RSSP II鐵路信號安全通信協(xié)議(V05)

1、RSSP-II鐵路信號安全通信協(xié)議V0.52008年12月CTCS-3級列控系統(tǒng)標準規(guī)范1. 修訂歷史版本號：日期章節(jié)號修訂/描述作者V0.12008年11月15日全部初稿接口組V0.22008年11月20日全部根據(jù)2008.11.17日通號公司討論意見修改接口組V0.32008年11月27日全部根據(jù)2008.11.24日C3組會議討論意見修改接口組V0.42008年12月26日全部根據(jù)2008.12.24日C3組及鐵科院、交大、卡斯科等單位討論意見修改接口組V0.52008年12月31日修改部分文字表述根據(jù)2008.11.31日C3組會議討論意見修改接口組V0.5RSSP-鐵路信號安全通信協(xié)

2、議第107頁2. 目錄1.修訂歷史I2.目錄I3.簡介13.1目的及范圍13.2參考文獻13.3術(shù)語和定義23.4縮略語24.參考結(jié)構(gòu)44.1綜述44.2鐵路信號安全設(shè)備間安全通信接口44.3各層功能64.3.1安全功能模塊（SFM）64.3.2通信功能模塊（CFM）74.4傳輸系統(tǒng)的分類74.5假設(shè)75.安全功能模塊95.1簡介95.2安全功能模塊的功能95.3消息鑒定安全層（MASL）115.4安全應(yīng)用中間子層（SAI）125.4.1概述125.4.2到SAI層服務(wù)接口145.4.3到MASL層服務(wù)接口155.4.4消息結(jié)構(gòu)155.4.5SAI協(xié)議175.4.6消息類型域215.4.7序列

3、號防御技術(shù)215.4.8TTS245.4.9EC防御技術(shù)375.4.10錯誤處理455.5數(shù)據(jù)配置及規(guī)則465.5.1簡介465.5.2連接初始化規(guī)則465.5.3TTS參數(shù)定義475.5.4EC參數(shù)定義495.5.5錯誤處理指導505.6TTS示例516.通信功能模塊536.1一般規(guī)則536.2概述536.2.1一般描述536.3功能特性546.3.1TCP與傳輸2類服務(wù)和協(xié)議的對應(yīng)關(guān)系546.3.2服務(wù)類別556.3.3A類服務(wù)請求566.3.4D類服務(wù)請求566.3.5TS用戶與TCP間的關(guān)系576.3.6傳輸優(yōu)先級586.4使用適配層實體進行傳輸層模擬586.4.1概述586.4.2接

4、口服務(wù)定義596.4.3X.214原語對TCP的映射626.4.4尋址646.4.5適配層數(shù)據(jù)包格式646.5接口協(xié)議定義666.5.1運用TCP/IP提供ISO傳輸2類協(xié)議666.5.2ALE操作716.5.3數(shù)據(jù)傳輸776.5.4連接釋放796.6不同服務(wù)類別的實施和冗余管理836.6.1A類服務(wù)836.6.2D類服務(wù)886.6.3ALEPKT概述906.7適配層管理ALEPKT錯誤處理916.8底層協(xié)議棧936.8.1簡介936.8.2TCP參數(shù)協(xié)商（強制性）936.8.3網(wǎng)絡(luò)服務(wù)定義946.8.4網(wǎng)絡(luò)協(xié)議946.9適配層配置與管理946.9.1總則946.9.2定時器參數(shù)946.9.3

5、呼叫與ID管理（適配層和TCP）947.資料性附錄957.1TCP參數(shù)協(xié)商957.1.1TCP服務(wù)選項957.2地址映射967.3數(shù)據(jù)鏈路層987.3.1以太網(wǎng)987.3.2介質(zhì)訪問控制987.3.3廣域連接987.4密鑰管理987.4.1范圍987.4.2密鑰管理概念和原理997.4.3KMS的各個階段和參與方997.4.4一般原則1007.4.5密鑰層級1017.4.6密鑰分配1027.4.7基本的KM功能1027.4.8縮略語與定義1047.5校驗和結(jié)果實例1063. 簡介3.1 目的及范圍3.1.1.1.1本文件規(guī)定了信號安全設(shè)備之間通過封閉式網(wǎng)絡(luò)或開放式網(wǎng)絡(luò)進行安全相關(guān)信息交互的功能

6、結(jié)構(gòu)和協(xié)議。3.1.1.1.2本規(guī)范適用于鐵路信號安全設(shè)備之間的安全通信接口。3.2 參考文獻1EN 50159-1Railway applications Communication, signalling and Processing systems Part 1: Safety-related communication in closed transmission systems鐵道應(yīng)用：封閉式傳輸系統(tǒng)中安全通信要求2EN 50159-2Railway applications Communication, signalling and Processing systems Part

7、2: Safety-related communication in open transmission systems鐵道應(yīng)用：封閉式傳輸系統(tǒng)中安全通信要求3科技運2008 127號CTCS-3級列控系統(tǒng)系統(tǒng)需求規(guī)范（SRS）4科技運2008 34號CTCS-3級列控系統(tǒng)總體技術(shù)方案5CTCS-3級列控系統(tǒng)無線通信接口規(guī)范6ERTMS/ETCS Subset-038離線密鑰管理FIS，v2.1.117ERTMS/ETCS Subset-039RBC/RBC移交FIS，v2.1.28ERTMS/ETCS Subset-108ETCS/ERTMS 1級，TSI附錄A，v1.1.09ITU-T X

8、.214信息技術(shù)，開放系統(tǒng)互聯(lián)，傳送服務(wù)定義10ITU-T X.224信息技術(shù)，開放系統(tǒng)互聯(lián)，提供OSI連接模式的傳送協(xié)議11RFC0791網(wǎng)絡(luò)協(xié)議V412RFC2460網(wǎng)絡(luò)協(xié)議V613RFC0793傳輸控制協(xié)議V414ISO/IEC 3309信息技術(shù)系統(tǒng)間的通信和信息交換高級數(shù)據(jù)鏈路控制程序（HDLC）框架結(jié)構(gòu)3.3 術(shù)語和定義本文件中使用了標準EN 50159-1和EN 50159-2的定義，并附加使用了以下術(shù)語。應(yīng)用處理：描述通信關(guān)系的應(yīng)用層實體。執(zhí)行周期：處理周期以及與其相關(guān)的遞增計數(shù)（基于計算機的恒定處理周期）。密鑰管理規(guī)范的縮略語和定義包含在本規(guī)范的資料性附錄中。3.4 縮略語縮略

9、語含義ALE適配及冗余管理層實體ALEPKTALE數(shù)據(jù)包，ALE之間交換的PDUApPDU應(yīng)用PDUCFM通信功能模塊EC執(zhí)行周期IP網(wǎng)際協(xié)議MASL消息鑒定安全層PDU協(xié)議數(shù)據(jù)單元QoS服務(wù)質(zhì)量SaCEPID安全連接端點識別符SAI安全應(yīng)用中間子層SAP服務(wù)接入點SaPDU安全協(xié)議數(shù)據(jù)單元SaS安全服務(wù)SFM安全功能模塊SL安全層SN序列號TCEPID傳輸連接端點識別符TCP傳輸控制協(xié)議TPDU傳輸協(xié)議數(shù)據(jù)單元TS傳輸服務(wù)TSAP傳輸服務(wù)接入點TTS三重時間戳4. 參考結(jié)構(gòu)4.1 綜述4.1.1.1.1封閉式網(wǎng)絡(luò)在EN50159-1中定義為：“可連接設(shè)備的最大數(shù)量和拓撲結(jié)構(gòu)已知的，傳輸系統(tǒng)的

10、物理特征是固定的傳輸系統(tǒng)，并可以忽略未授權(quán)訪問的風險?！?.1.1.1.2開放式網(wǎng)絡(luò)在EN50159-2中定義為：“連接設(shè)備數(shù)量未知的傳輸系統(tǒng)，它擁有未知的、可變的且非置信的特征，用于未知的通信服務(wù)，對此系統(tǒng)應(yīng)評估未經(jīng)授權(quán)的訪問?！?.1.1.1.3這兩種網(wǎng)絡(luò)類型都應(yīng)被考慮。4.1.1.1.4安全通信系統(tǒng)間的總體結(jié)構(gòu)（根據(jù)EN50159-2）如圖1所示。圖1：安全通信系統(tǒng)的總體結(jié)構(gòu)4.2 鐵路信號安全設(shè)備間安全通信接口4.2.1.1.1本節(jié)描述安全通信系統(tǒng)的功能結(jié)構(gòu)，對內(nèi)層實現(xiàn)不作限制。不應(yīng)將其理解為對軟件實現(xiàn)的要求。4.2.1.1.2鐵路信號安全設(shè)備之間安全通信接口采用分層結(jié)構(gòu)。該接口規(guī)范所

11、包含的各層如圖2中陰影部分所示。圖2：安全通信系統(tǒng)的結(jié)構(gòu)4.2.1.1.3安全信息傳輸?shù)膽?yīng)用協(xié)議見各安全設(shè)備間應(yīng)用層協(xié)議，不屬于本規(guī)范范圍。4.2.1.1.4經(jīng)由非安全低層傳輸?shù)陌踩嚓P(guān)信息需要在安全層中進行處理。消息鑒定安全層（MASL）參照文獻5制定，在MASL層的基礎(chǔ)上增加安全應(yīng)用中間子層（SAI）。4.2.1.1.5適配及冗余管理層（ALE）提供MASL層和傳輸層之間的適配和冗余處理。4.2.1.1.6傳輸層協(xié)議參見TCPRFC0793。重發(fā)功能由TCP的常規(guī)機制來提供。4.2.1.1.7網(wǎng)絡(luò)層協(xié)議參見IPRFC0791。4.2.1.1.8本規(guī)范不對數(shù)據(jù)鏈路層作規(guī)定。4.2.1.1.9

12、本規(guī)范不對物理層作規(guī)定。4.2.1.1.10操作和維護（O&M）屬于具體實施的范疇，本規(guī)范不作規(guī)定。4.3 各層功能4.3.1 安全功能模塊（SFM）4.3.1.1.1本模塊提供的安全層必須能夠?qū)N 50159-1和EN 50159-2中列出的威脅進行檢測并提供充分的防護。4.3.1.1.2安全層實現(xiàn)以下安全相關(guān)的傳輸功能。Ø 消息的真實性（源地址和目的地址）；Ø 消息的序列完整性；Ø 消息的時效性；Ø 消息的完整性；Ø 安全錯誤報告；Ø 配置管理（安全設(shè)備間的安全通信協(xié)議棧）；Ø 訪問保護。4.3.1.1.3MA

13、SL層提供以下功能：Ø 消息的真實性（源地址和目的地址）；Ø 消息的完整性；Ø 訪問保護。4.3.1.1.4SAI層提供所需的其他安全相關(guān)的傳輸功能。4.3.1.1.5序列錯誤防護通過在用戶數(shù)據(jù)中增加序列號實現(xiàn)。4.3.1.1.6消息時效性防護通過在用戶數(shù)據(jù)中增加TTS或者EC計數(shù)實現(xiàn)。4.3.1.1.7EC和TTS對消息時延具有相同的防護等級。4.3.1.1.8TTS和EC計數(shù)僅允許一項有效，具體實施中由通信雙方協(xié)商決定。4.3.2 通信功能模塊（CFM）4.3.2.1.1通信功能模塊提供非置信的傳輸。4.3.2.1.2此模塊提供以下功能：Ø MASL

14、層和傳輸層之間的適配；Ø 冗余功能，以滿足系統(tǒng)可用性需求；Ø 數(shù)據(jù)的可靠、透明和雙向傳輸；Ø 必要時協(xié)議數(shù)據(jù)單元的重傳；Ø 通道可用性監(jiān)測。4.4 傳輸系統(tǒng)的分類4.4.1.1.1為了使本規(guī)范具有通用性，不對開放式傳輸系統(tǒng)類別作限定。本規(guī)范參考具有最高安全風險級別的開放式傳輸系統(tǒng)類別7參見EN 50159-2來制定。4.5 假設(shè)4.5.1.1.1設(shè)定條件如下：Ø 對文獻5中規(guī)定的“高優(yōu)先級”消息不作要求；Ø 目前對多路復(fù)用技術(shù)不作要求，但是該項功能可以通過在每個邏輯連接中使用一條TCP鏈路來實現(xiàn)；Ø 非顯式流量控制；

15、6; SFM檢測出的安全相關(guān)錯誤可能在SAI層之外進行處理；Ø 用戶數(shù)據(jù)長度不超過1000 字節(jié)。5. 安全功能模塊5.1 簡介5.1.1.1.1本節(jié)規(guī)定安全功能模塊（SFM）。5.1.1.1.2本節(jié)僅描述相關(guān)的功能接口，以確保在安全功能模塊層面的互聯(lián)。5.1.1.1.3安全功能模塊的組成：Ø MASL層；Ø SAI層。5.1.1.1.4通過這兩層結(jié)合將對EN 50159-2文件中所定義的威脅提供全面的防護。5.2 安全功能模塊的功能5.2.1.1.1安全功能模塊提供同開放式傳輸系統(tǒng)類別7相適應(yīng)的安全服務(wù)。5.2.1.1.2本節(jié)規(guī)定了在安全功能模塊中防護技術(shù)的具體

16、實現(xiàn)。5.2.1.1.3根據(jù)EN 50159-2標準，對于一般的傳輸系統(tǒng)而言，所有可能的威脅如下（參見EN 50159-2的定義）：Ø 重復(fù)；Ø 刪除；Ø 插入；Ø 重排序；Ø 損壞；Ø 延遲；Ø 偽裝。5.2.1.1.4為了減少標準中定義的威脅風險，安全功能模塊應(yīng)提供以下的安全服務(wù)（參見EN 50159-2的定義）：Ø 消息的真實性；Ø 消息的完整性；Ø 消息的時效性；Ø 消息的有序性。5.2.1.1.5MASL層和SAI層的結(jié)合為開放式傳輸系統(tǒng)提供了一種安全保護措施。5.2.1.1

17、.6MASL層可以預(yù)防以下威脅：Ø 損壞；Ø 偽裝；Ø 插入。5.2.1.1.7通過添加安全碼（消息驗證碼MAC）和連接標識符（源和目的地標識符）提供防護。5.2.1.1.8SAI層可以預(yù)防以下威脅：Ø 延遲；Ø 重排序；Ø 刪除；Ø 重復(fù)。5.2.1.1.9通過添加延遲防御技術(shù)（EC或TTS）和序列號（SN）提供保護。5.2.1.1.10安全功能模塊提供的保護如表1所示。表1：安全功能模塊的防御技術(shù)威脅防御序列號SNTTS或EC超時反饋信息源和目的地標識符消息識別過程安全碼加密技術(shù)重復(fù)X刪除X插入X重排序X損壞X延遲X偽裝

18、X5.3 消息鑒定安全層（MASL）5.3.1.1.1MASL層由文獻5規(guī)定。5.3.1.1.2MASL層參照文獻5，但是不使用其中的高優(yōu)先級數(shù)據(jù)業(yè)務(wù)。所有的數(shù)據(jù)傳輸均應(yīng)使用正常的數(shù)據(jù)業(yè)務(wù)來進行。5.3.1.1.3表2規(guī)定SAI-MASL接口的SaS原語參數(shù)的使用。表2：SaS原語參數(shù)參數(shù)文獻5SFM的使用說明地址類型5.2.如果需要的話，可以使用網(wǎng)絡(luò)地址5.2.如果使用，可用于識別被叫方的32位目的IP地址和16位目的TCP端口號移動網(wǎng)絡(luò)ID5.2.不使用主叫CTCS ID 類型5.2.主叫安全設(shè)備CTCS ID類型主叫CTCS ID5.2.用于初始化連接的主叫CTCS ID 被叫CTCS

19、ID類型5.2.被叫安全設(shè)備CTCS ID類型被叫CTCS ID5.2.用于接受連接請求的被叫CTCS ID 應(yīng)用類型5.2.參見文獻5中定義的應(yīng)用類型服務(wù)質(zhì)量類型5.2.QoS域用于表示建立連接的服務(wù)類型。服務(wù)類型A和服務(wù)類型D可供使用SaCEPID5.2.由本地提供用來辨識各個安全連接的參數(shù)5.3.1.1.4由本地實現(xiàn)SAI層和MASL層之間的接口。5.3.1.1.5表3規(guī)定了安全信號設(shè)備間安全通信接口中MASL層的配置：表3：MASL層的配置參數(shù)文獻5SFM值說明SaS用戶數(shù)據(jù)的最大長度5.3.1000字節(jié)Testab7.2.5.3最大應(yīng)用值：40秒推薦值為40秒，對于安全信號設(shè)備間的通

20、信可能采用更低值5.4 安全應(yīng)用中間子層（SAI）5.4.1 概述5.4.1.1.1安全應(yīng)用中間子層提供：通過序列號和TTS/EC計數(shù)對數(shù)據(jù)進行保護；Ø 到應(yīng)用層接口；Ø 到MASL層接口。5.4.1.1.2通過給用戶數(shù)據(jù)添加一個序列號域，防止數(shù)據(jù)的重復(fù)、刪除和重排序。5.4.1.1.3通過給用戶數(shù)據(jù)添加TTS或EC計數(shù)防止數(shù)據(jù)延遲。5.4.1.1.4時間戳的防御技術(shù)基于發(fā)送方和接收方之間時鐘偏移的計算。5.4.1.1.5為了發(fā)送方和接收方依據(jù)執(zhí)行初始化程序?qū)r鐘偏移進行估算，需要在SAI幀頭中定義初始化過程的消息類型。5.4.1.1.6對于由發(fā)送方發(fā)送給接收方的消息，通過

21、添加以下字段構(gòu)成TTS：Ø 數(shù)據(jù)傳輸時的發(fā)送方時間戳；Ø 發(fā)送方接收的上一條消息中的接收方時間戳；Ø 發(fā)送方接收上一條消息時的發(fā)送方時間戳。5.4.1.1.7TTS信息如圖3所示。圖3：時間戳信息5.4.1.1.8當不使用TTS的方法時，選擇EC防御技術(shù)。EC防御技術(shù)通過在用戶數(shù)據(jù)上添加EC計數(shù)來檢查消息的壽命。5.4.1.1.9EC防御技術(shù)也要求有一個初始化過程。在此過程中，每一個通信實體的EC值被發(fā)送給對等實體。5.4.1.1.10EC和TTS的防御技術(shù)是相互排斥的。5.4.2 到SAI層服務(wù)接口5.4.2.1.1 SFM通過安全服務(wù)接入點上的安全服務(wù)原語及其

22、相應(yīng)的參數(shù)，提供安全服務(wù)。5.4.2.1.2 SAI層僅提供功能規(guī)范，而原語的實施由本地提供，不會影響安全設(shè)備的互通。5.4.2.1.3SAI層連接建立服務(wù)：Ø SAI-CONNECT.request：用戶要求SAI建立連接；Ø SAI-CONNECT.indication：被叫SAI實體收到連接請求后通知被叫SAI用戶；Ø SAI-CONNECT.response：應(yīng)答SAI用戶用來接受到SAI實體的連接；Ø SAI-CONNECT.confirm：主叫SAI實體獲得被叫對等實體的響應(yīng)后向主叫SAI用戶報告SAI連接成功建立。5.4.2.1.4SAI數(shù)

23、據(jù)傳輸服務(wù)：Ø SAI-DATA.request：SAI用戶用來向?qū)Φ葘嶓w傳輸應(yīng)用數(shù)據(jù)；Ø SAI-DATA.indication：向SAI用戶表示來自對等實體數(shù)據(jù)已成功接收。5.4.2.1.5SAI連接釋放服務(wù)：Ø SAI-DISCONNECT.request：SAI用戶強制釋放SAI連接；Ø SAI-DISCONNECT.indication：用來通知SAI用戶SAI連接釋放。5.4.3 到MASL層服務(wù)接口5.4.3.1 SAI層實現(xiàn)的功能在MASL層之上。5.4.3.2 MASL層的應(yīng)用約束了SAI層的設(shè)計，因此為了能適配MASL層，SAI層應(yīng)能

24、夠與文獻5中規(guī)定的“安全服務(wù)接口”適配。5.4.4 消息結(jié)構(gòu)5.4.4.1.1消息結(jié)構(gòu)如圖4所示。圖4：消息結(jié)構(gòu)5.4.4.1.2消息類型決定SAI幀頭結(jié)構(gòu)。5.4.4.1.3應(yīng)考慮到兩種不同情況：Ø SAI幀頭適用于安全數(shù)據(jù)的傳輸（參見文獻5）；Ø 僅MASL層用于安全連接管理。5.4.4.1.4就安全數(shù)據(jù)傳輸而言，由SAI層添加的幀頭結(jié)構(gòu)如圖5/圖6所示。圖5：使用TTS時的SAI幀頭結(jié)構(gòu)圖6：使用EC時的SAI幀頭結(jié)構(gòu)5.4.4.1.5SAI層的所有域均使用Big Endian方式編碼。5.4.4.1.6“消息類型”域用于識別消息類型，使用一個字節(jié)進行編碼。5.4.4

25、.1.7“序列號”域用于定義消息順序號，使用兩字節(jié)編碼。5.4.4.1.8如果使用了TTS，“發(fā)送方時間戳”域應(yīng)填寫消息傳送至本地MASL層實體時的發(fā)送方時間戳。發(fā)送方時間戳使用四個字節(jié)編碼。5.4.4.1.9如果使用了TTS，“上一次接收方時間戳”域應(yīng)填寫由“接收方”產(chǎn)生，從接收方傳輸給發(fā)送方的最后一個消息的時間戳，OffsetStart信息除外（見§5.4.8.4）。本時間戳使用四個字節(jié)編碼。5.4.4.1.10如果使用了TTS， “上一次的消息接收時間戳”域應(yīng)填寫由本地MASL層實體上傳上一條消息時的本地時間戳，OffsetStart信息除外（參見§5.4.8.4）。

26、本時間戳使用四個字節(jié)編碼。5.4.4.1.11只有使用EC防御技術(shù)時，才使用“EC計數(shù)”域，并出現(xiàn)在幀頭中。5.4.4.1.12EC計數(shù)使用四字節(jié)編碼。5.4.4.1.13EC防御技術(shù)和TTS防御技術(shù)互相排斥，若使用EC防御技術(shù)，則與TTS防御技術(shù)相關(guān)的域?qū)⒉槐粰z查，此時“TTS”域所有字段的值應(yīng)被設(shè)為0。5.4.5 SAI協(xié)議5.4.5.1 連接過程5.4.5.1.1兩個設(shè)備之間的連接過程如圖7所示。圖7：SAI 連接過程5.4.5.1.2SAI服務(wù)原語應(yīng)被映射到SA服務(wù)原語上，以用于連接建立。5.4.5.2 斷開連接過程5.4.5.2.1兩個設(shè)備之間的連接斷開過程如圖8所示。圖8：斷開連接

27、過程5.4.5.2.2SAI服務(wù)原語應(yīng)被映射到SA服務(wù)原語上，以用于連接斷開。5.4.5.3 應(yīng)用數(shù)據(jù)交互過程5.4.5.3.1以下過程用來描述如何傳輸應(yīng)用數(shù)據(jù)消息。5.4.5.3.2通過使用SAI-DATA.request，應(yīng)用層應(yīng)能夠?qū)?shù)據(jù)發(fā)送至對等實體（見文獻5）。5.4.5.3.3通過使用SAI-DATA.request，SAI層應(yīng)能夠識別所連接的SaCEPID。5.4.5.3.4在SAI幀頭中，SAI層應(yīng)在應(yīng)用數(shù)據(jù)上增加：Ø 應(yīng)用數(shù)據(jù)交互的消息類型；Ø 序列號；Ø TTS域。如果使用EC防御技術(shù)，則TTS設(shè)為“0”；Ø EC計數(shù)及其版本（僅在使

28、用EC防御技術(shù)時）。5.4.5.3.5SAI層通過使用Sa-DATA.request原語，將其處理完的數(shù)據(jù)傳送至MASL。Sa用戶數(shù)據(jù)參數(shù)由消息類型，序列號，TTS域和EC域連接組成。只有使用EC防御技術(shù)時，EC域才會出現(xiàn)。5.4.5.3.6以下過程用來描述如何接收應(yīng)用數(shù)據(jù)消息。5.4.5.3.7MASL層可以使用Sa-DATA.indication將數(shù)據(jù)傳送至SAI層處理，并由SAI層傳送到應(yīng)用層。5.4.5.3.8Sa-DATA.indication應(yīng)提供SaCEPID。5.4.5.3.9Sa用戶數(shù)據(jù)參數(shù)由下列部分組成：Ø 應(yīng)用數(shù)據(jù)的消息類型；Ø 序列號；Ø

29、TTS域。如果使用EC防御技術(shù)，則時間戳設(shè)為“0”；Ø EC計數(shù)（僅在使用EC防御技術(shù)時）。5.4.5.3.10“消息類型”應(yīng)屬于為應(yīng)用數(shù)據(jù)交互而定義的消息類型之一。5.4.5.3.11SAI應(yīng)在EC計數(shù)或TTS檢查前對序列號進行檢查。5.4.5.3.12如果使用EC防御技術(shù)，則無須檢查TTS域，而只須檢查EC域。5.4.5.3.13如果使用TTS防御技術(shù)，則必須檢查TTS域。5.4.5.3.14 若以上所有檢查均成功執(zhí)行，則應(yīng)使用SAI-DATA.indication將應(yīng)用數(shù)據(jù)和SaCEPID傳送至應(yīng)用層。5.4.5.3.15應(yīng)用數(shù)據(jù)交互如圖9所示。圖9：應(yīng)用數(shù)據(jù)交互過程5.4.5

30、.4 SAI管理消息5.4.5.4.1SAI執(zhí)行某些特定程序，通過TTS或EC計數(shù)確保對消息的防護（見第5.4.8.5節(jié)，5.4.8.7節(jié)，5.4.9.3節(jié)和5.4.9.6節(jié)）。在執(zhí)行此類程序期間，雙方SAI層之間應(yīng)交互SAI管理消息。5.4.5.4.2SAI管理消息通過消息類型域的特定值或無任何應(yīng)用數(shù)據(jù)的消息進行識別。5.4.5.4.3SAI管理信息應(yīng)通過Sa-DATA.request和Sa-DATA.indication原語在SAI層之間進行交換。5.4.5.4.4SN，TTS和EC域應(yīng)采用和應(yīng)用數(shù)據(jù)交互過程相同的處理方式。5.4.5.4.5在消息傳輸中，根據(jù)管理消息的類型選擇消息類型域值

31、。用戶數(shù)據(jù)是來自應(yīng)用層還是由SAI自行計算，這取決于管理消息的類型。如果沒有任何應(yīng)用數(shù)據(jù)被傳送至對等應(yīng)用層，則SAI層會為管理消息選擇適當?shù)腟aCEPID。5.4.5.4.6SAI應(yīng)根據(jù)接收的管理消息類型，決定用戶數(shù)據(jù)是由SAI自行處理，或?qū)aCEPID和應(yīng)用數(shù)據(jù)一起傳送至應(yīng)用層。5.4.6 消息類型域5.4.6.1.1共定義10種消息類型，其中，TTS防御技術(shù)中使用的消息類型有6種，EC防御技術(shù)中使用的消息類型有4種。5.4.6.1.2TTS防御技術(shù)中使用的消息類型如下所示：OffsetStart消息（用于時鐘偏移估算的第1個消息）：1OffsetAnsw1消息（用于時鐘偏移估算的第2個消

32、息）：2OffsetAnsw2消息（用于時鐘偏移估算的第3個消息）：3OffsetEst消息（用于時鐘偏移估算的第4個消息）：4OffsetEnd消息（用于時鐘偏移估算的第5個消息）：5使用TTS保護的應(yīng)用消息： 65.4.6.1.3EC防御技術(shù)中使用的消息類型如下所示（十六進制）：EC起始消息： 81使用EC保護的應(yīng)用消息：86使用EC保護并請求應(yīng)答的應(yīng)用消息：87使用EC保護并含有應(yīng)答確認的應(yīng)用消息：885.4.7 序列號防御技術(shù)5.4.7.1.1序列號以2字節(jié)進行編碼（Big Endian）。5.4.7.1.2序列號值從0到65535。5.4.7.1.3每一個通信方向上的序列號應(yīng)該是獨立

33、的。5.4.7.1.4對序列號不作初始化要求。對于從對等實體處接收到的第一個序列號，接收方不做檢查。5.4.7.1.5接收方無須檢查接收到的第一條消息的序列號，只需對后續(xù)的消息檢查其序列號與上一個序列號之間的差異。5.4.7.1.6如果序列號值未達到最大值，則在此傳輸方向上的下一條消息序列號加1。5.4.7.1.7一旦序列號值達到最大值，則下一條傳輸消息的序列號設(shè)為“0”。5.4.7.1.8兩個設(shè)備間的消息編號如圖10所示。圖10：消息編號5.4.7.1 序列號錯誤5.4.7.2.1序列號可檢測到下列錯誤：Ø 消息重復(fù)；Ø 消息刪除；Ø 消息重排序。5.4.7.2

34、.2一旦檢測到錯誤，SAI不能采取任何措施恢復(fù)丟失的數(shù)據(jù)。5.4.7.2.3為消息序列檢查而定義參數(shù)N。N-1是代表允許丟失消息的數(shù)量。需要配置N值，N值等于或大于1。5.4.7.2.4如果接收到的SN不等于上次接收消息的SN1，則被認為是消息序列錯誤。5.4.7.2.5如果接收到的SN大于上次接收消息的SNN，則應(yīng)丟棄此消息，并釋放安全連接。5.4.7.2.6如果接收到的SN大于上次接收消息的SN1，并小于或等于SNN，則不應(yīng)丟棄此消息中的應(yīng)用數(shù)據(jù)，并根據(jù)規(guī)定的錯誤處理方式（見第5.4.10.1.2節(jié)）來處理這一事件。5.4.7.2.7如果接收到的SN小于或等于上次接收消息的SN，則應(yīng)丟棄此

35、消息。5.4.7.2.8需要根據(jù)SAI錯誤處理程序（見第5.4.10節(jié)）對序列號錯誤作出相應(yīng)反應(yīng)。5.4.7.2.9圖11說明當發(fā)生重復(fù)消息，刪除消息或重排序消息時，SN防御技術(shù)所采取的行為。假定N3，則允許丟失消息的數(shù)量為0，1或2。圖11：序列錯誤5.4.8 TTS5.4.8.1 簡介5.4.8.1.1時間戳處理過程基于發(fā)送方和接收方之間的時鐘偏移估算。通信雙方應(yīng)在建立安全連接后和交換應(yīng)用數(shù)據(jù)前，初始化時鐘偏移估算。5.4.8.1.2兩個設(shè)備之間的時鐘偏移估算值一旦確定，就能夠以一種安全的方式估算應(yīng)用數(shù)據(jù)的時間有效性，而無須對遠程設(shè)備當前周期和（或）網(wǎng)絡(luò)特性作任何設(shè)定。5.4.8.1.3時

36、間戳調(diào)整過程（即時鐘偏移更新過程）由兩個設(shè)備之間5條消息的交換組成。通過該過程，每個設(shè)備都能估算它的內(nèi)部時鐘和對等設(shè)備內(nèi)部時鐘之間的時鐘偏移。5.4.8.1.4所有應(yīng)用消息都要標記TTS。5.4.8.1.5第2和第3個時間戳僅用于計算和更新時鐘偏移估算值。第1個時間戳不僅用于估算和更新時鐘偏移，也用于計算應(yīng)用數(shù)據(jù)的時間有效性。5.4.8.1.6接收到消息后，接收方利用時鐘偏移估算值，將發(fā)送方所傳送的時間戳調(diào)整為接收方時鐘，然后再計算應(yīng)用數(shù)據(jù)的時間有效性。5.4.8.1.7發(fā)送方所發(fā)送的時間戳消息中的“過零點”，由接收方處理。5.4.8.1.8要定期使用時鐘偏移更新程序，對兩個系統(tǒng)之間的時鐘偏移

37、估算值進行更新。5.4.8.2 TTS格式5.4.8.2.1時間戳以32位Big Endian進行編碼。5.4.8.2.2TTS最低有效位的時間值等于10 ms。5.4.8.3 時鐘偏移估算原理5.4.8.3.1時鐘偏移估算值一旦確定，一個設(shè)備就能夠?qū)ζ浔旧砼c對等設(shè)備之間所交換消息的時間有效性進行估算。5.4.8.3.2在安全連接初始化時進行時鐘偏移估算。時鐘偏移更新程序應(yīng)在第一條應(yīng)用消息交互前執(zhí)行。5.4.8.3.3由發(fā)起安全連接的設(shè)備啟動時鐘偏移更新程序。5.4.8.3.4通過兩個實體之間5個消息的交換來估算時鐘偏移。發(fā)起時鐘偏移更新程序的實體被稱為“發(fā)起方”，而另一個實體被稱為“應(yīng)答方”

38、。5.4.8.3.5發(fā)起方使用前2個消息來計算兩個設(shè)備之間的最大和最小時鐘偏移。5.4.8.3.6應(yīng)答方使用第2和第3個消息來計算兩個設(shè)備之間的最大和最小時鐘偏移。5.4.8.3.7第4和第5個消息用來驗證時鐘偏移估算值的有效性。5.4.8.4 時鐘偏移更新消息5.4.8.4.1OffsetStart消息結(jié)構(gòu)如圖12所示。圖12：OffsetStart消息5.4.8.4.2OffsetStart消息分為不同的域，分別是：消息類型：1（十六進制值）；序列號；發(fā)送方時間戳：此域定義了進行時鐘偏移估算的發(fā)起方時間戳；上一次接收方時間戳：此域給出了上一次應(yīng)答方傳送給發(fā)起方的時間戳。由于沒有之前應(yīng)答方給

39、出的時間戳，設(shè)為“0”；上一次收到消息時的時間戳：此域給出了上一次從應(yīng)答方處接收到消息時的時間值。由于沒有之前應(yīng)答方給出的應(yīng)用消息，此值設(shè)為“0”；發(fā)起方周期：此域給出了發(fā)起方向應(yīng)答方進行周期性傳送消息的傳送周期。如果消息不是周期性傳送，則將此值設(shè)為“0”。“發(fā)起方周期”使用的格式和時間分辨率與時間戳域相同。5.4.8.4.3OffsetAnsw1消息結(jié)構(gòu)如圖13所示。圖13：OffsetAnsw1消息5.4.8.4.4OffsetAnsw1消息分為不同的域，分別是：消息類型：2（十六進制值）；序列號；發(fā)送時間戳：此域定義了應(yīng)答方的時間戳；上一次接收方時間戳：此域給出了發(fā)起方上次傳送給應(yīng)答方的

40、發(fā)起方時間戳；上一次收到消息時的時間戳：此域給出了應(yīng)答方接收到時鐘偏移更新過程的第一個消息時的應(yīng)答方時間戳；應(yīng)答方周期：此域給出了應(yīng)答方向發(fā)起方進行周期性傳送消息的傳送周期。如果消息不是周期性傳送，則將此值設(shè)為“0”。 應(yīng)答方周期使用的格式和時間分辨率與時間戳域相同。5.4.8.4.5OffsetAnsw2消息結(jié)構(gòu)如圖14所示。圖14：OffsetAnsw2消息5.4.8.4.6OffsetAnsw2消息分為不同的域，分別是：消息類型：3（十六進制值）；序列號；發(fā)送方時間戳：此域定義了發(fā)起方的時間戳；上一次接收方時間戳：此域給出了應(yīng)答方上次傳送給發(fā)起方的時間戳；上一次收到消息時的時間戳：此域給

41、出了發(fā)起方上次從應(yīng)答方處接收消息時的時間戳（即OffsetAnsw1消息的接收時間）。5.4.8.4.7OffsetEst消息結(jié)構(gòu)如圖15所示。圖15：OffsetEst消息5.4.8.4.8OffsetEst消息分為不同的域，分別是：消息類型：4（十六進制值）；序列號；發(fā)送方時間戳：此域定義了應(yīng)答方的時間戳；上一次接收方時間戳：此域給出了發(fā)起方上次傳送給應(yīng)答方的發(fā)起方時間戳；上一次收到消息時的時間戳：此域給出了應(yīng)答方接收到的時鐘偏移更新過程的第3個消息時的時間戳；偏移標志：此域給出了應(yīng)答方所估算的最小偏移值的正負標志。采用Big Endian編碼。“0”則表示偏移為正值或空值，“1”表示偏移

42、為負值；應(yīng)答方估算的最小偏移值：此域給出了應(yīng)答方所計算的最小偏移值。使用的格式和時間分辨率與時間戳域相同；偏移標志：此域給出了應(yīng)答方所估算的最大偏移值的正負標志。采用Big Endian編碼?！?”則表示偏移為正值或空值，“1”表示偏移為負值；應(yīng)答方估算的最大偏移值：此域給出了應(yīng)答方所計算的最大偏移值。使用的格式和時間分辨率與時間戳域相同。5.4.8.4.9OffsetEnd消息結(jié)構(gòu)如圖16所示。圖16：OffsetEnd消息5.4.8.4.10OffsetEnd消息分為不同的域，分別是：消息類型：5（十六進制值）序列號：消息編號發(fā)送方時間戳：此域定義了應(yīng)答方的時間戳。上一次接收方時間戳：此域

43、給出了應(yīng)答方上次傳送給發(fā)起方的時間戳。上一次收到消息時的時間戳：此域給出了發(fā)起方上次從應(yīng)答方處接收到消息時的時間戳（即OffsetEst消息的接收時間）。檢查域：此域給出了對時鐘偏移值進行檢查的結(jié)果。經(jīng)過比較，如時鐘偏移值有效，則將檢查域值設(shè)為“1”，如果無效，則檢查域值設(shè)為“0”。5.4.8.5 時鐘偏移更新過程5.4.8.5.1時鐘偏移更新過程如圖17所示。圖例說明：-Tinit_start和Tres_start：初始化定時器。如果在收到Offset Answers消息前計時終止，則將釋放并重啟安全連接。-TinitX和TresX：發(fā)起方和應(yīng)答方的第X個時間戳。-Trescycl和Tini

44、tcycl：應(yīng)答方和發(fā)起方傳送消息的周期。如果非周期性發(fā)送，則此參數(shù)設(shè)為“0”。-Tres_offset_max和Tinit_offset_max：發(fā)起方和應(yīng)答方估算的最大偏移值。-Tres_offset_min和Tinit_offset_min：發(fā)起方和應(yīng)答方估算的最小偏移值。-Toff_max：時鐘偏移估算值之間的最大差異。-有效/無效：時鐘偏移檢查的結(jié)果。圖17：時鐘偏移更新過程5.4.8.5.2發(fā)起方通過發(fā)送OffsetStart消息啟動時鐘偏移更新程序。5.4.8.5.3發(fā)送OffsetStart 消息時，發(fā)起方啟動定時器Tinit_start。如果Tinit_start終止時，發(fā)起

45、方仍未接收到OffsetAnsw消息，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.4在接收到OffsetStart消息后，應(yīng)答方通過發(fā)送OffsetAnsw消息進行應(yīng)答。5.4.8.5.5發(fā)送OffsetAnsw消息時，應(yīng)答方啟動定時器Tres_start。如果Tres_start終止時，應(yīng)答方仍未接收到OffsetAnsw2消息，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.6如果發(fā)起方在Tinit_start終止前接收到OffsetAnsw消息，則發(fā)起方對其與應(yīng)答方之間的時鐘進行最大和最小偏移值的估算。5.4.8.5.7發(fā)起方向應(yīng)答

46、方發(fā)送OffsetAnsw2消息。發(fā)送OffsetAnsw2消息時，發(fā)起方啟動定時器Tinit_start。如果Tinit_start終止時，發(fā)起方仍未接收到OffsetEst消息，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.8如果應(yīng)答方在Tres_start終止前接收到OffsetAnsw2消息，則應(yīng)答方對其與發(fā)起方之間的時鐘進行最大和最小偏移值的估算。5.4.8.5.9應(yīng)答方向發(fā)起方發(fā)送OffsetEst消息。發(fā)送OffsetEst消息時，應(yīng)答方啟動定時器Tres_start。如果Tres_start終止時，應(yīng)答方仍未接收到OffsetEnd消息，則根據(jù)錯誤處

47、理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.10如果發(fā)起方在Tinit_start終止前接收到OffsetEst消息，則發(fā)起方對其與應(yīng)答方分別估算的最大和最小偏移值進行檢查。然后，發(fā)起方通過OffsetEnd消息將檢查結(jié)果發(fā)送給應(yīng)答方。如果檢查中發(fā)現(xiàn)錯誤，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.11在接收到OffsetEnd消息后，應(yīng)答方將對時鐘偏移估算的結(jié)果進行檢查。如果檢查中發(fā)現(xiàn)錯誤，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.12如果時鐘偏移估算值有效，并且消息為某一方向或雙向周期傳輸，則可以選擇啟動一個T

48、TS周期定時器。此定時器非安全相關(guān)，僅用于在早期階段檢測丟失的周期消息。5.4.8.5.13每接收到一個消息時應(yīng)復(fù)位該TTS周期定時器。如果定時器結(jié)束時仍未收到消息，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）進行處理。5.4.8.6 時間戳標記和檢查5.4.8.6.1應(yīng)用層之間傳送應(yīng)用數(shù)據(jù)的消息結(jié)構(gòu)如圖18所示。圖18：應(yīng)用數(shù)據(jù)消息5.4.8.6.2此消息分別包括以下數(shù)據(jù)域：Ø 消息類型：6（十六進制值）；Ø 序列號；Ø 發(fā)送時間戳：定義發(fā)送方的時間戳；Ø 上一次接收方時間戳：此域給出接收方上一次傳送給發(fā)送方的時間戳；Ø 上一次收到消息時的時間戳

49、：此域給出上一次從對等實體處接收到消息時的時間戳；Ø 用戶數(shù)據(jù)：用戶數(shù)據(jù)域。5.4.8.6.3時間戳原理包括：將發(fā)送方本身的時間戳列入發(fā)送時間戳域。將上一次從接收方處接收的時間戳列入上一次接收方時間戳域。將發(fā)送方上一次從接收方處接收消息時的時間戳列入上一次接收消息時的時間戳域。5.4.8.6.4發(fā)送方所發(fā)送的時間戳消息中的“過零點”，由接收方處理。5.4.8.6.5TTS的原理如圖19所示。圖19：TTS原理5.4.8.6.6如果時間戳過程中出錯，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.6.7時間戳更新程序完成后，時鐘偏移的最大值和最小值既已確定，并可用

50、于估算應(yīng)用數(shù)據(jù)消息的時間有效性。5.4.8.6.8發(fā)送方應(yīng)根據(jù)發(fā)送方時鐘、上次從對等實體處接收到的時間戳以及上次從對等實體處接收消息的時間戳，對發(fā)送消息進行時間戳標記。5.4.8.6.9接收方接收到應(yīng)用數(shù)據(jù)消息時，應(yīng)使用接收方估算的最小偏移值以及附加處理延遲的估計值，將消息的發(fā)送時間按接收方時鐘進行估算。計算表達式如下：Treceiver=Ttime_stamp_sender - Textra_delay + Trec_offset_min5.4.8.6.10消息的時間有效性根據(jù)接收方估算的消息發(fā)送時間與接收到消息時的時間之間的差值（Trec_current - Treceiver）進行判斷。

51、5.4.8.6.11如果根據(jù)此差值判斷傳輸數(shù)據(jù)的時間有效，則表示延遲是可以接受的。時間有效性由Tmax定義。Tmax為雙方協(xié)定的配置參數(shù)。如果消息的延遲不可接受，則拒絕該消息，并根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.6.12Tmax參數(shù)與對等實體發(fā)送數(shù)據(jù)的最大有效時間相一致。5.4.8.6.13通過Tmax的值，可以檢測到傳輸時間的增大，以及雙方設(shè)備之間的正向時鐘偏移。5.4.8.6.14差值結(jié)果（Trec_current - Treceiver）應(yīng)為正值。如果為負值，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.6.15時間有效性檢查過程

52、如圖20所示。圖例說明：Ttime_stamp_sender：發(fā)送方時間戳（TTS中發(fā)送方時間戳域）。Treceiver：根據(jù)接收方時鐘估算的應(yīng)用數(shù)據(jù)的傳輸時間。Textra_delay：發(fā)送方子系統(tǒng)處理應(yīng)用數(shù)據(jù)的附加延遲的總和。Trec_offset_min：接收方估算的最小偏移值。Tmax：最大有效時間。Trec_current：接收到消息時接收方的當前時間。Tinit：根據(jù)發(fā)起方時鐘，應(yīng)用數(shù)據(jù)的傳送時間。圖20：時間戳計算5.4.8.7 時鐘偏移更新5.4.8.7.1時鐘偏移應(yīng)根據(jù)設(shè)定的時間，定期進行更新。5.4.8.7.2時鐘偏移更新程序如圖21所示。圖21：時鐘偏移更新程序5.4.8

53、.7.3時鐘偏移更新消息的結(jié)構(gòu)與應(yīng)用數(shù)據(jù)消息（無用戶數(shù)據(jù)域）的結(jié)構(gòu)一致。5.4.8.7.4定時器Tinit_start用于監(jiān)督執(zhí)行時鐘偏移更新程序所需的時間。5.4.8.7.5如果執(zhí)行時鐘偏移更新程序所需時間大于Tinit_start值，則表示傳送延遲時間很長，不能有效更新時鐘偏移。5.4.8.7.6如果時鐘偏移更新失敗，則根據(jù)錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.7.7在接收到時鐘偏移更新的應(yīng)答后，發(fā)起方要檢查它是否是對偏移更新請求的應(yīng)答：該消息中的上一次接收方時間戳應(yīng)等于偏移更新請求消息中的發(fā)送方時間戳。5.4.9 EC防御技術(shù)5.4.9.1 總體概述5.4.9.

54、1.1根據(jù)EN 50159-2的要求，應(yīng)用數(shù)據(jù)消息要防護延遲威脅，EC的安全防御技術(shù)即可用于保護消息的時效性。5.4.9.1.2從對等實體接收到的每一條消息都含有幀頭，使用幀頭里的EC計數(shù)可以實現(xiàn)對延遲威脅的防護。5.4.9.1.3EC需要具有固定的周期值。5.4.9.1.4延遲威脅的檢測通過對接收到的消息中的EC計數(shù)值和本地計算的EC計數(shù)期望值進行比較實現(xiàn)。5.4.9.1.5安全防御技術(shù)保障了從上次傳輸消息開始指定的時間區(qū)域內(nèi)傳輸消息（如果應(yīng)用程序沒有要求的話，不包含應(yīng)用程序數(shù)據(jù)）的有效性，從而將消息傳輸轉(zhuǎn)換為偽周期模式。這樣就可以管理在安全連接另一端的超時數(shù)據(jù)接收。5.4.9.2 EC計數(shù)格式5.4.9.2.1EC計數(shù)使用32位Big Endian編碼方式。5.4.9.2.2EC計數(shù)的值從0到4294967295。5.4.9.2.3EC計數(shù)在通信各方向上是獨立的。5.4.9.2.4EC計數(shù)的無須初始化。發(fā)送方發(fā)送第一條消息中的任意EC值接收方都應(yīng)接受。5.4.9.2.5如果EC計數(shù)值未達到最大值，EC計數(shù)將每周期遞增1。5.4.