網絡報文過濾裝置在城市軌道交通路網指揮中心系統中的應用

尹 濤 李巍巍

(國電南瑞科技股份有限公司,210003,南京∥第一作者,工程師)

?

網絡報文過濾裝置在城市軌道交通路網指揮中心系統中的應用

尹 濤 李巍巍

(國電南瑞科技股份有限公司,210003,南京∥第一作者,工程師)

為了保障城市軌道交通路網指揮中心系統安全運行,在城市軌道交通路網指揮中心系統與綜合監控系統之間安裝網絡報文過濾裝置。應用linux平臺下的libpcap庫,結合配置文件,使得符合過濾條件的報文通過,不符合過濾條件的報文丟棄。測試結果顯示,使用該裝置之后,系統很難受到攻擊。最后形成了一套城市軌道交通路網指揮中心系統與綜合監控系統網絡報文過濾與通信的解決方案,可為今后其他綜合系統與子系統網絡通信提供技術創新參考。

城市軌道交通; 路網指揮中心系統; 綜合監控系統; 網絡報文過濾裝置

Author′s address NARI Technology Co.,Ltd.,210003,Nanjing,China

城市軌道交通是按線路為最小單位來監控運行,而綜合監控系統(ISCS)是城市軌道交通自動化調度管理的重要工具,在城市軌道交通中發揮著重要作用。軌道交通ISCS是一個涵蓋多功能、多專業子系統的集成互聯控制系統,它提供了一種信息共享平臺,方便地鐵運營人員對地鐵的實時監視與控制。隨著地鐵線路的增加,城市軌道交通路網指揮中心系統(TCC)應運而生。城市軌道交通TCC系統作為整個地鐵線路調控的平臺,通過專用內網接入各條線路ISCS,負責城市各條地鐵線路監視與控制,對于城市交通安全運行有著重要的作用[1-3]。

由于每條地鐵線路的ISCS通過內部專用網絡連接到TCC中,所以TCC不可能受到外部的網絡攻擊。但是，地鐵線路綜合監控軟件由不同的廠家提供,這增加了內網網絡風暴產生的可能性,一旦發生網絡風暴,將增加TCC服務器負荷,有可能使得整個TCC系統癱瘓。每條地鐵線路ISCS與TCC之間通信協議不盡相同，為了將各條地鐵線路ISCS接入TCC中,減少TCC負荷,并防止網絡攻擊,增加TCC安全性,必須引入網絡報文過濾裝置。又由于網絡報文過濾裝置只負責消息的過濾,并不儲存信息,所以雖然TCC服務器是兩臺冗余,但是網絡報文過濾裝置并不需要交叉冗余備份,只需普通直接連接，如圖1所示。

1 TCC與ISCS

1.1 TCC與ISCS功能

TCC位于線路控制中心,主要負責采集ISCS的轉發信號,主要功能是統計分析與決策,在權限允許的范圍內,下發行車安排、行車調度、電力調度等控制命令,控制各條線路安全運行。

ISCS以冗余實時服務器和歷史服務器為基礎,通過通信骨干網將所有的車站級監控系統連接起來。車站級監控系統位于車站和車輛段,通過專用的接口設備(FEP)和其他子系統接口,采集各子系統數據，并下發控制指令[4-5]。

圖1 網絡報文過濾裝置架構圖

1.2 TCC通信方案

TCC負責整個城市軌道交通系統的指揮決策與控制，而ISCS則負責某一條軌道交通線路各個子系統的監視與控制。TCC是以ISCS為基礎,以一條地鐵線路為基本調控單位,調控的基礎是ISCS轉發來的各個專業的信號,通過TCC推理分析和決策等步驟,然后下發控制命令。在一般情況下,ISCS直接將信號通過網絡轉發給TCC,這樣就增加了TCC受到網絡攻擊的風險,對TCC安全運行構成嚴重影響。在TCC與ISCS之間增加網絡報文過濾裝置,能夠起到屏蔽作用,使其免受網絡攻擊的危害。

2 網絡報文過濾裝置

網絡報文過濾裝置在ISCS與TCC之間起到一個橋梁的作用。利用網絡報文過濾裝置可以有效、方便地連接TCC,可以起到網絡隔離作用,使得TCC服務器免受攻擊。

2.1 設計方案

網絡報文過濾裝置主要分為以下幾個方面:程序初始化,讀取配置文件,通過libpcap庫抓取流經網絡報文過濾裝置的報文,判斷報文的源IP地址和目的IP地址。符合配置文件要求的進行下一步處理,不符合過濾條件的直接丟棄[6-7]。詳細流程見圖2。

2.2 初始化

首先利用libpcap庫,讀取網絡報文過濾裝置的網卡數,針對每個網卡分別創建兩個線程,一個是網絡報文接受線程,另一個是網絡報文發送線程。接受線程與發送線程之間通過循環隊列傳遞報文信息。初始化主要包括獲取網卡名、網卡編號、數據報文更新時間以及過濾條件等。

圖2 網絡報文過濾裝置工作流程圖

2.3 配置文件結構及處理

在初始化之后,讀取配置文件。配置文件主要包含一些過濾規則,接收報文主要依據這些過濾規則處理收到的報文(丟棄或重新組包)。配置文件的結構如下所示:

其中:rules的節點屬性num表示規則個數;rule0表示對應的規則節點描述;sourceip表示接收報文的源IP地址;destip表示接收報文的目的IP地址;direction為過濾方向選擇,當direction為1時表示sourceip和destip之間能相互通信,當direction為0時,報文只能從sourceip地址到destip地址,不能從destip發送報文到sourceip,只能允許單向傳送報文。

2.4 基于libpcap的網絡數據抓取

由于需要獲取報文的MAC地址以及IP地址等底層信息,同時為了提高報文抓取效率,網絡報文過濾裝置采用libpcap庫抓取對應網卡的報文。在libpcap庫中,利用基于非回調函數的捕獲數據包函數pcap_next_ex 來捕獲報文。將抓取的報文交由其他程序處理,符合條件的對其重新組織報文,不符合條件的丟棄。

2.5 重新組織報文

在捕獲到報文之后,判斷報文是否符合過濾條件。如果符合過濾條件,則重新組織報文,之后放入與destip在同一網段的網絡報文過濾裝置的對應網卡循環隊列里。在放入對應網卡循環隊列之前,需要從新組織報文。報文組織流程如圖3所示。

在判斷捕獲到的報文符合過濾條件后,首先根據目的IP地址,在網絡報文過濾裝置可移植運行庫(ARP)緩存中,利用ioctl(sockfd,SIOCGARP,&arpreq) 獲取緩存中IP地址對應的MAC地址。如果緩存中沒有IP地址對應的MAC地址,則通過發送ARP報文來獲取對方的MAC地址。

在成功獲取對方的MAC地址之后,重新組織報文頭部,然后將重新組織的報文放入網絡報文過濾裝置對應網卡的循環隊列中。

3 測試結果

經過上述配置,在模擬環境中,利用本文的多線程設計方法,在百兆網絡環境中,過濾速度能夠達到10 MB/s,ISCS數據量大、實時性要求高等特性也能輕松滿足。

4 結語

網絡報文過濾裝置在TCC中主要起到網絡隔離作用,通過一定的過濾規則,可以過濾掉不符合條件的報文,對符合條件的報文重新組織傳入TCC服

圖3 捕獲報文處理流程圖

務器中,這樣大大的提高了TCC服務器的安全性和可靠性,降低TCC服務器負荷,保證TCC免受攻擊,使其能夠安全穩定地運行。

[1] 劉曉娟,城市軌道交通智能控制系統[M].北京:中國鐵道出版社,2003.

[2] 劉孟覺,李冰,胡波.一種新型綜合監控聯動功能模型的設計與實現[J].自動化與儀表,2012,27(11):31.

[3] 李冰.地鐵綜合監控系統中的數據轉發研究[J].自動化與儀表,2011,26(06):8.

[4] 魏曉東.地鐵綜合監控系統建設的關鍵問題分析[M].北京:電子工業出版社,2004.

[5] 吉春山，周韜,張天紅,等.淺談網關機技術在實時數據采集系統中的應用[J].自動化技術與應用,2013,32(3):81.

[6] 岳紅梅,石冬發,徐詠梅,等.基于嵌入式LINUX的網絡隔離系統研究與實現[J].計算機工程與應用,2005,41(5):141.

[7] 鄧智群,劉福,慕德俊,等.網絡隔離體系結構研究[J].計算機應用研究,2005,22(5):219.

Application of Network Packet Filtering Device in Urban Rail Transit TCC

YIN Tao, LI Weiwei

In order to protect the safe operation of TCC, a network packet filtering device is installed between TCC and ISCS.Through a certain algorithm and combined with the configuration file,message that meet the filter criteria could pass through, while messages don't match the filter will be discarded.Experimental result shows that,after the installation of network isolation device,the system is very hard to attack. Thus, a solution of network packet filtering and communication to TCC and ISCS is finally formed, which provides technical reference and innovation for the future comprehensive system and subsystems of network communication.

urban rail transit; traffic control centre (TCC); integrated supervisory control system (ISCS); network packet filtering device

U 293.6

10.16037/j.1007-869x.2016.08.026

2014-10-14)