随着铁路运行速度的不断加快,对列车控制系统可靠性和安全性的要求也在逐步提高。目前我国列车广泛装备的是CTCS(Chinese Train Control System)-3列控系统,同时车地通信采用基于GSM-R的双向通信方式。在此基础之上,RSSP(Railway Signal Safety protocal)-Ⅱ为列车开放式无线通信制定了相关规范。然而,无线网络的开放性还是给安全可靠地进行车地通信,以及高铁的安全运营带来巨大挑战。本文通过安全分析,从DDoS(Distributed Denial of Service)攻击防御和密钥分配两方面展开研究,为铁路无线通信提供安全的防护机制。为保护无线车地通信免受DDoS攻击,在对设备发送数据包的鉴权请求次数和频率等元信息进行统计和分析的基础上,本文设计并实现了一种基于发包特征的多层次动态数据包鉴权过滤机制。其中,设备接入GSM-R,在其已有身份验证机制上加入一种鉴权请求控制策略;基站处,利用极大似然估计方法估测发包频率概率密度分布,并判定后续数据包的特征是否符合该分布;攻击数据包判定,设置黑名单,过滤转发数据包,并基于影响度动态更新黑名单机制,阻止攻击者进行DDoS攻击。最后,通过NS-3模拟器仿真过滤场景,通过丢包率对比得出,该过滤机制可以较好的抵御DDoS攻击。RSSP-Ⅱ协议安全功能模块设计了对等实体安全通信机制。通过安全性分析,证明原有密钥分配方式存在很多安全威胁,如中间人攻击安全威胁。对此,本文实现了一种改进的ECDH(Elliptic Curves Diffie-Hellman)密钥协商算法。根据CTCS-3列控系统通信场景的要求,本文从时间消耗、存储开销和安全性三方面对经典DH算法和改进ECDH算法进行了详细的数据对比和可行性分析。结果证明改进后的ECDH算法时间消耗更少,安全性更高,存储开销比DH算法更高,但还在能够接受范围内。最后,将该ECDH密钥协商算法应用在RSSP-Ⅱ协议中,设计并实现了基于改进ECDH密钥协商协议的对等实体安全通信机制。