郭 偉，閆連山，王小敏，陳建譯，李賽飛

(1.西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院，四川 成都 610031；2.廣州鐵路(集團(tuán))公司 電務(wù)處，廣東 廣州 510088)

中國(guó)列車控制系統(tǒng)第三級(jí)CTCS-3 (Chinese Train Control System of Level 3)是我國(guó)針對(duì)300 km/h及以上速度的客運(yùn)專線所規(guī)劃和制定的列控技術(shù)標(biāo)準(zhǔn)體系。有別于以往局限在專網(wǎng)內(nèi)部的傳輸方式，CTCS-3級(jí)列控系統(tǒng)是以無(wú)線閉塞中心RBC (Radio Blocking Center)生成相應(yīng)的列車行車許可命令，通過(guò)GSM-R(GSM for Railway)傳送至列車，并以此控制列車運(yùn)行，因此對(duì)數(shù)據(jù)傳輸?shù)陌踩杂袠O高要求。作為面向鐵路應(yīng)用的專用移動(dòng)通信系統(tǒng)，GSM-R的安全機(jī)制完全繼承自公網(wǎng)GSM系統(tǒng)，而后者在實(shí)際使用中已經(jīng)暴露出了諸多安全缺陷，無(wú)法滿足列控系統(tǒng)信號(hào)安全通信的需求[1-2]。為此，我國(guó)參考?xì)W洲列車控制系統(tǒng)ETCS (Europe Train Control System)系列規(guī)范[3-5]，于2008年制定了《CTCS-3級(jí)列控系統(tǒng)規(guī)范：鐵路信號(hào)安全通信協(xié)議-Ⅱ》(RSSP-Ⅱ，Railway Signal Safety Protocol-Ⅱ)[6]及其配套子協(xié)議[7]，規(guī)定了信號(hào)安全設(shè)備之間通過(guò)開(kāi)放式網(wǎng)絡(luò)進(jìn)行安全相關(guān)信息交互的功能結(jié)構(gòu)和協(xié)議。RSSP-Ⅱ協(xié)議的層次如圖1所示，其中消息鑒定安全層和安全應(yīng)用中間子層被用于提供安全服務(wù)。

消息鑒定安全層MASL (Message Authentication Safety Layer)的主要功能是為通信報(bào)文附加消息鑒別碼MAC (Message Authentication Code)，從而實(shí)現(xiàn)對(duì)通信報(bào)文的數(shù)據(jù)源鑒別及完整性保護(hù)，防范可能的偽造和篡改。MASL層所采用的MAC方案(以下簡(jiǎn)稱為MASL-MAC)是基于ISO/IEC 9797-1標(biāo)準(zhǔn)[8]所給出的CBC-MAC建議方案3(通常稱為ANSI Retail MAC)改進(jìn)而來(lái)，底層分組密碼為DES算法。安全應(yīng)用中間子層SAI (Safe Application Intermediate sub_layer)的主要功能是為通信數(shù)據(jù)包添加序列號(hào)SN(Sequence Number)、執(zhí)行周期EC(Execution Cycle)計(jì)數(shù)器或三重時(shí)間戳TTS(Triple Time Stamp)校驗(yàn)標(biāo)志符，防范對(duì)通信數(shù)據(jù)包的重復(fù)、亂序、插入、刪除和延遲。結(jié)合SAI層所附加的上述校驗(yàn)標(biāo)志符，改進(jìn)后的MASL-MAC方案可以較好地抵御針對(duì)ANSI Retail MAC的各類已知攻擊。

作為我國(guó)CTCS-3級(jí)列控通信系統(tǒng)的核心安全協(xié)議，RSSP-Ⅱ協(xié)議的安全性對(duì)高速鐵路的運(yùn)營(yíng)安全起到了至關(guān)重要的作用，而消息鑒別碼方案又可被視為整個(gè)協(xié)議安全功能的核心。本文將從RSSP-Ⅱ協(xié)議所采用的消息鑒別碼方案入手，對(duì)RSSP-Ⅱ協(xié)議的安全性展開(kāi)研究。

1 消息鑒別碼及其安全性

消息鑒別碼作為密碼本源之一，是實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)據(jù)源鑒別的重要工具。在針對(duì)MAC方案的分析中，通常包括三方，即消息的發(fā)送者、接收者以及敵手。發(fā)送方和接收方將使用同一個(gè)共享密鑰，并依據(jù)同樣的MAC算法，分別計(jì)算得到一段認(rèn)證標(biāo)簽(通常稱為MAC值或Tag)，接收者通過(guò)比對(duì)收到的標(biāo)簽和計(jì)算得到的標(biāo)簽，即可以判斷消息是否被篡改。敵手的目標(biāo)則是欺騙接收者接收并非由發(fā)送者所發(fā)送的消息。依據(jù)攻擊所用的消息，敵手的攻擊條件可以分為[9]：

(1)已知明文攻擊：敵手能夠得到一些消息及對(duì)應(yīng)的MAC值。

(2)選擇明文攻擊：敵手能選擇一些消息，并得到對(duì)應(yīng)的MAC值。

(3)自適應(yīng)選擇明文攻擊：攻擊者先選擇一個(gè)消息，并得到相應(yīng)的MAC值，下一個(gè)消息的選擇依賴以前的消息和MAC值。

敵手通?？梢酝ㄟ^(guò)在線監(jiān)聽(tīng)等方式，輕松掌握大量已知明文及其MAC值，而選擇明文攻擊則要求敵手能夠有機(jī)會(huì)使用加密機(jī)，這一條件在真實(shí)場(chǎng)景中極難實(shí)現(xiàn)。

敵手的攻擊目標(biāo)包括：

(1)存在性偽造：敵手在不知道密鑰的情況下，可以構(gòu)造新消息的MAC值，但無(wú)法指定消息的內(nèi)容，因此這一消息可能沒(méi)有任何意義。

(2)選擇性偽造：敵手可以確定其選擇消息的MAC值。

(3)通用性偽造：敵手可以計(jì)算任意消息的MAC值。這一攻擊較前兩種情況更具威脅。

(4)密鑰恢復(fù)：敵手一旦成功恢復(fù)出密鑰，即可進(jìn)行任意偽造。因此密鑰恢復(fù)比偽造攻擊更具破壞性，理想情況下，密鑰恢復(fù)具有窮搜索攻擊的復(fù)雜度。

在對(duì)實(shí)際系統(tǒng)的攻擊中，存在性偽造所得到的消息可能毫無(wú)意義，因此通常無(wú)法構(gòu)成直接威脅，但如果敵手能夠在已知明文條件下，在當(dāng)前計(jì)算邊界條件內(nèi)實(shí)現(xiàn)通用性偽造或密鑰恢復(fù)，則將對(duì)方案安全性構(gòu)成致命威脅。

2 MASL-MAC方案概述

CBC-MAC算法是一種以分組密碼算法為核心、基于密碼分組鏈接鏈CBC (Cipher Block Chain)模式構(gòu)造的消息鑒別碼。1999年，CBC-MAC方案成為ISO/IEC 9797-1國(guó)際標(biāo)準(zhǔn)[8]，并給出6種推薦結(jié)構(gòu)。RSSP-Ⅱ協(xié)議所采用的MASL-MAC方案即來(lái)源于其中的第3種推薦結(jié)構(gòu)(通常被稱為ANSI Retail MAC或簡(jiǎn)稱Retail MAC)，并進(jìn)行了小幅改進(jìn)。ANSI Retail MAC實(shí)際上是在原標(biāo)準(zhǔn)CBC-MAC結(jié)構(gòu)的尾部，額外增加了一輪DES解密和一輪DES加密操作，并使用不同密鑰分別完成加密和解密。MASL-MAC則在Retail MAC基礎(chǔ)上，在最后一輪加密中采用了一個(gè)全新的密鑰，從而將密鑰個(gè)數(shù)從2個(gè)增加到3個(gè)。兩種算法的詳細(xì)描述如下，結(jié)構(gòu)分別如圖2(a)和圖2(b)所示。

(a)ANSI Retail MAC

(b)MASL-MAC圖2 ANSI Retail MAC和MASL-MAC結(jié)構(gòu)示意圖

Retail MAC的密鑰由2個(gè)56位的DES密鑰組成，即K=(K1，K2)，輸入消息X則被分割為64 bit的塊D1，D2，…，Dq，若切割后的最后一個(gè)消息塊Dq的長(zhǎng)度不是64 bit，則用0補(bǔ)齊。使用DES算法，以密鑰Ki加密64 bit的消息塊Y的過(guò)程表示為DES(Ki，Y)，解密過(guò)程表示為DES-1(Ki，Y)，⊕表示按位異或運(yùn)算，最后輸出的MAC值由此得出。

( 1 )

Retail MAC的輸出變換定義為

g(x)=DES(K1，DES-1(K2，x))

( 2 )

MASL-MAC算法的密鑰由3個(gè)DES密鑰組成，即K=(K1，K2，K3)。與標(biāo)準(zhǔn)的Retail MAC的區(qū)別在于末尾的輸出變換函數(shù)g′(x)增加了一個(gè)額外的密鑰K3替代原有加密密鑰K1，g′(x)的定義如下

g′(x)=DES(K3，DES-1(K2，x))

( 3 )

3 MASL-MAC針對(duì)已有攻擊方案的改進(jìn)

目前對(duì)于CBC-MAC算法的攻擊思路，其基本思想均來(lái)源于文獻(xiàn)[10]提出的區(qū)分迭代MAC和隨機(jī)函數(shù)的通用方法，即利用生日攻擊原理得到一對(duì)MAC碰撞消息(即一對(duì)擁有相同MAC值的不同消息)，并以此識(shí)別MAC的內(nèi)部碰撞。在此基礎(chǔ)上，文獻(xiàn)[11]進(jìn)一步提出了一個(gè)針對(duì)基于DES分組密碼的Retail MAC方案的密鑰恢復(fù)攻擊，這一攻擊需要大約232.5個(gè)已知“明文/MAC”和3·256次離線計(jì)算(其中恢復(fù)K1需要257次MAC操作，恢復(fù)K2需要256次MAC操作)，來(lái)恢復(fù)出全部的112 bit密鑰。針對(duì)Retail MAC的另一類攻擊是選擇性偽造，典型方案包括文獻(xiàn)[12，13]所提的偽造攻擊等。此類攻擊需要構(gòu)造大量特定格式的選擇明文，從而依據(jù)生日悖論得到一對(duì)MAC碰撞消息，并進(jìn)行后續(xù)的拼接偽造。此類偽造攻擊無(wú)需大量的計(jì)算，但卻需要由敵手選擇特定的明文，并得到相應(yīng)的MAC值，所需的選擇“明文/MAC”對(duì)數(shù)目約為232.5。在實(shí)際環(huán)境中，這一攻擊條件極難實(shí)現(xiàn)。

有鑒于文獻(xiàn)[11]的密鑰恢復(fù)攻擊對(duì)Retail MAC方案帶來(lái)的威脅，MASL-MAC額外增加了一個(gè)密鑰K3，使得恢復(fù)密鑰K2和K3所需的計(jì)算量增加到了2112，因而總的離線MAC運(yùn)算數(shù)量也提高到了257+2112，超出了目前的計(jì)算能力邊界。

此外，RSSP-Ⅱ協(xié)議還在SAI層為消息報(bào)文額外添加了唯一序列號(hào)、EC計(jì)數(shù)器或三重時(shí)間戳等校驗(yàn)標(biāo)志符[6]。其中EC和TTS這兩種校驗(yàn)技術(shù)互斥，使用序列號(hào)和EC計(jì)數(shù)器防御機(jī)制時(shí)的SAI幀頭如圖3所示，使用序列號(hào)和TTS防御機(jī)制時(shí)的SAI幀頭如圖4所示。上述機(jī)制可以較好地防止對(duì)于消息的重放、亂序、插入和刪除。其中EC計(jì)數(shù)器或TTS機(jī)制，配合協(xié)議中對(duì)消息的傳輸延遲和應(yīng)答延遲最大值的限制，可進(jìn)一步保證消息的新鮮性與及時(shí)性。這些校驗(yàn)標(biāo)識(shí)符的存在，使得敵手即使掌握大量選擇“明文/MAC”對(duì)，并以此獲得了一對(duì)碰撞消息，但按照文獻(xiàn)[12，13]的攻擊方法，通過(guò)簡(jiǎn)單拼接得到偽造消息，其校驗(yàn)標(biāo)識(shí)符依然無(wú)法通過(guò)接收端的合法性檢驗(yàn)。

圖3 使用TTS時(shí)的SAI幀頭結(jié)構(gòu)

圖4 使用EC時(shí)的SAI幀頭結(jié)構(gòu)

表1比較了Retail MAC和MASL-MAC對(duì)已知攻擊方案的抵御能力。為敘述方便，此處引入文獻(xiàn)[8]對(duì)MAC攻擊復(fù)雜度的定義，使用四維數(shù)組(a，b，c，d)表示敵手所需要的資源， 其中：a表示所需分組

加密算法的離線MAC運(yùn)算次數(shù)；b表示已知明文攻擊條件下，所需的已知 “明文/MAC”數(shù)目；c表示選擇明文攻擊條件下，所需的選擇“明文/MAC”數(shù)目；d表示所需的在線MAC驗(yàn)證次數(shù)。

表1 MASL-MAC與Retail MAC對(duì)典型攻擊方案的抵抗能力

綜上所述，附加了SN、EC計(jì)數(shù)器或TTS時(shí)間戳等校驗(yàn)標(biāo)志符的MASL-MAC方案可以較好地抵御已知的各類攻擊方案。

4 對(duì)MASL-MAC算法的部分密鑰恢復(fù)-偽造攻擊

根據(jù)MASL-MAC算法的特點(diǎn)，提出一種全新的部分密鑰恢復(fù)-偽造攻擊方案。該方案共分為3個(gè)步驟，前兩個(gè)步驟沿用了文獻(xiàn)[11]提出的密鑰恢復(fù)攻擊思想，同樣利用生日攻擊方法得到一對(duì)MAC碰撞消息，以此識(shí)別MAC內(nèi)部碰撞并恢復(fù)出密鑰K1。步驟3中，本文所提方案并未按照文獻(xiàn)[11]的密鑰恢復(fù)攻擊思路去繼續(xù)恢復(fù)剩余的密鑰K2和K3，而是嘗試?yán)妹荑€K1得到合法的偽造報(bào)文。完整的攻擊步驟詳述如下：

步驟1尋找碰撞消息對(duì)。通過(guò)在線監(jiān)聽(tīng)，積累大量的已知“明文/MAC”對(duì)，嘗試從中找到一對(duì)MAC值碰撞的消息對(duì)M和M′，即

MAC(K1，K2，K3)(M)=MAC(K1，K2，K3)(M′)
M≠M(fèi)′

( 4 )

對(duì)于輸出摘要長(zhǎng)度為64 bit的MAC算法，該攻擊大約需要232.5組已知明文(即“明文/MAC”對(duì))，根據(jù)生日悖論，成功率約為0.63[11]。

MAC(K1，K2，K3)(M)=DES(K3，DES-1(K2，Hq))

因此，敵手可以通過(guò)比較消息M和M′的最終輸出MAC值是否相等，恢復(fù)出正確的密鑰K1，此步驟需要完成257次離線MAC運(yùn)算。

在恢復(fù)出密鑰K1以后，文獻(xiàn)[11]提出的密鑰恢復(fù)攻擊將繼續(xù)嘗試窮舉得到剩余的密鑰。因此對(duì)于Retail MAC，恢復(fù)剩下的密鑰K2需要256次MAC運(yùn)算，而對(duì)于MASL-MAC，恢復(fù)剩下的密鑰K2和K3，則需要2112次離線MAC運(yùn)算。本文所提方案則無(wú)需恢復(fù)密鑰K2和K3，而是直接利用密鑰K1進(jìn)行在線偽造。

步驟3在線偽造。敵手在掌握了正確的密鑰K1后，即可根據(jù)在線截獲的任意“消息/MAC”對(duì)，實(shí)時(shí)偽造出任意數(shù)量的擁有相同MAC值的偽造消息。

例如，敵手通過(guò)在線竊聽(tīng)，得到一個(gè)包含s個(gè)分組的消息M1=(D1‖D2‖…‖Ds)及其對(duì)應(yīng)的MAC值MAC(K1，K2，K3)(M1)。由于敵手已經(jīng)通過(guò)步驟1和步驟2得到了正確的密鑰K1，此時(shí)即可根據(jù)式( 1 )重新計(jì)算消息M1對(duì)應(yīng)的中間變量Hs的值，即

此時(shí)，必然有

MAC(K1，K2，K3)(M1)=DES(K3，DES-1(K2，Hs))

攻擊者可重新構(gòu)造一個(gè)包含t個(gè)分組的消息

MAC(K1，K2，K3)(M1)=MAC(K1，K2，K3)(M2)

( 5 )

那么必然有

( 6 )

( 7 )

( 8 )

( 9 )

則此時(shí)式( 5 )必然成立。步驟3原理示意圖如圖5所示。

圖5 攻擊步驟3原理示意圖

由此，敵手無(wú)需繼續(xù)恢復(fù)密鑰K2和K3，即可成功得到一個(gè)與消息M1具有相同MAC值的偽造消息M2。需要注意的是，偽造消息M2除了一個(gè)消息分組(即8 Byte數(shù)據(jù))需要根據(jù)式( 6 )～式( 9 )計(jì)算得到，其余分組內(nèi)容均可由敵手任意選擇，且計(jì)算消耗僅相當(dāng)于單次MAC運(yùn)算。上述攻擊中，步驟1和步驟2的復(fù)雜度與文獻(xiàn)[11]的密鑰恢復(fù)攻擊完全相同，而在步驟3中，每替換一條報(bào)文，計(jì)算消耗僅相當(dāng)于一次MAC操作。因此，本文針對(duì)MASL-MAC方案所提出的部分密鑰恢復(fù)-偽造攻擊的總攻擊復(fù)雜度為(257， 232.5， 0， 0)，這一復(fù)雜度已處于目前的計(jì)算能力邊界之內(nèi)。

基于所提攻擊方案的上述特性，敵手可以通過(guò)中間人攻擊等方式，截獲在線發(fā)送的報(bào)文，并保持原報(bào)文中的序列號(hào)、EC計(jì)數(shù)器或TTS等校驗(yàn)標(biāo)志符不變，隨后可根據(jù)報(bào)文格式要求，任意偽造用戶數(shù)據(jù)，而其中僅有一個(gè)分組的8 Byte數(shù)據(jù)需要通過(guò)計(jì)算得到。由于偽造過(guò)程的計(jì)算消耗極低，這也意味著相應(yīng)報(bào)文替換操作所帶來(lái)的延遲也極低，因此攻擊的延遲將不會(huì)對(duì)三重時(shí)間戳或EC計(jì)數(shù)器等校驗(yàn)標(biāo)志符的檢驗(yàn)造成影響，可實(shí)現(xiàn)對(duì)RSSP-Ⅱ協(xié)議所傳輸報(bào)文數(shù)據(jù)的實(shí)時(shí)在線偽造攻擊。

5 攻擊仿真示例

為了方便進(jìn)一步理解本文所提攻擊方案，并驗(yàn)證其正確性與可行性，以下給出一個(gè)仿真攻擊示例。假設(shè)實(shí)際系統(tǒng)采用的密鑰KSMAC為(K1，K2，K3)

K1=0×00 01 02 03 04 05 06 07

K2=0×07 06 05 04 03 02 01 00

K3=0×00 10 20 30 40 50 60 70

64 bit密鑰中，每字節(jié)的最高比特為奇偶校驗(yàn)位，在運(yùn)算中會(huì)被忽略掉，對(duì)加密結(jié)果無(wú)影響，因此實(shí)際密鑰長(zhǎng)度為56 bit。

表2給出了一個(gè)在未知密鑰K2和K3情況下，如何根據(jù)原始消息包構(gòu)造偽造信息的示例，其中假設(shè)消息包的SAI層使用了SN和EC作為校驗(yàn)標(biāo)志符(幀頭結(jié)構(gòu)如圖4所示)。

=0×00 00 00 00 00 00 01K=0×00 00 00 00 00 00 02

6 已知明文數(shù)量對(duì)攻擊成功率的影響

本文所提攻擊方案的成功率，實(shí)際完全取決于敵手在第一階段的數(shù)據(jù)積累過(guò)程中能否成功得到一對(duì)MAC碰撞消息。理論上，成功收集232.5個(gè)“明文/MAC”對(duì)，將有0.63的概率得到一對(duì)MAC碰撞消息，但在實(shí)際環(huán)境中，這一條件幾乎不可能實(shí)現(xiàn)。主要是因?yàn)镽SSP-Ⅱ協(xié)議共定義了3個(gè)密鑰層級(jí)[14]，從高到低分別是傳輸密鑰KTRANS、驗(yàn)證密鑰KMAC和會(huì)話密鑰KSMAC，而本方案攻擊的對(duì)象僅為最底層的會(huì)話密鑰。RSSP-Ⅱ協(xié)議規(guī)定每次建立安全連接之前，通信雙方都需要重新協(xié)商得到新的會(huì)話密鑰，而通信斷線和RBC切換等情況都將導(dǎo)致重新建立安全連接，因此會(huì)話密鑰KSMAC的生存周期相對(duì)較短。與此同時(shí)，本文所提攻擊方案的步驟1所要求收集的“明文/MAC”對(duì)，必須是由同一會(huì)話密鑰所生成。一旦會(huì)話密鑰變更，則必須重新開(kāi)始數(shù)據(jù)的積累。文獻(xiàn)[15，16]討論了CBC-MAC結(jié)構(gòu)在生日攻擊情況下的理論安全界，借用這一結(jié)論，表3給出了在不同數(shù)量已知明文情況下，找到一對(duì)MAC碰撞的理論概率。

表3 不同已知明文數(shù)量情況下的攻擊成功概率

在表3中，221(約210萬(wàn)條消息)是NIST[17]所規(guī)定的64 bit MAC算法密鑰生存周期內(nèi)的最大消息處理數(shù)目。在此情況下，預(yù)期的碰撞發(fā)生概率將低于百萬(wàn)分之一，可滿足一般安全場(chǎng)景的需求。根據(jù)CTCS-3系列標(biāo)準(zhǔn)，RBC與列車之間在密鑰生存周期內(nèi)所需的最低通信數(shù)據(jù)量約為214，遠(yuǎn)低于NIST所給出的安全邊界，這也意味著通常情況下，RSSP-Ⅱ協(xié)議仍能提供足夠的安全防護(hù)能力。然而，在某些特殊情況下，通信數(shù)據(jù)量是否可能超出或接近221的理論安全邊界，仍有待進(jìn)一步驗(yàn)證。

7 結(jié)論

《鐵路通信安全協(xié)議RSSP-Ⅱ》是我國(guó)CTCS-3級(jí)列控通信系統(tǒng)的核心安全協(xié)議，其安全性對(duì)高速鐵路的運(yùn)營(yíng)安全起到了至關(guān)重要的作用。然而長(zhǎng)期以來(lái)，學(xué)界對(duì)于這一協(xié)議的安全性缺乏足夠的理論研究成果。本文對(duì)RSSP-Ⅱ協(xié)議中的核心消息驗(yàn)證碼算法MASL-MAC方案的安全性進(jìn)行了研究，并借鑒文獻(xiàn)[11]所提密鑰恢復(fù)攻擊的原理，提出一個(gè)全新的“部分密鑰恢復(fù)-偽造”攻擊方案，給出了一個(gè)仿真攻擊示例。結(jié)果顯示，敵手在掌握232.5數(shù)量級(jí)的已知明文前提下，只需257次離線MAC計(jì)算，即可實(shí)時(shí)偽造任意數(shù)量的消息，且其校驗(yàn)標(biāo)識(shí)符可成功通過(guò)接收端的檢驗(yàn)，攻擊成功率約為0.63。盡管在真實(shí)系統(tǒng)中，攻擊者在密鑰生存周期內(nèi)通常無(wú)法得到足夠的已知明文以發(fā)起實(shí)際攻擊，但MASL-MAC方案的安全缺陷仍應(yīng)引起學(xué)界和相關(guān)標(biāo)準(zhǔn)制定方的足夠重視，建議盡快采用國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)化的128 bit分組密碼(如AES或SM-4)替換現(xiàn)有的64 bit分組密碼DES，以進(jìn)一步提高RSSP-Ⅱ協(xié)議整體的安全性。

參考文獻(xiàn)：

[1]劉亞林,范平志.GSM-R雙向認(rèn)證與端到端加密[J].鐵路通信信號(hào),2005,41(4):32-34.

LIU Yalin,FAN Pingzhi.Bi-directional Authentication and End-end Encryption in GSM-R[J].Railway Signalling & Comm,2005,41(4):32-34.

[2]楊義先,鈕心忻.無(wú)線通信安全技術(shù)[M].北京:郵電大學(xué)出版社,2005.

[3]CEN.EN 50159-2:Railway Applications-Communication,Signaling and Processing Systems-Part2,Safety Related Communication in Open Tansmission Systems[S].2001.

[4]ERTMS.ETCS Specification-Class 1 Subset-037:Euroradio FIS V2.3.0[S].2005.

[5]ERTMS.ETCS Specification-Class 1 Subset-098:RBC-RBC Safe Communication Interface V3.0.0[S].2012.

[6]中華人民共和國(guó)鐵道部.CTCS-3級(jí)列控規(guī)范:RSSP-Ⅱ鐵路信號(hào)安全通信協(xié)議V1.0[S].北京：中國(guó)鐵道出版社,2010.

[7]中華人民共和國(guó)鐵道部.CTCS-3級(jí)列控系統(tǒng)無(wú)線通信功能接口規(guī)范V1.0[S].北京：中國(guó)鐵道出版社,2010.

[8]ISO.ISO/IEC 9797-1:Information Technology-Security Techniques-Message Authentication Codes(MACs)-Part 1:Mechanisms Using a Block Cipher[S].1999.

[9]吳文玲,馮登國(guó),張文濤.分組密碼的設(shè)計(jì)與分析[M].2版.北京:清華大學(xué)出版社,2009.

[10]PRENEEL B,OORSEHOT PC V.MDx-MAC and Building Fast MACs from Hash Functions[C]//Proceedings of Advances in Cryptology-CRYPTO 1995.Berlin:Springer Berlin Heidelberg,1995:1-14.

[11]PRENEEL B,OORSEHOT PC V.Key Recovery Attack on ANSI X9.19 Retail MAC[J].Electronics Letters,1996,32(6):1 568-1 569.

[12]BRINCAT K,MITEHELL C J.New CBC-MAC Forgery Attacks[C]//Information Security and Privacy.Berlin:Springer Berlin Heidelberg,2001:3-14.

[13]JIA K T,WANG X Y,ZHENG Y,et al.Distinguishing and Second-preimage Attacks on CBC-like MACs[C]//Cryptology and Network Security.Berlin:Springer Berlin Heidelberg,2009:349-361.

[14]ERTMS.ETCS Specification-Class 1 Subset-038:Off-line Key Management FIS V2.3.0[S].2010.

[15]NISHIMURA K,SIBUYA M.Probability to Meet in the Middle[J].Journal of Cryptology,1990,2(1):13-22.

[16]BELLARE M.The Security of the Cipher Block Chaining Message Authentication Code[J].Journal of Computer and System Sciences,2000,61(3):362-399.

[17]NIST.NIST Special Publication 800-38B.Recommended for Block Cipher Modes of Operation:the CMAC Mode for Authentication[S].2005.