铁路信号系统安全相关通信标准与安全协议研究

1、木文由20062280_x i ng贡献pdf文档可能在wap端浏览体验不佳。建议您优先选择txt,或下载源文件到木机杳看。railway topics铁路视点铁路信号系统安全相关通信标准与安全协议研究杨霓霏：中国铁道科学研究院通信信号研究所，硕丄研究牛，北京，100081段 武：中 国铁道科学研究院通信信号研究所，研究员，北京，100081卢佩玲：中国铁道科学研究院通 信信号研究所，研究员，北京，1000811 en 50159标准概述摘 要：欧洲电工标准化委员会(cenelec)核准的en 50159标准提出在安全相关设备屮 的数据通信必须建立安全相关通信功能，安全功能包括安全过程(saf

2、ety procedure)及安 全码(safety code)两方面内容。从结构上讲就是在应用层少通信系统z间，建立安全相关 通信层，简称安全层。盂要传输的用户数据首先 经过安全层的处理，生成安全层数据报文z 后再发往传输系统；从传输系统收到的信息也先经过安全层过滤才被采用。无论传输系统 采用何种结构以及协议栈，从逻辑角度安全相关数据在安全层由安全过程和安全码的保护 进行通信。物理上安全层的数据经过传输系统传送，所以传输系统特性直接影响女全通信功 能。为此，en 50159标准是专门针対铁路信号系统中安全相关通信而设立的,该标准从功能和技术 层而提出传输系统可能遇到的威胁及安全要求和措丿施。

3、为防御各种风险，耍求安全通信系 统应具有保护报文真实性、保护报文完整性、保护报文时间性和保护报文顺序性等4项防 御功能。关键词：铁路信号系统；安全相关通信；安全协议；标准现子系统构成，负责子系统z间安全数据交换的通信系统是安全相关系统的一个重要组成部分。欧洲电工标准化委员会(cenelec)核准的 en 50159标准是专门针对铁路信号系统中安全相关通信而设立的，此标准为构建安全相关 通信系统提岀了功能和技术方而的基木要求和设计指导。目前,我国列车控制系统应用的部 分欧洲设备或系统方案涉及到en 50159标准建立的安全通信系统及接口协议。代化的铁路信号及控制系统一般由多个安全相关en 501

4、59标准分为两个部分：en 501591标准1针对封闭传输系统提出构建安全通 信的基本要求，强调应用标准的先决条件、基本功能需求和安全完整性需求。en 501592 标准2针对开放传输系统提出基本安全需求，分析开放传输系统的各项风险及对应的安全 扌舌施。封闭传输系统指特征及属性清晰、固定的传输系统，建立安全相关通信功能可以考 虑封闭传输系统的属性；而开放传输系统充满不确定性，安全通信功能的建立必须考虑所 有可能发牛的问题。48中国诙路 chinese railways 2008/06铁路信号系统安全相关通信标准与安全协议研究杨霓霏等传输系统对安全通信功能 的影响主要表现在传输系统的不同特性决定

5、了错谋的不同种类。安全完整性需求规范是在 对错误模型的功能性分析基础上完成的，其错误主要來自传输系统。应用层的错误不在en 50159标准的考虑范围內。从接收角度对传输系统错误的界定是，当收到的报文出现差错, 而接收端却谋认为是合法报文并加以处理，这种情况称为影响安全的“错谋”或“风险”。 en 501592标准提出7种传输系统可能遇到的风险威胁及8种防御措施，其内容及应对关 系见表1 o表1防御措施与风险威胁应对关系风险防御序列号时间戳超时源和目的反馈身份鉴安全身份标识信息别过程 编码 重复j丿删除 插入 重排序 讹误延时伪装丿：表示防御措施与风险威胁应对关 系vvvvvvvvvvvvvv密

6、码技术railway topics铁路视点全过程可以发现安全数据在传输屮出现的“讹谋”。发送端的安全功能负责对安全数据 进行安全编码，再将安全码、用户数据及其他安全附加信息组成安全报文进行传输，接收 端收到报文后，依照报文结构从报文中截取安全数据，再次编码计算，并将得到的码字与报 文中的安全码进行比对，鉴别是否发牛“讹误”。设计安全码必须选择适当的编码技术和足 够的编码长度，以满足安全功能需求，并达到安全通信系统要求的安全完整度定量指标。 en 50159-1标准附录a给出安全码长度的参考 计算公式。en 501592标准介绍了安全码 的基木类型及选择，可作为安全码的主要冇线性分组码、循环分组

7、码（crc）、散列分组码 和加密分组码。选择安全码利加密技术主要根据传输系统是否有非授权访问，是否可以避 免恶意攻击，以及安全通信系统结构中是否采用独立的非法接入保护牯施。总z,根据传输 系统和安全通信系统结构选择安全码。安全码使安全通信达到量化的安全目标。在安全协 议中，除用八安全数据外，一般还要将安全层的附加安全数据，如时间戳和身份鉴别id等 纳入安全码保护范围。在冇些安全协议中，还将附加安全数据直接设计为计算参数参与安 全码算法（如sacem）,或将其作为安全码的扩充内容（如fsfb/2）,使安全层对报文完整性、 真实性和时序性的验证在安全编码的计算和验证过程中一起完成，提高了安全性和效

8、率，便 于安全通信过程的管理。sacem算法是一种特殊设计的散列分组编码算法，时间标记的 de/dr值与用户安全数据一起被进行sacem编码计算，而报文真实性信息被设置为定向连接 参数作为计算公式的一部分。fseb/2采用基于32位crc的安全编码，发送端身份 标识号 sid以及发送端吋间戳t n通过异或运算加入到crc校验码，得到fsfb/2安全码。这种方 式使std和tn隐形于安全编码中，也使报文真实性和完整性验证过程统一进 行。因为接 收端计算出crc校验码z后只能从安全码中恢shi sid与tn经异或运算结合在一起的信 息，也只有设法 验证出sid及tn之后才能完成crc的验证。2.2

9、报文时序性保证 顺序性 就是保证接收端收到的报文序列与发送端发为防御各种风险，耍求安全通信系统应具有保护报文真实性、保护报文完整性、保护报 文时间性和保护报 文顺序性等4项防御功能，其中报文时间性和顺序性统称为时序性，对 于安全通信系统可以从这3方面进行研究。以两种欧洲铁路信号公司的安全通信协议为例分 析安全措施的实施。一是csee transport公司针对封闭传输系统的安全协议，主要特征为 sacem安全编码及de/dr时间标记机制,sacem是一种安全码。二是alstom公司以开放传 输系统为对象的安全协议fsfb/24 3ofsfb （fail safe field bus）是alst

10、om公司的一种安全通 信协议名称,fsfb/2是fsfb 的第二代，主要实现开放传输系统中安全相关数据通信。这两种协议在欧洲地铁和铁路系 统广泛应用，随着技术引进，这些安全协议和技术在我国列控系统屮也得到应用。2安全通信功能及貝体安全措施2.1报文完整性保证保证报文完整性就是防止报文在传输过程中出现任何“讹误”，安 全相关通信的防御措施是采用安全码。安全码是一种兀余检错码，依靠安全码接收端的安中国铁路 chinese railways 2008/0649rai 1 way topics都是顺序性错谋表现。铁路视点铁路信号系统安全相关通信标准与安全协议研究杨霓霏等应用层超时之前，安全层连 接得到

11、及时恢复，将不会対应用层造成影响。因此，两个超时之间相差的时间应至少可以 完成一次安全通信初始化。在此条件下安全层超 时时限町以考虑尽可能接近应用层超时时 限，这样可增加安全层容错性，减少安全层重建连接对信道的占用。fsfb/2协议屮有称为 “最大容忍偏差”的参数，假设接收端与发送端周期人小相同，以接收端周期为单位，则参 数可表示为k +1,其中k表示接收端允许安全数据报文序列中连续丢失报文的最大数量。 当接收端在距离上一次接收到正确数据后超过k+1周期仍没有收到正确数据，将重新建立 安全连接。这里需要注意，虽然协议允许接收端在正确接收到假定编号为n的报文之后可 以接着接收第n +k号报文（0

12、k <k ）,但接收端必须保证第n +k号报文在第k个周期内 收到，否则应该视为错误数据而被抛弃。即接收端允许报文序列发生“删除（即丢包）”现 象，但对每一个报文接收端不能允许其发生“延时”。在系统需要吋，安全层应该小心地增 加对丢/错包的容错性，不能影响通信安全。csee安全协议采用de/dr形式的双垂时间戳, 周期发送的安全数据报文在被接收端收到后，都会反馈状态 信息报文。在两种报文屮都含 有de/dr双重时间戳，其 中de表示发出报文吋的发送端周期计数，dr表示发送此 报文之 前发送端接收到的最近一包报文的de字段。可以认为，每个安全数据报文都与dr值所指的 一个状态报文形成反馈报

13、文。利用de字段，接收端可以监控安全数据报文的顺序也同时 接收端可以对每个报文监控两个超时。首先以发送端周期为接收窗口，杜绝安全数据超时问 题；然后检查dr字段，如果太陈ih则说明状态信息传 输或处理过程可能出现问题。csee安 全协议也需要连接初始化，请求由发送方发起，主要完成参数配置和检杏，建立de/dr机 制。发送方以连续两个初始化报文作为申请开始，接收方随后反馈一个状态报文，发送方收 到状态报文后开始发送安全数据报文，当接收方收到第一个有效dr值标，忐吋初始化完成。 在fsfb/2协议中，在安全连接建立之后，接收端不发送任何报文，在安全连接建立过程中 进行鉴别并完成对时。时间戳采用伪随

14、机序列，有抵抗伪装的安全作用。岀的报文序列相同，“重复”、“删除”、“重排序”时间性可理解为时效性，一个安全数 据报文被发出后，必须在规定时间内到达接收端，“延时”可能带來风险。防止“重复”、 “删除”、“重排序”的措施是将报文加上序列号，但加入序列号后不能发现“延吋”问题。 为解决“延时”问题，要确定报文的传输时间与 预计时间在允许误差范围内是否相等，最直 接的方法是为报文行程加入时间记录。为此，引入时间戳概念，即给报文打上时间记号， 如采用绝对时标（绝对吋间标记），如世界标准时间，这样接收端很容易检查传输过程是否 超时，前提条件是要求使用绝对时标的所冇设备时间严格同步，但实现这一要求投入较

15、人。 tn也可以选择相对时标（相对时间标记），如以木地设备软件周期计数为时钟，以发送报 文时软件周期数为tn。报文的发送可以是事件驱动，也可以是时间驱动，以固定周期发送 报文是一种常见方式，对于安全通信系统有很多好处。当建立相对时标后，耍使用“超时” 机制解决“延 吋”问题。在报文周期发送吋，通信双方可以预先知道 本地时钟下对方的周 期氏度。“假设”接收端收到一包没冇发生延时的报文，此时接收端可以确定下一个报文应 该在一个发送周期左右（考虑允许的传输系统偏差）被收到。如果预计时间耗尽仍没启收到正 确报文，则可以确认预计接收的那一个报文发牛了“延时”。接收端只要得到一个基准时刻 就可以对报文序列

16、的下一个报文建立一个接收窗口。利用反馈报文确定序列的开始，即找到 建立接收窗口的第一个基准点，让通信双方进行“对时”。过程如下：由接收方发出对时屮 请，发送方收到后给以反馈，发出申请报文和收到反馈报文这两个事件的时刻都以申请方 本地吋钟为他标，所以可以设置超时来控制反馈过程，当反馈报文在吋限内到达时，那么就 认为找到了一个序列的开始。这样的一个对时过程也可被认为接收端对于发送端建立了相对 的逻辑时钟。在安全相关通信系统屮，安全层和应川层一般会有两个不同的超时限制，应用层超时将引起系统安全反应，而安全层超时一般只造成安全层连接中断。如果在50中国铁路 chinese railways 2008/

17、06铁路信号系统安全相关通信标准与安全协议研究杨霓霏等2.3报文真实性保证报文 真实性是指报文发送端和接收端的正确性。破坏报文真实性的风险有“插入”和“伪装”两 种。“插入”风险常表现为由于传输系统问题，使接收到的报文并非來h预期的地址，或虽 然来口预期节点，但口的地不是此地。“伪装”也是一种插入，指在开放环境中一个未知节 点有意或无意使用其他合法节点的信息伪装报文，使接收端误认为报文來自预期节点，其中 有意的“伪装”是一种恶意攻击。针对破坏报文真实性的风险的最基本措施是为每个节点 设置唯一的身份鉴别标号id,然示在每条报文屮加入发送端或目的端的标识id。依据身份 标识号，接收端就可以直接辨认

18、报文是否来自正确的发送端和 到达正确的忖的地。1d设置 为报文真实性鉴別提供了条件，但在开放传输系统中为防止“伪装”，述需要安全通信层进 行特殊设计，由反馈信息参与鉴别过程。鉴别过程可选择两种方式：一种是双向鉴别，在通 信过程屮利川回复通道，通过发送方和接收方之间交换身份标识信息來确认通信双方真实 性；另一种是动态鉴别，通信双方只在需要吋交换反馈信息，一方提出鉴别请求，另一方 给予回应，全过程可以在安全 通信连接建立阶段进行。csee的安全协议将报文源和冃的信 息作为定向参数纳入sacem算法屮，由于封闭传输系统的节点有限，每一组发送端到接收 端的组合及传输方向都设置一个特定的定向参数。比节点

19、td更高效的是，一个参数确定了 通信双方的身份和传输方向，在报文的sacem校验过程中同时验证报文完整性和真实性。 fsfb/2对每个节点设置身份标识号sid,为防止“伪装”在fsfb/2报文屮不会肓接岀现sid 值，s1d与作为时间戳的伪随机数t n经过异或运算结合在一起传输。接收端不直接拥冇 发送端的sid,也无法获得t n ,所以sid-l；吋间戳必须通过fsfb/2特殊的安全过程来验 证。首先连接初始化过程山接收端发起连接请求，对方了以回应，在应答报文里包含双方 的sid和时间戳信息，接收方根据这些信息及系统预先分配给接收方的身份鉴別参数进行 安全计算，最终得到时间戳和身份鉴别结果的“

20、对准及验证参数”。之示接收方可以利用此 数据对报参考文献rai 1 way topics铁路视点文进行真实性验证和时间性验证。当通信出现问题被迫中断吋，“对准及验证参数”将 被清除，若不经过再次初始化过程，接受方将无法接收任何数据。3 en 50159标准的正确使用设计安全通信系统首先应确认传输系统所属分类和特性。en 50159-2标准附录c. 2给 出传输系统分类指导，为选择安全措施提供参考。由于应用层需求、功能与安全层设计密 切相关，因此只依靠传输系统分类远不能分配安全完整度（sil）指标。en 50159-2标准附录 c.3给出en501295涵盖的系统设计可采取的一些特殊步骤，包括应用、危险分析、风险 降低、sil分配、定量目标以及安全要求规范。en 50159标准中的“应用”指系统设计人 员必须理解传输系统的应用，数据流、数据种类、更新次数和性质（如定期或事件驱动）都会 对传输系统设计有影响。另外还必须确定系统的安金完整等级（定性参数和非函数参数）定 义（由用户或安全部门）。en 50159标准从功能和技术层面上提出安全要求，并针对通信系 统一般出现的风险提出相应的安全措施,建立适 应具体应用环境的安全相关通信系统还需对 其应用环境提出科学的分析研究及便用标准。1