TWI790215B - 用於鐵路環境下重要通信的安全管理的設備和方法 - Google Patents
用於鐵路環境下重要通信的安全管理的設備和方法 Download PDFInfo
- Publication number
- TWI790215B TWI790215B TW106139927A TW106139927A TWI790215B TW I790215 B TWI790215 B TW I790215B TW 106139927 A TW106139927 A TW 106139927A TW 106139927 A TW106139927 A TW 106139927A TW I790215 B TWI790215 B TW I790215B
- Authority
- TW
- Taiwan
- Prior art keywords
- signature
- pseudo
- message
- encryption key
- key
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 238000004891 communication Methods 0.000 title claims description 32
- 238000012545 processing Methods 0.000 claims abstract description 22
- 230000008859 change Effects 0.000 claims abstract description 5
- 238000012795 verification Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000004888 barrier function Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/40—Handling position reports or trackside vehicle data
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L15/00—Indicators provided on the vehicle or train for signalling purposes
- B61L15/0018—Communication with or on the vehicle or train
- B61L15/0027—Radio-based, e.g. using GSM-R
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L27/00—Central railway traffic control systems; Trackside control; Communication systems specially adapted therefor
- B61L27/70—Details of trackside communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B61—RAILWAYS
- B61L—GUIDING RAILWAY TRAFFIC; ENSURING THE SAFETY OF RAILWAY TRAFFIC
- B61L2205/00—Communication or navigation systems for railway traffic
- B61L2205/02—Global system for mobile communication - railways [GSM-R]
Landscapes
- Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Train Traffic Observation, Control, And Security (AREA)
- Lock And Its Accessories (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
Abstract
本發明包括用於在控制鐵路網路的重要設備之間生成和驗證安全消息的設備和方法,其中所述設備包括控制和/或處理裝置,所述控制和/或處理裝置被配置為執行以下步驟:a)生成消息主體,所述消息主體包括可以改變所述鐵路網路狀態的資訊;b)基於消息主體和第一加密秘鑰生成第一偽簽名;c)將所述第一偽簽名傳送到第二裝置;d)從所述第二裝置接收第二偽簽名;e)基於第二偽簽名和第一加密秘鑰生成消息簽名;f)通過組合消息主體和消息簽名來生成消息;g)將消息發送給接收器。
Description
本發明涉及用於在通信線路上產生和交換消息的裝置和方法,所述通信線路用於控制鐵路網路、尤其是安全消息,即滿足鐵路部門典型完整性要求的消息。
眾所周知,過去幾十年鐵路網路的發展導致了自動化水準的提高,特別是在鐵路網路的控制和監督方面以及在其上流通的交通方面的提高。這種自動化水準的提高還導致了操作監視和控制設備所需的通信頻寬的增加。
根據CENELEC EN 50159及之後標準的規定,這些設備必須以四級安全完整性等級(SIL)進行工作。確保這些要求得到滿足的方法之一是使用安全處理系統(安全計算器),其具有以受時變數位簽章保護的通信形式收集、處理和交流重要資訊和/或命令(即,對於他們所控制的鐵路線的安全運行所必需的)的任務。使用冗餘體系結構(2oo2),即,使用一對裝置(其中每一個也被稱為“副本”)來設計這些設備,其中每個裝置必須處理資訊並共同授權發送有效的重要消息。在這種情況下,有必要確保這種通信的安全性,即設計該系統,以便在至少兩個副本不一致的情況下,不能發送有效且潛在危險的重要資訊。這個任務由第三個裝置(即本質安全的稱為“看門狗”的電路)完成,其任務是安全地允許或中斷出站通信。因此,當檢測到至少兩個副本之間的不一致時,該裝置可以關閉這兩個裝置; 實際上,這種不一致通常是故障的症狀。在鐵路領域中,關閉這些系統可以使受控的運輸系統(例如鐵路車隊、交換站、信號等)達到通常在設計階段定義的安全狀態,例如電力不供給鐵路線的狀態、火車靜止不動的狀態、所有的交換站都被定位使得任何流通車隊不能相互碰撞的狀態。
但是,由於系統由較多的部件組成(這使得它更加複雜),因此這種電路的存在增加了整個系統的驗證階段的持續時間。
在代表西門子工業公司的美國專利申請US2014/074327A1中解決了這個問題,其中描述了包括一對副本(所述控制器)的控制系統,其中兩個副本中只有一個被配置為生成用於驗證完整性和真實性(輸出安全代碼)的資訊。這在兩個副本之間產生顯著的功能差異,假如兩個副本剛剛所採取的行動必須被取消,例如由於他們中的一個已經檢測到故障或者由於其中一個已經(在另一個之前)檢測到異常情況(例如在軌道上存在汽車,在同一線路上反向行駛的兩個車隊等),該功能差異增加了介入時間。
本發明旨在通過提供根據本發明的用於生成控制鐵路網路的消息的裝置和方法來解決這些問題和其他問題。
本發明的基本思想是通過使用至少兩個獨立貢獻來生成用於檢查消息主體的真實性和完整性的簽名,即,配置根據本發明的第一設備和第二設備,以使用用於每個設備的不同的加密秘鑰分別生成第一偽簽名和第二偽簽名,交換所述偽簽名,以及使用其自己的秘鑰和所接收的偽簽名來生成簽名,其中所述第一設備和第二設備被配置為兩個獨立的副本,每個副本被配置為執行一組控制邏輯,以獨立於所述另一個設備控制所述鐵路網路的一部分,從而確保必要的冗餘。
以這種方式,可以在兩個設備中的一個設備檢測到另一個設備的異常操作或異常情況的情況下,減少介入時間,這是由於根據本發明的每個設備可以通過停止生成偽簽名或通過改變準備中或已經準備好的偽簽名或簽名,例如通過提供隨機比特序列或者通過在預定期限內不提供簽名,使當前消息無效。
實際上,鐵路網路的控制消息,即改變所述網路的狀態的消息,必須包含控制代碼和簽名,這允許每個控制/監督設備驗證網路消息的完整性和真實性。通過利用這一要求,本發明允許在比根據現有技術的解決方案更長的時間段內使控制消息無效。
在所附申請專利範圍中闡述了本發明的其他有利特徵。
在本說明書中,對“實施例”的任何參考將指示關於本發明的實現方式描述的特定配置、結構或特徵被包括在至少一個實施例中。因此,可能出現在本說明書的不同部分中的短語“在一個實施例中”以及其他類似的短語不一定全都涉及相同的實施例。此外,任何特定的配置、結構或特徵可以以任何被認為合適的方式組合在一個或多個實施例中。因此,以下參考僅用於簡單起見,並不限制各個實施例的保護範圍或擴展。
參考圖1,現在將描述軌道系統S;;這樣的軌道系統S優選地包括以下部分:至少一個鐵路車隊可以通過的鐵路線路R;包括移動屏障的道口信號B;感測器M,諸如感應感測器、磁性感測器等,能夠檢測到正在越過道口的汽車C和/或其他車輛的存在;系統0,生成用於控制鐵路網路的消息,包括:根據本發明的第一設備1a優選與信號B和感測器M進行信號通信;根據本發明的第二設備1b優選與信號B和感測器M進行信號通信;電子監視和控制電腦2,其與設備1a、1b進行信號通信,並且能夠向操作者提供關於所述設備1a、1b、信號B和感測器M的狀態的資訊,並且可能能夠改變所述狀態(例如,獨立於在線路R上通過的列車的存在而降低/升高屏障B,等等)。
應該注意的是,下文的描述涉及道口僅僅是為了舉例說明的目的,因為本發明的目的可以應用於鐵路系統其他需要生成用於控制鐵路網路的消息的部分(例如鐵路車輛、鐵路開關、監控系統等)。
還參考圖2,下文的描述將描述設備1(在圖1中用符號1a和1b表示);這樣的設備1包括以下部件: - 控制和/或處理裝置11(為了簡潔,也稱為CPU),例如,一個或多個CPU和/或微控制器和/或FPGA和/或CPLD等,其能夠優選以可程式設計的方式、通過執行特定的指令生成用於控制鐵路網路的資訊; - 記憶體裝置12,諸如RAM隨機存取記憶體和/或閃速記憶體和/或其他類型的記憶體,其與控制和/或處理裝置11進行信號通信,並且其中所述易失性記憶體裝置12優選地至少包含實現根據本發明的方法的指令,其中在裝置1處於操作狀態時,所述指令可以由控制和/或處理裝置11讀取;此外,這樣的記憶體裝置12包含至少一個第一加密秘鑰(其將在下文的說明書中被更好地描述,並將被稱為術語“秘鑰”或“第一秘鑰”),並且可能還包含實現控制邏輯的一組指令,所述控制邏輯允許所述設備1控制鐵路網路的一部分; - 通信裝置13,優選地,是根據ERTMS/ETCS系統所允許的通信標準之一或者IEEE 802.3系列(被稱為乙太網)、IEEE 802.11(被稱為WiFi)或IEEE 802.16(被稱為WiMax)標準之一進行操作的介面,或者是允許設備1與其他設備1b和/或與其他元件(例如軌道信號B、電子監視和控制電腦2或軌道系統S中存在的其他設備)進行通信的訪問GSM-R或GSM/GPRS/UMTS/LTE或TETRA資料網路的介面; - 輸入/輸出裝置(I/O)14,其例如可以用於將所述設備1(直接)連接到信號B和/或感測器M和/或將所述設備1連接到程式設計端子,所述程式設計端子被配置用於在記憶體裝置12中寫入指令(處理和控制裝置11稍後將要執行該指令)和/或診斷所述設備1的任何故障;這樣的輸入/輸出裝置14可以包括例如USB、火線、RS232、IEEE1284、乙太網、WiFi、藍牙和/或中繼板,其能夠基於寫入記憶體中的值、通過控制和/或處理裝置11等來控制信號屏障B的移動; - 通信匯流排17,其能夠在控制和/或處理裝置11、記憶體裝置12、通信裝置13和輸入/輸出裝置14之間交換資訊。
作為通信匯流排17的替代,可以使用星形架構來連接控制和/或處理裝置11、記憶體裝置12、通信裝置13和輸入/輸出裝置14。
還參考圖3,現在將描述根據本發明的用於生成控制鐵路網路的消息的方法,其中所述方法通過可以由設備1a和1b中的每一個執行的一組指令來實現。
當設備1a和1b中的每一個處於操作狀態時,控制和/或處理裝置11執行實施根據本發明的方法的一組指令。該方法包括至少以下步驟: a. 消息主體準備階段P1a、P1b,其中CPU11產生消息主體,優選地,該消息主體基於儲存在記憶體裝置12中的控制邏輯和任何輸入諸如由感測器M產生的感測器信號和/或由處理器2生成的消息所確定,並通過通信裝置13等被接收; b. 簽名分配(signature contribution)準備階段P2a、P2b,其中CPU11基於消息主體和第一秘鑰(將在下文的說明書中更加精確地描述)生成第一偽簽名; c. 簽名分配交換階段P3a、P3b,其中CPU11借助於通信裝置13將所述偽簽名傳送到根據本發明的另一設備,並總是借助於通信裝置13接收基於另一個消息主體(以類似於上述方式產生)由所述另一設備產生的第二偽簽名和不同於第一秘鑰的第二秘鑰; d. 簽名準備階段P4a、P4b,其中CPU11基於第一秘鑰和由另一設備接收的第二偽簽名生成簽名(也稱為“消息簽名”); e. 消息準備階段P5a、P5b,其中CPU11通過組合消息主體和簽名(例如,通過連接它們)來生成可控制鐵路網路的至少一部分的消息; f. 傳送階段(未在附圖中示出),其中CPU11借助於通信裝置13將該消息傳送給接收器。
應該注意的是,設備1可以被配置為以非順序的方式執行這些階段,即,階段b.,c.,d.可以在階段a.,b.,c.尚未終止時開始。
強調的是,根據現有技術進行消息主體準備階段;因此,包括在消息主體中的資料可能已經是涉及設備1a和1b的表決活動的結果。
在簽名分配準備階段P2a、P2b期間,CPU11優選地被配置為執行實施散列算法(例如MD4、MD5或其他算法)的一組指令,並且使用秘鑰來生成偽簽名。在下文的描述中,字串秘鑰_A標識第一設備1a使用的第一秘鑰,字串秘鑰_B標識第二設備1b使用的第二秘鑰。更詳細地說,兩個偽簽名(由字串偽簽名_A和偽簽名_B標識)優選以如下方式生成: 偽簽名_A = 散列(消息主體)
秘鑰_A 偽簽名_B =散列(消息主體)秘鑰_B
其中符號指示按位異或(bitwise-XOR)的運算; 因此,散列算法產生的字串的長度和秘鑰_A和秘鑰_B的長度優選應該是相同的。
如前所述,這兩個秘鑰是不同的。這不影響僅知道第一秘鑰_A的第一設備1a和僅知道第二秘鑰_B的第二設備的正常功能,因為XOR運算子享有交換屬性,即: 秘鑰_A秘鑰_B = 秘鑰_B秘鑰_A
事實上,在簽名準備階段P4a、P4b期間,設備1a、1b優選地被配置為分別執行以下運算: 假簽名_B秘鑰_A 假簽名_A秘鑰_B
展開上文所示的邏輯運算式,可以寫出如下關係式: 偽簽名_B秘鑰_A=散列(消息主體)秘鑰_B秘鑰_A 偽簽名_A秘鑰_B=散列(消息主體)秘鑰_A秘鑰_B
其中將秘鑰_AB定義為 秘鑰_AB:= 秘鑰_A秘鑰_B = 秘鑰_B秘鑰_A
可以寫出下面的關係式: 偽簽名_A秘鑰_B=散列(消息主體)秘鑰_AB 偽簽名_B秘鑰_A=散列(消息主體)秘鑰_AB
從這裡可以理解兩個設備1a、1b中的每一個如何能夠在不知道兩個秘鑰的情況下計算簽名,因為可以將簽名定義為 簽名:=偽簽名_A秘鑰_B = =偽簽名_B秘鑰_A
因此,該技術允許同步簽名生成,避免只有一個設備執行整個任務,從而通過在異常情況下避免兩個設備1a和1b的關閉,使兩個設備中的每一個可以比現有技術的解決方案介入更長的時間。
強調的是,秘鑰_AB(其也將被稱為“驗證秘鑰”)是驗證由設備1a和1b(即由系統0)發佈的消息的真實性和完整性的秘鑰。
秘鑰_A和秘鑰_B優選地由偽隨機密碼生成器生成,而秘鑰_AB通過在秘鑰_A和秘鑰_B之間執行按位異或運算來生成。這並不涉及安全問題,因為僅知道秘鑰_AB不可能獲得秘鑰_A和秘鑰_B兩者。
利用該簽名生成技術,根據本發明的方法還可以包括簽名分配驗證階段C1a、C1b,其在階段P2a、P2b的下游和階段P4a、P4b的上游執行,在此期間可以確定從其他設備接收到的簽名是否有效。
這可以通過使用兩個偽簽名(即,生成的一個和接收到的一個)並且知道秘鑰_AB(其也將被稱為“驗證秘鑰”)來實現。更詳細地說,CPU11可以被配置為執行另外一組允許進行以下布耳運算的指令: 偽簽_A偽簽名_B == 秘鑰_AB
其中用==符號表示比較運算子,如果兩個位串相等則返回真值,否則返回假值。
擴展上述關係式的左邊,可以寫出如下新關係式: 偽簽名_A偽簽名_B = 散列(消息主體)秘鑰_A散列(消息主體)秘鑰_B
鑒於XOR運算子的真值表,可以簡化關係式如下: 偽簽名_A偽簽名_B =散列(資訊主體)秘鑰_A散列(資訊主體)秘鑰_B
並且因此可以寫為: 偽簽名_A偽簽名_B = 秘鑰_A秘鑰_B = 秘鑰_AB
從本文可以理解根據本發明如何利用兩個偽簽名的按位異或的結果來驗證另一個設備接收到的偽簽名的有效性。
如果兩個偽簽名的XOR的結果與秘鑰_AB之間的比較給出肯定結果(兩個簽名都相同),則設備執行階段P4a、P4b,否則設備進入錯誤狀態ERR,其中所述設備執行對其程式設計的安全措施(例如停止其操作或向電子監控和控制電腦2發信號通知問題),並停止準備可能改變鐵路網路狀態的消息,等等。
這個另外的簽名分配驗證階段C1a、C1b的存在有利地使得設備1a、1b能夠比上述解決方案更早地檢測是否由於故障或由於僅由另一台設備檢測到危險情況而在另一台設備中發生異常情況。
設備1a、1b中的每一個可以被配置為在消息準備階段P5a、P5b之後執行另一表決階段,其中在所述表決階段期間,所述設備1a、1b執行以下步驟: - 將(簽名的)消息發送給其他設備; - 從其他設備接收(簽名的)消息; - 將本地生成的(簽名的)消息與從另一個設備接收到的消息(簽名的)進行比較,如果比較成功(等同消息),則繼續進行傳送,否則進入如上所述的錯誤狀態。
應該注意的是,也可以避免這個表決階段,即每個設備1a、1b可以在消息被生成時傳送消息。事實上,接收器仍然能夠評估消息的有效性,因為控制鐵路網路的設備必須執行這個檢查。
如果兩個設備1a、1b中的一個檢測到故障和/或異常情況的發生(例如借助於感測器M檢測到在信號屏障B下降時在鐵路軌道上存在汽車),則控制和/或處理裝置11被配置成改變第一偽簽名或簽名以使所述消息無效。以這種方式,確保了在簽名分配驗證階段C1a、C1b期間和/或在上述的(任選的)表決階段期間及時地報告問題,因為在這些階段期間可以檢測到故障和/或異常,並採取適當的安全措施。另外,如果設備1a、1b中只有一個設備檢測到故障和/或異常,則只能產生一個有效消息(在最壞的情況下)(和可能是無效的消息),從而要求接收器執行丟棄包含在主體消息中的資訊的任務。這個操作通常由鐵路信令設備完成,其通常被配置為僅當每個副本在有效消息內發送所述消息主體時才考慮消息主體有效。
上述例子顯然有許多可能的變體。
第一種變體可以使用不同的算法來計算偽簽名散列,例如以其多個變體之一或另一種算法的安全散列(SHA)。
本說明書已經解決了一些可能的變體,但是對於本領域技術人員來明顯的是,也可以實現其他實施例,其中一些元件可以用其他技術上等同的元件替換。因此,本發明不限於在本文描述的解釋性示例,而是可以在不脫離如以下申請專利範圍中闡述的基本發明構思的情況下,對等效部分和元件進行多種修改、改進或替換。
S‧‧‧軌道系統2‧‧‧電子監視和控制電腦0‧‧‧系統B‧‧‧道口信號C‧‧‧汽車R‧‧‧鐵路線路M‧‧‧感測器1a‧‧‧設備1b‧‧‧設備1‧‧‧設備11‧‧‧控制和/或處理裝置12‧‧‧記憶體裝置13‧‧‧通信裝置14‧‧‧輸入/輸出裝置(I/O)17‧‧‧通信匯流排
圖1示出了包括根據本發明的兩個設備的軌道系統。 圖2示出了圖1的設備的構架。 圖3示出了描述當執行實施根據本發明的方法的一組指令時,圖1的設備的操作的框圖。
S‧‧‧軌道系統
2‧‧‧電子監視和控制電腦
0‧‧‧系統
B‧‧‧道口信號
C‧‧‧汽車
R‧‧‧鐵路線路
M‧‧‧感測器
1a‧‧‧設備
1b‧‧‧設備
Claims (7)
- 一種用於產生和交換控制鐵路網路的消息的設備,包括:- 儲存裝置,其至少包含第一加密秘鑰,並且所述儲存裝置還包含驗證秘鑰,所述驗證秘鑰的值等於在所述第一加密秘鑰與所述第二加密秘鑰之間執行的按位異或運算的結果,- 通信裝置,其適於與第二設備進行通信,- 控制和/或處理裝置,其與所述儲存裝置和所述通信裝置進行通信,其中所述控制和/或處理裝置被配置為生成消息主體,所述消息主體包括能夠改變所述鐵路網路的狀態的資訊,其中所述控制和/或處理裝置還被配置成:- 基於消息主體和第一加密秘鑰生成第一偽簽名,其中通過運行一組執行散列算法的指令來計算所述消息主體的概要;和通過在所述概要和所述第一加密秘鑰之間執行按位異或運算來生成所述第一偽簽名,- 通過通信裝置將所述第一偽簽名發送到第二裝置,- 通過通信裝置接收來自所述第二裝置的第二偽簽名,其中所述第二偽簽名是由所述第二裝置基於第二消息主體和不同於所述第一加密秘鑰的第二加密秘鑰生成,- 基於所述第二偽簽名和所述第一加密秘鑰生成第一偽簽名,- 通過將所述消息主體和所述簽名組合在一起來生成消息,和- 通過通信裝置將所述消息傳送給接收器,其中所述控制和/或處理裝置還被配置成:- 在所述第一偽簽名和所述第二偽簽名之間執行按位異或運算, - 比較驗證秘鑰和所述按位異或運算的結果,- 只有在所述按位異或運算的結果等於驗證秘鑰的情況下,才生成消息簽名,以及- 在所述第一偽簽名與第二偽簽名之間執行的按位異或運算的結果與驗證秘鑰不同的情況下,進入錯誤狀態ERR。
- 如申請專利範圍第1項所述的設備,其中通過運行執行MD4算法的一組指令來計算所述消息主體的概要。
- 如申請專利範圍第1項或第2項所述的設備,其中所述控制和/或處理裝置被配置為在所述設備檢測到故障和/或異常情況發生的情況下改變第一偽簽名或簽名,從而使所述消息無效。
- 如申請專利範圍第1項或第2項所述的設備,其中所述控制和/或處理裝置被進一步配置為:- 通過所述通信裝置將產生的消息發送到所述第二設備,- 通過所述通信裝置接收來自所述第二設備的第二消息,- 將生成的消息與所述第二消息進行比較,- 僅當兩個消息彼此等同時,才通過所述通信裝置將所述消息傳送給接收器。
- 一種用於產生和交換控制鐵路網路的消息的系統,包括:- 如申請專利範圍第1至4項中任一項所述的設備,以及- 如申請專利範圍第1至4項中任一項所述的第二設備,其中所述設備之間交換由它們產生的偽簽名。
- 一種用於產生和交換控制鐵路網路的消息的方法,包括: a.準備消息主體的步驟,其中通過控制和/或處理裝置產生所述消息主體,所述消息主體包括能夠改變所述鐵路網路的狀態的資訊,其特徵在於:所述方法還包括:b.準備簽名分配的步驟,其中借助於控制和/或處理裝置基於所述消息主體和第一加密秘鑰產生第一偽簽名,其中通過運行一組執行散列算法的指令來計算所述消息主體的概要;和通過在所述概要和所述第一加密秘鑰之間執行按位異或運算來生成所述第一偽簽名,c.交換簽名分配的步驟,其中通過所述通信裝置將所述第一偽簽名傳送給設備,並且由所述設備接收第二偽簽名,其中所述第二偽簽名由所述設備基於第二消息主體和不同於第一加密秘鑰的第二加密秘鑰生成,d.簽名驗證的步驟,其中所述控制和/或處理裝置還被配置成:- 在所述第一偽簽名和所述第二偽簽名之間執行按位異或運算,- 比較驗證秘鑰和所述按位異或運算的結果,其中所述驗證秘鑰的值等於在所述第一加密秘鑰與所述第二加密秘鑰之間執行的按位異或運算的結果,- 只有在所述按位異或運算的結果等於驗證秘鑰的情況下,才生成消息簽名,以及在所述第一偽簽名與第二偽簽名之間執行的按位異或運算的結果與驗證秘鑰不同的情況下,進入錯誤狀態ERR,e.準備簽名的步驟,其中通過所述控制和/或處理裝置基於第二偽簽名和所述第一加密秘鑰生成消息簽名, f.準備消息的步驟,其中通過所述控制和/或處理裝置通過將所述消息主體和所述消息簽名組合在一起來生成消息,g.發送步驟,其中所述消息通過所述通信裝置被傳送給接收器。
- 一種電腦程式產品,其能夠載入在電腦的記憶體中,並且包括軟體代碼部分,以便執行如申請專利範圍第6項所述的方法步驟。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ??102016000116085 | 2016-11-17 | ||
| IT102016000116085A IT201600116085A1 (it) | 2016-11-17 | 2016-11-17 | Apparato e metodo per la gestione in sicurezza di comunicazioni vitali in ambiente ferroviario |
| IT102016000116085 | 2016-11-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201827276A TW201827276A (zh) | 2018-08-01 |
| TWI790215B true TWI790215B (zh) | 2023-01-21 |
Family
ID=58228501
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106139927A TWI790215B (zh) | 2016-11-17 | 2017-11-17 | 用於鐵路環境下重要通信的安全管理的設備和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11420662B2 (zh) |
| EP (1) | EP3541681A1 (zh) |
| AU (1) | AU2017362048A1 (zh) |
| IT (1) | IT201600116085A1 (zh) |
| TW (1) | TWI790215B (zh) |
| WO (1) | WO2018092028A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IT201600116085A1 (it) * | 2016-11-17 | 2018-05-17 | Ansaldo Sts Spa | Apparato e metodo per la gestione in sicurezza di comunicazioni vitali in ambiente ferroviario |
| DE102018203072A1 (de) * | 2018-03-01 | 2019-09-05 | Siemens Aktiengesellschaft | Verfahren und Anordnung zum gesicherten Übertragen einer Nachricht von einer Sendeeinrichtung zu einer Empfangseinrichtung |
| CN110395301A (zh) * | 2019-07-30 | 2019-11-01 | 神华包神铁路集团有限责任公司 | 机车作业监控系统、调车机车信号传输方法及装置 |
| JP7659390B2 (ja) * | 2019-12-26 | 2025-04-09 | 住友化学株式会社 | 硬化性樹脂組成物および表示装置 |
| IT202000009592A1 (it) * | 2020-04-30 | 2021-10-30 | Hitachi Rail S P A | Architettura di rete di comunicazione per treni |
| CN113619652B (zh) * | 2020-06-04 | 2022-09-09 | 株洲中车时代电气股份有限公司 | 一种信息安全防护方法及装置 |
| CN114537482B (zh) * | 2020-11-26 | 2023-05-05 | 比亚迪股份有限公司 | 轨道交通信息数据的校验方法、校验装置和存储介质 |
| IT202000029450A1 (it) * | 2020-12-02 | 2022-06-02 | Hitachi Rail Sts S P A | Apparato e metodo per il controllo di un sistema critico |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5483598A (en) * | 1993-07-01 | 1996-01-09 | Digital Equipment Corp., Patent Law Group | Message encryption using a hash function |
| WO2009027380A1 (de) * | 2007-08-27 | 2009-03-05 | Siemens Aktiengesellschaft | Verfahren zum etcs-online-schlüsselmanagement |
| TW200952432A (en) * | 2008-04-09 | 2009-12-16 | Siemens Ag | Method and device for transmission of message in real time |
| US20160001801A1 (en) * | 2014-07-07 | 2016-01-07 | Westinghouse Air Brake Technologies Corporation | System, Method, and Apparatus for Generating Vital Messages on an On-Board System of a Vehicle |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5677533A (en) * | 1995-09-29 | 1997-10-14 | Science Applications International Corporation | Apparatus for detecting abnormally high temperature conditions in the wheels and bearings of moving railroad cars |
| EP1747639A1 (fr) * | 2004-05-19 | 2007-01-31 | France Telecom | Abrege descriptif procede et systeme de signature de liste |
| US7869593B2 (en) * | 2005-01-07 | 2011-01-11 | First Data Corporation | Software for providing based on shared knowledge public keys having same private key |
| US7936869B2 (en) * | 2005-01-07 | 2011-05-03 | First Data Corporation | Verifying digital signature based on shared knowledge |
| JP4471996B2 (ja) | 2007-09-18 | 2010-06-02 | 株式会社日立製作所 | 列車制御システム |
| JP5039146B2 (ja) * | 2007-11-07 | 2012-10-03 | 日本電信電話株式会社 | 共通鍵設定方法、中継装置、及びプログラム |
| JP5397019B2 (ja) * | 2009-05-28 | 2014-01-22 | ブラザー工業株式会社 | 通信装置 |
| FR2965431B1 (fr) * | 2010-09-28 | 2013-01-04 | Mouchi Haddad | Systeme d'echange de donnees entre au moins un emetteur et un recepteur |
| US8714494B2 (en) * | 2012-09-10 | 2014-05-06 | Siemens Industry, Inc. | Railway train critical systems having control system redundancy and asymmetric communications capability |
| US9616905B2 (en) * | 2015-06-02 | 2017-04-11 | Westinghouse Air Brake Technologies Corporation | Train navigation system and method |
| IT201600116085A1 (it) * | 2016-11-17 | 2018-05-17 | Ansaldo Sts Spa | Apparato e metodo per la gestione in sicurezza di comunicazioni vitali in ambiente ferroviario |
| US11153077B2 (en) * | 2018-12-14 | 2021-10-19 | Westinghouse Air Brake Technologies Corporation | Secure vehicle to vehicle communication |
-
2016
- 2016-11-17 IT IT102016000116085A patent/IT201600116085A1/it unknown
-
2017
- 2017-11-15 US US16/461,672 patent/US11420662B2/en active Active
- 2017-11-15 EP EP17817111.2A patent/EP3541681A1/en not_active Withdrawn
- 2017-11-15 AU AU2017362048A patent/AU2017362048A1/en not_active Abandoned
- 2017-11-15 WO PCT/IB2017/057123 patent/WO2018092028A1/en not_active Ceased
- 2017-11-17 TW TW106139927A patent/TWI790215B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5483598A (en) * | 1993-07-01 | 1996-01-09 | Digital Equipment Corp., Patent Law Group | Message encryption using a hash function |
| WO2009027380A1 (de) * | 2007-08-27 | 2009-03-05 | Siemens Aktiengesellschaft | Verfahren zum etcs-online-schlüsselmanagement |
| TW200952432A (en) * | 2008-04-09 | 2009-12-16 | Siemens Ag | Method and device for transmission of message in real time |
| US20160001801A1 (en) * | 2014-07-07 | 2016-01-07 | Westinghouse Air Brake Technologies Corporation | System, Method, and Apparatus for Generating Vital Messages on an On-Board System of a Vehicle |
Also Published As
| Publication number | Publication date |
|---|---|
| IT201600116085A1 (it) | 2018-05-17 |
| TW201827276A (zh) | 2018-08-01 |
| WO2018092028A1 (en) | 2018-05-24 |
| AU2017362048A1 (en) | 2019-05-30 |
| US20190351924A1 (en) | 2019-11-21 |
| EP3541681A1 (en) | 2019-09-25 |
| US11420662B2 (en) | 2022-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI790215B (zh) | 用於鐵路環境下重要通信的安全管理的設備和方法 | |
| JP5593416B2 (ja) | コントローラを保護するためのシステムおよび方法 | |
| US9252956B2 (en) | Method and system for transmitting control data in a manner that is secured against manipulation | |
| US20210349443A1 (en) | Method and apparatus for the computer-aided creation and execution of a control function | |
| US20100162090A1 (en) | Method of detecting data transmission errors in a CAN controller, and a CAN controller for carrying out the method | |
| CN108449159B (zh) | 基于单向散列编码的铁路信号中临时限速的安全保障方法 | |
| US8069367B2 (en) | Virtual lock stepping in a vital processing environment for safety assurance | |
| CN106341396A (zh) | 一种具有入侵容忍的工业控制系统及安全防护方法 | |
| CN114422173B (zh) | 一种基于可见光的数据传输的方法、系统和存储介质 | |
| CN108572638B (zh) | 用于安全系统的fpga不匹配数据包的停止 | |
| CN103513646B (zh) | 信息处理系统、输出控制装置以及数据生成装置 | |
| CN112953897A (zh) | 一种基于云计算设备的列控系统边缘安全节点的实现方法 | |
| CN103885850B (zh) | 存储器在线检查系统及方法 | |
| JP5025402B2 (ja) | 高安全制御装置 | |
| Lu et al. | A Resilience‐Based Security Assessment Approach for CBTC Systems | |
| US10438002B2 (en) | Field-bus data transmission | |
| US20240039717A1 (en) | Appratus and method for controlling a critical system | |
| JP2021005382A (ja) | 通信装置およびメッセージを認証するための方法 | |
| JP5694806B2 (ja) | 制御装置及び列車制御装置、並びに列車制御システム | |
| WO1999065754A1 (fr) | Processeur multisysteme, controleur connecte a un processeur multisysteme et systeme de traitement multisysteme | |
| JP2004302708A (ja) | 多重系情報処理装置 | |
| CN102804724B (zh) | 在自动化装置之间防操纵的数据传输 | |
| CN114745714B (zh) | 一种轨道数据应急处理方法及系统 | |
| CN120397009A (zh) | 一种站台门控制系统 | |
| CN121077650A (zh) | 基于量子密钥分发的风力设备系统安全通信网络及方法 |