一种基于组播报文的安全协议性能分析方法*

刘 娜

(辽宁经济职业技术学院,110122,沈阳∥讲师)



一种基于组播报文的安全协议性能分析方法*

刘 娜

(辽宁经济职业技术学院,110122,沈阳∥讲师)

区域控制中心(ZC)子系统内部安全协议是基于通信的列车控制(CBTC)系统成败的关键。设计了ZC内部安全协议组播发送方式及确认机制,提出了组播报文的安全确认流程。利用网络仿真工具(OPNET)建立安全协议多线程模型,根据ZC的实际运行情况对通信过程进行仿真,结果表明组播发送方式减小了近50%的通信延时。

轨道交通; 基于通信的列车控制系统; 安全协议; 组播报文

Author′s address Liaoning Economic Vocational Technological Institute,110122,Shenyang,China

在基于通信的列车控制(CBTC)系统中,区域控制器(ZC)向列车直接下达移动授权(MA)是重要的行车运行安全防护措施。基于2×2取2冗余结构的ZC安全平台内部的安全协议是确保系统正常运行的关键因素[1]。

为了降低成本和缩短研发周期,通常选择在价格低廉的现货供应商品(COTS)上构建故障安全硬实时通信网络[2]。然而,以太网等COTS网络的通信时间缺乏确定性,同时也缺乏能保障消息可靠传输的可靠性机制,需要在不可信传输设备上增加安全相关传输功能,并保证报文最大延时满足安全时限。

文献[3]设计了一种时间触发以太网(time-triggered ethernet),利用发送时间窗口概念来协调各个发送节点,避免冲突,减小了报文的平均延时。文献[4]还分析了COTS以太网作为安全关键实时网络的可行性,但他们都是在基于碰撞检测机制的共享式以太网上建立时间触发协议。协议中的仲裁机制在减小冲突和提高通信确定性的同时,也降低了传输效率。存储转发式以太网不再受限于冲突,明显地减小了报文的延时,更加适合应用于工业实时网络[5]。文献[7]利用模型检验工具(SPIN)对安全通信协议进行形式化建模,验证了安全协议不存在死锁与活锁,且满足时序逻辑公式描述的安全属性,但是缺乏对安全协议通信延时等性能的分析[6]。文献[7]设计了基于交换式以太网的适合ZC内部冗余结构的安全协议,但缺乏组播报文的相关设计和分析。为了提高通信效率,本文对该协议进行扩展,设计有关组播报文的安全确认机制,并通过仿真对组播报文的性能进行分析。

1 ZC内部网络安全协议

1.1 ZC子系统内部网络拓扑结构及协议层次

ZC子系统包含2个通信控制器和4个主机,以星型拓扑的形式相连接。交换式以太网传输速率为100 Mbit/s,节点发送数据时不再受限于CSMA/CD协议[8]。为了提高协议效率,同时满足安全需求,选择在不可信传输层UDP协议上增加安全相关功能[9],其层次如图1所示。

图1 安全协议层次结构

分组帧模块负责将超长应用报文进行分帧和组帧,安全时间模块负责根据内网报文类型和时间戳来判断报文的时间安全性。序列号、CRC校验、源目的地址标识等安全技术是安全链路层检查报文合法性的手段。安全协议规定[10]接收方收到数据报文后,需要根据报文目的地址判断合法性,如果报文合法则回复ACK报文,发送方接收到ACK确认之

后确认数据报文已经安全到达。发送方发送报文后,需等待接收方返回的ACK确认消息,超时未收到则重新发送,从而实现对内网报文的选择重传。

1.2 组播报文的安全应答方式设计

组播是将1个分组的多个拷贝发送给所有可能目标地址的选定子集的技术。VxWorks操作系统传输层UDP协议的Socket相关API函数支持组播功能。接收方通过调用相应API函数将自身IP地址加入到1个组播组,发送方将报文发送到这个组播组后,事先加入到该组中的所有接收方均可收到相同的报文。

CBTC系统运行过程中,ZC子系统管辖范围内的车载控制器(VOBC)子系统周期性地向ZC发送位置报告等报文。这些外网报文发送到ZC的2×2取2安全计算机平台的通信控制器上,转化成内网报文后,再由通信控制器通过点对点的方式向4个主机发送,这一过程可用组播方式优化。

图2给出了组播报文应答过程的统一建模语言(UML)描述。通信控制器接收到外网报文后,用1个组播报文将这个外网报文转发给4个主机,并启动重传计时器。主机收到组播报文并验证目的地址合法性之后,需向通信控制器回复ACK应答报文。规定在5 ms之内,通信控制器应能收齐全部4个应答报文,并取消重传计时器,超时未收到则需采用点对点的通信方式进行选择重传。

图2 组播报文的点对点重传过程

2 ZC内部网络通信协议建模

2.1 层次化模型架构

利用网络仿真软件OPNET Modeler 10.0进行建模,其总体模型层次架构如图3所示,顶层为网络模型,向下依次是节点模型和进程模型。内部网络节点的节点模型主要包括模拟通信缓冲的队列和功能模块。模块之间的接口采用OPNET队列模块模拟,模块内部功能采用有限状态机(FSM)模拟,其中安全传输与流量控制模块是ZC内部安全协议的核心。下面重点介绍该模块中的FSM模型。

按照任务优先处理队首数据包的原则,基于排队论建立节点模型,仿真时队列中被阻塞报文的延时时间按泊松分布设定。

图3 层次化模型架构

2.2 核心模块中的进程模型

ZC内部网络的安全传输层和流量控制层通过发送、接收、重发等任务实现,其中接收任务具有最高的优先级,重发等任务优先级次之。VxWorks操作系统中的任务经过初始化之后就处于阻塞状态,

等待事件触发执行,然后循环阻塞。任务之间有传递消息的机制,如信号量与消息队列等。OPNET的进程模型具备循环阻塞和事件触发执行机制,其自带的进程间通信机制[11]可有效模拟ZC子系统采用的VxWorks实时操作系统中的任务通信方式,可真实客观地反映CBTC系统中ZC子系统的运行情况。基于这些特点,利用OPNET进程对实际通信相关任务进行仿真,利用OPNET自带的FSM建模工具描述任务的行为。接收、发送和重发进程的FSM分别如图4、5、6所示,相应符号的描述如表1所示。

图4 接收进程的FSM

图5 发送进程的FSM

3 仿真分析

对于安全协议来说报文的延时是非常重要的指标,协议须保证队尾报文延时满足安全时限。如果超出重发时限没有收到应答报文,发送方安全链路层采取超时重发策略。为了测试组播方式对报文延时的影响,按表1中的参数进行仿真测试。测试采用1个发送方和4个接收方,为了避免发送窗口对报文的延时产生影响,发送窗口要足够大(设为50个报文)。仿真时间以200 ms为周期,测试10 min。每个周期起始时,模拟发送方应用层向分帧队列发送n个200字节的应用报文,规定n小于50,分别用组播和点对点的方式将数据发送到4个接收方,记录接收方收到的4n个报文从发送方应用层到接收方应用层的平均延时,然后再对3 000个周期的报文平均延时取平均,仿真结果如图7所示。

图6 重发进程的FSM

进程状态状态描述接收进程INIT接收进程相关资源初始化IDLE等待接收接收socket缓冲队列中的内网帧ACK_proc应答帧处理过程,通知重发进程DATA_proc非应答帧处理过程发送进程INIT初始化发送进程相关资源nD_nW无数据_有发送窗口等待状态Ew+Uw-可用窗口数加1,以用窗口数减1nD_nW无数据_无发送窗口等待状态Qd++队列中的数据数量加1snd_1发送窗口数量大于1时,将数据发送到socket发送缓冲snd_2发送窗口数量等于1时,将数据发送到socket发送缓冲eD_nW队列中有数据_无发送窗口等待状态重发进程INIT初始化重发进程相关资源IDLE无数据_有发送窗口等待状态ACK_treat对应答帧进行处理time_out数据超时warning_sys重发次数大于3次,向平台报错resend对消息进行重发

从图7中可以看出,利用组播方式进行发送,可以减小报文的平均延时,而且随着应用输入报文数量的增加,组播方式下报文的平均延时增长的速度小于点对点方式,当应用输入报文数量增加到5个时,组播方式下报文的平均延时已经减小到点对点方式下的50%。利用OPNET提供的链路使用率统计变量进行观察,发现通信链路上通信控制器到交换机方向,选择组播发送方式的使用率仅为点对点发送方式的25%。

图7 组播方式和点对点方式报文的平均延时

4 结语

本文提出了基于UML的安全协议组播报文的安全确认机制和一种利用OPNET的实时操作系统组播协议的建模思想。通过仿真研究,证明了支持组播的安全协议可以减小报文的延时。报文延时的减小,可以降低超时重发的概率,更有利于提高安全协议的性能。

[1] 马连川,高倍力.基于通信的列车控制系统移动数据通信关键问题的探讨[J].铁道学报,2005,27(2):114.

[2] FETZER C,CRISTLAN F.Fail-awareness:An approach to construct fail-Safe systems[J].Real-time Systems,2003,24(2):203.

[3] KOPETZ H,GRILLINGER P,STEINHAMMER K.The Time-triggered ethernet (TTE) design[C]∥8th IEEE International Symposium on Object-oriented Real-time Distributed Computing(ISORC).Washington:IEEE Society,2005:22.

[4] 杨仕平,桑楠,熊光泽.基于Ethernet技术的安全关键实时网络[J].软件学报,2005,16(1):121.

[5] LEE K C,LEE S.Performance evaluation of switched Ethernet for real-time industrial communications[J].Computer Standards & Interfaces,2002,24(5):411.[6] ZHANG Y,TANG T,LI K P,et al.Formal verification of safety protocol in train control system[J].Science in China Series E:Technological Sciences,2011,54(11):3078.

[7] 张岩,唐涛,马连川,等.基于交换式以太网安全通信协议的模型和仿真研究[J].铁道学报,2010,32(3):43.

[8] IEEE Standard 802.3u.Media access control (MAC) parameters,physical layer,medium attachment units,and repeater for 100 Mb/s operation,type 100BASE-T[S].1995.

[9] IEC 62280-1.Railway applications-communication,signalling and processing systems.Part 1:Safety-related communication in closed transmission systems[S].2001.

[10] Wu J H,Zheng G.Real-time performance analysis of industrial embedded control systems using switched ethernet[C].∥IEEE International Conference on Networking,Sensing and Control.London:IEEE Society,2007:64.

Analyzing Method for Safety Protocol Performance Based on Multicast Packets

LIU Na

Safety protocol of zone controller (ZC) subsystem in communication based train control (CBTC) system is a key factor that determines whether the system is successful or not. A multicast sending and acknowledging method for safety protocol inner ZC is designed, the safety acknowledgement process for multicast packet is developed.Then,OPNET Modeler 10.0 is used to build a multi-task module of the safety protocol, and the communication process is simulated basing on the real running situation of ZC. The results show that the delay of the safety protocol based on multicast is about 50% lower than that of the protocol not based on multicast.

rail transit; communication based train control(CBTC); safety protocal; multicast packet

*中国铁道科学研究院基金项目(2013YJ105)

U 231.7; TN 915.04

10.16037/j.1007-869x.2016.08.000

2015-01-05)