用于列車安全系統的密鑰管理的系統和方法
用于列車安全系統的密鑰管理的系統和方法
【專利摘要】本發明涉及一種用于分配用來對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰(6)的方法,具有以下步驟,根據軌道車輛(4)的所計劃的行駛路線在第一路段運營商的第一加密管理中心(1a)中生成通訊密鑰(6),將通訊密鑰(6)提供給第二路段運營商的第二加密管理中心(1b),將通訊密鑰(6)提供給通過第一加密管理中心的軌道車輛(4),并且用通訊密鑰(6)對軌道車輛(4)的交通引導信息進行加密,使得軌道車輛(4)與第一路段運營商的路段中心(3)以及第二路段運營商的路段中心(3)防止被操縱地進行通訊。
【專利說明】用于列車安全系統的密鑰管理的系統和方法
【技術領域】
[0001]本發明涉及一種用于列車安全系統的密鑰管理的系統和方法。
【背景技術】
[0002]在軌道交通中用于列車安全的安全系統是所謂的歐洲列車控制系統(“ETCS”, European Train Control System)。所述交通引導系統通常利用無線電數據傳遞、例如通過GSM-R在軌道機動車或者其列車安全計算機、例如歐洲重要計算機和靜態的路段中心、無線閉塞中心(“RBC”,Radio Block Centres)之間交換引導信息和安全消息。為了在傳遞時保護數據防止無意的運營以及傳遞失誤,用加密的校驗和保護數據,對于該校驗和的計算和/或核實而言需要加密的密鑰。
[0003]通常使用對稱的加密方法,使得不僅所述軌道機動車而且所述路段中心都必須具有至少一個密鑰。因為軌道車輛在其預先確定的路線上沿著路線運動通過不同的靜態的路段中心的管轄區域,需要每個所述臨時管轄的路段中心告知合適的密鑰用于與軌道車輛進行通訊。因此,到路段中心上的密鑰分配是有效的列車安全系統的基本問題,從而以運營安全的形式確保軌道車輛與所有路段中心、必要時也與其他路段運營商的路段中心進行通τΗ ο
[0004]圖1以示意圖示出了軌道車輛引導系統10的原則性構造。軌道車輛4、例如具有可控的在底部具有EVC的機動車的列車沿著路線5運動通過不同的域Α、B和C,所述域處于不同的路段運營商的控制之下,并且通過點線在視覺上相互隔開。所述域Α、B和C例如能夠是具有各自軌道網絡的國家如德國、奧地利和意大利,并且列車4例如能夠具有從慕尼黑到威尼斯的計劃路線5,該路線引導列車通過所有三個國家,即德國、奧地利和意大利。
[0005]每個路段運營商具有密鑰管理中心或者加密管理中心la、Ib或者lc,也稱作KMC(“Key Management Centre”)。也就是說,在域A中KMC Ia對密鑰管理負責,在域B中KMCIb對密鑰管理負責并且在域C中KMC Ic對密鑰管理負責。在KMC la、lb和Ic的領導下分別存在路段中心3,即所謂的RBC,密鑰信息碼即所謂的KMACs(“Key Message AuthenticationCodes”)能夠由KMC獲得。在此,KMACs能夠包括通訊密鑰,該通訊密鑰能夠用于使RBC 3與列車4進行可靠的通訊。
[0006]所述路段中心或者RBC 3局部靜態地對軌道網絡系統的特定的閉塞段負責。RBC3在此能夠分別配屬于密鑰組2a、2b、2c,由各個域A、B或C中相應上級的KMC IaUbUc向所述密鑰組提供通訊密鑰。在此能夠提出,多個RBC 3配屬于相同的密鑰組。示例性地在域A中并且在域C中分別分配密鑰組2a或者2c的兩個RBC 3。也能夠替代地使RBC 3同時也形成了其自己的密鑰組,例如在域B中以密鑰組2b示出。每個密鑰組2a、2b、2c從上級的KMC IaUbUc中分配地獲得組所特有的通訊密鑰。
[0007]所述軌道車輛4在此通過通訊連接5a與第一域A中的RBC 3進行通訊,通過通訊連接5b與第二域B中的RBC 3進行通訊并且通過通訊連接5c與第三域A中的RBC 3進行通訊。在此,通訊連接5a、5b和5c分別通過由KMC la、lb、Ic提供的銅須密鑰保證安全。[0008]用于將通訊密鑰分配到不同的路段中心3上的方案在于,通過列車運營員或者額相應的路段運營商的工作人員手動地分配通訊密鑰。在這種情況下,工作人間能夠在開始行駛之前向每個KMC IaUbUc要求通訊密鑰并且將該域所特有的通訊密鑰安裝在控制計算機上,即列車4的所謂的OBU (“On-Board Unit”)上。該安裝例如能夠通過經由輸入接口的手動輸入例如鍵盤或觸摸屏、經由局部網絡連接、局部使用的存儲介質例如磁盤或USB接口的設備或安全的無線遠程維護連接實現。
[0009]這種密鑰分配是麻煩的、容易出錯的并且沒有效率的。由此為此在不同的域的KMC之間需要持續的連接,從而確保在KMC之間持續的交換通訊密鑰。
[0010]因此,需要對于密鑰分配的更簡單的解決方案用于在軌道車輛的覆蓋域的安全系統中的通訊密鑰。
【發明內容】
[0011]本發明的構思是,根據計劃的列車路線制定密鑰分配計劃并且為了該路線的行駛自動配置了需要的通訊密鑰。為此,能夠通過中央負責的加密管理中心生成通訊密鑰,所述加密管理中心與計劃的路線進行協調。所述通訊密鑰能夠被提供給其他域或者路段運營商的所參與的加密管理中心,從而能夠將中央的并且自動建立的通訊密鑰有針對性地分配到列車以及路段中心。
[0012]這種做法的優點是,顯著簡化了密鑰分配計劃的定義。此外,能夠以簡單的方式在地點和時間上限制行駛路段和行駛時間方面通訊密鑰的有效性,使得按本發明的密鑰分配計劃比常規的密鑰分配計劃更不容易出錯。
[0013]另一優點是,通過自動地從外部提供的行駛路線計劃生成并且證實所述計劃的方案來實現密鑰分配計劃的可自動性。
[0014]因此,本發明的實施方式在于一種用于分配用于對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰的方法,其具有以下步驟,根據軌道車輛的所計劃的行駛路線在第一路段運營商的第一加密管理中心中生成通訊密鑰,將通訊密鑰提供給第二路段運營商的第二加密管理中心,通過第一加密管理中心將通訊密鑰提供給軌道車輛以及用通訊密鑰對軌道車輛的交通引導信息進行加密,從而使得軌道車輛防止被操縱地與第一路段運營商的路段中心以及第二路段運營商的路段中心進行通訊。
[0015]有利的是,通過第一路段運營商將通訊密鑰提供給第一路段中心并且通過第二路段運營商將通訊密鑰提供給第二路段中心。
[0016]根據優選的實施方式,所述通訊密鑰包括多個路段中心所特有的通訊密鑰,其中將所述通訊密鑰提供給第二加密管理中心的步驟包括,將一組路段中心所特有的配屬于第二路段運營商的第二路段中心的通訊密鑰提供給第二加密管理中心。這具有以下優點,即不同的路段中心使用不同的通訊密鑰,從而在不小心泄密公布的情況下或者在通訊密鑰被操縱時將整個系統的喪失保持限制在僅一個路段中心上。
[0017]根據一種實施方式,在第一加密管理中心中生成通訊密鑰實現了通過密鑰求導方法從主通訊密鑰中導出路段中心所特有的通訊密鑰。這提供了以下優點,即能夠從軌道車輛本身的控制計算機中導出路段中心所特有的通訊密鑰。
[0018]根據一種優選的實施方式,通過僅用于第一路段中心的第一加密管理中心導出路段中心所特有的通訊密鑰并且通過僅用于第二路段中心的第二加密管理中心導出路段中心所特有的通訊密鑰。由此能夠有利地在車流量(Fahrzeugaufkommen)較高時將加密管理中心中的密鑰管理僅僅限制在實際上在該加密管理中心中所需的導出的通訊密鑰上。由此,在通過第一加密管理中心將通訊密鑰提供給其他加密管理中心時限制數據流量。
[0019]根據一種有利的實施方式,所述通訊密鑰包括多個軌道車輛所特有的通訊密鑰,其中將通訊密鑰提供給軌道車輛的步驟包括,從多個軌道車輛所特有的通訊密鑰中提供專門用于軌道車輛的通訊密鑰。這提供了以下優點,即例如在不同的軌道車輛運營商的兩個軌道車輛連接時,當相遇的軌道車輛相互調整其車輛所特有的通訊密鑰時實現連接的軌道車輛相互間可靠的軌道車輛通訊。
[0020]能夠有利的是,由用于調度控制的引導系統提供軌道車輛的所計劃的行駛路線,使得第一加密管理中心自動地實施通訊密鑰的生成和提供。由此,一方面顯著加速通訊密鑰的生成和分配,另一方面能夠自動校驗是否沿著所計劃的行駛路線生成并且分配了所有需要的通訊密鑰。如此能夠提早并且可靠地識別偏差和誤輸入。
[0021]根據另一種實施方式,本發明實現了在第一軌道網絡段運營商的第一加密管理中心中的控制裝置用于分配用于對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰,其具有生成裝置和提供裝置,所述生成裝置構造用于根據軌道車輛的所計劃的行駛路線生成通訊密鑰,提供裝置構造用于將所生成的通訊密鑰提供給第二路段運營商的第二加密管理中心以及軌道車輛,其中通訊密鑰用于對軌道車輛的交通引導信息進行加密,使得軌道車輛與第一路段運營商的路段中心以及第二路段運營商的路段中心防止被操縱地(manipulationssicher)通訊。
[0022]根據另一種實施方式,本發明實現了具有按本發明的控制裝置、第一加密管理中心、多個第一路段中心、第二加密管理中心以及多個第二路段中心的軌道車輛安全系統,在所述第一加密管理中心中布置了控制裝置,所述第一路段中心設置用于從第一加密管理中心提供由控制裝置生成的用于對軌道車輛的交通引導信息進行加密的通訊密鑰,所述第二路段中心設置用于從第二加密管理中心提供由控制裝置生成的用于對軌道車輛的交通引導信息進行加密的通訊密鑰。
[0023]其他修改方案和變型方案由從屬權利要求的特征中獲得。
【專利附圖】
【附圖說明】
[0024]現在參照附圖更精確地描述本發明的不同的實施方式和設計方案,其中:
圖1示出軌道車輛引導系統的結構的示意圖;
圖2示出按本發明一種實施方式的軌道車輛安全系統的示意圖;
圖3示出按本發明另一種實施方式的軌道車輛安全系統的示意圖;
圖4示出按本發明另一種實施方式的軌道車輛安全系統的示意圖;
圖5示出按本發明另一種實施方式的軌道車輛安全系統的示意圖;并且圖6示出用于分配通訊密鑰的方法的示意圖,所述通訊密鑰用于對按本發明另一種實施方式的軌道車輛安全系統的交通引導消息進行加密。
[0025]只要有意義,所描述的設計方案和改進方案就能夠相互任意組合。本發明的其他可能的設計方案、改進方案以及執行方案也包括本發明的前面或者后面關于實施例所描述的特征的沒有詳盡提到的組合。
[0026]附圖應該促成對本發明實施方式的進一步理解。【專利附圖】
【附圖說明】了實施方式并且與說明書共同用于解釋本發明的原理和構思。其他實施方式以及多個所述的優點參照附圖獲得。附圖的元素不必要相互按照比例示出。在此,相同的附圖標記表示相同或者類似作用的組件。
【具體實施方式】
[0027]在下面說明的意義上,通訊密鑰包括所有加密信息和數據單元,其適合于對明文格式的數據進行加密并且由此生成防竊聽和/或防讀取的密文格式的數據,或者其適合于保護明文格式的數據的完整性并且實現加密的校驗和(Prilfsumme),并且其還適合于在加密信息的識別中由密文格式的數據恢復明文格式的數據或者校驗所述數據在傳輸期間沒有被處理過。本發明意義上的通訊密鑰例如能夠包含對稱的密鑰對、非對稱的密鑰對或者類似的加密方法。在此例如能夠通過例如AES、DES、KDF、IPsec, SSL/TLS、MACsec, L2TP、PPTP、PGP、S/MME這樣的方法使用通訊密鑰或者通過所配屬的密鑰管理例如IKE、EAP或其他方法使用類似的技術。
[0028]圖2示出了軌道車輛安全系統20的示意圖。該軌道車輛安全系統20與圖1中所示的軌道車輛引導系統10的區別在于,在所述加密管理中心(Schliisselvergabestelle)IaUbUc (KMC)中的每個中都布置有控制裝置7,所述控制裝置設置用于生成和分配用來對交通引導消息進行加密的通訊密鑰。在此,所述控制裝置7例如能夠是軟件模塊,所述軟件模塊在所述KMC上起作用并且構造在所述KMC上。
[0029]所述控裝置裝置7包括用于生成用于加密保護軌道車輛4的交通引導消息的通訊密鑰6的生成裝置。在下面的實施例中假設,所述軌道車輛4配屬于域(Donne)A,從而使得所述KMC Ia是軌道車輛4的所謂的“根KMC (Heim-KMC)",也就是說在控制KMC Ia的情況下進行通訊密鑰的生成和分配。其余的KMC Ib和Ic在這種情況下取決于通過KMC Ia進行的控制。當然在其他情況下、例如用于其他軌道車輛時,同樣能夠使其他KMC Ib和Ic承擔根KMC的角色。在此,KMC Ib和Ic的控制裝置7與KMC Ia的控制裝置7構造得一樣。此外,KMC la、lb和Ic的數量當然也不限制于三這個示出的數量。同樣能夠有其他任意數量的KMC。在此,KMC la、lb、lc尤其能夠由不同的路段運營商(Streckenbetreiber)運營。
[0030]所述生成裝置能夠設計用于在步驟8a中根據軌道車輛4的計劃的行駛線路生成通訊密鑰6。在此,所述生成裝置能夠設計用于,由(未示出的)調度控制系統或行程答詢系統自動地提供所計劃的行駛路線。
[0031]通訊密鑰6能夠通過第一 KMC Ia隨后在步驟8b中提供給第二 KMC Ib并且在步驟8c中提供給第三KMC lc。被提供通訊密鑰6的KMC IbUc在此根據軌道車輛4的計劃的行駛路線進行調整。KMC IbUc例如能夠對路段中心3負責,軌道車輛4的計劃的行駛路線穿過其引導區域。通訊密鑰的提供在此能夠通過控制裝置7的提供裝置來實現。
[0032]在步驟9a中能夠將所生成的通訊密鑰6分配到第一域A的第一路段中心3(RBC)上。此外,能夠在步驟9a中將通訊密鑰6安裝在軌道車輛4的控制計算機(EVC)上。所述通訊密鑰6能夠在步驟9b和9c中通過KMC Ib和Ic提供給域B或者域C中的RBC3。
[0033]所述KMC Ia能夠在實現通訊密鑰6的分配之后進行操縱,使得軌道車輛4能夠投入使用并且能夠駛過域A、B和C。當例如由于路段封鎖或者軌道車輛4的其他改道而應該駛過其他(未示出的)域D,對于所述域而言沒有向各個路段中心3提供通訊密鑰6時,能夠建立修改的密鑰分配計劃,其中在通過操作員相應的授權之后所述控制裝置7將通訊密鑰6也傳遞到域D的KMC上,所述KMC本身將通訊密鑰繼續分配到其域D的RBC3上。作為替代方案能夠向操作員顯示,所述軌道車輛4僅僅有資格通過域A、B和C,但是沒有資格通過其他域。
[0034]圖3示出了軌道車輛安全系統30的示意圖。所述軌道車輛安全系統30與圖2中的軌道車輛安全系統20之間的區別在于,該通訊密鑰6包括多個專門為域或者專門為路段中心生成的通訊密鑰6a、6b、6c。在此,所述通訊密鑰6a、6b、6c中的每個通訊密鑰都為RBC3區域特定地生成。在此,通訊密鑰6a、6b、6c能夠隨機地或者偽隨機地或者借助于密鑰求導函數從基本密鑰和/或取決于RBC的求導參數中生成。所述通訊密鑰6a、6b、6c共同地安裝在軌道車輛4的控制計算機上。
[0035]隨后從通訊密鑰6a、6b、6c中選出通訊密鑰組,所述組能夠配屬于相應的域B和C的相應的RBC 3。隨后在步驟8b、8c中僅僅傳輸需要KMC IbUc來提供給其RBC的通訊密鑰6b和6c。
[0036]所述軌道車輛4能夠在穿過域A、B和C時根據當前的位置選出通訊密鑰6a、6b、6c中相應的一個,從而與相應的域的瞬時當前的RBC3進行通訊。當前位置例如能夠經由衛星導航系統、例如GPS或GALILEO通過無線電基站的定向、例如經由GSM-R或者WLAN借助軌道網的路段計算機的地址或者識別碼或者通過歐洲應答器例如鐵路路基上的固定數據應答器或者透明數據應答器求得。
[0037]圖4示出了軌道車輛安全系統40的示意圖。該軌道車輛安全系統40與圖3中的軌道車輛安全系統30的區別在于,在KMC la、Ib和Ic之間設置了主通訊密鑰6,從中能夠通過密鑰求導函數導出多個通訊密鑰6a、6b、6c。在步驟8b和8c中代替多個通訊密鑰6a、6b、6c將主通訊密鑰6傳遞到KMC Ib和Ic上,所述KMC本身能夠局部地導出多個通訊密鑰6a、6b、6c。通過KMC的求導例如能夠根據列車所特有的參數、例如軌道車輛4的識別碼實現。所述主通訊密鑰6在此例如能夠僅僅在特定的時間段上有效。
[0038]同樣能夠規定,所述軌道車輛4本身以主通訊密鑰6來提供,軌道車輛4的控制計算機從中導出多個通訊密鑰6a、6b、6c本身。
[0039]例如能夠借助于密鑰求導函數(Key Derivation Function,KDF)例如HMAC (哈希信息驗證碼)或者AES-CBCMAC (高級加密標準-加密字組鏈接信息驗證碼)根據RBC所特有的參數例如識別碼、區域碼、路段碼或類似參數從主通訊密鑰6中導出多個通訊密鑰6a、6b、6c。
[0040]這種做法的優點在于,不必在KMC IaUbUc之間形成持續的在線連接,因為每個KMC能夠自動地從傳遞一次的主通訊密鑰6中導出RBC所特有的通訊密鑰6a、6b、6c,而為此不需要重新與根KMC Ia進行通訊。此外,在多個軌道車輛4和RBC 3中只需要在KMC la、lb、Ic之間交換少量的數據。
[0041]圖5示出了軌道車輛安全系統50的示意圖。該軌道車輛安全系統50與圖4中的軌道車輛安全系統40的區別在于,設置了主通訊密鑰6,從所述主通訊密鑰中能夠經由密鑰求導函數導出多個軌道車輛所特有的通訊密鑰6a、6b、6c。從例如在圖5中配屬于軌道車輛4的軌道車輛所特有的通訊密鑰6c中能夠再次導出多個RBC所特有的通過各個KMC la、lb、lc能夠分配到不同的RBC 3上的通訊密鑰11。為軌道車輛4提供了各個軌道車輛所特有的通訊密鑰6c以及RBC所特有的通訊密鑰11,從而能夠通過選出RBC所特有的通訊密鑰11之一來實現與相應RBC 3的通訊。
[0042]例如能夠規定,在兩個軌道車輛上為不同的運營商或者不同的根KMC安裝相同的軌道車輛所特有的通訊密鑰6c,從而在兩個軌道車輛耦合時實現可靠的軌道車輛通訊。
[0043]圖6示出了用于分配用來對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰的方法60的示意圖。在第一步驟61中,根據軌道車輛的計劃的行駛路線在第一路段運營商的第一加密管理中心(KMC)中生成通訊密鑰。在第二步驟62中,將通訊密鑰提供給第二路段運營商的第二 KMC。在第三步驟63中,通過第一 KMC將通訊密鑰提供給軌道車輛。在第四步驟64中,用通訊密鑰對軌道車輛的交通引導信息進行加密,使得軌道車輛防止被操縱地與第一路段運營商的RBC以及第二路段運營商的RBC進行通訊。對交通引導信息進行加密尤其理解為,加密保護使用數據和/或管理數據、例如尋址信息、交通引導信息不被竊聽和/或操縱,例如通過相應加密的加密數據代替明文數據,和/或通過添加加密的完整性校驗信息(信息驗證碼)。
【權利要求】
1.用于分配用來對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰(6;6a、6b,6c ;11)的方法,具有以下步驟: 根據軌道車輛(4)的計劃的行駛路線在第一路段運營商的第一加密管理中心(Ia)中生成通訊密鑰(6 ;6a、6b、6c ;11); 將所述通訊密鑰(6 ;6a、6b、6c ; 11)提供給第二路段運營商的第二加密管理中心(lb); 通過所述第一加密管理中心將所述通訊密鑰(6 ;6a、6b、6c ;11)提供給所述軌道車輛(4);并且 借助所述通訊密鑰(6 ;6a、6b、6c ;11)對所述軌道車輛(4)的交通引導信息進行加密,用于使所述軌道車輛(4)與第一路段運營商的路段中心(3)以及第二路段運營商的路段中心(3)防止被操縱地進行通訊。
2.按權利要求1所述的方法,還具有以下步驟: 通過所述第一路段運營商將所述通訊密鑰(6 ;6a、6b、6c ;11)提供給所述第一路段中心(2a ;3);并且 通過所述第二路段運營商將所述通訊密鑰(6 ;6a、6b、6c ;11)提供給所述第二路段中心(2b ;3)。
3.按權利要求2所述的方法,其中,所述通訊密鑰包括多個路段中心所特有的通訊密鑰(6a、6b、6c),其中將所述通訊密鑰(6 ;6a、6b、6c ; 11)提供給所述第二加密管理中心(Ib)包括,將一組路段中心所特有的通訊密鑰(6a、6b、6c)提供給所述第二加密管理中心(lb),所述一組路段中心所特有的通訊密鑰配屬于所述第二路段運營商的第二路段中心(2b;3)。
4.按權利要求3所述的方法,其中,在第一加密管理中心(Ia)中生成所述通訊密鑰(6;6a.6b.6c ;11)包括,通過密鑰求導方法從主通訊密鑰(6)中導出所述路段中心所特有的通訊密鑰(6a、6b、6c)。
5.按權利要求4所述的方法,其中執行,從所述軌道車輛(4)的控制計算機中導出所述路段中心所特有的通訊密鑰(6a、6b、6c)。
6.按權利要求4所述的方法,其中執行,從所述第一以及第二加密管理中心(la、lb)中導出所述路段中心所特有的通訊密鑰(6a、6b、6c)。
7.按權利要求6所述的方法,其中執行,通過僅僅用于所述第一路段中心(2a;3)的所述第一加密管理中心(Ia)導出所述路段中心所特有的通訊密鑰(6a、6b、6c)并且通過僅僅用于第二路段中心(2b ;3)的第二加密管理中心(Ib)導出所述路段中心所特有的通訊密鑰(6a、6b、6c)。
8.按權利要求2所述的方法,其中,所述通訊密鑰包括多個軌道車輛所特有的通訊密鑰(6a、6b、6c ),其中將所述通訊密鑰(6;6a、6b、6c;ll)提供給軌道車輛(4 )包括,從所述多個軌道車輛所特有的通訊密鑰(11)中提供對于所述軌道車輛(4)而言特有的通訊密鑰。
9.按權利要求8所述的方法,此外還具有以下步驟: 從多個軌道車輛所特有的通訊密鑰(6a、6b、6c )中分別導出多個路段中心所特有的通訊密鑰(11);并且 將多個路段中心所特有的通訊密鑰(11)中的一組路段中心所特有的通訊密鑰(11)提供給所述第二加密管理中心(lb),所述路段中心所特有的通訊密鑰對于軌道車輛特有地配屬于第二路段運營商的第二路段中心(2b ;3)。
10.按權利要求9所述的方法,其中執行,通過所述軌道車輛(4)的控制計算機從所述多個軌道車輛所特有的通訊密鑰(6a、6b、6c)中導出所述多個路段中心所特有的通訊密鑰(11)。
11.按權利要求1到10中任一項所述的方法,其中,由用于調度控制的引導系統提供所述軌道車輛(4)的計劃的行駛路線,并且其中所述第一加密管理中心(Ia)自動地執行生成和提供所述通訊密鑰(6 ;6a、6b、6c ;11)。
12.控制裝置(7),在第一軌道網絡路段運營商的第一加密管理中心(Ia)中,用于分配用來對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰(6 ;6a、6b、6c ;11),所述控制裝置具有: 生成裝置,所述生成裝置設置用于根據軌道車輛(4)的計劃的行駛路線生成通訊密鑰(6 ;6a、6b、6c ;11);以及 提供裝置,所述提供裝置設置用于將所生成的通訊密鑰(6 ;6a、6b、6c ;11)提供給第二路段運營商的第二加密管理中心(Ib)和所述軌道車輛(4),其中用于對所述軌道車輛(4)的交通引導信息進行加密的通訊密鑰(6 ;6a、6b、6c ;11)設置用于使所述軌道車輛(4)與第一路段運營商的路段中心(2a ;3)以及第二路段運營商的運營中心(2b ;3)防止被操縱地進行通訊。
13.軌道車輛安全系統(20;30 ;40 ;50),具有:` 按權利要求12所述的控制裝置(7); 第一加密管理中心(la),在所述第一加密管理中心中布置有控制裝置(7); 多個第一路段中心(2a ;3),所述第一路段中心設置用于,由所述第一加密管理中心(Ia)提供由所述控制裝置(7)生成的用于對軌道車輛的交通引導信息進行加密的通訊密鑰(6 ;6a、6b、6c;11); 第二加密管理中心(Ib);以及 多個第二路段中心(2b ;3),所述第二路段中心設置用于,由所述第二加密管理中心(Ib )提供由所述控制裝置(7 )生成的用于對軌道車輛(4)的交通引導信息進行加密的通訊密鑰(6 ;6a、6b、6c ;11)。
【文檔編號】B61L15/00GK103459234SQ201280017183
【公開日】2013年12月18日 申請日期:2012年3月28日 優先權日:2011年4月5日
【發明者】R.法爾克, S.弗里斯 申請人:西門子公司
【專利摘要】本發明涉及一種用于分配用來對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰(6)的方法,具有以下步驟,根據軌道車輛(4)的所計劃的行駛路線在第一路段運營商的第一加密管理中心(1a)中生成通訊密鑰(6),將通訊密鑰(6)提供給第二路段運營商的第二加密管理中心(1b),將通訊密鑰(6)提供給通過第一加密管理中心的軌道車輛(4),并且用通訊密鑰(6)對軌道車輛(4)的交通引導信息進行加密,使得軌道車輛(4)與第一路段運營商的路段中心(3)以及第二路段運營商的路段中心(3)防止被操縱地進行通訊。
【專利說明】用于列車安全系統的密鑰管理的系統和方法
【技術領域】
[0001]本發明涉及一種用于列車安全系統的密鑰管理的系統和方法。
【背景技術】
[0002]在軌道交通中用于列車安全的安全系統是所謂的歐洲列車控制系統(“ETCS”, European Train Control System)。所述交通引導系統通常利用無線電數據傳遞、例如通過GSM-R在軌道機動車或者其列車安全計算機、例如歐洲重要計算機和靜態的路段中心、無線閉塞中心(“RBC”,Radio Block Centres)之間交換引導信息和安全消息。為了在傳遞時保護數據防止無意的運營以及傳遞失誤,用加密的校驗和保護數據,對于該校驗和的計算和/或核實而言需要加密的密鑰。
[0003]通常使用對稱的加密方法,使得不僅所述軌道機動車而且所述路段中心都必須具有至少一個密鑰。因為軌道車輛在其預先確定的路線上沿著路線運動通過不同的靜態的路段中心的管轄區域,需要每個所述臨時管轄的路段中心告知合適的密鑰用于與軌道車輛進行通訊。因此,到路段中心上的密鑰分配是有效的列車安全系統的基本問題,從而以運營安全的形式確保軌道車輛與所有路段中心、必要時也與其他路段運營商的路段中心進行通τΗ ο
[0004]圖1以示意圖示出了軌道車輛引導系統10的原則性構造。軌道車輛4、例如具有可控的在底部具有EVC的機動車的列車沿著路線5運動通過不同的域Α、B和C,所述域處于不同的路段運營商的控制之下,并且通過點線在視覺上相互隔開。所述域Α、B和C例如能夠是具有各自軌道網絡的國家如德國、奧地利和意大利,并且列車4例如能夠具有從慕尼黑到威尼斯的計劃路線5,該路線引導列車通過所有三個國家,即德國、奧地利和意大利。
[0005]每個路段運營商具有密鑰管理中心或者加密管理中心la、Ib或者lc,也稱作KMC(“Key Management Centre”)。也就是說,在域A中KMC Ia對密鑰管理負責,在域B中KMCIb對密鑰管理負責并且在域C中KMC Ic對密鑰管理負責。在KMC la、lb和Ic的領導下分別存在路段中心3,即所謂的RBC,密鑰信息碼即所謂的KMACs(“Key Message AuthenticationCodes”)能夠由KMC獲得。在此,KMACs能夠包括通訊密鑰,該通訊密鑰能夠用于使RBC 3與列車4進行可靠的通訊。
[0006]所述路段中心或者RBC 3局部靜態地對軌道網絡系統的特定的閉塞段負責。RBC3在此能夠分別配屬于密鑰組2a、2b、2c,由各個域A、B或C中相應上級的KMC IaUbUc向所述密鑰組提供通訊密鑰。在此能夠提出,多個RBC 3配屬于相同的密鑰組。示例性地在域A中并且在域C中分別分配密鑰組2a或者2c的兩個RBC 3。也能夠替代地使RBC 3同時也形成了其自己的密鑰組,例如在域B中以密鑰組2b示出。每個密鑰組2a、2b、2c從上級的KMC IaUbUc中分配地獲得組所特有的通訊密鑰。
[0007]所述軌道車輛4在此通過通訊連接5a與第一域A中的RBC 3進行通訊,通過通訊連接5b與第二域B中的RBC 3進行通訊并且通過通訊連接5c與第三域A中的RBC 3進行通訊。在此,通訊連接5a、5b和5c分別通過由KMC la、lb、Ic提供的銅須密鑰保證安全。[0008]用于將通訊密鑰分配到不同的路段中心3上的方案在于,通過列車運營員或者額相應的路段運營商的工作人員手動地分配通訊密鑰。在這種情況下,工作人間能夠在開始行駛之前向每個KMC IaUbUc要求通訊密鑰并且將該域所特有的通訊密鑰安裝在控制計算機上,即列車4的所謂的OBU (“On-Board Unit”)上。該安裝例如能夠通過經由輸入接口的手動輸入例如鍵盤或觸摸屏、經由局部網絡連接、局部使用的存儲介質例如磁盤或USB接口的設備或安全的無線遠程維護連接實現。
[0009]這種密鑰分配是麻煩的、容易出錯的并且沒有效率的。由此為此在不同的域的KMC之間需要持續的連接,從而確保在KMC之間持續的交換通訊密鑰。
[0010]因此,需要對于密鑰分配的更簡單的解決方案用于在軌道車輛的覆蓋域的安全系統中的通訊密鑰。
【發明內容】
[0011]本發明的構思是,根據計劃的列車路線制定密鑰分配計劃并且為了該路線的行駛自動配置了需要的通訊密鑰。為此,能夠通過中央負責的加密管理中心生成通訊密鑰,所述加密管理中心與計劃的路線進行協調。所述通訊密鑰能夠被提供給其他域或者路段運營商的所參與的加密管理中心,從而能夠將中央的并且自動建立的通訊密鑰有針對性地分配到列車以及路段中心。
[0012]這種做法的優點是,顯著簡化了密鑰分配計劃的定義。此外,能夠以簡單的方式在地點和時間上限制行駛路段和行駛時間方面通訊密鑰的有效性,使得按本發明的密鑰分配計劃比常規的密鑰分配計劃更不容易出錯。
[0013]另一優點是,通過自動地從外部提供的行駛路線計劃生成并且證實所述計劃的方案來實現密鑰分配計劃的可自動性。
[0014]因此,本發明的實施方式在于一種用于分配用于對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰的方法,其具有以下步驟,根據軌道車輛的所計劃的行駛路線在第一路段運營商的第一加密管理中心中生成通訊密鑰,將通訊密鑰提供給第二路段運營商的第二加密管理中心,通過第一加密管理中心將通訊密鑰提供給軌道車輛以及用通訊密鑰對軌道車輛的交通引導信息進行加密,從而使得軌道車輛防止被操縱地與第一路段運營商的路段中心以及第二路段運營商的路段中心進行通訊。
[0015]有利的是,通過第一路段運營商將通訊密鑰提供給第一路段中心并且通過第二路段運營商將通訊密鑰提供給第二路段中心。
[0016]根據優選的實施方式,所述通訊密鑰包括多個路段中心所特有的通訊密鑰,其中將所述通訊密鑰提供給第二加密管理中心的步驟包括,將一組路段中心所特有的配屬于第二路段運營商的第二路段中心的通訊密鑰提供給第二加密管理中心。這具有以下優點,即不同的路段中心使用不同的通訊密鑰,從而在不小心泄密公布的情況下或者在通訊密鑰被操縱時將整個系統的喪失保持限制在僅一個路段中心上。
[0017]根據一種實施方式,在第一加密管理中心中生成通訊密鑰實現了通過密鑰求導方法從主通訊密鑰中導出路段中心所特有的通訊密鑰。這提供了以下優點,即能夠從軌道車輛本身的控制計算機中導出路段中心所特有的通訊密鑰。
[0018]根據一種優選的實施方式,通過僅用于第一路段中心的第一加密管理中心導出路段中心所特有的通訊密鑰并且通過僅用于第二路段中心的第二加密管理中心導出路段中心所特有的通訊密鑰。由此能夠有利地在車流量(Fahrzeugaufkommen)較高時將加密管理中心中的密鑰管理僅僅限制在實際上在該加密管理中心中所需的導出的通訊密鑰上。由此,在通過第一加密管理中心將通訊密鑰提供給其他加密管理中心時限制數據流量。
[0019]根據一種有利的實施方式,所述通訊密鑰包括多個軌道車輛所特有的通訊密鑰,其中將通訊密鑰提供給軌道車輛的步驟包括,從多個軌道車輛所特有的通訊密鑰中提供專門用于軌道車輛的通訊密鑰。這提供了以下優點,即例如在不同的軌道車輛運營商的兩個軌道車輛連接時,當相遇的軌道車輛相互調整其車輛所特有的通訊密鑰時實現連接的軌道車輛相互間可靠的軌道車輛通訊。
[0020]能夠有利的是,由用于調度控制的引導系統提供軌道車輛的所計劃的行駛路線,使得第一加密管理中心自動地實施通訊密鑰的生成和提供。由此,一方面顯著加速通訊密鑰的生成和分配,另一方面能夠自動校驗是否沿著所計劃的行駛路線生成并且分配了所有需要的通訊密鑰。如此能夠提早并且可靠地識別偏差和誤輸入。
[0021]根據另一種實施方式,本發明實現了在第一軌道網絡段運營商的第一加密管理中心中的控制裝置用于分配用于對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰,其具有生成裝置和提供裝置,所述生成裝置構造用于根據軌道車輛的所計劃的行駛路線生成通訊密鑰,提供裝置構造用于將所生成的通訊密鑰提供給第二路段運營商的第二加密管理中心以及軌道車輛,其中通訊密鑰用于對軌道車輛的交通引導信息進行加密,使得軌道車輛與第一路段運營商的路段中心以及第二路段運營商的路段中心防止被操縱地(manipulationssicher)通訊。
[0022]根據另一種實施方式,本發明實現了具有按本發明的控制裝置、第一加密管理中心、多個第一路段中心、第二加密管理中心以及多個第二路段中心的軌道車輛安全系統,在所述第一加密管理中心中布置了控制裝置,所述第一路段中心設置用于從第一加密管理中心提供由控制裝置生成的用于對軌道車輛的交通引導信息進行加密的通訊密鑰,所述第二路段中心設置用于從第二加密管理中心提供由控制裝置生成的用于對軌道車輛的交通引導信息進行加密的通訊密鑰。
[0023]其他修改方案和變型方案由從屬權利要求的特征中獲得。
【專利附圖】
【附圖說明】
[0024]現在參照附圖更精確地描述本發明的不同的實施方式和設計方案,其中:
圖1示出軌道車輛引導系統的結構的示意圖;
圖2示出按本發明一種實施方式的軌道車輛安全系統的示意圖;
圖3示出按本發明另一種實施方式的軌道車輛安全系統的示意圖;
圖4示出按本發明另一種實施方式的軌道車輛安全系統的示意圖;
圖5示出按本發明另一種實施方式的軌道車輛安全系統的示意圖;并且圖6示出用于分配通訊密鑰的方法的示意圖,所述通訊密鑰用于對按本發明另一種實施方式的軌道車輛安全系統的交通引導消息進行加密。
[0025]只要有意義,所描述的設計方案和改進方案就能夠相互任意組合。本發明的其他可能的設計方案、改進方案以及執行方案也包括本發明的前面或者后面關于實施例所描述的特征的沒有詳盡提到的組合。
[0026]附圖應該促成對本發明實施方式的進一步理解。【專利附圖】
【附圖說明】了實施方式并且與說明書共同用于解釋本發明的原理和構思。其他實施方式以及多個所述的優點參照附圖獲得。附圖的元素不必要相互按照比例示出。在此,相同的附圖標記表示相同或者類似作用的組件。
【具體實施方式】
[0027]在下面說明的意義上,通訊密鑰包括所有加密信息和數據單元,其適合于對明文格式的數據進行加密并且由此生成防竊聽和/或防讀取的密文格式的數據,或者其適合于保護明文格式的數據的完整性并且實現加密的校驗和(Prilfsumme),并且其還適合于在加密信息的識別中由密文格式的數據恢復明文格式的數據或者校驗所述數據在傳輸期間沒有被處理過。本發明意義上的通訊密鑰例如能夠包含對稱的密鑰對、非對稱的密鑰對或者類似的加密方法。在此例如能夠通過例如AES、DES、KDF、IPsec, SSL/TLS、MACsec, L2TP、PPTP、PGP、S/MME這樣的方法使用通訊密鑰或者通過所配屬的密鑰管理例如IKE、EAP或其他方法使用類似的技術。
[0028]圖2示出了軌道車輛安全系統20的示意圖。該軌道車輛安全系統20與圖1中所示的軌道車輛引導系統10的區別在于,在所述加密管理中心(Schliisselvergabestelle)IaUbUc (KMC)中的每個中都布置有控制裝置7,所述控制裝置設置用于生成和分配用來對交通引導消息進行加密的通訊密鑰。在此,所述控制裝置7例如能夠是軟件模塊,所述軟件模塊在所述KMC上起作用并且構造在所述KMC上。
[0029]所述控裝置裝置7包括用于生成用于加密保護軌道車輛4的交通引導消息的通訊密鑰6的生成裝置。在下面的實施例中假設,所述軌道車輛4配屬于域(Donne)A,從而使得所述KMC Ia是軌道車輛4的所謂的“根KMC (Heim-KMC)",也就是說在控制KMC Ia的情況下進行通訊密鑰的生成和分配。其余的KMC Ib和Ic在這種情況下取決于通過KMC Ia進行的控制。當然在其他情況下、例如用于其他軌道車輛時,同樣能夠使其他KMC Ib和Ic承擔根KMC的角色。在此,KMC Ib和Ic的控制裝置7與KMC Ia的控制裝置7構造得一樣。此外,KMC la、lb和Ic的數量當然也不限制于三這個示出的數量。同樣能夠有其他任意數量的KMC。在此,KMC la、lb、lc尤其能夠由不同的路段運營商(Streckenbetreiber)運營。
[0030]所述生成裝置能夠設計用于在步驟8a中根據軌道車輛4的計劃的行駛線路生成通訊密鑰6。在此,所述生成裝置能夠設計用于,由(未示出的)調度控制系統或行程答詢系統自動地提供所計劃的行駛路線。
[0031]通訊密鑰6能夠通過第一 KMC Ia隨后在步驟8b中提供給第二 KMC Ib并且在步驟8c中提供給第三KMC lc。被提供通訊密鑰6的KMC IbUc在此根據軌道車輛4的計劃的行駛路線進行調整。KMC IbUc例如能夠對路段中心3負責,軌道車輛4的計劃的行駛路線穿過其引導區域。通訊密鑰的提供在此能夠通過控制裝置7的提供裝置來實現。
[0032]在步驟9a中能夠將所生成的通訊密鑰6分配到第一域A的第一路段中心3(RBC)上。此外,能夠在步驟9a中將通訊密鑰6安裝在軌道車輛4的控制計算機(EVC)上。所述通訊密鑰6能夠在步驟9b和9c中通過KMC Ib和Ic提供給域B或者域C中的RBC3。
[0033]所述KMC Ia能夠在實現通訊密鑰6的分配之后進行操縱,使得軌道車輛4能夠投入使用并且能夠駛過域A、B和C。當例如由于路段封鎖或者軌道車輛4的其他改道而應該駛過其他(未示出的)域D,對于所述域而言沒有向各個路段中心3提供通訊密鑰6時,能夠建立修改的密鑰分配計劃,其中在通過操作員相應的授權之后所述控制裝置7將通訊密鑰6也傳遞到域D的KMC上,所述KMC本身將通訊密鑰繼續分配到其域D的RBC3上。作為替代方案能夠向操作員顯示,所述軌道車輛4僅僅有資格通過域A、B和C,但是沒有資格通過其他域。
[0034]圖3示出了軌道車輛安全系統30的示意圖。所述軌道車輛安全系統30與圖2中的軌道車輛安全系統20之間的區別在于,該通訊密鑰6包括多個專門為域或者專門為路段中心生成的通訊密鑰6a、6b、6c。在此,所述通訊密鑰6a、6b、6c中的每個通訊密鑰都為RBC3區域特定地生成。在此,通訊密鑰6a、6b、6c能夠隨機地或者偽隨機地或者借助于密鑰求導函數從基本密鑰和/或取決于RBC的求導參數中生成。所述通訊密鑰6a、6b、6c共同地安裝在軌道車輛4的控制計算機上。
[0035]隨后從通訊密鑰6a、6b、6c中選出通訊密鑰組,所述組能夠配屬于相應的域B和C的相應的RBC 3。隨后在步驟8b、8c中僅僅傳輸需要KMC IbUc來提供給其RBC的通訊密鑰6b和6c。
[0036]所述軌道車輛4能夠在穿過域A、B和C時根據當前的位置選出通訊密鑰6a、6b、6c中相應的一個,從而與相應的域的瞬時當前的RBC3進行通訊。當前位置例如能夠經由衛星導航系統、例如GPS或GALILEO通過無線電基站的定向、例如經由GSM-R或者WLAN借助軌道網的路段計算機的地址或者識別碼或者通過歐洲應答器例如鐵路路基上的固定數據應答器或者透明數據應答器求得。
[0037]圖4示出了軌道車輛安全系統40的示意圖。該軌道車輛安全系統40與圖3中的軌道車輛安全系統30的區別在于,在KMC la、Ib和Ic之間設置了主通訊密鑰6,從中能夠通過密鑰求導函數導出多個通訊密鑰6a、6b、6c。在步驟8b和8c中代替多個通訊密鑰6a、6b、6c將主通訊密鑰6傳遞到KMC Ib和Ic上,所述KMC本身能夠局部地導出多個通訊密鑰6a、6b、6c。通過KMC的求導例如能夠根據列車所特有的參數、例如軌道車輛4的識別碼實現。所述主通訊密鑰6在此例如能夠僅僅在特定的時間段上有效。
[0038]同樣能夠規定,所述軌道車輛4本身以主通訊密鑰6來提供,軌道車輛4的控制計算機從中導出多個通訊密鑰6a、6b、6c本身。
[0039]例如能夠借助于密鑰求導函數(Key Derivation Function,KDF)例如HMAC (哈希信息驗證碼)或者AES-CBCMAC (高級加密標準-加密字組鏈接信息驗證碼)根據RBC所特有的參數例如識別碼、區域碼、路段碼或類似參數從主通訊密鑰6中導出多個通訊密鑰6a、6b、6c。
[0040]這種做法的優點在于,不必在KMC IaUbUc之間形成持續的在線連接,因為每個KMC能夠自動地從傳遞一次的主通訊密鑰6中導出RBC所特有的通訊密鑰6a、6b、6c,而為此不需要重新與根KMC Ia進行通訊。此外,在多個軌道車輛4和RBC 3中只需要在KMC la、lb、Ic之間交換少量的數據。
[0041]圖5示出了軌道車輛安全系統50的示意圖。該軌道車輛安全系統50與圖4中的軌道車輛安全系統40的區別在于,設置了主通訊密鑰6,從所述主通訊密鑰中能夠經由密鑰求導函數導出多個軌道車輛所特有的通訊密鑰6a、6b、6c。從例如在圖5中配屬于軌道車輛4的軌道車輛所特有的通訊密鑰6c中能夠再次導出多個RBC所特有的通過各個KMC la、lb、lc能夠分配到不同的RBC 3上的通訊密鑰11。為軌道車輛4提供了各個軌道車輛所特有的通訊密鑰6c以及RBC所特有的通訊密鑰11,從而能夠通過選出RBC所特有的通訊密鑰11之一來實現與相應RBC 3的通訊。
[0042]例如能夠規定,在兩個軌道車輛上為不同的運營商或者不同的根KMC安裝相同的軌道車輛所特有的通訊密鑰6c,從而在兩個軌道車輛耦合時實現可靠的軌道車輛通訊。
[0043]圖6示出了用于分配用來對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰的方法60的示意圖。在第一步驟61中,根據軌道車輛的計劃的行駛路線在第一路段運營商的第一加密管理中心(KMC)中生成通訊密鑰。在第二步驟62中,將通訊密鑰提供給第二路段運營商的第二 KMC。在第三步驟63中,通過第一 KMC將通訊密鑰提供給軌道車輛。在第四步驟64中,用通訊密鑰對軌道車輛的交通引導信息進行加密,使得軌道車輛防止被操縱地與第一路段運營商的RBC以及第二路段運營商的RBC進行通訊。對交通引導信息進行加密尤其理解為,加密保護使用數據和/或管理數據、例如尋址信息、交通引導信息不被竊聽和/或操縱,例如通過相應加密的加密數據代替明文數據,和/或通過添加加密的完整性校驗信息(信息驗證碼)。
【權利要求】
1.用于分配用來對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰(6;6a、6b,6c ;11)的方法,具有以下步驟: 根據軌道車輛(4)的計劃的行駛路線在第一路段運營商的第一加密管理中心(Ia)中生成通訊密鑰(6 ;6a、6b、6c ;11); 將所述通訊密鑰(6 ;6a、6b、6c ; 11)提供給第二路段運營商的第二加密管理中心(lb); 通過所述第一加密管理中心將所述通訊密鑰(6 ;6a、6b、6c ;11)提供給所述軌道車輛(4);并且 借助所述通訊密鑰(6 ;6a、6b、6c ;11)對所述軌道車輛(4)的交通引導信息進行加密,用于使所述軌道車輛(4)與第一路段運營商的路段中心(3)以及第二路段運營商的路段中心(3)防止被操縱地進行通訊。
2.按權利要求1所述的方法,還具有以下步驟: 通過所述第一路段運營商將所述通訊密鑰(6 ;6a、6b、6c ;11)提供給所述第一路段中心(2a ;3);并且 通過所述第二路段運營商將所述通訊密鑰(6 ;6a、6b、6c ;11)提供給所述第二路段中心(2b ;3)。
3.按權利要求2所述的方法,其中,所述通訊密鑰包括多個路段中心所特有的通訊密鑰(6a、6b、6c),其中將所述通訊密鑰(6 ;6a、6b、6c ; 11)提供給所述第二加密管理中心(Ib)包括,將一組路段中心所特有的通訊密鑰(6a、6b、6c)提供給所述第二加密管理中心(lb),所述一組路段中心所特有的通訊密鑰配屬于所述第二路段運營商的第二路段中心(2b;3)。
4.按權利要求3所述的方法,其中,在第一加密管理中心(Ia)中生成所述通訊密鑰(6;6a.6b.6c ;11)包括,通過密鑰求導方法從主通訊密鑰(6)中導出所述路段中心所特有的通訊密鑰(6a、6b、6c)。
5.按權利要求4所述的方法,其中執行,從所述軌道車輛(4)的控制計算機中導出所述路段中心所特有的通訊密鑰(6a、6b、6c)。
6.按權利要求4所述的方法,其中執行,從所述第一以及第二加密管理中心(la、lb)中導出所述路段中心所特有的通訊密鑰(6a、6b、6c)。
7.按權利要求6所述的方法,其中執行,通過僅僅用于所述第一路段中心(2a;3)的所述第一加密管理中心(Ia)導出所述路段中心所特有的通訊密鑰(6a、6b、6c)并且通過僅僅用于第二路段中心(2b ;3)的第二加密管理中心(Ib)導出所述路段中心所特有的通訊密鑰(6a、6b、6c)。
8.按權利要求2所述的方法,其中,所述通訊密鑰包括多個軌道車輛所特有的通訊密鑰(6a、6b、6c ),其中將所述通訊密鑰(6;6a、6b、6c;ll)提供給軌道車輛(4 )包括,從所述多個軌道車輛所特有的通訊密鑰(11)中提供對于所述軌道車輛(4)而言特有的通訊密鑰。
9.按權利要求8所述的方法,此外還具有以下步驟: 從多個軌道車輛所特有的通訊密鑰(6a、6b、6c )中分別導出多個路段中心所特有的通訊密鑰(11);并且 將多個路段中心所特有的通訊密鑰(11)中的一組路段中心所特有的通訊密鑰(11)提供給所述第二加密管理中心(lb),所述路段中心所特有的通訊密鑰對于軌道車輛特有地配屬于第二路段運營商的第二路段中心(2b ;3)。
10.按權利要求9所述的方法,其中執行,通過所述軌道車輛(4)的控制計算機從所述多個軌道車輛所特有的通訊密鑰(6a、6b、6c)中導出所述多個路段中心所特有的通訊密鑰(11)。
11.按權利要求1到10中任一項所述的方法,其中,由用于調度控制的引導系統提供所述軌道車輛(4)的計劃的行駛路線,并且其中所述第一加密管理中心(Ia)自動地執行生成和提供所述通訊密鑰(6 ;6a、6b、6c ;11)。
12.控制裝置(7),在第一軌道網絡路段運營商的第一加密管理中心(Ia)中,用于分配用來對軌道車輛安全系統的交通引導信息進行加密的通訊密鑰(6 ;6a、6b、6c ;11),所述控制裝置具有: 生成裝置,所述生成裝置設置用于根據軌道車輛(4)的計劃的行駛路線生成通訊密鑰(6 ;6a、6b、6c ;11);以及 提供裝置,所述提供裝置設置用于將所生成的通訊密鑰(6 ;6a、6b、6c ;11)提供給第二路段運營商的第二加密管理中心(Ib)和所述軌道車輛(4),其中用于對所述軌道車輛(4)的交通引導信息進行加密的通訊密鑰(6 ;6a、6b、6c ;11)設置用于使所述軌道車輛(4)與第一路段運營商的路段中心(2a ;3)以及第二路段運營商的運營中心(2b ;3)防止被操縱地進行通訊。
13.軌道車輛安全系統(20;30 ;40 ;50),具有:` 按權利要求12所述的控制裝置(7); 第一加密管理中心(la),在所述第一加密管理中心中布置有控制裝置(7); 多個第一路段中心(2a ;3),所述第一路段中心設置用于,由所述第一加密管理中心(Ia)提供由所述控制裝置(7)生成的用于對軌道車輛的交通引導信息進行加密的通訊密鑰(6 ;6a、6b、6c;11); 第二加密管理中心(Ib);以及 多個第二路段中心(2b ;3),所述第二路段中心設置用于,由所述第二加密管理中心(Ib )提供由所述控制裝置(7 )生成的用于對軌道車輛(4)的交通引導信息進行加密的通訊密鑰(6 ;6a、6b、6c ;11)。
【文檔編號】B61L15/00GK103459234SQ201280017183
【公開日】2013年12月18日 申請日期:2012年3月28日 優先權日:2011年4月5日
【發明者】R.法爾克, S.弗里斯 申請人:西門子公司
相關技術
網友詢問留言
已有0條留言
- 還沒有人留言評論。精彩留言會獲得點贊!
1