten unerwünscht.

[0012] Die EP 2 022 697 A1 und die EP 0 735 381 A2 beschreiben jeweils Systeme und Verfahren bei denen die Balisenkennung an Bord des Fahrzeugs überprüft wird.

[0013] Die Aufgabe der Erfindung besteht darin, die vorstehend genannten Nachteile zu vermeiden und insbesondere eine Möglichkeit für eine sichere und verlässliche Übertragung der Daten von der Balise an den Fahrzeugrechner eines Schienenfahrzeugs zu schaffen.

[0014] Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen sind insbesondere den abhängigen Ansprüchen entnehmbar.

[0015] Zur Lösung der Aufgabe wird ein Verfahren zum Betrieb eines Schienenfahrzeugs vorgeschlagen,

• bei dem eine Information zum Betrieb des Schienenfahrzeugs und eine Kennung von einer Balise zu einem Fahrzeugrechner des Schienenfahrzeugs übertragen wird,
• so dass anhand der Kennung die Authentizität der Balise von dem Schienenfahrzeug überprüft wird,
• bei dem bei erfolgreicher Überprüfung der Kennung die Information zum Betrieb des Schienenfahrzeugs genutzt wird.

[0016] Beispielsweise werden Information und Kennung zusammen in einem Telegramm von der Balise an den Fahrzeugrechner des Schienenfahrzeugs übertragen.

[0017] Die bereitgestellte Information wird insbesondere dadurch genutzt, dass z.B. in den Informationen enthaltene Vorgaben für den Betrieb des Schienenfahrzeugs eingehalten werden. Insbesondere wird das Schienenfahrzeug basierend auf der Information gesteuert, sofern die Kennung erfolgreich verifiziert werden konnte.

[0018] Hierbei sei angemerkt, dass die erfolgreiche Überprüfung der Kennung insbesondere ein Verifizieren der Kennung umfasst. Durch das Verifizieren der Kennung kann somit die Authentizität der Balise sichergestellt werden. So ist gewährleistet, dass die erhaltene Information auch von der Balise stammt und es wird verhindert, dass ein Angreifer - getarnt als Balise - unerkannt die Information an das Schienenfahrzeug übermittelt.

[0019] Die Kennung von dem Fahrzeugrechner wird nicht überprüft, falls bestimmt wird, dass keine Kennung vorhanden ist oder falls die Kennung einen vorgegebenen Wert aufweist.

[0020] Beispielsweise kann von einer Überprüfung abgesehen werden, falls keine Kennung vorhanden ist. Dies kann dadurch bestimmt werden, dass die Kennung einen vorgegebenen Wert aufweist, z.B. das Feld, in dem die Kennung übertragen wird, leer ist oder einen bestimmten Wert aufweist bzw. enthält.

[0021] Auch kann von der Überprüfung abgesehen werden, falls die Kennung einen vorgegebenen Wert nicht aufweist. In diesem Fall wird die Überprüfung nur dann durchgeführt, wenn die Kennung als solche erkannt wird. Hierzu ist es möglich, dass die Kennung einen zusätzlichen Wert z.B. in Form eines Bitmusters umfasst, der beispielsweise Teil der Kennung ist und/oder zusätzlich zu dieser vorhanden ist. So kann der zusätzliche Wert der Kennung vorangestellt oder dieser angehängt sein.

[0022] Wird beispielsweise ein Datenfeld in dem die Kennung übertragen werden könnte für einen anderen Zweck genutzt und ist darin keine Kennung vorhanden, so wird dies erkannt und die Überprüfung der Kennung kann entfallen.

[0023] Eine andere Weiterbildung ist es, dass die Information nicht genutzt wird, falls die Überprüfung der Kennung nicht erfolgreich war.

[0024] Sofern die (vorhandene und als solche erkannte) Kennung nicht verifiziert werden konnte, wird beispielsweise angenommen, dass die Information von der Balise ungültig ist. Es kann dann eine geeignete Aktion, z.B. eine Überprüfung der Balise und/oder das Überführen des Systems in einen sicheren Zustand, z.B. ein Abbremsen oder Anhalten des Schienenfahrzeugs, eingeleitet werden.

[0025] Insbesondere ist es eine Weiterbildung, dass die Information nicht genutzt wird, falls die Kennung detektiert wurde und die Überprüfung der Kennung nicht erfolgreich war.

[0026] Auch ist es eine Weiterbildung, dass das Schienenfahrzeug in einen sicheren Zustand überführt wird, falls die Überprüfung der Kennung nicht erfolgreich war.

[0027] Ferner ist es eine Weiterbildung, dass die Kennung mindestens eine der folgenden Möglichkeiten umfasst:

• verschlüsselte Daten;
• unverschlüsselte Daten;
• Daten, die basierend auf einer Hashfunktion, insbesondere einer kryptographischen Hashfunktion, bestimmt wurden;
• Daten, die basierend auf einem MD4 Algorithmus bestimmt wurden;
• eine Signatur;
• ein Zertifikat;
• einen Wert zur Identifikation der Kennung;
• einen Wert zur Identifikation eines Typs der Kennung.

[0028] Im Rahmen einer zusätzlichen Weiterbildung wird die Kennung in einem Block 44 der ETCS-Implementierung gemäß UNISIG übermittelt.

[0029] Eine nächste Weiterbildung besteht darin, dass

• die Kennung von dem Schienenfahrzeug überprüft wird, indem anhand der Information eine weitere Kennung bestimmt wird und die Kennung mit der weiteren Kennung verglichen wird,
• die Überprüfung der Kennung erfolgreich war, falls die Kennung und die weitere Kennung identisch sind.

[0030] Eine Ausgestaltung ist es, dass

• (z.B. von der Balise) die Kennung verschlüsselt wird;
• die Kennung von dem Schienenfahrzeug entschlüsselt wird,
• von dem Schienenfahrzeug anhand der Information eine weitere Kennung bestimmt wird und die entschlüsselte Kennung mit der weiteren Kennung verglichen wird,
• die Überprüfung der Kennung erfolgreich war, falls die entschlüsselte Kennung und die weitere Kennung identisch sind.

[0031] Eine alternative Ausführungsform besteht darin, dass zur Verschlüsselung und zur Entschlüsselung ein symmetrisches oder ein asymmetrisches Verschlüsselungsverfahren eingesetzt wird.

[0032] Eine nächste Ausgestaltung ist es, dass anhand der Kennung von dem Schienenfahrzeug bestimmt wird, welche Art der Überprüfung der Kennung durchzuführen ist.

[0033] Beispielsweise kann die Kennung einen Wert zur Identifikation der Kennung z.B. in Form eines Bitmusters aufweisen anhand dessen bestimmbar ist, dass es sich um eine Kennung handelt. Auch kann die Kennung einen Wert zur Identifikation des Typs der Kennung aufweisen, so dass bestimmbar ist, anhand welches Algorithmus die Kennung überprüft werden kann. Der Wert zur Identifikation der Kennung und/oder der Wert zur Identifikation des Typs der Kennung können in einem Bitmuster codiert sein. Das Bitmuster kann z.B. als ein Header o.ä. Teil der Kennung sein oder auch separat von der Kennung übertragen werden.

[0034] Die Ausführungen bzw. Merkmale betreffend das vorstehend erläuterte Verfahren gelten für die folgenden Ansprüche, insbesondere Anspruchskategorien, entsprechend.

[0035] Die Aufgabe wird auch gelöst anhand eines Verfahrens zum Überprüfen einer von einer Balise bereitgestellten Kennung,

• bei dem von einem Fahrzeugrechner eines Schienenfahrzeugs die Kennung und eine Information von der Balise empfangen werden,
• so dass anhand der Kennung die Authentizität der Balise von dem Fahrzeugrechner überprüft wird.

[0036] Eine Ausgestaltung besteht darin, dass bei erfolgreicher Überprüfung der Kennung die Information zum Betrieb des Schienenfahrzeugs genutzt wird.

[0037] Auch ist es eine Ausgestaltung, dass die Kennung in einem Block 44 der ETCS-Implementierung gemäß UNISIG empfangen wird.

[0038] Ferner wird die Aufgabe gelöst mittels eines Verfahrens zum Bereitstellen einer Kennung durch eine Balise,

• bei dem eine Kennung basierend auf einer Information erstellt wird,
• bei dem die Kennung und die Information beim Überfahren der Balise einem Schienenfahrzeug bereitgestellt werden,
• so dass anhand der Kennung die Authentizität der Balise von dem Schienenfahrzeug überprüfbar ist.

[0039] Zusätzlich wird die Aufgabe gelöst mittels einer ETCS-Streckenausrüstung

• mit mindestens einer Balise,
• wobei die mindestens eine Balise derart eingerichtet ist, dass sie beim Überfahren einem Schienenfahrzeug eine Kennung und eine Information bereitstellt, wobei die Kennung basierend auf der Information erstellt wurde, so dass anhand der Kennung die Authentizität der Balise von dem Schienenfahrzeug überprüft wird.

[0040] Eine Weiterbildung besteht darin, dass die Kennung mittels einer kryptographischen Hashfunktion bestimmbar ist und dass die Kennung in einem Block 44 der ETCS-Implementierung gemäß UNISIG abspeicherbar ist.

[0041] Auch wird die Aufgabe gelöst anhand eines Schienenfahrzeugs mit einem Fahrzeugrechner, der derart eingerichtet ist, dass

• die Kennung und eine Information von der Balise empfangen werden,
• anhand der Kennung die Authentizität der Balise von dem Schienenfahrzeug überprüft wird.

[0042] Der hier genannte Fahrzeugrechner kann insbesondere als eine Prozessoreinheit und/oder eine zumindest teilweise festverdrahtete oder logische Schaltungsanordnung ausgeführt sein, die beispielsweise derart eingerichtet ist, dass das Verfahren wie hierin beschrieben durchführbar ist. Besagter Fahrzeugrechner kann jede Art von Prozessor oder Rechner oder Computer mit entsprechend notwendiger Peripherie (Speicher, Input/Output-Schnittstellen, Ein-Ausgabe-Geräte, etc.) sein oder umfassen. Der Fahrzeugrechner kann Teil einer Steuereinheit des Schienenfahrzeugs sein.

[0043] Auch wird die oben genannte Aufgabe gelöst mittels eines Systems umfassend mindestens eine der hier beschriebenen Vorrichtungen.

[0044] Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden schematischen Beschreibung von Ausführungsbeispielen, die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei können zur Übersichtlichkeit gleiche oder gleichwirkende Elemente mit gleichen Bezugszeichen versehen sein.

[0045] Es zeigen:

Fig.1

ein beispielhaftes Schaubild umfassend ein Schienenfahrzeug mit einem Fahrzeugrechner, der mit einer Balisen-Antenne verbunden ist, wobei sich das Schienenfahrzeug auf einer Strecke in Richtung zweier Balisen bewegt;

Fig.2

ein beispielhaftes Ablaufdiagramm einer Kommunikation zwischen der Balise und dem Fahrzeugrechner des Schienenfahrzeugs.

[0046] Es sei angemerkt, dass das Schienenfahrzeug (auch bezeichnet als "Zug") mindestens einen, insbesondere mindestens zwei Wagen aufweist, wobei der Wagen ein Triebfahrzeug, ein Reisewagen, ein Güterwagen oder eine Kombination aus derartigen Abteilen oder Funktionen sein kann. Das Triebfahrzeug weist eine Führerkabine (auch bezeichnet als Bedienplatz) auf und kann mit oder ohne Antrieb ausgeführt sein. Das Triebfahrzeug kann insbesondere eine Lokomotive sein. Jeder Wagen des Schienenfahrzeugs kann mit einem Fahrzeugrechner ausgestattet sein; stellt der Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) eine ETCS-Funktion bereit, kann dieser ggf. auch als ETCS-Wagen bezeichnet werden. Grundsätzlich ist es möglich, dass nur die Triebfahrzeuge je einen Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) bzw. dass auch einzelne Wagen, die keine Triebfahrzeuge sind, derartige Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) aufweisen.

[0047] Die hier vorgeschlagene Lösung ermöglicht insbesondere eine abgesicherte Übertragung von sicherheitsrelevanten Informationen an das Schienenfahrzeug, z.B. von einer Balise an das Schienenfahrzeug.

[0048] Hierfür kann beispielsweise ein sogenanntes Paket 44 der ETCS-Implementierung gemäß UNISIG (SUBSET-026-7) genutzt werden, um eine geschützte Nachricht (z.B. von der Balise) an den Fahrzeugrechner des Schienenfahrzeugs zu übermitteln. So erlaubt das Paket 44 die transparente Übermittlung von (beliebigen) Informationen. Die geschützte Nachricht kann somit in dem Paket 44 übermittelt werden.

[0049] Bei der geschützten Nachricht handelt es sich beispielsweise um eine Kennung. Die Kennung kann beispielsweise mindestens eine der folgenden Möglichkeiten (Werte bzw. Daten) umfassen:

• verschlüsselte Daten;
• unverschlüsselte Daten;
• Daten, die basierend auf einer Hashfunktion, insbesondere einer kryptographischen Hashfunktion, bestimmt wurden;
• Daten, die basierend auf einem MD4 Algorithmus bestimmt wurden;
• eine Signatur;
• ein Zertifikat;
• einen Wert zur Identifikation der Kennung;
• einen Wert zur Identifikation eines Typs der Kennung.

[0050] Beispielsweise kann die Kennung basierend auf einer kryptographischen Hash-Funktion bestimmt werden. Beispiele für kryptographische Hash-Funktionen sind die sogenannten Message-Digest Algorithmen, z.B. "MD2" oder "MD4" (siehe z.B. RFC 1320 der Network Working Group, http://tools.ietf.org/html/rfc1320).

[0051] Die Kennung kann in das Paket 44 eingebettet sein und als Teil des Balisen-Telegramms zusammen mit anderen Informationen von der Balise an den Fahrzeugrechner des Schienenfahrzeugs übermittelt werden. Anhand der Kennung kann der Fahrzeugrechner die Balise authentifizieren, d.h. bestimmen, ob die erhaltenen Informationen von der dafür vorgesehenen Balise stammen.

[0052] Hierdurch können die Telegramme zusätzlich gegen absichtliche Manipulationen von Daten (insbesondere sogenannte "Man-inthe-Middle" Angriffe, vgl. z.B. http://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff) gesichert werden.

[0053] Die Kennung kann den Wert einer Hashfunktion umfassen. Die Hashfunktion (auch bezeichnet als Streuwertfunktion) ist eine Abbildung, die eine große Eingabemenge (die Schlüssel) auf eine kleinere Zielmenge (die Hashwerte) abbildet. Die Hashfunktion ist nicht zwingend injektiv. Insbesondere kann die Eingabemenge auch Elemente mit unterschiedlichen Längen enthalten, wohingegen die Elemente der Zielmenge insbesondere eine feste Länge aufweisen. Eine sogenannte Kollision tritt dann auf, wenn unterschiedlichen Eingabedaten derselbe Hashwert zugeordnet wird.

[0054] Die Kennung kann auch den Wert einer kryptographischen Hashfunktion (auch bezeichnet als kryptologische Hashfunktion) umfassen (vgl. http://de.wikipedia.org/wiki/Kryptologische_Hashfunktion). Hierbei handelt es sich um eine spezielle Form der Hashfunktion, die kollisionsresistent und/oder eine Einwegfunktion ist. Die Einwegfunktion ist komplexitätstheoretisch "leicht" berechenbar, aber "schwer" umzukehren. Einwegfunktionen sind auch Funktionen, zu denen bisher keine in angemessener Zeit praktisch ausführbare Umkehrung bekannt ist.

[0055] Es gibt schlüssellose und schlüsselabhängige kryptographische Hashfunktionen.

[0056] Auch ist es möglich, dass die Kennung eine digitale Signatur umfasst. Eine digitale Signatur, auch digitales Signaturverfahren, ist ein asymmetrisches Kryptosystem, bei dem ein Sender mit Hilfe eines geheimen Signaturschlüssels (dem Private Key) zu einer digitalen Nachricht (d.h. zu beliebigen Daten) einen Wert berechnet, der ebenfalls digitale Signatur genannt wird. Dieser Wert ermöglicht es jedem, mit Hilfe des öffentlichen Verifikationsschlüssels (dem Public Key) die Integrität der Nachricht zu prüfen (vgl. http://de.wikipedia.org/wiki/Digitale_Signatur).

[0057] Beispielsweise kann so anhand des öffentlichen Schlüssels der Balise das Telegramm der Balise (oder ein Teil des Telegramms der Balise) von dem Fahrzeugrechner verifiziert werden. Die Balise nutzt zur Verschlüsselung ihren geheimen Signaturschlüssel, der vorzugsweise möglichst manipulationssicher in der Balise gespeichert ist und nur von der Balise selbst verwendet werden kann.

[0058] Eine Möglichkeit besteht darin, dass in dem Paket 44 ein Hashwert des Telegramms oder eines Teils des Telegramms gespeichert und an den Fahrzeugrechner des Schienenfahrzeugs übermittelt wird. Der Fahrzeugrechner ermittelt nun einen Hashwert basierend auf dem Telegramm oder auf einem Teil des Telegramms und vergleicht diesen Hashwert mit dem in dem Paket 44 erhaltenen Hashwert. Sind beide Hashwerte identisch, wird angenommen, dass das Telegramm nicht absichtlich manipuliert wurde.

[0059] Eine alternative Möglichkeit besteht darin, dass der Hashwert der zu übertragenden Information von der Balise signiert (also mit dem privaten Schlüssel der Balise verschlüsselt) und als Kennung in dem Paket 44 abgespeichert wird. Die Information und die Kennung werden (z.B. als Telegramm) an den Fahrzeugrechner des Schienenfahrzeugs übermittelt. Der Fahrzeugrechner ermittelt nun einen Hashwert basierend auf der Information und decodiert die Kennung anhand des öffentlichen Schlüssels der Balise (dieser kann optional von der Balise mitübertragen werden). Der von dem Fahrzeugrechner ermittelte Hashwert wird mit dem von der Balise erstellten Hashwert verglichen; sind beide identisch, so ist die Kennung erfolgreich verifiziert, die von der Balise bereitgestellte Information kann entsprechend verwendet oder weiterverarbeitet werden.

[0060] Beispielsweise kann in dem Paket 44 eine Markierung z.B. in Form einer Bitkombination enthalten sein, die dem Fahrzeugrechner des Schienenfahrzeugs anzeigt, ob das Paket 44 zur Überprüfung bzw. Authentifikation des Telegramms verwendet werden kann. Ist dies der Fall, kann z.B. eine der vorstehend erläuterten Überprüfungen (Verifikationen) erfolgen. Ist das Paket 44 hingegen leer oder weist es keine der ggf. mehreren vorgegebenen Bitkombinationen auf, so findet keine Überprüfung basierend auf den Daten des Pakets 44 statt. Dieser Ansatz ist somit auch kompatibel mit anderen Verwendungsmöglichkeiten des Pakets 44.

[0061] Auch ist es eine Option, dass je nach Anwendungsfall gefordert werden kann, dass sich jede Balise authentifiziert. In einem solchen Fall kann mindestens ein Datenfeld vorgesehen sein, das zur Übermittlung der Kennung genutzt wird, so dass anhand der Kennung die sendende Balise authentifiziert werden kann. Kann eine Balise nicht verifiziert werden, so kann eine geeignete Aktion durchgeführt werden, umfassend z.B. eine der folgende Möglichkeiten: Ausgabe einer Warnmeldung; Überführen des Systems und/oder mindestens eines Schienenfahrzeugs in einen sicheren Zustand (z.B. Stillstand); Überprüfung und ggf. Wartung der Balise; etc.

[0062] Eine weitere Option besteht darin, dass eine solche Bitkombination in dem Paket 44 unterschiedliche Werte aufweisen kann, von denen jeder mit einer bestimmten Überprüfungsart verknüpft ist. Beispielsweise kann eine vorgegebene Bitkombination anzeigen, dass in Paket 44 ein Hashwert abgespeichert wurde; es kann auch durch den Wert der Bitkombination vorgegeben sein, welche Hashfunktion zur Erstellung des Hashwerts verwendet wurde. Weiterhin kann ein anderer Wert der Bitkombination anzeigen, dass eine elektronische Signatur gespeichert ist bzw. nach welchem Algorithmus die elektronische Signatur generiert wurde.

[0063] Die Verwendung des Pakets 44 zur transparenten Übermittlung von zur Überprüfung des Telegramms verwendbaren Daten ist lediglich beispielhaft zu verstehen. Grundsätzlich ist es möglich, andere oder zusätzliche Datenfelder zu verwenden, um für die hier beschriebene Überprüfung relevante Informationen von einem Sender an den Fahrzeugrechner des Schienenfahrzeugs zu übermitteln. Die Übermittlung der Daten kann beispielsweise drahtlos (z.B. über Funk, über Nahfeldkommunikation, über ein Telekommunikationsnetzwerk, etc.) oder drahtgebunden erfolgen.

[0064] Fig.1 zeigt ein beispielhaftes Schaubild umfassend ein Schienenfahrzeug 101 mit einem Fahrzeugrechner 102, der mit einer Balisen-Antenne 103 verbunden ist. Das Schienenfahrzeug 101 bewegt sich auf einer Strecke 104 in eine Fahrtrichtung 105. In der Fahrtrichtung 105 überfährt das Schienenfahrzeug 101 zunächst eine Balise 106, danach eine Balise 107.

[0065] Bei den Balisen 106 und 107 handelt es sich beispielsweise um Euro-Balisen, wobei beispielhaft die Balise 106 eine Transparentdatenbalise und die Balise 107 eine Festdatenbalise ist (vgl. http://de.wikipedia.org/wiki/Eurobalise).

[0066] Die Transparentdatenbalise (Transparent Data Balise oder Controllable Balise) ist beispielsweise mit einem Kabel mit einer streckenseitigen elektronischen Einheit (LEU, Lineside Electronic Unit) verbunden. Die LEU übermittelt der Balise das jeweils zu übertragende Telegramm.

[0067] Hierbei sei angemerkt, dass der Begriff Balise hier auch mehrere hintereinander vorgesehene Balisen einer sogenannten Balisengruppe umfasst.

[0068] Die Balise 106 und/oder die Balise 107 stellt dem Schienenfahrzeug 101 beim Überfahren der jeweiligen Balise mittels der Balisen-Antenne 103 und dem Fahrzeugrechner 102 ein (Balisen-)Telegramm bereit, das ein Datenfeld aufweist (z.B. in Form des vorstehend beschriebenen Pakets 44), in dem z.B. die Kennung enthalten ist. Anhand des Datenfelds ist eine Überprüfung der Integrität bzw. Authentizität der erhaltenen Daten möglich. Insbesondere kann so sichergestellt werden, dass die Informationen tatsächlich von der Balise 106 und/oder 107 stammen und dass diese nicht verfälscht wurden.

[0069] Vorzugsweise ist die jeweilige Balise 106 bzw. 107 so ausgeführt, dass ein Zugriff auf einen sicheren Speicherbereich von außen nicht oder nur mit sehr hohem Aufwand zu bewerkstelligen ist. In einem solchen gesicherten Speicherbereich kann ein privater Schlüssel, der zum Erstellen der Signatur verwendet wird, gespeichert sein. Dieser Schlüssel ist vorzugsweise vor Zugriffen von außen geeignet zu sichern.

[0070] Eine Option ist es, dass die Balise in dem Telegramm (z.B. in dem Datenfeld bzw. dem Paket 44) auch den öffentlichen Schlüssel der Balise (auch bezeichnet als öffentlicher Verifikationsschlüssel oder Zertifikat) übermittelt. Vorzugsweise kann von dem Schienenfahrzeug überprüft werden, ob der öffentliche Schlüssel zu der Position der Balise passt. Vorzugsweise werden nur dann und nur wenn die Verifikation der Daten erfolgreich war, die Daten des Telegramms von dem Fahrzeugrechner des Schienenfahrzeugs weiter verarbeitet.

[0071] Fig.2 zeigt ein beispielhaftes Ablaufdiagramm einer Kommunikation zwischen der Balise 106, 107 und dem Fahrzeugrechner 102 des Schienenfahrzeugs 101.

[0072] In einem Schritt 201 erstellt die Balise 106, 107 das Telegramm oder erhält von der LEU das weiterzuleitende Telegramm. In einem Schritt 202 erstellt die Balise einen Hashwert mittels einer kryptographischen Hashfunktion (z.B. MD4) und speichert den Hashwert in dem Paket 44 der ETCS-Implementierung gemäß UNISIG (SUBSET-026-7). In einem Schritt 203 wird das Telegramm von der Balise 106, 107 zu dem Fahrzeugrechner 102 übermittelt. Der Fahrzeugrechner 102 bestimmt anhand des Telegramms (basierend auf vorgegebenen Daten des Telegramms, z.B. allen Daten ohne das Paket 44) in einem Schritt 204 einen Hashwert mittels einer kryptographischen Hashfunktion, die auch von der Balise 106, 107 verwendet wurde. In einem Schritt 205 vergleicht der Fahrzeugrechner 102 den bestimmten Hashwert mit dem aus dem Paket 44 gelesenen Hashwert. Sind beide Hashwerte identisch, so wird angenommen, dass die Daten des Telegramms nicht verfälscht wurden und es wird eine Aktion (z.B. Steuerung des Schienenfahrzeugs 101) basierend auf diesen Daten veranlasst. Sollten die beiden Hashwerte nicht identisch sein, so kann eine Fehlermeldung z.B. dem Schienenfahrzeug und/oder einem Stellwerk angezeigt werden. Insbesondere kann in diesem Fall der Schienenfahrzeugbetrieb in einen sicheren Zustand überführt werden und es kann anschließend geprüft werden, ob die Balise 106, 107 defekt ist oder ob ein Manipulationsversuch vorlag.

[0073] Obwohl die Erfindung im Detail durch das mindestens eine gezeigte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht darauf eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung, der durch die Ansprüche definiert ist, zu verlassen.

Ansprüche

1. Verfahren zum Betrieb eines Schienenfahrzeugs (101),

- bei dem eine Information zum Betrieb des Schienenfahrzeugs (101) und eine Kennung von einer Balise (106, 107) zu einem Fahrzeugrechner (102) des Schienenfahrzeugs (101) übertragen wird,

- so dass anhand der Kennung die Authentizität der Balise (106, 107) von dem Schienenfahrzeug (101) überprüft wird,

- bei dem bei erfolgreicher Überprüfung der Kennung die Information zum Betrieb des Schienenfahrzeuges (101) genutzt wird.

2. Verfahren nach Anspruch 1, bei dem die Information nicht genutzt wird, falls die Überprüfung der Kennung nicht erfolgreich war.

3. Verfahren nach nach Anspruch 1, bei dem die Information nicht genutzt wird, falls die Kennung detektiert wurde und die Überprüfung der Kennung nicht erfolgreich war.

4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das Schienenfahrzeug in einen sicheren Zustand überführt wird, falls die Überprüfung der Kennung nicht erfolgreich war.

5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Kennung mindestens eine der folgenden Möglichkeiten umfasst:

- verschlüsselte Daten;

- unverschlüsselte Daten;

- Daten, die basierend auf einer Hashfunktion, insbesondere einer kryptographischen Hashfunktion, bestimmt wurden;

- Daten, die basierend auf einem MD4 Algorithmus bestimmt wurden;

- eine Signatur;

- ein Zertifikat;

- einen Wert zur Identifikation der Kennung;

- einen Wert zur Identifikation eines Typs der Kennung.

6. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Kennung in einem Block 44 der ETCS-Implementierung gemäß UNISIG übermittelt wird.

7. Verfahren nach einem der vorhergehenden Ansprüche,

- bei dem die Kennung von dem Schienenfahrzeug (101) überprüft wird, indem anhand der Information eine weitere Kennung bestimmt wird und die Kennung mit der weiteren Kennung verglichen wird,

- bei dem die Überprüfung der Kennung erfolgreich war, falls die Kennung und die weitere Kennung identisch sind.

8. Verfahren nach einem der Ansprüche 1 bis 6,

- bei dem die Kennung verschlüsselt wird,

- bei dem die Kennung von dem Schienenfahrzeug (101) entschlüsselt wird,

- bei dem von dem Schienenfahrzeug (101) anhand der Information eine weitere Kennung bestimmt wird und die entschlüsselte Kennung mit der weiteren Kennung verglichen wird,

- bei dem die Überprüfung der Kennung erfolgreich war, falls die entschlüsselte Kennung und die weitere Kennung identisch sind.

9. Verfahren nach Anspruch 8, bei dem zur Verschlüsselung und zur Entschlüsselung ein symmetrisches oder ein asymmetrisches Verschlüsselungsverfahren eingesetzt wird.

10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem anhand der Kennung von dem Schienenfahrzeug (101) bestimmt wird, welche Art der Überprüfung der Kennung durchzuführen ist.

11. Verfahren zum Überprüfen einer von einer Balise (106, 107) bereitgestellten Kennung,

- bei dem von einem Fahrzeugrechner (102) eines Schienenfahrzeugs (101) die Kennung und eine Information von der Balise (106, 107) empfangen werden,

- so dass anhand der Kennung die Authentizität der Balise (106, 107) von dem Fahrzeugrechner (102) überprüft wird.

12. Verfahren nach Anspruch 11, bei dem bei erfolgreicher Überprüfung der Kennung die Information zum Betrieb des Schienenfahrzeugs genutzt wird.

13. Verfahren nach einem der Ansprüche 11 oder 12, bei dem die Kennung in einem Block 44 der ETCS-Implementierung gemäß UNISIG empfangen wird.

14. Verfahren zum Bereitstellen einer Kennung durch eine Balise (106, 107),

- bei dem eine Kennung basierend auf einer Information erstellt wird,

- bei dem die Kennung und die Information beim Überfahren der Balise (106, 107) einem Schienenfahrzeug (102, 101) bereitgestellt werden,

- so dass anhand der Kennung die Authentizität der Balise (106, 107) von dem Schienenfahrzeug (102, 101) überprüft wird.

15. ETCS-Streckenausrüstung

- mit mindestens einer Balise (106, 107),

- wobei die mindestens eine Balise (106, 107) derart eingerichtet ist, dass sie bei Überfahren einem Schienenfahrzeug (101) eine Kennung und eine Information bereitstellt, wobei die Kennung basierend auf der Information erstellt wurde, so dass anhand der Kennung die Authentizität der Balise (106, 107) von dem Schienenfahrzeug (101) überprüft wird.

16. ETCS-Streckenausrüstung nach Anspruch, bei der die Kennung mittels einer kryptographischen Hashfunktion bestimmbar ist und bei der die Kennung in einem Block 44 der ETCS-Implementierung gemäß UNISIG abspeicherbar ist.

17. Schienenfahrzeug (101) mit einem Fahrzeugrechner (102), der derart eingerichtet ist, dass

- die Kennung und eine Information von der Balise (106, 107) empfangen werden,

- anhand der Kennung die Authentizität der Balise (106, 107) von dem Schienenfahrzeug (101) überprüft wird.

Claims

1. Method for the operation of a rail vehicle (101),

- in which an item of information for operation of the rail vehicle (101) and an identifier are transmitted from a balise (106, 107) to an on-board unit (102) of the rail vehicle (101),

- so that on the basis of the identifier the authenticity of the balise (106, 107) is checked by the rail vehicle (101),

- in which the information for operation of the rail vehicle (101) is used in the case of successful checking of the identifier.

2. Method according to claim 1, in which the information is not used if checking of the identifier was unsuccessful.

3. Method according to claim 1, in which the information is not used if the identifier has been detected and checking of the identifier was unsuccessful.

4. Method according to one of the preceding claims, in which the rail vehicle is transferred to a safe status, if checking of the identifier was unsuccessful.

5. Method according to one of the preceding claims, in which the identifier comprises at least one of the following possibilities:

- encrypted data;

- unencrypted data;

- data which was determined based on a hash function, in particular a cryptographic hash function;

- data which was determined based on an MD4 algorithm;

- a signature;

- a certificate;

- a value for identification of the identifier;

- a value for identification of a type of the identifier.

6. Method according to one of the preceding claims, in which the identifier is transmitted in a Block 44 of the ETCS implementation according to UNISIG.

7. Method according to one of the preceding claims,

- in which the identifier is checked by the rail vehicle (101), in that a further identifier is determined on the basis of the information and the identifier is compared with the further identifier,

- in which the checking of the identifier was successful, if the identifier and the further identifier are identical.

8. Method according to one of claims 1 to 6,

- in which the identifier is encrypted,

- in which the identifier is decrypted by the rail vehicle (101),

- in which a further identifier is determined by the rail vehicle (101) on the basis of the information and the decrypted identifier is compared with the further identifier,

- in which checking of the identifier was successful, if the decrypted identifier and the further identifier are identical.

9. Method according to claim 8, in which a symmetrical or an asymmetrical encryption method is used for encryption and decryption.

10. Method according to one of the preceding claims, in which it is determined by the rail vehicle (101) on the basis of the identifier,
which type of checking of the identifier is to be performed.

11. Method for checking an identifier provided by a balise (106, 107),

- in which the identifier and an item of information from the balise (106, 107) are received by an on-board unit (102) of a rail vehicle (101),

- so that on the basis of the identifier the authenticity of the balise (106, 107) is checked by the rail vehicle (102) .

12. Method according to claim 11, in which in the case of successful checking of the identifier the information is used for operation of the rail vehicle.

13. Method according to one of claims 11 or 12, in which the identifier is received in a block 44 of the ETCS implementation according to UNISIG.

14. Method for provision of an identifier by a balise (106, 107),

- in which an identifier is created based on an item of information,

- in which the identifier and the information are provided to a rail vehicle (102, 101) upon its passing over the balise (106, 107),

- so that on the basis of the identifier the authenticity of the balise (106, 107) is checked by the rail vehicle (102, 101).

15. ETCS track equipment

- with at least one balise (106, 107),

- wherein the at least one balise (106, 107) is set up in such a way that it provides an identifier and an item of information to a rail vehicle (101) upon being passed over, wherein the identifier was created based on the information, so that on the basis of the identifier the authenticity of the balise (106, 107) is checked by the rail vehicle (101).

16. ETCS track equipment according to claim 14, in which the identifier can be determined by means of a cryptographic hash function and in which the identifier can be stored in a block 44 of the ETCS implementation according to UNISIG.

17. Rail vehicle (101) with an on-board unit (102), which is set up in such a way that

- the identifier and an item of information are received from the balise (106, 107),

- on the basis of the identifier, the authenticity of the balise (106, 107) is checked by the rail vehicle (101).

Revendications

1. Procédé pour faire fonctionner un véhicule (101) ferroviaire,

- dans lequel on transmet une information pour le fonctionnement du véhicule (101) ferroviaire et une caractérisation d'une balise (106, 107) à un ordinateur (102) du véhicule (101) ferroviaire,

- de manière à ce que l'authenticité de la balise (106, 107) soit contrôlée par le véhicule (101) ferroviaire à l'aide de la caractérisation,

- dans lequel, si le contrôle de la caractérisation est couronné de succès, on utilise l'information pour faire fonctionner le véhicule (101) ferroviaire.

2. Procédé suivant la revendication 1, dans lequel on n'utilise pas l'information, si le contrôle de la caractérisation n'a pas été couronné de succès.

3. Procédé suivant la revendication 1, dans lequel on n'utilise pas l'information, si la caractérisation a été détectée et si le contrôle de la caractérisation n'a pas été couronné de succès.

4. Procédé suivant l'une des revendications précédentes, dans lequel on fait passer le véhicule ferroviaire dans un état sécurisé, si le contrôle de la caractérisation n'a pas été couronné de succès.

5. Procédé suivant l'une des revendications précédentes, dans lequel la caractérisation comprend au moins l'une des possibilités suivantes :

- données chiffrées ;

- données non chiffrées ;

- données, qui ont été déterminées sur la base d'une fonction de Hash, notamment d'une fonction de Hash cryptographique ;

- données, qui ont été déterminées sur la base d'un algorithme MD4 ;

- une signature ;

- un certificat ;

- une valeur pour l'identification de la caractérisation ;

- une valeur pour l'identification d'un type de la caractérisation.

6. Procédé suivant l'une des revendications précédentes, on transmet la caractérisation dans un bloc 44 de la mise en œuvre ETCS suivant UNISIG.

7. Procédé suivant l'une des revendications précédentes,

- dans lequel la caractérisation est contrôlée par le véhicule (101) ferroviaire, en déterminant, à l'aide de l'information, une autre caractérisation et en comparant la caractérisation à l'autre caractérisation,

- dans lequel le contrôle de la caractérisation a été couronné de succès, si la caractérisation et l'autre caractérisation sont identiques.

8. Procédé suivant l'une des revendications 1 à 6,

- dans lequel on chiffre la caractérisation,

- dans lequel la caractérisation est déchiffrée par le véhicule (101) ferroviaire,

- dans lequel il est déterminé par le véhicule (101) ferroviaire une autre caractérisation à l'aide de l'information et la caractérisation déchiffrée est comparée à l'autre caractérisation,

- dans lequel le contrôle de la caractérisation a été couronné de succès, si la caractérisation déchiffrée et l'autre caractérisation sont identiques.

9. Procédé suivant la revendication 8, dans lequel on utilise un procédé de chiffrement symétrique ou dissymétrique pour le chiffrement et pour le déchiffrement.

10. Procédé suivant l'une des revendications précédentes, dans lequel il est déterminé, à l'aide de la caractérisation par le véhicule (101) ferroviaire, le type de contrôle de la caractérisation à effectuer.

11. Procédé de contrôle d'une caractérisation mise à disposition par une balise (106, 107),

- dans lequel il est reçu de la balise (106, 107) la caractérisation et une information par un ordinateur (102) d'un véhicule (101) ferroviaire,

- de sorte qu'à l'aide de la caractérisation, l'authenticité de la balise (106, 107) est contrôlée par l'ordinateur (102) du véhicule.

12. Procédé suivant la revendication 11, dans lequel, si le contrôle de la caractérisation est couronné de succès, on utilise l'information pour le fonctionnement du véhicule ferroviaire.

13. Procédé suivant l'une des revendications 11 ou 12, caractérisé en ce que l'on reçoit la caractérisation dans un bloc (44) de la mise en œuvre ETCS suivant UNISIG.

14. Procédé de mise à dispositif d'une caractérisation par une balise (106, 107),

- dans lequel on produit une caractérisation sur la base d'une information,

- dans lequel la caractérisation et l'information sont mises à disposition d'un véhicule (102, 101) ferroviaire, lorsque l'on passe sur la balise (106, 107),

- de manière à ce qu'à l'aide de la caractérisation, l'authenticité de la balise (106, 107) soit contrôlée par le véhicule (102, 101) ferroviaire.

15. Equipement de voie ETCS

- comprenant au moins une balise (106, 107),

- dans lequel la au moins une balise (106, 107) est conçue de manière à mettre à disposition, lorsqu'il y passe un véhicule (101) ferroviaire, une caractérisation et une information, la caractérisation ayant été produite sur la base de l'information, de manière à ce qu'à l'aide de la caractérisation, l'authenticité de la balise (106, 107) soit contrôlée par le véhicule (101) ferroviaire.

16. Equipement de voie ETCS suivant la revendication 14, dans lequel la caractérisation est déterminée au moyen d'une fonction de Hash cryptographique, et dans lequel la caractérisation peut être mise en mémoire dans un bloc (44) de la mise en œuvre ETCS suivant UNISIG.

17. Véhicule (101) ferroviaire ayant un ordinateur (102) de véhicule, conçu de manière à ce que

- la caractérisation d'une information soit reçue de la balise (106, 107),

- à l'aide de la caractérisation, l'authenticité de la balise (106, 107) soit contrôlée par le véhicule (101) ferroviaire.

Zeichnung