3.5 反馈报文....................................................................................................... 11
3.6 双重校验....................................................................................................... 11
5.1 安全数据交互原则 ...................................................................................... 16
5.2 安全校验过程............................................................................................... 19
Cyclic Redundancy Check
循环冗余码校验，以循环码为基 础，用于保护报文免受数据损坏的 影响
LFSR Linear Feedback Shift Register 线性反馈移位寄存器
V1.0
RSSP-I 铁路信号安全通信协议
第4页
~<
使用 LFSR 的左移位运算符
~>
使用 LFSR 的右移位运算符
数据帧重复；
数据帧丢失；
数据帧插入；
数据帧次序混乱；
数据帧错误；
数据帧传输超时。 2.1.1.3 为降低上述威胁风险，RSSP-I 采用从接收端角度设计的保护算法，要 求接收端必须对接收到的信息做出以下检查:
发送端的源信息(真实性)；
信息帧的正确性(完整性)；
信息帧的时效性(实时性)；
1.1.1.2. 本规范适用于铁路信号安全设备之间的安全通信接口。
1.2 参考文献
[1] GB/T 24339.1—2009
轨道交通 通信、信号和处理系统 第 1 部分： 封闭式传输系统中的安全相关通信
[2] GB/T 24339.2—2009
轨道交通 通信、信号和处理系统 第 2 部分： 开放式传输系统中的安全相关通信
RSSP-I 铁路信号安全通信协议 （V1.0）
2010 年 4 月
目录
1.
简介................................................................................................................. 3
V1.0
RSSP-I 铁路信号安全通信协议
第9页
3. 安全防御技术
3.1 序列号
3.1.1.1 顺序编号是在通信双方交换的每条报文上加一个 32 位的流水号。这 样，接收端可以校验发送端提供的报文顺序。 3.1.1.2 本序列号采用的是系统通信周期序号，故即可作为系统发送报文时的序 号，也可作为存储在本地存储器中的报文超时。
V1.0
RSSP-I 铁路信号安全通信协议
第5页
2. 参考结构
2.1 综述
2.1.1.1 封闭式网络在 GB/T 24339.1 中定义为：―连接的设备数量固定或最大数 量固定，有已知且固定的特性的传输系统，对于此系统可以忽略非法访问的风 险。‖
2.1.1.2 参照 GB/T 24339.2 中关于传输系统的威胁源说明，对于封闭式传输系 统而言，可存在的威胁有：
表 1 威胁/防御矩阵
危险情形 序列号与时间戳 时间戳 超时 源标识 反馈报文 双重校验
重复
X
丢失
X
插入
X
X
X
错序
X
错码
X
延迟
X
X
X
V1.0
RSSP-I 铁路信号安全通信协议
第7页
2.2 系统结构及接口
2.1.1.1 参照 GB/T 24339.2 中关于参考结构说明，安全通信系统间的总体结构 为图 1所示。
3.1 序列号........................................................................................................... 10
3.2 时间戳........................................................................................................... 10
4.
报文定义....................................................................................................... 12
5.
安全通信交互协议 ...................................................................................... 16
1.3 术语和定义..................................................................................................... 3
1.4 缩略语............................................................................................................. 4
6.
参数配置要求 .............................................................................................. 22
V1.0
RSSP-I 铁路信号安全通信协议
第2页
1. 简介
1.1 目的及范围
1.1.1.1. 本规范规定了信号安全设备之间通过封闭式传输系统进行安全相关信息 交互的功能结构和协议。
Safety Verify Code
通信方的安全校验码，每个计算通 道有一个实时演算的取值参数（32 位长）
System Check Word
系统校验字（32 位长），用于标识 安全层协议的正确特性
Sequence Initialisation
序列初始作为启动安全数据信息交 换过程前的通信建立要求生成的结 果。每个计算通道有一个预定的标 记参数（32 位长）
信息帧序列的正确性(有序性)。
V1.0
RSSP-I 铁路信号安全通信协议
第6页
2.1.1.4 参照 GB/T 24339.2 中关于具体防护说明，RSSP-I 选用以下具体防护措 施：
序列号
时间戳；
超时；
源标识；
反馈报文；
双重校验。
有关上述防护威胁措施的适用性，可参见表 1：
1.1 目的及范围..................................................................................................... 3
1.2 参考文献......................................................................................................... 3
1.3 术语和定义
本文件中使用了标准 GB/T 24339.1 和 GB/T 24339.2 的定义，并附加使用 了以下术语。
V1.0
RSSP-I 铁路信号安全通信协议
第3页
变量名称 (依赖变量参数名)
在本规范算法描述中，用于表示本 变量根据括号内指示的变量参数名 称具有不同的取值
1.4 缩略语
RSSP SID T(N) SVC SCW SINIT
物理传输层的适配，须根据具体接口应用要求描述，不在本规范
V1.0
RSSP-I 铁路信号安全通信协议
第8页
中定义； 通信链路的冗余处理功能，须遵守本规范第5.1节要求； 数据的可靠、透明和双向传输，参照本规范第5.1节要求； 通道可用性监测，并交由应用层报告给外部系统：须根据具体接
口应用的超时时限要求进行检测判定。 2.1.1.7 本规范不对数据链路层作规定。 2.1.1.8 本规范不对物理层作规定。 2.1.1.9 操作和维护（O&M）属于具体实施的范畴，本规范不作规定。
[4] EN-50129:2003
Railway applications–Communication, signalling and processing systems–Safety related electronic systems for signalling 铁道应用：安全相关电子 系统
2.2 系统结构及接口 ............................................................................................ 8
3.
安全防御技术............................................................................................... 10
CRC
Railway Signal Safety Protocol 铁路信号安全协议
Source Identifier
通信源标识，每个计算通道有一个 预定的标记参数（32 位长）
Time stamp at cycle ‗N‘
通信方在第 N 周期时的时间戳，每 个计算通道有一个实时演算的取值 参数（32 位长）
2.
参考结构......................................................................................................... 6
2.1 综述................................................................................................................. 6
[3] EN-50128:20Biblioteka Baidu1
Railway applications – Communications, signalling and processing systems – Software for railway control and protection systems 铁道应用: 铁路控制和防护系统软件
设备1
应用程序
B接口
安全功能模块
D接口
通信功能模块
应用层数据
A接口
安全相关 协议数据单元
C接口
协议数据单元
E接口
设备2
应用程序 安全功能模块 通信功能模块
封闭式传输系统
图 1 安全通信系统的总体结构
2.1.1.2 安全信息传输的应用协议(A 接口)参见各安全设备间应用层协议，不属 于本规范范围。 2.1.1.3 应用程序与安全功能模块间(B 接口)为软件内部实现要求，不属于本规 范范围。 2.1.1.4 安全功能模块（C 接口）采用 RSSP-I 安全协议机制，实现对传输系统 中的通信威胁防护，具体描述参见后续章节。 2.1.1.5 安全功能模块与通信功能模块间(D 接口)为软件内部实现要求，不属于 本规范范围。 2.1.1.6 通信功能模块提供非置信的传输(E 接口)，应提供以下功能：
3.3 超时............................................................................................................... 10
3.4 源标识........................................................................................................... 11
3.2 时间戳
3.2.1.1 由两个 32 位长的伪随机数表示，用于确认在每个系统周期时的强制增 量。 3.2.1.2 时间戳与序列号保持同步递增。