[建筑]铁路信号系统安全相关通信标准与安全协议研究.doc

本文由20062280_xing贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 Railway Topics 铁路视点 铁路信号系统 安全相关通信标准与安全协议研究 杨霓霏：中国铁道科学研究院通信信号研究所，硕士研究生，北京，100081 段 武：中国铁道科学研究院通信信号研究所，研究员，北京，100081 卢佩玲：中国铁道科学研究院通信信号研究所，研究员，北京，100081 1 EN 50159标准概述 摘 要：欧洲电工标准化委员会(CENELEC)核准的 EN 50159标准提出在安全相关设备中的数据通信 必须建立安全相关通信功能，安全功能包括安全过程 (safety procedure)及安全码(safety code)两方面内 容。从结构上讲就是在应用层与通信系统之间，建立安 全相关通信层，简称安全层。需要传输的用户数据首先 经过安全层的处理，生成安全层数据报文之后再发往传 输系统；从传输系统收到的信息也先经过安全层过滤才 被采用。无论传输系统采用何种结构以及协议栈，从逻 辑角度安全相关数据在安全层由安全过程和安全码的 保护进行通信。物理上安全层的数据经过传输系统传 送，所以传输系统特性直接影响安全通信功能。为此， EN 50159标准是专门针对铁路信号系统中安全相关通 信而设立的,该标准从功能和技术层面提出传输系统 可能遇到的威胁及安全要求和措施。为防御各种风 险，要求安全通信系统应具有保护报文真实性、保 护报文完整性、保护报文时间性和保护报文顺序性 等4项防御功能。 关键词：铁路信号系统；安全相关通信；安全协 议；标准 现 子系统构成，负责子系统之间安全数据交换的通 信系统是安全相关系统的一个重要组成部分。欧洲电工 标准化委员会(CENELEC)核准的EN 50159标准是专门针对 铁路信号系统中安全相关通信而设立的，此标准为构建 安全相关通信系统提出了功能和技术方面的基本要求和 设计指导。目前,我国列车控制系统应用的部分欧洲设 备或系统方案涉及到EN 50159标准建立的安全通信系统 及接口协议。 代化的铁路信号及控制系统一般由多个安全相关 EN 50159标准分为两个部分：EN 501591标准1针对封 闭传输系统提出构建安全通信的基本要求，强调应用 标准的先决条件、基本功能需求和安全完整性需求。EN 501592标准2针对开放传输系统提出基本安全需求， 分析开放传输系统的各项风险及对应的安全措施。封闭 传输系统指特征及属性清晰、固定的传输系统，建立安 全相关通信功能可以考虑封闭传输系统的属性；而开放 传输系统充满不确定性，安全通信功能的建立必须考虑 所有可能发生的问题。 48 中 国 铁 路 CHINESE RAILWAYS 2008/06 铁路信号系统安全相关通信标准与安全协议研究 杨霓霏 等 传输系统对安全通信功能的影响主要表现在传输系 统的不同特性决定了错误的不同种类。安全完整性需求 规范是在对错误模型的功能性分析基础上完成的，其错 误主要来自传输系统。应用层的错误不在EN 50159标准 的考虑范围内。从接收角度对传输系统错误的界定是， 当收到的报文出现差错，而接收端却误认为是合法报文 并加以处理，这种情况称为影响安全的“错误”或“风 险”。EN 501592标准提出7种传输系统可能遇到的风 险威胁及8种防御措施，其内容及应对关系见表1。 表1 防御措施与风险威胁应对关系 风险 防御 序列号 时间戳 超时 源和目的 反馈 身份鉴 安全 身份标识 信息 别过程 编码 重复 删除 插入 重排序 讹误 延时 伪装 :表示防御措施与风险威胁应对关系 密码 技术 Railway Topics 铁路视点 全过程可以发现安全数据在传输中出现的“讹误”。发 送端的安全功能负责对安全数据进行安全编码，再将安 全码、用户数据及其他安全附加信息组成安全报文进行 传输，接收端收到报文后，依照报文结构从报文中截取 安全数据，再次编码计算，并将得到的码字与报文中的 安全码进行比对，鉴别是否发生“讹误”。设计安全码 必须选择适当的编码技术和足够的编码长度，以满足安 全功能需求，并达到安全通信系统要求的安全完整度定 量指标。EN 501591标准附录A给出安全码长度的参考 计算公式。EN 501592标准介绍了安全码的基本类型及 选择，可作为安全码的主要有线性分组码、循环分组码 （CRC）、散列分组码和加密分组码。选择安全码和加 密技术主要根据传输系统是否有非授权访问，是否可以 避免恶意攻击，以及安全通信系统结构中是否采用独立 的非法接入保护措施。总之，根据传输系统和安全通信 系统结构选择安全码。 安全码使安全通信达到量化的安全目标。在安全 协议中，除用户安全数据外，一般还要将安全层的附 加安全数据，如时间戳和身份鉴别ID等纳入安全码保 护范围。在有些安全协议中，还将附加安全数据直接 设计为计算参数参与安全码算法(如SACEM)，或将其作 为安全码的扩充内容(如FSFB/2)，使安全层对报文完 整性、真实性和时序性的验证在安全编码的计算和验 证过程中一起完成，提高了安全性和效率，便于安全 通信过程的管理。 SACEM算法是一种特殊设计的散列分组编码算法， 时间标记的DE/DR值与用户安全数据一起被进行SACEM编 码计算，而报文真实性信息被设置为定向连接参数作为 计算公式的一部分。 FSFB/2采用基于32位CRC的安全编码，发送端身份 标识号SID以及发送端时间戳T n 通过异或运算加入到CRC 校验码，得到FSFB/2安全码。这种方式使SID和T n 隐形于 安全编码中，也使报文真实性和完整性验证过程统一进 行。因为接收端计算出CRC校验码之后只能从安全码中恢 复出SID与Tn 经异或运算结合在一起的信息，也只有设法 验证出SID及Tn 之后才能完成CRC的验证。 2.2 报文时序性保证 顺序性就是保证接收端收到的报文序列与发送端发 为防御各种风险，要求安全通信系统应具有保护报 文真实性、保护报文完整性、保护报文时间性和保护报 文顺序性等4项防御功能，其中报文时间性和顺序性统称 为时序性，对于安全通信系统可以从这3方面进行研究。 以两种欧洲铁路信号公司的安全通信协议为例分析 安全措施的实施。一是CSEE Transport公司针对封闭传 输系统的安全协议,主要特征为SACEM安全编码及DE/DR 时间标记机制 ，SACEM是一种安全码。二是ALSTOM 公司以开放传输系统为对象的安全协议FSFB/2 4 3 。 FSFB(Fail Safe Field Bus)是ALSTOM公司的一种安全通 信协议名称，FSFB/2是FSFB的第二代，主要实现开放传 输系统中安全相关数据通信。这两种协议在欧洲地铁和 铁路系统广泛应用，随着技术引进，这些安全协议和技 术在我国列控系统中也得到应用。 2 安全通信功能及具体安全措施 2.1 报文完整性保证 保证报文完整性就是防止报文在传输过程中出现 任何“讹误”，安全相关通信的防御措施是采用安全 码。安全码是一种冗余检错码，依靠安全码接收端的安 中 国 铁 路 CHINESE RAILWAYS 2008/06 49 Railway Topics 都是顺序性错误表现。 铁路视点 铁路信号系统安全相关通信标准与安全协议研究 杨霓霏 等 应用层超时之前，安全层连接得到及时恢复，将不会对 应用层造成影响。因此，两个超时之间相差的时间应至 少可以完成一次安全通信初始化。在此条件下安全层超 时时限可以考虑尽可能接近应用层超时时限，这样可增 加安全层容错性，减少安全层重建连接对信道的占用。 FSFB/2协议中有称为“最大容忍偏差”的参数，假设接 收端与发送端周期大小相同，以接收端周期为单位,则 参数可表示为K +1，其中K 表示接收端允许安全数据报文 序列中连续丢失报文的最大数量。当接收端在距离上 一次接收到正确数据后超过K +1周期仍没有收到正确数 据，将重新建立安全连接。这里需要注意，虽然协议允 许接收端在正确接收到假定编号为n 的报文之后可以接 着接收第n +k 号报文(0k K )，但接收端必须保证第n +k 号报文在第k 个周期内收到，否则应该视为错误数据而 被抛弃。即接收端允许报文序列发生“删除(即丢包)” 现象，但对每一个报文接收端不能允许其发生“延 时”。在系统需要时，安全层应该小心地增加对丢/错 包的容错性，不能影响通信安全。 CSEE安全协议采用DE/DR形式的双重时间戳，周期 发送的安全数据报文在被接收端收到后，都会反馈状态 信息报文。在两种报文中都含有DE/DR双重时间戳，其 中DE表示发出报文时的发送端周期计数，DR表示发送此 报文之前发送端接收到的最近一包报文的DE字段。可以 认为，每个安全数据报文都与DR值所指的一个状态报文 形成反馈报文。利用DE字段，接收端可以监控安全数据 报文的顺序性，同时接收端可以对每个报文监控两个超 时。首先以发送端周期为接收窗口，杜绝安全数据超时 问题；然后检查DR字段，如果太陈旧则说明状态信息传 输或处理过程可能出现问题。CSEE安全协议也需要连接 初始化，请求由发送方发起，主要完成参数配置和检 查，建立DE/DR机制。发送方以连续两个初始化报文作 为申请开始，接收方随后反馈一个状态报文，发送方收 到状态报文后开始发送安全数据报文，当接收方收到第 一个有效DR值标志时初始化完成。 在FSFB/2协议中，在安全连接建立之后，接收端不 发送任何报文，在安全连接建立过程中进行鉴别并完成 对时。时间戳采用伪随机序列，有抵抗伪装的安全作 用。 出的报文序列相同，“重复”、“删除”、“重排序” 时间性可理解为时效性，一个安全数据报文被发出 后，必须在规定时间内到达接收端,“延时”可能带来 风险。 防止“重复”、“删除”、“重排序”的措施是 将报文加上序列号，但加入序列号后不能发现“延时” 问题。为解决“延时”问题，要确定报文的传输时间与 预计时间在允许误差范围内是否相等，最直接的方法是 为报文行程加入时间记录。为此，引入时间戳概念， 即给报文打上时间记号，如采用绝对时标（绝对时间标 记），如世界标准时间，这样接收端很容易检查传输过 程是否超时，前提条件是要求使用绝对时标的所有设备 时间严格同步，但实现这一要求投入较大。T n 也可以选 择相对时标（相对时间标记），如以本地设备软件周期 计数为时钟，以发送报文时软件周期数为T n 。报文的发 送可以是事件驱动，也可以是时间驱动，以固定周期发 送报文是一种常见方式，对于安全通信系统有很多好 处。 当建立相对时标后，要使用“超时”机制解决“延 时”问题。在报文周期发送时，通信双方可以预先知道 本地时钟下对方的周期长度。“假设”接收端收到一包 没有发生延时的报文，此时接收端可以确定下一个报文 应该在一个发送周期左右(考虑允许的传输系统偏差)被 收到。如果预计时间耗尽仍没有收到正确报文，则可以 确认预计接收的那一个报文发生了“延时”。接收端只 要得到一个基准时刻就可以对报文序列的下一个报文建 立一个接收窗口。利用反馈报文确定序列的开始，即找 到建立接收窗口的第一个基准点，让通信双方进行“对 时”。过程如下：由接收方发出对时申请，发送方收到 后给以反馈，发出申请报文和收到反馈报文这两个事件 的时刻都以申请方本地时钟为坐标，所以可以设置超时 来控制反馈过程，当反馈报文在时限内到达时，那么就 认为找到了一个序列的开始。这样的一个对时过程也可 被认为接收端对于发送端建立了相对的逻辑时钟。 在安全相关通信系统中，安全层和应用层一般会 有两个不同的超时限制，应用层超时将引起系统安全反 应，而安全层超时一般只造成安全层连接中断。如果在 50 中 国 铁 路 CHINESE RAILWAYS 2008/06 铁路信号系统安全相关通信标准与安全协议研究 杨霓霏 等 2.3 报文真实性保证 报文真实性是指报文发送端和接收端的正确性。破 坏报文真实性的风险有“插入”和“伪装”两种。“插 入”风险常表现为由于传输系统问题，使接收到的报文 并非来自预期的地址，或虽然来自预期节点，但目的地 不是此地。“伪装”也是一种插入，指在开放环境中一 个未知节点有意或无意使用其他合法节点的信息伪装 报文，使接收端误认为报文来自预期节点，其中有意的 “伪装”是一种恶意攻击。 针对破坏报文真实性的风险的最基本措施是为每 个节点设置唯一的身份鉴别标号ID，然后在每条报文 中加入发送端或目的端的标识ID。依据身份标识号， 接收端就可以直接辨认报文是否来自正确的发送端和 到达正确的目的地。ID设置为报文真实性鉴别提供了 条件，但在开放传输系统中为防止“伪装”，还需 要安全通信层进行特殊设计，由反馈信息参与鉴别过 程。鉴别过程可选择两种方式：一种是双向鉴别，在 通信过程中利用回复通道，通过发送方和接收方之间 交换身份标识信息来确认通信双方真实性；另一种是 动态鉴别，通信双方只在需要时交换反馈信息，一方 提出鉴别请求，另一方给予回应，全过程可以在安全 通信连接建立阶段进行。 CSEE的安全协议将报文源和目的信息作为定向参数 纳入SACEM算法中，由于封闭传输系统的节点有限，每 一组发送端到接收端的组合及传输方向都设置一个特定 的定向参数。比节点ID更高效的是，一个参数确定了通 信双方的身份和传输方向，在报文的SACEM校验过程中 同时验证报文完整性和真实性。 FSFB/2对每个节点设置身份标识号SID，为防止 “伪装”在FSFB/2报文中不会直接出现SID值，SID与作 为时间戳的伪随机数T n 经过异或运算结合在一起传输。 接收端不直接拥有发送端的SID，也无法获得T n ，所以 SID与时间戳必须通过FSFB/2特殊的安全过程来验证。 首先连接初始化过程由接收端发起连接请求，对方予以 回应，在应答报文里包含双方的SID和时间戳信息，接 收方根据这些信息及系统预先分配给接收方的身份鉴别 参数进行安全计算，最终得到时间戳和身份鉴别结果的 “对准及验证参数”。之后接收方可以利用此数据对报 参考文献 Railway Topics 铁路视点 文进行真实性验证和时间性验证。当通信出现问题被迫 中断时，“对准及验证参数”将被清除，若不经过再次 初始化过程，接受方将无法接收任何数据。 3 EN 50159标准的正确使用 设计安全通信系统首先应确认传输系统所属分类和 特性。EN 50159-2标准附录C.2给出传输系统分类指导， 为选择安全措施提供参考。由于应用层需求、功能与安 全层设计密切相关，因此只依靠传输系统分类远不能 分配安全完整度(SIL)指标。EN 50159-2标准附录C.3给 出EN 501295涵盖的系统设计可采取的一些特殊步骤， 包括应用、危险分析、风险降低、SIL分配、定量目标 以及安全要求规范。EN 50159标准中的“应用”指系统 设计人员必须理解传输系统的应用，数据流、数据种 类、更新次数和性质(如定期或事件驱动)都会对传输系 统设计有影响。另外还必须确定系统的安全完整等级 (定性参数和非函数参数)定义(由用户或安全部门)。EN 50159标准从功能和技术层面上提出安全要求，并针对 通信系统一般出现的风险提出相应的安全措施，建立适 应具体应用环境的安全相关通信系统