RSSP-II安全通信協議參數配置問題的分析

任 軍 楊 劍

（北京全路通信信號研究設計院有限公司， 北京 100073）

任軍，男，碩士畢業于北京交通大學，工程師。主要研究方向包括RSSP-II安全通信協議的設計開發及測試，曾參與RBC系統國產化研究項目。

1 背景和概述

RSSP-II安全通信協議是CTCS-3級列車控制系統中鐵路信號安全設備之間采取的安全通信接口，作為RBC、計算機聯鎖和臨時限速服務器等地面設備之間的安全通信接口協議使用。

RSSP-II安全通信協議主要防護EN50159-2標準所定義的重復、刪除、插入、重排序、損壞、延遲和偽裝等威脅。而在實際情況中，會存在消息序列的錯誤，丟包及傳輸延遲，影響安全通信協議的可靠性。需要將這些風險限制在一個可以接受的范圍內。當超出這個允許范圍時，應用層便認為安全連接是不可信的。安全通信協議對消息丟包和延遲的容忍程度體現在配置參數的選擇上，而配置參數的選擇則是一個復雜而棘手的問題。

安全通信協議配置參數設置得過于寬松時，將失去對消息威脅的防御作用；而當配置參數設置得過于嚴格時，雖然可以更加精確的監測出消息的丟包與延遲，提高安全連接的可靠性，但卻增加了對安全連接的不可信度，犧牲了安全連接的可用性。

本論文重點研究如何合理的設置安全通信協議配置參數，從而使得在保證通信可靠性的前提下，兼顧通信的可用性。同時，為安全通信協議配置參數的選取，提供一些依據。

2 RSSP-II安全通信協議功能和原理

RSSP-II安全通信協議的安全通信接口采用分層結構。安全功能模塊包含安全應用中間子層（SAI層）、消息鑒定安全層（MASL層）、通信功能模塊包含適配及冗余管理層（ALE層）。

SAI層通過給用戶數據添加序列號，進行序列號檢查，來防止數據的重復、刪除和重排序。通過給用戶數據添加TTS或EC計數，來檢查數據的時效性。

MASL層應通過“信源認證”的方法檢查消息的完整性，并且防止未授權用戶在傳輸信道中插入新消息。

ALE層通過多路TCP連接實現冗余通信功能。

其中，SAI層按照時效性檢查方式的不同，又分為EC模式與TTS模式。下面對這兩種工作模式進行簡單說明。

對于TTS方式，時間戳的處理基于發送方與接收方之間的時鐘偏差估計。采取這種方式進行消息時延防御時，通信雙方在建立安全連接之后，應用數據交換之前初始化時鐘偏差估計。在以后收到每條應用消息后，接收方利用時鐘偏差估計值，將發送方時間戳轉換為接收方時鐘，進而估算應用消息的延遲。在時延估算的時機上，是在收到應用消息時，進行時延估計。在時延估算的精確度方面，TTS方式下，取決于時間戳的精度。

對于EC方式，則是通過對每條應用消息標記EC計數值，接收方在每個執行周期通過對接收到消息中的EC計數值和本地計算的期望EC計數值進行比較，估算出消息延遲。在時延估算的時機上，EC方式下，不管有沒有收到應用消息，在每個執行周期結束時，都要對消息時延進行估計。在時延估算的精確度方面，對于EC方式，因為EC方式估算時延是比較期望EC計數值與實際接收到的EC計數值，所以EC方式得到時延的誤差是一個執行周期。

在應用方面，EC方式與TTS方式有下面一些特點。

EC方式要求應用消息通信間隔時間不能太長，在EC方式下，應用消息通信間隔時間不能大于消息最大容忍時延。否則，在正常應用消息通信間隔時間內，接收方收不到消息，而在每個執行周期繼續累加期望的EC計數值，最終也會導致期望與實際EC計數值的差值達到EC計數器偏差閾值，釋放安全連接，掩蓋了通信間隔時間與消息時延的差別；而TTS方式，由于是用消息的時間戳直接進行時延估算，所以對應用消息通信時間間隔沒有限制。

由于EC方式每周期進行時延估算，TTS方式收到消息時進行時延估算。所以相對于TTS方式，EC方式能夠更及時發現底層鏈路斷開。

在EC方式下，需要周期性的進行傳輸延遲檢測，以防止EC狀態機長周期回調機制掩蓋了底層傳輸鏈路問題導致的EC狀態機長期處于同一個大于0的狀態。

3 RSSP-II安全通信協議配置參數介紹

RSSP-II安全通信協議配置參數主要用于平衡安全通信協議的可用性與可靠性。由于MASL層及ALE層配置參數很少而且比較簡單，取值沒有爭議。下面主要對SAI層配置參數進行分析。

RSSP-II安全通信協議配置參數主要有兩類：1）序列完整性檢查相關的配置參數； 2）時效性檢查相關的配置參數。

序列完整性檢查用以防護消息的重復、刪除、插入以及重排序威脅。序列完整性檢查相關的配置主要有：消息序號偏差閾值valueN。

時效性檢查用以檢查接收到消息的時間有效性。由于時效性檢查分為EC檢查方式與TTS檢查方式，所以時效性檢查相關的配置參數也相應的分為兩大類。

在EC檢查方式下，包含如下配置參數：延遲檢測定時器溢出值（valueTsyn）、EC計數器偏差閾值（valueEC）、負參數回調閾值（valueEcMaxNeg）、長周期狀態回調閾值（valueTdelta）、傳輸延遲檢測周期值（valueTupd）。

在TTS檢查方式下，包含如下配置參數：時鐘偏差更新應答定時器（valueTstart）、時鐘偏差估計最大允許偏差（valueToff_max）、消息時間戳校驗最大有效時間（valueTmax）、額外延遲時間（valueTextra_delay）、時鐘偏差更新周期（valueTupd）、可選定時器超時值（valueTcycle）。

4 影響安全通信協議配置參數取值的外界因素

采用安全通信協議的對等通信實體之間的數據傳輸依賴于通信傳輸系統，安全通信協議的實現又必須依賴于特定的軟硬件平臺。所以，通信傳輸系統的傳輸特性以及軟硬件平臺的性能必然對安全通信協議的運行產生影響。

下面對影響安全通信協議運行的外界因素進行分析，并進一步剖析對安全通信協議造成的具體影響。

1）通信傳輸系統的延遲

傳輸延遲將會使安全通信協議收到應用數據包的實際時間偏晚。對于EC檢查方式，將可能造成在EC周期檢查時，期望的對等實體的EC周期值Ex增長，而收到的最新的EC沒有變化，計算得到的表示當前狀態的Δ值將大于0。對于TTS檢查方式，將可能造成在應用數據的時效性估算時，得出估計的時間延遲大于valueTmax。

2）通信傳輸系統的丟包

丟包對安全通信協議產生以下幾種影響。

a．接收到相鄰消息的序列號不連續。

由于網絡數據包丟失，導致收到的SAI層數據包的序列號與之前收到的數據包產生差值。

b．計算Δ值將大于0（對于EC檢查方式）。

由于網絡數據包丟失，可能導致當前周期內收不到來自對等實體的SAI層數據，期望的周期值Ex增長，而收到的最新的EC沒有變化，所以，接收方在周期末計算得到的Δ值將大于0。

c．相鄰消息時間間隔增大。

在TTS檢查方式下，將可能導致valueTcycle超時。

3）采用安全通信協議的設備自身切系

由于主備系切換的判決及執行需要耗費時間，在這段時間內，系統不能處理外部通信數據，將產生以下影響。

a．相鄰消息序列號不連續：切系過程中不能處理外部通信數據，造成SAI層數據包丟失，導致收到的SAI層數據包的序列號與之前收到的數據包產生差值。

b．計算Δ值將大于0（EC檢查方式）。

c．相鄰消息時間間隔增大：可能導致可選定時器超時。

4）對等通信實體切系

在主備系切換的判決及執行過程中，由于備系不能對外發出數據，對安全通信將產生以下影響。

a．相鄰消息序列號不連續：對等實體切系過程中不能發出數據，導致收到SAI層數據包存在缺失，造成序列號不連續。

b．計算Δ值將大于0（EC檢查方式）。

c．相鄰消息時間間隔增大，在TTS檢查方式下，可能導致可選定時器超時。

5）軟硬件平臺系統時鐘漂移

對于EC檢查方式，系統時鐘的長期漂移導致EC周期緩慢的變化，而計算Δ值采用的通信雙方周期值是固定值，導致計算得到的Δ值與實際出現偏差，進而對時效性估計的準確性產生影響。

6）軟硬件平臺計算精度誤差

對于EC檢查方式，由于計算Δ值采用的發送方與接收方周期比值R為實數，而Δ值為整數，安全通信協議所依賴的軟硬件平臺的舍入誤差將導致計算Δ值存在偏差。

5 安全通信協議配置參數取值的分析

在上述章節對影響安全通信協議配置參數的外界因素進行分析的基礎之上，本節對安全通信協議配置參數的取值依次進行具體分析。

1）序列完整性檢查相關配置參數取值的選擇。

下面以EC方式下，消息序號偏差閾值valueN的選擇為例進行分析。

在前述影響因素中，采用安全通信協議的設備自身主備切系以及對等通信實體切系將會對序列完整性產生影響。

所以，為滿足自身切系不應使安全連接中斷，應符合：

為滿足對等實體切系不應使安全連接中斷，應符合：

因此，valueN的取值應當同時滿足上述不等式。

上述不等式中，對應的參數含義如下：本方通信周期為Tself(ms)，每周期最大通信數據包數量為Nmax，本方切系消耗時間Tswitch_self(ms)，對等實體切系消耗時間Tswitch_peer(ms)。

2）時效性檢查相關的配置參數取值的選擇。

以EC方式下，valueTdelta的選擇為例進行分析。

在前述影響因素中，軟硬件平臺的計算精度誤差及系統時鐘偏移會對時效性檢查過程產生影響。所以，分別從這兩方面來進行具體分析。

a．考慮軟硬件平臺的計算精度誤差因素

由下列公式

R=接收方EC周期÷發送方EC周期

下一個Ex=當前Ex+R

Δ=[（Ex-當前周期收到的最后一條信息的EC計數值]

當接收方EC周期與發送方EC周期的比值非簡單比例關系，舍入誤差導致Δ計算存在誤差。設計算R值產生的誤差為Δx，則經過了1/Δx個周期后，即Tself/Δx(ms)后，計算得到的Δ值的累積誤差將達到1，故valueTdelta應滿足下式：

b．考慮軟硬件平臺系統時鐘漂移因素

由于系統時鐘精度存在誤差，設對等實體系統定時誤差為pr%，則在最不利情況下，經過100×Tpeer/pr (ms)后，時鐘誤差將達到一個周期，故valueTdelta的取值應符合下式：

所以，valueTdelta的取值應當同時滿足上述不等式。

6 研究結論

本文簡單介紹RSSP-II安全通信協議的功能和原理，并對時效性檢查方式中的TTS模式與EC模式下的各自運行特點加以分析說明。其后對RSSP-II安全通信協議所包含的配置參數進行介紹。結合安全通信協議的特點，對影響安全通信協議配置參數取值的外界因素逐個進行深入分析。

在對外界影響因素有了全面認識的基礎上，結合實例，分析如何由外界因素對安全通信協議運行的影響情況，得出合理的配置參數取值。

本文對安全通信協議配置參數的合理取值問題的分析，能夠對工程實施人員提供設計參考。

[1] RSSP-II鐵路信號安全通信協議(V1.0) [S]. 2010

[2] EN50159-2. Railway Applications-Communication, signaling and processing systems, Part 2: Safety related communication in open transmission systems [S]. 2001