GB T 24339.2-2009 轨道交通.通信、信号和处理系统.第2部分 开放式传输系统中的安全相关通信.pdf
《GB T 24339.2-2009 轨道交通.通信、信号和处理系统.第2部分 开放式传输系统中的安全相关通信.pdf》由会员分享,可在线阅读,更多相关《GB T 24339.2-2009 轨道交通.通信、信号和处理系统.第2部分 开放式传输系统中的安全相关通信.pdf(40页珍藏版)》请在麦多课文档分享上搜索。
1、ICS 45060S 30 a目中华人民共和国国家标准GBT 2433922009IEC 62280-2:2002轨道交通 通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信Railway application-Communication,signalling and processing systems-Part 2:Safetyrelated communication in open transmission systems2009-09-30发布(IEC 622802:2002,IDT)2010-0101实施宰瞀髅紫瓣訾糌瞥星发布中国国家标准化管理委员会促1”目 次GBT
2、243392-2009IEC 62280-2:2002前言;I言-1范围12规范性引用文件13术语和定义14参考结构65传输系统的威胁源86防护要求861总-862总体要求963具体的防护97防护威胁措施的适用性1371概述1372威胁防护矩阵1373安全编码和加密技术的选择和使用14附录A(资料性附录) 防护指南15附录B(资料性附录) 参考文献23附录C(资料性附录)本部分使用指南24附录D(资料性附录) 开放式传输系统的威胁30刖 罱GBT 243392-2009IEC 62280-2:2002GBT 24339(轨道交通通信、信号和处理系统分为两部分:第1部分:封闭式传输系统中的安全相
3、关通信;第2部分:开放式传输系统中的安全相关通信。本部分为GBT 24339的第2部分。本部分等同采用IEC 622802:2002轨道交通通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信(英文版)。本部分与IEC 622802:2002相比,主要差异如下:a)“本国际标准”一词改为“本部分”;b)用小数点“”代替作为小数点的逗号“,”;c)删除国际标准的前言;d)引用文件ENV 50129:1998改为EN 50129:2003。本部分的附录A、附录B、附录c、附录D为资料性附录。本部分由铁道部提出。本部分由全国牵引电气设备与系统标准化技术委员会(SACTC 278)归口。本部分
4、起草单位:北京交通大学、株洲南车时代电气股份有限公司。本部分主要起草人:唐涛、张利芝、徐田华、严云升、牛儒、范祚成。GBT 243392-20091EC 622802:2002引 言开放式传输系统由特性未知或部分未知的系统组成,本部分专用于开放式传输系统下安全相关信息传输应考虑的要求。如果安全相关电子系统涉及到不同位置间的信息传输,那么通信系统就成为安全相关系统的一个组成部分,而且应根据EN 50129说明端对端传输是安全的。数据通讯系统的安全要求取决于其可知或未知的特性。为简化证明系统安全性方法的复杂性,考虑了两种类型的传输系统。第一种是封闭式传输系统,它的组成可由安全系统设计者在一定程度上
5、控制,其安全性要求在GBT 243391中规定。第二种是开放式传输系统,GBT 24339的本部分规定了开放式传输系统的安全要求。本部分考虑的传输系统,总体上没有特定的先决条件需要满足。从安全角度看,该系统是非置信的或非完全置信的,被视为“黑箱”。对于用于常规认证而不是用于特殊应用的交叉验收(cross acceptance),其要求应与EN 50129的要求相同。GBT 243392-2009IEC 622802:2002轨道交通通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信1范围GBT 24339的本部分规定了连接在开放式传输系统上的安全相关设备之间的安全相关通信的基本要求。
6、适用于采用开放式传输系统达到通信目的的安全相关电子系统及其安全需求规范,以便实现指定的安全完整性等级(SIL)。安全需求规范是安全相关电子系统的安全论据的先决条件,关于安全论据所需的证据(包括质量管理和安全管理等)在EN 50129:2003中规定。本部分的主题是通信相关的功能性和技术性安全论据的要求。开放式传输系统的性质和行为,只用于定义特性,而不用于安全性,因而从安全观点看,开放式传输系统可以潜含任何特性,例如各种传输方式、报文存储、非法访问等,安全进程只能依赖于各种特性,这些须在安全论据中说明。本部分不适用于在本部分颁布之前已被采用的既有系统。本部分没有规定:开放式传输系统;开放式传输系
7、统所连接的设备;解决方案(如:互操作性);安全相关数据的界定。2规范性引用文件下列文件中的条款通过GBT 24339的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 21562 轨道交通 可靠性、可用性、可维修性和安全性(RAMS)规范和示例(GBT 21562-2008,IEC 62278:2002,IDT)EN 50129:2003轨道交通用于信号系统的安全相关电子系统3术语和定义下列术语和定义适用
8、于GBT 24339的本部分。31访问保护access protection为防止非法读取或更改信息,在用户安全相关系统内或在传输系统内设计的进程。311黑客hacker蓄意绕开访问保护的人。32真实性authenticity信息有效且已知该信息来自指定信息源的状态。1GBT 243392-2009IEC 62280-2:200233授权authorization正式允许在指定应用的限制条件内使用产品服务。331非授权访问unauthorized access非授权人员或黑客访问传输系统内部信息或用户信息。332机密性confidentiality非授权实体不能访问信息的特性。34校验chec
9、k进一步确保系统状态的过程。341冗余校验redundancy check一种校验报文内部冗余数据和用户数据之间存在预定关系的方法,以证明报文的完整性。35加密技术cryptographic techniques使用以输人数据和密钥为参数的算法来计算输出数据。如果已知输出数据但不知道密钥,不可能在合理时间内计算出输人数据。即使输入数据已知,也不可能在合理时间内根据输出数据推导出密钥。36数据data报文的一部分,代表某些信息。361数据损坏data corruption数据发生改变。362用户数据user data表示用户进程状态或事件的数据,不附加其他任何数据。在安全相关设备间通信时,用户数
10、据包括安全相关数据。363附加数据additional data与最终用户进程无关,而是用于控制、可用性和安全目的的数据。364冗余数据redundant data通过安全相关传输进程从用户数据中推导出的附加数据。3641安全编码safety code包含在安全相关报文中的冗余数据,以便安全相关传输进程检测出数据损坏。可能包含适当的编码技术:36411无加密安全编码noncryptographic safety code包含在安全相关报文中基于非加密函数的冗余数据,以便安全相关传输进程检测出数据损坏。2GBT 243392-2009EC 62280-2:2002364111循环冗余码校验cyc
11、lic redundancy check;CRC循环冗余码校验以循环码为基础,用于保护报文免受数据损坏的影响。36412加密安全编码cryptographic safety code包含在安全相关报文中基于加密函数的冗余数据,以便安全相关传输进程检测出数据损坏和非法访问。364121报文鉴别码message authentication code;MAC整个报文的加密函数以及一个密钥或公钥。整个报文也包含了未被发送到传输系统的报文的任何隐含数据。364122操作检测码manipulation detection code;MDC整个报文的函数,但与MAC相比,不涉及密钥。整个报文也包含了未被发
12、送到传输系统报文的隐含数据。通常MDC建立在散列函数之上。3642序列号sequence number附加数据字段,包含报文到报文按预定方式变化的数字。3643时间戳time stamp由发送者添加在报文上的信息。36431相对时间戳relative time stamp参照实体的本地时钟的时间戳。通常,与其他实体的时钟无关。36432绝对时间戳absolute time stamp参照使用同一传输网络的实体群全局时钟的时间戳。36433双时间戳double time stamp当两个实体交换和比较时间戳时,称为双时间戳。此时,实体的时间戳互相独立。36434源和宿标识符 source and
13、 destination identifier一个以名字、数字或任意比特形式赋予各实体的标识符。该标识符用于安全相关传输,通常添加到用户数据中。37防护defense安全通信系统设计中针对某种威胁采取的措施。38错误error与预期设计发生偏差,可能导致不可预知的系统行为或失效。39失效failure与系统规定的性能发生偏差,失效是系统中的故障或错误导致的结果。GBT 243392-2009IEC 62280-2:2002391随机失效random failure在任何时候都可能发生的失效。392系统性失效systematic failure在某些特殊输入组合下或在某些特殊环境条件下反复发生的
14、失效。310故障fault可以导致系统中的一个错误的非正常条件,故障可以是随机的或系统的。3101随机故障random fault基于概率论和先验特性发生的故障。3102系统性故障systematic fault系统、子系统或设备在规范、设计、施工、安装、操作或维护中的内在缺陷引起的故障。311危害hazard可能导致事故的条件状态。3111危害分析hazard analysis识别产品或产品使用中可能引起的危害的过程。312信息information以进程能够理解的形式,对进程的状态和事件的陈述。313完整性integrity信息完整且未被更改的状态。314报文message从发送端(数据源
15、)传输到一个或多个接收端(数据宿)的信息。3141有效报文valid meage格式完全符合用户要求的报文。3142报文完整性message integrity报文信息完整且未被更改。3143可信报文authentic message可以确认信息源自规定的发送端的报文。3144报文流message stream一组有序的报文。4GBT 243392-2009IEC 622802:20023145报文加密message enciphering对报文使用加密技术后再逐位传输,这种加密技术是根据一种由密钥控制的算法,使数据难以窃取,但不提供防止数据损坏的保护。3146反馈报文feedback mes
16、sage接收端通过反向传输通道给发送端的回复。3147报文处理message handling设备间报文流传输中所涉及到的过程,不由用户直接控制。3148报文错误message errors所有可能导致危险情况或者减弱系统可用性的报文故障模式组成的集合。每一种错误类型可能有许多不同原因。31481重复报文repeated message一种报文错误,不止一次地接收到同一报文。31482删除报文deleted message一种报文错误,从报文流中删除报文。31483插入报文inserted message一种报文错误,在报文流中插入报文。31484重排序报文resequenced messag
17、e一种报文错误,报文流中的报文顺序改变。31485被损坏报文corrupted message一种报文错误,数据被损坏。31486延时报文delayed message一种报文错误,收到报文的时间比预计时间迟。31487伪装报文masqueraded message一种插入的表面上是置信的、本质上是非置信的报文。315进程process3151用户进程user process应用中的进程,直接对系统用户要求的行为起作用。3152传输进程transmission process应用中的进程,只对用户进程间信息传输起作用,对用户进程本身无作用。5GBT 243392-2009IEC 62280-2
18、:20023153访问保护进程access protection process应用中的进程,只对系统内信息访问保护起作用,对用户进程或传输进程本身无作用。316安全性safety无不可接受等级的风险。3161安全相关safet,r-related负有安全性责任。3162安全完整性等级safety integrity level表示所需信用程度的数字,系统将满足其规定的安全特性。3163安全论据safety ease证明产品符合规定的安全性要求的证明文件。317传输系统transmission system用于多个设备之间传递报文流的一种服务,这些设备可以是信息源或信息宿。3171封闭式传输系
19、统closed transmission system连接的设备数量固定或最大数量固定,有已知且固定的特性的传输系统,对于此系统可以忽略非法访问的风险。3172开放式传输系统open transmission system连接设备数量未知的传输系统,它具有未知的、可变的且非置信的特性,用于未知的电信服务,对于此系统应评估非法访问的风险。318威胁threat对安全(包括通信系统的访问保护)有潜在的侵害。319实时timeliness根据要求可以在正确的时间获得信息的状态。320有效性validity各方面满足特定用户要求的状态。4参考结构安全相关传输系统的参考结构基于:非置信传输系统一不考虑内
20、部是否有传输保护机制;安全相关传输功能;安全相关访问保护功能。针对本部分的用途,假设开放传输系统包括连接在传输系统上的两个或多个安全相关设备间的任何环节(硬件、软件、传输媒介等)。开放式传输系统可以包含下列一部分或全部:要素,指由传输系统用户采用对用户透明的程序产生和表达的读取、存储、处理或重传数据。GBT 243392-2009IEC 62280-2:2002通常未知用户数,安全相关的设备、非安全相关的设备和与轨道交通无关的设备都可以连接在开放传输系统上。各种传输介质,用户未知其传输特征以及对外部影响的敏感度。网络控制和管理系统采用对用户透明的程序,通过开放传输系统端点之问的一种或多种传输介
21、质组成的任何通道实现报文路由和动态路由重置。开放式传输系统可能受下列因素影响:传输系统的其他用户。系统控制和保护设计者未知的用户以未知格式发送数量未知的信息。传输系统的用户。试图访问其他用户产生的数据,在未得到系统管理者的允许下读取和或伪造数据。对安全相关数据完整性的其他附加威胁。使用开放式传输系统的安全相关系统的原理结构图见图1,安全相关报文的原理模型见图2。对开放式传输系统的非置信特性没有安全要求,通过应用安全程序和安全编码来保证安全相关传输功能的安全性。安全相关设备安全相关设各非安全相关设备圈1 使用非置信传输系统的安全相关系统结构GBT 243392-20091EC 62280-2:2
22、002开放式传输系统附加数据5传输系统的威胁源图2安全相关报文模型安全相关报文本部分只考虑传输系统的威胁源,安全相关设备的威胁源依据EN 50129:2003。本部分涉及到使用特征未知(至少部分未知)的传输系统的一般应用问的通信。因此,有必要定义与特殊应用功能和网络特征功能无关的安全性的主要危害,其适当的定义是:接收端无法获取真实和最终有效的报文。可能的基本报文错误,参见附录D。相应威胁如下:重复;删除;插入;重排序;损坏;延时;伪装。满足本部分的要求并不能阻止合法使用者故意的或非故意的误用或滥用。安全论据应对这些方面进行说明。6防护要求61总则数据传输系统(非安全相关、安全相关)已经有一些成
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB 24339.2 2009 轨道交通 通信 信号 处理 系统 部分 开放式 传输 中的 安全 相关

链接地址:http://www.mydoc123.com/p-197989.html