专利名称:交换信息消息的安全方法
技术领域:
本发明涉及在特定的时间间隔,从发送平台到接收平台连续发送交换信息消息的安全方法。本发明尤其涉及一种方法,它确保由接受平台获得的最后消息对应于由发送平台发送的最后消息。
背景技术:
根据本发明的该方法可以用于列车控制和/或管理系统中,这在法国被称为控制、操作和维护辅助系统(SACEM),该系统且包括集中控制站,沿着轨道的固定装置,以及在每辆列车中的控制单元。在这种控制系统中,集中控制站以有规律的时间间隔向固定装置发送信息消息,该信息消息包含涉及在固定装置下游的一个或多个轨道段上的交通状况的信息。之后,在网络中的任何列车的控制单元从固定装置中接收由固定装置接收的最后信息消息,并由此推断采纳的运行速度。当上述这种交换信息消息是必要的时,为了安全起见,要确定由固定装置接收的最后消息对应于由集中控制站发送的最后信息消息。考虑到在发送消息中所包含的各种成分,并且考虑到在集中控制站和固定装置之间可能有较大距离的事实,一些消息在传送过程中遭受干扰或被延迟并且滞后到达固定装置是有可能的,从而相对于集中控制站发送这些消息的顺序,改变固定装置接收该信息消息的顺序。在这种情况下,在固定装置中更新的信息消息不再对应于由集中控制站发送的最后消息。尽管该现象很罕见,为了确保行车安全,检测到它们是绝对有必要的。
安全传送信息消息的标准方法是使用数据的持续双向交换,以便将固定装置接收的信息消息发送回集中控制站,该集中控制站检验其相应于安发送的信息消息。然而,该方法依赖于数据的双向交换,其使用复杂的处理方法,必须在发送方和接收方使用昂贵的系统。
发明概述本发明的目的是提供一种交换信息消息的安全方法,其中在发送平台和接收平台之间的信息消息的连续单向交换期间,确保由接收平台获得的最后消息对应于由发送平台发送的最后消息,以便能确认在接收平台上信息消息的正确更新。
为此,本发明提供了一种交换信息消息的安全方法,该消息从发送平台连续发送到接收平台,其特征在于包括a)一个初始化序列,其中在发送平台和接收平台之间交换包含用来发送第一信息消息M1的时刻t1,以便发送平台和接收平台二者都知道用来发送第一信息消息M1的时刻t1,以及b)一个信息消息传送序列,其中-发送平台基于指定给发送平台的时钟,以具有发送时间容差δ(δ<ΔTE)的指定时间间隔ΔTE连续发送信息消息,以便在时钟上的时刻t1发送第一信息消息,并且在时刻tn=t1+(n-1)*ΔTE+δ发送第n个消息Mn,通过指定给发送消息时刻tn的动态代码Cn对每个消息Mn进行编码(优选的使用定义为该应用的安全标准的函数的码对该信息消息数据进行编码,以便万一发生传送错误,该信息消息会被呈现为不可理解),以及-基于指定给接收平台的时钟,将接收平台接收的消息作为它们接收时刻tr的函数进行处理,以便使用适合解码该动态码Cn的解码序列DCn,对在tn附近的观察窗Fn中接收的消息进行解码,所述接收平台的时钟被同步到接收第一消息M1的时刻t1上。
根据本发明方法的具体实施例可以单独或任何在技术上合理组合地包括一个或多个下列特征-在初始化序列a)期间,编码的初始化消息M0从发送平台被发送到接收平台,并且编码的初始化消息M’0从接收平台被发送到发送平台,该初始化消息M0、M’0包含与用来发送第一信息消息M1的时刻t1有关的信息,并且所述初始消息M0、M’0由发送平台和接收平台进行编码,发送平台和接收平台知道用于发送第一信息消息M1的时刻t1;-如果在接收初始化消息之后,在分配的时间内没有接收到第一消息M1,该发送平台的时钟自动与对应于分配时间的结束时刻的时刻t1同步;-该观察窗Fn对应于时间窗[t1+(n-1)*ΔTE-ΔTF*ε,t1+(n-1)*ΔTE+ΔTF*(1-ε)],这里n是整数,ΔTF对应观察窗的宽度并满足等式ΔTF≤ΔTE并且ε是从0到1;-发送平台在发送消息Mn之间有规律地发送时钟同步信号,该同步信号用来动态校正接收平台的内部时钟的频率或相位,以便减小在接收平台和发送平台的内部时钟之间的相位或频率误差;-由接收平台解码的信息消息被发送给信息处理模块;-由接收平台在观察窗Fn期间接收的消息被顺序存储在存储器中,该存储器能每次仅存储一个消息,并且仅存储在该存储器中的消息在所述观察窗Fn的末端发送给信息处理模块;以及-该发送平台是铁路交通管理和控制系统的集中控制站的一部分,该接收平台是沿着铁轨设置的固定装置的一部分,并且该信息处理模块是在与固定装置有关的轨道部分上运行的列车上的控制单元。
通过下面以非限制性例子给出的本发明的一个实施例并结合附图,将更好的理解本发明的目的、方面和优点,其中图1是使用根据本发明的交换信息消息的安全方法的列车管理装置的局部图;图2是发送平台使用的、根据本发明的安全交换方法的发送方法的主要步骤流程图;图3是接收平台使用的根据本发明的安全交换方法的处理方法的主要步骤流程图;
图4是根据本发明的安全交换方法从发送平台发送信息消息、在接收平台接收该消息,以及处理该消息的时间图表。
具体实施例方式
为了使附图清楚,只显示了用于理解本发明的必要的系统部件。在图中,相同的部件将具有相同的参考标记。
图1用图解法显示了集中控制站1将信息消息传送给沿铁轨旁设置的固定装置2,该信息消息包含与在固定装置2下游一段或多段铁轨上的交通状况有关的信息。之后,以本领域公知的方式,将该消息从固定装置2将经由轨道电路发送给携带有控制单元6的列车5,除了其他事情外,该控制单元6确定如何前进,例如采用的速度或是否有必要启动紧急停车。
为了发送该信息消息,该集中控制站1包含发送平台10,该平台通过传输电缆4连接到固定装置2中的接收平台20。该发送平台10和接收平台20每个都具有内部时钟。
下面参照图2描述由发送平台10使用根据本发明的安全交换方法所发送的信息消息的序列。
在该图中,在安全交换方法的第一步骤101中,执行初始化序列,在这期间,从发送平台10发送编码的初始化消息M0给接收平台20。该消息M0包含第一信息消息的初始时刻信息的一部分,例如由发送平台产生的随机数。在第二步骤102中,发送平台接收由接收平台发送的消息M’0。该消息M’0包含第一信息消息的初始时刻信息的一部分,例如由接收平台产生的随机数。在步骤103中,发送平台10对消息M0、M’0进行解码以产生第一消息的初始时刻。一个隐含部分可以随意补充该初始时刻。
通常通过执行双向交换方法,检验接收消息和发送消息之间的相关性是正确的,而使该初始化序列的传输安全。
上述的初始化序列之后是该方法的步骤104,其中直到在发送平台10的内部时钟上的时间te到达用于发送第一消息M1的时刻t1,才有消息被发送平台10。在时刻t1,发送平台10发送第一消息M1,之后以恒定时间间隔ΔTE发送消息,以便在时刻tn=t1+(n-1)*ΔTE+δ发送第n个消息Mn,其中n是整数,δ是发送时间容差(δ<ΔTE)。
根据本发明的一个特征,用指定给用于发送该消息的时刻tn的动态码Cn对发送的每个消息进行编码。该动态码Cn是从本领域公知的动态码中选择的一种,该动态码具有编码特性以便使用除了用来解码Cn的解码序列DCn以外的解码序列解码该消息Mn产生一个消息,该消息在本申请层面定义的编码中是无法理解的。例如,所选择的码可以是基于提供给每个数据比特一个基本多项式X32+X22+X2+X+1的叠加的伪随机序列。
下面参考图3描述发送平台10发送信息消息的序列时,接收平台20平行执行的处理。
如图3所示,在该方法的第一步骤201中,接收平台接收消息M0,该消息M0包含在发送平台在步骤101期间发送的初始化序列中。在第二步骤202中,接收平台20发送由发送平台在步骤102期间接收的消息M’0。在步骤203中,像发送平台执行该方法的步骤103一样,接收平台10对消息M0、M’0进行解码以获得第一消息M1的初始时刻t1。
在该方法随后的步骤204中,该步骤由接收平台20接收第一消息M1触发,接收平台20的内部时钟与时刻t1同步以便在第一消息M1被接收时,tr=t1这时,这里tr是接收平台20的内部时钟上的时间。在接收初始化消息M0之后,如果在分配的时间内第一消息M1没有到达接收平台20,则该接收平台20的内部时钟被默认与时刻t1同步。
接收消息M1之后,利用由发送平台10以与消息Mn相同的周期有规律地发送的时钟同步帧,接收平台20的时钟最好有规律地与发送平台10的时钟同步。这些帧是专用帧或消息Mn本身。因此,如果在发送平台10的内部时钟和接收平台20的内部时钟之间测量到同步误差(相位、频率、平均值、最小平方等),接收平台20的内部时钟的频率或相位被动态校正以减小两个时钟之间的相位或频率误差。
在该方法的下一个步骤205期间,通过适合解码该动态码C1的解码序列DC1对第一消息M1进行解码,并且接收平台20将该消息M1的解码结果发送给轨道电路。
当接收平台20在时间tr上接收新的消息M?、先验该消息Mn时,反复触发该方法的下个步骤206,时间tr是对应于时间窗[t1+(n-1)*ΔTE-ΔTF*ε,t1+(n-1)*ΔTE+ΔTF*(1-ε)]的观察窗Fn中的时间,其中ΔTF是观察窗的宽度,n是整数以及ε是从0到1。
在该方法的下一个步骤207期间,利用分配给观察窗Fn的解码序列DCn,对发送平台20在观察窗Fn中接收的消息M?进行解码,解码序列DCn对应于逆编码序列DCn,并且仅适合对发送平台10发送的第n个消息的动态码Cn进行解码。
在本发明的优选实施例中,在图3中没有显示的一个步骤中,在对应于观察窗Fn的末端的时间tr将消息发送到轨道电路之前,由接收平台20解码的消息M?被临时存储在一个存储器中,该存储器具有这样的能力,一次仅存储一个消息。在简化的变形中,消息M?可以在步骤207的末端被立刻发送到轨道电路,而不用存储在存储器中。
然后,在轨道部分上的列车5通过轨道电路接收由接收平台20解码的消息,确保该接收的消息M?是正确更新的消息Mn,该消息M?在本申请定义的解码中是可以理解的,其中的信息是要被依据的。然而,为了确保在轨道上运行的列车的安全性,如果列车5接收多个连续的不可理解的消息,例如相继五个这样的消息,在列车5上的控制单元6触发紧急停车,结果是,当列车不再具有足够的下游轨道部分中的交通状况的信息时,它将停车。
图4显示了符合根据本发明方法的信息消息交换序列的一个范例。在该图中,消息M1到M6的发送显示在上部轴te上,该轴对应于发送平台10的内部时钟上的时间,消息的接收显示在对应于接收平台20的时钟的时间的轴tr上。在参照图4所描述的范例中,认为在该图中没有显示的初始化序列在时间te=4时59分上被初始化,并且认为发送第一消息的时刻t1是t1=5小时。间隔ΔTE是毫秒级,例如ΔTE=50毫秒,导致有规律地更新该信息消息。在所示的范例中,发送时间容差δ是0并且观察窗具有特性ε=0.5以及ΔTF=25毫秒。
因此,参见图4,尤其是显示在下部轴tr上的消息的接收,下部轴tr表示在接收平台20的时钟上的时间,在第一消息被发送之后的片刻,接收平台20接收该消息M1。然后,该接收平台20使它的内部时钟同步,以便tr=t1,即接收消息M1的时刻。之后,接收平台利用解码序列DC1对消息M1解码并发送到轨道电路,并由此发送到任何在轨道部分上的列车5。
片刻之后,接收平台20在宽度为ΔTF中心是tr的观察窗F2中接收消息M2。然后,该接收平台20利用解码序列DC2解码该消息M2。该解码的消息被存储在接收平台的一个存储器中,该存储器能一次仅存储一个消息,之后,在对应于观察窗F2末端的时间tr=t2+ΔTF/2处发送到轨道电路。然后,通过消息M2将交通状况通知给在轨道部分上的列车5的控制单元6。
由于干扰影响消息M3的传送,在观察窗F3期间,接收平台没有接收任何消息。在这种情况下,当由本申请解码时,在对应于观察窗F3末端的时间t1处由发送平台20发送给轨道电路的消息是不能理解的,其通知在轨道部分上的列车5的控制单元6该信息消息更新错误。
不久以后,在观察窗F4中接收消息M3,之后,利用分配给观察窗F4的解码序列DC4解码该消息,其在本申请定义的编码中产生不能理解的解码的消息,并且该消息被存储在接收平台20的存储器中。该不能理解的消息在对应于观察窗F4末端的时间tr处被发送给轨道电路,并且列车5的控制单元6接收该不能理解的消息并将它解释为另一个信息消息更新错误。然后,该控制单元6记录两个连续的信息消息更新错误,如果允许容差是五个连续错误,这仍不会引起紧急停车。
在观察窗F5期间,接收平台20连续接收两个消息M4和M5。该接收平台20首先接收消息M4,之后,在相同的观察窗M5中接收消息M5。该接收平台利用解码序列DC5解码该消息M5,在本申请定义的编码中产生可理解的消息,并且该消息被存储在接收平台20的存储器中代替前面的消息。该消息M5在对应于观察窗F5末端的时间tr处被发送给轨道电路。然后,列车5的控制单元6接收一个可理解的、指定由本申请定义的编码的消息,即消息M5,以确保包含在该消息中的信息已经被正确更新。
在观察窗F6期间,该接收平台20接收消息M6,利用解码序列DC6对其进行解码,并且在对应于观察窗F6末端的时间tr处将其发送给轨道电路之前,将其存储在存储器中。之后,列车5的控制单元6接收一个在本申请定义的编码中是可理解的消息,即消息M6,以确保包含在该消息听信息已经被更新。
因此,由于在发送平台和接收平台之间的消息的有规律的单向交换,上述这种交换信息消息的安全方法保证以可理解的方式到达终点的信息消息的正确更新,而不使用复杂的处理。上述这种方法的优点在于它可以相对廉价地实施和以高速发送信息,这不同于通常的双向传输系统,其中信息验证序列大大减慢消息的传送,以及响应它们而采取的动作。根据本发明的方法以相对高的速率更新由列车接收的信息消息。
当然,本发明并不限于所描述和显示的实施例,该实施例仅仅是为了举例并且可以修改,特别是在不脱离本发明保护范围的情况下,各种部件可以组合或由技术等同物来替代。
权利要求
1.一种交换信息消息的安全方法,该消息从发送平台(10)连续发送到接收平台(20),其特征在于它包括a)一个初始化序列,其中在发送平台(10)和接收平台(20)之间交换包含与用来发送第一信息消息M1的时刻t1有关的信息的初始化消息,以便发送平台(10)和接收平台(20)都知道用来发送第一信息消息M1的时刻t1,以及b)一个信息消息传送序列,其中-发送平台(10)基于指定给发送平台(10)的时钟以具有发送时间容差δ的指定时间间隔ΔTE连续发送信息消息,以便在所述时钟上的时刻t1处发送第一信息消息M1,并且在时刻tn=t1+(n-1)*ΔTE+δ处发送第n个消息Mn,通过指定给发送消息时刻tn的动态码Cn对每个消息Mn进行编码,以及-基于指定给接收平台(20)的时钟,将接收平台(20)接收的消息作为它们接收时刻tr的函数进行处理,以便使用适合解码该动态码Cn的解码序列DCn对在tn附近的观察窗Fn中接收的消息进行解码,所述接收平台(20)的时钟被同步到接收第一消息M1的时刻t1上。
2.根据权利要求1的方法,其特征在于在初始化序列a)期间,编码的初始化消息M0从发送平台(10)被发送到接收平台(20),并且编码的初始化消息M’0从接收平台(20)被发送到发送平台(10),该初始化消息M0、M’0包含与用来发送第一信息消息M1的时刻t1有关的信息,并且由发送平台(10)和接收平台(20)对所述初始化消息M0、M’0进行编码,发送平台(10)和接收平台(20)都知道用于发送第一信息消息M1的时刻t1有关的信息。
3.根据权利要求1或2的方法,其特征在于,如果在接收初始化消息之后,在分配的时间内没有接收到第一消息M1,发送平台(20)的时钟自动与时刻t1同步,此时刻对应于分配时间的末端。
4.根据权利要求1至3中任何一项所述的方法,其特征在于,所述观察窗Fn对应于时间窗[t1+(n-1)*ΔTE-ΔTF*ε,t1+(n-1)*ΔTE+ΔTF*(1-ε)],其中ΔTF对应观察窗的宽度并满足等式ΔTF≤ΔTE,并且ε是从0到1。
5.根据权利要求1至4中任何一项的方法,其特征在于,发送平台(10)在发送消息Mn之间有规律的发送时钟同步信号,该同步信号被用来动态的校正接收平台(20)的内部时钟的频率或相位,以便减小在接收平台(20)和发送平台(10)的内部时钟之间的相位或频率误差。
6.根据权利要求1至5中任何一项的安全方法,其特征在于,由接收平台(20)解码的信息消息被发送给信息处理模块(6)。
7.根据权利要求1至6中任何一项的方法,其特征在于,由接收平台在观察窗Fn期间接收的消息被顺序存储在存储器中,该存储器能每次仅存储一个消息,并且只有存储在该存储器中的消息在所述观察窗Fn的末端被发送给信息处理模块(6)
8.根据权利要求1至7中任何一项的方法,其特征在于,发送平台(10)是铁路交通管理和控制系统的集中控制站(1)的一部分,接收平台(20)是沿着铁轨设置的固定装置(2)的一部分,并且信息处理模块(6)是在与固定装置(2)有关的轨道部分上运行的列车(5)上的控制单元。
全文摘要
本发明涉及交换信息消息的安全方法,该消息从发送平台连续发送到接收平台,其特征在于它包括一个初始化序列,其中在发送平台和接收平台之间交换包含与用来发送第一信息消息M
文档编号B61L27/00GK1507197SQ20031011810
公开日2004年6月23日 申请日期2003年10月8日 优先权日2002年10月7日
发明者M·利纳雷斯, M 利纳雷斯 申请人:阿尔斯通股份有限公司