铁路信号产品安全通信设计原则及实例研究.docVIP

铁路信号产品安全通信设计原则及实例研究 　　摘 要：铁路信号产品中各设备或模块之间通信的可靠性和安全性，直接关系到铁路运营安全和人员安全。EN50159标准是专门针对铁路信号系统中安全相关通信而拟定的，该标准提出了安全通信协议应满足的安全要求，以及应对通信风险应采取的措施。在产品设计阶段实现本质安全的设计是解决通信失效带来影响的重要措施。本文将从以下两个方面进行研究：（1）EN50159安全通信标准的要求；（2）当既有铁路信号产品面临兼容性问题而无法修改通信协议时，应如何通过修改硬件结构设计来弥补通信协议的不足。本文将给出实例和分析过程。 　　关键词：铁路信号 系统安全通信设计 安全标准 　　中图分类号：U284 文献标识码：A 文章编号：1672-3791（2014）06（a）-0018-02 　　1 安全相关系统通信结构 　　通常安全相关系统是由多个子系统构成，各个子系统之间的通信是否安全是本文的研究对象。以下图为例：安全相关子系统通常可粗略的分为以下3层：物理层、数据链路层、应用层。其中物理层和数据链路层可以合并，统称为平台层。数据链路层中对外通常会有通信协议，这类通信协议的组包和解析工作如果是由集成芯片自动完成的（比如HDLC协议由64570芯片自动解析），或者协议是民用的标准协议，比如TCP/IP协议由网卡驱动自动解析，那么，这些协议所做的所有校验工作都不会被安全系统所信任。安全通信协议研究的范畴是基于应用层，也就是由安全相关子系统的设计人员在应用层追加一层安全层来完成安全通信协议的所有防护要求，这里提到的安全层是接下来章节所要研究的重点。 　　图1为安全相关子系统通信结构图，安全相关子系统A与B通信，应用层数据外面叠加了平台层数据后，构成了在物理链路上传输的安全相关数据帧。为了防护从应用层到平台层数据的失效，或者不采信平台层所做的所有防御性校验，在应用层中，将应用数据叠加一层安全协议，构成了图1中的“安全相关应用数据”，使得在失效发生时，接收端安全相关子系统能够通过安全协议校验出异常，从而能够防止系统使用已经实效了的数据。 　　图2为链路上传输的安全相关数据帧格式的示意图，该图能够更加明确的表达各层数据协议的关系。其中“安全协议”部分应满足EN50159标准中提出的安全要求。 　　2 安全通信协议的基本要求 　　在EN50159中规定，安全通信协议应该能够防护以下七类危害。 　　2.1 重复（Repetition） 　　在通信链路出现重复的数据包，即在接受方接收到多次相同的数据帧。 　　2.2 删除（Deletion） 　　某一个数据包在传输过程中丢失，未能到达目的地。 　　2.3 插入（Insertion） 　　在传输过程中，被插入一个数据帧。 　　2.4 乱序（Re-sequence） 　　到达目的地的数据帧与数据源发出的数据帧顺序不一致。 　　2.5 破坏（Corruption） 　　数据帧的任意位都有可能由于传输系统的干扰或其他原因而发生改变。 　　2.6 延迟（Delay） 　　数据帧到达目的地的时间晚于预期。 　　2.7 伪装（Masquerade） 　　攻击方恶意仿造传输系统中的有效数据，并将其发送给任意接收方。 　　防护上述危害可以采用很多方法，比如：在协议中增加“序号”，使用时间戳，使用超时判断，使用源、目的标识，使用消息反馈机制、使用安全编码，增大码距，使用信息加密技术等，传输系统中存在的危害与防护措施之间的关系，可以用表1来表示。 　　3 实例研究 　　事实上，在实际应用中，有些既有系统为了保证其兼容性，既要保证其通信的安全性又不能按照上章节介绍的方法使用防护措施。本章节，笔者将给出一个实例，来介绍在不修改原有通信协议的基础上，通过修改硬件结构设计，仍能够防护通信系统中几类常见的危害。 　　3.1 既有系统的协议模型介绍 　　如图3所示，既有系统中，除了应用数据外，安全协议只包含“序号”一种防护措施，由表1可知，能够防护重复、删除、插入、乱序的威胁。 　　序号每通信周期递增1，至255后循环递增为1。也就是说，在正常情况下，接收方接收到的序号应是连续且递增1的。下面将从接收方的角度逐个分析表1中所述的7个威胁是如何防护的： 　　重复：当接收方接收到了重复的数据帧时，其序号与前一帧的序号应是相同的，检测到该异常时，应将重复收到的数据帧丢弃，从而可以防止使用重复数据。 　　删除：当接收方接收到的数据帧的序号发生了跳变，如本应接收序号为2的帧，但是接收的数据帧序号为3，说明序号为了2的数据帧丢失，此时接收方应将其记录，如果连续发生丢失数据，则判断为通信故障，何时判断为通信故障，需视容忍程度而定，如果一定要执行严苛的规定，丢1帧即判