趙 鵬

（中車青島四方車輛研究所有限公司 信號項目組，青島 266031）

城市軌道交通的快速發(fā)展極大地促進了基于通信的列車運行控制（CBTC）信號系統(tǒng)的發(fā)展，并對網(wǎng)絡通信安全提出更高要求。為了實現(xiàn)網(wǎng)絡化運營，減少重復投資，提高運營效率，互聯(lián)互通已經(jīng)成為城市軌道交通新的發(fā)展方向。然而，信號系統(tǒng)設(shè)備供應商較多，不同供應商的設(shè)備之間沒有統(tǒng)一接口標準。為實現(xiàn)互聯(lián)互通，迫切需要統(tǒng)一設(shè)備間的通信接口和協(xié)議[1-3]。

《 城市軌道交通基于通信的列車運行控制系統(tǒng)（CBTC）互聯(lián)互通系統(tǒng)規(guī)范》對設(shè)備間接口給出了統(tǒng)一規(guī)定。其中，安全設(shè)備之間的安全通信采用鐵路信號安全協(xié)議（RSSP），并規(guī)定聯(lián)鎖設(shè)備之間及軌旁設(shè)備之間采用適用于封閉式網(wǎng)絡環(huán)境的RSSP-I 鐵路專用安全通信協(xié)議[4]。

結(jié)合互聯(lián)互通聯(lián)鎖系統(tǒng)的開發(fā)，對RSSP-I 鐵路信號安全協(xié)議進行研究，重點分析安全通信協(xié)議所采用的安全措施及軟件設(shè)計方法；基于Visual Studio 2012 開發(fā)工具，采用C++語言實現(xiàn)RSSP-I 測試軟件，以驗證協(xié)議設(shè)計方法的實用性和有效性。

1 RSSP-I安全協(xié)議

1.1 RSSP-I安全通信系統(tǒng)協(xié)議結(jié)構(gòu)

RSSP-I 安全協(xié)議定義了安全層之間的通信規(guī)范；安全層與應用層、安全層與傳輸層之間的接口為軟件內(nèi)部接口[5]。基于以太網(wǎng)的RSSP-I 安全通信系統(tǒng)協(xié)議層次結(jié)構(gòu)如圖1 所示，傳輸層基于UDP 協(xié)議，可以確保較高的實時性；安全層采用RSSP-I 安全協(xié)議。

1.2 RSSP-I安全協(xié)議的報文結(jié)構(gòu)

RSSP-I 安全報文（即安全功能層對應的報文）由用戶數(shù)據(jù)包、安全校驗域、報文頭和報文尾CRC16 構(gòu)成，報文結(jié)構(gòu)如圖2 所示。

RSSP-I 安全通信系統(tǒng)發(fā)送方設(shè)備對用戶數(shù)據(jù)包進行安全編碼，添加安全校驗域以及報文頭；同時，根據(jù)報文頭、安全校驗域、用戶數(shù)據(jù)包生成CRC16，添加到報文尾。RSSP-I 報文經(jīng)過通信功能層的處理后，傳輸給接收端設(shè)備，接收端設(shè)備對RSSP-I 報文進行安全校驗；安全校驗通過后，將報文解碼，以獲取應用數(shù)據(jù)。

圖1 RSSP-I安全通信系統(tǒng)協(xié)議層次結(jié)構(gòu)

圖2 RSSP-I報文結(jié)構(gòu)

2 RSSP-I安全協(xié)議的安全防護技術(shù)

GB/T24339.2 將封閉式網(wǎng)絡中的通信威脅定義為6 個類別：重復、丟失、插入、錯序、錯碼、延遲。

RSSP-I 采取6 種具體的安全防護技術(shù)應對這些威脅，威脅類別與安全防護技術(shù)的對應關(guān)系見表1。其中，序列號與時間戳是關(guān)鍵的安全防護技術(shù)，同時采用反饋報文、雙重冗余校驗兩種安全防護技術(shù)；源標識用以確保數(shù)據(jù)來源的真實；利用序列號，可實現(xiàn)對報文超時的檢測；雙重冗余校驗中包含32 bit循環(huán)冗余校驗（CRC32）。

2.1 線性反饋移位寄存器

線性反饋移位寄存器（LFSR）是RSSP-I 安全協(xié)議編碼的數(shù)學工具，是RSSP-I 安全協(xié)議的理論基礎(chǔ)之一[6]。RSSP-I 安全協(xié)議使用兩種線性反饋移位寄存器算法：左移位運算（＜～）和右移位運算（～＞）。

LFSR 左移位算法描述如下：設(shè)定A=B＜～C，32 bit 寄存器為Val，多項式為常量Cons；將寄存器Val 初始值設(shè)定為B；將寄存器l 的值更新為B^C；將寄存器值左移1 bit，寄存器值溢出前最高比特位為1 時，將寄存器當前值與多項式常量Cons 進行異或操作，并更新寄存器當前值；當前操作執(zhí)行32 次后，寄存器當前值即為A。

右移位運算可同理得出。

表1 威脅類別與對應的安全防護技術(shù)

2.2 序列號與時間戳

序列號采用系統(tǒng)軟件內(nèi)部周期序號，為32 bit 長的順序編號，既作為系統(tǒng)發(fā)送報文時的序號，也用于超時檢測的時間判定。

RSSP-I 中時間戳隨序列號的遞增循環(huán)生成，是與序列號相關(guān)聯(lián)的偽隨機數(shù)。依據(jù)通信周期，利用LFSR 生成時間戳，雙通道的時間戳相互獨立。時間戳的計算公式為：

其中，N為通信周期，T(N) 為本次時間戳，T(N-1) 為上次時間戳，T(0) 為預先設(shè)定常量值。RSSP-I 通信系統(tǒng)的接收方需要同時校驗序列號和時間戳的有效性；任一校驗不通過，則安全校驗不通過。

2.3 雙重校驗

RSSP-I 安全報文中的安全校驗域包含序列號和雙通道安全校驗碼（SVC），兩個通道SVC 相互獨立。

SVC 包含標識發(fā)送方對象的源標識（SID）、發(fā)送方時間戳T(N)、安全數(shù)據(jù)的CRC32 校驗碼，以及用以確保安全層協(xié)議正確性的系統(tǒng)校驗字（SCW）。雙通道校驗獨立進行，且校驗必須全部正確[7]。

通過序列號與時間戳的相互關(guān)聯(lián)，以及雙通道的冗余校驗，可以確保數(shù)據(jù)傳輸?shù)恼鎸嵭?、完整性、實時性和有序性。

3 RSSP-I安全協(xié)議的設(shè)計

3.1 RSSP-I安全協(xié)議的報文交互

RSSP-I 安全協(xié)議采用接收端的安全保護算法，即接收端要對所接收的安全數(shù)據(jù)進行實時安全校驗，若校驗不通過則進行時序校正。RSSP-I 安全通信報文分為周期性傳輸報文和事件傳輸報文[8]，報文交互過程如圖3 所示。實時安全數(shù)據(jù)（RSD）報文按周期發(fā)送，通信設(shè)備可以相互發(fā)送RSD 報文，也可以單方設(shè)備發(fā)送。當發(fā)生時序接收錯誤時，接收端向發(fā)送端發(fā)送時序校正請求（SSE）報文；發(fā)送端對來自接收端的時序校正請求報文進行答復，發(fā)送時序校正答復（SSR）報文。

圖3 RSSP-I安全通信系統(tǒng)報文交互過程

安全數(shù)據(jù)單向傳輸時，只在接收端進行安全校驗及時序校正；安全數(shù)據(jù)雙向傳輸時，兩個通信端分別獨立進行安全校驗及時序校正[9]。

3.2 安全編碼的設(shè)計

在RSSP-I 安全通信系統(tǒng)中，安全數(shù)據(jù)發(fā)送端設(shè)備需要對安全數(shù)據(jù)進行安全編碼。RSD 報文安全編碼的重點是生成安全校驗域，計算流程如圖4 所示。

圖4 RSD報文安全校驗域的計算流程

（1）要計算RSD 報文中安全應用數(shù)據(jù)的CRC32校驗碼；（2）計算當前的時間戳T(N)；（3）利用式（2）計算SVC，其中，SID 和SCW 均為預先設(shè)置的32 bit 常量參數(shù)；（4）添加序列號以及安全數(shù)據(jù)的長度，完成RSD 安全報文中安全校驗域的編碼。

RSD 安全報文的報文頭包含協(xié)議類別標識及報文類型，報文類型用于區(qū)分主從系報文；最后生成CRC16 校驗碼，添加至報文尾部，完成RSD 安全報文的編碼。

3.3 安全解碼的設(shè)計

RSSP-I 安全通信系統(tǒng)的接收端設(shè)備接收到RSD報文時，先對報文進行校驗；若校驗失敗，則丟棄該報文。只有校驗通過，才可以使用安全應用數(shù)據(jù)。校驗流程見圖5 所示。

圖5 安全數(shù)據(jù)報文校驗流程

進行CRC16 校驗，若校驗成功則進行報文頭校驗；報文頭校驗主要對報文頭的內(nèi)容進行一致性檢查，確定數(shù)據(jù)與規(guī)定值相符。序列號校驗與SVC 校驗均為安全校驗，任一校驗不通過都要進行時序校正。

3.3.1 序列號校驗

序列號不僅用于安全報文的順序校驗，以消除亂序的威脅，還可以用于判斷數(shù)據(jù)延遲、重復或者數(shù)據(jù)丟失。

RSD 序列號校驗流程如圖6 所示。其中，Nseq為序列預容忍差值，需提前設(shè)置好，該值與安全通信系統(tǒng)中安全應用數(shù)據(jù)發(fā)送方設(shè)備的系統(tǒng)通信周期有關(guān)；M 為最近一次有效的序列號；N 為當前報文的序列號。

當最近一次有效序列號大于本次接收序列號，或本次接收的序列號與最近一次有效序列號的差值大于預容忍差值時，序列號校驗不通過，丟棄本報文的安全數(shù)據(jù)。當校驗通過時，將當前報文的序列號作為最近一次有效接收序列號，用于校驗下一個通信周期的數(shù)據(jù)序列號。

圖6 序列號校驗流程

3.3.2 SVC校驗

SVC 校驗是RSSP-I 安全通信系統(tǒng)中最重要的安全校驗，主要利用時間戳進行連續(xù)的校驗，但校驗結(jié)果值與時間戳無關(guān)，僅與節(jié)點參數(shù)相關(guān)；同時，源標示符隱藏在時間戳中，通過SVC 校驗可確保數(shù)據(jù)的安全傳輸。接收端設(shè)備對RSD 報文的SVC 校驗流程見圖7 所示。

（1）計算安全應用數(shù)據(jù)的CRC32 校驗碼，使用報文安全校驗域中SVC 值計算SID^T(N)，時序更新檢查值為本地保存、實時更新的變量，其中，序列初始值（SINIT）為預先設(shè)置的32 bit 位常量值，按每個通道分別獨立設(shè)置；（2）計算安全校驗判定值Last＜～[SID^T(N)]；（3）判定式（3）是否成立，雙通道的校驗分別獨立進行[10]。

算式右邊T(N)依賴于T(N-1)，以確保驗證過程的連續(xù)性；時間戳初始值T(0)一般設(shè)定為SID；算式左邊結(jié)果值是一個僅與節(jié)點參數(shù)相關(guān)的常量。

若雙通道判定式（3）均成立，則安全校驗通過，可以將安全應用數(shù)據(jù)傳輸至應用層供其使用，同時更新安全校驗判定Last 值；若任一通道的判定不成立，則校驗失敗，需要進行時序校正。

式（3）還可以用于檢測傳輸延遲、報文丟失。若數(shù)據(jù)延遲M個周期，式（3）左邊執(zhí)行(M-1)個“＜～SID”運算，右邊Last 值先需要執(zhí)行(M-1)個“＜～0”運算，然后再執(zhí)行相關(guān)計算判定。

圖7 SVC校驗流程

3.4 時序校正

3.4.1 時序校正報文的交互及校驗

RSD 報文時序校驗及任一SVC 校驗未通過，或者通信剛建立時，均需要進行時序校正。時序校正請求方發(fā)送SSE 報文，通信對端設(shè)備收到SSE 報文后，作為時序應答方回復SSR 報文；請求方收到SSR 報文后，需要進行安全校驗，其校驗流程見圖8 所示。

SSE 等待有效時間的檢測通過序列號實現(xiàn)，時間參數(shù)預先設(shè)置好。若收到SSR 報文時，已超出SSE 報文等待有效時間，則本次收到的SSR 報文無效，丟棄該數(shù)據(jù)；若本次校正失敗，重新進行下一次時序校正。

圖8 SSR校驗流程

3.4.2 時序校正的判定

時序請求方收到SSR 報文且校驗通過后，需判定時序是否正確，通過式（4）確定；其中，Res 為常量SINITr＜～SIDr＜～SIDr， SINITr、SIDr 為時序請求方的參數(shù)，DATAVERer 是預先設(shè)置的常量參數(shù)；時序校正參數(shù)precSinit 需要離線計算，與請求方和應答方的節(jié)點參數(shù)有關(guān)。

若等式（4）成立，時序校正完成，更新安全校驗判定Last 值。

4 測試軟件的設(shè)計及實現(xiàn)

RSSP-I 安全協(xié)議測試軟件基于Visual Studio 2012 開發(fā)平臺，采用C++語言實現(xiàn)，軟件功能框圖見圖9 所示。

圖9 RSSP-I測試軟件功能

軟件功能主要包括通信、數(shù)據(jù)顯示與存儲及安全服務。通信功能基于Windows Socket，實現(xiàn)報文的發(fā)送和接收，其中，傳輸層采用UDP 協(xié)議，報文發(fā)送和接收采用多線程實現(xiàn)機制[9]。數(shù)據(jù)顯示與存儲功能主要包括通信狀態(tài)顯示、報文通信狀態(tài)的實時顯示，以及通信數(shù)據(jù)和日志的保存。安全服務功能是測試軟件的主體部分；其中，通用算法模塊包含CRC16、CRC32 和時間戳的生成，可供其它程序模塊隨時調(diào)用；安全解碼/編碼主要針對RSD 報文；時序校正包括對SSE 和SSR 報文的編碼、驗證、解碼及時序判定。

RSSP-I 安全協(xié)議配置參數(shù)及網(wǎng)絡配置參數(shù)均采用配置文件的形式，便于修改和測試。

程序主界面見圖10 所示。其中，發(fā)送數(shù)據(jù)窗口顯示用戶數(shù)據(jù)，可通過配置文件讀?。粩?shù)據(jù)接收窗口用于顯示接收到的報文及通過安全校驗的報文數(shù)據(jù)，數(shù)據(jù)可實時保存；日志信息窗口實時顯示當前RSSP-I 安全通信系統(tǒng)的通信狀態(tài)。

圖10 測試軟件主界面

5 結(jié)術(shù)語

所開發(fā)的RSSP-I 測試軟件實用性較好，易于調(diào)試協(xié)議，滿足互聯(lián)互通聯(lián)鎖設(shè)備安全通信的要求，驗證了協(xié)議設(shè)計的有效性，有助于提高嵌入式平臺上RSSP-I 安全協(xié)議開發(fā)和測試的效率。