一种适用于轨道交通的通信加密方法技术

本发明专利技术公开了一种有轨电车信号系统的信号仿真模拟系统和模拟方法，涉及轨道交通通信加密技术领域，该方法包括加密协商步骤，采用通过自动协商并适配的方式统一分布式终端和中心终端使用的加密方法，密钥生成步骤，用于基于相同的加密方法通过一定的算法产生对应的密钥，密钥交换步骤，分布式终端和中心终端将生成密钥通过传输网络以安全的方式进行交换，密钥存储步骤，分布式终端和中心终端将密钥以密文的形式进行存储，配置使用步骤，分布式终端和中心终端使用存储的密钥配置到对应的设备上，对传输的数据进行加密，密钥更新步骤，在分布式终端设置密钥更新的规则，实现密钥的时效性。与现有技术相比，本发明专利技术具有适用范围广、保密程度高等优点，避免了密钥的泄露或者被破解，从而更好的保障轨道交通的安全运营。营。营。

【技术实现步骤摘要】
一种适用于轨道交通的通信加密方法


[0001]本专利技术涉及轨道交通通信加密
，确切地说涉及一种适用于轨道交通的通信加密方法。

技术介绍

[0002]城市轨道交通信号系统是保证列车运行安全，实现行车指挥和列车运行现代化，提高运输效率的关键系统。
[0003]城市轨道交通信号系统通常由列车运行运行自动控制系统（ATC）和车辆段信号控制系统两大部分组成，用于列车进路控制、列车间隔控制、调度指挥、信息管理、设备工况监测及维护管理，由此构成一个高效综合自动化系统。列车自动控制系统（ATC）按闭塞布点方式可分为：固定式和移动式，固定闭塞方式中按控制方式，又可分为速度码模式（台阶式）和目标距离码模式（曲线式）。按机车信号传输方式可分为连续式和点式。按照各系统设备所处地域可分为：控制中心子系统、车站及轨旁子系统、车载设备子系统、车场子系统。
[0004]即，城市轨道交通中信号系统的涉及到不同节点之间的数据传输，其使用的传输介质种类多、距离长且部分介质存在于开放的空间范围内，存在一定的非授权接入风险，且传输内容存在被窥视、截取甚至篡改的可能。而且目前信息系统中没有鉴权机制或者只有单向鉴权机制，加密算法选择时仅采用一种固定的加密算法甚至不采用加密算法，密钥的存储和更新也缺乏相应的机制，存在安全的隐患。

技术实现思路

[0005]本专利技术的目的在于针对现有技术的不足、克服现有技术的缺点，提供一种采用通过自动协商并适配的方式统一分布式终端和中心终端使用的加密方法，具有适用范围广、保密程度高等优点，避免了密钥的泄露或者被破解，从而更好的保障轨道交通的安全运营的通信加密方法及其装置。
[0006]本专利技术的目的是通过以下技术方案实现的：本专利技术涉及一种适用于轨道交通的通信加密方法，其特征在于，包括以下步骤：初始化步骤，在中心终端存储与所有分布式终端中相同的机要加密算法EA、设备编码和设备私钥；鉴权协商步骤，分布式终端向中心终端发送加密通信申请，中心终端通过鉴权挑战和鉴权响应判断发送加密通信申请的分布式终端是否是合法终端；加密协商步骤，经过所述鉴权协商步骤判断为合法的分布式终端向中心终端上报加密算法，中心终端收到上报的加密算法后进行认可，确定通信加密使用的加密算法；密钥生成步骤，分布式终端和中心终端分别基于所述加密协商步骤中确定的加密算法计算并产生各自的密钥；密钥交换步骤，分布式终端和中心终端将生成的密钥通过传输网络以安全的方式进行交换；
密钥存储步骤，分布式终端和中心终端均将所述密钥交换步骤中生成的密钥以密文的形式进行存储；配置使用步骤，分布式终端和中心终端使用各自以密文的形式存储的密钥对相互传输的数据进行加密。
[0007]所述鉴权协商步骤，具体的，包括以下步骤：步骤201，所述分布式终端向中心终端发送包含设备编码SNo的加密通信申请，中心终端收到分布式终端的加密通信申请生后成一个随机生成的数组作为鉴权挑战码ACD发送给对应的分布式终端，并按照所述设备编码SNo调用其存储的对应的设备密钥Ks1，并使用设备密钥Ks1作为密钥、调用AES算法对鉴权挑战码ACD进行加密获得鉴权响应码ARD1；即设备密钥Ks1是初始化时设置、由中心终端和分布式终端保管使用、用于设备鉴权的。
[0008]步骤202，分布式终端收到鉴权挑战码ACD后，使用其设备私钥中用于设备鉴权的设备密钥Ks1作为密钥，并调用AES算法对鉴权挑战码ACD进行加密、得到鉴权响应码ARD2；以及分布式终端使用机要加密算法EA生成机要公钥Ks2和机要私钥Ks3；优选地，所述机要加密算法EA，即EA
‑
KEY，是一种专用加密工具，其中最新的EA－Key3.1采用的是AES256位加密算法对文件进行加密，而出于安全要求，所述机要加密算法EA为国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法SM2算法。SM2算法和RSA算法都是公钥密码算法，SM2算法是一种更先进安全的算法，与RSA算法相比SM2密码复杂度高、处理速度快、机器性能消耗更小，性能更优更安全，在我们国家商用密码体系中被用来替换RSA算法。
[0009]步骤203，分布式终端将步骤2中得到的鉴权响应码ARD2和机要公钥Ks2，以及所述机要加密算法EA的编码发送给中心终端，中心终端将所述分布式终端的鉴权响应码ARD2与步骤1中中心终端自己计算得到的鉴权响应码ARD1进行对比判断一致性从而完成对分布式终端是否是合法终端的判断。
[0010]所述加密协商步骤，具体的，包括以下步骤：步骤301，中心终端根据分布式终端发送的加密通信申请中所包含的机要加密算法的编码，调用中心终端自己存储的对应的机要加密算法EA，并作为本次与分布式终端通信的加密算法；步骤302，中心终端根据步骤301中确定的加密算法生成用于数据加密的会话密钥Ks4，然后用密文的方式保存会话密钥Ks4；步骤303，中心终端使用机要加密算法EA、以及中心终端收到的来自分布式终端使用机要加密算法EA生成的机要公钥Ks2，对会话密钥Ks4进行加密生成会话密文Ks5并传输给分布式终端；即机要公钥Ks2由分布式终端生成并发送给中心终端保管使用，并用于加密会话密钥Ks4，从而生成会话密文Ks5。
[0011]步骤304，分布式终端使用机要加密算法EA生成机要私钥Ks3将步骤303中收到的会话密文Ks5还原为会话密钥Ks4并用密文的方式保存，并且分布式终端使用还原出的会话密钥Ks4对其与中心终端之间的通信数据进行加、解密，对应的，所述中心终端也使用会话密钥Ks4进行中心终端和分布式终端之间的通信数据的加、解密。而会话密钥Ks4由中心终端生成发送给分布式终端，并由中心终端和分布式终端保管使用，用于加解密中心终端和分布式终端之间的通信数据；中心终端通过机要公钥Ks2加密生成会话密文Ks5，用于将会
话密钥Ks4以加密的形式传给分布式终端。
[0012]进一步的，还包括密钥更新步骤，在分布式终端设置密钥的更新规则，分布式终端根据所述更新规则，定期向中心终端发送加密通信申请，重复所述鉴权协商步骤至所述密钥存储步骤完成对分布式终端和中心终端中的密钥更新。
[0013]具体的，分布式终端实时检查密的钥更新规则，判断收到会话密钥Ks4后是否已经超过24小时，如超过24小时则分布式终端通知中心终端更新会话密钥Ks4，然后重新执行所述步骤302。
[0014]与现有技术相比，上述技术方案包括以下创新点及有益效果（优点）：本专利技术具有适用范围广、保密程度高等优点，避免了密钥的泄露或者被破解，从而更好的保障轨道交通的安全运营。并且可靠性高，通过同一个信息系统中使用不同加密算法，可以提升整个系统对抗数据窥探修改的能力；灵活性高，不同分布式终端可以采用不同的加密算法，应对不同的工程需求；健壮性好，通过挑战鉴权的方式降低外界恶意攻击对于中心终端的影响；时效性好，通过密钥更新机制，增加外界的恶意破译的难度。
附图说明
[0015]本专利技术的前述和下文具体描述在结合以下附图阅读时变得更清楚，其中：图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种适用于轨道交通的通信加密方法，其特征在于，包括以下步骤：初始化步骤，在中心终端存储与所有分布式终端中相同的机要加密算法EA、设备编码和设备私钥；鉴权协商步骤，分布式终端向中心终端发送加密通信申请，中心终端通过鉴权挑战和鉴权响应判断发送加密通信申请的分布式终端是否是合法终端；加密协商步骤，经过所述鉴权协商步骤判断为合法的分布式终端向中心终端上报加密算法，中心终端收到上报的加密算法后进行认可，确定通信加密使用的加密算法；密钥生成步骤，分布式终端和中心终端分别基于所述加密协商步骤中确定的加密算法计算并产生各自的密钥；密钥交换步骤，分布式终端和中心终端将生成的密钥通过传输网络以安全的方式进行交换；密钥存储步骤，分布式终端和中心终端均将所述密钥交换步骤中生成的密钥以密文的形式进行存储；配置使用步骤，分布式终端和中心终端使用各自以密文的形式存储的密钥对相互传输的数据进行加密。2.如权利要求1所述的一种适用于轨道交通的通信加密方法，其特征在于，所述鉴权协商步骤包括以下步骤：步骤201，所述分布式终端向中心终端发送包含设备编码SNo的加密通信申请，中心终端收到分布式终端的加密通信申请生后成一个随机生成的数组作为鉴权挑战码ACD发送给对应的分布式终端，并按照所述设备编码SNo调用其存储的对应的设备密钥Ks1，并使用设备密钥Ks1作为密钥、调用AES算法对鉴权挑战码ACD进行加密获得鉴权响应码ARD1；步骤202，分布式终端收到鉴权挑战码ACD后，使用其设备私钥中用于设备鉴权的设备密钥Ks1作为密钥，并调用AES算法对鉴权挑战码ACD进行加密、得到鉴权响应码ARD2；以及分布式终端使用机要加密算法EA生成机要公钥Ks2和机要私钥Ks3；步骤203，分布式终端将步骤2中得到的鉴权响应码ARD2和机要公钥Ks2，以及所述机要加密算法EA的编码发送给中心终端，中心终端将所述分布式终端的鉴权响应码AR...

【专利技术属性】
技术研发人员：马钰昕，黄辉，韩熠，马征，周庭梁，苏阿峰，杨辉，李鸿毛，
申请(专利权)人：卡斯柯信号成都有限公司，
类型：发明
国别省市：