CH6安全通信技术.ppt

插入（Insertion）。插入意味着意外收到报文，通常发生于接收机收到译解为包含正确地址的额外报文。在具有单一用户群恒定、不变的现场总线中风险相当低。 乱序（Incorrect Sequence）。乱序或称重排序，意味着报文按不正确顺序收到，这会导致安全功能取消（例如，如果速度指令应该先来，然后是停止指令；但如果顺序不正确，停止指令会被速度指令否决）。乱序通常发生于报文能通过两条路径从发送者向接收者传输，而一条路径慢于另一条路径的时候。在具有单一用户群恒定、不变的现场总线中风险相当低。 破坏（Corruption）。破坏意味着报文中一个或更多数据位被改变，因为导致报文的1位或多位取值变化的各种各样的事件、错误或电磁干扰而产生。它是最普通的错误类型，在任何通信系统中都不能被忽略。 延迟（Delay）。延迟意味着报文正确但收到太晚，可能由干扰或被过载的媒介而导致。延迟由于各种各样的事件或错误产生，它是最普通的错误类型，在任何通信系统中都不能被忽略。 安全相关通信参考结构 安全相关通信参考结构包括开放和封闭式传输系统，其中所有的通信元素根据信息流连接起来，使安全相关设备之间进行安全相关信息的交换。参考结构也显示了一个非安全相关的接口，但非总是存在（例如诊断信息发送到维修中心）。 除了安全相关通信的来源和目的地，参考结构处理安全相关通信功能时，可以分为： 包含在安全相关设备中的安全相关传输功能。它能确保数据的真实性、完整性、及时性和顺序。 安全相关加密技术保护了安全相关的报文。既可以通过在安全相关设备中纳入它们实现，也可以让它们以外的安全相关设备进行安全技术检查来实现。这些技术保护了第3类传输系统中的安全相关报文，但在第1类或第2类传输系统情况下不需要这些技术。 非安全相关、开放或封闭的传输系统，其本身可能包含传输保护功能和/或访问保护功能。 6.3 铁路信号系统安全通信协议举例 三重时间戳（TTS）信息 使用TTS时的SAI帧头结构 使用EC时的SAI帧头结构 SAI连接过程 SAI 断开连接过程 SAI应用数据交互过程 SAI 应用 数据 交互 过程 序列号防御技术 序列号以2字节进行编码（Big Endian），序列号值从0到65535。每一个通信方向上的序列号应该是独立的。 对序列号不作初始化要求。对于从对等实体处接收到的第一个序列号，接收方无须检查接收到的序列号，只需对后续的消息检查其序列号与上一个序列号之间的差异。 如果序列号值未达到最大值，则在此传输方向上的下一条消息序列号加1。一旦序列号值达到最大值，则下一条传输消息的序列号设为“0”。 为消息序列检查而定义参数N。N-1是代表允许丢失消息的数量。需要配置N值，N值等于或大于1。 如果接收到的SN不等于上次接收消息的SN＋1，则被认为是消息序列错误。如果接收到的SN大于上次接收消息的SN＋N，则应丢弃此消息，并释放安全连接。 如果接收到的SN大于上次接收消息的SN＋1，并小于或等于SN＋N，则不应丢弃此消息中的应用数据，并根据规定的错误处理方式来处理这一事件。如果接收到的SN小于或等于上次接收消息的SN，则应丢弃此消息。 消息编号 序列错误示例 右图说明当发生重复消息、删除消息或重排序消息时，SN防御技术所采取的行为。假定N＝3，则允许丢失消息的数量为0、1或2。 TTS 时间戳处理过程基于发送方和接收方之间的时钟偏移估算。通信双方应在建立安全连接后和交换应用数据前，初始化时钟偏移估算。 两个设备之间的时钟偏移估算值一旦确定，就能够以一种安全的方式估算应用数据的时间有效性，而无须对远程设备当前周期和（或）网络特性作任何设定。 时间戳调整过程（即时钟偏移更新过程）由两个设备之间5条消息的交换组成。通过该过程，每个设备都能估算它的内部时钟和对等设备内部时钟之间的时钟偏移。 所有应用消息都要标记TTS。 第2和第3个时间戳仅用于计算和更新时钟偏移估算值。第1个时间戳不仅用于估算和更新时钟偏移，也用于计算应用数据的时间有效性。 接收到消息后，接收方利用时钟偏移估算值，将发送方所传送的时间戳调整为接收方时钟，然后再计算应用数据的时间有效性。 发送方所发送的时间戳消息中的“过零点”，由接收方处理。 要定期使用时钟偏移更新程序，对两个系统之间的时钟偏移估算值进行更新。 时钟偏移估算 时钟偏移估算值一旦确定，一个设备就能够对其本身与对等设备之间所交换消息的时间有效性进行估算。 在安全连接初始化时进行时钟偏移估算。时钟偏移更新程序应在第一条应用消息交互前执行。 由发起安全连接的设备启动时钟偏移更新程序。 通过两个实体之间5个消息的交换来估算时钟偏移。发起时钟偏移更新程序的实体被称为“发起方”，而另一个实体被称为“应答方”。 发起方使用前2个消息来计算两个设备之