鐵路動車組WiFi運營服務(wù)系統(tǒng)安全與防護(hù)

董興芝，王富章，王忠峰

(中國鐵道科學(xué)研究院 研究生部，北京 100081)

0 引言

信息化時代，公共無線網(wǎng)絡(luò)備受人們追捧，無線WiFi網(wǎng)絡(luò)覆蓋越來越多的公共場所，真正實現(xiàn)了“走到哪兒，WiFi連到哪兒”。鐵路動車組WiFi運營服務(wù)系統(tǒng)作為“復(fù)興號”標(biāo)動列車的配套設(shè)施相繼問世，自2018年7月1日鐵路調(diào)圖以來，復(fù)興號列車日開行量增至170.5對。伴隨標(biāo)動列車上線數(shù)量的增加以及開行范圍擴(kuò)大，其車載WiFi服務(wù)系統(tǒng)運營環(huán)境日趨復(fù)雜，旅客在享受免費休閑便利的同時，也面臨著諸多網(wǎng)絡(luò)安全風(fēng)險。

在當(dāng)前移動通信技術(shù)日益發(fā)展的今天，公共場所無線WiFi的安全風(fēng)險已有諸多的應(yīng)對策略，如文獻(xiàn)[1]提出基于網(wǎng)絡(luò)隔離域、訪問控制等機(jī)制對公共場所無線WiFi系統(tǒng)進(jìn)行安全防護(hù)，文獻(xiàn)[2]提出規(guī)范無線網(wǎng)絡(luò)建設(shè)、建立WiFi管理機(jī)制以降低無線網(wǎng)絡(luò)安全風(fēng)險等。盡管目前諸多無線網(wǎng)絡(luò)安全防護(hù)策略已在公共場所得到實際應(yīng)用，但是，鑒于鐵路動車組WiFi運營服務(wù)應(yīng)用場景的特殊性，在無線安全防護(hù)業(yè)界沒有可以借鑒的成熟經(jīng)驗或技術(shù)，迫切需要自身投入研究。針對上述問題，本文基于鐵路動車組WiFi運營服務(wù)系統(tǒng)應(yīng)用場景，綜合分析系統(tǒng)面臨的安全風(fēng)險，并從多維度提出了安全應(yīng)對策略，建立安全防控體系，維護(hù)了系統(tǒng)平臺穩(wěn)健運行，保障了接入用戶的信息安全。

1 動車組WiFi運營服務(wù)的安全風(fēng)險分析

1.1 WiFi運營服務(wù)系統(tǒng)組成架構(gòu)

鐵路動車組WiFi運營服務(wù)系統(tǒng)主要由地面運維中心、互聯(lián)網(wǎng)接入通道、車載局域網(wǎng)和車載服務(wù)與管理平臺4部分組成，車載局域網(wǎng)作為鐵路動車組WiFi運營服務(wù)系統(tǒng)的重要組成部分[3-4]，為旅客提供豐富的局域網(wǎng)及互聯(lián)網(wǎng)接入服務(wù)，車載局域網(wǎng)主要是由中心服務(wù)器、單車服務(wù)器和AP組成。其組網(wǎng)方案是短編組列車配置1臺中心服務(wù)器、8臺單車服務(wù)器、16臺AP和車廂AP直連單車服務(wù)器上，中心、單車服務(wù)器之間以交換機(jī)作為節(jié)點通過千兆以太網(wǎng)，實現(xiàn)車載局域網(wǎng)的互聯(lián)互通。中心服務(wù)器通過車頂3G/4G天線與鐵路沿線運營商公網(wǎng)基站建立無線通道，為旅客提供互聯(lián)網(wǎng)接入服務(wù)。 鐵路動車組WiFi運營服務(wù)系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)總體結(jié)構(gòu)

1.2 WiFi運營服務(wù)系統(tǒng)風(fēng)險因素分析

鐵路動車組作為一種運營量極大的公共交通方式，其客流量大、密度高，一節(jié)滿車廂為60～100人，每天進(jìn)行長達(dá)近11 h長距離行駛[5]。其服務(wù)空間封閉，區(qū)域范圍固定為列車車廂內(nèi)部，旅客在接受旅途中密閉、漫長的車旅服務(wù)同時，對途中休閑娛樂、網(wǎng)上商城和互聯(lián)網(wǎng)接入等服務(wù)有著強(qiáng)勁需求，這給鐵路動車組WiFi運營服務(wù)系統(tǒng)帶來了巨大用戶訪問量。經(jīng)對京滬線“復(fù)興號”列車WiFi接入用戶數(shù)據(jù)采集分析，鐵路動車組WiFi運營服務(wù)系統(tǒng)每分鐘活躍用戶總數(shù)始終保持在100以上[6]。

無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更顯開放，車載無線局域網(wǎng)以空中公共電磁波為載體，直接暴露于動車組車廂中，無明顯網(wǎng)絡(luò)安全邊界。此外，鐵路動車組WiFi運營服務(wù)系統(tǒng)采用半開放式連接方式，意味著任何WiFi信號覆蓋范圍內(nèi)，惡意攻擊者都可輕易竊取和儲存無線局域網(wǎng)中任何交通信息，通過使用惡意監(jiān)聽軟件嗅探抓包，監(jiān)聽旅客交互信息，截獲用戶瀏覽終端設(shè)備數(shù)據(jù)、網(wǎng)銀信息以及各種賬號密碼等；車載無線局域網(wǎng)易于訪問和配置簡單，這使非法分子很容易偽裝或搭建一個偽裝AP，通過改變或抑制節(jié)點之間傳輸數(shù)據(jù)，導(dǎo)致信息的完整性丟失。眾多風(fēng)險因素及安全隱患，促使鐵路動車組的WiFi運營服務(wù)系統(tǒng)在用戶身份鑒別、系統(tǒng)訪問控制、非法入侵檢測等方面實施有效防護(hù)對策，以保障系統(tǒng)穩(wěn)定、安全、可靠運行。

2 動車組WiFi運營服務(wù)安全防護(hù)關(guān)鍵技術(shù)

鐵路動車組WiFi運營服務(wù)系統(tǒng)的安全防護(hù)總體上基于訪問代理控制、網(wǎng)絡(luò)域隔離及風(fēng)控預(yù)警等機(jī)制，形成由外及內(nèi)的系統(tǒng)縱深協(xié)同保護(hù)。從系統(tǒng)應(yīng)用安全設(shè)計及系統(tǒng)網(wǎng)絡(luò)安全設(shè)計角度出發(fā)，通過用戶身份鑒別、系統(tǒng)訪問控制、安全通信傳輸、安全檢測與監(jiān)控及故障告警等關(guān)鍵技術(shù)，結(jié)合必要的安全管理措施，形成鐵路站車WiFi運營服務(wù)系統(tǒng)從接入終端到車載局域網(wǎng)再到地面管理中心一條龍式的安全防護(hù)體系 。

2.1 安全認(rèn)證

嚴(yán)格的認(rèn)證方式和認(rèn)證策略是鐵路動車組WiFi運營服務(wù)系統(tǒng)的重要保障，該系統(tǒng)統(tǒng)一客戶端與各應(yīng)用系統(tǒng)之間的單點登錄流程，統(tǒng)一用戶信息、電商信息和交易信息等關(guān)鍵信息通過應(yīng)用平臺的統(tǒng)一認(rèn)證。

① 旅客用戶通過Portal頁輸入手機(jī)號和短信驗證碼認(rèn)證接入車載局域網(wǎng)，平臺建立手機(jī)號碼和終端MAC的綁定關(guān)系，并提供定期強(qiáng)制重新綁定，認(rèn)證信息請求采用安全套接層(SSL)證書技術(shù)與安全超文本傳輸協(xié)議(HTTPS)，對用戶及服務(wù)器進(jìn)行認(rèn)證[1]，對傳送數(shù)據(jù)進(jìn)行加密，保證傳輸網(wǎng)絡(luò)的機(jī)密性和完整性[7]。

② 采用遠(yuǎn)程撥號認(rèn)證服務(wù)(Remote Authentication Dial In User Service，RADIUS)認(rèn)證服務(wù)器，WiFi接入者的安全信息資料直接保存于RADIUS認(rèn)證服務(wù)器中，維護(hù)了用戶隱私信息安全[8-9]。

③ 通用SSH雙因子認(rèn)證方式遠(yuǎn)程登錄車載WiFi平臺，提高了網(wǎng)絡(luò)系統(tǒng)的安全性和便利性[10]。雙因子認(rèn)證(2FA)是基于SSH協(xié)議上組合2種不同的驗證方式進(jìn)行用戶身份驗證的機(jī)制，SSH協(xié)議與遠(yuǎn)程服務(wù)器之間的通信數(shù)據(jù)是安全加密的[11]，同時協(xié)議使用的MD5和SHA-1等算法避免數(shù)據(jù)傳輸中被篡改或源目的地址的偽造，確保了數(shù)據(jù)的完整性。SSH雙因子認(rèn)證在SSH單因子認(rèn)證(1FA)基礎(chǔ)上再添安全層，除SSH公鑰驗證外再借助其他工具提供一個基于時間的一次性的密碼(TOTP)驗證碼，其認(rèn)證過程如圖2所示。

圖2 SSH雙因子認(rèn)證流程

2.2 安全檢測與監(jiān)控

安全入侵檢測與監(jiān)控是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)之一，是作為實現(xiàn)網(wǎng)絡(luò)安全防護(hù)的重要手段[12]，在傳統(tǒng)有線網(wǎng)絡(luò)環(huán)境中已有較為成熟的應(yīng)用，但將其應(yīng)用于無線網(wǎng)絡(luò)中仍面臨著許多技術(shù)難題。鐵路動車組WiFi運營服務(wù)系統(tǒng)場景的開放性和復(fù)雜性要求系統(tǒng)具備全面安全檢測與監(jiān)控功能。本系統(tǒng)基于現(xiàn)有技術(shù)條件，深入監(jiān)控分析協(xié)議流量、入侵病毒、資源消耗、漏洞違規(guī)、主機(jī)設(shè)備狀態(tài)及應(yīng)用，檢測系統(tǒng)外侵資源違規(guī)活動[13]，創(chuàng)建高效預(yù)警機(jī)制，尤其在車載AP狀態(tài)監(jiān)控與防護(hù)、偽裝AP檢測與阻斷、用戶行為審計等方面對系統(tǒng)實施了有效的防護(hù)措施，確保了系統(tǒng)運行安全穩(wěn)定。

2.2.1 車載AP狀態(tài)監(jiān)控與防護(hù)

鐵路動車組WiFi運營服務(wù)系統(tǒng)設(shè)定30 s為一上報周期，對車載AP的狀態(tài)進(jìn)行監(jiān)控，設(shè)定AP在線狀態(tài)值為1，不在線狀態(tài)值0。車載AC(車載WiFi無線接入控制器)設(shè)定15 mins為一周期對AP上報狀態(tài)結(jié)果進(jìn)行分析，以單車廂分組(每單車廂固定配置2個AP)，通過分析周期內(nèi)上報數(shù)據(jù)的最新值、最小值、平均值及最大值來實時監(jiān)控車載AP的運行狀態(tài)，其狀態(tài)分析展示如圖3所示，通過單車廂預(yù)設(shè)閾值N作為警報觸發(fā)器，一旦平均值小于閥值N，會直接進(jìn)行報警。

圖3 AP狀態(tài)監(jiān)控圖

2.2.2 偽裝AP監(jiān)測與阻斷

車載AP作為與用戶連接握手的最直接設(shè)備，其安全性尤為重要，有效檢測非法AP入侵并積極對其阻斷是全系統(tǒng)安全防護(hù)的關(guān)鍵環(huán)節(jié)[14]。鐵路動車組WiFi運營服務(wù)系統(tǒng)通過對車載AP進(jìn)行唯一性加密包裝，在車載局域網(wǎng)中組建成“親密性”網(wǎng)絡(luò)域，一方面外侵AP無法輕易進(jìn)入該網(wǎng)絡(luò)域，另一面車載自身網(wǎng)絡(luò)可敏感察覺外侵AP，并可快速識別判斷其位置，進(jìn)而對其阻斷，主要防護(hù)過程如下：

(1)AP加密生成唯一標(biāo)識

車廂內(nèi)偽裝AP會偽裝成與車載AP同SSID、同開放形式，甚至同功率、同頻道。如何在混雜環(huán)境中有效識別合法授權(quán)AP，這需要車載AP之間通過特有握手“暗號”進(jìn)行互識確認(rèn)?；谲囕d環(huán)境密閉和干擾性小的條件下，通過抓獲網(wǎng)絡(luò)數(shù)據(jù)包分析SSID、MAC、Vendor等多重屬性，完全可以定義AP網(wǎng)絡(luò)的唯一性，但以目前黑客的手段，這些信息完全可被模擬，這會讓偽裝AP有機(jī)可乘。理論上最可行的方法是對車載AP設(shè)置唯一ID，此ID不可被模擬且能夠被識別。鐵路動車組WiFi運營服務(wù)系統(tǒng)根據(jù)802.11系列相關(guān)協(xié)議中Beacon數(shù)據(jù)包會攜帶AP網(wǎng)絡(luò)相關(guān)屬性進(jìn)行廣播這一特點，利用協(xié)議標(biāo)準(zhǔn)未定義的224字段進(jìn)行唯一性標(biāo)識加密，唯一性標(biāo)識加密算法是通過RC4、設(shè)備MAC地址與隨機(jī)碼組合，不定期更新。Beacon數(shù)據(jù)包攜帶的網(wǎng)絡(luò)屬性信息如圖4所示。

圖4 Beacon包

(2)偽裝AP監(jiān)測

考慮到偽裝AP所在的頻道不固定，檢測偽裝AP要在2.4 GHz和5.8 GHz頻段所有頻道上進(jìn)行掃描。同一車載環(huán)境下，車載AP既要辨識同身份AP，又要檢測偽裝AP，還不能對系統(tǒng)本身性能產(chǎn)生過大影響。因此，系統(tǒng)采用AP間歇性掃描形式檢測，偶數(shù)車廂靠近車頭一側(cè)AP在2.4 GHz網(wǎng)卡中虛擬出終端接口，奇數(shù)車廂靠車尾一側(cè)AP在5.8 GHz網(wǎng)卡中虛擬出終端接口，都設(shè)置為Monitor模式，進(jìn)行全列車數(shù)據(jù)包采集，調(diào)整虛擬接口到過濾模式，僅接收Beacon包。監(jiān)聽網(wǎng)卡不斷輪循所有頻道，設(shè)置每個頻道的監(jiān)聽時間為0.5 s，20 mins一個掃描周期，對接收的Beacon包進(jìn)行提取分析，提取字段如下：

① Beacon包中代表AP或者路由器設(shè)備的MAC地址；

② 提取加密類型；

③ 提取信號值大?。?/p>

④ 提取SSID；

⑤ 提取224字段值，如果存在進(jìn)行解密。

通過驗證數(shù)據(jù)包中攜帶的網(wǎng)絡(luò)SSID、開放形式和224字段是否定義或者224字段解密后標(biāo)識不能與Beacon包中的MAC匹對一致，檢測出AP的真?zhèn)巍?/p>

(3)偽裝AP的阻斷

監(jiān)聽網(wǎng)卡一旦判斷出AP的真實身份，立刻將分析結(jié)果上報給車載AC無線控制器，車載AC根據(jù)上報的結(jié)果進(jìn)行偽裝AP位置車廂判斷，進(jìn)而進(jìn)行阻斷，其詳細(xì)步驟如下：① 每一車廂的車載AP都具備阻斷模式，因此只需模糊判定出偽裝AP所在的車廂位置，車載AC控制器即可下發(fā)阻斷指令到對應(yīng)車廂所在AP，由其負(fù)責(zé)阻斷偽裝AP。車載監(jiān)聽網(wǎng)卡布置范圍分配如圖5所示，系統(tǒng)對偽裝AP位置車廂的判斷采用基于RSSI定位算法[15]，RSSI定位算法是把偽裝AP在臨近之間的監(jiān)聽網(wǎng)卡上接收的場強(qiáng)建成一個場強(qiáng)集合，通過預(yù)先設(shè)定的閾值T及場強(qiáng)集合中各元素進(jìn)行比對，模糊定位出偽裝AP的所在位置車廂號，其匹配過程如下：

圖5 車載AP監(jiān)聽網(wǎng)卡范圍分布

設(shè)定：

1. 2x:偶數(shù)車廂號；2x±1:奇數(shù)車廂號；x∈(1,2,3……)；

2.APA:車廂內(nèi)靠近車頭一側(cè)AP;APB:單車廂內(nèi)靠近車尾一側(cè)AP；

4.T:設(shè)置車廂內(nèi)信號強(qiáng)度閾值，單位為：dBm；

6.ap:車廂內(nèi)偽裝AP;D:車載AP掃描到的數(shù)據(jù)包集合；

7.Bapy：攜帶偽裝AP信息的Beacon包;y表示偽裝AP所在車廂號。

判斷2.4 GHz頻段偽裝AP位置算法如下：

提取相鄰偶數(shù)車廂(2x，2(x-1)，2(x+1))車頭監(jiān)聽AP的采集信息進(jìn)行配對。

1. 輸入：

2. 輸出：y

①；

②；

輸出：y=2x偽裝AP位于2x車廂；

③；

④；

⑤；

⑥；

輸出：y=2(x+1)

偽裝AP位于2(x+1)車廂

end if

輸出：y=2x+1

偽裝AP位于2(x-1)車廂

end if

輸出：y=2(x-1)

偽裝AP位于2(x-1)車廂

end if

輸出：y=2x-1 偽裝AP位于2x-1車廂

end if

end if

5. returny定位出偽裝AP所在車廂號

偽裝AP位置車廂已確定，車載AC控制器下發(fā)阻斷指令到y(tǒng)車廂內(nèi)的車載AP。該車載AP接到阻斷指令后切換到與偽裝AP相同頻道上，首先虛擬一個用戶，去接入此偽裝AP，將返回的URL地址等記錄保存下來，并上傳車載AC控制器，對其違法行為進(jìn)行記錄。

該攜帶任務(wù)的車載切換到阻斷模式，通過虛擬接口不斷廣播帶有取消身份驗證的報文，用戶終端自認(rèn)為該報文來自連接中的AP，在大量阻斷包作用下，進(jìn)行Deauth阻斷。

在一定的時間范圍內(nèi)沒有收到偽裝AP的Beacon數(shù)據(jù)包視為偽裝AP消失，結(jié)束阻斷模式，進(jìn)入到監(jiān)聽模式，偽裝AP成功被阻斷。

2.2.3 用戶安全審計

鐵路動車組WiFi運營服務(wù)系統(tǒng)AC管理平臺可對車廂內(nèi)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實時監(jiān)控，通過對終端認(rèn)證方式、用戶行為信息的跟蹤監(jiān)控，全程把控車載WiFi網(wǎng)絡(luò)的使用和接入情況，存留用戶行為日志、終端地址、位置軌跡等在線以及離線數(shù)據(jù)作為審計。除此之外，車載AC管理平臺在服務(wù)訪問點AP上啟用MAC過濾器功能，在AP列表中記錄不合常規(guī)的終端設(shè)備MAC地址，定期刷新和檢查日志記錄，以提高系統(tǒng)安全信息可追溯性，增強(qiáng)平臺安全應(yīng)急效率。

2.3 故障告警

故障監(jiān)測與告警是鐵路動車組WiFi系統(tǒng)平臺安全穩(wěn)定運行的前提保障。鐵路動車組WiFi運營服務(wù)系統(tǒng)運用Zabbix監(jiān)控技術(shù)，對系統(tǒng)運行狀態(tài)進(jìn)行全方位監(jiān)控，并運用多級預(yù)警機(jī)制，實現(xiàn)對系統(tǒng)故障的實時檢測與告警。通過對系統(tǒng)各進(jìn)程、內(nèi)存占用率、CPU負(fù)載及CMS應(yīng)用等重要參數(shù)指標(biāo)添加觸發(fā)器，預(yù)設(shè)告警閾值，一旦Zabbix系統(tǒng)檢測出安全隱患，立即響應(yīng)預(yù)警機(jī)制。Zabbix系統(tǒng)監(jiān)控界面如圖6所示，可直觀展示出最新監(jiān)測的告警信息，通過不同顏色描述故障嚴(yán)重等級。從監(jiān)控主界面可直接查看到發(fā)生告警車底號、警告內(nèi)容和歷時時間等信息。

基于Zabbix監(jiān)控平臺之上，增加系統(tǒng)告警媒介，當(dāng)觸發(fā)器觸發(fā)時產(chǎn)生報警信息，由Zabbix直接推報到告警媒介，實現(xiàn)終端告警推送[16-17]。鐵路動車組Wi-Fi運營服務(wù)系統(tǒng)以釘釘作為媒介來接收告警信息，其告警日志如圖7所示。

圖6 Zabbix系統(tǒng)監(jiān)控界面

圖7 告警日志

報警日志由主要問題類型、問題描述、項目鍵值、問題級別以及發(fā)送對象組成[18]，日志中的“2:3”即為要發(fā)送的釘釘群組tokenId。接收端將報警信息格式化處理，根據(jù)tokenId從配置文件中獲取釘釘報警群組的token，調(diào)用釘釘?shù)慕涌诎l(fā)送報警信息到對應(yīng)群組中。釘釘?shù)膱缶扑托Ч鐖D8所示。

圖8 報警推送效果圖

3 結(jié)束語

隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷擴(kuò)展，其安全問題會越來越受重視。基于鐵路動車組WiFi運營服務(wù)系統(tǒng)實際應(yīng)用場景，本文主要在系統(tǒng)安全認(rèn)證、安全檢測與監(jiān)控和故障告警3方面做了深層次分析，形成了鐵路動車組WiFi運營服務(wù)系統(tǒng)安全防護(hù)體系，確保了系統(tǒng)安全運轉(zhuǎn)和平穩(wěn)運行。該防護(hù)方案已在“復(fù)興號”標(biāo)動列車無線局域網(wǎng)中進(jìn)行了實際應(yīng)用，保障了接入旅客私有信息安全，提高了旅客乘車體驗感，打造了一個安全放心的鐵路動車組WiFi接入服務(wù)平臺。同時，此安全防護(hù)技術(shù)的應(yīng)用對類似系統(tǒng)安全運維具有參考借鑒價值。