李晨晨，臧海娟

（1.江蘇理工學院 機械工程學院，江蘇 常州 213001;2.江蘇理工學院 計算機工程學院, 江蘇 常州 213001）

0 引 言

現代軌道交通列車控制系統(tǒng)通常包括核心交換機、車載列車控制設備、車地雙向信息通信和列車定位系統(tǒng)。目前，CBTC系統(tǒng)主要采用移動通信系統(tǒng)GSM-R或IEEE 802.11標準的WLAN無線網，作為車地通信的信息傳輸媒介。CBTC系統(tǒng)不再依賴軌道電路進行列車定位，而是通過列車自身產生的位置信息數據，通過車地無線雙向通信，實時與地面無線閉塞控制中心進行信息交互，進而實現列車速度和安全運行間隔控制。根據這一特征，要求車地無線通信具有大容量連續(xù)雙向通信的能力，以便地面設備和車載設備均采用安全計算機實時處理列車狀態(tài)、控制命令，實現連續(xù)的進路控制、間隔控制、速度防護以及自動駕駛等。

近年來，隨著LTE的商業(yè)化，國內外研究機構及研究人員提出，將LTE作為CBTC車地無線通信傳輸媒介，以實現寬帶、連續(xù)、雙向、可靠及安全的車地無線通信。

1 LTE及CBTC車地無線通信的技術要求

LTE是對第三代移動通信系統(tǒng)的演進，包括演進的分組核心網（EPC）和演進的統(tǒng)一陸地無線接入網（E-UTRAN），如圖1所示。

圖1 LTE系統(tǒng)架構

LTE中的核心網稱為演進的分組網（Evolved Packet Core，EPC），由服務網關（S-GW）、移動管理實體（MME）以及分組數據網關（P-GW）構成。寬帶無線接入網稱為演進的統(tǒng)一陸地無線接入網（Evolved Universal Terrestrial Radio Access Networks，E-UTRAN），由用戶設備和宏小區(qū)基站（evolved Node B，eNB）構成。LTE總體網絡結構包括網元和標準化接口。

與WLAN相比，LTE技術具有明顯的優(yōu)勢：LTE場強覆蓋均勻且距離遠；LTE設備eNodeB的平均故障間隔時間≥150 000 h，WLAN系統(tǒng)中AP的平均故障間隔時間＜50 000 h；LTE中的QoS機制可保證多種不同質量要求的業(yè)務并發(fā)的服務質量，并采用軟頻率復用和部分補償功率控制等技術增強了系統(tǒng)的抗干擾能力。

在軌道交通行業(yè)的實際應用中，LTE通常采用1.785～1.805 GHz的通信頻段，在性能、安全和可靠等方面達到了國際電工委員會及歐洲鐵路標準的規(guī)定的安全完整性等級4（SIL4）要求。根據文獻[1-3]，本文歸納了車地無線通信的性能及技術指標，如表1～表4所示。

表1 車地無線網絡業(yè)務性能指標

表2 車地無線通信傳輸性能指標

表3 車地無線實時通信傳輸性能指標

表4 CBTC中數據包交換網絡傳輸需求

從這些性能指標看，LTE用于CBTC的車地無線通信具有相當的優(yōu)勢，僅有少量指標不滿足車地無線通信的指標，如車地通信單網絡信息的誤碼率小于或等于10-6等。這些指標可通過進一步改進系統(tǒng)的設計滿足要求，如引入差錯控制技術等。

針對車地無線通信的安全性和可靠性很多文獻都有介紹，如文獻[4-6]都強調要提升車地無線通信的安全性和可靠性，包括抗用戶干擾、抗攻擊等，但并沒有給出具體的安全性及可靠性的具體指標要求。

2 CBTC中車地無線通信安全性增強的研究和進展

2.1 城市軌道交通中基于WLAN的車地無線通信安全性研究

城市軌道交通領域的WLAN系統(tǒng)由控制中心子系統(tǒng)、車站子系統(tǒng)、車載子系統(tǒng)和車地傳輸子系統(tǒng)構成。從系統(tǒng)功能層級的角度來看，可分成接入層、匯聚層和核心層。

2.1.1 WLAN接入層的安全性

由于城市軌道交通WLAN系統(tǒng)需要面對大量用戶的密集接入，其覆蓋方案需要選用工業(yè)級的瘦AP（Fit AP）+AC接入架構。此外，考慮到大量用戶的接入需求，文獻[7]提出在該層QoS設置用戶流量管控，避免由于個別用戶的超大流量接入影響其他用戶的正常使用，確保高優(yōu)先級業(yè)務數據包的傳輸安全及優(yōu)先級。

CBTC系統(tǒng)工作在2.4 GHz頻段，不可避免帶來了系統(tǒng)間的信號干擾。同頻和鄰頻干擾一旦突破了CBTC系統(tǒng)安全標準所設定的環(huán)境限值，會引發(fā)安全故障。因此，文獻[8]提出在接入層采用窄帶技術，減少原頻寬，增大物理層判斷通道占用的強度門限，使其對使用20 MHz頻寬的WLAN及其他民用802.11無線設備具有更高的抗干擾能力，以此降低接入層的干擾。有關802.11的安全措施研究，在文獻[9]有詳細介紹。

2.1.2 WLAN匯聚層的安全性

匯聚層是連接接入層與核心控制層的橋梁。其中，車地無線傳輸和站間有線傳輸網絡是該層的核心組成。這是列車內移動終端與外網交互的必由之路，必須保障通道的安全性和暢通性。

為確保匯聚層的安全性和通暢性，文獻[10]結合MIMO、信道綁定和波束成型等技術，提出在尚未放開的5.4 GHz頻段，車地系統(tǒng)方案選取5 150～5 350 GHz頻段，通過信道綁定技術，建立2個80 MHz的綁定信道，以配合車地AP間3×3的MIMO天線，組成車地間大吞吐量的無線數據傳輸通道。但是，當務之急仍是通過技術手段增強CBTC系統(tǒng)的抗干擾能力和安全性。

2.1.3 WLAN核心層的安全性

軌道交通的核心層通常指系統(tǒng)的控制中心，由各類管理及應用服務器堆疊而成，并為全線用戶及系統(tǒng)提供接入認證、數據存儲轉發(fā)、外網接入、應用業(yè)務、智能網絡管理和監(jiān)控等服務。

城市軌道交通中由于電力牽引等，存著超強的電磁干擾。為抑制電磁干擾，文獻[11]使用Mayr電弧模型對軌道交通電磁環(huán)境進行分析，提出騷擾源抑制、電纜合理地布線并接地、提高軌道交通無線通信設備的電磁兼容性三種方法予以綜合解決。

應用于軌道交通車地無線通信中的WLAN安全性已得到了很多改進，但由于WLAN技術本身的缺陷，仍難以滿足CBTC的要求。近年來，越來越多的學者和研究機構將LTE用于CBTC系統(tǒng)的車地無線通信。

2.2 CBTC系統(tǒng)中基于LTE的車地無線通信的安全性

LTE具有全IP網絡、支持高速移動和切換、支持全覆蓋、多物理通道、抗干擾能力強和可靠的安全機制確保信息安全等優(yōu)點，可更好地為車地無線通信服務。CBTC下的LTE網絡架構，如圖2所示。

為增強LTE系統(tǒng)的安全性，文獻[12]提出在LTE基站的數據接口進行改進，并使用TTCN方法對改進后的方案進行形式化測試，以證明改進后的安全性達到了系統(tǒng)要求。

針對LTE車地無線通信系統(tǒng)的網絡切換安全，文獻[13]提出一種基于改進代理簽名切換認證方案。通過該方案，UE與目標eNodeB可以直接完成強制認證。它的認證過程簡單，無需復雜的密鑰管理，可以達到理想的效果。析，并提出相應的可行性解決方案。但是，它研究的是固定Relay場景下的安全問題，而CBTC系統(tǒng)自身是移動場景。

圖2 CBTC系統(tǒng)中的基于LTE的車地無線通信系統(tǒng)的組成

目前，大多數研究是針對LTE用于軌道交通車地無線通信的性能研究，包括列車速度、基站數和網絡負載等因素對LTE系統(tǒng)性能的影響。也有一些是針對LTE空口進行改進的研究，以增加安全性。

3 車地無線通信傳輸媒介LTE信息安全的研究及進展

中繼技術是在基站和終端之間的通信鏈路中加入Relay節(jié)點，實現對基站和終端之間的數據轉發(fā)，提高網絡的覆蓋和對干擾的控制。文獻[14]針對中繼（Relay）系統(tǒng)中安全問題產生的原因作了詳細分

LTE為了提供更好的服務，采用了異構接入網。為彌補覆蓋的缺陷，采用小功率基站。網絡扁平化后，基站直達LTE核心網絡EPC，使核心網絡面臨著更大的安全威脅，影響車地無線通信的安全性。文獻[15]全面梳理了LTE系統(tǒng)的安全隱患，并給出如圖3所示的對策。

圖3 LTE安全隱患與安全措施

針對以上威脅，LTE作為CBTC車地無線通信傳輸媒介，主要采用了以下信息安全機制：身份認證機制，即認證與密鑰協(xié)商協(xié)議，主要實現接入用戶與接入網絡的雙向身份認證，并協(xié)商兩者之后通信過程中所使用的加密算法與完整性保護算法的密鑰；完整性保護機制，主要用于保護接入設備與基站之間傳輸消息的安全，使其免受偶然或惡意的非授權篡改；空口加密機制；用戶身份保護機制；網絡信令安全交換機制；LTE移動終端安全接入機制。

CBTC中LTE系統(tǒng)的接入認證協(xié)議EPS AKA存在安全問題，無法避免惡意攻擊者對用戶的身份、服務網絡的標識等重要信息的竊取和利用。

文獻[16]試圖采用Diffie-Hellman解決RAND隨機數易暴露的問題，以提高破解所產生參數的難度。但是，由于Diffie-Hellman是計算密集性的加密算法，容易遭受阻塞性攻擊，導致作為車地無線通信傳輸媒介的LTE的認證服務器花費大量計算資源來求解無用的冪系數而執(zhí)行非接入認證。此外，Diffie-Hellman同樣易遭受到中間人攻擊。

為解決IMSI易暴漏的問題，文獻[17]額外定 義 了 2個 參 數 ——I-TMSI（Initial-TMSI） 和RANDUE。一旦完成相互驗證，安全模式設置就會開始，UE和HSS就會更新I-IMSI。在相互鑒權完成前，若發(fā)給HSS的消息中包含以前相同的I-IMSI，則HSS就會檢查RANDUE。若RANDUE也相同，則拒絕接入認證。但是，文獻[17]并沒有分析這種改進方法的性能和消耗。

文獻[18]研究了EPS AKA算法，并指出MME和HSS之間的通信是不安全的，進而導致認證向量AV同樣存在風險，從而提出了一種基于WPKI和ECC加密算法的SE-EPS AKA方法。文獻[19]與文獻[18]的工作類似，提出了一種叫HSK-AKA的改進算法。該算法最小限度地在USIM函數中使用數字簽名和對稱密碼進行公鑰加密。性能分析證明，改進后的方案比EPS AKA協(xié)議安全性更高。文獻[20]針對接入認證協(xié)議中存在的用戶身份泄露、虛假接入點攻擊和DoS攻擊等問題，提出基于代理簽名和橢圓曲線加密技術的改進協(xié)議。這些方案都存在簽名多次傳送等問題，時延和開銷較大。

由上面的分析可知，大多數改進方案都是通過復雜度較高的加密方式解決包括隨機數RAND、認證向量AV、IMSI等參數易泄露的問題，但這些加密改進都降低了車地無線通信效率。

4 結 語

本章主要討論CBTC中的車地無線通信技術，明確了車地無線通信的技術的指標及要求，并進一步分析了現有基于WLAN技術的車地無線通信的安全性。此外，針對CBTC采用LTE作為車地無線通信的傳輸媒介，討論了系統(tǒng)結構，并從車地無線通信抗干能能力、接入認證的安全性等角度，綜述了對LTE車地無線通信的安全性和可靠性的研究進展。