開放通信系統安全碼的生成和應用

張 屹 何春明 魏學業 徐 虎

*北京和利時系統工程有限公司 工程師,100961 北京

**北京和利時系統工程有限公司 高級工程師,100961 北京

***北京交通大學 電子信息工程學院 教授,100044 北京

****北京和利時系統工程有限公司 工程師 (鐵道部C 3技術攻關組成員),100961 北京

1 引言

當通信系統傳輸安全相關信息時,并不需要使用專用的傳輸設備和線纜,而只需要升級現有的上層通信協議,在其中添加安全通信層。安全通信層可以檢測現有通信系統發生的錯誤,從而保證消息傳輸的安全性。當接收消息的安全設備檢測到安全消息錯誤時,就需要產生導向安全側動作,例如重新建立安全通信連接、關閉輸出、發送默認消息等。因此安全通信層有效地檢測下層通信錯誤,是通信系統保證安全性的關鍵。

檢測安全消息錯誤的有效性主要由 2方面來保證。一方面,實現安全通信層作為安全相關子功能,要滿足一定的安全完整性等級 (SIL)要求,即安全通信層的軟硬件實現平臺能夠提供足夠小的失效率。另一方面,即使實現安全通信層是完全正確的,經過安全通信層的消息殘余錯誤率也不等于 0,因此,需要通過有限合理的代價設計安全通信層,使其具有足夠小的殘余錯誤率。

目前,安全碼是安全通信層設計中普遍應用的技術。在封閉通信系統中,安全碼主要用于檢測數據傳輸的隨機錯誤和突發錯誤,一定程度上決定了安全通信層中其他技術的有效性,而且可以通過定量計算得到其殘余錯誤概率,因此安全碼是安全通信層保證錯誤漏檢概率的關鍵,選擇和生成安全碼也是設計安全通信層的主要任務。

在開放通信系統中,傳輸介質的屬性是未知、可變的,非授權的接入情況不可忽略,因此接入端的最大數目也是未知的。由于非授權接入,安全設備可能接收到非安全設備甚至是黑客發送的偽裝消息,即安全設備誤認為接收的消息為合法的安全消息。為保證系統在非授權接入情況下的安全性,也需要利用安全碼來檢測接收的偽裝消息。

2 開放通信系統的安全信息傳輸

安全消息的傳輸受到通信網絡和外界環境 2個方面影響。首先,通信網絡一般未定義其安全屬性,設計人員對其缺乏控制。例如,網絡設備的開發、維護等過程未遵守質量安全程序和規范,設備軟硬件失效結果不受約束等等。因此現有通信網絡對安全信息的傳輸是非可信的。其次,外界環境也可以對安全信息傳輸產生危險事件,例如電磁干擾、熱噪聲、人為故障等。所以通信網絡和外界環境共同威脅消息傳輸的安全性。

EN50159-2中總結了 7種對安全相關消息的威脅,分別為:重復,同一消息被傳輸了兩次或以上;刪除,消息在傳輸過程中丟失;插入,非授權接入發送方或授權接入的其他發送方,向正確傳輸消息隊列插入消息;重排序,消息傳輸的順序被更改;損壞,消息內容在傳輸過程中被更改;延遲,發送的消息經過較長時間才被接收到;偽裝,第三方偽裝為合法發送方,使接收方將接收消息誤認是合法發送方發出的。當使用開放通信系統時,允許非授權的接入,因此偽裝威脅是開放網絡所特有的。與這 7種威脅相對應,存在 7種安全消息的基本錯誤類型,分別為:重復的消息、刪除的消息、插入的消息、重排序的消息、損壞的消息、延遲的消息、偽裝的消息。

為了防御這些威脅,EN50159-2提供了幾種在安全通信層中使用的防御技術,分別為序列號、時間戳、超時、源和目標標識、反饋消息、身份驗證程序、安全碼、密碼技術。表1給出了上述幾種防御技術與 7種威脅的對應關系。

表1 威脅/防御對應關系

實際使用中為多種防御技術的組合覆蓋這 7種威脅,其中序列號、時間戳、源和目標標識、安全碼和密碼技術是目前比較常用的防御技術。

序列號一般按照消息順序遞增加 1,達到最大表示值后歸零重新遞增。如果接收序列號與上次相同則表示發生了重復錯誤;如果接收的序列號大于上次序列號加 1,則表示發生了刪除錯誤;如果接收的序列號小于或比上次序列號大許多,則表示發生了插入錯誤或重排序錯誤。其中,進行序列號比較時要考慮跨越最大表示值的情況。因為序列號能夠防御刪除威脅,所以它是一種必選防御技術。

時間戳主要防御延時威脅。接收端通過檢查消息中的時間戳,判斷消息是否過期。

源和目標標識可以防御網絡中其他設備發出的插入消息,當設備唯一標識不能確定時該技術是無效的,需要與密碼技術配合使用。

安全碼與密碼技術是所有其他技術的基礎,可以檢測消息的損壞。而其他防御技術是以消息的一部分存在的,一旦這部分消息損壞這些技術也將失效。因此,安全碼與密碼技術的檢錯性能是保證消息安全傳輸的關鍵。

密碼技術是防御偽裝威脅的主要方法,保證只有合法發送方和接收方之間才能進行通信,其有效性主要由加密算法的保密性和密鑰的管理過程決定。密碼技術有多種實現方式,目前常用的是將密碼技術與安全碼結合,即使用加密碼作為安全碼(稱為帶加密的安全碼或密碼安全碼)。

3 安全碼的生成

開放通信系統中,由于非授權接入不可忽略,使用帶加密的安全碼,既可以防御消息的損壞,也可以實現接入保護、檢測偽裝消息。因此,設計生成安全碼要從安全碼的保密性能和檢錯能力兩方面考慮。

安全碼的保密性由加密算法的保密性和密鑰的管理過程共同保證。一般使用 “等效保密性”來評價加密算法的保密性能。表 2給出了幾種常用加密算法的等效保密性。

選擇加密算法應有足夠高的等效保密性,但等效保密性越高,算法的計算量也就越大,因此實際中需要做權衡考慮。而且不同的硬件計算單元和軟件算法運算采用同一加密算法所需時間也是不同的,如果計算時間過長必然影響安全通信的實時性,因此軟硬件計算能力約束也是設計密碼安全碼的考慮因素之一。

表2 加密算法的等效保密性

密鑰的管理過程包括密鑰生成、備份與保存、分發、安裝、使用、刪除、更新等過程。這是一個復雜的過程,但目前已有相關標準可以提供指導,如 ISO11770、ISO15782、ECBSTR402等。

安全碼的檢錯能力一定程度上決定了序列號、時間戳、源和目標標識等其他技術的防御能力,這是由于其他技術是附加在消息中的冗余部分,也同樣受到損壞的威脅,一旦損壞將失去防御威脅的能力。因此,選擇安全碼必須考慮其檢錯能力。評價安全碼檢錯能力的參數主要是殘余錯誤概率,即消息的損壞錯誤沒有被安全碼檢測出來的概率。

精確的計算或實驗測量殘余錯誤概率是非常復雜的,目前通常只估計其上限。對于二進制對稱信道,最常用的估計公式為～R=2-r,其中 r為安全碼的長度 (二進制位數)。

但是,應用此公式有 2個約束條件:①假設通信的誤碼率范圍是 0≤ε≤0.5;②對于所有0≤ε≤0.5,R(ε)≤R(0.5),即安全碼在誤碼率為0.5時的殘余錯誤概率最大。

安全碼對消息損壞的防御是可以進行定量分析的,而對其他防御技術只需要進行定性分析。因此,在安全相關功能的 SIL等級確定后,定量估計安全碼的殘余錯誤概率是必要的。目前,有 2種方式可以計算給定 SIL等級對安全碼的殘余錯誤概率的要求。

第 1種,如 EN50195-2描述,以每個安全相關應用功能為基礎進行風險分析,從而計算出安全通信對各種防御技術有效性的要求。使用這種方法的前提是安全應用功能需求完全確定,而如果安全應用功能需求不明確則很難做出準確的假設。

第 2種,以 IEC61784-3為代表,不對指定安全相關應用功能進行分析,而直接對系統整體安全完整性等級應用 1%原則,即安全通信對安全功能的失效只有 1%的貢獻。例如,如果系統最高 SIL等級為 4級 (每小時危險失效率滿足≥10-9,且＜10-8),則要求安全通信每小時殘余錯誤率滿足≥10-11,且 ＜10-10。每小時殘余錯誤率的大小由安全碼殘余錯誤概率決定。單通道且不考慮低層通信檢錯效果的情況下,計算每小時殘余錯誤率公式為:Λ(∈)=R(∈)·υ·(m-1),其中 υ為每小時最大安全消息個數;m為安全通信參與者個數。再通過安全碼殘余錯誤概率上限的估計式即可得出對安全碼長度的要求。

4 開放通信系統安全碼應用舉例

CTCS-3級列控系統的車-地之間通過 GSM-R無線網進行通信,是典型的開放安全通信系統,因此其安全碼既要防御安全相關消息損壞,也要防御消息偽裝威脅。

根據列控車載設備和 RBC接口規范的規定,車-地安全通信的安全碼使用 3DES消息認證碼(MAC)。這是一種帶加密的安全碼,既可以檢測消息的損壞錯誤也可以屏蔽非授權接入方發送的偽裝消息。

由于無法估計惡意攻擊的頻率,因此對偽裝威脅防御的精確分析是比較困難的。由表 2知 3DES算法的等價保密性為 112,但此參數只給出一個相對的量值,因此有必要找到表 2中某種算法的絕對保密性。由于 DES加密算法目前已經比較成熟,可以對密鑰被破解的時間有一個大概的估計。根據Subset-038的估算,在假設摩爾定律在 25年內有效的前提下,使用價值 25萬美元的專用計算機找到 3DES算法 168位密鑰的時間為 1.1×1030h。可見,如果密鑰的生成、存儲、分發等管理過程能夠做到絕對的保密,3DES消息認證碼本身可以保證有效防御偽裝威脅。

3DES消息認證碼的殘余錯誤概率可以通過公式 ～R=2-r進行粗略估計,其長度 r=64,可得殘余錯誤概率估計值為 ～R=2-64。假設每小時最大安全消息個數 υ=(3600×100);安全通信參與者個數 m=2,即端對端通信,則每小時殘余錯誤率估計為 ～Λ=2-64· (3600×100)·(2-1)=1.95×10-14。SIL4級安全功能要求安全通信每小時殘余錯誤率滿足≥10-11且 ＜10-10,可見使用 3DES消息認證碼是可以滿足此要求的。

5 結束語

開放通信系統進行安全信息傳輸時需要采用多種威脅防御技術,而安全碼是各種技術的基礎。帶加密安全碼既可以檢查安全消息是否被損壞,而且可以防御開放通信系統所特有的偽裝威脅。其中,安全碼檢錯性能可以進行量化分析,因此可以定量判斷是否滿足指定安全完整性等級要求。而安全碼防御偽裝威脅的能力主要由加密算法的保密性和密鑰的管理過程決定。安全碼的生成主要依據以上兩方面進行。經過對 CTCS-3級列控系統的車-地安全通信的安全碼進行分析表明:選擇使用 3DES消息認證碼對安全相關消息進行認證可以有效的防御偽裝消息的威脅,并且其檢錯性能滿足 SIL4級安全功能的需求。

公式 ～R=2-r只是對殘余錯誤概率的一種粗略估計,研究能夠更精確的計算安全碼殘余錯誤概率的方法是將來的一項工作。

[1］ 運基信號[2010]224號.CTCS-3級列控系統無線通信功能接口規范[S].中華人民共和國鐵道部,2010.

[2］ 運基信號[2010]267號.RSSP-II鐵路信號安全通信協議[S].中華人民共和國鐵道部,2010.

[3］ CENELECEN50159-1.Railway Applications:Communication,signalling and processing system,Part 1:Safetyrelated communication in closed transmission system s[S],2001.

[4］ IEC 61784-3:Digital Data Communications for Measurement and Control-Part 3:Profiles for Functional Safety Communications in Industrial Networks[S],2005.

[5］ CENELECEN50159-2.Railway Applications:Communication,signalling and processing system,Part 2:Safety-related communication in open transmission system s[S],2001.

[6］ CENELEC EN50129.Railway Applications:Safety Related Electronic Systems for Signalling[S],1999.

[7］ Mária FRANEKOV?,Safety Security Profile of Industry Networks Used in Safety-critical App lications.Transport Problems,Vol 4,Part 1[J],2008.

[8］ B?rcs?k J.,Hannen H.-T.Determination of Bit Errorand Residual Error Rates for Safety Critical Communication.Second International Conference on Systems and Networks Communications(ICONS'07).French Riviera,2007.

[9］ Jack K.Wolf,Arnold M.Michelson,Allen H.Levesque.On the Probability of Undetected Error for Linear Block Codes.IEEE Transactions on Communications,Vol.COM-30,NO.2,1982.

[10］ ERTMS/ETCS Class 1:Off-line Key Management FIS(Subset-038).[S],2005.

[11］ Schiller,F.,T.Mattes.An efficientmethod to evaluate CRC polynom ials for safety-critical industrial communication.In:11th Int.Symposium on System-Modelling-Control,Zakopane,Poland,2005.