Kommunikationsverfahren und Kommunikationssystem zum Betrieb eines spurgebundenen Fahrzeugs

Die Erfindung betri f ft ein Kommunikationsverfahren und Kommunikationssystem zum Betrieb eines spurgebundenen Fahrzeugs mit einem Kommunikationsnetzwerk .

Die deutsche Of fenlegungsschri ft DE 10 2011 002 713 Al beschreibt ein Verfahren und eine Vorrichtung zum Bereitstellen von kryptographischen Credentials (Berechtigungsnachweisen) für Steuergeräte eines Fahrzeugs , wobei die Steuergeräte über einen Fahrzeugbus mit einer Fahrzeugsicherheitsmanagementeinheit verbunden sind . Die Steuergeräte erhalten die Credentials von der Fahrzeugsicherheitsmanagementeinheit , nachdem die Fahrzeugsicherheitsmanagementeinheit von einer Wegfahrsperreinheit des Fahrzeugs dazu freigeschaltet wird . Bei den kryptographischen Credentials kann es sich um kryptographische Schlüssel handeln . Diese kryptographischen Schlüssel umfassen insbesondere dynamisch erzeugte Sitzungsschlüssel bzw . Session Keys , Fahrzeugnetzwerkschlüssel für das gesamte Netzwerk sowie kryptographische Sicherheitsgeräteschlüssel oder kryptographische Sicherheitsgerätegruppenschlüssel . Weiterhin kann es sich bei den kryptographischen Credentials um digitale Zerti fikate oder sogenannte Security Assertions handeln .

Vor diesem Hintergrund ist es Aufgabe der Erfindung, ein verbessertes Kommunikationsverfahren zum Betrieb eines spurgebundenen Fahrzeugs anzugeben .

Diese Aufgabe wird durch ein Kommunikationsverfahren zum Betreiben eines spurgebundenen Fahrzeugs mit einem Kommunikationsnetzwerk gelöst , bei welchem eine Sicherung einer Kommunikation über das Kommunikationsnetzwerk mittels eines an das Kommunikationsnetzwerk datentechnisch angeschlossenen Endgeräts auf der Sicherungsschicht des OS I- Modells erfolgt .

Die Erfindung beruht auf der Erkenntnis , dass eine sichere Kommunikation innerhalb des Kommunikationsnetzwerks des spurgebundenen Fahrzeugs sowie zwischen gekoppelten spurgebundenen Fahrzeugen wünschenswert ist . Dies wird bisher im Wesentlichen durch physische Sicherheitsmaßnahmen gewährleistet . Beispielsweise wird das Kommunikationsnetzwerk durch physische Unzugänglichkeit vor Angrei fern geschützt . Zudem sind Kommunikationsprotokolle bekannt , welche über Authentisierungssicherungen verfügen . Häufig werden diese vermeintlich sicheren Kommunikationsprotokolle j edoch gemeinsam mit ungeschützten Protokollen auf demselben Netzwerk ausgeführt .

Aufgrund der zunehmenden Vernetzung und Interoperabilität zwischen unterschiedlichen Herstellern von spurgebundenen Fahrzeugen ist eine Durchsetzung der Integrität und Vertraulichkeit innerhalb des Kommunikationsnetzwerks mit technischen Mitteln, insbesondere Verschlüsselung der Kommunikation und Sicherstellung der Integrität sowie Authenti zität der Datenpakete mittels kryptographischer Verfahren, wünschenswert . Dabei sind Heraus forderungen, wie die Dynamik ( zum Beispiel das Koppeln von Fahrzeugen) sowie die verwendeten Kommunikationsarten ( zum Beispiel Multicastoder Broadcastkommunikation) und Protokolle ( zum Beispiel bei einer Mischung aus standardisierten und proprietären Protokollen) zu berücksichtigen .

Mit der Erfindung wurde zudem erkannt , dass die Sicherung der Kommunikation bei bisherigen Kommunikationsverfahren zum Betrieb von spurgebundenen Fahrzeugen auf der Vermittlungsschicht ( Schicht 3 ) oder der Anwendungsschicht ( Schicht 7 ) , beispielsweise bei SSL ( Secure Sockets Layer ) , erfolgt . Die erfindungsgemäße Lösung behebt diese Probleme , indem die Sicherung der Kommunikation auf der Sicherungsschicht des OS I-Modells erfolgt . Dadurch kann die Sicherung der Kommunikation im gesamten Fahrzeug sowie in gekoppelten Fahrzeugen besonders einfach standardisiert werden . Die Lösung ermöglicht es zudem, die Dynamik (Koppeln von Fahrzeugen) geschickt zu berücksichtigen, um die Sicherheit im gesamten Fahrzeugverband ( auch nach einem Koppeln von Fahrzeugen) zu gewährleisten .

Das spurgebundene Fahrzeug ist vorzugsweise ein Schienenfahrzeug, beispielsweise ein Triebzug .

Das Kommunikationsnetzwerk ist vorzugsweise ein Local-Area- Network ( LAN) und weiter vorzugsweise als Ethernet-Netzwerk ausgebildet . Netzwerkkomponenten des Kommunikationsnetzwerks sind beispielsweise Ethernet-Switches . Die Ports der Netzwerkkomponenten bilden insbesondere einen Eingang für den Empfang von Daten und Ausgang für das Aussenden von Daten . Das Endgerät ist für eine Kommunikation beispielsweise an einen der Ports einer Netzwerkkomponente angeschlossen .

Unter Sicherung ist vorzugsweise eine kryptographische Sicherung zu verstehen . Diese kann dem Ziel der Vertraulichkeit ( zum Beispiel durch Verschlüsselung) , Integrität , Authenti zität und/oder Verbindlichkeit dienen . Unter Vertraulichkeit (Englisch : Confidentiality) ist vorzugsweise die Sicherung gegenüber unberechtigtem Lesen von Daten oder dem unberechtigten Erlangen von Informationen über den Inhalt der Daten zu verstehen . Unter Integrität (Englisch : Integrity) ist vorzugsweise der Nachweis , dass die Daten vollständig und unverändert sind, zu verstehen . Unter Authenti zität ( auch Fälschungsschutz genannt ; Englisch : Authenticity) ist vorzugsweise zu verstehen, dass der Urheber der Daten oder der Absender der Nachricht eindeutig identi fi zierbar und seine Urheberschaft nachprüfbar ist .

Unter Verbindlichkeit ( auch Nichtabstreitbarkeit genannt ) ist vorzugsweise zu verstehen, dass der Urheber der Daten oder Absender einer Nachricht nicht in der Lage sein soll, seine Urheberschaft zu bestreiten, d. h. sie sollte sich gegenüber Dritten nachweisen lassen.

Der Fachmann versteht unter dem Begriff „OSI-Modell" vorzugsweise das ISO/OSI-Ref erenzmodell (OSI: Open Systems Interconnection) . Die Sicherungsschicht wird häufig als Abschnittssicherungsschicht, Da tensi ehe rungs schicht, Verbindungssicherungsschicht, Verbindungsebene oder Prozedurebene, insbesondere in englischer Sprache als Data Link Layer, bezeichnet. Diese Schicht wird außerdem häufig als Schicht 2, d. h. oberhalb der Schicht 1 (Bitübertragungsschicht) und unterhalb der Schicht 3 (Vermittlungsschicht, Englisch: Network Layer) , bezeichnet.

Gemäß einer bevorzugten Aus führungs form des erfindungsgemäßen Kommunikationsverfahrens erfolgt die Sicherung auf der Media- Access-Control-Schicht unter Anwendung des MACsec-Standards .

Die Media-Access-Control-Schicht wird häufig als Unterschicht 2a der Schicht 2 (Sicherungsschicht) bezeichnet.

Die Verwendung des MACsec-Standards hat den besonderen Vorteil, dass Protokolle oberhalb der Sicherungsschicht transparent verkapselt (encapsulated) und dementsprechend nicht geändert werden.

Der Fachmann versteht unter dem MACsec-Standard den sogenannten „IEEE Standard for Local and metropolitan area networks - Media Access Control (MAC) Security", welcher unter der Nummer IEEE 802.1AE geführt wird.

Bei einer weiteren bevorzugten Aus führungs form des erfindungsgemäßen Kommunikationsverfahrens wird dem Endgerät eine Authentisierungsinf ormation für die Sicherung der Kommunikation des Endgeräts zur Verfügung gestellt. Die Authentisierungsinf ormation dient beispielsweise als Ausgang für die Erlangung einer Sicherungsinformation zur Sicherung der Kommunikation . Beispielsweise umfasst die Authentisierungsinf ormation einen sogenannten Trust-Anchor .

Die Authentisierungsinf ormation wird einem Speicher des Endgeräts beispielsweise im Rahmen der Herstellung des Endgeräts hinzugefügt . Alternativ kann die Authentisierungsinf ormation dem Speicher des Endgeräts nach der Herstellung und Auslieferung im Rahmen einer Konfiguration des Endgeräts hinzugefügt werden .

Nach einer bevorzugten Weiterbildung authentisiert sich das Endgerät gegenüber einem Authentisierungsserver , welcher datentechnisch mit dem Kommunikationsnetzwerk verbunden ist .

Durch den Einsatz eines Authentisierungsservers wird eine hohe Flexibilität bei der Authentisierung mehrerer Endgeräte erzielt . Zudem kann die Verwaltung von Schlüsseln verbessert bzw . vereinfacht werden, da diese von dem Authentisierungsserver zentral bereitgestellt werden .

Der Authentisierungsserver ist beispielsweise ein sogenannter 802 . IX EAPOL Server . Zudem kann der Authentisierungsserver als RADIUS-Server ausgebildet sein (RADIUS : Remote Authentication Dial- In User Service ) .

Vorzugsweise weist das Endgerät die Authentisierungsinf ormation bei dem Authentisierungsserver vor, um sich zu authentisieren . Die

Authentisierungsinf ormation bildet demnach beispielsweise die Grundlage für eine Schlüsselverhandlung (Key Negotiation) und/oder einen Schlüsselaustausch (Key exchange ) und/oder eine Schlüsselverteilung durch den Authentisierungsserver .

Gemäß einer weiteren bevorzugten Weiterbildung weist das spurgebundene Fahrzeug ein Consistnet zwerk auf , welches sich über einen oder mehrere Wagen, die einen Zug bilden, erstreckt . Ferner weist das spurgebundene Fahrzeug ein Zugnetzwerk auf , welches sich über den Zug erstreckt . Dabei ist der Authentisierungsserver Teil einer Knoten-Einrichtung, welche einen Übergang zwischen dem Consistnet zwerk und dem Zugnetzwerk bildet .

Diese Weiterbildung, bei welcher der Authentisierungsserver Teil der Knoten-Einrichtung ist , hat den besonderen Vorteil , dass Änderungen bei der Zusammensetzung des spurgebundenen Fahrzeugs besonders geschickt berücksichtigt werden können . Denn die Knoten-Einrichtung passt ihre Arbeitsweise bei einer Änderung der Zusammensetzung des spurgebundenen Fahrzeugs an . Es werden beispielsweise Adressübersetzungen durch die Knoten-Einrichtung in Abhängigkeit der Zusammensetzung des Fahrzeugs ausgeführt . So ergibt sich durch das Vorsehen des Authentisierungsservers als Teil der Knoten-Einrichtung der Vorteil , dass auch die Verwaltung von Schlüsseln durch den Authentisierungsserver geschickt an die Zusammensetzung angepasst werden kann . Denn an dieser Stelle (nämlich bei der Knoten-Einrichtung) gehen beispielsweise die für die Feststellung der aktuellen Zusammensetzung relevanten Informationen ein .

Die Knoten-Einrichtung hat vorzugsweise die Funktion eines sogenannten ETB-Knotens (ETB : Ethernet Train Backbone ) im Sinne von IEC- 61375-2-5 auf . So leitet die Knoten-Einrichtung beispielsweise Datenpakete , die aus einem Consistnet zwerk stammen, zur Übertragung auf dem Zugnetzwerk weiter . Umgekehrt leitet die Knoten-Einrichtung beispielsweise Datenpakete , die sie über das Zugnetzwerk empfängt , in das Consistnet zwerk weiter . Das Zugnetzwerk ist beispielsweise ein ETB im Sinne von IEC- 61375-2-5 .

Bei einer besonders bevorzugten Weiterbildung umfasst das spurgebundene Fahrzeug mehrere Knoten-Einrichtungen, welche j eweils einen Authentisierungsserver aufweisen, wobei der Authentisierungsserver einer führenden Knoten-Einrichtung aktiv ist . Ein weiteres spurgebundenes Fahrzeug umfasst mehrere Knoten-Einrichtungen, welche j eweils einen Authentisierungsserver aufweisen, wobei der Authentisierungsserver einer führenden Knoten-Einrichtung aktiv ist . Das spurgebundene Fahrzeug wird mit dem weiteren spurgebundenen Fahrzeug gekoppelt . Eine Knoten-Einrichtung wird als führende Knoten-Einrichtung der gekoppelten Fahrzeuge getauft . Die Endgeräte authentisieren sich gegenüber dem Authentisierungsserver der führenden Knoten- Einrichtung der gekoppelten Fahrzeuge .

Vorzugsweise ist die führende Knoten-Einrichtung des spurgebundenen Fahrzeugs oder die führende Knoten-Einrichtung der gekoppelten spurgebundenen Fahrzeuge eine in Taufrichtung vorn angeordnete Knoten-Einrichtung des spurgebundenen Fahrzeugs oder der gekoppelten spurgebundenen Fahrzeuge . Die Taufrichtung muss j edoch nicht mit der betrieblichen Fahrtrichtung übereinstimmen .

Die Formulierung, wonach der Authentisierungsserver der führenden Knoten-Einrichtung aktiv ist , ist vorzugsweise dahingehend zu verstehen, dass die Authentisierungsserver der nicht- führenden Knoten-Einrichtungen einen Standby-Modus einnehmen .

Das Koppeln des spurgebundenen Fahrzeugs mit dem weiteren spurgebundenen Fahrzeug umfasst vorzugsweise ein mechanisches Koppeln sowie ein datentechnisches Koppeln, bei dem die Kommunikationsnetze der spurgebundenen Fahrzeuge miteinander verbunden werden .

Weiter vorzugsweise ist der Authentisierungsserver der führenden Knoten-Einrichtung der gekoppelten Fahrzeuge aktiv, während die Authentisierungsserver der nicht- führenden Knoten-Einrichtungen der gekoppelten Fahrzeuge einen Standby- Modus einnehmen .

Die Erfindung betri f ft ferner ein Computerprogramm, umfassend Befehle , die bei der Aus führung des Programms durch eine Recheneinrichtung diese veranlassen, das Kommunikationsverfahren der vorstehend beschriebenen Art aus zuführen .

Die Erfindung betri f ft ferner ein Computerprogrammprodukt , umfassend Befehle , die bei der Aus führung des Programms durch eine Recheneinrichtung diese veranlassen, das Kommunikationsverfahren der vorstehend beschriebenen Art aus zuführen .

Die Erfindung betri f ft ferner eine Bereitstellungsvorrichtung für das Computerprogramm bzw . Computerprogrammprodukt der vorstehend beschriebenen Art , wobei die Bereitstellungsvorrichtung das Computerprogramm bzw . Computerprogrammprodukt speichert und/oder bereitstellt . Die Bereitstellungsvorrichtung ist beispielsweise eine Speichereinheit , die das Computerprogramm bzw . Computerprogrammprodukt speichert und/oder bereitstellt . Alternativ und/oder zusätzlich ist die Bereitstellungsvorrichtung beispielsweise ein Netzwerkdienst , ein Computersystem, ein Serversystem, insbesondere ein verteiltes , beispielsweise cloudbasiertes Computersystem und/oder virtuelles Rechnersystem, welches das Computerprogramm bzw . das Computerprogrammprodukt vorzugsweise in Form eines Datenstroms speichert und/oder bereitstellt .

Die Bereitstellung erfolgt in Form eines Programmdatenblocks als Datei , insbesondere als Downloaddatei , oder als Datenstrom, insbesondere als Downloaddatenstrom, des Computerprogramms . Diese Bereitstellung kann beispielsweise als partieller Download erfolgen, der aus mehreren Teilen besteht . Ein solches Computerprogramm wird beispielsweise unter Verwendung der Bereitstellungsvorrichtung in ein System eingelesen, sodass das erfindungsgemäße Kommunikationsverfahren auf einem Computer zur Aus führung gebracht wird . Der Computer ist beispielsweise eine Recheneinrichtung des Endgeräts , der Knoten-Einrichtung und/oder Netzwerkkomponente .

Die Erfindung betri f ft ferner ein Kommunikationssystem zum Betrieb eines spurgebundenen Fahrzeugs . Das Kommunikationssystem umfasst ein Kommunikationsnetzwerk und ein an das Kommunikationsnetzwerk datentechnisch angeschlossenes Endgerät . Das Endgerät ist eingerichtet , eine Sicherung einer Kommunikation über das Kommunikationsnetzwerk auf der Sicherungsschicht des OS I-Modells durchzuführen .

Die Erfindung betri f ft ferner ein spurgebundenes Fahrzeug mit einem Kommunikationssystem der vorstehend beschriebenen Art .

Das spurgebundene Fahrzeug ist vorzugsweise ein Schienenfahrzeug, beispielsweise ein Triebzug .

Zu Vorteilen, Aus führungs formen und Ausgestaltungsdetails des erfindungsgemäßen Computerprogrammprodukts bzw .

Computerprogramms , der erfindungsgemäßen Bereitstellungsvorrichtung, des erfindungsgemäßen Kommunikationssystems und des erfindungsgemäßen spurgebundenen Fahrzeugs kann auf die vorstehende Beschreibung zu den entsprechenden Merkmalen des erfindungsgemäßen Kommunikationsverfahrens verwiesen werden .

Aus führungsbeispiele der Erfindung werden anhand der Zeichnungen erläutert . Es zeigen :

Figur 1 schematisch den Ablauf eines

Aus führungsbeispiels eines erfindungsgemäßen Kommunikations verfahrens ,

Figur 2 schematisch den Aufbau eines

Aus führungsbeispiels eines erfindungsgemäßen Kommunikations systems ,

Figur 3 schematisch den Ablauf eines weiteren

Aus führungsbeispiels eines erfindungsgemäßen Kommunikationsverfahrens und Figur 4 schematisch den Aufbau eines weiteren

Ausführungsbeispiels eines erfindungsgemäßen Kommunikationssystems .

Figur 1 zeigt ein schematisches Ablauf diagramm, welches den Ablauf eines Ausführungsbeispiels des erfindungsgemäßen Kommunikationsverfahrens darstellt .

Figur 2 zeigt eine schematische Darstellung eines Kommunikationssystems 1 mit einem Kommunikationsnetzwerk 2, welches in Bezug zu einem spurgebundenen Fahrzeug 3 gezeigt ist und physikalisch auf dem spurgebundenen Fahrzeug 3 installiert ist.

Das spurgebundene Fahrzeug 3 ist ein Schienenfahrzeug 4, beispielsweise ein Triebzug, mit mehreren Wagen 5, 6 und 7. Die Wagen 5 und 7 sind Endwagen. Der Wagen 6 ist zwischen den Endwagen 5 und 7 angeordnet.

Das Kommunikationsnetzwerk 2 umfasst mehrere Consistnet zwerke 15, 16, 17, die jeweils in einem der Wagen 5, 6, und 7 angeordnet sind. Die Wagen 5, 6 und 7 bilden gemeinsam einen Zug 8.

Das jeweilige Consistnet zwerk 15, 16 bzw. 17 umfasst jeweils zwei Koten-Einrichtungen 25a, b, 26a, b bzw. 27a, b, die physikalisch und datentechnisch über ein zugweites Zugnetzwerk 11 miteinander verbunden sind. Die Konten- Einrichtungen 25a, b, 26a, b bzw. 27a, b weisen jeweils einen sogenannten ETB-Knoten (ETB: Ethernet Train Backbone) auf.

An das jeweilige Consistnet zwerk 15, 16 bzw. 17 sind mehrere Endgeräte 35a-c, 36a-c bzw. 37a-c datentechnisch angeschlossen. Insbesondere sind die Endgeräte 35a-c, 36a-c bzw. 37a-c an nicht gezeigte Netzwerkkomponenten, wie Ethernet-Switches, datentechnisch angeschlossen. Die Netzwerkkomponenten sind nach Art einer Ringstruktur 13 miteinander verbunden. In einem Verfahrensschritt A wird dem j eweiligen Endgerät 35a-c, 36a-c und 37a-c eine Authentisierungsinf ormation AI zur Verfügung gestellt . Diese Authentisierungsinf ormation AI wird einem Speicher des Endgeräts 35a-c, 36a-c bzw . 37a-c in einem Verfahrensschritt Bl im Rahmen der Herstellung des Endgeräts hinzugefügt . Alternativ wird die Authentisierungsinf ormation AI dem Speicher des Endgeräts 35a-c, 36a-c bzw . 37a-c in einem Verfahrensschritt B2 nach der Herstellung und Auslieferung im Rahmen der Konfiguration des Endgeräts hinzugefügt .

Die Authentisierungsinf ormation AI ist beispielsweise ein sogenannter Trust-Anchor . Dieser ermöglicht es den Endgeräten 35a-c, 36a-c und 37a-c, ihre Authenti zität in einem Verfahrensschritt C gegenseitig nachzuweisen, wenn diese als Authentisierungs-Clients agieren .

Die Knoten-Einrichtung 25a, b, 26a, b und 27a, b weist j eweils ergänzend zu ihrer Funktion als ETB-Knoten einen Authentisierungsserver 45a, b, 46a, b und 47a, b auf . Die Authentisierungsserver 45a, b, 46a, b und 47a, b sind beispielsweise sogenannte 802 . IX EAPOL Server . Zudem können die Authentisierungsserver als RADIUS-Server ausgebildet sein (RADIUS : Remote Authentication Dial- In User Service ) .

Die Knoten-Einrichtung 25a wird in einem Verfahrensschritt D im Rahmen eines Taufverf ährens als führende Knoten- Einrichtung getauft . Diese führende Knoten-Einrichtung 25a ist eine in Taufrichtung 21 vorn angeordnete Knoten- Einrichtung 25a . Der Authentisierungsserver 45a ist bei dieser führenden Knoten-Einrichtung 25a aktiv, während die weiteren Authentisierungsserver 45b, 46a, b und 47a, b in einem Standby-Modus sind .

In einem Verfahrensschritt E authentisieren sich die

Endgeräte 35a-c bis 37a-c gegenüber dem aktiven Authentisierungsserver 45a unter Verwendung der Authentisierungsinf ormation AI .

Auf Basis der Authentisierung E erhalten die Endgeräte in ihrer Rolle als Authentisierungs-Clients weitergehende Sicherungsinformationen, die für eine anstehende sichere Kommunikation, beispielsweise zwischen zwei Endgeräten, verwendet werden kann . Die Sicherungsinformationen sind beispielsweise Schlüsselinformationen für eine Verschlüsselung der Kommunikation in einem Verfahrensschritt F .

Die Sicherung der Kommunikation, die über das Kommunikationsnetzwerk 2 läuft , erfolgt auf der Sicherungsschicht des OS I-Modells . Insbesondere erfolgt die Sicherung auf der Media-Access-Control-Schicht unter Anwendung des MACsec-Standards gemäß IEEE 802 . 1AE .

Die Sicherung der Kommunikation betri f ft beispielsweise die Verschlüsselung gemäß dem Verfahrensschritt F, aber auch die Authentisierung gemäß dem Verfahrensschritt E .

Figur 3 zeigt eine schematische Darstellung eines Kommunikationssystems 101 mit einem Kommunikationsnetzwerk 102 , welches in Bezug zu einem spurgebundenen Fahrzeug 103 gezeigt ist und physikalisch auf dem spurgebundenen Fahrzeug 103 installiert ist und mit einem Kommunikationsnetzwerk 202 , welches in Bezug zu einem spurgebundenen Fahrzeug 203 gezeigt ist und physikalisch auf dem spurgebundenen Fahrzeug 203 installiert ist .

Die Kommunikationsnetzwerke 102 und 202 sind ähnlich zu dem in Figur 2 gezeigten Kommunikationsnetzwerk 2 auf gebaut . Gleiche und funktionsgleiche Komponenten sind mit gleichen oder analogen Bezugs zeichen versehen .

Das Kommunikationsnetzwerk 102 weist Knoten-Einrichtungen 125a und 125b sowie Endgeräte 135a-c auf . Das Kommunikationsnetzwerk 202 weist Knoten-Einrichtungen 225a und 225b sowie Endgeräte 235a-c auf . Die j eweilige Knoten- Einrichtung 125a, b bzw . 225a, b weist einen Authentisierungsserver 145a, b bzw . 245a, b auf .

Bei dem in Figur 3 gezeigten weiteren Aus führungsbeispiel des erfindungsgemäßen Kommunikationssystems 101 werden die in Bezug auf Figur 1 vorstehend beschriebenen Verfahrensschritte A bis F vor einem Koppeln der Fahrzeuge 103 und 203 analog ausgeführt .

Nach dem Koppeln der Fahrzeuge 103 und 203 in einem Verfahrensschritt G wird in einem Verfahrensschritt H eine Taufe durchgeführt , bei welcher die Knoten-Einrichtung 125a als führende Knoten-Einrichtung des gekoppelten Fahrzeugs 103 , 203 getauft wird . Der Authentisierungsserver 145a ist bei dieser führenden Knoten-Einrichtung 125a aktiv, während die weiteren Authentisierungsserver 145b, 245a, b im Standby- Modus sind .

Sämtliche Endgeräte 135a-c und 235a-c können sich nun in einem Verfahrensschritt J gegenüber dem aktiven Authentisierungsserver 145a unter Verwendung der Authentisierungsinf ormation AI authentisieren .

Auf Basis der Authentisierung J erhalten die Endgeräte in ihrer Rolle als Authentisierungs-Clients weitergehende Sicherungsinformationen, die für eine anstehende sichere Kommunikation, beispielsweise zwischen zwei Endgeräten, verwendet werden kann . Die Sicherungsinformationen sind beispielsweise Schlüsselinformationen für eine Verschlüsselung der Kommunikation in einem Verfahrensschritt K . Mit anderen Worten : Sobald die Authentisierung J abgeschlossen ist , kann in einem Verfahrensschritt K eine Kommunikation zwischen Endgeräten ( oder zwischen einem Endgerät und einem Server ) sicher erfolgen . Die Sicherung der Kommunikation, die über das Kommunikationsnetzwerk 2 läuft , erfolgt auf der Sicherungsschicht des OS I-Modells . Insbesondere erfolgt die Sicherung auf der Media-Access- Control-Schicht unter Anwendung des MACsec-Standards gemäß IEEE 802 . 1AE . Die Sicherung der Kommunikation betri f ft beispielsweise die Verschlüsselung gemäß dem Verfahrensschritt K, aber auch die Authentisierung gemäß dem Verfahrensschritt J .

Obwohl die Erfindung im Detail durch das bevorzugte Aus führungsbeispiel näher illustriert und beschrieben wurde , so ist die Erfindung nicht durch die of fenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen .