EP3138242A1 - Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs - Google Patents

Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs

Info

Publication number
EP3138242A1
EP3138242A1 EP15738003.1A EP15738003A EP3138242A1 EP 3138242 A1 EP3138242 A1 EP 3138242A1 EP 15738003 A EP15738003 A EP 15738003A EP 3138242 A1 EP3138242 A1 EP 3138242A1
Authority
EP
European Patent Office
Prior art keywords
ring
subscriber
data network
filter
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP15738003.1A
Other languages
English (en)
French (fr)
Inventor
Ralf Beyer
Rainer Falk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP3138242A1 publication Critical patent/EP3138242A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4675Dynamic sharing of VLAN information amongst network nodes
    • H04L12/4679Arrangements for the registration or de-registration of VLAN attribute values, e.g. VLAN identifiers, port VLAN membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40267Bus for use in transportation systems
    • H04L2012/40293Bus for use in transportation systems the transportation system being a train
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/42Loop networks
    • H04L2012/421Interconnected ring systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Definitions

  • the invention relates to a data network to a device, in particular a vehicle, with a set of einrich- tung internal stations, at least one ring in which ring internal subscriber of the set are interconnected in a ring topology with ⁇ each other, and at least one interface unit, which is intended, to establish a connection of at least one out-of-ring participant to the ring.
  • Data networks in particular in rail vehicles, are known in which a ring topology is implemented in at least one network section. Subscribers of the data network ⁇ factory, which are located outside the ring, can communicate with other, ring-internal or external ring participants over at least part of the ring. For example, a network device, such as a higher-level Steuerge ⁇ advises or a control device for a device of the rail vehicle, such as for a brake or doors, be involved in the ring via at least one switch. These enable connectivity on layer 2 (eg Ethernet) according to the OSI layer structure.
  • a ring offers the advantage that in the event of a break in the ring, for example in the case of destruction due to a fire or a vehicle accident, communication via an undamaged ring section is still possible.
  • Access to a data network or network interface can be physically protected, eg by a closable maintenance flap. Access to a data network can also be restricted by logical safeguards.
  • a network access control can be used to identify or authenticate a device connected to a network interface (also called a "port") . The network interface is activated only if the connected device is recognized as permissible. Network Access Control "according to IEEE 802. Ix or PANA according to RFC5191.
  • a network device can generally be identified or authenticated on the basis of the MAC address or by means of a password or also a device certificate (eg according to X.509).
  • firewalls or packet filters are known, which filter the network traffic, so that only traffic with approved properties is allowed through.
  • the invention has for its object to provide a generic data network with at least one ring, in which a secure operation and a simple, especially in the application flexible management can be achieved.
  • the data network a Filter ⁇ approximate device with at least one filter function, which is provided to a traffic of the ring with respect to- At least one subscriber identification to filter, and has a recognition device, which is intended to make at least one measure for a subscriber external to a subscriber to a subscriber identifier of this subscriber such that it is allowed in terms of the filter function for data traffic in the ring.
  • Subscriber identification is particularly low in implementation and execution.
  • the ring can be used in particular for real-time communication and / or for safety-relevant communication.
  • filter rules for the ring may not be or only limited än ⁇ derbar.
  • a measure relating to a subscriber identifier is advantageously applicable in such a deployment environment.
  • a “device-internal” subscriber is to be understood in particular to mean a subscriber of the data network who is intended to be permanently bound to the device, in particular mechanically bound, with regard to its type of installation and / or function
  • a "ring-internal" subscriber of the data network is to be understood as a device-internal subscriber which is part of the ring or forms the ring with at least two other device-internal subscribers , Under a subscriber "ring external” should be understood a subscriber of the data network, which is connected outside of the ring.
  • a ringex ⁇ ternal subscriber is called in the expert language also "off-ring component".
  • An external participant may be a device internal subscriber or another subscriber, which is not permanently, in particular gels ⁇ sionally connected to the data network. Such a participant is called, in particular, an "external” participant.
  • connection of a remote external subscriber to the ring should be understood to mean a physical and / or logical connection,
  • the interface unit may form a so-called port, by means of which access to the ring can be made available to the outside-external subscriber.
  • the identification device and the interface unit can be at least partially, advantageously completely formed by a common physical unit.
  • Interface unit and / or the identification device and at least one of the ring-internal participants can be at least partially, advantageously completely formed by a common physical ⁇ structural unit.
  • formerly- NEN the interface unit and / or the Kennungseinrich ⁇ tung at least partially be advantageous wholly formed by the assembly of a contiguous expediently ringin ⁇ -internal subscriber.
  • the filtering device expediently has at least one filter rule, according to which a subscriber identifier is to be checked according to a specific condition.
  • a test subscriber identifier may be part of a source ⁇ or destination address in a data packet, at least, which is provided at least for transmission over a part of the ring.
  • a subscriber identifier to be checked may be at least part of a virtual network identifier (or VLAN identifier).
  • a subscriber identifier to be checked may contain a cryptographic checksum (eg message authentication code,
  • the Bedin ⁇ supply is preferably defined using a data set including at least a list of the data traffic of the Contains ring-approved participant identifiers.
  • a filtering rule can be implemented for example such that a data packet ⁇ is transmitted or blocked, if the condition regarding one or more subscriber identifiers of the pa- kets met or not met.
  • the ring may allow unidirectional communication (e.g., clockwise or counterclockwise only) or bidirectional communication (in both orientations).
  • the ring may be formed as a double ring, wherein a first ring unit for the communication in the clockwise direction and a second ring unit for the communication in the opposite direction are provided.
  • Ring itself be realized redundant.
  • the ring can have two ring units, whereby data can be transmitted redundantly on both ring units.
  • the ring topology can be realized physically and / or logically.
  • an implementation of the topology ringto ⁇ at least partially by means of VLANs (or Virtual Local Area Network) is possible.
  • VLANs Virtual Local Area Network
  • Several physical ring units and / or several superimposed logical ring units can be provided.
  • a traffic of the "ring” is to be understood as a traffic of data over at least part of the ring or ring section, which may be a data traffic between two in-ring subscribers, between an in-ring subscriber and at least one off-board subscriber, or between two out-of-ring Participants act, in the latter case, the data connection is made via at least one ring section.
  • the filtering means may be arranged to filter data traffic destined to be put on the ring. This can be achieved by the filtering device has at least one filter module assigned to the interface unit. Since ⁇ through the traffic can be filtered before it is introduced into a ring section. In other words, a filtering of data traffic out of the ring ⁇ SUC gene. In addition, a filtering an originating from the ring and directed onto at least one ring external subscriber traffic can be carried out in this embodiment. In a structurally simple solution, the filter module with the
  • Interface unit to be coupled.
  • the interface unit and the filter module are formed by a common, coherent structural unit.
  • the filtering device can be provided to filter a data traffic which takes place via at least one ring section.
  • the filtering means comprises a set of filter modules, the ring internal subscribers in each case at least one separate filter module assigned net. It can be characterized it reaches ⁇ a filtering of data traffic, which is performed within the ring.
  • the filter modules are expediently each provided for checking a data traffic arriving via a ring section in accordance with at least one filter rule and possibly forwarding it, for example into the next ring segment, or to block it.
  • a compact and bauteilspa ⁇ -saving embodiment when at least a different Filtermo ⁇ dul is coupled to the ring internal subscribers respectively.
  • a filter module and the associated ring-internal participants are formed by a common, contiguous structural unit. Otherwise formulated ⁇ profiled the ring internal participants each have at least one filter module.
  • the filtering device at least one filament termodul includes, which is at least equipped with a switch functionality, whereby particularly a ⁇ times, implementable by means widespread network ⁇ network management can be achieved.
  • the FIL-esterification means a set of filter modules, which out with a switch functionality are each associated with a different ring internal subscriber and at least ⁇ equips.
  • the ring-internal participants are preferably each formed as a control unit. The control units are in each case advantageously ⁇ enough, for controlling at least a certain functionali ⁇ ty of the device programmed which is different from a pure control of data traffic in the data network.
  • control devices are expediently provided in each case for controlling at least one sensor unit, an actuator unit and / or a subordinate control unit.
  • the control units are designed as programmable logic controllers (or "PLC").
  • PLC programmable logic controller
  • Example ⁇ the ring internal subscriber of building blocks of type Simatic® may be formed.
  • one of the control devices can implement the function of a central control unit of the device.
  • the control units In particular, this can be provided with a switch functionality itself, which is particularly advantageous if a control device of the ring has the interface unit and / or a filter module of the filtering device or if a plurality of control devices of the ring each have an interface unit and / or a filter module Have filtering device.
  • the ring internal subscriber can be provided in this regard, particularly for control of a rail vehicle, egg ⁇ nes land vehicle or an aircraft.
  • a ⁇ restrictions regarding the usable for the ring especially in the ring security mechanisms.
  • filter rules for the ring or in the ring may not or only partially be changeable.
  • Concerning a measure a partial ⁇ receiving recognition can be advantageously used in such environment of use. This is particularly advantageous in the case of an embodiment of the device as a rail vehicle when the ring is used for real-time communication and / or for safety-relevant communication.
  • the management of data traffic over the ring is subject to strict requirements, so that in other applications conventional security mechanisms are not readily applicable.
  • the data network has a Netztechnikzugangskont- roll unit for managing a is traffic ⁇ access provided in accordance with a defined authentication protocol, wherein the identifier means is provided in at least one mode of operation to the measure for egg ⁇ NEN ring external Subject to approval by the network access control unit.
  • ⁇ by the security in the management of data traffic in the data network can be further increased.
  • the network access control unit transition is expediently at least by software different from the Filter ⁇ approximate device.
  • the network access control unit for ⁇ sen ring external participant at least initiated, in particular ended with a successful approval.
  • a "traffic access” management should be understood to mean at least one process that involves allowing or denying access be an access to the data network, however, the network access control unit is advantageously provided to selectively manage a traffic access to the ring.
  • an interface or a port of the interface unit can be released for an external subscriber with access authorized by the network access control unit.
  • the network control unit may be referred to as "ring access control” or "ring access control”.
  • the filtering device ⁇ the Authent Deutschensaufgäbe not carry out and must check itself.
  • the filtering device has filter modules that are formed by ring-internal participants, since these filter modules and therefore the associated participants of the ring are not burdened with this task.
  • Network access control unit having a first unit and at least one ⁇ separate from the unit authentication server, which checks the authentication of the outside of the subscriber to be registered and the unit provides the result of the authentication process.
  • the Authentisie ⁇ insurance server can be part of the ring outside party.
  • a simp ⁇ che authentication based on the MAC address can be done.
  • a simp ⁇ che authentication based on the MAC address can be done.
  • Authentication using username and password or using an access code can, for example, be entered in an HTML form of a web page.
  • an authentication by means of a physical Access tokens, eg a mechanical key scarf ⁇ ter or an RFID card reader done.
  • the activation can be done temporarily in one variant.
  • the activation of a non-external participant can i.a. be terminated by logging off this ("EAPOL logoff"), a "time-out criterion" or by solving the physical network connection of the external party with the data network.
  • the network access control unit may send to the filtering device a message containing a subscriber identifier identifying the denied subscriber such that data traffic over the ring for that subscriber identifier is blocked by the filtering means.
  • a warning message to another internal subscriber device may alternatively or additionally ⁇ be sent.
  • a warning message to the Anlagentern ⁇ rer may be sent, which can be audible / visual output and.
  • a message is generated, which triggers an actuation process of a drive unit and / or a braking device, such as a blocking of a starting operation or an automatic Bremsaus ⁇ solution.
  • the network access control unit and the standardized Thomasstellenein ⁇ can at least partially be advantageously completely formed by a common physical unit.
  • at least the first unit of the network access control unit can be formed by the interface unit.
  • the interface unit and / or the network access ⁇ control unit and at least one of the ring internal subscriber can at least partly, advantageously completely of be formed of a common physical unit.
  • the interface unit and / or the network access control unit can at least partly be formed before ⁇ geous completely from the appropriately coherences constricting ring assembly of a internal subscriber.
  • the network access control unit and the identification device can be at least partially, advantageously completely formed by a common physical unit.
  • the first unit of the network access control unit can be formed by the identification device.
  • the network access control unit can fulfill the function of the identifier means a measure concerning a subscriber identifier of the authenticated outside ring subscriber such that the data communication of the subscriber with regard to the filter function for data communication in the ring is recognizable as permissible based on the subscriber identifier.
  • the identification means and / or the network access ⁇ control unit and at least one of the ring internal extension may also be at least partially, advantageously fully ⁇ continuously formed by a common physical unit.
  • the identification device and / or the network access control unit may be at least partially stabilized, advantageously complete charge of the sammen conferenceden expediently to a ring assembly ⁇ internal subscriber ⁇ forms.
  • the filtering means filter modules, which are formed by ring internal subscribers, and is the network access control unit at least partially, completely formed before ⁇ part by way of the suitably fauxophen ⁇ constricting assembly of a ring-internal subscriber, by the advantageous separation of the functions of the network access control unit of the function
  • the filter device a load of the filter modules and therefore a plurality of ring internal participants are avoided with an authentication task. This can be achieved with the participation a single in-ring subscriber, which forms the network access control unit.
  • a subscriber can be a particularly transport protocol (eg TCP, UDP) CHARACTERI ⁇ Siert.
  • a port number or a VLAN ID is also conceivable.
  • the subscriber identifier is an identifier of a service access point of the OSI layer model, such as an IP address or a MAC address or a port number.
  • a simple embodiment of the filtering device can be achieved if the subscriber identifier is an identifier of the OSI data link layer. This is particularly suitable for a design of the interface unit as a switch.
  • the subscriber identifier can be designed as a MAC address.
  • the OSI data link layer is called in the expert language also "Layer 2".
  • a connection ring exter ⁇ ner participants of different types can be made via the interface unit.
  • at least one ring external subscriber of the set up internal subscriber can be connected to the ring via the interface unit. This is especially advantageous if the ring external device internal part ⁇ contractor which is provided for a permanent connection to the device is installed in a new building or maintenance of these newly configured and / or reconfigured. in particular, it may be a subscriber , which uses a so-called "plug-and-play"
  • Autoconfiguration mechanism is used in the data networkhimbun ⁇ . It can in particular be connected to the ring via the interface unit, a set of device internal subscribers by the interface unit circuit a presence of the ring with a bus structure, is at which this set of participants connected, manufactures , Alternatively or additionally, the interface unit serves to connect as an external subscriber a device external subscriber who is unbound at the device or is intended to be occasionally bound to the device. Particularly advantageous can over the
  • Interface unit a maintenance device - also called “service unit”, to be connected to the ring, wherein the interface unit comprises a so-called “service port” bil ⁇ det.
  • the interface unit may be common to a wired and / or wireless, produced by radio connection of the device outside party vorgese ⁇ hen.
  • the filtering means comprises a plurality of filter rules which state each having a different operation of the device ⁇ are assigned.
  • the filtering device may comprise at least one filter rule for a normal operation of the device and at least one defenceliche under ⁇ filter rule for a fault operation of the A ⁇ direction.
  • a fault operation can be triggered eg due to a message of fire detection.
  • a fault operation can be triggered by a physical fault of the data network, such as a Samuelsunterbre ⁇ chung.
  • a filter rule for a fault ⁇ operation may in particular provide less stringent requirements than in normal operation of the device, in particular to allow fast data traffic. This is particularly advantageous in an emergency.
  • the filtering device has at least one filter rule for normal operation of the device and at least one different filter rule for an initialization operation of the device.
  • an "initialization operation” a Be ⁇ operating mode of the device intended in particular to be understood that excluded Starting from a switch-off state or idle state of Einrich ⁇ tion until the start of normal operation takes place.
  • the initialization can be referred to as "power-up" the facility.
  • a FIL terregel for the initialization particular may provide less strict than in the normal operation of the device, so that normal operation can be made quickly and reli ⁇ casual Is.
  • the device as a vehicle a special filtering a recording of the Fahrbe ⁇ drive can by at least generally in the initialization operation can be achieved quickly and reliably by the proposed solution can -.
  • the device as a rail vehicle particularly the so-called phase of "train setup" done quickly and reliably.
  • a filter rule in the fault and / or Initialleitersbe ⁇ drive can provide that a data traffic over at least a part of the ring with minimum restriction is filtered with respect to a subscriber identifier.
  • a second filter rule for the malfunction and / or initialization can be provided to a filter rule of normal operation, after which the subscriber identifier based on a filter according to the rule of the drive Normalbe ⁇ filtering is adjusted.
  • provision can be made, in particular, for a list of the subscriber identifications authorized by the filtering device to be set up by registering all device-internal subscribers.
  • a required for this registration message that is sent to the Filter ⁇ approximate device can overall in and above the ring
  • the second filter rule applies fully ⁇ to, with further messages whose content goes beyond this application and therefore includes other user data, the filter rule of normal operation.
  • the data network as described above, a network access passage control unit, the interface unit in at least one operating state of the device is enough, advantageously ⁇ provided to an interface for a check- release of an out-of-ring subscriber unchecked by the network access control unit to the ring.
  • a condition can in a particular operating condition, particularly advantageous in the interference and / or initialization, for an authorization for a data traffic of the ring with respect to account for a successful authorization process by the network access control unit against the Nor ⁇ mal compassion.
  • So may be DES same provided as a rail vehicle in the initialization in an embodiment of the device, that a data traffic in the initialization takes place at least a part of the ring with ringex ⁇ ternal subscribers via the WUR not or not exhaustive authenticated by the network access control unit ⁇ .
  • an authentication honeymoon period after which it can be provided in which, although an authentication requirement falls ent ⁇ but a required Authentisie- insurance process must be successfully completed. After this time has elapsed, it may be decided to extend the revocation of the authentication requirement or to block the data traffic with unauthenticated subscribers.
  • the normal operation can be a Fahrgastbe ⁇ operation.
  • This may include different phases, such as a route driving operation and a stop operation, for which, if necessary, different filter rules may be provided.
  • Other operating conditions may as discussed above TROUBLESHO ⁇ drove an initialization or a Wartungsbe drove ⁇ , especially a workshop mode or a diagnostic mode to be.
  • a filter rule can be implemented, which simplifies the access of a device-external subscriber recognized as a service device to a data traffic of the ring in relation to the normal operation.
  • the operating state can be detected by a sensor, such as a speed sensor, or it can be actively set by an operator by entering, such as by means of a switching unit in the cab to activate a maintenance mode.
  • a sensor such as a speed sensor
  • it can be actively set by an operator by entering, such as by means of a switching unit in the cab to activate a maintenance mode.
  • the identification means comprises a unit for setting identification which is provided to assign this an authorized by the filtering device, in particular predefined identifier for a subscriber ⁇ ring external subscriber.
  • the filtering device advantageously has a set of predefined subscriber identifications which, if required, can be assigned to a third-party subscriber who is to be admitted at least temporarily.
  • the filtering device has at least one list of authorized subscriber identifiers, which is designed as a static or uneditable list.
  • the external-external subscriber has a subscriber identifier from this list for data traffic of the ring, whereby this subscriber identifier can be different from a subscriber identifier for data traffic outside the ring.
  • the unit for identification setting expediently has a translation function, by means of which a clear link between the two subscriber identifiers of a same out-of-ring subscriber can be produced. If the ring is used for safety communication, a change in the filter rules may be inadmissible or an authentication of a participant within the ring may not be feasible.
  • the invention is particularly advantageous applicable, since a relatively easy-to-implement filtering takes place, which is verifiable at a safety approval with relatively little effort and does not have to be reconfigured during operation. After successful
  • Authentication of a non-external subscriber is assigned to the data traffic of a subscriber identifier which allows communication via the ring, ie which is not blocked by the filter function.
  • the filter rules for the ring are not changed. This is of particular advantage when the filtering devices tion filter modules, which are formed by ring-internal participants, and therefore the filtering is done in the ring.
  • the identification device can be provided for making known to a third-party subscriber, the subscriber device assigned to this identifier as an authorized identifier. For example, a message can be sent to the filtering device by the identification device, the message containing an assigned subscriber identifier of the subscriber to be admitted. If the filtering device has a set of filter modules, the identification device can send a so-called "multicast” or "broadcast message" to the filter modules If the filtering device has a list of authorized user identifications, this list can be replaced by the proposed measure recognizer edited, especially with the already assigned subscriber identity of the admitted ring outside party to be added. by receiving and forwarding the message by the filter modules can check this each other of the participants ⁇ identification of the admitted participant.
  • a ring of internal subscribers fulfills the function of a ring manager and the identification device is provided to send a message containing the subscriber identifier to the ring manager tion with the ring manager.
  • the invention further relates to a method for managing a data network of a device comprising a set of device-internal users, at least one ring in which ring-internal participants of the set are networked in a ring topology, and at least one interface unit, which is provided ei ⁇ nen connection of at least one external participant to the ring to produce. It is proposed that a data traffic of the ring is filtered with regard to at least one subscriber identifier and at least one measure relating to a subscriber identifier of this subscriber is made for an outside-external subscriber in such a way that this is permissible for the filter function for a data traffic in the ring. For the advantageous effects of the proposed method, reference is made to the above statements on the proposed data network.
  • FIG. 2 shows a data network connecting the functional components with a ring, to which a filtering device is assigned
  • FIG. 3 shows a list of subscriber identifications that are used by the
  • Figure 4 the transmission of a data packet in the network of
  • FIG. 2 with a translation of a subscriber identifier
  • FIG. 5 shows a translation table for the translation
  • FIG. 6 the notification of the filtering device via a subscriber identifier
  • FIG. 7 shows the transmission of a data packet with the subscriber identifier after the notification from FIG. 6,
  • FIG. 8 shows the notification of a ring manager of the ring via a subscriber identifier
  • Figure 9 a timing of an Initialtechnischsbe ⁇ drive the rail vehicle.
  • FIG. 1 shows a vehicle 10 embodied as a rail vehicle in a schematic side view.
  • the vehicle 10 is formed as an association of several carriages 12 which are mechanically coupled mitei ⁇ each other and form a train unit.
  • the vehicle 10 is designed as a so-called multiple unit train.
  • at least one of the carriages 12 of the dressing with a drive unit 14 for An is ⁇ drive a drive axis 16 is provided.
  • the drive unit 14 has a power supply unit which electric power for an electric motor by means of a power electronics (not shown) in particular ⁇ sondere generated.
  • the vehicle 10 is designed as a single railcar.
  • the vehicle 10 may have an association of unpowered passenger coaches, which is coupled to at least one traction vehicle, such as a locomotive.
  • the vehicle 10 has a number of function ⁇ onskomponenten, an operation of the vehicle 10 made ⁇ union.
  • Typical functional components such as in particular components of the drive unit 14, a braking device 11 (exemplified and shown schematically in the carriage 12.2), ei ⁇ ner train protection 13, a door unit 15 (exemplified and shown schematically in the car 12.3), a Klimatisie ⁇ ment device 17, a passenger information system 19, a Bordnetz pain etc. are well known and will not be explained here.
  • Functional components of the vehicle 10 may generally be designed as a control unit, sensor unit and / or actuator unit, wherein a set of functionally related functional components which are assigned to a specific functionality, eg one of the functionalities listed above, may also be called a "subsystem". 2, which are permanently installed on the vehicle structure, are networked with one another and are components of a data network 18 (see FIG. 2) .From the point of view of the vehicle control system, the functional components associated with the vehicle 10 become "internal" subscribers 20, 22 of the data network 18 of the vehicle 10.
  • the internal part ⁇ participants 20, 22 are connected by a bus device 24 stylist- connected to each other, which may itself have different bus ⁇ structures.
  • the bus structures may differ in the design of the respective network hardware and / or a network protocol used.
  • a first bus structure 26 of the bus device 24 interconnects the subscribers 20 in a closed loop to form a ring 28 of the data network 18.
  • the internal subscribers 20 in the ring 28 are referred to as "in-ring subscribers” while the other subscribers 22 and external subscribers (see below) are referred to as "out-of-ring subscribers”.
  • the internal subscribers 22 are also called “off-ring components" of the data network 18.
  • the bus structure 26 of the ring 28 in the considered embodiment is based on a technology known by the term "Industrial Ethernet".
  • the ring-internal participants 20 are each designed in particular as a control unit.
  • the ring-internal components 20 may each be designed as a PLC.
  • the external subscriber ring 22 are illustrated abstractly in Figure 2 and can each be a ⁇ voted functional component or an entire subsystem of the vehicle 10 shown in Figure 1 correspond.
  • the data network 18 has interface units 30, 32, by means of which external ring participants can be connected to the ring 28.
  • the interface unit 30 serves to connect the internal subscribers 22 to the ring 28. These are themselves interconnected by means of a bus structure 34, which differs from the bus structure 26.
  • Interface unit 30 serves to connect the bus structure 34 and the participants 22 connected to it to the ring 28.
  • the bus structure 34 may be implemented as an MVB bus of the TCN protocol.
  • the interface unit 32 serves to connect an external part ⁇ probe 36 to the ring 28th
  • An external subscriber here is a functional component which is intended to be occasionally bound to the data network 18.
  • the external user 36 may be a support ⁇ bares maintenance device which is to be connected for data processing, if necessary with the data ⁇ network 18, is otherwise not connected in normal use operation of the vehicle 10 with the data network 18th
  • the interface unit 32 may be provided for establishing a wired and / or wireless connection of the ring 28 to the external subscriber 36.
  • the interface units 30, 32 are in addition to a physical (or hardware technology) connection option 31 or 33 each allowed at least with a switch functionality ⁇ . They are also each directly mechanically coupled to an in-ring participant 20. In particular, the respective ring-internal participant 20 and the coupled interface unit 30 and 32 are arranged in a same, contiguous structural unit.
  • the ring-internal participants 20 in the considered embodiment are each designed in particular as a control unit with switch functionality.
  • the data network 18 also has a filter device 38 with a filter function, which is intended to filter a data traffic of the ring 28 with regard to at least one subscriber identifier.
  • the subscriber identifier used for the filtering is an identifier of the OSI data link layer in the embodiment under consideration.
  • At least one MAC address of a parti ⁇ mers is examined in accordance with at least one filter rule for filtering purposes.
  • This is a subscriber - internally or externally - who is involved in a data transmission which is to take place or take place via at least one part of the ring 28.
  • the Filter ⁇ inference means 38 has a set of filter modules 40th Traffic over the ring 28 can be done in two directions - clockwise or counterclockwise.
  • the ring-internal participants 20 are each assigned a pair of filter modules 40.
  • a first filter module 40 of the Paa ⁇ res monitored for a given direction of data traffic in the ring 28 directed to the subscriber 20 data flow, while the second filter module 40 of the pair monitors the directed in the opposite direction ⁇ the data traffic to the subscriber 20 data flow.
  • data traffic in only one direction may be possible.
  • the filtering device 38 further includes filter modules 39, 41, which are each an interface unit 30, 32 associated with ⁇ and particularly coupled with the latter.
  • filter modules 39, 41 which are each an interface unit 30, 32 associated with ⁇ and particularly coupled with the latter.
  • filter data can be filtered by the filter modules 39, 41, which originates from the ring 28 and is directed to a non-external subscriber.
  • these additional filter modules 39, 41 are dispensed with. The description below relates to the filter modules 40 and applies accordingly also to the filter modules 39, 41.
  • the filtering device 38 is programmed with a first filter rule, which carries out the monitoring of data packets whose transmission is or should take place via at least part of the ring 28. As described above, the monitoring takes place on the basis of a subscriber identifier which corresponds to the MAC address of a subscriber participating in a transmission of a data packet. This can be the subscriber trained as a sender and / or the subscriber trained as the recipient of the package.
  • the filter modules 40 assigned to the ring-internal subscribers 20 filter the data traffic that takes place over at least part of the ring 28 by forwarding a data packet directed to the respective subscriber 20 only from this subscriber 20 if the data packets to be monitored in accordance with the filter rule in this data packet participants or subscribers of a list of allowed subscriber identifications. This list is shown in FIG. As filter rules, other rules can also be implemented that correspond to the usual firewall rules.
  • the filter modules 40 are each formed by a device with switch functionality. They can be formed by a separate switch, which is formed separately from the associated ring-internal participant 20. In the embodiment under consideration, however, they are each directly mechanically coupled to the associated ring-internal participant 20. In particular, the respective ring-internal Operaneh ⁇ mer 20 and the associated filter module 40 are arranged in a same, contiguous structural unit.
  • Subscriber 20 in the embodiment under consideration are in particular respectively removablebil ⁇ det as a control unit with switch functionality.
  • the data network 18 also has network access control units 42, 44 each having a different one
  • Interface unit 30 and 32 are assigned. They each serve to manage, in particular approve or reject, the traffic access to ring 28 for out-of-bound participants 22 or 36 according to a defined authentication protocol. In the case of authorized data traffic access of the external party, the latter can participate in a data transmission which takes place via at least part of the ring 28. If an authentication of a non-external subscriber 22, 36 by the network access control unit 42 or 44 is successfully completed with an admission, the associated interface unit 30 or 32 becomes a
  • the authentication protocol can be, for example, a protocol according to IEEE 802.1x, in particular in the form of an EAP-TLS authentication using a device certificate.
  • the functions of the network access control units 42, 44 and the filtering device 38 are first explained using the example of the connection of an external party 36.
  • the traffic access for the external subscriber 36 which is occasionally connected to the data network 18 as a maintenance device, is managed by means of the network access control unit 44.
  • the subscriber 36 is authenticated by the assigned network access control unit 44 according to a protocol of the type mentioned above.
  • an authentication module 45 (or “authenticator”) is provided. that is implemented respectively in the ringex- distant participants 22, 36 and with the corresponding network access control unit 42 and 44 together ⁇ menwirkt. If the external user 36 successfully over the network access control unit 44 authentic Siert, a data traffic is considered that a fingergegebe- NEN port of the associated interface unit 32 and at least ⁇ part of the ring 28 takes place and in which the external subscriber 36 participates, as admitted.
  • the network access ⁇ control units 42, 44 are each equipped with a switch functionality and can jew be designed as a so-called "access switch”.
  • the interface unit 32 is assigned an identification device 46.
  • the identifier 46 serves to take a measure relating to a subscriber identifier of the external subscriber 36, so that the subscriber identifier used in one originating from the ex ternal ⁇ participants 36 data transmission in the ring 28 is permitted according to the applicable filtering rule.
  • the identification device 46 has an identification setting unit 48, which is provided for assigning to the external subscriber 36 a subscriber identifier TK authorized by the filtering device 38.
  • At least one identifier TK in the considered embodiment a MAC address, which can be assigned to an external user 36 if required.
  • This identifier is a so-called “free" identifier which was not used in the data network 18 prior to the addition of the external subscriber 36th to setting an allowable with respect to the filter means 38 subscriber identity TK 48, the unit is preferably a Corporation's trademark of Cisco Systems, Inc.
  • FIG. 4 shows a data packet DPI generated by the external subscriber 36 and shown at the ring-internal subscriber 20 a shown in the figure on the top left.
  • the identification device 46 which receives the data packet DPI, replaces by means of the unit 48 the sender address, ie the subscriber identifier MA formed as a MAC address by a free subscriber identifier TK of the list shown in FIG.
  • the forwarded from the identification device 46 data packet DP2 now contains as the sender address this duken ⁇ voltage TK. Since this is permitted by the filtering device 38, ie by the filter modules 40, the data packet DP2 is forwarded to the receiver (subscriber 20.a).
  • the subscriber identifier which is used in the ring 28 as an authorized subscriber identifier TK of the destination is inserted in the actual subscriber code.
  • identifier MA of the external subscriber 36 is translated back from the tag-setting unit 48 according to the translation table shown in FIG.
  • a double decomposition of part ⁇ receiving detection may be for a data communication 36 and an internal user 22 is produced via the ring 28 between the external subscriber.
  • Embodiment variants are shown in FIGS. 6 and 8.
  • the actual subscriber identifier MA of the external subscriber 36 is used for the participation in a data traffic which takes place over at least part of the ring 28.
  • the MAC address of the external subscriber 36 is used for this movement of such data ⁇ traffic as subscriber identification MA.
  • the subscriber identifier MA already assigned to the external subscriber 36 must be made known to the filter modules 40 as an identifier authorized with regard to the applicable filter rule. Accordingly, an updating process of the list of subscriber identifications permitted by the filtering device 38 shown in FIG. 3 takes place in the considered variants. The update process is initiated by the identifier. For this purpose, at least two operations are possible.
  • the reference numerals 46 ⁇ and 46 ⁇ ⁇ are introduced for the identification device.
  • the identification device 46 sends a message ⁇ N in the ring 28 so that all the filter modules 40 - all ring internal subscriber 20 receive this message N - ie, in the specific embodiment under consideration, the filter device 38th This message contains N, as shown in the figure to be admitted subscriber identifier MA of the external subscriber 36.
  • the filter modules 40 Upon receipt of the message N ER farther the filter modules 40 each have their list of zuzulas ⁇ Send subscriber identifiers to the subscriber identifier MA of the external subscriber 36.
  • the message N 46 ⁇ of the Ken ⁇ drying apparatus preferably as a multicast or broad- cast message.
  • the message N is sent in the form of a data packet, with the MAC address of the identification device 46 ⁇ as the sender address and, in the considered embodiment, the intended address for a broadcast FF-FF-FF-FF-FF as the destination address ,
  • the information content of the post ⁇ reporting N includes a command ( "RegisterOffRingDevice"), is where to expand ⁇ to the list of admitted participants identifiers to the subscriber identifier MA of the addressed filter modules 40th
  • FIG. 7 shows the transmission of the data packet DPI, which is forwarded unchanged to the receiver (subscriber 20.a) by the filter modules 40 arranged on the transmission path.
  • the data package contains DPI as the sender address, the actual subscriber identifier MA of the external subscriber 36, which is registered in the list of Figure 3 after the above ⁇ be signed measure of the identification device 46 ⁇ .
  • the ring 28 has a so-called ⁇ ring manager RM on. This is formed by one of the in-ring subscribers 20, which has certain management functions relative to the other in-ring subscribers 20.
  • the identification device 46 ⁇ ⁇ sends the message N to the ring manager RM, which triggers after receiving this one update operation of the lists of permitted by the filter modules 40 subscriber identifiers.
  • the ring manager RM distributes the information, eg by sending a multicast or broadcast message or by individual addressing to the filter modules 40. The data traffic can then take place as shown in FIG.
  • the message N in both embodiments may be referred to in the expert language as a "FilterUpdate message.” It is preferably sent in a cryptic form, in particular, it may have a cryptographic checksum, eg according to AES-CBC-MAC, HMAC-SHA1, HMAC -SHA256, RSA signature, DSA signature, ECDSA signature.
  • the filtering device 38 has a filtering rule that filters the traffic with respect to at least one subscriber identifier. It is a traffic that takes place over at least part of the ring 28, allowed only if the corre sponding ⁇ data packets contain subscriber identifiers that are included in the list of Figure 3.
  • a data packet is blocked by a filter module 40 and not forwarded to the next in-ring participant 20.
  • the decision taken by the identifier 46, 46 and 46 ⁇ ⁇ ⁇ Action on a subscriber identifier will ⁇ only hit the when the ring 36 external participants successfully authenticate itself to the network access control unit 44th
  • the above-described measures of the identification device 46, 46 ⁇ and 46 ⁇ ⁇ are therefore affected by the network access control unit 44 depending on the admission of the external subscriber 36.
  • the functions of the network access control units 42, 44 and the identifier 46, 46 ⁇ and 46 ⁇ ⁇ were explained above using the example of the network access control unit 44, which is used for the connection of external subscribers, such as the external subscriber 36.
  • the network access control unit 42 is used for the connection of outside-external participants who are trained as internal participants 22 or in the vehicle 10 new or rebuilt after repair. It is assigned to the interface unit 30.
  • an identifier 50 is associated with the interface of the ⁇ lentician 30th To Be ⁇ override the operation of the network access control unit 42 and the identification device 50 is made to the text above to the corresponding network access control unit 44 and the identification device 46th
  • the identification device 46 in the first embodiment variant shown in FIG. tion, whose operation is identical to the operation of the unit 48.
  • the reference numbers 50 ⁇ and 50 ⁇ ⁇ are introduced for differentiation.
  • the interface unit 30 and the network access control unit 42 and identification device 50 assigned to it can be formed as separate units. As seen in the embodiment under consideration, however, it is advantageous if they are components of a common, coherent structural unit.
  • this Bauein ⁇ ness corresponds to one of the ring internal subscriber 20, as shown in FIGS.
  • the ring-internal subscriber 20 comprises the interface unit 30 and the associated network access control unit 42 and identification device 50. In this case, it can be programmed with the functions of these devices.
  • the above statements also apply to the interface unit 32 and the associated Netzwerkzugangskont ⁇ roll unit 44 and identification device 46th
  • the filter device 38 has a plurality of filter rules, which are each assigned to a different operating state of the vehicle 10. For example, it may be required that a data communication, he ⁇ follows at least a part of the ring 28, is administered such that a raising of the connected to the data network 18 function components or internal subscriber 22 within a short period ER- follow can. For this purpose is considered during this start-up phase of the vehicle 10, a filter rule that is modified from the above ⁇ be written filter rule in normal operation. In addition, during the startup phase, at least the network access control unit 42 is operated in an operating mode which differs from the above-described operating mode used in the normal operation of the vehicle 10. This is shown in FIG.
  • the normal operation corresponds to a "normal driving mode" , This is only released after the authentication of all internal subscribers 20, 22 has been successfully completed by the network access control unit 42.
  • HFP During the startup phase HFP (see Figure 9) is the filter rule of Fil ⁇ ter worn 38, the authorized based on the list subscriber identifiers defined as described in the Nor ⁇ mal compassion of the vehicle 10, overridden. Accordingly, a second filter rule of the filter device 38 applies, according to which all data traffic over at least part of the ring 28 is permitted by the filter device 38. As a result, a successful over the ring 28 data traffic, which in particular for the construction of the data network 18 and for the
  • the start-up phase HFP can be divided into several phases.
  • a first phase PI the data network 18 builds up.
  • a subsequent phase P2 an initialization of the data communication between one of the internal subscribers 20, 22, which has the function of a central control unit, with the internal subscribers 20, 22 assigned to it takes place. be designed as an external participant 22.
  • Step corresponds to the initialization of the control network controlled by the central controller.
  • the network access control unit 42 and the filter device 38 are operated such that the internal users 20, 22 are permitted to participate in data traffic via the ring 28, although this is subject to authentication by the network access control unit 42 not yet subject. It is in particular a connection of all ring external party 22 to the ring 28 via at least one interface (or port) of the interface unit 30 is possible, this interface ⁇ is released from the interface unit 30, even though not all ring external party 22 through the associated network access control unit 42 still tested or not checked conclusively.
  • the above-described authentication processes of the internal subscribers are performed by the network access control unit 42 during a phase P3 according to one of the above-mentioned authentication protocols, in particular by means of a certificate authentication. based authentication.
  • Authent Deutschensvor Cyprus ends the start-up phase HFP and with it the Grace period of the filter device 38.
  • the start-up phase HFP is also called “initialization" of the vehicle 10.
  • the so-called "train setup” is done in the special ⁇ during the initialization.
  • the operating mode of the network access control unit 42 and the filtering device 38 used in the initialization operation can also be activated in the event of a disturbed operation of the vehicle 10. Such an operation can be activated, for example, by the triggering of an emergency brake signal or by a fire alarm.
  • a schenliche under ⁇ filter and / or authentication rule is provided as in the normal operation of the vehicle 10.
  • a filter rule may be provided which corresponds to the second filter rule. In these modes is accordingly an over at least part of the ring 28 successful traffic without restriction possible.
  • Reconfigure are locked.
  • This lock can be activated, for example, when activating another mode of operation, such as of the maintenance mode.
  • a data traffic which takes place via at least part of the ring 28 can, for a specific external subscriber, which has already been able to authenticate successfully in the data network 18 at least once, by a filter rule of the filtering device 38 and / or an operating mode of the network access control unit 44 in normal operation be expli ⁇ zit locked.
  • a filter rule of the filtering device 38 and / or an operating mode of the network access control unit 44 in normal operation be expli ⁇ zit locked.
  • data traffic in different directions i. clockwise or counterclockwise, done in ring 28.
  • potential transmission paths with different lengths are possible, wherein preferably the transmission path with the lowest length is selected for the data traffic.
  • one of the in-ring subscribers 20 implements the function of a master (or "Media Redundancy Master Switch") which logically interrupts the ring 28 at a particular location.
  • the filter rules of the filtering device 38 are independent of the transmission direction a data packet independently. This has the advantage that when the ring is reconfigured, in particular due to an error, reconfiguration of the filter rules is not required.
  • filtering rules of the filtering device 38 can also be provided for filtering data packets, which depend on the direction of the transmission of a data packet via the ring 28. According to a filter rule, it may be provided for a filter module 40 that a data packet is forwarded only in a specific direction and is blocked in the opposite direction. In this case, an automatic ⁇ tables reconfiguration of the filter rules for the internal party ring 20 can be made to account for the different transmission ⁇ direction. In another variant, there is no automatic reconfiguration of the filter rules. In this case, the internal users 20, 22 have to authenticate again, so that matching filter entries can then be addressed.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs (10), mit einem Satz von einrichtungsinternen Teilnehmern (20, 22), zumindest einem Ring (28), in welchem ringinterne Teilnehmer (20) des Satzes in einer Ringtopologie miteinander vernetzt sind, und wenigstens einer Schnittstelleneinheit (30, 32), die dazu vorgesehen ist, einen Anschluss wenigstens eines ringexternen Teilnehmers (22, 36) an den Ring (28) herzustellen. Um ein gattungsgemäßes Datennetzwerk mit zumindest einem Ring zu schaffen, bei welchem ein sicherer Betrieb und eine einfache, insbesondere in der Anwendung flexible Verwaltung erreicht werden können, wird vorgeschlagen, dass das Datennetzwerk eine Filterungseinrichtung (38) mit zumindest einer Filterfunktion, die dazu vorgesehen ist, einen Datenverkehr des Rings (28) hinsichtlich zumindest einer Teilnehmerkennung (TK; MA) zu filtern, und eine Kennungseinrichtung (46, 50; 46 `, 5 `; 46'', 50'') aufweist, die dazu vorgesehen ist, für einen ringexternen Teilnehmer (22, 36) zumindest eine Maßnahme betreffend eine Teilnehmerkennung (MA) dieses Teilnehmers (22, 36) derart zu treffen, dass diese hinsichtlich der Filterfunktion für einen Datenverkehr im Ring (28) zulässig ist.

Description

Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs
Die Erfindung betrifft ein Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs, mit einem Satz von einrich- tungsinternen Teilnehmern, zumindest einem Ring, in welchem ringinterne Teilnehmer des Satzes in einer Ringtopologie mit¬ einander vernetzt sind, und wenigstens einer Schnittstelleneinheit, die dazu vorgesehen ist, einen Anschluss wenigstens eines ringexternen Teilnehmers an den Ring herzustellen.
Es sind Datennetzwerke, insbesondere in Schienenfahrzeugen, bekannt, in welchen in zumindest einem Netzwerkabschnitt eine Ringtopologie implementiert ist. Teilnehmer des Datennetz¬ werks, die außerhalb des Rings angeordnet sind, können mit weiteren, ringinternen oder ringexternen Teilnehmern über zumindest einen Teil des Rings kommunizieren. Beispielsweise kann ein Netzwerkgerät, wie z.B. ein übergeordnetes Steuerge¬ rät oder ein Steuergerät für eine Einrichtung des Schienenfahrzeugs, wie z.B. für eine Bremse oder Türen, in den Ring über zumindest einen Switch eingebunden sein. Diese ermöglichen gemäß der OSI-Schichtstruktur eine Konnektivität auf Layer 2 (z.B. Ethernet) . Ein Ring bietet den Vorteil, dass bei einer Unterbrechung des Rings, z.B. bei einer Zerstörung aufgrund eines Brandes oder eines Fahrzeugunfalls, eine Kom- munikation über einen unbeschädigten Ringabschnitt weiterhin möglich ist.
Neben diesen Redundanzaspekten nehmen datensicherheitsbezoge- ne (sogenannte „Security") und personenschutzbezogene Aspekte (sogenannte „Safety") stetig an Bedeutung zu. Insbesondere soll die Möglichkeit der Einbindung von Netzwerkgeräten in den Ring aus sogenannten „Safety-Gründen" einschränkbar sein. Dabei soll jedoch auch möglich sein, z.B. zu Wartungszwecken, die Einbindung eines als sicher geltenden Wartungsgeräts zu- mindest temporär zuzulassen.
Der Zugang zu einem Datennetzwerk bzw. Netzwerkschnittstelle kann physikalisch geschützt werden, z.B. durch eine ver- schließbare Wartungsklappe. Der Zugang zu einem Datennetzwerk kann ebenfalls durch logische Schutzmaßnahmen eingeschränkt werden. Es kann eine Netzwerkzugangskontrolle erfolgen, bei der ein mit einer Netzwerk-Schnittstelle (auch „Port" ge- nannt) verbundenes Gerät identifiziert bzw. authentisiert wird. Nur wenn das verbundene Gerät als zulässig erkannt wird, wird die Netzwerkschnittstelle aktiviert. Beispiele sind sogenannte „Network Access Control" nach IEEE 802. Ix oder PANA nach RFC5191. Alternativ oder zusätzlich kann ein Netzwerkgerät allgemein anhand der MAC-Adresse oder mittels eines Passworts oder auch eines Gerät-Zertifikats (z.B. gemäß X.509) identifiziert bzw. authentisiert werden.
Bei derartigen Authentisierungsprotokollen, wie z.B. bei 802. Ix wird jedoch von einer speziellen Topologie ausgegangen, wie sie in stationären Netzwerken, z.B. in Gebäudenetzwerken, üblich ist. Diese ist durch eine strukturierte Verka¬ belung charakterisiert, bei welcher eine separate Netzwerk¬ verbindung von Access Switch zu jedem Client erfolgt. Dabei erfolgt eine Freigabe einer Schnittstelle bzw. eines Ports, nachdem geprüft wird, dass sich diese in einer geschützten Umgebung befindet. Die bekannten Authentisierungsprotokolle sind daher nicht ohne weiteres auf eine Ringtopologie über¬ tragbar .
Neben Authentisierungsmaßnahmen sind auch sogenannte „Firewalls" oder Paketfilter bekannt, die den Netzwerkverkehr filtern, sodass nur Verkehr mit zugelassenen Eigenschaften durchgelassen wird.
Der Erfindung liegt die Aufgabe zugrunde, ein gattungsgemäßes Datennetzwerk mit zumindest einem Ring zu schaffen, bei welchem ein sicherer Betrieb und eine einfache, insbesondere in der Anwendung flexible Verwaltung erreicht werden können.
Hierzu wird vorgeschlagen, dass das Datennetzwerk eine Filte¬ rungseinrichtung mit zumindest einer Filterfunktion, die dazu vorgesehen ist, einen Datenverkehr des Rings hinsichtlich zu- mindest einer Teilnehmerkennung zu filtern, und eine Ken- nungseinrichtung aufweist, die dazu vorgesehen ist, für einen ringexternen Teilnehmer zumindest eine Maßnahme betreffend eine Teilnehmerkennung dieses Teilnehmers derart zu treffen, dass diese hinsichtlich der Filterfunktion für einen Datenverkehr im Ring zulässig ist. Hierdurch kann neben einer hohen Sicherheit im Betrieb des Datennetzwerks eine vorteilhaf¬ te Flexibilität bezüglich der Verwaltung des Datennetzwerks, insbesondere hinsichtlich der Einbindung eines ringexternen Teilnehmers erreicht werden. Eine Maßnahme betreffend eine
Teilnehmerkennung ist in der Implementierung und der Ausführung besonders aufwandarm.
Der Ring kann insbesondere für Echtzeitkommunikation und/oder für Safety-relevante Kommunikation verwendet werden. Hierbei bestehen üblicherweise Einschränkungen bezüglich der für den Ring einsetzbaren Security-Mechanismen . So können z.B. Filterregeln für den Ring ggf. nicht oder nur eingeschränkt än¬ derbar sein. Eine Maßnahme betreffend eine Teilnehmerkennung ist in einer solchen Einsatzumgebung vorteilhaft anwendbar.
Unter einem „einrichtungsinternen" Teilnehmer soll insbesondere ein Teilnehmer des Datennetzwerks verstanden werden, welcher hinsichtlich seiner Einbauart und/oder seiner Funkti- on dazu vorgesehen ist, dauerhaft an der Einrichtung gebunden, insbesondere mechanisch gebunden zu sein. Insbesondere ist für einen einrichtungsinternen Teilnehmer ein bestimmter Einbauplatz in der Einrichtung vorgesehen, wobei zweckmäßigerweise eine Befestigungseinheit der Einrichtung zur festen Anbindung des Teilnehmers dient. Unter einem „ringinternen" Teilnehmer des Datennetzwerks soll ein einrichtungsinterner Teilnehmer verstanden werden, welcher Bestandteil des Rings ist bzw. mit zumindest zwei weiteren einrichtungsinternen Teilnehmern den Ring bildet. Unter einem „ringexternen" Teil- nehmer soll ein Teilnehmer des Datennetzwerks verstanden werden, welcher außerhalb des Rings geschaltet ist. Ein ringex¬ terner Teilnehmer ist in der fachmännischen Sprache auch „Off-Ring-Komponente" genannt. Ein ringexterner Teilnehmer kann ein einrichtungsinterner Teilnehmer oder ein weiterer Teilnehmer sein, welcher nicht dauerhaft, insbesondere gele¬ gentlich an das Datennetzwerk angebunden wird. Ein derartiger Teilnehmer wird insbesondere „einrichtungsexterner" Teilneh- mer genannt.
Unter einem „Anschluss" eines ringexternen Teilnehmers an den Ring soll ein physikalischer und/oder ein logischer Anschluss verstanden werden. Insbesondere kann die Schnittstellenein- heit einen sogenannten Port bilden, durch welchen dem ringexternen Teilnehmer Zugang zum Ring bereitgestellt werden kann.
Die Kennungseinrichtung und die Schnittstelleneinheit können zumindest teilweise, vorteilhaft vollständig von einer ge- meinsamen physikalischen Baueinheit gebildet sein. Die
Schnittstelleneinheit und/oder die Kennungseinrichtung und zumindest einer der ringinternen Teilnehmer können zumindest teilweise, vorteilhaft vollständig von einer gemeinsamen phy¬ sikalischen Baueinheit gebildet sein. Anders formuliert kön- nen die Schnittstelleneinheit und/oder die Kennungseinrich¬ tung zumindest teilweise, vorteilhaft vollständig von der zweckmäßigerweise zusammenhängenden Baueinheit eines ringin¬ ternen Teilnehmers gebildet sein. Die Filterungseinrichtung weist zweckmäßigerweise zumindest eine Filterregel auf, nach welcher eine Teilnehmerkennung gemäß einer bestimmten Bedingung zu prüfen ist. Eine zu prüfende Teilnehmerkennung kann zumindest Bestandteil einer Quell¬ oder Zieladresse in einem Datenpaket sein, welches für eine Übertragung über zumindest einen Teil des Rings vorgesehen ist. Eine zu prüfende Teilnehmerkennung kann in einer Variante zumindest Bestandteil eines virtuellen Netzwerk- Identifizierers (oder VLAN-Identifier) sein. Eine zu prüfende Teilnehmerkennung kann in einer weiteren Variante eine kryp- tographische Prüfsumme (z.B. Message Authentication Code,
Message Integrity Code, digitale Signatur) sein. Die Bedin¬ gung ist vorzugsweise anhand eines Datensatzes definiert, welcher wenigstens eine Liste von für den Datenverkehr des Rings zugelassenen Teilnehmerkennungen enthält. Eine Filterregel kann z.B. derart implementiert werden, dass ein Daten¬ paket weitergeleitet oder gesperrt wird, wenn die Bedingung betreffend eine oder mehrere Teilnehmerkennungen des Datenpa- kets erfüllt bzw. nicht erfüllt ist.
Der Ring kann eine unidirektionale Kommunikation (z.B. nur im Uhrzeigersinn oder gegen den Uhrzeigersinn) oder eine bidirektionale Kommunikation (in beiden Orientierungen) ermögli- chen. Bei einer bidirektionalen Kommunikation kann der Ring als Doppelring ausgebildet sein, wobei eine erste Ringeinheit für die Kommunikation im Uhrzeigersinn und eine zweite Ringeinheit für die Kommunikation in Gegenrichtung vorgesehen sind. Um ein Kommunikationsnetzwerk mit besonders hoher Ver- fügbarkeit bzw. Ausfallsicherheit zu realisieren, kann der
Ring selbst redundant realisiert sein. So kann z.B. der Ring zwei Ringeinheiten aufweisen, wobei Daten auf beiden Ringeinheiten redundant übertragen werden können. Die Ringtopologie kann physikalisch und/oder logisch realisiert sein. Beispielsweise ist eine Realisierung der Ringto¬ pologie zumindest teilweise mittels VLANs (oder Virtual Local Area Network) möglich. Es können mehrere physikalische Ringeinheiten und/oder mehrere überlagerte logische Ringeinheiten vorgesehen sein.
Unter einem Datenverkehr „des Rings" soll ein Verkehr von Daten zumindest über einen Teil des Rings - oder Ringabschnitt - verstanden werden. Es kann sich dabei um einen Datenverkehr zwischen zwei ringinternen Teilnehmern, zwischen einem ringinternen Teilnehmer und zumindest einem ringexternen Teilnehmer oder zwischen zwei ringexternen Teilnehmern handeln, wobei im letztgenannten Fall die Datenverbindung über zumindest einen Ringabschnitt hergestellt ist.
Die Filterungseinrichtung kann dazu vorgesehen sein, einen Datenverkehr zu filtern, welcher dazu bestimmt ist, auf den Ring gegeben zu werden. Dies kann dadurch erreicht werden, dass die Filterungseinrichtung zumindest ein Filtermodul auf¬ weist, welches der Schnittstelleneinheit zugeordnet ist. Da¬ durch kann der Datenverkehr gefiltert werden, bevor er in einen Ringabschnitt eingeleitet wird. Anders formuliert kann eine Filterung des Datenverkehrs außerhalb des Rings erfol¬ gen. Außerdem kann in dieser Ausführung eine Filterung eines aus dem Ring stammenden und auf zumindest einen ringexternen Teilnehmer gerichteten Datenverkehrs erfolgen. In einer konstruktiv einfachen Lösung kann das Filtermodul mit der
Schnittstelleneinheit gekoppelt sein. Besonders vorteilhaft sind die Schnittstelleneinheit und das Filtermodul von einer gemeinsamen, zusammenhängenden Baueinheit gebildet.
Alternativ oder zusätzlich kann die Filterungseinrichtung da- zu vorgesehen sein, einen Datenverkehr zu filtern, welcher über zumindest einen Ringabschnitt erfolgt. Hierzu wird vor¬ geschlagen, dass die Filterungseinrichtung einen Satz von Filtermodulen aufweist, wobei den ringinternen Teilnehmern jeweils zumindest ein unterschiedliches Filtermodul zugeord- net ist. Es kann dadurch eine Filterung des Datenverkehrs er¬ reicht werden, welcher innerhalb des Rings durchgeführt wird. Die Filtermodule sind hierbei zweckmäßigerweise jeweils dazu vorgesehen, ein über einen Ringabschnitt ankommender Datenverkehr gemäß zumindest einer Filterregel zu prüfen und ggf. weiterzuleiten, z.B. in den nächsten Ringabschnitt, oder zu sperren .
Es kann in diesem Zusammenhang eine kompakte und bauteilspa¬ rende Ausführung erreicht werden, wenn mit den ringinternen Teilnehmern jeweils zumindest ein unterschiedliches Filtermo¬ dul gekoppelt ist. Besonders vorteilhaft sind ein Filtermodul und der zugeordnete ringinterne Teilnehmer von einer gemeinsamen, zusammenhängenden Baueinheit gebildet. Anders formu¬ liert weisen die ringinternen Teilnehmer jeweils zumindest ein Filtermodul auf.
In einer vorteilhaften Weiterbildung der Erfindung wird vorgeschlagen, dass die Filterungseinrichtung zumindest ein Fil- termodul umfasst, welches zumindest mit einer Switch- Funktionalität ausgestattet ist, wodurch eine besonders ein¬ fache, durch weit verbreitete Mittel implementierbare Netz¬ werkverwaltung erreicht werden kann. Bevorzugt weist die Fil- terungseinrichtung einen Satz von Filtermodulen auf, die jeweils einem unterschiedlichen ringinternen Teilnehmer zugeordnet und zumindest mit einer Switch-Funktionalität ausge¬ stattet sind. In einer vorteilhaften Weiterbildung der Erfindung sind die ringinternen Teilnehmer vorzugsweise jeweils als Steuergerät ausgebildet. Die Steuergeräte sind dabei jeweils vorteilhaft¬ erweise zur Steuerung zumindest einer bestimmten Funktionali¬ tät der Einrichtung programmiert, die sich von einer reinen Steuerung eines Datenverkehrs im Datennetzwerk unterscheidet. Die Steuergeräte sind zweckmäßigerweise jeweils zur Steuerung von zumindest einer Sensoreinheit, einer Aktorikeinheit und/oder einer untergeordneten Steuereinheit vorgesehen. Besonders vorteilhaft sind die Steuergeräte als Speicherpro- grammierbare Steuerungen (oder „SPS") ausgebildet. Beispiels¬ weise können die ringinternen Teilnehmer von Bausteinen des Typen Simatic® gebildet sein. Vorteilhaft kann eines der Steuergeräte die Funktion eines zentralen Steuergeräts der Einrichtung implementieren. Die Steuergeräte können insbeson- dere selbst mit einer Switch-Funktionalität versehen sein. Dies ist besonders vorteilhaft, wenn ein Steuergerät des Rings die Schnittstelleneinheit und/oder ein Filtermodul der Filterungseinrichtung aufweist bzw. mehrere Steuergeräte des Rings jeweils eine Schnittstelleneinheit und/oder ein Filter- modul der Filterungseinrichtung aufweisen.
Die ringinternen Teilnehmer können in diesem Zusammenhang insbesondere für eine Steuerung eines Schienenfahrzeugs, ei¬ nes Landfahrzeugs oder eines Luftfahrzeugs vorgesehen sein. Hierbei bestehen herkömmlicherweise besonders starke Ein¬ schränkungen bezüglich der für den Ring, insbesondere im Ring einsetzbaren Security-Mechanismen . So können z.B. Filterregeln für den Ring bzw. im Ring ggf. nicht oder nur einge- schränkt änderbar sein. Eine Maßnahme betreffend eine Teil¬ nehmerkennung ist in einer solchen Einsatzumgebung vorteilhaft anwendbar. Dies ist insbesondere bei einer Ausbildung der Einrichtung als Schienenfahrzeug von Vorteil, wenn der Ring für Echtzeitkommunikation und/oder für Safety-relevante Kommunikation verwendet wird. Die Verwaltung eines Datenverkehrs über den Ring unterliegt dabei strengen Anforderungen, sodass in anderen Anwendungsfällen übliche Security- Mechanismen ohne weiteres nicht einsetzbar sind. Sogenannte „Safety-Anforderungen" bei Schienenfahrzeugen sind insbesondere in den Normen EN 50128, 50159, 50126 und/oder 50129 de¬ finiert. Insbesondere zielen die Safety-Anforderungen auf den Personenschutz ab, wobei die Security-Anforderungen der allgemeinen Datensicherheit zugeordnet sind. Die Safety- Anforderungen sind demnach strenger als die Security- Anforderungen .
Gemäß einer bevorzugten Ausbildung der Erfindung wird vorgeschlagen, dass das Datennetzwerk eine Netzwerkzugangskont- rolleinheit aufweist, die zur Verwaltung eines Datenverkehrs¬ zugangs gemäß einem definierten Authentisierungsprotokoll vorgesehen ist, wobei die Kennungseinrichtung in zumindest einem Betriebsmodus dazu vorgesehen ist, die Maßnahme für ei¬ nen ringexternen Teilnehmer abhängig von der Zulassung dieses durch die Netzwerkzugangskontrolleinheit zu treffen. Hier¬ durch kann die Sicherheit in der Verwaltung eines Datenverkehrs im Datennetzwerk weiter erhöht werden. Die Netzwerkzu- gangskontrolleinheit ist zweckmäßigerweise von der Filte¬ rungseinrichtung zumindest softwaretechnisch unterschiedlich. Insbesondere wird in dem zumindest einen Betriebsmodus ein Vorgang für die Maßnahme der Kennungseinrichtung betreffend einen ringexternen Teilnehmer eingeleitet, erst nachdem ein Zulassungsvorgang der Netzwerkzugangskontrolleinheit für die¬ sen ringexternen Teilnehmer zumindest eingeleitet, insbeson- dere mit einer erfolgreichen Zulassung abgeschlossen wurde.
Unter einer „Verwaltung" des Datenverkehrszugangs soll zumindest ein Vorgang verstanden werden, der ein Zulassen oder ein Ablehnen des Zugangs umfasst. Dieser Zugang kann allgemein ein Zugang zum Datennetzwerk sein, die Netzwerkzugangskont- rolleinheit ist jedoch vorteilhafterweise dazu vorgesehen, gezielt einen Datenverkehrszugang zum Ring zu verwalten. Dabei kann für einen ringexternen Teilnehmer mit von der Netz- werkzugangskontrolleinheit zugelassenem Zugang beispielsweise eine Schnittstelle bzw. ein Port der Schnittstelleneinheit freigegeben werden. Dabei kann die Netzwerkskontrolleinheit als „Ring-Zugangskontrolle" oder auch „Ring Access Control" bezeichnet sein.
Vorteilhafterweise erfolgt eine aufwändige und zu administ¬ rierende Authentisierung des ringexternen Teilnehmers durch die Netzwerkzugangskontrolleinheit , wodurch die Filterungs¬ einrichtung die Authentisierungsaufgäbe nicht selbst durch- führen und prüfen muss. Dies ist besonders vorteilhaft, wenn die Filterungseinrichtung Filtermodule aufweist, die von ringinternen Teilnehmern gebildet sind, da diese Filtermodule und daher die zugeordneten Teilnehmer des Rings mit dieser Aufgabe nicht belastet werden.
Als Authentisierungsprotokoll sind verschiedene, dem Fachmann als sinnvoll erscheinende Protokolle denkbar, wie insbesonde¬ re ein Protokoll gemäß 802. Ix, PANA nach RFC 5191, EAP-TLS- Authentisierung mittels Gerätezertifikats oder HTTPS mit zer- tifikatsbasierter Authentisierung. Insbesondere kann die
Netzwerkzugangskontrolleinheit eine erste Einheit und zumin¬ dest einen von der Einheit separaten Authentisierungs-Server aufweisen, welcher die Authentisierung des zuzulassenden ringexternen Teilnehmers prüft und der Einheit das Ergebnis des Authentisierungsvorgangs bereitstellt. Der Authentisie¬ rungs-Server kann Bestandteil des ringexternen Teilnehmers sein. Als weiteres Authentisierungsprotokoll kann eine einfa¬ che Authentisierung auf der Basis der MAC-Adresse erfolgen. Als weiteres Authentisierungsverfahren kann eine
Authentisierung mittels Nutzername und Passwort oder mittels eines Zugangscodes erfolgen. Diese können z.B. in ein HTML- Formular einer Web-Seite einzugeben sein. In einer weiteren Variante kann eine Authentisierung mittels eines physikali- sehen Zugangstokens , z.B. eines mechanischen Schlüsselschal¬ ters oder eines RFID-Kartenlesers erfolgen.
Die Freischaltung kann in einer Variante temporär erfolgen. Die Freischaltung eines ringexternen Teilnehmers kann u.a. durch ein Abmelden dieses („EAPOL-Logoff" ) , ein „Time-Out- Kriterium" oder durch ein Lösen der physikalischen Netzwerkverbindung des ringexternen Teilnehmers mit dem Datennetzwerk beendet werden.
Falls der Datenverkehrszugang für einen ringexternen Teilnehmer von der Netzwerkzugangskontrolleinheit abgelehnt wird, kann ein Datenverkehr, an welchem dieser Teilnehmer teilnimmt, von der Netzwerkzugangskontrolleinheit geblockt wer- den. Alternativ kann die Netzwerkzugangskontrolleinheit an die Filterungseinrichtung eine Nachricht senden, welche eine den abgelehnten Teilnehmer kennzeichende Teilnehmerkennung enthält, sodass ein Datenverkehr über den Ring für diese Teilnehmerkennung von der Filterungseinrichtung gesperrt wird. In einer Ausführungsvariante kann alternativ oder zu¬ sätzlich eine Warnnachricht an weitere einrichtungsinterne Teilnehmer gesendet werden. Bei einer Ausführung der Einrichtung als Fahrzeug kann eine Warnnachricht an den Fahrzeugfüh¬ rer gesendet werden, welche akustisch und/optisch ausgegeben werden kann. Des Weiteren ist möglich, dass eine Nachricht erzeugt wird, die einen Betätigungsvorgang einer Antriebseinheit und/oder einer Bremsvorrichtung auslöst, wie z.B. ein Sperren eines Anfahrbetriebs oder eine automatische Bremsaus¬ lösung .
Die Netzwerkzugangskontrolleinheit und die Schnittstellenein¬ heit können zumindest teilweise, vorteilhaft vollständig von einer gemeinsamen physikalischen Baueinheit gebildet sein. Insbesondere kann zumindest die erste Einheit der Netzwerkzu- gangskontrolleinheit von der Schnittstelleneinheit gebildet sein. Die Schnittstelleneinheit und/oder die Netzwerkzugangs¬ kontrolleinheit und zumindest einer der ringinternen Teilnehmer können zumindest teilweise, vorteilhaft vollständig von einer gemeinsamen physikalischen Baueinheit gebildet sein. Anders formuliert können die Schnittstelleneinheit und/oder die Netzwerkzugangskontrolleinheit zumindest teilweise, vor¬ teilhaft vollständig von der zweckmäßigerweise zusammenhän- genden Baueinheit eines ringinternen Teilnehmers gebildet sein .
Die Netzwerkzugangskontrolleinheit und die Kennungseinrich- tung können zumindest teilweise, vorteilhaft vollständig von einer gemeinsamen physikalischen Baueinheit gebildet sein.
Insbesondere kann zumindest die erste Einheit der Netzwerkzu- gangskontrolleinheit von der Kennungseinrichtung gebildet sein. Nach erfolgter Authentisierung des ringexternen Teilnehmers kann die Netzwerkzugangskontrolleinheit die Funktion der Kennungseinrichtung erfüllend eine Maßnahme betreffend eine Teilnehmerkennung des authentisierten ringexternen Teilnehmers derart, dass die Datenkommunikation des Teilnehmers hinsichtlich der Filterfunktion für eine Datenkommunikation im Ring anhand der Teilnehmerkennung als zulässig erkennbar ist. Die Kennungseinrichtung und/oder die Netzwerkzugangs¬ kontrolleinheit und zumindest einer der ringinternen Teilnehmer können außerdem zumindest teilweise, vorteilhaft voll¬ ständig von einer gemeinsamen physikalischen Baueinheit gebildet sein. Anders formuliert können die Kennungseinrichtung und/oder die Netzwerkzugangskontrolleinheit zumindest teil¬ weise, vorteilhaft vollständig von der zweckmäßigerweise zu¬ sammenhängenden Baueinheit eines ringinternen Teilnehmers ge¬ bildet sein. Weist die Filterungseinrichtung Filtermodule auf, die von ringinternen Teilnehmern gebildet sind, und ist die Netzwerkzugangskontrolleinheit zumindest teilweise, vor¬ teilhaft vollständig von der zweckmäßigerweise zusammenhän¬ genden Baueinheit eines ringinternen Teilnehmers gebildet, kann durch die vorteilhafte Trennung der Funktionen der Netz- werkzugangskontrolleinheit von der Funktion der Filterungs- einrichtung eine Belastung der Filtermodule und daher einer Vielzahl ringinterner Teilnehmer mit einer Authentisierungs- aufgabe vermieden werden. Diese kann mit der Beteiligung ei- nes einzelnen ringinternen Teilnehmers durchgeführt werden, der die Netzwerkzugangskontrolleinheit bildet.
Zur Ausbildung der Teilnehmerkennung sind verschiedene Eigen- schaffen denkbar. Beispielsweise kann ein Teilnehmer durch ein besonders Transportprotokoll (z.B. TCP, UDP) charakteri¬ siert werden. Als weitere Teilnehmerkennung ist außerdem eine Port-Nummer oder eine VLAN-ID denkbar. Besonders vorteilhaft ist die Teilnehmerkennung eine Kennung eines Dienstzugangs- punkts des OSI-Schichtenmodells, wie z.B. eine IP-Adresse oder eine MAC-Adresse oder eine Portnummer. Es kann jedoch eine einfache Ausführung der Filterungseinrichtung erreicht werden, wenn die Teilnehmerkennung eine Kennung der OSI- Sicherungsschicht ist. Dies eignet sich insbesondere für eine Ausbildung der Schnittstelleneinheit als Switch. Insbesondere kann die Teilnehmerkennung als MAC-Adresse ausgebildet sein. Die OSI-Sicherungsschicht ist in der fachmännischen Sprache auch „Layer 2" genannt. Über die Schnittstelleneinheit kann ein Anschluss ringexter¬ ner Teilnehmer unterschiedlicher Art hergestellt werden. Insbesondere kann über die Schnittstelleneinheit zumindest ein ringexterner Teilnehmer des Satzes einrichtungsinterner Teilnehmer an den Ring angeschlossen sein. Dies ist insbesondere vorteilhaft, wenn der ringexterne, einrichtungsinterne Teil¬ nehmer, welcher für eine dauerhafte Anbindung an der Einrichtung vorgesehen ist, bei einem Neubau oder einer Wartung dieser installiert, neu konfiguriert und/oder rekonfiguriert wird. Insbesondere kann es sich um einen Teilnehmer handeln, welcher über einen sogenannten „Plug-And-Play-
Autokonfigurationsmechanismus" in das Datennetzwerk eingebun¬ den wird. Es kann insbesondere über die Schnittstelleneinheit ein Satz von einrichtungsinternen Teilnehmern an den Ring angeschlossen werden, indem die Schnittstelleneinheit einen An- schluss des Rings mit einer Busstruktur, an welcher dieser Satz von Teilnehmern angebunden ist, herstellt. Alternativ oder zusätzlich dient die Schnittstelleneinheit dazu, als ringexternen Teilnehmer einen einrichtungsexternen Teilnehmer anzuschließen, der an der Einrichtung ungebunden ist oder dazu vorgesehen ist, gelegentlich an die Einrichtung gebunden zu werden. Besonders vorteilhaft kann über die
Schnittstelleneinheit ein Wartungsgerät - auch „Service- Gerät" genannt, an den Ring angeschlossen werden, wobei die Schnittstelleneinheit einen sogenannten „Service-Port" bil¬ det. Die Schnittstelleneinheit kann allgemein für einen drahtgebundenen und/oder einen drahtlosen, per Funk herstellbaren Anschluss des einrichtungsexternen Teilnehmers vorgese¬ hen sein.
In einer vorteilhaften Weiterbildung der Erfindung wird vorgeschlagen, dass die Filterungseinrichtung mehrere Filterregeln aufweist, die jeweils einem unterschiedlichen Betriebs¬ zustand der Einrichtung zugeordnet sind. Dadurch kann eine hohe, insbesondere dynamische Flexibilität in der Verwaltung des Datennetzwerks erreicht werden. Beispielweise kann die Filterungseinrichtung zumindest eine Filterregel für einen Normalbetrieb der Einrichtung und wenigstens eine unter¬ schiedliche Filterregel für einen Störungsbetrieb der Ein¬ richtung aufweisen. Ein Störungsbetrieb kann z.B. aufgrund einer Meldung einer Branddetektion ausgelöst werden. Des Weiteren kann ein Störungsbetrieb durch einen physikalischen Fehler des Datennetzwerks, wie z.B. eine Leitungsunterbre¬ chung, ausgelöst werden. Eine Filterregel für einen Störungs¬ betrieb kann insbesondere weniger strenge Anforderungen vorsehen als im Normalbetrieb der Einrichtung, um insbesondere einen schnellen Datenverkehr zu ermöglichen. Dies ist insbesondere in einem Notfall besonders vorteilhaft.
Außerdem wird vorgeschlagen, dass die Filterungseinrichtung zumindest eine Filteregel für einen Normalbetrieb der Ein- richtung und wenigstens eine unterschiedliche Filterregel für einen Initialisierungsbetrieb der Einrichtung aufweist. Unter einem „Initialisierungsbetrieb" soll insbesondere ein Be¬ triebsmodus der Einrichtung verstanden werden, welcher ausge- hend von einem Ausschaltzustand oder Ruhezustand der Einrich¬ tung bis zum Starten des normalen Betriebs erfolgt. In der fachmännischen Sprache kann der Initialisierungsbetrieb auch als „Hochfahren" der Einrichtung bezeichnet werden. Eine Fil- terregel für den Initialisierungsbetrieb kann insbesondere weniger strenge Anforderungen vorsehen als im Normalbetrieb der Einrichtung, damit der normale Betrieb schnell und zuver¬ lässig hergestellt werden kann. Ist die Einrichtung als Fahrzeug ausgebildet, kann durch zumindest eine besondere Filter- regel im Initialisierungsbetrieb eine Aufnahme des Fahrbe¬ triebs schnell und zuverlässig erreicht werden. Durch die vorgeschlagene Lösung kann - bei einer Ausbildung der Einrichtung als Schienenfahrzeug - insbesondere die sogenannte Phase der „Zugtaufe" schnell und zuverlässig erfolgen.
Eine Filterregel im Störungs- und/oder Initialisierungsbe¬ trieb kann vorsehen, dass ein Datenverkehr über zumindest einen Teil des Rings mit minimaler Restriktion bezüglich einer Teilnehmerkennung gefiltert wird. Insbesondere kann gegenüber einer Filterregel des Normalbetriebs eine zweite Filterregel für den Störungs- und/oder Initialisierungsbetrieb vorgesehen sein, nach welcher die gemäß der Filterregel des Normalbe¬ triebs auf einer Teilnehmerkennung basierte Filterung eingestellt wird. Im Initialisierungsbetrieb kann insbesondere vorgesehen sein, dass eine Liste der von der Filterungseinrichtung autorisierten Teilnehmerkennungen durch eine Anmeldung aller einrichtungsinternen Teilnehmer aufgebaut wird. Eine hierzu erforderliche Anmeldenachricht, die an die Filte¬ rungseinrichtung gesendet wird, kann in und über den Ring ge- mäß der zweiten Filterregel uneingeschränkt übertragen wer¬ den, wobei weitere Nachrichten, deren Inhalt über diese Anmeldung hinausgeht und demnach weitere Nutzdaten umfasst, der Filterregel des Normalbetriebs unterliegen. Weist das Datennetzwerk wie oben beschrieben eine Netzwerkzu- gangskontrolleinheit auf, ist die Schnittstelleneinheit in zumindest einem Betriebszustand der Einrichtung vorteilhaft¬ erweise dazu vorgesehen, eine Schnittstelle für einen An- schluss eines ringexternen, durch die Netzwerkzugangskont- rolleinheit ungeprüften Teilnehmers an den Ring freizugeben. Dadurch kann in einem bestimmten Betriebszustand, besonders vorteilhaft im Störungs- und/oder Initialisierungsbetrieb, für eine Zulassung für einen Datenverkehr des Rings eine Voraussetzung bezüglich eines erfolgreichen Zulassungsvorgangs durch die Netzwerkzugangskontrolleinheit gegenüber dem Nor¬ malbetrieb entfallen. So kann bei einer Ausbildung der Einrichtung als Schienenfahrzeug im Initialisierungsbetrieb des- selben vorgesehen sein, dass ein Datenverkehr im Initialisierungsbetrieb über zumindest einen Teil des Rings mit ringex¬ ternen Teilnehmern erfolgt, die nicht oder nicht abschließend durch die Netzwerkzugangskontrolleinheit authentisiert wur¬ den. Hierbei kann eine Authentisierungsschonzeit vorgesehen sein, in welcher ein Authentisierungserfordernis zwar ent¬ fällt, nach welcher jedoch ein erforderlicher Authentisie- rungsvorgang erfolgreich abgeschlossen werden muss. Nach Ablauf dieser Zeit kann entschieden werden, das Aufheben des Authentisierungserfordernisses zu verlängern oder den Daten- verkehr mit unauthentisierten Teilnehmern zu sperren.
Bei einer Ausführung der Einrichtung als Fahrzeug, insbesondere Schienenfahrzeug, kann der Normalbetrieb ein Fahrgastbe¬ trieb sein. Dieser kann unterschiedliche Phasen umfassen, wie z.B. ein Streckenfahrbetrieb und ein Haltbetrieb, für welche ggf. verschiedene Filterregeln vorgesehen sein können. Weitere Betriebszustände können wie oben erörtert ein Störungsbe¬ trieb, ein Initialisierungsbetrieb oder auch ein Wartungsbe¬ trieb, insbesondere ein Werkstattmodus oder ein Diagnosemodus sein. Im Wartungsbetrieb kann insbesondere eine Filterregel implementiert werden, welche den Zugang eines als Service- Gerät anerkannten einrichtungsexternen Teilnehmers zu einem Datenverkehr des Rings gegenüber dem Normalbetrieb vereinfacht .
Der Betriebszustand kann durch eine Sensorik, z.B. einen Geschwindigkeitsgeber, erfasst werden, oder er kann aktiv von einer Bedienperson durch Eingabe festgelegt werden, wie z.B. mittels einer Schalteinheit im Führerstand zur Aktivierung eines Wartungsmodus.
Gemäß einer vorteilhaften Weiterbildung der Erfindung wird vorgeschlagen, dass die Kennungseinrichtung eine Einheit zur Kennungssetzung aufweist, die dazu vorgesehen ist, für einen ringexternen Teilnehmer diesem eine durch die Filterungseinrichtung autorisierte, insbesondere vordefinierte Teilnehmer¬ kennung zuzuweisen. Hierbei weist die Filterungseinrichtung vorteilhafterweise einen Satz von vordefinierten Teilnehmerkennungen auf, die bei Bedarf einem zumindest temporär zuzulassenden ringexternen Teilnehmer zugewiesen werden können. In dieser Ausführung weist die Filterungseinrichtung zumindest eine Liste von autorisierten Teilenehmerkennungen auf, die als statische bzw. uneditierbare Liste ausgebildet ist.
Der ringexterne Teilnehmer weist in dieser Ausführung für einen Datenverkehr des Rings eine Teilnehmerkennung aus dieser Liste auf, wobei diese Teilnehmerkennung von einer Teilnehmerkennung für einen Datenverkehr außerhalb des Rings unter- schiedlich sein kann. Die Einheit zur Kennungssetzung weist dabei zweckmäßigerweise eine Übersetzungsfunktion auf, durch welche eine eindeutige Verknüpfung zwischen beiden Teilnehmerkennungen eines gleichen ringexternen Teilnehmers herstellbar ist. Falls der Ring für Safety-Kommunikation verwen- det wird, kann eine Änderung der Filterregeln unzulässig sein oder eine Authentisierung eines Teilnehmers innerhalb des Rings nicht umsetzbar sein. Hier ist die Erfindung besonders vorteilhaft anwendbar, da eine relativ einfach realisierbare Filterung erfolgt, die bei einer Safety-Zulassung mit relativ geringem Aufwand überprüfbar ist und die im laufenden Betrieb nicht umkonfiguriert werden muss. Nach erfolgreicher
Authentisierung eines ringexternen Teilnehmers wird dessen Datenverkehr eine Teilnehmerkennung zugeordnet, die eine Kommunikation über den Ring zulässt, d.h. die nicht durch die Filterfunktion blockiert wird. In einer bevorzugten Variante werden die Filterregeln für den Ring dabei nicht verändert. Dies ist von besonderem Vorteil, wenn die Filterungseinrich- tung Filtermodule aufweist, die von ringinternen Teilnehmern gebildet sind, und die Filterung daher im Ring erfolgt.
Alternativ oder zusätzlich kann die Kennungseinrichtung dazu vorgesehen sein, für einen ringexternen Teilnehmer, der Filterungseinrichtung eine diesem zugewiesene Teilnehmerkennung als autorisierte Kennung bekannt zu machen. Beispielsweise kann durch die Kennungseinrichtung eine Nachricht an die Filterungseinrichtung gesendet werden, wobei die Nachricht eine zugewiesene Teilnehmerkennung des zuzulassenden Teilnehmers enthält. Weist die Filterungseinrichtung einen Satz von Filtermodulen auf, kann die Kennungseinrichtung eine sogenannte „Multicast-,, oder „Broadcast-Nachricht" an die Filtermodule senden. Weist die Filterungseinrichtung eine Liste von auto- risierten Teilnehmerkennungen auf, kann diese Liste durch die vorgeschlagene Maßnahme der Kennungseinrichtung editiert, insbesondere mit der bereits zugewiesenen Teilnehmerkennung des zuzulassenden ringexternen Teilnehmers ergänzt werden. Durch Empfangen und Weiterleiten der Nachricht durch die Filtermodule können sich diese gegenseitig über die Teilnehmer¬ kennung des zuzulassenden Teilnehmers informieren. In einer vorteilhaften Ausführungsvariante wird vorgeschlagen, dass ein ringinterner Teilnehmer die Funktion eines Ring-Managers erfüllt und die Kennungseinrichtung dazu vorgesehen ist, eine die Teilnehmerkennung enthaltende Nachricht an den Ring- Manager zu senden. Hierdurch kann die Benachrichtigung der Filtermodule einfach durch eine Kommunikation mit dem Ring- Manager erfolgen.
Die Erfindung betrifft des Weiteren ein Verfahren zur Verwaltung eines Datennetzwerks einer Einrichtung, welches einen Satz von einrichtungsinternen Teilnehmern, zumindest einen Ring, in welchem ringinterne Teilnehmer des Satzes in einer Ringtopologie miteinander vernetzt sind, und wenigstens eine Schnittstelleneinheit aufweist, die dazu vorgesehen ist, ei¬ nen Anschluss wenigstens eines ringexternen Teilnehmers an den Ring herzustellen. Es wird vorgeschlagen, dass ein Datenverkehr des Rings hinsichtlich zumindest einer Teilnehmerkennung gefiltert wird und für einen ringexternen Teilnehmer zumindest eine Maßnahme betreffend eine Teilnehmerkennung dieses Teilnehmers derart getroffen wird, dass diese hinsichtlich der Filterfunktion für einen Datenverkehr im Ring zulässig ist. Zu den vorteilhaften Wirkungen des vorgeschlagenen Verfahrens wird auf die obigen Ausführungen zum vorgeschlagenen Datennetzwerk verwiesen .
Es werden Ausführungsbeispiele der Erfindung anhand der
Zeichnungen näher erläutert. Es zeigen:
Figur 1: ein Schienenfahrzeug mit internen Funktionskompo¬ nenten in einer schematischen Seitenansicht,
Figur 2: ein die Funktionskomponenten verbindendes Datennetzwerk mit einem Ring, welchem eine Filterungseinrichtung zugeordnet ist,
Figur 3: eine Liste von Teilnehmerkennungen, die von der
Filterungseinrichtung zugelassen sind,
Figur 4: die Übertragung eines Datenpakets im Netzwerk der
Figur 2, mit einer Übersetzung einer Teilnehmerkennung,
Figur 5: eine Übersetzungstabelle für die Übersetzung aus
Figur 4,
Figur 6: die Benachrichtigung der Filterungseinrichtung über eine Teilnehmerkennung,
Figur 7: die Übertragung eines Datenpakets mit der Teilnehmerkennung nach der Benachrichtigung aus Figur 6,
Figur 8 : die Benachrichtigung eines Ring-Managers des Rings über eine Teilnehmerkennung und
Figur 9: einen zeitlichen Ablauf eines Initialisierungsbe¬ triebs des Schienenfahrzeugs.
Figur 1 zeigt ein als Schienenfahrzeug ausgebildetes Fahrzeug 10 in einer schematischen Seitenansicht. Das Fahrzeug 10 ist als ein Verband von mehreren Wagen 12 ausgebildet, die mitei¬ nander mechanisch gekoppelt sind und eine Zugeinheit bilden. In der betrachteten Ausführung ist das Fahrzeug 10 als sogenannter Triebzug ausgebildet. Hierzu ist zumindest einer der Wagen 12 des Verbands mit einer Antriebseinheit 14 zum An¬ treiben einer Antriebsachse 16 versehen. Die Antriebseinheit 14 weist eine Leistungsversorgungseinheit auf, welche insbe¬ sondere mittels einer Leistungselektronik eine elektrische Leistung für einen Elektromotor (nicht gezeigt) erzeugt. In einer weiteren Ausführung ist denkbar, dass das Fahrzeug 10 als einzelner Triebwagen ausgebildet ist. Außerdem kann das Fahrzeug 10 einen Verband von antriebslosen Reisezugwagen aufweisen, welcher mit zumindest einem Triebfahrzeug, z.B. einer Lokomotive, gekoppelt ist.
Das Fahrzeug 10 weist bekannterweise eine Anzahl von Funkti¬ onskomponenten auf, die einen Betrieb des Fahrzeugs 10 ermög¬ lichen. Typische Funktionskomponenten, wie insbesondere Komponenten der Antriebseinheit 14, einer Bremseinrichtung 11 (beispielhaft und schematisch im Wagen 12.2 dargestellt), ei¬ ner Zugsicherung 13, einer Türeinheit 15 (beispielhaft und schematisch im Wagen 12.3 dargestellt), eines Klimatisie¬ rungsgeräts 17, eines Fahrgastinformationssystems 19, einer Bordnetzeinrichtung usw. sind allgemein bekannt und werden hier nicht näher erläutert. Funktionskomponenten des Fahrzeugs 10 können allgemein als Steuereinheit, Sensoreinheit und/oder Aktorikeinheit ausgebildet sein, wobei ein Satz von funktional zusammenhängenden Funktionskomponenten, die einer bestimmten Funktionalität, z.B. einer der oben aufgelisteten Funktionalitäten zugeordnet sind, auch „Subsystem" genannt werden kann. Die Funktionskomponenten, die im Fahrzeug 10 installiert und daher dauerhaft an der Fahrzeugstruktur gebunden sind, sind miteinander vernetzt und dabei Bestandteile eines Datennetzwerks 18 (siehe Figur 2) . Aus Sicht der Fahr- zeugleittechnik werden die dem Fahrzeug 10 zugehörigen Funktionskomponenten als „interne" Teilnehmer 20, 22 des Datennetzwerks 18 des Fahrzeugs 10 bezeichnet. Die internen Teil¬ nehmer 20, 22 sind mittels einer Buseinrichtung 24 datentech- nisch miteinander verbunden, die selbst unterschiedliche Bus¬ strukturen aufweisen kann. Die Busstrukturen können sich in der Auslegung der jeweiligen Netzwerkhardware und/oder eines genutzten Netzwerkprotokolls voneinander unterscheiden.
Es wird in Figur 2 ein Teil des Datennetzwerks 18 näher dar¬ gestellt. Eine erste Busstruktur 26 der Buseinrichtung 24 verbindet die Teilnehmer 20 in einer geschlossenen Schleife derart zusammen, dass sie einen Ring 28 des Datennetzwerks 18 bilden. Um die internen Teilnehmer 20 im Ring 28 von den weiteren internen Teilnehmern 22 des Datennetzwerks 18 zu unterscheiden werden sie als „ringinterne Teilnehmer" bezeichnet, während die weiteren Teilnehmer 22 und externe Teilnehmer (siehe unten) als „ringexterne Teilnehmer" bezeichnet sind. In der fachmännischen Sprache sind die internen Teilnehmer 22 auch „Off-Ring-Komponenten" des Datennetzwerks 18 genannt. Die Busstruktur 26 des Rings 28 in der betrachteten Ausführung basiert auf einer unter dem Begriff „Industrial Ethernet" bekannten Technologie. Die ringinternen Teilnehmer 20 sind insbesondere jeweils als Steuergerät ausgebildet. Bei¬ spielsweise können die ringinternen Komponenten 20 jeweils als SPS ausgebildet sein. Die ringexternen Teilnehmer 22 sind in Figur 2 abstrakt dargestellt und können jeweils einer be¬ stimmten Funktionskomponente oder einem ganzen Subsystem des in Figur 1 dargestellten Fahrzeugs 10 entsprechen.
Das Datennetzwerk 18 weist Schnittstelleneinheiten 30, 32 auf, durch welche ringexterne Teilnehmer an den Ring 28 anschließbar sind. Die Schnittstelleneinheit 30 dient dazu, die internen Teilnehmer 22 an den Ring 28 anzuschließen. Diese sind selbst mittels einer Busstruktur 34, die sich von der Busstruktur 26 unterscheidet, miteinander vernetzt. Die
Schnittstelleneinheit 30 dient dabei dazu, die Busstruktur 34 und die an sie angeschlossenen Teilnehmer 22 an den Ring 28 anzuschließen. In einer beispielhaften Ausführung kann die Busstruktur 34 als MVB-Bus des TCN-Protokolls ausgebildet sein . Die Schnittstelleneinheit 32 dient dazu, einen externen Teil¬ nehmer 36 an den Ring 28 anzuschließen. Ein externer Teilnehmer ist hierbei eine Funktionskomponente, die dazu vorgesehen ist, gelegentlich mit dem Datennetzwerk 18 gebunden zu wer- den. Beispielsweise kann der externe Teilnehmer 36 ein trag¬ bares Wartungsgerät sein, welches bei Bedarf mit dem Daten¬ netzwerk 18 datentechnisch zu verbinden ist, im normalen Einsatzbetrieb des Fahrzeugs 10 sonst mit dem Datennetzwerk 18 nicht verbunden ist. Die Schnittstelleneinheit 32 kann zur Herstellung einer kabelgebundenen und/oder drahtlosen Verbindung des Rings 28 mit dem externen Teilnehmer 36 vorgesehen sein .
Die Schnittstelleneinheiten 30, 32 sind neben einer physika- lischen (oder hardwaretechnischen) Anschlussmöglichkeit 31 bzw. 33 jeweils zumindest mit einer Switchfunktionalität aus¬ gestattet. Sie sind außerdem jeweils mit einem ringinternen Teilnehmer 20 direkt mechanisch gekoppelt. Insbesondere sind der jeweilige ringinterne Teilnehmer 20 und die gekoppelte Schnittstelleneinheit 30 bzw. 32 in einer gleichen, zusammenhängenden Baueinheit angeordnet. Die ringinternen Teilnehmer 20 in der betrachteten Ausführung sind insbesondere jeweils als Steuergerät mit Switchfunktionalität ausgebildet. Das Datennetzwerk 18 weist außerdem eine Filtereinrichtung 38 mit einer Filterfunktion auf, die dazu vorgesehen ist, einen Datenverkehr des Rings 28 hinsichtlich zumindest einer Teilnehmerkennung zu filtern. Die für die Filterung berücksichtigte Teilnehmerkennung ist in der betrachteten Ausführung eine Kennung der OSI- Sicherungsschicht. Insbesondere wird zu Filterungszwecken zumindest eine MAC-Adresse eines Teilneh¬ mers gemäß zumindest einer Filterregel geprüft. Dabei handelt es sich um einen Teilnehmer - intern oder extern - welcher an einer Datenübertragung beteiligt ist, die über zumindest ei- nen Teil des Rings 28 erfolgt bzw. erfolgen soll. Die Filte¬ rungseinrichtung 38 weist einen Satz von Filtermodulen 40 auf. Ein Datenverkehr über den Ring 28 kann in zwei Richtungen - Uhrzeigersinn oder gegen den Uhrzeigersinn -erfolgen. Den ringinternen Teilnehmern 20 ist jeweils ein Paar von Filtermodulen 40 zugeordnet. Ein erstes Filtermodul 40 des Paa¬ res überwacht für eine gegebene Richtung des Datenverkehrs im Ring 28 den auf den Teilnehmer 20 gerichteten Datenfluss, während das zweite Filtermodul 40 des Paares den in entgegen¬ gesetzter Richtung des Datenverkehrs auf den Teilnehmer 20 gerichteten Datenfluss überwacht. In einer alternativen Ausführung kann ein Datenverkehr in lediglich einer Richtung möglich sein.
Die Filterungseinrichtung 38 weist außerdem Filtermodule 39, 41 auf, die jeweils einer Schnittstelleneinheit 30, 32 zuge¬ ordnet und insbesondere mit dieser gekoppelt sind. Durch die¬ se Filtermodule 39, 41 kann ein Datenverkehr, welcher auf den Ring 28 gerichtet ist, gefiltert werden, bevor Daten in den
Ring 28 gelangen. Außerdem kann durch die Filtermodule 39, 41 ein Datenverkehr gefiltert werden, welcher aus dem Ring 28 stammt und auf einen ringexternen Teilnehmer gerichtet ist. In einer besonderen Ausführung kann auf diese zusätzlichen Filtermodule 39, 41 verzichtet werden. Die Beschreibung unten betrifft die Filtermodule 40 und gilt dementsprechend auch für die Filtermodule 39, 41.
Die Filterungseinrichtung 38 ist mit einer ersten Filterregel programmiert, welche die Überwachung von Datenpaketen durchführt, deren Übertragung über zumindest einen Teil des Rings 28 erfolgt bzw. erfolgen soll. Wie oben bereits beschrieben erfolgt die Überwachung auf der Basis einer Teilnehmerkennung, die der MAC-Adresse eines an einer Übertragung eines Datenpakets teilnehmenden Teilnehmers entspricht. Dabei kann es sich um den als Sender ausgebildeten Teilnehmer und/oder um den als Empfänger des Pakets ausgebildeten Teilnehmer handeln. Die den ringinternen Teilnehmern 20 zugeordneten Filtermodule 40 bewirken eine Filterung des über zumindest einen Teil des Rings 28 erfolgenden Datenverkehrs, indem ein auf den jeweiligen Teilnehmer 20 gerichtetes Datenpaket nur dann von diesem Teilnehmer 20 weitergeleitet wird, wenn die gemäß der Filterregel in diesem Datenpaket zu überwachende Teilneh- merkennung oder Teilnehmerkennungen einer Liste zugelassener Teilnehmerkennungen gehört bzw. gehören. Diese Liste ist in Figur 3 dargestellt. Als Filterregeln können außerdem weitere Regeln implementiert sein, die üblichen Firewallregeln ent- sprechen.
Die Filtermodule 40 sind jeweils von einer Einrichtung mit Switch-Funktionalität gebildet. Sie können dabei von einem separaten Switch gebildet sein, welcher vom zugeordneten ringinternen Teilnehmer 20 getrennt ausgebildet ist. In der betrachteten Ausführung sind sie jedoch jeweils mit dem zugeordneten ringinternen Teilnehmer 20 direkt mechanisch gekoppelt. Insbesondere sind der jeweilige ringinterne Teilneh¬ mer 20 und das zugeordnete Filtermodul 40 in einer gleichen, zusammenhängenden Baueinheit angeordnet. Die ringinternen
Teilnehmer 20 in der betrachteten Ausführung sind insbesondere jeweils als Steuergerät mit Switchfunktionalität ausgebil¬ det . Das Datennetzwerk 18 weist ferner Netzwerkzugangskontrollein- heiten 42, 44 auf, die jeweils einer unterschiedlichen
Schnittstelleneinheit 30 bzw. 32 zugeordnet sind. Sie dienen jeweils dazu, den Datenverkehrszugang zum Ring 28 für ringexterne Teilnehmer 22 bzw. 36 gemäß einem definierten Authenti- sierungsprotokoll zu verwalten, insbesondere zu genehmigen oder abzulehnen. Bei zugelassenem Datenverkehrszugang des ringexternen Teilnehmers kann dieser an einer Datenübertragung teilnehmen, die über zumindest einen Teil des Rings 28 erfolgt. Ist eine Authentisierung eines ringexternen Teilneh- mers 22, 36 durch die Netzwerkzugangskontrolleinheit 42 bzw. 44 mit einer Zulassung erfolgreich abgeschlossen, wird von der zugeordneten Schnittstelleneinheit 30 bzw. 32 eine
Schnittstelle (auch „Port") für einen Zugang des ringexternen Teilnehmers zum Ring 28 freigegeben. Das Authentisierungspro- tokoll kann z.B. ein Protokoll nach IEEE 802. Ix sein, wie insbesondere in der Form einer EAP-TLS-Authentisierung mittels Gerätezertifikats. Die Funktionen der Netzwerkzugangskontrolleinheiten 42, 44 und der Filterungseinrichtung 38 werden zunächst am Beispiel des Anschlusses eines externen Teilenehmers 36 erläutert. Der Datenverkehrszugang für den externen Teilnehmer 36, welcher als Wartungsgerät gelegentlich an das Datennetzwerk 18 angebunden wird, wird mittels der Netzwerkzugangskontrollein- heit 44 verwaltet. Nach Herstellung einer kabelgebundenen oder drahtlosen Datenverbindung des externen Teilnehmers 36 mit der Schnittstelleneinheit 32 erfolgt eine Authentisierung des Teilnehmers 36 durch die zugeordnete Netzwerkzugangskont- rolleinheit 44 gemäß einem Protokoll der oben genannten Art. Hierzu ist beispielsweise ein Authentisierungsmodul 45 (oder „Authenticator" ) vorgesehen, welches jeweils in den ringex- fernen Teilnehmern 22, 36 implementiert ist und mit der entsprechenden Netzwerkzugangskontrolleinheit 42 bzw. 44 zusam¬ menwirkt. Falls sich der externe Teilnehmer 36 erfolgreich gegenüber der Netzwerkzugangskontrolleinheit 44 authenti- siert, gilt ein Datenverkehr, welcher über einen freigegebe- nen Port der zugeordneten Schnittstelleneinheit 32 und zumin¬ dest einen Teil des Rings 28 erfolgt und an dem der externe Teilnehmer 36 teilnimmt, als zugelassen. Die Netzwerkzugangs¬ kontrolleinheiten 42, 44 sind jeweils mit einer Switch- Funktionalität ausgestattet und können jeweils als sogenannte „Access-Switch" ausgebildet sein.
Damit dieser Datenverkehr auch hinsichtlich der oben beschriebenen Filterfunktion der Filterungseinrichtung 38 zulässig ist, sollen entsprechenden Maßnahmen getroffen werden. Hierzu ist der Schnittstelleneinheit 32 eine Kennungseinrich- tung 46 zugeordnet. Die Kennungseinrichtung 46 dient dazu, eine Maßnahme betreffend eine Teilnehmerkennung des externen Teilnehmers 36 zu treffen, sodass die bei einer aus dem ex¬ ternen Teilnehmer 36 stammenden Datenübertragung im Ring 28 verwendete Teilnehmerkennung gemäß der gültigen Filterregel zugelassen ist. Hierzu sind mehrere Varianten möglich. Gemäß einer ersten, in Figur 4 gezeigten Variante weist die Kennungseinrichtung 46 eine Einheit 48 zur Kennungssetzung auf, die dazu vorgesehen ist, für den externen Teilnehmer 36 diesem eine durch die Filterungseinrichtung 38 autorisierte Teilnehmerkennung TK zuzuweisen. Hierzu ist in der oben genannten, in Figur 3 gezeigten Liste zumindest eine Kennung TK, in der betrachteten Ausführung eine MAC-Adresse, enthalten, die bei Bedarf einem externen Teilnehmer 36 zugewiesen werden kann. Diese Kennung ist eine sogenannte „freie" Ken- nung, die vor dem Hinzufügen des externen Teilnehmers 36 ins Datennetzwerk 18 nicht verwendet wurde. Zur Setzung einer gegenüber der Filtereinrichtung 38 zulässigen Teilnehmerkennung TK weist die Einheit 48 vorzugsweise eine Übersetzungsfunkti¬ on auf. Hierzu erzeugt die Einheit 48 eine in Figur 5 gezeig- te Übersetzungstabelle, die eine eindeutige Verknüpfung zwi¬ schen der eigentlichen Teilnehmerkennung, insbesondere MAC- Adresse MA, des anzubindenden, ringexternen Teilnehmers 36 und einer in der Liste der Filterungseinrichtung 38 eingetragenen, freien Teilnehmerkennung TK. Diese Übersetzungstabelle kann in der fachmännischen Sprache „MAC Address Translation Table" genannt werden.
In Figur 4 ist ein von dem externen Teilnehmer 36 erzeugtes, an den ringinternen, in der Figur links oben dargestellten Teilnehmer 20. a adressiertes Datenpaket DPI dargestellt. Die Kennungseinrichtung 46, welches das Datenpaket DPI empfängt, ersetzt mittels der Einheit 48 die Absenderadresse, d.h. die als MAC-Adresse ausgebildete Teilnehmerkennung MA durch eine freie Teilnehmerkennung TK der in Figur 3 gezeigten Liste. Das von der Kennungseinrichtung 46 weitergeleitete Datenpaket DP2 enthält nunmehr als Absenderadresse diese Teilnehmerken¬ nung TK. Da diese von der Filterungseinrichtung 38, d.h. von den Filtermodulen 40 zugelassen ist, wird das Datenpaket DP2 bis zum Empfänger (Teilnehmer 20. a) weitergeleitet. Entspre- chend wird bei einer Datenkommunikation, welche in Richtung auf den externen Teilnehmer 36 gerichtet ist, die Teilnehmerkennung, welche im Ring 28 als zugelassene Teilnehmerkennung TK des Zieles verwendet wird, in die eigentliche Teilnehmer- kennung MA des externen Teilnehmers 36 von der Einheit 48 zur Kennungssetzung gemäß der in Figur 5 gezeigten Übersetzungstabelle zurück übersetzt. Eine doppelte Umsetzung der Teil¬ nehmerkennung kann für eine Datenkommunikation erfolgen, die zwischen dem externen Teilnehmer 36 und einem internen Teilnehmer 22 über den Ring 28 hergestellt wird.
Ausführungsvarianten sind in Figur 6 und 8 gezeigt. In diesen Ausführungen wird die eigentliche Teilnehmerkennung MA des externen Teilnehmers 36 für die Teilnahme an einem Datenverkehr, welcher über zumindest einen Teil des Rings 28 erfolgt, verwendet. Insbesondere wird als Teilnehmerkennung MA die MAC-Adresse des externen Teilnehmers 36 für diesen Datenver¬ kehr verwendet. Damit dieser ohne Ausfilterung durch die Filterungseinrichtung 38 erfolgen kann, muss die dem externen Teilnehmer 36 bereits zugewiesene Teilnehmerkennung MA als hinsichtlich der geltenden Filterregel autorisierte Kennung bei den Filtermodulen 40 bekannt gemacht werden. In den betrachteten Ausführungsvarianten erfolgt demnach ein Aktualisierungsvorgang der in Figur 3 gezeigten Liste der von der Filterungseinrichtung 38 zugelassenen Teilnehmerkennungen. Der Aktualisierungsvorgang wird von der Kennungseinrichtung eingeleitet. Hierzu sind zumindest zwei Vorgänge möglich. Zur Unterscheidung der Ausführungsvarianten voneinander werden die Bezugszeichen 46 λ und 46 λ λ für die Kennungseinrichtung eingeführt .
In der Variante gemäß Figur 6 sendet die Kennungseinrichtung 46 λ eine Nachricht N in den Ring 28 derart, dass alle Filter- module 40 - d.h. in der konkret betrachteten Ausführungsform der Filtereinrichtung 38 - alle ringinterne Teilnehmer 20 diese Nachricht N empfangen. Diese Nachricht N enthält, wie in der Figur gezeigt die zuzulassende Teilnehmerkennung MA des externen Teilnehmers 36. Nach Erhalt der Nachricht N er- weitern die Filtermodule 40 jeweils ihre Liste der zuzulas¬ senden Teilnehmerkennungen um die Teilnehmerkennung MA des externen Teilnehmers 36. Die Nachricht N wird von der Ken¬ nungseinrichtung 46 λ vorzugsweise als Multicast- oder Broad- castnachricht gesendet. Die Nachricht N ist in der Form eines Datenpakets gesendet, mit der MAC-Adresse der Kennungsein- richtung 46 λ als Absenderadresse und - in der betrachteten Ausführung - die für ein Broadcast vorgesehene Adresse FF-FF- FF-FF-FF-FF als Zieladresse. Der Informationsgehalt der Nach¬ richt N enthält einen Befehl („RegisterOffRingDevice" ) , wo¬ nach die Liste der zuzulassenden Teilnehmerkennungen um die Teilnehmerkennung MA von den adressierten Filtermodulen 40 zu erweitern ist.
Figur 7 zeigt die Übertragung des Datenpakets DPI, welches unverändert bis zum Empfänger (Teilnehmer 20. a) von den auf der Übertragungsstrecke angeordneten Filtermodulen 40 weitergeleitet wird. Im Unterschied zu Figur 4 enthält das Datenpa- ket DPI als Absenderadresse die eigentliche Teilnehmerkennung MA des externen Teilnehmers 36, welche nach der oben be¬ schriebenen Maßnahme der Kennungseinrichtung 46 λ in der Liste der Figur 3 eingetragen ist. In der Variante gemäß Figur 8 weist der Ring 28 einen soge¬ nannten Ringmanager RM auf. Dieser ist von einem der ringinternen Teilnehmer 20 gebildet, der gegenüber den weiteren ringinternen Teilnehmern 20 bestimmte Verwaltungsfunktionen besitzt. Die Kennungseinrichtung 46 λ λ sendet die Nachricht N an den Ring-Manager RM, welcher nach Erhalt dieser einen Aktualisierungsvorgang der Listen der durch die Filtermodule 40 zugelassenen Teilnehmerkennungen auslöst. Der Ring-Manager RM verteilt die Information, z.B. durch Sendung einer Multicast- oder Broadcastnachricht oder per Einzeladressierung an die Filtermodule 40. Der Datenverkehr kann dann wie in Figur 7 gezeigt erfolgen.
Die Nachricht N in beiden Ausführungsvarianten kann in der fachmännischen Sprache als „FilterUpdate-Message" bezeichnet werden. Sie wird vorzugsweise in einer kryptischen Form gesendet. Insbesondere kann sie eine kryptographische Prüfsumme aufweisen, z.B. gemäß AES-CBC-MAC, HMAC-SHA1, HMAC-SHA256, RSA-Signatur, DSA-Signatur, ECDSA-Signatur . In den oben beschriebenen Ausführungen weist die Filterungseinrichtung 38 eine Filterregel auf, die den Datenverkehr hinsichtlich von zumindest einer Teilnehmerkennung filtert. Es wird ein Datenverkehr, welcher über zumindest einen Teil des Rings 28 erfolgt, nur dann zugelassen, wenn die entspre¬ chenden Datenpakete Teilnehmerkennungen enthalten, die in der Liste gemäß Figur 3 enthalten sind. Wenn dies nicht der Fall ist, wird ein Datenpaket von einem Filtermodul 40 gesperrt und zum nächsten ringinternen Teilnehmer 20 nicht weitergeleitet. Die von der Kennungseinrichtung 46, 46 λ bzw. 46 λ λ getroffene Maßnahme betreffend eine Teilnehmerkennung wird zu¬ dem nur dann getroffen, wenn sich der ringexterne Teilnehmer 36 erfolgreich gegenüber der Netzwerkzugangskontrolleinheit 44 authentisieren konnte. Die oben beschriebenen Maßnahmen der Kennungseinrichtung 46, 46 λ bzw. 46 λ λ werden demnach abhängig von der Zulassung des externen Teilnehmers 36 durch die Netzwerkzugangskontrolleinheit 44 getroffen. Die Funktionen der Netzwerkzugangskontrolleinheiten 42, 44 und der Kennungseinrichtung 46, 46 λ bzw. 46 λ λ wurden oben am Beispiel der Netzwerkzugangskontrolleinheit 44 erläutert, die für den Anschluss von externen Teilnehmern, wie z.B. des externen Teilnehmers 36, eingesetzt wird.
Die Netzwerkzugangskontrolleinheit 42 wird für den Anschluss von ringexternen Teilnehmern eingesetzt, die als interne Teilnehmer 22 ausgebildet sind bzw. in das Fahrzeug 10 neu oder nach Instandsetzung erneut eingebaut werden. Sie ist der Schnittstelleneinheit 30 zugeordnet. Wie bezüglich der Netz- werkzugangskontrolleinheit 44 erläutert ist der Schnittstel¬ leneinheit 30 eine Kennungseinrichtung 50 zugeordnet. Zur Be¬ schreibung der Funktionsweise der Netzwerkzugangskontrolleinheit 42 und der Kennungseinrichtung 50 wird auf den obigen Text zu der entsprechenden Netzwerkzugangskontrolleinheit 44 und der Kennungseinrichtung 46 hingewiesen. Wie für die Kennungseinrichtung 46 weist diese in der ersten, in Figur 4 gezeigten Ausführungsvariante eine Einheit 52 zur Kennungsset- zung, deren Funktionsweise zu der Funktionsweise der Einheit 48 identisch ist. In den Ausführungsvarianten gemäß Figuren 6 und 8 werden zur Unterscheidung die Bezugszeichen 50 λ und 50 λ λ eingeführt.
Die Schnittstelleneinheit 30 und die dieser zugeordneten Netzwerkzugangskontrolleinheit 42 und Kennungseinrichtung 50 können als voneinander getrennte Baueinheiten gebildet sein. Wie in betrachteten Ausführung zu sehen ist jedoch vorteil- haft, wenn sie Bestandteile einer gemeinsamen, zusammenhängenden Baueinheit sind. Insbesondere entspricht diese Bauein¬ heit einem der ringinternen Teilnehmer 20, wie in den Figuren zu sehen. Dabei umfasst der ringinterne Teilnehmer 20 die Schnittstelleneinheit 30 und die zugeordneten Netzwerkzu- gangskontrolleinheit 42 und Kennungseinrichtung 50. Dabei kann er mit den Funktionen dieser Vorrichtungen programmiert sein. Die obigen Ausführungen gelten auch für die Schnittstelleneinheit 32 und die zugeordneten Netzwerkzugangskont¬ rolleinheit 44 und Kennungseinrichtung 46.
In der betrachteten Ausführung weist die Filtereinrichtung 38 mehrere Filterregeln auf, die jeweils einem unterschiedlichen Betriebszustand des Fahrzeugs 10 zugeordnet sind. Beispielsweise kann es erforderlich sein, dass eine DatenKom- munikation, die zumindest über einen Teil des Rings 28 er¬ folgt, derart verwaltet wird, dass ein Hochfahren der an das Datennetzwerk 18 angeschlossenen Funktionskomponenten bzw. internen Teilnehmer 22 innerhalb einer kurzen Zeitspanne er- folgen kann. Hierzu gilt während dieser Hochfahrphase des Fahrzeugs 10 eine Filterregel, die gegenüber der oben be¬ schriebenen Filterregel im normalen Betrieb modifiziert ist. Außerdem werden während der Hochfahrphase zumindest die Netz- werkzugangskontrolleinheit 42 in einem Betriebsmodus betrie- ben, welcher sich vom oben erläuterten, im normalen Betrieb des Fahrzeugs 10 angewandten Betriebsmodus unterscheidet. Dies ist in Figur 9 dargestellt. Für die Netzwerkzugangskont- rolleinheit 42 und die Filtereinrichtung 38 wird eine soge¬ nannte „Grace-Period" implementiert, in welcher gegenüber dem Normalbetrieb weniger strenge Anforderungen gelten. In der betrachteten Ausführung der Einrichtung als Fahrzeug 10 entspricht der normale Betrieb einem „regulären Fahrbetrieb". Dieser wird erst freigegeben, nachdem die Authentisierung aller internen Teilnehmer 20, 22 durch die Netzwerkzugangskont- rolleinheit 42 erfolgreich beendet wurde.
Während der Hochfahrphase HFP (siehe Figur 9) ist die im Nor¬ malbetrieb des Fahrzeugs 10 beschriebene Filterregel der Fil¬ tereinrichtung 38, die anhand der Liste zugelassener Teilnehmerkennungen definiert ist, außer Kraft. Es gilt demnach eine zweite Filterregel der Filtereinrichtung 38, wonach jeglicher Datenverkehr über zumindest einen Teil des Rings 28 von der Filtereinrichtung 38 zugelassen wird. Dadurch kann ein über den Ring 28 erfolgender Datenverkehr, welcher insbesondere für den Aufbau des Datennetzwerks 18 und für die
Authentisierung der internen Teilnehmer 20, 22 erforderlich ist, ohne Einschränkung durch die Filtermodule 40 erfolgen. Die Hochfahrphase HFP kann in mehreren Phasen unterteilt werden. In einer ersten Phase PI baut sich das Datennetzwerk 18 auf. In einer weiteren, sich daran anschließenden Phase P2 erfolgt eine Initialisierung der Datenkommunikation zwischen einem der internen Teilnehmer 20, 22, welcher die Funktion eines zentralen Steuergeräts hat, mit den ihm zugeordneten internen Teilnehmern 20, 22. Dieses Steuergerät kann z.B. als ein ringexterner Teilnehmer 22 ausgebildet sein. Dieser
Schritt entspricht der Initialisierung des vom zentralen Steuergerät kontrollierten Steuernetzwerks.
In den ersten Phasen PI und P2 werden die Netzwerkzugangs- kontrolleinheit 42 und die Filtereinrichtung 38 derart be- trieben, dass die internen Teilnehmer 20, 22 bezüglich einer Beteiligung an einem Datenverkehr über den Ring 28 zugelassen sind, obwohl diese einer Authentisierung durch die Netzwerk- zugangskontrolleinheit 42 noch nicht unterlagen. Dabei ist insbesondere ein Anschluss aller ringexternen Teilnehmer 22 an den Ring 28 über zumindest eine Schnittstelle (oder Port) der Schnittstelleneinheit 30 möglich, wobei diese Schnitt¬ stelle von der Schnittstelleneinheit 30 freigegeben wird, ob- wohl alle ringexternen Teilnehmer 22 durch die zugeordnete Netzwerkzugangskontrolleinheit 42 noch nicht geprüft oder nicht abschließend geprüft wurden.
Nachdem die Phase P2 zu Ende geführt wurde, erfolgen die oben beschriebenen Authentisierungsvorgänge der internen Teilnehmer, also der ringinternen Teilnehmer 20 und der ringexternen Teilnehmer 22 durch die Netzwerkzugangskontrolleinheit 42 während einer Phase P3 gemäß einem der oben erwähnten Authen- tisierungsprotokolle, insbesondere mittels einer zertifikats- basierten Authentisierung . Mit erfolgreichem Abschluss der
Authentisierungsvorgänge endet die Hochfahrphase HFP und mit ihr die Grace-Period der Filtereinrichtung 38. Im anschlie¬ ßenden, freigegebenen normalen Betrieb NB, insbesondere regulären Fahrbetrieb gilt die weiter oben erläuterte Filterregel auf der Basis der Teilnehmerkennungen. Die Hochfahrphase HFP ist auch „Initialisierungsbetrieb" des Fahrzeugs 10 genannt. Bei der betrachteten Ausführung des Fahrzeugs 10 als Schie¬ nenfahrzeug erfolgt während des Initialisierungsbetriebs ins¬ besondere die sogenannte „Zugtaufe".
Der im Initialisierungsbetrieb verwendete Betriebsmodus der Netzwerkzugangskontrolleinheit 42 und der Filterungseinrich¬ tung 38 kann außerdem beim Vorliegen eines gestörten Betriebs des Fahrzeugs 10 aktiviert werden. Ein derartiger Betrieb kann z.B. durch die Auslösung eines Notbremssignals oder durch eine Brandmeldung aktiviert werden.
Es sind weitere Betriebszustände denkbar, für die eine unter¬ schiedliche Filter- und/oder Authentisierungsregel als im normalen Betrieb des Fahrzeugs 10 vorgesehen ist. So kann insbesondere in einem Wartungsmodus oder in einem Hersteller- Werkstattmodus eine Filterregel vorgesehen sein, die der zweiten Filterregel entspricht. In diesen Modi ist demnach ein über zumindest einen Teil des Rings 28 erfolgender Datenverkehr ohne Einschränkung möglich.
Es ist außerdem auch denkbar, dass eine Filterregel der Fil- terungseinrichtung 38 und/oder der Authentisierungsvorgang der Netzwerkzugangskontrolleinheiten 42, 44 im normalen Betrieb, d.h. im betrachteten Beispiel im regulären Fahrbetrieb, umkonfigurierbar oder anders formuliert für ein
Umkonfigurieren gesperrt sind. Diese Sperre kann beispiels- weise beim Aktivieren eines weiteren Betriebsmodus, wie z.B. des Wartungsmodus, aufgehoben werden.
Ein Datenverkehr, welcher über zumindest einen Teil des Rings 28 erfolgt, kann für einen bestimmten externen Teilnehmer, der sich bereits zumindest ein Mal erfolgreich im Datennetzwerk 18 authentisieren konnte, durch eine Filterregel der Filterungseinrichtung 38 und/oder einen Betriebsmodus der Netzwerkzugangskontrolleinheit 44 im normalen Betrieb expli¬ zit gesperrt sein. Beispielsweise kann im regulären Fahrbe- trieb des Fahrzeugs 10 ein Datenverkehr mit dem externen Teilnehmer 36, welcher sich zwar in einem vorherigen Wartungsmodus erfolgreich authentisieren konnte, durch die Filterungseinrichtung 38 und/oder die Netzwerkzugangskontroll¬ einheit 44 gesperrt sein.
In den in den Figuren gezeigten Ausführungen kann ein Datenverkehr in unterschiedlichen Richtungen, d.h. im Uhrzeigersinn oder gegen den Uhrzeigersinn, im Ring 28 erfolgen. Dadurch sind potentielle Übertragungswege mit unterschiedlichen Längen möglich, wobei vorzugsweise der Übertragungsweg mit der niedrigsten Länge für den Datenverkehr ausgewählt wird. Es ist außerdem auch möglich, dass einer der ringinternen Teilnehmer 20 die Funktion eines Masters (oder „Medien Redundanz Master Switch") implementiert, welcher den Ring 28 an einer bestimmten Stelle logisch unterbricht.
In einer bevorzugten Variante sind die Filterregeln der Filterungseinrichtung 38 unabhängig von der Übertragungsrichtung eines Datenpakets unabhängig. Dies hat den Vorteil, dass bei einer Umkonfiguration des Rings, insbesondere aufgrund eines Fehlerfalls, eine Umkonfiguration der Filterregeln nicht erforderlich ist. Es können jedoch auch Filterregeln der Filte- rungseinrichtung 38 zur Filterung von Datenpaketen vorgesehen sein, die von der Richtung der Übertragung eines Datenpakets über den Ring 28 abhängig sind. Gemäß einer Filterregel kann für ein Filtermodul 40 vorgesehen sein, dass ein Datenpaket nur in eine bestimmte Richtung weitergeleitet wird und in der Gegenrichtung gesperrt ist. In diesem Fall kann eine automa¬ tische Umkonfiguration der Filterregeln für die ringinternen Teilnehmer 20 erfolgen, um die unterschiedliche Übertragungs¬ richtung zu berücksichtigen. In einer anderen Variante erfolgt keine automatische Umkonfiguration der Filterregeln. In diesem Fall müssen sich die internen Teilnehmer 20, 22 erneut authentisieren, sodass daraufhin passende Filtereinträge ein¬ gerichtet werden können.
In einer weiteren Variante erfolgt eine automatische
Umkonfiguration der Filterregeln für die ringinternen Teilnehmer 20, während sich die ringexternen Teilnehmer 22 erneut authentisieren müssen.

Claims

Patentansprüche
1. Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs (10), mit einem Satz von einrichtungsinternen Teil- nehmern (20, 22), zumindest einem Ring (28), in welchem ringinterne Teilnehmer (20) des Satzes in einer Ringtopologie miteinander vernetzt sind, und wenigstens einer Schnittstel¬ leneinheit (30, 32), die dazu vorgesehen ist, einen Anschluss wenigstens eines ringexternen Teilnehmers (22, 36) an den Ring (28) herzustellen,
gekennzeichnet durch
eine Filterungseinrichtung (38) mit zumindest einer Filterfunktion, die dazu vorgesehen ist, einen Datenverkehr des Rings (28) hinsichtlich zumindest einer Teilnehmerkennung (TK; MA) zu filtern, und eine Kennungseinrichtung (46, 50; 46 50 λ ; 46 λ λ, 50 λ λ), die dazu vorgesehen ist, für einen ringexternen Teilnehmer (22, 36) zumindest eine Maßnahme be¬ treffend eine Teilnehmerkennung (MA) dieses Teilnehmers (22, 36) derart zu treffen, dass diese hinsichtlich der Filter- funktion für einen Datenverkehr im Ring (28) zulässig ist.
2. Datennetzwerk nach Anspruch 1,
dadurch gekennzeichnet, dass
die Filterungseinrichtung (38) einen Satz von Filtermodulen (40) aufweist, wobei den ringinternen Teilnehmern (20) je¬ weils zumindest ein unterschiedliches Filtermodul (40) zuge¬ ordnet ist.
3. Datennetzwerk nach Anspruch 2,
dadurch gekennzeichnet, dass
mit den ringinternen Teilnehmern (20) jeweils zumindest ein unterschiedliches Filtermodul (40) gekoppelt ist.
4. Datennetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
die Filterungseinrichtung (38) zumindest ein Filtermodul (40) umfasst, welches zumindest mit einer Switch-Funktionalität ausgestattet ist.
5. Datennetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
die ringinternen Teilnehmer (20) jeweils als Steuergerät aus¬ gebildet sind.
6. Datennetzwerk nach Anspruch einem der vorhergehenden Ansprüche,
gekennzeichnet durch
eine Netzwerkzugangskontrolleinheit (42, 44), die zur Verwal- tung eines Datenverkehrszugangs gemäß einem definierten Au- thentisierungsprotokoll programmiert ist, wobei die Kennungs- einrichtung (46, 50) in zumindest einem Betriebsmodus dazu vorgesehen ist, die Maßnahme für einen ringexternen Teilnehmer (22, 36) abhängig von der Zulassung dieses durch die Netzwerkzugangskontrolleinheit (42, 44) zu treffen.
7. Datennetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
die Teilnehmerkennung (TK, MA) eine Kennung der OSI- Sicherungsschicht ist.
8. Datennetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
über die Schnittstelleneinheit (30) zumindest ein ringexter- ner Teilnehmer des Satzes einrichtungsinterner Teilnehmer (22) an den Ring (28) angeschlossen ist.
9. Datennetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
die Schnittstelleneinheit (32) dazu dient, als ringexternen Teilnehmer einen einrichtungsexternen Teilnehmer (36) anzuschließen, der an der Einrichtung ungebunden ist oder dazu vorgesehen ist, gelegentlich an die Einrichtung gebunden zu werden .
10. Datennetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
die Filterungseinrichtung (38) mehrere Filterregeln aufweist, die jeweils einem unterschiedlichen Betriebszustand der Ein- richtung zugeordnet sind.
11. Datennetzwerk nach Anspruch 10,
dadurch gekennzeichnet, dass
die Filterungseinrichtung (38) zumindest eine Filterregel für einen Normalbetrieb der Einrichtung und wenigstens eine un¬ terschiedliche Filterregel für einen Initialisierungsbetrieb der Einrichtung aufweist.
12. Datennetzwerk nach Anspruch 6 und nach Anspruch 10 oder 11,
dadurch gekennzeichnet, dass
die Schnittstelleneinheit (30) in zumindest einem Betriebszu¬ stand der Einrichtung dazu vorgesehen ist, eine Schnittstelle für einen Anschluss eines ringexternen, durch die Netzwerkzu- gangskontrolleinheit (42) ungeprüften Teilnehmers (22) an den Ring freizugeben.
13. Datennetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
die Kennungseinrichtung (46, 50) eine Einheit (48, 52) zur
Kennungssetzung aufweist, die dazu vorgesehen ist, für einen ringexternen Teilnehmer (36, 22) diesem eine durch die Filterungseinrichtung (38) autorisierte Teilnehmerkennung (TK) zuzuweisen .
14. Datennetzwerk nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
die Kennungseinrichtung (46 50 λ) dazu vorgesehen ist, für einen ringexternen Teilnehmer (36, 22), der Filterungsein- richtung (38) eine diesem zugewiesene Teilnehmerkennung (MA) als autorisierte Kennung bekannt zu machen.
15. Datennetzwerk nach Anspruch 14,
dadurch gekennzeichnet, dass
die Kennungseinrichtung (46 50 λ) dazu vorgesehen ist, eine die Teilnehmerkennung (MA) enthaltende Nachricht (N) an die Filterungseinrichtung (38) zu senden.
16. Datennetzwerk nach Anspruch 14,
dadurch gekennzeichnet, dass
ein ringinterner Teilnehmer (20. b) die Funktion eines Ring- Managers (RM) erfüllt und die Kennungseinrichtung (46 λ λ,
50 λ λ) dazu vorgesehen ist, eine die Teilnehmerkennung (MA) enthaltende Nachricht (N) an den Ring-Manager (RM) zu senden.
17. Fahrzeug, insbesondere Schienenfahrzeug, mit einem Da- tennetzwerk (18) nach einem der vorhergehenden Ansprüche.
18. Verfahren zur Verwaltung eines Datennetzwerks (18) einer Einrichtung, welches einen Satz von einrichtungsinternen Teilnehmern (20, 22), zumindest einen Ring (28), in welchem ringinterne Teilnehmer (20) des Satzes in einer Ringtopologie miteinander vernetzt sind, und wenigstens eine Schnittstel¬ leneinheit (30, 32) aufweist, die dazu vorgesehen ist, einen Anschluss wenigstens eines ringexternen Teilnehmers (22, 36) an den Ring (28) herzustellen,
dadurch gekennzeichnet, dass
- ein Datenverkehr des Rings (28) hinsichtlich zumindest einer Teilnehmerkennung (TK; MA) gefiltert wird,
- für einen ringexternen Teilnehmer (22, 36) zumindest eine Maßnahme betreffend eine Teilnehmerkennung (MA) dieses Teil- nehmers (22, 36) derart getroffen wird, dass diese hinsicht¬ lich der Filterfunktion für einen Datenverkehr im Ring (28) zulässig ist.
EP15738003.1A 2014-06-27 2015-06-25 Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs Withdrawn EP3138242A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014212484.0A DE102014212484A1 (de) 2014-06-27 2014-06-27 Datennetzwerk einer Einrichtung, insbesondere eines Fahrzeugs
PCT/EP2015/064360 WO2015197758A1 (de) 2014-06-27 2015-06-25 Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs

Publications (1)

Publication Number Publication Date
EP3138242A1 true EP3138242A1 (de) 2017-03-08

Family

ID=53546579

Family Applications (1)

Application Number Title Priority Date Filing Date
EP15738003.1A Withdrawn EP3138242A1 (de) 2014-06-27 2015-06-25 Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs

Country Status (6)

Country Link
US (1) US20170134342A1 (de)
EP (1) EP3138242A1 (de)
CN (1) CN106537870A (de)
DE (1) DE102014212484A1 (de)
RU (1) RU2668722C2 (de)
WO (1) WO2015197758A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6497656B2 (ja) * 2015-07-03 2019-04-10 パナソニックIpマネジメント株式会社 通信方法およびそれを利用した通信装置
DE102017220370A1 (de) * 2017-11-15 2019-05-16 Siemens Mobility GmbH System und Verfahren zum geschützten Übertragen von Daten
CN108599989B (zh) * 2018-03-20 2021-09-10 中车青岛四方机车车辆股份有限公司 一种mvb总线检测方法及装置
WO2019213779A1 (en) 2018-05-10 2019-11-14 Miovision Technologies Incorporated Blockchain data exchange network and methods and systems for submitting data to and transacting data on such a network
CN112087351B (zh) * 2020-09-24 2022-02-11 山东交通学院 一种远程列车网络通信接口测试方法
EP4060946A1 (de) * 2021-03-16 2022-09-21 Siemens Aktiengesellschaft Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011076350A1 (de) * 2011-05-24 2012-11-29 Siemens Aktiengesellschaft Verfahren und Steuereinheit zur Erkennung von Manipulationen an einem Fahrzeugnetzwerk

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100472506C (zh) * 2001-06-15 2009-03-25 先进网络科技私人有限公司 具有唯一标识的计算机网络以及为节点提供服务的nat相关方法
CN1812300B (zh) * 2005-01-28 2010-07-07 武汉烽火网络有限责任公司 环型网络连接控制方法、路由交换设备及环型网络***
CN100481805C (zh) * 2005-11-24 2009-04-22 杭州华三通信技术有限公司 环型以太网及其业务承载实现方法
US8782771B2 (en) * 2007-06-19 2014-07-15 Rockwell Automation Technologies, Inc. Real-time industrial firewall
JP2011223396A (ja) * 2010-04-12 2011-11-04 Toshiba Corp アドレス配布方法及び装置
DE102010026433A1 (de) * 2010-07-08 2012-01-12 Siemens Aktiengesellschaft Steuernetzwerk für ein Schienenfahrzeug
DE102010033230A1 (de) * 2010-08-03 2012-02-09 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Einbinden eines Gerätes in ein Netzwerk
JP5376066B2 (ja) * 2010-09-29 2013-12-25 富士通株式会社 リングネットワークを構築する方法
US9166952B2 (en) * 2012-10-15 2015-10-20 Thales Canada Inc Security device bank and a system including the and SD security device bank

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011076350A1 (de) * 2011-05-24 2012-11-29 Siemens Aktiengesellschaft Verfahren und Steuereinheit zur Erkennung von Manipulationen an einem Fahrzeugnetzwerk

Also Published As

Publication number Publication date
CN106537870A (zh) 2017-03-22
RU2668722C2 (ru) 2018-10-02
DE102014212484A1 (de) 2015-12-31
RU2017102519A3 (de) 2018-08-02
WO2015197758A1 (de) 2015-12-30
RU2017102519A (ru) 2018-08-02
US20170134342A1 (en) 2017-05-11

Similar Documents

Publication Publication Date Title
WO2015197758A1 (de) Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs
EP2954498B1 (de) Verfahren und vorrichtung zum verbinden eines diagnosegeräts mit einem steuergerät in einem kraftfahrzeug
EP2684154B1 (de) Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk
EP3523930B1 (de) Kraftfahrzeug mit einem fahrzeuginternen datennetzwerk sowie verfahren zum betreiben des kraftfahrzeugs
EP2721784B1 (de) Verfahren zum betreiben einer netzwerkanordnung und netzwerkanordnung
DE102010026433A1 (de) Steuernetzwerk für ein Schienenfahrzeug
DE102011077409A1 (de) Verbindungsknoten für ein Kommunikationsnetz
WO2016134855A1 (de) Kraftfahrzeug-kommunikationsnetzwerk mit switchvorrichtung
EP3496975B1 (de) Kraftfahrzeug mit einem in mehrere getrennte domänen eingeteilten datennetzwerk sowie verfahren zum betreiben des datennetzwerks
WO2012143260A1 (de) Verfahren und vorrichtung zur steuerungs-kommunikation zwischen gekoppelten zugteilen
EP3266186B1 (de) Netzwerkgerät und verfahren zum zugriff einer netzwerkkomponente auf ein datennetz
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
EP4054143A1 (de) Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage
DE102014214225A1 (de) Schienenfahrzeug mit einer Datenkommunikationseinrichtung
EP1496664A2 (de) Vorrichtung und Verfahren sowie Sicherheitsmodul zur Sicherung eines Datenzugriffs eines Kommunikationsteilnehmers auf mindestens eine Automatisierungskomponente eines Automatisierungssystems
EP2721803B1 (de) Verfahren und vorrichtung zur gesicherten veränderung einer konfigurationseinstellung eines netzwerkgerätes
EP1645098A1 (de) Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes
EP4060947A1 (de) Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage
EP4060946A1 (de) Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage
DE102021210917A1 (de) Kommunikationssystem und Kommunikationsverfahren mit einer Statusnachricht
DE102020209043A1 (de) Verfahren zum Betreiben eines Netzwerks und Bypassverbindungseinheit
EP1509004A1 (de) Verfahren zum Betrieb zweier Teilnetze mit Buscharakter sowie Netzstruktur

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20161129

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS MOBILITY GMBH

17Q First examination report despatched

Effective date: 20190524

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20191005