RSSPII铁路信号安全通信协议

RSSPII铁路信号安全通信协议

V0.5

2008年12月

L修订历史

版本号：日期章节号修订/描述作者

V0.1全部初稿接口组

2008年11月15日

V0.2全部根据2008.11.17日通号公接口组

2008年11月20日司讨论意见修改

V0.3全部根据2008.11.24日C3组会接口组

2008年11月27日议讨论意见修改

V0.4全部根据2008.12.24日C3组及接口组

2008年12月26日铁科院、交大、卡斯科等单

位讨论意见修改

V0.5修改部分文字根据2008.11.31日C3组会接口组

2008年12月31日表述议讨论意见修改

2.目录

1.修订历史..................................................I

2.目录.......................................................I

3.简介.......................................................1

3.1目的及范围.................................................1

3.2参考文献..................................................1

3.3术语与定义................................................2

3.4缩略语....................................................2

4.参考结构..................................................4

4.1综述......................................................4

4.2铁路信号安全设备间安全通信接口............................4

4.3各层功能..................................................6

4.3.1安全功能模块（SFM）..................................6

4.3.2通信功能模块（CFM）..................................7

4.4传输系统的分类............................................7

5.安全功能模块..............................................9

5.1简介......................................................9

5.2安全功能模块的功能........................................9

5.3消息鉴定安全层（MASL）....................................11

5.4安全应用中间子层（SAI）....................................12

5.4.1概述...............................................12

5.4.2到SAI层服务接口...................................14

5.4.3至IJMASL层月艮务接口.................................15

5.4.4消息结沟...........................................15

5.4.5SAI协议............................................17

5.4.6消息类型域.........................................21

5.4.7序列号防御技术.....................................21

5.4.8TTS................................................................................................24

5.4.9EC防御技术........................................37

5.4.10错误处理...........................................45

5.5数据配置及规则...........................................46

5.5.1简介...............................................46

5.5.2连接初始化规则.....................................46

5.5.3TTS参数定义..........................................47

5.5.4EC参数定义...........................................49

5.5.5错误处理指导.......................................50

5.6TTS示例.................................................51

6.通信功能模块.............................................53

6.1通常规则.................................................53

6.2概述.....................................................53

6.2.1通常描述...........................................53

6.3功能特性.................................................54

6.3.1TCP与传输2类服务与协议的对应关系....................54

6.3.2服务类别..............................................55

6.3.3A类服务请求..........................................56

6.3.4D类服务请求..........................................56

6.3.5TS用户与TCP间的关系.................................57

6.3.6传输优先级............................................58

6.4使用适配层实体进行传输层模拟.............................58

6.4.1概述...............................................58

6.4.2接口服务定义.......................................59

6.4.3X.214原语对TCP的映射.............................62

6.4.4寻J止...............................................64

6.4.5适配层数据包格式...................................64

6.5接口协议定义.............................................66

6.5.1运用TCP/IP提供ISO传输2类协议....................66

6.5.2ALE操作...........................................71

6.5.3数据传谕...........................................77

6.5.4连接释放...........................................79

6.6不一致服务类别的实施与冗余管理...........................83

6.6.1A类服务..............................................83

6.6.2D类服务..............................................88

6.6.3ALEPKT概述..........................................90

6.7适配层管理一ALEPKT错误处理.............................91

6.8底层协议栈...............................................93

6.8.1简介...............................................93

6.8.2TCP参数协商（强制性）.............................93

6.8.3网络服务定义.......................................94

6.8.4网络协议...........................................94

6.9适配层配置与管理.........................................94

6.9.1总则...............................................94

6.9.2定时器参数.........................................94

6.9.3呼叫与ID管理（适配层与TCP）............................................94

7.资料性附录...............................................95

7.1TCP参数协商.............................................95

7.1.1TCP服务选项..........................................95

7.2地址映射.................................................96

7.3数据链路层...............................................98

7.3.1以太网.............................................98

7.3.2介质访问操纵..........................................98

7.3.3广域连接..............................................98

7.4密钥管理....................................................98

7.4.1范围..................................................98

7.4.2密钥管理概念与原理...................................99

7.4.3KMS的各个阶段与参与方..............................99

7.4.4通常原则.............................................100

7.4.5密钥层级.............................................101

7.4.6密钥分配.............................................102

7.4.7基本的KM功能......................................102

7.4.8缩略语与定义.........................................105

7.5校验与结果实例.............................................106

3.简介

3.1目的及范围

3.1.1.1.1本文件规定了信号安全设备之间通过封闭式网络或者开放式网络进

行安全有关信息交互的功能结构与协议。

3.1.1.1.2本规范适用于铁路信号安全设备之间的安全通信接口。

3.2参考文献

1EN50159-1Railwayapplications-Communication,

signallingandProcessingsystems-Part1:

Safety-relatedcommunicationinclosed

transmissionsystems

铁道应用：封闭式传输系统中安全通信要

求

2EN50159-2Railwayapplications-Communication,

signallingandProcessingsystems-Part2:

Safety-relatedcommunicationinopen

transmissionsystems

铁道应用：封闭式传输系统中安全通信要

求

3科技运[2008]127号CTCS-3级列控系统系统需求规范(SRS)

4科技运[2008]34号CTCS-3级列控系统总体技术方案

5CTCS-3级列控系统无线通信接口规范

6ERTMS/ETCSSubset-038离线密钥管理FIS,v2J.ll

7ERTMS/ETCSSubset-039RBC/RBC移交FIS,v2.1.2

8ERTMS/ETCSSubset-108ETCS/ERTMS1级，TSI附录A,vl.1.0

9ITUTX.214信息技术，开放系统互联，传送服务定义

10ITU-TX.224信息技术，开放系统互联，提供OSI连接

模式的传送协议

11RFC0791网络协议V4

12RFC2460网络协议V6

13RFC0793传输操纵协议V4

14ISO/IEC3309信息技术一系统间的通信与信息交换一高

级数据链路操纵程序（HDLC）—框架结构

3.3术语与定义

本文件中使用了标准EN50159-1与EN50159-2的定义，并附加使用了下列

术语。

应用处理：描述通信关系的应用层实体。

执行周期：处理周期与与其有关的递增计数（基于计算机的恒定处理周期）。

密钥管理规范的缩略语与定义包含在本规范的资料性附录中。

3.4缩略语

缩略语含义

ALE适配及冗余管理层实体

ALEPKTALE数据包，ALE之间交换的PDU

ApPDU应用PDU

CFM通信功能模块

EC执行周期

IP网际协议

MASL消息鉴定安全层

PDU协议数据单元

QoS服务质量

SaCEPID安全连接端点识别符

SAI安全应用中间子层

SAP服务接入点

SaPDU安全协议数据单元

SaS安全服务

SFM安全功能模块

SL安全层

SN序列号

TCEPID传输连接端点识别符

TCP传输操纵协议

TPDU传输协议数据单元

TS传输服务

TSAP传输服务接入点

TTS三重时间戳

4.参考结构

4.1综述

4.1.1.1.1封闭式网络在EN50159-1中定义为：“可连接设备的最大数量与拓扑

结构已知的，传输系统的物理特征是固定的传输系统，并能够忽略未

授权访问的风险」

4.1.1.1.2开放式网络在EN50159-2中定义为：“连接设备数量未知的传输系统,

它拥有未知的、可变的且非置信的特征，用于未知的通信服务，对此

系统应评估未经授权的访问。”

4.1.1.1.3这两种网络类型都应被考虑。

4.1.1.1.4安全通信系统间的总体结构（根据EN50159-2）如图1所示。

设备1设备2

图I：安全通信系统的总体结构

4.2铁路信号安全设备间安全通信接口

4.2.1.1.1本节描述安全通信系统的功能结构，对内层实现不作限制。不应将其

懂得为对软件实现的要求。

4.2.1.1.2铁路信号安全设备之间安全通信接口使用分层结构。该接口规范所包

含的各层如图2中阴影部分所示。

应用层协议（端到端）

应用层应用处理

，-一安全应用中间子勘议（端到端）

安全功能,安全应用中间于层

模块、［文献5］（端到端）

消息鉴定安全层操

作

和

维适配层协议

适配及冗余管理层护

O传输层协议（TCP）

传输层&

通信功能.M

模块网络层协议（IP）

网络层

数据徒路层

图2：安全通信系统的结构

4.2.1.1.3安全信息传输的应用协议见各安全设备间应用层协议，不属于本规范

范围。

4.2.1.1.4经由非安全低层传输的安全有关信息需要在安全层中进行处理。消息

鉴定安全层（MASL）参照［文献5］制定，在MASL层的基础上增

加安全应用中间子层（SAI）o

4.2.1.1.5适配及冗余管理层（ALE）提供MASL层与传输层之间的适配与冗余

处理。

4.2.1.1.6传输层协议参见TCP［RFC0793］。重发功能由TCP的常规机制来提

供“

4.2.1.1.7网络层协议参见IP[RFC0791]。

4.2.1.1.8本规范不对数据链路层作规定。

4.2.1.1.9本规范不对物理层作规定。

4.2.1.1.10操作与保护（O&M）属于具体实施的范畴，本规范不作规定。

4.3各层功能

4.3.1安全功能模块（SFM）

4.3.1.1.1本模块提供的安全层务必能够对EN50159-1与EN50159-2中列出的

威胁进行检测并提供充分的防护。

4.3.1.1.2安全层实现下列安全有关的传输功能。

＞消息的真实性（源地址与目的地址）；

＞消息的序列完整性；

＞消息的时效性；

＞消息的完整性；

＞安全错误报告；

＞配置管理（安全设备间的安全通信协议栈）；

＞访问保护。

4.3.1.1.3MASL层提供下列功能：

＞消息的真实性（源地址与目的地址）；

＞消息的完整性；

＞访问保护。

4.3.1.1.4SAI层提供所需的其他安全有关的传输功能。

4.3.1.1.5序列错误防护通过在用户数据中增加序列号实现。

4.3.1.1.6消息时效性防护通过在用户数据中增加TTS或者者EC计数实现。

4.3.1.1.7EC与TTS对消息时延具有相同的防护等级。

4.3.1.1.8TTS与EC计数仅同意一项有效，具体实施中由通信双方协商决定。

4.3.2通信功能模块（CFM）

4.3.2.1.1通信功能模块提供非置信的传输。

43.2.1.2此模块提供下列功能：

＞MASL层与传输层之间的适配；

＞冗余功能，以满足系统可用性需求；

＞数据的可靠、透明与双向传输；

＞必要时协议数据单元的重传；

＞通道可用性监测。

4.4传输系统的分类

4.4.1.1.1为了使本规范具有通用性，不对开放式传输系统类别作限定。本规范

参考具有最高安全风险级别的开放式传输系统类别71参见EN

50159-2］来制定。

4.5假设

4.5.1.1.1设定条件如下：

＞对［文献5］中规定的“高优先级”消息不作要求；

＞目前对多路复用技术不作要求，但是该项功能能够通过在每个逻

辑连接中使用一条TCP链路来实现；

＞非显式流量操纵；

＞SFM检测出的安全有关错误可能在SA1层之外进行处理;

用户数据长度不超过1000字节。

5.安全功能模块

5.1简介

5.1.1.1.1本节规定安全功能模块（SFM）。

5.1.1.1.2本节仅描述有关的功能接口，以确保在安全功能模块层面的互联。

5.1.1.1.3安全功能模块的构成：

＞MASL层；

＞SAI层。

5.1.1.1.4通过这两层结合将对EN50159-2文件中所定义的威胁提供全面的防

护。

5.2安全功能模块的功能

5.2.1.1.1安全功能模块提供同开放式传输系统类别7相习惯的安全服务。

5.2.1.1.2本节规定了在安全功能模块中防护技术的具体实现。

5.2.1.1.3根据EN50159-2标准，关于通常的传输系统而言，所有可能的威胁如

下（参见EN50159-2的定义）：

＞重复；

＞删除；

＞插入；

＞重排序；

A损坏；

＞延迟；

＞伪装。

5.2.1.1.4为了减少标准中定义的威胁风险，安全功能模块应提供下列的安全服

务（参见EN50159-2的定义）：

＞消息的真实性；

＞消息的完整性；

＞消息的时效性；

＞消息的有序性。

5.2.1.1.5MASL层与SAI层的结合为开放式传输系统提供了一种安全保护措

施。

5.2.1.1.6MASL层能够预防下列威胁：

A损坏；

＞伪装；

＞插入。

5.2.1.1.7通过添加安全码（消息验证码MAC）与连接标识符（源与目的地标

识符）提供防护。

5.2.1.1.8SAI层能够预防下列威胁：

＞延迟；

＞重排序；

＞删除；

＞重复。

5.2.1.1.9通过添加延迟防御技术（EC或者TTS）与序列号（SN）提供保护。

5.2.1.1.10安全功能模块提供的保护如表1所示。

表1：安全功能模块的防御技术

防御

威胁

序列号TTS或超反馈源与目的消息识安全加密

SN者EC时信息地标浜符别过程码技术

重复X

删除X

插入X

重排序X

损坏X

延迟X

伪装X

53消息鉴定安全层（MASL）

5.3.1.1.1MASL层由［文献5］规定。

5.3.1.1.2MASL层参照［文献5］,但是不使用其中的高优先级数据业务。所有

的数据传输均应使用正常的数据业务来进行。

5.3.1.1.3表2规定SAI-MASL接口的SaS原语参数的使用。

表2：SaS原语参数

参数文献5SFM的使用说明

地址类型5.2.假如需要的话，能够使用

网络地址5.2.假如使用，可用于识别被叫方

的32位目的IP地址与16位目

的TCP端口号

移动网络ID5.2.不使用

主叫CTCSID类型5.2.主叫安全设备CTCSID类型

主叫CTCSID5.2.用于初始化连接的主叫CTCS

ID

被叫CTCSID类型5.2.被叫安全设备CTCSID类型

被叫CTCSID5.2.用于同意连接请求的被叫

CTCSID

应用类型5.2.参见文献5中定义的应用类型

服务质量类型5.2.QoS域用于表示建立连接的服服务类型A

务类型。与服务类型

D可供使用

SaCEPID5.2.由本地提供用来辨识各个安全

连接的参数

5.3.1.1.4由本地实现SAI层与MASL层之间的接口。

5.3.1.1.5表3规定了安全信号设备间安全通信接口中MASL层的配置:

表3：MASL层的配置

参数文献5SFM值说明

SaS用户数据的最大5.3.1000字节

长度

Testab7.2.5.3最大应用值：40推荐值为40秒，关

秒于安全信号设备间

的通信可能使用更

低值

5.4安全应用中间子层(SAI)

5.4.1概述

5.4.1.1.1安全应用中间子层提供：

通过序列号与TTS/EC计数对数据进行保护;

＞到应用层接口；

＞到MASL层接口。

5.4.1.1.2通过给用户数据添加一个序列号域，防止数据的重复、删除与重排序。

5.4.1.1.3通过给用户数据添加TTS或者EC计数防止数据延迟。

5.4.1.1.4时间戳的防御技术基于发送方与接收方之间时钟偏移的计算。

5.4.1.1.5为了发送方与接收方根据执行初始化程序对时钟偏移进行估算，需要

在SAI帧头中定义初始化过程的消息类型。

5.4.1.1.6关于由发送方发送给接收方的消息，通过添加下列字段构成TTS：

＞数据传输时的发送方时间戳；

＞发送方接收的上一条消息中的接收方时间戳；

＞发送方接收上一条消息时的发送方时间戳。

5.4.1.1.7TTS信息如图3所示。

图3：时间戳信息

5.4.1.1.8当不使用TTS的方法时，选择EC防御技术。EC防御技术通过在用

户数据上添加EC计数来检查消息的寿命。

5.4.1.1.9EC防御技术也要求有一个初始化过程。在此过程中，每一个通信实

体的EC值被发送给对等实体。

5.4.1.1.10EC与TTS的防御技术是相互排斥的。

5.4.2至ljSAI层服务接口

5.4.2.1.1SFM通过安全服务接入点上的安全服务原语及其相应的参数，提供安

全服务。

5.4.2.1.2SAI层仅提供功能规范，而原语的实施由本地提供，不可能影响安全

设备的互通。

5.4.2.1.3SAI层连接建立服务：

>SALCONNECT.request：用户要求SAI建立连接；

>SAI-CONNECT.indication：被叫SAI实体收到连接请求后通知被

叫SAI用户;

>SAI-CONNECT.response：应答SAI用户用来同意到SAI实体的连

接；

>SAI-CONNECT.confirm：主叫SAI实体获得被叫对等实体的响应

后向主叫SAI用户报告SAI连接成功建立。

5.4.2.1.4SAI数据传输服务：

>SAI-DATA.requesi：SAI用户用来向对等实体传输应用数据；

>SALDATA.indication：向SAI用户表示来自对等实体数据已成功接

收。

5.4.2.1.5SAI连接释放服务：

>SAI-DISCONNECT.request：SAI用户强制释放SAI连接；

>SAI-DISCONNECT.indication：用来通知SAI用户SAI连接释放。

5.4.3到MASL层服务接口

5.4.3.1SAI层实现的功能在MASL层之上。

5.4.3.2MASL层的应用约束了SAI层的设计，因此为了能适配MASL层，SAI

层应能够与文献5中规定的“安全服务接口”适配。

5.4.4消息结构

5.4.4.1.1消息结构如图4所示。

子系统间的信息交换

子系统A-------------------------------------------------------------->子系统B

I

图4：消息结构

5.4.4.1.2消息类型决定SAI帧头结构。

5.4.4.1.3应考虑到两种不一致情况：

>SAI帧头适用于安全数据的传输（参见|文献5）；

>仅MASL层用于安全连接管理。

5.4.4.1.4就安全数据传输而言，由SAI层添加的帧头结构如图5/图6所示。

TTS用户数据

消息类型序列号

发送方时间戳上一次接收方上一次收到消（n字节）

时间戳息时的时间戳

第2个第3个第4个第7个第8个第11第12个第15V__________________

第1个字节

字节字节字节字节字节个字节字节个字节n科节

SAI帧头

图5：使用TTS时的SAI帧头结构

TTSEC用户数据

消息类型序列号

计数（n字节）

设为“0”设为“0”设为“0”

第2个第3个第4个第7个第个第个第12个第15个^Y'

第1个字节811

字节字节字节字节字节字节字节字节]4字节nW节

图6：使用EC时的SAI帧头结构

5.4.4.1.5SAI层的所有域均使用BigEndian方式编码。

5.4.4.1.6“消息类型”域用于识别消息类型，使用一个字节进行编码。

5.4.4.1.7“序列号”域用于定义消息顺序号，使用两字节编码。

5.4.4.1.8假如使用了TTS,“发送方时间戳”域应填写消息传送至本地MASL

层实体时的发送方时间戳。发送方时间戳使用四个字节编码。

5.4.4.1.9假如使用了TTS,“上一次接收方时间戳”域应填写由“接收方”产

生，从接收方传输给发送方的最后一个消息的时间戳，OffsetStart信

息除外（见§5.484）。本时间戳使用四个字节编码。

5.4.4.1.10假如使用了TTS,“上一次的消息接收时间戳"域应填写由本地MASL

层实体上传上一条消息时的本地时间戳，OffsetStart信息除外（参见

§5.484）。本时间戳使用四个字节编码。

5.4.4.1.11只有使用EC防御技术时，才使用“EC计数”域，并出现在帧头中。

5.4.4.1.12EC计数使用四字节编码。

5.4.4.1.13EC防御技术与TTS防御技术互相排斥,若使用EC防御技术,则与

TTS防御技术有关的域将不被检查，如今“TTS”域所有字段的值应被

设为0。

5.4.5SAI协议

5.4.5.1连接过程

5.4.5.1.1两个设备之间的连接过程如图7所示。

设备A设备B

AU1SaFDU

SAI-Sa-

CONNECT.CONNECT.T-CONNECT.

T-CONNEi

requestrequestrequest

indication

AU2SaFDU

T-CONNECT.

T-CONNECT.response

confirm

安

安

全

全

消

消

应

应

息

息_____AU3SaPDU

Sa-用

用PDATA^；

鉴

鉴CONNECT.

中

中requestT-DATA.indication、

定

定indicaion

间

间

安

安

子

子

全

全Sa-

Sa-ARSaPDU—------层

层CONNECT.

层

CONNECT.层_____________--

<response

confirmT-DATA.request

indicaion

SAI-

SAI-

时间戳或EC)CONNECT.

CONNECT.

indication

confirm.■，1数器初始化.

SAI-

CONNECT,

response

图7：SAI连接过程

5.4.5.1.2SAI服务原语应被映射到SA服务原语上，以用于连接建立。

5.4.5.2断开连接过程

5.4.5.2.1两个设备之间的连接断开过程如图8所示。

设备A设备B

T-

DISCONNECT.安

SAI--------------安•«eque$t

消

消

DISCONNECT.全

全

息

request息

request应

应

鉴

鉴

用

用

定

定

DISaPDU中

中

安

安

间

间Sa-SAI-

全

全

DISCONNECT.子DISCONNECT.

子T-

层

层

indication层indication.

DISCONNECT?w

层indication

图8：断开连