[0001] Die Erfindung betrifft ein Verfahren zum Betrieb eines Schienenfahrzeugs, ein Verfahren
zum Überprüfen einer von einer Balise bereitgestellten Kennung, ein Verfahren zum
Bereitstellen einer Kennung durch eine Balise, eine ETCS-Streckenausrüstung sowie
ein Schienenfahrzeug.
[0002] Das "European Train Control System" (ETCS) ist eine Komponente eines einheitlichen
europäischen Eisenbahnverkehrsleitsystems, das unter dem Buchstabenkürzel ERTMS entwickelt
wurde. Die zweite technische Komponente dieser digitalen Bahntechnologie ist das Bahn-Mobilfunksystem
GSM-R. ETCS soll die Vielzahl der in den Ländern eingesetzten Zugsicherungssysteme
ablösen, mittelfristig im Hochgeschwindigkeitsverkehr Verwendung finden und langfristig
im gesamten europäischen Schienenverkehr umgesetzt werden.
[0003] Eine ETCS-Fahrzeugeinrichtung umfasst z.B. einen ETCS-Rechner (EVC, European Vital
Computer, auch bezeichnet als Fahrzeugrechner (OBU, On-board Unit)), eine Führerstandsanzeige
(DMI, Driver Machine Interface), eine Wegmesseinrichtung, eine GSM-R-Übertragungseinrichtung
(einschließlich Euroradio), einen Balisenleser und einen Bremszugriff (http://de.wikipedia.org/wiki/ETCS).
[0004] ETCS Level 1 benutzt Balisen als Übertragungsmedium. Die von den Balisen übermittelten
Informationen sind Streckengradienten, Streckenhöchstgeschwindigkeiten und der Punkt,
an dem das Fahrzeug wieder stehen soll. Zusammen mit einem ETCS-Modus bilden diese
die Movement Authority (MA), übersetzt etwa "Berechtigung zur Bewegung" oder "Fahrerlaubnis".
Damit kann die fahrzeugseitige ETCS-Ausrüstung kontinuierlich die Einhaltung der erlaubten
Geschwindigkeit (und Richtung) überwachen und rechtzeitig eine Zwangsbremsung auslösen.
[0005] Am Ende der MA ("End of Authority", EoA) - beispielsweise ein HALT zeigendes Signal
- soll das Schienenfahrzeug zum Stehen kommen.
[0006] Neben den ETCS-Levels sind auch ETCS-Modi definiert. Die Modi beschreiben die Zustände,
in denen sich der EVC befinden kann (siehe auch: http://de.wikipedia.org/wiki/ETCS).
[0007] Bei ETCS Level 2 werden nahezu alle Informationen mittels Euroradio von der Streckenzentrale
(Radio Block Center, RBC) zum Fahrzeug übertragen. Zusätzlich besteht die Möglichkeit,
Informationen vom Zug an die Strecke zu übertragen und die Informationen können auch
im Stillstand ausgetauscht werden. Damit kann die Streckenauslastung gegenüber Level
1 etwas erhöht werden. Bevor vom RBC die für eine Fahrerlaubnis (MA) notwendigen Informationen
berechnet werden können, muss dieses wissen, wo genau sich der Zug befindet und in
welche Richtung er fährt. Die Ermittlung von Position und Richtung obliegt dabei dem
Fahrzeugrechner, dieser übermittelt diese regelmäßig über GSM-R an die Strecke. Zur
Bestimmung werden jedoch Referenzpunkte auf der Strecke benötigt. Hierfür werden Eurobalisen
benutzt, welche beispielsweise in Ausfahrgleisen von Bahnhöfen sowie in (z.B. unregelmäßigen)
Abständen auf freier Strecke angebracht sind. Zwischen diesen Referenzpunkten wird
die Position odometrisch mittels Doppler-Radar am Triebfahrzeugboden und Radimpulsgebern
an den Triebfahrzeugachsen ermittelt. Teilweise werden auch Beschleunigungssensoren
verwendet.
[0008] Die Information über freie Gleisabschnitte wird wie in ETCS Level 1 über die ortsfeste
Gleisfreimeldung vom Stellwerk ermittelt und an die Streckenzentrale übergeben: Die
Strecke ist - wie bei konventioneller Sicherungstechnik - in Abschnitte ("Blöcke")
geteilt, und der Zug darf in den nächsten Abschnitt nur einfahren, wenn dieser nicht
von einem anderen Zug belegt, sondern als 'frei' gemeldet ist. (Quelle: http://de.wikipedia.org/wiki/European_Train_Control_System.)
[0009] Die korrekte Übermittlung eines Telegramms der ETCS-Balise wird mittels einer zyklischen
Redundanzprüfung (CRC, "Cyclic Redundancy Check") sichergestellt. Hierbei wird ein
Prüfwert (auch bezeichnet als CRC-Code) für Daten bestimmt, um Fehler bei der Übertragung
aufdecken zu können (vergleiche z.B. http://de.wikipedia.org/wiki/Zyklische_Redundanzprüfung).
[0010] Der CRC-Code ist geeignet, um übliche Fehler auf Kommunikationskanälen erkennen zu
können. Hierbei ist es von Nachteil, dass derartige CRC-Codes keinen Schutz vor einer
absichtlicher (böswillige) Manipulation der Daten z.B. in Form unterschiedlicher Angriffe
bieten. Beispielsweise könnten folgende Veränderungen an den Telegrammen der Balise
vorgenommen werden:
- eine Veränderung der Fahrerlaubnis (MA);
- eine Veränderung einer von der Balise bereitgestellten Information, z.B. "Weiterfahrt"
(Proceed) anstelle von "Anhalten" (Stop);
- eine Veränderung von Geschwindigkeitswerten, so dass beispielsweise eine höhere Geschwindigkeit
übermittelt wird als die eigentlich vorgesehene Höchstgeschwindigkeit;
- eine Veränderung einer fahrteinschränkenden Signalisierung;
- eine Veränderung von Entfernungswerten.
[0011] Bei solchen Manipulationen handelt es sich um Angriffe auf die von der Balise bereitgestellten
Daten, die mittels des CRC-Codes nicht detektiert werden können. Beispielsweise können
die manipulierten Daten (mit den für diese passenden CRC-Codes) von einem Angreifer
bereitgestellt werden während das Schienenfahrzeug die Balise überfährt. Dies ist
gerade für sicherheitsrelevante Daten unerwünscht.
[0012] Die
EP 2 022 697 A1 und die
EP 0 735 381 A2 beschreiben jeweils Systeme und Verfahren bei denen die Balisenkennung an Bord des
Fahrzeugs überprüft wird.
[0013] Die Aufgabe der Erfindung besteht darin, die vorstehend genannten Nachteile zu vermeiden
und insbesondere eine Möglichkeit für eine sichere und verlässliche Übertragung der
Daten von der Balise an den Fahrzeugrechner eines Schienenfahrzeugs zu schaffen.
[0014] Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Ansprüche gelöst. Bevorzugte
Ausführungsformen sind insbesondere den abhängigen Ansprüchen entnehmbar.
[0015] Zur Lösung der Aufgabe wird ein Verfahren zum Betrieb eines Schienenfahrzeugs vorgeschlagen,
- bei dem eine Information zum Betrieb des Schienenfahrzeugs und eine Kennung von einer
Balise zu einem Fahrzeugrechner des Schienenfahrzeugs übertragen wird,
- so dass anhand der Kennung die Authentizität der Balise von dem Schienenfahrzeug überprüft
wird,
- bei dem bei erfolgreicher Überprüfung der Kennung die Information zum Betrieb des
Schienenfahrzeugs genutzt wird.
[0016] Beispielsweise werden Information und Kennung zusammen in einem Telegramm von der
Balise an den Fahrzeugrechner des Schienenfahrzeugs übertragen.
[0017] Die bereitgestellte Information wird insbesondere dadurch genutzt, dass z.B. in den
Informationen enthaltene Vorgaben für den Betrieb des Schienenfahrzeugs eingehalten
werden. Insbesondere wird das Schienenfahrzeug basierend auf der Information gesteuert,
sofern die Kennung erfolgreich verifiziert werden konnte.
[0018] Hierbei sei angemerkt, dass die erfolgreiche Überprüfung der Kennung insbesondere
ein Verifizieren der Kennung umfasst. Durch das Verifizieren der Kennung kann somit
die Authentizität der Balise sichergestellt werden. So ist gewährleistet, dass die
erhaltene Information auch von der Balise stammt und es wird verhindert, dass ein
Angreifer - getarnt als Balise - unerkannt die Information an das Schienenfahrzeug
übermittelt.
[0019] Die Kennung von dem Fahrzeugrechner wird nicht überprüft, falls bestimmt wird, dass
keine Kennung vorhanden ist oder falls die Kennung einen vorgegebenen Wert aufweist.
[0020] Beispielsweise kann von einer Überprüfung abgesehen werden, falls keine Kennung vorhanden
ist. Dies kann dadurch bestimmt werden, dass die Kennung einen vorgegebenen Wert aufweist,
z.B. das Feld, in dem die Kennung übertragen wird, leer ist oder einen bestimmten
Wert aufweist bzw. enthält.
[0021] Auch kann von der Überprüfung abgesehen werden, falls die Kennung einen vorgegebenen
Wert nicht aufweist. In diesem Fall wird die Überprüfung nur dann durchgeführt, wenn
die Kennung als solche erkannt wird. Hierzu ist es möglich, dass die Kennung einen
zusätzlichen Wert z.B. in Form eines Bitmusters umfasst, der beispielsweise Teil der
Kennung ist und/oder zusätzlich zu dieser vorhanden ist. So kann der zusätzliche Wert
der Kennung vorangestellt oder dieser angehängt sein.
[0022] Wird beispielsweise ein Datenfeld in dem die Kennung übertragen werden könnte für
einen anderen Zweck genutzt und ist darin keine Kennung vorhanden, so wird dies erkannt
und die Überprüfung der Kennung kann entfallen.
[0023] Eine andere Weiterbildung ist es, dass die Information nicht genutzt wird, falls
die Überprüfung der Kennung nicht erfolgreich war.
[0024] Sofern die (vorhandene und als solche erkannte) Kennung nicht verifiziert werden
konnte, wird beispielsweise angenommen, dass die Information von der Balise ungültig
ist. Es kann dann eine geeignete Aktion, z.B. eine Überprüfung der Balise und/oder
das Überführen des Systems in einen sicheren Zustand, z.B. ein Abbremsen oder Anhalten
des Schienenfahrzeugs, eingeleitet werden.
[0025] Insbesondere ist es eine Weiterbildung, dass die Information nicht genutzt wird,
falls die Kennung detektiert wurde und die Überprüfung der Kennung nicht erfolgreich
war.
[0026] Auch ist es eine Weiterbildung, dass das Schienenfahrzeug in einen sicheren Zustand
überführt wird, falls die Überprüfung der Kennung nicht erfolgreich war.
[0027] Ferner ist es eine Weiterbildung, dass die Kennung mindestens eine der folgenden
Möglichkeiten umfasst:
- verschlüsselte Daten;
- unverschlüsselte Daten;
- Daten, die basierend auf einer Hashfunktion, insbesondere einer kryptographischen
Hashfunktion, bestimmt wurden;
- Daten, die basierend auf einem MD4 Algorithmus bestimmt wurden;
- eine Signatur;
- ein Zertifikat;
- einen Wert zur Identifikation der Kennung;
- einen Wert zur Identifikation eines Typs der Kennung.
[0028] Im Rahmen einer zusätzlichen Weiterbildung wird die Kennung in einem Block 44 der
ETCS-Implementierung gemäß UNISIG übermittelt.
[0029] Eine nächste Weiterbildung besteht darin, dass
- die Kennung von dem Schienenfahrzeug überprüft wird, indem anhand der Information
eine weitere Kennung bestimmt wird und die Kennung mit der weiteren Kennung verglichen
wird,
- die Überprüfung der Kennung erfolgreich war, falls die Kennung und die weitere Kennung
identisch sind.
[0030] Eine Ausgestaltung ist es, dass
- (z.B. von der Balise) die Kennung verschlüsselt wird;
- die Kennung von dem Schienenfahrzeug entschlüsselt wird,
- von dem Schienenfahrzeug anhand der Information eine weitere Kennung bestimmt wird
und die entschlüsselte Kennung mit der weiteren Kennung verglichen wird,
- die Überprüfung der Kennung erfolgreich war, falls die entschlüsselte Kennung und
die weitere Kennung identisch sind.
[0031] Eine alternative Ausführungsform besteht darin, dass zur Verschlüsselung und zur
Entschlüsselung ein symmetrisches oder ein asymmetrisches Verschlüsselungsverfahren
eingesetzt wird.
[0032] Eine nächste Ausgestaltung ist es, dass anhand der Kennung von dem Schienenfahrzeug
bestimmt wird, welche Art der Überprüfung der Kennung durchzuführen ist.
[0033] Beispielsweise kann die Kennung einen Wert zur Identifikation der Kennung z.B. in
Form eines Bitmusters aufweisen anhand dessen bestimmbar ist, dass es sich um eine
Kennung handelt. Auch kann die Kennung einen Wert zur Identifikation des Typs der
Kennung aufweisen, so dass bestimmbar ist, anhand welches Algorithmus die Kennung
überprüft werden kann. Der Wert zur Identifikation der Kennung und/oder der Wert zur
Identifikation des Typs der Kennung können in einem Bitmuster codiert sein. Das Bitmuster
kann z.B. als ein Header o.ä. Teil der Kennung sein oder auch separat von der Kennung
übertragen werden.
[0034] Die Ausführungen bzw. Merkmale betreffend das vorstehend erläuterte Verfahren gelten
für die folgenden Ansprüche, insbesondere Anspruchskategorien, entsprechend.
[0035] Die Aufgabe wird auch gelöst anhand eines Verfahrens zum Überprüfen einer von einer
Balise bereitgestellten Kennung,
- bei dem von einem Fahrzeugrechner eines Schienenfahrzeugs die Kennung und eine Information
von der Balise empfangen werden,
- so dass anhand der Kennung die Authentizität der Balise von dem Fahrzeugrechner überprüft
wird.
[0036] Eine Ausgestaltung besteht darin, dass bei erfolgreicher Überprüfung der Kennung
die Information zum Betrieb des Schienenfahrzeugs genutzt wird.
[0037] Auch ist es eine Ausgestaltung, dass die Kennung in einem Block 44 der ETCS-Implementierung
gemäß UNISIG empfangen wird.
[0038] Ferner wird die Aufgabe gelöst mittels eines Verfahrens zum Bereitstellen einer Kennung
durch eine Balise,
- bei dem eine Kennung basierend auf einer Information erstellt wird,
- bei dem die Kennung und die Information beim Überfahren der Balise einem Schienenfahrzeug
bereitgestellt werden,
- so dass anhand der Kennung die Authentizität der Balise von dem Schienenfahrzeug überprüfbar
ist.
[0039] Zusätzlich wird die Aufgabe gelöst mittels einer ETCS-Streckenausrüstung
- mit mindestens einer Balise,
- wobei die mindestens eine Balise derart eingerichtet ist, dass sie beim Überfahren
einem Schienenfahrzeug eine Kennung und eine Information bereitstellt, wobei die Kennung
basierend auf der Information erstellt wurde, so dass anhand der Kennung die Authentizität
der Balise von dem Schienenfahrzeug überprüft wird.
[0040] Eine Weiterbildung besteht darin, dass die Kennung mittels einer kryptographischen
Hashfunktion bestimmbar ist und dass die Kennung in einem Block 44 der ETCS-Implementierung
gemäß UNISIG abspeicherbar ist.
[0041] Auch wird die Aufgabe gelöst anhand eines Schienenfahrzeugs mit einem Fahrzeugrechner,
der derart eingerichtet ist, dass
- die Kennung und eine Information von der Balise empfangen werden,
- anhand der Kennung die Authentizität der Balise von dem Schienenfahrzeug überprüft
wird.
[0042] Der hier genannte Fahrzeugrechner kann insbesondere als eine Prozessoreinheit und/oder
eine zumindest teilweise festverdrahtete oder logische Schaltungsanordnung ausgeführt
sein, die beispielsweise derart eingerichtet ist, dass das Verfahren wie hierin beschrieben
durchführbar ist. Besagter Fahrzeugrechner kann jede Art von Prozessor oder Rechner
oder Computer mit entsprechend notwendiger Peripherie (Speicher, Input/Output-Schnittstellen,
Ein-Ausgabe-Geräte, etc.) sein oder umfassen. Der Fahrzeugrechner kann Teil einer
Steuereinheit des Schienenfahrzeugs sein.
[0043] Auch wird die oben genannte Aufgabe gelöst mittels eines Systems umfassend mindestens
eine der hier beschriebenen Vorrichtungen.
[0044] Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie
die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich
im Zusammenhang mit der folgenden schematischen Beschreibung von Ausführungsbeispielen,
die im Zusammenhang mit den Zeichnungen näher erläutert werden. Dabei können zur Übersichtlichkeit
gleiche oder gleichwirkende Elemente mit gleichen Bezugszeichen versehen sein.
[0045] Es zeigen:
- Fig.1
- ein beispielhaftes Schaubild umfassend ein Schienenfahrzeug mit einem Fahrzeugrechner,
der mit einer Balisen-Antenne verbunden ist, wobei sich das Schienenfahrzeug auf einer
Strecke in Richtung zweier Balisen bewegt;
- Fig.2
- ein beispielhaftes Ablaufdiagramm einer Kommunikation zwischen der Balise und dem
Fahrzeugrechner des Schienenfahrzeugs.
[0046] Es sei angemerkt, dass das Schienenfahrzeug (auch bezeichnet als "Zug") mindestens
einen, insbesondere mindestens zwei Wagen aufweist, wobei der Wagen ein Triebfahrzeug,
ein Reisewagen, ein Güterwagen oder eine Kombination aus derartigen Abteilen oder
Funktionen sein kann. Das Triebfahrzeug weist eine Führerkabine (auch bezeichnet als
Bedienplatz) auf und kann mit oder ohne Antrieb ausgeführt sein. Das Triebfahrzeug
kann insbesondere eine Lokomotive sein. Jeder Wagen des Schienenfahrzeugs kann mit
einem Fahrzeugrechner ausgestattet sein; stellt der Fahrzeugrechner (ggf. mit der
mobilen Kommunikationsschnittstelle) eine ETCS-Funktion bereit, kann dieser ggf. auch
als ETCS-Wagen bezeichnet werden. Grundsätzlich ist es möglich, dass nur die Triebfahrzeuge
je einen Fahrzeugrechner (ggf. mit der mobilen Kommunikationsschnittstelle) bzw. dass
auch einzelne Wagen, die keine Triebfahrzeuge sind, derartige Fahrzeugrechner (ggf.
mit der mobilen Kommunikationsschnittstelle) aufweisen.
[0047] Die hier vorgeschlagene Lösung ermöglicht insbesondere eine abgesicherte Übertragung
von sicherheitsrelevanten Informationen an das Schienenfahrzeug, z.B. von einer Balise
an das Schienenfahrzeug.
[0048] Hierfür kann beispielsweise ein sogenanntes Paket 44 der ETCS-Implementierung gemäß
UNISIG (SUBSET-026-7) genutzt werden, um eine geschützte Nachricht (z.B. von der Balise)
an den Fahrzeugrechner des Schienenfahrzeugs zu übermitteln. So erlaubt das Paket
44 die transparente Übermittlung von (beliebigen) Informationen. Die geschützte Nachricht
kann somit in dem Paket 44 übermittelt werden.
[0049] Bei der geschützten Nachricht handelt es sich beispielsweise um eine Kennung. Die
Kennung kann beispielsweise mindestens eine der folgenden Möglichkeiten (Werte bzw.
Daten) umfassen:
- verschlüsselte Daten;
- unverschlüsselte Daten;
- Daten, die basierend auf einer Hashfunktion, insbesondere einer kryptographischen
Hashfunktion, bestimmt wurden;
- Daten, die basierend auf einem MD4 Algorithmus bestimmt wurden;
- eine Signatur;
- ein Zertifikat;
- einen Wert zur Identifikation der Kennung;
- einen Wert zur Identifikation eines Typs der Kennung.
[0050] Beispielsweise kann die Kennung basierend auf einer kryptographischen Hash-Funktion
bestimmt werden. Beispiele für kryptographische Hash-Funktionen sind die sogenannten
Message-Digest Algorithmen, z.B. "MD2" oder "MD4" (siehe z.B. RFC 1320 der Network
Working Group, http://tools.ietf.org/html/rfc1320).
[0051] Die Kennung kann in das Paket 44 eingebettet sein und als Teil des Balisen-Telegramms
zusammen mit anderen Informationen von der Balise an den Fahrzeugrechner des Schienenfahrzeugs
übermittelt werden. Anhand der Kennung kann der Fahrzeugrechner die Balise authentifizieren,
d.h. bestimmen, ob die erhaltenen Informationen von der dafür vorgesehenen Balise
stammen.
[0052] Hierdurch können die Telegramme zusätzlich gegen absichtliche Manipulationen von
Daten (insbesondere sogenannte "Man-inthe-Middle" Angriffe, vgl. z.B. http://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff)
gesichert werden.
[0053] Die Kennung kann den Wert einer Hashfunktion umfassen. Die Hashfunktion (auch bezeichnet
als Streuwertfunktion) ist eine Abbildung, die eine große Eingabemenge (die Schlüssel)
auf eine kleinere Zielmenge (die Hashwerte) abbildet. Die Hashfunktion ist nicht zwingend
injektiv. Insbesondere kann die Eingabemenge auch Elemente mit unterschiedlichen Längen
enthalten, wohingegen die Elemente der Zielmenge insbesondere eine feste Länge aufweisen.
Eine sogenannte Kollision tritt dann auf, wenn unterschiedlichen Eingabedaten derselbe
Hashwert zugeordnet wird.
[0054] Die Kennung kann auch den Wert einer kryptographischen Hashfunktion (auch bezeichnet
als kryptologische Hashfunktion) umfassen (vgl. http://de.wikipedia.org/wiki/Kryptologische_Hashfunktion).
Hierbei handelt es sich um eine spezielle Form der Hashfunktion, die kollisionsresistent
und/oder eine Einwegfunktion ist. Die Einwegfunktion ist komplexitätstheoretisch "leicht"
berechenbar, aber "schwer" umzukehren. Einwegfunktionen sind auch Funktionen, zu denen
bisher keine in angemessener Zeit praktisch ausführbare Umkehrung bekannt ist.
[0055] Es gibt schlüssellose und schlüsselabhängige kryptographische Hashfunktionen.
[0056] Auch ist es möglich, dass die Kennung eine digitale Signatur umfasst. Eine digitale
Signatur, auch digitales Signaturverfahren, ist ein asymmetrisches Kryptosystem, bei
dem ein Sender mit Hilfe eines geheimen Signaturschlüssels (dem Private Key) zu einer
digitalen Nachricht (d.h. zu beliebigen Daten) einen Wert berechnet, der ebenfalls
digitale Signatur genannt wird. Dieser Wert ermöglicht es jedem, mit Hilfe des öffentlichen
Verifikationsschlüssels (dem Public Key) die Integrität der Nachricht zu prüfen (vgl.
http://de.wikipedia.org/wiki/Digitale_Signatur).
[0057] Beispielsweise kann so anhand des öffentlichen Schlüssels der Balise das Telegramm
der Balise (oder ein Teil des Telegramms der Balise) von dem Fahrzeugrechner verifiziert
werden. Die Balise nutzt zur Verschlüsselung ihren geheimen Signaturschlüssel, der
vorzugsweise möglichst manipulationssicher in der Balise gespeichert ist und nur von
der Balise selbst verwendet werden kann.
[0058] Eine Möglichkeit besteht darin, dass in dem Paket 44 ein Hashwert des Telegramms
oder eines Teils des Telegramms gespeichert und an den Fahrzeugrechner des Schienenfahrzeugs
übermittelt wird. Der Fahrzeugrechner ermittelt nun einen Hashwert basierend auf dem
Telegramm oder auf einem Teil des Telegramms und vergleicht diesen Hashwert mit dem
in dem Paket 44 erhaltenen Hashwert. Sind beide Hashwerte identisch, wird angenommen,
dass das Telegramm nicht absichtlich manipuliert wurde.
[0059] Eine alternative Möglichkeit besteht darin, dass der Hashwert der zu übertragenden
Information von der Balise signiert (also mit dem privaten Schlüssel der Balise verschlüsselt)
und als Kennung in dem Paket 44 abgespeichert wird. Die Information und die Kennung
werden (z.B. als Telegramm) an den Fahrzeugrechner des Schienenfahrzeugs übermittelt.
Der Fahrzeugrechner ermittelt nun einen Hashwert basierend auf der Information und
decodiert die Kennung anhand des öffentlichen Schlüssels der Balise (dieser kann optional
von der Balise mitübertragen werden). Der von dem Fahrzeugrechner ermittelte Hashwert
wird mit dem von der Balise erstellten Hashwert verglichen; sind beide identisch,
so ist die Kennung erfolgreich verifiziert, die von der Balise bereitgestellte Information
kann entsprechend verwendet oder weiterverarbeitet werden.
[0060] Beispielsweise kann in dem Paket 44 eine Markierung z.B. in Form einer Bitkombination
enthalten sein, die dem Fahrzeugrechner des Schienenfahrzeugs anzeigt, ob das Paket
44 zur Überprüfung bzw. Authentifikation des Telegramms verwendet werden kann. Ist
dies der Fall, kann z.B. eine der vorstehend erläuterten Überprüfungen (Verifikationen)
erfolgen. Ist das Paket 44 hingegen leer oder weist es keine der ggf. mehreren vorgegebenen
Bitkombinationen auf, so findet keine Überprüfung basierend auf den Daten des Pakets
44 statt. Dieser Ansatz ist somit auch kompatibel mit anderen Verwendungsmöglichkeiten
des Pakets 44.
[0061] Auch ist es eine Option, dass je nach Anwendungsfall gefordert werden kann, dass
sich jede Balise authentifiziert. In einem solchen Fall kann mindestens ein Datenfeld
vorgesehen sein, das zur Übermittlung der Kennung genutzt wird, so dass anhand der
Kennung die sendende Balise authentifiziert werden kann. Kann eine Balise nicht verifiziert
werden, so kann eine geeignete Aktion durchgeführt werden, umfassend z.B. eine der
folgende Möglichkeiten: Ausgabe einer Warnmeldung; Überführen des Systems und/oder
mindestens eines Schienenfahrzeugs in einen sicheren Zustand (z.B. Stillstand); Überprüfung
und ggf. Wartung der Balise; etc.
[0062] Eine weitere Option besteht darin, dass eine solche Bitkombination in dem Paket 44
unterschiedliche Werte aufweisen kann, von denen jeder mit einer bestimmten Überprüfungsart
verknüpft ist. Beispielsweise kann eine vorgegebene Bitkombination anzeigen, dass
in Paket 44 ein Hashwert abgespeichert wurde; es kann auch durch den Wert der Bitkombination
vorgegeben sein, welche Hashfunktion zur Erstellung des Hashwerts verwendet wurde.
Weiterhin kann ein anderer Wert der Bitkombination anzeigen, dass eine elektronische
Signatur gespeichert ist bzw. nach welchem Algorithmus die elektronische Signatur
generiert wurde.
[0063] Die Verwendung des Pakets 44 zur transparenten Übermittlung von zur Überprüfung des
Telegramms verwendbaren Daten ist lediglich beispielhaft zu verstehen. Grundsätzlich
ist es möglich, andere oder zusätzliche Datenfelder zu verwenden, um für die hier
beschriebene Überprüfung relevante Informationen von einem Sender an den Fahrzeugrechner
des Schienenfahrzeugs zu übermitteln. Die Übermittlung der Daten kann beispielsweise
drahtlos (z.B. über Funk, über Nahfeldkommunikation, über ein Telekommunikationsnetzwerk,
etc.) oder drahtgebunden erfolgen.
[0064] Fig.1 zeigt ein beispielhaftes Schaubild umfassend ein Schienenfahrzeug 101 mit einem
Fahrzeugrechner 102, der mit einer Balisen-Antenne 103 verbunden ist. Das Schienenfahrzeug
101 bewegt sich auf einer Strecke 104 in eine Fahrtrichtung 105. In der Fahrtrichtung
105 überfährt das Schienenfahrzeug 101 zunächst eine Balise 106, danach eine Balise
107.
[0065] Bei den Balisen 106 und 107 handelt es sich beispielsweise um Euro-Balisen, wobei
beispielhaft die Balise 106 eine Transparentdatenbalise und die Balise 107 eine Festdatenbalise
ist (vgl. http://de.wikipedia.org/wiki/Eurobalise).
[0066] Die Transparentdatenbalise (Transparent Data Balise oder Controllable Balise) ist
beispielsweise mit einem Kabel mit einer streckenseitigen elektronischen Einheit (LEU,
Lineside Electronic Unit) verbunden. Die LEU übermittelt der Balise das jeweils zu
übertragende Telegramm.
[0067] Hierbei sei angemerkt, dass der Begriff Balise hier auch mehrere hintereinander vorgesehene
Balisen einer sogenannten Balisengruppe umfasst.
[0068] Die Balise 106 und/oder die Balise 107 stellt dem Schienenfahrzeug 101 beim Überfahren
der jeweiligen Balise mittels der Balisen-Antenne 103 und dem Fahrzeugrechner 102
ein (Balisen-)Telegramm bereit, das ein Datenfeld aufweist (z.B. in Form des vorstehend
beschriebenen Pakets 44), in dem z.B. die Kennung enthalten ist. Anhand des Datenfelds
ist eine Überprüfung der Integrität bzw. Authentizität der erhaltenen Daten möglich.
Insbesondere kann so sichergestellt werden, dass die Informationen tatsächlich von
der Balise 106 und/oder 107 stammen und dass diese nicht verfälscht wurden.
[0069] Vorzugsweise ist die jeweilige Balise 106 bzw. 107 so ausgeführt, dass ein Zugriff
auf einen sicheren Speicherbereich von außen nicht oder nur mit sehr hohem Aufwand
zu bewerkstelligen ist. In einem solchen gesicherten Speicherbereich kann ein privater
Schlüssel, der zum Erstellen der Signatur verwendet wird, gespeichert sein. Dieser
Schlüssel ist vorzugsweise vor Zugriffen von außen geeignet zu sichern.
[0070] Eine Option ist es, dass die Balise in dem Telegramm (z.B. in dem Datenfeld bzw.
dem Paket 44) auch den öffentlichen Schlüssel der Balise (auch bezeichnet als öffentlicher
Verifikationsschlüssel oder Zertifikat) übermittelt. Vorzugsweise kann von dem Schienenfahrzeug
überprüft werden, ob der öffentliche Schlüssel zu der Position der Balise passt. Vorzugsweise
werden nur dann und nur wenn die Verifikation der Daten erfolgreich war, die Daten
des Telegramms von dem Fahrzeugrechner des Schienenfahrzeugs weiter verarbeitet.
[0071] Fig.2 zeigt ein beispielhaftes Ablaufdiagramm einer Kommunikation zwischen der Balise
106, 107 und dem Fahrzeugrechner 102 des Schienenfahrzeugs 101.
[0072] In einem Schritt 201 erstellt die Balise 106, 107 das Telegramm oder erhält von der
LEU das weiterzuleitende Telegramm. In einem Schritt 202 erstellt die Balise einen
Hashwert mittels einer kryptographischen Hashfunktion (z.B. MD4) und speichert den
Hashwert in dem Paket 44 der ETCS-Implementierung gemäß UNISIG (SUBSET-026-7). In
einem Schritt 203 wird das Telegramm von der Balise 106, 107 zu dem Fahrzeugrechner
102 übermittelt. Der Fahrzeugrechner 102 bestimmt anhand des Telegramms (basierend
auf vorgegebenen Daten des Telegramms, z.B. allen Daten ohne das Paket 44) in einem
Schritt 204 einen Hashwert mittels einer kryptographischen Hashfunktion, die auch
von der Balise 106, 107 verwendet wurde. In einem Schritt 205 vergleicht der Fahrzeugrechner
102 den bestimmten Hashwert mit dem aus dem Paket 44 gelesenen Hashwert. Sind beide
Hashwerte identisch, so wird angenommen, dass die Daten des Telegramms nicht verfälscht
wurden und es wird eine Aktion (z.B. Steuerung des Schienenfahrzeugs 101) basierend
auf diesen Daten veranlasst. Sollten die beiden Hashwerte nicht identisch sein, so
kann eine Fehlermeldung z.B. dem Schienenfahrzeug und/oder einem Stellwerk angezeigt
werden. Insbesondere kann in diesem Fall der Schienenfahrzeugbetrieb in einen sicheren
Zustand überführt werden und es kann anschließend geprüft werden, ob die Balise 106,
107 defekt ist oder ob ein Manipulationsversuch vorlag.
[0073] Obwohl die Erfindung im Detail durch das mindestens eine gezeigte Ausführungsbeispiel
näher illustriert und beschrieben wurde, so ist die Erfindung nicht darauf eingeschränkt
und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang
der Erfindung, der durch die Ansprüche definiert ist, zu verlassen.
1. Verfahren zum Betrieb eines Schienenfahrzeugs (101),
- bei dem eine Information zum Betrieb des Schienenfahrzeugs (101) und eine Kennung
von einer Balise (106, 107) zu einem Fahrzeugrechner (102) des Schienenfahrzeugs (101)
übertragen wird,
- so dass anhand der Kennung die Authentizität der Balise (106, 107) von dem Schienenfahrzeug
(101) überprüft wird,
- bei dem bei erfolgreicher Überprüfung der Kennung die Information zum Betrieb des
Schienenfahrzeuges (101) genutzt wird.
2. Verfahren nach Anspruch 1, bei dem die Information nicht genutzt wird, falls die Überprüfung
der Kennung nicht erfolgreich war.
3. Verfahren nach nach Anspruch 1, bei dem die Information nicht genutzt wird, falls
die Kennung detektiert wurde und die Überprüfung der Kennung nicht erfolgreich war.
4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das Schienenfahrzeug in
einen sicheren Zustand überführt wird, falls die Überprüfung der Kennung nicht erfolgreich
war.
5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Kennung mindestens
eine der folgenden Möglichkeiten umfasst:
- verschlüsselte Daten;
- unverschlüsselte Daten;
- Daten, die basierend auf einer Hashfunktion, insbesondere einer kryptographischen
Hashfunktion, bestimmt wurden;
- Daten, die basierend auf einem MD4 Algorithmus bestimmt wurden;
- eine Signatur;
- ein Zertifikat;
- einen Wert zur Identifikation der Kennung;
- einen Wert zur Identifikation eines Typs der Kennung.
6. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Kennung in einem Block
44 der ETCS-Implementierung gemäß UNISIG übermittelt wird.
7. Verfahren nach einem der vorhergehenden Ansprüche,
- bei dem die Kennung von dem Schienenfahrzeug (101) überprüft wird, indem anhand
der Information eine weitere Kennung bestimmt wird und die Kennung mit der weiteren
Kennung verglichen wird,
- bei dem die Überprüfung der Kennung erfolgreich war, falls die Kennung und die weitere
Kennung identisch sind.
8. Verfahren nach einem der Ansprüche 1 bis 6,
- bei dem die Kennung verschlüsselt wird,
- bei dem die Kennung von dem Schienenfahrzeug (101) entschlüsselt wird,
- bei dem von dem Schienenfahrzeug (101) anhand der Information eine weitere Kennung
bestimmt wird und die entschlüsselte Kennung mit der weiteren Kennung verglichen wird,
- bei dem die Überprüfung der Kennung erfolgreich war, falls die entschlüsselte Kennung
und die weitere Kennung identisch sind.
9. Verfahren nach Anspruch 8, bei dem zur Verschlüsselung und zur Entschlüsselung ein
symmetrisches oder ein asymmetrisches Verschlüsselungsverfahren eingesetzt wird.
10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem anhand der Kennung von
dem Schienenfahrzeug (101) bestimmt wird, welche Art der Überprüfung der Kennung durchzuführen
ist.
11. Verfahren zum Überprüfen einer von einer Balise (106, 107) bereitgestellten Kennung,
- bei dem von einem Fahrzeugrechner (102) eines Schienenfahrzeugs (101) die Kennung
und eine Information von der Balise (106, 107) empfangen werden,
- so dass anhand der Kennung die Authentizität der Balise (106, 107) von dem Fahrzeugrechner
(102) überprüft wird.
12. Verfahren nach Anspruch 11, bei dem bei erfolgreicher Überprüfung der Kennung die
Information zum Betrieb des Schienenfahrzeugs genutzt wird.
13. Verfahren nach einem der Ansprüche 11 oder 12, bei dem die Kennung in einem Block
44 der ETCS-Implementierung gemäß UNISIG empfangen wird.
14. Verfahren zum Bereitstellen einer Kennung durch eine Balise (106, 107),
- bei dem eine Kennung basierend auf einer Information erstellt wird,
- bei dem die Kennung und die Information beim Überfahren der Balise (106, 107) einem
Schienenfahrzeug (102, 101) bereitgestellt werden,
- so dass anhand der Kennung die Authentizität der Balise (106, 107) von dem Schienenfahrzeug
(102, 101) überprüft wird.
15. ETCS-Streckenausrüstung
- mit mindestens einer Balise (106, 107),
- wobei die mindestens eine Balise (106, 107) derart eingerichtet ist, dass sie bei
Überfahren einem Schienenfahrzeug (101) eine Kennung und eine Information bereitstellt,
wobei die Kennung basierend auf der Information erstellt wurde, so dass anhand der
Kennung die Authentizität der Balise (106, 107) von dem Schienenfahrzeug (101) überprüft
wird.
16. ETCS-Streckenausrüstung nach Anspruch, bei der die Kennung mittels einer kryptographischen
Hashfunktion bestimmbar ist und bei der die Kennung in einem Block 44 der ETCS-Implementierung
gemäß UNISIG abspeicherbar ist.
17. Schienenfahrzeug (101) mit einem Fahrzeugrechner (102), der derart eingerichtet ist,
dass
- die Kennung und eine Information von der Balise (106, 107) empfangen werden,
- anhand der Kennung die Authentizität der Balise (106, 107) von dem Schienenfahrzeug
(101) überprüft wird.
1. Method for the operation of a rail vehicle (101),
- in which an item of information for operation of the rail vehicle (101) and an identifier
are transmitted from a balise (106, 107) to an on-board unit (102) of the rail vehicle
(101),
- so that on the basis of the identifier the authenticity of the balise (106, 107)
is checked by the rail vehicle (101),
- in which the information for operation of the rail vehicle (101) is used in the
case of successful checking of the identifier.
2. Method according to claim 1, in which the information is not used if checking of the
identifier was unsuccessful.
3. Method according to claim 1, in which the information is not used if the identifier
has been detected and checking of the identifier was unsuccessful.
4. Method according to one of the preceding claims, in which the rail vehicle is transferred
to a safe status, if checking of the identifier was unsuccessful.
5. Method according to one of the preceding claims, in which the identifier comprises
at least one of the following possibilities:
- encrypted data;
- unencrypted data;
- data which was determined based on a hash function, in particular a cryptographic
hash function;
- data which was determined based on an MD4 algorithm;
- a signature;
- a certificate;
- a value for identification of the identifier;
- a value for identification of a type of the identifier.
6. Method according to one of the preceding claims, in which the identifier is transmitted
in a Block 44 of the ETCS implementation according to UNISIG.
7. Method according to one of the preceding claims,
- in which the identifier is checked by the rail vehicle (101), in that a further
identifier is determined on the basis of the information and the identifier is compared
with the further identifier,
- in which the checking of the identifier was successful, if the identifier and the
further identifier are identical.
8. Method according to one of claims 1 to 6,
- in which the identifier is encrypted,
- in which the identifier is decrypted by the rail vehicle (101),
- in which a further identifier is determined by the rail vehicle (101) on the basis
of the information and the decrypted identifier is compared with the further identifier,
- in which checking of the identifier was successful, if the decrypted identifier
and the further identifier are identical.
9. Method according to claim 8, in which a symmetrical or an asymmetrical encryption
method is used for encryption and decryption.
10. Method according to one of the preceding claims, in which it is determined by the
rail vehicle (101) on the basis of the identifier,
which type of checking of the identifier is to be performed.
11. Method for checking an identifier provided by a balise (106, 107),
- in which the identifier and an item of information from the balise (106, 107) are
received by an on-board unit (102) of a rail vehicle (101),
- so that on the basis of the identifier the authenticity of the balise (106, 107)
is checked by the rail vehicle (102) .
12. Method according to claim 11, in which in the case of successful checking of the identifier
the information is used for operation of the rail vehicle.
13. Method according to one of claims 11 or 12, in which the identifier is received in
a block 44 of the ETCS implementation according to UNISIG.
14. Method for provision of an identifier by a balise (106, 107),
- in which an identifier is created based on an item of information,
- in which the identifier and the information are provided to a rail vehicle (102,
101) upon its passing over the balise (106, 107),
- so that on the basis of the identifier the authenticity of the balise (106, 107)
is checked by the rail vehicle (102, 101).
15. ETCS track equipment
- with at least one balise (106, 107),
- wherein the at least one balise (106, 107) is set up in such a way that it provides
an identifier and an item of information to a rail vehicle (101) upon being passed
over, wherein the identifier was created based on the information, so that on the
basis of the identifier the authenticity of the balise (106, 107) is checked by the
rail vehicle (101).
16. ETCS track equipment according to claim 14, in which the identifier can be determined
by means of a cryptographic hash function and in which the identifier can be stored
in a block 44 of the ETCS implementation according to UNISIG.
17. Rail vehicle (101) with an on-board unit (102), which is set up in such a way that
- the identifier and an item of information are received from the balise (106, 107),
- on the basis of the identifier, the authenticity of the balise (106, 107) is checked
by the rail vehicle (101).
1. Procédé pour faire fonctionner un véhicule (101) ferroviaire,
- dans lequel on transmet une information pour le fonctionnement du véhicule (101)
ferroviaire et une caractérisation d'une balise (106, 107) à un ordinateur (102) du
véhicule (101) ferroviaire,
- de manière à ce que l'authenticité de la balise (106, 107) soit contrôlée par le
véhicule (101) ferroviaire à l'aide de la caractérisation,
- dans lequel, si le contrôle de la caractérisation est couronné de succès, on utilise
l'information pour faire fonctionner le véhicule (101) ferroviaire.
2. Procédé suivant la revendication 1, dans lequel on n'utilise pas l'information, si
le contrôle de la caractérisation n'a pas été couronné de succès.
3. Procédé suivant la revendication 1, dans lequel on n'utilise pas l'information, si
la caractérisation a été détectée et si le contrôle de la caractérisation n'a pas
été couronné de succès.
4. Procédé suivant l'une des revendications précédentes, dans lequel on fait passer le
véhicule ferroviaire dans un état sécurisé, si le contrôle de la caractérisation n'a
pas été couronné de succès.
5. Procédé suivant l'une des revendications précédentes, dans lequel la caractérisation
comprend au moins l'une des possibilités suivantes :
- données chiffrées ;
- données non chiffrées ;
- données, qui ont été déterminées sur la base d'une fonction de Hash, notamment d'une
fonction de Hash cryptographique ;
- données, qui ont été déterminées sur la base d'un algorithme MD4 ;
- une signature ;
- un certificat ;
- une valeur pour l'identification de la caractérisation ;
- une valeur pour l'identification d'un type de la caractérisation.
6. Procédé suivant l'une des revendications précédentes, on transmet la caractérisation
dans un bloc 44 de la mise en œuvre ETCS suivant UNISIG.
7. Procédé suivant l'une des revendications précédentes,
- dans lequel la caractérisation est contrôlée par le véhicule (101) ferroviaire,
en déterminant, à l'aide de l'information, une autre caractérisation et en comparant
la caractérisation à l'autre caractérisation,
- dans lequel le contrôle de la caractérisation a été couronné de succès, si la caractérisation
et l'autre caractérisation sont identiques.
8. Procédé suivant l'une des revendications 1 à 6,
- dans lequel on chiffre la caractérisation,
- dans lequel la caractérisation est déchiffrée par le véhicule (101) ferroviaire,
- dans lequel il est déterminé par le véhicule (101) ferroviaire une autre caractérisation
à l'aide de l'information et la caractérisation déchiffrée est comparée à l'autre
caractérisation,
- dans lequel le contrôle de la caractérisation a été couronné de succès, si la caractérisation
déchiffrée et l'autre caractérisation sont identiques.
9. Procédé suivant la revendication 8, dans lequel on utilise un procédé de chiffrement
symétrique ou dissymétrique pour le chiffrement et pour le déchiffrement.
10. Procédé suivant l'une des revendications précédentes, dans lequel il est déterminé,
à l'aide de la caractérisation par le véhicule (101) ferroviaire, le type de contrôle
de la caractérisation à effectuer.
11. Procédé de contrôle d'une caractérisation mise à disposition par une balise (106,
107),
- dans lequel il est reçu de la balise (106, 107) la caractérisation et une information
par un ordinateur (102) d'un véhicule (101) ferroviaire,
- de sorte qu'à l'aide de la caractérisation, l'authenticité de la balise (106, 107)
est contrôlée par l'ordinateur (102) du véhicule.
12. Procédé suivant la revendication 11, dans lequel, si le contrôle de la caractérisation
est couronné de succès, on utilise l'information pour le fonctionnement du véhicule
ferroviaire.
13. Procédé suivant l'une des revendications 11 ou 12, caractérisé en ce que l'on reçoit la caractérisation dans un bloc (44) de la mise en œuvre ETCS suivant
UNISIG.
14. Procédé de mise à dispositif d'une caractérisation par une balise (106, 107),
- dans lequel on produit une caractérisation sur la base d'une information,
- dans lequel la caractérisation et l'information sont mises à disposition d'un véhicule
(102, 101) ferroviaire, lorsque l'on passe sur la balise (106, 107),
- de manière à ce qu'à l'aide de la caractérisation, l'authenticité de la balise (106,
107) soit contrôlée par le véhicule (102, 101) ferroviaire.
15. Equipement de voie ETCS
- comprenant au moins une balise (106, 107),
- dans lequel la au moins une balise (106, 107) est conçue de manière à mettre à disposition,
lorsqu'il y passe un véhicule (101) ferroviaire, une caractérisation et une information,
la caractérisation ayant été produite sur la base de l'information, de manière à ce
qu'à l'aide de la caractérisation, l'authenticité de la balise (106, 107) soit contrôlée
par le véhicule (101) ferroviaire.
16. Equipement de voie ETCS suivant la revendication 14, dans lequel la caractérisation
est déterminée au moyen d'une fonction de Hash cryptographique, et dans lequel la
caractérisation peut être mise en mémoire dans un bloc (44) de la mise en œuvre ETCS
suivant UNISIG.
17. Véhicule (101) ferroviaire ayant un ordinateur (102) de véhicule, conçu de manière
à ce que
- la caractérisation d'une information soit reçue de la balise (106, 107),
- à l'aide de la caractérisation, l'authenticité de la balise (106, 107) soit contrôlée
par le véhicule (101) ferroviaire.