2022年铁路信号系统安全相关通信标准与安全协议研究 .pdf

本文由 20062280_xing贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。Railway Topics 铁路视点铁路信号系统安全相关通信标准与安全协议研究杨霓霏：中国铁道科学研究院通信信号研究所，硕士研究生，北京，100081 段 武：中国铁道科学研究院通信信号研究所，研究员，北京，100081 卢佩玲：中国铁道科学研究院通信信号研究所，研究员，北京，100081 1 EN 50159标准概述摘 要：欧洲电工标准化委员会(CENELEC)核准的 EN 50159标准提出在安全相关设备中的数据通信必须建立安全相关通信功能，安全功能包括安全过程(safety procedure)及安全码(safety code)两方面内容。从结构上讲就是在应用层与通信系统之间，建立安全相关通信层，简称安全层。需要传输的用户数据首先经过安全层的处理，生成安全层数据报文之后再发往传输系统；从传输系统收到的信息也先经过安全层过滤才被采用。无论传输系统采用何种结构以及协议栈，从逻辑角度安全相关数据在安全层由安全过程和安全码的保护进行通信。物理上安全层的数据经过传输系统传送，所以传输系统特性直接影响安全通信功能。为此，EN 50159 标准是专门针对铁路信号系统中安全相关通信而设立的,该标准从功能和技术层面提出传输系统可能遇到的威胁及安全要求和措施。为防御各种风险，要求安全通信系统应具有保护报文真实性、保护报文完整性、保护报文时间性和保护报文顺序性等 4 项防御功能。关键词：铁路信号系统；安全相关通信；安全协议；标准现 子系统构成，负责子系统之间安全数据交换的通信系统是安全相关系统的一个重要组成部分。欧洲电工标准化委员会(CENELEC)核准的EN 50159 标准是专门针对铁路信号系统中安全相关通信而设立的，此标准为构建安全相关通信系统提出了功能和技术方面的基本要求和设计指导。目前,我国列车控制系统应用的部分欧洲设备或系统方案涉及到EN 50159 标准建立的安全通信系统及接口协议。代化的铁路信号及控制系统一般由多个安全相关 EN 50159标准分为两个部分：EN 501591 标准 1 针对封闭传输系统提出构建安全通信的基本要求，强调应用标准的先决条件、基本功能需求和安全完整性需求。EN 501592标准 2 针对开放传输系统提出基本安全需求，分析开放传输系统的各项风险及对应的安全措施。封闭传输系统指特征及属性清晰、固定的传输系统，建立安全相关通信功能可以考虑封闭传输系统的属性；而开放传输系统充满不确定性，安全通信功能的建立必须考虑所有可能发生的问题。48 中 国 铁 路 CHINESE RAILWAYS 2008/06 铁路信号系统安全相关通信标准与安全协议研究杨霓霏等 传输系统对安全通信功能的影响主要表现在传输系统的不同特性决定了错误的不同种类。安全完整性需求规范是在对错误模型的功能性分析基础上完成的，其错误主要来自传输系统。应用层的错误不在EN 50159 标准的考虑范围内。从接收角度对传输系统错误的界定是，当收到的报文出现差错，而接收端却误认为是合法报文并加以处理，这种情况称为影响安全的“错误”或“风险”。EN 501592 标准提出7 种传输系统可能遇到的风险威胁及8 种防御措施，其内容及应对关系见表 1。表 1 防御措施与风险威胁应对关系风险防御序列号时间戳超时源和目的反馈身份鉴安全身份标识信息别过程名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 5 页 -编码重复 删除插入重排序讹误延时伪装:表示防御措施与风险威胁应对关系 密码技术 Railway Topics 铁路视点全过程可以发现安全数据在传输中出现的“讹误”。发送端的安全功能负责对安全数据进行安全编码，再将安全码、用户数据及其他安全附加信息组成安全报文进行传输，接收端收到报文后，依照报文结构从报文中截取安全数据，再次编码计算，并将得到的码字与报文中的安全码进行比对，鉴别是否发生“讹误”。设计安全码必须选择适当的编码技术和足够的编码长度，以满足安全功能需求，并达到安全通信系统要求的安全完整度定量指标。EN 501591 标准附录A 给出安全码长度的参考计算公式。EN 501592 标准介绍了安全码的基本类型及选择，可作为安全码的主要有线性分组码、循环分组码（CRC）、散列分组码和加密分组码。选择安全码和加密技术主要根据传输系统是否有非授权访问，是否可以避免恶意攻击，以及安全通信系统结构中是否采用独立的非法接入保护措施。总之，根据传输系统和安全通信系统结构选择安全码。安全码使安全通信达到量化的安全目标。在安全协议中，除用户安全数据外，一般还要将安全层的附加安全数据，如时间戳和身份鉴别ID 等纳入安全码保护范围。在有些安全协议中，还将附加安全数据直接设计为计算参数参与安全码算法(如 SACEM)，或将其作为安全码的扩充内容(如 FSFB/2)，使安全层对报文完整性、真实性和时序性的验证在安全编码的计算和验证过程中一起完成，提高了安全性和效率，便于安全通信过程的管理。SACEM算法是一种特殊设计的散列分组编码算法，时间标记的DE/DR值与用户安全数据一起被进行SACEM 编 码计算，而报文真实性信息被设置为定向连接参数作为计算公式的一部分。FSFB/2 采用基于32 位 CRC的安全编码，发送端身份标识号SID 以及发送端时间戳T n 通过异或运算加入到CRC 校验码，得到FSFB/2 安全码。这种方式使 SID 和 T n 隐形于安全编码中，也使报文真实性和完整性验证过程统一进行。因为接收端计算出CRC校验码之后只能从安全码中恢复出 SID 与 Tn 经异或运算结合在一起的信息，也只有设法验证出 SID 及 Tn 之后才能完成CRC的验证。2.2 报文时序性保证顺序性就是保证接收端收到的报文序列与发送端发为防御各种风险，要求安全通信系统应具有保护报文真实性、保护报文完整性、保护报文时间性和保护报文顺序性等4 项防御功能，其中报文时间性和顺序性统称为时序性，对于安全通信系统可以从这3 方面进行研究。以两种欧洲铁路信号公司的安全通信协议为例分析 安全措施的实施。一是CSEE Transport公司针对封闭传输系统的安全协议,主要特征为SACEM 安全编码及DE/DR 时间标记机制，SACEM 是一种安全码。二是ALSTOM 公司以开放传输系统为对象的安全协议FSFB/2 4 3。FSFB(Fail Safe Field Bus)是 ALSTOM 公司的一种安全通信协议名称，FSFB/2是 FSFB的第二代，主要实现开放传输系统中安全相关数据通信。这两种协议在欧洲地铁和铁路系统广泛应用，随着技术引进，这些安全协议和技术在我国列控系统中也得到应用。2 安全通信功能及具体安全措施 2.1 报文完整性保证保证报文完整性就是防止报文在传输过程中出现任何“讹误”，安全相关通信的防御措施是采用安全码。安全码是一种冗余检错码，依靠安全码接收端的安中 国 铁 路 CHINESE RAILWAYS 2008/06 49 Railway Topics 都是顺序性错误表现。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 5 页 -铁路视点铁路信号系统安全相关通信标准与安全协议研究杨霓霏等 应用层超时之前，安全层连接得到及时恢复，将不会对应用层造成影响。因此，两个超时之间相差的时间应至少可以完成一次安全通信初始化。在此条件下安全层超时时限可以考虑尽可能接近应用层超时时限，这样可增加安全层容错性，减少安全层重建连接对信道的占用。FSFB/2 协议中有称为“最大容忍偏差”的参数，假设接收端与发送端周期大小相同，以接收端周期为单位,则 参数可表示为K+1，其中 K 表示接收端允许安全数据报文序列中连续丢失报文的最大数量。当接收端在距离上一次接收到正确数据后超过K+1 周期仍没有收到正确数据，将重新建立安全连接。这里需要注意，虽然协议允许接收端在正确接收到假定编号为n 的报文之后可以接着接收第n+k 号报文(0k K)，但接收端必须保证第n+k 号报文在第k 个周期内收到，否则应该视为错误数据而被抛弃。即接收端允许报文序列发生“删除(即丢包)”现象，但对每一个报文接收端不能允许其发生“延时”。在系统需要时，安全层应该小心地增加对丢/错 包的容错性，不能影响通信安全。CSEE安全协议采用DE/DR形式的双重时间戳，周期发送的安全数据报文在被接收端收到后，都会反馈状态信息报文。在两种报文中都含有 DE/DR双重时间戳，其中 DE表示发出报文时的发送端周期计数，DR表示发送此报文之前发送端接收到的最近一包报文的DE字段。可以认为，每个安全数据报文都与DR值所指的一个状态报文形成反馈报文。利用 DE字段，接收端可以监控安全数据报文的顺序性，同时接收端可以对每个报文监控两个超时。首先以发送端周期为接收窗口，杜绝安全数据超时问题；然后检查DR字段，如果太陈旧则说明状态信息传输或处理过程可能出现问题。CSEE 安全协议也需要连接初始化，请求由发送方发起，主要完成参数配置和检查，建立DE/DR机制。发送方以连续两个初始化报文作为申请开始，接收方随后反馈一个状态报文，发送方收到状态报文后开始发送安全数据报文，当接收方收到第一个有效 DR值标志时初始化完成。在 FSFB/2 协议中，在安全连接建立之后，接收端不发送任何报文，在安全连接建立过程中进行鉴别并完成对时。时间戳采用伪随机序列，有抵抗伪装的安全作用。出的报文序列相同，“重复”、“删除”、“重排序”时间性可理解为时效性，一个安全数据报文被发出后，必须在规定时间内到达接收端,“延时”可能带来风险。防止“重复”、“删除”、“重排序”的措施是将报文加上序列号，但加入序列号后不能发现“延时”问题。为解决“延时”问题，要确定报文的传输时间与预计时间在允许误差范围内是否相等，最直接的方法是为报文行程加入时间记录。为此，引入时间戳概念，即给报文打上时间记号，如采用绝对时标（绝对时间标记），如世界标准时间，这样接收端很容易检查传输过程是否超时，前提条件是要求使用绝对时标的所有设备时间严格同步，但实现这一要求投入较大。T n 也可以选择相对时标（相对时间标记），如以本地设备软件周期计数为时钟，以发送报文时软件周期数为T n。报文的发送可以是事件驱动，也可以是时间驱动，以固定周期发送报文是一种常见方式，对于安全通信系统有很多好处。当建立相对时标后，要使用“超时”机制解决“延时”问题。在报文周期发送时，通信双方可以预先知道本地时钟下对方的周期长度。“假设”接收端收到一包没有发生延时的报文，此时接收端可以确定下一个报文应该在一个发送周期左右(考虑允许的传输系统偏差)被 收到。如果预计时间耗尽仍没有收到正确报文，则可以确认预计接收的那一个报文发生了“延时”。接收端只要得到一个基准时刻就可以对报文序列的下一个报文建立一个接收窗口。利用反馈报文确定序列的开始，即找到建立接收窗口的第一个基准点，让通信双方进行“对时”。过程如下：由接收方发出对时申请，发送方收到后给以反馈，发出申请报文和收到反馈报文这两个事件的时刻都以申请方本地时钟为坐标，所以可以设置超时来控制反馈过程，当反馈报文在时限内到达时，那么就认为找到了一个序列的开始。这样的一个对时过程也可被认为接收端对于发送端建立了相对的逻辑时钟。在安全相关通信系统中，安全层和应用层一般会有两个不同的超时限制，应名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 5 页 -用层超时将引起系统安全反应，而安全层超时一般只造成安全层连接中断。如果在 50 中 国 铁 路 CHINESE RAILWAYS 2008/06 铁路信号系统安全相关通信标准与安全协议研究杨霓霏等 2.3 报文真实性保证报文真实性是指报文发送端和接收端的正确性。破坏报文真实性的风险有“插入”和“伪装”两种。“插 入”风险常表现为由于传输系统问题，使接收到的报文并非来自预期的地址，或虽然来自预期节点，但目的地不是此地。“伪装”也是一种插入，指在开放环境中一个未知节点有意或无意使用其他合法节点的信息伪装报文，使接收端误认为报文来自预期节点，其中有意的“伪装”是一种恶意攻击。针对破坏报文真实性的风险的最基本措施是为每个节点设置唯一的身份鉴别标号ID，然后在每条报文中加入发送端或目的端的标识ID。依据身份标识号，接收端就可以直接辨认报文是否来自正确的发送端和到达正确的目的地。ID 设置为报文真实性鉴别提供了条件，但在开放传输系统中为防止“伪装”，还需要安全通信层进行特殊设计，由反馈信息参与鉴别过程。鉴别过程可选择两种方式：一种是双向鉴别，在 通信过程中利用回复通道，通过发送方和接收方之间交换身份标识信息来确认通信双方真实性；另一种是动态鉴别，通信双方只在需要时交换反馈信息，一方提出鉴别请求，另一方给予回应，全过程可以在安全通信连接建立阶段进行。CSEE的安全协议将报文源和目的信息作为定向参数纳入 SACEM 算法中，由于封闭传输系统的节点有限，每一组发送端到接收端的组合及传输方向都设置一个特定的定向参数。比节点ID 更高效的是，一个参数确定了通 信双方的身份和传输方向，在报文的SACEM 校验过程中同时验证报文完整性和真实性。FSFB/2 对每个节点设置身份标识号SID，为防止“伪装”在 FSFB/2 报文中不会直接出现SID值，SID 与作为时间戳的伪随机数T n 经过异或运算结合在一起传输。接收端不直接拥有发送端的SID，也无法获得T n，所以 SID 与时间戳必须通过FSFB/2 特殊的安全过程来验证。首先连接初始化过程由接收端发起连接请求，对方予以回应，在应答报文里包含双方的 SID 和时间戳信息，接收方根据这些信息及系统预先分配给接收方的身份鉴别参数进行安全计算，最终得到时间戳和身份鉴别结果的“对准及验证参数”。之后接收方可以利用此数据对报参考文献 Railway Topics 铁路视点文进行真实性验证和时间性验证。当通信出现问题被迫中断时，“对准及验证参数”将被清除，若不经过再次初始化过程，接受方将无法接收任何数据。3 EN 50159标准的正确使用设计安全通信系统首先应确认传输系统所属分类和特性。EN 50159-2 标准附录C.2 给出传输系统分类指导，为选择安全措施提供参考。由于应用层需求、功能与安全层设计密切相关，因此只依靠传输系统分类远不能分配安全完整度(SIL)指标。EN 50159-2 标准附录C.3 给 出 EN 501295 涵盖的系统设计可采取的一些特殊步骤，包括应用、危险分析、风险降低、SIL 分配、定量目标以及安全要求规范。EN 50159 标准中的“应用”指系统设计人员必须理解传输系统的应用，数据流、数据种类、更新次数和性质(如定期或事件驱动)都会对传输系统设计有影响。另外还必须确定系统的安全完整等级(定性参数和非函数参数)定义(由用户或安全部门)。EN 50159 标准从功能和技术层面上提出安全要求，并针对通信系统一般出现的风险提出相应的安全措施，建立适应具体应用环境的安全相关通信系统还需对其应用环境提出科学的分析研究及使用标准。1 CENELEC.EN 50159 1 Railway applicationsCommunication,signalling and processing systems Part 1:Safety related communication in closed transmission 名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 5 页 -systems S,2001(3)2 CENELEC.EN 501592 Railway applicationsCommunication,signalling and processing systems Part 2:Safety-related communication in open transmission systems S,2001(3)3 ANSALDO SIGNAL CSEE Transport.BDU CC Interface Definition S,2006 4 ALSTOM.FSFB/2 Safety Protocol Requirements Specification S,1999,Version B.2 5 CENELEC.EN 50129 Railway applicationsCommunication,signalling and processing systems Safety related electronic systems for signaling S,2003(2)责任编辑陈晓云收稿日期 2008-04-18 中 国 铁 路 CHINESE RAILWAYS 2008/06 51 名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 5 页 -