列車控制信息的安全傳輸——密鑰系統(tǒng)設(shè)計

摘要：隨著全國客運(yùn)專線聯(lián)網(wǎng)的逐步實(shí)現(xiàn)，集中運(yùn)營調(diào)度前景越來越美好。列車的速度和密度信息，直接影響著運(yùn)輸?shù)男屎唾|(zhì)量，而GSM-R為客運(yùn)專線列車控制信息的傳輸提供了良好的平臺。全路列車控制系統(tǒng)已經(jīng)進(jìn)入了信息時代。列控信息的保密問題顯得越來越重要，無論是車地通信的每一個環(huán)節(jié)，都迫切需要保證網(wǎng)上信息傳輸?shù)陌踩ūＷC信息真實(shí)地反應(yīng)列車狀況，機(jī)車收到正確的指令）。

關(guān)鍵詞:密鑰；RBC；GSM-R；列控

1引言

客運(yùn)專線中，車載單元和RBC（無線閉塞中心）、TCC（列控中心）等地面設(shè)備之間使用開放式、非安全的網(wǎng)絡(luò)（GSM-R）交換信息。GSM-R網(wǎng)絡(luò)是在透明的公網(wǎng)（GSM）基礎(chǔ)上增加一些方便指揮列車運(yùn)行的功能，如：調(diào)度命令傳送，車地信息傳送，車次號傳送等等，這些由RBC、TCC等產(chǎn)生用來控制列車運(yùn)行的調(diào)制信息，只有在被對應(yīng)的列車正確地執(zhí)行，才是安全的。調(diào)制后的列控信息由無線GSM-R網(wǎng)絡(luò)發(fā)射出去后，很容易被路外終端截獲，解調(diào)并破譯，路外終端再根據(jù)破譯信息的幀結(jié)構(gòu)，編寫錯誤的列控信息，發(fā)送到車載終端或地面設(shè)備，將對高速運(yùn)行中的鐵路客運(yùn)專線造成巨大的損失和管理的混亂。目前的高速客運(yùn)專線，對發(fā)送端、接收端以及數(shù)據(jù)完整性的認(rèn)可，只有建立在被本發(fā)送端和本接收端知道的某些秘密信息的基礎(chǔ)上，才能保證安全。所以，在現(xiàn)有的GSM-R通信系統(tǒng)中，加入密鑰系統(tǒng)來保證列車控制信息的安全傳輸是十分必要的。本文通過對客專列控信息安全傳輸?shù)难芯?，提出密鑰系統(tǒng)的工程設(shè)計方法和措施。

2 密鑰的工作原理

2.1 對稱式密鑰

又稱單鑰密碼，是一種比較傳統(tǒng)的加密方式，其加密運(yùn)算、解密運(yùn)算使用的是同樣的密鑰，信息的發(fā)送者與信息的接收者在進(jìn)行信息的傳輸與處理時，必須共同持有該密碼（稱為對稱密鑰）。因此，通信雙方都必須獲得這把鑰匙，并保持鑰匙的秘密。

2.2 公鑰密鑰

公鑰體制的關(guān)鍵是如何確定公鑰與私鑰及加/解密的算法。假設(shè)在這種體制中，pk是公開信息，用作加密密鑰，而sk需要由用戶自己保密，用作解密密鑰。加密算法e與解密算法d也都是公開的。雖然sk與pk是成對出現(xiàn)，但卻不能根據(jù)pk計算出sk.它們須滿足條件：

① 加密密鑰pk對明文x加密后，再用解密密鑰sk解密，即可恢復(fù)出明文，或?qū)憺椋?/p>

d{sk，e{pk，x}}=x

② 加密密鑰不能用來解密，即

d{pk，e{pk，x}}≠x

③ 在計算機(jī)上可以容易地產(chǎn)生成對的pk與sk；

④ 從已知的pk實(shí)際上不可能推導(dǎo)出sk；

⑤ 加密與解密的運(yùn)算可以對調(diào)，即

e{pk，d{sk，x}}=x

從上述條件可看出，公開密鑰密碼體制下，加密密鑰不等于解密密鑰。加密密鑰可對外公開，使任何用戶都可將傳送給此用戶的信息用公開密鑰加密發(fā)送，而該用戶唯一保存的私人密鑰是保密的，也只有它能將密文復(fù)原，解密。雖然解密密鑰理論上可由加密密鑰推算出來，但這種算法設(shè)計在實(shí)際上是不可能的，或者雖然能夠推算出，但要花費(fèi)很長的時間而成為不可行的。所以將加密密鑰公開也不會危害密鑰的安全。

3 客運(yùn)專線密鑰管理系統(tǒng)（KMS）的功能及結(jié)構(gòu)

3.1 密鑰管理系統(tǒng)主要的功能就是在保證密鑰安全的基礎(chǔ)上，實(shí)現(xiàn)密鑰的生成、注入、備份、恢復(fù)、更新、導(dǎo)出、服務(wù)和銷毀等功能。同時，密鑰受到嚴(yán)格的權(quán)限控制，不同機(jī)構(gòu)或人員對不同密鑰的生成、更新、使用等操作擁有不同的權(quán)限。通常，系統(tǒng)會把不同的權(quán)限賦給系統(tǒng)定義的不同的角色再把角色與具體的人員關(guān)聯(lián)。所有的注入、備份、恢復(fù)、更新、導(dǎo)出、更新和服務(wù)過程都需要保證密鑰的高度安全，不會外泄。密鑰銷毀原則上要求做到物理的清除密鑰，即保證無法再通過對殘余介質(zhì)的檢測造成密鑰的破解。

3.2 KMS的結(jié)構(gòu)由兩個平臺組成，每個平臺的目的各不相同：

密鑰管理中心（KMC），為離線式平臺，組成部分包括：密鑰生成中心（KGC），專門用來生成對稱式KMAC和KTRANS鑰匙；用戶系統(tǒng)（CS），專門用來對對稱式KMAC和KTRANS鑰匙（由KGC建立）進(jìn)行管理和提供密鑰使用的分配媒介（文檔）。

認(rèn)證管理中心（CMC），為在線平臺，專門用來管理對分配媒介進(jìn)行保護(hù)和認(rèn)可的數(shù)字證書。

這兩個平臺都符合要求的安全標(biāo)準(zhǔn)。

密鑰管理中心 （KMC）

KMC執(zhí)行如下功能：KMAC 和KTRANS密鑰的生成、文件歸檔、更新、撤消和刪除。

其操作平臺位于設(shè)置進(jìn)入權(quán)限和控制的房間內(nèi)，所有的KMC功能包含使用授權(quán)盤都將通過專門軟件來完成。

認(rèn)證管理中心（CMC）

認(rèn)證管理的一個重要方面為加密數(shù)據(jù)的管理。

CMC平臺通過一個公共權(quán)威認(rèn)證（CA）來進(jìn)行數(shù)字認(rèn)證的管理同時用于KMC生成的信息代碼管理。數(shù)字認(rèn)證是保證密鑰分配、KMC和終端用戶鑒定全過程完整性和可靠保留的全現(xiàn)代化手段。

4 客運(yùn)專線密鑰工作過程

KMS操作的典型步驟如下：

KMAC向受托人的發(fā)放采用密碼保護(hù)；KMAC 鑰匙的密碼采用KTRANS 鍵對稱性加密方式；KTRANS 密鑰通過使用數(shù)字認(rèn)證采用非對稱性加密方式頒發(fā)；KTRANS 密鑰通過包含在特殊文件里的ASCII 表的加密格式插入；這些文件為每個CTCS裝置（如TCC、RBC、車載設(shè)備，聯(lián)鎖裝置和CTC等）生成并包含一個KMAC密鑰（與其他與CTCS設(shè)備相連的設(shè)備）

密鑰更新方案。通過特殊的操作步驟，可以對RBC內(nèi)的KMAC密鑰進(jìn)行更新。這個步驟較更新車載設(shè)備的KMAC密鑰容易。

由于車載設(shè)備的數(shù)量相當(dāng)巨大，對全部車載設(shè)備進(jìn)行KMAC密鑰更新難度很大。所以對每一個列車在RBC內(nèi)可以有2個不同CTCS ID身份號用于與之相連的每個車載設(shè)備。這樣RBC可通過兩個CTCS ID身份驗證（和相關(guān)的KMAC密鑰）中的任一個與車載設(shè)備進(jìn)行通訊。

因此KMC生成的RBC配置文件包含兩套用于車載設(shè)備的KMAC密鑰。

采用這種方式通過更新RBC KMAC密鑰配置文件，在不同的時間來更新車載設(shè)備KMAC密鑰配置。

5 客運(yùn)專線密鑰工程實(shí)施

根據(jù)工程的實(shí)際需要，我們可以在鐵道部設(shè)立密鑰管理中心KMS。KMS設(shè)置在有進(jìn)入權(quán)限的房間，以保證安全性。KMS是標(biāo)準(zhǔn)的TCP/IP協(xié)議以局域網(wǎng)，密鑰生成中心（KGC）的離線服務(wù)器、數(shù)據(jù)庫、客戶端（根據(jù)需要設(shè)置其數(shù)量）、網(wǎng)絡(luò)打印機(jī)等設(shè)備均在局域網(wǎng)上。這些設(shè)備主要用來生成并管理密鑰。離線服務(wù)器采用雙機(jī)熱備，并對數(shù)據(jù)庫數(shù)據(jù)采取定時備份措施。保證密鑰數(shù)據(jù)的安全。每條客運(yùn)專線設(shè)置一套在線服務(wù)器（CMC），在線服務(wù)器為設(shè)備提供實(shí)時在線認(rèn)證，也為設(shè)備密鑰的生成提供依據(jù)。在相應(yīng)的用戶終端（如RBC、車載設(shè)備，聯(lián)鎖裝置和CTC等）架設(shè)加密或解密的軟件和硬件模塊，這些模塊與GSM-R系統(tǒng)結(jié)合就在硬件上實(shí)現(xiàn)了列控信息的安全傳輸。

這樣，由KMS產(chǎn)生加密密鑰和解密密鑰。通過光盤或其他存儲介質(zhì)，由鐵道部許可，分發(fā)到相應(yīng)的終端用戶設(shè)備上，設(shè)備在啟用前先經(jīng)過登陸認(rèn)證，在線服務(wù)器識別該用戶后，用戶便可以用加密密鑰對列控信息加密并放心的發(fā)送至公網(wǎng)GSM-R了。

6 結(jié)論

快速鐵路給人們的出行帶來了方便和快捷，但是安全仍然是一個永恒的話題。密鑰系統(tǒng)在整個列車控制系統(tǒng)中投資很少，卻為列車安全運(yùn)行起到至關(guān)重要的作用。因此，我們很有必要深入研究并完善客運(yùn)專線的密鑰系統(tǒng)。

參考文獻(xiàn)

[1]鐵道部科學(xué)技術(shù)司 鐵道部運(yùn)輸局 CTCS3 級列控系統(tǒng)總體技術(shù)方案，2008

[2]鐵道部 客運(yùn)專線 CTCS2 級列控系統(tǒng)配置及運(yùn)用技術(shù)原則（暫行） 【鐵集成（2007）124

號】

[3] douglas r.stinson.\"密碼學(xué)原理與實(shí)踐北京:電子工業(yè)出版社，2003

[4] 鐘章隊，李旭，蔣文怡.鐵路綜合數(shù)字通信系統(tǒng)（GSM-R）[M].北京：中國鐵道出版社，2003.

[5] Adams Carlisle 著. 公開密鑰基礎(chǔ)設(shè)施 [M]. 北京 : 人民郵電出版社2001.