轨道交通车载信号控制系统用的信息安全保密方法及装置与流程

本发明涉及一种信息安全保密方法及装置，尤其是涉及一种轨道交通车载信号控制系统用的信息安全保密方法及装置。

背景技术：

基于通信的轨道交通列车控制系统，其车载控制器通过车地无线系统，与轨旁系统进行通信，获取与列车运行控制相关的信息，并进行列车控制计算，输出列车控制命令。其传输的物理介质存在于开放的空间范围内，存在一定的非授权接入风险，其安全通信标准需符合en50159-2中所规定的要求。目前车地无线的通信层仅采用了通用的标准加密技术，但传输的与列车运行控制相关应用消息仅采用了完整性检查技术，为了提高应用层信息安全性，需增加应用层加密技术，以提升车载信号控制系统的整体信息安全水平。

技术实现要素：

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种轨道交通车载信号控制系统用的信息安全保密方法及装置。

本发明的目的可以通过以下技术方案来实现：

一种轨道交通车载信号控制系统用的信息安全保密方法，该方法在基于通信的列车控制系统中的车载信号系统部分增加国产密码防护技术，车载信号系统增加了国产密码防护技术后，其保密方法的工作流程包括芯片灌入阶段、更新证书吊销列表阶段、身份认证及会话密钥协商阶段、应用数据通信阶段。

优选地，所述的国产密码防护技术包括增加国产密码芯片硬件和软件，芯片接口为总线接口或usb接口，且采用sm1、sm2和sm3国产密码算法。

优选地，若轨旁信号系统也具备国产密码防护技术时，可通过车载信号系统的数据配置自动或手动启用国产密码加解密功能，实现端到端的应用数据加解密。

优选地，所述的芯片灌入阶段具体为：

每个密码芯片在装载到车载信号系统设备前，通过信息安全认证管理系统，在ca服务器上线下对密码芯片灌装唯一的身份证书、公钥/私钥密码对及ca服务器公钥和根证书，使ca服务器将其身份证书放入数据库中，完成灌装后，即集成到车载设备负责对外通信的板卡中。

优选地，所述的更新证书吊销列表阶段具体为：

车载应用设备通过国产密码芯片向pki/ca服务器更新身份证书吊销列表，以便在后续的身份认证阶段确认对应的设备证书仍然有效。

优选地，所述的身份认证及会话密钥协商阶段，其中车载设备总是作为客户端，与轨旁设备进行会话密钥协商，其具体过程为：

①车载设备上电初始化；

②初始化时，向车载配置中的所有轨旁设备发起身份认证与sm2会话密钥协商，同时，密码芯片完成sm3消息完整性检验；

③国产密码芯片向车载信号系统返回身份认证成功消息，进入下一步骤，如不成功则由车载信号系统重新发起身份认证与会话密钥协商；

④车载信号系统在会话密钥协商过程中，在发出请求后的设定时间内，如未收到轨旁系统的回复，则认为通信超时，由车载信号系统重新发起身份认证与会话密钥协商；

⑤车载信号系统在会话密钥协商过程中，在发出请求后的设定时间内，如收到轨旁系统的消息格式出错，则由车载信号系统重新发起身份认证与会话密钥协商；

⑥车载信号系统与轨旁系统确认会话密钥协商成功，如不成功，则由车载信号系统重新发起身份认证与会话密钥协商；

⑦如成功，车载信号系统将会话密钥存入系统内存中。

优选地，所述的应用数据通信阶段，具体为：

①车载信号系统在发送应用数据前，通过密码芯片进行sm1加密，加密完成后再进行数据传输；

②车载信号系统在接收应用数据时，先通过密码芯片进行sm1解密，解密完成后再进行应用数据处理；

③在sm1加解密同时，密码芯片完成sm3消息完整性检验。

一种轨道交通车载信号控制系统用的信息安全保密装置，包括两两之间通过骨干网连接的车载信号系统、轨旁设备和pki/ca服务器，所述的车载信号系统设有与骨干网连接的车载国产密码芯片，所述的轨旁设备设有与轨旁设备连接的轨旁国产密码芯片。

优选地，所述的车载信号系统的应用层设备包括安全逻辑处理模块、非安全处理模块、输入/输出模块和外挂设备，所述的非安全处理模块与车载国产密码芯片集成，所述的车地通信的应用数据包由非安全处理模块经过车载国产密码芯片加密后，通过列车上的无线通信设备发送到轨旁设备；从轨旁设备收到的数据包，由非安全处理模块经过密码芯片解密，再进行安全或非安全功能的处理。

与现有技术相比，本发明具有以下优点：

1)在信号系统车地无线通信的端到端应用层设备应用数据加密技术，提升车地无线通信的信息安全水平。

2)基于可信计算技术原理和国产密码芯片、国产密码算法支撑，充分应用sm1/sm2/sm3算法。

3)证书签发、身份认证、密钥管理、数据加解密、信息完整性一体化应用层应用方案。

4)密钥动态协商机制，提高信息安全性，避免设备单点故障

5)最大限度保持信号系统既有架构，系统功能和功能安全等级不受影响。

附图说明

图1为加密芯片灌入示意图；

图2为维护更新证书列表阶段示意图；

图3为身份认证与会话密钥协商流程图；

图4为车载设备结构示意图；

图5为应用层加解密整体流程示意图；

图6为加密层在车载系统应用层中的数据层次结构示意图；

图7为应用层加解密举例示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

本方案在基于通信的列车控制系统(包括但不限于cbtc系统、具备车地通信功能的ctcs系统、etcs系统、itcs系统和ptc系统等)中的车载信号系统部分增加中国国产密码防护技术，包括增加国产密码芯片硬件和软件，芯片接口为总线接口或usb接口或其它数字接口，采用sm1，sm2和sm3国产密码算法。若轨旁信号系统也具备国产密码技术时，可通过车载系统的数据配置自动或手动启用国产密码加解密功能，实现端到端的应用数据加解密。车载信号系统增加了国产密码防护技术后，其实现流程包括证书认证、更新、吊销、身份认证、会话密钥协调、加解密等步骤，以下以国产密码芯片硬件进行密码保护方式进行具体描述，采用软件方式与此类似。

车载系统加装了国产密码芯片后，其系统工作流程分为芯片灌入阶段、更新证书吊销列表阶段、身份认证及会话密钥协商阶段、应用数据通信阶段：

1)芯片灌入阶段，如图1所示：

每个密码芯片在装载到车载系统设备前，操作人员应通过信息安全认证管理系统，在ca服务器上线下对密码芯片灌装唯一的身份证书、公钥/私钥密码对及ca服务器公钥和根证书，使ca服务器将其身份证书放入数据库中。完成灌装后，即集成到车载设备负责对外通信的板卡中。

2)更新证书吊销列表阶段，如图2所示：

车载应用设备通过国产密码芯片向pki/ca服务器更新身份证书吊销列表，以便在后续的身份认证阶段确认对应的设备证书仍然有效。

3)身份认证与会话密钥协商阶段，车载设备总是作为客户端，与轨旁设备进行会话密钥协商，流程图如图3所示：

①车载设备上电初始化，

②初始化时，向车载配置中的所有轨旁设备发起身份认证与sm2会话密钥协商(同时，密码芯片完成sm3消息完整性检验。)

③国产密码芯片向车载系统返回身份认证成功消息，进入下一步骤，如不成功则由车载系统重新发起身份认证与会话密钥协商，

④车载系统在会话密钥协商过程中，在发出请求后的一定时间内，如未收到轨旁系统的回复，则认为通信超时，由车载系统重新发起身份认证与会话密钥协商，

⑤车载系统在会话密钥协商过程中，在发出请求后的一定时间内，如收到轨旁系统的消息格式出错，则由车载系统重新发起身份认证与会话密钥协商，

⑥车载系统与轨旁系统确认会话密钥协商成功，如不成功，则由车载系统重新发起身份认证与会话密钥协商，

⑦如成功，车载系统将会话密钥存入系统内存中。

4)应用数据通信阶段：

①车载系统在发送应用数据前，通过密码芯片进行sm1加密，加密完成后再进行数据传输；

②车载系统在接收应用数据时，先通过密码芯片进行sm1解密，解密完成后再进行应用数据处理；

③在sm1加解密同时，密码芯片完成sm3消息完整性检验。

如图4所示，基于通信的车载信号控制系统应用层设备由安全逻辑处理模块、非安全处理模块、输入/输出模块和外挂设备组成.其中的非安全处理模块与密码芯片进行集成，车地通信的应用数据包由非安全处理模块经过密码芯片加密后，通过列车上的无线通信设备发送到轨旁信号系统；从轨旁信号系统收到的数据包，由非安全处理模块经过密码芯片解密，再进行安全或非安全功能的处理。

本发明的车载系统应用设备，在每次设备上电时，首先与pki/ca服务器进行通信，更新证书吊销列表；然后，车载系统作为客户端，向轨旁所有设备发起身份认证及会话密钥协商请求，经过车地双方的会话密钥协商后，形成唯一的会话密钥。比如车载设备在上电初始化时，对系统中存在的轨旁设备依次进行会话密钥协商：先与轨旁设备1的网关a配对生成了唯一的会话密钥a1，与轨旁设备的网关b配对生成了唯一的会话密钥b1；然后再与轨旁设备2的网关a配对生成了唯一的会话密钥a2，与轨旁设备2的网关b配对生成了唯一的会话密钥b2，如图7所示。在与所有轨旁设备获得了会话密钥后，车载系统完成初始化，可以用此会话密钥作为sm1加解密的密钥与轨旁各子系统进行应用数据通信。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。