RSSP-Ⅰ與RSSP-Ⅱ鐵路安全通信協(xié)議對比分析

周宏偉 張 濤 苗長俊

周宏偉:中國鐵道科學(xué)研究院通信信號研究所 助理研究員100081 北京

張 濤:中國鐵道科學(xué)研究院通信信號研究所 助理研究員100081 北京

苗長俊:中國鐵道科學(xué)研究院通信信號研究所 助理研究員100081 北京

客運專線信號系統(tǒng)包含多個安全相關(guān)的子系統(tǒng)，比如聯(lián)鎖 (CI)、列控中心 (TCC)、臨時限速服務(wù)器 (TSRS)、無線閉塞中心 (RBC)、分散自律調(diào)度集中 (CTC)等。安全相關(guān)子系統(tǒng)的數(shù)據(jù)交換，必須通過安全通信協(xié)議實現(xiàn)。目前我國鐵路信號安全通信協(xié)議有 RSSP-Ⅰ與 RSSP-Ⅱ 2種，RSSP代表Railway Signal Safety Communication Protocol。本文主要分析這2種協(xié)議在應(yīng)用場景、安全檢查、數(shù)據(jù)幀封裝等方面的不同，討論二者的優(yōu)缺點和使用范圍。

1 安全通信協(xié)議介紹

為了保證多個設(shè)備在“封閉傳輸系統(tǒng)上”進行安全的信息交互，歐洲電工標(biāo)準(zhǔn)化委員會(CENELEC)制定頒布了 EN50126、EN50128、EN50129、EN50159系列安全標(biāo)準(zhǔn)，其中EN50159專門針對軌道交通 (封閉式傳輸系統(tǒng))所具備的安全屬性、安全功能進行了詳細的說明。

對于傳輸系統(tǒng)，可能的威脅有重復(fù)、刪除、插入、重排序、損壞、延遲和偽裝等7種。為了減少威脅風(fēng)險，一般在應(yīng)用層與通信協(xié)議數(shù)據(jù)層之間插入安全功能模塊，來實現(xiàn)安全協(xié)議。安全功能模塊提供消息的真實性、完整性、時效性和有序性等4項的校驗。即對接收的數(shù)據(jù)，只有通過了安全功能模塊校驗后才交給應(yīng)用層處理;應(yīng)用層要發(fā)送的數(shù)據(jù)，在經(jīng)過安全通信模塊包裝后再對外發(fā)送。這樣基于安全協(xié)議通信的雙方，才能夠防御可能出現(xiàn)的威脅，得到可靠、安全的通信服務(wù)。通常的安全協(xié)議總體結(jié)構(gòu)如圖1所示。

圖1 安全協(xié)議結(jié)構(gòu)示意圖

2 安全通信協(xié)議對比

RSSP-Ⅰ與RSSP-Ⅱ，分別是鐵路安全通信協(xié)議的一代、二代，均符合EN 50159-2標(biāo)準(zhǔn)，但實現(xiàn)的方式有所不同。

2.1 通信物理鏈路

RSSP-Ⅰ所需要的通信功能，不依賴底層物理鏈路的連接方式。安全層 (安全相關(guān)編/解碼過程)和通信驅(qū)動 (非安全編/解碼過程)是完全分開的。底層數(shù)據(jù)傳輸方式可以是串口 (RS-422、RS-232等)，也可以是網(wǎng)絡(luò) (TCP/UDP等)。我國鐵路一般是基于串口連接，比如車站TCC與CTC、LEU均用串口RS-422相連。

RSSP-Ⅱ的安全功能模塊 (SFM)，依賴通信功能模塊 (CFM)中的網(wǎng)絡(luò)適配層，而網(wǎng)絡(luò)適配層是構(gòu)建在TCP/IP傳輸層協(xié)議之上的，無法在串口等其他鏈路環(huán)境運行。

由此看來，RSSP-Ⅰ能夠適應(yīng)更廣泛的物理鏈路，而RSSP-Ⅱ適合TCP網(wǎng)絡(luò)環(huán)境。但是，為了適應(yīng)不同的物理鏈路，RSSP-Ⅰ的實時安全數(shù)據(jù)幀(RSD)長度不能很長，目前一包RSD最長546字節(jié)。而RSSP-Ⅱ底層物理網(wǎng)絡(luò)是TCP，RSSP-Ⅱ可以傳輸更大的數(shù)據(jù)包，這一點是RSSP-Ⅰ無可比擬的。

2.2 設(shè)計思想

RSSP-Ⅰ協(xié)議是從接收端的角度設(shè)計保護算法，來解決開放傳輸系統(tǒng)上的通信問題。它站在接收端考慮信息的安全性，要求接收端對收到的數(shù)據(jù)進行以下驗證:①發(fā)送端的身份鑒別 (真實性);②報文的正確無誤 (完整性);③報文的更新 (時間性);④報文的正確序列 (順序性)。所用的算法都要考慮收/發(fā)雙方向來執(zhí)行。每一個接收端的每一個傳輸方向上設(shè)置一個安全認證。即，接收端有2個雙向交換安全數(shù)據(jù)的網(wǎng)絡(luò)單元， (每個單元)有2個獨立的安全處理過程，分別檢查2個方向的數(shù)據(jù)傳輸，如圖2所示。

圖2 RSSP-Ⅰ防護示意圖

而RSSP-Ⅱ協(xié)議，則是按分層設(shè)計安全功能模塊(SFM)，采用下層約束上層、上層依賴下層的方式，對安全功能模塊進行清晰的分層，從而實現(xiàn)安全數(shù)據(jù)的傳輸。RSSP-Ⅱ架構(gòu)上有3層:適配及冗余管理層ALE、消息鑒定安全層MASL、安全應(yīng)用中間子層SAI。該分層方式與OSI網(wǎng)絡(luò)參考模型類似。安全連接的建立，需要發(fā)起方 (主叫實體)請求建立，響應(yīng)方 (被叫實體)響應(yīng)請求，在底層連接建立后，上層才能開始建立，直到SAI安全應(yīng)用中間子層建立，一條穩(wěn)定的安全連接才啟動。如圖3所示，適配層ALE搭建在TCP協(xié)議之上，ALE能夠封裝一條或多條TCP鏈路 (一般是冗余多條)，對其上層 (MASL、SAI)提供A、D兩類服務(wù)。消息鑒定安全層MASL對接收到的數(shù)據(jù)進行加密、解密，防止損壞、偽裝、插入等威脅。在MASL之上是SAI層，通過安全服務(wù)接入點上的安全服務(wù)原語及相應(yīng)參數(shù)，來提供安全服務(wù)。SAI層提供了EC序列號防御、TTS時間戳防御2種方式實現(xiàn)消息安全防御機制，來應(yīng)對延遲、重排序、刪除、重復(fù)等威脅。

圖3 RSSP-Ⅱ分層防護示意圖

2.3 對應(yīng)報文封裝

RSSP-Ⅰ安全層使用經(jīng)過安全編碼的FSFB/2報文格式向通信驅(qū)動層發(fā)送信息，同時使用同樣的接口安全層 (從通信驅(qū)動層)接收來自其他節(jié)點的FSFB/2報文。即在App的數(shù)據(jù)包上封裝FSFB/2格式的報文頭及校驗碼，如圖4所示。

RSSP-Ⅱ在設(shè)計上將安全協(xié)議分了3層，報文也有相應(yīng)體現(xiàn)。報文被層層封裝、層層把關(guān)、層層校驗，來實現(xiàn)不同接口層的信息傳遞。如圖5所示。

3 總結(jié)

上述2種安全協(xié)議設(shè)計思想不一致，在實際應(yīng)用中各有不同。RSSP-Ⅰ一般適用于數(shù)據(jù)包較小的環(huán)境，最大的優(yōu)點是它不依賴物理鏈路層，車站的各個子系統(tǒng)通過串口相連時廣泛應(yīng)用了該協(xié)議。RSSP-Ⅱ?qū)哟吻逦?，依賴網(wǎng)絡(luò)TCP，能夠進行大數(shù)據(jù)量的通信，更適合應(yīng)用于鐵路局中心的信號子系統(tǒng)的數(shù)據(jù)交互中。目前這2種安全協(xié)議，在鐵路信號系統(tǒng)均有廣泛應(yīng)用，地鐵等城市軌道信號系統(tǒng)也開始使用。

［1］ CENELEC．EN 50159-1 Railway applications-Communication，signaling and processing systems-Part1:Safety－related communication in closed transmission systems［S］ ，2001(3).

［2］ CENELEC．EN 50159-2 Railway applications-Communication，signaling and processing systems-Part2:Safetyrelated communication in open transmission systems［S］ .2001(3).

［3］ ALSTOM．FSFB/2 Safety Protocol Requirements Specification［S］ .1999，VersionB．2.

［4］ 中華人民共和國鐵道部運輸局.運基信號(2010)267號．鐵路信號安全通信協(xié)議技術(shù)規(guī)范．2010(5).