CN109688585B - 应用于列车监控系统的车地无线通信加密方法与装置 - Google Patents
应用于列车监控系统的车地无线通信加密方法与装置 Download PDFInfo
- Publication number
- CN109688585B CN109688585B CN201811627748.9A CN201811627748A CN109688585B CN 109688585 B CN109688585 B CN 109688585B CN 201811627748 A CN201811627748 A CN 201811627748A CN 109688585 B CN109688585 B CN 109688585B
- Authority
- CN
- China
- Prior art keywords
- train
- server
- session key
- client
- monitoring system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种应用于列车监控系统的车地无线通信加密方法与装置,该方法包括:使用SM2算法建立通信关联关系和通信授权,并采用动态密钥进行管理;使用SM1算法对车地无线通信的数据进行加解密;使用SM3算法对车地无线通信数据进行完整性校验,使得车地无线通信数据得到可鉴别性保护、不可否认性保护、机密性保护和完整性保护。与现有技术相比,本发明具有在列车监控系统的应用层设备上使用数据加密技术,极大的提升了车地无线通信的信息安全防护能力等优点。
Description
技术领域
本发明涉及一种车地无线通信加密方法与装置,尤其是涉及一种应用于列车监控系统的车地无线通信加密方法与装置。
背景技术
信号系统一般由列车自动控制系统、计算机联锁控制系统、列车自动监控系统、通信传输系统以及外围通用信号设备组成,它是城市轨道交通系统中保证行车安全,缩短列车运行间隔,提高列车运行质量的先进控制设备。其中,列车监控系统与列车控制系统之间通过基于FREE-WIFI或LTE的车地无线系统进行通信,交互列车状态请求与报告信息,其传输介质为开放的物理空间,存在包括窃听、假冒、篡改、越权以及否认等在内的信息安全威胁。虽然目前车地无线通信的网络层采用了一些通用加密技术,但应用层面尚无密码技术采用,因此进行车地无线通信的应用系统也应该使用密码算法和协议,解决上述安全问题。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种应用于列车监控系统的车地无线通信加密方法与装置。
本发明的目的可以通过以下技术方案来实现:
一种应用于列车监控系统的车地无线通信加密方法,该方法包括:
使用SM2算法建立通信关联关系和通信授权,并采用动态密钥进行管理;
使用SM1算法对车地无线通信的数据进行加解密;
使用SM3算法对车地无线通信数据进行完整性校验,使得车地无线通信数据得到可鉴别性保护、不可否认性保护、机密性保护和完整性保护。
优选地,该方法具体包括以下步骤:
步骤1),在设备上电启动后,与CA服务器请求更新身份证书吊销列表CRL,并在启动后的运行时间内周期向CA服务器请求更新;
步骤2),列车监控系统作为服务器端,等待作为客户端的列车控制系统发起会话密钥协商请求,收到列车控制系统的会话密钥协商请求后,列车监控系统响应会话密钥协商回复,收到列车控制系统的会话密钥协商确认后,列车监控系统响应会话密钥协商成功,由此经过车地两端设备的两次握手,动态生成唯一的会话密钥;
步骤3),列车监控系统与列车控制系统在车地通信过程中对收发数据进行加解密并完成相应业务处理。
优选地,包含有所述的SM1,SM2和SM3算法的国产密码加密卡在安装到列车监控系统相应设备前,在线下由PKI/CA服务器生成并灌装私有身份证书及CA服务器的公有身份证书,并由CA服务器将其身份维护在数据库中,完成灌装后,即可安装到列车监控系统负责与列车控制系统通信的网关服务器中。
优选地,所述的国产密码加密卡的线上更新过程具体如下:
101)列车监控系统应用软件启动时,主动调用国产密码加密卡,向CA服务器请求更新身份证书吊销列表CRL,并在启动后的运行时间内周期向CA服务器请求更新;
102)CA服务器应即时更新数据库中的身份证书吊销列表CRL,以保持其准确性,CA服务器收到列车监控系统应用软件请求后,将数据库中的身份证书吊销列表CRL发送给应用软件;
103)若列车监控系统应用软件成功收到CA服务器回复的身份证书吊销列表CRL,则将此身份证书吊销列表CRL更新到国产密码加密卡中保存;若列车监控系统应用软件未能收到CA服务器回复的身份证书吊销列表CRL,则将继续使用之前保存在国产密码加密卡中身份证书吊销列表CRL,视其为最新。
优选地,所述的国产密码加密卡的线上校验具体为:
列车监控系统应用软件在与列车控制系统建立通信前,都需要确认通信对端的设备身份证书仍然有效,才能继续进行密钥协商功能以及之后的加解密功能。
优选地,所述的步骤2)具体为:
201)设备上电启动,应用软件初始化,服务端和客户端各自创建会话接口,初始化后,客户端向服务端发起会话密钥协商请求,请求消息中包含了客户端的身份证书,
202)服务端收到客户端请求,则开始验证客户端证书,其中证书包括CRL吊销列表、有效期、签发者关系以及签名数据,若验证通过则使用客户端证书,服务端证书及服务端本地生成的随机数,根据SM2算法生成会话密钥,响应会话密钥协商请求,向客户端发送会话密钥协商回复,回复消息中包含了服务端的身份证书;若客户端证书验证未通过,则不再响应该请求,
203)如果客户端收到服务端回复,则开始验证服务端证书,其中证书包括CRL吊销列表、有效期、签发者关系、以及签名数据,若验证通过则使用客户端的证书,服务器证书及客户端本地生成的随机数,根据SM2算法生成会话密钥,响应会话密钥协商回复,向服务端发送会话密钥协商确认,确认消息中包含了客户端产生的会话密钥;若服务端证书验证未通过,则客户端重复步骤201),重新发起会话密钥协商请求,如果客户端在发出请求后的设定时间内,未收到服务端回复,则客户端重复步骤201),重新发起会话密钥协商请求;
204)服务端收到客户端确认,则对会话密钥协商确认进行确认,确认服务端与客户端产生的会话密钥一致,若一致,则响应会话密钥协商确认,向客户端发送会话密钥协商成功,成功消息中包含了服务端产生的会话密钥;若不一致,则不再响应该请求;
205)如果客户端收到服务端成功,则对会话密钥协商成功进行确认,确认服务端与客户端产生的会话密钥一致。若一致,则默认确认会话密钥协商成功,会话密钥协商过程完成结束;若不一致,则客户端重复步骤201),重新发起会话密钥协商请求,如果客户端在发出确认后的设定时间内,未收到服务端成功,则客户端重复步骤201),重新发起会话密钥协商请求。
优选地,所述的步骤3)具体为:
301)客户端或服务端将应用数据通过国产密码加密卡进行SM1加密,完成后将加密数据发送至服务端或客户端,
302)客户端或服务端收到加密数据后,先通过国产密码加密卡进行SM1解密,完成后再进行应用数据处理。
一种应用于列车监控系统的车地无线通信加密装置,该装置包括信号系统应用层设备、通信层设备和PKI/CA服务器,所述的信号系统应用层设备包括列车监控系统ATS和列车控制系统ATC,所述的列车监控系统ATS、PKI/CA服务器和通信层设备分别通过通信网络两两连接,所述的通信层设备与列车控制系统ATC连接,所述的列车监控系统ATS上安装有国产密码加密卡。
优选地,所述的国产密码加密卡为装载有SM1,SM2和SM3加密算法的国产密码加密卡。
优选地,所述的通信网络为有线骨干网,所述的通信层设备包括相互连接的车载DCS和轨旁DCS,所述的车载DCS与列车控制系统ATC连接,所述的轨旁DCS与有线骨干网连接。
与现有技术相比,本发明具有以下优点:
1)在列车监控系统的应用层设备上使用数据加密技术,极大的提升了车地无线通信的信息安全防护能力。
2)加密算法使用国产密码SM1/SM2/SM3算法,加密设备使用国产密码加密卡,符合国家在重点行业中推广国产密码应用的趋势,有利于自主可控。
3)通信链路采用动态密钥协商机制,相较于固定密码实时性更强,安全性更高。
4)通信过程同时集成身份鉴权机制,增加对设备和权限的验证。
5)保持信号系统既有架构、功能、安全等级不受影响。
附图说明
图1为本发明加密装置的结构示意图;
图2为本发明身份验证功能示意图。
图3为本发明会话密钥协商功能示意图。
图4为本发明应用数据加解密功能示意图。
图5为列车监控系统身份验证功能流程图。
图6为列车监控系统会话密钥协商功能流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
本发明提供了一种在列车监控系统中应用国产加密技术的方法,使用SM2算法建立通信关联关系和通信授权,并采用动态密钥进行管理;使用SM1算法对车地无线通信的数据进行加解密;并使用SM3算法对车地无线通信数据进行完整性校验,使得车地无线通信数据得到可鉴别性保护、不可否认性保护、机密性保护和完整性保护,提升了车地无线通信的信息安全水平。
本发明首先在列车监控系统的负责对外通信的设备上安装具有国产密码算法的加密卡,该加密卡接口为PCI-E接口,包含SM1,SM2和SM3国产密码算法芯片,当位于通信两端的设备都具备国产密码技术时,即可通过启用国产密码功能,从而实现端到端的应用层数据加密。列车监控系统安装了国产密码加密卡后,系统工作流程主要分为使用SM2算法进行身份验证与会话密钥协商以及使用SM1算法进行应用层数据加解密两大部分,SM3算法进行完整性检验则贯穿两个部分,在所有的通信过程中进行。
1.身份验证功能,如图2和图5所示:
1)线下准备:国产密码加密卡在安装到列车监控系统相应设备前,在线下由PKI/CA系统服务器生成并灌装私有身份证书及CA服务器的公有身份证书,并由CA服务器将其身份维护在数据库中。完成灌装后,即可安装到列车监控系统负责与列车控制系统通信的网关服务器中。
2)线上更新:
①列车监控系统应用软件启动时,主动调用国产密码加密卡,向CA服务器请求更新身份证书吊销列表(CRL),并在启动后的运行时间内周期向CA服务器请求更新。
②CA服务器应即时更新数据库中的身份证书吊销列表(CRL),以保持其准确性。CA服务器收到列车监控系统应用软件请求后,将数据库中的身份证书吊销列表(CRL)发送给应用软件。
③若列车监控系统应用软件成功收到CA服务器回复的身份证书吊销列表(CRL),则将此身份证书吊销列表(CRL)更新到国产密码加密卡中保存;若列车监控系统应用软件未能收到CA服务器回复的身份证书吊销列表(CRL),则将继续使用之前保存在国产密码加密卡中身份证书吊销列表(CRL),视其为最新。
3)线上校验:列车监控系统应用软件在与列车控制系统建立通信前,都需要确认通信对端的设备身份证书仍然有效,才能继续进行密钥协商功能以及之后的加解密功能。否则将阻止通信连接,后续功能将均不可用。具体确认过程集成在密钥协商功能的步骤中,详见密钥协商功能第2、3步骤。
2.会话密钥协商功能,如图6所示:会话密钥协商阶段,列车监控系统应用软件总是作为服务端,列车控制系统总是作为客户端进行会话密钥协商。
1)设备上电启动,应用软件初始化,服务端和客户端各自创建会话接口。初始化后,客户端向服务端发起会话密钥协商请求,请求消息中包含了客户端的身份证书。
2)服务端收到客户端请求,则开始验证客户端证书(CRL吊销列表、有效期、签发者关系、以及签名数据),若验证通过则使用客户端证书,服务端证书及服务端本地生成的随机数,根据SM2算法生成会话密钥,响应会话密钥协商请求,向客户端发送会话密钥协商回复,回复消息中包含了服务端的身份证书;若客户端证书验证未通过,则不再响应该请求。
3)如果客户端收到服务端回复,则开始验证服务端证书(CRL吊销列表、有效期、签发者关系、以及签名数据),若验证通过则使用客户端的证书,服务器证书及客户端本地生成的随机数,根据SM2算法生成会话密钥,响应会话密钥协商回复,向服务端发送会话密钥协商确认,确认消息中包含了客户端产生的会话密钥;若服务端证书验证未通过,则客户端重复1步骤,重新发起会话密钥协商请求。
如果客户端在发出请求后的一定时间内,未收到服务端回复,则客户端重复1步骤,重新发起会话密钥协商请求。
4)服务端收到客户端确认,则对会话密钥协商确认进行确认,确认服务端与客户端产生的会话密钥一致。若一致,则响应会话密钥协商确认,向客户端发送会话密钥协商成功,成功消息中包含了服务端产生的会话密钥;若不一致,则不再响应该请求。
5)如果客户端收到服务端成功,则对会话密钥协商成功进行确认,确认服务端与客户端产生的会话密钥一致。若一致,则默认确认会话密钥协商成功,会话密钥协商过程完成结束;若不一致,则客户端重复1步骤,重新发起会话密钥协商请求。
如果客户端在发出确认后的一定时间内,未收到服务端成功,则客户端重复1步骤,重新发起会话密钥协商请求。
3.应用层通信数据加解密功能:
1)客户端/服务端将应用数据通过国产密码加密卡进行SM1加密,完成后将加密数据发送至服务端/客户端。
2)客户端/服务端收到加密数据后,先通过国产密码加密卡进行SM1解密,完成后再进行应用数据处理。
本方案系统机构如图1所示,信号系统应用层设备由列车监控系统ATS,列车控制系统ATC组成,通信层设备为通信传输系统(DCS)。本方案在信号系统既有架构的基础上,增加PKI/CA服务器;在应用层设备上增加国产密码加密卡。
PKI/CA服务器:数字证书和身份认证的基础设施,理论上可以分为CA认证权威机构、RA注册权威机构、数据库、终端实体等几个部分,支持证书格式为X.509V3,主要提供设备信息注册、证书签发、证书更新、证书废除,CRL列表及CA证书保存、下载等功能。
应用设备:即接入系统,安装国产密码加密卡,支持SM1、SM2、SM3商用密码算法,可以实现通信双方身份的互相认证,动态协商会话密钥,实时建立安全通信链路,保证信息传输的可鉴别性、不可抵赖性、机密性和完整性。
本发明的列车监控系统应用设备,在设备上电启动后,首先与CA服务器请求更新身份证书吊销列表(CRL),并在启动后的运行时间内周期向CA服务器请求更新。然后,列车监控系统作为服务器端,等待作为客户端的列车控制系统发起会话密钥协商请求,收到列车控制系统的会话密钥协商请求后,列车监控系统响应会话密钥协商回复,收到列车控制系统的会话密钥协商确认后,列车监控系统响应会话密钥协商成功,由此经过车地两端设备的两次握手,动态生成唯一的会话密钥。最后,列车监控系统与列车控制系统在车地通信过程中对收发数据进行加解密并完成相应业务处理。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种应用于列车监控系统的车地无线通信加密方法,其特征在于,该方法包括:
使用SM2算法建立通信关联关系和通信授权,并采用动态密钥进行管理;
使用SM1算法对车地无线通信的数据进行加解密;
使用SM3算法对车地无线通信数据进行完整性校验,使得车地无线通信数据得到可鉴别性保护、不可否认性保护、机密性保护和完整性保护;
该方法具体包括以下步骤:
步骤1),在设备上电启动后,与CA服务器请求更新身份证书吊销列表CRL,并在启动后的运行时间内周期向CA服务器请求更新;
步骤2),列车监控系统作为服务器端,等待作为客户端的列车控制系统发起会话密钥协商请求,收到列车控制系统的会话密钥协商请求后,列车监控系统响应会话密钥协商回复,收到列车控制系统的会话密钥协商确认后,列车监控系统响应会话密钥协商成功,由此经过车地两端设备的两次握手,动态生成唯一的会话密钥;
步骤3),列车监控系统与列车控制系统在车地通信过程中对收发数据进行加解密并完成相应业务处理;
所述的步骤2)具体为:
201)设备上电启动,应用软件初始化,服务端和客户端各自创建会话接口,初始化后,客户端向服务端发起会话密钥协商请求,请求消息中包含了客户端的身份证书,
202)服务端收到客户端请求,则开始验证客户端证书,其中证书包括CRL吊销列表、有效期、签发者关系以及签名数据,若验证通过则使用客户端证书,服务端证书及服务端本地生成的随机数,根据SM2算法生成会话密钥,响应会话密钥协商请求,向客户端发送会话密钥协商回复,回复消息中包含了服务端的身份证书;若客户端证书验证未通过,则不再响应该请求,
203)如果客户端收到服务端回复,则开始验证服务端证书,其中证书包括CRL吊销列表、有效期、签发者关系、以及签名数据,若验证通过则使用客户端的证书,服务器证书及客户端本地生成的随机数,根据SM2算法生成会话密钥,响应会话密钥协商回复,向服务端发送会话密钥协商确认,确认消息中包含了客户端产生的会话密钥;若服务端证书验证未通过,则客户端重复步骤201),重新发起会话密钥协商请求,如果客户端在发出请求后的设定时间内,未收到服务端回复,则客户端重复步骤201),重新发起会话密钥协商请求;
204)服务端收到客户端确认,则对会话密钥协商确认进行确认,确认服务端与客户端产生的会话密钥一致,若一致,则响应会话密钥协商确认,向客户端发送会话密钥协商成功,成功消息中包含了服务端产生的会话密钥;若不一致,则不再响应该请求;
205)如果客户端收到服务端成功,则对会话密钥协商成功进行确认,确认服务端与客户端产生的会话密钥一致;若一致,则默认确认会话密钥协商成功,会话密钥协商过程完成结束;若不一致,则客户端重复步骤201),重新发起会话密钥协商请求,如果客户端在发出确认后的设定时间内,未收到服务端成功,则客户端重复步骤201),重新发起会话密钥协商请求。
2.根据权利要求1所述的一种应用于列车监控系统的车地无线通信加密方法,其特征在于,包含有所述的SM1,SM2和SM3算法的国产密码加密卡在安装到列车监控系统相应设备前,在线下由PKI/CA服务器生成并灌装私有身份证书及CA服务器的公有身份证书,并由CA服务器将其身份维护在数据库中,完成灌装后,即可安装到列车监控系统负责与列车控制系统通信的网关服务器中。
3.根据权利要求2所述的一种应用于列车监控系统的车地无线通信加密方法,其特征在于,所述的国产密码加密卡的线上更新过程具体如下:
101)列车监控系统应用软件启动时,主动调用国产密码加密卡,向CA服务器请求更新身份证书吊销列表CRL,并在启动后的运行时间内周期向CA服务器请求更新;
102)CA服务器应即时更新数据库中的身份证书吊销列表CRL,以保持其准确性,CA服务器收到列车监控系统应用软件请求后,将数据库中的身份证书吊销列表CRL发送给应用软件;
103)若列车监控系统应用软件成功收到CA服务器回复的身份证书吊销列表CRL,则将此身份证书吊销列表CRL更新到国产密码加密卡中保存;若列车监控系统应用软件未能收到CA服务器回复的身份证书吊销列表CRL,则将继续使用之前保存在国产密码加密卡中身份证书吊销列表CRL,视其为最新。
4.根据权利要求2所述的一种应用于列车监控系统的车地无线通信加密方法,其特征在于,所述的国产密码加密卡的线上校验具体为:
列车监控系统应用软件在与列车控制系统建立通信前,都需要确认通信对端的设备身份证书仍然有效,才能继续进行密钥协商功能以及之后的加解密功能。
5.根据权利要求1所述的一种应用于列车监控系统的车地无线通信加密方法,其特征在于,所述的步骤3)具体为:
301)客户端或服务端将应用数据通过国产密码加密卡进行SM1加密,完成后将加密数据发送至服务端或客户端,
302)客户端或服务端收到加密数据后,先通过国产密码加密卡进行SM1解密,完成后再进行应用数据处理。
6.一种用于权利要求1所述应用于列车监控系统的车地无线通信加密方法的装置,其特征在于,该装置包括信号系统应用层设备、通信层设备和PKI/CA服务器,所述的信号系统应用层设备包括列车监控系统ATS和列车控制系统ATC,所述的列车监控系统ATS、PKI/CA服务器和通信层设备分别通过通信网络两两连接,所述的通信层设备与列车控制系统ATC连接,所述的列车监控系统ATS上安装有国产密码加密卡。
7.根据权利要求6所述的装置,其特征在于,所述的国产密码加密卡为装载有SM1,SM2和SM3加密算法的国产密码加密卡。
8.根据权利要求6所述的装置,其特征在于,所述的通信网络为有线骨干网,所述的通信层设备包括相互连接的车载DCS和轨旁DCS,所述的车载DCS与列车控制系统ATC连接,所述的轨旁DCS与有线骨干网连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811627748.9A CN109688585B (zh) | 2018-12-28 | 2018-12-28 | 应用于列车监控系统的车地无线通信加密方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811627748.9A CN109688585B (zh) | 2018-12-28 | 2018-12-28 | 应用于列车监控系统的车地无线通信加密方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109688585A CN109688585A (zh) | 2019-04-26 |
| CN109688585B true CN109688585B (zh) | 2023-10-13 |
Family
ID=66191026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811627748.9A Active CN109688585B (zh) | 2018-12-28 | 2018-12-28 | 应用于列车监控系统的车地无线通信加密方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109688585B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110267266B (zh) * | 2019-07-19 | 2022-11-04 | 中国铁路总公司 | 一种改进的列控系统安全数据交互方法 |
| CN110740040A (zh) * | 2019-09-29 | 2020-01-31 | 卡斯柯信号有限公司 | 采用pki模型在轨道交通信号系统中进行身份验证的方法 |
| CN110838910B (zh) * | 2019-10-16 | 2022-04-05 | 郑州地铁集团有限公司 | 一种基于sm3和sm4通信加密的地铁综合监控系统 |
| CN110944327A (zh) * | 2019-10-31 | 2020-03-31 | 卡斯柯信号(郑州)有限公司 | 用于轨道交通区域控制器的信息安全保密方法及其装置 |
| CN111148073B (zh) * | 2020-04-03 | 2020-07-31 | 北京全路通信信号研究设计院集团有限公司 | 一种车地通信传输信息的密钥管理方法及系统 |
| CN113765668A (zh) * | 2020-06-03 | 2021-12-07 | 广州汽车集团股份有限公司 | 一种车辆数字证书在线安装方法及车辆数字证书管理装置 |
| CN112865965B (zh) * | 2021-02-02 | 2022-11-01 | 安徽量安通信息科技有限公司 | 一种基于量子密钥的列车业务数据处理方法及系统 |
| CN113225179A (zh) * | 2021-04-07 | 2021-08-06 | 卡斯柯信号有限公司 | 一种列车控制器的加密方法 |
| CN114095156B (zh) * | 2021-10-26 | 2023-05-12 | 卡斯柯信号(成都)有限公司 | 一种轨道交通移动终端数据保护方法 |
| CN114338128A (zh) * | 2021-12-24 | 2022-04-12 | 卡斯柯信号有限公司 | 一种基于通用网关的数据传输方法 |
| CN115297475B (zh) * | 2022-09-28 | 2023-01-06 | 南京科信量子科技有限公司 | 一种用于轨道交通系统的量子密钥分发方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR200238918Y1 (ko) * | 2001-01-30 | 2001-10-26 | 김봉택 | 열차운행 종합제어장치 |
| CN103057567A (zh) * | 2012-12-30 | 2013-04-24 | 卡斯柯信号有限公司 | 一种铁路信号领域的通用轨旁安全平台 |
| CN103158743A (zh) * | 2011-12-14 | 2013-06-19 | 上海稳得新能源科技有限公司 | 轨交列车定位、测速、计程等多功能防护方法 |
| CN104158653A (zh) * | 2014-08-14 | 2014-11-19 | 华北电力大学句容研究中心 | 一种基于商密算法的安全通信方法 |
| WO2015131661A1 (zh) * | 2014-03-07 | 2015-09-11 | 刘健 | 长超站台的轨道列车及其编组系统 |
| CN105785795A (zh) * | 2016-05-05 | 2016-07-20 | 北京交通大学 | 一种基于粒子群算法的列车运行速度曲线节能优化方法 |
| CN106560373A (zh) * | 2016-07-22 | 2017-04-12 | 卡斯柯信号有限公司 | 一种点连式atp系统 |
| CN107426219A (zh) * | 2017-07-28 | 2017-12-01 | 湖南中车时代通信信号有限公司 | Lkj数据的无线换装系统 |
| WO2018000886A1 (zh) * | 2016-07-01 | 2018-01-04 | 广州爱九游信息技术有限公司 | 应用程序通信处理系统、装置、方法及客户端、服务端 |
| CN108040058A (zh) * | 2017-12-18 | 2018-05-15 | 湖南中车时代通信信号有限公司 | 一种列车监控装置数据无线换装的安全防护系统和方法 |
| WO2018209986A1 (zh) * | 2017-05-19 | 2018-11-22 | 中兴通讯股份有限公司 | eUICC签约数据的下载方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9871819B2 (en) * | 2014-11-13 | 2018-01-16 | General Electric Company | Zone-based security architecture for intra-vehicular wireless communication |
| US11049059B2 (en) * | 2016-02-03 | 2021-06-29 | Operr Technologies, Inc | Method and system for on-demand customized services |
-
2018
- 2018-12-28 CN CN201811627748.9A patent/CN109688585B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR200238918Y1 (ko) * | 2001-01-30 | 2001-10-26 | 김봉택 | 열차운행 종합제어장치 |
| CN103158743A (zh) * | 2011-12-14 | 2013-06-19 | 上海稳得新能源科技有限公司 | 轨交列车定位、测速、计程等多功能防护方法 |
| CN103057567A (zh) * | 2012-12-30 | 2013-04-24 | 卡斯柯信号有限公司 | 一种铁路信号领域的通用轨旁安全平台 |
| WO2015131661A1 (zh) * | 2014-03-07 | 2015-09-11 | 刘健 | 长超站台的轨道列车及其编组系统 |
| CN104158653A (zh) * | 2014-08-14 | 2014-11-19 | 华北电力大学句容研究中心 | 一种基于商密算法的安全通信方法 |
| CN105785795A (zh) * | 2016-05-05 | 2016-07-20 | 北京交通大学 | 一种基于粒子群算法的列车运行速度曲线节能优化方法 |
| WO2018000886A1 (zh) * | 2016-07-01 | 2018-01-04 | 广州爱九游信息技术有限公司 | 应用程序通信处理系统、装置、方法及客户端、服务端 |
| CN106560373A (zh) * | 2016-07-22 | 2017-04-12 | 卡斯柯信号有限公司 | 一种点连式atp系统 |
| WO2018209986A1 (zh) * | 2017-05-19 | 2018-11-22 | 中兴通讯股份有限公司 | eUICC签约数据的下载方法及装置 |
| CN107426219A (zh) * | 2017-07-28 | 2017-12-01 | 湖南中车时代通信信号有限公司 | Lkj数据的无线换装系统 |
| CN108040058A (zh) * | 2017-12-18 | 2018-05-15 | 湖南中车时代通信信号有限公司 | 一种列车监控装置数据无线换装的安全防护系统和方法 |
Non-Patent Citations (4)
| Title |
|---|
| 付强;王丹.天津地铁3号线列控系统故障及行车组织处置原则浅析.郑州铁路职业技术学院学报.2014,(第04期),全文. * |
| 吴存恺.相位复共轭光学.物理学进展.1986,(第03期),全文. * |
| 郑理华;李一楠;阳亦斌.LKJ车载数据无线远程换装系统设计.铁道运输与经济.2018,(第09期),全文. * |
| 闫涛;刘宗;巴宇;费骏韬;陈继忠;徐少华;牛萌.储能云网节点控制器网络安全防护技术研究.电器与能效管理技术.2018,(第21期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109688585A (zh) | 2019-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109688585B (zh) | 应用于列车监控系统的车地无线通信加密方法与装置 | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
| CN109889484B (zh) | 轨道交通车载信号控制系统用的信息安全保密方法及装置 | |
| CN105554747B (zh) | 无线网络连接方法、装置及系统 | |
| KR100759489B1 (ko) | 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치 | |
| CN109194475B (zh) | 一种采用用于列车控制系统的信息安全保密系统的方法 | |
| KR102325725B1 (ko) | 디지털 인증서 관리 방법 및 장치 | |
| CN111865939A (zh) | 一种点对点国密隧道建立方法及装置 | |
| KR101706117B1 (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| CN111552270B (zh) | 用于车载诊断的安全认证和数据传输方法及装置 | |
| KR20070029864A (ko) | 일 대 일로 데이터를 안전하게 송수신하는 방법 및 장치 | |
| TW200950441A (en) | Mobile station and base station and method for deriving traffic encryption key | |
| US11070537B2 (en) | Stateless method for securing and authenticating a telecommunication | |
| CN112383395B (zh) | 密钥协商方法及装置 | |
| JP3842100B2 (ja) | 暗号化通信システムにおける認証処理方法及びそのシステム | |
| CN110944327A (zh) | 用于轨道交通区域控制器的信息安全保密方法及其装置 | |
| CN110635901A (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| US20180314813A1 (en) | Communication device, communication method and computer program | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| CN105471896A (zh) | 基于ssl的代理方法、装置及系统 | |
| CN108600240A (zh) | 一种通信系统及其通信方法 | |
| EP3820186A1 (en) | Method and apparatus for transmitting router security information | |
| CN113115255A (zh) | 证书下发、密钥认证、车辆解锁方法、设备及存储介质 | |
| CN114095919A (zh) | 一种基于车联网的证书授权处理方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40004197 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |