現(xiàn)代城軌列車通信網(wǎng)絡(luò)安全性仿真研究*

戴 懿，郭其一

（同濟(jì)大學(xué) 電子與信息工程學(xué)院 電氣工程系，上海 201804）

0 引言

隨著我國經(jīng)濟(jì)科技的發(fā)展與進(jìn)步，我國城市化建設(shè)進(jìn)程加快，地面交通擁擠狀況日益嚴(yán)峻。城市軌道交通作為當(dāng)前解決這一基礎(chǔ)性問題的最佳途徑，近幾年發(fā)展迅速。同時，人們對于城市軌道交通的安全性、穩(wěn)定性、開放性和互聯(lián)性等提出了更高要求。列車通信網(wǎng)絡(luò)作為現(xiàn)代城市軌道交通的核心，是保障城市軌道交通安全、便捷以及準(zhǔn)時運行的重要技術(shù)支撐。面對全球范圍內(nèi)的網(wǎng)絡(luò)信息安全問題日益突出的現(xiàn)狀，列車通信網(wǎng)絡(luò)的安全問題顯得尤為重要。

1 列車通信網(wǎng)絡(luò)結(jié)構(gòu)

列車通信網(wǎng)絡(luò)作為現(xiàn)代列車的核心組成部分，經(jīng)過幾十年的發(fā)展形成了幾種較為常見的列車網(wǎng)絡(luò)總線技術(shù)，如LonWorks、WorldFIP、CAN 以及TCN 等[1]。傳統(tǒng)TCN 技術(shù)主要是低速總線產(chǎn)品，用于傳輸檢測信息、控制信息等小容量數(shù)據(jù)時實時性和數(shù)據(jù)確定性高，能夠很好地實現(xiàn)列車快速、實時、可靠的控制要求。但是，隨著通信網(wǎng)絡(luò)技術(shù)與現(xiàn)代社會生活的進(jìn)一步融合，列車通信網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，這些傳統(tǒng)總線技術(shù)已無法滿足大容量的故障診斷信息和視頻監(jiān)視信息的采集和傳輸。以太網(wǎng)作為一種國際標(biāo)準(zhǔn)局域網(wǎng)通信技術(shù)，具有高帶寬、高傳輸率以及組網(wǎng)方便靈活等優(yōu)點，完全符合現(xiàn)代列車通信網(wǎng)絡(luò)對數(shù)據(jù)速率和網(wǎng)絡(luò)數(shù)據(jù)吞吐量日益增高的技術(shù)要求。

以太列車通信網(wǎng)絡(luò)采用分層結(jié)構(gòu)，包含一個或多個列車骨干網(wǎng)絡(luò)子網(wǎng)和一個或多個列車編組網(wǎng)絡(luò)子網(wǎng)[2]，如圖1 所示。以太列車骨干網(wǎng)節(jié)點具有網(wǎng)關(guān)功能，負(fù)責(zé)以太列車編組網(wǎng)與以太列車骨干網(wǎng)之間的連接和數(shù)據(jù)傳輸。為了打破列車通信網(wǎng)絡(luò)作為專網(wǎng)運營的現(xiàn)狀，現(xiàn)代列車通信網(wǎng)絡(luò)中添加移動通信網(wǎng)關(guān)，從而實現(xiàn)了車載網(wǎng)絡(luò)與地面網(wǎng)絡(luò)的無線連接，其核心為一個連接車載網(wǎng)絡(luò)和地面網(wǎng)絡(luò)的移動接入路由器。每個編組至少提供一個移動通信網(wǎng)關(guān)，與地面網(wǎng)絡(luò)用戶建立永久性或臨時性的靜態(tài)或者漫游連接?？紤]到通信冗余問題，可在冗余節(jié)點上提供兩個同樣的移動通信網(wǎng)關(guān)。其中，一個移動通信網(wǎng)關(guān)處于工作狀態(tài)，另一個處于備份狀態(tài)且不向終端提供任何服務(wù)的方式，實時監(jiān)控編組網(wǎng)中的通信情況。當(dāng)工作狀態(tài)的移動通信網(wǎng)關(guān)失效時，備份單元檢測到這個失效，將關(guān)閉失效的移動通信網(wǎng)關(guān)單元，同時接管工作狀態(tài)。

圖1 以太列車通信網(wǎng)絡(luò)結(jié)構(gòu)

2 列車通信網(wǎng)絡(luò)安全技術(shù)

隨著網(wǎng)絡(luò)信息與社會生活的不斷融合，將原來封閉的列車通信網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連通，使其具有更高的開放性和更廣泛的互聯(lián)性，同時給列車通信網(wǎng)絡(luò)的安全性、穩(wěn)定性和可靠性帶來了諸多負(fù)面影響。據(jù)國外媒體報道[3]，2015 年全年英國鐵路網(wǎng)絡(luò)共遭受了4 次嚴(yán)重的網(wǎng)絡(luò)攻擊。2017 年我國鐵路通信網(wǎng)絡(luò)也遭受了WannaCry 勒索病毒的襲擊?？梢?，深入研究列車通信網(wǎng)絡(luò)的網(wǎng)絡(luò)安全問題具有重大意義。

目前，普遍采取的網(wǎng)絡(luò)安全技術(shù)主要包括防火墻、入侵檢測、數(shù)據(jù)加密以及網(wǎng)絡(luò)隔離技術(shù)等[4]。

（1）防火墻。防火墻系統(tǒng)通常放置在被保護(hù)網(wǎng)絡(luò)特定的邊界處，根據(jù)用戶所配置的數(shù)據(jù)包控制要求對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行過濾或其他應(yīng)對保護(hù)操作，從而起到保護(hù)網(wǎng)絡(luò)的作用。到目前為止，雖然各種網(wǎng)絡(luò)安全技術(shù)層出不窮，但防火墻仍然是最常用的技術(shù)。

（2）入侵檢測。入侵檢測也稱網(wǎng)絡(luò)實時監(jiān)控技術(shù)，通過實時監(jiān)測數(shù)據(jù)流的特征情況，再匹配入侵特征數(shù)據(jù)庫。若入侵特征匹配成功，則根據(jù)用戶定義進(jìn)行切斷網(wǎng)絡(luò)連接或通知防火墻等相關(guān)防護(hù)操作。

（3）加密技術(shù)。數(shù)據(jù)加密技術(shù)作為最基本的網(wǎng)絡(luò)安全技術(shù)，至今仍是提高系統(tǒng)及數(shù)據(jù)安全性、防止信息被破壞或竊取的重要技術(shù)之一[5]。

（4）網(wǎng)絡(luò)隔離技術(shù)。科技的發(fā)展使得新的網(wǎng)絡(luò)攻擊手段層出不窮。為了滿足現(xiàn)代網(wǎng)絡(luò)對安全越來越高的要求，在原有安全技術(shù)的基礎(chǔ)上取長補短，發(fā)展形成了網(wǎng)絡(luò)隔離技術(shù)，可以最大程度保障網(wǎng)絡(luò)的穩(wěn)定性和安全性。

為了保證列車通信網(wǎng)絡(luò)的安全性能，將移動通信網(wǎng)關(guān)模塊設(shè)計成屏蔽子網(wǎng)體系結(jié)構(gòu)，如圖2 所示，在Intranet和列車網(wǎng)絡(luò)之間通過移動通信網(wǎng)關(guān)連接，同時被移動通信網(wǎng)關(guān)隔離。外部包過濾路由器實現(xiàn)與外部網(wǎng)絡(luò)的通信連接，也可被稱為訪問路由器，控制Intranet 數(shù)據(jù)流，但幾乎不限制數(shù)據(jù)從通信網(wǎng)關(guān)出站。內(nèi)部包過濾路由器主要過濾流入數(shù)據(jù)包，保護(hù)列車網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵犯。壁壘主機(jī)處于內(nèi)外路由器之間，形成“緩沖地帶”，主要用來訪問和存儲外部網(wǎng)絡(luò)和列車網(wǎng)絡(luò)中可交互的信息和數(shù)據(jù)。Intranet 和列車網(wǎng)絡(luò)均可訪問通信網(wǎng)關(guān)內(nèi)的壁壘主機(jī)，但禁止它們穿過屏蔽子網(wǎng)相互通信。這樣即使攻擊者已經(jīng)控制了壁壘主機(jī)，但是內(nèi)部的列車網(wǎng)絡(luò)依舊是安全的[6]。

圖2 移動通信網(wǎng)關(guān)結(jié)構(gòu)

3 列車通信網(wǎng)絡(luò)仿真模型

3.1 OPNET 軟件介紹

OPNET 是一款商用軟件，憑借完備的協(xié)議模型庫和通信設(shè)備庫在通信網(wǎng)絡(luò)仿真領(lǐng)域占據(jù)重要的地位。OPNET 不僅在技術(shù)上遙遙領(lǐng)先，而且在用戶使用感上也較同類型軟件更為簡便，深受國內(nèi)華為、中興和電信等大型公司和科研機(jī)構(gòu)的歡迎。

本文中選擇OPNET 14.5 版本軟件作為搭建列車網(wǎng)絡(luò)模型的平臺，主要考慮以下因素。

（1）三層建模結(jié)構(gòu)。OPNET 通過圖形界面實現(xiàn)網(wǎng)絡(luò)層（Network Model）、節(jié)點層（Node Model）和進(jìn)程層（Process Model）[7]三層架構(gòu)搭建模型，層次清晰，簡化原本組成復(fù)雜的通信網(wǎng)絡(luò)系統(tǒng)，為仿真功能實現(xiàn)帶來便利，如圖3 所示。

圖3 OPNET 三層建模機(jī)制

（2）流程清晰。在進(jìn)程層模型中，將不同狀態(tài)模塊組合成有限狀態(tài)機(jī)，并通過對其強制狀態(tài)和非強制狀態(tài)之間的轉(zhuǎn)換，達(dá)到對不同協(xié)議建模的目的。

（3）可再編程性。三層建模結(jié)構(gòu)中，最底層的進(jìn)程層模型是實現(xiàn)整個仿真模型功能的載體和核心。OPNET 仿真軟件自帶400 多庫函數(shù)和許多協(xié)議模型，可直接使用現(xiàn)有模型，方便建模。

3.2 列車通信網(wǎng)絡(luò)模型

目前，地鐵列車多為4 動2 拖或3 動3 拖兩種結(jié)構(gòu)，本文仿真中選取4 動2 拖結(jié)構(gòu)的列車作為仿真模型，列車編組型式為-TC*MP*M=M*MP*TC-。其中，TC為拖車（帶司機(jī)室），MP為動車（帶受電弓），M 為動車，將6 節(jié)車廂分為Consist1 和Consist2 兩個編組[8-9]。模擬場景設(shè)置為200 m×400 m 范圍。仿真中，地鐵列車以太骨干網(wǎng)絡(luò)選用總線型連接，鏈路的傳輸速率為100 Mb/s。為了提高以太列車骨干網(wǎng)傳輸數(shù)據(jù)的可靠性，整個網(wǎng)絡(luò)配置兩條總線進(jìn)行數(shù)據(jù)傳輸?？偩€上設(shè)置節(jié)點代表以太列車編組網(wǎng)，其中編組1 中包含subnet_0 和subnet_1 兩個列車編組網(wǎng)絡(luò)子網(wǎng)。列車網(wǎng)絡(luò)層模型如圖4 所示。

每個子網(wǎng)提供移動通信網(wǎng)關(guān)實現(xiàn)列車網(wǎng)絡(luò)與外界Internet 的無線連接。子網(wǎng)中主要包括無線終端節(jié)點、移動通信網(wǎng)關(guān)、列車終端節(jié)點、交換機(jī)節(jié)點和服務(wù)器節(jié)點5 部分。子網(wǎng)節(jié)點層模型如圖5 所示。

圖4 以太列車骨干網(wǎng)絡(luò)模型

圖5 Subnet0 子網(wǎng)網(wǎng)絡(luò)模型

無線終端節(jié)點。模擬外部Internet 用戶，節(jié)點通過無線802.11 協(xié)議接入移動通信網(wǎng)關(guān)。

移動通信網(wǎng)關(guān)。移動通信網(wǎng)關(guān)由外部路由器（extern Router）、緩存服務(wù)器（cache Server）和內(nèi)部路由器（inside Router）組成，其中緩存服務(wù)器（cache Server）相當(dāng)于防火墻和數(shù)據(jù)緩存的作用，內(nèi)部配有基于特征檢測的檢測系統(tǒng)，可記錄檢測到的攻擊行為。

列車終端節(jié)點（node）。列車編組網(wǎng)內(nèi)部終端節(jié)點，模擬車輛內(nèi)各個節(jié)點的行為。通過編組網(wǎng)內(nèi)部的工業(yè)以太網(wǎng)總線向內(nèi)部服務(wù)器傳輸數(shù)據(jù)內(nèi)容。

交換機(jī)節(jié)點（switch）。連接各個編組網(wǎng)內(nèi)部，構(gòu)建成整體的列車通信網(wǎng)。

服務(wù)器節(jié)點（subway Server）。服務(wù)器負(fù)責(zé)列車以太網(wǎng)內(nèi)部的管理和數(shù)據(jù)收集。

IEC61375 標(biāo)準(zhǔn)中定義了列車通信網(wǎng)絡(luò)中5 種基本數(shù)據(jù)類型——監(jiān)視數(shù)據(jù)、過程數(shù)據(jù)、消息數(shù)據(jù)、流數(shù)據(jù)和最大努力交付數(shù)據(jù)，根據(jù)數(shù)據(jù)傳輸特點將其歸類為3 種[10]。

（1）實時周期數(shù)據(jù)，主要包括監(jiān)視數(shù)據(jù)和過程數(shù)據(jù)。此類數(shù)據(jù)實時性要求高且具有周期性。監(jiān)視數(shù)據(jù)指列車通信網(wǎng)絡(luò)運行所需要的數(shù)據(jù)，如列車出運行的數(shù)據(jù)或網(wǎng)絡(luò)冗余控制的數(shù)據(jù)。過程數(shù)據(jù)是由控制單元發(fā)出的實時控制數(shù)據(jù)和列車狀態(tài)實時監(jiān)視信息。

（2）實時非周期數(shù)據(jù)，主要包括消息數(shù)據(jù)和流數(shù)據(jù)，如列車故障的報警信號和列車監(jiān)控的視頻音頻等。

（3）非實時數(shù)據(jù)，包括盡力而為數(shù)據(jù)，主要是其他允許在網(wǎng)絡(luò)上傳輸?shù)挥绊懫渌麛?shù)據(jù)類型的信息。

如圖6 所示，列車終端節(jié)點進(jìn)程模型中包含7個進(jìn)程模塊、2 個列隊模塊和1 對總線收發(fā)模塊。source1、source2 和source3 為數(shù)據(jù)包產(chǎn)生模塊，分別對應(yīng)產(chǎn)生上述3 種數(shù)據(jù)類型。Source Manage 為轉(zhuǎn)發(fā)隊列模塊，在本文中采取傳統(tǒng)的先入先出方式，并按此服務(wù)算法將上層數(shù)據(jù)包傳送給Transport 模塊。Transport 為TCP 傳輸協(xié)議仿真模塊。Eth_mac_intf 為以太網(wǎng)MAC 接口模塊，用來實現(xiàn)Transport 模塊和MAC 模塊的連接通信。MAC 為以太網(wǎng)CSMA/CD 協(xié)議仿真模塊，監(jiān)聽鏈路狀態(tài)。若信道空閑，則可發(fā)送數(shù)據(jù)；若信道占用，則繼續(xù)保持監(jiān)聽。Bus_txo 和bus_rx0 為總線收發(fā)信機(jī)，用來接收/發(fā)送數(shù)據(jù)。Defer 為總線監(jiān)控模塊，用來監(jiān)督總線鏈路的傳輸狀況，判斷總線信道是否空閑，是否可以傳輸數(shù)據(jù)。

圖6 列車終端節(jié)點模型

如圖7所示，交換機(jī)節(jié)點模型包含3個進(jìn)程模塊、1 個列隊模塊、2 對點對點收發(fā)模塊和1 對總線收發(fā)模塊。switch 為交換模塊，對不同子網(wǎng)之間的數(shù)據(jù)進(jìn)行交換。pr_1、pt_1、pr_2、pt_2 為有線點對點收發(fā)信機(jī)，負(fù)責(zé)和不同子網(wǎng)之間建立數(shù)據(jù)連接。

圖7 交換機(jī)節(jié)點模型

3.3 仿真結(jié)果分析

本文以DDoS 攻擊為例，測試列車通信網(wǎng)絡(luò)防御能力。DDoS 攻擊是網(wǎng)絡(luò)黑客通過控制多個代理端主機(jī)向攻擊目標(biāo)同時且不斷發(fā)送大量相同的攻擊數(shù)據(jù)包來達(dá)到攻擊目的的一種攻擊方式[11]。本文將多個外部以太網(wǎng)無線終端設(shè)置為向列車通信網(wǎng)絡(luò)發(fā)起DDoS 攻擊。從圖8 仿真結(jié)果可以看出，若不進(jìn)行網(wǎng)絡(luò)安全防御，DDoS 攻擊通過不斷傳輸大量的數(shù)據(jù)包占用大部分網(wǎng)絡(luò)帶寬，將導(dǎo)致總線信道被占用，使得列車通信網(wǎng)絡(luò)上數(shù)據(jù)包傳輸產(chǎn)生沖突，平均數(shù)據(jù)重傳次數(shù)增加，端到端時延增加并出現(xiàn)較大的抖動。但是，當(dāng)采用具有屏蔽子網(wǎng)體系結(jié)構(gòu)的移動通信網(wǎng)關(guān)隔離開外部Internet 和列車通信網(wǎng)絡(luò)時，列車通信網(wǎng)絡(luò)上數(shù)據(jù)吞吐量、端到端延時以及平均數(shù)據(jù)包重傳次數(shù)曲線均與未遭受攻擊時一樣，列車通信網(wǎng)絡(luò)本身未受到DDoS 攻擊的影響?？梢姡疚牡姆抡婺Ｐ湍軌蚝芎玫胤烙鵇DoS 攻擊，保證列車通信網(wǎng)絡(luò)的安全。

圖8 DDoS 攻擊仿真結(jié)果

4 結(jié)語

隨著通信網(wǎng)絡(luò)技術(shù)與社會生活的深度融合，列車通信網(wǎng)絡(luò)打破一貫專網(wǎng)運行的狀態(tài)，逐步提高了其開放性與互聯(lián)性，同時急需完善的安全保障體系來保障列車通信網(wǎng)絡(luò)的安全性和可靠性。本文采用OPNET 軟件搭建基于工業(yè)以太網(wǎng)的現(xiàn)代地鐵列車通信網(wǎng)絡(luò)，并將其與地面Internet 實現(xiàn)互聯(lián)，模擬當(dāng)其遭受外部DDoS 攻擊時該網(wǎng)絡(luò)的網(wǎng)絡(luò)安全技術(shù)的防御能力。仿真結(jié)果表明，設(shè)計的現(xiàn)代地鐵列車通信網(wǎng)絡(luò)具有屏蔽子網(wǎng)體系結(jié)構(gòu)的移動通信網(wǎng)關(guān)，在一定程度上能夠起到很好的防御保護(hù)作用，保障列車通信網(wǎng)絡(luò)的安全性。