RSSP-II(铁路安全通信协议II)介绍

规定了信号安全设备之间通过封闭式网络或开放式网 络进行安全相关信息交互的功能结构和协议。
适用于铁路信号安全设备之间的安全通信接口。
2020/2/29
CTC/ATS部
3
简介 – 参考文献
序号
1 2 3 4 5
6
7 8 9Fra Baidu bibliotek10
11
国内标准
铁道应用：封闭式传输系统中安全通信要求 铁道应用：封闭式传输系统中安全通信要求 科技运[2008]127 号 CTCS-3级列控系统系统需求规范 科技运[2008]34 号 CTCS-3级列控系统总体技术方案 科技运[2008]168 号 CTC-3级列控系统无线通信功能接口规范
告。
2020/2/29
CTC/ATS部
15
CFM实例
2020/2/29
CTC/ATS部
16
对应实体间连接时的协议栈
2020/2/29
CTC/ATS部
17
ALE – 服务类别
对于不同的服务质量（在ALE中称为“服务类别”）说明如 下：
A类服务——通常使用两条链路，其中任何一条均可用于数 据传输。所有ALEPKT均只在一条链路上传输（通常情况下， 两条链路均具有相同的性能）；
英文全称 Connection Request Connection Confirm Data Transport Disconnect First Authentication Message Second Authentication Message Third Authentication Message Authentication Response Triple DES
应答方应当验证CR帧中ID；发起方应当验证CC帧中 的ID。每条TCP连接上都必须验证。
2020/2/29
CTC/ATS部
20
ALE – D类服务的数据传输
所有数据应当在两个TCP连接上传输，并在两个通道中使用相同的传 输序列号。
在消息接收侧，至少存在两种可能的处理方式：a） 只要收到消息的 传输序号大于上一次向用户传送的消息中的传输序列号，就向用户传 送该消息。b） 如果消息的传输序列号等于上一次向用户传送的消息 中的传输序列号加1，则向用户传送该消息，如果传输序列号大于最后 一个传输序列号加1，则丢弃该消息。
本规范定义如何使用传输层原语，从而可以获得基于 TCP的冗余服务。它为铁路安全设备提供了通过国际 标准进行通信的方法，且无需了解其它系统的详细特 征。
2020/2/29
CTC/ATS部
13
CFM 一般特点
铁路应用消息的可靠、全双工传输。
用户数据的透明传输。信息的内容、格式或编码不受 限制。无需为实现传输而了解被传输数据结构和含义。 也就是说，协议绝不应限制待传输的数据类型。
中文全称 连接请求 连接确认 数据传输 连接中断 第一个验证消息 第二个验证消息 第三个验证消息 验证确认消息 三重DES加密算法
2020/2/29
CTC/ATS部
6
大纲
1 • RSSP-II简介 2 • RSSP-II体系结构 3 • RSSP-II安全防御矩阵 4 • RSSP-II通信功能模块 5 • RSSP-II安全功能模块
CTC/ATS部
19
ALE – D类服务的连接建立
所有的ALEPKT均在全部的TCP连接上被传输，以用于 支持两个实体间的一个安全连接。
在连接建立阶段，CR（AU1）和CC（AU2）的传输序 列号为0，在两条TCP连接上以相同的方式发送。
在连接建立阶段，ALE实体应当使用接收到的首个AU1 和AU2 ALEPKT，并丢弃此后接收到拷贝。（CR与CC 不可以丢弃！！！）
所有ALEPKT都可以从余下的TCP连接中获得。
2020/2/29
CTC/ATS部
22
ALE – D类服务的通道监测
D类服务中应使用TCP提供的标准生命保持特性 （TCP-KeepAlive）来执行连接与物理链路监测。
双方的TCP实体都应当具备生命保持特性。
当应用程序采用周期发送数据的形式时，不要求TCP 层进行连接监测。
2020/2/29
CTC/ATS部
7
体系结构 – 协议栈
应用层
应用处理
应用层协议（ 端到端 ）
安全功能 模块
通信功能 模块
安全应用中间子层
消息鉴定安全层
操
作
和
适配及冗余管理层
维 护
传输层
O
&
M 网络层
数据链路层
安全应用中间子层协议（ 端到端 ） [Subset037] （ 端到端 ）
适配层协议 传输层协议（ TCP ） 网络层协议 （ IP ）
在ALE 实体之间使用两条链路时，如果其中一条链路 是用于建立/释放ALE 连接并交换含有应用数据 ALEPKT的，则该链路称为“活动链路”(Active)；另 一条链路称为“非活动链路”(Non Active)。当在两种 链路之间进行切换时，则活动链路变成非活动链路， 反之亦然。
2020/2/29
CTC/ATS部
21
ALE – D类服务的冗余管理
当发送方不能够在某TCP 连接上发送数据，或者TCP连接 出错时，该TCP连接应当被关闭并继续通过其它链路传送 数据ALEPKT。连接发起方的ALE 应试图重建任何失效的 TCP连接。
在接收方，任何被视为已经失效的TCP连接都应当关闭， 此外，除非其为连接的发起方，不应再采取进一步的动作， 如果是连接的发起方，则应试图重新建立该连接。
物理层
传输系统
图例 ：
由本规范指定
从标准规范中引用
超出范围
2020/2/29
CTC/ATS部
8
体系结构 – PDU结构
2020/2/29
CTC/ATS部
9
大纲
1 • RSSP-II简介 2 • RSSP-II体系结构 3 • RSSP-II安全防御矩阵 4 • RSSP-II通信功能模块 5 • RSSP-II安全功能模块
高效的数据传输，CFM 应当支持高性能需求，包括高 速、低时延地传输大量数据。
对各种已知和当前未知的应用系统开放。 支持物理链路冗余性，以增强可用性。
2020/2/29
CTC/ATS部
14
ALE层服务原语
连接建立服务包括： T-CONNECT.request：用户向ALE要求建立传输连接； T-CONNECT.response: 用户向ALE表明接受连接请求； T-CONNECT.indication: 通知用户ALE正在建立传输连接； T-CONNECT.confirmation: 通知用户ALE已经建立连接；
RSSP-II介绍
2020/2/29
CTC/ATS部
1
大纲
1 • RSSP-II简介 2 • RSSP-II体系结构 3 • RSSP-II安全防御矩阵 4 • RSSP-II通信功能模块 5 • RSSP-II安全功能模块
2020/2/29
CTC/ATS部
2
简介 – 概念
RSSP（Railway Signal Safety Protocol），中文全称为 铁路信号安全通信协议。
RBC-RBC安全通信接口规范
离线密钥管理规范 RBC/RBC切换功能接口规范 网络协议V4、V6 传输控制协议V4（TCP V4）
高级数据链路控制规程
国际标准
EN 50159-1 EN 50159-2 N/A N/A Subset-037 欧标规范子集037：欧洲无 线功能接口规范 Subset-038
用于识别应用类型。ALEPKT中的应用类型参数可以被接收ALE忽略。
传输序列号用于接收方适配层管理两个活动的TCP连接的切换。传输序列号 字段不用于A类服务。在A类服务中，传输序列号的数值被设为“0”。 用于发送方ALE说明发送ALEPKT的正常或冗余链路。在配置阶段，链路的“ 正常”或“冗余”属性是固定的。链路应当进行正常-正常、冗余-冗余连接。 N=1；R=0。 包类型描述。 如果此项不属于选定的服务类别中指定的包类型的一种，接收方ALE应丢弃 该包，此时也可以关闭该TCP连接。 按照FCS-16计算的CRC（针对前6个字段的8个字节）用于确定是否存在数据 传输错误。生成多项式为CRC-CCITT（x16+x12+x5+1），初始值为0xFFFF。循 环冗余校验（CRC）算法在参见ISO/IEC3309。 CRC的最终结果在发送或者接收实体中无须取反。计算得到的CRC校验和的最 高项对应该字段的最低有效位。 A类服务中的生命信息不需要进行CRC检验。 长度合法的用户数据。
Subset-039 Subset-108 RFC0791、RFC2460 RFC0793
ISO/IEC 3309
2020/2/29
CTC/ATS部
4
简介 – 缩略语
简称 ALE
CFM EC MASL PDU SAI SFM SN TCP TTS
英文全称 Adaptation & redundancy management
2020/2/29
CTC/ATS部
23
ALE – PDU格式
字段名称 包长度
版本 应用类型 传输序列号 N/R标志
包类型
校验和
用户数据
长度 2字节 1字节 1字节 2字节 1字节
1字节
2字节
变量
描述
去除本字段后，整个ALEPKT的长度。
用于识别适配层为其它方提供的服务程序。它作为配置的一部分须在对等实 体之间达成一致。ALEPKT中的版本参数可以被接收的ALE忽略。
D类服务——通常使用两条链路，所有ALEPKT在两条链路上 均被传输。
D类服务的实施是强制性的，而A类服务的实施是可选的。 A类服务和D类服务均可在单物理链路上实现，不会造成任
何安全影响。 客户端与服务端的服务类别应相同。
2020/2/29
CTC/ATS部
18
ALE – A类服务
在ALE 实体之间使用两条链路，则应该固定配置一条 为正常链路（Normal），另一条为冗余链路 （Redundancy）。
Layer Entity Communication Function Module
Execution Cycle Message Authentication Safety Layer
Protocol Data Unit Safety Application Intermediate layer
Safety Function Module Sequence Number
2020/2/29
CTC/ATS部
10
防御矩阵
2020/2/29
防御
威胁
加
安
TTS或
反馈信 源和目的地标 消息识
密
序列号
超时
全
EC
息
识符
别过程
技
码
术
重复
X
删除
X
插入
X
重排序
X
损坏
X
延迟
X
伪装
X
CTC/ATS部
11
大纲
1 • RSSP-II简介 2 • RSSP-II体系结构 3 • RSSP-II安全防御矩阵 4 • RSSP-II通信功能模块 5 • RSSP-II安全功能模块
2020/2/29
CTC/ATS部
2020/2/29
CTC/ATS部
12
通信功能模块 – ALE层概述
本规范中，两个终端系统均假设为固定的（非移动 的），并且能够与行业标准的高速网络连接。
本规范在冗余适配管理层实体（ALE）中定义了ISO TP2服务与TCP之间的映射关系，该实体通过离散的、 非定长的ALE数据包（ALEPKT），实现端到端的数据 传输。
数据传输服务包括： T-DATA.request: 用户要求发送数据 T-DATA.indication: 收到数据时向用户报告；
连接释放服务包括： T-DISCONNECT.request: 用户要求ALE断开连接； T-DISCONNECT.indication: ALE收到对方的断开连接请求时向用户报
Transport Control Protocol Triple TimeStamp
中文全称 适配及冗余管理层实体
通信功能模块 执行周期
消息鉴定安全层 协议数据单元 安全应用中间子层 安全功能模块
序列号 传输控制协议 三重时间戳
2020/2/29
CTC/ATS部
5
简介 – 缩略语
简称 CR CC DT DI AU1 AU2 AU3 AR 3DES
一个TCP 通道上的数据传输发生故障时，适配层不需要解决这一问题， 而是应当简单地释放连接，并拒绝接受该通道的数据；在实施中，可 以选择将故障报告给ALE 用户。
任何ALEPKT，如果其传输序列号小于或等于与已经向TS用户传送过 的ALEPKT的传输序列号，都应被接收方丢弃。
2020/2/29