RSSPII铁路信号安全通信协议(V05).docx

《RSSPII铁路信号安全通信协议(V05).docx》由会员分享，可在线阅读，更多相关《RSSPII铁路信号安全通信协议(V05).docx（113页珍藏版）》请在三一办公上搜索。

1、RSSP-II铁路信号安全通信协议V0.52008年12月CTCS-3级列控系统标准规范1. 修订历史版本号：日期章节号修订/描述作者V0.12008年11月15日全部初稿接口组V0.22008年11月20日全部根据2008.11.17日通号公司讨论意见修改接口组V0.32008年11月27日全部根据2008.11.24日C3组会议讨论意见修改接口组V0.42008年12月26日全部根据2008.12.24日C3组及铁科院、交大、卡斯科等单位讨论意见修改接口组V0.52008年12月31日修改部分文字表述根据2008.11.31日C3组会议讨论意见修改接口组V0.5RSSP-铁路信号安全通信协

2、议第107页2. 目录1.修订历史I2.目录I3.简介13.1目的及范围13.2参考文献13.3术语和定义23.4缩略语24.参考结构44.1综述44.2铁路信号安全设备间安全通信接口44.3各层功能64.3.1安全功能模块（SFM）64.3.2通信功能模块（CFM）74.4传输系统的分类74.5假设75.安全功能模块95.1简介95.2安全功能模块的功能95.3消息鉴定安全层（MASL）115.4安全应用中间子层（SAI）125.4.1概述125.4.2到SAI层服务接口145.4.3到MASL层服务接口155.4.4消息结构155.4.5SAI协议175.4.6消息类型域215.4.7序列

3、号防御技术215.4.8TTS245.4.9EC防御技术375.4.10错误处理455.5数据配置及规则465.5.1简介465.5.2连接初始化规则465.5.3TTS参数定义475.5.4EC参数定义495.5.5错误处理指导505.6TTS示例516.通信功能模块536.1一般规则536.2概述536.2.1一般描述536.3功能特性546.3.1TCP与传输2类服务和协议的对应关系546.3.2服务类别556.3.3A类服务请求566.3.4D类服务请求566.3.5TS用户与TCP间的关系576.3.6传输优先级586.4使用适配层实体进行传输层模拟586.4.1概述586.4.2接

4、口服务定义596.4.3X.214原语对TCP的映射626.4.4寻址646.4.5适配层数据包格式646.5接口协议定义666.5.1运用TCP/IP提供ISO传输2类协议666.5.2ALE操作716.5.3数据传输776.5.4连接释放796.6不同服务类别的实施和冗余管理836.6.1A类服务836.6.2D类服务886.6.3ALEPKT概述906.7适配层管理ALEPKT错误处理916.8底层协议栈936.8.1简介936.8.2TCP参数协商（强制性）936.8.3网络服务定义946.8.4网络协议946.9适配层配置与管理946.9.1总则946.9.2定时器参数946.9.3

5、呼叫与ID管理（适配层和TCP）947.资料性附录957.1TCP参数协商957.1.1TCP服务选项957.2地址映射967.3数据链路层987.3.1以太网987.3.2介质访问控制987.3.3广域连接987.4密钥管理987.4.1范围987.4.2密钥管理概念和原理997.4.3KMS的各个阶段和参与方997.4.4一般原则1007.4.5密钥层级1017.4.6密钥分配1027.4.7基本的KM功能1027.4.8缩略语与定义1047.5校验和结果实例1063. 简介3.1 目的及范围3.1.1.1.1本文件规定了信号安全设备之间通过封闭式网络或开放式网络进行安全相关信息交互的功能

6、结构和协议。3.1.1.1.2本规范适用于铁路信号安全设备之间的安全通信接口。3.2 参考文献1EN 50159-1Railway applications Communication, signalling and Processing systems Part 1: Safety-related communication in closed transmission systems铁道应用：封闭式传输系统中安全通信要求2EN 50159-2Railway applications Communication, signalling and Processing systems Part

7、2: Safety-related communication in open transmission systems铁道应用：封闭式传输系统中安全通信要求3科技运2008 127号CTCS-3级列控系统系统需求规范（SRS）4科技运2008 34号CTCS-3级列控系统总体技术方案5CTCS-3级列控系统无线通信接口规范6ERTMS/ETCS Subset-038离线密钥管理FIS，v2.1.117ERTMS/ETCS Subset-039RBC/RBC移交FIS，v2.1.28ERTMS/ETCS Subset-108ETCS/ERTMS 1级，TSI附录A，v1.1.09ITU-T X

8、.214信息技术，开放系统互联，传送服务定义10ITU-T X.224信息技术，开放系统互联，提供OSI连接模式的传送协议11RFC0791网络协议V412RFC2460网络协议V613RFC0793传输控制协议V414ISO/IEC 3309信息技术系统间的通信和信息交换高级数据链路控制程序（HDLC）框架结构3.3 术语和定义本文件中使用了标准EN 50159-1和EN 50159-2的定义，并附加使用了以下术语。应用处理：描述通信关系的应用层实体。执行周期：处理周期以及与其相关的递增计数（基于计算机的恒定处理周期）。密钥管理规范的缩略语和定义包含在本规范的资料性附录中。3.4 缩略语缩略

9、语含义ALE适配及冗余管理层实体ALEPKTALE数据包，ALE之间交换的PDUApPDU应用PDUCFM通信功能模块EC执行周期IP网际协议MASL消息鉴定安全层PDU协议数据单元QoS服务质量SaCEPID安全连接端点识别符SAI安全应用中间子层SAP服务接入点SaPDU安全协议数据单元SaS安全服务SFM安全功能模块SL安全层SN序列号TCEPID传输连接端点识别符TCP传输控制协议TPDU传输协议数据单元TS传输服务TSAP传输服务接入点TTS三重时间戳4. 参考结构4.1 综述4.1.1.1.1封闭式网络在EN50159-1中定义为：“可连接设备的最大数量和拓扑结构已知的，传输系统的

10、物理特征是固定的传输系统，并可以忽略未授权访问的风险。”4.1.1.1.2开放式网络在EN50159-2中定义为：“连接设备数量未知的传输系统，它拥有未知的、可变的且非置信的特征，用于未知的通信服务，对此系统应评估未经授权的访问。”4.1.1.1.3这两种网络类型都应被考虑。4.1.1.1.4安全通信系统间的总体结构（根据EN50159-2）如图1所示。图1：安全通信系统的总体结构4.2 铁路信号安全设备间安全通信接口4.2.1.1.1本节描述安全通信系统的功能结构，对内层实现不作限制。不应将其理解为对软件实现的要求。4.2.1.1.2铁路信号安全设备之间安全通信接口采用分层结构。该接口规范所

11、包含的各层如图2中阴影部分所示。图2：安全通信系统的结构4.2.1.1.3安全信息传输的应用协议见各安全设备间应用层协议，不属于本规范范围。4.2.1.1.4经由非安全低层传输的安全相关信息需要在安全层中进行处理。消息鉴定安全层（MASL）参照文献5制定，在MASL层的基础上增加安全应用中间子层（SAI）。4.2.1.1.5适配及冗余管理层（ALE）提供MASL层和传输层之间的适配和冗余处理。4.2.1.1.6传输层协议参见TCPRFC0793。重发功能由TCP的常规机制来提供。4.2.1.1.7网络层协议参见IPRFC0791。4.2.1.1.8本规范不对数据链路层作规定。4.2.1.1.9

12、本规范不对物理层作规定。4.2.1.1.10操作和维护（O&M）属于具体实施的范畴，本规范不作规定。4.3 各层功能4.3.1 安全功能模块（SFM）4.3.1.1.1本模块提供的安全层必须能够对EN 50159-1和EN 50159-2中列出的威胁进行检测并提供充分的防护。4.3.1.1.2安全层实现以下安全相关的传输功能。 消息的真实性（源地址和目的地址）； 消息的序列完整性； 消息的时效性； 消息的完整性； 安全错误报告； 配置管理（安全设备间的安全通信协议栈）； 访问保护。4.3.1.1.3MASL层提供以下功能： 消息的真实性（源地址和目的地址）； 消息的完整性； 访问保护。4.3.

13、1.1.4SAI层提供所需的其他安全相关的传输功能。4.3.1.1.5序列错误防护通过在用户数据中增加序列号实现。4.3.1.1.6消息时效性防护通过在用户数据中增加TTS或者EC计数实现。4.3.1.1.7EC和TTS对消息时延具有相同的防护等级。4.3.1.1.8TTS和EC计数仅允许一项有效，具体实施中由通信双方协商决定。4.3.2 通信功能模块（CFM）4.3.2.1.1通信功能模块提供非置信的传输。4.3.2.1.2此模块提供以下功能： MASL层和传输层之间的适配； 冗余功能，以满足系统可用性需求； 数据的可靠、透明和双向传输； 必要时协议数据单元的重传； 通道可用性监测。4.4

14、传输系统的分类4.4.1.1.1为了使本规范具有通用性，不对开放式传输系统类别作限定。本规范参考具有最高安全风险级别的开放式传输系统类别7参见EN 50159-2来制定。4.5 假设4.5.1.1.1设定条件如下： 对文献5中规定的“高优先级”消息不作要求； 目前对多路复用技术不作要求，但是该项功能可以通过在每个逻辑连接中使用一条TCP链路来实现； 非显式流量控制； SFM检测出的安全相关错误可能在SAI层之外进行处理； 用户数据长度不超过1000 字节。5. 安全功能模块5.1 简介5.1.1.1.1本节规定安全功能模块（SFM）。5.1.1.1.2本节仅描述相关的功能接口，以确保在安全功能

15、模块层面的互联。5.1.1.1.3安全功能模块的组成： MASL层； SAI层。5.1.1.1.4通过这两层结合将对EN 50159-2文件中所定义的威胁提供全面的防护。5.2 安全功能模块的功能5.2.1.1.1安全功能模块提供同开放式传输系统类别7相适应的安全服务。5.2.1.1.2本节规定了在安全功能模块中防护技术的具体实现。5.2.1.1.3根据EN 50159-2标准，对于一般的传输系统而言，所有可能的威胁如下（参见EN 50159-2的定义）： 重复； 删除； 插入； 重排序； 损坏； 延迟； 伪装。5.2.1.1.4为了减少标准中定义的威胁风险，安全功能模块应提供以下的安全服务（

16、参见EN 50159-2的定义）： 消息的真实性； 消息的完整性； 消息的时效性； 消息的有序性。5.2.1.1.5MASL层和SAI层的结合为开放式传输系统提供了一种安全保护措施。5.2.1.1.6MASL层可以预防以下威胁： 损坏； 伪装； 插入。5.2.1.1.7通过添加安全码（消息验证码MAC）和连接标识符（源和目的地标识符）提供防护。5.2.1.1.8SAI层可以预防以下威胁： 延迟； 重排序； 删除； 重复。5.2.1.1.9通过添加延迟防御技术（EC或TTS）和序列号（SN）提供保护。5.2.1.1.10安全功能模块提供的保护如表1所示。表1：安全功能模块的防御技术威胁防御序列号

17、SNTTS或EC超时反馈信息源和目的地标识符消息识别过程安全码加密技术重复X删除X插入X重排序X损坏X延迟X伪装X5.3 消息鉴定安全层（MASL）5.3.1.1.1MASL层由文献5规定。5.3.1.1.2MASL层参照文献5，但是不使用其中的高优先级数据业务。所有的数据传输均应使用正常的数据业务来进行。5.3.1.1.3表2规定SAI-MASL接口的SaS原语参数的使用。表2：SaS原语参数参数文献5SFM的使用说明地址类型5.2.如果需要的话，可以使用网络地址5.2.如果使用，可用于识别被叫方的32位目的IP地址和16位目的TCP端口号移动网络ID5.2.不使用主叫CTCS ID 类型5

18、.2.主叫安全设备CTCS ID类型主叫CTCS ID5.2.用于初始化连接的主叫CTCS ID 被叫CTCS ID类型5.2.被叫安全设备CTCS ID类型被叫CTCS ID5.2.用于接受连接请求的被叫CTCS ID 应用类型5.2.参见文献5中定义的应用类型服务质量类型5.2.QoS域用于表示建立连接的服务类型。服务类型A和服务类型D可供使用SaCEPID5.2.由本地提供用来辨识各个安全连接的参数5.3.1.1.4由本地实现SAI层和MASL层之间的接口。5.3.1.1.5表3规定了安全信号设备间安全通信接口中MASL层的配置：表3：MASL层的配置参数文献5SFM值说明SaS用户数据

19、的最大长度5.3.1000字节Testab7.2.5.3最大应用值：40秒推荐值为40秒，对于安全信号设备间的通信可能采用更低值5.4 安全应用中间子层（SAI）5.4.1 概述5.4.1.1.1安全应用中间子层提供：通过序列号和TTS/EC计数对数据进行保护； 到应用层接口； 到MASL层接口。5.4.1.1.2通过给用户数据添加一个序列号域，防止数据的重复、删除和重排序。5.4.1.1.3通过给用户数据添加TTS或EC计数防止数据延迟。5.4.1.1.4时间戳的防御技术基于发送方和接收方之间时钟偏移的计算。5.4.1.1.5为了发送方和接收方依据执行初始化程序对时钟偏移进行估算，需要在SA

20、I帧头中定义初始化过程的消息类型。5.4.1.1.6对于由发送方发送给接收方的消息，通过添加以下字段构成TTS： 数据传输时的发送方时间戳； 发送方接收的上一条消息中的接收方时间戳； 发送方接收上一条消息时的发送方时间戳。5.4.1.1.7TTS信息如图3所示。图3：时间戳信息5.4.1.1.8当不使用TTS的方法时，选择EC防御技术。EC防御技术通过在用户数据上添加EC计数来检查消息的寿命。5.4.1.1.9EC防御技术也要求有一个初始化过程。在此过程中，每一个通信实体的EC值被发送给对等实体。5.4.1.1.10EC和TTS的防御技术是相互排斥的。5.4.2 到SAI层服务接口5.4.2.

21、1.1 SFM通过安全服务接入点上的安全服务原语及其相应的参数，提供安全服务。5.4.2.1.2 SAI层仅提供功能规范，而原语的实施由本地提供，不会影响安全设备的互通。5.4.2.1.3SAI层连接建立服务： SAI-CONNECT.request：用户要求SAI建立连接； SAI-CONNECT.indication：被叫SAI实体收到连接请求后通知被叫SAI用户； SAI-CONNECT.response：应答SAI用户用来接受到SAI实体的连接； SAI-CONNECT.confirm：主叫SAI实体获得被叫对等实体的响应后向主叫SAI用户报告SAI连接成功建立。5.4.2.1.4SA

22、I数据传输服务： SAI-DATA.request：SAI用户用来向对等实体传输应用数据； SAI-DATA.indication：向SAI用户表示来自对等实体数据已成功接收。5.4.2.1.5SAI连接释放服务： SAI-DISCONNECT.request：SAI用户强制释放SAI连接； SAI-DISCONNECT.indication：用来通知SAI用户SAI连接释放。5.4.3 到MASL层服务接口5.4.3.1 SAI层实现的功能在MASL层之上。5.4.3.2 MASL层的应用约束了SAI层的设计，因此为了能适配MASL层，SAI层应能够与文献5中规定的“安全服务接口”适配。5.

23、4.4 消息结构5.4.4.1.1消息结构如图4所示。图4：消息结构5.4.4.1.2消息类型决定SAI帧头结构。5.4.4.1.3应考虑到两种不同情况： SAI帧头适用于安全数据的传输（参见文献5）； 仅MASL层用于安全连接管理。5.4.4.1.4就安全数据传输而言，由SAI层添加的帧头结构如图5/图6所示。图5：使用TTS时的SAI帧头结构图6：使用EC时的SAI帧头结构5.4.4.1.5SAI层的所有域均使用Big Endian方式编码。5.4.4.1.6“消息类型”域用于识别消息类型，使用一个字节进行编码。5.4.4.1.7“序列号”域用于定义消息顺序号，使用两字节编码。5.4.4.

24、1.8如果使用了TTS，“发送方时间戳”域应填写消息传送至本地MASL层实体时的发送方时间戳。发送方时间戳使用四个字节编码。5.4.4.1.9如果使用了TTS，“上一次接收方时间戳”域应填写由“接收方”产生，从接收方传输给发送方的最后一个消息的时间戳，OffsetStart信息除外（见5.4.8.4）。本时间戳使用四个字节编码。5.4.4.1.10如果使用了TTS， “上一次的消息接收时间戳”域应填写由本地MASL层实体上传上一条消息时的本地时间戳，OffsetStart信息除外（参见5.4.8.4）。本时间戳使用四个字节编码。5.4.4.1.11只有使用EC防御技术时，才使用“EC计数”域，

25、并出现在帧头中。5.4.4.1.12EC计数使用四字节编码。5.4.4.1.13EC防御技术和TTS防御技术互相排斥，若使用EC防御技术，则与TTS防御技术相关的域将不被检查，此时“TTS”域所有字段的值应被设为0。5.4.5 SAI协议5.4.5.1 连接过程5.4.5.1.1两个设备之间的连接过程如图7所示。图7：SAI 连接过程5.4.5.1.2SAI服务原语应被映射到SA服务原语上，以用于连接建立。5.4.5.2 断开连接过程5.4.5.2.1两个设备之间的连接断开过程如图8所示。图8：断开连接过程5.4.5.2.2SAI服务原语应被映射到SA服务原语上，以用于连接断开。5.4.5.3

26、 应用数据交互过程5.4.5.3.1以下过程用来描述如何传输应用数据消息。5.4.5.3.2通过使用SAI-DATA.request，应用层应能够将数据发送至对等实体（见文献5）。5.4.5.3.3通过使用SAI-DATA.request，SAI层应能够识别所连接的SaCEPID。5.4.5.3.4在SAI帧头中，SAI层应在应用数据上增加： 应用数据交互的消息类型； 序列号； TTS域。如果使用EC防御技术，则TTS设为“0”； EC计数及其版本（仅在使用EC防御技术时）。5.4.5.3.5SAI层通过使用Sa-DATA.request原语，将其处理完的数据传送至MASL。Sa用户数据参数由

27、消息类型，序列号，TTS域和EC域连接组成。只有使用EC防御技术时，EC域才会出现。5.4.5.3.6以下过程用来描述如何接收应用数据消息。5.4.5.3.7MASL层可以使用Sa-DATA.indication将数据传送至SAI层处理，并由SAI层传送到应用层。5.4.5.3.8Sa-DATA.indication应提供SaCEPID。5.4.5.3.9Sa用户数据参数由下列部分组成： 应用数据的消息类型； 序列号； TTS域。如果使用EC防御技术，则时间戳设为“0”； EC计数（仅在使用EC防御技术时）。5.4.5.3.10“消息类型”应属于为应用数据交互而定义的消息类型之一。5.4.5.

28、3.11SAI应在EC计数或TTS检查前对序列号进行检查。5.4.5.3.12如果使用EC防御技术，则无须检查TTS域，而只须检查EC域。5.4.5.3.13如果使用TTS防御技术，则必须检查TTS域。5.4.5.3.14 若以上所有检查均成功执行，则应使用SAI-DATA.indication将应用数据和SaCEPID传送至应用层。5.4.5.3.15应用数据交互如图9所示。图9：应用数据交互过程5.4.5.4 SAI管理消息5.4.5.4.1SAI执行某些特定程序，通过TTS或EC计数确保对消息的防护（见第5.4.8.5节，5.4.8.7节，5.4.9.3节和5.4.9.6节）。在执行此类

29、程序期间，双方SAI层之间应交互SAI管理消息。5.4.5.4.2SAI管理消息通过消息类型域的特定值或无任何应用数据的消息进行识别。5.4.5.4.3SAI管理信息应通过Sa-DATA.request和Sa-DATA.indication原语在SAI层之间进行交换。5.4.5.4.4SN，TTS和EC域应采用和应用数据交互过程相同的处理方式。5.4.5.4.5在消息传输中，根据管理消息的类型选择消息类型域值。用户数据是来自应用层还是由SAI自行计算，这取决于管理消息的类型。如果没有任何应用数据被传送至对等应用层，则SAI层会为管理消息选择适当的SaCEPID。5.4.5.4.6SAI应根据接

30、收的管理消息类型，决定用户数据是由SAI自行处理，或将SaCEPID和应用数据一起传送至应用层。5.4.6 消息类型域5.4.6.1.1共定义10种消息类型，其中，TTS防御技术中使用的消息类型有6种，EC防御技术中使用的消息类型有4种。5.4.6.1.2TTS防御技术中使用的消息类型如下所示：OffsetStart消息（用于时钟偏移估算的第1个消息）：1OffsetAnsw1消息（用于时钟偏移估算的第2个消息）：2OffsetAnsw2消息（用于时钟偏移估算的第3个消息）：3OffsetEst消息（用于时钟偏移估算的第4个消息）：4OffsetEnd消息（用于时钟偏移估算的第5个消息）：5使

31、用TTS保护的应用消息： 65.4.6.1.3EC防御技术中使用的消息类型如下所示（十六进制）：EC起始消息： 81使用EC保护的应用消息：86使用EC保护并请求应答的应用消息：87使用EC保护并含有应答确认的应用消息：885.4.7 序列号防御技术5.4.7.1.1序列号以2字节进行编码（Big Endian）。5.4.7.1.2序列号值从0到65535。5.4.7.1.3每一个通信方向上的序列号应该是独立的。5.4.7.1.4对序列号不作初始化要求。对于从对等实体处接收到的第一个序列号，接收方不做检查。5.4.7.1.5接收方无须检查接收到的第一条消息的序列号，只需对后续的消息检查其序列号

32、与上一个序列号之间的差异。5.4.7.1.6如果序列号值未达到最大值，则在此传输方向上的下一条消息序列号加1。5.4.7.1.7一旦序列号值达到最大值，则下一条传输消息的序列号设为“0”。5.4.7.1.8两个设备间的消息编号如图10所示。图10：消息编号5.4.7.1 序列号错误5.4.7.2.1序列号可检测到下列错误： 消息重复； 消息删除； 消息重排序。5.4.7.2.2一旦检测到错误，SAI不能采取任何措施恢复丢失的数据。5.4.7.2.3为消息序列检查而定义参数N。N-1是代表允许丢失消息的数量。需要配置N值，N值等于或大于1。5.4.7.2.4如果接收到的SN不等于上次接收消息的S

33、N1，则被认为是消息序列错误。5.4.7.2.5如果接收到的SN大于上次接收消息的SNN，则应丢弃此消息，并释放安全连接。5.4.7.2.6如果接收到的SN大于上次接收消息的SN1，并小于或等于SNN，则不应丢弃此消息中的应用数据，并根据规定的错误处理方式（见第5.4.10.1.2节）来处理这一事件。5.4.7.2.7如果接收到的SN小于或等于上次接收消息的SN，则应丢弃此消息。5.4.7.2.8需要根据SAI错误处理程序（见第5.4.10节）对序列号错误作出相应反应。5.4.7.2.9图11说明当发生重复消息，删除消息或重排序消息时，SN防御技术所采取的行为。假定N3，则允许丢失消息的数量为

34、0，1或2。图11：序列错误5.4.8 TTS5.4.8.1 简介5.4.8.1.1时间戳处理过程基于发送方和接收方之间的时钟偏移估算。通信双方应在建立安全连接后和交换应用数据前，初始化时钟偏移估算。5.4.8.1.2两个设备之间的时钟偏移估算值一旦确定，就能够以一种安全的方式估算应用数据的时间有效性，而无须对远程设备当前周期和（或）网络特性作任何设定。5.4.8.1.3时间戳调整过程（即时钟偏移更新过程）由两个设备之间5条消息的交换组成。通过该过程，每个设备都能估算它的内部时钟和对等设备内部时钟之间的时钟偏移。5.4.8.1.4所有应用消息都要标记TTS。5.4.8.1.5第2和第3个时间戳

35、仅用于计算和更新时钟偏移估算值。第1个时间戳不仅用于估算和更新时钟偏移，也用于计算应用数据的时间有效性。5.4.8.1.6接收到消息后，接收方利用时钟偏移估算值，将发送方所传送的时间戳调整为接收方时钟，然后再计算应用数据的时间有效性。5.4.8.1.7发送方所发送的时间戳消息中的“过零点”，由接收方处理。5.4.8.1.8要定期使用时钟偏移更新程序，对两个系统之间的时钟偏移估算值进行更新。5.4.8.2 TTS格式5.4.8.2.1时间戳以32位Big Endian进行编码。5.4.8.2.2TTS最低有效位的时间值等于10 ms。5.4.8.3 时钟偏移估算原理5.4.8.3.1时钟偏移估算

36、值一旦确定，一个设备就能够对其本身与对等设备之间所交换消息的时间有效性进行估算。5.4.8.3.2在安全连接初始化时进行时钟偏移估算。时钟偏移更新程序应在第一条应用消息交互前执行。5.4.8.3.3由发起安全连接的设备启动时钟偏移更新程序。5.4.8.3.4通过两个实体之间5个消息的交换来估算时钟偏移。发起时钟偏移更新程序的实体被称为“发起方”，而另一个实体被称为“应答方”。5.4.8.3.5发起方使用前2个消息来计算两个设备之间的最大和最小时钟偏移。5.4.8.3.6应答方使用第2和第3个消息来计算两个设备之间的最大和最小时钟偏移。5.4.8.3.7第4和第5个消息用来验证时钟偏移估算值的有

37、效性。5.4.8.4 时钟偏移更新消息5.4.8.4.1OffsetStart消息结构如图12所示。图12：OffsetStart消息5.4.8.4.2OffsetStart消息分为不同的域，分别是：消息类型：1（十六进制值）；序列号；发送方时间戳：此域定义了进行时钟偏移估算的发起方时间戳；上一次接收方时间戳：此域给出了上一次应答方传送给发起方的时间戳。由于没有之前应答方给出的时间戳，设为“0”；上一次收到消息时的时间戳：此域给出了上一次从应答方处接收到消息时的时间值。由于没有之前应答方给出的应用消息，此值设为“0”；发起方周期：此域给出了发起方向应答方进行周期性传送消息的传送周期。如果消息不

38、是周期性传送，则将此值设为“0”。“发起方周期”使用的格式和时间分辨率与时间戳域相同。5.4.8.4.3OffsetAnsw1消息结构如图13所示。图13：OffsetAnsw1消息5.4.8.4.4OffsetAnsw1消息分为不同的域，分别是：消息类型：2（十六进制值）；序列号；发送时间戳：此域定义了应答方的时间戳；上一次接收方时间戳：此域给出了发起方上次传送给应答方的发起方时间戳；上一次收到消息时的时间戳：此域给出了应答方接收到时钟偏移更新过程的第一个消息时的应答方时间戳；应答方周期：此域给出了应答方向发起方进行周期性传送消息的传送周期。如果消息不是周期性传送，则将此值设为“0”。 应答

39、方周期使用的格式和时间分辨率与时间戳域相同。5.4.8.4.5OffsetAnsw2消息结构如图14所示。图14：OffsetAnsw2消息5.4.8.4.6OffsetAnsw2消息分为不同的域，分别是：消息类型：3（十六进制值）；序列号；发送方时间戳：此域定义了发起方的时间戳；上一次接收方时间戳：此域给出了应答方上次传送给发起方的时间戳；上一次收到消息时的时间戳：此域给出了发起方上次从应答方处接收消息时的时间戳（即OffsetAnsw1消息的接收时间）。5.4.8.4.7OffsetEst消息结构如图15所示。图15：OffsetEst消息5.4.8.4.8OffsetEst消息分为不同的

40、域，分别是：消息类型：4（十六进制值）；序列号；发送方时间戳：此域定义了应答方的时间戳；上一次接收方时间戳：此域给出了发起方上次传送给应答方的发起方时间戳；上一次收到消息时的时间戳：此域给出了应答方接收到的时钟偏移更新过程的第3个消息时的时间戳；偏移标志：此域给出了应答方所估算的最小偏移值的正负标志。采用Big Endian编码。“0”则表示偏移为正值或空值，“1”表示偏移为负值；应答方估算的最小偏移值：此域给出了应答方所计算的最小偏移值。使用的格式和时间分辨率与时间戳域相同；偏移标志：此域给出了应答方所估算的最大偏移值的正负标志。采用Big Endian编码。“0”则表示偏移为正值或空值，“

41、1”表示偏移为负值；应答方估算的最大偏移值：此域给出了应答方所计算的最大偏移值。使用的格式和时间分辨率与时间戳域相同。5.4.8.4.9OffsetEnd消息结构如图16所示。图16：OffsetEnd消息5.4.8.4.10OffsetEnd消息分为不同的域，分别是：消息类型：5（十六进制值）序列号：消息编号发送方时间戳：此域定义了应答方的时间戳。上一次接收方时间戳：此域给出了应答方上次传送给发起方的时间戳。上一次收到消息时的时间戳：此域给出了发起方上次从应答方处接收到消息时的时间戳（即OffsetEst消息的接收时间）。检查域：此域给出了对时钟偏移值进行检查的结果。经过比较，如时钟偏移值有

42、效，则将检查域值设为“1”，如果无效，则检查域值设为“0”。5.4.8.5 时钟偏移更新过程5.4.8.5.1时钟偏移更新过程如图17所示。图例说明：-Tinit_start和Tres_start：初始化定时器。如果在收到Offset Answers消息前计时终止，则将释放并重启安全连接。-TinitX和TresX：发起方和应答方的第X个时间戳。-Trescycl和Tinitcycl：应答方和发起方传送消息的周期。如果非周期性发送，则此参数设为“0”。-Tres_offset_max和Tinit_offset_max：发起方和应答方估算的最大偏移值。-Tres_offset_min和Tinit

43、_offset_min：发起方和应答方估算的最小偏移值。-Toff_max：时钟偏移估算值之间的最大差异。-有效/无效：时钟偏移检查的结果。图17：时钟偏移更新过程5.4.8.5.2发起方通过发送OffsetStart消息启动时钟偏移更新程序。5.4.8.5.3发送OffsetStart 消息时，发起方启动定时器Tinit_start。如果Tinit_start终止时，发起方仍未接收到OffsetAnsw消息，则根据错误处理程序（见第5.4.10节）对该错误进行处理。5.4.8.5.4在接收到OffsetStart消息后，应答方通过发送OffsetAnsw消息进行应答。5.4.8.5.5发送OffsetAnsw消息时，应答方启动定时器Tres_start。如果Tres_start终止时，应答方仍未接收到OffsetAnsw2消息，则根据错误处理程序（见第5.4.10节）对该错误进行处理。5.4.8.5.6如果发起方在Tinit_start终止前接收到Offset