戴 懿，郭其一

（同濟(jì)大學(xué) 電子與信息工程學(xué)院 電氣工程系，上海 201804）

0 引言

隨著我國(guó)經(jīng)濟(jì)科技的發(fā)展與進(jìn)步，我國(guó)城市化建設(shè)進(jìn)程加快，地面交通擁擠狀況日益嚴(yán)峻。城市軌道交通作為當(dāng)前解決這一基礎(chǔ)性問題的最佳途徑，近幾年發(fā)展迅速。同時(shí)，人們對(duì)于城市軌道交通的安全性、穩(wěn)定性、開放性和互聯(lián)性等提出了更高要求。列車通信網(wǎng)絡(luò)作為現(xiàn)代城市軌道交通的核心，是保障城市軌道交通安全、便捷以及準(zhǔn)時(shí)運(yùn)行的重要技術(shù)支撐。面對(duì)全球范圍內(nèi)的網(wǎng)絡(luò)信息安全問題日益突出的現(xiàn)狀，列車通信網(wǎng)絡(luò)的安全問題顯得尤為重要。

1 列車通信網(wǎng)絡(luò)結(jié)構(gòu)

列車通信網(wǎng)絡(luò)作為現(xiàn)代列車的核心組成部分，經(jīng)過幾十年的發(fā)展形成了幾種較為常見的列車網(wǎng)絡(luò)總線技術(shù)，如LonWorks、WorldFIP、CAN 以及TCN 等[1]。傳統(tǒng)TCN 技術(shù)主要是低速總線產(chǎn)品，用于傳輸檢測(cè)信息、控制信息等小容量數(shù)據(jù)時(shí)實(shí)時(shí)性和數(shù)據(jù)確定性高，能夠很好地實(shí)現(xiàn)列車快速、實(shí)時(shí)、可靠的控制要求。但是，隨著通信網(wǎng)絡(luò)技術(shù)與現(xiàn)代社會(huì)生活的進(jìn)一步融合，列車通信網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，這些傳統(tǒng)總線技術(shù)已無法滿足大容量的故障診斷信息和視頻監(jiān)視信息的采集和傳輸。以太網(wǎng)作為一種國(guó)際標(biāo)準(zhǔn)局域網(wǎng)通信技術(shù)，具有高帶寬、高傳輸率以及組網(wǎng)方便靈活等優(yōu)點(diǎn)，完全符合現(xiàn)代列車通信網(wǎng)絡(luò)對(duì)數(shù)據(jù)速率和網(wǎng)絡(luò)數(shù)據(jù)吞吐量日益增高的技術(shù)要求。

以太列車通信網(wǎng)絡(luò)采用分層結(jié)構(gòu)，包含一個(gè)或多個(gè)列車骨干網(wǎng)絡(luò)子網(wǎng)和一個(gè)或多個(gè)列車編組網(wǎng)絡(luò)子網(wǎng)[2]，如圖1 所示。以太列車骨干網(wǎng)節(jié)點(diǎn)具有網(wǎng)關(guān)功能，負(fù)責(zé)以太列車編組網(wǎng)與以太列車骨干網(wǎng)之間的連接和數(shù)據(jù)傳輸。為了打破列車通信網(wǎng)絡(luò)作為專網(wǎng)運(yùn)營(yíng)的現(xiàn)狀，現(xiàn)代列車通信網(wǎng)絡(luò)中添加移動(dòng)通信網(wǎng)關(guān)，從而實(shí)現(xiàn)了車載網(wǎng)絡(luò)與地面網(wǎng)絡(luò)的無線連接，其核心為一個(gè)連接車載網(wǎng)絡(luò)和地面網(wǎng)絡(luò)的移動(dòng)接入路由器。每個(gè)編組至少提供一個(gè)移動(dòng)通信網(wǎng)關(guān)，與地面網(wǎng)絡(luò)用戶建立永久性或臨時(shí)性的靜態(tài)或者漫游連接?？紤]到通信冗余問題，可在冗余節(jié)點(diǎn)上提供兩個(gè)同樣的移動(dòng)通信網(wǎng)關(guān)。其中，一個(gè)移動(dòng)通信網(wǎng)關(guān)處于工作狀態(tài)，另一個(gè)處于備份狀態(tài)且不向終端提供任何服務(wù)的方式，實(shí)時(shí)監(jiān)控編組網(wǎng)中的通信情況。當(dāng)工作狀態(tài)的移動(dòng)通信網(wǎng)關(guān)失效時(shí)，備份單元檢測(cè)到這個(gè)失效，將關(guān)閉失效的移動(dòng)通信網(wǎng)關(guān)單元，同時(shí)接管工作狀態(tài)。

圖1 以太列車通信網(wǎng)絡(luò)結(jié)構(gòu)

2 列車通信網(wǎng)絡(luò)安全技術(shù)

隨著網(wǎng)絡(luò)信息與社會(huì)生活的不斷融合，將原來封閉的列車通信網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連通，使其具有更高的開放性和更廣泛的互聯(lián)性，同時(shí)給列車通信網(wǎng)絡(luò)的安全性、穩(wěn)定性和可靠性帶來了諸多負(fù)面影響。據(jù)國(guó)外媒體報(bào)道[3]，2015 年全年英國(guó)鐵路網(wǎng)絡(luò)共遭受了4 次嚴(yán)重的網(wǎng)絡(luò)攻擊。2017 年我國(guó)鐵路通信網(wǎng)絡(luò)也遭受了WannaCry 勒索病毒的襲擊。可見，深入研究列車通信網(wǎng)絡(luò)的網(wǎng)絡(luò)安全問題具有重大意義。

目前，普遍采取的網(wǎng)絡(luò)安全技術(shù)主要包括防火墻、入侵檢測(cè)、數(shù)據(jù)加密以及網(wǎng)絡(luò)隔離技術(shù)等[4]。

（1）防火墻。防火墻系統(tǒng)通常放置在被保護(hù)網(wǎng)絡(luò)特定的邊界處，根據(jù)用戶所配置的數(shù)據(jù)包控制要求對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行過濾或其他應(yīng)對(duì)保護(hù)操作，從而起到保護(hù)網(wǎng)絡(luò)的作用。到目前為止，雖然各種網(wǎng)絡(luò)安全技術(shù)層出不窮，但防火墻仍然是最常用的技術(shù)。

（2）入侵檢測(cè)。入侵檢測(cè)也稱網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)，通過實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)流的特征情況，再匹配入侵特征數(shù)據(jù)庫(kù)。若入侵特征匹配成功，則根據(jù)用戶定義進(jìn)行切斷網(wǎng)絡(luò)連接或通知防火墻等相關(guān)防護(hù)操作。

（3）加密技術(shù)。數(shù)據(jù)加密技術(shù)作為最基本的網(wǎng)絡(luò)安全技術(shù)，至今仍是提高系統(tǒng)及數(shù)據(jù)安全性、防止信息被破壞或竊取的重要技術(shù)之一[5]。

（4）網(wǎng)絡(luò)隔離技術(shù)?？萍嫉陌l(fā)展使得新的網(wǎng)絡(luò)攻擊手段層出不窮。為了滿足現(xiàn)代網(wǎng)絡(luò)對(duì)安全越來越高的要求，在原有安全技術(shù)的基礎(chǔ)上取長(zhǎng)補(bǔ)短，發(fā)展形成了網(wǎng)絡(luò)隔離技術(shù)，可以最大程度保障網(wǎng)絡(luò)的穩(wěn)定性和安全性。

為了保證列車通信網(wǎng)絡(luò)的安全性能，將移動(dòng)通信網(wǎng)關(guān)模塊設(shè)計(jì)成屏蔽子網(wǎng)體系結(jié)構(gòu)，如圖2 所示，在Intranet和列車網(wǎng)絡(luò)之間通過移動(dòng)通信網(wǎng)關(guān)連接，同時(shí)被移動(dòng)通信網(wǎng)關(guān)隔離。外部包過濾路由器實(shí)現(xiàn)與外部網(wǎng)絡(luò)的通信連接，也可被稱為訪問路由器，控制Intranet 數(shù)據(jù)流，但幾乎不限制數(shù)據(jù)從通信網(wǎng)關(guān)出站。內(nèi)部包過濾路由器主要過濾流入數(shù)據(jù)包，保護(hù)列車網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵犯。壁壘主機(jī)處于內(nèi)外路由器之間，形成“緩沖地帶”，主要用來訪問和存儲(chǔ)外部網(wǎng)絡(luò)和列車網(wǎng)絡(luò)中可交互的信息和數(shù)據(jù)。Intranet 和列車網(wǎng)絡(luò)均可訪問通信網(wǎng)關(guān)內(nèi)的壁壘主機(jī)，但禁止它們穿過屏蔽子網(wǎng)相互通信。這樣即使攻擊者已經(jīng)控制了壁壘主機(jī)，但是內(nèi)部的列車網(wǎng)絡(luò)依舊是安全的[6]。

圖2 移動(dòng)通信網(wǎng)關(guān)結(jié)構(gòu)

3 列車通信網(wǎng)絡(luò)仿真模型

3.1 OPNET 軟件介紹

OPNET 是一款商用軟件，憑借完備的協(xié)議模型庫(kù)和通信設(shè)備庫(kù)在通信網(wǎng)絡(luò)仿真領(lǐng)域占據(jù)重要的地位。OPNET 不僅在技術(shù)上遙遙領(lǐng)先，而且在用戶使用感上也較同類型軟件更為簡(jiǎn)便，深受國(guó)內(nèi)華為、中興和電信等大型公司和科研機(jī)構(gòu)的歡迎。

本文中選擇OPNET 14.5 版本軟件作為搭建列車網(wǎng)絡(luò)模型的平臺(tái)，主要考慮以下因素。

（1）三層建模結(jié)構(gòu)。OPNET 通過圖形界面實(shí)現(xiàn)網(wǎng)絡(luò)層（Network Model）、節(jié)點(diǎn)層（Node Model）和進(jìn)程層（Process Model）[7]三層架構(gòu)搭建模型，層次清晰，簡(jiǎn)化原本組成復(fù)雜的通信網(wǎng)絡(luò)系統(tǒng)，為仿真功能實(shí)現(xiàn)帶來便利，如圖3 所示。

圖3 OPNET 三層建模機(jī)制

（2）流程清晰。在進(jìn)程層模型中，將不同狀態(tài)模塊組合成有限狀態(tài)機(jī)，并通過對(duì)其強(qiáng)制狀態(tài)和非強(qiáng)制狀態(tài)之間的轉(zhuǎn)換，達(dá)到對(duì)不同協(xié)議建模的目的。

（3）可再編程性。三層建模結(jié)構(gòu)中，最底層的進(jìn)程層模型是實(shí)現(xiàn)整個(gè)仿真模型功能的載體和核心。OPNET 仿真軟件自帶400 多庫(kù)函數(shù)和許多協(xié)議模型，可直接使用現(xiàn)有模型，方便建模。

3.2 列車通信網(wǎng)絡(luò)模型

目前，地鐵列車多為4 動(dòng)2 拖或3 動(dòng)3 拖兩種結(jié)構(gòu)，本文仿真中選取4 動(dòng)2 拖結(jié)構(gòu)的列車作為仿真模型，列車編組型式為-TC*MP*M=M*MP*TC-。其中，TC為拖車（帶司機(jī)室），MP為動(dòng)車（帶受電弓），M 為動(dòng)車，將6 節(jié)車廂分為Consist1 和Consist2 兩個(gè)編組[8-9]。模擬場(chǎng)景設(shè)置為200 m×400 m 范圍。仿真中，地鐵列車以太骨干網(wǎng)絡(luò)選用總線型連接，鏈路的傳輸速率為100 Mb/s。為了提高以太列車骨干網(wǎng)傳輸數(shù)據(jù)的可靠性，整個(gè)網(wǎng)絡(luò)配置兩條總線進(jìn)行數(shù)據(jù)傳輸?？偩€上設(shè)置節(jié)點(diǎn)代表以太列車編組網(wǎng)，其中編組1 中包含subnet_0 和subnet_1 兩個(gè)列車編組網(wǎng)絡(luò)子網(wǎng)。列車網(wǎng)絡(luò)層模型如圖4 所示。

每個(gè)子網(wǎng)提供移動(dòng)通信網(wǎng)關(guān)實(shí)現(xiàn)列車網(wǎng)絡(luò)與外界Internet 的無線連接。子網(wǎng)中主要包括無線終端節(jié)點(diǎn)、移動(dòng)通信網(wǎng)關(guān)、列車終端節(jié)點(diǎn)、交換機(jī)節(jié)點(diǎn)和服務(wù)器節(jié)點(diǎn)5 部分。子網(wǎng)節(jié)點(diǎn)層模型如圖5 所示。

圖4 以太列車骨干網(wǎng)絡(luò)模型

圖5 Subnet0 子網(wǎng)網(wǎng)絡(luò)模型

無線終端節(jié)點(diǎn)。模擬外部Internet 用戶，節(jié)點(diǎn)通過無線802.11 協(xié)議接入移動(dòng)通信網(wǎng)關(guān)。

移動(dòng)通信網(wǎng)關(guān)。移動(dòng)通信網(wǎng)關(guān)由外部路由器（extern Router）、緩存服務(wù)器（cache Server）和內(nèi)部路由器（inside Router）組成，其中緩存服務(wù)器（cache Server）相當(dāng)于防火墻和數(shù)據(jù)緩存的作用，內(nèi)部配有基于特征檢測(cè)的檢測(cè)系統(tǒng)，可記錄檢測(cè)到的攻擊行為。

列車終端節(jié)點(diǎn)（node）。列車編組網(wǎng)內(nèi)部終端節(jié)點(diǎn)，模擬車輛內(nèi)各個(gè)節(jié)點(diǎn)的行為。通過編組網(wǎng)內(nèi)部的工業(yè)以太網(wǎng)總線向內(nèi)部服務(wù)器傳輸數(shù)據(jù)內(nèi)容。

交換機(jī)節(jié)點(diǎn)（switch）。連接各個(gè)編組網(wǎng)內(nèi)部，構(gòu)建成整體的列車通信網(wǎng)。

服務(wù)器節(jié)點(diǎn)（subway Server）。服務(wù)器負(fù)責(zé)列車以太網(wǎng)內(nèi)部的管理和數(shù)據(jù)收集。

IEC61375 標(biāo)準(zhǔn)中定義了列車通信網(wǎng)絡(luò)中5 種基本數(shù)據(jù)類型——監(jiān)視數(shù)據(jù)、過程數(shù)據(jù)、消息數(shù)據(jù)、流數(shù)據(jù)和最大努力交付數(shù)據(jù)，根據(jù)數(shù)據(jù)傳輸特點(diǎn)將其歸類為3 種[10]。

（1）實(shí)時(shí)周期數(shù)據(jù)，主要包括監(jiān)視數(shù)據(jù)和過程數(shù)據(jù)。此類數(shù)據(jù)實(shí)時(shí)性要求高且具有周期性。監(jiān)視數(shù)據(jù)指列車通信網(wǎng)絡(luò)運(yùn)行所需要的數(shù)據(jù)，如列車出運(yùn)行的數(shù)據(jù)或網(wǎng)絡(luò)冗余控制的數(shù)據(jù)。過程數(shù)據(jù)是由控制單元發(fā)出的實(shí)時(shí)控制數(shù)據(jù)和列車狀態(tài)實(shí)時(shí)監(jiān)視信息。

（2）實(shí)時(shí)非周期數(shù)據(jù)，主要包括消息數(shù)據(jù)和流數(shù)據(jù)，如列車故障的報(bào)警信號(hào)和列車監(jiān)控的視頻音頻等。

（3）非實(shí)時(shí)數(shù)據(jù)，包括盡力而為數(shù)據(jù)，主要是其他允許在網(wǎng)絡(luò)上傳輸?shù)挥绊懫渌麛?shù)據(jù)類型的信息。

如圖6 所示，列車終端節(jié)點(diǎn)進(jìn)程模型中包含7個(gè)進(jìn)程模塊、2 個(gè)列隊(duì)模塊和1 對(duì)總線收發(fā)模塊。source1、source2 和source3 為數(shù)據(jù)包產(chǎn)生模塊，分別對(duì)應(yīng)產(chǎn)生上述3 種數(shù)據(jù)類型。Source Manage 為轉(zhuǎn)發(fā)隊(duì)列模塊，在本文中采取傳統(tǒng)的先入先出方式，并按此服務(wù)算法將上層數(shù)據(jù)包傳送給Transport 模塊。Transport 為TCP 傳輸協(xié)議仿真模塊。Eth_mac_intf 為以太網(wǎng)MAC 接口模塊，用來實(shí)現(xiàn)Transport 模塊和MAC 模塊的連接通信。MAC 為以太網(wǎng)CSMA/CD 協(xié)議仿真模塊，監(jiān)聽鏈路狀態(tài)。若信道空閑，則可發(fā)送數(shù)據(jù)；若信道占用，則繼續(xù)保持監(jiān)聽。Bus_txo 和bus_rx0 為總線收發(fā)信機(jī)，用來接收/發(fā)送數(shù)據(jù)。Defer 為總線監(jiān)控模塊，用來監(jiān)督總線鏈路的傳輸狀況，判斷總線信道是否空閑，是否可以傳輸數(shù)據(jù)。

圖6 列車終端節(jié)點(diǎn)模型

如圖7所示，交換機(jī)節(jié)點(diǎn)模型包含3個(gè)進(jìn)程模塊、1 個(gè)列隊(duì)模塊、2 對(duì)點(diǎn)對(duì)點(diǎn)收發(fā)模塊和1 對(duì)總線收發(fā)模塊。switch 為交換模塊，對(duì)不同子網(wǎng)之間的數(shù)據(jù)進(jìn)行交換。pr_1、pt_1、pr_2、pt_2 為有線點(diǎn)對(duì)點(diǎn)收發(fā)信機(jī)，負(fù)責(zé)和不同子網(wǎng)之間建立數(shù)據(jù)連接。

圖7 交換機(jī)節(jié)點(diǎn)模型

3.3 仿真結(jié)果分析

本文以DDoS 攻擊為例，測(cè)試列車通信網(wǎng)絡(luò)防御能力。DDoS 攻擊是網(wǎng)絡(luò)黑客通過控制多個(gè)代理端主機(jī)向攻擊目標(biāo)同時(shí)且不斷發(fā)送大量相同的攻擊數(shù)據(jù)包來達(dá)到攻擊目的的一種攻擊方式[11]。本文將多個(gè)外部以太網(wǎng)無線終端設(shè)置為向列車通信網(wǎng)絡(luò)發(fā)起DDoS 攻擊。從圖8 仿真結(jié)果可以看出，若不進(jìn)行網(wǎng)絡(luò)安全防御，DDoS 攻擊通過不斷傳輸大量的數(shù)據(jù)包占用大部分網(wǎng)絡(luò)帶寬，將導(dǎo)致總線信道被占用，使得列車通信網(wǎng)絡(luò)上數(shù)據(jù)包傳輸產(chǎn)生沖突，平均數(shù)據(jù)重傳次數(shù)增加，端到端時(shí)延增加并出現(xiàn)較大的抖動(dòng)。但是，當(dāng)采用具有屏蔽子網(wǎng)體系結(jié)構(gòu)的移動(dòng)通信網(wǎng)關(guān)隔離開外部Internet 和列車通信網(wǎng)絡(luò)時(shí)，列車通信網(wǎng)絡(luò)上數(shù)據(jù)吞吐量、端到端延時(shí)以及平均數(shù)據(jù)包重傳次數(shù)曲線均與未遭受攻擊時(shí)一樣，列車通信網(wǎng)絡(luò)本身未受到DDoS 攻擊的影響?？梢姡疚牡姆抡婺Ｐ湍軌蚝芎玫胤烙鵇DoS 攻擊，保證列車通信網(wǎng)絡(luò)的安全。

圖8 DDoS 攻擊仿真結(jié)果

4 結(jié)語

隨著通信網(wǎng)絡(luò)技術(shù)與社會(huì)生活的深度融合，列車通信網(wǎng)絡(luò)打破一貫專網(wǎng)運(yùn)行的狀態(tài)，逐步提高了其開放性與互聯(lián)性，同時(shí)急需完善的安全保障體系來保障列車通信網(wǎng)絡(luò)的安全性和可靠性。本文采用OPNET 軟件搭建基于工業(yè)以太網(wǎng)的現(xiàn)代地鐵列車通信網(wǎng)絡(luò)，并將其與地面Internet 實(shí)現(xiàn)互聯(lián)，模擬當(dāng)其遭受外部DDoS 攻擊時(shí)該網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)的防御能力。仿真結(jié)果表明，設(shè)計(jì)的現(xiàn)代地鐵列車通信網(wǎng)絡(luò)具有屏蔽子網(wǎng)體系結(jié)構(gòu)的移動(dòng)通信網(wǎng)關(guān)，在一定程度上能夠起到很好的防御保護(hù)作用，保障列車通信網(wǎng)絡(luò)的安全性。