GB∕ T 24339-2023 軌道交通 通信、信號(hào)和處理系統(tǒng) 傳輸系統(tǒng)中的安全相關(guān)通信（正式版）

代替GB/T24339.1—2009和GB/T24339.2—2009傳輸系統(tǒng)中的安全相關(guān)通信國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)I Ⅲ V 1 13術(shù)語(yǔ)和定義、縮略語(yǔ) 1 75傳輸系統(tǒng)的威脅源 96傳輸系統(tǒng)分類 附錄A(資料性)新舊標(biāo)準(zhǔn)對(duì)比 附錄B(資料性)防護(hù)指南 22附錄C(資料性)開放式傳輸系統(tǒng)面臨的威脅 附錄D(資料性)傳輸系統(tǒng)的分類 41附錄E(資料性)本文件使用指南 43 47Ⅲa)更改了范圍(見第1章);2009的A.2);--—附錄A對(duì)應(yīng)IEC62280:2014的附錄E;-—附錄B對(duì)應(yīng)IEC62280:2014的附錄C;——用規(guī)范性引用的GB/T28809替換了IEC62425:2007(見第1章、第4章、第5章、7.2.5、——將IEC62280:2014中腳注1更改為第5章的注；——2009年首次發(fā)布為GB/T24339.1—2009和GB/T24339.2—2009;V1 GB/T28809軌道交通通信、信號(hào)和處理系統(tǒng)信號(hào)用安全相關(guān)電子系統(tǒng)(GB/T28809—23GB/T24339—2023危害hazard45安全完整性等級(jí)safetyintegr6傳輸編碼transmissioncode傳輸系統(tǒng)transmissionsystem有效性validityBCH-code:BCH碼(Bose,Ray-Chaudhuri,HocquenghemCode)BSC:二進(jìn)制對(duì)稱信道(BinarySymmetricChannel)7EMI:電磁干擾(ElectromagneticWiFi:無(wú)線保真(WirelessFid主要架構(gòu)的組合視圖——開放式和封閉式傳輸系統(tǒng)，見圖1,其中8—-按照用戶未知的程序，讀取、存儲(chǔ)、處理或重傳由傳輸系統(tǒng)用戶產(chǎn)生和提供的數(shù)據(jù)的組件。用戶數(shù)量一般未知，與安全相關(guān)和與非安全相關(guān)的設(shè)備以及與軌道交通應(yīng)用無(wú)關(guān)的設(shè)備可以連接到開放式傳輸系統(tǒng)?！哂杏脩粑粗?、易受外部影響傳輸特性的任何類型的傳輸介質(zhì)。-能夠按照用戶未知的程序，通過(guò)開放式傳輸系統(tǒng)端點(diǎn)之間由一種或多種傳輸介質(zhì)組成的任何路徑路由(以及動(dòng)態(tài)變更路由)消息的網(wǎng)絡(luò)控制和管理系統(tǒng)。——傳輸系統(tǒng)的其他用戶以未知格式發(fā)送未知數(shù)量的信息，安全相關(guān)應(yīng)用程序設(shè)計(jì)人員對(duì)此不知情。第3類開放式傳輸系統(tǒng)可能遭受惡意的未經(jīng)授權(quán)訪問(wèn)。消息應(yīng)用功能技術(shù)技術(shù)功能應(yīng)用應(yīng)用圖1安全相關(guān)通信的參考架構(gòu)9--系統(tǒng)故障；--斷線；-—維修錯(cuò)誤；-—衰落效應(yīng)；-—火災(zāi)：-—地震；--竊聽； --未經(jīng)授權(quán)消息的傳輸。-—損壞；-—延時(shí)； 消息實(shí)時(shí)性： 當(dāng)一個(gè)實(shí)體接收到信息時(shí)，信息的含義通常列號(hào)或與序列號(hào)結(jié)合使用。時(shí)間戳的不同用法及其特性見B.1。 -—各種實(shí)體中計(jì)時(shí)器的同步性；消息1之相關(guān)的確認(rèn)消息j響應(yīng)，見圖3。如果發(fā)送端沒(méi)有在預(yù)定時(shí)間收到相應(yīng)確認(rèn)消息j,應(yīng)視為錯(cuò)誤。發(fā)送端發(fā)送端 ---動(dòng)態(tài)認(rèn)證。 BSC非常適合EMI引起的隨機(jī)錯(cuò)誤。但是，非可信傳下采用BSC,見B.4。 防護(hù)時(shí)間截√√√ √√一√√√√√√√√√·只適用于源標(biāo)識(shí)符，并只檢測(cè)來(lái)自無(wú)效源的插入。如果因?yàn)槲粗脩舳荒艽_定唯一標(biāo)識(shí)符，應(yīng)使用加密技術(shù)，見7.3.9。見7.4.3和B.2。 這些問(wèn)題的指南見B.2。(資料性)本文件是對(duì)GB/T24339.1—2009和GB/T24339.2—2009進(jìn)行修訂和合并的結(jié)果。主要進(jìn)行了表A.1和表A.2顯示了GB/T24339.1—2009和GB/T24339.2—2009的條款和附錄與本文件的這些有助于在按照GB/T24339.1—2009和GB/T24339.2—2009對(duì)系統(tǒng)進(jìn)行維護(hù)和/或擴(kuò)展時(shí)具資料性/規(guī)范性引言資料性引言前提條件1前提條件26.3.1的前提條件1前提條件35傳輸系統(tǒng)特征和安全規(guī)程之間的關(guān)系5.1功能完整性要求(起始至P1)未使用 7.1總則6.1總則未使用6.2安全相關(guān)設(shè)備間的通信7.1和7.26.3安全相關(guān)設(shè)備和非安全相關(guān)設(shè)備之間的通信6.4非安全相關(guān)設(shè)備間的通信未使用7.1總則7.3安全編碼的長(zhǎng)度附錄A安全編碼的長(zhǎng)度資料性不變———參考文獻(xiàn)的變更和術(shù)語(yǔ)的變更，以達(dá)到整個(gè)標(biāo)準(zhǔn)的一致性。編輯修改———內(nèi)容不變，只是重新安排和改技術(shù)修改——-內(nèi)容移動(dòng)到其他條款，或者修改。表A.2GB/T24339.2—2009與本文件的對(duì)照資料性/規(guī)范性引言資料性引言6.1總則7.1總則7.3具體的防護(hù)7.3.6反饋消息7.2威脅/防護(hù)矩陣7.4.2威脅/防護(hù)矩陣7.3安全編碼和加密技術(shù)的選擇和使用7.4.3安全編碼和加密技術(shù)的選擇和使用資料性B.1時(shí)間戳的應(yīng)用資料性應(yīng)用資料性C.1范圍/目的資料性6.1總則資料性附錄D傳輸系統(tǒng)分類C.3步驟資料性E.1步驟資料性附錄D開放式傳輸系統(tǒng)的威脅資料性附錄C開放式傳輸系統(tǒng)面臨的威脅不變———參考文獻(xiàn)的變更和術(shù)語(yǔ)的變更，以達(dá)到整個(gè)標(biāo)準(zhǔn)的一致性?！z查消息的正確順序；·如果應(yīng)用考慮情況a),雙時(shí)間戳可能要求知道往返傳輸?shù)难訒r(shí)。盡管通信系統(tǒng)可能未知或在生命周期內(nèi)變化，大多數(shù)情況下可以確定能或B1),見圖B.1,或由使用加密機(jī)制的安全相關(guān)傳輸功能提供保護(hù)(類型A1)。在這種情況下，下文使A1型消息類型A0和A1的結(jié)構(gòu)原則符合圖B.2的規(guī)定。說(shuō)明：安全相關(guān)傳輸過(guò)程問(wèn)保護(hù)層是有用的，見圖B.3。圖B.3描述的模型背后的隱含假設(shè)是這些LAN可以被分類為類別2。加密硬件和軟件可以集中在開放式傳輸系統(tǒng)的唯一入口點(diǎn)。排除開放式傳輸系安全相關(guān)傳輸安全相關(guān)傳輸過(guò)程過(guò)程B0或B1型消息安全相關(guān)傳輸b)添加加密編碼。這兩種情況下在發(fā)送安全相關(guān)消息到訪問(wèn)保護(hù)層之前都使用安全編碼，消息類型B0和B1的消息結(jié)構(gòu)原則符合圖B.4和圖B.5的規(guī)定。這些示例顯示了在安全編碼之后立即應(yīng)用的密碼保護(hù)。在其他例子中，安全相關(guān)傳輸過(guò)程的說(shuō)明：訪問(wèn)保護(hù)過(guò)程安全相關(guān)傳輸過(guò)程注：見GB/T24339。安全相關(guān)傳輸過(guò)程的圖B.5傳輸系統(tǒng)內(nèi)部消息表示模型(B1型)B.3安全編碼B.3.1總則意攻擊通常采用的方法是應(yīng)用至少一個(gè)密鑰的加密算法。安全編碼B.3.2主要分組碼用于差錯(cuò)控制的大部分編碼都是線性二進(jìn)制碼。也使用非二進(jìn)制碼，如理德-所羅門編碼(Reed-Solomoncode)。這些編碼對(duì)對(duì)抗隨機(jī)錯(cuò)誤和突發(fā)錯(cuò)誤非常有效。編碼可以設(shè)計(jì)為擁有特定的最小漢明距離d。也就是說(shuō)，可以檢測(cè)所有的d-1位錯(cuò)誤。因?yàn)榇a字是線性的有用的模型有二進(jìn)制對(duì)稱信道(BSC)和q進(jìn)制對(duì)稱信道(QSC)。這些編碼還可以用于系統(tǒng)傳輸錯(cuò)B.3.2.3循環(huán)分組碼如果碼字的每次循環(huán)移位仍是碼字，則線性分組碼稱為循環(huán)碼。循試系統(tǒng)性錯(cuò)誤檢測(cè)能力。帶有c個(gè)冗余符號(hào)的循環(huán)碼可以檢測(cè)到突發(fā)長(zhǎng)度不超過(guò)c的所有突發(fā)錯(cuò)誤。B.3.2.5數(shù)字簽名數(shù)字簽名是根據(jù)所有輸入數(shù)據(jù)(用戶數(shù)據(jù)和附加數(shù)據(jù))和密鑰生成的一組B.3.2.6加密分組碼各種基本技術(shù)的評(píng)估舉例見表B.1。安全相關(guān)傳輸系統(tǒng)的分類，見圖B.1見參考文獻(xiàn)[23]RRRRR表B.1安全編碼機(jī)制的評(píng)估(續(xù))安全相關(guān)傳輸系統(tǒng)的分類，見圖B,1哈希碼R數(shù)字簽名RRRR注1:當(dāng)建議了多于一種安全編碼機(jī)制時(shí)，宜采用一種或多種機(jī)制的組合。注2:HR表示該架構(gòu)宜使用該技術(shù)。如果不使用這種技術(shù)，那么不使用它的理由在技術(shù)安全報(bào)告中詳細(xì)說(shuō)R表示該技術(shù)宜用于此架構(gòu)。這是一個(gè)比“HR”更低級(jí)別的推薦。可能有其他安全方法，但此處不考慮。如果使用流加密技術(shù)，那么不適合使用CRC作為安全編碼。否則，攻擊者可以不破譯密鑰，通過(guò)給流加密消息添加一個(gè)帶有有效CRC的任意消息，創(chuàng)建帶有有效CRC的安全相關(guān)信聲明安全編碼未檢測(cè)出錯(cuò)誤概率Pu是多少，其性能低于隨機(jī)編碼的性能Pur=2-*,c表示冗余比B.3.4加密技術(shù)使用加密技術(shù)時(shí)宜使用如ISO/IEC10116的標(biāo)準(zhǔn)操作模式。對(duì)于輸入長(zhǎng)度超過(guò)加密算法分組長(zhǎng)事實(shí)上，這里描述的模型部分依賴于傳輸系統(tǒng)的錯(cuò)誤檢測(cè)和管理機(jī)制。通常，在無(wú)故障的情況與忽略傳輸系統(tǒng)錯(cuò)誤檢測(cè)能力的模型相比，采用該模型可降低安計(jì)算安全編碼長(zhǎng)度的基本模型見圖B.6。312以下3種情況可能產(chǎn)生危害：a)傳輸系統(tǒng)故障導(dǎo)致消息損壞；c)傳輸編碼校驗(yàn)器出現(xiàn)故障，在這種情況下每一個(gè)損壞的消息都可能會(huì)從非可信傳輸系統(tǒng)傳送k?—硬件故障百分比因子，這些硬件故障導(dǎo)致傳輸譯碼無(wú)法檢測(cè)；RHw×Pus×k?=Rm…………(B.1)Pur×Pus×fw=Rm…………(B.2)k?×Pus×1/T=RH…………(B.3)三種失效率的和不能超過(guò)RH,見公式(B.4)。Rm+RH2+Rn≤R因?yàn)椴荒芗僭O(shè)失效是隨機(jī)的，所以有必要在因子k?中考慮安全裕量m。k?因子可以按照公式k?≥n×m…錯(cuò)誤消息的最大出現(xiàn)頻率fw依照如下方法估算。-—使用安全計(jì)數(shù)器和/或安全定時(shí)器，限制最大錯(cuò)誤消息比率或數(shù)量。如果在收到的錯(cuò)誤消息多于一個(gè)，安全通信將被終止同時(shí)進(jìn)入安全降級(jí)狀態(tài)?？梢杂脭?shù)學(xué)方法證 非安全相關(guān)應(yīng)用和安全相關(guān)應(yīng)用之間的通信示例見圖B.7。在可信網(wǎng)絡(luò)(第1類和第2類)中，非安全相關(guān)應(yīng)用可以使用與安全相關(guān)應(yīng)用相同的傳輸介質(zhì)進(jìn)行應(yīng)用過(guò)程-—網(wǎng)絡(luò)層；GB/T24339—2023用戶層防護(hù)MH(主危害)用戶層防護(hù)錯(cuò)誤)應(yīng)用威脅(危害事件)物理圖C.1危害樹-—比預(yù)期接收的消息多，有1個(gè)或多個(gè)消息重復(fù)，或者有外部消息插入。因此---比預(yù)期接收的消息少，1個(gè)或多個(gè)消息被刪除。因此基本消息錯(cuò)誤是刪除消息。以上定義的基本消息錯(cuò)誤并不互相排斥。在消息流的多個(gè)消息甚至是單個(gè)消息也有可能受到不只C.3威脅設(shè)定A、B和C是進(jìn)行安全相關(guān)消息通信的3個(gè)授C.3.2重復(fù)速軌道區(qū)間);C.3.3刪除C.3.4插入-一個(gè)授權(quán)的第三方C無(wú)意地在A發(fā)給B的信息流中插入了一個(gè)消息(或由于網(wǎng)絡(luò)錯(cuò)誤發(fā)生相——X故意改變發(fā)給B的消息的次序(例如，通過(guò)強(qiáng)迫消息選取網(wǎng)絡(luò)的不同路徑來(lái)延遲消息);C.3.6損壞--—消息意外被改變(如EMI)為另一個(gè)形式上正確的A和/或B不能檢測(cè)到修改。C.3.7延時(shí)C.3.8偽裝消息可能的偽裝消息：A和B想要傳輸安全相關(guān)的數(shù)據(jù)，并且X對(duì)A假C.4.2識(shí)別危害事件的結(jié)構(gòu)化方法下述分析從考慮所檢驗(yàn)的案例涉及與外部環(huán)境交互的網(wǎng)絡(luò)開始。這兩個(gè)實(shí)體由一些子實(shí)體組成(圖C.2中用下劃線標(biāo)注),這些子實(shí)體可視為引起所分析系統(tǒng)產(chǎn)生可能的危害事件的致因。網(wǎng)絡(luò)實(shí)體網(wǎng)絡(luò)調(diào)試前的活動(dòng)調(diào)試時(shí)的活動(dòng)電磁場(chǎng)氣候人為因素圖C.2威脅的原因-軟件的系統(tǒng)性失效。 ---布線錯(cuò)誤。在生命周期的這個(gè)階段，系統(tǒng)組件的性能喪失以及維修和/或修改過(guò)程中的錯(cuò)誤都可以引發(fā)危害-—硬件隨機(jī)失效；---使用不適當(dāng)?shù)膬x器；—錯(cuò)誤的硬件替換；C.修改---人為錯(cuò)誤。C.停用及處置C.電磁場(chǎng)C.機(jī)械應(yīng)力--硬件隨機(jī)失效；-—硬件老化； --使用未校準(zhǔn)的儀器；-—人為錯(cuò)誤；---未經(jīng)授權(quán)的軟件修改。根據(jù)C.1所列條款，每個(gè)威脅可以看作是由一組危害事件產(chǎn)生的。從前文已識(shí)別的危害事件開表C.1?！獭獭獭獭獭獭獭獭獭獭獭獭?dāng)_√√√斷線√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√熱噪聲√√√√√√√√√√√閃電√√√√√竊聽√√√√√√√√√√√√√√√發(fā)送未經(jīng)授權(quán)消息√√通道監(jiān)測(cè)—在這種情況下，消息從一開始就是偽造的；需要強(qiáng)大的防護(hù)措施，未經(jīng)授權(quán)監(jiān)控SR消息不被視為直接危害事件；系統(tǒng)安全的危害源于未經(jīng)授權(quán)監(jiān)控導(dǎo)輸”。應(yīng)用數(shù)據(jù)的機(jī)密性是本文件范圍之外的單(資料性)6.3確定了3類傳輸系統(tǒng)：-—第1類為封閉式傳輸系統(tǒng)，系統(tǒng)的所有基本屬性均在安全相關(guān)系統(tǒng)設(shè)計(jì)者的-—第2類為開放式傳輸系統(tǒng)，盡管傳輸不完全在安全相關(guān)系統(tǒng)設(shè)計(jì)者的控制下-—第3類為可能遭受惡意攻擊的開放式傳輸系統(tǒng)，需要采取加密防護(hù)措施。上述3類系統(tǒng)相關(guān)的實(shí)際傳輸系統(tǒng)的進(jìn)一步指導(dǎo)。確定特定系統(tǒng)是否被視為第1、2或3類系統(tǒng)進(jìn)行分析。表D.1傳輸系統(tǒng)分類示例為最大通信節(jié)點(diǎn)數(shù)量已知和固定的系統(tǒng)設(shè)計(jì)。在整個(gè)生命周期內(nèi)不變。近距離空氣間隙傳輸(例如應(yīng)答器發(fā)送給車載天線)。安全相關(guān)系統(tǒng)內(nèi)部的專有串行總線(例如，PROFIBUS、CAN和完全滿足并保持前提條件、在單個(gè)系統(tǒng)內(nèi)連接不同設(shè)備(安全相關(guān)和用戶組擴(kuò)展的范圍有限。已知用戶組或組。未經(jīng)授權(quán)的訪問(wèn)機(jī)會(huì)可忽略(網(wǎng)絡(luò)可信)。安全相關(guān)系統(tǒng)內(nèi)部的專有串行總線(例如，PROFI系統(tǒng)可能在生命周期內(nèi)重新配置或由另一個(gè)傳輸系統(tǒng)替換。工業(yè)標(biāo)準(zhǔn)LAN在受控和有限的區(qū)域內(nèi)連接不同的系統(tǒng)(安全相關(guān)和非安全相關(guān))。連接不同位置的不同系統(tǒng)(安全相關(guān)和非安全相偶爾使用并且在不可預(yù)測(cè)的時(shí)間使用的公共電(例如，聯(lián)鎖系統(tǒng)的撥號(hào)遠(yuǎn)程診斷)。接入受限的無(wú)線電傳輸系統(tǒng)(例如，因?yàn)殒溌奉A(yù)算發(fā)的波導(dǎo)或泄漏電纜，或使用專有的調(diào)制方案，無(wú)法通過(guò)現(xiàn)有的商用或可負(fù)擔(dān)的實(shí)驗(yàn)室設(shè)備產(chǎn)生相同信號(hào)的系統(tǒng))公共電話網(wǎng)中的分組交換數(shù)據(jù)?；ヂ?lián)網(wǎng)。電路交換無(wú)線系統(tǒng)(例如，GSM-R)。分組交換數(shù)據(jù)無(wú)線系統(tǒng)(例如，GPRS)。短程廣播無(wú)線電(例如，WiFi)。十十十十十一十一一——威脅可被忽略；十—脅存在，但是很少，采用一般對(duì)策；在這種通用的級(jí)別上，無(wú)法根據(jù)傳輸系統(tǒng)的分類以及對(duì)每種威脅需要的防護(hù)分配SIL;為了分配應(yīng)用圖E.1步驟示意圖E.1.2應(yīng)用E.1.6安全需求規(guī)格書(SRS)已識(shí)別的系統(tǒng)安全操作所需防護(hù)，實(shí)現(xiàn)這些防護(hù)的SIL和量化的安全目標(biāo)都記錄在系統(tǒng)的E.2示例E.2.1總則E.2.2應(yīng)用系統(tǒng)的全局安全目標(biāo)定義為10-'/h。E.2.3危害分析a)車上接收到一個(gè)不正確(錯(cuò)誤側(cè))消息會(huì)導(dǎo)致該列車進(jìn)入一個(gè)已被占用的區(qū)間，并且與另一列b)接收緊急停車消息時(shí)延遲會(huì)導(dǎo)致列車與軌分配的系統(tǒng)全局安全目標(biāo)是10-1/h,例如，情況1、情況2分配的指標(biāo)是10?/h。E.2.4情況1圖E.3情況1的故障樹E.2.5情況2圖E.4情況2的故障樹[1]GB/T15851.3—2018信息技術(shù)安全技術(shù)帶消息恢復(fù)的數(shù)字簽名方案第3部分：基[2]GB/T15852.1—2020信息技術(shù)安全技術(shù)消息鑒別碼第1部分：采用分組密碼的[3]GB/T17901.1—2020信息技術(shù)安全技術(shù)密鑰管理第1部分：框架givingmessagerecovery—Part2:Intege7]ISO/IEC10116Informationtecr[9]ISO/IEC10118-2Informationtechnology—Securitytechniques—Hash[10]ISO/IEC10118-3:2004Informationtechnology—SecuPart3:Dedicatedhash-fun[11]ISO/IEC10118-4:19