-
Die
Erfindung betrifft ein Verfahren und eine Vorrichtung zur Übertragung
zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs.
-
Bei
der Datenübertragung
in geschlossenen Netzen müssen,
insbesondere bei sicherheitsrelevanten Anwendungen, eine Verzögerung von
Daten, eine Vertauschung von Daten, eine Auslassung von Daten und
eine Datenverfälschung
vermieden bzw. ausgeschlossen werden. Weiterhin muss eine korrekte Übertragung
von Daten an den richtigen Empfänger
gewährt
werden. Fahrzeuge, insbesondere auch schienengebundene Fahrzeuge,
verfügen über eine
Vielzahl von Komponenten bzw. Bauelementen, wie etwa eine Bremssteuerung,
eine Antriebssteuerung, eine Sanitäranlagensteuerung oder eine
Klimaanlagensteuerung, die über
einen Fahrzeugbus mit einem Server bzw. einer zentralen Steuerung
verbunden sind. Jede dieser Komponenten bzw. Bauelemente sendet
und empfängt
Daten. Die Komponenten sind beispielsweise über einen Ethernet-Bus miteinander
verbunden. Insbesondere bei sicherheitskritischen Anwendungen in
Echtzeit, beispielsweise bei einer Ansteuerung der Bremsen eines
Zuges, dürfen
die Daten, die über
den Fahrzeugbus übertragen
werden, nicht verfälscht
sein. Eine Verfälschung
der Daten könnte
zu einem Zugunglück
führen.
-
Herkömmliche
Systeme zur Übertragung von
Nachrichten in Echtzeit zwischen Teilnehmern in einem geschlossenen
Netz eines Fahrzeugs bieten lediglich applikative Sicherungsmechanismen,
wie beispielsweise CRC (Cyclic Redundancy Check) oder andere Checksummen
für die übertragenen
Telegramme bzw. Nachrichten ein. Zur Überprüfung, ob eine Nachricht unverfälscht angekommen
ist, prüft dabei
der Empfänger
die empfangene Nachricht mittels einer Checksumme. Dies ist allerdings
problematisch, wenn mehrere und gegebenenfalls auch weniger vertrauenswürdi gere
Kommunikationspartner in dem Kommunikationspfad liegen bzw. Zugang
zu dem Netz haben. Es kann bei herkömmlichen Systemen bei einer
Datenverfälschung
nicht nachgewiesen werden, ob diese durch einen internen Fehler oder
durch einen systematischen Fehler hervorgerufen wurde, wobei die
empfangene Nachricht von anderen Kommunikationspartnern abgesendet
und gegebenenfalls verfälscht
wurde. Insbesondere gegenmutwillige Hackerangriffe bieten herkömmliche
Systeme keinen ausreichenden Schutz.
-
Der
Erfindung liegt die Aufgabe zugrunde ein Verfahren und eine Vorrichtung
zur Übertragung
einer Nachricht in Echtzeit zwischen Teilnehmern in einem geschlossenen
Netz eines Fahrzeugs zu schaffen, bei der eine Verfälschung
der Nachrichten verhindert wird.
-
Diese
Aufgabe wird erfindungsgemäß durch ein
Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
-
Die
Erfindung schafft ein Verfahren zur Übertragung einer Nachricht
zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs
mit folgenden Schritten:
- (a) Verschlüsseln von
sicherheitsrelevanten Echtzeit-Daten einer Nachricht einschließlich einer Sender-ID
eines Senders innerhalb des geschlossenen Netzes mit einem privaten
Schlüssel
des Senders zur Erzeugung einer verschlüsselten Nachricht;
- (b) Übertragen
der verschlüsselten
Nachricht zusammen mit der unverschlüsselten Sender-ID des Senders
von dem Sender über
einen Fahrzeugbus zu einem Empfänger
innerhalb des geschlossenen Netzes;
- (c) Entschlüsseln
der verschlüsselten
Nachricht durch den Empfänger
mittels eines öffentlichen Schlüssels des
durch die empfangene unverschlüsselte
Sender-ID bezeichneten Senders zur Wiedergewinnung der unverschlüsselten
Nachricht;
- (d) Vergleichen der empfangenen Sender-ID mit der in der wiedergewonnenen
Nachricht enthaltenen Sender-ID zur Feststellung, ob die Übertragung
der Nachricht korrekt erfolgt ist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
berechnet der Sender eine Sende-Prüfsumme über die sicherheitsrelevanten abzusendenden
Echtzeit-Daten einschließlich
der Sender-ID des Senders.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
verschlüsselt
der Sender die berechnete Sende-Prüfsumme mit einem privaten Schlüssel des
Senders zur Erzeugung einer verschlüsselten Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens überträgt der Sender
die verschlüsselte
Sende-Prüfsumme
zusammen mit den sicherheitsrelevanten Echtzeit-Daten einschließlich der
Sender-ID an den Empfänger über den
Fahrzeugbus.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
entschlüsselt
der Empfänger die über den
Fahrzeugbus empfangene verschlüsselte
Sende-Prüfsumme
mittels eines öffentlichen Schlüssels des
durch die empfangene unverschlüsselte
Sender-ID bezeichneten Senders zur Ermittlung einer ersten Empfangsprüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
berechnet der Empfänger über die
empfangenen sicherheitsrelevanten Echtzeit-Daten einschließlich der
Sender-ID des Senders eine zweite Empfangs-Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
erkennt der Empfänger
eine korrekte Übertragung
der sicherheitsrelevanten Daten und der Sender-ID, wenn die erste
Empfangs-Prüfsumme
und die zweite Empfangs-Prüfsumme
identisch sind.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens überträgt der Sender
die verschlüsselte
Sendeprüfsumme
zusammen mit den sicherheitsrelevanten Echtzeit-Daten einschließlich der
Sender-ID und zusammen mit der unverschlüsselten Sende-Prüfsumme an
den Empfänger über den
Fahrzeugbus.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
entschlüsselt
der Empfänger die über den Übertragungskanal
empfangene verschlüsselte
Sende-Prüfsumme
mittels eines öffentlichen
Schlüssels
des durch die empfangene unverschlüsselte Sender-ID bezeichneten
Senders zur Ermittlung einer ersten Empfangs-Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
empfängt
der Empfänger
die übertragene
unverschlüsselte
Sende-Prüfsumme
als zweite Empfangs-Prüfsumme
und vergleicht diese mit der ermittelten ersten Empfangs-Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
erkennt der Empfänger
eine korrekte Übertragung
der sicherheitsrelevanten Daten und der Sender-ID, wenn die erste
Empfangs-Prüfsumme
und die zweite Empfangs-Prüfsumme übereinstimmen.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
werden die Prüfsummen
mittels eines CRC(Cyclic Redundancy Check)-Verfahrens gebildet.
-
Bei
einer möglichen
Ausführungsform
des erfindungsgemäßen Verfahrens
wird das Fahrzeug durch ein schienengebundenes Fahrzeug gebildet.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
wird der Sender durch eine Steuereinheit innerhalb des Fahrzeugs
gebildet.
-
Bei
einer weiteren Ausführungsform
des erfindungsgemäßen Verfahrens
wird der Empfänger durch
eine zentrale Steuereinheit innerhalb des Fahrzeugs gebildet.
-
Bei
einer weiteren Ausführungsform
des erfindungsgemäßen Verfahrens
werden mehrere Steuereinheiten über
einen gemeinsamen Fahrzeugbus mit der zentralen Steuereinheit verbunden.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
wird die Steuereinheit durch eine Bremssteuerung, eine Antriebssteuerung,
eine Sanitäranlagensteuerung
oder eine Klimaanlagensteuerung gebildet.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
weisen die von den Steuereinheiten abgegebenen Echtzeit-Daten unterschiedliche Prioritätsstufen
auf.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
wird eine Schlüssellänge eines Schlüssels zur
Verschlüsselung
der Echtzeit-Daten in Abhängigkeit
von der jeweiligen Prioritätsstufe
der Echtzeit-Daten eingestellt.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Verfahrens
werden die Echtzeit-Daten mit einer hohen Prioritätsstufe
und mit einer geringen erlaubten Reaktionszeit zur Minimierung der
für die Verschlüsselung
und Entschlüsselung
benötigten Zeit
mit einem Schlüssel
kurzer Schlüssellänge verschlüsselt.
-
Dabei
beträgt
die Schlüssellänge (L) ≤ 128 Bit.
-
Bei
einer weiteren Ausführungsform
beträgt die
Schlüssellänge (L) ≤ 56 Bit.
-
Die
Erfindung schafft ferner ein System zur Übertragung von Nachrichten
in Echtzeit zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs
mit den im Patentanspruch 24 angegebenen Merkmalen.
-
Die
Erfindung schafft ein System zur Übertragung von Nachrichten
in Echtzeit zwischen Teilnehmern in einem geschlossenen Netz eines
Fahrzeugs mit:
- (a) mindestens einem Sender,
der zu übertragende
sicherheitsrelevante Echtzeit-Daten einer Nachricht einschließlich einer
Sender-ID des Senders mit einem privaten Schlüssel des Senders zur Erzeugung
einer verschlüsselten
Nachricht verschlüsselt;
- (b) einem Fahrzeugbus zur Übertragung
der verschlüsselten
Nachricht zusammen mit der unverschlüsselten Sender-ID des Senders;
- (c) und mit mindestens einem Empfänger, der die empfangene verschlüsselte Nachricht
mittels eines öffentlichen
Schlüssels
des durch die empfangene unverschlüsselte Sender-ID bezeichneten
Senders zur Wiedergewinnung der unverschlüsselten Nachricht entschlüsselt und
die empfangene Sender-ID mit der in der wiedergewonnenen Nachricht
enthaltenen Sender-ID vergleicht, um festzustellen, ob die Übertragung
der Nachricht korrekt erfolgt ist.
-
Die
Erfindung schafft ferner einen Sender innerhalb eines geschlossenen
Netzes eines Fahrzeugs mit den im Patentanspruch 25 angegebenen Merkmalen.
-
Die
Erfindung schafft einen Sender innerhalb eines geschlossenen Netzes
eines Fahrzeugs, der zur sicheren Übertragung einer Nachricht
sicherheitsrelevante Echtzeit-Daten der Nachricht einschließlich einer
Sender-ID des Senders mit einem privaten Schlüssel des Senders zur Erzeugung
einer verschlüsselten
Nachricht verschlüsselt
und die verschlüsselte
Nachricht zusammen mit der unverschlüsselten Sender-ID des Senders über einen Fahrzeugbus
an einen Empfänger
sendet.
-
In
einer Ausführungsform
des erfindungsgemäßen Senders,
berechnet der Sender eine Sende-Prüfsumme für die sicherheitsrelevanten
abzusendenden Echtzeit-Daten einschließlich der Sender-ID des Senders.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Senders
verschlüsselt
der Sender die berechnete Sende-Prüfsumme mit einem privaten Schlüssel des
Senders zur Erzeugung einer verschlüsselten Sende-Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Senders überträgt der Sender
die verschlüsselte
Sende-Prüfsumme
an den Empfänger über den
Fahrzeugbus.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Senders überträgt der Sender
die verschlüsselte
Sende-Prüfsumme
zusammen mit den sicherheitsrelevanten Echtzeit-Daten und zusammen mit
der unverschlüsselten
Sende-Prüfsumme
an den Empfänger über den
Fahrzeugbus.
-
Die
Erfindung schafft ferner einen Empfänger innerhalb eines geschlossenen
Netzes eines Fahrzeugs, der eine empfangene verschlüsselte Nachricht
mittels eines öffentlichen
Schlüssels,
der durch eine unverschlüsselte
Sender-ID bezeichnet wird, welche zusammen mit der verschlüsselten Nachricht
empfangen wird, zur Wiedergewinnung der unverschlüsselten
Nachricht entschlüsselt
und die empfangene Sender-ID mit der in der wiedergewonnenen Nachricht
enthaltenen Sender-ID vergleicht, um festzustellen, ob die Übertragung
der Nachricht korrekt erfolgt ist.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Empfängers entschlüsselt der
Empfänger die über den
Fahrzeugbus empfangene verschlüsselte
Sende-Prüfsumme
mittels eines öffentlichen Schlüssels des
durch die empfangene unverschlüsselte
Sender-ID bezeichneten Senders zur Ermittlung einer ersten Empfangs-Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Empfängers berechnet
der Empfänger über die
empfangenen sicherheitsrelevanten Echtzeit-Daten einschließlich der
Sender-ID des Senders eine zweite Empfangs-Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Empfängers erkennt
der Empfänger
eine korrekte Übertragung
der sicherheitsrelevanten Echtzeit-Daten und der Sender-ID, wenn
die erste Empfangs-Prüfsumme
und die zweite Empfangs-Prüfsumme
identisch sind.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Empfängers entschlüsselt der
Empfänger die über den
Fahrzeugbus empfangene verschlüsselte
Sende-Prüfsumme
mittels eines öffentlichen Schlüssels des
durch die empfangene unverschlüsselte
Sender-ID bezeichneten Senders zur Ermittlung einer ersten Empfangs-Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Empfängers empfängt der
Empfänger
die übertragene
unverschlüsselte
Sende-Prüfsumme
als zweite Empfangs-Prüfsumme
und vergleicht diese mit der ermittelten ersten Empfangs-Prüfsumme.
-
Bei
einer Ausführungsform
des erfindungsgemäßen Empfängers erkennt
der Empfänger
eine korrekte Übertragung
der sicherheitsrelevanten Echtzeit-Daten und der Sender-ID, wenn
die erste Empfangs-Prüfsumme
und die zweite Empfangs-Prüfsumme übereinstimmen.
-
Die
Erfindung schafft ferner ein Computerprogramm zur Durchführung eines
Verfahrens zur Übertragung
einer Nachricht in Echtzeit zwischen Teilnehmern in einem geschlossenen
Netz eines Fahrzeugs mit den folgenden Schritten:
- (a)
Verschlüsseln
von sicherheitsrelevanten Echtzeit-Daten einer Nachricht einschließlich einer Sender-ID
eines Senders innerhalb des geschlossenen Netzes mit einem privaten
Schlüssel
des Senders zur Erzeugung einer verschlüsselten Nachricht;
- (b) Übertragen
der verschlüsselten
Nachricht zusammen mit der unverschlüsselten Sender-ID des Senders
von dem Sender über einen
Fahrzeugbus zu einem Empfänger
innerhalb des geschlossenen Netzes;
- (c) Entschlüsseln
der verschlüsselten
Nachricht durch den Empfänger
mittels eines öffentlichen Schlüssels des
durch die empfangene unverschlüsselte
Sender-ID bezeichneten Senders zur Wiedergewinnung der unverschlüsselten
Nachricht;
- (d) Vergleichen der empfangenen Sender-ID mit der in der wiedergewonnenen
Nachrichtenthaltenen Sender-ID zur Feststellung ob die Übertragung
der Nachricht korrekt erfolgt ist.
-
Die
Erfindung schafft ferner einen Datenträger zur Speicherung eines derartigen
Computerprogramms.
-
Im
Weiteren werden bevorzugte Ausführungsformen
des erfindungsgemäßen Verfahrens und
Systems unter Bezugnahme auf der schematischen Zeichnung zur Erläuterung
erfindungswesentlicher Merkmale beschrieben:
-
1 ein
Blockschaltbild einer möglichen Ausführungsform
des erfindungsgemäßen Systems zur Übertragung
von Nachrichten in Echtzeit zwischen Teilnehmern in einem geschlossenen
Netz eines Fahrzeugs gemäß der Erfindung;
-
2 ein
Ablaufdiagramm einer möglichen Ausführungsform
des erfindungsgemäßen Verfahrens
in einem geschlossenen Netz eines Fahrzeugs gemäß der Erfindung;
-
3 ein
Blockschaltbild einer möglichen Ausführungsform
eines erfindungsgemäßen Senders und
eines erfindungsgemäßen Empfängers.
-
Wie
man aus 1 erkennen kann, weist ein Fahrzeug 1,
beispielsweise ein schienengebundenes Fahrzeug, einen internen Fahrzeugbus 2 auf.
Bei dem Fahrzeug 1 kann es sich um einen Zug mit einem
Antriebswagen und mehreren Wagons handeln. Die Wagons sind untereinander
verkoppelt und an den Zugwagen angehängt. Die Verkoppelung der Wagons
und des Zugwagens erfolgt mechanisch und elektrisch, so dass der
Fahrzeugbus 2 auch Sender und Empfänger in verschiedenen Wagons
miteinander verbindet. Der Fahrzeugbus 2 innerhalb des Fahrzeugs 1 verbindet
mehrere daran angeschlossene elektronische Baukomponenten. Diese
elektronischen Baukomponenten sind beispielsweise Steuereinheiten.
Die Steuereinheiten innerhalb eines schienengebundenen Fahrzeugs 1 sind
z. B. Bremssteuereinheiten, Antrieb- und Klimaanlagensteuerungen. Diese
verschiedenen Steuereinheiten können
mit einem Server verbunden sein, der sich beispielsweise in einem
Antriebswagen befindet. Die Steuereinheiten tauschen über den
Fahrzeugbus 2 untereinander Daten aus, die beispielsweise
mittels Datenpaketen übertragen
werden. In einer alternativen Ausführungsform sind den verschiedenen
Steuereinheiten vorgegebene Zeitschlitze zugewiesen. Eine Sendeeinheit 3 sendet
Daten über
den Fahrzeugbus 2 zu einem Empfänger 4 innerhalb des
Fahrzeugs 1. Die Daten können sicherheitsrelevante Echtzeit-Daten sein,
die in einer Nachricht zwischen den Teilnehmern 3, 4 ausgetauscht
werden. Bei dem erfindungsgemäßen System,
wie es in 1 dargestellt ist, verschlüsselt der
Sender 3 die zu übertragenden
sicherheitsrelevanten Echtzeit-Daten D einer Nachricht N einschließlich einer
Sender-ID A-ID des Senders 3 mit einem privaten Schlüssel Kpriv des Senders 3 zur Erzeugung
einer verschlüsselten
Nachricht N'. Diese verschlüsselte Nachricht
N' wird anschließend von dem
Sender 3 über
den Fahrzeugbus 2 zusammen mit der unverschlüsselten
Sender-ID A-ID des Senders 3 übertragen. Der Empfänger 4 entschlüsselt die empfangene
verschlüsselte
Nachricht N' mittels
eines öffentlichen
Schlüssels
Kpublic des durch die empfangene unverschlüsselte Sender-ID A-ID bezeichneten
Senders 3 zur Wiedergewinnung der unverschlüsselten
Nachricht N. Der Empfänger 4 vergleicht
die unverschlüsselt übertragene
und empfangene Sender-ID A-ID mit der in der wiedergewonnenen Nachricht
N enthaltenen Sender-ID,
um festzustellen, ob die Übertragung
der Nachricht N korrekt erfolgt ist. Erkennt der Empfänger 4,
dass die Nachricht N nicht korrekt übertragen worden ist, erfolgt eine
Fehlerbehandlung.
-
2 zeigt
ein Ablaufdiagramm einer möglichen
Ausführungsform
einer Echtzeit-Daten-Übertragung
zwischen Teilnehmern. Nach einem Startschritt S0, der in regelmäßigen Zeitabständen bzw.
in Reaktion auf ein Ereignis erfolgt, werden in einem ersten Schritt
S1 die sicherheitsrelevanten Echtzeit-Daten D einer Nachricht N
einschließlich
der Sender-ID A-ID des Senders 3 innerhalb des geschlossenen
Netzes mit einem privaten Schlüssel
KprivA des Senders 3 zur Erzeugung
einer verschlüsselten
Nachricht N' verschlüsselt.
-
Anschließend wird
im Schritt S2 die verschlüsselte
Nachricht N' zusammen
mit einer unverschlüsselten
Sender-ID A-ID des Senders 3 von dem Sender 3 über den
Fahrzeugbus 2 zu dem Empfänger 4 innerhalb des
geschlossenen Netzes übertragen.
-
In
einem weiteren Schritt S3 wird die empfangene verschlüsselte Nachricht
N' durch den Empfänger 4 mittels
eines öffentlichen
Schlüssels
(Kpublic) des durch die empfangene unverschlüsselte Sender-ID
bezeichneten Senders 3 zur Wiedergewinnung der unverschlüsselten
Nachricht N entschlüsselt.
-
In
einem weiteren Schritt S4 vergleicht der Empfänger 4 die empfangene
Sender-ID A-ID mit der in der wiedergewonnenen Nachricht N enthaltenen Sender-ID,
um festzustellen, ob die Übertragung
der Nachricht korrekt erfolgt ist oder nicht.
-
3 verdeutlicht
die Vorgehensweise bei einer möglichen
Ausführungsform.
Eine zu übertragende
Nachricht N, welche sicherheitsrelevante Echtzeit-Daten D und eine
Sender-ID A-ID enthält,
ist von dem Sender 3 zu dem Empfänger 4 zu übertragen.
Die Sender-ID A-ID der zu übertragenden
Nachricht N adressiert bei der in 3 dargestellten
Ausführungsform
eine Speicherzelle innerhalb eines Speichers 3A zum Auslesen
eines privaten Schlüssels
KprivA des Senders 3. Die sicherheitsrelevanten Echtzeit-Daten
D der zu übertragenden
Nach richt N werden einschließlich
der Sender-ID A-ID des Senders 3 mit dem ausgelesenen privaten
Schlüssel
KprivA des Senders zur Erzeugung einer verschlüsselten Nachricht
N' verschlüsselt. Die
Verschlüsselung
der Echtzeit-Daten D und der Sender-ID des Senders 3 erfolgt
durch eine Verschlüsselungseinheit 3B innerhalb
des Senders 3. Der Sender 3 sendet anschließend die
verschlüsselte
Nachricht N' zusammen
mit der unverschlüsselten
Sender-ID des Senders 3 über den Fahrzeugbus 2 zu
dem Empfänger 4.
-
Der
Empfänger 4 entschlüsselt die über den Fahrzeugbus 2 empfangene
verschlüsselte
Nachricht N' mittels
eines öffentlichen
Schlüssels
(KpublicA), der durch die empfangene unverschlüsselte Sender-ID
A-ID bezeichnet wird. Die empfangene unverschlüsselte Sender-ID adressiert
eine Speicherzelle bzw. einen Speicherbereich in einem Speicher 4A des
Empfängers 4 zum
Auslesen des zugehörigen öffentlichen
Schlüssels
KpublicA. Mit Hilfe des ausgelesenen öffentlichen
Schlüssels
KpublicA entschlüsselt eine Entschlüsselungseinheit 4B des
Empfängers 4 die
empfangene verschlüsselte
Nachricht N' zur
Wiedergewinnung der unverschlüsselten
Nachricht N und zur Wiedergewinnung der in der verschlüsselten Nachricht
N' enthaltenen Sender-ID
A-ID. Diese wiedergewonnene Sender-ID A-ID' wird durch eine Vergleichseinheit 4C innerhalb
des Empfängers 4 mit
der unverschlüsselt übertragenen
Sender-ID A-ID verglichen, um festzustellen, ob die Übertragung
der Nachricht korrekt erfolgt ist oder nicht korrekt erfolgt ist. Weicht
die unverschlüsselt übertragene
Sender-ID A-ID von der aus der entschlüsselten Nachricht N' wiedergewonnenen
Sender-ID A-ID' ab,
ist bei der Übertragung
der Nachricht ein Fehler erfolgt. In diesem Falle wird eine Fehlerbehandlung
eingeleitet.
-
Bei
einer ersten Ausführungsform
des erfindungsgemäßen Verfahrens
berechnet der Sender 3 eine Sende-Prüfsumme C über die sicherheitsrelevanten
Echtzeit-Daten D einschließlich
der Sender-ID des Senders 3. Die Verschlüsselungseinheit 3B des
Senders 3 verschlüsselt
die berechnete Sende-Prüfsumme
C mittels des ausgelesenen privaten Schlüssels KprivA des
Senders 3 zur Erzeugung einer verschlüsselten Prüfsumme C'. Diese verschlüsselte Sende-Prüfsumme C' wird von dem Sender 3 zusammen
mit den sicherheitsrelevanten Echtzeit-Daten D einschließlich der
Sender-ID A-ID des Senders 3 über den Fahrzeugbus 2 an
den Empfänger 4 übertragen.
Die Entschlüsselungseinheit 4B des
Empfängers 4 entschlüsselt die über den
Fahrzeugbus 2 empfangene verschlüsselte Sende-Prüfsumme C' mittels des aus
dem Speicher 4A ausgelesenen öffentlichen Schlüssels KpublicA des durch die empfangene unverschlüsselte Sender-ID
bezeichneten Senders 3 zur Ermittlung einer ersten Empfangs-Prüfsumme C1. Darüber
hinaus berechnet der Empfänger 4 über die
empfangenen sicherheitsrelevanten Echtzeit-Daten D und die entschlüsselte Nachricht
einschließlich
der Sender-ID des Senders 3 eine zweite Empfangs-Prüfsumme C2. Die erste Empfangs-Prüfsumme C1 und
die zweite Empfangs-Prüfsumme
C2 werden anschließend miteinander verglichen.
Der Empfänger 4 erkennt
eine korrekte Übertragung
der sicherheitsrelevanten Daten D und der Sender-ID, wenn die erste
Empfangs-Prüfsumme
C1 und die zweite Empfangs-Prüfsumme C2 identisch sind.
-
Bei
einer zweiten alternativen Ausführungsform
des erfindungsgemäßen Verfahrens überträgt der Sender 3 die
verschlüsselte
Sende-Prüfsumme C' zusammen mit den
sicherheitsrelevanten Echtzeit-Daten D einschließlich der Sender-ID und zusammen
mit der unverschlüsselten
Sende-Prüfsumme
C an den Empfänger 4 über den
Fahrzeugbus 2. Die Entschlüsselungseinheit 4B innerhalb
des Empfängers 4 entschlüsselt die über den
Fahrzeugbus 2 empfangene verschlüsselte Sende-Prüfsumme C' mittels des ausgelesenen öffentlichen
Schlüssels
KpublicA des durch die empfangene unverschlüsselte Sender-ID
A-ID bezeichneten Senders 3 zur Ermittlung einer ersten
EmpfangsPrüfsumme
C1. Der Empfänger 4 empfängt die übertragene
unverschlüsselte Sende-Prüfsumme C
als zweite Empfangs-Prüfsumme
C2 und vergleicht diese mit der ermittelten
ersten EmpfangsPrüfsumme
C1. Der Empfänger 4 erkennt eine
korrekte Übertragung
der sicherheitsrelevanten Daten und der Sender-ID, wenn die erste
Empfangs-Prüfsumme
C1 und die zweite EmpfangsPrüfsumme C2 übereinstimmen.
-
Bei
einer möglichen
Ausführungsform
des erfindungsgemäßen Verfahrens
werden die Prüfsummen
mittels eines CRC(Cyclic Redundancy Check)-Verfahrens gebildet.
Das erfindungsgemäße Verfahren
verwendet ein asymmetrisches Verschlüsselungsverfahren als Sicherheitsnachweis
bzw. als Nachweis für
eine korrekte Übertragung
einer Nachricht. Dabei ist ein Nachweis der Korrektheit der Daten
D des Senders 3 und somit eine applikative Sicherung möglich. Jeder
an dem Fahrzeugbus 2 angeschlossene Kommunikationsteilnehmer
erhält hierzu
einen öffentlichen
und einen privaten geheimen Schlüssel.
Der sicherheitsrelevante Datenanteil der Nachricht bzw. des Telegramms
einschließlich der
Sender-ID des Senders 3 wird mit dem privaten Schlüssel Kpriv des Senders 3 verschlüsselt und
als Nachricht zusammen mit der unverschlüsselten Information, wer der
Sender ist, übertragen.
Der Empfänger 4 kann
dann mittels des öffentlichen
Schlüssels
Kpublic des Senders 3 die Nachricht
des Senders 3 entschlüsseln.
Mit dem erfindungsgemäßen Verfahren
ist eine Datenverfälschung
auf dem Kommunikationsweg ebenso identifizierbar wie eine fälschliche
Vorspiegelung des Senders 3. Die übertragenen Daten werden mit
dem erfindungsgemäßen Verfahren
nicht nur gegen technische Verfälschungen,
sondern auch gegen mutwillige Hackerangriffe geschützt.
-
Das
erfindungsgemäße Verfahren
ermöglicht
eine Kommunikation zwischen beliebig vielen Teilnehmern und eignet
sich somit für
die Kommunikation in geschlossenen Netzen, die auch eine relativ hohe
Anzahl von miteinander kommunizierenden Komponenten haben.
-
Bei
einer möglichen
Ausführungsform
des erfindungsgemäßen Verfahrens
weisen die von den Komponenten bzw. Steuereinheiten abgegebenen Echtzeit-Daten
D unterschiedliche Prioritätsstufen auf.
Beispielsweise haben Echtzeit-Daten für die Bremssteuerung eine höhere Priorität als Echtzeit-Daten
für die
Sanitäranlagensteuerung.
Da bei besonders sicherheitskritischen Echtzeit-Daten nur eine sehr
geringe Verzögerungszeit
auftreten darf, wird bei einer Ausführungsform des erfin dungsgemäßen Verfahrens
die Schlüssellänge L eines
Schlüssels
K zur Verschlüsselung
der Echtzeit-Daten D in Abhängigkeit
von der jeweiligen Prioritätsstufe
der Echtzeit-Daten D eingestellt. Je geringer die Schlüssellänge L ist,
desto schneller können
Echtzeit-Daten verschlüsselt
und wieder entschlüsselt
werden. Allerdings bieten auch Schlüssel mit einer relativ geringen Schlüssellänge L von
beispielsweise weniger als 56 Bit immer noch einen ausreichenden
Schutz gegen Manipulationsversuche Dritter. Da bei sicherheitskritischen
Echtzeit-Daten D
nur sehr geringe Verzögerungszeiten
auftreten dürfen,
werden daher Echtzeit-Daten mit einer sehr hohen Prioritätsstufe,
d. h. Echtzeit-Daten die besonders sicherheitskritisch und zeitkritisch
sind, mittels eines Schlüssels
K mit kurzer Schlüssellänge L verschlüsselt, während andere
Daten mit geringerer Prioritätsstufe
mit einem Schlüssel K
größerer Schlüssellänge L verschlüsselt werden. Echtzeit-Daten
D mit einer hohen Prioritätsstufe
und mit einer geringen erlaubten Reaktionszeit werden daher zur
Minimierung der für
die Verschlüsselung und
Entschlüsselung
benötigten
Zeit mit einem Schlüssel
K kurzer Schlüssellänge L verschlüsselt, der
beispielsweise eine Schlüssellänge L von
weniger als 128 Bit aufweist.
-
Bei
einer möglichen
Ausführungsform
werden Echtzeit-Daten D mit einer hohen Prioritätsstufe und mit einer geringen
erlaubten Reaktionszeit mit einem Schlüssel K verschlüsselt, der
eine Schlüssellänge L von
weniger als 56 Bit aufweist.
-
Die übertragenen
Echtzeit-Daten D sind beliebige Echtzeit-Daten, beispielsweise Sensordaten, die
von Sensoren generiert werden, oder Steuerdaten, die von einer Steuerung übertragen
werden.
-
Bei
dem Fahrzeug 1 handelt es sich beispielsweise um ein schienengebundenes
Fahrzeug wie einen Zug. Bei dem Fahrzeug 1 kann es sich
allerdings auch um andere Fahrzeuge handeln, die über ein
internes geschlossenes Netz verfügen,
beispielsweise um Flugzeuge, Schiffe oder Kraftfahrzeuge.