本發(fā)明涉及一種裝置的、尤其交通工具的數(shù)據(jù)網(wǎng)，所述數(shù)據(jù)網(wǎng)具有：一組裝置內部的用戶、至少一個環(huán)和至少一個接口單元，在所述環(huán)中，該組的環(huán)內部的用戶在環(huán)拓撲中彼此聯(lián)網(wǎng)，所述接口單元設置用于建立至少一個環(huán)外部的用戶到環(huán)上的連接。

背景技術：

數(shù)據(jù)網(wǎng)、尤其軌道交通工具中的數(shù)據(jù)網(wǎng)是已知的，在所述數(shù)據(jù)網(wǎng)中在至少一個網(wǎng)絡部段中實施環(huán)拓撲。數(shù)據(jù)網(wǎng)的設置在環(huán)外部的用戶能夠經(jīng)由環(huán)的至少一個部分與其它的、環(huán)內部的或者環(huán)外部的用戶通信。網(wǎng)絡設備、例如上級的控制設備，或者用于軌道交通工具的裝置的控制設備、例如用于制動器或者門的控制設備，例如能夠經(jīng)由至少一個交換機(Switch)接入環(huán)中。根據(jù)OSI層結構，這實現(xiàn)了在層2(例如以太網(wǎng))上的連通性。環(huán)提供了如下優(yōu)點：在環(huán)中斷的情況下，例如在由于火災或者交通工具事故引起破壞的情況下，經(jīng)由未受損的環(huán)部段進行通信還是可行的。

除了這些冗余方面，關于數(shù)據(jù)安全的方面(所謂的“Security安全”)和關于人員保護的方面(所謂的“Safety安全”)變得日益重要。特別地，網(wǎng)絡設備接入到環(huán)中的可行性出于所謂的“Safety安全原因”應當是可受限的。然而，在此也應可行的是，例如為了維護目的，至少暫時地許可接入視作為安全的維護設備。

對數(shù)據(jù)網(wǎng)或網(wǎng)絡接口的訪問能夠物理地受到保護，例如通過可封閉的維護蓋板來保護。對數(shù)據(jù)網(wǎng)的訪問同樣能夠通過邏輯的保護措施來限制。能夠進行網(wǎng)絡訪問控制，其中識別或驗證與數(shù)據(jù)網(wǎng)接口(也稱為“端口”)連接的設備。僅當所連接的設備被認為是許可的時，才激活網(wǎng)絡接口。實例是根據(jù)IEEE 802.1x的所謂的“網(wǎng)絡訪問控制”或者是根據(jù)RFC5191的PANA。替選地或附加地，網(wǎng)絡設備通常能夠根據(jù)MAC地址或者借助于密碼或者還有設備證書(例如根據(jù)X.509)來識別或驗證。

然而，在這種驗證協(xié)議中，例如在802.1x中，以專用的拓撲為基礎，如其在固定網(wǎng)絡中、例如在建筑物網(wǎng)絡中是常見的。該拓撲的特征在于結構化的布線，其中進行從接入交換機(Acess Switch)到每個客戶端的單獨的網(wǎng)絡連接。在此，在檢查接口或端口位于受保護的環(huán)境中之后，就啟用所述接口或端口。已知的驗證協(xié)議因此無法容易地轉用到環(huán)拓撲上。

除了驗證措施外也已知所謂的“防火墻”或者分組過濾器，所述“防火墻”或者“分組過濾器”對網(wǎng)絡流量進行過濾，使得僅放行具有許可的特性的流量。

技術實現(xiàn)要素：

本發(fā)明基于如下目的：實現(xiàn)具有至少一個環(huán)的這種數(shù)據(jù)網(wǎng)，其中能夠實現(xiàn)安全的運行和簡單的、尤其在應用中靈活的管理。

對此提出：數(shù)據(jù)網(wǎng)具有：過濾裝置和識別裝置，所述過濾裝置具有至少一個過濾功能，所述過濾裝置設置用于：在至少一個用戶標記方面過濾環(huán)的數(shù)據(jù)通信，所述識別裝置設置用于：對于環(huán)外部的用戶采取與該用戶的用戶標記相關的至少一個措施，使得在用于環(huán)中的數(shù)據(jù)通信的過濾功能方面，該用戶標記是被許可的。由此，除了在數(shù)據(jù)網(wǎng)運行中高的安全性外，還能夠實現(xiàn)關于管理數(shù)據(jù)網(wǎng)、尤其在接入環(huán)外部的用戶方面的有利的靈活性。與用戶標記相關的措施在執(zhí)行和實施時是尤其低耗費的。

環(huán)尤其能夠用于實時通信和/或Safety安全相關的通信。在此，通常在可用于環(huán)的Security安全機制方面存在限制。因此，用于環(huán)的過濾規(guī)則必要時例如不可變化或者僅可受限制地變化。與用戶標記相關的措施可有利地應用在這種使用環(huán)境中。

尤其應當將“裝置內部的”用戶理解為數(shù)據(jù)網(wǎng)的如下用戶，所述用戶在其裝入類型和/或其功能方面設置用于：持久地聯(lián)接在裝置上、尤其機械地聯(lián)接在裝置上。特別地，對于裝置內部的用戶而言，在裝置中設有特定的裝入空間，其中該裝置的固定單元適當?shù)赜糜诠潭ǖ芈?lián)接用戶。應當將數(shù)據(jù)網(wǎng)的“環(huán)內部的”用戶理解為裝置內部的用戶，所述裝置內部的用戶是環(huán)的組成部分或者與至少兩個其它的裝置內部的用戶形成環(huán)。應當將“環(huán)外部的”用戶理解為數(shù)據(jù)網(wǎng)的如下用戶，所述用戶連接在環(huán)外部。環(huán)外部的用戶在本領域專業(yè)術語中也稱為“離環(huán)部件”。環(huán)外部的用戶能夠是裝置內部的用戶或者是如下另一用戶，所述另一用戶非持久性地、尤其偶爾聯(lián)接到數(shù)據(jù)網(wǎng)上。這種用戶尤其稱為“裝置外部的”用戶。

應當將環(huán)外部的用戶到環(huán)上的“連接”理解為物理的和/或邏輯的連接。特別地，接口單元能夠形成所謂的端口，通過所述端口能夠給環(huán)外部的用戶提供對環(huán)的訪問。

識別裝置和接口單元能夠至少部分地、有利地完全由共同的物理結構單元形成。接口單元和/或識別裝置以及環(huán)內部的用戶中的至少一個，能夠至少部分地、有利地完全由共同的物理結構單元形成。換而言之，接口單元和/或識別裝置能夠至少部分地、有利地完全由環(huán)內部的用戶的適當?shù)仃P聯(lián)的結構單元形成。

過濾裝置適當?shù)鼐哂兄辽僖粋€過濾規(guī)則，按照所述過濾規(guī)則根據(jù)特定的條件檢查用戶標記。待檢查的用戶標記至少能夠是如下數(shù)據(jù)包的源地址或者目標地址的組成部分，所述數(shù)據(jù)包設置用于在環(huán)的至少一部分上進行傳輸。在一個變型形式中，待檢查的用戶標記至少能夠是虛擬的網(wǎng)絡標記符(或者VLAN標記符)的組成部分。在另一變型形式中，待檢查的用戶標記能夠是加密校驗和(例如消息驗證碼、消息完整性碼、數(shù)字簽名)。所述條件優(yōu)選根據(jù)數(shù)據(jù)組來限定，所述數(shù)據(jù)組包含至少一個列表的對于環(huán)的數(shù)據(jù)通信而言被許可的用戶標記。例如能夠執(zhí)行過濾規(guī)則，使得如果與數(shù)據(jù)包的一個或多個用戶標記相關的條件被滿足或者不被滿足，那么轉發(fā)或者阻攔數(shù)據(jù)包。

環(huán)能夠實現(xiàn)單向的通信(例如僅順時針或者逆時針)或者能夠實現(xiàn)雙向的通信(在這兩個取向上)。在雙向的通信中，環(huán)能夠構成為雙環(huán)，其中第一環(huán)單元設置用于順時針通信，而第二環(huán)單元設置用于相反方向通信。為了實現(xiàn)具有尤其高的可用性或故障安全性的通信網(wǎng)絡，環(huán)本身能夠冗余地實現(xiàn)。因此，環(huán)例如能夠具有兩個環(huán)單元，其中這兩個環(huán)單元上的數(shù)據(jù)能夠冗余地傳輸。

環(huán)拓撲能夠以物理的和/或邏輯的方式實現(xiàn)。環(huán)拓撲例如可以至少部分地借助于VLAN(或者虛擬局域網(wǎng))實現(xiàn)。能夠設有多個物理的環(huán)單元和/或多個更高級別的邏輯的環(huán)單元。

應當將“環(huán)”的數(shù)據(jù)通信理解為數(shù)據(jù)至少在環(huán)部段或者環(huán)的一部分上的流通(Verkehr)。在此其能夠是在兩個環(huán)內部的用戶之間的、在環(huán)內部的用戶和至少一個環(huán)外部的用戶之間的或者在兩個環(huán)外部的用戶之間的數(shù)據(jù)通信，其中在后一種情況下，經(jīng)由至少一個環(huán)部段建立數(shù)據(jù)連接。

過濾裝置能夠設置用于，過濾如下數(shù)據(jù)通信，所述數(shù)據(jù)通信被確定用于提供到環(huán)上。這能夠通過如下方式實現(xiàn)：過濾裝置具有至少一個過濾模塊，所述過濾模塊與接口單元相關聯(lián)。由此，在數(shù)據(jù)通信被導入環(huán)部段之前，能夠對所述數(shù)據(jù)通信進行過濾。換而言之，對數(shù)據(jù)通信進行過濾能夠在環(huán)外部進行。此外，在該實施方案中，能夠對源自環(huán)的且朝向至少一個環(huán)外部的用戶定向的數(shù)據(jù)通信進行過濾。在結構上簡單的解決方案中，過濾模塊能夠與接口單元耦合。尤其有利的是，接口單元和過濾模塊由共同的、關聯(lián)的結構單元形成。

替選地或附加地，過濾裝置能夠設置用于：過濾如下數(shù)據(jù)通信，所述數(shù)據(jù)通信在至少一個環(huán)部段上進行。對此提出：過濾裝置具有一組過濾模塊，其中至少一個不同的過濾模塊分別與環(huán)內部的用戶相關聯(lián)。由此能夠實現(xiàn)對如下數(shù)據(jù)通信進行過濾，所述數(shù)據(jù)通信在環(huán)的內部執(zhí)行。過濾模塊在此適當?shù)胤謩e設置用于：根據(jù)至少一個過濾規(guī)則檢查并且必要時轉發(fā)在環(huán)部段上到來的數(shù)據(jù)通信，例如將其轉發(fā)到下一個環(huán)部段中，或者對其進行阻攔。

在本文中，當至少一個不同的過濾模塊分別與環(huán)內部的用戶耦合時，能夠實現(xiàn)緊湊且節(jié)省構件的實施方案。尤其有利的是，過濾模塊和相關聯(lián)的環(huán)內部的用戶由共同的、關聯(lián)的結構單元形成。換而言之，環(huán)內部的用戶分別具有至少一個過濾模塊。

在本發(fā)明的一個有利的改進形式中提出：過濾裝置包括至少一個過濾模塊，所述過濾模塊至少配設有交換機功能(Switch-)，由此能夠實現(xiàn)尤其簡單的、可通過廣泛使用的手段執(zhí)行的網(wǎng)絡管理。優(yōu)選地，過濾裝置具有一組過濾模塊，所述過濾模塊分別與不同的環(huán)內部的用戶相關聯(lián)并且至少配設有交換機功能。

在本發(fā)明的一個有利的改進形式中，環(huán)內部的用戶優(yōu)選分別構成為控制設備。控制設備在此分別有利地被編程，以控制所述裝置的至少一個特定的功能，所述控制與僅控制數(shù)據(jù)網(wǎng)中的數(shù)據(jù)通信不同?？刂圃O備適當?shù)胤謩e設置用于控制至少一個傳感器單元、促動器單元和/或下級的控制單元。尤其有利的是，控制設備構成為可編程邏輯控制器(或者“SPS”)。環(huán)內部的用戶例如能夠由類型的模塊形成。有利的是，控制設備中的一個控制設備能夠執(zhí)行所述裝置的中央的控制設備的功能?？刂圃O備尤其能夠本身設有交換機功能。當環(huán)的一個控制設備具有接口單元和/或過濾裝置的過濾模塊或者環(huán)的多個控制設備分別具有接口單元和/或過濾裝置的過濾模塊時，上述情況是尤其有利的。

在本文中，環(huán)內部的用戶尤其能夠設置用于控制軌道交通工具、陸上交通工具或者飛行器。在此，關于用于環(huán)的、尤其可在環(huán)中使用的Security安全機構，通常存在尤其強的限制。因此，用于環(huán)的過濾規(guī)則或者在環(huán)中的過濾規(guī)則必要時不能夠被改變或者僅可受限制地改變。在這種使用環(huán)境中可有利地應用與用戶標記相關的措施。當環(huán)用于實時通信和/或用于Safety安全相關的通信時，這尤其在裝置構成為軌道交通工具的情況下是有利的。對環(huán)上的數(shù)據(jù)通信的管理在此受制于嚴格的要求，使得在其它應用情況下無法容易地使用常見的Securiy安全機制。軌道交通工具中的所謂的“Safety安全要求”尤其在標準EN 50128、50159、50126和/或50129中限定。特別地，Safety安全要求的目的在于人員保護，其中Security安全要求與通常的數(shù)據(jù)安全相關。Safety安全要求因此比Security安全要求更嚴格。

根據(jù)本發(fā)明的一個優(yōu)選的構成方案提出：數(shù)據(jù)網(wǎng)具有網(wǎng)絡訪問控制單元，所述網(wǎng)絡訪問控制單元設置用于根據(jù)限定的驗證協(xié)議管理數(shù)據(jù)通信訪問，其中識別裝置在至少一種運行模式中設置用于：根據(jù)通過網(wǎng)絡訪問控制單元對環(huán)外部的用戶的許可，來對該環(huán)外部的用戶采取措施。由此，能夠進一步提高數(shù)據(jù)網(wǎng)中的數(shù)據(jù)通信的管理中的安全性。網(wǎng)絡訪問控制單元至少在軟件方面適當?shù)嘏c過濾裝置不同。特別地，對于環(huán)外部的用戶僅在至少導入網(wǎng)絡訪問控制單元的許可過程之后，尤其僅在以成功的許可結束之后，才在至少一個運行模式中導入如下過程，所述過程用于識別裝置的與該環(huán)外部的用戶相關的措施。至少應當將對數(shù)據(jù)通信訪問的“管理”理解為如下過程，所述過程包括許可或者拒絕訪問。該訪問通常能夠是對數(shù)據(jù)網(wǎng)的訪問，然而網(wǎng)絡訪問控制單元有利地設置用于：有針對性地管理對環(huán)的數(shù)據(jù)通信訪問。在此，對于具有由網(wǎng)絡訪問控制單元許可的訪問的環(huán)外部的用戶而言，例如能夠啟用接口單元的端口或接口。在此，網(wǎng)絡控制單元能夠稱為“環(huán)訪問控制器”或者也能夠稱為“環(huán)訪問控制裝置”。

有利的是，通過網(wǎng)絡訪問控制單元對環(huán)外部的用戶進行耗費的且待處理的驗證，由此過濾裝置本身不必執(zhí)行和檢查驗證任務。當過濾裝置具有如下過濾模塊時，這是尤其有利的，所述過濾模塊由環(huán)內部的用戶形成，因為這些過濾模塊從而環(huán)的相關聯(lián)的用戶不承擔該任務。

作為驗證協(xié)議可以考慮不同的、對于本領域技術人員而言顯得有意義的協(xié)議，如尤其根據(jù)802.1x的協(xié)議、根據(jù)RFC 5191的PANA、借助于設備證書的EAP-TLS驗證或者具有基于證書的驗證的HTTPS。特別地，網(wǎng)絡訪問控制單元能夠具有第一單元和至少一個與所述單元分開的驗證服務器，所述驗證服務器檢查對待許可的環(huán)外部的用戶的驗證并且給所述單元提供驗證過程的結果。驗證服務器能夠是環(huán)外部的用戶的組成部分。作為其它驗證協(xié)議，能夠基于MAC地址進行簡單的驗證。作為其它的驗證方法，能夠借助于用戶名和密碼或者借助于訪問代碼進行驗證。所述用戶名和密碼或訪問代碼例如能夠輸入到網(wǎng)頁的HTML表單中。在另一變型形式中，驗證能夠借助于物理的訪問令牌，例如借助于機械的鑰匙開關或者RFID讀卡器來進行。

在一個變型形式中，能夠暫時地進行啟用。啟用環(huán)外部的用戶還能夠通過注銷該用戶(“EAPOL-Logoff”)、“超時-標準”或者通過將環(huán)外部的用戶與數(shù)據(jù)網(wǎng)的物理網(wǎng)絡連接斷開來終止。

如果對于環(huán)外部的用戶而言，數(shù)據(jù)通信訪問被網(wǎng)絡訪問控制單元拒絕，那么該用戶所參與的數(shù)據(jù)通信能夠被網(wǎng)絡訪問控制單元阻止。替選地，網(wǎng)絡訪問控制單元能夠將如下消息發(fā)送給過濾裝置，所述消息包含表示被拒絕的用戶的用戶標記，使得環(huán)上的數(shù)據(jù)通信對于該用戶標記而言被過濾裝置阻攔。在一個實施方案變型形式中，替選地或附加地，能夠將警告消息發(fā)送給其它的裝置內部的用戶。在所述裝置構成為交通工具的情況下，警告消息能夠被發(fā)送給交通工具駕駛員，所述警告消息能夠聲學地和/或光學地發(fā)送。此外可行的是，產(chǎn)生如下消息，所述消息觸發(fā)驅動單元和/或制動設備的操作過程，例如阻攔起動運行或者自動的制動觸發(fā)。

網(wǎng)絡訪問控制單元和接口單元能夠至少部分地、有利地完全由共同的物理結構單元形成。特別地，網(wǎng)絡訪問控制單元的至少第一單元能夠由接口單元形成。接口單元和/或網(wǎng)絡訪問控制單元以及環(huán)內部的用戶中的至少一個，能夠至少部分地、有利地完全由共同的物理結構單元形成。換而言之，接口單元和/或網(wǎng)絡訪問控制單元能夠至少部分地、有利地完全地由環(huán)內部的用戶的適當關聯(lián)的結構單元形成。

網(wǎng)絡訪問控制單元和識別裝置能夠至少部分地、有利地完全由共同的物理結構單元形成。特別地，網(wǎng)絡訪問控制單元的至少第一單元能夠由識別裝置形成。在對環(huán)外部的用戶成功驗證之后，網(wǎng)絡訪問控制單元能夠以實現(xiàn)識別裝置的功能的方式采取與經(jīng)驗證的環(huán)外部的用戶的用戶標記相關的措施，使得用戶的數(shù)據(jù)通訊在用于環(huán)中的數(shù)據(jù)通訊的過濾功能方面，根據(jù)用戶標記可識別為是許可的。此外，識別裝置和/或網(wǎng)絡訪問控制單元以及環(huán)內部的用戶中的至少一個，能夠至少部分地、有利地完全由共同的物理結構單元形成。換而言之，識別裝置和/或網(wǎng)絡訪問控制單元能夠至少部分地、有利地完全由環(huán)內部的用戶的適當關聯(lián)的結構單元形成。如果過濾裝置具有由環(huán)內部的用戶形成的過濾模塊，并且如果網(wǎng)絡訪問控制單元至少部分地、有利地完全由環(huán)內部的用戶的適當關聯(lián)的結構單元形成，那么能夠通過有利地將網(wǎng)絡訪問控制單元的功能與過濾裝置的功能分開，從而避免過濾模塊進而多個環(huán)內部的用戶承擔驗證任務。所述驗證任務能夠借助形成網(wǎng)絡訪問控制單元的單個環(huán)內部的用戶來執(zhí)行。

為了構成用戶標記，可以考慮不同的特性。用戶的特征例如能夠在于特別的傳輸協(xié)議(例如TCP、UDP)。此外，可以考慮端口號或者VLAN-ID作為其它用戶標記。尤其有利的是，用戶標記是對OSI層模型的服務接入點的標記，例如IP地址或者MAC地址或者端口號。然而，當用戶標記是對OSI數(shù)據(jù)鏈路層的標記時，能夠實現(xiàn)過濾裝置的簡單的構成。這尤其適合于將接口單元構成為交換機。特別地，用戶標記能夠構成為MAC地址。OSI數(shù)據(jù)鏈路層在本領域專業(yè)術語中也稱為“層2”。

經(jīng)由接口單元能夠建立不同類型的環(huán)外部的用戶的連接。特別地，能夠經(jīng)由接口單元，將該組裝置內部的用戶的至少一個環(huán)外部的用戶連接到環(huán)上。當設置用于持久地聯(lián)接在裝置上的環(huán)外部的、裝置內部的用戶在重新構建或者維護該裝置時被安裝、重新配置和/或再配置時，這是尤其有利的。特別地，其能夠是如下用戶，所述用戶經(jīng)由所謂的“即插即用自動配置機構”聯(lián)接到數(shù)據(jù)網(wǎng)中。尤其能夠經(jīng)由接口單元將一組裝置內部的用戶通過如下方式連接到環(huán)上：接口單元建立環(huán)與總線結構的連接，該組用戶聯(lián)接到所述總線結構上。

替選地或附加地，接口單元用于：連接裝置外部的用戶作為環(huán)外部的用戶，所述裝置外部的用戶未聯(lián)接在裝置上或者設置用于：偶爾聯(lián)接到裝置上。尤其有利的是，能夠經(jīng)由接口單元將維護設備，也稱為“服務設備”連接到環(huán)上，其中接口單元形成所謂的“服務端口”。接口單元通常能夠設置用于裝置外部的用戶的有線的連接和/或無線的、通過無線電建立的連接。

在本發(fā)明的一個有利的改進形式中提出，過濾裝置具有多個過濾模塊，所述過濾模塊分別與裝置的不同的運行狀態(tài)相關聯(lián)。由此，能夠實現(xiàn)數(shù)據(jù)網(wǎng)管理中高的、尤其動態(tài)的靈活性。過濾裝置例如能夠具有至少一個用于裝置的正常運行的過濾規(guī)則和至少一個用于裝置的干擾運行的不同的過濾規(guī)則。干擾運行例如能夠由于報告檢測到火災來觸發(fā)。此外，干擾運行能夠通過數(shù)據(jù)網(wǎng)的物理故障，例如線路中斷來觸發(fā)。用于干擾運行的過濾規(guī)則與在裝置的正常運行中相比尤其能夠提出不那么嚴格的要求，以便尤其實現(xiàn)快速的數(shù)據(jù)通信。這尤其在緊急情況下是特別有利的。

此外提出：過濾裝置具有至少一個用于裝置的正常運行的過濾規(guī)則和至少一個用于裝置的初始化運行的不同的過濾規(guī)則。尤其應當將“初始化運行”理解為裝置的如下運行模式，所述運行模式始于裝置的切斷狀態(tài)或靜止狀態(tài)進行直至開始正常運行。在本領域專業(yè)術語中，初始化運行也能夠稱為裝置的“引導啟動”。用于初始化運行的過濾規(guī)則與在裝置的正常運行中相比尤其能夠提出不那么嚴格的要求，借此，正常運行能夠快速且可靠地建立。如果裝置構成為交通工具，那么能夠通過初始化運行中的至少一個特別的過濾規(guī)則快速且可靠地實現(xiàn)行駛運行的開始。通過所提出的解決方案，(在裝置構成為軌道交通工具的情況下)尤其快速且可靠地進行所謂的“列車設置(Zugtaufe)”的階段。

干擾和/或初始化運行中的過濾規(guī)則能夠提出：環(huán)的至少一個部分上的數(shù)據(jù)通信以關于用戶標記的最低限制來過濾。特別地，相對于正常運行的過濾規(guī)則，能夠設有用于干擾和/或初始化運行的第二過濾規(guī)則，根據(jù)所述第二過濾規(guī)則來調節(jié)根據(jù)正常運行的過濾規(guī)則的、基于用戶標記的過濾。在初始化運行中，尤其能夠提出：一個列表的由過濾裝置驗證的用戶標記通過登錄所有裝置內部的用戶來構建。對此所需的、被發(fā)送給過濾裝置的登錄消息，能夠在環(huán)中或者在環(huán)上根據(jù)第二過濾規(guī)則不受限地傳輸，其中其它消息受制于正常運行的過濾規(guī)則，所述其它消息的內容超出該登錄從而包括其它的有用數(shù)據(jù)。

如果數(shù)據(jù)網(wǎng)如在上文中所描述的那樣具有網(wǎng)絡訪問控制單元，那么接口單元在裝置的至少一個運行狀態(tài)中有利地設置用于：啟用如下接口，所述接口用于將環(huán)外部的、未通過網(wǎng)絡訪問控制單元檢查的用戶連接到環(huán)上。由此，能夠在特定的運行狀態(tài)中，尤其有利地在干擾和/或初始化運行中，對于用于環(huán)的數(shù)據(jù)通信的許可而言，相對于正常運行取消關于通過網(wǎng)絡訪問控制單元進行成功的許可過程的前提條件。因此，在裝置構成為軌道交通工具的情況下，在其初始化運行中能夠提出：初始化運行中的數(shù)據(jù)通信在環(huán)的具有環(huán)外部的用戶的至少一部分上進行，所述環(huán)外部的用戶未通過網(wǎng)絡訪問控制單元驗證或者沒有完整地通過網(wǎng)絡訪問控制單元驗證。在此，能夠設有驗證寬限期，在所述驗證寬限期中雖然取消驗證要求，但是在所述驗證寬限期之后必須成功地結束所需要的驗證過程。在經(jīng)過該時間之后能夠決定：延長驗證要求的撤除或者阻攔具有未驗證的用戶的數(shù)據(jù)通信。

在裝置構成為交通工具、尤其軌道交通工具的情況下，正常運行能夠是客運運行。該客運運行能夠包括不同的階段，例如路線行駛運行和駐站運行，對于所述不同的階段必要時例如能夠設置不同的過濾規(guī)則。其它運行狀態(tài)如在上文中所探討的那樣能夠是干擾運行、初始化運行或者也能夠是維護運行、尤其是車間模式或者診斷模式。在維護運行中，尤其能夠執(zhí)行如下過濾規(guī)則，所述過濾規(guī)則相對于正常運行簡化已確認為服務設備的裝置外部的用戶對環(huán)的數(shù)據(jù)通信的訪問。

運行狀態(tài)能夠通過傳感機構、例如速度傳感器檢測，或者所述運行狀態(tài)能夠主動地由操作人員通過輸入來確定，例如借助于駕駛臺中的用于激活維護模式的切換單元。

根據(jù)本發(fā)明的一個有利的改進形式提出：識別裝置具有用于進行標記設定的單元，所述單元設置用于：為環(huán)外部的用戶，將通過過濾裝置驗證的、尤其預先限定的用戶標記分配給該用戶。在此，過濾裝置有利地具有一組預先限定的用戶標記，所述用戶標記在需要時能夠被分配給至少暫時地待被許可的環(huán)外部的用戶。在該實施方案中，過濾裝置具有至少一個列表的已驗證的用戶標記，所述用戶標記構成為靜態(tài)的或者不可編輯的列表。環(huán)外部的用戶在該實施方案中對于環(huán)的數(shù)據(jù)通信而言具有出自該列表中的用戶標記，其中該用戶標記能夠與用于環(huán)外部的數(shù)據(jù)通信的用戶標記不同。用于進行標記設定的單元在此適當?shù)鼐哂修D換功能，通過所述轉換功能可以建立相同的環(huán)外部的用戶的兩個用戶標記之間的單義的關聯(lián)。如果使用環(huán)進行Safety安全通信，那么不允許進行過濾規(guī)則的改變，或者無法實行對環(huán)內部的用戶的驗證。在此，本發(fā)明是可尤其有利地應用的，因為進行可相對簡單實現(xiàn)的過濾，所述過濾在Safety安全許可中可以以相對小的耗費來檢查，并且所述過濾在當前運轉中不必重配置。在對環(huán)外部的用戶成功驗證之后，將如下用戶標記與該用戶的數(shù)據(jù)通信相關聯(lián)，所述用戶標記被許可在環(huán)上進行通信，也就是說，所述通信不被過濾功能阻止。在一個優(yōu)選的變型形式中，用于環(huán)的過濾規(guī)則在此不改變。當過濾裝置具有如下過濾模塊從而在環(huán)中進行過濾時，這是尤其有利的，所述過濾模塊由環(huán)內部的用戶形成。

替選地或附加地，識別裝置能夠設置用于：為環(huán)外部的用戶，將分配給該用戶的用戶標記作為已驗證的標記通知過濾裝置。例如能夠通過識別裝置將消息發(fā)送給過濾裝置，其中消息包含待被許可的用戶的被分配的用戶標記。如果過濾裝置具有一組過濾模塊，那么識別裝置能夠將所謂的“組播消息”或者“廣播消息”發(fā)送給過濾模塊。如果過濾裝置具有一個列表的已驗證的用戶標記，那么該列表能夠通過識別裝置的所提出的措施來編輯，尤其借助于待被許可的環(huán)外部的用戶的已經(jīng)被分配的用戶標記來補充。

通過由過濾模塊來接受和轉發(fā)消息，這些過濾模塊能夠關于待被許可的用戶的用戶標記的信息相互通知。在一個有利的實施方案變型形式中提出：環(huán)內部的用戶實現(xiàn)環(huán)管理器的功能，并且識別裝置設置用于：將包含用戶標記的消息發(fā)送給環(huán)管理器。由此能夠簡單地通過與環(huán)管理器的通信來進行對過濾模塊的通知。

本發(fā)明還涉及一種用于對裝置的數(shù)據(jù)網(wǎng)進行管理的方法，所述數(shù)據(jù)網(wǎng)具有：一組裝置內部的用戶、至少一個環(huán)和至少一個接口單元，在所述環(huán)中，該組環(huán)內部的用戶在環(huán)拓撲中彼此聯(lián)網(wǎng)，所述接口單元設置用于：建立至少一個環(huán)外部的用戶到環(huán)上的連接。

其提出：在至少一個用戶標記方面，過濾環(huán)的數(shù)據(jù)通信，并且為環(huán)外部的用戶，采取與該用戶的用戶標記相關的至少一個措施，使得在環(huán)中的數(shù)據(jù)通信的過濾功能方面，該用戶標記是被許可的。關于所提出的方法的有利作用，參照所提出的數(shù)據(jù)網(wǎng)的上述實施方案。

附圖說明根據(jù)

根據(jù)附圖詳細闡述本發(fā)明的實施例。附圖示出：

圖1示出具有內部的功能部件的軌道交通工具的示意側視圖，

圖2示出具有環(huán)的、連接功能部件的數(shù)據(jù)網(wǎng)，過濾裝置與所述環(huán)相關聯(lián)，

圖3示出一個列表的用戶標記，所述用戶標記由過濾裝置許可，

圖4示出數(shù)據(jù)包在圖2的網(wǎng)絡中的傳輸與對用戶標記的轉換，

圖5示出用于圖4中的轉換的轉換表，

圖6示出對過濾裝置通知用戶標記，

圖7示出在圖6中的通知之后的、具有用戶標記的數(shù)據(jù)包的傳輸，

圖8示出對環(huán)的環(huán)管理器通知用戶標記，以及

圖9示出軌道交通工具的初始化運行的時間流程。

具體實施方式

圖1示出構成為軌道交通工具的交通工具10的示意的側視圖。交通工具10構成為多個車廂12的聯(lián)合體，所述車廂彼此機械地耦聯(lián)并且形成列車單元。在所觀察的實施方案中，交通工具10構成為所謂的動車組。對此，該聯(lián)合體的車廂12中的至少一個車廂設有驅動單元14，以驅動驅動軸16。驅動單元14具有功率供給單元，所述功率供給單元尤其借助于功率電子裝置產(chǎn)生用于(未示出的)電動機的電功率。在另一實施方案中可以考慮的是：交通工具10構成為單獨的動車。此外，交通工具10能夠具有無驅動器的客車車廂的聯(lián)合體，所述所述聯(lián)合體與至少一個牽引機車、例如火車頭耦聯(lián)。

交通工具10已知具有多個功能部件，所述功能部件實現(xiàn)交通工具10的運行。典型的功能部件通常是已知的并且在此不詳細闡述，所述功能部件如尤其是驅動單元14的部件、(示例性地并且示意性地在車廂12.2中示出的)制動裝置11的部件、列車保護裝置13的部件、(示例性地并且示意性地在車廂12.3中示出的)門單元15的部件、空調設備17的部件、乘客信息系統(tǒng)19的部件、車載電網(wǎng)裝置的部件等。交通工具10的功能部件通常能夠構成為控制單元、傳感器單元和/或促動器單元，其中一組在功能上關聯(lián)的功能部件也能夠稱為“子系統(tǒng)”，所述功能部件與特定的功能、例如與在上文中所列舉的功能中的一個相關聯(lián)。安裝在交通工具10中的從而持久地聯(lián)接在交通工具結構上的功能部件彼此聯(lián)網(wǎng)，并且在此是數(shù)據(jù)網(wǎng)18的組成部分(參見圖2)。從交通工具控制技術的觀點來看，屬于交通工具10的功能部件稱為交通工具10的數(shù)據(jù)網(wǎng)18的“內部的”用戶20、22。內部的用戶20、22借助于總線裝置24在數(shù)據(jù)方面彼此連接，所述總線裝置本身能夠具有不同的總線結構?？偩€結構能夠在相應的網(wǎng)絡硬件的設計和/或所使用的網(wǎng)絡協(xié)議的設計方面彼此不同。

在圖2中詳細示出數(shù)據(jù)網(wǎng)18的一部分。總線裝置24的第一總線結構26將用戶20一起連成為閉合的回路，使得所述用戶形成數(shù)據(jù)網(wǎng)18的環(huán)28。為了將環(huán)28中的內部的用戶20與數(shù)據(jù)網(wǎng)18的其它內部的用戶22進行區(qū)分，環(huán)中的內部的用戶稱為“環(huán)內部的用戶”，而其它的用戶22和外部的用戶(見下文)稱為“環(huán)外部的用戶”。在本領域專業(yè)術語中，內部的用戶22也稱為數(shù)據(jù)網(wǎng)18的“離環(huán)部件”。在所觀察的實施方案中，環(huán)28的總線結構26基于以術語“工業(yè)以太網(wǎng)”已知的技術。環(huán)內部的用戶20尤其分別構成為控制設備。環(huán)內部的部件20例如能夠分別構成為SPS。環(huán)外部的用戶22在圖2中抽象地示出，并且能夠分別對應于特定的功能部件或者對應于在圖1中所示出的交通工具10的整個子系統(tǒng)。

數(shù)據(jù)網(wǎng)18具有接口單元30、32，通過所述接口單元可將環(huán)外部的用戶連接到環(huán)28上。接口單元30用于將內部的用戶22連接到環(huán)28上。這些接口單元本身借助于總線結構34彼此聯(lián)網(wǎng)，所述總線結構與總線結構26不同。接口單元30在此用于將總線結構34和連接到其上的用戶22連接到環(huán)28上。在一個示例性的實施方案中，總線結構34能夠構成為TCN協(xié)議的MVB總線。

接口單元32用于將外部的用戶36連接到環(huán)28上。外部的用戶在此是如下功能部件，所述功能部件設置用于：偶爾與數(shù)據(jù)網(wǎng)18聯(lián)接。外部的用戶36例如能夠是便攜式維護設備，所述維護設備在需要時與數(shù)據(jù)網(wǎng)18在數(shù)據(jù)方面連接，否則在交通工具10的正常的使用運行中不與數(shù)據(jù)網(wǎng)18連接。接口單元32能夠設置用于建立環(huán)28與外部的用戶36的有線的和/或無線的連接。

除了物理的(或者硬件方面的)連接可能性31或33以外，接口單元30、32還分別至少配設有交換機功能。所述接口單元還分別與環(huán)內部的用戶20直接機械耦聯(lián)。特別地，相應的環(huán)內部的用戶20和耦聯(lián)的接口單元30或32設置在相同的、關聯(lián)的結構單元中。在所觀察的實施方案中，環(huán)內部的用戶20尤其分別構成為具有交換機功能的控制設備。

此外，數(shù)據(jù)網(wǎng)18具有過濾裝置38，所述過濾裝置具有過濾功能，所述過濾裝置設置用于：在至少一個用戶標記方面，過濾所述環(huán)28的數(shù)據(jù)通信。在所觀察的實施方案中，對于過濾所考慮的用戶標記是對OSI數(shù)據(jù)鏈路層的標記。特別地，為了過濾目的，根據(jù)至少一個過濾規(guī)則檢查用戶的至少一個MAC地址。在此，其是(內部的或外部的)用戶，所述用戶參與數(shù)據(jù)傳送，所述數(shù)據(jù)傳送在環(huán)28的至少一部分上進行或者應當在環(huán)的至少一部分上進行。過濾裝置38具有一組過濾模塊40。在環(huán)28上的數(shù)據(jù)通信能夠在兩個方向上(順時針或者逆時針地)進行。

一對過濾模塊40分別與環(huán)內部的用戶20相關聯(lián)。所述對中的第一過濾模塊40對于環(huán)28中的數(shù)據(jù)通信的所給定的方向監(jiān)控指向用戶20的數(shù)據(jù)流，而所述對中的第二過濾模塊40監(jiān)控沿著數(shù)據(jù)通信的相反的方向指向用戶20的數(shù)據(jù)流。在一個替選的實施方案中，數(shù)據(jù)通信能夠在僅一個方向上是可行的。

過濾裝置38還具有過濾模塊39、41，所述過濾模塊分別與接口單元30、32相關聯(lián)并且尤其與這些接口單元耦合。通過這些過濾模塊39、41能夠在數(shù)據(jù)進入環(huán)28之前過濾指向環(huán)28的數(shù)據(jù)通信。此外，通過過濾模塊39、41能夠過濾如下數(shù)據(jù)通信，所述數(shù)據(jù)通信出自環(huán)28并且指向環(huán)外部的用戶。在一個特別的實施方案中，能夠棄用這些附加的過濾模塊39、41。下文的描述涉及過濾模塊40并且與之對應地也適用于過濾模塊39、41。

借助于第一過濾規(guī)則對過濾裝置38進行編程，所述第一過濾規(guī)則執(zhí)行對數(shù)據(jù)包的監(jiān)控，所述數(shù)據(jù)包的傳輸在環(huán)28的至少一部分上進行或者應當在環(huán)的至少一部分上進行。如在上文中已經(jīng)描述的那樣，所述監(jiān)控基于如下用戶標記進行，所述用戶標記對應于參與數(shù)據(jù)包傳輸?shù)挠脩舻腗AC地址。在此，其能夠是構成為發(fā)送器的用戶和/或構成為包的接收器的用戶。與環(huán)內部的用戶20相關聯(lián)的過濾模塊40引起通過如下方式對在環(huán)28的至少一部分上進行的數(shù)據(jù)通信的過濾：如果根據(jù)過濾規(guī)則在該數(shù)據(jù)包中待監(jiān)控的一個或多個用戶標記屬于所許可的用戶標記的列表，那么指向相應的用戶20的數(shù)據(jù)包才由該用戶20轉發(fā)。該列表在圖3中示出。此外能夠執(zhí)行其它規(guī)則作為過濾規(guī)則，所述其它規(guī)則對應于常規(guī)的防火墻規(guī)則。

過濾模塊40分別由具有交換機功能的裝置形成。所述過濾模塊在此能夠由單獨的交換機形成，所述交換機與相關聯(lián)的環(huán)內部的用戶20分開地構成。然而，在所觀察的實施方案中，所述過濾模塊分別與相關聯(lián)的環(huán)內部的用戶20直接機械耦聯(lián)。特別地，相應的環(huán)內部的用戶20和相關聯(lián)的過濾模塊40設置在相同的、關聯(lián)的結構單元中。在所觀察的實施方案中，環(huán)內部的用戶20尤其分別構成為具有交換機功能的控制設備。

此外，數(shù)據(jù)網(wǎng)18具有網(wǎng)絡訪問控制單元42、44，所述網(wǎng)絡訪問控制單元分別與不同的接口單元30或32相關聯(lián)。所述網(wǎng)絡訪問控制單元分別用于：針對環(huán)外部的用戶22或36根據(jù)限定的驗證協(xié)議來管理、尤其準許或拒絕對環(huán)28的數(shù)據(jù)通信訪問。在許可環(huán)外部的用戶的數(shù)據(jù)通信訪問時，該用戶能夠參與數(shù)據(jù)傳送，所述數(shù)據(jù)傳送在環(huán)28的至少一部分上進行。如果通過網(wǎng)絡訪問控制單元42或44以許可來成功結束對環(huán)外部的用戶22、36的驗證，那么啟用相關聯(lián)的接口單元30或32中的如下接口(也稱為“端口”，所述接口用于環(huán)外部的用戶對環(huán)28進行訪問。驗證協(xié)議例如能夠是根據(jù)IEEE 802.1x的協(xié)議，如尤其呈借助于設備證書的EAP-TLS驗證形式的協(xié)議。

網(wǎng)絡訪問控制單元42、44和過濾裝置38的功能首先以外部的用戶36的連接為例進行闡述。

用于外部的用戶36的數(shù)據(jù)通信訪問借助于網(wǎng)絡訪問控制單元44來進行管理，所述用戶作為維護設備偶爾聯(lián)接到數(shù)據(jù)網(wǎng)18上。在建立外部的用戶36與接口單元32的有線的或者無線的數(shù)據(jù)連接之后，根據(jù)上述類型的協(xié)議，通過相關聯(lián)的網(wǎng)絡訪問控制單元44對用戶36進行驗證。對此，例如設有驗證模塊45(或者“驗證器”)，所述驗證模塊分別在環(huán)外部的用戶22、36中執(zhí)行并且與相應的網(wǎng)絡訪問控制單元42或44共同作用。如果外部的用戶36相對于網(wǎng)絡訪問控制單元44被成功驗證，那么如下數(shù)據(jù)通信視作為是被許可的，所述數(shù)據(jù)通信在相關聯(lián)的接口單元32的所啟用的端口上且在環(huán)28的至少一部分上進行，并且外部的用戶36參與所述數(shù)據(jù)通信。網(wǎng)絡訪問控制單元42、44分別配設有交換機功能并且能夠分別構成為所謂的“接入交換機”。

為了也在過濾裝置38的在上文中所描述的過濾功能方面許可該數(shù)據(jù)通信，應當采取相應的措施。對此，識別裝置46與接口單元32相關聯(lián)。識別裝置46用于：采取與外部的用戶36的用戶標記相關的措施，使得根據(jù)有效的過濾規(guī)則許可在出自外部的用戶36的數(shù)據(jù)傳送中在環(huán)28中所使用的用戶標記。對此，多個變型形式是可行的。

根據(jù)在圖4中示出的第一變型形式，識別裝置46具有用于進行標記設定的單元48，所述單元設置用于：為外部的用戶36，給該用戶分配通過過濾裝置38驗證的用戶標記TK。對此，在上文中提到的、在圖3中示出的列表中，包含至少一個標記TK，在所觀察的實施方案中即MAC地址，所述標記在需要時能夠被分配給外部的用戶36。該標記是所謂的“未占用的”標記，所述“未占用的”標記在將外部的用戶36添加到數(shù)據(jù)網(wǎng)18中之前未被使用。為了設定相對于過濾裝置38許可的用戶標記TK，單元48優(yōu)選具有轉換功能。對此，單元48生成在圖5中示出的轉換表，所述轉換表記錄有待聯(lián)接的環(huán)外部的用戶36的原本的用戶標記、尤其MAC地址MA和在過濾裝置38的列表中記錄的、未占用的用戶標記TK之間的單義的關聯(lián)關系。該轉換表在本領域專業(yè)術語中能夠稱為“MAC地址轉換表”。

在圖4中示出由外部的用戶36產(chǎn)生的、編址到環(huán)內部的、在附圖左上方示出的用戶20.a的數(shù)據(jù)包DP1。接收數(shù)據(jù)包DP1的識別裝置46，借助于單元48通過圖3中所示出的列表的未占用的用戶標記TK來替換來源地址、即構成為MAC地址的用戶標記MA。由識別裝置46轉發(fā)的數(shù)據(jù)包DP2此時包含該用戶標記TK作為來源地址。因為該用戶標記已經(jīng)由過濾裝置38、即過濾模塊40許可，所以數(shù)據(jù)包DP2被轉發(fā)至接收器(用戶20.a)。相應地，在指向外部的用戶36的數(shù)據(jù)通訊中，在環(huán)28中用作為目標的被許可的用戶標記TK的用戶標記根據(jù)在圖5中所示出的轉換表由用于標記設定的單元48向回轉換為外部的用戶36的原本的用戶標記MA。雙重轉換用戶標記能夠針對如下數(shù)據(jù)通訊進行，所述數(shù)據(jù)通訊在環(huán)28上在外部的用戶36和內部的用戶22之間建立。

在圖6和圖8中示出實施方案變型形式。在這些實施方案中，外部的用戶36的原本的用戶標記MA用于參與如下數(shù)據(jù)通信，所述數(shù)據(jù)通信在環(huán)28的至少一部分上進行。特別地，對于該數(shù)據(jù)通信而言，使用外部的用戶36的MAC地址作為用戶標記MA。為了該數(shù)據(jù)通信能夠在不通過過濾裝置38濾除的情況下進行，必須將已經(jīng)被分配給外部的用戶36的用戶標記MA作為在適用的過濾規(guī)則方面已驗證的標記來通知過濾模塊40。在所觀察的實施方案變型形式中，據(jù)此進行在圖3中示出的由過濾裝置38許可的用戶標記的列表的更新過程。更新過程由識別裝置導入。對此，至少兩個過程是可行的。為了將實施方案變型形式彼此區(qū)分，針對識別裝置引入附圖標記46’和46”。

在根據(jù)圖6的變型形式中，識別裝置46’將消息N發(fā)送到環(huán)28中，使得所有過濾模塊40，(也就是說，在過濾裝置38的具體觀察的實施方式中)所有環(huán)內部的用戶20接收該消息N。該消息N如在附圖中所示出的那樣包含外部的用戶36的待許可的用戶標記MA。在獲得消息N之后，過濾模塊40分別以外部的用戶36的用戶標記MA來擴展其待許可的用戶標記的列表。消息N由識別裝置46’優(yōu)選作為組播或廣播消息來發(fā)送。消息N以數(shù)據(jù)包的形式發(fā)送，其具有識別裝置46’的MAC地址作為來源地址，并且(在所觀察的實施方案中)具有針對廣播所設置的地址FF-FF-FF-FF-FF-FF作為目標地址。消息N的信息內容包含指令(“RegisterOffRingDevice寄存器離環(huán)設備”)，據(jù)此，待許可的用戶標記的列表由被編址的過濾模塊40以用戶標記MA來擴展。

圖7示出數(shù)據(jù)包DP1的傳輸，所述數(shù)據(jù)包由設置在傳輸路線上的過濾模塊40不變地轉發(fā)至接收器(用戶20.a)。與圖4不同，數(shù)據(jù)包DP1包含外部的用戶36的原本的用戶標記MA作為來源地址，所述原本的用戶標記根據(jù)識別裝置46’的在上文中所描述的措施記錄在圖3中的列表中。

在根據(jù)圖8的變型形式中，環(huán)28具有所謂的環(huán)管理器RM。所述環(huán)管理器由環(huán)內部的用戶20中的一個形成，該用戶相對于其它環(huán)內部的用戶20具有特定的管理功能。識別裝置46”將消息N發(fā)送給環(huán)管理器RM，所述環(huán)管理器在獲得該消息之后觸發(fā)通過過濾模塊40許可的用戶標記的列表的更新過程。環(huán)管理器RM分配信息，例如通過發(fā)送組播消息或者廣播消息或者通過對過濾模塊40單獨編址來分配。數(shù)據(jù)通信隨后能夠如在圖7中所示出的那樣進行。

在這兩個實施方案變型形式中的消息N在本領域專業(yè)術語中能夠稱為“過濾升級消息”(FilterUpdate message)。所述消息優(yōu)選以加密的形式發(fā)送。特別地，所述消息能夠具有加密校驗和，例如根據(jù)AES-CBC-MAC、HMAC-SHA1、HMAC-SHA256、RSA簽名、DSA簽名、ECDSA簽名的加密校驗和。

在上文中所描述的實施方案中，過濾裝置38具有如下過濾規(guī)則，所述過濾規(guī)則在至少一個用戶標記方面過濾數(shù)據(jù)通信。僅當相應的數(shù)據(jù)包包含在根據(jù)圖3的列表中所包含的用戶標記時，才被許可在環(huán)28的至少一部分上進行的數(shù)據(jù)通信。如果這不是這種情況，那么數(shù)據(jù)包由過濾模塊40阻攔并且不轉發(fā)至下一環(huán)內部的用戶20。僅當環(huán)外部的用戶36相對于網(wǎng)絡訪問控制單元44已經(jīng)能夠成功驗證時，才采取由識別裝置46、46’或46”所采取的與用戶標記相關的措施。據(jù)此，根據(jù)通過網(wǎng)絡訪問控制單元44對外部的用戶36的許可采取識別裝置46、46’或46”的在上文中所描述的措施。

網(wǎng)絡訪問控制單元42、44和識別裝置46、46’或46”的功能在上文中以網(wǎng)絡訪問控制單元44為例闡述，所述網(wǎng)絡訪問控制單元用于連接外部的用戶、例如外部的用戶36。

網(wǎng)絡訪問控制單元42用于連接環(huán)外部的用戶，所述環(huán)外部的用戶構成為內部的用戶22或者重新裝入交通工具10中或在修復(Instandsetzung)之后再次裝入交通工具10中。所述用戶與接口單元30相關聯(lián)。如關于網(wǎng)絡訪問控制單元44所闡述的那樣，識別裝置50與接口單元30相關聯(lián)。為了描述網(wǎng)絡訪問控制單元42和識別裝置50的功能，參照關于相應的網(wǎng)絡訪問控制單元44和識別裝置46的上述說明。如針對識別裝置46那樣，在圖4中示出的第一實施方案變型形式中，所述識別裝置具有用于標記設定的單元52，所述單元的功能與單元48的功能相同。在根據(jù)圖6和圖8的實施方案變型形式中，為了進行區(qū)分，引入附圖標記50’和50”。

接口單元30和與該接口單元相關聯(lián)的網(wǎng)絡訪問控制單元42以及識別單元50能夠作為彼此分開的結構單元形成。然而，如在所觀察的實施方案中可見，有利的是，所述結構單元是共同的、關聯(lián)的結構單元的組成部分。特別地，該結構單元對應于環(huán)內部的用戶20中的一個，如在附圖中可見。在此，環(huán)內部的用戶20包括接口單元30和相關聯(lián)的網(wǎng)絡訪問控制單元42和識別裝置50。在此，能夠以這些設備的功能對所述環(huán)內部的用戶進行編程。上述實施方案也適用于接口單元32和相關聯(lián)的網(wǎng)絡訪問控制單元44以及識別裝置46。

在所觀察的實施方案中，過濾裝置38具有多個過濾規(guī)則，所述過濾規(guī)則分別與交通工具10的不同的運行狀態(tài)相關聯(lián)。

例如能夠需要：管理至少在環(huán)28的一部分上進行的數(shù)據(jù)通訊，使得連接到數(shù)據(jù)網(wǎng)18上的功能部件或內部的用戶22的引導啟動能夠在短的時間片內進行。對此，在交通工具10的這種引導啟動階段期間適用如下過濾規(guī)則，所述過濾規(guī)則相對于在上文中所描述的在正常運行中的過濾規(guī)則進行修改。此外，在引導啟動階段期間，至少網(wǎng)絡訪問控制單元42在如下運行模式中運行，所述運行模式與在上文中所闡述的、在交通工具10正常運行中所應用的運行模式不同。

這在圖9中示出。對于網(wǎng)絡訪問控制單元42和過濾裝置38而言，執(zhí)行所謂的“寬限期”，在所述寬限期中相對于正常運行，適用不那么嚴格的要求。在裝置作為交通工具10的所觀察的實施方案中，正常運行對應于“常規(guī)的行駛運行”。該正常運行僅在內部的用戶20、22通過網(wǎng)絡訪問控制單元32的驗證已經(jīng)成功結束之后才啟用。

在引導啟動階段HFP期間(參見圖9)，過濾裝置38的在交通工具10正常運行中所描述的過濾規(guī)則失效，所述過濾規(guī)則根據(jù)所許可的用戶標記的列表來限定。據(jù)此適用過濾裝置38的第二過濾規(guī)則，據(jù)此由過濾裝置38許可在環(huán)28的至少一部分上的任意的數(shù)據(jù)通信。由此，在環(huán)28上進行的數(shù)據(jù)通信能夠在不受到過濾模塊40限制的情況下進行，所述數(shù)據(jù)通信尤其對于構建數(shù)據(jù)網(wǎng)18并且對于驗證內部的用戶20、22是必需的。引導啟動階段HFP能夠被劃分為多個階段。在第一階段P1中構建數(shù)據(jù)網(wǎng)18。在緊隨其后的另一階段P2中，對內部的用戶20、22中的具有中央控制設備的功能的用戶和與該用戶相關聯(lián)的內部的用戶20、22之間的數(shù)據(jù)通訊進行初始化。該控制設備例如能夠構成為環(huán)外部的用戶22。該步驟對應于由中央的控制設備控制的控制網(wǎng)絡的初始化。

在第一階段P1和P2中，數(shù)據(jù)訪問控制單元42和過濾裝置38運行為，使得在參與環(huán)28上的數(shù)據(jù)通信方面對內部的用戶20、22進行許可，盡管這些內部的用戶尚未經(jīng)歷通過網(wǎng)絡訪問控制單元42進行驗證。在此，尤其將所有環(huán)外部的用戶22經(jīng)由接口單元30的至少一個接口(或端口)連接到環(huán)28上是可行的，其中啟用接口單元30的該接口，盡管所有環(huán)外部的用戶22尚未通過相關聯(lián)的網(wǎng)絡訪問控制單元42檢查或者尚未結束檢查。

在階段P2結束之后，通過網(wǎng)絡訪問控制單元42在階段P3期間，根據(jù)在上文中所提及的驗證協(xié)議中的一個、尤其借助于基于證書的驗證對內部的用戶進行在上文中所描述的驗證過程，所述內部的用戶即是環(huán)內部的用戶20和環(huán)外部的用戶22。引導啟動階段HFP隨成功結束驗證過程而終止，并且過濾裝置38的寬限期隨之終止。在隨后的啟用的正常運行NB中，尤其在常規(guī)的行駛運行中，在更上面所闡述的基于用戶標記的過濾規(guī)則是適用的。引導啟動階段HFP也稱為交通工具10的“初始化運行”。在交通工具10作為軌道交通工具的所觀察的實施方案中，在初始化運行期間尤其進行所謂的“列車設置”。

此外，網(wǎng)絡訪問控制單元42的和過濾裝置38的在初始化運行中所使用的運行模式能夠在存在交通工具10的干擾運行時被激活。這種運行例如能夠通過觸發(fā)緊急制動信號或者通過火災通知來激活。

可以考慮其它的運行狀態(tài)，對于所述運行狀態(tài)而言，與在交通工具10的正常的運行中相比設有不同的過濾和/或驗證規(guī)則。因此，尤其能夠在維護模式中或者在制造商車間模式中設有如下過濾規(guī)則，所述過濾規(guī)則對應于第二過濾規(guī)則。據(jù)此，在這些模式中，在環(huán)28的至少一個部分上進行的數(shù)據(jù)通信可以是不受限的。

此外也可以考慮的是，過濾裝置38的過濾規(guī)則和/或網(wǎng)絡訪問控制單元42、44的驗證過程，在正常的運行中，意即在所觀察的實例中在常規(guī)的行駛運行中，是可重配置的，或者換而言之，為了重配置而被阻攔。這種阻攔例如能夠在激活另一運行模式、例如維護模式時被撤除。

對于特定的外部的用戶而言，能夠通過過濾裝置38的過濾規(guī)則和/或網(wǎng)絡訪問控制單元44的運行模式在正常運行中明確地阻攔在環(huán)28的至少一部分上進行的數(shù)據(jù)通信，所述特定的外部的用戶在數(shù)據(jù)網(wǎng)18中可能已經(jīng)被成功驗證至少一次。在交通工具10的常規(guī)的行駛運行中，與外部的用戶36的數(shù)據(jù)通信例如能夠通過過濾裝置38和/或網(wǎng)絡訪問控制單元44阻攔，雖然所述外部的用戶36在之前的維護模式中已經(jīng)被成功驗證。

在附圖中所示出的實施方案中，能夠沿著不同的方向，即順時針或者逆時針地在環(huán)28中進行。由此，具有不同長度的潛在的傳輸路徑是可行的，其中優(yōu)選為數(shù)據(jù)通信選擇具有最小長度的傳輸路徑。此外也可行的是，環(huán)內部的用戶20中的一個執(zhí)行主控的功能(或者“媒介冗余主控交換機”)，其在特定的部位處邏輯地中斷環(huán)28。

在一個優(yōu)選的變型形式中，過濾裝置38的過濾規(guī)則與數(shù)據(jù)包的傳輸方向無關。這具有如下優(yōu)點：在重配置環(huán)時，尤其由于故障而重配置環(huán)時，不需要重配置過濾規(guī)則。然而，過濾裝置38的過濾規(guī)則也能夠設置用于過濾如下數(shù)據(jù)包，所述數(shù)據(jù)包與在環(huán)28上的數(shù)據(jù)包的傳輸方向相關。根據(jù)一個過濾規(guī)則，對于過濾模塊40能夠提出：僅沿著特定的方向轉發(fā)數(shù)據(jù)包并且沿著反方向阻攔數(shù)據(jù)包。在這種情況下，為環(huán)內部的用戶20能夠進行過濾規(guī)則的自動的重配置，以便考慮不同的傳輸方向。在另一變型形式中，不進行過濾規(guī)則的自動的重配置。在這種情況下，必須對內部的用戶20、22再次進行驗證，使得隨后能夠建立匹配的過濾輸入。

在另一變型形式中，對于環(huán)內部的用戶20進行過濾規(guī)則的自動的重配置，而對環(huán)外部的用戶22必須再次進行驗證。