一种列车控制器的加密方法与流程

本发明涉及列车信号控制系统，尤其是涉及一种列车控制器(vobc，vitalonboardcontroller)的加密方法。

背景技术：

随着地铁信号系统的发展，列车安全的要求也逐步提高。列车控制器vobc负责列车安全监控和运营管理，是连接地铁地面设备和列车的关键器件，因此，保障列车控制器vobc的车地通信安全尤为重要。

en50159-2标准针对开放式传输系统提出了构建安全通信的基本要求，对开放式传输系统中存在的各项风险和对应的防御措施进行了分析。目前常见的安全通信的威胁有7类，分别为重复、插入、删除、毁坏、重排序、延时和伪装，en50159-2针对上述7类威胁给出了一套防护集，包括时间戳、序列编号、源和目的标识、反馈消息、超时、身份验证程序、加密技术和安全代码，其中加密技术在应对数据毁坏和伪装方面效果尤为突出。

目前，地铁信号系统中车地通信普遍采用明文通信，通过rssp1、cseetransport等安全通信协议保障通信安全，由于车地无线通信的传输物理介质存在于开放空间范围内，具有一定的非授权接入的风险，上述通信协议无法全面预防此类问题，安全性上存在不足。已有采用加密算法的列车控制器vobc系统，加密技术来源于欧美国家，无法满足国家对关键系统的可控性、自主性和安全性的把控。

经过检索，中国专利公开号cn110944327a公开了一种用于轨道交通区域控制器的信息安全保密方法及其装置，该方法首先采用sm2算法建立通信关联关系和通信授权，并采用动态密钥进行管理；其次使用sm1或sm4算法对车地无线通信的数据进行加解密；最后使用sm3算法对车地无线通信数据进行完整性校验。但是该技术只是针对区域控制器的数据通信加密，因此如何来保障列车控制器与地面设备通信安全，从而来提升车地无线通信的信息安全防护能力，满足国家对关键系统、设备的安全、自主、可控的需求，成为需要解决的技术问题。

技术实现要素：

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种列车控制器的加密方法，该方法可根据系统的不同需求，在不改变地铁系统的整体框架，逐步升级系统，提高车地无线通信的安全性，满足了国家对关键系统的可控性、自主性和安全性。

本发明的目的可以通过以下技术方案来实现：

根据本发明的一个方面，提供了一种列车控制器的加密方法，该方法包括以下步骤：

步骤a：列车控制器vobc读取系统配置信息；

步骤b：列车控制器vobc主动向ca服务器申请身份授权；

步骤c：列车控制器vobc依次与配置国产加密功能的地面通信节点进行密钥协商；

步骤d：列车控制器vobc与地面通信节点采用密文通信；

步骤e：列车控制器vobc两端同步密钥信息，实现主备冗余。

作为优选的技术方案，所述的步骤a具体为：所述列车控制器vobc读取系统配置信息，判断所述列车控制器vobc是否采用国产加密功能，若为是，所述列车控制器vobc则基于系统配置信息初始化并实现密文通信功能，否则所述列车控制器vobc不考虑国产加密功能，使用明文通信；

其中系统配置信息包括是否启用国产加密功能、ca服务器和国产加密设备的网络地址信息和密钥协商的最大重试次数信息。

作为优选的技术方案，所述的步骤b中的ca服务器负责发放和管理数字证书，列车控制器vobc从ca服务器获取的是无效身份证书列表。

作为优选的技术方案，所述的步骤c具体为：

c.1)列车控制器vobc创建密钥会话，若会话列表中已存在当前会话，则会删除旧会话后再创建新会话；

c.2)列车控制器vobc主动发起密钥协商请求报文给地面通信节点；

c.3)列车控制器vobc响应地面通信节点的回复信息，并发送确认信息报文；

c.4)列车控制器vobc验证地面通信节点的回复消息，确认密钥协商结果；

c.5)列车控制器vobc统计地面通信节点的响应时间，若响应时间超过系统配置的最大超时时间，列车控制器vobc则判定此轮密钥协商失败；

c.6)若步骤c.1)～c.5)均成功执行，列车控制器vobc则确认与该地面通信节点的密钥协商成功，并结束与该地面通信节点的密钥协商，否则重新执行密钥协商过程c.1)～c.5)；

c.7)列车控制器vobc统计与该地面通信节点密钥协商的失败轮次，若密钥协商失败轮次超过系统配置的最大密钥协商失败次数，则列车控制器vobc判定与该地面通信节点的密钥协商最终结果为失败，并结束与该地面通信节点的密钥协商，否则执行密钥协商直至成功。

作为优选的技术方案，当所述列车控制器vobc与各个地面通信节点间的密钥协商失败次数超过系统配置的最大旁路次数，列车控制器vobc会将该地面通信节点设置成旁路状态；与旁路节点通信时，列车控制器vobc拒绝收发密文消息。

作为优选的技术方案，所述的步骤c中导致密钥协商失败的原因包括加密芯片故障、协商消息超时、有误的密钥协商消息和无效证书。

作为优选的技术方案，所述的步骤d中：根据密钥协商的结果，若列车控制器vobc与通信节点的密钥协商结果是成功且与该节点通信处于非旁路，列车控制器vobc将采用密文与对应节点通信，否则不收发对应节点的密文消息，采取旁路措施。

作为优选的技术方案，所述的步骤d中：列车控制器vobc统计连续加解密的失败次数，若连续失败次数超过系统配置的最大旁路次数，列车控制器vobc设置该地面通信节点为旁路状态，否则重置统计的失败次数；

其中列车控制器vobc的旁路节点维持旁路状态直至断电。

作为优选的技术方案，所述的步骤e具体为：

e.1)默认主系vobc执行身份授权、密钥协商和加解密过程；

e.2)列车控制器vobc初始化后，两端vobc同步旁路状态；

e.3)列车控制器vobc在完成所有通信节点的密钥协商后，主系vobc将密钥信息同步到备系。

作为优选的技术方案，所述的步骤b、步骤c、步骤d中：列车控制器vobc将证书更新、密钥协商和加解密过程中出现的问题以故障码形式报警；

所述的步骤b、步骤c、步骤d中：列车控制器vobc采用sm1/sm2国产加密算法。

与现有技术相比，本发明具有以下优点：

1)本发明能够实现列车控制器vobc与地面通信节点的国产加密功能，降低了车地无线通信的非授权接入风险，提高了地铁信号安全，减少地铁系统的安全隐患。

2)本发明采用的加密技术是基于sm1/sm2加密算法，由国家密码局发布，加密技术安全可控。

3)是否采用国产加密功能，密文通信的设备数目、设备类型等设置可以根据系统需求进行变化，本发明增强了列车控制器vobc兼容性和扩展性。

附图说明

图1为本发明列车主系vobc向ca服务器申请身份授权的流程图；

图2为本发明列车主系vobc与外部通信设备节点密钥协商过程的示意图；

图3为本发明列车主系vobc与外部通信设备节点加解密过程的流程图；

图4为本发明列车主系vobc与备系之间密钥与旁路状态交互的示意图；

图5为本发明的具体实现过程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

如图5所示，本发明一种列车控制器的国产加密方法，包括以下步骤：

步骤a：列车控制器vobc读取系统配置信息；

步骤b：列车控制器vobc主动向ca服务器申请更新证书；

步骤c：列车控制器vobc依次与配置国产加密功能的通信节点进行密钥协商；

步骤d：列车控制器vobc与通信节点采用密文通信；

步骤e：列车控制器vobc两端同步密钥信息，实现主备冗余。

所述的步骤a：是否启用国产加密功能，ca服务器和国产加密设备的网络地址信息，密钥协商的最大重试次数等信息记录在系统配置中；列车控制器vobc读取配置信息，判断列车控制器vobc是否采用国产加密功能，若为是，列车控制器vobc则基于系统配置信息初始化并实现密文通信功能，否则列车控制器vobc不考虑国产加密功能，使用明文通信。

所述的步骤b：ca服务器负责发放和管理数字证书，列车控制器vobc从ca服务器获取的是无效身份证书列表。

所述的步骤c的具体流程为：

c.1)列车控制器vobc创建密钥会话，若会话列表中已存在当前会话，则会删除旧会话后再创建新会话；

c.2)列车控制器vobc主动发起密钥协商请求报文给地面通信节点；

c.3)列车控制器vobc响应通信节点的回复信息，并发送确认信息报文；

c.4)列车控制器vobc验证通信节点的回复消息，确认密钥协商结果；

c.5)列车控制器vobc统计通信节点的响应时间，若响应时间超过系统配置的最大超时时间，列车控制器vobc则判定此轮密钥协商失败；

c.6)若步骤c.1)～c.5)均成功执行，列车控制器vobc则确认与该通信节点的密钥协商成功，并结束与该节点的密钥协商，否则重新执行密钥协商过程c.1)～c.5)；

c.7)列车控制器vobc统计与该通信节点密钥协商的失败轮次，若密钥协商失败轮次超过系统配置的最大密钥协商失败次数，则列车控制器vobc判定与该通信节点的密钥协商最终结果为失败，并结束与该节点的密钥协商，否则执行密钥协商直至成功。

所述的步骤c：当列车控制器vobc与各个通信节点间的密钥协商失败次数超过系统配置的最大旁路次数，列车控制器vobc会将该通信节点设置成旁路状态。与旁路节点通信时，列车控制器vobc拒绝收发密文消息，旁路措施根据系统设置而有所不同。所述的步骤c中导致密钥协商失败的原因包括加密芯片故障，协商消息超时，有误的密钥协商消息和无效证书；

所述的步骤d：根据密钥协商的结果，若列车控制器vobc与通信节点的密钥协商结果是成功且与该节点通信处于非旁路，列车控制器vobc将采用密文与对应节点通信，否则不收发对应节点的密文消息，采取旁路措施；所述的步骤d：列车控制器vobc统计连续加解密的失败次数，若连续失败次数超过系统配置的最大旁路次数，列车控制器vobc设置该通信节点为旁路状态，否则重置统计的失败次数。

所述的步骤d：列车控制器vobc的旁路节点维持旁路状态直至断电。

所述的步骤e，具体为：

e.1)默认主系vobc执行身份授权、密钥协商和加解密过程；

e.2)列车控制器vobc初始化后，两端vobc同步旁路状态；

e.3)列车控制器vobc在完成所有通信节点的密钥协商后，主系vobc将密钥信息同步到备系；

所述的步骤b、步骤c、步骤d：列车控制器vobc将证书更新、密钥协商和加解密过程中出现的问题以故障码形式报警。所述的步骤b、步骤c、步骤d：列车控制器vobc采用sm1/sm2国产加密算法。

通过上述具体过程，本发明具有能够对车地通信的无线数据进行加密，有效地确保数据的完整性和保密性，从而提升了轨道交通列车通信的信息安全水平，减少运营的安全隐患等优点。

具体实施例

本发明在列车控制器vobc上电后，读取系统的配置信息并初始化，配置信息一般包括是否采用国产加密功能，ca服务器的网络地址信息，地面通信节点的网络地址信息，最大密钥协商失败次数，最大旁路次数和最长超时等待时间等信息。

本发明列车控制器vobc的国产加密功能，列车控制器vobc向ca服务器申请身份授权信息，与配置国产加密功能的设备节点依次进行密钥协商。依据会话密钥，列车控制器vobc加密明文消息后发送，接收并处理外部设备发来的加密消息。当列车控制器vobc与配置国产加密功能的设备节点全部密钥协商完成后，主系vobc与备系会交互密钥内容。在密钥协商和加解密过程中，列车控制器vobc会更新旁路状态，当列车控制器vobc与设备节点的通信状态为旁路，则列车控制器vobc拒绝该通信节点的加密信息，采取旁路措施。

列车控制器vobc申请证书的过程参考图1，列车控制器vobc上电后完成接口初始化后，向ca服务器发送证书更新的请求，在规定时间内接收到ca服务器的更新回复，列车控制器vobc则用回复的消息更新加密芯片中的证书吊销列表。在申请证书的过程出现差错，列车控制器vobc则判定此轮申请证书过程失败，并开始新一轮证书申请过程，可连续重复申请证书的次数可由系统需要进行配置。

只有主系与配置国产加密功能的外部设备进行密钥协商，整个密钥协商的过程参考图2。密钥协商过程分为四个阶段，分别为创建会话、发起密钥协商请求、密钥协商确认和密钥协商成功验证。当列车控制器vobc在四个阶段中产生了差错，列车控制器vobc会判定此轮密钥协商失败，并开始新一轮密钥协商过程，可连续重复密钥协商的次数由系统需要配置。列车控制器vobc会根据密钥协商次数，判定列车是否进入旁路状态。

为提高国产通信功能的可扩展性，列车控制器vobc在国产加密功能添加了旁路功能，具体工作流程参考图3。非旁路状态下，列车控制器vobc与配置国产加密功能的设备节点进行密文通信，当列车控制器vobc在加密或解密过程中出现差错，列车控制器vobc对差错报文丢弃不处理，并统计连续失败的次数，当连续失败次数超过系统配置的最大旁路次数，列车控制器vobc设置该通信节点为旁路状态。在旁路状态下，列车控制器vobc将拒收旁路节点的密文，实施旁路措施，旁路措施可根据系统需求进行设置。

为满足系统冗余性，列车主系vobc与备系之间会交互密钥信息，交互的流程参考图4。在整个通信过程中，主系vobc会将旁路状态同步到备系。在备系获得并成功导入密钥之前，备系vobc会主动向主系发送密钥同步请求。主系在完成密钥协商之前，忽略备系的密钥同步请求。主系完成密钥协商后，会将密钥信息导出，并发送给备系，备系vobc接收主系的密钥回复，成功导入密钥后不再请求密钥。

本发明能够解决：

地铁关键系统列车控制器与地面设备通信安全得到有效保障，极大提升了车地无线通信的信息安全防护能力，满足了国家对关键系统、设备的安全、自主、可控的需求。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。