一種在城市軌道交通信號系統中應用的加密故障恢復方法

李金文

(鄭州地鐵集團有限公司，450018，鄭州 ∥ 工程師)

2017年6月1日實施的《網絡安全法》已經將交通領域列為關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，對其實行重點保護。軌道交通是關系到國計民生、公共利益的重點領域，對于其中的信號系統，可以通過應用國產加密(以下簡為“國密”)技術，提高信號系統通信的信息安全水平，防止各種高科技犯罪。

信號系統應用國密技術，通常是在既有信號系統設備的基礎上，增加國密安全芯片等相關設備，通過國密算法對通信數據進行加密。但如國密安全芯片本身發生故障，則會導致某一設備無法加密或解密，造成數據通信中斷，信號系統會根據故障導向安全的原則使列車停車，影響系統的可用性。

針對應用了國產密碼算法的城市軌道交通CBTC(基于通信的列車控制)信號系統，本文提供了一種在國密安全芯片發生故障時的信號系統通信恢復方法——系統恢復方法。信號系統可通過該方法恢復正常的車地數據通信,使得在國密安全芯片發生故障的情況下仍然不影響信號系統的正常運行，并及時通過維護支持子系統對系統運維人員進行告警。

1 發生加密故障時的信號系統通信恢復

1.1 信號系統的通信恢復流程

國密安全芯片可能在身份認證及會話密鑰協商階段或在應用數據加解密階段發生故障。采用系統恢復方法可維持既有信號系統結構不變，無需增加額外的設備和操作。系統恢復方法又稱為系統旁路方法，由信號系統通過接收數據來獲知國密安全芯片是否返回了錯誤值或非預期值，進而判斷自身的國密安全芯片是否發生故障，隨即對發生故障的國密安全芯片進行隔離，并使信號系統恢復到不采用加密技術時的通信狀態，以此維持信號系統的正常數據通信。

1.1.1 身份認證及會話密鑰協商階段

在身份認證及會話密鑰協商階段，信號系統的客戶端為車載子系統，服務器端為軌旁子系統，階段流程如圖1所示。

在圖1中的每一步流程中，國密安全芯片都可能發生故障，相應的處理流程如下：

圖1 身份認證及會話密鑰協商階段流程

1) 當客戶端發起密鑰協商請求時，由于國密安全芯片發生故障，故在調用“密鑰協商請求”函數時返回錯誤值。連續返回5次錯誤值后，啟用系統恢復功能，隔離國密安全芯片。

2) 當服務器端驗證客戶端證書，通過國密算法生成會話密鑰時，由于國密安全芯片發生故障，故在調用“密鑰協商請求響應”函數時返回錯誤值。連續返回5次錯誤值后，啟用系統恢復功能，隔離國密安全芯片。

3) 當客戶端驗證服務器證書，通過國密算法生成會話密鑰時，由于國密安全芯片發生故障，故在調用“密鑰協商響應確認”函數時返回錯誤值。連續返回5次錯誤值后，啟用系統恢復功能，隔離國密安全芯片。

4) 當服務器端對密鑰協商確認消息進行確認時，由于國密安全芯片發生故障，故在調用“密鑰協商確認”函數時返回錯誤值。連續返回5次錯誤值后，啟用系統恢復功能，隔離國密安全芯片。

5) 客戶端對密鑰協商成功進行確認，會話密鑰協商流程結束。

綜上，本階段車載系統和軌旁系統的系統恢復流程分別如圖2及圖3所示。

圖2 車載子系統的系統恢復流程

圖3 軌旁子系統的系統恢復流程

1.1.2 應用數據通信階段

在應用數據通信階段，信號系統應用設備分為發送端和接收端。其中，發送端對應用數據進行加密操作后發出，接受端收到應用數據后進行解密操作。應用數據通信階段流程如圖4所示。

在加密操作和解密操作中，國密安全芯片均可能發生故障，相應的分析處理流程如下：

1) 在接收端解密過程中，如連續5次收到同一國密安全芯片發送端設備的消息返回錯誤值，或收到非預期值，則判斷國密安全芯片發生故障，啟動系統恢復功能。后續對此設備發送和接收的應用數據為不加密的數據；

圖4 應用數據通信階段流程

2) 在發送端SM 1(商用密碼算法1，分組對稱算法)加密過程中，如果調用加密接口函數時返回錯誤值，則判斷國密安全芯片可能發生故障，進而向接收端發送不加密的應用數據包。

此外，在國密安全芯片發生故障、啟用系統恢復功能后，相應的車載子系統或軌旁子系統還會向維護支持子系統發送故障報警，提示運維人員相關數據通信通道未采用加密技術，以便運維人員盡快處理國密安全芯片的故障。

1.1.3 狀態轉換圖

國密安全芯片發生故障后，采用系統恢復方法的信號系統狀態轉換圖如圖5所示。

圖5 采用系統恢復方法的信號系統狀態轉換圖

1.2 信號系統結構

采用系統恢復方法的信號系統結構如圖6所示。

圖6 采用系統恢復方法的信號系統結構

2 試驗驗證

在實驗室搭建信號系統國密集成環境，對信號系統恢復方法進行試驗驗證。試驗結果如表1所示。

表1 信號系統恢復方法的試驗驗證結果

如圖7所示，在試驗信號系統運行時，國密安全芯片B出現了故障，無法執行正常的加解密功能。此時，軌旁子系統網關B也無法處理車載設備發送的數據，并在調用國密安全芯片接口時返回錯誤值。在連續出現5次錯誤值后，軌旁子系統與車載子系統的通信不再經過國密安全芯片處理，而采用未經加密技術處理的數據發送方式。車載子系統在收到未經國密安全芯片處理的軌旁系統數據后，其調用國密安全芯片接口時也會返回錯誤值；連續5次返回錯誤值后，信號系統恢復到不采用加密技術的狀態。之后，軌旁子系統與車載子系統在藍網通道間的數據通信采用不加密的數據通信方式，并同時向維護支持子系統發送故障報警，以提示運維人員進行處理。無故障的軌旁子系統網關 A正常接收車載子系統發送的數據，繼續采用國密技術。

圖7 軌旁子系統國密安全芯片B故障后的通信方式

集成國密產品的信號系統采用本系統恢復方法后，CC(車載控制器)、ZC(區域控制器)、LC(線路控制器)及ATS(列車自動監控)等子系統按信號專業標準計算得到的MTBF(平均無故障時間)指標及可用性指標如表2所示。

表2 信號系統MTBF指標和可用性指標

3 結語

本文提出的系統恢復方法可以在國密安全芯片發生故障時，通過一定機制使得信號系統主動隔離故障芯片，將系統通信恢復為未加密狀態，從而提高了信號系統的可用性。此外，采用系統恢復方法的信號系統還有如下特點：

1) 信號系統的正常運行不受國密安全芯片發生故障的影響，其可用性得到了提升。

2) 啟動系統恢復功能后，信號系統通過系統旁路恢復明文通信后，能第一時間通過維護支持子系統對運維人員告警，以便及時處理國密安全芯片故障，提升了信號系統的可維護性。

3) 采用系統恢復方法可保護信號系統既有架構和功能安全等級不受影響。