基于北斗短报文的应用数据安全分析

苏耀伟，曹晓宇，史立柱

（国能新朔准池铁路（山西）有限责任公司，山西朔州 036003）

1 概述

随着科技进步，国内铁路信号系统也经历了快速的发展，信号系统作为列车运行安全的核心设备，为保障列车高效、安全的运行发挥了巨大的作用。在信号控制系统中，目前国铁应用广泛的车地通信是通过轨道电路传输系统、应答器传输系统、GSM-R 网络完成的，地铁中的车-地通信/车-车通信则是通过LTE、4G/5G 等网络来完成[1-5]。

北斗卫星导航系统全球化服务的逐步实现，北斗定位、北斗短报文功能也在各个领域得到了广泛应用，例如地质灾害监测领域。目前大部分公路桥梁、边坡、大坝、尾矿库等容易发生地质灾害的地方都布设有基于北斗定位的高精度位移监测系统，可以在没有4G/5G 传输信号的时候，将预警信息通过卫星通信传输给用户[6-8]。

目前国有铁路的总里程已经达到14.6 万 km，里程长、分布广。在不依赖既有信号系统的情况下，将列车运行前方的线路信息、临时限速、区间灾害信息、前车的位置信息、速度信息及运行方向等信息通过北斗短报文的形式由地面传递给列车（车-地通信）或在列车间进行传输（车-车通信），一方面能够提高运行效率，另一方面也为保障运行安全提供多一层防护。

2 基于北斗短报文的应用

2.1 北斗三号短报文简介

2020 年6 月23 日，北斗三号最后一颗全球组网卫星在西昌卫星发射中心点火升空，发射成功。北斗三号全球卫星导航系统完成全球星座部署。2020 年6 月30 日，北斗“收官之星”成功定点，30 颗北斗三号卫星也已全部转入长期管理模式，标志着中国北斗卫星导航系统向全球组网完成又迈出重要一步。2020 年7 月31 日，北斗三号全球卫星导航系统建成并正式开通，提前半年完成组网，标志着中国北斗“三步走”发展战略圆满完成，北斗事业进入到全球服务新时代。

北斗三号全球卫星导航系统（简称北斗三号系统），采用30 颗卫星3 种轨道的混合星座模式。在30 颗组网卫星中，有24 颗地球中圆轨道卫星（MEO 卫星），轨道高度21 528 km，于2019 年完成发射；除这24 颗卫星外，北斗三号系统还有不同于其他全球卫星导航系统的6 颗卫星，其中3 颗在地球静止轨道、3 颗在倾斜地球同步轨道，地球静止轨道卫星（GEO 卫星）轨道高度35 786 km，轨道倾角0°，轨道平面和赤道平面重合，与地球自转同步；倾斜地球同步轨道卫星（IGSO 卫星）轨道高度35 786 km，轨道倾角55°。3 种轨道混合星座布局，从而达到全球覆盖。北斗三号系统的30颗卫星提供定位导航授时、短报文通信、国际搜救三大全球服务。

北斗短报文是一种短消息通信技术，是中国自主研发的、北斗卫星导航系统独具特色的功能，起源于北斗一号，采用RDSS+短报文通信机制，可通过星间链路实现全球短报文通信。具有全天候、全域广覆盖、可靠性高等特点。

2.2 北斗短报文的工作原理

用户设备1（短报文发送方）将通信申请信号（自定义消息内容）发送给北斗卫星接收单元；北斗卫星接收单元收到申请后将电文广播给接收方北斗卫星接收单元；接收方卫星接收单元接收到信号后将电文发给用户设备2（短报文接收方）。

目前，北斗设备单卡机每分钟只能发送一次短报文，多卡机每分钟最多发送16 次短报文，指挥机有通播功能。

发送方和接收方设备通过北斗卫星接收单元接收和发送短报文信息包，每个中断都有唯一的ID号，采用轮询的方式，通过北斗短报文交互信息，如图1 所示。

图1 基于北斗短报文的列车车-地通信/车-车通信系统工作原理Fig.1 Working principle of vehicle-ground communication/vehicle-vehicle communication system based on Beidou short messages

通信原理如下：

1）用户设备1（短报文发送方）将通信申请信号（自定义消息内容）发送给北斗卫星接收单元；

2）通讯申请信号经由北斗卫星地面中心站持续广播给用户;

3）接收方卫星接收单元接收到信号后将电文发给用户设备2（短报文接收方），完成一次通讯。

3 安全分析

3.1 背景

在CTCS-0（简称C0）线路升级改造过程中，为保障改造过程中线路的正常运行以及降低后续线路升级所带来的软件升级的工作量，区间设置的应答器组仅存储了应答器ID 信息，并无区间线路数据，以避免线路改造涉及的多次线路数据修改造成的大量应答器烧写工作。

因此在区间无网络敷设的线路，列车可以在出站前接收并存储带应答器列表的区间线路数据及临时限速信息。如果在区间遇到车载列车自动防护系统（Automatic Train Protection System，ATP）重启等故障，便可以通过北斗短报文与地面设备确认其存储的数据是否有变化。在确认无变化后，驾驶列车通过应答器组（或通过北斗定位功能加单应答器）重新获取定位和运行方向后，可以继续依据该线路数据和临时限速信息运行，从而使列车快速恢复正常运行模式，提高运行效率。

这些信息应至少包括应答器列表的区间线路数据确认、临时限速等信息。

3.2 FMEA分析方法

故障模式与影响分析（Failure Modes and Effects Analysis，FMEA）是一种预防性的质量工具，用于在产品设计或流程控制过程中识别和评估潜在的设计或流程故障模式及其对系统性能的影响。FMEA 通过对产品设计或流程中可能出现的故障模式进行系统性的分析，能够找出潜在的设计或流程故障，并评估它们对最终产品或服务的影响。同时，FMEA 也为改进设计和流程提供了依据，它可以帮助组织找出可能会影响产品质量、安全性、可靠性和满足性能要求的潜在问题，从而提前采取措施避免这些问题。FMEA 分析步骤如下：

1）定义分析系统的边界条件；

2）依据系统定义或需求文档，明确分析对象的范围及主要功能；

3）定义失效的判断标准及失效模式；

4）分析造成失效模式的原因；

5）分析各种失效模式可能导致分析对象自身的影响、对上一级的影响及对系统的最终影响，根据最终影响确定各种失效模式的后果危害度；

6）针对各种失效模式、失效原因和造成的影响提出可能的设计改进措施和/或使用补偿措施并分析剩余风险；

7）根据分析结果将具有安全风险的影响列入危险源清单。

3.3 FMEA分析结果

以线路信息和临时限速信息包信息为例，通过FMEA 分析的方式给出简单的分析示例。因着重于短报文应用的功能安全层面，因此示例中不做风险评价与再评价。

假设与限制如下，设备的ID 号具有唯一性。以线路信息和临时限速数据包为例进行分析，线路信息的分析结果如表1 所示。

表1 线路信息安全分析Tab.1 Line information safety analysis

应用FMEA 分析对线路信息数据包的存储数据失效、出站前未存储成功线路数据、消息损坏、消息延迟和消息伪装5 种故障模式进行分析，结果表明，除消息延迟外都会导致列车撞车或脱轨，因此针对上述故障模式，给出在数据包中增加数据校验信息，以保证数据的完整性和一致性和采用动态密钥等方法来防护通信伪装带来的风险的整改方案，为北斗短报文的应用提供参考。

临时限速数据的分析结果如表2 所示。

表2 临时限速数据包安全分析Tab.2 Safety analysis of temporary speed restriction packets

应用FMEA 对临时限速数据包的消息删除、消息损坏、消息延迟和消息伪装4 种故障模式进行分析，结果表明上述故障模式都会使ATP 模式曲线速度计算过高，可能导致脱轨。因此针对上述故障模式，给出接收方在发出请求后在规定时间内未收到发送方发送的短报文信息则导向安全侧，运营人员应通过其他方式确保司机收到临时限速信息及采用动态密钥等方法来防护通信伪装带来的风险的整改方案，以保证列车的运行安全。

4 结束语

北斗卫星通信系统的短报文目前可以作为信号系统的辅助系统。在设备故障或ATP 重启时，通过其他设备为列车提供运行必需的相关信息，是提高运行效率、进一步保障安全的一种方式，其具体应用形式还在探讨之中。短报文目前因其发送机制限制以及环境限制（卫星信号弱的地区，如隧道等），其在铁路领域的广泛应用还待进一步开发。

目前北斗卫星定位功能在列车测速测距、列车完整性检查等方面已经有了实际的应用。由于该功能的应用不同于短报文，其涉及车载ATP 核心功能的计算，因此其安全分析不同于北斗短报文的应用，北斗定位的准确性及正确性需要进一步确认。因此可以采用异构的M 取N 结构等方式来保障安全，有涉及该功能应用的项目建议做针对性的安全分析。