ECHNOLOGY INFORMATION 信息技术 铁路信号产品安全通信设计原则及实例研究 王非 刘斌 张大鹏 (北京和利时系统工程有限公司 北京 1 001 76) 摘要:铁路信号产品中各设备或模块之r.-I通信的可靠性和安全性,直接关系到铁路运营安全和人员安全。EN501 5 9标准零专门针对 信号系统中安全相关通信而拟定的,该标准提出了安全通信协议应满足的安全要求,以及应对通信风险应采取 ̄Jtl-/g。在产品设计阶 段实现本质安全的设计是解决通信失效带来影响的重要措施。本文将从以下两个方面进行研究:(I)ENS01 59安全通信标准的要求;(2) 当既有铁路信号产品面临兼容性问题而无法修改通信协议时。应如何通过修改硬件结构设计来弥补通信协议的不足。本文将给出实例 和分析过程。 关键词:铁路信号 系统安全通信设计 安全标准 中图分类号:U 28 4 文献标识码:A 文章编号:1 67 2-37 91(201 4)06(a)一001 8--02 威胁是如何防护的: 重复:当接收方接收到了重复的数据 帧时,其序号与前一帧的序号应是相同的, 检测到该异常时,应将霞复收到的数据帧 丢弃,从而可以防L匕使用蘑复数据。 删除:当接收方接收到的数据帧的序 号发生r跳变,如本J点接收序 为2的帧, 但是接收的数栅帧序号为3,说叫序 ‘为了 2的数据帧西火,此时接收办应将其 录, 如果连续发生丢失数据,则判断为通信故 障,何时判断为通信故障,需视容忍程度而 定,如果・定要执行严苛的规定,丢l帧即 判定为通信故障也未为不可,只是会影响 系统的可用性。 插入:当通信系统中多出一个数据帧 时,其序号要么出现重复,要么出现跳变, 接收方也可诊断出该失效。 乱序:当接收方接收到数据的顺序与 预期不符时,即发生了乱序,这类失效也可 通过序号的辨识来诊断出来。 1安全相关系统通信结构 通常安全相关系统是由多个子系统构 成,各个子系统之间的通信是否安全是本 文的研究对象。以下图为例:安全相奖子系 统通常可粗略的分为以下3层:物理层、数 据链路层、应用层。其中物理层和数据链路 层可以合并,统称为’ 台层。数据链路层中 对外通常会有通信 波,这类通信协议的 组包和解析工作女I1粜地由集成 :片自动完 成的(比如HDLc协议由64570芯片自动解 施之间的关系,可以用表1来表示。析),或者协议是民用的标准协议,比如 TCP/IP协议由网卡驱动自动解析,那么,这 3实例研究 协议所做的所有校验工作都不会被安全 事实上,在实际应用中,有些既有系统 系统所信任。安全通信协议研究的范畴是 为了保证其兼容性,既要保证其通信的安 甚于应用层,也就是由安全相关子系统的 全性又不能按照上章节介绍的方法使用防 设计人员在应用层追加一层安全层来完成 护措施。本章节,笔者将给出一个实例,来 安全通信协议的所有防护要求,这里提到 介绍任不修改原有通信协议的基础上,通 的安全层是接下来章节所要研究的重点。 过修改硬件结构设计,仍能够防护通信系 图l为安全相关子系统通信结构图,安 统中几类常见的危害。全相关子系统A与B通信,应用层数据外面 3.1既有系统的协议模型介绍 叠加了平台层数据后,构成了在物理链路 女"图3所示,既有系统中,除了应用数 延迟:两安全相夫子系统通信协议中 传输的安全相关数据帧 为了防护从应 据外,安全协议只包含“序号”一种防护措 对超时判断有了规定,当超过预定超时判 将会被判断为通信故障,使输出 用层到平台层数据的失效,或者不采信平 施,由表1可知,能够防护重复、删除、插入、 断时间时,台层所做的所有防御性校验,茌应用层中, 乱序的喊胁。 导向安全。因此,该既有通信协议对“延迟” 序号每通信周期递增1,至255后循环 的威胁也具备防护功能。 将应用数据叠加一层安全协议,构成了图l 中的“安全相关应用数据”,使得在失效发 递增为l。也就是说,在正常情况下,接收方 破坏:由于安全相关应用层数据中没有 生时,接收端安全相关子系统能够通过安 接收到的序号应是连续且递增l的。下面将 安全编码或CRC等常用的校验,因此该系统 全协议校验出异常,从而能够防止系统使 从接收方的角度逐个分析表1中所述的7个 无法防护从应用层到平台层数据被破坏,即 用已经实效了的数据。 表1 通信系统中危害与防护措施对照表 图2为链路上传输的安全卡I{_炎数据帧格 防护措施 式的示意 ,该图能够更加明确的表达各层 威胁 序号 时间 超时 源、目的 消息 安全 识别 加密 数据协议的关系。j0中“安全协.L义”部分应满 戳 标识 反馈 编码 过程 足EN50l 59标准I1l提fIl的安全要求。 重复 删除 2安全通信协议的基本要求 插入 V/ 在EN501 59中规定,安全通信协议应该 乱序 能够防护以下七类危害。 破坏 2.1重复(Repetition) 延迟 在通信链路出现重复的数据包,即在 伪装 接受方接收到多次相同的数据帧。 2.2删除(Deletion) 表2 既有系统安全防护措施分析 表3 改型后系统安全防护措施分析结果统计 结果统计 某一个数据包在传输过程中丢失,未 改型后系统防护措施 分析 能到达目的地 威胁 序 超 反馈 结果 威胁 既有系统防护措施 分析结果 2.3插入(Insertion) 号 时 表决 序号 超时 在传输过程中,被插入・个数据帧。 重复 重复 一 2.4乱序(Re-sequence) 删除 删除 到达目的地的数据帧与数据源发出的 插入 插入 数据帧顺序不一致。 乱序 乱序 2。5破坏(Corruption) 破坏 破坏 数据帧的任意位都有可能由于传输系 延迟 延迟  ̄/ 统的干扰或其他原因而发生改变。 伪装 伪装 2.6延迟(Delay) 数据帧到达目的地的时间晚于预期。 2.7伪装(Masquerade) 攻击方恶意仿造传输系统中的有效数 据,并将其发送给任意接收方。 防护上述危害口丁以采用很多方法,比 如:在协议中增加“序号”,使用时间戳,使用 超时判断,使用源、日的标识,使用消息反馈 机制、使用安全编码,增大码距,使用信息加 密技术等,传输系统中存在的危害与防护措 8 科技资讯SCIENCE&TECHNOLOGY INFORMATION 信息技术 SC『ENOE&TECHN0L0GY 臣圆 图1 安全相关子系统通信结构图 安全相关应用数据=应用数据+安全协议 链路l:传§ 安全十¨关数据帧 图2 各层数据协议结构关系 安全相荚应用数据=应片j数据+安全协议 链路l 传输的安 相关数据帧 图3既有系统通信模型 图4 既有系统通信架构模型 炎子系统l”。安全相关 系统中的两个 CPU㈣时接收来自安全丰f{奖手系统2的数 据,C I U 2将自身解析后的结粜发送给 CPUl,CPUl用fII身的解析结果‘ CI U 2的 解析结果进行表决(比较),・敛 通过’ 台 层发送给安舍梢关 系统2。 征该架构巾当应刖数据从CPU l列 台1 的传输过程发生了“破坏”,安仝相荚子系统2 是无法 别的,因为从}:卷节分析可知, CPUl的应用层无安 通信协议, 台l仪完 成了数据链路层的协议组也T:作, 此安 相关子系统2仪能识别从平台l到安全相荚子 系统2过程中所发生的实效,但是之前讨沦 过,数据链路屡的仟f【可协议荇I5不}皮信任,也不 认为是安垒校验,因此这些防护还不足够。 3.3改进后系统通信架构模型 为保证原有系统通信 议的兼容性, 不能通过修政通信 波来解决数据被“破 坏”的威胁,因此,修政了既有系统的硬件 架构,修改后的系统架构模型如 5所示。 CI U l和cPU 2将各自解析的结果传递 给对方,并用自身计辣的结l果跟对方计算的 结果进行表决(比较),并将丧决结 传给’ 台层, 台l将、 台腻协议组乜后的数 j 台2组包之后的数据进行表决(比较),灰决 通过后,将数据发送给安全相关产系统 。 3.4改进后系统分析 系统架构改进后,由r原有的通信 议没有变, 此,表2中已经满足安全通信 设计原则的,任政型后仍然满足。所以数据 被“破坏”的威胁是 能在政型后被防护址 本节分析的『^J容: 分析前提:仪考虑单 故障的町能,不 考虑多重故障 时发生。 假设从CPU l到 台l的链路中,数据 于干扰等诱因被“破坏”,也就是说数据 内容发生了突变,那么该数据失效是否能 够在该系统内部被发现呢?该设计中采垌 了信息 传的方法,也町称之为feedback的 种,即将平台1和、 台2即将发Lll的数据 进行表决(比较),比较一敛 才将数搠发 H{,这样Ⅱ¨使枉荩一个通路上发生了数据 “破坏”,在两路数据表决时仍能够以别出 失效, 此口J‘以得出结沦,政型后的系统架 构能够防护“破坏”的威胁。改型后系统安 全防护措施分析结果统 ’如表3所示。 ’ 4结语 在EN50l 59标准中建议的防护措施有 很多 ,为了防护安全通信系统小的7币叶一威 胁,可以采取标准中建议的安全设计原则, 也可以通过硬件架构设计束创造条件,以 满足相I亩l的安全要求。安全通信系统的“本 质安全”是设计出来的, r以通过设计安全 通信协议来满足需求,也可通过硬件架卡勾 设计来实现,总而 之,设计是灵活的,要 充分考虑安全需求平l】安全设计原则,更要 考虑产品的具体应用。 图5 改进后系统通信架构模型 使 台层中宵芯片驱动做的简单的校验,也 不能披安全相关系统所采信。因此,该既有 协议不能够防护数据“破坏”的威胁。 伪装:由于本文所讨论的系统是一个 封闭的系统,即EN501 59 20l0版中描述的 1类系统,因此不考虑伪装的威协。 由上述分析可知,该既有协议的“序 ”和“超时判断”能够防护除了“破坏”之 外的所有威胁,在此系统中不考虑“伪装” 的威胁。因此,如何防护“破坏”的威胁,足 对既有系统改造时需要考虑的问题。 参考文献 [1】BS EN50159 2010 Railway applica— tions Comnmnicatio ̄1.signaling al1d processing[Z]. 3.2既有系统通信架构模型介绍 2】systems—Safety-related communication 图4为既有系统的通信架构模型,下文 【in transmission systemsl Z 1. 所述的既有系统为架构模型中的“安全相 科技资讯SCIENCE&TECHNOLOGY INFORMATION 1 9