基于LTE和《RSSP-I鐵路信號(hào)安全通信協(xié)議》的互聯(lián)互通CBTC系統(tǒng)車地安全通信方案分析

徐國(guó)平 呂新軍

(卡斯柯信號(hào)有限公司， 200070， 上海//第一作者,工程師)

基于通信的列車控制(CBTC)系統(tǒng)已成為我國(guó)城市軌道交通信號(hào)系統(tǒng)的主流制式。其中，無(wú)線通信系統(tǒng)為CBTC車地間提供了安全、可靠、實(shí)時(shí)的雙向數(shù)據(jù)通信。目前，針對(duì)車地安全通信，我國(guó)各信號(hào)供應(yīng)商均采用各自不同的解決方案，即采用私有的安全協(xié)議。隨著城市軌道交通信號(hào)系統(tǒng)的發(fā)展，車地安全通信需采用統(tǒng)一的標(biāo)準(zhǔn)安全協(xié)議來(lái)滿足互聯(lián)互通發(fā)展的需求。

原鐵道部在2010年制定并發(fā)布了《RSSP-I鐵路信號(hào)安全通信協(xié)議(V1.0)》(以下簡(jiǎn)稱《RSSP-I安全協(xié)議》)[1]和《RSSP-II鐵路信號(hào)安全通信協(xié)議(V1.0)(以下簡(jiǎn)稱《RSSP-II安全協(xié)議》)[2]。上述協(xié)議廣泛應(yīng)用于鐵路系統(tǒng)軌旁安全設(shè)備之間的安全通信[3]。例如：CTC(中央調(diào)度集中)和臨時(shí)限速服務(wù)器、臨時(shí)限速服務(wù)器和臨時(shí)限速服務(wù)器之間的接口均采用RSSP-II安全協(xié)議。而車載和軌旁之間的接口一直沿用SUBSET—037《歐洲無(wú)線電系統(tǒng)功能接口規(guī)范》。文獻(xiàn)[4]首次對(duì)《RSSP-II安全協(xié)議》應(yīng)用于城市軌道交通ATS(列車自動(dòng)監(jiān)控)和VOBC(車載控制器)之間的安全通信進(jìn)行了研究，并在仿真環(huán)境下對(duì)其進(jìn)行了功能性測(cè)試和驗(yàn)證。

1 《RSSP-II安全協(xié)議》應(yīng)用分析

重慶、北京等城市陸續(xù)開(kāi)展了城市軌道交通互聯(lián)互通CBTC系統(tǒng)的工程建設(shè)。其中，重慶首個(gè)互聯(lián)互通項(xiàng)目選用《RSSP-II安全協(xié)議》來(lái)實(shí)現(xiàn)車地間的數(shù)據(jù)安全通信。

《RSSP-II安全協(xié)議》在傳輸層采用面向連接的TCP(傳輸控制協(xié)議)棧，項(xiàng)目應(yīng)用中遇到的主要問(wèn)題如下：

(1) TCP棧自身比較復(fù)雜，互聯(lián)互通各信號(hào)供應(yīng)商在理解或?qū)崿F(xiàn)底層協(xié)議棧時(shí)容易出現(xiàn)不一致，導(dǎo)致雙方信號(hào)設(shè)備無(wú)法建立連接或連接不正常，影響車地信號(hào)設(shè)備之間的安全數(shù)據(jù)傳輸。

(2) 由于車地?zé)o線通信需要在高速移動(dòng)環(huán)境下不斷切換無(wú)線接入點(diǎn)，且目前城市軌道交通LTE(長(zhǎng)期演進(jìn))使用的專有頻段與相鄰的移動(dòng)通信之間存在臨頻干擾，不可避免地存在數(shù)據(jù)丟包的情況。而TCP棧具有重傳機(jī)制,當(dāng)檢測(cè)到傳輸丟包時(shí)，TCP棧會(huì)等待丟失數(shù)據(jù)包重傳，在此期間，即使收到新數(shù)據(jù)包，TCP棧也不會(huì)向上層傳輸，這樣會(huì)加劇數(shù)據(jù)包的通信延遲，以及降低數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性能。如果該延時(shí)超過(guò)數(shù)據(jù)傳輸?shù)娜萑虝r(shí)間，將會(huì)影響或中斷系統(tǒng)的正常運(yùn)營(yíng)。

因此，基于TCP/IP(互聯(lián)網(wǎng)協(xié)議)棧的《RSSP-II安全協(xié)議》并不是互聯(lián)互通車地安全通信的最佳解決方案，需要尋求一種更優(yōu)的車地安全通信替代方案，并在后續(xù)各地互聯(lián)互通項(xiàng)目中推廣應(yīng)用。

2 車地安全通信方案

2.1 標(biāo)準(zhǔn)要求

互聯(lián)互通CBTC系統(tǒng)車地之間無(wú)線通信因其傳輸?shù)奈锢斫橘|(zhì)存在于開(kāi)放的空間，屬于開(kāi)放式通信系統(tǒng)，應(yīng)符合文獻(xiàn)[5]開(kāi)放式通信系統(tǒng)中類型3的要求。文獻(xiàn)[5]推薦的安全通信系統(tǒng)架構(gòu)如圖1所示。安全應(yīng)用和安全通信系統(tǒng)要求遵循文獻(xiàn)[6]的要求，部署在功能安全相關(guān)的設(shè)備中；而安全加密技術(shù)和傳輸系統(tǒng)可以部署在非功能安全相關(guān)的設(shè)備中。

圖1 安全相關(guān)通信系統(tǒng)架構(gòu)

2.2 方案設(shè)計(jì)

相較于TCP，UDP(用戶數(shù)據(jù)包協(xié)議)是一種無(wú)連接的協(xié)議，它具有協(xié)議簡(jiǎn)單、傳輸快、效率高等優(yōu)勢(shì)，更適合于對(duì)實(shí)時(shí)性要求較高的車地安全通信。

考慮到基于UDP/IP棧的《RSSP-I安全協(xié)議》源自于阿爾斯通公司的《FSFB/2安全協(xié)議》，已廣泛應(yīng)用于大鐵路信號(hào)系統(tǒng)軌旁設(shè)備之間的安全通信，因此互聯(lián)互通CBTC系統(tǒng)車地安全通信解決方案直接采用《RSSP-I安全協(xié)議》來(lái)執(zhí)行安全通信，并分別部署在與功能安全相關(guān)的車載和地面信號(hào)設(shè)備中。

車地?zé)o線通信采用成熟的LTE技術(shù)。該技術(shù)具備高可靠的抗干擾能力，可滿足互聯(lián)互通CBTC系統(tǒng)車地之間數(shù)據(jù)在高速移動(dòng)環(huán)境下的穩(wěn)定傳輸[7]。同時(shí)，針對(duì)空口消息的偽裝風(fēng)險(xiǎn)，可采用安全加密技術(shù)防護(hù)，將其直接部署在TAU(車載終端)和BBU(軌旁基帶單元)上來(lái)實(shí)現(xiàn)鑒權(quán)和加密機(jī)制，保障車地?zé)o線通信的信息安全。安全加密技術(shù)采用滿足LTE國(guó)際加密標(biāo)準(zhǔn)的國(guó)密算法——祖沖之(ZUC)算法。

因此，基于《RSSP-I安全協(xié)議》和LTE的互聯(lián)互通CBTC系統(tǒng)車地安全通信方案總體結(jié)構(gòu)如圖2所示。

注：RRU表示軌旁的射頻單元;EPC表示演進(jìn)分組核心網(wǎng)

對(duì)車地設(shè)備安全數(shù)據(jù)通信過(guò)程的描述如下：

(1) 車載安全設(shè)備中的安全應(yīng)用模塊執(zhí)行安全計(jì)算，將需要發(fā)送給軌旁的安全數(shù)據(jù)提交給RSSP-I安全通信模塊，由安全通信模塊處理成RSSP-I安全通信包，并通過(guò)接口A發(fā)送給LTE車載移動(dòng)終端。

(2) LTE車載移動(dòng)終端采用128位祖沖之加密算法對(duì)RSSP-I安全通信包在PDCP(分組數(shù)據(jù)匯聚)層進(jìn)行加密，轉(zhuǎn)換成密文后通過(guò)空口(接口B)發(fā)送至RRU和BBU。

(3) BBU接收到密文包后采用相同的128位祖沖之加密算法在PDCP層進(jìn)行解密，轉(zhuǎn)成明文形式的RSSP-I安全通信包，通過(guò)EPC傳輸給軌旁安全設(shè)備。

(4) 軌旁安全設(shè)備中的安全通信模塊接收到RSSP-I安全通信包后，立即進(jìn)行安全協(xié)議解析和驗(yàn)證，并將驗(yàn)證通過(guò)的安全數(shù)據(jù)提交給安全應(yīng)用模塊來(lái)執(zhí)行計(jì)算。

(5) 軌旁安全設(shè)備中的安全應(yīng)用模塊將處理完后需要發(fā)送給車載的安全數(shù)據(jù)提交給RSSP-I安全通信模塊，由安全通信模塊處理成RSSP-I安全通信包后，再通過(guò)EPC傳輸給BBU。

(6) BBU接收到RSSP-I安全通信包后，采用128位祖沖之加密算法對(duì)其在PDCP層進(jìn)行加密，轉(zhuǎn)換成密文后通過(guò)RRU和空口(接口B)發(fā)送至LTE車載移動(dòng)終端。

(7) LTE車載移動(dòng)終端接收到密文包后，采用相同的128位祖沖之加密算法在PDCP層進(jìn)行解密，轉(zhuǎn)成明文形式的RSSP-I安全通信包，再通過(guò)接口A發(fā)送至車載安全設(shè)備。

(8) 車載安全設(shè)備中的安全通信模塊接收到RSSP-I安全通信包后，進(jìn)行安全協(xié)議解析和驗(yàn)證，并將驗(yàn)證通過(guò)的安全數(shù)據(jù)提交至安全應(yīng)用模塊進(jìn)行處理。

祖沖之加密算法參見(jiàn)文獻(xiàn)[8]。

3 方案分析

互聯(lián)互通CBTC系統(tǒng)車地?zé)o線通信傳輸?shù)奈锢斫橘|(zhì)存在于開(kāi)放的空間，屬于開(kāi)放式通信系統(tǒng)，應(yīng)符合文獻(xiàn)[5]中開(kāi)放式通信系統(tǒng)的要求。

新的車地安全通信方案采用《RSSP-I安全協(xié)議》執(zhí)行安全通信。該協(xié)議提供了序列號(hào)、時(shí)間戳、超時(shí)、源標(biāo)識(shí)、反饋信息和雙重校驗(yàn)技術(shù)等防御措施，可以有效防護(hù)開(kāi)放式通信系統(tǒng)中要求的除偽裝以外的重復(fù)、丟失、插入、錯(cuò)序、錯(cuò)碼、延遲等6種風(fēng)險(xiǎn)[1]。

互聯(lián)互通CBTC系統(tǒng)車地通信采用無(wú)線傳輸，其中的空口，即接口B(見(jiàn)圖2)存在消息被偽裝的風(fēng)險(xiǎn)。針對(duì)該風(fēng)險(xiǎn)，新的車地安全通信方案采用成熟的LTE技術(shù)，通過(guò)在TAU和BBU上部署安全加密技術(shù)對(duì)空口消息進(jìn)行加密處理。數(shù)據(jù)加密傳輸模型如圖3所示。安全加密技術(shù)采用ZUC算法，由于該算法采用素域GF(231-1)上的本原序列設(shè)計(jì)，具有非常高的安全特性，可有效抵抗各種已知序列密碼分析方法，從而起到防護(hù)消息被偽裝的風(fēng)險(xiǎn)。

因此，結(jié)合了LTE和《RSSP-I安全協(xié)議》的互聯(lián)互通CBTC系統(tǒng)車地安全通信的新方案可以有效防護(hù)開(kāi)放式通信系統(tǒng)中的七種風(fēng)險(xiǎn)(見(jiàn)表1)，來(lái)滿足文獻(xiàn)[5]中定義的開(kāi)放式通信系統(tǒng)的安全要求。

圖3 移動(dòng)終端數(shù)據(jù)加密傳輸模型

危險(xiǎn)情形序列號(hào)時(shí)間戳超時(shí)源標(biāo)識(shí)反饋報(bào)文雙重校驗(yàn)LTE加密技術(shù)重復(fù)√丟失√插入√√√錯(cuò)序√錯(cuò)碼√√延遲√√√偽裝√注:符號(hào)“√”表示該措施已被采用來(lái)防護(hù)相應(yīng)的風(fēng)險(xiǎn)

相較于現(xiàn)有的《RSSP-II安全協(xié)議》方案，新方案采用基于簡(jiǎn)單UDP/IP的《RSSP-I安全協(xié)議》處理安全通信，可以有效解決目前互聯(lián)互通項(xiàng)目中由于車地通信數(shù)據(jù)包丟失而帶來(lái)的安全通信問(wèn)題，也簡(jiǎn)化了車地安全通信實(shí)現(xiàn)互聯(lián)的復(fù)雜度。同時(shí)，該方案將偽裝防護(hù)所需的加密技術(shù)部署在成熟的LTE標(biāo)準(zhǔn)設(shè)備，這種分布式架構(gòu)有利于今后不同信號(hào)設(shè)備廠商之間實(shí)現(xiàn)互聯(lián)，從而形成標(biāo)準(zhǔn)的互聯(lián)互通車地安全通信系統(tǒng)，也有利于今后加密技術(shù)的維護(hù)和擴(kuò)展。

4 結(jié)語(yǔ)

通過(guò)分析可知，基于LTE技術(shù)和《RSSP-I安全協(xié)議》的互聯(lián)互通CBTC系統(tǒng)車地安全通信方案符合相關(guān)標(biāo)準(zhǔn)推薦的安全相關(guān)通信系統(tǒng)架構(gòu)，滿足開(kāi)放式通信系統(tǒng)的安全要求。目前，該方案已經(jīng)在室內(nèi)試驗(yàn)環(huán)境下完成測(cè)試驗(yàn)證，計(jì)劃首次應(yīng)用于呼和浩特地鐵1號(hào)線和2號(hào)線互聯(lián)互通CBTC信號(hào)系統(tǒng)工程項(xiàng)目。未來(lái)將通過(guò)上述項(xiàng)目的車地通信數(shù)據(jù)監(jiān)控和分析進(jìn)一步驗(yàn)證該方案實(shí)際應(yīng)用的性能。