RSSP II鐵路信號安全通信協(xié)議(V05)

1、RSSP-II鐵路信號安全通信協(xié)議V0.52008年12月CTCS-3級列控系統(tǒng)標準規(guī)范1. 修訂歷史版本號：日期章節(jié)號修訂/描述作者V0.12008年11月15日全部初稿接口組V0.22008年11月20日全部根據2008.11.17日通號公司討論意見修改接口組V0.32008年11月27日全部根據2008.11.24日C3組會議討論意見修改接口組V0.42008年12月26日全部根據2008.12.24日C3組及鐵科院、交大、卡斯科等單位討論意見修改接口組V0.52008年12月31日修改部分文字表述根據2008.11.31日C3組會議討論意見修改接口組V0.5RSSP-鐵路信號安全通信協(xié)

2、議第107頁2. 目錄1.修訂歷史I2.目錄I3.簡介13.1目的及范圍13.2參考文獻13.3術語和定義23.4縮略語24.參考結構44.1綜述44.2鐵路信號安全設備間安全通信接口44.3各層功能64.3.1安全功能模塊（SFM）64.3.2通信功能模塊（CFM）74.4傳輸系統(tǒng)的分類74.5假設75.安全功能模塊95.1簡介95.2安全功能模塊的功能95.3消息鑒定安全層（MASL）115.4安全應用中間子層（SAI）125.4.1概述125.4.2到SAI層服務接口145.4.3到MASL層服務接口155.4.4消息結構155.4.5SAI協(xié)議175.4.6消息類型域215.4.7序列

3、號防御技術215.4.8TTS245.4.9EC防御技術375.4.10錯誤處理455.5數(shù)據配置及規(guī)則465.5.1簡介465.5.2連接初始化規(guī)則465.5.3TTS參數(shù)定義475.5.4EC參數(shù)定義495.5.5錯誤處理指導505.6TTS示例516.通信功能模塊536.1一般規(guī)則536.2概述536.2.1一般描述536.3功能特性546.3.1TCP與傳輸2類服務和協(xié)議的對應關系546.3.2服務類別556.3.3A類服務請求566.3.4D類服務請求566.3.5TS用戶與TCP間的關系576.3.6傳輸優(yōu)先級586.4使用適配層實體進行傳輸層模擬586.4.1概述586.4.2接

4、口服務定義596.4.3X.214原語對TCP的映射626.4.4尋址646.4.5適配層數(shù)據包格式646.5接口協(xié)議定義666.5.1運用TCP/IP提供ISO傳輸2類協(xié)議666.5.2ALE操作716.5.3數(shù)據傳輸776.5.4連接釋放796.6不同服務類別的實施和冗余管理836.6.1A類服務836.6.2D類服務886.6.3ALEPKT概述906.7適配層管理ALEPKT錯誤處理916.8底層協(xié)議棧936.8.1簡介936.8.2TCP參數(shù)協(xié)商（強制性）936.8.3網絡服務定義946.8.4網絡協(xié)議946.9適配層配置與管理946.9.1總則946.9.2定時器參數(shù)946.9.3

5、呼叫與ID管理（適配層和TCP）947.資料性附錄957.1TCP參數(shù)協(xié)商957.1.1TCP服務選項957.2地址映射967.3數(shù)據鏈路層987.3.1以太網987.3.2介質訪問控制987.3.3廣域連接987.4密鑰管理987.4.1范圍987.4.2密鑰管理概念和原理997.4.3KMS的各個階段和參與方997.4.4一般原則1007.4.5密鑰層級1017.4.6密鑰分配1027.4.7基本的KM功能1027.4.8縮略語與定義1047.5校驗和結果實例1063. 簡介3.1 目的及范圍3.1.1.1.1本文件規(guī)定了信號安全設備之間通過封閉式網絡或開放式網絡進行安全相關信息交互的功能

6、結構和協(xié)議。3.1.1.1.2本規(guī)范適用于鐵路信號安全設備之間的安全通信接口。3.2 參考文獻1EN 50159-1Railway applications Communication, signalling and Processing systems Part 1: Safety-related communication in closed transmission systems鐵道應用：封閉式傳輸系統(tǒng)中安全通信要求2EN 50159-2Railway applications Communication, signalling and Processing systems Part

7、2: Safety-related communication in open transmission systems鐵道應用：封閉式傳輸系統(tǒng)中安全通信要求3科技運2008 127號CTCS-3級列控系統(tǒng)系統(tǒng)需求規(guī)范（SRS）4科技運2008 34號CTCS-3級列控系統(tǒng)總體技術方案5CTCS-3級列控系統(tǒng)無線通信接口規(guī)范6ERTMS/ETCS Subset-038離線密鑰管理FIS，v2.1.117ERTMS/ETCS Subset-039RBC/RBC移交FIS，v2.1.28ERTMS/ETCS Subset-108ETCS/ERTMS 1級，TSI附錄A，v1.1.09ITU-T X

8、.214信息技術，開放系統(tǒng)互聯(lián)，傳送服務定義10ITU-T X.224信息技術，開放系統(tǒng)互聯(lián)，提供OSI連接模式的傳送協(xié)議11RFC0791網絡協(xié)議V412RFC2460網絡協(xié)議V613RFC0793傳輸控制協(xié)議V414ISO/IEC 3309信息技術系統(tǒng)間的通信和信息交換高級數(shù)據鏈路控制程序（HDLC）框架結構3.3 術語和定義本文件中使用了標準EN 50159-1和EN 50159-2的定義，并附加使用了以下術語。應用處理：描述通信關系的應用層實體。執(zhí)行周期：處理周期以及與其相關的遞增計數(shù)（基于計算機的恒定處理周期）。密鑰管理規(guī)范的縮略語和定義包含在本規(guī)范的資料性附錄中。3.4 縮略語縮略

9、語含義ALE適配及冗余管理層實體ALEPKTALE數(shù)據包，ALE之間交換的PDUApPDU應用PDUCFM通信功能模塊EC執(zhí)行周期IP網際協(xié)議MASL消息鑒定安全層PDU協(xié)議數(shù)據單元QoS服務質量SaCEPID安全連接端點識別符SAI安全應用中間子層SAP服務接入點SaPDU安全協(xié)議數(shù)據單元SaS安全服務SFM安全功能模塊SL安全層SN序列號TCEPID傳輸連接端點識別符TCP傳輸控制協(xié)議TPDU傳輸協(xié)議數(shù)據單元TS傳輸服務TSAP傳輸服務接入點TTS三重時間戳4. 參考結構4.1 綜述4.1.1.1.1封閉式網絡在EN50159-1中定義為：“可連接設備的最大數(shù)量和拓撲結構已知的，傳輸系統(tǒng)的

10、物理特征是固定的傳輸系統(tǒng)，并可以忽略未授權訪問的風險。”4.1.1.1.2開放式網絡在EN50159-2中定義為：“連接設備數(shù)量未知的傳輸系統(tǒng)，它擁有未知的、可變的且非置信的特征，用于未知的通信服務，對此系統(tǒng)應評估未經授權的訪問?！?.1.1.1.3這兩種網絡類型都應被考慮。4.1.1.1.4安全通信系統(tǒng)間的總體結構（根據EN50159-2）如圖1所示。圖1：安全通信系統(tǒng)的總體結構4.2 鐵路信號安全設備間安全通信接口4.2.1.1.1本節(jié)描述安全通信系統(tǒng)的功能結構，對內層實現(xiàn)不作限制。不應將其理解為對軟件實現(xiàn)的要求。4.2.1.1.2鐵路信號安全設備之間安全通信接口采用分層結構。該接口規(guī)范所

11、包含的各層如圖2中陰影部分所示。圖2：安全通信系統(tǒng)的結構4.2.1.1.3安全信息傳輸?shù)膽脜f(xié)議見各安全設備間應用層協(xié)議，不屬于本規(guī)范范圍。4.2.1.1.4經由非安全低層傳輸?shù)陌踩嚓P信息需要在安全層中進行處理。消息鑒定安全層（MASL）參照文獻5制定，在MASL層的基礎上增加安全應用中間子層（SAI）。4.2.1.1.5適配及冗余管理層（ALE）提供MASL層和傳輸層之間的適配和冗余處理。4.2.1.1.6傳輸層協(xié)議參見TCPRFC0793。重發(fā)功能由TCP的常規(guī)機制來提供。4.2.1.1.7網絡層協(xié)議參見IPRFC0791。4.2.1.1.8本規(guī)范不對數(shù)據鏈路層作規(guī)定。4.2.1.1.9

12、本規(guī)范不對物理層作規(guī)定。4.2.1.1.10操作和維護（O&M）屬于具體實施的范疇，本規(guī)范不作規(guī)定。4.3 各層功能4.3.1 安全功能模塊（SFM）4.3.1.1.1本模塊提供的安全層必須能夠對EN 50159-1和EN 50159-2中列出的威脅進行檢測并提供充分的防護。4.3.1.1.2安全層實現(xiàn)以下安全相關的傳輸功能。Ø 消息的真實性（源地址和目的地址）；Ø 消息的序列完整性；Ø 消息的時效性；Ø 消息的完整性；Ø 安全錯誤報告；Ø 配置管理（安全設備間的安全通信協(xié)議棧）；Ø 訪問保護。4.3.1.1.3MA

13、SL層提供以下功能：Ø 消息的真實性（源地址和目的地址）；Ø 消息的完整性；Ø 訪問保護。4.3.1.1.4SAI層提供所需的其他安全相關的傳輸功能。4.3.1.1.5序列錯誤防護通過在用戶數(shù)據中增加序列號實現(xiàn)。4.3.1.1.6消息時效性防護通過在用戶數(shù)據中增加TTS或者EC計數(shù)實現(xiàn)。4.3.1.1.7EC和TTS對消息時延具有相同的防護等級。4.3.1.1.8TTS和EC計數(shù)僅允許一項有效，具體實施中由通信雙方協(xié)商決定。4.3.2 通信功能模塊（CFM）4.3.2.1.1通信功能模塊提供非置信的傳輸。4.3.2.1.2此模塊提供以下功能：Ø MASL

14、層和傳輸層之間的適配；Ø 冗余功能，以滿足系統(tǒng)可用性需求；Ø 數(shù)據的可靠、透明和雙向傳輸；Ø 必要時協(xié)議數(shù)據單元的重傳；Ø 通道可用性監(jiān)測。4.4 傳輸系統(tǒng)的分類4.4.1.1.1為了使本規(guī)范具有通用性，不對開放式傳輸系統(tǒng)類別作限定。本規(guī)范參考具有最高安全風險級別的開放式傳輸系統(tǒng)類別7參見EN 50159-2來制定。4.5 假設4.5.1.1.1設定條件如下：Ø 對文獻5中規(guī)定的“高優(yōu)先級”消息不作要求；Ø 目前對多路復用技術不作要求，但是該項功能可以通過在每個邏輯連接中使用一條TCP鏈路來實現(xiàn)；Ø 非顯式流量控制；

15、6; SFM檢測出的安全相關錯誤可能在SAI層之外進行處理；Ø 用戶數(shù)據長度不超過1000 字節(jié)。5. 安全功能模塊5.1 簡介5.1.1.1.1本節(jié)規(guī)定安全功能模塊（SFM）。5.1.1.1.2本節(jié)僅描述相關的功能接口，以確保在安全功能模塊層面的互聯(lián)。5.1.1.1.3安全功能模塊的組成：Ø MASL層；Ø SAI層。5.1.1.1.4通過這兩層結合將對EN 50159-2文件中所定義的威脅提供全面的防護。5.2 安全功能模塊的功能5.2.1.1.1安全功能模塊提供同開放式傳輸系統(tǒng)類別7相適應的安全服務。5.2.1.1.2本節(jié)規(guī)定了在安全功能模塊中防護技術的具體

16、實現(xiàn)。5.2.1.1.3根據EN 50159-2標準，對于一般的傳輸系統(tǒng)而言，所有可能的威脅如下（參見EN 50159-2的定義）：Ø 重復；Ø 刪除；Ø 插入；Ø 重排序；Ø 損壞；Ø 延遲；Ø 偽裝。5.2.1.1.4為了減少標準中定義的威脅風險，安全功能模塊應提供以下的安全服務（參見EN 50159-2的定義）：Ø 消息的真實性；Ø 消息的完整性；Ø 消息的時效性；Ø 消息的有序性。5.2.1.1.5MASL層和SAI層的結合為開放式傳輸系統(tǒng)提供了一種安全保護措施。5.2.1.1

17、.6MASL層可以預防以下威脅：Ø 損壞；Ø 偽裝；Ø 插入。5.2.1.1.7通過添加安全碼（消息驗證碼MAC）和連接標識符（源和目的地標識符）提供防護。5.2.1.1.8SAI層可以預防以下威脅：Ø 延遲；Ø 重排序；Ø 刪除；Ø 重復。5.2.1.1.9通過添加延遲防御技術（EC或TTS）和序列號（SN）提供保護。5.2.1.1.10安全功能模塊提供的保護如表1所示。表1：安全功能模塊的防御技術威脅防御序列號SNTTS或EC超時反饋信息源和目的地標識符消息識別過程安全碼加密技術重復X刪除X插入X重排序X損壞X延遲X偽裝

18、X5.3 消息鑒定安全層（MASL）5.3.1.1.1MASL層由文獻5規(guī)定。5.3.1.1.2MASL層參照文獻5，但是不使用其中的高優(yōu)先級數(shù)據業(yè)務。所有的數(shù)據傳輸均應使用正常的數(shù)據業(yè)務來進行。5.3.1.1.3表2規(guī)定SAI-MASL接口的SaS原語參數(shù)的使用。表2：SaS原語參數(shù)參數(shù)文獻5SFM的使用說明地址類型5.2.如果需要的話，可以使用網絡地址5.2.如果使用，可用于識別被叫方的32位目的IP地址和16位目的TCP端口號移動網絡ID5.2.不使用主叫CTCS ID 類型5.2.主叫安全設備CTCS ID類型主叫CTCS ID5.2.用于初始化連接的主叫CTCS ID 被叫CTCS

19、ID類型5.2.被叫安全設備CTCS ID類型被叫CTCS ID5.2.用于接受連接請求的被叫CTCS ID 應用類型5.2.參見文獻5中定義的應用類型服務質量類型5.2.QoS域用于表示建立連接的服務類型。服務類型A和服務類型D可供使用SaCEPID5.2.由本地提供用來辨識各個安全連接的參數(shù)5.3.1.1.4由本地實現(xiàn)SAI層和MASL層之間的接口。5.3.1.1.5表3規(guī)定了安全信號設備間安全通信接口中MASL層的配置：表3：MASL層的配置參數(shù)文獻5SFM值說明SaS用戶數(shù)據的最大長度5.3.1000字節(jié)Testab7.2.5.3最大應用值：40秒推薦值為40秒，對于安全信號設備間的通

20、信可能采用更低值5.4 安全應用中間子層（SAI）5.4.1 概述5.4.1.1.1安全應用中間子層提供：通過序列號和TTS/EC計數(shù)對數(shù)據進行保護；Ø 到應用層接口；Ø 到MASL層接口。5.4.1.1.2通過給用戶數(shù)據添加一個序列號域，防止數(shù)據的重復、刪除和重排序。5.4.1.1.3通過給用戶數(shù)據添加TTS或EC計數(shù)防止數(shù)據延遲。5.4.1.1.4時間戳的防御技術基于發(fā)送方和接收方之間時鐘偏移的計算。5.4.1.1.5為了發(fā)送方和接收方依據執(zhí)行初始化程序對時鐘偏移進行估算，需要在SAI幀頭中定義初始化過程的消息類型。5.4.1.1.6對于由發(fā)送方發(fā)送給接收方的消息，通過

21、添加以下字段構成TTS：Ø 數(shù)據傳輸時的發(fā)送方時間戳；Ø 發(fā)送方接收的上一條消息中的接收方時間戳；Ø 發(fā)送方接收上一條消息時的發(fā)送方時間戳。5.4.1.1.7TTS信息如圖3所示。圖3：時間戳信息5.4.1.1.8當不使用TTS的方法時，選擇EC防御技術。EC防御技術通過在用戶數(shù)據上添加EC計數(shù)來檢查消息的壽命。5.4.1.1.9EC防御技術也要求有一個初始化過程。在此過程中，每一個通信實體的EC值被發(fā)送給對等實體。5.4.1.1.10EC和TTS的防御技術是相互排斥的。5.4.2 到SAI層服務接口5.4.2.1.1 SFM通過安全服務接入點上的安全服務原語及其

22、相應的參數(shù)，提供安全服務。5.4.2.1.2 SAI層僅提供功能規(guī)范，而原語的實施由本地提供，不會影響安全設備的互通。5.4.2.1.3SAI層連接建立服務：Ø SAI-CONNECT.request：用戶要求SAI建立連接；Ø SAI-CONNECT.indication：被叫SAI實體收到連接請求后通知被叫SAI用戶；Ø SAI-CONNECT.response：應答SAI用戶用來接受到SAI實體的連接；Ø SAI-CONNECT.confirm：主叫SAI實體獲得被叫對等實體的響應后向主叫SAI用戶報告SAI連接成功建立。5.4.2.1.4SAI數(shù)

23、據傳輸服務：Ø SAI-DATA.request：SAI用戶用來向對等實體傳輸應用數(shù)據；Ø SAI-DATA.indication：向SAI用戶表示來自對等實體數(shù)據已成功接收。5.4.2.1.5SAI連接釋放服務：Ø SAI-DISCONNECT.request：SAI用戶強制釋放SAI連接；Ø SAI-DISCONNECT.indication：用來通知SAI用戶SAI連接釋放。5.4.3 到MASL層服務接口5.4.3.1 SAI層實現(xiàn)的功能在MASL層之上。5.4.3.2 MASL層的應用約束了SAI層的設計，因此為了能適配MASL層，SAI層應能

24、夠與文獻5中規(guī)定的“安全服務接口”適配。5.4.4 消息結構5.4.4.1.1消息結構如圖4所示。圖4：消息結構5.4.4.1.2消息類型決定SAI幀頭結構。5.4.4.1.3應考慮到兩種不同情況：Ø SAI幀頭適用于安全數(shù)據的傳輸（參見文獻5）；Ø 僅MASL層用于安全連接管理。5.4.4.1.4就安全數(shù)據傳輸而言，由SAI層添加的幀頭結構如圖5/圖6所示。圖5：使用TTS時的SAI幀頭結構圖6：使用EC時的SAI幀頭結構5.4.4.1.5SAI層的所有域均使用Big Endian方式編碼。5.4.4.1.6“消息類型”域用于識別消息類型，使用一個字節(jié)進行編碼。5.4.4

25、.1.7“序列號”域用于定義消息順序號，使用兩字節(jié)編碼。5.4.4.1.8如果使用了TTS，“發(fā)送方時間戳”域應填寫消息傳送至本地MASL層實體時的發(fā)送方時間戳。發(fā)送方時間戳使用四個字節(jié)編碼。5.4.4.1.9如果使用了TTS，“上一次接收方時間戳”域應填寫由“接收方”產生，從接收方傳輸給發(fā)送方的最后一個消息的時間戳，OffsetStart信息除外（見§5.4.8.4）。本時間戳使用四個字節(jié)編碼。5.4.4.1.10如果使用了TTS， “上一次的消息接收時間戳”域應填寫由本地MASL層實體上傳上一條消息時的本地時間戳，OffsetStart信息除外（參見§5.4.8.4）。

26、本時間戳使用四個字節(jié)編碼。5.4.4.1.11只有使用EC防御技術時，才使用“EC計數(shù)”域，并出現(xiàn)在幀頭中。5.4.4.1.12EC計數(shù)使用四字節(jié)編碼。5.4.4.1.13EC防御技術和TTS防御技術互相排斥，若使用EC防御技術，則與TTS防御技術相關的域將不被檢查，此時“TTS”域所有字段的值應被設為0。5.4.5 SAI協(xié)議5.4.5.1 連接過程5.4.5.1.1兩個設備之間的連接過程如圖7所示。圖7：SAI 連接過程5.4.5.1.2SAI服務原語應被映射到SA服務原語上，以用于連接建立。5.4.5.2 斷開連接過程5.4.5.2.1兩個設備之間的連接斷開過程如圖8所示。圖8：斷開連接

27、過程5.4.5.2.2SAI服務原語應被映射到SA服務原語上，以用于連接斷開。5.4.5.3 應用數(shù)據交互過程5.4.5.3.1以下過程用來描述如何傳輸應用數(shù)據消息。5.4.5.3.2通過使用SAI-DATA.request，應用層應能夠將數(shù)據發(fā)送至對等實體（見文獻5）。5.4.5.3.3通過使用SAI-DATA.request，SAI層應能夠識別所連接的SaCEPID。5.4.5.3.4在SAI幀頭中，SAI層應在應用數(shù)據上增加：Ø 應用數(shù)據交互的消息類型；Ø 序列號；Ø TTS域。如果使用EC防御技術，則TTS設為“0”；Ø EC計數(shù)及其版本（僅在使

28、用EC防御技術時）。5.4.5.3.5SAI層通過使用Sa-DATA.request原語，將其處理完的數(shù)據傳送至MASL。Sa用戶數(shù)據參數(shù)由消息類型，序列號，TTS域和EC域連接組成。只有使用EC防御技術時，EC域才會出現(xiàn)。5.4.5.3.6以下過程用來描述如何接收應用數(shù)據消息。5.4.5.3.7MASL層可以使用Sa-DATA.indication將數(shù)據傳送至SAI層處理，并由SAI層傳送到應用層。5.4.5.3.8Sa-DATA.indication應提供SaCEPID。5.4.5.3.9Sa用戶數(shù)據參數(shù)由下列部分組成：Ø 應用數(shù)據的消息類型；Ø 序列號；Ø

29、TTS域。如果使用EC防御技術，則時間戳設為“0”；Ø EC計數(shù)（僅在使用EC防御技術時）。5.4.5.3.10“消息類型”應屬于為應用數(shù)據交互而定義的消息類型之一。5.4.5.3.11SAI應在EC計數(shù)或TTS檢查前對序列號進行檢查。5.4.5.3.12如果使用EC防御技術，則無須檢查TTS域，而只須檢查EC域。5.4.5.3.13如果使用TTS防御技術，則必須檢查TTS域。5.4.5.3.14 若以上所有檢查均成功執(zhí)行，則應使用SAI-DATA.indication將應用數(shù)據和SaCEPID傳送至應用層。5.4.5.3.15應用數(shù)據交互如圖9所示。圖9：應用數(shù)據交互過程5.4.5

30、.4 SAI管理消息5.4.5.4.1SAI執(zhí)行某些特定程序，通過TTS或EC計數(shù)確保對消息的防護（見第5.4.8.5節(jié)，5.4.8.7節(jié)，5.4.9.3節(jié)和5.4.9.6節(jié)）。在執(zhí)行此類程序期間，雙方SAI層之間應交互SAI管理消息。5.4.5.4.2SAI管理消息通過消息類型域的特定值或無任何應用數(shù)據的消息進行識別。5.4.5.4.3SAI管理信息應通過Sa-DATA.request和Sa-DATA.indication原語在SAI層之間進行交換。5.4.5.4.4SN，TTS和EC域應采用和應用數(shù)據交互過程相同的處理方式。5.4.5.4.5在消息傳輸中，根據管理消息的類型選擇消息類型域值

31、。用戶數(shù)據是來自應用層還是由SAI自行計算，這取決于管理消息的類型。如果沒有任何應用數(shù)據被傳送至對等應用層，則SAI層會為管理消息選擇適當?shù)腟aCEPID。5.4.5.4.6SAI應根據接收的管理消息類型，決定用戶數(shù)據是由SAI自行處理，或將SaCEPID和應用數(shù)據一起傳送至應用層。5.4.6 消息類型域5.4.6.1.1共定義10種消息類型，其中，TTS防御技術中使用的消息類型有6種，EC防御技術中使用的消息類型有4種。5.4.6.1.2TTS防御技術中使用的消息類型如下所示：OffsetStart消息（用于時鐘偏移估算的第1個消息）：1OffsetAnsw1消息（用于時鐘偏移估算的第2個消

32、息）：2OffsetAnsw2消息（用于時鐘偏移估算的第3個消息）：3OffsetEst消息（用于時鐘偏移估算的第4個消息）：4OffsetEnd消息（用于時鐘偏移估算的第5個消息）：5使用TTS保護的應用消息： 65.4.6.1.3EC防御技術中使用的消息類型如下所示（十六進制）：EC起始消息： 81使用EC保護的應用消息：86使用EC保護并請求應答的應用消息：87使用EC保護并含有應答確認的應用消息：885.4.7 序列號防御技術5.4.7.1.1序列號以2字節(jié)進行編碼（Big Endian）。5.4.7.1.2序列號值從0到65535。5.4.7.1.3每一個通信方向上的序列號應該是獨立

33、的。5.4.7.1.4對序列號不作初始化要求。對于從對等實體處接收到的第一個序列號，接收方不做檢查。5.4.7.1.5接收方無須檢查接收到的第一條消息的序列號，只需對后續(xù)的消息檢查其序列號與上一個序列號之間的差異。5.4.7.1.6如果序列號值未達到最大值，則在此傳輸方向上的下一條消息序列號加1。5.4.7.1.7一旦序列號值達到最大值，則下一條傳輸消息的序列號設為“0”。5.4.7.1.8兩個設備間的消息編號如圖10所示。圖10：消息編號5.4.7.1 序列號錯誤5.4.7.2.1序列號可檢測到下列錯誤：Ø 消息重復；Ø 消息刪除；Ø 消息重排序。5.4.7.2

34、.2一旦檢測到錯誤，SAI不能采取任何措施恢復丟失的數(shù)據。5.4.7.2.3為消息序列檢查而定義參數(shù)N。N-1是代表允許丟失消息的數(shù)量。需要配置N值，N值等于或大于1。5.4.7.2.4如果接收到的SN不等于上次接收消息的SN1，則被認為是消息序列錯誤。5.4.7.2.5如果接收到的SN大于上次接收消息的SNN，則應丟棄此消息，并釋放安全連接。5.4.7.2.6如果接收到的SN大于上次接收消息的SN1，并小于或等于SNN，則不應丟棄此消息中的應用數(shù)據，并根據規(guī)定的錯誤處理方式（見第5.4.10.1.2節(jié)）來處理這一事件。5.4.7.2.7如果接收到的SN小于或等于上次接收消息的SN，則應丟棄此

35、消息。5.4.7.2.8需要根據SAI錯誤處理程序（見第5.4.10節(jié)）對序列號錯誤作出相應反應。5.4.7.2.9圖11說明當發(fā)生重復消息，刪除消息或重排序消息時，SN防御技術所采取的行為。假定N3，則允許丟失消息的數(shù)量為0，1或2。圖11：序列錯誤5.4.8 TTS5.4.8.1 簡介5.4.8.1.1時間戳處理過程基于發(fā)送方和接收方之間的時鐘偏移估算。通信雙方應在建立安全連接后和交換應用數(shù)據前，初始化時鐘偏移估算。5.4.8.1.2兩個設備之間的時鐘偏移估算值一旦確定，就能夠以一種安全的方式估算應用數(shù)據的時間有效性，而無須對遠程設備當前周期和（或）網絡特性作任何設定。5.4.8.1.3時

36、間戳調整過程（即時鐘偏移更新過程）由兩個設備之間5條消息的交換組成。通過該過程，每個設備都能估算它的內部時鐘和對等設備內部時鐘之間的時鐘偏移。5.4.8.1.4所有應用消息都要標記TTS。5.4.8.1.5第2和第3個時間戳僅用于計算和更新時鐘偏移估算值。第1個時間戳不僅用于估算和更新時鐘偏移，也用于計算應用數(shù)據的時間有效性。5.4.8.1.6接收到消息后，接收方利用時鐘偏移估算值，將發(fā)送方所傳送的時間戳調整為接收方時鐘，然后再計算應用數(shù)據的時間有效性。5.4.8.1.7發(fā)送方所發(fā)送的時間戳消息中的“過零點”，由接收方處理。5.4.8.1.8要定期使用時鐘偏移更新程序，對兩個系統(tǒng)之間的時鐘偏移

37、估算值進行更新。5.4.8.2 TTS格式5.4.8.2.1時間戳以32位Big Endian進行編碼。5.4.8.2.2TTS最低有效位的時間值等于10 ms。5.4.8.3 時鐘偏移估算原理5.4.8.3.1時鐘偏移估算值一旦確定，一個設備就能夠對其本身與對等設備之間所交換消息的時間有效性進行估算。5.4.8.3.2在安全連接初始化時進行時鐘偏移估算。時鐘偏移更新程序應在第一條應用消息交互前執(zhí)行。5.4.8.3.3由發(fā)起安全連接的設備啟動時鐘偏移更新程序。5.4.8.3.4通過兩個實體之間5個消息的交換來估算時鐘偏移。發(fā)起時鐘偏移更新程序的實體被稱為“發(fā)起方”，而另一個實體被稱為“應答方”

38、。5.4.8.3.5發(fā)起方使用前2個消息來計算兩個設備之間的最大和最小時鐘偏移。5.4.8.3.6應答方使用第2和第3個消息來計算兩個設備之間的最大和最小時鐘偏移。5.4.8.3.7第4和第5個消息用來驗證時鐘偏移估算值的有效性。5.4.8.4 時鐘偏移更新消息5.4.8.4.1OffsetStart消息結構如圖12所示。圖12：OffsetStart消息5.4.8.4.2OffsetStart消息分為不同的域，分別是：消息類型：1（十六進制值）；序列號；發(fā)送方時間戳：此域定義了進行時鐘偏移估算的發(fā)起方時間戳；上一次接收方時間戳：此域給出了上一次應答方傳送給發(fā)起方的時間戳。由于沒有之前應答方給

39、出的時間戳，設為“0”；上一次收到消息時的時間戳：此域給出了上一次從應答方處接收到消息時的時間值。由于沒有之前應答方給出的應用消息，此值設為“0”；發(fā)起方周期：此域給出了發(fā)起方向應答方進行周期性傳送消息的傳送周期。如果消息不是周期性傳送，則將此值設為“0”。“發(fā)起方周期”使用的格式和時間分辨率與時間戳域相同。5.4.8.4.3OffsetAnsw1消息結構如圖13所示。圖13：OffsetAnsw1消息5.4.8.4.4OffsetAnsw1消息分為不同的域，分別是：消息類型：2（十六進制值）；序列號；發(fā)送時間戳：此域定義了應答方的時間戳；上一次接收方時間戳：此域給出了發(fā)起方上次傳送給應答方的

40、發(fā)起方時間戳；上一次收到消息時的時間戳：此域給出了應答方接收到時鐘偏移更新過程的第一個消息時的應答方時間戳；應答方周期：此域給出了應答方向發(fā)起方進行周期性傳送消息的傳送周期。如果消息不是周期性傳送，則將此值設為“0”。 應答方周期使用的格式和時間分辨率與時間戳域相同。5.4.8.4.5OffsetAnsw2消息結構如圖14所示。圖14：OffsetAnsw2消息5.4.8.4.6OffsetAnsw2消息分為不同的域，分別是：消息類型：3（十六進制值）；序列號；發(fā)送方時間戳：此域定義了發(fā)起方的時間戳；上一次接收方時間戳：此域給出了應答方上次傳送給發(fā)起方的時間戳；上一次收到消息時的時間戳：此域給

41、出了發(fā)起方上次從應答方處接收消息時的時間戳（即OffsetAnsw1消息的接收時間）。5.4.8.4.7OffsetEst消息結構如圖15所示。圖15：OffsetEst消息5.4.8.4.8OffsetEst消息分為不同的域，分別是：消息類型：4（十六進制值）；序列號；發(fā)送方時間戳：此域定義了應答方的時間戳；上一次接收方時間戳：此域給出了發(fā)起方上次傳送給應答方的發(fā)起方時間戳；上一次收到消息時的時間戳：此域給出了應答方接收到的時鐘偏移更新過程的第3個消息時的時間戳；偏移標志：此域給出了應答方所估算的最小偏移值的正負標志。采用Big Endian編碼?！?”則表示偏移為正值或空值，“1”表示偏移

42、為負值；應答方估算的最小偏移值：此域給出了應答方所計算的最小偏移值。使用的格式和時間分辨率與時間戳域相同；偏移標志：此域給出了應答方所估算的最大偏移值的正負標志。采用Big Endian編碼。“0”則表示偏移為正值或空值，“1”表示偏移為負值；應答方估算的最大偏移值：此域給出了應答方所計算的最大偏移值。使用的格式和時間分辨率與時間戳域相同。5.4.8.4.9OffsetEnd消息結構如圖16所示。圖16：OffsetEnd消息5.4.8.4.10OffsetEnd消息分為不同的域，分別是：消息類型：5（十六進制值）序列號：消息編號發(fā)送方時間戳：此域定義了應答方的時間戳。上一次接收方時間戳：此域

43、給出了應答方上次傳送給發(fā)起方的時間戳。上一次收到消息時的時間戳：此域給出了發(fā)起方上次從應答方處接收到消息時的時間戳（即OffsetEst消息的接收時間）。檢查域：此域給出了對時鐘偏移值進行檢查的結果。經過比較，如時鐘偏移值有效，則將檢查域值設為“1”，如果無效，則檢查域值設為“0”。5.4.8.5 時鐘偏移更新過程5.4.8.5.1時鐘偏移更新過程如圖17所示。圖例說明：-Tinit_start和Tres_start：初始化定時器。如果在收到Offset Answers消息前計時終止，則將釋放并重啟安全連接。-TinitX和TresX：發(fā)起方和應答方的第X個時間戳。-Trescycl和Tini

44、tcycl：應答方和發(fā)起方傳送消息的周期。如果非周期性發(fā)送，則此參數(shù)設為“0”。-Tres_offset_max和Tinit_offset_max：發(fā)起方和應答方估算的最大偏移值。-Tres_offset_min和Tinit_offset_min：發(fā)起方和應答方估算的最小偏移值。-Toff_max：時鐘偏移估算值之間的最大差異。-有效/無效：時鐘偏移檢查的結果。圖17：時鐘偏移更新過程5.4.8.5.2發(fā)起方通過發(fā)送OffsetStart消息啟動時鐘偏移更新程序。5.4.8.5.3發(fā)送OffsetStart 消息時，發(fā)起方啟動定時器Tinit_start。如果Tinit_start終止時，發(fā)起

45、方仍未接收到OffsetAnsw消息，則根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.4在接收到OffsetStart消息后，應答方通過發(fā)送OffsetAnsw消息進行應答。5.4.8.5.5發(fā)送OffsetAnsw消息時，應答方啟動定時器Tres_start。如果Tres_start終止時，應答方仍未接收到OffsetAnsw2消息，則根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.6如果發(fā)起方在Tinit_start終止前接收到OffsetAnsw消息，則發(fā)起方對其與應答方之間的時鐘進行最大和最小偏移值的估算。5.4.8.5.7發(fā)起方向應答

46、方發(fā)送OffsetAnsw2消息。發(fā)送OffsetAnsw2消息時，發(fā)起方啟動定時器Tinit_start。如果Tinit_start終止時，發(fā)起方仍未接收到OffsetEst消息，則根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.8如果應答方在Tres_start終止前接收到OffsetAnsw2消息，則應答方對其與發(fā)起方之間的時鐘進行最大和最小偏移值的估算。5.4.8.5.9應答方向發(fā)起方發(fā)送OffsetEst消息。發(fā)送OffsetEst消息時，應答方啟動定時器Tres_start。如果Tres_start終止時，應答方仍未接收到OffsetEnd消息，則根據錯誤處

47、理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.10如果發(fā)起方在Tinit_start終止前接收到OffsetEst消息，則發(fā)起方對其與應答方分別估算的最大和最小偏移值進行檢查。然后，發(fā)起方通過OffsetEnd消息將檢查結果發(fā)送給應答方。如果檢查中發(fā)現(xiàn)錯誤，則根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.11在接收到OffsetEnd消息后，應答方將對時鐘偏移估算的結果進行檢查。如果檢查中發(fā)現(xiàn)錯誤，則根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.5.12如果時鐘偏移估算值有效，并且消息為某一方向或雙向周期傳輸，則可以選擇啟動一個T

48、TS周期定時器。此定時器非安全相關，僅用于在早期階段檢測丟失的周期消息。5.4.8.5.13每接收到一個消息時應復位該TTS周期定時器。如果定時器結束時仍未收到消息，則根據錯誤處理程序（見第5.4.10節(jié)）進行處理。5.4.8.6 時間戳標記和檢查5.4.8.6.1應用層之間傳送應用數(shù)據的消息結構如圖18所示。圖18：應用數(shù)據消息5.4.8.6.2此消息分別包括以下數(shù)據域：Ø 消息類型：6（十六進制值）；Ø 序列號；Ø 發(fā)送時間戳：定義發(fā)送方的時間戳；Ø 上一次接收方時間戳：此域給出接收方上一次傳送給發(fā)送方的時間戳；Ø 上一次收到消息時的時間戳

49、：此域給出上一次從對等實體處接收到消息時的時間戳；Ø 用戶數(shù)據：用戶數(shù)據域。5.4.8.6.3時間戳原理包括：將發(fā)送方本身的時間戳列入發(fā)送時間戳域。將上一次從接收方處接收的時間戳列入上一次接收方時間戳域。將發(fā)送方上一次從接收方處接收消息時的時間戳列入上一次接收消息時的時間戳域。5.4.8.6.4發(fā)送方所發(fā)送的時間戳消息中的“過零點”，由接收方處理。5.4.8.6.5TTS的原理如圖19所示。圖19：TTS原理5.4.8.6.6如果時間戳過程中出錯，則根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.6.7時間戳更新程序完成后，時鐘偏移的最大值和最小值既已確定，并可用

50、于估算應用數(shù)據消息的時間有效性。5.4.8.6.8發(fā)送方應根據發(fā)送方時鐘、上次從對等實體處接收到的時間戳以及上次從對等實體處接收消息的時間戳，對發(fā)送消息進行時間戳標記。5.4.8.6.9接收方接收到應用數(shù)據消息時，應使用接收方估算的最小偏移值以及附加處理延遲的估計值，將消息的發(fā)送時間按接收方時鐘進行估算。計算表達式如下：Treceiver=Ttime_stamp_sender - Textra_delay + Trec_offset_min5.4.8.6.10消息的時間有效性根據接收方估算的消息發(fā)送時間與接收到消息時的時間之間的差值（Trec_current - Treceiver）進行判斷。

51、5.4.8.6.11如果根據此差值判斷傳輸數(shù)據的時間有效，則表示延遲是可以接受的。時間有效性由Tmax定義。Tmax為雙方協(xié)定的配置參數(shù)。如果消息的延遲不可接受，則拒絕該消息，并根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.6.12Tmax參數(shù)與對等實體發(fā)送數(shù)據的最大有效時間相一致。5.4.8.6.13通過Tmax的值，可以檢測到傳輸時間的增大，以及雙方設備之間的正向時鐘偏移。5.4.8.6.14差值結果（Trec_current - Treceiver）應為正值。如果為負值，則根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.6.15時間有效性檢查過程

52、如圖20所示。圖例說明：Ttime_stamp_sender：發(fā)送方時間戳（TTS中發(fā)送方時間戳域）。Treceiver：根據接收方時鐘估算的應用數(shù)據的傳輸時間。Textra_delay：發(fā)送方子系統(tǒng)處理應用數(shù)據的附加延遲的總和。Trec_offset_min：接收方估算的最小偏移值。Tmax：最大有效時間。Trec_current：接收到消息時接收方的當前時間。Tinit：根據發(fā)起方時鐘，應用數(shù)據的傳送時間。圖20：時間戳計算5.4.8.7 時鐘偏移更新5.4.8.7.1時鐘偏移應根據設定的時間，定期進行更新。5.4.8.7.2時鐘偏移更新程序如圖21所示。圖21：時鐘偏移更新程序5.4.8

53、.7.3時鐘偏移更新消息的結構與應用數(shù)據消息（無用戶數(shù)據域）的結構一致。5.4.8.7.4定時器Tinit_start用于監(jiān)督執(zhí)行時鐘偏移更新程序所需的時間。5.4.8.7.5如果執(zhí)行時鐘偏移更新程序所需時間大于Tinit_start值，則表示傳送延遲時間很長，不能有效更新時鐘偏移。5.4.8.7.6如果時鐘偏移更新失敗，則根據錯誤處理程序（見第5.4.10節(jié)）對該錯誤進行處理。5.4.8.7.7在接收到時鐘偏移更新的應答后，發(fā)起方要檢查它是否是對偏移更新請求的應答：該消息中的上一次接收方時間戳應等于偏移更新請求消息中的發(fā)送方時間戳。5.4.9 EC防御技術5.4.9.1 總體概述5.4.9.

54、1.1根據EN 50159-2的要求，應用數(shù)據消息要防護延遲威脅，EC的安全防御技術即可用于保護消息的時效性。5.4.9.1.2從對等實體接收到的每一條消息都含有幀頭，使用幀頭里的EC計數(shù)可以實現(xiàn)對延遲威脅的防護。5.4.9.1.3EC需要具有固定的周期值。5.4.9.1.4延遲威脅的檢測通過對接收到的消息中的EC計數(shù)值和本地計算的EC計數(shù)期望值進行比較實現(xiàn)。5.4.9.1.5安全防御技術保障了從上次傳輸消息開始指定的時間區(qū)域內傳輸消息（如果應用程序沒有要求的話，不包含應用程序數(shù)據）的有效性，從而將消息傳輸轉換為偽周期模式。這樣就可以管理在安全連接另一端的超時數(shù)據接收。5.4.9.2 EC計數(shù)格式5.4.9.2.1EC計數(shù)使用32位Big Endian編碼方式。5.4.9.2.2EC計數(shù)的值從0到4294967295。5.4.9.2.3EC計數(shù)在通信各方向上是獨立的。5.4.9.2.4EC計數(shù)的無須初始化。發(fā)送方發(fā)送第一條消息中的任意EC值接收方都應接受。5.4.9.2.5如果EC計數(shù)值未達到最大值，EC計數(shù)將每周期遞增1。5.4.