文献调研报告

1、安全关键系统通信协议调研报告(2015.4.12)1调研题目安全关键系统通信协议的建模与分析2任务说明1）查阅国外的相关文献；2）补充通信协议中的具体网络；3）阅读标准EN50159 ；3关键字检索词：CBTC ;安全关键系统；安全通信协议； EN50159 ； safety communication protocol检索策略：无线 *通信；总线 *通信；以太网 * 通信；CBTC*communication protocol ； safety*protocol ； verification/ test/ model / simulation / design / analysis *（sa

2、fety） communication protocol;4检索范围中国知网百度httpweb of scie nce（SCIE）/IEEESprin ger LINKELSEVIER Scie nceDirect（SDOL）在不同关键词组合下，检索范围内，近三年的文献总数|5主要的检索文献1 BS EN50159 Railway applicati ons Com mun icatio n, sig nali ng and process ing systems- Safety- related com munication in transmission systemsS.2 安全通信与安

3、全通信标准EN50159J.铁路通信信号工程技术，2014.3 Performa nee evaluati on and verificati on of com muni cati on protocol for railway sig nali ng systems J.Computer Stan dards & In terfaces, 2005.4 Verificati on and con forma nee test gen erati on of com muni cati on protocol for railway sig nali ng systems J. Comput

4、er Stan dards & In terfaces, 2007.5 Developme nt of verificatio n and con forma nee test ing tools for a railway sig nali ng com mun icatio n protocolJ. Computer Sta ndards & In terfaces, 2009.4 Group com muni cati on on highways: An evaluati on study of geocast protocols and applicatio nsJ.Ad Hoc N

5、etworks, 2013.6 Compositi onal verificati on of a com muni cati on protocol for a remotely operated aircraftC. Scie nee of Computer Programmi ng, 2013.7 Verification of the safety communication protocol in train control system using colored Petri netJ.Reliability Engineering and System Safety, 2012.

6、（国内-陈黎洁）8 Simulatio n and verificati on of RSSP-II safety com muni cati on protocolC. 2012 Second Intern atio nalConference on Business Computing and Global Information, 2012.（国内-许孟华）9 Formal verificati on of safety protocol in train con trol system J. Tech no logical Scien ces, 2011 （ 国内-北交团 队）10 无

7、线传感器网络安全通信协议研究与设计D.硕士，大连理工大学，2006.11 安全关键实时通信协议研究D.博士，兰州大学，2011.12 基于ZigBee的无线传感器网络通信协议栈设计与实现D.硕士，电子科技大学，2009.13 基于工业以太网的列车通信网络研究D.硕士，北京交通大学，2011.6检索结果摘要汇总根据以上检索范围与检索关键词，其中部分检索结果5篇，摘述如下：【篇名】安全通信与安全通信标准EN50159【作者】杨剑【期刊名称】铁路通信信号工程技术【年份】2014年2月，第11卷第1期【摘要】EN50159是欧洲铁路通信信号领域信息传输系统中安全通信标准。对安全通信基本知识进行一 般介

8、绍，对最新版本EN50159:2010标准内容进行简单解读，并结合自身实践，对安全通信协议软件开发相关经验要点进行介绍。【篇名】 Developme nt of verificati on and con forma nee test ing tools for a railway sig nali ng com muni cati on protocol【作者】Jae-Ho Lee, Jong-Gyu Hwang, Ducko Shin, Kang-Mi Lee, Sung-Un Kim【期刊名称】Computer Sta ndards & In terfaces【年份】2009【摘要】 V

9、erificati on and con forma nee testi ng for protocol specificati on, the key part of the protocol developme nt process, are compleme ntary tech no logies employed to in crease con fide nee that a system will function as stated in its specifications. In this paper, we verify the safety and liveness o

10、f the protocol specified for the Labeled Transition System (LTS) by using model-checking method and implementing the testing tool, which experime ntally dem on strates the prese nee of deadlock and reachability from the in itial state to a ran dom state. Impleme nti ng the test ing tool can use moda

11、l mu-calculus to assess whether protocol model properties, prese nted by modal logic, meet protocol specificati on s. In additi on, we propose a con forma nce test ing tool to check correct impleme ntati on of seque nces that have bee n derived by the UIO method from the specificati on of the protoc

12、ol being verified. This gen erat ing tool uses the C+ Ian guage in the Microsoft Win dows NT environment.【篇名】 Compositi onal verificati on of a com mun icatio n protocol for a remotely operated aircraft【作者】Alwyn E. Goodloe, C sar A. Mu?oz【期干刊类型】Science of Computer Program ming【年份】2013【摘要】 This paper

13、 prese nts the formal specificati on and verificati on of a com muni cati on protocol betwee n a ground station and a remotely operated aircraft. The protocol can be seen as the vertical composition of protocol layers, where each layer performs in put and output message process ing, and the horiz on

14、 tal compositi on of differe nt processes con curre ntly in habit ing the same layer, where each process should satisfy a disti net delivery requirement. A compositional technique is used to formally prove that the protocol satisfies these requirements. Although the protocol itself is not novel, the

15、 methodology employed in its verification extends existing tech niq ues by automati ng the tedious and usually cumbersome part of the proof, thereby making the iterative desig n process of protocols feasible.【篇名】基于工业以太网的列车通信网络研究【作者】张建斌【学位类型】硕士【授予单位】北京交通大学【导师】谭南林【年份】2011【摘要】 :传统以太网通信的非实时和非确定性限制了其在列车通

16、信网络中应用。改变以太网通信驱动和 调度机制可使之成为适合列车通信的实时以太网。本文深入研究了影响以太网实时性和确定性通信的因 素后提出了解决方案 ,并在设计的实验平台上进行了验证。本文以星型网络为基础研究了共享式和交换式以太网的实时特性,得出交换式以太网符合列车通信网络组网要求。分析了时间触发架构的通信机制并引入以太网中 ,分时复用的通信方法保证了以太网的通信 的实时性和确定性 ,在此基础上提出以太网确定性通信的调度机制,并分析计算了通信网络的宏观调度周期。为了建立基于时间触发机制的以太网通信网络,本文在 IEEEI588 时钟同步协议基础上 ,提出了一种新的从时钟时间补偿方法即渐近时间补偿

17、法,解决了直接补偿算法的时间“突变”问题,为验证算法的合理性和科学性 ,用 MATLAB 对时钟同步过程进行了建模分析。在以太网技术基础上研究了以太网通信节点可行性设计方案。完成了两类以太网通信节点硬件设计 , 移植了实时操作系统和TCP/IP 协议栈 ,搭建了交换式以太网通信的实验平台,以实验平台为基础 ,实现了IEEEI588 时钟同步协议栈 ,建立了时钟同步网络。最后 ,为考察通信网络的实时响应能力和时钟同步精度,本文设计了通信网络的测试方案,对通信网络平台的通信性能进行了定量分析。【篇名】基于 ZigBee 的无线传感器网络通信协议栈设计与实现 【作者】李蔚【学位类型】硕士 【授予单位

18、】电子科技大学 【导师】童玲 【年份】 2012【摘要】无线传感器网络技术应用前景非常广阔 ,在医疗、农业、环境、军事、侵入监测、轨迹跟踪、机 器故障等不同应用领域开始显现出了巨大的潜力。无线传感器网络中的通信协议栈属于网络底层关键技 术之一 ,是通信系统中不可分割的重要组成部分,是使得传感器网络应用能够进行交互的关键所在。本文基于 ZigBee 技术提出了一种可移植性强、提供良好编程接口的无线传感器网络通信协议栈的设 计与实现 ,其目的是为了降低开发传感器网络应用的难度 ,同时也可为研究人员研究无线传感器网络效能、 改进通信协议提供一个坚实基础。本文设计的无线传感器网络通信协议栈具有理论和应

19、用上的意义。本文着重介绍了协议栈的 MAC 层、网络层的设计与实现。设计实现的 MAC 层在数据服务上支持直 接传输与间接传输 ,支持 CSMA/CA 机制接入信道 ;在管理上 ,支持信道的扫描、 数据请求、 关联等功能。 网 络层支持网络的建立、加入、离开、网络地址分配等网络管理功能,支持网络数据的单播及广播服务等数据服务功能。网络层的路由管理支持多对一、分级路由、最小路由成本等路由策略。本文在以射频芯片 CC2531 为核心硬件平台上 ,进行了协议栈的性能指标测试:MAC 层主要进行链路的数据传输吞吐量与丢帧率等性能指标的测试 ;网络层主要进行自组织网络能力、路由算法反应能力、端 对端网络

20、时延及传输成功率等性能指标的测试。7 调研结果分析7.1 国外相关研究1 Development of verification and conformance testing tools for a railway signaling commun- ication protocolJ. Computer Standards & Interfaces,2009.论文的主要工作就是采用label transition system ( LTS)和输入/输出有限状态机 (I/O FSM )来描述了一个通信协议，并验证铁路信号通信协议的安全性和活性，验证方法是算子(mu-calculus)和模型检

21、测(model checking)，这其中的一致性测试、UIO序列、测试生成方法都是依据I/O FSM中层模型来实现的。论文中指出协议验证包括在实施协议之前检查用户需求与协议是否匹配，分析协议规范是否正确等。4 Group communication on highways: An evaluation study of geocast protocols and applicationsJ.Ad Hoc Networks, 2013.该论文针对高速道路交通系统的安全通信需求,提出一种 DBA MAC (Dynamic Backbone AssistedMAC）协议，通过模型分析、仿真学习等方

22、法得到信噪比、通信延时等QoS参数，并与传统的geocast协议相比，仿真结果证明可以该协议可以作为高速道路交通系统中的安全通信协议。5 Compositional verification of a communication protocol for a remotely operated aircraftC. Science of Computer Programming， 2013.该论文主要对遥控飞行系统和地面站之间的安全通信协议进行组合验证，从而对协议整体安全性进 行验证。为了对通信协议进行安全性验证，首先要对其进行各种规范和状态的定义，这里用到的PVS 是一种紧密耦合的规范语言，

23、也是一种交互式的定理证明器。接着将协议分为应用层、传输层、链路层和 介质层 ，每一层都单独执行输入和输出消息的处理，并且每一层的传输过程都应该满足不同的信息传输要 求。这里用 PVS 表示不同层的行为和状态 ，从而验证其安全性。7.2 EN50159 学习该标准中 没有对通信协议的基本框架有规定，也 未对安全通信协议的具体内涵和要求有规定。欧洲电工标准化委员会 （CENELEC） 制定了网络传输系统安全通信标准 EN50159 ，该标准适用于为了 通信使用封闭或开放传输系统的安全相关电子系统。为在连接到传输系统的安全相关设备之间达成安全 相关的通信，该标准给出了所需的基本要求（并不是专门针对安

24、全通信协议）。早期公布的版本中分为 EN50159-1:2001 和 EN50159-2:2001 两部分。 EN50159-1 定义了 封闭传输系 统中的安全通信标准 ，而 EN50159-2 则定义了 开放传输系统 中的安全通信标准。 2010年 9月的最新版本的 EN50159:2010 标准中 ，将两部分合成一部分 ，统称为传输系统的安全通信标准。 EN50159:2010 中对开放传 输系统的划分更为详细 ，依据是否存在未经授权的接入的风险，分为免于此风险的开放传输系统及承受此风险的开放传输系统。封闭式传输系统的特点为 :1）存在已知最大数量的可连接参与者;2）传输系统的特点已知 ，

25、媒介已知或固定 ;3）只允许经过批准的访问。开放式传输系统的特点为 :1）依据既定流程读取、存储、处理或重新传输用户数据的元素是用户未知的;用户的数量一般是未知的 ，安全相关的和非安全相关的 ，以及和铁路应用不相关的设备都可连接到该传输系统中 ;2）传输介质的传输特性和磁化率所受外部环境的影响是未知的;3）网络控制和管理系统能够通过该传输系统两端的任何一种或多于一种类型的传输介质，按照用户未知的程序发送 （动态重新发送 ）消息;4）未知的其他传输系统中的用户能够以未知的形式发送未知量的信息。EN50159-1 标准提出了系统为了满足功能完整性，所应该采取的保护措施和手段。提出了为满足安 全完整

26、性、安全相关设备之间通信和通信链路所需的安全性、安全，所应该满足的安全要求。该标准还 提出对系统安全代码的要求。EN50159-2 标准中还指出了传输系统可能遭受的威胁以及防御措施。标准中建议运用序列号、时间 戳、源地址和目的地址标识、超时防护、反馈消息、身份鉴别以及加密技术，来防御遇到的威胁。提出了对传输系统的消息防护要求（包括通用要求、特定防护等） 。在附录部分，该标准给出了使用安全代码和 加密技术的注意事项和应用建议。总得来说， EN50159 标准化铁路信号安全相关通信功能与技术规范，对安全相关系统的设计具有指导意义。 EN50159 标准制定了系统传输过程中的威胁与防御手段，提出在安

27、全相关设备之间进行信息交换、消息传递的过程中 ，需要进行安全编码、安全传输以及安全校验等安全相关通信过程。安全通信在系统结 构上 ，就是将安全编码与解码的安全层插入到传输层与应用层之间。安全设备之间传递的用户报文由应用 层传递给安全层进行安全编码 ，将生成的安全报文通过传输层传输;接收端接收到报文 ，也要通过安全层解码、校验后过滤后才被采用。而在 EN50159:2010 中阐述的安全通信参考架构即为在应用层与传输系统间建立安全层。标准中将传输系统带来的安全隐患总结为潜在的报文错误，安全层的建立应能有效防御报文错误，为安全相关数据的传输提供保障。具体到安全层采取的安全措施则取决于传输系统的类型

28、。用户数据首先经安全层处理,生成安全层数据报文后再经由传输系统发送。从传输系统接收到的信息也先经过安全层过滤再被采用。从 逻辑角度讲 ,安全层对应用层、 传输系统是透明的 ,无论传输系统釆用何种结构及协议栈,安全相关数据都能在安全层的保护下抵达目的地。7.3 通信协议中的网络（ 1）现场总线（ field bus） 现场总线是指现场仪表和数字控制系统输入输出之间的全数字化、双向、多站的通讯系统。现场总 线是将自动化最底层的现场控制器和现场智能仪表设备互连的实时控制通讯网络，遵循ISO的OSI开放系统互连参考模型的全部或部分通讯协议。目前已经开发出有 40 多种现场总线， 它们分别应用在不同的行

29、业领域。 较流行的有 5 种，分别是 FF、 Profitbus、HART CAN 和 LonWorks。尽管目前有多种可用的现场总线，但其并没有被广泛的应用于安全关键系统中，因其开发过程中并 没有融入安全的设计理念，而是在实现完成后，再去推到其设计的安全性。作为一种涌现特征，安全性 不可能在系统部署之后被添加进去，它必须贯穿于系统的整个开发过程中。因此若要将现场总线应用于 安全关键系统，应将安全管理概念贯穿于协议设计开发和验证过程中，从过程中保证与安全标准的兼容 性以提高系统的安全置信度。工业用现场总线的拓扑方式主要有总线型、星型、环型、树型等，不同的组网方式有各自不同的优 缺点。其中星型拓

30、扑结构中所有的通信节点都连接在一个中心设备上,删除或移动某个节点都比较方便,某个节点发生故障 ,不会影响到整个网络 ,中心节点是整个网络的关键 ,要求具有很高的可靠性和安全性。（2）工业以太网现场总线技术诞生后，实时通信网络技术被广泛的用于工业控制领域，如上面内容所示，有40 多种不同的现场总线应用在不同的行业领域。与此同时，工业以太网成为现场总线研究和应用的新热点，并 涌现了大量的工业以太网实时通信协议应用于工业控制领域。虽然相比于现场总线技术 ,以太网具有普遍性 ,低成本 ,高带宽等特性。 但是同时传统以太网是一种非确 定性、非实时性的网络系统，会造成数据传输的不确定性，无法满足安全关键系统信息传输对于网络的 高实时性和确定性的要求。 同时最初以太网的设计也没有考虑到安全关键系统工业现场的特殊应用环境， 也无法保证通信网络的可靠性和稳定性。为了满足实时性和稳定性要求，同时降低成本，部分实时通信协议对O