1、安全关键系统通信协议调研报告(2015.4.12)1 调研题目安全关键系统通信协议的建模与分析2 任务说明对本次调研任务的具体说明1) 查阅国外的相关文献;2) 补充通信协议中的具体网络;3) 阅读标准EN50159;3 关键字检索词:CBTC;安全关键系统;安全通信协议;EN50159;safety communication protocol检索策略:无线*通信;总线*通信;以太网*通信;CBTC*communication protocol;safety*protocol;verification/ test/ model / simulation / design / analysis
2、 *(safety) communication protocol; 4 检索范围中国知网 百度 web of science(SCIE) IEEE http:/ieeexplore.ieee.org/Xplore/home.jspSpringer LINK ELSEVIER ScienceDirect(SDOL) 在不同关键词组合下,检索范围内,近三年的文献总数5 主要的检索文献对重点文献的说明1 BS EN50159 Railway applicationsCommunication, signaling and processing systems- Safety- related co
3、mmunication in transmission systemsS.2 安全通信与安全通信标准EN50159J. 铁路通信信号工程技术,2014.3 Performance evaluation and verification of communication protocol for railway signaling systems J. Computer Standards & Interfaces, 2005.4 Verification and conformance test generation of communication protocol for railway
4、signaling systems J. Computer Standards & Interfaces, 2007.5 Development of verification and conformance testing tools for a railway signaling communication protocol J. Computer Standards & Interfaces, 2009.4 Group communication on highways: An evaluation study of geocast protocols and applicationsJ
5、.Ad Hoc Networks, 2013.6 Compositional verification of a communication protocol for a remotely operated aircraftC. Science of Computer Programming, 2013.7 Verification of the safety communication protocol in train control system using colored Petri netJ. Reliability Engineering and System Safety, 20
6、12.(国内-陈黎洁)8 Simulation and verification of RSSP-II safety communication protocolC. 2012 Second International Conference on Business Computing and Global Information, 2012.(国内-许孟华)9 Formal verification of safety protocol in train control system J. Technological Sciences, 2011 (国内-北交团队)10 无线传感器网络安全通信
7、协议研究与设计D.硕士,大连理工大学,2006.11 安全关键实时通信协议研究D.博士,兰州大学,2011.12 基于ZigBee的无线传感器网络通信协议栈设计与实现D.硕士,电子科技大学,2009.13 基于工业以太网的列车通信网络研究D.硕士,北京交通大学,2011.6 检索结果摘要汇总自己要着重解释的文献信息,文献格式可以适当简化根据以上检索范围与检索关键词,其中部分检索结果5篇,摘述如下:【篇名】安全通信与安全通信标准EN50159【作者】杨剑【期刊名称】铁路通信信号工程技术【年份】2014年2月,第11卷第1期【摘要】EN50159是欧洲铁路通信信号领域信息传输系统中安全通信标准。对
8、安全通信基本知识进行一般介绍,对最新版本EN50159:2010标准内容进行简单解读,并结合自身实践,对安全通信协议软件开发相关经验要点进行介绍。【篇名】Development of verification and conformance testing tools for a railway signaling communication protocol【作者】Jae-Ho Lee, Jong-Gyu Hwang, Ducko Shin, Kang-Mi Lee, Sung-Un Kim【期刊名称】Computer Standards & Interfaces【年份】2009【摘要】Ve
9、rification and conformance testing for protocol specification, the key part of the protocol development process, are complementary technologies employed to increase confidence that a system will function as stated in its specifications. In this paper, we verify the safety and liveness of the protoco
10、l specified for the Labeled Transition System (LTS) by using model-checking method and implementing the testing tool, which experimentally demonstrates the presence of deadlock and reachability from the initial state to a random state. Implementing the testing tool can use modal mu-calculus to asses
11、s whether protocol model properties, presented by modal logic, meet protocol specifications. In addition, we propose a conformance testing tool to check correct implementation of sequences that have been derived by the UIO method from the specification of the protocol being verified. This generating
12、 tool uses the C+ language in the Microsoft Windows NT environment.【篇名】Compositional verification of a communication protocol for a remotely operated aircraft【作者】Alwyn E. Goodloe, Csar A. Muoz【期刊类型】Science of Computer Programming【年份】2013【摘要】This paper presents the formal specification and verificati
13、on of a communication protocol between a ground station and a remotely operated aircraft. The protocol can be seen as the vertical composition of protocol layers, where each layer performs input and output message processing, and the horizontal composition of different processes concurrently inhabit
14、ing the same layer, where each process should satisfy a distinct delivery requirement. A compositional technique is used to formally prove that the protocol satisfies these requirements. Although the protocol itself is not novel, the methodology employed in its verification extends existing techniqu
15、es by automating the tedious and usually cumbersome part of the proof, thereby making the iterative design process of protocols feasible.【篇名】基于工业以太网的列车通信网络研究【作者】张建斌【学位类型】硕士【授予单位】北京交通大学【导师】谭南林【年份】2011【摘要】:传统以太网通信的非实时和非确定性限制了其在列车通信网络中应用。改变以太网通信驱动和调度机制可使之成为适合列车通信的实时以太网。本文深入研究了影响以太网实时性和确定性通信的因素后提出了解决方案,
16、并在设计的实验平台上进行了验证。本文以星型网络为基础研究了共享式和交换式以太网的实时特性,得出交换式以太网符合列车通信网络组网要求。分析了时间触发架构的通信机制并引入以太网中,分时复用的通信方法保证了以太网的通信的实时性和确定性,在此基础上提出以太网确定性通信的调度机制,并分析计算了通信网络的宏观调度周期。为了建立基于时间触发机制的以太网通信网络,本文在IEEEI588时钟同步协议基础上,提出了一种新的从时钟时间补偿方法即渐近时间补偿法,解决了直接补偿算法的时间“突变”问题,为验证算法的合理性和科学性,用MATLAB对时钟同步过程进行了建模分析。在以太网技术基础上研究了以太网通信节点可行性设计
17、方案。完成了两类以太网通信节点硬件设计,移植了实时操作系统和TCP/IP协议栈,搭建了交换式以太网通信的实验平台,以实验平台为基础,实现了IEEEI588时钟同步协议栈,建立了时钟同步网络。最后,为考察通信网络的实时响应能力和时钟同步精度,本文设计了通信网络的测试方案,对通信网络平台的通信性能进行了定量分析。【篇名】基于ZigBee的无线传感器网络通信协议栈设计与实现【作者】李蔚【学位类型】硕士【授予单位】电子科技大学【导师】童玲【年份】2012【摘要】无线传感器网络技术应用前景非常广阔,在医疗、农业、环境、军事、侵入监测、轨迹跟踪、机器故障等不同应用领域开始显现出了巨大的潜力。无线传感器网络
18、中的通信协议栈属于网络底层关键技术之一,是通信系统中不可分割的重要组成部分,是使得传感器网络应用能够进行交互的关键所在。本文基于ZigBee技术提出了一种可移植性强、提供良好编程接口的无线传感器网络通信协议栈的设计与实现,其目的是为了降低开发传感器网络应用的难度,同时也可为研究人员研究无线传感器网络效能、改进通信协议提供一个坚实基础。本文设计的无线传感器网络通信协议栈具有理论和应用上的意义。本文着重介绍了协议栈的MAC层、网络层的设计与实现。设计实现的MAC层在数据服务上支持直接传输与间接传输,支持CSMA/CA机制接入信道;在管理上,支持信道的扫描、数据请求、关联等功能。网络层支持网络的建立
19、、加入、离开、网络地址分配等网络管理功能,支持网络数据的单播及广播服务等数据服务功能。网络层的路由管理支持多对一、分级路由、最小路由成本等路由策略。本文在以射频芯片CC2531为核心硬件平台上,进行了协议栈的性能指标测试:MAC层主要进行链路的数据传输吞吐量与丢帧率等性能指标的测试;网络层主要进行自组织网络能力、路由算法反应能力、端对端网络时延及传输成功率等性能指标的测试。7 调研结果分析自己的思考和心得7.1 国外相关研究1 Development of verification and conformance testing tools for a railway signaling co
20、mmun- ication protocolJ. Computer Standards & Interfaces,2009.论文的主要工作就是采用label transition system(LTS)和输入/输出有限状态机(I/O FSM)来描述了一个通信协议,并验证铁路信号通信协议的安全性和活性,验证方法是算子(mu-calculus)和模型检测(model checking),这其中的一致性测试、UIO序列、测试生成方法都是依据I/O FSM 中层模型来实现的。论文中指出协议验证包括在实施协议之前检查用户需求与协议是否匹配,分析协议规范是否正确等。4 Group communicatio
21、n on highways: An evaluation study of geocast protocols and applicationsJ.Ad Hoc Networks, 2013.该论文针对高速道路交通系统的安全通信需求,提出一种DBA MAC (Dynamic Backbone Assisted MAC)协议,通过模型分析、仿真学习等方法得到信噪比、通信延时等QoS参数,并与传统的geocast协议相比,仿真结果证明可以该协议可以作为高速道路交通系统中的安全通信协议。5 Compositional verification of a communication protocol
22、for a remotely operated aircraftC. Science of Computer Programming, 2013.该论文主要对遥控飞行系统和地面站之间的安全通信协议进行组合验证,从而对协议整体安全性进行验证。为了对通信协议进行安全性验证,首先要对其进行各种规范和状态的定义,这里用到的PVS是一种紧密耦合的规范语言,也是一种交互式的定理证明器。接着将协议分为应用层、传输层、链路层和介质层,每一层都单独执行输入和输出消息的处理,并且每一层的传输过程都应该满足不同的信息传输要求。这里用PVS表示不同层的行为和状态,从而验证其安全性。7.2 EN50159学习该标准中没
23、有对通信协议的基本框架有规定,也未对安全通信协议的具体内涵和要求有规定。欧洲电工标准化委员会(CENELEC)制定了网络传输系统安全通信标准EN50159,该标准适用于为了通信使用封闭或开放传输系统的安全相关电子系统。为在连接到传输系统的安全相关设备之间达成安全相关的通信,该标准给出了所需的基本要求(并不是专门针对安全通信协议)。早期公布的版本中分为EN50159-1:2001和EN50159-2:2001两部分。EN50159-1定义了封闭传输系统中的安全通信标准,而EN50159-2则定义了开放传输系统中的安全通信标准。2010年9月的最新版本的EN50159:2010标准中,将两部分合成
24、一部分,统称为传输系统的安全通信标准。EN50159:2010中对开放传输系统的划分更为详细,依据是否存在未经授权的接入的风险,分为免于此风险的开放传输系统及承受此风险的开放传输系统。封闭式传输系统的特点为:1)存在已知最大数量的可连接参与者;2)传输系统的特点已知,媒介已知或固定;3)只允许经过批准的访问。开放式传输系统的特点为:1)依据既定流程读取、存储、处理或重新传输用户数据的元素是用户未知的;用户的数量一般是未知的,安全相关的和非安全相关的,以及和铁路应用不相关的设备都可连接到该传输系统中;2)传输介质的传输特性和磁化率所受外部环境的影响是未知的;3)网络控制和管理系统能够通过该传输系
25、统两端的任何一种或多于一种类型的传输介质,按照用户未知的程序发送(动态重新发送)消息;4)未知的其他传输系统中的用户能够以未知的形式发送未知量的信息。EN50159-1标准提出了系统为了满足功能完整性,所应该采取的保护措施和手段。提出了为满足安全完整性、安全相关设备之间通信和通信链路所需的安全性、安全,所应该满足的安全要求。该标准还提出对系统安全代码的要求。EN50159-2标准中还指出了传输系统可能遭受的威胁以及防御措施。标准中建议运用序列号、时间戳、源地址和目的地址标识、超时防护、反馈消息、身份鉴别以及加密技术,来防御遇到的威胁。提出了对传输系统的消息防护要求(包括通用要求、特定防护等)。
26、在附录部分,该标准给出了使用安全代码和加密技术的注意事项和应用建议。总得来说,EN50159标准化铁路信号安全相关通信功能与技术规范,对安全相关系统的设计具有指导意义。EN50159标准制定了系统传输过程中的威胁与防御手段,提出在安全相关设备之间进行信息交换、消息传递的过程中,需要进行安全编码、安全传输以及安全校验等安全相关通信过程。安全通信在系统结构上,就是将安全编码与解码的安全层插入到传输层与应用层之间。安全设备之间传递的用户报文由应用层传递给安全层进行安全编码,将生成的安全报文通过传输层传输;接收端接收到报文,也要通过安全层解码、校验后过滤后才被采用。而在EN50159:2010中阐述的
27、安全通信参考架构即为在应用层与传输系统间建立安全层。标准中将传输系统带来的安全隐患总结为潜在的报文错误,安全层的建立应能有效防御报文错误,为安全相关数据的传输提供保障。具体到安全层采取的安全措施则取决于传输系统的类型。用户数据首先经安全层处理,生成安全层数据报文后再经由传输系统发送。从传输系统接收到的信息也先经过安全层过滤再被采用。从逻辑角度讲,安全层对应用层、传输系统是透明的,无论传输系统釆用何种结构及协议栈,安全相关数据都能在安全层的保护下抵达目的地。7.3 通信协议中的网络(1)现场总线(field bus)现场总线是指现场仪表和数字控制系统输入输出之间的全数字化、双向、多站的通讯系统。
28、现场总线是将自动化最底层的现场控制器和现场智能仪表设备互连的实时控制通讯网络,遵循ISO的OSI开放系统互连参考模型的全部或部分通讯协议。目前已经开发出有40多种现场总线,它们分别应用在不同的行业领域。较流行的有5种,分别是FF、Profitbus、HART、CAN和LonWorks。尽管目前有多种可用的现场总线,但其并没有被广泛的应用于安全关键系统中,因其开发过程中并没有融入安全的设计理念,而是在实现完成后,再去推到其设计的安全性。作为一种涌现特征,安全性不可能在系统部署之后被添加进去,它必须贯穿于系统的整个开发过程中。因此若要将现场总线应用于安全关键系统,应将安全管理概念贯穿于协议设计开发
29、和验证过程中,从过程中保证与安全标准的兼容性以提高系统的安全置信度。工业用现场总线的拓扑方式主要有总线型、星型、环型、树型等,不同的组网方式有各自不同的优缺点。其中星型拓扑结构中所有的通信节点都连接在一个中心设备上,删除或移动某个节点都比较方便,某个节点发生故障,不会影响到整个网络,中心节点是整个网络的关键,要求具有很高的可靠性和安全性。(2)工业以太网现场总线技术诞生后,实时通信网络技术被广泛的用于工业控制领域,如上面内容所示,有40多种不同的现场总线应用在不同的行业领域。与此同时,工业以太网成为现场总线研究和应用的新热点,并涌现了大量的工业以太网实时通信协议应用于工业控制领域。虽然相比于现
30、场总线技术,以太网具有普遍性,低成本,高带宽等特性。但是同时传统以太网是一种非确定性、非实时性的网络系统,会造成数据传输的不确定性,无法满足安全关键系统信息传输对于网络的高实时性和确定性的要求。同时最初以太网的设计也没有考虑到安全关键系统工业现场的特殊应用环境,也无法保证通信网络的可靠性和稳定性。为了满足实时性和稳定性要求,同时降低成本,部分实时通信协议对OSI参考模型进行了优化,只剩下物理层,数据链路层和应用层。在物理层和应用层的制定上实时通信协议都比较灵活,而对数据链路层的制定相对严格,因为介质访问控制层(MAC层)的特征直接与通信协议的实时能力相关。目前在实时通信协议中使用的MAC层协议
31、有基于载波监听多路访问(Carrier SenseMultiple Aeees,简称CSMA)方式,令牌坏/令牌总线,minislotting,和时分复用访问(Time Division Multiple Access,简称为TDMA)方式,基于每一种访问控制方式都产生了大量实际应用的实时协议。(3)无线传感器网络无线传感器网络由具有通信协议转换功能的网关节点和大量运行着同一系统平台的传感器节点组成。传感器节点具有受限的能量、存储及处理能力弱、较短的通信距离等特点 ,并集成了简单的数据采集与处理、无线通信、路由转发等多种功能。无线传感器网络技术应用前景非常广阔,并已广泛应用于诸多领域。无线传感
32、器网络中的通信协议栈属于网络底层关键技术之一,是使得传感器网络应用能够进行交互的关键所在。它直接影响到无线传感器网络的能量消耗、时延与系统的运行效率。传感器与应用程序之间,传感器节点之间的通信都需要通信协议支持。传感器网络的通信协议体系结构是按功能划分为物理层、数据链路层、网络层、传输层。有别于传统网络,无线传感器网络的通信协议要保证传感器节点既要能自组织形成网络,又要在运行当中能够进行自我控制和管理,使其工作在一个高效的状态。目前业界并没有制定针对无线传感网络的通信协议标准规范。IEEE802.15.4标准由于其低功耗,低成本,短距离通信等特点与无线传感器网络特性非常类似,从而被业界视为无线
33、传感器网络事实上的标准。而在IEEE802.15.4标准基础上发展而来ZigBee技术也被广泛应用在无线传感器网络应用当中。IEEE802.15.4标准主要致力于低速无线个人局域网,制定了物理层及媒体访问控制层(MAC)规范。ZigBee联盟在其基础上,制定了网络层和应用支持子层规范。8 调研结论:(1)标准EN50159只关注了在安全相关系统中借助于非安全设计的通信系统的安全信息传输过程中所设计的安全问题。它归纳了与通信相关的安全需求,列举了在通信系统中常见的可能存在的安全危害,推荐了一系列的防御方法。标准并未对安全通信协议有明确的规定。(2)国外专门针对安全关键系统的安全通信协议前期的设计、分析、建模等不是太多(较相关英文文献多为国内研究学者发表),而针对协议验证的研究相对多一些。较常研究的通信协议应用背景一般有铁路交通系统、航空系统、核工业系统等。在协议验证这块,采用形式化验证(采用某种规范来描述协议)和仿真结合的方式比较多。(3)通信协议的网络具有代表性的有现场总线、工业以太网、无线传感器网络等。 (注:文档可能无法思考全面,请浏览后下载,供参考。可复制、编制,期待你的好评与关注)