[go: up one dir, main page]

EP3515785B1 - Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems - Google Patents

Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems Download PDF

Info

Publication number
EP3515785B1
EP3515785B1 EP17800401.6A EP17800401A EP3515785B1 EP 3515785 B1 EP3515785 B1 EP 3515785B1 EP 17800401 A EP17800401 A EP 17800401A EP 3515785 B1 EP3515785 B1 EP 3515785B1
Authority
EP
European Patent Office
Prior art keywords
vehicle
track
railway system
communication
cryptographic data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
EP17800401.6A
Other languages
English (en)
French (fr)
Other versions
EP3515785A1 (de
EP3515785C0 (de
Inventor
Oliver Schulz
Matthias Seifert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of EP3515785A1 publication Critical patent/EP3515785A1/de
Application granted granted Critical
Publication of EP3515785B1 publication Critical patent/EP3515785B1/de
Publication of EP3515785C0 publication Critical patent/EP3515785C0/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L3/00Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal
    • B61L3/02Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control
    • B61L3/08Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically
    • B61L3/12Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically using magnetic or electrostatic induction; using radio waves
    • B61L3/125Devices along the route for controlling devices on the vehicle or train, e.g. to release brake or to operate a warning signal at selected places along the route, e.g. intermittent control simultaneous mechanical and electrical control controlling electrically using magnetic or electrostatic induction; using radio waves using short-range radio transmission
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0018Communication with or on the vehicle or train
    • B61L15/0027Radio-based, e.g. using GSM-R
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L15/00Indicators provided on the vehicle or train for signalling purposes
    • B61L15/0072On-board train data handling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L23/00Control, warning or like safety means along the route or between vehicles or trains
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/40Handling position reports or trackside vehicle data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/50Trackside diagnosis or maintenance, e.g. software upgrades
    • B61L27/53Trackside diagnosis or maintenance, e.g. software upgrades for trackside elements or systems, e.g. trackside supervision of trackside control system conditions
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L27/00Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
    • B61L27/70Details of trackside communication
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B61RAILWAYS
    • B61LGUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
    • B61L2205/00Communication or navigation systems for railway traffic

Definitions

  • an Ethernet network connection can be set up between the respective control components and the respective local signal box, for example, so that the relevant signal components can communicate with each other and ensure the safety of railway operations.
  • the keys and certificates used for communication should or must be exchanged from time to time.
  • this due to the lack of a communication connection to a central office or central facility of the railway system, this is difficult or is only possible, for example, if appropriate maintenance work is carried out by maintenance personnel on site.
  • this has the disadvantage that it involves considerable costs and effort.
  • a system for transporting wayside data in a rail vehicle.
  • the system includes a wayside device positioned adjacent to a rail on which the rail vehicle travels along the rail.
  • the system includes a transceiver coupled to the wayside device to send and receive data related to the operation of the wayside device.
  • the system includes a transceiver coupled to the rail vehicle in communication with the wayside device transceiver when the rail vehicle travels within a close distance of the wayside device.
  • the rail vehicle transceiver sends or receives the data based on communication with the wayside transceiver.
  • the rail vehicle transports the data between the wayside device and a secondary location along a pre-existing route of the rail vehicle.
  • a method for transporting wayside data in a rail vehicle is also provided.
  • EP 1 220 094 A1 describes a method for programming a redundant target system with security requirements, in particular for inserting data records into system target computers.
  • a data generation system is used to generate a target data record that is encrypted and sent to the target computers of the target system via a data transmission system.
  • the data signals are then decrypted, stored and/or processed.
  • the procedure in document EP 0 997 807 A2 involves providing public and secret keys to each subsystem.
  • the subsystem designates a certification authority to certify the key's ownership of the subsystem with a certificate.
  • Each subsystem receives a key certificate and a certificate from the certification authority.
  • Each person involved in the production and testing of product software signs the product software and forwards the current signature with the secret key along with their own key certificate.
  • the certification authority creates and signs a tester list for each user.
  • the target computer accepts and terminates the product software, the linked list of signatures and the list of participants' key certificates, and the tester list.
  • WO 2012/136525 A1 describes a method for distributing communication keys for the encryption of traffic control messages of a rail vehicle safety system.
  • the present invention is based on the object of specifying a method for operating a railway system which enables a secure connection of trackside facilities of the railway system in a low-effort manner even in the event of a lack of communication connection.
  • This object is achieved according to the invention by a method according to claim 1 for operating a railway system, wherein cryptographic data comprising at least one key and/or at least one digital certificate are stored in a storage device of a vehicle of the railway system and the cryptographic data are transmitted by the vehicle to the at least one trackside device of the railway system when the vehicle is within communication range of at least one trackside device during a journey.
  • cryptographic data which comprise at least one key and/or at least one digital certificate, are thus stored in a storage device of a vehicle of the railway system.
  • the storage device is preferably a storage device of the vehicle in such a way that it is an integral part of the vehicle, i.e., for example, it is assigned to a control device, for example in the form of an on-board computer, of the vehicle.
  • the storage device can be merely connected for communication purposes to a corresponding control device of the vehicle.
  • the storage device can be, for example, a mobile storage medium, for example in the form of a USB stick or a mobile communication terminal, which is or will be connected to the control system of the vehicle when the vehicle is in operation.
  • the vehicle transmits the cryptographic data to at least one trackside facility of the railway system when it is within communication range of at least one trackside facility during a journey.
  • the vehicle thus serves as a means of transport with regard to the cryptographic data in that it transports the cryptographic data or the storage device in which the cryptographic data is stored to a location that is within communication range of the at least one trackside facility in question.
  • the term "communication range” is therefore understood to mean that communication between the vehicle and the at least one trackside facility is possible at the relevant distance or in the relevant area. This means in particular that within communication range, the cryptographic data can be transmitted to the at least one trackside facility using the relevant communication means.
  • the cryptographic data is transmitted to the at least one trackside device of the railway system when the vehicle has reached the communication range of the at least one trackside device during its journey or is within the communication range.
  • the transmission of the cryptographic data from the vehicle to the at least one trackside device preferably takes place as part of a regular journey of the vehicle, which means that an additional journey is not necessary just for the transport of the storage device or the transmission of cryptographic data is avoided.
  • the method according to the invention is advantageous because it enables a low-effort and therefore cost-effective connection of trackside facilities of a railway system, even those located in remote locations, to a central facility of the same in that cryptographic data is transmitted from the central facility or control center to the respective trackside facility by means of a vehicle of the railway system.
  • the vehicle or its storage device can thus advantageously be used to transport the cryptographic data, whereby decentralized communication facilities with a comparatively small communication range can be used.
  • the storage device with the cryptographic data is transported from the vehicle to a location that is within the transmission range of the at least one trackside device. At this location or in a corresponding area, the cryptographic data is then transmitted from the vehicle to the at least one trackside device to ensure secure communication in the subsequent period.
  • a "vehicle-connected" or "train-connected” public key infrastructure in which communication between a central device, which can also be referred to as the central communication infrastructure, and decentralized signaling systems is implemented without connection to the central communication infrastructure using vehicles of the railway system.
  • the method according to the invention advantageously runs automatically in such a way that no manual actions or interventions are required to transmit the cryptographic data.
  • the vehicle can be any type of vehicle within the scope of the method according to the invention.
  • methods with multiple communication steps are implemented by means of at least one further journey of the vehicle or at least one further vehicle.
  • CMP Certificate Management Protocol
  • the cryptographic data are transmitted wirelessly, in particular radio-based, from the vehicle to the at least one trackside device.
  • wireless and “radio-based” are to be understood in such a way that at least a section of a communication connection between the vehicle and the at least one trackside device is implemented accordingly. As a rule, this will relate in particular to a section of a communication connection with the at least one trackside device that starts from the vehicle.
  • the wireless transmission of the cryptographic data from the vehicle to the at least one trackside device can also, for example, be a transmission using optical means.
  • the rails could also be used as a transport medium, in which case at least the section between the vehicle and the rails would be wireless. Due to their particular robustness and often already existing However, in terms of availability, radio-based transmission of cryptographic data will generally be preferred. It is sufficient if the radio system used allows transmission over short to medium distances, e.g. a few hundred meters. The only important thing here is that the transmission range is sufficiently dimensioned to ensure reliable transmission of cryptographic data from the vehicle to at least one trackside facility of the railway system.
  • the method according to the invention can advantageously also be designed in such a way that the cryptographic data is transmitted from a central device of a public key infrastructure of the railway system to the vehicle and is stored by the vehicle in the storage device.
  • a corresponding central device can be, for example, a component in the form of a certification authority or a registration authority.
  • the term "central" device is to be understood in contrast to the at least one trackside device in such a way that the central device of the public key infrastructure of the railway system is connected to a central communication infrastructure of the railway system, while this is not the case for the at least one trackside device.
  • the transmission of the cryptographic data from the device to the vehicle is also advantageously wireless, i.e. in particular radio-based. This also supports or ensures an automated, computer-controlled process with regard to the storage of the cryptographic data in the storage device.
  • the method according to the invention can also be further developed in such a way that additional information is provided to the vehicle, which comprises at least one of the following parameters: Identity of the at least one trackside Facility, communication address of the at least one trackside facility, location of the at least one trackside facility, size of the communication range, location of a respective route on or from which the cryptographic data is to be transmitted from the vehicle to the at least one trackside facility.
  • additional information is provided to the vehicle, which comprises at least one of the following parameters: Identity of the at least one trackside Facility, communication address of the at least one trackside facility, location of the at least one trackside facility, size of the communication range, location of a respective route on or from which the cryptographic data is to be transmitted from the vehicle to the at least one trackside facility.
  • the relevant parameters relate in particular to information which enables or facilitates the vehicle to establish a communication connection with the at least one trackside facility or informs the vehicle where the at least one trackside facility is located. This thus enables targeted communication between the vehicle and the at least one trackside facility.
  • the at least one trackside device to which the cryptographic data is transmitted is directly the component for which the cryptographic data is intended. In this case, no further distribution or forwarding of the cryptographic data is required on the trackside.
  • a local administration facility of the railway system is used as the trackside facility and the cryptographic data is distributed by the local administration facility to at least one other local component of the railway system.
  • the local management facility of the railway system can be, for example, a local registration authority or a local certification authority of a public key infrastructure, which manages one or more other local components of the railway system, for example with regard to the distribution of digital certificates.
  • the other local components can be designed, for example, as signaling security devices, ie, for example, as element controllers.
  • the cryptographic data can be transmitted from the vehicle to the at least one trackside device while it is at a standstill.
  • Such a procedure can be useful, for example, if the vehicle needs to stop or is stopped in the vicinity of the at least one trackside device anyway. This can be the case, for example, if the trackside device is located in the area of a siding and the vehicle has to stop at the relevant location anyway to let an oncoming vehicle pass.
  • the cryptographic data are transmitted from the vehicle to the at least one trackside device during the journey.
  • the cryptographic data are thus transmitted to the at least one trackside device while the vehicle is driving past it.
  • the corresponding transmission takes place while the vehicle and the at least one trackside device are within communication range of each other as the vehicle passes by, without the vehicle being braked or stopped for this purpose.
  • the method according to the invention can advantageously also be designed in such a way that the cryptographic data is transmitted from the vehicle to the at least one trackside device in an encrypted or otherwise secured manner. This ensures that the transmission of the cryptographic data as such also meets the usual security requirements and, in particular, that falsification of the cryptographic data is reliably excluded.
  • it can also be secured in another way, for example by embedding the cryptographic data in intrinsically secure containers.
  • the method according to the invention can advantageously also be designed in such a way that data is transmitted from the trackside device or at least one of the trackside devices to the vehicle or another vehicle that is within the communication range at the given time, the transmitted data is stored in the storage device of the vehicle in question and is forwarded by the vehicle in question outside the communication range of the at least one trackside device to a central device of the railway system.
  • the method according to the invention can therefore also be further developed in such a way that data is transmitted from the trackside device or at least one of the trackside devices to a central device of the railway system by means of the vehicle.
  • the relevant data is transmitted from the respective trackside device to the vehicle or to another vehicle that is within the communication range at the given time, and from there forwarded to the central device of the railway system outside the communication range of the at least one trackside device.
  • the transmission of the data from the respective trackside device to the vehicle can take place on the one hand in temporal connection with the transmission of the cryptographic data from the vehicle to the at least one trackside device. This means that the data can be transmitted simultaneously with the cryptographic data in the opposite direction or sequentially immediately after or even before the cryptographic data has been transmitted.
  • the data from the trackside device can be transmitted to the vehicle or the other vehicle that is in the reception area at the given time at a different time from the transmission of the cryptographic data.
  • the data can be data or information of any type. This includes further cryptographic data or data related to cryptographic procedures as well as recorded diagnostic data or notes or messages concerning security-relevant events.
  • the invention further relates to a vehicle of a railway system.
  • the present invention is based on the object of specifying a vehicle of a railway system which enables a secure connection of trackside facilities of the railway system in a low-cost manner even in the event of a lack of communication connection.
  • a vehicle according to claim 9 of a railway system with a storage device in which cryptographic data are stored, which comprise at least one key and/or at least one digital certificate, a control device for detecting that the vehicle is within communication range of at least one trackside device of the railway system during a journey, and a communication device for transmitting the cryptographic data to the at least one trackside device.
  • methods with multiple communication steps are implemented by means of at least one further journey of the vehicle.
  • CMP Chip Management Protocol
  • the vehicle according to the invention can be designed such that the communication device for wireless, in particular radio-based, transmission of the cryptographic data from the vehicle to the at least one trackside device.
  • the invention further comprises a railway system according to claim 11 with at least one vehicle according to the invention or at least one vehicle according to the preferred development of the vehicle according to the invention and with a central device which is designed to transmit the cryptographic data to the vehicle, wherein the vehicle is designed to store the cryptographic data in the storage device.
  • methods with multiple communication steps are implemented in the railway system by means of at least one further journey of the vehicle or at least one further vehicle.
  • CMP Chip Management Protocol
  • the railway system according to the invention can also be further developed in such a way that the railway system is designed to provide the vehicle with additional information which comprises at least one of the following parameters: Identity the at least one trackside device, communication address of the at least one trackside device, location of the at least one trackside device, size of the communication range, location of a respective route on or from which the cryptographic data are to be transmitted from the vehicle to the at least one trackside device.
  • the trackside device is a local management device of the railway system and the local management device is designed to distribute the cryptographic data to at least one further local component of the railway system.
  • FIG. 1 shows in a first schematic representation to explain an embodiment of the method according to the invention an embodiment of the railway system according to the invention with an embodiment of the vehicle according to the invention.
  • a railway system 10 is shown which, on the one hand, comprises a central facility 20, which can also be referred to as a central communications infrastructure or as a control center.
  • the central facility 20 comprises a central administration and/or control facility 21, which is used to manage and/or control the railway system 10.
  • a registration authority 22 in English, RA
  • a certification authority 23 in English, CA
  • the certificates issued within the public key infrastructure are used within the railway system 10 to secure computer-based communication.
  • the central device 20 of the railway system 10 further comprises a central communication device 24, which in the embodiment shown provides or enables radio-based communication.
  • the components 21, 22, 23 and 24 of the central device 20 of the railway system 10 are connected to one another directly or indirectly, wirelessly or by wire by means of communication technology.
  • Figure 1 An architecture is shown by way of example in which the registration authority 22 and the certification authority 23 are connected directly to one another and indirectly via the central communication device 24 to the central administration and/or control device 21.
  • the railway system 10 also comprises a decentralized device 30, which in the context of the described embodiment comprises components which, with respect to a track 50, i.e. a track or rails, control a passing place or a siding 51 or monitor it by signaling in such a way that encounters between vehicles on the track 50 are excluded or vehicles encountering each other on the track 50 in the form of the single-track section can pass each other at the passing place 51.
  • a decentralized device 30 which in the context of the described embodiment comprises components which, with respect to a track 50, i.e. a track or rails, control a passing place or a siding 51 or monitor it by signaling in such a way that encounters between vehicles on the track 50 are excluded or vehicles encountering each other on the track 50 in the form of the single-track section can pass each other at the passing place 51.
  • the decentralized device 30 in the embodiment shown comprises a signaling security device 31, which can be, for example, an element controller controlling a signal and/or a switch, and a local administration device 32, which can be designed, for example, as a local registration authority or as a local certification authority, ie also forms a component of the public key infrastructure.
  • a signaling security device 31 can be, for example, an element controller controlling a signal and/or a switch
  • a local administration device 32 which can be designed, for example, as a local registration authority or as a local certification authority, ie also forms a component of the public key infrastructure.
  • the local administration facility 32 is connected to a decentralized communication facility 33 in the form of a radio transmission facility and together with this forms a trackside facility 35.
  • the decentralized device 30, which can also be referred to as a signal box island, can have further components that are Figure 1 are not shown for reasons of clarity. This applies, for example, to a decentralized interlocking system and, if necessary, other signaling safety devices, which are preferably also connected to one another via communication technology.
  • the decentralized device 30 is located at a location that is far away from the central device 20 of the railway system 10 and to which there is no communication connection. This can, for example, apply to the case of mine railways that travel in large, isolated areas, the communication development of which for the purpose of connecting the decentralized device 30 to the central device 20 would incur disproportionately high costs or is not practical or possible for other reasons. Even if the decentralized device 30 can independently ensure signaling security in the area of the passing point 51, the problem with regard to the cryptosystem used is that, due to the lack of a communication connection, Connection to the central facility 20 means that updating or exchanging cryptographic data of the decentralized facility 30, in particular in the form of keys and/or certificates, is not easily possible. Although corresponding cryptographic data could be updated or exchanged by maintenance personnel as part of maintenance measures, this would require the maintenance personnel to travel to the relevant location and would therefore be comparatively expensive and complex.
  • a vehicle 40 of the railway system 10 can now advantageously be used as part of an automated process.
  • This has a vehicle-side control device 41, a vehicle-side storage device 42 and a vehicle-side communication device 43.
  • the communication device 43 is also designed for radio-based communication in such a way that radio-based data transmission is possible between the decentralized communication device 33 and the vehicle-side communication device 43.
  • the communication or transmission range resulting from the communication devices and communication protocols used and the type of data transmission is indicated in Figure 1 in the form of a reception area 34 of the decentralized communication device 32.
  • the decentralized communication device 32 only has a short or medium (transmission) range and therefore a communication connection between the vehicle-side communication device 43 and the decentralized communication device 33 can only be established within the circular reception area 34.
  • whose radius can be, for example, a hundred meters or a few hundred meters.
  • Cryptographic data comprising at least one key and/or at least one digital certificate are stored in the storage device 42 of the vehicle 40. If the vehicle 40, which is moving in a direction of travel 45, approaches the decentralized device 30 in such a way that it is within communication range of the decentralized communication device 33, so that communication between the decentralized communication device 33 and the vehicle-side communication device 43 is possible, the cryptographic data can be read from the storage device 42 and transmitted via the decentralized communication device 33 to the trackside device 35 or the local management device 32 of the same.
  • the control device 41 of the vehicle 40 is designed to detect that the vehicle 40 has sufficiently approached the trackside device during its journey.
  • control device 41 can preferably also use additional information stored in the storage device 42, which preferably includes as a characteristic at least the identity of the at least one trackside device, a communication address of the at least one trackside device, the location of the at least one trackside device, the size or amount of the communication range and/or the location of the route 50 on or from which the cryptographic data are to be transmitted from the vehicle 40 to the trackside device 35.
  • the vehicle 40 or its storage device 42 can thus advantageously be used to transport the cryptographic data, whereby a decentralized communication device 33 with a comparatively small communication range can advantageously be used, in particular by the decentralized device 30.
  • the cryptographic data can be transmitted, for example, by the registration office 22, the certification office 23 or the central administration and/or control device 21 of the central facility 20, to the vehicle 40, for example also by radio, and stored by the latter in the storage device 42 after receipt by the vehicle-side communication device 43 via the control device 41.
  • This step therefore takes place at a time which corresponds to the Figure 1 situation shown, ie at an earlier point in time when the vehicle 40 is even closer to the central facility 20, so that a corresponding radio-based transmission is possible.
  • the vehicle 40 has approached the trackside facility just enough for the cryptographic data to be transmitted from the vehicle 40 to the trackside facility 35.
  • the cryptographic data can then be distributed from the local management facility 32 to at least one other local component of the railway system 10 in the form of the signaling security device 31 and any other signaling security devices that may be present.
  • the transmission or communication of the cryptographic data from the vehicle 40 to the trackside facility 35 or the local management facility 32 of the same advantageously takes place while the vehicle 40 is traveling, so that it is not necessary to slow down or interrupt the travel of the vehicle 40. This means that the cryptographic data is transmitted without affecting the normal operation of the vehicle 40.
  • the transmission of the cryptographic data from the vehicle 40 to the at least one trackside facility is advantageously encrypted or otherwise secured, so that Attacks or falsification of the cryptographic data are excluded.
  • Figure 2 shows a second schematic representation for further explanation of the embodiment of the method according to the invention.
  • the representation of the Figure 2 corresponds to a flow chart, whereby on the left side the central device 20 of the railway system is shown, which according to the embodiment of the Figure 1 the central administration and/or control facility 21, the registration authority 22, the certification authority 23 and the central communication facility 24.
  • the decentralized device 30 which, according to the embodiment of the Figure 1 the trackside device 35 and the signalling safety device 31.
  • Figure 2 Further signalling safety devices 31a and 31b are indicated.
  • a transmission of cryptographic data from the central device 20 to the decentralized device 30 can now be carried out, for example, in such a way that the relevant cryptographic data is transmitted, for example, from the certification body 23 in a message 60 to the central communication device 24.
  • the cryptographic data is transmitted from the central communication device 24 in a message 61 via radio to the vehicle-side communication device 43 of the vehicle 40 and stored in the storage device 42 with the interposition of the control device 41.
  • the vehicle 40 then travels in the direction of travel 45 in the direction of the decentralized device 30 and at some point reaches the communication range of the trackside device 35. This is detected by the control device 41, whereupon the cryptographic data is transmitted in a message 62 via radio to the trackside device 35, which receives it as a message 63.
  • the cryptographic data or the parts of the data relevant to the respective component are transmitted from the trackside device 35 to the signaling security devices 31, 31a and 31b with the messages 64, 65 and 66. This subsequently enables them to continue to communicate with each other securely based on updated or exchanged keys and/or certificates, which in Figure 2 indicated by messages 67, 68 and 69.
  • Figure 3 shows a third schematic representation to explain a further embodiment of the method according to the invention.
  • the representation of the Figure 3 essentially corresponds to that of the Figure 2 , whereby a separate representation of the individual components has been omitted with regard to the central device 20. This is intended to indicate that these components as such can be designed differently.
  • a communication exchange takes place between the signalling safety device 31 and the other signalling safety devices 31a, 31b and the trackside device 35 (or the local administrative device 32 thereof) by means of messages 80, 81 and 82. These can be, for example, requests within the framework of procedures the public key infrastructure, which are answered by the trackside device 35 in the form of messages 83, 84 and 85. Subsequently, the signaling security devices 31, 31a and 31b exchange messages 86, 87, 88 and 89 with each other, which are secured using keys and digital certificates.
  • data or an information request 71 is now transmitted from the trackside device 35 to the vehicle 40.
  • this takes place in return for a transmission of cryptographic data from the vehicle 40 to the local management device 32, as previously described in connection with Figure 2 has been explained.
  • this can also be carried out at a time decoupled from the corresponding transmission of cryptographic data and the information request 71 can also be transmitted to another vehicle of the railway system 10.
  • the information request can relate to cryptographic methods or implement corresponding methods, ie, for example, request an update of certificates, or be detached from cryptographic methods, ie, for example, concern a transmission of diagnostic data.
  • the transmitted data are stored in the storage device 42 of the vehicle 40 and forwarded by the vehicle 40 outside the transmission range of the trackside device 35 to the central device 20 of the railway system 10.
  • This is indicated by messages 92 and 93.
  • the central device 20 exchanges communication in the form of messages 95 and 96, while at the same time the decentralized device 30 exchanges messages 97 and 98.
  • the central device 20 With a message 99, the central device 20 then transmits an information response 72 to another vehicle 40a, which is therefore not the Vehicle 40.
  • the additional vehicle 40a has, analogously to the vehicle 40, a further control device 41a, a further storage device 42a and a further communication device 43a and moves in a direction of travel 45a in the direction of the decentralized device 30.
  • the additional vehicle 41a transmits the information response 72 by means of messages 100/101 to the trackside device 35 or the local administration device thereof.
  • methods with several communication steps for example in the form of updating certificates or transmitting a certificate revocation list, can thus also be carried out by several journeys of vehicles 40, 40a. This also makes it possible to implement complex handshake procedures, for example.
  • the corresponding data transported with the vehicles 40, 40a is in turn secured, for example by using a transport key.
  • the vehicle according to the invention and the railway system according to the invention have the particular advantage that they enable a transmission of cryptographic data in particular from a central station to decentralized trackside facilities even in cases where these have no direct communication connection.
  • the corresponding data is automatically transported by vehicles or trains using storage devices installed in them.
  • the relevant data is then transmitted or downloaded at the respective remote location.
  • Data, so that a maintenance team on site is advantageously not required.
  • These processes can advantageously run completely automatically and do not require any maintenance. This also enables high-frequency key exchange, which can increase IT security without incurring additional costs.
  • feedback on the status of the local IT security at the remote location can continue to be provided to the head office.

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

  • Moderne Systemkomponenten der Eisenbahnsignalisierung werden heutzutage häufig mit Netzwerken, etwa gemäß dem Ethernet-Standard, miteinander vernetzt. Dies hat zur Folge, dass entsprechende Netzwerke Sicherheitsbedrohungen, beispielsweise in Form von Hacker-Angriffen, ausgesetzt sind. Im Extremfall könnten entsprechende Angriffe zu Gefährdungen des sicheren Betriebs von Eisenbahnsystemen und damit auch der diese nutzenden Menschen führen. Um beispielsweise ungültige Beeinflussungen z.B. einer Weiche oder eines Eisenbahnsignals oder eine Manipulation von Sensordaten erkennen beziehungsweise vermeiden zu können, werden in bekannten Systemarchitekturen üblicherweise Verschlüsselungs- und Authentisierungsverfahren eingesetzt. Üblicherweise müssen dabei die beispielsweise im Rahmen einer Public-Key-Infrastruktur für entsprechende Verfahren erforderlichen Schlüssel und Zertifikate in regelmäßigen zeitlichen Abständen gewechselt werden, damit ein potenzieller Angreifer nicht durch eine Langzeitbeobachtung oder umfangreiche Rechenoperationen das Schlüssel- beziehungsweise Zertifikatsgeheimnis erforschen kann.
  • In der Praxis kann die Situation auftreten, dass in einem Projekt Signalanlagen weit entfernt von einem zentralen Ort aufgebaut werden müssen und eine Anbindung der betreffenden Signalanlagen an eine zentrale Kommunikationsinfrastruktur des betreffenden Eisenbahnsystems beispielsweise aus Kostengründen oder auch aus anderen Gründen ausscheidet. Dies kann beispielsweise bei Minenbahnen in großen einsamen Gebieten oder anderen nicht per Kommunikationstechnik angebundenen Orten der Fall sein. In entsprechenden Situationen besteht eine Möglichkeit darin, so genannte "Stellwerksinseln" einzurichten, die beispielsweise aus mehreren Steuerkomponenten, etwa in Form so genannter Element-Controller, und/oder einer lokalen Stellwerkseinrichtung bestehen können. Als Beispiel für entsprechende Orte seien so genannte "Sidings" genannt, d.h. Ausweichstellen beziehungsweise Nebengleise, an denen sich bei einspurigen Strecken entgegenkommende Züge gefahrlos begegnen können. Üblicherweise befindet sich an entsprechenden dezentralen, häufig abgelegenen Orten auch keine Aufsichtsperson, d.h. die Einrichtungen beziehungsweise Anlagen regeln die Sicherheit vollautomatisch. Hierzu kann zwischen den jeweiligen Steuerkomponenten und dem jeweiligen lokalen Stellwerk beispielsweise eine Ethernet-Netzwerkverbindung eingerichtet werden, damit die betreffenden Signalkomponenten miteinander kommunizieren und die Sicherheit des Eisenbahnbetriebs gewährleisten können. Auch in einer solchen Situation sollten beziehungsweise müssen die im Rahmen der Kommunikation verwendeten Schlüssel und Zertifikate von Zeit zu Zeit ausgetauscht werden. Mangels einer kommunikationstechnischen Verbindung zu einer Zentrale beziehungsweise zentralen Einrichtung des Eisenbahnsystems gestaltet sich dies jedoch schwierig beziehungsweise ist beispielsweise lediglich dadurch möglich, dass eine entsprechende Wartungsmaßnahme durch Wartungspersonal vor Ort durchgeführt wird. Dies hat jedoch den Nachteil, dass hiermit erhebliche Kosten und Aufwände verbunden sind.
  • In Dokument US 2009 212 168 A1 wird ein System zum Transport von streckenseitigen Daten in einem Schienenfahrzeug bereitgestellt. Das System umfasst eine streckenseitige Vorrichtung, die benachbart zu einer Schiene positioniert ist, auf der das Schienenfahrzeug entlang der Schiene fährt. Das System enthält einen Transceiver, der mit dem streckenseitigen Gerät gekoppelt ist, um Daten zu senden und zu empfangen, die sich auf den Betrieb des streckenseitigen Geräts beziehen. Zusätzlich umfasst das System einen Transceiver, der mit dem Schienenfahrzeug in Kommunikation mit dem Transceiver der streckenseitigen Vorrichtung gekoppelt ist, wenn das Schienenfahrzeug innerhalb eines nahen Abstands von der streckenseitigen Vorrichtung fährt. Der Schienenfahrzeug-Sendeempfänger sendet oder empfängt die Daten basierend auf der Kommunikation mit dem Streckensendeempfänger. Das Schienenfahrzeug transportiert die Daten zwischen dem streckenseitigen Gerät und einem sekundären Ort entlang einer vorbestehenden Route des Schienenfahrzeugs. Es wird auch ein Verfahren zum Transport von streckenseitigen Daten in einem Schienenfahrzeug bereitgestellt.
  • In Dokument EP 1 220 094 A1 wird ein Verfahren zum Programmieren eines redundanten Zielsystems mit Sicherheitsanforderungen, insbesondere zum Einfügen von Datensätzen in Systemzielrechner, beschrieben. Es wird ein Datenerzeugungssystem verwendet, um einen Zieldatensatz zu erzeugen, der verschlüsselt und über ein Datenübertragungssystem an die Zielcomputer des Zielsystems gesendet wird. Die Datensignale werden dann entschlüsselt, gespeichert und/oder verarbeitet.
  • Das Verfahren in Dokument EP 0 997 807 A2 umfasst die Bereitstellung öffentlicher und geheimer Schlüssel für jedes Subsystem. Das Subsystem bestimmt eine Zertifizierungsinstanz, um die Zugehörigkeit des Schlüssels zum Subsystem mit einem Zertifikat zu zertifizieren. Jedes Subsystem erhält von der Zertifizierungsstelle ein Schlüsselzertifikat und ein Zertifikat. Jede Person, die an der Produktion und dem Testen von Produktsoftware beteiligt ist, unterzeichnet die Produktsoftware und leitet die aktuelle Signatur mit dem geheimen Schlüssel zusammen mit ihrem eigenen Schlüsselzertifikat weiter. Die Zertifizierungsstelle erstellt für jeden Benutzer eine Testerliste und signiert diese. Der Zielcomputer akzeptiert und beendet die Produktsoftware, die verkettete Liste der Signaturen und die Liste der Schlüsselzertifikate der Teilnehmer und die Testerliste.
  • Das Dokument WO 2012/136525 A1 beschreibt ein Verfahren zum Verteilen von Kommunikationsschlüsseln für die Verschlüsselung von Verkehrsleitmeldungen eines Schienenfahrzeugsicherungssystems.
  • Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Betreiben eines Eisenbahnsystems anzugeben, das auch im Falle einer fehlenden Kommunikationsanbindung eine sichere Anbindung von streckenseitigen Einrichtungen des Eisenbahnsystems auf aufwandsarme Art und Weise ermöglicht.
  • Diese Aufgabe wird erfindungsgemäß gelöst durch ein Verfahren gemäß Anspruch 1 zum Betreiben eines Eisenbahnsystems, wobei kryptographische Daten, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen, in einer Speichereinrichtung eines Fahrzeugs des Eisenbahnsystems abgelegt werden und von dem Fahrzeug, wenn sich dieses im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer streckenseitigen Einrichtung aufhält, die kryptographischen Daten an die zumindest eine streckenseitige Einrichtung des Eisenbahnsystems übermittelt werden.
  • Gemäß dem ersten Schritt des erfindungsgemäßen Verfahrens zum Betreiben eines Eisenbahnsystems werden somit kryptographische Daten, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen, in einer Speichereinrichtung eines Fahrzeugs des Eisenbahnsystems abgelegt. Dies bedeutet, dass die entsprechenden kryptographischen Daten in der Speichereinrichtung des Fahrzeugs gespeichert werden. Dabei handelt es sich bei der Speichereinrichtung vorzugsweise derart um eine Speichereinrichtung des Fahrzeugs, dass sie fester Bestandteil des Fahrzeugs ist, d.h. beispielsweise einer Steuereinrichtung, etwa in Form eines Bordcomputers, des Fahrzeugs zugeordnet ist. Alternativ hierzu ist es jedoch auch möglich, dass die Speichereinrichtung lediglich kommunikationstechnisch an eine entsprechende Steuereinrichtung des Fahrzeugs angebunden ist. Im letzteren Fall kann es sich bei der Speichereinrichtung beispielsweise um ein mobiles Speichermedium, etwa in Form eines USB-Sticks oder eines mobilen Kommunikationsendgeräts handeln, das im Fahrbetrieb des Fahrzeugs an das Steuerungssystem des Fahrzeugs angebunden ist beziehungsweise wird.
  • Gemäß dem zweiten Schritt des erfindungsgemäßen Verfahrens werden von dem Fahrzeug, wenn sich dieses im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer streckenseitigen Einrichtung aufhält, die kryptographischen Daten an zumindest eine streckenseitige Einrichtung des Eisenbahnsystems übermittelt. Das Fahrzeug dient somit dahingehend in Bezug auf die kryptographischen Daten als Transportmittel, dass es die kryptographischen Daten beziehungsweise die Speichereinrichtung, in der die kryptographischen Daten gespeichert sind, an einen Ort transportiert, der in Kommunikationsreichweite zu der betreffenden zumindest einen streckenseitigen Einrichtung liegt. Damit wird unter dem Begriff "Kommunikationsreichweite" verstanden, dass in dem betreffenden Abstand beziehungsweise in dem betreffenden Bereich eine Kommunikation zwischen dem Fahrzeug und der zumindest einen streckenseitigen Einrichtung möglich ist. Dies bedeutet insbesondere, dass in Kommunikationsreichweite eine Übermittlung beziehungsweise Übertragung der kryptographischen Daten mittels des betreffenden Kommunikationsmittels an die zumindest eine streckenseitige Einrichtung möglich ist. Sofern dies für eine entsprechende Übermittlung im jeweiligen Einzelfall erforderlich ist, kann dies weiterhin bedeuten, dass in der Kommunikationsreichweite auch eine Übermittlung von Daten beziehungsweise Nachrichten von der zumindest einen streckenseitigen Einrichtung an das Fahrzeug möglich ist. Unabhängig von der konkreten Ausgestaltung der Datenübermittlung werden die kryptographischen Daten, wenn das Fahrzeug im Rahmen seiner Fahrt die Kommunikationsreichweite zu der zumindest einen streckenseitigen Einrichtung erreicht hat beziehungsweise sich innerhalb der Kommunikationsreichweite aufhält, an die zumindest eine streckenseitige Einrichtung des Eisenbahnsystems übermittelt. Dabei geschieht die Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung vorzugsweise im Rahmen einer regulären Fahrt des Fahrzeugs, wodurch eine zusätzliche Fahrt allein für den Transport der Speichereinrichtung beziehungsweise das Übermitteln der kryptographischen Daten vermieden wird.
  • Das erfindungsgemäße Verfahren ist vorteilhaft, da es eine aufwandsarme und damit kostengünstige Anbindung auch an entlegenen Orten angeordneter streckenseitiger Einrichtungen eines Eisenbahnsystems an eine zentrale Einrichtung desselben dahingehend ermöglicht, dass mittels eines Fahrzeugs des Eisenbahnsystems kryptographische Daten von der zentralen Einrichtung beziehungsweise Zentrale an die jeweilige streckenseitige Einrichtung übermittelt werden. Damit kann das Fahrzeug beziehungsweise dessen Speichereinrichtung vorteilhafterweise zum Transport der kryptographischen Daten verwendet werden, wodurch dezentrale Kommunikationseinrichtungen mit vergleichsweise kleiner Kommunikationsreichweite verwendet werden können.
  • Hierzu wird die Speichereinrichtung mit den kryptographischen Daten von dem Fahrzeug an einen Ort transportiert, der in der Übertragungsreichweite der zumindest einen streckenseitigen Einrichtung liegt. An diesem Ort oder in einem entsprechenden Bereich werden die kryptographischen Daten dann von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung zur Gewährleitung einer gesicherten Kommunikation in der Folgezeit übermittelt. Im Ergebnis wird es hiermit ermöglicht, eine "fahrzeugverbundene" beziehungsweise "zugverbundene" Public-Key-Infrastruktur zu realisieren, bei der die Kommunikation zwischen einer zentralen Einrichtung, die auch als zentrale Kommunikationsinfrastruktur bezeichnet werden kann, und dezentralen signaltechnischen Anlagen ohne Anbindung an die zentrale Kommunikationsinfrastruktur mittels Fahrzeugen des Eisenbahnsystems realisiert wird. Vorteilhafterweise läuft das erfindungsgemäße Verfahren hierbei dahingehend automatisch ab, dass zwecks Übermittlung der kryptographischen Daten keine manuellen Handlungen oder Eingriffe erforderlich sind. Bei dem Fahrzeug kann es sich im Rahmen des erfindungsgemäßen Verfahrens um ein Fahrzeug beliebiger Art handeln.
  • Dies schließt insbesondere Fahrzeuge in Form von Lokomotiven, Triebfahrzeugen und Zügen ein, wobei es sich bei den Zügen sowohl um Personen- als auch um Güterzüge handeln kann.
  • Erfindungsgemäß werden Verfahren mit mehreren Kommunikationsschritten, etwa in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, mittels zumindest einer weiteren Fahrt des Fahrzeugs oder zumindest eines weiteren Fahrzeugs realisiert. Dies bedeutet, dass auch komplexere Verfahren beziehungsweise Kommunikationsabläufe, etwa in Form von "Handshake"-Verfahren, beispielsweise gemäß dem "Certificate Management Protocol" (CMP), unter Verwendung von Fahrzeugen zwecks Übermittlung der betreffenden Daten beziehungsweise Nachrichten realisiert werden können. Dabei kann dies mittels Fahrten sowohl desselben Fahrzeugs als auch mittels Fahrten unterschiedlicher Fahrzeuge geschehen.
  • Gemäß einer besonders bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens werden die kryptographischen Daten von dem Fahrzeug drahtlos, insbesondere funkbasiert an die zumindest eine streckenseitige Einrichtung übermittelt. Dabei sind die Begriffe "drahtlos" und "funkbasiert" so zu verstehen, dass zumindest ein Teilstück einer Kommunikationsverbindung zwischen dem Fahrzeug und der zumindest einen streckenseitigen Einrichtung entsprechend realisiert ist. In der Regel wird dies insbesondere eine von dem Fahrzeug ausgehende Strecke beziehungsweise Teilstrecke einer Kommunikationsverbindung mit der zumindest einen streckenseitigen Einrichtung betreffen. Bei der drahtlosen Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung kann es sich neben einer funkbasierten Übertragung grundsätzlich beispielsweise auch um eine Übertragung mit optischen Mitteln handeln. Darüber hinaus könnten auch die Schienen als Transportmedium verwendet werden, in welchem Fall zumindest die Teilstrecke zwischen dem Fahrzeug und den Schienen drahtlos ausgebildet wäre. Aufgrund ihrer besonderen Robustheit und häufig ohnehin bereits gegebenen Verfügbarkeit wird jedoch in der Regel eine funkbasierte Übermittlung der kryptographischen Daten zu bevorzugen sein. Dabei ist es ausreichend, wenn das verwendete Funksystem eine Übertragung beziehungsweise Übermittlung über kurze bis mittlere Entfernungen, d.h. beispielsweise einige hundert Meter, erlaubt. Von Bedeutung ist hierbei lediglich, dass die Übertragungsreichweite dahingehend ausreichend dimensioniert ist, dass eine zuverlässige Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung des Eisenbahnsystems gewährleistet ist.
  • Vorteilhafterweise kann das erfindungsgemäße Verfahren auch derart ausgestaltet sein, dass die kryptographischen Daten von einer zentralen Einrichtung einer Public-Key-Infrastruktur des Eisenbahnsystems an das Fahrzeug übermittelt und von dem Fahrzeug in der Speichereinrichtung abgelegt werden. Bei einer entsprechenden zentralen Einrichtung kann es sich beispielsweise um eine Komponente in Form einer Zertifizierungsstelle oder einer Registrierungsstelle handeln. Dabei ist der Begriff "zentrale" Einrichtung in Abgrenzung zu der zumindest einen streckenseitigen Einrichtung derart zu verstehen, dass die zentrale Einrichtung der Public-Key-Infrastruktur des Eisenbahnsystems an eine zentrale Kommunikationsinfrastruktur des Eisenbahnsystems angebunden ist während dies für die zumindest eine streckenseitige Einrichtung gerade nicht der Fall ist. Die Übermittlung der kryptographischen Daten von der Einrichtung an das Fahrzeug erfolgt vorteilhafterweise ebenfalls drahtlos, d.h. insbesondere funkbasiert. Hierdurch wird somit auch in Bezug auf das Ablegen der kryptographischen Daten in der Speichereinrichtung ein automatisierter, rechnergesteuerter Ablauf unterstützt beziehungsweise gewährleistet.
  • Vorzugsweise kann das erfindungsgemäße Verfahren auch derart weitergebildet sein, dass dem Fahrzeug Zusatzinformationen bereitgestellt werden, die zumindest eine der folgenden Kenngrößen umfassen: Identität der zumindest einen streckenseitigen Einrichtung, Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung, Ort der zumindest einen streckenseitigen Einrichtung, Größe der Kommunikationsreichweite, Ort einer jeweiligen Fahrstrecke, an oder ab der die kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung zu übermitteln sind. Diese Ausführungsform des erfindungsgemäßen Verfahrens weist den Vorteil auf, dass die genannten Zusatzinformationen geeignet sind, eine zuverlässige beziehungsweise reibungslose Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung sicherzustellen. So beziehen sich die betreffenden Kenngrößen insbesondere auf solche Informationen, welche dem Fahrzeug den Aufbau einer Kommunikationsverbindung mit der zumindest einen streckenseitigen Einrichtung ermöglichen beziehungsweise erleichtern beziehungsweise das Fahrzeug darüber informieren, wo die zumindest eine streckenseitige Einrichtung angeordnet ist. Hierdurch wird somit eine zielgerichtete Kommunikation zwischen dem Fahrzeug und der zumindest einen streckenseitigen Einrichtung ermöglicht.
  • Im Rahmen des erfindungsgemäßen Verfahrens besteht grundsätzlich die Möglichkeit, dass es sich bei der zumindest einen streckenseitigen Einrichtung, an die die kryptographischen Daten übermittelt werden, unmittelbar um die Komponente handelt, für welche die kryptographischen Daten bestimmt sind. In diesem Fall ist somit streckenseitig keine Weiterverteilung beziehungsweise Weiterleitung der kryptographischen Daten erforderlich.
  • Gemäß einer weiteren besonders bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird als streckenseitige Einrichtung eine lokale Verwaltungseinrichtung des Eisenbahnsystems verwendet und die kryptographischen Daten werden von der lokalen Verwaltungseinrichtung an zumindest eine weitere lokale Komponente des Eisenbahnsystems verteilt. Dies bietet insbesondere den Vorteil, dass für den Fall, dass die kryptographischen Daten für eine Mehrzahl von Komponenten bestimmt sind, die kryptographischen Daten von dem Fahrzeug lediglich an die streckenseitige Einrichtung in Form der lokalen Verwaltungseinrichtung des Eisenbahnsystems übermittelt werden müssen, wodurch somit eine Kommunikation des Fahrzeugs mit einer Mehrzahl streckenseitiger Komponenten vermieden wird. Bei der lokalen Verwaltungseinrichtung des Eisenbahnsystems kann es sich beispielsweise um eine lokale Registrierungsstelle oder eine lokale Zertifizierungsstelle einer Public-Key-Infrastruktur handeln, welche eine oder mehrere weitere lokale Komponenten des Eisenbahnsystems etwa in Bezug auf eine Verteilung digitaler Zertifikate verwaltet. Dabei können die weiteren lokalen Komponenten beispielsweise als signaltechnische Sicherungseinrichtungen, d.h. beispielsweise als Element-Controller, ausgebildet sein.
  • Im Rahmen des erfindungsgemäßen Verfahrens ist es grundsätzlich möglich, dass die kryptographischen Daten während des Stillstands des Fahrzeugs von diesem an die zumindest eine streckenseitige Einrichtung übermittelt werden. Eine solche Vorgehensweise kann beispielsweise dann zweckmäßig sein, wenn in der Nähe der zumindest einen streckenseitigen Einrichtung ohnehin ein Halt des Fahrzeugs erforderlich ist beziehungsweise erfolgt. Dies kann beispielsweise dann der Fall sein, wenn sich die streckenseitige Einrichtung im Bereich eines Ausweichgleises befindet und das Fahrzeug an der betreffenden Stelle ohnehin halten muss, um ein entgegenkommendes Fahrzeug passieren zu lassen.
  • Gemäß einer besonders bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens werden die kryptographischen Daten von dem Fahrzeug während der Fahrt an die zumindest eine streckenseitige Einrichtung übermittelt. In diesem Fall werden die kryptographischen Daten somit während der Vorbeifahrt des Fahrzeugs an der zumindest einen streckenseitigen Einrichtung an diese übermittelt. Dies bietet den Vorteil, dass Verzögerungen der Fahrt des Fahrzeugs aufgrund der vorzunehmenden Übermittlung der kryptographischen Daten vermieden werden. Vorzugsweise erfolgt die entsprechende Übermittlung hierbei somit während sich das Fahrzeug und die zumindest eine streckenseitige Einrichtung beim Vorbeifahren des Fahrzeugs in Kommunikationsreichweite zueinander befinden, ohne dass das Fahrzeug zu diesem Zwecke abgebremst oder angehalten wird.
  • Vorteilhafterweise kann das erfindungsgemäße Verfahren auch derart ausgestaltet sein, dass die kryptographischen Daten verschlüsselt oder anderweitig gesichert von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung übermittelt werden. Hierdurch wird somit gewährleistet, dass auch die Übermittlung der kryptographischen Daten als solche übliche Sicherheitsanforderungen erfüllt und insbesondere eine Verfälschung der kryptographischen Daten zuverlässig ausgeschlossen wird. Neben einer verschlüsselten, gegebenenfalls durch eine digitale Signatur gesicherten Übermittlung der kryptographischen Daten können diese beispielsweise auch dadurch anderweitig gesichert werden, dass die kryptographischen Daten in eigensichere Container eingebettet werden.
  • Vorteilhafterweise kann das erfindungsgemäße Verfahren auch derart ausgestaltet sein, dass von der streckenseitigen Einrichtung oder zumindest einer der streckenseitigen Einrichtungen Daten an das Fahrzeug oder ein anderes sich zum gegebenen Zeitpunkt innerhalb der Kommunikationsreichweite aufhaltendes Fahrzeug übermittelt werden, die übermittelten Daten in der Speichereinrichtung des betreffenden Fahrzeugs abgelegt und von dem betreffenden Fahrzeug außerhalb der Kommunikationsreichweite der zumindest einen streckenseitigen Einrichtung an eine zentrale Einrichtung des Eisenbahnsystems weitergeleitet werden. Das erfindungsgemäße Verfahren kann somit auch dahingehend weitergebildet werden, dass mittels des Fahrzeugs Daten von der streckenseitigen Einrichtung oder zumindest einer der streckenseitigen Einrichtungen an eine zentrale Einrichtung des Eisenbahnsystems übermittelt werden. Hierzu werden die betreffenden Daten von der jeweiligen streckenseitigen Einrichtung an das Fahrzeug oder an ein anderes sich zum gegebenen Zeitpunkt innerhalb der Kommunikationsreichweite aufhaltendes Fahrzeug übermittelt und von diesem außerhalb des Kommunikationsreichweite der zumindest einen streckenseitigen Einrichtung an die zentrale Einrichtung des Eisenbahnsystems weitergeleitet. Hierbei kann das Übermitteln der Daten von der jeweiligen streckenseitigen Einrichtung an das Fahrzeug einerseits im zeitlichen Zusammenhang mit der Übermittlung der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung erfolgen. Dies bedeutet, dass die Daten gleichzeitig mit den kryptographischen Daten in Gegenrichtung oder aber sequentiell unmittelbar nach oder auch vor erfolgter Übermittlung der kryptographischen Daten übermittelt werden können. Andererseits besteht jedoch auch die Möglichkeit, dass die Daten von der streckenseitigen Einrichtung zeitlich entkoppelt von der Übermittlung der kryptographischen Daten an das Fahrzeug oder das andere sich zu dem gegebenen Zeitpunkt in dem Empfangsbereich aufhaltende Fahrzeug übermittelt werden. Unabhängig vom Zeitpunkt der Übermittlung der Daten kann es sich bei diesen um Daten beziehungsweise Informationen beliebiger Art handeln. Dies schließt sowohl weitere kryptographische Daten oder in Zusammenhang mit kryptographischen Verfahren stehende Daten als auch aufgezeichnete Diagnosedaten oder sicherheitsrelevante Ereignisse betreffende Hinweise beziehungsweise Meldungen ein.
  • Die Erfindung betrifft des Weiteren ein Fahrzeug eines Eisenbahnsystems.
  • Hinsichtlich des Fahrzeugs liegt der vorliegenden Erfindung die Aufgabe zugrunde, ein Fahrzeug eines Eisenbahnsystems anzugeben, das eine sichere Anbindung von streckenseitigen Einrichtungen des Eisenbahnsystems auch im Falle einer fehlenden Kommunikationsanbindung auf aufwandsarme Art und Weise ermöglicht.
  • Diese Aufgabe wird erfindungsgemäß gelöst durch ein Fahrzeug gemäß Anspruch 9 eines Eisenbahnsystems, mit einer Speichereinrichtung, in der kryptographische Daten abgelegt sind, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen, einer Steuereinrichtung zum Detektieren, dass sich das Fahrzeug im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer streckenseitigen Einrichtung des Eisenbahnsystems aufhält, und einer Kommunikationseinrichtung zum Übermitteln der kryptographischen Daten an die zumindest eine streckenseitige Einrichtung.
  • Erfindungsgemäß werden Verfahren mit mehreren Kommunikationsschritten, etwa in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, mittels zumindest einer weiteren Fahrt des Fahrzeugs realisiert. Dies bedeutet, dass auch komplexere Verfahren beziehungsweise Kommunikationsabläufe, etwa in Form von "Handshake"-Verfahren, beispielsweise gemäß dem "Certificate Management Protocol" (CMP), unter Verwendung von Fahrzeugen zwecks Übermittlung der betreffenden Daten beziehungsweise Nachrichten realisiert werden können. Dabei kann dies mittels Fahrten sowohl desselben Fahrzeugs als auch mittels Fahrten unterschiedlicher Fahrzeuge geschehen.
  • Die Vorteile des erfindungsgemäßen Fahrzeugs entsprechen im Wesentlichen denjenigen des erfindungsgemäßen Verfahrens, so dass diesbezüglich auf die entsprechenden vorstehenden Ausführungen verwiesen wird. Gleiches gilt hinsichtlich der im Folgenden genannten bevorzugten Weiterbildung des erfindungsgemäßen Fahrzeugs in Bezug auf die entsprechende bevorzugte Weiterbildung des erfindungsgemäßen Verfahrens, so dass auch diesbezüglich auf die entsprechenden vorstehenden Erläuterungen verwiesen wird.
  • Vorteilhafterweise kann das erfindungsgemäße Fahrzeug derart ausgestaltet sein, dass die Kommunikationseinrichtung zum drahtlosen, insbesondere funkbasierten Übermitteln der kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung ausgebildet ist.
  • Die Erfindung umfasst ferner ein Eisenbahnsystem gemäß Anspruch 11 mit zumindest einem erfindungsgemäßen Fahrzeug beziehungsweise zumindest einem Fahrzeug gemäß der bevorzugten Weiterbildung des erfindungsgemäßen Fahrzeugs sowie mit einer zentralen Einrichtung, die ausgebildet ist, die kryptographischen Daten an das Fahrzeug zu übermitteln, wobei das Fahrzeug ausgebildet ist, die kryptographischen Daten in der Speichereinrichtung abzulegen.
  • Erfindungsgemäß werden Verfahren mit mehreren Kommunikationsschritten, etwa in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, in dem Eisenbahnsystem mittels zumindest einer weiteren Fahrt des Fahrzeugs oder zumindest eines weiteren Fahrzeugs realisiert. Dies bedeutet, dass auch komplexere Verfahren beziehungsweise Kommunikationsabläufe, etwa in Form von "Handshake"-Verfahren, beispielsweise gemäß dem "Certificate Management Protocol" (CMP), unter Verwendung von Fahrzeugen zwecks Übermittlung der betreffenden Daten beziehungsweise Nachrichten realisiert werden können. Dabei kann dies mittels Fahrten sowohl desselben Fahrzeugs als auch mittels Fahrten unterschiedlicher Fahrzeuge geschehen.
  • Auch hinsichtlich der Vorteile des erfindungsgemäßen Eisenbahnsystems sowie dessen im Folgenden genannten bevorzugten Weiterbildungen wird auf die entsprechenden Ausführungen im Zusammenhang mit der jeweiligen bevorzugten Weiterbildung des erfindungsgemäßen Verfahrens verwiesen.
  • Vorzugsweise kann das erfindungsgemäße Eisenbahnsystem auch derart weitergebildet sein, dass das Eisenbahnsystem ausgebildet ist, dem Fahrzeug Zusatzinformationen bereitzustellen, die zumindest eine der folgenden Kenngrößen umfassen: Identität der zumindest einen streckenseitigen Einrichtung, Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung, Ort der zumindest einen streckenseitigen Einrichtung, Größe der Kommunikationsreichweite, Ort einer jeweiligen Fahrstrecke, an oder ab der die kryptographischen Daten von dem Fahrzeug an die zumindest eine streckenseitige Einrichtung zu übermitteln sind.
  • Gemäß einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Eisenbahnsystems ist die streckenseitige Einrichtung eine lokale Verwaltungseinrichtung des Eisenbahnsystems und die lokale Verwaltungseinrichtung ist ausgebildet, die kryptographischen Daten an zumindest eine weitere lokale Komponente des Eisenbahnsystems zu verteilen.
  • Im Folgenden wird die Erfindung anhand von Ausführungsbeispielen näher erläutert. Hierzu zeigt
    • Figur 1
    in einer ersten schematischen Darstellung zur Erläuterung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens ein Ausführungsbeispiel des erfindungsgemäßen Eisenbahnsystems mit einem Ausführungsbeispiel des erfindungsgemäßen Fahrzeugs,
    Figur 2
    eine zweite schematische Darstellung zur weitergehenden Erläuterung des Ausführungsbeispiels des erfindungsgemäßen Verfahrens und
    Figur 3
    eine dritte schematische Darstellung zur Erläuterung eines weiteren Ausführungsbeispiels des erfindungsgemäßen Verfahrens.
  • In den Figuren werden für gleiche oder gleichwirkende Komponenten dieselben Bezugszeichen verwendet.
  • Figur 1 zeigt in einer ersten schematischen Darstellung zur Erläuterung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens ein Ausführungsbeispiel des erfindungsgemäßen Eisenbahnsystems mit einem Ausführungsbeispiel des erfindungsgemäßen Fahrzeugs. Dargestellt ist ein Eisenbahnsystem 10, das einerseits eine zentrale Einrichtung 20 umfasst, die auch als zentrale Kommunikationsinfrastruktur oder als Zentrale bezeichnet werden kann. In dem dargestellten Ausführungsbeispiel umfasst die zentrale Einrichtung 20 eine zentrale Verwaltungs- und/oder Steuereinrichtung 21, die der Verwaltung und/oder Steuerung des Eisenbahnsystems 10 dient. Darüber hinaus sind zur Realisierung einer Public-Key-Infrastruktur eine Registrierungsstelle 22 (im Englischen Registration Authority, kurz RA) sowie eine Zertifizierungsstelle 23 (im Englischen Certificate Authority, kurz CA) vorgesehen. Die Registrierungsstelle 22 sowie die Zertifizierungsstelle 23 bilden zusammen mit gegebenenfalls weiteren Komponenten die Public-Key-Infrastruktur, d.h. ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Dabei werden die innerhalb der Public-Key-Infrastruktur ausgestellten Zertifikate innerhalb des Eisenbahnsystems 10 zur Absicherung rechnergestützter Kommunikation verwendet.
  • Die zentrale Einrichtung 20 des Eisenbahnsystems 10 umfasst weiterhin eine zentrale Kommunikationseinrichtung 24, die in dem dargestellten Ausführungsbeispiel eine funkbasierte Kommunikation bereitstellt beziehungsweise ermöglicht. Die Komponenten 21, 22, 23 und 24 der zentralen Einrichtung 20 des Eisenbahnsystems 10 sind untereinander mittelbar oder unmittelbar, drahtlos oder drahtgebunden kommunikationstechnisch verbunden. Dabei ist in Figur 1 beispielhaft eine Architektur gezeigt, in der die Registrierungsstelle 22 und die Zertifizierungsstelle 23 unmittelbar miteinander und mittelbar über die zentrale Kommunikationseinrichtung 24 mit der zentralen Verwaltungs- und/oder Steuereinrichtung 21 verbunden sind.
  • Neben den zentralen Einrichtung 20 umfasst das Eisenbahnsystem 10 auch eine dezentrale Einrichtung 30, die im Rahmen des beschriebenen Ausführungsbeispiels Komponenten umfasst, die bezogen auf einen Fahrweg 50, d.h. ein Gleis beziehungsweise Schienen, eine Ausweichstelle beziehungsweise ein Nebengleis 51 steuern beziehungsweise derart signaltechnisch überwachen, dass Begegnungen von Fahrzeugen auf dem Fahrweg 50 ausgeschlossen sind beziehungsweise sich auf dem Fahrweg 50 in Form der eingleisen Strecke begegnende Fahrzeuge einander an der Ausweichstelle 51 passieren können.
  • Konkret umfasst die dezentrale Einrichtung 30 in dem dargestellten Ausführungsbeispiel eine signaltechnische Sicherungseinrichtung 31, bei der es sich beispielsweise um einen ein Signal und/oder eine Weiche steuernden Element-Controller handeln kann, sowie eine lokale Verwaltungseinrichtung 32, die beispielsweise als lokale Registrierungsstelle oder als lokale Zertifizierungsstelle ausgebildet sein kann, d.h. ebenfalls eine Komponente der Public-Key-Infrastruktur bildet. Entsprechend der Darstellung der Figur 1 ist die lokale Verwaltungseinrichtung 32 an eine dezentrale Kommunikationseinrichtung 33 in Form einer Funkübertragungseinrichtung angebunden und bildet mit dieser zusammen eine streckenseitige Einrichtung 35.
  • Es sei darauf hingewiesen, dass die dezentrale Einrichtung 30, die auch als Stellwerksinsel bezeichnet werden kann, weitere Komponenten aufweisen kann, die in Figur 1 aus Gründen der Übersichtlichkeit nicht gezeigt sind. Dies betrifft beispielsweise eine dezentrale Stellwerkseinrichtung sowie gegebenenfalls weitere signaltechnische Sicherungseinrichtungen, die vorzugsweise ebenfalls kommunikationstechnisch miteinander verbunden sind.
  • Um die Sicherheit der Datenübertragung und damit letztendlich auch des Betriebs des Eisenbahnsystems 10 zu gewährleisten, werden Informationen beziehungsweise Nachrichten oder Daten zwischen den dezentralen Einrichtungen 30 des Eisenbahnsystems 10 digital signiert und verschlüsselt versendet. Durch die Public-Key-Infrastruktur wird hierbei ein asymmetrisches Kryptosystem realisiert, bei dem die jeweils sendende Einheit für eine verschlüsselte Übermittlung den öffentlichen Schlüssel des jeweiligen Empfängers benötigt. Um Verfälschungen zu vermeiden, ist hierbei sicherzustellen, dass es sich tatsächlich um den jeweiligen öffentlichen Schlüssel des jeweiligen Empfängers handelt und nicht etwa um eine Fälschung eines Angreifers beziehungsweise Betrügers. Hierzu dienen digitale Zertifikate, die die Authentizität eines öffentlichen Schlüssels sowie gegebenenfalls seinen zulässigen Anwendungs- und Geltungsbereich bestätigen. Das digitale Zertifikat ist hierbei selbst durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Austellers des Zertifikats geprüft werden kann. Um die Sicherheit des Eisenbahnsystems 10 dauerhaft zu gewährleisten, ist es erforderlich beziehungsweise zweckmäßig, verwendete Schlüssel und Zertifikate in regelmäßigen Abständen zu wechseln. Dies gilt somit auch in Bezug auf die entsprechenden Schlüssel und/oder Zertifikate der dezentralen Einrichtung 30 des Eisenbahnsystems 10.
  • Im Rahmen des beschriebenen Ausführungsbeispiels sei nun angenommen, dass die dezentrale Einrichtung 30 an einem Ort angeordnet ist, der weit von der zentralen Einrichtung 20 des Eisenbahnsystems 10 entfernt ist und zu dem keine Kommunikationsverbindung besteht. Dies kann beispielsweise den Fall von Minenbahnen betreffen, die in großen einsamen Gebieten verkehren, deren kommunikationstechnische Erschließung zwecks Anbindung der dezentralen Einrichtung 30 an die zentrale Einrichtung 20 unverhältnismäßig hohe Kosten verursachen würde oder aus anderen Gründen nicht praktikabel beziehungsweise möglich ist. Auch wenn die dezentrale Einrichtung 30 autark die signaltechnische Sicherheit im Bereich der Ausweichstelle 51 sicherstellen kann, besteht somit im Hinblick auf das verwendete Kryptosystem das Problem, dass mangels einer kommunikationstechnischen Anbindung an die zentrale Einrichtung 20 eine Aktualisierung beziehungsweise ein Austausch kryptographischer Daten der dezentralen Einrichtung 30, insbesondere in Form von Schlüsseln und/oder Zertifikaten, nicht ohne Weiteres möglich ist. Zwar könnten entsprechende kryptographische Daten im Rahmen von Wartungsmaßnahmen von Wartungspersonal aktualisiert beziehungsweise ausgetauscht werden; dies würde jedoch eine Anreise des Wartungspersonals an den betreffenden Ort erforderlich machen und wäre daher vergleichsweise teuer und aufwändig.
  • Um in dieser Situation dennoch eine Übermittlung kryptographischer Daten von der zentralen Einrichtung 20 des Eisenbahnsystems 10 an die dezentrale Einrichtung 30 des Eisenbahnsystems 10 zu ermöglichen, kann nun vorteilhafterweise im Rahmen eines automatisierten Ablaufs ein Fahrzeug 40 des Eisenbahnsystems 10 verwendet werden. Dieses weist eine fahrzeugseitige Steuereinrichtung 41, eine fahrzeugseitige Speichereinrichtung 42 sowie eine fahrzeugseitige Kommunikationseinrichtung 43 auf. Dabei ist die Kommunikationseinrichtung 43 ebenfalls zur funkbasierten Kommunikation ausgebildet und zwar derart, dass zwischen der dezentralen Kommunikationseinrichtung 33 und der fahrzeugseitigen Kommunikationseinrichtung 43 eine funkbasierte Datenübertragung möglich ist. Die sich hierbei aus den verwendeten Kommunikationseinrichtungen und Kommunikationsprotokollen sowie der Art einer Datenübermittlung (unidirektional oder bidirektional) ergebende Kommunikations- beziehungsweise Übertragungsreichweite ist in Figur 1 in Form eines Empfangsbereichs 34 der dezentralen Kommunikationseinrichtung 32 angedeutet. Hierbei sei angenommen, dass die dezentrale Kommunikationseinrichtung 32 lediglich eine kurze beziehungsweise mittlere (Sende-)Reichweite aufweist und daher ein Aufbau einer Kommunikationsverbindung zwischen der fahrzeugseitigen Kommunikationseinrichtung 43 und der dezentralen Kommunikationseinrichtung 33 ausschließlich innerhalb des kreisförmigen Empfangsbereichs 34 möglich ist, dessen Radius beispielsweise hundert Meter oder einige hundert Meter betragen kann.
  • In der Speichereinrichtung 42 des Fahrzeugs 40 sind kryptographische Daten abgelegt, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen. Sofern sich das Fahrzeug 40, das sich in eine Fahrtrichtung 45 bewegt, der dezentralen Einrichtung 30 derart annähert, dass es sich in Kommunikationsreichweite der dezentralen Kommunikationseinrichtung 33 befindet, so dass eine Kommunikation zwischen der dezentralen Kommunikationseinrichtung 33 und der fahrzeugseitigen Kommunikationseinrichtung 43 möglich ist, können die kryptographischen Daten aus der Speichereinrichtung 42 ausgelesen und über die dezentrale Kommunikationseinrichtung 33 an die streckenseitige Einrichtung 35 beziehungsweise die lokale Verwaltungseinrichtung 32 derselben übermittelt werden. Zu diesem Zwecke ist die Steuereinrichtung 41 des Fahrzeugs 40 ausgebildet, zu detektieren, dass sich das Fahrzeug 40 im Rahmen seiner Fahrt der streckenseitigen Einrichtung hinreichend genähert hat. Hierzu können seitens der Steuereinrichtung 41 vorzugsweise ebenfalls in der Speichereinrichtung 42 gespeicherte Zusatzinformationen verwendet werden, die als Kenngröße vorzugsweise zumindest die Identität der zumindest einen streckenseitigen Einrichtung, eine Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung, den Ort der zumindest einen streckenseitigen Einrichtung, die Größe beziehungsweise den Betrag der Kommunikationsreichweite und/oder den Ort der Fahrstrecke 50, an oder ab der die kryptographischen Daten von dem Fahrzeug 40 an die streckenseitige Einrichtung 35 zu übermitteln sind, umfassen. Damit kann das Fahrzeug 40 beziehungsweise dessen Speichereinrichtung 42 vorteilhafterweise zum Transport der kryptographischen Daten verwendet werden, wodurch insbesondere seitens der dezentralen Einrichtung 30 vorteilhafterweise eine dezentrale Kommunikationseinrichtung 33 mit vergleichsweise kleiner Kommunikationsreichweite verwendet werden kann.
  • Vor der Fahrt des Fahrzeugs 40 zu der streckenseitigen Einrichtung 35 können die kryptographischen Daten beispielsweise von der Registrierungsstelle 22, der Zertifizierungsstelle 23 oder der zentralen Verwaltungs- und/oder Steuereinrichtung 21 der zentralen Einrichtung 20 beispielsweise ebenfalls funkbasiert an das Fahrzeug 40 übermittelt und von diesem nach Empfang durch die fahrzeugseitige Kommunikationseinrichtung 43 über die Steuereinrichtung 41 in der Speichereinrichtung 42 abgelegt werden. Dieser Schritt erfolgt somit zu einem Zeitpunkt, welcher der in Figur 1 dargestellten Situation vorausgeht, d.h. zu einem früheren Zeitpunkt, zu dem sich das Fahrzeug 40 noch näher an der zentralen Einrichtungen 20 aufhält, so dass eine entsprechende funkbasierte Übertragung möglich ist.
  • In der in Figur 1 dargestellten Situation hat sich das Fahrzeug 40 der streckenseitigen Einrichtung gerade soweit angenähert, dass die kryptographischen Daten von dem Fahrzeug 40 an die streckenseitige Einrichtung 35 übermittelt werden können. Von der lokalen Verwaltungseinrichtung 32 können die kryptographischen Daten sodann an zumindest eine weitere lokale Komponente des Eisenbahnsystems 10 in Form der signaltechnischen Sicherungseinrichtung 31 sowie gegebenenfalls vorhandene weitere signaltechnische Sicherungseinrichtungen verteilt werden. Die Übertragung beziehungsweise Übermittlung der kryptographischen Daten von dem Fahrzeug 40 an die streckenseitige Einrichtung 35 beziehungsweise die lokale Verwaltungseinrichtung 32 derselben erfolgt hierbei vorteilhafterweise während der Fahrt des Fahrzeugs 40, so dass eine Verlangsamung beziehungsweise Unterbrechung der Fahrt des Fahrzeugs 40 nicht erforderlich ist. Dies bedeutet, dass die kryptographischen Daten ohne eine Beeinträchtigung des Regelbetriebs des Fahrzeugs 40 übermittelt werden. Dabei erfolgt die Übermittlung der kryptographischen Daten von dem Fahrzeug 40 an die zumindest eine streckenseitige Einrichtung vorteilhafterweise verschlüsselt oder anderweitig gesichert, so dass Angriffe oder Verfälschungen der kryptographischen Daten ausgeschlossen sind.
  • Figur 2 zeigt eine zweite schematische Darstellung zur weitergehenden Erläuterung des Ausführungsbeispiels des erfindungsgemäßen Verfahrens. Die Darstellung der Figur 2 entspricht einem Ablaufdiagramm, wobei auf der linken Seite wiederum die zentrale Einrichtung 20 des Eisenbahnsystems gezeigt ist, welche entsprechend dem Ausführungsbeispiel der Figur 1 die zentrale Verwaltungs- und/oder Steuereinrichtung 21, die Registrierungsstelle 22, die Zertifizierungsstelle 23 sowie die zentrale Kommunikationseinrichtung 24 umfasst. In entsprechender Weise ist auf der rechten Seite der Figur 2 die dezentrale Einrichtung 30 dargestellt, bei denen es sich entsprechend dem Ausführungsbeispiel der Figur 1 um die streckenseitige Einrichtung 35 sowie die signaltechnische Sicherungseinrichtung 31 handelt. Darüber hinaus sind in Figur 2 weitere signaltechnische Sicherungseinrichtungen 31a und 31b angedeutet.
  • Eine Übermittlung kryptographischer Daten von der zentralen Einrichtung 20 an die dezentrale Einrichtung 30 kann nun beispielsweise derart erfolgen, dass die betreffenden kryptographischen Daten beispielsweise von der Zertifizierungsstelle 23 in einer Nachricht 60 an die zentrale Kommunikationseinrichtung 24 übermittelt werden. Von der zentralen Kommunikationseinrichtung 24 werden die kryptographischen Daten in einer Nachricht 61 funkbasiert an die fahrzeugseitige Kommunikationseinrichtung 43 des Fahrzeugs 40 übermittelt und unter Zwischenschaltung der Steuereinrichtung 41 in der Speichereinrichtung 42 abgelegt. Im Folgenden fährt das Fahrzeug 40 in der Fahrtrichtung 45 in Richtung der dezentralen Einrichtung 30 und erreicht irgendwann die Kommunikationsreichweite der streckenseitigen Einrichtung 35. Dies wird von der Steuereinrichtung 41 detektiert, woraufhin die kryptographischen Daten in einer Nachricht 62 funkbasiert an die streckenseitige Einrichtung 35 übermittelt werden, welche diese als Nachricht 63 empfängt. Für diesen Übertragungsschritt, der somit zeitlich entkoppelt von der Übertragung der kryptographischen Daten an das Fahrzeug 40 erfolgt, sind in der Figur 2 die kryptographischen Daten angedeutet und mit dem Bezugszeichen 70 gekennzeichnet. Unabhängig hiervon sind die betreffenden kryptographischen Daten auch in den Nachrichten 60, 61 und 63 sowie nachfolgenden Nachrichten 64, 65 und 66 ganz oder teilweise enthalten, wobei bei diesen Nachrichten aus Gründen der Übersichtlichkeit auf eine entsprechende graphische Andeutung der kryptographischen Daten verzichtet wurde.
  • Von der streckenseitigen Einrichtung 35 werden die kryptographischen Daten beziehungsweise die für die jeweilige Komponente relevanten Teile derselben mit den Nachrichten 64, 65 und 66 an die signaltechnischen Sicherungseinrichtungen 31, 31a und 31b übermittelt. Hierdurch wird es diesen in der Folge ermöglicht, basierend auf aktualisierten beziehungsweise ausgetauschten Schlüsseln und/oder Zertifikaten weiterhin gesichert miteinander zu kommunizieren, was in Figur 2 durch Nachrichten 67, 68 und 69 angedeutet ist.
  • Figur 3 zeigt eine dritte schematische Darstellung zur Erläuterung eines weiteren Ausführungsbeispiels des erfindungsgemäßen Verfahrens. Die Darstellung der Figur 3 entspricht im Wesentlichen derjenigen der Figur 2, wobei in Bezug auf die zentrale Einrichtung 20 auf eine separate Darstellung der einzelnen Komponenten verzichtet worden ist. Hierdurch soll angedeutet werden, dass diese Komponenten als solche unterschiedlich ausgeführt sein können.
  • In dem Ausführungsbeispiel der Figur 3 erfolgt zunächst ein Kommunikationsaustausch zwischen der signaltechnischen Sicherungseinrichtung 31 und den weiteren signaltechnischen Sicherungseinrichtungen 31a, 31b und der streckenseitigen Einrichtung 35 (beziehungsweise der lokalen Verwaltungseinrichtung 32 derselben) mittels Nachrichten 80, 81 und 82. Hierbei kann es sich beispielsweise um Anfragen im Rahmen von Verfahren der Public-Key-Infrastruktur handeln, die von der streckenseitigen Einrichtung 35 in Form von Nachrichten 83, 84 und 85 beantwortet werden. In der Folge tauschen die signaltechnischen Sicherungseinrichtungen 31, 31a und 31b untereinander Nachrichten 86, 87, 88 und 89 aus, die unter Verwendung von Schlüsseln und digitalen Zertifikaten gesichert sind.
  • In einer Nachricht 90 werden nun von der streckenseitigen Einrichtung 35 Daten beziehungsweise eine Informationsanfrage 71 an das Fahrzeug 40 übermittelt. Im Rahmen des beschriebenen Ausführungsbeispiels sei hierbei angenommen, dass dies im Gegenzug zu einer Übertragung kryptographischer Daten von dem Fahrzeug 40 an die lokale Verwaltungseinrichtung 32 erfolgt, wie sie zuvor im Zusammenhang mit Figur 2 erläutert worden ist. Alternativ hierzu kann dies jedoch auch zeitlich entkoppelt von der entsprechenden Übertragung kryptographischer Daten erfolgen und eine Übermittlung der Informationsanfrage 71 auch an ein anderes Fahrzeug des Eisenbahnsystems 10 erfolgen. Dabei kann sich die Informationsanfrage sowohl auf kryptographische Verfahren beziehen beziehungsweise entsprechende Verfahren realisieren, d.h. beispielsweise eine Aktualisierung von Zertifikaten anfordern, als auch von kryptographischen Verfahren losgelöst sein, d.h. beispielsweise eine Übertragung von Diagnosedaten betreffen.
  • Die übermittelten Daten werden in der Speichereinrichtung 42 des Fahrzeugs 40 abgelegt und von dem Fahrzeug 40 außerhalb der Übertragungsreichweite der streckenseitigen Einrichtung 35 an die zentrale Einrichtung 20 des Eisenbahnsystems 10 weitergeleitet. In Figur 3 ist dies durch die Nachrichten 92 und 93 angedeutet. In der Folge kommt es seitens der zentralen Einrichtung 20 zu einem Kommunikationsaustausch in Form von Nachrichten 95 und 96, wobei gleichzeitig seitens der dezentralen Einrichtung 30 Nachrichten 97 und 98 ausgetauscht werden. Mit einer Nachricht 99 wird dann von der zentralen Einrichtung 20 eine Informationsantwort 72 an ein weiteres Fahrzeug 40a übermittelt, bei dem es sich somit nicht um das Fahrzeug 40 handelt. Das weitere Fahrzeug 40a weist analog zum Fahrzeug 40 eine weitere Steuereinrichtung 41a, eine weitere Speichereinrichtung 42a sowie eine weitere Kommunikationseinrichtung 43a auf und bewegt sich in einer Fahrtrichtung 45a in Richtung der dezentralen Einrichtung 30. Sobald das weitere Fahrzeug 41a im Kommunikationsreichweite der streckenseitigen Einrichtung 35 ist, übermittelt es die Informationsantwort 72 mittels Nachrichten 100 / 101 an die streckenseitige Einrichtung 35 beziehungsweise die lokale Verwaltungseinrichtung derselben. Diese überträgt die Informationsantwort beziehungsweise einen jeweiligen Teil derselben in Nachrichten 102, 103 und 104 an die signaltechnischen Sicherungseinrichtungen 31, 31a und 31b, wodurch diese mit benötigten Informationen oder Aktualisierungen versorgt werden können. Vorteilhafterweise können somit auch Verfahren mit mehreren Kommunikationsschritten, etwa in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, durch mehrere Fahrten von Fahrzeugen 40, 40a durchgeführt werden. Hierdurch können beispielsweise auch komplexe Handshake-Verfahren realisiert werden. Die entsprechenden, mit den Fahrzeugen 40, 40a transportierten Daten sind hierbei wiederum gesichert, etwa durch die Verwendung eines Transportschlüssels.
  • Entsprechend den vorstehenden Erläuterungen im Zusammenhang mit den beschriebenen Ausführungsbeispielen des erfindungsgemäßen Verfahrens, des erfindungsgemäßen Fahrzeugs sowie des erfindungsgemäßen Eisenbahnsystems weisen diese insbesondere den Vorteil auf, dass sie eine Übermittlung insbesondere kryptographischer Daten von einer Zentrale an dezentrale streckenseitige Einrichtungen auch in solchen Fällen ermöglichen, in denen diese keine unmittelbare Kommunikationsanbindung aufweisen. Hierbei erfolgt ein automatischer Transport der entsprechenden Daten mittels Fahrzeugen beziehungsweise Zügen unter Verwendung von in diesen installierten Speichereinrichtungen. An dem jeweiligen entfernten Ort erfolgt sodann ein Übermitteln beziehungsweise Herunterladen der betreffenden Daten, so dass ein Wartungstrupp vor Ort vorteilhafterweise nicht erforderlich ist. Dabei können diese Verfahren vorteilhafterweise völlig automatisch ablaufen und bedürfen keiner Wartungshandlung. Damit wird auch ein hochfrequenter Schlüsselaustausch ermöglicht, wodurch die IT-Sicherheit erhöht werden kann, ohne dass zusätzliche Kosten entstehen. Darüber hinaus wird vorteilhafterweise weiterhin eine Rückmeldung über den Zustand der lokalen IT-Security an dem entfernten Ort an die Zentrale ermöglicht.

Claims (13)

  1. Verfahren zum Betreiben eines Eisenbahnsystems (10), wobei
    - kryptographische Daten (70), die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen, in einer Speichereinrichtung (42) eines Fahrzeugs (40) des Eisenbahnsystems (10) abgelegt werden, wobei das Fahrzeug (40) mit seiner Speichereinrichtung (42) zum Transport der kryptographischen Daten verwendet wird, und
    - von dem Fahrzeug (40), wenn sich dieses im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer streckenseitigen Einrichtung (35) aufhält, die kryptographischen Daten (70) an die zumindest eine streckenseitige Einrichtung (35) des Eisenbahnsystems (10) zur Gewährleistung einer gesicherten Kommunikation in der Folgezeit übermittelt werden,
    - in dem Verfahren mehrere Kommunikationsschritte in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, mittels zumindest einer weiteren Fahrt des Fahrzeugs (40) oder zumindest eines weiteren Fahrzeugs (40a) realisiert werden.
  2. Verfahren nach Anspruch 1,
    dadurch gekennzeichnet, dass
    die kryptographischen (70) Daten von dem Fahrzeug (40) drahtlos, insbesondere funkbasiert an die zumindest eine streckenseitige Einrichtung (35) übermittelt werden.
  3. Verfahren nach Anspruch 1 oder 2,
    dadurch gekennzeichnet, dass
    - die kryptographischen Daten (70) von einer zentralen Einrichtung (23) einer Public-Key-Infrastruktur des Eisenbahnsystems (10) an das Fahrzeug übermittelt und
    - von dem Fahrzeug in der Speichereinrichtung (42) abgelegt werden.
  4. Verfahren nach einem der vorangehenden Ansprüche,
    dadurch gekennzeichnet, dass
    dem Fahrzeug (40) Zusatzinformationen bereitgestellt werden, die zumindest eine der folgenden Kenngrößen umfassen:
    - Identität der zumindest einen streckenseitigen Einrichtung (35),
    - Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung (35),
    - Ort der zumindest einen streckenseitigen Einrichtung (35),
    - Größe der Kommunikationsreichweite,
    - Ort einer jeweiligen Fahrstrecke, an oder ab der die kryptographischen Daten von dem Fahrzeug (40) an die zumindest eine streckenseitige Einrichtung (35) zu übermitteln sind.
  5. Verfahren nach einem der vorangehenden Ansprüche,
    dadurch gekennzeichnet, dass
    - als streckenseitige Einrichtung (35) eine lokale Verwaltungseinrichtung des Eisenbahnsystems (10) verwendet wird und
    - die kryptographischen Daten (70) von der lokalen Verwaltungseinrichtung an zumindest eine weitere lokale Komponente (31) des Eisenbahnsystems (10) verteilt werden.
  6. Verfahren nach einem der vorangehenden Ansprüche,
    dadurch gekennzeichnet, dass
    die kryptographischen Daten (70) von dem Fahrzeug (40) während der Fahrt an die zumindest eine streckenseitige Einrichtung (35) übermittelt werden.
  7. Verfahren nach einem der vorangehenden Ansprüche,
    dadurch gekennzeichnet, dass
    die kryptographischen Daten (70) verschlüsselt oder anderweitig gesichert von dem Fahrzeug (40) an die zumindest eine streckenseitige Einrichtung (35) übermittelt werden.
  8. Verfahren nach einem der vorangehenden Ansprüche,
    dadurch gekennzeichnet, dass
    - von der streckenseitigen Einrichtung (35) oder zumindest einer der streckenseitigen Einrichtungen Daten (71) an das Fahrzeug (40) oder ein anderes sich zum gegebenen Zeitpunkt innerhalb der Kommunikationsreichweite aufhaltendes Fahrzeug übermittelt werden,
    - die übermittelten Daten (71) in der Speichereinrichtung (42) des betreffenden Fahrzeugs (40) abgelegt und
    - von dem betreffenden Fahrzeug (40) außerhalb der Kommunikationsreichweite der zumindest einen streckenseitigen Einrichtung (35) an eine zentrale Einrichtung (z.B. 21) des Eisenbahnsystems (10) weitergeleitet werden.
  9. Fahrzeug (40) eines Eisenbahnsystems (10), mit
    - einer Speichereinrichtung (42), in der kryptographische Daten (70) zum Transport abgelegt sind, die zumindest einen Schlüssel und/oder zumindest ein digitales Zertifikat umfassen,
    - einer Steuereinrichtung (41) zum Detektieren, dass sich das Fahrzeug (40) im Rahmen einer Fahrt in Kommunikationsreichweite zu zumindest einer streckenseitigen Einrichtung (35) des Eisenbahnsystems (10) aufhält, und
    - einer Kommunikationseinrichtung (43) zum Übermitteln der kryptographischen Daten (70) an die zumindest eine streckenseitige Einrichtung (35) zur Gewährleitung einer gesicherten Kommunikation in der Folgezeit, wobei die Kommunikationseinrichtung ausgebildet ist, mehrere Kommunikationsschritte in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, mittels zumindest einer weiteren Fahrt des Fahrzeugs (40) zu realisieren.
  10. Fahrzeug (40) nach Anspruch 9,
    dadurch gekennzeichnet, dass
    die Kommunikationseinrichtung (43) zum drahtlosen, insbesondere funkbasierten Übermitteln der kryptographischen Daten (70) von dem Fahrzeug (40) an die zumindest eine streckenseitige Einrichtung (35) ausgebildet ist.
  11. Eisenbahnsystem (10) mit zumindest einem Fahrzeug (40) nach Anspruch 9 oder 10 und einer zentralen Einrichtung (20), die ausgebildet ist, die kryptographischen Daten (70) an das Fahrzeug (40) zu übermitteln, wobei das Fahrzeug (40) ausgebildet ist, die kryptographischen Daten (70) in der Speichereinrichtung (42) zum Transport abzulegen,
    und wobei das Eisenbahnsystem (19) ausgelegt ist, mehrere Kommunikationsschritte in Form einer Aktualisierung von Zertifikaten oder einer Übermittlung einer Zertifikatssperrliste, mittels zumindest einer weiteren Fahrt des Fahrzeugs (40) oder zumindest eines weiteren Fahrzeugs (40a) zur Gewährleitung einer gesicherten Kommunikation in der Folgezeit zu realisieren.
  12. Eisenbahnsystem (10) nach Anspruch 11,
    dadurch gekennzeichnet, dass
    das Eisenbahnsystem (10) ausgebildet ist, dem Fahrzeug (40) Zusatzinformationen bereitzustellen, die zumindest eine der folgenden Kenngrößen umfassen:
    - Identität der zumindest einen streckenseitigen Einrichtung (35),
    - Kommunikationsadresse der zumindest einen streckenseitigen Einrichtung (35),
    - Ort der zumindest einen streckenseitigen Einrichtung (35),
    - Größe der Kommunikationsreichweite,
    - Ort einer jeweiligen Fahrstrecke, an oder ab der die kryptographischen Daten (70) von dem Fahrzeug (40) an die zumindest eine streckenseitige Einrichtung (35) zu übermitteln sind.
  13. Eisenbahnsystem (10) nach einem der Ansprüche 11 bis 12, dadurch gekennzeichnet, dass
    - die streckenseitige Einrichtung (35) eine lokale Verwaltungseinrichtung des Eisenbahnsystems (10) ist und
    - die lokale Verwaltungseinrichtung ausgebildet ist, die kryptographischen Daten (70) an zumindest eine weitere lokale Komponente (31) des Eisenbahnsystems (10) zu verteilen.
EP17800401.6A 2016-11-25 2017-10-25 Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems Active EP3515785B1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016223481.1A DE102016223481A1 (de) 2016-11-25 2016-11-25 Verfahren zum Betreiben eines Eisenbahnsystems sowie Fahrzeug eines Eisenbahnsystems
PCT/EP2017/077280 WO2018095682A1 (de) 2016-11-25 2017-10-25 Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems

Publications (3)

Publication Number Publication Date
EP3515785A1 EP3515785A1 (de) 2019-07-31
EP3515785B1 true EP3515785B1 (de) 2024-08-21
EP3515785C0 EP3515785C0 (de) 2024-08-21

Family

ID=60382149

Family Applications (1)

Application Number Title Priority Date Filing Date
EP17800401.6A Active EP3515785B1 (de) 2016-11-25 2017-10-25 Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems

Country Status (5)

Country Link
US (1) US11958519B2 (de)
EP (1) EP3515785B1 (de)
CN (1) CN110023170A (de)
DE (1) DE102016223481A1 (de)
WO (1) WO2018095682A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020115875A1 (ja) * 2018-12-06 2020-06-11 三菱電機株式会社 端末装置およびデータ管理方法
CN110753320B (zh) * 2019-09-25 2022-11-01 株洲凯创技术有限公司 一种列车车载加密装置及列车车载加密机
CN113242235A (zh) * 2021-05-08 2021-08-10 卡斯柯信号有限公司 一种对铁路信号安全通信协议rssp-i加密认证的系统及其方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19851709A1 (de) 1998-10-30 2000-05-04 Siemens Ag Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik
DK1220094T3 (da) 2000-12-30 2006-11-27 Siemens Schweiz Ag Fremgangsmåde til programmering af et redundant, sikkerhedskritisk mål-system
US6863246B2 (en) 2002-12-31 2005-03-08 Quantum Engineering, Inc. Method and system for automated fault reporting
DE102006028938B3 (de) 2006-06-23 2008-02-07 Siemens Ag Verfahren zur Übertragung von Daten
DE102007041177B4 (de) * 2007-08-27 2009-04-30 Siemens Ag Verfahren zum ETCS-Online-Schlüsselmanagement
US20090212168A1 (en) * 2008-02-25 2009-08-27 Ajith Kuttannair Kumar System and Method for Transporting Wayside Data on a Rail Vehicle
CN101567780B (zh) 2009-03-20 2011-05-18 武汉理工大学 一种针对加密数字证书的密钥管理与恢复方法
DE102011006772A1 (de) * 2011-04-05 2012-10-11 Siemens Aktiengesellschaft System und Verfahren für ein Schlüsselmanagement eines Zugsicherungssystems
DE102011083340A1 (de) * 2011-09-23 2013-03-28 Siemens Aktiengesellschaft Verfahren zum Bedienen einer streckenseitigen Einrichtung des spurgebundenen Verkehrs sowie streckenseitige Einrichtung
JP6092548B2 (ja) 2012-09-03 2017-03-08 西日本旅客鉄道株式会社 無線システム及び列車制御システム
US9166952B2 (en) * 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank
US9522685B2 (en) 2014-10-15 2016-12-20 General Electric Company System and method for configuring and updating wayside devices
DE102014226902A1 (de) * 2014-12-23 2016-01-14 Siemens Aktiengesellschaft Einrichtung einer sicheren Datenübertragungsverbindungim Schienenverkehr
CN105025479B (zh) 2015-07-27 2019-03-05 北京交通大学 城市轨道交通系统车地无线通信认证密钥配置系统及方法
CN205725863U (zh) 2016-06-29 2016-11-23 河南蓝信软件有限公司 动车组车辆信息动态监测系统

Also Published As

Publication number Publication date
WO2018095682A1 (de) 2018-05-31
US20210114635A1 (en) 2021-04-22
US11958519B2 (en) 2024-04-16
EP3515785A1 (de) 2019-07-31
DE102016223481A1 (de) 2018-05-30
CN110023170A (zh) 2019-07-16
EP3515785C0 (de) 2024-08-21

Similar Documents

Publication Publication Date Title
EP2658764B1 (de) System und verfahren für ein schlüsselmanagement eines zugsicherungssystems
EP3612430B1 (de) Verfahren zum betreiben eines spurgebundenen verkehrssystems und vorrichtung
EP3137363B1 (de) Überprüfung der authentizität einer balise
DE19509696C2 (de) Verfahren zur gegenseitigen Kontaktaufnahme zwischen Zügen und Einrichtung zur Durchführung des Verfahrens
DE102014210190A1 (de) Fahrerlaubnis für ein Schienenfahrzeug
EP3515785B1 (de) Verfahren zum betreiben eines eisenbahnsystems sowie fahrzeug eines eisenbahnsystems
DE102008045050A1 (de) Verfahren und Vorrichtung zur Zugbeeinflussung
EP1308366B1 (de) Vorrichtung zur Rottenwarnung
EP2870047B1 (de) Betrieb eines schienenfahrzeugs
EP3795451B1 (de) Verfahren zum orten eines fahrzeugs an einer für einen halt des fahrzeugs vorgesehenen station
WO2019243341A1 (de) Flexibles zugsicherungssystem
WO2017162386A1 (de) Verfahren zum übertragen von nachrichten in einem eisenbahnsystem sowie eisenbahnsystem
DE102011106345A1 (de) Streckenvalidierung
EP3221205B1 (de) Verfahren und vorrichtung zur sperrung und signalisierung eines mit achszählern ausgerüsteten gleisabschnittes
EP2088051B1 (de) Verfahren und Vorrichtung zur sicheren Einstellung von einer Fahrstrasse für ein Schienenfahrzeug
EP2489570B1 (de) Verfahren und System zum Datenaustausch zwischen einer zentralen Einheit und einer Zugbeeinflussungskomponente zu Testzwecken
DE102012217814A1 (de) Langsamfahrstelle einer Bahnstrecke
EP1931550B1 (de) Verfahren zum betreiben einer eisenbahnstrecke
EP1396413B1 (de) Verfahren zur Hilfsbedienung von Fahrwegelementen
DE102005038386B4 (de) Vorrichtung zur Sicherung der Zugfolge im Zugleitbetrieb
EP1892171A1 (de) Verfahren zum Betreiben eines Stellwerkes und Verfahren zum Betreiben einer Streckenzentrale
DE102016217913A1 (de) Überwachung eines Schienenfahrzeugs
DE102017221555A1 (de) Verfahren und Steuereinrichtung zur kommunikationsbasierten Fahrzeugbeeinflussung
DE102011085304A1 (de) Vorrichtung und Verfahren zur drahtlosen Kommunikation mit einem Schienenfahrzeug
DE102015217596A1 (de) Kommunikationseinrichtung und Verfahren zum automatisierten Austausch von Nachrichten in einer eisenbahntechnischen Anlage

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20190426

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

RIN1 Information on inventor provided before grant (corrected)

Inventor name: SCHULZ, OLIVER

Inventor name: SEIFERT, MATTHIAS

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20211105

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTG Intention to grant announced

Effective date: 20240318

RIC1 Information provided on ipc code assigned before grant

Ipc: B61L 27/70 20220101ALI20240229BHEP

Ipc: B61L 27/53 20220101ALI20240229BHEP

Ipc: B61L 27/40 20220101ALI20240229BHEP

Ipc: B61L 23/00 20060101ALI20240229BHEP

Ipc: B61L 15/00 20060101ALI20240229BHEP

Ipc: B61L 3/12 20060101AFI20240229BHEP

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE PATENT HAS BEEN GRANTED

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502017016366

Country of ref document: DE

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

U01 Request for unitary effect filed

Effective date: 20240913

U07 Unitary effect registered

Designated state(s): AT BE BG DE DK EE FI FR IT LT LU LV MT NL PT RO SE SI

Effective date: 20241004

U20 Renewal fee for the european patent with unitary effect paid

Year of fee payment: 8

Effective date: 20241018

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20241121

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20241122

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20241221

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20241121

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: RS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20241121

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20241121

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20241221

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20241122

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SM

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20240821

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20241121

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20241031

26N No opposition filed

Effective date: 20250522

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20241121

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20241025

U20 Renewal fee for the european patent with unitary effect paid

Year of fee payment: 9

Effective date: 20251020

U1H Name or address of the proprietor changed after the registration of the unitary effect

Owner name: SIEMENS MOBILITY GMBH; DE