基于LTE和《RSSP-I铁路信号安全通信协议》的互联互通CBTC系统车地安全通信方案分析

徐国平 吕新军

(卡斯柯信号有限公司， 200070， 上海//第一作者,工程师)

基于通信的列车控制(CBTC)系统已成为我国城市轨道交通信号系统的主流制式。其中，无线通信系统为CBTC车地间提供了安全、可靠、实时的双向数据通信。目前，针对车地安全通信，我国各信号供应商均采用各自不同的解决方案，即采用私有的安全协议。随着城市轨道交通信号系统的发展，车地安全通信需采用统一的标准安全协议来满足互联互通发展的需求。

原铁道部在2010年制定并发布了《RSSP-I铁路信号安全通信协议(V1.0)》(以下简称《RSSP-I安全协议》)[1]和《RSSP-II铁路信号安全通信协议(V1.0)(以下简称《RSSP-II安全协议》)[2]。上述协议广泛应用于铁路系统轨旁安全设备之间的安全通信[3]。例如：CTC(中央调度集中)和临时限速服务器、临时限速服务器和临时限速服务器之间的接口均采用RSSP-II安全协议。而车载和轨旁之间的接口一直沿用SUBSET—037《欧洲无线电系统功能接口规范》。文献[4]首次对《RSSP-II安全协议》应用于城市轨道交通ATS(列车自动监控)和VOBC(车载控制器)之间的安全通信进行了研究，并在仿真环境下对其进行了功能性测试和验证。

1 《RSSP-II安全协议》应用分析

重庆、北京等城市陆续开展了城市轨道交通互联互通CBTC系统的工程建设。其中，重庆首个互联互通项目选用《RSSP-II安全协议》来实现车地间的数据安全通信。

《RSSP-II安全协议》在传输层采用面向连接的TCP(传输控制协议)栈，项目应用中遇到的主要问题如下：

(1) TCP栈自身比较复杂，互联互通各信号供应商在理解或实现底层协议栈时容易出现不一致，导致双方信号设备无法建立连接或连接不正常，影响车地信号设备之间的安全数据传输。

(2) 由于车地无线通信需要在高速移动环境下不断切换无线接入点，且目前城市轨道交通LTE(长期演进)使用的专有频段与相邻的移动通信之间存在临频干扰，不可避免地存在数据丢包的情况。而TCP栈具有重传机制,当检测到传输丢包时，TCP栈会等待丢失数据包重传，在此期间，即使收到新数据包，TCP栈也不会向上层传输，这样会加剧数据包的通信延迟，以及降低数据传输的实时性能。如果该延时超过数据传输的容忍时间，将会影响或中断系统的正常运营。

因此，基于TCP/IP(互联网协议)栈的《RSSP-II安全协议》并不是互联互通车地安全通信的最佳解决方案，需要寻求一种更优的车地安全通信替代方案，并在后续各地互联互通项目中推广应用。

2 车地安全通信方案

2.1 标准要求

互联互通CBTC系统车地之间无线通信因其传输的物理介质存在于开放的空间，属于开放式通信系统，应符合文献[5]开放式通信系统中类型3的要求。文献[5]推荐的安全通信系统架构如图1所示。安全应用和安全通信系统要求遵循文献[6]的要求，部署在功能安全相关的设备中；而安全加密技术和传输系统可以部署在非功能安全相关的设备中。

图1 安全相关通信系统架构

2.2 方案设计

相较于TCP，UDP(用户数据包协议)是一种无连接的协议，它具有协议简单、传输快、效率高等优势，更适合于对实时性要求较高的车地安全通信。

考虑到基于UDP/IP栈的《RSSP-I安全协议》源自于阿尔斯通公司的《FSFB/2安全协议》，已广泛应用于大铁路信号系统轨旁设备之间的安全通信，因此互联互通CBTC系统车地安全通信解决方案直接采用《RSSP-I安全协议》来执行安全通信，并分别部署在与功能安全相关的车载和地面信号设备中。

车地无线通信采用成熟的LTE技术。该技术具备高可靠的抗干扰能力，可满足互联互通CBTC系统车地之间数据在高速移动环境下的稳定传输[7]。同时，针对空口消息的伪装风险，可采用安全加密技术防护，将其直接部署在TAU(车载终端)和BBU(轨旁基带单元)上来实现鉴权和加密机制，保障车地无线通信的信息安全。安全加密技术采用满足LTE国际加密标准的国密算法——祖冲之(ZUC)算法。

因此，基于《RSSP-I安全协议》和LTE的互联互通CBTC系统车地安全通信方案总体结构如图2所示。

注：RRU表示轨旁的射频单元;EPC表示演进分组核心网

对车地设备安全数据通信过程的描述如下：

(1) 车载安全设备中的安全应用模块执行安全计算，将需要发送给轨旁的安全数据提交给RSSP-I安全通信模块，由安全通信模块处理成RSSP-I安全通信包，并通过接口A发送给LTE车载移动终端。

(2) LTE车载移动终端采用128位祖冲之加密算法对RSSP-I安全通信包在PDCP(分组数据汇聚)层进行加密，转换成密文后通过空口(接口B)发送至RRU和BBU。

(3) BBU接收到密文包后采用相同的128位祖冲之加密算法在PDCP层进行解密，转成明文形式的RSSP-I安全通信包，通过EPC传输给轨旁安全设备。

(4) 轨旁安全设备中的安全通信模块接收到RSSP-I安全通信包后，立即进行安全协议解析和验证，并将验证通过的安全数据提交给安全应用模块来执行计算。

(5) 轨旁安全设备中的安全应用模块将处理完后需要发送给车载的安全数据提交给RSSP-I安全通信模块，由安全通信模块处理成RSSP-I安全通信包后，再通过EPC传输给BBU。

(6) BBU接收到RSSP-I安全通信包后，采用128位祖冲之加密算法对其在PDCP层进行加密，转换成密文后通过RRU和空口(接口B)发送至LTE车载移动终端。

(7) LTE车载移动终端接收到密文包后，采用相同的128位祖冲之加密算法在PDCP层进行解密，转成明文形式的RSSP-I安全通信包，再通过接口A发送至车载安全设备。

(8) 车载安全设备中的安全通信模块接收到RSSP-I安全通信包后，进行安全协议解析和验证，并将验证通过的安全数据提交至安全应用模块进行处理。

祖冲之加密算法参见文献[8]。

3 方案分析

互联互通CBTC系统车地无线通信传输的物理介质存在于开放的空间，属于开放式通信系统，应符合文献[5]中开放式通信系统的要求。

新的车地安全通信方案采用《RSSP-I安全协议》执行安全通信。该协议提供了序列号、时间戳、超时、源标识、反馈信息和双重校验技术等防御措施，可以有效防护开放式通信系统中要求的除伪装以外的重复、丢失、插入、错序、错码、延迟等6种风险[1]。

互联互通CBTC系统车地通信采用无线传输，其中的空口，即接口B(见图2)存在消息被伪装的风险。针对该风险，新的车地安全通信方案采用成熟的LTE技术，通过在TAU和BBU上部署安全加密技术对空口消息进行加密处理。数据加密传输模型如图3所示。安全加密技术采用ZUC算法，由于该算法采用素域GF(231-1)上的本原序列设计，具有非常高的安全特性，可有效抵抗各种已知序列密码分析方法，从而起到防护消息被伪装的风险。

因此，结合了LTE和《RSSP-I安全协议》的互联互通CBTC系统车地安全通信的新方案可以有效防护开放式通信系统中的七种风险(见表1)，来满足文献[5]中定义的开放式通信系统的安全要求。

图3 移动终端数据加密传输模型

危险情形序列号时间戳超时源标识反馈报文双重校验LTE加密技术重复√丢失√插入√√√错序√错码√√延迟√√√伪装√注:符号“√”表示该措施已被采用来防护相应的风险

相较于现有的《RSSP-II安全协议》方案，新方案采用基于简单UDP/IP的《RSSP-I安全协议》处理安全通信，可以有效解决目前互联互通项目中由于车地通信数据包丢失而带来的安全通信问题，也简化了车地安全通信实现互联的复杂度。同时，该方案将伪装防护所需的加密技术部署在成熟的LTE标准设备，这种分布式架构有利于今后不同信号设备厂商之间实现互联，从而形成标准的互联互通车地安全通信系统，也有利于今后加密技术的维护和扩展。

4 结语

通过分析可知，基于LTE技术和《RSSP-I安全协议》的互联互通CBTC系统车地安全通信方案符合相关标准推荐的安全相关通信系统架构，满足开放式通信系统的安全要求。目前，该方案已经在室内试验环境下完成测试验证，计划首次应用于呼和浩特地铁1号线和2号线互联互通CBTC信号系统工程项目。未来将通过上述项目的车地通信数据监控和分析进一步验证该方案实际应用的性能。