RSSP-I 铁路信号安全通信协议

RSSP-I铁路信号安全通信MATCH_ word word文档格式规范word作业纸小票打印word模板word简历模板免费word简历 _1714318804624_2（V1.0）2010年4月V1.0RSSP-I铁路信号安全通信协议第2页目录1.简介.................................................................................................................31.1目的及范围.....................................................................................................31.2参考文献.........................................................................................................31.3术语和定义.....................................................................................................31.4缩略语.............................................................................................................42.参考结构.........................................................................................................62.1综述.................................................................................................................62.2系统结构及接口............................................................................................83.安全防御技术...............................................................................................103.1序列号...........................................................................................................103.2时间戳...........................................................................................................103.3超时...............................................................................................................103.4源标识...........................................................................................................113.5反馈报文.......................................................................................................113.6双重校验.......................................................................................................114.报文定义.......................................................................................................125.安全通信交互协议......................................................................................165.1安全数据交互原则......................................................................................165.2安全校验过程...............................................................................................196.参数配置要求..............................................................................................22V1.0RSSP-I铁路信号安全通信协议第3页1.简介1.1目的及范围1.1.1.1.本 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 规定了信号安全设备之间通过封闭式传输系统进行安全相关信息交互的功能结构和协议。1.1.1.2.本规范适用于铁路信号安全设备之间的安全通信接口。1.2参考文献[1]GB/T24339.1—2009轨道交通通信、信号和处理系统第1部分：封闭式传输系统中的安全相关通信[2]GB/T24339.2—2009轨道交通通信、信号和处理系统第2部分：开放式传输系统中的安全相关通信[3]EN-50128:2001Railwayapplications–Communications,signallingandprocessingsystems–Softwareforrailwaycontrolandprotectionsystems铁道应用:铁路控制和防护系统软件[4]EN-50129:2003Railwayapplications–Communication,signallingandprocessingsystems–Safetyrelatedelectronicsystemsforsignalling铁道应用：安全相关电子系统1.3术语和定义本文件中使用了 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 GB/T24339.1和GB/T24339.2的定义，并附加使用了以下术语。V1.0RSSP-I铁路信号安全通信协议第4页变量名称(依赖变量参数名)在本规范算法描述中，用于表示本变量根据括号内指示的变量参数名称具有不同的取值1.4缩略语RSSPRailwaySignalSafetyProtocol铁路信号安全协议SIDSourceIdentifier通信源标识，每个计算通道有一个预定的标记参数（32位长）T(N)Timestampatcycle‗N‘通信方在第N周期时的时间戳，每个计算通道有一个实时演算的取值参数（32位长）SVCSafetyVerifyCode通信方的安全校验码，每个计算通道有一个实时演算的取值参数（32位长）SCWSystemCheckWord系统校验字（32位长），用于标识安全层协议的正确特性SINITSequenceInitialisation序列初始作为启动安全数据信息交换过程前的通信建立要求生成的结果。每个计算通道有一个预定的标记参数（32位长）CRCCyclicRedundancyCheck循环冗余码校验，以循环码为基础，用于保护报文免受数据损坏的影响LFSRLinearFeedbackShiftRegister线性反馈移位寄存器V1.0RSSP-I铁路信号安全通信协议第5页~<使用LFSR的左移位运算符~>使用LFSR的右移位运算符V1.0RSSP-I铁路信号安全通信协议第6页2.参考结构2.1综述2.1.1.1封闭式网络在GB/T24339.1中定义为：―连接的设备数量固定或最大数量固定，有已知且固定的特性的传输系统，对于此系统可以忽略非法访问的风险。‖2.1.1.2参照GB/T24339.2中关于传输系统的威胁源说明，对于封闭式传输系统而言，可存在的威胁有：数据帧重复；数据帧丢失；数据帧插入；数据帧次序混乱；数据帧错误；数据帧传输超时。2.1.1.3为降低上述威胁风险，RSSP-I采用从接收端角度设计的保护算法，要求接收端必须对接收到的信息做出以下检查:发送端的源信息(真实性)；信息帧的正确性(完整性)；信息帧的时效性(实时性)；信息帧序列的正确性(有序性)。V1.0RSSP-I铁路信号安全通信协议第7页2.1.1.4参照GB/T24339.2中关于具体防护说明，RSSP-I选用以下具体防护 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 ：序列号时间戳；超时；源标识；反馈报文；双重校验。有关上述防护威胁措施的适用性，可参见表1：表1威胁/防御矩阵危险情形序列号与时间戳时间戳超时源标识反馈报文双重校验重复X丢失X插入XXX错序X错码X延迟XXXV1.0RSSP-I铁路信号安全通信协议第8页2.2系统结构及接口2.1.1.1参照GB/T24339.2中关于参考结构说明，安全通信系统间的总体结构为图1所示。安全功能模块应用程序B接口通信功能模块D接口设备1封闭式传输系统安全功能模块应用程序通信功能模块设备2A接口应用层数据安全相关协议数据单元E接口协议数据单元C接口图1安全通信系统的总体结构2.1.1.2安全信息传输的应用协议(A接口)参见各安全设备间应用层协议，不属于本规范范围。2.1.1.3应用程序与安全功能模块间(B接口)为软件内部实现要求，不属于本规范范围。2.1.1.4安全功能模块（C接口）采用RSSP-I安全协议机制，实现对传输系统中的通信威胁防护，具体描述参见后续章节。2.1.1.5安全功能模块与通信功能模块间(D接口)为软件内部实现要求，不属于本规范范围。2.1.1.6通信功能模块提供非置信的传输(E接口)，应提供以下功能：物理传输层的适配，须根据具体接口应用要求描述，不在本规范V1.0RSSP-I铁路信号安全通信协议第9页中定义；通信链路的冗余处理功能，须遵守本规范第5.1节要求；数据的可靠、透明和双向传输，参照本规范第5.1节要求；通道可用性监测，并交由应用层报告给外部系统：须根据具体接口应用的超时时限要求进行检测判定。2.1.1.7本规范不对数据链路层作规定。2.1.1.8本规范不对物理层作规定。2.1.1.9操作和维护（O&M）属于具体实施的范畴，本规范不作规定。V1.0RSSP-I铁路信号安全通信协议第10页3.安全防御技术3.1序列号3.1.1.1顺序编号是在通信双方交换的每条报文上加一个32位的流水号。这样，接收端可以校验发送端提供的报文顺序。3.1.1.2本序列号采用的是系统通信周期序号，故即可作为系统发送报文时的序号，也可作为存储在本地存储器中的报文超时。3.2时间戳3.2.1.1由两个32位长的伪随机数表示，用于确认在每个系统周期时的强制增量。3.2.1.2时间戳与序列号保持同步递增。3.3超时3.3.1.1报文应从生成时刻起的有限时间段内保持有效。3.3.1.2接收端对接收报文经检验确认有效后，应更新存储为最近接收的报文时间戳。3.3.1.3接收端需执行以下两种超时处理，超时时间参见本文第6节：若是存储的报文时效检验超时，应完全清除该报文数据。若是接收的报文时效检验超时，须启动时序校正机制，方可接受新报文。V1.0RSSP-I铁路信号安全通信协议第11页3.4源标识3.4.1.1所有通信方均有一对唯一的32位长ID，随同安全数据一起发送。3.5反馈报文3.5.1.1时间戳同时包含序列信息，随同安全数据一起发送。3.5.1.2若接收端校验到发送报文序列非预期内的增量，则启动时序校正交互。3.5.1.3若接收端向发送端发送时序请求时，发送端须按接收端要求反馈时序应答，接收端再根据时序应答报文重新计算发送端的时序同步位置。3.6双重校验3.6.1.1采用两个32位长CRC，确保安全传输所要求的漏检差错概率。3.6.1.2另加两个32位长的固定系统校验字，随同安全数据一起发送。3.6.1.3系统校验字用于标识安全层协议的正确特性。V1.0RSSP-I铁路信号安全通信协议第12页4.报文定义4.1.1.1RSSP-I的报文结构如图2所示。用户数据包报文尾CRC16安全校验域报文头由通信功能模块与安全功能模块共同检验处理由安全功能模块检验处理由应用程序检验处理图2报文结构4.1.1.2用户数据包内的多字节域须按具体应用规范要求顺序排列；其它报文内的多字节域均按小端顺序排列（即低字节在前）。4.1.1.3报文尾CRC16应根据报文头、安全校验域和用户数据包生成，CRC16生成多项式为G(x)=X16+X11+X4+1，计算初始值为0。4.1.1.4RSSP-I在安全通信交互中使用到以下三种报文，如表2所示。表2报文类型名称用途长度(字节)实时安全数据（RSD）传送安全用户数据包总长度≤546时序校正请求（SSE）当发生接收时序错误时，接收端向发送端发起的时序校正请求20(无用户数据包)时序校正答复（SSR）发送端对来自接收端的时序校正请求，进行相应答复的反馈报文25(无用户数据包)V1.0RSSP-I铁路信号安全通信协议第13页4.1.1.5RSD报文格式定义参见表3所示。表3RSD报文格式报文结构字段名称大小取值备注报文头协议交互类别1字节0X01或0X02适用于实时周期性传输交互的情形报文类型1字节0X80或0X810X80表示A机发送的；0X81表示B机发送的；源地址2字节通信结点的唯一地址保留0X0000目地址2字节通信结点的唯一地址保留0XFFFF安全校验域序列号4字节顺序编号安全数据长度2字节用户数据包字节总数+8安全校验通道1SVC_14字节CRC_1^SID_1^T_1(N)^SCW_1CRC_1仅对用户数据包计算CRC32安全校验通道2SVC_24字节CRC_2^SID_2^T_2(N)^SCW_2CRC_2仅对用户数据包计算CRC32,用户数据包安全应用数据字节总数480需传输的应用数据内容参见具体应用层接口规范报文尾CRC16CRC162字节参见4.1.1.3协议交互类别字段：0x01时表示接收端须待同步校时正确后才能认为该帧有效，适用于主机发送的安全数据；0x02时表示接收端不需作同步检查(接收端不触发SSE帧)即可视该帧为有效帧，适用于备机发送的安全数据，以表示物理通道连接正常，但不使用其具体用户数据包做功能安全运算。V1.0RSSP-I铁路信号安全通信协议第14页时间戳是基于一个32位的线性反馈移位寄存器值，初始值T(0)=SID,按系统周期移位并使用固定多项式作附加干扰输入。时间戳与本地周期计数器对应同步递增。关于安全校验通道CRC_M字段中所使用的参数配置，见表4所示。表4安全通信通道的算式参数通道号CRC32生成多项式SCW常量时间戳生成多项式1100D4E63AE390B5A0FC22F8728CE56011C103589CC3E887E14.1.1.6当接收端检验到当前安全数据报文时序已超过预定的容忍范围时，需向发送端发送时序校正请求（SSE），用于请求时序同步校正，参见表5。表5SSE报文格式报文结构字段名称大小取值备注报文头协议交互类别1字节0X01报文类型1字节0X90源地址2字节参见表3目地址2字节参见表3安全校验域序列号4字节NE请求方的时序校正请求通道1SEQENQ_14字节SID_1^T_1(NE)时序校正请求通道2SEQENQ_24字节SID_2^T_2(NE)报文尾CRC16帧CRC162字节参见4.1.1.3有关接收端对触发SSE的检测机制参见5.2节。V1.0RSSP-I铁路信号安全通信协议第15页4.1.1.7时序校正应答（SSR）用于回应时序校正请求（SSE），参见表6。表6SSR报文格式报文结构字段名称大小取值备注报文头协议交互类别1字节0X01报文类型1字节0X91源地址2字节参见表3目地址2字节参见表3安全校验域应答方的序列号4字节NR请求方的序列号4字节NE请求方的，即SSE中的NE值时序初始化通道14字节SEQENQ_1^SID_1^T_1(NR)^DATAVER_1SEQENQ_1为SSE中值时序初始化通道24字节SEQENQ_2^SID_2^T_2(NR)^DATAVER_2SEQENQ_2为SSE中值数据版本号1字节0X01预留固定值报文尾CRC16帧CRC162字节参见4.1.1.3有关接收端对SSR的时序校正实现说明，参见5.2节。V1.0RSSP-I铁路信号安全通信协议第16页5.安全通信交互协议5.1安全数据交互原则5.1.1.1图3描述了发送端与接收端间的安全数据交互原则：即接收端须实时检测从发送端来的RSD时序性，若有时序错误，就触发时序校正机制，且仅在时序校正恢复后才接受RSD(如：B<->A)。若当前时序正常，就只需单方向实时发送RSD即可，不必触发校时(如：B<->C)。接收端A发送端B接收端CRSDRSD能够处理来自B的安全数据不能接受来自B的安全数据RSDRSDRSDRSDRSDRSDSSESSR时序校正恢复检测到时序有误图3安全数据交互示例5.1.1.2当同一周期内有多个报文发送时，须遵守下列要求：1)同一周期内连续的两帧发送时间间隔不得小于5毫秒，以便接收端识别出不同的完整报文。2)同一周期内的多个报文须使用相同的序列号，用于标识属于同周期发送的数据。3)对同一周期内多个报文的发送次序，至少存在两种可能的处理方式：a)停发该周期的RSD报文；V1.0RSSP-I铁路信号安全通信协议第17页b)RSD报文必须在SSE、SSR报文之前发送；a)和b)选一。5.1.1.3对于设备单系的冗余通道报文发送控制，须遵守下列要求：1)所有类型的报文都应在冗余通道上传输；2)在冗余通道上传输的报文数据内容应相同。5.1.1.4对于设备双系的报文发送，须遵守下列要求：1)备系不得发送SSR报文；2)当备系需校正外部系统传送的主系RSD时序时，才发送SSE报文；3)有关备系是否实时发送RSD报文，参见具体的应用接口规范要求执行；4)双系间切换应能在1.5秒内完成并与外部系统建立安全连接，至少存在两种可能的处理方式：a)备系实时同步获取主系的安全通信参数，包括本地序列号和相应时间戳，以及从外部系统接收的序列号与相应时间戳，当备系升为主系后，沿用原安全通信连接；b)双系间最多500ms内完成倒机，当备系升为主系后重新与外部系统建立安全连接；a)和b)选一，若双系间切换不能满足要求，必须使用a)。5.1.1.5接收端对冗余通道数据的取舍处理，须遵守下列要求：1)若是冗余的SSE或SSR报文，V1.0RSSP-I铁路信号安全通信协议第18页a)通信功能模块应先校验该SSE、SSR的报文头尾有效性，若有误应直接丢弃，否则全部透明转发给安全功能模块进行校验；b)当安全功能模块接收到任一SSE报文且本地处于主系状态，即构建相应的SSR报文，并发送给相应的外部系统；c)当安全功能模块接收到任一SSR报文时，应按图4流程处理；可曾发起SSESSE的等待时间可还有效SSR的Ne与SSE的Ne相等？SSR报文恢复时序丢弃没有已超时不相等有有效相等图4SSR报文校验处理（安全功能模块）2)若是冗余的RSD报文，：a)通信功能模块应先校验该RSD的报文头尾有效性，若有误应直接丢弃，否则经冗余取舍处理后再决定是否转发给安全功能模块进行校验；b)通信功能模块对冗余RSD的取舍处理原则为：如果RSD的序列号等于最近上一次接收的报文中的序列号加1，则将该RSD报文转发给安全功能模块检验；其它情况下，均应丢弃该RSD报文。本地V1.0RSSP-I铁路信号安全通信协议第19页应始终存储最近上一次接收的RSD报文中的序列号。c)安全功能模块对RSD报文校验，参见5.2节。5.2安全校验过程5.2.1.1安全功能模块首先对来自通信功能模块转发的RSD报文头尾进行有效性检查，若有误则直接丢弃。5.2.1.2安全功能模块再对RSD报文中的安全校验域进行检查，若有误，须触发时序对齐校正,参见图5和图6。对序列号N的校验NL>NN-NL>M进入SVC校验触发SSE是否是否M是预配的序列容忍差值NL是最近一次有效的序列号图5序列号校验V1.0RSSP-I铁路信号安全通信协议第20页计算CRC_1计算CRC_2SVC_1SVC_2SCW_1SCW_2SID_1^T_1(N)^异或SID_2^T_2(N)SINIT_1(SID)(SID_1^T1(N-1))...SINIT_2(SID)(SID_2^T1(N-1))...SID_2SID_1^T_1(N)SID_2^T_2(N)取自本地存储的最近一次有效时序参数若该值与预期计算不同，即认为时序有误若相差N-NL个间隔,还需再做N-NL-1个遍0操作；（本图是按1个间隔）若相差N-NL个间隔,则选取有N-NL-1个SID操作的值（本图是按1个间隔)SVC_1SVC_2用户数据通道1通道2^异或^异或^异或~<~<LFSR左移~<LFSR左移~<SINIT_1(SID)SID_1SID_1...SINIT_2(SID)SID_2SID_2...~<~<~<~<~<~<图6SVC校验V1.0RSSP-I铁路信号安全通信协议第21页5.2.1.3若通过时序校验，则接收端应更新本地最近一次存储的时序有效值last=SINIT_r~<(SID_r^T_(N)。5.2.1.4若时序有误，接收端在发起SSE后，并接收到相应的SSR回应时，按图7流程处理，即可重新获取到最新的时序有效值last。SEQENQ_1^SID_1^T_1(n)^DATAVER_1SEQENQ_2^SID_2^T_2(n)^DATAVER_2SEQENQ_1SEQENQ_2precSinit_1precSinit_2^异或^异或SID_1^T_1(n)^DATAVER_1SID_2^T_2(n)^DATAVER_2SINIT_1(SID)SID_1SID_1SINIT_2(SID)SID_2SID_2取自本地预存的时序校正参数，计算方式为LFSR左移每预容忍1个间隔,就需有1个0操作;r表示应答回复方，e表示请求时序方，可在系统初始化期间预先计算存储该值SINIT_r_1(SID_e_1^DATAVER_r_1)0...~<SID_1^T_1(n)^DATAVER_1SID_2^T_2(n)^DATAVER_2~<LFSR左移~<~<~<~<回应的SSR发起的SSE~>~>~>形成新的最近一次有效时序参数precSinit_1=图7时序校正恢复流程V1.0RSSP-I铁路信号安全通信协议第22页6.参数配置要求6.1.1.1默认规定RSD报文的可同步容忍的最大时序偏差为2秒（若系统周期为250ms，则周期数为0x08），超时后需启动请求同步校时机制；6.1.1.2默认规定安全数据值的有效保持时间为3秒（若系统周期为250ms，则周期数为0x0C），超时后需将安全数据位导向安全值―0‖。6.1.1.3源地址和目的地址编号默认采用设备编号。6.1.1.4SID、SINIT、DATAVER参数选取要求如下：以源节点标识（若SID=0x93CEA10C）为例，且两个安全通道参数的最小码距均为6。93CEA10C随机扩展数值类型：4：通道1的数据版本DATAVER6：通道2的数据版本DATAVER8：通道1的SINITA：通道2的SINITC：通道1的源标识SIDE：通道2的源标识SID00...FF：源节点列举图8预设配置常数说明