CN112455496A

CN112455496A - 一种铁路信号系统安全通信连接动态切换方法

Info

Publication number: CN112455496A
Application number: CN202011155447.8A
Authority: CN
Inventors: 宋鹏飞; 张琦; 赵宏涛; 王涛; 张涛; 桂乐芹; 周晓昭; 白利洁; 曹桢; 苗长俊; 张海峰; 李涛; 杨涛; 宋孝燕; 唐彬; 张海林; 刘文博; 周宏伟
Original assignee: China Academy of Railway Sciences Corp Ltd CARS; Signal and Communication Research Institute of CARS; Beijing Ruichi Guotie Intelligent Transport Systems Engineering Technology Co Ltd; Beijing Huatie Information Technology Co Ltd
Current assignee: China Academy of Railway Sciences Corp Ltd CARS; Signal and Communication Research Institute of CARS; Beijing Ruichi Guotie Intelligent Transport Systems Engineering Technology Co Ltd; Beijing Huatie Information Technology Co Ltd
Priority date: 2020-10-26
Filing date: 2020-10-26
Publication date: 2021-03-09
Anticipated expiration: 2040-10-26
Also published as: CN112455496B

Abstract

本发明公开了一种铁路信号系统安全通信连接动态切换方法，在不增加硬件的基础上，利用现有的CTC设备及网络，在CTC与SIL4级设备建立安全通信连接后，主备倒切时安全连接无需中断，实现动态漂移，新主机顺利接管安全连接，保证CTC与SIL4级设备数据传输的稳定。

Description

一种铁路信号系统安全通信连接动态切换方法

技术领域

本发明涉及轨道交通技术领域，尤其涉及一种铁路信号系统安全通信连接动态切换方法。

背景技术

CTC系统(铁路信号调度集中系统)目前广泛应用于铁路轨道交通领域，是中高速铁路必备的信号系统之一，负责对全线列车的调度指挥及集中控制。CTC系统需要与其他信号系统进行接口通信，互相传递所需要的信息数据，比如CTC需与TSRS(临时限速服务器)、RBC(无线闭塞系统)、ATO(列车自动驾驶系统)+TSRS系统等进行通信交互数据。这部分信号系统均是SIL4级的铁路信号安全设备(以下简称“SIL4系统或SIL4设备”)，CTC与它们通信时，为了确保信息安全传输，需要使用铁路信号安全协议RSSP-II，即CTC系统与SIL4设备以TCP方式建立网络传输通道(套接字socket)后，需要在通道之上依照铁路信号安全协议要求，建立“安全通信连接”(简称“安全连接”)，数据只有通过安全通信连接的传输，经过安全校验后方可处理使用。

中国的RSSP-II安全协议，源于欧盟ETCS系统中铁路信号安全协议中的Subset-098及Subset-037系列，可视为等价标准。CTC系统通过接口机与SIL4信号系统通信时，遵循RSSP-II协议，包括：CTC接口机的主机、备机均与对方建立多条TCP方式网络通道，但只有CTC主机与对方建立安全通信连接，双方之间的信息在此安全通信连接上冗余传输。

CTC系统接口机硬件为普通的PC服务器，操作系统一般为Windows Server或Linux，双机热备。接口机一般要求具备4块网卡，其中2块网卡为内网卡与内部通信使用，2块为外网卡与对外设备接口。CTC接口机A机、B机同时与对方建立TCP连接。之后根据具体的接口种类，比如CTC与TSRS系统接口时，由CTC主机主动发起申请，尝试建立安全连接，或者与RBC接口时，CTC开启本地的监听端口，等待对方连入并接收对方的数据建立安全连接。无论本地是主动发起或被动等待，总体安全通信连接的建立流程、安全协议传输基本相同，均是由主机完成。CTC设备与SIL4设备接口示意如图1所示。

目前铁路行业内，CTC按照RSSP-II协议与SIL4设备通信时，只有主机与对方的主机建立一个安全连接，备机不建立。这是因为，对方系统在同一时刻只能接受一台CTC机器发来的安全连接申请，并完成安全连接的建立。之后即使CTC端备机主动尝试建立另外一条安全连接，对方系统不会接受此尝试。从而当CTC端主备发生倒机时，需要原主机需主动切断安全连接，之后备机重新尝试与对方建立新的安全连接。这会导致倒机过程中CTC与该系统一般会有6-60秒不等的中断现象。目前CTC侧暂时没有厂家实现安全连接漂移的策略。

另一方面，TSRS、RBC等SIL4设备，可以实现主备倒机时安全连接的无缝切换。经了解，SIL4系统的服务器一般为专用的硬件设备，对外接口时，安全接口功能多由独立的“安全接口板”实现，服务器与安全接口板相连，实现服务器对安全接口功能的独立；或者2台接口服务器内部通过CAN总线或专用的安全数据网进行内部通信。某SIL4设备内部的连接方案如图2所示。但是，SIL4级信号系统中服务器所使用的硬件为专门的设备，而非通用服务器，另外专门的安全接口板、插卡式的接口服务器、CAN总线方式内部通讯、安全数据网内部通讯等模式，既有CTC系统无法使用借鉴使用。

发明内容

本发明的目的是提供一种铁路信号系统安全通信连接动态切换方法，在CTC接口机主备机切换时安全通信连接可动态漂移无缝切换，不会发生通信中断，无需重新建立新的安全通信连接。

本发明的目的是通过以下技术方案实现的：

一种铁路信号系统安全通信连接动态切换方法，包括：

CTC接口主机与SIL4设备建立安全通信连接传输应用数据，之后CTC接口主机将安全连接的状态按照分层管理的思想，逐层提炼出关键的有限状态机标识符以及相应的状态字数据，组成带时间戳的安全状态同步数据，并传输给CTC接口备机；

CTC接口备机接收带时间戳的安全状态同步数据后，依照时间戳及数据内容将本地安全连接的各个分层按照由低到高逐层同步，使CTC接口备机形成一个伪安全连接状态，同时，CTC接口备机在此基础上处理从SIL4设备接收到的数据，利用接收的数据对伪安全连接状态进行辅助性校验；

当CTC接口机主备切换时，原CTC接口主机作为新的CTC接口备机，自动降为伪安全连接状态，原CTC接口备机作为新的CTC接口主机，在伪全连接的基础上，主动触发校准机制，向SIL4系统发送安全连接的校准信息，对安全连接进行重新校准，从而实现CTC接口主备机安全层的无缝切换。

由上述本发明提供的技术方案可以看出，在不增加硬件的基础上，利用现有的CTC设备及网络，在CTC与SIL4级设备建立安全通信连接后，主备倒切时安全连接无需中断，实现动态漂移，新主机顺利接管安全连接，保证CTC与SIL4级设备数据传输的稳定。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明背景技术提供的CTC设备与SIL4设备接口示意图；

图2为本发明背景技术提供的SIL4设备内部的连接示意图；

图3为本发明实施例提供的一种铁路信号系统安全通信连接动态切换方法的流程图；

图4为本发明实施例提供的安全连接的分层原理图；

图5为本发明实施例提供的CTC接口主机的消息安全鉴定层的状态变迁示意图；

图6为本发明实施例提供的CTC接口主机的安全应用中间子层的状态变迁示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例提供一种铁路信号系统安全通信连接动态切换方法，利用既有的CTC硬件设备及网络，设计同步逻辑，实现CTC接口服务器主备倒切时安全通信连接的动态漂移，安全通信连接能够保持不中断；如图3所示，该方法主要包括：

1、CTC接口主机与SIL4设备建立安全通信连接传输应用数据，之后CTC接口主机将安全连接的状态按照分层管理的思想，逐层提炼出关键的有限状态机(Finite StateMachine)标识符以及相应的状态字数据，组成带时间戳的安全状态同步数据(SafetyProtocol Sync Data，简称SPSD)，并传输给CTC接口备机。CTC接口主机与备机可以利用服务器之间专用通道传输数据，一般接口服务器之间均有专用的心跳网络，如没有也可复用正常生产网络中对内的2块网卡资源。CTC接口备机与SIL4设备之间建立TCP通道，并被动接收数据。

2、CTC接口备机接收带时间戳的安全状态同步数据后，依照时间戳及数据内容将本地安全连接的各个分层按照由低到高逐层同步，使CTC接口备机形成一个伪安全连接状态，同时，CTC接口备机在此基础上处理从SIL4设备接收到的数据，利用接收的数据对伪安全连接状态进行辅助性校验。

3、当CTC接口机主备切换时，原CTC接口主机作为新的CTC接口备机，自动降为伪安全连接状态，原CTC接口备机作为新的CTC接口主机，在伪全连接的基础上，主动触发校准机制，向SIL4系统发送安全连接的校准信息(延时检测及安全层参数更新)，对安全连接进行重新校准，从而实现CTC接口主备机安全层的无缝切换。

本发明实施例中，所述CTC接口主机及备机与SIL4设备通过RSSP-II安全协议进行通信，双方之间的安全通信连接在建立时采用分层方式，上一层的状态依赖下一层状态的建成及维持，下一层的状态需要上一层去驱动触发；CTC接口主机及备机、以及SIL4设备的主机层次对等建立结构完全相同，如图4所示，从低至高依次为：适配及冗余管理层(ALE)、消息安全鉴定层(MASL)、安全应用中间子层(SAI)、以及应用层(App)；其中，CTC接口主机及备机、以及SIL4设备的主机及备机均通过多条TCP通道与各自的适配及冗余管理层连接。

本发明实施例中，应用层(App层)要处理的数据，是已经过“安全连接”传输校验之后，需要进行处理的数据(一般是用户数据)。应用层不涉及同步的逻辑，由CTC接口机主机处理应用层数据。类似TCP的协议栈，用户要发送的数据，会经过层层封装，逐层传递，直至发送；接收方处理时，也是逐层剥离校验。

本发明实施例中，CTC系统与SIL4设备通过建立TCP通道收发数据。在多条TCP通道(一般为4条)之上构建ALE层，进行通信底层的第一道冗余处理及通道适配管理。其中，CTC系统与SIL4系统之间的冗余数据逻辑为：按照冗余传输要求，CTC的主系向4条通道均发送相同的数据；同样SIL4系统主系也通过4条通道发送相同的数据。所以正常情况CTC系统的备系能够收到正常的数据，只不过因为无法进行安全状态校验而没有对数据进行处理。

为了便于理解，下面针对图3所示的三个部分分别进行详细的介绍。

一、安全连接分层抽象、状态抽取构成SPSD。

为了实现CTC接口主备机安全连接的漂移切换，CTC接口主机需要将安全连接的几个分层状态进行抽象剥离，筛选出核心数据描述各个层的当前状态，并进行快照式同步传输。下面针对适配及冗余管理层(ALE)、消息安全鉴定层(MASL)、安全应用中间子层(SAI)的抽象及同步原理进行介绍。

1、CTC接口主机的适配及冗余管理层(ALE)的抽象及同步。

CTC系统与SIL4系统各自的适配及冗余管理层，负责对底层TCP通道的管理维护以及数据的收发处理，工作逻辑如下：

1)适配及冗余管理层收发的数据类型包括：发起方申请(AU1)、应答方反馈(AU2)、ALE层数据包(DT)、中断消息(DI)；ALE层对接收到的数据进行初步的包类型判断、序号检查、及ID判断，并依据此数据创建相应的服务原语(primitive)，每一个服务原语有不同的类型，封装了不同类型的数据，送往消息安全鉴定层处理，由消息安全鉴定层进行判断继续处理。

2)对外要发送的数据是由消息安全鉴定层驱动发出；安全连接初次启动时，CTC接口主机的消息安全鉴定层会要求适配及冗余管理层主动发送AU1申请建立安全连接；

CTC接口主机把每一条底层通道的状态同步给CTC接口备机，适配及冗余管理层要向备机同步的核心数据(也即，安全状态同步数据中包含的适配及冗余管理层的相关数据信息)如表1所示，主要包括：

各TCP通道的标识，用于标识各TCP通道使用的外网网段，从而使得CTC接口备机能够利用相同的外网网段同步相应TCP通道的状态；对端SIL4设备的主机与备机身份；对端SIL4设备ID；从通道最新接收的数据类型；向通道最新发送的数据类型；接收ALE包中的最新序号；期望从ALE层接收的下一包数据序号；发送ALE包中的最新序号；以及，时钟戳。

表1同步的ALE层核心数据

2、CTC接口主机的消息安全鉴定层(MASL)的抽象及同步。

本发明实施例中，采用有限状态机来描述消息安全鉴定层的状态迁移变化；状态类型包括如下四类：

1)MASL_IDLE：空闲初始状态。

2)MASL_WFTC：wait for transport connection，安全鉴定层开始启动状态。

3)MASL_WFAR：Wait for the authentication response，等待对方确认的状态。

4)MASL_DATA：Safety connection is opened and ready for data transfer，安全连接打开数据传输做好准备的状态；

当CTC接口主机作为发起端时，状态迁移变化逻辑如图5所示(CTC作为被动响应端时，状态机的变迁基本类似)：

正常状态下，初始阶段为空闲初始状态；

T1：当收到安全应用中间子层发出的要求建立安全连接的服务原语后，消息安全鉴定层依据此指令，驱动适配及冗余管理层对外发送发起方申请AU1，并进入安全鉴定层开始启动状态。

T2：进入安全鉴定层开始启动状态后，如果安全应用中间子层因为连接超时或者主动中断重置、或者从适配及冗余管理层接收的ALE层数据错误，不是正确的应答方反馈AU2，则返回至空闲初始状态。

正常情况，由于CTC与SIL4的网络一般是封闭的，因此，CTC接口主机ALE层数据都是对方SIL4设备发出的。但由于RSSP-II协议是安全协议，安全协议需要具备安全传输的几个功能：消息的真实性(防止注入)、消息的完整性(防止篡改)、访问保护(防止攻击)，所以假设有特殊的伪造攻击，ALE层通过数据的各项检查可实现一定的防护。

T3：如果从适配及冗余管理层接收到正确的应答方反馈AU2，则向适配及冗余管理层发出ALE层数据包(DT)，进入等待对方确认的状态。

T4：进入等待对方确认的状态后，如果安全应用中间子层因为连接超时或者主动中断重置、或者从适配及冗余管理层接收的ALE层数据错误，不是正确的ALE层数据包(DT)，则返回至空闲初始状态。

T5：如果收到正确ALE层数据包(DT)，则进入安全连接打开数据传输做好准备的状态。

T6：进入安全连接打开数据传输做好准备的状态后，如果安全应用中间子层因为连接超时或者主动中断重置、或者收到错误的时间、或者收到中断消息DI，则返回至空闲初始状态。

T7：如果持续收到正确的ALE层数据包(DT)，则保持安全连接打开数据传输做好准备的状态。对正确的ALE层数据包(DT)，剥离ALE层帧结构，封装为一包新的服务原语，由本层MASL层进行安全校验处理，通过了安全检查的数据，会再次发送至上一层SAI继续处理。

CTC接口主机将消息安全鉴定层的快照状态同步给CTC接口备机，消息安全鉴定层核心数据(即，安全状态同步数据中包含的消息安全鉴定层的相关数据信息)如表2所示，主要包括：当前消息安全鉴定层有限状态机所标属的状态及更新时间；消息安全鉴定层有限状态机上一次的状态及更新时间；消息安全鉴定层有限状态机的状态迁移原因；以及，时钟戳。

MASL_State	当前MSAL层状态机所标属的状态
		MASL_UpdateTime	当前MASL层状态更新时间
MASL_prev_State	MSAL层状态机上一次的状态
		MASL_prev_State_Time	上一次状态机变化的时间
MASL_State_Change_Reason	状态机迁移的原因
		MASL_Time_Flag	时钟戳

表2 MASL层核心数据

3、CTC接口主机的安全应用中间子层(SAI)的抽象及同步。

安全应用中间子层作为安全连接的最高一层，安全连接的初始发起、维护、监视、重置均由此层负责。CTC接口主机的安全应用中间子层需要把三项相关功能的数据向备机同步以实现安全连接的漂移。

1)EC计数值的动态逻辑检查及应对处理。

按照协议的要求，CTC与SIL4各自的安全应用中间子层SAI层是通过“EC(Execution Cycle)防御技术”进行安全检查，主要包括：

通信双方按照固定周期发送数据；

每包数据中均包含一个SN序列号，该SN从0-65535递增循环；SN序列号对每一个通信方向也是独立的，发送方发送每一包消息，均填写一个SN号；SN序列号用来防止消息重复、消息删除、消息重排序，接收方收到数据后，判断数据中SN序列号是否等于上一次的SN+1；如果相等，则视为正常；如果大于上一次SN+N，视为异常，需要释放安全连接；如果本次SN小于等于上一次SN，则抛弃数据。

每包数据中均包含一个4字节的EC计数值，该EC计数值每个通信周期递增，用于周期校验；

存在4种包含EC计数值(EC Counter)的消息类型：EC起始消息、普通EC消息、EC请求应答消息、EC应答确认消息；

发送方初始连接时，向对方通知自己的EC初始值。

接收方需确定一个EC的期望值Ex，每个执行周期开始时都应更新该Ex值，Ex＝当前Ex+R；

R＝接收方EC周期/发送方EC周期。在双方均是500ms周期通信时，Ex＝当前Ex+1；即每一个周期的期望Ex值应该是上一个Ex值加1；

接收方在每一个周期结束后，计算状态△＝Ex–最后接收的EC值；

如果发现△超过阈值，需要主动发出EC请求应答消息，启动传输延迟检测，要求对方进行应答；

如果△超范围，或发出的请求应答消息在一定时间没有应答，则需要主动中断重新建立安全连接。

基于上述EC防御技术，主机应将每一个周期的EC计数值及当前EC期望值、数据中的SN序列号、消息类型及时同步给备机。

2)安全应用中间子层安全连接的有限状态机变化。

3)触发式的传输延迟检测相关数据。

安全应用中间子层会监控整个安全连接检查是否存在传输延时，一旦发现有延迟，需要主动触发传输延迟检测，主动发送检测请求后，要求对方在一定时间内必须返回结果。为此主机是否开启了此检测流程，需要及时的通知备机，以便主备倒切时，备机能够顺利中途接管。

具体来说，CTC接口主机要同步的安全应用中间子层状态是整个安全连接状态当前的快照值，核心数据(即，安全状态同步数据中包含的安全应用中间子层的相关数据信息)如表3所示，主要包括：当前安全应用中间子层有限状态机所标属的状态；安全应用中间子层要发送服务原语的EC计数值；安全应用中间子层发送数据时SN序列号当前值；安全应用中间子层接收到的数据包最新SN序列号；安全应用中间子层最近收到数据中对端(即SIL4设备)EC计数值；安全应用中间子层对EC的期望值；安全应用中间子层当前EC周期偏差值；安全应用中间子层要发送的消息类型；安全应用中间子层发送传输延迟检查的次数；安全应用中间子层发送传输延迟检查的时刻；安全应用中间子层有限状态机上一次的状态；以及，时钟戳。

表3 SAI层核心数据

同样的，采用有限状态机来描述安全应用中间子层的状态迁移变化，状态类型包括：空闲初始状态(SAI_IDLE)、安全应用中间子层尝试建立连接状态(SAI_WFSC)、安全应用中间子层发出请求待回复状态(SAI_WFES2)、以及安全连接建立完成状态(STATE_SL_DATA)；根据EC数据的周期变化，状态迁移变化逻辑为：

正常状态下，初始阶段为空闲初始状态；

T1：当收到应用层发出开始建立安全连接的要求后，安全应用中间子层会创造服务原语，发送此服务原语到消息安全鉴定层，驱动消息安全鉴定层开始工作；消息安全鉴定层会基于该服务原语的类型，驱动适配及冗余管理层进行网络通道建立及适配及冗余管理层逻辑判断，此时安全应用中间子层的状态为尝试建立连接状态。

T2：进入安全应用中间子层尝试建立连接状态后，如果应用层因为连接超时或者主动中断重置、或者接收消息安全鉴定层的服务原语错误、适配及冗余管理层没有按协议要求建立通道，则返回至空闲初始状态。

消息安全鉴定层的服务原语分两个方面：1)向上对安全应用中间子层时，消息安全鉴定层是基于适配及冗余管理层的数据及状态，创建服务原语(不同类型)，发送给安全应用中间子层。例如，收到ALE层数据包(DT)，会封装成普通的数据原语，发送给安全应用中间子层；收到适配及冗余管理层的异常状态，会封装为包含中断消息的原语发送给安全应用中间子层。2)向下对适配及冗余管理层，消息安全鉴定层也是受安全应用中间子层的驱动，创建服务原语或将安全应用中间子层的数据原语封装，进行安全参数的填写后，投递给适配及冗余管理层，交由适配及冗余管理层进行发送。T3：当消息安全鉴定层从适配及冗余管理层收到与自身状态机匹配的ALE层数据包(DT)并安全校验通过时，消息安全鉴定层会向安全应用中间子层创建并发送新的服务原语，通知安全应用中间子层自身的当前状态，由安全应用中间子层进行安全应用中间子状态机变迁更新，安全应用中间子层检进行匹配检查之后，创建要发送的服务原语，该服务原语包含EC计数启动消息，并通过消息安全鉴定层将此服务原语发送，之后，安全应用中间子层的状态进入发出请求待回复状态。

T4：进入安全应用中间子层发出请求待回复状态后，如果应用层因为连接超时或者主动中断重置、或者接收消息安全鉴定层的服务原语错误、或者服务原语中包含的EC消息校验错误、或EC计数启动消息应答错误，则返回至空闲初始状态。

T5：消息安全鉴定层持续对从适配及冗余管理层收到的ALE层数据包(DT)进行安全校验，对通过检查的数据，封装为服务原语，发送至安全应用中间子层。安全应用中间子层收到消息安全鉴定层的服务原语后，进行状态机匹配检查，如果是EC计数启动应答消息，通过安全检查，则进入安全连接打开数据传输做好准备的状态。

T6：进入安全连接打开数据传输做好准备的状态后，如果应用层因为连接超时或者主动中断、或者消息安全鉴定层中断进行重置、或者接收消息安全鉴定层的服务原语错误、EC消息校验错误、或者启动传输延迟检查后未收到回应，则返回至空闲初始状态。

T7：如果持续收到消息安全鉴定层正确数据，且启动传输延迟检查后收到回应，则保持安全连接打开数据传输做好准备的状态。

本发明实施例上述方案，通过拆分安全连接为三层的逻辑方法，把每一层的当前快照状态以对应的状态机或状态字，形成一个完整的安全状态同步数据(SPSD)，由CTC接口主机发往CTC接口备机。鉴于安全连接的通信周期T_circle一般为500ms，CTC接口主机向CTC接口备机同步数据时，需要在△时间范围内将每一层的状态变迁发送给CTC接口备机，△取值可为[100,T_circle/2]范围。

另外，CTC接口主机与备机之间为了保证数据的可靠传输，同步数据的方式既可以使用自己构建普通的TCP协议，也可采用RSSP-I型协议(I型安全通信协议)或无需动态切换版本的RSSP-II协议，以△周期传输。

二、CTC接口备机的同步工作逻辑。

本发明实施例中，将逻辑更改为CTC接口备机需处理从TCP接收的来自SIL4设备的数据(当前既有系统备机不处理从TCP网络通道的数据)，但只利用该数据进行伪安全连接的辅助检验、各层的状态机检查，不向上层软件应用层输出此数据，应用层不处理备系的应用数据，同时CTC接口备机对外仍维持不发送任何数据。

CTC接口备机收到CTC接口主机的SPSD时，按照分层由低至高，依次进行对应处理，只有处理并同步更新了低一层的数据后，才继续处理高层次的同步数据。

1、适配及冗余管理层同步。

CTC接口备机按照接收带时间戳的安全状态同步数据，更新CTC接口备机的适配及冗余管理层的普通数据包(消息类型为DT、DI)序号相关标志，同时对收到的来自SIL4设备的数据进行处理；数据处理时，只处理SIL4设备的适配及冗余管理层发来的ALE层数据包DT与中断消息DI；其中，对中断消息DI按照正常逻辑处理，对每一条通道单独处理，自上而下的对安全连接中断重连；对ALE层数据包DT，按照不同的网段、以及对端SIL4设备的主备机状态，逐条通道进行处理，同步检查本地适配及冗余管理层的收到数据序号与CTC接口主机同步是否一致；对CTC接口主机同步来的SN大于收到的来自SIL4设备的SN时，抛弃收到的数据，以CTC接口主机同步来的序号为准；对CTC接口主机同步来的SN小于等于本地的SN时，且在设定阈值范围时，以本地的SN为准，以相应SN进行适配及冗余管理层层逻辑检查，检查通过后转至消息安全鉴定层由它进行继续上一层的辅助校验。

2、消息安全鉴定层同步。

CTC接口备机的消息安全鉴定层的有限状态机按照CTC接口主机的消息安全鉴定层有限状态机进行同步，对自身适配及冗余管理层接收的数据，仍维持原有的安全策略检查，通过后，以相应数据对消息安全鉴定层的有限状态机进行辅助校核，维持相应有限状态机的持续运转。

3、安全应用中间子层同步。

1)利用CTC接口主机的安全状态同步数据，对EC相关数据进行同步：EC计数值的所有标志位(标志位用于指示消息类型)，按照安全状态同步数据SPSD中的时钟戳进行同步。

2)对安全应用中间子层的状态机进行同步：按照CTC接口主机的有限状态机进行同步，保持相同的有限状态机状态。

3)对传输延迟检查是否开启及状态等进行同步：按照CTC接口主机的当前设置状态进行同步设置。

本发明实施例上述方案，通过CTC接口主机的快照式同步数据，CTC接口备机可以建立一个伪安全连接，并为与CTC接口主机的当前状态基本相同，并随CTC接口主机数据进行更新。之后，CTC接口备机在处理自身消息安全鉴定层数据时，再依据消息安全鉴定层的数据对该安全连接进行适配微调，允许一定范围的容错，弥补时隙差异导致的状态不一致，重点维持消息安全鉴定层、安全应用中间子层同步状态机的状态。

三、主备切换逻辑处理。

首先，原CTC接口主机主动降为备机，不再发送安全同步核心数据，即安全状态同步数据SPSD，开始等待新的CTC接口主机的状态。原CTC接口备机升级为CTC接口主机后，立即开启对伪安全连接的重新校准，由安全应用中间子层主动发出延时检测消息(EC消息0x82)，进行整个安全层的延时检测处理。在检测完成后，再向新的CTC接口备机发送SPSD数据，实现安全通信连接的动态漂移。如果本地的延时检测处理逻辑失败，则动态漂移失败，此时需要应用层发起新的安全连接建立请求，尝试建立新的安全连接。

本发明实施例上述方案，在不增加硬件的基础上，利用现有的CTC设备及网络，在CTC与SIL4级设备建立安全通信连接后，主备倒切时安全连接无需中断，实现动态漂移，新主机顺利接管安全连接，保证CTC与SIL4级设备数据传输的稳定。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种铁路信号系统安全通信连接动态切换方法，其特征在于，包括：

2.根据权利要求1所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，所述CTC接口主机及备机与SIL4设备通过RSSP-II安全协议进行通信，双方之间的安全通信连接在建立时采用分层方式，上一层的状态依赖下一层状态的建成及维持，下一层的状态需要上一层去驱动触发；CTC接口主机及备机、以及SIL4设备的主机的层次对等建立结构完全相同，从低至高依次为：适配及冗余管理层ALE、消息安全鉴定层MASL、安全应用中间子层SAI、以及应用层；其中，CTC接口主机及备机、以及SIL4设备的主机及备机均通过多条TCP通道与各自的适配及冗余管理层连接。

3.根据权利要求2所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，所述适配及冗余管理层收发的数据类型包括：发起方申请AU1、应答方反馈AU2、ALE层数据包DT、中断消息DI；ALE层对接收到的数据进行初步的包类型判断、序号检查、及ID判断，并形成相应的服务原语，每一个服务原语有不同的类型，封装了不同类型的数据，送往消息安全鉴定层处理，由消息安全鉴定层L层进行判断继续处理；

对外要发送的数据是由消息安全鉴定层驱动发出；安全连接初次启动时，CTC接口主机的消息安全鉴定层会要求适配及冗余管理层主动发送AU1申请建立安全连接；

当适配及冗余管理层会多条TCP通道均收到相同的数据时，进行序号冗余检查，依据序号处理最新的数据，其他序号相同或序号不合法的冗余数据抛弃不处理。

4.根据权利要求2或3所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，带时间戳的安全状态同步数据中包含的适配及冗余管理层的相关数据信息为：

各TCP通道的标识，用于标识TCP通道使用的外网网段，从而使得CTC接口备机能够利用相同的外网网段同步相应TCP通道的状态；对端SIL4设备的主机与备机身份；对端SIL4设备ID；从通道最新接收的数据类型；向通道最新发送的数据类型；接收ALE包中的最新序号；期望从ALE层接收的下一包数据序号；发送ALE包中的最新序号；以及，时钟戳。

5.根据权利要求2所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，采用有限状态机来描述消息安全鉴定层的状态迁移变化；状态类型包括：空闲初始状态、安全鉴定层开始启动状态、等待对方确认的状态、以及安全连接打开数据传输做好准备的状态；

当CTC接口主机作为发起端时，状态迁移变化逻辑为：

正常状态下，初始阶段为空闲初始状态；

当收到安全应用中间子层发出的要求建立安全连接的服务原语后，消息安全鉴定层驱动适配及冗余管理层对外发送发起方申请AU1，并进入安全鉴定层开始启动状态；

进入安全鉴定层开始启动状态后，如果安全应用中间子层因为连接超时或者主动中断重置、或者从适配及冗余管理层接收的ALE层数据错误，不是正确的应答方反馈AU2，则返回至空闲初始状态；如果从适配及冗余管理层接收到正确的应答方反馈AU2，则向适配及冗余管理层发出ALE层数据包DT，进入等待对方确认的状态；

进入等待对方确认的状态后，如果安全应用中间子层因为连接超时或者主动中断重置、或者从适配及冗余管理层接收的ALE层数据错误，不是正确的ALE层数据包DT，则返回至空闲初始状态；如果收到正确的ALE层数据包DT，则进入安全连接打开数据传输做好准备的状态；

进入安全连接打开数据传输做好准备的状态后，如果安全应用中间子层因为连接超时或者主动中断重置、或者收到错误的时间、或者收到中断消息DI，则返回至空闲初始状态；如果持续收到正确的ALE层数据包DT，则保持安全连接打开数据传输做好准备的状态。

6.根据权利要求2或5所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，带时间戳的安全状态同步数据中包含的消息安全鉴定层的相关数据信息为：

当前消息安全鉴定层有限状态机所标属的状态及更新时间；消息安全鉴定层有限状态机上一次的状态及更新时间；消息安全鉴定层有限状态机的状态迁移原因；以及，时钟戳。

7.根据权利要求2所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，采用有限状态机来描述安全应用中间子层的状态迁移变化，状态类型包括：空闲初始状态、安全应用中间子层尝试建立连接状态、安全应用中间子层发出请求待回复状态、以及安全连接建立完成状态；根据EC数据的周期变化，状态迁移变化逻辑为：

正常状态下，初始阶段为空闲初始状态；

当收到应用层发出的开始建立安全连接的要求后，安全应用中间子层创建服务原语并发送至消息安全鉴定，驱动安全鉴定层开始工作；消息安全鉴定层会基于该服务原语的类型，驱动适配及冗余管理层进行网络通道建立及适配及冗余管理层逻辑判断，此时安全应用中间子层的状态为尝试建立连接状态；

进入安全应用中间子层尝试建立连接状态后，如果应用层因为连接超时或者主动中断重置、或者接收消息安全鉴定层的服务原语错误、适配及冗余管理层没有按协议要求建立通道，则返回至空闲初始状态；当消息安全鉴定层从适配及冗余管理层收到与自身状态机匹配的ALE层数据包DT并安全校验通过时，消息安全鉴定层会向安全应用中间子层创建并发送新的服务原语，通知安全应用中间子层自身的当前状态，由安全应用中间子层进行安全应用中间子状态机变迁更新，安全应用中间子层检进行匹配检查之后，创建要发送的服务原语，该服务原语包含EC计数启动消息，并通过消息安全鉴定层将此服务原语发送，之后，安全应用中间子层的状态进入发出请求待回复状态；进入安全应用中间子层发出请求待回复状态后，如果应用层因为连接超时或者主动中断重置、或者接收消息安全鉴定层的服务原语错误、或者服务原语中包含的EC消息校验错误、或EC计数启动消息应答错误，则返回至空闲初始状态；

消息安全鉴定层持续对从适配及冗余管理层收到的ALE层数据包DT进行安全校验，对通过检查的数据，封装为服务原语，发送至安全应用中间子层；安全应用中间子层收到消息安全鉴定层的服务原语后，进行状态机匹配检查，如果是EC计数启动应答消息，通过安全检查，则进入安全连接打开数据传输做好准备的状态；

进入安全连接打开数据传输做好准备的状态后，如果应用层因为连接超时或者主动中断、或者消息安全鉴定层中断进行重置、或者接收消息安全鉴定层的服务原语错误、EC消息校验错误、或者启动传输延迟检查后未收到回应，则返回至空闲初始状态；如果持续收到消息安全鉴定层正确数据，且启动传输延迟检查后收到回应，则保持安全连接打开数据传输做好准备的状态。

8.根据权利要求2或7所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，带时间戳的安全状态同步数据中包含的安全应用中间子层的相关数据信息为：

当前安全应用中间子层有限状态机所标属的状态；安全应用中间子层要发送服务原语的EC计数值；安全应用中间子层发送数据时SN序列号当前值；安全应用中间子层接收到的数据包最新SN序列号；安全应用中间子层最近收到数据中对端EC计数值；安全应用中间子层对EC的期望值；安全应用中间子层当前EC周期偏差值；安全应用中间子层要发送的消息类型；安全应用中间子层发送传输延迟检查的次数；安全应用中间子层发送传输延迟检查的时刻；安全应用中间子层有限状态机上一次的状态；以及，时钟戳。

9.根据权利要求2所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，CTC接口备机由低到高逐层同步的过程包括：

适配及冗余管理层同步，包括：CTC接口备机按照接收带时间戳的安全状态同步数据，更新CTC接口备机的适配及冗余管理层的数据包序号相关标志，同时对收到的来自SIL4设备的数据进行处理；数据处理时，只处理SIL4设备的适配及冗余管理层发来的ALE层数据包DT与中断消息DI；其中，对中断消息DI按照正常逻辑处理，对每一条通道单独处理，自上而下的对安全连接中断重连；对ALE层数据包DT，按照不同的网段、以及对端SIL4设备的主备机状态，逐条通道进行处理，同步检查本地适配及冗余管理层的收到数据序号与CTC接口主机同步是否一致；对CTC接口主机同步来的SN大于收到的来自SIL4设备的SN时，抛弃收到的数据，以CTC接口主机同步来的序号为准；对CTC接口主机同步来的SN小于等于本地的SN时，且在设定阈值范围时，以本地的SN为准，以相应SN进行适配及冗余管理层层逻辑检查，检查通过后转至消息安全鉴定层由它进行继续上一层的辅助校验；

消息安全鉴定层同步，包括：CTC接口备机的消息安全鉴定层的有限状态机按照CTC接口主机的消息安全鉴定层有限状态机进行同步，对自身适配及冗余管理层接收的数据，仍维持原有的安全策略检查，通过后，以相应数据对消息安全鉴定层的有限状态机进行辅助校核，维持相应有限状态机的持续运转；

安全应用中间子层同步，包括：利用CTC接口主机的安全状态同步数据，对EC相关数据进行同步：EC计数值的所有标志位，按照安全状态同步数据中的时钟戳进行同步；对安全应用中间子层的状态机进行同步：按照CTC接口主机的有限状态机进行同步，保持相同的有限状态机状态；对传输延迟检查是否开启及状态等进行同步：按照CTC接口主机的当前设置状态进行同步设置。