基于LTE和《RSSP-I鐵路信號安全通信協議》的互聯互通CBTC系統車地安全通信方案分析

徐國平 呂新軍

(卡斯柯信號有限公司， 200070， 上海//第一作者,工程師)

基于通信的列車控制(CBTC)系統已成為我國城市軌道交通信號系統的主流制式。其中，無線通信系統為CBTC車地間提供了安全、可靠、實時的雙向數據通信。目前，針對車地安全通信，我國各信號供應商均采用各自不同的解決方案，即采用私有的安全協議。隨著城市軌道交通信號系統的發展，車地安全通信需采用統一的標準安全協議來滿足互聯互通發展的需求。

原鐵道部在2010年制定并發布了《RSSP-I鐵路信號安全通信協議(V1.0)》(以下簡稱《RSSP-I安全協議》)[1]和《RSSP-II鐵路信號安全通信協議(V1.0)(以下簡稱《RSSP-II安全協議》)[2]。上述協議廣泛應用于鐵路系統軌旁安全設備之間的安全通信[3]。例如：CTC(中央調度集中)和臨時限速服務器、臨時限速服務器和臨時限速服務器之間的接口均采用RSSP-II安全協議。而車載和軌旁之間的接口一直沿用SUBSET—037《歐洲無線電系統功能接口規范》。文獻[4]首次對《RSSP-II安全協議》應用于城市軌道交通ATS(列車自動監控)和VOBC(車載控制器)之間的安全通信進行了研究，并在仿真環境下對其進行了功能性測試和驗證。

1 《RSSP-II安全協議》應用分析

重慶、北京等城市陸續開展了城市軌道交通互聯互通CBTC系統的工程建設。其中，重慶首個互聯互通項目選用《RSSP-II安全協議》來實現車地間的數據安全通信。

《RSSP-II安全協議》在傳輸層采用面向連接的TCP(傳輸控制協議)棧，項目應用中遇到的主要問題如下：

(1) TCP棧自身比較復雜，互聯互通各信號供應商在理解或實現底層協議棧時容易出現不一致，導致雙方信號設備無法建立連接或連接不正常，影響車地信號設備之間的安全數據傳輸。

(2) 由于車地無線通信需要在高速移動環境下不斷切換無線接入點，且目前城市軌道交通LTE(長期演進)使用的專有頻段與相鄰的移動通信之間存在臨頻干擾，不可避免地存在數據丟包的情況。而TCP棧具有重傳機制,當檢測到傳輸丟包時，TCP棧會等待丟失數據包重傳，在此期間，即使收到新數據包，TCP棧也不會向上層傳輸，這樣會加劇數據包的通信延遲，以及降低數據傳輸的實時性能。如果該延時超過數據傳輸的容忍時間，將會影響或中斷系統的正常運營。

因此，基于TCP/IP(互聯網協議)棧的《RSSP-II安全協議》并不是互聯互通車地安全通信的最佳解決方案，需要尋求一種更優的車地安全通信替代方案，并在后續各地互聯互通項目中推廣應用。

2 車地安全通信方案

2.1 標準要求

互聯互通CBTC系統車地之間無線通信因其傳輸的物理介質存在于開放的空間，屬于開放式通信系統，應符合文獻[5]開放式通信系統中類型3的要求。文獻[5]推薦的安全通信系統架構如圖1所示。安全應用和安全通信系統要求遵循文獻[6]的要求，部署在功能安全相關的設備中；而安全加密技術和傳輸系統可以部署在非功能安全相關的設備中。

圖1 安全相關通信系統架構

2.2 方案設計

相較于TCP，UDP(用戶數據包協議)是一種無連接的協議，它具有協議簡單、傳輸快、效率高等優勢，更適合于對實時性要求較高的車地安全通信。

考慮到基于UDP/IP棧的《RSSP-I安全協議》源自于阿爾斯通公司的《FSFB/2安全協議》，已廣泛應用于大鐵路信號系統軌旁設備之間的安全通信，因此互聯互通CBTC系統車地安全通信解決方案直接采用《RSSP-I安全協議》來執行安全通信，并分別部署在與功能安全相關的車載和地面信號設備中。

車地無線通信采用成熟的LTE技術。該技術具備高可靠的抗干擾能力，可滿足互聯互通CBTC系統車地之間數據在高速移動環境下的穩定傳輸[7]。同時，針對空口消息的偽裝風險，可采用安全加密技術防護，將其直接部署在TAU(車載終端)和BBU(軌旁基帶單元)上來實現鑒權和加密機制，保障車地無線通信的信息安全。安全加密技術采用滿足LTE國際加密標準的國密算法——祖沖之(ZUC)算法。

因此，基于《RSSP-I安全協議》和LTE的互聯互通CBTC系統車地安全通信方案總體結構如圖2所示。

注：RRU表示軌旁的射頻單元;EPC表示演進分組核心網

對車地設備安全數據通信過程的描述如下：

(1) 車載安全設備中的安全應用模塊執行安全計算，將需要發送給軌旁的安全數據提交給RSSP-I安全通信模塊，由安全通信模塊處理成RSSP-I安全通信包，并通過接口A發送給LTE車載移動終端。

(2) LTE車載移動終端采用128位祖沖之加密算法對RSSP-I安全通信包在PDCP(分組數據匯聚)層進行加密，轉換成密文后通過空口(接口B)發送至RRU和BBU。

(3) BBU接收到密文包后采用相同的128位祖沖之加密算法在PDCP層進行解密，轉成明文形式的RSSP-I安全通信包，通過EPC傳輸給軌旁安全設備。

(4) 軌旁安全設備中的安全通信模塊接收到RSSP-I安全通信包后，立即進行安全協議解析和驗證，并將驗證通過的安全數據提交給安全應用模塊來執行計算。

(5) 軌旁安全設備中的安全應用模塊將處理完后需要發送給車載的安全數據提交給RSSP-I安全通信模塊，由安全通信模塊處理成RSSP-I安全通信包后，再通過EPC傳輸給BBU。

(6) BBU接收到RSSP-I安全通信包后，采用128位祖沖之加密算法對其在PDCP層進行加密，轉換成密文后通過RRU和空口(接口B)發送至LTE車載移動終端。

(7) LTE車載移動終端接收到密文包后，采用相同的128位祖沖之加密算法在PDCP層進行解密，轉成明文形式的RSSP-I安全通信包，再通過接口A發送至車載安全設備。

(8) 車載安全設備中的安全通信模塊接收到RSSP-I安全通信包后，進行安全協議解析和驗證，并將驗證通過的安全數據提交至安全應用模塊進行處理。

祖沖之加密算法參見文獻[8]。

3 方案分析

互聯互通CBTC系統車地無線通信傳輸的物理介質存在于開放的空間，屬于開放式通信系統，應符合文獻[5]中開放式通信系統的要求。

新的車地安全通信方案采用《RSSP-I安全協議》執行安全通信。該協議提供了序列號、時間戳、超時、源標識、反饋信息和雙重校驗技術等防御措施，可以有效防護開放式通信系統中要求的除偽裝以外的重復、丟失、插入、錯序、錯碼、延遲等6種風險[1]。

互聯互通CBTC系統車地通信采用無線傳輸，其中的空口，即接口B(見圖2)存在消息被偽裝的風險。針對該風險，新的車地安全通信方案采用成熟的LTE技術，通過在TAU和BBU上部署安全加密技術對空口消息進行加密處理。數據加密傳輸模型如圖3所示。安全加密技術采用ZUC算法，由于該算法采用素域GF(231-1)上的本原序列設計，具有非常高的安全特性，可有效抵抗各種已知序列密碼分析方法，從而起到防護消息被偽裝的風險。

因此，結合了LTE和《RSSP-I安全協議》的互聯互通CBTC系統車地安全通信的新方案可以有效防護開放式通信系統中的七種風險(見表1)，來滿足文獻[5]中定義的開放式通信系統的安全要求。

圖3 移動終端數據加密傳輸模型

危險情形序列號時間戳超時源標識反饋報文雙重校驗LTE加密技術重復√丟失√插入√√√錯序√錯碼√√延遲√√√偽裝√注:符號“√”表示該措施已被采用來防護相應的風險

相較于現有的《RSSP-II安全協議》方案，新方案采用基于簡單UDP/IP的《RSSP-I安全協議》處理安全通信，可以有效解決目前互聯互通項目中由于車地通信數據包丟失而帶來的安全通信問題，也簡化了車地安全通信實現互聯的復雜度。同時，該方案將偽裝防護所需的加密技術部署在成熟的LTE標準設備，這種分布式架構有利于今后不同信號設備廠商之間實現互聯，從而形成標準的互聯互通車地安全通信系統，也有利于今后加密技術的維護和擴展。

4 結語

通過分析可知，基于LTE技術和《RSSP-I安全協議》的互聯互通CBTC系統車地安全通信方案符合相關標準推薦的安全相關通信系統架構，滿足開放式通信系統的安全要求。目前，該方案已經在室內試驗環境下完成測試驗證，計劃首次應用于呼和浩特地鐵1號線和2號線互聯互通CBTC信號系統工程項目。未來將通過上述項目的車地通信數據監控和分析進一步驗證該方案實際應用的性能。