[发明专利]一种铁路信号系统安全通信连接动态切换方法

权利要求书

1.一种铁路信号系统安全通信连接动态切换方法，其特征在于，包括：

CTC接口主机与SIL4设备建立安全通信连接传输应用数据，之后CTC接口主机将安全连接的状态按照分层管理的思想，逐层提炼出关键的有限状态机标识符以及相应的状态字数据，组成带时间戳的安全状态同步数据，并传输给CTC接口备机；

CTC接口备机接收带时间戳的安全状态同步数据后，依照时间戳及数据内容将本地安全连接的各个分层按照由低到高逐层同步，使CTC接口备机形成一个伪安全连接状态，同时，CTC接口备机在此基础上处理从SIL4设备接收到的数据，利用接收的数据对伪安全连接状态进行辅助性校验；

当CTC接口机主备切换时，原CTC接口主机作为新的CTC接口备机，自动降为伪安全连接状态，原CTC接口备机作为新的CTC接口主机，在伪全连接的基础上，主动触发校准机制，向SIL4系统发送安全连接的校准信息，对安全连接进行重新校准，从而实现CTC接口主备机安全层的无缝切换；

CTC接口主机及备机、以及SIL4设备的主机的层次对等建立结构完全相同，从低至高依次为：适配及冗余管理层ALE、消息安全鉴定层MASL、安全应用中间子层SAI、以及应用层；

CTC接口备机由低到高逐层同步的过程包括：

适配及冗余管理层同步，包括：CTC接口备机按照接收带时间戳的安全状态同步数据，更新CTC接口备机的适配及冗余管理层的数据包序号相关标志，同时对收到的来自SIL4设备的数据进行处理；数据处理时，只处理SIL4设备的适配及冗余管理层发来的ALE层数据包DT与中断消息DI；其中，对中断消息DI按照正常逻辑处理，对每一条通道单独处理，自上而下的对安全连接中断重连；对ALE层数据包DT，按照不同的网段、以及对端SIL4设备的主备机状态，逐条通道进行处理，同步检查本地适配及冗余管理层的收到数据序号与CTC接口主机同步是否一致；对CTC接口主机同步来的SN大于收到的来自SIL4设备的SN时，抛弃收到的数据，以CTC接口主机同步来的序号为准；对CTC接口主机同步来的SN小于等于本地的SN时，且在设定阈值范围时，以本地的SN为准，以相应SN进行适配及冗余管理层层逻辑检查，检查通过后转至消息安全鉴定层由它进行继续上一层的辅助校验；

消息安全鉴定层同步，包括：CTC接口备机的消息安全鉴定层的有限状态机按照CTC接口主机的消息安全鉴定层有限状态机进行同步，对自身适配及冗余管理层接收的数据，仍维持原有的安全策略检查，通过后，以相应数据对消息安全鉴定层的有限状态机进行辅助校核，维持相应有限状态机的持续运转；

安全应用中间子层同步，包括：利用CTC接口主机的安全状态同步数据，对EC相关数据进行同步：EC计数值的所有标志位，按照安全状态同步数据中的时钟戳进行同步；对安全应用中间子层的状态机进行同步：按照CTC接口主机的有限状态机进行同步，保持相同的有限状态机状态；对传输延迟检查是否开启及状态等进行同步：按照CTC接口主机的当前设置状态进行同步设置。

2.根据权利要求1所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，所述CTC接口主机及备机与SIL4设备通过RSSP-II安全协议进行通信，双方之间的安全通信连接在建立时采用分层方式，上一层的状态依赖下一层状态的建成及维持，下一层的状态需要上一层去驱动触发；其中，CTC接口主机及备机、以及SIL4设备的主机及备机均通过多条TCP通道与各自的适配及冗余管理层连接。

3.根据权利要求2所述的一种铁路信号系统安全通信连接动态切换方法，其特征在于，所述适配及冗余管理层收发的数据类型包括：发起方申请AU1、应答方反馈AU2、ALE层数据包DT、中断消息DI；ALE层对接收到的数据进行初步的包类型判断、序号检查、及ID判断，并形成相应的服务原语，每一个服务原语有不同的类型，封装了不同类型的数据，送往消息安全鉴定层处理，由消息安全鉴定层L层进行判断继续处理；

对外要发送的数据是由消息安全鉴定层驱动发出；安全连接初次启动时，CTC接口主机的消息安全鉴定层会要求适配及冗余管理层主动发送AU1申请建立安全连接；

当适配及冗余管理层会多条TCP通道均收到相同的数据时，进行序号冗余检查，依据序号处理最新的数据，其他序号相同或序号不合法的冗余数据抛弃不处理。