大家读完觉得有帮助记得关注和点赞摘要欧洲铁路交通管理系统ERTMS是一个广泛采用的标准用于统一欧盟的列车管理。虽然该标准允许全自动驾驶等用例但网络安全一直是被事后考虑的。风险分析能够系统性地评估威胁和缓解措施并确定其优先级。迄今为止尚不清楚ERTMS中哪些威胁最为重要。本研究系统性地建模了ERTMS的组件并基于底层技术中识别的威胁分析了其安全性。结果表明尽管ERTMS在铁路安全中扮演着关键角色但其安全状况令人担忧。EuroBalise和GSM-RailwayGSM-R等传统标准的使用引入了漏洞这些漏洞在最小ERTMS实现、包含各种可选安全措施的部署以及系统未来演进例如采用未来铁路移动通信系统FRMCS中持续存在。完全过渡到欧洲列车控制系统ETCS2级被确定为ERTMS网络安全最重要的改进。结果表明ERTMS需要向安全方向转变以确保可用性和安全运行。虽然所选方法证明了其可行性并揭示了ERTMS的剩余弱点但未来需要开展工作开发以铁路为中心的适应性改进以提高计算风险的量化和评估。关键词铁路网络安全 · 安全风险分析 · 模块化风险评估 · ERTMS · ETCS · FRMCS · GSM-R · EuroBalise1 引言为促进国际铁路的发展和运营欧盟引入了欧洲铁路交通管理系统ERTMS[30]以建立可互操作的信号、通信和列车管理系统。ERTMS支持多种技术如标准化信号、空中OTA通信和自动列车运行ATO。自2002年首次成为新建高速铁路网络的强制性要求[31]并于2004年成为普通铁路的强制性要求[32]以来ERTMS的采用率参差不齐从比利时和卢森堡的全面部署到德国覆盖率不足1%[55]。ERTMS甚至已扩展到欧盟以外的国家如澳大利亚和泰国³表明对负责的欧盟铁路局ERA的全球信任。ERA于1996年发布了首个规范草案[30]并随后进行了更新最近一次是2023年的“基线4”[33]。然而这种长期传承引发了一个问题网络安全在多大程度上已成为标准化过程的一部分。在过去十年中多个国家发生了针对铁路基础设施的攻击通常以拒绝服务DoS或个人信息泄露的形式出现[53]。传统网络物理系统尤其容易受到低成本攻击例如2023年波兰列车因通过无线电广播停止命令而被远程停驶[45]。除了为个人利益或针对性服务中断而进行的攻击外在地缘政治紧张局势加剧的背景下对军事战争中利用这些系统的担忧也在上升。虽然欧盟将其信号和列车管理迁移到高度计算机化的系统是扩展和统一其铁路网络的必要步骤但与网络安全快速发展的步伐相比ERTMS相对陈旧的特性要求对其现状进行更深入的调查。本文的贡献如下C1 我们调整并应用模块化网络安全风险评估方法系统性地建模和评估ERTMS。C2 我们推导/比较当前/未来ERTMS配置的网络安全风险概况识别暴露最大攻击面的资产。我们在第2节中总结相关研究并在第3节中解释ERTMS的核心概念这些概念与系统模型第5节和风险分析第7节相关。第4节描述我们建模和分析ERTMS的方法。识别的威胁和控制措施在第6节中描述。第7节展示我们的分析结果并在第8节中讨论。第9节总结我们的发现。2 相关工作本节使用以下三分法总结现有文献通用铁路基础设施的网络安全、ERTMS的网络安全以及风险分析。铁路安全学术和工业工作一致认为铁路运营技术OT日益增长的数字化和连接性增加了战略性关键基础设施的网络攻击面[37,38,44,51]。综述强调安全-安全协同工程、仿真与建模以及人工智能AI和区块链的使用是主要研究趋势同时指出验证、LTE/5G安全、网络安全实施和定量风险管理方面的差距[34,44]。技术贡献侧重于网络级保护如通过防火墙/网关隔离、入侵检测系统IDS、深度包检测DPI、基于AI的检测和强加密但也强调了由资产寿命长、地理分布和供应商锁定带来的实际约束因此倡导基于风险和成本感知的安全工程[34,38,40,43,51]。在规范层面CENELEC TS 50701和最近的EU Rail System-Pillar规范为信号和联锁系统提供了生命周期指导、通用威胁场景和基线网络安全要求[1,26,27,28,29,38,51]。我们的工作通过独立的、技术感知的风险分析来补充这种横向视图包括明确的攻击树和对未来铁路移动通信系统FRMCS和ATO的详细评估。ERTMS安全ERTMS的网络安全分析主要集中在其通信和加密机制上。早期关于GSM-RailwayGSM-R上EuroRadio“安全层”的工作暴露了弱加密原语3DES和有问题的密钥管理实践并建议采用更稳健的设计[48]。后续研究分析了针对GSM-R的拒绝服务和干扰、资源耗尽和伪随机数生成器PRNG攻击并再次质疑密钥管理同时呼吁进行系统性漏洞评估[36,41]。第二类工作侧重于EuroBalise基于仿真的研究表明缺少完整性保护和可远程修改的固件可能使自动列车停车被操纵对策包括改造身份验证标签和异常检测[47]。在相关的基于通信的列车控制CBTC系统中的测试证实低成本设备足以干扰balise电报并强调了基于Wi-Fi的车内通信中的风险[57]。更近期的贡献讨论了未来ERTMS演进的系统级缓解措施特别是FRMCS推荐集中式“总体安全机制”如安全运营中心SOC、维护和数据管理MDM以及行业特定的公钥基础设施PKI和域名系统DNS以及加密敏捷性、持续调解和基于AI的可观测性及已部署资产的“持续可见性”[6,42]。这些工作大多涉及单个组件或机制相比之下我们在统一的风险框架内分析完整的ERTMS从传统的GSM-R和EuroBalise到FRMCS和ATO。网络安全风险分析在方法论上我们的工作建立在已建立的安全风险评估方法之上。在汽车领域Wolf等人通过将CEM式攻击潜力与基于调整后的安全完整性等级SIL等级和攻击树的损害估计相结合来推导风险等级[9,61]。Eichler等人将其推广为安全汽车系统开发的模块化风险评估MoRA框架该框架支持可扩展、面向功能和技术感知的分析[10]。它此前已应用于类似的复杂用例如自动驾驶[60]。对于铁路先前的工作包括以安全为重点的风险模型[46]和联合考虑安全与安全交互的方法[2]。只有少数研究将网络安全风险评估专门应用于ERTMSBloomfield等人勾勒了基于ERTMS系统的方法论但披露了有限的结果而其他工作集中于单一机制如EuroRadio中的3DES或安全ERTMS架构和密钥管理[8,52,59]。现有文献因此要么保持高层要么聚焦于狭窄范围的技术问题。我们通过将MoRA应用于完整的ERTMS规范包括FRMCS等新标准化并发布明确的攻击树和详细的系统级风险概况来填补这一空白而不是仅呈现方法论。3 背景本节解释ERTMS标准在本分析范围内的当前状态。它介绍后来在第5节系统模型中形成基础的组件、接口和加密机制。欧洲列车控制系统在ERTMS中欧洲列车控制系统ETCS信号和控制系统对乘客安全有最直接的影响。它确保没有两列列车同时进入同一轨道段我们考虑规范版本4.0.0[13]。ETCS定义了四个运行级别级别0轨道侧TS无ETCS、级别“国家列车控制NTC”通过特定传输模块STM连接的遗留系统、级别1通过EuroBalise、EuroLoop、无线闭塞中心RBC和无线填充单元RIU进行ETCS列车监控和级别2与RBC的连续无线电通信EuroBalise主要提供位置数据不使用EuroLoop和RIU[13,19,20]。EuroBalise和EuroLoop是通过感应耦合向车载单元OBU传输道旁信息的点式和半连续轨道设备而RBC和RIU提供基于无线电的“填充”信息[13,19,20]。关键数据是移动授权MA它授权列车前进到授权终点EOA或授权限制LOAMA可以延长但不能撤销只能协商缩短[13]。额外数据包括紧急停车、临时限速、坡度和进一步轨道条件。Balise链接在未检测到预期balise或环路时触发紧急停车。这可以通过大金属质量BMM和虚拟balise覆盖VBC在已知干扰源附近被抑制[13,16]。ETCS OBU监控速度并可施加制动但不能施加牵引力牵引力仍由驾驶员或ATO控制。位置主要通过参考balise的里程计计算全球导航卫星系统GNSS仅用作时间源[13,14]。GSM-R和FRMCS今天列车和RBC/RIU之间的无线电通信使用GSM-R这是一个专用移动网络以电路交换和分组交换模式运行分组模式依赖标准传输控制协议TCP/互联网协议IPEuroRadio模块通过DNS解析RBC/RIU地址[18]。“安全层”使用三个对称密钥为GSM补充流量加密和完整性保护KTRANS传输、KMAC认证和KSMAC会话。新鲜的KSMAC密钥通过三重数据加密算法3DES从KMAC和nonce派生64位密码块链接CBC-消息认证码MAC提供完整性[18]。即将推出的FRMCS用基于5G的系统取代GSM-R提供固有的认证和加密以及受TLS保护的端到端通信。DNS再次用于IP解析[18,35]。自动列车运行ATO是一个可选子系统实现半自动驾驶和自动站停。ATO OBU仅通过FRMCS从道旁ATO系统接收数据。段配置文件SP描述基础设施段停靠点、速度曲线、隧道、站台而行程配置文件JP结合多个SP与额外的基础设施和时间表约束。ATO OBU内部包含三个模块时间表速度管理TTSM、监督速度包络管理SSEM尊重ETCS速度监控和自动列车停车管理ATSM在定义点精确停车。它们的速度建议通过取最小值来组合ATO直接控制牵引力和制动同时根据停留时间和站台数据管理车门开关[16]。ETCS仍然是安全权威可通过制动覆盖ATO。密钥管理ERTMS为KTRANS和KMAC定义了分布式密钥管理架构[22,23]。每个实体属于由密钥管理中心KMC服务的密钥管理域KMC生成并分发KMAC并处理域间请求。密钥可以通过离线带外接口使用3DES和CBC-MAC初始秘密安装不明确[22]或通过依赖KTRANS和用于基于证书分发的PKI的在线TLS保护通道来配置[13,17,23]。随着完全过渡到FRMCS传统的KMAC/KSMAC使用被逐步淘汰所有加密材料将由行业范围的PKI管理[17]。4 方法论方法论遵循四个基本步骤文献综述识别相关规范文档并调查ERTMS现有研究以获得详细理解。系统建模构建ERTMS的抽象模型。风险分析对推导的系统进行风险分析。验证将结果与相关工作进行比较。ERTMS规范的大部分内容可在ERA网站上公开获取。它被分为多个称为“子集”的文档。由于这些子集数量众多整理其中包含的信息需要在文档间进行大量交叉引用工作。经过仔细考虑选择先前描述的MoRA框架进行风险分析原因如下其迭代和模块化的性质非常适合ERTMS的规模因为可以根据早期发现调整粒度。建立评估目标TOE确保相对于所选模型和威胁的完整性最小化主观性和偏见尽管不能保证真实世界系统的完整性这取决于分析师的抽象。为应对风险分析中规范的范围选择了以下MoRA方法创建TOE系统模型通过识别系统组件、连接和所用技术被形式化为TOE。每个连接的数据流在所选粒度级别建模。功能分配数据根据其目的和效果被分组为“功能”。任何数据都可以是多个功能的一部分。基于已建立的数据流组件和连接自动映射到相同的功能。安全目标量化对于每个功能评估机密性、完整性和可用性的损害跨越与ISO/SAE 21434对齐的四个损害类别[39]安全、财务、法律也涵盖隐私和运营。功能和损害的各组合构成安全目标。按照MoRA每个功能按最坏情况严重性评估损害因为给定安全目标的任何受损都会产生相同的下游后果无论具体攻击向量如何。威胁建立使用STRIDE的子集欺骗、篡改、信息泄露和DoS否认和提权被归入欺骗和篡改因为ERTMS主要依赖物理域分离伪造消息本质上是否认真实来源应用于组件或连接来识别威胁。每个威胁按照CEM[9]在五个类别上进行所需攻击潜力RAP评级耗时、所需专业知识、TOE知识、机会窗口和所需设备。根据CEM[9]RAP等级来自类别分数总和0-9基础、10-13增强基础、14-19中等、20-24高和≥25超高。定义控制措施可以通过迭代过程识别能够保护系统的不同控制措施。我们从直接来自ERTMS规范和文献分析的控制措施集开始。对于每个未解决的威胁进一步审查文献以识别适用的对策。接下来我们识别使某些控制措施失效的威胁例如获取私钥使受该密钥保护的加密通道失效。不考虑超出这些步骤的控制措施。编译攻击树对于每个威胁递归构建攻击树。根代表威胁子节点是削弱保护它的控制措施的“准备威胁”。共享相同根的子树被复制而RAP完全被更短路径支配的路径被修剪。风险估计每个攻击树的组合所需攻击潜力通过求和每条路径并乘以被破坏安全目标的损害等级来计算产生树的“风险等级”。控制措施评估最后对不同活动控制措施集重新计算风险以了解各种对策的有效性。然后可以与这些控制措施的设计者和其他研究人员的声明进行比较。5 系统模型本节描述在MoRA的TOE中形式化的系统模型。识别的组件可分为四大类。在车载OB的核心我们找到ETCS OBU它与列车内所有其他组件接口。出于我们的目的我们考虑驾驶员机器接口DMI、ATO OBU、代表性STM、车载记录设备ORD、EuroRadio模块和车辆接口[13]。一些抽象选择包括省略EuroBalise和EuroLoop的不同通信模块并将FRMCS功能合并到EuroRadio中。所有OB组件通过运行PROFINET的物理以太网网络连接到ETCS OBU[13,14]。历史上多功能车辆总线MVB和控制器局域网络CAN曾被使用但我们在模型中忽略这一点因为它们在新车辆中不再被允许。此外ATO OBU有自己的以太网连接到EuroRadio、DMI和车辆接口可能有多个但这种区别对我们的分析无关紧要。我们模型的轨道侧TS包含四个列车通信系统EuroBalise、EuroLoop、RBC和RIU。只建模每个组件的一个实例就足够了。我们选择不建模任何进一步组件如线路电子单元LEU、NTC TS或联锁骨干因为这些超出了ERTMS的范围。出于同样的原因我们不建模TS上的任何内部连接[13]。TS接口通过四个信道向OB传输消息EuroBalise和ETCS OBU之间的感应分别EuroLoopRBC和EuroRadio之间的GSM-R以及与RIU的等效连接。我们在这里忽略FRMCS并将其视为控制措施见第6节[13]。ERTMS中的一些服务通过互联网访问PKI、DNS解析器和ATO TS。我们还包括一个将GSM-R网络连接到互联网的网关。我们从PKI到网关、RBC、RIU和ATO TS形成一个TCP连接。DNS解析器通过用户数据报协议UDP连接到网关。列车的互联网连接被建模为EuroRadio和网关之间的GSM-R连接[16,17,18]。我们定义了两个与密钥管理KM相关的组件本地和外部KMC。本地KMC通过TCP和带外OOB冗余连接到RBC、RIU和外部KMC。两个KMC都通过TCP与PKI接口[11,22,23]。最后对于某些配置包含一个与ETCS OBU接口的GNSS组件。图1展示了所有组件及其连接。图1按域OB、TS、互联网、KM分组的系统组件及其连接。边标签表示通信技术Eth以太网Ind磁感应GSMGSM-ROOB带外每条连接上传输的数据单元从相关规范文档中提取[11,12,13,15,17,18,21,22,23,24,25]。我们省略列出它们而是聚焦于识别的功能我们定义了一个与牵引控制相关的功能一个与制动系统相关的功能一个与MA相关的功能两个与DMI相关的功能三个与各种状态报告相关的功能五个与不同轨道信息相关的功能一个与密钥管理相关的功能和一个与证书管理相关的功能三个与模式和级别转换相关的功能一个用于门控制以及分别用于里程计、当前时间、版本协商、通信建立和终止、日志记录、确认、信息结束EOI、错误报告、安全无线电监控、VBC和balise链接、紧急停车和NTC的功能总共37个功能。大多数这些功能的安全目标受损与非常高或高的损害等级相关因为这可能导致从路段阻塞到平交道口事故导致伤亡的后果。具有中等和低损害等级的安全目标与中等列车延误例如由于MA缩短受损或乘客舒适度例如由于空调受损相关。表1列出了所有功能及其安全目标和每个类别中分配的损害严重性。例如MA功能的完整性产生非常高的安全损害因为授权列车进入占用路段可能导致列车碰撞。这也适用于潜在列车碰撞造成的高财务损害。运营损害源于对MA功能的完整性或可用性攻击——例如欺骗阻塞信号或丢弃授权消息——这可能阻止列车向空闲路段移动授权造成重大延误和网络阻塞。表1. 各功能及安全目标的受损等级评估。​ 每种颜色代表严重程度极高、高、中、低、极低、无损害。功能名称后的星号*表示该功能的某项或多项安全目标会破坏控制机制例如证书管理的完整性受损将破坏 TLS。功能安全财务法律运营C I A​C I A​C I A​C I A​牵引控制​- VH VH- H H- - -- H H制动控制*- VH VH- H H- - -- H H车门控制​- VH -- - -- - -M M证书管理*- - -- - -- - -H H轨道条件​- VH -H - -- - -H H行车许可​- VH -H - -- - -H H应答器链接*- - -- - -- - -- -版本协商​- - -- - -- - -H HNTC​- VH -H - -- - -H H显示​- - -- - -- - -- -进气​L L -- - -- - -VL VL电源​H - -M L -- - -H H日志记录​- - -- - -H H -- -平交道口​- VH VHM M -- - -H H通信建立​- - -- - -- - -H H密钥管理*- - -- - -- - -H H模式转换​- VH -M - -- - -H HETCS转换​- - -- - -- - -H H位置参考​- VH -M - -- - -H H里程计​- VH -H - -- - -H H时间​H - -M - -- - -H H紧急制动​- VH VHH H -- - -H -确认​- - -- - -- - -H H列车数据​H - -M - -- - -H H列车状态报告​- - -- - -- - -H H调车​- - -- - -- - -M L信息结束​- - -- - -- - -- -错误报告​M - -- - -- - -H -DMI按钮按下​- - -- - -- - -H HBMM*- - -- - -- - -H H安全无线监控*M M -- - -- - -H H图例C机密性I完整性A可用性VH极高H高M中L低VL极低-无损害。6 控制措施与威胁本节介绍通过我们的方法论识别的威胁第6.1和6.4节和控制措施第6.2和6.3节从基础到高级。威胁按系统模型第5节中识别的底层技术或通信接口组织。对于每个连接和组件的技术应用STRIDE类别第4节步骤4并由文献中已知的漏洞提供信息。社会工程是一个横切向量影响OOB密钥管理程序。RAP值遵循CEM[9]除非另有说明对加密原语的重复攻击将RAP降低到基础因为破解的密钥可以被重用。6.1 基础威胁磁感应EuroBalise和EuroLoopERTMS中最容易受到威胁的技术是EuroBalise和EuroLoop电报使用的磁感应。中断这种通信仅需简易设备[58]且长段轨道缺乏物理保护导致基础RAP。为了欺骗电报轨道上的定制设备可以模仿balise尽管可能需要专家级知识和定制设备。此外攻击者可能需要花费较长时间在铁路周围活动这可能引起怀疑。此威胁的RAP评级为中等。另一种欺骗方法涉及Lim等人建议的重放攻击[47]。我们认为这与假balise威胁一样困难产生中等RAP。Lim等人提出的另一个问题是固件修改[47]。虽然规范规定这种“测试接口”“不需要集成到运营设备中”[19]我们仍然在我们的分析中考虑固件重刷。物理调试和远程接口都可以使用产生两个潜在威胁。无论哪种情况由于供应商特定设备可能需要定制工具和专家知识。两种威胁都获得高RAP。这里不分析信息泄露因为电报数据不是秘密的其效果可以在外部观察。以太网车载通信破坏以太网通道的可用性很简单切断电缆阻止数据流。这在可忽略的时间内完成尽管需要物理存在导致基础RAP。嗅探可以以类似的难度执行。然而可能需要专门设备来重新连接电缆同时允许数据截获。RAP仍为基础。最后我们考虑数据完整性。以太网网络上的欺骗与嗅探具有相同的先决条件因为必须将物理设备接入网络。我们将专业知识水平提高到熟练因为需要第2层欺骗的知识。然而RAP不增加到基础以上。我们不单独评估篡改因为结合可用性和欺骗威胁达到同样的目标。互联网协议IPIP欺骗是简单的在每个类别中排名最低获得基础RAP评级。我们再次认为不需要单独分析篡改攻击。通过嗅探破坏IP流量的机密性需要在路径上位置。出于我们的目的我们考虑恶意网络基础设施运营商。我们假设具有专家知识的攻击者需要大约一周时间以期望的方式影响路由协议。对TOE的知识应至少被认为是受限的因为使用的IP地址和端口没有公开记录。所需设备至少应是专门的如果不是定制的。总RAP相当于中等。破坏IP流量可用性可以通过路径上攻击者丢弃数据包类似于嗅探威胁或通过大规模分布式拒绝服务DDoS攻击实现。“DDoS即服务”提供商的兴起使得基于自动化僵尸网络的洪泛攻击可以通过货币补偿获得[56]仅需要受限的TOE知识。产生的RAP是增强基础如果成本估计为$10/小时是准确的可能更低[3]。GSM-RailwayGSM-R由于GSM在移动通信中的普及嗅探、干扰和欺骗的设备很容易获得。对TOE的知识从公开到受限不等取决于细节如使用的电话号码。如果攻击者靠近轨道这三种威胁中的每一种都可以即兴执行。无论专业知识水平如何产生的RAP都是基础的。全球导航卫星系统GNSSMorong等人[49]证明了GNSS干扰的容易性仅需几瓦的发射功率并计算干扰范围为数十公里不需要专门设备、敏感知识或时间投入。产生的RAP是基础的。攻击GNSS的完整性更复杂因为正确欺骗传输需要对所涉及的数学和信号理论有专家级理解[54]。此外鉴于更先进的接收器能够辨别传入信号的方向天线的定位必须更谨慎设备至少应是专门的。然而威胁的瞬时远程性质意味着RAP不超过增强基础。篡改GNSS信号或卫星本身与干扰和欺骗方法相比是不可行或过于复杂的。不考虑信息泄露因为GNSS数据是公开的。社会工程总的来说攻击者可能需要被相应公司雇佣才能获得对列车的物理访问估计时间1个月。由于需要公司密钥管理程序的细节所需的TOE知识是受限的。类似地机会窗口被评级为困难。总RAP为高。对于重复攻击所需时间减少到一天以内因为内部人员只需通过一次雇佣流程将RAP降低到中等。6.2 基础控制措施模型固有控制措施为简化模型第5节系统的一些属性被表达为控制措施。首先缺乏ATO可以被视为一种控制措施因为与自动驾驶相关的功能在未实现时无法被利用。此控制措施将与ATO相关的威胁的RAP提高到超高。类似地仅在级别2使用ETCS从模型中移除EuroLoop和RIU并将EuroBalise传输的数据限制为位置参考[13]。最后我们将FRMCS建模为对GSM-R技术的控制措施因为它完全取代了遗留标准。该控制措施通过显著增加破解最先进加密原语所需的时间、专业知识和资源来保护机密性和完整性免受威胁产生超高的RAP[6]。强制性控制措施ERTMS规范包含一些强制性保护措施。在OB以太网层面使用PROFINET标准。然而它不引入任何网络安全措施而是依赖“纵深防御”。对于我们的用例我们考虑一个适当分离的网络如PROFINET和ERTMS所建议的[14]。我们假设所有安全相关的以太网电缆对普通乘客来说物理上难以接触从而将机会窗口增加到困难[50]。几乎所有IP通信如列车和PKI之间的通信都是TLS保护的。我们假设这对IP具有与FRMCS对GSM-R相同的效果[16]。一个显著的例外是DNS它使用未加密的UDP数据报。最后GSM-R在开放系统互连OSI网络模型上扩展了一个“安全层”。尽管其措辞该层负责流量加密且该层中使用的3DES原语被认为是过时的见第3节[4,5,7,48]。对于我们的分析我们估计安全层将GSM-R机密性和完整性威胁的RAP提高到增强基础。可选控制措施ERTMS中两个可选的安全相关概念适用于网络安全。首先第3节中描述的balise链接可以用作对抗电报可用性威胁的对策。虽然它不改变RAP但该控制措施通过诱导紧急停车将安全相关损害转化为列车延误[13]。注意balise链接对像修改固件或欺骗balise等其他完整性攻击没有效果。其次OB的“安全无线电监控”监控OTA通信的未宣布中断。在信号丢失时列车根据配置要么停车要么无法响应[13]。因此我们认为将反应设置为跳闸或正常制动作为对GSM-R可用性的控制措施具有与balise链接相同的转换性质。此外OB以太网网络规范提到“期望在更高层有安全功能以确保端到端安全”[14]尽管不清楚如何在保持互操作性的同时实现这些。我们将其建模为将以太网机密性和完整性威胁的RAP提高到超高的控制措施。6.3 进一步控制措施现有文献大量研究建议各种形式的干扰检测和使用IDS[6,42,47,48,57]。遗憾的是这些建议往往含糊不清特别是关于系统对警报的响应。出于这个原因我们选择不建模这些控制措施。Lim等人引入MAC到电报格式的提议提供了一种在不破坏向后兼容性的情况下加固接口的独特方法[47]。他们建议重用12位扰码机制[19]由短随机值种子的移位寄存器使用从共享秘密派生的密钥来保护balise电报的机密性和完整性[47]。虽然该提议具有创造性但我们对其抵御网络攻击的能力存疑。首先MAC的短长度允许计算上可行的碰撞。伪造电报仍然具有挑战性因为扰码可被视为加密。然而电报非常短扰码从未用于此目的。此外明文可以通过观察车辆的运行反应来推断。基于这些担忧我们计算电报机密性和完整性威胁的RAP增加到增强基础。原始建议基于早期风险指标我们针对第6.1节中看到的威胁组合了一些简单控制措施。OOB密钥管理、balise调试接口和GNSS的相对低安全性使我们相信应考虑禁用这些机制。禁止“离线”密钥管理[22]消除了所有讨论的社会工程威胁。禁用物理和远程调试接口保护balise固件免受修改。不依赖GNSS的准确OB计时减轻了对此系统的攻击。受保护的平交道口LX应在ETCS受损时作为第二道防线。将停止在LX的责任转移到道路车辆消除了列车无法及时停在那里的危险。由于TLS控制不适用于DNS其完整性仍然脆弱在最好的情况下导致大规模延误在最坏的情况下导致高级冒充攻击。我们建议使用域名系统安全扩展DNSSEC来消除此威胁。最后我们认为balise链接在其当前状态下容易被假balise和重放攻击绕过。我们建议将此措施扩展为支持经过认证的不存在证明DoE。简而言之列车应对未宣布的balise做出与错过balise相同的反应例如通过跳闸。此策略通过将安全相关损害场景转化为延迟相关场景来保护电报完整性固件修改除外免受威胁。6.4 进一步威胁考虑到所有控制措施我们识别出一个新威胁balise链接可以通过触发BMM轨道条件来破坏。这可以通过攻击电报或GSM-R的完整性实现但人们也可以激怒其合法发布例如通过沿轨道散布不影响行驶性能但干扰磁场的大金属质量。我们将其建模为欺骗源自DMI的BMM数据。RAP为中等因为攻击者需要在轨道上长时间存在并精确校准金属量。其他控制措施已经受到第6.1节威胁的影响我们通过将受影响的控制措施分配给功能的安全目标来反映这一点以便它们的破坏禁用控制措施。我们识别了三种这样的关系。破坏证书管理协议CMP的机密性或完整性会破坏TLS、DNSSEC和FRMCS控制措施。类似地破坏KM的机密性或完整性会破坏GSM-R安全层。balise链接控制措施取决于VBC的可用性或完整性。还有其他功能的破坏可以作为更复杂攻击的入口点我们留待未来研究见第9节。7 评估通过我们的方法论我们识别了总共191个风险。我们聚焦于最重大的风险。在最基本的控制措施集下即仅第6.2节且无ATO17个风险具有低风险等级44个中等62个高68个非常高。非常高类别的大部分源于EuroBalise的不安全性因为这种技术的各种形式的欺骗、篡改和干扰可能轻易导致死亡。GSM-R和OB以太网总线的威胁构成同样的危险除了精确计时的电缆切断的边缘情况我们认为这不现实。IP层的DoS攻击也被评为非常高因为可能暂时停止整个铁路服务例如在KMC或PKI不可用的情况下。对于GNSS的欺骗和篡改可以假设类似的效果。篡改还可能导致危及生命的伤害如果OB时钟漂移足够大以显著超过LOA。当采用第6.2节的所有可选ERTMS控制措施包括FRMCS时每个类别的风险数量分别变为17/82/44/48。然而只有与OB以太网和GSM-R欺骗相关的风险被完全缓解⁴即降低到中等风险。虽然balise链接和安全无线电监控防止干扰攻击造成严重伤害但它们反而导致服务中断因为这些控制措施通过施加制动来响应损害从安全转化为运营损害。低RAP和潜在的全线中断的组合意味着有效风险等级保持不变。最后电报的篡改、对GNSS的攻击和DDoS仍然完全未解决。提醒读者非常高风险攻击从68减少到48并不意味着底层威胁被完全缓解因为多个攻击树可能共享相同的根威胁。引入第6.3节的建议将分类变为17/89/58/27。只有对GNSS的攻击被完全缓解这解释了中等类别基数的小幅增加。对电报完整性的三个主要威胁重放攻击、假balise和固件重刷仍然是可能的尽管RAP增加了。然而它们的损害从列车碰撞转变为延误和取消就像对干扰攻击讨论的那样。由于RAP非平凡相关风险等级从非常高降低到高。干扰和DDoS攻击在非常高等级上仍然有问题。这三个控制组在包含“仅ETCS级别2”控制措施的情况下再次分析模拟级别0、NTC和1的完全淘汰。仅使用强制性控制措施风险计数为17/106/33/35。包括规范中的可选控制措施我们得到17/126/23/25。最后启用所有控制措施产生17/129/36/9。在每种情况下显著的风险降低是由于EuroBalise角色减少。尽管如此它们仍用于列车定位可能通过逐渐偏移OB确定的位置来实现信号和缓冲停车超限导致严重伤害。这被分类为非常高。实施第6.3节中建议的链接DoE措施通过将损害转化为列车延误将风险降低到高。剩下的9个非常高风险涉及先前讨论的干扰和DDoS攻击这些攻击可以相对容易地中断服务。各种控制组对风险分类的影响可视化见图2。图2. 各活跃控制组集按风险等级统计的总风险数仅新增一组最后我们考虑激活ATO。这仅在结合FRMCS时有效因为ATO over GSM-R是不允许的。在每种情况下我们仅观察到一种额外的高风险等级攻击即在恰当时刻切断ATO OBU和车辆接口之间的以太网电缆以抑制牵引力停用。实际上这并不令人担忧因为ETCS OBU的制动系统覆盖ATO我们的模型没有捕捉到这一点[16]。ATO对风险的低影响源于这样一个事实如果攻击者破坏OB总线连接或FRMCS网络他们甚至在没有ATO的情况下也能通过破坏列车制动造成灾难性损害。在包含ATO的情况下攻击者还可以额外施加全油门但这不改变风险等级。此外ATO的攻击面更小因为它所有数据都由TLS加密。8 讨论结果表明最小的ERTMS实现存在几个可能导致死亡的漏洞。虽然标准中定义的额外安全措施包括即将推出的FRMCS似乎对估计的安全性有显著的积极影响但关于DoS和EuroBalise篡改的许多担忧仍然存在。其他研究人员和本文的额外控制措施通过加强无线接口来解决这些缺陷。然而电报中缺乏安全性仍然是一个持续的问题。限制到ETCS级别2通过消除大多数EuroBalise的职责实现了显著的安全改进但对GNSS的攻击和电报伪造仍未解决。ERTMS标准似乎是其网络安全防御中最薄弱的环节我们将其归因于OT系统标准化的缓慢步伐。即使有了学术对策系统的可靠性仍然容易受到远程DoS攻击——这与对铁路基础设施的现实攻击一致。必须添加进一步的防御措施以确保不间断运行通过使用冗余通信避免单点故障分散控制系统并启用车对车V2V通信。9 结论与未来工作在本文中我们通过对规范文档进行系统性转换为抽象系统模型然后使用MoRA框架估计风险对ERTMS标准套件进行了风险分析。通过比较当前和未来ERTMS配置的风险概况我们识别出遗留组件特别是EuroBalise和GSM-R是风险的主要来源。完全过渡到ETCS级别2和部署FRMCS显著改善了网络安全态势。由于其低RAP干扰和DDoS仍然是最高的风险。MoRA由于其迭代和模块化的性质允许灵活处理ERTMS的复杂性并确保相对于模型和所选威胁的完整性最小化主观性和偏见。本工作将功能级安全目标用于结果的稳健性和可辩护性与基于技术、资产级威胁相结合以实现完整覆盖。我们识别了将MoRA应用于铁路领域的几个局限性1识别的风险被分类为最高风险等级因为列车运行对人类安全有直接影响。2损害转换例如将安全危害转化为延误在攻击的RAP相对较低时通常未能降低风险分类。3一些风险仅降低到中等水平即使相应的攻击被确定为不再可能。4按攻击树计数汇总可能夸大具有多路径的威胁。5攻击树节点之间缺乏时间依赖性使循环依赖无法解决。以铁路为中心的风险矩阵解决了点1-3这是一个自然的推进。进一步扩展包括将模型扩展到ERTMS之外增加特定子系统的粒度例如FRMCS的攻击面以及通过实验验证识别的风险。风险评估的结果可以被行业用于推进ERTMS网络安全。