基于LTE和《RSSP-I鐵路信號安全通信協(xié)議》的互聯(lián)互通CBTC系統(tǒng)車地安全通信方案分析

徐國平 呂新軍

(卡斯柯信號有限公司， 200070， 上海//第一作者,工程師)

基于通信的列車控制(CBTC)系統(tǒng)已成為我國城市軌道交通信號系統(tǒng)的主流制式。其中，無線通信系統(tǒng)為CBTC車地間提供了安全、可靠、實時的雙向數(shù)據(jù)通信。目前，針對車地安全通信，我國各信號供應(yīng)商均采用各自不同的解決方案，即采用私有的安全協(xié)議。隨著城市軌道交通信號系統(tǒng)的發(fā)展，車地安全通信需采用統(tǒng)一的標(biāo)準(zhǔn)安全協(xié)議來滿足互聯(lián)互通發(fā)展的需求。

原鐵道部在2010年制定并發(fā)布了《RSSP-I鐵路信號安全通信協(xié)議(V1.0)》(以下簡稱《RSSP-I安全協(xié)議》)[1]和《RSSP-II鐵路信號安全通信協(xié)議(V1.0)(以下簡稱《RSSP-II安全協(xié)議》)[2]。上述協(xié)議廣泛應(yīng)用于鐵路系統(tǒng)軌旁安全設(shè)備之間的安全通信[3]。例如：CTC(中央調(diào)度集中)和臨時限速服務(wù)器、臨時限速服務(wù)器和臨時限速服務(wù)器之間的接口均采用RSSP-II安全協(xié)議。而車載和軌旁之間的接口一直沿用SUBSET—037《歐洲無線電系統(tǒng)功能接口規(guī)范》。文獻(xiàn)[4]首次對《RSSP-II安全協(xié)議》應(yīng)用于城市軌道交通ATS(列車自動監(jiān)控)和VOBC(車載控制器)之間的安全通信進(jìn)行了研究，并在仿真環(huán)境下對其進(jìn)行了功能性測試和驗證。

1 《RSSP-II安全協(xié)議》應(yīng)用分析

重慶、北京等城市陸續(xù)開展了城市軌道交通互聯(lián)互通CBTC系統(tǒng)的工程建設(shè)。其中，重慶首個互聯(lián)互通項目選用《RSSP-II安全協(xié)議》來實現(xiàn)車地間的數(shù)據(jù)安全通信。

《RSSP-II安全協(xié)議》在傳輸層采用面向連接的TCP(傳輸控制協(xié)議)棧，項目應(yīng)用中遇到的主要問題如下：

(1) TCP棧自身比較復(fù)雜，互聯(lián)互通各信號供應(yīng)商在理解或?qū)崿F(xiàn)底層協(xié)議棧時容易出現(xiàn)不一致，導(dǎo)致雙方信號設(shè)備無法建立連接或連接不正常，影響車地信號設(shè)備之間的安全數(shù)據(jù)傳輸。

(2) 由于車地?zé)o線通信需要在高速移動環(huán)境下不斷切換無線接入點，且目前城市軌道交通LTE(長期演進(jìn))使用的專有頻段與相鄰的移動通信之間存在臨頻干擾，不可避免地存在數(shù)據(jù)丟包的情況。而TCP棧具有重傳機制,當(dāng)檢測到傳輸丟包時，TCP棧會等待丟失數(shù)據(jù)包重傳，在此期間，即使收到新數(shù)據(jù)包，TCP棧也不會向上層傳輸，這樣會加劇數(shù)據(jù)包的通信延遲，以及降低數(shù)據(jù)傳輸?shù)膶崟r性能。如果該延時超過數(shù)據(jù)傳輸?shù)娜萑虝r間，將會影響或中斷系統(tǒng)的正常運營。

因此，基于TCP/IP(互聯(lián)網(wǎng)協(xié)議)棧的《RSSP-II安全協(xié)議》并不是互聯(lián)互通車地安全通信的最佳解決方案，需要尋求一種更優(yōu)的車地安全通信替代方案，并在后續(xù)各地互聯(lián)互通項目中推廣應(yīng)用。

2 車地安全通信方案

2.1 標(biāo)準(zhǔn)要求

互聯(lián)互通CBTC系統(tǒng)車地之間無線通信因其傳輸?shù)奈锢斫橘|(zhì)存在于開放的空間，屬于開放式通信系統(tǒng)，應(yīng)符合文獻(xiàn)[5]開放式通信系統(tǒng)中類型3的要求。文獻(xiàn)[5]推薦的安全通信系統(tǒng)架構(gòu)如圖1所示。安全應(yīng)用和安全通信系統(tǒng)要求遵循文獻(xiàn)[6]的要求，部署在功能安全相關(guān)的設(shè)備中；而安全加密技術(shù)和傳輸系統(tǒng)可以部署在非功能安全相關(guān)的設(shè)備中。

圖1 安全相關(guān)通信系統(tǒng)架構(gòu)

2.2 方案設(shè)計

相較于TCP，UDP(用戶數(shù)據(jù)包協(xié)議)是一種無連接的協(xié)議，它具有協(xié)議簡單、傳輸快、效率高等優(yōu)勢，更適合于對實時性要求較高的車地安全通信。

考慮到基于UDP/IP棧的《RSSP-I安全協(xié)議》源自于阿爾斯通公司的《FSFB/2安全協(xié)議》，已廣泛應(yīng)用于大鐵路信號系統(tǒng)軌旁設(shè)備之間的安全通信，因此互聯(lián)互通CBTC系統(tǒng)車地安全通信解決方案直接采用《RSSP-I安全協(xié)議》來執(zhí)行安全通信，并分別部署在與功能安全相關(guān)的車載和地面信號設(shè)備中。

車地?zé)o線通信采用成熟的LTE技術(shù)。該技術(shù)具備高可靠的抗干擾能力，可滿足互聯(lián)互通CBTC系統(tǒng)車地之間數(shù)據(jù)在高速移動環(huán)境下的穩(wěn)定傳輸[7]。同時，針對空口消息的偽裝風(fēng)險，可采用安全加密技術(shù)防護(hù)，將其直接部署在TAU(車載終端)和BBU(軌旁基帶單元)上來實現(xiàn)鑒權(quán)和加密機制，保障車地?zé)o線通信的信息安全。安全加密技術(shù)采用滿足LTE國際加密標(biāo)準(zhǔn)的國密算法——祖沖之(ZUC)算法。

因此，基于《RSSP-I安全協(xié)議》和LTE的互聯(lián)互通CBTC系統(tǒng)車地安全通信方案總體結(jié)構(gòu)如圖2所示。

注：RRU表示軌旁的射頻單元;EPC表示演進(jìn)分組核心網(wǎng)

對車地設(shè)備安全數(shù)據(jù)通信過程的描述如下：

(1) 車載安全設(shè)備中的安全應(yīng)用模塊執(zhí)行安全計算，將需要發(fā)送給軌旁的安全數(shù)據(jù)提交給RSSP-I安全通信模塊，由安全通信模塊處理成RSSP-I安全通信包，并通過接口A發(fā)送給LTE車載移動終端。

(2) LTE車載移動終端采用128位祖沖之加密算法對RSSP-I安全通信包在PDCP(分組數(shù)據(jù)匯聚)層進(jìn)行加密，轉(zhuǎn)換成密文后通過空口(接口B)發(fā)送至RRU和BBU。

(3) BBU接收到密文包后采用相同的128位祖沖之加密算法在PDCP層進(jìn)行解密，轉(zhuǎn)成明文形式的RSSP-I安全通信包，通過EPC傳輸給軌旁安全設(shè)備。

(4) 軌旁安全設(shè)備中的安全通信模塊接收到RSSP-I安全通信包后，立即進(jìn)行安全協(xié)議解析和驗證，并將驗證通過的安全數(shù)據(jù)提交給安全應(yīng)用模塊來執(zhí)行計算。

(5) 軌旁安全設(shè)備中的安全應(yīng)用模塊將處理完后需要發(fā)送給車載的安全數(shù)據(jù)提交給RSSP-I安全通信模塊，由安全通信模塊處理成RSSP-I安全通信包后，再通過EPC傳輸給BBU。

(6) BBU接收到RSSP-I安全通信包后，采用128位祖沖之加密算法對其在PDCP層進(jìn)行加密，轉(zhuǎn)換成密文后通過RRU和空口(接口B)發(fā)送至LTE車載移動終端。

(7) LTE車載移動終端接收到密文包后，采用相同的128位祖沖之加密算法在PDCP層進(jìn)行解密，轉(zhuǎn)成明文形式的RSSP-I安全通信包，再通過接口A發(fā)送至車載安全設(shè)備。

(8) 車載安全設(shè)備中的安全通信模塊接收到RSSP-I安全通信包后，進(jìn)行安全協(xié)議解析和驗證，并將驗證通過的安全數(shù)據(jù)提交至安全應(yīng)用模塊進(jìn)行處理。

祖沖之加密算法參見文獻(xiàn)[8]。

3 方案分析

互聯(lián)互通CBTC系統(tǒng)車地?zé)o線通信傳輸?shù)奈锢斫橘|(zhì)存在于開放的空間，屬于開放式通信系統(tǒng)，應(yīng)符合文獻(xiàn)[5]中開放式通信系統(tǒng)的要求。

新的車地安全通信方案采用《RSSP-I安全協(xié)議》執(zhí)行安全通信。該協(xié)議提供了序列號、時間戳、超時、源標(biāo)識、反饋信息和雙重校驗技術(shù)等防御措施，可以有效防護(hù)開放式通信系統(tǒng)中要求的除偽裝以外的重復(fù)、丟失、插入、錯序、錯碼、延遲等6種風(fēng)險[1]。

互聯(lián)互通CBTC系統(tǒng)車地通信采用無線傳輸，其中的空口，即接口B(見圖2)存在消息被偽裝的風(fēng)險。針對該風(fēng)險，新的車地安全通信方案采用成熟的LTE技術(shù)，通過在TAU和BBU上部署安全加密技術(shù)對空口消息進(jìn)行加密處理。數(shù)據(jù)加密傳輸模型如圖3所示。安全加密技術(shù)采用ZUC算法，由于該算法采用素域GF(231-1)上的本原序列設(shè)計，具有非常高的安全特性，可有效抵抗各種已知序列密碼分析方法，從而起到防護(hù)消息被偽裝的風(fēng)險。

因此，結(jié)合了LTE和《RSSP-I安全協(xié)議》的互聯(lián)互通CBTC系統(tǒng)車地安全通信的新方案可以有效防護(hù)開放式通信系統(tǒng)中的七種風(fēng)險(見表1)，來滿足文獻(xiàn)[5]中定義的開放式通信系統(tǒng)的安全要求。

圖3 移動終端數(shù)據(jù)加密傳輸模型

危險情形序列號時間戳超時源標(biāo)識反饋報文雙重校驗LTE加密技術(shù)重復(fù)√丟失√插入√√√錯序√錯碼√√延遲√√√偽裝√注:符號“√”表示該措施已被采用來防護(hù)相應(yīng)的風(fēng)險

相較于現(xiàn)有的《RSSP-II安全協(xié)議》方案，新方案采用基于簡單UDP/IP的《RSSP-I安全協(xié)議》處理安全通信，可以有效解決目前互聯(lián)互通項目中由于車地通信數(shù)據(jù)包丟失而帶來的安全通信問題，也簡化了車地安全通信實現(xiàn)互聯(lián)的復(fù)雜度。同時，該方案將偽裝防護(hù)所需的加密技術(shù)部署在成熟的LTE標(biāo)準(zhǔn)設(shè)備，這種分布式架構(gòu)有利于今后不同信號設(shè)備廠商之間實現(xiàn)互聯(lián)，從而形成標(biāo)準(zhǔn)的互聯(lián)互通車地安全通信系統(tǒng)，也有利于今后加密技術(shù)的維護(hù)和擴(kuò)展。

4 結(jié)語

通過分析可知，基于LTE技術(shù)和《RSSP-I安全協(xié)議》的互聯(lián)互通CBTC系統(tǒng)車地安全通信方案符合相關(guān)標(biāo)準(zhǔn)推薦的安全相關(guān)通信系統(tǒng)架構(gòu)，滿足開放式通信系統(tǒng)的安全要求。目前，該方案已經(jīng)在室內(nèi)試驗環(huán)境下完成測試驗證，計劃首次應(yīng)用于呼和浩特地鐵1號線和2號線互聯(lián)互通CBTC信號系統(tǒng)工程項目。未來將通過上述項目的車地通信數(shù)據(jù)監(jiān)控和分析進(jìn)一步驗證該方案實際應(yīng)用的性能。