[发明专利]用于将消息从发送装置安全传输到接收装置的方法和设备

说明书

本发明涉及一种用于将消息(N)从发送装置(11)传输到接收装置(21)的方法。根据本发明规定，由发送装置产生的、包括消息和利用消息形成的检验数据(P)的报文(T)被传输到发送器侧的访问保护装置(12)；发送器侧的访问保护装置修改报文(T)，并且随后经由连接(30)将其传输到接收器侧的访问保护装置(22)，其中，发送器侧的访问保护装置以如下方式修改报文，即发送器侧的访问保护装置利用秘密密钥在形成编码数据的情况下加密整个检验数据或至少一部分检验数据，其包含由发送装置利用消息形成的安全代码(SC)，并且在报文中通过编码数据代替已加密的检验数据，其中，报文中的消息(N)保持未加密；接收器侧的访问保护装置对修改的报文(T’)进行处理，并且将已处理的报文(T”)转发至接收装置(21)，其中，接收器侧的访问保护装置(22)形成已处理的报文(T”)，其方法是，接收器侧的访问保护装置解密编码数据，并且通过解密的编码数据代替报文中的编码数据；并且接收装置根据包含在已处理的报文中的消息(N)和包含在已处理的报文中的检验数据(P)检验已处理的报文，并且当检验数据与消息不相关联时，丢弃消息。

本发明涉及一种用于将消息从发送装置安全传输到接收装置的方法，尤其是适用于在铁路自动化或信号技术中以及轨道车辆技术中使用的方法。这种方法例如在文献DE10 2016 205 126 A1和DE 100 11 887 A1中以及在安全标准EN 50129和EN 50159中描述。

本发明所要解决的技术问题在于，说明一种提供高程度的传输安全性的方法。

根据本发明，上述技术问题通过具有根据权利要求1的特征的方法来解决。在从属权利要求中说明了该方法的有利的设计方案。

据此，根据本发明规定了，由发送装置产生的、包括消息和利用消息形成的检验数据的报文被传输到发送器侧的访问保护装置。发送器侧的访问保护装置以如下方式修改报文，即发送器侧的访问保护装置利用秘密密钥在形成编码数据的情况下加密整个检验数据或至少一部分检验数据，该至少一部分检验数据包含由发送装置利用消息形成的安全代码，并且在报文中通过编码数据代替已加密的检验数据，其中，报文中的消息保持未加密。发送器侧的访问保护装置随后经由连接、尤其是潜在不安全的或潜在可攻击的传输介质将修改的报文传输到接收器侧的访问保护装置。接收器侧的访问保护装置对修改的报文进行处理，并且将已处理的报文转发至接收装置。接收器侧的访问保护装置形成已处理的报文，其方法是，接收器侧的访问保护装置解密编码数据，并且通过解密的编码数据代替报文中的编码数据。接收装置根据包含在已处理的报文中的消息和包含在已处理的报文中的检验数据检验已处理的报文，并且当检验数据与消息不相关联时，丢弃消息。

根据本发明的方法的重要的优点是，可以基于已知的发送装置和接收装置执行该方法，而不必为此改变或修改已知的发送装置和接收装置；因此在考虑到发送装置和接收装置的情况下可以使用现有的或成熟的产品。具体地，例如可以使用满足具有期望的安全等级的安全标准EN 50129和EN50159的发送装置和接收装置，而不会危害其安全分级。通过根据本发明地使用附加的发送器侧的访问保护装置和附加的接收器侧的访问保护装置，来提高消息传输中的安全性。

根据本发明的方法的另外的重要的优点是，报文中的实际的消息保持未加密，因为仅加密了检验数据，从而该方法也可以用于加密的消息传输受到严格法律限制的国家。

为了防止从外部或从潜在不安全的或潜在可攻击的传输介质出发访问发送装置或至少使该访问变得困难，视为有利的是，在发送装置与发送器侧的访问保护装置之间不存在逻辑连接，并且发送器侧的访问保护装置仅适用于从发送装置接收报文、修改该报文并且输出修改的报文。

为了防止从外部或从潜在不安全的或潜在可攻击的传输介质出发访问接收装置或至少使该访问变得困难，视为有利的是，在接收装置与接收器侧的访问保护装置之间不存在逻辑连接，并且接收器侧的访问保护装置仅适用于处理接收的报文并且转发已处理的报文。