一种对铁路信号安全通信协议RSSP-I加密认证的系统及其方法技术方案

本发明专利技术涉及一种对铁路信号安全通信协议RSSP‑I加密认证的系统及其方法。该系统包含：注册机构、认证中心、证书库、接入轨道交通系统的多个设备；各个设备之间通过公私钥对对数据进行加密通信，各个设备在注册机构进行入网注册，注册后由认证中心分配给各个设备进行通信的公私钥对，并颁发认证证书并同步存储在证书库中；所述公私钥对由公钥密码串以及每个设备唯一的私钥密码串组成，公钥密码串被公开记录在所述认证证书中；私钥密码串存储在对应的设备内部专有模块。本发明专利技术通过在原有的RSSP‑I安全防御技术基础之上，利用公私钥对加密技术对原始数据报文进行加密通信，实现在开放式网络环境下也能进行高性能安全通信。

【技术实现步骤摘要】
一种对铁路信号安全通信协议RSSP-I加密认证的系统及其方法
本专利技术涉及一种安全通信协议的实现系统，具体涉及一种对铁路信号安全通信协议RSSP-I加密认证的系统。本专利技术涉及一种安全通信协议的实现方法，具体涉及一种对铁路信号安全通信协议RSSP-I加密认证的方法。
技术介绍
在城市轨道交通控制领域中，实现安全设备之间的通信往往需要RSSP-I(RailwaySignalSafetyProtocol，铁路信号安全协议1型)协议，RSSP-I协议规定了封闭式传输系统下，信号安全设备之间进行安全相关信息交互的功能结构和协议，封闭式网络在GB/T24339.1中定义为“连接的设备数量固定或最大数量固定，有已知且固定的特性的传输系统，对于此系统可以忽略非法访问的风险。”其潜在的威胁有数据帧的重复，丢失，插入，乱序，错误，传输超时等。为降低上述威胁风险，RSSP-I采用了一系列安全防御技术，包括但不限于序列号、时间戳、源目标识、双重校验算法等，通过这些安全技术RSSP-I保证了在封闭式网络环境下数据包的真实完整性，以及实时有序性。但这也限定了RSSP-I通信协议的适用范围，使其只能在不考虑网络攻击的系统中使用。考虑到实时性等性能方面的影响，RSSP-I协议基于UDP(userdatagramprotocol，用户数据包协议)协议进行应用扩展，曾有研究数据显示，当网络环境变好，网络传输的延迟、稳定性也随之改善，UDP的丢包率可控制在5％以内。所以为了拓展RSSP-I协议在以后可能的应用场景，需要一种基于身份认证的加密技术来保证RSSP-I协议在开放式网络环境下也可以使用。公钥基础设施(PublicKeyInfrastructure，PKI)是支持公开密钥管理以及认证、加密、完整性和可追究性服务的基础设施，是一种遵循国际标准的技术和规范，其目标就是要利用公钥密码学的理论知识，建立起一种广泛适用的基础设施，为各类网络应用提供全面的安全服务，以使得网络之间的用户可以进行安全通信。PKI的核心是证书服务，其基本实体主要包括注册机构(RegistrationAuthority，RA)、认证中心(CertificateAuthority，CA)、和证书库(CertificateRepository，CR)，PKI基础是加密技术。PKI系统把公钥密码和对称密码结合起来，实现密钥的自动管理，为用户建立起一个安全的网络运行环境，使其简单便捷的获取数字加解密服务，从而保证通信数据的保密性、完整性、真实性以及交易的不可抵赖性。数字签名是用加密算法对待发的数据进行运算，生成一串数据作为附件和原文一起发送的加密技术。这串数据可称作签名值，类似于现实中的手写签名，接收方收到原文后，便可通过签名值对原文的真伪性进行验证。在铁路信号控制领域中，可以设置一套专有的信任实体，包含铁路证书注册机构RA，铁路证书认证机构CA，并实施分级管理，实现各个厂商在轨交领域统一的权威机构。使用RSSP-I进行通信的每一个安全设备在接入网络时均需在RA中进行注册，利用硬件密码设备产生本设备进行通信的公私钥对，并在正式运营后使用数字签名技术对待发的数据进行签名以及对接收到的数据进行验签，验证通过才开始后续的RSSP-I安全防御流程。通过对原有RSSP-I加入安全加密技术，来实现对通信报文的加密处理，保证RSSP-I协议在开放式网络下的适用性。
技术实现思路
为实现上述目的，本专利技术提供了一种对铁路信号安全通信协议RSSP-I加密认证的系统，包含注册机构、认证中心、证书库、接入轨道交通系统网络的多个设备；各个所述设备使用RSSP-I通信协议进行通信；各个所述设备在注册机构进行入网注册，注册机构获取并认证各个设备的身份，并向认证中心提出证书请求，认证中心分配给各个设备进行通信的公私钥对，并颁发认证证书；所述公私钥对由公钥密码串以及每个设备唯一的私钥密码串组成，公钥密码串被公开记录在所述认证证书中，该认证证书同步存储在证书库中；私钥密码串存储在对应的设备内部专有模块；各个设备之间进行通信过程中，需由发送端设备用自身的私钥密码串对数据进行加密处理，并将加密数据以及原始数据发送至接收端设备；接收端设备在证书库中下载相应的发送端设备的认证证书获得发送端设备的公钥密码串，利用公钥密码串对加密数据进行解密得到解密数据，并比较解密数据与接收到的原始数据的差异，若解密数据与接收到的原始数据相同则说明数据未被篡改。根据上述信号安全通信协议RSSP-I加密认证的系统，本专利技术还提供了一种对铁路信号安全通信协议RSSP-I加密认证的方法，具体包含以下步骤：S1：通过RSSP-I协议接入到轨道交通系统网络的各个设备在注册机构进行入网注册，获取认证证书，以及获得对应的公私钥对；所述公私钥对由公钥密码串以及每个设备唯一的私钥密码串组成，公钥密码串被公开记录在所述认证证书中，该认证证书由证书库保存；私钥密码串存储在对应的设备内部专有模块；S2：各个设备进行通信过程中，通信双方通过公私钥对进行数据加密通信；所述S2步骤的数据加密通信包含发送端利用私钥数据串数据进行加密发送以及接收端利用公钥数据串对加密数据进行解密接收。其中，所述S2步骤发送端对数据进行加密发送包含以下内容：S21：发送端设备获取用户待发送的数据；S22：根据RSSP-I通信协议对待发送的数据增加RSSP-I原有安全防御字段作为原始数据报文；S23：利用哈希运算，计算出原始数据报文的信息摘要；S24：发送端设备利用内部的私钥数据串计算出该信息摘要对应的数字签名值，数字签名值按密钥逻辑固定在某一具体长度；S25：拼接数字签名值和原始数据报文作为整体报文；S26：查找接收端设备的配置信息并向其发送拼接的整体报文。进一步地，所述S22步骤的RSSP-I原有安全防御字段包括序列号，源地址，目的地址，时间戳，系统校核字，冗余校验，该源地址中记录了发送端设备的设备标识。进一步地，若所述S24步骤数字签名值长度不符合校验，则退回至S23步骤。进一步地，所述S25步骤中当前整体报文处理完毕，若还有多条待发送的数据则重复S21-S25步骤对各条待发送数据循环处理，直至所有数据处理完毕。其中，所述S2步骤接收端设备解密接收包含以下内容：S27：接收端设备接收到整体报文，并按照固定的数字签名值长度在整体报文中进行偏移寻址，分离出数字签名值和原始数据报文；S28：从原始数据报文中获取发送端设备的设备标识，根据设备标识从证书库下载该设备的认证证书，从认证证书中获取该设备的公钥密码串；S29：利用获取的公钥密码串对数字签名值进行解密运算得到第一摘要；S210：利用与发送端设备共同的哈希运算算法对原始数据报文重新进行一遍哈希运算得到第二摘要；S211：比较第一摘要与第二摘要，若两者不相等则证明原始数据报文已被篡改，并向发送端设备发送报警信息；本文档来自技高网...

【技术保护点】
1.一种对铁路信号安全通信协议RSSP-I加密认证的系统，其特征在于，包含：注册机构、认证中心、证书库、接入轨道交通系统网络的多个设备；/n各个所述设备使用RSSP-I通信协议进行通信；/n各个所述设备在注册机构进行入网注册，注册机构获取并认证各个设备的身份，并向认证中心提出证书请求，认证中心分配给各个设备进行通信的公私钥对，并颁发认证证书；/n所述公私钥对由公钥密码串以及每个设备唯一的私钥密码串组成，公钥密码串被公开记录在所述认证证书中，该认证证书同步存储在证书库中；私钥密码串存储在对应的设备内部专有模块；/n各个设备之间进行通信过程中，需由发送端设备用自身的私钥密码串对数据进行加密处理，并将加密数据以及原始数据发送至接收端设备；接收端设备在证书库中下载相应的发送端设备的认证证书获得发送端设备的公钥密码串，利用公钥密码串对加密数据进行解密得到解密数据，并比较解密数据与接收到的原始数据的差异，若解密数据与接收到的原始数据相同则说明数据未被篡改。/n

【技术特征摘要】
1.一种对铁路信号安全通信协议RSSP-I加密认证的系统，其特征在于，包含：注册机构、认证中心、证书库、接入轨道交通系统网络的多个设备；
各个所述设备使用RSSP-I通信协议进行通信；
各个所述设备在注册机构进行入网注册，注册机构获取并认证各个设备的身份，并向认证中心提出证书请求，认证中心分配给各个设备进行通信的公私钥对，并颁发认证证书；
所述公私钥对由公钥密码串以及每个设备唯一的私钥密码串组成，公钥密码串被公开记录在所述认证证书中，该认证证书同步存储在证书库中；私钥密码串存储在对应的设备内部专有模块；
各个设备之间进行通信过程中，需由发送端设备用自身的私钥密码串对数据进行加密处理，并将加密数据以及原始数据发送至接收端设备；接收端设备在证书库中下载相应的发送端设备的认证证书获得发送端设备的公钥密码串，利用公钥密码串对加密数据进行解密得到解密数据，并比较解密数据与接收到的原始数据的差异，若解密数据与接收到的原始数据相同则说明数据未被篡改。


2.一种对铁路信号安全通信协议RSSP-I加密认证的方法，其特征在于，包含以下步骤：
S1：通过RSSP-I协议接入到轨道交通系统网络的各个设备在注册机构进行入网注册，获取认证证书，以及获取对应的公私钥对；
所述公私钥对由公钥密码串以及每个设备唯一的私钥密码串组成，公钥密码串被公开记录在所述认证证书中，该认证证书由证书库保存；私钥密码串存储在对应的设备内部专有模块；
S2：各个设备进行通信过程中，通信双方通过公私钥对进行数据加密通信；
所述S2步骤的数据加密通信包含发送端设备利用私钥密码串对数据进行加密发送以及接收端设备利用发送端设备的公钥密码串对加密数据进行解密接收。


3.如权利要求2所述的对铁路信号安全通信协议RSSP-I加密认证的方法，其特征在于，所述S2步骤发送端设备对数据进行加密发送包含以下内容：
S21：发送端设备获取用户待发送的数据；
S22：根据RSSP-I通信协议对待发送的数据增加RSSP-I原有安全防御字段作为原始数据报文；
S23：利用哈希运算，计算出原始数据报文的信息摘要；
S24：发送端设备利用内部的私钥密码串计算出该信息摘要对应的数字签名值，数字签名值按密钥逻辑固定在某一具体长度；
S25：拼接数字签名值和原始数据报文作为整体报文；
S26：查找接收端设备的配置信息并向其发送拼接的整体报文。


4.如权利要求3...

【专利技术属性】
技术研发人员：简春福，傅林泰，张立鹏，蒋建金，李长远，于金陆，张娟，樊昊天，
申请(专利权)人：卡斯柯信号有限公司，
类型：发明
国别省市：上海;31