铁路北斗数据密码安全防护系统设计

秦 健，潘佩芬

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

随着北斗卫星导航系统覆盖亚太地区、开启全球组网，提供高可靠、高精度的定位、通信、授时服务，在道路交通、铁路、测绘、授时、航运、航空等多个行业中得到广泛应用[1]。铁路是国民经济的大动脉，重要的基础设施，既承担着民用客货运输也承担着国防安全的任务，其运营质量及安全的重要性尤为重要。在铁路领域，北中斗卫星导航系统已应用于铁路机车远程监测、动车组无线传输及铁路时间同步系统等多个业务系统。利用北斗高精度对线路及站场施工作业人员安全防护进行监控[2]，对调车机车跟踪监控，实时准确地掌握其轨迹信息[3]，提高了铁路行业的信息化水平、智能化水平，提升了铁路行业业务管理能力。北斗卫星导航系统作为服务国家战略实施、支持现代综合交通运输体系的基础支撑作用也越来越突出[4]。

北斗卫星导航系统已采用密码手段解决数据安全问题[5]。该系统融合密码技术，可以防止身份欺骗攻击，防止重要敏感数据泄露、篡改。铁路北斗应用服务平台属于铁路重要基础设施，建设的北斗地基增强系统基准站数据及高精度定位终端的精确位置信息较为敏感，在网络传输数据的过程中存在被窃取和篡改风险，在复杂严峻的网络安全形势下，加强铁路北斗数据安全传输、强化铁路北斗系统安全保障工程刻不容缓[6-7]。

本文利用国产密码技术，基于密码芯片，设计有针对性、与铁路高精度定位系统相适应的铁路北斗数据密码安全防护系统（简称：安全防护系统），在铁路北斗安全终端应用，在保证业务应用安全的前提下将铁路北斗监测系统的定位信息传送至铁路北斗应用服务平台（简称：平台），实现平台的数据安全，保障内外网侧的信息安全和高效交互，提高防护系统的可靠性，从而提升平台服务的能力、水平、效率和质量，满足我国铁路行业对北斗卫星导航系统的需要，对北斗卫星导航技术在铁路行业的应用发展具有重要意义。

1 需求分析

通过对存在的安全问题分析，铁路北斗数据安全防护需求如下。

1.1 终端设备身份认证需求

适配终端设备实体鉴别需求，对终端设备的身份进行安全认证，降低非法终端设备接入的可能性，确保终端设备合法性和平台的正常运行。

1.2 平台网络安全传输需求

适配平台不同网络传输模式、速率和接入用户数量需求，以及通信网络的传输认证和传输加密需求，对平台敏感数据与控制指令进行传输加密，降低对平台关键信息窃听及篡改的可能性，确保通信可用和平台的正常运行。

1.3 信息加密传输、边界安全隔离需求

采集数据安全上传，控制指令安全下发，确保节点汇聚数据加密和访问控制，针对不同区域边界的访问控制隔离建立单向隔离，确保边界接入认证和数据安全。

1.4 密码服务需求

通过集中服务形式，提供密码服务。实现各级节点间的接入认证和网络边界防护；实现数据信息的机密性、完整性和不可否认性保护；实现安全终端设备的密钥管理、设备管理等功能。

平台的数据安全基于终端侧安全、网络传输安全和业务层安全3 个层面，采取信源/信道加密、终端安全管控等安全措施，提供设备身份注册、高精度位置数据加密、人员及车辆空间位置数据的加密传输等服务，为平台的安全可靠运营提供保障。

2 架构系统

2.1 总体架构

安全防护系统包括业务组成部件和安全密码部件，系统安全平台架构从逻辑上分为4 层，如图1 所示。

（1）终端层：通过在终端上部署密码模块，基于密码运算，实现终端的自主身份认证与敏感数据的加密保护。

（2）安全传输层：包括安全传输组件和业务数据协议栈。安全传输组件主要实现终端模块的注册及数据的传输加密；业务数据协议构件包括位置数据传输协议、时间数据传输协议、短报文传输协议，并基于接入组件中的传输加密组件实现数据安全传输保护。

（3）数据处理层：采用分布式集群的方式部署计算节点、数据节点、管理节点。其中，计算节点为终端模块注册与业务数据加解密提供高性能的设备注册、应用密码运算、数据交互等计算服务；数据节点实现终端与数据中心的位置数据、时间数据的接收、分析、处理与交互、存储与备份等；管理节点主要实现基础设施设备管理、系统管理及设备监控等运维管理工作。

（4）应用服务层：包括高精度位置服务、通信服务、授时服务、运维管理，为用户提供统一密码服务，对密钥、设备进行全生命周期管理。

2.2 系统组成

基于现有平台，搭载系列安全密码设备，构建平台数据安全防护安全框架，系统组成，如图2 所示。

安全防护系统在设计以业务需求为驱动，以信息安全为保障，采用分区、分层边界安全防护体系架构，实现终端数据安全采集、加密传输，构建安全防护系统。

图2 铁路北斗数据密码安全防护系统组成

（1）终端设备侧：包括高精度终端设备、基准站等配备终端安全模块和安全套件，提供数据加解密、设备认证等功能，确保数据来源可信。

（2）传输通道：基于铁路北斗数据保护协议，实现终端安全模块与中心对业务数据进行加密传输，确保传输数据的完整性和机密性，即关键业务数据不被非法窃听或篡改。

（3）系统平台侧：平台侧的设备分为密码管理设备和密码服务设备。密码管理设备为整个系统提供注册管理、密钥分发等密码支撑服务。密码服务设备为高精度位置服务、授时服务等功能服务提供数据加解密、完整性验证等密码服务。

3 系统功能

在利用密码模块终端适配、铁路北斗密钥管理、铁路北斗安全传输等关键技术基础上，设计安全防护系统。围绕铁路北斗数据安全应用的核心目标，进行安全协议设计、专用服务接口设计。以数据保护协议为指导，研制密钥管理系统、密码服务设备，并完成基于自主密码安全芯片的定制服务接口。

3.1 数据保护协议

数据保护协议采用分层设计，基于TCP/IP 协议，对高精度位置信息、授时信息、终端位置信息等敏感数据采用铁路北斗数据保护协议进行加密保护，保证数据的机密性、完整性和防重放。协议栈如图3所示。铁路北斗数据保护协议对敏感数据进行保护，由铁路北斗数据保护密码机进行处理，对高精度位置数据、授时数据等进行加密保护。

图3 铁路北斗应用服务安全协议栈

3.2 铁路北斗密钥离线/在线下发/更新

铁路北斗终端上的密码模块数据加密密钥初始下发、到期换钥或者更新密钥，可以由密钥管理系统进行离线初始下发/更新。离线下发/更新前，需将终端密码模块插入密钥管理系统的密钥分发终端上。离线密钥由密钥管理系统产生，经终端设备加密密钥保护后，注入终端密码模块中。

铁路北斗终端上的密码模块数据加密密钥到期换钥或者更新密钥，可以由平台密钥管理系统通过接口控制进行在线更新，实现在线的下发、恢复等密钥管理操作。

3.3 铁路北斗数据加解密

铁路北斗数据保护采用专用的报文格式进行数据加解密，并且通信上、下行报文格式相同。铁路北斗数据保护主要有两个通信流程，分别是身份认证和数据加密传输流程。铁路北斗终端与平台进行相应的身份识别和密文传输，保证了北斗数据业务报文的真实性和不可抵赖性。

3.4 卡状态管理

系统实现对密码模块的管理。密码模块提供相关接口，以监测密码模块的状态、升级密钥、查询版本信息、进行自检等。

4 结束语

本文根据平台需求，设计铁路北斗数据密码安全防护系统，统一数据接口等安全规范，并统一安全管控。采用密码芯片技术和硬件密码模块技术进行数据加密，以保障数据的机密性、完整性、可用性和可认证性，实现平台数据的安全共享与交换，提升计算机环境安全、应用安全等综合管控能力。目前，系统已在浩吉铁路（浩勒报吉—吉安）基础设施监测、京张高铁（北京—张家口）北斗示范应用中得到应用，对铁路的实际应用起到了重要的安全保障作用。