用于在耦合的列车组件之间控制通信的方法和设备的制作方法
【专利摘要】描述一种用于在耦合的列车组件之间控制通信的方法,其中存在机械和电耦合以及用于数据交换的装置,其中在将第一列车组件与至少一个其它列车组件耦合时,标识该至少一个其它列车组件,并且根据标识来进行针对允许的数据通信的过滤,其方式是仅允许所选择的数据通信业务。此外描述一种用于在耦合的列车组件之间控制通信的设备,其中所述设备的列车总线(5)经由电耦合(EK)连接并且与分别另外的列车组件的数据通信经由具有至少一个以太网接口的至少一个网络耦合器(GW)以及经由用于每个子网(7)的连接的至少一个接口来进行,使得允许或阻止过滤策略/规则规定的数据通信。
【专利说明】用于在耦合的列车组件之间控制通信的方法和设备
【技术领域】
[0001]本发明涉及列车组件的耦合,其中除了电和机械耦合之外还耦合列车组件总线,使得可以发生数据交换。多个列车组件的耦合导致列车的组装。
【背景技术】
[0002]在特定有轨车辆中的列车组件或车厢在列车运行中被规则地耦合并且又被分离。因此列车运行商可以灵活地组成列车或由多个列车组件或列车组成的列车共同体,其中该列车或列车共同体可以被适配于所行驶的路段区段的使用强度。在此,存在以下可能性:列车共同体由不同轨道运行商和不同制造商的车厢或列车组件组装。
[0003]除了机械耦合之外,也进行用于相应制动的压缩空气管道的耦合或者列车组件的电流供应线路的电耦合。在耦合时也可以将列车的控制总线相互连接,使得数据、例如用于照明、制动、传动或行驶信号显示的控制消息可以被交换。在此,部分地可以将基于以太网或基于IP的有轨车辆控制总线相互耦合。例如也可以连接车辆控制网络或用于视频监控或用于在所耦合的列车组件之间的乘客信息的运行商网络。
[0004]所谓的列车总线当今已经是常见的,用以在列车组件之间传输数据。
[0005]在两个列车组件之间的电连接原则上也可以通过插接线缆来建立。该连接有可能也连接所耦合的列车组件的列车总线。为此例如可以使用按照确定的标准(UIC 568)的插接器。
[0006]此外已知的是,在列车中采用IP通信。寻址的问题尤其是在列车耦合时出现。列车总线与车辆总线的耦合经由网络耦合器/网关或者接口实现。在所谓的列车命名(Zugtaufe)时,随后所有车辆认识到列车拓扑。该列车拓扑包含其它车辆的类型和版本和其相应的编号。所耦合的车辆的编号在耦合过程中如此被分配,使得车辆连续地被逐一编号。
[0007]此外,在有轨车辆内在耦合基于以太网的网络的一个或多个内部以太网区段时采用防火墙是已知的。从而可以防止对列车总线的网络访问。
[0008]为了数据传输,也可以设想借助于光学传输或借助于无线电传输的无线耦合。
[0009]列车组件例如可以包含多个网络或总线,例如具有旅客网络、车辆控制网络、运行商网络、列车保险网络等。这些可以在所耦合的列车组件之间直接地或经由列车总线被连接。
[0010]此外已知自动离合器,例如Scharfenberg离合器,其中也自动地建立电连接。在这样的机械离合器中集成有电动接触离合器。从而,可以在耦合的列车组件之间建立电连接。
[0011]关于网络安全性或安全的数据通信,采用防火墙是常见的。该防火墙在网络界限处基于对可靠的数据通信的选择来限制对网络的访问。
[0012]已知用以防止接入网络的各种解决方案。一般而言,在释放网络接入之前,用户必须进行鉴权。鉴权例如通过使用口令或密码密钥来进行。[0013]此外已知的是,使用网络访问控制/NAC/Network Access Control (网络访问控制),其中连接设备的配置被检验。在此例如确定,当前的病毒扫描器是否被安装或者所谓的补丁是否被安装。只有当满足对配置的预设时,才通过接入开关同意接入。如果接入不被同意,则用户可能被拒绝或者获得对非关键网络的限制性访问。
[0014]由US 2006/0180709中已知用于IP列车引入的方法和系统。列车引入或列车命名在基于IP的列车控制网络中被实施。在此,确定列车拓扑、尤其是机车的列车拓扑。与此有关地对IP地址转换进行配置。
[0015]此外,列车中的车厢被识别,其方式是应用识别协议。网络以及配置信息被传送给列车中的另外的单元。
【发明内容】
[0016]本发明所基于的任务是,防止危及一个列车组件在与另一列车组件耦合时的控制功能。
[0017]该任务的解决方案通过独立表达的权利要求的相应的特征组合来实现。
[0018]本发明基于以下认识:例如在将列车组件或各个车厢耦合成列车时或者在将全部列车耦合成一个列车或列车共同体时,例如在ICE/城际特快列车情况下,可以优化控制功能的安全性。这不仅涉及实际的运行安全性/Safety (安全)而且涉及所保障的运行流程的运行保护/Security (保护)。
[0019]根据本发明,在将第一列车组件与其它列车组件耦合时标识该附加的列车组件。从而,例如标识制造商、模型、版本、序列号或运行商。根据该标识,执行对允许的数据通信的过滤,所述过滤可以通过第一列车组件的控制网络连同所耦合的其它列车组件的控制网络一起运行。列车组件的控制网络例如是列车控制装置、车辆控制装置、运行商功能诸如旅客信息系统等。
[0020]过滤从而定义子网,所述子网分别被耦合并且分别在这些子网中允许的数据通信经由所述子网运行。因此例如可以实现在列车网络的所耦合的区段、例如以太网列车总线/ETB之间的数据通信,而另一方面运行商网络或车辆控制网络不能被耦合或者仅能有限理解地(verstanden)被f禹合,也即被过滤。
[0021]过滤在这里被理解为对诸如控制数据分组的头部和/或有用数据的管理数据的分析。检验这究竟是否是允许的和/或值关于局部运行数据是否是可信的。
[0022]过滤涉及数据消息,诸如控制指令、状态消息、测量值等。总之,在此可以大多根据子网操作多个功能。通过列车控制装置可以例如操作空调、照明、门功能、制动和传动控制。通过列车保险装置例如操作自动列车安全功能。乘客信息系统负责所需要的和便利的信息供应。所谓的运行商功能可以管理能量消耗测量,操作乘客计数或视频监控。
[0023]为由列车组件组成的列车设置的车辆网络在内部由多个子网组成,例如列车控制装置、旅客网络、运行商网络。这些子网可以单独地被耦合在列车组件之间。过滤也可以涉及这些子网彼此间的耦合,也即可以允许或阻止跨列车组件的耦合。数据通信从而根据过滤被允许或被阻止或也被引导到所谓的代理服务器上。适合作为网络部件的该服务器代理地在该网络中承担交换机的角色,使得根据可能性在通信伙伴之间的连接只有当所述通信伙伴的地址或所使用的协议彼此间不兼容时才实现。[0024]在列车上的数据通信时用于过滤的规则/策略或者可以固定地被预先给定或者可以是可配置的或者也可以由服务器输送。从而,当在新耦合的列车组件和其自己的子网情况下过滤时,列车网络在耦合其它列车组件时是特别灵活的。
[0025]因为大多有轨车辆、也即或多或少每个列车组件均具有自己的数据总线,所以与其它列车组件的耦合一般也意味着各个列车组件的数据总线的耦合。因此为了数据通信适宜的是,在列车总线和列车组件的各个子网之间采用至少一个网络耦合器/网关GW。因此,数据通信根据固定的或可配置的过滤规则/策略进行并且在网络耦合器GW处,数据通信被归入为允许的或者被阻止。
[0026]有利的是,给网络耦合器/网关GW装备至少一个以太网接口以及分别装备用于每个子网的接口。
[0027]如果列车组件在两侧与其它列车组件耦合,则有利的是,给网络耦合器装备至少两个以太网接口。将以下技术理解为以太网接口,即所述技术指定例如协议的软件和例如用于有线数据网络的分配器或网卡的硬件。最初这些本地数据网络被考虑用于在连接在本地网络(LAN)中的设备之间以数据分组的形式进行数据交换。
[0028]一般地,可以在很大程度上维持在列车组件之间的功能性,但是其中根据过滤规则/策略执行先前的检验:一个或多个列车组件是否是可信赖的。
[0029]可以特别有利的是,除了直接耦合到列车组件上的其它列车组件之外还标识远离的列车组件。这需要数据通信的特别的寻址。另外,以相同的方式调节用于标识、鉴权或与不同列车组件的子网的通信或在不同列车组件的子网之间的通信的方法方式。
[0030]有利地可以在各个列车组件之间借助于无线电传输实施数据传输。
【专利附图】
【附图说明】
[0031]下面根据示意图描述不限制本发明的实施例。
[0032]在此这些图详细地示出:
图1示出两个有轨列车组件与网络耦合器/网关GW的耦合,所述网络耦合器/网关是双重实施的,因为分别一个电耦合EK可以分别经由一个网络耦合器与子网7连线,
图2示出根据图1的具有变型的图解,即仅设置一个网络耦合器/网关GW,所述网络耦合器/网关同时与电耦合EK连接,
图3示出另一变型方案,其中电耦合EK在第一列车组件I的两侧上直接连接并且对第一列车组件I的子网7的接入通过唯一的网络耦合器/网关GW进行,
图4示出标识和根据过滤规则的与该标识有关的过滤的原理流程,
图5示出一个变型方案,其中所耦合的其它列车组件2在使用数字证书的情况下借助于挑战响应鉴权被标识。
【具体实施方式】
[0033]子网72、73、74的耦合可以经由分离的物理线路实现。但是子网也可以经由共同的线路耦合,其方式是数据被隧穿。这例如经由VLAN、L2TP实现。分别给数据分组、即所谓的帧在两个列车组件之间传输时配备标记,所述标记允许接收器分配给相应的子网。
[0034]因此,例如在过滤规则的配置中可以将第一列车组件I的运行商网络与所耦合的其它列车组件2的运行商网络连接,也即在所耦合的运行商网络之间转发数据分组。但是在该示例性配置中不可能分别连接旅客网络或列车控制网络,也即在所耦合的列车组件之间,不根据过滤规则在所耦合的列车组件的旅客网络之间或者在所耦合的列车组件的列车控制网络之间转发数据分组或帧。如果所耦合的列车组件属于相同的运行商,则例如也可以仅连接运行商网络。相反也可以在分配给不同的运行商的列车组件之间实现列车控制/列车控制网络。
[0035]过滤可以逻辑地进行,其方式是根据过滤规则抛弃不允许的数据分组,也即不允许的数据分组不在所耦合的列车组件之间被转发。
[0036]过滤也可以通过可操控的电接触件、例如继电器进行,只要在可连接的子网之间的电连接根据过滤规则根据所耦合的列车组件是允许的,则所述继电器仅接通该在可连接的子网之间的电连接。
[0037]—般地,仅需要和存在子网的基本功能性或扩展功能性,其在列车耦合时是可用的。由此在与未知的或不可信赖的列车组件耦合时不存在危险。尽管如此,可以使用广泛的功能性,只要这无危险地是可能的,例如在同一运行商的所耦合的列车组件之间。一旦这根据所定义的过滤规则/策略被允许,则这是可能的。
[0038]在可耦合的有轨车辆之间的控制通信的过滤在根据图1至3的不同的变型方案中更详细地予以阐述。
[0039]图1示出用于过滤与所耦合的其它列车组件2的数据通信业务的两个网络耦合器。在耦合时将列车总线或车辆总线经由电耦合EK彼此连接。与其它列车组件2的数据通信经由列车耦合网关GW进行。根据过滤规则/策略要么允许要么阻止数据通信。
[0040]在图1中在第一列车组件I内设置三个子网7 ;72,73,74,通过所述子网实现不同的子功能。因此可以单独地运行列车控制72以及乘客信息73或者还有视频监控74。分别示例性地示出与相应的子网连接的部件。但是一般而言,存在多个部件:用于列车控制的子系统的控制设备、从多个CCTV照相机接收和存储图像的CCTV服务器,其中所述列车控制由列车控制服务器控制和监控以用于操作乘客信息系统的由PIS服务器控制的多个显示器。
[0041]图2示出相应于图1进行表示的变型方案,其中仅仅设置唯一的网络耦合器/网关GW。该耦合器在列车的两侧同时地与电耦合EK连接。在此,在图2中不存在从两个列车耦合EK出发的列车总线5的直接连接。
[0042]图3示出另一变型方案,其中电耦合EK在列车组件的两侧直接经由列车总线5彼此连接。网络耦合器GW中间连接在列车总线5和一个或多个子网7之间。在此情况下,网络耦合器/网关不能区分:数据通信是经由左侧还是右侧电耦合EK进行。这里可以进行左侧以及右侧耦合的列车组件的标识。与此有关地通过网关确定过滤规则/策略。
[0043]在一种变型方案中,直接耦合的列车组件被标识。但是在另一变型方案中,离得更远的列车组件也被标识。这意味着,间接地经由直接耦合的列车组件耦合的这些列车组件也可以被标识。在此所应用的过滤规则/策略于是可以根据这些其它所标识的列车组件被确定或适配。
[0044]所耦合的其它列车组件2的标识可以尤其是以密码方式通过鉴权被保护。由此可以可靠地标识所耦合的其它列车组件2。这例如可以借助于例如按照X.509的数字证书来实现,其中数字证书被分配给所耦合的其它列车组件2。所耦合的列车组件2的数字证书通过第一列车组件I在对该其它列车组件2进行鉴权时被检验。证书包含所耦合的其它列车组件2的公共密钥以及分配给该其它列车组件2的其它属性,例如制造商、模型、序列号、运行商、列车编号等。也可以包含时间有效性信息。在一种变型方案中,所耦合的其它列车组件2拥有静态列车组件标识和单独的运行商列车标识,其中第一个与制造商有关并且第二个与运行商有关地来实施,并且后者将列车组件分配给在运行商处的确定的使用。于是例如可以确定,是否实际上将同一列车编号分配给两个耦合的列车组件。
[0045]在另一变型方案中,在第一列车组件I上存储哪些其它组件2被耦合或可被耦合的信息。在另一变型方案中,该信息在耦合时由外部服务器经由数据通信、例如经由无线电、诸如UMTS、WLAN、WIMAX询问。由此可以检验并且在过滤时考虑:是否实际上也根据运行规划来设置其它列车组件2的耦合。
[0046]如果X.509证书被用于对其它列车组件2进行鉴权,则这原则上如此被建立: 数字证书具有:
经认证的ID:序列号 授予:名称 用户:名称 自…有效:时间 有效至...:时间 公共密钥 特征 特征A 特征B
署名(数字签名)。
[0047]特征根据现有技术可以被用于对关于证书或签发证书所针对的主体的其它信息进行编码。在特征情况下可以对确定的名称或IP地址进行编码。该IP地址说明电子邮件地址或SSL-TLS服务器的服务器地址,其中对于所述SSL-TLS服务器,证书应该被看作是有效的。该信息涉及主体、也即通过该证书进行鉴权的主体。
[0048]可以有利地使用数字证书或者还有数字列车证书,以便将列车标识编码到其中。因此可以使用这样的证书,以便对列出组件相对于所耦合的列车组件进行鉴权。例如用于制造商、种类、序列号等的鉴权或诸如运行商的列车编号的运行商信息可以根据行驶路段的行驶计划或者列车组件的地方火车站被编码。也可以为列车组件信息和分配给该列车组件的运行商信息设置分离的证书。该信息例如可以在字段“输出给…”中或者在属性字段/特征字段中被编码。
[0049]对列车组件鉴权要注意的是,所耦合的列车组件的鉴权可以借助于不同的标准和协议进行。为此可以使用例如SSL、TLS、IKE或EAP协议。
[0050]图4示出在所耦合的列车组件2情况下的原理结构,所述列车组件被标识并且与此有关地根据关于数据通信的过滤规则/过滤策略被激活、也即被允许。数据通信也可以在过滤时与过滤规则有关地被阻止。只要列车保持被耦合,过滤规则就有效。在耦合或再次耦合时,另外的过滤规则被确定并且又被激活。
[0051 ] 根据图4的各个步骤表示: I第一列车组件 2其它列车组件 11确定列车耦合
12确定列车通信业务控制规则/策略 13激活列车通信业务控制规则/策略 14请求列车ID 17列车ID。
[0052]图5示出一种变型方案,其中所耦合的列车组件2借助于所谓的挑战响应鉴权在使用数字证书的情况下被标识。示例性地阐明,仅该所耦合的其它列车组件首先被标识。一般而言,该所耦合的列车组件同样可以执行相应的步骤,也即该列车组件同样标识耦合在该列车组件上耦合的其它列车组件2并且相应的过滤规则被选择和激活。在此情况下,尤其是进行两个其它列车组件的相互的鉴权。
[0053]如果与所耦合的列车组件交换数据,即发送或接收数据,则检验该数据通信是否对应于所定义的过滤规则。如果“是”(“允许”,“准许”),则该数据通信是允许的并且可以进行。如果“否”(“禁止”,“拒绝”),则阻止该数据通信。
[0054]数据通信业务的过滤尤其是可以考虑以下准则:
-协议(例如 ARP、IP、ICMP、DHCP、UDP, TCP)
-发送方/地址(例如MAC地址、IP地址)
-发送地址(例如MAC地址、IP地址)
-端口号(例如UDP端口号、TCP端口号、ICMP业务)
-例如网络服务的URL/UR1-数据内容(例如控制命令的内容,测量值):
尤其是可以根据车辆标识和/或例如速度或温度的本地特有数据进行数据的验证;
-车辆例如在WTB情况下周期性地发出车辆特性,诸如长度和重量。这些数据可以根据车辆标识被验证。参考数据例如可以包含在车辆的数字证书中或者所述参考数据可以通过其中所包含的车辆标识从数据库中来确定。只有当这些数据与扩展的数据一致时,相应的WTB消息才被转发。
[0055]-只有当自己的门同样被关闭时,诸如“关门”的动态运行安全性/安全相关的数据才被转发,也即过滤规则根据列车组件自己的状态进行。仅转发在内容上与本地的和从而可信赖的控制数据一致的消息。
[0056]在图4和5中示例性地示出了列车标识或列车鉴权的流程。
[0057]在图4中列车标识号仅仅被询问一次并且在接下来的步骤中被传送回。
[0058]根据图5,询问数字证书,该数字证书以证书19 CERT的形式在应答信息中被传送回。该证书CERT的有效性或真实性被检查,也即检验,其是否是有效的、由可信赖的认证实体(认证机构)签发的证书。
[0059]紧接着,例如执行挑战-响应鉴权,以便对所耦合的其它列车组件2进行鉴权。根据哪个其它列车组件2被耦合来选择和激活过滤规则,所述过滤规则定义可允许与该耦合的其它列车组件进行传输的控制数据。只要控制数据根据所选择的和激活的过滤规则是允许的,则控制数据被传输给所耦合的其它组件或者从所耦合的其它组件传输。[0060]根据图5的各个步骤表示:
I第一列车组件 2其它列车组件 11确定列车耦合
12确定列车通信业务控制规则/策略
13激活列车通信业务控制规则/策略
14确认证书
15确认应答
18请求证书
19 证书:CERT
20请求真实性证明
21真实性应答:R
22 0.K.23计算应 答 。
【权利要求】
1.一种用于在耦合的列车组件(1,2)之间控制通信的方法,其中存在机械耦合(6)和电耦合(EK)以及用于数据交换的装置,其特征在于, -在将第一列车组件(I)与至少一个其它列车组件(2 )耦合时,标识该至少一个其它列车组件(2),并且 -根据标识来进行针对允许的数据通信的过滤,其方式是仅允许所选择的数据通信业务。
2.根据权利要求1所述的方法,其特征在于,附加地进行针对允许的数据通信的过滤,其方式是跨列车组件地耦合 仅仅所选择的子网(7)。
3.根据权利要求1或2所述的方法,其特征在于,数据通信根据过滤被允许或被阻止或被引导到所谓的代理服务器上。
4.根据权利要求1至3之一所述的方法,其特征在于,过滤分别涉及对列车组件(1,2)的数据的分析,其中检验其它列车组件(2)的数据是否是允许的和/或可信的和/或与第一列车组件(I)的数据兼容的。
5.根据权利要求1至4之一所述的方法,其特征在于,所述数据通信被实施为分组数据通信。
6.根据权利要求1至5之一所述的方法,其特征在于,用于过滤的过滤规则/策略在耦合到第一列车组件(I)上时被固定地预先给定,是能配置的或者能从服务器接收。
7.根据权利要求1至6之一所述的方法,其特征在于,对于以下功能或子网中的至少一个,过滤涉及数据消息: -列车控制,例如空调控制、照明, _门控制,制动和传动控制, -列车保险装置, -乘客息, -运行商功能,例如能量消耗测量、乘客计数器、乘客空间的视频监控。
8.根据权利要求1至7之一所述的方法,其特征在于,所述数据通信经由至少一个网络耦合器/网关(GW)进行,所述网络耦合器/网关根据过滤规则/策略允许或阻止所述数据通信。
9.根据权利要求1至8之一所述的方法,其特征在于,直接耦合在第一列车组件(I)上的其它列车组件(2)以及还有远离的其它列车组件(2)被标识以用于设立用于列车控制(72)的过滤规则/策略。
10.根据前述权利要求之一所述的方法,其特征在于,所述其它列车组件(2)以密码的方式被鉴权。
11.根据权利要求10的方法,其特征在于,对所述其它列车组件(2)的鉴权借助于数字证书来执行,所述数字证书由第一列车组件(I)在鉴权时被检验。
12.根据权利要求10或11之一所述的方法,其特征在于,为了对所耦合的其它列车组件(2)进行鉴权, -使用挑战-响应鉴权,具有 -在使用秘密密钥或密码情况下对其他列车组件(2)的对称鉴权,和 -在使用公共密钥和其他列车组件(2)的私人密钥情况下的非对称鉴权,以及-非对称鉴权,其中其它列车组件(2)的公共密钥通过数字证书被确认。
13.根据前述权利要求之一所述的方法,其特征在于,数据通信在耦合时从外部经由至少一个无线电网络被询问。
14.根据前述权利要求之一所述的方法,其特征在于,激活的所确定的过滤规则/策略在列车耦合时一直保持有效,并且在耦合或重新耦合时被重新确定。
15.根据前述权利要求之一所述的方法,其特征在于,第一列车组件(I)在两侧经由电耦合(EK)被耦合并且对第一列车组件(I)的子网(7)的接入经由网络耦合器(GW)进行,并且过滤规则/策略通过网络耦合器(GW)被确定。
16.用于在耦合的列车组件(1,2)之间控制通信的设备,其中所述设备的列车总线(5)经由电耦合(EK)连接并且第一列车组件(I)与分别其它列车组件(2)的数据通信经由具有至少一个以太网接口的至少一个网络耦合器(GW)以及经由用于每个子网(7)的连接的至少一个接口来进行,使得根据过滤规则/策略允许或阻止数据通信。
17.根据权利要求16所述的设备,其特征在于,在第一列车组件(I)中,从电耦合(EK)出发的列车总线(5)与分别另外的列车总线(5)直接连接并且为了接入子网(7)存在唯一的网络耦合器/网关 (GW)。
【文档编号】B61L15/00GK103476662SQ201280019054
【公开日】2013年12月25日 申请日期:2012年4月10日 优先权日:2011年4月18日
【发明者】R.拜尔, R.法尔克 申请人:西门子公司