JP2014050038A - 無線システム及び列車制御システム - Google Patents
無線システム及び列車制御システム Download PDFInfo
- Publication number
- JP2014050038A JP2014050038A JP2012193334A JP2012193334A JP2014050038A JP 2014050038 A JP2014050038 A JP 2014050038A JP 2012193334 A JP2012193334 A JP 2012193334A JP 2012193334 A JP2012193334 A JP 2012193334A JP 2014050038 A JP2014050038 A JP 2014050038A
- Authority
- JP
- Japan
- Prior art keywords
- radio
- wireless
- base station
- train
- board
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 60
- 238000001514 detection method Methods 0.000 claims description 11
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 238000000034 method Methods 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000009795 derivation Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- VIEYMVWPECAOCY-UHFFFAOYSA-N 7-amino-4-(chloromethyl)chromen-2-one Chemical compound ClCC1=CC(=O)OC2=CC(N)=CC=C21 VIEYMVWPECAOCY-UHFFFAOYSA-N 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000012447 hatching Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T90/00—Enabling technologies or technologies with a potential or indirect contribution to GHG emissions mitigation
- Y02T90/10—Technologies relating to charging of electric vehicles
- Y02T90/16—Information or communication technologies improving the operation of electric vehicles
Landscapes
- Train Traffic Observation, Control, And Security (AREA)
- Mobile Radio Communication Systems (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
Abstract
【課題】鉄道における地上と車上との間で制御情報を無線伝送するセキュリティが高い無線システム及びその無線システムを有する列車制御システムを提供する。
【解決手段】無線システム1は、無線基地局11と、車上無線局12とを備える。無線基地局11及び車上無線局12は、無線伝送された順序をチェックするためのカウンタ値82を制御情報81に付加して暗号化した暗号文を無線伝送する。この暗号化において、鍵を変化させるためのイニシャライゼーション・ベクターを無線伝送せず、イニシャライゼーション・ベクターを無線伝送する場合よりも無線伝送される暗号文のビット数を増やさず、かつ、無線システム1の使用において同じ制御情報81から同じ暗号文が生成されないようにカウンタ値82のビット数が設定されている。これにより、無線伝送の伝送速度が低くても、セキュリティを高くできる。
【選択図】図4
【解決手段】無線システム1は、無線基地局11と、車上無線局12とを備える。無線基地局11及び車上無線局12は、無線伝送された順序をチェックするためのカウンタ値82を制御情報81に付加して暗号化した暗号文を無線伝送する。この暗号化において、鍵を変化させるためのイニシャライゼーション・ベクターを無線伝送せず、イニシャライゼーション・ベクターを無線伝送する場合よりも無線伝送される暗号文のビット数を増やさず、かつ、無線システム1の使用において同じ制御情報81から同じ暗号文が生成されないようにカウンタ値82のビット数が設定されている。これにより、無線伝送の伝送速度が低くても、セキュリティを高くできる。
【選択図】図4
Description
本発明は、鉄道における地上と車上との間で情報を無線伝送する無線システム、及びその無線システムを有する列車制御システムに関する。
鉄道において、無線を利用して地上と車上との間で安全にかかわる制御情報を交信する無線式列車制御システムが標準化されている(非特許文献1及び非特許文献2参照)。列車運行の安全にかかわる制御情報を無線で交信するためには、無線交信のセキュリティを確保する必要がある。しかし、無線式列車制御システムにおける無線交信のセキュリティを確保する具体的な方法は、標準化されていない。
無線式列車制御システムにおいて、漏洩同軸ケーブルを利用して地上と車上との間で制御情報を無線伝送することが提案されている(例えば、特許文献1参照)。漏洩同軸ケーブル方式の無線伝送は、無線の到達距離が漏洩同軸ケーブルの近傍であるので、空間波方式の無線伝送と比べるとセキュリティが高い。しかしながら、安全にかかわる制御情報の交信用としては、漏洩同軸ケーブルを利用するだけでは、セキュリティが十分とはいい難い。また、漏洩同軸ケーブルの敷設は、高コストである。
制御情報を共通鍵暗号方式で秘匿して地上と車上との間で無線伝送する列車制御システム用の通信システムが知られている(例えば、特許文献2参照)。この通信システムでは、鍵は、車上で生成され、無線伝送されず、認証情報とともにトランスポンダを介して地上と車上との間で伝送される。線路に多数のトランスポンダを設け、列車がトランスポンダを通過するたびに鍵を変更すれば、無線伝送のセキュリティが高くなる。しかしながら、このような通信システムは、多数のトランスポンダを地上の無線装置と有線で接続する必要があり、高コストとなるため、導入が容易ではない。
無線式列車制御システムにおいて、無線を利用して暗号化の鍵を変更できれば、システムのコストを抑えて無線伝送のセキュリティが確保される。しかしながら、列車用の無線は、電波の帯域幅が狭く制限されており、データの伝送速度が低いので、鍵を変更するために無線伝送するビット数を増やすことは困難である。
JIS E 3801−1:2009
JIS E 3801−2:2010
本発明は、上記問題を解決するものであり、鉄道における地上と車上との間で列車の制御に用いられる制御情報を無線伝送するセキュリティが高い無線システム及びその無線システムを有する列車制御システムを提供することを目的とする。
本発明の無線システムは、地上に設置された無線基地局と、列車に搭載された車上無線局とを備え、前記無線基地局と車上無線局との間で列車の制御に用いられる制御情報を無線伝送するためのものであって、前記無線基地局及び車上無線局は、無線伝送された順序をチェックするためのカウンタ値を制御情報に付加して暗号化した暗号文を無線伝送し、前記暗号化において、鍵を変化させるためのイニシャライゼーション・ベクターを無線伝送せず、前記イニシャライゼーション・ベクターを無線伝送する場合よりも無線伝送される暗号文のビット数を増やさず、かつ、該無線システムの使用において同じ制御情報から同じ暗号文が生成されないように前記カウンタ値のビット数が設定されていることを特徴とする。
この無線システムにおいて、カウンタ値及び制御情報を含んだ秘匿対象の電文を用いてイニシャライゼーション・ベクターが生成され、前記秘匿対象の電文は、そのイニシャライゼーション・ベクターを用いた暗号文ブロック連鎖モードにより暗号化されることが好ましい。
この無線システムにおいて、前記制御情報は、情報の完全性を検定するための認証タグが付加されることが好ましい。
この無線システムにおいて、前記無線基地局及び車上無線局は、無線伝送の相手方を認証するための電文を無線伝送し、相手方を認証した後、前記制御情報を無線伝送することが好ましい。
この無線システムにおいて、無線伝送の相手方を認証するための前記電文を生成する相互認証用鍵、前記認証タグを生成する認証通信用鍵、及び前記制御情報の暗号化に用いられる秘匿通信用鍵は、1つの一時鍵から生成され、前記無線基地局と車上無線局とで共有されることが好ましい。
この無線システムにおいて、前記一時鍵は、前記無線基地局及び車上無線局が各々発生して相手方に送信した乱数と、前記無線基地局及び車上無線局とで予め共有されている事前共有鍵と、所定の鍵導出関数とから生成されることが好ましい。
この無線システムにおいて、前記無線基地局は、列車が運転される線路に沿って複数設置されており、列車の移動に伴って車上無線局との無線伝送が、一つの無線基地局から別の無線基地局にハンドオーバーされるとき、前記認証通信用鍵及び秘匿通信用鍵は、前記一つの無線基地局から別の無線基地局に配送されることが好ましい。
この無線システムにおいて、無線伝送がハンドオーバーされるとき、前記無線基地局及び車上無線局は、前記認証通信用鍵及び秘匿通信用鍵をハッシュ関数を用いて変更することが好ましい。
この無線システムにおいて、無線伝送がハンドオーバーされるとき、前記カウンタ値は、前記一つの無線基地局から別の無線基地局に引き継がれてもよい。
この無線システムにおいて、前記無線基地局及び車上無線局は、データを複数のタイムスロットに時分割して無線伝送し、前記無線基地局が無線伝送するデータのタイムスロットは、個別の列車に無線伝送する前記制御情報を収容する個別スロットと、複数の列車に一斉に伝送する制御情報を収容する同報スロットとを有し、前記同報スロット内の制御情報は、同報スロット用のカウンタ値を付加して暗号化され、前記同報スロット用の鍵は、前記複数の車上無線局において同じであり、前記同報スロット用のカウンタ値は、前記複数の車上無線局において同期していることが好ましい。
この無線システムにおいて、前記同報スロット用の鍵は、前記個別スロットを用いて前記無線基地局から車上無線局に伝送されることが好ましい。
本発明の列車制御システムは、地上に設置された地上装置と、列車に搭載された車上制御装置とを備えたものであって、前記地上装置と車上制御装置との間で制御情報を送受信する前記無線システムと、列車に搭載された列車位置検知装置とをさらに備え、前記車上制御装置は、前記列車位置検知装置が検知した自列車の位置情報を前記無線システムを介して前記地上装置に送信し、前記地上装置は、受信した列車の位置情報に基づいて、後続の列車に停止限界の位置情報を送信し、前記後続の列車の車上制御装置は、列車位置検知装置が検知した自列車の位置と、前記停止限界の位置情報とに基づいて、列車を停止限界までに停止させるための速度照査パターンを生成するとともに、自列車の速度が前記速度照査パターンを超過しているとき、自列車を制動することを特徴とする。
本発明の無線システム及び列車制御システムによれば、同じ制御情報から同じ暗号文が生成されないようにカウンタ値のビット数が設定されるので、地上と車上との間での無線伝送のセキュリティが高い。また、イニシャライゼーション・ベクターを無線伝送する場合よりも無線伝送する暗号文のビット数を増やさないので、無線伝送の伝送速度が低くても、セキュリティを高くできる。
本発明の一実施形態に係る無線システム及びこの無線システムを有する列車制御システムを図1乃至図8を参照して説明する。図1に示されるように、無線システム1は、鉄道における列車制御システム2に用いられる。列車制御システム2は、日本工業規格の「無線式列車制御システム」(JIS E 3801−1:2009)に適合したものであり、無線システム1以外に、地上に設置された地上装置3と、指令所装置4と、列車5に搭載された車上制御装置51とを備える。無線システム1は、地上に設置された無線基地局11と、列車5に搭載された車上無線局12とを備える。無線基地局11は、ネットワーク6を介して地上装置3と接続される。車上無線局12は、車上で車上制御装置51と接続される。無線システム1は、無線基地局11と車上無線局12との間で列車5の制御に用いられる制御情報を無線伝送することによって、地上装置3と車上制御装置51との間で制御情報を送受信する。地上装置3は、複数の拠点装置31と、複数の現場装置32とを有する。現場装置32は、拠点装置31と接続される。拠点装置31相互間、及び拠点装置31と指令所装置4との間は、ネットワーク7を介して接続される。
拠点装置31は、連動駅毎に設置され、連動機能を内蔵、又は連動装置と接続される装置である。連動装置は、列車の進路を設定する命令を受けて、そのときの転てつ器、信号機の状態等をチェックし、脱線や衝突を起こさないように判断して、転てつ器や信号機を動作させる装置である。現場装置32は、拠点装置31と沿線の各種設備とを接続する装置である。沿線の各種設備は、信号機、転てつ装置、踏切保安装置等である。指令所装置4は、指令所に設置される装置であり、鉄道網又は線区における列車運行の監視及び管理等を集中的に行う。
無線基地局11及び車上無線局12は、デジタルのデータを無線伝送する。無線伝送に利用される電波の帯域幅が狭く制限されており、データの伝送速度は、例えば、9.6kbps程度である。図2に示されるように、無線基地局11は、所定の通信周期Tでデータを送信する。無線基地局11が通信周期Tに送信するデータは、複数のタイムスロット8に時分割されている。
図3に示されるように、車上無線局12は、通信周期Tでデータを送信する。車上無線局12が通信周期Tに伝送するデータは、複数のタイムスロット8に時分割されている。
図4に示されるように、無線基地局11及び車上無線局12が無線伝送する制御情報81は、各々のタイムスロット8に収容される。無線基地局11及び車上無線局12は、無線伝送された順序をチェックするためのカウンタ値82を制御情報81に付加して暗号化した暗号文を無線伝送する。この暗号化において、鍵を変化させるためのイニシャライゼーション・ベクターを無線伝送せず、イニシャライゼーション・ベクターを無線伝送する場合よりも無線伝送する暗号文のビット数を増やさず、かつ、無線システム1の使用において同じ制御情報81から同じ暗号文が生成されないように、カウンタ値82のビット数が設定されている。
カウンタ値82は、無線伝送された時間的な順序をチェックするための通し番号であるので、通番とも呼ばれる。タイムスロット8内の電文は、制御情報81及びカウンタ値82以外に、無線制御情報83、装置ID84、フッタ情報85、及び認証タグ86を有する。無線制御情報83は、スロット番号や無線基地局ID等、無線基地局11及び車上無線局12における無線機間での制御のための情報である。装置ID84は、車上無線局を識別するために使用される。フッタ情報85は、巡回冗長検査(CRC)符号等を有する。認証タグ86は、情報の完全性を検定するために付加される。暗号化による秘匿対象の電文87は、無線制御情報83のうち秘匿すべき部分、装置ID84、カウンタ値82、制御情報81、フッタ情報85、及び認証タグ86である。認証タグ86の対象の電文88は、無線制御情報83、装置ID84、カウンタ値82、制御情報81、及びフッタ情報85である。認証タグ計算アルゴリズムは、例えば、NIST Special Publication 800-38B Recommendation for Block Cipher
Modes of Operation: The CMAC Mode for Authenticationが使用される。
Modes of Operation: The CMAC Mode for Authenticationが使用される。
上記のように構成された無線システム1において、無線伝送される制御情報81は、暗号化によって暗号文の中に秘匿される。制御情報81を暗号化しただけでは、セキュリティが十分とはいえない。例えば、車上無線局12が制御情報81として自列車の位置情報を送信する場合、列車が走行中であれば、位置情報が変化するので、送信する暗号文も変化する。列車が停止中であれば、位置情報が変化しないので、このとき、同じ暗号文が送信されると、無線システム1へのリプレイ攻撃(Replay Attack)が行われるおそれがある。リプレイ攻撃とは、暗号文を盗聴し、その暗号文を再利用した攻撃である。このため、イニシャライゼーション・ベクター(IV)という乱数をベース・キーに組合せ、暗号の鍵を変化させることによって、同じ平文から同じ暗号文が生成されないようにする。暗号文の復号の際にイニシャライゼーション・ベクターが必要になるので、従来の技術常識では、暗号文とは別にイニシャライゼーション・ベクターを送る必要がある。しかしながら、無線基地局11と車上無線局12との間の無線伝送では、伝送速度の制約ため、十分なビット数のイニシャライゼーション・ベクターを無線伝送することが難しく、同じ制御情報から同じ暗号文が生成されるおそれがある。
これに対して、本実施形態の無線システム1では、イニシャライゼーション・ベクターを無線伝送せず、イニシャライゼーション・ベクターを無線伝送しないことによって生じたビット数の余裕を利用し、無線伝送する暗号文のビット数(サイズ)を増やさずに、カウンタ値82のビット数(サイズ)を増やしている。カウンタ値82のビット数を増やすことによって、カウンタ値が一巡する周期が伸びる。カウンタ値82が一巡せずに変化する周期内において、同じ制御情報81から同じ暗号文は生成されない。無線システム1の使用において同じ制御情報81から同じ暗号文が生成されないようにカウンタ値82のビット数が設定されている。
伝送速度の制約のため、例えば、10bitのイニシャライゼーション・ベクターを用いる場合、カウンタ値は8bitとなる。カウンタ値を500msでインクリメントする場合、8ビットのカウンタ値は、2分8秒でオーバーフローして一巡する。本実施形態では、イニシャライゼーション・ベクターを無線伝送しないことにより、カウンタ値82が18bitに設定される。カウンタ値82を500msでインクリメントする場合、18bitのカウンタ値82は、一巡する周期が36時間24分であり、1日を超えており、無線システム1の使用において、十分な長さである。
無線システム1においてイニシャライゼーション・ベクターは、無線伝送されないが、上記の暗号化において、カウンタ値82を含む電文からイニシャライゼーション・ベクターが生成される。図5に示されるように、暗号化アルゴリズムとして、暗号文ブロック連鎖(CBC:Cipher Block Chaining)モードが用いられる。カウンタ値82及び制御情報81を含んだ秘匿対象の電文87を用いてイニシャライゼーション・ベクターCBC−IVが生成される。秘匿対象の電文87は、このイニシャライゼーション・ベクターCBC−IVを用いて暗号化される。本実施形態では、秘匿対象の電文87をx=(M1||M2||M3…|MN)とする。ここで、M1〜MNは、例えば、128bitのメッセージである。イニシャライゼーション・ベクターCBC−IVは、例えば、Hash(M2||M3|…|MN||kc3)の下位128bitとする。HashとしてはSHA−256を使用する。kc3は、鍵である。このイニシャライゼーション・ベクターCBC−IVを用いて、暗号文ブロック連鎖モードにより、M1〜MNが暗号文C1〜CNに暗号化される。暗号文C1〜CNからM1〜MNへの復号は、当然可逆である。このような暗号化により、制御情報81等が暗号文C1〜CNの中に秘匿される。カウンタ値82が変化することにより、イニシャライゼーション・ベクターCBC−IVが変化し、同じ制御情報81から異なる暗号文が生成される。また、秘匿対象の電文87が暗号文ブロック連鎖モードにより暗号化されるので、カウンタ値82が変化することによって秘匿対象の電文87が大幅にスクランブルされ、カウンタ値82の小さな変化が暗号文全体に及ぶ。
無線基地局11及び車上無線局12は、無線伝送の相手方を認証するための電文を無線伝送し、相手方を認証した後、上記のように制御情報81を無線伝送する。この相互認証について図6を参照して説明する。無線基地局11は、識別のための地上ID(無線基地局ID)を有している。車上無線局12は、識別のための車上IDを有している。無線伝送は、特定の地上IDを有している無線基地局11及び特定の車上IDを有している車上無線局12の間で行われる。車上無線局12は、所定のビット数の乱数aを発生し(S101)、乱数aを無線基地局11に伝送する(S102)。無線基地局11は、乱数bを発生する(S103)。無線基地局11は、乱数a、乱数b、及び車上IDから成る平文の数列a|b|車上IDから、相互認証用鍵kc1とアルゴリズムEを用いて、暗号化した電文c=E(kc1,a|b|車上ID)を生成し(S104)、電文cを車上無線局12に伝送する(S105)。車上無線局12は、乱数b、乱数a、及び地上IDから成る平文の数列b|a|地上IDから、相互認証用鍵kc1とアルゴリズムEを用いて、暗号化した電文d=E(kc1,b|a|地上ID)を生成し(S106)、電文dを車上無線局12に伝送する(S107)。無線基地局11は、電文dを復号し、復号した電文中の地上IDと自局の地上IDの一致によって相手方である車上無線局12を認証する(S108)。車上無線局12は、電文cを復号し、復号した電文中の車上IDと自局の車上IDの一致によって相手方である無線基地局11を認証する(S109)。このような無線基地局11及び車上無線局12による相互認証は、例えば、車上無線局12の無線機の起動時に行われる。
無線伝送の相手方を認証するための電文c、dの生成には、相互認証用鍵kc1が用いられる。認証タグ86の生成には、認証通信用鍵kc2が用いられる。制御情報81の暗号化には、秘匿通信用鍵kc3が用いられる。これらの相互認証用鍵kc1、認証通信用鍵kc2、及び秘匿通信用鍵kc3は、1つの一時鍵Kcから生成され、無線基地局11と車上無線局12とで共有される。一時鍵Kcは、例えば、最上位ビット(MSB)から所定のビット数ごとに、相互認証用鍵kc1、認証通信用鍵kc2、秘匿通信用鍵kc3として指定され、残余のビットは廃棄される。一時鍵Kcからの相互認証用鍵kc1、認証通信用鍵kc2、及び秘匿通信用鍵kc3の生成は、これに限定されない。
一時鍵Kcは、無線基地局11及び車上無線局12が各々発生して相手方に送信した乱数db、dmと、無線基地局11及び車上無線局12とで予め共有されている事前共有鍵Kと、所定の鍵導出関数KDFとから生成される。一時鍵Kc等の生成について図7を参照して説明する。車上無線局12は、所定のビット数の乱数dmを発生し(S201)、乱数dmを無線基地局11に伝送する(S202)。無線基地局11は、乱数dbを発生し(S203)、乱数dbを車上無線局12に伝送する(S204)。無線基地局11は、乱数dm及び乱数dbから成る平文の数列dm|dbから、事前共有鍵Kと鍵導出関数KDFを用いて一時鍵Kc=E(K,dm|db)を生成する(S206)。無線基地局11は、一時鍵Kcから相互認証用鍵kc1、認証通信用鍵kc2、及び秘匿通信用鍵kc3を生成する(S206)。車上無線局12は、無線基地局11と同様に、一時鍵Kc=KDF(K,dm|db)を生成する(S207)。車上無線局12は、無線基地局11と同様に、一時鍵Kcから相互認証用鍵kc1、認証通信用鍵kc2、及び秘匿通信用鍵kc3を生成する(S208)。
事前共有鍵Kは、列車5の運転が始まる前に、所定の方法により、無線基地局11及び車上無線局12で共有される。鍵導出関数KDFは、例えば、ISO/IEC18033−2で標準化されているアルゴリズムである。
図8に示されるように、無線基地局11a、11b、11cは、列車が運転される線路に沿って複数設置されている。無線基地局11aが無線伝送を行うエリア111a、無線基地局11bが無線伝送を行うエリア111b、無線基地局11cが無線伝送を行うエリア111cは、この順に隣接している。列車5が、エリア111aからエリア111bに移動すると、無線伝送のハンドオーバーが行われる。列車5の移動に伴って車上無線局12との無線伝送が、一つの無線基地局11aから別の無線基地局11bにハンドオーバーされるとき、認証通信用鍵kc2及び秘匿通信用鍵kc3は、無線基地局11aから無線基地局11bに配送される。認証通信用鍵kc2及び秘匿通信用鍵kc3の配送は、地上側のネットワーク6を介して行われる(図1参照)。ここで、別の無線基地局11bとは、ハンドオーバーが正常に行われた場合、無線基地局11aに隣接する無線基地局11bである(図8参照)。無線基地局11bから無線基地局11cへのハンドオーバーについても同様である。
なお、無線基地局11aから隣接する無線基地局11bへのハンドオーバーが失敗した場合、エリア111a、111cが延長され、無線基地局11aから隣接しない無線基地局11cへのハンドオーバーが行われることがある。車上無線局12との無線伝送が、無線基地局11aから無線基地局11cにハンドオーバーされるとき、認証通信用鍵kc2及び秘匿通信用鍵kc3は、無線基地局11aから無線基地局11cに配送される。
無線伝送がハンドオーバーされる時、無線基地局11a、11bが車上無線局12に伝送するカウンタ値82が不連続になるので、車上無線局12は、カウンタ値82のチェックを行わないという例外処理が必要となる。カウンタ値82のチェックを行わないことによるセキュリティの低下を防ぐため、無線伝送がハンドオーバーされるとき、無線基地局11及び車上無線局12は、認証通信用鍵kc2及び秘匿通信用鍵kc3をハッシュ関数を用いて変更する。無線基地局11における認証通信用鍵kc2及び秘匿通信用鍵kc3の変更は、ハンドオーバーの直前に無線基地局11aが行うか、ハンドオーバーの直後に無線基地局11bが行う。本実施形態では、ハッシュ関数は、米国家安全保障局(NSA)によって開発されたSHA−256である。認証通信用鍵kc2及び秘匿通信用鍵kc3にSHA−256を作用させ、認証通信用鍵kc2及び秘匿通信用鍵kc3のビット長に切り詰める。なお、用いられるハッシュ関数は、SHA−256に限定されない。無線基地局11及び車上無線局12が同じ所定のハッシュ関数を用いることによって、変更後の認証通信用鍵kc2及び秘匿通信用鍵kc3は、無線基地局11と車上無線局12とで共有される。
無線伝送がハンドオーバーされるとき、カウンタ値82を一つの無線基地局11aから別の無線基地局11bに引き継いでもよい。すなわち、無線基地局11aは、ハンドオーバー直前のカウンタ値82を地上のネットワークを介して無線基地局11bに渡す。この場合、無線基地局11a、11bが伝送するカウンタ値82が連続する。このため、車上無線局12は、カウンタ値82のチェックを行うことができる。すなわち、ハンドオーバー時にカウンタ値82をチェックしないという例外処理は不要となる。また、無線伝送がハンドオーバーされるとき、認証通信用鍵kc2及び秘匿通信用鍵kc3の変更が不要となる。
なお、無線伝送がハンドオーバーされるとき、カウンタ値82を一つの無線基地局11aから別の無線基地局11bに引き継ぐことに加え、認証通信用鍵kc2及び秘匿通信用鍵kc3をハッシュ関数を用いて変更してもよい。これにより、認証通信用鍵kc2及び秘匿通信用鍵kc3の変更頻度が高まる。
地震時に全列車を一斉に停める等、鉄道網又は線区における複数の列車5に同じ制御情報81を迅速に伝送すべき場合がある。このような場合、無線基地局11から個別の列車5に制御情報を無線伝送したのでは、迅速性に欠ける。無線システム1では、無線基地局11が無線伝送するデータのタイムスロット8は、個別の列車5に無線伝送する制御情報81を収容する個別スロットと、複数の列車に一斉に伝送する制御情報81を収容する同報スロットとを有する。図2において、同報スロットには斜線を付して示している。同報スロット内の制御情報81は、同報スロット用のカウンタ値82を付加して暗号化される。同報スロット用の鍵は、複数の車上無線局12において同じである。同報スロット用のカウンタ値82は、複数の車上無線局12において同期している。
同報スロット用の鍵は、個別スロットを用いて無線基地局11から車上無線局12に伝送される。例えば、無線基地局11から車上無線局12に、個別スロットを用いて、事前共有鍵Kや一時鍵Kcとは独立の同報スロット鍵Kbが無線伝送される。車上無線局12は、同報スロット鍵Kbから鍵導出関数KDFを用いて、同報スロット用の認証通信用鍵kb_c2及び秘匿通信用鍵kb_c3を生成する(kb_c2|kb_c3=KDF(Kb,0|0))。
列車制御システム2における列車制御の代表例として、列車の間隔制御を図9乃至図11を参照して説明する。列車5には、車上無線局12及び車上制御装置51以外に、ブレーキ装置52と、速度検知器53と、列車位置検知装置54とが搭載されている。ブレーキ装置52は、列車5を制動する。速度検知器53は、例えば、車輪の回転速度を検知する速度発電機を有し、自列車5の速度を検知する。列車位置検知装置は、例えば、速度検知器53が検知した速度を時間積分し、自列車5の位置を検知する。
車上制御装置51は、列車位置検知装置54が検知した自列車5の位置情報を無線システム1を介して地上装置3に送信する。地上装置3は、受信した列車5の位置情報に基づいて、後続の列車5’に停止限界の位置情報を送信する。後続の列車5’の車上制御装置51は、列車位置検知装置54が検知した自列車5’の位置と、停止限界の位置情報とに基づいて、列車5’を停止限界までに停止させるための速度照査パターンPを生成するとともに、自列車5’の速度が速度照査パターンPを超過しているとき、ブレーキ装置52で自列車5’を制動する。後続の列車5’は、停止限界を越えないように制動される。このように、軌道回路を用いずに列車主体で列車間隔が制御される。
以上、本実施形態に係る無線システム1によれば、同じ制御情報81から同じ暗号文が生成されないようにカウンタ値82のビット数が設定されるので、地上と車上との間での無線伝送のセキュリティが高い。また、イニシャライゼーション・ベクターを無線伝送する場合よりも無線伝送する暗号文のビット数を増やさないので、無線伝送の伝送速度が低くても、セキュリティを高くできる。
カウンタ値82及び制御情報81を含んだ秘匿対象の電文87を用いてイニシャライゼーション・ベクターが生成され、秘匿対象の電文87は、そのイニシャライゼーション・ベクターを用いて暗号化されるので、カウンタ値82が変化することにより、イニシャライゼーション・ベクターが変化し、同じ制御情報81から異なる暗号文が生成される。また、秘匿対象の電文87が暗号文ブロック連鎖モードにより暗号化されるので、カウンタ値82の小さな変化が暗号文全体に及び、無線伝送のセキュリティが高くなる。
制御情報81は、情報の完全性を検定するための認証タグ86が付加されるので、無線システム1は、無線伝送された制御情報81の完全性を検定することができる。
無線基地局11及び車上無線局12は、相手方を認証した後、制御情報81を無線伝送するので、無線伝送のセキュリティが高い。
相互認証用鍵kc1、認証通信用鍵kc2、及び秘匿通信用鍵kc3は、1つの一時鍵Kcから生成されるので、生成処理の効率が良い。
一時鍵Kcは、無線基地局11及び車上無線局12が各々発生して相手方に送信した乱数dm、dbが生成に用いられるので、毎回同じ一時鍵Kcが生成されることがない。
無線伝送がハンドオーバーされるとき、認証通信用鍵kc2及び秘匿通信用鍵kc3は、一つの無線基地局11から別の無線基地局11に配送されるので、認証通信用鍵kc2及び秘匿通信用鍵kc3をハンドオーバーの都度生成する必要が無く、無線システム1における処理が効率化される。
無線伝送がハンドオーバーされるとき、認証通信用鍵kc2及び秘匿通信用鍵kc3が変更されることにより、無線伝送のセキュリティが高くなる。
無線伝送がハンドオーバーされるとき、カウンタ値82が一つの無線基地局11から別の無線基地局11に引き継がれることにより、カウンタ値82が連続するので、車上無線局12におけるカウンタ値82をチェックしないという例外処理が不要になり、車上無線局12における処理が効率化される。
無線基地局が無線伝送するデータのタイムスロット8が同報スロットを有するので、複数の列車5に同じ制御情報を一斉に伝送することができる。
同報スロット用の鍵が個別スロットを用いて無線基地局11から車上無線局12に伝送されるので、同報スロット用の鍵が秘匿される。
上記のような無線システム1を有する列車制御システム2によれば、地上の軌道回路を用いずに、車上の列車位置検知装置54を利用して、列車主体の列車制御を行うことができ、地上の設備のコストが低減される。また、無線システム1による無線伝送のセキュリティが高いので、列車運行の安全性が確保される。
なお、本発明は、上記の実施形態の構成に限られず、発明の要旨を変更しない範囲で種々の変形が可能である。例えば、列車制御システム2は、踏切の制御や、臨時速度制限等にも用いられる。
1 無線システム
11、11a、11b、11c 無線基地局
12 車上無線局
2 列車制御システム
3 地上装置
5、5’ 列車
51 車上制御装置
54 列車位置検知装置
8 タイムスロット
81 制御情報
82 カウンタ値
86 認証タグ
87 秘匿対象の電文
db 乱数
dm 乱数
K 事前共有鍵
Kc 一時鍵
kc1 相互認証用鍵
kc2 認証通信用鍵
kc3 秘匿通信用鍵
KDF 鍵導出関数
P 速度照査パターン
11、11a、11b、11c 無線基地局
12 車上無線局
2 列車制御システム
3 地上装置
5、5’ 列車
51 車上制御装置
54 列車位置検知装置
8 タイムスロット
81 制御情報
82 カウンタ値
86 認証タグ
87 秘匿対象の電文
db 乱数
dm 乱数
K 事前共有鍵
Kc 一時鍵
kc1 相互認証用鍵
kc2 認証通信用鍵
kc3 秘匿通信用鍵
KDF 鍵導出関数
P 速度照査パターン
Claims (12)
- 地上に設置された無線基地局と、列車に搭載された車上無線局とを備え、前記無線基地局と車上無線局との間で列車の制御に用いられる制御情報を無線伝送するための無線システムであって、
前記無線基地局及び車上無線局は、無線伝送された順序をチェックするためのカウンタ値を制御情報に付加して暗号化した暗号文を無線伝送し、
前記暗号化において、鍵を変化させるためのイニシャライゼーション・ベクターを無線伝送せず、前記イニシャライゼーション・ベクターを無線伝送する場合よりも無線伝送される暗号文のビット数を増やさず、かつ、該無線システムの使用において同じ制御情報から同じ暗号文が生成されないように前記カウンタ値のビット数が設定されていることを特徴とする無線システム。 - 前記暗号化において、前記カウンタ値及び制御情報を含んだ秘匿対象の電文を用いてイニシャライゼーション・ベクターが生成され、前記秘匿対象の電文は、そのイニシャライゼーション・ベクターを用いた暗号文ブロック連鎖モードにより暗号化されることを特徴とする請求項1に記載の無線システム。
- 前記制御情報は、情報の完全性を検定するための認証タグが付加されることを特徴とする請求項1又は請求項2に記載の無線システム。
- 前記無線基地局及び車上無線局は、無線伝送の相手方を認証するための電文を無線伝送し、相手方を認証した後、前記制御情報を無線伝送することを特徴とする請求項3に記載の無線システム。
- 無線伝送の相手方を認証するための前記電文を生成する相互認証用鍵、前記認証タグを生成する認証通信用鍵、及び前記制御情報の暗号化に用いられる秘匿通信用鍵は、1つの一時鍵から生成され、前記無線基地局と車上無線局とで共有されることを特徴とする請求項4に記載の無線システム。
- 前記一時鍵は、前記無線基地局及び車上無線局が各々発生して相手方に送信した乱数と、前記無線基地局及び車上無線局とで予め共有されている事前共有鍵と、所定の鍵導出関数とから生成されることを特徴とする請求項5に記載の無線システム。
- 前記無線基地局は、列車が運転される線路に沿って複数設置されており、
列車の移動に伴って車上無線局との無線伝送が、一つの無線基地局から別の無線基地局にハンドオーバーされるとき、前記認証通信用鍵及び秘匿通信用鍵は、前記一つの無線基地局から別の無線基地局に配送されることを特徴とする請求項5又は請求項6に記載の無線システム。 - 無線伝送がハンドオーバーされるとき、前記無線基地局及び車上無線局は、前記認証通信用鍵及び秘匿通信用鍵をハッシュ関数を用いて変更することを特徴とする請求項7に記載の無線システム。
- 無線伝送がハンドオーバーされるとき、前記カウンタ値は、前記一つの無線基地局から別の無線基地局に引き継がれることを特徴とする請求項7又は請求項8に記載の無線システム。
- 前記無線基地局及び車上無線局は、データを複数のタイムスロットに時分割して無線伝送し、
前記無線基地局が無線伝送するデータのタイムスロットは、個別の列車に無線伝送する前記制御情報を収容する個別スロットと、複数の列車に一斉に伝送する制御情報を収容する同報スロットとを有し、
前記同報スロット内の制御情報は、同報スロット用のカウンタ値を付加して暗号化され、
前記同報スロット用の鍵は、前記複数の車上無線局において同じであり、
前記同報スロット用のカウンタ値は、前記複数の車上無線局において同期していることを特徴とする請求項4に記載の無線システム。 - 前記同報スロット用の鍵は、前記個別スロットを用いて前記無線基地局から車上無線局に伝送されることを特徴とする請求項10に記載の無線システム。
- 地上に設置された地上装置と、列車に搭載された車上制御装置とを備えた列車制御システムであって、
前記地上装置と車上制御装置との間で制御情報を送受信する請求項1乃至請求項11のいずれか一項に記載の無線システムと、列車に搭載された列車位置検知装置とをさらに備え、
前記車上制御装置は、前記列車位置検知装置が検知した自列車の位置情報を前記無線システムを介して前記地上装置に送信し、
前記地上装置は、受信した列車の位置情報に基づいて、後続の列車に停止限界の位置情報を送信し、
前記後続の列車の車上制御装置は、列車位置検知装置が検知した自列車の位置と、前記停止限界の位置情報とに基づいて、列車を停止限界までに停止させるための速度照査パターンを生成するとともに、自列車の速度が前記速度照査パターンを超過しているとき、自列車を制動することを特徴とする列車制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012193334A JP6092548B2 (ja) | 2012-09-03 | 2012-09-03 | 無線システム及び列車制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012193334A JP6092548B2 (ja) | 2012-09-03 | 2012-09-03 | 無線システム及び列車制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014050038A true JP2014050038A (ja) | 2014-03-17 |
| JP6092548B2 JP6092548B2 (ja) | 2017-03-08 |
Family
ID=50609260
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012193334A Expired - Fee Related JP6092548B2 (ja) | 2012-09-03 | 2012-09-03 | 無線システム及び列車制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6092548B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101619764B1 (ko) * | 2014-08-29 | 2016-05-11 | 회명정보통신(주) | 사고 지역 통제를 위한 열차 운전보안 장치 및 시스템 |
| JP2017163470A (ja) * | 2016-03-11 | 2017-09-14 | 日本電気株式会社 | 暗号通信システム、暗号通信方法、セキュリティチップ、通信装置およびその制御方法と制御プログラム |
| JP2018056736A (ja) * | 2016-09-28 | 2018-04-05 | 西日本旅客鉄道株式会社 | 無線式列車制御システムの無線システム |
| WO2019049580A1 (ja) * | 2017-09-05 | 2019-03-14 | パナソニックIpマネジメント株式会社 | 駅車間通信システムおよび制御方法 |
| JP2019103000A (ja) * | 2017-12-04 | 2019-06-24 | 西日本旅客鉄道株式会社 | 無線システム及び無線式列車制御システム |
| CN110023170A (zh) * | 2016-11-25 | 2019-07-16 | 西门子移动有限公司 | 用于运行铁路系统的方法以及铁路系统的车辆 |
| JP2020090236A (ja) * | 2018-12-07 | 2020-06-11 | 東日本旅客鉄道株式会社 | 列車位置検出装置及び列車位置検出システム |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1032567A (ja) * | 1996-07-18 | 1998-02-03 | Mitsubishi Electric Corp | 秘匿化装置、秘匿解除装置およびこれらを用いたデータ伝送システム |
| JP2006129432A (ja) * | 2004-09-30 | 2006-05-18 | Hitachi Ltd | 分散環境における暗号鍵更新方法、暗号鍵更新システム、暗号鍵更新システムを構成する認証サーバ、移動体、および無線基地局 |
| JP2008017463A (ja) * | 2006-06-07 | 2008-01-24 | Hitachi Ltd | 無線制御セキュリティシステム |
| JP2008290585A (ja) * | 2007-05-25 | 2008-12-04 | Kyosan Electric Mfg Co Ltd | 情報伝送装置 |
| US20090219900A1 (en) * | 2005-11-29 | 2009-09-03 | Heikki Kokkinen | Method, System and Arrangements for Setting Up and Maintaining a WLAN Connection within predictably moving vehicles |
-
2012
- 2012-09-03 JP JP2012193334A patent/JP6092548B2/ja not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1032567A (ja) * | 1996-07-18 | 1998-02-03 | Mitsubishi Electric Corp | 秘匿化装置、秘匿解除装置およびこれらを用いたデータ伝送システム |
| JP2006129432A (ja) * | 2004-09-30 | 2006-05-18 | Hitachi Ltd | 分散環境における暗号鍵更新方法、暗号鍵更新システム、暗号鍵更新システムを構成する認証サーバ、移動体、および無線基地局 |
| US20090219900A1 (en) * | 2005-11-29 | 2009-09-03 | Heikki Kokkinen | Method, System and Arrangements for Setting Up and Maintaining a WLAN Connection within predictably moving vehicles |
| JP2008017463A (ja) * | 2006-06-07 | 2008-01-24 | Hitachi Ltd | 無線制御セキュリティシステム |
| JP2008290585A (ja) * | 2007-05-25 | 2008-12-04 | Kyosan Electric Mfg Co Ltd | 情報伝送装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101619764B1 (ko) * | 2014-08-29 | 2016-05-11 | 회명정보통신(주) | 사고 지역 통제를 위한 열차 운전보안 장치 및 시스템 |
| JP2017163470A (ja) * | 2016-03-11 | 2017-09-14 | 日本電気株式会社 | 暗号通信システム、暗号通信方法、セキュリティチップ、通信装置およびその制御方法と制御プログラム |
| WO2017154484A1 (ja) * | 2016-03-11 | 2017-09-14 | 日本電気株式会社 | 暗号通信システム、暗号通信方法、セキュリティチップ、通信装置およびその制御方法と制御プログラム |
| US11070365B2 (en) | 2016-03-11 | 2021-07-20 | Nec Corporation | Encryption communication system, encryption communication method, security chip, communication apparatus, and control method and control program of communication apparatus |
| JP2018056736A (ja) * | 2016-09-28 | 2018-04-05 | 西日本旅客鉄道株式会社 | 無線式列車制御システムの無線システム |
| CN110023170A (zh) * | 2016-11-25 | 2019-07-16 | 西门子移动有限公司 | 用于运行铁路系统的方法以及铁路系统的车辆 |
| US11958519B2 (en) | 2016-11-25 | 2024-04-16 | Siemens Mobility GmbH | Method for operating a railway system, and vehicle of a railway system |
| WO2019049580A1 (ja) * | 2017-09-05 | 2019-03-14 | パナソニックIpマネジメント株式会社 | 駅車間通信システムおよび制御方法 |
| JP2019103000A (ja) * | 2017-12-04 | 2019-06-24 | 西日本旅客鉄道株式会社 | 無線システム及び無線式列車制御システム |
| JP2020090236A (ja) * | 2018-12-07 | 2020-06-11 | 東日本旅客鉄道株式会社 | 列車位置検出装置及び列車位置検出システム |
| JP7241521B2 (ja) | 2018-12-07 | 2023-03-17 | 東日本旅客鉄道株式会社 | 列車位置検出装置及び列車位置検出システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6092548B2 (ja) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6092548B2 (ja) | 無線システム及び列車制御システム | |
| JP6452205B2 (ja) | 衛星システムにおける鍵配布 | |
| EP2039583B1 (en) | Railway radio control system | |
| KR102219086B1 (ko) | 드론(Unnamed Aerial vehicle)시스템을 위한 HMAC기반의 송신원 인증 및 비밀키 공유 방법 및 시스템 | |
| CN104994112A (zh) | 一种无人机与地面站通信数据链加密的方法 | |
| CN111148073B (zh) | 一种车地通信传输信息的密钥管理方法及系统 | |
| KR102419057B1 (ko) | 철도 통신네트워크의 메시지 보안 시스템 및 방법 | |
| CN101420686B (zh) | 基于密钥的工业无线网络安全通信实现方法 | |
| CN110753321A (zh) | 一种车载tbox与云服务器的安全通信方法 | |
| CN102026180A (zh) | M2m传输控制方法、装置及系统 | |
| JP5016394B2 (ja) | 無線制御セキュリティシステム | |
| Chothia et al. | An attack against message authentication in the ERTMS train to trackside communication protocols | |
| JP6544519B2 (ja) | 移動体制御システム | |
| KR102282633B1 (ko) | 철도관제시스템과 복수의 무선폐색장치 간의 연계인증 방법 및 그 연계인증 장치 | |
| EP3219575B1 (en) | Method for securing the exchange of authentication keys and associated key management module | |
| JP5503692B2 (ja) | 無線制御セキュリティシステム | |
| CN106911718A (zh) | 基于量子密钥服务站的保密对讲系统及方法 | |
| CN113221136B (zh) | Ais数据传输方法、装置、电子设备和存储介质 | |
| CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
| CN117014141A (zh) | 一种量子安全模块密钥分发过程中的接入认证方法 | |
| JP7141723B2 (ja) | 無線通信システムを介してアクチュエータを制御するための装置、システムおよび方法 | |
| US20240187216A1 (en) | Data processing device for railed vehicle control | |
| JP2000233750A (ja) | 列車制御用デジタル通信システム | |
| CN106961330A (zh) | 量子密钥服务站 | |
| Craven et al. | Security of ATCS wireless railway communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150710 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160415 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160511 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160615 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161111 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161226 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170113 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170125 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170209 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6092548 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |