RSSP-I铁路信号安全通信协议
(V1.0)
2010年4月
目录
1.简介 (3)
1.1目的及范围 (3)
1.2参考文献 (3)
1.3术语和定义 (3)
1.4缩略语 (4)
2.参考结构 (6)
2.1综述 (6)
2.2系统结构及接口 (8)
3.安全防御技术 (10)
3.1序列号 (10)
3.2时间戳 (10)
3.3超时 (10)
3.4源标识 (11)
3.5反馈报文 (11)
3.6双重校验 (11)
4.报文定义 (12)
5.安全通信交互协议 (16)
5.1安全数据交互原则 (16)
5.2安全校验过程 (19)
6.参数配置要求 (22)
1.简介
1.1目的及范围
1.1.1.1.本规范规定了信号安全设备之间通过封闭式传输系统进行安全相关信息
交互的功能结构和协议。
1.1.1.
2.本规范适用于铁路信号安全设备之间的安全通信接口。
1.2参考文献
[1]GB/T24339.1—2009 轨道交通通信、信号和处理系统第1部分:
封闭式传输系统中的安全相关通信
[2]GB/T24339.2—2009 轨道交通通信、信号和处理系统第2部分:
开放式传输系统中的安全相关通信
[3]EN-50128:2001 Railway applications –Communications,
signalling and processing systems – Software for
railway control and protection systems 铁道应用:
铁路控制和防护系统软件
[4]EN-50129:2003 Railway applications–Communication, signalling
and processing systems–Safety related electronic
systems for signalling铁道应用:安全相关电子
系统
1.3术语和定义
本文件中使用了标准GB/T 24339.1和GB/T 24339.2的定义,并附加使用了以下术语。
变量名称 (依赖变量参数名) 在本规范算法描述中,用于表示本
变量根据括号内指示的变量参数名
称具有不同的取值
1.4缩略语
RSSP Railway Signal Safety Protocol 铁路信号安全协议
SID Source Identifier 通信源标识,每个计算通道有一个
预定的标记参数(32位长)
T(N) Time stamp at cycle ‗N‘通信方在第N周期时的时间戳,每
个计算通道有一个实时演算的取值
参数(32位长)
SVC Safety Verify Code 通信方的安全校验码,每个计算通
道有一个实时演算的取值参数(32
位长)
SCW System Check Word 系统校验字(32位长),用于标识
安全层协议的正确特性
SINIT Sequence Initialisation 序列初始作为启动安全数据信息交
换过程前的通信建立要求生成的结
果。每个计算通道有一个预定的标
记参数(32位长)
CRC Cyclic Redundancy Check 循环冗余码校验,以循环码为基
础,用于保护报文免受数据损坏的
影响
LFSR Linear Feedback Shift Register 线性反馈移位寄存器
~
<使用 LFSR 的左移位运算符
~
>使用 LFSR 的右移位运算符
2.参考结构
2.1综述
2.1.1.1 封闭式网络在GB/T 24339.1中定义为:―连接的设备数量固定或最大数量固定,有已知且固定的特性的传输系统,对于此系统可以忽略非法访问的风险。‖
2.1.1.2 参照GB/T 24339.2中关于传输系统的威胁源说明,对于封闭式传输系统而言,可存在的威胁有:
数据帧重复;
数据帧丢失;
数据帧插入;
数据帧次序混乱;
数据帧错误;
数据帧传输超时。
2.1.1.3 为降低上述威胁风险,RSSP-I采用从接收端角度设计的保护算法,要求接收端必须对接收到的信息做出以下检查:
发送端的源信息(真实性);
信息帧的正确性(完整性);
信息帧的时效性(实时性);
信息帧序列的正确性(有序性)。
2.1.1.4 参照GB/T 24339.2中关于具体防护说明,RSSP-I选用以下具体防护措施:
序列号
时间戳;
超时;
源标识;
反馈报文;
双重校验。
有关上述防护威胁措施的适用性,可参见表1:
表 1 威胁/防御矩阵
2.2 系统结构及接口
2.1.1.1 参照GB/T 24339.2中关于参考结构说明,安全通信系统间的总体结构为图 1所示。
设备1
设备2
安全相关协议数据单元
图 1 安全通信系统的总体结构
2.1.1.2 安全信息传输的应用协议(A 接口)参见各安全设备间应用层协议,不属于本规范范围。
2.1.1.3 应用程序与安全功能模块间(B 接口)为软件内部实现要求,不属于本规范范围。
2.1.1.4 安全功能模块(C 接口)采用RSSP-I 安全协议机制,实现对传输系统中的通信威胁防护,具体描述参见后续章节。
2.1.1.5 安全功能模块与通信功能模块间(D 接口)为软件内部实现要求,不属于本规范范围。
2.1.1.6 通信功能模块提供非置信的传输(E 接口),应提供以下功能:
物理传输层的适配,须根据具体接口应用要求描述,不在本规范