基于LTE的車地?zé)o線通信安全性增強(qiáng)的研究和進(jìn)展*

李晨晨，臧海娟

（1.江蘇理工學(xué)院 機(jī)械工程學(xué)院，江蘇 常州 213001;2.江蘇理工學(xué)院 計(jì)算機(jī)工程學(xué)院, 江蘇 常州 213001）

0 引 言

現(xiàn)代軌道交通列車控制系統(tǒng)通常包括核心交換機(jī)、車載列車控制設(shè)備、車地雙向信息通信和列車定位系統(tǒng)。目前，CBTC系統(tǒng)主要采用移動(dòng)通信系統(tǒng)GSM-R或IEEE 802.11標(biāo)準(zhǔn)的WLAN無線網(wǎng)，作為車地通信的信息傳輸媒介。CBTC系統(tǒng)不再依賴軌道電路進(jìn)行列車定位，而是通過列車自身產(chǎn)生的位置信息數(shù)據(jù)，通過車地?zé)o線雙向通信，實(shí)時(shí)與地面無線閉塞控制中心進(jìn)行信息交互，進(jìn)而實(shí)現(xiàn)列車速度和安全運(yùn)行間隔控制。根據(jù)這一特征，要求車地?zé)o線通信具有大容量連續(xù)雙向通信的能力，以便地面設(shè)備和車載設(shè)備均采用安全計(jì)算機(jī)實(shí)時(shí)處理列車狀態(tài)、控制命令，實(shí)現(xiàn)連續(xù)的進(jìn)路控制、間隔控制、速度防護(hù)以及自動(dòng)駕駛等。

近年來，隨著LTE的商業(yè)化，國內(nèi)外研究機(jī)構(gòu)及研究人員提出，將LTE作為CBTC車地?zé)o線通信傳輸媒介，以實(shí)現(xiàn)寬帶、連續(xù)、雙向、可靠及安全的車地?zé)o線通信。

1 LTE及CBTC車地?zé)o線通信的技術(shù)要求

LTE是對(duì)第三代移動(dòng)通信系統(tǒng)的演進(jìn)，包括演進(jìn)的分組核心網(wǎng)（EPC）和演進(jìn)的統(tǒng)一陸地?zé)o線接入網(wǎng)（E-UTRAN），如圖1所示。

圖1 LTE系統(tǒng)架構(gòu)

LTE中的核心網(wǎng)稱為演進(jìn)的分組網(wǎng)（Evolved Packet Core，EPC），由服務(wù)網(wǎng)關(guān)（S-GW）、移動(dòng)管理實(shí)體（MME）以及分組數(shù)據(jù)網(wǎng)關(guān)（P-GW）構(gòu)成。寬帶無線接入網(wǎng)稱為演進(jìn)的統(tǒng)一陸地?zé)o線接入網(wǎng)（Evolved Universal Terrestrial Radio Access Networks，E-UTRAN），由用戶設(shè)備和宏小區(qū)基站（evolved Node B，eNB）構(gòu)成。LTE總體網(wǎng)絡(luò)結(jié)構(gòu)包括網(wǎng)元和標(biāo)準(zhǔn)化接口。

與WLAN相比，LTE技術(shù)具有明顯的優(yōu)勢(shì)：LTE場(chǎng)強(qiáng)覆蓋均勻且距離遠(yuǎn)；LTE設(shè)備eNodeB的平均故障間隔時(shí)間≥150 000 h，WLAN系統(tǒng)中AP的平均故障間隔時(shí)間＜50 000 h；LTE中的QoS機(jī)制可保證多種不同質(zhì)量要求的業(yè)務(wù)并發(fā)的服務(wù)質(zhì)量，并采用軟頻率復(fù)用和部分補(bǔ)償功率控制等技術(shù)增強(qiáng)了系統(tǒng)的抗干擾能力。

在軌道交通行業(yè)的實(shí)際應(yīng)用中，LTE通常采用1.785～1.805 GHz的通信頻段，在性能、安全和可靠等方面達(dá)到了國際電工委員會(huì)及歐洲鐵路標(biāo)準(zhǔn)的規(guī)定的安全完整性等級(jí)4（SIL4）要求。根據(jù)文獻(xiàn)[1-3]，本文歸納了車地?zé)o線通信的性能及技術(shù)指標(biāo)，如表1～表4所示。

表1 車地?zé)o線網(wǎng)絡(luò)業(yè)務(wù)性能指標(biāo)

表2 車地?zé)o線通信傳輸性能指標(biāo)

表3 車地?zé)o線實(shí)時(shí)通信傳輸性能指標(biāo)

表4 CBTC中數(shù)據(jù)包交換網(wǎng)絡(luò)傳輸需求

從這些性能指標(biāo)看，LTE用于CBTC的車地?zé)o線通信具有相當(dāng)?shù)膬?yōu)勢(shì)，僅有少量指標(biāo)不滿足車地?zé)o線通信的指標(biāo)，如車地通信單網(wǎng)絡(luò)信息的誤碼率小于或等于10-6等。這些指標(biāo)可通過進(jìn)一步改進(jìn)系統(tǒng)的設(shè)計(jì)滿足要求，如引入差錯(cuò)控制技術(shù)等。

針對(duì)車地?zé)o線通信的安全性和可靠性很多文獻(xiàn)都有介紹，如文獻(xiàn)[4-6]都強(qiáng)調(diào)要提升車地?zé)o線通信的安全性和可靠性，包括抗用戶干擾、抗攻擊等，但并沒有給出具體的安全性及可靠性的具體指標(biāo)要求。

2 CBTC中車地?zé)o線通信安全性增強(qiáng)的研究和進(jìn)展

2.1 城市軌道交通中基于WLAN的車地?zé)o線通信安全性研究

城市軌道交通領(lǐng)域的WLAN系統(tǒng)由控制中心子系統(tǒng)、車站子系統(tǒng)、車載子系統(tǒng)和車地傳輸子系統(tǒng)構(gòu)成。從系統(tǒng)功能層級(jí)的角度來看，可分成接入層、匯聚層和核心層。

2.1.1 WLAN接入層的安全性

由于城市軌道交通WLAN系統(tǒng)需要面對(duì)大量用戶的密集接入，其覆蓋方案需要選用工業(yè)級(jí)的瘦AP（Fit AP）+AC接入架構(gòu)。此外，考慮到大量用戶的接入需求，文獻(xiàn)[7]提出在該層QoS設(shè)置用戶流量管控，避免由于個(gè)別用戶的超大流量接入影響其他用戶的正常使用，確保高優(yōu)先級(jí)業(yè)務(wù)數(shù)據(jù)包的傳輸安全及優(yōu)先級(jí)。

CBTC系統(tǒng)工作在2.4 GHz頻段，不可避免帶來了系統(tǒng)間的信號(hào)干擾。同頻和鄰頻干擾一旦突破了CBTC系統(tǒng)安全標(biāo)準(zhǔn)所設(shè)定的環(huán)境限值，會(huì)引發(fā)安全故障。因此，文獻(xiàn)[8]提出在接入層采用窄帶技術(shù)，減少原頻寬，增大物理層判斷通道占用的強(qiáng)度門限，使其對(duì)使用20 MHz頻寬的WLAN及其他民用802.11無線設(shè)備具有更高的抗干擾能力，以此降低接入層的干擾。有關(guān)802.11的安全措施研究，在文獻(xiàn)[9]有詳細(xì)介紹。

2.1.2 WLAN匯聚層的安全性

匯聚層是連接接入層與核心控制層的橋梁。其中，車地?zé)o線傳輸和站間有線傳輸網(wǎng)絡(luò)是該層的核心組成。這是列車內(nèi)移動(dòng)終端與外網(wǎng)交互的必由之路，必須保障通道的安全性和暢通性。

為確保匯聚層的安全性和通暢性，文獻(xiàn)[10]結(jié)合MIMO、信道綁定和波束成型等技術(shù)，提出在尚未放開的5.4 GHz頻段，車地系統(tǒng)方案選取5 150～5 350 GHz頻段，通過信道綁定技術(shù)，建立2個(gè)80 MHz的綁定信道，以配合車地AP間3×3的MIMO天線，組成車地間大吞吐量的無線數(shù)據(jù)傳輸通道。但是，當(dāng)務(wù)之急仍是通過技術(shù)手段增強(qiáng)CBTC系統(tǒng)的抗干擾能力和安全性。

2.1.3 WLAN核心層的安全性

軌道交通的核心層通常指系統(tǒng)的控制中心，由各類管理及應(yīng)用服務(wù)器堆疊而成，并為全線用戶及系統(tǒng)提供接入認(rèn)證、數(shù)據(jù)存儲(chǔ)轉(zhuǎn)發(fā)、外網(wǎng)接入、應(yīng)用業(yè)務(wù)、智能網(wǎng)絡(luò)管理和監(jiān)控等服務(wù)。

城市軌道交通中由于電力牽引等，存著超強(qiáng)的電磁干擾。為抑制電磁干擾，文獻(xiàn)[11]使用Mayr電弧模型對(duì)軌道交通電磁環(huán)境進(jìn)行分析，提出騷擾源抑制、電纜合理地布線并接地、提高軌道交通無線通信設(shè)備的電磁兼容性三種方法予以綜合解決。

應(yīng)用于軌道交通車地?zé)o線通信中的WLAN安全性已得到了很多改進(jìn)，但由于WLAN技術(shù)本身的缺陷，仍難以滿足CBTC的要求。近年來，越來越多的學(xué)者和研究機(jī)構(gòu)將LTE用于CBTC系統(tǒng)的車地?zé)o線通信。

2.2 CBTC系統(tǒng)中基于LTE的車地?zé)o線通信的安全性

LTE具有全I(xiàn)P網(wǎng)絡(luò)、支持高速移動(dòng)和切換、支持全覆蓋、多物理通道、抗干擾能力強(qiáng)和可靠的安全機(jī)制確保信息安全等優(yōu)點(diǎn)，可更好地為車地?zé)o線通信服務(wù)。CBTC下的LTE網(wǎng)絡(luò)架構(gòu)，如圖2所示。

為增強(qiáng)LTE系統(tǒng)的安全性，文獻(xiàn)[12]提出在LTE基站的數(shù)據(jù)接口進(jìn)行改進(jìn)，并使用TTCN方法對(duì)改進(jìn)后的方案進(jìn)行形式化測(cè)試，以證明改進(jìn)后的安全性達(dá)到了系統(tǒng)要求。

針對(duì)LTE車地?zé)o線通信系統(tǒng)的網(wǎng)絡(luò)切換安全，文獻(xiàn)[13]提出一種基于改進(jìn)代理簽名切換認(rèn)證方案。通過該方案，UE與目標(biāo)eNodeB可以直接完成強(qiáng)制認(rèn)證。它的認(rèn)證過程簡(jiǎn)單，無需復(fù)雜的密鑰管理，可以達(dá)到理想的效果。析，并提出相應(yīng)的可行性解決方案。但是，它研究的是固定Relay場(chǎng)景下的安全問題，而CBTC系統(tǒng)自身是移動(dòng)場(chǎng)景。

圖2 CBTC系統(tǒng)中的基于LTE的車地?zé)o線通信系統(tǒng)的組成

目前，大多數(shù)研究是針對(duì)LTE用于軌道交通車地?zé)o線通信的性能研究，包括列車速度、基站數(shù)和網(wǎng)絡(luò)負(fù)載等因素對(duì)LTE系統(tǒng)性能的影響。也有一些是針對(duì)LTE空口進(jìn)行改進(jìn)的研究，以增加安全性。

3 車地?zé)o線通信傳輸媒介L(zhǎng)TE信息安全的研究及進(jìn)展

中繼技術(shù)是在基站和終端之間的通信鏈路中加入Relay節(jié)點(diǎn)，實(shí)現(xiàn)對(duì)基站和終端之間的數(shù)據(jù)轉(zhuǎn)發(fā)，提高網(wǎng)絡(luò)的覆蓋和對(duì)干擾的控制。文獻(xiàn)[14]針對(duì)中繼（Relay）系統(tǒng)中安全問題產(chǎn)生的原因作了詳細(xì)分

LTE為了提供更好的服務(wù)，采用了異構(gòu)接入網(wǎng)。為彌補(bǔ)覆蓋的缺陷，采用小功率基站。網(wǎng)絡(luò)扁平化后，基站直達(dá)LTE核心網(wǎng)絡(luò)EPC，使核心網(wǎng)絡(luò)面臨著更大的安全威脅，影響車地?zé)o線通信的安全性。文獻(xiàn)[15]全面梳理了LTE系統(tǒng)的安全隱患，并給出如圖3所示的對(duì)策。

圖3 LTE安全隱患與安全措施

針對(duì)以上威脅，LTE作為CBTC車地?zé)o線通信傳輸媒介，主要采用了以下信息安全機(jī)制：身份認(rèn)證機(jī)制，即認(rèn)證與密鑰協(xié)商協(xié)議，主要實(shí)現(xiàn)接入用戶與接入網(wǎng)絡(luò)的雙向身份認(rèn)證，并協(xié)商兩者之后通信過程中所使用的加密算法與完整性保護(hù)算法的密鑰；完整性保護(hù)機(jī)制，主要用于保護(hù)接入設(shè)備與基站之間傳輸消息的安全，使其免受偶然或惡意的非授權(quán)篡改；空口加密機(jī)制；用戶身份保護(hù)機(jī)制；網(wǎng)絡(luò)信令安全交換機(jī)制；LTE移動(dòng)終端安全接入機(jī)制。

CBTC中LTE系統(tǒng)的接入認(rèn)證協(xié)議EPS AKA存在安全問題，無法避免惡意攻擊者對(duì)用戶的身份、服務(wù)網(wǎng)絡(luò)的標(biāo)識(shí)等重要信息的竊取和利用。

文獻(xiàn)[16]試圖采用Diffie-Hellman解決RAND隨機(jī)數(shù)易暴露的問題，以提高破解所產(chǎn)生參數(shù)的難度。但是，由于Diffie-Hellman是計(jì)算密集性的加密算法，容易遭受阻塞性攻擊，導(dǎo)致作為車地?zé)o線通信傳輸媒介的LTE的認(rèn)證服務(wù)器花費(fèi)大量計(jì)算資源來求解無用的冪系數(shù)而執(zhí)行非接入認(rèn)證。此外，Diffie-Hellman同樣易遭受到中間人攻擊。

為解決IMSI易暴漏的問題，文獻(xiàn)[17]額外定 義 了 2個(gè) 參 數(shù) ——I-TMSI（Initial-TMSI） 和RANDUE。一旦完成相互驗(yàn)證，安全模式設(shè)置就會(huì)開始，UE和HSS就會(huì)更新I-IMSI。在相互鑒權(quán)完成前，若發(fā)給HSS的消息中包含以前相同的I-IMSI，則HSS就會(huì)檢查RANDUE。若RANDUE也相同，則拒絕接入認(rèn)證。但是，文獻(xiàn)[17]并沒有分析這種改進(jìn)方法的性能和消耗。

文獻(xiàn)[18]研究了EPS AKA算法，并指出MME和HSS之間的通信是不安全的，進(jìn)而導(dǎo)致認(rèn)證向量AV同樣存在風(fēng)險(xiǎn)，從而提出了一種基于WPKI和ECC加密算法的SE-EPS AKA方法。文獻(xiàn)[19]與文獻(xiàn)[18]的工作類似，提出了一種叫HSK-AKA的改進(jìn)算法。該算法最小限度地在USIM函數(shù)中使用數(shù)字簽名和對(duì)稱密碼進(jìn)行公鑰加密。性能分析證明，改進(jìn)后的方案比EPS AKA協(xié)議安全性更高。文獻(xiàn)[20]針對(duì)接入認(rèn)證協(xié)議中存在的用戶身份泄露、虛假接入點(diǎn)攻擊和DoS攻擊等問題，提出基于代理簽名和橢圓曲線加密技術(shù)的改進(jìn)協(xié)議。這些方案都存在簽名多次傳送等問題，時(shí)延和開銷較大。

由上面的分析可知，大多數(shù)改進(jìn)方案都是通過復(fù)雜度較高的加密方式解決包括隨機(jī)數(shù)RAND、認(rèn)證向量AV、IMSI等參數(shù)易泄露的問題，但這些加密改進(jìn)都降低了車地?zé)o線通信效率。

4 結(jié) 語

本章主要討論CBTC中的車地?zé)o線通信技術(shù)，明確了車地?zé)o線通信的技術(shù)的指標(biāo)及要求，并進(jìn)一步分析了現(xiàn)有基于WLAN技術(shù)的車地?zé)o線通信的安全性。此外，針對(duì)CBTC采用LTE作為車地?zé)o線通信的傳輸媒介，討論了系統(tǒng)結(jié)構(gòu)，并從車地?zé)o線通信抗干能能力、接入認(rèn)證的安全性等角度，綜述了對(duì)LTE車地?zé)o線通信的安全性和可靠性的研究進(jìn)展。