計算機、通信單元和提高計算機中的數據可靠性的方法
2023-09-21 00:27:35 2
計算機、通信單元和提高計算機中的數據可靠性的方法
【專利摘要】本發明公開了計算機、通信單元和提高計算機中的數據可靠性的方法。一種用於提高計算機中的數據的可靠性的方法,該計算機能夠從輸入數據提供輸出數據,並且包括至少兩個數據處理模塊和與每一個處理模塊連接的計算部件,該方法包括通過每一個處理模塊從輸入數據計算中間數據的步驟。該方法包括如下步驟:通過每一個處理模塊,從對應的中間數據計算中間安全碼,通過每一個處理模塊,向計算部件發送中間安全碼和中間數據,通過計算部件,從中間安全碼計算安全碼,通過計算部件,從接收到的中間數據當中選擇中間數據,計算機的輸出數據包括選擇的中間數據,以及通過計算部件,向接收設備發送安全碼和輸出數據。
【專利說明】計算機、通信單元和提高計算機中的數據可靠性的方法
【技術領域】
[0001]本發明涉及用於提高計算機中的數據可靠性的方法、計算機、包括這種計算機的通信單元、包括這種單元的鐵路管理系統。
【背景技術】
[0002]本發明涉及用於提高計算機中的數據可靠性的方法,該計算機能夠從輸入數據提供輸出數據,並且包括至少兩個數據處理模塊和與每一個處理模塊連接的計算部件,該方法包括通過每一個處理模塊從輸入數據計算中間數據的步驟,所述計算包括對輸入數據應用計算函數,該計算函數對於所有的處理模塊都是相同的。
[0003]本發明還涉及計算機,該計算機能夠從輸入數據提供輸出數據,其包括:
[0004]至少兩個數據處理模塊,每一個處理模塊包括用於從輸入數據計算中間數據的第一裝置,所述第一計算裝置能夠對輸入數據應用計算函數,該計算函數對於所有的處理模塊都是相同的,
[0005]與每一個處理模塊連接的計算部件。
[0006]本發明還涉及包括這種計算機的通信單元。
[0007]本發明還涉及包括這種通信單元的鐵路管理系統。
[0008]前述類型的計算機是已知的。這種計算機能夠處理在通信網絡中循環的數據和/或信息,並且通常在例如鐵路管理系統的保密通信系統中使用。為了確保鐵路管理系統所需的重要安全功能,應該儘可能地降低這種計算機的輸出端處的錯誤的且不可檢測的數據的出現的概率。例如,歐洲鐵路安全標準EN50128實行了與火車安全有關的設備被設計為使得其故障概率要求包括在10_9和10_7之間。用於確保安全的已知的技術被稱為「綜合安全」(composite security),其包括具有由同一計算機的若干數據處理模塊執行的相同的處理操作,然後通過「多數投票」(majority vote)來進行。出於此目的,每一個模塊從同一輸入數據計算輸出數據。而且,這種計算機通常包括能夠確保計算的輸出數據當中的「多數投票」功能的仲裁裝置。
[0009]但是,這種計算機的仲裁裝置包括最小硬體層,其有時通過軟體層來完成。現在,這種硬體層的故障會導致安全缺陷,這種安全缺陷會導致安全通信系統的重大的事故。
【發明內容】
[0010]因此,本發明的目的在於提出用於提高計算機中的數據的可靠性的方法,通過該方法,可以在不使用專用硬體裝置的情況下確保計算機的多數投票功能。
[0011]出於此目的,本發明的目的是一種用於提高前述類型的計算機中的數據的可靠性的方法,其特徵在於,該方法包括下述步驟:
[0012]通過每一個處理模塊,從對應的中間數據計算中間安全碼,
[0013]通過每一個處理模塊,向計算部件發送中間安全碼和中間數據,
[0014]通過計算部件,從中間安全碼計算安全碼,[0015]通過計算部件,從接收到的中間數據當中選擇中間數據,計算機的輸出數據包括選擇的中間數據,以及
[0016]通過計算部件,向接收設備發送安全碼和輸出數據。
[0017]根據本發明的其它有利方面,該方法包括單獨地或根據所有的技術上可能的組合取得的下述特徵中的一個或若干個:
[0018]每一個處理模塊包括用於在存儲器中存儲至少一個加密變量和加密函數的第一裝置,加密函數對於所有的處理模塊都是相同的,並且,在從對應的中間數據計算中間安全碼的步驟期間,所述計算包括通過每一個處理模塊來將加密函數至少應用於中間數據和加
密變量;
[0019]計算部件包括用於在存儲器中存儲至少一個解密常數和合併函數(consolidation function)的第二裝置,並且,在從中間安全碼計算安全碼的步驟期間,所述計算包括通過計算部件將合併函數應用於每一個接收到的中間安全碼和解密常數;
[0020]該方法在計算中間數據的步驟和計算中間安全碼的步驟之間還包括通過每一個處理模塊將其中間數據的值發送給其它處理模塊的步驟和在多數值存在的情況下通過每一個處理模塊從中間數據的全部值當中測試該多數值的存在的步驟,多數值是中間數據的值當中的最頻繁的值;
[0021]如果在對應的測試步驟期間對於多數值的存在的測試是否定的,那麼該方法包括通過處理模塊之一抑制其加密變量的步驟;
[0022]該方法在計算中間安全碼的步驟之前還包括通過每一個處理模塊重置其加密變量的步驟,所述重置步驟是在所有的處理模塊當中以同步的方式進行的;
[0023]輸出數據是在選擇步驟期間由計算部件選擇的中間數據;
[0024]該方法還包括通過接收設備接收安全碼和輸出數據的步驟和通過接收設備檢查安全碼和輸出數據之間的一致性的步驟。
[0025]本發明的目的還在於前述類型的計算機,其特徵在於,第一計算裝置還能夠從對應的中間數據計算中間安全碼,每一個處理模塊能夠向計算部件發送中間安全碼和對應的中間數據,並且,計算部件包括用於從中間安全碼計算安全碼的第二裝置,該計算部件能夠從接收到的中間數據當中選擇中間數據並向接收設備發送安全碼和輸出數據,輸出數據包括選擇的中間數據。
[0026]本發明的目的還在於包括計算機和用於接收數據的設備的通信單元,該計算機能夠提供安全碼和數據,接收設備包括用於在存儲器中存儲控制算法的裝置,接收設備能夠接收安全碼和輸出數據,並且通過應用控制算法來檢查安全碼和輸出數據之間的一致性,其中,計算機是如上面限定的。
[0027]本發明的目的還在於包括至少一個上述的通信單元的鐵路管理系統。
【專利附圖】
【附圖說明】
[0028]參考附圖閱讀下面的僅僅作為非限制性的例子給出的描述,本發明的這些特徵和優點將變得顯而易見的,在附圖中:
[0029]圖1是根據本發明的包括計算機的鐵路管理系統的示意圖,該計算機包括兩個數據處理模塊;[0030]圖2是圖1的計算機的數據處理模塊中的一個數據處理模塊的示意圖;以及
[0031]圖3是由圖1的計算機應用的根據本發明的提高數據可靠性的方法的流程圖。
【具體實施方式】
[0032]在本描述中,在通信網絡中循環的邏輯數據或信息被稱為「安全數據"(「securitydata」)。通信網絡通常是非保密網絡,並且,每一個安全數據伴隨著安全碼在網絡上循環。僅在接收設備通過預定的控制算法確定由發送設備通過網絡發送的安全數據和與其相伴的安全碼是一致的時,發送的安全數據由接收設備接受。
[0033]圖1示出包括通信單元2的鐵路管理系統I。例如,鐵路管理系統I在火車站中實現。例如,其能夠確定控制命令並讓這些命令向著火車或者向著諸如切換點的跟蹤安全系統循環。
[0034]單元2包括計算機6和用於接收數據的設備8,該設備8經由數據鏈路10與計算機6連接。
[0035]計算機6包括用於接收數據的裝置11、第一數據處理模塊12A和第二數據處理模塊12B,每一個處理模塊12A、12B與接收裝置11連接。計算機6還包括與每一個處理模塊12AU2B連接的計算部件14和用於向接收設備8發送數據的裝置18,所述發送裝置18與部件14連接。
[0036]計算機6是永久性地固定在鐵路管理系統I內的安全計算機。計算機6能夠對在鐵路管理系統I的通信網絡上循環的安全數據進行計算。更具體地,計算機6能夠從源自於諸如另一個計算機的通信設備的輸入數據M向接收設備8提供輸出數據處。在描述的示例性實施例中,輸入數據M和輸出數據M是通過位的組合(例如,16位組合)形成的變量。
[0037]接收設備8包括用於存儲控制算法的存儲器(未示出)。例如,接收設備8是安全計算機。其能夠接收安全碼Cs和輸出數據處並通過應用控制算法來檢查安全碼Cs和輸出數據處之間的一致性。
[0038]例如,數據鏈路10是根據IEEE-802-11標準的射頻鏈路,通常被稱為Wi_Fi?鏈路。
[0039]接收裝置11能夠接收輸入數據迦並將該輸入數據迦傳送到每一個處理模塊12AU2B的輸入端。
[0040]第一處理模塊12A和第二處理模塊12B均具有相同的結構。因此,在下文中將只描述第一處理模塊12A的結構。
[0041]如圖2所示,第一處理模塊12A包括第一存儲器存儲裝置20A、與第一存儲器存儲裝置20A連接的第一計算裝置22k和與第一計算裝置22k連接的通信裝置24A。第一處理模塊12A還包括與第一存儲器存儲裝置20A連接的刪除裝置26A和與通信裝置24A連接的同步裝置28A。
[0042]第一處理模塊12A還包括與第一存儲器存儲裝置20A和同步裝置28A連接的修改裝置30A。
[0043]在本示例性實施例中,第一存儲器存儲裝置20A通過本身已知的快閃記憶體形成。作為可替代的方案,第一存儲器存儲裝置20A通過可重寫非易失性存儲器形成。作為另一可替代的方案,第一存儲器存儲裝置20A通過可重寫易失性存儲器形成。
[0044]第一存儲器存儲裝置20A能夠存儲專用於第一模塊12A的加密變量\k。在本示例性實施例中,加密變量\k通過16位的組合形成。第一存儲器存儲裝置20A還能夠存儲計算函數σ、加密函數Fe和重置函數Frasrt。在本示例性實施例中,計算函數σ是已知的標準「非」邏輯函數。而且,在本示例性實施例中,加密函數Fe是已知的標準「異或」邏輯函數。例如,重置函數也是「異或」邏輯函數。
[0045]在圖2的示例性實施例中,第一計算裝置22A通過本身已知的數據處理器形成。第一計算裝置22A在一側與接收裝置11連接並在另一側與部件14連接。第一計算裝置22A接收輸入數據M並在部件14的輸入端處提供中間輸出數據Dia和中間安全碼CSIA。第一計算裝置22A能夠從輸入數據迦的值計算中間輸出數據Dia的值。於是,例如,數據Dia被表達為如下:
[0046]Dia=Q (De) (I)
[0047]在本示例性實施例中,中間輸出數據Dia是通過16位的組合形成的變量。
[0048]第一計算裝置22A還能夠從中間輸出數據Dia的值和加密變量Va的值計算中間安全碼Csia的值。中間安全碼Csia被表達為如下:
[0049]Csia=Fc (F1 (Dia, Ma),Vca) (2)
[0050]F1, Ma分別是存儲在第一存儲器存儲裝置20A中的函數和常數。例如,F1是「與」邏輯函數。在本示例性實施例中,Ma是通過16位的組合形成的常數。例如,Ma是通過其值等於I的前八位和其值等於O的後八位的組合形成的。
[0051]第一計算裝置22A還能夠在多數值存在的情況下從若干個中間輸出數據值當中測試多數值的存在,多數值是中間輸出數據值當中的最頻繁的值。
[0052]通信裝置24A包括發送裝置31A和接收裝置32A。發送裝置31A能夠經由數據鏈路34與第二模塊12B的接收裝置32B連接。接收裝置32A能夠經由數據鏈路35與第二模塊12B的發送裝置31B連接。
[0053]例如,數據鏈路34、35是根據IEEE_802_11標準的射頻鏈路,通常被稱為Wi_Fi?鏈路。
[0054]例如,刪除裝置26A通過數據處理器形成。它們能夠刪除存儲在存儲器20A中的加密變量Va的當前值。
[0055]例如,同步裝置28A包括能夠以定期的時刻i傳送脈衝信號的時鐘。同步裝置28A能夠向通信裝置24A和修改裝置30A發送同步信號。同步裝置28A還能夠通過由通信裝置24A發送的同步信號與第二處理模塊12B的同步裝置28B同步。
[0056]例如,修改裝置30A包括偽隨機序列的發生器38A和處理器40A。偽隨機序列的發生器38A與同步裝置28A和處理器40A連接。發生器38A能夠在接收由同步裝置28A傳送的同步信號之後向處理器40A提供偽隨機信號Spa。更具體地,在每一個時刻i,發生器38A能夠向處理器40A提供偽隨機信號Spa(i)。
[0057]處理器40A還與第一存儲器存儲裝置20A和同步裝置28A連接。處理器40A能夠在接收由同步裝置28A傳送的同步信號之後修改存儲在第一存儲器存儲裝置20A內的加密變量Va的當前值。更具體地,在每一個時刻i處,處理器40能夠特別地從加密變量Vca的前一值VeA(1-l)確定加密變量\k的當前值VeA (i)。加密變量Va在時刻i處的當前值被表達為如下:
[0058]Vca (i) =Freset [Spa (i),Vca (1-1) ] (3)
[0059]由此,修改裝置30A能夠修改存儲在第一存儲器存儲裝置20A內的加密變量Vca的當前值。
[0060]第一處理模塊12A由此能夠計算並向部件14的輸入端提供中間輸出數據Dia和中間安全碼Csia。
[0061]第二處理模塊12B的第一存儲器存儲裝置20B能夠存儲專用於模塊12B的加密變量Vcb和與第一處理模塊12A的計算函數σ相同的計算函數σ。在本示例性實施例中,加密變量Vcb通過16位的組合形成。第一存儲器存儲裝置20Β也能夠存儲與第一處理模塊12Α的加密函數Fe相同的加密函數Fe和與第一處理模塊12Α的重置函數Fra3et相同的重置函數Fresrt。
[0062]由此,第二處理模塊12Β的修改裝置30Β能夠修改存儲在第一存儲器存儲裝置20Β內的加密變量Vra的當前值。加密變量Vcb在時刻i處的當前值被表達為如下:
[0063]Vcb ⑴=Freset [Spa ⑴,Vcb (1-Ι) ] (4)
[0064]第二處理模塊12B由此能夠計算並向部件14的輸入端提供中間輸出數據Dib和中間安全碼CSIB。中間輸出數據Dib和中間安全碼Csib被表達為如下:
[0065]Dib=Q (De) (5)
[0066]Csib=Fc (F1 (Dib, Mb),Vcb) (6) [0067]F1^Mb分別是存儲在第一存儲器存儲裝置20B中的函數和常數。函數F1與第一處理模塊12A的函數F1相同。在本示例性實施例中,Mb是通過16位的組合形成的常數。例如,Mb是通過其值等於O的前八位和其值等於I的後八位的組合形成的。
[0068]在描述的示例性實施例中,中間輸出數據Dib是通過16位的組合形成的變量。
[0069]在每一個時刻i處,處理模塊12A的加密變量Va和處理模塊12B的加密變量Vra的值一起檢驗相同的數學關係,例如,以下的數學關係:
[0070]F2 [Vca ⑴,Vcb ⑴]=K (7),
[0071]其中,例如,F2是「異或」邏輯函數,K是常數。在本示例性實施例中,K是通過16位的組合形成的常數。
[0072]處理模塊12A、12B能夠經由其通信裝置和其各自的同步裝置根據同步通信協議交換數據。
[0073]計算部件14在發送裝置18的輸入端處提供輸出數據M和安全碼Cs。部件14包括第二存儲器存儲裝置42和與第二存儲器存儲裝置42連接的第二計算裝置44。
[0074]例如,第二存儲器存儲裝置42通過快閃記憶體形成。第二存儲器存儲裝置42能夠存儲解密常數Kd和合併函數F。.。。在本示例性實施例中,合併函數Fconso是「異或」邏輯函數,並且,解密常數Kd是由16位的組合形成的常數。
[0075]在描述的示例性實施例中,第二計算裝置44通過數據處理器形成。第二計算裝置44在一側與第一計算裝置22A、22B中的每一個連接,並且在另一側與發送裝置18連接。第二計算部件44在發送裝置18的輸入端處提供輸出數據處和安全碼Cs。第二計算部件44能夠從中間輸出數據DIA,Di b的值計算輸出數據M的值。在本示例性實施例中,輸出數據Ds的值被取為等於中間輸出數據Dia的值。作為可替代的方案,輸出數據匹的值被取為等於中間數據Dib的值。
[0076]第二計算部件44還能夠從每一個中間安全碼CSIA,Csib的值和加密常數Kd的值計算安全碼Cs的值。例如,安全碼Cs被表達為如下:
[0077]Cs=Fconso (CSIA, CsibjKd) (8)
[0078]發送裝置18能夠向接收設備8發送輸出數據M和安全碼Cs。
[0079]在圖3中示出本發明的實施例中的提高由計算機6應用的數據的可靠性的方法的步驟。
[0080]在下面的描述中,考慮在處理模塊12A,12B中同時發生故障的概率為零。
[0081]還假設在當前的時刻izi處,第一存儲器存儲裝置20A、20B分別存儲加密變量Vca的當前值Vca (1-Ι)和加密變量Vcb的當前值Vcb (1-1)。
[0082]在初始步驟60期間,接收裝置11接收包括輸入數據迦的消息。
[0083]在下一個步驟62期間,接收裝置11向第一計算裝置22A,22B中的每一個提供輸入數據M。
[0084]在下一個步驟64期間,第一計算裝置22A、22B分別從輸入數據De的當前值計算中間輸出數據Dia的當前值和中間輸出數據Dib的當前值。中間輸出數據Dia和中間輸出數據Dib的表達式分別由式(I)和式(5)給出。
[0085]另外,在下一個步驟66期間,第一計算裝置22A、22B分別將中間輸出數據Dia的當前值和中間輸出數據Dib的當前值發送給發送裝置3IA和3IB。發送裝置3IA和3IB分別經由數據鏈路34、35向接收裝置32B、32A發送中間輸出數據Dia的當前值和中間輸出數據Dib的當前值。接收裝置32B、32A分別向第一計算裝置22B、22A發送中間輸出數據Dia的當前值和中間輸出數據Dib的當前值。
[0086]另外,在下一步驟68期間,第一計算裝置22A、22B中的每一個確定在中間輸出數據Dia、Dib的當前值當中是否存在多數值。
[0087]如果在步驟68結束時第一計算裝置22A、22B中的每一個確定在中間輸出數據DIA、Dib的當前值當中不存在任何多數值,那麼刪除裝置26A在步驟70期間刪除第一存儲器存儲裝置20A中的加密變量\k的當前值。作為可替代的方案,刪除裝置26B在步驟70期間刪除第一存儲器存儲裝置20B中的加密變量Vra的當前值。另外,如後面所述,然後,由處理器40A,40B進行下一步驟72。
[0088]如果在步驟68結束時第一計算裝置22A、22B中的每一個確定在中間輸出數據DIA、Dib的當前值當中存在多數值,那麼進行步驟72。
[0089]在步驟68或步驟70結束之後立即在時刻i處觸發步驟72。在時刻i處,加密變量VCA,Vcb的當前值Vca (1-1),Vcb (1-1)變成前一值。在同一時刻i處,處理器40A、40B分別從所述加密變量的前一值VeA (1-1) ,Vcb (1-1)確定加密變量VeA的當前值VeJi)和加密變量Vcb的當前值Vcb (i)。由此,在處理模塊12A、12B中以同步的方式進行步驟72。在時刻i處加密變量VeA、Vcb的當前值的表達式分別由式(3)和式(4)給出。
[0090]在下一步驟74期間,處理器22A,22B分別從中間輸出數據DIA,Dib的當前值和加密變量VCA,Vcb的當前值計算中間安全碼CSIA,Csib的當前值。中間安全碼CSIA,Csib的表達式分別由式(2)和式(6)給出。
[0091]在下一步驟76期間,第一計算裝置22A,22B分別向第二計算裝置44發送中間輸出數據Dia,Dib和中間安全碼CSIA,Csib。
[0092]在下一步驟78期間,第二計算部件44從每一個中間安全碼CSIA,Csib的當前值和加密常數Kd的值計算安全碼Cs的當前值。安全碼Cs的表達式由式(8)給出。
[0093]在下一步驟80期間,第二計算裝置44從中間輸出數據Dia,Dib的值當中選擇值,例如,選擇的值是中間輸出數據Dia的當前值。輸出數據迦的當前值被取為等於選擇的值,換句話說,等於中間輸出數據Dia的當前值。
[0094]在下一步驟82期間,第二計算裝置44向發送裝置18發送輸出數據Ds和安全碼Cs。發送裝置18然後向接收設備8發送輸出數據處和安全碼Cs。
[0095]在下一步驟83期間,接收設備8接收輸出數據M和安全碼Cs。
[0096]在下一步驟84期間,接收設備8通過應用控制算法來檢查輸出數據迦和安全碼Cs的一致性。
[0097]根據本發明的第一方面,根據本發明的提高數據可靠性的方法由此提供了確保計算機的「多數投票」功能的可能性。的確,如果中間輸出數據Dia,Dib的值相同,那麼輸出數據M採取多數值作為一個值,在這種情況下是單個可能值。而且,如果中間輸出數據Dia,Dib的值不同,那麼安全碼Cs採取與在中間輸出數據Dia,Dib的值相同時採取的值不同的特定值。
[0098]因此,如果中間輸出數據Dia,Dib的值不同,接收設備8確定發送的輸出數據Ds和安全碼(;之間的不一致。然後接收設備8拒絕輸出數據迦。因此,應用根據本發明的方法的計算機6在每一種情況中都給出了提供正確的輸出數據M或者錯誤的但可檢測的輸出數據處的可能性。
[0099]根據本發明的第二方面,獨立於第一方面且作為第一方面的補充,提高數據可靠性的方法給出確保計算機6的「鈍化」功能的可能性。更具體地,步驟66、68和70對應於「鈍化」功能的應用。
[0100]而且,通過重置步驟72,計算機6可以有利地周期性地自測「鈍化」功能並由此保護自身免受刪除裝置26A,16B的故障的風險。這種風險對應於關於刪除裝置刪除第一存儲器存儲裝置20A,20B中的加密變量\k, Vcb,的不可能性。此外,當在重置步驟72期間在處理模塊之一中出現故障的情況中,不再檢驗理論上在每一個時刻i處通過加密變量VCA,Vcb一起檢驗的式(7)的數學關係。由於此特徵,甚至在步驟72期間在處理模塊之一中出現故障的情況下,計算機6的「鈍化」功能也繼續被永久性地得以確保。
[0101]這樣實現了,根據本發明的實施例的提高數據可靠性的方法提供在不使用專用硬體裝置的情況下確保計算機的多數投票功能的可能性。
[0102]本實施例是本發明的優選實施例。
[0103]本領域的技術人員將會理解,本發明以相同的方式適於不包括步驟66、68、70和72的提高數據可靠性的方法。
[0104]在未示出的可替代的方案中,計算機包括NI個數據處理模塊12,NI是大於等於3的整數。每一個處理模塊12包括第一存儲器存儲裝置20和第一計算裝置22。處理模塊12的第一存儲器存儲裝置20能夠存儲專用於該模塊的任何加密變量V。。每一個第一計算裝置22接收輸入數據迦並在部件14的輸入端處提供中間輸出數據D1和中間安全碼CSI。類似於本發明的優選實施例,處理模塊12能夠經由其通信裝置和其各自的同步裝置根據同步通信協議交換數據。此外,每一個處理模塊的計算函數σ、加密函數Fe和重置函數Fra36t相同。
[0105]根據該可替代的實施例,每一個第一計算裝置22還能夠檢查對應的中間輸出數據D1的值和可能的多數值之間的匹配。此外,該方法包括兩個另外的步驟86,88。如果在步驟68結束時每一個第一計算裝置22確定在中間輸出數據D1的值當中存在多數值,那麼在步驟68和步驟72之間進行步驟86,88。
[0106]在步驟86期間,每一個第一計算裝置22檢查其中間輸出數據D1的值是否等於多數值。
[0107]如果在步驟86結束時每一個第一計算裝置22檢查其中間輸出數據D1的值等於多數值,那麼進行步驟72。
[0108]如果在步驟86結束時至少一個第一計算裝置22檢查其中間輸出數據D1中的其數據的值不等於多數值,那麼在步驟88期間對應的處理模塊的刪除裝置刪除第一存儲器存儲裝置20中的加密變量V。的當前值。
[0109]本領域的技術人員將會理解,在步驟76期間,每一個處理模塊12的第一計算裝置22向計算部件14的第二計算裝置44發送對應的中間輸出數據D1和對應的中間安全碼CSI。
[0110]在下一步驟78期間,第二計算裝置44從在步驟76期間發送的每一個中間安全碼Csi的當前值計算安全碼Cs的當前值。
[0111]在下一步驟80期間,第二計算裝置44從在步驟76期間發送的中間輸出數據D1的值當中選擇一個值。然後,輸出數據處的當前值被取為等於選擇的值。
[0112]在下一步驟82期間,第二計算裝置44向發送裝置18發送輸出數據處和安全碼Cs。發送裝置18然後向接收設備8發送輸出數據處和安全碼Cs。
[0113]在下一步驟83期間,接收設備8接收輸出數據迦和安全碼Cs。
[0114]在下一步驟84期間,接收設備8通過應用控制算法來檢查輸出數據M和安全碼Cs的一致性。
[0115]根據另一個未示出的具體的可替代的實施例,計算機包括三個數據處理模塊12A, 12B, 12C。於是,當這三個模塊中的至少兩個從相同的輸入數據產生一致的輸出數據時,滿足「多數投票」條件。
[0116]於是,這樣形成的計算機包括三對處理模塊(12A; 12B)、(12B; 12C)和(12C; 12A),每一個模塊12A, 12B, 12C屬於兩對。
[0117]於是,在每一個處理模塊12A,12B, 12C中,用於產生中間安全碼的處理被加倍。特別地,對應每一個模塊12A,12B, 12C,產生兩個中間安全碼Cs1.CSI_AC, Cs1-BA,Cs1-BC) Cs1-CA) Cg1-CB。 更具體地,每一個模塊12A,12B,12C對於其所屬的每一個對(12A;12B), (12B;12C), (12C;12A)產生一個代碼。
[0118]每一個模塊12A,12B, 12C的第一存儲器存儲裝置20能夠存儲與該模塊有關的兩個加密變量Vc I和Vc2。
[0119]每一個第一計算裝置22接收輸入數據De並在部件14的輸入端處提供中間輸出數據D1和兩個中間安全碼Cs1:模塊12A計算兩個代碼CsiJ和CSI_A。;模塊12B計算兩個代
碼 CSI—BA 和CSI_B。;模塊12c計算兩個代碼CSI_eA和CSI_CB。
[0120]部件14基於接收到的數據D1的多數投票來從三個可能的對(12A;12B), (12B;12C), (12C;12A)當中選擇一對模塊。[0121]然後,部件14從與選擇的對相關聯的中間安全碼計算安全碼Cs。因此,如果已經選擇了一對(12A; 12B),那麼從中間代碼CsiJ和CSI_BA計算安全碼Cs。
[0122]這樣實現了,根據本發明的提高數據可靠性的方法提供在不使用專用硬體裝置的情況下確保計算機的多數投票和鈍化功能的可能性。
【權利要求】
1.一種用於提高計算機(6)中的數據的可靠性的方法,該計算機(6)能夠從輸入數據(De)提供輸出數據(Ds),並且包括至少兩個數據處理模塊(12A,12B)和與每一個處理模塊(12A, 12B)連接的計算部件(14), 該方法包括通過每一個處理模塊(12A,12B)從輸入數據(M)計算中間數據(Dia,Dib)的步驟(64),所述計算包括對輸入數據(M)應用計算函數(σ),計算函數(ο)對於所有的處理模塊(12Α,12Β)都是相同的, 該方法的特徵在於,該方法包括如下步驟: -通過每一個處理模塊(12Α,12Β),從對應的中間數據(Dia,Dib)計算(74)中間安全碼(C5IA) CsiB), -通過每一個處理模塊(12A, 12B),向計算部件(14)發送(76)中間安全碼(CSIA, Csib)和中間數據(Dia,Dib), -通過計算部件(14),從中間安全碼(CSIA,CSIB)計算(78)安全碼(Cs), 通過計算部件(14),從接收到的中間數據(Dia,Dib)當中選擇(80)中間數據,計算機(6)的輸出數據(M)包括選擇的中間數據,以及 通過計算部件(14),向接收設備(8)發送(82)安全碼(Cs)和輸出數據(處)。
2.根據權利要求1所述的方法,其特徵在於,每一個處理模塊(12A,12B)包括用於在存儲器中存儲至少一個加密變量(Vq^Vcb)和加密函數(Fe)的第一裝置(20A,20B),加密函數(Fe)對於所有的處理模塊(12A,12B)都是相同的,並且,在從對應的中間數據(Dia,Dib)計算中間安全碼(CSIA,CSIB)的步驟(74)期間,所述計算包括通過每一個處理模塊(12A,12B)來將加密函數(Fe)至少應用於中間數據(Dia, Dib)和加密變量(VeA,Vra)。
3.根據權利要求1或2所述的方法,其特徵在於,計算部件(14)包括用於在存儲器中存儲至少一個解密常數(Kd)和合併函數(F。.。)的第二裝置(42),並且,在從中間安全碼(CSIA, Csib)計算安全碼(Cs)的步驟(78)期間,所述計算包括通過計算部件(14)將合併函數(F。.。)應用於每一個接收到的中間安全碼(Csia,Csib)和解密常數(Kd)。
4.根據權利要求2或3所述的方法,其特徵在於,該方法在計算中間數據的步驟(64)和計算中間安全碼的步驟(74)之間還包括通過每一個處理模塊(12A,12B)將其中間數據(Dia, Dib)的值發送給其它處理模塊(12A,12B)的步驟(66)和在多數值存在的情況下通過每一個處理模塊(12A,12B)從中間數據(Dia,Dib)的全部值當中測試該多數值的存在的步驟(68),多數值是中間數據(Dia,Dib)的值當中的最頻繁的值。
5.根據權利要求4所述的方法,其特徵在於,如果在對應的測試步驟(68)期間對於多數值的存在的測試是否定的,那麼該方法包括通過處理模塊(12A,12B)之一抑制其加密變量(VCA,Vcb)的步驟(70)。
6.根據權利要求2至5中的任一項所述的方法,其特徵在於,該方法在計算中間安全碼的步驟(74)之前還包括通過每一個處理模塊(12A,12B)重置其加密變量(VCA,Vra)的步驟(72),所述重置步驟(72)是在所有的處理模塊(12A,12B)當中以同步的方式進行的。
7.根據前述權利要求中的任一項所述的方法,其特徵在於,輸出數據(M)是在選擇步驟(80)期間由計算部件(14)選擇的中間數據。
8.根據前述權利要求中的任一項所述的方法,其特徵在於,該方法還包括通過接收設備⑶接收安全碼(Cs)和輸出數據(M)的步驟(83)和通過接收設備⑶檢查安全碼(Cs)和輸出數據(他)之間的一致性的步驟(84)。
9.根據前述權利要求中的任一項所述的方法,其特徵在於,計算機包括三個數據處理模塊,這三個處理模塊以三對模塊的形式被分布,每一個模塊屬於兩個不同的對,每一個處理模塊從對應的中間數據計算兩個中間安全碼,每一個中間安全碼與該模塊所屬的兩對之一相關聯,每一個處理模塊向計算部件(14)發送中間數據和兩個相關中間安全碼,計算部件(14)從通過處理模塊之一發送的且與第一對模塊相關聯的第一中間安全碼和由另一個模塊發送的第二中間安全碼計算安全碼(Cs),所述第二中間安全碼與所述第一對模塊相關聯,並且,由計算部件(14)選擇的中間數據是與所述第一對模塊中的模塊相關聯的中間數據之一。
10.一種能夠從輸入數據(M)提供輸出數據(處)的計算機(6),包括: -至少兩個數據處理模塊(12A,12B),每一個處理模塊(12A,12B)包括用於從輸入數據(M)計算中間數據(Dia,Dib)的第一裝置(22A,22B),所述第一計算裝置能夠對輸入數據(De)應用計算函數(0),該計算函數(σ)對於所有的處理模塊(12A,12B)都是相同的, -與每一個處理模塊(12A,12B)連接的計算部件(14)。 其特徵在於,第一計算裝置(22A,22B)還能夠從對應的中間數據(Dia,Dib)計算中間安全碼(CSIA,CSIB),每一個處理模塊(12A,12B)能夠向計算部件(14)發送中間安全碼(Csia,Csib)和對應的中間數據(DIA,DIB),並且,計算部件(14)包括用於從中間安全碼(CSIA, Csib)計算安全碼(Cs)的第二裝置(44),該計算部件(14)能夠從接收到的中間數據(Dia, Dib)當中選擇中間數 據並向接收設備(8)發送安全碼(Cs)和輸出數據(處),輸出數據(Ds)包括選擇的中間數據。
11.一種包括計算機(6)和數據接收設備(8)的通信單元(2),該計算機(6)能夠提供安全碼(Cs)和數據(M),接收設備(8)包括用於在存儲器中存儲控制算法的裝置,接收設備⑶能夠接收安全碼(Cs)和輸出數據(M),並且通過應用控制算法來檢查安全碼(Cs)和輸出數據(處)之間的一致性,其特徵在於,計算機(6)是根據權利要求10所述的計算機。
12.—種鐵路管理系統(I),其特徵在於,該鐵路管理系統包括至少一個根據權利要求11所述的單元⑵。
【文檔編號】G06F21/60GK103577760SQ201310244081
【公開日】2014年2月12日 申請日期:2013年6月19日 優先權日:2012年6月19日
【發明者】X·伽洛伊斯, G·維伯特 申請人:阿爾斯通運輸股份有限公司