[建筑]鐵路信號(hào)系統(tǒng)安全相關(guān)通信標(biāo)準(zhǔn)與安全協(xié)議研究

1、；. 本文由20062280_xing貢獻(xiàn) pdf文檔可能在WAP端瀏覽體驗(yàn)不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機(jī)查看。 Railway Topics 鐵路視點(diǎn) 鐵路信號(hào)系統(tǒng) 安全相關(guān)通信標(biāo)準(zhǔn)與安全協(xié)議研究 楊霓霏：中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所，碩士研究生，北京，100081 段 武：中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所，研究員，北京，100081 盧佩玲：中國(guó)鐵道科學(xué)研究院通信信號(hào)研究所，研究員，北京，100081 1 EN 50159標(biāo)準(zhǔn)概述 摘 要：歐洲電工標(biāo)準(zhǔn)化委員會(huì)(CENELEC)核準(zhǔn)的 EN 50159標(biāo)準(zhǔn)提出在安全相關(guān)設(shè)備中的數(shù)據(jù)通信 必須建立安全相關(guān)通信功能，安全功能

2、包括安全過(guò)程 (safety procedure)及安全碼(safety code)兩方面內(nèi) 容。從結(jié)構(gòu)上講就是在應(yīng)用層與通信系統(tǒng)之間，建立安 全相關(guān)通信層，簡(jiǎn)稱安全層。需要傳輸?shù)挠脩魯?shù)據(jù)首先 經(jīng)過(guò)安全層的處理，生成安全層數(shù)據(jù)報(bào)文之后再發(fā)往傳 輸系統(tǒng)；從傳輸系統(tǒng)收到的信息也先經(jīng)過(guò)安全層過(guò)濾才 被采用。無(wú)論傳輸系統(tǒng)采用何種結(jié)構(gòu)以及協(xié)議棧，從邏 輯角度安全相關(guān)數(shù)據(jù)在安全層由安全過(guò)程和安全碼的 保護(hù)進(jìn)行通信。物理上安全層的數(shù)據(jù)經(jīng)過(guò)傳輸系統(tǒng)傳 送，所以傳輸系統(tǒng)特性直接影響安全通信功能。為此， EN 50159標(biāo)準(zhǔn)是專門針對(duì)鐵路信號(hào)系統(tǒng)中安全相關(guān)通 信而設(shè)立的,該標(biāo)準(zhǔn)從功能和技術(shù)層面提出傳輸系統(tǒng) 可能遇

3、到的威脅及安全要求和措施。為防御各種風(fēng) 險(xiǎn)，要求安全通信系統(tǒng)應(yīng)具有保護(hù)報(bào)文真實(shí)性、保 護(hù)報(bào)文完整性、保護(hù)報(bào)文時(shí)間性和保護(hù)報(bào)文順序性 等4項(xiàng)防御功能。 關(guān)鍵詞：鐵路信號(hào)系統(tǒng)；安全相關(guān)通信；安全協(xié) 議；標(biāo)準(zhǔn) 現(xiàn) 子系統(tǒng)構(gòu)成，負(fù)責(zé)子系統(tǒng)之間安全數(shù)據(jù)交換的通 信系統(tǒng)是安全相關(guān)系統(tǒng)的一個(gè)重要組成部分。歐洲電工 標(biāo)準(zhǔn)化委員會(huì)(CENELEC)核準(zhǔn)的EN 50159標(biāo)準(zhǔn)是專門針對(duì) 鐵路信號(hào)系統(tǒng)中安全相關(guān)通信而設(shè)立的，此標(biāo)準(zhǔn)為構(gòu)建 安全相關(guān)通信系統(tǒng)提出了功能和技術(shù)方面的基本要求和 設(shè)計(jì)指導(dǎo)。目前,我國(guó)列車控制系統(tǒng)應(yīng)用的部分歐洲設(shè) 備或系統(tǒng)方案涉及到EN 50159標(biāo)準(zhǔn)建立的安全通信系統(tǒng) 及接口協(xié)議。 代化的鐵

4、路信號(hào)及控制系統(tǒng)一般由多個(gè)安全相關(guān) EN 50159標(biāo)準(zhǔn)分為兩個(gè)部分：EN 501591標(biāo)準(zhǔn)1針對(duì)封 閉傳輸系統(tǒng)提出構(gòu)建安全通信的基本要求，強(qiáng)調(diào)應(yīng)用 標(biāo)準(zhǔn)的先決條件、基本功能需求和安全完整性需求。EN 501592標(biāo)準(zhǔn)2針對(duì)開放傳輸系統(tǒng)提出基本安全需求， 分析開放傳輸系統(tǒng)的各項(xiàng)風(fēng)險(xiǎn)及對(duì)應(yīng)的安全措施。封閉 傳輸系統(tǒng)指特征及屬性清晰、固定的傳輸系統(tǒng)，建立安 全相關(guān)通信功能可以考慮封閉傳輸系統(tǒng)的屬性；而開放 傳輸系統(tǒng)充滿不確定性，安全通信功能的建立必須考慮 所有可能發(fā)生的問(wèn)題。 48 中 國(guó) 鐵 路 CHINESE RAILWAYS 2008/06 鐵路信號(hào)系統(tǒng)安全相關(guān)通信標(biāo)準(zhǔn)與安全協(xié)議研究 楊霓霏

5、 等 傳輸系統(tǒng)對(duì)安全通信功能的影響主要表現(xiàn)在傳輸系 統(tǒng)的不同特性決定了錯(cuò)誤的不同種類。安全完整性需求 規(guī)范是在對(duì)錯(cuò)誤模型的功能性分析基礎(chǔ)上完成的，其錯(cuò) 誤主要來(lái)自傳輸系統(tǒng)。應(yīng)用層的錯(cuò)誤不在EN 50159標(biāo)準(zhǔn) 的考慮范圍內(nèi)。從接收角度對(duì)傳輸系統(tǒng)錯(cuò)誤的界定是， 當(dāng)收到的報(bào)文出現(xiàn)差錯(cuò)，而接收端卻誤認(rèn)為是合法報(bào)文 并加以處理，這種情況稱為影響安全的“錯(cuò)誤”或“風(fēng) 險(xiǎn)”。EN 501592標(biāo)準(zhǔn)提出7種傳輸系統(tǒng)可能遇到的風(fēng) 險(xiǎn)威脅及8種防御措施，其內(nèi)容及應(yīng)對(duì)關(guān)系見表1。 表1 防御措施與風(fēng)險(xiǎn)威脅應(yīng)對(duì)關(guān)系 風(fēng)險(xiǎn) 防御 序列號(hào) 時(shí)間戳 超時(shí) 源和目的 反饋 身份鑒 安全 身份標(biāo)識(shí) 信息 別過(guò)程 編碼 重復(fù)

6、刪除 插入 重排序 訛誤 延時(shí) 偽裝 :表示防御措施與風(fēng)險(xiǎn)威脅應(yīng)對(duì)關(guān)系 密碼 技術(shù) Railway Topics 鐵路視點(diǎn) 全過(guò)程可以發(fā)現(xiàn)安全數(shù)據(jù)在傳輸中出現(xiàn)的“訛誤”。發(fā) 送端的安全功能負(fù)責(zé)對(duì)安全數(shù)據(jù)進(jìn)行安全編碼，再將安 全碼、用戶數(shù)據(jù)及其他安全附加信息組成安全報(bào)文進(jìn)行 傳輸，接收端收到報(bào)文后，依照?qǐng)?bào)文結(jié)構(gòu)從報(bào)文中截取 安全數(shù)據(jù)，再次編碼計(jì)算，并將得到的碼字與報(bào)文中的 安全碼進(jìn)行比對(duì)，鑒別是否發(fā)生“訛誤”。設(shè)計(jì)安全碼 必須選擇適當(dāng)?shù)木幋a技術(shù)和足夠的編碼長(zhǎng)度，以滿足安 全功能需求，并達(dá)到安全通信系統(tǒng)要求的安全完整度定 量指標(biāo)。EN 501591標(biāo)準(zhǔn)附錄A給出安全碼長(zhǎng)度的參考 計(jì)算公式。EN 5

7、01592標(biāo)準(zhǔn)介紹了安全碼的基本類型及 選擇，可作為安全碼的主要有線性分組碼、循環(huán)分組碼 （CRC）、散列分組碼和加密分組碼。選擇安全碼和加 密技術(shù)主要根據(jù)傳輸系統(tǒng)是否有非授權(quán)訪問(wèn)，是否可以 避免惡意攻擊，以及安全通信系統(tǒng)結(jié)構(gòu)中是否采用獨(dú)立 的非法接入保護(hù)措施?？傊?，根據(jù)傳輸系統(tǒng)和安全通信 系統(tǒng)結(jié)構(gòu)選擇安全碼。 安全碼使安全通信達(dá)到量化的安全目標(biāo)。在安全 協(xié)議中，除用戶安全數(shù)據(jù)外，一般還要將安全層的附 加安全數(shù)據(jù)，如時(shí)間戳和身份鑒別ID等納入安全碼保 護(hù)范圍。在有些安全協(xié)議中，還將附加安全數(shù)據(jù)直接 設(shè)計(jì)為計(jì)算參數(shù)參與安全碼算法(如SACEM)，或?qū)⑵渥?為安全碼的擴(kuò)充內(nèi)容(如FSFB/2)，使

8、安全層對(duì)報(bào)文完 整性、真實(shí)性和時(shí)序性的驗(yàn)證在安全編碼的計(jì)算和驗(yàn) 證過(guò)程中一起完成，提高了安全性和效率，便于安全 通信過(guò)程的管理。 SACEM算法是一種特殊設(shè)計(jì)的散列分組編碼算法， 時(shí)間標(biāo)記的DE/DR值與用戶安全數(shù)據(jù)一起被進(jìn)行SACEM編 碼計(jì)算，而報(bào)文真實(shí)性信息被設(shè)置為定向連接參數(shù)作為 計(jì)算公式的一部分。 FSFB/2采用基于32位CRC的安全編碼，發(fā)送端身份 標(biāo)識(shí)號(hào)SID以及發(fā)送端時(shí)間戳T n 通過(guò)異或運(yùn)算加入到CRC 校驗(yàn)碼，得到FSFB/2安全碼。這種方式使SID和T n 隱形于 安全編碼中，也使報(bào)文真實(shí)性和完整性驗(yàn)證過(guò)程統(tǒng)一進(jìn) 行。因?yàn)榻邮斩擞?jì)算出CRC校驗(yàn)碼之后只能從安全碼中恢 復(fù)

9、出SID與Tn 經(jīng)異或運(yùn)算結(jié)合在一起的信息，也只有設(shè)法 驗(yàn)證出SID及Tn 之后才能完成CRC的驗(yàn)證。 2.2 報(bào)文時(shí)序性保證 順序性就是保證接收端收到的報(bào)文序列與發(fā)送端發(fā) 為防御各種風(fēng)險(xiǎn)，要求安全通信系統(tǒng)應(yīng)具有保護(hù)報(bào) 文真實(shí)性、保護(hù)報(bào)文完整性、保護(hù)報(bào)文時(shí)間性和保護(hù)報(bào) 文順序性等4項(xiàng)防御功能，其中報(bào)文時(shí)間性和順序性統(tǒng)稱 為時(shí)序性，對(duì)于安全通信系統(tǒng)可以從這3方面進(jìn)行研究。 以兩種歐洲鐵路信號(hào)公司的安全通信協(xié)議為例分析 安全措施的實(shí)施。一是CSEE Transport公司針對(duì)封閉傳 輸系統(tǒng)的安全協(xié)議,主要特征為SACEM安全編碼及DE/DR 時(shí)間標(biāo)記機(jī)制 ，SACEM是一種安全碼。二是ALSTOM

10、 公司以開放傳輸系統(tǒng)為對(duì)象的安全協(xié)議FSFB/2 4 3 。 FSFB(Fail Safe Field Bus)是ALSTOM公司的一種安全通 信協(xié)議名稱，F(xiàn)SFB/2是FSFB的第二代，主要實(shí)現(xiàn)開放傳 輸系統(tǒng)中安全相關(guān)數(shù)據(jù)通信。這兩種協(xié)議在歐洲地鐵和 鐵路系統(tǒng)廣泛應(yīng)用，隨著技術(shù)引進(jìn)，這些安全協(xié)議和技 術(shù)在我國(guó)列控系統(tǒng)中也得到應(yīng)用。 2 安全通信功能及具體安全措施 2.1 報(bào)文完整性保證 保證報(bào)文完整性就是防止報(bào)文在傳輸過(guò)程中出現(xiàn) 任何“訛誤”，安全相關(guān)通信的防御措施是采用安全 碼。安全碼是一種冗余檢錯(cuò)碼，依靠安全碼接收端的安 中 國(guó) 鐵 路 CHINESE RAILWAYS 2008/06

11、49 Railway Topics 都是順序性錯(cuò)誤表現(xiàn)。 鐵路視點(diǎn) 鐵路信號(hào)系統(tǒng)安全相關(guān)通信標(biāo)準(zhǔn)與安全協(xié)議研究 楊霓霏 等 應(yīng)用層超時(shí)之前，安全層連接得到及時(shí)恢復(fù)，將不會(huì)對(duì) 應(yīng)用層造成影響。因此，兩個(gè)超時(shí)之間相差的時(shí)間應(yīng)至 少可以完成一次安全通信初始化。在此條件下安全層超 時(shí)時(shí)限可以考慮盡可能接近應(yīng)用層超時(shí)時(shí)限，這樣可增 加安全層容錯(cuò)性，減少安全層重建連接對(duì)信道的占用。 FSFB/2協(xié)議中有稱為“最大容忍偏差”的參數(shù)，假設(shè)接 收端與發(fā)送端周期大小相同，以接收端周期為單位,則 參數(shù)可表示為K +1，其中K 表示接收端允許安全數(shù)據(jù)報(bào)文 序列中連續(xù)丟失報(bào)文的最大數(shù)量。當(dāng)接收端在距離上 一次接收到正確

12、數(shù)據(jù)后超過(guò)K +1周期仍沒(méi)有收到正確數(shù) 據(jù)，將重新建立安全連接。這里需要注意，雖然協(xié)議允 許接收端在正確接收到假定編號(hào)為n 的報(bào)文之后可以接 著接收第n +k 號(hào)報(bào)文(0k K )，但接收端必須保證第n +k 號(hào)報(bào)文在第k 個(gè)周期內(nèi)收到，否則應(yīng)該視為錯(cuò)誤數(shù)據(jù)而 被拋棄。即接收端允許報(bào)文序列發(fā)生“刪除(即丟包)” 現(xiàn)象，但對(duì)每一個(gè)報(bào)文接收端不能允許其發(fā)生“延 時(shí)”。在系統(tǒng)需要時(shí)，安全層應(yīng)該小心地增加對(duì)丟/錯(cuò) 包的容錯(cuò)性，不能影響通信安全。 CSEE安全協(xié)議采用DE/DR形式的雙重時(shí)間戳，周期 發(fā)送的安全數(shù)據(jù)報(bào)文在被接收端收到后，都會(huì)反饋狀態(tài) 信息報(bào)文。在兩種報(bào)文中都含有DE/DR雙重時(shí)間戳，其

13、中DE表示發(fā)出報(bào)文時(shí)的發(fā)送端周期計(jì)數(shù)，DR表示發(fā)送此 報(bào)文之前發(fā)送端接收到的最近一包報(bào)文的DE字段?？梢?認(rèn)為，每個(gè)安全數(shù)據(jù)報(bào)文都與DR值所指的一個(gè)狀態(tài)報(bào)文 形成反饋報(bào)文。利用DE字段，接收端可以監(jiān)控安全數(shù)據(jù) 報(bào)文的順序性，同時(shí)接收端可以對(duì)每個(gè)報(bào)文監(jiān)控兩個(gè)超 時(shí)。首先以發(fā)送端周期為接收窗口，杜絕安全數(shù)據(jù)超時(shí) 問(wèn)題；然后檢查DR字段，如果太陳舊則說(shuō)明狀態(tài)信息傳 輸或處理過(guò)程可能出現(xiàn)問(wèn)題。CSEE安全協(xié)議也需要連接 初始化，請(qǐng)求由發(fā)送方發(fā)起，主要完成參數(shù)配置和檢 查，建立DE/DR機(jī)制。發(fā)送方以連續(xù)兩個(gè)初始化報(bào)文作 為申請(qǐng)開始，接收方隨后反饋一個(gè)狀態(tài)報(bào)文，發(fā)送方收 到狀態(tài)報(bào)文后開始發(fā)送安全數(shù)據(jù)報(bào)文

14、，當(dāng)接收方收到第 一個(gè)有效DR值標(biāo)志時(shí)初始化完成。 在FSFB/2協(xié)議中，在安全連接建立之后，接收端不 發(fā)送任何報(bào)文，在安全連接建立過(guò)程中進(jìn)行鑒別并完成 對(duì)時(shí)。時(shí)間戳采用偽隨機(jī)序列，有抵抗偽裝的安全作 用。 出的報(bào)文序列相同，“重復(fù)”、“刪除”、“重排序” 時(shí)間性可理解為時(shí)效性，一個(gè)安全數(shù)據(jù)報(bào)文被發(fā)出 后，必須在規(guī)定時(shí)間內(nèi)到達(dá)接收端,“延時(shí)”可能帶來(lái) 風(fēng)險(xiǎn)。 防止“重復(fù)”、“刪除”、“重排序”的措施是 將報(bào)文加上序列號(hào)，但加入序列號(hào)后不能發(fā)現(xiàn)“延時(shí)” 問(wèn)題。為解決“延時(shí)”問(wèn)題，要確定報(bào)文的傳輸時(shí)間與 預(yù)計(jì)時(shí)間在允許誤差范圍內(nèi)是否相等，最直接的方法是 為報(bào)文行程加入時(shí)間記錄。為此，引入時(shí)間戳概念

15、， 即給報(bào)文打上時(shí)間記號(hào)，如采用絕對(duì)時(shí)標(biāo)（絕對(duì)時(shí)間標(biāo) 記），如世界標(biāo)準(zhǔn)時(shí)間，這樣接收端很容易檢查傳輸過(guò) 程是否超時(shí)，前提條件是要求使用絕對(duì)時(shí)標(biāo)的所有設(shè)備 時(shí)間嚴(yán)格同步，但實(shí)現(xiàn)這一要求投入較大。T n 也可以選 擇相對(duì)時(shí)標(biāo)（相對(duì)時(shí)間標(biāo)記），如以本地設(shè)備軟件周期 計(jì)數(shù)為時(shí)鐘，以發(fā)送報(bào)文時(shí)軟件周期數(shù)為T n 。報(bào)文的發(fā) 送可以是事件驅(qū)動(dòng)，也可以是時(shí)間驅(qū)動(dòng)，以固定周期發(fā) 送報(bào)文是一種常見方式，對(duì)于安全通信系統(tǒng)有很多好 處。 當(dāng)建立相對(duì)時(shí)標(biāo)后，要使用“超時(shí)”機(jī)制解決“延 時(shí)”問(wèn)題。在報(bào)文周期發(fā)送時(shí)，通信雙方可以預(yù)先知道 本地時(shí)鐘下對(duì)方的周期長(zhǎng)度?！凹僭O(shè)”接收端收到一包 沒(méi)有發(fā)生延時(shí)的報(bào)文，此時(shí)接收端可以

16、確定下一個(gè)報(bào)文 應(yīng)該在一個(gè)發(fā)送周期左右(考慮允許的傳輸系統(tǒng)偏差)被 收到。如果預(yù)計(jì)時(shí)間耗盡仍沒(méi)有收到正確報(bào)文，則可以 確認(rèn)預(yù)計(jì)接收的那一個(gè)報(bào)文發(fā)生了“延時(shí)”。接收端只 要得到一個(gè)基準(zhǔn)時(shí)刻就可以對(duì)報(bào)文序列的下一個(gè)報(bào)文建 立一個(gè)接收窗口。利用反饋報(bào)文確定序列的開始，即找 到建立接收窗口的第一個(gè)基準(zhǔn)點(diǎn)，讓通信雙方進(jìn)行“對(duì) 時(shí)”。過(guò)程如下：由接收方發(fā)出對(duì)時(shí)申請(qǐng)，發(fā)送方收到 后給以反饋，發(fā)出申請(qǐng)報(bào)文和收到反饋報(bào)文這兩個(gè)事件 的時(shí)刻都以申請(qǐng)方本地時(shí)鐘為坐標(biāo)，所以可以設(shè)置超時(shí) 來(lái)控制反饋過(guò)程，當(dāng)反饋報(bào)文在時(shí)限內(nèi)到達(dá)時(shí)，那么就 認(rèn)為找到了一個(gè)序列的開始。這樣的一個(gè)對(duì)時(shí)過(guò)程也可 被認(rèn)為接收端對(duì)于發(fā)送端建立了相對(duì)

17、的邏輯時(shí)鐘。 在安全相關(guān)通信系統(tǒng)中，安全層和應(yīng)用層一般會(huì) 有兩個(gè)不同的超時(shí)限制，應(yīng)用層超時(shí)將引起系統(tǒng)安全反 應(yīng)，而安全層超時(shí)一般只造成安全層連接中斷。如果在 50 中 國(guó) 鐵 路 CHINESE RAILWAYS 2008/06 鐵路信號(hào)系統(tǒng)安全相關(guān)通信標(biāo)準(zhǔn)與安全協(xié)議研究 楊霓霏 等 2.3 報(bào)文真實(shí)性保證 報(bào)文真實(shí)性是指報(bào)文發(fā)送端和接收端的正確性。破 壞報(bào)文真實(shí)性的風(fēng)險(xiǎn)有“插入”和“偽裝”兩種。“插 入”風(fēng)險(xiǎn)常表現(xiàn)為由于傳輸系統(tǒng)問(wèn)題，使接收到的報(bào)文 并非來(lái)自預(yù)期的地址，或雖然來(lái)自預(yù)期節(jié)點(diǎn)，但目的地 不是此地?！皞窝b”也是一種插入，指在開放環(huán)境中一 個(gè)未知節(jié)點(diǎn)有意或無(wú)意使用其他合法節(jié)點(diǎn)的信息偽

18、裝 報(bào)文，使接收端誤認(rèn)為報(bào)文來(lái)自預(yù)期節(jié)點(diǎn)，其中有意的 “偽裝”是一種惡意攻擊。 針對(duì)破壞報(bào)文真實(shí)性的風(fēng)險(xiǎn)的最基本措施是為每 個(gè)節(jié)點(diǎn)設(shè)置唯一的身份鑒別標(biāo)號(hào)ID，然后在每條報(bào)文 中加入發(fā)送端或目的端的標(biāo)識(shí)ID。依據(jù)身份標(biāo)識(shí)號(hào)， 接收端就可以直接辨認(rèn)報(bào)文是否來(lái)自正確的發(fā)送端和 到達(dá)正確的目的地。ID設(shè)置為報(bào)文真實(shí)性鑒別提供了 條件，但在開放傳輸系統(tǒng)中為防止“偽裝”，還需 要安全通信層進(jìn)行特殊設(shè)計(jì)，由反饋信息參與鑒別過(guò) 程。鑒別過(guò)程可選擇兩種方式：一種是雙向鑒別，在 通信過(guò)程中利用回復(fù)通道，通過(guò)發(fā)送方和接收方之間 交換身份標(biāo)識(shí)信息來(lái)確認(rèn)通信雙方真實(shí)性；另一種是 動(dòng)態(tài)鑒別，通信雙方只在需要時(shí)交換反饋信息

19、，一方 提出鑒別請(qǐng)求，另一方給予回應(yīng)，全過(guò)程可以在安全 通信連接建立階段進(jìn)行。 CSEE的安全協(xié)議將報(bào)文源和目的信息作為定向參數(shù) 納入SACEM算法中，由于封閉傳輸系統(tǒng)的節(jié)點(diǎn)有限，每 一組發(fā)送端到接收端的組合及傳輸方向都設(shè)置一個(gè)特定 的定向參數(shù)。比節(jié)點(diǎn)ID更高效的是，一個(gè)參數(shù)確定了通 信雙方的身份和傳輸方向，在報(bào)文的SACEM校驗(yàn)過(guò)程中 同時(shí)驗(yàn)證報(bào)文完整性和真實(shí)性。 FSFB/2對(duì)每個(gè)節(jié)點(diǎn)設(shè)置身份標(biāo)識(shí)號(hào)SID，為防止 “偽裝”在FSFB/2報(bào)文中不會(huì)直接出現(xiàn)SID值，SID與作 為時(shí)間戳的偽隨機(jī)數(shù)T n 經(jīng)過(guò)異或運(yùn)算結(jié)合在一起傳輸。 接收端不直接擁有發(fā)送端的SID，也無(wú)法獲得T n ，所以 S

20、ID與時(shí)間戳必須通過(guò)FSFB/2特殊的安全過(guò)程來(lái)驗(yàn)證。 首先連接初始化過(guò)程由接收端發(fā)起連接請(qǐng)求，對(duì)方予以 回應(yīng)，在應(yīng)答報(bào)文里包含雙方的SID和時(shí)間戳信息，接 收方根據(jù)這些信息及系統(tǒng)預(yù)先分配給接收方的身份鑒別 參數(shù)進(jìn)行安全計(jì)算，最終得到時(shí)間戳和身份鑒別結(jié)果的 “對(duì)準(zhǔn)及驗(yàn)證參數(shù)”。之后接收方可以利用此數(shù)據(jù)對(duì)報(bào) 參考文獻(xiàn) Railway Topics 鐵路視點(diǎn) 文進(jìn)行真實(shí)性驗(yàn)證和時(shí)間性驗(yàn)證。當(dāng)通信出現(xiàn)問(wèn)題被迫 中斷時(shí)，“對(duì)準(zhǔn)及驗(yàn)證參數(shù)”將被清除，若不經(jīng)過(guò)再次 初始化過(guò)程，接受方將無(wú)法接收任何數(shù)據(jù)。 3 EN 50159標(biāo)準(zhǔn)的正確使用 設(shè)計(jì)安全通信系統(tǒng)首先應(yīng)確認(rèn)傳輸系統(tǒng)所屬分類和 特性。EN 5015

21、9-2標(biāo)準(zhǔn)附錄C.2給出傳輸系統(tǒng)分類指導(dǎo)， 為選擇安全措施提供參考。由于應(yīng)用層需求、功能與安 全層設(shè)計(jì)密切相關(guān)，因此只依靠傳輸系統(tǒng)分類遠(yuǎn)不能 分配安全完整度(SIL)指標(biāo)。EN 50159-2標(biāo)準(zhǔn)附錄C.3給 出EN 501295涵蓋的系統(tǒng)設(shè)計(jì)可采取的一些特殊步驟， 包括應(yīng)用、危險(xiǎn)分析、風(fēng)險(xiǎn)降低、SIL分配、定量目標(biāo) 以及安全要求規(guī)范。EN 50159標(biāo)準(zhǔn)中的“應(yīng)用”指系統(tǒng) 設(shè)計(jì)人員必須理解傳輸系統(tǒng)的應(yīng)用，數(shù)據(jù)流、數(shù)據(jù)種 類、更新次數(shù)和性質(zhì)(如定期或事件驅(qū)動(dòng))都會(huì)對(duì)傳輸系 統(tǒng)設(shè)計(jì)有影響。另外還必須確定系統(tǒng)的安全完整等級(jí) (定性參數(shù)和非函數(shù)參數(shù))定義(由用戶或安全部門)。EN 50159標(biāo)準(zhǔn)從功能和技術(shù)層面上提出安全要求，并針對(duì) 通信系統(tǒng)一般出現(xiàn)的風(fēng)險(xiǎn)提出相應(yīng)的安全措施，建立適 應(yīng)具體應(yīng)用環(huán)境的安全相關(guān)通信系統(tǒng)還