開放通信系統(tǒng)安全碼的生成和應(yīng)用

張 屹 何春明 魏學業(yè) 徐 虎

*北京和利時系統(tǒng)工程有限公司 工程師,100961 北京

**北京和利時系統(tǒng)工程有限公司 高級工程師,100961 北京

***北京交通大學 電子信息工程學院 教授,100044 北京

****北京和利時系統(tǒng)工程有限公司 工程師 (鐵道部C 3技術(shù)攻關(guān)組成員),100961 北京

1 引言

當通信系統(tǒng)傳輸安全相關(guān)信息時,并不需要使用專用的傳輸設(shè)備和線纜,而只需要升級現(xiàn)有的上層通信協(xié)議,在其中添加安全通信層。安全通信層可以檢測現(xiàn)有通信系統(tǒng)發(fā)生的錯誤,從而保證消息傳輸?shù)陌踩浴．斀邮障⒌陌踩O(shè)備檢測到安全消息錯誤時,就需要產(chǎn)生導(dǎo)向安全側(cè)動作,例如重新建立安全通信連接、關(guān)閉輸出、發(fā)送默認消息等。因此安全通信層有效地檢測下層通信錯誤,是通信系統(tǒng)保證安全性的關(guān)鍵。

檢測安全消息錯誤的有效性主要由 2方面來保證。一方面,實現(xiàn)安全通信層作為安全相關(guān)子功能,要滿足一定的安全完整性等級 (SIL)要求,即安全通信層的軟硬件實現(xiàn)平臺能夠提供足夠小的失效率。另一方面,即使實現(xiàn)安全通信層是完全正確的,經(jīng)過安全通信層的消息殘余錯誤率也不等于 0,因此,需要通過有限合理的代價設(shè)計安全通信層,使其具有足夠小的殘余錯誤率。

目前,安全碼是安全通信層設(shè)計中普遍應(yīng)用的技術(shù)。在封閉通信系統(tǒng)中,安全碼主要用于檢測數(shù)據(jù)傳輸?shù)碾S機錯誤和突發(fā)錯誤,一定程度上決定了安全通信層中其他技術(shù)的有效性,而且可以通過定量計算得到其殘余錯誤概率,因此安全碼是安全通信層保證錯誤漏檢概率的關(guān)鍵,選擇和生成安全碼也是設(shè)計安全通信層的主要任務(wù)。

在開放通信系統(tǒng)中,傳輸介質(zhì)的屬性是未知、可變的,非授權(quán)的接入情況不可忽略,因此接入端的最大數(shù)目也是未知的。由于非授權(quán)接入,安全設(shè)備可能接收到非安全設(shè)備甚至是黑客發(fā)送的偽裝消息,即安全設(shè)備誤認為接收的消息為合法的安全消息。為保證系統(tǒng)在非授權(quán)接入情況下的安全性,也需要利用安全碼來檢測接收的偽裝消息。

2 開放通信系統(tǒng)的安全信息傳輸

安全消息的傳輸受到通信網(wǎng)絡(luò)和外界環(huán)境 2個方面影響。首先,通信網(wǎng)絡(luò)一般未定義其安全屬性,設(shè)計人員對其缺乏控制。例如,網(wǎng)絡(luò)設(shè)備的開發(fā)、維護等過程未遵守質(zhì)量安全程序和規(guī)范,設(shè)備軟硬件失效結(jié)果不受約束等等。因此現(xiàn)有通信網(wǎng)絡(luò)對安全信息的傳輸是非可信的。其次,外界環(huán)境也可以對安全信息傳輸產(chǎn)生危險事件,例如電磁干擾、熱噪聲、人為故障等。所以通信網(wǎng)絡(luò)和外界環(huán)境共同威脅消息傳輸?shù)陌踩浴?/p>

EN50159-2中總結(jié)了 7種對安全相關(guān)消息的威脅,分別為:重復(fù),同一消息被傳輸了兩次或以上;刪除,消息在傳輸過程中丟失;插入,非授權(quán)接入發(fā)送方或授權(quán)接入的其他發(fā)送方,向正確傳輸消息隊列插入消息;重排序,消息傳輸?shù)捻樞虮桓?損壞,消息內(nèi)容在傳輸過程中被更改;延遲,發(fā)送的消息經(jīng)過較長時間才被接收到;偽裝,第三方偽裝為合法發(fā)送方,使接收方將接收消息誤認是合法發(fā)送方發(fā)出的。當使用開放通信系統(tǒng)時,允許非授權(quán)的接入,因此偽裝威脅是開放網(wǎng)絡(luò)所特有的。與這 7種威脅相對應(yīng),存在 7種安全消息的基本錯誤類型,分別為:重復(fù)的消息、刪除的消息、插入的消息、重排序的消息、損壞的消息、延遲的消息、偽裝的消息。

為了防御這些威脅,EN50159-2提供了幾種在安全通信層中使用的防御技術(shù),分別為序列號、時間戳、超時、源和目標標識、反饋消息、身份驗證程序、安全碼、密碼技術(shù)。表1給出了上述幾種防御技術(shù)與 7種威脅的對應(yīng)關(guān)系。

表1 威脅/防御對應(yīng)關(guān)系

實際使用中為多種防御技術(shù)的組合覆蓋這 7種威脅,其中序列號、時間戳、源和目標標識、安全碼和密碼技術(shù)是目前比較常用的防御技術(shù)。

序列號一般按照消息順序遞增加 1,達到最大表示值后歸零重新遞增。如果接收序列號與上次相同則表示發(fā)生了重復(fù)錯誤;如果接收的序列號大于上次序列號加 1,則表示發(fā)生了刪除錯誤;如果接收的序列號小于或比上次序列號大許多,則表示發(fā)生了插入錯誤或重排序錯誤。其中,進行序列號比較時要考慮跨越最大表示值的情況。因為序列號能夠防御刪除威脅,所以它是一種必選防御技術(shù)。

時間戳主要防御延時威脅。接收端通過檢查消息中的時間戳,判斷消息是否過期。

源和目標標識可以防御網(wǎng)絡(luò)中其他設(shè)備發(fā)出的插入消息,當設(shè)備唯一標識不能確定時該技術(shù)是無效的,需要與密碼技術(shù)配合使用。

安全碼與密碼技術(shù)是所有其他技術(shù)的基礎(chǔ),可以檢測消息的損壞。而其他防御技術(shù)是以消息的一部分存在的,一旦這部分消息損壞這些技術(shù)也將失效。因此,安全碼與密碼技術(shù)的檢錯性能是保證消息安全傳輸?shù)年P(guān)鍵。

密碼技術(shù)是防御偽裝威脅的主要方法,保證只有合法發(fā)送方和接收方之間才能進行通信,其有效性主要由加密算法的保密性和密鑰的管理過程決定。密碼技術(shù)有多種實現(xiàn)方式,目前常用的是將密碼技術(shù)與安全碼結(jié)合,即使用加密碼作為安全碼(稱為帶加密的安全碼或密碼安全碼)。

3 安全碼的生成

開放通信系統(tǒng)中,由于非授權(quán)接入不可忽略,使用帶加密的安全碼,既可以防御消息的損壞,也可以實現(xiàn)接入保護、檢測偽裝消息。因此,設(shè)計生成安全碼要從安全碼的保密性能和檢錯能力兩方面考慮。

安全碼的保密性由加密算法的保密性和密鑰的管理過程共同保證。一般使用 “等效保密性”來評價加密算法的保密性能。表 2給出了幾種常用加密算法的等效保密性。

選擇加密算法應(yīng)有足夠高的等效保密性,但等效保密性越高,算法的計算量也就越大,因此實際中需要做權(quán)衡考慮。而且不同的硬件計算單元和軟件算法運算采用同一加密算法所需時間也是不同的,如果計算時間過長必然影響安全通信的實時性,因此軟硬件計算能力約束也是設(shè)計密碼安全碼的考慮因素之一。

表2 加密算法的等效保密性

密鑰的管理過程包括密鑰生成、備份與保存、分發(fā)、安裝、使用、刪除、更新等過程。這是一個復(fù)雜的過程,但目前已有相關(guān)標準可以提供指導(dǎo),如 ISO11770、ISO15782、ECBSTR402等。

安全碼的檢錯能力一定程度上決定了序列號、時間戳、源和目標標識等其他技術(shù)的防御能力,這是由于其他技術(shù)是附加在消息中的冗余部分,也同樣受到損壞的威脅,一旦損壞將失去防御威脅的能力。因此,選擇安全碼必須考慮其檢錯能力。評價安全碼檢錯能力的參數(shù)主要是殘余錯誤概率,即消息的損壞錯誤沒有被安全碼檢測出來的概率。

精確的計算或?qū)嶒灉y量殘余錯誤概率是非常復(fù)雜的,目前通常只估計其上限。對于二進制對稱信道,最常用的估計公式為～R=2-r,其中 r為安全碼的長度 (二進制位數(shù))。

但是,應(yīng)用此公式有 2個約束條件:①假設(shè)通信的誤碼率范圍是 0≤ε≤0.5;②對于所有0≤ε≤0.5,R(ε)≤R(0.5),即安全碼在誤碼率為0.5時的殘余錯誤概率最大。

安全碼對消息損壞的防御是可以進行定量分析的,而對其他防御技術(shù)只需要進行定性分析。因此,在安全相關(guān)功能的 SIL等級確定后,定量估計安全碼的殘余錯誤概率是必要的。目前,有 2種方式可以計算給定 SIL等級對安全碼的殘余錯誤概率的要求。

第 1種,如 EN50195-2描述,以每個安全相關(guān)應(yīng)用功能為基礎(chǔ)進行風險分析,從而計算出安全通信對各種防御技術(shù)有效性的要求。使用這種方法的前提是安全應(yīng)用功能需求完全確定,而如果安全應(yīng)用功能需求不明確則很難做出準確的假設(shè)。

第 2種,以 IEC61784-3為代表,不對指定安全相關(guān)應(yīng)用功能進行分析,而直接對系統(tǒng)整體安全完整性等級應(yīng)用 1%原則,即安全通信對安全功能的失效只有 1%的貢獻。例如,如果系統(tǒng)最高 SIL等級為 4級 (每小時危險失效率滿足≥10-9,且＜10-8),則要求安全通信每小時殘余錯誤率滿足≥10-11,且 ＜10-10。每小時殘余錯誤率的大小由安全碼殘余錯誤概率決定。單通道且不考慮低層通信檢錯效果的情況下,計算每小時殘余錯誤率公式為:Λ(∈)=R(∈)·υ·(m-1),其中 υ為每小時最大安全消息個數(shù);m為安全通信參與者個數(shù)。再通過安全碼殘余錯誤概率上限的估計式即可得出對安全碼長度的要求。

4 開放通信系統(tǒng)安全碼應(yīng)用舉例

CTCS-3級列控系統(tǒng)的車-地之間通過 GSM-R無線網(wǎng)進行通信,是典型的開放安全通信系統(tǒng),因此其安全碼既要防御安全相關(guān)消息損壞,也要防御消息偽裝威脅。

根據(jù)列控車載設(shè)備和 RBC接口規(guī)范的規(guī)定,車-地安全通信的安全碼使用 3DES消息認證碼(MAC)。這是一種帶加密的安全碼,既可以檢測消息的損壞錯誤也可以屏蔽非授權(quán)接入方發(fā)送的偽裝消息。

由于無法估計惡意攻擊的頻率,因此對偽裝威脅防御的精確分析是比較困難的。由表 2知 3DES算法的等價保密性為 112,但此參數(shù)只給出一個相對的量值,因此有必要找到表 2中某種算法的絕對保密性。由于 DES加密算法目前已經(jīng)比較成熟,可以對密鑰被破解的時間有一個大概的估計。根據(jù)Subset-038的估算,在假設(shè)摩爾定律在 25年內(nèi)有效的前提下,使用價值 25萬美元的專用計算機找到 3DES算法 168位密鑰的時間為 1.1×1030h。可見,如果密鑰的生成、存儲、分發(fā)等管理過程能夠做到絕對的保密,3DES消息認證碼本身可以保證有效防御偽裝威脅。

3DES消息認證碼的殘余錯誤概率可以通過公式 ～R=2-r進行粗略估計,其長度 r=64,可得殘余錯誤概率估計值為 ～R=2-64。假設(shè)每小時最大安全消息個數(shù) υ=(3600×100);安全通信參與者個數(shù) m=2,即端對端通信,則每小時殘余錯誤率估計為 ～Λ=2-64· (3600×100)·(2-1)=1.95×10-14。SIL4級安全功能要求安全通信每小時殘余錯誤率滿足≥10-11且 ＜10-10,可見使用 3DES消息認證碼是可以滿足此要求的。

5 結(jié)束語

開放通信系統(tǒng)進行安全信息傳輸時需要采用多種威脅防御技術(shù),而安全碼是各種技術(shù)的基礎(chǔ)。帶加密安全碼既可以檢查安全消息是否被損壞,而且可以防御開放通信系統(tǒng)所特有的偽裝威脅。其中,安全碼檢錯性能可以進行量化分析,因此可以定量判斷是否滿足指定安全完整性等級要求。而安全碼防御偽裝威脅的能力主要由加密算法的保密性和密鑰的管理過程決定。安全碼的生成主要依據(jù)以上兩方面進行。經(jīng)過對 CTCS-3級列控系統(tǒng)的車-地安全通信的安全碼進行分析表明:選擇使用 3DES消息認證碼對安全相關(guān)消息進行認證可以有效的防御偽裝消息的威脅,并且其檢錯性能滿足 SIL4級安全功能的需求。

公式 ～R=2-r只是對殘余錯誤概率的一種粗略估計,研究能夠更精確的計算安全碼殘余錯誤概率的方法是將來的一項工作。

[1］ 運基信號[2010]224號.CTCS-3級列控系統(tǒng)無線通信功能接口規(guī)范[S].中華人民共和國鐵道部,2010.

[2］ 運基信號[2010]267號.RSSP-II鐵路信號安全通信協(xié)議[S].中華人民共和國鐵道部,2010.

[3］ CENELECEN50159-1.Railway Applications:Communication,signalling and processing system,Part 1:Safetyrelated communication in closed transmission system s[S],2001.

[4］ IEC 61784-3:Digital Data Communications for Measurement and Control-Part 3:Profiles for Functional Safety Communications in Industrial Networks[S],2005.

[5］ CENELECEN50159-2.Railway Applications:Communication,signalling and processing system,Part 2:Safety-related communication in open transmission system s[S],2001.

[6］ CENELEC EN50129.Railway Applications:Safety Related Electronic Systems for Signalling[S],1999.

[7］ Mária FRANEKOV?,Safety Security Profile of Industry Networks Used in Safety-critical App lications.Transport Problems,Vol 4,Part 1[J],2008.

[8］ B?rcs?k J.,Hannen H.-T.Determination of Bit Errorand Residual Error Rates for Safety Critical Communication.Second International Conference on Systems and Networks Communications(ICONS'07).French Riviera,2007.

[9］ Jack K.Wolf,Arnold M.Michelson,Allen H.Levesque.On the Probability of Undetected Error for Linear Block Codes.IEEE Transactions on Communications,Vol.COM-30,NO.2,1982.

[10］ ERTMS/ETCS Class 1:Off-line Key Management FIS(Subset-038).[S],2005.

[11］ Schiller,F.,T.Mattes.An efficientmethod to evaluate CRC polynom ials for safety-critical industrial communication.In:11th Int.Symposium on System-Modelling-Control,Zakopane,Poland,2005.