CTCS-3级列控系统标准规范
5.4.9.2.1 5.4.9.2.2 5.4.9.2.3 5.4.9.2.4 5.4.9.2.5 5.4.9.2.6 5.4.9.2.7 5.4.9.3. 5.4.9.3.1 5.4.9.3.2
5.4.9.3.3 5.4.9.3.4 5.4.9.3.5
5.4.9.3.6
RSSP-II5
EC计数使用32位Big Endian编码方式。 EC计数的值从0到4294967295。 EC计数在通信各方向上是独立的。
EC计数的无须初始化。发送方发送第一条消息中的任意EC值接收方都应接受。 如果EC计数值未达到最大值,EC计数将每周期递增1。 一旦EC计数值达到最大值,下一个EC的计数值应设为0。
在接收方和发送方的子系统中,SN的处理与EC计数的处理是相互独立的。 EC防御技术的初始化过程
两实体间的MASL层建立安全连接后,双方SAI层将通过两条消息交互EC防御技术所需的参数。
初始化过程如下图所示
设备1(发起方) 设备2(应答方) Sa-Connect. request AU1 SaPDU AU2 SaPDU S AU3 SaPDU Sa-Connect. A indication 启动TM Syn I Sa-Connect. confirm A AR SaPDU M A S S S Sa-Connect. A Sa-Data. L L response I request DT SaPDU (EC启动消息) Sa-Data. indication 启动TSyn DT SaPDU Sa-Data. (EC启动消息) request 终止TSyn Sa-Data. indication DT SaPDU (第一个应用信息) Sa-Data. indication 终止TSyn DT SaPDU (第一应用信息)
图22: EC初始化过程
两个实体通过AU1,AU2,AU3和AR SsPDU‘s建立安全连接后,连接发起方应发送一条
EC启动消息,其中包括EC计数的初始值和EC周期值。
其对等实体应通过EC启动消息做出应答,其中包括EC计数的初始值和EC周期值。 在从远端接收到EC启动消息之后,发起方可以开始发送应用消息,并应使用EC防御技术。应答方在发送EC启动消息之后的下一个周期可以开始发送应用消息,并应使用EC防御技术。
每一个对等实体将使用定时器(Tsyn),来检测不可接受的初始化延迟:
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ)
第31页
CTCS-3级列控系统标准规范
发起方的SAI:定时器自发送EC启动消息起开始计时,至接收到应答方执行周期开始消息时停止计时;
应答方的SAI:定时器自发送EC启动消息起开始计时,至接收到对方第一个DT SaPDU(包含第一个应用程序消息)时停止计时。
5.4.9.3.7 5.4.9.3.8
如果一个定时器在接收到预期消息前终止,则根据错误处理程序(见第5.4.10节)对该错误进行处理。
EC启动消息的结构由下图说明:
信息类型 序列号 TTS: 不用 EC计数: 初始值 用户数据 版本 EC 周期值 第1个字节 第2个字节 第4个 第3个 字节 字节 第15个 第16个字节 字节 第19个第20个字节 字节 第23个第24个字节 字节 第25个字节 应用数据传输的SAI帧头 图23:EC启动消息
5.4.9.3.9 5.4.9.3.10 5.4.9.4 5.4.9.4.1 5.4.9.4.2 5.4.9.4.3
EC周期值使用2个字节Big Endian编码方式编码,取值范围为0到65535。EC最低有效位时间值等于1毫秒(精度为1毫秒)。 版本域将按4个字节Big Endian编码方式编码。版本域被用来验证本地和远程的SAI软件版本的一致性。 EC计数检查过程
一旦EC防御技术初始化过程成功完成,此程序将检查对等实体发送的应用数据是否过时。 从远程子系统接收的消息中包含EC计数值。 通过对此数值与EC的期望值(用Ex表示)进行比较实现安全防御。
EC安全防御技术的第一步在于确定EC的期望值(Ex)。为了计算Ex,在EC启动消息之后,每一个SAI实体将用以下公式计算本地和远程EC周期的比值R1。
R = 接收方EC周期/发送方EC周期
注:R是一个实数。
5.4.9.4.4
在接收方的每个执行周期都应该更新EC的期望值(Ex),计算公式如下:
下一个 Ex = 当前Ex + R
注:Ex是一个实数2。
5.4.9.4.5
接收方每周期结束时应计算当前状态,而此当前状态仅依赖整形变量Δ,Δ使用以下公式计算:
Δ = (Ex –当前周期收到的最后一条消息的EC计数值) 向下取整
5.4.9.4.6
1
如果在某个执行周期中没有收到任何消息,接收方应使用前一个周期得到的最后一条消息
比值R也可以作为设备配置参数设为固定值。在设备启动前双方必须对R参数选择为静态设置还是动态设置进行确定并达成一致。 2
R和Ex均为实数,同时EC周期和EC计数均为整数。 RSSP-II5 规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ) 第32页
CTCS-3级列控系统标准规范
中包含的EC值来计算Δ。如果一个周期内收到多条消息,应采用接收到的最后一条消息的EC值进行计算。
5.4.9.4.7
在每一个EC上由接收方SAI应用下图描述的状态转移图。如果Δ大于或等于警报状态(例如下图所描述的状态3),将会触发错误报警,然后进入错误处理程序处理,(详见5.4.10)。在以下的例子里,从对等实体接收到的最后一条消息中的EC计数比Ex有至少3个发送周期延迟。如果Δ大于或者等于警报状态,该周期所有接收的消息将被删除。
当发起方从应答方上接收到EC启动消息,发起方将来自应答方消息中的EC计数初始化Ex,在同一个EC之中,使用5.4.9.4.43的公式进行更新。
当应答方从发起方接收到第一个应用数据消息时,应答方将使用来自发起方消息中的EC计数初始化Ex,在同一个EC中,使用5.4.9.4.44的公式进行更新。
5.4.9.4.8 5.4.9.4.9
T1状态0接收到无滞后数据T10T2T4T8T12T3状态1警告:接收到的最后一条消息的EC值比EC期望值至少滞后一个周期T5T7T11T6状态2警告:接收到的最后一条消息的EC值比EC期望值至少滞后二个周期T9状态3:Alarm报警:接收到的最后一条消息的EC值比EC期望值至少滞后三个周期触发Alarm状态
对转移的描述: ? ? ? ? ? ? ?
34
T1:接收方“执行周期”结束,Δ小于或者等于0。 T2:接收方“执行周期”结束,Δ等于1。 T3:接收方“执行周期”结束,Δ等于1。
T4:接收方“执行周期”结束,Δ小于或者等于0。 T5:接收方“执行周期”结束,Δ等于2。 T6:接收方“执行周期”结束,Δ等于2。 T7:接收方“执行周期”结束,Δ等于1。
如果在EC启动后的一个周期内收到多条的应用数据消息,最后一条消息中的EC将被用来更新下一个Ex 。 如果在一个周期内收到多条的应用数据消息,最后一条消息中的EC将被用来更新下一个Ex。 RSSP-II5 规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ) 第33页
CTCS-3级列控系统标准规范
? ? ? ? ?
T8:接收方“执行周期”结束,Δ小于或者等于0。 T9:接收方“执行周期”结束,Δ大于或者等于3。 T10:接收方“执行周期”结束,Δ等于2。 T11:接收方“执行周期”结束,Δ大于或者等于3。 T12:接收方“执行周期”结束,Δ大于或者等于3。
图24:EC状态机
5.4.9.5 5.4.9.5.1
EC防御技术的后续过程
时钟的长期漂移产生的影响及由EC周期的近似值所引起的错误都可能导致EC周期5十分缓慢的改变(相对于EC启动消息里携带的EC值),也导致R错误(相对于在初始化阶段末期的计算值)。经过一段时间,将会导致接收到: ?
比预期更多的消息,因为发送方子系统比预期的要快(或者接收方子系统比预期的要
慢:结果一样):这将导致长时间滞留在―伪状态 -1‖,接着又处于―伪状态 -2‖等等,(所有这些伪状态被归入状态0,因为到达的数据是新的)。处于这种状态下时,基本的EC计数检查程序不能及时发现真正的延迟。
比预期更少的消息,就算没有消息延迟,因为发送方子系统比预期的要慢(或者接收方子系统比预期的要快:结果一样): 这将导致状态机长时间滞留在状态1,接着在状态2等等,直到达到报警状态。
?
5.4.9.5.2 为了纠正以上所描述的影响,SAI应采取如下措施:
如果Δ小于或者等于一个(负)值(配置参数),也就是说接收到比预期(当一个实体从对等实体接收到EC启动消息后,当前周期中只期望接收到该“预期”消息)更多的消息,期望EC计数值(Ex)使用包含在从等实体接收到的最新的消息里的EC来更新:
下一个Ex = (从当前周期中接收到的最新EC值)+R
如果状态机长时间(时间值是一个配置参数)保持在同一状态(不同于状态0),就通过减小Ex,强制返回上一级状态(1→0,2→1)。在这种情况下,将执行传输延迟检测程序6。
5.4.9.6 5.4.9.6.1
用于检测传输延迟的过程
因为长时间保持在同一状态下可能由传输链7中出现的其它问题引起,例如缓慢增长的延迟,不仅是由于R的近似值引起,在5.4.9.5中定义的纠正措施可能掩盖这些真实的延迟:将提供进一步的机制来检测它们。
发起方子系统和应答方子系统想要检测出可能的传输延迟,需要向对等实体发送―带有ACK请求的应用消息‖,该消息与正常的应用消息格式一样,只是消息类型不同(0×87代替了0×86)。注:这是一个包含正常用户数据的ApPDU,这条消息将被发送到对等实体8。 ―带有ACK请求的应用程序消息‖接收到后,子系统将在下一个周期中发送―带有ACK的应用程序消息‖以应答对等实体,该消息与正常的应用消息格式一样,只是消息类型不同(0×88)。注:这是一个包含正常用户数据的ApPDU,这条消息将被发送到对等实体9。 为了进一步的检测不可接受的传输延迟,在发送―带有ACK请求的应用程序消息‖的子系统中使用定时器Tsyn,在发送―带有ACK请求的应用程序消息‖时定时器开启,从对等实体
5.4.9.6.2
5.4.9.6.3
5.4.9.6.4
56
时钟源的永久误差(时钟精度)一般为几十个ppm。
本程序可以在强制返回上一级状态之前或者之后被立即执行,这个选项是一个本地行为。 7
在本文件中, 用“传输链”有意指在两个安全对等实体间所有的传输设备和网络单元。 8
应用程序消息流和处理不受此机制影响。 9
应用程序消息流和处理不受此机制影响。 RSSP-II5 规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ)
第34页
CTCS-3级列控系统标准规范
5.4.9.6.5 5.4.9.6.6
5.4.10
5.4.10.1.1
5.4.10.1.2 5.4.10.1.3 5.4.10.1.4 5.4.10.1.5 5.4.10.1.6
RSSP-II5
接收到―带有ACK的应用程序消息‖时定时器停止。
如果定时器在接收到预期消息前终止,将使用错误处理程序处理该错误(详见5.4.10)。 延迟检测过程和EC安全防御技术(初始延迟检测)初始化过程中的延迟检测过程是一样的,只是用应用消息代替EC启动消息。下图描述这个过程(仅显示一个请求实体)。
实体1 实体2 S消消A 息息SI 鉴鉴A 启动 定Tsyn DT SaPDU 定I Sa-Data. Request 安(带有ACK请求安全的应用消息) 全Sa-Data. Indication 层 层 DT SaPDU (带有ACK的 Sa-Data. 应用消息) Request 终止 Tsyn Sa-Data. Indication 图25:检测网络延迟的过程
错误处理
下列错误应被考虑: ? 连接建立期间的错误; ? 序列号错误;
? 与可选TTS周期定时器相关的错误; ? 与时钟偏移更新过程相关的错误; ? 传输延迟; ?
延迟的消息。
除了序列错误的消息,其他错误消息中包含的应用数据应被删除(参考5.4.7.2)。 发生在SAI初始化过程中的所有错误(见时钟偏移更新过程和EC防御技术的初始化过程)
将导致安全连接的释放。
对于序列错误,与可选的TTS周期定时器有关的错误,以及与时钟偏移更新程序、传输延迟、延迟消息有关的错误,在达到一个可配置的连续的错误数(Tsucc_er)之后将释放安全连接。如果时钟偏移更新过程或者传输延迟的检测过程失败,将启用一个独立的错误计数器并立即重复该过程。
在EC技术中,如果Δ值达到报警状态,连接将被释放。
规范名称:铁路安全通信协议-Ⅱ(RSSP-Ⅱ)
第35页