装置、尤其交通工具的数据网的制作方法

本发明涉及一种装置的、尤其交通工具的数据网，所述数据网具有：一组装置内部的用户、至少一个环和至少一个接口单元，在所述环中，该组的环内部的用户在环拓扑中彼此联网，所述接口单元设置用于建立至少一个环外部的用户到环上的连接。

背景技术：

数据网、尤其轨道交通工具中的数据网是已知的，在所述数据网中在至少一个网络部段中实施环拓扑。数据网的设置在环外部的用户能够经由环的至少一个部分与其它的、环内部的或者环外部的用户通信。网络设备、例如上级的控制设备，或者用于轨道交通工具的装置的控制设备、例如用于制动器或者门的控制设备，例如能够经由至少一个交换机(Switch)接入环中。根据OSI层结构，这实现了在层2(例如以太网)上的连通性。环提供了如下优点：在环中断的情况下，例如在由于火灾或者交通工具事故引起破坏的情况下，经由未受损的环部段进行通信还是可行的。

除了这些冗余方面，关于数据安全的方面(所谓的“Security安全”)和关于人员保护的方面(所谓的“Safety安全”)变得日益重要。特别地，网络设备接入到环中的可行性出于所谓的“Safety安全原因”应当是可受限的。然而，在此也应可行的是，例如为了维护目的，至少暂时地许可接入视作为安全的维护设备。

对数据网或网络接口的访问能够物理地受到保护，例如通过可封闭的维护盖板来保护。对数据网的访问同样能够通过逻辑的保护措施来限制。能够进行网络访问控制，其中识别或验证与数据网接口(也称为“端口”)连接的设备。仅当所连接的设备被认为是许可的时，才激活网络接口。实例是根据IEEE 802.1x的所谓的“网络访问控制”或者是根据RFC5191的PANA。替选地或附加地，网络设备通常能够根据MAC地址或者借助于密码或者还有设备证书(例如根据X.509)来识别或验证。

然而，在这种验证协议中，例如在802.1x中，以专用的拓扑为基础，如其在固定网络中、例如在建筑物网络中是常见的。该拓扑的特征在于结构化的布线，其中进行从接入交换机(Acess Switch)到每个客户端的单独的网络连接。在此，在检查接口或端口位于受保护的环境中之后，就启用所述接口或端口。已知的验证协议因此无法容易地转用到环拓扑上。

除了验证措施外也已知所谓的“防火墙”或者分组过滤器，所述“防火墙”或者“分组过滤器”对网络流量进行过滤，使得仅放行具有许可的特性的流量。

技术实现要素：

本发明基于如下目的：实现具有至少一个环的这种数据网，其中能够实现安全的运行和简单的、尤其在应用中灵活的管理。

对此提出：数据网具有：过滤装置和识别装置，所述过滤装置具有至少一个过滤功能，所述过滤装置设置用于：在至少一个用户标记方面过滤环的数据通信，所述识别装置设置用于：对于环外部的用户采取与该用户的用户标记相关的至少一个措施，使得在用于环中的数据通信的过滤功能方面，该用户标记是被许可的。由此，除了在数据网运行中高的安全性外，还能够实现关于管理数据网、尤其在接入环外部的用户方面的有利的灵活性。与用户标记相关的措施在执行和实施时是尤其低耗费的。

环尤其能够用于实时通信和/或Safety安全相关的通信。在此，通常在可用于环的Security安全机制方面存在限制。因此，用于环的过滤规则必要时例如不可变化或者仅可受限制地变化。与用户标记相关的措施可有利地应用在这种使用环境中。

尤其应当将“装置内部的”用户理解为数据网的如下用户，所述用户在其装入类型和/或其功能方面设置用于：持久地联接在装置上、尤其机械地联接在装置上。特别地，对于装置内部的用户而言，在装置中设有特定的装入空间，其中该装置的固定单元适当地用于固定地联接用户。应当将数据网的“环内部的”用户理解为装置内部的用户，所述装置内部的用户是环的组成部分或者与至少两个其它的装置内部的用户形成环。应当将“环外部的”用户理解为数据网的如下用户，所述用户连接在环外部。环外部的用户在本领域专业术语中也称为“离环部件”。环外部的用户能够是装置内部的用户或者是如下另一用户，所述另一用户非持久性地、尤其偶尔联接到数据网上。这种用户尤其称为“装置外部的”用户。

应当将环外部的用户到环上的“连接”理解为物理的和/或逻辑的连接。特别地，接口单元能够形成所谓的端口，通过所述端口能够给环外部的用户提供对环的访问。

识别装置和接口单元能够至少部分地、有利地完全由共同的物理结构单元形成。接口单元和/或识别装置以及环内部的用户中的至少一个，能够至少部分地、有利地完全由共同的物理结构单元形成。换而言之，接口单元和/或识别装置能够至少部分地、有利地完全由环内部的用户的适当地关联的结构单元形成。

过滤装置适当地具有至少一个过滤规则，按照所述过滤规则根据特定的条件检查用户标记。待检查的用户标记至少能够是如下数据包的源地址或者目标地址的组成部分，所述数据包设置用于在环的至少一部分上进行传输。在一个变型形式中，待检查的用户标记至少能够是虚拟的网络标记符(或者VLAN标记符)的组成部分。在另一变型形式中，待检查的用户标记能够是加密校验和(例如消息验证码、消息完整性码、数字签名)。所述条件优选根据数据组来限定，所述数据组包含至少一个列表的对于环的数据通信而言被许可的用户标记。例如能够执行过滤规则，使得如果与数据包的一个或多个用户标记相关的条件被满足或者不被满足，那么转发或者阻拦数据包。

环能够实现单向的通信(例如仅顺时针或者逆时针)或者能够实现双向的通信(在这两个取向上)。在双向的通信中，环能够构成为双环，其中第一环单元设置用于顺时针通信，而第二环单元设置用于相反方向通信。为了实现具有尤其高的可用性或故障安全性的通信网络，环本身能够冗余地实现。因此，环例如能够具有两个环单元，其中这两个环单元上的数据能够冗余地传输。

环拓扑能够以物理的和/或逻辑的方式实现。环拓扑例如可以至少部分地借助于VLAN(或者虚拟局域网)实现。能够设有多个物理的环单元和/或多个更高级别的逻辑的环单元。

应当将“环”的数据通信理解为数据至少在环部段或者环的一部分上的流通(Verkehr)。在此其能够是在两个环内部的用户之间的、在环内部的用户和至少一个环外部的用户之间的或者在两个环外部的用户之间的数据通信，其中在后一种情况下，经由至少一个环部段建立数据连接。

过滤装置能够设置用于，过滤如下数据通信，所述数据通信被确定用于提供到环上。这能够通过如下方式实现：过滤装置具有至少一个过滤模块，所述过滤模块与接口单元相关联。由此，在数据通信被导入环部段之前，能够对所述数据通信进行过滤。换而言之，对数据通信进行过滤能够在环外部进行。此外，在该实施方案中，能够对源自环的且朝向至少一个环外部的用户定向的数据通信进行过滤。在结构上简单的解决方案中，过滤模块能够与接口单元耦合。尤其有利的是，接口单元和过滤模块由共同的、关联的结构单元形成。

替选地或附加地，过滤装置能够设置用于：过滤如下数据通信，所述数据通信在至少一个环部段上进行。对此提出：过滤装置具有一组过滤模块，其中至少一个不同的过滤模块分别与环内部的用户相关联。由此能够实现对如下数据通信进行过滤，所述数据通信在环的内部执行。过滤模块在此适当地分别设置用于：根据至少一个过滤规则检查并且必要时转发在环部段上到来的数据通信，例如将其转发到下一个环部段中，或者对其进行阻拦。

在本文中，当至少一个不同的过滤模块分别与环内部的用户耦合时，能够实现紧凑且节省构件的实施方案。尤其有利的是，过滤模块和相关联的环内部的用户由共同的、关联的结构单元形成。换而言之，环内部的用户分别具有至少一个过滤模块。

在本发明的一个有利的改进形式中提出：过滤装置包括至少一个过滤模块，所述过滤模块至少配设有交换机功能(Switch-)，由此能够实现尤其简单的、可通过广泛使用的手段执行的网络管理。优选地，过滤装置具有一组过滤模块，所述过滤模块分别与不同的环内部的用户相关联并且至少配设有交换机功能。

在本发明的一个有利的改进形式中，环内部的用户优选分别构成为控制设备。控制设备在此分别有利地被编程，以控制所述装置的至少一个特定的功能，所述控制与仅控制数据网中的数据通信不同。控制设备适当地分别设置用于控制至少一个传感器单元、促动器单元和/或下级的控制单元。尤其有利的是，控制设备构成为可编程逻辑控制器(或者“SPS”)。环内部的用户例如能够由类型的模块形成。有利的是，控制设备中的一个控制设备能够执行所述装置的中央的控制设备的功能。控制设备尤其能够本身设有交换机功能。当环的一个控制设备具有接口单元和/或过滤装置的过滤模块或者环的多个控制设备分别具有接口单元和/或过滤装置的过滤模块时，上述情况是尤其有利的。

在本文中，环内部的用户尤其能够设置用于控制轨道交通工具、陆上交通工具或者飞行器。在此，关于用于环的、尤其可在环中使用的Security安全机构，通常存在尤其强的限制。因此，用于环的过滤规则或者在环中的过滤规则必要时不能够被改变或者仅可受限制地改变。在这种使用环境中可有利地应用与用户标记相关的措施。当环用于实时通信和/或用于Safety安全相关的通信时，这尤其在装置构成为轨道交通工具的情况下是有利的。对环上的数据通信的管理在此受制于严格的要求，使得在其它应用情况下无法容易地使用常见的Securiy安全机制。轨道交通工具中的所谓的“Safety安全要求”尤其在标准EN 50128、50159、50126和/或50129中限定。特别地，Safety安全要求的目的在于人员保护，其中Security安全要求与通常的数据安全相关。Safety安全要求因此比Security安全要求更严格。

根据本发明的一个优选的构成方案提出：数据网具有网络访问控制单元，所述网络访问控制单元设置用于根据限定的验证协议管理数据通信访问，其中识别装置在至少一种运行模式中设置用于：根据通过网络访问控制单元对环外部的用户的许可，来对该环外部的用户采取措施。由此，能够进一步提高数据网中的数据通信的管理中的安全性。网络访问控制单元至少在软件方面适当地与过滤装置不同。特别地，对于环外部的用户仅在至少导入网络访问控制单元的许可过程之后，尤其仅在以成功的许可结束之后，才在至少一个运行模式中导入如下过程，所述过程用于识别装置的与该环外部的用户相关的措施。至少应当将对数据通信访问的“管理”理解为如下过程，所述过程包括许可或者拒绝访问。该访问通常能够是对数据网的访问，然而网络访问控制单元有利地设置用于：有针对性地管理对环的数据通信访问。在此，对于具有由网络访问控制单元许可的访问的环外部的用户而言，例如能够启用接口单元的端口或接口。在此，网络控制单元能够称为“环访问控制器”或者也能够称为“环访问控制装置”。

有利的是，通过网络访问控制单元对环外部的用户进行耗费的且待处理的验证，由此过滤装置本身不必执行和检查验证任务。当过滤装置具有如下过滤模块时，这是尤其有利的，所述过滤模块由环内部的用户形成，因为这些过滤模块从而环的相关联的用户不承担该任务。

作为验证协议可以考虑不同的、对于本领域技术人员而言显得有意义的协议，如尤其根据802.1x的协议、根据RFC 5191的PANA、借助于设备证书的EAP-TLS验证或者具有基于证书的验证的HTTPS。特别地，网络访问控制单元能够具有第一单元和至少一个与所述单元分开的验证服务器，所述验证服务器检查对待许可的环外部的用户的验证并且给所述单元提供验证过程的结果。验证服务器能够是环外部的用户的组成部分。作为其它验证协议，能够基于MAC地址进行简单的验证。作为其它的验证方法，能够借助于用户名和密码或者借助于访问代码进行验证。所述用户名和密码或访问代码例如能够输入到网页的HTML表单中。在另一变型形式中，验证能够借助于物理的访问令牌，例如借助于机械的钥匙开关或者RFID读卡器来进行。

在一个变型形式中，能够暂时地进行启用。启用环外部的用户还能够通过注销该用户(“EAPOL-Logoff”)、“超时-标准”或者通过将环外部的用户与数据网的物理网络连接断开来终止。

如果对于环外部的用户而言，数据通信访问被网络访问控制单元拒绝，那么该用户所参与的数据通信能够被网络访问控制单元阻止。替选地，网络访问控制单元能够将如下消息发送给过滤装置，所述消息包含表示被拒绝的用户的用户标记，使得环上的数据通信对于该用户标记而言被过滤装置阻拦。在一个实施方案变型形式中，替选地或附加地，能够将警告消息发送给其它的装置内部的用户。在所述装置构成为交通工具的情况下，警告消息能够被发送给交通工具驾驶员，所述警告消息能够声学地和/或光学地发送。此外可行的是，产生如下消息，所述消息触发驱动单元和/或制动设备的操作过程，例如阻拦起动运行或者自动的制动触发。

网络访问控制单元和接口单元能够至少部分地、有利地完全由共同的物理结构单元形成。特别地，网络访问控制单元的至少第一单元能够由接口单元形成。接口单元和/或网络访问控制单元以及环内部的用户中的至少一个，能够至少部分地、有利地完全由共同的物理结构单元形成。换而言之，接口单元和/或网络访问控制单元能够至少部分地、有利地完全地由环内部的用户的适当关联的结构单元形成。

网络访问控制单元和识别装置能够至少部分地、有利地完全由共同的物理结构单元形成。特别地，网络访问控制单元的至少第一单元能够由识别装置形成。在对环外部的用户成功验证之后，网络访问控制单元能够以实现识别装置的功能的方式采取与经验证的环外部的用户的用户标记相关的措施，使得用户的数据通讯在用于环中的数据通讯的过滤功能方面，根据用户标记可识别为是许可的。此外，识别装置和/或网络访问控制单元以及环内部的用户中的至少一个，能够至少部分地、有利地完全由共同的物理结构单元形成。换而言之，识别装置和/或网络访问控制单元能够至少部分地、有利地完全由环内部的用户的适当关联的结构单元形成。如果过滤装置具有由环内部的用户形成的过滤模块，并且如果网络访问控制单元至少部分地、有利地完全由环内部的用户的适当关联的结构单元形成，那么能够通过有利地将网络访问控制单元的功能与过滤装置的功能分开，从而避免过滤模块进而多个环内部的用户承担验证任务。所述验证任务能够借助形成网络访问控制单元的单个环内部的用户来执行。

为了构成用户标记，可以考虑不同的特性。用户的特征例如能够在于特别的传输协议(例如TCP、UDP)。此外，可以考虑端口号或者VLAN-ID作为其它用户标记。尤其有利的是，用户标记是对OSI层模型的服务接入点的标记，例如IP地址或者MAC地址或者端口号。然而，当用户标记是对OSI数据链路层的标记时，能够实现过滤装置的简单的构成。这尤其适合于将接口单元构成为交换机。特别地，用户标记能够构成为MAC地址。OSI数据链路层在本领域专业术语中也称为“层2”。

经由接口单元能够建立不同类型的环外部的用户的连接。特别地，能够经由接口单元，将该组装置内部的用户的至少一个环外部的用户连接到环上。当设置用于持久地联接在装置上的环外部的、装置内部的用户在重新构建或者维护该装置时被安装、重新配置和/或再配置时，这是尤其有利的。特别地，其能够是如下用户，所述用户经由所谓的“即插即用自动配置机构”联接到数据网中。尤其能够经由接口单元将一组装置内部的用户通过如下方式连接到环上：接口单元建立环与总线结构的连接，该组用户联接到所述总线结构上。

替选地或附加地，接口单元用于：连接装置外部的用户作为环外部的用户，所述装置外部的用户未联接在装置上或者设置用于：偶尔联接到装置上。尤其有利的是，能够经由接口单元将维护设备，也称为“服务设备”连接到环上，其中接口单元形成所谓的“服务端口”。接口单元通常能够设置用于装置外部的用户的有线的连接和/或无线的、通过无线电建立的连接。

在本发明的一个有利的改进形式中提出，过滤装置具有多个过滤模块，所述过滤模块分别与装置的不同的运行状态相关联。由此，能够实现数据网管理中高的、尤其动态的灵活性。过滤装置例如能够具有至少一个用于装置的正常运行的过滤规则和至少一个用于装置的干扰运行的不同的过滤规则。干扰运行例如能够由于报告检测到火灾来触发。此外，干扰运行能够通过数据网的物理故障，例如线路中断来触发。用于干扰运行的过滤规则与在装置的正常运行中相比尤其能够提出不那么严格的要求，以便尤其实现快速的数据通信。这尤其在紧急情况下是特别有利的。

此外提出：过滤装置具有至少一个用于装置的正常运行的过滤规则和至少一个用于装置的初始化运行的不同的过滤规则。尤其应当将“初始化运行”理解为装置的如下运行模式，所述运行模式始于装置的切断状态或静止状态进行直至开始正常运行。在本领域专业术语中，初始化运行也能够称为装置的“引导启动”。用于初始化运行的过滤规则与在装置的正常运行中相比尤其能够提出不那么严格的要求，借此，正常运行能够快速且可靠地建立。如果装置构成为交通工具，那么能够通过初始化运行中的至少一个特别的过滤规则快速且可靠地实现行驶运行的开始。通过所提出的解决方案，(在装置构成为轨道交通工具的情况下)尤其快速且可靠地进行所谓的“列车设置(Zugtaufe)”的阶段。

干扰和/或初始化运行中的过滤规则能够提出：环的至少一个部分上的数据通信以关于用户标记的最低限制来过滤。特别地，相对于正常运行的过滤规则，能够设有用于干扰和/或初始化运行的第二过滤规则，根据所述第二过滤规则来调节根据正常运行的过滤规则的、基于用户标记的过滤。在初始化运行中，尤其能够提出：一个列表的由过滤装置验证的用户标记通过登录所有装置内部的用户来构建。对此所需的、被发送给过滤装置的登录消息，能够在环中或者在环上根据第二过滤规则不受限地传输，其中其它消息受制于正常运行的过滤规则，所述其它消息的内容超出该登录从而包括其它的有用数据。

如果数据网如在上文中所描述的那样具有网络访问控制单元，那么接口单元在装置的至少一个运行状态中有利地设置用于：启用如下接口，所述接口用于将环外部的、未通过网络访问控制单元检查的用户连接到环上。由此，能够在特定的运行状态中，尤其有利地在干扰和/或初始化运行中，对于用于环的数据通信的许可而言，相对于正常运行取消关于通过网络访问控制单元进行成功的许可过程的前提条件。因此，在装置构成为轨道交通工具的情况下，在其初始化运行中能够提出：初始化运行中的数据通信在环的具有环外部的用户的至少一部分上进行，所述环外部的用户未通过网络访问控制单元验证或者没有完整地通过网络访问控制单元验证。在此，能够设有验证宽限期，在所述验证宽限期中虽然取消验证要求，但是在所述验证宽限期之后必须成功地结束所需要的验证过程。在经过该时间之后能够决定：延长验证要求的撤除或者阻拦具有未验证的用户的数据通信。

在装置构成为交通工具、尤其轨道交通工具的情况下，正常运行能够是客运运行。该客运运行能够包括不同的阶段，例如路线行驶运行和驻站运行，对于所述不同的阶段必要时例如能够设置不同的过滤规则。其它运行状态如在上文中所探讨的那样能够是干扰运行、初始化运行或者也能够是维护运行、尤其是车间模式或者诊断模式。在维护运行中，尤其能够执行如下过滤规则，所述过滤规则相对于正常运行简化已确认为服务设备的装置外部的用户对环的数据通信的访问。

运行状态能够通过传感机构、例如速度传感器检测，或者所述运行状态能够主动地由操作人员通过输入来确定，例如借助于驾驶台中的用于激活维护模式的切换单元。

根据本发明的一个有利的改进形式提出：识别装置具有用于进行标记设定的单元，所述单元设置用于：为环外部的用户，将通过过滤装置验证的、尤其预先限定的用户标记分配给该用户。在此，过滤装置有利地具有一组预先限定的用户标记，所述用户标记在需要时能够被分配给至少暂时地待被许可的环外部的用户。在该实施方案中，过滤装置具有至少一个列表的已验证的用户标记，所述用户标记构成为静态的或者不可编辑的列表。环外部的用户在该实施方案中对于环的数据通信而言具有出自该列表中的用户标记，其中该用户标记能够与用于环外部的数据通信的用户标记不同。用于进行标记设定的单元在此适当地具有转换功能，通过所述转换功能可以建立相同的环外部的用户的两个用户标记之间的单义的关联。如果使用环进行Safety安全通信，那么不允许进行过滤规则的改变，或者无法实行对环内部的用户的验证。在此，本发明是可尤其有利地应用的，因为进行可相对简单实现的过滤，所述过滤在Safety安全许可中可以以相对小的耗费来检查，并且所述过滤在当前运转中不必重配置。在对环外部的用户成功验证之后，将如下用户标记与该用户的数据通信相关联，所述用户标记被许可在环上进行通信，也就是说，所述通信不被过滤功能阻止。在一个优选的变型形式中，用于环的过滤规则在此不改变。当过滤装置具有如下过滤模块从而在环中进行过滤时，这是尤其有利的，所述过滤模块由环内部的用户形成。

替选地或附加地，识别装置能够设置用于：为环外部的用户，将分配给该用户的用户标记作为已验证的标记通知过滤装置。例如能够通过识别装置将消息发送给过滤装置，其中消息包含待被许可的用户的被分配的用户标记。如果过滤装置具有一组过滤模块，那么识别装置能够将所谓的“组播消息”或者“广播消息”发送给过滤模块。如果过滤装置具有一个列表的已验证的用户标记，那么该列表能够通过识别装置的所提出的措施来编辑，尤其借助于待被许可的环外部的用户的已经被分配的用户标记来补充。

通过由过滤模块来接受和转发消息，这些过滤模块能够关于待被许可的用户的用户标记的信息相互通知。在一个有利的实施方案变型形式中提出：环内部的用户实现环管理器的功能，并且识别装置设置用于：将包含用户标记的消息发送给环管理器。由此能够简单地通过与环管理器的通信来进行对过滤模块的通知。

本发明还涉及一种用于对装置的数据网进行管理的方法，所述数据网具有：一组装置内部的用户、至少一个环和至少一个接口单元，在所述环中，该组环内部的用户在环拓扑中彼此联网，所述接口单元设置用于：建立至少一个环外部的用户到环上的连接。

其提出：在至少一个用户标记方面，过滤环的数据通信，并且为环外部的用户，采取与该用户的用户标记相关的至少一个措施，使得在环中的数据通信的过滤功能方面，该用户标记是被许可的。关于所提出的方法的有利作用，参照所提出的数据网的上述实施方案。

附图说明根据

根据附图详细阐述本发明的实施例。附图示出：

图1示出具有内部的功能部件的轨道交通工具的示意侧视图，

图2示出具有环的、连接功能部件的数据网，过滤装置与所述环相关联，

图3示出一个列表的用户标记，所述用户标记由过滤装置许可，

图4示出数据包在图2的网络中的传输与对用户标记的转换，

图5示出用于图4中的转换的转换表，

图6示出对过滤装置通知用户标记，

图7示出在图6中的通知之后的、具有用户标记的数据包的传输，

图8示出对环的环管理器通知用户标记，以及

图9示出轨道交通工具的初始化运行的时间流程。

具体实施方式

图1示出构成为轨道交通工具的交通工具10的示意的侧视图。交通工具10构成为多个车厢12的联合体，所述车厢彼此机械地耦联并且形成列车单元。在所观察的实施方案中，交通工具10构成为所谓的动车组。对此，该联合体的车厢12中的至少一个车厢设有驱动单元14，以驱动驱动轴16。驱动单元14具有功率供给单元，所述功率供给单元尤其借助于功率电子装置产生用于(未示出的)电动机的电功率。在另一实施方案中可以考虑的是：交通工具10构成为单独的动车。此外，交通工具10能够具有无驱动器的客车车厢的联合体，所述所述联合体与至少一个牵引机车、例如火车头耦联。

交通工具10已知具有多个功能部件，所述功能部件实现交通工具10的运行。典型的功能部件通常是已知的并且在此不详细阐述，所述功能部件如尤其是驱动单元14的部件、(示例性地并且示意性地在车厢12.2中示出的)制动装置11的部件、列车保护装置13的部件、(示例性地并且示意性地在车厢12.3中示出的)门单元15的部件、空调设备17的部件、乘客信息系统19的部件、车载电网装置的部件等。交通工具10的功能部件通常能够构成为控制单元、传感器单元和/或促动器单元，其中一组在功能上关联的功能部件也能够称为“子系统”，所述功能部件与特定的功能、例如与在上文中所列举的功能中的一个相关联。安装在交通工具10中的从而持久地联接在交通工具结构上的功能部件彼此联网，并且在此是数据网18的组成部分(参见图2)。从交通工具控制技术的观点来看，属于交通工具10的功能部件称为交通工具10的数据网18的“内部的”用户20、22。内部的用户20、22借助于总线装置24在数据方面彼此连接，所述总线装置本身能够具有不同的总线结构。总线结构能够在相应的网络硬件的设计和/或所使用的网络协议的设计方面彼此不同。

在图2中详细示出数据网18的一部分。总线装置24的第一总线结构26将用户20一起连成为闭合的回路，使得所述用户形成数据网18的环28。为了将环28中的内部的用户20与数据网18的其它内部的用户22进行区分，环中的内部的用户称为“环内部的用户”，而其它的用户22和外部的用户(见下文)称为“环外部的用户”。在本领域专业术语中，内部的用户22也称为数据网18的“离环部件”。在所观察的实施方案中，环28的总线结构26基于以术语“工业以太网”已知的技术。环内部的用户20尤其分别构成为控制设备。环内部的部件20例如能够分别构成为SPS。环外部的用户22在图2中抽象地示出，并且能够分别对应于特定的功能部件或者对应于在图1中所示出的交通工具10的整个子系统。

数据网18具有接口单元30、32，通过所述接口单元可将环外部的用户连接到环28上。接口单元30用于将内部的用户22连接到环28上。这些接口单元本身借助于总线结构34彼此联网，所述总线结构与总线结构26不同。接口单元30在此用于将总线结构34和连接到其上的用户22连接到环28上。在一个示例性的实施方案中，总线结构34能够构成为TCN协议的MVB总线。

接口单元32用于将外部的用户36连接到环28上。外部的用户在此是如下功能部件，所述功能部件设置用于：偶尔与数据网18联接。外部的用户36例如能够是便携式维护设备，所述维护设备在需要时与数据网18在数据方面连接，否则在交通工具10的正常的使用运行中不与数据网18连接。接口单元32能够设置用于建立环28与外部的用户36的有线的和/或无线的连接。

除了物理的(或者硬件方面的)连接可能性31或33以外，接口单元30、32还分别至少配设有交换机功能。所述接口单元还分别与环内部的用户20直接机械耦联。特别地，相应的环内部的用户20和耦联的接口单元30或32设置在相同的、关联的结构单元中。在所观察的实施方案中，环内部的用户20尤其分别构成为具有交换机功能的控制设备。

此外，数据网18具有过滤装置38，所述过滤装置具有过滤功能，所述过滤装置设置用于：在至少一个用户标记方面，过滤所述环28的数据通信。在所观察的实施方案中，对于过滤所考虑的用户标记是对OSI数据链路层的标记。特别地，为了过滤目的，根据至少一个过滤规则检查用户的至少一个MAC地址。在此，其是(内部的或外部的)用户，所述用户参与数据传送，所述数据传送在环28的至少一部分上进行或者应当在环的至少一部分上进行。过滤装置38具有一组过滤模块40。在环28上的数据通信能够在两个方向上(顺时针或者逆时针地)进行。

一对过滤模块40分别与环内部的用户20相关联。所述对中的第一过滤模块40对于环28中的数据通信的所给定的方向监控指向用户20的数据流，而所述对中的第二过滤模块40监控沿着数据通信的相反的方向指向用户20的数据流。在一个替选的实施方案中，数据通信能够在仅一个方向上是可行的。

过滤装置38还具有过滤模块39、41，所述过滤模块分别与接口单元30、32相关联并且尤其与这些接口单元耦合。通过这些过滤模块39、41能够在数据进入环28之前过滤指向环28的数据通信。此外，通过过滤模块39、41能够过滤如下数据通信，所述数据通信出自环28并且指向环外部的用户。在一个特别的实施方案中，能够弃用这些附加的过滤模块39、41。下文的描述涉及过滤模块40并且与之对应地也适用于过滤模块39、41。

借助于第一过滤规则对过滤装置38进行编程，所述第一过滤规则执行对数据包的监控，所述数据包的传输在环28的至少一部分上进行或者应当在环的至少一部分上进行。如在上文中已经描述的那样，所述监控基于如下用户标记进行，所述用户标记对应于参与数据包传输的用户的MAC地址。在此，其能够是构成为发送器的用户和/或构成为包的接收器的用户。与环内部的用户20相关联的过滤模块40引起通过如下方式对在环28的至少一部分上进行的数据通信的过滤：如果根据过滤规则在该数据包中待监控的一个或多个用户标记属于所许可的用户标记的列表，那么指向相应的用户20的数据包才由该用户20转发。该列表在图3中示出。此外能够执行其它规则作为过滤规则，所述其它规则对应于常规的防火墙规则。

过滤模块40分别由具有交换机功能的装置形成。所述过滤模块在此能够由单独的交换机形成，所述交换机与相关联的环内部的用户20分开地构成。然而，在所观察的实施方案中，所述过滤模块分别与相关联的环内部的用户20直接机械耦联。特别地，相应的环内部的用户20和相关联的过滤模块40设置在相同的、关联的结构单元中。在所观察的实施方案中，环内部的用户20尤其分别构成为具有交换机功能的控制设备。

此外，数据网18具有网络访问控制单元42、44，所述网络访问控制单元分别与不同的接口单元30或32相关联。所述网络访问控制单元分别用于：针对环外部的用户22或36根据限定的验证协议来管理、尤其准许或拒绝对环28的数据通信访问。在许可环外部的用户的数据通信访问时，该用户能够参与数据传送，所述数据传送在环28的至少一部分上进行。如果通过网络访问控制单元42或44以许可来成功结束对环外部的用户22、36的验证，那么启用相关联的接口单元30或32中的如下接口(也称为“端口”，所述接口用于环外部的用户对环28进行访问。验证协议例如能够是根据IEEE 802.1x的协议，如尤其呈借助于设备证书的EAP-TLS验证形式的协议。

网络访问控制单元42、44和过滤装置38的功能首先以外部的用户36的连接为例进行阐述。

用于外部的用户36的数据通信访问借助于网络访问控制单元44来进行管理，所述用户作为维护设备偶尔联接到数据网18上。在建立外部的用户36与接口单元32的有线的或者无线的数据连接之后，根据上述类型的协议，通过相关联的网络访问控制单元44对用户36进行验证。对此，例如设有验证模块45(或者“验证器”)，所述验证模块分别在环外部的用户22、36中执行并且与相应的网络访问控制单元42或44共同作用。如果外部的用户36相对于网络访问控制单元44被成功验证，那么如下数据通信视作为是被许可的，所述数据通信在相关联的接口单元32的所启用的端口上且在环28的至少一部分上进行，并且外部的用户36参与所述数据通信。网络访问控制单元42、44分别配设有交换机功能并且能够分别构成为所谓的“接入交换机”。

为了也在过滤装置38的在上文中所描述的过滤功能方面许可该数据通信，应当采取相应的措施。对此，识别装置46与接口单元32相关联。识别装置46用于：采取与外部的用户36的用户标记相关的措施，使得根据有效的过滤规则许可在出自外部的用户36的数据传送中在环28中所使用的用户标记。对此，多个变型形式是可行的。

根据在图4中示出的第一变型形式，识别装置46具有用于进行标记设定的单元48，所述单元设置用于：为外部的用户36，给该用户分配通过过滤装置38验证的用户标记TK。对此，在上文中提到的、在图3中示出的列表中，包含至少一个标记TK，在所观察的实施方案中即MAC地址，所述标记在需要时能够被分配给外部的用户36。该标记是所谓的“未占用的”标记，所述“未占用的”标记在将外部的用户36添加到数据网18中之前未被使用。为了设定相对于过滤装置38许可的用户标记TK，单元48优选具有转换功能。对此，单元48生成在图5中示出的转换表，所述转换表记录有待联接的环外部的用户36的原本的用户标记、尤其MAC地址MA和在过滤装置38的列表中记录的、未占用的用户标记TK之间的单义的关联关系。该转换表在本领域专业术语中能够称为“MAC地址转换表”。

在图4中示出由外部的用户36产生的、编址到环内部的、在附图左上方示出的用户20.a的数据包DP1。接收数据包DP1的识别装置46，借助于单元48通过图3中所示出的列表的未占用的用户标记TK来替换来源地址、即构成为MAC地址的用户标记MA。由识别装置46转发的数据包DP2此时包含该用户标记TK作为来源地址。因为该用户标记已经由过滤装置38、即过滤模块40许可，所以数据包DP2被转发至接收器(用户20.a)。相应地，在指向外部的用户36的数据通讯中，在环28中用作为目标的被许可的用户标记TK的用户标记根据在图5中所示出的转换表由用于标记设定的单元48向回转换为外部的用户36的原本的用户标记MA。双重转换用户标记能够针对如下数据通讯进行，所述数据通讯在环28上在外部的用户36和内部的用户22之间建立。

在图6和图8中示出实施方案变型形式。在这些实施方案中，外部的用户36的原本的用户标记MA用于参与如下数据通信，所述数据通信在环28的至少一部分上进行。特别地，对于该数据通信而言，使用外部的用户36的MAC地址作为用户标记MA。为了该数据通信能够在不通过过滤装置38滤除的情况下进行，必须将已经被分配给外部的用户36的用户标记MA作为在适用的过滤规则方面已验证的标记来通知过滤模块40。在所观察的实施方案变型形式中，据此进行在图3中示出的由过滤装置38许可的用户标记的列表的更新过程。更新过程由识别装置导入。对此，至少两个过程是可行的。为了将实施方案变型形式彼此区分，针对识别装置引入附图标记46’和46”。

在根据图6的变型形式中，识别装置46’将消息N发送到环28中，使得所有过滤模块40，(也就是说，在过滤装置38的具体观察的实施方式中)所有环内部的用户20接收该消息N。该消息N如在附图中所示出的那样包含外部的用户36的待许可的用户标记MA。在获得消息N之后，过滤模块40分别以外部的用户36的用户标记MA来扩展其待许可的用户标记的列表。消息N由识别装置46’优选作为组播或广播消息来发送。消息N以数据包的形式发送，其具有识别装置46’的MAC地址作为来源地址，并且(在所观察的实施方案中)具有针对广播所设置的地址FF-FF-FF-FF-FF-FF作为目标地址。消息N的信息内容包含指令(“RegisterOffRingDevice寄存器离环设备”)，据此，待许可的用户标记的列表由被编址的过滤模块40以用户标记MA来扩展。

图7示出数据包DP1的传输，所述数据包由设置在传输路线上的过滤模块40不变地转发至接收器(用户20.a)。与图4不同，数据包DP1包含外部的用户36的原本的用户标记MA作为来源地址，所述原本的用户标记根据识别装置46’的在上文中所描述的措施记录在图3中的列表中。

在根据图8的变型形式中，环28具有所谓的环管理器RM。所述环管理器由环内部的用户20中的一个形成，该用户相对于其它环内部的用户20具有特定的管理功能。识别装置46”将消息N发送给环管理器RM，所述环管理器在获得该消息之后触发通过过滤模块40许可的用户标记的列表的更新过程。环管理器RM分配信息，例如通过发送组播消息或者广播消息或者通过对过滤模块40单独编址来分配。数据通信随后能够如在图7中所示出的那样进行。

在这两个实施方案变型形式中的消息N在本领域专业术语中能够称为“过滤升级消息”(FilterUpdate message)。所述消息优选以加密的形式发送。特别地，所述消息能够具有加密校验和，例如根据AES-CBC-MAC、HMAC-SHA1、HMAC-SHA256、RSA签名、DSA签名、ECDSA签名的加密校验和。

在上文中所描述的实施方案中，过滤装置38具有如下过滤规则，所述过滤规则在至少一个用户标记方面过滤数据通信。仅当相应的数据包包含在根据图3的列表中所包含的用户标记时，才被许可在环28的至少一部分上进行的数据通信。如果这不是这种情况，那么数据包由过滤模块40阻拦并且不转发至下一环内部的用户20。仅当环外部的用户36相对于网络访问控制单元44已经能够成功验证时，才采取由识别装置46、46’或46”所采取的与用户标记相关的措施。据此，根据通过网络访问控制单元44对外部的用户36的许可采取识别装置46、46’或46”的在上文中所描述的措施。

网络访问控制单元42、44和识别装置46、46’或46”的功能在上文中以网络访问控制单元44为例阐述，所述网络访问控制单元用于连接外部的用户、例如外部的用户36。

网络访问控制单元42用于连接环外部的用户，所述环外部的用户构成为内部的用户22或者重新装入交通工具10中或在修复(Instandsetzung)之后再次装入交通工具10中。所述用户与接口单元30相关联。如关于网络访问控制单元44所阐述的那样，识别装置50与接口单元30相关联。为了描述网络访问控制单元42和识别装置50的功能，参照关于相应的网络访问控制单元44和识别装置46的上述说明。如针对识别装置46那样，在图4中示出的第一实施方案变型形式中，所述识别装置具有用于标记设定的单元52，所述单元的功能与单元48的功能相同。在根据图6和图8的实施方案变型形式中，为了进行区分，引入附图标记50’和50”。

接口单元30和与该接口单元相关联的网络访问控制单元42以及识别单元50能够作为彼此分开的结构单元形成。然而，如在所观察的实施方案中可见，有利的是，所述结构单元是共同的、关联的结构单元的组成部分。特别地，该结构单元对应于环内部的用户20中的一个，如在附图中可见。在此，环内部的用户20包括接口单元30和相关联的网络访问控制单元42和识别装置50。在此，能够以这些设备的功能对所述环内部的用户进行编程。上述实施方案也适用于接口单元32和相关联的网络访问控制单元44以及识别装置46。

在所观察的实施方案中，过滤装置38具有多个过滤规则，所述过滤规则分别与交通工具10的不同的运行状态相关联。

例如能够需要：管理至少在环28的一部分上进行的数据通讯，使得连接到数据网18上的功能部件或内部的用户22的引导启动能够在短的时间片内进行。对此，在交通工具10的这种引导启动阶段期间适用如下过滤规则，所述过滤规则相对于在上文中所描述的在正常运行中的过滤规则进行修改。此外，在引导启动阶段期间，至少网络访问控制单元42在如下运行模式中运行，所述运行模式与在上文中所阐述的、在交通工具10正常运行中所应用的运行模式不同。

这在图9中示出。对于网络访问控制单元42和过滤装置38而言，执行所谓的“宽限期”，在所述宽限期中相对于正常运行，适用不那么严格的要求。在装置作为交通工具10的所观察的实施方案中，正常运行对应于“常规的行驶运行”。该正常运行仅在内部的用户20、22通过网络访问控制单元32的验证已经成功结束之后才启用。

在引导启动阶段HFP期间(参见图9)，过滤装置38的在交通工具10正常运行中所描述的过滤规则失效，所述过滤规则根据所许可的用户标记的列表来限定。据此适用过滤装置38的第二过滤规则，据此由过滤装置38许可在环28的至少一部分上的任意的数据通信。由此，在环28上进行的数据通信能够在不受到过滤模块40限制的情况下进行，所述数据通信尤其对于构建数据网18并且对于验证内部的用户20、22是必需的。引导启动阶段HFP能够被划分为多个阶段。在第一阶段P1中构建数据网18。在紧随其后的另一阶段P2中，对内部的用户20、22中的具有中央控制设备的功能的用户和与该用户相关联的内部的用户20、22之间的数据通讯进行初始化。该控制设备例如能够构成为环外部的用户22。该步骤对应于由中央的控制设备控制的控制网络的初始化。

在第一阶段P1和P2中，数据访问控制单元42和过滤装置38运行为，使得在参与环28上的数据通信方面对内部的用户20、22进行许可，尽管这些内部的用户尚未经历通过网络访问控制单元42进行验证。在此，尤其将所有环外部的用户22经由接口单元30的至少一个接口(或端口)连接到环28上是可行的，其中启用接口单元30的该接口，尽管所有环外部的用户22尚未通过相关联的网络访问控制单元42检查或者尚未结束检查。

在阶段P2结束之后，通过网络访问控制单元42在阶段P3期间，根据在上文中所提及的验证协议中的一个、尤其借助于基于证书的验证对内部的用户进行在上文中所描述的验证过程，所述内部的用户即是环内部的用户20和环外部的用户22。引导启动阶段HFP随成功结束验证过程而终止，并且过滤装置38的宽限期随之终止。在随后的启用的正常运行NB中，尤其在常规的行驶运行中，在更上面所阐述的基于用户标记的过滤规则是适用的。引导启动阶段HFP也称为交通工具10的“初始化运行”。在交通工具10作为轨道交通工具的所观察的实施方案中，在初始化运行期间尤其进行所谓的“列车设置”。

此外，网络访问控制单元42的和过滤装置38的在初始化运行中所使用的运行模式能够在存在交通工具10的干扰运行时被激活。这种运行例如能够通过触发紧急制动信号或者通过火灾通知来激活。

可以考虑其它的运行状态，对于所述运行状态而言，与在交通工具10的正常的运行中相比设有不同的过滤和/或验证规则。因此，尤其能够在维护模式中或者在制造商车间模式中设有如下过滤规则，所述过滤规则对应于第二过滤规则。据此，在这些模式中，在环28的至少一个部分上进行的数据通信可以是不受限的。

此外也可以考虑的是，过滤装置38的过滤规则和/或网络访问控制单元42、44的验证过程，在正常的运行中，意即在所观察的实例中在常规的行驶运行中，是可重配置的，或者换而言之，为了重配置而被阻拦。这种阻拦例如能够在激活另一运行模式、例如维护模式时被撤除。

对于特定的外部的用户而言，能够通过过滤装置38的过滤规则和/或网络访问控制单元44的运行模式在正常运行中明确地阻拦在环28的至少一部分上进行的数据通信，所述特定的外部的用户在数据网18中可能已经被成功验证至少一次。在交通工具10的常规的行驶运行中，与外部的用户36的数据通信例如能够通过过滤装置38和/或网络访问控制单元44阻拦，虽然所述外部的用户36在之前的维护模式中已经被成功验证。

在附图中所示出的实施方案中，能够沿着不同的方向，即顺时针或者逆时针地在环28中进行。由此，具有不同长度的潜在的传输路径是可行的，其中优选为数据通信选择具有最小长度的传输路径。此外也可行的是，环内部的用户20中的一个执行主控的功能(或者“媒介冗余主控交换机”)，其在特定的部位处逻辑地中断环28。

在一个优选的变型形式中，过滤装置38的过滤规则与数据包的传输方向无关。这具有如下优点：在重配置环时，尤其由于故障而重配置环时，不需要重配置过滤规则。然而，过滤装置38的过滤规则也能够设置用于过滤如下数据包，所述数据包与在环28上的数据包的传输方向相关。根据一个过滤规则，对于过滤模块40能够提出：仅沿着特定的方向转发数据包并且沿着反方向阻拦数据包。在这种情况下，为环内部的用户20能够进行过滤规则的自动的重配置，以便考虑不同的传输方向。在另一变型形式中，不进行过滤规则的自动的重配置。在这种情况下，必须对内部的用户20、22再次进行验证，使得随后能够建立匹配的过滤输入。

在另一变型形式中，对于环内部的用户20进行过滤规则的自动的重配置，而对环外部的用户22必须再次进行验证。