CN106375298A - 一种可配置安全通信协议的实现方法 - Google Patents

Abstract

本发明公开了一种用于基于通信的列车控制系统中的可配置安全通信协议的实现方法，所述基于通信的列车控制系统包括应用层和硬件驱动层/安全层，所述方法包括：在所述应用层和所述安全层之间设置包括可配置安全通信协议栈和函数接口的可配置安全通信协议层，以使得应用层可通过调用所述函数接口来配置所述可配置安全通信协议栈以支持用于所述列车控制系统的多个组件之间的通信的多种安全通信协议。本发明的可配置安全通信协议包括了RSSP‑I和RSSP‑II等安全通信协议，同时更提供了其它一系列的安全校验方式，可以通过配置的方式，由用户定义不同的安全校验组合，以实现不更改代码实现和其它子系统既有安全通信协议对接。

Description

一种可配置安全通信协议的实现方法

技术领域

本发明涉及基于通信的列车控制(CBTC)系统，更具体地，涉及CBTC系统中的可配置安全通信协议的实现方法。

背景技术

城轨CBTC信号系统(也不仅限于该系统)的内部各子系统之间通信中已知或未知的特性会影响到各子系统的安全，各子系统间数据传输过程中可能由于受到网络延迟或干扰等原因而导致通信数据出现重复、删除、插入、重排序、损坏、延迟和伪装等威胁，而在开放式网络中，更有可能会出现非法入侵。为了避免以上安全威胁的出现，需要在通信过程中采用安全通信协议，需要增加校验机制以保证通信数据的真实性、完整性、时限性及次序性。

国内通用的安全通信协议为铁路信号安全通信协议-1(RSSP-I)与铁路信号安全通信协议-2(RSSP-II)。RSSP-I通过设备识别号、16位CRC校验、32位移位时间戳保证通信安全。RSSP-II通过设备识别号、序列号、时间戳或周期戳、CRC32、3DES加密码保证系统间通信安全。

对于不同的通信双方，通常需要不同的校验机制对通信数据的安全进行保证，通信校验机制的开发、测试和维护会给开发人员带来较大工作量。因此，本领域中希望解决以下问题：

1、如何在不改动源码的情况下实现不同信号子系统间安全通信协议对接；

2、信号子系统如何在不改动与安全通信协议接口的情况下，调用不同的安全通信协议处理过程；

3、如何支持多个通信对象的连接。

发明内容

提供本发明内容以便以简化形式介绍将在以下具体实施方式中进一步描述的一些概念。本发明内容并非旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。

本文所述可配置安全通信协议囊括了RSSP-I和RSSP-II等安全通信协议，同时更提供了其它一系列的安全校验方式，可以通过配置的方式，由用户定义不同的安全校验组合，以实现不更改代码实现和其它子系统既有安全通信协议对接。

根据本发明的一个实施例，提供了一种用于基于通信的列车控制系统中的可配置安全通信协议的实现方法，所述基于通信的列车控制系统包括应用层和硬件驱动层/安全层，其特征在于，所述方法包括：在所述应用层和所述安全层之间设置包括可配置安全通信协议栈和函数接口的可配置安全通信协议层，以使得可通过调用所述函数接口来配置所述可配置安全通信协议栈以支持用于所述列车控制系统的多个组件之间的通信的多种安全通信协议。

根据本发明的又一实施例，通过调用所述函数接口来配置所述可配置安全通信协议栈进一步包括：配置可用的通信链路数量；配置每条通信链路的安全通信参数；以及配置通信协议格式。

根据本发明的又一实施例，所述安全通信参数包括以下中的至少一个：链路号、发送方类型、发送方识别号、接收方类型、接收方识别号、发起方/应答方/无发起应答区分、发起握手允许周期、序列号容忍数、超时周期容忍数、以及数据发送间隔。

根据本发明的又一实施例，所述通信协议格式包括以下中的至少一个：校验手段、以及所述校验手段使用的字节在数据包中的位置。

根据本发明的又一实施例，所述方法还包括配置各个安全通信协议所特有的配置数据。

根据本发明的又一实施例，所述协议栈初始化包括根据所配置的协议加载所需要的通信链路的数量、参数配置、通信协议结构。

根据本发明的又一实施例，所述方法还包括：初始化所述可配置安全通信协议栈；根据所述通信协议格式中约定的校验方式来检查由所述应用层发送给所述协议栈的数据包是否通过校验；以及响应于所述数据包通过校验，更新链路状态。

根据本发明的又一实施例，所述校验方式包括以下中的至少一个：FFFE、CRC、发送序列号与接收序列号、EC机制、发送方/接收方、AES、DES及3DES、RSSP-I、以及RSSP-II。

根据本发明的又一实施例，所述方法还包括：在所述协议栈中为所述应用层提供以下接口中的至少一个：链路数据应用封装接口、链路数据校验解析接口、链路状态查询接口、链路打开/关闭操作接口、以及系统间同步接口。

根据本发明的又一实施例，所述方法还包括：将所述应用层需要发送的应用数据按照约定格式封装；以及返回封装后的数据包。

本发明由此提供了一种可配置性较高、通用性较大的通信协议，此协议提供了一系列常用的通信安全校验机制，通过灵活配置的方式对不同校验机制进行选择、组合，从而在不修改源程序的情况下能够提供城轨CBTC信号系统城轨信号内部各子系统之间的安全通信协议。

本发明的技术效果是：

1、本发明包含了轨道交通常用的RSSP-I及RSSP-II安全通信协议，并可通过配置协议结构，支持大部分设备中的私有安全通信协议；

2、本发明可以在仅修改配置文件的情况下扩展通信链路；

3、本发明可在仅修改配置文件的情况下更改采用的安全通信协议构成或安全通信协议类型；

4、本发明能够实现城轨信号系统的全复用，不同子系统根据通信方式和安全级别进行协议的配置选用。

通过阅读下面的详细描述并参考相关联的附图，这些及其它特点和优点将变得显而易见。应该理解，前面的概括说明和下面的详细描述只是说明性的，不会对所要求保护的各方面形成限制。

附图说明

为了能详细地理解本发明的上述特征所用的方式，可以参照各实施例来对以上简要概述的内容进行更具体的描述，其中一些方面在附图中示出。然而应该注意，附图仅示出了本发明的某些典型方面，故不应被认为限定其范围，因为该描述可以允许有其它等同有效的方面。

图1是城轨CBTC信号系统的结构示意图；

图2是根据本发明的一个实施例的城轨CBTC信号系统的软件层次结构示意图。

图3是根据本发明的一个实施例的图2中的可配置安全通信协议层的进一步层次结构示意图；

图4是根据本发明的一个实施例的用于配置安全通信协议的方法的流程图；

图5是根据本发明的一个实施例的用于通过协议栈管理模块管理各个通信链路状态的方法的流程图。

具体实施方式

下面结合附图详细描述本发明，本发明的特点将在以下的具体描述中得到进一步的显现。

图1是城轨CBTC信号系统的结构示意图。如图1中所示，列车自动监控系统(Automatic Train Supervision，简称ATS)通过系统通信总线与多个计算机联锁(Computer Interlocking，简称CI)系统、多个区域控制器(ZoneController，简称ZC)、以及多个列车自动防护(Automatic Train Protection，简称ATP)/列车自动运行(AutomaticTrain Operation，简称ATO)车载设备通信地耦合。作为一个示例，图1中ATS共连接到5个CI联锁(例如，CI联锁1、……、CI联锁5)。这5个CI联锁可被物理地或逻辑地分布到两个区域中，并分别由相应地区域控制器(例如，ZC区域控制器1、ZC区域控制器2)来控制。ATS还可连接多个ATP/ATO车载设备(例如，ATP/ATO车载设备1、ATP/ATO车载设备2、……、ATP/ATO车载设备1N)。本领域技术人员可理解，此处给出的示例是非限制性的，ATS可连接任意数量的CI联锁、区域控制器、以及ATP/ATO车载设备，或适合用于城轨CBTC信号系统的任何其它组件。

图2是根据本发明的一个实施例的城轨CBTC信号系统的软件层次结构示意图。如图2中所示，该部署层次结构可由三层组成，其中最上层为轨道交通信号系统应用层，而最底层位硬件驱动层/安全层。轨道交通信号系统应用层和硬件驱动层/安全层的功能、结构和工作原理是本领域中已知的。在轨道交通信号系统应用层和硬件驱动层/安全层之间的是根据本发明的可配置安全通信协议层，该层中由包括多种常见的安全通信协议校验算法或独立协议以及相应的配置文件的协议栈构成，而不是现有技术中的某一种特定的安全通信协议。可配置安全通信协议层的组成和操作将结合以下的附图更详细地描述。

图3是根据本发明的一个实施例的图2中的可配置安全通信协议层的进一步层次结构示意图。如图3中所示，本发明的可配置安全通信协议层进一步包括可配置安全通信协议栈数据层、可配置安全通信协议栈控制层、以及可配置安全通信协议栈接口层。在可配置安全通信协议栈数据层中，主要接收来自轨道交通信号系统应用层的配置数据并反馈通信链路状态给轨道交通信号系统应用层，并将所接收的配置数据和状态数据提供给可配置安全通信协议栈控制层。可配置安全通信协议栈控制层则基于接收到的数据配置数据和状态数据进行各种处理、运算，并更新通信链路状态提供给轨道交通信号系统应用层，用以做出相应的故障-安全动作。通信链路状态通过可配置安全通信协议栈接口层告知轨道交通信号系统应用层，轨道交通信号系统应用层用以做出相应的故障-安全动作或计算(如ZC判断与某ATP通信超时，则会将该列车可能位置前后延时后，作为其它列车移动授权的障碍物；又如CI判断接收到的车载设备开门信息已过期，将其过滤掉，避免因通信阻塞导致列车离开站台后CI还能接收到过期的打开屏蔽门命令使站台屏蔽门打开)。可配置安全通信协议栈接口层提供接口函数供上层应用调用，用以激活断开链路、获取链路状态、收发应用数据等。以下的表1是根据本发明的一个示例性对外函数接口，用于和系统底层收发函数接口及告知上层应用某条链路连接状态。

表1

本发明的可配置安全通信协议层可通过包括多种安全通信协议的协议栈来支持各种安全通信协议。例如，协议栈可包括国内通用的安全通信协议为铁路信号安全通信协议-1(RSSP-I)、铁路信号安全通信协议-2(RSSP-II)、或任何现有技术中已知的其它安全通信协议。然而，如此前所描述的，当需要支持协议栈中未包括的其它已知或新开发的安全通信协议，本发明的可配置安全通信协议层还可通过只修改配置来实现支持更多安全通信协议的协议栈。

为此，本发明可通过协议栈配置接口来对需要开放的链路所采用的安全通信协议校验方式进行配置。协议栈可通过配置接口函数对可用的通信链路数量、每条通信链路的安全通信参数、通信协议格式、可选的各个安全通信协议所特有的配置数据、以及其它相关参数和数据进行配置。

图4是根据本发明的一个实施例的用于配置安全通信协议的方法的流程图。首先，在步骤401，配置可用的通信链路数量。接着，在步骤402，配置每条通信链路的安全通信参数。安全通信参数包括但不限于：链路号、发送方类型、发送方识别号、接收方类型、接收方识别号、发起方/应答方/无发起应答区分、发起握手允许周期、序列号容忍数、超时周期容忍数、数据发送间隔等等。随后，在步骤403，配置通信协议格式。通信协议格式包括但不限于：所包含的校验手段、该校验手段使用的字节在数据包的位置等。本领域技术人员可以理解，以上的各项配置步骤的次序是可按照适当的方式互换的。另外，配置还可包括对任何其它适当的与安全通讯协议有关的参数的配置，例如可配置各个安全通信协议(例如RSSP-I及RSSP-II)所特有的配置数据。在完成了以上的各项配置之后，在步骤404，初始化协议栈。协议栈初始化包括协议栈根据所配置的协议加载所需要的通信链路的数量、参数配置、通信协议结构等。在协议栈初始化完成之后，过程结束。

图5是根据本发明的一个实施例的用于通过协议栈控制层管理各个通信链路状态的方法的流程图。

在步骤501，上层应用自身初始化。随后，在步骤502，对协议栈进行配置。协议栈配置可进一步包括例如图4中的步骤401-403。当协议栈配置完成后，在步骤503，协议栈初始化。如之前所述的，协议栈初始化包括协议栈根据所配置的协议加载所需要的通信链路的数量、参数配置、通信协议结构等。在步骤504，上层应用判断是否是周期循环运行。如果否，则过程结束。如果是，则过程前进至步骤505，上层应用接收未解析数据包并传入协议栈。

在步骤506，协议栈根据协议格式中约定的各种校验方式来检查数据包是否通过。具体地，协议栈得到需要检查的数据包，并按照链路协议格式中设定的校验方式进行检查、解析，如果检查通过，则返回数据包中的应用数据。协议栈对接收数据包检查的结果会导致超时或丢包计数值的增加或者置零，当超时或丢包计数值达到门限值时，会导致通信链路状态由连接变为断开。当超时或丢包计数值小于门限值时，通信链路状态为连接状态。上层应用可以通过获取通信链路状态获取指定链路的链路通信状态。

随后，在步骤507，更新链路状态。接着，在步骤508，为上层应用提供链路状态查询接口，以控制协议栈内每条链路的链路状态变化。随后，在步骤509，为上层应用提供链路打开/关闭操作接口，以获取校验层校验的结果与用户接口层对通信链路的激活或关闭命令。接着，在步骤510，为上层应用提供系间同步接口，用以实现主备系间同步。本领域技术人员能够理解，上述步骤508-510的次序是可任意互换的。

在为上层应用提供各种所需接口之后，在步骤511，将上层应用需要发送的应用数据按照约定格式封装，并返回封装后的数据包。随后，在步骤512，上层应用发送数据。过程返回到步骤501。

对于以上的校验步骤506，本发明的可配置安全通信协议可提供以下示例性校验方式：

1.FFFE

FFFE协议使用两种同步序列：

消息起始序列(起始)为2个字节：0xFF,0xFE。

消息终止序列(终止)为2个字节：0xFF,0xFD。

FFFE协议中封装的数据如果出现0xFF时，则会做出转义处理。

FFFE协议保证了在通信介质不满足数据整包传输时数据包的完整性，当数据包不满足该校验机制时，丢弃该数据包。

2.CRC

协议提供了三种CRC，分别是CRC16、CRC32与代签名的CRC48。

CRC作为数据包，除FFFE机制、简易AES加密外，其它部分如帧类型、日历时间、传输序列号、接受序列号、EC、应用数据长度、应用数据、签名将会一起进行CRC校验计算。

在每次信息传输过程中，通信链路的接收端需要通过系统内的签名散列表中对应的数字签名与接收到的数据一起进行CRC48校验，以检测通信是否在合法实体间进行。

当数据包不满足该校验机制时，丢弃该数据包。

3.发送序列号与接收序列号

所有系统间通信将有一个系统作为发起方。

所有系统间通信将有一个系统作为应答方。

在不同的通信链路上，发起方和接收方由系统双发协定，所有系统间通信将由发起方建立，所有系统间通信由发起方与应答方共同维护，发起方与应答方通过SYN、SYN_ACK、ACK三次握手建立通信。

每个设定的固定时间间隔作为一个通信周期，一旦通信在发起方和应答方之间建立，发起方将在每个通信周期内向应答方发送数据包，并以PSH作为数据包头，应答方接收到发起方传来的数据时，通过完整性、时效性检测后将向发起方发送PSH_ACK为数据包头的应答数据。

应答方、应答方任意一方将要发送出一包数据时，会将内部发送计数值加1，并将该值随数据包一起发出；当接收到合法数据包时，会将内部接收计数值加1。当数据包超过该校验机制允许门限值后，该链路断开。

4.EC机制

应用数据应该防御延迟威胁，EC(Executive Cycle)的安全防御技术可用于保护消息的时效性。从对等实体接收到的每一条消息都含有帧头，使用帧头里的EC计数可以实现对延迟威胁的防御。

延迟威胁的检测通过对接收到的消息中的EC计数值和本地计算的EC计数期望值进行比较实现。EC机制保障了从上次传输消息开始在制定的时间区域内传输消息的有效性，从而将消息传输转换为伪周期模式，这样就可以管理在安全连接另一端的超时数据接收。当数据包超过该校验机制允许门限值后，该链路断开。通信双方应在使用本协议前确定是否使用该机制。

EC需要设备具有固定的周期值。如果设备无固定周期值，则需要设置定时器，将收发时间间隔设置为确定值作为周期。

EC计数在通信各方向上是独立的。EC计数无需初始化，发送方将自身周期计数发送至接收方。如果周期计数值未达到最大值，周期计数值将每周期递增1。一旦EC计数值达到最大值，下一个EC的计数值应为0。接收方接收到发送方数据包时，将上一次有效的发送方周期计数值加上周期容忍值得到本周期接收的对方周期计数值的期望值Ex。接收方将判断本周期收到的发送方的周期计数值EC是否小于接收期望值Ex，如果小于则认为该通信链路的延时处于容忍范围内；否则，则视该链路通信超时。

5.发送方/接收方

通过两个字节作为设备的识别号。如果接收方收到的数据包中发送方识别号与链路配置不匹配，或者数据包中接收方识别号与本方识别号不匹配，则需要丢弃该数据包。

6.AES

AES(The Advanced Encryption Standard)是美国国家标准与技术研究所用于加密电子数据的规范。它被公认为金融、电信和政府数字信息较为安全的加密方法。通信双方应在使用本协议前确定其数据包是否使用加密处理。当数据包不满足该校验机制时，丢弃该数据包。

AES是一个迭代的、对称密钥分组的密码，本协议使用128位密钥，并且用128位(16字节)分组加密和解密数据。

AES加密过程是在一个4×4的字节矩阵上运作，这个矩阵又称为“状态(state)”，其初值就是一个明文区块，矩阵中一个元素大小就是明文区块中的一个Byte(Rijndael加密法因支持更大的区块，其矩阵行数可视情况增加)。在加密过程中，各轮AES加密循环(除最后一轮外)均包含4个步骤：

(1)AddRoundKey—矩阵中的每一个字节都与该次轮秘钥(round key)做XOR运算；每个子密钥由密钥生成方案产生。

(2)SubBytes—通过个非线性的替换函数，用查找表的方式把每个字节替换成对应的字节。

(3)ShiftRows—将矩阵中的每个横列进行循环式移位。

(4)MixColumns—充分混合矩阵中各个直行。这个步骤使用线性转换来混合每列的四个字节。最后一个加密循环中省略MixColumns步骤，而以另一个AddRoundKey取代。

7.DES及3DES

数据加密标准(Date Encryption Standard)是一种分组加密算法,主要采用替换和移位的方法,它以64bit位(8byte)为分组对数据进行加密,其中有8bit奇偶校验,有效密钥长度为56bit。64位一组的明文从算法的一端输入后,从另一端输出64位的密文。DES算法也是一种对称算法,加密或解密是使用同一种算法,其特点是保密性依赖于密钥。在DES的基础上发展了用其改进算法的3DES(Triple Date Encryption Standard)。该算法使用三个密钥对数据进行三次DES加密。

8.RSSP-I

铁路信号安全通信协议-1是一种广泛应用于铁路信号系统中的封闭式传输系统中的安全通信协议，通过设备识别号、16位CRC校验、32位移位时间戳保证通信安全。

9.RSSP-II

铁路信号安全通信协议-2是一种广泛应用于铁路信号系统中的开放式传输系统中的安全通信协议，通过设备识别号、序列号、时间戳或周期戳、CRC32、3DES加密码保证系统间通信安全。

10.未定义

遇到无法通过配置实现对接的协议时，采用“未定义”配置项，传入的数据包以透明传输方式通过本协议栈后再进行协议校验。

当需要将本发明未包含的安全校验算法添加进本发明中时，只需要在主控部分增加增补的安全校验算法的拆解包接口及在配置项枚举中增加该算法名称即可。

以上所已经描述的内容包括所要求保护主题的各方面的示例。当然，出于描绘所要求保护主题的目的而描述每一个可以想到的组件或方法的组合是不可能的，但本领域内的普通技术人员应该认识到，所要求保护主题的许多进一步的组合和排列都是可能的。从而，所公开的主题旨在涵盖落入所附权利要求书的精神和范围内的所有这样的变更、修改和变化。

Claims (10)

1.一种用于基于通信的列车控制系统中的可配置安全通信协议的实现方法，所述基于通信的列车控制系统包括应用层和硬件驱动层/安全层，其特征在于，所述方法包括：

在所述应用层和所述安全层之间设置包括可配置安全通信协议栈和函数接口的可配置安全通信协议层，以使得可通过调用所述函数接口来配置所述可配置安全通信协议栈以支持用于所述列车控制系统的多个组件之间的通信的多种安全通信协议。

2.如权利要求1所述的方法，其特征在于，通过调用所述函数接口来配置所述可配置安全通信协议栈进一步包括：

配置可用的通信链路数量；

配置每条通信链路的安全通信参数；以及

配置通信协议格式。

3.如权利要求2所述的方法，其特征在于，所述安全通信参数包括以下中的至少一个：链路号、发送方类型、发送方识别号、接收方类型、接收方识别号、发起方/应答方/无发起应答区分、发起握手允许周期、序列号容忍数、超时周期容忍数、以及数据发送间隔。

4.如权利要求2所述的方法，其特征在于，所述通信协议格式包括以下中的至少一个：校验手段、以及所述校验手段使用的字节在数据包中的位置。

5.如权利要求2所述的方法，其特征在于，所述方法还包括配置各个安全通信协议所特有的配置数据。

6.如权利要求2所述的方法，其特征在于，所述协议栈初始化包括根据所配置的协议加载所需要的通信链路的数量、参数配置、通信协议结构。

7.如权利要求2所述的方法，其特征在于，所述方法还包括：

初始化所述可配置安全通信协议栈；

根据所述通信协议格式中约定的校验方式来检查由所述应用层发送给所述协议栈的数据包是否通过校验；以及

响应于所述数据包通过校验，更新链路状态。

8.如权利要求7所述的方法，其特征在于，所述校验方式包括以下中的至少一个：FFFE、CRC、发送序列号与接收序列号、EC机制、发送方/接收方、AES、DES及3DES、RSSP-I、以及RSSP-II。

9.如权利要求7所述的方法，其特征在于，还包括：

在所述协议栈中为所述应用层提供以下接口中的至少一个：链路数据应用封装接口、链路数据校验解析接口、链路状态查询接口、链路打开/关闭操作接口、以及系统间同步接口。

10.如权利要求7所述的方法，其特征在于，还包括：

将所述应用层需要发送的应用数据按照约定格式封装；以及

返回封装后的数据包。