ЛИТЕРАТУРА
1. Карпов В.Э. Мобильные минироботы. Ч.1 Знакомство с автоматикой и электроникой/ Политехн. музей. - М., Москва, 2009. - 48 с.
2. Михеев В.А., Савин Д.В. Автоматизированное проектирование и управление технологическими процессами. - Самар. гос. аэрокосм, ун-т им. С. П. Королева (нац. исслед. ун-т). - Электрон, текстовые и граф. дан. - Самара, 2011.
3. Моисеев Ю.И. Применение промышленных роботов для загрузки металообрабатывающего оборудования: учеб. пособие/ Ю.И. Моисеев. - Курган : Изд-во Курганского гос. ун-та, 2013. - 170 с.
4. Грабченко А.И. Введение в мехатронику: уч. пособие/А.И. Грабченко, В.Б. Клепиков, В.Л. Добро-скок и др. - Х.: НТУ «ХПИ», 2014. - 264 с.
5. Воронин А.В. Моделирование мехатронных систем: уч. пособие. - Томск: Изд-во Томского политехнического университета, 2008. - 127 с.
6. НПФ «Мехатроника-Про», Начало работы - руководство для новых пользователей MexBIOSDevelopmentStudio.
7. http://mechatronica-pro.com/ru/blogs/blog-post/64
8. http://www.maxonmotor.com/maxon/view/content/index
9. http://mechatronica-pro.com/ru/catalog/education-equipment/4 9
10. http://mechatronica-pro.com/ru/blogs/blog-post/14 6
11. Ергалиев Д.С., Тулегулов А.Д., Сундетбаева Э.С., Ергалиева Л.Д. Основные аспекты повышения надежности бортовой радиоэлектронной аппаратуры. Надежность и качество-2 013: Международный симпозиум.- Пенза, 2013., том 1. - С.98-101.
12. Сулейменова А.Х., Ырыскелди Н.Г., Ибилдаев Б.К., Ергалиев Д.С., Мерили Н.А.Программное обеспечение для предварительного расчета системы энергоснабжения космического аппарата дистанционного зондирования Земли (KAZSAT-3). Надежность и качество. Труды международного симпозиума. г.Пенза, РФ - 23 -31 мая 2016 г., №2, С. 235-237.
УДК 621.8:51-74 Коротин А.М.
НИЯУ МИФИ, Москва, Россия
СПОСОБ КОНТРОЛЯ ЦЕЛОСТНОСТИ ОТВЕТСТВЕННОЙ ИНФОРМАЦИИ В СИСТЕМЕ АВТОМАТИЧЕСКОЙ ЛОКОМОТИВНОЙ СИГНАЛИЗАЦИИ НА БАЗЕ РАДИОКАНАЛА DMR-RUS
В данной статье приводится способ контроля целостности ответственной информации, передаваемой в системах автоматической локомотивной сигнализации на базе радиоканала DMR-RUS. Показана актуальность разработки данного способа, связанная с отсутствием решений по обеспечению целостности ответственной информации в системах автоматической локомотивной сигнализации с низкой пропускной способностью радиоканала. В рамках предложенного способа неизменность передаваемых данных достигается путем использования кодов аутентификации. Подлинность участников движения обеспечивается за счет предложенной автором процедуры аутентификации. В статье рассмотрены два варианта доставки параметра контроля целостности ответственной информации на локомотив: динамический и предварительный. Приведена конечная схема защиты в соответствии с разработанным способом контроля целостности
Ключевые слова
АЛСР, контроль целостности, DMR-RUS
Введение
Основной целью повышения надежности функционирования систем железнодорожной автоматики и телемеханики (СЖАТ) является снижение числа отказов. Значительную часть от общего числа отказов составляют отказы, вызванные человеческим фактором. Данное подмножество отказов можно разделить на две большие группы:
ошибки и недоработки эксплуатирующего персонала;
целенаправленное воздействие на СЖАТ с целью нарушения функционирования.
В рамках последней из выше указанных групп особое место занимают отказы, вызванные компьютерными атаками. Как показывает опыт, статистические оценки вероятности таких отказов, а равно как и ущерба от них, не работают, так как злоумышленник, как правило, использует наиболее уязвимые места и детерминировано «бьет» в них
[1]. Поэтому, при анализе причин таких отказов и разработке мер по их предотвращению требуются иные подходы, рассмотрению которых и посвящена данная статья.
Одной из основных систем обеспечения безопасности перевозочного процесса является система автоматической локомотивной сигнализации (АЛС)
[2]. Одной из задач, решаемой системой АЛС в рамках обеспечения безопасности перевозочного процесса, является обмен ответственной информацией между станционными системами определения занятости пути и бортовыми устройствами безопасности [3-5]. Под ответственной информацией в работе понимается информация о допустимой скорости движения и дополнительных условиях следования железнодорожного подвижного состава (ограничения скорости, маршрут движения по железнодорожной станции), необходимая для обеспечения безопасности перевозочного процесса.
Использование радиоканала в системах АЛС позволяет увеличить объем передаваемых данных между станционной и бортовой частями системы, уменьшить вероятность их искажения [6]. Однако такой переход к использованию АЛС на базе радиоканала (АЛСР) усложняет обеспечение безопасности перевозочного процесса, так как в этом случае канал связи между станционной и бортовой частями системы АЛС выходит за пределы контролируемой зоны [7]. Нарушение безопасности перевозочного процесса возможно в случае нарушения целостности передаваемой ответственной информации. К угрозам безопасности ответственной информации со стороны внешнего нарушителя относят:
подмену базовой и/или абонентской радиостанции;
отправку поддельной ответственной информации в радиоканал;
повторную отправку ранее перехваченной в радиоканале ответственной информации.
Для защиты от данных угроз на сегодняшний день существует единственное решение, связанное с использованием протокола EuroRadio [8]. Тем не менее, применение данного решения в системах АЛСР ограничено свойствами используемой в них системы радиосвязи. Если система радиосвязи поддерживает только широковещательный метод передачи данных, то пропускная способность радиоканала должна удовлетворять условию:
Ы(1с + 1л + 21ев) Т
где С' - эффективная пропускная способность радиоканала; Т - период обмена ответственной информацией между станционной и бортовой частями АЛСР, необходимой и достаточной для обеспечения безопасности перевозочного процесса; 1С - количество информации, являющейся ответственной, передаваемое станционной частью АЛСР за время Т;
1Л - количество информации, являющейся ответственной, передаваемое бортовой частью АЛСР за время Т; 1ЕЕ - количество информации, необходимое для обеспечения целостности одного сообщения прикладного уровня в соответствии с протоколом ЕигоКа^о; N - количество локомотивов, находящихся в данный момент на станции или перегоне.
Возникает противоречие, заключающееся в следующем: для систем АЛСР с низкой пропускной способностью существуют актуальные угрозы нарушения целостности передаваемой ответственной информации, при этом сами системы, как правило, не содержат встроенных механизмов защиты от данных угроз, а существующие способы обеспечения целостности ответственной информации для данного типа АЛСР не применимы. В частности, к таким система относится АЛСР на базе радиоканала DMR-
Локомотив 1
RUS, которая планируется к использованию на российских железных дорогах. В связи с этим был разработан предлагаемый в данной статье способ контроля целостности (СКЦ) ответственной информации. Данный способ разрабатывался с учетом параметров системы АЛСР-DMR-RUS (структуры кадров, пропускной способности, периода обмена) и существующей инфраструктуры, применяемой в ОАО «РЖД».
Способ контроля целостности ответственной информации
Рассмотрим перегон между станциями А и Б, на котором для передачи ответственной информации используется система радиосвязи DMR-RUS. Система АЛСР-DMR-RUS, как и любая другая система АЛС, состоит из станционной части, расположенной на станции или перегоне, и бортовой, расположенной на борту локомотива.
Локомотив 2
1
Станция А
ШСОа
БР
УСО
Станция Б
БР
УСО
LAN УСО
СОСПиМП
Станция В
БР
УСО
Рисунок 1 - Структурная схема системы АЛСР-DMR-RUS
СОСПиМП
Станционная часть представляет собой совокупность шкафов станционного оборудования (ШСО), расположенных вдоль железнодорожных путей и подключенных к общей локальной сети на базе стандарта Ethernet (LAN УСО). Сеть LAN УСО является изолированной и не имеет точек подключения ко внешним сетям. Каждый ШСО содержит базовую радиостанцию DMR-RUS (БР) и шлюз взаимодействия с системами определения свободности пути и месторасположения поезда (блок УСО) . Если зоны покрытия базовых радиостанций в ШСО, установленных на железнодорожных станциях (ШСОА и ШСОБ на рисунке 1), недостаточно для передачи ответственной информации на протяжении всего перегона, то перегон может быть дооборудован дополнительным ШСО (ШСОАБ1 на рисунке 1). Каждый ШСО передает в радиоканал ответственную информацию как минимум о состоянии станции или перегона, на котором он расположен, а также о состоянии соседних станций и перегонов. Бортовая часть системы АЛСР-DMR-RUS состоит из абонентской радиостанции DMR-RUS (АР) и локомотивного устройства безопасности БЛОК.
В соответствии с предлагаемым способом контроля целостности ответственной информации каждый шкаф станционного оборудования (ШСО), расположенный вдоль железнодорожных путей, имеет свой уникальный параметр контроля целостности ответственной информации PKAi,i = 1, N, который используется станционной и бортовой частями системы АЛСР для вычисления и проверки кодов аутентификации (КА) [9]. Здесь i - номер ШСО, i = 1, N, N - общее количество ШСО на участке. Доставка параметра РКА в бортовую часть системы АЛСР может быть реализована двумя вариантами: динамическая доставка или предварительная.
При динамической доставке параметр РКА передается на борт локомотива по радиоканалу в рамках процедуры аутентификации участников движения, которая выполняется в момент установки соединения между абонентской радиостанцией (АР),
расположенной на борту локомотива, и базовой (БР) , расположенной в ШСО. В случае предварительной доставки на борт локомотива до его отправления передается таблица контроля целостности (ТКЦ), содержащая параметры РКА и идентификаторы ЮС всех ШСО, расположенных на пути следования подвижного состава. Для предварительной доставки в рамках разработанного СКЦ было предложено использовать единый носитель информации (ЕНИ), который применяется локомотивными бригадами (машинистами) для доставки на локомотив информации, необходимой для работы ряда бортовых систем. В частности, ЕНИ используется с целью доставки электронной карты маршрута для системы БЛОК.
Независимо от выбора варианта доставки при передаче параметра РКА необходимо обеспечить его конфиденциальность, так как используемая среда передачи в обоих случаях не является доверенной. Для этой цели используется параметр аутентификации РА]. Параметр РА! хранится в бортовой части системы АЛСР и является уникальным для каждого локомотива, ] = 1, М, М - общее количество локомотивов, которые используют радиоканал DMR-RUS для передачи ответственной информации. При этом
все параметры аутентификации PAj также записаны в таблице достоверности (ТД), которая хранится в каждом ШСО и на центральном сервере (ЦС), расположенном в вычислительном центре и хранящем все текущие параметры защиты ответственной информации. ТД содержит действующие параметры аутентификации PAj всех локомотивов и их идентификаторы IDnj.
Схема предварительной доставки параметров контроля целостности РКА, конфиденциальность которых обеспечивается с помощью параметра аутентификации РА представлена на рисунке 2. Локомотивная бригада подключает ЕНИ к терминалу, расположенному на станции и имеющему подключение к сети Intranet (шаг 1).
1 1 1 Центральный I I Терминал i сервер 1 ЕНИ 1 1 1 Локомотив №|
1 ТД; ТКЦ Запрос ТКЦ| М- ГОЛ|; Рл|
2 ТД; ТКЦ; msgA msgA |
3 ТД; ТКЦ; ТКЦ|
4 ТД; ТКЦ msgB msgB
5 msgB msgB
6 -►
7 msgB ГОд|; РА|; msgB
8 ТД; ТКЦ ГОЛ|; РА|; ТКЦ|
ТД = {ГОл1:Рл1; ГОл2:Рл2;... ; ГОлм:Рлм} ТКЦ = {ГОс1:Рка1; ГОс2:Рка2;. ..; ГОсм:Ркам} ТКЦ = {ГОф:РкаД; ГОс|2:Рка|2;... ; ГОс|к:Рка|к} -
Рисунок 2 - Предварительная доставка параметров контроля целостности РКА
Подключение ЕНИ Передача данных
Терминал формирует запросы серверам различных систем для получения информации, необходимой для корректной работы бортового оборудования. В том числе терминал отправляет запрос ШБдА центральному серверу на предоставление параметров РКА (шаг 2) . Запрос ШБдА = (1еп1в; НО), где поле НО содержит список идентификаторов ЮС ШСО, расположенных на пути следования локомотива, параметры РКА которых запрашиваются. В поле 1еп1в указывается размер списка 110. При 1еп1в = 0, запрашиваются параметры РКА всех ШСО. После получения запроса ЦС формирует таблицу контроля целостности (ТКЦ,-) для локомотива с запрашиваемыми РКА (шаг 3) . Далее ЦС формирует сообщение т$дв = (ТКЦ,-; КАРа), где КАРл. есть код аутентификации сообщения (шаг 4), и отправляет его терминалу, обеспечивая при этом конфиденциальность передаваемой информации при помощи параметра аутентификации локомотива РА!. После получения и записи всех запрашиваемых параметров на ЕНИ (шаг 5), локомотивная бригада подключает его к бортовому оборудованию (шаг 6). Бортовое оборудование считывает с ЕНИ всю информацию, необходимую для начала движения, в том числе и ТКЦ,- (шаг 7) и проверяет целостность полученной таблицы контроля целостности (шаг 8). По завершении шага 8 параметры контроля целостности РКА всех ШСО, расположенных на пути следования подвижного состава, считаются безопасно доставленными на локомотив.
Кроме обеспечения конфиденциальности параметр РА] используется также для аутентификации участников движения. Процедура аутентификации участников движения представлена на рисунке 3. Локомотив отправляет ШСО сообщение тядд, содержащее его идентификатор ЮЛ], случайное 64-битное число Я, 1-битный индикатор Р, показывающий наличие на борту локомотива параметра РКАц а также код
аутентификации сообщения, вычисленный с использованием параметра аутентификации локомотива PAj. Индикатор F показывает, должен ли ШСО передать локомотиву параметр PKAi в рамках процедуры аутентификации, или он уже был доставлен предварительно. Приняв сообщение msgA ШСО, используя полученный идентификатор Ющ , ищет в ТД параметр аутентификации PAi. Если в ТД существует запись с указанным ЮЛ1, то соответствующий ей параметр PAj используется для проверки кода аутентификации полученного сообщения msgA. Далее ШСО отсылает локомотиву сообщение msgB, содержащее поле status, показывающее результат проверки сообщения msgA, а также поле DATA. Поле status принимает значения 0,2, где 0 - ЮЛ] не был найден в ТД, 1 - не верный КА, 2 - верный КА. Если status = 0,1, то поле DATA является пустым. Если status = 2, то в зависимости от значения индикатора F в msgA, содержимое поле DATA будет различным. При F = 1 в поле DATA находится параметр
P«.
i-го ШСО, зашифрованный с использованием па-
раметра PAj. При F = 0 поле DATA содержит идентификатор параметра PKAi ¡Da, с помощью которого бортовое оборудование локомотива сможет найти параметр PKAi в ТКЦ,- среди других предварительно доставленных параметров ШСО, расположенных на пути следования подвижного состава. При получении сообщения msgB с полем status = 0,1 локомотив в течение следующего цикла обмена DMR-RUS должен повторить процедуру аутентификации. При status = 2 ШСО и бортовое оборудование локомотива переходят к обмену ответственной информацией, целостность которой обеспечивается с помощью кодов аутентификации, вычисленных с использованием параметра PKAi.
Полная схема предложенного способа контроля целостности ответственной информации в системе АЛСР-DMR-RUS представлена на рисунке 4.
ШСО №i
ТД ГОлх; Pax ГОЛ2; Paz ГОлм; Рам IDcí; Pkaí
©
Проверка KA(IDj; R; F)] c помощью параметра Pai из ТД
(^Л msgA = [ГОл]; R; F; КА-PAj(IDлj; R; F)]
®
msgB = [status; DATA; КА-PAj (status; DATA)]
®
msgc =[ОИ; КА-PкAi(ОИ)]
Рисунок 3 - Процедура аутентификации
Доставка ТКЦм
Доставка ТКЦ2
ЛОКОМОТИВ №j
ГОл.]; PAj
Локомотив №1
ГОлх:Рах
Локомотив №2
ГОл2:ра2
Локомотив №M
ГОлм:рам
ст
ШСО №1
тд ГОл1:ра1 Шл2:Ра2 Шлм:Рам IDcx; Pkax
§ J § й s
il
S CO
S4
s
о
И о
ШСО №N
тд ГОл1:ра1 Шл2:ра2 Шлм:Рам IDcn; Pkan
ЦС
тд
IDлj:PAj j=[1,M]
ТКЦ ГОа:Рюи i=[1,N]
Доставка ТКЦ] на локомотив
Рисунок 4 - Способ контроля целостности ответственной информации в системе АЛСР-БМК-КиБ
Заключение
Предложенный в статье способ контроля целостности может использоваться при построении системы защиты, обеспечивающей безопасность ответственной информации при ее передаче по радиоканалу DMR-RUS. Однако для построения полноценной такой системы должен быть также решен вопрос обновления параметров защиты. В связи с этим в качестве дальнейшей работы представляется актуальным разработать процедуры обновления. Планируется, что указанные процедуры будут предусматривать возможность обновления параметров без участия обслуживающего персонала (автономно).
Предложенный способ разрабатывался с учетом характеристик радиоканала DMR-RUS и действующей на территории РФ железнодорожной инфраструктуры. В связи с этим он может быть не применим для других систем АЛСР. Решение данной задачи возможно путем разработки методики построения способов контроля целостности, которая бы учитывала особенности системы АЛСР и позволяла построить оптимальный для нее способ защиты. Таким образом, вторым направлением исследований в данной области может являться разработка такой методики.
ЛИТЕРАТУРА
1. Braband, J. Safety meets security: safety case and assessment strategies [Текст] / Signal + Draht. - 2016. - Vol. 108, No. 4. - p. 23-28.
2. О железнодорожном транспорте в Российской Федерации [Текст]: Федеральный закон от 10.01.2003 №17-ФЗ (ред. от 03.07.2016) // Собрание законодательства Российской Федерации. - 2003. - № 2, (13 января). - статья 169.
3. Андерс Э. Системы автоматики и телемеханики на железных дорогах мира [Текст]: учебное пособие для вузов ж.-д транспорта / Андерс Э., Берндт Т.; пер. с англ.; ред. Г. Теега, С. Власенко. - М.: Интекст, 2010. - 496 с. - ISBN 97 8-3-7 7 71-03 94-5.
4. ГОСТ Р 53431-2009. Автоматика и телемеханика железнодорожная. Термины и определения (с Изменением № 1) [Текст]. - Введ. 2011-01-01. - М.: Стандартинформ, 2010. — 23 с.
5. ОСТ 32.17-92. Безопасность железнодорожной автоматики и телемеханики. Основные понятия. Термины и определения [Текст]. - МПС России. - Введ. 1993-01-01. - СПб.: Типография ПИИТ, 1992. - 33 с
6. Тильк И.Г. АЛС с использованием радиоканала [Текст] / Тильк И.Г. // Автоматика Связь Информатика. - 2010. - №7 - C. 7-9.
7. ГОСТ Р 51624-2000 Автоматизированные информационные системы в защищенном исполнении [Текст]. - Введ. 2000-30-06. - М.: Стандартинформ, 2000. — 58 с.
8. SUBSET-037. Euroradio Functional Interface Specification [Электронный ресурс]: - European Railway Agency. - Введ 2015-12-17, ver. 3.2.0, - 126 с. - Режим доступа: http://www.era.eu-ropa.eu/Document-Register/Documents/Set-1-Index010-SUBSET-037%2 0v 23 0.pdf.
9. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». - М.: Радио и связь, 1999. - 325 с. - ISBN 5-256-014 94-3.