第二章 安全信息传输技术
第一节 概述
列车运行控制系统中的安全相关设备需要通过通信网络子系统连接,为了降低成本,列车运行控制系统中的通信网络子系统采用通用的、成熟的和非安全的传输系统,这就需要采用额外的安全保障措施来确保列车运行控制系统安全信息可靠、完整、实时和顺序地传输。通信网络子系统可以是封闭传输系统,也可以是开放传输系统。但由于封闭传输系统和开放传输系统的使用环境不同,为实现安全信息传输,针对封闭传输系统和开放传输系统的安全需求不同。本章结合欧洲电工标准化委员会(CENELEC)的标准EN 50159介绍传输系统(通信系统)的分类、通信威胁,以及为保证信息安全所采取的安全通信技术手段。
一、传输系统分类
传输系统有不同的分类方法,本章根据以下三个条件来划分传输系统的类别。
(1)条件1:与传输系统安全相关或无关的连接设备数量已知,且固定;
(2)条件2:传输系统的特性(如介质、环境恶劣程度等)是已知的和固定的;
(3)条件3:非法访问传输系统的风险可忽略。
如果一个传输系统符合上述所有条件,则是第1类通信系统,属于封闭传输系统,其遵守的一整套过程和要求可普遍降低。
如果一个传输系统不满足条件1或条件2,但满足条件3,则是第2类通信系统,属于开放传输系统,需要根据比较完整的过程和要求来评估。
如果一个传输系统不满足条件3,则是第3类通信系统,属于开放传输系统,需要根据一整套流程和要求来评估。
列车运行控制系统常用的传输系统分类见表2-1。
表2-1 列车运行控制系统常用的传输系统分类
续上表
二、通信安全威胁
在列车运行控制系统中,通信网络子系统为安全设备之间提供了一条信息交互通道,通信网络子系统的主要任务是及时地、顺序地传输真实和完整的信息。但是通信网络子系统由于受到自身因素、环境因素和人为因素的影响,信息传输质量会下降,甚至造成系统安全问题。
影响通信网络子系统传输质量的因素可分为以下三个方面。
(1)通信系统自身因素:硬件系统性失效、软件系统系失效、串扰、断线、天线失调、布线误差、硬件随机失效、硬件老化、硬件损坏或阻断、热噪声等;
(2)环境因素:电磁干扰、火灾、地震、闪电、磁暴、衰落效应、搭线等;
(3)人为因素:使用未校准仪器、使用不合适仪器、不正确硬件替换、信道被监视、传输系统过载、未授权的软件修改、未授权消息的传输、信道被监视、人为错误等。
上述因素都会导致对通信的安全威胁,而且一个因素(此时的因素可以理解为错误或者故障)往往导致多个安全威胁。对通信的安全威胁可归纳为以下7种主要情况:
(1)重复(Repetition)。这表明相同的消息被重复发送,其含义也可能是发送器无法发送新的信息或者它发送非常多的信息以至于填充了整个传输媒介,其他通信也就不可能了,此时称这个发送器为“发生严重错误者”。重复通常是一种系统错误,在任何通信系统中都不能被忽略。
(2)删除(Deletion)。这意味传输媒介不能完成功能(即设备坏了)或有很多冲突使得消息有时接收不到。由于各种各样的事件或错误产生,删除是最普通的错误类型,在任何通信系统中都不能被忽略。通常消息中检测到的失真会导致删除。
(3)插入(Insertion)。这意味着消息是意外地收到。插入通常发生于接收机收到译解为包含正确地址的额外消息。在具有单一用户群恒定、不变的现场总线中风险相当低。
(4)乱序(Re-Sequencing)。这意味着消息按不正确顺序收到。这也许会导致安全功能取消(例如,如果速度指令应该先来,然后是停止指令;但如果顺序不正确,停止指令也许会被速度指令否决)。乱序通常发生于消息能通过两条路径从发送者向接收者传输,而一条路径慢于另一条路径的时候。在具有单一用户群恒定、不变的现场总线中风险相当低。
(5)损坏(Corruption)。这意味消息中一个或更多数据位被改变。损坏可以由于导致消息的1位或多位取值变化的各种各样的事件、错误或电磁干扰而产生。它是最普通的错误类型,在任何通信系统中都不能被忽略。
(6)延迟(Delay)。这意味着消息正确但收到太晚。即延迟可能由干扰或被过载的媒介导致。延迟由于各种各样的事件或错误产生,它是最普通的错误类型,在任何通信系统中都不能被忽略。在错误时间发送的信息会变的无用、无害,在某些情形下更会对用户造成危险。
(7)伪装(Masquerade)。这意味着消息不是像它自称的那样。伪装在经由相同传输媒介传送的安全和非安全消息时可能出现(即正确消息出现错误路径),在非安全相关的消息被译解为安全相关消息时也可能出现(即存在恶意消息)。在具有单一用户群恒定、不变的现场总线中,风险相当低可忽略。
通信安全威胁(包括重复、删除、插入、乱序、损坏、延迟、伪装)与传输系统类别之间的关系见表2-2。
表2-2 通信安全威胁与传输系统类别之间的关系
影响传输系统质量的因素与通信安全威胁(重复、删除、插入、乱序、损坏、延迟、伪装)之间的关系见表2-3,表中符号“×”表示影响传输系统质量的因素可能带来的通信威胁。
表2-3 影响传输系统质量的因素与通信安全威胁之间的关系
续上表
注:①在这种情况下,消息从开始就是欺骗性的;需要强防护,如使用密钥。
②未授权的安全相关消息监视不被认为是一个直接危险事件;对系统安全的危险由未授权监视引起的“传输未授权消息”造成。应用数据的保密性是一个该标准范围之外的独立系统要求。
三、通信安全防护措施
针对上述各种安全威胁,EN 50159建议使用表2-4所示的防护措施,表中符号“×”表示安全通信威胁可以使用的防护措施。从表中可以看出,通常针对一种安全威胁需要使用多种防护措施,这样才能使安全威胁降低到一个可以接受的水平;另外针对不同的具体应用环境,防护措施也不一定必须全部使用。
表2-4 通信安全威胁与防护措施之间的关系
防护措施具体如下:
(1)序列号。消息的编号,发送设备使用一个连续号码给每条消息编号,接收设备检查消息序列的连贯性。该措施能够减少重复、删除、插入和乱序等威胁产生的风险。
(2)时间戳。在发送的消息中增加时间信息,可以代替或与序列号联合使用。该措施能够减少消息受到重复、乱序、延时等威胁产生的风险。
(3)超时。接收设备只接收在预先确定的时间窗内到达的消息,该措施能够减少消息受到删除、延时等威胁产生的风险。
(4)源和目的标识符。给消息标注发送设备的地址(称为源标识符)和接收设备的地址(称为目标标识符),用于识别设备的合法性。该措施能够对抗插入和伪装等威胁产生的风险。
(5)反馈消息(确认或应答)。接收设备收到一个消息后,根据接收情况发送一个肯定或否定的确认;或者收到一个消息后,接收设备返回整个消息或校验和。反馈消息能够对抗删除、插入、破坏、延时和伪装等威胁产生的风险。
(6)认证。网络成员会检查哪些成员具有系统启动的优先权或者优先传送某一特定的消息。确认可能包括软件或者硬件版本方面的信息。这样可以防止错误的数据注入或者在安全相关的消息中混入了非安全相关的信息。该措施能够对抗插入和伪装等威胁产生的风险。
(7)安全编码。在消息中加入校验码,接收设备根据校验码检查消息的正确性。该措施能够对抗插入、破坏和伪装等威胁产生的风险。
(8)加密。使用密钥和算法把消息变成密文。该措施能够减少消息受到破坏和伪装等威胁产生的风险。