CTCS列控系統(tǒng)在線密鑰管理技術(shù)研究

張嘯林

(1.北京全路通信信號(hào)研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070；2.北京市高速鐵路運(yùn)行控制系統(tǒng)工程技術(shù)研究中心，北京 100070)

1 概述

在國(guó)內(nèi)CTCS-3 及CTCS-Q 等級(jí)別的列控系統(tǒng)中，車地信號(hào)設(shè)備通過(guò)GSM-R 通信網(wǎng)絡(luò)實(shí)現(xiàn)雙向信息交互。根據(jù)IEC 62280（EN50159）要求，基于開(kāi)放網(wǎng)絡(luò)的系統(tǒng)需要防護(hù)損壞及偽裝威脅，保證車地交互關(guān)鍵信息的安全性。

CTCS 列控系統(tǒng)車地信號(hào)設(shè)備采用基于密碼的加密技術(shù)，保證雙方交互消息的真實(shí)性及完整性。在每次建立安全通信時(shí)，通信雙方使用認(rèn)證密鑰（KMAC）進(jìn)行身份認(rèn)證，并基于認(rèn)證密鑰生成會(huì)話密鑰（KSMAC）對(duì)車地交互消息進(jìn)行數(shù)據(jù)保護(hù)。以上安全機(jī)制的完整有效性取決于認(rèn)證密鑰的保密性，而列控系統(tǒng)通過(guò)密鑰管理確保系統(tǒng)內(nèi)認(rèn)證密鑰的保密性。

密鑰管理的主要功能負(fù)責(zé)密鑰生成、存儲(chǔ)、安全分配、解除、銷毀和應(yīng)用等，且應(yīng)確保密鑰傳輸過(guò)程中密鑰的真實(shí)性及保密性。CTCS 列控系統(tǒng)使用三級(jí)密鑰機(jī)制，如表1 所示，密鑰管理主要涉及認(rèn)證密鑰和傳輸密鑰(KTRANS)。

表 1 CTCS列控系統(tǒng)密鑰等級(jí)劃分表Tab.1 Key hierarchy of CTCS train control sytem

2 CTCS列控系統(tǒng)密鑰管理現(xiàn)狀

現(xiàn)階段在CTCS 列控系統(tǒng)密鑰管理中，密鑰管理中心(KMC)負(fù)責(zé)生成和管理全路安全信號(hào)設(shè)備的密鑰，并以離線方式向安全信號(hào)設(shè)備分配密鑰。密鑰管理包含密鑰生成、密鑰分發(fā)和密鑰注入3 個(gè)部分。

密鑰生成，由KMC 生成安全信號(hào)設(shè)備使用的傳輸密鑰和認(rèn)證密鑰，兩種密鑰均為3DES 密鑰。

密鑰分發(fā)，分為兩級(jí)，一級(jí)分發(fā)負(fù)責(zé)向信號(hào)廠商分發(fā)明文傳輸密鑰及加密的認(rèn)證密鑰，分發(fā)采用離線移動(dòng)介質(zhì)保存的方式，然后在信號(hào)廠商各自的密鑰文件生成工具進(jìn)行認(rèn)證密鑰的解密；二級(jí)分發(fā)，各信號(hào)廠商使用各自的專用密鑰文件生成工具，將認(rèn)證密鑰轉(zhuǎn)換為相應(yīng)的信號(hào)設(shè)備專用的密鑰格式文件，這一級(jí)傳輸過(guò)程的技術(shù)手段是設(shè)備專用的。二級(jí)分發(fā)轉(zhuǎn)換后的密鑰格式文件大部分以明文或明文的簡(jiǎn)單變換方式分發(fā)，少數(shù)由3DES 算法進(jìn)行保護(hù)。

密鑰注入，為信號(hào)廠商使用專用工具將認(rèn)證密鑰注入到安全信號(hào)設(shè)備的過(guò)程。每種信號(hào)設(shè)備均采用設(shè)備專用的密鑰注入工具，并由各信號(hào)廠商自行完成密鑰注入工作。

分析CTCS 列控系統(tǒng)密鑰管理有如下不足：

1）密鑰生產(chǎn)使用軟件生成的偽隨機(jī)數(shù)，因此密鑰質(zhì)量不高；

2）所有加密解密的算法都是采用非國(guó)產(chǎn)3DES算法，可能存在快速破解的后門(mén)，增加了被竊取或篡改的風(fēng)險(xiǎn)；

3）密鑰分發(fā)過(guò)程中，承載明文的傳輸密鑰及密文的認(rèn)證密鑰的載體為光盤(pán)等非專業(yè)媒介，存在丟失泄露密鑰風(fēng)險(xiǎn)；

4）密鑰注入需要人員到設(shè)備所在現(xiàn)場(chǎng)更換密鑰，密鑰更換成本極大；且認(rèn)證密鑰有以明文出現(xiàn)的環(huán)節(jié)，增加了密鑰暴露的風(fēng)險(xiǎn)；

5）安全信號(hào)設(shè)備沒(méi)有向密鑰管理中心反饋密鑰安裝結(jié)果，認(rèn)證密鑰涉及到的兩個(gè)信號(hào)設(shè)備無(wú)一致性檢查，系統(tǒng)缺乏對(duì)全路密鑰執(zhí)行情況的集中管理。

綜上所述，有必要研究新的密鑰管理系統(tǒng)，來(lái)解決目前CTCS 列控系統(tǒng)密鑰管理存在的已知問(wèn)題。

3 在線密鑰管理技術(shù)方案

ETCS 列控系統(tǒng)于2016 年發(fā)布基線3 版本，在基線3 中，密鑰管理部分引入基于公鑰基礎(chǔ)設(shè)施（PKI）及安全傳輸層協(xié)議(TLS) 的在線密鑰管理，并定義了完善的密鑰管理相關(guān)設(shè)備間的接口。與此同時(shí)，CTCS 列控系統(tǒng)不斷進(jìn)行技術(shù)革新，GSM-R網(wǎng)絡(luò)逐步引入分組域（如CTCS-Q 級(jí)列控系統(tǒng)），具備IP 化車地雙向通信功能，使CTCS 列控系統(tǒng)在線密鑰管理有了實(shí)施基礎(chǔ)。

基于以上技術(shù)方案、技術(shù)革新及CTCS 列控系統(tǒng)密鑰管理現(xiàn)狀分析，本文提出CTCS 列控系統(tǒng)在線密鑰管理方案，可克服當(dāng)前密鑰管理存在的不足。

3.1 在線密鑰管理系統(tǒng)體系架構(gòu)

在線密鑰管理系統(tǒng)主要由KMC、數(shù)字證書(shū)中心(CA)及安全信號(hào)設(shè)備組成，密鑰管理系統(tǒng)組成如圖1 所示。

KMC 作為密鑰管理的核心設(shè)備，由KMC 主機(jī)、操作顯示終端和專用密碼機(jī)組成。KMC 主機(jī)負(fù)責(zé)實(shí)現(xiàn)密鑰管理邏輯功能（生成、添加、刪除、更新、查詢及存儲(chǔ)密鑰等）；操作顯示終端負(fù)責(zé)與密鑰管理員交互進(jìn)行密鑰管理操作與維護(hù)；專用密碼機(jī)負(fù)責(zé)生成密鑰，密碼機(jī)采用國(guó)家密碼管理局批準(zhǔn)的硬件芯片生成高質(zhì)量的真隨機(jī)數(shù)，保證密鑰的高強(qiáng)度，密碼機(jī)可生成3DES 及國(guó)密密鑰。

圖1 CTCS密鑰在線管理系統(tǒng)組成Fig.1 Composition of CTCS on-line key management system

安全信號(hào)設(shè)備如ATP、RBC 等作為CTCS列控系統(tǒng)中使用認(rèn)證密鑰的設(shè)備，由唯一的一個(gè)KMC 負(fù)責(zé)為其管理密鑰。

CA 向KMC 及安全信號(hào)設(shè)備頒發(fā)及驗(yàn)證用于身份認(rèn)證的數(shù)字證書(shū)。CA 架構(gòu)將在下一小節(jié)進(jìn)行詳述。

KMC 可采用在線和離線兩種方式向安全信號(hào)設(shè)備執(zhí)行密鑰管理相關(guān)操作，優(yōu)先使用在線方式。在線方式下，為了防止傳輸過(guò)程中密鑰數(shù)據(jù)被監(jiān)聽(tīng)或篡改，參照ETCS 系統(tǒng)，在KMC 與安全信號(hào)設(shè)備、KMC 間連接引入基于PKI 技術(shù)的TLS 通信協(xié)議，用以保證交互內(nèi)容加密、數(shù)據(jù)完整性;區(qū)別于ETCS 系統(tǒng)，TLS 協(xié)議采用符合國(guó)密標(biāo)準(zhǔn)密碼算法套件。同時(shí)，保留離線方式為網(wǎng)絡(luò)或數(shù)字認(rèn)證中心等故障后的降級(jí)措施，并針對(duì)CTCS 列控系統(tǒng)密鑰管理既有離線方式，進(jìn)行如下技術(shù)改進(jìn)：

1）密鑰統(tǒng)一由KMC 使用專用密碼機(jī)生成；

2）在密鑰離線傳輸全過(guò)程中，認(rèn)證密鑰使用傳輸加密的密文傳輸，僅在密鑰到達(dá)信號(hào)設(shè)備處才可解密處理，傳輸載體使用U-Key 等專用存儲(chǔ)設(shè)備；

3）傳輸密鑰加密算法需選取SM1 等適用的國(guó)密算法；

4）增加信號(hào)設(shè)備的密鑰安裝結(jié)果反饋。

3.2 PKI體系架構(gòu)

PKI 是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。數(shù)字證書(shū)是用來(lái)綁定身份和其相應(yīng)公鑰的數(shù)據(jù)文件，由CA 頒發(fā)，具有一定的生命周期。在生命周期結(jié)束或該證書(shū)不再有效時(shí)，要對(duì)證書(shū)進(jìn)行撤銷，故用戶需驗(yàn)證數(shù)字證書(shū)的有效性。數(shù)字證書(shū)的驗(yàn)證主要包括證書(shū)是否撤銷、是否在有效期內(nèi)、證書(shū)簽名是否正確等3 個(gè)方面。

PKI 的體系結(jié)構(gòu)由根CA、二級(jí)CA、注冊(cè)機(jī)構(gòu)RA、證書(shū)庫(kù)、客戶端、證書(shū)管理庫(kù)和用戶信息庫(kù)組成，如圖2 所示。

圖2 PKI體系構(gòu)成圖Fig.2 PKI architecture diagram

PKI 體系結(jié)構(gòu)各部分的功能描述如下：

1）根 CA 用于為二級(jí) CA 頒發(fā)簽名證書(shū)，不直接與最終用戶交互。為安全起見(jiàn)，根 CA 與其他部分實(shí)現(xiàn)隔離;

2）二級(jí)CA 將直接給用戶（KMC、安全信號(hào)設(shè)備）頒發(fā)證書(shū);

3）證書(shū)注冊(cè)審批系統(tǒng)（RA）作為證書(shū)注冊(cè)機(jī)構(gòu)，介于 CA 與最終用戶之間，受理并審核用戶的證書(shū)申請(qǐng)，并向 CA 提交證書(shū)的申請(qǐng);

4）證書(shū)庫(kù)存放二級(jí) CA 簽發(fā)的證書(shū)和證書(shū)銷毀列表，屬于一種公共信息庫(kù)。用戶可以從證書(shū)庫(kù)里查詢證書(shū)是否有效，也可以從中獲得其他用戶的證書(shū)及其公鑰。

CTCS 在線密鑰管理系統(tǒng)需設(shè)置唯一的根CA；靈活設(shè)置數(shù)量不固定的二級(jí)CA 認(rèn)證中心及注冊(cè)中心，用于向所屬信號(hào)設(shè)備頒發(fā)數(shù)字證書(shū)進(jìn)行身份認(rèn)證管理。

3.3 既有設(shè)備實(shí)施可行性分析

3.3.1 密鑰管理中心改造

改造既有密鑰管理中心，應(yīng)具備如下功能：

1）生成密鑰，采用自主密碼機(jī)中的物理噪聲源產(chǎn)生高質(zhì)量密鑰。需生成3DES 密鑰及國(guó)密密鑰,可支持信號(hào)設(shè)備間安全協(xié)議使用國(guó)密算法對(duì)國(guó)外3DES 算法的替換升級(jí);

2）向CA 申請(qǐng)及校核數(shù)字證書(shū)，支持采用分組域交換數(shù)據(jù)，可與信號(hào)設(shè)備建立TLS 連接;

3）自動(dòng)拆分密鑰任務(wù)，將密鑰管理員設(shè)定的指令，拆分為針對(duì)密鑰相關(guān)的兩端安全信號(hào)設(shè)備的具體增刪改的密鑰操作；

4）信號(hào)設(shè)備密鑰狀態(tài)綜合管理，匯總在線、離線更新結(jié)果；實(shí)時(shí)檢查密鑰有效期，具備有效期到期預(yù)警及有效期過(guò)期報(bào)警功能；

5）存儲(chǔ)、銷毀密鑰等功能，使用數(shù)據(jù)庫(kù)管理密鑰及任務(wù)，通過(guò)數(shù)據(jù)庫(kù)語(yǔ)句高效的對(duì)相關(guān)信息進(jìn)行操作。

3.3.2 安全信號(hào)設(shè)備改造

改造既有安全信號(hào)設(shè)備，應(yīng)具備如下功能：

1）向CA 申請(qǐng)證書(shū)及校驗(yàn)證書(shū)功能；

2）與密鑰管理中心建立TLS 連接，支持采用分組域交換數(shù)據(jù)；

3）將存儲(chǔ)的既有密鑰納入KMC 管理；

4）統(tǒng)一處理在線、離線兩種方式下發(fā)的密鑰管理消息，并向密鑰管理中心回復(fù)執(zhí)行結(jié)果。

3.4 在線密鑰管理系統(tǒng)交互流程

在線密鑰管理時(shí)，系統(tǒng)設(shè)備及密鑰管理員按流程交互，如圖3 所示。

1）安全信號(hào)設(shè)備與KMC 需預(yù)先申請(qǐng)CA 數(shù)字證書(shū)；

2）密鑰管理員設(shè)定密鑰指令，KMC 自動(dòng)拆分為具體設(shè)備的密鑰管理命令，且自動(dòng)生成指定類型的密鑰；

3）密鑰管理員在KMC 上執(zhí)行密鑰管理命令下發(fā)操作，KMC 優(yōu)先將密鑰命令通過(guò)網(wǎng)絡(luò)在線下發(fā)，當(dāng)在線方式不可用后提示管理員進(jìn)行離線下發(fā)；

4）KMC 完成與安全信號(hào)設(shè)備交互，并綜合密鑰在兩端安全信號(hào)設(shè)備的執(zhí)行情況，向密鑰管理員反饋執(zhí)行情況。

4 在線密鑰管理的技術(shù)安全性分析

基于TLS-PKI 的在線密鑰管理方式主要通過(guò)非對(duì)稱加密、對(duì)稱加密及散列算法3 種加密技術(shù)保證密鑰傳輸?shù)陌踩浴７菍?duì)稱加密采用基于國(guó)密體系SM2 非對(duì)稱密鑰的ECDHE 密鑰交換算法實(shí)現(xiàn)身份認(rèn)證和對(duì)稱密鑰協(xié)商，對(duì)稱加密采用非對(duì)稱加密協(xié)商的對(duì)稱密鑰并利用國(guó)密SM1 算法對(duì)交互數(shù)據(jù)加密，基于國(guó)密SM3 散列算法用于驗(yàn)證交互數(shù)據(jù)完整性，如圖4 所示。

PKI 體系用于身份認(rèn)證，沒(méi)有身份驗(yàn)證的情況下，在非對(duì)稱加密中實(shí)現(xiàn)身份驗(yàn)證和密鑰協(xié)商時(shí)，無(wú)法確保服務(wù)器身份的合法性，因?yàn)楣€對(duì)外公開(kāi)，并不包含服務(wù)器的信息。如圖5 所示，中間人攻擊（MITM）介入通信雙方，C ?M 通信時(shí)使用的是中間人自己的一對(duì)未經(jīng)身份認(rèn)證的公私鑰Key_M解密客戶端加密的信息；M ?S 通信時(shí)使用的是服務(wù)器提供的公鑰，加密從客戶端得到的消息給服務(wù)器完成雙方通信。

當(dāng)采用PKI 體系進(jìn)行身份驗(yàn)證，中間人與客戶端通信時(shí)無(wú)法向用戶提供可信任的證書(shū)，如圖6 所示。

綜上所述，經(jīng)過(guò)上述TLS-PKI 的防御措施，在線方式傳輸過(guò)程密鑰消息的安全性和機(jī)密性完全由技術(shù)手段保證，且采用自主算法符合現(xiàn)行鐵路信號(hào)行業(yè)技術(shù)趨勢(shì)。

圖3 CTCS密鑰在線管理系統(tǒng)內(nèi)部交互流程Fig.3 Internal interaction flow of CTCS on-line key management system

圖4 CTCS在線密鑰管理防御措施Fig.4 Defensive measures for CTCS on-line key management

圖5 中間人攻擊示意圖Fig.5 Schematic diagram of MITM attack

5 總結(jié)

本文介紹的在線密鑰管理系統(tǒng)具備如下優(yōu)勢(shì)：

1）在信息安全方面，借鑒國(guó)外經(jīng)驗(yàn)，引入國(guó)密規(guī)定的先進(jìn)加密技術(shù)，密鑰傳輸過(guò)程密鑰均為密文，采用自主技術(shù)手段杜絕了密鑰傳輸泄露風(fēng)險(xiǎn)；

2）通過(guò)GSM-R 網(wǎng)絡(luò)引入分組域，使密鑰可以通過(guò)網(wǎng)絡(luò)在線更新，提高了更換密鑰的便捷性；

圖6 身份認(rèn)證對(duì)中間人攻擊防御示意圖Fig.6 Schematic diagram of identity authentication defense against MITM attack

3）KMC 統(tǒng)一管理設(shè)備的密鑰執(zhí)行狀態(tài)，減少密鑰使用設(shè)備兩端執(zhí)行不一致或密鑰過(guò)期等情況發(fā)生，提高列控系統(tǒng)可用性;

4）使用自主密碼機(jī)中的物理噪聲源產(chǎn)生高質(zhì)量密鑰；兼容3DES 及國(guó)密密鑰，為設(shè)備間安全通信協(xié)議改用國(guó)產(chǎn)算法預(yù)留接口。