周宏偉 張 濤 苗長(zhǎng)俊

周宏偉:中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所 助理研究員100081 北京

張 濤:中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所 助理研究員100081 北京

苗長(zhǎng)俊:中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所 助理研究員100081 北京

客運(yùn)專線信號(hào)系統(tǒng)包含多個(gè)安全相關(guān)的子系統(tǒng)，比如聯(lián)鎖 (CI)、列控中心 (TCC)、臨時(shí)限速服務(wù)器 (TSRS)、無(wú)線閉塞中心 (RBC)、分散自律調(diào)度集中 (CTC)等。安全相關(guān)子系統(tǒng)的數(shù)據(jù)交換，必須通過(guò)安全通信協(xié)議實(shí)現(xiàn)。目前我國(guó)鐵路信號(hào)安全通信協(xié)議有 RSSP-Ⅰ與 RSSP-Ⅱ 2種，RSSP代表Railway Signal Safety Communication Protocol。本文主要分析這2種協(xié)議在應(yīng)用場(chǎng)景、安全檢查、數(shù)據(jù)幀封裝等方面的不同，討論二者的優(yōu)缺點(diǎn)和使用范圍。

1 安全通信協(xié)議介紹

為了保證多個(gè)設(shè)備在“封閉傳輸系統(tǒng)上”進(jìn)行安全的信息交互，歐洲電工標(biāo)準(zhǔn)化委員會(huì)(CENELEC)制定頒布了 EN50126、EN50128、EN50129、EN50159系列安全標(biāo)準(zhǔn)，其中EN50159專門針對(duì)軌道交通 (封閉式傳輸系統(tǒng))所具備的安全屬性、安全功能進(jìn)行了詳細(xì)的說(shuō)明。

對(duì)于傳輸系統(tǒng)，可能的威脅有重復(fù)、刪除、插入、重排序、損壞、延遲和偽裝等7種。為了減少威脅風(fēng)險(xiǎn)，一般在應(yīng)用層與通信協(xié)議數(shù)據(jù)層之間插入安全功能模塊，來(lái)實(shí)現(xiàn)安全協(xié)議。安全功能模塊提供消息的真實(shí)性、完整性、時(shí)效性和有序性等4項(xiàng)的校驗(yàn)。即對(duì)接收的數(shù)據(jù)，只有通過(guò)了安全功能模塊校驗(yàn)后才交給應(yīng)用層處理;應(yīng)用層要發(fā)送的數(shù)據(jù)，在經(jīng)過(guò)安全通信模塊包裝后再對(duì)外發(fā)送。這樣基于安全協(xié)議通信的雙方，才能夠防御可能出現(xiàn)的威脅，得到可靠、安全的通信服務(wù)。通常的安全協(xié)議總體結(jié)構(gòu)如圖1所示。

圖1 安全協(xié)議結(jié)構(gòu)示意圖

2 安全通信協(xié)議對(duì)比

RSSP-Ⅰ與RSSP-Ⅱ，分別是鐵路安全通信協(xié)議的一代、二代，均符合EN 50159-2標(biāo)準(zhǔn)，但實(shí)現(xiàn)的方式有所不同。

2.1 通信物理鏈路

RSSP-Ⅰ所需要的通信功能，不依賴底層物理鏈路的連接方式。安全層 (安全相關(guān)編/解碼過(guò)程)和通信驅(qū)動(dòng) (非安全編/解碼過(guò)程)是完全分開的。底層數(shù)據(jù)傳輸方式可以是串口 (RS-422、RS-232等)，也可以是網(wǎng)絡(luò) (TCP/UDP等)。我國(guó)鐵路一般是基于串口連接，比如車站TCC與CTC、LEU均用串口RS-422相連。

RSSP-Ⅱ的安全功能模塊 (SFM)，依賴通信功能模塊 (CFM)中的網(wǎng)絡(luò)適配層，而網(wǎng)絡(luò)適配層是構(gòu)建在TCP/IP傳輸層協(xié)議之上的，無(wú)法在串口等其他鏈路環(huán)境運(yùn)行。

由此看來(lái)，RSSP-Ⅰ能夠適應(yīng)更廣泛的物理鏈路，而RSSP-Ⅱ適合TCP網(wǎng)絡(luò)環(huán)境。但是，為了適應(yīng)不同的物理鏈路，RSSP-Ⅰ的實(shí)時(shí)安全數(shù)據(jù)幀(RSD)長(zhǎng)度不能很長(zhǎng)，目前一包RSD最長(zhǎng)546字節(jié)。而RSSP-Ⅱ底層物理網(wǎng)絡(luò)是TCP，RSSP-Ⅱ可以傳輸更大的數(shù)據(jù)包，這一點(diǎn)是RSSP-Ⅰ無(wú)可比擬的。

2.2 設(shè)計(jì)思想

RSSP-Ⅰ協(xié)議是從接收端的角度設(shè)計(jì)保護(hù)算法，來(lái)解決開放傳輸系統(tǒng)上的通信問(wèn)題。它站在接收端考慮信息的安全性，要求接收端對(duì)收到的數(shù)據(jù)進(jìn)行以下驗(yàn)證:①發(fā)送端的身份鑒別 (真實(shí)性);②報(bào)文的正確無(wú)誤 (完整性);③報(bào)文的更新 (時(shí)間性);④報(bào)文的正確序列 (順序性)。所用的算法都要考慮收/發(fā)雙方向來(lái)執(zhí)行。每一個(gè)接收端的每一個(gè)傳輸方向上設(shè)置一個(gè)安全認(rèn)證。即，接收端有2個(gè)雙向交換安全數(shù)據(jù)的網(wǎng)絡(luò)單元， (每個(gè)單元)有2個(gè)獨(dú)立的安全處理過(guò)程，分別檢查2個(gè)方向的數(shù)據(jù)傳輸，如圖2所示。

圖2 RSSP-Ⅰ防護(hù)示意圖

而RSSP-Ⅱ協(xié)議，則是按分層設(shè)計(jì)安全功能模塊(SFM)，采用下層約束上層、上層依賴下層的方式，對(duì)安全功能模塊進(jìn)行清晰的分層，從而實(shí)現(xiàn)安全數(shù)據(jù)的傳輸。RSSP-Ⅱ架構(gòu)上有3層:適配及冗余管理層ALE、消息鑒定安全層MASL、安全應(yīng)用中間子層SAI。該分層方式與OSI網(wǎng)絡(luò)參考模型類似。安全連接的建立，需要發(fā)起方 (主叫實(shí)體)請(qǐng)求建立，響應(yīng)方 (被叫實(shí)體)響應(yīng)請(qǐng)求，在底層連接建立后，上層才能開始建立，直到SAI安全應(yīng)用中間子層建立，一條穩(wěn)定的安全連接才啟動(dòng)。如圖3所示，適配層ALE搭建在TCP協(xié)議之上，ALE能夠封裝一條或多條TCP鏈路 (一般是冗余多條)，對(duì)其上層 (MASL、SAI)提供A、D兩類服務(wù)。消息鑒定安全層MASL對(duì)接收到的數(shù)據(jù)進(jìn)行加密、解密，防止損壞、偽裝、插入等威脅。在MASL之上是SAI層，通過(guò)安全服務(wù)接入點(diǎn)上的安全服務(wù)原語(yǔ)及相應(yīng)參數(shù)，來(lái)提供安全服務(wù)。SAI層提供了EC序列號(hào)防御、TTS時(shí)間戳防御2種方式實(shí)現(xiàn)消息安全防御機(jī)制，來(lái)應(yīng)對(duì)延遲、重排序、刪除、重復(fù)等威脅。

圖3 RSSP-Ⅱ分層防護(hù)示意圖

2.3 對(duì)應(yīng)報(bào)文封裝

RSSP-Ⅰ安全層使用經(jīng)過(guò)安全編碼的FSFB/2報(bào)文格式向通信驅(qū)動(dòng)層發(fā)送信息，同時(shí)使用同樣的接口安全層 (從通信驅(qū)動(dòng)層)接收來(lái)自其他節(jié)點(diǎn)的FSFB/2報(bào)文。即在App的數(shù)據(jù)包上封裝FSFB/2格式的報(bào)文頭及校驗(yàn)碼，如圖4所示。

RSSP-Ⅱ在設(shè)計(jì)上將安全協(xié)議分了3層，報(bào)文也有相應(yīng)體現(xiàn)。報(bào)文被層層封裝、層層把關(guān)、層層校驗(yàn)，來(lái)實(shí)現(xiàn)不同接口層的信息傳遞。如圖5所示。

3 總結(jié)

上述2種安全協(xié)議設(shè)計(jì)思想不一致，在實(shí)際應(yīng)用中各有不同。RSSP-Ⅰ一般適用于數(shù)據(jù)包較小的環(huán)境，最大的優(yōu)點(diǎn)是它不依賴物理鏈路層，車站的各個(gè)子系統(tǒng)通過(guò)串口相連時(shí)廣泛應(yīng)用了該協(xié)議。RSSP-Ⅱ?qū)哟吻逦蕾嚲W(wǎng)絡(luò)TCP，能夠進(jìn)行大數(shù)據(jù)量的通信，更適合應(yīng)用于鐵路局中心的信號(hào)子系統(tǒng)的數(shù)據(jù)交互中。目前這2種安全協(xié)議，在鐵路信號(hào)系統(tǒng)均有廣泛應(yīng)用，地鐵等城市軌道信號(hào)系統(tǒng)也開始使用。

［1］ CENELEC．EN 50159-1 Railway applications-Communication，signaling and processing systems-Part1:Safety－related communication in closed transmission systems［S］ ，2001(3).

［2］ CENELEC．EN 50159-2 Railway applications-Communication，signaling and processing systems-Part2:Safetyrelated communication in open transmission systems［S］ .2001(3).

［3］ ALSTOM．FSFB/2 Safety Protocol Requirements Specification［S］ .1999，VersionB．2.

［4］ 中華人民共和國(guó)鐵道部運(yùn)輸局.運(yùn)基信號(hào)(2010)267號(hào)．鐵路信號(hào)安全通信協(xié)議技術(shù)規(guī)范．2010(5).