CTCS-3级列控系统标准规范
3.
3.1
3.1.1.1.1 3.1.1.1.2 3.2
3.3 RSSP-II5
简介
目的及范围
本文件规定了信号安全设备之间通过封闭式网络或开放式网络进行安全相关信息交互的功能结构和协议。
本规范适用于铁路信号安全设备之间的安全通信接口。
参考文献 3.2.1.1.1 名称 日期 描述 EN 50159-1 2001年03月 Railway applications – Communication, signalling and Processing systems – Part 1: Safety-related communication in closed transmission systems <铁道应用:封闭式传输系统中安全通信要求> EN 50159-2 2001年03月 Railway applications – Communication, signalling and Processing systems – Part 2: Safety-related communication in open transmission systems<铁道应用:封闭式传输系统中安全通信要求> Subset-026 2006年02月24日 ETCS/ERTMS 1级,v2.3.0 Subset-037 2005年10月14日 ERTMS\\ETCS-Class1, Subset 037,Euroradio FIS欧标规范子集037:欧洲无线功能接口规范,v2.3.0 Subset-038 2005年12月21日 离线密钥管理FIS,v2.1.11 Subset-039 2005年08月31日 RBC/RBC移交FIS,v2.1.2 Subset-108 2006年06月08日 ETCS/ERTMS 1级,TSI附录A,v1.1.0 ITU-T X.214 1993年11月 信息科技,开放系统互联,传送服务定义 ITU-T X.224 1993年11月 信息科技,开放系统互联,提供OSI连接模式的传送协议 RFC0791 1981年09月01日 网络协议v4 RFC2460 1998年12月 网络协议v6 RFC0793 1981年09月01日 传输控制协议v4 ISO/IEC 3309 1991年06月 信息技术——系统间的通信和信息交换——高级数据链路控制程序(HDLC)——框架结构 术语和定义
本文件中使用了标准EN 50159-1和EN 50159-2的定义,并附加使用了以下术语。 应用处理:描述通信关系的应用层实体。
执行周期:处理周期以及与其相关的递增计数(基于计算机的恒定处理周期)。 密钥管理规范的缩略语和定义包含在本规范的资料性附录中。
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ) 第6页
CTCS-3级列控系统标准规范
3.4
缩略语
缩略语 含义
RSSP-II5
ALE 适配及冗余管理层实体 ALEPKT ALE数据包,ALE之间交换的PDU ApPDU 应用PDU CFM 通信功能模块 EC 执行周期 IP 网际协议 MASL 消息鉴定安全层 PDU 协议数据单元 QoS 服务质量 SaCEPID 安全连接端点识别符 SAI 安全应用中间子层 SAP 服务接入点 SaPDU 安全协议数据单元 SaS 安全服务 SFM 安全功能模块 SL 安全层 SN 序列号 TCEPID 传输连接端点识别符 TCP 传输控制协议 TPDU 传输协议数据单元 TS 传输服务 TSAP 传输服务接入点 TTS 三重时间戳 规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ) 第7页
CTCS-3级列控系统标准规范
4.
4.1
4.1.1.1.1 4.1.1.1.2
4.1.1.1.3 4.1.1.1.4
4.2
4.2.1.1.1 4.2.1.1.2
RSSP-II5
参考结构
综述
封闭式网络在EN50159-1中定义为:“可连接设备的最大数量和拓扑结构已知的,传输系统的物理特征是固定的传输系统,并可以忽略未授权访问的风险。” 开放式网络在EN50159-2中定义为:―连接设备数量未知的传输系统,它拥有未知的、可变的且非置信的特征,用于未知的通信服务,对此系统应评估未经授权的访问。‖ 这两种网络类型都应被考虑。
安全通信系统间的总体结构(根据EN50159-2)如图1所示。
设备1 设备2 安全相关的设备 应用处理 应用信息 应用处理 安全相关的安全功能模块 PDU 安全功能模块 协议数据单元 通信功能模块 通信功能模块 通信设备 传输系统
图1:安全通信系统的总体结构
铁路信号安全设备间安全通信接口
本节描述了安全通信系统的功能结构,对内层实现不作限制。不应将其理解为对软件实现的要求。
铁路信号安全设备之间安全通信接口采用分层结构。该接口规范所包含的各层如图2中阴影部分所示。
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ) 第8页
CTCS-3级列控系统标准规范
应用层协议(端到端)应用层应用处理安全功能模块安全应用中间子层消息鉴定安全层操作和维护O&M安全应用中间子层协议(端到端)[Subset037](端到端)适配层协议传输层协议(TCP)网络层协议(IP)适配及冗余管理层传输层网络层数据链路层通信功能模块物理层传输系统图例:由本规范指定从标准规范中引用超出范围
图2:安全通信系统的结构
4.2.1.1.3 4.2.1.1.4 4.2.1.1.5 4.2.1.1.6 4.2.1.1.7 4.2.1.1.8 4.2.1.1.9 4.2.1.1.10 4.3 4.3.1 4.3.1.1.1 4.3.1.1.2
安全信息传输的应用协议见各安全设备间应用层协议,不属于本规范范围。
经由非安全低层传输的安全相关信息需要在安全层中进行处理。消息鉴定安全层(MASL)参照[Subset-037]制定,在MASL层的基础上增加安全应用中间子层(SAI)。 适配及冗余管理层(ALE)提供MASL层和传输层之间的适配和冗余处理。 传输层协议参见TCP[RFC0793]。重发功能由TCP的常规机制来提供。 网络层协议参见IP[RFC0791]。 本规范不对数据链路层作规定。 本规范不对物理层作规定。
操作和维护(O&M)属于具体实施的范畴,本规范不作规定。 各层功能
安全功能模块(SFM)
本模块提供的安全层必须能够对EN 50159-1和EN 50159-2中列出的威胁进行检测并提供充分的防护。
安全层实现以下安全相关的传输功能。 ? ? ? ? ?
消息的真实性(源地址和目的地址); 消息的序列完整性; 消息的时效性; 消息的完整性; 安全错误报告;
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ)
第9页
RSSP-II5
CTCS-3级列控系统标准规范
? ?
4.3.1.1.3
配置管理(安全设备间的安全通信协议栈); 访问保护。
MASL层提供以下功能: ? ? ?
消息的真实性(源地址和目的地址); 消息的完整性; 访问保护。
4.3.1.1.4 4.3.1.1.5 4.3.1.1.6 4.3.1.1.7 4.3.1.1.8 4.3.2
SAI层提供所需的其他安全相关的传输功能。 序列错误防护通过在用户数据中增加序列号实现。
消息时效性防护通过在用户数据中增加TTS或者EC计数实现。 EC和TTS对消息时延具有相同的防护等级。
TTS与EC计数仅允许一项有效,具体实施中由通信双方协商决定。
通信功能模块(CFM)
通信功能模块提供非置信的传输。 此模块提供以下功能: ? ? ? ? ?
MASL层和传输层之间的适配; 冗余功能,以满足系统可用性需求; 数据的可靠、透明和双向传输; 必要时协议数据单元的重传; 通道可用性监测。
4.3.2.1.1 4.3.2.1.2
4.4 4.4.1.1.1
传输系统的分类
为了使本规范具有通用性,不对开放式传输系统类别作限定。本规范参考具有最高安全风险级别的开放式传输系统类别7[参见EN 50159-2]来制定。
4.5 4.5.1.1.1
假设
设定条件如下: ? ? ? ? ?
对[Subset 037]中规定的“高优先级”消息不作要求;
目前对多路复用技术不作要求,但是该项功能可以通过在每个逻辑连接中使用一条TCP链路来实现; 非显式流量控制;
SFM检测出的安全相关错误可能在SAI层之外进行处理; 用户数据长度不超过1000 字节。
RSSP-II5
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ) 第10页