CNR CONSIGLIO NAZIONALE DELLE RICERCHE AEI ASSOCIAZIONE ELETTROTECNICA ED ELETTRONICA ITALIANA

Transcript

1 N O R M A I T A L I A N A C E I Norma Italiana CEI EN Data Pubblicazione Classificazione Titolo Title Edizione Prima Fascicolo 9-66/ Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di telecomunicazione, segnalamento ed elaborazione Parte 2: Comunicazioni di sicurezza in sistemi di trasmissione di tipo aperto Railway applications - Communication, segnalling and processing systems Part 2: Safety related communication in open transmission systems APPARECCHIATURE ELETTRICHE PER SISTEMI DI ENERGIA E PER TRAZIONE COMITATO ELETTROTECNICO ITALIANO CNR CONSIGLIO NAZIONALE DELLE RICERCHE AEI ASSOCIAZIONE ELETTROTECNICA ED ELETTRONICA ITALIANA

2 SOMMARIO La presente Norma tratta le comunicazioni in sicurezza tra equipaggiamenti in sicurezza che usano un sistema di trasmissione di tipo aperto. DESCRITTORI DESCRIPTORS Trazione Traction; Segnalamento Signalling; COLLEGAMENTI/RELAZIONI TRA DOCUMENTI Nazionali Europei (IDT) EN : ; Internazionali Legislativi INFORMAZIONI EDITORIALI Norma Italiana CEI EN Pubblicazione Norma Tecnica Carattere Doc. Stato Edizione In vigore Data validità Ambito validità Europeo Varianti Ed. Prec. Fasc. Comitato Tecnico Nessuna Nessuna 9-Trazione Approvata dal Presidente del CEI in Data CENELEC in Data Sottoposta a inchiesta pubblica come Documento originale Chiusa in data Gruppo Abb. 3 Sezioni Abb. B ICS ; ; CDU LEGENDA (IDT) La Norma in oggetto è identica alle Norme indicate dopo il riferimento (IDT) CEI - Milano Riproduzione vietata. Tutti i diritti sono riservati. Nessuna parte del presente Documento può essere riprodotta o diffusa con un mezzo qualsiasi senza il consenso scritto del CEI. Le Norme CEI sono revisionate, quando necessario, con la pubblicazione sia di nuove edizioni sia di varianti. È importante pertanto che gli utenti delle stesse si accertino di essere in possesso dell ultima edizione o variante.

3 Europäische Norm Norme Européenne European Standard Norma Europea EN : Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di telecomunicazione, segnalamento ed elaborazione Parte 2: Comunicazioni di sicurezza in sistemi di trasmissione di tipo aperto Railway applications - Communication, segnalling and processing systems Part 2: Safety related communication in open transmission systems Applications ferroviaires - Systèmes de signalisation, de témécommunication et de traitement Partie 2: Communication de sécurité sur des systèmes de transmission ouverts Bahnanwendungen - Telekommunikationstechnik, Signal- technik und Datenverarbeitungssysteme Teil 2: Sicherheitsrelevante Kommunikation in offenen Übertragungs-sustemen CENELEC members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European Standard the status of a National Standard without any alteration. Up-to-date lists and bibliographical references concerning such National Standards may be obtained on application to the Central Secretariat or to any CENELEC member. This European Standard exists in three official versions (English, French, German). A version in any other language and notified to the CENELEC Central Secretariat has the same status as the official versions. CENELEC members are the national electrotechnical committees of: Austria, Belgium, Czech Republic, Denmark, Finland, France, Germany, Greece, Iceland, Ireland, Italy, Luxembourg, Netherlands, Norway, Portugal, Spain, Sweden, Switzerland and United Kingdom. I Comitati Nazionali membri del CENELEC sono tenuti, in accordo col regolamento interno del CEN/CENE- LEC, ad adottare questa Norma Europea, senza alcuna modifica, come Norma Nazionale. Gli elenchi aggiornati e i relativi riferimenti di tali Norme Nazionali possono essere ottenuti rivolgendosi al Segretariato Centrale del CENELEC o agli uffici di qualsiasi Comitato Nazionale membro. La presente Norma Europea esiste in tre versioni ufficiali (inglese, francese, tedesco). Una traduzione effettuata da un altro Paese membro, sotto la sua responsabilità, nella sua lingua nazionale e notificata al CENELEC, ha la medesima validità. I membri del CENELEC sono i Comitati Elettrotecnici Nazionali dei seguenti Paesi: Austria, Belgio, Danimarca, Finlandia, Francia, Germania, Grecia, Irlanda, Islanda, Italia, Lussemburgo, Norvegia, Olanda, Portogallo, Regno Unito, Repubblica Ceca, Spagna, Svezia e Svizzera. CENELEC Copyright reserved to all CENELEC members. I diritti di riproduzione di questa Norma Europea sono riservati esclusivamente ai membri nazionali del CENELEC. C E N E L E C Secrétariat Central: Comitato Europeo di Normalizzazione Elettrotecnica European Committee for Electrotechnical Standardization rue de Stassart 35, B Bruxelles Comité Européen de Normalisation Electrotechnique Europäisches Komitee für Elektrotechnische Normung

4 CONTENTS INDICE Rif. Topic Argomento Pag. INTRODUCTION INTRODUZIONE 1 1 SCOPE SCOPO 1 2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI 2 3 DEFINITIONS 3.1 Access protection Authenticity Authorisation Check Cryptographic techniques Data Defence Error Failure Fault Hazard Information Integrity Message Process Safety Transmission system Threat Timeliness Validity... 4 REFERENCE ARCHITECTURE 5 THREATS TO THE TRANSMISSION SYSTEM 6 REQUIREMENTS FOR DEFENCES 6.1 Introduction General requirements Specific defences... 7 APPLICABILITY OF DEFENCES AGAINST THREATS 7.1 Introduction Threats/defences matrix Choice and use of safety code and cryptographic techniques... ANNEX/ALLEGATO A ANNEX/ALLEGATO B ANNEX/ALLEGATO C ANNEX/ALLEGATO D GUIDELINE FOR DEFENCES BIBLIOGRAPHY GUIDELINES FOR USE OF THE STANDARD THREATS ON OPEN TRANSMISSION SYSTEMS DEFINIZIONI 3 Protezione di accesso... 3 Autenticità... 3 Autorizzazione... 3 Verifica... 3 Tecniche crittografiche... 3 Dati... 4 Difesa... 5 Errore... 5 Guasto... 5 Guasto... 6 Pericolo... 6 Informazione... 6 Integrità... 6 Messaggio... 6 Processo... 7 Sicurezza... 8 Sistema di trasmissione... 8 Minaccia... 8 Tempestività... 8 Validità... 8 ARCHITETTURA DI RIFERIMENTO 9 MINACCE AL SISTEMA DI TRASMISSIONE 12 REQUISITI DELLE DIFESE 12 Introduzione Requisiti generali Difese specifiche APPLICABILITÀ DELLE DIFESE CONTRO LE MINACCE 20 Introduzione Matrice delle minacce/difese Scelta e uso del codice di sicurezza e delle tecniche crittografiche LINEE GUIDA PER LE DIFESE 22 BIBLIOGRAFIA 35 LINEE GUIDA PER L USO DELLA NORMA 36 MINACCE NEI SISTEMI DI TRASMISSIONE APERTI 44 Pagina iv

5 FOREWORD This European Standard was prepared by SC 9XA, Communication, signalling and processing systems, of Technical Committee CENELEC TC 9X, Electrical and electronic applications for railways. The text of the draft was submitted to the formal vote and was approved by CENELEC as EN on 2000/01/01. The following dates were fixed: latest date by which the EN has to be implemented at national level by publication of an identical national standard or by endorsement (dop) 2001/10/01 latest date by which the national standards conflicting with the EN have to be withdrawn (dow) 2003/01/01 Annexes designated informative are given for information only. In this standard, annexes A, B, C and D are informative. PREFAZIONE La presente Norma Europea è stata preparata dal SC 9XA, Communication, signalling and processing systems, del Comitato Tecnico CENELEC TC 9X, Electrical and electronic applications for railways. Il testo del progetto è stato sottoposto a voto formale ed è stato approvato dal CENELEC come Norma Europea EN in data 01/01/2000. Sono state fissate le date seguenti: data ultima entro la quale la EN deve essere recepita a livello nazionale mediante pubblicazione di una Norma nazionale identica o mediante adozione (dop) 01/10/2001 data ultima entro la quale le Norme nazionali contrastanti con la EN devono essere ritirate (dow) 01/01/2003 Gli Allegati indicati come informativi sono dati solo per informazione. Nella presente Norma, gli Allegati A, B, C e D sono informativi. Pagina v

6 Pagina vi

7 1 SCOPE INTRODUCTION If a safety-related electronic system involves the transfer of information between different locations, the communication system then forms an integral part of the safety-related system and it must be shown that the end to end transmission is safe in accordance with ENV The safety requirements for a data communication system depend on its characteristics which can be known or not. In order to reduce the complexity of the approach to demonstrate the safety of the system two classes of transmission systems have been considered. The first class consists of the ones over which the safety system designer has some degree of control. It is the case of the closed transmission systems whose safety requirements are defined in EN The second class, named open transmission system, consists of all the systems whose characteristics are unknown or partly unknown. This standard defines the safety requirements addressed to the transmission through open transmission systems. The transmission system, which is considered in this standard, has in general no particular preconditions to satisfy. It is from the safety point of view not or not fully trusted and is considered as a black box. This standard is closely related to EN Safety-related communication in closed transmission systems and ENV Safety related electronic systems for signalling. The standard is dedicated to the requirements to be taken into account for the transmission of safety-related information over open transmission systems. Cross-acceptance, aimed at generic approval and not at specific applications, is required in the same way as for ENV Safety related electronic systems for signalling. This European Standard is applicable to safety-related electronic systems using an open transmission system for communication purposes. It gives the basic requirements needed, in order to achieve safety-related transmission between safety-related equipment connected to the open transmission system. This standard is applicable to the safety requirement specification of the safety-related equipment, connected to the open transmission system, in order to obtain the allocated safety integrity level. INTRODUZIONE Se un sistema elettronico in sicurezza prevede il trasferimento di informazioni tra luoghi differenti, il sistema di comunicazione costituisce allora una parte del sistema in sicurezza e deve essere dimostrato che dall inizio alla fine la trasmissione è sicura nel rispetto della ENV I requisiti di sicurezza di un sistema di elaborazione dipendono dalle sue caratteristiche che possono essere note oppure no. Al fine di ridurre la complessità dell approccio alla dimostrazione della sicurezza del sistema sono stati considerate due classi di sistemi di trasmissione. La prima classe consiste in quelli sui quali il progettista del sistema ha un certo grado di controllo. È il caso dei sistemi di trasmissione chiusi, i requisiti di sicurezza dei quali sono definiti nella in EN La seconda classe, chiamata dei sistemi di trasmissione aperti, consiste in tutti quei sistemi le cui caratteristiche sono sconosciute o conosciute parzialmente. Questa Norma definisce i requisiti di sicurezza orientati alla trasmissione tramite sistemi aperti. Il sistema di trasmissione, che è trattato in questa Norma non ha, in generale, particolari presupposti da soddisfare. Dal punto di vista della sicurezza è, o non è, completamente affidabile ed è considerato come una scatola nera. La presente Norma è strettamente correlata con la EN Comunicazioni in sicurezza in sistemi di trasmissione chiusi e con la ENV Sistemi elettronici per segnalamento con riferimento alla sicurezza. La Norma è dedicata ai requisiti che devono essere presi in considerazione per la trasmissione di informazioni in sicurezza con sistemi di trasmissione aperti. L accettazione incrociata, mirata all approvazione generica e non alle applicazioni specifiche, è richiesta allo stesso modo della ENV Sistemi elettronici di segnalamento in sicurezza. SCOPO La presente Norma Europea si applica ai sistemi elettronici in sicurezza che usano per la trasmissione un sistema aperto con scopi di comunicazione. Questa fornisce i requisiti di base necessari al fine di ottenere una trasmissione in sicurezza tra equipaggiamenti in sicurezza connessi al sistema di trasmissione aperto. Questa Norma è applicabile alla specifica del requisito di sicurezza di equipaggiamenti in sicurezza, connessa al sistema di trasmissione aperto, al fine di ottenere il livello di integrità di sicurezza attribuito. 60 Pagina 1 di 54

8 The properties and behaviour of the open transmission system are only used for the definition of the performance, but not for safety. Therefore from the safety point of view the open transmission system can potentially have any property, as various transmission ways, storage of messages, unauthorised access, etc.. The safety process shall only rely on properties, which are demonstrated in the safety case. The safety requirement specification is a precondition of the safety case of a safety-related electronic system for which the required evidences are defined in ENV Evidence of safety management and quality management has to be taken from ENV The communication related requirements for evidence of functional and technical safety are the subject of this standard. This standard is not applicable to existing systems, which had already been accepted prior to the release of this standard. This standard does not specify: the open transmission system, equipment connected to the open transmission system, solutions (e.g. for interoperability), which kinds of data are safety-related and which are not. 2 NORMATIVE REFERENCES This European Standard incorporates by dated or undated reference, provisions from other publications. These normative references are cited at appropriate places in the text and the publications are listed hereafter. For dated references, subsequent amendments to or revisions of these publications apply to this European Standard only when incorporated in it by amendment or revision. For undated references the latest edition of the publication referred to applies. Pubblicazione Publication Anno Year Le proprietà e il comportamento del sistema di trasmissione aperto sono usate solo per definire le prestazioni, ma non la sicurezza. Pertanto, dal punto di vista della sicurezza, il sistema di trasmissione aperto può avere potenzialmente qualsiasi proprietà, come diverse vie di trasmissione, memorizzazione di messaggi, accesso non autorizzato, ecc. Il processo di sicurezza deve fare affidamento solo su proprietà che sono dimostrate nel Dossier di sicurezza. La specifica del requisito di sicurezza è un presupposto del Dossier di sicurezza di un sistema elettronico in sicurezza per il quale le evidenze richieste sono definite nella ENV L evidenza della gestione della sicurezza e la gestione della qualità devono essere assunte dalla ENV I requisiti correlati con la comunicazione per l evidenza della sicurezza funzionale e tecnica sono l oggetto di questa Norma. Questa Norma non è applicabile ai sistemi esistenti che sono già stati accettati prima della emissione di questa Norma. Questa norma non specifica: il sistema di trasmissione aperto, equipaggiamenti collegati al sistema di trasmissione aperto soluzioni (ad esempio per l interoperabilità), quali generi di dati sono in sicurezza e quali non lo sono. RIFERIMENTI NORMATIVI La presente Norma include, tramite riferimenti datati o non datati, disposizioni provenienti da altre Pubblicazioni. Questi riferimenti normativi sono citati, dove appropriato, nel testo e qui di seguito sono elencate le relative Pubblicazioni. In caso di riferimenti datati, le loro successive modifiche o revisioni si applicano alla presente Norma solo quando incluse in essa da una modifica o revisione. In caso di riferimenti non datati, si applica l ultima edizione della Pubblicazione indicata Titolo Title EN Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - La specificazione e la dimostrazione di Affidabilità, Disponibilità, Manutenibilità e Sicurezza (RAMS) Railway applications - The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) EN Railway applications - Communications, signalling and processing systems - Software for railway control and protection systems ENV Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi elettronici il segnalamento in sicurezza Railway applications - Safety related electronic systems for signalling Norma CEI CEI Standard Pagina 2 di 54

9 3 DEFINITIONS For the purpose of this standard, the following definitions apply: 3.1 Access protection Processes designed to prevent unauthorised access to read or to alter information, either within user safety-related systems or within the transmission system Hacker A person trying deliberately to bypass access protection. 3.2 Authenticity The state in which information is valid and known to have originated from the stated source. 3.3 Authorisation The formal permission to use a product/service within specified application constraints Unauthorised access A situation in which user information or information within the transmission system is accessed by unauthorised persons or hackers Confidentiality The property that information is not made available to unauthorised entities. 3.4 Check A process to increase assurance about the state of a system Redundancy check A type of check that a predefined relationship exists between redundant data and user data within a message, to prove message integrity. 3.5 Cryptographic techniques Output data are calculated by an algorithm using input data and a key as a parameter. By knowing the output data, it is impossible within a reasonable time to calculate the input data without knowledge of the key. It is also impossible within a reasonable time to derive the key from the output data, even if the input data are known. DEFINIZIONI Per gli intendimenti della presente Norma, si applicano le seguenti definizioni: Protezione di accesso Processi progettati per impedire accesso non autorizzato a leggere o ad alterare informazioni, o entro sistemi utente in sicurezza o entro il sistema di trasmissione. Hacker Una persona che tenta deliberatamente di superare la protezione d accesso. Autenticità Lo stato nel quale l informazione è valida ed è noto che abbia avuto origine dalla sorgente stabilita. Autorizzazione Il permesso formale ad usare un prodotto/servizio entro limiti di applicazione specificati. Accesso non autorizzato Una situazione nella quale informazioni utente o informazioni di un sistema di trasmissione sono oggetto di accesso a persone non autorizzate o ad hackers. Confidenzialità La proprietà dell informazione di non essere disponibile per entità non autorizzate. Verifica Un processo per migliorare la certezza circa lo stato di un sistema. Verifica ridondante Un tipo di verifica che accerta l esistenza di una relazione predefinita tra dati ridondanti e dati utente entro un messaggio, per provare l integrità del messaggio. Tecniche crittografiche I dati di uscita sono calcolati con un algoritmo che usa i dati d ingresso e una chiave come parametro. Conoscendo i dati di uscita, è impossibile calcolare, entro un tempo ragionevole, i dati d ingresso senza conoscere la chiave. È inoltre impossibile desumere, entro un tempo ragionevole, la chiave dai dati di uscita, anche se sono noti i dati d ingresso. Pagina 3 di 54

10 3.6 Data A part of a message which represents some information Data corruption The alteration of data User data Data which represents the states or events of a user process, without any additional data. In case of communication between safety-related equipment, the user data contains safety-related data Additional data Data which is not of any use to the ultimate user processes, but is used for control, availability, and safety purposes Redundant data Additional data, derived, by a safety-related transmission process, from the user data Safety code Redundant data included in a safety-related message to permit data corruptions to be detected by the safety-related transmission process. Suitable encoding techniques may include Non cryptographic safety code Redundant data based on non cryptographic functions included in a safety-related message to permit data corruptions to be detected by the safety-related transmission process Cyclic redundancy check (CRC) The CRC is based on cyclic codes, and is used to protect messages from the influence of data corruptions Cryptographic safety code Redundant data based on cryptographic functions included in a safety-related message to permit data corruptions and unauthorised access to be detected by the safety-related transmission process Message authentication code (MAC) A cryptographic function of the whole message and a secret or public key. By the whole message is meant also any implicit data of the message which is not sent to the transmission system Manipulation detection code (MDC) A function of the whole message, but in contrast to a MAC there is no secret key involved. By the whole message is meant also any implicit data of the message which is not sent to the transmission system. The MDC is often based on a hash function. Dati Una parte di un messaggio che rappresenta delle informazioni. Corruzione di dati L alterazione dei dati. Dati utente Dati che rappresentano gli stati o gli eventi di un processo utente, senza alcun dato addizionale. Nel caso di comunicazione tra equipaggiamenti in sicurezza, i dati utente contengono dati in sicurezza. Dati addizionali Dati che non sono di alcun utilizzo per il processo utente finale, ma sono usati a scopo di controllo, disponibilità, e sicurezza. Dati ridondanti Dati addizionali, derivati, con un processo di trasmissione in sicurezza, dai dati utente. Codice di sicurezza Dati ridondanti inseriti in un messaggio in sicurezza per consentire di rilevare la corruzione di dati dal processo di trasmissione in sicurezza. Può comprendere adatte tecniche di codifica. Codice di sicurezza non crittografico Dati ridondanti basati su funzioni non crittografiche incluse in un messaggio in sicurezza per consentire di rilevare la corruzione di dati dal processo di trasmissione in sicurezza. Verifica di ridondanza ciclica (CRC) La CRC è basata su codici ciclici, ed è usata per proteggere i messaggi dall influenza delle corruzioni di dati. Codice di sicurezza crittografico Dati ridondanti basati su funzioni crittografiche incluse in un messaggio in sicurezza per consentire di rilevare corruzioni di dati e accesso non autorizzato nel processo di trasmissione in sicurezza. Codice di autenticazione del messaggio (MAC) Una funzione crittografica dell intero messaggio e una chiave segreta o pubblica. Per intero messaggio si intende anche ogni dato implicito del messaggio che non è inviato al sistema di trasmissione. Codice di rilievo della manipolazione (MDC) Una funzione dell intero messaggio, ma in contrasto con il MAC non vi è chiave segreta coinvolta. Per intero messaggio si intende anche ogni dato implicito del messaggio che non è inviato al sistema di trasmissione. L MDC è spesso basato su una funzione hash. Pagina 4 di 54

11 Sequence number An additional data field containing a number that changes in a predefined way from message to message Time stamp Information attached to a message by the sender Relative time stamp A time stamp referenced to the local clock of an entity is defined as a relative time stamp. In general there is no relationship to clocks of other entities Absolute time stamp A time stamp referenced to a global time which is common for a group of entities using a transmission network is defined as an absolute time stamp Double time stamp When two entities exchange and compare their time stamps, this is called double time stamp. In this case the time stamps in the entities are independent of each other Source and destination identifier An identifier is assigned to each entity. This identifier can be a name, number or arbitrary bit pattern. This identifier will be used for the safety-related transmission. Usually the identifier is added to the user data. 3.7 Defence A measure incorporated in the design of a safety communication system to counter particular threats. 3.8 Error A deviation from the intended design which could result in unintended system behaviour or failure. 3.9 Failure A deviation from the specified performance of a system. A failure is the consequence of an fault or error in the system Random failure A failure that occurs randomly in time Systematic failure A failure that occurs repeatedly under some particular combination of inputs, or under some particular environmental condition. Numero di sequenza Un campo di dati addizionali contenenti un numero che cambia in modo predefinito da messaggio a messaggio. Identificatore di tempo Informazione applicata ad un messaggio dall emettitore. Identificatore di tempo relativo Un identificatore di tempo riferito all orologio locale di un entità è definito come identificatore di tempo relativo. In generale non vi è alcuna relazione con orologi di altre entità. Identificatore di tempo assoluto Un identificatore di tempo riferito al tempo universale che è comune per un gruppo di entità che usano una rete di trasmissione è definito come identificatore di tempo assoluto. Identificatore di tempo doppio Quando due entità scambiano e confrontano i loro identificatori di tempo, questo è chiamato identificatore di tempo doppio. In questo caso gli identificatore di tempo nelle entità sono indipendenti tra loro. Identificatore di sorgete e di destinazione Ad ogni entità è assegnato un identificatore. Questo identificatore può essere un nome, un numero o una tipologia di bit arbitraria. Questo identificatore sarà usato per le trasmissioni in sicurezza. Normalmente l dentificatore è aggiunto al dato utente. Difesa Un provvedimento inserito nel progetto di un sistema di comunicazione in sicurezza per contrastare particolari minacce. Errore Una deviazione da un progetto previsto che potrebbe condurre al comportamento non previsto di un sistema o a un avaria. Guasto Una deviazione da una prestazione specificata di un sistema. Un avaria è la conseguenza di un guasto o errore nel sistema. Guasto casuale Un avaria che si verifica casualmente nel tempo. Guasto sistematico Un avaria che si verifica in modo ripetitivo in alcune combinazioni particolari di ingressi, o in qualche particolare condizione ambientale. Pagina 5 di 54

12 3.10 Fault An abnormal condition that could lead to an error in a system. A fault can be random or systematic Random fault The occurrence of a fault based on probability theory and previous performance Systematic fault An inherent fault in the specification, design, construction, installation, operation or maintenance of a system, subsystem or equipment Hazard A condition that can lead to an accident Hazard analysis The process of identifying the hazards which a product or its use can cause Information A representation of the state or events of a process, in a form understood by the process Integrity The state in which information is complete and not altered Message Information, which is transmitted from a sender (data source) to one or more receivers (data sink) Valid message A message whose form meets in all respects the specified user requirements Message integrity A message in which information is complete and not altered Authentic message A message in which information is known to have originated from the stated source Message stream An ordered set of messages Message enciphering Transformation of bits by using a cryptographic technique within a message, in accordance with an algorithm controlled by keys, to render casual reading of data more difficult. Does not provide protection against data corruption. Guasto Una condizione anormale che potrebbe condurre ad un errore in un sistema. Un guasto può essere casuale o sistematico. Avaria casuale L accadimento di un guasto basato sulla teoria delle probabilità e su precedente prestazione. Avaria sistematica Un guasto intrinseco nella specifica, progetto, costruzione, installazione, funzionamento o manutenzione di un sistema, sottosistema o equipaggiamento. Pericolo Una condizione che può portare ad un incidente. Analisi del pericolo Il processo di identificazione dei pericoli che un prodotto o il suo uso possono causare. Informazione Una rappresentazione di uno stato o eventi di un processo, in una forma compresa dal processo Integrità Lo stato nel quale l informazione è completa e non alterata. Messaggio Informazione, che è trasmessa da un emettitore (sorgente dei dati) a uno o più ricevitori (pozzo dei dati). Messaggio valido Un messaggio la cui forma soddisfa in tutti gli aspetti i requisiti utente specificati. Integrità del messaggio Un messaggio nel quale l informazione è completa e non alterata. Messaggio autentico Un messaggio nel quale l informazione è noto che abbia origine dalla sorgente stabilita. Flusso di messaggi Una serie ordinata di messaggi. Cifraggio di messaggio Trasformazione di bit che usa la tecnica crittografica entro un messaggio, in accordo con un algoritmo controllato da chiavi, per rendere la lettura casuale dei dati più difficile. Non fornisce protezione nei confronti della corruzione dei dati. Pagina 6 di 54

13 Feedback message A feedback message is defined as a response from a receiver to the sender, via a return transmission channel Message handling The processes, outside the direct control of the user, which are involved in the transmission of the message stream between participants Message errors A set of all possible message failure modes which can lead to potentially dangerous situations, or to reduction in system availability. There may be a number of causes of each type of error Repeated message A type of message error in which a single message is received more than once Deleted message A type of message error in which a message is removed from the message stream Inserted message A type of message error in which an additional message is implanted in the message stream Resequenced message A type of message error in which the order of messages in the message stream is changed Corrupted message A type of message error in which a data corruption occurs Delayed message A type of message error in which a message is received at a time later than intended Masqueraded message A type of inserted message in which a non-authentic message is designed to appear to be authentic Process User process A process within an application that contributes directly to the behaviour specified by the user of the system Transmission process A process, within an application, that contributes only to the transmission of information between user processes, and not to the user processes themselves. Messaggio di retroazione Un messaggio di retroazione è definito come una risposta da un ricevitore a un emettitore, attraverso un canale di trasmissione di ritorno. Operazioni (handling) su messaggio I processi, al di fuori del diretto controllo dell utente, che sono coinvolti nella trasmissione del flusso di messaggi tra partecipanti. Errori di messaggio Una serie di tutti i possibili modi di avaria di messaggio che possono portare ad una situazione potenzialmente pericolosa, o alla riduzione della disponibilità di un sistema. Vi possono essere molte cause per ogni tipo di errore. Messaggio ripetuto Un tipo di errore di messaggio nel quale un singolo messaggio può essere ricevuto più di una volta. Messaggio cancellato Un tipo di errore di messaggio nel quale un messaggio è rimosso dal flusso di messaggio. Messaggio inserito Un tipo di errore di messaggio nel quale un messaggio addizionale è inserito nel flusso di messaggi. Messaggio risequenziato Un tipo di errore di messaggio nel quale l ordine dei messaggi nel flusso di messaggio è cambiato. Messaggio corrotto Un tipo di errore di messaggio nel quale si verifica una corruzione del dato. Messaggio ritardato Un tipo di errore di messaggio nel quale un messaggio è ricevuto con ritardo rispetto a quanto previsto. Messaggio mascherato Un tipo di messaggio inserito, nel quale un messaggio non autentico è progettato che appaia autentico. Processo Processo utente Un processo, in un applicazione, che contribuisce direttamente al comportamento specificato dall utente del sistema. Processo di trasmissione Un processo, in un applicazione, che contribuisce solo alla trasmissione di informazioni tra processi utente, e non ai processi stessi dell utente. Pagina 7 di 54

14 Access protection process A process within a system that contributes only to the access protection of information in the system, and not to the user processes or transmission processes themselves Safety Freedom from unacceptable levels of risk Safety-related Carries responsibility for safety Safety integrity level A number which indicates the required degree of confidence that a system will meet its specified safety features Safety case The documented demonstration that the product complies with the specified safety requirements Transmission system A service used by the application to communicate message streams between a number of participants, who may be sources or sinks of information Closed transmission system A fixed number or fixed maximum number of participants linked by a transmission system with well known and fixed properties, and where the risk of unauthorised access is considered negligible Open transmission system a transmission system with an unknown number of participants, having unknown, variable and non-trusted properties, used for unknown telecommunication services, and for which the risk of unauthorised access shall be assessed Threat A potential violation of safety including access protection of a communication system Timeliness The state in which information is available at the right time according to requirements Validity The state of meeting in all respects the specified user requirements. Processo di protezione di accesso Un processo, in un sistema, che contribuisce solo alla protezione di accesso dell informazione nel sistema, e non ai processi utente o ai processi di trasmissione stessi. Sicurezza Assenza di inaccettabili livelli di rischio. In sicurezza Comporta responsabilità di sicurezza. Livello di integrità della sicurezza Un numero che indica il grado richiesto di fiducia che un sistema soddisferà le caratteristiche di sicurezza specificate. Dossier di sicurezza La dimostrazione documentata che il prodotto rispetta i requisiti di sicurezza specificati. Sistema di trasmissione Un servizio usato dall applicazione per comunicare flussi di messaggi tra un numero di partecipanti, che possono essere sorgenti o destinazioni d informazione. Sistema di trasmissione chiuso Un numero fisso, o un numero fisso massimo, di partecipanti collegati da un sistema di trasmissione con proprietà ben conosciute e fisse, e ove il rischio di accesso non autorizzato è considerato trascurabile. Sistema di trasmissione aperto Un sistema di trasmissione con un numero di partecipanti sconosciuto, con proprietà sconosciute, variabili e non-affidabili, usato per servizi di telecomunicazione non noti, e per il quale il rischio di accesso non autorizzato deve essere valutato. Minaccia Una violazione potenziale della sicurezza compresa la protezione di accesso di un sistema di comunicazione. Tempestività Lo stato nel quale l informazione è disponibile al momento giusto in accordo con i requisiti. Validità lo stato che soddisfa in tutti gli aspetti i requisiti utente specificati. Pagina 8 di 54

15 4 REFERENCE ARCHITECTURE This reference architecture for a safety-related transmission system is based on: The non trusted transmission system, whatever internal transmission protection mechanisms are incorporated. The safety-related transmission functions. The safety-related access protection functions. For the purposes of this standard, the open transmission system is assumed to consist of everything (hardware, software, transmission media, etc.) occurring between two or more safety-related equipment which are connected to the transmission system. The open transmission system can contain some or all of the following: Elements which read, store, process or re-transmit data produced and presented by users of the transmission system in accordance with a program not known to the user. The number of the users is generally unknown, safety-related and non safety-related equipment and equipment which are not related to railway applications can be connected to the open transmission system. Transmission media of any type with transmission characteristics and susceptibility to external influences which are unknown to the user. Network control and management systems capable of routing (and dynamically re-routing) messages via any path made up from one or more than one type of transmission media between the ends of open transmission system, in accordance with a program not known to the user. The open transmission system may be subject to the following: Other users of the transmission system, not known to the control and protection system designer, sending unknown amounts of information, in unknown formats. User of the transmission system who may attempt to gain access to data originating from other users, in order to read it and/or mimic it without authorisation from the system manager to do so. Any kind of additional threats to the integrity of the safety-related data. A principle structure of the safety-related system using an open transmission system is illustrated in Figure 1. The principle model of a safety-related message is shown in Figure 2. No safety requirements shall be placed upon the non-trusted characteristics of the open transmission system. Safety aspects are covered by applying safety procedures and safety en- ARCHITETTURA DI RIFERIMENTO Questa architettura di riferimento per un sistema in sicurezza è basata su: Il sistema di trasmissione non affidabile, qualsiasi meccanismo interno di protezione della trasmissione sia inserito. Le funzioni di trasmissione in sicurezza. Le funzioni di protezione di accesso in sicurezza. Per gli intendimenti di questa norma, il sistema di trasmissione aperto si assume che consista in tutto quanto (hardware, software, mezzo di trasmissione, ecc.) occorre tra due o più equipaggiamenti in sicurezza che sono connessi al sistema di trasmissione. Il sistema di trasmissione aperto può contenere in parte o tutto quanto segue: Elementi che leggono, memorizzano, elaborano o ritrasmettono i dati prodotti e presentati dagli utenti del sistema di trasmissione in accordo con un programma non noto all utente. Il numero degli utenti è generalmente sconosciuto, equipaggiamenti in sicurezza e non ed equipaggiamenti che non sono correlati con le applicazioni ferroviarie possono essere connessi al sistema di trasmissione aperto. Mezzi di trasmissione di ogni tipo con caratteristiche di trasmissione e di suscettibilità alle influenze esterne che non sono note all utente. Controllo di rete e gestione di sistemi capaci di instradare (e reinstradare dinamicamente) messaggi attraverso ogni cammino costituito da uno o più tipi di mezzi di trasmissione tra gli estremi di un sistema di trasmissione aperto, in accordo con un programma non noto all utente Il sistema di trasmissione aperto può essere soggetto a quanto segue: Altri utenti del sistema di trasmissione, non noti al progettista del sistema di protezione e controllo, che inviano quantità non note di informazioni, in formati non noti. Utenti del sistema di trasmissione che possono tentare di ottenere accesso a dati che hanno origine da altri utenti, al fine di leggerli e/o imitarli senza autorizzazione a fare ciò, da parte del gestore del sistema. Ogni genere di ulteriore minaccia all integrità dei dati in sicurezza. Una struttura di principio di un sistema in sicurezza che usa un sistema di trasmissione aperto è illustrata in Fig. 1. Il modello di principio di un messaggio in sicurezza è mostrato in Fig. 2. Nessuno dei requisiti di sicurezza può ricadere sulle caratteristiche non affidabili di un sistema di trasmissione aperto. Gli aspetti di sicurezza sono coperti con l applicazione di procedure di sicu- Pagina 9 di 54

16 coding to the safety-related transmission functions. rezza e di codifica di sicurezza per le funzioni della trasmissione in sicurezza. Fig. 1 Structure of safety-related system using a non trusted transmission system Fig. 2 Model of a safety-related message Pagina 10 di 54

17 Struttura di un sistema in sicurezza che usa un sistema di trasmissione non affidabile Equipaggiamento in sicurezza Equipaggiamento in sicurezza Equipaggiamento non in sicurezza Processo di applicazione Informazione in sicurezza Processo di applicazione Informazione non in sicurezza Processo di applicazione Processo di trasmissione in sicurezza Difesa contro gli errori di trasmissione Processo di trasmissione in sicurezza Processo di protezione di accesso in sicurezza Difesa contro accesso non autorizzato Messaggio in sicurezza Processo di protezione di accesso in sicurezza Sistema di trasmissione aperto Dati addizionali del sistema di trasmissione aperto Protezione di accesso in sicurezza Protezione di trasmissione in sicurezza Dati utente Informazione dell applicazione Sistema di trasmissione in sicurezza EN Modello di messaggio in sicurezza Messaggio in sicurezza Pagina 11 di 54

18 5 THREATS TO THE TRANSMISSION SYSTEM Only threats to the transmission systems shall be considered. Threats to the safety-related equipment shall be considered in accordance with ENV This standard refers to communications between generic applications using a transmission system whose characteristics are (at least partially) unknown. It is therefore necessary to define a main hazard for safety independently from the functionality of the particular application and of the characteristics of the network; the pertinent definition is: Failure to obtain an authentic (and consequently valid) message at the receiver end. With reference to annex D, a set of possible basic message errors has been derived. The corresponding threats are: repetition, deletion, insertion, resequence, corruption, delay, masquerade. Meeting the requirements of this standard does not give protection against intentional or unintentional misuse coming from authorised sources. The safety case shall address these aspects. 6 REQUIREMENTS FOR DEFENCES 6.1 Introduction Certain techniques have been adopted in data transmission systems (non-safety-related, safety-related) in the past. These techniques form a library of possible methods accessible to the control and protection system designer, to provide protection against each threat identified above. These techniques that can be seen as logical defences are not a complete set, new techniques may be developed in the future which offer new possibilities to the designer. Such new techniques may be used to provide protection against these threats, provided that the coverage of the techniques is well understood and has been analysed. To reduce the risk associated with the threats identified in the preceding section, the following safety services shall be considered and provided to the extent needed for the application: message authenticity, message integrity, message timeliness, message sequence. MINACCE AL SISTEMA DI TRASMISSIONE Devono essere considerate solo le minacce ai sistemi di trasmissione. Le minacce ad equipaggiamenti in sicurezza devono essere considerate in accordo con la ENV Questa norma si riferisce a trasmissioni tra applicazioni generiche che usano un sistema di trasmissione le cui caratteristiche sono (almeno parzialmente) sconosciute. È pertanto necessario definire un pericolo principale per la sicurezza indipendentemente dalla funzionalità della particolare applicazione e dalla caratteristica della rete; la definizione pertinente è: Avaria che fa ottenere un messaggio autentico (e di conseguenza valido) al terminale del ricevitore. Con riferimento all Allegato D, è stata dedotta una serie di possibili errori di messaggio di base. Le minacce corrispondenti sono: ripetizione, cancellazione, inserzione, nuova sequenza (resequence), corruzione, ritardo, mascheramento. Soddisfare i requisiti di questa norma non dà protezione nei confronti di cattivo uso intenzionale o non intenzionale che deriva da sorgenti autorizzate. Il Dossier di sicurezza deve trattare tali aspetti. REQUISITI DELLE DIFESE Introduzione Certe tecniche sono state adottate in passato nei sistemi di trasmissione di dati (non in sicurezza, in sicurezza) Queste tecniche formano una libreria di metodi possibili accessibile al progettista del sistema di controllo e protezione, per fornire una protezione nei confronti delle minacce sopra identificate. Queste tecniche che possono essere viste come difese logiche non sono una serie completa, in futuro possono essere sviluppate nuove tecniche che offrono nuove possibilità al progettista. Tali nuove tecniche possono essere usate per fornire protezione contro queste minacce, purché la copertura che danno le tecniche sia ben compresa e sia stata ben analizzata. Per ridurre i rischi associati con le minacce identificate nella sezione precedente, devono essere considerati i seguenti servizi di sicurezza e forniti nella misura richiesta dall applicazione: autenticità del messaggio, integrità del messaggio, tempestività del messaggio, sequenza del messaggio. Pagina 12 di 54

19 The following set of known defences has been outlined: a) Sequence number; b) Time stamp; c) Time-out; d) Source and destination identifiers; e) Feedback message; f) Identification procedure; g) Safety code; h) Cryptographic techniques. 6.2 General requirements 1) Adequate defences shall be provided against all identified threats to the safety of systems using open communication networks. Any threats which are not to be assumed shall be agreed with the safety authority and/or railway authority and shall be put into the safety-related application conditions. Annex D derives a possible list of threats, to be used as guidance. 2) Detailed requirements for the defences needed for the application shall take into account: the level of risk (frequency/consequence) identified for each particular threat, and the safety integrity level of the data and process concerned. Annex A (guidelines for defences) gives guidance on the selection of currently known techniques to give defence against threats. Issues of effectiveness addressed in this annex should be carefully considered when the defence is chosen. 3) The requirements for the defences needed shall be included in the system requirements specification and in the system safety requirements specification for the application, and shall form input to the assurance of correct operation portion of the safety case for the application. 4) All defences shall be implemented according to the requirements defined in ENV This implies that the defences: shall be implemented completely within the safety-related transmission equipment of the system, or may include access protection measures not implemented within the safety-related equipment. In this case, the continued correct functioning of the access protection processes shall be checked with adequate safety-related techniques for the application. 5) Mandatory requirements for particular defences are given in the following sections. They apply when the particular defence is used. 6) Other defences than those described in this standard may be used, provided that analysis of their effectiveness against threats is included in the safety case. Sono state sottolineate la seguente serie di difese note: a) Numero di sequenza; b) Identificatore di tempo; c) Time-out; d) Identificatori di sorgente e di destinazione; e) Messaggio di retroazione; f) Procedura di identificazione; g) Codice di sicurezza; h) Tecniche crittografiche. Requisiti generali 1) Devono essere previste adeguate difese contro tutte le minacce identificate alla sicurezza dei sistemi che usano reti di sistemi di comunicazione aperte. Ogni minaccia che non sia considerata deve essere concordata con l autorità per la sicurezza e/o l autorità ferroviaria e deve essere inserita nelle condizioni dell applicazione in sicurezza. L Allegato D deduce un possibile elenco di minacce, da usare come guida. 2) Requisiti dettagliati per le difese necessarie per l applicazione devono tenere in considerazione: il livello di rischio (frequenza/conseguenza) identificato per ogni particolare minaccia, e il livello di integrità di sicurezza del dato e del processo relativo. L Allegato A (linee guida per le difese) fornisce una guida alla scelta delle tecniche correntemente conosciute per fornire difesa contro minacce. I problemi di efficienza trattati in questo allegato dovrebbero essere attentamente considerati quando è stata scelta la difesa. 3) I requisiti per le difese necessarie devono essere inclusi nella specifica dei requisiti del sistema e nella specifica dei requisiti di sicurezza del sistema per l applicazione, e devono costituire un dato d ingresso alla parte di assicurazione di corretto funzionamento del Dossier di sicurezza per l applicazione. 4) Tutte le difese devono essere implementate secondo i requisiti definiti nella ENV Questo implica che le difese: devono essere implementate in modo completo entro l equipaggiamento di trasmissione in sicurezza del sistema, o possono comprendere misure di protezione d accesso non implementate entro l equipaggiamento in sicurezza. In tale caso, il continuo funzionamento corretto dei processi di protezione di accesso deve essere verificato con tecniche in sicurezza adeguate all applicazione. 5) Nelle sezioni seguenti vengono dati requisiti obbligatori per difese particolari. Essi si applicano quando è usata una difesa particolare. 6) Possono essere usate difese diverse da quelle descritte in questa norma, purché l analisi della loro efficienza contro le minacce sia inserita nel Dossier di sicurezza. Pagina 13 di 54

20 7) The safety case, as described in ENV shall include: analysis of each defence used in the safety transmission system, the safety reaction in case of a detected transmission error. 6.3 Specific defences The following subclauses show short introductions and the requirements for specific defences, which are effective either alone or in combination against single or combined threats. All general requirements listed above shall be applied. More detailed descriptions of the defences and the relation with all possible threats are given in informative annex A (guidelines for defences) Sequence number Introduction Sequence numbering consists of adding a running number (called sequence number) to each message exchanged between a transmitter and a receiver. This allows the receiver to check the sequence of messages provided by the transmitter Requirements The safety case shall demonstrate the appropriateness in relation to the safety integrity level of the process, and the nature of the safety-related process, of the following: the length of the sequence number; the provision for initialisation of the sequence number; the provision for recovery following interruption of the sequence of the messages Time stamp Introduction When an entity receives information the meaning of the information is often time related. The degree of dependence between information and time may differ between applications. In certain cases old information can be useless and harmless and in other cases the information could be a potential danger for the user. Depending on the behaviour in time of the processes which interchange information (cyclic, event controlled etc.) the solution may differ. One solution which covers time-information relationships is to add time stamps to the information. This kind of information can be used in place of or combined with sequence numbers depending on application requirements. Different uses of time stamps and their properties are shown in annex A. 7) Il Dossier di sicurezza, come descritto nella ENV deve comprendere: l analisi di ogni difesa usata nel sistema di trasmissione di sicurezza, la reazione di sicurezza nel caso di rilievo di un errore di trasmissione. Difese specifiche I seguenti paragrafi riportano una breve introduzione e i requisiti per le difese specifiche, che sono efficaci o sole o in combinazione contro minacce singole o combinate. Tutti i requisiti generali sopra elencati devono essere applicati. Descrizioni più dettagliate delle difese e delle combinazioni, con tutte le possibili minacce, sono date nell Allegato informativo A (Linee guida per le difese). Numero di sequenza Introduzione La numerazione della sequenza consiste nell aggiungere un numero corrente (chiamato numero di sequenza) a ciascun messaggio scambiato tra un trasmettitore e un ricevitore. Questo permette al ricevitore di verificare la sequenza dei messaggi forniti dal trasmettitore. Requisiti Il Dossier di sicurezza deve dimostrare l appropriatezza in relazione al livello di integrità di sicurezza del processo, e la natura del processo in sicurezza, per quanto segue: La lunghezza del numero di sequenza; Che sia prevista l inizializzazione del numero di sequenza; Che sia previsto il recupero che consegue ad una interruzione della sequenza dei messaggi. Identificatore di tempo Introduzione Quando un entità riceve un informazione il significato dell informazione è spesso correlato con il tempo. Il grado di dipendenza tra l informazione e il tempo può essere diverso tra le applicazioni. In alcuni casi una vecchia informazione può essere inutile o innocua e in certi casi una vecchia informazione potrebbe essere potenzialmente pericolosa per l utente. In relazione al comportamento nel tempo dei processi che interscambio l informazione (ciclica, evento controllata, ecc.) la soluzione può essere diversa. Una soluzione che copre le relazioni tempo- informazione è quella di aggiungere gli identificatori di tempo all informazione. Questo tipo di informazione può essere usato in luogo di, o in combinazione con, numeri di sequenza in relazione ai requisiti dell applicazione. Usi differenti degli identificatori di tempo e delle loro proprietà sono indicati nell Allegato A. Pagina 14 di 54