CTCS-3级列控系统使用铁路安全通信协议RSSP-II来防护信号安全设备之间安全相关信息的交互,其中,协议采用对称加密技术来确保所传输信息的真实性、完整性以及私密性,为此,协议制定了密钥管理机制。通过对该机制的分析,发现该机制在传输密钥和验证密钥的管理方面可能存在安全隐患:第一,传输密钥受人为干预的分发方式以及长期不变的特点致使该密钥存在暴露的风险,进而会危及验证密钥的安全;第二,密钥管理功能集中于密钥管理中心,存在中心化问题。因此,为加强协议的安全性,使列控系统安全相关实体之间的通信更为安全可靠,本文对RSSP-II的密钥管理机制提出改进。主要内容如下:(1)针对上述安全隐患,本文提出区块链共识机制Raft结合椭圆曲线加密机制的改进策略,使得系统中一定区域内的所有安全相关设备能够在拜占庭环境下,通过去密钥管理中心、降低人为干预的方式来更新和共享验证密钥,从而加强验证密钥的安全性。同时,该改进策略并不会改变安全实体之间安全数据的通信策略,不对安全相关信息的通信造成影响。(2)基于EN50159中的威胁防御矩阵对方案进行定性分析,证明方案满足EN50159标准,具备安全性;接着,采用基于行为时序逻辑的形式化验证方法对共识方案进行分析:首先,构建共识进程在非拜占庭环境下的状态机模型,并通过TLC模型检测器对其进行验证,结果表明,共识方案不存在死锁问题,同时能够实现集群对密钥信息的更新与共识功能,从而证明方案具备功能正确性;其次,通过逻辑证明的方式证明方案在非拜占庭环境下具备安全性;最后,在已有模型的基础上构建攻击者模型,并通过TLC工具检测新模型,其结果表明,共识方案在受到攻击的情况下,仍然能够正确实现共识功能,证明方案在拜占庭环境下具备安全性。(3)为了保证改进方案的性能,本文提出在Xilinx Zynq-7000系列开发平台上以软硬件相结合的方式进行改进方案的实现。首先是共识进程,为保证进程的灵活性,提出在平台的ARM处理器部分以软件方式实现其关键的流程控制;其次是运算复杂的椭圆曲线密码算法,为了保证算法的效率,选择基于FPGA的硬件方式来实现。对于椭圆曲线密码算法,本文对硬件模块的构建进行了详细的设计,并利用Verilog语言给出了实现,同时编写testbench对各个公私钥加解密模块进行了Modelsim仿真,结果证明各个模块的功能正确;在此基础上,搭建ARM基于AXI总线控制密码模块的硬件平台,进而完成控制流程的实现,最后,在两个节点之间进行共识进程的验证,结果表明共识方案能够达到预期的功能。图42幅,表18个,参考文献80篇。