列車控制信息的安全傳輸——密鑰系統設計

摘要：隨著全國客運專線聯網的逐步實現，集中運營調度前景越來越美好。列車的速度和密度信息，直接影響著運輸的效率和質量，而GSM-R為客運專線列車控制信息的傳輸提供了良好的平臺。全路列車控制系統已經進入了信息時代。列控信息的保密問題顯得越來越重要，無論是車地通信的每一個環節，都迫切需要保證網上信息傳輸的安全（保證信息真實地反應列車狀況，機車收到正確的指令）。

關鍵詞:密鑰；RBC；GSM-R；列控

1引言

客運專線中，車載單元和RBC（無線閉塞中心）、TCC（列控中心）等地面設備之間使用開放式、非安全的網絡（GSM-R）交換信息。GSM-R網絡是在透明的公網（GSM）基礎上增加一些方便指揮列車運行的功能，如：調度命令傳送，車地信息傳送，車次號傳送等等，這些由RBC、TCC等產生用來控制列車運行的調制信息，只有在被對應的列車正確地執行，才是安全的。調制后的列控信息由無線GSM-R網絡發射出去后，很容易被路外終端截獲，解調并破譯，路外終端再根據破譯信息的幀結構，編寫錯誤的列控信息，發送到車載終端或地面設備，將對高速運行中的鐵路客運專線造成巨大的損失和管理的混亂。目前的高速客運專線，對發送端、接收端以及數據完整性的認可，只有建立在被本發送端和本接收端知道的某些秘密信息的基礎上，才能保證安全。所以，在現有的GSM-R通信系統中，加入密鑰系統來保證列車控制信息的安全傳輸是十分必要的。本文通過對客專列控信息安全傳輸的研究，提出密鑰系統的工程設計方法和措施。

2 密鑰的工作原理

2.1 對稱式密鑰

又稱單鑰密碼，是一種比較傳統的加密方式，其加密運算、解密運算使用的是同樣的密鑰，信息的發送者與信息的接收者在進行信息的傳輸與處理時，必須共同持有該密碼（稱為對稱密鑰）。因此，通信雙方都必須獲得這把鑰匙，并保持鑰匙的秘密。

2.2 公鑰密鑰

公鑰體制的關鍵是如何確定公鑰與私鑰及加/解密的算法。假設在這種體制中，pk是公開信息，用作加密密鑰，而sk需要由用戶自己保密，用作解密密鑰。加密算法e與解密算法d也都是公開的。雖然sk與pk是成對出現，但卻不能根據pk計算出sk.它們須滿足條件：

① 加密密鑰pk對明文x加密后，再用解密密鑰sk解密，即可恢復出明文，或寫為：

d{sk，e{pk，x}}=x

② 加密密鑰不能用來解密，即

d{pk，e{pk，x}}≠x

③ 在計算機上可以容易地產生成對的pk與sk；

④ 從已知的pk實際上不可能推導出sk；

⑤ 加密與解密的運算可以對調，即

e{pk，d{sk，x}}=x

從上述條件可看出，公開密鑰密碼體制下，加密密鑰不等于解密密鑰。加密密鑰可對外公開，使任何用戶都可將傳送給此用戶的信息用公開密鑰加密發送，而該用戶唯一保存的私人密鑰是保密的，也只有它能將密文復原，解密。雖然解密密鑰理論上可由加密密鑰推算出來，但這種算法設計在實際上是不可能的，或者雖然能夠推算出，但要花費很長的時間而成為不可行的。所以將加密密鑰公開也不會危害密鑰的安全。

3 客運專線密鑰管理系統（KMS）的功能及結構

3.1 密鑰管理系統主要的功能就是在保證密鑰安全的基礎上，實現密鑰的生成、注入、備份、恢復、更新、導出、服務和銷毀等功能。同時，密鑰受到嚴格的權限控制，不同機構或人員對不同密鑰的生成、更新、使用等操作擁有不同的權限。通常，系統會把不同的權限賦給系統定義的不同的角色再把角色與具體的人員關聯。所有的注入、備份、恢復、更新、導出、更新和服務過程都需要保證密鑰的高度安全，不會外泄。密鑰銷毀原則上要求做到物理的清除密鑰，即保證無法再通過對殘余介質的檢測造成密鑰的破解。

3.2 KMS的結構由兩個平臺組成，每個平臺的目的各不相同：

密鑰管理中心（KMC），為離線式平臺，組成部分包括：密鑰生成中心（KGC），專門用來生成對稱式KMAC和KTRANS鑰匙；用戶系統（CS），專門用來對對稱式KMAC和KTRANS鑰匙（由KGC建立）進行管理和提供密鑰使用的分配媒介（文檔）。

認證管理中心（CMC），為在線平臺，專門用來管理對分配媒介進行保護和認可的數字證書。

這兩個平臺都符合要求的安全標準。

密鑰管理中心 （KMC）

KMC執行如下功能：KMAC 和KTRANS密鑰的生成、文件歸檔、更新、撤消和刪除。

其操作平臺位于設置進入權限和控制的房間內，所有的KMC功能包含使用授權盤都將通過專門軟件來完成。

認證管理中心（CMC）

認證管理的一個重要方面為加密數據的管理。

CMC平臺通過一個公共權威認證（CA）來進行數字認證的管理同時用于KMC生成的信息代碼管理。數字認證是保證密鑰分配、KMC和終端用戶鑒定全過程完整性和可靠保留的全現代化手段。

4 客運專線密鑰工作過程

KMS操作的典型步驟如下：

KMAC向受托人的發放采用密碼保護；KMAC 鑰匙的密碼采用KTRANS 鍵對稱性加密方式；KTRANS 密鑰通過使用數字認證采用非對稱性加密方式頒發；KTRANS 密鑰通過包含在特殊文件里的ASCII 表的加密格式插入；這些文件為每個CTCS裝置（如TCC、RBC、車載設備，聯鎖裝置和CTC等）生成并包含一個KMAC密鑰（與其他與CTCS設備相連的設備）

密鑰更新方案。通過特殊的操作步驟，可以對RBC內的KMAC密鑰進行更新。這個步驟較更新車載設備的KMAC密鑰容易。

由于車載設備的數量相當巨大，對全部車載設備進行KMAC密鑰更新難度很大。所以對每一個列車在RBC內可以有2個不同CTCS ID身份號用于與之相連的每個車載設備。這樣RBC可通過兩個CTCS ID身份驗證（和相關的KMAC密鑰）中的任一個與車載設備進行通訊。

因此KMC生成的RBC配置文件包含兩套用于車載設備的KMAC密鑰。

采用這種方式通過更新RBC KMAC密鑰配置文件，在不同的時間來更新車載設備KMAC密鑰配置。

5 客運專線密鑰工程實施

根據工程的實際需要，我們可以在鐵道部設立密鑰管理中心KMS。KMS設置在有進入權限的房間，以保證安全性。KMS是標準的TCP/IP協議以局域網，密鑰生成中心（KGC）的離線服務器、數據庫、客戶端（根據需要設置其數量）、網絡打印機等設備均在局域網上。這些設備主要用來生成并管理密鑰。離線服務器采用雙機熱備，并對數據庫數據采取定時備份措施。保證密鑰數據的安全。每條客運專線設置一套在線服務器（CMC），在線服務器為設備提供實時在線認證，也為設備密鑰的生成提供依據。在相應的用戶終端（如RBC、車載設備，聯鎖裝置和CTC等）架設加密或解密的軟件和硬件模塊，這些模塊與GSM-R系統結合就在硬件上實現了列控信息的安全傳輸。

這樣，由KMS產生加密密鑰和解密密鑰。通過光盤或其他存儲介質，由鐵道部許可，分發到相應的終端用戶設備上，設備在啟用前先經過登陸認證，在線服務器識別該用戶后，用戶便可以用加密密鑰對列控信息加密并放心的發送至公網GSM-R了。

6 結論

快速鐵路給人們的出行帶來了方便和快捷，但是安全仍然是一個永恒的話題。密鑰系統在整個列車控制系統中投資很少，卻為列車安全運行起到至關重要的作用。因此，我們很有必要深入研究并完善客運專線的密鑰系統。

參考文獻

[1]鐵道部科學技術司 鐵道部運輸局 CTCS3 級列控系統總體技術方案，2008

[2]鐵道部 客運專線 CTCS2 級列控系統配置及運用技術原則（暫行） 【鐵集成（2007）124

號】

[3] douglas r.stinson.\"密碼學原理與實踐北京:電子工業出版社，2003

[4] 鐘章隊，李旭，蔣文怡.鐵路綜合數字通信系統（GSM-R）[M].北京：中國鐵道出版社，2003.

[5] Adams Carlisle 著. 公開密鑰基礎設施 [M]. 北京 : 人民郵電出版社2001.