Beschreibung
Verfahren und Vorrichtung zur Übertragung von Nachrichten in Echtzeit
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Übertragung zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs.
Bei der Datenübertragung in geschlossenen Netzen müssen, insbesondere bei sicherheitsrelevanten Anwendungen, eine Verzögerung von Daten, eine Vertauschung von Daten, eine Auslassung von Daten und eine Datenverfalschung vermieden bzw. ausgeschlossen werden. Weiterhin muss eine korrekte Übertragung von Daten an den richtigen Empfanger gewahrt werden. Fahrzeuge, insbesondere auch schienengebundene Fahrzeuge, verfugen über eine Vielzahl von Komponenten bzw. Bauelementen, wie etwa eine Bremssteuerung, eine Antriebssteuerung, eine Sanitar- anlagensteuerung oder eine Klimaanlagensteuerung, die über einen Fahrzeugbus mit einem Server bzw. einer zentralen Steuerung verbunden sind. Jede dieser Komponenten bzw. Bauelemente sendet und empfangt Daten. Die Komponenten sind beispielsweise über einen Ethernet-Bus miteinander verbunden. Insbesondere bei sicherheitskritischen Anwendungen in Echtzeit, beispielsweise bei einer Ansteuerung der Bremsen eines Zuges, dürfen die Daten, die über den Fahrzeugbus übertragen werden, nicht verfälscht sein. Eine Verfälschung der Daten konnte zu einem Zugunglück fuhren.
Herkömmliche Systeme zur Übertragung von Nachrichten in Echtzeit zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs bieten lediglich applikative Sicherungsmechanismen, wie beispielsweise CRC (Cyclic Redundancy Check) oder andere Checksummen für die übertragenen Telegramme bzw. Nachrichten ein. Zur Überprüfung, ob eine Nachricht unverfälscht angekommen ist, prüft dabei der Empfanger die empfangene Nachricht mittels einer Checksumme. Dies ist allerdings problematisch, wenn mehrere und gegebenenfalls auch weniger vertrauenswurdi-
gere Kommunikationspartner in dem Kommunikationspfad liegen bzw. Zugang zu dem Netz haben. Es kann bei herkömmlichen Systemen bei einer Datenverfalschung nicht nachgewiesen werden, ob diese durch einen internen Fehler oder durch einen syste- matischen Fehler hervorgerufen wurde, wobei die empfangene Nachricht von anderen Kommunikationspartnern abgesendet und gegebenenfalls verfälscht wurde. Insbesondere gegenmutwillige Hackerangriffe bieten herkömmliche Systeme keinen ausreichenden Schutz.
Der Erfindung liegt die Aufgabe zugrunde ein Verfahren und eine Vorrichtung zur Übertragung einer Nachricht in Echtzeit zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs zu schaffen, bei der eine Verfälschung der Nachrichten verhindert wird.
Diese Aufgabe wird erfindungsgemaß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelost.
Die Erfindung schafft ein Verfahren zur Übertragung einer Nachricht zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs mit folgenden Schritten:
(a) Verschlüsseln von sicherheitsrelevanten Echtzeit-Daten einer Nachricht einschließlich einer Sender-ID eines Senders innerhalb des geschlossenen Netzes mit einem privaten Schlüssel des Senders zur Erzeugung einer verschlüsselten Nachricht;
(b) Übertragen der verschlüsselten Nachricht zusammen mit der unverschlüsselten Sender-ID des Senders von dem Sender über einen Fahrzeugbus zu einem Empfanger innerhalb des geschlossenen Netzes;
(c) Entschlüsseln der verschlüsselten Nachricht durch den
Empfanger mittels eines öffentlichen Schlüssels des durch die empfangene unverschlüsselte Sender-ID bezeichneten Senders zur Wiedergewinnung der unverschlüsselten Nachricht;
(d) Vergleichen der empfangenen Sender-ID mit der in der wiedergewonnenen Nachricht enthaltenen Sender-ID zur Feststellung, ob die Übertragung der Nachricht korrekt erfolgt ist.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens berechnet der Sender eine Sende-Prufsumme über die sicherheitsrelevanten abzusendenden Echtzeit-Daten einschließlich der Sender-ID des Senders.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens verschlüsselt der Sender die berechnete Sende-Prufsumme mit einem privaten Schlüssel des Senders zur Erzeugung einer verschlüsselten Prüfsumme.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens übertragt der Sender die verschlüsselte Sende-Prufsumme zusammen mit den sicherheitsrelevanten Echtzeit-Daten einschließlich der Sender-ID an den Empfanger über den Fahrzeugbus .
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens entschlüsselt der Empfanger die über den Fahrzeugbus empfangene verschlüsselte Sende-Prufsumme mittels eines öffentlichen Schlüssels des durch die empfangene unverschlüsselte Sender-ID bezeichneten Senders zur Ermittlung einer ersten Empfangsprufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens berechnet der Empfanger über die empfangenen sicherheitsrele- vanten Echtzeit-Daten einschließlich der Sender-ID des Senders eine zweite Empfangs-Prufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens erkennt der Empfanger eine korrekte Übertragung der sicher- heitsrelevanten Daten und der Sender-ID, wenn die erste Emp- fangs-Prufsumme und die zweite Empfangs-Prufsumme identisch sind.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens übertragt der Sender die verschlüsselte Sendeprufsumme zusammen mit den sicherheitsrelevanten Echtzeit-Daten einschließlich der Sender-ID und zusammen mit der unverschlüsselten Sende-Prufsumme an den Empfanger über den Fahrzeugbus.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens entschlüsselt der Empfanger die über den Ubertragungskanal empfangene verschlüsselte Sende-Prufsumme mittels eines of- fentlichen Schlüssels des durch die empfangene unverschlüsselte Sender-ID bezeichneten Senders zur Ermittlung einer ersten Empfangs-Prufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens empfangt der Empfanger die übertragene unverschlüsselte Sen- de-Prufsumme als zweite Empfangs-Prufsumme und vergleicht diese mit der ermittelten ersten Empfangs-Prufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens erkennt der Empfanger eine korrekte Übertragung der sicherheitsrelevanten Daten und der Sender-ID, wenn die erste Emp- fangs-Prufsumme und die zweite Empfangs-Prufsumme übereinstimmen .
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens werden die Prufsummen mittels eines CRC (Cyclic Redundancy Check) -Verfahrens gebildet.
Bei einer möglichen Ausfuhrungsform des erfindungsgemaßen Verfahrens wird das Fahrzeug durch ein schienengebundenes Fahrzeug gebildet.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens wird der Sender durch eine Steuereinheit innerhalb des Fahrzeugs gebildet.
Bei einer weiteren Ausfuhrungsform des erfindungsgemaßen Verfahrens wird der Empfanger durch eine zentrale Steuereinheit innerhalb des Fahrzeugs gebildet.
Bei einer weiteren Ausfuhrungsform des erfindungsgemaßen Verfahrens werden mehrere Steuereinheiten über einen gemeinsamen Fahrzeugbus mit der zentralen Steuereinheit verbunden.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens wird die Steuereinheit durch eine Bremssteuerung, eine Antriebssteuerung, eine Sanitaranlagensteuerung oder eine Klimaanlagensteuerung gebildet.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens weisen die von den Steuereinheiten abgegebenen Echtzeit-Daten unterschiedliche Prioritatsstufen auf.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens wird eine Schlussellange eines Schlüssels zur Verschlüsselung der Echtzeit-Daten in Abhängigkeit von der jeweiligen Priori- tatsstufe der Echtzeit-Daten eingestellt.
Bei einer Ausfuhrungsform des erfindungsgemaßen Verfahrens werden die Echtzeit-Daten mit einer hohen Prioritatsstufe und mit einer geringen erlaubten Reaktionszeit zur Minimierung der für die Verschlüsselung und Entschlüsselung benotigten Zeit mit einem Schlüssel kurzer Schlussellange verschlüsselt.
Dabei betragt die Schlussellange (L) ≤ 128 Bit.
Bei einer weiteren Ausfuhrungsform betragt die Schlussellange (L) ≤ 56 Bit.
Die Erfindung schafft ferner ein System zur Übertragung von Nachrichten in Echtzeit zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs mit den im Patentanspruch 24 angegebenen Merkmalen.
Die Erfindung schafft ein System zur Übertragung von Nachrichten in Echtzeit zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs mit:
(a) mindestens einem Sender, der zu übertragende sicherheitsrelevante Echtzeit-Daten einer Nachricht einschließlich einer Sender-ID des Senders mit einem privaten Schlüssel des Sen- ders zur Erzeugung einer verschlüsselten Nachricht verschlüsselt;
(b) einem Fahrzeugbus zur Übertragung der verschlüsselten Nachricht zusammen mit der unverschlüsselten Sender-ID des Senders;
(c) und mit mindestens einem Empfanger, der die empfangene verschlüsselte Nachricht mittels eines öffentlichen Schlüssels des durch die empfangene unverschlüsselte Sender-ID be- zeichneten Senders zur Wiedergewinnung der unverschlüsselten Nachricht entschlüsselt und die empfangene Sender-ID mit der in der wiedergewonnenen Nachricht enthaltenen Sender-ID vergleicht, um festzustellen, ob die Übertragung der Nachricht korrekt erfolgt ist.
Die Erfindung schafft ferner einen Sender innerhalb eines geschlossenen Netzes eines Fahrzeugs mit den im Patentanspruch 25 angegebenen Merkmalen.
Die Erfindung schafft einen Sender innerhalb eines geschlossenen Netzes eines Fahrzeugs, der zur sicheren Übertragung einer Nachricht sicherheitsrelevante Echtzeit-Daten der Nachricht einschließlich einer Sender-ID des Senders mit einem privaten Schlüssel des Senders zur Erzeugung einer verschlus- selten Nachricht verschlüsselt und die verschlüsselte Nachricht zusammen mit der unverschlüsselten Sender-ID des Senders über einen Fahrzeugbus an einen Empfanger sendet.
In einer Ausfuhrungsform des erfindungsgemaßen Senders, be- rechnet der Sender eine Sende-Prufsumme für die sicherheitsrelevanten abzusendenden Echtzeit-Daten einschließlich der Sender-ID des Senders.
Bei einer Ausfuhrungsform des erfindungsgemaßen Senders verschlüsselt der Sender die berechnete Sende-Prufsumme mit einem privaten Schlüssel des Senders zur Erzeugung einer verschlüsselten Sende-Prufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Senders übertragt der Sender die verschlüsselte Sende-Prufsumme an den Empfanger über den Fahrzeugbus.
Bei einer Ausfuhrungsform des erfindungsgemaßen Senders übertragt der Sender die verschlüsselte Sende-Prufsumme zusammen mit den sicherheitsrelevanten Echtzeit-Daten und zusammen mit der unverschlüsselten Sende-Prufsumme an den Empfanger über den Fahrzeugbus.
Die Erfindung schafft ferner einen Empfanger innerhalb eines geschlossenen Netzes eines Fahrzeugs, der eine empfangene verschlüsselte Nachricht mittels eines öffentlichen Schlüssels, der durch eine unverschlüsselte Sender-ID bezeichnet wird, welche zusammen mit der verschlüsselten Nachricht empfangen wird, zur Wiedergewinnung der unverschlüsselten Nachricht entschlüsselt und die empfangene Sender-ID mit der in der wiedergewonnenen Nachricht enthaltenen Sender-ID vergleicht, um festzustellen, ob die Übertragung der Nachricht korrekt erfolgt ist.
Bei einer Ausfuhrungsform des erfindungsgemaßen Empfangers entschlüsselt der Empfanger die über den Fahrzeugbus empfangene verschlüsselte Sende-Prufsumme mittels eines öffentlichen Schlüssels des durch die empfangene unverschlüsselte Sender-ID bezeichneten Senders zur Ermittlung einer ersten Empfangs-Prufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Empfangers berechnet der Empfanger über die empfangenen sicherheitsrele- vanten Echtzeit-Daten einschließlich der Sender-ID des Senders eine zweite Empfangs-Prufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Empfangers erkennt der Empfanger eine korrekte Übertragung der sicherheitsrelevanten Echtzeit-Daten und der Sender-ID, wenn die erste Empfangs-Prufsumme und die zweite Empfangs-Prufsumme identisch sind.
Bei einer Ausfuhrungsform des erfindungsgemaßen Empfangers entschlüsselt der Empfanger die über den Fahrzeugbus empfangene verschlüsselte Sende-Prufsumme mittels eines offentli- chen Schlüssels des durch die empfangene unverschlüsselte Sender-ID bezeichneten Senders zur Ermittlung einer ersten Empfangs-Prufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Empfangers empfangt der Empfanger die übertragene unverschlüsselte Sen- de-Prufsumme als zweite Empfangs-Prufsumme und vergleicht diese mit der ermittelten ersten Empfangs-Prufsumme .
Bei einer Ausfuhrungsform des erfindungsgemaßen Empfangers erkennt der Empfanger eine korrekte Übertragung der sicherheitsrelevanten Echtzeit-Daten und der Sender-ID, wenn die erste Empfangs-Prufsumme und die zweite Empfangs-Prufsumme übereinstimmen .
Die Erfindung schafft ferner ein Computerprogramm zur Durchfuhrung eines Verfahrens zur Übertragung einer Nachricht in Echtzeit zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs mit den folgenden Schritten:
(a) Verschlüsseln von sicherheitsrelevanten Echtzeit-Daten einer Nachricht einschließlich einer Sender-ID eines Senders innerhalb des geschlossenen Netzes mit einem privaten Schlüssel des Senders zur Erzeugung einer verschlüsselten Nachricht;
(b) Übertragen der verschlüsselten Nachricht zusammen mit der unverschlüsselten Sender-ID des Senders von dem Sender über
einen Fahrzeugbus zu einem Empfanger innerhalb des geschlossenen Netzes;
(c) Entschlüsseln der verschlüsselten Nachricht durch den Empfanger mittels eines öffentlichen Schlüssels des durch die empfangene unverschlüsselte Sender-ID bezeichneten Senders zur Wiedergewinnung der unverschlüsselten Nachricht;
(d) Vergleichen der empfangenen Sender-ID mit der in der wie- dergewonnenen Nachrichtenthaltenen Sender-ID zur Feststellung ob die Übertragung der Nachricht korrekt erfolgt ist.
Die Erfindung schafft ferner einen Datenträger zur Speicherung eines derartigen Computerprogramms.
Im Weiteren werden bevorzugte Ausfuhrungsformen des erfin- dungsgemaßen Verfahrens und Systems unter Bezugnahme auf der schematischen Zeichnung zur Erläuterung erfindungswesentlicher Merkmale beschrieben:
Figur 1 ein Blockschaltbild einer möglichen Ausfuhrungsform des erfindungsgemaßen Systems zur Übertragung von Nachrichten in Echtzeit zwischen Teilnehmern in einem geschlossenen Netz eines Fahrzeugs gemäß der Erfin- düng;
Figur 2 ein Ablaufdiagramm einer möglichen Ausfuhrungsform des erfindungsgemaßen Verfahrens in einem geschlossenen Netz eines Fahrzeugs gemäß der Erfindung;
Figur 3 ein Blockschaltbild einer möglichen Ausfuhrungsform eines erfindungsgemaßen Senders und eines erfindungs- gemaßen Empfangers .
Wie man aus Figur 1 erkennen kann, weist ein Fahrzeug 1, beispielsweise ein schienengebundenes Fahrzeug, einen internen Fahrzeugbus 2 auf. Bei dem Fahrzeug 1 kann es sich um einen Zug mit einem Antriebswagen und mehreren Wagons handeln. Die
Wagons sind untereinander verkoppelt und an den Zugwagen angehängt. Die Verkoppelung der Wagons und des Zugwagens erfolgt mechanisch und elektrisch, so dass der Fahrzeugbus 2 auch Sender und Empfänger in verschiedenen Wagons miteinander verbindet. Der Fahrzeugbus 2 innerhalb des Fahrzeugs 1 verbindet mehrere daran angeschlossene elektronische Baukomponenten. Diese elektronischen Baukomponenten sind beispielsweise Steuereinheiten. Die Steuereinheiten innerhalb eines schienengebundenen Fahrzeugs 1 sind z. B. Bremssteuereinhei- ten, Antrieb- und Klimaanlagensteuerungen. Diese verschiedenen Steuereinheiten können mit einem Server verbunden sein, der sich beispielsweise in einem Antriebswagen befindet. Die Steuereinheiten tauschen über den Fahrzeugbus 2 untereinander Daten aus, die beispielsweise mittels Datenpaketen übertragen werden. In einer alternativen Ausführungsform sind den verschiedenen Steuereinheiten vorgegebene Zeitschlitze zugewiesen. Eine Sendeeinheit 3 sendet Daten über den Fahrzeugbus 2 zu einem Empfänger 4 innerhalb des Fahrzeugs 1. Die Daten können sicherheitsrelevante Echtzeit-Daten sein, die in einer Nachricht zwischen den Teilnehmern 3, 4 ausgetauscht werden. Bei dem erfindungsgemäßen System, wie es in Figur 1 dargestellt ist, verschlüsselt der Sender 3 die zu übertragenden sicherheitsrelevanten Echtzeit-Daten D einer Nachricht N einschließlich einer Sender-ID A-ID des Senders 3 mit einem pri- vaten Schlüssel Kpriv des Senders 3 zur Erzeugung einer verschlüsselten Nachricht N'. Diese verschlüsselte Nachricht N' wird anschließend von dem Sender 3 über den Fahrzeugbus 2 zusammen mit der unverschlüsselten Sender-ID A-ID des Senders 3 übertragen. Der Empfänger 4 entschlüsselt die empfangene ver- schlüsselte Nachricht N' mittels eines öffentlichen Schlüssels Kpubiic des durch die empfangene unverschlüsselte Sender- ID A-ID bezeichneten Senders 3 zur Wiedergewinnung der unverschlüsselten Nachricht N. Der Empfänger 4 vergleicht die unverschlüsselt übertragene und empfangene Sender-ID A-ID mit der in der wiedergewonnenen Nachricht N enthaltenen Sender- ID, um festzustellen, ob die Übertragung der Nachricht N korrekt erfolgt ist. Erkennt der Empfänger 4, dass die Nachricht
N nicht korrekt übertragen worden ist, erfolgt eine Fehlerbehandlung .
Figur 2 zeigt ein Ablaufdiagramm einer möglichen Ausführungs- form einer Echtzeit-Daten-Übertragung zwischen Teilnehmern. Nach einem Startschritt SO, der in regelmäßigen Zeitabständen bzw. in Reaktion auf ein Ereignis erfolgt, werden in einem ersten Schritt Sl die sicherheitsrelevanten Echtzeit-Daten D einer Nachricht N einschließlich der Sender-ID A-ID des Sen- ders 3 innerhalb des geschlossenen Netzes mit einem privaten Schlüssel KprivA des Senders 3 zur Erzeugung einer verschlüsselten Nachricht N' verschlüsselt.
Anschließend wird im Schritt S2 die verschlüsselte Nachricht N' zusammen mit einer unverschlüsselten Sender-ID A-ID des
Senders 3 von dem Sender 3 über den Fahrzeugbus 2 zu dem Empfänger 4 innerhalb des geschlossenen Netzes übertragen.
In einem weiteren Schritt S3 wird die empfangene verschlüs- selte Nachricht N' durch den Empfänger 4 mittels eines öffentlichen Schlüssels (Kpubiic) des durch die empfangene unverschlüsselte Sender-ID bezeichneten Senders 3 zur Wiedergewinnung der unverschlüsselten Nachricht N entschlüsselt.
In einem weiteren Schritt S4 vergleicht der Empfänger 4 die empfangene Sender-ID A-ID mit der in der wiedergewonnenen Nachricht N enthaltenen Sender-ID, um festzustellen, ob die Übertragung der Nachricht korrekt erfolgt ist oder nicht.
Figur 3 verdeutlicht die Vorgehensweise bei einer möglichen
Ausführungsform. Eine zu übertragende Nachricht N, welche sicherheitsrelevante Echtzeit-Daten D und eine Sender-ID A-ID enthält, ist von dem Sender 3 zu dem Empfänger 4 zu übertragen. Die Sender-ID A-ID der zu übertragenden Nachricht N ad- ressiert bei der in Figur 3 dargestellten Ausführungsform eine Speicherzelle innerhalb eines Speichers 3A zum Auslesen eines privaten Schlüssels KprivA des Senders 3. Die sicherheitsrelevanten Echtzeit-Daten D der zu übertragenden Nach-
rieht N werden einschließlich der Sender-ID A-ID des Senders 3 mit dem ausgelesenen privaten Schlüssel KprivA des Senders zur Erzeugung einer verschlüsselten Nachricht N' verschlüsselt. Die Verschlüsselung der Echtzeit-Daten D und der Sen- der-ID des Senders 3 erfolgt durch eine Verschlüsselungseinheit 3B innerhalb des Senders 3. Der Sender 3 sendet anschließend die verschlüsselte Nachricht N' zusammen mit der unverschlüsselten Sender-ID des Senders 3 über den Fahrzeugbus 2 zu dem Empfänger 4.
Der Empfänger 4 entschlüsselt die über den Fahrzeugbus 2 empfangene verschlüsselte Nachricht N' mittels eines öffentlichen Schlüssels (KpubilcA) , der durch die empfangene unverschlüsselte Sender-ID A-ID bezeichnet wird. Die empfangene unverschlüsselte Sender-ID adressiert eine Speicherzelle bzw. einen Speicherbereich in einem Speicher 4A des Empfängers 4 zum Auslesen des zugehörigen öffentlichen Schlüssels KpubilcA. Mit Hilfe des ausgelesenen öffentlichen Schlüssels KpubilcA entschlüsselt eine Entschlüsselungseinheit 4B des Empfängers 4 die empfangene verschlüsselte Nachricht N' zur Wiedergewinnung der unverschlüsselten Nachricht N und zur Wiedergewinnung der in der verschlüsselten Nachricht N' enthaltenen Sender-ID A-ID. Diese wiedergewonnene Sender-ID A-ID' wird durch eine Vergleichseinheit 4C innerhalb des Empfängers 4 mit der unverschlüsselt übertragenen Sender-ID A-ID verglichen, um festzustellen, ob die Übertragung der Nachricht korrekt erfolgt ist oder nicht korrekt erfolgt ist. Weicht die unverschlüsselt übertragene Sender-ID A-ID von der aus der entschlüsselten Nachricht N' wiedergewonnenen Sender-ID A-ID' ab, ist bei der Übertragung der Nachricht ein Fehler erfolgt. In diesem Falle wird eine Fehlerbehandlung eingeleitet.
Bei einer ersten Ausführungsform des erfindungsgemäßen Verfahrens berechnet der Sender 3 eine Sende-Prüfsumme C über die sicherheitsrelevanten Echtzeit-Daten D einschließlich der Sender-ID des Senders 3. Die Verschlüsselungseinheit 3B des Senders 3 verschlüsselt die berechnete Sende-Prüfsumme C mittels des ausgelesenen privaten Schlüssels KprivA des Senders 3
zur Erzeugung einer verschlüsselten Prüfsumme C'. Diese verschlüsselte Sende-Prüfsumme C' wird von dem Sender 3 zusammen mit den sicherheitsrelevanten Echtzeit-Daten D einschließlich der Sender-ID A-ID des Senders 3 über den Fahrzeugbus 2 an den Empfänger 4 übertragen. Die Entschlüsselungseinheit 4B des Empfängers 4 entschlüsselt die über den Fahrzeugbus 2 empfangene verschlüsselte Sende-Prüfsumme C mittels des aus dem Speicher 4A ausgelesenen öffentlichen Schlüssels KpubilcA des durch die empfangene unverschlüsselte Sender-ID bezeich- neten Senders 3 zur Ermittlung einer ersten Empfangs-
Prüfsumme Ci. Darüber hinaus berechnet der Empfänger 4 über die empfangenen sicherheitsrelevanten Echtzeit-Daten D und die entschlüsselte Nachricht einschließlich der Sender-ID des Senders 3 eine zweite Empfangs-Prüfsumme C2. Die erste Emp- fangs-Prüfsumme Ci und die zweite Empfangs-Prüfsumme C2 werden anschließend miteinander verglichen. Der Empfänger 4 erkennt eine korrekte Übertragung der sicherheitsrelevanten Daten D und der Sender-ID, wenn die erste Empfangs-Prüfsumme Ci und die zweite Empfangs-Prüfsumme C2 identisch sind.
Bei einer zweiten alternativen Ausführungsform des erfindungsgemäßen Verfahrens überträgt der Sender 3 die verschlüsselte Sende-Prüfsumme C zusammen mit den sicherheitsrelevanten Echtzeit-Daten D einschließlich der Sender-ID und zusam- men mit der unverschlüsselten Sende-Prüfsumme C an den Empfänger 4 über den Fahrzeugbus 2. Die Entschlüsselungseinheit 4B innerhalb des Empfängers 4 entschlüsselt die über den Fahrzeugbus 2 empfangene verschlüsselte Sende-Prüfsumme C mittels des ausgelesenen öffentlichen Schlüssels KpubilcA des durch die empfangene unverschlüsselte Sender-ID A-ID bezeichneten Senders 3 zur Ermittlung einer ersten Empfangs- Prüfsumme Ci. Der Empfänger 4 empfängt die übertragene unverschlüsselte Sende-Prüfsumme C als zweite Empfangs-Prüfsumme C2 und vergleicht diese mit der ermittelten ersten Empfangs- Prüfsumme Ci. Der Empfänger 4 erkennt eine korrekte Übertragung der sicherheitsrelevanten Daten und der Sender-ID, wenn die erste Empfangs-Prüfsumme Ci und die zweite Empfangs- Prüfsumme C2 übereinstimmen.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Prüfsummen mittels eines CRC (Cyclic Redundancy Check) -Verfahrens gebildet. Das erfindungsgemäße Verfahren verwendet ein asymmetrisches Verschlüsselungsverfahren als Sicherheitsnachweis bzw. als Nachweis für eine korrekte Übertragung einer Nachricht. Dabei ist ein Nachweis der Korrektheit der Daten D des Senders 3 und somit eine ap- plikative Sicherung möglich. Jeder an dem Fahrzeugbus 2 ange- schlossene Kommunikationsteilnehmer erhält hierzu einen öffentlichen und einen privaten geheimen Schlüssel. Der sicherheitsrelevante Datenanteil der Nachricht bzw. des Telegramms einschließlich der Sender-ID des Senders 3 wird mit dem privaten Schlüssel Kpriv des Senders 3 verschlüsselt und als Nachricht zusammen mit der unverschlüsselten Information, wer der Sender ist, übertragen. Der Empfänger 4 kann dann mittels des öffentlichen Schlüssels Kpubiic des Senders 3 die Nachricht des Senders 3 entschlüsseln. Mit dem erfindungsgemäßen Verfahren ist eine Datenverfälschung auf dem Kommunikationsweg ebenso identifizierbar wie eine fälschliche Vorspiegelung des Senders 3. Die übertragenen Daten werden mit dem erfindungsgemäßen Verfahren nicht nur gegen technische Verfälschungen, sondern auch gegen mutwillige Hackerangriffe geschützt.
Das erfindungsgemäße Verfahren ermöglicht eine Kommunikation zwischen beliebig vielen Teilnehmern und eignet sich somit für die Kommunikation in geschlossenen Netzen, die auch eine relativ hohe Anzahl von miteinander kommunizierenden Komponenten haben.
Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens weisen die von den Komponenten bzw. Steuereinheiten abgegebenen Echtzeit-Daten D unterschiedliche Prioritätsstufen auf. Beispielsweise haben Echtzeit-Daten für die Bremssteuerung eine höhere Priorität als Echtzeit-Daten für die Sanitäranlagensteuerung. Da bei besonders sicherheitskritischen Echtzeit-Daten nur eine sehr geringe Verzögerungszeit auftreten darf, wird bei einer Ausführungsform des erfin-
dungsgemäßen Verfahrens die Schlüssellänge L eines Schlüssels K zur Verschlüsselung der Echtzeit-Daten D in Abhängigkeit von der jeweiligen Prioritätsstufe der Echtzeit-Daten D eingestellt. Je geringer die Schlüssellänge L ist, desto schnel- ler können Echtzeit-Daten verschlüsselt und wieder entschlüsselt werden. Allerdings bieten auch Schlüssel mit einer relativ geringen Schlüssellänge L von beispielsweise weniger als 56 Bit immer noch einen ausreichenden Schutz gegen Manipulationsversuche Dritter. Da bei sicherheitskritischen Echtzeit- Daten D nur sehr geringe Verzögerungszeiten auftreten dürfen, werden daher Echtzeit-Daten mit einer sehr hohen Prioritätsstufe, d. h. Echtzeit-Daten die besonders sicherheitskritisch und zeitkritisch sind, mittels eines Schlüssels K mit kurzer Schlüssellänge L verschlüsselt, während andere Daten mit ge- ringerer Prioritätsstufe mit einem Schlüssel K größerer
Schlüssellänge L verschlüsselt werden. Echtzeit-Daten D mit einer hohen Prioritätsstufe und mit einer geringen erlaubten Reaktionszeit werden daher zur Minimierung der für die Verschlüsselung und Entschlüsselung benötigten Zeit mit einem Schlüssel K kurzer Schlüssellänge L verschlüsselt, der beispielsweise eine Schlüssellänge L von weniger als 128 Bit aufweist .
Bei einer möglichen Ausführungsform werden Echtzeit-Daten D mit einer hohen Prioritätsstufe und mit einer geringen erlaubten Reaktionszeit mit einem Schlüssel K verschlüsselt, der eine Schlüssellänge L von weniger als 56 Bit aufweist.
Die übertragenen Echtzeit-Daten D sind beliebige Echtzeit- Daten, beispielsweise Sensordaten, die von Sensoren generiert werden, oder Steuerdaten, die von einer Steuerung übertragen werden .
Bei dem Fahrzeug 1 handelt es sich beispielsweise um ein schienengebundenes Fahrzeug wie einen Zug. Bei dem Fahrzeug 1 kann es sich allerdings auch um andere Fahrzeuge handeln, die über ein internes geschlossenes Netz verfügen, beispielsweise um Flugzeuge, Schiffe oder Kraftfahrzeuge.