文摘

铁路系统已经进化了很多在过去的年,采用新的通信技术。旨在实现单一欧洲铁路网,欧洲铁路交通管理系统(ERTMS)出现在欧洲替代多个和国家铁路通信系统互操作。这个系统及其安全策略设计在1990年代末。近期作品已经确定漏洞与完整性、真实性、可用性和保密性。的上下文中定义有效对策,减轻潜在的漏洞,这些漏洞分析。在本文中,我们介绍一个框架,试图挑战ERTMS安全通过评估这些漏洞的可利用性。

1。介绍

运输需求的增加在共同市场和缺乏不同的铁路运营风格之间的互操作性在欧洲长大需要共轨在欧洲管理系统。在1980年代中期,铁路社区开始寻找一个共同的欧洲铁路运营管理,被称为欧洲铁路交通管理系统(ERTMS) [1]。创建这个解决方案来代替异类国家列车控制景观场景。

ERTMS通信是基于无线电通信,因此,无线系统是用来传递运动当局从收音机块中心(RBC)、实体操作,负责管理列车的列车。到目前为止,在使用无线通信技术GSM - r(全球移动铁路系统)的一个特定版本的GSM致力于铁路通信。

为了保证通信的安全性,gsm - r网络的,确保了安全属性。一方面,应该保密的数据传输。此外,攻击者不应该改变的数据到达火车之前,确保火车不会接受假的运动机构。另一方面,通信网络应该总是可用的交换需要的消息。即网络,以确保美国中央情报局三和弦:机密性、完整性和可用性,这是一个众所周知的模型设计指导信息安全策略在一个组织和代表最重要的安全属性。由于安全是最需要解决的关键问题之一,在铁路的背景下,在这个工作我们专注于训练运动授权消息交换,所以我们主要关心的是数据的完整性,即使可用性和机密性也会受到影响。

保证数据机密性和完整性的目的,使用不同的加密系统在不同的通信层。GSM - r,对GSM和A5/1使用加密系统。此外,EuroRadio协议是用来确保通信的真实性和完整性。然而,事实证明,这两个协议有漏洞2,3]。

最后,它应该考虑无线电干扰装置可以果酱,块,或干扰无线通讯,能够打破网络的可用性。

除了前面提到的gsm - r和EuroRadio缺乏安全,有必要指出铁路通信的发展在过去的几年。虽然在近年来铁路系统被关闭系统,最近,一个新的趋势,连接铁路网络到互联网的所有元素相关性。这一事实导致暴露铁路通信网络的固有弱点,因此,挑战这些场景的安全。

由于不满足的从容中定义的安全属性中情局三和弦,铁路上下文可以被认为是一个充满敌意的环境,因此,在这些网络安全与安全要求。

人们做了许多努力来提供安全的铁路场景(4- - - - - -6),但安全是一个新兴的需求,即使不同的研究成果也为提供安全的铁路通信做了(7,8),仍有一些局限性。此外,用于安全分析方法,基于概率的危险,是无效的。,这不是可行的计算时,攻击者将检测漏洞和/或利用它。因此,有必要设计一个漏洞检测系统中,为了尽量避免利用这些漏洞的定义的对策。

我们的贡献集中在提供一个框架,能够利用这些漏洞ERTMS系统的完整性和真实性。通过这个框架,它将有可能知道这种攻击可以实时完成。

本文的组织结构如下;节2,我们ERTMS协议描述和分析为什么铁路上下文是一个敌对环境。节3,我们分析与这个话题有关的工作。我们描述我们的框架部分4的好处,强调有一个框架,攻击不同的漏洞,描述它,与它的局限性,最后描述描述的过程中,我们将遵循知道攻击可以实时获得成功;然后我们得出结论5。

2。概述ERTMS

ERTMS由两个元素:欧洲列车控制系统(ETCS)信号gsm - r的的沟通。

2.1。交易所交易

比例有一个伟大的各种可能的配置中使用的信号设备的现有或新行。因此,ETCS构思了几个应用程序级别:0,全国过渡委员会(国家列车控制),这是前STM(特定传输模块),1,2,3。接下来,ETCS水平不同。

2.1.1。ETCS 0级

ETCS 0级覆盖ETCS装备列车线路的操作不配备比例或国家系统。在这行,铁路沿线的信号是用来给火车运动机构。这个级别定义,以确保适当的ETCS装备和nonequipped列车之间的过渡。这个级别的操作如图1。

2.1.2。ETCS水平过渡委员会

ETCS水平过渡委员会用于ETCS装备运行列车线配备国家列车控制和速度监督系统。的列车控制信息作为输入,生成由全国列车控制系统是通过通信通道传输到火车的国家通过交易所交易系统和机载变成信息可判断的。根据功能和特定的国家系统的配置安装上,ERTMS / ETCS机载系统可能需要界面的,为了执行转换从/到国家系统和/或为了给ERTMS / ETCS上资源的访问。这可以通过一个叫做STM设备。这个级别的操作是呈现在图2。

2.1.3。ETCS一级

在应用ETCS一级,ETCS覆盖传统的信号设备。列车位置检测到传统的轨旁设备,与联锁通过铁路沿线的编码器的接口单元(亮氨酸)。联锁是线路设备的控制。铁路沿线的信号,和数据传送到车载设备通过Eurobalises转发器之间放置了rails的铁路。这个级别的操作如图3。

2.1.4。ETCS级别2

gsm - r电台是用来在应用程序级别2中,红细胞和火车之间交换数据。EuroRadio协议在这些沟通渠道,实现基于3 des加密系统。运动当局列车通过这个通道,而且连续速度监督。沟通,基本收发站(BTS)控制中心与车载通信单元(酸)的机载设备。

然而,火车轨旁设备执行的检测,所以ERTMS /比例的范围。在这个层面上,铁路沿线的信号可以抑制。图中描述的操作4。

2.1.5节讨论。ETCS三级

最后,运行级别3是一个基于无线列车控制系统。运动机构作为输入,生成和传播通过EuroRadio火车,在2级,但在这个层面上,火车的位置也由加拿大皇家银行作为输入。Eurobalises只是用于位置引用。铁路沿线的信号可以抑制这种水平。图中描述的操作5。

2.2。GSM-R

标准化活动的过程中,UNISIG集团认识到,为了确保安全的铁路GSM,某些频谱乐队需要分配。然而,GSM不可能满足所有的需求需要一个高效的铁路服务,因此,一些具体功能特性被添加到GSM规范。

GSM - r接近的频率分配在欧洲公众的GSM 900带运营商。4 MHz频段有19个频率可以为这些通讯。

为了保证网络的保密,A5/1流密码中使用GSM (GSM - r)和网络。流密码是一个纯文本的对称密钥密码位数加上关键流。

2.3。在ERTMS完整性和真实性

从二级ETCS,完整性和真实性在ERTMS是两种不同的安全机制来完成:A5/1 gsm - r和EuroRadio比例为。这是我们的框架的目标水平。

关于A5/1,即使一开始加密系统保持秘密,它成为公共知识通过泄漏和逆向工程2]。许多严重的弱点在密码识别(10]。因此,彩虹表能够解密加密的消息在互联网上是可用的。

另一方面,EuroRadio协议使用3 des密钥加密消息(11]。中使用的密钥通信(KTRANS, K-KMC、KMAC KSMAC)是由KMC实体,除了会话密钥,KSMAC。KTRANS和K-KMC密钥传输密钥用于确保KMAC密钥的安全分发从KMC ERTMS实体。这个分布是离线;这意味着它需要人员手工交付消息。

KMAC键用于会话建立流程谈判KSMAC ERTMS实体之间的会话密钥。三个ERTMS实体之间交换的消息在这个阶段的两个实体的认证和密钥生成。在这些消息,和随机数发送,用于计算KSMAC键连同KMAC键。考虑 ,这三个64位DES密钥 ,按照下列公式计算: 在哪里意味着离开,意味着正确的,因此, 和 。

调用实体创建一个随机数并将其发送给被调用的实体在纯文本。因此,实体创建一个随机数和计算KSMAC随机数和KMAC的钥匙。后来,创建实体发送随机数和CBC-MAC代码计算KSMAC和两个随机数实体。最后,实体计算KSMAC键和确认它是正确的,创建一个CBC-MAC,发送到实体,获得完整的身份验证。随机数在纯文本和交换,因此,攻击者可以拯救他们。

3所示。相关工作

很多研究和创新项目正在与欧盟的资金完成对铁路的网络安全。其中的一些项目中描述(12]。

ERTMS的不同分析了协议的安全性也已完成。这些分析指出ERTMS加密机制的漏洞。高级安全分析ERTMS是(13),但并不存在的漏洞EuroRadio协议,它将利用这一框架。指出不同EuroRadio协议的漏洞在3与ProVerif]通过执行一个分析工具。例如,这些漏洞包括的能力包括高优先级消息或删除消息,因为会话建立过程不使用记下,因此,这些信息可以被复制。在这种情况下,会话建立后,火车不验证红细胞的身份了,所以存在一个漏洞可以利用。

此外,(14)指出,自KMAC的分布主要是由离线,这需要人员手工交付钥匙从KMC ERTMS实体,许多运营商决定简化流程通过使用相同的KMAC大型舰队训练,放大有攻击的风险。因此,如果执行的攻击是在会话建立流程和各方之间共享相同的密钥,整个系统可能是妥协:攻击者可以采取许多在其他会话训练机构的身份。

另一方面,(15)指出的能力关键碰撞攻击DES和[16]描述了这次攻击(RKA)可以在ERTMS完成。做这两种攻击的一种方法,在ERTMS网络提出了(17]和得出结论,EuroRadio协议是不安全的,如果大量的数据,因此,长期使用会话长度。因此,在本文中给出的中间相遇攻击会更加可行。

然而,所有的这些分析目前使用的协议漏洞在ERTMS但不要描述如何利用这些漏洞为了以后找到这些漏洞的对策。本文将通过提供一个框架,描述了攻击可以执行,并弄清楚是否这是可行的。

4所示。提出了脆弱性检测方法

在本节中,我们提出我们的框架和漏洞检测的方法描述其局限性。最后,这个过程我们会知道攻击可以实时获得成功。

4.1。的描述框架和局限性

的场景,这个框架将考虑如图6。火车是用来连接到控制中心当局为了得到运动,但首先,火车发送位置向控制中心报告。

在该方案中,我们正在考虑,我们强迫火车连接到恶意控制中心,而不是真正的人,但是在这样做之前,我们计算火车之间的通信中使用的密钥和红细胞,图中给出的攻击者7。

一旦我们得到的钥匙,并迫使火车连接到我们的恶意控制中心,位置报告,火车将会发送到恶意的控制中心。这个职位是加密的报告不同的加密系统在不同的水平,但在这一点上,我们已经获得了键用于沟通和,因此,我们能够解密消息。因此,我们能够改变位置的报告,发送给真正的控制中心,通过火车的身份。控制中心接收到假消息并创建一个运动权威取决于位置的报告,这是发送到火车。

图中描述的框架我们已经考虑7。它是由恶意的控制中心,火车,攻击者窃听,和真正的控制中心。

恶意的控制中心是由错误的红细胞,这将是一个工业PC机;OpenBTS(开底收发站)软件(18),由SIPAuthServe SMQueue,和从服务器;和USRP N210软件定义无线电(SDR) (19]。

OpenBTS是基于软件的GSM接入点,GSM兼容手机允许标准作为SIP端点在语音IP (VoIP)网络。软件控制收发信机,使电话和发送短信。SIPAuthServe是服务器处理SIP注册请求OpenBTS生成当手机试图加入GSM网络。它支持三种类型的身份验证:(我)身份验证类型2:未经身份验证的请求。手机连接到OpenBTS网络但这并不存在于注册服务器。(2)身份验证类型1:缓存认证。手机连接到网络并在注册服务器确实存在,但是使用一个简单的基于TMSI加密方法。(3)身份验证类型0:完整的身份验证。在OpenBTS SIM卡满了身份验证,因此,关键是提供给使用的身份验证服务器和加密。的是一个128位的值用于验证模拟人生GSM移动网络。每个SIM拥有一个独特的和秘密Ki指定操作符。这种身份验证方法使用适当的GSM加密在网络上。

其他服务器OpenBTS SMQueue星号,正如已经指出的。虽然SMQueue处理SIP消息请求OpenBTS产生当一个手机发送一个短信,星号是一个VoIP开关负责处理SIP INVITE请求,建立的个人日志,和连接在一起20.]。

的硬件部分OpenBTS软件是一个特别提款权,USRP N210在我们的例子中,有两个GSM天线创建网络。gsm - r网络USRP N210被选中是因为它支持并提供高带宽和高动态范围处理能力。

火车的框架将模拟一个电脑,一个调制解调器和一个可编程的SIM卡。一个可编程的SIM卡(21)是必要的,因为它是必要的了解关键的SIM卡为了得到OpenBTS完整身份验证和使用GSM加密在网络上。现代将用于能够将电脑连接到GSM网络。

最后,将执行的攻击者窃听攻击图7将由TDT-SDR。这是一个特别提款权,一起抓住了GSM网络的交通通用无线黑客(URH)软件。与这个特别提款权无线协议,我们将能够调查和彩虹表我们可以得到A5/1键用于培训和实际控制中心之间的通信。因此,由于我们使用的SIM卡可编程 ,我们将能够配置相同的A5/1键和,因此,一旦我们力火车连接到恶意控制中心,我们将能够解密发送消息。

如前所述,我们的框架由OpenBTS和USRP N210,因此,因为我们使用OpenBTS软件,我们可以只是gsm - r和GPRS网络的创建。在铁路网络进化LTE(长期演进)网络,我们可以使用OpenLTE开源项目(22这个项目),但不能用于硬件USRP N210因为时钟不兼容的原因。因此,采样率转换在主机必须在USRP完成的。

4.2。规范的程序

这种攻击之前的流程图是描述在图8。可以看到,安装框架后,我们能够获得的数据从火车到真正的控制中心。这交通由A5/1 4。因为我们有彩虹表在执行窃听攻击的攻击者,我们能够解密消息GSM的水平。

EuroRadio协议的攻击将对DES KSMAC键执行,将会是一个中间相遇攻击。在这种攻击中,所有可能的密钥进行测试。

因为所有之间交换的消息的火车和红细胞ERTMS定义在[11),我们假设我们能够获得一个已知的纯文本和一双密文( )。中间相遇(MTM)攻击的密码 工作如下:

我们建立一个列表包含两人( 每一个可能的值 , 对于DES。值将被蛮力了, 。

另一方面,我们将获得值通过执行 。直到执行这个操作值匹配值存储在表中。

为了确保密钥计算是正确的,可以获得另一个已知的纯文本和一双密文( )和计算 。如果C和是相等的,这意味着我们已经找到正确的钥匙。

在3 d系统有三个不同的密钥,密码工作后下一个关系:

中间相遇攻击的三重des与三个不同的钥匙,我们定义 ,所以我们只需要这个申请的计算 。

的计算需要操作,因为它是一个double-application DES,另一方面,计算需要操作。因此,攻击需要 操作。

之后,如果我们能够计算我们要获得这三个键 ,我们需要计算我们所需要的时间来执行整个攻击,如图8描述了。测量时间,我们知道这种攻击可以实时执行。

在攻击可以实时执行,也就是说,如果所有的钥匙都在行动中获得的火车,这些键可以用来进行不同的攻击涉及火车的身份盗窃或红细胞。例如,攻击者可以通过自己的加拿大皇家银行为了发出假运动当局火车。另一方面,攻击者也可以伪造的列车位置控制是由ERTMS 3级的红细胞,红细胞通过发送虚假的位置信息而他模仿火车。所有这些虚假信息由攻击者之间的碰撞可能涉及不同的列车。

获得的结果与该框架将有助于寻找对策,从实时获取关键的事实意味着A5/1和3 des铁路环境安全机制不够强壮。结果是,这些机制应执行或改变为了继续使用ERTMS系统以一种安全的方式。的可能对策系统可以更新3 des AES等安全机制更安全的系统,由于AES使用较大的块大小和长键。因此,它将更昂贵的实时执行攻击。事实上,3 des密钥长度是112或156位,而在AES,密钥的长度是可变的:128,192,或256位。然而,使用AES应该首先评估框架呈现在图7。

5。结论和未来的工作

不同的漏洞的安全机制ERTMS系统一直在本文中描述,但即使他们确定,没有一个攻击的框架,我们不知道是否他们是可利用的在实践中。结果,提出框架将给信息的可利用性A5/1和3 des安全机制,因此,将确定对策应该应用于改善系统的安全。此外,由此产生的基础信息框架的构成应该被应用到系统的对策。

的利益冲突

作者宣称没有利益冲突。

确认

这项研究工作是由西班牙政府通过SAREMSIG tec2013 - 47012 - c2 - 1 - r项目,四面八方de我+ D +里特•Investigacion 2013和网络安全与民用和Rails项目配套de狭Investigacion y Desarrollo S.L. 2015 - 2016。