GB∕ T 24339-2023 軌道交通 通信、信號和處理系統(tǒng) 傳輸系統(tǒng)中的安全相關(guān)通信（正式版）

代替GB/T24339.1—2009和GB/T24339.2—2009傳輸系統(tǒng)中的安全相關(guān)通信國家市場監(jiān)督管理總局國家標準化管理委員會I Ⅲ V 1 13術(shù)語和定義、縮略語 1 75傳輸系統(tǒng)的威脅源 96傳輸系統(tǒng)分類 附錄A(資料性)新舊標準對比 附錄B(資料性)防護指南 22附錄C(資料性)開放式傳輸系統(tǒng)面臨的威脅 附錄D(資料性)傳輸系統(tǒng)的分類 41附錄E(資料性)本文件使用指南 43 47Ⅲa)更改了范圍(見第1章);2009的A.2);--—附錄A對應(yīng)IEC62280:2014的附錄E;-—附錄B對應(yīng)IEC62280:2014的附錄C;——用規(guī)范性引用的GB/T28809替換了IEC62425:2007(見第1章、第4章、第5章、7.2.5、——將IEC62280:2014中腳注1更改為第5章的注；——2009年首次發(fā)布為GB/T24339.1—2009和GB/T24339.2—2009;V1 GB/T28809軌道交通通信、信號和處理系統(tǒng)信號用安全相關(guān)電子系統(tǒng)(GB/T28809—23GB/T24339—2023危害hazard45安全完整性等級safetyintegr6傳輸編碼transmissioncode傳輸系統(tǒng)transmissionsystem有效性validityBCH-code:BCH碼(Bose,Ray-Chaudhuri,HocquenghemCode)BSC:二進制對稱信道(BinarySymmetricChannel)7EMI:電磁干擾(ElectromagneticWiFi:無線保真(WirelessFid主要架構(gòu)的組合視圖——開放式和封閉式傳輸系統(tǒng)，見圖1,其中8—-按照用戶未知的程序，讀取、存儲、處理或重傳由傳輸系統(tǒng)用戶產(chǎn)生和提供的數(shù)據(jù)的組件。用戶數(shù)量一般未知，與安全相關(guān)和與非安全相關(guān)的設(shè)備以及與軌道交通應(yīng)用無關(guān)的設(shè)備可以連接到開放式傳輸系統(tǒng)。——具有用戶未知的、易受外部影響傳輸特性的任何類型的傳輸介質(zhì)。-能夠按照用戶未知的程序，通過開放式傳輸系統(tǒng)端點之間由一種或多種傳輸介質(zhì)組成的任何路徑路由(以及動態(tài)變更路由)消息的網(wǎng)絡(luò)控制和管理系統(tǒng)?！獋鬏斚到y(tǒng)的其他用戶以未知格式發(fā)送未知數(shù)量的信息，安全相關(guān)應(yīng)用程序設(shè)計人員對此不知情。第3類開放式傳輸系統(tǒng)可能遭受惡意的未經(jīng)授權(quán)訪問。消息應(yīng)用功能技術(shù)技術(shù)功能應(yīng)用應(yīng)用圖1安全相關(guān)通信的參考架構(gòu)9--系統(tǒng)故障；--斷線；-—維修錯誤；-—衰落效應(yīng)；-—火災(zāi)：-—地震；--竊聽； --未經(jīng)授權(quán)消息的傳輸。-—損壞；-—延時； 消息實時性： 當一個實體接收到信息時，信息的含義通常列號或與序列號結(jié)合使用。時間戳的不同用法及其特性見B.1。 -—各種實體中計時器的同步性；消息1之相關(guān)的確認消息j響應(yīng)，見圖3。如果發(fā)送端沒有在預(yù)定時間收到相應(yīng)確認消息j,應(yīng)視為錯誤。發(fā)送端發(fā)送端 ---動態(tài)認證。 BSC非常適合EMI引起的隨機錯誤。但是，非可信傳下采用BSC,見B.4。 防護時間截√√√ √√一√√√√√√√√√·只適用于源標識符，并只檢測來自無效源的插入。如果因為未知用戶而不能確定唯一標識符，應(yīng)使用加密技術(shù)，見7.3.9。見7.4.3和B.2。 這些問題的指南見B.2。(資料性)本文件是對GB/T24339.1—2009和GB/T24339.2—2009進行修訂和合并的結(jié)果。主要進行了表A.1和表A.2顯示了GB/T24339.1—2009和GB/T24339.2—2009的條款和附錄與本文件的這些有助于在按照GB/T24339.1—2009和GB/T24339.2—2009對系統(tǒng)進行維護和/或擴展時具資料性/規(guī)范性引言資料性引言前提條件1前提條件26.3.1的前提條件1前提條件35傳輸系統(tǒng)特征和安全規(guī)程之間的關(guān)系5.1功能完整性要求(起始至P1)未使用 7.1總則6.1總則未使用6.2安全相關(guān)設(shè)備間的通信7.1和7.26.3安全相關(guān)設(shè)備和非安全相關(guān)設(shè)備之間的通信6.4非安全相關(guān)設(shè)備間的通信未使用7.1總則7.3安全編碼的長度附錄A安全編碼的長度資料性不變———參考文獻的變更和術(shù)語的變更，以達到整個標準的一致性。編輯修改———內(nèi)容不變，只是重新安排和改技術(shù)修改——-內(nèi)容移動到其他條款，或者修改。表A.2GB/T24339.2—2009與本文件的對照資料性/規(guī)范性引言資料性引言6.1總則7.1總則7.3具體的防護7.3.6反饋消息7.2威脅/防護矩陣7.4.2威脅/防護矩陣7.3安全編碼和加密技術(shù)的選擇和使用7.4.3安全編碼和加密技術(shù)的選擇和使用資料性B.1時間戳的應(yīng)用資料性應(yīng)用資料性C.1范圍/目的資料性6.1總則資料性附錄D傳輸系統(tǒng)分類C.3步驟資料性E.1步驟資料性附錄D開放式傳輸系統(tǒng)的威脅資料性附錄C開放式傳輸系統(tǒng)面臨的威脅不變———參考文獻的變更和術(shù)語的變更，以達到整個標準的一致性?！z查消息的正確順序；·如果應(yīng)用考慮情況a),雙時間戳可能要求知道往返傳輸?shù)难訒r。盡管通信系統(tǒng)可能未知或在生命周期內(nèi)變化，大多數(shù)情況下可以確定能或B1),見圖B.1,或由使用加密機制的安全相關(guān)傳輸功能提供保護(類型A1)。在這種情況下，下文使A1型消息類型A0和A1的結(jié)構(gòu)原則符合圖B.2的規(guī)定。說明：安全相關(guān)傳輸過程問保護層是有用的，見圖B.3。圖B.3描述的模型背后的隱含假設(shè)是這些LAN可以被分類為類別2。加密硬件和軟件可以集中在開放式傳輸系統(tǒng)的唯一入口點。排除開放式傳輸系安全相關(guān)傳輸安全相關(guān)傳輸過程過程B0或B1型消息安全相關(guān)傳輸b)添加加密編碼。這兩種情況下在發(fā)送安全相關(guān)消息到訪問保護層之前都使用安全編碼，消息類型B0和B1的消息結(jié)構(gòu)原則符合圖B.4和圖B.5的規(guī)定。這些示例顯示了在安全編碼之后立即應(yīng)用的密碼保護。在其他例子中，安全相關(guān)傳輸過程的說明：訪問保護過程安全相關(guān)傳輸過程注：見GB/T24339。安全相關(guān)傳輸過程的圖B.5傳輸系統(tǒng)內(nèi)部消息表示模型(B1型)B.3安全編碼B.3.1總則意攻擊通常采用的方法是應(yīng)用至少一個密鑰的加密算法。安全編碼B.3.2主要分組碼用于差錯控制的大部分編碼都是線性二進制碼。也使用非二進制碼，如理德-所羅門編碼(Reed-Solomoncode)。這些編碼對對抗隨機錯誤和突發(fā)錯誤非常有效。編碼可以設(shè)計為擁有特定的最小漢明距離d。也就是說，可以檢測所有的d-1位錯誤。因為碼字是線性的有用的模型有二進制對稱信道(BSC)和q進制對稱信道(QSC)。這些編碼還可以用于系統(tǒng)傳輸錯B.3.2.3循環(huán)分組碼如果碼字的每次循環(huán)移位仍是碼字，則線性分組碼稱為循環(huán)碼。循試系統(tǒng)性錯誤檢測能力。帶有c個冗余符號的循環(huán)碼可以檢測到突發(fā)長度不超過c的所有突發(fā)錯誤。B.3.2.5數(shù)字簽名數(shù)字簽名是根據(jù)所有輸入數(shù)據(jù)(用戶數(shù)據(jù)和附加數(shù)據(jù))和密鑰生成的一組B.3.2.6加密分組碼各種基本技術(shù)的評估舉例見表B.1。安全相關(guān)傳輸系統(tǒng)的分類，見圖B.1見參考文獻[23]RRRRR表B.1安全編碼機制的評估(續(xù))安全相關(guān)傳輸系統(tǒng)的分類，見圖B,1哈希碼R數(shù)字簽名RRRR注1:當建議了多于一種安全編碼機制時，宜采用一種或多種機制的組合。注2:HR表示該架構(gòu)宜使用該技術(shù)。如果不使用這種技術(shù)，那么不使用它的理由在技術(shù)安全報告中詳細說R表示該技術(shù)宜用于此架構(gòu)。這是一個比“HR”更低級別的推薦。可能有其他安全方法，但此處不考慮。如果使用流加密技術(shù)，那么不適合使用CRC作為安全編碼。否則，攻擊者可以不破譯密鑰，通過給流加密消息添加一個帶有有效CRC的任意消息，創(chuàng)建帶有有效CRC的安全相關(guān)信聲明安全編碼未檢測出錯誤概率Pu是多少，其性能低于隨機編碼的性能Pur=2-*,c表示冗余比B.3.4加密技術(shù)使用加密技術(shù)時宜使用如ISO/IEC10116的標準操作模式。對于輸入長度超過加密算法分組長事實上，這里描述的模型部分依賴于傳輸系統(tǒng)的錯誤檢測和管理機制。通常，在無故障的情況與忽略傳輸系統(tǒng)錯誤檢測能力的模型相比，采用該模型可降低安計算安全編碼長度的基本模型見圖B.6。312以下3種情況可能產(chǎn)生危害：a)傳輸系統(tǒng)故障導(dǎo)致消息損壞；c)傳輸編碼校驗器出現(xiàn)故障，在這種情況下每一個損壞的消息都可能會從非可信傳輸系統(tǒng)傳送k?—硬件故障百分比因子，這些硬件故障導(dǎo)致傳輸譯碼無法檢測；RHw×Pus×k?=Rm…………(B.1)Pur×Pus×fw=Rm…………(B.2)k?×Pus×1/T=RH…………(B.3)三種失效率的和不能超過RH,見公式(B.4)。Rm+RH2+Rn≤R因為不能假設(shè)失效是隨機的，所以有必要在因子k?中考慮安全裕量m。k?因子可以按照公式k?≥n×m…錯誤消息的最大出現(xiàn)頻率fw依照如下方法估算。-—使用安全計數(shù)器和/或安全定時器，限制最大錯誤消息比率或數(shù)量。如果在收到的錯誤消息多于一個，安全通信將被終止同時進入安全降級狀態(tài)?？梢杂脭?shù)學方法證 非安全相關(guān)應(yīng)用和安全相關(guān)應(yīng)用之間的通信示例見圖B.7。在可信網(wǎng)絡(luò)(第1類和第2類)中，非安全相關(guān)應(yīng)用可以使用與安全相關(guān)應(yīng)用相同的傳輸介質(zhì)進行應(yīng)用過程-—網(wǎng)絡(luò)層；GB/T24339—2023用戶層防護MH(主危害)用戶層防護錯誤)應(yīng)用威脅(危害事件)物理圖C.1危害樹-—比預(yù)期接收的消息多，有1個或多個消息重復(fù)，或者有外部消息插入。因此---比預(yù)期接收的消息少，1個或多個消息被刪除。因此基本消息錯誤是刪除消息。以上定義的基本消息錯誤并不互相排斥。在消息流的多個消息甚至是單個消息也有可能受到不只C.3威脅設(shè)定A、B和C是進行安全相關(guān)消息通信的3個授C.3.2重復(fù)速軌道區(qū)間);C.3.3刪除C.3.4插入-一個授權(quán)的第三方C無意地在A發(fā)給B的信息流中插入了一個消息(或由于網(wǎng)絡(luò)錯誤發(fā)生相——X故意改變發(fā)給B的消息的次序(例如，通過強迫消息選取網(wǎng)絡(luò)的不同路徑來延遲消息);C.3.6損壞--—消息意外被改變(如EMI)為另一個形式上正確的A和/或B不能檢測到修改。C.3.7延時C.3.8偽裝消息可能的偽裝消息：A和B想要傳輸安全相關(guān)的數(shù)據(jù)，并且X對A假C.4.2識別危害事件的結(jié)構(gòu)化方法下述分析從考慮所檢驗的案例涉及與外部環(huán)境交互的網(wǎng)絡(luò)開始。這兩個實體由一些子實體組成(圖C.2中用下劃線標注),這些子實體可視為引起所分析系統(tǒng)產(chǎn)生可能的危害事件的致因。網(wǎng)絡(luò)實體網(wǎng)絡(luò)調(diào)試前的活動調(diào)試時的活動電磁場氣候人為因素圖C.2威脅的原因-軟件的系統(tǒng)性失效。 ---布線錯誤。在生命周期的這個階段，系統(tǒng)組件的性能喪失以及維修和/或修改過程中的錯誤都可以引發(fā)危害-—硬件隨機失效；---使用不適當?shù)膬x器；—錯誤的硬件替換；C.修改---人為錯誤。C.停用及處置C.電磁場C.機械應(yīng)力--硬件隨機失效；-—硬件老化； --使用未校準的儀器；-—人為錯誤；---未經(jīng)授權(quán)的軟件修改。根據(jù)C.1所列條款，每個威脅可以看作是由一組危害事件產(chǎn)生的。從前文已識別的危害事件開表C.1?！獭獭獭獭獭獭獭獭獭獭獭獭當_√√√斷線√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√熱噪聲√√√√√√√√√√√閃電√√√√√竊聽√√√√√√√√√√√√√√√發(fā)送未經(jīng)授權(quán)消息√√通道監(jiān)測—在這種情況下，消息從一開始就是偽造的；需要強大的防護措施，未經(jīng)授權(quán)監(jiān)控SR消息不被視為直接危害事件；系統(tǒng)安全的危害源于未經(jīng)授權(quán)監(jiān)控導(dǎo)輸”。應(yīng)用數(shù)據(jù)的機密性是本文件范圍之外的單(資料性)6.3確定了3類傳輸系統(tǒng)：-—第1類為封閉式傳輸系統(tǒng)，系統(tǒng)的所有基本屬性均在安全相關(guān)系統(tǒng)設(shè)計者的-—第2類為開放式傳輸系統(tǒng)，盡管傳輸不完全在安全相關(guān)系統(tǒng)設(shè)計者的控制下-—第3類為可能遭受惡意攻擊的開放式傳輸系統(tǒng)，需要采取加密防護措施。上述3類系統(tǒng)相關(guān)的實際傳輸系統(tǒng)的進一步指導(dǎo)。確定特定系統(tǒng)是否被視為第1、2或3類系統(tǒng)進行分析。表D.1傳輸系統(tǒng)分類示例為最大通信節(jié)點數(shù)量已知和固定的系統(tǒng)設(shè)計。在整個生命周期內(nèi)不變。近距離空氣間隙傳輸(例如應(yīng)答器發(fā)送給車載天線)。安全相關(guān)系統(tǒng)內(nèi)部的專有串行總線(例如，PROFIBUS、CAN和完全滿足并保持前提條件、在單個系統(tǒng)內(nèi)連接不同設(shè)備(安全相關(guān)和用戶組擴展的范圍有限。已知用戶組或組。未經(jīng)授權(quán)的訪問機會可忽略(網(wǎng)絡(luò)可信)。安全相關(guān)系統(tǒng)內(nèi)部的專有串行總線(例如，PROFI系統(tǒng)可能在生命周期內(nèi)重新配置或由另一個傳輸系統(tǒng)替換。工業(yè)標準LAN在受控和有限的區(qū)域內(nèi)連接不同的系統(tǒng)(安全相關(guān)和非安全相關(guān))。連接不同位置的不同系統(tǒng)(安全相關(guān)和非安全相偶爾使用并且在不可預(yù)測的時間使用的公共電(例如，聯(lián)鎖系統(tǒng)的撥號遠程診斷)。接入受限的無線電傳輸系統(tǒng)(例如，因為鏈路預(yù)算發(fā)的波導(dǎo)或泄漏電纜，或使用專有的調(diào)制方案，無法通過現(xiàn)有的商用或可負擔的實驗室設(shè)備產(chǎn)生相同信號的系統(tǒng))公共電話網(wǎng)中的分組交換數(shù)據(jù)?；ヂ?lián)網(wǎng)。電路交換無線系統(tǒng)(例如，GSM-R)。分組交換數(shù)據(jù)無線系統(tǒng)(例如，GPRS)。短程廣播無線電(例如，WiFi)。十十十十十一十一一——威脅可被忽略；十—脅存在，但是很少，采用一般對策；在這種通用的級別上，無法根據(jù)傳輸系統(tǒng)的分類以及對每種威脅需要的防護分配SIL;為了分配應(yīng)用圖E.1步驟示意圖E.1.2應(yīng)用E.1.6安全需求規(guī)格書(SRS)已識別的系統(tǒng)安全操作所需防護，實現(xiàn)這些防護的SIL和量化的安全目標都記錄在系統(tǒng)的E.2示例E.2.1總則E.2.2應(yīng)用系統(tǒng)的全局安全目標定義為10-'/h。E.2.3危害分析a)車上接收到一個不正確(錯誤側(cè))消息會導(dǎo)致該列車進入一個已被占用的區(qū)間，并且與另一列b)接收緊急停車消息時延遲會導(dǎo)致列車與軌分配的系統(tǒng)全局安全目標是10-1/h,例如，情況1、情況2分配的指標是10?/h。E.2.4情況1圖E.3情況1的故障樹E.2.5情況2圖E.4情況2的故障樹[1]GB/T15851.3—2018信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案第3部分：基[2]GB/T15852.1—2020信息技術(shù)安全技術(shù)消息鑒別碼第1部分：采用分組密碼的[3]GB/T17901.1—2020信息技術(shù)安全技術(shù)密鑰管理第1部分：框架givingmessagerecovery—Part2:Intege7]ISO/IEC10116Informationtecr[9]ISO/IEC10118-2Informationtechnology—Securitytechniques—Hash[10]ISO/IEC10118-3:2004Informationtechnology—SecuPart3:Dedicatedhash-fun[11]ISO/IEC10118-4:19