左 林，劉 貞，王一民

(北京全路通信信號研究設(shè)計(jì)院集團(tuán)有限公司，北京 100070)

1 RSSP-II安全通信協(xié)議簡介

RSSP-II鐵路安全通信協(xié)議規(guī)定了鐵路信號安全設(shè)備之間通過封閉式網(wǎng)絡(luò)或開放式網(wǎng)絡(luò)進(jìn)行安全相關(guān)信息交互的功能結(jié)構(gòu)和協(xié)議，可廣泛應(yīng)用于高速鐵路、城際鐵路、城市軌道交通信號控制系統(tǒng)中。RSSP-II安全通信協(xié)議棧（以下簡稱協(xié)議棧）定義為一套跨平臺、可移植、能實(shí)現(xiàn)RSSP-II安全通信協(xié)議功能的軟件功能庫[1-3]，其安全等級為SIL4級。

協(xié)議棧采用分層結(jié)構(gòu)，可分為安全層（Safety Function Module, SFM）、 非 安 全 層（Communication Function Module, CFM）。其中，非安全層不承擔(dān)安全功能，主要實(shí)現(xiàn)協(xié)議棧與網(wǎng)絡(luò)傳輸層（如TCP）之間的適配及冗余管理。安全層承擔(dān)安全功能，處理經(jīng)由非安全層傳輸?shù)男畔?，并向?yīng)用提供可靠的信息。另外，為實(shí)現(xiàn)協(xié)議棧的可移植性，協(xié)議棧還提供了適配層，以適應(yīng)不同的運(yùn)行環(huán)境，如圖1所示。

圖1 協(xié)議棧分層結(jié)構(gòu)示意圖Fig.1 Protocol stack hierarchical structure diagram

根據(jù)EN 50159-2標(biāo)準(zhǔn)，對于一般的傳輸系統(tǒng)而言，所有可能的威脅包括重復(fù)、刪除、插入、重排序、損壞、延遲和偽裝。協(xié)議棧的安全層能對所有7種威脅提供全面的防護(hù)，例如通過添加序列號防護(hù)消息的重排序、刪除、重復(fù)，通過三重時間戳（Triple Time Stamp, TTS）、執(zhí)行周期（Execution Cycle, EC）等延遲防御技術(shù)防護(hù)消息的延遲，通過添加連接標(biāo)識符（例如信源標(biāo)識符和信宿標(biāo)識符）防護(hù)消息的插入，通過加密解密技術(shù)防護(hù)消息的損壞和偽裝等。

2 協(xié)議棧加密解密技術(shù)

近年來，信息安全受到越來越廣泛的關(guān)注，加密解密技術(shù)成為研究的熱門領(lǐng)域。目前，RSSP-II鐵路安全通信協(xié)議標(biāo)準(zhǔn)規(guī)定的安全層加密解密技術(shù)具體做法是通過改進(jìn)的三重DES（Triple Data Encryption Standard，3DES）算法對消息數(shù)據(jù)進(jìn)行計(jì)算，進(jìn)而得出8 Byte的消息驗(yàn)證碼（Message Authentication Code, MAC），并將MAC添加至消息末尾，隨消息一同傳輸[4-5]。當(dāng)接收方收到消息時，根據(jù)消息數(shù)據(jù)再次計(jì)算出MAC，并與消息末尾附帶的MAC進(jìn)行比較。如果二者一致,則校驗(yàn)通過，如果二者不一致,則說明數(shù)據(jù)受到破壞，應(yīng)進(jìn)行相應(yīng)的安全處理。

3DES算法源于數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard, DES）。DES算法于 1977年成為美國聯(lián)邦信息處理標(biāo)準(zhǔn)，是迄今為止世界上應(yīng)用最為廣泛和流行的一種分組加密算法。該算法的消息分組長度為64 bit，密鑰長度為56 bit，通過初始置換、若干輪迭代運(yùn)算和逆初始置換運(yùn)算，最終得到密文。DES的解密和加密所使用的算法一樣，但子密鑰的使用順序相反，調(diào)整子密鑰的產(chǎn)生順序就可實(shí)現(xiàn)DES算法的解密。

隨著計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力顯著提升，DES算法可在短時間內(nèi)被破譯，失去了加密的意義。因此，為了在現(xiàn)有設(shè)備上增強(qiáng)DES算法的健壯性，3DES算法被廣泛采用。3DES算法的信息分組長度仍然是56 bit，但密鑰長度是DES算法的3倍，達(dá)到168 bit。密鑰長度的增加提高了破譯難度，截止目前，3DES算法仍不能在短時間內(nèi)被破譯。

3 國產(chǎn)密碼算法簡介

雖然既有的3DES算法難以被破譯，但仍存在以下兩點(diǎn)不足。首先，安全層雖然通過3DES算法計(jì)算出消息數(shù)據(jù)的MAC并添加至消息末尾，但消息數(shù)據(jù)仍然以明文形式傳輸，容易被竊聽。其次，3DES算法是國外提出的密碼算法，其核心技術(shù)受制于人，加密技術(shù)中甚至可能會被放置后門，對國家安全構(gòu)成嚴(yán)重威脅。

因此，采用國內(nèi)自主研發(fā)的通訊加密算法對消息數(shù)據(jù)進(jìn)行加密是十分必要的。這樣不僅可以改變國內(nèi)長期以來采用國際通用密碼算法體系及相關(guān)標(biāo)準(zhǔn)的現(xiàn)狀，從根本上擺脫對國外密碼技術(shù)和產(chǎn)品的過度依賴，也能夠?qū)崿F(xiàn)信息安全自主可控，降低研發(fā)、維護(hù)等方面的成本，避免潛在的知識產(chǎn)權(quán)風(fēng)險。

國產(chǎn)密碼算法是經(jīng)過國家密碼局認(rèn)定的國產(chǎn)商用密碼算法，主要有SM2、SM3、SM4等算法，可分為非對稱算法、哈希算法和對稱算法等幾類。其中，SM4分組密碼算法是國內(nèi)自主設(shè)計(jì)的分組對稱密碼算法，分組長度為128 bit，密鑰長度也為128 bit。其加密算法與密鑰擴(kuò)展算法均采用非線性迭代結(jié)構(gòu)，運(yùn)算輪數(shù)均為32輪。數(shù)據(jù)解密和數(shù)據(jù)加密的算法結(jié)構(gòu)相同，但是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序[6-8]。

4 設(shè)計(jì)

為采用SM4分組密碼算法替代協(xié)議棧既有的3DES算法，以計(jì)算消息數(shù)據(jù)的密文，軟件設(shè)計(jì)的總體思路如下。

1）SM4分組密碼算法與既有3DES算法共用非安全層和適配層，不改變協(xié)議棧的總體分層結(jié)構(gòu)、定時器設(shè)計(jì)和調(diào)試設(shè)計(jì)，也不改變協(xié)議棧與應(yīng)用軟件之間的接口。

2）安全層增加獨(dú)立的SM4分組密碼算法模塊，負(fù)責(zé)加密解密過程的具體實(shí)現(xiàn)，提供相應(yīng)的接口。

3）安全層密鑰管理模塊增加SM4分組密碼算法的配置接口函數(shù)，用戶通過此接口函數(shù)將SM4分組密碼算法的密鑰提供給協(xié)議棧。密鑰管理模塊能對3DES算法的密鑰和SM4分組密碼算法的密鑰進(jìn)行管理，包括驗(yàn)證密鑰的正確性、密鑰是否過期等。

4）借鑒協(xié)議棧對3DES算法密鑰的處理方式，在每次連接建立前，由連接雙方各自產(chǎn)生一個4 Byte隨機(jī)數(shù)并進(jìn)行交互，利用該隨機(jī)數(shù)和SM4分組密碼算法，對SM4分組密碼算法的密鑰進(jìn)行加密，使用加密后的密鑰對用戶數(shù)據(jù)進(jìn)行加密和解密。

5）協(xié)議棧兼容3DES算法和SM4分組密碼算法，針對兩種算法做分支處理，根據(jù)連接發(fā)起方用戶配置選擇采用何種算法。如果選擇采用SM4分組密碼算法，協(xié)議棧數(shù)據(jù)格式如表1所示。

表1 采用SM4分組密碼算法的協(xié)議棧數(shù)據(jù)格式Tab.1 Protocol stack data format using SM4 block cipher algorithm

除非安全層包頭外，其他數(shù)據(jù)內(nèi)容均使用SM4分組密碼算法進(jìn)行加密。用戶數(shù)據(jù)明文由64位CRC加以保護(hù)，接收方收到密文并完成解密后，應(yīng)對CRC進(jìn)行校驗(yàn)。如校驗(yàn)失敗，則丟棄數(shù)據(jù)，防護(hù)因傳輸誤碼等原因?qū)е陆邮諗?shù)據(jù)被改寫的情形。由于SM4分組密碼算法要求參與加密或者解密的數(shù)據(jù)分組長度必須是16 Byte的整數(shù)倍，因此數(shù)據(jù)末尾應(yīng)根據(jù)數(shù)據(jù)長度相應(yīng)補(bǔ)零。固定填寫的0x7F指示數(shù)據(jù)結(jié)尾，用于接收方檢查補(bǔ)零的數(shù)量。

由于連接發(fā)起方發(fā)送第一認(rèn)證消息（AU1）時，尚未獲取到連接響應(yīng)方的隨機(jī)數(shù)，因此AU1不加密，采用明文傳輸。另外，考慮到斷開連接指示消息（DI）應(yīng)被及時響應(yīng)，因此DI消息也不加密，采用明文傳輸。

5 測試驗(yàn)證

為驗(yàn)證采用SM4分組密碼算法后協(xié)議棧的功能，首先在PC機(jī)上進(jìn)行了仿真測試。通信雙方采用的密鑰均為01 23 45 67 89 AB CD EF FE DC BA 98 76 54 32 10，發(fā)送方發(fā)送的明文數(shù)據(jù)也為01 23 45 67 89 AB CD EF FE DC BA 98 76 54 32 10。發(fā)送方的測試結(jié)果如圖2所示，明文數(shù)據(jù)經(jīng)過SM4分組密碼算法加密，并添加了協(xié)議棧的包頭之后，形成75 Byte的密文數(shù)據(jù)。

接收方的測試結(jié)果如圖3所示，收到75 Byte的密文數(shù)據(jù)，再經(jīng)過協(xié)議棧的解密處理，最終得到明文數(shù)據(jù)01 23 45 67 89 AB CD EF FE DC BA 98 76 54 32 10，與發(fā)送方發(fā)送的明文數(shù)據(jù)一致，證明SM4分組密碼算法在安全通信協(xié)議中得到成功的運(yùn)用。

此外，利用自主化自動列車防護(hù)系統(tǒng)（ATP）與自主化無線閉塞中心（RBC）進(jìn)行了半實(shí)物驗(yàn)證。其中自主化RBC實(shí)物設(shè)備更新密鑰配置文件和GSM-R單元軟件，自主化ATP實(shí)物設(shè)備也更新密鑰配置文件和RCC板程序，二者之間通信采用RSSP-II安全通信協(xié)議，使用SM4分組密碼算法對數(shù)據(jù)進(jìn)行加密解密。測試結(jié)果顯示，RBC能夠正常與車載ATP建立通信連接并控制列車運(yùn)行，列車通過RBC管轄邊界時也能順利完成移交。

圖2 發(fā)送方仿真測試結(jié)果Fig.2 Simulation test results of sender

圖3 接收方仿真測試結(jié)果Fig.3 Simulation test results of receiver

6 結(jié)束語

提出采用中國國家標(biāo)準(zhǔn)SM4分組密碼算法代替既有的3DES算法，應(yīng)用于協(xié)議棧安全層，對傳輸數(shù)據(jù)進(jìn)行加密和解密，并成功完成了仿真和半實(shí)物驗(yàn)證，可實(shí)現(xiàn)技術(shù)自主可控，并增強(qiáng)核心競爭力。未來，基于SM4分組密碼算法的RSSP-II安全通信協(xié)議棧還將在CTCS-1級和CTCS-4級列控系統(tǒng)中得到更廣泛的應(yīng)用。