RSSP II鐵路信號(hào)安全通信協(xié)議(V05)

1、RSSP-II鐵路信號(hào)安全通信協(xié)議V0.52008年12月CTCS-3級(jí)列控系統(tǒng)標(biāo)準(zhǔn)規(guī)范1. 修訂歷史版本號(hào)：日期章節(jié)號(hào)修訂/描述作者V0.12008年11月15日全部初稿接口組V0.22008年11月20日全部根據(jù)2008.11.17日通號(hào)公司討論意見(jiàn)修改接口組V0.32008年11月27日全部根據(jù)2008.11.24日C3組會(huì)議討論意見(jiàn)修改接口組V0.42008年12月26日全部根據(jù)2008.12.24日C3組及鐵科院、交大、卡斯科等單位討論意見(jiàn)修改接口組V0.52008年12月31日修改部分文字表述根據(jù)2008.11.31日C3組會(huì)議討論意見(jiàn)修改接口組V0.5RSSP-鐵路信號(hào)安全通信協(xié)

2、議第107頁(yè)2. 目錄1.修訂歷史I2.目錄I3.簡(jiǎn)介13.1目的及范圍13.2參考文獻(xiàn)13.3術(shù)語(yǔ)和定義23.4縮略語(yǔ)24.參考結(jié)構(gòu)44.1綜述44.2鐵路信號(hào)安全設(shè)備間安全通信接口44.3各層功能64.3.1安全功能模塊（SFM）64.3.2通信功能模塊（CFM）74.4傳輸系統(tǒng)的分類74.5假設(shè)75.安全功能模塊95.1簡(jiǎn)介95.2安全功能模塊的功能95.3消息鑒定安全層（MASL）115.4安全應(yīng)用中間子層（SAI）125.4.1概述125.4.2到SAI層服務(wù)接口145.4.3到MASL層服務(wù)接口155.4.4消息結(jié)構(gòu)155.4.5SAI協(xié)議175.4.6消息類型域215.4.7序列

3、號(hào)防御技術(shù)215.4.8TTS245.4.9EC防御技術(shù)375.4.10錯(cuò)誤處理455.5數(shù)據(jù)配置及規(guī)則465.5.1簡(jiǎn)介465.5.2連接初始化規(guī)則465.5.3TTS參數(shù)定義475.5.4EC參數(shù)定義495.5.5錯(cuò)誤處理指導(dǎo)505.6TTS示例516.通信功能模塊536.1一般規(guī)則536.2概述536.2.1一般描述536.3功能特性546.3.1TCP與傳輸2類服務(wù)和協(xié)議的對(duì)應(yīng)關(guān)系546.3.2服務(wù)類別556.3.3A類服務(wù)請(qǐng)求566.3.4D類服務(wù)請(qǐng)求566.3.5TS用戶與TCP間的關(guān)系576.3.6傳輸優(yōu)先級(jí)586.4使用適配層實(shí)體進(jìn)行傳輸層模擬586.4.1概述586.4.2接

4、口服務(wù)定義596.4.3X.214原語(yǔ)對(duì)TCP的映射626.4.4尋址646.4.5適配層數(shù)據(jù)包格式646.5接口協(xié)議定義666.5.1運(yùn)用TCP/IP提供ISO傳輸2類協(xié)議666.5.2ALE操作716.5.3數(shù)據(jù)傳輸776.5.4連接釋放796.6不同服務(wù)類別的實(shí)施和冗余管理836.6.1A類服務(wù)836.6.2D類服務(wù)886.6.3ALEPKT概述906.7適配層管理ALEPKT錯(cuò)誤處理916.8底層協(xié)議棧936.8.1簡(jiǎn)介936.8.2TCP參數(shù)協(xié)商（強(qiáng)制性）936.8.3網(wǎng)絡(luò)服務(wù)定義946.8.4網(wǎng)絡(luò)協(xié)議946.9適配層配置與管理946.9.1總則946.9.2定時(shí)器參數(shù)946.9.3

5、呼叫與ID管理（適配層和TCP）947.資料性附錄957.1TCP參數(shù)協(xié)商957.1.1TCP服務(wù)選項(xiàng)957.2地址映射967.3數(shù)據(jù)鏈路層987.3.1以太網(wǎng)987.3.2介質(zhì)訪問(wèn)控制987.3.3廣域連接987.4密鑰管理987.4.1范圍987.4.2密鑰管理概念和原理997.4.3KMS的各個(gè)階段和參與方997.4.4一般原則1007.4.5密鑰層級(jí)1017.4.6密鑰分配1027.4.7基本的KM功能1027.4.8縮略語(yǔ)與定義1047.5校驗(yàn)和結(jié)果實(shí)例1063. 簡(jiǎn)介3.1 目的及范圍3.1.1.1.1本文件規(guī)定了信號(hào)安全設(shè)備之間通過(guò)封閉式網(wǎng)絡(luò)或開(kāi)放式網(wǎng)絡(luò)進(jìn)行安全相關(guān)信息交互的功能

6、結(jié)構(gòu)和協(xié)議。3.1.1.1.2本規(guī)范適用于鐵路信號(hào)安全設(shè)備之間的安全通信接口。3.2 參考文獻(xiàn)1EN 50159-1Railway applications Communication, signalling and Processing systems Part 1: Safety-related communication in closed transmission systems鐵道應(yīng)用：封閉式傳輸系統(tǒng)中安全通信要求2EN 50159-2Railway applications Communication, signalling and Processing systems Part

7、2: Safety-related communication in open transmission systems鐵道應(yīng)用：封閉式傳輸系統(tǒng)中安全通信要求3科技運(yùn)2008 127號(hào)CTCS-3級(jí)列控系統(tǒng)系統(tǒng)需求規(guī)范（SRS）4科技運(yùn)2008 34號(hào)CTCS-3級(jí)列控系統(tǒng)總體技術(shù)方案5CTCS-3級(jí)列控系統(tǒng)無(wú)線通信接口規(guī)范6ERTMS/ETCS Subset-038離線密鑰管理FIS，v2.1.117ERTMS/ETCS Subset-039RBC/RBC移交FIS，v2.1.28ERTMS/ETCS Subset-108ETCS/ERTMS 1級(jí)，TSI附錄A，v1.1.09ITU-T X

8、.214信息技術(shù)，開(kāi)放系統(tǒng)互聯(lián)，傳送服務(wù)定義10ITU-T X.224信息技術(shù)，開(kāi)放系統(tǒng)互聯(lián)，提供OSI連接模式的傳送協(xié)議11RFC0791網(wǎng)絡(luò)協(xié)議V412RFC2460網(wǎng)絡(luò)協(xié)議V613RFC0793傳輸控制協(xié)議V414ISO/IEC 3309信息技術(shù)系統(tǒng)間的通信和信息交換高級(jí)數(shù)據(jù)鏈路控制程序（HDLC）框架結(jié)構(gòu)3.3 術(shù)語(yǔ)和定義本文件中使用了標(biāo)準(zhǔn)EN 50159-1和EN 50159-2的定義，并附加使用了以下術(shù)語(yǔ)。應(yīng)用處理：描述通信關(guān)系的應(yīng)用層實(shí)體。執(zhí)行周期：處理周期以及與其相關(guān)的遞增計(jì)數(shù)（基于計(jì)算機(jī)的恒定處理周期）。密鑰管理規(guī)范的縮略語(yǔ)和定義包含在本規(guī)范的資料性附錄中。3.4 縮略語(yǔ)縮略

9、語(yǔ)含義ALE適配及冗余管理層實(shí)體ALEPKTALE數(shù)據(jù)包，ALE之間交換的PDUApPDU應(yīng)用PDUCFM通信功能模塊EC執(zhí)行周期IP網(wǎng)際協(xié)議MASL消息鑒定安全層PDU協(xié)議數(shù)據(jù)單元QoS服務(wù)質(zhì)量SaCEPID安全連接端點(diǎn)識(shí)別符SAI安全應(yīng)用中間子層SAP服務(wù)接入點(diǎn)SaPDU安全協(xié)議數(shù)據(jù)單元SaS安全服務(wù)SFM安全功能模塊SL安全層SN序列號(hào)TCEPID傳輸連接端點(diǎn)識(shí)別符TCP傳輸控制協(xié)議TPDU傳輸協(xié)議數(shù)據(jù)單元TS傳輸服務(wù)TSAP傳輸服務(wù)接入點(diǎn)TTS三重時(shí)間戳4. 參考結(jié)構(gòu)4.1 綜述4.1.1.1.1封閉式網(wǎng)絡(luò)在EN50159-1中定義為：“可連接設(shè)備的最大數(shù)量和拓?fù)浣Y(jié)構(gòu)已知的，傳輸系統(tǒng)的

10、物理特征是固定的傳輸系統(tǒng)，并可以忽略未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)?！?.1.1.1.2開(kāi)放式網(wǎng)絡(luò)在EN50159-2中定義為：“連接設(shè)備數(shù)量未知的傳輸系統(tǒng)，它擁有未知的、可變的且非置信的特征，用于未知的通信服務(wù)，對(duì)此系統(tǒng)應(yīng)評(píng)估未經(jīng)授權(quán)的訪問(wèn)?！?.1.1.1.3這兩種網(wǎng)絡(luò)類型都應(yīng)被考慮。4.1.1.1.4安全通信系統(tǒng)間的總體結(jié)構(gòu)（根據(jù)EN50159-2）如圖1所示。圖1：安全通信系統(tǒng)的總體結(jié)構(gòu)4.2 鐵路信號(hào)安全設(shè)備間安全通信接口4.2.1.1.1本節(jié)描述安全通信系統(tǒng)的功能結(jié)構(gòu)，對(duì)內(nèi)層實(shí)現(xiàn)不作限制。不應(yīng)將其理解為對(duì)軟件實(shí)現(xiàn)的要求。4.2.1.1.2鐵路信號(hào)安全設(shè)備之間安全通信接口采用分層結(jié)構(gòu)。該接口規(guī)范所

11、包含的各層如圖2中陰影部分所示。圖2：安全通信系統(tǒng)的結(jié)構(gòu)4.2.1.1.3安全信息傳輸?shù)膽?yīng)用協(xié)議見(jiàn)各安全設(shè)備間應(yīng)用層協(xié)議，不屬于本規(guī)范范圍。4.2.1.1.4經(jīng)由非安全低層傳輸?shù)陌踩嚓P(guān)信息需要在安全層中進(jìn)行處理。消息鑒定安全層（MASL）參照文獻(xiàn)5制定，在MASL層的基礎(chǔ)上增加安全應(yīng)用中間子層（SAI）。4.2.1.1.5適配及冗余管理層（ALE）提供MASL層和傳輸層之間的適配和冗余處理。4.2.1.1.6傳輸層協(xié)議參見(jiàn)TCPRFC0793。重發(fā)功能由TCP的常規(guī)機(jī)制來(lái)提供。4.2.1.1.7網(wǎng)絡(luò)層協(xié)議參見(jiàn)IPRFC0791。4.2.1.1.8本規(guī)范不對(duì)數(shù)據(jù)鏈路層作規(guī)定。4.2.1.1.9

12、本規(guī)范不對(duì)物理層作規(guī)定。4.2.1.1.10操作和維護(hù)（O&M）屬于具體實(shí)施的范疇，本規(guī)范不作規(guī)定。4.3 各層功能4.3.1 安全功能模塊（SFM）4.3.1.1.1本模塊提供的安全層必須能夠?qū)N 50159-1和EN 50159-2中列出的威脅進(jìn)行檢測(cè)并提供充分的防護(hù)。4.3.1.1.2安全層實(shí)現(xiàn)以下安全相關(guān)的傳輸功能。Ø 消息的真實(shí)性（源地址和目的地址）；Ø 消息的序列完整性；Ø 消息的時(shí)效性；Ø 消息的完整性；Ø 安全錯(cuò)誤報(bào)告；Ø 配置管理（安全設(shè)備間的安全通信協(xié)議棧）；Ø 訪問(wèn)保護(hù)。4.3.1.1.3MA

13、SL層提供以下功能：Ø 消息的真實(shí)性（源地址和目的地址）；Ø 消息的完整性；Ø 訪問(wèn)保護(hù)。4.3.1.1.4SAI層提供所需的其他安全相關(guān)的傳輸功能。4.3.1.1.5序列錯(cuò)誤防護(hù)通過(guò)在用戶數(shù)據(jù)中增加序列號(hào)實(shí)現(xiàn)。4.3.1.1.6消息時(shí)效性防護(hù)通過(guò)在用戶數(shù)據(jù)中增加TTS或者EC計(jì)數(shù)實(shí)現(xiàn)。4.3.1.1.7EC和TTS對(duì)消息時(shí)延具有相同的防護(hù)等級(jí)。4.3.1.1.8TTS和EC計(jì)數(shù)僅允許一項(xiàng)有效，具體實(shí)施中由通信雙方協(xié)商決定。4.3.2 通信功能模塊（CFM）4.3.2.1.1通信功能模塊提供非置信的傳輸。4.3.2.1.2此模塊提供以下功能：Ø MASL

14、層和傳輸層之間的適配；Ø 冗余功能，以滿足系統(tǒng)可用性需求；Ø 數(shù)據(jù)的可靠、透明和雙向傳輸；Ø 必要時(shí)協(xié)議數(shù)據(jù)單元的重傳；Ø 通道可用性監(jiān)測(cè)。4.4 傳輸系統(tǒng)的分類4.4.1.1.1為了使本規(guī)范具有通用性，不對(duì)開(kāi)放式傳輸系統(tǒng)類別作限定。本規(guī)范參考具有最高安全風(fēng)險(xiǎn)級(jí)別的開(kāi)放式傳輸系統(tǒng)類別7參見(jiàn)EN 50159-2來(lái)制定。4.5 假設(shè)4.5.1.1.1設(shè)定條件如下：Ø 對(duì)文獻(xiàn)5中規(guī)定的“高優(yōu)先級(jí)”消息不作要求；Ø 目前對(duì)多路復(fù)用技術(shù)不作要求，但是該項(xiàng)功能可以通過(guò)在每個(gè)邏輯連接中使用一條TCP鏈路來(lái)實(shí)現(xiàn)；Ø 非顯式流量控制；

15、6; SFM檢測(cè)出的安全相關(guān)錯(cuò)誤可能在SAI層之外進(jìn)行處理；Ø 用戶數(shù)據(jù)長(zhǎng)度不超過(guò)1000 字節(jié)。5. 安全功能模塊5.1 簡(jiǎn)介5.1.1.1.1本節(jié)規(guī)定安全功能模塊（SFM）。5.1.1.1.2本節(jié)僅描述相關(guān)的功能接口，以確保在安全功能模塊層面的互聯(lián)。5.1.1.1.3安全功能模塊的組成：Ø MASL層；Ø SAI層。5.1.1.1.4通過(guò)這兩層結(jié)合將對(duì)EN 50159-2文件中所定義的威脅提供全面的防護(hù)。5.2 安全功能模塊的功能5.2.1.1.1安全功能模塊提供同開(kāi)放式傳輸系統(tǒng)類別7相適應(yīng)的安全服務(wù)。5.2.1.1.2本節(jié)規(guī)定了在安全功能模塊中防護(hù)技術(shù)的具體

16、實(shí)現(xiàn)。5.2.1.1.3根據(jù)EN 50159-2標(biāo)準(zhǔn)，對(duì)于一般的傳輸系統(tǒng)而言，所有可能的威脅如下（參見(jiàn)EN 50159-2的定義）：Ø 重復(fù)；Ø 刪除；Ø 插入；Ø 重排序；Ø 損壞；Ø 延遲；Ø 偽裝。5.2.1.1.4為了減少標(biāo)準(zhǔn)中定義的威脅風(fēng)險(xiǎn)，安全功能模塊應(yīng)提供以下的安全服務(wù)（參見(jiàn)EN 50159-2的定義）：Ø 消息的真實(shí)性；Ø 消息的完整性；Ø 消息的時(shí)效性；Ø 消息的有序性。5.2.1.1.5MASL層和SAI層的結(jié)合為開(kāi)放式傳輸系統(tǒng)提供了一種安全保護(hù)措施。5.2.1.1

17、.6MASL層可以預(yù)防以下威脅：Ø 損壞；Ø 偽裝；Ø 插入。5.2.1.1.7通過(guò)添加安全碼（消息驗(yàn)證碼MAC）和連接標(biāo)識(shí)符（源和目的地標(biāo)識(shí)符）提供防護(hù)。5.2.1.1.8SAI層可以預(yù)防以下威脅：Ø 延遲；Ø 重排序；Ø 刪除；Ø 重復(fù)。5.2.1.1.9通過(guò)添加延遲防御技術(shù)（EC或TTS）和序列號(hào)（SN）提供保護(hù)。5.2.1.1.10安全功能模塊提供的保護(hù)如表1所示。表1：安全功能模塊的防御技術(shù)威脅防御序列號(hào)SNTTS或EC超時(shí)反饋信息源和目的地標(biāo)識(shí)符消息識(shí)別過(guò)程安全碼加密技術(shù)重復(fù)X刪除X插入X重排序X損壞X延遲X偽裝

18、X5.3 消息鑒定安全層（MASL）5.3.1.1.1MASL層由文獻(xiàn)5規(guī)定。5.3.1.1.2MASL層參照文獻(xiàn)5，但是不使用其中的高優(yōu)先級(jí)數(shù)據(jù)業(yè)務(wù)。所有的數(shù)據(jù)傳輸均應(yīng)使用正常的數(shù)據(jù)業(yè)務(wù)來(lái)進(jìn)行。5.3.1.1.3表2規(guī)定SAI-MASL接口的SaS原語(yǔ)參數(shù)的使用。表2：SaS原語(yǔ)參數(shù)參數(shù)文獻(xiàn)5SFM的使用說(shuō)明地址類型5.2.如果需要的話，可以使用網(wǎng)絡(luò)地址5.2.如果使用，可用于識(shí)別被叫方的32位目的IP地址和16位目的TCP端口號(hào)移動(dòng)網(wǎng)絡(luò)ID5.2.不使用主叫CTCS ID 類型5.2.主叫安全設(shè)備CTCS ID類型主叫CTCS ID5.2.用于初始化連接的主叫CTCS ID 被叫CTCS

19、ID類型5.2.被叫安全設(shè)備CTCS ID類型被叫CTCS ID5.2.用于接受連接請(qǐng)求的被叫CTCS ID 應(yīng)用類型5.2.參見(jiàn)文獻(xiàn)5中定義的應(yīng)用類型服務(wù)質(zhì)量類型5.2.QoS域用于表示建立連接的服務(wù)類型。服務(wù)類型A和服務(wù)類型D可供使用SaCEPID5.2.由本地提供用來(lái)辨識(shí)各個(gè)安全連接的參數(shù)5.3.1.1.4由本地實(shí)現(xiàn)SAI層和MASL層之間的接口。5.3.1.1.5表3規(guī)定了安全信號(hào)設(shè)備間安全通信接口中MASL層的配置：表3：MASL層的配置參數(shù)文獻(xiàn)5SFM值說(shuō)明SaS用戶數(shù)據(jù)的最大長(zhǎng)度5.3.1000字節(jié)Testab7.2.5.3最大應(yīng)用值：40秒推薦值為40秒，對(duì)于安全信號(hào)設(shè)備間的通

20、信可能采用更低值5.4 安全應(yīng)用中間子層（SAI）5.4.1 概述5.4.1.1.1安全應(yīng)用中間子層提供：通過(guò)序列號(hào)和TTS/EC計(jì)數(shù)對(duì)數(shù)據(jù)進(jìn)行保護(hù)；Ø 到應(yīng)用層接口；Ø 到MASL層接口。5.4.1.1.2通過(guò)給用戶數(shù)據(jù)添加一個(gè)序列號(hào)域，防止數(shù)據(jù)的重復(fù)、刪除和重排序。5.4.1.1.3通過(guò)給用戶數(shù)據(jù)添加TTS或EC計(jì)數(shù)防止數(shù)據(jù)延遲。5.4.1.1.4時(shí)間戳的防御技術(shù)基于發(fā)送方和接收方之間時(shí)鐘偏移的計(jì)算。5.4.1.1.5為了發(fā)送方和接收方依據(jù)執(zhí)行初始化程序?qū)r(shí)鐘偏移進(jìn)行估算，需要在SAI幀頭中定義初始化過(guò)程的消息類型。5.4.1.1.6對(duì)于由發(fā)送方發(fā)送給接收方的消息，通過(guò)

21、添加以下字段構(gòu)成TTS：Ø 數(shù)據(jù)傳輸時(shí)的發(fā)送方時(shí)間戳；Ø 發(fā)送方接收的上一條消息中的接收方時(shí)間戳；Ø 發(fā)送方接收上一條消息時(shí)的發(fā)送方時(shí)間戳。5.4.1.1.7TTS信息如圖3所示。圖3：時(shí)間戳信息5.4.1.1.8當(dāng)不使用TTS的方法時(shí)，選擇EC防御技術(shù)。EC防御技術(shù)通過(guò)在用戶數(shù)據(jù)上添加EC計(jì)數(shù)來(lái)檢查消息的壽命。5.4.1.1.9EC防御技術(shù)也要求有一個(gè)初始化過(guò)程。在此過(guò)程中，每一個(gè)通信實(shí)體的EC值被發(fā)送給對(duì)等實(shí)體。5.4.1.1.10EC和TTS的防御技術(shù)是相互排斥的。5.4.2 到SAI層服務(wù)接口5.4.2.1.1 SFM通過(guò)安全服務(wù)接入點(diǎn)上的安全服務(wù)原語(yǔ)及其

22、相應(yīng)的參數(shù)，提供安全服務(wù)。5.4.2.1.2 SAI層僅提供功能規(guī)范，而原語(yǔ)的實(shí)施由本地提供，不會(huì)影響安全設(shè)備的互通。5.4.2.1.3SAI層連接建立服務(wù)：Ø SAI-CONNECT.request：用戶要求SAI建立連接；Ø SAI-CONNECT.indication：被叫SAI實(shí)體收到連接請(qǐng)求后通知被叫SAI用戶；Ø SAI-CONNECT.response：應(yīng)答SAI用戶用來(lái)接受到SAI實(shí)體的連接；Ø SAI-CONNECT.confirm：主叫SAI實(shí)體獲得被叫對(duì)等實(shí)體的響應(yīng)后向主叫SAI用戶報(bào)告SAI連接成功建立。5.4.2.1.4SAI數(shù)

23、據(jù)傳輸服務(wù)：Ø SAI-DATA.request：SAI用戶用來(lái)向?qū)Φ葘?shí)體傳輸應(yīng)用數(shù)據(jù)；Ø SAI-DATA.indication：向SAI用戶表示來(lái)自對(duì)等實(shí)體數(shù)據(jù)已成功接收。5.4.2.1.5SAI連接釋放服務(wù)：Ø SAI-DISCONNECT.request：SAI用戶強(qiáng)制釋放SAI連接；Ø SAI-DISCONNECT.indication：用來(lái)通知SAI用戶SAI連接釋放。5.4.3 到MASL層服務(wù)接口5.4.3.1 SAI層實(shí)現(xiàn)的功能在MASL層之上。5.4.3.2 MASL層的應(yīng)用約束了SAI層的設(shè)計(jì)，因此為了能適配MASL層，SAI層應(yīng)能

24、夠與文獻(xiàn)5中規(guī)定的“安全服務(wù)接口”適配。5.4.4 消息結(jié)構(gòu)5.4.4.1.1消息結(jié)構(gòu)如圖4所示。圖4：消息結(jié)構(gòu)5.4.4.1.2消息類型決定SAI幀頭結(jié)構(gòu)。5.4.4.1.3應(yīng)考慮到兩種不同情況：Ø SAI幀頭適用于安全數(shù)據(jù)的傳輸（參見(jiàn)文獻(xiàn)5）；Ø 僅MASL層用于安全連接管理。5.4.4.1.4就安全數(shù)據(jù)傳輸而言，由SAI層添加的幀頭結(jié)構(gòu)如圖5/圖6所示。圖5：使用TTS時(shí)的SAI幀頭結(jié)構(gòu)圖6：使用EC時(shí)的SAI幀頭結(jié)構(gòu)5.4.4.1.5SAI層的所有域均使用Big Endian方式編碼。5.4.4.1.6“消息類型”域用于識(shí)別消息類型，使用一個(gè)字節(jié)進(jìn)行編碼。5.4.4

25、.1.7“序列號(hào)”域用于定義消息順序號(hào)，使用兩字節(jié)編碼。5.4.4.1.8如果使用了TTS，“發(fā)送方時(shí)間戳”域應(yīng)填寫消息傳送至本地MASL層實(shí)體時(shí)的發(fā)送方時(shí)間戳。發(fā)送方時(shí)間戳使用四個(gè)字節(jié)編碼。5.4.4.1.9如果使用了TTS，“上一次接收方時(shí)間戳”域應(yīng)填寫由“接收方”產(chǎn)生，從接收方傳輸給發(fā)送方的最后一個(gè)消息的時(shí)間戳，OffsetStart信息除外（見(jiàn)§5.4.8.4）。本時(shí)間戳使用四個(gè)字節(jié)編碼。5.4.4.1.10如果使用了TTS， “上一次的消息接收時(shí)間戳”域應(yīng)填寫由本地MASL層實(shí)體上傳上一條消息時(shí)的本地時(shí)間戳，OffsetStart信息除外（參見(jiàn)§5.4.8.4）。

26、本時(shí)間戳使用四個(gè)字節(jié)編碼。5.4.4.1.11只有使用EC防御技術(shù)時(shí)，才使用“EC計(jì)數(shù)”域，并出現(xiàn)在幀頭中。5.4.4.1.12EC計(jì)數(shù)使用四字節(jié)編碼。5.4.4.1.13EC防御技術(shù)和TTS防御技術(shù)互相排斥，若使用EC防御技術(shù)，則與TTS防御技術(shù)相關(guān)的域?qū)⒉槐粰z查，此時(shí)“TTS”域所有字段的值應(yīng)被設(shè)為0。5.4.5 SAI協(xié)議5.4.5.1 連接過(guò)程5.4.5.1.1兩個(gè)設(shè)備之間的連接過(guò)程如圖7所示。圖7：SAI 連接過(guò)程5.4.5.1.2SAI服務(wù)原語(yǔ)應(yīng)被映射到SA服務(wù)原語(yǔ)上，以用于連接建立。5.4.5.2 斷開(kāi)連接過(guò)程5.4.5.2.1兩個(gè)設(shè)備之間的連接斷開(kāi)過(guò)程如圖8所示。圖8：斷開(kāi)連接

27、過(guò)程5.4.5.2.2SAI服務(wù)原語(yǔ)應(yīng)被映射到SA服務(wù)原語(yǔ)上，以用于連接斷開(kāi)。5.4.5.3 應(yīng)用數(shù)據(jù)交互過(guò)程5.4.5.3.1以下過(guò)程用來(lái)描述如何傳輸應(yīng)用數(shù)據(jù)消息。5.4.5.3.2通過(guò)使用SAI-DATA.request，應(yīng)用層應(yīng)能夠?qū)?shù)據(jù)發(fā)送至對(duì)等實(shí)體（見(jiàn)文獻(xiàn)5）。5.4.5.3.3通過(guò)使用SAI-DATA.request，SAI層應(yīng)能夠識(shí)別所連接的SaCEPID。5.4.5.3.4在SAI幀頭中，SAI層應(yīng)在應(yīng)用數(shù)據(jù)上增加：Ø 應(yīng)用數(shù)據(jù)交互的消息類型；Ø 序列號(hào)；Ø TTS域。如果使用EC防御技術(shù)，則TTS設(shè)為“0”；Ø EC計(jì)數(shù)及其版本（僅在使

28、用EC防御技術(shù)時(shí)）。5.4.5.3.5SAI層通過(guò)使用Sa-DATA.request原語(yǔ)，將其處理完的數(shù)據(jù)傳送至MASL。Sa用戶數(shù)據(jù)參數(shù)由消息類型，序列號(hào)，TTS域和EC域連接組成。只有使用EC防御技術(shù)時(shí)，EC域才會(huì)出現(xiàn)。5.4.5.3.6以下過(guò)程用來(lái)描述如何接收應(yīng)用數(shù)據(jù)消息。5.4.5.3.7MASL層可以使用Sa-DATA.indication將數(shù)據(jù)傳送至SAI層處理，并由SAI層傳送到應(yīng)用層。5.4.5.3.8Sa-DATA.indication應(yīng)提供SaCEPID。5.4.5.3.9Sa用戶數(shù)據(jù)參數(shù)由下列部分組成：Ø 應(yīng)用數(shù)據(jù)的消息類型；Ø 序列號(hào)；Ø

29、TTS域。如果使用EC防御技術(shù)，則時(shí)間戳設(shè)為“0”；Ø EC計(jì)數(shù)（僅在使用EC防御技術(shù)時(shí)）。5.4.5.3.10“消息類型”應(yīng)屬于為應(yīng)用數(shù)據(jù)交互而定義的消息類型之一。5.4.5.3.11SAI應(yīng)在EC計(jì)數(shù)或TTS檢查前對(duì)序列號(hào)進(jìn)行檢查。5.4.5.3.12如果使用EC防御技術(shù)，則無(wú)須檢查TTS域，而只須檢查EC域。5.4.5.3.13如果使用TTS防御技術(shù)，則必須檢查TTS域。5.4.5.3.14 若以上所有檢查均成功執(zhí)行，則應(yīng)使用SAI-DATA.indication將應(yīng)用數(shù)據(jù)和SaCEPID傳送至應(yīng)用層。5.4.5.3.15應(yīng)用數(shù)據(jù)交互如圖9所示。圖9：應(yīng)用數(shù)據(jù)交互過(guò)程5.4.5

30、.4 SAI管理消息5.4.5.4.1SAI執(zhí)行某些特定程序，通過(guò)TTS或EC計(jì)數(shù)確保對(duì)消息的防護(hù)（見(jiàn)第5.4.8.5節(jié)，5.4.8.7節(jié)，5.4.9.3節(jié)和5.4.9.6節(jié)）。在執(zhí)行此類程序期間，雙方SAI層之間應(yīng)交互SAI管理消息。5.4.5.4.2SAI管理消息通過(guò)消息類型域的特定值或無(wú)任何應(yīng)用數(shù)據(jù)的消息進(jìn)行識(shí)別。5.4.5.4.3SAI管理信息應(yīng)通過(guò)Sa-DATA.request和Sa-DATA.indication原語(yǔ)在SAI層之間進(jìn)行交換。5.4.5.4.4SN，TTS和EC域應(yīng)采用和應(yīng)用數(shù)據(jù)交互過(guò)程相同的處理方式。5.4.5.4.5在消息傳輸中，根據(jù)管理消息的類型選擇消息類型域值

31、。用戶數(shù)據(jù)是來(lái)自應(yīng)用層還是由SAI自行計(jì)算，這取決于管理消息的類型。如果沒(méi)有任何應(yīng)用數(shù)據(jù)被傳送至對(duì)等應(yīng)用層，則SAI層會(huì)為管理消息選擇適當(dāng)?shù)腟aCEPID。5.4.5.4.6SAI應(yīng)根據(jù)接收的管理消息類型，決定用戶數(shù)據(jù)是由SAI自行處理，或?qū)aCEPID和應(yīng)用數(shù)據(jù)一起傳送至應(yīng)用層。5.4.6 消息類型域5.4.6.1.1共定義10種消息類型，其中，TTS防御技術(shù)中使用的消息類型有6種，EC防御技術(shù)中使用的消息類型有4種。5.4.6.1.2TTS防御技術(shù)中使用的消息類型如下所示：OffsetStart消息（用于時(shí)鐘偏移估算的第1個(gè)消息）：1OffsetAnsw1消息（用于時(shí)鐘偏移估算的第2個(gè)消

32、息）：2OffsetAnsw2消息（用于時(shí)鐘偏移估算的第3個(gè)消息）：3OffsetEst消息（用于時(shí)鐘偏移估算的第4個(gè)消息）：4OffsetEnd消息（用于時(shí)鐘偏移估算的第5個(gè)消息）：5使用TTS保護(hù)的應(yīng)用消息： 65.4.6.1.3EC防御技術(shù)中使用的消息類型如下所示（十六進(jìn)制）：EC起始消息： 81使用EC保護(hù)的應(yīng)用消息：86使用EC保護(hù)并請(qǐng)求應(yīng)答的應(yīng)用消息：87使用EC保護(hù)并含有應(yīng)答確認(rèn)的應(yīng)用消息：885.4.7 序列號(hào)防御技術(shù)5.4.7.1.1序列號(hào)以2字節(jié)進(jìn)行編碼（Big Endian）。5.4.7.1.2序列號(hào)值從0到65535。5.4.7.1.3每一個(gè)通信方向上的序列號(hào)應(yīng)該是獨(dú)立

33、的。5.4.7.1.4對(duì)序列號(hào)不作初始化要求。對(duì)于從對(duì)等實(shí)體處接收到的第一個(gè)序列號(hào)，接收方不做檢查。5.4.7.1.5接收方無(wú)須檢查接收到的第一條消息的序列號(hào)，只需對(duì)后續(xù)的消息檢查其序列號(hào)與上一個(gè)序列號(hào)之間的差異。5.4.7.1.6如果序列號(hào)值未達(dá)到最大值，則在此傳輸方向上的下一條消息序列號(hào)加1。5.4.7.1.7一旦序列號(hào)值達(dá)到最大值，則下一條傳輸消息的序列號(hào)設(shè)為“0”。5.4.7.1.8兩個(gè)設(shè)備間的消息編號(hào)如圖10所示。圖10：消息編號(hào)5.4.7.1 序列號(hào)錯(cuò)誤5.4.7.2.1序列號(hào)可檢測(cè)到下列錯(cuò)誤：Ø 消息重復(fù)；Ø 消息刪除；Ø 消息重排序。5.4.7.2

34、.2一旦檢測(cè)到錯(cuò)誤，SAI不能采取任何措施恢復(fù)丟失的數(shù)據(jù)。5.4.7.2.3為消息序列檢查而定義參數(shù)N。N-1是代表允許丟失消息的數(shù)量。需要配置N值，N值等于或大于1。5.4.7.2.4如果接收到的SN不等于上次接收消息的SN1，則被認(rèn)為是消息序列錯(cuò)誤。5.4.7.2.5如果接收到的SN大于上次接收消息的SNN，則應(yīng)丟棄此消息，并釋放安全連接。5.4.7.2.6如果接收到的SN大于上次接收消息的SN1，并小于或等于SNN，則不應(yīng)丟棄此消息中的應(yīng)用數(shù)據(jù)，并根據(jù)規(guī)定的錯(cuò)誤處理方式（見(jiàn)第5.4.10.1.2節(jié)）來(lái)處理這一事件。5.4.7.2.7如果接收到的SN小于或等于上次接收消息的SN，則應(yīng)丟棄此

35、消息。5.4.7.2.8需要根據(jù)SAI錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)序列號(hào)錯(cuò)誤作出相應(yīng)反應(yīng)。5.4.7.2.9圖11說(shuō)明當(dāng)發(fā)生重復(fù)消息，刪除消息或重排序消息時(shí)，SN防御技術(shù)所采取的行為。假定N3，則允許丟失消息的數(shù)量為0，1或2。圖11：序列錯(cuò)誤5.4.8 TTS5.4.8.1 簡(jiǎn)介5.4.8.1.1時(shí)間戳處理過(guò)程基于發(fā)送方和接收方之間的時(shí)鐘偏移估算。通信雙方應(yīng)在建立安全連接后和交換應(yīng)用數(shù)據(jù)前，初始化時(shí)鐘偏移估算。5.4.8.1.2兩個(gè)設(shè)備之間的時(shí)鐘偏移估算值一旦確定，就能夠以一種安全的方式估算應(yīng)用數(shù)據(jù)的時(shí)間有效性，而無(wú)須對(duì)遠(yuǎn)程設(shè)備當(dāng)前周期和（或）網(wǎng)絡(luò)特性作任何設(shè)定。5.4.8.1.3時(shí)

36、間戳調(diào)整過(guò)程（即時(shí)鐘偏移更新過(guò)程）由兩個(gè)設(shè)備之間5條消息的交換組成。通過(guò)該過(guò)程，每個(gè)設(shè)備都能估算它的內(nèi)部時(shí)鐘和對(duì)等設(shè)備內(nèi)部時(shí)鐘之間的時(shí)鐘偏移。5.4.8.1.4所有應(yīng)用消息都要標(biāo)記TTS。5.4.8.1.5第2和第3個(gè)時(shí)間戳僅用于計(jì)算和更新時(shí)鐘偏移估算值。第1個(gè)時(shí)間戳不僅用于估算和更新時(shí)鐘偏移，也用于計(jì)算應(yīng)用數(shù)據(jù)的時(shí)間有效性。5.4.8.1.6接收到消息后，接收方利用時(shí)鐘偏移估算值，將發(fā)送方所傳送的時(shí)間戳調(diào)整為接收方時(shí)鐘，然后再計(jì)算應(yīng)用數(shù)據(jù)的時(shí)間有效性。5.4.8.1.7發(fā)送方所發(fā)送的時(shí)間戳消息中的“過(guò)零點(diǎn)”，由接收方處理。5.4.8.1.8要定期使用時(shí)鐘偏移更新程序，對(duì)兩個(gè)系統(tǒng)之間的時(shí)鐘偏移

37、估算值進(jìn)行更新。5.4.8.2 TTS格式5.4.8.2.1時(shí)間戳以32位Big Endian進(jìn)行編碼。5.4.8.2.2TTS最低有效位的時(shí)間值等于10 ms。5.4.8.3 時(shí)鐘偏移估算原理5.4.8.3.1時(shí)鐘偏移估算值一旦確定，一個(gè)設(shè)備就能夠?qū)ζ浔旧砼c對(duì)等設(shè)備之間所交換消息的時(shí)間有效性進(jìn)行估算。5.4.8.3.2在安全連接初始化時(shí)進(jìn)行時(shí)鐘偏移估算。時(shí)鐘偏移更新程序應(yīng)在第一條應(yīng)用消息交互前執(zhí)行。5.4.8.3.3由發(fā)起安全連接的設(shè)備啟動(dòng)時(shí)鐘偏移更新程序。5.4.8.3.4通過(guò)兩個(gè)實(shí)體之間5個(gè)消息的交換來(lái)估算時(shí)鐘偏移。發(fā)起時(shí)鐘偏移更新程序的實(shí)體被稱為“發(fā)起方”，而另一個(gè)實(shí)體被稱為“應(yīng)答方”

38、。5.4.8.3.5發(fā)起方使用前2個(gè)消息來(lái)計(jì)算兩個(gè)設(shè)備之間的最大和最小時(shí)鐘偏移。5.4.8.3.6應(yīng)答方使用第2和第3個(gè)消息來(lái)計(jì)算兩個(gè)設(shè)備之間的最大和最小時(shí)鐘偏移。5.4.8.3.7第4和第5個(gè)消息用來(lái)驗(yàn)證時(shí)鐘偏移估算值的有效性。5.4.8.4 時(shí)鐘偏移更新消息5.4.8.4.1OffsetStart消息結(jié)構(gòu)如圖12所示。圖12：OffsetStart消息5.4.8.4.2OffsetStart消息分為不同的域，分別是：消息類型：1（十六進(jìn)制值）；序列號(hào)；發(fā)送方時(shí)間戳：此域定義了進(jìn)行時(shí)鐘偏移估算的發(fā)起方時(shí)間戳；上一次接收方時(shí)間戳：此域給出了上一次應(yīng)答方傳送給發(fā)起方的時(shí)間戳。由于沒(méi)有之前應(yīng)答方給

39、出的時(shí)間戳，設(shè)為“0”；上一次收到消息時(shí)的時(shí)間戳：此域給出了上一次從應(yīng)答方處接收到消息時(shí)的時(shí)間值。由于沒(méi)有之前應(yīng)答方給出的應(yīng)用消息，此值設(shè)為“0”；發(fā)起方周期：此域給出了發(fā)起方向應(yīng)答方進(jìn)行周期性傳送消息的傳送周期。如果消息不是周期性傳送，則將此值設(shè)為“0”?！鞍l(fā)起方周期”使用的格式和時(shí)間分辨率與時(shí)間戳域相同。5.4.8.4.3OffsetAnsw1消息結(jié)構(gòu)如圖13所示。圖13：OffsetAnsw1消息5.4.8.4.4OffsetAnsw1消息分為不同的域，分別是：消息類型：2（十六進(jìn)制值）；序列號(hào)；發(fā)送時(shí)間戳：此域定義了應(yīng)答方的時(shí)間戳；上一次接收方時(shí)間戳：此域給出了發(fā)起方上次傳送給應(yīng)答方的

40、發(fā)起方時(shí)間戳；上一次收到消息時(shí)的時(shí)間戳：此域給出了應(yīng)答方接收到時(shí)鐘偏移更新過(guò)程的第一個(gè)消息時(shí)的應(yīng)答方時(shí)間戳；應(yīng)答方周期：此域給出了應(yīng)答方向發(fā)起方進(jìn)行周期性傳送消息的傳送周期。如果消息不是周期性傳送，則將此值設(shè)為“0”。 應(yīng)答方周期使用的格式和時(shí)間分辨率與時(shí)間戳域相同。5.4.8.4.5OffsetAnsw2消息結(jié)構(gòu)如圖14所示。圖14：OffsetAnsw2消息5.4.8.4.6OffsetAnsw2消息分為不同的域，分別是：消息類型：3（十六進(jìn)制值）；序列號(hào)；發(fā)送方時(shí)間戳：此域定義了發(fā)起方的時(shí)間戳；上一次接收方時(shí)間戳：此域給出了應(yīng)答方上次傳送給發(fā)起方的時(shí)間戳；上一次收到消息時(shí)的時(shí)間戳：此域給

41、出了發(fā)起方上次從應(yīng)答方處接收消息時(shí)的時(shí)間戳（即OffsetAnsw1消息的接收時(shí)間）。5.4.8.4.7OffsetEst消息結(jié)構(gòu)如圖15所示。圖15：OffsetEst消息5.4.8.4.8OffsetEst消息分為不同的域，分別是：消息類型：4（十六進(jìn)制值）；序列號(hào)；發(fā)送方時(shí)間戳：此域定義了應(yīng)答方的時(shí)間戳；上一次接收方時(shí)間戳：此域給出了發(fā)起方上次傳送給應(yīng)答方的發(fā)起方時(shí)間戳；上一次收到消息時(shí)的時(shí)間戳：此域給出了應(yīng)答方接收到的時(shí)鐘偏移更新過(guò)程的第3個(gè)消息時(shí)的時(shí)間戳；偏移標(biāo)志：此域給出了應(yīng)答方所估算的最小偏移值的正負(fù)標(biāo)志。采用Big Endian編碼?！?”則表示偏移為正值或空值，“1”表示偏移

42、為負(fù)值；應(yīng)答方估算的最小偏移值：此域給出了應(yīng)答方所計(jì)算的最小偏移值。使用的格式和時(shí)間分辨率與時(shí)間戳域相同；偏移標(biāo)志：此域給出了應(yīng)答方所估算的最大偏移值的正負(fù)標(biāo)志。采用Big Endian編碼。“0”則表示偏移為正值或空值，“1”表示偏移為負(fù)值；應(yīng)答方估算的最大偏移值：此域給出了應(yīng)答方所計(jì)算的最大偏移值。使用的格式和時(shí)間分辨率與時(shí)間戳域相同。5.4.8.4.9OffsetEnd消息結(jié)構(gòu)如圖16所示。圖16：OffsetEnd消息5.4.8.4.10OffsetEnd消息分為不同的域，分別是：消息類型：5（十六進(jìn)制值）序列號(hào)：消息編號(hào)發(fā)送方時(shí)間戳：此域定義了應(yīng)答方的時(shí)間戳。上一次接收方時(shí)間戳：此域

43、給出了應(yīng)答方上次傳送給發(fā)起方的時(shí)間戳。上一次收到消息時(shí)的時(shí)間戳：此域給出了發(fā)起方上次從應(yīng)答方處接收到消息時(shí)的時(shí)間戳（即OffsetEst消息的接收時(shí)間）。檢查域：此域給出了對(duì)時(shí)鐘偏移值進(jìn)行檢查的結(jié)果。經(jīng)過(guò)比較，如時(shí)鐘偏移值有效，則將檢查域值設(shè)為“1”，如果無(wú)效，則檢查域值設(shè)為“0”。5.4.8.5 時(shí)鐘偏移更新過(guò)程5.4.8.5.1時(shí)鐘偏移更新過(guò)程如圖17所示。圖例說(shuō)明：-Tinit_start和Tres_start：初始化定時(shí)器。如果在收到Offset Answers消息前計(jì)時(shí)終止，則將釋放并重啟安全連接。-TinitX和TresX：發(fā)起方和應(yīng)答方的第X個(gè)時(shí)間戳。-Trescycl和Tini

44、tcycl：應(yīng)答方和發(fā)起方傳送消息的周期。如果非周期性發(fā)送，則此參數(shù)設(shè)為“0”。-Tres_offset_max和Tinit_offset_max：發(fā)起方和應(yīng)答方估算的最大偏移值。-Tres_offset_min和Tinit_offset_min：發(fā)起方和應(yīng)答方估算的最小偏移值。-Toff_max：時(shí)鐘偏移估算值之間的最大差異。-有效/無(wú)效：時(shí)鐘偏移檢查的結(jié)果。圖17：時(shí)鐘偏移更新過(guò)程5.4.8.5.2發(fā)起方通過(guò)發(fā)送OffsetStart消息啟動(dòng)時(shí)鐘偏移更新程序。5.4.8.5.3發(fā)送OffsetStart 消息時(shí)，發(fā)起方啟動(dòng)定時(shí)器Tinit_start。如果Tinit_start終止時(shí)，發(fā)起

45、方仍未接收到OffsetAnsw消息，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.5.4在接收到OffsetStart消息后，應(yīng)答方通過(guò)發(fā)送OffsetAnsw消息進(jìn)行應(yīng)答。5.4.8.5.5發(fā)送OffsetAnsw消息時(shí)，應(yīng)答方啟動(dòng)定時(shí)器Tres_start。如果Tres_start終止時(shí)，應(yīng)答方仍未接收到OffsetAnsw2消息，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.5.6如果發(fā)起方在Tinit_start終止前接收到OffsetAnsw消息，則發(fā)起方對(duì)其與應(yīng)答方之間的時(shí)鐘進(jìn)行最大和最小偏移值的估算。5.4.8.5.7發(fā)起方向應(yīng)答

46、方發(fā)送OffsetAnsw2消息。發(fā)送OffsetAnsw2消息時(shí)，發(fā)起方啟動(dòng)定時(shí)器Tinit_start。如果Tinit_start終止時(shí)，發(fā)起方仍未接收到OffsetEst消息，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.5.8如果應(yīng)答方在Tres_start終止前接收到OffsetAnsw2消息，則應(yīng)答方對(duì)其與發(fā)起方之間的時(shí)鐘進(jìn)行最大和最小偏移值的估算。5.4.8.5.9應(yīng)答方向發(fā)起方發(fā)送OffsetEst消息。發(fā)送OffsetEst消息時(shí)，應(yīng)答方啟動(dòng)定時(shí)器Tres_start。如果Tres_start終止時(shí)，應(yīng)答方仍未接收到OffsetEnd消息，則根據(jù)錯(cuò)誤處

47、理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.5.10如果發(fā)起方在Tinit_start終止前接收到OffsetEst消息，則發(fā)起方對(duì)其與應(yīng)答方分別估算的最大和最小偏移值進(jìn)行檢查。然后，發(fā)起方通過(guò)OffsetEnd消息將檢查結(jié)果發(fā)送給應(yīng)答方。如果檢查中發(fā)現(xiàn)錯(cuò)誤，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.5.11在接收到OffsetEnd消息后，應(yīng)答方將對(duì)時(shí)鐘偏移估算的結(jié)果進(jìn)行檢查。如果檢查中發(fā)現(xiàn)錯(cuò)誤，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.5.12如果時(shí)鐘偏移估算值有效，并且消息為某一方向或雙向周期傳輸，則可以選擇啟動(dòng)一個(gè)T

48、TS周期定時(shí)器。此定時(shí)器非安全相關(guān)，僅用于在早期階段檢測(cè)丟失的周期消息。5.4.8.5.13每接收到一個(gè)消息時(shí)應(yīng)復(fù)位該TTS周期定時(shí)器。如果定時(shí)器結(jié)束時(shí)仍未收到消息，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）進(jìn)行處理。5.4.8.6 時(shí)間戳標(biāo)記和檢查5.4.8.6.1應(yīng)用層之間傳送應(yīng)用數(shù)據(jù)的消息結(jié)構(gòu)如圖18所示。圖18：應(yīng)用數(shù)據(jù)消息5.4.8.6.2此消息分別包括以下數(shù)據(jù)域：Ø 消息類型：6（十六進(jìn)制值）；Ø 序列號(hào)；Ø 發(fā)送時(shí)間戳：定義發(fā)送方的時(shí)間戳；Ø 上一次接收方時(shí)間戳：此域給出接收方上一次傳送給發(fā)送方的時(shí)間戳；Ø 上一次收到消息時(shí)的時(shí)間戳

49、：此域給出上一次從對(duì)等實(shí)體處接收到消息時(shí)的時(shí)間戳；Ø 用戶數(shù)據(jù)：用戶數(shù)據(jù)域。5.4.8.6.3時(shí)間戳原理包括：將發(fā)送方本身的時(shí)間戳列入發(fā)送時(shí)間戳域。將上一次從接收方處接收的時(shí)間戳列入上一次接收方時(shí)間戳域。將發(fā)送方上一次從接收方處接收消息時(shí)的時(shí)間戳列入上一次接收消息時(shí)的時(shí)間戳域。5.4.8.6.4發(fā)送方所發(fā)送的時(shí)間戳消息中的“過(guò)零點(diǎn)”，由接收方處理。5.4.8.6.5TTS的原理如圖19所示。圖19：TTS原理5.4.8.6.6如果時(shí)間戳過(guò)程中出錯(cuò)，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.6.7時(shí)間戳更新程序完成后，時(shí)鐘偏移的最大值和最小值既已確定，并可用

50、于估算應(yīng)用數(shù)據(jù)消息的時(shí)間有效性。5.4.8.6.8發(fā)送方應(yīng)根據(jù)發(fā)送方時(shí)鐘、上次從對(duì)等實(shí)體處接收到的時(shí)間戳以及上次從對(duì)等實(shí)體處接收消息的時(shí)間戳，對(duì)發(fā)送消息進(jìn)行時(shí)間戳標(biāo)記。5.4.8.6.9接收方接收到應(yīng)用數(shù)據(jù)消息時(shí)，應(yīng)使用接收方估算的最小偏移值以及附加處理延遲的估計(jì)值，將消息的發(fā)送時(shí)間按接收方時(shí)鐘進(jìn)行估算。計(jì)算表達(dá)式如下：Treceiver=Ttime_stamp_sender - Textra_delay + Trec_offset_min5.4.8.6.10消息的時(shí)間有效性根據(jù)接收方估算的消息發(fā)送時(shí)間與接收到消息時(shí)的時(shí)間之間的差值（Trec_current - Treceiver）進(jìn)行判斷。

51、5.4.8.6.11如果根據(jù)此差值判斷傳輸數(shù)據(jù)的時(shí)間有效，則表示延遲是可以接受的。時(shí)間有效性由Tmax定義。Tmax為雙方協(xié)定的配置參數(shù)。如果消息的延遲不可接受，則拒絕該消息，并根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.6.12Tmax參數(shù)與對(duì)等實(shí)體發(fā)送數(shù)據(jù)的最大有效時(shí)間相一致。5.4.8.6.13通過(guò)Tmax的值，可以檢測(cè)到傳輸時(shí)間的增大，以及雙方設(shè)備之間的正向時(shí)鐘偏移。5.4.8.6.14差值結(jié)果（Trec_current - Treceiver）應(yīng)為正值。如果為負(fù)值，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.6.15時(shí)間有效性檢查過(guò)程

52、如圖20所示。圖例說(shuō)明：Ttime_stamp_sender：發(fā)送方時(shí)間戳（TTS中發(fā)送方時(shí)間戳域）。Treceiver：根據(jù)接收方時(shí)鐘估算的應(yīng)用數(shù)據(jù)的傳輸時(shí)間。Textra_delay：發(fā)送方子系統(tǒng)處理應(yīng)用數(shù)據(jù)的附加延遲的總和。Trec_offset_min：接收方估算的最小偏移值。Tmax：最大有效時(shí)間。Trec_current：接收到消息時(shí)接收方的當(dāng)前時(shí)間。Tinit：根據(jù)發(fā)起方時(shí)鐘，應(yīng)用數(shù)據(jù)的傳送時(shí)間。圖20：時(shí)間戳計(jì)算5.4.8.7 時(shí)鐘偏移更新5.4.8.7.1時(shí)鐘偏移應(yīng)根據(jù)設(shè)定的時(shí)間，定期進(jìn)行更新。5.4.8.7.2時(shí)鐘偏移更新程序如圖21所示。圖21：時(shí)鐘偏移更新程序5.4.8

53、.7.3時(shí)鐘偏移更新消息的結(jié)構(gòu)與應(yīng)用數(shù)據(jù)消息（無(wú)用戶數(shù)據(jù)域）的結(jié)構(gòu)一致。5.4.8.7.4定時(shí)器Tinit_start用于監(jiān)督執(zhí)行時(shí)鐘偏移更新程序所需的時(shí)間。5.4.8.7.5如果執(zhí)行時(shí)鐘偏移更新程序所需時(shí)間大于Tinit_start值，則表示傳送延遲時(shí)間很長(zhǎng)，不能有效更新時(shí)鐘偏移。5.4.8.7.6如果時(shí)鐘偏移更新失敗，則根據(jù)錯(cuò)誤處理程序（見(jiàn)第5.4.10節(jié)）對(duì)該錯(cuò)誤進(jìn)行處理。5.4.8.7.7在接收到時(shí)鐘偏移更新的應(yīng)答后，發(fā)起方要檢查它是否是對(duì)偏移更新請(qǐng)求的應(yīng)答：該消息中的上一次接收方時(shí)間戳應(yīng)等于偏移更新請(qǐng)求消息中的發(fā)送方時(shí)間戳。5.4.9 EC防御技術(shù)5.4.9.1 總體概述5.4.9.

54、1.1根據(jù)EN 50159-2的要求，應(yīng)用數(shù)據(jù)消息要防護(hù)延遲威脅，EC的安全防御技術(shù)即可用于保護(hù)消息的時(shí)效性。5.4.9.1.2從對(duì)等實(shí)體接收到的每一條消息都含有幀頭，使用幀頭里的EC計(jì)數(shù)可以實(shí)現(xiàn)對(duì)延遲威脅的防護(hù)。5.4.9.1.3EC需要具有固定的周期值。5.4.9.1.4延遲威脅的檢測(cè)通過(guò)對(duì)接收到的消息中的EC計(jì)數(shù)值和本地計(jì)算的EC計(jì)數(shù)期望值進(jìn)行比較實(shí)現(xiàn)。5.4.9.1.5安全防御技術(shù)保障了從上次傳輸消息開(kāi)始指定的時(shí)間區(qū)域內(nèi)傳輸消息（如果應(yīng)用程序沒(méi)有要求的話，不包含應(yīng)用程序數(shù)據(jù)）的有效性，從而將消息傳輸轉(zhuǎn)換為偽周期模式。這樣就可以管理在安全連接另一端的超時(shí)數(shù)據(jù)接收。5.4.9.2 EC計(jì)數(shù)格式5.4.9.2.1EC計(jì)數(shù)使用32位Big Endian編碼方式。5.4.9.2.2EC計(jì)數(shù)的值從0到4294967295。5.4.9.2.3EC計(jì)數(shù)在通信各方向上是獨(dú)立的。5.4.9.2.4EC計(jì)數(shù)的無(wú)須初始化。發(fā)送方發(fā)送第一條消息中的任意EC值接收方都應(yīng)接受。5.4.9.2.5如果EC計(jì)數(shù)值未達(dá)到最大值，EC計(jì)數(shù)將每周期遞增1。5.4.