Система и способ защищенной передачи данных
Изобретение относится к области передачи и приема данных, в частности для рельсового транспортного средства. Технический результат изобретения заключается в технически простой защите системы управления рельсового транспортного средства за счет электронного фильтрующего устройства, обеспечивающего защиту от несанкционированного доступа к системам управления рельсового транспортного средства. Система содержит по меньшей мере один внутренний блок управления для обработки и генерирования данных, по меньшей мере один внешний серверный блок с устройством связи для создания соединения связи с по меньшей мере одним внутренним интерфейсом, по меньшей мере один внутренний интерфейс для передачи данных, сгенерированных по меньшей мере одним внутренним блоком управления, и для приема данных, переданных по меньшей мере одним внешним серверным блоком, причем по меньшей мере один внутренний блок управления и по меньшей мере один внутренний интерфейс соединены, с возможностью передачи данных, между собой через электронное фильтрующее устройство. Электронное фильтрующее устройство является активируемым и деактивируемым посредством по меньшей мере одним внутренним блоком управления. 2 н. и 9 з.п. ф-лы, 2 ил.
Изобретение относится к системе для передачи и приема данных, в частности для рельсового транспортного средства, а также к способу передачи данных.
Чтобы предотвратить прямой доступ к уровню управления или к подсистемам рельсовых транспортных средств, например через интернет за счет радиоустройства или проводных соединений к рельсовому транспортному средству, должна быть обеспечена защита обмена данными между коммуникационными устройствами рельсового транспортного средства и его подсистемами или уровнем управления.
Обычными механизмами защиты коммуникационных соединений являются, например, VPN-туннели и брандмауэры.
Из WO 2017/024078 А1 в качестве примера известен основанный на брандмауэре способ защиты.
Кроме того, известны способы так называемого Intrusion Detection или обнаружения вторжений, которые могут применяться для защиты коммуникационных соединений рельсового транспортного средства.
Однако известные до сих пор, основанные на программном обеспечении способы недостаточно защищают соединения связи от доступа третьих лиц.
Кроме того, основанными на программном обеспечении механизмами защиты могут манипулировать третьи лица, что может вызвать негативные воздействия на эксплуатацию рельсового транспортного средства. При основанной на программном обеспечении защите коммуникационных соединений всегда существует опасность того, что можно внести изменения в программное обеспечение и обойти механизмы защиты рельсового транспортного средства.
Задачей изобретения является создание системы и способа надежной, в отношении манипулирования, защиты уровня управления рельсового транспортного средства от доступа третьих лиц.
Эта задача решается посредством объектов независимых п.п. 1 и 11. Предпочтительные варианты осуществления изобретения являются объектами соответствующих зависимых пунктов.
Согласно одному аспекту изобретения, предложена система передачи и приема данных, в частности для рельсового транспортного средства. Система содержит, по меньшей мере, один внутренний блок управления для обработки и формирования данных.
По меньшей мере, один внешний серверный блок системы содержит устройство связи для создания соединения связи, по меньшей мере, с одним внутренним интерфейсом.
Кроме того, система содержит, по меньшей мере, один внутренний интерфейс для передачи данных, формированных, по меньшей мере, одним внутренним блоком управления, и для приема данных, формированных, по меньшей мере, одним внешним серверным блоком.
Согласно изобретению, по меньшей мере, один внутренний блок управления и, по меньшей мере, один внутренний интерфейс соединены между собой посредством электронного фильтрующего устройства с возможностью передачи данных.
Благодаря этому соединение связи между, по меньшей мере, одним внутренним интерфейсом и, по меньшей мере, одним внутренним блоком управления может быть прервано посредством аппаратного фильтра. Фильтр или электронное фильтрующее устройство выполнено на базе аппаратного обеспечения и может контролировать и защищать обмен данными между внутренним интерфейсом и, по меньшей мере, одной внутренней системой управления. Следовательно, можно гарантировать, что, по меньшей мере, на одну систему управления будут передаваться только санкционированные сообщения или данные.
По меньшей мере, один внутренний интерфейс, по меньшей мере, одно внутреннее устройство управления и электронное фильтрующее устройство могут быть расположены в рельсовом транспортном средстве в качестве части его электронных компонентов. При этом, по меньшей мере, одно рельсовое транспортное средство может быть составной частью предложенной системы.
Благодаря этому решению можно обеспечить технически простую защиту систем управления рельсового транспортного средства. В частности, за счет электронного фильтрующего устройства можно реализовать надежную, в отношении манипулирования, защиту от несанкционированного доступа к системам управления рельсового транспортного средства.
Согласно одному примеру выполнения системы данные, передаваемые между по меньшей мере одним внешним серверным блоком и по меньшей мере одним внутренним блоком управления, проверяются электронным фильтрующим устройством. Преимущественно электронным фильтрующим устройством является выполненное из дискретных электронных элементов, выборочно в комбинации с интегральными схемами, устройство, по меньшей мере с одной функцией контроля потока данных.
Поток данных или данные могут быть объединены в виде пакетов или датаграмм. За счет, по меньшей мере, одной фильтрующей функции можно гарантировать, что передаваться будут только данные или сообщения через такие физические интерфейсы, как, например, Ethernet, RS232 и т.п., которые не влияют на эксплуатационную функциональность, по меньшей мере, одного внутреннего блока управления.
Согласно другому примеру выполнения системы, данные, передаваемые между по меньшей мере одним внешним серверным блоком и по меньшей мере одним внутренним блоком управления, проверяются электронным фильтрующим устройством на достоверность и/или допустимость. Преимущественно данные могут передаваться в виде протоколов или пакетов. Для контроля достоверности и/или допустимости передаваемых пакетов данных может проверяться, например, синтаксис и/или семантика протоколов. В зависимости от результата контроля данные могут затем беспрепятственно передаваться или блокироваться.
Преимущественно электронное фильтрующее устройство может функционировать двунаправленно и контролировать данные. За счет этого по запросам внешнего серверного блока могут надежно передаваться также ответные сообщения, сгенерированные по меньшей мере одним внутренним блоком управления.
При этом блокированные электронным фильтрующим устройством данные или пакеты данных могут посылаться обратно на прежний компонент с сообщением об ошибке.
Согласно другому примеру выполнения системы по меньшей мере одним внутренним интерфейсом является устройство связи для создания беспроводного или проводного соединения связи по меньшей мере с одним внешним серверным блоком. По меньшей мере одним интерфейсом может быть, например, устройство связи для создания беспроводного соединения связи.
Беспроводное соединение связи может быть основано, например, на WLAN, UMTS, GSM, GPRS, LTE или подобном стандарте передачи.
В качестве альтернативы или дополнительно, по меньшей мере, одним внутренним интерфейсом может быть проводной интерфейс для осуществления сервисных услуг, например работ по техобслуживанию, диагностике и т.п. Эти функции могут быть также защищены и проконтролированы электронным фильтрующим устройством. При этом аппаратный фильтр или электронное фильтрующее устройство расположено с возможностью передачи данных между выполненным в виде сервисного доступа интерфейсом и, по меньшей мере, одним внутренним блоком управления.
Согласно другому примеру выполнения системы, по меньшей мере, одним внешним серверным блоком является внешний пункт управления или внешний прибор управления. По меньшей мере, одним внешним серверным блоком может быть, тем самым, компьютерная система пункта управления или вокзала, которая может осуществлять связь с рельсовым транспортным средством с возможностью передачи данных через беспроводное соединение связи. Для этого компьютерная система содержит через соединения связи для осуществления беспроводной передачи данных.
В качестве альтернативы или дополнительно, по меньшей мере, одним внешним серверным блоком может быть прибор управления или переносной компьютер, который может соединяться беспроводным или проводным путем, по меньшей мере, с одним внутренним интерфейсом. За счет этого обслуживающий персонал может проводить на рельсовом транспортном средстве работы по техобслуживанию и диагностике, причем такие интерфейсы также защищены электронным фильтрующим устройством. Таким образом, также сервисные интерфейсы могут быть защищены электронным фильтрующим устройством при несанкционированном доступе.
Согласно другому примеру выполнения системы, электронное фильтрующее устройство может быть деактивировано или активировано посредством выключателя. Чтобы обеспечить неограниченный обмен данными, например между радиосистемой и блоком управления, электронное фильтрующее устройство может быть отключено аппаратным выключателем. Это может потребоваться, например, чтобы во время приведения в действие блока управления можно было обеспечить доступ к нему.
Согласно другому примеру выполнения системы, электронное фильтрующее устройство может быть деактивировано или активировано посредством, по меньшей мере, одного внутреннего блока управления. За счет этого электронное фильтрующее устройство может управляться, по меньшей мере, одним внутренним блоком управления. В частности, выключатель для активирования и деактивирования электронного фильтрующего устройства может срабатывать непосредственно посредством, по меньшей мере, одного внутреннего блока управления.
В качестве альтернативы или дополнительно, по меньшей мере, один внутренний блок управления может быть соединен непосредственно с электронным фильтрующим устройством, так что на функционирование электронного фильтрующего устройства может влиять непосредственно, по меньшей мере, один внутренний блок управления.
По меньшей мере, один блок управления может, тем самым, непосредственно или косвенно включать и выключать электронное фильтрующее устройство.
Согласно другому примеру выполнения системы, электронное фильтрующее устройство может активироваться, по меньшей мере, одним внутренним блоком управления в зависимости от режима эксплуатации и/или скорости рельсового транспортного средства. Чтобы фильтрующая функция электронного фильтрующего устройства ошибочно не осталась деактивированной во время эксплуатации рельсового транспортного средства, выключатель может быть соединен с управляющей системой или, по меньшей мере, одним внутренним блоком управления. Если деактивированы определенные условия, например режим техобслуживания рельсового транспортного средства, или оно имеет более высокую скорость, чем, например, 5 км/ч, то фильтрующая функция электронного фильтрующего устройства принудительным образом снова активируется. За счет этого можно обеспечить надлежащую функцию электронного фильтрующего устройства.
Согласно другому примеру выполнения системы, электронное фильтрующее устройство может автоматически активироваться, по меньшей мере, одним внутренним блоком управления. За счет автоматического активирования электронного фильтрующего устройства аппаратный фильтр, в случае если обслуживающий персонал совершил ошибку или забыл активировать аппаратный фильтр вручную, может быть принудительным образом снова включен, по меньшей мере, одним блоком управления.
Согласно другому примеру выполнения системы, электронное фильтрующее устройство соединено непосредственно или через сеть, по меньшей мере, с одним внутренним блоком управления с возможностью передачи данных. По меньшей мере, один внутренний блок управления может быть соединен непосредственно с аппаратным фильтром или электронным фильтрующим устройством. В частности, электронное фильтрующее устройство может быть интегрировано, по меньшей мере, в один внутренний блок управления или соединено с ним посредством дата-кабеля. В качестве альтернативы или дополнительно электронное фильтрующее устройство может быть соединено, по меньшей мере, с одним внутренним блоком управления через сеть. Сетью может быть преимущественно сеть Ethernet, сеть или шина рельсового транспортного средства. Таким образом, за счет электронного фильтрующего устройства может быть защищена вся сеть или коммуникация с несколькими компонентами.
Фильтрующий блок или фильтрующее устройство может быть выполнен/выполнено преимущественно в виде собственного аппаратного обеспечения или интегрирован/интегрировано с существующее аппаратное обеспечение, например блок управления.
Согласно другому примеру выполнения системы, по меньшей мере, одним внутренним интерфейсом является беспроводное устройство связи или сервисный интерфейс. За счет этого, по меньшей мере, один внутренний блок управления может быть выполнен гибким и предоставлять множество различных возможностей соединения.
Согласно другому аспекту изобретения, предложен способ передачи данных с помощью предложенной системы.
На первом этапе создается беспроводное или проводное соединение связи между, по меньшей мере, одним внутренним интерфейсом и, по меньшей мере, одним внешним серверным блоком.
За счет созданного соединения связи данные могут передаваться одно- или двунаправленно. Данные могут передаваться в виде пакетов или сообщений. При этом передаваемые, по меньшей мере, на один внутренний интерфейс данные могут проверяться электронным фильтрующим устройством.
Проверенные электронным фильтрующим устройством допустимые и/или достоверные данные передаются без изменений электронным фильтрующим устройством, по меньшей мере, на один внутренний блок управления.
Проверенные электронным фильтрующим устройством недопустимые или недостоверные данные блокируются электронным фильтрующим устройством или передаются обратно, по меньшей мере, на один внутренний интерфейс.
Этот способ гарантирует, что, по меньшей мере, на один блок управления рельсового транспортного средства или транспортного средства смогут передаваться только те данные или пакеты данных, которые не влияют на эксплуатацию транспортного средства. Влияющие на эксплуатацию транспортного средства данные могут заблаговременно фильтроваться или блокироваться электронным фильтрующим устройством.
Кроме того, могут быть допущены соответствующие приборы управления с предложенной фильтрующей функцией, т.к. необходимые доказательства могут быть приведены технически просто. Это может быть реализовано контролем фильтрующей функции и отсутствующего негативного влияния на эксплуатацию транспортного средства.
Предложенным способом может быть обеспечена технически простая защита систем управления транспортного средства. В частности, за счет электронного фильтрующего устройства можно реализовать надежную в отношении манипулирования защиту от несанкционированного доступа к системам управления рельсового транспортного средства.
Согласно одному примеру осуществления способа, электронное фильтрующее устройство активируется или деактивируется выключателем или, по меньшей мере, одним внутренним блоком управления. За счет этого электронное фильтрующее устройство может управляться механическим или электронным выключателем. В частности, аппаратный фильтр может перекрываться выключателем. В качестве альтернативы или дополнительно электронное фильтрующее устройство может активироваться или деактивироваться, по меньшей мере, одним внутренним блоком управления. Таким образом, фильтрующая функция может быть отключена, благодаря чему обеспечивается неограниченный доступ ко всем приборам управления в транспортном средстве.
Согласно другому примеру осуществления способа, электронное фильтрующее устройство расположено в рельсовом транспортном средстве и автоматически активируется в деактивированном состоянии в зависимости от времени, скорости и/или режима эксплуатации рельсового транспортного средства. Этим можно реализовать принудительное включение электронного фильтрующего устройства, которое корректирует непреднамеренное выключение фильтрующей функции.
Описанные выше свойства, признаки и преимущества изобретения, а также то, как они достигаются, становятся более понятными за счет пояснения нижеследующих, сильно упрощенных схематичных изображений предпочтительных примеров его осуществления. На чертежах изображают:
- фиг. 1: систему в соответствии с первым предложенным примером выполнения;
- фиг. 2: систему в соответствии со вторым предложенным примером выполнения.
На фигурах одни и те же конструктивные элементы обозначены одними и теми же ссылочными позициями.
На фиг. 1 изображен схематичный вид системы 1 в соответствии с первым предложенным примером выполнения. Система 1 содержит рельсовое транспортное средство 2 и внешний серверный блок 4. Последним является, например, центр управления или эксплуатационный центр для контроля железнодорожного движения и управления им.
Рельсовое транспортное средство 2 содержит устройство связи 6, которое может создавать беспроводное соединение связи 8 с коммуникационным устройством 10 внешнего серверного блока 4 для двунаправленной передачи данных или пакетов данных. Соединение связи 8 выполнено здесь в виде мобильного радиосоединения, например через сеть UMTS или LTE.
Переданные внешним серверным блоком 4 данные могут приниматься коммуникационным устройством 6 рельсового транспортного средства 2. Коммуникационным устройством 6 рельсового транспортного средства 2 является, согласно данному примеру, внутренний интерфейс 6.
Данные направляются затем дальше коммуникационным устройством 6 на электронное фильтрующее устройство 12. Оно интегрировано в отдельный прибор управления рельсового транспортного средства 2.
Допустимые данные направляются дальше фильтрующим устройством 12, по меньшей мере, на один внутренний блок 16, 18 управления.
При этом рельсовое транспортное средство 2 содержит в качестве примера два внутренних блока 16, 18 управления. Они могут принимать и обрабатывать переданные данные и выполнены в виде двух независимых приборов управления для обработки и расчета данных. Оба блока 16, 18 управления соединены через сеть 24 с фильтрующим устройством 12 с возможностью передачи данных.
Для деактивации и активации фильтрующего устройства 12 в рельсовом транспортном средстве 2 расположен выключатель 20. За счет этого может шунтироваться прибор 14 управления. Внутренний прибор 16 управления также соединен с выключателем 20 и может приводить его в действие автоматически. За счет этого электронное фильтрующее устройство 12 может автоматически включаться, если рельсовое транспортное средство 2 движется с определенной скоростью.
На фиг. 2 схематично изображен второй вариант выполнения системы 1. В отличие от первого примера, рельсовое транспортное средство 2 содержит второй внутренний интерфейс 7, выполненный в виде сервисного интерфейса 7.
Для проведения работ по техобслуживанию с сервисным интерфейсом 7 через проводное соединение связи 9 может быть соединен, например, диагностический прибор 22. Им может быть, например, планшет или ноутбук, который кабелем 9 может соединяться с внутренним интерфейсом 7.
За счет этого может быть реализован непосредственный доступ к блокам 16, 18 управления, причем передаваемые через соединение связи 9 данные контролируются электронным фильтрующим устройством 12.
1. Система (1) передачи и приема данных для рельсового транспортного средства (2), содержащая
по меньшей мере один внутренний блок (16, 18) управления для обработки и генерирования данных,
по меньшей мере один внешний серверный блок (4, 22) с устройством (10) связи для создания соединения (8, 9) связи с по меньшей мере одним внутренним интерфейсом (6, 7),
по меньшей мере один внутренний интерфейс (6, 7) для передачи данных, сгенерированных по меньшей мере одним внутренним блоком (16, 18) управления, и для приема данных, переданных по меньшей мере одним внешним серверным блоком (4, 22), при этом
по меньшей мере один внутренний блок (16, 18) управления и по меньшей мере один внутренний интерфейс (6, 7) соединены между собой посредством соединения, выполненного с возможностью передачи данных через электронное фильтрующее устройство (12), при этом
электронное фильтрующее устройство (12) выполнено на базе аппаратного обеспечения, прерывающее соединение между по меньшей мере одним внутренним интерфейсом и по меньшей мере одним внутренним блоком управления, в качестве аппаратного фильтра, так что на по меньшей мере один внутренний блок управления направляются только допустимые данные, и
электронное фильтрующее устройство (12) является активируемым и деактивируемым посредством по меньшей мере одним внутренним блоком (16) управления.
2. Система по п. 1, в которой данные, передаваемые между по меньшей мере одним внешним серверным блоком (4, 22) и по меньшей мере одним внутренним блоком (16, 18) управления, верифицируются электронным фильтрующим устройством (12).
3. Система по п. 2, в которой данные, передаваемые между по меньшей мере одним внешним серверным блоком (4, 22) и по меньшей мере одним внутренним блоком (16, 18) управления, проверяются электронным фильтрующим устройством (12) на достоверность и/или допустимость.
4. Система по любому из пп. 1-3, в которой по меньшей мере один внутренний интерфейс (6, 7) содержит устройство связи для создания беспроводного или проводного соединения связи (8, 9) по меньшей мере с одним внешним серверным блоком (4, 22).
5. Система по любому из пп. 1-4, в которой указанным по меньшей мере одним внешним серверным блоком (4, 22) является внешний пункт (4) управления или внешний прибор (22) управления.
6. Система по п. 1, в которой электронное фильтрующее устройство (12) выполнено с возможностью активации посредством по меньшей мере одного внутреннего блока (16) управления в зависимости от режима эксплуатации и/или скорости рельсового транспортного средства (2).
7. Система по п. 1 или 6, в которой электронное фильтрующее устройство (12) выполнено с возможностью автоматической активации посредством по меньшей мере одного внутреннего блока (16) управления.
8. Система по любому из пп. 1-7, в которой электронное фильтрующее устройство (12) соединено, с возможностью передачи данных, непосредственно или через сеть (24) по меньшей мере с одним внутренним блоком (16, 18) управления.
9. Система по любому из пп. 1-8, в которой указанным по меньшей мере одним внутренним интерфейсом (6, 7) является беспроводное устройство связи (6) или сервисный интерфейс (7).
10. Способ передачи данных, содержащий этапы, на которых
при передаче данных в системе (1) по любому из пп. 1-9,
создают беспроводное или проводное соединение (8, 9) связи между по меньшей мере одним внутренним интерфейсом (6, 7) и по меньшей мере одним внешним серверным блоком (4, 22),
проверяют, с помощью электронного фильтрующего устройства (12), данные, передаваемые по меньшей мере на один внутренний интерфейс (6, 7),
направляют, проверенные электронным фильтрующим устройством (12) допустимые и/или достоверные данные, без изменений, на по меньшей мере один внутренний блок (16, 18) управления,
блокируют или передают обратно, проверенные электронным фильтрующим устройством (12) недопустимые или недостоверные данные, на по меньшей мере один внутренний интерфейс (6, 7).
11. Способ по п. 10, в котором электронное фильтрующее устройство (12) расположено в рельсовом транспортном средстве (2), причем оно выполнено с возможностью автоматической активации из деактивированного состояния в зависимости от времени, скорости и/или режима эксплуатации рельсового транспортного средства (2).
