李金文

(鄭州地鐵集團有限公司，450018，鄭州 ∥ 工程師)

2017年6月1日實施的《網(wǎng)絡(luò)安全法》已經(jīng)將交通領(lǐng)域列為關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，對其實行重點保護。軌道交通是關(guān)系到國計民生、公共利益的重點領(lǐng)域，對于其中的信號系統(tǒng)，可以通過應(yīng)用國產(chǎn)加密(以下簡為“國密”)技術(shù)，提高信號系統(tǒng)通信的信息安全水平，防止各種高科技犯罪。

信號系統(tǒng)應(yīng)用國密技術(shù)，通常是在既有信號系統(tǒng)設(shè)備的基礎(chǔ)上，增加國密安全芯片等相關(guān)設(shè)備，通過國密算法對通信數(shù)據(jù)進行加密。但如國密安全芯片本身發(fā)生故障，則會導(dǎo)致某一設(shè)備無法加密或解密，造成數(shù)據(jù)通信中斷，信號系統(tǒng)會根據(jù)故障導(dǎo)向安全的原則使列車停車，影響系統(tǒng)的可用性。

針對應(yīng)用了國產(chǎn)密碼算法的城市軌道交通CBTC(基于通信的列車控制)信號系統(tǒng)，本文提供了一種在國密安全芯片發(fā)生故障時的信號系統(tǒng)通信恢復(fù)方法——系統(tǒng)恢復(fù)方法。信號系統(tǒng)可通過該方法恢復(fù)正常的車地數(shù)據(jù)通信,使得在國密安全芯片發(fā)生故障的情況下仍然不影響信號系統(tǒng)的正常運行，并及時通過維護支持子系統(tǒng)對系統(tǒng)運維人員進行告警。

1 發(fā)生加密故障時的信號系統(tǒng)通信恢復(fù)

1.1 信號系統(tǒng)的通信恢復(fù)流程

國密安全芯片可能在身份認證及會話密鑰協(xié)商階段或在應(yīng)用數(shù)據(jù)加解密階段發(fā)生故障。采用系統(tǒng)恢復(fù)方法可維持既有信號系統(tǒng)結(jié)構(gòu)不變，無需增加額外的設(shè)備和操作。系統(tǒng)恢復(fù)方法又稱為系統(tǒng)旁路方法，由信號系統(tǒng)通過接收數(shù)據(jù)來獲知國密安全芯片是否返回了錯誤值或非預(yù)期值，進而判斷自身的國密安全芯片是否發(fā)生故障，隨即對發(fā)生故障的國密安全芯片進行隔離，并使信號系統(tǒng)恢復(fù)到不采用加密技術(shù)時的通信狀態(tài)，以此維持信號系統(tǒng)的正常數(shù)據(jù)通信。

1.1.1 身份認證及會話密鑰協(xié)商階段

在身份認證及會話密鑰協(xié)商階段，信號系統(tǒng)的客戶端為車載子系統(tǒng)，服務(wù)器端為軌旁子系統(tǒng)，階段流程如圖1所示。

在圖1中的每一步流程中，國密安全芯片都可能發(fā)生故障，相應(yīng)的處理流程如下：

圖1 身份認證及會話密鑰協(xié)商階段流程

1) 當(dāng)客戶端發(fā)起密鑰協(xié)商請求時，由于國密安全芯片發(fā)生故障，故在調(diào)用“密鑰協(xié)商請求”函數(shù)時返回錯誤值。連續(xù)返回5次錯誤值后，啟用系統(tǒng)恢復(fù)功能，隔離國密安全芯片。

2) 當(dāng)服務(wù)器端驗證客戶端證書，通過國密算法生成會話密鑰時，由于國密安全芯片發(fā)生故障，故在調(diào)用“密鑰協(xié)商請求響應(yīng)”函數(shù)時返回錯誤值。連續(xù)返回5次錯誤值后，啟用系統(tǒng)恢復(fù)功能，隔離國密安全芯片。

3) 當(dāng)客戶端驗證服務(wù)器證書，通過國密算法生成會話密鑰時，由于國密安全芯片發(fā)生故障，故在調(diào)用“密鑰協(xié)商響應(yīng)確認”函數(shù)時返回錯誤值。連續(xù)返回5次錯誤值后，啟用系統(tǒng)恢復(fù)功能，隔離國密安全芯片。

4) 當(dāng)服務(wù)器端對密鑰協(xié)商確認消息進行確認時，由于國密安全芯片發(fā)生故障，故在調(diào)用“密鑰協(xié)商確認”函數(shù)時返回錯誤值。連續(xù)返回5次錯誤值后，啟用系統(tǒng)恢復(fù)功能，隔離國密安全芯片。

5) 客戶端對密鑰協(xié)商成功進行確認，會話密鑰協(xié)商流程結(jié)束。

綜上，本階段車載系統(tǒng)和軌旁系統(tǒng)的系統(tǒng)恢復(fù)流程分別如圖2及圖3所示。

圖2 車載子系統(tǒng)的系統(tǒng)恢復(fù)流程

圖3 軌旁子系統(tǒng)的系統(tǒng)恢復(fù)流程

1.1.2 應(yīng)用數(shù)據(jù)通信階段

在應(yīng)用數(shù)據(jù)通信階段，信號系統(tǒng)應(yīng)用設(shè)備分為發(fā)送端和接收端。其中，發(fā)送端對應(yīng)用數(shù)據(jù)進行加密操作后發(fā)出，接受端收到應(yīng)用數(shù)據(jù)后進行解密操作。應(yīng)用數(shù)據(jù)通信階段流程如圖4所示。

在加密操作和解密操作中，國密安全芯片均可能發(fā)生故障，相應(yīng)的分析處理流程如下：

1) 在接收端解密過程中，如連續(xù)5次收到同一國密安全芯片發(fā)送端設(shè)備的消息返回錯誤值，或收到非預(yù)期值，則判斷國密安全芯片發(fā)生故障，啟動系統(tǒng)恢復(fù)功能。后續(xù)對此設(shè)備發(fā)送和接收的應(yīng)用數(shù)據(jù)為不加密的數(shù)據(jù)；

圖4 應(yīng)用數(shù)據(jù)通信階段流程

2) 在發(fā)送端SM 1(商用密碼算法1，分組對稱算法)加密過程中，如果調(diào)用加密接口函數(shù)時返回錯誤值，則判斷國密安全芯片可能發(fā)生故障，進而向接收端發(fā)送不加密的應(yīng)用數(shù)據(jù)包。

此外，在國密安全芯片發(fā)生故障、啟用系統(tǒng)恢復(fù)功能后，相應(yīng)的車載子系統(tǒng)或軌旁子系統(tǒng)還會向維護支持子系統(tǒng)發(fā)送故障報警，提示運維人員相關(guān)數(shù)據(jù)通信通道未采用加密技術(shù)，以便運維人員盡快處理國密安全芯片的故障。

1.1.3 狀態(tài)轉(zhuǎn)換圖

國密安全芯片發(fā)生故障后，采用系統(tǒng)恢復(fù)方法的信號系統(tǒng)狀態(tài)轉(zhuǎn)換圖如圖5所示。

圖5 采用系統(tǒng)恢復(fù)方法的信號系統(tǒng)狀態(tài)轉(zhuǎn)換圖

1.2 信號系統(tǒng)結(jié)構(gòu)

采用系統(tǒng)恢復(fù)方法的信號系統(tǒng)結(jié)構(gòu)如圖6所示。

圖6 采用系統(tǒng)恢復(fù)方法的信號系統(tǒng)結(jié)構(gòu)

2 試驗驗證

在實驗室搭建信號系統(tǒng)國密集成環(huán)境，對信號系統(tǒng)恢復(fù)方法進行試驗驗證。試驗結(jié)果如表1所示。

表1 信號系統(tǒng)恢復(fù)方法的試驗驗證結(jié)果

如圖7所示，在試驗信號系統(tǒng)運行時，國密安全芯片B出現(xiàn)了故障，無法執(zhí)行正常的加解密功能。此時，軌旁子系統(tǒng)網(wǎng)關(guān)B也無法處理車載設(shè)備發(fā)送的數(shù)據(jù)，并在調(diào)用國密安全芯片接口時返回錯誤值。在連續(xù)出現(xiàn)5次錯誤值后，軌旁子系統(tǒng)與車載子系統(tǒng)的通信不再經(jīng)過國密安全芯片處理，而采用未經(jīng)加密技術(shù)處理的數(shù)據(jù)發(fā)送方式。車載子系統(tǒng)在收到未經(jīng)國密安全芯片處理的軌旁系統(tǒng)數(shù)據(jù)后，其調(diào)用國密安全芯片接口時也會返回錯誤值；連續(xù)5次返回錯誤值后，信號系統(tǒng)恢復(fù)到不采用加密技術(shù)的狀態(tài)。之后，軌旁子系統(tǒng)與車載子系統(tǒng)在藍網(wǎng)通道間的數(shù)據(jù)通信采用不加密的數(shù)據(jù)通信方式，并同時向維護支持子系統(tǒng)發(fā)送故障報警，以提示運維人員進行處理。無故障的軌旁子系統(tǒng)網(wǎng)關(guān) A正常接收車載子系統(tǒng)發(fā)送的數(shù)據(jù)，繼續(xù)采用國密技術(shù)。

圖7 軌旁子系統(tǒng)國密安全芯片B故障后的通信方式

集成國密產(chǎn)品的信號系統(tǒng)采用本系統(tǒng)恢復(fù)方法后，CC(車載控制器)、ZC(區(qū)域控制器)、LC(線路控制器)及ATS(列車自動監(jiān)控)等子系統(tǒng)按信號專業(yè)標(biāo)準(zhǔn)計算得到的MTBF(平均無故障時間)指標(biāo)及可用性指標(biāo)如表2所示。

表2 信號系統(tǒng)MTBF指標(biāo)和可用性指標(biāo)

3 結(jié)語

本文提出的系統(tǒng)恢復(fù)方法可以在國密安全芯片發(fā)生故障時，通過一定機制使得信號系統(tǒng)主動隔離故障芯片，將系統(tǒng)通信恢復(fù)為未加密狀態(tài)，從而提高了信號系統(tǒng)的可用性。此外，采用系統(tǒng)恢復(fù)方法的信號系統(tǒng)還有如下特點：

1) 信號系統(tǒng)的正常運行不受國密安全芯片發(fā)生故障的影響，其可用性得到了提升。

2) 啟動系統(tǒng)恢復(fù)功能后，信號系統(tǒng)通過系統(tǒng)旁路恢復(fù)明文通信后，能第一時間通過維護支持子系統(tǒng)對運維人員告警，以便及時處理國密安全芯片故障，提升了信號系統(tǒng)的可維護性。

3) 采用系統(tǒng)恢復(fù)方法可保護信號系統(tǒng)既有架構(gòu)和功能安全等級不受影響。