铁路信号系统安全相关通信标准与安全协议研究.docVIP

本文xing贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 Railway Topics 铁路视点 铁路信号系统 安全相关通信标准与安全协议研究 杨霓霏：中国铁道科学研究院通信信号研究所，硕士研究生，北京，100081 段 武：中国铁道科学研究院通信信号研究所，研究员，北京，100081 卢佩玲：中国铁道科学研究院通信信号研究所，研究员，北京，100081 1 EN 50159标准概述 摘 要：欧洲电工标准化委员会(CENELEC)核准的 EN 50159标准提出在安全相关设备中的数据通信 必须建立安全相关通信功能，安全功能包括安全过程 (safety procedure)及安全码(safety code)两方面内 容。从结构上讲就是在应用层与通信系统之间，建立安 全相关通信层，简称安全层。需要传输的用户数据首先 经过安全层的处理，生成安全层数据报文之后再发往传 输系统；从传输系统收到的信息也先经过安全层过滤才 被采用。无论传输系统采用何种结构以及协议栈，从逻 辑角度安全相关数据在安全层由安全过程和安全码的 保护进行通信。物理上安全层的数据经过传输系统传 送，所以传输系统特性直接影响安全通信功能。为此， EN 50159标准是专门针对铁路信号系统中安全相关通 信而设立的,该标准从功能和技术层面提出传输系统 可能遇到的威胁及安全要求和措施。为防御各种风 险，要求安全通信系统应具有保护报文真实性、保 护报文完整性、保护报文时间性和保护报文顺序性 等4项防御功能。 关键词：铁路信号系统；安全相关通信；安全协 议；标准 现 子系统构成，负责子系统之间安全数据交换的通 信系统是安全相关系统的一个重要组成部分。欧洲电工 标准化委员会(CENELEC)核准的EN 50159标准是专门针对 铁路信号系统中安全相关通信而设立的，此标准为构建 安全相关通信系统提出了功能和技术方面的基本要求和 设计指导。目前,我国列车控制系统应用的部分欧洲设 备或系统方案涉及到EN 50159标准建立的安全通信系统 及接口协议。 代化的铁路信号及控制系统一般由多个安全相关 EN 50159标准分为两个部分：EN 50159—1标准[1]针对封 闭传输系统提出构建安全通信的基本要求，强调应用 标准的先决条件、基本功能需求和安全完整性需求。EN 50159—2标准[2]针对开放传输系统提出基本安全需求， 分析开放传输系统的各项风险及对应的安全措施。封闭 传输系统指特征及属性清晰、固定的传输系统，建立安 全相关通信功能可以考虑封闭传输系统的属性；而开放 传输系统充满不确定性，安全通信功能的建立必须考虑 所有可能发生的问题。 48 中 国 铁 路 CHINESE RAILWAYS 2008/06 铁路信号系统安全相关通信标准与安全协议研究 杨霓霏 等 传输系统对安全通信功能的影响主要表现在传输系 统的不同特性决定了错误的不同种类。安全完整性需求 规范是在对错误模型的功能性分析基础上完成的，其错 误主要来自传输系统。应用层的错误不在EN 50159标准 的考虑范围内。从接收角度对传输系统错误的界定是， 当收到的报文出现差错，而接收端却误认为是合法报文 并加以处理，这种情况称为影响安全的“错误”或“风 险”。EN 50159—2标准提出7种传输系统可能遇到的风 险威胁及8种防御措施，其内容及应对关系见表1。 表1 防御措施与风险威胁应对关系 风险 防御 序列号 时间戳 超时 源和目的 反馈 身份鉴 安全 身份标识 信息 别过程 编码 重复 √ √ 删除 插入 重排序 讹误 延时 伪装 √:表示防御措施与风险威胁应对关系 √ √ √ √ √ √ √ √ √ √ √ √ √ √ 密码 技术 Railway Topics 铁路视点 全过程可以发现安全数据在传输中出现的“讹误”。发 送端的安全功能负责对安全数据进行安全编码，再将安 全码、用户数据及其他安全附加信息组成安全报文进行 传输，接收端收到报文后，依照报文结构从报文中截取 安全数据，再次编码计算，并将得到的码字与报文中的 安全码进行比对，鉴别是否发生“讹误”。设计安全码 必须选择适当的编码技术和足够的编码长度，以满足安 全功能需求，并达到安全通信系统要求的安全完整度定 量指标。EN 50159—1标准附录A给出安全码长度的参考 计算公式。EN 50159—2标准介绍了安全码的基本类型及 选择，可作为安全码的主要有线性分组码、循环分组码 （CRC）、散列分组码和加密分组码。选择安全码和加 密技术主要根