張嘯林

(1.北京全路通信信號研究設計院集團有限公司，北京 100070；2.北京市高速鐵路運行控制系統(tǒng)工程技術研究中心，北京 100070)

1 概述

在國內CTCS-3 及CTCS-Q 等級別的列控系統(tǒng)中，車地信號設備通過GSM-R 通信網(wǎng)絡實現(xiàn)雙向信息交互。根據(jù)IEC 62280（EN50159）要求，基于開放網(wǎng)絡的系統(tǒng)需要防護損壞及偽裝威脅，保證車地交互關鍵信息的安全性。

CTCS 列控系統(tǒng)車地信號設備采用基于密碼的加密技術，保證雙方交互消息的真實性及完整性。在每次建立安全通信時，通信雙方使用認證密鑰（KMAC）進行身份認證，并基于認證密鑰生成會話密鑰（KSMAC）對車地交互消息進行數(shù)據(jù)保護。以上安全機制的完整有效性取決于認證密鑰的保密性，而列控系統(tǒng)通過密鑰管理確保系統(tǒng)內認證密鑰的保密性。

密鑰管理的主要功能負責密鑰生成、存儲、安全分配、解除、銷毀和應用等，且應確保密鑰傳輸過程中密鑰的真實性及保密性。CTCS 列控系統(tǒng)使用三級密鑰機制，如表1 所示，密鑰管理主要涉及認證密鑰和傳輸密鑰(KTRANS)。

表 1 CTCS列控系統(tǒng)密鑰等級劃分表Tab.1 Key hierarchy of CTCS train control sytem

2 CTCS列控系統(tǒng)密鑰管理現(xiàn)狀

現(xiàn)階段在CTCS 列控系統(tǒng)密鑰管理中，密鑰管理中心(KMC)負責生成和管理全路安全信號設備的密鑰，并以離線方式向安全信號設備分配密鑰。密鑰管理包含密鑰生成、密鑰分發(fā)和密鑰注入3 個部分。

密鑰生成，由KMC 生成安全信號設備使用的傳輸密鑰和認證密鑰，兩種密鑰均為3DES 密鑰。

密鑰分發(fā)，分為兩級，一級分發(fā)負責向信號廠商分發(fā)明文傳輸密鑰及加密的認證密鑰，分發(fā)采用離線移動介質保存的方式，然后在信號廠商各自的密鑰文件生成工具進行認證密鑰的解密；二級分發(fā)，各信號廠商使用各自的專用密鑰文件生成工具，將認證密鑰轉換為相應的信號設備專用的密鑰格式文件，這一級傳輸過程的技術手段是設備專用的。二級分發(fā)轉換后的密鑰格式文件大部分以明文或明文的簡單變換方式分發(fā)，少數(shù)由3DES 算法進行保護。

密鑰注入，為信號廠商使用專用工具將認證密鑰注入到安全信號設備的過程。每種信號設備均采用設備專用的密鑰注入工具，并由各信號廠商自行完成密鑰注入工作。

分析CTCS 列控系統(tǒng)密鑰管理有如下不足：

1）密鑰生產使用軟件生成的偽隨機數(shù)，因此密鑰質量不高；

2）所有加密解密的算法都是采用非國產3DES算法，可能存在快速破解的后門，增加了被竊取或篡改的風險；

3）密鑰分發(fā)過程中，承載明文的傳輸密鑰及密文的認證密鑰的載體為光盤等非專業(yè)媒介，存在丟失泄露密鑰風險；

4）密鑰注入需要人員到設備所在現(xiàn)場更換密鑰，密鑰更換成本極大；且認證密鑰有以明文出現(xiàn)的環(huán)節(jié)，增加了密鑰暴露的風險；

5）安全信號設備沒有向密鑰管理中心反饋密鑰安裝結果，認證密鑰涉及到的兩個信號設備無一致性檢查，系統(tǒng)缺乏對全路密鑰執(zhí)行情況的集中管理。

綜上所述，有必要研究新的密鑰管理系統(tǒng)，來解決目前CTCS 列控系統(tǒng)密鑰管理存在的已知問題。

3 在線密鑰管理技術方案

ETCS 列控系統(tǒng)于2016 年發(fā)布基線3 版本，在基線3 中，密鑰管理部分引入基于公鑰基礎設施（PKI）及安全傳輸層協(xié)議(TLS) 的在線密鑰管理，并定義了完善的密鑰管理相關設備間的接口。與此同時，CTCS 列控系統(tǒng)不斷進行技術革新，GSM-R網(wǎng)絡逐步引入分組域（如CTCS-Q 級列控系統(tǒng)），具備IP 化車地雙向通信功能，使CTCS 列控系統(tǒng)在線密鑰管理有了實施基礎。

基于以上技術方案、技術革新及CTCS 列控系統(tǒng)密鑰管理現(xiàn)狀分析，本文提出CTCS 列控系統(tǒng)在線密鑰管理方案，可克服當前密鑰管理存在的不足。

3.1 在線密鑰管理系統(tǒng)體系架構

在線密鑰管理系統(tǒng)主要由KMC、數(shù)字證書中心(CA)及安全信號設備組成，密鑰管理系統(tǒng)組成如圖1 所示。

KMC 作為密鑰管理的核心設備，由KMC 主機、操作顯示終端和專用密碼機組成。KMC 主機負責實現(xiàn)密鑰管理邏輯功能（生成、添加、刪除、更新、查詢及存儲密鑰等）；操作顯示終端負責與密鑰管理員交互進行密鑰管理操作與維護；專用密碼機負責生成密鑰，密碼機采用國家密碼管理局批準的硬件芯片生成高質量的真隨機數(shù)，保證密鑰的高強度，密碼機可生成3DES 及國密密鑰。

圖1 CTCS密鑰在線管理系統(tǒng)組成Fig.1 Composition of CTCS on-line key management system

安全信號設備如ATP、RBC 等作為CTCS列控系統(tǒng)中使用認證密鑰的設備，由唯一的一個KMC 負責為其管理密鑰。

CA 向KMC 及安全信號設備頒發(fā)及驗證用于身份認證的數(shù)字證書。CA 架構將在下一小節(jié)進行詳述。

KMC 可采用在線和離線兩種方式向安全信號設備執(zhí)行密鑰管理相關操作，優(yōu)先使用在線方式。在線方式下，為了防止傳輸過程中密鑰數(shù)據(jù)被監(jiān)聽或篡改，參照ETCS 系統(tǒng)，在KMC 與安全信號設備、KMC 間連接引入基于PKI 技術的TLS 通信協(xié)議，用以保證交互內容加密、數(shù)據(jù)完整性;區(qū)別于ETCS 系統(tǒng)，TLS 協(xié)議采用符合國密標準密碼算法套件。同時，保留離線方式為網(wǎng)絡或數(shù)字認證中心等故障后的降級措施，并針對CTCS 列控系統(tǒng)密鑰管理既有離線方式，進行如下技術改進：

1）密鑰統(tǒng)一由KMC 使用專用密碼機生成；

2）在密鑰離線傳輸全過程中，認證密鑰使用傳輸加密的密文傳輸，僅在密鑰到達信號設備處才可解密處理，傳輸載體使用U-Key 等專用存儲設備；

3）傳輸密鑰加密算法需選取SM1 等適用的國密算法；

4）增加信號設備的密鑰安裝結果反饋。

3.2 PKI體系架構

PKI 是利用公鑰理論和技術建立的提供信息安全服務的基礎設施。數(shù)字證書是用來綁定身份和其相應公鑰的數(shù)據(jù)文件，由CA 頒發(fā)，具有一定的生命周期。在生命周期結束或該證書不再有效時，要對證書進行撤銷，故用戶需驗證數(shù)字證書的有效性。數(shù)字證書的驗證主要包括證書是否撤銷、是否在有效期內、證書簽名是否正確等3 個方面。

PKI 的體系結構由根CA、二級CA、注冊機構RA、證書庫、客戶端、證書管理庫和用戶信息庫組成，如圖2 所示。

圖2 PKI體系構成圖Fig.2 PKI architecture diagram

PKI 體系結構各部分的功能描述如下：

1）根 CA 用于為二級 CA 頒發(fā)簽名證書，不直接與最終用戶交互。為安全起見，根 CA 與其他部分實現(xiàn)隔離;

2）二級CA 將直接給用戶（KMC、安全信號設備）頒發(fā)證書;

3）證書注冊審批系統(tǒng)（RA）作為證書注冊機構，介于 CA 與最終用戶之間，受理并審核用戶的證書申請，并向 CA 提交證書的申請;

4）證書庫存放二級 CA 簽發(fā)的證書和證書銷毀列表，屬于一種公共信息庫。用戶可以從證書庫里查詢證書是否有效，也可以從中獲得其他用戶的證書及其公鑰。

CTCS 在線密鑰管理系統(tǒng)需設置唯一的根CA；靈活設置數(shù)量不固定的二級CA 認證中心及注冊中心，用于向所屬信號設備頒發(fā)數(shù)字證書進行身份認證管理。

3.3 既有設備實施可行性分析

3.3.1 密鑰管理中心改造

改造既有密鑰管理中心，應具備如下功能：

1）生成密鑰，采用自主密碼機中的物理噪聲源產生高質量密鑰。需生成3DES 密鑰及國密密鑰,可支持信號設備間安全協(xié)議使用國密算法對國外3DES 算法的替換升級;

2）向CA 申請及校核數(shù)字證書，支持采用分組域交換數(shù)據(jù)，可與信號設備建立TLS 連接;

3）自動拆分密鑰任務，將密鑰管理員設定的指令，拆分為針對密鑰相關的兩端安全信號設備的具體增刪改的密鑰操作；

4）信號設備密鑰狀態(tài)綜合管理，匯總在線、離線更新結果；實時檢查密鑰有效期，具備有效期到期預警及有效期過期報警功能；

5）存儲、銷毀密鑰等功能，使用數(shù)據(jù)庫管理密鑰及任務，通過數(shù)據(jù)庫語句高效的對相關信息進行操作。

3.3.2 安全信號設備改造

改造既有安全信號設備，應具備如下功能：

1）向CA 申請證書及校驗證書功能；

2）與密鑰管理中心建立TLS 連接，支持采用分組域交換數(shù)據(jù)；

3）將存儲的既有密鑰納入KMC 管理；

4）統(tǒng)一處理在線、離線兩種方式下發(fā)的密鑰管理消息，并向密鑰管理中心回復執(zhí)行結果。

3.4 在線密鑰管理系統(tǒng)交互流程

在線密鑰管理時，系統(tǒng)設備及密鑰管理員按流程交互，如圖3 所示。

1）安全信號設備與KMC 需預先申請CA 數(shù)字證書；

2）密鑰管理員設定密鑰指令，KMC 自動拆分為具體設備的密鑰管理命令，且自動生成指定類型的密鑰；

3）密鑰管理員在KMC 上執(zhí)行密鑰管理命令下發(fā)操作，KMC 優(yōu)先將密鑰命令通過網(wǎng)絡在線下發(fā)，當在線方式不可用后提示管理員進行離線下發(fā)；

4）KMC 完成與安全信號設備交互，并綜合密鑰在兩端安全信號設備的執(zhí)行情況，向密鑰管理員反饋執(zhí)行情況。

4 在線密鑰管理的技術安全性分析

基于TLS-PKI 的在線密鑰管理方式主要通過非對稱加密、對稱加密及散列算法3 種加密技術保證密鑰傳輸?shù)陌踩?。非對稱加密采用基于國密體系SM2 非對稱密鑰的ECDHE 密鑰交換算法實現(xiàn)身份認證和對稱密鑰協(xié)商，對稱加密采用非對稱加密協(xié)商的對稱密鑰并利用國密SM1 算法對交互數(shù)據(jù)加密，基于國密SM3 散列算法用于驗證交互數(shù)據(jù)完整性，如圖4 所示。

PKI 體系用于身份認證，沒有身份驗證的情況下，在非對稱加密中實現(xiàn)身份驗證和密鑰協(xié)商時，無法確保服務器身份的合法性，因為公鑰對外公開，并不包含服務器的信息。如圖5 所示，中間人攻擊（MITM）介入通信雙方，C ?M 通信時使用的是中間人自己的一對未經(jīng)身份認證的公私鑰Key_M解密客戶端加密的信息；M ?S 通信時使用的是服務器提供的公鑰，加密從客戶端得到的消息給服務器完成雙方通信。

當采用PKI 體系進行身份驗證，中間人與客戶端通信時無法向用戶提供可信任的證書，如圖6 所示。

綜上所述，經(jīng)過上述TLS-PKI 的防御措施，在線方式傳輸過程密鑰消息的安全性和機密性完全由技術手段保證，且采用自主算法符合現(xiàn)行鐵路信號行業(yè)技術趨勢。

圖3 CTCS密鑰在線管理系統(tǒng)內部交互流程Fig.3 Internal interaction flow of CTCS on-line key management system

圖4 CTCS在線密鑰管理防御措施Fig.4 Defensive measures for CTCS on-line key management

圖5 中間人攻擊示意圖Fig.5 Schematic diagram of MITM attack

5 總結

本文介紹的在線密鑰管理系統(tǒng)具備如下優(yōu)勢：

1）在信息安全方面，借鑒國外經(jīng)驗，引入國密規(guī)定的先進加密技術，密鑰傳輸過程密鑰均為密文，采用自主技術手段杜絕了密鑰傳輸泄露風險；

2）通過GSM-R 網(wǎng)絡引入分組域，使密鑰可以通過網(wǎng)絡在線更新，提高了更換密鑰的便捷性；

圖6 身份認證對中間人攻擊防御示意圖Fig.6 Schematic diagram of identity authentication defense against MITM attack

3）KMC 統(tǒng)一管理設備的密鑰執(zhí)行狀態(tài)，減少密鑰使用設備兩端執(zhí)行不一致或密鑰過期等情況發(fā)生，提高列控系統(tǒng)可用性;

4）使用自主密碼機中的物理噪聲源產生高質量密鑰；兼容3DES 及國密密鑰，為設備間安全通信協(xié)議改用國產算法預留接口。