1、ICS 45060S 30 a目中华人民共和国国家标准GBT 2433922009IEC 62280-2:2002轨道交通 通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信Railway application-Communication,signalling and processing systems-Part 2:Safetyrelated communication in open transmission systems2009-09-30发布(IEC 622802:2002,IDT)2010-0101实施宰瞀髅紫瓣訾糌瞥星发布中国国家标准化管理委员会促1”目 次GBT
2、243392-2009IEC 62280-2:2002前言;I言-1范围12规范性引用文件13术语和定义14参考结构65传输系统的威胁源86防护要求861总-862总体要求963具体的防护97防护威胁措施的适用性1371概述1372威胁防护矩阵1373安全编码和加密技术的选择和使用14附录A(资料性附录) 防护指南15附录B(资料性附录) 参考文献23附录C(资料性附录)本部分使用指南24附录D(资料性附录) 开放式传输系统的威胁30刖 罱GBT 243392-2009IEC 62280-2:2002GBT 24339(轨道交通通信、信号和处理系统分为两部分:第1部分:封闭式传输系统中的安全相
3、关通信;第2部分:开放式传输系统中的安全相关通信。本部分为GBT 24339的第2部分。本部分等同采用IEC 622802:2002轨道交通通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信(英文版)。本部分与IEC 622802:2002相比,主要差异如下:a)“本国际标准”一词改为“本部分”;b)用小数点“”代替作为小数点的逗号“,”;c)删除国际标准的前言;d)引用文件ENV 50129:1998改为EN 50129:2003。本部分的附录A、附录B、附录c、附录D为资料性附录。本部分由铁道部提出。本部分由全国牵引电气设备与系统标准化技术委员会(SACTC 278)归口。本部分
4、起草单位:北京交通大学、株洲南车时代电气股份有限公司。本部分主要起草人:唐涛、张利芝、徐田华、严云升、牛儒、范祚成。GBT 243392-20091EC 622802:2002引 言开放式传输系统由特性未知或部分未知的系统组成,本部分专用于开放式传输系统下安全相关信息传输应考虑的要求。如果安全相关电子系统涉及到不同位置间的信息传输,那么通信系统就成为安全相关系统的一个组成部分,而且应根据EN 50129说明端对端传输是安全的。数据通讯系统的安全要求取决于其可知或未知的特性。为简化证明系统安全性方法的复杂性,考虑了两种类型的传输系统。第一种是封闭式传输系统,它的组成可由安全系统设计者在一定程度上
5、控制,其安全性要求在GBT 243391中规定。第二种是开放式传输系统,GBT 24339的本部分规定了开放式传输系统的安全要求。本部分考虑的传输系统,总体上没有特定的先决条件需要满足。从安全角度看,该系统是非置信的或非完全置信的,被视为“黑箱”。对于用于常规认证而不是用于特殊应用的交叉验收(cross acceptance),其要求应与EN 50129的要求相同。GBT 243392-2009IEC 622802:2002轨道交通通信、信号和处理系统第2部分:开放式传输系统中的安全相关通信1范围GBT 24339的本部分规定了连接在开放式传输系统上的安全相关设备之间的安全相关通信的基本要求。
6、适用于采用开放式传输系统达到通信目的的安全相关电子系统及其安全需求规范,以便实现指定的安全完整性等级(SIL)。安全需求规范是安全相关电子系统的安全论据的先决条件,关于安全论据所需的证据(包括质量管理和安全管理等)在EN 50129:2003中规定。本部分的主题是通信相关的功能性和技术性安全论据的要求。开放式传输系统的性质和行为,只用于定义特性,而不用于安全性,因而从安全观点看,开放式传输系统可以潜含任何特性,例如各种传输方式、报文存储、非法访问等,安全进程只能依赖于各种特性,这些须在安全论据中说明。本部分不适用于在本部分颁布之前已被采用的既有系统。本部分没有规定:开放式传输系统;开放式传输系
7、统所连接的设备;解决方案(如:互操作性);安全相关数据的界定。2规范性引用文件下列文件中的条款通过GBT 24339的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GBT 21562 轨道交通 可靠性、可用性、可维修性和安全性(RAMS)规范和示例(GBT 21562-2008,IEC 62278:2002,IDT)EN 50129:2003轨道交通用于信号系统的安全相关电子系统3术语和定义下列术语和定义适用
8、于GBT 24339的本部分。31访问保护access protection为防止非法读取或更改信息,在用户安全相关系统内或在传输系统内设计的进程。311黑客hacker蓄意绕开访问保护的人。32真实性authenticity信息有效且已知该信息来自指定信息源的状态。1GBT 243392-2009IEC 62280-2:200233授权authorization正式允许在指定应用的限制条件内使用产品服务。331非授权访问unauthorized access非授权人员或黑客访问传输系统内部信息或用户信息。332机密性confidentiality非授权实体不能访问信息的特性。34校验chec
9、k进一步确保系统状态的过程。341冗余校验redundancy check一种校验报文内部冗余数据和用户数据之间存在预定关系的方法,以证明报文的完整性。35加密技术cryptographic techniques使用以输人数据和密钥为参数的算法来计算输出数据。如果已知输出数据但不知道密钥,不可能在合理时间内计算出输人数据。即使输入数据已知,也不可能在合理时间内根据输出数据推导出密钥。36数据data报文的一部分,代表某些信息。361数据损坏data corruption数据发生改变。362用户数据user data表示用户进程状态或事件的数据,不附加其他任何数据。在安全相关设备间通信时,用户数
10、据包括安全相关数据。363附加数据additional data与最终用户进程无关,而是用于控制、可用性和安全目的的数据。364冗余数据redundant data通过安全相关传输进程从用户数据中推导出的附加数据。3641安全编码safety code包含在安全相关报文中的冗余数据,以便安全相关传输进程检测出数据损坏。可能包含适当的编码技术:36411无加密安全编码noncryptographic safety code包含在安全相关报文中基于非加密函数的冗余数据,以便安全相关传输进程检测出数据损坏。2GBT 243392-2009EC 62280-2:2002364111循环冗余码校验cyc
11、lic redundancy check;CRC循环冗余码校验以循环码为基础,用于保护报文免受数据损坏的影响。36412加密安全编码cryptographic safety code包含在安全相关报文中基于加密函数的冗余数据,以便安全相关传输进程检测出数据损坏和非法访问。364121报文鉴别码message authentication code;MAC整个报文的加密函数以及一个密钥或公钥。整个报文也包含了未被发送到传输系统的报文的任何隐含数据。364122操作检测码manipulation detection code;MDC整个报文的函数,但与MAC相比,不涉及密钥。整个报文也包含了未被发
12、送到传输系统报文的隐含数据。通常MDC建立在散列函数之上。3642序列号sequence number附加数据字段,包含报文到报文按预定方式变化的数字。3643时间戳time stamp由发送者添加在报文上的信息。36431相对时间戳relative time stamp参照实体的本地时钟的时间戳。通常,与其他实体的时钟无关。36432绝对时间戳absolute time stamp参照使用同一传输网络的实体群全局时钟的时间戳。36433双时间戳double time stamp当两个实体交换和比较时间戳时,称为双时间戳。此时,实体的时间戳互相独立。36434源和宿标识符 source and
13、 destination identifier一个以名字、数字或任意比特形式赋予各实体的标识符。该标识符用于安全相关传输,通常添加到用户数据中。37防护defense安全通信系统设计中针对某种威胁采取的措施。38错误error与预期设计发生偏差,可能导致不可预知的系统行为或失效。39失效failure与系统规定的性能发生偏差,失效是系统中的故障或错误导致的结果。GBT 243392-2009IEC 62280-2:2002391随机失效random failure在任何时候都可能发生的失效。392系统性失效systematic failure在某些特殊输入组合下或在某些特殊环境条件下反复发生的
14、失效。310故障fault可以导致系统中的一个错误的非正常条件,故障可以是随机的或系统的。3101随机故障random fault基于概率论和先验特性发生的故障。3102系统性故障systematic fault系统、子系统或设备在规范、设计、施工、安装、操作或维护中的内在缺陷引起的故障。311危害hazard可能导致事故的条件状态。3111危害分析hazard analysis识别产品或产品使用中可能引起的危害的过程。312信息information以进程能够理解的形式,对进程的状态和事件的陈述。313完整性integrity信息完整且未被更改的状态。314报文message从发送端(数据源
15、)传输到一个或多个接收端(数据宿)的信息。3141有效报文valid meage格式完全符合用户要求的报文。3142报文完整性message integrity报文信息完整且未被更改。3143可信报文authentic message可以确认信息源自规定的发送端的报文。3144报文流message stream一组有序的报文。4GBT 243392-2009IEC 622802:20023145报文加密message enciphering对报文使用加密技术后再逐位传输,这种加密技术是根据一种由密钥控制的算法,使数据难以窃取,但不提供防止数据损坏的保护。3146反馈报文feedback mes
16、sage接收端通过反向传输通道给发送端的回复。3147报文处理message handling设备间报文流传输中所涉及到的过程,不由用户直接控制。3148报文错误message errors所有可能导致危险情况或者减弱系统可用性的报文故障模式组成的集合。每一种错误类型可能有许多不同原因。31481重复报文repeated message一种报文错误,不止一次地接收到同一报文。31482删除报文deleted message一种报文错误,从报文流中删除报文。31483插入报文inserted message一种报文错误,在报文流中插入报文。31484重排序报文resequenced messag
17、e一种报文错误,报文流中的报文顺序改变。31485被损坏报文corrupted message一种报文错误,数据被损坏。31486延时报文delayed message一种报文错误,收到报文的时间比预计时间迟。31487伪装报文masqueraded message一种插入的表面上是置信的、本质上是非置信的报文。315进程process3151用户进程user process应用中的进程,直接对系统用户要求的行为起作用。3152传输进程transmission process应用中的进程,只对用户进程间信息传输起作用,对用户进程本身无作用。5GBT 243392-2009IEC 62280-2
18、:20023153访问保护进程access protection process应用中的进程,只对系统内信息访问保护起作用,对用户进程或传输进程本身无作用。316安全性safety无不可接受等级的风险。3161安全相关safet,r-related负有安全性责任。3162安全完整性等级safety integrity level表示所需信用程度的数字,系统将满足其规定的安全特性。3163安全论据safety ease证明产品符合规定的安全性要求的证明文件。317传输系统transmission system用于多个设备之间传递报文流的一种服务,这些设备可以是信息源或信息宿。3171封闭式传输系
19、统closed transmission system连接的设备数量固定或最大数量固定,有已知且固定的特性的传输系统,对于此系统可以忽略非法访问的风险。3172开放式传输系统open transmission system连接设备数量未知的传输系统,它具有未知的、可变的且非置信的特性,用于未知的电信服务,对于此系统应评估非法访问的风险。318威胁threat对安全(包括通信系统的访问保护)有潜在的侵害。319实时timeliness根据要求可以在正确的时间获得信息的状态。320有效性validity各方面满足特定用户要求的状态。4参考结构安全相关传输系统的参考结构基于:非置信传输系统一不考虑内
20、部是否有传输保护机制;安全相关传输功能;安全相关访问保护功能。针对本部分的用途,假设开放传输系统包括连接在传输系统上的两个或多个安全相关设备间的任何环节(硬件、软件、传输媒介等)。开放式传输系统可以包含下列一部分或全部:要素,指由传输系统用户采用对用户透明的程序产生和表达的读取、存储、处理或重传数据。GBT 243392-2009IEC 62280-2:2002通常未知用户数,安全相关的设备、非安全相关的设备和与轨道交通无关的设备都可以连接在开放传输系统上。各种传输介质,用户未知其传输特征以及对外部影响的敏感度。网络控制和管理系统采用对用户透明的程序,通过开放传输系统端点之问的一种或多种传输介
21、质组成的任何通道实现报文路由和动态路由重置。开放式传输系统可能受下列因素影响:传输系统的其他用户。系统控制和保护设计者未知的用户以未知格式发送数量未知的信息。传输系统的用户。试图访问其他用户产生的数据,在未得到系统管理者的允许下读取和或伪造数据。对安全相关数据完整性的其他附加威胁。使用开放式传输系统的安全相关系统的原理结构图见图1,安全相关报文的原理模型见图2。对开放式传输系统的非置信特性没有安全要求,通过应用安全程序和安全编码来保证安全相关传输功能的安全性。安全相关设备安全相关设各非安全相关设备圈1 使用非置信传输系统的安全相关系统结构GBT 243392-20091EC 62280-2:2
22、002开放式传输系统附加数据5传输系统的威胁源图2安全相关报文模型安全相关报文本部分只考虑传输系统的威胁源,安全相关设备的威胁源依据EN 50129:2003。本部分涉及到使用特征未知(至少部分未知)的传输系统的一般应用问的通信。因此,有必要定义与特殊应用功能和网络特征功能无关的安全性的主要危害,其适当的定义是:接收端无法获取真实和最终有效的报文。可能的基本报文错误,参见附录D。相应威胁如下:重复;删除;插入;重排序;损坏;延时;伪装。满足本部分的要求并不能阻止合法使用者故意的或非故意的误用或滥用。安全论据应对这些方面进行说明。6防护要求61总则数据传输系统(非安全相关、安全相关)已经有一些成
23、熟的技术,这些技术组成了一个防范上述威胁的方法库,以便控制和防护系统设计者使用。这些可以被视为逻辑防护的技术集合并不是一个全集。将来可能会开发出新的技术,给设计者提8GBT 243392-2009IEC 62280-2:2002供新的选择。如果对这些技术所覆盖的领域进行完整地理解和分析,那么也可以将其作为避免威胁的防护措施。为了降低上文提出的威胁相关的风险,应考虑并将下列安全服务用于应用所需的范围:报文真实性;报文完整性;报文实时性;报文有序性。已知的防护措施概括如下:序列号;时间戳;超时;源、宿标识符;反馈报文;认证程序;安全编码;加密技术。62总体要求a)对开放网络带来的所有已经确认的威胁
24、采用合适的防护措施,所有不予考虑的威胁都应该经过安全主管部门和或轨道交通主管部门同意,并且在安全相关应用的条件中注明。附录D列出了可能存在的威胁,可供参考。b) 应考虑应用需要防护的具体要求:识别每种威胁的风险等级(发生频度后果严重程度),以及相关数据和所涉及进程的安全完整性等级。附录A(防护指南)指出如何选择当前已知技术防护威胁,在选择防护措施时应仔细考虑附录A提到的有效性问题。c)在系统需求规范和系统安全需求规范中应包括对防护措施的要求,而且形成安全论据中的“正确运行的保证”的输入。d)所有的防护措施应根据EN 50129:2003的要求执行,也就是防护:应完全在系统的安全相关传输设备内执
25、行,或可以包括不在安全相关设备内执行的访问保护方法。在这种情况下,应使用足够的应用安全相关技术检查访问保护进程的正确持续运行。e)特殊防护的强制性要求在下面的条款中给出,在使用特殊防护措施时应用这些要求。f)也可使用本部分没提到的其他防护措施,只要安全论据中包括了其防护威胁有效性分析。g)正如在EN 50129:2003的描述,安全论据应包括:安全传输系统使用的各种防护措施分析;一旦检测到传输错误时的安全反应。63具体的防护下列条款列出了具体防护措施的概述和要求,这些防护措施可单独或组合使用,有效防护单一或组合威胁,上文列出的所有总体要求都应满足。附录A以资料形式给出了防护措施更详细的描述及与
26、所有可能威胁的关系。631序列号6311概述顺序编号是在发送端和接收端间交换的每条报文上加一个流水号(称为序列号)。这样,接收端可9GBT 243392-20091EC 62280-2:2002以校验发送端提供的报文的顺序。6312要求安全论据应说明进程安全完整性等级的适当性,以及安全相关进程的性质:序列号的长度;序列号初始化的规定;报文顺序打乱后恢复的规定。632时间戳6321概述当一个实体接收到信息时,信息的含义通常与时间有关。信息和时间之间的相关程度根据应用而有所区别。在某些情况下,旧的信息可能无用无害,但在其他情况下可能对用户造成潜在危险。根据交换信息(循环、事件驱动等)进程中的行为不
27、同,解决方案可能不同。体现时间一信息关系的一种解决方案是给信息加时间戳。根据应用要求,这种信息可以替代序列号或与序列号结合使用。在附录A中说明时间戳不同用法及其特性。6322要求安全论据应说明进程安全完整性等级的适当性,以及安全相关进程的性质:时间增量;时间增量的精度;计时器大小;计时器绝对值如;UTC(世界标准时间)或其他任何全局时钟;各种实体计时器的同步性;信息生成和添加时间戳之间的延时;检查时间戳和使用该信息之间的延时。633超时6331概述传输中(尤其是周期性的),接收端可以校验两个报文间的延时是否超过预定允许的最大时间。如果超过,应视为错误,见图3。发送端 接收端图3报文周期性传输f
28、矗。GBT 243392-20091EC 62280-2:2002如果反馈通道可用,发送端可进行监督。当发送报文i时发送端启动计时器,报文i的接收端用与之相关的确认报文j响应。如果发送端没有在预定时间收到相应确认报文j,应视为错误,见图4。发送端 接收端t=0f7孟图4报文双向传输6332要求安全论据应说明进程安全完整性等级的适当性,以及安全相关进程的性质:可接受的延时;超时的精确性。634源标识符和宿标识符6341概述多方通信过程中,在收到的信息使用之前,需要采用适当的方法校验所有收到信息的来源。报文应包括允许采取这些方法的附加数据。报文应包括一个唯一的源标识符或一个唯一的宿标识符或两者均含
29、。应根据安全相关应用具体选择。标识符添加在应用的安全相关传输功能中。报文中包括源标识符可以使报文的用户核实报文来自指定源,而不需要用户之间的任何会话。这在单向或广播通信系统中是有用的。报文中包括宿标识符可以使报文的用户核实报文确实是发给他们的,而不需要用户之间的任何会话。这在单向或广播通信系统中是有用的,可以选择宿标识符识别单个宿或用户组。6342要求安全论据应说明进程安全完整性等级的适当性,以及下列安全相关进程的性质:整个传输系统中各实体的标识符的唯一性;标识符数据字段大小。635反馈报文6351概述在合适的传输通道可用时,安全关键信息的接收端可以给发送端发送一个反馈报文。反馈报文的11GB
30、T 243392-2009IEC 62280-2:2002内容可包括:源自原始报文内容,格式可以相同或改变的数据;接收端添加的从自己本地用户进程信息中推导出的数据;为安全或安全防护目的附加的数据。使用这种反馈报文可以从以下不同方面增强进程的安全性:明确确认接收到有效、实时的报文;明确确认接收到损坏的报文,以便能采取合适的措施;确认接收设备的识别号;有助于发送和接收设备的时钟同步;有助于设备间的动态校验程序;等等。6352要求反馈通道本身并不提供对任何已识别威胁的防护措施,只是在应用级为其他防护措施提供使能机制。因此对这个反馈通道没有特殊的安全要求。636认证过程6361概述先前的条款包括了实体
31、识别的要求。开放式传输系统可能引入来自其他(未知)用户的报文的风险,该报文混淆了来自指定源(以伪装形式)的信息。安全相关进程里适当设计识别进程,可以提供此威胁的防护措施。有两种认证程序:双向认证当返回通信通道可用时,信息发送端和接收端之间实体标识符的交换可以提供额外保障,确信通信确实在指定双方进行。动态认证发送端和接收端之间信息动态交换,包括接收端对发送端的发送数据的转换和反馈,可以确保通信双方不仅拥有正确的身份,而且行为方式与预期的一致。这种动态认证进程可以用在通信安全相关进程间信息传输前和或在信息传输过程中。6362要求认证过程构成安全相关应用进程的一部分,具体要求应在安全需求规范中定义。
32、637安全编码6371概述通常,在开放式传输系统中,传输编码用于检测位和或突发错误,通过纠错技术提高传输质量。从安全角度看安全相关进程不应相信这些传输编码。因此,需要由安全相关进程控制附加的安全编码来检测报文损坏。6372要求安全论据应说明进程的安全完整性等级的适当性,以及下列安全相关进程的性质:检测所有期望错误类型的能力;检测报文损坏的概率。附录A给出了安全编码的选择指南。638加密技术6381概述如果不能排除开放式传输系统网络内的恶意攻击,可以使用加密技术。1 2GBT 243392-2009IEC 62280-2:2002这是通常的情况,当安全相关传输系统使用:公共网络;无线传输系统;传
33、输系统与公共网络连接。这些技术可以结合安全编码机制使用或单独使用,附录A给出了一些可行的方案。加密技术采用密钥和算法,有效程度取决于算法的强度和密钥的保密性。密钥的保密性取决于密钥的长度和管理。6382要求安全论据应说明进程的安全完整性等级的适当性,以及下列安全相关进程的性质:加密技术的技术性选择,包括:加密算法的性能;所选密钥长度的合理性;密钥更改的频率;密钥的物理存储。管理活动,包括:密钥生产、存储、分配和撤消;设备管理;加密技术适当性的评审过程,与恶意攻击的风险有关。加密算法应用于所有用户数据,还可用于没有传输但发送端和接收端已知的一些附加数据(隐含数据)。应该对潜在攻击者的性质、动机、
34、财政和技术方法进行合理的假设,同时考虑到在系统生命周期中可以期望的修改(技术性的,如计算机功率增大、快速处理器成本降低、算法知识的扩展;社会性的,如经济冲突、恶意破坏加剧等)。对于密钥管理,极力推荐采用标准化技术(如根据ISOIEC 11770)。7防护威胁措施的适用性71概述第6章中列出的防护措施与第5章定义的可能存在的威胁有关。每条防护措施都可以为一种或多种传输威胁提供保护。在安全论据中,应说明对应表1中定义的可能存在的威胁至少有一个或多个组合的防护措施。72威胁防护矩阵表1中的“”表示防护措施可提供对相应威胁的保护。表1威胁防护矩阵防护威胁 源和宿序列号 时间戳 超时 反馈报文 认证过程
35、 安全编码 加密技术标识符重复 删除 插入 。 5重排序 损坏 GBT 243392-20091EC 62280-2:2002表1(续)防护威胁 源和宿序列号 时间戳 超时 反馈报文 认证过程 安全编码 加密技术标识符延时 伪装 。8由应用决定。b只适用于源标识符。只检测来自于无效源的插人。如果因为用户未知而不能确定唯一标识符,应使用加密技术。见638。见73和A2。73安全编码和加密技术的选择和使用安全编码和加密技术的选择和使用应根据下列情况决定是否可以排除非法访问;建议使用的加密编码的类型;安全相关访问保护进程是否与安全相关进程分离。这些问题的指南在A2中给出。A1时间戳的应用附录A(资料
36、性附录)防护指南GBT 243392-2009IEC 622802:2002时间戳可以用于不同目的:a) 用于说明实体内事件的时间,该时间对接收信息的进程很重要。事件之间可以有时间关系,如果我们已知一组事件的时间和数值,就可以在两数值之间进行插值,增加计算值(如速度、加速度)的精确度,可以处理传输延时。应考虑的限制因素:如果使用绝对时间戳,实体内的时间需要同步。每个实体需要有一个安全时间校验并更新全局时钟。网络延时将影响全局时钟的分发、信息有效性和处理性能。如果没有会话通信程序,将检测不到报文的丢失。b)用于排列事件顺序以便接收端校验。应考虑的限制因素:如果时间粒度太粗,事件排序的特性可能是不
37、确定的。在这种情况下,信息应增补序列号。报文的顺序受到报文的网络路由和网络延时的影响。如果没有会话通信程序,将无法检测到报文丢失。c)测量从发送报文序列的实体接收到的两个事件之间的时间间隔,从而确定事件是否延迟。如果实体B反复要求得到实体A的信息,那么实体B根据时间戳得到实体A的本地时钟信息。考虑到传输延时,这个信息可以与它自身的时钟关联。由此根据实体B的本地时钟创建了逻辑时钟。应考虑的限制因素:逻辑时钟受网络中可变的延时以及实体A内部处理的影响。d)通过要求实体B发送一个对实体A的时间戳应答,校验实体A信息的有效性。这样确保一个特殊的应答(身份),也检查了预定的循环时间。实体B创建的序列号(
38、或标签)和时间监督将做同样的工作。不需要全局时间(除非其他应用要求)。接收端使用超时来检测信息的丢失。应考虑的限制因素:程序应处理由初始化或故障条件引起的中断;程序将不保证报文的真实性。e)用于创建名为双时间戳的进程EM553”。这个进程继承了2)、3)、4)的综合特性。双时间戳进程允许各实体的异步时钟,因此避免了实体更新全局时间的问题。这个方法可以用于:1) 根据对方本地时钟创建逻辑时钟,以及根据自己本地时钟创建相对时间戳(组织两个实体间的时钟同步);2)关联与相对时间戳相关的事件,包括网络延时;3)检查报文的正确顺序;4)检查对方时钟以核实自己时钟的正确性(依应用而定)。双时间戳通信机制对
39、双方会话或对主从关系都有效,主从关系更适用于周期性传输,而不是带1)方括号内的信息参见附录B(参考文献)。GBT 243392-2009IEC 62280-2:2002有时间戳标记的、对特定功能而言时间是很重要的单一事件传输。应考虑的限制因素:如果时间粒度太粗,事件排序的特性可能是不确定的。在这种情况下信息应增补序列号;如果应用考虑情况a),双时间戳可能要求知道往返传输的延时。已经考虑了比双时间戳更周密的方案,以便给在两个以上系统中发生的事件排序-TBaum。A2安全编码和加密技术的选择和应用尽管通信系统可能未知或在生命周期内变化,大多数情况下可以确定是否可以排除非法访问。这一判断很有用,因为
40、存在可能有非法访问时需要带密钥的加密机制。为了限制安全相关功能数量,建议在早期进行判断。在可能有非法访问的情况下,可以采用独立的访问保护层,或由使用加密机制的安全协议提供保护(见图A1)。安全相关传输系统, 两种可能性、只有授权的访问非加密的安全编码A0型不能排除非法访问加密的安全编码A1型报文结构图A3非加密的安全编码+报文加密B0型I 报文结构 lI 图A4非加密的安全编码+加密编码B1型I 报文结构I 图A5图A1 安全相关传输系统分类对通过局域网(LAN)连接的安全相关计算机组在开放式传输系统上通信,独立的访问保护层(见图A2)是非常有用的。加密的硬件和软件可以集中在开放式传输系统的人
41、口,加密功能可以结合网关功能一起使用,网关功能通常在LAN连接到如广域网这样的网络时需要。+。一。安全相关设各GBT 243392-2009IEC 622802:2002f萎;磊姜;1 f一;至磊戛妄;图A2独立访问保护层的使用访问保护进程可以由不同的模式完成:a)加密报文;b)添加加密编码。这两种情况下在发送安全相关报文到访问保护层之前都使用安全编码,含有访问保护层的设备不需要自身一定安全,见62的总体要求。注:应考虑到访问保护进程的失效。报文结构原理取决于不同的模式。图A3、图A4和图A5详细描述了这些示例。17GBT 243392-2009IEC 62280-2:2002程霉s|弼|暑、
42、一一一一一一一j臣;耋整l誊警童i18开放式传输系统的附加数据GBT 243392二:警鬃麓遥罄蕊鎏 ,户数据 附加数据 安全编码,如:时间戳,等等 ,如:帧头 如:传输编码 开放式传输系统的附加数据图A3传输系统内部报文表示模型(AO、A1型)霞l蚕l萋l雾 访问保护进程蘑墓墓鬟鍪 安全相关传输进程GBT 243392、GBT 243392-20091EC 62280-2:2002开放式传输系统的附加数据非加密的用户数据 附加数据 安全编码一:?:蹩毯毽鏊蔑鍪罨登意Ii篓露ll鋈鍪羹l羹羹il蒌笺|羹羹薹薹茵、 加密报文如:帧头开放式传输系统的附加数据如:传输编码图A4传输系统内部报文表示模
43、型(B0型)19GBT 243392-2009IEC 62280-2:2002开放式传输系统附加数据访问保护层安全相关传输进程非加密的用户数据 附加数据安全编码 加密编码帧头 如:传输编码开放式传输系统的附加数据图A5传输系统内部报文表示模型(B1型)A21安全编码安全编码要求的特性取决于开放式传输系统的特征以及安全相关传输系统的结构(见图A1)。如果可以排除对开放式传输系统的非法访问,安全编码应检测所有类型的随机或系统性的误码。注意,通常开放式传输系统用自己的传输编码保护报文,其设计已满足所规定的质量和误码率。因此,如果开放式传输系统传送一个无效报文,或是传输通道的干扰非常强烈使传输编码失效
44、,或是发生了故障。在这两种情况下,应认为残留误码不是随机的,而且可以有任意汉明权Peterson。如果不能排除非法访问,那么就不能防止恶意攻击,但可以检测到而且能使之无害。防止恶意攻击通常采用的方法是应用至少一个密钥的加密算法。安全编码本身可以基于这样一个算法,或者可以应用有加密功能的独立的访问保护层。在后一种情况下时,安全编码也可以检测到访问保护设备的失效。A211主要分组码下面的章节概括介绍了一些编码及其主要特征。线性分组码当且仅当任何码字的和仍然是一个码字时,分组码才是线性的。用于控制错误的大部分编码都是线性二进制代码。也使用非二进制代码,如理德一所罗门编码(Reed-Solomon code)。这些编码对抗击随机错误和突发错误非常有效。编码可以设计为拥有指定的最小汉明距离d。也就是说,d一1位错误的检测率为100。因为是线性的,所以也用于系统性错误检测。循环分组码(CRC)如果码字的每次循环移位仍是码字,则线性分组码称为循环码。CRC可以用多项式表示。编码的数学原理见Peterson。这些编码对防止随机错误和突发错误非常有效,可设计为拥有指定的最小汉明距离d,还可用于测试系统性错误检测能力。20笺鞫弧鋈瑟粥隧隧泖