RSSP-II 铁路信号安全协议 word版.doc

1、RSSP-II 铁路信号安全通信协议V0.52008 年 12 月CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 2 页1. 修订历史版本号：日期 章节号 修订 /描述 作者V0.1：2008 年 11 月 15 日 全部 初稿 接口组V0.2：2008 年 11 月 20 日 全部 根据 2008.11.17 日通号公司讨论意见修改接口组V0.3：2008 年 11 月 27 日 全部 根据 2008.11.24 日 C3 组会议讨论意见修改接口组V0.4：2008 年 12 月 26 日 全部 根据 2008.12.24 日 C3 组及

2、铁科院、交大、卡斯科等单位讨论意见修改接口组V0.4：2008 年 12 月 31 日 修改部分文字表述 根据 2008.11.31 日 C3 组会议讨论意见修改接口组CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 3 页2. 目录1. 修订历史 .22. 目录 .33. 简介 .63.1 目的及范围 .63.2 参考文献 .63.3 术语和定义 .63.4 缩略语 .74. 参考结构 .84.1 综述 .84.2 铁路信号安全设备间安全通信接口 .84.3 各层功能 .94.3.1 安全功能模块（SFM） .94.3.2 通信功能模块（C

3、FM） .104.4 传输系统的分类 .104.5 假设 .105. 安全功能模块 .115.1 简介 .115.2 安全功能模块的功能 .115.3 消息鉴定安全层（MASL） 125.4 安全应用中间子层（SAI） .135.4.1 概述 .135.4.2 到 SAI 层服务接口 .145.4.3 到 MASL 层服务接口 145.4.4 消息结构 .145.4.5 SAI 协议 .165.4.6 消息类型域 .195.4.7 序列号防御技术 .195.4.8 TTS .215.4.9 EC 防御技术 305.4.10 错误处理 .355.5 数据配置及规则 .365.5.1 简介 .36

4、5.5.2 连接初始化规则 .365.5.3 TTS 参数定义 365.5.4 EC 参数定义 375.5.5 错误处理指导 .385.6 TTS 示例 .386. 通信功能模块 .416.1 一般规则 .416.2 概述 .416.2.1 一般描述 .41CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 4 页6.3 功能特性 .416.3.1 TCP 与传输 2 类服务和协议的对应关系 416.3.2 服务类别 .426.3.3 A 类服务请求 426.3.4 D 类服务请求 436.3.5 TS 用户与 TCP 间的关系 .436.3.

5、6 传输优先级 .446.4 使用适配层实体进行传输层模拟 .446.4.1 概述 .446.4.2 接口服务定义 .456.4.3 X.214 原语对 TCP 的映射 476.4.4 寻址 .476.4.5 适配层数据包格式 .486.5 接口协议定义 .496.5.1 运用 TCP/IP 提供 ISO 传输 2 类协议 .496.5.2 ALE 操作 .526.5.3 数据传输 .556.5.4 连接释放 .576.6 不同服务类别的实施和冗余管理 .596.6.1 A 类服务 596.6.2 D 类服务 616.6.3 ALEPKT 概述 626.7 适配层管理 ALEPKT 错误处理

6、.636.8 底层协议栈 .646.8.1 简介 .646.8.2 TCP 参数协商（强制性） 646.8.3 网络服务定义 .646.8.4 网络协议 .656.9 适配层配置与管理 .656.9.1 总则 .656.9.2 定时器参数 .656.9.3 呼叫与 ID 管理（适配层和 TCP） .657. 资料性附录 .667.1 TCP 参数协商 .667.1.1 TCP 服务选项 667.2 地址映射 .667.3 数据链路层 .677.3.1 以太网 .677.3.2 介质访问控制 .687.3.3 广域连接 .687.4 密钥管理 .687.4.1 范围 .687.4.2 密钥管理概

7、念和原理 .687.4.3 KMS 的各个阶段和参与方 .68CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 5 页7.4.4 一般原则 .697.4.5 密钥层级 .697.4.6 密钥分配 .707.4.7 基本的 KM 功能 .707.4.8 缩略语与定义 .717.5 校验和结果实例 .72CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 6 页3. 简介3.1 目的及范围3.1.1.1.1 本文件规定了信号安全设备之间通过封闭式网络或开放式网络进行安全相关信息交互的功能结构和协议

8、。3.1.1.1.2 本规范适用于铁路信号安全设备之间的安全通信接口。3.2 参考文献3.2.1.1.1 名称 日期 描述EN 50159-1 2001 年 03 月 Railway applications Communication, signalling and Processing systems Part 1: Safety-related communication in closed transmission systems EN 50159-2 2001 年 03 月 Railway applications Communication, signalling and Proc

9、essing systems Part 2: Safety-related communication in open transmission systemsSubset-026 2006 年 02 月 24日ETCS/ERTMS 1 级，v2.3.0Subset-037 2005 年 10 月 14日ERTMSETCS-Class1， Subset 037，Euroradio FIS 欧标规范子集 037：欧洲无线功能接口规范，v2.3.0Subset-038 2005 年 12 月 21日离线密钥管理 FIS，v2.1.11Subset-039 2005 年 08 月 31日RBC/RB

10、C 移交 FIS，v2.1.2Subset-108 2006 年 06 月 08日ETCS/ERTMS 1 级，TSI 附录 A，v1.1.0ITU-T X.214 1993 年 11 月 信息科技，开放系统互联，传送服务定义ITU-T X.224 1993 年 11 月 信息科技，开放系统互联，提供 OSI 连接模式的传送协议RFC0791 1981 年 09 月 01日网络协议 v4RFC2460 1998 年 12 月 网络协议 v6RFC0793 1981 年 09 月 01日传输控制协议 v4ISO/IEC 3309 1991 年 06 月 信息技术系统间的通信和信息交换高级数据链路

11、控制程序（HDLC）框架结构3.3 术语和定义本文件中使用了标准 EN 50159-1 和 EN 50159-2 的定义，并附加使用了以下术语。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 7 页应用处理：描述通信关系的应用层实体。执行周期：处理周期以及与其相关的递增计数（基于计算机的恒定处理周期） 。密钥管理规范的缩略语和定义包含在本规范的资料性附录中。3.4 缩略语缩略语 含义ALE 适配及冗余管理层实体ALEPKT ALE 数据包，ALE 之间交换的 PDUApPDU 应用 PDU CFM 通信功能模块EC 执行周期IP 网际协议M

12、ASL 消息鉴定安全层PDU 协议数据单元QoS 服务质量SaCEPID 安全连接端点识别符SAI 安全应用中间子层SAP 服务接入点SaPDU 安全协议数据单元SaS 安全服务SFM 安全功能模块SL 安全层SN 序列号TCEPID 传输连接端点识别符TCP 传输控制协议TPDU 传输协议数据单元TS 传输服务TSAP 传输服务接入点TTS 三重时间戳CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 8 页4. 参考结构4.1 综述4.1.1.1.1 封闭式网络在 EN50159-1 中定义为：“可连接设备的最大数量和拓扑结构已知的，传输系

13、统的物理特征是固定的传输系统，并可以忽略未授权访问的风险。 ” 4.1.1.1.2 开放式网络在 EN50159-2 中定义为：“连接设备数量未知的传输系统，它拥有未知的、可变的且非置信的特征，用于未知的通信服务，对此系统应评估未经授权的访问。 ”4.1.1.1.3 这两种网络类型都应被考虑。4.1.1.1.4 安全通信系统间的总体结构（根据 EN50159-2）如图 1 所示。 设 备 1 设 备 2 安 全 相 关 的 设 备 应 用 处 理 应 用 处 理 应 用 信 息 安 全 功 能 模 块 安 全 功 能 模 块 安 全 相 关 的PDU 协 议 数 据 单 元 通 信 设 备 通

14、 信 功 能 模 块 通 信 功 能 模 块 传 输 系 统 图 1：安全通信系统的总体结构4.2 铁路信号安全设备间安全通信接口4.2.1.1.1 本节描述了安全通信系统的功能结构，对内层实现不作限制。不应将其理解为对软件实现的要求。4.2.1.1.2 铁路信号安全设备之间安全通信接口采用分层结构。该接口规范所包含的各层如图 2 中阴影部分所示。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 9 页应用处理应用层协议 （ 端到端 ）安全应用中间子层 协议 （ 端到端 ） S u b s e t 0 3 7 （ 端到端 ）适配层协议传输层协

15、议 （ T C P ）网络层协议 （ I P ）应用层安全应用中间子层消息鉴定安全层适配及冗余管理层传输层网络层数据链路层物理层 传输系统安全功能模块通信功能模块图例 ： 由本规范指定 从标准规范中引用 超出范围操作和维护O&M图 2：安全通信系统的结构4.2.1.1.3 安全信息传输的应用协议见各安全设备间应用层协议，不属于本规范范围。4.2.1.1.4 经由非安全低层传输的安全相关信息需要在安全层中进行处理。消息鉴定安全层（MASL）参照Subset-037制定，在 MASL 层的基础上增加安全应用中间子层（ SAI） 。4.2.1.1.5 适配及冗余管理层（ALE）提供 MASL 层和传

16、输层之间的适配和冗余处理。4.2.1.1.6 传输层协议参见 TCPRFC0793 。重发功能由 TCP 的常规机制来提供。4.2.1.1.7 网络层协议参见 IPRFC0791 。4.2.1.1.8 本规范不对数据链路层作规定。4.2.1.1.9 本规范不对物理层作规定。4.2.1.1.10 操作和维护（O&M）属于具体实施的范畴，本规范不作规定。4.3 各层功能4.3.1 安全功能模块（SFM）4.3.1.1.1 本模块提供的安全层必须能够对 EN 50159-1 和 EN 50159-2 中列出的威胁进行检测并提供充分的防护。4.3.1.1.2 安全层实现以下安全相关的传输功能。 消息的

17、真实性（源地址和目的地址） ； 消息的序列完整性； 消息的时效性； 消息的完整性； 安全错误报告；CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 10 页 配置管理（安全设备间的安全通信协议栈） ； 访问保护。4.3.1.1.3 MASL 层提供以下功能： 消息的真实性（源地址和目的地址） ； 消息的完整性； 访问保护。4.3.1.1.4 SAI 层提供所需的其他安全相关的传输功能。4.3.1.1.5 序列错误防护通过在用户数据中增加序列号实现。4.3.1.1.6 消息时效性防护通过在用户数据中增加 TTS 或者 EC 计数实现。4.3.1

18、.1.7 EC 和 TTS 对消息时延具有相同的防护等级。4.3.1.1.8 TTS 与 EC 计数仅允许一项有效，具体实施中由通信双方协商决定。 4.3.2 通信功能模块（CFM）4.3.2.1.1 通信功能模块提供非置信的传输。4.3.2.1.2 此模块提供以下功能： MASL 层和传输层之间的适配； 冗余功能，以满足系统可用性需求； 数据的可靠、透明和双向传输； 必要时协议数据单元的重传； 通道可用性监测。4.4 传输系统的分类4.4.1.1.1 为了使本规范具有通用性，不对开放式传输系统类别作限定。本规范参考具有最高安全风险级别的开放式传输系统类别 7参见 EN 50159-2来制定。

19、4.5 假设4.5.1.1.1 设定条件如下： 对Subset 037中规定的“高优先级”消息不作要求； 目前对多路复用技术不作要求，但是该项功能可以通过在每个逻辑连接中使用一条TCP 链路来实现； 非显式流量控制； SFM 检测出的安全相关错误可能在 SAI 层之外进行处理； 用户数据长度不超过 1000 字节。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 11 页5. 安全功能模块5.1 简介5.1.1.1.1 本节规定安全功能模块（SFM） 。5.1.1.1.2 本节仅描述相关的功能接口，以确保在安全功能模块层面的互联。5.1.1.

20、1.3 安全功能模块的组成： MASL 层； SAI 层。5.1.1.1.4 通过这两层结合将对 EN 50159-2 文件中所定义的威胁提供全面的防护。5.2 安全功能模块的功能5.2.1.1.1 安全功能模块提供同开放式传输系统类别 7 相适应的安全服务。5.2.1.1.2 本节规定了在安全功能模块中防护技术的具体实现。5.2.1.1.3 根据 EN 50159-2 标准，对于一般的传输系统而言，所有可能的威胁如下（参见 EN 50159-2 的定义）： 重复； 删除； 插入； 重排序； 损坏； 延迟； 伪装。5.2.1.1.4 为了减少标准中定义的威胁风险，安全功能模块应提供以下的安全服

21、务（参见 EN 50159-2 的定义）： 消息的真实性； 消息的完整性； 消息的时效性； 消息的有序性。5.2.1.1.5 MASL 层和 SAI 层的结合为开放式传输系统提供了一种安全保护措施。5.2.1.1.6 MASL 层可以预防以下威胁： 损坏； 伪装； 插入。5.2.1.1.7 通过添加安全码（消息验证码 MAC）和连接标识符（源和目的地标识符）提供防护。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 12 页5.2.1.1.8 SAI 层可以预防以下威胁： 延迟； 重排序； 删除； 重复。5.2.1.1.9 通过添加延迟防御技

22、术（EC 或 TTS）和序列号（ SN）提供保护。5.2.1.1.10 安全功能模块提供的保护如下表所示：防御威胁 序列号SNTTS 或EC超时反馈信息源和目的地标识符消息识别过程安全码加密技术重复 X删除 X插入 X重排序 X损坏 X延迟 X伪装 X表 1：安全功能模块的防御技术5.3 消息鉴定安全层（MASL）5.3.1.1.1 MASL 层由Subset-037规定。5.3.1.1.2 MASL 层参照 Subset-037 ，但是不使用其中的高优先级数据业务。所有的数据传输均应使用正常的数据业务来进行。5.3.1.1.3 下表规定 SAI-MASL 接口的 SaS 原语参数的使用。参数

23、 Subset-037 SFM 的使用 说明地址类型 5.2. 如果需要的话，可以使用网络地址 5.2. 如果使用，可用于识别被叫方的 32位目的 IP 地址和 16 位目的 TCP 端口号移动网络 ID 5.2. 不使用主叫 CTCS ID 类型5.2. 主叫安全设备 CTCS ID 类型主叫 CTCS ID 5.2. 用于初始化连接的主叫 CTCS ID 被叫 CTCS ID类型5.2. 被叫安全设备 CTCS ID 类型被叫 CTCS ID 5.2. 用于接受连接请求的被叫 CTCS ID 应用类型 5.2. 参见 Subset-037 中定义的应用类型服务质量类型 5.2. QoS 域

24、用于表示建立连接的服务类型。服务类型 A 和服务类型 D 可供使用SaCEPID 5.2. 由本地提供用来辨识各个安全连接的参数表 2：SaS 原语参数5.3.1.1.4 由本地实现 SAI 层和 MASL 层之间的接口。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 13 页5.3.1.1.5 下表规定了安全信号设备间安全通信接口中 MASL 层的配置：参数 Subset-037 SFM 值 说明SaS 用户数据的最大长度 5.3. 1000 字节Testab 7.2.5.3 最大应用值：40 秒 推荐值为 40 秒，对于安全信号设备间的

25、通信可能采用更低值表 3：MASL 层的配置5.4 安全应用中间子层（SAI）5.4.1 概述5.4.1.1.1 安全应用中间子层提供： 通过序列号和 TTS/EC 计数对数据进行保护； 到应用层接口； 到 MASL 层接口。5.4.1.1.2 通过给用户数据添加一个序列号域，防止数据的重复、删除和重排序。5.4.1.1.3 通过给用户数据添加 TTS 或 EC 计数防止数据延迟。5.4.1.1.4 时间戳的防御技术基于发送方和接收方之间时钟偏移的计算。5.4.1.1.5 为了发送方和接收方依据执行初始化程序对时钟偏移进行估算，需要在 SAI 帧头中定义初始化过程的消息类型。5.4.1.1.6

26、 对于由发送方发送给接收方的消息，通过添加以下字段构成 TTS： 数据传输时的发送方时间戳； 发送方接收的上一条消息中的接收方时间戳； 发送方接收上一条消息时的发送方时间戳。5.4.1.1.7 下图描述了 TTS 信息：当 前 发 送 方 ： A 当 前 接 收 方 ： B 时 间 戳 信 息 发 送 方 接 收 到 的 上 一 条 消 息 子 系 统 时 间 子 系 统 时 间 时 间 戳 信 息 发 送 方 时 间 戳 上 一 条 接 收 消 息 的 发 送 方 时 间 戳 上 一 消 息 接 收 方 时 间 戳 图 例 ： ： 安 全 通 信 接 口 处 理 CTCS-3 级列控系统标准

27、规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 14 页图 3：时间戳信息5.4.1.1.8 当不使用 TTS 的方法时，选择 EC 防御技术。 EC 防御技术通过在用户数据上添加 EC 计数来检查消息的寿命。5.4.1.1.9 EC 防御技术也要求有一个初始化过程。在此过程中，每一个通信实体的 EC 值被发送给对等实体。5.4.1.1.10 EC 和 TTS 的防御技术是相互排斥的。5.4.2 到 SAI 层服务接口5.4.2.1.1 SFM 通过安全服务接入点上的安全服务原语及其相应的参数，提供安全服务。5.4.2.1.2 SAI 层仅提供功能规范，而原语的实施由

28、本地提供，不会影响安全设备的互通。5.4.2.1.3 SAI 层连接建立服务： SAI-CONNECT.request：用户要求 SAI 建立连接； SAI-CONNECT.indication：被叫 SAI 实体收到连接请求后通知被叫 SAI 用户； SAI-CONNECT.response：应答 SAI 用户用来接受到 SAI 实体的连接； SAI-CONNECT.confirm：主叫 SAI 实体获得被叫对等实体的响应后向主叫 SAI 用户报告 SAI 连接成功建立；5.4.2.1.4 SAI 数据传输服务： SAI-DATA.request：SAI 用户用来向对等实体传输应用数据； S

29、AI-DATA.indication：向 SAI 用户表示来自对等实体数据已成功接收；5.4.2.1.5 SAI 连接释放服务： SAI-DISCONNECT.request：SAI 用户强制释放 SAI 连接； SAI-DISCONNECT.indication：用来通知 SAI 用户 SAI 连接释放；5.4.3 到 MASL 层服务接口5.4.3.1 SAI 层实现的功能在 MASL 层之上。5.4.3.2 MASL 层的应用约束了 SAI 层的设计，因此为了能适配 MASL 层，SAI 层应能够与Subset-037 中规定的“安全服务接口”适配。5.4.4 消息结构5.4.4.1.1

30、 消息结构如下图所示。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 15 页应 用 层 ： 帧 头 应 用 信 息 SAI帧 头 用 户 数 据 安 全 应 用 中 间 子 层 ： MASL帧 头 消 息 鉴 定 安 全 层 ： 用 户 数 据 MAC 用 户 数 据 ALE帧 头 适 配 层 ： 用 户 数 据 通 信 帧 头 通 信 帧 尾 通 信 层 ： 子 系 统 间 的 信 息 交 换 子 系 统 A 子 系 统 B 图 4：消息结构5.4.4.1.2 消息类型决定 SAI 帧头结构。5.4.4.1.3 应考虑到两种不同情况：

31、SAI 帧头适用于安全数据的传输（参见 Subset-037） ； 仅 MASL 层用于安全连接管理。5.4.4.1.4 就安全数据传输而言，由 SAI 层添加的帧头结构如下：消 息 类 型 序 列 号 TS 发 送 方 时 间 戳 上 一 次 接 收 方时 间 戳 上 一 次 收 到 消息 时 的 时 间 戳 用 户 数 据 （ n字 节 ） 第 1个 字 节 第 2个字 节 第 3个字 节 第 4个字 节 第 7个字 节 第 8个字 节 第 1 个 字 节 第 12个 字 节 第 15 个 字 节 n个 字 节 SAI帧 头 图 5：使用 TTS 时的 SAI 帧头结构消 息 类 型 序

32、列 号 TS 设 为 “0” 用 户 数 据 （ n字 节 ） 第 1个 字 节 第 2个字 节 第 3个 字 节 第 4个 字 节 第 7个字 节 第 8个 字 节 第 1个 字 节 第 12个字 节 第 15个字 节 n字 节 SAI帧 头 4字 节 EC 计 数 数 设 为 “0” 设 为 “0” 图 6：使用 EC 时的 SAI 帧头结构5.4.4.1.5 SAI 层的所有域均使用 Big Endian 方式编码。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 16 页5.4.4.1.6 “消息类型” 域用于识别消息类型，使用一个字

33、节进行编码。5.4.4.1.7 “序列号” 域用于定义消息顺序号，使用两字节编码。5.4.4.1.8 如果使用了 TTS， “发送方时间戳”域应填写消息传送至本地 MASL 层实体时的发送方时间戳。发送方时间戳使用四个字节编码。5.4.4.1.9 如果使用了 TTS， “上一次接收方时间戳”域应填写由“接收方”产生，从接收方传输给发送方的最后一个消息的时间戳，OffsetStart 信息除外（见 5.4.8.4） 。本时间戳使用四个字节编码。5.4.4.1.10 如果使用了 TTS， “上一次的消息接收时间戳”域应填写由本地 MASL 层实体上传上一条消息时的本地时间戳，OffsetStart

34、 信息除外（参见5.4.8.4 ） 。本时间戳使用四个字节编码。5.4.4.1.11 只有使用 EC 防御技术时，才使用“EC 计数” 域，并出现在帧头中。5.4.4.1.12 EC 计数使用四字节编码。5.4.4.1.13 EC 防御技术和 TTS 防御技术互相排斥，若使用 EC 防御技术，则与 TTS 防御技术相关的域将不被检查，此时“TTS”域所有字段的值应被设为 0。5.4.5 SAI 协议5.4.5.1 连接过程5.4.5.1.1 两个设备之间的连接过程如下图所示。时间戳或 E C 计数器初始化设备 A 设备 BS A I -C O N N E C T .r e q u e s tS

35、 a -C O N N E C T .r e q u e s tT - C O N N E C T .r e q u e s tT - D A T A .r e q u e s tA U 1 S a P D UA U 2 S a P D UA U 3 S a P D UA R S a P D US a -C O N N E C T .c o n f i r mT - C O N N E C T .i n d i c a t i o nT - C O N N E C T .c o n f i r mT - C O N N E C T .r e s p o n s eT - D A T A .i

36、n d i c a t i o nT - D A T A .i n d i c a t i o nT - D A T A .r e q u e s tS A I -C O N N E C T .c o n f i r mS a -C O N N E C T .i n d i c a t i o nS a -C O N N E C T .r e s p o n s eS A I -C O N N E C T .i n d i c a t i o nS A I -C O N N E C T .r e s p o n s e安全应用中间子层消息鉴定安全层安全应用中间子层消息鉴定安全层CTCS-3 级

37、列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 17 页图 7：SAI 连接过程5.4.5.1.2 SAI 服务原语应被映射到 SA 服务原语上，以用于连接建立。5.4.5.2 断开连接过程5.4.5.2.1 两个设备之间的连接断开过程如下图所示。设备 A 设备 BS A I -D I S C O N N E C T .r e q u e s tS a -D I S C O N N E C T .r e q u e s tT -D I S C O N N E C T .r e q u e s tT -D I S C O N N E C T .i n d i

38、 c a t i o nS a -D I S C O N N E C T .i n d i c a t i o n安全应用中间子层安全应用中间子层消息鉴定安全层消息鉴定安全层D I S a P D US A I -D I S C O N N E C T .i n d i c a t i o n图 8：断开连接过程5.4.5.2.2 SAI 服务原语应被映射到 SA 服务原语上，以用于连接断开。5.4.5.3 应用数据交互过程5.4.5.3.1 以下过程用来描述如何传输应用数据消息。5.4.5.3.2 通过使用 SAI-DATA.request，应用层应能够将数据发送至对等实体（见 Subset

39、-037） 。5.4.5.3.3 通过使用 SAI-DATA.request，SAI 层应能够识别所连接的 SaCEPID。5.4.5.3.4 在 SAI 帧头中，SAI 层应在应用数据上增加： 应用数据交互的消息类型； 序列号； TTS 域。如果使用 EC 防御技术，则 TTS 设为“0”； EC 计数及其版本（仅在使用 EC 防御技术时） 。5.4.5.3.5 SAI 层通过使用 Sa-DATA.request 原语，将其处理完的数据传送至 MASL。Sa 用户数据参数由消息类型，序列号，TTS 域和 EC 域连接组成。只有使用 EC 防御技术时，EC 域才会出现。5.4.5.3.6 以下

40、过程用来描述如何接收应用数据消息。5.4.5.3.7 MASL 层可以使用 Sa-DATA.indication 将数据传送至 SAI 层处理，并由 SAI 层传送到应用层。5.4.5.3.8 Sa-DATA.indication 应提供 SaCEPID。5.4.5.3.9 Sa 用户数据参数由下列部分组成： 应用数据的消息类型； 序列号；CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 18 页 TTS 域。如果使用 EC 防御技术，则时间戳设为“0”； EC 计数（仅在使用 EC 防御技术时） 。5.4.5.3.10 “消息类型”应属于为

41、应用数据交互而定义的消息类型之一。5.4.5.3.11 SAI 应在 EC 计数或 TTS 检查前对序列号进行检查。5.4.5.3.12 如果使用 EC 防御技术，则无须检查 TTS 域，而只须检查 EC 域。5.4.5.3.13 如果使用 TTS 防御技术，则必须检查 TTS 域。5.4.5.3.14 若以上所有检查均成功执行，则应使用 SAI-DATA.indication 将应用数据和 SaCEPID 传送至应用层。5.4.5.3.15 应用数据交互如下图所示：从 应 用 层 至 MASL层 SAI层 SAI-DTA.requst： Sa-DAT.requst： SaCEPID Ap用

42、户 数 据 CEPID Sa用 户 数 据 将 消 息 类 型 域 设 为 应 用数 据 的 传 送 值 序 列 号 消 息 类 型 域 序 列 号 TS 如 果 使 用 了 EC防 御 技 术 ， 则将 时 间 戳 设 为 “0” EC计 数 （ 仅 在 使 用 EC防 御 技 术 时 ） Ap用 户 数 据 EC计 数 （ 如 果 使 用 EC防 御 技 术 ） 至 应 用 层 从 MASL层 如 果 检 查 OK SAI-DTA.indication aCEPID Ap用 户 数 据 消 息 类 型 域 检 查 SaCEPID 用 户 数 据 -DAT.indication 消 息 类

43、型 域 序 列 号 TS EC计 数 （ 仅 在 使 用 EC防 御 技 术 时 ） Ap用 户 数 据 序 列 号 检 查查 如 果 使 用 了 TS防 御 技术 ， 则 检 查 时 间 戳 或 如 果 使 用 了 EC防 御 技术 ， 则 检 查 计 数 图 9：应用数据交互过程5.4.5.4 SAI 管理消息5.4.5.4.1 SAI 执行某些特定程序，通过 TTS 或 EC 计数确保对消息的防护（见第 5.4.8.5 节，5.4.8.7 节，5.4.9.3 节和 5.4.9.6 节） 。在执行此类程序期间，双方 SAI 层之间应交互 SAI管理消息。5.4.5.4.2 SAI 管理消息

44、通过消息类型域的特定值或无任何应用数据的消息进行识别。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 19 页5.4.5.4.3 SAI 管理信息应通过 Sa-DATA.request 和 Sa-DATA.indication 原语在 SAI 层之间进行交换。5.4.5.4.4 SN，TTS 和 EC 域应采用和应用数据交互过程相同的处理方式。5.4.5.4.5 在消息传输中，根据管理消息的类型选择消息类型域值。用户数据是来自应用层还是由SAI 自行计算，这取决于管理消息的类型。如果没有任何应用数据被传送至对等应用层，则 SAI 层会为管理

45、消息选择适当的 SaCEPID。5.4.5.4.6 SAI 应根据接收的管理消息类型，决定用户数据是由 SAI 自行处理，或将 SaCEPID 和应用数据一起传送至应用层。5.4.6 消息类型域5.4.6.1.1 共定义 10 种消息类型，其中，TTS 防御技术中使用的消息类型有 6 种，EC 防御技术中使用的消息类型有 4 种。5.4.6.1.2 TTS 防御技术中使用的消息类型如下所示：OffsetStart 消息（用于时钟偏移估算的第 1 个消息）： 1OffsetAnsw1 消息（用于时钟偏移估算的第 2 个消息）： 2OffsetAnsw2 消息（用于时钟偏移估算的第 3 个消息）：

46、 3OffsetEst 消息（用于时钟偏移估算的第 4 个消息）： 4OffsetEnd 消息（用于时钟偏移估算的第 5 个消息）： 5使用 TTS 保护的应用消息： 65.4.6.1.3 EC 防御技术中使用的消息类型如下所示（十六进制）：EC 起始消息： 81使用 EC 保护的应用消息： 86使用 EC 保护并请求应答的应用消息： 87使用 EC 保护并含有应答确认的应用消息： 885.4.7 序列号防御技术5.4.7.1.1 序列号以 2 字节进行编码（Big Endian ） 。5.4.7.1.2 序列号值从 0 到 65535。5.4.7.1.3 每一个通信方向上的序列号应该是独立的

47、。5.4.7.1.4 对序列号不作初始化要求。对于从对等实体处接收到的第一个序列号，接收方不做检查。5.4.7.1.5 接收方无须检查接收到的第一条消息的序列号，只需对后续的消息检查其序列号与上一个序列号之间的差异。5.4.7.1.6 如果序列号值未达到最大值，则在此传输方向上的下一条消息序列号加 1。5.4.7.1.7 一旦序列号值达到最大值，则下一条传输消息的序列号设为“0” 。5.4.7.1.8 两个设备间的消息编号如下图所示：CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 20 页消 息 A至 B #0 消 息 B至 A #0 消

48、息 B至 A #1 消 息 B至 A #2 消 息 至 #1 消 息 A至 B #2 设备A 设备B 时间 图 10：消息编号5.4.7.2 序列号错误5.4.7.2.1 序列号可检测到下列错误： 消息重复； 消息删除； 消息重排序。5.4.7.2.2 一旦检测到错误，SAI 不能采取任何措施恢复丢失的数据。5.4.7.2.3 为消息序列检查而定义参数 N。N-1 是代表允许丢失消息的数量。需要配置 N 值，N 值等于或大于 1。5.4.7.2.4 如果接收到的 SN 不等于上次接收消息的 SN1，则被认为是消息序列错误。5.4.7.2.5 如果接收到的 SN 大于上次接收消息的 SNN，则应

49、丢弃此消息，并释放安全连接。5.4.7.2.6 如果接收到的 SN 大于上次接收消息的 SN1，并小于或等于 SNN，则不应丢弃此消息中的应用数据，并根据规定的错误处理方式（见第 5.4.10.1.2 节）来处理这一事件。5.4.7.2.7 如果接收到的 SN 小于或等于上次接收消息的 SN，则应丢弃此消息。5.4.7.2.8 需要根据 SAI 错误处理程序（见第 5.4.10 节）对序列号错误作出相应反应。5.4.7.2.9 下图说明当发生重复消息，删除消息或重排序消息时，SN 防御技术所采取的行为。假定N3，则允许丢失消息的数量为 0，1 或 2。CTCS-3 级列控系统标准规范RSSP-II5 规范名称：铁路安全通信协议- （RSSP- ） 第 21 页设 备 A 设 备 B SI SAI 消 息 重 复 消 息 A至 B #13 消 息 A至 B #13 消 息 有 效 TS或 EC以 及N 相 同 的 序 列