CTCS-3级列控系统标准规范
5.
5.1
5.1.1.1.1 5.1.1.1.2 5.1.1.1.3
5.1.1.1.4 5.2
5.2.1.1.1 5.2.1.1.2 5.2.1.1.3
5.2.1.1.4
5.2.1.1.5 5.2.1.1.6
5.2.1.1.7
RSSP-II5
安全功能模块
简介
本节规定安全功能模块(SFM)。
本节仅描述相关的功能接口,以确保在安全功能模块层面的互联。 安全功能模块的组成: ? MASL层; ?
SAI层。
通过这两层结合将对EN 50159-2文件中所定义的威胁提供全面的防护。 安全功能模块的功能
安全功能模块提供同开放式传输系统类别7相适应的安全服务。 本节规定了在安全功能模块中防护技术的具体实现。
根据EN 50159-2标准,对于一般的传输系统而言,所有可能的威胁如下(参见EN 50159-2的定义): ? 重复; ? 删除; ? 插入; ? 重排序; ? 损坏; ? 延迟; ?
伪装。
为了减少标准中定义的威胁风险,安全功能模块应提供以下的安全服务(参见EN 50159-2的定义): ? 消息的真实性; ? 消息的完整性; ? 消息的时效性; ?
消息的有序性。
MASL层和SAI层的结合为开放式传输系统提供了一种安全保护措施。 MASL层可以预防以下威胁: ? 损坏; ? 伪装; ?
插入。
通过添加安全码(消息验证码MAC)和连接标识符(源和目的地标识符)提供防护。
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ)
第11页
CTCS-3级列控系统标准规范
5.2.1.1.8
5.2.1.1.9 5.2.1.1.10
5.3
5.3.1.1.1 5.3.1.1.2 5.3.1.1.3
5.3.1.1.4
RSSP-II5
SAI层可以预防以下威胁: ? 延迟; ? 重排序; ? 删除; ?
重复。
通过添加延迟防御技术(EC或TTS)和序列号(SN)提供保护。 安全功能模块提供的保护如下表所示: 防御 威胁 序列号TTS或超反馈源和目的地消息识安全加密 SN EC 时 信息 标识符 别过程 码 技术 重复 X 删除 X 插入 X 重排序 X 损坏 X 延迟 X 伪装 X 表1:安全功能模块的防御技术
消息鉴定安全层(MASL) MASL层由[Subset-037]规定。
MASL层参照[Subset-037],但是不使用其中的高优先级数据业务。所有的数据传输均应
使用正常的数据业务来进行。
下表规定SAI-MASL接口的SaS原语参数的使用。 参数 Subset-037 SFM的使用 说明 地址类型 5.2. 如果需要的话,可以使用 网络地址 5.2. 如果使用,可用于识别被叫方的32 位目的IP地址和16位目的TCP端口号 移动网络ID 5.2. 不使用 主叫CTCS ID 5.2. 主叫安全设备CTCS ID类型 类型 主叫CTCS ID 5.2. 用于初始化连接的主叫CTCS ID 被叫CTCS ID5.2. 被叫安全设备CTCS ID类型 类型 被叫CTCS ID 5.2. 用于接受连接请求的被叫CTCS ID 应用类型 5.2. 参见Subset-037中定义的应用类型 服务质量类型 5.2. QoS域用于表示建立连接的服务类服务类型A和型。 服务类型D可供使用 SaCEPID 5.2. 由本地提供用来辨识各个安全连接的 参数 表2:SaS原语参数
由本地实现SAI层和MASL层之间的接口。
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ)
第12页
CTCS-3级列控系统标准规范
5.3.1.1.5
下表规定了安全信号设备间安全通信接口中MASL层的配置: 参数 SaS用户数据的最大长度 Testab Subset-037 5.3. 7.2.5.3 SFM值 1000字节 最大应用值:40秒 说明 推荐值为40秒,对于安全信号设备间的通信可能采用更低值 表3:MASL层的配置
5.4 5.4.1
安全应用中间子层(SAI)
概述
安全应用中间子层提供: ? ? ?
通过序列号和TTS/EC计数对数据进行保护; 到应用层接口; 到MASL层接口。
5.4.1.1.1
5.4.1.1.2 5.4.1.1.3 5.4.1.1.4 5.4.1.1.5 5.4.1.1.6
通过给用户数据添加一个序列号域,防止数据的重复、删除和重排序。 通过给用户数据添加TTS或EC计数防止数据延迟。 时间戳的防御技术基于发送方和接收方之间时钟偏移的计算。
为了发送方和接收方依据执行初始化程序对时钟偏移进行估算,需要在SAI帧头中定义初始化过程的消息类型。
对于由发送方发送给接收方的消息,通过添加以下字段构成TTS: ? ? ?
数据传输时的发送方时间戳;
发送方接收的上一条消息中的接收方时间戳; 发送方接收上一条消息时的发送方时间戳。
5.4.1.1.7 下图描述了TTS信息:
当前发送方:A 子系统时间 时间戳信息 发送方接收到的上一条消息 当前接收方:B 子系统时间 时间戳信息 发送方时间戳 上一条接收消息的发送方时间戳 上一消息接收方时间戳 图例: :安全通信接口处理
RSSP-II5
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ) 第13页
CTCS-3级列控系统标准规范
图3:时间戳信息
5.4.1.1.8 5.4.1.1.9 5.4.1.1.10 5.4.2 5.4.2.1.1 5.4.2.1.2 5.4.2.1.3
当不使用TTS的方法时,选择EC防御技术。EC防御技术通过在用户数据上添加EC计数来检查消息的寿命。
EC防御技术也要求有一个初始化过程。在此过程中,每一个通信实体的EC值被发送给对等实体。
EC和TTS的防御技术是相互排斥的。
到SAI层服务接口
SFM通过安全服务接入点上的安全服务原语及其相应的参数,提供安全服务。 SAI层仅提供功能规范,而原语的实施由本地提供,不会影响安全设备的互通。 SAI层连接建立服务: ? ? ? ?
SAI-CONNECT.request:用户要求SAI建立连接;
SAI-CONNECT.indication:被叫SAI实体收到连接请求后通知被叫SAI用户; SAI-CONNECT.response:应答SAI用户用来接受到SAI实体的连接;
SAI-CONNECT.confirm:主叫SAI实体获得被叫对等实体的响应后向主叫SAI用户报告SAI连接成功建立;
5.4.2.1.4 SAI数据传输服务: ? ?
SAI-DATA.request:SAI用户用来向对等实体传输应用数据;
SAI-DATA.indication:向SAI用户表示来自对等实体数据已成功接收;
5.4.2.1.5 SAI连接释放服务: ? ?
SAI-DISCONNECT.request:SAI用户强制释放SAI连接; SAI-DISCONNECT.indication:用来通知SAI用户SAI连接释放;
5.4.3 5.4.3.1 5.4.3.2 5.4.4
到MASL层服务接口
SAI层实现的功能在MASL层之上。
MASL层的应用约束了SAI层的设计,因此为了能适配MASL层,SAI层应能够与Subset-037中规定的―安全服务接口‖适配。 消息结构
消息结构如下图所示。
5.4.4.1.1
RSSP-II5
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ) 第14页
CTCS-3级列控系统标准规范
5.4.4.1.2 5.4.4.1.3 5.4.4.1.4 5.4.4.1.5 RSSP-II5
应用层: 帧头 应用信息 安全应用中间子层: SAI帧头 用户数据 消息鉴定安全层: MASL帧头 用户数据 MAC 适配层: ALE帧头 用户数据 通信层: 通信帧头 用户数据 通信帧尾 子系统间的信息交换 子系统A 子系统B 图4:消息结构
消息类型决定SAI帧头结构。 应考虑到两种不同情况: ? SAI帧头适用于安全数据的传输(参见Subset-037); ?
仅MASL层用于安全连接管理。
就安全数据传输而言,由SAI层添加的帧头结构如下:
TTS 消息类型 序列号 用户数据 发送方时间戳 上一次接收方上一次收到消(n字节) 时间戳 息时的时间戳 第1个字节 第2个第3个第4个第7个第8个第11 第12个 第15 字节 字节 字节 字节 字节 个字节 字节 个字节 n个字节 SAI帧头 图5:使用TTS时的SAI帧头结构
TTS 消息类型 序列号 EC 用户数据 计数 设为“0” 设为“0” 设为“0” (n字节) 数 第1个字节 第2个第3个 第4个 第7个第8个 第11个 第12个第15个字节 字节 字节 字节 字节 字节 字节 字节 4字节 n字节 SAI帧头 图6:使用EC时的SAI帧头结构
SAI层的所有域均使用Big Endian方式编码。
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ)
第15页