GB∕ T 24339-2023 轨道交通 通信、信号和处理系统 传输系统中的安全相关通信（正式版）

代替GB/T24339.1—2009和GB/T24339.2—2009传输系统中的安全相关通信国家市场监督管理总局国家标准化管理委员会I Ⅲ V 1 13术语和定义、缩略语 1 75传输系统的威胁源 96传输系统分类 附录A(资料性)新旧标准对比 附录B(资料性)防护指南 22附录C(资料性)开放式传输系统面临的威胁 附录D(资料性)传输系统的分类 41附录E(资料性)本文件使用指南 43 47Ⅲa)更改了范围(见第1章);2009的A.2);--—附录A对应IEC62280:2014的附录E;-—附录B对应IEC62280:2014的附录C;——用规范性引用的GB/T28809替换了IEC62425:2007(见第1章、第4章、第5章、7.2.5、——将IEC62280:2014中脚注1更改为第5章的注；——2009年首次发布为GB/T24339.1—2009和GB/T24339.2—2009;V1 GB/T28809轨道交通通信、信号和处理系统信号用安全相关电子系统(GB/T28809—23GB/T24339—2023危害hazard45安全完整性等级safetyintegr6传输编码transmissioncode传输系统transmissionsystem有效性validityBCH-code:BCH码(Bose,Ray-Chaudhuri,HocquenghemCode)BSC:二进制对称信道(BinarySymmetricChannel)7EMI:电磁干扰(ElectromagneticWiFi:无线保真(WirelessFid主要架构的组合视图——开放式和封闭式传输系统，见图1,其中8—-按照用户未知的程序，读取、存储、处理或重传由传输系统用户产生和提供的数据的组件。用户数量一般未知，与安全相关和与非安全相关的设备以及与轨道交通应用无关的设备可以连接到开放式传输系统。——具有用户未知的、易受外部影响传输特性的任何类型的传输介质。-能够按照用户未知的程序，通过开放式传输系统端点之间由一种或多种传输介质组成的任何路径路由(以及动态变更路由)消息的网络控制和管理系统。——传输系统的其他用户以未知格式发送未知数量的信息，安全相关应用程序设计人员对此不知情。第3类开放式传输系统可能遭受恶意的未经授权访问。消息应用功能技术技术功能应用应用图1安全相关通信的参考架构9--系统故障；--断线；-—维修错误；-—衰落效应；-—火灾：-—地震；--窃听； --未经授权消息的传输。-—损坏；-—延时； 消息实时性： 当一个实体接收到信息时，信息的含义通常列号或与序列号结合使用。时间戳的不同用法及其特性见B.1。 -—各种实体中计时器的同步性；消息1之相关的确认消息j响应，见图3。如果发送端没有在预定时间收到相应确认消息j,应视为错误。发送端发送端 ---动态认证。 BSC非常适合EMI引起的随机错误。但是，非可信传下采用BSC,见B.4。 防护时间截√√√ √√一√√√√√√√√√·只适用于源标识符，并只检测来自无效源的插入。如果因为未知用户而不能确定唯一标识符，应使用加密技术，见7.3.9。见7.4.3和B.2。 这些问题的指南见B.2。(资料性)本文件是对GB/T24339.1—2009和GB/T24339.2—2009进行修订和合并的结果。主要进行了表A.1和表A.2显示了GB/T24339.1—2009和GB/T24339.2—2009的条款和附录与本文件的这些有助于在按照GB/T24339.1—2009和GB/T24339.2—2009对系统进行维护和/或扩展时具资料性/规范性引言资料性引言前提条件1前提条件26.3.1的前提条件1前提条件35传输系统特征和安全规程之间的关系5.1功能完整性要求(起始至P1)未使用 7.1总则6.1总则未使用6.2安全相关设备间的通信7.1和7.26.3安全相关设备和非安全相关设备之间的通信6.4非安全相关设备间的通信未使用7.1总则7.3安全编码的长度附录A安全编码的长度资料性不变———参考文献的变更和术语的变更，以达到整个标准的一致性。编辑修改———内容不变，只是重新安排和改技术修改——-内容移动到其他条款，或者修改。表A.2GB/T24339.2—2009与本文件的对照资料性/规范性引言资料性引言6.1总则7.1总则7.3具体的防护7.3.6反馈消息7.2威胁/防护矩阵7.4.2威胁/防护矩阵7.3安全编码和加密技术的选择和使用7.4.3安全编码和加密技术的选择和使用资料性B.1时间戳的应用资料性应用资料性C.1范围/目的资料性6.1总则资料性附录D传输系统分类C.3步骤资料性E.1步骤资料性附录D开放式传输系统的威胁资料性附录C开放式传输系统面临的威胁不变———参考文献的变更和术语的变更，以达到整个标准的一致性。·检查消息的正确顺序；·如果应用考虑情况a),双时间戳可能要求知道往返传输的延时。尽管通信系统可能未知或在生命周期内变化，大多数情况下可以确定能或B1),见图B.1,或由使用加密机制的安全相关传输功能提供保护(类型A1)。在这种情况下，下文使A1型消息类型A0和A1的结构原则符合图B.2的规定。说明：安全相关传输过程问保护层是有用的，见图B.3。图B.3描述的模型背后的隐含假设是这些LAN可以被分类为类别2。加密硬件和软件可以集中在开放式传输系统的唯一入口点。排除开放式传输系安全相关传输安全相关传输过程过程B0或B1型消息安全相关传输b)添加加密编码。这两种情况下在发送安全相关消息到访问保护层之前都使用安全编码，消息类型B0和B1的消息结构原则符合图B.4和图B.5的规定。这些示例显示了在安全编码之后立即应用的密码保护。在其他例子中，安全相关传输过程的说明：访问保护过程安全相关传输过程注：见GB/T24339。安全相关传输过程的图B.5传输系统内部消息表示模型(B1型)B.3安全编码B.3.1总则意攻击通常采用的方法是应用至少一个密钥的加密算法。安全编码B.3.2主要分组码用于差错控制的大部分编码都是线性二进制码。也使用非二进制码，如理德-所罗门编码(Reed-Solomoncode)。这些编码对对抗随机错误和突发错误非常有效。编码可以设计为拥有特定的最小汉明距离d。也就是说，可以检测所有的d-1位错误。因为码字是线性的有用的模型有二进制对称信道(BSC)和q进制对称信道(QSC)。这些编码还可以用于系统传输错B.3.2.3循环分组码如果码字的每次循环移位仍是码字，则线性分组码称为循环码。循试系统性错误检测能力。带有c个冗余符号的循环码可以检测到突发长度不超过c的所有突发错误。B.3.2.5数字签名数字签名是根据所有输入数据(用户数据和附加数据)和密钥生成的一组B.3.2.6加密分组码各种基本技术的评估举例见表B.1。安全相关传输系统的分类，见图B.1见参考文献[23]RRRRR表B.1安全编码机制的评估(续)安全相关传输系统的分类，见图B,1哈希码R数字签名RRRR注1:当建议了多于一种安全编码机制时，宜采用一种或多种机制的组合。注2:HR表示该架构宜使用该技术。如果不使用这种技术，那么不使用它的理由在技术安全报告中详细说R表示该技术宜用于此架构。这是一个比“HR”更低级别的推荐。可能有其他安全方法，但此处不考虑。如果使用流加密技术，那么不适合使用CRC作为安全编码。否则，攻击者可以不破译密钥，通过给流加密消息添加一个带有有效CRC的任意消息，创建带有有效CRC的安全相关信声明安全编码未检测出错误概率Pu是多少，其性能低于随机编码的性能Pur=2-*,c表示冗余比B.3.4加密技术使用加密技术时宜使用如ISO/IEC10116的标准操作模式。对于输入长度超过加密算法分组长事实上，这里描述的模型部分依赖于传输系统的错误检测和管理机制。通常，在无故障的情况与忽略传输系统错误检测能力的模型相比，采用该模型可降低安计算安全编码长度的基本模型见图B.6。312以下3种情况可能产生危害：a)传输系统故障导致消息损坏；c)传输编码校验器出现故障，在这种情况下每一个损坏的消息都可能会从非可信传输系统传送k₂—硬件故障百分比因子，这些硬件故障导致传输译码无法检测；RHw×Pus×k₁=Rm…………(B.1)Pur×Pus×fw=Rm…………(B.2)k₂×Pus×1/T=RH…………(B.3)三种失效率的和不能超过RH,见公式(B.4)。Rm+RH2+Rn≤R因为不能假设失效是随机的，所以有必要在因子k₁中考虑安全裕量m。k₁因子可以按照公式k₁≥n×m…错误消息的最大出现频率fw依照如下方法估算。-—使用安全计数器和/或安全定时器，限制最大错误消息比率或数量。如果在收到的错误消息多于一个，安全通信将被终止同时进入安全降级状态。可以用数学方法证 非安全相关应用和安全相关应用之间的通信示例见图B.7。在可信网络(第1类和第2类)中，非安全相关应用可以使用与安全相关应用相同的传输介质进行应用过程-—网络层；GB/T24339—2023用户层防护MH(主危害)用户层防护错误)应用威胁(危害事件)物理图C.1危害树-—比预期接收的消息多，有1个或多个消息重复，或者有外部消息插入。因此---比预期接收的消息少，1个或多个消息被删除。因此基本消息错误是删除消息。以上定义的基本消息错误并不互相排斥。在消息流的多个消息甚至是单个消息也有可能受到不只C.3威胁设定A、B和C是进行安全相关消息通信的3个授C.3.2重复速轨道区间);C.3.3删除C.3.4插入-一个授权的第三方C无意地在A发给B的信息流中插入了一个消息(或由于网络错误发生相——X故意改变发给B的消息的次序(例如，通过强迫消息选取网络的不同路径来延迟消息);C.3.6损坏--—消息意外被改变(如EMI)为另一个形式上正确的A和/或B不能检测到修改。C.3.7延时C.3.8伪装消息可能的伪装消息：A和B想要传输安全相关的数据，并且X对A假C.4.2识别危害事件的结构化方法下述分析从考虑所检验的案例涉及与外部环境交互的网络开始。这两个实体由一些子实体组成(图C.2中用下划线标注),这些子实体可视为引起所分析系统产生可能的危害事件的致因。网络实体网络调试前的活动调试时的活动电磁场气候人为因素图C.2威胁的原因-软件的系统性失效。 ---布线错误。在生命周期的这个阶段，系统组件的性能丧失以及维修和/或修改过程中的错误都可以引发危害-—硬件随机失效；---使用不适当的仪器；—错误的硬件替换；C.修改---人为错误。C.停用及处置C.电磁场C.机械应力--硬件随机失效；-—硬件老化； --使用未校准的仪器；-—人为错误；---未经授权的软件修改。根据C.1所列条款，每个威胁可以看作是由一组危害事件产生的。从前文已识别的危害事件开表C.1。√√√√√√√√√√√√—串扰√√√断线√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√热噪声√√√√√√√√√√√闪电√√√√√窃听√√√√√√√√√√√√√√√发送未经授权消息√√通道监测—在这种情况下，消息从一开始就是伪造的；需要强大的防护措施，未经授权监控SR消息不被视为直接危害事件；系统安全的危害源于未经授权监控导输”。应用数据的机密性是本文件范围之外的单(资料性)6.3确定了3类传输系统：-—第1类为封闭式传输系统，系统的所有基本属性均在安全相关系统设计者的-—第2类为开放式传输系统，尽管传输不完全在安全相关系统设计者的控制下-—第3类为可能遭受恶意攻击的开放式传输系统，需要采取加密防护措施。上述3类系统相关的实际传输系统的进一步指导。确定特定系统是否被视为第1、2或3类系统进行分析。表D.1传输系统分类示例为最大通信节点数量已知和固定的系统设计。在整个生命周期内不变。近距离空气间隙传输(例如应答器发送给车载天线)。安全相关系统内部的专有串行总线(例如，PROFIBUS、CAN和完全满足并保持前提条件、在单个系统内连接不同设备(安全相关和用户组扩展的范围有限。已知用户组或组。未经授权的访问机会可忽略(网络可信)。安全相关系统内部的专有串行总线(例如，PROFI系统可能在生命周期内重新配置或由另一个传输系统替换。工业标准LAN在受控和有限的区域内连接不同的系统(安全相关和非安全相关)。连接不同位置的不同系统(安全相关和非安全相偶尔使用并且在不可预测的时间使用的公共电(例如，联锁系统的拨号远程诊断)。接入受限的无线电传输系统(例如，因为链路预算发的波导或泄漏电缆，或使用专有的调制方案，无法通过现有的商用或可负担的实验室设备产生相同信号的系统)公共电话网中的分组交换数据。互联网。电路交换无线系统(例如，GSM-R)。分组交换数据无线系统(例如，GPRS)。短程广播无线电(例如，WiFi)。十十十十十一十一一——威胁可被忽略；十—胁存在，但是很少，采用一般对策；在这种通用的级别上，无法根据传输系统的分类以及对每种威胁需要的防护分配SIL;为了分配应用图E.1步骤示意图E.1.2应用E.1.6安全需求规格书(SRS)已识别的系统安全操作所需防护，实现这些防护的SIL和量化的安全目标都记录在系统的E.2示例E.2.1总则E.2.2应用系统的全局安全目标定义为10-'/h。E.2.3危害分析a)车上接收到一个不正确(错误侧)消息会导致该列车进入一个已被占用的区间，并且与另一列b)接收紧急停车消息时延迟会导致列车与轨分配的系统全局安全目标是10-¹/h,例如，情况1、情况2分配的指标是10⁸/h。E.2.4情况1图E.3情况1的故障树E.2.5情况2图E.4情况2的故障树[1]GB/T15851.3—2018信息技术安全技术带消息恢复的数字签名方案第3部分：基[2]GB/T15852.1—2020信息技术安全技术消息鉴别码第1部分：采用分组密码的[3]GB/T17901.1—2020信息技术安全技术密钥管理第1部分：框架givingmessagerecovery—Part2:Intege7]ISO/IEC10116Informationtecr[9]ISO/IEC10118-2Informationtechnology—Securitytechniques—Hash[10]ISO/IEC10118-3:2004Informationtechnology—SecuPart3:Dedicatedhash-fun[11]ISO/IEC10118-4:19