admin GSM-R作为高速铁路客运专线车载设备与地面设备通信的重要传输通道,承载着安全数据及非安全数据的传输。然而对于GSM-R网络来说,由于其频率的公开性,很难防范一些巧合或者是恶意
的信息登录该网络,并以此来控制列车,甚至引起重大的行车事故。因此,采用合适的加密技术对保证列车通信网络的安全是非常必要的。
CTCS-3级列控系统采用在无线信息传输中加入了KMC(密钥管理中心),在网络传输的发信端和收信端分别进行加密与解密处理的方式,来保证列车运行安全信息的可靠传输。
一、密钥原理
密钥是一种参数,它是在明文(原始信息)转换为密文或密文转换为明文的算法中输入的数据。密钥分为2种:对称密钥和非对称密钥。
对称密钥加密,又称私钥加密,即信息的发送方和接收方用—个密钥去加密和解密数据。它的最大优势是加密解密速度快,适合于对大数据量进行加密,但密钥管理困难。
非对称密钥加密,又称公钥密钥加密。它需要使用—对密钥来分别完成加密和解密操作。一个公开发布,即公开密钥,另一个由用户自己秘密保存,即私用密钥。
由此可知,传递密钥比较安全的做法是采用非对称加密体制,即用己方私钥和对方公钥进行双重签名加密,对方用其私钥和己方公钥进行解密处理。然而采用这种方法来传递密钥比较麻烦,实现起来非常困难,不仅要求通信双方要有己方的公钥和私钥,而且还要获得对方的公钥。公钥和私钥的产生比较复杂和困难,而且通常还需要有作为公证的第三方介入。目前绝大多数的通信双方都没有这些条件,并且它们之间的通信绝大多数是一次性的。因此考虑到上述原因,往往不采用非对称加密体制,而仍然采用实现方法和途径都相对简单和容易得多的对称加密体制。
二、DES分析
DES(对称加密算法)使用一个56位的密钥作为加密的基本单元,然后利用循环冗余校验附加的8位奇偶校验位,产生最大64位的密钥分组。这是一个迭代的分组密码,使用称为Feistel的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES使用16个循环。
攻击DES的主要形式被称为蛮力的或彻底密钥搜索,即重复尝试各种密钥直到有一个符合为止。如果DES使用56位的密钥,则可能的密钥数量是2的56次方个。随着计算机系统计算能力的不断提高,DES的安全性比它刚出现时会弱得多,然而从非关键性质的实际出发,仍可以认为它是足够的。
三、密钥管理中心
1、密钥管理分析
合理的密钥管理在密钥的分配中起到关键作用,目前我国客运专线采用数据的加密方式为传统的DES加密,并且建立密钥管理中心(KMC)对有限的密钥进行合理分配,使用时将公共授权证书
AC发送给相应的信元和信宿,通过密钥和认证双重管理达到对信息的安全管理。
密钥管理中心利用密钥产生器随机产生相互匹配的密钥,发送给相应的信元以及信宿,使信元和信宿同时得到用于信息传输的公共密码。当密钥使用任务结束后,密钥管理系统收回相应的密钥使用权,送入相应的密钥机。
根据以上的算法和密钥管理中心分析,可以建立一套由铁道部为顶级管理,4个客专调度所为主管理的密钥管理系统,如图1所示。
铁道部作为根密钥系统产生相应的密钥和认证CA传给相应的客专调度所,客专调度所通过同样的加密方式产生相应的主密钥系统,同样产生密钥发送给每条客运专线所属调度中心,产生工作密钥,每条注册的动车组根据所属客运专线产生的密钥和相应的CA完成列车的注册。
2、密钥系统描述
密钥管理系统图如图2所示。
根密钥系统的主要功能是生成系统最初的原始密钥,利用相应的算法由系统自动分配。主密钥系统则用分散因子对根密钥进行分散加密,得到主密钥,最后将分配得到的工作密钥发送给注册的动车组。
系统在生成相应的密钥时,同时生成相应的认证密钥,将其存储在相应的认证卡中,以控制和配合密钥卡的使用。密钥卡必须通过其认证卡的相互认证(外部认证)后才能正常使用;而密钥认证卡使用的合法性由列车识别号正确核对后才可以使用。
小知识之SM-R
属于专用移动通信的一种,专用于铁路的日常运营管理,是非常有效的调度指挥通信工具。GSM-R(Global System for Mobile Communications - Railway或GSM - Railway)系统是专门为铁路通信设计的综合专用数字移动通信系统。它在GSMPhase2+的规范协议的高级语音呼叫功能,如组呼、广播呼叫、多优先级抢占和强拆业务的基础上,加入了基于位置寻址和功能寻址等功能,适用于铁路通信特别是铁路专用调度通信的需要。主要提供无线列调、编组调车通信、区段养护维修作业通信、应急通信、隧道通信等语音通信功能,可为列车自动控制与检测信息提供数据传输通道,并可提供列车自动寻址和旅客服务。
