当前位置:文档之家› 铁路信号系统安全相关通信标准与安全协议研究

铁路信号系统安全相关通信标准与安全协议研究

铁路视点

Railway Topics

铁路信号系统

安全相关通信标准与安全协议研究

杨霓霏:中国铁道科学研究院通信信号研究所,硕士研究生,北京,100081段 武:中国铁道科学研究院通信信号研究所,研究员,北京,100081卢佩玲:中国铁道科学研究院通信信号研究所,研究员,北京,100081

代化的铁路信号及控制系统一般由多个安全相关

子系统构成,负责子系统之间安全数据交换的通

信系统是安全相关系统的一个重要组成部分。欧洲电工标准化委员会(CENELEC)核准的EN 50159标准是专门针对铁路信号系统中安全相关通信而设立的,此标准为构建安全相关通信系统提出了功能和技术方面的基本要求和设计指导。目前,我国列车控制系统应用的部分欧洲设备或系统方案涉及到EN 50159标准建立的安全通信系统及接口协议。

摘 要:欧洲电工标准化委员会(CENELEC)核准的EN 50159标准是专门针对铁路信号系统中安全相关通信而设立的,该标准从功能和技术层面提出传输系统可能遇到的威胁及安全要求和措施。为防御各种风险,要求安全通信系统应具有保护报文真实性、保护报文完整性、保护报文时间性和保护报文顺序性等4项防御功能。

关键词:铁路信号系统;安全相关通信;安全协议;标准

1 EN 50159标准概述

EN 50159标准提出在安全相关设备中的数据通信必须建立安全相关通信功能,安全功能包括安全过程(safety procedure)及安全码(safety code)两方面内容。从结构上讲就是在应用层与通信系统之间,建立安全相关通信层,简称安全层。需要传输的用户数据首先经过安全层的处理,生成安全层数据报文之后再发往传输系统;从传输系统收到的信息也先经过安全层过滤才被采用。无论传输系统采用何种结构以及协议栈,从逻辑角度安全相关数据在安全层由安全过程和安全码的保护进行通信。物理上安全层的数据经过传输系统传送,所以传输系统特性直接影响安全通信功能。为此,

EN 50159标准分为两个部分:EN 50159—1标准[1]针对封闭传输系统提出构建安全通信的基本要求,强调应用标准的先决条件、基本功能需求和安全完整性需求。EN 50159—2标准[2]针对开放传输系统提出基本安全需求, 分析开放传输系统的各项风险及对应的安全措施。封闭传输系统指特征及属性清晰、固定的传输系统,建立安全相关通信功能可以考虑封闭传输系统的属性;而开放传输系统充满不确定性,安全通信功能的建立必须考虑所有可能发生的问题。

铁路视点

Railway Topics

表1 防御措施与风险威胁应对关系

传输系统对安全通信功能的影响主要表现在传输系统的不同特性决定了错误的不同种类。安全完整性需求规范是在对错误模型的功能性分析基础上完成的,其错误主要来自传输系统。应用层的错误不在EN 50159标准的考虑范围内。从接收角度对传输系统错误的界定是,当收到的报文出现差错,而接收端却误认为是合法报文并加以处理,这种情况称为影响安全的“错误”或“风险”。EN 50159—2标准提出7种传输系统可能遇到的风险威胁及8种防御措施,其内容及应对关系见表1。

全过程可以发现安全数据在传输中出现的“讹误”。发送端的安全功能负责对安全数据进行安全编码,再将安全码、用户数据及其他安全附加信息组成安全报文进行传输,接收端收到报文后,依照报文结构从报文中截取安全数据,再次编码计算,并将得到的码字与报文中的安全码进行比对,鉴别是否发生“讹误”。设计安全码必须选择适当的编码技术和足够的编码长度,以满足安全功能需求,并达到安全通信系统要求的安全完整度定量指标。EN 50159—1标准附录A给出安全码长度的参考计算公式。EN 50159—2标准介绍了安全码的基本类型及选择,可作为安全码的主要有线性分组码、循环分组码(CRC)、散列分组码和加密分组码。选择安全码和加密技术主要根据传输系统是否有非授权访问,是否可以避免恶意攻击,以及安全通信系统结构中是否采用独立的非法接入保护措施。总之,根据传输系统和安全通信系统结构选择安全码。

安全码使安全通信达到量化的安全目标。在安全协议中,除用户安全数据外,一般还要将安全层的附加安全数据,如时间戳和身份鉴别ID等纳入安全码保护范围。在有些安全协议中,还将附加安全数据直接设计为计算参数参与安全码算法(如SACEM),或将其作为安全码的扩充内容(如FSFB/2),使安全层对报文完整性、真实性和时序性的验证在安全编码的计算和验证过程中一起完成,提高了安全性和效率,便于安全通信过程的管理。

SACEM算法是一种特殊设计的散列分组编码算法,时间标记的DE/DR值与用户安全数据一起被进行SACEM编码计算,而报文真实性信息被设置为定向连接参数作为计算公式的一部分。

FSFB/2采用基于32位CRC的安全编码,发送端身份标识号SID以及发送端时间戳T n 通过异或运算加入到CRC 校验码,得到FSFB/2安全码。这种方式使SID和T n 隐形于安全编码中,也使报文真实性和完整性验证过程统一进行。因为接收端计算出CRC校验码之后只能从安全码中恢复出SID与T n 经异或运算结合在一起的信息,也只有设法验证出SID及T n 之后才能完成CRC的验证。2.2 报文时序性保证

顺序性就是保证接收端收到的报文序列与发送端发

为防御各种风险,要求安全通信系统应具有保护报文真实性、保护报文完整性、保护报文时间性和保护报文顺序性等4项防御功能,其中报文时间性和顺序性统称为时序性,对于安全通信系统可以从这3方面进行研究。

以两种欧洲铁路信号公司的安全通信协议为例分析安全措施的实施。一是CSEE Transport公司针对封闭传输系统的安全协议,主要特征为SACEM安全编码及DE/DR 时间标记机制[3],SACEM是一种安全码。二是ALSTOM 公司以开放传输系统为对象的安全协议FSFB/2[4]。FSFB(Fail Safe Field Bus)是ALSTOM公司的一种安全通信协议名称,FSFB/2是FSFB的第二代,主要实现开放传输系统中安全相关数据通信。这两种协议在欧洲地铁和铁路系统广泛应用,随着技术引进,这些安全协议和技术在我国列控系统中也得到应用。

2 安全通信功能及具体安全措施

2.1 报文完整性保证

保证报文完整性就是防止报文在传输过程中出现任何“讹误”,安全相关通信的防御措施是采用安全码。安全码是一种冗余检错码,依靠安全码接收端的安

铁路信号系统安全相关通信标准与安全协议研究 杨霓霏 等

相关主题