一种车地无线通信加密方法与装置

柴 涌，汪小勇，李春梅

（卡斯柯信号有限公司，上海 200071)

1 概述

城市轨道交通信号系统一般由列车自动控制系统、计算机联锁控制系统、列车自动监控系统、通信传输系统以及外围通用信号设备组成，它是城市轨道交通系统中保证行车安全，缩短列车运行间隔，提高列车运行质量的先进控制设备。其中，列车监控系统与列车控制系统之间通过基于自由无线（FREE-Wi-Fi）或长期演进（Long Term Evolution，LTE）的车地无线系统进行通信，交互列车状态请求与报告信息，其传输介质为开放的物理空间，存在包括窃听、假冒、篡改、越权以及否认等危险在内的信息安全威胁。虽然目前车地无线通信的网络层采用了一些通用加密技术，但应用层上尚无密码技术应用，且一般采用欧美制定的加密算法，无法满足国家对关键系统、设备的安全、自主、可控需求，因此进行车地无线通信的信号系统也应该使用密码算法和协议，解决上述安全问题。

本方案提供了一种在列车监控系统中应用国产加密技术的方法，使用国密椭圆曲线公钥（SM2）算法建立通信关联关系和通信授权，并采用动态密钥进行管理；使用国密分组标准对称（SM1）算法对车地无线通信的数据进行加解密；并使用国密杂凑（SM3）算法对车地无线通信数据进行完整性校验，使车地无线通信数据得到可鉴别性保护、不可否认性保护、机密性保护和完整性保护，提升了车地无线通信的信息安全水平。

2 列车监控系统国产加密应用

2.1 系统结构

本方案系统结构如图1 所示，信号系统应用层设备由列车监控系统(ATS)，列车控制系统(ATC)组成，为图1 中黄色部分，在应用层设备上增加国产密码加密卡。通信层设备由通信传输系统(DCS)组成，为图1 中绿色部分。本方案在信号系统既有架构的基础上，增加公钥基础设施（Public Key Infrastructure，PKI）/认证权威机构（Certification Authority，CA）服务器，为图1中红色部分。

图1 系统结构Fig.1 System structure

PKI/CA 服务器：数字证书和身份认证的基础设施，理论上可以分为CA、注册权威机构（Registration Authority，RA）、数据库、终端实体等几个部分，支持证书格式为X.509V3，主要提供设备信息注册、证书签发、证书更新、证书废除，证书吊销列表（Certificate Revocation List，CRL）及CA 证书保存、下载等功能。

应用设备：即接入系统，本方案中为图1 中黄色设备，安装国产密码加密卡，支持SM1、SM2、SM3 等商用密码算法，可以实现通信双方身份的互相认证，动态协商会话密钥，实时建立安全通信链路，保证信息传输的可鉴别性、不可抵赖性、机密性和完整性。

2.2 工作流程

本方案首先在ATS 负责对外通信的设备上安装具有国产密码算法的加密卡，该加密卡接口为PCI-E 接口，包含支持SM1，SM2 和SM3 等国产密码算法的芯片，当位于通信两端的设备都具备国产密码技术时，即可通过启用国产密码功能，实现端到端的应用层数据加密。ATS 安装国产密码加密卡后，系统工作流程主要分为使用SM2 算法进行身份验证与会话密钥协商以及使用SM1 算法进行应用层数据加解密两大部分，SM3 算法进行完整性检验则贯穿两个部分，在所有的通信过程中实现。

1) 身份验证功能：功能示意如图2 所示。

a.线下准备：国产密码加密卡在安装到ATS相应设备前，在线下由PKI/CA 系统服务器生成并灌装私有身份证书及CA 服务器的公有身份证书，并由CA 服务器将其身份维护在数据库中。完成灌装后，即可安装到ATS 负责与ATC 通信的网关服务器中。

b.线上更新：ATS 应用软件启动时，主动调用国产密码加密卡，向CA 服务器请求更新身份证书吊销列表，并在启动后的运行时间内周期向CA 服务器请求更新。

图2 身份验证功能示意图Fig.2 Schematic diagram of authentication function

CA 服务器应即时更新数据库中的身份证书吊销列表，以保持其准确性。CA 服务器收到ATS 应用软件请求后，将数据库中的身份证书吊销列表发送给应用软件。

若ATS 应用软件成功收到CA 服务器回复的身份证书吊销列表，则将此身份证书吊销列表更新到国产密码加密卡中保存；若ATS 应用软件未能收到CA 服务器回复的身份证书吊销列表，则将继续使用之前保存在国产密码加密卡中身份证书吊销列表，视其为最新。

c.线上校验：ATS 应用软件在与ATS 建立通信前，都需要确认通信对端的设备身份证书仍然有效，才能继续进行密钥协商功能以及之后的加解密功能。否则将阻止通信连接，后续功能将均不可用。具体确认过程集成在密钥协商功能的步骤中，详见密钥协商功能第b.c.步骤。以上步骤流程如图3 所示。

2) 会话密钥协商功能：会话密钥协商阶段，列车监控系统应用软件总是作为服务端，列车控制系统总是作为客户端进行会话密钥协商。其功能示意如图4 所示。

a.设备上电启动，应用软件初始化，服务端和客户端各自创建会话接口。初始化后，客户端向服务端发起会话密钥协商请求，请求消息中包含客户端的身份证书。

图3 列车监控系统身份验证功能流程图Fig.3 Flow diagram of authentication function of train monitoring system

图4 会话密钥协商功能示意图Fig.4 Schematic diagram of conversation key negotiation function

b.服务端收到客户端请求，则开始验证客户端证书（CRL、有效期、签发者关系、以及签名数据），若验证通过则使用客户端证书，服务端证书及服务端本地生成的随机数，根据SM2 算法生成会话密钥，响应会话密钥协商请求，向客户端发送会话密钥协商回复，回复消息中包含了服务端的身份证书；若客户端证书验证未通过，则不再响应该请求。

c.如果客户端收到服务端回复，则开始验证服务端证书（CRL、有效期、签发者关系、以及签名数据），若验证通过则使用客户端的证书，服务器证书及客户端本地生成的随机数，根据SM2 算法生成会话密钥，响应会话密钥协商回复，向服务端发送会话密钥协商确认，确认消息中包含客户端产生的会话密钥；若服务端证书验证未通过，则客户端重复a.步骤，重新发起会话密钥协商请求。

如果客户端在发出请求后的一定时间内，未收到服务端回复，则客户端重复a.步骤，重新发起会话密钥协商请求。

d.服务端收到客户端确认，则对会话密钥协商确认进行确认，确认服务端与客户端产生的会话密钥一致。若一致，则响应会话密钥协商确认，向客户端发送会话密钥协商成功，成功消息中包含服务端产生的会话密钥；若不一致，则不再响应该请求。

e.如果客户端收到服务端成功，则对会话密钥协商成功进行确认，确认服务端与客户端产生的会话密钥一致。若一致，则默认确认会话密钥协商成功，会话密钥协商过程完成结束；若不一致，则客户端重复a.步骤，重新发起会话密钥协商请求。

如果客户端在发出确认后的一定时间内，未收到服务端成功，则客户端重复a.步骤，重新发起会话密钥协商请求。以上步骤流程如图5 所示。

3) 应用层通信数据加解密功能：功能示意如图6所示。

客户端/服务端将应用数据通过国产密码加密卡进行SM1 加密，完成后将加密数据发送至服务端/客户端。

客户端/服务端收到加密数据后，先通过国产密码加密卡进行SM1 解密，完成后再进行应用数据处理。

3 应用实例

本文描述的ATS 应用设备，在设备上电启动后，首先与CA 服务器请求更新身份证书吊销列表，并在启动后的运行时间内周期向CA 服务器请求更新。然后，ATS 作为服务器端，等待作为客户端的ATC 发起会话密钥协商请求，收到ATC 的会话密钥协商请求后，ATS 响应会话密钥协商回复，收到ATC 的会话密钥协商确认后，ATS 响应会话密钥协商成功，由此经过车地两端设备的两次握手，动态生成唯一的会话密钥。最后，ATS 与ATC 在车地通信过程中对收发数据进行加解密并完成相应业务处理。

图5 列车监控系统会话密钥协商功能流程图Fig.5 Flow diagram of conversation key negotiation function of train monitoring system

图6 应用数据加解密功能示意图Fig.6 Schematic diagram of encryption and decryption function of application data

4 总结

本文提出了一种在ATS 中应用国产加密技术的方法，加密算法使用国产密码SM1/SM2/SM3 算法，加密设备使用国产密码加密卡，使得车地无线通信数据得到可鉴别性保护、不可否认性保护、机密性保护和完整性保护，提升了车地无线通信的信息安全水平。实际应用结果表明，与现有技术相比本方法具有以下优点。

1) 加密算法使用国产密码SM1/SM2/SM3 算法，加密设备使用国产密码加密卡，符合国家在重点行业中推广国产密码应用的趋势，有利于自主可控。

2) 在ATS 的应用层设备上使用数据加密技术，极大的提升了车地无线通信的信息安全防护能力。

3) 通信链路采用动态密钥协商机制，相较于固定密码实时性更强，安全性更高。

4) 通信过程同时集成身份鉴权机制，增加对设备和权限的验证。

5) 保持信号系统既有架构、功能、安全等级不受影响。