1、；. 本文由20062280_xing貢獻 pdf文檔可能在WAP端瀏覽體驗不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機查看。 Railway Topics 鐵路視點 鐵路信號系統(tǒng) 安全相關通信標準與安全協(xié)議研究 楊霓霏：中國鐵道科學研究院通信信號研究所，碩士研究生，北京，100081 段 武：中國鐵道科學研究院通信信號研究所，研究員，北京，100081 盧佩玲：中國鐵道科學研究院通信信號研究所，研究員，北京，100081 1 EN 50159標準概述 摘 要：歐洲電工標準化委員會(CENELEC)核準的 EN 50159標準提出在安全相關設備中的數(shù)據(jù)通信 必須建立安全相關通信功能，安全功能

2、包括安全過程 (safety procedure)及安全碼(safety code)兩方面內(nèi) 容。從結構上講就是在應用層與通信系統(tǒng)之間，建立安 全相關通信層，簡稱安全層。需要傳輸?shù)挠脩魯?shù)據(jù)首先 經(jīng)過安全層的處理，生成安全層數(shù)據(jù)報文之后再發(fā)往傳 輸系統(tǒng)；從傳輸系統(tǒng)收到的信息也先經(jīng)過安全層過濾才 被采用。無論傳輸系統(tǒng)采用何種結構以及協(xié)議棧，從邏 輯角度安全相關數(shù)據(jù)在安全層由安全過程和安全碼的 保護進行通信。物理上安全層的數(shù)據(jù)經(jīng)過傳輸系統(tǒng)傳 送，所以傳輸系統(tǒng)特性直接影響安全通信功能。為此， EN 50159標準是專門針對鐵路信號系統(tǒng)中安全相關通 信而設立的,該標準從功能和技術層面提出傳輸系統(tǒng) 可能遇

3、到的威脅及安全要求和措施。為防御各種風 險，要求安全通信系統(tǒng)應具有保護報文真實性、保 護報文完整性、保護報文時間性和保護報文順序性 等4項防御功能。 關鍵詞：鐵路信號系統(tǒng)；安全相關通信；安全協(xié) 議；標準 現(xiàn) 子系統(tǒng)構成，負責子系統(tǒng)之間安全數(shù)據(jù)交換的通 信系統(tǒng)是安全相關系統(tǒng)的一個重要組成部分。歐洲電工 標準化委員會(CENELEC)核準的EN 50159標準是專門針對 鐵路信號系統(tǒng)中安全相關通信而設立的，此標準為構建 安全相關通信系統(tǒng)提出了功能和技術方面的基本要求和 設計指導。目前,我國列車控制系統(tǒng)應用的部分歐洲設 備或系統(tǒng)方案涉及到EN 50159標準建立的安全通信系統(tǒng) 及接口協(xié)議。 代化的鐵

4、路信號及控制系統(tǒng)一般由多個安全相關 EN 50159標準分為兩個部分：EN 501591標準1針對封 閉傳輸系統(tǒng)提出構建安全通信的基本要求，強調應用 標準的先決條件、基本功能需求和安全完整性需求。EN 501592標準2針對開放傳輸系統(tǒng)提出基本安全需求， 分析開放傳輸系統(tǒng)的各項風險及對應的安全措施。封閉 傳輸系統(tǒng)指特征及屬性清晰、固定的傳輸系統(tǒng)，建立安 全相關通信功能可以考慮封閉傳輸系統(tǒng)的屬性；而開放 傳輸系統(tǒng)充滿不確定性，安全通信功能的建立必須考慮 所有可能發(fā)生的問題。 48 中 國 鐵 路 CHINESE RAILWAYS 2008/06 鐵路信號系統(tǒng)安全相關通信標準與安全協(xié)議研究 楊霓霏

5、 等 傳輸系統(tǒng)對安全通信功能的影響主要表現(xiàn)在傳輸系 統(tǒng)的不同特性決定了錯誤的不同種類。安全完整性需求 規(guī)范是在對錯誤模型的功能性分析基礎上完成的，其錯 誤主要來自傳輸系統(tǒng)。應用層的錯誤不在EN 50159標準 的考慮范圍內(nèi)。從接收角度對傳輸系統(tǒng)錯誤的界定是， 當收到的報文出現(xiàn)差錯，而接收端卻誤認為是合法報文 并加以處理，這種情況稱為影響安全的“錯誤”或“風 險”。EN 501592標準提出7種傳輸系統(tǒng)可能遇到的風 險威脅及8種防御措施，其內(nèi)容及應對關系見表1。 表1 防御措施與風險威脅應對關系 風險 防御 序列號 時間戳 超時 源和目的 反饋 身份鑒 安全 身份標識 信息 別過程 編碼 重復

6、刪除 插入 重排序 訛誤 延時 偽裝 :表示防御措施與風險威脅應對關系 密碼 技術 Railway Topics 鐵路視點 全過程可以發(fā)現(xiàn)安全數(shù)據(jù)在傳輸中出現(xiàn)的“訛誤”。發(fā) 送端的安全功能負責對安全數(shù)據(jù)進行安全編碼，再將安 全碼、用戶數(shù)據(jù)及其他安全附加信息組成安全報文進行 傳輸，接收端收到報文后，依照報文結構從報文中截取 安全數(shù)據(jù)，再次編碼計算，并將得到的碼字與報文中的 安全碼進行比對，鑒別是否發(fā)生“訛誤”。設計安全碼 必須選擇適當?shù)木幋a技術和足夠的編碼長度，以滿足安 全功能需求，并達到安全通信系統(tǒng)要求的安全完整度定 量指標。EN 501591標準附錄A給出安全碼長度的參考 計算公式。EN 5

7、01592標準介紹了安全碼的基本類型及 選擇，可作為安全碼的主要有線性分組碼、循環(huán)分組碼 （CRC）、散列分組碼和加密分組碼。選擇安全碼和加 密技術主要根據(jù)傳輸系統(tǒng)是否有非授權訪問，是否可以 避免惡意攻擊，以及安全通信系統(tǒng)結構中是否采用獨立 的非法接入保護措施。總之，根據(jù)傳輸系統(tǒng)和安全通信 系統(tǒng)結構選擇安全碼。 安全碼使安全通信達到量化的安全目標。在安全 協(xié)議中，除用戶安全數(shù)據(jù)外，一般還要將安全層的附 加安全數(shù)據(jù)，如時間戳和身份鑒別ID等納入安全碼保 護范圍。在有些安全協(xié)議中，還將附加安全數(shù)據(jù)直接 設計為計算參數(shù)參與安全碼算法(如SACEM)，或將其作 為安全碼的擴充內(nèi)容(如FSFB/2)，使

8、安全層對報文完 整性、真實性和時序性的驗證在安全編碼的計算和驗 證過程中一起完成，提高了安全性和效率，便于安全 通信過程的管理。 SACEM算法是一種特殊設計的散列分組編碼算法， 時間標記的DE/DR值與用戶安全數(shù)據(jù)一起被進行SACEM編 碼計算，而報文真實性信息被設置為定向連接參數(shù)作為 計算公式的一部分。 FSFB/2采用基于32位CRC的安全編碼，發(fā)送端身份 標識號SID以及發(fā)送端時間戳T n 通過異或運算加入到CRC 校驗碼，得到FSFB/2安全碼。這種方式使SID和T n 隱形于 安全編碼中，也使報文真實性和完整性驗證過程統(tǒng)一進 行。因為接收端計算出CRC校驗碼之后只能從安全碼中恢 復

9、出SID與Tn 經(jīng)異或運算結合在一起的信息，也只有設法 驗證出SID及Tn 之后才能完成CRC的驗證。 2.2 報文時序性保證 順序性就是保證接收端收到的報文序列與發(fā)送端發(fā) 為防御各種風險，要求安全通信系統(tǒng)應具有保護報 文真實性、保護報文完整性、保護報文時間性和保護報 文順序性等4項防御功能，其中報文時間性和順序性統(tǒng)稱 為時序性，對于安全通信系統(tǒng)可以從這3方面進行研究。 以兩種歐洲鐵路信號公司的安全通信協(xié)議為例分析 安全措施的實施。一是CSEE Transport公司針對封閉傳 輸系統(tǒng)的安全協(xié)議,主要特征為SACEM安全編碼及DE/DR 時間標記機制 ，SACEM是一種安全碼。二是ALSTOM

10、 公司以開放傳輸系統(tǒng)為對象的安全協(xié)議FSFB/2 4 3 。 FSFB(Fail Safe Field Bus)是ALSTOM公司的一種安全通 信協(xié)議名稱，F(xiàn)SFB/2是FSFB的第二代，主要實現(xiàn)開放傳 輸系統(tǒng)中安全相關數(shù)據(jù)通信。這兩種協(xié)議在歐洲地鐵和 鐵路系統(tǒng)廣泛應用，隨著技術引進，這些安全協(xié)議和技 術在我國列控系統(tǒng)中也得到應用。 2 安全通信功能及具體安全措施 2.1 報文完整性保證 保證報文完整性就是防止報文在傳輸過程中出現(xiàn) 任何“訛誤”，安全相關通信的防御措施是采用安全 碼。安全碼是一種冗余檢錯碼，依靠安全碼接收端的安 中 國 鐵 路 CHINESE RAILWAYS 2008/06

11、49 Railway Topics 都是順序性錯誤表現(xiàn)。 鐵路視點 鐵路信號系統(tǒng)安全相關通信標準與安全協(xié)議研究 楊霓霏 等 應用層超時之前，安全層連接得到及時恢復，將不會對 應用層造成影響。因此，兩個超時之間相差的時間應至 少可以完成一次安全通信初始化。在此條件下安全層超 時時限可以考慮盡可能接近應用層超時時限，這樣可增 加安全層容錯性，減少安全層重建連接對信道的占用。 FSFB/2協(xié)議中有稱為“最大容忍偏差”的參數(shù)，假設接 收端與發(fā)送端周期大小相同，以接收端周期為單位,則 參數(shù)可表示為K +1，其中K 表示接收端允許安全數(shù)據(jù)報文 序列中連續(xù)丟失報文的最大數(shù)量。當接收端在距離上 一次接收到正確

12、數(shù)據(jù)后超過K +1周期仍沒有收到正確數(shù) 據(jù)，將重新建立安全連接。這里需要注意，雖然協(xié)議允 許接收端在正確接收到假定編號為n 的報文之后可以接 著接收第n +k 號報文(0k K )，但接收端必須保證第n +k 號報文在第k 個周期內(nèi)收到，否則應該視為錯誤數(shù)據(jù)而 被拋棄。即接收端允許報文序列發(fā)生“刪除(即丟包)” 現(xiàn)象，但對每一個報文接收端不能允許其發(fā)生“延 時”。在系統(tǒng)需要時，安全層應該小心地增加對丟/錯 包的容錯性，不能影響通信安全。 CSEE安全協(xié)議采用DE/DR形式的雙重時間戳，周期 發(fā)送的安全數(shù)據(jù)報文在被接收端收到后，都會反饋狀態(tài) 信息報文。在兩種報文中都含有DE/DR雙重時間戳，其

13、中DE表示發(fā)出報文時的發(fā)送端周期計數(shù)，DR表示發(fā)送此 報文之前發(fā)送端接收到的最近一包報文的DE字段。可以 認為，每個安全數(shù)據(jù)報文都與DR值所指的一個狀態(tài)報文 形成反饋報文。利用DE字段，接收端可以監(jiān)控安全數(shù)據(jù) 報文的順序性，同時接收端可以對每個報文監(jiān)控兩個超 時。首先以發(fā)送端周期為接收窗口，杜絕安全數(shù)據(jù)超時 問題；然后檢查DR字段，如果太陳舊則說明狀態(tài)信息傳 輸或處理過程可能出現(xiàn)問題。CSEE安全協(xié)議也需要連接 初始化，請求由發(fā)送方發(fā)起，主要完成參數(shù)配置和檢 查，建立DE/DR機制。發(fā)送方以連續(xù)兩個初始化報文作 為申請開始，接收方隨后反饋一個狀態(tài)報文，發(fā)送方收 到狀態(tài)報文后開始發(fā)送安全數(shù)據(jù)報文

14、，當接收方收到第 一個有效DR值標志時初始化完成。 在FSFB/2協(xié)議中，在安全連接建立之后，接收端不 發(fā)送任何報文，在安全連接建立過程中進行鑒別并完成 對時。時間戳采用偽隨機序列，有抵抗偽裝的安全作 用。 出的報文序列相同，“重復”、“刪除”、“重排序” 時間性可理解為時效性，一個安全數(shù)據(jù)報文被發(fā)出 后，必須在規(guī)定時間內(nèi)到達接收端,“延時”可能帶來 風險。 防止“重復”、“刪除”、“重排序”的措施是 將報文加上序列號，但加入序列號后不能發(fā)現(xiàn)“延時” 問題。為解決“延時”問題，要確定報文的傳輸時間與 預計時間在允許誤差范圍內(nèi)是否相等，最直接的方法是 為報文行程加入時間記錄。為此，引入時間戳概念

15、， 即給報文打上時間記號，如采用絕對時標（絕對時間標 記），如世界標準時間，這樣接收端很容易檢查傳輸過 程是否超時，前提條件是要求使用絕對時標的所有設備 時間嚴格同步，但實現(xiàn)這一要求投入較大。T n 也可以選 擇相對時標（相對時間標記），如以本地設備軟件周期 計數(shù)為時鐘，以發(fā)送報文時軟件周期數(shù)為T n 。報文的發(fā) 送可以是事件驅動，也可以是時間驅動，以固定周期發(fā) 送報文是一種常見方式，對于安全通信系統(tǒng)有很多好 處。 當建立相對時標后，要使用“超時”機制解決“延 時”問題。在報文周期發(fā)送時，通信雙方可以預先知道 本地時鐘下對方的周期長度。“假設”接收端收到一包 沒有發(fā)生延時的報文，此時接收端可以

16、確定下一個報文 應該在一個發(fā)送周期左右(考慮允許的傳輸系統(tǒng)偏差)被 收到。如果預計時間耗盡仍沒有收到正確報文，則可以 確認預計接收的那一個報文發(fā)生了“延時”。接收端只 要得到一個基準時刻就可以對報文序列的下一個報文建 立一個接收窗口。利用反饋報文確定序列的開始，即找 到建立接收窗口的第一個基準點，讓通信雙方進行“對 時”。過程如下：由接收方發(fā)出對時申請，發(fā)送方收到 后給以反饋，發(fā)出申請報文和收到反饋報文這兩個事件 的時刻都以申請方本地時鐘為坐標，所以可以設置超時 來控制反饋過程，當反饋報文在時限內(nèi)到達時，那么就 認為找到了一個序列的開始。這樣的一個對時過程也可 被認為接收端對于發(fā)送端建立了相對

17、的邏輯時鐘。 在安全相關通信系統(tǒng)中，安全層和應用層一般會 有兩個不同的超時限制，應用層超時將引起系統(tǒng)安全反 應，而安全層超時一般只造成安全層連接中斷。如果在 50 中 國 鐵 路 CHINESE RAILWAYS 2008/06 鐵路信號系統(tǒng)安全相關通信標準與安全協(xié)議研究 楊霓霏 等 2.3 報文真實性保證 報文真實性是指報文發(fā)送端和接收端的正確性。破 壞報文真實性的風險有“插入”和“偽裝”兩種。“插 入”風險常表現(xiàn)為由于傳輸系統(tǒng)問題，使接收到的報文 并非來自預期的地址，或雖然來自預期節(jié)點，但目的地 不是此地。“偽裝”也是一種插入，指在開放環(huán)境中一 個未知節(jié)點有意或無意使用其他合法節(jié)點的信息偽

18、裝 報文，使接收端誤認為報文來自預期節(jié)點，其中有意的 “偽裝”是一種惡意攻擊。 針對破壞報文真實性的風險的最基本措施是為每 個節(jié)點設置唯一的身份鑒別標號ID，然后在每條報文 中加入發(fā)送端或目的端的標識ID。依據(jù)身份標識號， 接收端就可以直接辨認報文是否來自正確的發(fā)送端和 到達正確的目的地。ID設置為報文真實性鑒別提供了 條件，但在開放傳輸系統(tǒng)中為防止“偽裝”，還需 要安全通信層進行特殊設計，由反饋信息參與鑒別過 程。鑒別過程可選擇兩種方式：一種是雙向鑒別，在 通信過程中利用回復通道，通過發(fā)送方和接收方之間 交換身份標識信息來確認通信雙方真實性；另一種是 動態(tài)鑒別，通信雙方只在需要時交換反饋信息

19、，一方 提出鑒別請求，另一方給予回應，全過程可以在安全 通信連接建立階段進行。 CSEE的安全協(xié)議將報文源和目的信息作為定向參數(shù) 納入SACEM算法中，由于封閉傳輸系統(tǒng)的節(jié)點有限，每 一組發(fā)送端到接收端的組合及傳輸方向都設置一個特定 的定向參數(shù)。比節(jié)點ID更高效的是，一個參數(shù)確定了通 信雙方的身份和傳輸方向，在報文的SACEM校驗過程中 同時驗證報文完整性和真實性。 FSFB/2對每個節(jié)點設置身份標識號SID，為防止 “偽裝”在FSFB/2報文中不會直接出現(xiàn)SID值，SID與作 為時間戳的偽隨機數(shù)T n 經(jīng)過異或運算結合在一起傳輸。 接收端不直接擁有發(fā)送端的SID，也無法獲得T n ，所以 S

20、ID與時間戳必須通過FSFB/2特殊的安全過程來驗證。 首先連接初始化過程由接收端發(fā)起連接請求，對方予以 回應，在應答報文里包含雙方的SID和時間戳信息，接 收方根據(jù)這些信息及系統(tǒng)預先分配給接收方的身份鑒別 參數(shù)進行安全計算，最終得到時間戳和身份鑒別結果的 “對準及驗證參數(shù)”。之后接收方可以利用此數(shù)據(jù)對報 參考文獻 Railway Topics 鐵路視點 文進行真實性驗證和時間性驗證。當通信出現(xiàn)問題被迫 中斷時，“對準及驗證參數(shù)”將被清除，若不經(jīng)過再次 初始化過程，接受方將無法接收任何數(shù)據(jù)。 3 EN 50159標準的正確使用 設計安全通信系統(tǒng)首先應確認傳輸系統(tǒng)所屬分類和 特性。EN 5015

21、9-2標準附錄C.2給出傳輸系統(tǒng)分類指導， 為選擇安全措施提供參考。由于應用層需求、功能與安 全層設計密切相關，因此只依靠傳輸系統(tǒng)分類遠不能 分配安全完整度(SIL)指標。EN 50159-2標準附錄C.3給 出EN 501295涵蓋的系統(tǒng)設計可采取的一些特殊步驟， 包括應用、危險分析、風險降低、SIL分配、定量目標 以及安全要求規(guī)范。EN 50159標準中的“應用”指系統(tǒng) 設計人員必須理解傳輸系統(tǒng)的應用，數(shù)據(jù)流、數(shù)據(jù)種 類、更新次數(shù)和性質(如定期或事件驅動)都會對傳輸系 統(tǒng)設計有影響。另外還必須確定系統(tǒng)的安全完整等級 (定性參數(shù)和非函數(shù)參數(shù))定義(由用戶或安全部門)。EN 50159標準從功能和技術層面上提出安全要求，并針對 通信系統(tǒng)一般出現(xiàn)的風險提出相應的安全措施，建立適 應具體應用環(huán)境的安全相關通信系統(tǒng)還