本发明专利技术涉及一种用于监视经由通信网络到达铁路运行设备的信号楼的网络交通的设备,包括网络分流器和网络分离装置,网络分流器用于读取经由通信网络到达信号楼的网络交通以及用于将所读取的到达的网络交通输出到处理器,以检查所读取的到达的网络交通,网络分离装置用于将信号楼与通信网络分离,其中,处理器被构建为,基于对所读取的到达的网络交通的检查的结果来控制网络分离装置,使得网络分离装置将信号楼与通信网络分离。本发明专利技术还涉及一种对应的方法以及一种计算机程序。
Design of network traffic for monitoring arrival signal building
【技术实现步骤摘要】
【国外来华专利技术】用于监视到达信号楼的网络交通的设计
本专利技术涉及用于监视经由通信网络到达铁路运行设备的信号楼的网络交通的一种设备和一种方法。本专利技术还涉及一种计算机程序。
技术介绍
在铁路运行设备的控制中心中,通常使用计算机工作站来设置行驶路线以及监视铁路交通。在信号、行驶路线或行驶释放发生改变之前,通常通过承担安全责任的铁路运行设备的信号楼来监视例如借助计算机工作站进行的并且例如影响铁路部段的状态的操作动作。由于通常计算机工作站与信号楼位于不同的位置,因此该计算机工作站和信号楼通常经由通信网络来连接彼此。因此,这意味着例如可经由通信网络访问信号楼。就此而言,存在如下需求:对信号楼进行保护以防止经由可能危及铁路运行设备的运行安全性的通信网络到达的网络交通。
技术实现思路
因此,本专利技术要解决的技术问题是,提供一种有效的设计,用于有效地监视经由通信网络到达铁路运行设备的信号楼的网络交通。该技术问题借助独立权利要求的相应的内容来解决。本专利技术的有利的设计方案分别是从属权利要求的内容。按照一个方面,提供了一种用于监视经由通信网络到达铁路运行设备的信号楼的网络交通的设备,包括:网络分流器(Netzwerk-TAP),用于读取经由通信网络到达信号楼的网络交通,以及用于将所读取的到达的网络交通输出到处理器,以检查所读取的到达的网络交通,网络分离装置,用于将信号楼与通信网络分离,其中,处理器被构建为基于对所读取的到达的网络交通的检查的结果来控制网络分离装置,使得网络分离装置将信号楼与通信网络分离。按照另一方面,提供了一种用于监视经由通信网络到达铁路运行设备的信号楼的网络交通的方法,包括以下步骤:读取经由通信网络到达信号楼的网络交通;检查所读取的到达的网络交通;基于对所读取的到达的网络交通的检查的结果来将信号楼与通信网络分离。按照另一方面,提供了一种计算机程序,该计算机程序包括程序代码,其用于当在计算机上(例如,在用于监视经由通信网络到达铁路运行设备的信号楼的网络交通的设备上)实施该计算机程序时执行用于监视经由通信网络到达铁路运行设备的信号楼的网络交通的方法。本专利技术基于如下知识:通过网络分流器读取到达的网络交通并将其输出到处理器以对到达的网络交通进行检查来解决上述技术问题。然后依据检查的结果,将信号楼与通信网络分离或不分离。特别地,网络分流器的使用提供了如下技术优点:其在通信网络中不可见,并由此也不被攻击者识别和攻击。此外,网络分流器的使用具有如下技术优点:与所谓的“应用级网关(applicationlevelgateway,ALG)”相比,可以几乎实时地执行对到达的网络交通的读取以及就此而言的对应检查,而没有明显的时间延迟。这种应用级网关虽然也可以检查网络交通,但是在此始终会产生明显的时间偏移,并且通常会改变初始设置的时间行为。时间优点例如取决于所执行的检查的范围。这在ALG的情况下可能容易地处于几毫秒到500ms的范围内,这对于无延迟传输的要求将是无法容忍的。在ALG中,数据必须来回复制多次并通过处理器带入,这已带来了时间损耗。然后还添加实际的“处理时间(Processing-Time)”,即通过处理器的处理时间。因此,ALG不是特别有利。通过将信号楼与通信网络分离,特别地产生了如下技术优点:不再可以经由通信网络到达信号楼。由此,攻击者不再能够继续经由通信网络攻击信号楼。由此,以有利的方式有效地保护了信号楼免受经由通信网络的攻击。由此,进一步特别地产生了如下技术优点:可以有效地监视经由通信网络到达铁路运行设备的信号楼的网络交通。在本说明书的意义上,网络分流器建立了至网络连接的被动接入点,由此可以为了分析目的而读取和分析经由网络连接传输的数据信号(即,例如到达的网络交通)。英语中网络分流器被称为“network-TAP”。缩写“TAP”代表“testaccessport(测试接入端口)”。在本说明书的意义上,网络分流器在OSI层1(OSIlayer1)上工作,并且没有MAC地址。由此网络分流器在通信网络中不可见。就此而言,网络分流器也可以被称为被动网络分流器,因为网络分流器建立了上面所描述的被动接入点。例如,网络分流器也可以被称为以太网分流器(Ethernet-TAP)。根据一种实施方式规定,为了检查所读取的到达的网络交通,处理器被构建为用于检查由所读取的到达的网络交通所包含的命令流中的未经许可的命令,并且在识别到未经许可的命令的情况下控制网络分离装置,使得网络分离装置将信号楼与通信网络分离。由此,特别地产生了如下技术优点:可以有效地识别未经许可的命令。由此,特别地产生了如下技术优点:可以产生对信号楼进行有效保护以防止未经许可的命令。在另外的实施方式中规定,为了检查命令流,处理器被构建为用于将命令流中的命令与否定命令列表中的参考命令进行比较,以便识别未经许可的命令。由此,例如产生了如下技术优点:可以有效地识别未经许可的命令。因此,否定命令列表形成所谓的“黑名单(blacklist)”。因此,由否定命令列表所包含的命令是未经许可的命令。通过对否定命令列表的匹配,由此能够以有利的方式实现灵活地应对不同的威胁场景。按照另外的实施方式,设置用于对所读取的网络交通进行记录的记录装置。由此,例如产生了如下技术优点:可以在稍后的时刻有效地证明,例如未经许可的命令已经被发送到信号楼,或者已经成功地阻止与未经许可的命令相对应的未经许可的操作动作。也就是特别地,记录装置记录(即存储)所读取的网络交通。根据一种实施方式规定,网络分流器被构建为用于将所读取的到达的网络交通输出到记录装置。根据另外的实施方式规定,处理器被构建为用于将所读取的到达的网络交通输出到记录装置。在另外的实施方式中规定,网络分离装置被构建为用于将信号楼与通信网络在物理上分离。由此,例如产生了如下技术优点:产生了信号楼与通信网络的有效且安全的分离。物理分离例如包括网络分流器与信号楼之间的通信连接的物理分离。例如,物理分离包括开关的断开,该开关连接在通信网络与信号楼之间、例如网络分流器与信号楼之间的通信连接中。在另外的实施方式中,设置命令馈送装置,用于将测试命令馈送到到达的网络交通中,以便测试处理器,其中,处理器被构建为在检查所读取的到达的网络交通的范围内在识别出测试命令的情况下不执行对网络分离装置的控制,使得网络分离装置将信号楼与通信网络分离。由此,特别地产生了如下技术优点:能够实现对处理器的有效测试。也就是特别地,在到达的网络交通中识别到测试命令不会导致信号楼与通信网络分离。在一种实施方式中规定,命令馈送装置被构建为以预定的时间间隔馈送测试命令。由此,例如产生了如下技术优点:还可以在较长的时间段上有效地测试处理器。例如依据应用的要求来选择这种预定的时间间隔。例如规定,以每秒一次或每本文档来自技高网...
【技术保护点】
1.一种用于监视经由通信网络到达铁路运行设备的信号楼(109)的网络交通的设备(101,201,301),包括:/n网络分流器(103),用于读取经由通信网络(113)到达信号楼(109)的网络交通,以及用于将所读取的到达的网络交通输出到处理器(105),以检查所读取的到达的网络交通,/n网络分离装置(107),用于将所述信号楼(109)与所述通信网络(113)分离,/n其中,所述处理器(105)被构建为,基于对所读取的到达的网络交通的检查的结果来控制所述网络分离装置(107),使得所述网络分离装置(107)将所述信号楼(109)与所述通信网络(113)分离。/n
【技术特征摘要】
【国外来华专利技术】20170929 DE 102017217422.61.一种用于监视经由通信网络到达铁路运行设备的信号楼(109)的网络交通的设备(101,201,301),包括:
网络分流器(103),用于读取经由通信网络(113)到达信号楼(109)的网络交通,以及用于将所读取的到达的网络交通输出到处理器(105),以检查所读取的到达的网络交通,
网络分离装置(107),用于将所述信号楼(109)与所述通信网络(113)分离,
其中,所述处理器(105)被构建为,基于对所读取的到达的网络交通的检查的结果来控制所述网络分离装置(107),使得所述网络分离装置(107)将所述信号楼(109)与所述通信网络(113)分离。
2.根据权利要求1所述的设备(101,201,301),其中,为了检查所读取的到达的网络交通,所述处理器(105)被构建为,用于检查由所读取的到达的网络交通所包含的命令流中的未经许可的命令,并且在识别到未经许可的命令的情况下控制所述网络分离装置(107),使得所述网络分离装置(107)将所述信号楼(109)与所述通信网络(113)分离。
3.根据权利要求2所述的设备(101,201,301),其中,为了检查命令流,所述处理器(105)被构建为,用于将命令流中的命令与否定命令列表中的参考命令进行比较,以便识别未经许可的命令。
4.根据上述权利要求中任一项所述的设备(101,201,301),包括用于记录所读取的网络交通的记录装置(205)。
5.根据上述权利要求中任一项所述的设备(101,201,301),其中,所述网络分离装置(107)被构建为,用于将所述信号楼(109...
【专利技术属性】
技术研发人员:F奥斯特,M塞弗特,
申请(专利权)人:西门子交通有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。