高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)安全與統(tǒng)一管控

李賽飛， 閆連山， 郭 偉， 郭 進(jìn)，陳建譯， 潘 煒， 方旭明

(1.西南交通大學(xué)信息科學(xué)與技術(shù)學(xué)院，四川成都 610031;2.廣州鐵路集團(tuán)公司，廣東廣州 510088)

鐵路運(yùn)輸系統(tǒng)作為我國(guó)最重要的基礎(chǔ)設(shè)施之一，其對(duì)于安全性的要求不言而喻.這里的安全性具有兩層含義:首先指系統(tǒng)網(wǎng)絡(luò)不能因?yàn)樽陨砉收系仍蚨鴮?dǎo)致危險(xiǎn)的發(fā)生，最終目的是在盡可能降低故障發(fā)生概率的基礎(chǔ)上，即便是出現(xiàn)了故障，也要求不會(huì)導(dǎo)致相關(guān)系統(tǒng)陷入危險(xiǎn)的狀態(tài)(即導(dǎo)向安全);其次是指系統(tǒng)網(wǎng)絡(luò)具有抵抗外界入侵和防范網(wǎng)絡(luò)病毒的能力.長(zhǎng)期以來(lái)鐵路信號(hào)系統(tǒng)的安全性研究大多圍繞系統(tǒng)的安全可靠(safety)進(jìn)行，認(rèn)為鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)作為專(zhuān)有網(wǎng)絡(luò)，不存在外界入侵和網(wǎng)絡(luò)病毒傳播的問(wèn)題.然而隨著新型病毒(例如，專(zhuān)門(mén)針對(duì)工業(yè)控制系統(tǒng)的“震網(wǎng)病毒”[1])和新的攻擊手段(例如ATP攻擊[2])的出現(xiàn)，再加上高速鐵路信號(hào)系統(tǒng)發(fā)展對(duì)數(shù)據(jù)共享和大容量數(shù)據(jù)通信的迫切需求，使得高速鐵路信號(hào)系統(tǒng)對(duì)外界具有前所未有的開(kāi)放性，所以高速鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全(security)應(yīng)該得到更多的研究和重視.

鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)化和信息化已經(jīng)成為實(shí)現(xiàn)鐵路企業(yè)運(yùn)營(yíng)管理現(xiàn)代化的客觀要求和必然趨勢(shì).鐵路信號(hào)系統(tǒng)的網(wǎng)絡(luò)化是鐵路運(yùn)輸綜合調(diào)度指揮的基礎(chǔ)，在此基礎(chǔ)上實(shí)現(xiàn)信息化，將使得我國(guó)鐵路信號(hào)系統(tǒng)運(yùn)營(yíng)管理進(jìn)入集中化、智能化的新時(shí)代.計(jì)算機(jī)技術(shù)、通信技術(shù)和控制技術(shù)[3-4]的結(jié)合以及迅速發(fā)展，將共同促進(jìn)這一進(jìn)程.

以太網(wǎng)技術(shù)在確保其傳輸?shù)膶?shí)時(shí)性、可靠性和確定性方面得到了很大發(fā)展[5]，其在通信容量、通信速率和配置部署等方面的巨大優(yōu)勢(shì)，能夠滿足大部分工業(yè)控制系統(tǒng)(如鐵路信號(hào)控制系統(tǒng))的通信要求.近年來(lái)，以太網(wǎng)技術(shù)結(jié)合TCP/IP技術(shù)在控制系統(tǒng)網(wǎng)絡(luò)中(包括鐵路信號(hào)控制系統(tǒng)網(wǎng)絡(luò))得到了廣泛的應(yīng)用，大量采用了Internet網(wǎng)絡(luò)中比較成熟的技術(shù).因此，現(xiàn)在的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)具有了更高的互聯(lián)互通特性.與此同時(shí)，2010年席卷全球工業(yè)界的“震網(wǎng)病毒”，使得工業(yè)控制系統(tǒng)網(wǎng)絡(luò)正面臨著越來(lái)越嚴(yán)峻的網(wǎng)絡(luò)信息安全問(wèn)題.

隨著車(chē)-地之間雙向、大容量、實(shí)時(shí)和可靠信息傳輸?shù)钠惹行枨?，CTCS-3[6]級(jí)列控系統(tǒng)引入GSMR無(wú)線通信技術(shù)應(yīng)用在時(shí)速300 km/h以上的高速鐵路中，地面設(shè)備增加無(wú)線閉塞中心(RBC)和GSM-R無(wú)線通信網(wǎng)絡(luò).然而，GSM-R采用無(wú)線公共信道，這使得鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)作為專(zhuān)網(wǎng)，具有了更高的開(kāi)放性，提供了從公共信道滲透鐵路信號(hào)系統(tǒng)的通道，增加了鐵路信號(hào)系統(tǒng)信息安全的脆弱性.

我國(guó)高速鐵路信號(hào)系統(tǒng)(CTCS-3)網(wǎng)絡(luò)主要由4部分組成:CTC(central traffic control)分散自律調(diào)度集中系統(tǒng)網(wǎng)絡(luò)[7]、信號(hào)安全通信數(shù)據(jù)網(wǎng)絡(luò)[8]、集中監(jiān)測(cè)網(wǎng)絡(luò)[9-10]以及 GSM-R 通信網(wǎng)絡(luò)[11].高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)復(fù)雜、異質(zhì)異構(gòu)(涉及到IP網(wǎng)絡(luò)、工控網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò))、安全等級(jí)不同、網(wǎng)絡(luò)設(shè)備管理配置復(fù)雜、故障定位及維護(hù)困難，還沒(méi)有達(dá)到統(tǒng)一安全策略、統(tǒng)一安全管控的信息安全目標(biāo)，以及配置管理集中化和智能化的運(yùn)營(yíng)要求.

目前，我國(guó)鐵路信號(hào)系統(tǒng)信息安全防護(hù)大量采用傳統(tǒng)的防火墻、訪問(wèn)控制、隔離、病毒漏洞掃描等技術(shù)，未針對(duì)我國(guó)鐵路通信應(yīng)用及相關(guān)安全通信協(xié)議(如 RSSP-Ⅱ協(xié)議[12])進(jìn)行專(zhuān)門(mén)的安全防護(hù)，致使有些情況下防護(hù)措施不能起到應(yīng)有的作用;另外，為了保證鐵路信號(hào)設(shè)備通信的實(shí)時(shí)性和可靠性，我國(guó)高速鐵路CTCS-3級(jí)列控系統(tǒng)信號(hào)安全通信數(shù)據(jù)網(wǎng)中未采用信息安全防護(hù)措施.

本文從我國(guó)高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)整體架構(gòu)出發(fā)，對(duì)信號(hào)系統(tǒng)的網(wǎng)絡(luò)安全性進(jìn)行了全面、詳細(xì)的分析，著重分析了高速鐵路信號(hào)系統(tǒng)中各個(gè)子系統(tǒng)間的接口安全，以及從較低安全等級(jí)網(wǎng)絡(luò)/系統(tǒng)(如CTC系統(tǒng)網(wǎng)絡(luò))向高安全等級(jí)網(wǎng)絡(luò)/系統(tǒng)(如信號(hào)安全通信數(shù)據(jù)網(wǎng))滲透的可能性.在分析的基礎(chǔ)上，提出了基于軟件定義網(wǎng)絡(luò)(SDN)的高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控方案，并對(duì)其功能特性進(jìn)行了分析和介紹.

1 高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)架構(gòu)分析

現(xiàn)代鐵路信號(hào)系統(tǒng)不是各種信號(hào)設(shè)備的簡(jiǎn)單組合，而是功能完善、層次分明的控制系統(tǒng).系統(tǒng)內(nèi)部各功能單元之間獨(dú)立工作，同時(shí)又相互聯(lián)系，交換信息，構(gòu)成復(fù)雜的網(wǎng)絡(luò)化結(jié)構(gòu).指揮者需要能夠全面了解轄區(qū)內(nèi)的各種情況，靈活配置系統(tǒng)資源，保證鐵路系統(tǒng)的高效、安全運(yùn)營(yíng).

圖1 高速鐵路信號(hào)系統(tǒng)典型組成架構(gòu)Fig.1 Typical architecture of Chinese high-speed railway signal system

高速鐵路信號(hào)系統(tǒng)(如圖1所示)，包括列控系統(tǒng)、行車(chē)指揮系統(tǒng)、聯(lián)鎖系統(tǒng)和信號(hào)集中監(jiān)測(cè)系統(tǒng).列控系統(tǒng)主要由列控中心(TCC)、車(chē)載設(shè)備、應(yīng)答器、無(wú)線閉塞中心(RBC)、臨時(shí)限速服務(wù)器和傳輸網(wǎng)絡(luò)組成;行車(chē)指揮系統(tǒng)由CTC中心、自律分機(jī)、傳輸網(wǎng)絡(luò)、服務(wù)器系統(tǒng)、行調(diào)臺(tái)、輔助臺(tái)和電源系統(tǒng)組成;聯(lián)鎖系統(tǒng)由聯(lián)鎖設(shè)備、軌道電路、道岔轉(zhuǎn)換、信號(hào)機(jī)和電源系統(tǒng)組成.信號(hào)集中監(jiān)測(cè)通過(guò)標(biāo)準(zhǔn)接口與聯(lián)鎖系統(tǒng)、列車(chē)控制中心、TDCS/CTC、智能電源屏、ZPW-2000軌道電路系統(tǒng)、有源應(yīng)答器、RBC、TSRS的信號(hào)設(shè)備連接，監(jiān)測(cè)設(shè)備狀態(tài).CTC分散自律調(diào)度集中通信網(wǎng)絡(luò)、信號(hào)安全通信數(shù)據(jù)網(wǎng)和集中監(jiān)測(cè)網(wǎng)絡(luò)安全等級(jí)不同，獨(dú)立成網(wǎng)，采用物理手段隔離(雙宿主機(jī)、接口服務(wù)器等)，但邏輯上依然相連.從理論上講，有可能從各個(gè)網(wǎng)絡(luò)的接口相互滲透.

2 高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)接口分析

2.1 列控系統(tǒng)接口安全分析

列車(chē)與RBC建立連接并保持連接，對(duì)列車(chē)與RBC連接狀態(tài)的準(zhǔn)確確認(rèn)，是保證列控中心指令正確傳達(dá)的基礎(chǔ).列控中心與聯(lián)鎖系統(tǒng)采用以太網(wǎng)連接，兩者之間未設(shè)置防火墻進(jìn)行隔離.如果引入防火墻進(jìn)行隔離以及相關(guān)的數(shù)據(jù)驗(yàn)證，有可能會(huì)影響數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性.列車(chē)車(chē)載設(shè)備與地面設(shè)備之間進(jìn)行相互通信，并向列控中心傳輸數(shù)據(jù)，因地面設(shè)備和列控中心之間的距離不同，從而會(huì)導(dǎo)致一定的時(shí)延誤差，有可能會(huì)影響行車(chē)的精確性.RBC與臨時(shí)限速服務(wù)器之間采用基于TCP/IP的安全數(shù)據(jù)通信網(wǎng)，保證數(shù)據(jù)的安全性，但是兩者之間未設(shè)置防火墻進(jìn)行防護(hù).

2.2 聯(lián)鎖系統(tǒng)接口安全分析

2.2.1 聯(lián)鎖系統(tǒng)上位機(jī)和CTC分機(jī)之間接口

(1)安全問(wèn)題及措施

聯(lián)鎖系統(tǒng)經(jīng)上位機(jī)與CTC系統(tǒng)的車(chē)站分機(jī)之間接口，采用局域網(wǎng)通信和TCP/IP協(xié)議，二者間的通信未采用安全通信協(xié)議.二者之間已經(jīng)采用了防火墻進(jìn)行防護(hù).由于CTC系統(tǒng)為非安全系統(tǒng)，從系統(tǒng)邊界防護(hù)角度考慮，應(yīng)該對(duì)CTC分機(jī)和上位機(jī)的通信接口采用安全通信協(xié)議.由于聯(lián)鎖系統(tǒng)要與信號(hào)安全數(shù)據(jù)通信以太網(wǎng)(控制網(wǎng))通信，而CTC分機(jī)要與調(diào)度集中數(shù)據(jù)通信以太網(wǎng)通信，對(duì)CTC分機(jī)和上位機(jī)之間的通信接口采用安全通信協(xié)議，可有效避免二網(wǎng)之間的相互滲透問(wèn)題，尤其可防止調(diào)度集中數(shù)據(jù)通信以太網(wǎng)對(duì)信號(hào)安全數(shù)據(jù)通信以太網(wǎng)(控制網(wǎng))的滲透問(wèn)題.

(2)可能帶來(lái)的影響

由于上位機(jī)和CTC并不負(fù)責(zé)控制命令的執(zhí)行，故采用安全協(xié)議后，雖然會(huì)影響上位機(jī)和CTC分機(jī)的實(shí)時(shí)性，但對(duì)控制系統(tǒng)核心功能(由聯(lián)鎖主機(jī)執(zhí)行)的執(zhí)行不會(huì)產(chǎn)生影響，這主要是因?yàn)橥ㄐ挪糠周浖δ艿耐晟疲粫?huì)增加額外的維護(hù)開(kāi)銷(xiāo).

2.2.2 聯(lián)鎖系統(tǒng)電務(wù)維修機(jī)和集中監(jiān)測(cè)系統(tǒng)接口

(1)安全問(wèn)題及措施

計(jì)算機(jī)聯(lián)鎖系統(tǒng)經(jīng)維修機(jī)與集中監(jiān)測(cè)系統(tǒng)的車(chē)站分機(jī)之間接口，通過(guò)局域網(wǎng)通信，采用TCP/IP協(xié)議和安全通信協(xié)議，二者之間未采用防火墻進(jìn)行防護(hù).由于集中監(jiān)測(cè)系統(tǒng)為非安全系統(tǒng)，從系統(tǒng)邊界防護(hù)角度考慮，應(yīng)該對(duì)集中監(jiān)測(cè)系統(tǒng)和維修機(jī)的通信接口采用安全通信協(xié)議，對(duì)二者之間的接口采用防火墻進(jìn)行防護(hù).由于聯(lián)鎖系統(tǒng)要與信號(hào)安全數(shù)據(jù)通信以太網(wǎng)(控制網(wǎng))通信，而集中監(jiān)測(cè)系統(tǒng)站內(nèi)分機(jī)要與集中監(jiān)測(cè)數(shù)據(jù)通信以太網(wǎng)通信，如果對(duì)電務(wù)維修機(jī)和集中監(jiān)測(cè)系統(tǒng)之間的通信接口采用安全通信協(xié)議，并采用防火墻進(jìn)行防護(hù)，可有效避免二網(wǎng)之間的相互滲透問(wèn)題，尤其是集中監(jiān)測(cè)數(shù)據(jù)通信以太網(wǎng)對(duì)信號(hào)安全數(shù)據(jù)通信以太網(wǎng)的滲透問(wèn)題.

(2)可能帶來(lái)的影響

由于維修機(jī)和集中監(jiān)測(cè)系統(tǒng)均只從聯(lián)鎖系統(tǒng)取信息，并不負(fù)責(zé)向聯(lián)鎖主機(jī)發(fā)送關(guān)鍵控制命令，故采用安全協(xié)議和防火墻防護(hù)后，對(duì)控制系統(tǒng)核心功能的執(zhí)行不會(huì)產(chǎn)生影響，不會(huì)增加額外的維護(hù).

2.2.3 聯(lián)鎖系統(tǒng)與列控中心、無(wú)線閉塞中心之間的接口

(1)安全問(wèn)題及措施

聯(lián)鎖系統(tǒng)與TCC、RBC之間的接口，通過(guò)信號(hào)安全數(shù)據(jù)通信以太網(wǎng)進(jìn)行通信，采用TCP/IP協(xié)議，信號(hào)安全數(shù)據(jù)通信以太網(wǎng)采用安全通信協(xié)議.各系統(tǒng)之間未采用防火墻進(jìn)行隔離.

幾個(gè)系統(tǒng)均為安全-關(guān)鍵系統(tǒng)，均為冗余結(jié)構(gòu)，負(fù)責(zé)關(guān)鍵控制功能的執(zhí)行.安全問(wèn)題涉及各個(gè)系統(tǒng)自身安全問(wèn)題和信號(hào)安全數(shù)據(jù)通信網(wǎng)通信安全性兩個(gè)方面.如何加強(qiáng)各系統(tǒng)之間的邊界防護(hù)是一個(gè)重要問(wèn)題.

(2)可能帶來(lái)的影響

這幾個(gè)系統(tǒng)是鐵路信號(hào)核心控制系統(tǒng)，增強(qiáng)系統(tǒng)關(guān)鍵部分和信號(hào)安全數(shù)據(jù)通信網(wǎng)安全防護(hù)措施，都可能對(duì)系統(tǒng)實(shí)時(shí)性造成影響，是否會(huì)對(duì)關(guān)鍵功能的執(zhí)行帶來(lái)影響因系統(tǒng)不同而不同，需具體分析.

2.3 集中監(jiān)測(cè)系統(tǒng)接口分析

(1)安全問(wèn)題及措施

集中監(jiān)測(cè)系統(tǒng)與其它控制系統(tǒng)之間的接口，采用站內(nèi)局域網(wǎng)和TCP/IP協(xié)議，二者間的通信未采用安全通信協(xié)議和防火墻.

由于集中監(jiān)測(cè)系統(tǒng)為非安全系統(tǒng)，從系統(tǒng)邊界防護(hù)角度考慮，應(yīng)該對(duì)集中監(jiān)測(cè)系統(tǒng)和其它系統(tǒng)之間的通信接口采用安全通信協(xié)議.集中監(jiān)控系統(tǒng)站內(nèi)部分與系統(tǒng)中心之間應(yīng)采用防火墻進(jìn)行防護(hù)，與其它系統(tǒng)接口之間也應(yīng)進(jìn)行防火墻防護(hù).由于控制系統(tǒng)(車(chē)站聯(lián)鎖、TCC)要與信號(hào)安全數(shù)據(jù)通信以太網(wǎng)(控制網(wǎng))通信，CTC系統(tǒng)與調(diào)度集中數(shù)據(jù)通信以太網(wǎng)通信，而集中監(jiān)測(cè)系統(tǒng)站內(nèi)分機(jī)要與集中監(jiān)測(cè)數(shù)據(jù)通信以太網(wǎng)通信，采用安全通信協(xié)議和防火墻隔離，可有效避三網(wǎng)之間的相互滲透問(wèn)題，尤其是對(duì)信號(hào)安全數(shù)據(jù)通信以太網(wǎng)的滲透問(wèn)題.

(2)可能帶來(lái)的影響

由于集中監(jiān)測(cè)系統(tǒng)均不下達(dá)控制命令，故幾者之間采用安全通信協(xié)議后，對(duì)控制系統(tǒng)核心功能的執(zhí)行不會(huì)產(chǎn)生影響.

2.4 GSM-R與公網(wǎng)接口安全分析

在GSM-R系統(tǒng)中的數(shù)據(jù)業(yè)務(wù)在核心網(wǎng)中經(jīng)過(guò)GRPS的網(wǎng)絡(luò)節(jié)點(diǎn)SGSN和GGSN與外網(wǎng)相聯(lián)通，因此GSM-R系統(tǒng)與公網(wǎng)接口的信息安全問(wèn)題也是極其重要的，需要通過(guò)不同手段在鐵路專(zhuān)網(wǎng)與公網(wǎng)間建立起一道有效的信息安全屏障.

我國(guó)的GSM-R系統(tǒng)的安全機(jī)制主要來(lái)源于GSM的原始方案，并針對(duì)一些比較關(guān)鍵的安全缺陷做了一些彌補(bǔ)措施，如表1所示.

由于GSM系統(tǒng)的方案確立于20世紀(jì)80年代末，方案中的很多核心算法和技術(shù)方案的設(shè)計(jì)過(guò)程均不公開(kāi)，隨著技術(shù)的發(fā)展，在實(shí)際使用中已暴露出了一些安全缺陷，如單向身份認(rèn)證、基站與基站間數(shù)據(jù)明文傳輸?shù)?

表1 GSM-R系統(tǒng)安全分析Tab.1 Security analysis of GSM-R system

雖然RSSP-Ⅱ協(xié)議為車(chē)-地信息傳輸提供了額外的完整性保護(hù)，但考慮到實(shí)時(shí)性和可靠性，高優(yōu)先級(jí)數(shù)據(jù)并未受到保護(hù).

3 低安全等級(jí)網(wǎng)絡(luò)向高安全等級(jí)網(wǎng)絡(luò)滲透可行性分析

在高速鐵路信號(hào)系統(tǒng)各個(gè)子系統(tǒng)網(wǎng)絡(luò)中，信號(hào)安全數(shù)據(jù)網(wǎng)負(fù)責(zé)聯(lián)鎖、列控、RBC和臨時(shí)限速服務(wù)器的通信，這些設(shè)備將直接影響列車(chē)的控制運(yùn)行，所以信號(hào)安全數(shù)據(jù)網(wǎng)為安全等級(jí)最高的網(wǎng)絡(luò)子系統(tǒng);相對(duì)于信號(hào)安全數(shù)據(jù)網(wǎng)，CTC系統(tǒng)網(wǎng)絡(luò)間接控制現(xiàn)場(chǎng)設(shè)備和列車(chē)為較低安全等級(jí)網(wǎng)絡(luò)子系統(tǒng).集中監(jiān)測(cè)系統(tǒng)只負(fù)責(zé)監(jiān)測(cè)現(xiàn)場(chǎng)設(shè)備狀態(tài)，發(fā)出故障報(bào)警等信息，不負(fù)責(zé)列車(chē)及設(shè)備控制，安全等級(jí)最低.由于集中監(jiān)測(cè)網(wǎng)絡(luò)不負(fù)責(zé)列車(chē)控制，所以本文重點(diǎn)分析從CTC系統(tǒng)(低安全等級(jí))向信號(hào)安全數(shù)據(jù)網(wǎng)(高安全等級(jí))滲透的可行性.

如圖2所示，在CTC系統(tǒng)和信號(hào)安全數(shù)據(jù)網(wǎng)中部署了大量服務(wù)器，采用了多個(gè)通用及專(zhuān)用操作系統(tǒng)，包括 Windows Server 2003/2008、Windows NT系列、Windows XP、Linux、FreeBSD、RedHat等，而大多數(shù)專(zhuān)用操作系統(tǒng)往往沒(méi)有內(nèi)置安全功能.由于信號(hào)系統(tǒng)的特殊性，軟件變更和補(bǔ)丁升級(jí)周期較長(zhǎng)，必須進(jìn)行徹底的測(cè)試，以遞增的方式部署到整個(gè)系統(tǒng)中，以確保系統(tǒng)的完整性和可靠性，但是，這樣對(duì)于系統(tǒng)和軟件新出現(xiàn)的漏洞不能及時(shí)更新，增加了被攻擊滲透的風(fēng)險(xiǎn).

如果以CTC車(chē)站局域網(wǎng)作為起點(diǎn)，有兩條路徑可以入侵到信號(hào)安全數(shù)據(jù)網(wǎng)中.第1條路徑如圖2(a)所示，首先從CTC車(chē)站子系統(tǒng)入侵到CTC中心系統(tǒng)中，關(guān)鍵是取得CTC-RBC接口服務(wù)器的控制權(quán)，下一步就可以通過(guò)信號(hào)安全數(shù)據(jù)網(wǎng)一側(cè)的接口服務(wù)器VIA入侵到信號(hào)安全數(shù)據(jù)網(wǎng)子系統(tǒng)中.第2條路徑如圖2(b)所示，同第1條路徑類(lèi)似，關(guān)鍵是取得臨時(shí)限速接口服務(wù)器的控制權(quán)，如果與臨時(shí)限速接口服務(wù)器連接的路由器配置不當(dāng)，則可以直接向信號(hào)安全數(shù)據(jù)網(wǎng)發(fā)起攻擊.

圖2 CTC車(chē)站局域網(wǎng)、CTC中心局域網(wǎng)和信號(hào)安全數(shù)據(jù)網(wǎng)連接拓?fù)銯ig.2 Topology and connectivity of CTC station LAN，CTC centre LAN and signal security data network

4 基于SDN的信號(hào)系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控方案

SDN[13-14]是一種新的網(wǎng)絡(luò)架構(gòu)，它把傳統(tǒng)網(wǎng)絡(luò)路由器和交換機(jī)的數(shù)據(jù)平面和控制平面分離，由邏輯統(tǒng)一的控制器(編寫(xiě)的軟件程序)控制所有設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)，進(jìn)行統(tǒng)一控制和全局管理.SDN架構(gòu)如圖3所示.

圖3 軟件定義網(wǎng)絡(luò)架構(gòu)Fig.3 Software defined networking architecture

當(dāng)網(wǎng)絡(luò)的控制平面和數(shù)據(jù)平面分離，網(wǎng)絡(luò)的控制平面可以抽象成網(wǎng)絡(luò)操作系統(tǒng)[15]和網(wǎng)絡(luò)虛擬化層，與服務(wù)器虛擬化類(lèi)，網(wǎng)絡(luò)操作系統(tǒng)為上層提供全局網(wǎng)絡(luò)資源[16]，在此基礎(chǔ)上可以進(jìn)行網(wǎng)絡(luò)虛擬化，形成網(wǎng)絡(luò)虛擬化層[17]，再由不同的控制程序分別來(lái)控制不同網(wǎng)絡(luò)虛擬化拓?fù)涞木W(wǎng)絡(luò)管理和數(shù)據(jù)轉(zhuǎn)發(fā).

如圖1所示，我國(guó)高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)由3張子網(wǎng)構(gòu)成:CTC系統(tǒng)網(wǎng)絡(luò)、信號(hào)安全數(shù)據(jù)網(wǎng)和集中監(jiān)測(cè)網(wǎng)絡(luò)，它們?yōu)楦髯元?dú)立的物理網(wǎng)絡(luò)，通過(guò)物理手段進(jìn)行隔離(如雙宿主機(jī)，接口服務(wù)器等)，使得不同系統(tǒng)間接口復(fù)雜，并且安全等級(jí)不同，維護(hù)管理困難，導(dǎo)致系統(tǒng)整體安全性降低.為此，本文基于SDN架構(gòu)，提出軟件定義高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)，以解決信號(hào)系統(tǒng)復(fù)雜網(wǎng)絡(luò)的安全管理問(wèn)題.首先，把CTC系統(tǒng)網(wǎng)絡(luò)，信號(hào)安全數(shù)據(jù)和集中監(jiān)測(cè)網(wǎng)絡(luò)3個(gè)物理獨(dú)立的子網(wǎng)，融為基于SDN的統(tǒng)一網(wǎng)絡(luò)硬件平臺(tái)(如圖4所示)，由邏輯統(tǒng)一的分布式控制技術(shù)和基于SDN的冗余技術(shù)[18]保障高可靠性，在統(tǒng)一的網(wǎng)絡(luò)硬件平臺(tái)基礎(chǔ)上，通過(guò)網(wǎng)絡(luò)虛擬化技術(shù)，軟件定義信號(hào)系統(tǒng)的各個(gè)功能子網(wǎng)，由原來(lái)復(fù)雜的物理隔離網(wǎng)絡(luò)變?yōu)楦咝Э煽氐能浖綦x網(wǎng)絡(luò)，進(jìn)一步實(shí)現(xiàn)了信號(hào)系統(tǒng)網(wǎng)絡(luò)安全的統(tǒng)一管控.基于SDN的信號(hào)系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控方案如圖5所示.

圖4 軟件定義高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)架構(gòu)Fig.4 Architecture of software defined Chinese train control systems(SD-CTCS)

4.1 資產(chǎn)注冊(cè)和服務(wù)管理

根據(jù)每個(gè)設(shè)備開(kāi)啟的網(wǎng)絡(luò)服務(wù)，或者是需要由哪個(gè)設(shè)備提供的網(wǎng)絡(luò)服務(wù)，首先要在鐵路設(shè)備資產(chǎn)安全管理服務(wù)器上進(jìn)行注冊(cè)和認(rèn)證，沒(méi)有認(rèn)證的服務(wù)或訪問(wèn)關(guān)系，網(wǎng)絡(luò)控制器不允許其使用網(wǎng)絡(luò)，大大提高了對(duì)網(wǎng)絡(luò)服務(wù)和終端設(shè)備的管控力度.

4.2 安全通信管理和訪問(wèn)控制

根據(jù)已經(jīng)注冊(cè)和認(rèn)證的合理網(wǎng)絡(luò)服務(wù)及各個(gè)服務(wù)的訪問(wèn)關(guān)系，制定業(yè)務(wù)通信管理矩陣，網(wǎng)絡(luò)控制器可以通過(guò)業(yè)務(wù)通信管理矩陣強(qiáng)制控制某個(gè)設(shè)備或程序可以訪問(wèn)的網(wǎng)絡(luò)服務(wù)資源，從而達(dá)到全局的安全通信管理和訪問(wèn)控制的目的.

4.3 網(wǎng)絡(luò)數(shù)據(jù)追蹤溯源和網(wǎng)絡(luò)診斷

網(wǎng)絡(luò)控制器可以標(biāo)識(shí)和記錄每個(gè)數(shù)據(jù)包的來(lái)源(設(shè)備、地址、交換機(jī)、交換機(jī)端口、業(yè)務(wù)ID等)，實(shí)現(xiàn)數(shù)據(jù)包和其來(lái)源信息的綁定.當(dāng)網(wǎng)絡(luò)安全檢測(cè)設(shè)備發(fā)現(xiàn)異常時(shí)，可以及時(shí)準(zhǔn)確的追蹤溯源.另外，當(dāng)發(fā)現(xiàn)業(yè)務(wù)或數(shù)據(jù)異常時(shí)，也可以根據(jù)綁定信息對(duì)異常設(shè)備進(jìn)行迅速定位.

圖5 信號(hào)系統(tǒng)網(wǎng)絡(luò)統(tǒng)一安全管控方案Fig.5 Unified security control and management strategy for Chinese train control network

5 結(jié)束語(yǔ)

本文全面分析了我國(guó)高速鐵路信號(hào)系統(tǒng)信息安全和網(wǎng)絡(luò)安全，包括不同系統(tǒng)之間接口所面臨的安全問(wèn)題、GSM-R系統(tǒng)的安全問(wèn)題以及從信號(hào)系統(tǒng)較低安全等級(jí)網(wǎng)絡(luò)向高安全等級(jí)網(wǎng)絡(luò)滲透等問(wèn)題.在安全性分析的基礎(chǔ)上，對(duì)我國(guó)信號(hào)系統(tǒng)網(wǎng)絡(luò)的發(fā)展進(jìn)行了積極的探索，提出了一種基于SDN

的下一代鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)架構(gòu).在此架構(gòu)上通過(guò)對(duì)信號(hào)系統(tǒng)資產(chǎn)注冊(cè)和服務(wù)管理、訪問(wèn)控制以及網(wǎng)絡(luò)數(shù)據(jù)的追蹤，可以提高我國(guó)高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)安全性，減少對(duì)信號(hào)系統(tǒng)復(fù)雜網(wǎng)絡(luò)管理的復(fù)雜性，促進(jìn)我國(guó)高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)的發(fā)展.

[1]CHEN T M，ABU-NIMEH S.Lessons from stuxnet[J].Computer，2011，44(4):91-93.

[2]BREWER R.Advanced persistent threats:minimising the damaged[J].Network Security，2014，2014(4):5-9.

[3]北京交通大學(xué)，株洲南車(chē)時(shí)代電氣股份有限公司.GB/T 24339.1—2009軌道交通 通信、信號(hào)和處理系統(tǒng)第1部分 封閉式傳輸系統(tǒng)中的安全相關(guān)通信[S].北京:國(guó)家質(zhì)檢總局，2009.

[4]北京交通大學(xué)，株洲南車(chē)時(shí)代電氣股份有限公司.GB/T 24339.2—2009軌道交通 通信、信號(hào)和處理系統(tǒng)第2部分 開(kāi)放式傳輸系統(tǒng)中的安全相關(guān)通信[S].北京:國(guó)家質(zhì)檢總局，2009.

[5]DECOTIGNIE JD. Ethernet-based real-timeand industrial communications[J]. Proceeding of IEEE，2005，93(6):1102-1117.

[6]中華人民共和國(guó)鐵道部.科技運(yùn)[2008]34號(hào) CTCS-3級(jí)列控系統(tǒng)總體技術(shù)方案[S].北京:中國(guó)鐵道出版社，2008.

[7]中華人民共和國(guó)鐵道部.科技運(yùn)[2004]15號(hào) 分散自律調(diào)度集中系統(tǒng)技術(shù)條件[S/OL].(2004-02-12)[2014-08-05].http://www.cqvip.com/QK/71135X/201107/15210729.html.

[8]中華人民共和國(guó)鐵道部.運(yùn)基信號(hào)[2009]223號(hào) 客運(yùn)專(zhuān)線信號(hào)系統(tǒng)安全數(shù)據(jù)網(wǎng)技術(shù)方案 V2.0[S/OL].(2010-11-12)[2014-08-05].http://wenku.baidu.com/link?url=8TJbHyzuhblXjG3n-yuHBIwiiorh3 M55dV2clXl_njji-DQ_fKeGG_POi-R1emfjXzM89sH2p MOjpnOKJG2hWM7pFey2UB45zLAyhD0Jsqe.

[9]中華人民共和國(guó)鐵道部.運(yùn)基信號(hào)[2010]709號(hào) 鐵路信號(hào)集中監(jiān)測(cè)系統(tǒng)技術(shù)條件[S/OL].(2010-09-20) [2014-08-05]. http://www.doc88.com/p-387779310476.html.

[10]劉大為，郭進(jìn)，王小敏，等.中國(guó)鐵路信號(hào)系統(tǒng)智能監(jiān)測(cè)技術(shù)[J].西南交通大學(xué)學(xué)報(bào)，2014，49(5):904-912.

LIU Dawei， GUO Jin， WANG Xiaomin， etal.Intelligent monitoring technologies for railway signaling systems in China[J].Journal of Southwest Jiaotong University，2014，49(5):904-912.

[11]中華人民共和國(guó)鐵道部.運(yùn)基通信[2006]185號(hào)GSM-R與CTC系統(tǒng)接口規(guī)范[S/OL].(2006-06-08)[2014-08-05]http://wenku.baidu.com/link?url=Ojz-WTidYAHvmsH8GHDIpiOPeTMLBl4Fv8WzmqKF gyUgsaZLk_Z1mJoUoK9AdgcKVrD6kdumiROkLgIi8weIeb 4jv9PI7Qi0V_R12HmdnMi.

[12]中華人民共和國(guó)鐵道部.運(yùn)基信號(hào)[2010]267號(hào)鐵路信號(hào)安全通信協(xié)議技術(shù)規(guī)范[S/OL].[2014-08-05].http://down.51cto.com/data/967413.

[13]MARTIN C，MICHAEL J，JUSTIN P，et al.Ethane:taking control of the enterprise[J].ACM SIGCOMM Computer Communication Review，2007，37(4):1-12.

[14]ONF.Software-defined networking:the new norm for networks[DB/OL].(2012-04-13)[2014-08-05].https://www.opennetworking.org/images/stories/down loads/sdn-resources/white-papers/wp-sdn-newnorm.pdf.

[15]GUDE N，KOPNNEN T，PETTIT J，et al.NOX:towards and operating system for networks[J].ACM Sigcomm Computer Communication Review，2008，38(3):105-110.

[16]NICK M，ANDERSON T，BALAKRISHNAN H，et al.OpenFlow:enabling innovation in campus networks[J].ACM Sigcomm ComputerCommunication Review，2008，38(2):69-74.

[17]SHERWOOD R，GIBB G，YAP K K，et al.Carving research slices out of your production networks with OpenFlow[J]. ACM Sigcomm Computer Communication Review，2010，40(1):129-130.

[18]LI S F，YAN L S，XING H L，et al.Enhanced robustness of control network for chinese train control system level 3(CTCS-3)facilitated by software defined networking[J]. International Journal of Rail Transportation，2014，2(4):239-252.