RSSP-Ⅰ與RSSP-Ⅱ鐵路安全通信協議對比分析

周宏偉 張 濤 苗長俊

周宏偉:中國鐵道科學研究院通信信號研究所 助理研究員100081 北京

張 濤:中國鐵道科學研究院通信信號研究所 助理研究員100081 北京

苗長俊:中國鐵道科學研究院通信信號研究所 助理研究員100081 北京

客運專線信號系統包含多個安全相關的子系統，比如聯鎖 (CI)、列控中心 (TCC)、臨時限速服務器 (TSRS)、無線閉塞中心 (RBC)、分散自律調度集中 (CTC)等。安全相關子系統的數據交換，必須通過安全通信協議實現。目前我國鐵路信號安全通信協議有 RSSP-Ⅰ與 RSSP-Ⅱ 2種，RSSP代表Railway Signal Safety Communication Protocol。本文主要分析這2種協議在應用場景、安全檢查、數據幀封裝等方面的不同，討論二者的優缺點和使用范圍。

1 安全通信協議介紹

為了保證多個設備在“封閉傳輸系統上”進行安全的信息交互，歐洲電工標準化委員會(CENELEC)制定頒布了 EN50126、EN50128、EN50129、EN50159系列安全標準，其中EN50159專門針對軌道交通 (封閉式傳輸系統)所具備的安全屬性、安全功能進行了詳細的說明。

對于傳輸系統，可能的威脅有重復、刪除、插入、重排序、損壞、延遲和偽裝等7種。為了減少威脅風險，一般在應用層與通信協議數據層之間插入安全功能模塊，來實現安全協議。安全功能模塊提供消息的真實性、完整性、時效性和有序性等4項的校驗。即對接收的數據，只有通過了安全功能模塊校驗后才交給應用層處理;應用層要發送的數據，在經過安全通信模塊包裝后再對外發送。這樣基于安全協議通信的雙方，才能夠防御可能出現的威脅，得到可靠、安全的通信服務。通常的安全協議總體結構如圖1所示。

圖1 安全協議結構示意圖

2 安全通信協議對比

RSSP-Ⅰ與RSSP-Ⅱ，分別是鐵路安全通信協議的一代、二代，均符合EN 50159-2標準，但實現的方式有所不同。

2.1 通信物理鏈路

RSSP-Ⅰ所需要的通信功能，不依賴底層物理鏈路的連接方式。安全層 (安全相關編/解碼過程)和通信驅動 (非安全編/解碼過程)是完全分開的。底層數據傳輸方式可以是串口 (RS-422、RS-232等)，也可以是網絡 (TCP/UDP等)。我國鐵路一般是基于串口連接，比如車站TCC與CTC、LEU均用串口RS-422相連。

RSSP-Ⅱ的安全功能模塊 (SFM)，依賴通信功能模塊 (CFM)中的網絡適配層，而網絡適配層是構建在TCP/IP傳輸層協議之上的，無法在串口等其他鏈路環境運行。

由此看來，RSSP-Ⅰ能夠適應更廣泛的物理鏈路，而RSSP-Ⅱ適合TCP網絡環境。但是，為了適應不同的物理鏈路，RSSP-Ⅰ的實時安全數據幀(RSD)長度不能很長，目前一包RSD最長546字節。而RSSP-Ⅱ底層物理網絡是TCP，RSSP-Ⅱ可以傳輸更大的數據包，這一點是RSSP-Ⅰ無可比擬的。

2.2 設計思想

RSSP-Ⅰ協議是從接收端的角度設計保護算法，來解決開放傳輸系統上的通信問題。它站在接收端考慮信息的安全性，要求接收端對收到的數據進行以下驗證:①發送端的身份鑒別 (真實性);②報文的正確無誤 (完整性);③報文的更新 (時間性);④報文的正確序列 (順序性)。所用的算法都要考慮收/發雙方向來執行。每一個接收端的每一個傳輸方向上設置一個安全認證。即，接收端有2個雙向交換安全數據的網絡單元， (每個單元)有2個獨立的安全處理過程，分別檢查2個方向的數據傳輸，如圖2所示。

圖2 RSSP-Ⅰ防護示意圖

而RSSP-Ⅱ協議，則是按分層設計安全功能模塊(SFM)，采用下層約束上層、上層依賴下層的方式，對安全功能模塊進行清晰的分層，從而實現安全數據的傳輸。RSSP-Ⅱ架構上有3層:適配及冗余管理層ALE、消息鑒定安全層MASL、安全應用中間子層SAI。該分層方式與OSI網絡參考模型類似。安全連接的建立，需要發起方 (主叫實體)請求建立，響應方 (被叫實體)響應請求，在底層連接建立后，上層才能開始建立，直到SAI安全應用中間子層建立，一條穩定的安全連接才啟動。如圖3所示，適配層ALE搭建在TCP協議之上，ALE能夠封裝一條或多條TCP鏈路 (一般是冗余多條)，對其上層 (MASL、SAI)提供A、D兩類服務。消息鑒定安全層MASL對接收到的數據進行加密、解密，防止損壞、偽裝、插入等威脅。在MASL之上是SAI層，通過安全服務接入點上的安全服務原語及相應參數，來提供安全服務。SAI層提供了EC序列號防御、TTS時間戳防御2種方式實現消息安全防御機制，來應對延遲、重排序、刪除、重復等威脅。

圖3 RSSP-Ⅱ分層防護示意圖

2.3 對應報文封裝

RSSP-Ⅰ安全層使用經過安全編碼的FSFB/2報文格式向通信驅動層發送信息，同時使用同樣的接口安全層 (從通信驅動層)接收來自其他節點的FSFB/2報文。即在App的數據包上封裝FSFB/2格式的報文頭及校驗碼，如圖4所示。

RSSP-Ⅱ在設計上將安全協議分了3層，報文也有相應體現。報文被層層封裝、層層把關、層層校驗，來實現不同接口層的信息傳遞。如圖5所示。

3 總結

上述2種安全協議設計思想不一致，在實際應用中各有不同。RSSP-Ⅰ一般適用于數據包較小的環境，最大的優點是它不依賴物理鏈路層，車站的各個子系統通過串口相連時廣泛應用了該協議。RSSP-Ⅱ層次清晰，依賴網絡TCP，能夠進行大數據量的通信，更適合應用于鐵路局中心的信號子系統的數據交互中。目前這2種安全協議，在鐵路信號系統均有廣泛應用，地鐵等城市軌道信號系統也開始使用。

［1］ CENELEC．EN 50159-1 Railway applications-Communication，signaling and processing systems-Part1:Safety－related communication in closed transmission systems［S］ ，2001(3).

［2］ CENELEC．EN 50159-2 Railway applications-Communication，signaling and processing systems-Part2:Safetyrelated communication in open transmission systems［S］ .2001(3).

［3］ ALSTOM．FSFB/2 Safety Protocol Requirements Specification［S］ .1999，VersionB．2.

［4］ 中華人民共和國鐵道部運輸局.運基信號(2010)267號．鐵路信號安全通信協議技術規范．2010(5).