周宏伟 张 涛 苗长俊

周宏伟:中国铁道科学研究院通信信号研究所 助理研究员100081 北京

张 涛:中国铁道科学研究院通信信号研究所 助理研究员100081 北京

苗长俊:中国铁道科学研究院通信信号研究所 助理研究员100081 北京

客运专线信号系统包含多个安全相关的子系统，比如联锁 (CI)、列控中心 (TCC)、临时限速服务器 (TSRS)、无线闭塞中心 (RBC)、分散自律调度集中 (CTC)等。安全相关子系统的数据交换，必须通过安全通信协议实现。目前我国铁路信号安全通信协议有 RSSP-Ⅰ与 RSSP-Ⅱ 2种，RSSP代表Railway Signal Safety Communication Protocol。本文主要分析这2种协议在应用场景、安全检查、数据帧封装等方面的不同，讨论二者的优缺点和使用范围。

1 安全通信协议介绍

为了保证多个设备在“封闭传输系统上”进行安全的信息交互，欧洲电工标准化委员会(CENELEC)制定颁布了 EN50126、EN50128、EN50129、EN50159系列安全标准，其中EN50159专门针对轨道交通 (封闭式传输系统)所具备的安全属性、安全功能进行了详细的说明。

对于传输系统，可能的威胁有重复、删除、插入、重排序、损坏、延迟和伪装等7种。为了减少威胁风险，一般在应用层与通信协议数据层之间插入安全功能模块，来实现安全协议。安全功能模块提供消息的真实性、完整性、时效性和有序性等4项的校验。即对接收的数据，只有通过了安全功能模块校验后才交给应用层处理;应用层要发送的数据，在经过安全通信模块包装后再对外发送。这样基于安全协议通信的双方，才能够防御可能出现的威胁，得到可靠、安全的通信服务。通常的安全协议总体结构如图1所示。

图1 安全协议结构示意图

2 安全通信协议对比

RSSP-Ⅰ与RSSP-Ⅱ，分别是铁路安全通信协议的一代、二代，均符合EN 50159-2标准，但实现的方式有所不同。

2.1 通信物理链路

RSSP-Ⅰ所需要的通信功能，不依赖底层物理链路的连接方式。安全层 (安全相关编/解码过程)和通信驱动 (非安全编/解码过程)是完全分开的。底层数据传输方式可以是串口 (RS-422、RS-232等)，也可以是网络 (TCP/UDP等)。我国铁路一般是基于串口连接，比如车站TCC与CTC、LEU均用串口RS-422相连。

RSSP-Ⅱ的安全功能模块 (SFM)，依赖通信功能模块 (CFM)中的网络适配层，而网络适配层是构建在TCP/IP传输层协议之上的，无法在串口等其他链路环境运行。

由此看来，RSSP-Ⅰ能够适应更广泛的物理链路，而RSSP-Ⅱ适合TCP网络环境。但是，为了适应不同的物理链路，RSSP-Ⅰ的实时安全数据帧(RSD)长度不能很长，目前一包RSD最长546字节。而RSSP-Ⅱ底层物理网络是TCP，RSSP-Ⅱ可以传输更大的数据包，这一点是RSSP-Ⅰ无可比拟的。

2.2 设计思想

RSSP-Ⅰ协议是从接收端的角度设计保护算法，来解决开放传输系统上的通信问题。它站在接收端考虑信息的安全性，要求接收端对收到的数据进行以下验证:①发送端的身份鉴别 (真实性);②报文的正确无误 (完整性);③报文的更新 (时间性);④报文的正确序列 (顺序性)。所用的算法都要考虑收/发双方向来执行。每一个接收端的每一个传输方向上设置一个安全认证。即，接收端有2个双向交换安全数据的网络单元， (每个单元)有2个独立的安全处理过程，分别检查2个方向的数据传输，如图2所示。

图2 RSSP-Ⅰ防护示意图

而RSSP-Ⅱ协议，则是按分层设计安全功能模块(SFM)，采用下层约束上层、上层依赖下层的方式，对安全功能模块进行清晰的分层，从而实现安全数据的传输。RSSP-Ⅱ架构上有3层:适配及冗余管理层ALE、消息鉴定安全层MASL、安全应用中间子层SAI。该分层方式与OSI网络参考模型类似。安全连接的建立，需要发起方 (主叫实体)请求建立，响应方 (被叫实体)响应请求，在底层连接建立后，上层才能开始建立，直到SAI安全应用中间子层建立，一条稳定的安全连接才启动。如图3所示，适配层ALE搭建在TCP协议之上，ALE能够封装一条或多条TCP链路 (一般是冗余多条)，对其上层 (MASL、SAI)提供A、D两类服务。消息鉴定安全层MASL对接收到的数据进行加密、解密，防止损坏、伪装、插入等威胁。在MASL之上是SAI层，通过安全服务接入点上的安全服务原语及相应参数，来提供安全服务。SAI层提供了EC序列号防御、TTS时间戳防御2种方式实现消息安全防御机制，来应对延迟、重排序、删除、重复等威胁。

图3 RSSP-Ⅱ分层防护示意图

2.3 对应报文封装

RSSP-Ⅰ安全层使用经过安全编码的FSFB/2报文格式向通信驱动层发送信息，同时使用同样的接口安全层 (从通信驱动层)接收来自其他节点的FSFB/2报文。即在App的数据包上封装FSFB/2格式的报文头及校验码，如图4所示。

RSSP-Ⅱ在设计上将安全协议分了3层，报文也有相应体现。报文被层层封装、层层把关、层层校验，来实现不同接口层的信息传递。如图5所示。

3 总结

上述2种安全协议设计思想不一致，在实际应用中各有不同。RSSP-Ⅰ一般适用于数据包较小的环境，最大的优点是它不依赖物理链路层，车站的各个子系统通过串口相连时广泛应用了该协议。RSSP-Ⅱ层次清晰，依赖网络TCP，能够进行大数据量的通信，更适合应用于铁路局中心的信号子系统的数据交互中。目前这2种安全协议，在铁路信号系统均有广泛应用，地铁等城市轨道信号系统也开始使用。

［1］ CENELEC．EN 50159-1 Railway applications-Communication，signaling and processing systems-Part1:Safety－related communication in closed transmission systems［S］ ，2001(3).

［2］ CENELEC．EN 50159-2 Railway applications-Communication，signaling and processing systems-Part2:Safetyrelated communication in open transmission systems［S］ .2001(3).

［3］ ALSTOM．FSFB/2 Safety Protocol Requirements Specification［S］ .1999，VersionB．2.

［4］ 中华人民共和国铁道部运输局.运基信号(2010)267号．铁路信号安全通信协议技术规范．2010(5).