無線列控系統安全通信協議性能評價規則的制定方法

陳黎潔，黃銀霞，高 鶯，劉宏杰，孫 超

(1.中國鐵道科學研究院 標準計量研究所，北京 100081；2.中國鐵道科學研究院 研究生部，北京 100081；3.北京交通大學 列車運行控制系統國家工程研究中心，北京 100044)

由于無線通信具有傳輸速率高、雙向傳輸、頻段開放、標準成熟等優點，因此基于無線通信的列車控制系統(以下簡稱無線列控系統)已經成為了現代列控系統的發展方向。然而，由于無線通信系統本身又是一個開放透明的系統，因此存在重復、刪除、插入、亂序、惡化、延時以及偽裝等安全隱患，影響無線列控系統的安全。故此為保證數據傳輸的安全性，需要在無線通信系統之上增加1個安全通信協議[1]。安全通信協議運行于無線列控系統車載和軌旁終端設備的應用層與無線通信系統之間，通過安全傳輸的消息實現安全通信[2]。

很長一段時間，國內外的學者均是通過形式化驗證的方法分析安全通信協議的性能。例如，Ansaldo Segnalamento Ferroviario利用UML狀態圖對歐洲列車運行控制系統(European Train Control System，ETCS)的安全通信協議進行定性的安全分析，驗證了該協議是安全的[3]。Jae-Ho Lee等通過形式化驗證對韓國鐵路信號系統安全通信協議的安全性和活性進行了證明[4]；然后又通過形式化驗證對韓國鐵路信號系統安全通信協議的死鎖、活鎖、可達等特性是否滿足規范進行檢查[5-6]。

由上述用形式化驗證方法得到的驗證結果通常以“能”或“不能”、“是”或“不是”這樣的布爾型開關量表示，即給出的結果往往是定性而不是定量的，并且驗證的是安全通信協議的功能。然而，無線列控系統的安全通信協議是運行在無線通信環境中的，會由于無線通信系統的隨機特性而導致安全通信協議中的某些變量也具有隨機特征，這就要求對安全通信協議除了進行功能方面的驗證還需要進行性能方面的驗證。在傳統的對安全通信協議的性能評價中，以安全性為例，評價人員通過現場試驗檢查試驗結果與相關的標準或技術規范是否一致，如果一致就得出“安全”的結論，不一致就得出“不安全”的結論，但這樣的評價結果也同樣是定性的，而且由于不同的評價人對安全通信協議的評價標準或技術規范有不同的理解，并且現場試驗也不可能模擬出所有的運營場景。在這樣的背景下，本文采用仿真的方法盡可能多地模擬出安全通信協議可能的運營場景，以得到有關安全通信協議性能的仿真結果，并據此研究制定安全通信協議的性能評價規則，使得對安全通信協議性能的評價更全面。

決策論[7-10]是在概率論的基礎上發展起來的，是概率論、統計判定理論和對策理論結合的產物，能夠以概率的形式表示系統的隨機性，而且決策論中的概念格方法已被廣泛用于研究系統性能評價規則的建立[11-12]。因此，本文基于利用有色Petri網模型對列車運行控制系統安全通信協議進行的仿真結果[13-15]，進一步采用概念格方法對安全通信協議性能方面的數據(包括建立安全鏈接需要的時間和傳輸信息需要的時間)進行分析，制定安全通信協議性能的評價規則，用于判斷協議是否安全；結合北京亦莊線地鐵安全通信協議開發人員提供的經驗數據，采用D—S(Dempster—Shafer)理論[16]對安全通信協議性能評價結果的不確定性進行分析，驗證所提出安全協議性能評價規則的可行性。列控系統安全通信協議性能評價規則制定的流程如圖1所示。

圖1 列控系統安全通信協議性能評價規則制定流程

1 有色Petri網模型的建立

由有關列控系統安全通信協議規范[2]可知，因為信息的發送、接收和分析均要根據當前鏈路的狀態進行，所以通信鏈路的狀態是安全通信協議的基礎。根據安全通信協議規范定義安全通信協議的狀態轉移圖，如圖2所示，它體現了通信鏈路的邏輯、產生的事件和相應的動作[2]。

有色Petri網是典型的形式化分析工具，它用庫所、變遷和弧的連接關系表示系統的靜態結構，用變遷的觸發和令牌的移動表示系統的動態行為。因此，在構建安全通信協議的有色Petri網模型時，遵循以下要求。

圖2 安全通信協議的狀態轉移圖

(1)模塊化建模。

(2)由于建立安全鏈接需要的時間(以下簡稱為安全鏈接建立時間)和傳輸信息需要的時間(以下簡稱為信息傳輸時間)是反映安全通信協議性能的重要指標，所以建立計時器模型(見圖3)以記錄這些時間。

圖3 計時器模型

(3)因為安全通信協議運行于無線通信系統之上，即無線通信系統為安全通信協議提供了運行環境，所以可將無線通信系統簡化為包含正常和失效2種狀態的信道。

根據圖2，以建立車載安全通信協議安全鏈接建立階段的邏輯模型(見圖4)為例，簡單介紹有色Petri網模型的建立。圖2中，初始情況下安全通信協議的狀態為IDLE，即Petri網模型的庫所ConStatus中有1個令牌IDLE，表示為1′IDLE，當安全通信協議收到列車發送的消息(Sa-CONN.request+AUl SaPDU)時，狀態轉換至WFTC，同時發送消息(T-CONN.request+AUl SaPDU)至信道，因此對應圖2，圖3中當庫所AppToTrain接收到變遷TminApp發送的令牌(SaCONNReq，AUl)時，變遷IDLE激發使安全通信協議的狀態轉換和消息發送這2個動作并發執行。其余的狀態轉換以及消息發送接收的并發關系可以依次類推。

圖4 車載安全通信協議安全鏈接建立階段的邏輯模型

2 安全通信協議性能評價規則的制定

在文獻[13—15]中，為消除單次試驗中的偏差，采用給出的Petri網模型共進行了20組仿真試驗，每組仿真試驗均進行了10 000次獨立的仿真計算。圖5和圖6分別為某組仿真試驗中得到的安全鏈接建立時間和信息傳輸時間的歷程圖。

圖5 安全鏈接建立時間

為了制定安全通信協議的性能評價規則，并分析評價人員使用評價規則后所得出評價結果的不確定性，從文獻[13—15]仿真得到的安全鏈接建立時間數據和信息傳輸時間數據中選取其中的10組數據，用概念格方法對其進行分析。

圖6 信息傳輸時間

在概念格方法中定義(U,A,I)為1個形式背景，其中U={xi|i=1,2,…,n}為對象集，A={aj|j=1,2,…,m}為屬性集，I為U和A之間的二元關系，I?U×A；若(xi,aj)∈I，則表示xi具有屬性aj，記為xiIaj。本文用1表示(xi,aj)∈I，用0表示(xi,aj)?I，則這樣的形式背景可以用0和1形式的表格表示。

在CTCS-3級列控系統總體技術方案[17]中規定：如果安全鏈接建立時間大于10 s，則認為建立安全鏈接失敗，并且建立安全鏈接的失敗概率不能大于10-2；信息傳輸時間可接受范圍為15～20 s，如果信息傳輸時間小于15 s，則認為傳輸的信息具有時效性。按此規定對安全通信協議的安全性進行分析，會出現2種不確定的情況。①某次試驗雖然成功建立了安全鏈接(即安全鏈接建立時間未超過10 s)，但是含該次試驗在內的1組試驗中其建立安全鏈的失敗概率大于10-2，則無從判斷安全通信協議是否安全，即安全通信協議的安全性未知；②信息傳輸時間處于15～20 s之間時，傳輸的信息是否具有時效性也是未知的(定義當信息傳輸時間大于20 s時傳輸的信息不具有時效性)。

根據上述概念格法對形式背景方式的定義，針對文獻[17]分析安全通信協議時存在的安全不確定性問題，首先結合選取的10組仿真數據，計算成功建立安全鏈接的概率和信息傳輸具有時效性的概率，然后將安全通信協議的安全性視為對象，將“安全”、“未知”、“不安全”定義為安全通信協議安全性的屬性，根據成功建立安全鏈接的概率和信息傳輸具有時效性的概率，并參考北京地鐵亦莊線安全通信協議開發人員的開發經驗，對各屬性發生的概率進行賦值，從而得到這10組數據的形式背景，見表1。以表1中第1行為例，如果在第1組試驗中成功建立安全鏈接的概率是0.997 6，信息具有時效性的概率是0.984 2，則評價人員可以認為安全通信協議是安全的概率為0.9，還有0.1的概率不確定其是否安全。

表1 形式背景

表2 形式背景簡化

通過表2，得出對角矩陣Λ和形式背景矩陣B分別為

(1)

(2)

由式H=BΛB′得出

(3)

定義：設(U,A,I)為形式背景，如果1個二元組(X,C)滿足X′=C，且X=C′，則(X,C)是一個形式概念，簡稱概念。X是概念的外延，C是概念的內涵。

形式背景(U,A,I)的概念可以用超概念與子概念的關系來定義它們之間的序關系，即

(X1,C1)≤(X2,C2)?X1?X2(?C1?C2)

則(U,A,I)的所有概念的偏序集可記為L(U,A,I)，稱為概念格。

根據上述定義，在矩陣H的基礎上可以得出表2表示的形式背景的概念，如(12，ace)，(34，acf)，(78，bdf)等。基于1個形式背景，可以用圖形化的方式表示各概念之間的連接關系。對于2個概念節點，可以用概念關系弧表示概念節點之間的關系，由概念節點和概念關系弧表示的圖稱為哈希圖。用哈希圖表示完整的概念格的步驟如下。

(1)初始化概念格，使其包含形式背景中所有的對象，從而建立基本概念為(U，φ)的根節點。

(2)相對于根節點，通過減少對象數即增加屬性數加入新的節點。這樣，根節點就為新節點的父節點，新節點為根節點的子節點；然后，將所獲得的新節點與其父節點相連，建立連接弧。

(3)與上步相同，再次通過減少對象數建立新的節點，并將其與它的上一層父節點相連，建立連接弧。

(4)檢查該概念格是否包括了形式背景中所有的屬性；若否，轉步驟(3)；若是，建立最下層的基本概念(φ，A)，哈希圖表示的概念格建立完成。

根據矩陣H中的概念，用哈希圖得出的1個完整的概念格，如圖7所示，每個概念在圖中都對應著1個節點，并且每個節點都有相應的編號。

圖7 用哈希圖表示的概念格

概念格中既包含條件屬性又包含評價屬性的節點。在用哈希圖表示概念格時，其父節點只包括條件屬性的那些節點被稱之為關鍵概念節點。表2中，a，b，c和d是條件屬性；e，f和g是評價屬性，那么圖7中的關鍵概念節點為(5)，(6)，(7)，(8)，(9)。

根據以上分析，性能評價規則的具體提取過程如下：若給定某個關鍵概念節點(Xf1，Yf1)和它的父節點(Xf2，Yf2)，則性能評價規則為Yf2?Yf1-Yf2。

以圖7的節點(5)為例，其父節點為(2)，那么它的性能評價規則為ac?ace-ac，即ac?e；節點(6)，(7)，(8)，(9)對應的性能評價規則提取過程與此類似。由圖7中節點之間的關系可以提取出如表3所示的性能評價規則。

比照現實情況可知，提取的上述性能評價規則是合理的。根據規則的解釋可以看出，雖然規則1和規則2具有相同的條件，但是評價結果不同；另外，規則2、規則3和規則4雖然具有不同的條件，但是評價結果相同。這是因為參與評價的人員有著不同的關注點。

表3 性能評價規則

3 性能評價結果的不確定性分析

從表3可以看出，評價人員有時不能完全確定性能評價規則中輸入與輸出之間的關系，即評價規則中有些條件與結果之間具有不確定性。這是由于數據的復雜性和不確定性以及受到人為主觀偏好的影響，使得提取出的評價規則可能會表現出同一條件屬性對應多種不同評價結果的情況。對此需要應用D—S理論分析評價人員使用評價規則所得出評價結果的不確定性。

假設“安全”包括“可用”和“可靠”，“未知”包括“可靠”和“不安全”，那么，可以通過D—S理論分析評價規則確定的概率。

由于表3中規則1、規則3和規則5涵蓋了所有的輸入條件和輸出結果，因此結合北京地鐵亦莊線列控系統安全通信協議開發人員的經驗，將這3條規則的先驗概率設置如下[8]。

(1)P1(協議是安全的|成功建立安全鏈接和信息具有時效性)=0.84：表示如果成功建立安全鏈接且信息具有時效性，則評價人員認為協議是安全的概率為0.84。

(2)P3(協議屬性未知|成功建立安全鏈接和信息不具有時效性)=0.73：表示如果成功建立安全鏈接但信息不具有時效性，則評價人員認為協議屬性未知的概率為0.73。

(3)P5(協議是不安全的|未成功建立安全鏈接和信息不具有時效性)=0.65：表示如果未成功建立安全鏈接且信息不具有時效性，則評價人員認為協議是不安全的概率為0.65。

表4 規則1與規則3的聯合概率

表5 規則1和規則3與規則5的聯合概率

表5中，P1,3,5{φ1}為P5{不安全}與P1,3{可靠}的不一致度，P1,3,5{φ2}為P5{不安全}與P1,3{可用，可靠}的不一致度。

針對表5中所列規則1和規則3與規則5的聯合概率中包含的聚合元素集合，根據D—S理論可知它們的信任概率Bel和似然概率Pls分別為

(4)

其中，

k=P1,3,5{φ1}+P1,3,5{φ2}

由式(4)得到規則1和規則3與規則5聯合概率中各聚合元素的的信任概率Bel和似然概率Pls，見表6。

表6規則1和規則3與規則5聯合概率中各聚合元素集合的信任概率和似然概率

聚合元素集合信任概率似然概率不確信概率范圍{不安全}0.272 00.352 4[0.272 0,0.352 4]{可靠}0.472 70.728 0[0.472 7,0.728 0]{可靠,不安全}0.857 91.000 0[0.857 9,1.000 0]{可用,可靠}0.647 60.728 0[0.647 6,0.728 0]

由表6可以得出以下結論。

(1)“不安全”的信任概率最低。導致“不安全”的條件是“安全鏈接未成功建立”和“信息不具有時效性”，而丟包率是影響這2個條件是否能達成的主要因素[17]；由于丟包率很低，因此“不安全”的信任概率也很低。

(2)“安全”的信任概率比“不安全”的大。這是因為“安全”的條件是“安全鏈接成功建立”和“信息具有時效性”，而根據作者的以往研究得知，這2個條件都有較大的概率，所以“安全”的信任概率也隨之較大。

(3)“可靠，不安全”(即“未知”)的信任概率最大，也就是協議最可能的屬性是“未知”。這是因為“未知”發生的條件之一是“信息是否具有時效性”，而根據規范[17]可知：信息的傳輸時間如果不超過15 s，則判定傳輸的信息具有時效性，如果信息的傳輸時間為15～20 s，則認為傳輸的信息也是可以接受的；所以僅根據信息的傳輸時間這1個條件難以判斷列控系統安全通信協議是否安全，還必須考慮“成功建立安全鏈接”這個條件是否滿足。

4 結束語

針對傳統方法在評價列控系統安全通信協議性能時存在只能定性不能定量和對評價人員掌握評價尺度有差異考慮不足的問題，本文采用從列控系統安全通信協議性能仿真得到的數據，通過決策論中的概念格理論研究制定安全通信協議的性能評價規則。為了驗證所提出的性能評價規則的可行性，采用D—S理論并參考北京地鐵亦莊線列控系統安全通信協議開發人員的經驗，分析評價人員使用本文安全通信協議性能評價規則所得出評價結果的不確定性，結果表明，使用本文制定的安全通信協議性能評價規則克服了傳統方法的不足，而且以概率的形式定量表示安全通信協議的性能，可使評價結果更全面也更具有說服力。