一种提高RSSPII协议安全性的改进方案.pdf

摘要
申请专利号：	CN201410320514.5	申请日：	2014.07.04
公开号：	CN104135469A	公开日：	2014.11.05
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|专利申请权的转移 IPC(主分类):H04L 29/06登记生效日:20170621变更事项:申请人变更前权利人:西南交通大学变更后权利人:闫连山变更事项:地址变更前权利人:610031 四川省成都市二环路北一段111号西南交通大学科技处变更后权利人:610031 四川省成都市二环路北一段111号西南交通大学科技处变更事项:申请人变更后权利人:西南交通大学\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20140704\|\|\|公开
IPC分类号：	H04L29/06; H04L9/00	主分类号：	H04L29/06
申请人：	西南交通大学
发明人：	闫连山; 郭伟; 崔允贺; 李赛飞; 潘炜; 郭进
地址：	610031 四川省成都市二环路北一段111号西南交通大学科技处
优先权：
专利代理机构：	成都信博专利代理有限责任公司 51200	代理人：	张澎
PDF下载：	PDF下载

内容摘要

本发明涉及一种提高铁路通信信号系统RSSP-II协议安全性的改进方案，主要包括以下方面：引入分组密码算法及分组密码工作模式选择协商机制；添加分组密码算法列表及分组密码工作模式列表；分组密码工作模式中，除认证模式外，还引入带有关联数据的认证加密模式作为增强安全模式；限制单次安全连接的最大允许消息数目；加强对接收包内容的判断。本发明方案可望提高现有铁路系统安全性。

权利要求书

1.  一种提高RSSP-II协议安全性的改进方案，用于在采用RSSP-II协议的铁路信号系统中，以改善铁路系统关键设备之间通信的安全性；信号安全设备之间通过封闭式网络或开放式网络进行安全相关信息交互，包括以下技术手段：
1)引入分组密码算法及分组密码工作模式选择协商机制，添加分组密码算法列表及分组密码工作模式列表；
2)在分组密码工作模式中，除认证模式外，引入带有关联数据的认证加密模式作为增强安全模式；
3)限制单次安全连接的最大允许消息数目；
4)加强对接收包内容的判断。

2.  根据权利要求1所述的提高RSSP-II协议安全性的改进方案，其特征在于，所述算法选择协商机制用于主叫方设备和被叫方设备建立连接时，选择会话使用的分组密码算法及分组密码工作模式；其主要步骤包括：
步骤1：对等实体验证开始时，主叫方向被叫方发送本方支持的分组密码算法列表及分组密码工作模式列表；
步骤2：被叫方根据本地安全策略，从主叫方发送的分组密码算法列表及分组密码工作模式列表中选择后续会话采用的分组密码算法及分组密码工作模式；
步骤3：被叫方计算含主叫方发送的分组密码算法列表及分组密码工作模式列表、己方选中的分组密码算法及分组密码算法工作模式字段的MAC；
步骤4：被叫方将含步骤2中选定的分组密码算法和分组密码工作模式以及步骤3计算的MAC的消息发送至主叫方；
步骤5：主叫方接收到被叫方步骤3发送的消息后，对该消息进行校验，若校验通过，则进入步骤6，若校验不通过，则主叫方中断连接并重启连接建立程序；
步骤6：主叫方向被叫方发送确认消息。

3.  根据权利要求1所述的提高RSSP-II协议安全性的改进方案，其特征在于，所述分组密码算法列表用于主叫方向被叫方发送主叫方支持的分组密码算法，使用者可以灵活选择分组密码算法作为其中的算法。

4.  根据权利要求1所述的提高RSSP-II协议安全性的改进方案，其特征在于，所述列表中的分组密码工作模式包含两种类型：认证模式与带关联数据的认证加密模式；列表用于主叫方向被叫方发送主叫方支持的分组密码工作模式；使用者可以灵活选择分组密码工作模式作为其中的模式。

5.  根据权利要求1所述的提高RSSP-II协议安全性的改进方案，其特征在于，所述限制单次安全连接最大允许消息数目的方法用于限定单次安全连接中消息数量：首先根据铁路信号系统网络实际情况设置单次安全连接最大允许消息数，其次在单次安全连接开始时对会话消息进行计数，最后当消息总数达到限定值时，断开原连接并重启安全连接。

6.  根据权利要求1或5所述的提高RSSP-II协议安全性的改进方案，其特征在于，所述限制单次安全连接的最大允许消息数目的主要步骤如下：
步骤1：待会话安全连接建立后，被叫方启动消息数目计数器，对此后通信双方的会话消息进行计数；
步骤2：当主叫方有消息到达或者被叫方有消息发送时，计数器值加一；
步骤3：当主叫方消息到达或者被叫方消息发送使计数器的值达到所限定的阈值时，被叫方通知主叫方重启安全连接并断开此连接，且关闭消息数目计数器；
步骤4：安全连接断开后，主叫方重新发送安全连接建立请求以重启安全连接。

7.  根据权利要求1所述的提高RSSP-II协议安全性的改进方案，其特征在于，所述加强接收包内容判断的方法：收发方在解析数据包过程中出现异常或者连续出现多字节乱码时，主动断开原连接并重启安全连接。

说明书

一种提高RSSP-II协议安全性的改进方案
技术领域
本发明涉及一种提高铁路信号网络中RSSP-II协议安全性的改进方案，属于铁路信号系统领域，特别是铁路系统设备间安全通信领域。
背景技术
安全通信在铁路信号系统中担任着至关重要的角色，一旦铁路中的通信信号被攻击者监听、篡改甚至伪造，将会造成铁路信号系统的故障，甚至导致列车运行事故的发生，为国家和人民带来不可估量的损失。有鉴于此，铁路信号系统中采用RSSP-II(Railway Signal Security Protocol)协议保证铁路系统关键设备之间的安全通信。RSSP-II协议规定了信号安全设备之间通过封闭式网络或开放式网络进行安全相关信息交互的功能结构，现已广泛的应用在当前的铁路信号系统中。
RSSP-II协议的安全功能模块分为两层：消息鉴别安全层(MASL)和安全应用中间子层(SAI)。MASL层的核心功能是通过产生消息认证码(Message Authentication Code,MAC)，在提供消息源认证的同时保证消息完整性，实现用户数据的安全传输，防止消息被第三方篡改或者伪造。SAI层通过在消息中额外添加序列号、计数器/时间戳等信息，抵抗消息的重复、删除、重排序和数据延迟等攻击。
RSSP-II协议中，基于分组密码的CBC-MAC模式建议算法3(Retail MAC算法)用作MASL层中的消息验证码算法；DES算法用作其中的分组密码算法。鉴于密码破解技术的快速发展，CBC-MAC算法与DES算法的缺陷越来越多地呈现在人们面前，这些缺陷为恶意攻击者提供了隐蔽的攻击手段，一旦上述算法被攻击者攻破，攻击者可以丢弃、篡改甚至伪造铁路信号系统中传递的消息，进而控制整个铁路信号网络。同时，目前经DES算法与CBC-MAC模式处理后的消息仅仅进行了完整性保护，消息内容仍然以明文传输，为铁路信号系统的信息安全带来了极大的隐患。针对以上问题，现有技术做了一定的改进，例如在RSSP-II协议数据报文中加入存储有数据报文Hash校验值的认证尾或者将RSSP-II协议中的DES算法替换为AES算法，但这种改进并没有从根本上解决目前RSSP-II协议中的安全问题。RSSP-II协议是整个高铁信号安全通信的核心协议，现有的安全性分析结论表明这一协议存在严重安全隐患，已对高速铁路运营安全构成直接威胁。因此，迫切需要对当前的RSSP-II协议的安全性进行全面的改善。
发明内容
本发明的目的是针对现有RSSP-II协议安全性的不足，提出一种有效提高RSSP-II协议安全性的方法，从而解决当前RSSP-II协议中的安全隐患，保障铁路信号系统中设备间消息的安全传输。
为达到上述目的，本发明采用的技术方案如下：
一种提高RSSP-II协议安全性的改进方案，用于在采用RSSP-II协议的铁路信号系统中，以改善铁路系统关键设备之间通信的安全性；信号安全设备之间通过封闭式网络或开放式网络进行安全相关信息交互，包括以下技术手段：
1)、引入分组密码算法及分组密码工作模式选择协商机制，添加分组密码算法列表及分组密码工作模式列表；
2)在分组密码工作模式中，除认证模式外，引入带有关联数据的认证加密模式作为增强安全模式；
3)限制单次安全连接的最大允许消息数目；
4)加强对接收包内容的判断。
在上述技术方案的基础上，本发明还可以做如下改进。
进一步，所述算法协商机制作用在主叫方、被叫方设备建立连接时的对等实体验证中，用于主叫方、被叫方设备建立连接时选择后续会话使用的分组密码算法及分组密码工作模式，其步骤包括：
步骤1：对等实体验证开始时，主叫方向被叫方发送本方支持的分组密码算法列表及分组密码工作模式列表；
步骤2：被叫方根据本地安全策略，从主叫方发送的分组密码算法列表及分组密码工作模式列表中选择后续会话采用的分组密码算法及分组密码工作模式；
步骤3：被叫方计算含主叫方发送的分组密码算法列表及分组密码工作模式列表、己方选中的分组密码算法及分组密码算法工作模式字段的MAC；
步骤4：被叫方将含步骤2中选定的分组密码算法和分组密码工作模式以及步骤3计算的MAC的消息发送至主叫方；
步骤5：主叫方接收到被叫方步骤3发送的消息后，对该消息进行校验，若校验通过，则进入步骤6，若校验不通过，则主叫方中断连接并重启连接建立程序；
步骤6：主叫方向被叫方发送确认消息。
进一步，所述分组密码列表用于主叫方向被叫方发送主叫方支持的分组密码算法，使用者可灵活选择其中的分组密码算法，为保证安全性，推荐选择分组长度等于128比特、秘钥长度大于或等于128比特的国内外公开分组密码算法标准作为其中的分组密码算法。
进一步，所述分组密码工作模式列表用于向被叫方提供主叫方支持的分组密码工作模式，使用者可灵活选择其中的分组密码工作模式，为保证安全性，所选取的分组密码工作模式推荐选择具备完整的安全性证明、具有较高的实现效率的分组密码工作模式，可考虑采用国际公开标准。
进一步，所述分组密码工作模式列表中的分组密码工作模式包含两种类型：认证模式与带关联数据的认证加密模式(Authenticated Encryption with Associated Data，AEAD)，认证模式通过计算MAC验证消息的完整性，带关联数据的认证加密模式对关联数据进行完整性校验的同时完成非关联数据的加密及完整性校验。
进一步，所述分组密码算法与分组密码工作模式共同作用，根据所选择的分组密码工作模式的不同，对需要处理的消息提供不同的防护功能：当选择认证模式时，对消息进行完整性保护，当选择带关联数据的认证加密模式时，对消息进行完整性及机密性保护。
进一步，所述限制单次安全连接的最大允许消息数目用于降低在单次安全连接周期内MAC碰撞的可能性；首先根据铁路信号系统网络实际情况设置合适的单次安全连接的最大允许消息数，其次对单次安全连接中的消息进行计数，当消息总数达到限定值时，重启安全连接。
进一步，所述加强接收到的包的内容判断的方法包括：
接收方对收到的数据包进行判断，若出现连续4字节以上的无意义乱码，则接收方断开原连接并与发送方重建安全连接；
接收方在对数据包进行判断时，若出现数据包无法解析、解析出参数异常等情况，接收方应断开原连接并与发送方重建安全连接。
本发明的有益效果是：
1.与现有技术相比，引入分组密码算法列表、分组密码工作模式列表以及算法协商机制对于系统的安全性、通用性、灵活性、健壮性方面有很大提升；首先，分组密码算法列表中推荐选用的单个分组密码算法的分组长度与密钥长度均达到128比特以上，与DES算法采用的64位的分组长度及密钥长度相比，其安全性更强，进而提升了整个系统的安全性；其次，采用分组密码算法列表以及分组密码工作模式列表的单个设备可以支持不同国家与地区的安全标准，有利于设备的出口，更有利于中国的高铁出口；再次，对分组密码算法列表以及分组密码工作模式列表进行改动时，仅需更新相应的算法模块，不影响其他的算法模块，保证了系统的灵活性；最后，当探测到系统中信号被破解时，使用分组密码算法列表以及分组密码工作模式列表的设备允许铁路运营商快速切换分组密码算法及其工作模式，在短时间内对攻击做出及时有效的反应，防止攻击者的进一步破坏；
2.本发明将AE方案(Authenticated Encryption，指基于分组密码的认证加密方案)引入RSSP-II协议，以保障铁路系统信号安全通信，具有较高的可行性；首先，与现有技术相比，AE方案在安全性方面具有突出优势：1)能够提供端到端的加密服务，解决了铁路信号系统中部分消息以明文方式传输的问题；2)能够提供比已知最强安全定义更高的安全性，将在最大程度上保障铁路系统信号的安全传输；其次，目前已非常成熟的带关联数据的认证加密模式(AEAD)，在功能上完全能够满足铁路系统信号传输的需求，而典型的AE方案均提供了对AEAD特性的支持；最后，以AE方案替代单纯的加密或认证方案，已经在TLS、IPsec和802.11i等网络安全协议中得到了广泛应用；
3.通过限制单次连接的最大允许消息数目可以有效减小在单次安全连接内出现MAC碰撞的概率，降低通话系统遭受生日攻击的可能性；
4.当攻击者已破解会话密钥且使用错误包、乱码包对通信系统进行干扰时，通过加强包的内容判断并重启安全连接，提高系统的敏感度，进而阻止攻击者利用已破解的密钥进行后续攻击。
附图说明
图1为所述分组密码算法与分组密码工作模式协商过程示意图；
图2为所述分组密码算法列表字段(ENATY，Encryption Algorithm Type)结构图；
图3为所述分组密码工作模式列表字段(MDTY，Mode Type)结构图；
图4为所述选定的分组密码算法字段(CKENA，Checked Encryption Algorithm)结构图；
图5为所述选定的分组密码工作模式字段(CKMD，Checked Mode)结构图；
图6为限制单个安全连接最大允许消息数目机制示意图。
具体实施方式
下面结合附图对本发明做进一步说明，所举实例仅用于解释本发明，并非用于限定本发明的范围。
本发明主要针对铁路信号系统中的RSSP-II协议的安全性，引入分组密码算法及分组密码工作模式选择协商机制，添加分组密码算法列表及分组密码工作模式列表；分组密码工作模式中，除认证模式外，还引入带有关联数据的认证加密模式作为增强安全模式；限制单次安全连接的最大允许消息数目；加强对接收包内容的判断。
所述分组密码算法列表中的分组密码算法选择满足以下条件的算法：算法为分组长度等于128比特、秘钥长度大于或等于128比特的国内外公开分组密码算法标准。
所述分组密码工作模式列表中的分组密码工作模式包含两种类型：认证模式与带关联数据的认证加密模式，此外，为克服目前经分组密码算法与分组密码工作模式处理后的消息内容仍然以明文传输的缺陷，所述算法协商机制中主叫方发送的分组密码工作模式列表中的工作模式推荐选择带关联数据的认证加密模式，保证对消息进行完整性校验的同时保证消息的机密性。
加密算法选择协商机制工作在主叫设备与被叫设备安全连接建立时的对等实体验证过程中，原对等实体验证过程详细步骤见“欧洲无线电系统功能接口规范”(规范号，“Euroradio FIS subset-037”)加入算法选择协商后的对等实体验证过程如图1所示，加密算法选择协商机制包含如下步骤：
步骤1：主叫方向被叫方发送含有本方支持的分组密码算法列表(ENATY，Encryption Algorithm Type)及分组密码工作模式列表(MDTY，Mode Type)的消息1；
步骤2：被叫方收到主叫方发送的消息1后，根据本地安全策略，从主叫方发送的分组密码算法列表及分组密码工作模式列表中选择后续会话采用的分组密码算法及分组密码工作模式，选取的分组密码算法记为CKENA(Checked Encryption Algorithm)，选取的分组密码工作模式记为CKMD(Checked Mode)；
步骤3：被叫方使用CBC-MAC计算含主叫方发送的分组密码算法列表 (ENATY)、分组密码工作模式列表(MDTY)、己方选定的分组密码算法(CKENA)、分组密码工作模式(CKMD)字段的MAC：(CBC-MAC(K_S,Text3|R_A|CKENA|CKMD|R_B|ENATY|MDTY|DA|p))；
步骤4：被叫方将含步骤2选定的分组密码算法(CKENA)、分组密码工作模式(CKMD)以及步骤3计算的MAC的消息2发送至主叫方；
步骤5：主叫方接收到消息2后，使用CBC-MAC算法对该消息进行校验，若校验通过，则进入步骤6，若校验不通过，则主叫方中断连接并重启连接建立程序；
步骤6：主叫方向被叫方发送确认消息。
为便于解释，假定可供分组密码算法列表选择的分组密码算法共8种，则如图2所示，所述分组密码算法列表(ENATY，Encryption Algorithm Type)字段由8位组成，各位取值为“0”或“1”，“0”表示主叫方不支持该备选分组密码算法，“1”表示主叫方支持该备选分组密码算法(主叫方与被叫方维持事先约定的统一分组密码算法表示集合)，如A分组密码算法对应ENATY字段中的第1个备选分组密码算法，B分组密码算法对应ENATY字段中的第2个分组密码算法；则当ENATY字段取值为“01010011”时，表示主叫方支持事先约定的第2、4、7、8个分组密码算法。
为便于解释，假定可供分组密码工作模式列表选择的分组密码算法共8种，则如图3所示，与ENATY字段定义类似，所述分组密码工作模式列表(MDTY，Mode Type)字段由8位组成，各位取值为“0”或“1”，“0”表示主叫方不支持该备选分组密码工作模式，“1”表示主叫方支持该备选分组密码工作模式。
如图4所示，被叫方选定的分组密码算法(CKENA，Checked Encryption Algorithm)字段由4位组成，各位取值为“0”或“1”，其对应的十进制值表示被叫方所选的分组密码算法(主叫方与被叫方维持事先约定的统一分组密码算法表示集合)，如CKENA字段取值为“0001”表示被叫方选择事先约定的第1个分组密码算法作为会话的分组密码算法，“0011”表示被叫方选择事先约定的第3个分组密码算法作为会话的分组密码算法。
如图5所示，与CKENA字段定义类似，被叫方选定的分组密码工作模式(CKMD，Checked Mode)字段由4位组成，各位取值为“0”或“1”，其对应的十进制值表示被叫方所选的分组密码算法(主叫方与被叫方维持事先约定的统一分组密码算法表示集合)。
如图6所示，对于限制单次安全连接的最大允许消息数目的步骤如下：
步骤1：待会话安全连接建立后，被叫方启动消息数目计数器，对此后通信双方的会话消息进行计数；
步骤2：当主叫方有消息到达或者被叫方有消息发送时，计数器值加一；
步骤3：当主叫方消息到达或者被叫方消息发送使计数器的值达到所限定的阈值时，被叫方通知主叫方重启安全连接并断开此连接，且关闭消息数目计数器；
步骤4：安全连接断开后，主叫方重新发送安全连接建立请求以重启安全连接；
为确定单次连接的最大允许消息数，需针对铁路信号系统不同场景设置不同的最大允许消息数，现假定监听者进行了10⁶次安全连接监听，为将生日攻击成功概率限制在万分之一以内，建议将单次连接的最大允许消息总数目阈值限制在2¹⁶以内。
加强对接收包内容判断的方法包括：
被叫方对收到的数据包进行判断时，若出现连续4字节以上的无意义乱码，则被叫方断开原连接并通知主叫方重建安全连接；
被叫方在对数据包进行判断时，若出现数据包无法解析或者连续出现多字节乱码等情况，被叫方应断开原连接并通知主叫方重建安全连接。

资源描述

《一种提高RSSPII协议安全性的改进方案.pdf》由会员分享，可在线阅读，更多相关《一种提高RSSPII协议安全性的改进方案.pdf（10页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104135469A43申请公布日20141105CN104135469A21申请号201410320514522申请日20140704H04L29/06200601H04L9/0020060171申请人西南交通大学地址610031四川省成都市二环路北一段111号西南交通大学科技处72发明人闫连山郭伟崔允贺李赛飞潘炜郭进74专利代理机构成都信博专利代理有限责任公司51200代理人张澎54发明名称一种提高RSSPII协议安全性的改进方案57摘要本发明涉及一种提高铁路通信信号系统RSSPII协议安全性的改进方案，主要包括以下方面引入分组密码算法及分组密码工作模式选择协商机制；添加。

2、分组密码算法列表及分组密码工作模式列表；分组密码工作模式中，除认证模式外，还引入带有关联数据的认证加密模式作为增强安全模式；限制单次安全连接的最大允许消息数目；加强对接收包内容的判断。本发明方案可望提高现有铁路系统安全性。51INTCL权利要求书2页说明书5页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书5页附图2页10申请公布号CN104135469ACN104135469A1/2页21一种提高RSSPII协议安全性的改进方案，用于在采用RSSPII协议的铁路信号系统中，以改善铁路系统关键设备之间通信的安全性；信号安全设备之间通过封闭式网络或开放式网络进行安全相。

3、关信息交互，包括以下技术手段1引入分组密码算法及分组密码工作模式选择协商机制，添加分组密码算法列表及分组密码工作模式列表；2在分组密码工作模式中，除认证模式外，引入带有关联数据的认证加密模式作为增强安全模式；3限制单次安全连接的最大允许消息数目；4加强对接收包内容的判断。2根据权利要求1所述的提高RSSPII协议安全性的改进方案，其特征在于，所述算法选择协商机制用于主叫方设备和被叫方设备建立连接时，选择会话使用的分组密码算法及分组密码工作模式；其主要步骤包括步骤1对等实体验证开始时，主叫方向被叫方发送本方支持的分组密码算法列表及分组密码工作模式列表；步骤2被叫方根据本地安全策略，从主叫方发送的。

4、分组密码算法列表及分组密码工作模式列表中选择后续会话采用的分组密码算法及分组密码工作模式；步骤3被叫方计算含主叫方发送的分组密码算法列表及分组密码工作模式列表、己方选中的分组密码算法及分组密码算法工作模式字段的MAC；步骤4被叫方将含步骤2中选定的分组密码算法和分组密码工作模式以及步骤3计算的MAC的消息发送至主叫方；步骤5主叫方接收到被叫方步骤3发送的消息后，对该消息进行校验，若校验通过，则进入步骤6，若校验不通过，则主叫方中断连接并重启连接建立程序；步骤6主叫方向被叫方发送确认消息。3根据权利要求1所述的提高RSSPII协议安全性的改进方案，其特征在于，所述分组密码算法列表用于主叫方向被叫。

5、方发送主叫方支持的分组密码算法，使用者可以灵活选择分组密码算法作为其中的算法。4根据权利要求1所述的提高RSSPII协议安全性的改进方案，其特征在于，所述列表中的分组密码工作模式包含两种类型认证模式与带关联数据的认证加密模式；列表用于主叫方向被叫方发送主叫方支持的分组密码工作模式；使用者可以灵活选择分组密码工作模式作为其中的模式。5根据权利要求1所述的提高RSSPII协议安全性的改进方案，其特征在于，所述限制单次安全连接最大允许消息数目的方法用于限定单次安全连接中消息数量首先根据铁路信号系统网络实际情况设置单次安全连接最大允许消息数，其次在单次安全连接开始时对会话消息进行计数，最后当消息总数达。

6、到限定值时，断开原连接并重启安全连接。6根据权利要求1或5所述的提高RSSPII协议安全性的改进方案，其特征在于，所述限制单次安全连接的最大允许消息数目的主要步骤如下步骤1待会话安全连接建立后，被叫方启动消息数目计数器，对此后通信双方的会话消息进行计数；步骤2当主叫方有消息到达或者被叫方有消息发送时，计数器值加一；权利要求书CN104135469A2/2页3步骤3当主叫方消息到达或者被叫方消息发送使计数器的值达到所限定的阈值时，被叫方通知主叫方重启安全连接并断开此连接，且关闭消息数目计数器；步骤4安全连接断开后，主叫方重新发送安全连接建立请求以重启安全连接。7根据权利要求1所述的提高RSSPI。

7、I协议安全性的改进方案，其特征在于，所述加强接收包内容判断的方法收发方在解析数据包过程中出现异常或者连续出现多字节乱码时，主动断开原连接并重启安全连接。权利要求书CN104135469A1/5页4一种提高RSSPII协议安全性的改进方案技术领域0001本发明涉及一种提高铁路信号网络中RSSPII协议安全性的改进方案，属于铁路信号系统领域，特别是铁路系统设备间安全通信领域。背景技术0002安全通信在铁路信号系统中担任着至关重要的角色，一旦铁路中的通信信号被攻击者监听、篡改甚至伪造，将会造成铁路信号系统的故障，甚至导致列车运行事故的发生，为国家和人民带来不可估量的损失。有鉴于此，铁路信号系统中采用。

8、RSSPIIRAILWAYSIGNALSECURITYPROTOCOL协议保证铁路系统关键设备之间的安全通信。RSSPII协议规定了信号安全设备之间通过封闭式网络或开放式网络进行安全相关信息交互的功能结构，现已广泛的应用在当前的铁路信号系统中。0003RSSPII协议的安全功能模块分为两层消息鉴别安全层MASL和安全应用中间子层SAI。MASL层的核心功能是通过产生消息认证码MESSAGEAUTHENTICATIONCODE,MAC，在提供消息源认证的同时保证消息完整性，实现用户数据的安全传输，防止消息被第三方篡改或者伪造。SAI层通过在消息中额外添加序列号、计数器/时间戳等信息，抵抗消息的重。

9、复、删除、重排序和数据延迟等攻击。0004RSSPII协议中，基于分组密码的CBCMAC模式建议算法3RETAILMAC算法用作MASL层中的消息验证码算法；DES算法用作其中的分组密码算法。鉴于密码破解技术的快速发展，CBCMAC算法与DES算法的缺陷越来越多地呈现在人们面前，这些缺陷为恶意攻击者提供了隐蔽的攻击手段，一旦上述算法被攻击者攻破，攻击者可以丢弃、篡改甚至伪造铁路信号系统中传递的消息，进而控制整个铁路信号网络。同时，目前经DES算法与CBCMAC模式处理后的消息仅仅进行了完整性保护，消息内容仍然以明文传输，为铁路信号系统的信息安全带来了极大的隐患。针对以上问题，现有技术做了一定的。

10、改进，例如在RSSPII协议数据报文中加入存储有数据报文HASH校验值的认证尾或者将RSSPII协议中的DES算法替换为AES算法，但这种改进并没有从根本上解决目前RSSPII协议中的安全问题。RSSPII协议是整个高铁信号安全通信的核心协议，现有的安全性分析结论表明这一协议存在严重安全隐患，已对高速铁路运营安全构成直接威胁。因此，迫切需要对当前的RSSPII协议的安全性进行全面的改善。发明内容0005本发明的目的是针对现有RSSPII协议安全性的不足，提出一种有效提高RSSPII协议安全性的方法，从而解决当前RSSPII协议中的安全隐患，保障铁路信号系统中设备间消息的安全传输。0006为达到。

11、上述目的，本发明采用的技术方案如下0007一种提高RSSPII协议安全性的改进方案，用于在采用RSSPII协议的铁路信号系统中，以改善铁路系统关键设备之间通信的安全性；信号安全设备之间通过封闭式网络说明书CN104135469A2/5页5或开放式网络进行安全相关信息交互，包括以下技术手段00081、引入分组密码算法及分组密码工作模式选择协商机制，添加分组密码算法列表及分组密码工作模式列表；00092在分组密码工作模式中，除认证模式外，引入带有关联数据的认证加密模式作为增强安全模式；00103限制单次安全连接的最大允许消息数目；00114加强对接收包内容的判断。0012在上述技术方案的基础上，本。

12、发明还可以做如下改进。0013进一步，所述算法协商机制作用在主叫方、被叫方设备建立连接时的对等实体验证中，用于主叫方、被叫方设备建立连接时选择后续会话使用的分组密码算法及分组密码工作模式，其步骤包括0014步骤1对等实体验证开始时，主叫方向被叫方发送本方支持的分组密码算法列表及分组密码工作模式列表；0015步骤2被叫方根据本地安全策略，从主叫方发送的分组密码算法列表及分组密码工作模式列表中选择后续会话采用的分组密码算法及分组密码工作模式；0016步骤3被叫方计算含主叫方发送的分组密码算法列表及分组密码工作模式列表、己方选中的分组密码算法及分组密码算法工作模式字段的MAC；0017步骤4被叫方将。

13、含步骤2中选定的分组密码算法和分组密码工作模式以及步骤3计算的MAC的消息发送至主叫方；0018步骤5主叫方接收到被叫方步骤3发送的消息后，对该消息进行校验，若校验通过，则进入步骤6，若校验不通过，则主叫方中断连接并重启连接建立程序；0019步骤6主叫方向被叫方发送确认消息。0020进一步，所述分组密码列表用于主叫方向被叫方发送主叫方支持的分组密码算法，使用者可灵活选择其中的分组密码算法，为保证安全性，推荐选择分组长度等于128比特、秘钥长度大于或等于128比特的国内外公开分组密码算法标准作为其中的分组密码算法。0021进一步，所述分组密码工作模式列表用于向被叫方提供主叫方支持的分组密码工作模。

14、式，使用者可灵活选择其中的分组密码工作模式，为保证安全性，所选取的分组密码工作模式推荐选择具备完整的安全性证明、具有较高的实现效率的分组密码工作模式，可考虑采用国际公开标准。0022进一步，所述分组密码工作模式列表中的分组密码工作模式包含两种类型认证模式与带关联数据的认证加密模式AUTHENTICATEDENCRYPTIONWITHASSOCIATEDDATA，AEAD，认证模式通过计算MAC验证消息的完整性，带关联数据的认证加密模式对关联数据进行完整性校验的同时完成非关联数据的加密及完整性校验。0023进一步，所述分组密码算法与分组密码工作模式共同作用，根据所选择的分组密码工作模式的不同，对。

15、需要处理的消息提供不同的防护功能当选择认证模式时，对消息进行完整性保护，当选择带关联数据的认证加密模式时，对消息进行完整性及机密性保护。0024进一步，所述限制单次安全连接的最大允许消息数目用于降低在单次安全连接周期内MAC碰撞的可能性；首先根据铁路信号系统网络实际情况设置合适的单次安全连接的说明书CN104135469A3/5页6最大允许消息数，其次对单次安全连接中的消息进行计数，当消息总数达到限定值时，重启安全连接。0025进一步，所述加强接收到的包的内容判断的方法包括0026接收方对收到的数据包进行判断，若出现连续4字节以上的无意义乱码，则接收方断开原连接并与发送方重建安全连接；0027。

16、接收方在对数据包进行判断时，若出现数据包无法解析、解析出参数异常等情况，接收方应断开原连接并与发送方重建安全连接。0028本发明的有益效果是00291与现有技术相比，引入分组密码算法列表、分组密码工作模式列表以及算法协商机制对于系统的安全性、通用性、灵活性、健壮性方面有很大提升；首先，分组密码算法列表中推荐选用的单个分组密码算法的分组长度与密钥长度均达到128比特以上，与DES算法采用的64位的分组长度及密钥长度相比，其安全性更强，进而提升了整个系统的安全性；其次，采用分组密码算法列表以及分组密码工作模式列表的单个设备可以支持不同国家与地区的安全标准，有利于设备的出口，更有利于中国的高铁出口；。

17、再次，对分组密码算法列表以及分组密码工作模式列表进行改动时，仅需更新相应的算法模块，不影响其他的算法模块，保证了系统的灵活性；最后，当探测到系统中信号被破解时，使用分组密码算法列表以及分组密码工作模式列表的设备允许铁路运营商快速切换分组密码算法及其工作模式，在短时间内对攻击做出及时有效的反应，防止攻击者的进一步破坏；00302本发明将AE方案AUTHENTICATEDENCRYPTION，指基于分组密码的认证加密方案引入RSSPII协议，以保障铁路系统信号安全通信，具有较高的可行性；首先，与现有技术相比，AE方案在安全性方面具有突出优势1能够提供端到端的加密服务，解决了铁路信号系统中部分消息以。

18、明文方式传输的问题；2能够提供比已知最强安全定义更高的安全性，将在最大程度上保障铁路系统信号的安全传输；其次，目前已非常成熟的带关联数据的认证加密模式AEAD，在功能上完全能够满足铁路系统信号传输的需求，而典型的AE方案均提供了对AEAD特性的支持；最后，以AE方案替代单纯的加密或认证方案，已经在TLS、IPSEC和80211I等网络安全协议中得到了广泛应用；00313通过限制单次连接的最大允许消息数目可以有效减小在单次安全连接内出现MAC碰撞的概率，降低通话系统遭受生日攻击的可能性；00324当攻击者已破解会话密钥且使用错误包、乱码包对通信系统进行干扰时，通过加强包的内容判断并重启安全连接，。

19、提高系统的敏感度，进而阻止攻击者利用已破解的密钥进行后续攻击。附图说明0033图1为所述分组密码算法与分组密码工作模式协商过程示意图；0034图2为所述分组密码算法列表字段ENATY，ENCRYPTIONALGORITHMTYPE结构图；0035图3为所述分组密码工作模式列表字段MDTY，MODETYPE结构图；0036图4为所述选定的分组密码算法字段CKENA，CHECKEDENCRYPTIONALGORITHM结构图；说明书CN104135469A4/5页70037图5为所述选定的分组密码工作模式字段CKMD，CHECKEDMODE结构图；0038图6为限制单个安全连接最大允许消息数目机制。

20、示意图。具体实施方式0039下面结合附图对本发明做进一步说明，所举实例仅用于解释本发明，并非用于限定本发明的范围。0040本发明主要针对铁路信号系统中的RSSPII协议的安全性，引入分组密码算法及分组密码工作模式选择协商机制，添加分组密码算法列表及分组密码工作模式列表；分组密码工作模式中，除认证模式外，还引入带有关联数据的认证加密模式作为增强安全模式；限制单次安全连接的最大允许消息数目；加强对接收包内容的判断。0041所述分组密码算法列表中的分组密码算法选择满足以下条件的算法算法为分组长度等于128比特、秘钥长度大于或等于128比特的国内外公开分组密码算法标准。0042所述分组密码工作模式列表。

21、中的分组密码工作模式包含两种类型认证模式与带关联数据的认证加密模式，此外，为克服目前经分组密码算法与分组密码工作模式处理后的消息内容仍然以明文传输的缺陷，所述算法协商机制中主叫方发送的分组密码工作模式列表中的工作模式推荐选择带关联数据的认证加密模式，保证对消息进行完整性校验的同时保证消息的机密性。0043加密算法选择协商机制工作在主叫设备与被叫设备安全连接建立时的对等实体验证过程中，原对等实体验证过程详细步骤见“欧洲无线电系统功能接口规范”规范号，“EURORADIOFISSUBSET037”加入算法选择协商后的对等实体验证过程如图1所示，加密算法选择协商机制包含如下步骤0044步骤1主叫方向。

22、被叫方发送含有本方支持的分组密码算法列表ENATY，ENCRYPTIONALGORITHMTYPE及分组密码工作模式列表MDTY，MODETYPE的消息1；0045步骤2被叫方收到主叫方发送的消息1后，根据本地安全策略，从主叫方发送的分组密码算法列表及分组密码工作模式列表中选择后续会话采用的分组密码算法及分组密码工作模式，选取的分组密码算法记为CKENACHECKEDENCRYPTIONALGORITHM，选取的分组密码工作模式记为CKMDCHECKEDMODE；0046步骤3被叫方使用CBCMAC计算含主叫方发送的分组密码算法列表ENATY、分组密码工作模式列表MDTY、己方选定的分组密码算。

24、NALGORITHMTYPE字段由8位组成，各位取值为“0”或“1”，“0”表示主叫方不支持该备选分组密码算法，“1”表示主叫方支持该备选分组密码算法主叫方与被叫方维持事先约定的统一分组密码算法表示集合，如A分组密说明书CN104135469A5/5页8码算法对应ENATY字段中的第1个备选分组密码算法，B分组密码算法对应ENATY字段中的第2个分组密码算法；则当ENATY字段取值为“01010011”时，表示主叫方支持事先约定的第2、4、7、8个分组密码算法。0051为便于解释，假定可供分组密码工作模式列表选择的分组密码算法共8种，则如图3所示，与ENATY字段定义类似，所述分组密码工作模式。

25、列表MDTY，MODETYPE字段由8位组成，各位取值为“0”或“1”，“0”表示主叫方不支持该备选分组密码工作模式，“1”表示主叫方支持该备选分组密码工作模式。0052如图4所示，被叫方选定的分组密码算法CKENA，CHECKEDENCRYPTIONALGORITHM字段由4位组成，各位取值为“0”或“1”，其对应的十进制值表示被叫方所选的分组密码算法主叫方与被叫方维持事先约定的统一分组密码算法表示集合，如CKENA字段取值为“0001”表示被叫方选择事先约定的第1个分组密码算法作为会话的分组密码算法，“0011”表示被叫方选择事先约定的第3个分组密码算法作为会话的分组密码算法。0053如图。

26、5所示，与CKENA字段定义类似，被叫方选定的分组密码工作模式CKMD，CHECKEDMODE字段由4位组成，各位取值为“0”或“1”，其对应的十进制值表示被叫方所选的分组密码算法主叫方与被叫方维持事先约定的统一分组密码算法表示集合。0054如图6所示，对于限制单次安全连接的最大允许消息数目的步骤如下0055步骤1待会话安全连接建立后，被叫方启动消息数目计数器，对此后通信双方的会话消息进行计数；0056步骤2当主叫方有消息到达或者被叫方有消息发送时，计数器值加一；0057步骤3当主叫方消息到达或者被叫方消息发送使计数器的值达到所限定的阈值时，被叫方通知主叫方重启安全连接并断开此连接，且关闭消息。

27、数目计数器；0058步骤4安全连接断开后，主叫方重新发送安全连接建立请求以重启安全连接；0059为确定单次连接的最大允许消息数，需针对铁路信号系统不同场景设置不同的最大允许消息数，现假定监听者进行了106次安全连接监听，为将生日攻击成功概率限制在万分之一以内，建议将单次连接的最大允许消息总数目阈值限制在216以内。0060加强对接收包内容判断的方法包括0061被叫方对收到的数据包进行判断时，若出现连续4字节以上的无意义乱码，则被叫方断开原连接并通知主叫方重建安全连接；0062被叫方在对数据包进行判断时，若出现数据包无法解析或者连续出现多字节乱码等情况，被叫方应断开原连接并通知主叫方重建安全连接。说明书CN104135469A1/2页9图1图2图3说明书附图CN104135469A2/2页10图4图5图6说明书附图CN104135469A10。

展开阅读全文