一种在城市轨道交通信号系统中应用的加密故障恢复方法

李金文

(郑州地铁集团有限公司，450018，郑州 ∥ 工程师)

2017年6月1日实施的《网络安全法》已经将交通领域列为关键信息基础设施，在网络安全等级保护制度的基础上，对其实行重点保护。轨道交通是关系到国计民生、公共利益的重点领域，对于其中的信号系统，可以通过应用国产加密(以下简为“国密”)技术，提高信号系统通信的信息安全水平，防止各种高科技犯罪。

信号系统应用国密技术，通常是在既有信号系统设备的基础上，增加国密安全芯片等相关设备，通过国密算法对通信数据进行加密。但如国密安全芯片本身发生故障，则会导致某一设备无法加密或解密，造成数据通信中断，信号系统会根据故障导向安全的原则使列车停车，影响系统的可用性。

针对应用了国产密码算法的城市轨道交通CBTC(基于通信的列车控制)信号系统，本文提供了一种在国密安全芯片发生故障时的信号系统通信恢复方法——系统恢复方法。信号系统可通过该方法恢复正常的车地数据通信,使得在国密安全芯片发生故障的情况下仍然不影响信号系统的正常运行，并及时通过维护支持子系统对系统运维人员进行告警。

1 发生加密故障时的信号系统通信恢复

1.1 信号系统的通信恢复流程

国密安全芯片可能在身份认证及会话密钥协商阶段或在应用数据加解密阶段发生故障。采用系统恢复方法可维持既有信号系统结构不变，无需增加额外的设备和操作。系统恢复方法又称为系统旁路方法，由信号系统通过接收数据来获知国密安全芯片是否返回了错误值或非预期值，进而判断自身的国密安全芯片是否发生故障，随即对发生故障的国密安全芯片进行隔离，并使信号系统恢复到不采用加密技术时的通信状态，以此维持信号系统的正常数据通信。

1.1.1 身份认证及会话密钥协商阶段

在身份认证及会话密钥协商阶段，信号系统的客户端为车载子系统，服务器端为轨旁子系统，阶段流程如图1所示。

在图1中的每一步流程中，国密安全芯片都可能发生故障，相应的处理流程如下：

图1 身份认证及会话密钥协商阶段流程

1) 当客户端发起密钥协商请求时，由于国密安全芯片发生故障，故在调用“密钥协商请求”函数时返回错误值。连续返回5次错误值后，启用系统恢复功能，隔离国密安全芯片。

2) 当服务器端验证客户端证书，通过国密算法生成会话密钥时，由于国密安全芯片发生故障，故在调用“密钥协商请求响应”函数时返回错误值。连续返回5次错误值后，启用系统恢复功能，隔离国密安全芯片。

3) 当客户端验证服务器证书，通过国密算法生成会话密钥时，由于国密安全芯片发生故障，故在调用“密钥协商响应确认”函数时返回错误值。连续返回5次错误值后，启用系统恢复功能，隔离国密安全芯片。

4) 当服务器端对密钥协商确认消息进行确认时，由于国密安全芯片发生故障，故在调用“密钥协商确认”函数时返回错误值。连续返回5次错误值后，启用系统恢复功能，隔离国密安全芯片。

5) 客户端对密钥协商成功进行确认，会话密钥协商流程结束。

综上，本阶段车载系统和轨旁系统的系统恢复流程分别如图2及图3所示。

图2 车载子系统的系统恢复流程

图3 轨旁子系统的系统恢复流程

1.1.2 应用数据通信阶段

在应用数据通信阶段，信号系统应用设备分为发送端和接收端。其中，发送端对应用数据进行加密操作后发出，接受端收到应用数据后进行解密操作。应用数据通信阶段流程如图4所示。

在加密操作和解密操作中，国密安全芯片均可能发生故障，相应的分析处理流程如下：

1) 在接收端解密过程中，如连续5次收到同一国密安全芯片发送端设备的消息返回错误值，或收到非预期值，则判断国密安全芯片发生故障，启动系统恢复功能。后续对此设备发送和接收的应用数据为不加密的数据；

图4 应用数据通信阶段流程

2) 在发送端SM 1(商用密码算法1，分组对称算法)加密过程中，如果调用加密接口函数时返回错误值，则判断国密安全芯片可能发生故障，进而向接收端发送不加密的应用数据包。

此外，在国密安全芯片发生故障、启用系统恢复功能后，相应的车载子系统或轨旁子系统还会向维护支持子系统发送故障报警，提示运维人员相关数据通信通道未采用加密技术，以便运维人员尽快处理国密安全芯片的故障。

1.1.3 状态转换图

国密安全芯片发生故障后，采用系统恢复方法的信号系统状态转换图如图5所示。

图5 采用系统恢复方法的信号系统状态转换图

1.2 信号系统结构

采用系统恢复方法的信号系统结构如图6所示。

图6 采用系统恢复方法的信号系统结构

2 试验验证

在实验室搭建信号系统国密集成环境，对信号系统恢复方法进行试验验证。试验结果如表1所示。

表1 信号系统恢复方法的试验验证结果

如图7所示，在试验信号系统运行时，国密安全芯片B出现了故障，无法执行正常的加解密功能。此时，轨旁子系统网关B也无法处理车载设备发送的数据，并在调用国密安全芯片接口时返回错误值。在连续出现5次错误值后，轨旁子系统与车载子系统的通信不再经过国密安全芯片处理，而采用未经加密技术处理的数据发送方式。车载子系统在收到未经国密安全芯片处理的轨旁系统数据后，其调用国密安全芯片接口时也会返回错误值；连续5次返回错误值后，信号系统恢复到不采用加密技术的状态。之后，轨旁子系统与车载子系统在蓝网通道间的数据通信采用不加密的数据通信方式，并同时向维护支持子系统发送故障报警，以提示运维人员进行处理。无故障的轨旁子系统网关 A正常接收车载子系统发送的数据，继续采用国密技术。

图7 轨旁子系统国密安全芯片B故障后的通信方式

集成国密产品的信号系统采用本系统恢复方法后，CC(车载控制器)、ZC(区域控制器)、LC(线路控制器)及ATS(列车自动监控)等子系统按信号专业标准计算得到的MTBF(平均无故障时间)指标及可用性指标如表2所示。

表2 信号系统MTBF指标和可用性指标

3 结语

本文提出的系统恢复方法可以在国密安全芯片发生故障时，通过一定机制使得信号系统主动隔离故障芯片，将系统通信恢复为未加密状态，从而提高了信号系统的可用性。此外，采用系统恢复方法的信号系统还有如下特点：

1) 信号系统的正常运行不受国密安全芯片发生故障的影响，其可用性得到了提升。

2) 启动系统恢复功能后，信号系统通过系统旁路恢复明文通信后，能第一时间通过维护支持子系统对运维人员告警，以便及时处理国密安全芯片故障，提升了信号系统的可维护性。

3) 采用系统恢复方法可保护信号系统既有架构和功能安全等级不受影响。